一种网络接入检测方法及设备与流程

本发明涉及网络通信检测领域，尤其是涉及一种网络接入检测方法及设备。

背景技术：

OSI(Open-System-Interconnection，开放式系统互联)模型定义了不同计算机互联的标准，OSI模型把网络通信的工作分为7层，由低到高分别为物理层、链路层、网络层、传输层、会话层、表示层和应用层。发送数据时，应用层用于提供软件程序网络服务，如FTP、HTTP、SMTP、POP3、IMAP等协议提供文件传输服务；表示层用于确定通信双方的协议报文的压缩格式及密钥等信息；会话层用于确保端对端的连接、维持、恢复；传输层用于选择TCP/IP、UDP等传输协议；网络层用于增加IP信息，如数据包IP头、校验信息；链路层用于增加MAC信息，如数据帧的帧头、校验信息等；物理层用于将数据帧转换为比特流或转换为电磁波在有线或无线网络中传输。接收数据时，则与上述发送数据过程相反。

出于安全性和网络完整性的要求，专用网络需要第一时间获取到接入网络中的设备，即专用网络需要动态感知新设备的接入；目前主要的技术手段是通过设备主动注册的方式，将自身的信息上报给该设备的上层网络节点设备，但对于攻击者而言，很有可能在注册过程中，或更早的“握手”过程中已经对网络里的设备进行了攻击，这些攻击有能力使专用网络对该设备进入无感知，专用网络的网络安全和设备安全得不到保护。

技术实现要素：

本发明的目的之一是提供一种网络接入检测方法，以解决现有技术中专用网络感知能力滞后引起的感知失效的问题。

在一些说明性实施例中，所述网络接入检测方法，包括：接收网络侧数据；判断所述数据的通信结构是否为第一通信结构；若否，则判定本设备所处的传输网络中存在外来设备接入。

在一些说明性实施例中，所述判断所述数据的通信结构是否为第一通信结构，具体包括：无法识别所述数据，则判定该数据的通信结构非本设备所支持的第一通信结构。

在一些说明性实施例中，所述无法识别所述数据，具体包括：无法解析出所述数据中的数据内容。

在一些说明性实施例中，在所述判定该数据的通信结构非本设备所支持的第一通信结构之后，还包括：获取所述数据的源地址信息。

在一些说明性实施例中，在所述获取数据的源地址信息之后，还包括：根据所述数据的源地址信息，对所述数据的发送设备进行以下之一或任意组合的操作：设备定位、行为分析、行为预测、行为管理。

在一些说明性实施例中，所述数据为第一数据；在所述获取所述数据的源地址信息之后，还包括：将判定结果信息和所述数据的源地址信息以第一通信结构的第二数据上报至本设备的上层设备。

在一些说明性实施例中，所述获取所述数据的源地址信息，具体包括：将本设备的地址信息作为所述数据的源地址信息；或者，将本设备上/下层节点设备的地址信息作为所述数据的源地址信息。

在一些说明性实施例中，所述获取所述数据的源地址信息，具体包括：通过解析所述数据的特定字段，获取所述数据的源地址信息。

在一些说明性实施例中，所述数据为以下之一的表现形式：协议报文、数据包、数据帧、比特流。

本发明的另一个目的在于提供一种网络接入检测设备。

在一些说明性实施例中，所述网络接入检测设备，包括：接收模块，用于接收网络侧数据；解析模块，用于判断所述数据的通信结构是否为第一通信结构；若否，则判定本设备所处的传输网络中存在外来设备接入。

本发明的再一个目的在于提供一种服务器，所述服务器具有上述的网络接入检测设备。

本发明的再一个目的在于提供一种网络中间设备，所述网络中间设备具有上述网络接入检测设备。

本发明的再一个目的在于提供一种终端设备，所述终端设备具有上述网络接入检测设备。

与现有技术相比本发明中的说明性实施例至少具有以下优点：本发明利用“通信结构”本身进行条件判定，实现了在“握手”操作之前的对外来设备的接入的检测，达到了专用网络不会产生任何安全风险的前提下对外来设备的检测。并且通过改造通信结构，使专用网络设备无法识别外来设备的数据流，也就使外来设备发送的数据流不会对专用网络设备产生任何影响；同时，外来设备监听到专用网络内的数据时，其同样也无法识别，也就使外来设备上不会存有专用网络的数据流。上述机制使专用网络无失泄密风险，及被外来设备攻击的风险，保障了专用网络的网络安全及设备安全。

附图说明

此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：

图1是按照本发明的说明性实施例的流程图；

图2是按照本发明的说明性实施例的流程图；

图3是按照本发明的说明性实施例的流程图；

图4是按照本发明的说明性实施例的流程图；

图5是按照本发明的说明性实施例的网络结构示意图；

图6是按照本发明的说明性实施例的流程图；

图7是按照本发明的说明性实施例的网络拓扑结构图；

图8是按照本发明的说明性实施例的结构框图。

具体实施方式

在以下详细描述中，提出大量特定细节，以便于提供对本发明的透彻理解。但是，本领域的技术人员会理解，即使没有这些特定细节也可实施本发明。在其它情况下，没有详细描述众所周知的方法、过程、组件和电路，以免影响对本发明的理解。

为了可以更快的理解本发明的主要思想，因此在阐述本发明的说明性实施例之前，对本发明的主要思想进行简要说明：

由于网络设备在网络中传输数据之前，通信双方需要通过“握手”操作建立传输的链路，其在“握手”的过程中就需要交互一些信息数据，但攻击者很有可能利用交互的信息数据已经完成了其对目标设备的攻击，因此需要在新设备入网的“握手”操作之前就需要感知到新设备的接入。

本发明通过改造专用网络的通信结构(即后续第一通信结构)，使专用网络内的认证设备无法真正识别标准网络通信结构的数据，从而无法顺利的通过OIS七层网络模型，并利用模型的“无法识别即丢弃”的特性，检测外来设备的接入；同时，外来设备通过物理网线监听到网络中的数据流，但其无法识别，同样也会将该数据流丢弃，使外来设备无法在专用网络中形成攻击，也无法获取到数据信息。

现在参照图1，图1示出了本发明的一种网络接入检测方法的流程图，如该流程图所示，一种网络接入检测方法，包括：

步骤S11、接收网络侧数据；其中，上述过程中的“接收”包括：接收、捕获、监听等获取数据流的方式；

步骤S12、判断所述数据的通信结构是否为第一通信结构；

步骤S13、若所述数据的通信结构非第一通信结构，则判定本设备所处的传输网络中存在外来设备接入；

步骤S14、若所述数据的通信结构为第一通信结构，则解析所述数据的目标地址是否为本设备；若是，则继续进行后续解析等处理；若否，则丢弃该数据。

本发明利用“通信结构”本身进行条件判定，实现了在“握手”操作之前的对外来设备的接入的检测，达到了专用网络不会产生任何安全风险的前提下对外来设备的检测。并且通过改造通信结构，使专用网络设备无法识别外来设备的数据流，也就使外来设备发送的数据流不会对专用网络设备产生任何影响；同时，外来设备监听到专用网络内的数据时，其同样也无法识别，也就使外来设备上不会存有专用网络的数据流。上述机制使专用网络无失泄密风险，及被外来设备攻击的风险，保障了专用网络的网络安全及设备安全。

在一些说明性实施例中，所述判断所述数据的通信结构是否为第一通信结构，具体包括：无法识别所述数据，则判定该数据的通信结构非本设备所支持的第一通信结构。

在一些说明性实施例中，所述无法识别所述数据，具体包括：无法解析出所述数据中的数据内容。

在一些说明性实施例中，对于数据包、数据帧而言，分为有条件可识别字段和无条件可识别字段；其中，无条件可识别字段是指无需任何条件、在任何情况下均可识别的字段，例如IP头、MAC头等信息字段；而有条件可识别字段是指在特定条件、特定情况下才可识别的字段，例如数据内容。其中，特定条件、特定情况可以通过硬件产生，例如网卡或网卡上的某芯片。

在一些说明性实施例中，所述无法解析出所述数据中的数据内容，具体是指无法解析出所述数据中的有条件可识别字段。

在一些说明性实施例中，在所述判定该数据的通信结构非本设备所支持的第一通信结构之后，还包括：获取所述数据的源地址信息；该源地址信息用于对所述数据的发送设备进行定位、以及后续分析管理操作。

在一些说明性实施例中，在所述获取数据的源地址信息之后，还包括：根据所述数据的源地址信息，对所述数据的发送设备进行以下之一或任意组合的操作：设备定位、行为分析、行为预测、行为管理。

在一些说明性实施例中，所述数据为第一数据；在所述获取所述数据的源地址信息之后，还包括：将判定结果信息和所述数据的源地址信息以第一通信结构的第二数据上报至本设备的上层设备。

在一些说明性实施例中，所述获取所述数据的源地址信息，具体包括：将本设备的地址信息作为所述数据的源地址信息；或者，将本设备上/下层节点设备的地址信息作为所述数据的源地址信息。

在一些说明性实施例中，所述获取所述数据的源地址信息，具体包括：通过解析所述数据的特定字段，获取所述数据的源地址信息。其中，所述数据的特定字段是指无条件可识别字段。

本发明在保障专用网络安全的前提下，可及时发现、定位、管理外来设备及专用网络。

现在参照图2，图2示出了本发明的一种网络接入检测方法的流程图，如该流程图所示，公开了一种网络接入检测方法，用于专用网络的底层或中间节点设备，包括：

步骤S21、接收传输网络中的第一数据；

步骤S22、判断所述第一数据的通信结构是否为第一通信结构；

步骤S23、若所述第一数据的通信结构非第一通信结构，则判定本设备所处的传输网络中存在外来设备接入；

步骤S24、将判定结果以第一通信结构的第二数据上报至本设备的上层节点设备。

其中，本发明中所谓“第一”和“第二”仅仅作为区别作用，没有限定本发明中的任何技术特征。

在一些说明性实施例中，所述判断所述数据的通信结构是否为第一通信结构，具体包括：无法识别所述数据，则判定该数据的通信结构非本设备所支持的第一通信结构。

在一些说明性实施例中，所述无法识别所述数据，具体包括：无法解析出所述数据中的数据内容。

在一些说明性实施例中，步骤S23中还包括：获取所述第一数据的源地址信息；其中，所述第一数据的源地址信息是指所述第一数据中包含的该数据的源发送设备的地址信息，或者是本设备的地址信息。

在一些说明性实施例中，对于数据包、数据帧而言，分为有条件可识别字段和无条件可识别字段；其中，无条件可识别字段是指无需任何条件、在任何情况下均可识别的字段，例如IP头、MAC头等信息字段；而有条件可识别字段是指在特定条件、特定情况下才可识别的字段，例如数据内容。其中，特定条件、特定情况可以通过硬件产生，例如网卡或网卡上的某芯片。

在一些说明性实施例中，所述无法解析出所述数据中的数据内容，具体是指无法解析出所述数据中的有条件可识别字段。

在一些说明性实施例中，所述获取所述数据的源地址信息，具体包括：将本设备的地址信息作为所述数据的源地址信息；或者，将本设备上/下层节点设备的地址信息作为所述数据的源地址信息。

在一些说明性实施例中，所述获取所述数据的源地址信息，具体包括：通过解析所述数据的特定字段，获取所述数据的源地址信息。其中，所述数据的特定字段是指无条件可识别字段。

在一些说明性实施例中，步骤S24中的判定结果中还包含：所述第一数据的源地址信息。

本发明的上述实施例适用于与外来设备直连的底层节点或中间节点设备，通过上述实施例可第一时间发现外来设备的接入，同时上报给专用网络设备的管理/控制服务器。

现在参照图3，图3示出了本发明的一种网络接入检测方法的流程图，如该流程图所示，公开了一种网络接入检测方法，用于中间节点设备，包括：

步骤S31、接收包含有所述判定结果的第二数据；

步骤S32、根据所述第二数据中的目标地址，转发所述第二数据；直至上报至管理/控制服务器。

本发明的上述实施例适用于作为与外来设备直连的底层节点或中间节点设备的上层节点设备，用于转发上报的判定结果。

现在参照图4，图4示出了本发明的一种网络接入检测方法的流程图，如该流程图所示，公开了一种网络接入检测方法，用于管理/控制服务器，包括：

步骤S41、接收传输网络中的第一数据；

步骤S42、判断所述第一数据的通信结构是否为第一通信结构；

步骤S43、若所述第一数据的通信结构非第一通信结构，则判定本设备所处的传输网络中存在外来设备接入；

步骤S44、获取所述第一数据的源地址信息，并利用所述第一数据的源地址信息对所述第一数据的发送设备进行设备定位或范围定位；

在一些说明性实施例中，所述获取所述数据的源地址信息，具体包括：通过解析所述数据的特定字段，获取所述数据的源地址信息。其中，所述数据的特定字段是指无条件可识别字段。

步骤S45、根据所述定位结果对定位的设备行为管理、控制，向该设备发送具有控制指令的第二数据。

现在参照图5，图5示出了本发明的一种接入检测方法的具体实施例，该实施例的流程图如图6所示，公开了一种网络接入检测方法，适用于具有包含有管理/控制服务器、路由器、交换机、终端设备的专用网络，并且外来设备已通过网线物理连入该专用网络，此时外来设备与路由器B之间的物理链路是通的，方法包括：

步骤S501、外来设备通过网线向服务器发送包含链接请求的第一数据流；

步骤S502、与外来设备直连的路由器B首先接收到第一数据流，在对第一数据流进行解析，以便分析第一数据流的目标设备的过程中，由于外来设备的数据流非第一通信结构，路由器B无法识别第一数据流，判定本专用网络存在外来设备接入；

步骤S503、路由器B获取第一数据流的源地址信息，将判定结果和第一数据流的源地址信息以第一通信结构的第二数据流上报服务器；

其中，路由器B可以利用第一数据流中含有的源地址信息或者自身的地址信息作为第一数据流的发送设备的源地址；

优选地，路由器B可以通过在无法通过解析第一数据流获得源地址信息的情况下，将路由器B自身的地址信息作为第一数据流的源地址信息。

优选地，路由器还可以在解析第一数据流获得源地址信息后，将解析出的源地址信息与其路由表中的设备地址信息进行匹配；若匹配成功，则将路由器B自身的地址信息作为第一数据流的源地址信息；该方法可有效的避免由于外来设备伪造地址信息，例如IP、MAC信息等，使定位失效。

步骤S504、服务器接收到路由器B上报的第二数据流后，通过正常解析获取到其中的判定结果和地址信息，更新维护网络拓扑结构(如图7所示)，同时在网络拓扑结构中显示外来设备接入位置，例如具体设备地址、网段等。

步骤S505、服务器通过定位对外来设备进行控制管理，例如：控制路由器B断电关闭；又例如：通过路由器B向路由器B下的网段内广播无用数据流，占据该网段的传输带宽。

现在参照图8，图8示出了本发明的一种网络接入检测设备的结构框图，如该结构框图所示，公开了一种网络接入检测设备100，包括：接收网络侧数据的接收模块101；判断所述数据的通信结构是否为第一通信结构；若否，则判定本设备所处的传输网络中存在外来设备接入的解析模块102。

在一些说明性实施例中，所述解析模块102中包括：在无法识别所述数据时，判定该数据的通信结构非本设备所支持的第一通信结构的解析子模块1021。

在一些说明性实施例中，所述无法识别所述数据是指无法解析出所述数据中的数据内容。

在一些说明性实施例中，所述网络接入检测设备100，还包括：获取所述数据的源地址信息的地址获取模块103。

在一些说明性实施例中，所述网络接入检测设备100，还包括：根据所述数据的源地址信息，对所述数据的发送设备进行以下之一或任意组合的操作的管理模块104；其中，操作内容包括：设备定位、行为分析、行为预测、行为管理。

在一些说明性实施例中，所述数据为第一数据。

在一些说明性实施例中，所述网络接入检测设备100，还包括：将判定结果信息和所述数据的源地址信息以第一通信结构的第二数据上报至本设备的上层设备的发送模块105。

在一些说明性实施例中，所述地址获取模块103,包括：将本设备的地址信息作为所述数据的源地址信息的第一地址获取子模块1031；将本设备上/下层节点设备的地址信息作为所述数据的源地址信息的第二地址获取子模块1032。

在一些说明性实施例中，所述地址获取模块103，包括：通过解析所述数据的特定字段，获取所述数据的源地址信息的第三地址获取子模块1033。

在一些说明性实施例中，所述数据为以下之一的表现形式：协议报文、数据包、数据帧、比特流。

在一些说明性实施例中，本发明还公开了一种服务器，该服务器具有所述网络接入检测设备100的一个或多个功能模块。

在一些说明性实施例中，本发明还公开了一种网络中间设备，该网络中间设备具有所述网络接入检测设备100的一个或多个功能模块。

在一些说明性实施例中，本发明还公开了一种终端设备，该终端设备具有所述网络接入检测设备100的一个或多个功能模块。

以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。