发明内容
本发明要解决的技术问题是,提供一种网络设备检测方法、装置及云检测系统,能够有针对性的对网络设备的业务漏洞和缺陷进行检测。
本发明采用的技术方案是,所述网络设备检测方法,包括:
基于网络设备的特征信息及业务配置,建立检测报文库;
获取待检测的网络设备的特征信息及业务配置;
根据获取的所述特征信息及业务配置,在检测报文库中匹配出检测报文,利用匹配出的检测报文对所述待检测的网络设备进行检测。
进一步的,所述方法还包括:基于网络设备的特征信息及业务配置,建立与检测报文库对应的响应行为库;
对所述待检测的网络设备进行检测时,将所述待检测的网络设备的响应在响应行为库中进行比对以判断网络设备行为是否合法。
进一步的,通过SNMP(Simple Network Management Protocol,简单网络管理协议)或者网络配置NETCONF协议或者用户端设备广域网管理协议TR-069获取待检测的网络设备的特征信息及业务配置。
进一步的,所述网络设备的特征信息包括:网络设备的类型和型号;建立检测报文库时,网络设备的业务配置的类型至少包括以下之一:接口信息、IP(Internet Protocol,互联网协议)地址配置、VLAN(Virtual Local Area Network,虚拟局域网)配置、路由配置、MPLS(Multi-Protocol Label Switching,多协议标签交换)配置、以及协议配置。
进一步的,所述检测报文库包括与网络设备的类型对应的通用及随机检测报文库;
所述方法还包括:采用通用及随机检测报文库中的报文对所述网络设备进行检测,根据所述网络设备的响应判断其是否存在漏洞和后门。
进一步的,所述方法还包括:当网络设备的特征信息及业务配置发生变化时,对所述检测报文库进行维护更新。
本发明还提供一种网络设备检测装置,包括:
检测处理模块,用于基于网络设备的特征信息及业务配置,建立检测报文库;根据获取的所述特征信息及业务配置在检测报文库中匹配出检测报文,发送给检测接口模块并通过其对待检测的网络设备进行检测;
检测接口模块,用于获取待检测的网络设备的特征信息及业务配置,发送给检测处理模块;基于检测处理模块发来的检测报文对待检测的网络设备进行检测。
进一步的,所述检测处理模块,还用于:基于网络设备的特征信息及业务配置建立与检测报文库对应的响应行为库;对所述待检测的网络设备进行检测时,将所述待检测的网络设备的响应在响应行为库中进行比对以判断网络设备行为是否合法;
所述检测接口模块,还用于将待检测的网络设备的响应告知检测处理模块。
进一步的,所述检测接口模块,具体用于:通过SNMP协议或者NETCONF协议或者用户端设备广域网管理协议TR-069获取待检测的网络设备的特征信息及业务配置。
所述网络设备的特征信息包括:网络设备的类型和型号;建立检测报文库时,网络设备的业务配置的类型至少包括以下之一:接口信息、IP地址配置、VLAN配置、路由配置、MPLS配置、以及协议配置。
进一步的,所述检测报文库包括与网络设备的类型对应的通用及随机检测报文库;
所述检测处理模块,还用于采用通用及随机检测报文库中的报文对所述网络设备进行检测,根据所述网络设备的响应判断其是否存在漏洞和后门;
所述检测接口模块,还用于将待检测的网络设备的响应告知检测处理模块。
进一步的,所述检测处理模块,还用于当网络设备的特征信息及业务配置发生变化时,对所述检测报文库进行维护更新。
本发明还提供一种采用上述网络设备检测装置的云检测系统,包括云检测数据中心、检测客户端、以及网络设备,其中,
检测处理模块,位于云检测数据中心中,用于基于网络设备的特征信息及业务配置,建立检测报文库;根据获取的所述特征信息及业务配置在检测报文库中匹配出检测报文,发送给检测接口模块并通过其对待检测的网络设备进行检测;
检测接口模块,位于检测客户端中,用于获取待检测的网络设备的特征信息及业务配置,发送给检测处理模块;基于检测处理模块发来的检测报文对待检测的网络设备进行检测。
采用上述技术方案,本发明至少具有下列优点:
本发明所述网络设备检测方法、装置及云检测系统,能够有针对性的发现网络设备的业务漏洞和缺陷。在采用通用及随机检测报文进行检测的情况下,通过判断检测结果,可以发现网络设备的漏洞和后门,进而实现全面有效的对网络设备进行检测。本发明所述网络设备云检测系统,将检测报文库创建于云检测数据中心中,便于编辑与维护,与现有技术中将测试用例、报文库、漏洞库、插件库等扫描素材定制化,安装在检测客户端装置中相比,检测客户端可以与云检测数据中心中进行实时连接进行检测,检测结果实时性与交互性较好。
具体实施方式
为更进一步阐述本发明为达成预定目的所采取的技术手段及功效,以下结合附图及较佳实施例,对本发明进行详细说明如后。
本发明第一实施例,一种网络设备检测方法,如图1所示,包括以下具体步骤:
步骤S101,基于网络设备的特征信息及业务配置,建立检测报文库。
具体的,网络设备的特征信息包括:网络设备的类型和型号,网络设备的种类可以根据特征信息来划分,建立检测报文库时,每种网络设备的业务配置的类型至少包括以下之一:接口信息、IP地址配置、VLAN配置、路由配置、MPLS配置、以及协议配置等。该协议配置包括:IPsec、RADIUS(Remote Authentication Dial In User Service,远程接入拨入用户服务)、PPPoE等。
网络设备的类型包括:交换机、路由器和防火墙等。图2给出了检测报文库建立情况示意图,对于路由器类型的网络设备,为路由器下面每一种型号创建该型号路由器的业务配置所对应的检测报文库,例如,A型号路由器对应的检测报文库包括:OSPF(OpenShortest Path First,开放式最短路径优先)协议检测报文库、IPsec应用检测报文库、L2VPN(Layer2 Virtual Private Network,基于MPLS网络的二层虚拟专用网服务)应用检测报文库、PPPoE(point to point protocal over Ethernet,在Ethernet上承载点到点连接协议)检测报文库等,每个与业务配置相关的检测报文库中又包含有若干检测报文。对于交换机类型的网络设备,为交换机下面每一种型号创建该型号交换机的业务配置所对应的检测报文库,例如,A型号交换机对应的检测报文库包括:VLAN协议检测报文库、CFM(Connectivity Fault Management,连接故障管理)应用检测报文库、窥探(Snooping)检测报文库等。对于防火墙类型的网络设备,为防火墙下面每一种型号创建该型号防火墙的业务配置所对应的检测报文库,例如,A型号防火墙对应的检测报文库包括:NAT(NetworkAddress Translation,网络地址转换)应用检测报文库、ACL(Access Control List,访问控制列表)应用检测报文库、策略模块检测报文库等。
本实施例的检测报文库可以是比较全面的覆盖目前本领域所出现的网络设备种类及相应的业务配置情况,优选的,当网络设备的特征信息及业务配置发生变化时,可以对所述检测报文库进行维护更新,比如:当有新的网络设备及业务配置出现时,或者目前建库所涉及的某种网络设备的业务配置发生变化时,对所述检测报文库中的检测报文进行相应的增删。
步骤S102,获取待检测的网络设备的特征信息及业务配置。
具体的,主要是通过SNMP协议或者NETCONF协议或者用户端设备广域网管理协议TR-069获取待检测的网络设备的特征信息及业务配置,还可以通过人工获取、或者基于WebGUI管理方式(即网站公开源码的管理系统)获取。实现时,以SNMP方式为例,将网络设备的SNMP端口和服务打开,通过向网络设备发送SNMP报文来获取该网络设备的特征信息和业务配置。
步骤S103,根据获取的所述特征信息及业务配置,在检测报文库中匹配出检测报文,利用匹配出的检测报文对所述待检测的网络设备进行检测。此时可以根据网络设备的响应判断其行为是否合法。待检测网络设备业务配置通常与检测报文库中该种网络设备检测报文所涉及的业务配置有交集,即可匹配出检测报文,若没有交集,则需要对检测报文库进行更新,以补充新的业务配置检测报文。
本发明第二实施例,一种网络设备检测方法,如图3所示,包括以下具体步骤:
步骤S201,基于网络设备的特征信息及业务配置,建立检测报文库及其对应的响应行为库。
具体的,本实施例中建立检测报文库的过程与第一实施例中相同。
图4给出了响应行为库建立情况示意图,响应行为库中的响应行为记录是与具体的报文对应的,以交换机类型的网络设备为例,A型号的交换机下有n个报文的响应行为记录,报文1~3可能属于VLAN协议检测报文库,故报文1~3响应行为记录分别与VLAN协议检测报文库中的报文1~3对应,而报文4~6可能属于CFM应用检测报文库,故报文4~6响应行为记录分别与CFM应用检测报文库中的报文4~6对应。再以路由器类型的网络设备为例,A型号的路由器下有n个报文的响应行为记录,报文1~4可能属于OSPF协议检测报文库,故报文1~4响应行为记录分别与VLAN协议检测报文库中的报文1~4对应,A型号路由器与A型号交换机下面的报文的响应行为记录的个数也可以不同。
步骤S202,获取待检测的网络设备的特征信息及业务配置。
具体的,主要是通过SNMP协议或者NETCONF协议或者用户端设备广域网管理协议TR-069获取待检测的网络设备的特征信息及业务配置,还可以通过人工获取、或者基于WebGUI管理方式(即网站公开源码的管理系统)获取。
步骤S203,根据获取的所述特征信息及业务配置,在检测报文库中匹配出检测报文,利用匹配出的检测报文对所述待检测的网络设备进行检测。
具体的,对所述待检测的网络设备进行检测时,将所述待检测的网络设备的响应在响应行为库中进行比对,以判断网络设备行为是否合法。
本实施例中根据响应行为库的不同组成,介绍三种比对流程:
第一种:响应行为库中包括:人工设置的第一响应行为记录和检测开始后保存的第二响应行为记录;
将待检测的网络设备的响应与所述匹配的检测报文对应的第二响应行为记录进行比对,若与第二响应行为记录中的多数一致,则判定行为合法,否则判定行为不合法;这里,响应行为记录中的多数是指响应行为记录中相同响应数量最多的那种响应记录。
当所述匹配的检测报文对应的第二响应行为记录中不能区分出多数一致的响应行为记录时,将待检测的网络设备的响应与第一响应行为记录进行比对,若与第一响应行为记录一致,则判定行为合法,否则判定行为不合法;
第二种:响应行为库中包括:检测开始后保存的第二响应行为记录;
将待检测的网络设备的响应与所述匹配的检测报文对应的第二响应行为记录进行比对,若与第二响应行为记录中的多数一致,则判定行为合法,否则判定行为不合法;
当所述匹配的检测报文对应的第二响应行为记录中不能区分出多数一致的响应行为记录时,直接将比对结果判定为行为合法;
第三种:响应行为库中包括:人工设置的第一响应行为记录;
将待检测的网络设备的响应与所述匹配的检测报文对应的第一响应行为记录进行比对,若与第一响应行为记录一致,则判定行为合法,否则判定行为不合法。
优选的,在步骤S201中,检测报文库还包括:与网络设备的类型对应的通用及随机检测报文库。如图2所示,通用及随机检测报文库按照网络设备的类型划分。承接步骤S201,本实施例的所述方法还包括:
步骤S204,采用通用及随机检测报文库中的报文,对所述网络设备进行检测,根据所述网络设备的响应判断其是否存在漏洞和后门。
具体的,按照待检测的网络设备的不同类型,采用相应的通用及随机检测报文库中的报文,对所述网络设备进行检测,对于通用检测报文库,可以具备相应的响应行为库,后续将该网络设备的响应,在该通用检测报文库的响应行为库中进行比对,以判断网络设备行为是否合法。
对于采用随机检测报文库中的报文进行检测的情况,根据所述网络设备的响应判断其是否存在漏洞和后门。比如:有些网络设备可能在收到某条随机检测报文后,会出现向指定端口发送本机信息的行为,这就是一种网络设备的后门。
本发明第三实施例,本实施例是在第二实施例的基础上引入云检测数据中心和检测客户端,使它们按照本实施例的步骤执行检测流程,可以作为本发明的最佳实施例,即一种网络设备检测方法,如图5所示,包括以下具体步骤:
步骤S301,在云检测数据中心中基于网络设备的特征信息及业务配置,建立检测报文库及其对应的响应行为库。本步骤将检测报文库和响应行为库立在云检测数据中心中,便于对检测报文进行编辑和维护。
步骤S302,检测客户端获取待检测的网络设备的特征信息及业务配置。
具体的,检测客户端主要是通过SNMP协议或者NETCONF协议或者用户端设备广域网管理协议TR-069获取待检测的网络设备的特征信息及业务配置,还可以通过人工获取、或者基于WebGUI管理方式(即网站公开源码的管理系统)获取。实现时,以SNMP方式为例,网络设备与检测客户端的物理连接的接口需要打开SNMP端口和服务,通过向网络设备发送SNMP报文来获取该网络设备的特征信息和业务配置。
步骤S303,云检测数据中心根据获取的所述特征信息及业务配置,在检测报文库中匹配出检测报文发送给检测客户端,通过检测客户端对所述待检测的网络设备进行检测。
具体的,对所述待检测的网络设备进行检测时,检测客户端将匹配出的检测报文发送给待检测的网络设备,将该网络设备的响应告知云检测数据中心,云检测数据中心将该网络设备的响应,在响应行为库中进行比对,以判断网络设备行为是否合法,若行为合法,则输出日志至检测客户端,若行不合法,则在输出日志至检测客户端的同时,追加告警。
本实施例中根据在云检测数据中心中建立的响应行为库的不同组成,介绍三种比对流程:
第一种:响应行为库中包括:人工设置的第一响应行为记录和检测开始后保存的第二响应行为记录;
云检测数据中心将待检测的网络设备的响应与该匹配的检测报文对应的第二响应行为记录进行比对,若与第二响应行为记录中的多数一致,则判定行为合法,否则判定行为不合法;这里,响应行为记录中的多数是指响应行为记录中相同响应数量最多的那种响应记录。
当该匹配的检测报文对应的第二响应行为记录中不能区分出多数一致的响应行为记录时,云检测数据中心将该网络设备的响应与第一响应行为记录进行比对,若与第一响应行为记录一致,则判定行为合法,否则判定行为不合法;
第二种:响应行为库中包括:检测开始后保存的第二响应行为记录;
云检测数据中心将待检测的网络设备的响应与所述匹配的检测报文对应的第二响应行为记录进行比对,若与第二响应行为记录中的多数一致,则判定行为合法,否则判定行为不合法;
当所述匹配的检测报文对应的第二响应行为记录中不能区分出多数一致的响应行为记录时,云检测数据中心直接将比对结果判定为行为合法;
第三种:响应行为库中包括:人工设置的第一响应行为记录;
云检测数据中心将待检测的网络设备的响应与所述匹配的检测报文对应的第一响应行为记录进行比对,若与第一响应行为记录一致,则判定行为合法,否则判定行为不合法。
优选的,在步骤S301中,检测报文库还包括:与网络设备的类型对应的通用及随机检测报文库。如图2所示,通用及随机检测报文库按照网络设备的类型划分。承接步骤S301,本实施例的所述方法还包括:
步骤S304,云检测数据中心采用通用及随机检测报文库中的报文对所述网络设备进行检测,根据所述网络设备的响应判断其是否存在漏洞和后门。
具体的,云检测数据中心按照待检测的网络设备的不同类型采用相应的通用及随机检测报文库中的报文对该网络设备进行检测。该通用及随机检测报文库中的报文还是由检测客户端发送给待检测的网络设备,对于通用检测报文库,可以为其建立相应的响应行为库,后续云检测数据中心将该网络设备的响应,在该通用检测报文库的响应行为库中进行比对,以判断网络设备行为是否合法,若行为合法,则输出日志至检测客户端,若行不合法,则在输出日志至检测客户端的同时,追加告警。
对于采用随机检测报文库中的报文进行检测的情况,后续根据所述网络设备的响应判断其是否存在漏洞和后门。
本发明第四实施例,一种网络设备检测装置,如图6所示,包括以下组成部分:
检测处理模块100,优选的,位于云检测数据中心中,检测处理模块100用于基于网络设备的特征信息及业务配置,建立检测报文库;根据获取的所述特征信息及业务配置在检测报文库中匹配出检测报文,发送给检测接口模块200并通过其对待检测的网络设备进行检测;
检测接口模块200,优选的,位于检测客户端中,检测接口模块200用于获取待检测的网络设备的特征信息及业务配置,发送给检测处理模块100;基于检测处理模块100发来的检测报文对待检测的网络设备进行检测。
具体的,检测接口模块100主要是通过SNMP协议或者NETCONF协议或者用户端设备广域网管理协议TR-069获取待检测的网络设备的特征信息及业务配置,还可以通过人工获取、或者基于WebGUI管理方式(即网站公开源码的管理系统)获取。网络设备的特征信息包括:网络设备的类型和型号,网络设备的种类可以根据特征信息来划分,建立检测报文库时,每种网络设备的业务配置的类型至少包括以下之一:接口信息、IP地址配置、VLAN配置、路由配置、MPLS配置、以及协议配置。
本发明第五实施例,一种网络设备检测装置,如图6所示,包括以下组成部分:
检测处理模块100,优选的,位于云检测数据中心中,检测处理模块100用于基于网络设备的特征信息及业务配置,建立检测报文库及其对应的响应行为库;根据获取的所述特征信息及业务配置在检测报文库中匹配出检测报文,发送给检测接口模块200并通过其对待检测的网络设备进行检测;
检测接口模块200,优选的,位于检测客户端中,检测接口模块200用于获取待检测的网络设备的特征信息及业务配置,发送给检测处理模块100;基于检测处理模块100发来的检测报文对待检测的网络设备进行检测。
进一步的,对待检测的网络设备进行检测时,检测接口模块200还用于:将检测报文发送给待检测的网络设备,并将待检测的网络设备的响应告知检测处理模块100。
检测处理模块100还用于:将所述待检测的网络设备的响应在响应行为库中进行比对以判断网络设备行为是否合法;
本实施例中根据响应行为库的不同组成,介绍三种可选的比对方式:
第一种:响应行为库中包括:人工设置的第一响应行为记录和检测开始后保存的第二响应行为记录;
检测处理模块100将待检测的网络设备的响应与所述匹配的检测报文对应的第二响应行为记录进行比对,若与第二响应行为记录中的多数一致,则判定行为合法,否则判定行为不合法;这里,响应行为记录中的多数是指响应行为记录中相同响应数量最多的那种响应记录。
当所述匹配的检测报文对应的第二响应行为记录中不能区分出多数一致的响应行为记录时,将待检测的网络设备的响应与第一响应行为记录进行比对,若与第一响应行为记录一致,则判定行为合法,否则判定行为不合法;
第二种:响应行为库中包括:检测开始后保存的第二响应行为记录;
检测处理模块100将待检测的网络设备的响应与所述匹配的检测报文对应的第二响应行为记录进行比对,若与第二响应行为记录中的多数一致,则判定行为合法,否则判定行为不合法;
当所述匹配的检测报文对应的第二响应行为记录中不能区分出多数一致的响应行为记录时,直接将比对结果判定为行为合法;
第三种:响应行为库中包括:人工设置的第一响应行为记录;
检测处理模块100将待检测的网络设备的响应与所述匹配的检测报文对应的第一响应行为记录进行比对,若与第一响应行为记录一致,则判定行为合法,否则判定行为不合法。
检测报文库的创建情况如图2所示,优选的,检测报文库还包括与网络设备的类型对应的通用及随机检测报文库;
检测处理模块100还用于:采用通用及随机检测报文库中的报文对所述网络设备进行检测,根据所述网络设备的响应判断其是否存在漏洞和后门。
具体的,检测处理模块100按照待检测的网络设备的不同类型采用相应的通用及随机检测报文库中的报文对所述网络设备进行检测,该通用及随机检测报文库中的报文还是由检测接口模块200发送给待检测的网络设备,对于通用检测报文库,可以具备相应的响应行为库,后续检测处理模块100将该网络设备的响应,在该通用检测报文库的响应行为库中进行比对,以判断网络设备行为是否合法。
对于采用随机检测报文库中的报文进行检测的情况,后续根据所述网络设备的响应判断其是否存在漏洞和后门。
本发明第六实施例,一种网络设备云检测系统,如图7所示,包括云检测数据中心10、检测客户端20、以及网络设备30,其中,
检测处理模块100,位于云检测数据中心10中,用于基于各网络设备30的特征信息及业务配置,建立检测报文库;根据获取的所述特征信息及业务配置在检测报文库中匹配出检测报文,发送给检测接口模块200并通过其对待检测的网络设备30进行检测;
检测接口模块200,位于检测客户端20中,用于获取待检测的网络设备30的特征信息及业务配置,发送给检测处理模块100;基于检测处理模块100发来的检测报文对待检测的网络设备30进行检测。
下面基于第一~六实施例,介绍一个本发明的应用实例。
图8为本发明应用实例的网络设备云检测系统的拓扑结构示意图。以网络设备为路由器的情况为例,图9为本发明应用实例中的路由器、检测客户端与云检测数据中心报文交互过程示意图。
如图9所示,本发明应用实例中对路由器的检测过程,包括以下步骤:
101,建立云检测数据中心,并配置相关的网络设备库、检测报文库、报文的响应行为库;
102,配置检测客户端A,被检测路由器R1,IP地址为192.168.1.1。
103,检测客户端A向路由器R1发送SNMP请求报文,路由器R1返回相关的配置信息至客户端A。
104,检测客户端A获取了路由器R1的型号为X型号系列路由器、配置了NAT、OSPF、LSP协议等业务信息。
105,检测客户端A将路由器R1的相关特征信息告知云检测数据中心。
106,云检测数据中心对路由器R1特征信息分析并进行检测报文库的匹配。
107,云检测数据中心通知检测客户端A准备完毕。
108,检测客户端A通知云检测数据中心,获取第1条检测报文。
109,云检测数据中心根据路由器R1相关MAC、IP等配置信息,封装完整的一条检测报文,并发送给检测客户端A。
110,检测客户端收到检测报文后,将该检测报文发送至被检测路由器R1,路由器R1做出响应,并回复报文至检测客户端A。
111,检测客户端A收到响应报文后,发送响应报文至云检测数据中心。
112,云检测数据中心将响应报文与响应行为库中的记录进行比对,若行为合法,则输出日志至检测客户端A;若行为不合法,则在输出日志至检测客户端A的同时追加告警;
113,检测客户端A对日志和告警进行处理。并请求第2条检测报文,重复如上步骤。
114,当第2条报文从检测客户端A发送至路由器R1时,路由器R1没有响应。
115,检测客户端A等待设定的时间T之后,通知云检测数据中心路由器R1“无响应”。
116,云检测数据中心根据路由器R1“无响应”的行为,和响应行为库中的记录进行比对,若行为合法,则输出日志至客户端A;若行为不合法,则在输出日志至检测客户端A的同时追加告警。
本发明实施例的网络设备检测方法、装置及云检测系统,能够有针对性的发现网络设备的业务漏洞和缺陷。在采用通用及随机检测报文进行检测的情况下,通过判断检测结果可以发现网络设备的漏洞和后门,进而实现全面有效的对网络设备进行检测。本发明所述网络设备云检测系统,将检测报文库创建于云检测数据中心中,便于编辑与维护,且与现有技术中将测试用例、报文库、漏洞库、插件库等扫描素材定制化、安装在检测客户端装置中相比,本发明检测客户端可以与云检测数据中心中进行实时连接进行检测,检测结果实时性与交互性较好。
通过具体实施方式的说明,应当可对本发明为达成预定目的所采取的技术手段及功效得以更加深入且具体的了解,然而所附图示仅是提供参考与说明之用,并非用来对本发明加以限制。