CN102821097B - 一种接入检测方法及装置 - Google Patents
一种接入检测方法及装置 Download PDFInfo
- Publication number
- CN102821097B CN102821097B CN201210247517.1A CN201210247517A CN102821097B CN 102821097 B CN102821097 B CN 102821097B CN 201210247517 A CN201210247517 A CN 201210247517A CN 102821097 B CN102821097 B CN 102821097B
- Authority
- CN
- China
- Prior art keywords
- message amount
- access
- certification
- exchange machine
- transmission message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Small-Scale Networks (AREA)
Abstract
本发明提供一种接入检测方法,应用于接入终端上,该方法包括如下步骤:A、向认证交换机发起认证以使得认证交换机开放相应的端口供接入终端接入网络;B、在认证通过后统计自身的发送报文数量;C、从认证交换机发送的预定的报文中获得交换机在所述相应的端口上统计到的接收报文数量,并比较所述接收报文数量与自身统计的发送报文数量,如果接收报文数量大于所述发送报文数量,则确定有非法用户的存在。本发明通过比较接入终端发送报文数量与认证交换机在对应端口上接收报文数量的差异来确定是否存在非法接入用户,有效地解决了现有技术中非法用户通过Hub冒充合法用户接入的问题。
Description
技术领域
本发明涉及网络技术,尤其涉及一种非法用户的接入检测方法及装置。
背景技术
随着视频监控技术的飞速发展,监控点已经部署在城市的各个角落。很多的编码器(EC)或网络摄像机(IPC)需要部署在道路两旁、山顶、楼顶等地方。这就要求用户的网络同样要延伸到城市的各个角落甚至是野外的环境,以便编码器等监控设备能够接入到用户网络中来。为了网络的安全,防止非法用户使用接入点攻击用户网路,用户就必须在网络边缘启用认证机制对每一个接入的设备进行身份认证。请参考图1,目前802.1x认证是非常流行的认证方式,其可以在二层对接入设备进行身份认证,认证通过的用户可以正常访问用户网络,没有认证通过的用户则无法访问用户网络。
由于编码器等监控设备很多都放置在野外,大部分为无人管理区域,非法用户可以通过接入额外的HUB设备来避开802.1x认证。请参考图2,非法用户在编码器和802.1x认证交换机之间加入一台HUB,HUB会将一个端口收到的报文向其他所有的端口广播。这样编码器先进行身份认证,认证通过后,802.1x交换机放开该端口上的访问限制。此时非法用户再伪造编码器的MAC地址访问用户网络,认证交换机收到非法用户的报文,检查源MAC地址发现源MAC地址合法,会正常的转发,而对应的回应报文则会由于HUB的报文广播而转发给非法用户,这样非法用户就侵入了用户网络。802.1x在常规的网络环境(比如家庭或者办公室)中是很难被攻击的,因为非法用户难以在这样的环境中接入自己的HUB设备,然而监控网络中这个问题却非常明显。
发明内容
有鉴于此,本发明提供一种接入检测装置,应用于接入终端上,该接入装置包括:认证处理单元、报文统计单元以及接入分析单元;其中:
认证处理单元,用于向认证交换机发起认证以使得认证交换机开放相应的端口供接入终端接入网络,或用于在接入终端需要下线时执行下线操作以使得交换机阻塞所述相应的端口;
报文统计单元,用于在认证通过后统计自身的发送报文数量;
接入分析单元,用于从认证交换机发送的预定的报文中获得交换机在所述相应的端口上统计到的接收报文数量,并比较所述接收报文数量与自身统计的发送报文数量,如果接收报文数量大于所述发送报文数量,则确定有非法用户的存在。
本发明还提供一种接入检测方法,应用于接入终端上,该方法包括如下步骤:
A、向认证交换机发起认证以使得认证交换机开放相应的端口供接入终端接入网络,在接入终端需要下线时执行下线操作以使得交换机阻塞所述相应的端口;
B、在认证通过后统计自身的发送报文数量;
C、从认证交换机发送的预定的报文中获得交换机在所述相应的端口上统计到的接收报文数量,并比较所述接收报文数量与自身统计的发送报文数量,如果接收报文数量大于所述发送报文数量,则确定有非法用户的存在。
本发明通过比较接入终端发送报文数量与认证交换机在对应端口上接收报文数量的差异来确定是否存在非法接入用户,有效地解决了现有技术中非法用户通过Hub冒充合法用户接入的问题。
附图说明
图1是现有技术中基于802.1x认证的监控网络认证接入组网图。
图2是现有技术中非法用户绕过802.1x认证的组网图。
图3是本发明一种实施方式中接入检测装置逻辑结构图。
图4是LLDP报文的格式图。
图5是LLDP报文的TLV格式图。
图6是LLDP报文的OptionalTLV格式图。
具体实施方式
本发明通过识别出用户不正常的行为来发现非法用户的存在,并采取一定的反制措施来减轻非法用户接入所引发的安全风险。以下以计算机程序实现为例进行介绍,然而本发明并不排除其他实现方式。在本发明一种实施方式中,在接入终端(以编码器为例)提供一种接入检测装置,该接入装置包括:设备发现单元、认证处理单元、报文统计单元、接入分析单元、异常处理单元以及报文分析单元,该装置运行时与交换机配合执行如下步骤。
步骤101,设备发现单元使用邻居发现协议与认证交换机交互以完成邻居发现。
在本发明中编码器与认证交换机之间需要在本地保存对方的基本属性信息,比如MAC地址以及IP地址等。在本发明中选取最为流行的LLDP协议作为示例进行描述,但本发明并不排除其他邻居发现协议,尤其是一些非常流行的私有协议。
步骤102,认证处理单元向认证交换机发起802.1x认证。
步骤103,报文统计单元在认证通过后统计自身的发送报文数量。
步骤104,认证交换机统计接收到该编码器的接收报文数量,并将统计结果携带在预定的报文中发送给所述编码器。
步骤105,接入分析单元从所述预定的报文中获得交换机统计到的接收报文数量,并比较接收报文数量与自身统计的发送报文数量,如果接收报文数量大于所述发送报文数量,则确定有非法用户的存在,否则确定无非法用户存在。
步骤106,异常处理单元,用于在确定有非法用户存在时,向管理员发送告警和/或通知认证处理单元执行下线操作。
在本发明中编码器可以按照正常的方式去完成邻居发现以及接入认证。需要说明的是,邻居发现在本发明中并不是必须的步骤,只不过在优选的实施方式中本发明使用LLDP报文实现一些关键信息的交互,然而这些关键信息的交互可以使用任意自定义的报文来交互。
首先,编码器和认证交换机在每次认证成功后对进行对应报文统计数清零。对于编码器而言,其需要将自身发送报文数量进行清零,而认证交换机则需要将接收到该编码器的报文数量清零。清零之后,编码器与交换机基本是同时重新开始统计各自需要统计的收发报文数量。在编码器输入正确的用户名和密码并认证通过后,认证交换机会放开端口访问限制,并定期发送LLDP报文,将本端口上统计到的接收报文数量携带在LLDP报文中发给对端编码器。
在本实施方式中,所述接收报文数量作为LLDP的载荷数据携带在LLDP报文中。具体位置以及任何格式可以由实施者自定义。请参考图4,LLDP报文的目的MAC固定为0180-C200-000E,源MAC为端口MAC或桥MAC,以太网协议类型为88CC,其中LLDPDU(LLDPDataunit,载荷数据)单元则是以TLV格式携带的是设备的相关信息。
请参考图5,LLDPDU由不同TLV构成,设备将不同类的信息置于不同的TLV中,TLV大致可分为两类:基本TLV和组织定义TLV。基本TLV分别是ClassIDTLV、PortIDTLV、TTLIDTLV、EndofLLDPDUTLV、Management-addressTLV、BasicTLV,前四个TLV必不可少,且顺序不能调换,且ClassIDTLV、PortIDTLV、TTLIDTLV这三类TLV必须置于其他所有的TLV之前,EndofLLDPDUTLV必须置于报文末尾。请参考图6,在一种优选的实施方式中,本发明使用OptionalTLV来携带所述接收报文数量。需要说明的是,虽然在图2所示的组网图中非法用户可以通过HUB接收到所有发送给编码器的报文,在理论上非法用户也会接收到同样的LLDP报文。然而如前所述,由于报文格式可以自定义,而且协议也不局限于LLDP,因此非法用户不容易得到所述接收报文数量这一数据。
在较佳的实施方式中,考虑到高明的非法用户仍然可能会得知自定义的报文格式从而得知上述接收报文数量。因此认证交换机可以使用用户的认证密码或用户名与认证密码的组合对接收报文数量进行MD5或其他方式的加密。
编码器的接入分析单元在收到该LLDP报文后,获取其中的载荷数据,并对该数据进行解密获得认证交换机统计的报文接收数量,然后与本地统计的发送报文数量进行比较。假设当前没有任何非法用户通过图2那样的方式接入,同一时刻,认证交换机在编码器对应的端口上接收报文数量应该与编码器发送报文数量一样,由于认证交换机发送的时间比EC收到的时间要早,所以认证交换机该端口上的接收报文数量不可能多于编码器统计的发送报文数量。如果有非法用户,当非法用户发送一些报文后,就会出现认证交换机统计的接收报文数量多于编码器统计的发送报文数量。本发明编码器正是根据上述规律来去确定是否存在非法用户接入。如果编码器确定有非法用户接入,编码器的异常处理单元可以向管理服务器(VM)发送告警报文,告警类型可以为网络安全,由VM选择处理方法。VM可以上可以部署一些处理策略,比如说,通过短信或邮件的方式通知网络管理员;再比如说,通知网络管理员同时通知编码器进行认证下线操作,编码器可以根据VM的指示执行认证下线操作(也可以时检测到非法用户接入时由异常处理单元通知认证处理单元执行下线操作),以实现迅速重新堵塞认证交换机上的端口,让非法用户无法通过该端口侵入网络。等一段时间后,再次通知认证处理单元发起认证上线操作,如此反复。等待时间可使用退避算法来计算获得,即一定时间内再次发现非法用户接入,会将本次等待时间延长。通过以上的处理之后,首先可以快速地发现非法接入用户,并且非法接入用户难以绕过本实施方式中的检测机制,而且由于编码器和接入交换机之间传递的数据是定期发送且又是加密的,非法接入用户要想实现非法接入必须保证每个定时周期到达之前抢在交换机之前模仿交换机的行为来欺骗编码器,显然这是极其难以实现的。
在本发明另一种实施方式中,引入第二种检测机制与上述检测机制配合来提高接入检测的成功率,继续加大非法用户接入的难度。在本实施方式中,所述接入检测装置进一步包括:报文分析单元。报文分析单元的处理过程与步骤101到步骤105的过程可以是并行的,其包括以下步骤:
步骤201,在底层监听所有接收到的报文,并将目的地址不是自身MAC地址的报文提交给报文分析单元处理。
步骤202,报文分析单元检查报文的源地址是否与自身的MAC地址相同,如果是则确定存在非法用户接入。
在正常情况下,编码器与认证交换机是直连的,编码器收到的报文应该都是交换机上转发过来的,也就是说这些报文的目的MAC地址都应该是编码器的MAC地址,而源MAC地址则肯定不会是编码器的MAC地址。
但是现有技术中编码器会丢弃所有目的MAC不是自身MAC地址的报文,本发明可以在底层芯片配置报文处理规则将所有收到的报文都上送处理。当收到目的MAC地址不是自身MAC地址的报文时则进一步检查源MAC地址,如果源MAC地址与自己的MAC地址相同,则判定网络中存在侵入用户。因为这样的行为表示有非法用户接入,并仿冒自身的MAC地址在访问用户网络。此时报文分析单元可以通知异常处理单元进行相应处理。
在本实施方式中引入了第二种检测机制,其更加有效地提升了非法用户接入的检测效率,使得非法用户成功接入变为几乎不可能实现。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (8)
1.一种接入检测装置,应用于接入终端上,该接入装置包括:认证处理单元、报文统计单元以及接入分析单元;其特征在于:
认证处理单元,用于向认证交换机发起认证以使得认证交换机开放相应的端口供接入终端接入网络,或用于在接入终端需要下线时执行下线操作以使得认证交换机阻塞所述相应的端口;
报文统计单元,用于在认证通过后统计自身的发送报文数量;
接入分析单元,用于从认证交换机发送的预定的LLDP报文中获得交换机在所述相应的端口上统计到的接收报文数量,再获取报文统计单元统计的发送报文数量,并比较所述接收报文数量与自身统计的发送报文数量,如果接收报文数量大于所述发送报文数量,则确定有非法用户的存在;
报文分析单元,用于检查目的地址不是自身MAC地址的报文的源MAC地址是否与自身MAC地址相同,如果是则确定存在非法用户接入;
异常处理单元,用于在确定有非法用户存在时,向管理员发送告警和/或通知认证处理单元执行下线操作。
2.如权利要求1所述的装置,其特征在于,所述接收报文数量是使用接入终端认证密码或用户名与认证密码的组合进行加密的加密数据,所述接入分析单元进一步用于对该加密数据进行解密。
3.如权利要求1所述的装置,所述异常处理单元进一步用于在认证处理单元执行下线操作之后并在确定等待时间到达后通知所述认证处理单元再次发起认证操作,所述等待时间是通过预定的退避算法计算获得。
4.如权利要求1所述的装置,其特征在于,所述报文统计单元,进一步用于在认证通过后统计自身的发送报文数量之前,先将当前的发送报文数量清零。
5.一种接入检测方法,应用于接入终端上,其特征在于,该方法包括如下步骤:
A、向认证交换机发起认证以使得认证交换机开放相应的端口供接入终端接入网络,在接入终端需要下线时执行下线操作以使得认证交换机阻塞所述相应的端口;
B、在认证通过后统计自身的发送报文数量;
C、从认证交换机发送的预定的LLDP报文中获得交换机在所述相应的端口上统计到的接收报文数量,再获取自身统计的发送报文数量,并比较所述接收报文数量与自身统计的发送报文数量,如果接收报文数量大于所述发送报文数量,则确定有非法用户的存在;
D、检查目的地址不是自身MAC地址的报文的源MAC地址是否与自身MAC地址相同,如果是则确定存在非法用户接入;
E、在确定有非法用户存在时,向管理员发送告警和/或转步骤A执行下线操作。
6.如权利要求5所述的方法,其特征在于,所述接收报文数量是使用接入终端认证密码或用户名与认证密码的组合进行加密的加密数据,步骤C进一步对该加密数据进行解密。
7.如权利要求5所述的方法,其特征在于,步骤D进一步包括:在执行下线操作之后并在确定等待时间到达后转步骤A再次发起认证操作,所述等待时间是通过预定的退避算法计算获得。
8.如权利要求5所述的方法,其特征在于,所述步骤B进一步包括:在认证通过后统计自身的发送报文数量之前,先将当前的发送报文数量清零。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210247517.1A CN102821097B (zh) | 2012-07-17 | 2012-07-17 | 一种接入检测方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210247517.1A CN102821097B (zh) | 2012-07-17 | 2012-07-17 | 一种接入检测方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102821097A CN102821097A (zh) | 2012-12-12 |
| CN102821097B true CN102821097B (zh) | 2016-06-08 |
Family
ID=47304954
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210247517.1A Active CN102821097B (zh) | 2012-07-17 | 2012-07-17 | 一种接入检测方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102821097B (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102905268B (zh) * | 2012-09-21 | 2015-08-19 | 福建三元达通讯股份有限公司 | 一种提高组播安全性的方法 |
| CN106453364B (zh) * | 2016-10-27 | 2018-08-31 | 北京仰联信通技术有限公司 | 一种检测链路中串接非法设备的方法及装置 |
| CN109922055A (zh) * | 2019-02-26 | 2019-06-21 | 深圳市信锐网科技术有限公司 | 一种风险终端的检测方法、系统及相关组件 |
| CN111200520A (zh) * | 2019-12-27 | 2020-05-26 | 咪咕文化科技有限公司 | 网络监控方法、服务器和计算机可读存储介质 |
| CN115643117B (zh) * | 2022-12-23 | 2023-03-21 | 北京六方云信息技术有限公司 | 数字实体身份标识方法、装置、终端设备以及存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101399709A (zh) * | 2007-09-28 | 2009-04-01 | 福建星网锐捷网络有限公司 | 一种网络监控方法、装置和系统 |
| CN101436934A (zh) * | 2008-10-20 | 2009-05-20 | 福建星网锐捷网络有限公司 | 一种控制用户上网的方法、系统及设备 |
| CN102158864A (zh) * | 2011-04-15 | 2011-08-17 | 北京航空航天大学 | 一种基于可靠性的移动Ad Hoc网络自适应安全路由方法 |
-
2012
- 2012-07-17 CN CN201210247517.1A patent/CN102821097B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101399709A (zh) * | 2007-09-28 | 2009-04-01 | 福建星网锐捷网络有限公司 | 一种网络监控方法、装置和系统 |
| CN101436934A (zh) * | 2008-10-20 | 2009-05-20 | 福建星网锐捷网络有限公司 | 一种控制用户上网的方法、系统及设备 |
| CN102158864A (zh) * | 2011-04-15 | 2011-08-17 | 北京航空航天大学 | 一种基于可靠性的移动Ad Hoc网络自适应安全路由方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102821097A (zh) | 2012-12-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11102233B2 (en) | Detection of vulnerable devices in wireless networks | |
| Cvitić et al. | CLASSIFICATION OF SECURITY RISKS IN THE IOT ENVIRONMENT. | |
| KR102017810B1 (ko) | 모바일 기기용 침입방지장치 및 방법 | |
| Hongsong et al. | Security and trust research in M2M system | |
| CN102821097B (zh) | 一种接入检测方法及装置 | |
| KR101236822B1 (ko) | Arp록킹 기능을 이용한 arp스푸핑 공격 탐지 방법과 그 방법을 실행하기 위한 프로그램이 기록된 기록매체 | |
| US20170279852A1 (en) | Identifying and Trapping Wireless Based Attacks on Networks Using Deceptive Network Emulation | |
| Roman et al. | On the security of wireless sensor networks | |
| US20240154995A1 (en) | Detection of vulnerable wireless networks | |
| KR101080293B1 (ko) | 무선 센서 네트워크에서의 악성 노드 탐지 장치 및 탐지 방법 | |
| Vanjale et al. | A novel approach for elimination of rogue access point in wireless network | |
| Alsumayt et al. | A survey of the mitigation methods against dos attacks on manets | |
| CN105577706A (zh) | 一种网络安全防御系统和方法 | |
| US9100429B2 (en) | Apparatus for analyzing vulnerability of wireless local area network | |
| KR101429178B1 (ko) | 무선 네트워크 보안 시스템 및 방법 | |
| Gothawal et al. | Intrusion detection for enhancing RPL security | |
| Granjal et al. | Intrusion Detection and Prevention with Internet-integrated CoAP Sensing Applications. | |
| Inayat et al. | Wireless Sensor Networks: Security, Threats, and Solutions | |
| CN114124436A (zh) | 一种基于电力物联网泛终端的apn接入可信计算管理系统 | |
| Chen et al. | Development and implementation of anti phishing wi-fi and information security protection app based on android | |
| Yang et al. | Intrusion detection solution to WLANs | |
| Kuriakose et al. | Effective defending against flood attack using stream-check method in tolerant network | |
| Lu et al. | Analysis of cyber risk and associated concentration of research (ACR) 2 in the security of vehicular edge clouds | |
| CN117749533B (zh) | 一种零信任林业物联网管理平台系统及安全防护方法 | |
| Rghioui et al. | Monitoring behavior-based Intrusion Detection System for 6loWPAN networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |