CN112822204A - 一种nat的检测方法、装置、设备及介质 - Google Patents
一种nat的检测方法、装置、设备及介质 Download PDFInfo
- Publication number
- CN112822204A CN112822204A CN202110120158.2A CN202110120158A CN112822204A CN 112822204 A CN112822204 A CN 112822204A CN 202110120158 A CN202110120158 A CN 202110120158A CN 112822204 A CN112822204 A CN 112822204A
- Authority
- CN
- China
- Prior art keywords
- data
- session data
- session
- target session
- nat
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 31
- 238000000034 method Methods 0.000 claims abstract description 45
- 238000004891 communication Methods 0.000 claims abstract description 38
- 238000004590 computer program Methods 0.000 claims description 12
- 230000006870 function Effects 0.000 claims description 11
- 238000013507 mapping Methods 0.000 claims description 10
- 230000002776 aggregation Effects 0.000 claims description 5
- 238000004220 aggregation Methods 0.000 claims description 5
- 238000000605 extraction Methods 0.000 claims description 4
- 230000004931 aggregating effect Effects 0.000 claims description 3
- 101000652292 Homo sapiens Serotonin N-acetyltransferase Proteins 0.000 claims 1
- 102100030547 Serotonin N-acetyltransferase Human genes 0.000 claims 1
- 238000012423 maintenance Methods 0.000 abstract description 13
- 238000011161 development Methods 0.000 abstract description 5
- 230000000694 effects Effects 0.000 abstract description 3
- 238000012545 processing Methods 0.000 description 9
- 230000008569 process Effects 0.000 description 8
- 238000010586 diagram Methods 0.000 description 7
- 230000006399 behavior Effects 0.000 description 5
- 230000009471 action Effects 0.000 description 3
- 238000013519 translation Methods 0.000 description 3
- 238000013473 artificial intelligence Methods 0.000 description 2
- 238000006243 chemical reaction Methods 0.000 description 2
- 235000014510 cooky Nutrition 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 239000000284 extract Substances 0.000 description 2
- 230000007774 longterm Effects 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000005641 tunneling Effects 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 230000005055 memory storage Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000035515 penetration Effects 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 238000009877 rendering Methods 0.000 description 1
- 238000012552 review Methods 0.000 description 1
- 230000001052 transient effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/256—NAT traversal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种NAT的检测方法、装置、设备及介质,其中,该方法包括:将待检测环境的流量数据作为检测存在NAT的数据来源,在得到流量数据后,从所述流量数据中提取用于表征会话数据唯一性的特征字段,若存在具有相同的通信协议,且具有相同的特征字段的目标会话数据,则确定存在NAT。由此可见,相对于端口转发工具的流量特征而言,用于表征会话数据唯一性的特征字段相对固定,不需要频繁开发新的特征字段,易于维护,维护成本低。此外,本申请所公开的NAT的检测装置、设备及介质,与上述方法对应,效果同上。
Description
技术领域
本申请涉及网络通讯技术领域,特别是涉及一种NAT的检测方法、装置、设备及介质。
背景技术
网络地址转换(Network Address Translation,NAT)是将IP数据包头中的IP地址转换为另一个IP地址的过程。在NAT中,端口转发和端口映射是两种常见的形式。其中,端口转发和端口映射均是将目的为某个地址和端口的网络请求重定向到另一个网络地址和端口。端口映射与端口转发的区别为:端口映射通常不存在隧道技术,不对数据进行处理而直接地将流量重定向到目的地址和端口。端口映射可以分为源地址网络转换(SourceNetwork Address Translation,SNAT)和目的地址网络转换(Destination NetworkAddress Translation,DNAT),分别是指通过网关或路由器等设备时重写了IP数据包头中的源地址或目的地址。NAT经常被黑客用来进行内网穿透,通过受控制的主机访问其它只在内网开放的敏感服务,对内网安全危害性极大。
目前,为了检测是否存在NAT,通常采用的方法是针对端口转发工具存在的流量特征进行提取,然后利用入侵检测系统进行检测。由于不同的端口转发工具的流量特征不同,当端口转发工具改变,则原流量特征就不再适用,需要开发新的流量特征,需要长期维护,持续投入较高。
由此可见,如何减少长期维护的成本是本领域技术人员系亟待解决的问题。
发明内容
本申请的目的是提供一种NAT的检测方法,所采用得表征会话数据唯一性的特征字段相对固定,不需要频繁开发新的特征字段,易于维护,维护成本低。此外,本申请的目的还提供一种NAT的检测装置、设备及介质。
为解决上述技术问题,本申请提供一种NAT的检测方法,包括:
获取待检测环境的流量数据;
从所述流量数据中提取用于表征会话数据唯一性的特征字段;
若存在具有相同的通信协议,且具有相同的特征字段的目标会话数据,则确定存在NAT。
优选地,所述流量数据为明文流量数据。
优选地,所述从所述流量数据中提取用于表征会话数据唯一性的特征字段包括:
按照所述通信协议的类型将所述流量数据解析为预设结构的数据;
按照所述通信协议的会话格式将所述流量数据划分为多条所述会话数据;其中,所述会话数据包括所述特征字段和会话字段;
根据所述通信协议的类型和所述特征字段的类型的对应关系从所述会话数据中提取所述特征字段。
优选地,在确定存在所述目标会话数据之前,还包括:
利用哈希函数将所述特征字段转换为哈希指纹。
优选地,确定所述目标会话数据的过程包括:
选取一条所述会话数据开始时刻后预设时长范围内的会话数据;
按照具有相同的通信协议和相同的所述哈希指纹的聚合方式将所述会话数据聚合得到会话集合;
选取所述会话集合中包含多条所述会话数据的目标会话集合;
将所述目标会话集合中所包含的所述会话数据作为所述目标会话数据。
优选地,所述会话字段包括目的地址、目的端口、源地址和源端口,对应的,所述方法还包括:
根据所述会话字段确定所述NAT的类型;
其中,在同一个所述目标会话集合中,若存在两条所述目标会话数据满足第一条件,则确定两条所述目标会话数据对应的类型为DNAT;其中,所述第一条件为源地址相同,且目的地址不同;
在同一个所述目标会话集合中,若存在两条所述目标会话数据满足第二条件,则确定两条所述目标会话数据对应的类型为SNAT;其中,所述第二条件为目的地址相同,且源地址不同;
在同一个所述目标会话集合中,若存在两条所述目标会话数据满足第三条件,则确定两条所述目标会话数据对应的类型为端口映射;其中,所述第三条件为一条所述目标会话数据的源地址与另一条所述目标会话数据的目的地址相同;
在同一个所述目标会话集合中,若两条所述目标会话数据不满足所述第一条件、所述第二条件和所述第三条件中的任意一种,则确定两条所述目标会话数据对应的类型为端口转发。
优选地,还包括:
构建所述哈希指纹和所述会话字段的对应关系以便通过所述对应关系选取所述目标会话集合。
为解决上述技术问题,本申请提供一种NAT的检测装置,包括:
获取模块,用于获取待检测环境的流量数据;
提取模块,用于从所述流量数据中提取用于表征会话数据唯一性的特征字段;
确定模块,用于若存在具有相同的通信协议,且具有相同的特征字段的目标会话数据,则确定存在NAT。
为解决上述技术问题,本申请提供一种协议审计设备,包括:包括存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如所述的NAT的检测方法的步骤。
为解决上述技术问题,本申请提供一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如所述的NAT的检测方法的步骤。
本申请所提供的NAT的检测方法,将待检测环境的流量数据作为检测存在NAT的数据来源,在得到流量数据后,从所述流量数据中提取用于表征会话数据唯一性的特征字段,若存在具有相同的通信协议,且具有相同的特征字段的目标会话数据,则确定存在NAT。由此可见,相对于端口转发工具的流量特征而言,用于表征会话数据唯一性的特征字段相对固定,不需要频繁开发新的特征字段,易于维护,维护成本低。
此外,本申请所提供的NAT的检测装置、设备及介质,与上述方法对应,效果同上。
附图说明
为了更清楚地说明本申请实施例,下面将对实施例中所需要使用的附图做简单的介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的一种内网中的硬件架构示意图;
图2为本申请实施例提供的一种NAT的检测方法的流程;
图3为本申请实施例提供的一种对通过加密隧道进行端口转发的检测示意图;
图4为本申请实施例提供的一种NAT的检查装置的结构图;
图5为本申请另一实施例提供的协议审计设备的结构。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下,所获得的所有其他实施例,都属于本申请保护范围。
本申请的核心是提供一种NAT的检测方法、装置、设备及介质。
为了使本技术领域的人员更好地理解本申请方案,下面结合附图和具体实施方式对本申请作进一步的详细说明。内网中,通常包括有多台主机,多台主机协同完成相应的任务。如果主机与攻击者的服务器存在NAT,则通过受控制的主机即可访问其它只在内网开放的敏感服务,对内网安全危害性极大。本申请中就是通过外网向内网传输的流量数据进行检测从而确定是否存在NAT。为了便于理解,下面对本申请的技术方案所适用的硬件架构进行介绍。图1为本申请实施例提供的一种内网中的硬件架构示意图,如图1所示,内网中包括多台主机1,网关2与主机1通信连接,实现将外网的数据传输至内网,协议审计设备3采用旁路部署方式,用于实现下文中各实施例提到的NAT的检测方法。旁路模式泛指在一个系统的正常流程中,当检核机制发生异常时,使系统作业能绕过这些检核机制,使系统能够继续运行的作业模式。而旁路部署则指设备以基于旁路模式的方式部署。当设备工作在旁路模式下时,仅对获取到的流量数据进行统计、扫描或者记录并不对流量数据进行转发,同时流量数据也不会受到设备本身故障的影响。故协议审计设备3采用旁路部署方式,对其实时性要求不高,因此和边界设备相比性能要求更低,更适用于内网场景。可以理解的是,本申请中对于主机1的数量以及提供的服务不做限定,协议审计设备3的功能除了检测NAT以外,还可以包含其它功能,本申请不做限定。
图2为本申请实施例提供的一种NAT的检测方法的流程。如图2所示,该方法包括:
S10:获取待检测环境的流量数据。
待检测环境通常是内网,可以理解的是,如果主机被外网的服务器攻击,则该服务器必然要通过外网向内网发送流量数据,从而与主机建立通信连接,故步骤中提到的流量数据可以是外网向内网发送的流量数据,也可以是内网间的流量数据。所以通过该流量数据作为检测NAT的数据来源更加全面,也就相对提高了检测结果的准确性。
需要说明的是,本步骤中,获取的流量数据的量不做限定,通常是以时长范围作为计量单位,例如从一条会话数据开始后,5分钟内的流量数据。本步骤的流量数据可以是明文流量数据,也可以是加密流量数据,优选地,流量数据为明文流量数据,具体实施方式参见下文的描述。
S11:从流量数据中提取用于表征会话数据唯一性的特征字段。
特征字段包括但不限于协议握手对应的字段,需要说明的是,本申请中所提到的特征字段是指字段中的数据,而不是字段类型,特征字段所属的字段类型需要预先设定,由于特征字段是表征会话数据唯一性的字段,所以不同的会话数据具有不同的特征字段,换句话说,即使两条会话数据属于同一通信协议,选取的字段类型相同,但是不同时间的两条会话数据的特征字段也不同。例如,对于SSH通信协议来说,其建立连接时需要进行握手,协商加密组件等信息,而这些信息中存在两个具有唯一性的随机数——Server Cookie的数据和Client Cookie的数据。因为每次握手都将产生新的随机值,并因为取的是客户端与服务端双方的随机值,不会因为其中一方的不更改随机值而产生误报。因此可以认为这两个随机数能够唯一地代表本次会话,这两个随机数就是特征字段。可以理解的是,特征字段的类型越多,则越能够表征会话数据的唯一性,但是一定程度上增加了提取的工作量。
进一步的,由于流量数据是无规则分布的,为了便于提取特征字段,通过如下方式实现:
按照通信协议的类型将流量数据解析为预设结构的数据;
按照通信协议的会话格式将流量数据划分为多条会话数据;其中,会话数据包括特征字段和会话字段;
根据通信协议的类型和特征字段的对应关系从会话数据中提取特征字段。
可以理解的是,所提到的解析为预设结构的数据实际上是按照一定预设结构转换为日志格式的数据,具体预设结构可以根据实际情况确定,优选地,预设结构包括但不限于JSON格式以及其他自定义的日志格式。在得到预设结构的数据之后,再将这些数据按照通信协议的会话格式将流量数据划分为多条会话数据,例如,TCP会话中,通过三个报文段完成连接的建立,这个过程称为三次握手(three-way handshake),那么这三个报文段就构成一条会话数据。由于先进行了格式转换和会话数据的划分,所以能够快速提取特征字段,也不容易丢失。本实施例中提到的对应关系,可以参照下表。表1为本申请实施例提供的一种通讯协议的类型与特征字段的类型对应表。表1所示的仅是一部分对应关系,特征字段的类型除了表1示出的组合外,还可以采用其它方式,并且所给出的通信协议的类型也不局限于上述几种,可以根据实际情况设定。
表1
S12:若存在具有相同的通信协议,且具有相同的特征字段的目标会话数据,则确定存在NAT。
由于NAT的行为就是将IP数据包头中的IP地址转换为另一个IP地址的过程,对应的会话内容不变,基于此,如果两条会话数据,具有相同的通信协议,且具有相同的特征字段,则必然是存在端口转发或端口映射,即存在NAT。本实施例中,对于NAT的类型不作判断,下文中将详细说明。
在具体实施中,由于所得到的流量数据中包含有多条会话数据,一种情况是按照会话数据产生的时间依次对每条会话数据进行检测,检测出两条会话数据满足上述条件,则不再对后续的会话数据进行检测,另一种情况是,对全部的会话数据进行检测,得到满足上述条件的全部会话数据,本实施例不做限定。
由于需要对特征字段进行比较,而特征字段是不固定的字符数据,为了便于比较,作为优选地实施方式,利用哈希函数将特征字段转换为哈希指纹。如果两条会话数据具有相同的通信协议,且哈希指纹相同,则这两条会话数据即为目标会话数据。可选的,哈希函数可以为单向散列函数,本申请不作限定。
本实施例提供的NAT的检测方法,将待检测环境的流量数据作为检测存在NAT的数据来源,在得到流量数据后,从所述流量数据中提取用于表征会话数据唯一性的特征字段,若存在具有相同的通信协议,且具有相同的特征字段的目标会话数据,则确定存在NAT。由此可见,相对于端口转发工具的流量特征而言,用于表征会话数据唯一性的特征字段相对固定,不需要频繁开发新的特征字段,易于维护,维护成本低。
在上述实施例中,并未限定流量数据的形式,在具体实施中,如果要对加密流量数据进行检查,则需要在边界处部署具备如防火墙等具有加解密功能的设备,对加密流量数据进行中间人(MITM)转发。由于加密流量数据对MITM透明,在边界处部署的设备可以进行明文内容审查,若明文内容识别为非正常协议,则判定为存在隧道技术。但是,该方法一方面需要额外部署加解密功能的设备,部署成本较高,并且只能检测存在隧道技术,并不能说明一定进行了端口转发,误报率较高。基于该情况,本实施例中的流量数据为明文流量数据。也就是说,只需要获取明文流量数据和针对明文流量进行检测即可。正是由于对未加密的、进入加密隧道前和从加密隧道转发出的明文流量进行检测,故可以绕过加密流量数据,识别出通过加密隧道进行端口转发的行为。应用于本技术方案,一方面不需要在边界处部署具备如防火墙等具有加解密功能的设备,降低了部署成本。另一方面,能够识别出通过加密隧道进行端口转发的行为。
为了让本领域技术人员更加清楚本申请是如何检测出通过加密隧道进行端口转发的行为,下文中给出具体例子进行说明。图3为本申请实施例提供的一种对通过加密隧道进行端口转发的检测示意图。如图3所示,IP地址1向IP地址2发送明文流量数据1,构成第一会话数据,提取出第一会话数据的特征字段1;IP地址2和IP地址3之间存在加密隧道,对应的流量数据是加密流量数据,无需提取该流量数据的特征字段;IP地址3向IP地址4发送明文流量数据2,构成第二会话数据,提取出第二会话数据的特征字段2。由于本次会话是同一通信协议,故如果第一会话数据的特征字段1和第二会话数据的特征字段2相同,则确定第一会话数据和第二会话数据存在通过加密隧道进行端口转发的行为,即IP地址1、IP地址2、IP地址3和IP地址4存在通过加密隧道进行端口转发的行为。
在上述实施例中,并未对会话数据的数量做限定,可以理解的是,如果会话数据的数量过多,则确定出目标会话数据所消耗的时间就较长,检测结果的实时性较差。故本实施例中选取预设时长范围内的会话数据,例如预设时长为5分钟。此外,如果不对多条会话数据进行分类,则在比较的过程中,重复次数较多,增加了数据处理消耗,且容易遗漏。故在上述实施例的基础上,确定目标会话数据的过程包括:
选取一条会话数据开始时刻后的预设时长范围内的会话数据;
按照具有相同的通信协议和相同的哈希指纹的聚合方式将会话数据聚合得到会话集合;
选取会话集合中包含多条会话数据的目标会话集合;
将目标会话集合中所包含的会话数据作为目标会话数据。
可以理解的是,相对于会话数据的数量来说,通信协议的类型较少,故在具体实施中,可以先按照具有相同的通信协议的方式进行初次聚合,然后在聚合后的集合中再按照具有相同的哈希指纹的方式进行二次聚合。
如果一个会话集合中只有一条会话数据,则不可能存在NAT,所以所选取的目标会话集合是包含多条会话数据的集合,即该集合中的多条会话数据即为具有相同的通信协议和相同的哈希指纹,那么这些会话数据存在NAT,至于属于NAT中的何种类型,下文将详细说明。
上述实施例中,对于会话字段的内容不作限定,本实施例中,会话字段包括目的地址、目的端口、源地址和源端口。结合以上会话字段的内容,可以确定NAT的类型。进一步的,根据会话字段确定NAT的类型包括:
1)在同一个目标会话集合中,若存在两条目标会话数据满足第一条件,则确定两条目标会话数据对应的类型为DNAT;其中,第一条件为源地址相同,且目的地址不同;
2)在同一个目标会话集合中,若存在两条目标会话数据满足第二条件,则确定两条目标会话数据对应的类型为SNAT;其中,第二条件为目的地址相同,且源地址不同;
3)在同一个目标会话集合中,若存在两条目标会话数据满足第三条件,则确定两条目标会话数据对应的类型为端口映射;其中,第三条件为一条目标会话数据的源地址与另一条目标会话数据的目的地址相同;
4)在同一个目标会话集合中,若两条目标会话数据不满足第一条件、第二条件和第三条件中的任意一种,则确定两条目标会话数据对应的类型为端口转发。
需要说明的是,在具体实施中,在得到一个目标会话集合后,需要对集合中的任意两条目标会话数据进行判断,从而确定是否满足第一条件、第二条件或第三条件,以上三种条件的判断顺序不作限定。
进一步的,为了提高选取目标会话集合的效果,还包括:
构建哈希指纹和会话字段的对应关系以便通过对应关系选取目标会话集合,例如,对应关系为哈希表,即以哈希指纹为键,以会话字段为值所构建的哈希表。可以理解的是,对应关系只是一种表现哈希指纹和会话字段的关系,采用何种表现形式不影响本申请技术方案的实现,除了哈希表以外,还可以采用二叉搜索树、AVL等形式。
在上述实施例中,对于NAT的检测方法进行了详细描述,本申请还提供NAT的检测装置对应的实施例。该装置基于功能模块的角度进行说明。图4为本申请实施例提供的一种NAT的检查装置的结构图。如图4所示,一种NAT的检测装置,包括:
获取模块10,用于获取待检测环境的流量数据;
提取模块11,用于从流量数据中提取用于表征会话数据唯一性的特征字段;
确定模块12,用于若存在具有相同的通信协议,且具有相同的特征字段的目标会话数据,则确定存在NAT。
作为优选地实施方式,NAT的检测装置还包括:
转换模块,用于在确定存在所述目标会话数据之前,利用哈希函数将所述特征字段转换为哈希指纹。
作为优选地实施方式,会话字段包括目的地址、目的端口、源地址和源端口,NAT的检测装置还包括:
类型确定模块,用于根据所述会话字段确定所述NAT的类型;
其中,在同一个所述目标会话集合中,若存在两条所述目标会话数据满足第一条件,则确定两条所述目标会话数据对应的类型为DNAT;其中,所述第一条件为源地址相同,且目的地址不同;
在同一个所述目标会话集合中,若存在两条所述目标会话数据满足第二条件,则确定两条所述目标会话数据对应的类型为SNAT;其中,所述第二条件为目的地址相同,且源地址不同;
在同一个所述目标会话集合中,若存在两条所述目标会话数据满足第三条件,则确定两条所述目标会话数据对应的类型为端口映射;其中,所述第三条件为一条所述目标会话数据的源地址与另一条所述目标会话数据的目的地址相同;
在同一个所述目标会话集合中,若两条所述目标会话数据不满足所述第一条件、所述第二条件和所述第三条件中的任意一种,则确定两条所述目标会话数据对应的类型为端口转发。
作为优选地实施方式,NAT的检测装置还包括:
构建所述哈希指纹和所述会话字段的对应关系以便通过所述对应关系选取所述目标会话集合。
由于装置部分的实施例与方法部分的实施例相互对应,因此装置部分的实施例请参见方法部分的实施例的描述,这里暂不赘述。
本实施例提供的NAT的检测装置,将待检测环境的流量数据作为检测存在NAT的数据来源,在得到流量数据后,从所述流量数据中提取用于表征会话数据唯一性的特征字段,若存在具有相同的通信协议,且具有相同的特征字段的目标会话数据,则确定存在NAT。由此可见,相对于端口转发工具的流量特征而言,用于表征会话数据唯一性的特征字段相对固定,不需要频繁开发新的特征字段,易于维护,维护成本低。
图5为本申请另一实施例提供的协议审计设备的结构图,如图5所示,协议审计设备包括:存储器20,用于存储计算机程序;
处理器21,用于执行计算机程序时实现如上述实施例提到的NAT的检测方法的步骤。
本实施例提供的协议审计设备可以包括但不限于智能手机、平板电脑、笔记本电脑或台式电脑等。
其中,处理器21可以包括一个或多个处理核心,比如4核心处理器、8核心处理器等。处理器21可以采用DSP(Digital Signal Processing,数字信号处理)、FPGA(Field-Programmable Gate Array,现场可编程门阵列)、PLA(Programmable Logic Array,可编程逻辑阵列)中的至少一种硬件形式来实现。处理器21也可以包括主处理器和协处理器,主处理器是用于对在唤醒状态下的数据进行处理的处理器,也称CPU(Central ProcessingUnit,中央处理器);协处理器是用于对在待机状态下的数据进行处理的低功耗处理器。在一些实施例中,处理器21可以在集成有GPU(Graphics Processing Unit,图像处理器),GPU用于负责显示屏所需要显示的内容的渲染和绘制。一些实施例中,处理器21还可以包括AI(Artificial Intelligence,人工智能)处理器,该AI处理器用于处理有关机器学习的计算操作。
存储器20可以包括一个或多个计算机可读存储介质,该计算机可读存储介质可以是非暂态的。存储器20还可包括高速随机存取存储器,以及非易失性存储器,比如一个或多个磁盘存储设备、闪存存储设备。本实施例中,存储器20至少用于存储以下计算机程序201,其中,该计算机程序被处理器21加载并执行之后,能够实现前述任一实施例公开的NAT的检测方法的相关步骤。另外,存储器20所存储的资源还可以包括操作系统202和数据203等,存储方式可以是短暂存储或者永久存储。其中,操作系统202可以包括Windows、Unix、Linux等。数据203可以包括但不限于上述实施例提到的流量数据等。
在一些实施例中,协议审计设备还可包括有显示屏22、输入输出接口23、通信接口24、电源25以及通信总线26。
本领域技术人员可以理解,图5中示出的结构并不构成对协议审计设备的限定,可以包括比图示更多或更少的组件。
本申请实施例提供的协议审计设备,包括存储器和处理器,处理器在执行存储器存储的程序时,能够实现NAT的检测方法,将待检测环境的流量数据作为检测存在NAT的数据来源,在得到流量数据后,从所述流量数据中提取用于表征会话数据唯一性的特征字段,若存在具有相同的通信协议,且具有相同的特征字段的目标会话数据,则确定存在NAT。由此可见,相对于端口转发工具的流量特征而言,用于表征会话数据唯一性的特征字段相对固定,不需要频繁开发新的特征字段,易于维护,维护成本低。
最后,本申请还提供一种计算机可读存储介质对应的实施例。计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时实现如上述方法实施例中记载的步骤。
可以理解的是,如果上述实施例中的方法以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,执行本申请各个实施例方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
以上对本申请所提供的NAT的检测方法、装置、设备及介质进行了详细介绍。说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以对本申请进行若干改进和修饰,这些改进和修饰也落入本申请权利要求的保护范围内。
还需要说明的是,在本说明书中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括要素的过程、方法、物品或者设备中还存在另外的相同要素。
Claims (10)
1.一种NAT的检测方法,其特征在于,包括:
获取待检测环境的流量数据;
从所述流量数据中提取用于表征会话数据唯一性的特征字段;
若存在具有相同的通信协议,且具有相同的特征字段的目标会话数据,则确定存在NAT。
2.根据权利要求1所述的方法,其特征在于,所述流量数据为明文流量数据。
3.根据权利要求1或2所述的方法,其特征在于,所述从所述流量数据中提取用于表征会话数据唯一性的特征字段包括:
按照所述通信协议的类型将所述流量数据解析为预设结构的数据;
按照所述通信协议的会话格式将所述流量数据划分为多条所述会话数据;其中,所述会话数据包括所述特征字段和会话字段;
根据所述通信协议的类型和所述特征字段的类型的对应关系从所述会话数据中提取所述特征字段。
4.根据权利要求3所述的方法,其特征在于,在确定存在所述目标会话数据之前,还包括:
利用哈希函数将所述特征字段转换为哈希指纹。
5.根据权利要求4所述的方法,其特征在于,确定所述目标会话数据的过程包括:
选取一条所述会话数据开始时刻后的预设时长范围内的会话数据;
按照具有相同的通信协议和相同的所述哈希指纹的聚合方式将所述会话数据聚合得到会话集合;
选取所述会话集合中包含多条所述会话数据的目标会话集合;
将所述目标会话集合中所包含的所述会话数据作为所述目标会话数据。
6.根据权利要求5所述的方法,其特征在于,所述会话字段包括目的地址、目的端口、源地址和源端口,对应的,所述方法还包括:
根据所述会话字段确定所述NAT的类型;
其中,在同一个所述目标会话集合中,若存在两条所述目标会话数据满足第一条件,则确定两条所述目标会话数据对应的类型为DNAT;其中,所述第一条件为源地址相同,且目的地址不同;
在同一个所述目标会话集合中,若存在两条所述目标会话数据满足第二条件,则确定两条所述目标会话数据对应的类型为SNAT;其中,所述第二条件为目的地址相同,且源地址不同;
在同一个所述目标会话集合中,若存在两条所述目标会话数据满足第三条件,则确定两条所述目标会话数据对应的类型为端口映射;其中,所述第三条件为一条所述目标会话数据的源地址与另一条所述目标会话数据的目的地址相同;
在同一个所述目标会话集合中,若两条所述目标会话数据不满足所述第一条件、所述第二条件和所述第三条件中的任意一种,则确定两条所述目标会话数据对应的类型为端口转发。
7.根据权利要求6所述的方法,其特征在于,还包括:
构建所述哈希指纹和所述会话字段的对应关系以便通过所述对应关系选取所述目标会话集合。
8.一种NAT的检测装置,其特征在于,包括:
获取模块,用于获取待检测环境的流量数据;
提取模块,用于从所述流量数据中提取用于表征会话数据唯一性的特征字段;
确定模块,用于若存在具有相同的通信协议,且具有相同的特征字段的目标会话数据,则确定存在NAT。
9.一种协议审计设备,其特征在于,包括:包括存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至7任一项所述的NAT的检测方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的NAT的检测方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110120158.2A CN112822204A (zh) | 2021-01-28 | 2021-01-28 | 一种nat的检测方法、装置、设备及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110120158.2A CN112822204A (zh) | 2021-01-28 | 2021-01-28 | 一种nat的检测方法、装置、设备及介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112822204A true CN112822204A (zh) | 2021-05-18 |
Family
ID=75859863
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110120158.2A Pending CN112822204A (zh) | 2021-01-28 | 2021-01-28 | 一种nat的检测方法、装置、设备及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112822204A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116192490A (zh) * | 2023-02-14 | 2023-05-30 | 北京中睿天下信息技术有限公司 | 一种基于流量行为的网络威胁检测方法和系统 |
| CN117579525A (zh) * | 2023-11-20 | 2024-02-20 | 北京思存通信技术有限公司 | 一种网络协议特征识别系统 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1770767A (zh) * | 2005-09-01 | 2006-05-10 | 武汉思为同飞网络技术有限公司 | 对vpn报文进行tcp应用层协议封装的系统及其方法 |
| CN1812394A (zh) * | 2006-03-03 | 2006-08-02 | 清华大学 | 使用即时消息软件的数据检测网络地址转换设备的方法 |
| CN101783804A (zh) * | 2010-02-22 | 2010-07-21 | 建汉科技股份有限公司 | 可提高安全协定封包处理效能的方法 |
| CN103840983A (zh) * | 2014-01-09 | 2014-06-04 | 中国科学技术大学苏州研究院 | 基于协议行为分析的web隧道检测方法 |
| CN109450932A (zh) * | 2018-12-17 | 2019-03-08 | 北京天融信网络安全技术有限公司 | 一种检测方法及装置 |
| CN111565200A (zh) * | 2020-07-14 | 2020-08-21 | 成都数维通信技术有限公司 | 一种基于多路径报文检测分析的nat关联检测方法 |
| CN111786993A (zh) * | 2020-06-30 | 2020-10-16 | 山石网科通信技术股份有限公司 | Dns隧道流量的检测方法及装置 |
-
2021
- 2021-01-28 CN CN202110120158.2A patent/CN112822204A/zh active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1770767A (zh) * | 2005-09-01 | 2006-05-10 | 武汉思为同飞网络技术有限公司 | 对vpn报文进行tcp应用层协议封装的系统及其方法 |
| CN1812394A (zh) * | 2006-03-03 | 2006-08-02 | 清华大学 | 使用即时消息软件的数据检测网络地址转换设备的方法 |
| CN101783804A (zh) * | 2010-02-22 | 2010-07-21 | 建汉科技股份有限公司 | 可提高安全协定封包处理效能的方法 |
| CN103840983A (zh) * | 2014-01-09 | 2014-06-04 | 中国科学技术大学苏州研究院 | 基于协议行为分析的web隧道检测方法 |
| CN109450932A (zh) * | 2018-12-17 | 2019-03-08 | 北京天融信网络安全技术有限公司 | 一种检测方法及装置 |
| CN111786993A (zh) * | 2020-06-30 | 2020-10-16 | 山石网科通信技术股份有限公司 | Dns隧道流量的检测方法及装置 |
| CN111565200A (zh) * | 2020-07-14 | 2020-08-21 | 成都数维通信技术有限公司 | 一种基于多路径报文检测分析的nat关联检测方法 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116192490A (zh) * | 2023-02-14 | 2023-05-30 | 北京中睿天下信息技术有限公司 | 一种基于流量行为的网络威胁检测方法和系统 |
| CN117579525A (zh) * | 2023-11-20 | 2024-02-20 | 北京思存通信技术有限公司 | 一种网络协议特征识别系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107733851B (zh) | 基于通信行为分析的dns隧道木马检测方法 | |
| US8220048B2 (en) | Network intrusion detector with combined protocol analyses, normalization and matching | |
| CN111526121B (zh) | 入侵防御方法、装置、电子设备及计算机可读介质 | |
| US20180034837A1 (en) | Identifying compromised computing devices in a network | |
| US10440035B2 (en) | Identifying malicious communication channels in network traffic by generating data based on adaptive sampling | |
| WO2018076697A1 (zh) | 僵尸特征的检测方法和装置 | |
| CN112822204A (zh) | 一种nat的检测方法、装置、设备及介质 | |
| CN111193633B (zh) | 异常网络连接的检测方法及装置 | |
| KR102280845B1 (ko) | 네트워크 내의 비정상 행위 탐지 방법 및 그 장치 | |
| CN113518042B (zh) | 一种数据处理方法、装置、设备及存储介质 | |
| WO2019163963A1 (ja) | トラヒック特徴情報抽出装置、トラヒック特徴情報抽出方法、及びトラヒック特徴情報抽出プログラム | |
| KR20170122548A (ko) | 비정상 프로세스의 연관 데이터 분석을 이용한 apt 공격 인지 방법 및 장치 | |
| CN112688932A (zh) | 蜜罐生成方法、装置、设备及计算机可读存储介质 | |
| CN113923192A (zh) | 一种流量审计方法、装置、系统、设备和介质 | |
| CN112839054A (zh) | 一种网络攻击检测方法、装置、设备及介质 | |
| CN113746810A (zh) | 一种网络攻击诱导方法、装置、设备及存储介质 | |
| WO2019043804A1 (ja) | ログ分析装置、ログ分析方法及びコンピュータ読み取り可能記録媒体 | |
| CN111404956A (zh) | 一种风险信息获取方法、装置、电子设备及存储介质 | |
| JP6592196B2 (ja) | 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム | |
| CN113037748A (zh) | 一种c&c信道混合检测方法及系统 | |
| EP3718284B1 (en) | Extending encrypted traffic analytics with traffic flow data | |
| US9794274B2 (en) | Information processing apparatus, information processing method, and computer readable medium | |
| CN112640392B (zh) | 一种木马检测方法、装置和设备 | |
| JP6708575B2 (ja) | 分類装置、分類方法および分類プログラム | |
| CN113810342B (zh) | 一种入侵检测方法、装置、设备、介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210518 |
|
| RJ01 | Rejection of invention patent application after publication |