CN112153027B - 仿冒行为识别方法、装置、设备及计算机可读存储介质 - Google Patents
仿冒行为识别方法、装置、设备及计算机可读存储介质 Download PDFInfo
- Publication number
- CN112153027B CN112153027B CN202010961317.7A CN202010961317A CN112153027B CN 112153027 B CN112153027 B CN 112153027B CN 202010961317 A CN202010961317 A CN 202010961317A CN 112153027 B CN112153027 B CN 112153027B
- Authority
- CN
- China
- Prior art keywords
- terminal
- access
- detection
- counterfeit
- port
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/32—Flooding
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Power Engineering (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供了一种仿冒行为识别方法,服务器根据各个接入设备上传的各个终端信息,确定出第一终端以及疑似仿冒第一终端的第二终端,若第一终端处于接入状态,则向第一终端和第二终端的接入设备下发链路探测指示;第一终端和第二终端通过在各自的接入端口发送探测报文进行链路探测,并将链路探测结果反馈给服务器;服务器若根据链路探测结果确定第一终端和第二终端的接入端口所处的链路不相通,则确定第二终端具有仿冒行为。通过本申请的服务器和接入设备一起在整网进行仿冒判断,提高了仿冒识别结果的识别率;通过链路探测,可以确定网络中是否存在环路,避免了将接入环路的终端误判为仿冒终端,提高了仿冒识别结果的准确性。
Description
技术领域
本申请涉及通信技术领域,特别涉及一种仿冒行为识别方法、装置、设备及计算机可读存储介质。
背景技术
在局域网内部,非法用户会通过伪造合法用户的媒体访问控制地址(MediaAccess Control Address,MAC)地址、网际互连协议(Internet Protocol,IP)地址的方式,隐藏身份或者接入安全准入网络,进行网络仿冒攻击。
在现有的仿冒行为识别方式中,网络设备是根据网络流量采集终端信息,对终端信息进行冲突检测,以识别仿冒终端。
但是,在网络环境中有环路的情况下,网络流量会在环路中大量泛洪,导致网络设备会从不同的入接口获取到相同的终端信息,从而将某些终端误判为有仿冒攻击行为,造成仿冒识别结果的准确性不够高;此外,网络设备只能检测终端是否和本网络设备其他终端之间有仿冒行为,不能在整网范围内做仿冒检测,导致仿冒识别结果的识别率不够高。
发明内容
有鉴于此,本申请提供了一种仿冒行为识别方法、装置、设备及计算机可读存储介质,能够提高仿冒行为识别结果的准确性和识别率。
具体地,本申请是通过如下技术方案实现的:
一种仿冒行为识别方法,包括:
服务器接收至少一个接入设备上传的各个终端信息;
服务器根据接收到的各个终端信息,确定出至少一组终端组合,所述终端组合包括第一终端和第二终端,所述第二终端是所述第一终端的疑似仿冒终端;
服务器若确定所述第一终端仍处于接入状态,则向所述第一终端和所述第二终端所接入的接入设备下发链路探测指示,其中,所述第一终端和所述第二终端所接入的接入设备在接收到所述链路探测指示后,通过在所述第一终端和所述第二终端各自的接入端口发送探测报文进行链路探测,并将链路探测结果反馈给服务器;
服务器若根据所述链路探测结果确定所述第一终端和所述第二终端的接入端口所处的链路不相通,则确定所述第二终端具有仿冒行为。
一种仿冒行为识别装置,所述装置应用于一种服务器,所述装置包括:
信息接收单元,用于接收至少一个接入设备上传的各个终端信息;
终端确定单元,用于根据接收到的各个终端信息,确定出至少一组终端组合,所述终端组合包括第一终端和第二终端,所述第二终端是所述第一终端的疑似仿冒终端;
指示下发单元,用于若确定所述第一终端仍处于接入状态,则向所述第一终端和所述第二终端所接入的接入设备下发链路探测指示,其中,所述第一终端和所述第二终端所接入的接入设备在接收到所述链路探测指示后,通过在所述第一终端和所述第二终端各自的接入端口发送探测报文进行链路探测,并将链路探测结果反馈给服务器;
仿冒确定单元,用于若根据所述链路探测结果确定所述第一终端和所述第二终端的接入端口所处的链路不相通,则确定所述第二终端具有仿冒行为。
一种电子设备,包括:处理器、存储器;
所述存储器,用于存储计算机程序;
所述处理器,用于通过调用所述计算机程序,执行上述仿冒行为识别方法。
一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述仿冒行为识别方法。
由以上本申请提供的技术方案可见,服务器接收至少一个接入设备上传的各个终端信息,根据接收到的各个终端信息,确定出第一终端和第二终端的组合,第二终端是第一终端的疑似仿冒终端,若确定第一终端仍处于接入状态,则向第一终端和第二终端的接入设备下发链路探测指示;第一终端和第二终端的接入设备在接收到链路探测指示后,通过在第一终端和第二终端各自的接入端口发送探测报文进行链路探测,并将链路探测结果反馈给服务器;服务器若根据链路探测结果确定第一终端和第二终端的接入端口所处的链路不相通,则确定第二终端具有仿冒行为。可见,本申请由服务器和各个接入设备一起在整网进行仿冒判断,提高了仿冒行为识别结果的识别率,此外,本申请通过链路探测,可以确定网络中是否存在环路,从而避免将接入环路的终端误判为仿冒终端,进而提高了仿冒行为识别结果的准确性。
附图说明
图1为本申请示出的一种网络架构示意图;
图2为本申请示出的一种仿冒行为识别方法的流程示意图;
图3为本申请示出的一种仿冒行为识别装置的组成示意图;
图4为本申请示出的一种电子设备的结构示意图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
在介绍本申请实施例之前,首先对本申请实施例涉及的技术术语进行介绍。
ARP:Address Resolution Protocol,地址解析协议;
VLAN:Virtual Local Area Network,虚拟局域网;
MAC:Media Access Control Address,直译为媒体访问控制地址,也称为局域网地址(LAN Address)、或以太网地址(Ethernet Address)、或物理地址(PhysicalAddress);
IP:Internet Protocol,网际互连协议,是TCP/IP体系中的网络层协议;
仿冒行为:非法用户通过伪造、使用合法用户的MAC地址、IP地址,进行网络攻击的行为;
接入设备:直接与终端相连,为终端提供网络转发业务的网络设备;
下行端口:接入设备上直接连接终端的端口;
上行端口:接入设备上连到管理平台的端口;
管理平台:管理所有接入设备的管理软件。
接下来,为便于理解本申请实施例,下面介绍一种应用场景示例。
参见图1,为本申请实施例示出的一种网络架构示意图。该网络架构包括服务器、网关设备、接入设备和终端设备,其中,服务器上部署有管理平台,网关设备分别与服务器、接入设备连接,终端设备与接入设备连接。需要说明的是,图1仅示例性的示出两个接入设备,即接入设备A和接入设备B,在实际应用中,可以有一个或多个接入设备;同样地,图1也仅示例性的示出两个终端设备,即终端A和终端B,在实际应用中,可以有一个或多个终端设备。
下面将结合图1对本申请实施例提供的仿冒行为识别方法进行介绍。
参见图2,为本申请实施例示出的一种仿冒行为识别方法的流程示意图,该方法的执行主体是服务器,该方法包括以下步骤S201-S204:
S201:服务器接收至少一个接入设备上传的各个终端信息。
如图1所示,服务器上的管理平台,可以发送位置报文给每一接入设备,接入设备接收到该位置报文后,从该位置报文中解析出管理平台的地址信息,并保存管理平台的地址信息。
在本实施例中,接入设备包括至少一个上行端口和至少一个下行端口,实际应用中,可以将收到位置报文的端口设定为上行端口,其他端口设定为下行端口,上行端口用于与服务器通信,下行端口用于与终端设备通信。
接入设备利用其下行端口采集终端信息;接入设备利用其上行端口上传终端信息至服务器,即,上传终端信息至服务器的管理平台,以便由管理平台对整网是否有仿冒行为进行判断。
对于每一个接入设备,该接入设备采集接入其端口的各个终端的终端信息,并将采集到的终端信息上传至服务器,特殊地,当该接入设备存在环路时,可以从该环路上的各个端口采集到同一终端设备的终端信息。
其中,终端信息可以包括对应终端的IP地址、MAC地址以及对应终端的接入端口。
例如,如图1所示,终端A的接入位置为接入设备A的端口1,则接入设备A采集到的一条终端信息包括:终端A的IP地址、MAC地址以及接入设备A的端口1;终端B的接入位置为接入设备B的端口3,则接入设备B采集到的一条终端信息包括:终端B的IP地址、MAC地址以及接入设备B的端口3。
此外,终端信息中还可以包括VLAN信息。
S202:服务器根据接收到的各个终端信息,确定出至少一组终端组合,其中,该终端组合包括第一终端和第二终端,第二终端是第一终端的疑似仿冒终端。
在本实施例中,服务器的管理平台可以根据接收到的各个终端信息,确定出一组或多组终端组合,每一终端组合中的两个终端被定义为第一终端和第二终端。
具体来讲,通过对收集的各个终端信息进行分析,当存在两个终端满足预设条件时,则将这两个终端中在前接入的终端定义为第一终端、将在后接入的终端定义为第二终端,只有在后出现的终端可以仿冒在前出现的终端,因此,第二终端是第一终端的疑似仿冒终端,即,第二终端的用户可能通过伪造第一终端的IP、MAC地址,以进行网络攻击行为。
可以理解的是,管理平台收集到的是终端信息,但不同终端信息可能对应同一终端,比如,图1所示的接入设备B存在环路的情况下,接入设备B可以在各个端口收集到终端B的终端信息,因此,第一终端和第二终端实际上可能是同一终端、也可能是不同的终端。
其中,上述预设条件可以是:第一终端和第二终端,具有相同IP、相同MAC、不同接入位置;或者,具有相同IP、不同MAC或不同接入位置;或者,具有相同MAC、不同IP、不同接入位置。
例如,如图1所示,服务器的管理平台,对终端A的终端信息1和终端B的终端信息2进行分析,若这两个终端信息满足上述预设条件中的“相同IP、相同MAC、不同接入位置”,则将终端信息1对应的终端A和终端信息2对应的终端B分别作为第一终端和第二终端。
又例如,当网络中出现环路时,比如图1中接入设备B出现环路,终端B的流量会泛洪到环路内,接入设备B会在其端口1、端口2、端口3上学习到终端B的终端信息,这里定义为终端信息1、终端信息2和终端信息3,服务器的管理平台对这三个终端信息进行分析,假设每两个终端信息满足上述预设条件中的“相同IP、相同MAC、不同接入位置”,因此,会将每两个终端信息对应的两个终端分别作为第一终端和第二终端,比如将终端信息1对应的终端B和终端信息2对应的终端B分别作为第一终端和第二终端,实际上,第一终端和第二终端均对应终端B,但管理平台并不知道这两个终端信息对应同一终端B,因此,需要通过后续步骤进行判断。
在本实施例中,由于服务器上的管理平台,收集了与服务器通信的所有接入设备上传的终端信息,当只有一个接入设备时,这些终端信息是该接入设备收集的接入其端口的各个终端的终端信息,因此,第一终端的接入端口与第二终端的接入端口属于同一接入设备;但是,当存在两个或两个以上的接入设备时,这些终端信息来自于不同的接入设备,因此,第一终端的接入端口与第二终端的接入端口属于同一接入设备或不同接入设备。
S203:服务器若确定第一终端仍处于接入状态,则向第一终端和第二终端所接入的接入设备下发链路探测指示。
需要说明的是,只有在前接入的第一终端和在后接入的第二终端同时处于接入状态(即第一终端和第二终端与相同或不同的接入设备处于连接状态)时,第二终端才可能具有仿冒行为,因此,服务器的管理平台需要确定第一终端是否仍处于接入状态。
如果第一终端未处于接入状态,则表示第二终端不具有仿冒行为;反之,如果第一终端处于接入状态,则需要通过后续步骤继续对第二终端是否具有仿冒行为进行判断。
在本实施例的一种实现方式中,可以按照下述方式确定第一终端仍处于接入状态,具体包括以下步骤A-B:
步骤A:服务器向第一终端的接入设备发送终端探测指示。
服务器的管理平台可以向第一终端的接入设备下发终端探测指示,第一终端的接入设备在接收到该终端探测指示后,可以向第一终端发送ARP探测报文,若该接入设备检测到第一终端对该ARP探测报文的回应,则向服务器反馈第一终端仍处于接入状态的终端探测结果;反之,若该接入设备没有检测到第一终端对该ARP探测报文的回应,则向服务器反馈第一终端未处于接入状态的终端探测结果。
步骤B:服务器接收第一终端的接入设备上传的终端探测结果。
第一终端的接入设备,可以向服务器的管理平台回复终端探测结果,该终端探测结果中携带了“第一终端仍处于接入状态”的消息、或携带了“第一终端未处于接入状态”的消息。
进一步地,在管理平台确定第一终端仍处于接入状态时,向第一终端和第二终端所接入的接入设备下发链路探测指示。可以理解的是,当第一终端和第二终端所接入的接入设备是同一接入设备时,则仅向该接入设备下发链路探测指示即可,但是,当第一终端和第二终端所接入的接入设备是不同的两个接入设备时,则需要向这两个接入设备分别下发链路探测指示。
当第一终端和第二终端所接入的接入设备在接收到链路探测指示后,通过在第一终端和第二终端各自的接入端口发送探测报文进行链路探测,并将链路探测结果反馈给服务器。
具体来讲,链路探测指示是指检测“第一终端的接入端口与第二终端的接入端口的链路是否相通”的指示。当第一终端和第二终端的接入设备在接收到链路探测指示后,第一终端的接入设备会在第一终端的接入端口发送探测报文1,假设第一终端是图1所示的终端B、且第一终端的接入位置为接入设备B的端口3,则接入设备B会从端口3中发送探测报文1;同样的,第二终端的接入设备会在第二终端的接入端口发送探测报文2,假设第二终端是图1所示的终端B、且第二终端的接入位置为接入设备B的端口1,则接入设备B会从端口1发送探测报文2。
在本实施例中,关于管理平台下发给第一终端的接入设备的链路探测指示,其中可以携带一些信息,具体地,携带了探测关键值(key值)、第一终端的标记信息(flag值)中的至少一项;类似地,关于管理平台下发给第二终端的接入设备的链路探测指示,其中可以携带一些信息,具体地,携带了探测关键值(key值)、第二终端的标记信息(flag值)中的至少一项。进一步地,链路探测指示中还可以包括对应终端的终端信息。
其中,探测关键值(key值)可以是64位无符号整数,其高32位可以表示管理平台的仿冒判断时间(时分秒),其低32位表示管理平台在该相同时间内发生的仿冒判断次数。例如,仿冒判断时间可以是步骤S202的时间。
其中,第一终端的标记信息和第二终端的标记信息通常不同,比如,第一终端的标记信息为0,第二终端的标记信息为1。
在本实施例中,关于第一终端所接入的接入设备(通过第一终端的接入端口)发送的探测报文1可以包括:探测关键值、第一终端的标记信息;关于第二终端所接入的接入设备(通过第二终端的接入端口)发送的探测报文2可以包括:探测关键值、第二终端的标记信息。进一步地,这两个探测报文中还可以包括接入设备所属的VLAN。
例如,以从接入设备B的端口1和端口3收集到的终端B的两个终端信息为例,假设从端口3收集的终端信息对应的终端B为第一终端、从端口1收集的终端信息对应的终端B为第二终端,当接入设备B接收到管理平台下发的链路探测指示后,接入设备B从端口3发送探测报文1,接入设备B从端口1发送探测报文2。
从接入设备B的端口1发送探测报文2(比如key、flag=1、所属VLAN),探测报文2经过泛洪、环路,又会转发回接入设备B,即,接入设备B可以接收到从自己的端口1发出的探测报文2,这里,将该条链路记为“key,flag 1->1”,且该条链路通;此外,端口3也在探测报文2的流通路径上,这里,将该条链路记为“key,flag 1->0”,且该条链路通。
同样地,从接入设备B的端口3发送探测报文1(比如key、flag=0、所属VLAN),但探测报文1不会转发回接入设备B,这里,将该条链路记为“key,flag 0->0”,且该条链路不通;此外,端口1不在探测报文1流通路径上,这里,将该条链路记为“key,flag 0->1”,且该条链路不通。
接入设备B将链路探测结果,即“key,flag 1->0、key,flag 1->1这两条链路通”,以及“key,flag 0->0、key,flag 0->1这两条链路不通”,发送给服务器的管理平台。
需要说明的是,通过网络设置,两个或两个以上的接入设备之间也可以存在链路相通的情况。
S204:服务器若根据链路探测结果确定第一终端和第二终端的接入端口所处的链路不相通,则确定第二终端具有仿冒行为。
服务器的管理平台接收到第一终端和第二终端的接入设备上传的链路探测结果后,可以基于该探测结果,确定第一终端和第二终端的接入端口所处的链路是否相通,若是,则确定第二终端不具有仿冒行为,若否,则确定第二终端具有仿冒行为。
在本申请实施例的一种实现方式中,S204具体可以包括:服务器若根据链路探测结果未得到第一探测结果和/或第二探测结果,则确定第二终端具有仿冒行为;反之,服务器若根据链路探测结果得到第一探测结果和/或第二探测结果,则确定第二终端不具有仿冒行为。
其中,第一探测结果为从第一终端的接入端口发出的探测报文被第二终端的接入设备所接收、且第二终端的接入端口在该探测报文的传输链路上;第二探测结果为从第二终端的接入端口发出的探测报文被第一终端的接入设备所接收、且第一终端的接入端口在该探测报文的传输链路上。
例如,基于S203中的例子,第一终端和第二终端的接入设备均为接入设备B,当接入设备B将链路探测结果,即“key,flag 1->0、key,flag 1->1这两条链路通”,以及“key,flag 0->0、key,flag 0->1这两条链路不通”,发送给服务器的管理平台后,管理平台判断flag 0->1(即第一探测结果)或者flag1->0(即第二探测结果)中至少有一条链路通时,则判断接入设备B存在环路,从而不认为第二终端具有仿冒行为,反之则判断接入设备B不存在环路,从而认为第二终端具有仿冒行为。
当管理平台判断第二终端为仿冒终端时,即,第一终端和第二终端不是同一终端,可以发出告警,以便对第二终端进行处理;当管理平台判断第二终端不是仿冒终端时,即,第一终端和第二终端是同一终端,可以删除第一终端的终端信息,记录第二终端的终端信息,即,记录该同一终端的新的终端信息即可。
由以上本申请提供的仿冒行为识别方法可见,服务器接收至少一个接入设备上传的各个终端信息,根据接收到的各个终端信息,确定出第一终端和第二终端的组合,第二终端是第一终端的疑似仿冒终端,若确定第一终端仍处于接入状态,则向第一终端和第二终端的接入设备下发链路探测指示;第一终端和第二终端的接入设备在接收到链路探测指示后,通过在第一终端和第二终端各自的接入端口发送探测报文进行链路探测,并将链路探测结果反馈给服务器;服务器若根据链路探测结果确定第一终端和第二终端的接入端口所处的链路不相通,则确定第二终端具有仿冒行为。可见,本申请由服务器和各个接入设备一起在整网进行仿冒判断,提高了仿冒行为识别结果的识别率,此外,本申请通过链路探测,可以确定网络中是否存在环路,从而避免将接入环路的终端误判为仿冒终端,进而提高了仿冒行为识别结果的准确性。
参见图3,为本申请实施例示出的一种仿冒行为识别装置的组成示意图,该装置应用于一种服务器,该装置包括:
信息接收单元310,用于接收至少一个接入设备上传的各个终端信息;
终端确定单元320,用于根据接收到的各个终端信息,确定出至少一组终端组合,所述终端组合包括第一终端和第二终端,所述第二终端是所述第一终端的疑似仿冒终端;
指示下发单元330,用于若确定所述第一终端仍处于接入状态,则向所述第一终端和所述第二终端所接入的接入设备下发链路探测指示,其中,所述第一终端和所述第二终端所接入的接入设备在接收到所述链路探测指示后,通过在所述第一终端和所述第二终端各自的接入端口发送探测报文进行链路探测,并将链路探测结果反馈给服务器;
仿冒确定单元340,用于若根据所述链路探测结果确定所述第一终端和所述第二终端的接入端口所处的链路不相通,则确定所述第二终端具有仿冒行为。
在本实施例中,所述接入设备包括至少一个上行端口和至少一个下行端口;所述接入设备利用所述下行端口采集终端信息,所述接入设备利用所述上行端口上传终端信息。
在本实施例中,所述第一终端和所述第二终端,具有相同IP、相同MAC、不同接入位置;或者,具有相同IP、不同MAC或不同接入位置;或者,具有相同MAC、不同IP、不同接入位置。
在本实施例中,所述指示下发单元330,具体用于:
向所述第一终端的接入设备发送终端探测指示;
其中,所述第一终端的接入设备,用于在接收到所述终端探测指示后,向所述第一终端发送ARP探测报文,若检测到所述第一终端对所述ARP探测报文的回应,则向服务器反馈所述第一终端仍处于接入状态的终端探测结果。
接收所述第一终端的接入设备上传的终端探测结果。
在本实施例中,所述第一终端所接入的接入设备发送的探测报文包括:探测关键值、所述第一终端的标记信息;所述第二终端所接入的接入设备发送的探测报文包括:探测关键值、所述第二终端的标记信息。
在本实施例中,所述仿冒确定单元340,具体用于:
若根据所述链路探测结果未得到第一探测结果和/或第二探测结果,则确定所述第二终端具有仿冒行为;
其中,所述第一探测结果为从所述第一终端的接入端口发出的探测报文被所述第二终端的接入设备所接收、且所述第二终端的接入端口在该探测报文的传输链路上;所述第二探测结果为从所述第二终端的接入端口发出的探测报文被所述第一终端的接入设备所接收、且所述第一终端的接入端口在该探测报文的传输链路上。
在本实施例中,所述第一终端的接入端口与所述第二终端的接入端口属于同一接入设备或不同接入设备。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
本申请实施例还提供了一种电子设备,该电子设备的结构示意图如图4所示,该电子设备4000包括至少一个处理器4001、存储器4002和总线4003,至少一个处理器4001均与存储器4002电连接;存储器4002被配置用于存储有至少一个计算机可执行指令,处理器4001被配置用于执行该至少一个计算机可执行指令,从而执行如本申请中任意一个实施例或任意一种可选实施方式提供的任意一种仿冒行为识别方法的步骤。
进一步,处理器4001可以是FPGA(Field-Programmable Gate Array,现场可编程门阵列)或者其它具有逻辑处理能力的器件,如MCU(Microcontroller Unit,微控制单元)、CPU(Central Process Unit,中央处理器)。
应用本申请实施例,由服务器和各个接入设备一起在整网进行仿冒判断,提高了仿冒行为识别结果的识别率,此外,通过链路探测,可以确定网络中是否存在环路,从而避免将接入环路的终端误判为仿冒终端,进而提高了仿冒行为识别结果的准确性。
本申请实施例还提供了另一种计算机可读存储介质,存储有计算机程序,该计算机程序用于被处理器执行时实现本申请中任意一个实施例或任意一种可选实施方式提供的任意一种仿冒行为识别方法的步骤。
本申请实施例提供的计算机可读存储介质包括但不限于任何类型的盘(包括软盘、硬盘、光盘、CD-ROM、和磁光盘)、ROM(Read-Only Memory,只读存储器)、RAM(RandomAccess Memory,随即存储器)、EPROM(Erasable Programmable Read-Only Memory,可擦写可编程只读存储器)、EEPROM(Electrically Erasable Programmable Read-Only Memory,电可擦可编程只读存储器)、闪存、磁性卡片或光线卡片。也就是,可读存储介质包括由设备(例如,计算机)以能够读的形式存储或传输信息的任何介质。
应用本申请实施例,由服务器和各个接入设备一起在整网进行仿冒判断,提高了仿冒行为识别结果的识别率,此外,通过链路探测,可以确定网络中是否存在环路,从而避免将接入环路的终端误判为仿冒终端,进而提高了仿冒行为识别结果的准确性。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (9)
1.一种仿冒行为识别方法,其特征在于,包括:
服务器接收至少一个接入设备上传的各个终端信息;
服务器根据接收到的各个终端信息,确定出至少一组终端组合,所述终端组合包括第一终端和第二终端,所述第二终端是所述第一终端的疑似仿冒终端;
服务器若确定所述第一终端仍处于接入状态,则向所述第一终端和所述第二终端所接入的接入设备下发链路探测指示,其中,所述第一终端和所述第二终端所接入的接入设备在接收到所述链路探测指示后,通过在所述第一终端和所述第二终端各自的接入端口发送探测报文进行链路探测,并将链路探测结果反馈给服务器;
服务器若根据所述链路探测结果未得到第一探测结果和/或第二探测结果,则确定所述第二终端具有仿冒行为;
其中,所述第一探测结果为从所述第一终端的接入端口发出的探测报文被所述第二终端的接入设备所接收、且所述第二终端的接入端口在该探测报文的传输链路上;所述第二探测结果为从所述第二终端的接入端口发出的探测报文被所述第一终端的接入设备所接收、且所述第一终端的接入端口在该探测报文的传输链路上。
2.根据权利要求1所述的方法,其特征在于,所述接入设备包括至少一个上行端口和至少一个下行端口;所述接入设备利用所述下行端口采集终端信息,所述接入设备利用所述上行端口上传终端信息。
3.根据权利要求1所述的方法,其特征在于,所述第一终端和所述第二终端,具有相同IP、相同MAC、不同接入位置;或者,具有相同IP、不同MAC或不同接入位置;或者,具有相同MAC、不同IP、不同接入位置。
4.根据权利要求1所述的方法,其特征在于,所述确定所述第一终端仍处于接入状态,包括:
向所述第一终端的接入设备发送终端探测指示;
其中,所述第一终端的接入设备,用于在接收到所述终端探测指示后,向所述第一终端发送ARP探测报文,若检测到所述第一终端对所述ARP探测报文的回应,则向服务器反馈所述第一终端仍处于接入状态的终端探测结果;
接收所述第一终端的接入设备上传的终端探测结果。
5.根据权利要求1所述的方法,其特征在于,
所述第一终端所接入的接入设备发送的探测报文包括:探测关键值、所述第一终端的标记信息;
所述第二终端所接入的接入设备发送的探测报文包括:探测关键值、所述第二终端的标记信息。
6.根据权利要求1-5任一项所述的方法,其特征在于,所述第一终端的接入端口与所述第二终端的接入端口属于同一接入设备或不同接入设备。
7.一种仿冒行为识别装置,其特征在于,所述装置应用于一种服务器,所述装置包括:
信息接收单元,用于接收至少一个接入设备上传的各个终端信息;
终端确定单元,用于根据接收到的各个终端信息,确定出至少一组终端组合,所述终端组合包括第一终端和第二终端,所述第二终端是所述第一终端的疑似仿冒终端;
指示下发单元,用于若确定所述第一终端仍处于接入状态,则向所述第一终端和所述第二终端所接入的接入设备下发链路探测指示,其中,所述第一终端和所述第二终端所接入的接入设备在接收到所述链路探测指示后,通过在所述第一终端和所述第二终端各自的接入端口发送探测报文进行链路探测,并将链路探测结果反馈给服务器;
仿冒确定单元,用于若根据所述链路探测结果未得到第一探测结果和/或第二探测结果若根据所述链路探测结果确定所述第一终端和所述第二终端的接入端口所处的链路不相通,则确定所述第二终端具有仿冒行为;
其中,所述第一探测结果为从所述第一终端的接入端口发出的探测报文被所述第二终端的接入设备所接收、且所述第二终端的接入端口在该探测报文的传输链路上;所述第二探测结果为从所述第二终端的接入端口发出的探测报文被所述第一终端的接入设备所接收、且所述第一终端的接入端口在该探测报文的传输链路上。
8.一种电子设备,其特征在于,包括:处理器、存储器;
所述存储器,用于存储计算机程序;
所述处理器,用于通过调用所述计算机程序,执行如权利要求1-6中任一项所述的仿冒行为识别方法。
9.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现权利要求1-6任一项所述的仿冒行为识别 方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010961317.7A CN112153027B (zh) | 2020-09-14 | 2020-09-14 | 仿冒行为识别方法、装置、设备及计算机可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010961317.7A CN112153027B (zh) | 2020-09-14 | 2020-09-14 | 仿冒行为识别方法、装置、设备及计算机可读存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112153027A CN112153027A (zh) | 2020-12-29 |
| CN112153027B true CN112153027B (zh) | 2022-11-25 |
Family
ID=73892232
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010961317.7A Active CN112153027B (zh) | 2020-09-14 | 2020-09-14 | 仿冒行为识别方法、装置、设备及计算机可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112153027B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117061244B (zh) * | 2023-10-10 | 2024-01-30 | 杭州海康威视数字技术股份有限公司 | 基于主动扫描的视频网资产管理方法、装置及设备 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1553648A (zh) * | 2003-06-04 | 2004-12-08 | 华为技术有限公司 | 用于检测及处理仿冒网络服务的方法 |
| CN1878056A (zh) * | 2006-07-13 | 2006-12-13 | 杭州华为三康技术有限公司 | 局域网中确定是否存在仿冒的网络设备的方法 |
| CN101567883A (zh) * | 2005-04-25 | 2009-10-28 | 华为技术有限公司 | 防止mac地址仿冒的实现方法 |
| CN101577645A (zh) * | 2009-06-12 | 2009-11-11 | 北京星网锐捷网络技术有限公司 | 检测仿冒网络设备的方法和装置 |
| WO2010041788A1 (en) * | 2008-10-10 | 2010-04-15 | Plustech Inc. | A method for neutralizing the arp spoofing attack by using counterfeit mac addresses |
| CN101867578A (zh) * | 2010-05-27 | 2010-10-20 | 北京星网锐捷网络技术有限公司 | 检测仿冒网络设备的方法和装置 |
| CN104065630A (zh) * | 2013-03-22 | 2014-09-24 | 清华大学 | 一种面向IPv6网络的假冒源地址报文探测方法 |
| CN109067784A (zh) * | 2018-09-19 | 2018-12-21 | 迈普通信技术股份有限公司 | 一种vxlan中防欺骗的方法和设备 |
-
2020
- 2020-09-14 CN CN202010961317.7A patent/CN112153027B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1553648A (zh) * | 2003-06-04 | 2004-12-08 | 华为技术有限公司 | 用于检测及处理仿冒网络服务的方法 |
| CN101567883A (zh) * | 2005-04-25 | 2009-10-28 | 华为技术有限公司 | 防止mac地址仿冒的实现方法 |
| CN1878056A (zh) * | 2006-07-13 | 2006-12-13 | 杭州华为三康技术有限公司 | 局域网中确定是否存在仿冒的网络设备的方法 |
| WO2010041788A1 (en) * | 2008-10-10 | 2010-04-15 | Plustech Inc. | A method for neutralizing the arp spoofing attack by using counterfeit mac addresses |
| CN101577645A (zh) * | 2009-06-12 | 2009-11-11 | 北京星网锐捷网络技术有限公司 | 检测仿冒网络设备的方法和装置 |
| CN101867578A (zh) * | 2010-05-27 | 2010-10-20 | 北京星网锐捷网络技术有限公司 | 检测仿冒网络设备的方法和装置 |
| CN104065630A (zh) * | 2013-03-22 | 2014-09-24 | 清华大学 | 一种面向IPv6网络的假冒源地址报文探测方法 |
| CN109067784A (zh) * | 2018-09-19 | 2018-12-21 | 迈普通信技术股份有限公司 | 一种vxlan中防欺骗的方法和设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112153027A (zh) | 2020-12-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110445770B (zh) | 网络攻击源定位及防护方法、电子设备及计算机存储介质 | |
| CN108521408B (zh) | 抵抗网络攻击方法、装置、计算机设备及存储介质 | |
| US8200798B2 (en) | Address security in a routed access network | |
| CN111130931B (zh) | 一种违规外联设备的检测方法及装置 | |
| CN105897947B (zh) | 移动终端的网络访问方法和装置 | |
| CN110768999B (zh) | 一种设备非法外联的检测方法及装置 | |
| CN107634964B (zh) | 一种针对waf的测试方法及装置 | |
| CN107395632B (zh) | SYN Flood防护方法、装置、清洗设备及介质 | |
| CN101902349B (zh) | 一种检测端口扫描行为的方法和系统 | |
| CN112468364B (zh) | Cip资产的探测方法、装置、计算机设备及可读存储介质 | |
| CN107370636B (zh) | 链路状态确定方法和装置 | |
| CN105577669B (zh) | 一种识别虚假源攻击的方法及装置 | |
| CN108173813A (zh) | 漏洞检测方法及装置 | |
| CN110213254A (zh) | 一种识别伪造互联网协议ip报文的方法和设备 | |
| CN112153027B (zh) | 仿冒行为识别方法、装置、设备及计算机可读存储介质 | |
| CN101888296B (zh) | 一种影子用户检测方法、装置、设备和系统 | |
| RU2307392C1 (ru) | Способ (варианты) защиты вычислительных сетей | |
| CN113225342A (zh) | 一种通信异常检测方法、装置、电子设备及存储介质 | |
| CN114584352B (zh) | 多网络互联的网络违规外联检测方法、装置及系统 | |
| KR100772177B1 (ko) | 보안 기능 시험을 위한 침입 탐지 이벤트 생성 방법 및장치 | |
| RU2531878C1 (ru) | Способ обнаружения компьютерных атак в информационно-телекоммуникационной сети | |
| KR101488271B1 (ko) | Ids 오탐 검출 장치 및 방법 | |
| RU2622788C1 (ru) | Способ защиты информационно-вычислительных сетей от компьютерных атак | |
| CN115603939A (zh) | 基于长短期记忆和注意力模型的分布式拒绝服务攻击检测方法 | |
| CN108076068B (zh) | 一种防攻击方法以及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |