CN109787969B - 主机的身份合法性检测方法、检测装置及身份检测设备 - Google Patents
主机的身份合法性检测方法、检测装置及身份检测设备 Download PDFInfo
- Publication number
- CN109787969B CN109787969B CN201910002400.9A CN201910002400A CN109787969B CN 109787969 B CN109787969 B CN 109787969B CN 201910002400 A CN201910002400 A CN 201910002400A CN 109787969 B CN109787969 B CN 109787969B
- Authority
- CN
- China
- Prior art keywords
- host
- time
- detected
- moment
- moments
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 24
- 238000000034 method Methods 0.000 claims abstract description 27
- 238000013508 migration Methods 0.000 claims abstract description 20
- 230000005012 migration Effects 0.000 claims abstract description 20
- 238000012544 monitoring process Methods 0.000 claims description 36
- 230000015654 memory Effects 0.000 claims description 32
- 238000004364 calculation method Methods 0.000 claims description 11
- 230000004044 response Effects 0.000 claims description 11
- 238000012216 screening Methods 0.000 claims description 5
- 238000005259 measurement Methods 0.000 abstract description 3
- 230000010355 oscillation Effects 0.000 abstract description 3
- 238000004891 communication Methods 0.000 description 8
- 238000010586 diagram Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 3
- 230000000977 initiatory effect Effects 0.000 description 2
- 238000012417 linear regression Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000009545 invasion Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000013106 supervised machine learning method Methods 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了主机的身份合法性检测方法、检测装置及身份检测设备,其中主机的身份合法性检测方法包括如下步骤:获取待检测主机若干个时刻的时间偏移;根据若干个时刻以及各个时刻对应的时间偏移得到待检测主机的时间偏移率;根据时间偏移率对待检测主机的身份合法性进行检测。由于不同主机的时钟振荡频率不同,网络上每一台主机都有一个唯一的、固定的时钟偏移率,并且主机的时钟偏移率与主机的位置、IP地址、网络拓扑和测量时刻均无关,具有一定的稳定性,因此,通过主机的时钟偏移率对主机的身份合法性进行检测,能够解决现有技术中的用IP地址或者MAC地址进行主机的身份合法性识别的可靠性均较低的问题。
Description
技术领域
本发明涉及互联网安全技术领域,尤其涉及到主机的身份合法性检测方法、主机的身份合法性检测装置、主机检测设备和计算机可读存储介质。
背景技术
随着计算机网络的不断发展,网络设备的安全问题得到了人们的普遍关注。访问控制技术通过允许被授权主体对某些客体的访问、同时拒绝向非授权主体提供服务的策略,限制非法用户对关键资源的访问,防止因恶意用户侵入或合法用户不慎操作所造成的破坏,是确保信息***安全的主要手段之一,同时也是保护网络资源安全的重要途径。
目前,常用的访问控制技术为基于IP地址和MAC地址的网络层访问控制机制,然而,由于IP地址本身的动态可变以及“地址欺骗”的存在,IP地址不能够准确反映节点的真实身份,非法用户可以匿名的发动各种形式的攻击,而很难在网络层定位访问源,并且IP地址与用户之间没有准确的对应关系,不同时刻一个IP地址可能对应不同的用户,一个IP地址也可能对应多个用户(如NAT),这种情况便于网络犯罪的隐藏,使得基于IP地址的访问控制的安全性较低,类似地,MAC地址也容易被伪造和修改。因此,在实际应用中用IP地址或者MAC地址进行识别主机的可靠性较低。
发明内容
因此,本发明要解决的技术问题在于解决现有技术中的用IP地址或者MAC地址进行主机的身份合法性识别的可靠性均较低的问题,提供一种基于时钟偏移率的主机的身份合法性检测方法。
为此,根据第一方面,本发明提供了一种主机的身份合法性检测方法,包括如下步骤:获取待检测主机若干个时刻的时间偏移;根据若干个时刻以及各个时刻对应的时间偏移得到待检测主机的时间偏移率;根据时间偏移率对待检测主机的身份合法性进行检测。
可选地,当时间偏移率落入某一预设合法时间偏移率的范围内时,待检测主机合法。
可选地,预设合法时间偏移率的范围是指预先获取的一个合法主机的多个时钟偏移率的最大值和最小值之间的范围。
可选地,获取待检测主机若干个时刻对应的时间偏移,包括如下步骤:获取待检测主机接收的一TCP报文的发送时间,并将发送时间作为第一时刻;获取待检测主机应答TCP报文的第二时刻;获取第一时刻待检测主机和发送TCP报文的主机的时钟之间的时间差;根据第一时刻、第二时刻和时间差得到待检测主机在第一时刻的时间偏移,并重复上述步骤直至获取若干个时刻对应的时间偏移。
可选地,获取待检测主机接收的一TCP报文的发送时间,并将发送时间作为第一时刻,包括如下步骤:提供一监测主机;控制监测主机向待检测主机发送一类型值为13的ICMP报文;提取类型值为13的ICMP报文中的时间戳信息,得到第一时刻;获取待检测主机应答TCP报文第二时刻,包括如下步骤:获取监测主机接收到的待检测主机应答类型值为13的ICMP报文的类型值为14的ICMP报文;提取类型值为14的ICMP报文中的时间戳信息,得到第二时刻。
可选地,取待检测主机接收的一TCP报文的发送时间,并将发送时间作为第一时刻,包括如下步骤:提供一监测主机;将待检测主机的流量信息镜像到监测主机中;捕获流量信息中的TCP流量信息,并筛选出类型为8的TCP报文;提取类型为8的TCP报文中的时间戳信息,得到第一时刻;获取待检测主机应答TCP报文第二时刻,包括如下步骤:提取类型为8的TCP报文中的应答时间戳信息,得到第二时刻。
根据第二方面,本发明提供了一种主机的身份合法性检测装置,包括:时间偏移获取模块,用于获取待检测主机若干个时刻的时间偏移;时间偏移率计算模块,用于根据若干个时刻以及各个时刻对应的时间偏移得到待检测主机的时间偏移率;合法性检测模块,用于根据时间偏移率对待检测主机的身份合法性进行检测。
可选地,当时间偏移率落入预设合法时间偏移率的范围内时,待检测主机合法。
可选地,时间偏移获取模块包括:第一时刻获取单元,用于获取待检测主机接收的一TCP报文的发送时间,发送时间为第一时刻;第二时刻获取单元,用于获取待检测主机应答TCP报文的第二时刻;时间差获取单元,用于获取第一时刻待检测主机和发送TCP报文的主机的时钟之间的时间差;时间偏移获取单元,用于根据第一时刻、第二时刻和时间差得到待检测主机在第一时刻的时间偏移,并重复上述步骤直至获取若干个时刻对应的时间偏移。
根据第三方面,本发明提供了一种身份检测设备,包括:至少一个处理器;以及与至少一个处理器通信连接的存储器;其中,存储器存储有可被一个处理器执行的指令,指令被至少一个处理器执行,以使至少一个处理器执行上述第一方面的全部或部分方法。
根据第四方面,本发明提供了一种计算机可读存储介质,其上存储有计算机指令,该指令被处理器执行时实现上述第一方面的全部或部分方法的步骤。
本发明实施例提供的技术方案,具有如下优点:
1、本发明提供的主机的身份合法性检测方法,包括如下步骤:获取待检测主机若干个时刻的时间偏移;根据若干个时刻以及各个时刻对应的时间偏移得到待检测主机的时间偏移率;根据时间偏移率对待检测主机的身份合法性进行检测。由于不同主机的时钟振荡频率不同,网络上每一台主机都有一个唯一的、固定的时钟偏移率,并且主机的时钟偏移率具有一定的稳定性,网络主机时钟偏移率可以看作一个由主机硬件***决定的常量,因此,通过获取待检测主机若干个时刻的时间偏移,并根据若干个时刻以及各个时刻对应的时间偏移得到待检测主机的时间偏移率,能够唯一识别主机的身份,对待检测主机的身份合法性进行检测,并且,时钟偏移率与主机的位置、IP地址、网络拓扑和测量时刻均无关,具有稳定性,因此,通过主机的时钟偏移率对主机的身份合法性进行检测,能够解决现有技术中的用IP地址或者MAC地址进行主机的身份合法性识别的可靠性均较低的问题。
2、本发明提供的主机的身份合法性检测方法,当时间偏移率落入某一预设合法时间偏移率的范围内时,待检测主机合法。由于无法直接获取待检测主机的时钟偏移率,而是通过获取待检测主机若干个时刻的时钟偏移计算得到,因此,虽然网络上每一台主机都有一个唯一的、固定的时钟偏移率,但是多次计算得到的一个主机的多个时钟偏移率之间可能会存在一定的偏差,因此,当计算得到的待检测主机的时间偏移率落入某一预设合法时间偏移率的范围内时均认为待检测主机合法,能够防止由于计算结果偏差导致合法主机被检测为非法主机的问题的产生,进一步提高该主机的身份合法性检测方法的检测准确性。
3、本发明提供的主机的身份合法性检测方法,取待检测主机接收的一TCP报文的发送时间,并发送时间作为第一时刻,包括如下步骤:提供一监测主机;将待检测主机的流量信息镜像到监测主机中;捕获流量信息中的TCP流量信息,并筛选出类型为8的TCP报文;提取类型为8的TCP报文中的时间戳信息,得到第一时刻;获取待检测主机应答TCP报文第二时刻,包括如下步骤:提取类型为8的TCP报文中的应答时间戳信息,得到第二时刻。通过将待检测主机中的流量信息镜像到监测主机,使监测主机无需直接接入待检测主机所在的网络,也能够获取待检测主机接收和应答的报文,即能够获取待检测主机接收一TCP报文的第一时刻和应答该TCP报文的第二时刻,从而计算得到待检测主机的时间偏移率,能够在保持待检测主机所在的网络结构不变的前提下,对待检测主机的合法性进行检测。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为实施例1提供的一种主机的身份合法性检测方法的方法流程图;
图2为图1中步骤S100的具体方法流程图;
图3为实施例1中根据时钟偏移点绘制的直线的示意图;
图4为实施例1中提供的类型为13和14的ICMP报文的字段示意图;
图5为实施例1中提供的类型为8的TCP报文的字段示意图;
图6为实施例2提供的一种主机的身份合法性检测装置的结构示意图;
图7为实施例3提供的一种身份检测设备的硬件结构示意图。
具体实施方式
下面将结合附图对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在本发明的描述中,需要说明的是,术语“第一”、“第二”、“第三”仅用于描述目的,而不能理解为指示或暗示相对重要性。
实施例1
本实施例提供了一种主机的身份合法性检测方法,如图1所示。需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机***中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。该流程包括如下步骤:
步骤S100,获取待检测主机若干个时刻的时间偏移。在本实施例中,需要获取的待检测主机的时间偏移的数量至少为两个,具体地,用字符n(n≥2)表示需要获取的待检测主机的时间偏移的数量。
在具体实施例中,如图2所示,步骤S100包括如下步骤:
步骤S110,获取待检测主机接收的一TCP报文的发送时间,并将发送时间作为第一时刻。
步骤S120,获取待检测主机应答TCP报文的第二时刻。
步骤S130,获取第一时刻待检测主机和发送TCP报文的主机的时钟之间的时间差。在本实施例中,在某一时刻下待检测主机的时钟与发送TCP报文的主机的时钟可能会出现不一致的情况,因此在进行待检测主机的时间偏移计算时,需要考虑到待检测主机和发送TCP报文的主机的时钟之间的差值。
步骤S140,根据第一时刻、第二时刻和时间差得到待检测主机在第一时刻的时间偏移,并重复上述步骤直至获取若干个时刻对应的时间偏移。在本实施例中,通过公式(1)和公式(2)计算待检测主机在第一时刻相对于发送TCP报文的主机的时间偏移:
其中,t表示第一时刻,D表示待检测主机,表示待检测主机在t时刻的延迟,t2表示第二时刻,C表示发送TCP报文的主机,表示待检测主机在第一时刻t相对于发送TCP报文的主机的时间偏移,表示第一时刻t下发送TCP报文的主机的时间戳,表示第一时刻t下待检测主机的时间戳,表示第一时刻待检测主机和发送TCP报文的主机的时钟之间的时间差。
在本实施例中,当执行完一次步骤S110~步骤S140时,得到待检测主机一个时刻的时间偏移,为了得到待检测主机n个时刻的时间偏移,需要重复执行n次步骤S110~步骤S140。
步骤S200,根据若干个时刻以及各个时刻对应的时间偏移得到待检测主机的时间偏移率。在本实施例中,通过有监督机器学习方法中的线性回归算法对待检测主机若干个时刻时钟偏移数据进行处理,得到待检测主机的时钟偏移率,具体地,如图3所示,将第一时刻t作为横坐标,将第一时刻t待检测主机相对于发送TCP报文的主机的时钟偏移作为纵坐标构建时钟偏移点使用线性回归算法绘制直线b(t),则直线b(t)的斜率即为待检测主机的时钟偏移率。
步骤S300,根据时间偏移率对待检测主机的身份合法性进行检测。在本实施例中,由于无法直接获取待检测主机的时钟偏移率,而是通过获取待检测主机若干个时刻的时钟偏移计算得到,因此,虽然网络上每一台主机都有一个唯一的、固定的时钟偏移率,但是多次计算得到的一个主机的时钟偏移率之间可能会存在一定的偏差,因此,作为本实施例的优选实施方式,可以通过对待检测主机进行一段时间的时钟偏移率监测,得到待检测主机的多个时钟偏移率,再对多个时钟偏移率进行平均值计算的方式,或者通过增加用以计算时钟偏移率的时钟偏移的数量(即增大n的大小)的方式,得到待检测主机的时钟偏移率的稳定值,并根据该时钟偏移率的稳定值对待检测主机的身份合法性进行检测。
在本实施例中,首先构建一个合法主机特征库,该特征库中存储有所有的N个合法主机的时钟偏移率;再将待检测主机的时钟偏移率与合法主机特征库中N个合法主机的时钟偏移率进行一一对比,当待检测主机的时钟偏移率与其中的某一个合法主机的时钟偏移率相等时,待检测主机的身份合法。需要说明的是,合法主机特征库中的N个合法主机的时钟偏移率也均优选为时钟偏移率的稳定值,其具体的计算方式与上述待检测主机的时钟偏移率的稳定值的计算方式相同,在此不再做重复说明。
由于不同主机的时钟振荡频率不同,网络上每一台主机都有一个唯一的、固定的时钟偏移率,并且主机的时钟偏移率具有一定的稳定性,网络主机时钟偏移率可以看作一个由主机硬件***决定的常量,因此,本实施例提供的主机的身份合法性检测方法,通过获取待检测主机若干个时刻的时间偏移,并根据若干个时刻以及各个时刻对应的时间偏移得到待检测主机的时间偏移率,能够唯一识别主机的身份,对待检测主机的身份合法性进行检测,并且,时钟偏移率与主机的位置、IP地址、网络拓扑和测量时刻均无关,还具有稳定性,因此,通过主机的时钟偏移率对主机的身份合法性进行检测,能够解决现有技术中的用IP地址或者MAC地址进行主机的身份合法性识别的可靠性均较低的问题。
在可选的实施例中,步骤S110包括如下步骤:
步骤A,提供一监测主机。
步骤B,控制监测主机向待检测主机发送一类型值为13的ICMP报文。在本实施例中,监测主机接入待检测主机所在的网络,可以直接与待检测主机进行通信,监测主机即为步骤S130中所述的发送TCP报文的主机。
在本实施例中,ICMP协议为TCP协议族的一个子协议,用于在IP主机、路由器之间传递控制消息。其中,控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息,其中类型值为13的ICMP报文为时间戳请求报文,具体地,监测主机填充发起时间戳后,将类型值为13的ICMP报文发送给待检测主机。
步骤C,提取类型值为13的ICMP报文中的时间戳信息,得到第一时刻。在本实施例中,通过提取监测主机中如图4所示的类型为13的ICMP报文中的发起时间戳信息,得到第一时刻。
在本实施例中,相应地,步骤S120包括如下步骤:
步骤D,获取监测主机接收到的待检测主机应答类型值为13的ICMP报文的类型值为14的ICMP报文。在本实施例中,类型值为14的ICMP报文为时间戳应答报文,如果待检测主机接收到类型值为13的ICMP报文,则会在填充接收时间戳后以类型值为14的ICMP报文格式返回监测主机。
步骤E,提取类型值为14的ICMP报文中的时间戳信息,得到第二时刻。在本实施例中,通过提取接收到的如图4所示的类型为14的ICMP报文中的接收时间戳信息,得到第二时刻。
在可选的实施例中,步骤S110包括如下步骤:
步骤a,提供一监测主机。
步骤b,将待检测主机的流量信息镜像到监测主机中。在本实施例中,监测主机不直接与待检测主机进行通信,即监测主机不是步骤S130中所述的发送TCP报文的主机。
步骤c,捕获流量信息中的TCP流量信息,并筛选出类型为8的TCP报文。在本实施例中,向待检测主机发送类型为8的TCP报文的主机即为步骤S130中所述的发送TCP报文的主机。在本实施例中,类型为8的TCP报文为时间戳报文,如图5所示,当发送TCP报文的主机向待检测主机发送类型为8的TCP报文时,会填充该报文中的时间戳(timestamp)。
步骤d,提取类型为8的TCP报文中的时间戳信息,得到第一时刻。在本实施例中,通过提取图5中的4字节的时间戳(timestamp)信息,得到第一时刻。
在本实施例中,相应地,步骤S120包括如下步骤:
步骤e,提取类型为8的TCP报文中的应答时间戳信息,得到第二时刻。在本实施例中,如图5所示,待检测主机应答类型为8的TCP报文时,会填充该报文中的应答时间戳(timestamp echo),因此,可以通过提取图5中的4字节应答时间戳(timestamp echo)信息,得到第二时刻。
本实施例提供的,通过将待检测主机中的流量信息镜像到监测主机,使监测主机无需直接接入待检测主机所在的网络,也能够获取待检测主机接收和应答的报文,即能够获取待检测主机接收一TCP报文的第一时刻和应答该TCP报文的第二时刻,从而计算得到待检测主机的时间偏移率,能够在保持待检测主机所在的网络结构不变的前提下,对待检测主机的合法性进行检测。此外,还能够扩大本方法的适用范围,使本方法可以应用于安全要求较高,不能够接入外部主机(监测主机)的网络中。
在可选的实施例中,当时间偏移率落入某一预设合法时间偏移率的范围内时,待检测主机合法。由于无法直接获取待检测主机的时钟偏移率,而是通过获取待检测主机若干个时刻的时钟偏移计算得到,因此,虽然网络上每一台主机都有一个唯一的、固定的时钟偏移率,但是多次计算得到的一个主机的多个时钟偏移率之间可能会存在一定的偏差,因此,当计算得到的待检测主机的时间偏移率落入某一预设合法时间偏移率的范围内时均认为待检测主机合法,能够防止由于计算结果偏差导致合法主机被检测为非法主机的问题的产生,进一步提高该主机的身份合法性检测方法的检测准确性。在本实施例中,首先构建一个合法主机特征库,该特征库中存储有所有N个合法主机的预设合法时间偏移率范围;再将待检测主机的时钟偏移率与合法主机特征库中N个合法主机的预设合法时间偏移率范围进行一一对比,当待检测主机的时钟偏移率落入其中的某一个合法主机的预设合法时间偏移率的范围内时,待检测主机的身份合法。在具体实施例中,预设合法时间偏移率范围的设置以任意两个合法主机的预设合法时间偏移率范围均没有重叠部分为准,其具体数值的大小为根据具体应用场景设置,在此不做任何限制。
在可选的实施例中,预设合法时间偏移率的范围是指预先获取的一个合法主机的多个时钟偏移率的最大值和最小值之间的范围。在本实施例中,首先构建一个合法主机特征库,该特征库中存储有所有的N个合法主机的时钟偏移率的最大值和最小值,其中,一个合法主机的最大值和最小值是指对一个合法主机进行一段时间的时钟偏移率监测后,得到的多个时钟偏移率中的最大值和最小值;然后,将待检测主机的时钟偏移率与合法主机特征库中N个合法主机的时钟偏移率的最大值和最小值进行一一对比,当待检测主机的时钟偏移率大于(包括等于)其中的某一个合法主机的时钟偏移率的最小值,并且小于(包括等于)该合法主机的时钟偏移率的最大值时,待检测主机的身份合法。
实施例2
在本实施例中提供了一种主机的身份合法性检测装置,该装置用于实现上述实施例1及其优选实施方式,已经进行过说明的不再赘述。如以下所使用的,术语“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
本实施例提供一种动态验证码生成装置,如图6所示,包括:时间偏移获取模块100,时间偏移率计算模块200和合法性检测模块300。
其中,时间偏移获取模块100用于获取待检测主机若干个时刻的时间偏移;时间偏移率计算模块200用于根据若干个时刻以及各个时刻对应的时间偏移得到待检测主机的时间偏移率;合法性检测模块300用于根据时间偏移率对待检测主机的身份合法性进行检测。
在可选的实施例中,时间偏移获取模块100包括:第一时刻获取单元,第二时刻获取单元,时间差获取单元和时间偏移获取单元。
其中,第一时刻获取单元用于获取待检测主机接收的一TCP报文的发送时间,发送时间为第一时刻;第二时刻获取单元用于获取待检测主机应答TCP报文的第二时刻;时间差获取单元用于获取第一时刻待检测主机和发送TCP报文的主机的时钟之间的时间差;时间偏移获取单元用于根据第一时刻、第二时刻和时间差得到待检测主机在第一时刻的时间偏移,并重复上述步骤直至获取若干个时刻对应的时间偏移。
在可选的实施例中,当时间偏移率落入预设合法时间偏移率的范围内时,待检测主机合法。
实施例3
本发明实施例提供了一种身份检测设备,如图7所示,该身份检测设备可以包括:至少一个处理器701,例如CPU(Central Processing Unit,中央处理器),至少一个通信接口703,存储器704,至少一个通信总线702。其中,通信总线702用于实现这些组件之间的连接通信。其中,通信接口703可以包括显示屏(Display)、键盘(Keyboard),可选通信接口703还可以包括标准的有线接口、无线接口。存储器704可以是高速RAM存储器(Random AccessMemory,易挥发性随机存取存储器),也可以是非不稳定的存储器(non-volatile memory),例如至少一个磁盘存储器。存储器704可选的还可以是至少一个位于远离前述处理器701的存储装置。其中存储器704中存储应用程序,且处理器701调用存储器704中存储的程序代码,以用于执行实施例1或中的任一方法步骤,即用于执行以下操作:
获取待检测主机若干个时刻的时间偏移;根据若干个时刻以及各个时刻对应的时间偏移得到待检测主机的时间偏移率;根据时间偏移率对待检测主机的身份合法性进行检测。
本发明实施例中,处理器701调用存储器704中的程序代码,还用于执行以下操作:当时间偏移率落入某一预设合法时间偏移率的范围内时,待检测主机合法。
本发明实施例中,处理器701调用存储器704中的程序代码,还用于执行以下操作:预设合法时间偏移率的范围是指预先获取的一个合法主机的多个时钟偏移率的最大值和最小值之间的范围。
本发明实施例中,处理器701调用存储器704中的程序代码,还用于执行以下操作:获取待检测主机接收的一TCP报文的发送时间;将发送时间作为第一时刻;获取待检测主机应答TCP报文的第二时刻;获取第一时刻待检测主机和发送TCP报文的主机的时钟之间的时间差;根据第一时刻、第二时刻和时间差得到待检测主机在第一时刻的时间偏移,并重复上述步骤直至获取若干个时刻对应的时间偏移。
本发明实施例中,处理器701调用存储器704中的程序代码,还用于执行以下操作:提供一监测主机;控制监测主机向待检测主机发送一类型值为13的ICMP报文;提取类型值为13的ICMP报文中的时间戳信息,得到第一时刻;获取监测主机接收到的待检测主机应答类型值为13的ICMP报文的类型值为14的ICMP报文;提取类型值为14的ICMP报文中的时间戳信息,得到第二时刻。
本发明实施例中,处理器701调用存储器704中的程序代码,还用于执行以下操作:提供一监测主机;将待检测主机的流量信息镜像到监测主机中;捕获流量信息中的TCP流量信息,并筛选出类型为7的TCP报文;提取类型为7的TCP报文中的时间戳信息,得到第一时刻;提取类型为7的TCP报文中的应答时间戳信息,得到第二时刻。
其中,通信总线702可以是外设部件互连标准(peripheral componentinterconnect,简称PCI)总线或扩展工业标准结构(extended industry standardarchitecture,简称EISA)总线等。通信总线702可以分为地址总线、数据总线、控制总线等。为便于表示,图7中仅用一条线表示,但并不表示仅有一根总线或一种类型的总线。
其中,存储器704可以包括易失性存储器(英文:volatile memory),例如随机存取存储器(英文:random-access memory,缩写:RAM);存储器也可以包括非易失性存储器(英文:non-volatile memory),例如快闪存储器(英文:flash memory),硬盘(英文:hard diskdrive,缩写:HDD)或固态硬盘(英文:solid-state drive,缩写:SSD);存储器704还可以包括上述种类的存储器的组合。
其中,处理器701可以是中央处理器(英文:central processing unit,缩写:CPU),网络处理器(英文:network processor,缩写:NP)或者CPU和NP的组合。
其中,处理器701还可以进一步包括硬件芯片。上述硬件芯片可以是专用集成电路(英文:application-specific integrated circuit,缩写:ASIC),可编程逻辑器件(英文:programmable logic device,缩写:PLD)或其组合。上述PLD可以是复杂可编程逻辑器件(英文:complex programmable logic device,缩写:CPLD),现场可编程逻辑门阵列(英文:field-programmable gate array,缩写:FPGA),通用阵列逻辑(英文:generic arraylogic,缩写:GAL)或其任意组合。
实施例4
本发明实施例还提供了一种非暂态计算机存储介质,所述计算机存储介质存储有计算机可执行指令,该计算机可执行指令可执行实施例1的任一方法步骤。其中,所述存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)、随机存储记忆体(RandomAccess Memory,RAM)、快闪存储器(Flash Memory)、硬盘(Hard Disk Drive,缩写:HDD)或固态硬盘(Solid-State Drive,SSD)等;所述存储介质还可以包括上述种类的存储器的组合。
显然,上述实施例仅仅是为清楚地说明所作的举例,而并非对实施方式的限定。对于所属领域的普通技术人员来说,在上述说明的基础上还可以做出其它不同形式的变化或变动。这里无需也无法对所有的实施方式予以穷举。而由此所引伸出的显而易见的变化或变动仍处于本发明创造的保护范围之中。
Claims (8)
1.一种主机的身份合法性检测方法,其特征在于,包括如下步骤:
获取待检测主机若干个时刻的时间偏移;
根据所述若干个时刻以及若干个时刻中的各个时刻对应的时间偏移得到所述待检测主机的时间偏移率;
根据所述时间偏移率对所述待检测主机的身份合法性进行检测;
其中,获取待检测主机若干个时刻对应的时间偏移,包括如下步骤:
获取所述待检测主机接收的一TCP报文的发送时间,并将所述发送时间作为第一时刻;
获取所述待检测主机应答所述TCP报文的第二时刻;
获取所述第一时刻所述待检测主机和发送所述TCP报文的主机的时钟之间的时间差;
根据所述第一时刻、所述第二时刻和所述时间差得到所述待检测主机在所述第一时刻的时间偏移,并重复上述步骤直至获取所述若干个时刻对应的时间偏移。
2.根据权利要求1所述的主机的身份合法性检测方法,其特征在于,当所述时间偏移率落入某一预设合法时间偏移率的范围内时,所述待检测主机合法。
3.根据权利要求2所述的主机的身份合法性检测方法,其特征在于,所述预设合法时间偏移率的范围是指预先获取的一个合法主机的多个时钟偏移率的最大值和最小值之间的范围。
4.根据权利要求1所述的主机的身份合法性检测方法,其特征在于,获取所述待检测主机接收的一TCP报文的发送时间,并将所述发送时间作为第一时刻,包括如下步骤:
提供一监测主机;
控制所述监测主机向所述待检测主机发送一类型值为13的ICMP报文;
提取所述类型值为13的ICMP报文中的时间戳信息,得到所述第一时刻;
获取所述待检测主机应答所述TCP报文第二时刻,包括如下步骤:
获取所述监测主机接收到的所述待检测主机应答所述类型值为13的ICMP报文的类型值为14的ICMP报文;
提取所述类型值为14的ICMP报文中的时间戳信息,得到所述第二时刻。
5.根据权利要求1所述的主机的身份合法性检测方法,其特征在于,取所述待检测主机接收的一TCP报文的发送时间,并所述发送时间作为第一时刻,包括如下步骤:
提供一监测主机;
将所述待检测主机的流量信息镜像到所述监测主机中;
捕获所述流量信息中的TCP流量信息,并筛选出类型为8的TCP报文;
提取所述类型为8的TCP报文中的时间戳信息,得到所述第一时刻;
获取所述待检测主机应答所述TCP报文第二时刻,包括如下步骤:
提取所述类型为8的TCP报文中的应答时间戳信息,得到所述第二时刻。
6.一种主机的身份合法性检测装置,其特征在于,包括:
时间偏移获取模块,用于获取待检测主机若干个时刻的时间偏移;
时间偏移率计算模块,用于根据所述若干个时刻以及若干个时刻中的各个时刻对应的时间偏移得到所述待检测主机的时间偏移率;
合法性检测模块,用于根据所述时间偏移率对所述待检测主机的身份合法性进行检测;
其中,所述时间偏移获取模块包括:
第一时刻获取单元,用于获取所述待检测主机接收的一TCP报文的发送时间,并将所述发送时间作为第一时刻;
第二时刻获取单元,用于获取所述待检测主机应答所述TCP报文的第二时刻;
时间差获取单元,用于获取所述第一时刻所述待检测主机和发送所述TCP报文的主机的时钟之间的时间差;
时间偏移获取单元,用于根据所述第一时刻、所述第二时刻和所述时间差得到所述待检测主机在所述第一时刻的时间偏移,并重复调用上述模块直至获取所述若干个时刻对应的时间偏移。
7.一种身份检测设备,其特征在于,包括:至少一个处理器;以及与所述至少一个处理器通信连接的存储器;其中,所述存储器存储有可被所述一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器执行上述权利要求1-5中任一所述的方法。
8.一种计算机可读存储介质,其上存储有计算机指令,其特征在于,该指令被处理器执行时实现上述权利要求1-5中任一所述方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910002400.9A CN109787969B (zh) | 2019-01-02 | 2019-01-02 | 主机的身份合法性检测方法、检测装置及身份检测设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910002400.9A CN109787969B (zh) | 2019-01-02 | 2019-01-02 | 主机的身份合法性检测方法、检测装置及身份检测设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109787969A CN109787969A (zh) | 2019-05-21 |
CN109787969B true CN109787969B (zh) | 2021-06-22 |
Family
ID=66499189
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910002400.9A Active CN109787969B (zh) | 2019-01-02 | 2019-01-02 | 主机的身份合法性检测方法、检测装置及身份检测设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109787969B (zh) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101510834A (zh) * | 2008-02-15 | 2009-08-19 | ***通信集团公司 | 端到端网络时延的测量方法、装置及*** |
CN102769505A (zh) * | 2012-07-19 | 2012-11-07 | 中兴通讯股份有限公司 | 一种实现时钟同步的方法及装置 |
CN107667510A (zh) * | 2015-05-26 | 2018-02-06 | 思科技术公司 | 恶意软件和恶意应用的检测 |
CN108540430A (zh) * | 2017-03-03 | 2018-09-14 | 华为技术有限公司 | 一种威胁检测方法及装置 |
CN108605036A (zh) * | 2015-10-29 | 2018-09-28 | 欧普特网络私人有限公司 | 数据流中的异常检测 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8675689B2 (en) * | 2011-02-15 | 2014-03-18 | General Electric Company | Method of time synchronization of free running nodes in an avionics network |
-
2019
- 2019-01-02 CN CN201910002400.9A patent/CN109787969B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101510834A (zh) * | 2008-02-15 | 2009-08-19 | ***通信集团公司 | 端到端网络时延的测量方法、装置及*** |
CN102769505A (zh) * | 2012-07-19 | 2012-11-07 | 中兴通讯股份有限公司 | 一种实现时钟同步的方法及装置 |
CN107667510A (zh) * | 2015-05-26 | 2018-02-06 | 思科技术公司 | 恶意软件和恶意应用的检测 |
CN108605036A (zh) * | 2015-10-29 | 2018-09-28 | 欧普特网络私人有限公司 | 数据流中的异常检测 |
CN108540430A (zh) * | 2017-03-03 | 2018-09-14 | 华为技术有限公司 | 一种威胁检测方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN109787969A (zh) | 2019-05-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10826684B1 (en) | System and method of validating Internet of Things (IOT) devices | |
US11070569B2 (en) | Detecting outlier pairs of scanned ports | |
ES2854701T3 (es) | Métodos y medio de almacenamiento informático para dividir la seguridad de las sesiones | |
CN109474575B (zh) | 一种dns隧道的检测方法及装置 | |
CN107800678B (zh) | 检测终端异常注册的方法及装置 | |
US11770397B2 (en) | Malicious port scan detection using source profiles | |
JPWO2016006520A1 (ja) | 検知装置、検知方法及び検知プログラム | |
CN107733581B (zh) | 基于全网环境下的快速互联网资产特征探测方法及装置 | |
US11184378B2 (en) | Scanner probe detection | |
WO2020000749A1 (zh) | 一种越权漏洞检测方法及装置 | |
US11770396B2 (en) | Port scan detection using destination profiles | |
US20220217162A1 (en) | Malicious port scan detection using port profiles | |
CN107733853B (zh) | 页面访问方法、装置、计算机和介质 | |
CN108234516B (zh) | 一种网络泛洪攻击的检测方法及装置 | |
CN110619022B (zh) | 基于区块链网络的节点检测方法、装置、设备及存储介质 | |
CN113678419B (zh) | 端口扫描检测 | |
CN109787969B (zh) | 主机的身份合法性检测方法、检测装置及身份检测设备 | |
CN115883170A (zh) | 网络流量数据监测分析方法、装置及电子设备及存储介质 | |
CN112583774A (zh) | 一种攻击流量检测的方法、装置、存储介质及电子设备 | |
CN113765914B (zh) | Cc攻击防护方法、***、计算机设备及可读存储介质 | |
CN112153011A (zh) | 一种机器扫描的检测方法、装置、电子设备和存储介质 | |
CN106657030B (zh) | 一种基于dhcp服务器非法报文安全防护的方法及*** | |
CN114817868B (zh) | 许可证校验方法、装置、设备及存储介质 | |
KR102387010B1 (ko) | 감시 장치 및 감시 방법 | |
CN110445799B (zh) | 入侵阶段的确定方法、装置及服务器 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |