CN110912928A - 一种防火墙实现方法、装置以及电子设备 - Google Patents

一种防火墙实现方法、装置以及电子设备 Download PDF

Info

Publication number
CN110912928A
CN110912928A CN201911266062.6A CN201911266062A CN110912928A CN 110912928 A CN110912928 A CN 110912928A CN 201911266062 A CN201911266062 A CN 201911266062A CN 110912928 A CN110912928 A CN 110912928A
Authority
CN
China
Prior art keywords
candidate network
network protocol
target
mac address
value
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201911266062.6A
Other languages
English (en)
Other versions
CN110912928B (zh
Inventor
胡思健
李�瑞
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Baidu Online Network Technology Beijing Co Ltd
Beijing Baidu Netcom Science and Technology Co Ltd
Original Assignee
Beijing Baidu Netcom Science and Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Baidu Netcom Science and Technology Co Ltd filed Critical Beijing Baidu Netcom Science and Technology Co Ltd
Priority to CN201911266062.6A priority Critical patent/CN110912928B/zh
Publication of CN110912928A publication Critical patent/CN110912928A/zh
Application granted granted Critical
Publication of CN110912928B publication Critical patent/CN110912928B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/60Types of network addresses
    • H04L2101/618Details of network addresses
    • H04L2101/622Layer-2 addresses, e.g. medium access control [MAC] addresses

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请公开了一种防火墙实现方法、装置以及电子设备,涉及安全技术领域。具体实现方案为:获取N个候选网络协议,向网关发送每个候选网络协议的数据包;接收N个候选网络协议的回应数据包;基于N个候选网络协议发送的数据包数量以及N个候选网络协议的回应数据包中每个MAC地址的出现数量,获得N个候选网络协议的候选MAC地址以及置信因子;将目标候选网络协议的候选MAC地址作为ARP防火墙绑定的网关MAC地址,其中,目标候选网络协议的置信因子为N个候选网络协议中最大置信因子。将最大置信因子对应候选网络协议中的候选MAC作为ARP防火墙绑定的网关MAC地址,可提高作为ARP防火墙绑定的网关MAC地址的准确性,即提高识别网关MAC地址的准确性。

Description

一种防火墙实现方法、装置以及电子设备
技术领域
本申请涉及计算机技术中的安全技术领域,尤其涉及一种防火墙实现方法、装置以及电子设备。
背景技术
地址解析协议(Address Resolution Protocol,ARP)是一种通过将网络层互联网协议地址(Internet Protocol,IP)转换为数据链路层媒体访问控制地址(Media AccessControl Address,MAC)的网络传输协议,以实现通信。
目前,为防御攻击以提高通信数据安全以及网络畅通等,可设置ARP防火墙,识别网关MAC地址作为ARP防火墙的重要环节,直接影响ARP防火墙防御攻击的效果。然而现有提出的ARP防火墙在实际应用过程中,对网关MAC地址识别的准确性较差。
发明内容
本申请提供一种防火墙实现方法、装置和电子设备,以解决对网关MAC地址识别准确性较差的问题。
第一方面,本申请一个实施例提供一种防火墙实现方法,包括:
获取N个候选网络协议,N为大于1的整数;
向网关发送每个候选网络协议的数据包;
接收所述N个候选网络协议的回应数据包;
基于所述N个候选网络协议发送的数据包数量以及所述N个候选网络协议的回应数据包中每个MAC地址的出现数量,获得所述N个候选网络协议的候选MAC地址以及置信因子;
将目标候选网络协议的候选MAC地址作为ARP防火墙绑定的网关MAC地址,其中,所述目标候选网络协议的置信因子为所述N个候选网络协议中最大置信因子。
本实施例的防火墙实现方法中,通过发送N个候选网络协议的数据包以及接收N个候选网络协议的回应数据包,是基于N个候选网络协议发送的数据包的数量以及接收的N个候选网络协议的回应数据包中每个MAC地址的数量,确定N个候选网络协议的候选MAC地址以及置信因子,然后在N个候选网络协议中选择最大置信因子候选网络协议的候选MAC地址作为ARP防火墙绑定的网关MAC地址。最大置信因子对应候选网络协议中的候选MAC可以理解为在N个候选MAC地址中最值得信任,将其作为ARP防火墙绑定的网关MAC地址,可提高作为ARP防火墙绑定的网关MAC地址的准确性,即提高识别网关MAC地址的准确性。
可选的,所述向网关发送每个候选网络协议的数据包,包括:
针对所述每个候选网络协议,向所述网关发送C轮数据包,其中,每轮中发送至少一个数据包,且所述C为大于1的整数;
所述接收所述N个候选网络协议的回应数据包,包括:
接收所述N个候选网络协议针对所述C轮数据包的回应数据包。
在本实施例中,通过循环C轮数据包的发送以及循环C轮回应数据包的接收,以确定候选网络协议的候选MAC地址以及置信因子,以提高候选MAC地址和置信因子的准确性。
可选的,第一候选网络协议的候选MAC地址包括:
所述第一候选网络协议的C个第一MAC地址中的第一差值绝对值最小的第一MAC地址;
其中,所述C个第一MAC地址为C轮的第一MAC地址,目标轮的第一MAC地址为,所述目标轮中第一差值绝对值最小的MAC地址,所述第一差值绝对值为MAC地址的出现数量与所述目标轮中发送的数据包的数量之间的差值绝对值;
所述第一候选网络协议为所述N个候选网络协议中的任一候选网络协议,所述目标轮为所述C轮中的任一轮。
第一差值绝对值可以描述发送数据包数量和接收的回应数据包中MAC地址的出现数量之间的差距,基于第一差值绝对值确定第一候选网络协议的候选MAC地址,以提高候选MAC的准确性。
可选的,所述目标候选网络协议的置信因子包括:
依据第一差异值和第二差异值确定的置信因子;
其中,所述第一差异值为所述目标候选网络协议的差值绝对值之和,所述差值绝对值之和为所述目标候选网络协议中每轮的最小第一差值绝对值之和;
所述第二差异值为C轮的第二差值绝对值之和,其中,所述目标轮的第二差值绝对值为所述目标轮的发送数据包的数量与所述目标轮的MAC地址的出现数量总和的差值绝对值。
第一差异值可以用于描述发送数据包数量与接收的回应数据包中每个MAC地址的出现数量之间的差距,第二差异值可以用于描述发送的数据包数量与接收的回应数据包中MAC地址的出现数量总和之间的差距,并通过两者进行置信因子的确定,可提高置信因子的准确性。
可选的,所述依据第一差异值和第二差异值确定的置信因子,包括:
根据所述目标候选网络协议的第一差异值和第二差异值,确定第一参数值,所述第一参数值与所述第一差异值反相关,与所述第二差异值正相关;
根据所述目标候选网络协议的第一差异值,确定第二参数值,所述第二参数与所述第一差异值正相关;
根据所述第一参数值和所述第二参数值,确定的所述目标候选网络协议的置信因子,所述目标候选网络协议的置信因子分别与所述目标候选网络协议的第一参数值以及所述目标候选网络协议的第二参数值反相关。
在利用第一差异值和第二差异值确定置信因子的过程中,可通过利用第一差异值和第二差异值确定第一参数值,以及通过第一差异值确定第二参数值,可以理解,第一参数值可用于描述当前网络设备受多信源的攻击程度,第二参数值可以用于描述当前网络设备接收单信源数据包的稳定程度,通过第一参数值和第二参数值确定置信因子,提高置信因子的准确性。
第二方面,本申请一个实施例还提供一种防火墙实现装置,包括:
协议获取模块,用于获取N个候选网络协议,N为大于1的整数;
数据包发送模块,用于向网关发送每个候选网络协议的数据包;
数据包接收模块,用于接收所述N个候选网络协议的回应数据包;
信息获取模块,用于基于所述N个候选网络协议发送的数据包数量以及所述N个候选网络协议的回应数据包中每个MAC地址的出现数量,获得所述N个候选网络协议的候选MAC地址以及置信因子;
绑定模块,用于将目标候选网络协议的候选MAC地址作为ARP防火墙绑定的网关MAC地址,其中,所述目标候选网络协议的置信因子为所述N个候选网络协议中最大置信因子。
可选的,所述向网关发送每个候选网络协议的数据包,包括:针对所述每个候选网络协议,向所述网关发送C轮数据包,其中,每轮中发送至少一个数据包,且所述C为大于1的整数;
所述接收所述N个候选网络协议的回应数据包,包括:接收所述N个候选网络协议针对所述C轮数据包的回应数据包。
可选的,第一候选网络协议的候选MAC地址包括:
所述第一候选网络协议的C个第一MAC地址中的第一差值绝对值最小的第一MAC地址;
其中,所述C个第一MAC地址为C轮的第一MAC地址,目标轮的第一MAC地址为,所述目标轮中第一差值绝对值最小的MAC地址,所述第一差值绝对值为MAC地址的出现数量与所述目标轮中发送的数据包的数量之间的差值绝对值;
所述第一候选网络协议为所述N个候选网络协议中的任一候选网络协议,所述目标轮为所述C轮中的任一轮。
可选的,所述目标候选网络协议的置信因子包括:
依据第一差异值和第二差异值确定的置信因子;
其中,所述第一差异值为所述目标候选网络协议的差值绝对值之和,所述差值绝对值之和为所述目标候选网络协议中每轮的最小第一差值绝对值之和;
所述第二差异值为C轮的第二差值绝对值之和,其中,所述目标轮的第二差值绝对值为所述目标轮的发送数据包的数量与所述目标轮的MAC地址的出现数量总和的差值绝对值。
可选的,所述依据第一差异值和第二差异值确定的置信因子,包括:
根据所述目标候选网络协议的第一差异值和第二差异值,确定第一参数值,所述第一参数值与所述第一差异值反相关,与所述第二差异值正相关;
根据所述目标候选网络协议的第一差异值,确定第二参数值,所述第二参数与所述第一差异值正相关;
根据所述第一参数值和所述第二参数值,确定的所述目标候选网络协议的置信因子,所述目标候选网络协议的置信因子分别与所述目标候选网络协议的第一参数值以及所述目标候选网络协议的第二参数值反相关。
第三方面,本申请一个实施例还提供一种电子设备,包括:
至少一个处理器;以及
与至少一个处理器通信连接的存储器;其中,
存储器存储有可被至少一个处理器执行的指令,指令被至少一个处理器执行,以使至少一个处理器能够执行本申请各实施例提供的方法。
第四方面,本申请一个实施例还提供一种存储有计算机指令的非瞬时计算机可读存储介质,其特征在于,计算机指令用于使计算机执行本申请各实施例提供的方法。
附图说明
附图用于更好地理解本方案,不构成对本申请的限定。其中:
图1是根据本申请一个实施例的防火墙实现方法的流程示意图之一;
图2是根据本申请一个实施例的防火墙实现方法的流程示意图之二;
图3是用来实现本申请实施例的防火墙实现方法的防火墙实现装置的框图;
图4是可以实现本申请实施例的防火墙实现方法的电子设备的框图。
具体实施方式
以下结合附图对本申请的示范性实施例做出说明,其中包括本申请实施例的各种细节以助于理解,应当将它们认为仅仅是示范性的。因此,本领域普通技术人员应当认识到,可以对这里描述的实施例做出各种改变和修改,而不会背离本申请的范围和精神。同样,为了清楚和简明,以下的描述中省略了对公知功能和结构的描述。
如图1所示,根据本申请的实施例,本申请提供一种防火墙实现方法,包括:
步骤S101:获取N个候选网络协议,N为大于1的整数。
网络协议可以理解为网络通信中所使用的通信协议,在网络通信中,通过网络协议实现正常通信。在一个示例中,根据局域网内部与网关进行链路通信具有IP地址转换MAC地址的特征,可选取DHCP(动态主机配置协议)、ARP和ICMP(因特网控制报文协议)作为网关MAC地址识别过程中的协议集合,即N个候选网络协议可以包括DHCP、ARP和ICMP协议。
步骤S102:向网关发送每个候选网络协议的数据包。
即针对N个候选网络协议中的每个候选网路协议,均发送对应的数据包给网关,通过网关进行广播,如此,接收设备可进行回应。可以理解,针对每个候选网路协议,可向网关发送多个数据包,针对一个候选网路协议每发一个数据包,对应接收该候选网络协议的回应数据包,对于发送一个数据,可接收多个回应数据包。对于DHCP协议,可向网关发送DHCP协议的数据包,对于ARP协议,可向网关发送ARP协议的数据包,对于ICMP协议,可向网关发送ICMP协议的数据包。
步骤S103:接收N个候选网络协议的回应数据包。
对于每个候选网络协议,向网关发送数据包之后,可对应接收到局域网内的回应,从而,可接收每个候选网络协议的回应数据包,可以理解,对于一个候选网络协议发送的一个数据包,可接收到针对该数据包候选网络协议的回应数据包。接收的候选网络协议的回应数据包为对于该候选网络协议发送的数据包,接收的总的回应数据包。
步骤S104:基于N个候选网络协议发送的数据包数量以及N个候选网络协议的回应数据包中每个MAC地址的出现数量,获得N个候选网络协议的候选MAC地址以及置信因子。
每个回应数据包包括一个MAC地址(具体为网关MAC地址),通过对回应数据包进行解析,可获取MAC地址,不同MAC地址可对应不同的设备,即表示不同的设备对发送的数据包的回应。对于N个候选网络协议中的任意一个候选网络协议,每发送一个数据包,可接收到该候选网络协议的回应数据包,可以有多个回应数据包,如此,对于发送多个数据包,发送的每个数据包对应有接收的回应数据包,从而对于多个数据包接收的回应数据包中可能存在相同的MAC地址,如此,可统计接收的回应数据包中每个不同MAC地址的出现数量。例如,发送2个数据包,对于第一个发送的数据包,接收的回应数据包包括数据包1(包括MAC地址1)、数据包2(包括MAC地址2)和数据包3(包括MAC地址3),即针对第一个发送的数据包,每个MAC地址各自出现一次。对于第二个发送的数据包,接收的回应数据包包括数据包1(包括MAC地址1)、数据包2(包括MAC地址2)和数据包4(包括MAC地址4),即针对第二个发送的数据包,回应数据包中每个MAC地址各自出现一次。通过统计即可得到MAC地址1的出现数量为2,MAC地址2的出现次数量为2,MAC地址3的出现数量为1,MAC地址4的出现数量为1。
针对每个候选网络协议均是如此,从而可获得N个候选网络协议分别接收的回应数据包中每个MAC地址的数量。然后可根据N个候选网络协议的发送的数据包数量以及N个候选网络协议的回应数据包中每个MAC地址的出现数量,获得N个候选网络协议的候选MAC地址以及置信因子。
步骤S105:将目标候选网络协议的候选MAC地址作为ARP防火墙绑定的网关MAC地址。
其中,目标候选网络协议的置信因子为N个候选网络协议中最大置信因子。
每个候选网络协议有对应的置信因子和候选MAC地址,从而可根据置信因子,从N个候选网络协议的候选MAC地址中选取一个作为识别的网关MAC地址。置信因子可以理解为用于评价信任程度的因子,值越大,表示对应的候选网络协议中的MAC地址与路由器的MAC地址的越接近,其越值得信任。在本实施例中,将置信因子最大值的候选网络协议对应的候选MAC地址作为ARP防火墙绑定的网关MAC地址,以提高网关MAC地址的信任程度,从而提高作为ARP防火墙绑定的网关MAC地址的准确性。在一个示例中,是将目标候选网络协议的候选MAC地址作为ARP防火墙静态绑定的网关MAC地址。
本实施例的防火墙实现方法中,通过发送N个候选网络协议的数据包以及接收N个候选网络协议的回应数据包,是基于N个候选网络协议发送的数据包的数量以及接收的N个候选网络协议的回应数据包中每个MAC地址的数量,确定N个候选网络协议的候选MAC地址以及置信因子,然后在N个候选网络协议中选择最大置信因子候选网络协议的候选MAC地址作为ARP防火墙绑定的网关MAC地址。最大置信因子对应候选网络协议中的候选MAC可以理解为在N个候选MAC地址中最值得信任,将其作为ARP防火墙绑定的网关MAC地址,可提高作为ARP防火墙绑定的网关MAC地址的准确性,即提高识别网关MAC地址的准确性。另外,后续可通过该绑定的网关MAC地址进行准确的防护,提高对ARP攻击的防御效果。
在一个实施例中,向网关发送每个候选网络协议的数据包,包括:针对每个候选网络协议,向网关发送C轮数据包,其中,每轮中发送至少一个数据包,且C为大于1的整数。
接收N个候选网络协议的回应数据包,包括:接收N个候选网络协议针对C轮数据包的回应数据包。
即在本实施例中,参阅图2,可提供一种防火墙实现方法,该方法包括:
步骤S201:获取N个候选网络协议,N为大于1的整数。
步骤S202:针对每个候选网络协议,向网关发送C轮数据包。
其中,每轮中发送至少一个数据包,且C为大于1的整数。
步骤S203:接收N个候选网络协议针对C轮数据包的回应数据包。
步骤S204:基于N个候选网络协议发送的数据包数量以及N个候选网络协议的回应数据包中每个MAC地址的出现数量,获得N个候选网络协议的候选MAC地址以及置信因子。
步骤S205:将目标候选网络协议的候选MAC地址作为ARP防火墙绑定的网关MAC地址,其中,目标候选网络协议的置信因子为N个候选网络协议中最大置信因子。
步骤S201与步骤S101对应,步骤S204-S205与步骤S104-S105一一对饮,在此不再赘述。可以理解,在本实施例中,针对每个候选网络协议,发送C轮的数据包,每轮发送至少一个数据包。如此,可接收针对C轮数据包的回应数据包,即进行C轮的回应数据包接收,每轮接收的回应数据包的数量可以至少一个,每轮可接收至少一个回应数据包。基于每轮接收的回应数据包,可统计每轮接收到的每个MAC地址的出现数量,然后利用其与同一轮发送的数据包数量进行比较,可实现候选网络协议的候选MAC地址以及置信因子的确定。在本实施例中,通过循环C轮数据包的发送以及循环C轮回应数据包的接收,以确定候选网络协议的候选MAC地址以及置信因子,以提高候选MAC地址和置信因子的准确性。
在一个实施例中,第一候选网络协议的候选MAC地址包括:
第一候选网络协议的C个第一MAC地址中的第一差值绝对值最小的第一MAC地址;
其中,C个第一MAC地址为C轮的第一MAC地址,目标轮的第一MAC地址为,目标轮中第一差值绝对值最小的MAC地址,第一差值绝对值为MAC地址的出现数量与目标轮中发送的数据包的数量之间的差值绝对值。
第一候选网络协议为N个候选网络协议中的任一候选网络协议,目标轮为C轮中的任一轮,即第一候选网络协议的C轮中的任意一轮。目标候选网路协议为N个候选网路协议中置信因子最大的候选网路协议,第一候选网络协议为N个候选网络协议中的任一候选网络协议,通过上述对第一候选网络协议的候选MAC地址的限定,也即是对目标候选网络协议的候选MAC地址进行了限定,即目标候选网络协议的候选MAC地址是包括目标候选网络协议的C个第一MAC地址中的第一差值绝对值最小的第一MAC地址。其中,C个第一MAC地址为C轮的第一MAC地址,目标轮的第一MAC地址为,目标轮中第一差值绝对值最小的MAC地址,第一差值绝对值为MAC地址的出现数量与目标轮中发送的数据包的数量之间的差值绝对值,目标轮为目标候选网络协议的C轮中的任一轮。
针对N个候选网络协议中的任意一个候选网络协议,可将该候选网络协议中第一差值绝对值最小的第一MAC地址作为候选MAC地址。具体地,对于N个候选网络协议中的第一候选网络协议,可先获取第一候选网络协议的C轮的第一MAC地址,即C个第一MAC地址,C轮中的目标轮(即C轮中的任意一个)的第一MAC地址可以为目标轮的第一差值绝对值最小的MAC地址,目标轮中第一差值绝对值可以包括目标轮中每个MAC地址的出现数量与目标轮中发送的数据包的数量之间的差值绝对值,即有多个差值绝对值,数量与不同MAC的个数相同。例如,目标轮中,MAC地址1的出现数量为2,MAC地址2的出现数量为2,MAC地址3的出现数量为1、MAC地址4的出现数量为1,可确定MAC地址1的出现数量与目标轮中发送的数据包的数量之间的差值绝对值、MAC地址2的出现数量与目标轮中发送的数据包的数量之间的差值绝对值、MAC地址3的出现数量与目标轮中发送的数据包的数量之间的差值绝对值和MAC地址4的出现数量与目标轮中发送的数据包的数量之间的差值绝对值。若目标轮中MAC地址1的出现数量与目标轮中发送的数据包的数量之间的差值绝对值最小,则目标轮中第一MAC地址为MAC地址1。针对C轮中的每一轮进行上述过程,如此,可得到C轮的第一MAC地址。然后再讲C轮的第一MAC地址中第一差值绝对值最小的第一MAC地址作为候选MAC地址。第一差值绝对值可以描述发送数据包数量和接收的回应数据包中MAC地址的出现数量之间的差距,基于第一差值绝对值确定第一候选网络协议的候选MAC地址,以提高候选MAC的准确性。
在一个实施例中,目标候选网络协议的置信因子包括:依据第一差异值和第二差异值确定的置信因子。
其中,第一差异值为目标候选网络协议的差值绝对值之和,差值绝对值之和为目标候选网络协议中每轮的最小第一差值绝对值之和;
第二差异值为C轮的第二差值绝对值之和,其中,目标轮的第二差值绝对值为目标轮的发送数据包的数量与目标轮的MAC地址的出现数量总和的差值绝对值。
即可根据目标候选网络协议的第一差异值和第二差异值确定目标候选网络协议的置信因子。其中,目标候选网络协议的第二差异值为目标候选网络协议的C轮的第二差值绝对值之和。
例如,对于一个目标轮,其中,MAC地址1的出现数量为2,MAC地址2的出现数量为2,MAC地址3的出现数量为1、MAC地址4的出现数量为1,可确定MAC地址1的出现数量与目标轮中发送的数据包的数量之间的第一差值绝对值、MAC地址2的出现数量与目标轮中发送的数据包的数量之间的第一差值绝对值、MAC地址3的出现数量与目标轮中发送的数据包的数量之间的第一差值绝对值和MAC地址4的出现数量与目标轮中发送的数据包的数量之间的第一差值绝对值,然后确定目标轮中MAC地址1的出现数量与目标轮中发送的数据包的数量之间的第一差值绝对值最小。若C取3,对于每轮通过上述过程,可得到每轮的最小第一差值绝对值,例如,目标候选网络协议中3轮中分别对应的最小第一差值绝对值分别为1、2和3,则差值绝对值之和即第一差异值为目标候选网络协议中每轮的最小第一差值绝对值之和,即1、2和3之和。
第二差异值为C轮的第二差值绝对值之和,其中,目标轮的第二差值绝对值为目标轮的发送数据包的数量与目标轮的MAC地址的出现数量总和的差值绝对值。
目标轮的MAC地址的出现数量总和可以理解为目标轮中每个MAC地址的出现数量之和,例如,目标录中,MAC地址1的出现数量为2,MAC地址2的出现数量为2,MAC地址3的出现数量为1、MAC地址4的出现数量为1,则目标轮的MAC地址的出现数量总和为MAC地址1的出现数量、MAC地址2的出现数量、MAC地址3的出现数量和MAC地址4的出现数量之和,即为6。将目标轮的发送数据包的数量与目标轮的MAC地址的出现数量总和的差值绝对值作为目标轮的第二差值绝对值。对于每轮通过上述过程,可得到每轮的第二差值绝对值,即C轮的第二差值绝对值,然后将C轮的第二差值绝对值相加得到第二差异值。
第一差异值可以用于描述发送数据包数量与接收的回应数据包中每个MAC地址的出现数量之间的差距,第二差异值可以用于描述发送的数据包数量与接收的回应数据包中MAC地址的出现数量总和之间的差距,并通过两者进行置信因子的确定,可提高置信因子的准确性。
上述给出的是对于目标候选网络协议的置信因子的限定,目标候选网络协议是N个候选网路协议中的一个,则可对于N个候选网络协议中的任意一个候选网络协议,例如,第一候选网络协议,其对应的置信因子均可通过上述过程获得,只是将目标候选网络协议替换为第一候选网路协议即可。例如,第一候选网络协议的置信因子包括:依据第一候选网络协议的第一差异值和第二差异值确定的置信因子。其中,第一候选网络协议的第一差异值为第一候选网络协议的差值绝对值之和,差值绝对值之和为第一候选网络协议中每轮的最小第一差值绝对值之和。第一候选网络协议的第二差异值为第一候选网络协议的C轮的第二差值绝对值之和,其中,目标轮的第二差值绝对值为目标轮的发送数据包的数量与目标轮的MAC地址的出现数量总和的差值绝对值。
在一个实施例中,依据第一差异值和第二差异值确定的置信因子,包括:根据目标候选网络协议的第一差异值和第二差异值,确定第一参数值,第一参数值与第一差异值反相关,与第二差异值正相关;根据目标候选网络协议的第一差异值,确定第二参数值,第二参数与第一差异值正相关;根据第一参数值和第二参数值,确定的目标候选网络协议的置信因子,目标候选网络协议的置信因子分别与目标候选网络协议的第一参数值以及目标候选网络协议的第二参数值反相关。
在利用第一差异值和第二差异值确定置信因子的过程中,可通过利用第一差异值和第二差异值确定第一参数值,以及通过第一差异值确定第二参数值,可以理解,第一参数值可用于描述当前网络设备(可以理解为执行上述各实施例的方法的主体,即属于一种电子设备)受多信源的攻击程度,值越小,表示攻击程度越小。第二参数值可以用于描述当前网络设备接收单信源数据包的稳定程度,第二参数值值越小越稳定,通过第一参数值和第二参数值确定置信因子,提高置信因子的准确性。
下面以一个具体实施例对上述方法的过程加以具体说明。
首先,候选网络协议选取。根据局域网内部与网关进行链路通信具有IP地址转换MAC地址的特性,选取DHCP、ARP与ICMP协议作为网关MAC地址识别的协议集合Set。协议集合Set中包括N个候选网络协议,即DHCP、ARP与ICMP协议,在本实施例中,N为3。
然后,协议集合Set中每个候选网络协议特征值数据采集。对于协议集合Set中的第一候选网络协议Setp(即是协议集合Set中的任一候选网络协议),在第一候选网络协议Setp的预设时长Tp内,发送第一候选网络协议Setp一定数量Counts的数据包到网关,采集第一候选网络协议Setp接收到的局域网内所有回应的回应数据包,可回应数据包中每个MAC地址的出现数量Countr作为第一候选网络协议Setp的特征值数据集合OEVp
具体地,在上述获得集合OEVp过程中,可先选取循环收集轮次(即次数)为C。对于每轮收集过程,可在预设时长Tp内,随机发送第一候选网络协议Setp的数量为Countsi(即第i轮发送的数据包的数量,i为整数,且i≤C)的数据包,并且开启采集特征值收集线程,接受第一候选网络协议Setp的回应数据包,并统计本轮(例如第i轮)接收的回应数据包中每个MAC地址的出现数量,即Countrij,表示在第i轮接收的回应数据包中第j(j为整数,且j≤n,n为不同MAC地址的总数)个MAC地址的出现数量。其中每个接收的回应数据包都包含一个网关MAC地址。根据发送的数据包数量、接收的数据包中每个MAC地址的出现数量以及MAC地址组成第一候选网络协议Setp的特征值数据集合OEVp,其数据结构如下所示:
Figure BDA0002312872380000131
其中,MACrij表示第i轮接收的回应数据中第j个MAC地址。
其次,聚类分析。选取闵可夫斯基距离公式作为网关MAC地址相似度差异判断的依据,相似度差异越小越相似,基于第一候选网络协议Setp的特征值数据集合OEVp得到的第一差异值Sdiff、第二差异值Pdiff以及估算的候选MAC地址MACest_min,作为第一候选网络协议Setp的特征数据集合EVp
具体地,发送的数据包数量与接收的回应数据包中MAC地址的出现数量总和的差值求和作为第二差异值Pdiff,计算公式为:
Figure BDA0002312872380000132
其中,第i轮的第二差值绝对值的计算公式如下:
Figure BDA0002312872380000133
根据在预设时长Tp内,发送的数据包与接收的回应数据包的一致性,将发送的数据包作为聚类分析的质心,将闵可夫斯基距离公式简化后,求取接收的回应数据包不同MAC地址到质心的相似度差异,计算公式为:
Sij=|Countsi-Countrij|。
其中,Sij为第i轮接收的回应数据包中第j个MAC地址的出现数量与第i轮中发送的数据包数量之间的第一差值绝对值。
将所有MAC地址对应的相似度差异数据进行整合,得到相似度差异数据集合S,其数据结构如下所示:
Figure BDA0002312872380000141
从S集合中选取最小第一差值绝对值作为第一候选网络协议Setp的网关MAC地址MACest_min,即第一候选网络协议Setp的候选MAC地址。
将Sij中每轮求取的第一差值绝对值中最小值Si_min(第i轮中第一绝对值差值中最小值)之和作为第一差异值Sdiff,计算公式为:
Figure BDA0002312872380000142
第一候选网络协议Setp的特征数据集合EVp,由第二差异值Pdiff、第一差异值Sdiff以及候选MAC地址即MACest_min组成,其数据结构如下所示:
EVp=[Pdiff,Sdiff,MACest_min]。
对于每个候选网络协议有对应的特征数据集合,EVp为N个候选网络协议中任一候选网络协议对应的特征数据集合,若N为3,N个候选网络协议为DHCP、ARP与ICMP协议,则分别有对应的特征数据集合,均采用上述对第一候选网络协议的特征数据集合的确定进行确定即可,只需将第一候选网络协议分别采用DHCP、ARP与ICMP协议即可,则利用的发送的数据包和接收的回应数据包为对应协议对应的数据包和回应数据包即可,例如,对于DHCP协议,在确定特征数据集合过程中,利用的是DHCP协议发送的数据包的数量和接收的DHCP协议的回应数据包。
再者,选取置信因子δ作为描述协议的可信程度,对协议Set的特征数据集合EV(即包括每个协议的特征数据集合)进行可信程度的归一化处理,得出最可信赖的网关MAC地址作为网络设备ARP防火墙静态绑定的网关MAC地址。
具体地,定义第一参数值,用于描述当前网络设备受到多信源的攻击程度,第一参数值的计算公式如下:
Mmult=(Pdiff-Sdiff+1)。
定义第二参数值,用于描述当前网络设备接接收单信源数据包的稳定程度,第二参数值计算公式如下:
Msingle=(Sdiff+1)。
定义置信因子,用于描述协议的可信程度,并且进行归一化处理,例如,对于第一候选网络协议Setp,其置信因子计算公式如下:
Figure BDA0002312872380000151
通过上述过程可对Set中每个候选网络协议的置信因子进行计算,从而可得到Set中每个候选网络协议的置信因子。例如,在本实施例中,得到3个候选网络协议的置信因子。选取最大置信因子所对应的的候选网络协议中的MACest_min作为网络设备ARP防火墙静态绑定的网关MAC地址。在绑定网关MAC地址之后,还可向网关发送当前网络设备自身的MAC地址,例如,可不断发送当前网络设备自身的MAC地址给网关,即通知网关本机正确的MAC地址,保证当前网络设备与网关所对应MAC地址的正确性,以便对ARP攻击的防御,如此,可有效防止ARP攻击导致网络设备的流量被劫持,从而提高网络设备的网络安全性。
通过本申请实施例提供的防火墙实现方法,可防御较多的且攻击性较强的ARP攻击工具,能够提高自动化识别网关MAC地址的准确性,本实施例提供的方法识别网关MAC地址的准确性可达99.3%,并能提高网关ARP表所对应网络设备MAC地址的正确性。
在轻量级上,通过精简模型使得ARP防火墙整体大小在1M以内,对于应用到Android(安卓)或Linux(一套免费使用和自由传播的类Unix操作系统)存储空间较小的设备上有很大的便利性。
在跨平台上,使用C语言作为编程语言,通过对CMakeLists文件(CMake是一种跨平台编译工具,CMakeLists文件为通过CMake编写的文件)增加Android平台与Linux平台宏编译选项,并替换部分代码即可使得ARP防火墙应用到跨平台上。
在启动速度上,对网关信息的特征提取与聚类分析进行算法优化以及在数据包发送与采集机制上加入随机策略,使得ARP防火墙的启动时间在50ms以内。
本实施例的防火墙实现方法中,通过发送N个候选网络协议的数据包以及接收N个候选网络协议的回应数据包,是基于N个候选网络协议分别发送的数据包的数量以及接收的N个候选网络协议的回应数据包中每个MAC地址的出现数量,确定N个候选网络协议的候选MAC地址以及置信因子,然后在N个候选网络协议选择最大置信因子的候选网络协议对应的候选MAC地址作为ARP防火墙绑定的网关MAC地址。最大置信因子对应的候选MAC可以理解为在N个候选MAC地址中最值得信任,将其作为ARP防火墙绑定的网关MAC地址,可提高网关MAC地址的准确性,即提高对网关MAC地址识别的准确性,以便后续进行准确的防护,以减少攻击。无需对ARP协议进行修改,也无需对一直监听网络中的流量,无需接管网络设备的数据包解析,只是在一定时长内进行流量监听,实现轻量级的防火墙。
如图3所示,在一个实施例中,本申请还提供一种防火墙实现装置300,该装置包括:
协议获取模块301,用于获取N个候选网络协议,N为大于1的整数;
数据包发送模块301,用于向网关发送每个候选网络协议的数据包;
数据包接收模块303,用于接收N个候选网络协议的回应数据包;
信息获取模块304,用于基于N个候选网络协议发送的数据包数量以及N个候选网络协议的回应数据包中每个MAC地址的出现数量,获得N个候选网络协议的候选MAC地址以及置信因子;
绑定模块305,用于将目标候选网络协议的候选MAC地址作为ARP防火墙绑定的网关MAC地址,其中,目标候选网络协议的置信因子为N个候选网络协议中最大置信因子。
在一个实施例中向网关发送每个候选网络协议的数据包,包括:针对每个候选网络协议,向网关发送C轮数据包,其中,每轮中发送至少一个数据包,且C为大于1的整数;
接收N个候选网络协议的回应数据包,包括:接收N个候选网络协议针对C轮数据包的回应数据包。
在一个实施例中第一候选网络协议的候选MAC地址包括:
第一候选网络协议的C个第一MAC地址中的第一差值绝对值最小的第一MAC地址;
其中,C个第一MAC地址为C轮的第一MAC地址,目标轮的第一MAC地址为,目标轮中第一差值绝对值最小的MAC地址,第一差值绝对值为MAC地址的出现数量与目标轮中发送的数据包的数量之间的差值绝对值;
第一候选网络协议为N个候选网络协议中的任一候选网络协议,目标轮为C轮中的任一轮。
在一个实施例中目标候选网络协议的置信因子包括:
依据第一差异值和第二差异值确定的置信因子;
其中,第一差异值为目标候选网络协议的差值绝对值之和,差值绝对值之和为目标候选网络协议中每轮的最小第一差值绝对值之和;
第二差异值为C轮的第二差值绝对值之和,其中,目标轮的第二差值绝对值为目标轮的发送数据包的数量与目标轮的MAC地址的出现数量总和的差值绝对值。
在一个实施例中依据第一差异值和第二差异值确定的置信因子,包括:
根据目标候选网络协议的第一差异值和第二差异值,确定第一参数值,第一参数值与第一差异值反相关,与第二差异值正相关;
根据目标候选网络协议的第一差异值,确定第二参数值,第二参数与第一差异值正相关;
根据第一参数值和第二参数值,确定的目标候选网络协议的置信因子,目标候选网络协议的置信因子分别与目标候选网络协议的第一参数值以及目标候选网络协议的第二参数值反相关。
上述各实施例的防火墙实现装置为实现上述各实施例的防火墙实现方法的装置,技术特征对应,技术效果对应,在此不再赘述。
根据本申请的实施例,本申请还提供了一种电子设备和一种可读存储介质。
如图4所示,是根据本申请实施例的防火墙实现方法的电子设备的框图。电子设备旨在表示各种形式的数字计算机,诸如,膝上型计算机、台式计算机、工作台、个人数字助理、服务器、刀片式服务器、大型计算机、和其它适合的计算机。电子设备还可以表示各种形式的移动装置,诸如,个人数字处理、蜂窝电话、智能电话、可穿戴设备和其它类似的计算装置。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例,并且不意在限制本文中描述的和/或者要求的本申请的实现。
如图4所示,该电子设备包括:一个或多个处理器401、存储器402,以及用于连接各部件的接口,包括高速接口和低速接口。各个部件利用不同的总线互相连接,并且可以被安装在公共主板上或者根据需要以其它方式安装。处理器可以对在电子设备内执行的指令进行处理,包括存储在存储器中或者存储器上以在外部输入/输出装置(诸如,耦合至接口的显示设备)上显示GUI的图形信息的指令。在其它实施方式中,若需要,可以将多个处理器和/或多条总线与多个存储器和多个存储器一起使用。同样,可以连接多个电子设备,各个设备提供部分必要的操作(例如,作为服务器阵列、一组刀片式服务器、或者多处理器系统)。图4中以一个处理器401为例。
存储器402即为本申请所提供的非瞬时计算机可读存储介质。其中,存储器存储有可由至少一个处理器执行的指令,以使至少一个处理器执行本申请所提供的防火墙实现方法。本申请的非瞬时计算机可读存储介质存储计算机指令,该计算机指令用于使计算机执行本申请所提供的防火墙实现方法。
存储器402作为一种非瞬时计算机可读存储介质,可用于存储非瞬时软件程序、非瞬时计算机可执行程序以及模块,如本申请实施例中的4防火墙实现方法对应的程序指令/模块(例如,附图3所示的协议获取模块301、数据包发送模块302、数据包接收模块303、信息获取模块304和绑定模块305)。处理器401通过运行存储在存储器402中的非瞬时软件程序、指令以及模块,从而执行服务器的各种功能应用以及数据处理,即实现上述方法实施例中的防火墙实现方法。
存储器402可以包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需要的应用程序;存储数据区可存储根据键盘显示的电子设备的使用所创建的数据等。此外,存储器402可以包括高速随机存取存储器,还可以包括非瞬时存储器,例如至少一个磁盘存储器件、闪存器件、或其他非瞬时固态存储器件。在一些实施例中,存储器402可选包括相对于处理器401远程设置的存储器,这些远程存储器可以通过网络连接至键盘显示的电子设备。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
防火墙实现方法的电子设备还可以包括:输入装置403和输出装置404。处理器401、存储器402、输入装置403和输出装置404可以通过总线或者其他方式连接,图4中以通过总线连接为例。
输入装置403可接收输入的数字或字符信息,以及产生与键盘显示的电子设备的用户设置以及功能控制有关的键信号输入,例如触摸屏、小键盘、鼠标、轨迹板、触摸板、指示杆、一个或者多个鼠标按钮、轨迹球、操纵杆等输入装置。输出装置404可以包括显示设备、辅助照明装置(例如,LED)和触觉反馈装置(例如,振动电机)等。该显示设备可以包括但不限于,液晶显示器(LCD)、发光二极管(LED)显示器和等离子体显示器。在一些实施方式中,显示设备可以是触摸屏。
此处描述的系统和技术的各种实施方式可以在数字电子电路系统、集成电路系统、专用ASIC(专用集成电路)、计算机硬件、固件、软件、和/或它们的组合中实现。这些各种实施方式可以包括:实施在一个或者多个计算机程序中,该一个或者多个计算机程序可在包括至少一个可编程处理器的可编程系统上执行和/或解释,该可编程处理器可以是专用或者通用可编程处理器,可以从存储系统、至少一个输入装置、和至少一个输出装置接收数据和指令,并且将数据和指令传输至该存储系统、该至少一个输入装置、和该至少一个输出装置。
这些计算程序(也称作程序、软件、软件应用、或者代码)包括可编程处理器的机器指令,并且可以利用高级过程和/或面向对象的编程语言、和/或汇编/机器语言来实施这些计算程序。如本文使用的,术语“机器可读介质”和“计算机可读介质”指的是用于将机器指令和/或数据提供给可编程处理器的任何计算机程序产品、设备、和/或装置(例如,磁盘、光盘、存储器、可编程逻辑装置(PLD)),包括,接收作为机器可读信号的机器指令的机器可读介质。术语“机器可读信号”指的是用于将机器指令和/或数据提供给可编程处理器的任何信号。
为了提供与用户的交互,可以在计算机上实施此处描述的系统和技术,该计算机具有:用于向用户显示信息的显示装置(例如,CRT(阴极射线管)或者LCD(液晶显示器)监视器);以及键盘和指向装置(例如,鼠标或者轨迹球),用户可以通过该键盘和该指向装置来将输入提供给计算机。其它种类的装置还可以用于提供与用户的交互;例如,提供给用户的反馈可以是任何形式的传感反馈(例如,视觉反馈、听觉反馈、或者触觉反馈);并且可以用任何形式(包括声输入、语音输入或者、触觉输入)来接收来自用户的输入。
可以将此处描述的系统和技术实施在包括后台部件的计算系统(例如,作为数据服务器)、或者包括中间件部件的计算系统(例如,应用服务器)、或者包括前端部件的计算系统(例如,具有图形用户界面或者网络浏览器的用户计算机,用户可以通过该图形用户界面或者该网络浏览器来与此处描述的系统和技术的实施方式交互)、或者包括这种后台部件、中间件部件、或者前端部件的任何组合的计算系统中。可以通过任何形式或者介质的数字数据通信(例如,通信网络)来将系统的部件相互连接。通信网络的示例包括:局域网(LAN)、广域网(WAN)和互联网。
计算机系统可以包括客户端和服务器。客户端和服务器一般远离彼此并且通常通过通信网络进行交互。通过在相应的计算机上运行并且彼此具有客户端-服务器关系的计算机程序来产生客户端和服务器的关系。
根据本申请实施例的技术方案,通过发送N个候选网络协议的数据包以及接收N个候选网络协议的回应数据包,是基于N个候选网络协议发送的数据包的数量以及接收的N个候选网络协议的回应数据包中每个MAC地址的数量,确定N个候选网络协议的候选MAC地址以及置信因子,然后在N个候选网络协议中选择最大置信因子候选网络协议的候选MAC地址作为ARP防火墙绑定的网关MAC地址。最大置信因子对应候选网络协议中的候选MAC可以理解为在N个候选MAC地址中最值得信任,将其作为ARP防火墙绑定的网关MAC地址,可提高作为ARP防火墙绑定的网关MAC地址的准确性,即提高识别网关MAC地址的准确性。
应该理解,可以使用上面所示的各种形式的流程,重新排序、增加或删除步骤。例如,本发申请中记载的各步骤可以并行地执行也可以顺序地执行也可以不同的次序执行,只要能够实现本申请公开的技术方案所期望的结果,本文在此不进行限制。
上述具体实施方式,并不构成对本申请保护范围的限制。本领域技术人员应该明白的是,根据设计要求和其他因素,可以进行各种修改、组合、子组合和替代。任何在本申请的精神和原则之内所作的修改、等同替换和改进等,均应包含在本申请保护范围之内。

Claims (12)

1.一种防火墙实现方法,其特征在于,所述方法包括:
获取N个候选网络协议,N为大于1的整数;
向网关发送每个候选网络协议的数据包;
接收所述N个候选网络协议的回应数据包;
基于所述N个候选网络协议发送的数据包数量以及所述N个候选网络协议的回应数据包中每个MAC地址的出现数量,获得所述N个候选网络协议的候选MAC地址以及置信因子;
将目标候选网络协议的候选MAC地址作为ARP防火墙绑定的网关MAC地址,其中,所述目标候选网络协议的置信因子为所述N个候选网络协议中最大置信因子。
2.根据权利要求1所述的方法,其特征在于,所述向网关发送每个候选网络协议的数据包,包括:
针对所述每个候选网络协议,向所述网关发送C轮数据包,其中,每轮中发送至少一个数据包,且所述C为大于1的整数;
所述接收所述N个候选网络协议的回应数据包,包括:
接收所述N个候选网络协议针对所述C轮数据包的回应数据包。
3.根据权利要求2所述的方法,其特征在于,第一候选网络协议的候选MAC地址包括:
所述第一候选网络协议的C个第一MAC地址中的第一差值绝对值最小的第一MAC地址;
其中,所述C个第一MAC地址为C轮的第一MAC地址,目标轮的第一MAC地址为,所述目标轮中第一差值绝对值最小的MAC地址,所述第一差值绝对值为MAC地址的出现数量与所述目标轮中发送的数据包的数量之间的差值绝对值;
所述第一候选网络协议为所述N个候选网络协议中的任一候选网络协议,所述目标轮为所述C轮中的任一轮。
4.根据权利要求2所述的方法,其特征在于,所述目标候选网络协议的置信因子包括:
依据第一差异值和第二差异值确定的置信因子;
其中,所述第一差异值为所述目标候选网络协议的差值绝对值之和,所述差值绝对值之和为所述目标候选网络协议中每轮的最小第一差值绝对值之和;
所述第二差异值为C轮的第二差值绝对值之和,其中,所述目标轮的第二差值绝对值为所述目标轮的发送数据包的数量与所述目标轮的MAC地址的出现数量总和的差值绝对值。
5.根据权利要求4所述的方法,其特征在于,所述依据第一差异值和第二差异值确定的置信因子,包括:
根据所述目标候选网络协议的第一差异值和第二差异值,确定第一参数值,所述第一参数值与所述第一差异值反相关,与所述第二差异值正相关;
根据所述目标候选网络协议的第一差异值,确定第二参数值,所述第二参数与所述第一差异值正相关;
根据所述第一参数值和所述第二参数值,确定的所述目标候选网络协议的置信因子,所述目标候选网络协议的置信因子分别与所述目标候选网络协议的第一参数值以及所述目标候选网络协议的第二参数值反相关。
6.一种防火墙实现装置,其特征在于,所述装置包括:
协议获取模块,用于获取N个候选网络协议,N为大于1的整数;
数据包发送模块,用于向网关发送每个候选网络协议的数据包;
数据包接收模块,用于接收所述N个候选网络协议的回应数据包;
信息获取模块,用于基于所述N个候选网络协议发送的数据包数量以及所述N个候选网络协议的回应数据包中每个MAC地址的出现数量,获得所述N个候选网络协议的候选MAC地址以及置信因子;
绑定模块,用于将目标候选网络协议的候选MAC地址作为ARP防火墙绑定的网关MAC地址,其中,所述目标候选网络协议的置信因子为所述N个候选网络协议中最大置信因子。
7.根据权利要求6所述的装置,其特征在于,所述向网关发送每个候选网络协议的数据包,包括:针对所述每个候选网络协议,向所述网关发送C轮数据包,其中,每轮中发送至少一个数据包,且所述C为大于1的整数;
所述接收所述N个候选网络协议的回应数据包,包括:接收所述N个候选网络协议针对所述C轮数据包的回应数据包。
8.根据权利要求7所述的装置,其特征在于,第一候选网络协议的候选MAC地址包括:
所述第一候选网络协议的C个第一MAC地址中的第一差值绝对值最小的第一MAC地址;
其中,所述C个第一MAC地址为C轮的第一MAC地址,目标轮的第一MAC地址为,所述目标轮中第一差值绝对值最小的MAC地址,所述第一差值绝对值为MAC地址的出现数量与所述目标轮中发送的数据包的数量之间的差值绝对值;
所述第一候选网络协议为所述N个候选网络协议中的任一候选网络协议,所述目标轮为所述C轮中的任一轮。
9.根据权利要求7所述的装置,其特征在于,所述目标候选网络协议的置信因子包括:
依据第一差异值和第二差异值确定的置信因子;
其中,所述第一差异值为所述目标候选网络协议的差值绝对值之和,所述差值绝对值之和为所述目标候选网络协议中每轮的最小第一差值绝对值之和;
所述第二差异值为C轮的第二差值绝对值之和,其中,所述目标轮的第二差值绝对值为所述目标轮的发送数据包的数量与所述目标轮的MAC地址的出现数量总和的差值绝对值。
10.根据权利要求9所述的装置,其特征在于,所述依据第一差异值和第二差异值确定的置信因子,包括:
根据所述目标候选网络协议的第一差异值和第二差异值,确定第一参数值,所述第一参数值与所述第一差异值反相关,与所述第二差异值正相关;
根据所述目标候选网络协议的第一差异值,确定第二参数值,所述第二参数与所述第一差异值正相关;
根据所述第一参数值和所述第二参数值,确定的所述目标候选网络协议的置信因子,所述目标候选网络协议的置信因子分别与所述目标候选网络协议的第一参数值以及所述目标候选网络协议的第二参数值反相关。
11.一种电子设备,其特征在于,包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行所述权利要求1-5中任意一项的方法。
12.一种存储有计算机指令的非瞬时计算机可读存储介质,其特征在于,所述计算机指令用于使所述计算机执行所述权利要求1-5中任意一项的方法。
CN201911266062.6A 2019-12-11 2019-12-11 一种防火墙实现方法、装置以及电子设备 Active CN110912928B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911266062.6A CN110912928B (zh) 2019-12-11 2019-12-11 一种防火墙实现方法、装置以及电子设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911266062.6A CN110912928B (zh) 2019-12-11 2019-12-11 一种防火墙实现方法、装置以及电子设备

Publications (2)

Publication Number Publication Date
CN110912928A true CN110912928A (zh) 2020-03-24
CN110912928B CN110912928B (zh) 2022-01-28

Family

ID=69824574

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911266062.6A Active CN110912928B (zh) 2019-12-11 2019-12-11 一种防火墙实现方法、装置以及电子设备

Country Status (1)

Country Link
CN (1) CN110912928B (zh)

Citations (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050114648A1 (en) * 2003-11-24 2005-05-26 Cisco Technology, Inc., A Corporation Of California Dual mode firewall
CN101217539A (zh) * 2007-12-29 2008-07-09 杭州华三通信技术有限公司 一种防火墙设备及处理二层转发报文的方法
CN103023914A (zh) * 2012-12-26 2013-04-03 北京神州绿盟信息安全科技股份有限公司 一种防火墙系统及其实现方法
CN104219241A (zh) * 2014-09-04 2014-12-17 国云科技股份有限公司 一种适用于虚拟机的arp攻击双向防护方法
CN104410724A (zh) * 2014-12-23 2015-03-11 上海市共进通信技术有限公司 基于http协议在智能网关中实现设备类型识别的方法
US9160771B2 (en) * 2009-07-22 2015-10-13 International Business Machines Corporation Method and apparatus for dynamic destination address control in a computer network
CN105429944A (zh) * 2015-10-29 2016-03-23 安徽省万薇网络科技有限公司 一种arp攻击自动识别调整的方法及路由器
CN106899612A (zh) * 2017-04-01 2017-06-27 汕头大学 一种自动检测假冒主机arp欺骗的方法
US20170195220A1 (en) * 2015-12-30 2017-07-06 Juniper Networks, Inc. Media access control address and internet protocol address binding proxy advertisement for network devices of a network
CN107070908A (zh) * 2017-04-01 2017-08-18 汕头大学 一种自动检测假冒网关arp欺骗的方法
US20180006969A1 (en) * 2016-06-29 2018-01-04 Cisco Technology, Inc. Technique for gleaning mac and ip address bindings
CN108494726A (zh) * 2018-02-02 2018-09-04 大势至(北京)软件工程有限公司 基于arp替代和过滤驱动的网络准入控制方法及系统
CN108600170A (zh) * 2018-03-20 2018-09-28 大势至(北京)软件工程有限公司 一种控制多网段环境下网络设备上网行为的方法及系统

Patent Citations (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050114648A1 (en) * 2003-11-24 2005-05-26 Cisco Technology, Inc., A Corporation Of California Dual mode firewall
CN101217539A (zh) * 2007-12-29 2008-07-09 杭州华三通信技术有限公司 一种防火墙设备及处理二层转发报文的方法
US9160771B2 (en) * 2009-07-22 2015-10-13 International Business Machines Corporation Method and apparatus for dynamic destination address control in a computer network
CN103023914A (zh) * 2012-12-26 2013-04-03 北京神州绿盟信息安全科技股份有限公司 一种防火墙系统及其实现方法
CN104219241A (zh) * 2014-09-04 2014-12-17 国云科技股份有限公司 一种适用于虚拟机的arp攻击双向防护方法
CN104410724A (zh) * 2014-12-23 2015-03-11 上海市共进通信技术有限公司 基于http协议在智能网关中实现设备类型识别的方法
CN105429944A (zh) * 2015-10-29 2016-03-23 安徽省万薇网络科技有限公司 一种arp攻击自动识别调整的方法及路由器
US20170195220A1 (en) * 2015-12-30 2017-07-06 Juniper Networks, Inc. Media access control address and internet protocol address binding proxy advertisement for network devices of a network
US20180006969A1 (en) * 2016-06-29 2018-01-04 Cisco Technology, Inc. Technique for gleaning mac and ip address bindings
CN106899612A (zh) * 2017-04-01 2017-06-27 汕头大学 一种自动检测假冒主机arp欺骗的方法
CN107070908A (zh) * 2017-04-01 2017-08-18 汕头大学 一种自动检测假冒网关arp欺骗的方法
CN108494726A (zh) * 2018-02-02 2018-09-04 大势至(北京)软件工程有限公司 基于arp替代和过滤驱动的网络准入控制方法及系统
CN108600170A (zh) * 2018-03-20 2018-09-28 大势至(北京)软件工程有限公司 一种控制多网段环境下网络设备上网行为的方法及系统

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
SUDHAKAR; R. K. AGGARWAL: "A survey on comparative analysis of tools for the detection of ARP poisoning", 《2017 2ND INTERNATIONAL CONFERENCE ON TELECOMMUNICATION AND NETWORKS (TEL-NET)》 *
柴王爱;黄文康: "ARP防火墙的设计与开发", 《电脑知识与技术》 *
潘家富: "ARP攻击的原理分析及防范对策研究", 《软件工程》 *

Also Published As

Publication number Publication date
CN110912928B (zh) 2022-01-28

Similar Documents

Publication Publication Date Title
US10212133B2 (en) Accelerated pattern matching using pattern functions
US9473369B2 (en) Application topology based on network traffic
US10855549B2 (en) Network data processing driver for a cognitive artificial intelligence system
US20180083985A1 (en) Systems and methods for network security event filtering and translation
US20170295068A1 (en) Logical network topology analyzer
CN104702571B (zh) 一种Xen虚拟化环境下网络数据的入侵检测方法
US10489720B2 (en) System and method for vendor agnostic automatic supplementary intelligence propagation
US20180034778A1 (en) Systems and methods for accelerated pattern matching
EP3242240B1 (en) Malicious communication pattern extraction device, malicious communication pattern extraction system, malicious communication pattern extraction method and malicious communication pattern extraction program
CN103475586A (zh) 网络数据报文的转发方法、装置及系统
CN112052185B (zh) 小程序的异常处理方法、装置、电子设备和存储介质
CN110572399A (zh) 漏洞检测处理方法、装置、设备及存储介质
CN110912928B (zh) 一种防火墙实现方法、装置以及电子设备
CN112351042A (zh) 攻击流量计算方法、装置、电子设备和存储介质
CN113347186B (zh) 反射攻击探测方法、装置和电子设备
US11218357B1 (en) Aggregation of incident data for correlated incidents
CN111031004B (zh) 业务流量处理的方法、业务流量学习的方法、装置及系统
CN110704848B (zh) 脆弱点量化评估方法及装置
CN111597461B (zh) 一种目标对象聚集预测方法、装置以及电子设备
CN112417326A (zh) Url的转换方法和装置、电子设备和存储介质
CN111338937A (zh) 一种对小程序干预下线的方法、装置、设备和介质
WO2014191082A1 (en) Detection of an unknown host device in a communication network
CN112822302A (zh) 数据归一化的方法、装置、电子设备及存储介质
CN113098729B (zh) 公网特征参数的获取方法、装置、电子设备和存储介质
CN113992449B (zh) Docker安全能力调度方法、装置及电子设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant