專利名稱:一種自動(dòng)識(shí)別內(nèi)網(wǎng)中互聯(lián)網(wǎng)服務(wù)提供設(shè)備的方法和裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域,尤其涉及一種自動(dòng)識(shí)別內(nèi)網(wǎng)中互聯(lián)網(wǎng)服務(wù)提供設(shè) 備的方法和裝置。
背景技術(shù):
目前,越來越多的企事業(yè)單位都組建了自己的本地局域網(wǎng)絡(luò),并將其與外部的國(guó) 際互聯(lián)網(wǎng)相連接,以利于本單位內(nèi)員工方便地訪問互聯(lián)網(wǎng)絡(luò)上龐大的服務(wù)資源;同時(shí),企事 業(yè)單位還在自己的局域網(wǎng)絡(luò)內(nèi)部署一些重要的網(wǎng)絡(luò)服務(wù)資產(chǎn),比如Web服務(wù)和文件下載服 務(wù)等等,為來自互聯(lián)網(wǎng)的客戶提供實(shí)時(shí)的訪問服務(wù)和資源共享。這種本地局域網(wǎng)絡(luò)與國(guó)際 互聯(lián)網(wǎng)互聯(lián)模式在為企事業(yè)單位帶來方便的同時(shí),也帶來了很多安全問題,其中最主要的 安全問題是來自外部互聯(lián)網(wǎng)的對(duì)其內(nèi)部重要服務(wù)資源的攻擊。目前常見的用來檢測(cè)網(wǎng)絡(luò)中黑客攻擊的安全設(shè)備為入侵檢測(cè)系統(tǒng),它一般以旁路 方式部署在本地局域網(wǎng)絡(luò)的出入口處,對(duì)進(jìn)出局域網(wǎng)絡(luò)的網(wǎng)絡(luò)流量進(jìn)行分析,發(fā)現(xiàn)來自互 聯(lián)網(wǎng)的各種攻擊并報(bào)警。目前市場(chǎng)上常見的入侵檢測(cè)系統(tǒng)都具有流重組和應(yīng)用層協(xié)議解析 功能,即它能夠?qū)Σ东@的網(wǎng)絡(luò)報(bào)文進(jìn)行流重組,然后根據(jù)應(yīng)用層協(xié)議規(guī)范對(duì)應(yīng)用層載荷進(jìn) 行協(xié)議解析;最后,根據(jù)攻擊知識(shí)庫(kù)對(duì)數(shù)據(jù)進(jìn)行深層次的數(shù)據(jù)分析,從而試圖發(fā)現(xiàn)所有可能 的網(wǎng)絡(luò)攻擊企圖。與傳統(tǒng)的只進(jìn)行單個(gè)報(bào)文進(jìn)行分析的入侵檢測(cè)系統(tǒng)相比,現(xiàn)代入侵檢測(cè) 系統(tǒng)可以明顯提高入侵檢測(cè)的準(zhǔn)確率,但缺點(diǎn)也很明顯由于需要對(duì)網(wǎng)絡(luò)報(bào)文進(jìn)行復(fù)雜的 數(shù)據(jù)處理,因而導(dǎo)致整個(gè)入侵檢測(cè)系統(tǒng)的效率較低。因此,多數(shù)情況下,入侵檢測(cè)系統(tǒng)一般 配置為不對(duì)由內(nèi)網(wǎng)發(fā)往外網(wǎng)的網(wǎng)絡(luò)流量進(jìn)行分析,而只對(duì)由外網(wǎng)進(jìn)入內(nèi)網(wǎng)的網(wǎng)絡(luò)流量進(jìn)行 分析,特別是對(duì)轉(zhuǎn)發(fā)到本地局域網(wǎng)內(nèi)的重要資產(chǎn)(比如Web服務(wù)器)的網(wǎng)絡(luò)流量進(jìn)行重點(diǎn) 檢測(cè),以提高入侵檢測(cè)系統(tǒng)的處理性能。由于入侵檢測(cè)系統(tǒng)是以旁路方式接入本地局域網(wǎng) 絡(luò)的,它無法像防火墻那樣通過網(wǎng)絡(luò)報(bào)文捕獲接口標(biāo)識(shí)準(zhǔn)確區(qū)分內(nèi)外網(wǎng),因此,目前常見的 入侵檢測(cè)系統(tǒng)在運(yùn)行前都要求網(wǎng)絡(luò)管理員提供關(guān)于內(nèi)網(wǎng)中的重要資產(chǎn)信息(包括網(wǎng)絡(luò)服 務(wù)的網(wǎng)絡(luò)地址和服務(wù)類別信息),以方便入侵檢測(cè)系統(tǒng)準(zhǔn)確區(qū)分出那些流向內(nèi)網(wǎng)中的互聯(lián) 網(wǎng)服務(wù)提供設(shè)備(比如Web服務(wù)器、互聯(lián)網(wǎng)服務(wù)伺服器等用于向內(nèi)網(wǎng)提供互聯(lián)網(wǎng)服務(wù)的設(shè) 備)的網(wǎng)絡(luò)流量。但是這種手工配置內(nèi)網(wǎng)中互聯(lián)網(wǎng)服務(wù)提供設(shè)備信息的方法比較繁瑣和易 出錯(cuò),如果內(nèi)網(wǎng)中互聯(lián)網(wǎng)服務(wù)提供設(shè)備更改時(shí),還需要手工重新配置。
發(fā)明內(nèi)容
本發(fā)明要解決的技術(shù)問題是提供一種自動(dòng)識(shí)別內(nèi)網(wǎng)中互聯(lián)網(wǎng)服務(wù)提供設(shè)備的方 法和裝置,克服了傳統(tǒng)的手工配置內(nèi)網(wǎng)中互聯(lián)網(wǎng)服務(wù)提供設(shè)備信息的繁瑣和易出錯(cuò)等缺
點(diǎn)o為了解決上述問題,本發(fā)明提供了一種自動(dòng)識(shí)別內(nèi)網(wǎng)中互聯(lián)網(wǎng)服務(wù)提供設(shè)備的方 法,包括A1、根據(jù)一時(shí)間段內(nèi)監(jiān)測(cè)到的網(wǎng)絡(luò)報(bào)文,篩選出所述時(shí)間段中具備完整TCP連接建立過程的TCP連接;A2、對(duì)步驟A1中篩選出的各所述TCP連接分別進(jìn)行判斷,如果一 TCP連接建立過 程的發(fā)起端和終止端不屬于同一子網(wǎng)、并且建立過程中第一個(gè)網(wǎng)絡(luò)報(bào)文由外網(wǎng)發(fā)起且終止 于內(nèi)網(wǎng),而應(yīng)答所述第一個(gè)網(wǎng)絡(luò)報(bào)文的網(wǎng)絡(luò)報(bào)文由內(nèi)網(wǎng)發(fā)起且終止于外網(wǎng),則提取該TCP 連接的目標(biāo)設(shè)備信息;A3、對(duì)步驟A2提取的所述目標(biāo)設(shè)備信息進(jìn)行統(tǒng)計(jì),將最頻繁出現(xiàn)的若干個(gè)目標(biāo)設(shè) 備識(shí)別為所述內(nèi)網(wǎng)中的互聯(lián)網(wǎng)服務(wù)提供設(shè)備。進(jìn)一步地,步驟A1中所述具備完整TCP連接建立過程的TCP連接是指TCP連接建 立過程包括以下三個(gè)與TCP握手連接相關(guān)的網(wǎng)絡(luò)報(bào)文的TCP連接由TCP發(fā)起端發(fā)送的TCP-SYNOnly網(wǎng)絡(luò)報(bào)文;由TCP終止端響應(yīng)TCP發(fā)起端的TCP-SYNACK網(wǎng)絡(luò)報(bào)文;以及由TCP發(fā)起端響應(yīng)TCP終止端的TCP-ACKOnly網(wǎng)絡(luò)報(bào)文。進(jìn)一步地,所述步驟A2具體包括,對(duì)于步驟A1中篩選出的各TCP連接,分別進(jìn)行 下列步驟B1、確定該TCP連接建立過程的發(fā)起端和終止端的網(wǎng)絡(luò)IP地址,如果發(fā)起端和終 止端的網(wǎng)絡(luò)IP地址屬于同一子網(wǎng)則結(jié)束,否則執(zhí)行步驟B2 ;B2、檢查該TCP連接建立過程中的TCP SYNOnly報(bào)文的TTL值,如果發(fā)現(xiàn)其TTL值 與整數(shù)值255、128、64、32中任一個(gè)的距離值小于一預(yù)設(shè)的整數(shù)閾值T則結(jié)束,否則執(zhí)行步 驟B3 ;B3、檢查該TCP連接建立過程中的TCP SYN-ACK報(bào)文的TTL值,如果發(fā)現(xiàn)其TTL值 與整數(shù)值255、128、64、32中任一個(gè)的距離值小于所述整數(shù)閾值T,則進(jìn)行步驟B4 ;否則結(jié) 束;B4、提取該TCP連接的目標(biāo)設(shè)備信息。進(jìn)一步地,當(dāng)內(nèi)網(wǎng)中沒有路由器時(shí),所述整數(shù)閾值T為1 ;當(dāng)內(nèi)網(wǎng)中存在路由器時(shí),所述整數(shù)閾值T為2或3。進(jìn)一步地,所述目標(biāo)設(shè)備信息為{目標(biāo)網(wǎng)絡(luò)地址,目標(biāo)端口 }對(duì)。本發(fā)明還提供了一種自動(dòng)識(shí)別內(nèi)網(wǎng)中互聯(lián)網(wǎng)服務(wù)提供設(shè)備的裝置,包括篩選模塊,用于接收一時(shí)間段內(nèi)監(jiān)測(cè)到的網(wǎng)絡(luò)報(bào)文,根據(jù)所接收的網(wǎng)絡(luò)報(bào)文篩選 出所述時(shí)間段中具備完整TCP連接建立過程的TCP連接;提取模塊,用于對(duì)篩選出的各所述TCP連接分別進(jìn)行判斷,如果一 TCP連接建立 過程的發(fā)起端和終止端不屬于同一子網(wǎng)、并且建立過程中第一個(gè)網(wǎng)絡(luò)報(bào)文由外網(wǎng)發(fā)起且終 止于內(nèi)網(wǎng),而應(yīng)答所述第一個(gè)網(wǎng)絡(luò)報(bào)文的網(wǎng)絡(luò)報(bào)文由內(nèi)網(wǎng)發(fā)起且終止于外網(wǎng),則提取該TCP 連接的目標(biāo)設(shè)備信息;識(shí)別模塊,用于對(duì)提取的所述目標(biāo)設(shè)備信息進(jìn)行統(tǒng)計(jì),將最頻繁出現(xiàn)的若干個(gè)目 標(biāo)設(shè)備識(shí)別為所述內(nèi)網(wǎng)中的互聯(lián)網(wǎng)服務(wù)提供設(shè)備。進(jìn)一步地,所述篩選模塊篩選具備完整TCP連接建立過程的TCP連接是指,所述篩 選模塊篩選出TCP連接建立過程包括以下三個(gè)與TCP握手連接相關(guān)的網(wǎng)絡(luò)報(bào)文的TCP連 接由TCP發(fā)起端發(fā)送的TCP-SYNOnly網(wǎng)絡(luò)報(bào)文;
5
由TCP終止端響應(yīng)TCP發(fā)起端的TCP-SYNACK網(wǎng)絡(luò)報(bào)文;以及由TCP發(fā)起端響應(yīng)TCP終止端的TCP-ACKOnly網(wǎng)絡(luò)報(bào)文。進(jìn)一步地,所述提取模塊具體包括存儲(chǔ)子模塊、讀取子模塊、第一判斷子模塊、第二判斷子模塊、第三判斷子模塊和 信息提取子模塊;所述存儲(chǔ)子模塊用于保存一整數(shù)閾值T,以及從篩選模塊接收篩選出的各TCP連 接并保存;保存好后發(fā)送讀取指示給所述讀取子模塊;所述讀取子模塊用于當(dāng)收到讀取指示時(shí),從所述存儲(chǔ)子模塊讀出一個(gè)TCP連接, 發(fā)送給所述第一判斷子模塊;以及當(dāng)所述存儲(chǔ)子模塊中的TCP連接已全部讀出后發(fā)送輸出 指示給所述信息提取子模塊;所述第一判斷子模塊用于確定所收到的TCP連接建立過程的發(fā)起端和終止端的 網(wǎng)絡(luò)IP地址,如果發(fā)起端和終止端的網(wǎng)絡(luò)IP地址屬于同一子網(wǎng)則丟棄該TCP連接,并發(fā)送 讀取指示給所述讀取子模塊;否則將該TCP連接轉(zhuǎn)發(fā)給所述第二判斷子模塊;所述第二判斷子模塊用于檢查所收到的TCP連接建立過程中的TCPSYNOnly報(bào)文 的TTL值,如果發(fā)現(xiàn)其TTL值與整數(shù)值255、128、64、32中任一個(gè)的距離值小于所述整數(shù)閾 值T,則丟棄該TCP連接,并發(fā)送讀取指示給所述讀取子模塊;否則將該TCP連接轉(zhuǎn)發(fā)給所 述第三判斷子模塊;所述第三判斷子模塊用于檢查所收到的TCP連接建立過程中的TCPSYNACK報(bào)文的 TTL值,如果發(fā)現(xiàn)其TTL值與整數(shù)值255、128、64、32中任一個(gè)的距離值小于所述整數(shù)閾值 T,則將該TCP連接轉(zhuǎn)發(fā)給所述信息提取子模塊;否則丟棄該TCP連接,并發(fā)送讀取指示給所 述讀取子模塊;所述信息提取子模塊用于提取并保存所收到的TCP連接的目標(biāo)設(shè)備信息,提取后 發(fā)送讀取指示給所述讀取子模塊;以及當(dāng)收到所述輸出指示時(shí),將所保存的目標(biāo)設(shè)備信息 全部發(fā)送給所述識(shí)別模塊。進(jìn)一步地,當(dāng)內(nèi)網(wǎng)中沒有路由器時(shí),所述存儲(chǔ)子模塊保存的整數(shù)閾值T為1 ;當(dāng)內(nèi)網(wǎng)中存在路由器時(shí),所述存儲(chǔ)子模塊保存的整數(shù)閾值T為2或3。進(jìn)一步地,所述提取模塊提取的目標(biāo)設(shè)備信息為{目標(biāo)網(wǎng)絡(luò)地址,目標(biāo)端口 }對(duì)。本發(fā)明的技術(shù)方案通過對(duì)內(nèi)網(wǎng)中一段時(shí)間內(nèi)的TCP連接建立過程的監(jiān)聽和分析來識(shí) 別出內(nèi)網(wǎng)中的互聯(lián)網(wǎng)服務(wù)提供設(shè)備,即互聯(lián)網(wǎng)服務(wù)提供者,能夠避免手工配置時(shí)的繁瑣和可能 出錯(cuò)的問題。本發(fā)明所述方法可以廣泛應(yīng)用到所有需要自動(dòng)識(shí)別內(nèi)網(wǎng)中互聯(lián)網(wǎng)服務(wù)提供設(shè)備 的應(yīng)用場(chǎng)合;如果將本發(fā)明使用在入侵檢測(cè)系統(tǒng)中,則可大大提高了入侵檢測(cè)系統(tǒng)的易用性; 另外,本發(fā)明的技術(shù)方案只考慮完整的TCP連接建立過程,并且要求TCP連接的發(fā)起端和終止 端網(wǎng)絡(luò)地址不屬于同一子網(wǎng),這就保證了該TCP連接建立過程是跨域局域網(wǎng)絡(luò)的,從而保證了 TCP連接的發(fā)起端和終止端是真實(shí)存在的,提高了識(shí)別的可靠性。本發(fā)明的優(yōu)化方案公開了通 過TCP連接建立過程中的第一個(gè)和第二個(gè)網(wǎng)絡(luò)報(bào)文的TTL值來確定該網(wǎng)絡(luò)報(bào)文是由內(nèi)網(wǎng)主機(jī) 發(fā)起的還是由外網(wǎng)主機(jī)發(fā)起的,以驗(yàn)證TCP連接兩端的真實(shí)性,從而提高識(shí)別的可靠性。
圖1為實(shí)施例一中自動(dòng)識(shí)別內(nèi)網(wǎng)中互聯(lián)網(wǎng)服務(wù)提供設(shè)備的方法的流程示意6
圖2為單次TCP連接建立過程中的三個(gè)網(wǎng)絡(luò)報(bào)文;圖3為實(shí)施例一中從各單次TCP連接建立過程中提取可能的內(nèi)網(wǎng)互聯(lián)網(wǎng)服務(wù)提供 設(shè)備信息的流程示意圖;圖4為實(shí)施例二中自動(dòng)識(shí)別內(nèi)網(wǎng)中互聯(lián)網(wǎng)服務(wù)提供設(shè)備的裝置的示意框圖;圖5為實(shí)施例二中提取模塊的示意框圖。
具體實(shí)施例方式下面將結(jié)合附圖及實(shí)施例對(duì)本發(fā)明的技術(shù)方案進(jìn)行更詳細(xì)的說明。實(shí)施例一,一種自動(dòng)識(shí)別內(nèi)網(wǎng)中互聯(lián)網(wǎng)服務(wù)提供設(shè)備的方法,如圖1所示,包括以 下步驟A1、根據(jù)一時(shí)間段內(nèi)監(jiān)測(cè)到的網(wǎng)絡(luò)報(bào)文,篩選出所述時(shí)間段中具備完整TCP連接 建立過程的TCP連接。A2、對(duì)步驟A1中篩選出的各所述TCP連接分別進(jìn)行判斷,如果一 TCP連接建立過 程的發(fā)起端和終止端不屬于同一子網(wǎng)、并且建立過程中第一個(gè)網(wǎng)絡(luò)報(bào)文由外網(wǎng)發(fā)起且終止 于內(nèi)網(wǎng),而應(yīng)答所述第一個(gè)網(wǎng)絡(luò)報(bào)文的網(wǎng)絡(luò)報(bào)文由內(nèi)網(wǎng)發(fā)起且終止于外網(wǎng),則提取該TCP 連接的目標(biāo)設(shè)備信息;所述目標(biāo)設(shè)備信息可以但不限于為{目標(biāo)網(wǎng)絡(luò)地址,目標(biāo)端口 }對(duì),也可以是其它 能夠從網(wǎng)絡(luò)報(bào)文中提取的、描述目標(biāo)設(shè)備的信息。A3、對(duì)步驟A2提取的所述目標(biāo)設(shè)備信息進(jìn)行統(tǒng)計(jì),將最頻繁出現(xiàn)的若干個(gè)目標(biāo)設(shè) 備識(shí)別為所述內(nèi)網(wǎng)中的互聯(lián)網(wǎng)服務(wù)提供設(shè)備。如果目標(biāo)設(shè)備信息為{目標(biāo)網(wǎng)絡(luò)地址,目標(biāo)端口 }對(duì),則對(duì)步驟A2中提取的所有 {目標(biāo)網(wǎng)絡(luò)地址,目標(biāo)端口 }對(duì)進(jìn)行統(tǒng)計(jì),提取出最頻繁出現(xiàn)的若干個(gè){目標(biāo)網(wǎng)絡(luò)地址,目標(biāo) 端口}對(duì)為所識(shí)別的內(nèi)網(wǎng)中的互聯(lián)網(wǎng)服務(wù)提供設(shè)備。本實(shí)施例中,步驟A1中所述具備完整TCP連接建立過程的TCP連接可以是指TCP 連接建立過程包括以下三個(gè)與TCP握手連接相關(guān)的網(wǎng)絡(luò)報(bào)文的TCP連接由TCP發(fā)起端發(fā)送的TCP-SYNOnly網(wǎng)絡(luò)報(bào)文;由TCP終止端響應(yīng)TCP發(fā)起端的TCP-SYNACK網(wǎng)絡(luò)報(bào)文;以及由TCP發(fā)起端響應(yīng)TCP終止端的TCP-ACKOnly網(wǎng)絡(luò)報(bào)文。這里要求捕獲的TCP連接建立過程必須完整的,目的是確保該TCP連接的發(fā)起端 和終止端都是真實(shí)的,而不是由黑客偽造的;實(shí)際應(yīng)用中,根據(jù)具體協(xié)議和網(wǎng)絡(luò)的不同,不 排除在一次完整TCP連接建立過程中,包括以上三個(gè)網(wǎng)絡(luò)報(bào)文中的部分網(wǎng)絡(luò)報(bào)文及其它網(wǎng) 絡(luò)報(bào)文,甚至只包括其它網(wǎng)絡(luò)報(bào)文;此時(shí),所述“具備完整TCP連接建立過程的TCP連接”所 指的情況也將相應(yīng)改變,但步驟A1中都是根據(jù)網(wǎng)絡(luò)報(bào)文是否齊全來找出已完成完整TCP連 接建立過程的TCP連接。本實(shí)施例中,步驟A1中可以先從所述時(shí)間段內(nèi)監(jiān)測(cè)到的網(wǎng)絡(luò)報(bào)文中找出與TCP 握手連接相關(guān)的網(wǎng)絡(luò)報(bào)文,再根據(jù)這些找出的網(wǎng)絡(luò)報(bào)文確定具備完整TCP連接建立過程的 TCP連接。本實(shí)施例中,所述步驟A2如圖3所示,具體包括,對(duì)于步驟A1中篩選出的各TCP 連接,分別進(jìn)行下列步驟
Bi、確定該TCP連接建立過程的發(fā)起端和終止端的網(wǎng)絡(luò)IP地址,如果發(fā)起端和終 止端的網(wǎng)絡(luò)IP地址屬于同一子網(wǎng)則結(jié)束,否則執(zhí)行步驟B2 ;B2、檢查該TCP連接建立過程中的第一個(gè)網(wǎng)絡(luò)報(bào)文(TCP SYNOnly報(bào)文)的TTL值, 如果發(fā)現(xiàn)其TTL值在整數(shù)值255、128、64、32中任一個(gè)的附近,則結(jié)束,否則執(zhí)行步驟B3 ;B3、檢查該TCP連接建立過程中的第二個(gè)網(wǎng)絡(luò)報(bào)文(TCP SYNACK報(bào)文)的TTL值, 如果發(fā)現(xiàn)其TTL值在整數(shù)值255、128、64、32中任一個(gè)的附近,則進(jìn)行步驟B4 ;否則結(jié)束;B4、提取該TCP連接的目標(biāo)設(shè)備信息。如果目標(biāo)設(shè)備信息為{目標(biāo)網(wǎng)絡(luò)地址,目標(biāo)端口 }對(duì),則步驟B4中提取該TCP連 接的目標(biāo)網(wǎng)絡(luò)地址和目標(biāo)端口,并以{目標(biāo)網(wǎng)絡(luò)地址,目標(biāo)端口 }對(duì)的格式輸出;當(dāng)對(duì)步驟 Al中篩選出的所有TCP連接都進(jìn)行完上述Bl到B4的步驟后,就可以得到一系列的{目標(biāo) 網(wǎng)絡(luò)地址,目標(biāo)端口 }對(duì)。步驟Bi、B2、B3可以不分先后順序,當(dāng)判斷發(fā)起端和終止端的網(wǎng)絡(luò)IP地址屬于同 一子網(wǎng)時(shí)、或第一個(gè)網(wǎng)絡(luò)報(bào)文在上述整數(shù)值中任一個(gè)的附近時(shí)、或第二個(gè)網(wǎng)絡(luò)報(bào)文不在上 述整數(shù)值中任一個(gè)的附近時(shí)結(jié)束,否則進(jìn)行另一步驟,直到步驟Bi、B2、B3都進(jìn)行完后,進(jìn) 行步驟B4。其中,步驟Bl用于篩選出TCP連接的發(fā)起端和終止端不屬于同一子網(wǎng)的TCP連 接,目的是要保證該TCP連接是跨網(wǎng)段的,而不是由內(nèi)網(wǎng)發(fā)起并終止于內(nèi)網(wǎng)的TCP連接。其中,步驟B2中,如果TCP連接的TTL值在整數(shù)值255,128,64,32中任一個(gè)的附 近,則說明該TCP連接可能是由內(nèi)網(wǎng)發(fā)起的,因此不予考慮;否則,說明該TCP連接很可能是 由外網(wǎng)發(fā)起而終止于內(nèi)網(wǎng)的,因此繼續(xù)執(zhí)行步驟B3。其中,步驟B3中,如果TCP連接的TTL值在上述任一整數(shù)值附近,則說明該 TCP-SYNACK網(wǎng)絡(luò)報(bào)文很可能是由內(nèi)網(wǎng)主機(jī)發(fā)往外網(wǎng)主機(jī)的,因此提取其中的目標(biāo)設(shè)備信 息;否則不予考慮。實(shí)際應(yīng)用時(shí),也不排除用其它方式判斷網(wǎng)絡(luò)報(bào)文是否由外/內(nèi)網(wǎng)發(fā)起而終止于內(nèi) /外網(wǎng)。如果一 TCP連接建立過程同時(shí)滿足步驟B2和B3中的條件,即TCP連接建立過程 中的第一個(gè)網(wǎng)絡(luò)報(bào)文(TCP SYN報(bào)文)是由外網(wǎng)發(fā)起而終止于內(nèi)網(wǎng)的,TCP連接建立過程中 的第二個(gè)網(wǎng)絡(luò)報(bào)文(TCP-SYNACK報(bào)文)是由內(nèi)網(wǎng)發(fā)起而終止于外網(wǎng)的,由于當(dāng)前所考察的 是一個(gè)完整的TCP連接建立過程,因而,該TCP連接的發(fā)起端和終止端都是真實(shí)存在的,而 不太可能是由黑客偽造的,因此,猜測(cè)該TCP連接的目標(biāo)設(shè)備就是一個(gè)可能的內(nèi)網(wǎng)中互聯(lián) 網(wǎng)服務(wù)提供設(shè)備。本實(shí)施例中,所述步驟B2和B3中判定TTL值是否在整數(shù)值255,128,64,32中任 一個(gè)的附近的具體方法為設(shè)定整數(shù)閾值T ;分別計(jì)算所述TTL值與整數(shù)值255、128、64、32之間的距離值,只要有任一個(gè)距離 值小于預(yù)先設(shè)定的整數(shù)閾值T,則判定所述TTL值在整數(shù)值255,128,64,32中某一個(gè)的附 近;所述距離值是兩者之差的絕對(duì)值。通常情況下,內(nèi)網(wǎng)中一般并沒有路由器,因此,這個(gè)整數(shù)閾值T可以取值為1,即要 求當(dāng)前所考察網(wǎng)絡(luò)報(bào)文的TTL值必須等于255,128,64,32中任一值時(shí),才說明該網(wǎng)絡(luò)報(bào)文
8是由內(nèi)網(wǎng)某主機(jī)產(chǎn)生的。而對(duì)于內(nèi)網(wǎng)中存在路由器的情況,將整數(shù)閾值T設(shè)置為2或者3, 甚至更多都是可行的。本實(shí)施例中,步驟A3中,可以根據(jù)所述時(shí)間段中某一目標(biāo)設(shè)備出現(xiàn)次數(shù)與所有目 標(biāo)設(shè)備出現(xiàn)次數(shù)的比值,得到該目標(biāo)設(shè)備出現(xiàn)的頻率,頻率最高的若干個(gè)目標(biāo)設(shè)備就為最 頻繁出現(xiàn)的目標(biāo)設(shè)備;也可以采用其它方式,比如直接比較各目標(biāo)設(shè)備在所述時(shí)間段中的 出現(xiàn)次數(shù),出現(xiàn)次數(shù)最多的若干個(gè)目標(biāo)設(shè)備就為最頻繁出現(xiàn)的目標(biāo)設(shè)備。本實(shí)施例中,步驟A3中識(shí)別為互聯(lián)網(wǎng)服務(wù)提供設(shè)備的目標(biāo)設(shè)備個(gè)數(shù)可以是由用 戶指定,也可以是自適應(yīng)調(diào)整;如果由用戶指定,用戶可以根據(jù)內(nèi)網(wǎng)中實(shí)際有的互聯(lián)網(wǎng)服務(wù)提供設(shè)備的個(gè)數(shù)來進(jìn) 行指定,比如當(dāng)內(nèi)網(wǎng)中有3個(gè)互聯(lián)網(wǎng)服務(wù)提供設(shè)備時(shí),指定為3 ;則步驟A3中將最頻繁出現(xiàn) 的3個(gè)目標(biāo)設(shè)備識(shí)別為互聯(lián)網(wǎng)服務(wù)提供設(shè)備。如果是自適應(yīng)調(diào)整,則可以是設(shè)置一頻率閾值或次數(shù)閾值,將出現(xiàn)頻率/次數(shù)大 于或等于該頻率/次數(shù)閾值的目標(biāo)設(shè)備都識(shí)別為互聯(lián)網(wǎng)服務(wù)提供設(shè)備;這樣每次識(shí)別出的 互聯(lián)網(wǎng)服務(wù)提供設(shè)備的個(gè)數(shù)有可能不同;也可以是設(shè)置一差值閾值,將各目標(biāo)設(shè)備按其在 所述時(shí)間段內(nèi)的出現(xiàn)頻率或次數(shù)從高到低排序,從第一個(gè)目標(biāo)設(shè)備開始,依次用各目標(biāo)設(shè) 備的出現(xiàn)頻率/次數(shù)減去排在后一位的目標(biāo)設(shè)備的出現(xiàn)頻率/次數(shù)得到一差值,直到所得 到的差值大于或等于所述差值閾值,此時(shí)將得到該差值時(shí)作為減數(shù)的目標(biāo)設(shè)備及排在該目 標(biāo)設(shè)備之前的所有目標(biāo)設(shè)備識(shí)別為互聯(lián)網(wǎng)服務(wù)提供設(shè)備,比如目標(biāo)設(shè)備A、B、C、D在所述時(shí) 間段中出現(xiàn)頻率分別為50. 1%、36.8%、12.8%和0.3% ;如果所述差值閾值為20%,則將 目標(biāo)設(shè)備A和B識(shí)別為互聯(lián)網(wǎng)服務(wù)提供設(shè)備;如果所述差值閾值為12%,則將目標(biāo)設(shè)備A識(shí) 別為互聯(lián)網(wǎng)服務(wù)提供設(shè)備。實(shí)施例二,一種自動(dòng)識(shí)別內(nèi)網(wǎng)中互聯(lián)網(wǎng)服務(wù)提供設(shè)備的裝置,如圖4所示,包括篩選模塊,用于接收一時(shí)間段內(nèi)監(jiān)測(cè)到的網(wǎng)絡(luò)報(bào)文,根據(jù)所接收的網(wǎng)絡(luò)報(bào)文篩選 出所述時(shí)間段中具備完整TCP連接建立過程的TCP連接;提取模塊,用于對(duì)篩選出的各所述TCP連接分別進(jìn)行判斷,如果一 TCP連接建立 過程的發(fā)起端和終止端不屬于同一子網(wǎng)、并且建立過程中第一個(gè)網(wǎng)絡(luò)報(bào)文由外網(wǎng)發(fā)起且終 止于內(nèi)網(wǎng),而應(yīng)答所述第一個(gè)網(wǎng)絡(luò)報(bào)文的網(wǎng)絡(luò)報(bào)文由內(nèi)網(wǎng)發(fā)起且終止于外網(wǎng),則提取該TCP 連接的目標(biāo)設(shè)備信息;所述目標(biāo)設(shè)備信息可以但不限于為{目標(biāo)網(wǎng)絡(luò)地址,目標(biāo)端口 }對(duì),也可以是其它 能夠從網(wǎng)絡(luò)報(bào)文中提取的、描述目標(biāo)設(shè)備的信息;識(shí)別模塊,用于對(duì)提取的所述目標(biāo)設(shè)備信息進(jìn)行統(tǒng)計(jì),將最頻繁出現(xiàn)的若干個(gè)目 標(biāo)設(shè)備識(shí)別為所述內(nèi)網(wǎng)中的互聯(lián)網(wǎng)服務(wù)提供設(shè)備。如果目標(biāo)設(shè)備信息為{目標(biāo)網(wǎng)絡(luò)地址,目標(biāo)端口 }對(duì),則識(shí)別模塊對(duì)提取的所有 {目標(biāo)網(wǎng)絡(luò)地址,目標(biāo)端口 }對(duì)進(jìn)行統(tǒng)計(jì),提取出最頻繁出現(xiàn)的若干個(gè){目標(biāo)網(wǎng)絡(luò)地址,目標(biāo) 端口}對(duì)為所識(shí)別的內(nèi)網(wǎng)中的互聯(lián)網(wǎng)服務(wù)提供設(shè)備。本實(shí)施例中,所述篩選模塊篩選具備完整TCP連接建立過程的TCP連接可以是 指所述篩選模塊篩選出TCP連接建立過程包括以下三個(gè)與TCP握手連接相關(guān)的網(wǎng)絡(luò) 報(bào)文的TCP連接
9
由TCP發(fā)起端發(fā)送的TCP-SYNOnly網(wǎng)絡(luò)報(bào)文;由TCP終止端響應(yīng)TCP發(fā)起端的TCP-SYNACK網(wǎng)絡(luò)報(bào)文;以及由TCP發(fā)起端響應(yīng)TCP終止端的TCP-ACKOnly網(wǎng)絡(luò)報(bào)文。本實(shí)施例中,所述篩選模塊可以先從所述時(shí)間段內(nèi)監(jiān)測(cè)到的網(wǎng)絡(luò)報(bào)文中找出與 TCP握手連接相關(guān)的網(wǎng)絡(luò)報(bào)文,再根據(jù)這些找出的網(wǎng)絡(luò)報(bào)文確定具備完整TCP連接建立過 程的TCP連接。本實(shí)施例中,所述提取模塊如圖5所示,具體包括存儲(chǔ)子模塊、讀取子模塊、第一 判斷子模塊、第二判斷子模塊、第三判斷子模塊和信息提取子模塊;所述存儲(chǔ)子模塊用于從篩選模塊接收篩選出的各TCP連接并保存;保存好后發(fā)送 讀取指示給所述讀取子模塊;所述讀取子模塊用于當(dāng)收到讀取指示時(shí),從所述存儲(chǔ)子模塊讀出一個(gè)TCP連接, 發(fā)送給所述第一判斷子模塊;以及當(dāng)所述存儲(chǔ)子模塊中的TCP連接已全部讀出后發(fā)送輸出 指示給所述信息提取子模塊;所述第一判斷子模塊用于確定所收到的TCP連接建立過程的發(fā)起端和終止端的 網(wǎng)絡(luò)IP地址,如果發(fā)起端和終止端的網(wǎng)絡(luò)IP地址屬于同一子網(wǎng)則丟棄該TCP連接,并發(fā)送 讀取指示給所述讀取子模塊;否則將該TCP連接轉(zhuǎn)發(fā)給所述第二判斷子模塊;所述第二判斷子模塊用于檢查所收到的TCP連接建立過程中的第一個(gè)網(wǎng)絡(luò)報(bào)文 (TCP SYNOnly報(bào)文)的TTL值,如果發(fā)現(xiàn)其TTL值在整數(shù)值255、128、64、32中任一個(gè)的附 近,則丟棄該TCP連接,并發(fā)送讀取指示給所述讀取子模塊;否則將該TCP連接轉(zhuǎn)發(fā)給所述 第三判斷子模塊;所述第三判斷子模塊用于檢查所收到的TCP連接建立過程中的第二個(gè)網(wǎng)絡(luò)報(bào)文 (TCP SYNACK報(bào)文)的TTL值,如果發(fā)現(xiàn)其TTL值在整數(shù)值255、128、64、32中任一個(gè)的附 近,則將該TCP連接轉(zhuǎn)發(fā)給所述信息提取子模塊;否則丟棄該TCP連接,并發(fā)送讀取指示給 所述讀取子模塊;所述信息提取子模塊用于提取并保存所收到的TCP連接的目標(biāo)設(shè)備信息,提取后 發(fā)送讀取指示給所述讀取子模塊;以及當(dāng)收到所述輸出指示時(shí),將所保存的目標(biāo)設(shè)備信息 全部發(fā)送給所述識(shí)別模塊。如果目標(biāo)設(shè)備信息為{目標(biāo)網(wǎng)絡(luò)地址,目標(biāo)端口 }對(duì),則所述信息提取子模塊提取 該TCP連接的目標(biāo)網(wǎng)絡(luò)地址和目標(biāo)端口,并以{目標(biāo)網(wǎng)絡(luò)地址,目標(biāo)端口 }對(duì)的格式輸出, 最后識(shí)別模塊將獲得一系列的{目標(biāo)網(wǎng)絡(luò)地址,目標(biāo)端口}對(duì)。與步驟Bi、B2、B3相類似,實(shí)際應(yīng)用中,所述第一、第二和第三判斷子模塊的連接 順序也可以改變,所述讀取子模塊讀取后發(fā)送給第一、第二和第三判斷子模塊中的一個(gè);該 判斷子模塊根據(jù)判斷結(jié)果決定是丟棄TCP連接還是發(fā)送給另一個(gè)判斷子模塊,而收到TCP 連接的判斷子模塊也是如此處理;而最后一個(gè)收到TCP連接的判斷子模塊根據(jù)判斷結(jié)果決 定是丟棄TCP連接還是發(fā)送給所述信息提取子模塊。本實(shí)施例中,所述存儲(chǔ)子模塊還用于保存一整數(shù)閾值T ;所述第二判斷模塊/第三判斷模塊判定TTL值是否在整數(shù)值255,128,64,32中任 一個(gè)的附近具體是指所述第二判斷模塊/第三判斷模塊分別計(jì)算所述TTL值與整數(shù)值255、128、64、32
10之間的距離值,只要有任一個(gè)距離值小于所述整數(shù)閾值T,則判定所述TTL值在整數(shù)值255, 128,64,32中某一個(gè)的附近;所述距離值是兩者之差的絕對(duì)值。通常情況下,內(nèi)網(wǎng)中一般并沒有路由器,因此,這個(gè)整數(shù)閾值T可以取值為1,即要 求當(dāng)前所考察網(wǎng)絡(luò)報(bào)文的TTL值必須等于255,128,64,32中任一值時(shí),才說明該網(wǎng)絡(luò)報(bào)文 是由內(nèi)網(wǎng)某主機(jī)產(chǎn)生的。而對(duì)于內(nèi)網(wǎng)中存在路由器的情況,將整數(shù)閾值T設(shè)置為2或者3, 甚至更多都是可行的。本實(shí)施例中,所述識(shí)別模塊可以根據(jù)所述時(shí)間段中某一目標(biāo)設(shè)備出現(xiàn)次數(shù)與所有 目標(biāo)設(shè)備出現(xiàn)次數(shù)的比值,得到該目標(biāo)設(shè)備出現(xiàn)的頻率,將頻率最高的若干個(gè)目標(biāo)設(shè)備作 為最頻繁出現(xiàn)的目標(biāo)設(shè)備;也可以采用其它方式,比如直接比較各目標(biāo)設(shè)備在所述時(shí)間段 中的出現(xiàn)次數(shù),將出現(xiàn)次數(shù)最多的若干個(gè)目標(biāo)設(shè)備作為最頻繁出現(xiàn)的目標(biāo)設(shè)備。本實(shí)施例中,所述識(shí)別模塊識(shí)別為互聯(lián)網(wǎng)服務(wù)提供設(shè)備的目標(biāo)設(shè)備個(gè)數(shù)可以是由 用戶指定,也可以是自適應(yīng)調(diào)整;如果由用戶指定,用戶可以根據(jù)內(nèi)網(wǎng)中實(shí)際有的互聯(lián)網(wǎng)服務(wù)提供設(shè)備的個(gè)數(shù)來進(jìn) 行指定,比如當(dāng)內(nèi)網(wǎng)中有3個(gè)互聯(lián)網(wǎng)服務(wù)提供設(shè)備時(shí),指定為3 ;則所述識(shí)別模塊將最頻繁 出現(xiàn)的3個(gè)目標(biāo)設(shè)備識(shí)別為互聯(lián)網(wǎng)服務(wù)提供設(shè)備。如果是自適應(yīng)調(diào)整,則所述識(shí)別模塊保存一頻率閾值或次數(shù)閾值,將出現(xiàn)頻率/ 次數(shù)大于或等于該頻率/次數(shù)閾值的目標(biāo)設(shè)備都識(shí)別為互聯(lián)網(wǎng)服務(wù)提供設(shè)備;這樣每次 識(shí)別出的互聯(lián)網(wǎng)服務(wù)提供設(shè)備的個(gè)數(shù)有可能不同;所述識(shí)別模塊也可以保存一差值閾值, 將各目標(biāo)設(shè)備按其在所述時(shí)間段內(nèi)的出現(xiàn)頻率或次數(shù)從高到低排序,從第一個(gè)目標(biāo)設(shè)備開 始,依次用各目標(biāo)設(shè)備的出現(xiàn)頻率/次數(shù)減去排在后一位的目標(biāo)設(shè)備的出現(xiàn)頻率/次數(shù)得 到一差值,直到所得到的差值大于或等于所述差值閾值,此時(shí)將得到該差值時(shí)作為減數(shù)的 目標(biāo)設(shè)備及排在該目標(biāo)設(shè)備之前的所有目標(biāo)設(shè)備識(shí)別為互聯(lián)網(wǎng)服務(wù)提供設(shè)備。當(dāng)然,本發(fā)明還可有其他多種實(shí)施例,在不背離本發(fā)明精神及其實(shí)質(zhì)的情況下,熟 悉本領(lǐng)域的技術(shù)人員當(dāng)可根據(jù)本發(fā)明作出各種相應(yīng)的改變和變形,但這些相應(yīng)的改變和變 形都應(yīng)屬于本發(fā)明的權(quán)利要求的保護(hù)范圍。
權(quán)利要求
一種自動(dòng)識(shí)別內(nèi)網(wǎng)中互聯(lián)網(wǎng)服務(wù)提供設(shè)備的方法,包括A1、根據(jù)一時(shí)間段內(nèi)監(jiān)測(cè)到的網(wǎng)絡(luò)報(bào)文,篩選出所述時(shí)間段中具備完整TCP連接建立過程的TCP連接;A2、對(duì)步驟A1中篩選出的各所述TCP連接分別進(jìn)行判斷,如果一TCP連接建立過程的發(fā)起端和終止端不屬于同一子網(wǎng)、并且建立過程中第一個(gè)網(wǎng)絡(luò)報(bào)文由外網(wǎng)發(fā)起且終止于內(nèi)網(wǎng),而應(yīng)答所述第一個(gè)網(wǎng)絡(luò)報(bào)文的網(wǎng)絡(luò)報(bào)文由內(nèi)網(wǎng)發(fā)起且終止于外網(wǎng),則提取該TCP連接的目標(biāo)設(shè)備信息;A3、對(duì)步驟A2提取的所述目標(biāo)設(shè)備信息進(jìn)行統(tǒng)計(jì),將最頻繁出現(xiàn)的若干個(gè)目標(biāo)設(shè)備識(shí)別為所述內(nèi)網(wǎng)中的互聯(lián)網(wǎng)服務(wù)提供設(shè)備。
2.如權(quán)利要求1所述的方法,其特征在于,步驟Al中所述具備完整TCP連接建立過程 的TCP連接是指TCP連接建立過程包括以下三個(gè)與TCP握手連接相關(guān)的網(wǎng)絡(luò)報(bào)文的TCP連 接由TCP發(fā)起端發(fā)送的TCP-SYNOnly網(wǎng)絡(luò)報(bào)文; 由TCP終止端響應(yīng)TCP發(fā)起端的TCP-SYNACK網(wǎng)絡(luò)報(bào)文; 以及由TCP發(fā)起端響應(yīng)TCP終止端的TCP-ACKOnly網(wǎng)絡(luò)報(bào)文。
3.如權(quán)利要求2所述的方法,其特征在于,所述步驟A2具體包括,對(duì)于步驟Al中篩選 出的各TCP連接,分別進(jìn)行下列步驟Bi、確定該TCP連接建立過程的發(fā)起端和終止端的網(wǎng)絡(luò)IP地址,如果發(fā)起端和終止端 的網(wǎng)絡(luò)IP地址屬于同一子網(wǎng)則結(jié)束,否則執(zhí)行步驟B2 ;B2、檢查該TCP連接建立過程中的TCP SYNOnly報(bào)文的TTL值,如果發(fā)現(xiàn)其TTL值與 整數(shù)值255、128、64、32中任一個(gè)的距離值小于一預(yù)設(shè)的整數(shù)閾值T則結(jié)束,否則執(zhí)行步驟 B3 ;B3、檢查該TCP連接建立過程中的TCP SYN-ACK報(bào)文的TTL值,如果發(fā)現(xiàn)其TTL值與整 數(shù)值255、128、64、32中任一個(gè)的距離值小于所述整數(shù)閾值T,則進(jìn)行步驟B4 ;否則結(jié)束; B4、提取該TCP連接的目標(biāo)設(shè)備信息。
4.如權(quán)利要求3所述的方法,其特征在于 當(dāng)內(nèi)網(wǎng)中沒有路由器時(shí),所述整數(shù)閾值T為1 ;當(dāng)內(nèi)網(wǎng)中存在路由器時(shí),所述整數(shù)閾值T為2或3。
5.如權(quán)利要求1到4中任一項(xiàng)所述的方法,其特征在于 所述目標(biāo)設(shè)備信息為{目標(biāo)網(wǎng)絡(luò)地址,目標(biāo)端口 }對(duì)。
6.一種自動(dòng)識(shí)別內(nèi)網(wǎng)中互聯(lián)網(wǎng)服務(wù)提供設(shè)備的裝置,其特征在于,包括篩選模塊,用于接收一時(shí)間段內(nèi)監(jiān)測(cè)到的網(wǎng)絡(luò)報(bào)文,根據(jù)所接收的網(wǎng)絡(luò)報(bào)文篩選出所 述時(shí)間段中具備完整TCP連接建立過程的TCP連接;提取模塊,用于對(duì)篩選出的各所述TCP連接分別進(jìn)行判斷,如果一 TCP連接建立過程的 發(fā)起端和終止端不屬于同一子網(wǎng)、并且建立過程中第一個(gè)網(wǎng)絡(luò)報(bào)文由外網(wǎng)發(fā)起且終止于內(nèi) 網(wǎng),而應(yīng)答所述第一個(gè)網(wǎng)絡(luò)報(bào)文的網(wǎng)絡(luò)報(bào)文由內(nèi)網(wǎng)發(fā)起且終止于外網(wǎng),則提取該TCP連接 的目標(biāo)設(shè)備信息;識(shí)別模塊,用于對(duì)提取的所述目標(biāo)設(shè)備信息進(jìn)行統(tǒng)計(jì),將最頻繁出現(xiàn)的若干個(gè)目標(biāo)設(shè) 備識(shí)別為所述內(nèi)網(wǎng)中的互聯(lián)網(wǎng)服務(wù)提供設(shè)備。
7.如權(quán)利要求6所述的裝置,其特征在于,所述篩選模塊篩選具備完整TCP連接建立過 程的TCP連接是指,所述篩選模塊篩選出TCP連接建立過程包括以下三個(gè)與TCP握手連接相關(guān)的網(wǎng)絡(luò)報(bào)文 的TCP連接由TCP發(fā)起端發(fā)送的TCP-SYNOnly網(wǎng)絡(luò)報(bào)文; 由TCP終止端響應(yīng)TCP發(fā)起端的TCP-SYNACK網(wǎng)絡(luò)報(bào)文; 以及由TCP發(fā)起端響應(yīng)TCP終止端的TCP-ACKOnly網(wǎng)絡(luò)報(bào)文。
8.如權(quán)利要求7所述的裝置,其特征在于,所述提取模塊具體包括存儲(chǔ)子模塊、讀取子模塊、第一判斷子模塊、第二判斷子模塊、第三判斷子模塊和信息 提取子模塊;所述存儲(chǔ)子模塊用于保存一整數(shù)閾值T,以及從篩選模塊接收篩選出的各TCP連接并 保存;保存好后發(fā)送讀取指示給所述讀取子模塊;所述讀取子模塊用于當(dāng)收到讀取指示時(shí),從所述存儲(chǔ)子模塊讀出一個(gè)TCP連接,發(fā)送 給所述第一判斷子模塊;以及當(dāng)所述存儲(chǔ)子模塊中的TCP連接已全部讀出后發(fā)送輸出指示 給所述信息提取子模塊;所述第一判斷子模塊用于確定所收到的TCP連接建立過程的發(fā)起端和終止端的網(wǎng)絡(luò) IP地址,如果發(fā)起端和終止端的網(wǎng)絡(luò)IP地址屬于同一子網(wǎng)則丟棄該TCP連接,并發(fā)送讀取 指示給所述讀取子模塊;否則將該TCP連接轉(zhuǎn)發(fā)給所述第二判斷子模塊;所述第二判斷子模塊用于檢查所收到的TCP連接建立過程中的TCPSYNOnly報(bào)文的TTL 值,如果發(fā)現(xiàn)其TTL值與整數(shù)值255、128、64、32中任一個(gè)的距離值小于所述整數(shù)閾值T,則 丟棄該TCP連接,并發(fā)送讀取指示給所述讀取子模塊;否則將該TCP連接轉(zhuǎn)發(fā)給所述第三判 斷子模塊;所述第三判斷子模塊用于檢查所收到的TCP連接建立過程中的TCPSYNACK報(bào)文的TTL 值,如果發(fā)現(xiàn)其TTL值與整數(shù)值255、128、64、32中任一個(gè)的距離值小于所述整數(shù)閾值T,則 將該TCP連接轉(zhuǎn)發(fā)給所述信息提取子模塊;否則丟棄該TCP連接,并發(fā)送讀取指示給所述讀 取子模塊;所述信息提取子模塊用于提取并保存所收到的TCP連接的目標(biāo)設(shè)備信息,提取后發(fā)送 讀取指示給所述讀取子模塊;以及當(dāng)收到所述輸出指示時(shí),將所保存的目標(biāo)設(shè)備信息全部 發(fā)送給所述識(shí)別模塊。
9.如權(quán)利要求8所述的裝置,其特征在于當(dāng)內(nèi)網(wǎng)中沒有路由器時(shí),所述存儲(chǔ)子模塊保存的整數(shù)閾值T為1 ; 當(dāng)內(nèi)網(wǎng)中存在路由器時(shí),所述存儲(chǔ)子模塊保存的整數(shù)閾值T為2或3。
10.如權(quán)利要求6到9中任一項(xiàng)所述的裝置,其特征在于所述提取模塊提取的目標(biāo)設(shè)備信息為{目標(biāo)網(wǎng)絡(luò)地址,目標(biāo)端口 }對(duì)。
全文摘要
本發(fā)明公開了一種自動(dòng)識(shí)別內(nèi)網(wǎng)中互聯(lián)網(wǎng)服務(wù)提供設(shè)備的方法和裝置;所述方法包括根據(jù)一時(shí)間段內(nèi)監(jiān)測(cè)到的網(wǎng)絡(luò)報(bào)文,篩選出所述時(shí)間段中具備完整TCP連接建立過程的TCP連接;對(duì)篩選出的各所述TCP連接分別進(jìn)行判斷,如果一TCP連接建立過程的發(fā)起端和終止端不屬于同一子網(wǎng)、并且建立過程中第一個(gè)網(wǎng)絡(luò)報(bào)文由外網(wǎng)發(fā)起且終止于內(nèi)網(wǎng),而應(yīng)答所述第一個(gè)網(wǎng)絡(luò)報(bào)文的網(wǎng)絡(luò)報(bào)文由內(nèi)網(wǎng)發(fā)起且終止于外網(wǎng),則提取該TCP連接的目標(biāo)設(shè)備信息;對(duì)提取的所述目標(biāo)設(shè)備信息進(jìn)行統(tǒng)計(jì),將最頻繁出現(xiàn)的若干個(gè)目標(biāo)設(shè)備識(shí)別為所述內(nèi)網(wǎng)中的互聯(lián)網(wǎng)服務(wù)提供設(shè)備。本發(fā)明克服了傳統(tǒng)的手工配置內(nèi)網(wǎng)中互聯(lián)網(wǎng)服務(wù)提供設(shè)備信息的繁瑣和易出錯(cuò)等缺點(diǎn)。
文檔編號(hào)H04L12/56GK101895434SQ20091008426
公開日2010年11月24日 申請(qǐng)日期2009年5月19日 優(yōu)先權(quán)日2009年5月19日
發(fā)明者葉潤(rùn)國(guó), 孫海波 申請(qǐng)人:北京啟明星辰信息技術(shù)股份有限公司;北京啟明星辰信息安全技術(shù)有限公司