CN111431911B - 网络中设备基础信息收集方法、网络边缘设备及网络设备 - Google Patents
网络中设备基础信息收集方法、网络边缘设备及网络设备 Download PDFInfo
- Publication number
- CN111431911B CN111431911B CN202010235979.6A CN202010235979A CN111431911B CN 111431911 B CN111431911 B CN 111431911B CN 202010235979 A CN202010235979 A CN 202010235979A CN 111431911 B CN111431911 B CN 111431911B
- Authority
- CN
- China
- Prior art keywords
- network
- information
- network edge
- basic information
- host device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/04—Processing captured monitoring data, e.g. for logfile generation
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Data Mining & Analysis (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种网络中设备基础信息收集方法、网络边缘设备及网络设备,用于收集网络中各主机设备和网络中除最外层网络边缘设备之外的网络边缘设备的基础信息,提升收集的基础信息的准确性。在该方法中,所述网络中包括第一网络边缘设备和至少一个主机设备,所述方法包括:所述第一网络边缘设备接收所述至少一个主机设备上报的第一基础信息,并存储所述第一基础信息,以实现对所述至少一个主机设备的第一基础信息的收集;所述第一基础信息用于实现对所述网络的安全性评估;所述第一网络边缘设备在接收到信息获取请求时,将与所述信息获取请求对应的基础信息发送给信息采集设备。
Description
技术领域
本申请涉及网络技术领域,尤其涉及一种网络中设备基础信息收集方法、网络边缘设备及网络设备。
背景技术
网络的性能评估是保证网络信息高性能,高可靠性,高可用性,高效运转的基本手段。为了解网络运行的实际情况,需要获取网络中各主机设备的端口信息、服务运行情况信息等基础信息来对网络安全进行安全评估。然而,由于为了保障网络的安全,避免网络信息泄露,现有的网络中存在很多防火墙隔离的场景,故而在正常进行网络扫描的时候经常会由于网络不能够连通导致各种漏报误报问题,从而无法正常对网络进行安全性评估。
由此可知,现有技术中存在着获取网络中各主机设备的基础信息准确性低,甚至不能获取网络中各主机设备的基础信息的问题,从而无法正常对网络进行安全评估。
发明内容
本申请提供一种网络中设备基础信息收集方法、网络边缘设备及网络设备,用于收集网络中各主机设备和除最外层网络边缘设备之外的网络边缘设备的基础信息,提升收集的基础信息的准确性。
第一方面,提供了一种网络中设备基础信息收集方法,所述网络中包括第一网络边缘设备和至少一个主机设备,所述方法包括:
所述第一网络边缘设备接收所述至少一个主机设备上报的第一基础信息,并存储所述第一基础信息,以实现对所述至少一个主机设备的第一基础信息的收集;所述第一基础信息用于实现对所述网络的安全性评估;
所述第一网络边缘设备在接收到信息获取请求时,将与所述信息获取请求对应的基础信息发送给信息采集设备。
可选的,若所述第一网络边缘设备直接对应所述至少一个主机设备,则所述第一网络边缘设备直接接收所述至少一个主机设备上报的第一基础信息;
若所述第一网络边缘设备与所述至少一个主机设备中任一主机设备之间设置有第二网络边缘设备,则所述第一网络边缘设备接收所述第二网络边缘设备传递的所述任一主机设备的第一基础信息,和/或,所述第二网络边缘设备的第二基础信息;
若所述第一网络边缘设备对应所述第二网络边缘设备,且所述第二网络边缘设备未与所述任一主机设备对应,则所述第一网络边缘设备接收所述第二网络边缘设备的第二基础信息。
可选的,在所述第一网络边缘设备直接接收所述至少一个主机设备上报的第一基础信息之前,还包括:
所述第一网络边缘设备向所述至少一个主机设备发送协商信息;
所述第一网络边缘设备接收所述至少一个主机设备根据所述协商信息发送的第一反馈信息;所述第一反馈信息用于指示所述至少一个主机设备支持周期性自动上报所述第一基础信息。
可选的,若所述第一网络边缘设备接收所述至少一个主机设备根据所述协商信息反馈的第二反馈信息,所述第二反馈信息用于指示所述至少一个主机设备不支持周期性自动上报所述第一基础信息,所述方法还包括:
所述第一网络边缘设备周期性地向所述至少一个主机设备发送探测信息;
所述第一网络边缘设备接收所述至少一个主机设备根据所述探测信息反馈的所述第一基础信息,并存储所述第一基础信息。
可选的,所述第二探测信息包括端口探测、服务探测、操作系统探测中的任意一种或多种类型,所述第一网络边缘设备周期性地向所述至少一个主机设备发送探测信息,包括:
所述第一网络边缘设备根据支持接收的所述第一基础信息的类型,确定与所述类型对应的探测信息;
所述第一网络边缘设备周期性地向所述至少一个主机设备发送与所述类型对应的探测信息。
第二方面,提供了一种收集网络中设备基础信息的网络边缘设备,包括:
接收模块,用于接收网络中的至少一个主机设备上报的第一基础信息,并存储所述第一基础信息,以实现对所述至少一个主机设备的第一基础信息的收集;所述第一基础信息用于实现对所述网络的安全性评估;其中,所述网络边缘设备所在网络还包括至少一个主机设备;
发送模块,用于在接收到信息获取请求时,将与所述信息获取请求对应的基础信息发送给信息采集设备。
可选的,所述接收模块还用于:
若所述网络边缘设备直接对应所述至少一个主机设备,则直接接收所述至少一个主机设备上报的第一基础信息;
若所述网络边缘设备与所述至少一个主机设备中任一主机设备之间设置有第二网络边缘设备,则接收所述第二网络边缘设备传递的所述任一主机设备的第一基础信息,和/或,所述第二网络边缘设备的第二基础信息;
若所述第一网络边缘设备对应所述第二网络边缘设备,且所述第二网络边缘设备未与所述任一主机设备对应,则接收所述第二网络边缘设备的第二基础信息。
可选的,所述设备还包括协商模块,所述协商模块用于:
向所述至少一个主机设备发送协商信息;
接收所述至少一个主机设备根据所述协商信息发送的第一反馈信息;所述第一反馈信息用于指示所述至少一个主机设备支持周期性自动上报所述第一基础信息。
可选的,所述设备还包括探测模块,所述探测模块用于:
当所述网络边缘设备接收所述至少一个主机设备根据所述协商信息反馈的第二反馈信息时,周期性地向所述至少一个主机设备发送探测信息;
接收所述至少一个主机设备根据所述探测信息反馈的所述第一基础信息,并存储所述第一基础信息。
可选的,所述探测模块具体用于:
根据支持接收的所述第一基础信息的类型,确定与所述类型对应的探测信息;其中,所述探测信息包括端口探测、服务探测、操作系统探测中的任意一种或多种类型;
周期性地向所述至少一个主机设备发送与所述类型对应的探测信息。
第三方面,提供一种网络设备,所述网络设备包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如上述各方面中的网络中设备基础信息的收集方法包括的步骤。
第四方面,提供一种计算机可读存储介质,所述计算机可读存储介质存储有计算机可执行指令,所述计算机可执行指令用于使计算机执行上述各方面中的网络中设备基础信息的收集方法包括的步骤。
在本申请实施例中,第一网络边缘设备可以接收网络中至少一个主机设备上报的第一基础信息,并存储该第一基础信息,以实现对网络中各个主机设备的第一基础信息的收集汇总,从而当需要对网络进行安全性评估时,可以通过外部网络的信息采集设备从第一网络边缘设备中获取其收集的基础信息。所以,不但可以提高获取主机设备的基础信息的效率,避免信息采集设备逐个获取网络中各个主机设备的基础信息时因防火墙阻碍造成获取的信息不完整或获取不到信息的情况发生,从而提高了获取的基础信息的准确性,进而可以确保根据获取的基础信息进行的网络安全性评估的准确性。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本公开。
附图说明
图1为相关技术中的网络构架示意图;
图2为本申请实施例提供的应用场景示意图;
图3为本申请实施例提供的实现网络边缘设备收集网络中各主机设备的基础信息的报文格式示意图;
图4为本申请实施例提供的网络中设备基础信息收集方法的流程图;
图5a为本申请实施例提供的收集网络中设备基础信息的网络边缘设备的结构示意图;
图5b为本申请实施例提供的收集网络中设备基础信息的网络边缘设备的结构示意图;
图6为本申请实施例中提供的网络设备的结构示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请技术方案的一部分实施例,而不是全部的实施例。基于本申请文件中记载的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请技术方案保护的范围。
本申请的说明书和权利要求书及上述附图中的术语“第一”和“第二”是用于区别不同对象,而非用于描述特定顺序。此外,术语“包括”以及它们任何变形,意图在于覆盖不排他的保护。例如包含了一系列步骤或单元的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元,而是可选地还包括没有列出的步骤或单元,或可选地还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。本申请中的“多个”可以表示至少两个,例如可以是两个、三个或者更多个,本申请实施例不做限制。
另外,本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,在不做特别说明的情况下,一般表示前后关联对象是一种“或”的关系。
现有技术中,一般通过网络远程扫描或者需要在对端安装客户端或者登陆对端机器来完成扫描,以获取网络中各主机设备的基础信息。其中,远程扫描在网络存在隔离时其准确度会大大降低,客户端需要在被扫描的主机设备上安装特定的软件,那么未安装特定软件的主机设备则不能被扫描,自然也就无法获得未安装特定软件的主机设备的基础信息;而登录对端设备(即被扫描的设备)实现起来也较为困难。并且这些方式要求网络中被扫描主机设备能够与扫描器(即用于获取主机设备的基础信息的设备)的网络连通。
然而,如图1所示,目前各大运营商网络一般都存在网络隔离(防火墙),若按照现有的方式获取网络中各主机设备的基础信息,只能获取部分或者获取不到主机设备的基础信息。所以,现有技术中存在着获取网络中各主机设备的基础信息准确性低,甚至不能获取网络中各主机设备的基础信息的问题,从而无法正常对网络进行安全评估。
鉴于此,本申请的申请人提供一种网络中设备基础信息的收集方案,在该方案中,由于在网络单元足够小的情况下,网络边缘设备相当于网络的子网中的主机设备网关设备,所以不存在任何网络隔离的情况,因此可以通过网络中的网络边缘设备收集、汇总并管理网络中所有主机设备的基础信息,进而信息采集设备需要获取网络中各主机设备的基础信息来对网络进行安全评估时,可以直接从网络中最外层的网络边缘设备中获取到网络中所有主机设备和网络边缘设备的基础信息,这样信息采集设备仅需与网络中最外层的网络边缘设备之间能够连通即可。所以,不但可以提高获取主机设备和网络边缘设备的基础信息的效率,避免通过信息采集设备逐个获取网络中各个主机设备和/或网络边缘设备的基础信息时,因防火墙阻碍造成获取的信息不完整或获取不到信息的情况发生,从而提高了获取的基础信息的准确性,进而可以确保根据获取的基础信息进行的网络安全性评估的准确性。
在介绍完本申请实施例的设计思想之后,下面对本申请实施例提供的技术方案适用的应用场景做一些简单介绍,需要说明的是,以下介绍的应用场景仅用于说明本申请实施例而非限定。在具体实施时,可以根据实际需要灵活地应用本申请实施例提供的技术方案。
请参见图2所示,图2为本申请技术方案适用的一种应用场景,在该应用场景中网络可以由一个子网络或者无数个子网组成,再经过路由器与防火墙以及外部网络连通。图2中为了方便说明,具体以网络由3个小的子网组成为例。包括终端201-终端209这个九个终端(即主机设备),交换机210-交换机214这五个交换机以及路由器215。
其中,交换机210-交换机214和路由器215都可以视为网络边缘设备,路由器215为最边缘设备。具体的,可以将网络中的所有设备分为三类,第一类为最边缘设备,可以理解为位于网络最边缘处的设备,如路由器215;第二类为次边缘设备,可以理解为位于最边缘设备与主机设备之间的设备,如交换机210-交换机214,第三类为终端,可以理解为网络中各子网里的所有主机设备。
在本申请实施例中,终端201-终端209中可以与交换机210-交换机214和路由器215任一设备对应,为了便于理解,如图2所示,终端201-203对应交换机212,终端204-终端205对应交换机213,终端206-终端209对应交换机214,交换机212又与交换机210对应,交换机213和交换机214均与交换机211对应。
并且,本申请实施例中,可以为网络中终端、交换机和路由器这些网络设备进行预先设置使得终端201-终端209的基础信息可以经由与其各自对应的交换机最终汇总到路由器215,即路由器215中收集并存储有网络中所有终端的基础信息,换言之,可以通过网络边缘设备来收集其子网中的各终端的基础信息。
例如,可以为网络中的网络边缘设备,主机设备等网络设备,增加一个可以支持网络边缘设备收集主机设备的基础信息的协议,该协议的报文格式如图3所示,并且,该协议的报文中命令定义具体为:0x00表征预留,0x01表征协商阶段,网络边缘设备可以向终端发送问询报文命令位来确定终端是否可以自动上报基础信息;0x02表征应答,属于协商阶段,终端应答网络边缘设备的问询,并回复自己支持上报基础信息的情况;0x04表征协商完成后,终端向网络边缘设备传输其所支持上报的基础信息;0x08表征数据交换,用于实现将次边缘设备上的基础信息向最边缘设备的传递。
进一步地,该协议的报文中的应答位具体为:0x00表征不支持,0x01表征支持上报端口开放信息,0x02表征支持上报服务信息,0x04表征支持上报操作系统(operatingsystem,OS)信息。该协议的报文中的标识位具体为:0x00表征无后续报文,0x01表征存在后续报文等。
在本申请实施例中,图2所示的终端201-209可以包括各种具有无线通信功能的手持设备、车载设备、计算设备或链接到无线调整解调器的其他处理设备,以及各种形式的用户设备(User Equipment,UE),移动台(Mobile Station,MS)等等。例如,终端201-终端209可以是手机、平板电脑、掌上电脑(Personal Digital Assistant,PDA),笔记本电脑等设备。
为进一步说明本申请实施例提供的技术方案,下面结合附图以及具体实施方式对此进行详细的说明。虽然本申请实施例提供了如下述实施例或附图所示的方法操作步骤,但基于常规或者无需创造性的劳动在所述方法中可以包括更多或者更少的操作步骤。在逻辑上不存在必要因果关系的步骤中,这些步骤的执行顺序不限于本申请实施例提供的执行顺序。所述方法在实际的处理过程中或者装置执行时,可按照实施例或者附图所示的方法顺序执行或者并行执行。
请参见图4,为本申请实施例提供的一种网络中设备基础信息的收集方法的流程图,该方法可以应用于图2所示的应用场景中,也可以应用于其他应用场景,在此不做具体限制。下面结合图4中的步骤对本申请的技术方案进行说明。
步骤401:第一网络边缘设备接收至少一个主机设备上报的第一基础信息,并存储第一基础信息,以实现对至少一个主机设备的第一基础信息的收集;该第一基础信息用于实现对网络的安全性评估。
本申请实施例中的网络中设置有至少一个主机设备,该至少一个主机设备可以周期性向其对应的网络边缘设备上报第一基础信息,也可以由用户自行设置主机设备上报第一基础信息的时间。其中,第一基础信息可以是网络中至少一个主机设备的端口的开放信息,端口上运行的服务信息以及操作系统相关信息等。
在本申请实施例中,第一网络边缘设备可以为网络中的最边缘设备,例如图2中所示的路由器215。当至少一个主机设备直接对应该第一网络边缘设备时,第一网络边缘设备可以接收到至少一个主机设备上报的第一基础信息,并对接收到的第一基础信息进行存储,以实现对网络中至少一个主机设备的第一基础信息的汇总。其中,第一基础信息可以用于实现对网络的安全性评估。
进一步地,当第一网络边缘设备与至少一个主机设备间接对应,也就是说,第一网络边缘设备与至少一个主机设备之间存在一个或者多个次边缘设备,即第二边缘设备,如图2所示的交换机210-交换机214,那么至少一个主机设备在上报其自身的第一基础信息时,需要上报到次边缘设备之后,再由次边缘设备将获得的第一基础信息传递给第一网络边缘设备,从而将网络中所有主机设备的第一基础信息都汇总到第一网络边缘设备;同时,次边缘设备也可以将其自身的第二基础信息上报给第一网络边缘设备,以将网络中的各个主机设备和各个次边缘设备的基础信息均汇总到最边缘设备,从而可以便于外部网络的信息采集设备较为高效的获取网络中各主机设备的基础信息来对网络进行安全性评估。
举例说明,假设网络中有主机设备A和主机设备B,最边缘设备为C,最边缘设备为C与主机设备A和主机设备B之间存在一个次边缘设备D,也即主机设备A和主机设备B对应次边缘设备D,次边缘设备D对应最边缘设备C,所以,主机设备A和主机设备B将其自身的基础信息上报至次边缘设备D后,由次边缘设备D传递给最边缘设备C。
作为一种可选的实施方式,在本申请实施例中,为了确保第一网络边缘设备能够顺利的收集网络中至少一个主机设备的基础信息,第一网络边缘设备在接收至少一个主机设备发送的第一基础信息之前,可以向至少一个主机设备发送协商信息,该协商信息用于确定至少一个主机设备是否可以周期性的自动上报第一基础信息。进而可以根据至少一个主机设备反馈回的信息来确定至少一个主机设备是否支持自动上报自身的第一基础信息。具体的,若第一网络边缘设备接收到至少一个主机设备发送的第一反馈信息,则表明该至少一个主机设备支持自动上报第一基础信息,所以不需要第一网络边缘设备主动发送探测信息来获取至少一个主机设备的第一基础信息;若第一网络边缘设备接收至少一个主机设备发送的第二反馈信息,则表明需要第一网络边缘设备主动发送探测信息来获取至少一个主机设备的第一基础信息。
作为一种可选的实施方式,本申请实施例中,至少一个主机设备中任意一个主机设备可以自动向第一网络边缘设备上报其自身的第一基础信息,也可以不自动上报第一基础信息。其中,自动上报可以是周期性地,也可以是由用户自行设置自动上报的时间,以便于获取到需要的至少一个主机设备中的第一基础信息。若至少一个主机设备可以自动上报第一基础信息,那么第一网络边缘设备不需向至少一个主机设备发送探测信息,即可以获得至少一个主机设备自动上报的第一基础信息;若至少一个主机设备不能自动上报第一基础信息,则第一网络边缘设备需要通过向至少一个主机设备发送探测信息,进而可以获得至少一个主机设备根据探测信息反馈的第一基础信息。
进一步地,如前文所述,主机设备的第一基础信息包括端口的开放信息等多种信息,至少一个主机设备支持自动上报第一基础信息可以是支持其自身所有种类的第一基础信息自动上报,也可以仅支持部分第一基础信息的自动上报。对于不支持自动上报的部分第一基础信息可以在获取第一网络边缘设备发送的与不支持自动上报部分的第一基础信息对应的探测信息后,将探测信息对应的第一基础信息上报到第一网络边缘设备。
在具体的实践过程中,不同类型的基础信息对应不同的类型的探测信息,例如,端口的开放信息对应端口探测类型的探测信息,端口上运行的服务信息对应服务探测类型的探测信息,操作系统相关信息则对应操作系统探测类型的探测信息,以此类推,基础信息中的其他信息则对应其他类型的探测信息。不同类型的探测信息中携带有不同的探针,例如,端口探针:syn,服务探针:RPCCheck|08010020130501030210e023|tcp,OS探针:T1-T7。进而至少一个主机设备可以根据探针确定出需要获取的基础信息类型,从而将对应类型的基础信息上报至第一网络边缘设备。这样有针对性的获取基础信息,可以确保第一网络边缘设备收集的基础信息的准确性,进而保证根据收集的基础信息进行出安全性评估的准确性。
例如,假设图2所示的交换机212只能用于接收终端201-203的端口的开放信息,则交换机212在需要获取终端202的端口的开放信息时,可以向终端202发送一个端口探测信息,从而终端202接收到该端口探测信息后,可以将自身的端口的开放信息上报给交换机212,这样交换机212即可接收到终端202上报的端口的开放信息。
步骤402:第一网络边缘设备在接收到信息获取请求时,将与信息获取请求对应的基础信息发送给信息采集设备。
在本申请实施例中,当信息采集设备需要获取汇总到第一网络边缘设备的基础信息时,可以向第一网络边缘设备发送信息获取请求,进而第一网络边缘设备可以根据信息获取请求将对应的基础信息发送给信息采集设备。具体的,当第一网络边缘设备与网络中的主机设备直接对应时,信息获取请求对应的基础信息可以是网络中各主机设备的第一基础信息;当第一网络边缘设备与至少一个主机设备之间设置有第二网络边缘设备时,信息获取请求对应的基础信息可以是网络中各主机设备的第一基础信息,以及次边缘设备的第二基础信息;当第一网络边缘设备仅对应有次边缘设备时,信息获取请求对应的基础信息则为次边缘设备的第二基础信息。这样信息采集设备可以获取到网络中至少一个主机设备的第一基础信息和/或次边缘设备的第二基础信息,而不用分别从网络中各个主机设备和/或次边缘设备中去获取,从而节约获取时间;同时也避免因防火墙的存在使得获取的基础信息不完整或者获取不到基础信息的情况发生。
在具体的实践过程中,为了确保第一网络边缘设备中收集的基础信息的安全性,可以对先发送信息获取请求的信息采集设备进行安全认证,第一网络边缘设备可以接收到通过安全认证的信息采集设备发送的信息获取请求,进而可以基于该信息获取请求将对应的基础信息发送给信息采集设备。或者也第一网络边缘设备接收到信息获取请求后,再对发送信息获取请求的信息采集设备进行安全认证,若通过安全认证,则可以发送与信息获取请求对应的基础信息给信息采集设备;若未通过认证,则可以发送认证失败的提示信息。
所以,通过上述方法,第一网络边缘设备可以接收网络中至少一个主机设备上报的第一基础信息,并存储该第一基础信息,以实现对网络中各个主机设备的第一基础信息的收集汇总,从而当需要对网络进行安全性评估时,可以通过外部网络的信息采集设备从第一网络边缘设备中获取其收集的基础信息。所以,不但可以提高获取基础信息的效率,避免信息采集设备逐个获取网络中各个主机设备的第一基础信息时因防火墙阻碍造成获取的信息不完整或获取不到信息的情况发生,从而提高了获取的基础信息的准确性,进而可以确保根据获取的基础信息进行的网络安全性评估的准确性。
基于同一发明构思,本申请实施例提供一种收集网络中设备基础信息的网络边缘设备。该收集网络中设备基础信息的网络边缘设备可以是硬件结构、软件模块、或硬件结构加软件模块。该收集网络中设备基础信息的网络边缘设备可以由芯片系统实现,芯片系统可以由芯片构成,也可以包含芯片和其他分立器件。请参见图5a所示,本申请实施例中的收集网络中设备基础信息的网络边缘设备包括收集模块501和发送模块502。其中:
接收模块501,用于接收网络中的至少一个主机设备上报的第一基础信息,并存储该第一基础信息,以实现对至少一个主机设备的第一基础信息的收集;该第一基础信息用于实现对网络的安全性评估,其中,所述网络边缘设备所在网络还包括至少一个主机设备;
发送模块502,用于在接收到信息获取请求时,将与信息获取请求对应的基础信息发送给信息采集设备。
可选的,接收模块501还用于:若网络边缘设备直接对应至少一个主机设备,则直接接收至少一个主机设备上报的第一基础信息;若网络边缘设备与至少一个主机设备中任一主机设备之间设置有第二网络边缘设备,则接收第二网络边缘设备传递的任一主机设备的第一基础信息,和/或,所述第二网络边缘设备的第二基础信息;若第一网络边缘设备对应所述第二网络边缘设备,且第二网络边缘设备未与任一主机设备对应,则接收第二网络边缘设备的第二基础信息。
可选的,如图5b所示的设备,还包括协商模块503,该协商模块503用于:向至少一个主机设备发送协商信息;接收至少一个主机设备根据协商信息发送的第一反馈信息;第一反馈信息用于指示至少一个主机设备支持周期性自动上报第一基础信息。
可选的,如图5b所示的设备,还包括探测模块504,该探测模块504用于:当网络边缘设备接收至少一个主机设备根据协商信息反馈的第二反馈信息时,周期性地向至少一个主机设备发送探测信息;接收至少一个主机设备根据探测信息反馈的第一基础信息,并存储第一基础信息。
可选的,探测模块504具体用于:根据支持接收的第一基础信息的类型,确定与类型对应的探测信息;其中,探测信息包括端口探测、服务探测、操作系统探测中的任意一种或多种类型;周期性地向至少一个主机设备发送与类型对应的探测信息。
前述的网络中设备第一基础信息的收集方法的实施例涉及的各步骤的所有相关内容均可以援引到本申请施例中的收集网络中设备基础信息的网络边缘设备所对应的功能模块的功能描述,在此不再赘述。
本申请实施例中对模块的划分是示意性的,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,另外,在本申请各个实施例中的各功能模块可以集成在一个处理器中,也可以是单独物理存在,也可以两个或两个以上模块集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。
基于同一发明构思,本申请实施例还提供一种网络设备,该网络设备例如是图2中的交换机210-交换机214,或路由器215。如图6所示,本申请实施例中的网络设备包括至少一个处理器601,以及与至少一个处理器601连接的存储器602和通信接口603,本申请实施例中不限定处理器601与存储器602之间的具体连接介质,图6中是以处理器601和存储器602之间通过总线600连接为例,总线600在图6中以粗线表示,其它部件之间的连接方式,仅是进行示意性说明,并不引以为限。总线600可以分为地址总线、数据总线、控制总线等,为便于表示,图6中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
在本申请实施例中,存储器602存储有可被至少一个处理器601执行的指令,至少一个处理器601通过执行存储器602存储的指令,可以执行前述的网络中设备基础信息的收集方法中所包括的步骤。
其中,处理器601是网络设备的控制中心,可以利用各种接口和线路连接整个网络设备的各个部分,通过运行或执行存储在存储器602内的指令以及调用存储在存储器602内的数据,计算设备的各种功能和处理数据,从而对计算设备进行整体监控。可选的,处理器601可包括一个或多个处理单元,处理器601可集成应用处理器和调制解调处理器,其中,处理器601主要处理操作系统、用户界面和应用程序等,调制解调处理器主要处理无线通信。可以理解的是,上述调制解调处理器也可以不集成到处理器601中。在一些实施例中,处理器601和存储器602可以在同一芯片上实现,在一些实施例中,它们也可以在独立的芯片上分别实现。
处理器601可以是通用处理器,例如中央处理器(CPU)、数字信号处理器、专用集成电路、现场可编程门阵列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件,可以实现或者执行本申请实施例中公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本申请实施例所公开的方法的步骤可以直接体现为硬件处理器执行完成,或者用处理器中的硬件及软件模块组合执行完成。
存储器602作为一种非易失性计算机可读存储介质,可用于存储非易失性软件程序、非易失性计算机可执行程序以及模块。存储器602可以包括至少一种类型的存储介质,例如可以包括闪存、硬盘、多媒体卡、卡型存储器、随机访问存储器(Random AccessMemory,RAM)、静态随机访问存储器(Static Random Access Memory,SRAM)、可编程只读存储器(Programmable Read Only Memory,PROM)、只读存储器(Read Only Memory,ROM)、带电可擦除可编程只读存储器(Electrically Erasable Programmable Read-Only Memory,EEPROM)、磁性存储器、磁盘、光盘等等。存储器602是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。本申请实施例中的存储器602还可以是电路或者其它任意能够实现存储功能的装置,用于存储程序指令和/或数据。
通信接口603是能够用于进行通信的传输接口,可以通过通信接口603接收数据或者发送数据。以网络设备是图2中的交换机212为例,可以通过通信接口603接收终端201-终端209上报的基础信息,等等。
基于同一发明构思,本申请实施例还提供一种计算机可读存储介质,该计算机可读存储介质存储有计算机指令,当该计算机指令在计算机上运行时,使得计算机执行如前述的网络中设备基础信息的收集方法的步骤。
基于同一发明构思,本申请实施例还提供一种芯片系统,该芯片系统包括处理器,还可以包括存储器,用于实现如前述的网络中设备基础信息的收集方法的步骤。该芯片系统可以由芯片构成,也可以包含芯片和其他分立器件。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。
Claims (8)
1.一种网络中设备基础信息收集方法,其特征在于,所述网络中包括第一网络边缘设备和至少一个主机设备,所述方法包括:
所述第一网络边缘设备通过新增的协议接收所述至少一个主机设备上报的第一基础信息,并存储所述第一基础信息,以实现对所述至少一个主机设备的第一基础信息的收集;所述第一基础信息用于实现对所述网络的安全性评估;所述网络边缘设备为所述网络的子网中的网关设备;所述协议用于支持所述第一网络边缘设备收集所述至少一个主机设备的基础信息;
若所述第一网络边缘设备直接对应所述至少一个主机设备,则所述第一网络边缘设备直接接收所述至少一个主机设备上报的第一基础信息;若所述第一网络边缘设备与所述至少一个主机设备中任一主机设备之间设置有第二网络边缘设备,则所述第一网络边缘设备接收所述第二网络边缘设备传递的所述任一主机设备的第一基础信息,和,所述第二网络边缘设备的第二基础信息;若所述第一网络边缘设备对应所述第二网络边缘设备,且所述第二网络边缘设备未与所述任一主机设备对应,则所述第一网络边缘设备接收所述第二网络边缘设备的第二基础信息;
所述第一网络边缘设备在接收到信息获取请求时,将与所述信息获取请求对应的基础信息发送给信息采集设备。
2.如权利要求1所述的方法,其特征在于,在所述第一网络边缘设备直接接收所述至少一个主机设备上报的第一基础信息之前,还包括:
所述第一网络边缘设备向所述至少一个主机设备发送协商信息;
所述第一网络边缘设备接收所述至少一个主机设备根据所述协商信息发送的第一反馈信息;所述第一反馈信息用于指示所述至少一个主机设备支持周期性自动上报所述第一基础信息。
3.如权利要求2所述的方法,其特征在于,若所述第一网络边缘设备接收所述至少一个主机设备根据所述协商信息反馈的第二反馈信息,所述第二反馈信息用于指示所述至少一个主机设备不支持周期性自动上报所述第一基础信息,所述方法还包括:
所述第一网络边缘设备周期性地向所述至少一个主机设备发送探测信息;
所述第一网络边缘设备接收所述至少一个主机设备根据所述探测信息反馈的所述第一基础信息,并存储所述第一基础信息。
4.如权利要求3所述的方法,其特征在于,所述探测信息包括端口探测、服务探测、操作系统探测中的任意一种或多种类型,所述第一网络边缘设备周期性地向所述至少一个主机设备发送探测信息,包括:
所述第一网络边缘设备根据支持接收的所述第一基础信息的类型,确定与所述类型对应的探测信息;
所述第一网络边缘设备周期性地向所述至少一个主机设备发送与所述类型对应的探测信息。
5.一种收集网络中设备基础信息的网络边缘设备,其特征在于,所述网络边缘设备所在网络还包括至少一个主机设备,所述网络边缘设备为所述网络的子网中的网关设备,所述网络边缘设备包括:
接收模块,用于通过新增的协议接收网络中的至少一个主机设备上报的第一基础信息,并存储所述第一基础信息,以实现对所述至少一个主机设备的第一基础信息的收集;所述第一基础信息用于实现对所述网络的安全性评估;所述协议用于支持所述网络边缘设备收集所述至少一个主机设备的基础信息;
所述接收模块,还用于:若所述网络边缘设备直接对应所述至少一个主机设备,则直接接收所述至少一个主机设备上报的第一基础信息;若所述网络边缘设备与所述至少一个主机设备中任一主机设备之间设置有第二网络边缘设备,则接收所述第二网络边缘设备传递的所述任一主机设备的第一基础信息,和/或,所述第二网络边缘设备的第二基础信息;若所述网络边缘设备对应所述第二网络边缘设备,且所述第二网络边缘设备未与所述任一主机设备对应,则接收所述第二网络边缘设备的第二基础信息;
发送模块,用于在接收到信息获取请求时,将与所述信息获取请求对应的基础信息发送给信息采集设备。
6.如权利要求5所述的设备,其特征在于,所述设备还包括协商模块,所述协商模块用于:
向所述至少一个主机设备发送协商信息;
接收所述至少一个主机设备根据所述协商信息发送的第一反馈信息;所述第一反馈信息用于指示所述至少一个主机设备支持周期性自动上报所述第一基础信息。
7.一种网络设备,其特征在于,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如权利要求1-4任一所述的方法包括的步骤。
8.一种存储介质,其特征在于,所述存储介质存储有计算机可执行指令,所述计算机可执行指令用于使计算机执行如权利要求1-4任一所述的方法包括的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010235979.6A CN111431911B (zh) | 2020-03-30 | 2020-03-30 | 网络中设备基础信息收集方法、网络边缘设备及网络设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010235979.6A CN111431911B (zh) | 2020-03-30 | 2020-03-30 | 网络中设备基础信息收集方法、网络边缘设备及网络设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111431911A CN111431911A (zh) | 2020-07-17 |
| CN111431911B true CN111431911B (zh) | 2022-08-12 |
Family
ID=71555568
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010235979.6A Active CN111431911B (zh) | 2020-03-30 | 2020-03-30 | 网络中设备基础信息收集方法、网络边缘设备及网络设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111431911B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115529310B (zh) * | 2021-06-24 | 2024-09-20 | 中移(成都)信息通信科技有限公司 | 通信方法、装置、相关设备及存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101888313A (zh) * | 2009-05-15 | 2010-11-17 | 中联绿盟信息技术(北京)有限公司 | 一种主机探测系统和方法 |
| CN102710439A (zh) * | 2012-05-29 | 2012-10-03 | 南京邮电大学 | 一种用户终端参数信息的获取方法 |
| CN109842692A (zh) * | 2018-11-13 | 2019-06-04 | 联想企业解决方案(新加坡)有限公司 | 用于获得物理网络中主机信息的VxLAN交换机、系统和方法 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103532793A (zh) * | 2013-10-28 | 2014-01-22 | 中国航天科工集团第二研究院七〇六所 | 一种信息系统安全性自动化渗透测试方法 |
| CN106603507A (zh) * | 2016-11-29 | 2017-04-26 | 哈尔滨安天科技股份有限公司 | 一种自动化完成网络安全自检的方法及系统 |
| KR102153926B1 (ko) * | 2017-08-10 | 2020-09-10 | 한국전자통신연구원 | 네트워크 보안 강화 장치 및 그 방법 |
| CN107332863A (zh) * | 2017-08-16 | 2017-11-07 | 深信服科技股份有限公司 | 一种基于集中管理的主机的安全检测方法及系统 |
-
2020
- 2020-03-30 CN CN202010235979.6A patent/CN111431911B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101888313A (zh) * | 2009-05-15 | 2010-11-17 | 中联绿盟信息技术(北京)有限公司 | 一种主机探测系统和方法 |
| CN102710439A (zh) * | 2012-05-29 | 2012-10-03 | 南京邮电大学 | 一种用户终端参数信息的获取方法 |
| CN109842692A (zh) * | 2018-11-13 | 2019-06-04 | 联想企业解决方案(新加坡)有限公司 | 用于获得物理网络中主机信息的VxLAN交换机、系统和方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111431911A (zh) | 2020-07-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7359339B2 (en) | Smart access point | |
| CN110740490A (zh) | 终端入网方法、网关设备、系统、存储介质及装置 | |
| CN101517532A (zh) | 射频防火墙协调 | |
| WO2023143275A1 (zh) | 数据处理方法和系统 | |
| CN107333260A (zh) | 一种获取终端的真实mac地址的方法及装置 | |
| CN112469044A (zh) | 一种异构终端的边缘接入管控方法及控制器 | |
| CN104125568A (zh) | 无线接入点安全认证方法和系统 | |
| CN111263377B (zh) | 网络配置方法、装置、设备、系统和配网测试方法、系统 | |
| KR100661006B1 (ko) | 홈네트워크 단말 관리 시스템 및 그 방법 | |
| CN113709777A (zh) | 一种故障处理方法、装置及系统 | |
| CN111431911B (zh) | 网络中设备基础信息收集方法、网络边缘设备及网络设备 | |
| EP2916616A2 (en) | M2m gateway device and applying method thereof | |
| US20180376470A1 (en) | Method and apparatus for access point to station connection | |
| CN112134775B (zh) | 一种交换机环路检测方法和装置 | |
| US8516094B2 (en) | Method and network management apparatus for implementing information service level inheritance in network management system | |
| CN116546660A (zh) | 蓝牙测试方法、装置、上位机设备及存储介质 | |
| CN116719868A (zh) | 网络资产的识别方法、装置及设备 | |
| CN113259468B (zh) | 一种网络设备配置方法及装置 | |
| CN112152854B (zh) | 一种信息处理方法及装置 | |
| CN113852938A (zh) | 车载设备通讯方法、车载设备、存储介质及电子装置 | |
| CN111416889A (zh) | 通过gatt和异常处理来适配的通信方法及系统 | |
| CN105163335A (zh) | 一种网络接入管理方法、服务器、移动终端以及系统 | |
| CN111405025A (zh) | 数据传输的方法及装置、传输设备、可读存储介质 | |
| CN108449755A (zh) | 一种终端接入方法和装置 | |
| US11606274B1 (en) | Method for operations of virtual machines in monitoring cloud activities, system, and device applying the method |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |