一种识别无线热点的方法、装置及设备的制造方法
【技术领域】
[0001] 本发明设及网络安全技术领域,尤其设及一种识别无线热点的方法、装置及设备。
【背景技术】
[0002] 目前,经常有员工私自将无线热点(比如随身wifi)接入到企业内部网络,运样该 员工的移动终端(比如手机等)可通过该无线热点访问网络。
[0003] 然而,运种私自安装无线热点的行为,容易使企业内网被非法者入侵,导致企业内 部重要数据被盗取或者破坏。因此,企业需要通过某种手段识别其网络内是否有随身Wifi 等无线热点。
[0004] 目前,常用的识别网络中是否存在无线热点的方法为:
[0005] 设备在访问网络时会发送HTTP巧yperText Transfer Protocol,超文本传输协 议)报文,识别无线热点的设备针对每个HTTP报文,获取该HTTP报文中携带的UA信息,该UA (User Agent,用户代理)信息为发送该HTTP报文的设备的相关信息,比如,设备的唯一标 识、设备所使用的操作系统、设备的型号等信息;根据该UA信息判断发送该HTlT报文的设备 是否为移动终端,比如,当该UA信息中的设备所使用的操作系统为安卓或者IOS等移动终端 常用的操作系统时,和/或,UA信息中的设备的型号为移动终端型号时,可确定发送该HTTP 报文的设备为移动终端;确定发送该HTTP请求报文的设备为移动终端时,确定当前网络中 存在无线热点,并确定该HTT内青求报文中的源IP地址为该无线热点的IP地址。
[0006] 但是,在移动终端中安装的微信或者QQ等应用在访问网络时,移动终端中的应用 发送的数据包不是HTTP报文时,或者利用UA混淆技术,将移动终端的UA信息伪造成非移动 终端的UA信息时,将无法通过现有的通过HTT巧良文中的UA信息识别当前网络中是否存在无 线热点的方法来识别无线热点,从而可能会将非移动终端设备认为是移动终端,导致识别 无线热点准确度不够高的问题。
【发明内容】
[0007] 本发明提供一种识别无线热点的方法、装置及设备,用于解决现有的识别无线热 点的方法存在的会将非移动终端设备认为是移动终端,导致识别无线热点准确度不够高的 问题。
[000引一种识别无线热点的方法,包括:
[0009] 针对当前网络中各设备访问网络产生的各个数据包,解析所述数据包中携带的至 少一个预设特征参数;
[0010] 根据所述至少一个预设特征参数,W及预先建立的特征参数与应用属性的对应关 系,确定发送所述数据包的应用的应用属性,所述应用属性包括:应用所属的设备类型,所 述对应关系中的特征参数包括数据包的发送端口、数据包的负载长度、连续设定数目个数 据包对应的数据包长度序列W及数据包的固定字段携带的固定信息中的至少一项,所述设 备类型包括移动终端类型和非移动终端类型;
[0011] 确定发送所述数据包的应用所属的设备类型为移动终端类型时,确定当前网络中 存在无线热点。
[0012] 所述方法,还包括:
[0013] 确定所述数据包为进行传输控制协议TCP连接时的SYN包时,提取所述SYN包中携 带的滑动窗口大小W及生存时间;
[0014] 查询预先建立的滑动窗口大小和生存时间W及操作系统的对应关系中,所述SYN 包中携带的滑动窗口大小W及生存时间对应的操作系统;
[0015] 确定所述查询到的操作系统,为发送所述数据包的设备对应的操作系统;
[0016] 根据发送所述数据包的设备对应的操作系统,确定发送所述数据包的设备的设备 类型。
[0017] 本发明实施例,能够更加准确的判断出发送该SYN包的设备是否为移动终端,进而 提高了识别无线热点的准确性。
[001引所述方法,还包括:
[0019] 确定发送所述数据包的应用所属的设备类型为移动终端类型时,确定所述数据包 对应的四元组,并将发送所述数据包的应用的应用属性与所述四元组对应存储。
[0020] 本发明实施例可W节省运算量,避免重复的对同一应用发送的数据包进行无线热 点识别。
[0021] 所述方法中,根据所述至少一个预设特征参数,W及预先建立的特征参数与应用 属性的对应关系,确定发送所述数据包的应用的应用属性,具体包括:
[0022] 确定在预先建立的特征参数与应用属性的对应关系的同一对应关系中查找到所 述至少一个预设特征参数时,将所述同一对应关系中的应用属性,确定为发送所述数据包 的应用的应用属性。
[0023] 所述方法,确定当前网络中存在无线热点后,还包括:
[0024] 确定满足预设条件时,提取所述数据包中的源IP地址;
[0025] 根据所述源IP地址W及预先建立的IP地址与账号信息对应关系数据库,查询所述 数据库中所述源IP地址对应的账号信息;
[0026] 根据所述查询到的账号信息,确定所述无线热点的位置并发出告警。
[0027] 本发明实施例可W定位无线热点的位置并发出告警。
[0028] 所述方法中,确定满足预设条件,具体包括:
[0029] 确定通过所述无线热点访问网络的各个应用;
[0030] 根据预先建立的应用与权值的对应关系,确定在预设时长内通过所述无线热点访 问网络的各个应用对应的权值;
[0031 ] 计算所述各个应用对应的权值之和;
[0032] 确定所述权值之和大于设定阔值时,确定满足预设条件。
[0033] 本发明实施例通过综合考虑多个应用,确定多个应用的权值之和超过设定阔值 时,再确定无线热点的位置,在一定程度上避免了提高了告警的准确度。
[0034] 本发明还提供一种识别无线热点的装置,包括:
[0035] 解析单元,用于针对当前网络中各设备访问网络产生的各个数据包,解析所述数 据包中携带的至少一个预设特征参数;
[0036] 确定单元,用于根据所述至少一个预设特征参数,W及预先建立的特征参数与应 用属性的对应关系,确定发送所述数据包的应用的应用属性,所述应用属性包括:应用所属 的设备类型,所述对应关系中的特征参数包括数据包的发送端口、数据包的负载长度、连续 设定数目个数据包对应的数据包长度序列W及数据包的固定字段携带的固定信息中的至 少一项,所述设备类型包括移动终端类型和非移动终端类型;
[0037] 识别单元,用于确定发送所述数据包的应用所属的设备类型为移动终端类型时, 确定当前网络中存在无线热点。
[0038] 所述装置中,所述解析单元还用于,确定所述数据包为进行传输控制协议TCP连接 时的SYN包时,提取所述SYN包中携带的滑动窗口大小W及生存时间;
[0039] 所述确定单元还用于,查询预先建立的滑动窗口大小和生存时间W及操作系统的 对应关系中,所述SYN包中携带的滑动窗口大小W及生存时间对应的操作系统;确定所述查 询到的操作系统,为发送所述数据包的设备对应的操作系统;
[0040] 所述识别单元还用于,根据发送所述数据包的设备对应的操作系统,确定发送所 述数据包的设备的设备类型。
[0041 ]所述装置中,所述识别单元还用于:
[0042] 确定发送所述数据包的应用所属的设备类型为移动终端类型时,确定所述数据包 对应的四元组,并将发送所述数据包的应用的应用属性与所述四元组对应存储。
[0043] 所述装置中,所述确定单元具体用于:
[0044] 确定在预先建立的特征参数与应用属性的对应关系的同一对应关系中查找到所 述至少一个预设特征参数时,将所述同一对应关系中的应用属性,确定为发送所述数据包 的应用的应用属性。
[0045] 所述装置中,所述识别单元在确定当前网络中存在无线热点后,还用于:
[0046] 确定满足预设条件时,提取所述数据包中的源IP地址;
[0047] 根据所述源IP地址W及预先建立的IP地址与账号信息对应关系数据库,查询所述 数据库中所述源IP地址对应的账号信息;
[0048] 根据所述查询到的账号信息,确定所述无线热点的位置并发出告警。
[0049] 所述装置中,所述识别单元确定满足预设条件时,具体用于:
[0050] 确定通过所述无线热点访问网络的各个应用;
[0051] 根据预先建立的应用与权值的对应关系,确定在预设时长内通过所述无线热点访 问网络的各个应用对应的权值;
[0052] 计算所述各个应用对应的权值之和;
[0053] 确定所述权值之和大于设定阔值时,确定满足预设条件。
[0054] 本发明还提供一种识别设备,包括上述任一所述的装置。
[0055] 利用本发明提供的识别无线热点的方法、装置及设备,具有W下有益效果:根据预 先建立的特征参数与应用属性的