本发明专利技术公开了一种网络劫持检测方法、装置与网络系统,涉及通信技术领域,其中的方法包括:采集目标网络中路由设备发送的NetFlow数据包;获取目标网络中路由设备的路由信息;根据路由信息判断NetFlow数据包是否为异常网络数据;如果NetFlow数据包为异常网络数据,则基于劫持判断规则确定发送异常网络数据的路由设备是否为被劫持设备。本发明专利技术的方法、装置与网络系统,采用多级网络劫持检测方法,首先采集NetFlow数据初步检测是否出现异常网络流量,再利用网络设备的流量策略功能进行实时流量统计以及利用网络设备端口的镜像功能实时进行抓包分析,可以精确定位网络劫持点,并能够提高检测的效率和精确度,降低了计算开销并提高了用户体验。
【技术实现步骤摘要】
一种网络劫持检测方法、装置与网络系统
本专利技术涉及通信
,尤其涉及一种网络劫持检测方法、装置与网络系统。
技术介绍
网络劫持通常为在用户访问网络时监听用户的请求,当匹配到某些特定条件时,在目标服务器之前向用户返回一个跳转响应,使用户跳转到其它网址而不是用户访问的目的网址。跳转的网页可能是钓鱼网站,或者包含木马、弹框广告等。如图1所示,城域网中设置有骨干路由器11、12,用户设备13、14的访问请求发送到骨干路由器11、12,并从骨干路由器11、12接收返回的网络响应数据。在骨干路由器12旁部署一台旁路的设备15,设备15采集分光流量信息并监听所有流过骨干路由器12的流量。设备15的分光采集位置可以在城域网出口路由器分光也可以在骨干路由器分光,采集用户上网流量信息,如果是DNS出口分光则采集的是用户DNS请求信息,如果是RADIUS出口则采集的是用户RADIUS请求信息。设备15按照某种规律或策略对于某些请求进行特殊处理。当用户设备14发送的一个请求流过骨干路由器12时,如果是TCP协议,则设备15根据该请求的seq和ack,生成数据作为回应包,并通过骨干路由器12发送给用户设备14。如果是UDP协议,则设备15直接生成数据作为回应包,发送给用户设备14。由于设备15生成的回应包比用户设备14访问的服务器端发送的正常包提前发送,因此当真正的服务器端数据发送过来时,会被作为错误的报文而不被接受。设备15发送的虚假数据包常见的是302跳转指示,引导客户端跳转到新的链接,例如广告等,影响用户的使用体验并可能给用户带来经济损失。
技术实现思路
有鉴于此,本专利技术要解决的一个技术问题是提供一种网络劫持检测方法、装置与网络系统。根据本专利技术的一个方面,提供一种网络劫持检测方法,包括:采集目标网络中路由设备发送的NetFlow数据包;获取所述目标网络中路由设备的路由信息;根据所述路由信息判断所述NetFlow数据包是否为异常网络数据;如果所述NetFlow数据包为异常网络数据,则基于劫持判断规则确定发送所述异常网络数据的路由设备是否为被劫持设备。可选地,所述根据所述路由信息判断所述NetFlow数据包是否为异常网络数据包括:从所述NetFlow数据包中提取源地址信息;获取发送所述NetFlow数据包的路由设备的路由表项;将所述源地址信息与所述路由表项中的源地址相匹配,如果不能匹配到源地址相同的路由表项,则确定所述NetFlow数据包为异常网络数据。可选地,所述从所述NetFlow数据包中提取源地址信息包括:从所述NetFlow数据包中提取源IP地址和源端口号;所述将所述源地址信息与所述路由表相匹配包括:将所述源IP地址或所述源IP地址的前缀、源端口号与所述路由表项中的源地址或源地址前缀、源端口号进行匹配。可选地,基于劫持判断规则确定发送所述异常网络数据的路由设备是否为被劫持设备包括:确定发送所述异常网络数据的路由设备和端口;统计所述端口发送的与所述异常网络数据具有相同源地址信息的数据包的流量;当所述流量大于预设的流量阈值时,则确定所述端口为被劫持设备的劫持端口。可选地,当所述流量小于预设的流量阈值时,则抓取所述端口发送的与所述异常网络数据具有相同源地址信息的数据包,并从数据包中获取访问网址和目标跳转网址;根据网址跳转记录确定所述目标跳转网址是否为安全跳转网址,如果否,则确定所述端口为被劫持设备的劫持端口。可选地,当所述流量小于预设的流量阈值时,则抓取所述端口发送的与所述异常网络数据具有相同源地址信息的数据包,并从数据包中获取域名和IP地址;根据域名对应规则确定所述域名与所述IP地址的对应关系是否正确,如果否,则确定所述端口为被劫持设备的劫持端口。根据本专利技术的另一方面,提供一种网络劫持检测装置,包括:数据采集模块,用于采集目标网络中路由设备发送的NetFlow数据包;路由获取模块,用于获取所述目标网络中路由设备的路由信息;异常确定模块,用于根据所述路由信息判断所述NetFlow数据包是否为异常网络数据;劫持定位模块,用于如果所述NetFlow数据包为异常网络数据,则基于劫持判断规则确定发送所述异常网络数据的路由设备是否为被劫持设备。可选地,所述异常确定模块,包括:源地址提取单元,用于从所述NetFlow数据包中提取源地址信息;路由表项确定单元,用于获取发送所述NetFlow数据包的路由设备的路由表项,路由表项匹配单元,用于将所述源地址信息与所述路由表项中的源地址相匹配,如果不能匹配到源地址相同的路由表项,则确定所述NetFlow数据包为异常网络数据。可选地,所述源地址提取单元,用于从所述NetFlow数据包中提取源IP地址和源端口号;所述路由表项匹配单元,用于将所述源IP地址或所述源IP地址的前缀、源端口号与所述路由表项中的源地址或源地址前缀、源端口号进行匹配。可选地,所述劫持定位模块,包括:设备确定单元,用于确定发送所述异常网络数据的路由设备和端口;流量统计单元,用于统计所述端口发送的与所述异常网络数据具有相同源地址信息的数据包的流量;端口定位单元,用于当所述流量大于预设的流量阈值时,则确定所述端口为被劫持设备的劫持端口。可选地,所述劫持定位模块,包括:跳转数据抓取单元,用于当所述流量小于预设的流量阈值时,则抓取所述端口发送的与所述异常网络数据具有相同源地址信息的数据包,并从数据包中获取访问网址和目标跳转网址;跳转数据检测单元,用于根据网址跳转记录确定所述目标跳转网址是否为安全跳转网址,如果否,则确定所述端口为被劫持设备的劫持端口。可选地,所述劫持定位模块,包括:域名数据抓取单元,用于当所述流量小于预设的流量阈值时,则抓取所述端口发送的与所述异常网络数据具有相同源地址信息的数据包,并从数据包中获取域名和IP地址;域名数据检测单元,用于根据域名对应规则确定所述域名与所述IP地址的对应关系是否正确,如果否,则确定所述端口为被劫持设备的劫持端口。根据本专利技术的又一方面,提供一种网络系统,包括如上所述的网络劫持检测装置。本专利技术的网络劫持检测方法、装置与网络系统,采用多级网络劫持检测方法,首先采集NetFlow数据检测是否出现异常,再利用网络设备的流量策略功能进行实时流量统计以及利用网络设备端口的镜像功能实时进行抓包分析,可以精确定位网络劫持点并达到监控和预防网络劫持的作用。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。图1为现有技术中的包含有被劫持设备的网络拓扑图;图2为根据本专利技术的网络劫持检测方法的一个实施例的流程示意图;图3为根据本专利技术的网络劫持检测装置的一个实施例的模块示意图;图4为根据本专利技术的网络劫持检测装置的一个实施例中的异常确定模块的模块示意图;图5为根据本专利技术的网络劫持检测装置的一个实施例中的劫持定位模块的模块示意图。具体实施方式下面参照附图对本专利技术进行更全面的描述,其中说明本专利技术的示例性实施例。下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚本文档来自技高网...
【技术保护点】
一种网络劫持检测方法,其特征在于,包括:采集目标网络中路由设备发送的NetFlow数据包;获取所述目标网络中路由设备的路由信息;根据所述路由信息判断所述NetFlow数据包是否为异常网络数据;如果所述NetFlow数据包为异常网络数据,则基于劫持判断规则确定发送所述异常网络数据的路由设备是否为被劫持设备。
【技术特征摘要】
1.一种网络劫持检测方法,其特征在于,包括:采集目标网络中路由设备发送的NetFlow数据包;获取所述目标网络中路由设备的路由信息;根据所述路由信息判断所述NetFlow数据包是否为异常网络数据;如果所述NetFlow数据包为异常网络数据,则基于劫持判断规则确定发送所述异常网络数据的路由设备是否为被劫持设备。2.如权利要求1所述的方法,其特征在于,所述根据所述路由信息判断所述NetFlow数据包是否为异常网络数据包括:从所述NetFlow数据包中提取源地址信息;获取发送所述NetFlow数据包的路由设备的路由表项;将所述源地址信息与所述路由表项中的源地址相匹配,如果不能匹配到源地址相同的路由表项,则确定所述NetFlow数据包为异常网络数据。3.如权利要求2所述的方法,其特征在于,所述从所述NetFlow数据包中提取源地址信息包括:从所述NetFlow数据包中提取源IP地址和源端口号;所述将所述源地址信息与所述路由表相匹配包括:将所述源IP地址或所述源IP地址的前缀、源端口号与所述路由表项中的源地址或源地址前缀、源端口号进行匹配。4.如权利要求2或3所述的方法,其特征在于,基于劫持判断规则确定发送所述异常网络数据的路由设备是否为被劫持设备包括:确定发送所述异常网络数据的路由设备和端口;统计所述端口发送的与所述异常网络数据具有相同源地址信息的数据包的流量;当所述流量大于预设的流量阈值时,则确定所述端口为被劫持设备的劫持端口。5.如权利要求4所述的方法,其特征在于,包括:当所述流量小于预设的流量阈值时,则抓取所述端口发送的与所述异常网络数据具有相同源地址信息的数据包,并从数据包中获取访问网址和目标跳转网址;根据网址跳转记录确定所述目标跳转网址是否为安全跳转网址,如果否,则确定所述端口为被劫持设备的劫持端口。6.如权利要求4所述的方法,其特征在于,包括:当所述流量小于预设的流量阈值时,则抓取所述端口发送的与所述异常网络数据具有相同源地址信息的数据包,并从数据包中获取域名和IP地址;根据域名对应规则确定所述域名与所述IP地址的对应关系是否正确,如果否,则确定所述端口为被劫持设备的劫持端口。7.一种网络劫持检测装置,其特征在于,包括:数据采集模块,用于采集目标网络中路由设备发送的NetFlow数据包;路由获取模块,用于获取所...
【专利技术属性】
技术研发人员:王凯,肖耀高,李嵘,杨波,刘洪波,彭滔,
申请(专利权)人:中国电信股份有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。