CN112333061A - 一种共享上网检测方法及装置 - Google Patents
一种共享上网检测方法及装置 Download PDFInfo
- Publication number
- CN112333061A CN112333061A CN202011147479.3A CN202011147479A CN112333061A CN 112333061 A CN112333061 A CN 112333061A CN 202011147479 A CN202011147479 A CN 202011147479A CN 112333061 A CN112333061 A CN 112333061A
- Authority
- CN
- China
- Prior art keywords
- ipid value
- address
- track information
- ipid
- value
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/2803—Home automation networks
- H04L12/2823—Reporting information sensed by appliance or service execution status of appliance services in a home automation network
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Automation & Control Theory (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供了一种共享上网检测方法及装置,该方法包括:接收网络报文,从网络报文中提取源IP地址和IPID值;根据当前记录的IP地址与IP轨迹信息之间的对应关系,判断对应关系中是否存在源IP地址与IP轨迹信息之间的对应关系;若存在,则根据源IP地址对应的IP轨迹信息中的IPID值,判断携带的IPID值是否为异常IPID值;若不为异常IPID值,则利用携带的IPID值更新源IP地址对应的IP轨迹信息中包括与携带的IPID值相近的IPID值的IP轨迹信息,更新包括与携带的IPID值相近的IPID值的IP轨迹信息对应的网络报文数量;确定源IP地址的各个IP轨迹信息分别对应的网络报文数量;当存在至少两个网络报文数量超过设定报文数量时,则确定待检测网络被共享。由此提高了检测结果的准确度。
Description
技术领域
本申请涉及计算机通信技术领域,尤其涉及一种共享上网检测方法及装置。
背景技术
随着互联网技术的发展,接入网络的计算机数量不断增长,IPv4地址资源越来越显的捉襟见肘,网络地址转换(Network Address Translation,NAT)技术和代理技术的出现很好的解决了IPV4地址短缺的问题。但是,NAT和代理解决这些问题的同时,也带来了新的问题。对企业而言,不能访问某些网络区域的用户,通过共享上网的方式就能获取访问权限,给企业的管理带来很大麻烦,也带来了很大的安全风险。对网络运营商而言,也带来了账号的计费等问题。为了解决这些问题以及更有效的管理网络环境,急需一种能够对共享上网进行检测的方法,以应对这些风险和问题。
现有的共享上网的检测方法主要为检测应用的方式,当以应用的方式检测共享上网,被动地依赖于用户是否使用检测的应用,且准确度和赋给应用的权重有很大关系,导致应用检测这种方法存在很大的误判概率,而且无法给网络管理者提供精细化数据。
因此,如何对共享上网进行检测,以提升检测结果的准确度是值得考虑的技术问题之一。
发明内容
有鉴于此,本申请提供一种共享上网检测方法及装置,用以提高检测结果的准确性。
具体地,本申请是通过如下技术方案实现的:
根据本申请的第一方面,提供一种共享上网检测方法,包括:
接收接入待检测网络的设备发送的网络报文,并从所述网络报文中提取源互联网协议IP地址和互联网协议标识IPID值;
根据当前记录的IP地址与IP轨迹信息之间的对应关系,判断所述对应关系中是否存在所述网络报文中源IP地址与IP轨迹信息之间的对应关系,其中,每个IP地址的IP轨迹信息为基于所述待检测网络接收到的携带该IP地址的网络报文的IPID值确定出的;
若判断所述对应关系中存在源IP地址与IP轨迹信息之间的对应关系,则根据所述源IP地址对应的IP轨迹信息中的IPID值,判断所述网络报文携带的IPID值是否为异常IPID值;
若不为异常IPID值,则利用所述网络报文携带的IPID值更新所述源IP地址对应的IP轨迹信息中包括与所述携带的IPID值相近的IPID值的IP轨迹信息,并更新所述包括与所述携带的IPID值相近的IPID值的IP轨迹信息对应的网络报文数量;
确定所述源IP地址的各个IP轨迹信息分别对应的网络报文数量;
当存在至少两个IP轨迹信息的网络报文数量超过设定报文数量时,则确定所述待检测网络被共享。
根据本申请的第二方面,提供一种共享上网检测装置,包括:
接收模块,用于接收接入待检测网络的设备发送的网络报文,并从所述网络报文中提取源互联网协议IP地址和互联网协议标识IPID值;
第一判断模块,用于根据当前记录的IP地址与IP轨迹信息之间的对应关系,判断所述对应关系中是否存在所述网络报文中源IP地址对应的IP轨迹信息,其中,每个IP地址的IP轨迹信息为基于所述待检测网络接收到的携带该IP地址的网络报文的IPID值确定出的;
第二判断模块,用于若所述第一判断模块判断所述对应关系中存在所述源IP地址对应的IP轨迹信息,则根据所述源IP地址对应的IP轨迹信息中的IPID值,判断所述网络报文携带的IPID值是否为异常IPID值;
更新模块,用于若所述第二判断模块判断所述网络报文携带的IPID值不为异常IPID值,则利用所述网络报文携带的IPID值更新所述源IP地址对应的IP轨迹信息中包括与所述携带的IPID值相近的IPID值的IP轨迹信息,并更新所述包括与所述携带的IPID值相近的IPID值的IP轨迹信息对应的网络报文数量;
第一确定模块,用于确定所述源IP地址的各个IP轨迹信息分别对应的网络报文数量;
第二确定模块,用于当存在至少两个IP轨迹信息的网络报文数量超过设定报文数量时,则确定所述待检测网络被共享。
根据本申请的第三方面,提供一种检测设备,包括处理器和机器可读存储介质,机器可读存储介质存储有能够被处理器执行的计算机程序,处理器被计算机程序促使执行本申请实施例第一方面所提供的方法。
根据本申请的第四方面,提供一种机器可读存储介质,机器可读存储介质存储有计算机程序,在被处理器调用和执行时,计算机程序促使处理器执行本申请实施例第一方面所提供的方法。
本申请实施例的有益效果:
通过实施本申请提供的共享上网检测方法,不仅可以准确地判断待检测网络是否被共享,而且还可以基于各个IP轨迹信息的网络报文数量中超过设定报文数量的IP轨迹信息确认基于源IP地址访问待检测网络时当前存在的共享主机的数量,提供了共享上网检测结果的准确性。
附图说明
图1是本申请实施例提供的一种网络报文格式的示意图;
图2是本申请实施例提供的一种共享上网检测方法的流程图;
图3是本申请实施例提供的IP轨迹信息的逻辑示意图;
图4是本申请实施例提供的另一种共享上网检测方法的流程图;
图5是本申请实施例提供的再一种共享上网检测方法的流程图;
图6是本申请实施例提供的一种共享上网检测装置的框图;
图7是本申请实施例提供的一种检测设备的框图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相对应的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
在介绍本申请提供的共享上网检测方法之前,先对本申请涉及的技术术语进行介绍:
互联网协议标识(Internet Protocol Header Identification,IPID),为IP网络报文中的标识部分,请参考图1,为网络报文格式的一种示意图。一般而言,在基于互联网协议地址(Internet Protocol,IP)发送的网络报文中包括但不限于图1中所示版本、首部长度、区分服务、总长度等报文信息。在图1所示的网络报文格式中,标识所在的位置携带的是IPID值,该IPID值由16位二进制数表示,用来唯一标识一个网络报文,而且IPID值的取值范围为[0,0xFFFF]。
共享上网,把一个上网权限通过代理方式共享给多用户。
下面对本申请提供的共享上网检测方法进行详细地说明。
参见图2,图2是本申请提供的一种共享上网检测方法的流程图,该方法可包括如下所示步骤:
S201、接收接入待检测网络的设备发送的网络报文。
本实施例提供的共享设备检测方法可以应用到检测设备中,当设备(如主机)接入待检测网络后,会通过待检测网络发送网络报文,而检测设备为了能够准确地判断待检测网络是否存在共享上网行为,则会捕获即接收主机基于待检测网络发送的网络报文。
S202、从网络报文中提取源IP地址和IPID值。
本步骤中,检测设备会基于图1所示的报文格式,从网络报文中解析出源IP地址和IPID值,即,图1中标识所在位置的取值。
S203、根据当前记录的IP地址与IP轨迹信息之间的对应关系,判断所述对应关系中是否存在所述网络报文中源IP地址与IP轨迹信息之间的对应关系,若存在,则执行步骤S204;若不存在,则执行步骤S209。
其中,每个IP地址的IP轨迹信息为基于所述待检测网络接收到的携带该IP地址的网络报文的IPID值确定出的。
具体地,在Windows系统中,同一个设备(例如主机等终端设备)在其接入的网络(记为待检测网络)中连续发出网络报文时,各个网络报文携带的IPID是连续变化且呈递增趋势的,根据这个规律,在特定的检测时段内,如果检测到一个IP地址下,会统计该IP地址下收到的网络报文的IPID值,然后针对统计到的IPID值生成一个IP轨迹信息并进行记录。当多个主机接入待检测网络,即待检测网络被共享时,不同的主机发送的网络报文的IPID值会对应不同的IPID范围段,也即生成的IP轨迹信息会不相同,例如,参考图3所示,某源IP地址下存在4个IP轨迹信息,则表示该待检测网络中可能存在4个主机,但为了更好地确认待检测网络是否被4个主机共享,还需要统计每个IP轨迹信息下收到的网络报文的网络报文数量,然后根据网络报文数量来确认待检测网络被共享的主机的数量,后续详细介绍之。
在此基础上,当从网络报文中提取出源IP地址和IPID值后,则可以基于实施统计并记录的IP地址与IP轨迹信息之间的对应关系,判断是否存在提取的源IP地址与IP轨迹信息之间的对应关系,若实时记录的对应关系中包括该源IP地址与IP轨迹信息之间的对应关系,则表明之前接收到过利用该源IP地址发送的网络报文,则需要进一步执行步骤S204的判断过程,以进一步识别该待检测网络是否被共享,也即网络报文的发送方是否为共享上网用户。而当记录的对应关系中不包括该源IP地址与IP轨迹信息之间的对应关系,则表明之前未收到利用该源IP地址发送的网络报文,则此时可以记录该源IP地址,也即执行步骤S209。
具体地,本申请记录的IP地址与IP轨迹信息之间的对应关系是以hash表的形式存储的,IP地址为hash表的关键词key,然后以每个IP地址为key在hash表中创建一个节点,该节点下记录该IP地址对应的各个IP轨迹信息,为了区别各个IP轨迹信息,可以为每个IP轨迹信息生成唯一的轨迹标识HNi。例如,用HN1用于标识IP地址的第一条IP轨迹信息,HNi用于标识IP地址的第i条轨迹信息,用HNj用于标识IP地址的第j条轨迹信息等等。在此基础上,在从网络报文提取出源IP地址时,可以将该源IP地址作为key查询hash表,若查询到,则确认hash表中记录了该源IP地址与IP轨迹信息的对应关系;若未查询到,则确认hash表中未记录该源IP地址与IP轨迹信息的对应关系。
S204、根据所述源IP地址对应的IP轨迹信息中的IPID值,判断所述网络报文携带的IPID值是否为异常IPID值;若不为异常IPID值,则执行步骤S205;若为异常IPID值,则执行步骤S210。
本步骤中所提的异常IPID值是指待检测网络因网络因素导致同一设备发出网络报文的顺序和检测设备接收到的网络报文的顺序可能会不完全一致,也即存在有些网络报文优先发送但后到达检测设备的情况,也即网络报文乱序,此时的网络报文可以称作乱序报文,而乱序报文的IPID值可以理解为异常IPID值;此外,主机发送的网络报文到达检测设备时,到达检测设备的网络报文的IPID值可能存在不是逐个递增的情况,中间会因损耗发生跳变现象,基于此类网络报文的IPID值也可以理解为异常IPID值。当然还可以存在其他因素导致IPID值异常,本实施例此处不再一一列举。
基于上述异常因素,可以采用对应的IPID值异常检测方法来识别,从而可以判断出网络报文的IPID值是否为异常IPID值。
S205、利用所述网络报文携带的IPID值更新所述源IP地址对应的IP轨迹信息中包括与所述携带的IPID值相近的IPID值的IP轨迹信息,并更新所述包括与所述携带的IPID值相近的IPID值的IP轨迹信息对应的网络报文数量。
本步骤中,当步骤S204判断网络报文携带的IPID值不为异常IPID值时,则表明网络报文携带的IPID值可能属于源IP地址对应的一条IP轨迹信息,当确认属于一条IP轨迹信息时,则需要对该IP轨迹信息进行更新。而携带的IPID值可能属于的IP轨迹信息应该是离该IPID值相近的IPID值所属的IP轨迹信息,存在两种可能,一条IP轨迹是大于该IPID值的值所属的IP轨迹信息,另一条IP轨迹信息是小于该IPID值的值所属的IP轨迹信息,则可以从中选出一条离该IPID值最接近的值所属的IP轨迹信息进行更新处理,同时统计更新的IP轨迹信息对应的收到的网络报文的网络报文数量。
S206、确定所述源IP地址的各个IP轨迹信息分别对应的网络报文数量。
本步骤中,可以统计该源IP地址对应的各个IP轨迹信息分别对应的网络报文数量。
S207、判断是否存在至少两个IP轨迹信息的网络报文数量超过设定报文数量;若是,则执行步骤S208;若否,则执行步骤S211。
本步骤中,为了提高共享上网检测结果的准确性,只有基于一条IP轨迹信息统计的网络报文的网络报文数量超过设定报文数量TrailPointLimit时,才会认定该IP轨迹信息对应一个主机(设备),基于此原理,可以确认利用该源IP地址访问待检测网络时,该源IP地址的所有IP轨迹信息中是否存在至少两个IP轨迹信息的网络报文数量超过设定数量,当存在时,则表明存在至少两个主机利用该源IP地址访问待检测网络,即执行步骤S208,确认该待检测网络被共享,也即该待检测网络存在共享上网行为,进一步地,确认使用该源IP地址访问待检测网络的主机为共享上网主机。反之,当步骤S207判断为否时,则表明仅存在一个主机使用该源IP地址访问待检测网络,因此则可以确认该设备不存在共享上网行为。
此外,当确认存在至少两个IP轨迹信息对应的网络报文数量超过设定报文数量时,还可以进一步确定网络报文数量超过设定报文数量的IP轨迹信息的数量,基于确定出的IP轨迹信息的数量可以准确地确认共享该源IP地址的主机的数量。
可选地,上述设定报文数量TrailPointLimit可以但不限于为1500等等。
S208、确定所述待检测网络被共享。
S209、基于所述网络报文携带的IPID值建立一条IP轨迹信息;并记录所述源IP地址与建立的IP轨迹信息之间的对应关系。
本步骤中,当记录的对应关系中未包括源IP地址与IP轨迹信息的对应关系时,则表明之前不存在使用该源IP地址访问待检测网络的行为,或者该源IP地址已老化,即未使用该源IP地址访问待检测网络的时间超过老化时间,则此时可以在基于网络报文携带的IPID建立一条IP轨迹信息,然后记录该源IP地址与建立的IP轨迹信息之间的对应关系,然后继续执行接收网络报文的步骤,即步骤S201。
具体地,在记录该源IP地址与IP轨迹信息之间的对应关系时,该对应关系可以存储在hash表中,在hash表时,可以以该IP地址为关键词key,然后创建一条以该源IP地址为key的节点,在该节点下创建以该网络报文携带的IPID值建立一条IP轨迹信息,可以理解为该源IP地址的第一条IP轨迹信息,同时为该IP轨迹信息生成一个轨迹标识HN1,用于标识该IP轨迹信息。
S210、丢弃所述网络报文。
本步骤中,当步骤S204判断网络报文携带的IPID值为异常IPID值时,则表明该网络报文可能为乱序报文或该网络报文存在跳变现象,则此时可以丢弃该网络报文。
S211、该设备不存在共享上网行为。
通过实施图2所示的流程,不仅可以准确地判断待检测网络是否被共享,而且还可以基于各个IP轨迹信息的网络报文数量中超过设定报文数量的IP轨迹信息确认基于源IP地址访问待检测网络时当前存在的共享主机的数量。
可选地,在实施步骤S204时,可以按照图4所示的流程实施,图4中示出了图2中除步骤S204之外的其他步骤,但在此处仅详细描述步骤S204的详细实施过程,即步骤S401~S405,其他步骤请参考对图2中各个步骤的描述。步骤S401~S405的执行过程如下:
S401、判断源IP地址对应的各个IP轨迹信息中是否存在大于网络报文携带的IPID值的最小IPID值;若判断结果为是,则执行步骤S402;若判断结果为否,则执行步骤S405。
本步骤中,可以遍历hash表中该源IP地址的各个IP轨迹信息的IPID值,然后确认各个IP轨迹信息是否存在大于网络报文携带的IPID值的最小IPID值,当某条IP轨迹信息存在大于携带的IPID值的最小IPID值时,例如第i条IP轨迹信息中存在大于携带的IPID值的最小IPID值,记为(HNi,IPIDi),则表明网络报文携带的IPID值可能属于第i条IP轨迹信息,则但由于乱序等因素导致网络报文携带的IPID值小于IPIDi,为了判断是否因乱序因素导致,则需要执行步骤S402。
S402、判断所述最小IPID值与所述携带的IPID值之间的差值是否小于乱序阈值;若小于乱序阈值,则执行步骤S403;若不小于乱序阈值,则执行步骤S404。
本步骤中,当存在大于携带的IPID值的最小IPID值时,该网络报文也有可能因为乱序因素,导致网络报文携带的IPID值小于最小IPID值,则为了确认该网络报文是否为乱序报文,则本实施例提出确认上述最小IPID值与网络报文携带的IPID报文之间的差值,为了描述方便,可以将网络报文携带的IPID值记为IPIDcur,则上述最小IPID值与网络报文携带的IPID报文之间的差值为IPIDi-IPIDcur,然后可以判断IPIDi-IPIDcur是否小于乱序阈值。
S403、确定所述携带的IPID值为异常IPID值,并继续执行步骤S210。
本步骤中,当IPIDi-IPIDcur小于乱序阈值时,则表明该网络报文携带的IPID值属于第i条IP轨迹信息,也即,在第i条IP轨迹信息的乱序阈值范围内,但因为乱序原因导致该网络报文的IPID值IPIDcur小于最小IPID值,则可以确认网络报文携带的IPID为异常IPID值,也即该网络报文为乱序报文,则执行步骤S201,丢弃该网络报文。
需要说明的是,本实施例通过了可接受的乱序范围,即设置该乱序范围的上限值DisorderLimit,该上限值DisorderLimit默认可以设置为200等等,具体可以根据实际情况而定。
S404、确定所述携带的IPID值不为异常IPID值,并继续执行步骤S205。
本步骤中,当IPIDi-IPIDcur不小于乱序阈值时,则表明网络报文的IPIDcur不属于第i条IP轨迹信息,则不为异常IPID值,则继续执行步骤S205,即确认IPIDcur所属的IP轨迹信息。
S405、利用所述携带的IPID值更新最大IPID值所属的IP轨迹信息,其中所述最大IPID值为源IP地址对应的各个IP轨迹信息中小于所述携带的IPID值的最大IPID值。
本步骤中,当该源IP地址对应的各个IP轨迹信息中不存在大于IPIDcur的最小IPID值时,表明网络报文的IPID值IPIDcur为当前最大的IPID值,则进一步表明网络报文的IPIDcur属于包括最大IPID值的IP轨迹信息,假设确定出第j条IP轨迹信息包括小于IPIDcur的最大IPID值,记为(HNj,IPIDj),则可以利用IPIDcur更新第j条IP轨迹信息中的最大IPID值,即将当前IPIDj的值更新为IPIDcur。
需要说明的是,该最大IPID值为该源IP地址对应的各个IP轨迹信息中小于IPIDcur的最大的IPID值中的最大值,例如每个IP轨迹信息中当前均有一个小于IPIDcur的最大的IPID值,则本实施例各个IP轨迹信息中小于IPIDcur的最大的IPID值中的最大值记为上述最大IPID值,例如,源IP地址对应5个IP轨迹信息HN1~HN5,且确定出这5个IP轨迹信息中小于IPIDcur的最大的IPID值分别为IPID1~IPID5,且IPID1<IPID2<IPID3<IPID4<IPID5<IPIDcur,则上述最大IPID值为IPID5,即第5条IP轨迹信息中小于IPIDcur的最大的IPID值。
通过实施上述流程,可以准确地确定出网络报文携带的IPID值是否为异常值。
可选地,在执行步骤S205时,可以按照下述过程实施,该实施流程可以在图2的基础上实施,也可以在图4的基础上实施,为了更好地理解本实施例,图5示出了在图4的基础上实施步骤S205的流程,值得注意的是,图5中示出了图4中除步骤S205之外的其他步骤,但在此处仅详细描述步骤S205的实施过程,即步骤S501~S505,其他步骤请参考图2或图4中相关步骤的描述。步骤S501~S505的执行过程如下:
S501、判断源IP地址对应的各个IP轨迹信息中是否存在小于所述携带的IPID值的最大IPID值;若存在小于所述携带的IPID值最大IPID值,则执行步骤S502;若不存在小于所述携带的IPID值最大IPID值,则执行步骤S503。
具体地,可以遍历hash表中该源IP地址的各个IP轨迹信息的IPID值,然后hash表当前是否存在小于网络报文携带的IPID值的最大IPID值,此处的最大IPID值也为源IP地址对应的各个IP轨迹信息中小于所述携带的IPID值的最大IPID值,具体请参考步骤S405中关于最大IPID值的描述,此处不再详细说明。
S502、利用所述携带的IPID值更新所述最大IPID值所属的IP轨迹信息,并继续执行步骤S206。
本步骤中,为了描述方便,将网络报文携带的IPID值记为IPIDcur。当存在小于IPIDcur的最大IPID值时,假设第j条IP轨迹信息中的最大的IPID值IPIDj为该源IP地址的各个IP轨迹信息中小于网络报文携带的IPID值IPIDcur的最大值,则表明网络报文携带的IPID值属于第j条IP轨迹信息,则更新第j条IP轨迹信息的IPIDj的值,也即执行步骤S502,也即,将IPIDj的值更新为IPIDcur。
S503、判断所述携带的IPID值是否满足翻转条件;若满足翻转条件,则执行步骤S504;若不满足翻转条件,则执行步骤S505。
本步骤中,当不存在小于网络报文的IPID值IPIDcur的最大IPID值时,且存在大于网络报文的IPID值IPIDcur的最小IPID值,则表明网络报文的IPID值IPIDcur比该源IP对应的各个IP轨迹信息的IPID值都小,则该网络报文的IPID值也可能因为翻转的原因导致该值IPIDcur最小。则为了准确地识别该网络报文的IPID值所属的IP轨迹信息,则在此基础上,会判断网络报文携带的IPID值是否满足翻转条件。
需要说明的是,本实施例中可以设置翻转下限值TurnOverLower,在此基础上可以判断网络报文携带的IPID值是否小于翻转下限值,当网络报文携带的IPID值小于翻转下限值时,表明满足翻转条件,则执行步骤S504。而当网络报文携带的IPID值大于该翻转下限值,则表明不满足翻转条件,执行步骤S505。
此外,本实施例中还可以设置翻转上限值TurnOverUpper,可以实施确认该源IP地址对应的各个IP轨迹信息中最大的IPID值,当某一条IP轨迹信息中最大的IPID值大于上述翻转上限值时,则表明该IP轨迹信息随时可能发生翻转,可以对该IP轨迹信息进行标记,以便后续接收到网络报文时直接判断。
S504、利用所述携带的IPID值更新源IP地址对应的目标IPID值所属的IP轨迹信息,其中所述目标IPID值为所述源IP地址对应的各个IP轨迹信息中最大的IPID值。
本步骤中,当网络报文携带的IPID值满足翻转条件时,则表明该网络报文的IPID值属于该源IP地址对应的所有IP轨迹信息中最大的IPID值所属IP轨迹信息,也即上述目标IPID值IPIDm所属的IP轨迹信息,记为(HNm,IPIDm)。由于翻转原因导致该网络报文的IPID值IPIDcur小于IPIDm,但网络报文携带的IPID值是属于IPIDm所属的IP轨迹信息的,也表明后续主机会携带按照翻转后的IPID逐个递增的IPID值发送网络报文,也即基于该IP轨迹信息,需要执行新一轮的IPID的统计及记录,从而保证了IP轨迹信息的准确度。
例如,该源IP地址当前对应5条IP轨迹信息HN1~HN5,每条IP轨迹信息中的最大的IPID值分别为IPID6~IPID10,且IPID6<IPID7<IPID8<IPID9<IPID10,则表明第5条IP轨迹信息中的最大的IPID值IPID10为5条IP轨迹信息中最大的IPID值,也即IPID10为目标IPID值IPIDm,则表明网络报文的IPID值属于第5条IP轨迹信息HN5,进而利用网络报文的IPID值IPIDcur更新第5(m=5)条IP轨迹信息的目标IPID值IPIDm,也即,将目标IPID值IPIDm更新为IPIDcur。
需要说明的是,本实施例中的翻转上限值TurnOverUpper可以但不限于为65335,翻转下限值TurnOverLower可以但不限于为200。
S505、基于所述携带的IPID值建立一条IP轨迹信息,并记录所述源IP地址与建立的IP轨迹信息之间的对应关系。
具体地,当不满足翻转条件时,表明网络报文的发送方---设备可能为新的设备,也即可能存在新的主机使用源IP地址访问待检测网络,则可以基于网络报文的IPID值IPIDcur建立一条新的IP轨迹信息HNn,并将IPIDcur写入到该源IP地址对应的hash表中对应位置。
通过实施图5所示的流程,不仅可以准确地判断出网络报文的IPID是否存在翻转情况,进而准确度识别出待检测网络是否被共享。
可选地,基于上述任一实施例,本实施例提供的共享网络检测方法,还可以包括下述过程:确定未执行更新源IP地址对应的IP轨迹信息的操作的第一持续时间;若上述第一持续时间达到第一设定时间阈值,则删除记录的上述源IP地址对应的IP轨迹信息。
具体地,实际应用中,主机使用源IP地址访问待检测网络的时间并非是持续不断的,有可能仅在一段时间内使用该源IP地址访问待检测网络,后续不再使用该源IP地址访问待检测网络,而在检测待检测网络是否被共享时,也是检测一段时间内是否存在共享上网行为,则为了提高共享网络检测结果的准确性,可以对每个IP地址进行监控,例如针对源IP地址,当确认未对该源IP地址的所有IP轨迹信息执行更新操作时,可以开始计时,并实时确定未执行上述更新操作的持续时间,记为第一持续时间,当该第一持续时间达到第一设定时间阈值时,即该源IP地址已老化,则可以从hash表中删除该源IP地址的所有记录,即删除记录的该源IP地址的所有IP轨迹信息,从而避免了hash表中记录的IP地址因老化影响共享上网检测结果的准确性。可选地,上述第一设定时间阈值可以但不限于为10分钟等等。而当未达到第一设定时间阈值时存在更新操作,则计时清零并重新开始监控。
可选地,基于上述任一实施例,本实施例提供的共享网络检测方法,还可以包括下述过程:针对所述源IP地址的每一条IP轨迹信息,确定未执行更新该IP轨迹信息的操作的第二持续时间;若所述第二持续时间达到第二设定时间阈值,则删除记录的该IP轨迹信息。
具体地,实际应用中,针对源IP地址,当多个主机共用IP地址访问待检测网络时,每个主机访问待检测网络的时间并非是持续不断的,有可能当前访问一段时间后,后续不再利用该源IP地址访问待检测网络,而在检测待检测网络是否被共享时,也是检测一段时间内是否存在共享上网行为,则为了提高共享网络检测结果的准确性,可以对每个IP地址的每个IP轨迹信息进行监控。例如针对该源IP地址的每个IP轨迹信息,当监测到首次未对该IP轨迹信息执行更新操作时,则开始计时,当实时确定未对该IP轨迹信息执行更新操作的持续时间,可以记为第二持续时间,而当该第二持续时间达到第二设定时间阈值时,表明该IP轨迹信息已老化,则可以从hash表中删除该IP轨迹信息,从而避免了因老化的IP轨迹信息影响共享上网检测结果的准确性。可选地,上述第二设定时间阈值可以但不限于为2秒、10秒、50秒等等,具体可以根据实际情况而定。此外,当未达到第二设定时间阈值时该IP轨迹信息存在更新操作,则计时清零并重新开始监控。
基于同一发明构思,本申请还提供了与上述共享上网检测方法对应的共享上网检测装置。该共享上网检测装置的实施具体可以参考上述对共享上网检测方法的描述,此处不再一一论述。
参见图6,图6是本申请一示例性实施例提供的一种共享上网检测装置,包括:
接收模块601,用于接收接入待检测网络的设备发送的网络报文,并从所述网络报文中提取源互联网协议IP地址和互联网协议标识IPID值;
第一判断模块602,用于根据当前记录的IP地址与IP轨迹信息之间的对应关系,判断所述对应关系中是否存在所述网络报文中源IP地址对应的IP轨迹信息,其中,每个IP地址的IP轨迹信息为基于所述待检测网络接收到的携带该IP地址的网络报文的IPID值确定出的;
第二判断模块603,用于若所述第一判断模块602判断所述对应关系中存在所述源IP地址对应的IP轨迹信息,则根据所述源IP地址对应的IP轨迹信息中的IPID值,判断所述网络报文携带的IPID值是否为异常IPID值;
更新模块604,用于若所述第二判断模块603判断所述网络报文携带的IPID值不为异常IPID值,则利用所述网络报文携带的IPID值更新所述源IP地址对应的IP轨迹信息中包括与所述携带的IPID值相近的IPID值的IP轨迹信息,并更新所述包括与所述携带的IPID值相近的IPID值的IP轨迹信息对应的网络报文数量;
第一确定模块605,用于确定所述源IP地址的各个IP轨迹信息分别对应的网络报文数量;
第二确定模块606,用于当存在至少两个IP轨迹信息的网络报文数量超过设定报文数量时,则确定所述待检测网络被共享。
可选地,本实施例提供的共享上网检测装置,还包括:
建立模块(图中未示出),用于若所述第一判断模块602判断所述对应关系中不存在所述源IP地址对应的IP轨迹信息,则基于所述网络报文携带的IPID值建立一条IP轨迹信息;
记录模块(图中未示出),用于记录所述源IP地址与建立的IP轨迹信息之间的对应关系。
可选地,上述第二判断模块603,具体用于判断所述源IP地址对应的各个IP轨迹信息中是否存在大于所述携带的IPID值的最小IPID值;若存在最小IPID值,判断所述最小IPID值与所述携带的IPID值之间的差值是否小于乱序阈值;若小于乱序阈值,则确定所述携带的IPID值为异常IPID值,并丢弃所述网络报文;若不小于所述乱序阈值,则确定所述携带的IPID值不为异常IPID值。
可选地,上述更新模块604,还用于若上述第二判断模块603判断不存在最小IPID值,则利用所述携带的IPID值更新最大IPID值所属的IP轨迹信息,其中所述最大IPID值为所述源IP地址对应的各个IP轨迹信息中小于所述携带的IPID值的最大IPID值。
可选地,上述更新模块604,具体用于判断所述源IP地址对应的各个IP轨迹信息中是否存在小于所述携带的IPID值的最大IPID值,其中所述最大IPID值为所述源IP地址对应的各个IP轨迹信息中小于所述携带的IPID值的最大IPID值;若存在小于所述携带的IPID值的最大IPID值,则利用所述携带的IPID值更新所述最大IPID值所属的IP轨迹信息。
可选地,本实施例提供的共享上网检测装置,还包括:
第三判断模块(图中未示出),用于若不存在小于所述携带的IPID值的最大IPID值,则判断所述携带的IPID值是否满足翻转条件;
上述更新模块604,还用于若上述第三判断模块的判断结果为满足翻转条件,则利用所述携带的IPID值更新所述源IP地址对应的目标IPID值所属的IP轨迹信息,所述目标IPID值为所述源IP地址对应的各个IP轨迹信息中最大的IPID值;
上述建立模块(图中未示出),还用于若上述第三判断模块的判断结果为不满足翻转条件,则基于所述携带的IPID值建立一条IP轨迹信息;
上述记录模块(图中未示出),还用于记录所述源IP地址与建立的IP轨迹信息之间的对应关系。
可选地,本实施例提供的共享上网检测装置,还包括:
第三确定模块(图中未示出),用于确定未执行更新所述源IP地址对应的IP轨迹信息的操作的第一持续时间;
第一删除模块(图中未示出),用于若所述第一持续时间达到第一设定时间阈值,则删除记录的所述源IP地址对应的IP轨迹信息。
可选地,本实施例提供的共享上网检测装置,还包括:
第四确定模块(图中未示出),用于针对所述源IP地址的每一条IP轨迹信息,确定未执行更新该IP轨迹信息的操作的第二持续时间;
第二删除模块(图中未示出),用于若所述第二持续时间达到第二设定时间阈值,则删除记录的该IP轨迹信息。
本申请实施例提供了一种检测设备,上述检测设备可以为接入网络的网络安全设备等等,如图7所示,该检测设备包括处理器701和机器可读存储介质702,机器可读存储介质702存储有能够被处理器701执行的计算机程序,处理器701被计算机程序促使执行本申请实施例所提供的共享上网检测方法。
上述计算机可读存储介质可以包括RAM(Random Access Memory,随机存取存储器)、DDR SRAM(Double Data Rate Synchronous Dynamic Random Access Memory,双倍速率同步动态随机存储器),也可以包括NVM(Non-volatile Memory,非易失性存储器),例如至少一个磁盘存储器。可选的,计算机可读存储介质还可以是至少一个位于远离前述处理器的存储装置。
上述处理器可以是通用处理器,包括CPU(Central Processing Unit,中央处理器)、NP(Network Processor,网络处理器)等;还可以是DSP(Digital Signal Processor,数字信号处理器)、ASIC(Application Specific Integrated Circuit,专用集成电路)、FPGA(Field-Programmable Gate Array,现场可编程门阵列)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
另外,本申请实施例提供了一种机器可读存储介质,机器可读存储介质存储有计算机程序,在被处理器调用和执行时,计算机程序促使处理器执行本申请实施例所提供的共享上网检测方法。
对于检测设备以及机器可读存储介质实施例而言,由于其涉及的方法内容基本相似于前述的方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
上述装置中各个单元/模块的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元/模块可以是或者也可以不是物理上分开的,作为单元/模块显示的部件可以是或者也可以不是物理单元/模块,即可以位于一个地方,或者也可以分布到多个网络单元/模块上。可以根据实际的需要选择其中的部分或者全部单元/模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (10)
1.一种共享上网检测方法,其特征在于,包括:
接收接入待检测网络的设备发送的网络报文,并从所述网络报文中提取源互联网协议IP地址和互联网协议标识IPID值;
根据当前记录的IP地址与IP轨迹信息之间的对应关系,判断所述对应关系中是否存在所述网络报文中源IP地址与IP轨迹信息之间的对应关系,其中,每个IP地址的IP轨迹信息为基于所述待检测网络接收到的携带该IP地址的网络报文的IPID值确定出的;
若判断所述对应关系中存在源IP地址与IP轨迹信息之间的对应关系,则根据所述源IP地址对应的IP轨迹信息中的IPID值,判断所述网络报文携带的IPID值是否为异常IPID值;
若不为异常IPID值,则利用所述网络报文携带的IPID值更新所述源IP地址对应的IP轨迹信息中包括与所述携带的IPID值相近的IPID值的IP轨迹信息,并更新所述包括与所述携带的IPID值相近的IPID值的IP轨迹信息对应的网络报文数量;
确定所述源IP地址的各个IP轨迹信息分别对应的网络报文数量;
当存在至少两个IP轨迹信息的网络报文数量超过设定报文数量时,则确定所述待检测网络被共享。
2.根据权利要求1所述的方法,其特征在于,还包括:
若判断所述对应关系中不存在所述源IP地址与IP轨迹信息之间的对应关系,则基于所述网络报文携带的IPID值建立一条IP轨迹信息;并记录所述源IP地址与建立的IP轨迹信息之间的对应关系。
3.根据权利要求1所述的方法,其特征在于,根据所述源IP地址对应的IP轨迹信息中的IPID值,判断所述网络报文携带的IPID值是否为异常IPID值,包括:
判断所述源IP地址对应的各个IP轨迹信息中是否存在大于所述携带的IPID值的最小IPID值;
若存在最小IPID值,判断所述最小IPID值与所述携带的IPID值之间的差值是否小于乱序阈值;
若小于乱序阈值,则确定所述携带的IPID值为异常IPID值,并丢弃所述网络报文;
若不小于所述乱序阈值,则确定所述携带的IPID值不为异常IPID值。
4.根据权利要求3所述的方法,其特征在于,
若不存在最小IPID值,则利用所述携带的IPID值更新最大IPID值所属的IP轨迹信息,其中所述最大IPID值为所述源IP地址对应的各个IP轨迹信息中小于所述携带的IPID值的最大IPID值。
5.根据权利要求3所述的方法,其特征在于,若不为异常IPID值,则利用所述网络报文携带的IPID值更新所述源IP地址对应的IP轨迹信息中包括与所述携带的IPID值相近的IPID值的IP轨迹信息,包括:
判断所述源IP地址对应的各个IP轨迹信息中是否存在小于所述携带的IPID值的最大IPID值,其中所述最大IPID值为所述源IP地址对应的各个IP轨迹信息中小于所述携带的IPID值的最大IPID值;
若存在小于所述携带的IPID值的最大IPID值,则利用所述携带的IPID值更新所述最大IPID值所属的IP轨迹信息。
6.根据权利要求5所述的方法,其特征在于,还包括:
若不存在小于所述携带的IPID值的最大IPID值,则判断所述携带的IPID值是否满足翻转条件;
若满足翻转条件,则利用所述携带的IPID值更新所述源IP地址对应的目标IPID值所属的IP轨迹信息,所述目标IPID值为所述源IP地址对应的各个IP轨迹信息中最大的IPID值;
若不满足翻转条件,则基于所述携带的IPID值建立一条IP轨迹信息,并记录所述源IP地址与建立的IP轨迹信息之间的对应关系。
7.根据权利要求1所述的方法,其特征在于,还包括:
确定未执行更新所述源IP地址对应的IP轨迹信息的操作的第一持续时间;
若所述第一持续时间达到第一设定时间阈值,则删除记录的所述源IP地址对应的IP轨迹信息。
8.根据权利要求1所述的方法,其特征在于,还包括:
针对所述源IP地址的每一条IP轨迹信息,确定未执行更新该IP轨迹信息的操作的第二持续时间;
若所述第二持续时间达到第二设定时间阈值,则删除记录的该IP轨迹信息。
9.一种共享上网检测装置,其特征在于,包括:
接收模块,用于接收接入待检测网络的设备发送的网络报文,并从所述网络报文中提取源互联网协议IP地址和互联网协议标识IPID值;
第一判断模块,用于根据当前记录的IP地址与IP轨迹信息之间的对应关系,判断所述对应关系中是否存在所述网络报文中源IP地址对应的IP轨迹信息,其中,每个IP地址的IP轨迹信息为基于所述待检测网络接收到的携带该IP地址的网络报文的IPID值确定出的;
第二判断模块,用于若所述第一判断模块判断所述对应关系中存在所述源IP地址对应的IP轨迹信息,则根据所述源IP地址对应的IP轨迹信息中的IPID值,判断所述网络报文携带的IPID值是否为异常IPID值;
更新模块,用于若所述第二判断模块判断所述网络报文携带的IPID值不为异常IPID值,则利用所述网络报文携带的IPID值更新所述源IP地址对应的IP轨迹信息中包括与所述携带的IPID值相近的IPID值的IP轨迹信息,并更新所述包括与所述携带的IPID值相近的IPID值的IP轨迹信息对应的网络报文数量;
第一确定模块,用于确定所述源IP地址的各个IP轨迹信息分别对应的网络报文数量;
第二确定模块,用于当存在至少两个IP轨迹信息的网络报文数量超过设定报文数量时,则确定所述待检测网络被共享。
10.根据权利要求9所述的装置,其特征在于,还包括:
建立模块,用于若所述第一判断模块判断所述对应关系中不存在所述源IP地址对应的IP轨迹信息,则基于所述网络报文携带的IPID值建立一条IP轨迹信息;
记录模块,用于记录所述源IP地址与建立的IP轨迹信息之间的对应关系。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011147479.3A CN112333061A (zh) | 2020-10-23 | 2020-10-23 | 一种共享上网检测方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011147479.3A CN112333061A (zh) | 2020-10-23 | 2020-10-23 | 一种共享上网检测方法及装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN112333061A true CN112333061A (zh) | 2021-02-05 |
Family
ID=74311564
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011147479.3A Withdrawn CN112333061A (zh) | 2020-10-23 | 2020-10-23 | 一种共享上网检测方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112333061A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113194158A (zh) * | 2021-04-13 | 2021-07-30 | 杭州迪普科技股份有限公司 | 信息存储方法、装置、设备及计算机可读存储介质 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101026630A (zh) * | 2007-03-30 | 2007-08-29 | 华为技术有限公司 | 检测方法、统计分析服务器以及检测系统 |
CN102594846A (zh) * | 2012-04-05 | 2012-07-18 | 北京网御星云信息技术有限公司 | 一种基于ip头信息的共享接入管理算法及系统 |
CN104836700A (zh) * | 2015-04-17 | 2015-08-12 | 中国科学院信息工程研究所 | 基于ipid和概率统计模型的nat主机个数检测方法 |
CN105704088A (zh) * | 2014-11-25 | 2016-06-22 | 中兴通讯股份有限公司 | 多用户共享上网的检测方法及装置 |
CN110769077A (zh) * | 2019-10-14 | 2020-02-07 | 新华三信息安全技术有限公司 | 一种报文处理方法、装置、网络设备及存储介质 |
-
2020
- 2020-10-23 CN CN202011147479.3A patent/CN112333061A/zh not_active Withdrawn
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101026630A (zh) * | 2007-03-30 | 2007-08-29 | 华为技术有限公司 | 检测方法、统计分析服务器以及检测系统 |
CN102594846A (zh) * | 2012-04-05 | 2012-07-18 | 北京网御星云信息技术有限公司 | 一种基于ip头信息的共享接入管理算法及系统 |
CN105704088A (zh) * | 2014-11-25 | 2016-06-22 | 中兴通讯股份有限公司 | 多用户共享上网的检测方法及装置 |
CN104836700A (zh) * | 2015-04-17 | 2015-08-12 | 中国科学院信息工程研究所 | 基于ipid和概率统计模型的nat主机个数检测方法 |
CN110769077A (zh) * | 2019-10-14 | 2020-02-07 | 新华三信息安全技术有限公司 | 一种报文处理方法、装置、网络设备及存储介质 |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113194158A (zh) * | 2021-04-13 | 2021-07-30 | 杭州迪普科技股份有限公司 | 信息存储方法、装置、设备及计算机可读存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11902096B2 (en) | Collection of error packet information for network policy enforcement | |
CN108737333B (zh) | 一种数据检测方法以及装置 | |
US10135844B2 (en) | Method, apparatus, and device for detecting e-mail attack | |
CN109831461B (zh) | 一种分布式拒绝服务DDoS攻击防御方法及装置 | |
CN102624706B (zh) | 一种dns隐蔽信道的检测方法 | |
CN111181798B (zh) | 网络时延测量方法、装置、电子设备及存储介质 | |
US20080082658A1 (en) | Spam control systems and methods | |
US20100082749A1 (en) | Retrospective spam filtering | |
CN112751862A (zh) | 一种端口扫描攻击检测方法、装置及电子设备 | |
CN110519265B (zh) | 一种防御攻击的方法及装置 | |
CN110417747B (zh) | 一种暴力破解行为的检测方法及装置 | |
CN109561111B (zh) | 一种攻击源的确定方法及装置 | |
CN110620768A (zh) | 一种用于物联网智能终端的基线安全检测方法及装置 | |
CN107426132B (zh) | 网络攻击的检测方法和装置 | |
CN112333061A (zh) | 一种共享上网检测方法及装置 | |
CN108880990B (zh) | 检测外发垃圾邮件的方法、系统、装置及可读存储介质 | |
CN113364722B (zh) | 网络安全防护方法和装置 | |
KR101292887B1 (ko) | 패킷 동일성 검사를 이용한 라우터의 패킷 스트림 모니터링 장치 및 방법 | |
WO2021056716A1 (zh) | 一种云服务质量监控方法及相关产品 | |
CN112738110A (zh) | 一种旁路阻断方法、装置、电子设备和存储介质 | |
CN113098727A (zh) | 一种数据包检测处理方法与设备 | |
CN113839948B (zh) | 一种dns隧道流量检测方法、装置、电子设备和存储介质 | |
CN115955333A (zh) | C2服务器识别方法、装置、电子设备及可读存储介质 | |
TW201928746A (zh) | 偵測惡意程式的方法和裝置 | |
CN110049147B (zh) | 一种nat后主机数量检测方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WW01 | Invention patent application withdrawn after publication |
Application publication date: 20210205 |
|
WW01 | Invention patent application withdrawn after publication |