CN108234423A - 一种网络边界检测方法 - Google Patents
一种网络边界检测方法 Download PDFInfo
- Publication number
- CN108234423A CN108234423A CN201611194209.1A CN201611194209A CN108234423A CN 108234423 A CN108234423 A CN 108234423A CN 201611194209 A CN201611194209 A CN 201611194209A CN 108234423 A CN108234423 A CN 108234423A
- Authority
- CN
- China
- Prior art keywords
- network
- address
- data packet
- module
- packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/10—Mapping addresses of different types
- H04L61/103—Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及一种网络边界的检测方法,包括:网卡抓包引擎、数据包分析模块、ARP探测模块和ICMP探测模块;数据包分析模块设置有数据包队列模块;ICMP探测模块设置有TTL探测。本发明的有益效果是:处理起来简单便捷、快速准确,能够有效的预知网络安全性能,提高了企业信息安全保护能力。
Description
技术领域
本发明涉及一种网络边界的检测方法,属于网络技术安全领域。。
背景技术
目前,很多单位都设置有两个网络,一个是用来上网的可互联网的网络,一个是用来办公的内网网络;随着网络及信息技术的飞速发展,企业运营对网络的依赖日益加深,用户的网络及信息安全也正日益面临越来越多的风险:蠕虫、木马、间谍软件、恶意网页、垃圾邮件,融合多种渗透和破坏技术的复合式攻击,针对网络基础设施发起的拒绝服务攻击(DoS/DDoS),给企业的经营造成了巨大的破坏。同时新问题仍在不断涌现,网络安全威胁逐渐由网络层向应用层发展,由早期针对TCP/IP协议漏洞的攻击,转到利用TCP/IP数据包内容对操作系统和应用漏洞的攻击,给识别和控制这些威胁带来了新的困难。故此为安全起见,原则上办公网络和可连互联网的网络是不允许联通的,但在网管人员误操作下可能会发生内网网络和外网网络的发生物理连接的情况。而此时两个网络处于不同的网段,使用人员很难发现两个网络发生了网络连接,形成非法边界。
为此,如何提供一种网络边界的检测方法,是本发明研究的目的所在。
发明内容
本发明提供一种网络边界检测方法,解决了现有技术中内外网的非法连接,有效的保障了办公网络的安全性。
一种网络边界检测方法,包括:网卡抓包引擎、数据包分析模块、ARP探测模块和ICMP探测模块。
所述的数据包分析模块设置有数据包队列模块。
所述的ICMP探测模块设置有TTL探测。
过程分为以下几步:
步骤(1):设置内网网络范围,设置内网IP地址范围,我们认为非设置内网范围的数据包均视为可疑数据包;
步骤(2):启动网卡抓包引擎,抓取网络数据包;
步骤(3):进入数据包分析模块,分析网络数据包,找出源IP地址不是内网范围的的数据包;同时进入数据包队列模块,把不是内网范围的IP地址放入可疑检测队列;
步骤(4):启动ARP探测模块,在非法内网中找出一个可用的IP地址,该地址视为非法;
步骤(5):进入ICMP探测模块,利用所述步骤(4)中IP地址进行TTL探测,如果可以探测通,说明发现的该IP地址所在的网络是一个非法网络边界。
本发明的有益效果是:处理起来简单便捷、快速准确,能够有效的预知网络安全性能,提高了企业信息安全保护能力。
具体实施方式
下面对本发明做进一步分析。
一种网络边界检测方法包括:网卡抓包引擎、数据包分析模块、ARP探测模块和ICMP探测模块;数据包分析模块设置有数据包队列模块;ICMP探测模块设置有TTL探测。内网检测方法所示:
步骤(1):设置内网网络范围,设置内网IP地址范围,我们认为非设置内网范围的数据包均视为可疑数据包;
步骤(2):启动网卡抓包引擎,抓取网络数据包;
步骤(3):进入数据包分析模块,分析网络数据包,找出源IP地址不是内网范围的的数据包;同时进入数据包队列模块,把不是内网范围的IP地址放入可疑检测队列;
步骤(4):启动ARP探测模块,在非法内网中找出一个可用的IP地址,该地址视为非法;
步骤(5):进入ICMP探测模块,利用所述步骤(4)中IP地址进行TTL探测,如果可以探测通,说明发现的该IP地址所在的网络是一个非法网络边界。
对可疑IP所在网段进行检测的过程:
1.设置外网探测地址,外网探测地址指的是一个可以从互联网可疑路由到的外网的IP地址。
2.从可疑队列中取出可疑IP地址,并把可疑IP地址所在的网段认为是可疑边界网段。
3.在可疑网段中找到一个未使用的IP地址,进行ARP封装数据包,把本机IP设置为可疑IP地址网段的一个地址进行ARP探测,查看此IP是否已经占用,如果未被占用我们把这个地址作为客户机发包探测的源IP1。
4.使用IP1作为本机地址,外网探测地址作为目标地址,封装ICMP数据包对可疑网段内的地址进行TTL探测,如果目标地址可达,那此地址就认为是违规边界。
Arp探测指:假设可疑网络段地址为192.168.1.1-192.168.1.255,用IP192.168.1.2作为源地址向192.168.1.3发送ARP数据包,如果有应答,说明192.168.1.3已经占用,如果没有应答,说明192.168.1.3未被占用,那么就使用192.168.1.3作为TTL探测的源地址。
TTL探测:使用ARP探测发现的未占用IP 192.168.1.3作为源地址,可疑网段内的IP192.168.1.4作为目标地址组装ICMP数据包,向外网地址发送ICMP探测包,如ICMP数据包可达,说明客户机可以通过192.168.1.4连接到外网,从而发现违规边界。
以上对本申请所提供的一种实现虚拟机与管理域进程间通信的方法进行了详细介绍,本文中应用了实施例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想;同时,对于本领域的一般技术人员,依据本申请的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本申请的限制。
Claims (2)
1.一种网络边界检测方法,其特征在于,设置有网卡抓包引擎、数据包分析模块、ARP探测模块和ICMP探测模块;所述的数据包分析模块设置有数据包队列模块;所述的ICMP探测模块设置有TTL探测。
2.根据权利要求1所述的一种网络边界检测方法,其特征在于,包括:
步骤(1):设置内网网络范围,设置内网IP地址范围,我们认为非设置内网范围的数据包均视为可疑数据包;
步骤(2):启动网卡抓包引擎,抓取网络数据包;
步骤(3):进入数据包分析模块,分析网络数据包,找出源IP地址不是内网范围的的数据包;同时进入数据包队列模块,把不是内网范围的IP地址放入可疑检测队列;
步骤(4):启动ARP探测模块,在非法内网中找出一个可用的IP地址,该地址视为非法;
步骤(5):进入ICMP探测模块,利用所述步骤(4)中IP地址进行TTL探测,如果可以探测通,说明发现的该IP地址所在的网络是一个非法网络边界2。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201611194209.1A CN108234423A (zh) | 2016-12-21 | 2016-12-21 | 一种网络边界检测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201611194209.1A CN108234423A (zh) | 2016-12-21 | 2016-12-21 | 一种网络边界检测方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN108234423A true CN108234423A (zh) | 2018-06-29 |
Family
ID=62655844
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201611194209.1A Pending CN108234423A (zh) | 2016-12-21 | 2016-12-21 | 一种网络边界检测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108234423A (zh) |
-
2016
- 2016-12-21 CN CN201611194209.1A patent/CN108234423A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Wang et al. | Intrusion prevention system design | |
EP3014813B1 (en) | Rootkit detection by using hardware resources to detect inconsistencies in network traffic | |
CN102487339B (zh) | 一种网络设备攻击防范方法及装置 | |
EP3264720A1 (en) | Using dns communications to filter domain names | |
JP6086423B2 (ja) | 複数センサの観測情報の突合による不正通信検知方法 | |
GB2502254A (en) | Discovery of IP addresses of nodes in a botnet | |
KR20170045699A (ko) | 보안이벤트 자동 검증 방법 및 장치 | |
Kaur et al. | Automatic attack signature generation systems: A review | |
JP7388613B2 (ja) | パケット処理方法及び装置、デバイス、並びに、コンピュータ可読ストレージ媒体 | |
US20230283631A1 (en) | Detecting patterns in network traffic responses for mitigating ddos attacks | |
EP4038858A1 (en) | In-line detection of algorithmically generated domains | |
Choi et al. | A model of analyzing cyber threats trend and tracing potential attackers based on darknet traffic | |
JP6592196B2 (ja) | 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム | |
Zhao et al. | Network security model based on active defense and passive defense hybrid strategy | |
JP5385867B2 (ja) | データ転送装置及びアクセス解析方法 | |
CN108234423A (zh) | 一种网络边界检测方法 | |
CN104883281B (zh) | 一种网络边界检测方法 | |
Chanthakoummane et al. | Improving intrusion detection on snort rules for botnets detection | |
Jeong et al. | Rule conversion mechanism between NIDPS engines | |
Ochieng et al. | A tour of the computer worm detection space | |
Jin et al. | Mitigating HTTP GET Flooding attacks through modified NetFPGA reference router | |
Saiyod et al. | Improving intrusion detection on snort rules for botnet detection | |
Alaidaros et al. | From Packet-based Towards Hybrid Packet-based and Flow-based Monitoring for Efficient Intrusion Detection: An overview | |
Agrawal et al. | Proposed multi-layers intrusion detection system (MLIDS) model | |
Ko et al. | An efficient anti-DDoS mechanism using flow-based forwarding technology |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
WD01 | Invention patent application deemed withdrawn after publication | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20180629 |