CN104113443B - 一种网络设备检测方法、装置及云检测系统 - Google Patents
一种网络设备检测方法、装置及云检测系统 Download PDFInfo
- Publication number
- CN104113443B CN104113443B CN201310138033.8A CN201310138033A CN104113443B CN 104113443 B CN104113443 B CN 104113443B CN 201310138033 A CN201310138033 A CN 201310138033A CN 104113443 B CN104113443 B CN 104113443B
- Authority
- CN
- China
- Prior art keywords
- detection
- network equipment
- detected
- library
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
- H04L41/0806—Configuration setting for initial configuration or provisioning, e.g. plug-and-play
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/085—Retrieval of network configuration; Tracking network configuration history
- H04L41/0853—Retrieval of network configuration; Tracking network configuration history by actively collecting configuration information or by backing up configuration information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/02—Standardisation; Integration
- H04L41/0213—Standardised network management protocols, e.g. simple network management protocol [SNMP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/50—Network service management, e.g. ensuring proper service fulfilment according to agreements
- H04L41/508—Network service management, e.g. ensuring proper service fulfilment according to agreements based on type of value added network service under agreement
- H04L41/5096—Network service management, e.g. ensuring proper service fulfilment according to agreements based on type of value added network service under agreement wherein the managed service relates to distributed or central networked applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/50—Testing arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Abstract
本发明公开了一种网络设备检测方法、装置及云检测系统,该方法包括:基于网络设备的特征信息及业务配置,建立检测报文库;获取待检测的网络设备的特征信息及业务配置;根据获取的所述特征信息及业务配置在检测报文库中匹配出检测报文,采用匹配出的检测报文对所述待检测的网络设备进行检测。该云检测系统包括云检测数据中心、检测客户端以及网络设备。本发明能够有针对性的发现网络设备的漏洞和缺陷,且检测客户端可以与云检测数据中心中进行实时连接进行检测,检测结果实时性与交互性较好。
Description
技术领域
本发明涉及互联网设备技术领域,尤其涉及一种网络设备检测方法、装置及云检测系统。
背景技术
网络设备检测和故障发现技术是一种能够有效的发现当前运行的网络设备潜在缺陷和隐藏后门的技术,目前已经成为网络安全研究中的热点之一,针对发现缺陷和后门的网络设备检测的安全技术进行分析和研究,具有重要的现实意义。
网络设备检测是进行远程或本地系统性测试的一种技术。其基本原理是采用模拟构造各类报文对目标路由器、交换机或防火墙进行发送的方式,并且对目标网络设备可能存在的缺陷进行逐项检测,以便对路由器、交换机、防火墙等对象进行系统可靠性评估。借助于基于报文的检测技术,人们可以发现网络和主机存在的对外开放的端口、提供的服务、某些系统信息、错误的配置、已知的漏洞、未知的漏洞、后门等。故网络设备检测技术是一种极为有效的自动测试技术,能发现用户购买、测试、现网运行中的设备隐患,为用户采购、评估网络设备的可靠性,提供强有力的技术支持。
目前在多数网络设备扫描客户端或网络设备检测的客户端中,多数只安装一种或固定的几种扫描软件,但是问题在于,没有任何一种检测软件可以扫描和测试所有网络设备的缺陷。同时,大多数测试用例,尤其是新技术新标准的检测用例需要用户手动添加,增加了维护和开发的难度和成本,并且不能完整的补充案例和报文库。
另外,现有的网络扫描技术目标不单一,目的不明确,并不能全面而有效的发现路由器、交换机或防火墙的漏洞。并且现有的网络扫描技术没有和网络中存在的业务,例如路由协议、MPLS(Multi-Protocol Label Switching,多协议标签交换)、IPsec(InternetProtocol Security,通过对IP协议的分组进行加密和认证来保护IP协议的网络传输协议族)等相关联,因此不能有针对性的发现业务的漏洞和缺陷。
发明内容
本发明要解决的技术问题是,提供一种网络设备检测方法、装置及云检测系统,能够有针对性的对网络设备的业务漏洞和缺陷进行检测。
本发明采用的技术方案是,所述网络设备检测方法,包括:
基于网络设备的特征信息及业务配置,建立检测报文库;
获取待检测的网络设备的特征信息及业务配置;
根据获取的所述特征信息及业务配置,在检测报文库中匹配出检测报文,利用匹配出的检测报文对所述待检测的网络设备进行检测。
进一步的,所述方法还包括:基于网络设备的特征信息及业务配置,建立与检测报文库对应的响应行为库;
对所述待检测的网络设备进行检测时,将所述待检测的网络设备的响应在响应行为库中进行比对以判断网络设备行为是否合法。
进一步的,通过SNMP(Simple Network Management Protocol,简单网络管理协议)或者网络配置NETCONF协议或者用户端设备广域网管理协议TR-069获取待检测的网络设备的特征信息及业务配置。
进一步的,所述网络设备的特征信息包括:网络设备的类型和型号;建立检测报文库时,网络设备的业务配置的类型至少包括以下之一:接口信息、IP(Internet Protocol,互联网协议)地址配置、VLAN(Virtual Local Area Network,虚拟局域网)配置、路由配置、MPLS(Multi-Protocol Label Switching,多协议标签交换)配置、以及协议配置。
进一步的,所述检测报文库包括与网络设备的类型对应的通用及随机检测报文库;
所述方法还包括:采用通用及随机检测报文库中的报文对所述网络设备进行检测,根据所述网络设备的响应判断其是否存在漏洞和后门。
进一步的,所述方法还包括:当网络设备的特征信息及业务配置发生变化时,对所述检测报文库进行维护更新。
本发明还提供一种网络设备检测装置,包括:
检测处理模块,用于基于网络设备的特征信息及业务配置,建立检测报文库;根据获取的所述特征信息及业务配置在检测报文库中匹配出检测报文,发送给检测接口模块并通过其对待检测的网络设备进行检测;
检测接口模块,用于获取待检测的网络设备的特征信息及业务配置,发送给检测处理模块;基于检测处理模块发来的检测报文对待检测的网络设备进行检测。
进一步的,所述检测处理模块,还用于:基于网络设备的特征信息及业务配置建立与检测报文库对应的响应行为库;对所述待检测的网络设备进行检测时,将所述待检测的网络设备的响应在响应行为库中进行比对以判断网络设备行为是否合法;
所述检测接口模块,还用于将待检测的网络设备的响应告知检测处理模块。
进一步的,所述检测接口模块,具体用于:通过SNMP协议或者NETCONF协议或者用户端设备广域网管理协议TR-069获取待检测的网络设备的特征信息及业务配置。
所述网络设备的特征信息包括:网络设备的类型和型号;建立检测报文库时,网络设备的业务配置的类型至少包括以下之一:接口信息、IP地址配置、VLAN配置、路由配置、MPLS配置、以及协议配置。
进一步的,所述检测报文库包括与网络设备的类型对应的通用及随机检测报文库;
所述检测处理模块,还用于采用通用及随机检测报文库中的报文对所述网络设备进行检测,根据所述网络设备的响应判断其是否存在漏洞和后门;
所述检测接口模块,还用于将待检测的网络设备的响应告知检测处理模块。
进一步的,所述检测处理模块,还用于当网络设备的特征信息及业务配置发生变化时,对所述检测报文库进行维护更新。
本发明还提供一种采用上述网络设备检测装置的云检测系统,包括云检测数据中心、检测客户端、以及网络设备,其中,
检测处理模块,位于云检测数据中心中,用于基于网络设备的特征信息及业务配置,建立检测报文库;根据获取的所述特征信息及业务配置在检测报文库中匹配出检测报文,发送给检测接口模块并通过其对待检测的网络设备进行检测;
检测接口模块,位于检测客户端中,用于获取待检测的网络设备的特征信息及业务配置,发送给检测处理模块;基于检测处理模块发来的检测报文对待检测的网络设备进行检测。
采用上述技术方案,本发明至少具有下列优点:
本发明所述网络设备检测方法、装置及云检测系统,能够有针对性的发现网络设备的业务漏洞和缺陷。在采用通用及随机检测报文进行检测的情况下,通过判断检测结果,可以发现网络设备的漏洞和后门,进而实现全面有效的对网络设备进行检测。本发明所述网络设备云检测系统,将检测报文库创建于云检测数据中心中,便于编辑与维护,与现有技术中将测试用例、报文库、漏洞库、插件库等扫描素材定制化,安装在检测客户端装置中相比,检测客户端可以与云检测数据中心中进行实时连接进行检测,检测结果实时性与交互性较好。
附图说明
图1为本发明第一实施例的网络设备检测方法流程图;
图2为本发明的检测报文库建立情况示意图;
图3为本发明第二实施例的网络设备检测方法流程图;
图4为本发明的响应行为库建立情况示意图;
图5为本发明第三实施例的网络设备云检测方法流程图;
图6为本发明第四、五实施例的网络设备检测装置组成示意图;
图7为本发明第六实施例的网络设备云检测系统组成示意图;
图8为本发明应用实例的网络设备云检测系统的拓扑结构示意图;
图9为本发明应用实例中对路由器检测的流程图。
具体实施方式
为更进一步阐述本发明为达成预定目的所采取的技术手段及功效,以下结合附图及较佳实施例,对本发明进行详细说明如后。
本发明第一实施例,一种网络设备检测方法,如图1所示,包括以下具体步骤:
步骤S101,基于网络设备的特征信息及业务配置,建立检测报文库。
具体的,网络设备的特征信息包括:网络设备的类型和型号,网络设备的种类可以根据特征信息来划分,建立检测报文库时,每种网络设备的业务配置的类型至少包括以下之一:接口信息、IP地址配置、VLAN配置、路由配置、MPLS配置、以及协议配置等。该协议配置包括:IPsec、RADIUS(Remote Authentication Dial In User Service,远程接入拨入用户服务)、PPPoE等。
网络设备的类型包括:交换机、路由器和防火墙等。图2给出了检测报文库建立情况示意图,对于路由器类型的网络设备,为路由器下面每一种型号创建该型号路由器的业务配置所对应的检测报文库,例如,A型号路由器对应的检测报文库包括:OSPF(OpenShortest Path First,开放式最短路径优先)协议检测报文库、IPsec应用检测报文库、L2VPN(Layer2 Virtual Private Network,基于MPLS网络的二层虚拟专用网服务)应用检测报文库、PPPoE(point to point protocal over Ethernet,在Ethernet上承载点到点连接协议)检测报文库等,每个与业务配置相关的检测报文库中又包含有若干检测报文。对于交换机类型的网络设备,为交换机下面每一种型号创建该型号交换机的业务配置所对应的检测报文库,例如,A型号交换机对应的检测报文库包括:VLAN协议检测报文库、CFM(Connectivity Fault Management,连接故障管理)应用检测报文库、窥探(Snooping)检测报文库等。对于防火墙类型的网络设备,为防火墙下面每一种型号创建该型号防火墙的业务配置所对应的检测报文库,例如,A型号防火墙对应的检测报文库包括:NAT(NetworkAddress Translation,网络地址转换)应用检测报文库、ACL(Access Control List,访问控制列表)应用检测报文库、策略模块检测报文库等。
本实施例的检测报文库可以是比较全面的覆盖目前本领域所出现的网络设备种类及相应的业务配置情况,优选的,当网络设备的特征信息及业务配置发生变化时,可以对所述检测报文库进行维护更新,比如:当有新的网络设备及业务配置出现时,或者目前建库所涉及的某种网络设备的业务配置发生变化时,对所述检测报文库中的检测报文进行相应的增删。
步骤S102,获取待检测的网络设备的特征信息及业务配置。
具体的,主要是通过SNMP协议或者NETCONF协议或者用户端设备广域网管理协议TR-069获取待检测的网络设备的特征信息及业务配置,还可以通过人工获取、或者基于WebGUI管理方式(即网站公开源码的管理系统)获取。实现时,以SNMP方式为例,将网络设备的SNMP端口和服务打开,通过向网络设备发送SNMP报文来获取该网络设备的特征信息和业务配置。
步骤S103,根据获取的所述特征信息及业务配置,在检测报文库中匹配出检测报文,利用匹配出的检测报文对所述待检测的网络设备进行检测。此时可以根据网络设备的响应判断其行为是否合法。待检测网络设备业务配置通常与检测报文库中该种网络设备检测报文所涉及的业务配置有交集,即可匹配出检测报文,若没有交集,则需要对检测报文库进行更新,以补充新的业务配置检测报文。
本发明第二实施例,一种网络设备检测方法,如图3所示,包括以下具体步骤:
步骤S201,基于网络设备的特征信息及业务配置,建立检测报文库及其对应的响应行为库。
具体的,本实施例中建立检测报文库的过程与第一实施例中相同。
图4给出了响应行为库建立情况示意图,响应行为库中的响应行为记录是与具体的报文对应的,以交换机类型的网络设备为例,A型号的交换机下有n个报文的响应行为记录,报文1~3可能属于VLAN协议检测报文库,故报文1~3响应行为记录分别与VLAN协议检测报文库中的报文1~3对应,而报文4~6可能属于CFM应用检测报文库,故报文4~6响应行为记录分别与CFM应用检测报文库中的报文4~6对应。再以路由器类型的网络设备为例,A型号的路由器下有n个报文的响应行为记录,报文1~4可能属于OSPF协议检测报文库,故报文1~4响应行为记录分别与VLAN协议检测报文库中的报文1~4对应,A型号路由器与A型号交换机下面的报文的响应行为记录的个数也可以不同。
步骤S202,获取待检测的网络设备的特征信息及业务配置。
具体的,主要是通过SNMP协议或者NETCONF协议或者用户端设备广域网管理协议TR-069获取待检测的网络设备的特征信息及业务配置,还可以通过人工获取、或者基于WebGUI管理方式(即网站公开源码的管理系统)获取。
步骤S203,根据获取的所述特征信息及业务配置,在检测报文库中匹配出检测报文,利用匹配出的检测报文对所述待检测的网络设备进行检测。
具体的,对所述待检测的网络设备进行检测时,将所述待检测的网络设备的响应在响应行为库中进行比对,以判断网络设备行为是否合法。
本实施例中根据响应行为库的不同组成,介绍三种比对流程:
第一种:响应行为库中包括:人工设置的第一响应行为记录和检测开始后保存的第二响应行为记录;
将待检测的网络设备的响应与所述匹配的检测报文对应的第二响应行为记录进行比对,若与第二响应行为记录中的多数一致,则判定行为合法,否则判定行为不合法;这里,响应行为记录中的多数是指响应行为记录中相同响应数量最多的那种响应记录。
当所述匹配的检测报文对应的第二响应行为记录中不能区分出多数一致的响应行为记录时,将待检测的网络设备的响应与第一响应行为记录进行比对,若与第一响应行为记录一致,则判定行为合法,否则判定行为不合法;
第二种:响应行为库中包括:检测开始后保存的第二响应行为记录;
将待检测的网络设备的响应与所述匹配的检测报文对应的第二响应行为记录进行比对,若与第二响应行为记录中的多数一致,则判定行为合法,否则判定行为不合法;
当所述匹配的检测报文对应的第二响应行为记录中不能区分出多数一致的响应行为记录时,直接将比对结果判定为行为合法;
第三种:响应行为库中包括:人工设置的第一响应行为记录;
将待检测的网络设备的响应与所述匹配的检测报文对应的第一响应行为记录进行比对,若与第一响应行为记录一致,则判定行为合法,否则判定行为不合法。
优选的,在步骤S201中,检测报文库还包括:与网络设备的类型对应的通用及随机检测报文库。如图2所示,通用及随机检测报文库按照网络设备的类型划分。承接步骤S201,本实施例的所述方法还包括:
步骤S204,采用通用及随机检测报文库中的报文,对所述网络设备进行检测,根据所述网络设备的响应判断其是否存在漏洞和后门。
具体的,按照待检测的网络设备的不同类型,采用相应的通用及随机检测报文库中的报文,对所述网络设备进行检测,对于通用检测报文库,可以具备相应的响应行为库,后续将该网络设备的响应,在该通用检测报文库的响应行为库中进行比对,以判断网络设备行为是否合法。
对于采用随机检测报文库中的报文进行检测的情况,根据所述网络设备的响应判断其是否存在漏洞和后门。比如:有些网络设备可能在收到某条随机检测报文后,会出现向指定端口发送本机信息的行为,这就是一种网络设备的后门。
本发明第三实施例,本实施例是在第二实施例的基础上引入云检测数据中心和检测客户端,使它们按照本实施例的步骤执行检测流程,可以作为本发明的最佳实施例,即一种网络设备检测方法,如图5所示,包括以下具体步骤:
步骤S301,在云检测数据中心中基于网络设备的特征信息及业务配置,建立检测报文库及其对应的响应行为库。本步骤将检测报文库和响应行为库立在云检测数据中心中,便于对检测报文进行编辑和维护。
步骤S302,检测客户端获取待检测的网络设备的特征信息及业务配置。
具体的,检测客户端主要是通过SNMP协议或者NETCONF协议或者用户端设备广域网管理协议TR-069获取待检测的网络设备的特征信息及业务配置,还可以通过人工获取、或者基于WebGUI管理方式(即网站公开源码的管理系统)获取。实现时,以SNMP方式为例,网络设备与检测客户端的物理连接的接口需要打开SNMP端口和服务,通过向网络设备发送SNMP报文来获取该网络设备的特征信息和业务配置。
步骤S303,云检测数据中心根据获取的所述特征信息及业务配置,在检测报文库中匹配出检测报文发送给检测客户端,通过检测客户端对所述待检测的网络设备进行检测。
具体的,对所述待检测的网络设备进行检测时,检测客户端将匹配出的检测报文发送给待检测的网络设备,将该网络设备的响应告知云检测数据中心,云检测数据中心将该网络设备的响应,在响应行为库中进行比对,以判断网络设备行为是否合法,若行为合法,则输出日志至检测客户端,若行不合法,则在输出日志至检测客户端的同时,追加告警。
本实施例中根据在云检测数据中心中建立的响应行为库的不同组成,介绍三种比对流程:
第一种:响应行为库中包括:人工设置的第一响应行为记录和检测开始后保存的第二响应行为记录;
云检测数据中心将待检测的网络设备的响应与该匹配的检测报文对应的第二响应行为记录进行比对,若与第二响应行为记录中的多数一致,则判定行为合法,否则判定行为不合法;这里,响应行为记录中的多数是指响应行为记录中相同响应数量最多的那种响应记录。
当该匹配的检测报文对应的第二响应行为记录中不能区分出多数一致的响应行为记录时,云检测数据中心将该网络设备的响应与第一响应行为记录进行比对,若与第一响应行为记录一致,则判定行为合法,否则判定行为不合法;
第二种:响应行为库中包括:检测开始后保存的第二响应行为记录;
云检测数据中心将待检测的网络设备的响应与所述匹配的检测报文对应的第二响应行为记录进行比对,若与第二响应行为记录中的多数一致,则判定行为合法,否则判定行为不合法;
当所述匹配的检测报文对应的第二响应行为记录中不能区分出多数一致的响应行为记录时,云检测数据中心直接将比对结果判定为行为合法;
第三种:响应行为库中包括:人工设置的第一响应行为记录;
云检测数据中心将待检测的网络设备的响应与所述匹配的检测报文对应的第一响应行为记录进行比对,若与第一响应行为记录一致,则判定行为合法,否则判定行为不合法。
优选的,在步骤S301中,检测报文库还包括:与网络设备的类型对应的通用及随机检测报文库。如图2所示,通用及随机检测报文库按照网络设备的类型划分。承接步骤S301,本实施例的所述方法还包括:
步骤S304,云检测数据中心采用通用及随机检测报文库中的报文对所述网络设备进行检测,根据所述网络设备的响应判断其是否存在漏洞和后门。
具体的,云检测数据中心按照待检测的网络设备的不同类型采用相应的通用及随机检测报文库中的报文对该网络设备进行检测。该通用及随机检测报文库中的报文还是由检测客户端发送给待检测的网络设备,对于通用检测报文库,可以为其建立相应的响应行为库,后续云检测数据中心将该网络设备的响应,在该通用检测报文库的响应行为库中进行比对,以判断网络设备行为是否合法,若行为合法,则输出日志至检测客户端,若行不合法,则在输出日志至检测客户端的同时,追加告警。
对于采用随机检测报文库中的报文进行检测的情况,后续根据所述网络设备的响应判断其是否存在漏洞和后门。
本发明第四实施例,一种网络设备检测装置,如图6所示,包括以下组成部分:
检测处理模块100,优选的,位于云检测数据中心中,检测处理模块100用于基于网络设备的特征信息及业务配置,建立检测报文库;根据获取的所述特征信息及业务配置在检测报文库中匹配出检测报文,发送给检测接口模块200并通过其对待检测的网络设备进行检测;
检测接口模块200,优选的,位于检测客户端中,检测接口模块200用于获取待检测的网络设备的特征信息及业务配置,发送给检测处理模块100;基于检测处理模块100发来的检测报文对待检测的网络设备进行检测。
具体的,检测接口模块100主要是通过SNMP协议或者NETCONF协议或者用户端设备广域网管理协议TR-069获取待检测的网络设备的特征信息及业务配置,还可以通过人工获取、或者基于WebGUI管理方式(即网站公开源码的管理系统)获取。网络设备的特征信息包括:网络设备的类型和型号,网络设备的种类可以根据特征信息来划分,建立检测报文库时,每种网络设备的业务配置的类型至少包括以下之一:接口信息、IP地址配置、VLAN配置、路由配置、MPLS配置、以及协议配置。
本发明第五实施例,一种网络设备检测装置,如图6所示,包括以下组成部分:
检测处理模块100,优选的,位于云检测数据中心中,检测处理模块100用于基于网络设备的特征信息及业务配置,建立检测报文库及其对应的响应行为库;根据获取的所述特征信息及业务配置在检测报文库中匹配出检测报文,发送给检测接口模块200并通过其对待检测的网络设备进行检测;
检测接口模块200,优选的,位于检测客户端中,检测接口模块200用于获取待检测的网络设备的特征信息及业务配置,发送给检测处理模块100;基于检测处理模块100发来的检测报文对待检测的网络设备进行检测。
进一步的,对待检测的网络设备进行检测时,检测接口模块200还用于:将检测报文发送给待检测的网络设备,并将待检测的网络设备的响应告知检测处理模块100。
检测处理模块100还用于:将所述待检测的网络设备的响应在响应行为库中进行比对以判断网络设备行为是否合法;
本实施例中根据响应行为库的不同组成,介绍三种可选的比对方式:
第一种:响应行为库中包括:人工设置的第一响应行为记录和检测开始后保存的第二响应行为记录;
检测处理模块100将待检测的网络设备的响应与所述匹配的检测报文对应的第二响应行为记录进行比对,若与第二响应行为记录中的多数一致,则判定行为合法,否则判定行为不合法;这里,响应行为记录中的多数是指响应行为记录中相同响应数量最多的那种响应记录。
当所述匹配的检测报文对应的第二响应行为记录中不能区分出多数一致的响应行为记录时,将待检测的网络设备的响应与第一响应行为记录进行比对,若与第一响应行为记录一致,则判定行为合法,否则判定行为不合法;
第二种:响应行为库中包括:检测开始后保存的第二响应行为记录;
检测处理模块100将待检测的网络设备的响应与所述匹配的检测报文对应的第二响应行为记录进行比对,若与第二响应行为记录中的多数一致,则判定行为合法,否则判定行为不合法;
当所述匹配的检测报文对应的第二响应行为记录中不能区分出多数一致的响应行为记录时,直接将比对结果判定为行为合法;
第三种:响应行为库中包括:人工设置的第一响应行为记录;
检测处理模块100将待检测的网络设备的响应与所述匹配的检测报文对应的第一响应行为记录进行比对,若与第一响应行为记录一致,则判定行为合法,否则判定行为不合法。
检测报文库的创建情况如图2所示,优选的,检测报文库还包括与网络设备的类型对应的通用及随机检测报文库;
检测处理模块100还用于:采用通用及随机检测报文库中的报文对所述网络设备进行检测,根据所述网络设备的响应判断其是否存在漏洞和后门。
具体的,检测处理模块100按照待检测的网络设备的不同类型采用相应的通用及随机检测报文库中的报文对所述网络设备进行检测,该通用及随机检测报文库中的报文还是由检测接口模块200发送给待检测的网络设备,对于通用检测报文库,可以具备相应的响应行为库,后续检测处理模块100将该网络设备的响应,在该通用检测报文库的响应行为库中进行比对,以判断网络设备行为是否合法。
对于采用随机检测报文库中的报文进行检测的情况,后续根据所述网络设备的响应判断其是否存在漏洞和后门。
本发明第六实施例,一种网络设备云检测系统,如图7所示,包括云检测数据中心10、检测客户端20、以及网络设备30,其中,
检测处理模块100,位于云检测数据中心10中,用于基于各网络设备30的特征信息及业务配置,建立检测报文库;根据获取的所述特征信息及业务配置在检测报文库中匹配出检测报文,发送给检测接口模块200并通过其对待检测的网络设备30进行检测;
检测接口模块200,位于检测客户端20中,用于获取待检测的网络设备30的特征信息及业务配置,发送给检测处理模块100;基于检测处理模块100发来的检测报文对待检测的网络设备30进行检测。
下面基于第一~六实施例,介绍一个本发明的应用实例。
图8为本发明应用实例的网络设备云检测系统的拓扑结构示意图。以网络设备为路由器的情况为例,图9为本发明应用实例中的路由器、检测客户端与云检测数据中心报文交互过程示意图。
如图9所示,本发明应用实例中对路由器的检测过程,包括以下步骤:
101,建立云检测数据中心,并配置相关的网络设备库、检测报文库、报文的响应行为库;
102,配置检测客户端A,被检测路由器R1,IP地址为192.168.1.1。
103,检测客户端A向路由器R1发送SNMP请求报文,路由器R1返回相关的配置信息至客户端A。
104,检测客户端A获取了路由器R1的型号为X型号系列路由器、配置了NAT、OSPF、LSP协议等业务信息。
105,检测客户端A将路由器R1的相关特征信息告知云检测数据中心。
106,云检测数据中心对路由器R1特征信息分析并进行检测报文库的匹配。
107,云检测数据中心通知检测客户端A准备完毕。
108,检测客户端A通知云检测数据中心,获取第1条检测报文。
109,云检测数据中心根据路由器R1相关MAC、IP等配置信息,封装完整的一条检测报文,并发送给检测客户端A。
110,检测客户端收到检测报文后,将该检测报文发送至被检测路由器R1,路由器R1做出响应,并回复报文至检测客户端A。
111,检测客户端A收到响应报文后,发送响应报文至云检测数据中心。
112,云检测数据中心将响应报文与响应行为库中的记录进行比对,若行为合法,则输出日志至检测客户端A;若行为不合法,则在输出日志至检测客户端A的同时追加告警;
113,检测客户端A对日志和告警进行处理。并请求第2条检测报文,重复如上步骤。
114,当第2条报文从检测客户端A发送至路由器R1时,路由器R1没有响应。
115,检测客户端A等待设定的时间T之后,通知云检测数据中心路由器R1“无响应”。
116,云检测数据中心根据路由器R1“无响应”的行为,和响应行为库中的记录进行比对,若行为合法,则输出日志至客户端A;若行为不合法,则在输出日志至检测客户端A的同时追加告警。
本发明实施例的网络设备检测方法、装置及云检测系统,能够有针对性的发现网络设备的业务漏洞和缺陷。在采用通用及随机检测报文进行检测的情况下,通过判断检测结果可以发现网络设备的漏洞和后门,进而实现全面有效的对网络设备进行检测。本发明所述网络设备云检测系统,将检测报文库创建于云检测数据中心中,便于编辑与维护,且与现有技术中将测试用例、报文库、漏洞库、插件库等扫描素材定制化、安装在检测客户端装置中相比,本发明检测客户端可以与云检测数据中心中进行实时连接进行检测,检测结果实时性与交互性较好。
通过具体实施方式的说明,应当可对本发明为达成预定目的所采取的技术手段及功效得以更加深入且具体的了解,然而所附图示仅是提供参考与说明之用,并非用来对本发明加以限制。
Claims (11)
1.一种网络设备检测方法,其特征在于,包括:
基于网络设备的特征信息及业务配置,建立检测报文库;
获取待检测的网络设备的特征信息及业务配置;
根据获取的所述特征信息及业务配置,在检测报文库中匹配出检测报文,利用匹配出的检测报文对所述待检测的网络设备进行检测;
所述网络设备的特征信息包括:网络设备的类型和型号;
建立检测报文库时,网络设备的业务配置的类型至少包括以下之一:接口信息、互联网协议IP地址配置、虚拟局域网VLAN配置、路由配置、多协议标签交换MPLS、以及协议配置;所述协议配置包括:通过对IP协议的分组进行加密和认证来保护IP协议的网络传输协议族IPsec、远程接入拨入用户服务RADIUS和以太网上的PPP协议PPPoE。
2.根据权利要求1所述的网络设备检测方法,其特征在于,所述方法还包括:基于网络设备的特征信息及业务配置,建立与检测报文库对应的响应行为库;
对所述待检测的网络设备进行检测时,将所述待检测的网络设备的响应在响应行为库中进行比对,以判断网络设备行为是否合法。
3.根据权利要求2所述的网络设备检测方法,其特征在于,通过简单网络管理协议SNMP或者网络配置协议NETCONF或者用户端设备广域网管理协议TR-069获取待检测的网络设备的特征信息及业务配置。
4.根据权利要求1所述的网络设备检测方法,其特征在于,所述检测报文库包括与网络设备的类型对应的通用及随机检测报文库;
所述方法还包括:采用通用及随机检测报文库中的报文对所述网络设备进行检测,根据所述网络设备的响应判断其是否存在漏洞和后门。
5.根据权利要求1-4中任一项所述的网络设备检测方法,其特征在于,所述方法还包括:当网络设备的特征信息及业务配置发生变化时,对所述检测报文库进行维护更新。
6.一种网络设备检测装置,其特征在于,包括:
检测处理模块,用于基于网络设备的特征信息及业务配置,建立检测报文库;根据获取的所述特征信息及业务配置在检测报文库中匹配出检测报文,发送给检测接口模块并通过其对待检测的网络设备进行检测;
检测接口模块,用于获取待检测的网络设备的特征信息及业务配置,发送给检测处理模块;基于检测处理模块发来的检测报文对待检测的网络设备进行检测;
所述网络设备的特征信息包括:网络设备的类型和型号;
建立检测报文库时,网络设备的业务配置的类型至少包括以下之一:接口信息、互联网协议IP地址配置、虚拟局域网VLAN配置、路由配置、多协议标签交换MPLS、以及协议配置;所述协议配置包括:通过对IP协议的分组进行加密和认证来保护IP协议的网络传输协议族IPsec、远程接入拨入用户服务RADIUS和以太网上的PPP协议PPPoE。
7.根据权利要求6所述的网络设备检测装置,其特征在于,所述检测处理模块,还用于:基于网络设备的特征信息及业务配置,建立与检测报文库对应的响应行为库;对所述待检测的网络设备进行检测时,将所述待检测的网络设备的响应在响应行为库中进行比对以判断网络设备行为是否合法;
所述检测接口模块,还用于将待检测的网络设备的响应告知检测处理模块。
8.根据权利要求6所述的网络设备检测装置,其特征在于,所述检测接口模块,具体用于:通过简单网络管理协议SNMP或者网络配置协议NETCONF或者用户端设备广域网管理协议TR-069获取待检测的网络设备的特征信息及业务配置。
9.根据权利要求6所述的网络设备检测装置,其特征在于,所述检测报文库包括与网络设备的类型对应的通用及随机检测报文库;
所述检测处理模块,还用于采用通用及随机检测报文库中的报文对所述网络设备进行检测,根据所述网络设备的响应判断其是否存在漏洞和后门;
所述检测接口模块,还用于将待检测的网络设备的响应告知检测处理模块。
10.根据权利要求6-9中任一项所述的网络设备检测装置,其特征在于,所述检测处理模块,还用于当网络设备的特征信息及业务配置发生变化时,对所述检测报文库进行维护更新。
11.一种网络设备云检测系统,其特征在于,包括网络设备检测装置和网络设备,其中,所述网络设备检测装置包括:
检测处理模块,位于云检测数据中心中,用于基于网络设备的特征信息及业务配置,建立检测报文库;根据获取的所述特征信息及业务配置在检测报文库中匹配出检测报文,发送给检测接口模块并通过其对待检测的网络设备进行检测;
检测接口模块,位于检测客户端中,用于获取待检测的网络设备的特征信息及业务配置,发送给检测处理模块;基于检测处理模块发来的检测报文对待检测的网络设备进行检测;
所述网络设备的特征信息包括:网络设备的类型和型号;
建立检测报文库时,网络设备的业务配置的类型至少包括以下之一:接口信息、互联网协议IP地址配置、虚拟局域网VLAN配置、路由配置、多协议标签交换MPLS、以及协议配置;所述协议配置包括:通过对IP协议的分组进行加密和认证来保护IP协议的网络传输协议族IPsec、远程接入拨入用户服务RADIUS和以太网上的PPP协议PPPoE。
Priority Applications (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310138033.8A CN104113443B (zh) | 2013-04-19 | 2013-04-19 | 一种网络设备检测方法、装置及云检测系统 |
| PCT/CN2014/074848 WO2014169765A1 (zh) | 2013-04-19 | 2014-04-04 | 一种网络设备检测方法、装置及云检测系统 |
| EP14786046.4A EP2988454B1 (en) | 2013-04-19 | 2014-04-04 | Network device detecting method and apparatus, and cloud detection system |
| US14/784,999 US10063412B2 (en) | 2013-04-19 | 2014-04-04 | Network device detecting method and apparatus, and cloud detection system |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310138033.8A CN104113443B (zh) | 2013-04-19 | 2013-04-19 | 一种网络设备检测方法、装置及云检测系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104113443A CN104113443A (zh) | 2014-10-22 |
| CN104113443B true CN104113443B (zh) | 2018-10-02 |
Family
ID=51710079
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310138033.8A Active CN104113443B (zh) | 2013-04-19 | 2013-04-19 | 一种网络设备检测方法、装置及云检测系统 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US10063412B2 (zh) |
| EP (1) | EP2988454B1 (zh) |
| CN (1) | CN104113443B (zh) |
| WO (1) | WO2014169765A1 (zh) |
Families Citing this family (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105656643B (zh) * | 2014-11-10 | 2020-08-14 | 中兴通讯股份有限公司 | 一种基于网络配置协议进行兼容管理的方法及设备 |
| CN106301993A (zh) * | 2015-06-12 | 2017-01-04 | 中兴通讯股份有限公司 | 一种测试路由器的方法和装置 |
| CN105404207B (zh) * | 2015-12-14 | 2019-09-06 | 中国电子信息产业集团有限公司第六研究所 | 一种工业环境漏洞挖掘设备与方法 |
| CN105933288A (zh) * | 2016-04-08 | 2016-09-07 | 中国南方电网有限责任公司 | 一种网络设备漏洞的地理分布评估系统及方法 |
| CN108259213B (zh) | 2017-05-26 | 2020-05-12 | 新华三技术有限公司 | Netconf会话状态检测方法和装置 |
| CN107547261B (zh) * | 2017-07-24 | 2020-10-27 | 华为技术有限公司 | 云平台性能测试方法及装置 |
| CN109194615A (zh) * | 2018-08-01 | 2019-01-11 | 北京奇虎科技有限公司 | 一种检测设备漏洞信息的方法、装置及计算机设备 |
| CN109257348A (zh) * | 2018-09-13 | 2019-01-22 | 杭州安恒信息技术股份有限公司 | 一种基于工业控制系统的集群漏洞挖掘方法和装置 |
| CN113220570B (zh) * | 2021-05-11 | 2024-03-19 | 青岛以萨数据技术有限公司 | 一种基于缺陷库实现线上环境测试的方法及装置 |
| CN114553750B (zh) * | 2022-02-24 | 2023-09-22 | 杭州迪普科技股份有限公司 | 基于网络配置协议的自动化测试方法及装置 |
| CN114978942A (zh) * | 2022-05-13 | 2022-08-30 | 深信服科技股份有限公司 | 一种路由器检测方法、装置及电子设备和存储介质 |
| CN115442209B (zh) * | 2022-06-22 | 2024-02-02 | 北京车网科技发展有限公司 | 一种故障检测方法、装置、电子设备及存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101996451A (zh) * | 2009-08-14 | 2011-03-30 | 中国工商银行股份有限公司 | 银行自助设备系统的测试方法及服务器 |
| CN102142988A (zh) * | 2010-12-28 | 2011-08-03 | 华为终端有限公司 | 配置设备的方法、装置和系统 |
| US8248958B1 (en) * | 2009-12-09 | 2012-08-21 | Juniper Networks, Inc. | Remote validation of network device configuration using a device management protocol for remote packet injection |
| CN102736978A (zh) * | 2012-06-26 | 2012-10-17 | 奇智软件(北京)有限公司 | 一种检测应用程序的安装状态的方法及装置 |
Family Cites Families (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20060057916A (ko) | 2004-11-24 | 2006-05-29 | 한국전자통신연구원 | 정보보호 제품의 기능 시험을 위한 공격 패킷 생성 기능을포함하는 네트워크 패킷 생성 장치 및 방법 |
| US9172611B2 (en) * | 2006-09-01 | 2015-10-27 | Spirent Communications, Inc. | System and method for discovering assets and functional relationships in a network |
| US7821937B1 (en) | 2007-06-29 | 2010-10-26 | Symantec Corporation | Network protocol with damage loss resilient congestion control algorithm |
| CN102082659B (zh) | 2009-12-01 | 2014-07-23 | 厦门市美亚柏科信息股份有限公司 | 一种面向网络安全评估的漏洞扫描系统及其处理方法 |
| US8977599B2 (en) * | 2010-11-11 | 2015-03-10 | Verizon Patent And Licensing Inc. | Method and system for testing client-server applications |
| CN102081714A (zh) | 2011-01-25 | 2011-06-01 | 潘燕辉 | 一种基于服务器反馈的云查杀方法 |
| JP5618886B2 (ja) * | 2011-03-31 | 2014-11-05 | 株式会社日立製作所 | ネットワークシステムおよび計算機振り分け装置、計算機振り分け方法 |
| US9100298B2 (en) * | 2011-05-23 | 2015-08-04 | Cisco Technology, Inc. | Host visibility as a network service |
| CN102843269B (zh) | 2011-06-23 | 2018-04-03 | 中兴通讯股份有限公司 | 一种模拟微码业务处理流程的方法及系统 |
| CN103023939B (zh) * | 2011-09-26 | 2017-10-20 | 中兴通讯股份有限公司 | 在Nginx上实现云缓存的REST接口的方法和系统 |
| JP5484427B2 (ja) * | 2011-10-27 | 2014-05-07 | 株式会社日立製作所 | ネットワークシステムの管理方法、ネットワークシステム及び管理サーバ |
| CN102523221B (zh) | 2011-12-20 | 2014-11-19 | 国家计算机网络与信息安全管理中心 | 数据报文的检测方法及网络安全检测设备 |
| US9641394B2 (en) * | 2012-01-30 | 2017-05-02 | Microsoft Technology Licensing, Llc | Automated build-out of a cloud-computing stamp |
| CN103327037B (zh) * | 2012-03-20 | 2017-09-29 | 中兴通讯股份有限公司 | 数据同步方法及装置 |
| US9207988B2 (en) * | 2012-06-29 | 2015-12-08 | Intel Corporation | Method, system, and device for managing server hardware resources in a cloud scheduling environment |
| US8868474B2 (en) * | 2012-08-01 | 2014-10-21 | Empire Technology Development Llc | Anomaly detection for cloud monitoring |
-
2013
- 2013-04-19 CN CN201310138033.8A patent/CN104113443B/zh active Active
-
2014
- 2014-04-04 EP EP14786046.4A patent/EP2988454B1/en active Active
- 2014-04-04 WO PCT/CN2014/074848 patent/WO2014169765A1/zh active Application Filing
- 2014-04-04 US US14/784,999 patent/US10063412B2/en active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101996451A (zh) * | 2009-08-14 | 2011-03-30 | 中国工商银行股份有限公司 | 银行自助设备系统的测试方法及服务器 |
| US8248958B1 (en) * | 2009-12-09 | 2012-08-21 | Juniper Networks, Inc. | Remote validation of network device configuration using a device management protocol for remote packet injection |
| CN102142988A (zh) * | 2010-12-28 | 2011-08-03 | 华为终端有限公司 | 配置设备的方法、装置和系统 |
| CN102736978A (zh) * | 2012-06-26 | 2012-10-17 | 奇智软件(北京)有限公司 | 一种检测应用程序的安装状态的方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2988454A4 (en) | 2016-05-18 |
| WO2014169765A1 (zh) | 2014-10-23 |
| US20160072671A1 (en) | 2016-03-10 |
| EP2988454A1 (en) | 2016-02-24 |
| CN104113443A (zh) | 2014-10-22 |
| EP2988454B1 (en) | 2018-08-15 |
| US10063412B2 (en) | 2018-08-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104113443B (zh) | 一种网络设备检测方法、装置及云检测系统 | |
| US10462181B2 (en) | Method, system, and apparatus to identify and study advanced threat tactics, techniques and procedures | |
| ES2832999T3 (es) | Sistema y procedimiento para la evaluación pasiva de la seguridad perimetral industrial | |
| CN103442008B (zh) | 一种路由安全检测系统及检测方法 | |
| CN104169937B (zh) | 机会系统扫描 | |
| CN104683736B (zh) | 用于获取网络视频的方法和系统 | |
| US20150288604A1 (en) | Sensor Network Gateway | |
| CN103036733B (zh) | 非常规网络接入行为的监测系统及监测方法 | |
| CN104753736B (zh) | 用于检测对虚拟专用网络的恶意规避的方法和系统 | |
| CN104247332B (zh) | 处理关于虚拟机和网络之间的通信的流量的方法和系统 | |
| CN107431657A (zh) | 用于流分析的分组标记的方法 | |
| CN108353006A (zh) | 用于测试和剖析网络服务功能的非侵入式方法 | |
| CN107078921A (zh) | 用于基于商业意图驱动策略的网络业务表征、监视和控制的方法和系统 | |
| WO2016119600A1 (en) | Devices, systems and methods for debugging network connectivity | |
| JP2017512022A (ja) | センサネットワークゲートウェイ | |
| CN107566152A (zh) | 用于虚拟网络链路检测的方法及装置 | |
| CN108600260A (zh) | 一种工业物联网安全配置核查方法 | |
| CN108027808A (zh) | 互联网安全和管理设备 | |
| CN107528746A (zh) | 通信方法和源网络设备 | |
| CN106060040B (zh) | 企业网络访问控制方法及装置 | |
| Shemsi et al. | Boosting campus network design using cisco packet tracer | |
| CN109302317A (zh) | 一种网络设备检测方法及检测装置 | |
| Dong et al. | Argumentation-based fault diagnosis for home networks | |
| CN109412851A (zh) | 链路层路径检测方法、装置及系统 | |
| WO2015130752A1 (en) | Sensor network gateway |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20180817 Address after: 210000 68 Bauhinia Road, Yuhuatai District, Nanjing, Jiangsu Applicant after: Nanjing Zhongxing New Software Co., Ltd. Address before: 518057 Nanshan District high tech Industrial Park, Shenzhen, Guangdong, Ministry of justice, Zhongxing Road, South China road. Applicant before: ZTE Corporation |
|
| TA01 | Transfer of patent application right | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20191021 Address after: 518057 Nanshan District Guangdong high tech Industrial Park, South Road, science and technology, ZTE building, Ministry of Justice Patentee after: ZTE Communications Co., Ltd. Address before: 210000 No. 68 Bauhinia Road, Yuhuatai District, Jiangsu, Nanjing Patentee before: Nanjing Zhongxing New Software Co., Ltd. |
|
| TR01 | Transfer of patent right |