本发明专利技术公开了一种网络接入检测方法及设备。方法包括:接收网络侧数据;判断数据的通信结构是否为第一通信结构;若数据的通信结构非第一通信结构,则判定本设备所处的传输网络中存在外来设备接入;本发明专利技术利用“通信结构”本身进行条件判定,实现了在“握手”操作之前的对外来设备的接入的检测,达到了在专用网络不会产生任何安全风险的前提下对外来设备的检测,避免了专用网络无失泄密风险,及被外来设备攻击的风险,保障了专用网络的网络安全及设备安全。
【技术实现步骤摘要】
本专利技术涉及网络通信检测领域,尤其是涉及一种网络接入检测方法及设备。
技术介绍
OSI(Open-System-Interconnection,开放式系统互联)模型定义了不同计算机互联的标准,OSI模型把网络通信的工作分为7层,由低到高分别为物理层、链路层、网络层、传输层、会话层、表示层和应用层。发送数据时,应用层用于提供软件程序网络服务,如FTP、HTTP、SMTP、POP3、IMAP等协议提供文件传输服务;表示层用于确定通信双方的协议报文的压缩格式及密钥等信息;会话层用于确保端对端的连接、维持、恢复;传输层用于选择TCP/IP、UDP等传输协议;网络层用于增加IP信息,如数据包IP头、校验信息;链路层用于增加MAC信息,如数据帧的帧头、校验信息等;物理层用于将数据帧转换为比特流或转换为电磁波在有线或无线网络中传输。接收数据时,则与上述发送数据过程相反。出于安全性和网络完整性的要求,专用网络需要第一时间获取到接入网络中的设备,即专用网络需要动态感知新设备的接入;目前主要的技术手段是通过设备主动注册的方式,将自身的信息上报给该设备的上层网络节点设备,但对于攻击者而言,很有可能在注册过程中,或更早的“握手”过程中已经对网络里的设备进行了攻击,这些攻击有能力使专用网络对该设备进入无感知,专用网络的网络安全和设备安全得不到保护。
技术实现思路
本专利技术的目的之一是提供一种网络接入检测方法,以解决现有技术中专用网络感知能力滞后引起的感知失效的问题。在一些说明性实施例中,所述网络接入检测方法,包括:接收网络侧数据;判断所述数据的通信结构是否为第一通信结构;若否,则判定本设备所处的传输网络中存在外来设备接入。在一些说明性实施例中,所述判断所述数据的通信结构是否为第一通信结构,具体包括:无法识别所述数据,则判定该数据的通信结构非本设备所支持的第一通信结构。在一些说明性实施例中,所述无法识别所述数据,具体包括:无法解析出所述数据中的数据内容。在一些说明性实施例中,在所述判定该数据的通信结构非本设备所支持的第一通信结构之后,还包括:获取所述数据的源地址信息。在一些说明性实施例中,在所述获取数据的源地址信息之后,还包括:根据所述数据的源地址信息,对所述数据的发送设备进行以下之一或任意组合的操作:设备定位、行为分析、行为预测、行为管理。在一些说明性实施例中,所述数据为第一数据;在所述获取所述数据的源地址信息之后,还包括:将判定结果信息和所述数据的源地址信息以第一通信结构的第二数据上报至本设备的上层设备。在一些说明性实施例中,所述获取所述数据的源地址信息,具体包括:将本设备的地址信息作为所述数据的源地址信息;或者,将本设备上/下层节点设备的地址信息作为所述数据的源地址信息。在一些说明性实施例中,所述获取所述数据的源地址信息,具体包括:通过解析所述数据的特定字段,获取所述数据的源地址信息。在一些说明性实施例中,所述数据为以下之一的表现形式:协议报文、数据包、数据帧、比特流。本专利技术的另一个目的在于提供一种网络接入检测设备。在一些说明性实施例中,所述网络接入检测设备,包括:接收模块,用于接收网络侧数据;解析模块,用于判断所述数据的通信结构是否为第一通信结构;若否,则判定本设备所处的传输网络中存在外来设备接入。本专利技术的再一个目的在于提供一种服务器,所述服务器具有上述的网络接入检测设备。本专利技术的再一个目的在于提供一种网络中间设备,所述网络中间设备具有上述网络接入检测设备。本专利技术的再一个目的在于提供一种终端设备,所述终端设备具有上述网络接入检测设备。与现有技术相比本专利技术中的说明性实施例至少具有以下优点:本专利技术利用“通信结构”本身进行条件判定,实现了在“握手”操作之前的对外来设备的接入的检测,达到了专用网络不会产生任何安全风险的前提下对外来设备的检测。并且通过改造通信结构,使专用网络设备无法识别外来设备的数据流,也就使外来设备发送的数据流不会对专用网络设备产生任何影响;同时,外来设备监听到专用网络内的数据时,其同样也无法识别,也就使外来设备上不会存有专用网络的数据流。上述机制使专用网络无失泄密风险,及被外来设备攻击的风险,保障了专用网络的网络安全及设备安全。附图说明此处所说明的附图用来提供对本专利技术的进一步理解,构成本申请的一部分,本专利技术的示意性实施例及其说明用于解释本专利技术,并不构成对本专利技术的不当限定。在附图中:图1是按照本专利技术的说明性实施例的流程图;图2是按照本专利技术的说明性实施例的流程图;图3是按照本专利技术的说明性实施例的流程图;图4是按照本专利技术的说明性实施例的流程图;图5是按照本专利技术的说明性实施例的网络结构示意图;图6是按照本专利技术的说明性实施例的流程图;图7是按照本专利技术的说明性实施例的网络拓扑结构图;图8是按照本专利技术的说明性实施例的结构框图。具体实施方式在以下详细描述中,提出大量特定细节,以便于提供对本专利技术的透彻理解。但是,本领域的技术人员会理解,即使没有这些特定细节也可实施本专利技术。在其它情况下,没有详细描述众所周知的方法、过程、组件和电路,以免影响对本专利技术的理解。为了可以更快的理解本专利技术的主要思想,因此在阐述本专利技术的说明性实施例之前,对本专利技术的主要思想进行简要说明:由于网络设备在网络中传输数据之前,通信双方需要通过“握手”操作建立传输的链路,其在“握手”的过程中就需要交互一些信息数据,但攻击者很有可能利用交互的信息数据已经完成了其对目标设备的攻击,因此需要在新设备入网的“握手”操作之前就需要感知到新设备的接入。本专利技术通过改造专用网络的通信结构(即后续第一通信结构),使专用网络内的认证设备无法真正识别标准网络通信结构的数据,从而无法顺利的通过OIS七层网络模型,并利用模型的“无法识别即丢弃”的特性,检测外来设备的接入;同时,外来设备通过物理网线监听到网络中的数据流,但其无法识别,同样也会将该数据流丢弃,使外来设备无法在专用网络中形成攻击,也无法获取到数据信息。现在参照图1,图1示出了本专利技术的一种网络接入检测方法的流程图,如该流程图所示,一种网络接入检测方法,包括:步骤S11、接收网络侧数据;其中,上述过程中的“接收”包括:接收、捕获、监听等获取数据流的方式;步骤S12、判断所述数据的通信结构是否为第一通信结构;步骤S13、若所述数据的通信结构非第一通信结构,则判定本设备所处的传输网络中存在外来设备接入;步骤S14、若所述数据的通信结构为第一通信结构,则解析所述数据的目标地址是否为本设备;若是,则继续进行后续解析等处理;若否,则丢弃该数据。本专利技术利用“通信结构”本身进行条件判定,实现了在“握手”操作之前的对外来设备的接入的检测,达到了专用网络不会产生任何安全风险的前提下对外来设备的检测。并且通过改造通信结构,使专用网络设备无法识别外来设备的数据流,也就使外来设备发送的数据流不会对专用网络设备产生任何影响;同时,外来设备监听到专用网络内的数据时,其同样也无法识别,也就使外来设备上不会存有专用网络的数据流。上述机制使专用网络无失泄密风险,及被外来设备攻击的风险,保障了专用网络的网络安全及设备安全。在一些说明性实施例中,所述判断所述数据的通信结构是否为第一通信结构,具体包括:无法识别所述数据,则判定该数据的通信结构非本设备所支持的第一本文档来自技高网...
【技术保护点】
一种网络接入检测方法,其特征在于,包括:接收网络侧数据;判断所述数据的通信结构是否为第一通信结构;若否,则判定本设备所处的传输网络中存在外来设备接入。
【技术特征摘要】
1.一种网络接入检测方法,其特征在于,包括:接收网络侧数据;判断所述数据的通信结构是否为第一通信结构;若否,则判定本设备所处的传输网络中存在外来设备接入。2.根据权利要求1所述的网络接入检测方法,其特征在于,所述判断所述数据的通信结构是否为第一通信结构,具体包括:无法识别所述数据,则判定该数据的通信结构非本设备所支持的第一通信结构。3.根据权利要求2所述的网络接入检测方法,其特征在于,所述无法识别所述数据,具体包括:无法解析出所述数据中的数据内容。4.根据权利要求2所述的网络接入检测方法,其特征在于,在所述判定该数据的通信结构非本设备所支持的第一通信结构之后,还包括:获取所述数据的源地址信息。5.根据权利要求4所述的网络接入检测方法,其特征在于,在所述获取数据的源地址信息之后,还包括:根据所述数据的源地址信息,对所述数据的发送设备进行以下之一或任意组合的操作:设备定位、行为分析、行为预测、行为管理。6.根据权利要求4所述的网络接入检测方法,其特征在于,所述数据为第一数据;在所述获取所述数据的源地址信息之后,还包括:将判定结果信息和所述数...
【专利技术属性】
技术研发人员:汪家祥,
申请(专利权)人:中天安泰北京信息技术有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。