CN112887264B - 一种针对nat接入设备的违规外联检测方法 - Google Patents
一种针对nat接入设备的违规外联检测方法 Download PDFInfo
- Publication number
- CN112887264B CN112887264B CN202011608793.7A CN202011608793A CN112887264B CN 112887264 B CN112887264 B CN 112887264B CN 202011608793 A CN202011608793 A CN 202011608793A CN 112887264 B CN112887264 B CN 112887264B
- Authority
- CN
- China
- Prior art keywords
- information
- chkurl
- equipment
- turning
- key value
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 17
- 238000000034 method Methods 0.000 claims abstract description 11
- 235000014510 cooky Nutrition 0.000 claims description 4
- 230000001960 triggered effect Effects 0.000 claims description 3
- 238000005516 engineering process Methods 0.000 description 2
- 238000013519 translation Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提出了一种针对NAT接入设备的违规外联检测方法,包括如下步骤:S1、在核心交换机上旁路部署网关硬件设备,并将网络流量信息提供给网关硬件设备;S2、实时分析流量信息;S3、若不存在chkurl信息的转至步骤S4,否则转至步骤S5;S4、网关硬件设备使用Set‑Cookie值入chkurl键及chkurl键值;S5、判断chkurl键值是否与当前报文的请求路径一致,若不一致转至步骤S6,否则转至S7;S6、判断chkurl键值内的时间信息是否超时,若超时则转至步骤S4;S7、判断chkurl键值内的时间信息是否超过检测周期,若未超过检测周期则结束,否则,继续执行步骤S8;S8、网关硬件设备值入带有连接告警系统请求的脚本,以检测设备外联的情况,解决了NAT接入设备无法有效的全面的进行违规外联检测的问题。
Description
【技术领域】
本发明涉及网络安全检测的技术领域,特别是一种针对NAT接入设备的违规外联检测方法。
【背景技术】
NAT(Network Address Translation),即网络地址转换技术,作为目前IPv4地址资源日益枯竭的临时解决办法被广泛的运用,大至运营商,小至家庭网络都有它的身影。NAT的运用在极大的降低了网络接入的门槛的同时使得网络拓扑变得更加复杂,大大增加了运维管理的难度。特别是有专用需求需要隔离保护禁止违规外联的网络,对于NAT接入的私网设备甚至无法进行有效的管理。为解决以上问题,有必要提出针对NAT接入设备的违规外联检测方法,用于检测网络中NAT接入的设备的网络连接情况。
【发明内容】
本发明的目的在于克服上述现有技术的不足,提供一种针对NAT接入设备的违规外联检测方法,其旨在解决使用现有技术无法有效发现并检测通过NAT形式接入网络的设备与互联网等其他网络的通联情况的问题。
为实现上述目的,本发明提出了一种针对NAT接入设备的违规外联检测方法,包括如下步骤:
S1、在核心交换机上旁路部署网关硬件设备,并将所有流经核心交换机的网络流量信息提供给网关硬件设备;
S2、网关硬件设备实时分析得到的流量信息,分离出HTTP数据流,并对GET\POST报文信息进行深度分析;
S3、解析GET\POST报文中的cookie信息,提取chkurl键值信息,若不存在chkurl信息的转至步骤S4,若提取到chkurl信息则转至步骤S5;
S4、网关硬件设备根据HTTP流信息,伪造HTTP响应报文,并使用Set-Cookie值入chkurl键及chkurl键值;同时结束对该条信息流的其他操作;
S5、判断chkurl键值内的url信息是否与当前报文的请求路径一致,若不一致转至步骤S6,若一致则转至S7;
S6、判断chkurl键值内的时间信息是否超时,若超时则转至步骤S4;否则,结束对该条信息流的操作;
S7、判断chkurl键值内的时间信息是否超过检测周期,若未超过检测周期则结束对该条信息流的操作,若已超过检测周期则继续执行步骤S8;
S8、网关硬件设备根据HTTP流信息,伪造HTTP响应报文,使用Set-Cookie更新chkurl键值内的时间信息,并值入带有连接告警系统请求的脚本,使终端设备自行发起对告警系统的连接,若设备存在违规外联则其能直接连接上告警系统,进而触发违规外联告警。
作为优选,步骤S1中,网络流量信息通过镜像形式提供给网关硬件设备。
作为优选,步骤S4中的chkurl键值包含当前请求的url路径及时间信息。
本发明的有益效果:与传统终端代理程序相比,部署方便无需要求在所有设备上安装代理程序即可检测全网设备。同时能有效处理所有通过NAT接入而导致内网IP一致的设备,大大的降低了漏检几率。
本发明的特征及优点将通过实施例结合附图进行详细说明。
【附图说明】
图1是本发明一种针对NAT接入设备的违规外联检测方法的流程图。
【具体实施方式】
参阅图1,本发明实施例提供了一种针对NAT接入设备的违规外联检测方法,包括如下步骤:
S1、在核心交换机上旁路部署网关硬件设备,并将所有流经核心交换机的网络流量信息通过镜像形式提供给网关硬件设备;
S2、网关硬件设备实时分析得到的流量信息,分离出HTTP数据流,并对GET\POST报文信息进行深度分析;
S3、解析GET\POST报文中的cookie信息,提取chkurl键值信息,若不存在chkurl信息的转至步骤S4,若提取到chkurl信息则转至步骤S5;
S4、网关硬件设备根据HTTP流信息,伪造HTTP响应报文,并使用Set-Cookie值入chkurl键及chkurl键值,chkurl键值包含当前请求的url路径及时间信息,同时结束对该条信息流的其他操作;
S5、判断chkurl键值内的url信息是否与当前报文的请求路径一致,若不一致转至步骤S6,若一致则转至S7;
S6、判断chkurl键值内的时间信息是否超时,若超时则转至步骤S4;否则,结束对该条信息流的操作;
S7、判断chkurl键值内的时间信息是否超过检测周期,若未超过检测周期则结束对该条信息流的操作,若已超过检测周期则继续执行步骤S8;
S8、网关硬件设备根据HTTP流信息,伪造HTTP响应报文,使用Set-Cookie更新chkurl键值内的时间信息,并值入带有连接告警系统请求的脚本,使终端设备自行发起对告警系统的连接,若设备存在违规外联则其能直接连接上告警系统,进而触发违规外联告警。
本发明一种针对NAT接入设备的违规外联检测方法,通过值入特殊的cookie信息,从而避免了NAT接入设备无法进行明确分辨的情况,从而有效的解决了NAT接入设备无法有效的全面的进行违规外联检测的问题。
上述实施例是对本发明的说明,不是对本发明的限定,任何对本发明简单变换后的方案均属于本发明的保护范围。
Claims (3)
1.一种针对NAT接入设备的违规外联检测方法,其特征在于:包括如下步骤:
S1、在核心交换机上旁路部署网关硬件设备,并将所有流经核心交换机的网络流量信息提供给网关硬件设备;
S2、网关硬件设备实时分析得到的流量信息,分离出HTTP数据流,并对GET\POST报文信息进行深度分析;
S3、解析GET\POST报文中的cookie信息,提取chkurl键值信息,若不存在chkurl信息的转至步骤S4,若提取到chkurl信息则转至步骤S5;
S4、网关硬件设备根据HTTP流信息,伪造HTTP响应报文,并使用Set-Cookie值入chkurl键及chkurl键值;同时结束对该条信息流的其他操作;
S5、判断chkurl键值内的url信息是否与当前报文的请求路径一致,若不一致转至步骤S6,若一致则转至S7;
S6、判断chkurl键值内的时间信息是否超时,若超时则转至步骤S4;否则,结束对该条信息流的操作;
S7、判断chkurl键值内的时间信息是否超过检测周期,若未超过检测周期则结束对该条信息流的操作,若已超过检测周期则继续执行步骤S8;
S8、网关硬件设备根据HTTP流信息,伪造HTTP响应报文,使用Set-Cookie更新chkurl键值内的时间信息,并值入带有连接告警系统请求的脚本,使终端设备自行发起对告警系统的连接,若设备存在违规外联则其能直接连接上告警系统,进而触发违规外联告警。
2.如权利要求1所述的一种针对NAT接入设备的违规外联检测方法,其特征在于:步骤S1中,网络流量信息通过镜像形式提供给网关硬件设备。
3.如权利要求1所述的一种针对NAT接入设备的违规外联检测方法,其特征在于:步骤S4中的chkurl键值包含当前请求的url路径及时间信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011608793.7A CN112887264B (zh) | 2020-12-30 | 2020-12-30 | 一种针对nat接入设备的违规外联检测方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011608793.7A CN112887264B (zh) | 2020-12-30 | 2020-12-30 | 一种针对nat接入设备的违规外联检测方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112887264A CN112887264A (zh) | 2021-06-01 |
| CN112887264B true CN112887264B (zh) | 2024-02-02 |
Family
ID=76047886
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011608793.7A Active CN112887264B (zh) | 2020-12-30 | 2020-12-30 | 一种针对nat接入设备的违规外联检测方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112887264B (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20030057929A (ko) * | 2001-12-29 | 2003-07-07 | (주)대정아이앤씨 | 내·외부망 통합 보안 시스템 및 방법 |
| CN111130931A (zh) * | 2019-12-17 | 2020-05-08 | 杭州迪普科技股份有限公司 | 一种违规外联设备的检测方法及装置 |
| CN111917706A (zh) * | 2020-05-21 | 2020-11-10 | 西安交大捷普网络科技有限公司 | 一种识别nat设备及确定nat后终端数的方法 |
| CN111970233A (zh) * | 2020-06-30 | 2020-11-20 | 浙江远望信息股份有限公司 | 一种网络违规外联场景的分析识别方法 |
| CN111970234A (zh) * | 2020-06-30 | 2020-11-20 | 浙江远望信息股份有限公司 | 一种基于Cookie的NAT私网接入违规外联设备的取证方法 |
-
2020
- 2020-12-30 CN CN202011608793.7A patent/CN112887264B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20030057929A (ko) * | 2001-12-29 | 2003-07-07 | (주)대정아이앤씨 | 내·외부망 통합 보안 시스템 및 방법 |
| CN111130931A (zh) * | 2019-12-17 | 2020-05-08 | 杭州迪普科技股份有限公司 | 一种违规外联设备的检测方法及装置 |
| CN111917706A (zh) * | 2020-05-21 | 2020-11-10 | 西安交大捷普网络科技有限公司 | 一种识别nat设备及确定nat后终端数的方法 |
| CN111970233A (zh) * | 2020-06-30 | 2020-11-20 | 浙江远望信息股份有限公司 | 一种网络违规外联场景的分析识别方法 |
| CN111970234A (zh) * | 2020-06-30 | 2020-11-20 | 浙江远望信息股份有限公司 | 一种基于Cookie的NAT私网接入违规外联设备的取证方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112887264A (zh) | 2021-06-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106506242B (zh) | 一种网络异常行为和流量监测的精确定位方法与系统 | |
| CN103795709A (zh) | 一种网络安全检测方法和系统 | |
| US20060212942A1 (en) | Semantically-aware network intrusion signature generator | |
| CN104579818A (zh) | 智能变电站网络异常报文检测方法 | |
| KR20140093060A (ko) | 지연시간 기반 역 접속 탐지 시스템 및 그 탐지 방법 | |
| CN111970234A (zh) | 一种基于Cookie的NAT私网接入违规外联设备的取证方法 | |
| CN106452955B (zh) | 一种异常网络连接的检测方法及系统 | |
| CN106992955A (zh) | Apt防火墙 | |
| CN110798427A (zh) | 一种网络安全防御中的异常检测方法、装置及设备 | |
| CN113691566A (zh) | 基于空间测绘和网络流量统计的邮件服务器窃密检测方法 | |
| CN103607373A (zh) | 单一服务端口实现多种网络协议代理的方法 | |
| CN105959289A (zh) | 一种基于自学习的OPC Classic协议的安全检测方法 | |
| Paul et al. | Towards the protection of industrial control systems–conclusions of a vulnerability analysis of profinet IO | |
| CN111970233A (zh) | 一种网络违规外联场景的分析识别方法 | |
| CN114339767B (zh) | 一种信令检测方法、装置、电子设备及存储介质 | |
| CN112887264B (zh) | 一种针对nat接入设备的违规外联检测方法 | |
| CN101547127B (zh) | 一种内、外网络报文的识别方法 | |
| CN106790020B (zh) | 一种基于攻击范式的互联网异常行为检测方法与系统 | |
| US20040233849A1 (en) | Methodologies, systems and computer readable media for identifying candidate relay nodes on a network architecture | |
| CN117375942A (zh) | 基于节点清洗防范DDoS攻击的方法及装置 | |
| CN107395643B (zh) | 一种基于扫描探针行为的源ip保护方法 | |
| CN114301796B (zh) | 预测态势感知的验证方法、装置及系统 | |
| CN113596037B (zh) | 一种基于网络全流量中事件关系有向图的apt攻击检测方法 | |
| TWI728901B (zh) | 雙模式切換之阻斷網路連線的方法 | |
| KR102160537B1 (ko) | 스마트 게이트웨이를 구비한 디지털변전소 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB03 | Change of inventor or designer information |
Inventor after: Yang Ling Inventor after: Wang Xingqi Inventor after: Shao Senlong Inventor after: Shen Li Inventor after: Cai Gao Inventor before: Fu Yuhao Inventor before: Wang Qianlv Inventor before: Wang Xingqi Inventor before: Meng Feifei |
|
| CB03 | Change of inventor or designer information | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |