CN113938460A

CN113938460A - 一种网络检测方法、装置、电子设备和存储介质

Info

Publication number: CN113938460A
Application number: CN202111414030.3A
Authority: CN
Inventors: 郭翔; 许剑
Original assignee: Beijing Topsec Technology Co Ltd; Beijing Topsec Network Security Technology Co Ltd; Beijing Topsec Software Co Ltd; Hubei Topsec Network Security Technology Co Ltd
Current assignee: Beijing Topsec Technology Co Ltd; Beijing Topsec Network Security Technology Co Ltd; Beijing Topsec Software Co Ltd; Hubei Topsec Network Security Technology Co Ltd
Priority date: 2021-11-25
Filing date: 2021-11-25
Publication date: 2022-01-14

Abstract

本申请实施例提供一种网络检测方法、装置、电子设备和存储介质，该方法包括：获取局域网流量报文；在所述流量报文中获取会话信息；确定所述会话信息对应的通信终端；判断所述流量报文中所述通信终端的MAC地址是否发生变化；若是，根据所述通信终端的IP地址的变化状态获取所述通信终端的安全状态。实施本申请实施例，可以快速地在局域网内检测出不安全终端，同时不需要部署复杂的防火墙。

Description

一种网络检测方法、装置、电子设备和存储介质

技术领域

本申请涉及网络安全技术领域，具体而言，涉及一种网络检测方法、装置、电子设备和计算机可读存储介质。

背景技术

目前互联网高速发展，网络给人们的生活和工作带来了巨大便利，但是随之而来的就是网络安全问题，网络安全问题不容忽视，针对局域网内的网络安全还是重中之重，典型漏洞攻击“永恒之蓝”、OpenSSL“心脏滴血”仍然给网络带来巨大威胁，终端安全十分重要，网络中私自接入路由器或者开启网络代理共享网络也给网络管理带来不便。目前，企业或单位内部终端多样性，不便统一安装软件管理，以及网络结构复杂，无法广泛部署防火墙来确保局域网安全性。

发明内容

本申请实施例的目的在于提供一种网络检测方法、装置、电子设备和存储介质，不需要部署复杂的防火墙，只需要简单地解析就可以确定局域网内的不安全终端，确保网络的安全性。

第一方面，本申请实施例提供了一种网络检测方法，所述方法包括：

获取局域网的流量报文；

在所述流量报文中获取会话信息；

确定所述会话信息对应的通信终端；

判断所述流量报文中所述通信终端的MAC地址是否发生变化；

若是，根据所述通信终端的IP地址的变化状态获取所述通信终端的安全状态。

在上述实现过程中，获取局域网的流量报文，在流量报文中确定会话信息，进一步确定会话对应的通信终端，每台终端设备的MAC地址都是不变的，如果流量报文中获取到的通信终端的MAC地址发生改变，可以初步确定该终端为未知终端，对未知终端的IP地址进一步检测确定未知终端是否为不安全终端。相比于现有技术，不需要部署复杂的防火墙，只需要简单地解析就可以确定局域网内的不安全终端，且可以快速地在局域网内检测出不安全终端。

进一步地，在确定所述会话信息对应的通信终端的步骤之后，还包括：

获取所述流量报文的通信协议；

若所述通信协议为TCP，发送TCP-SYN报文到所述通信终端不允许开放的端口；判断是否获取到所述通信终端不允许开放的端口的响应报文；若否，将所述通信终端确定为不安全终端；

若所述通信协议为UDP，判断是否获取到所述通信终端不允许开放的端口发送的端口不可达报文；若是，将所述通信终端确定为不安全终端。

在上述实现过程中，通过对不允许开放的端口的扫描，能够确定通信终端是否开放了不允许开放的端口，如果是，则可以确定该终端为不安全终端。基于上述实施方式，能够提高检测的准确性。

进一步地，在所述获取所述流量报文的通信协议的步骤之后，还包括：

判断所述流量报文对应的数据包中的多个流量报文的标志字段对应的值是否连续；

若否，将所述通信终端确定为不安全终端。

在上述实现过程中，正常情况下，终端每发一个报文，报文中标志字段对应的值加1。终端正常进行网络通信时，每一个数据包中流量报文的标志字段对应的值是连续的，而若终端是动态地址NAT、地址端口转换NAPT或者局域网内使用他人代理进行网络连接时，数据包流量报文的标志字段对应的值则不是连续的，可以根据此字段值的连续性来判断该IP地址下是否有多个终端，是否为动态地址NAT、地址端口转换NAPT或者局域网内开启网络代理。

进一步地，所述通信终端包括：接收端和发送端；

在所述将所述通信终端确定为不安全终端的步骤之后，还包括：

若所述通信协议为TCP，构造RST数据包，发送到所述接收端；

若所述通信协议为UDP，构造端口不可达报文，发送到所发送端。

在上述实现过程中，针对采用TCP协议进行通信的通信终端，构造RST的数据包发到接收端，相对于发送端而言，局域网内的接收端可以在连接建立之前到达终端，从而阻断连接。针对采用UDP进行通信的通信终端，构造UDP端口不可达报文，发向发送端，可以达到阻断通信的效果。

第二方面，本申请实施例提供一种网络检测装置，所述装置包括：

获取模块，用于获取局域网的流量报文；

会话信息获取模块，用于在所述流量报文中获取会话信息；

确定模块，用于确定所述会话信息对应的通信终端；

判断模块，用于判断所述流量报文中所述通信终端的MAC地址是否发生变化；

状态获取模块，用于当所述判断模块的判断结果为是时，根据所述通信终端的IP地址的变化状态获取所述通信终端的安全状态。

在上述实现过程中，获取模块获取局域网的流量报文，在流量报文中确定会话信息，会话信息获取模块进一步确定会话对应的通信终端，确定模块每台终端设备的MAC地址都是不变的，如果流量报文中获取到的通信终端的MAC地址发生改变，可以初步确定该终端为未知终端，状态获取模块对未知终端的IP地址进一步检测确定未知终端是否为不安全终端。相比于现有技术，不需布置庞大的防火墙，只需要简单地解析就可以确定不安全终端。

进一步地，所述获取模块还用于获取所述流量报文的通信协议；

所述装置还包括发送模块，用于在所述通信协议为TCP时，发送TCP-SYN报文到所述通信终端不允许开放的端口；所述判断模块还用于判断是否获取到所述通信终端不允许开放的端口的响应报文；若否，将所述通信终端确定为不安全终端；

所述判断模块还用于在所述通信协议为UDP时，判断是否获取到所述通信终端不允许开放的端口发送的端口不可达报文；若是，将所述通信终端确定为不安全终端。

进一步地，所述判断模块还用于判断所述流量报文对应的数据包中的多个流量报文的标志字段对应的值是否连续；若否，将所述通信终端确定为不安全终端。

在上述实现过程中，正常情况下，终端每发一个报文，报文中标志字段对应的值加1。两个终端正常进行网络连接时，每一个数据包中IP数据包头中标志字段对应的值是连续的，而若终端是动态地址NAT、地址端口转换NAPT或者局域网内使用他人代理进行网络连接时，IP数据包中IP数据包头中标志字段对应的值则不是连续的，可以根据此字段值的连续性来判断该IP地址下是否有多个终端，是否为动态地址NAT、地址端口转换NAPT或者局域网内开启网络代理。

进一步地，所述通信终端包括：接收端和发送端；

所述发送模块还用于在所述通信协议为TCP时，构造RST数据包，发送到所述接收端；在所述通信协议为UDP时，构造端口不可达报文，发送到所发送端。

在上述实现过程中，针对采用TCP协议进行通信的通信终端，发送模块构造RST的数据包发到接收端，相对于发送端而言，局域网内的接收端可以在连接建立之前到达终端，从而阻断连接。针对采用UDP进行通信的通信终端，阻断模块构造UDP端口不可达报文，发向发送端，可以达到阻断通信的效果。

第三方面，本申请实施例提供的一种电子设备，包括：存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现如第一方面任一项所述的方法的步骤。

第四方面，本申请实施例提供的一种计算机可读存储介质，所述计算机可读存储介质上存储有指令，当所述指令在计算机上运行时，使得所述计算机执行如第一方面任一项所述的方法。

第五方面，本申请实施例提供的一种计算机程序产品，所述计算机程序产品在计算机上运行时，使得计算机执行如第一方面任一项所述的方法。

本申请公开的其他特征和优点将在随后的说明书中阐述，或者，部分特征和优点可以从说明书推知或毫无疑义地确定，或者通过实施本申请公开的上述技术即可得知。

为使本申请的上述目的、特征和优点能更明显易懂，下文特举较佳实施例，并配合所附附图，作详细说明如下。

附图说明

为了更清楚地说明本申请实施例的技术方案，下面将对本申请实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本申请的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。

图1为本申请实施例提供的网络检测方法的流程示意图；

图2为本申请实施例提供的网络检测装置的结构图；

图3为本申请实施例提供的电子设备的结构示意图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行描述。

应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。同时，在本申请的描述中，术语“第一”、“第二”等仅用于区分描述，而不能理解为指示或暗示相对重要性。

实施例1

参见图1，本申请实施例提供了一种网络检测方法，包括：

S1：获取局域网的流量报文；

S2：在流量报文中获取会话信息；

S3：确定会话信息对应的通信终端；

S4：判断流量报文中通信终端的MAC地址是否发生变化；若是，执行S5；

S5：根据通信终端的IP地址的变化状态获取通信终端的安全状态。

在一种可能的实施方式中，可以通过旁路部署的方式获取局域网内的流量报文。

在上述实现过程中，获取局域网的流量报文，在流量报文中确定会话信息，进一步确定会话对应的通信终端，每台终端设备的MAC(Media Access ControlAddress，媒体存取控制位址)地址都是不变的，如果流量报文中获取到的通信终端的MAC地址发生改变，可以初步确定该终端为未知终端，对未知终端的IP地址进一步检测确定未知终端是否为不安全终端。相比于现有技术，不需布置庞大的防火墙，只需要简单地解析就可以确定不安全终端。

在一种可能的实施方式中，在S4中，对数据包中的流量报文进行解析，判断数据包中的多个数据报文中的MAC地址是否不同，如果不同，则判定通信终端的MAC地址发生变化。

在一种可能的实施方式中S5包括：判断通信终端的IP地址是否发生变化，若是，确定通信终端为不安全终端。

上述实施例中，判断通信终端的IP地址(Internet ProtocolAddress，网际互连协议)发生变化的具体步骤是，在一个数据包内的多个报文中获取的IP地址是否是不相同的。比如在一个数据包内，存在两个数据报文，两个数据报文中解析出来的源地址不同或者目的地址不同。如果源地址不同，那么源地址对应的终端设备为不安全终端，如果目的地址不同，那么目的地址对应的终端设备为不安全终端。

参见图2，在一种可能的实施方式中，在S3之后，还包括：

获取流量报文的通信协议；

若通信协议为TCP(Transmission ControlProtocol，传输控制协议)，发送TCP-SYN(Transmission Control Protocol-synchronous，TCP-SYN)报文到通信终端不允许开放的端口；判断是否获取到通信终端不允许开放的端口的响应报文；若否，将通信终端确定为不安全终端；

若通信协议为UDP(User DatagramProtocol，用户数据包协议)，判断是否获取到通信终端不允许开放的端口发送的端口不可达报文；若是，将通信终端确定为不安全终端。

在上述实现过程中，通过对不允许开放的端口的扫描，能够确定通信终端是否开放了不允许开放的端口，如果通信终端开放了不安全的端口，则可以判定该终端可能被病毒入侵，可以确定该终端为不安全终端。基于上述实施方式，能够提高检测的准确性。

在一种可能的实施方式中，获取流量报文的通信协议的步骤之后，方法还包括：

判断流量报文对应的数据包中多个流量报文的的标志字段对应的值是否连续；

若否，将通信终端确定为不安全终端。

在上述实现过程中，正常情况下，终端每发一个报文，报文中标志字段对应的值加1。终端正常进行网络通信时，每一个数据包中流量报文的标志字段对应的值是连续的，而若终端是动态地址NAT(NetworkAddress Translation，网络地址转换)、地址端口转换NAPT(Network Address Port Translation，网络地址端口转换)或者局域网内使用他人代理进行网络连接时，数据包流量报文的标志字段对应的值则不是连续的，可以根据此字段值的连续性来判断该IP地址下是否有多个终端，是否为动态地址NAT、地址端口转换NAPT或者局域网内开启网络代理。

在一种可能的实施方式中，通信终端包括：接收端和发送端；

在将通信终端确定为不安全终端的步骤之后，还包括：

若通信协议为TCP，构造重置(Reset，RST)数据包，发送到接收端；

若通信协议为UDP，构造端口不可达报文，发送到所发送端。

实施例2

参见图2，本申请实施例提供一种网络检测装置，包括：

获取模块1，用于获取局域网的流量报文；

会话信息获取模块2，用于在所述流量报文中获取会话信息；

确定模块3，用于确定所述会话信息对应的通信终端；

判断模块4，用于判断所述流量报文中所述通信终端的MAC地址是否发生变化；

状态获取模块5，用于当所述判断模块4的判断结果为是时，根据所述通信终端的IP地址的变化状态获取所述通信终端的安全状态。

在上述实现过程中，获取模块1获取局域网的流量报文，在流量报文中确定会话信息，会话信息获取模块2进一步确定会话对应的通信终端，确定模块3每台终端设备的MAC地址都是不变的，如果流量报文中获取到的通信终端的MAC地址发生改变，可以初步确定该终端为未知终端，对未知终端的IP地址进一步检测确定未知终端是否为不安全终端。相比于现有技术，本申请实施例不需布置庞大的防火墙，只需要简单地解析就可以确定不安全终端。

进一步地，所述获取模块1还用于获取所述流量报文的通信协议；

所述装置还包括发送模块，用于在所述通信协议为TCP时，发送建立联机报文到所述通信终端不允许开放的端口；所述判断模块4还用于判断是否获取到所述通信终端不允许开放的端口的响应报文；若否，将所述通信终端确定为不安全终端；

所述判断模块4还用于在所述通信协议为UDP时，判断是否获取到所述通信终端不允许开放的端口发送的端口不可达报文；若是，将所述通信终端确定为不安全终端。

通过对不允许开放的端口的扫描，能够确定通信终端是否开放了不允许开放的端口，如果是，则可以确定该终端为不安全终端。基于上述实施方式，能够提高检测的准确性。

所述判断模块4还用于判断所述流量报文对应的数据包中的多个流量报文的标志字段对应的值是否连续；若否，将所述通信终端确定为不安全终端。

进一步地，所述通信终端包括：接收端和发送端；

在上述实现过程中，针对采用TCP协议进行通信的通信终端，发送模块RST的数据包发到接收端，相对于发送端而言，局域网内的接收端可以在连接建立之前到达终端，从而阻断连接。针对采用UDP进行通信的通信终端，阻断模块构造UDP端口不可达报文，发向发送端，可以达到阻断通信的效果。

实施例3

如图3所示，本申请实施例还提供一种电子设备，该电子设备可以包括处理器31、通信接口32、存储器33和至少一个通信总线34。其中，通信总线34用于实现这些组件直接的连接通信。其中，本申请实施例中设备的通信接口32用于与其他节点设备进行信令或数据的通信。处理器31可以是一种集成电路芯片，具有信号的处理能力。

上述的处理器31可以是通用处理器，包括中央处理器(Central ProcessingUnit，CPU)、网络处理器(Network Processor，NP)等；还可以是数字信号处理器(DSP)、专用集成电路(ASIC)、现成可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器31也可以是任何常规的处理器等。

存储器33可以是，但不限于，随机存取存储器(Random Access Memory，RAM)，只读存储器(Read Only Memory，ROM)，可编程只读存储器(Programmable Read-Only Memory，PROM)，可擦除只读存储器(Erasable Programmable Read-Only Memory，EPROM)，电可擦除只读存储器(Electric Erasable Programmable Read-Only Memory，EEPROM)等。存储器33中存储有计算机可读取指令，当计算机可读取指令由所述处理器31执行时，设备可以执行上述图1方法实施例涉及的各个步骤。

可选地，电子设备还可以包括存储控制器、输入输出单元。存储器33、存储控制器、处理器31、外设接口、输入输出单元各元件相互之间直接或间接地电性连接，以实现数据的传输或交互。例如，这些元件相互之间可通过一条或多条通信总线34实现电性连接。处理器31用于执行存储器33中存储的可执行模块，例如设备包括的软件功能模块或计算机程序。

输入输出单元用于提供给用户创建任务以及为该任务创建启动可选时段或预设执行时间以实现用户与服务器的交互。输入输出单元可以是，但不限于，鼠标和键盘等。

可以理解，图3所示的结构仅为示意，电子设备还可包括比图3中所示更多或者更少的组件，或者具有与图3所示不同的配置。图3中所示的各组件可以采用硬件、软件或其组合实现。

本申请实施例还提供一种计算机可读取存储介质，该存储介质上存储有指令，当所述指令在计算机上运行时，所述计算机程序被处理器执行时实现方法实施例所述的方法，为避免重复，此处不再赘述。

实施例4

本申请实施例提供一种计算机可读存储介质，所述计算机可读存储介质上存储有指令，当所述指令在计算机上运行时，使得所述计算机执行如实施例1所述的方法。

在本申请所提供的几个实施例中，应该理解到，所揭露的装置和方法，也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的，例如，附图中的流程图和框图显示了根据本申请的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分，所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现方式中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

另外，在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分，也可以是各个模块单独存在，也可以两个或两个以上模块集成形成一个独立的部分。

所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述仅为本申请的实施例而已，并不用于限制本申请的保护范围，对于本领域的技术人员来说，本申请可以有各种更改和变化。凡在本申请的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本申请的保护范围之内。应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应所述以权利要求的保护范围为准。

需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

Claims

1.一种网络检测方法，其特征在于，所述方法包括：

获取局域网的流量报文；

在所述流量报文中获取会话信息；

确定所述会话信息对应的通信终端；

判断所述流量报文中所述通信终端的MAC地址是否发生变化；

2.根据权利要求1所述的网络检测方法，其特征在于，在确定所述会话信息对应的通信终端的步骤之后，还包括：

获取所述流量报文的通信协议；

3.根据权利要求2所述的网络检测方法，其特征在于，在所述获取所述流量报文的通信协议的步骤之后，还包括：

若否，将所述通信终端确定为不安全终端。

4.根据权利要求2或3所述的网络检测方法，其特征在于，所述通信终端包括：接收端和发送端；

若所述通信协议为TCP，构造RST数据包，发送到所述接收端；

5.一种网络检测装置，其特征在于，所述装置包括：

获取模块，用于获取局域网的流量报文；

会话信息获取模块，用于在所述流量报文中获取会话信息；

确定模块，用于确定所述会话信息对应的通信终端；

6.根据权利要求5所述的网络检测装置，其特征在于，所述获取模块还用于获取所述流量报文的通信协议；

7.根据权利要求6所述的网络检测装置，其特征在于，所述判断模块还用于判断所述流量报文对应的数据包中的多个流量报文的标志字段对应的值是否连续；若否，将所述通信终端确定为不安全终端。

8.根据权利要求6或7所述的网络检测装置，其特征在于，所述通信终端包括：接收端和发送端；

9.一种电子设备，其特征在于，包括：存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现如权利要求1-4任一项所述的网络检测方法。

10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质上存储有指令，当所述指令在计算机上运行时，使得所述计算机执行如权利要求1-4任一项所述的网络检测方法。