CN112104483A - 一种内网隐形终端的感知方法和装置 - Google Patents
一种内网隐形终端的感知方法和装置 Download PDFInfo
- Publication number
- CN112104483A CN112104483A CN202010814562.5A CN202010814562A CN112104483A CN 112104483 A CN112104483 A CN 112104483A CN 202010814562 A CN202010814562 A CN 202010814562A CN 112104483 A CN112104483 A CN 112104483A
- Authority
- CN
- China
- Prior art keywords
- terminal
- intranet
- registered
- information
- port
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 31
- 230000008447 perception Effects 0.000 claims abstract description 4
- 238000009825 accumulation Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000011217 control strategy Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/02—Standardisation; Integration
- H04L41/0213—Standardised network management protocols, e.g. simple network management protocol [SNMP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种内网隐形终端的感知方法和装置,所述感知方法包括以下步骤:建立数据库,所述数据库包括内网内所有网络交换机和在内网注册的终端设备的信息;定时扫描,通过SNMP协议定时扫描所有网络交换机端口的当前状态,获取各所述交换机每个端口的终端使用的信息;将扫描到的终端使用的信息与内网注册的终端设备的信息进行比对,判断是否存在已在内网注册,但长期没有接入内网的终端设备,确定符合上述特征的终端设备为隐形终端,本发明采取定时扫描的方式来更新每台交换机的信息,经过一段时间的积累来判断该端口是否处于长期没有接入信息内网的“隐形”状态,避免长期没有接入内网,上网就发生违规外联信息安全事件的产生。
Description
技术领域
本发明涉及一种内网隐形终端的感知方法和装置,属于网络安全技术领域。
背景技术
内网终端共分两大类,一是桌面终端,即办公电脑;二是非桌面终端,包括网络打印机、统一视频终端、POS机、门禁等等。
为了保证公司所有桌面终端及非桌面终端可控、能控、在控,杜绝了隐形终端的运行或接入,特别是泛在电力物联网终端,随着泛在电力物联网的应用推进,在国网统推或省公司统推的系统项目中,大量泛在电力物联网终端(下称非桌面终端),如视频系统设备、人资无感识别系统设备等等进行建设并投入使用,随之也暴露出许多网络安全及管理问题,必须要采取技术措施严格管控,比如在识别某终端为“非法终端”后可以自动关闭上联端口。
在网络安全问题严重的今天,迫切需要一种能对所有的终端上联端口批量下发控制策略,最终允许通过安全扫描的终端接入内网,杜绝不安全的终端接入内网的方案。
发明内容
为了解决上述现有技术中存在的问题,本发明提供一种内网隐形终端的感知方法和装置,采取定时扫描的方式来更新每台交换机的信息,经过一段时间的积累来判断该端口是否处于长期没有接入信息内网的“隐形”状态,避免长期没有接入内网,上网就发生违规外联信息安全事件的产生。
本发明的技术方案如下:
技术方案一:
一种内网隐形终端的感知方法,包括以下步骤:
建立数据库,所述数据库包括内网内所有网络交换机和在内网注册的终端设备的信息;
定时扫描,通过SNMP协议定时扫描所有网络交换机端口的当前状态,获取各所述交换机每个端口的终端使用的信息;
将扫描到的终端使用的信息与内网注册的终端设备的信息进行比对,判断是否存在已在内网注册,但长期没有接入内网的终端设备,确定符合上述特征的终端设备为隐形终端。
进一步的,所述终端使用的信息包括用户信息、端口信息、终端地址和终端注册时间。
进一步的,还包括排查冗余数据的步骤,具体如下:
在通过SNMP协议定时扫描所有网络交换机端口时,通过用户信息判断是否出现重复的在内网注册的用户名;
若存在重复的用户名,则判断相同用户名的终端设备的终端地址和终端注册时间是否相同;
若所述相同用户名的终端设备的终端地址相同,终端注册时间不同,则确定所述相同用户名的终端设备属于冗余数据。
进一步的,还包括排查非法接入内网的终端的步骤,具体如下:
在通过SNMP协议定时扫描所有网络交换机端口时,通过用户信息判断是否存在未在内网注册的终端设备;
若存在,则直接确定所述未在内网注册的终端设备为非法接入内网的终端,自动禁用所述非法接入内网的终端上联网络交换机的端口。
进一步的,还包括步骤:当所述非法接入内网的终端上联网络交换机的端口被禁用时,管理人员可手动选择禁用或启用该被自动禁用的端口。
技术方案二:
一种内网隐形终端的感知装置,包括存储器和处理器,所述存储器存储有指令,所述指令适于由处理器加载并执行以下步骤:
建立数据库,所述数据库包括内网内所有网络交换机和在内网注册的终端设备的信息;
定时扫描,通过SNMP协议定时扫描所有网络交换机端口的当前状态,获取各所述交换机每个端口的终端使用的信息;
将扫描到的终端使用的信息与内网注册的终端设备的信息进行比对,判断是否存在已在内网注册,但长期没有接入内网的终端设备,确定符合上述特征的终端设备为隐形终端。
进一步的,所述终端使用的信息包括用户信息、端口信息、终端地址和终端注册时间。
进一步的,还包括排查冗余数据的步骤,具体如下:
在通过SNMP协议定时扫描所有网络交换机端口时,通过用户信息判断是否出现重复的在内网注册的用户名;
若存在重复的用户名,则判断相同用户名的终端设备的终端地址和终端注册时间是否相同;
若所述相同用户名的终端设备的终端地址相同,终端注册时间不同,则确定所述相同用户名的终端设备属于冗余数据。
进一步的,还包括排查非法接入内网的终端的步骤,具体如下:
在通过SNMP协议定时扫描所有网络交换机端口时,通过用户信息判断是否存在未在内网注册的终端设备;
若存在,则直接确定所述未在内网注册的终端设备为非法接入内网的终端,自动禁用所述非法接入内网的终端上联网络交换机的端口。
进一步的,还包括步骤:当所述非法接入内网的终端上联网络交换机的端口被禁用时,管理人员可手动选择禁用或启用该被自动禁用的端口。
本发明具有如下有益效果:
1、本发明一种内网隐形终端的感知方法和装置,采取定时扫描的方式来更新每台交换机的信息,经过一段时间的积累来判断该端口是否处于长期没有接入信息内网的“隐形”状态,避免长期没有接入内网,上网就发生违规外联信息安全事件的产生。
2、本发明一种内网隐形终端的感知方法和装置,通过SNMP协议定时扫描并联动数据库探测数据库中的冗余数据,便于清理和管理内网的数据。
3、本发明一种内网隐形终端的感知方法和装置,通过SNMP协议定时扫描并联动数据库判断该外来终端是否合法,并自动关闭该终端上联交换机的端口以达到阻止入网的目的。
附图说明
图1为本发明实施例的流程图;
图2和图3为本发明实施例中用户信息的界面示例图;
图4为本发明实施例中交换机的接入端口信息的界面示例图。
具体实施方式
下面结合附图和具体实施例来对本发明进行详细的说明。
实施例一
参见图1,一种内网隐形终端的感知方法,包括以下步骤:
建立数据库,所述数据库主要包含三大部分,第一部分是网络交换机台帐,这部分台帐是从I6000系统导出的数据表;第二部分和第三部分数据分别来源于桌面管理系统数据库和终端准入系统数据库导出的数据表。桌面管理系统数据库包含了公司内部用于管理在公司注册、允许接入内网的桌面终端的信息数据,终端准入系统数据库包含了公司内部允许接入内网的非桌面终端的信息数据。
定时扫描,通过SNMP协议定时扫描所有网络交换机端口的当前状态,获取各所述交换机每个端口的终端使用的信息;
将扫描到的终端使用的信息与内网注册的终端设备的信息进行比对,判断是否存在已在内网注册,但长期没有接入内网的终端设备,确定符合上述特征的终端设备为隐形终端;具体参见图2,如图所示,有4条数据更新时间比较早,以后从为进行联动更新,属于长期不运行的终端设备,则确定这四个终端设备为隐形终端。
进一步的,所述终端使用的信息包括用户信息、端口信息、终端地址和终端注册时间,如图2或图3所示,在本例中,用户信息包括了用户单元名称、用户姓名;端口信息包括交换机拓扑、交换机名称、交换机IP、交换机端口、端口Oid等;终端地址包括IP地址和MAC 地址。
进一步的,参见图3,还包括排查冗余数据的步骤,具体如下:
在通过SNMP协议定时扫描所有网络交换机端口时,通过用户信息判断是否出现重复的在内网注册的用户名;
如图中李华和陈丹(本例中出现的姓名均为假名)都出现了两次,且李华与李华1的Mac地址相同、注册时间不同,陈丹和陈丹1的 Mac地址相同、注册时间不同,则判定这几条数据属于冗余数据。
进一步的,参见图4,还包括排查非法接入内网的终端的步骤,具体如下:
通过扫描交换机的接入端口信息并联动数据库,判断该终端设备是否是违规接入的终端,一旦发现,直接关闭该终端的上联交换机端口,默认情况下,在联动准入时自动禁用没有通过注册的终端设备,核实后可以执行手动启动或手动禁用操作。
实施例二
参见图1,一种内网隐形终端的感知装置,包括存储器和处理器,所述存储器存储有指令,所述指令适于由处理器加载并执行以下步骤:
建立数据库,所述数据库主要包含三大部分,第一部分是网络交换机台帐,这部分台帐是从I6000系统导出的数据表;第二部分和第三部分数据分别来源于桌面管理系统数据库和终端准入系统数据库导出的数据表。桌面管理系统数据库包含了公司内部用于管理在公司注册、允许接入内网的桌面终端的信息数据,终端准入系统数据库包含了公司内部允许接入内网的非桌面终端的信息数据。
定时扫描,通过SNMP协议定时扫描所有网络交换机端口的当前状态,获取各所述交换机每个端口的终端使用的信息;
将扫描到的终端使用的信息与内网注册的终端设备的信息进行比对,判断是否存在已在内网注册,但长期没有接入内网的终端设备,确定符合上述特征的终端设备为隐形终端;具体参见图2,如图所示,有4条数据更新时间比较早,以后从为进行联动更新,属于长期不运行的终端设备,则确定这四个终端设备为隐形终端。
进一步的,所述终端使用的信息包括用户信息、端口信息、终端地址和终端注册时间,如图2或图3所示,在本例中,用户信息包括了用户单元名称、用户姓名;端口信息包括交换机拓扑、交换机名称、交换机IP、交换机端口、端口Oid等;终端地址包括IP地址和MAC 地址。
进一步的,参见图3,还包括排查冗余数据的步骤,具体如下:
在通过SNMP协议定时扫描所有网络交换机端口时,通过用户信息判断是否出现重复的在内网注册的用户名;
如图中李华和陈丹(本例中出现的姓名均为假名)都出现了两次,且李华与李华1的Mac地址相同、注册时间不同,陈丹和陈丹1的 Mac地址相同、注册时间不同,则判定这几条数据属于冗余数据。
进一步的,参见图4,还包括排查非法接入内网的终端的步骤,具体如下:
通过扫描交换机的接入端口信息并联动数据库,判断该终端设备是否是违规接入的终端,一旦发现,直接关闭该终端的上联交换机端口,默认情况下,在联动准入时自动禁用没有通过注册的终端设备,核实后可以执行手动启动或手动禁用操作。
以上所述仅为本发明的实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (10)
1.一种内网隐形终端的感知方法,其特征在于,包括以下步骤:
建立数据库,所述数据库包括内网内所有网络交换机和在内网注册的终端设备的信息;
定时扫描,通过SNMP协议定时扫描所有网络交换机端口的当前状态,获取各所述交换机每个端口的终端使用的信息;
将扫描到的终端使用的信息与内网注册的终端设备的信息进行比对,判断是否存在已在内网注册,但长期没有接入内网的终端设备,确定符合上述特征的终端设备为隐形终端。
2.根据权利要求1所述的一种内网隐形终端的感知方法,其特征在于:所述终端使用的信息包括用户信息、端口信息、终端地址和终端注册时间。
3.根据权利要求2所述的一种内网隐形终端的感知方法,其特征在于,还包括排查冗余数据的步骤,具体如下:
在通过SNMP协议定时扫描所有网络交换机端口时,通过用户信息判断是否出现重复的在内网注册的用户名;
若存在重复的用户名,则判断相同用户名的终端设备的终端地址和终端注册时间是否相同;
若所述相同用户名的终端设备的终端地址相同,终端注册时间不同,则确定所述相同用户名的终端设备属于冗余数据。
4.根据权利要求2所述的一种内网隐形终端的感知方法,其特征在于,还包括排查非法接入内网的终端的步骤,具体如下:
在通过SNMP协议定时扫描所有网络交换机端口时,通过用户信息判断是否存在未在内网注册的终端设备;
若存在,则直接确定所述未在内网注册的终端设备为非法接入内网的终端,自动禁用所述非法接入内网的终端上联网络交换机的端口。
5.根据权利要求4所述的一种内网隐形终端的感知方法,其特征在于,还包括步骤:当所述非法接入内网的终端上联网络交换机的端口被禁用时,管理人员可手动选择禁用或启用该被自动禁用的端口。
6.一种内网隐形终端的感知装置,其特征在于,包括存储器和处理器,所述存储器存储有指令,所述指令适于由处理器加载并执行以下步骤:
建立数据库,所述数据库包括内网内所有网络交换机和在内网注册的终端设备的信息;
定时扫描,通过SNMP协议定时扫描所有网络交换机端口的当前状态,获取各所述交换机每个端口的终端使用的信息;
将扫描到的终端使用的信息与内网注册的终端设备的信息进行比对,判断是否存在已在内网注册,但长期没有接入内网的终端设备,确定符合上述特征的终端设备为隐形终端。
7.根据权利要求6所述的一种内网隐形终端的感知装置,其特征在于:所述终端使用的信息包括用户信息、端口信息、终端地址和终端注册时间。
8.根据权利要求7所述的一种内网隐形终端的感知装置,其特征在于,还包括排查冗余数据的步骤,具体如下:
在通过SNMP协议定时扫描所有网络交换机端口时,通过用户信息判断是否出现重复的在内网注册的用户名;
若存在重复的用户名,则判断相同用户名的终端设备的终端地址和终端注册时间是否相同;
若所述相同用户名的终端设备的终端地址相同,终端注册时间不同,则确定所述相同用户名的终端设备属于冗余数据。
9.根据权利要求7所述的一种内网隐形终端的感知装置,其特征在于,还包括排查非法接入内网的终端的步骤,具体如下:
在通过SNMP协议定时扫描所有网络交换机端口时,通过用户信息判断是否存在未在内网注册的终端设备;
若存在,则直接确定所述未在内网注册的终端设备为非法接入内网的终端,自动禁用所述非法接入内网的终端上联网络交换机的端口。
10.根据权利要求9所述的一种内网隐形终端的感知装置,其特征在于,还包括步骤:当所述非法接入内网的终端上联网络交换机的端口被禁用时,管理人员可手动选择禁用或启用该被自动禁用的端口。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010814562.5A CN112104483B (zh) | 2020-08-13 | 2020-08-13 | 一种内网隐形终端的感知方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010814562.5A CN112104483B (zh) | 2020-08-13 | 2020-08-13 | 一种内网隐形终端的感知方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112104483A true CN112104483A (zh) | 2020-12-18 |
| CN112104483B CN112104483B (zh) | 2023-11-07 |
Family
ID=73753554
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010814562.5A Active CN112104483B (zh) | 2020-08-13 | 2020-08-13 | 一种内网隐形终端的感知方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112104483B (zh) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20040069068A (ko) * | 2003-01-28 | 2004-08-04 | 에스케이 텔레콤주식회사 | 중계기 고장감시 방법 |
| CN102118271A (zh) * | 2011-03-29 | 2011-07-06 | 上海北塔软件股份有限公司 | 发现非法接入设备的方法 |
| CN102684897A (zh) * | 2011-03-14 | 2012-09-19 | 上海宝信软件股份有限公司 | Tcp/ip网络私接设备发现方法 |
| CN109981344A (zh) * | 2019-02-19 | 2019-07-05 | 新华三技术有限公司 | 扫描方法、装置及网络转发设备 |
-
2020
- 2020-08-13 CN CN202010814562.5A patent/CN112104483B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20040069068A (ko) * | 2003-01-28 | 2004-08-04 | 에스케이 텔레콤주식회사 | 중계기 고장감시 방법 |
| CN102684897A (zh) * | 2011-03-14 | 2012-09-19 | 上海宝信软件股份有限公司 | Tcp/ip网络私接设备发现方法 |
| CN102118271A (zh) * | 2011-03-29 | 2011-07-06 | 上海北塔软件股份有限公司 | 发现非法接入设备的方法 |
| CN109981344A (zh) * | 2019-02-19 | 2019-07-05 | 新华三技术有限公司 | 扫描方法、装置及网络转发设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112104483B (zh) | 2023-11-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10284603B2 (en) | System and method for providing network and computer firewall protection with dynamic address isolation to a device | |
| KR100944724B1 (ko) | Ip 주소를 이용한 사용자 인증 시스템 및 그 방법 | |
| US8095674B2 (en) | Method, system and terminal for access control in device management | |
| US8239931B2 (en) | Communication apparatus, a firewall control method, and a firewall control program | |
| CN104158767B (zh) | 一种网络准入装置及方法 | |
| CN105871908B (zh) | 企业网络边界设备访问控制策略的管控方法及装置 | |
| US8312513B2 (en) | Authentication system and terminal authentication apparatus | |
| US20080133719A1 (en) | System and method of changing a network designation in response to data received from a device | |
| CN110086813A (zh) | 访问权限控制方法和装置 | |
| CN114389882B (zh) | 网关流量控制方法、装置、计算机设备及存储介质 | |
| KR100832804B1 (ko) | 프로파일링 기반 데이터베이스 보안 시스템 및 방법 | |
| CN112104483A (zh) | 一种内网隐形终端的感知方法和装置 | |
| CN101193129A (zh) | 认证用户名生成方法和装置 | |
| CN113645060B (zh) | 一种网卡配置方法、数据处理方法及装置 | |
| CN112367188B (zh) | 一种基于零信任模型的私有化安全系统及实现方法 | |
| Cisco | Configuring Traffic Filters | |
| Cisco | Configuring Traffic Filters | |
| Cisco | Configuring Traffic Filters | |
| Cisco | Configuring Traffic Filters | |
| Cisco | Configuring Traffic Filters | |
| Cisco | Configuring Traffic Filters | |
| Cisco | Configuring Traffic Filters | |
| Cisco | Configuring Traffic Filters | |
| Cisco | Passwords and Privileges Commands | |
| Cisco | Passwords and Privileges Commands |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |