CN104333538A - 一种网络设备准入方法 - Google Patents
一种网络设备准入方法 Download PDFInfo
- Publication number
- CN104333538A CN104333538A CN201410567113.XA CN201410567113A CN104333538A CN 104333538 A CN104333538 A CN 104333538A CN 201410567113 A CN201410567113 A CN 201410567113A CN 104333538 A CN104333538 A CN 104333538A
- Authority
- CN
- China
- Prior art keywords
- information
- network equipment
- access method
- mac
- information database
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Small-Scale Networks (AREA)
Abstract
本发明一种网络设备准入方法,包括:建立验证信息数据库;接收网络设备发送的数据包;根据验证信息数据库,验证数据包中网络设备的Mac信息;根据Mac信息,验证DHCP信息、HTTP信息、SSDP信息;建立数据包捕捉线程,验证SNMP询问信息、NMAP扫描信息和NETBIOS扫描信息;本发明部署简单,采用主动探测和被动收集的方式,依靠验证信息能有效克服IP/MAC伪造问题,提高网络准入安全标准,保证企业的网络信息安全,同时能够识别出各种非IP设备的类型及型号,方便用户统一分类管理和准确定位跟踪。
Description
技术领域
本发明涉及网络安全技术领域,尤其是涉及一种基于广域网或局域网的网络设备准入方法。
背景技术
随着虚拟化的发展,大部分企事业单位中已经开始部署虚拟化桌面,还有在当今网络中各种IP设备层出不穷,如:网络摄像头、网络传感器、网络电话等,这些非传统PC设备从网络层的外部观察难以进行识别,而同时这些设备又是网络的一部分,传统手段无法在管理中准确的定位和准入,容易被通过IP/MAC伪造而进行替换,对它们进行追踪并且分类非常的困难,由于这些设备的存在,越来越多的安全职业人员在审计中遭遇失败,因为这些设备可以允许恶意用户骗取资源,绕过控制,并取得未经授权的网络访问,如何防止IP/MAC伪造进行准入管理成为当今准入系统中急迫需要解决的问题。
发明内容
为了解决上述问题,解决虚拟化终端和生产IP设备被伪冒的问题,本发明提供了一种网络设备准入方法。
本发明采用的技术方案如下:
一种网络设备准入方法,包括以下步骤:
步骤一,建立验证信息数据库,所述验证信息数据库包括网络设备的身份验证信息,所述身份验证信息包括网络设备的Mac地址、DHCP信息、HTTP信息、SSDP信息、SNMP询问信息、NMAP扫描信息和NETBIOS扫描信息;
步骤二,接收网络设备发送的数据包;
步骤三,根据验证信息数据库,验证数据包中网络设备的Mac信息;
步骤四,根据Mac信息在验证信息数据库中验证数据包中网络设备的DHCP信息、HTTP信息、SSDP信息;
步骤五,根据Mac信息在验证信息数据库中验证数据包中SNMP询问信息、NMAP扫描信息和NETBIOS扫描信息。
优选的,所述步骤一还包括,根据验证信息数据库创建哈希表,所述哈希表存储每台终端设备的身份验证信息。
优选的,验证网络设备时采用哈希表检索验证信息数据库。
优选的,所述步骤三还包括,如验证信息数据库中没有该网络设备的Mac信息,则提示用户MAC地址未注册。
又算的,所述步骤三还包括,判断该接收Mac地址的数据包与记录的上一次Mac地址的数据包之间的时间间隔,如果时间间隔超过系统预设值,判定该Mac地址的网络设备为伪造。
优选的,所述时间间隔为10S。
优选的,所述步骤四还包括,如验证信息数据库中没有该Mac地址的网络设备的DHCP信息、HTTP信息、SSDP信息,则将数据包中的DHCP信息、HTTP信息、SSDP信息存储于验证信息数据库中。
优选的,所述步骤五还包括,如验证信息数据库中没有该Mac地址的网络设备的SNMP询问信息、NMAP扫描信息和NETBIOS扫描信息,启动数据包捕捉线程捕捉SNMP询问信息、NMAP扫描信息和NETBIOS扫描信息。
优选的,创建多个数据包捕捉线程形成队列,当验证过程中调用对应的数据包捕捉线程。
优选的,所述数据包捕捉线程采用Libpcap应用程序框架或Wincap应用程序框架中的一种。
本发明一种网络设备准入方法,包括:建立验证信息数据库;接收网络设备发送的数据包;根据验证信息数据库,验证数据包中网络设备的Mac信息;根据Mac信息,验证DHCP信息、HTTP信息、SSDP信息;建立数据包捕捉线程,验证SNMP询问信息、NMAP扫描信息和NETBIOS扫描信息;本发明部署简单,采用主动探测和被动收集的方式,依靠验证信息能有效克服IP/MAC伪造问题,提高网络准入安全标准,保证企业的网络信息安全,同时能够识别出各种非IP设备的类型及型号,方便用户统一分类管理和准确定位跟踪。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本发明所述方法的系统部署架构图;
图2是图1本发明所述方法的方法流程图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
企业网络已经广泛采用桌面虚拟化的终端和移动终端,而这些终端设备又有访问业务网络的需求,现在大部分准入系统只能通过IP地址批准这些设备直接进入网络,这样就会导致攻击者很容易伪冒正常终端进入业务网络。即使采用了IP-MAC-PORT绑定技术,但是攻击者通过获取网络IP设备的信息后并伪冒成他一样的IP-MAC,就能逃避IP-MAC绑定的检测,轻松的进入银行等内网业务系统,严重危害企业信息安全。
如图1所示为本发明软件架构的系统部署图。本发明的软件架构包括部署于汇聚各终端设备上的信息探测单元1和部署于服务器上的数据分析单元2。所述信息探测单元1捕捉各终端设备发出的数据包,并对数据包进行分析。通过MAC地址发现、DHCP信息获取、HTTP信息获取、NMAP扫描、SNMP询问等多种被动监听和主动扫描的方式实时收集网络设备身份验证信息,对网络设备进行识别并将识别结果发送到数据分析单元2。数据分析单元2负责接收并存储各个信息探测单元1传送过来的设备身份验证信息并更新验证结果,以及向探测分析应用程序下发设备注册信息。
如图2所示为本发明的一种网络设备准入方法,包括以下步骤:
步骤一,在服务器端建立验证信息数据库。所述验证信息数据库包括企业网络中采用的终端设备如PC终端、虚拟化终端和移动终端的身份验证信息。所述身份验证信息包括:
MAC地址信息,包括终端设备网卡的MAC地址,MAC地址作为终端设备独一无二的标示还具有组织唯一标示符(OUI)信息,通过对MAC地址的前六位字节进行解析可以获取网卡的生产厂商信息。
DHCP信息,包括hostname字段和rquestList字段,其中Hostname字段包含终端设备的主机名,requestList字段包含DHCP请求次数。
HTTP信息,包括User-Agent字段,所述User-Agent字段包含终端设备所使用的操作系统信息和用户操作偏好。
SNMP信息,包括可用于机器类型识别的字段Machine type、具有系统描述信息的sysDescr字段、带有磁盘序列号的hrStorageDescr字段和表述终端设备所在工作组的workgroup字段。
NMAP信息,包括可用于操作系统匹配的字段osmatch name和NMAP扫描后后终端设备的tcp/port(设备开放的网络端口和对应服务)列表portlist。
NetBios信息,包括Windows类的终端计算机名computername字段。
进一步的,根据上述的身份验证信息可以建立身份验证信息的数据表,所述数据表包括的各个字段信息如下:
通过上述字段构建的设备身份验证信息表,可以使表内任意一台设备都拥有独一无二的身份验证。
进一步的,为了加快在数据库中匹配份验证的速度,本方法还建立了哈希表来存储每台终端设备的身份验证信息,所述哈希表采用MAC地址作为关键字匹配身份验证信息,当发生冲突情况时利用链表解决冲突。
步骤二,信息探测单元1和初始化,首先读取验证信息数据库中已经注册的设备MAC地址及其身份验证信息,随后启动数据包捕包进程获取终端设备发送出的数据包。
进一步的,信息探测单元1可采用Linux平台下的Libpcap应用程序框架编写数据包捕包进程或Windows平台下Wincap应用程序框架编写数据包捕包进程。
进一步的,所述启动的捕包进程为两个,包括主动扫描进程和被动侦听进程。所述主动扫描进程捕捉到数据包之后对终端设备的SNMP询问信息、NMAP扫描信息和NETBIOS扫描信息进行验证。被动侦听进程对终端设备的DHCP信息、HTTP信息、SSDP信息进行分析。
步骤三,根据验证信息数据库,验证数据包中网络设备的Mac信息;所述主动扫描进程和被动侦听进程首先检索哈希表内,检验网络设备的Mac地址是否与哈希表存储的Mac地址匹配,如果不匹配则设备身份验证失败,发出该Mac地址未注册的提示信息。
步骤四,被动侦听进程在验证完Mac信息之后,则进一步验证终端设备的DHCP信息、HTTP信息和SSDP信息。如果验证信息数据库中并没有该MAC地址的终端设备的DHCP信息、HTTP信息和SSDP信息,则被动侦听进程将被动侦听到的DHCP信息、HTTP信息和SSDP信息存储于验证信息数据库中。如果验证信息数据库中存储有该MAC地址的终端设备的DHCP信息、HTTP信息和SSDP信息,被动侦听进程将被动侦听到的DHCP信息、HTTP信息和SSDP信息与验证信息数据库中的记录进行比对,如果匹配成功则该终端设备用户身份验证成功。
步骤五,所述主动扫描进程在完成Mac信息验证之后,首先采集终端设备的IP地址并在验证信息数据库中进行检索,如果验证信息数据库未存储有该IP地址,则设备身份验证失败。完成终端设备IP地址验证之后,所述主动扫描进程启动NMAP信息扫描、SNMP信息扫描与NETBIOS扫描。由于主动扫描耗时过长,故程序在初始化时先创建一定数量的主动扫描线程,并且同时维护一个主动扫描任务的队列,当有主动扫描进程有扫描请求时,先将该扫描请求添加至主动扫描任务队列,然后向线程池发送启动扫描信号,线程池中的等待启动扫描信号的线程收到信号后则启动扫描。扫描完成后将获取的身份验证信息存入验证信息数据库或用来判断设备是否伪造,线程继续等待下一个主动扫描信号的发生。
本发明部署简单,采用主动探测和被动收集的方式,依靠验证信息能有效克服IP/MAC伪造问题,提高网络准入安全标准,保证企业的网络信息安全,同时能够识别出各种非IP设备的类型及型号,方便用户统一分类管理和准确定位跟踪。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种网络设备准入方法,其特征在于,包括以下步骤:
步骤一,建立验证信息数据库,所述验证信息数据库包括网络设备的身份验证信息,所述身份验证信息包括网络设备的Mac地址、DHCP信息、HTTP信息、SSDP信息、SNMP询问信息、NMAP扫描信息和NETBIOS扫描信息;
步骤二,接收网络设备发送的数据包;
步骤三,根据验证信息数据库,验证数据包中网络设备的Mac信息;
步骤四,根据Mac信息在验证信息数据库中验证数据包中网络设备的DHCP信息、HTTP信息、SSDP信息;
步骤五,根据Mac信息在验证信息数据库中验证数据包中SNMP询问信息、NMAP扫描信息和NETBIOS扫描信息。
2.根据权利要求1所述的一种网络设备准入方法,其特征在于,所述步骤一还包括,根据验证信息数据库创建哈希表,所述哈希表存储每台终端设备的身份验证信息。
3.根据权利要求2所述的一种网络设备准入方法,其特征在于,验证网络设备时采用哈希表检索验证信息数据库。
4.根据权利要求1所述的一种网络设备准入方法,其特征在于,步骤三还包括,如验证信息数据库中没有该网络设备的Mac信息,则提示用户MAC地址未注册。
5.根据权利要求4所述的一种网络设备准入方法,其特征在于,所述步骤三还包括,判断该接收Mac地址的数据包与记录的上一次Mac地址的数据包之间的时间间隔,如果时间间隔超过系统预设值,判定该Mac地址的网络设备为伪造。
6.根据权利要求5所述的一种网络设备准入方法,其特征在于,所述时间间隔为10S。
7.根据权利要求1所述的一种网络设备准入方法,其特征在于,所述步骤四还包括,如验证信息数据库中没有该Mac地址的网络设备的DHCP信息、HTTP信息、SSDP信息,则将数据包中的DHCP信息、HTTP信息、SSDP信息存储于验证信息数据库中。
8.根据权利要求1所述的一种网络设备准入方法,其特征在于,所述步骤五还包括,如验证信息数据库中没有该Mac地址的网络设备的SNMP询问信息、NMAP扫描信息和NETBIOS扫描信息,启动数据包捕捉线程捕捉SNMP询问信息、NMAP扫描信息和NETBIOS扫描信息。
9.根据权利要求8所述的一种网络设备准入方法,其特征在于,创建多个数据包捕捉线程形成队列,当验证过程中调用对应的数据包捕捉线程。
10.根据权利要求8所述的一种网络设备准入方法,其特征在于,所述数据包捕捉线程采用Libpcap应用程序框架或Wincap应用程序框架中的一种。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410567113.XA CN104333538B (zh) | 2014-10-22 | 2014-10-22 | 一种网络设备准入方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410567113.XA CN104333538B (zh) | 2014-10-22 | 2014-10-22 | 一种网络设备准入方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN104333538A true CN104333538A (zh) | 2015-02-04 |
CN104333538B CN104333538B (zh) | 2018-05-11 |
Family
ID=52408190
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201410567113.XA Active CN104333538B (zh) | 2014-10-22 | 2014-10-22 | 一种网络设备准入方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN104333538B (zh) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107071085A (zh) * | 2017-04-19 | 2017-08-18 | 新华三技术有限公司 | 网络设备mac地址配置方法及装置 |
CN107659934A (zh) * | 2017-10-19 | 2018-02-02 | 上海斐讯数据通信技术有限公司 | 一种无线网络连接的控制方法及无线网络接入设备 |
CN108377533A (zh) * | 2016-11-25 | 2018-08-07 | 上海掌门科技有限公司 | 一种发送、采集设备标识信息的方法及设备 |
CN111200620A (zh) * | 2018-11-16 | 2020-05-26 | 上海诺基亚贝尔股份有限公司 | 更新网络连接配置的方法、设备和计算机可读介质 |
CN113709211A (zh) * | 2021-07-30 | 2021-11-26 | 国网湖南省电力有限公司 | 基于旁路控制技术的网络终端准入控制方法 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20110295989A1 (en) * | 2010-06-01 | 2011-12-01 | Hitachi, Ltd. | Network system, network management device and gateway device |
CN102664903A (zh) * | 2012-05-16 | 2012-09-12 | 李明 | 一种网络用户验证方法及系统 |
CN103746983A (zh) * | 2013-12-30 | 2014-04-23 | 迈普通信技术股份有限公司 | 一种接入认证方法及认证服务器 |
-
2014
- 2014-10-22 CN CN201410567113.XA patent/CN104333538B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20110295989A1 (en) * | 2010-06-01 | 2011-12-01 | Hitachi, Ltd. | Network system, network management device and gateway device |
CN102664903A (zh) * | 2012-05-16 | 2012-09-12 | 李明 | 一种网络用户验证方法及系统 |
CN103746983A (zh) * | 2013-12-30 | 2014-04-23 | 迈普通信技术股份有限公司 | 一种接入认证方法及认证服务器 |
Non-Patent Citations (1)
Title |
---|
周晴伦 等: ""一种非法主机接入内部网络监视系统的设计与实现"", 《桂林电子科技大学学报》 * |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108377533A (zh) * | 2016-11-25 | 2018-08-07 | 上海掌门科技有限公司 | 一种发送、采集设备标识信息的方法及设备 |
CN108377533B (zh) * | 2016-11-25 | 2021-05-07 | 上海掌门科技有限公司 | 一种发送、采集设备标识信息的方法及设备 |
CN107071085A (zh) * | 2017-04-19 | 2017-08-18 | 新华三技术有限公司 | 网络设备mac地址配置方法及装置 |
CN107659934A (zh) * | 2017-10-19 | 2018-02-02 | 上海斐讯数据通信技术有限公司 | 一种无线网络连接的控制方法及无线网络接入设备 |
CN111200620A (zh) * | 2018-11-16 | 2020-05-26 | 上海诺基亚贝尔股份有限公司 | 更新网络连接配置的方法、设备和计算机可读介质 |
CN113709211A (zh) * | 2021-07-30 | 2021-11-26 | 国网湖南省电力有限公司 | 基于旁路控制技术的网络终端准入控制方法 |
Also Published As
Publication number | Publication date |
---|---|
CN104333538B (zh) | 2018-05-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110113345B (zh) | 一种基于物联网流量的资产自动发现的方法 | |
CN105007282B (zh) | 面向网络服务提供商的恶意软件网络行为检测方法及系统 | |
CN111756598A (zh) | 一种基于主动探测与流量分析结合的资产发现方法 | |
CN105493060B (zh) | 蜜端主动网络安全 | |
CN104333538A (zh) | 一种网络设备准入方法 | |
US20090182864A1 (en) | Method and apparatus for fingerprinting systems and operating systems in a network | |
CN110519150B (zh) | 邮件检测方法、装置、设备、系统及计算机可读存储介质 | |
CN107623754B (zh) | 基于真伪MAC识别的WiFi采集系统及其方法 | |
US10231124B2 (en) | Anti-theft method and client for a mobile terminal | |
CN105554009B (zh) | 一种通过网络数据获取设备操作系统信息的方法 | |
CN110213212A (zh) | 一种设备的分类方法和装置 | |
CN109922061B (zh) | 一种局域网联网摄像头检测系统及其工作方法 | |
CN102710770A (zh) | 一种上网设备识别方法及其实现系统 | |
TW201405354A (zh) | 識別用戶風險的方法和裝置 | |
CN111147513A (zh) | 基于攻击行为分析的蜜网内横向移动攻击路径确定方法 | |
CN105187392A (zh) | 基于网络接入点的移动终端恶意软件检测方法及其系统 | |
CN104410813A (zh) | 视频监控系统中用户帐号与监控设备的绑定方法及装置 | |
CN109194680A (zh) | 一种网络攻击识别方法、装置及设备 | |
CN111884989B (zh) | 一种针对电力web系统的漏洞探测方法和系统 | |
EP2372954A2 (en) | Method and system for collecting information relating to a communication network | |
CN113472819B (zh) | 基于指纹特征的蜜罐探测识别方法及装置 | |
CN108173813A (zh) | 漏洞检测方法及装置 | |
CN105429996B (zh) | 一种智能发现和定位地址转换设备的方法 | |
CN109802972A (zh) | 一种局域网联网智能设备检测系统 | |
CN114338068A (zh) | 多节点漏洞扫描方法、装置、电子设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |