CN115514555A - 网络信息处理方法、装置、电子设备及可读存储介质 - Google Patents
网络信息处理方法、装置、电子设备及可读存储介质 Download PDFInfo
- Publication number
- CN115514555A CN115514555A CN202211142521.1A CN202211142521A CN115514555A CN 115514555 A CN115514555 A CN 115514555A CN 202211142521 A CN202211142521 A CN 202211142521A CN 115514555 A CN115514555 A CN 115514555A
- Authority
- CN
- China
- Prior art keywords
- address
- mapping table
- source
- intranet
- information mapping
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
Abstract
本申请提供了一种网络信息处理方法、装置、电子设备及可读存储介质,该方法包括:实时获取各发送设备发送的数据报文;从所述数据报文中获取源IP地址以及源媒体访问控制地址;根据获取到的源IP地址以及源媒体访问控制地址更新内网信息映射表,其中,所述内网信息映射表用于保存内网中的IP地址以及媒体访问控制地址的映射关系,所述内网信息映射表中一条映射关系中的IP地址和媒体访问控制地址属于同一发送设备;根据所述内网信息映射表实时进行网络监测。该方法能够实现准确快速的内外网属性识别,并且,能够避免现有技术中无法保证网络安全的问题。
Description
技术领域
本申请涉及网络通信技术领域,具体而言,涉及一种网络信息处理方法、装置、电子设备及可读存储介质。
背景技术
内网即局域网是指在某一区域由多台计算机互联的封闭型网络,例如针对学校、企业等建立的内部专用网络。外网即广域网是指连接不同地区局域网或城域网计算机通信的远程网。通过内外网属性的识别,可以在出现网络违规操作时及时追溯到违规人员,以确保网络安全。
现有技术中,识别内外网属性的方法通过固定的私有IP段地址被动识别,但是在无局域网线下,并没有遵循该IP段规则,准确率不高;或者通过主动探测去进行网络属性的探测,这种方式需要发送探测报文,这会影响到用户网络,并且容易被拦截。
因此,现有技术的方法存在内外网属性识别结果准确率低、难以保证网络安全的技术问题。
发明内容
本申请的目的在于,针对上述现有技术中的不足,提供一种网络信息处理方法、装置、电子设备及可读存储介质,以解决现有技术中内外网属性识别结果准确率低、难以保证网络安全的技术问题的问题。
为实现上述目的,本申请实施例采用的技术方案如下:
第一方面,本申请一实施例提供了一种网络信息处理方法,所述方法包括:
实时获取各发送设备发送的数据报文;
从所述数据报文中获取源IP地址以及源媒体访问控制地址;
根据获取到的源IP地址以及源媒体访问控制地址更新内网信息映射表,其中,所述内网信息映射表用于保存内网中的IP地址以及媒体访问控制地址的映射关系,所述内网信息映射表中一条映射关系中的IP地址和媒体访问控制地址属于同一发送设备;
根据所述内网信息映射表实时进行网络监测。
作为一种可能的实现方式,所述根据获取到的源IP地址以及源媒体访问控制地址更新内网信息映射表,包括:
若获取到的源媒体访问控制地址在所述内网信息映射表中不存在,则将获取到的源IP地址和源媒体访问控制地址组成一条的映射关系增加至所述内网信息映射表中。
作为一种可能的实现方式,所述根据获取到的源IP地址以及源媒体访问控制地址更新内网信息映射表,包括:
若获取到的源媒体访问控制地址在所述内网信息映射表中存在,且所述内网信息映射表中对应的IP地址与获取到的源IP地址不一致,则删除所述内网信息映射表中包含所述源媒体访问控制地址的映射关系,并将获取到的源IP地址和源媒体访问控制地址组成一条映射关系增加至所述内网信息映射表中。
作为一种可能的实现方式,所述数据报文包括:传输控制协议数据报文或地址解析协议数据报文。
作为一种可能的实现方式,所述方法还包括:
若接收到发送设备发送的动态主机配置协议报文,则从所述动态主机配置协议报文中获取源地址以及报文属性,根据所述报文属性确定是否删除所获取到的源地址在所述内网信息映射表中的映射关系,若是,则删除所获取到的源地址在所述内网信息映射表中的映射关系,其中,所述源地址包括:源IP地址或源媒体访问控制地址。
作为一种可能的实现方式,所述根据所述地址属性确定是否删除所获取到的源媒体访问控制地址在所述内网信息映射表中的映射关系,包括:
若所述报文属性指示获取的源地址地址已过期,则确定删除所获取到的源地址在所述内网信息映射表中的映射关系。
作为一种可能的实现方式,所述根据获取到的源IP地址以及源媒体访问控制地址更新内网信息映射表之前,还包括:
确定所述网络监测设备接收的数据报文中符合局域网协议的数据报文的比重;
若所述比重小于预设阈值,则确定所述网络监测设备为外网监测设备,否则,确定所述网络监测设备为内网监测设备。
第二方面,本申请实施例提供一种网络信息处理装置,所述装置包括:
获取模块,用于实时获取各发送设备发送的数据报文,并从所述数据报文中获取源IP地址以及源媒体访问控制地址;
处理模块,用于根据获取到的源IP地址以及源媒体访问控制地址更新内网信息映射表,其中,所述内网信息映射表用于保存内网中的IP地址以及媒体访问控制地址的映射关系,所述内网信息映射表中一条映射关系中的IP地址和媒体访问控制地址属于同一发送设备;
监测模块,用于根据所述内网信息映射表实时进行网络监测。
作为一种可能的实现方式,所述处理模块具体用于:
若获取到的源媒体访问控制地址在所述内网信息映射表中不存在,则将获取到的源IP地址和源媒体访问控制地址组成一条的映射关系增加至所述内网信息映射表中。
作为一种可能的实现方式,所述处理模块具体用于:
若获取到的源媒体访问控制地址在所述内网信息映射表中存在,且所述内网信息映射表中对应的IP地址与获取到的源IP地址不一致,则删除所述内网信息映射表中包含所述源媒体访问控制地址的映射关系,并将获取到的源IP地址和源媒体访问控制地址组成一条映射关系增加至所述内网信息映射表中。
作为一种可能的实现方式,所述数据报文包括:传输控制协议数据报文或地址解析协议数据报文。
作为一种可能的实现方式,所述处理模块还用于:
若接收到发送设备发送的动态主机配置协议报文,则从所述动态主机配置协议报文中获取源地址以及报文属性,根据所述报文属性确定是否删除所获取到的源地址在所述内网信息映射表中的映射关系,若是,则删除所获取到的源地址在所述内网信息映射表中的映射关系,其中,所述源地址包括:源IP地址或源媒体访问控制地址。
作为一种可能的实现方式,所述处理模块具体用于:
若所述报文属性指示获取的源地址地址已过期,则确定删除所获取到的源地址在所述内网信息映射表中的映射关系。
作为一种可能的实现方式,所述监测模块还用于:
确定所述网络监测设备接收的数据报文中符合局域网协议的数据报文的比重;
若所述比重小于预设阈值,则确定所述网络监测设备为外网监测设备,否则,确定所述网络监测设备为内网监测设备。
第三方面,本申请实施例提供一种电子设备,包括:处理器和存储器,所述存储器存储有所述处理器可执行的机器可读指令,当电子设备运行时,所述处理器执行所述机器可读指令,以执行时执行如上述第一方面所述的网络信息处理方法的步骤。
第四方面,本申请实施例体用一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序,该计算机程序被处理器运行时执行如上述第一方面所述的网络信息处理方法的步骤。
本申请实施例所提供的网络信息处理方法、装置、电子设备及可读存储介质,网络监测设备利用外网设备不会主动向内网设备发起连接而仅有内网设备会主动向内网设备发起连接这一特征,可以获取到内网环境中各设备所发送的数据报文,从数据报文中获取到设备的IP地址和媒体访问控制地址,并根据该IP地址和媒体访问控制地址更新内网信息映射表,从而使得内网信息映射表中可以记录内网环境中所有需要进行数据传输的设备的IP地址和媒体访问控制地址,同时,不会记录外网环境的IP地址,从而实现准确快速的内外网属性识别,进而,可以利用内网信息映射表进行有效的网络监测。另外,由于本实施例均是基于被动接收的数据报文更新内网信息映射表并实现内外网属性识别,而不会主动发送任何的数据报文,因此,能够避免现有技术中无法保证网络安全的问题。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为网络监测设备位于内网环境时的系统架构示意图;
图2为本申请实施例提供的一种网络信息处理方法的流程示意图;
图3为本申请实施例提供的一种网络信息处理装置的模块结构图;
图4为本申请实施例提供的电子设备40的结构示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,应当理解,本申请中附图仅起到说明和描述的目的,并不用于限定本申请的保护范围。另外,应当理解,示意性的附图并未按实物比例绘制。本申请中使用的流程图示出了根据本申请的一些实施例实现的操作。应该理解,流程图的操作可以不按顺序实现,没有逻辑的上下文关系的步骤可以反转顺序或者同时实施。此外,本领域技术人员在本申请内容的指引下,可以向流程图添加一个或多个其他操作,也可以从流程图中移除一个或多个操作。
另外,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本申请实施例的组件可以以各种不同的配置来布置和设计。因此,以下对在附图中提供的本申请的实施例的详细描述并非旨在限制要求保护的本申请的范围,而是仅仅表示本申请的选定实施例。基于本申请的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。
需要说明的是,本申请实施例中将会用到术语“包括”,用于指出其后所声明的特征的存在,但并不排除增加其它的特征。
目前在识别内外网属性时,如果通过固定的私有IP段地址被动识别,则由于某些IP地址并不遵循固定的IP段规则而导致无法准确识别某个IP地址为内网IP地址或外网IP地址,进而导致内外网属性识别的结果不准确。如果通过探测识别内外网属性,则会影响到正常的用户网络,进而导致网络安全难以保证。
本申请实施例基于上述问题,提出一种网络信息处理方法,利用内网IP地址与外网IP地址在发起连接时的差异,可以准确识别出内网IP地址以及媒体访问控制(MediaAccess Control,简称MAC)地址,并且可以实时更新内网IP地址与MAC地址的映射表,以通过映射表准确监测内网的IP地址。
本申请实施例可以应用于网络监测设备中。网络监测设备例如可以是网关等设备。网络监测设备既可以设置在内网环境中,也可以设置在外网环境中。应理解,本申请所述的内网也可以称作局域网。示例性的,某个公司的局域网即为该公司的内网。当网络监测设备设置在内网环境中时,可以利用本申请实施例的方法进行内外网属性识别以及网络监测。
作为一种可选的实施方式,在进行内外网属性识别之前,网络监测设备可以首先确定是否位于内网环境中,如果是,则网络监测设备可以继续基于下述实施例中的方法进行内外网属性的识别及网络监测。
可选的,网络设备可以通过如下方式确定是否位于内网环境中。
确定网络监测设备接收的数据报文中符合局域网协议的数据报文的比重,若该比重小于预设阈值,则确定网络监测设备为外网监测设备,否则,确定网络监测设备为内网监测设备。
应理解,上述的确定网络监测设备为外网监测设备,是指网络监测设备位于外网环境中,即网络监测设备的功能为用于外网监测。上述的确定网络监测设备为内网监测设备,是指网络监测设备位于内网环境中,即网络监测设备的功能为用于内网监测。
示例性的,在网络监测设备启动之后,会接收各种网络数据报文。网络监测设备可以统计某个特定时长内符合局域网协议的数据报文的比重,或者,统计接收到的特定数量的数据报文中符合局域网协议的数据报文的比重。如果比重小于预设阈值,则说明经过该网络监测设备的数据报文中进行外网传输的数据报文较多,因此可以确定网络监测设备为外网监测设备,否则,可以确定网络监测设备为外网监测设备。
可选的,上述符合局域网协议的数据报文,例如可以是符合动态主机配置协议(Dynamic Host Configuration Protocol,简称DHCP)、飞秋飞格、NETBEUI等协议的数据报文。其中,当网络监测设备接收到一个数据报文后,可以对数据报文进行解析,从而可以解释出该数据报文所属的协议,通过对该协议的判断,可以判断出该协议是否为局域网协议,如果是,则可以确定接收到的该数据报文为符合局域网协议的数据报文。
图1为网络监测设备位于内网环境时的系统架构示意图,如图1所示,内网环境中可以包括多个内网设备,例如台式电脑、笔记本电脑等。各内网设备均与网络监测设备通信连接,网络监测设备可以连接至外网,对于确认安全的数据报文,可以通过网络监测设备发送至外网中。各内网设备发出的数据报文均会发送到该网络监测设备。网络监测设备通过本申请实施例的方法可以识别到内网中的IP地址并生成IP地址和MAC地址的映射表,并基于该映射表实现内网的网络监测。
以下,对内外网识别以及网络监测的过程进行详细说明。
图2为本申请实施例提供的一种网络信息处理方法的流程示意图,该方法的执行主体可以为前述的网络监测设备。如图1所示,该方法包括:
S201、实时获取各发送设备发送的数据报文。
可选的,上述发送设备是指向网络监测设备发送数据报文的任何设备,包括前述的内网设备。
网络监测设备在启动工作之后,则可以持续地实时接收发送设备发送的数据报文。
S202、从上述数据报文中获取源IP地址以及源MAC地址。
可选的,发送设备发送的数据报文中可以携带发送设备的IP地址以及源MAC地址。网络监测设备通过对数据报文的解析,可以获取到源IP地址以及源MAC地址。其中,源IP地址指发送设备的IP地址,源MAC地址为发送设备的MAC地址。
值得说明的是,针对每个发送设备,发送设备的MAC地址固定,不可更改,发送设备的IP地址可以被修改,因此,来自同一发送设备的数据报文的IP地址可能不同。
S203、根据获取到的源IP地址以及源MAC地址更新内网信息映射表,其中,该内网信息映射表用于保存内网中的IP地址以及MAC地址的映射关系,内网信息映射表中一条映射关系中的IP地址和MAC地址属于同一发送设备。
可选的,更新内网信息映射表可以包括向内网信息映射表中增加映射关系、修改内网信息映射表中已有的映射关系以及删除内网信息映射表中已有的映射关系。具体的更新处理过程将在下述实施例中进行详细说明。
在初始状态下,例如网络监测设备首次在内网环境中启动时,内网信息映射表中不存在上述的映射关系。随着网络监测设备不断接收到数据报文,网络监测设备不断更新内网信息映射表,使得内网信息映射表中包括多条映射关系。
可选的,一条映射关系内网信息映射表中可以以一条记录的形式保存,每条记录中包括一个IP地址和一个MAC地址,该IP地址和该MAC地址属于同一个向网络监测设备发送数据报文的发送设备。示例性的,内网信息映射表中存在一条记录,该条记录中包括IP地址A和MAC地址B,则表明IP地址A和MAC地址B属于同一个发送设备,具体的,该发送设备的IP地址为IP地址A,该发送设备的MAC地址为MAC地址B。
对于内网环境中的设备(本申请以下实施例中也称作内网设备)来说,由于处于内网环境中,因此,外网设备是无法察觉到内网设备的存在的,因此,外网设备无法主动发起向内网设备的连接。而内网环境中的设备则可以主动发起向内网中其他设备的连接。在发起连接时,内网设备会发送用于寻址的广播报文,和/或,发送其他的单播报文。这些报文可以被网络监测设备捕获到,从而将这些报文作为上述的数据报文。由于只有内网环境中的设备会发送上述数据报文,因此,当网络监测设备捕获到这些数据报文时,利用上述步骤S201-S203将这些数据报文中的源IP地址和源MAC地址更新至内网信息映射表中,而外网环境中的设备由于不会主动发起连接因此不会发送上述数据报文,因此不会被网络监测设备获取到源IP地址和源MAC地址并更新至内网信息映射表中。从而使得内网信息映射表中记录的仅是内网环境中的设备的IP地址和MAC地址,进而可以基于该内网信息映射表进行内网的监测。
在具体实施过程中,内网环境中的设备只要是需要进行数据传输,则必然会上述的数据报文并且被网络监测设备捕获,相应地必然会将其IP地址和MAC地址的映射关系记录在内网信息映射表中。因此,通过上述步骤S201-S203的过程可以将内网环境中所有需要进行数据传输的设备的IP地址和MAC地址记录在内网信息映射表中。只要是记录在内网信息映射表中的IP地址,即属于内网IP地址,未记录在内网信息映射表中的IP地址则属于外网IP地址,从而实现内外网属性的识别。应理解,本申请实施例中所述的内网属性的识别,是指识别一个IP地址对应的设备属于内网设备或者外网设备。
S204、根据上述内网信息映射表实时进行网络监测。
如上所述,内网信息映射表中可以记录内网环境中所有需要进行数据传输的设备的IP地址和MAC地址。基于该内网信息映射表可以实时监测网络。示例性的,网络监测设备监测到某个IP地址发送文件时存在违规行为,则可以在内网信息映射表中查找该IP地址以及MAC地址,从而快速地对该违规行为进行溯源。
本实施例中,网络监测设备利用外网设备不会主动向内网设备发起连接而仅有内网设备会主动向内网设备发起连接这一特征,可以获取到内网环境中各设备所发送的数据报文,从数据报文中获取到设备的IP地址和MAC地址,并根据该IP地址和MAC地址更新内网信息映射表,从而使得内网信息映射表中可以记录内网环境中所有需要进行数据传输的设备的IP地址和MAC地址,同时,不会记录外网环境的IP地址,从而实现准确快速的内外网属性识别,进而,可以利用内网信息映射表进行有效的网络监测。另外,由于本实施例均是基于被动接收的数据报文更新内网信息映射表并实现内外网属性识别,而不会主动发送任何的数据报文,因此,能够避免现有技术中无法保证网络安全的问题。
作为一种可选的实施方式,上述的数据报文可以包括:传输控制协议(Transmission Control Protocol,简称TCP)报文,或者,地址解析协议(AddressResolution Protocol,简称ARP)报文。
如前文所述的,内网环境中的设备可以主动发起向内网中其他设备的连接。在发起连接时,内网设备会发送用于寻址的广播报文,和/或,发送其他的单播报文。本实施例中,该广播报文可以为上述的ARP报文,该单播报文可以为上述的TCP报文。
具体的,内网设备启动时会向外广播ARP报文进行寻址,因此,网络监测设备可以捕获到该ARP报文并从中获取内网设备的IP地址和MAC地址。同时,内网设备也可能向外发送TCP报文,网络监测设备也可以捕获到该TCP报文并从中获取内网设备的IP地址和MAC地址。
其中,ARP是根据IP地址获取物理地址的一个TCP/IP协议。主机发送信息时将包含目标IP地址的ARP请求广播到局域网络上的所有主机,并接收返回消息,以此确定目标的物理地址;收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间,下次请求时直接查询ARP缓存以节约资源。ARP是建立在网络中各个主机互相信任的基础上的,局域网中的主机可以自主发送ARP应答消息,其他主机收到应答报文时不会检测该报文的真实性就会将其记入本机ARP缓存。ARP报文可用于查询本机ARP缓存中IP地址和MAC地址的对应关系、添加或删除静态对应关系等。
TCP协议是一种面向连接的、可靠的、基于字节流的传输层协议。TCP报文是TCP层传输的数据单元,也称为报文段。
本实施例中,通过捕获TCP报文或ARP报文,可以准确获取到各内网设备的IP地址和MAC地址,从而提升内外网属性识别的效率。
以下对上述步骤S203中更新内网信息映射表的过程进行说明。
网络监测设备接收到各发送设备发送的数据报文并从中获取到源IP地址和源MAC地址后,可以判断源IP地址和源MAC地址属于如下哪一种情况,并相应按照对应情况下的处理方式进行内网信息映射表的更新。
第一种情况下,如果获取到的源MAC地址在内网信息映射表中不存在,则将获取到的源IP地址和源MAC地址组成一条的映射关系增加至上述内网信息映射表中。
如果源MAC地址在内网信息映射表中不存在,则表明该源MAC地址所属的内网设备为新发现的内网设备,因此,可以将该源MAC地址以及源IP地址组成一条新的映射关系增加至内网信息映射表中。
第二种情况下,如果获取到的源MAC地址在所述内网信息映射表中存在,且内网信息映射表中对应的IP地址与获取到的源IP地址不一致,则删除内网信息映射表中包含该源MAC地址的映射关系,并将获取到的源IP地址和源MAC地址组成一条映射关系增加至内网信息映射表中。
其中,内网信息映射表中对应的IP地址,是指在内网信息映射表中,获取到的源MAC地址所在的一条记录中的IP地址。
示例性的,网络监测设备从一条数据报文中获取到的源IP地址为IP地址A,获取到的源MAC地址为MAC地址B,同时,在内网信息映射表中,存在一条记录1,该记录中的MAC地址为MAC地址B,IP地址为IP地址C,则记录1为MAC地址B所在的一条记录,IP地址C为MAC地址B在内网信息映射表中对应的IP地址。同时,应理解,IP地址A为获取到的源IP地址。
在这种情况下,由于获取到的MAC地址已经在内网信息映射表中,而获取到的源IP地址与内网信息映射表中该MAC地址所在的记录中的IP地址不相同,则说明用户修改的该MAC地址所属的内网设备的IP地址,即IP地址发生了变化。因此,可以将内网信息映射表中该MAC地址原有的记录删除,并将获取到的源IP地址和源MAC地址作为一条新的映射关系增加至内网信息映射表中,从而实现内网信息映射表的及时更新,保证内网信息映射表的正确性。
第三种情况下,如果获取到的源MAC地址和源IP地址在内网信息映射表中均存在且属于内网信息映射表中的同一条映射关系,则可以不做处理。
在这种情况下,表明获取到的源MAC地址和源IP地址的映射关系已经加入至内网信息映射表中,因此不需要进行处理,以避免重复加入。
作为一种可选的实施方式,网络监测设备还可以通过对动态主机配置协议(Dynamic Host Configuration Protocol,简称DHCP)报文的分析对内网信息映射表中的过期记录进行删除,以进一步提升内网信息映射表的准确性。
可选的,如果网络监测设备接收到发送设备发送的DHCP报文,则从该DHCP报文中获取源地址以及报文属性,根据该报文属性确定是否删除所获取到的源地址在内网信息映射表中的映射关系,若是,则删除所获取到的源地址在内网信息映射表中的映射关系。其中,该源地址可以为源IP地址或源MAC地址。
可选的,网络监测设备接收到DHCP报文并从中获取到源地址以及报文属性后,可以首先确认该源地址是否已经存在于内网信息映射表中,若是,则网络监测设备可以对报文属性进行分析。其中,报文属性可以包括该DHCP报文为超时续租报文或者该DHCP报文为到期废弃报文。
如果报文属性指示获取的源地址已过期,例如,源IP地址已过期,则可以确定删除所获取到的源地址在内网信息映射表中的映射关系,以保证内网信息映射表的及时性和准确性。
示例性的,DHCP报文为到期废弃报文,则表明该DHCP报文中的源IP地址需要废弃,因此,网络监测设备可以从内网信息映射表中删除该源IP地址所在的记录。
基于同一发明构思,本申请实施例中还提供了与网络信息处理方法对应的网络信息处理装置,由于本申请实施例中的装置解决问题的原理与本申请实施例上述网络信息处理方法相似,因此装置的实施可以参见方法的实施,重复之处不再赘述。
图3为本申请实施例提供的一种网络信息处理装置的模块结构图,如图3所示,该装置包括:
获取模块301,用于实时获取各发送设备发送的数据报文,并从所述数据报文中获取源IP地址以及源媒体访问控制地址。
处理模块302,用于根据获取到的源IP地址以及源媒体访问控制地址更新内网信息映射表,其中,所述内网信息映射表用于保存内网中的IP地址以及媒体访问控制地址的映射关系,所述内网信息映射表中一条映射关系中的IP地址和媒体访问控制地址属于同一发送设备。
监测模块303,用于根据所述内网信息映射表实时进行网络监测。
作为一种可选的实施方式,所述处理模块302具体用于:
若获取到的源媒体访问控制地址在所述内网信息映射表中不存在,则将获取到的源IP地址和源媒体访问控制地址组成一条的映射关系增加至所述内网信息映射表中。
作为一种可选的实施方式,所述处理模块302具体用于:
若获取到的源媒体访问控制地址在所述内网信息映射表中存在,且所述内网信息映射表中对应的IP地址与获取到的源IP地址不一致,则删除所述内网信息映射表中包含所述源媒体访问控制地址的映射关系,并将获取到的源IP地址和源媒体访问控制地址组成一条映射关系增加至所述内网信息映射表中。
作为一种可选的实施方式,所述数据报文包括:传输控制协议数据报文或地址解析协议数据报文。
作为一种可选的实施方式,所述处理模块302还用于:
若接收到发送设备发送的动态主机配置协议报文,则从所述动态主机配置协议报文中获取源地址以及报文属性,根据所述报文属性确定是否删除所获取到的源地址在所述内网信息映射表中的映射关系,若是,则删除所获取到的源地址在所述内网信息映射表中的映射关系,其中,所述源地址包括:源IP地址或源媒体访问控制地址。
作为一种可选的实施方式,所述处理模块302具体用于:
若所述报文属性指示获取的源地址地址已过期,则确定删除所获取到的源地址在所述内网信息映射表中的映射关系。
作为一种可选的实施方式,所述监测模块303还用于:
确定所述网络监测设备接收的数据报文中符合局域网协议的数据报文的比重;
若所述比重小于预设阈值,则确定所述网络监测设备为外网监测设备,否则,确定所述网络监测设备为内网监测设备。
本申请实施例还提供了一种电子设备40,该电子设备可以为前述的网络监测设备。如图4所示,为本申请实施例提供的电子设备40的结构示意图,包括:处理器41、存储器42,可选的,还可以包括总线43。所述存储器42存储有所述处理器41可执行的机器可读指令(比如,图3中的装置中获取模块301、处理模块302、监测模块303对应的执行指令等),当电子设备40运行时,所述处理器41与所述存储器42之间通过总线43通信,所述机器可读指令被所述处理器41执行时执行上述方法实施例中的方法步骤。
本申请实施例还提供了一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序,该计算机程序被处理器运行时执行上述网络信息处理方法的步骤。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统和装置的具体工作过程,可以参考方法实施例中的对应过程,本申请中不再赘述。在本申请所提供的几个实施例中,应该理解到,所揭露的系统、装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述模块的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个模块或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或模块的间接耦合或通信连接,可以是电性,机械或其它的形式。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可获取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,RandomAccess Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。
Claims (10)
1.一种网络信息处理方法,其特征在于,所述方法包括:
实时获取各发送设备发送的数据报文;
从所述数据报文中获取源IP地址以及源媒体访问控制地址;
根据获取到的源IP地址以及源媒体访问控制地址更新内网信息映射表,其中,所述内网信息映射表用于保存内网中的IP地址以及媒体访问控制地址的映射关系,所述内网信息映射表中一条映射关系中的IP地址和媒体访问控制地址属于同一发送设备;
根据所述内网信息映射表实时进行网络监测。
2.根据权利要求1所述的方法,其特征在于,所述根据获取到的源IP地址以及源媒体访问控制地址更新内网信息映射表,包括:
若获取到的源媒体访问控制地址在所述内网信息映射表中不存在,则将获取到的源IP地址和源媒体访问控制地址组成一条的映射关系增加至所述内网信息映射表中。
3.根据权利要求1所述的方法,其特征在于,所述根据获取到的源IP地址以及源媒体访问控制地址更新内网信息映射表,包括:
若获取到的源媒体访问控制地址在所述内网信息映射表中存在,且所述内网信息映射表中对应的IP地址与获取到的源IP地址不一致,则删除所述内网信息映射表中包含所述源媒体访问控制地址的映射关系,并将获取到的源IP地址和源媒体访问控制地址组成一条映射关系增加至所述内网信息映射表中。
4.根据权利要求1所述的方法,其特征在于,所述数据报文包括:传输控制协议数据报文或地址解析协议数据报文。
5.根据权利要求1-4任一项所述的方法,其特征在于,所述方法还包括:
若接收到发送设备发送的动态主机配置协议报文,则从所述动态主机配置协议报文中获取源地址以及报文属性,根据所述报文属性确定是否删除所获取到的源地址在所述内网信息映射表中的映射关系,若是,则删除所获取到的源地址在所述内网信息映射表中的映射关系,其中,所述源地址包括:源IP地址或源媒体访问控制地址。
6.根据权利要求5所述的方法,其特征在于,所述根据所述报文属性确定是否删除所获取到的源媒体访问控制地址在所述内网信息映射表中的映射关系,包括:
若所述报文属性指示获取的源地址地址已过期,则确定删除所获取到的源地址在所述内网信息映射表中的映射关系。
7.根据权利要求1-4任一项所述的方法,其特征在于,所述根据获取到的源IP地址以及源媒体访问控制地址更新内网信息映射表之前,还包括:
确定网络监测设备接收的数据报文中符合局域网协议的数据报文的比重;
若所述比重小于预设阈值,则确定所述网络监测设备为外网监测设备,否则,确定所述网络监测设备为内网监测设备。
8.一种网络信息处理装置,其特征在于,所述装置包括:
获取模块,用于实时获取各发送设备发送的数据报文,并从所述数据报文中获取源IP地址以及源媒体访问控制地址;
处理模块,用于根据获取到的源IP地址以及源媒体访问控制地址更新内网信息映射表,其中,所述内网信息映射表用于保存内网中的IP地址以及媒体访问控制地址的映射关系,所述内网信息映射表中一条映射关系中的IP地址和媒体访问控制地址属于同一发送设备;
监测模块,用于根据所述内网信息映射表实时进行网络监测。
9.一种电子设备,其特征在于,包括:处理器和存储器,所述存储器存储有所述处理器可执行的机器可读指令,当电子设备运行时,所述处理器执行所述机器可读指令,以执行时执行如权利要求1至7任一所述的网络信息处理方法的步骤。
10.一种计算机可读存储介质,其特征在于,该计算机可读存储介质上存储有计算机程序,该计算机程序被处理器运行时执行如权利要求1至7任一所述的网络信息处理的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211142521.1A CN115514555A (zh) | 2022-09-20 | 2022-09-20 | 网络信息处理方法、装置、电子设备及可读存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211142521.1A CN115514555A (zh) | 2022-09-20 | 2022-09-20 | 网络信息处理方法、装置、电子设备及可读存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN115514555A true CN115514555A (zh) | 2022-12-23 |
Family
ID=84503486
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211142521.1A Pending CN115514555A (zh) | 2022-09-20 | 2022-09-20 | 网络信息处理方法、装置、电子设备及可读存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115514555A (zh) |
-
2022
- 2022-09-20 CN CN202211142521.1A patent/CN115514555A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103607399B (zh) | 基于暗网的专用ip网络安全监测系统及方法 | |
CN109474575B (zh) | 一种dns隧道的检测方法及装置 | |
US9660833B2 (en) | Application identification in records of network flows | |
CN105577496B (zh) | 一种家庭网关利用云平台识别接入设备类型的系统 | |
KR100779072B1 (ko) | Arp 공격 탐지 장치 및 방법 | |
CN111431912B (zh) | 用于检测dhcp劫持的方法和设备 | |
CN105827599A (zh) | 一种基于dns报文深度解析的缓存中毒检测方法及装置 | |
JP2011101172A (ja) | ワーム感染源特定システム、特定方法および特定プログラム、エージェント並びにマネージャコンピュータ | |
CN116016351A (zh) | 基于eBPF的UDP流量和丢包观测方法、系统及介质 | |
CN106790073B (zh) | 一种Web服务器恶意攻击的阻断方法、装置及防火墙 | |
CN111343153A (zh) | 数据包检测方法、装置、服务器及存储介质 | |
CN109286684B (zh) | 一种通信连接的处理方法、装置、代理服务器及存储介质 | |
US20200169577A1 (en) | Method and apparatus for generating virtual malicious traffic template for terminal group including device infected with malicious code | |
CN112491836B (zh) | 通信系统、方法、装置及电子设备 | |
CN111010362B (zh) | 一种异常主机的监控方法及装置 | |
US10187414B2 (en) | Differential malware detection using network and endpoint sensors | |
KR100920528B1 (ko) | Arp 스푸핑 탐지 및 방어 방법 및 그에 따른 시스템 | |
CN109495602B (zh) | 一种网络接入异常的处理方法及装置 | |
CN115514555A (zh) | 网络信息处理方法、装置、电子设备及可读存储介质 | |
JP2010239392A (ja) | サービス不能攻撃制御システム、装置、および、プログラム | |
JP3892322B2 (ja) | 不正アクセス経路解析システム及び不正アクセス経路解析方法 | |
CN112422486A (zh) | 一种基于sdk的安全防护方法及设备 | |
CN107786496B (zh) | 针对局域网arp表项欺骗攻击的预警方法及装置 | |
US9912557B2 (en) | Node information detection apparatus, node information detection method, and program | |
KR20110040152A (ko) | 공격자 패킷 역추적 방법 및 이를 위한 시스템 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |