一种基于网络流量的NAT设备检测方法技术

本发明专利技术提出一种基于网络流量的NAT设备检测方法，包括获取核心交换机的内网流量；过滤出包含时间戳信息的TCP数据包；取获取到的当前时间戳与之前记录的时间戳做差运算；计算结果与设定的第一阈值进行比较，如果大于设定的第一阈值，则记录一次；获取最后一次告警上报时间，与当前时间戳作比较，如果小于当前时间戳，取五累加的值与设定的第二阈值作比较，如果大于设定的第二阈值，上报设备告警信息；根据设备指纹库对上报的IP进行识别，如果发现设备为非NAT设备，则忽略告警信息，否则记录告警信息。本发明专利技术通过旁路的方式分析设备流量，来判断出设备是否为NAT设备，实现私接路由探测，可以减少工作人员的维护压力及误报警情况。可以减少工作人员的维护压力及误报警情况。可以减少工作人员的维护压力及误报警情况。

【技术实现步骤摘要】
一种基于网络流量的NAT设备检测方法


[0001]本专利技术涉及一种基于网络流量的NAT设备检测方法，属于网络流量检测


技术介绍

[0002]随着信息化网络化的快速发展，关键信息基础设备作为事关国家安全和社会稳定的重要战略资源的地位日益凸显。为了更好地应对威胁关键信息基础设施的攻击事件，贯彻落实《中华人民 共和国网络安全法》及《网络安全等级保护条例》中关于提升关键信息基础设备保护的要求, 关键信息基础设施网络运营单位应具备网络边界完整性检查能力。
[0003]现有技术多通过手动进行交换机配置、通过检测设备User Agent变化来实现私接路由设备探测，现有计算存在操作比较复杂，或检测手段单一存在大概率漏报的情况。

技术实现思路

[0004]为解决上述问题，本专利技术提出一种基于网络流量的NAT设备检测方法，具体技术方案如下，一种基于网络流量的NAT设备检测方法，包括如下步骤：步骤一：获取核心交换机的内网流量；步骤二：根据实时获取的流量进行过滤，过滤出包含时间戳信息的TCP数据包；步骤三：根据步骤二获取到的TCP数据包，判断当前是否为首次获取到当前IP的TCP时间戳，如果是则记录该时间戳，然后执行步骤二，如果否则执行步骤四；步骤四：取步骤三获取到的当前时间戳与之前记录的时间戳做差运算，并记录计算结果；步骤五：取步骤四的计算结果与设定的第一阈值进行比较，如果大于设定的第一阈值，则记录一次，即count=1，然后执行步骤六，否则执行步骤二；步骤六：获取最后一次告警上报时间，与当前时间戳作比较，如果大于当前时间戳，则执行步骤二；否则，取步骤五累加的count值与设定的第二阈值作比较，如果大于设定的第二阈值，则执行步骤七；否则，执行步骤二；步骤七：上报设备告警信息，并把步骤五中的count置为0，步骤六中的最后一次告警上报时间作为当前时间戳进行记录；步骤八：根据内置的设备指纹库对上报的IP进行识别，与指纹库比对后，如果发现设备为非NAT设备，则忽略告警信息，否则记录告警信息。
[0005]优选的，所述步骤一中，通过在内网环境的核心交换机上旁路部署扫描设备来获取内网流量。
[0006]优选的，所述步骤二中，过滤出包含时间戳信息的TCP数据包的方法为：首先筛选出所有的TCP数据包，根据不同的IP进行分类并过滤出包含时间戳信息的TCP数据包。
[0007]优选的，所述步骤五中，第一阈值默认设定为20000ms。
[0008]优选的，所述步骤六中，最后一次告警上报时间与当前时间戳进行比较前，需增加
一个时间偏移量，默认为10s。
[0009]优选的，所述步骤六中，第二阈值默认设定为3。
[0010]优选的，所述步骤七中，最后一次告警上报时间与步骤四中之前记录的时间戳对应。
[0011]优选的，所述步骤八中非NAT设备包括IPC、服务器和PC机。
[0012]本专利技术通过旁路的方式分析设备流量，来判断出设备是否为NAT设备，实现私接路由探测，可以减少工作人员的维护压力及误报警情况。
附图说明
[0013]图1是本专利技术的工作流程图。
[0014]图2是本专利技术部署的框架图。
具体实施方式
[0015]下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。
[0016]如图1所示，一种基于网络流量的NAT设备检测方法，包括如下步骤：步骤一：在内网环境的核心交换机上旁路部署扫描设备，如图2所示，获取核心交换机的内网流量；步骤二：根据实时获取的流量进行过滤，首先筛选出所有的TCP数据包，根据不同的IP进行分类并过滤出包含时间戳信息的TCP数据包；步骤三：根据步骤二获取到的TCP数据包，判断当前是否为首次获取到当前IP的TCP时间戳，记为tsval，如果是则记录该时间戳，记为last_ts，然后执行步骤二，如果否则执行步骤四；步骤四：取步骤三获取到的当前时间戳tsval与之前记录的时间戳last_ts做差运算，并记录计算结果；步骤五：取步骤四的计算结果与设定的第一阈值进行比较，如果大于设定的第一阈值，则记录一次，即count=1，然后执行步骤六，否则执行步骤二；第一阈值默认设定为20000ms，正常同一设备的相邻时间戳相差1000ms,不同系统的TCP时间戳生成方式有一定的误差，经过多次测试该值默认设为20000，允许根据实际情况进行修改；步骤六：获取最后一次告警上报时间，记为last_report，在此基础上增加一个时间偏移量，默认为10s，与当前时间戳作比较，如果大于当前时间戳，则执行步骤二；否则，取步骤五累加的count值与设定的第二阈值作比较，如果大于设定的第二阈值，则执行步骤七；否则，执行步骤二；第二阈值默认设定为3，允许用户设置次数；步骤七：上报设备告警信息，并把步骤五中的count置为0，步骤六中的最后一次告警上报时间last_report作为当前时间戳进行记录，与步骤四中之前记录的时间戳last_ts对应；步骤八：根据内置的设备指纹库对上报的IP进行识别，与指纹库比对后，如果发现
设备为IPC、服务器和PC机等非NAT设备，则忽略告警信息，否则记录告警信息。
[0017]本专利技术将扫描设备旁路部署在内网环境的核心交换机上，通过检查网内的流量，来实现私接NAT设备的诊断，可以更好的适应实际应用，同时可以减少工作人员的维护压力及误报警情况。
[0018]尽管参照前述实施例对本专利技术进行了详细的说明，对于本领域的技术人员来说，其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换,凡在本专利技术的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本专利技术的保护范围之内。
本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于网络流量的NAT设备检测方法，其特征在于，包括如下步骤：步骤一：获取核心交换机的内网流量；步骤二：根据实时获取的流量进行过滤，过滤出包含时间戳信息的TCP数据包；步骤三：根据步骤二获取到的TCP数据包，判断当前是否为首次获取到当前IP的TCP时间戳，如果是则记录该时间戳，然后执行步骤二，如果否则执行步骤四；步骤四：取步骤三获取到的当前时间戳与之前记录的时间戳做差运算，并记录计算结果；步骤五：取步骤四的计算结果与设定的第一阈值进行比较，如果大于设定的第一阈值，则记录一次，即count=1，然后执行步骤六，否则执行步骤二；步骤六：获取最后一次告警上报时间，与当前时间戳作比较，如果大于当前时间戳，则执行步骤二；否则，取步骤五累加的count值与设定的第二阈值作比较，如果大于设定的第二阈值，则执行步骤七；否则，执行步骤二；步骤七：上报设备告警信息，并把步骤五中的count置为0，步骤六中的最后一次告警上报时间作为当前时间戳进行记录；步骤八：根据内置的设备指纹库对上报的IP进行识别，与指纹库比对后，如果发现设备为非NAT设备，则忽略告警信息，否则记录告警信息。2.根据权利要求1所述的一种基于网络...

【专利技术属性】
技术研发人员：袭喜悦，杨公所，王金清，
申请(专利权)人：山东华软金盾软件股份有限公司，
类型：发明
国别省市：