一种网络设备准入方法
【专利摘要】本发明一种网络设备准入方法,包括:建立验证信息数据库;接收网络设备发送的数据包;根据验证信息数据库,验证数据包中网络设备的Mac信息;根据Mac信息,验证DHCP信息、HTTP信息、SSDP信息;建立数据包捕捉线程,验证SNMP询问信息、NMAP扫描信息和NETBIOS扫描信息;本发明部署简单,采用主动探测和被动收集的方式,依靠验证信息能有效克服IP/MAC伪造问题,提高网络准入安全标准,保证企业的网络信息安全,同时能够识别出各种非IP设备的类型及型号,方便用户统一分类管理和准确定位跟踪。
【专利说明】一种网络设备准入方法
【技术领域】
[0001] 本发明涉及网络安全【技术领域】,尤其是涉及一种基于广域网或局域网的网络设备 准入方法。
【背景技术】
[0002] 随着虚拟化的发展,大部分企事业单位中已经开始部署虚拟化桌面,还有在当今 网络中各种IP设备层出不穷,如:网络摄像头、网络传感器、网络电话等,这些非传统PC设 备从网络层的外部观察难以进行识别,而同时这些设备又是网络的一部分,传统手段无法 在管理中准确的定位和准入,容易被通过IP/MAC伪造而进行替换,对它们进行追踪并且分 类非常的困难,由于这些设备的存在,越来越多的安全职业人员在审计中遭遇失败,因为这 些设备可以允许恶意用户骗取资源,绕过控制,并取得未经授权的网络访问,如何防止IP/ MC伪造进行准入管理成为当今准入系统中急迫需要解决的问题。
【发明内容】
[0003] 为了解决上述问题,解决虚拟化终端和生产IP设备被伪冒的问题,本发明提供了 一种网络设备准入方法。
[0004] 本发明采用的技术方案如下:
[0005] -种网络设备准入方法,包括以下步骤:
[0006] 步骤一,建立验证信息数据库,所述验证信息数据库包括网络设备的身份验证信 息,所述身份验证信息包括网络设备的Mac地址、DHCP信息、HTTP信息、SSDP信息、SNMP询 问信息、NMP扫描信息和NETBIOS扫描信息;
[0007] 步骤二,接收网络设备发送的数据包;
[0008] 步骤三,根据验证信息数据库,验证数据包中网络设备的Mac信息;
[0009] 步骤四,根据Mac信息在验证信息数据库中验证数据包中网络设备的DHCP信息、 HTTP信息、SSDP信息;
[0010] 步骤五,根据Mac信息在验证信息数据库中验证数据包中SNMP询问信息、NMAP扫 描信息和NETBIOS扫描信息。
[0011] 优选的,所述步骤一还包括,根据验证信息数据库创建哈希表,所述哈希表存储每 台终端设备的身份验证信息。
[0012] 优选的,验证网络设备时采用哈希表检索验证信息数据库。
[0013] 优选的,所述步骤三还包括,如验证信息数据库中没有该网络设备的Mac信息,则 提示用户MAC地址未注册。
[0014] 又算的,所述步骤三还包括,判断该接收Mac地址的数据包与记录的上一次Mac地 址的数据包之间的时间间隔,如果时间间隔超过系统预设值,判定该Mac地址的网络设备 为伪造。
[0015] 优选的,所述时间间隔为10S。
[0016] 优选的,所述步骤四还包括,如验证信息数据库中没有该Mac地址的网络设备的 DHCP信息、HTTP信息、SSDP信息,则将数据包中的DHCP信息、HTTP信息、SSDP信息存储于 验证信息数据库中。
[0017] 优选的,所述步骤五还包括,如验证信息数据库中没有该Mac地址的网络设备的 SNMP询问信息、NMAP扫描信息和NETBIOS扫描信息,启动数据包捕捉线程捕捉SNMP询问信 息、NMP扫描信息和NETBIOS扫描信息。
[0018] 优选的,创建多个数据包捕捉线程形成队列,当验证过程中调用对应的数据包捕 捉线程。
[0019] 优选的,所述数据包捕捉线程采用Libpcap应用程序框架或Wincap应用程序框架 中的一种。
[0020] 本发明一种网络设备准入方法,包括:建立验证信息数据库;接收网络设备发送 的数据包;根据验证信息数据库,验证数据包中网络设备的Mac信息;根据Mac信息,验证 DHCP信息、HTTP信息、SSDP信息;建立数据包捕捉线程,验证SNMP询问信息、NMAP扫描信 息和NETBIOS扫描信息;本发明部署简单,采用主动探测和被动收集的方式,依靠验证信息 能有效克服IP/MAC伪造问题,提高网络准入安全标准,保证企业的网络信息安全,同时能 够识别出各种非IP设备的类型及型号,方便用户统一分类管理和准确定位跟踪。
【专利附图】
【附图说明】
[0021] 为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现 有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本 发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可 以根据这些附图获得其他的附图。
[0022] 图1是本发明所述方法的系统部署架构图;
[0023] 图2是图1本发明所述方法的方法流程图。
【具体实施方式】
[0024] 下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完 整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于 本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他 实施例,都属于本发明保护的范围。
[0025] 企业网络已经广泛采用桌面虚拟化的终端和移动终端,而这些终端设备又有访问 业务网络的需求,现在大部分准入系统只能通过IP地址批准这些设备直接进入网络,这样 就会导致攻击者很容易伪冒正常终端进入业务网络。即使采用了 IP-MAC-P0RT绑定技术, 但是攻击者通过获取网络IP设备的信息后并伪冒成他一样的IP-MAC,就能逃避IP-MC绑 定的检测,轻松的进入银行等内网业务系统,严重危害企业信息安全。
[0026] 如图1所示为本发明软件架构的系统部署图。本发明的软件架构包括部署于汇聚 各终端设备上的信息探测单元1和部署于服务器上的数据分析单元2。所述信息探测单元1 捕捉各终端设备发出的数据包,并对数据包进行分析。通过MC地址发现、DHCP信息获取、 HTTP信息获取、NMAP扫描、SNMP询问等多种被动监听和主动扫描的方式实时收集网络设备 身份验证信息,对网络设备进行识别并将识别结果发送到数据分析单元2。数据分析单元2 负责接收并存储各个信息探测单元1传送过来的设备身份验证信息并更新验证结果,以及 向探测分析应用程序下发设备注册信息。
[0027] 如图2所示为本发明的一种网络设备准入方法,包括以下步骤:
[0028] 步骤一,在服务器端建立验证信息数据库。所述验证信息数据库包括企业网络中 采用的终端设备如PC终端、虚拟化终端和移动终端的身份验证信息。所述身份验证信息包 括:
[0029] MAC地址信息,包括终端设备网卡的MAC地址,MAC地址作为终端设备独一无二的 标示还具有组织唯一标示符(OUI)信息,通过对MAC地址的前六位字节进行解析可以获取 网卡的生产厂商信息。
[0030] DHCP信息,包括hostname字段和rquestList字段,其中Hostname字段包含终端 设备的主机名,requestList字段包含DHCP请求次数。
[0031] HTTP信息,包括User-Agent字段,所述User-Agent字段包含终端设备所使用的操 作系统信息和用户操作偏好。
[0032] SNMP信息,包括可用于机器类型识别的字段Machine type、具有系统描述信息 的sysDescr字段、带有磁盘序列号的hrStorageDescr字段和表述终端设备所在工作组的 workgroup 字段。
[0033] NMAP信息,包括可用于操作系统匹配的字段osmatch name和NMAP扫描后后终端 设备的tcp/port (设备开放的网络端口和对应服务)列表portlist。
[0034] NetBios信息,包括Windows类的终端计算机名computername字段。
[0035] 进一步的,根据上述的身份验证信息可以建立身份验证信息的数据表,所述数据 表包括的各个字段信息如下:
【权利要求】
1. 一种网络设备准入方法,其特征在于,包括以下步骤: 步骤一,建立验证信息数据库,所述验证信息数据库包括网络设备的身份验证信息,所 述身份验证信息包括网络设备的Mac地址、DHCP信息、HTTP信息、SSDP信息、SNMP询问信 息、NMAP扫描信息和NETBIOS扫描信息; 步骤二,接收网络设备发送的数据包; 步骤三,根据验证信息数据库,验证数据包中网络设备的Mac信息; 步骤四,根据Mac信息在验证信息数据库中验证数据包中网络设备的DHCP信息、HTTP f目息、SSDP彳目息; 步骤五,根据Mac信息在验证信息数据库中验证数据包中SNMP询问信息、NMAP扫描信 息和NETBIOS扫描信息。
2. 根据权利要求1所述的一种网络设备准入方法,其特征在于,所述步骤一还包括,根 据验证信息数据库创建哈希表,所述哈希表存储每台终端设备的身份验证信息。
3. 根据权利要求2所述的一种网络设备准入方法,其特征在于,验证网络设备时采用 哈希表检索验证信息数据库。
4. 根据权利要求1所述的一种网络设备准入方法,其特征在于,步骤三还包括,如验证 信息数据库中没有该网络设备的Mac信息,则提示用户MAC地址未注册。
5. 根据权利要求4所述的一种网络设备准入方法,其特征在于,所述步骤三还包括,判 断该接收Mac地址的数据包与记录的上一次Mac地址的数据包之间的时间间隔,如果时间 间隔超过系统预设值,判定该Mac地址的网络设备为伪造。
6. 根据权利要求5所述的一种网络设备准入方法,其特征在于,所述时间间隔为10S。
7. 根据权利要求1所述的一种网络设备准入方法,其特征在于,所述步骤四还包括,如 验证信息数据库中没有该Mac地址的网络设备的DHCP信息、HTTP信息、SSDP信息,则将数 据包中的DHCP信息、HTTP信息、SSDP信息存储于验证信息数据库中。
8. 根据权利要求1所述的一种网络设备准入方法,其特征在于,所述步骤五还包括,如 验证信息数据库中没有该Mac地址的网络设备的SNMP询问信息、NMAP扫描信息和NETBIOS 扫描信息,启动数据包捕捉线程捕捉SNMP询问信息、NMAP扫描信息和NETBIOS扫描信息。
9. 根据权利要求8所述的一种网络设备准入方法,其特征在于,创建多个数据包捕捉 线程形成队列,当验证过程中调用对应的数据包捕捉线程。
10. 根据权利要求8所述的一种网络设备准入方法,其特征在于,所述数据包捕捉线程 采用Libpcap应用程序框架或Wincap应用程序框架中的一种。
【文档编号】H04L29/06GK104333538SQ201410567113
【公开日】2015年2月4日 申请日期:2014年10月22日 优先权日:2014年10月22日
【发明者】罗治华, 邵晓慧, 刘民 申请人:杭州盈高科技有限公司