CN115242465A - 一种网络设备配置方法及网络设备 - Google Patents
一种网络设备配置方法及网络设备 Download PDFInfo
- Publication number
- CN115242465A CN115242465A CN202210768876.5A CN202210768876A CN115242465A CN 115242465 A CN115242465 A CN 115242465A CN 202210768876 A CN202210768876 A CN 202210768876A CN 115242465 A CN115242465 A CN 115242465A
- Authority
- CN
- China
- Prior art keywords
- network
- module
- address
- management server
- equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0631—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0876—Aspects of the degree of configuration automation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Automation & Control Theory (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明属于网络设备配置技术领域,公开了一种网络设备配置方法及网络设备,所述网络设备包括:网络信号检测模块、网络主机检测模块、网络攻击检测模块、主控模块、IP地址配置模块、通信模块、网络安全评估模块、网络账号配置模块、警报模块。本发明通过通信模块可以从网关服务器获得该目标网络设备的配置信息,可自动对目标网络设备进行初始化配置,实现了目标网络设备的自动化配置,简化了目标网络设备的管理开销;同时,通过网络安全评估模块利用静态和动态相结合的风险评估方法,有效提高网络设备所在网络风险评估的实时性;利用基于漏洞和基于威胁方法来综合评估网络设备所在网络的潜在风险,可有效提高网络设备所在网络风险评估的准确度。
Description
技术领域
本发明属于网络设备配置技术领域,尤其涉及一种网络设备配置方法及网络设备。
背景技术
网络设备是用来将各类服务器、PC、应用终端等节点相互连接,构成信息通信网络的专用硬件设备。包括信息网络设备、通信网络设备、网络安全设备等。常见网络设备有:交换机、路由器、防火墙、网桥、集线器、网关、VPN服务器、网络接口卡(NIC)、无线接入点(WAP)、调制解调器、5G基站、光端机、光纤收发器、光缆等。广义上,接入网络的设备都可以称作为网络设备,比如:网络计算机(无论其为个人电脑或服务器)、网络打印机、网络摄像头、RTU、智能手机等;然而,现有网络设备配置方法及网络设备不能进行自动配置;同时,不能实时对网络安全进行评估;及对网络评估不准确。
通过上述分析,现有技术存在的问题及缺陷为:
(1)现有网络设备配置方法及网络设备不能进行自动配置。
(2)不能实时对网络安全进行评估;及对网络评估不准确。
发明内容
针对现有技术存在的问题,本发明提供了一种网络设备配置方法及网络设备。
本发明是这样实现的,一种网络设备包括:
网络信号检测模块、网络主机检测模块、网络攻击检测模块、主控模块、IP地址配置模块、通信模块、网络安全评估模块、网络账号配置模块、警报模块;
网络信号检测模块,与主控模块连接,用于检测网络通信信号;
网络主机检测模块,与主控模块连接,用于检测网络终端主机;
网络攻击检测模块,与主控模块连接,用于检测网络攻击信息;
主控模块,与网络信号检测模块、网络主机检测模块、网络攻击检测模块、IP地址配置模块、通信模块、网络安全评估模块、网络账号配置模块、警报模块9连接,用于控制各个模块正常工作;
IP地址配置模块,与主控模块连接,用于对网络终端主机IP地址进行配置;
通信模块,与主控模块连接,用于对网络设备进行网络通信;
网络安全评估模块,与主控模块连接,用于通过评估程序对网络安全进行评估;
网络账号配置模块,与主控模块连接,用于对网络设备管理账号进行配置;
警报模块,与主控模块连接,用于对网络异常进行警报通知。
本发明的另一目的在于提供一种网络设备配置方法,包括以下步骤:
步骤一,通过网络信号检测模块检测网络通信信号;通过网络主机检测模块检测网络终端主机;通过网络攻击检测模块检测网络攻击信息;
步骤二,主控模块通过IP地址配置模块对网络终端主机IP地址进行配置;
步骤三,通过通信模块对网络设备进行网络通信;通过网络安全评估模块利用评估程序对网络安全进行评估;
步骤四,通过网络账号配置模块对网络设备管理账号进行配置;
步骤五,通过警报模块对网络异常进行警报通知。
进一步,所述通信模块通信方法如下:
(1)通过测试设备测试目标网络设备是否正常;当目标网络设备接入网络时,获取邻居设备发送的邻居发现协议ND消息,所述ND消息中携带网管服务器的信息,所述网管服务器的信息包括互联网协议IP地址或统一资源标识符URL或域名;
(2)目标网络设备根据所述ND消息,获取所述网管服务器的信息;
(3)目标网络设备利用所述网管服务器的信息,与所述网管服务器进行通信;
所述目标网络设备自动生成唯一本地地址ULA地址;所述目标网络设备利用所述网管服务器的信息,与所述网管服务器进行通信,具体包括:所述目标网络设备向所述邻居设备发送以所述ULA地址为源地址、所述网管服务器的IP地址为目的地址的第一数据报文;所述邻居设备将所述第一数据报文中的所述ULA地址替换成全球唯一地址GUA地址后,发送替换后的所述第一数据报文给所述网管服务器;所述网管服务器的IP地址从所述网管服务器的信息中得到;所述目标网络设备通过所述邻居设备接收所述网管服务器发送的第二数据报文,所述第二数据报文是以所述网管服务器IP地址为源地址、所述第一数据报文的源地址为目的地址的数据报文。
进一步,所述ND消息采用邻居发现ND协议的扩展选项来携带所述网管服务器的IP地址或URL或域名。
进一步,所述ND消息包括路由器通告RA消息、路由请求RS消息、邻居请求NS消息或邻居通告NA消息;
所述获取邻居设备发送的邻居发现协议ND消息,所述ND消息中携带所述网管服务器的信息,包括:
所述目标网络设备接收所述邻居设备广播的路由器通告RA消息,所述RA消息中携带所述网管服务器的信息;
或者,所述目标网络设备发送路由请求RS消息给所述邻居设备,再接收所述邻居设备返回的RA消息,所述RA消息中携带所述网管服务器的信息;
或者,所述目标网络设备发送邻居请求NS消息给所述邻居设备,再接收所述邻居设备返回的NA消息,所述NA消息中携带所述网管服务器的信息。
进一步,所述通信方法还包括:
所述目标网络设备向所述邻居设备获取所述目标网络设备的GUA地址;
所述目标网络设备利用所述网管服务器的信息,通过所述邻居设备与所述网管服务器进行通信,具体包括:
所述目标网络设备通过所述邻居设备向所述网管服务器发送以所述GUA地址为源地址、所述网管服务器IP地址为目的地址的数据报文;所述网管服务器的IP地址从所述网管服务器的信息中得到;
所述目标网络设备通过所述邻居设备接收所述网管服务器发送的数据报文,所述网管服务器发送的数据报文是以所述网管服务器IP地址为源地址、所述目标网络设备的GUA地址为目的地址的数据报文。
进一步,所述网络安全评估模块评估方法如下:
1)通过评估程序对网络设备所在网络进行静态风险评估,给出静态评估结果;
2)对网络设备所在网络资产进行识别,对资产价值赋值,并将资产与脆弱性进行关联分析;
3)采用CVSS评估指标对漏洞采用成功概率进行赋值;
4)检测网络漏洞;
5)接收入侵检测系统、防火墙以及第三方的提供的当前节点实时攻击事件告警,并根据不同的漏洞将告警信息分类;对入侵检测、防火墙以及第三方数据样本进行分析;
其中,ni为某种告警阈值,num为某种告警的数量;
6)采用公式P=Num×Cate×Lev计算节点脆弱性风险指数P,再采用公式Ri=Li×Ti×Pi计算节点安全风险,对系统进行动态风险评估;其中,Ri是节点i的动态风险值,Li是节点i的资产重要程度,Ti是节点i的漏洞威胁程度,Pi是节点i的脆弱性风险指数;
7)重复步骤5)至步骤6),基于威胁对网络设备所在网络动态评估,进而完成对网络设备所在网络的安全评估。
进一步,所述采用CVSS评估指标对漏洞采用成功概率进行赋值方法:
进一步,所述检测网络漏洞方法:
采用漏洞扫描器对网络设备所在网络节点进行漏洞识别,检测出当前节点的漏洞,并根据CVSS评估指标,采用公式计算出每个漏洞威胁程度T;其中,Base为CVSS评分,K为漏洞攻击的成功概率,K是一个0~1范围的数字。
进一步,所述对入侵检测、防火墙以及第三方数据样本进行分析方法:
其中,ni为某种告警阈值,num为某种告警的数量;
结合上述的技术方案和解决的技术问题,请从以下几方面分析本发明所要保护的技术方案所具备的优点及积极效果为:
第一、针对上述现有技术存在的技术问题以及解决该问题的难度,紧密结合本发明的所要保护的技术方案以及研发过程中结果和数据等,详细、深刻地分析本发明技术方案如何解决的技术问题,解决问题之后带来的一些具备创造性的技术效果。具体描述如下:
本发明通过通信模块利用互联网协议版本IPv6的自动化机制,从目标网络设备的邻居设备获取网管服务器的信息,然后与网管服务器建立通信连接,进而可以从网关服务器获得该目标网络设备的配置信息,可自动对目标网络设备进行初始化配置,实现了目标网络设备的自动化配置,简化了目标网络设备的管理开销;同时,通过网络安全评估模块利用静态和动态相结合的风险评估方法,有效提高网络设备所在网络风险评估的实时性;利用基于漏洞和基于威胁方法来综合评估网络设备所在网络的潜在风险,可有效提高网络设备所在网络风险评估的准确度。
第二,把技术方案看做一个整体或者从产品的角度,本发明所要保护的技术方案具备的技术效果和优点,具体描述如下:
本发明通过通信模块利用互联网协议版本IPv6的自动化机制,从目标网络设备的邻居设备获取网管服务器的信息,然后与网管服务器建立通信连接,进而可以从网关服务器获得该目标网络设备的配置信息,可自动对目标网络设备进行初始化配置,实现了目标网络设备的自动化配置,简化了目标网络设备的管理开销;同时,通过网络安全评估模块利用静态和动态相结合的风险评估方法,有效提高网络设备所在网络风险评估的实时性;利用基于漏洞和基于威胁方法来综合评估网络设备所在网络的潜在风险,可有效提高网络设备所在网络风险评估的准确度。
附图说明
图1是本发明实施例提供的网络设备配置方法流程图。
图2是本发明实施例提供的网络设备结构框图。
图3是本发明实施例提供的通信模块通信方法流程图。
图4是本发明实施例提供的网络安全评估模块评估方法流程图。
图2中:1、网络信号检测模块;2、网络主机检测模块;3、网络攻击检测模块;4、主控模块;5、IP地址配置模块;6、通信模块;7、网络安全评估模块;8、网络账号配置模块;9、警报模块。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
一、解释说明实施例。为了使本领域技术人员充分了解本发明如何具体实现,该部分是对权利要求技术方案进行展开说明的解释说明实施例。
如图1所示,本发明提供的网络设备配置方法包括以下步骤:
S101,通过网络信号检测模块检测网络通信信号;通过网络主机检测模块检测网络终端主机;通过网络攻击检测模块检测网络攻击信息;
S102,主控模块通过IP地址配置模块对网络终端主机IP地址进行配置;
S103,通过通信模块对网络设备进行网络通信;通过网络安全评估模块利用评估程序对网络安全进行评估;
S104,通过网络账号配置模块对网络设备管理账号进行配置;
S105,通过警报模块对网络异常进行警报通知。
如图2所示,本发明实施例提供的网络设备包括:网络信号检测模块1、网络主机检测模块2、网络攻击检测模块3、主控模块4、IP地址配置模块5、通信模块6、网络安全评估模块7、网络账号配置模块8、警报模块9。
网络信号检测模块1,与主控模块4连接,用于检测网络通信信号;
网络主机检测模块2,与主控模块4连接,用于检测网络终端主机;
网络攻击检测模块3,与主控模块4连接,用于检测网络攻击信息;
主控模块4,与网络信号检测模块1、网络主机检测模块2、网络攻击检测模块3、IP地址配置模块5、通信模块6、网络安全评估模块7、网络账号配置模块8、警报模块9连接,用于控制各个模块正常工作;
IP地址配置模块5,与主控模块4连接,用于对网络终端主机IP地址进行配置;
通信模块6,与主控模块4连接,用于对网络设备进行网络通信;
网络安全评估模块7,与主控模块4连接,用于通过评估程序对网络安全进行评估;
网络账号配置模块8,与主控模块4连接,用于对网络设备管理账号进行配置;
警报模块9,与主控模块4连接,用于对网络异常进行警报通知。
如图3所示,本发明提供的通信模块6通信方法如下:
S201,通过测试设备测试目标网络设备是否正常;当目标网络设备接入网络时,获取邻居设备发送的邻居发现协议ND消息,所述ND消息中携带网管服务器的信息,所述网管服务器的信息包括互联网协议IP地址或统一资源标识符URL或域名;
S202,目标网络设备根据所述ND消息,获取所述网管服务器的信息;
S203,目标网络设备利用所述网管服务器的信息,与所述网管服务器进行通信;
所述目标网络设备自动生成唯一本地地址ULA地址;所述目标网络设备利用所述网管服务器的信息,与所述网管服务器进行通信,具体包括:所述目标网络设备向所述邻居设备发送以所述ULA地址为源地址、所述网管服务器的IP地址为目的地址的第一数据报文;所述邻居设备将所述第一数据报文中的所述ULA地址替换成全球唯一地址GUA地址后,发送替换后的所述第一数据报文给所述网管服务器;所述网管服务器的IP地址从所述网管服务器的信息中得到;所述目标网络设备通过所述邻居设备接收所述网管服务器发送的第二数据报文,所述第二数据报文是以所述网管服务器IP地址为源地址、所述第一数据报文的源地址为目的地址的数据报文。
本发明提供的ND消息采用邻居发现ND协议的扩展选项来携带所述网管服务器的IP地址或URL或域名。
本发明提供的ND消息包括路由器通告RA消息、路由请求RS消息、邻居请求NS消息或邻居通告NA消息;
所述获取邻居设备发送的邻居发现协议ND消息,所述ND消息中携带所述网管服务器的信息,包括:
所述目标网络设备接收所述邻居设备广播的路由器通告RA消息,所述RA消息中携带所述网管服务器的信息;
或者,所述目标网络设备发送路由请求RS消息给所述邻居设备,再接收所述邻居设备返回的RA消息,所述RA消息中携带所述网管服务器的信息;
或者,所述目标网络设备发送邻居请求NS消息给所述邻居设备,再接收所述邻居设备返回的NA消息,所述NA消息中携带所述网管服务器的信息。
本发明提供的通信方法还包括:
所述目标网络设备向所述邻居设备获取所述目标网络设备的GUA地址;
所述目标网络设备利用所述网管服务器的信息,通过所述邻居设备与所述网管服务器进行通信,具体包括:
所述目标网络设备通过所述邻居设备向所述网管服务器发送以所述GUA地址为源地址、所述网管服务器IP地址为目的地址的数据报文;所述网管服务器的IP地址从所述网管服务器的信息中得到;
所述目标网络设备通过所述邻居设备接收所述网管服务器发送的数据报文,所述网管服务器发送的数据报文是以所述网管服务器IP地址为源地址、所述目标网络设备的GUA地址为目的地址的数据报文。
如图4所示,本发明提供的网络安全评估模块7评估方法如下:
S301,通过评估程序对网络设备所在网络进行静态风险评估,给出静态评估结果;
S302,对网络设备所在网络资产进行识别,对资产价值赋值,并将资产与脆弱性进行关联分析;
S303,采用CVSS评估指标对漏洞采用成功概率进行赋值;
S304,检测网络漏洞;
S305,接收入侵检测系统、防火墙以及第三方的提供的当前节点实时攻击事件告警,并根据不同的漏洞将告警信息分类;对入侵检测、防火墙以及第三方数据样本进行分析;
其中,ni为某种告警阈值,num为某种告警的数量;
S306,采用公式P=Num×Cate×Lev计算节点脆弱性风险指数P,再采用公式Ri=Li×Ti×Pi计算节点安全风险,对系统进行动态风险评估;其中,Ri是节点i的动态风险值,Li是节点i的资产重要程度,Ti是节点i的漏洞威胁程度,Pi是节点i的脆弱性风险指数;
S307,重复S305至S306,基于威胁对网络设备所在网络动态评估,进而完成对网络设备所在网络的安全评估。
如权利要求7所述网络设备,其特征在于,所述采用CVSS评估指标对漏洞采用成功概率进行赋值方法:
本发明提供的检测网络漏洞方法:
采用漏洞扫描器对网络设备所在网络节点进行漏洞识别,检测出当前节点的漏洞,并根据CVSS评估指标,采用公式计算出每个漏洞威胁程度T;其中,Base为CVSS评分,K为漏洞攻击的成功概率,K是一个0~1范围的数字。
本发明提供的对入侵检测、防火墙以及第三方数据样本进行分析方法:
其中,ni为某种告警阈值,num为某种告警的数量;
二、应用实施例。为了证明本发明的技术方案的创造性和技术价值,该部分是对权利要求技术方案进行具体产品上或相关技术上的应用实施例。
本发明通过通信模块利用互联网协议版本IPv6的自动化机制,从目标网络设备的邻居设备获取网管服务器的信息,然后与网管服务器建立通信连接,进而可以从网关服务器获得该目标网络设备的配置信息,可自动对目标网络设备进行初始化配置,实现了目标网络设备的自动化配置,简化了目标网络设备的管理开销;同时,通过网络安全评估模块利用静态和动态相结合的风险评估方法,有效提高网络设备所在网络风险评估的实时性;利用基于漏洞和基于威胁方法来综合评估网络设备所在网络的潜在风险,可有效提高网络设备所在网络风险评估的准确度。
应当注意,本发明的实施方式可以通过硬件、软件或者软件和硬件的结合来实现。硬件部分可以利用专用逻辑来实现;软件部分可以存储在存储器中,由适当的指令执行系统,例如微处理器或者专用设计硬件来执行。本领域的普通技术人员可以理解上述的设备和方法可以使用计算机可执行指令和/或包含在处理器控制代码中来实现,例如在诸如磁盘、CD或DVD-ROM的载体介质、诸如只读存储器(固件)的可编程的存储器或者诸如光学或电子信号载体的数据载体上提供了这样的代码。本发明的设备及其模块可以由诸如超大规模集成电路或门阵列、诸如逻辑芯片、晶体管等的半导体、或者诸如现场可编程门阵列、可编程逻辑设备等的可编程硬件设备的硬件电路实现,也可以用由各种类型的处理器执行的软件实现,也可以由上述硬件电路和软件的结合例如固件来实现。
三、实施例相关效果的证据。本发明实施例在研发或者使用过程中取得了一些积极效果,和现有技术相比的确具备很大的优势,下面内容结合试验过程的数据、图表等进行描述。
本发明通过通信模块利用互联网协议版本IPv6的自动化机制,从目标网络设备的邻居设备获取网管服务器的信息,然后与网管服务器建立通信连接,进而可以从网关服务器获得该目标网络设备的配置信息,可自动对目标网络设备进行初始化配置,实现了目标网络设备的自动化配置,简化了目标网络设备的管理开销;同时,通过网络安全评估模块利用静态和动态相结合的风险评估方法,有效提高网络设备所在网络风险评估的实时性;利用基于漏洞和基于威胁方法来综合评估网络设备所在网络的潜在风险,可有效提高网络设备所在网络风险评估的准确度。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,都应涵盖在本发明的保护范围之内。
Claims (10)
1.一种网络设备,其特征在于,所述网络设备包括:
网络信号检测模块、网络主机检测模块、网络攻击检测模块、主控模块、IP地址配置模块、通信模块、网络安全评估模块、网络账号配置模块、警报模块;
网络信号检测模块,与主控模块连接,用于检测网络通信信号;
网络主机检测模块,与主控模块连接,用于检测网络终端主机;
网络攻击检测模块,与主控模块连接,用于检测网络攻击信息;
主控模块,与网络信号检测模块、网络主机检测模块、网络攻击检测模块、IP地址配置模块、通信模块、网络安全评估模块、网络账号配置模块、警报模块9连接,用于控制各个模块正常工作;
IP地址配置模块,与主控模块连接,用于对网络终端主机IP地址进行配置;
通信模块,与主控模块连接,用于对网络设备进行网络通信;
网络安全评估模块,与主控模块连接,用于通过评估程序对网络安全进行评估;
网络账号配置模块,与主控模块连接,用于对网络设备管理账号进行配置;
警报模块,与主控模块连接,用于对网络异常进行警报通知。
2.一种如权利要求1所述的网络设备配置方法,其特征在于,所述网络设备配置方法包括以下步骤:
步骤一,通过网络信号检测模块检测网络通信信号;通过网络主机检测模块检测网络终端主机;通过网络攻击检测模块检测网络攻击信息;
步骤二,主控模块通过IP地址配置模块对网络终端主机IP地址进行配置;
步骤三,通过通信模块对网络设备进行网络通信;通过网络安全评估模块利用评估程序对网络安全进行评估;
步骤四,通过网络账号配置模块对网络设备管理账号进行配置;
步骤五,通过警报模块对网络异常进行警报通知。
3.如权利要求1所述网络设备,其特征在于,所述通信模块通信方法如下:
(1)通过测试设备测试目标网络设备是否正常;当目标网络设备接入网络时,获取邻居设备发送的邻居发现协议ND消息,所述ND消息中携带网管服务器的信息,所述网管服务器的信息包括互联网协议IP地址或统一资源标识符URL或域名;
(2)目标网络设备根据所述ND消息,获取所述网管服务器的信息;
(3)目标网络设备利用所述网管服务器的信息,与所述网管服务器进行通信;
所述目标网络设备自动生成唯一本地地址ULA地址;所述目标网络设备利用所述网管服务器的信息,与所述网管服务器进行通信,具体包括:所述目标网络设备向所述邻居设备发送以所述ULA地址为源地址、所述网管服务器的IP地址为目的地址的第一数据报文;所述邻居设备将所述第一数据报文中的所述ULA地址替换成全球唯一地址GUA地址后,发送替换后的所述第一数据报文给所述网管服务器;所述网管服务器的IP地址从所述网管服务器的信息中得到;所述目标网络设备通过所述邻居设备接收所述网管服务器发送的第二数据报文,所述第二数据报文是以所述网管服务器IP地址为源地址、所述第一数据报文的源地址为目的地址的数据报文。
4.如权利要求3所述网络设备,其特征在于,所述ND消息采用邻居发现ND协议的扩展选项来携带所述网管服务器的IP地址或URL或域名。
5.如权利要求3所述网络设备,其特征在于,所述ND消息包括路由器通告RA消息、路由请求RS消息、邻居请求NS消息或邻居通告NA消息;
所述获取邻居设备发送的邻居发现协议ND消息,所述ND消息中携带所述网管服务器的信息,包括:
所述目标网络设备接收所述邻居设备广播的路由器通告RA消息,所述RA消息中携带所述网管服务器的信息;
或者,所述目标网络设备发送路由请求RS消息给所述邻居设备,再接收所述邻居设备返回的RA消息,所述RA消息中携带所述网管服务器的信息;
或者,所述目标网络设备发送邻居请求NS消息给所述邻居设备,再接收所述邻居设备返回的NA消息,所述NA消息中携带所述网管服务器的信息。
6.如权利要求3所述网络设备,其特征在于,所述通信方法还包括:
所述目标网络设备向所述邻居设备获取所述目标网络设备的GUA地址;
所述目标网络设备利用所述网管服务器的信息,通过所述邻居设备与所述网管服务器进行通信,具体包括:
所述目标网络设备通过所述邻居设备向所述网管服务器发送以所述GUA地址为源地址、所述网管服务器IP地址为目的地址的数据报文;所述网管服务器的IP地址从所述网管服务器的信息中得到;
所述目标网络设备通过所述邻居设备接收所述网管服务器发送的数据报文,所述网管服务器发送的数据报文是以所述网管服务器IP地址为源地址、所述目标网络设备的GUA地址为目的地址的数据报文。
7.如权利要求1所述网络设备,其特征在于,所述网络安全评估模块评估方法如下:
1)通过评估程序对网络设备所在网络进行静态风险评估,给出静态评估结果;
2)对网络设备所在网络资产进行识别,对资产价值赋值,并将资产与脆弱性进行关联分析;
3)采用CVSS评估指标对漏洞采用成功概率进行赋值;
4)检测网络漏洞;
5)接收入侵检测系统、防火墙以及第三方的提供的当前节点实时攻击事件告警,并根据不同的漏洞将告警信息分类;对入侵检测、防火墙以及第三方数据样本进行分析;
其中,ni为某种告警阈值,num为某种告警的数量;
6)采用公式P=Num×Cate×Lev计算节点脆弱性风险指数P,再采用公式Ri=Li×Ti×Pi计算节点安全风险,对系统进行动态风险评估;其中,Ri是节点i的动态风险值,Li是节点i的资产重要程度,Ti是节点i的漏洞威胁程度,Pi是节点i的脆弱性风险指数;
7)重复步骤5)至步骤6),基于威胁对网络设备所在网络动态评估,进而完成对网络设备所在网络的安全评估。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210768876.5A CN115242465A (zh) | 2022-07-01 | 2022-07-01 | 一种网络设备配置方法及网络设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210768876.5A CN115242465A (zh) | 2022-07-01 | 2022-07-01 | 一种网络设备配置方法及网络设备 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN115242465A true CN115242465A (zh) | 2022-10-25 |
Family
ID=83670920
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210768876.5A Pending CN115242465A (zh) | 2022-07-01 | 2022-07-01 | 一种网络设备配置方法及网络设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115242465A (zh) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105359458A (zh) * | 2013-10-18 | 2016-02-24 | 华为技术有限公司 | 网络设备通信方法及网络设备 |
CN107204876A (zh) * | 2017-05-22 | 2017-09-26 | 成都网络空间安全技术有限公司 | 一种网络安全风险评估方法 |
CN109302396A (zh) * | 2018-10-10 | 2019-02-01 | 西安邮电大学 | 一种基于风险评估的网络安全态势感知方法 |
CN111193728A (zh) * | 2019-12-23 | 2020-05-22 | 成都烽创科技有限公司 | 网络安全评估方法、装置、设备及存储介质 |
US20210211450A1 (en) * | 2020-01-02 | 2021-07-08 | Saudi Arabian Oil Company | Method and system for prioritizing and remediating security vulnerabilities based on adaptive scoring |
-
2022
- 2022-07-01 CN CN202210768876.5A patent/CN115242465A/zh active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105359458A (zh) * | 2013-10-18 | 2016-02-24 | 华为技术有限公司 | 网络设备通信方法及网络设备 |
CN107204876A (zh) * | 2017-05-22 | 2017-09-26 | 成都网络空间安全技术有限公司 | 一种网络安全风险评估方法 |
CN109302396A (zh) * | 2018-10-10 | 2019-02-01 | 西安邮电大学 | 一种基于风险评估的网络安全态势感知方法 |
CN111193728A (zh) * | 2019-12-23 | 2020-05-22 | 成都烽创科技有限公司 | 网络安全评估方法、装置、设备及存储介质 |
US20210211450A1 (en) * | 2020-01-02 | 2021-07-08 | Saudi Arabian Oil Company | Method and system for prioritizing and remediating security vulnerabilities based on adaptive scoring |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20230019941A1 (en) | Threat score prediction model | |
US11005876B2 (en) | Elastic asset-based licensing model for use in a vulnerability management system | |
US20150180908A1 (en) | System and method for whitelisting applications in a mobile network environment | |
JP4808703B2 (ja) | 改良型侵入検出監査およびインテリジェント・セキュリティ分析の比較を使用して関連するネットワーク・セキュリティの脅威を識別するための方法およびシステム | |
US20130097659A1 (en) | System and method for whitelisting applications in a mobile network environment | |
US20040093408A1 (en) | IT asset tracking system | |
US20110055923A1 (en) | Hierarchical statistical model of internet reputation | |
CN110545277B (zh) | 应用于安全系统的风险处理方法、装置、计算设备、介质 | |
CN109889511B (zh) | 进程dns活动监控方法、设备及介质 | |
CN108429739B (zh) | 一种识别蜜罐的方法、系统及终端设备 | |
US11818160B2 (en) | Predicting cyber risk for assets with limited scan information using machine learning | |
CN110943984B (zh) | 一种资产安全保护方法及装置 | |
US11930031B2 (en) | Distributed network based vulnerability scanning via endpoint agent deployment | |
Laštovička et al. | Passive operating system fingerprinting revisited: Evaluation and current challenges | |
US11509676B2 (en) | Detecting untracked software components on an asset | |
US11811587B1 (en) | Generating incident response action flows using anonymized action implementation data | |
US20230072859A1 (en) | Prioritizing assets using security metrics | |
CN115242465A (zh) | 一种网络设备配置方法及网络设备 | |
CN114553551B (zh) | 对入侵防御系统进行测试的方法及装置 | |
Karmakar et al. | A trust-aware openflow switching framework for software defined networks (SDN) | |
US20110209215A1 (en) | Intelligent Network Security Resource Deployment System | |
US11789743B2 (en) | Host operating system identification using transport layer probe metadata and machine learning | |
US20090158386A1 (en) | Method and apparatus for checking firewall policy | |
US20230336579A1 (en) | System and method for evaluating risk of a vulnerability | |
US20240020390A1 (en) | Vulnerability assessment of machine images in development phase |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |