CN115242465A - 一种网络设备配置方法及网络设备 - Google Patents

一种网络设备配置方法及网络设备 Download PDF

Info

Publication number
CN115242465A
CN115242465A CN202210768876.5A CN202210768876A CN115242465A CN 115242465 A CN115242465 A CN 115242465A CN 202210768876 A CN202210768876 A CN 202210768876A CN 115242465 A CN115242465 A CN 115242465A
Authority
CN
China
Prior art keywords
network
module
address
management server
equipment
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210768876.5A
Other languages
English (en)
Inventor
杜娥
刘耕昕
刘磊
冉浩
简显隆
唐文杰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Chengdu College of University of Electronic Science and Technology of China
Original Assignee
Chengdu College of University of Electronic Science and Technology of China
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Chengdu College of University of Electronic Science and Technology of China filed Critical Chengdu College of University of Electronic Science and Technology of China
Priority to CN202210768876.5A priority Critical patent/CN115242465A/zh
Publication of CN115242465A publication Critical patent/CN115242465A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0631Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0876Aspects of the degree of configuration automation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明属于网络设备配置技术领域,公开了一种网络设备配置方法及网络设备,所述网络设备包括:网络信号检测模块、网络主机检测模块、网络攻击检测模块、主控模块、IP地址配置模块、通信模块、网络安全评估模块、网络账号配置模块、警报模块。本发明通过通信模块可以从网关服务器获得该目标网络设备的配置信息,可自动对目标网络设备进行初始化配置,实现了目标网络设备的自动化配置,简化了目标网络设备的管理开销;同时,通过网络安全评估模块利用静态和动态相结合的风险评估方法,有效提高网络设备所在网络风险评估的实时性;利用基于漏洞和基于威胁方法来综合评估网络设备所在网络的潜在风险,可有效提高网络设备所在网络风险评估的准确度。

Description

一种网络设备配置方法及网络设备
技术领域
本发明属于网络设备配置技术领域,尤其涉及一种网络设备配置方法及网络设备。
背景技术
网络设备是用来将各类服务器、PC、应用终端等节点相互连接,构成信息通信网络的专用硬件设备。包括信息网络设备、通信网络设备、网络安全设备等。常见网络设备有:交换机、路由器、防火墙、网桥、集线器、网关、VPN服务器、网络接口卡(NIC)、无线接入点(WAP)、调制解调器、5G基站、光端机、光纤收发器、光缆等。广义上,接入网络的设备都可以称作为网络设备,比如:网络计算机(无论其为个人电脑或服务器)、网络打印机、网络摄像头、RTU、智能手机等;然而,现有网络设备配置方法及网络设备不能进行自动配置;同时,不能实时对网络安全进行评估;及对网络评估不准确。
通过上述分析,现有技术存在的问题及缺陷为:
(1)现有网络设备配置方法及网络设备不能进行自动配置。
(2)不能实时对网络安全进行评估;及对网络评估不准确。
发明内容
针对现有技术存在的问题,本发明提供了一种网络设备配置方法及网络设备。
本发明是这样实现的,一种网络设备包括:
网络信号检测模块、网络主机检测模块、网络攻击检测模块、主控模块、IP地址配置模块、通信模块、网络安全评估模块、网络账号配置模块、警报模块;
网络信号检测模块,与主控模块连接,用于检测网络通信信号;
网络主机检测模块,与主控模块连接,用于检测网络终端主机;
网络攻击检测模块,与主控模块连接,用于检测网络攻击信息;
主控模块,与网络信号检测模块、网络主机检测模块、网络攻击检测模块、IP地址配置模块、通信模块、网络安全评估模块、网络账号配置模块、警报模块9连接,用于控制各个模块正常工作;
IP地址配置模块,与主控模块连接,用于对网络终端主机IP地址进行配置;
通信模块,与主控模块连接,用于对网络设备进行网络通信;
网络安全评估模块,与主控模块连接,用于通过评估程序对网络安全进行评估;
网络账号配置模块,与主控模块连接,用于对网络设备管理账号进行配置;
警报模块,与主控模块连接,用于对网络异常进行警报通知。
本发明的另一目的在于提供一种网络设备配置方法,包括以下步骤:
步骤一,通过网络信号检测模块检测网络通信信号;通过网络主机检测模块检测网络终端主机;通过网络攻击检测模块检测网络攻击信息;
步骤二,主控模块通过IP地址配置模块对网络终端主机IP地址进行配置;
步骤三,通过通信模块对网络设备进行网络通信;通过网络安全评估模块利用评估程序对网络安全进行评估;
步骤四,通过网络账号配置模块对网络设备管理账号进行配置;
步骤五,通过警报模块对网络异常进行警报通知。
进一步,所述通信模块通信方法如下:
(1)通过测试设备测试目标网络设备是否正常;当目标网络设备接入网络时,获取邻居设备发送的邻居发现协议ND消息,所述ND消息中携带网管服务器的信息,所述网管服务器的信息包括互联网协议IP地址或统一资源标识符URL或域名;
(2)目标网络设备根据所述ND消息,获取所述网管服务器的信息;
(3)目标网络设备利用所述网管服务器的信息,与所述网管服务器进行通信;
所述目标网络设备自动生成唯一本地地址ULA地址;所述目标网络设备利用所述网管服务器的信息,与所述网管服务器进行通信,具体包括:所述目标网络设备向所述邻居设备发送以所述ULA地址为源地址、所述网管服务器的IP地址为目的地址的第一数据报文;所述邻居设备将所述第一数据报文中的所述ULA地址替换成全球唯一地址GUA地址后,发送替换后的所述第一数据报文给所述网管服务器;所述网管服务器的IP地址从所述网管服务器的信息中得到;所述目标网络设备通过所述邻居设备接收所述网管服务器发送的第二数据报文,所述第二数据报文是以所述网管服务器IP地址为源地址、所述第一数据报文的源地址为目的地址的数据报文。
进一步,所述ND消息采用邻居发现ND协议的扩展选项来携带所述网管服务器的IP地址或URL或域名。
进一步,所述ND消息包括路由器通告RA消息、路由请求RS消息、邻居请求NS消息或邻居通告NA消息;
所述获取邻居设备发送的邻居发现协议ND消息,所述ND消息中携带所述网管服务器的信息,包括:
所述目标网络设备接收所述邻居设备广播的路由器通告RA消息,所述RA消息中携带所述网管服务器的信息;
或者,所述目标网络设备发送路由请求RS消息给所述邻居设备,再接收所述邻居设备返回的RA消息,所述RA消息中携带所述网管服务器的信息;
或者,所述目标网络设备发送邻居请求NS消息给所述邻居设备,再接收所述邻居设备返回的NA消息,所述NA消息中携带所述网管服务器的信息。
进一步,所述通信方法还包括:
所述目标网络设备向所述邻居设备获取所述目标网络设备的GUA地址;
所述目标网络设备利用所述网管服务器的信息,通过所述邻居设备与所述网管服务器进行通信,具体包括:
所述目标网络设备通过所述邻居设备向所述网管服务器发送以所述GUA地址为源地址、所述网管服务器IP地址为目的地址的数据报文;所述网管服务器的IP地址从所述网管服务器的信息中得到;
所述目标网络设备通过所述邻居设备接收所述网管服务器发送的数据报文,所述网管服务器发送的数据报文是以所述网管服务器IP地址为源地址、所述目标网络设备的GUA地址为目的地址的数据报文。
进一步,所述网络安全评估模块评估方法如下:
1)通过评估程序对网络设备所在网络进行静态风险评估,给出静态评估结果;
2)对网络设备所在网络资产进行识别,对资产价值赋值,并将资产与脆弱性进行关联分析;
3)采用CVSS评估指标对漏洞采用成功概率进行赋值;
采用公式
Figure BDA0003726647420000041
计算节点资产重要程度L;其中,Lc、LI、La分别为节点对应的机密性、完整性、可用性属性的量化值,round函数表示四舍五入到3个小数位;
4)检测网络漏洞;
5)接收入侵检测系统、防火墙以及第三方的提供的当前节点实时攻击事件告警,并根据不同的漏洞将告警信息分类;对入侵检测、防火墙以及第三方数据样本进行分析;
基于公式
Figure BDA0003726647420000042
计算影响节点弱性风险指数的告警数量参数Num;
其中,ni为某种告警阈值,num为某种告警的数量;
基于公式
Figure BDA0003726647420000051
计算影响节点弱性风险指数的告警来源类型Cate;其中,cn总的告警来源种类,ci为某种告警的来源种类;
基于公式
Figure BDA0003726647420000052
计算影响节点弱性风险指数的告警级别参数Lev;其中,N1、N2、N3分别对应高、中、低三个级别告警事件数量,W1、W2、W3为对应级别权值;
6)采用公式P=Num×Cate×Lev计算节点脆弱性风险指数P,再采用公式Ri=Li×Ti×Pi计算节点安全风险,对系统进行动态风险评估;其中,Ri是节点i的动态风险值,Li是节点i的资产重要程度,Ti是节点i的漏洞威胁程度,Pi是节点i的脆弱性风险指数;
7)重复步骤5)至步骤6),基于威胁对网络设备所在网络动态评估,进而完成对网络设备所在网络的安全评估。
进一步,所述采用CVSS评估指标对漏洞采用成功概率进行赋值方法:
采用公式
Figure BDA0003726647420000053
计算节点资产重要程度L;其中,Lc、LI、La分别为节点对应的机密性、完整性、可用性属性的量化值,round函数表示四舍五入到3个小数位。
进一步,所述检测网络漏洞方法:
采用漏洞扫描器对网络设备所在网络节点进行漏洞识别,检测出当前节点的漏洞,并根据CVSS评估指标,采用公式
Figure BDA0003726647420000054
计算出每个漏洞威胁程度T;其中,Base为CVSS评分,K为漏洞攻击的成功概率,K是一个0~1范围的数字。
进一步,所述对入侵检测、防火墙以及第三方数据样本进行分析方法:
基于公式
Figure BDA0003726647420000061
计算影响节点弱性风险指数的告警数量参数Num;
其中,ni为某种告警阈值,num为某种告警的数量;
基于公式
Figure BDA0003726647420000062
计算影响节点弱性风险指数的告警来源类型Cate;其中,cn总的告警来源种类,ci为某种告警的来源种类;
基于公式
Figure BDA0003726647420000063
计算影响节点弱性风险指数的告警级别参数Lev;其中,N1、N2、N3分别对应高、中、低三个级别告警事件数量,W1、W2、W3为对应级别权值。
结合上述的技术方案和解决的技术问题,请从以下几方面分析本发明所要保护的技术方案所具备的优点及积极效果为:
第一、针对上述现有技术存在的技术问题以及解决该问题的难度,紧密结合本发明的所要保护的技术方案以及研发过程中结果和数据等,详细、深刻地分析本发明技术方案如何解决的技术问题,解决问题之后带来的一些具备创造性的技术效果。具体描述如下:
本发明通过通信模块利用互联网协议版本IPv6的自动化机制,从目标网络设备的邻居设备获取网管服务器的信息,然后与网管服务器建立通信连接,进而可以从网关服务器获得该目标网络设备的配置信息,可自动对目标网络设备进行初始化配置,实现了目标网络设备的自动化配置,简化了目标网络设备的管理开销;同时,通过网络安全评估模块利用静态和动态相结合的风险评估方法,有效提高网络设备所在网络风险评估的实时性;利用基于漏洞和基于威胁方法来综合评估网络设备所在网络的潜在风险,可有效提高网络设备所在网络风险评估的准确度。
第二,把技术方案看做一个整体或者从产品的角度,本发明所要保护的技术方案具备的技术效果和优点,具体描述如下:
本发明通过通信模块利用互联网协议版本IPv6的自动化机制,从目标网络设备的邻居设备获取网管服务器的信息,然后与网管服务器建立通信连接,进而可以从网关服务器获得该目标网络设备的配置信息,可自动对目标网络设备进行初始化配置,实现了目标网络设备的自动化配置,简化了目标网络设备的管理开销;同时,通过网络安全评估模块利用静态和动态相结合的风险评估方法,有效提高网络设备所在网络风险评估的实时性;利用基于漏洞和基于威胁方法来综合评估网络设备所在网络的潜在风险,可有效提高网络设备所在网络风险评估的准确度。
附图说明
图1是本发明实施例提供的网络设备配置方法流程图。
图2是本发明实施例提供的网络设备结构框图。
图3是本发明实施例提供的通信模块通信方法流程图。
图4是本发明实施例提供的网络安全评估模块评估方法流程图。
图2中:1、网络信号检测模块;2、网络主机检测模块;3、网络攻击检测模块;4、主控模块;5、IP地址配置模块;6、通信模块;7、网络安全评估模块;8、网络账号配置模块;9、警报模块。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
一、解释说明实施例。为了使本领域技术人员充分了解本发明如何具体实现,该部分是对权利要求技术方案进行展开说明的解释说明实施例。
如图1所示,本发明提供的网络设备配置方法包括以下步骤:
S101,通过网络信号检测模块检测网络通信信号;通过网络主机检测模块检测网络终端主机;通过网络攻击检测模块检测网络攻击信息;
S102,主控模块通过IP地址配置模块对网络终端主机IP地址进行配置;
S103,通过通信模块对网络设备进行网络通信;通过网络安全评估模块利用评估程序对网络安全进行评估;
S104,通过网络账号配置模块对网络设备管理账号进行配置;
S105,通过警报模块对网络异常进行警报通知。
如图2所示,本发明实施例提供的网络设备包括:网络信号检测模块1、网络主机检测模块2、网络攻击检测模块3、主控模块4、IP地址配置模块5、通信模块6、网络安全评估模块7、网络账号配置模块8、警报模块9。
网络信号检测模块1,与主控模块4连接,用于检测网络通信信号;
网络主机检测模块2,与主控模块4连接,用于检测网络终端主机;
网络攻击检测模块3,与主控模块4连接,用于检测网络攻击信息;
主控模块4,与网络信号检测模块1、网络主机检测模块2、网络攻击检测模块3、IP地址配置模块5、通信模块6、网络安全评估模块7、网络账号配置模块8、警报模块9连接,用于控制各个模块正常工作;
IP地址配置模块5,与主控模块4连接,用于对网络终端主机IP地址进行配置;
通信模块6,与主控模块4连接,用于对网络设备进行网络通信;
网络安全评估模块7,与主控模块4连接,用于通过评估程序对网络安全进行评估;
网络账号配置模块8,与主控模块4连接,用于对网络设备管理账号进行配置;
警报模块9,与主控模块4连接,用于对网络异常进行警报通知。
如图3所示,本发明提供的通信模块6通信方法如下:
S201,通过测试设备测试目标网络设备是否正常;当目标网络设备接入网络时,获取邻居设备发送的邻居发现协议ND消息,所述ND消息中携带网管服务器的信息,所述网管服务器的信息包括互联网协议IP地址或统一资源标识符URL或域名;
S202,目标网络设备根据所述ND消息,获取所述网管服务器的信息;
S203,目标网络设备利用所述网管服务器的信息,与所述网管服务器进行通信;
所述目标网络设备自动生成唯一本地地址ULA地址;所述目标网络设备利用所述网管服务器的信息,与所述网管服务器进行通信,具体包括:所述目标网络设备向所述邻居设备发送以所述ULA地址为源地址、所述网管服务器的IP地址为目的地址的第一数据报文;所述邻居设备将所述第一数据报文中的所述ULA地址替换成全球唯一地址GUA地址后,发送替换后的所述第一数据报文给所述网管服务器;所述网管服务器的IP地址从所述网管服务器的信息中得到;所述目标网络设备通过所述邻居设备接收所述网管服务器发送的第二数据报文,所述第二数据报文是以所述网管服务器IP地址为源地址、所述第一数据报文的源地址为目的地址的数据报文。
本发明提供的ND消息采用邻居发现ND协议的扩展选项来携带所述网管服务器的IP地址或URL或域名。
本发明提供的ND消息包括路由器通告RA消息、路由请求RS消息、邻居请求NS消息或邻居通告NA消息;
所述获取邻居设备发送的邻居发现协议ND消息,所述ND消息中携带所述网管服务器的信息,包括:
所述目标网络设备接收所述邻居设备广播的路由器通告RA消息,所述RA消息中携带所述网管服务器的信息;
或者,所述目标网络设备发送路由请求RS消息给所述邻居设备,再接收所述邻居设备返回的RA消息,所述RA消息中携带所述网管服务器的信息;
或者,所述目标网络设备发送邻居请求NS消息给所述邻居设备,再接收所述邻居设备返回的NA消息,所述NA消息中携带所述网管服务器的信息。
本发明提供的通信方法还包括:
所述目标网络设备向所述邻居设备获取所述目标网络设备的GUA地址;
所述目标网络设备利用所述网管服务器的信息,通过所述邻居设备与所述网管服务器进行通信,具体包括:
所述目标网络设备通过所述邻居设备向所述网管服务器发送以所述GUA地址为源地址、所述网管服务器IP地址为目的地址的数据报文;所述网管服务器的IP地址从所述网管服务器的信息中得到;
所述目标网络设备通过所述邻居设备接收所述网管服务器发送的数据报文,所述网管服务器发送的数据报文是以所述网管服务器IP地址为源地址、所述目标网络设备的GUA地址为目的地址的数据报文。
如图4所示,本发明提供的网络安全评估模块7评估方法如下:
S301,通过评估程序对网络设备所在网络进行静态风险评估,给出静态评估结果;
S302,对网络设备所在网络资产进行识别,对资产价值赋值,并将资产与脆弱性进行关联分析;
S303,采用CVSS评估指标对漏洞采用成功概率进行赋值;
采用公式
Figure BDA0003726647420000101
计算节点资产重要程度L;其中,Lc、LI、La分别为节点对应的机密性、完整性、可用性属性的量化值,round函数表示四舍五入到3个小数位;
S304,检测网络漏洞;
S305,接收入侵检测系统、防火墙以及第三方的提供的当前节点实时攻击事件告警,并根据不同的漏洞将告警信息分类;对入侵检测、防火墙以及第三方数据样本进行分析;
基于公式
Figure BDA0003726647420000111
计算影响节点弱性风险指数的告警数量参数Num;
其中,ni为某种告警阈值,num为某种告警的数量;
基于公式
Figure BDA0003726647420000112
计算影响节点弱性风险指数的告警来源类型Cate;其中,cn总的告警来源种类,ci为某种告警的来源种类;
基于公式
Figure BDA0003726647420000113
计算影响节点弱性风险指数的告警级别参数Lev;其中,N1、N2、N3分别对应高、中、低三个级别告警事件数量,W1、W2、W3为对应级别权值;
S306,采用公式P=Num×Cate×Lev计算节点脆弱性风险指数P,再采用公式Ri=Li×Ti×Pi计算节点安全风险,对系统进行动态风险评估;其中,Ri是节点i的动态风险值,Li是节点i的资产重要程度,Ti是节点i的漏洞威胁程度,Pi是节点i的脆弱性风险指数;
S307,重复S305至S306,基于威胁对网络设备所在网络动态评估,进而完成对网络设备所在网络的安全评估。
如权利要求7所述网络设备,其特征在于,所述采用CVSS评估指标对漏洞采用成功概率进行赋值方法:
采用公式
Figure BDA0003726647420000114
计算节点资产重要程度L;其中,Lc、LI、La分别为节点对应的机密性、完整性、可用性属性的量化值,round函数表示四舍五入到3个小数位。
本发明提供的检测网络漏洞方法:
采用漏洞扫描器对网络设备所在网络节点进行漏洞识别,检测出当前节点的漏洞,并根据CVSS评估指标,采用公式
Figure BDA0003726647420000121
计算出每个漏洞威胁程度T;其中,Base为CVSS评分,K为漏洞攻击的成功概率,K是一个0~1范围的数字。
本发明提供的对入侵检测、防火墙以及第三方数据样本进行分析方法:
基于公式
Figure BDA0003726647420000122
计算影响节点弱性风险指数的告警数量参数Num;
其中,ni为某种告警阈值,num为某种告警的数量;
基于公式
Figure BDA0003726647420000123
计算影响节点弱性风险指数的告警来源类型Cate;其中,cn总的告警来源种类,ci为某种告警的来源种类;
基于公式
Figure BDA0003726647420000124
计算影响节点弱性风险指数的告警级别参数Lev;其中,N1、N2、N3分别对应高、中、低三个级别告警事件数量,W1、W2、W3为对应级别权值。
二、应用实施例。为了证明本发明的技术方案的创造性和技术价值,该部分是对权利要求技术方案进行具体产品上或相关技术上的应用实施例。
本发明通过通信模块利用互联网协议版本IPv6的自动化机制,从目标网络设备的邻居设备获取网管服务器的信息,然后与网管服务器建立通信连接,进而可以从网关服务器获得该目标网络设备的配置信息,可自动对目标网络设备进行初始化配置,实现了目标网络设备的自动化配置,简化了目标网络设备的管理开销;同时,通过网络安全评估模块利用静态和动态相结合的风险评估方法,有效提高网络设备所在网络风险评估的实时性;利用基于漏洞和基于威胁方法来综合评估网络设备所在网络的潜在风险,可有效提高网络设备所在网络风险评估的准确度。
应当注意,本发明的实施方式可以通过硬件、软件或者软件和硬件的结合来实现。硬件部分可以利用专用逻辑来实现;软件部分可以存储在存储器中,由适当的指令执行系统,例如微处理器或者专用设计硬件来执行。本领域的普通技术人员可以理解上述的设备和方法可以使用计算机可执行指令和/或包含在处理器控制代码中来实现,例如在诸如磁盘、CD或DVD-ROM的载体介质、诸如只读存储器(固件)的可编程的存储器或者诸如光学或电子信号载体的数据载体上提供了这样的代码。本发明的设备及其模块可以由诸如超大规模集成电路或门阵列、诸如逻辑芯片、晶体管等的半导体、或者诸如现场可编程门阵列、可编程逻辑设备等的可编程硬件设备的硬件电路实现,也可以用由各种类型的处理器执行的软件实现,也可以由上述硬件电路和软件的结合例如固件来实现。
三、实施例相关效果的证据。本发明实施例在研发或者使用过程中取得了一些积极效果,和现有技术相比的确具备很大的优势,下面内容结合试验过程的数据、图表等进行描述。
本发明通过通信模块利用互联网协议版本IPv6的自动化机制,从目标网络设备的邻居设备获取网管服务器的信息,然后与网管服务器建立通信连接,进而可以从网关服务器获得该目标网络设备的配置信息,可自动对目标网络设备进行初始化配置,实现了目标网络设备的自动化配置,简化了目标网络设备的管理开销;同时,通过网络安全评估模块利用静态和动态相结合的风险评估方法,有效提高网络设备所在网络风险评估的实时性;利用基于漏洞和基于威胁方法来综合评估网络设备所在网络的潜在风险,可有效提高网络设备所在网络风险评估的准确度。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,都应涵盖在本发明的保护范围之内。

Claims (10)

1.一种网络设备,其特征在于,所述网络设备包括:
网络信号检测模块、网络主机检测模块、网络攻击检测模块、主控模块、IP地址配置模块、通信模块、网络安全评估模块、网络账号配置模块、警报模块;
网络信号检测模块,与主控模块连接,用于检测网络通信信号;
网络主机检测模块,与主控模块连接,用于检测网络终端主机;
网络攻击检测模块,与主控模块连接,用于检测网络攻击信息;
主控模块,与网络信号检测模块、网络主机检测模块、网络攻击检测模块、IP地址配置模块、通信模块、网络安全评估模块、网络账号配置模块、警报模块9连接,用于控制各个模块正常工作;
IP地址配置模块,与主控模块连接,用于对网络终端主机IP地址进行配置;
通信模块,与主控模块连接,用于对网络设备进行网络通信;
网络安全评估模块,与主控模块连接,用于通过评估程序对网络安全进行评估;
网络账号配置模块,与主控模块连接,用于对网络设备管理账号进行配置;
警报模块,与主控模块连接,用于对网络异常进行警报通知。
2.一种如权利要求1所述的网络设备配置方法,其特征在于,所述网络设备配置方法包括以下步骤:
步骤一,通过网络信号检测模块检测网络通信信号;通过网络主机检测模块检测网络终端主机;通过网络攻击检测模块检测网络攻击信息;
步骤二,主控模块通过IP地址配置模块对网络终端主机IP地址进行配置;
步骤三,通过通信模块对网络设备进行网络通信;通过网络安全评估模块利用评估程序对网络安全进行评估;
步骤四,通过网络账号配置模块对网络设备管理账号进行配置;
步骤五,通过警报模块对网络异常进行警报通知。
3.如权利要求1所述网络设备,其特征在于,所述通信模块通信方法如下:
(1)通过测试设备测试目标网络设备是否正常;当目标网络设备接入网络时,获取邻居设备发送的邻居发现协议ND消息,所述ND消息中携带网管服务器的信息,所述网管服务器的信息包括互联网协议IP地址或统一资源标识符URL或域名;
(2)目标网络设备根据所述ND消息,获取所述网管服务器的信息;
(3)目标网络设备利用所述网管服务器的信息,与所述网管服务器进行通信;
所述目标网络设备自动生成唯一本地地址ULA地址;所述目标网络设备利用所述网管服务器的信息,与所述网管服务器进行通信,具体包括:所述目标网络设备向所述邻居设备发送以所述ULA地址为源地址、所述网管服务器的IP地址为目的地址的第一数据报文;所述邻居设备将所述第一数据报文中的所述ULA地址替换成全球唯一地址GUA地址后,发送替换后的所述第一数据报文给所述网管服务器;所述网管服务器的IP地址从所述网管服务器的信息中得到;所述目标网络设备通过所述邻居设备接收所述网管服务器发送的第二数据报文,所述第二数据报文是以所述网管服务器IP地址为源地址、所述第一数据报文的源地址为目的地址的数据报文。
4.如权利要求3所述网络设备,其特征在于,所述ND消息采用邻居发现ND协议的扩展选项来携带所述网管服务器的IP地址或URL或域名。
5.如权利要求3所述网络设备,其特征在于,所述ND消息包括路由器通告RA消息、路由请求RS消息、邻居请求NS消息或邻居通告NA消息;
所述获取邻居设备发送的邻居发现协议ND消息,所述ND消息中携带所述网管服务器的信息,包括:
所述目标网络设备接收所述邻居设备广播的路由器通告RA消息,所述RA消息中携带所述网管服务器的信息;
或者,所述目标网络设备发送路由请求RS消息给所述邻居设备,再接收所述邻居设备返回的RA消息,所述RA消息中携带所述网管服务器的信息;
或者,所述目标网络设备发送邻居请求NS消息给所述邻居设备,再接收所述邻居设备返回的NA消息,所述NA消息中携带所述网管服务器的信息。
6.如权利要求3所述网络设备,其特征在于,所述通信方法还包括:
所述目标网络设备向所述邻居设备获取所述目标网络设备的GUA地址;
所述目标网络设备利用所述网管服务器的信息,通过所述邻居设备与所述网管服务器进行通信,具体包括:
所述目标网络设备通过所述邻居设备向所述网管服务器发送以所述GUA地址为源地址、所述网管服务器IP地址为目的地址的数据报文;所述网管服务器的IP地址从所述网管服务器的信息中得到;
所述目标网络设备通过所述邻居设备接收所述网管服务器发送的数据报文,所述网管服务器发送的数据报文是以所述网管服务器IP地址为源地址、所述目标网络设备的GUA地址为目的地址的数据报文。
7.如权利要求1所述网络设备,其特征在于,所述网络安全评估模块评估方法如下:
1)通过评估程序对网络设备所在网络进行静态风险评估,给出静态评估结果;
2)对网络设备所在网络资产进行识别,对资产价值赋值,并将资产与脆弱性进行关联分析;
3)采用CVSS评估指标对漏洞采用成功概率进行赋值;
采用公式
Figure FDA0003726647410000031
计算节点资产重要程度L;其中,Lc、LI、La分别为节点对应的机密性、完整性、可用性属性的量化值,round函数表示四舍五入到3个小数位;
4)检测网络漏洞;
5)接收入侵检测系统、防火墙以及第三方的提供的当前节点实时攻击事件告警,并根据不同的漏洞将告警信息分类;对入侵检测、防火墙以及第三方数据样本进行分析;
基于公式
Figure FDA0003726647410000041
计算影响节点弱性风险指数的告警数量参数Num;
其中,ni为某种告警阈值,num为某种告警的数量;
基于公式
Figure FDA0003726647410000042
计算影响节点弱性风险指数的告警来源类型Cate;其中,cn总的告警来源种类,ci为某种告警的来源种类;
基于公式
Figure FDA0003726647410000043
计算影响节点弱性风险指数的告警级别参数Lev;其中,N1、N2、N3分别对应高、中、低三个级别告警事件数量,W1、W2、W3为对应级别权值;
6)采用公式P=Num×Cate×Lev计算节点脆弱性风险指数P,再采用公式Ri=Li×Ti×Pi计算节点安全风险,对系统进行动态风险评估;其中,Ri是节点i的动态风险值,Li是节点i的资产重要程度,Ti是节点i的漏洞威胁程度,Pi是节点i的脆弱性风险指数;
7)重复步骤5)至步骤6),基于威胁对网络设备所在网络动态评估,进而完成对网络设备所在网络的安全评估。
8.如权利要求7所述网络设备,其特征在于,所述采用CVSS评估指标对漏洞采用成功概率进行赋值方法:
采用公式
Figure FDA0003726647410000044
计算节点资产重要程度L;其中,Lc、LI、La分别为节点对应的机密性、完整性、可用性属性的量化值,round函数表示四舍五入到3个小数位。
9.如权利要求7所述网络设备,其特征在于,所述检测网络漏洞方法:
采用漏洞扫描器对网络设备所在网络节点进行漏洞识别,检测出当前节点的漏洞,并根据CVSS评估指标,采用公式
Figure FDA0003726647410000051
计算出每个漏洞威胁程度T;其中,Base为CVSS评分,K为漏洞攻击的成功概率,K是一个0~1范围的数字。
10.如权利要求7所述网络设备,其特征在于,所述对入侵检测、防火墙以及第三方数据样本进行分析方法:
基于公式
Figure FDA0003726647410000052
计算影响节点弱性风险指数的告警数量参数Num;
其中,ni为某种告警阈值,num为某种告警的数量;
基于公式
Figure FDA0003726647410000053
计算影响节点弱性风险指数的告警来源类型Cate;其中,cn总的告警来源种类,ci为某种告警的来源种类;
基于公式
Figure FDA0003726647410000054
计算影响节点弱性风险指数的告警级别参数Lev;其中,N1、N2、N3分别对应高、中、低三个级别告警事件数量,W1、W2、W3为对应级别权值。
CN202210768876.5A 2022-07-01 2022-07-01 一种网络设备配置方法及网络设备 Pending CN115242465A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210768876.5A CN115242465A (zh) 2022-07-01 2022-07-01 一种网络设备配置方法及网络设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210768876.5A CN115242465A (zh) 2022-07-01 2022-07-01 一种网络设备配置方法及网络设备

Publications (1)

Publication Number Publication Date
CN115242465A true CN115242465A (zh) 2022-10-25

Family

ID=83670920

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210768876.5A Pending CN115242465A (zh) 2022-07-01 2022-07-01 一种网络设备配置方法及网络设备

Country Status (1)

Country Link
CN (1) CN115242465A (zh)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105359458A (zh) * 2013-10-18 2016-02-24 华为技术有限公司 网络设备通信方法及网络设备
CN107204876A (zh) * 2017-05-22 2017-09-26 成都网络空间安全技术有限公司 一种网络安全风险评估方法
CN109302396A (zh) * 2018-10-10 2019-02-01 西安邮电大学 一种基于风险评估的网络安全态势感知方法
CN111193728A (zh) * 2019-12-23 2020-05-22 成都烽创科技有限公司 网络安全评估方法、装置、设备及存储介质
US20210211450A1 (en) * 2020-01-02 2021-07-08 Saudi Arabian Oil Company Method and system for prioritizing and remediating security vulnerabilities based on adaptive scoring

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105359458A (zh) * 2013-10-18 2016-02-24 华为技术有限公司 网络设备通信方法及网络设备
CN107204876A (zh) * 2017-05-22 2017-09-26 成都网络空间安全技术有限公司 一种网络安全风险评估方法
CN109302396A (zh) * 2018-10-10 2019-02-01 西安邮电大学 一种基于风险评估的网络安全态势感知方法
CN111193728A (zh) * 2019-12-23 2020-05-22 成都烽创科技有限公司 网络安全评估方法、装置、设备及存储介质
US20210211450A1 (en) * 2020-01-02 2021-07-08 Saudi Arabian Oil Company Method and system for prioritizing and remediating security vulnerabilities based on adaptive scoring

Similar Documents

Publication Publication Date Title
US20230019941A1 (en) Threat score prediction model
US11005876B2 (en) Elastic asset-based licensing model for use in a vulnerability management system
US20150180908A1 (en) System and method for whitelisting applications in a mobile network environment
JP4808703B2 (ja) 改良型侵入検出監査およびインテリジェント・セキュリティ分析の比較を使用して関連するネットワーク・セキュリティの脅威を識別するための方法およびシステム
US20130097659A1 (en) System and method for whitelisting applications in a mobile network environment
US20040093408A1 (en) IT asset tracking system
US20110055923A1 (en) Hierarchical statistical model of internet reputation
CN110545277B (zh) 应用于安全系统的风险处理方法、装置、计算设备、介质
CN109889511B (zh) 进程dns活动监控方法、设备及介质
CN108429739B (zh) 一种识别蜜罐的方法、系统及终端设备
US11818160B2 (en) Predicting cyber risk for assets with limited scan information using machine learning
CN110943984B (zh) 一种资产安全保护方法及装置
US11930031B2 (en) Distributed network based vulnerability scanning via endpoint agent deployment
Laštovička et al. Passive operating system fingerprinting revisited: Evaluation and current challenges
US11509676B2 (en) Detecting untracked software components on an asset
US11811587B1 (en) Generating incident response action flows using anonymized action implementation data
US20230072859A1 (en) Prioritizing assets using security metrics
CN115242465A (zh) 一种网络设备配置方法及网络设备
CN114553551B (zh) 对入侵防御系统进行测试的方法及装置
Karmakar et al. A trust-aware openflow switching framework for software defined networks (SDN)
US20110209215A1 (en) Intelligent Network Security Resource Deployment System
US11789743B2 (en) Host operating system identification using transport layer probe metadata and machine learning
US20090158386A1 (en) Method and apparatus for checking firewall policy
US20230336579A1 (en) System and method for evaluating risk of a vulnerability
US20240020390A1 (en) Vulnerability assessment of machine images in development phase

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination