CN116032581A - 网络设备安全管理方法及电子设备 - Google Patents
网络设备安全管理方法及电子设备 Download PDFInfo
- Publication number
- CN116032581A CN116032581A CN202211635471.0A CN202211635471A CN116032581A CN 116032581 A CN116032581 A CN 116032581A CN 202211635471 A CN202211635471 A CN 202211635471A CN 116032581 A CN116032581 A CN 116032581A
- Authority
- CN
- China
- Prior art keywords
- network
- network equipment
- preset
- instruction logic
- security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
本发明实施例涉及网络安全配置技术领域,公开了一种网络设备安全管理方法及电子设备。上述网络设备安全管理方法,包括:建立并按需更新网络设备知识库,网络设备知识库包括网络设备的预设网络配置参数、预设提取指令逻辑、预设对比指令逻辑和预设修改指令逻辑;获取网络设备的网络配置参数;基于预设提取指令逻辑,通过类自然语言定义提取指令,从网络设备的网络配置参数中筛选安全配置项;基于预设对比指令逻辑和预设网络配置参数,通过类自然语言定义对比指令,对比安全配置项是否符合安全配置要求;基于预设修改指令逻辑,通过类自然语言定义修改指令,对不符合安全配置要求的安全配置项进行修改,完成网络配置参数的修复。
Description
技术领域
本发明涉及网络安全配置技术领域,具体涉及一种网络设备安全管理方法及电子设备。
背景技术
传统网络管理是基于状态监测的网络管理系统,通过及时发现和分析运行状态异常,来排除故障,比如通过流量监测、端口状态和电源模块监测等发现异常进行故障排除。随着网络安全需求的快速增长,对网络设备安全方面的要求也日益严格,为保护网络设备安全,比如密码不得明文存储、关闭telnet、指定网管专用地址、关闭常用攻击端口等一系列安全方面的配置需求也日益增多,这些需求需要对网络设备进行检测和下达安全配置命令来实现。
目前的主要方法是通过网络工程师逐台登录网络设备,采用中控台命令进行安全配置。可以适用于网络规模较小、设备总数少的网络,当网络中联网设备的数量大到一定数量,且设备品牌众多时,网络工程师需要针对不同厂家的不同型号设备做针对性处理,对每台设备进行人工处理不仅错误率高,而且效率很低,耗时耗力。
发明内容
有鉴于此,本发明实施例提供了一种网络设备安全管理方法及电子设备,实现了对大规模网络设备快速高效的安全配置设置。
为达到上述目的,本发明采用如下技术方案:
第一方面,本发明实施例提供了一种网络设备安全管理方法,包括:建立并按需更新网络设备知识库,网络设备知识库包括网络设备的预设网络配置参数、预设提取指令逻辑、预设对比指令逻辑和预设修改指令逻辑,其中预设提取指令逻辑、预设对比指令逻辑和预设修改指令逻辑以类自然语言的形式分类存储;通过网络端口连接网络设备,获取网络设备的网络配置参数;基于预设提取指令逻辑,通过类自然语言定义提取指令,从网络设备的网络配置参数中筛选安全配置项;基于预设对比指令逻辑和预设网络配置参数,通过类自然语言定义对比指令,对比安全配置项是否符合安全配置要求;基于预设修改指令逻辑,通过类自然语言定义修改指令,对不符合安全配置要求的安全配置项进行修改,完成网络配置参数的修复。
基于第一方面,在一些实施例中,类自然语言包括语法和命令词,命令词包括查找Find、匹配Match、提取Get、抽取Extract、比较Compare、分析Analyse、命令Command。
基于第一方面,在一些实施例中,基于预设提取指令逻辑,通过类自然语言定义提取指令,从网络设备的网络配置参数中筛选安全配置项,包括:通过类自然语言的语法和命令词从预设提取指令逻辑中定义组合出提取指令;基于提取指令,扫描网络设备的网络配置参数,通过全文精确匹配、全文模糊匹配、按行精确匹配和按行模糊匹配中的至少一种方式,读取网络配置参数中的关键词,筛选出安全配置项。
基于第一方面,在一些实施例中,预设网络配置参数包括安全配置要求,基于预设对比指令逻辑和预设网络配置参数,通过类自然语言定义对比指令,对比安全配置项是否符合安全配置要求,包括:通过类自然语言的语法和命令词从预设对比指令逻辑中定义组合出对比指令;基于对比指令,对比安全配置项中的关键词与安全配置要求中对应安全配置项的关键词是否一致;筛选出关键词与安全配置要求中对应安全配置项的关键词不一致的目标安全配置项,并将目标安全配置项作为不符合安全配置要求的安全配置项。
基于第一方面,在一些实施例中,基于预设修改指令逻辑,通过类自然语言定义修改指令,对不符合安全配置要求的安全配置项进行修改,完成网络配置参数的修复,包括:通过类自然语言的语法和命令词从预设修改指令逻辑中定义组合出修改指令;基于修改指令,将不符合安全配置要求的安全配置项中的关键词修改为安全配置要求中对应安全配置项的关键词。
基于第一方面,在一些实施例中,网络设备知识库还包括网络设备缺陷及网络设备缺陷对应的处理方法,上述方法还包括:通过网络端口连接网络设备,检测网络设备是否存在网络设备缺陷;若存在网络设备缺陷,提示网络设备缺陷对应的处理方法。
基于第一方面,在一些实施例中,建立并按需更新网络设备知识库,包括:建立网络设备知识库,将网络设备的预设网络配置参数、预设提取指令逻辑、预设对比指令逻辑、预设修改指令逻辑,网络设备缺陷及网络设备缺陷对应的处理方法加入网络设备知识库;当连接到网络设备知识库中未收录型号的网络设备时,手动将网络设备知识库中未收录型号的网络设备及该未收录型号网络设备对应的预设网络配置参数、预设提取指令逻辑、预设对比指令逻辑、预设修改指令逻辑和网络设备缺陷及网络设备缺陷对应的处理方法添加入网络设备知识库,对网络设备知识库进行更新。
基于第一方面,在一些实施例中,网络设备知识库包括通用库和特例库;通用库中包括按网络设备的品牌、型号、版本、子版本分类的预设网络配置参数、预设提取指令逻辑、预设对比指令逻辑、预设修改指令逻辑,网络设备缺陷及网络设备缺陷对应的处理方法;特例库中包括特殊型号和特殊版本的预设网络配置参数、预设提取指令逻辑、预设对比指令逻辑、预设修改指令逻辑,网络设备缺陷及网络设备缺陷对应的处理方法。
基于第一方面,在一些实施例中,在基于预设提取指令逻辑,通过类自然语言定义提取指令,从网络设备的网络配置参数中筛选安全配置项之前,上述方法还包括:读取网络设备的基本信息,其中,基本信息包括品牌、型号、版本、子版本;基于网络设备的基本信息,优先从特例库中筛选出与网络设备的基本信息相匹配的网络设备;若从特例库中未筛选出与网络设备的基本信息相匹配的网络设备,按照品牌、型号、版本、子版本的分类从通用库中筛选与网络设备的型号匹配度最高的网络设备。
第二方面,本发明实施例提供了一种电子设备,包括存储器、处理器以及存储在存储器中并可在处理器上运行的计算机程序,处理器执行计算机程序时实现如上述第一方面中任一项所述的网络设备安全管理方法的步骤。
本发明实施例中,通过建设网络设备知识库收集网络设备的网络配置信息和缺陷信息,实现了对大规模网络设备的自动化问题监测和进行快速高效的安全配置设置。提高了网络设备的安全管理效率,能够优化网络设备安全配置、发现网络设备的固有缺陷并及时解决。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的网络设备安全管理方法步骤101至步骤105的流程图;
图2是本发明实施例提供的网络设备安全管理方法步骤201至步骤202的流程图;
图3是本发明实施例提供的电子设备示意图。
具体实施方式
下面结合具体实施例对本发明进行更清楚的说明。以下实施例将有助于本领域的技术人员进一步理解本发明的作用,但不以任何形式限制本发明。应当指出的是,对本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。
为使本申请的目的、技术方案和优点更加清楚,下面将结合附图通过具体实施例来进行说明。
传统网络管理是基于状态监测的网络管理系统,通过及时发现和分析运行状态异常,来排除故障,比如通过流量监测、端口状态和电源模块监测等发现异常进行故障排除。随着网络安全需求的快速增长,对网络设备的安全方面的要求也日益严格,为保护网络设备安全,比如密码不得明文存储、关闭telnet、指定网管专用地址、关闭常用攻击端口等一系列安全方面的配置需求也日益增多,这些需求需要对网络设备进行检测和下达安全配置命令来实现。
目前的主要方法是通过网络工程师逐台登录网络设备,采用中控台命令进行安全配置。可以适用于网络规模较小、设备总数少的网络,当网络中联网设备的数量大到一定数量,且设备品牌众多时,网络工程师需要针对不同厂家的不同型号设备做针对性处理,对每台设备进行人工处理不仅错误率高,而且效率很低,耗时耗力。
对于上述问题,本发明提供了一种网络设备安全管理方法,如图1所示,包括步骤101至步骤104。
步骤101:建立并按需更新网络设备知识库,网络设备知识库包括网络设备的预设网络配置参数、预设提取指令逻辑、预设对比指令逻辑和预设修改指令逻辑,其中,预设提取指令逻辑、预设对比指令逻辑和预设修改指令逻辑以类自然语言的形式分类存储。
在一些实施例中,建立网络设备知识库,将网络设备的预设网络配置参数、预设提取指令逻辑、预设对比指令逻辑、预设修改指令逻辑加入网络设备知识库,指令逻辑添加时需同时加入该指令逻辑对应的类自然语言中的命令词类属,以类自然语言的形式分类存储在网络设备知识库中。类自然语言包括语法和命令词,命令词包括查找Find、匹配Match、提取Get、抽取Extract、比较Compare、分析Analyse、命令Command。
网络设备知识库按需进行更新,每当连接到网络设备知识库中未收录型号的网络设备时,手动将网络设备知识库中未收录型号的网络设备及该未收录型号网络设备对应的预设网络配置参数、预设提取指令逻辑、预设对比指令逻辑、预设修改指令逻辑添加入网络设备知识库,对网络设备知识库进行更新。
在一些实施例中,网络设备知识库包括通用库和特例库。通用库中包括按网络设备的品牌、型号、版本、子版本分类的预设网络配置参数、预设提取指令逻辑、预设对比指令逻辑、预设修改指令逻辑。特例库中包括特殊型号和特殊版本的预设网络配置参数、预设提取指令逻辑、预设对比指令逻辑、预设修改指令逻辑。
步骤102:通过网络端口连接网络设备,获取网络设备的网络配置参数。
在一些实施例中,可以以SSH、Telnet等方式通过通用协议和网络端口登录网络设备,获取网络设备的网络配置参数,或者通过加密协议和网络端口登录网络设备,获取网络设备的网络配置参数。登录网络设备需要预先获取网络设备的账户密码。
连接到网络设备后,获取网络设备的网络配置参数后,从网络配置参数中读取网络设备的基本信息,其中,基本信息包括品牌、型号、版本、子版本。
基于网络设备的基本信息,优先从特例库中筛选出与网络设备的基本信息相匹配的网络设备。若从特例库中未筛选出与网络设备的基本信息相匹配的网络设备,按照品牌、型号、版本、子版本的分类从通用库中筛选与网络设备的型号匹配度最高的网络设备。
筛选出匹配度最高的网络设备后,得到网络设备知识库中该网络设备对应的预设网络配置参数、预设提取指令逻辑、预设对比指令逻辑、预设修改指令逻辑。
步骤103:基于预设提取指令逻辑,通过类自然语言定义提取指令,从网络设备的网络配置参数中筛选安全配置项。
从网络设备知识库中的通用库或者特例库中筛选出对应的网络设备后,获取该网络设备对应的预设提取指令逻辑,通过类自然语言的语法和命令词从预设提取指令逻辑中定义组合出提取指令。
在一些实施例中,类自然语言包括语法和命令词,命令词包括查找Find、匹配Match、提取Get、抽取Extract、比较Compare、分析Analyse、命令Command,网络工程师通过语法和中文形式或者英文形式的命令词调取预设提取指令逻辑,组成针对某一型号网络设备的提取指令。
基于提取指令,扫描网络设备的网络配置参数,通过全文精确匹配、全文模糊匹配、按行精确匹配和按行模糊匹配中的至少一种方式,读取网络配置参数中的关键词,筛选出安全配置项。
步骤104:基于预设对比指令逻辑和预设网络配置参数,通过类自然语言定义对比指令,对比安全配置项是否符合安全配置要求。
预设网络配置参数包括网络设备的安全配置要求。通过类自然语言的语法和命令词从预设对比指令逻辑中定义组合出对比指令。
基于对比指令,对比安全配置项中的关键词与安全配置要求中对应安全配置项的关键词是否一致。
筛选出关键词与安全配置要求中对应安全配置项的关键词不一致的目标安全配置项,并将目标安全配置项作为不符合安全配置要求的安全配置项。
步骤105:基于预设修改指令逻辑,通过类自然语言定义修改指令,对不符合安全配置要求的安全配置项进行修改,完成网络配置参数的修复。
通过类自然语言的语法和命令词从预设修改指令逻辑中定义组合出修改指令。
基于修改指令,将不符合安全配置要求的安全配置项中的关键词修改为安全配置要求中对应安全配置项的关键词。
网络设备知识库中还包括网络设备缺陷及网络设备缺陷对应的处理方法,如图2所示,上述网络设备安全管理方法还包括:
步骤201:通过网络端口连接网络设备,检测网络设备是否存在网络设备缺陷。
在通过网络端口连接网络设备,检测网络设备是否存在网络设备缺陷之前,需要建立网络设备知识库,将网络设备的预设网络配置参数、预设提取指令逻辑、预设对比指令逻辑、预设修改指令逻辑,网络设备缺陷及网络设备缺陷对应的处理方法加入网络设备知识库。
按需更新网络设备知识库,当连接到网络设备知识库中未收录型号的网络设备时,手动将网络设备知识库中未收录型号的网络设备及该未收录型号网络设备对应的预设网络配置参数、预设提取指令逻辑、预设对比指令逻辑、预设修改指令逻辑和网络设备缺陷及网络设备缺陷对应的处理方法添加入网络设备知识库,对网络设备知识库进行更新。
网络设备知识库包括通用库和特例库。通用库中包括按网络设备的品牌、型号、版本、子版本分类的预设网络配置参数、预设提取指令逻辑、预设对比指令逻辑、预设修改指令逻辑,网络设备缺陷及网络设备缺陷对应的处理方法。特例库中包括特殊型号和特殊版本的预设网络配置参数、预设提取指令逻辑、预设对比指令逻辑、预设修改指令逻辑,网络设备缺陷及网络设备缺陷对应的处理方法。
步骤202:若存在网络设备缺陷,提示网络设备缺陷对应的处理方法。
网络设备缺陷一般为网络设备的固有缺陷,难以通过命令行修改的方式进行修复。当检测出存在网络设备缺陷时,可以弹出提示,提示内容为该网络设备缺陷对应的处理方法,通过人工进行处理。
实施例1
本发明提供了一具体实施例,以某品牌网络交换机密码明文存储的安全配置问题为例,说明上述网络设备安全管理方法的具体实施流程。
1)通过SSH连接设备,如设备不支持SSH,可以用Telnet连接设备。本例中连接的是H3C华三品牌的网络交换机,获取到如下字段“Copyright(c)2004-2015Hangzhou H3CTech.Co.,Ltd.All rights reserved.”从中读取出品牌关键字,从网络设备知识库中进行匹配,品牌关键字包括:HUAWEI华为、H3C华三、CISCO思科、FiberHome烽火、Ruijie锐捷、DPtech迪普科技、ZTE中兴等基本的网络设备常用品牌。从上述字段中检索到“H3C tech”,确定该网络设备品牌为H3C华三品牌。
2)输入“display version”指令,从回传的数据中读取该网络设备的基本信息。
回传的数据为“Comware Software,Version 5.20.99,Release 1106
Copyright(c)2004-2015Hangzhou H3C Tech.Co.,Ltd.All rights reserved.
H3C S2152uptime is 3weeks,1day,7hours,45minutes”
从中读取该网络设备的基本信息包括品牌:H3C;型号:S2152;版本:5.20.99;子版本:1106
3)根据上述基本信息,从网络设备知识库中检索,在通用库中按分类定位到品牌H3C型号S2152的网络设备预置的网络配置参数和预设指令逻辑,这部分知识在网络设备知识库中的储存编码为PZH3C110833
4)输入“display current-configuration”指令,获取网络设备的网络配置参数。
5)通过类自然语言“查找Find”和“提取Get”从知识库中的预设指令逻辑中定义出提取指令,依据关键词“local-user”从所述网络设备的网络配置参数中筛选出用户密码的安全配置项。
6)通过类自然语言“匹配Match”从知识库中的预设指令逻辑中定义出对比指令,对比所述安全配置项是否符合安全配置要求。
在本实施例中,安全配置要求密码不能明文存储,即在安全配置项中,“local-user”的下一行如果存在“simple”则不符合安全配置要求。
7)通过类自然语言定义修改指令,将密码修改为非明文存储。
图3是本发明一实施例提供的电子设备的示意图。如图3所示,该实施例的电子设备3包括:处理器30、存储器31以及存储在所述存储器31中并可在所述处理器30上运行的计算机程序32,例如网络设备安全管理程序。所述处理器30执行所述计算机程序32时实现上述网络设备安全管理方法实施例中的步骤,例如图1所示的步骤101至步骤105。或者,图2所示的步骤201至步骤202。
示例性的,所述计算机程序32可以被分割成一个或多个模块/单元,所述一个或者多个模块/单元被存储在所述存储器31中,并由所述处理器30执行,以完成本发明。所述一个或多个模块/单元可以是能够完成特定功能的一系列计算机程序指令段,该指令段用于描述所述计算机程序32在所述电子设备3中的执行过程。
所述电子设备3可以是桌上型计算机、笔记本、掌上电脑及云端服务器等计算设备。所述电子设备可包括,但不仅限于,处理器30、存储器31。本领域技术人员可以理解,图3仅仅是电子设备3的示例,并不构成对电子设备3的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件,例如所述电子设备还可以包括输入输出设备、网络接入设备、总线等。
所称处理器30可以是中央处理单元(CentralProcessingUnit,CPU),还可以是其他通用处理器、数字信号处理器(DigitalSignalProcessor,DSP)、专用集成电路(ApplicationSpecificIntegratedCircuit,ASIC)、现成可编程门阵列(Field-ProgrammableGateArray,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
所述存储器31可以是所述电子设备3的内部存储单元,例如电子设备3的硬盘或内存。所述存储器31也可以是所述电子设备3的外部存储设备,例如所述电子设备3上配备的插接式硬盘,智能存储卡(SmartMediaCard,SMC),安全数字(SecureDigital,SD)卡,闪存卡(FlashCard)等。进一步地,所述存储器31还可以既包括所述电子设备3的内部存储单元也包括外部存储设备。所述存储器31用于存储所述计算机程序以及所述电子设备所需的其他程序和数据。所述存储器31还可以用于暂时地存储已经输出或者将要输出的数据。
所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,仅以上述各功能单元、模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能单元、模块完成,即将所述装置的内部结构划分成不同的功能单元或模块,以完成以上描述的全部或者部分功能。实施例中的各功能单元、模块可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中,上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。另外,各功能单元、模块的具体名称也只是为了便于相互区分,并不用于限制本发明的保护范围。上述系统中单元、模块的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述或记载的部分,可以参见其它实施例的相关描述。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
在本发明所提供的实施例中,应该理解到,所揭露的装置/电子设备和方法,可以通过其它的方式实现。例如,以上所描述的装置/电子设备实施例仅仅是示意性的,例如,所述模块或单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通讯连接可以是通过一些接口,装置或单元的间接耦合或通讯连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的模块/单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明实现上述实施例方法中的全部或部分流程,也可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一计算机可读存储介质中,该计算机程序在被处理器执行时,可实现上述各个方法实施例的步骤。其中,所述计算机程序包括计算机程序代码,所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括:能够携带所述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,RandomAccessMemory)、电载波信号、电信信号以及软件分发介质等。需要说明的是,所述计算机可读介质包含的内容可以根据司法管辖区内立法和专利实践的要求进行适当的增减,例如在某些司法管辖区,根据立法和专利实践,计算机可读介质不包括电载波信号和电信信号。
以上所述实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围,均应包含在本发明的保护范围之内。
Claims (10)
1.一种网络设备安全管理方法,其特征在于,包括:建立并按需更新网络设备知识库,网络设备知识库包括网络设备的预设网络配置参数、预设提取指令逻辑、预设对比指令逻辑和预设修改指令逻辑,预设提取指令逻辑、预设对比指令逻辑和预设修改指令逻辑以类自然语言的形式分类存储;通过网络端口连接网络设备,获取网络设备的网络配置参数;基于所述预设提取指令逻辑,通过所述类自然语言定义提取指令,从所述网络设备的网络配置参数中筛选安全配置项;基于所述预设对比指令逻辑和所述预设网络配置参数,通过所述类自然语言定义对比指令,对比所述安全配置项是否符合安全配置要求;基于所述预设修改指令逻辑,通过所述类自然语言定义修改指令,对不符合所述安全配置要求的安全配置项进行修改,完成所述网络配置参数的修复。
2.如权利要求1所述的网络设备安全管理方法,其特征在于,所述类自然语言包括语法和命令词,所述命令词包括查找Find、匹配Match、提取Get、抽取Extract、比较Compare、分析Analyse、命令Command。
3.如权利要求2所述的网络设备安全管理方法,其特征在于,所述基于所述预设提取指令逻辑,通过所述类自然语言定义提取指令,从所述网络设备的网络配置参数中筛选安全配置项,包括:
通过类自然语言的语法和命令词从所述预设提取指令逻辑中定义组合出提取指令;
基于所述提取指令,扫描所述网络设备的网络配置参数,通过全文精确匹配、全文模糊匹配、按行精确匹配和按行模糊匹配中的至少一种方式,读取所述网络配置参数中的关键词,筛选出所述安全配置项。
4.如权利要求3所述的网络设备安全管理方法,其特征在于,所述预设网络配置参数包括安全配置要求,所述基于所述预设对比指令逻辑和所述预设网络配置参数,通过所述类自然语言定义对比指令,对比所述安全配置项是否符合安全配置要求,包括:
通过类自然语言的语法和命令词从所述预设对比指令逻辑中定义组合出对比指令;
基于所述对比指令,对比所述安全配置项中的关键词与所述安全配置要求中对应安全配置项的关键词是否一致;
筛选出所述关键词与所述安全配置要求中对应安全配置项的关键词不一致的目标安全配置项,并将所述目标安全配置项作为不符合安全配置要求的安全配置项。
5.如权利要求4所述的网络设备安全管理方法,其特征在于,所述基于所述预设修改指令逻辑,通过所述类自然语言定义修改指令,对不符合所述安全配置要求的安全配置项进行修改,完成所述网络配置参数的修复,包括:
通过类自然语言的语法和命令词从所述预设修改指令逻辑中定义组合出修改指令;
基于所述修改指令,将所述不符合安全配置要求的安全配置项中的关键词修改为所述安全配置要求中对应安全配置项的关键词。
6.如权利要求1至5中任一项所述的网络设备安全管理方法,其特征在于,所述网络设备知识库还包括网络设备缺陷及所述网络设备缺陷对应的处理方法,所述方法还包括:
通过网络端口连接网络设备,检测网络设备是否存在所述网络设备缺陷;
若存在所述网络设备缺陷,提示所述网络设备缺陷对应的处理方法。
7.如权利要求6所述的网络设备安全管理方法,其特征在于,所述建立并按需更新网络设备知识库,包括:
建立网络设备知识库,将所述网络设备的预设网络配置参数、预设提取指令逻辑、预设对比指令逻辑、预设修改指令逻辑,网络设备缺陷及所述网络设备缺陷对应的处理方法加入所述网络设备知识库;
当连接到所述网络设备知识库中未收录型号的网络设备时,手动将所述网络设备知识库中未收录型号的网络设备及该未收录型号网络设备对应的预设网络配置参数、预设提取指令逻辑、预设对比指令逻辑、预设修改指令逻辑和网络设备缺陷及所述网络设备缺陷对应的处理方法添加入所述网络设备知识库,对所述网络设备知识库进行更新。
8.如权利要求1至5中任一项所述的网络设备安全管理方法,其特征在于,所述网络设备知识库包括通用库和特例库;
所述通用库中包括按网络设备的品牌、型号、版本、子版本分类的预设网络配置参数、预设提取指令逻辑、预设对比指令逻辑、预设修改指令逻辑,网络设备缺陷及所述网络设备缺陷对应的处理方法;
所述特例库中包括特殊型号和特殊版本的预设网络配置参数、预设提取指令逻辑、预设对比指令逻辑、预设修改指令逻辑,网络设备缺陷及所述网络设备缺陷对应的处理方法。
9.如权利要求8所述的网络设备安全管理方法,其特征在于,在通过网络端口连接网络设备之后,所述方法还包括:
读取所述网络设备的基本信息,其中,所述基本信息包括品牌、型号、版本、子版本;
基于所述网络设备的基本信息,优先从特例库中筛选出与所述网络设备的基本信息相匹配的网络设备;
若从所述特例库中未筛选出与所述网络设备的基本信息相匹配的网络设备,按照品牌、型号、版本、子版本的分类从所述通用库中筛选与所述网络设备的基本信息匹配度最高的网络设备,并获取所述基本信息匹配度最高的网络设备对应的预设网络配置参数、预设提取指令逻辑、预设对比指令逻辑和预设修改指令逻辑。
10.一种电子设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至9中任一项所述的网络设备安全管理方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211635471.0A CN116032581A (zh) | 2022-12-19 | 2022-12-19 | 网络设备安全管理方法及电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211635471.0A CN116032581A (zh) | 2022-12-19 | 2022-12-19 | 网络设备安全管理方法及电子设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116032581A true CN116032581A (zh) | 2023-04-28 |
Family
ID=86077003
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211635471.0A Pending CN116032581A (zh) | 2022-12-19 | 2022-12-19 | 网络设备安全管理方法及电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116032581A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116541118A (zh) * | 2023-06-29 | 2023-08-04 | 新华三技术有限公司 | 网络设备管理方法、装置及电子设备 |
-
2022
- 2022-12-19 CN CN202211635471.0A patent/CN116032581A/zh active Pending
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116541118A (zh) * | 2023-06-29 | 2023-08-04 | 新华三技术有限公司 | 网络设备管理方法、装置及电子设备 |
| CN116541118B (zh) * | 2023-06-29 | 2023-10-13 | 新华三技术有限公司 | 网络设备管理方法、装置及电子设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11218510B2 (en) | Advanced cybersecurity threat mitigation using software supply chain analysis | |
| CN107667370A (zh) | 使用事件日志检测异常账户 | |
| CN109495520B (zh) | 一体化网络攻击取证溯源方法、系统、设备及存储介质 | |
| US11263266B2 (en) | Traffic anomaly sensing device, traffic anomaly sensing method, and traffic anomaly sensing program | |
| WO2019169760A1 (zh) | 测试用例范围确定方法、装置及存储介质 | |
| CN114077525A (zh) | 异常日志处理方法、装置、终端设备、云服务器及系统 | |
| CN107454118A (zh) | 验证码获取方法及装置、登录方法及系统 | |
| CN109726066B (zh) | 用于标识存储系统中的问题部件的方法和设备 | |
| CN110557299A (zh) | 一种网络传输功能批量测试方法、系统、终端及存储介质 | |
| CN104135483B (zh) | 一种网络安全自动配置管理系统 | |
| US20210160259A1 (en) | System for automated signature generation and refinement | |
| CN116032581A (zh) | 网络设备安全管理方法及电子设备 | |
| CN107609179B (zh) | 一种数据处理方法及设备 | |
| CN114780370A (zh) | 基于日志的数据修正方法、装置、电子设备及存储介质 | |
| CN110650137A (zh) | 煤矿网络异常行为预警方法、系统、设备及可读存储介质 | |
| CN117220957A (zh) | 一种基于威胁情报的攻击行为响应方法及系统 | |
| CN113760730A (zh) | 一种自动化测试的方法和装置 | |
| CN114157662B (zh) | 一种云平台参数适配方法、装置、终端设备及储存介质 | |
| CN115643044A (zh) | 数据处理方法、装置、服务器及存储介质 | |
| CN115766258A (zh) | 一种基于因果关系图的多阶段攻击趋势预测方法、设备及存储介质 | |
| CN115514519A (zh) | 一种基于横向微隔离的主动防御方法及插件 | |
| CN111343193B (zh) | 云网络端口安全防护方法、装置、电子设备及存储介质 | |
| CN114448614A (zh) | 弱密码检测方法、设备、系统及存储介质 | |
| CN116032580A (zh) | 网络设备安全管理系统及方法 | |
| CN113556252B (zh) | 一种网络设备基线配置检查与修复的方法和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |