一種網(wǎng)絡(luò)設(shè)備準(zhǔn)入方法
【專利摘要】本發(fā)明一種網(wǎng)絡(luò)設(shè)備準(zhǔn)入方法,包括:建立驗(yàn)證信息數(shù)據(jù)庫;接收網(wǎng)絡(luò)設(shè)備發(fā)送的數(shù)據(jù)包;根據(jù)驗(yàn)證信息數(shù)據(jù)庫,驗(yàn)證數(shù)據(jù)包中網(wǎng)絡(luò)設(shè)備的Mac信息;根據(jù)Mac信息,驗(yàn)證DHCP信息、HTTP信息、SSDP信息;建立數(shù)據(jù)包捕捉線程,驗(yàn)證SNMP詢問信息、NMAP掃描信息和NETBIOS掃描信息;本發(fā)明部署簡(jiǎn)單,采用主動(dòng)探測(cè)和被動(dòng)收集的方式,依靠驗(yàn)證信息能有效克服IP/MAC偽造問題,提高網(wǎng)絡(luò)準(zhǔn)入安全標(biāo)準(zhǔn),保證企業(yè)的網(wǎng)絡(luò)信息安全,同時(shí)能夠識(shí)別出各種非IP設(shè)備的類型及型號(hào),方便用戶統(tǒng)一分類管理和準(zhǔn)確定位跟蹤。
【專利說明】一種網(wǎng)絡(luò)設(shè)備準(zhǔn)入方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及網(wǎng)絡(luò)安全【技術(shù)領(lǐng)域】,尤其是涉及一種基于廣域網(wǎng)或局域網(wǎng)的網(wǎng)絡(luò)設(shè)備 準(zhǔn)入方法。
【背景技術(shù)】
[0002] 隨著虛擬化的發(fā)展,大部分企事業(yè)單位中已經(jīng)開始部署虛擬化桌面,還有在當(dāng)今 網(wǎng)絡(luò)中各種IP設(shè)備層出不窮,如:網(wǎng)絡(luò)攝像頭、網(wǎng)絡(luò)傳感器、網(wǎng)絡(luò)電話等,這些非傳統(tǒng)PC設(shè) 備從網(wǎng)絡(luò)層的外部觀察難以進(jìn)行識(shí)別,而同時(shí)這些設(shè)備又是網(wǎng)絡(luò)的一部分,傳統(tǒng)手段無法 在管理中準(zhǔn)確的定位和準(zhǔn)入,容易被通過IP/MAC偽造而進(jìn)行替換,對(duì)它們進(jìn)行追蹤并且分 類非常的困難,由于這些設(shè)備的存在,越來越多的安全職業(yè)人員在審計(jì)中遭遇失敗,因?yàn)檫@ 些設(shè)備可以允許惡意用戶騙取資源,繞過控制,并取得未經(jīng)授權(quán)的網(wǎng)絡(luò)訪問,如何防止IP/ MC偽造進(jìn)行準(zhǔn)入管理成為當(dāng)今準(zhǔn)入系統(tǒng)中急迫需要解決的問題。
【發(fā)明內(nèi)容】
[0003] 為了解決上述問題,解決虛擬化終端和生產(chǎn)IP設(shè)備被偽冒的問題,本發(fā)明提供了 一種網(wǎng)絡(luò)設(shè)備準(zhǔn)入方法。
[0004] 本發(fā)明采用的技術(shù)方案如下:
[0005] -種網(wǎng)絡(luò)設(shè)備準(zhǔn)入方法,包括以下步驟:
[0006] 步驟一,建立驗(yàn)證信息數(shù)據(jù)庫,所述驗(yàn)證信息數(shù)據(jù)庫包括網(wǎng)絡(luò)設(shè)備的身份驗(yàn)證信 息,所述身份驗(yàn)證信息包括網(wǎng)絡(luò)設(shè)備的Mac地址、DHCP信息、HTTP信息、SSDP信息、SNMP詢 問信息、NMP掃描信息和NETBIOS掃描信息;
[0007] 步驟二,接收網(wǎng)絡(luò)設(shè)備發(fā)送的數(shù)據(jù)包;
[0008] 步驟三,根據(jù)驗(yàn)證信息數(shù)據(jù)庫,驗(yàn)證數(shù)據(jù)包中網(wǎng)絡(luò)設(shè)備的Mac信息;
[0009] 步驟四,根據(jù)Mac信息在驗(yàn)證信息數(shù)據(jù)庫中驗(yàn)證數(shù)據(jù)包中網(wǎng)絡(luò)設(shè)備的DHCP信息、 HTTP信息、SSDP信息;
[0010] 步驟五,根據(jù)Mac信息在驗(yàn)證信息數(shù)據(jù)庫中驗(yàn)證數(shù)據(jù)包中SNMP詢問信息、NMAP掃 描信息和NETBIOS掃描信息。
[0011] 優(yōu)選的,所述步驟一還包括,根據(jù)驗(yàn)證信息數(shù)據(jù)庫創(chuàng)建哈希表,所述哈希表存儲(chǔ)每 臺(tái)終端設(shè)備的身份驗(yàn)證信息。
[0012] 優(yōu)選的,驗(yàn)證網(wǎng)絡(luò)設(shè)備時(shí)采用哈希表檢索驗(yàn)證信息數(shù)據(jù)庫。
[0013] 優(yōu)選的,所述步驟三還包括,如驗(yàn)證信息數(shù)據(jù)庫中沒有該網(wǎng)絡(luò)設(shè)備的Mac信息,則 提示用戶MAC地址未注冊(cè)。
[0014] 又算的,所述步驟三還包括,判斷該接收Mac地址的數(shù)據(jù)包與記錄的上一次Mac地 址的數(shù)據(jù)包之間的時(shí)間間隔,如果時(shí)間間隔超過系統(tǒng)預(yù)設(shè)值,判定該Mac地址的網(wǎng)絡(luò)設(shè)備 為偽造。
[0015] 優(yōu)選的,所述時(shí)間間隔為10S。
[0016] 優(yōu)選的,所述步驟四還包括,如驗(yàn)證信息數(shù)據(jù)庫中沒有該Mac地址的網(wǎng)絡(luò)設(shè)備的 DHCP信息、HTTP信息、SSDP信息,則將數(shù)據(jù)包中的DHCP信息、HTTP信息、SSDP信息存儲(chǔ)于 驗(yàn)證信息數(shù)據(jù)庫中。
[0017] 優(yōu)選的,所述步驟五還包括,如驗(yàn)證信息數(shù)據(jù)庫中沒有該Mac地址的網(wǎng)絡(luò)設(shè)備的 SNMP詢問信息、NMAP掃描信息和NETBIOS掃描信息,啟動(dòng)數(shù)據(jù)包捕捉線程捕捉SNMP詢問信 息、NMP掃描信息和NETBIOS掃描信息。
[0018] 優(yōu)選的,創(chuàng)建多個(gè)數(shù)據(jù)包捕捉線程形成隊(duì)列,當(dāng)驗(yàn)證過程中調(diào)用對(duì)應(yīng)的數(shù)據(jù)包捕 捉線程。
[0019] 優(yōu)選的,所述數(shù)據(jù)包捕捉線程采用Libpcap應(yīng)用程序框架或Wincap應(yīng)用程序框架 中的一種。
[0020] 本發(fā)明一種網(wǎng)絡(luò)設(shè)備準(zhǔn)入方法,包括:建立驗(yàn)證信息數(shù)據(jù)庫;接收網(wǎng)絡(luò)設(shè)備發(fā)送 的數(shù)據(jù)包;根據(jù)驗(yàn)證信息數(shù)據(jù)庫,驗(yàn)證數(shù)據(jù)包中網(wǎng)絡(luò)設(shè)備的Mac信息;根據(jù)Mac信息,驗(yàn)證 DHCP信息、HTTP信息、SSDP信息;建立數(shù)據(jù)包捕捉線程,驗(yàn)證SNMP詢問信息、NMAP掃描信 息和NETBIOS掃描信息;本發(fā)明部署簡(jiǎn)單,采用主動(dòng)探測(cè)和被動(dòng)收集的方式,依靠驗(yàn)證信息 能有效克服IP/MAC偽造問題,提高網(wǎng)絡(luò)準(zhǔn)入安全標(biāo)準(zhǔn),保證企業(yè)的網(wǎng)絡(luò)信息安全,同時(shí)能 夠識(shí)別出各種非IP設(shè)備的類型及型號(hào),方便用戶統(tǒng)一分類管理和準(zhǔn)確定位跟蹤。
【專利附圖】
【附圖說明】
[0021] 為了更清楚地說明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案,下面將對(duì)實(shí)施例或現(xiàn) 有技術(shù)描述中所需要使用的附圖作簡(jiǎn)單地介紹,顯而易見地,下面描述中的附圖僅僅是本 發(fā)明的一些實(shí)施例,對(duì)于本領(lǐng)域普通技術(shù)人員來講,在不付出創(chuàng)造性勞動(dòng)性的前提下,還可 以根據(jù)這些附圖獲得其他的附圖。
[0022] 圖1是本發(fā)明所述方法的系統(tǒng)部署架構(gòu)圖;
[0023] 圖2是圖1本發(fā)明所述方法的方法流程圖。
【具體實(shí)施方式】
[0024] 下面將結(jié)合本發(fā)明實(shí)施例中的附圖,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完 整地描述,顯然,所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例,而不是全部的實(shí)施例?;?本發(fā)明中的實(shí)施例,本領(lǐng)域普通技術(shù)人員在沒有作出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他 實(shí)施例,都屬于本發(fā)明保護(hù)的范圍。
[0025] 企業(yè)網(wǎng)絡(luò)已經(jīng)廣泛采用桌面虛擬化的終端和移動(dòng)終端,而這些終端設(shè)備又有訪問 業(yè)務(wù)網(wǎng)絡(luò)的需求,現(xiàn)在大部分準(zhǔn)入系統(tǒng)只能通過IP地址批準(zhǔn)這些設(shè)備直接進(jìn)入網(wǎng)絡(luò),這樣 就會(huì)導(dǎo)致攻擊者很容易偽冒正常終端進(jìn)入業(yè)務(wù)網(wǎng)絡(luò)。即使采用了 IP-MAC-P0RT綁定技術(shù), 但是攻擊者通過獲取網(wǎng)絡(luò)IP設(shè)備的信息后并偽冒成他一樣的IP-MAC,就能逃避IP-MC綁 定的檢測(cè),輕松的進(jìn)入銀行等內(nèi)網(wǎng)業(yè)務(wù)系統(tǒng),嚴(yán)重危害企業(yè)信息安全。
[0026] 如圖1所示為本發(fā)明軟件架構(gòu)的系統(tǒng)部署圖。本發(fā)明的軟件架構(gòu)包括部署于匯聚 各終端設(shè)備上的信息探測(cè)單元1和部署于服務(wù)器上的數(shù)據(jù)分析單元2。所述信息探測(cè)單元1 捕捉各終端設(shè)備發(fā)出的數(shù)據(jù)包,并對(duì)數(shù)據(jù)包進(jìn)行分析。通過MC地址發(fā)現(xiàn)、DHCP信息獲取、 HTTP信息獲取、NMAP掃描、SNMP詢問等多種被動(dòng)監(jiān)聽和主動(dòng)掃描的方式實(shí)時(shí)收集網(wǎng)絡(luò)設(shè)備 身份驗(yàn)證信息,對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行識(shí)別并將識(shí)別結(jié)果發(fā)送到數(shù)據(jù)分析單元2。數(shù)據(jù)分析單元2 負(fù)責(zé)接收并存儲(chǔ)各個(gè)信息探測(cè)單元1傳送過來的設(shè)備身份驗(yàn)證信息并更新驗(yàn)證結(jié)果,以及 向探測(cè)分析應(yīng)用程序下發(fā)設(shè)備注冊(cè)信息。
[0027] 如圖2所示為本發(fā)明的一種網(wǎng)絡(luò)設(shè)備準(zhǔn)入方法,包括以下步驟:
[0028] 步驟一,在服務(wù)器端建立驗(yàn)證信息數(shù)據(jù)庫。所述驗(yàn)證信息數(shù)據(jù)庫包括企業(yè)網(wǎng)絡(luò)中 采用的終端設(shè)備如PC終端、虛擬化終端和移動(dòng)終端的身份驗(yàn)證信息。所述身份驗(yàn)證信息包 括:
[0029] MAC地址信息,包括終端設(shè)備網(wǎng)卡的MAC地址,MAC地址作為終端設(shè)備獨(dú)一無二的 標(biāo)示還具有組織唯一標(biāo)示符(OUI)信息,通過對(duì)MAC地址的前六位字節(jié)進(jìn)行解析可以獲取 網(wǎng)卡的生產(chǎn)廠商信息。
[0030] DHCP信息,包括hostname字段和rquestList字段,其中Hostname字段包含終端 設(shè)備的主機(jī)名,requestList字段包含DHCP請(qǐng)求次數(shù)。
[0031] HTTP信息,包括User-Agent字段,所述User-Agent字段包含終端設(shè)備所使用的操 作系統(tǒng)信息和用戶操作偏好。
[0032] SNMP信息,包括可用于機(jī)器類型識(shí)別的字段Machine type、具有系統(tǒng)描述信息 的sysDescr字段、帶有磁盤序列號(hào)的hrStorageDescr字段和表述終端設(shè)備所在工作組的 workgroup 字段。
[0033] NMAP信息,包括可用于操作系統(tǒng)匹配的字段osmatch name和NMAP掃描后后終端 設(shè)備的tcp/port (設(shè)備開放的網(wǎng)絡(luò)端口和對(duì)應(yīng)服務(wù))列表portlist。
[0034] NetBios信息,包括Windows類的終端計(jì)算機(jī)名computername字段。
[0035] 進(jìn)一步的,根據(jù)上述的身份驗(yàn)證信息可以建立身份驗(yàn)證信息的數(shù)據(jù)表,所述數(shù)據(jù) 表包括的各個(gè)字段信息如下:
【權(quán)利要求】
1. 一種網(wǎng)絡(luò)設(shè)備準(zhǔn)入方法,其特征在于,包括以下步驟: 步驟一,建立驗(yàn)證信息數(shù)據(jù)庫,所述驗(yàn)證信息數(shù)據(jù)庫包括網(wǎng)絡(luò)設(shè)備的身份驗(yàn)證信息,所 述身份驗(yàn)證信息包括網(wǎng)絡(luò)設(shè)備的Mac地址、DHCP信息、HTTP信息、SSDP信息、SNMP詢問信 息、NMAP掃描信息和NETBIOS掃描信息; 步驟二,接收網(wǎng)絡(luò)設(shè)備發(fā)送的數(shù)據(jù)包; 步驟三,根據(jù)驗(yàn)證信息數(shù)據(jù)庫,驗(yàn)證數(shù)據(jù)包中網(wǎng)絡(luò)設(shè)備的Mac信息; 步驟四,根據(jù)Mac信息在驗(yàn)證信息數(shù)據(jù)庫中驗(yàn)證數(shù)據(jù)包中網(wǎng)絡(luò)設(shè)備的DHCP信息、HTTP f目息、SSDP彳目息; 步驟五,根據(jù)Mac信息在驗(yàn)證信息數(shù)據(jù)庫中驗(yàn)證數(shù)據(jù)包中SNMP詢問信息、NMAP掃描信 息和NETBIOS掃描信息。
2. 根據(jù)權(quán)利要求1所述的一種網(wǎng)絡(luò)設(shè)備準(zhǔn)入方法,其特征在于,所述步驟一還包括,根 據(jù)驗(yàn)證信息數(shù)據(jù)庫創(chuàng)建哈希表,所述哈希表存儲(chǔ)每臺(tái)終端設(shè)備的身份驗(yàn)證信息。
3. 根據(jù)權(quán)利要求2所述的一種網(wǎng)絡(luò)設(shè)備準(zhǔn)入方法,其特征在于,驗(yàn)證網(wǎng)絡(luò)設(shè)備時(shí)采用 哈希表檢索驗(yàn)證信息數(shù)據(jù)庫。
4. 根據(jù)權(quán)利要求1所述的一種網(wǎng)絡(luò)設(shè)備準(zhǔn)入方法,其特征在于,步驟三還包括,如驗(yàn)證 信息數(shù)據(jù)庫中沒有該網(wǎng)絡(luò)設(shè)備的Mac信息,則提示用戶MAC地址未注冊(cè)。
5. 根據(jù)權(quán)利要求4所述的一種網(wǎng)絡(luò)設(shè)備準(zhǔn)入方法,其特征在于,所述步驟三還包括,判 斷該接收Mac地址的數(shù)據(jù)包與記錄的上一次Mac地址的數(shù)據(jù)包之間的時(shí)間間隔,如果時(shí)間 間隔超過系統(tǒng)預(yù)設(shè)值,判定該Mac地址的網(wǎng)絡(luò)設(shè)備為偽造。
6. 根據(jù)權(quán)利要求5所述的一種網(wǎng)絡(luò)設(shè)備準(zhǔn)入方法,其特征在于,所述時(shí)間間隔為10S。
7. 根據(jù)權(quán)利要求1所述的一種網(wǎng)絡(luò)設(shè)備準(zhǔn)入方法,其特征在于,所述步驟四還包括,如 驗(yàn)證信息數(shù)據(jù)庫中沒有該Mac地址的網(wǎng)絡(luò)設(shè)備的DHCP信息、HTTP信息、SSDP信息,則將數(shù) 據(jù)包中的DHCP信息、HTTP信息、SSDP信息存儲(chǔ)于驗(yàn)證信息數(shù)據(jù)庫中。
8. 根據(jù)權(quán)利要求1所述的一種網(wǎng)絡(luò)設(shè)備準(zhǔn)入方法,其特征在于,所述步驟五還包括,如 驗(yàn)證信息數(shù)據(jù)庫中沒有該Mac地址的網(wǎng)絡(luò)設(shè)備的SNMP詢問信息、NMAP掃描信息和NETBIOS 掃描信息,啟動(dòng)數(shù)據(jù)包捕捉線程捕捉SNMP詢問信息、NMAP掃描信息和NETBIOS掃描信息。
9. 根據(jù)權(quán)利要求8所述的一種網(wǎng)絡(luò)設(shè)備準(zhǔn)入方法,其特征在于,創(chuàng)建多個(gè)數(shù)據(jù)包捕捉 線程形成隊(duì)列,當(dāng)驗(yàn)證過程中調(diào)用對(duì)應(yīng)的數(shù)據(jù)包捕捉線程。
10. 根據(jù)權(quán)利要求8所述的一種網(wǎng)絡(luò)設(shè)備準(zhǔn)入方法,其特征在于,所述數(shù)據(jù)包捕捉線程 采用Libpcap應(yīng)用程序框架或Wincap應(yīng)用程序框架中的一種。
【文檔編號(hào)】H04L29/06GK104333538SQ201410567113
【公開日】2015年2月4日 申請(qǐng)日期:2014年10月22日 優(yōu)先權(quán)日:2014年10月22日
【發(fā)明者】羅治華, 邵曉慧, 劉民 申請(qǐng)人:杭州盈高科技有限公司