专利名称:一种异常报文接入点的发现方法和装置的制作方法
技术领域:
本发明涉及网络通信技术领域,特别是涉及一种异常报文接入点的发现 方法和装置。
背景技术:
当前随着计算机网络的普及,越来越多的人享受着网络带来的便利。但 是由于网络开放性而引起的网络安全问题同时也越来越成为关注的焦点。木 马、病毒、蠕虫或远程攻击等轻则给用户带来使用上的不方便,重则造成数 据的丢失或财产的损失。针对这些网络安全问题,现有技术提出了加解密算 法、入侵检测、防火墙技术等技术。对于一名网络管理员来说,他需要及时 的发现网络中的异常情况,在攻击出现的早期发现它,在攻击造成损失后, 及时进行补救。因此在出现异常报文的时候,定位出报文在网络中的接入点 的功能就显得尤为重要,只有定位出了异常报文的接入点,才能进一步阻断 异常报文的后继行为。如图l所示,为现有技术网络管理系统的组网图,在网
络中出现异常报文的时候,网络管理员希望能很快的定位到设备5与攻击者连 接的端口,进而阻断攻击。然而防火墙技术用于在攻击进入网络之前阻止攻 击;入侵检测用于在入侵进入网络之后发现入侵;加解密技术用于保护保证 数据的机密性;这些技术都没有提供定位异常报文的接入点的功能。
现有技术中采用网络设备向网络管理站发送告警的方式,网络管理员根 据告警能很快知道哪些设备出现了异常,网络管理员再查看设备的状态或者 根据告警信息判断出报文从哪台设备的哪个端口接入。
现有技术的缺点是无法直接确定异常报文在哪台设备接入,需要用户根 据组网图和告警信息判断,并且在攻击的早期,设备没有发现报文异常时, 无法检测到异常。并且对异常报文的监视不好控制,很容易将正常报文当成 了异常报文,发送了大量无用告警,或者没有监视到异常报文而忽略了真正的异常报文告警。
发明内容
本发明要解决的问题是提供一种异常报文接入点的发现方法和装置,当 出现异常报文的时候,为网络管理员提供查找异常^Jl在网络中的接入点的 功能,定位到报文在网络中的接入点,从而使网络管理员能进行下一步动作, 如阻断异常报文接入的端口 。
为达到上述目的,本发明实施例的技术方案提出一种异常报文接入点的 发现方法,用于查找异常报文在网络中的接入点,包括以下步骤,计算网络
设备之间的物理连接关系;根据所述物理连接关系,查看当前某一学习到所 述异常报文MAC地址的网络设备的端口是否存在相连的网络设备;如果所述 网络设备的端口存在相连的网络设备,则将该端口对端的网络设备作为当前 待查看的学习到异常报文MAC地址的网络设备,并返回上一步;直到查找到 某一网络设备的端口不存在相连的网络设备,则该网络设备就是异常报文接 入点。
其中,所述计算网络设备之间的物理连接关系具体包括利用伪造某一 网络设备的IP源地址向其他网络设备发送PING报文的方式使所述网络设备 MAC地址互相充分学习;在所述网络设备互相充分学习之后计算网络设备之 间的物理连接关系,如果所述网络设备的接口互相学习到了对方的MAC地 址,并且学习到的所述MAC地址不存在交集,则判断所述网络设备的接口之 间存在物理连接关系。
其中,在所述查看当前某一学习到所述异常报文MAC地址的网络i殳备的 端口是否存在相连的网络设备之前,还包括以下步骤根据所述网络设备上 的地址解析协议ARP信息将异常报文IP地址转换为异常报文MAC地址。
其中,所述学习到异常报文MAC地址的网络设备具体包括,根据管理信 息库MIB信息中的qBridge表查找到的所述学习到异常报文MAC地址的网络 设备。
其中,所述判断网络设备是否学习到所述异常报文MAC地址具体包括,根据本地数据库中的存储的设备历史信息判断网络设备是否学习到所述异常
才艮文MAC地址。
本发明实施例的技术方案还提出一种异常报文接入点的发现装置,用于 查找异常报文在网络中的接入点,包括物理连接关系计算模块和接入点查找 模块,所述物理连接关系计算模块用于计算网络设备之间的物理连接关系; 所述接入点查找模块用于根据所述物理连接关系计算模块计算的物理连接关 系,查看当前某一学习到所述异常报文MAC地址的网络设备的端口是否存在 相连的网络设备,如果所述网络设备的端口存在相连的网络设备,则将该端 口对端的网络设^f乍为当前待查看的学习到异常报文MAC地址的网络设备, 直到查找到某一网络设备的端口不存在相连的网络设备,则该网络设备就是 异常报文接入点。
其中,所述物理连接关系计算模块包括充分学习子模块和物理连接关系 计算子模块,所述充分学习子模块,用于利用伪造某一网络设备的IP源地址 向其他网络设备发送PING报文的方式使所述网络设备MAC地址互相充分学 习;所述物理连接关系计算子模块,用于在所述充分学习子模块充分学习之 后计算网络设备之间的物理连接关系,如果所述网络设备的接口互相学习到 了对方的MAC地址,并且学习到的所述MAC地址不存在交集,则所述网络 设备的接口之间存在连接关系。
其中,还包括IP地址转换模块,用于根据所述网络设备上的地址解析协 议ARP信息将异常报文IP地址转换为异常报文MAC地址。
其中,所述接入点查找模块包括学习判断子模块和对应设备查找子模块, 所述学习判断子模块,用于判断网络设备是否学习到所述异常报文MAC地 址;所述对应设备查找子模块,用于在所述学习判断子模块查找出学习到所 述MAC地址的网络设备后,判断所述网络设备的端口是否存在相连的网络设 备,如果存在相连的网络设备,则将该端口对端的网络设备作为当前待查看 的学习到异常报文MAC地址的网络设备,直到查找到某一网络设备的端口不 存在相连的网络设备,则该网络设备就是异常报文接入点。
本发明实施例的技术方案还提出 一种计算机程序,包括若干指令用以执行上述异常报文接入点的发现方法。
本发明实施例的技术方案还提出一种存储介质,存储权利要求上述的计 算机程序。
本发明实施例的技术方案还提出一种计算机设备,包括用以执行上述异 常报文接入点的发现方法的软件及与软件配合的硬件。
本发明实施例通过网络设备之间的物理连接关系以及异常报文的MAC 地址使用户可以很直接的利用该方案找到异常报文在网络中的接入点,从而 阻断报文的攻击,在攻击初期及时发现攻击,在攻击造成损失后及时进行补 救措施。
图1为现有技术网络管理系统的组网图2为本发明实施例异常报文接入点的发现装置的结构图3为本发明实施例异常报文接入点的发现方法的流程图。
具体实施例方式
下面结合附图和实施例,对本发明的具体实施方式
作进一步详细描述 如图2所示,为本发明实施例异常报文接入点的发现装置的结构图。 该异常报文接入点的发现装置1用于查找异常报文在网络中的接入点, 即在网络中查找该异常报文的源头,包括物理连接关系计算模块11和接入点 查找模块12,物理连接关系计算模块11用于计算网络设备之间的物理连接关 系;接入点查找模块12用于根据物理连接关系计算模块11计算的物理连接 关系,查看当前某一学习到所述异常报文MAC(Media Access Control ,介质 访问控制)地址的网络设备的端口是否存在相连的网络设备,如果该网络设备 的端口存在相连的网络设备,则说明该网络设备不是最外侧的网络设备,因 此将该端口对端的网络设备作为当前待查看的学习到异常报文MAC地址的 网络设备,直到查找到某一网络设备的端口不存在相连的网络设备,则该网 络设备就是异常报文接入点。其中,物理连接关系计算模块11包括充分学习子模块111和物理连接关
系计算子模块112,充分学习子模块111,用于利用伪造某一网络设备的IP源
习;比如说要想让物理上直接连接的A, B两个设备相互学习到对方的MAC 地址,只需要在网管侧伪造A设备的IP地址去PINGB设备,B设备就会向 A设备进行应答,从而A设备就学习到B设备的MAC地址,反之亦然;物 理连接关系计算子模块112,用于在充分学习子模块111充分学习之后计算网 络设备之间的物理连接关系,如果所述网络设备的接口互相学习到了对方的 MAC地址,并且学习到的所述MAC地址不存在交集,则所述网络设备的接 口之间存在连接关系。其中根据贝尔实验室的原则计算网络设备之间的物理 连接关系,该规则具体为如果网络设备的接口互相学习到了对方的MAC地 址,并且学习到的所述MAC地址不存在交集,则网络设备的接口之间存在连 接关系,例如网络设备A的端口 1和网络设备B的端口2,都学习到对方的 MAC地址,而且学习到的MAC地址不存在交集,那么网络设备A的端口l 和网络设备B的端口 2存在连接关系。
其中,还包括IP地址转换模块13 ,用于根据网络设备上的ARP ( Address Resolution Protocol,地址解析协议)信息将异常报文IP地址转换为异常报文 MAC地址,如果网络管理员输入的是异常才艮文的IP地址或网络管理员只能 得到异常报文的IP地址,则应将IP地址转换为MAC地址后查找该异常报文 的网络接入点。其中,ARP是一种将IP地址转化成物理地址的协议,从IP 地址到物理地址的映射有两种方式表格方式和非表格方式。ARP具体说来 就是将网络层(IP层,也就是相当于OSI的第三层)IP地址解析为数据连接 层(MAC层,也就是相当于OSI的第二层)的MAC地址。
其中,接入点查找模块12包括学习判断子模块121和对应设备查找子模 块122,学习判断子模块121用于判断网络设备是否学习到所述异常报文MAC 地址;对应设备查找子模块122用于在学习判断子模块查找出学习到异常报 文MAC地址的网络设备后,判断该学习到异常报文MAC地址的网络设备的 端口是否存在相连的网络设备,如果存在相连的网络设备,则将该端口对端
9的网络设备作为当前待查看的学习到异常报文MAC地址的网络设备,直到查 找到某一网络设备的端口不存在相连的网络设备,则该网络设备就是异常报 文接入点。
如图3所示,为本发明实施例异常报文接入点的发现方法的流程图,当 网络设备较多,组成较复杂时,当网络管理站收到异常报文时,该异常报文 经过的所有网络设备都能够学习到该异常报文的MAC地址。该实施例包括以 下步骤
步骤S301,网络管理站使所有网络设备互相充分学习对方的MAC地址, 在所有网络设备互相充分学习对方的MAC地址的情况下才能根据贝尔实验 室原则进行网络设备之间的物理连接关系的计算。本发明实施例提出了一种 可使网络设备互相充分学习MAC地址的方法,通过网络管理站发送伪造源地 址的PING报文使网络设备之间能够充分地学习对方的MAC地址。如网络管 理站给设备B发送伪造设备A IP源地址的PING报文,设备B收到伪造的 PING报文以后,会向设备A发送回应PING报文,这样设备A收到了来自设 备B的报文,学习到了设备B的MAC地址。
步骤S302,在网络设备互相充分学习MAC地址之后,网络管理站根据 贝尔实验室原则进行网络设备之间的物理连接关系的计算,得到二层拓朴计 算结果。该贝尔实验室原则具体为如果网络设备的接口互相学习到了对方的 MAC地址,并且学习到的所述MAC地址不存在交集,则网络设备的接口之 间存在连接关系。
步骤S303,根据网络管理员输入的异常报文的MAC地址查找学习到该 异常报文的MAC地址的网络设备。
根据设备的MIB信息判断网络设备是否学习到异常报文的MAC地址, 该异常报文经过的所有网络设备都能够学习到该异常报文的MAC地址。例如 图1所示的组网图,设备5遭受攻击后通过设备2和设备1向网络管理站发 送异常报文,则设备2和设备1都能够学习到该异常报文的MAC地址。
本发明实施还提出了一种通过访问设备的MIB信息中的qBridge表来判 断网络设备是否学习到异常报文MAC地址的方法,该方法可在网络正常时使用。MIB信息中的qBridge表记录了端口学习的MAC地址,通过读取qBridge 表可以判断设备是否学习到指定的MAC地址。但是在实际中往往在网络中存 在异常报文的时候,该网络已经由于受到攻击陷入不可用的状态,因此本发 明实施例还提出 一种在网络不可用时通过本地数据库中的存储的设备历史信 息来查找异常报文接入点的方法,具体为根据本地数据库中的存储的设备历 史信息判断网络设备是否学习到异常报文的MAC地址。
步骤S304,根据计算到的物理连接关系,判断步骤S303查找到的学习到 该异常报文MAC地址网络设备的端口是否有二层拓朴链路,即判断该查找到 的网络设备是否是最外侧的网络设备。如果学习到异常报文MAC地址的网络 设备的端口没有二层拓朴链路,则说明该网络设备就是最外侧的网络设备, 也就是说该网络设备就是异常报文的接入点。如果学习到异常报文MAC地址 的网络设备的端口有二层拓朴链路,也就是说这个端口对端仍然有相连的网 络设备,根据MAC地址的学习原则,则说明该网络设备不是最外侧的网络设 备,应当顺着该网络设备的物理连接关系继续向外寻找最外侧的网络设备, 此时应当返回步骤S303和S304继续查看下一个学习到该异常净艮文MAC地址 的网络设备,直到找到离异常报文最近的网络设备,也就是最外侧的设备, 此设备就是异常报文的接入点。
当然对于步骤S303可以这样处理,先找出所有学习到该异常报文MAC 地址的网络设备,然后执行步骤S304。总之,总的原则就是根据步骤S304 的原则依次查看所有学习到该异常才艮文MAC地址的网络设备,直到找到离异 常报文接入点,也就是最外侧的设备。需要说明的是,上述异常报文接入点 指得是异常报文最先到达的网络设备,这个报文可能来自与该网络设备直接 相连的计算机终端,也可能是来自其他网络,只不过第一个到达该网络设备。
本发明实施例通过网络设备之间的物理连接关系以及异常报文的MAC 地址使用户可以很直接的利用该方案找到异常报文在网络中的接入点,从而 阻断报文的攻击,在攻击初期及时发现攻击,在攻击造成损失后及时进行补 救措施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬 件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技 术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体
现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使 得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行 本发明各个实施例所述的方法。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的 普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进 和润饰,这些改进和润饰也应视为本发明的保护范围。
权利要求
1、 一种异常报文接入点的发现方法,用于查找异常报文在网络中的接入点,其特征在于,包括以下步骤计算网络设备之间的物理连接关系;根据所述物理连接关系,查看当前某一学习到所述异常报文MAC地址的 网络设备的端口是否存在相连的网络设备;如果所述网络设备的端口存在相连的网络设备,则将该端口对端的网络 设备作为当前待查看的学习到异常报文MAC地址的网络设备,并返回上一 步;直到查找到某一 网络设备的端口不存在相连的网络设备,则该网络设备 就是异常报文接入点。
2、 如权利要求1所述异常报文接入点的发现方法,其特征在于,所述计 算网络设备之间的物理连接关系具体包括利用伪造某一网络设备的IP源地址向其他网络设备发送PING报文的方 式使所述网络设备MAC地址互相充分学习;在所述网络设备互相充分学习之 后计算网络设备之间的物理连接关系,如果所述网络设备的接口互相学习到 了对方的MAC地址,并且学习到的所述MAC地址不存在交集,则判断所述 网络设备的接口之间存在物理连接关系。
3、 如权利要求1所述异常报文接入点的发现方法,其特征在于,在所述 查看当前某一学习到所述异常报文MAC地址的网络设备的端口是否存在相 连的网络设备之前,还包括以下步骤根据所述网络设备上的地址解析协议ARP信息将异常报文IP地址转换为 异常报文MAC地址。
4、 如权利要求1所述异常报文接入点的发现方法,其特征在于,所述学 习到异常报文MAC地址的网络设备具体包括,根据管理信息库MIB信息中 的qBridge表查找到的所述学习到异常报文MAC地址的网络设备。
5、 如权利要求1所述异常报文接入点的发现方法,其特征在于,所述学 习到异常报文MAC地址的网络设备具体包括,根据本地数据库中的存储的设备历史信息查找到的所述学习到异常报文MAC地址的网络设备。
6、 一种异常报文接入点的发现装置,用于查找异常报文在网络中的接入 点,其特征在于,包括物理连接关系计算模块和接入点查找模块,所述物理连接关系计算模块用于计算网络设备之间的物理连接关系; 所述接入点查找模块用于根据所述物理连接关系计算模块计算的物理连 接关系,查看当前某一学习到所述异常报文MAC地址的网络设备的端口是否 存在相连的网络设备,如果所述网络设备的端口存在相连的网络设备,则将 该端口对端的网络设备作为当前待查看的学习到异常报文MAC地址的网络设备,直到查找到某一网络设备的端口不存在相连的网络设备,则该网络设 备就是异常报文接入点。
7、 如权利要求6所述异常报文接入点的发现装置,其特征在于,所述物 理连接关系计算模块包括充分学习子模块和物理连接关系计算子模块,所述充分学习子模块,用于利用伪造某一网络设备的IP源地址向其他网 络设备发送PING报文的方式使所述网络设备MAC地址互相充分学习;所述物理连接关系计算子模块,用于在所述充分学习子模块充分学习之 后计算网络设备之间的物理连接关系,如果所述网络设备的接口互相学习到 了对方的MAC地址,并且学习到的所述MAC地址不存在交集,则所述网络 设备的接口之间存在连接关系。
8、 如权利要求6所述异常报文接入点的发现装置,其特征在于,还包括 IP地址转换模块,用于根据所述网络设备上的地址解析协议ARP信息将异常 报文IP地址转换为异常报文MAC地址。
9、 如权利要求6所述异常报文接入点的发现装置,其特征在于,所述接入点查找模块包括学习判断子模块和对应设备查找子模块,所述学习判断子模块,用于判断网络设备是否学习到所述异常净艮文MAC地址;所述对应设备查找子模块,用于在所述学习判断子模块查找出学习到所 述MAC地址的网络设备后,判断所述网络设备的端口是否存在相连的网络设 备,如果存在相连的网络设备,则将该端口对端的网络设备作为当前待查看的学习到异常报文MAC地址的网络设备,直到查找到某一网络设备的端口不 存在相连的网络设备,则该网络设备就是异常报文接入点。
10、 一种计算机程序,其特征在于,包括若干指令用以执行前述权利要 求1-5所述的异常报文接入点的发现方法。
11、 一种存储介质,其特征在于,存储权利要求IO所述的计算机程序。
12、 一种计算机设备,其特征在于,包括用以执行前述权利要求l-5所述 异常报文接入点的发现方法的软件及与软件配合的硬件。
全文摘要
本发明公开了一种异常报文接入点的发现方法,用于查找异常报文在网络中的接入点,包括以下步骤,计算网络设备之间的物理连接关系;根据所述物理连接关系,查看当前某一学习到所述异常报文MAC地址的网络设备的端口是否存在相连的网络设备;如果所述网络设备的端口存在相连的网络设备,则将该端口对端的网络设备作为当前待查看的学习到异常报文MAC地址的网络设备;直到查找到某一网络设备的端口不存在相连的网络设备,则该网络设备就是异常报文接入点。本发明实施例通过网络设备之间的物理连接关系以及异常报文的MAC地址使用户可以很直接的利用该方案找到异常报文在网络中的接入点,从而在攻击初期及时发现攻击。
文档编号H04L12/56GK101312465SQ20071010726
公开日2008年11月26日 申请日期2007年5月25日 优先权日2007年5月25日
发明者勇 郭 申请人:杭州华三通信技术有限公司