监控网络设备的方法和装置制造方法

监控网络设备的方法和装置制造方法
【专利摘要】本发明实施例公开了一种监控网络设备的方法和装置，涉及信息网络【技术领域】，能够在网络端口只连接有一个设备的情况下，确定该网络端口连接的非法无线网络设备，提高了内部网络信息的安全性。本发明的方法包括：获取网络管理系统所管理的网络系统中的无线网络设备的基本服务集标识BSSID；利用合法无线网络设备指纹库，从获取的网络系统中的无线网络设备的BSSID中，确定非法无线网络设备的BSSID；获取面向用户的网络端口对应的介质访问控制MAC转发表；根据非法无线网络设备的BSSID和MAC地址确定接入了网络端口的非法无线网络设备。本发明适用于监控网络设备的场景中。
【专利说明】监控网络设备的方法和装置
【技术领域】
[0001]本发明涉及信息网络【技术领域】，尤其涉及一种监控网络设备的方法和装置。
【背景技术】
[0002]企业往往使用内部网络来防止企业信息泄露，但当企业内部用户私自将无线网络设备接入内部网络，导致内部网络的无线信号外泄，从而使得外部人员能够通过外泄的无线网络攻击内部网络，或者内部用户将移动终端与无线网络设备连接，下载内部资料，这样会导致信息泄露。所以，对于企业的内部网络来说，内部用户私自接入内部网络的无线网络设备是非法无线网络设备，非法无线网络设备的接入为企业的内部网络带来极大的安全隐
串 [0003]为了排除非法无线网络设备为企业的内部网络带来的安全隐患，现有技术的网络管理系统根据内部网络范围内所有合法无线网络设备的MACXMedia Access Control,介质访问控制)地址，建立合法无线网络设备指纹库，合法无线网络设备指纹库包括内部网络范围内所有合法无线网络设备的MAC地址。之后，网络管理系统获取网络端口对应的MAC转发表，一个网络端口对应的MAC转发表中包括这一个网络端口连接的设备的MAC地址。内部网络面向用户的下行网络端口往往只连接一个设备，比如:一个员工的网络端口只连接有一个公司配备的电脑。所以，网络管理系统默认网络端口只连接有一个设备的情况是正常情况。在现有技术中，只有当网络管理系统检测到网络端口对应的MAC转发表中存在两个或两个以上的MAC地址时，网络管理系统才检测MAC转发表中的MAC地址是否存在于合法无线网络设备指纹库中，如果MAC转发表中的MAC地址不存在于合法无线网络设备指纹库中，就认为有非法无线设备接入内部网络。但是，当网络端口对应的MAC转发表中只有一个MAC地址时，也就是网络端口只连接有一个设备时，网络管理系统判定网络端口只连接有一个设备的情况是正常情况，默认该网络端口接入的是合法无线网络设备。
[0004]所以，当内部用户将网络端口原来连接的合法无线网络设备替换为非法无线网络设备时，网络管理系统检测到该网络端口对应的MAC转发表中只存在一个MAC地址，仍然默认该网络端口接入的是合法无线网络设备，从而无法发现接入内部网络全部的非法无线网络设备，降低了发现接入内部网络的非法无线网络设备的准确率，同时，也降低了内部网络信息的安全性。

【发明内容】

[0005]本发明的实施例提供一种监控网络设备的方法和装置，能够在网络端口只连接有一个设备的情况下，确定该网络端口连接的非法无线网络设备，提高了内部网络信息的安全性。
[0006]为达到上述目的，本发明的实施例采用如下技术方案:
[0007]第一方面，本发明实施例提供一种监控网络设备的方法，所述方法应用于网络管理系统，所述方法包括:[0008]获取所述网络管理系统所管理的网络系统中的无线网络设备的基本服务集标识BSSID ；
[0009]利用合法无线网络设备指纹库，从获取的所述网络系统中的无线网络设备的BSSID中，确定所述非法无线网络设备的BSSID，所述合法无线网络设备指纹库包括所有所述合法无线网络设备的BSSID，并且所述合法无线网络设备指纹库中不包括所述非法无线网络设备的BSSID ；
[0010]获取面向用户的网络端口对应的介质访问控制MAC转发表，所述MAC转发表中包括所述网络端口连接的无线网络设备的MAC地址；
[0011]根据所述非法无线网络设备的BSSID和所述MAC地址确定接入了所述网络端口的非法无线网络设备。
[0012]结合第一方面，在第一种可能的实现方式中，所述根据所述非法无线网络设备的BSSID和所述MAC地址确定接入了所述网络端口的非法无线网络设备，包括:
[0013]检测所述MAC地址是否与所述非法无线网络设备的BSSID相同；
[0014]若相同，则根据所述MAC地址，确定接入了所述网络端口的非法无线网络设备。
[0015]结合第一方面，在第二种可能的实现方式中，所述根据所述非法无线网络设备的BSSID和所述MAC地址确定接入了所述网络端口的非法无线网络设备，包括:
[0016]根据最长匹配原则，利用比特位掩码，对所述非法无线网络设备的BSSID和所述MAC地址进行处理，并得到与所述非法无线网络设备的BSSID对应的处理结果，以及与所述MAC地址对应的处理结果；
[0017]检测与所述非法无线网络设备的BSSID对应的处理结果和与所述MAC地址对应的处理结果是否相同；
[0018]若相同，则根据所述MAC地址，确定接入了所述网络端口的非法无线网络设备。
[0019]结合第一方面，在第三种可能的实现方式中，所述根据所述非法无线网络设备的BSSID和所述MAC地址确定接入了所述网络端口的非法无线网络设备，包括:
[0020]利用相似度匹配算法，计算所述非法无线网络设备的BSSID和所述MAC地址的相似度；
[0021]检测所述相似度是否大于等于预设阈值；
[0022]若大于等于所述预设阈值，则根据所述MAC地址，确定接入了所述网络端口的非法无线网络设备。
[0023]结合第一方面的第一种至第三种可能的实现方式中的任意一种可能的实现方式，在第四种可能的实现方式中，在所述确定非法无线网络设备之后，包括:
[0024]关闭连接有所述非法无线网络设备的所述网络端口。
[0025]结合第一方面或第一方面的第一种至第四种可能的实现方式中的任意一种可能的实现方式，在第五种可能的实现方式中，在所述确定非法无线网络设备的BSSID之后，还包括:
[0026]获取掩码，并对所述非法无线网络设备的BSSID和所述掩码进行与操作处理，得到处理结果；
[0027]将部分相同的所述处理结果对应的所述非法无线网络设备的BSSID确定为属于一个非法无线网络设备的BSSID ；[0028]检测属于所述一个非法无线网络设备的所有BSSID的数目是否大于等于2，若大于等于2，则保留所述一个非法无线网络设备的一个BSSID。
[0029]第二方面，本发明实施例提供一种监控网络设备的装置，所述装置应用于网络管理系统，所述装置包括:
[0030]第一获取模块，用于获取所述网络管理系统所管理的网络系统中的无线网络设备的基本服务集标识BSSID ；
[0031]第二获取模块，用于利用合法无线网络设备指纹库，从获取的所述网络系统中的无线网络设备的BSSID中，确定所述非法无线网络设备的BSSID，所述合法无线网络设备指纹库包括所有所述合法无线网络设备的BSSID，并且所述合法无线网络设备指纹库中不包括所述非法无线网络设备的BSSID ；
[0032]第三获取模块，用于获取面向用户的网络端口对应的介质访问控制MAC转发表，所述MAC转发表中包括所述网络端口连接的无线网络设备的MAC地址；
[0033]第一确定模块，用于根据所述非法无线网络设备的BSSID和所述MAC地址确定接入了所述网络端口的非法无线网络设备。
[0034]结合第二方面，在第一种可能的实现方式中，所述第一确定模块还用于检测所述MAC地址是否与所述非法无线网络设备的BSSID相同；
[0035]并用于当相同时，根据所述MAC地址，确定接入了所述网络端口的非法无线网络设备。
[0036]结合第二方面，在第二种可能的实现方式中，所述第一确定模块还用于根据最长匹配原则，利用比特位掩码，对所述非法无线网络设备的BSSID和所述MAC地址进行处理，并得到与所述非法无线网络设备的BSSID对应的处理结果，以及与所述MAC地址对应的处
理结果；
[0037]并用于检测与所述非法无线网络设备的BSSID对应的处理结果和与所述MAC地址对应的处理结果是否相同；
[0038]并用于当相同时，根据所述MAC地址，确定接入了所述网络端口的非法无线网络设备。
[0039]结合第二方面，在第三种可能的实现方式中，所述第一确定模块还用于利用相似度匹配算法，计算所述非法无线网络设备的BSSID和所述MAC地址的相似度；
[0040]并用于检测所述相似度是否大于等于预设阈值；
[0041]并用于当大于等于所述预设阈值时，根据所述MAC地址，确定接入了所述网络端口的非法无线网络设备。
[0042]结合第二方面的第一种至第三种可能的实现方式中任意一种可能的实现方式，在第四种可能的实现方式中，所述装置包括:
[0043]关闭模块，用于关闭连接有所述非法无线网络设备的所述网络端口。
[0044]结合第二方面或第二方面的第一种至第四种可能的实现方式中任意一种可能的实现方式，在第五种可能的实现方式中，所述装置还包括:
[0045]处理模块，用于获取掩码，并对所述非法无线网络设备的BSSID和所述掩码进行与操作处理，得到处理结果；
[0046]第二确定模块，用于将部分相同的所述处理结果对应的所述非法无线网络设备的BSSID确定为属于一个非法无线网络设备的BSSID ；
[0047]检测模块，用于检测属于所述一个非法无线网络设备的所有BSSID的数目是否大于等于2，当大于等于2时，保留所述一个非法无线网络设备的一个BSSID。
[0048]本发明实施例提供的一种监控网络设备的方法和装置，能够获取所述网络管理系统所管理的网络系统中的无线网络设备的BSSID(Basic Service Set Identifier，基本服务集标识)，利用合法无线网络设备指纹库，从获取的网络系统中的无线网络设备的BSSID中，确定非法无线网络设备的BSSID，获取面向用户的网络端口对应的介质访问控制MAC转发表，根据非法无线网络设备的BSSID，在网络端口对应的MAC转发表中，确定接入了网络端口的非法无线网络设备。与现有技术相比，本方案不依赖MAC转发表中MAC地址的具体个数来判定是否有非法无线网络设备接入网络。而是根据非法无线网络设备的BSSID和网络端口对应的MAC转发表，准确地确定连接有非法无线网络设备的网络端口和非法无线网络设备，在网络端口只连接有一个设备的情况下，也能够确定该网络端口连接的非法无线网络设备，从而提高了内部网络信息的安全性。
【专利附图】

【附图说明】
[0049]为了更清楚地说明本发明实施例中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它的附图。
[0050]图1a为本发明实施例提供的一种监控网络设备的方法的流程图；
[0051]图lb、图1c为本发明实施例提供的检测无线网络设备的BSSID的举例说明示意图；
[0052]图2a、图2b、图2c为本发明实施例提供的一种监控网络设备的方法的一种具体实现方式的流程图；
[0053]图3a、图3b、图3c为本发明实施例提供的一种监控网络设备的方法的另一种具体实现方式的流程图；
[0054]图4为本发明实施例提供的一种监控网络设备的装置的结构示意图；
[0055]图5为本发明实施例提供的一种监控网络设备的装置的一种具体实现方式的结构示意图；
[0056]图6为本发明实施例提供的一种监控网络设备的装置的另一种具体实现方式的结构示意图；
[0057]图7为本发明实施例提供的一种网络管理系统的结构示意图。
【具体实施方式】
[0058]下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。
[0059]本发明实施例提供的技术方案应用于监控网络设备，并能够检测网络中存在的非法无线网络设备。在实际应用中，网络中常常接有多种无线网络设备，如无线路由器、手机、平板电脑等，在网络中通过认证或登记过的无线网络设备为合法无线网络设备，而用户私自接入网络，没有经过认证或登记的无线网络设备为非法无线网络设备。本发明实施例中，网络管理系统获取网络系统中的无线网络设备的BSSID(Basic Service Set Identifier,基本服务集标识)，并利用合法无线网络设备指纹库，从网络系统中的网络设备的BSSID中，得到非法无线网络设备的BSSID，获取网络端口对应的MAC转发表，根据非法无线网络设备的BSSID，在网络端口对应的MAC转发表中，确定接入了网络端口的非法无线网络设备。
[0060]本发明实施例提供了一种监控网络设备的方法，如图1a所示，包括:
[0061]101，获取所述网络管理系统所管理的网络系统中的无线网络设备的基本服务集标识BSSID。
[0062]其中，网络管理系统可以利用空口检测来获取网络系统中的网络设备的BSSID，比如:如图1b所示，有线网络设置监控AP(Access Point，无线接入点)，监听网络中的无线网络设备，并解析无线网络设备的无线帧，检测无线网络设备的BSSID ;再比如:如图1c所示，由网络中现有的合法AP切换信道检测网络中的无线网络设备。检测到的无线网络设备的BSSID可以由瘦AP (FIT AP)上报给控制器，也可以由胖AP (FAT AP)直接在本地存储。网络管理系统获取无线网络设备的BSSID，可定时从控制器或FAT AP上获取无线网络设备的BSSID ;也可以在检测到无线网络设备时触发网络管理系统从控制器或FAT AP上获取无线网络设备的BSSID ;还可以由控制器或FAT AP通过UDP(User Datagram Protocol,用户数据包协议)等报文，将无线网络设备的BSSID上报给网络管理系统。网络管理系统获取无线网络设备的BSSID，可以生成无线网络设备的BSSID列表，便于网络管理系统查找。
[0063]其中，在多组基础型服务网络中，比如:网络中有两组基础型服务，一组供客户访问，另一组供内部使用，因此`，需要将已有的AP划分为多个VAP (Virtual Access Point,虚拟接入点)，各厂商对同一 AP分出的多个VAP的BSSID定义不同，但是都可以得到VAP的BSSIDo 比如:厂商 A 的 VAP BSSIDCBasic Service Set Identifier，BSSID)和有线口 MAC的关系:VAP BSSID=有线口 MAC+ (RadioID*16+WlanID_l)，保证 AP 有线口 MAC 地址最低 5比特为0，有线口 MAC地址为:00:04:03:02:01:00，那么射频O上的VAPO~15BSSID为00:04:03:02:01:00-00:04:03:02:01:0F，射频 I 上的射频 I 上的 VAPO ~15BSSID 为 00:04:03:02:01:10-00:04:03:02:01:1F。
[0064]其中，网络管理系统会定时获取网络端口对应的MAC转发表，相邻两次定时获取相隔的时长与MAC转化表老化时间保持一致。用户可以通过面向用户开放端口指定网络端口指定网络端口，获取这一个网络端口对应的MAC转发表；也可以由网络管理系统通过网络端口类型识别，获取选定的网络端口对应的MAC转发表。并将获取的MAC转发表中的MAC地址存入数据库。比如:如表一所示,数据库中可以包括MAC Address(MAC地址)、VLAN(Virtual Local Area Network,虚拟局域网)、VSI (Virtual Switch Interface,虚拟交换接口)、Learned-From (MAC地址获取位置)Type (地址类型)等信息。
[0065]
MAC AddressVLAN/VSILearned-FromType
0022-0022-0033 100/—GE1/0/0dynamic
【权利要求】
1.一种监控网络设备的方法，其特征在于，所述方法应用于网络管理系统，所述方法包括: 获取所述网络管理系统所管理的网络系统中的无线网络设备的基本服务集标识BSSID ； 利用合法无线网络设备指纹库，从获取的所述网络系统中的无线网络设备的BSSID中，确定非法无线网络设备的BSSID，所述合法无线网络设备指纹库包括所有所述合法无线网络设备的BSSID，并且所述合法无线网络设备指纹库中不包括所述非法无线网络设备的BSSID ； 获取面向用户的网络端口对应的介质访问控制MAC转发表，所述MAC转发表中包括所述网络端口连接的无线网络设备的MAC地址； 根据所述非法无线网络设备的BSSID和所述MAC地址确定接入了所述网络端口的非法无线网络设备。
2.根据权利要求1所述的监控网络设备的方法，其特征在于，所述根据所述非法无线网络设备的BSSID和所述MAC地址确定接入了所述网络端口的非法无线网络设备，包括: 检测所述MAC地址是否与所述非法无线网络设备的BSSID相同； 若相同，则根据所述MAC地址，确定接入了所述网络端口的非法无线网络设备。
3.根据权利要求1 所述的监控网络设备的方法，其特征在于，所述根据所述非法无线网络设备的BSSID和所述MAC地址确定接入了所述网络端口的非法无线网络设备，包括: 根据最长匹配原则，利用比特位掩码，对所述非法无线网络设备的BSSID和所述MAC地址进行处理，并得到与所述非法无线网络设备的BSSID对应的处理结果，以及与所述MAC地址对应的处理结果； 检测与所述非法无线网络设备的BSSID对应的处理结果和与所述MAC地址对应的处理结果是否相同； 若相同，则根据所述MAC地址，确定接入了所述网络端口的非法无线网络设备。
4.根据权利要求1所述的监控网络设备的方法，其特征在于，所述根据所述非法无线网络设备的BSSID和所述MAC地址确定接入了所述网络端口的非法无线网络设备，包括: 利用相似度匹配算法，计算所述非法无线网络设备的BSSID和所述MAC地址的相似度； 检测所述相似度是否大于等于预设阈值； 若大于等于所述预设阈值，则根据所述MAC地址，确定接入了所述网络端口的非法无线网络设备。
5.根据权利要求2-4中任意一项所述的监控网络设备的方法，其特征在于，在所述确定接入了所述网络端口的非法无线网络设备之后，包括: 关闭连接有所述非法无线网络设备的所述网络端口。
6.根据权利要求1-5中任意一项所述的监控网络设备的方法，其特征在于，在所述确定非法无线网络设备的BSSID之后，还包括: 获取掩码，并对所述非法无线网络设备的BSSID和所述掩码进行与操作处理，得到处理结果； 将部分相同的所述处理结果对应的所述非法无线网络设备的BSSID确定为属于一个非法无线网络设备的BSSID ； 检测属于所述一个非法无线网络设备的所有BSSID的数目是否大于等于2，若大于等于2，则保留所述一个非法无线网络设备的一个BSSID。
7.—种监控网络设备的装置，其特征在于，所述装置应用于网络管理系统，所述装置包括: 第一获取模块，用于获取所述网络管理系统所管理的网络系统中的无线网络设备的基本服务集标识BSSID ； 第二获取模块，用于利用合法无线网络设备指纹库，从获取的所述网络系统中的无线网络设备的BSSID中，确定所述非法无线网络设备的BSSID，所述合法无线网络设备指纹库包括所有所述合法无线网络设备的BSSID，并且所述合法无线网络设备指纹库中不包括所述非法无线网络设备的BSSID ； 第三获取模块，用于获取面向用户的网络端口对应的介质访问控制MAC转发表，所述MAC转发表中包括所述网络端口连接的无线网络设备的MAC地址； 第一确定模块，用于根据所述非法无线网络设备的BSSID和所述MAC地址确定接入了所述网络端口的非法无线网络设备。
8.根据权利要求7所述的监控网络设备的装置，其特征在于，所述第一确定模块还用于检测所述MAC地址 是否与所述非法无线网络设备的BSSID相同； 并用于当相同时，根据所述MAC地址，确定接入了所述网络端口的非法无线网络设备。
9.根据权利要求7所述的监控网络设备的装置，其特征在于，所述第一确定模块还用于根据最长匹配原则，利用比特位掩码，对所述非法无线网络设备的BSSID和所述MAC地址进行处理，并得到与所述非法无线网络设备的BSSID对应的处理结果，以及与所述MAC地址对应的处理结果； 并用于检测与所述非法无线网络设备的BSSID对应的处理结果和与所述MAC地址对应的处理结果是否相同； 并用于当相同时，根据所述MAC地址，确定接入了所述网络端口的非法无线网络设备。
10.根据权利要求7所述的监控网络设备的装置，其特征在于，所述第一确定模块还用于利用相似度匹配算法，计算所述非法无线网络设备的BSSID和所述MAC地址的相似度； 并用于检测所述相似度是否大于等于预设阈值； 并用于当大于等于所述预设阈值时，根据所述MAC地址，确定接入了所述网络端口的非法无线网络设备。
11.根据权利要求8-10中任意一项所述的监控网络设备的装置，其特征在于，所述装置包括: 关闭模块，用于关闭连接有所述非法无线网络设备的所述网络端口。
12.根据权利要求7-11中任意一项所述的监控网络设备的装置，其特征在于，所述装置还包括: 处理模块，用于获取掩码，并对所述非法无线网络设备的BSSID和所述掩码进行与操作处理，得到处理结果； 第二确定模块，用于将部分相同的所述处理结果对应的所述非法无线网络设备的BSSID确定为属于一个非法无线网络设备的BSSID ；检测模块，用于检测属于所述一个非法无线网络设备的所有BSSID的数目是否大于等于2，当大于等于2时，保留所述一个非法无线网络设备的一个BSSID。
【文档编号】H04L12/24GK103780430SQ201410026422
【公开日】2014年5月7日 申请日期:2014年1月20日 优先权日:2014年1月20日
【发明者】季平 申请人:华为技术有限公司