专利名称:一种网络监控方法、装置和系统的制作方法
技术领域:
本发明涉及通信技术,特别地涉及一种网络监控技术。
技术背景IEEE802.1x是美国电气电子工程师学会(Institute of Electrical and Electronic Engineers, IEEE)802委员会制定的局域网(Local Area Network, LAN) 标准中的一个。对于部署了 802.1x认证的LAN,当用户终端设备(例如电脑) 接入到LAN中时,需要通过802.1x认证,未经过认证的用户将无法接入到LAN 中。认证的过程由安装了认证客户端软件的用户终端设备和网络中的交换机、 认证服务器共同完成。集线器(Hub)是一个多端口的信号放大设备,工作中当一个端口接收到 数据信号时,由于信号在传输过程中已有了衰减,所以集线器便将该信号进行 整形放大,转发到其它所有处于工作状态的端口上。从集线器的工作方式可以 看出,它在网络中只起到信号放大和重发作用,其目的是扩大网络的传输范围, 而不具备信号的定向传送能力,是一个标准的共享式设备。于是,与同一集线 器相连接的任何设备,都可以捕捉在集线器上传递的任何信息包。网卡也叫"网络适配器",是局域网中最基本的部件之一,它是连接计算 机与网络的硬件设备。无论是双绞线连接、同轴电缆连接还是光纤连接,都必 须借助于网卡才能实现数据的通信。网卡的主要工作原理是整理计算机上发往 网线上的数据,并将数据分解为适当大小的数据包之后向网络发送。对于网卡 而言,每块网卡都有一个唯一的介质访问控制(MediaAccess Control, MAC) 地址,是用于识别LAN中各个节点的标识,由网卡生产厂家在生产过程中固 化在网卡中,具有全球唯一性。在LAN中,它是用户身份的重要标志之一。在普通局域网中,只要用户终端设备接入网络,不需经过认证和授权即可
直接从网络获取信息。这种方式不利于网络信息的安全,于是人们采取网络认 证方式对访问网络的用户的合法性进行确认,以此提高网络信息的安全性。现有网络认证采用基于端口的网络存取控制,为局域网用户提供点对点式 的安全接入。如图l所示,安装有认证客户端软件的终端设备提交认证信息给 交换机,交换机将相关认证信息转交给认证服务器进行确认。如果认证通过, 交换机将相关的端口打开,这时候交换机将学习到该终端设备的IP地址和MAC地址,并将其同接入的相应端口 (PORT)进行绑定,形成一个三元组 IP+MAC+PORT,并允许满足该三元组的报文进入端口 。也就是说只有具备该 三元组的终端设备才能够获准接入LAN,并访问相关的网络资源。这种提交了 认证信息并获得通过的终端设备称作合法终端设备,反之那些未执行或未通过 认证的终端设备称作非法终端设备。根据现有网络认证方式,如果某个终端设备在认证成功后另有一非法终端 设备与其使用同 一交换机端口 ,并且非法终端设备使用与合法终端设备相同的 IP和MAC地址,那么该非法终端设备也能够访问相关的网络资源。传统的解 决方案一般基于检测非法终端设备的特征来实现,比如说通过检测网络中是否 有不同终端设备存在同样的IP和MAC,来判断网络中是否存在非法终端设备, 但这类方法容易被非法终端设备通过一些过滤机制过滤掉,从而避过检测。发明内容本发明的目的是给出一种网络监控方法、系统和装置,可以检测出网络中 是否接入了非法终端设备。本发明实施例提供一种网络监控方法,包括接收经过认证的终端设备上报的发送流量和地址信息,所述发送流量为终 端设备发送给交换机端口的数据流量;统计交换机端口从具有所述地址信息的终端设备接收到的数据的接收流量;
根据所述发送流量和所述接收流量之间的差值,确认是否有非法终端设备 接入到网络中。所述非法终端设备接入到网络的方法包括所述非法终端设备仿冒经过认 证的终端设备的地址信息并通过被仿冒终端设备所连接的交换机端口接入网 络。所述地址信息包括经过认证的终端设备的MAC地址。所述终端设备上报发送流量的方法包括所述终端设备每间隔设定时间上 报所述发送流量和地址信息。当所述差值超过设定阈值时,确认有所述非法终端设备接入到网络中,和 /或当设定数目个连续的差值递增时,确认有所述非法终端设备接入到网络中。本发明实施例给出一种网络客户端,包括发送流量统计单元,用于统计网络中经过认证的终端设备发送给交换^L端 口的数据发送流量;提交单元,从所述发送流量统计单元获取发送流量的统计结果,并提交所 述发送流量和所述终端设备的地址信息。所述的网络客户端,还包括-.计时器,用于根据设定时间间隔向所述提交单元输出控制信号,所述提交 单元根据控制信号从发送流量统计单元获取统计结果并提交所述发送流量和 地址信息。所述地址信息包括所述终端设备的MAC地址。所述网络客户端可以集成在网络认证客户端软件中,终端设备在通过认证 之后,激活所述的客户端。所述网络客户端也可以是独立的装置,设置在终端设备上,终端设备在通 过网络认证之后,激活所述的客户端。本发明实施例给出一种网络监控设备,包括信息接收单元,用于接收经过认证的终端设备上报的发送流量和地址信 息,所述发送流量为终端设备发送给交换机端口的数据流量;接收流量统计单元,用于统计交换机端口/人具有所述地址信息的终端设备接收到的数据的接收流量;监控单元,用于才艮据所述信息接收单元接收的发送流量和接收流量统计单元统计的接收流量之间的差值,确认是否有非法终端设备接入到网络中。 所述地址信息包括经过认证的终端设备的MAC地址。 所述网络监控设备可以设置在交换机内部,也可以是独立的网元。 所述信息接收单元用于在每次接收到提交信息时,触发所述接收流量统计单元向监控单元输出统计的接收流量;所述监控单元用于根据所述信息接收单元每次收到的所述发送流量和接收流量统计单元输出的所述接收流量,计算所述发送流量和接收流量之间的差值。所述监控单元当所述差值超过设定阈值时,确认有非法终端设备接入到网 络中,和/或当所述监控单元当设定数目个连续的差值递增时,确认有非法终端 设备接入到网络中。本发明实施例给出一种网络监控系统,包括客户端,设置在网络终端设备上,用于统计终端设备发送给交换机端口的 数据的发送流量,并将所述发送流量和终端设备地址信息提交给网络监控设备;网络监控设备,用于接收终端设备提交的所述发送流量和所述地址信息, 并统计交换机端口 >^人具有所述地址信息的终端设备接收到的数据的接收流量, 根据所述发送流量和所述接收流量之间的差值,确认是否有非法终端设备接入 到网络中。所述地址信息包括经过认证的终端设备的MAC地址。 所述客户端用于每间隔设定时间向所述网络监控设备提交信息,所述网络 监控设备用于当所述差值超过设定阈值和/或当设定数目个连续的差值递增时,
确认有非法终端设备接入到网络中。所述网络监控设备可以设置在交换机内部,也可以是独立的网元;所述网 络客户端集成在网络认证客户端软件中或者是独立的装置。当网络中存在冒用合法终端设备地址信息的非法接入终端设备时,具有相 同地址信息的所有终端设备向交换机端口的数据发送量要大于其中的合法终 端设备的数据发送量,本发明实施例中给出的方法能够及时发现这种数据量不 对等的现象,提醒网络管理员采取相关措施消除这种现象及其带来的后果。
图1为合法客户端的网络认证过程示意图;图2为非法客户端使用合法客户端的IP和MAC进入网络的示意图; 图3为本发明实施例一中所述的局域网监控方法的流程示意图; 图4为本发明实施例二中所述的局域网监控方法的流程示意图; 图5为本发明实施例三中所述的局域网监控方法的流程示意图; 图6为本发明实施例所述的一种网络监控系统主要结构示意图; 图7为本发明实施例所述另 一种网络监控系统主要结构示意图。
具体实施方式
在目前的局域网认证方式下,允许满足IP+MAC+PORT的报文进入端口 , 也就是说符合了这个三元组条件的终端设备就能够获准接入局域网。上述方式 存在的不足之处是,如果某个终端设备在认证成功后另有一非法终端设备与其 使用同一交换机端口,并且非法终端设备使用与合法终端设备相同的IP和 MAC地址,那么该非法终端设备也能够访问相关的网络资源。如图2所示,当接入终端设备PC—a使用认证客户端软件发出认证请求时 (步骤S201),交换机转发相应信息,并提交认证服务器确认,如果通过认证, 交换机就打开相应PORT,允许满足(IP+MAC+PORT )的报文通过(步骤S202 )。
此时如果有另一接入终端设备PC一b与PC—a连在相同的HUB上,并且使用 PC—a的IP地址和MAC地址,那么PC—b也可以满足三元组(IP, MAC, PORT), 因此PC—b此时不需要经过认证便能够访问网络资源(步骤S203 )。这样,网 络中就存在了仿冒IP地址和MAC地址的非法终端i殳备PC—b。上述问题是802.1x认证固有的, 一旦IP和MAC地址被非法终端设备使 用,标准的802.1x认证无法发现非法终端设备。本发明实施例利用比较发送流量和接收流量来解决上述问题,下面以具体 实施例并结合附图详细说明。实施例一对于某一终端设备及其对应的交换机端口 ,结合图3所示的流程图详细说明局域网监控方法的具体操作步骤,包括步骤S301,某一终端设备通过认证,接入交换机的端口,客户端被激活; 步骤S302,所述客户端中的发送流量统计单元开始统计所在终端设备的数据发送流量;步骤S303,局域网监控系统中的接收流量统计单元开始按照不同的MAC 地址分别统计端口从具有该MAC地址的终端设备接收的数据的接收流量;步骤S304,每间隔T时间,终端设备的客户端将终端设备地址信息和统 计所得的数据发送流量提交给信息接收单元,信息接收单元触发接收流量统计 单元向监控单元输出统计的接收流量和对应的MAC地址,并把收到的数据发 送流量传输给监控单元,监控单元确认根据客户端提交的地址信息中包含的 MAC地址,将数据发送流量和对应的接收流量进行比较,得出两者的差值;步骤S305,如果已经有了 n个差值d, C2, ..., Cn,则进行步骤S306, 如果不足n个差值,返回步骤S304;步骤S306,对于n个差值Q, C2, Cn,判断差值是否持续递增,即 满足d《C2《…《Cn,如果是则判定局域网中存在非法接入终端设备,反之则 判定局域网中不存在非法接入终端设备;
步骤S307,检查终端设备是否与交换机断开,若否,则将差值数量和记录 的差值清零,返回步骤S304,若是,则结束流程。局域网监控系统也可以不对记录的差值进行清零,而是保留最近的n个差 值,并在差值数量第一次达到n-l个之后,每得到一个差值即进行一次判断。在步骤S304中,终端设备的客户端可以每次间隔不等的时间向信息接收 单元提交终端设备地址信息和统计所得的数据,间隔的具体时间由网络管理员 根据网络的运行状态设定,本发明实施例不加限定。通过步骤S301至步骤S307的实施,网络管理员能够及时得知局域网中是 否存在非法终端设备接入。上述步骤中的参数T和n由网络管理员根据网络的 运行状态设定,本发明实施例不加限定。步骤S302和步骤S303中的流量统计自步骤S301之后同时开始并持续进 行。因为在流量统计时,由于误差的关系,即使不存在非法接入终端设备,步 骤S304中得出的差值也有可能存在,而且是呈正负值波动的,所以引入了步 骤S305和步骤S306,以消除统计误差带来的影响。若存在非法接入终端设备,那么交换机端口收到的数据量会大于所连接的 合法终端设备的数据发送量,并随着时间的推移,由于非法接入终端设备发送 数据量的积累,步骤S304中得出的差值会持续增大,于是就能判断出非法接 入终端设备的存在。实施例二与实施例一类似,不同之处是在监控单元比较流量之后,考虑到非法终端 设备接入时可能导致的流量突增,因此可以在每一次得到一个差值后先判断差 值是否大于设定的阈值,以此来判定网络中是否存在非法接入终端设备,如图 4所示的步骤S403和S404,其它步骤这里不再赘述。设定阈值可以由网络管理员根据网络运行的经验数据设定,该阈值应该大 于因统计误差带来的最大差值,以防止在网络中不存在非法接入终端设备的情 况下发生误判。
若存在非法接入终端设备,那么交换机端口收到的数据量会大于所连接的 合法终端设备的数据发送量,如果该数据发送量的差值较大,以至于超出了设 定的阈值,那么可以认定这不是由于统计误差,而是由于非法接入终端设备也 在向交换机端口发送数据,从而判定非法接入终端设备的存在。实施例三把实施例一和实施例二中的方法相结合,如图5所示,在监控单元完成一次比较之后,即考察差值是否大于设定的阈值,并在差值达到n个后,再考察 n个差值是否递增。本发明实施例是以局域网为例详细说明了本发明提供的技术方案,本领域 技术人员根据本发明实施例公开的内容,可以将本发明提供的技术方案应用到 采用和802.lx类似的认证机制的其它网络中,这里不再——举例说明。如图6和图7所示,本实施例还提供一种网络监控设备,包括网络监控 设备608和一个或多个客户端,其中如图6所示,网络监控设备608为独立的网元,也可以设置在交换机内部, 如图7所示,网络监控设备701设置在交换机702中。如图6所示,客户端例如1#客户端606和2#客户端607, 1#客户端606 和2#客户端607的内部结构相同,分别设置在1#终端设备604和2#终端设备 605上,终端设备在通过网络认证之后,激活设置在其上的客户端。下面以图6中的1#终端设备604侧的1#客户端606为例详细说明客户端 的一种具体结构,包括发送流量统计单元609,用于统计网络终端设备向网络监控设备的数据发 送流量;提交单元610,用于向网络监控设备提交统计结果和地址信息。客户端中可以包括计时器615,用于按照设定的时间间隔发出控制信号,控制提交单元610间隔相等的时间向网络监控设备提交统计结果和地址信息;时间间隔也可由网络管理员根据网络运行状况加以设定。 1#终端设备604在通过网络认证之后,激活1#客户端606,发送流量统计 单元609和^是交单元610开始工作。还以图6中的网络监控设备608为例,详细说明网络监控设备的一种具体 结构,包括接收流量统计单元611、监控单元612和信息接收单元613,其中信息接收单元613,用于接收来自于1#终端设备604的地址信息和发送流 量,具体来说是由1#客户端606中的提交单元提交地址信息和发送流量。所述 地址信息包括1#终端设备604的MAC地址,发送流量是发送流量统计单元609 给出的1#终端设备向交换机601的1#端口 602所发送数据的发送流量。接收流量统计单元611,用于按各个MAC地址统计交换机端口从终端i殳 备接收到的数据的接收流量。具体来说,就是把具有相同MAC地址的终端设 备的发送流量统计在一起。在本例中涉及了非法接入终端设备614,它冒用1#终端设备604的MAC 地址,也就是说非法接入终端设备614和1#终端设备604的MAC地址都是 MAC1,这样,接收流量统计单元611在按地址MAC1统计时,将从1#终端设 备604的发送流量和非法接入终端设备614的发送流量统计在一起。另 一方面, 如前所述,信息接收单元接收到的是提交单元提交的1#终端设备604的发送流 量,于是信息接收单元613中的发送流量和接收流量统计单元611中的接收流 量存在差值,这个差值是由于存在非法接入终端设备614所致。监控单元612能够4企测到差值,进而确认网络中存在仿冒1#终端设备604 的非法接入终端设备614。具体的检测方法包括前文中的实施例一、实施例二 和实施例三*合出的方法。作为对比,考察2#终端设备605,它与1#终端设备有类似的结构,同样设 置有结构和功能相同的客户端,即图中的2#客户端607。网络监控系统在工作 时,接收流量统计单元611按MAC地址MAC2统计,得到的是2#终端设备 605向交换机601的2#端口 603的发送流量,和信息接收单元613中接收的发
送流量仅存在因统计误差带来的差值。使用包括前文中的实施例一、实施例二 或实施例三给出的方法,能够消除统计误差带来的影响,也就是说此时虽然存 在所述的差值,但监控单元不会因此判定网络中存在非法接入终端设备。本发明的有益结果是,在网络中设置了有效的监视手段,能够及时发现网 络终端设备冒用其他终端设备进入交换机端口的现象,提醒网络管理员采取相 关措施消除这种现象及其带来的后果。显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发 明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及 其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
权利要求
1、一种网络监控方法,其特征在于,包括接收经过认证的终端设备上报的发送流量和地址信息,所述发送流量为终端设备发送给交换机端口的数据流量;统计交换机端口从具有所述地址信息的终端设备接收到的数据的接收流量;根据所述发送流量和所述接收流量之间的差值,确认是否有非法终端设备接入到网络中。
2、 如权利要求l所述的方法,其特征在于,所述非法终端设备接入到网 络的方法包括所述非法终端设备仿冒经过认证的终端设备的地址信息并通 过被仿冒终端设备所连接的交换机端口接入网络。
3、 如权利要求l所述的方法,其特征在于,所述地址信息包括经过认 证的终端设备的MAC地址。
4、 如权利要求l所述的方法,其特征在于,所述终端设备上报发送流量和地址信息包括所述终端i殳备每间隔设定时间上^l所述发送流量和地址信 自
5、 如权利要求1或4所述的方法,其特征在于当所述差值超过设定阈值时,确认有所述非法终端设备接入到网络中。
6、 如权利要求4所述的方法,其特征在于每一次接收上报的发送流量时,根据对应的接收流量获得一个差值,并 当设定数目个连续的差值递增时,确认有所述非法终端设备接入到网络中。
7、 一种网络客户端,其特征在于,包括发送流量统计单元,用于统计网络中经过认证的终端设备发送给交换机 端口的数据发送流量;提交单元,从所述发送流量统计单元获取发送流量的统计结果,并提交 所述发送流量和所述终端i殳备的地址信息。
8、 如权利要求7所述的网络客户端,其特征在于,还包括计时器,用于根据设定时间间隔向所述提交单元输出控制信号,所述提 交单元根据控制信号从发送流量统计单元获取统计结果并提交所述发送流量 和地址4言息。
9、 如权利要求7或8所述的网络客户端,其特征在于,所述地址信息包 括所述终端设备的MAC地址。
10、 如权利要求7或8所述的网络客户端,其特征在于,所述网络客户 端集成在网络认证客户端软件中,终端设备在通过认证之后,激活所述的客 户端。
11、 如权利要求7或8所述的网络客户端,其特征在于,所述网络客户 端是独立的装置,设置在终端设备上,终端设备在通过网络认证之后,激活 所述的客户端。
12、 一种网络监控设备,其特征在于,包括信息接收单元,用于接收经过认证的终端设备上报的发送流量和地址信 息,所述发送流量为终端设备发送给交换机端口的数据流量;接收流量统计单元,用于统计交换机端口从具有所述地址信息的终端设 备接收到的数据的接收流量;监控单元,用于根据所述信息接收单元接收的发送流量和接收流量统计 单元统计的接收流量之间的差值,确认是否有非法终端设备接入到网络中。
13、 如权利要求12所述的设备,其特征在于,所述地址信息包括经过 认证的终端设备的MAC地址。
14、 如权利要求12所述的设备,其特征在于,所述网络监控设备可以设 置在交换机内部,也可以是独立的网元。
15、 如权利要求12所述的设备,其特征在于所述信息接收单元还用于在每次接收到提交信息时,触发所述接收流量 统计单元向监控单元输出统计的接收流量; 所述监控单元还用于根据所述信息接收单元每次收到的所述发送流量和 接收流量统计单元输出的所述接收流量,计算所述发送流量和接收流量之间 的差值。
16、 如权利要求15所述的设备,其特征在于,所述监控单元还用于当所述差值超过设定阈值时,确认有非法终端设备接入到网络中。
17、 如权利要求15所述的设备,其特征在于,所述监控单元当设定数目 个连续的差值递增时,确认有非法终端设备"l矣入到网络中。
18、 一种网络监控系统,其特征在于,包括客户端,设置在网络终端设备上,用于统计终端设备发送给交换机端口 的数据的发送流量,并将所述发送流量和终端设备地址信息提交给网络监控 设备;网络监控设备,用于接收终端设备提交的所述发送流量和所述地址信息, 并统计交换机端口从具有所述地址信息的终端设备接收到的数据的接收流 量,根据所述发送流量和所述接收流量之间的差值,确认是否有非法终端设 备接入到网络中。
19、 如权利要求18所述的系统,其特征在于,所述地址信息包括经过 认证的终端设备的MAC地址。
20、 如权利要求18所述的系统,其特征在于所述客户端还用于每间隔设定时间向所述网络监控设备提交信息; 所述网络监控设备还用于当所述差值超过设定阈值时,确认有非法终端 设备接入到网络中。
21、 如权利要求18所述的系统,其特征在于所述客户端用于每间隔设定时间向所述网络监控设备提交信息; 所述网络监控设备用于当设定数目个连续的差值递增时,确认有非法终 端设备接入到网络中。
22、 如权利要求18所述的系统,其特征在于,所述网络监控设备可以设 置在交换机内部,也可以是独立的网元;和/或所述网络客户端集成在网络认证客户端软件中或者是独立的装置。
全文摘要
本发明涉及通信技术,特别地涉及一种网络监控技术,提供了一种网络监控方法、系统和装置,本发明实施例提供的技术方案对比合法终端设备对交换机端口发送的数据的流量和交换机该端口实际收到的数据的流量,如果二者的差值超出设定阈值或持续递增,则说明网络中有合法终端设备以外的终端设备正在向交换机发送数据,从而判定非法终端设备的存在。
文档编号H04L12/28GK101399709SQ200710152400
公开日2009年4月1日 申请日期2007年9月28日 优先权日2007年9月28日
发明者谢伟武 申请人:福建星网锐捷网络有限公司