CN113542192B - 非法网络设备接入检测方法、装置、计算设备及存储介质 - Google Patents
非法网络设备接入检测方法、装置、计算设备及存储介质 Download PDFInfo
- Publication number
- CN113542192B CN113542192B CN202010291373.4A CN202010291373A CN113542192B CN 113542192 B CN113542192 B CN 113542192B CN 202010291373 A CN202010291373 A CN 202010291373A CN 113542192 B CN113542192 B CN 113542192B
- Authority
- CN
- China
- Prior art keywords
- access
- data
- network connection
- illegal
- connection relation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例涉及通信网络技术领域,公开了一种非法网络设备接入检测方法、装置、计算设备及存储介质,该方法包括:从网络设备获取源数据对象标识符;根据所述源数据对象标识符生成网络连接关系;根据所述网络连接关系以及所述源数据对象标识符检测接入网络的接入设备是否为非法接入设备。通过上述方式,本发明实施例能够实现网络区域内连接关系完整呈现,及时发现网络中的非法设备接入行为。
Description
技术领域
本发明实施例涉及通信网络技术领域,具体涉及一种非法网络设备接入检测方法、装置、计算设备及存储介质。
背景技术
非法网络设备接入检测是指在数据中心网络管理过程中自动发现二层级联、边界网络、非授权等未纳入管理体系的行为,此过程涉及技术栈及网络域边界,在网络趋于云化的发展态势中,当前并无对应的一体化解决方案,此类数据的变更多为手工录入,在数据及时性、有效性、完整性上有诸多不足。
如图1所示,数据断层是指接入网络设备与服务器之间的二层级联网络,常见于统一计算服务器,如Cisco UCS、HP BladeSystem,其网络设备管理方式、功能私有化较严重,导致网络管理过程中很难形成可用数据,形成事实上的数据黑盒。网络区域边界一般采用三层口字型或交叉互联,通过发布静态或过滤动态路由的方式来实现网络互通。组网架构中由于对网络端天然未纳管,因此,只能在手工绘制的拓扑中呈现,运维过程中的异常排错对工程师经验强依赖。私接设备是指设备调测、误操作、恶意接入等行为,类似行为缺乏数据基础,只能依赖运维人员的经验、临场沟通等方式来进行问题定位,该过程耗费时间一般在30分钟以上。
发明内容
鉴于上述问题,本发明实施例提供了一种非法网络设备接入检测方法、装置、计算设备及存储介质,克服了上述问题或者至少部分地解决了上述问题。
根据本发明实施例的一个方面,提供了一种非法网络设备接入检测方法,所述方法包括:从网络设备获取源数据对象标识符;根据所述源数据对象标识符生成网络连接关系;根据所述网络连接关系以及所述源数据对象标识符检测接入网络的接入设备是否为非法接入设备。
在一种可选的方式中,所述从网络设备拉取源数据对象标识符,包括:基于简单网络管理协议从网络设备周期性地拉取LLDP数据、下一跳路由数据以及MAC地址数据。
在一种可选的方式中,所述根据所述源数据对象标识符生成网络连接关系,包括:根据所述LLDP数据以及所述MAC地址数据生成二层网络连接关系;或者,根据所述LLDP数据、所述下一跳数据以及所述MAC地址数据生成三层网络连接关系。
在一种可选的方式中,所述根据所述LLDP数据以及所述MAC地址数据生成二层网络连接关系,包括:获取对端端口;获取本地端口和远端主机名;根据所述对端端口、所述本地端口以及所述远端主机名生成所述二层网络连接关系并保存。
在一种可选的方式中,所述根据所述LLDP数据、所述下一跳路由数据以及所述MAC地址数据生成三层网络连接关系,包括:根据所述下一跳路由数据获取网络地址和下一跳IP地址;根据所述网络地址获取端口名称;根据所述网络地址、所述下一跳IP地址以及所述端口名称生成所述三层网络连接关系并保存。
在一种可选的方式中,所述根据所述网络连接关系以及所述源数据对象标识符检测接入网络的接入设备是否为非法接入设备,包括:判断与所述接入设备对应的所述二层网络连接关系是否合法,如果不合法,则所述接入设备为非法接入设备;或者,判断与所述接入设备对应的所述三层网络连接关系是否合法,如果不合法,则所述接入设备为非法接入设备;或者,判断所述接入设备的MAC地址是否在配置管理数据库中,如果不在,则所述接入设备为非法接入设备。
在一种可选的方式中,所述根据所述网络连接关系以及所述源数据对象标识符检测接入网络的接入设备是否为非法接入设备之后,包括:对所述非法接入设备的非法接入行为进行分类,并标识网络连接关系;生成告警信息以进行告警。
根据本发明实施例的另一个方面,提供了一种非法网络设备接入检测装置,所述装置包括:数据获取单元,用于从网络设备获取源数据对象标识符;连接关系生成单元,用于根据所述源数据对象标识符生成网络连接关系;数据处理单元,用于根据所述网络连接关系以及所述源数据对象标识符检测接入网络的接入设备是否为非法接入设备。
根据本发明实施例的另一方面,提供了一种计算设备,包括:处理器、存储器、通信接口和通信总线,所述处理器、所述存储器和所述通信接口通过所述通信总线完成相互间的通信;
所述存储器用于存放至少一可执行指令,所述可执行指令使所述处理器执行上述非法网络设备接入检测方法的步骤。
根据本发明实施例的又一方面,提供了一种计算机存储介质,所述存储介质中存储有至少一可执行指令,所述可执行指令使所述处理器执行上述非法网络设备接入检测方法的步骤。
本发明实施例通过从网络设备获取源数据对象标识符;根据所述源数据对象标识符生成网络连接关系;根据所述网络连接关系以及所述源数据对象标识符检测接入网络的接入设备是否为非法接入设备,能够实现网络区域内连接关系完整呈现,及时发现网络中的非法设备接入行为。
上述说明仅是本发明实施例技术方案的概述,为了能够更清楚了解本发明实施例的技术手段,而可依照说明书的内容予以实施,并且为了让本发明实施例的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1示出了现有技术的非法接入的示意图;
图2示出了本发明实施例提供的非法网络设备接入检测方法的流程示意图;
图3示出了本发明实施例提供的非法网络设备接入检测方法的MAC数据获取示意图;
图4示出了本发明实施例提供的非法网络设备接入检测方法的二层网络连接关系生成示意图;
图5示出了本发明实施例提供的非法网络设备接入检测方法的三层网络连接关系生成示意图;
图6示出了本发明实施例提供的非法网络设备接入检测方法的网络连接关系状态标识示意图;
图7示出了本发明实施例提供的非法网络设备接入检测装置的结构示意图;
图8示出了本发明实施例提供的计算设备的结构示意图。
具体实施方式
下面将参照附图更详细地描述本发明的示例性实施例。虽然附图中显示了本发明的示例性实施例,然而应当理解,可以以各种形式实现本发明而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本发明,并且能够将本发明的范围完整的传达给本领域的技术人员。
图2示出了本发明实施例提供的非法网络设备接入检测方法的流程示意图。该非法网络设备接入检测方法主要应用于服务器。如图2所示,该非法网络设备接入检测方法包括:
步骤S11:从网络设备获取源数据对象标识符。
在本发明实施例中,源数据对象标识符(Object Identifier,OID)包括LLDP数据、下一跳路由数据以及MAC地址数据,具体如表1所示。在步骤S11中,基于简单网络管理协议(simple network management protocol,SNMP)主动从网络设备周期性拉取(Pull)链路层发现协议(Link Layer Discovery Protocol,LLDP)数据、下一跳(Next-Hop)路由数据以及媒体访问控制(Medium/Media Access Control,MAC)地址数据。其中,网络设备可以是交换机、路由器、防火墙等网络设备。
表1源数据OID
序号 | 描述 | SNMP OID | 备注 |
1 | iso.0.8802 | .1.0.8802.1.1.2.1.3.7.1.3 | LLDP本端端口 |
2 | iso.0.8802 | .1.0.8802.1.1.2.1.4.1.1.7 | LLDP对端端口 |
3 | iso.0.8802 | .1.0.8802.1.1.2.1.4.1.1.9 | LLDP对端主机名 |
4 | IP-MIB::ip | .1.3.6.1.2.1.4.21.1.7 | Next-hop路由 |
5 | IP-MIB::ip | .1.3.6.1.2.1.4.21.1.2 | Next-hop端口索引 |
6 | ifDescr | .1.3.6.1.2.1.2.2.1.2 | 端口名称 |
7 | sysDescr.0 | SNMPv2-MIB::sysDescr.0 | 系统版本 |
在本发明实施例中,从网络设备获取MAC缓存表时,因MAC缓存表无标准OID,因此需通过命令行界面(command-line interface,CLI)获取。具体地,如图3所示,包括:
步骤S3.1:基于OID获取系统版本。
应用该非法网络设备接入检测方法的服务器基于OID获取网络设备的系统版本、型号等。
步骤S3.2:判断设备类型。如果设备类型已知,则执行步骤S4.3;如果设备类型未知,则返回重新开始。
步骤S3.3:请求获取MAC缓存表。
向网络设备请求获取对应的MAC缓存表。
步骤S3.4:返回数据。
网络设备向服务器返回对应的MAC缓存表,服务器中的数据处理模块对该MAC缓存表进行处理,格式化为统一的格式。
步骤S3.5:保存数据。
服务器将格式化处理后的MAC缓存表保存至数据库,如Mysql。
步骤S12:根据所述源数据对象标识符生成网络连接关系。
在本发明实施例中,根据所述源数据对象标识符经过数据模型整合、分析、过滤,从设备端口维度生成网络连接关系。可以根据所述LLDP数据以及所述MAC地址数据生成二层网络连接关系。具体地,获取对端端口;获取本地端口和远端主机名;根据所述对端端口、所述本地端口以及所述远端主机名生成所述二层网络连接关系并保存。完整的二层网络连接关系生成方法如图4所示,包括:
步骤S4.1:请求获取对端端口。
应用该非法网络设备接入检测方法的服务器向网络设备请求获取对端端口。
步骤S4.2:返回对端端口和索引。
网络设备向服务器返回对端端口和索引。
步骤S4.3:根据索引请求获取本地端口和远端主机名。
服务器根据索引向网络设备请求获取本地端口和远端主机名。
步骤S4.4:返回端口名称和和远端主机名。
网络设备响应请求并向服务器返回端口名称和和远端主机名,形成二层网络连接关系。
步骤S4.5:保存二层网络连接关系。
服务器将生成的二层网络连接关系保存至数据库,如Mysql。
或者,本发明实施例也可以根据所述LLDP数据、所述下一跳数据以及所述MAC地址数据生成三层网络连接关系。具体地,根据所述下一跳路由数据获取网络地址和下一跳IP地址;根据所述网络地址获取端口名称;根据所述网络地址、所述下一跳IP地址以及所述端口名称生成所述三层网络连接关系并保存。完整的三层网络连接关系生成方法如图5所示,包括:
步骤S5.1:请求获取下一跳路由。
应用该非法网络设备接入检测方法的服务器向网络设备请求获取下一跳路由。
步骤S5.2:返回网络地址和下一跳IP。
网络设备向服务器返回网络地址和下一跳IP。
步骤S5.3:重复路由合并。
在服务器中重复的路由进行合并。
步骤S5.4:基于网络地址请求获取端口。
服务器基于网络地址向网络设备请求获取端口。
步骤S5.5:返回端口名称。
网络设备向服务器返回端口名称,形成三层网络连接关系。
步骤S5.6:保存三层网络连接关系。
服务器将三层网络连接关系保存至数据库,如Mysql。
如此,通过OID从网络设备获取二、三层网络连接关系。本发明实施例通过周期性采集MAC、LLDP、Next-Hop数据,同时自动生成二、三层网络连接关系数据,对比配置管理数据库(Configuration Management Database,CMDB)数据,生成非法连接关系,将LLDP、MAC、Next-Hop三个问题点的物理连接关系数据化,确保拓扑连接关系的完整性,同时具备可消费能力,以便后续基于LLDP、MAC、Next-Hop进行非法网络设备接入检测。
步骤S13:根据所述网络连接关系以及所述源数据对象标识符检测接入网络的接入设备是否为非法接入设备。
在本发明实施例中,非法接入主要围绕区域边界、数据断层和私自接入三个非法接入区域展开处理,对应的数据模型分别定义如下:
区域边界判断应用的数据包括:三层网络连接关系、设备主机名、设备三层地址、设备物理端口;根据设备主机名和设备物理端口确定待检测的接入设备,然后确定设备三层地址以及对应的三层网络连接关系,进而判断接入设备是否为非法接入设备。
数据断层判断应用的数据包括:二层网络连接关系、设备主机名、设备物理端口;根据设备主机名和设备物理端口确定待检测的接入设备,然后确定与接入设备对应的二层网络连接关系,进而判断接入设备是否为非法接入设备。
私自接入判断应用的数据包括:MAC缓存表、CMDB MAC地址、设备主机名、设备物理端口。根据设备主机名和设备物理端口确定待检测的接入设备,然后根据MAC缓存表和CMDBMAC地址判断接入设备是否为非法接入设备。
在进行非法接入检测时,依次根据MAC、LLDP、Next-Hop进行检测。若根据MAC、LLDP构成的二层网络连接关系能够检测出结果,则不必再结合Next-Hop进行检测。若根据二层网络连接关系无法检测出结果,则会根据MAC、LLDP、Next-Hop构成的三层网络连接关系进行检测。
具体地,判断与所述接入设备对应的所述二层网络连接关系是否合法,如果不合法,则所述接入设备为非法接入设备;
或者,判断与所述接入设备对应的所述三层网络连接关系是否合法,如果不合法,则所述接入设备为非法接入设备;
或者,判断所述接入设备的MAC地址是否在配置管理数据库中,如果不在,则所述接入设备为非法接入设备。
其中,二层网络连接关系或者三层网络连接关系经过了授权,则说明是合法的,否则是不合法的。
本发明实施例的基于LLDP、MAC、Next-Hop的非法网络设备接入检测,与现网二三层路径形成互补,实现网络区域内连接关系完整呈现,可以及时发现网络中的设备接入调试、二层环路等非常规事件,同时结合CMDB中的网络设备和服务器网卡MAC地址,发现恶意接入、非流程调试等方式的非法设备接入行为。
在本发明实施例中,确定接入设备为非法接入设备之后,对所述非法接入设备的非法接入行为进行分类,并标识网络连接关系;生成告警信息以进行告警。具体地,如果是二层网络连接关系不合法的非法接入,说明非法接入设备是在数据断层区域非法接入的,则标识端口、关联MAC地址和IP地址,生成对应的告警信息。如果是三层网络连接关系不合法的非法接入,说明非法接入设备是在边界网络区域非法接入的,则标识边界,生成对应的告警信息。如果是MAC地址不在配置管理数据库中,说明是私接设备行为,生成对应的告警信息。图6为标识的网络连接关系状态。后续人工对非法接入设备进行验证和处理,对于非误判的非法接入,可以阻断对应的非法接入设备接入网络。而对于误判的非法接入,可以更改对应的非法接入设备的状态,如将其加入白名单,使后续不再将该接入设备判定为非法接入设备。如此连接关系数据化后,可结合网络区域规则标识每个网络边界,如关键字、网段等,使网络边界架构得以数据化,夯实网络智能运维基础,如边界网络自愈模型、异常访问路径告警等,通过标识边界网元连接关系,对网络运维过程中的访问路径监测、边界接口自愈提供重要数据基础。本发明实施例基于链路层、网络层、物理层的自动监测,基于数据模型对网络区域边界、IP接入的数据断层、以及私自接入网络的行为自动标识及产生告警消息,可以对非流程接入、恶意接入等行为实现有效预警及人工一键式处理。
本发明实施例通过从网络设备获取源数据对象标识符;根据所述源数据对象标识符生成网络连接关系;根据所述网络连接关系以及所述源数据对象标识符检测接入网络的接入设备是否为非法接入设备,能够实现网络区域内连接关系完整呈现,及时发现网络中的非法设备接入行为。
图7示出了本发明实施例的非法网络设备接入检测装置的结构示意图。如图7所示,该非法网络设备接入检测装置包括:数据获取单元701、连接关系生成单元702以及数据处理单元703。其中:
数据获取单元701用于从网络设备获取源数据对象标识符;连接关系生成单元702用于根据所述源数据对象标识符生成网络连接关系;数据处理单元703用于根据所述网络连接关系以及所述源数据对象标识符检测接入网络的接入设备是否为非法接入设备。
在一种可选的方式中,数据获取单元701用于:基于简单网络管理协议从网络设备周期性地拉取LLDP数据、下一跳路由数据以及MAC地址数据。
在一种可选的方式中,连接关系生成单元702用于:根据所述LLDP数据以及所述MAC地址数据生成二层网络连接关系;或者,根据所述LLDP数据、所述下一跳数据以及所述MAC地址数据生成三层网络连接关系。
在一种可选的方式中,连接关系生成单元702还用于:获取对端端口;获取本地端口和远端主机名;根据所述对端端口、所述本地端口以及所述远端主机名生成所述二层网络连接关系并保存。
在一种可选的方式中,连接关系生成单元702用于:根据所述下一跳路由数据获取网络地址和下一跳IP地址;根据所述网络地址获取端口名称;根据所述网络地址、所述下一跳IP地址以及所述端口名称生成所述三层网络连接关系并保存。
在一种可选的方式中,数据处理单元703用于:判断与所述接入设备对应的所述二层网络连接关系是否合法,如果不合法,则所述接入设备为非法接入设备;或者,判断与所述接入设备对应的所述三层网络连接关系是否合法,如果不合法,则所述接入设备为非法接入设备;或者,判断所述接入设备的MAC地址是否在配置管理数据库中,如果不在,则所述接入设备为非法接入设备。
在一种可选的方式中,数据处理单元703用于:对所述非法接入设备的非法接入行为进行分类,并标识网络连接关系;生成告警信息以进行告警。
本发明实施例通过从网络设备获取源数据对象标识符;根据所述源数据对象标识符生成网络连接关系;根据所述网络连接关系以及所述源数据对象标识符检测接入网络的接入设备是否为非法接入设备,能够实现网络区域内连接关系完整呈现,及时发现网络中的非法设备接入行为。
本发明实施例提供了一种非易失性计算机存储介质,所述计算机存储介质存储有至少一可执行指令,该计算机可执行指令可执行上述任意方法实施例中的非法网络设备接入检测方法。
可执行指令具体可以用于使得处理器执行以下操作:
从网络设备获取源数据对象标识符;
根据所述源数据对象标识符生成网络连接关系;
根据所述网络连接关系以及所述源数据对象标识符检测接入网络的接入设备是否为非法接入设备。
在一种可选的方式中,所述可执行指令使所述处理器执行以下操作:
基于简单网络管理协议从网络设备周期性地拉取LLDP数据、下一跳路由数据以及MAC地址数据。
在一种可选的方式中,所述可执行指令使所述处理器执行以下操作:
根据所述LLDP数据以及所述MAC地址数据生成二层网络连接关系;或者,
根据所述LLDP数据、所述下一跳数据以及所述MAC地址数据生成三层网络连接关系。
在一种可选的方式中,所述可执行指令使所述处理器执行以下操作:
获取对端端口;
获取本地端口和远端主机名;
根据所述对端端口、所述本地端口以及所述远端主机名生成所述二层网络连接关系并保存。
在一种可选的方式中,所述可执行指令使所述处理器执行以下操作:
根据所述下一跳路由数据获取网络地址和下一跳IP地址;
根据所述网络地址获取端口名称;
根据所述网络地址、所述下一跳IP地址以及所述端口名称生成所述三层网络连接关系并保存。
在一种可选的方式中,所述可执行指令使所述处理器执行以下操作:
判断与所述接入设备对应的所述二层网络连接关系是否合法,如果不合法,则所述接入设备为非法接入设备;
或者,判断与所述接入设备对应的所述三层网络连接关系是否合法,如果不合法,则所述接入设备为非法接入设备;
或者,判断所述接入设备的MAC地址是否在配置管理数据库中,如果不在,则所述接入设备为非法接入设备。
在一种可选的方式中,所述可执行指令使所述处理器执行以下操作:
对所述非法接入设备的非法接入行为进行分类,并标识网络连接关系;
生成告警信息以进行告警。
本发明实施例通过从网络设备获取源数据对象标识符;根据所述源数据对象标识符生成网络连接关系;根据所述网络连接关系以及所述源数据对象标识符检测接入网络的接入设备是否为非法接入设备,能够实现网络区域内连接关系完整呈现,及时发现网络中的非法设备接入行为。
本发明实施例提供了一种计算机程序产品,所述计算机程序产品包括存储在计算机存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,使所述计算机执行上述任意方法实施例中的非法网络设备接入检测方法。
可执行指令具体可以用于使得处理器执行以下操作:
从网络设备获取源数据对象标识符;
根据所述源数据对象标识符生成网络连接关系;
根据所述网络连接关系以及所述源数据对象标识符检测接入网络的接入设备是否为非法接入设备。
在一种可选的方式中,所述可执行指令使所述处理器执行以下操作:
基于简单网络管理协议从网络设备周期性地拉取LLDP数据、下一跳路由数据以及MAC地址数据。
在一种可选的方式中,所述可执行指令使所述处理器执行以下操作:
根据所述LLDP数据以及所述MAC地址数据生成二层网络连接关系;或者,
根据所述LLDP数据、所述下一跳数据以及所述MAC地址数据生成三层网络连接关系。
在一种可选的方式中,所述可执行指令使所述处理器执行以下操作:
获取对端端口;
获取本地端口和远端主机名;
根据所述对端端口、所述本地端口以及所述远端主机名生成所述二层网络连接关系并保存。
在一种可选的方式中,所述可执行指令使所述处理器执行以下操作:
根据所述下一跳路由数据获取网络地址和下一跳IP地址;
根据所述网络地址获取端口名称;
根据所述网络地址、所述下一跳IP地址以及所述端口名称生成所述三层网络连接关系并保存。
在一种可选的方式中,所述可执行指令使所述处理器执行以下操作:
判断与所述接入设备对应的所述二层网络连接关系是否合法,如果不合法,则所述接入设备为非法接入设备;
或者,判断与所述接入设备对应的所述三层网络连接关系是否合法,如果不合法,则所述接入设备为非法接入设备;
或者,判断所述接入设备的MAC地址是否在配置管理数据库中,如果不在,则所述接入设备为非法接入设备。
在一种可选的方式中,所述可执行指令使所述处理器执行以下操作:
对所述非法接入设备的非法接入行为进行分类,并标识网络连接关系;
生成告警信息以进行告警。
本发明实施例通过从网络设备获取源数据对象标识符;根据所述源数据对象标识符生成网络连接关系;根据所述网络连接关系以及所述源数据对象标识符检测接入网络的接入设备是否为非法接入设备,能够实现网络区域内连接关系完整呈现,及时发现网络中的非法设备接入行为。
图8示出了本发明实施例提供的计算设备的结构示意图,本发明具体实施例并不对设备的具体实现做限定。
如图8所示,该计算设备可以包括:处理器(processor)802、通信接口(Communications Interface)804、存储器(memory)806、以及通信总线808。
其中:处理器802、通信接口804、以及存储器806通过通信总线808完成相互间的通信。通信接口804,用于与其它设备比如客户端或其它服务器等的网元通信。处理器802,用于执行程序810,具体可以执行上述非法网络设备接入检测方法实施例中的相关步骤。
具体地,程序810可以包括程序代码,该程序代码包括计算机操作指令。
处理器802可能是中央处理器CPU,或者是特定集成电路ASIC(ApplicationSpecific Integrated Circuit),或者是被配置成实施本发明实施例的一个或各个集成电路。设备包括的一个或各个处理器,可以是同一类型的处理器,如一个或各个CPU;也可以是不同类型的处理器,如一个或各个CPU以及一个或各个ASIC。
存储器806,用于存放程序810。存储器806可能包含高速RAM存储器,也可能还包括非易失性存储器(non-volatile memory),例如至少一个磁盘存储器。
程序810具体可以用于使得处理器802执行以下操作:
从网络设备获取源数据对象标识符;
根据所述源数据对象标识符生成网络连接关系;
根据所述网络连接关系以及所述源数据对象标识符检测接入网络的接入设备是否为非法接入设备。
在一种可选的方式中,所述程序810使所述处理器执行以下操作:
基于简单网络管理协议从网络设备周期性地拉取LLDP数据、下一跳路由数据以及MAC地址数据。
在一种可选的方式中,所述程序810使所述处理器执行以下操作:
根据所述LLDP数据以及所述MAC地址数据生成二层网络连接关系;或者,
根据所述LLDP数据、所述下一跳数据以及所述MAC地址数据生成三层网络连接关系。
在一种可选的方式中,所述程序810使所述处理器执行以下操作:
获取对端端口;
获取本地端口和远端主机名;
根据所述对端端口、所述本地端口以及所述远端主机名生成所述二层网络连接关系并保存。
在一种可选的方式中,所述程序810使所述处理器执行以下操作:
根据所述下一跳路由数据获取网络地址和下一跳IP地址;
根据所述网络地址获取端口名称;
根据所述网络地址、所述下一跳IP地址以及所述端口名称生成所述三层网络连接关系并保存。
在一种可选的方式中,所述程序810使所述处理器执行以下操作:
判断与所述接入设备对应的所述二层网络连接关系是否合法,如果不合法,则所述接入设备为非法接入设备;
或者,判断与所述接入设备对应的所述三层网络连接关系是否合法,如果不合法,则所述接入设备为非法接入设备;
或者,判断所述接入设备的MAC地址是否在配置管理数据库中,如果不在,则所述接入设备为非法接入设备。
在一种可选的方式中,所述程序810使所述处理器执行以下操作:
对所述非法接入设备的非法接入行为进行分类,并标识网络连接关系;
生成告警信息以进行告警。
本发明实施例通过从网络设备获取源数据对象标识符;根据所述源数据对象标识符生成网络连接关系;根据所述网络连接关系以及所述源数据对象标识符检测接入网络的接入设备是否为非法接入设备,能够实现网络区域内连接关系完整呈现,及时发现网络中的非法设备接入行为。
在此提供的算法或显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述,构造这类系统所要求的结构是显而易见的。此外,本发明实施例也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本发明并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明实施例的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
此外,本领域的技术人员能够理解,尽管在此的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。上述实施例中的步骤,除有特殊说明外,不应理解为对执行顺序的限定。
Claims (7)
1.一种非法网络设备接入检测方法,其特征在于,所述方法包括:
通过命令行界面从网络设备获取LLDP数据、下一跳路由数据以及MAC地址数据;
根据所述LLDP数据以及所述MAC地址数据经过数据模型整合、分析、过滤,从设备端口维度生成二层网络连接关系;或者,
根据所述LLDP数据、所述下一跳路由数据以及所述MAC地址数据经过数据模型整合、分析、过滤,从设备端口维度生成三层网络连接关系;所述根据所述LLDP数据、所述下一跳路由数据以及所述MAC地址数据生成三层网络连接关系,包括:根据所述下一跳路由数据获取网络地址和下一跳IP地址;根据所述网络地址获取端口名称;根据所述网络地址、所述下一跳IP地址以及所述端口名称生成所述三层网络连接关系并保存;
根据所述二层网络连接关系或者所述三层网络连接关系,以及源数据对象标识符检测接入设备是否为非法接入设备;其中,所述接入设备是指从数据断层、区域边界或者私自接入区域接入网络的;其中,根据设备主机名和设备物理端口确定待检测的接入设备,确定与接入设备对应的二层网络连接关系,进而判断接入设备是否为非法接入设备;根据设备主机名和设备物理端口确定待检测的接入设备,然后根据MAC缓存表和CMDB MAC地址判断接入设备是否为非法接入设备;在进行非法接入检测时,依次根据MAC、LLDP、Next-Hop进行检测,若根据MAC、LLDP构成的二层网络连接关系检测出结果,则不再结合Next-Hop进行检测;若根据二层网络连接关系无法检测出结果,则根据MAC、LLDP、Next-Hop构成的三层网络连接关系进行检测。
2.根据权利要求1所述的方法,其特征在于,所述根据所述LLDP数据以及所述MAC地址数据生成二层网络连接关系,包括:
获取对端端口;
获取本地端口和远端主机名;
根据所述对端端口、所述本地端口以及所述远端主机名生成所述二层网络连接关系并保存。
3.根据权利要求1所述的方法,其特征在于,所述根据所述网络连接关系以及所述源数据对象标识符检测接入网络的接入设备是否为非法接入设备,包括:
判断与所述接入设备对应的所述二层网络连接关系是否合法,如果不合法,则所述接入设备为非法接入设备;
或者,判断与所述接入设备对应的所述三层网络连接关系是否合法,如果不合法,则所述接入设备为非法接入设备;
或者,判断所述接入设备的MAC地址是否在配置管理数据库中,如果不在,则所述接入设备为非法接入设备。
4.根据权利要求1所述的方法,其特征在于,所述根据所述网络连接关系以及所述源数据对象标识符检测接入网络的接入设备是否为非法接入设备之后,包括:
对所述非法接入设备的非法接入行为进行分类,并标识网络连接关系;
生成告警信息以进行告警。
5.一种非法网络设备接入检测装置,其特征在于,所述装置包括:
数据获取单元,用于通过命令行界面从网络设备获取LLDP数据、下一跳路由数据以及MAC地址数据;
连接关系生成单元,用于根据所述LLDP数据以及所述MAC地址数据经过数据模型整合、分析、过滤,从设备端口维度生成二层网络连接关系;或者,根据所述LLDP数据、所述下一跳路由数据以及所述MAC地址数据经过数据模型整合、分析、过滤,从设备端口维度生成三层网络连接关系;所述根据所述LLDP数据、所述下一跳路由数据以及所述MAC地址数据生成三层网络连接关系,包括:根据所述下一跳路由数据获取网络地址和下一跳IP地址;根据所述网络地址获取端口名称;根据所述网络地址、所述下一跳IP地址以及所述端口名称生成所述三层网络连接关系并保存;
数据处理单元,用于根据所述二层网络连接关系或者三层网络连接关系,以及源数据对象标识符检测接入设备是否为非法接入设备,其中所述接入设备是指从数据断层、区域边界和私自接入区域接入网络的;其中,根据设备主机名和设备物理端口确定待检测的接入设备,确定与接入设备对应的二层网络连接关系,进而判断接入设备是否为非法接入设备;根据设备主机名和设备物理端口确定待检测的接入设备,然后根据MAC缓存表和CMDBMAC地址判断接入设备是否为非法接入设备;在进行非法接入检测时,依次根据MAC、LLDP、Next-Hop进行检测,若根据MAC、LLDP构成的二层网络连接关系检测出结果,则不再结合Next-Hop进行检测;若根据二层网络连接关系无法检测出结果,则根据MAC、LLDP、Next-Hop构成的三层网络连接关系进行检测。
6.一种计算设备,包括:处理器、存储器、通信接口和通信总线,所述处理器、所述存储器和所述通信接口通过所述通信总线完成相互间的通信;
所述存储器用于存放至少一可执行指令,所述可执行指令使所述处理器执行根据权利要求1-4任一项所述非法网络设备接入检测方法的步骤。
7.一种计算机存储介质,所述存储介质中存储有至少一可执行指令,所述可执行指令使处理器执行根据权利要求1-4任一项所述非法网络设备接入检测方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010291373.4A CN113542192B (zh) | 2020-04-14 | 2020-04-14 | 非法网络设备接入检测方法、装置、计算设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010291373.4A CN113542192B (zh) | 2020-04-14 | 2020-04-14 | 非法网络设备接入检测方法、装置、计算设备及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113542192A CN113542192A (zh) | 2021-10-22 |
CN113542192B true CN113542192B (zh) | 2023-09-05 |
Family
ID=78088087
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010291373.4A Active CN113542192B (zh) | 2020-04-14 | 2020-04-14 | 非法网络设备接入检测方法、装置、计算设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113542192B (zh) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1756189A (zh) * | 2004-09-30 | 2006-04-05 | 北京航空航天大学 | 基于snmp的ip网络拓扑发现方法 |
CN102045190A (zh) * | 2009-10-21 | 2011-05-04 | 杭州华三通信技术有限公司 | 一种网络拓扑发现方法和设备 |
CN102970173A (zh) * | 2012-12-25 | 2013-03-13 | 迈普通信技术股份有限公司 | 非法设备发现方法及其网管系统 |
CN110247784A (zh) * | 2018-03-07 | 2019-09-17 | 北京京东尚科信息技术有限公司 | 确定网络拓扑结构的方法和装置 |
CN110932906A (zh) * | 2019-12-02 | 2020-03-27 | 合肥城市云数据中心股份有限公司 | 基于snmp技术的数据中心网络拓朴结构发现方法及其拓朴结构发现系统 |
-
2020
- 2020-04-14 CN CN202010291373.4A patent/CN113542192B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1756189A (zh) * | 2004-09-30 | 2006-04-05 | 北京航空航天大学 | 基于snmp的ip网络拓扑发现方法 |
CN102045190A (zh) * | 2009-10-21 | 2011-05-04 | 杭州华三通信技术有限公司 | 一种网络拓扑发现方法和设备 |
CN102970173A (zh) * | 2012-12-25 | 2013-03-13 | 迈普通信技术股份有限公司 | 非法设备发现方法及其网管系统 |
CN110247784A (zh) * | 2018-03-07 | 2019-09-17 | 北京京东尚科信息技术有限公司 | 确定网络拓扑结构的方法和装置 |
CN110932906A (zh) * | 2019-12-02 | 2020-03-27 | 合肥城市云数据中心股份有限公司 | 基于snmp技术的数据中心网络拓朴结构发现方法及其拓朴结构发现系统 |
Also Published As
Publication number | Publication date |
---|---|
CN113542192A (zh) | 2021-10-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11588700B2 (en) | Component detection and management using relationships | |
US8166352B2 (en) | Alarm correlation system | |
US10567384B2 (en) | Verifying whether connectivity in a composed policy graph reflects a corresponding policy in input policy graphs | |
CN110754064A (zh) | 网络结构中的路由信息的验证 | |
CN110754065B (zh) | 网络的逻辑级和硬件级之间的网络验证 | |
US9438645B2 (en) | Correlating computing network events | |
US9246774B2 (en) | Sample based determination of network policy violations | |
CN110785965A (zh) | 网络中使用虚拟路由转发容器的第3层的验证 | |
CN111034123B (zh) | 用于执行网络保证检查的系统、方法及计算机可读介质 | |
US7835307B2 (en) | Network discovery tool | |
US8797876B2 (en) | Identification of underutilized network devices | |
CN112989330B (zh) | 容器的入侵检测方法、装置、电子设备及存储介质 | |
CN110785964A (zh) | 网络中第3层桥接域子网的验证 | |
CN107544835B (zh) | 一种虚拟机业务网口的检测方法和装置 | |
CN110754063B (zh) | 验证节点之间的端点配置 | |
CN110741602A (zh) | 响应于网络意图形式对等性失败的事件生成 | |
CN114915561B (zh) | 网络拓扑图生成方法和装置 | |
CN110839007B (zh) | 一种云网络安全处理方法、设备和计算机存储介质 | |
US11962623B2 (en) | Static analysis techniques for determining reachability properties of network and computing objects | |
CN113542192B (zh) | 非法网络设备接入检测方法、装置、计算设备及存储介质 | |
CN113328973A (zh) | 一种检测访问控制列表acl规则无效的方法和装置 | |
CN116016197A (zh) | 网络拓扑结构的发现方法、装置、存储介质及电子设备 | |
US20230327956A1 (en) | Network configuration estimation apparatus, network configuration estimation method and program | |
CN111897869A (zh) | 一种数据展示方法、装置及可读存储介质 | |
CN114465986B (zh) | Ip地址冲突处理方法及电子设备、计算机可读存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |