监控网络设备的方法和装置 |
|||||||
| 申请号 | CN201410026422.6 | 申请日 | 2014-01-20 | 公开(公告)号 | CN103780430B | 公开(公告)日 | 2017-11-17 |
| 申请人 | 华为技术有限公司; | 发明人 | 季平; | ||||
| 摘要 | 本 发明 实施例 公开了一种监控网络设备的方法和装置,涉及信息网络技术领域,能够在网络端口只连接有一个设备的情况下,确定该网络端口连接的非法无线网络设备,提高了内部网络信息的安全性。本发明的方法包括:获取网络管理系统所管理的网络系统中的无线网络设备的基本服务集标识BSSID;利用合法无线网络设备指纹库,从获取的网络系统中的无线网络设备的BSSID中,确定非法无线网络设备的BSSID;获取面向用户的网络端口对应的介质 访问 控制MAC转发表;根据非法无线网络设备的BSSID和MAC地址确定接入了网络端口的非法无线网络设备。本发明适用于监控网络设备的场景中。 | ||||||
| 权利要求 | 1.一种监控网络设备的方法,其特征在于,所述方法应用于网络管理系统,所述方法包括: |
||||||
| 说明书全文 | 监控网络设备的方法和装置技术领域[0001] 本发明涉及信息网络技术领域,尤其涉及一种监控网络设备的方法和装置。 背景技术[0002] 企业往往使用内部网络来防止企业信息泄露,但当企业内部用户私自将无线网络设备接入内部网络,导致内部网络的无线信号外泄,从而使得外部人员能够通过外泄的无线网络攻击内部网络,或者内部用户将移动终端与无线网络设备连接,下载内部资料,这样会导致信息泄露。所以,对于企业的内部网络来说,内部用户私自接入内部网络的无线网络设备是非法无线网络设备,非法无线网络设备的接入为企业的内部网络带来极大的安全隐患。 [0003] 为了排除非法无线网络设备为企业的内部网络带来的安全隐患,现有技术的网络管理系统根据内部网络范围内所有合法无线网络设备的MAC(Media Access Control,介质访问控制)地址,建立合法无线网络设备指纹库,合法无线网络设备指纹库包括内部网络范围内所有合法无线网络设备的MAC地址。之后,网络管理系统获取网络端口对应的MAC转发表,一个网络端口对应的MAC转发表中包括这一个网络端口连接的设备的MAC地址。内部网络面向用户的下行网络端口往往只连接一个设备,比如:一个员工的网络端口只连接有一个公司配备的电脑。所以,网络管理系统默认网络端口只连接有一个设备的情况是正常情况。在现有技术中,只有当网络管理系统检测到网络端口对应的MAC转发表中存在两个或两个以上的MAC地址时,网络管理系统才检测MAC转发表中的MAC地址是否存在于合法无线网络设备指纹库中,如果MAC转发表中的MAC地址不存在于合法无线网络设备指纹库中,就认为有非法无线设备接入内部网络。但是,当网络端口对应的MAC转发表中只有一个MAC地址时,也就是网络端口只连接有一个设备时,网络管理系统判定网络端口只连接有一个设备的情况是正常情况,默认该网络端口接入的是合法无线网络设备。 [0004] 所以,当内部用户将网络端口原来连接的合法无线网络设备替换为非法无线网络设备时,网络管理系统检测到该网络端口对应的MAC转发表中只存在一个MAC地址,仍然默认该网络端口接入的是合法无线网络设备,从而无法发现接入内部网络全部的非法无线网络设备,降低了发现接入内部网络的非法无线网络设备的准确率,同时,也降低了内部网络信息的安全性。 发明内容[0005] 本发明的实施例提供一种监控网络设备的方法和装置,能够在网络端口只连接有一个设备的情况下,确定该网络端口连接的非法无线网络设备,提高了内部网络信息的安全性。 [0006] 为达到上述目的,本发明的实施例采用如下技术方案: [0007] 第一方面,本发明实施例提供一种监控网络设备的方法,所述方法应用于网络管理系统,所述方法包括: [0008] 获取所述网络管理系统所管理的网络系统中的无线网络设备的基本服务集标识BSSID; [0009] 利用合法无线网络设备指纹库,从获取的所述网络系统中的无线网络设备的BSSID中,确定所述非法无线网络设备的BSSID,所述合法无线网络设备指纹库包括所有所述合法无线网络设备的BSSID,并且所述合法无线网络设备指纹库中不包括所述非法无线网络设备的BSSID; [0010] 获取面向用户的网络端口对应的介质访问控制MAC转发表,所述MAC转发表中包括所述网络端口连接的无线网络设备的MAC地址; [0011] 根据所述非法无线网络设备的BSSID和所述MAC地址确定接入了所述网络端口的非法无线网络设备。 [0012] 结合第一方面,在第一种可能的实现方式中,所述根据所述非法无线网络设备的BSSID和所述MAC地址确定接入了所述网络端口的非法无线网络设备,包括: [0013] 检测所述MAC地址是否与所述非法无线网络设备的BSSID相同; [0014] 若相同,则根据所述MAC地址,确定接入了所述网络端口的非法无线网络设备。 [0015] 结合第一方面,在第二种可能的实现方式中,所述根据所述非法无线网络设备的BSSID和所述MAC地址确定接入了所述网络端口的非法无线网络设备,包括: [0016] 根据最长匹配原则,利用比特位掩码,对所述非法无线网络设备的BSSID和所述MAC地址进行处理,并得到与所述非法无线网络设备的BSSID对应的处理结果,以及与所述MAC地址对应的处理结果; [0017] 检测与所述非法无线网络设备的BSSID对应的处理结果和与所述MAC地址对应的处理结果是否相同; [0018] 若相同,则根据所述MAC地址,确定接入了所述网络端口的非法无线网络设备。 [0019] 结合第一方面,在第三种可能的实现方式中,所述根据所述非法无线网络设备的BSSID和所述MAC地址确定接入了所述网络端口的非法无线网络设备,包括: [0021] 检测所述相似度是否大于等于预设阈值; [0022] 若大于等于所述预设阈值,则根据所述MAC地址,确定接入了所述网络端口的非法无线网络设备。 [0023] 结合第一方面的第一种至第三种可能的实现方式中的任意一种可能的实现方式,在第四种可能的实现方式中,在所述确定非法无线网络设备之后,包括: [0024] 关闭连接有所述非法无线网络设备的所述网络端口。 [0025] 结合第一方面或第一方面的第一种至第四种可能的实现方式中的任意一种可能的实现方式,在第五种可能的实现方式中,在所述确定非法无线网络设备的BSSID之后,还包括: [0026] 获取掩码,并对所述非法无线网络设备的BSSID和所述掩码进行与操作处理,得到处理结果; [0027] 将部分相同的所述处理结果对应的所述非法无线网络设备的BSSID确定为属于一个非法无线网络设备的BSSID; [0028] 检测属于所述一个非法无线网络设备的所有BSSID的数目是否大于等于2,若大于等于2,则保留所述一个非法无线网络设备的一个BSSID。 [0029] 第二方面,本发明实施例提供一种监控网络设备的装置,所述装置应用于网络管理系统,所述装置包括: [0030] 第一获取模块,用于获取所述网络管理系统所管理的网络系统中的无线网络设备的基本服务集标识BSSID; [0031] 第二获取模块,用于利用合法无线网络设备指纹库,从获取的所述网络系统中的无线网络设备的BSSID中,确定所述非法无线网络设备的BSSID,所述合法无线网络设备指纹库包括所有所述合法无线网络设备的BSSID,并且所述合法无线网络设备指纹库中不包括所述非法无线网络设备的BSSID; [0032] 第三获取模块,用于获取面向用户的网络端口对应的介质访问控制MAC转发表,所述MAC转发表中包括所述网络端口连接的无线网络设备的MAC地址; [0033] 第一确定模块,用于根据所述非法无线网络设备的BSSID和所述MAC地址确定接入了所述网络端口的非法无线网络设备。 [0034] 结合第二方面,在第一种可能的实现方式中,所述第一确定模块还用于检测所述MAC地址是否与所述非法无线网络设备的BSSID相同; [0035] 并用于当相同时,根据所述MAC地址,确定接入了所述网络端口的非法无线网络设备。 [0036] 结合第二方面,在第二种可能的实现方式中,所述第一确定模块还用于根据最长匹配原则,利用比特位掩码,对所述非法无线网络设备的BSSID和所述MAC地址进行处理,并得到与所述非法无线网络设备的BSSID对应的处理结果,以及与所述MAC地址对应的处理结果; [0037] 并用于检测与所述非法无线网络设备的BSSID对应的处理结果和与所述MAC地址对应的处理结果是否相同; [0038] 并用于当相同时,根据所述MAC地址,确定接入了所述网络端口的非法无线网络设备。 [0039] 结合第二方面,在第三种可能的实现方式中,所述第一确定模块还用于利用相似度匹配算法,计算所述非法无线网络设备的BSSID和所述MAC地址的相似度; [0040] 并用于检测所述相似度是否大于等于预设阈值; [0041] 并用于当大于等于所述预设阈值时,根据所述MAC地址,确定接入了所述网络端口的非法无线网络设备。 [0042] 结合第二方面的第一种至第三种可能的实现方式中任意一种可能的实现方式,在第四种可能的实现方式中,所述装置包括: [0043] 关闭模块,用于关闭连接有所述非法无线网络设备的所述网络端口。 [0044] 结合第二方面或第二方面的第一种至第四种可能的实现方式中任意一种可能的实现方式,在第五种可能的实现方式中,所述装置还包括: [0045] 处理模块,用于获取掩码,并对所述非法无线网络设备的BSSID和所述掩码进行与操作处理,得到处理结果; [0046] 第二确定模块,用于将部分相同的所述处理结果对应的所述非法无线网络设备的BSSID确定为属于一个非法无线网络设备的BSSID; [0047] 检测模块,用于检测属于所述一个非法无线网络设备的所有BSSID的数目是否大于等于2,当大于等于2时,保留所述一个非法无线网络设备的一个BSSID。 [0048] 本发明实施例提供的一种监控网络设备的方法和装置,能够获取所述网络管理系统所管理的网络系统中的无线网络设备的BSSID(Basic Service Set Identifier,基本服务集标识),利用合法无线网络设备指纹库,从获取的网络系统中的无线网络设备的BSSID中,确定非法无线网络设备的BSSID,获取面向用户的网络端口对应的介质访问控制MAC转发表,根据非法无线网络设备的BSSID,在网络端口对应的MAC转发表中,确定接入了网络端口的非法无线网络设备。与现有技术相比,本方案不依赖MAC转发表中MAC地址的具体个数来判定是否有非法无线网络设备接入网络。而是根据非法无线网络设备的BSSID和网络端口对应的MAC转发表,准确地确定连接有非法无线网络设备的网络端口和非法无线网络设备,在网络端口只连接有一个设备的情况下,也能够确定该网络端口连接的非法无线网络设备,从而提高了内部网络信息的安全性。附图说明 [0049] 为了更清楚地说明本发明实施例中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。 [0050] 图1a为本发明实施例提供的一种监控网络设备的方法的流程图; [0051] 图1b、图1c为本发明实施例提供的检测无线网络设备的BSSID的举例说明示意图; [0052] 图2a、图2b、图2c为本发明实施例提供的一种监控网络设备的方法的一种具体实现方式的流程图; [0053] 图3a、图3b、图3c为本发明实施例提供的一种监控网络设备的方法的另一种具体实现方式的流程图; [0054] 图4为本发明实施例提供的一种监控网络设备的装置的结构示意图; [0055] 图5为本发明实施例提供的一种监控网络设备的装置的一种具体实现方式的结构示意图; [0056] 图6为本发明实施例提供的一种监控网络设备的装置的另一种具体实现方式的结构示意图; [0057] 图7为本发明实施例提供的一种网络管理系统的结构示意图。 具体实施方式[0058] 下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。 [0059] 本发明实施例提供的技术方案应用于监控网络设备,并能够检测网络中存在的非法无线网络设备。在实际应用中,网络中常常接有多种无线网络设备,如无线路由器、手机、平板电脑等,在网络中通过认证或登记过的无线网络设备为合法无线网络设备,而用户私自接入网络,没有经过认证或登记的无线网络设备为非法无线网络设备。本发明实施例中,网络管理系统获取网络系统中的无线网络设备的BSSID(Basic Service Set Identifier,基本服务集标识),并利用合法无线网络设备指纹库,从网络系统中的网络设备的BSSID中,得到非法无线网络设备的BSSID,获取网络端口对应的MAC转发表,根据非法无线网络设备的BSSID,在网络端口对应的MAC转发表中,确定接入了网络端口的非法无线网络设备。 [0060] 本发明实施例提供了一种监控网络设备的方法,如图1a所示,包括: [0061] 101,获取所述网络管理系统所管理的网络系统中的无线网络设备的基本服务集标识BSSID。 [0062] 其中,网络管理系统可以利用空口检测来获取网络系统中的网络设备的BSSID,比如:如图1b所示,有线网络设置监控AP(Access Point,无线接入点),监听网络中的无线网络设备,并解析无线网络设备的无线帧,检测无线网络设备的BSSID;再比如:如图1c所示,由网络中现有的合法AP切换信道检测网络中的无线网络设备。检测到的无线网络设备的BSSID可以由瘦AP(FIT AP)上报给控制器,也可以由胖AP(FAT AP)直接在本地存储。网络管理系统获取无线网络设备的BSSID,可定时从控制器或FAT AP上获取无线网络设备的BSSID;也可以在检测到无线网络设备时触发网络管理系统从控制器或FAT AP上获取无线网络设备的BSSID;还可以由控制器或FAT AP通过UDP(User Datagram Protocol,用户数据包协议)等报文,将无线网络设备的BSSID上报给网络管理系统。网络管理系统获取无线网络设备的BSSID,可以生成无线网络设备的BSSID列表,便于网络管理系统查找。 [0063] 其中,在多组基础型服务网络中,比如:网络中有两组基础型服务,一组供客户访问,另一组供内部使用,因此,需要将已有的AP划分为多个VAP(Virtual Access Point,虚拟接入点),各厂商对同一AP分出的多个VAP的BSSID定义不同,但是都可以得到VAP的BSSID。比如:厂商A的VAP BSSID(Basic Service Set Identifier,BSSID)和有线口MAC的关系:VAP BSSID=有线口MAC+(RadioID*16+WlanID-1),保证AP有线口MAC地址最低5比特为0,有线口MAC地址为:00:04:03:02:01:00,那么射频0上的VAP0~15BSSID为00:04:03:02: 01:00-00:04:03:02:01:0F,射频1上的射频1上的VAP0~15BSSID为00:04:03:02:01:10- 00:04:03:02:01:1F。 [0064] 其中,网络管理系统会定时获取网络端口对应的MAC转发表,相邻两次定时获取相隔的时长与MAC转化表老化时间保持一致。用户可以通过面向用户开放端口指定网络端口指定网络端口,获取这一个网络端口对应的MAC转发表;也可以由网络管理系统通过网络端口类型识别,获取选定的网络端口对应的MAC转发表。并将获取的MAC转发表中的MAC地址存入数据库。比如:如表一所示,数据库中可以包括MAC Address(MAC地址)、VLAN(Virtual Local Area Network,虚拟局域网)、VSI(Virtual Switch Interface,虚拟交换接口)、Learned-From(MAC地址获取位置)Type(地址类型)等信息。 [0065]MAC Address VLAN/VSI Learned-From Type 0022-0022-0033 100/— GE1/0/0 dynamic 0000-0000-0001 —/HW GE1/0/1 dynamic [0066] 表一 [0067] 102,利用合法无线网络设备指纹库,从获取的所述网络系统中的无线网络设备的BSSID中,确定非法无线网络设备的BSSID。 [0068] 本发明实施例所述的合法无线网络设备为经过网络管理系统认证的网络设备,非法网络设备则没有经过网络管理系统的认证。合法无线网络设备指纹库包括所有合法无线网络设备的BSSID,并且合法无线网络设备指纹库中不包括非法无线网络设备的BSSID。合法无线网络设备指纹库可以采用现有技术中的方式建立,本发明实施例对此不再赘述。 [0069] 具体的,网络管理系统可以通过网络管理接口获取AC(Access Controller,无线控制器)管理的合法无线网络设备的BSSID,网络管理接口可以是SNMP(Simple Network Management Protocol,简单网络管理协议)、FTP(File Transfer Protocol,文件传输协议)、Telnet等等;也可以由告警触发从控制器上获取合法无线网络设备的BSSID;还可以由控制器或FAT AP通过UDP等报文上报给网络管理系统。在获取到合法无线网络设备的BSSID后,建立合法无线网络设备指纹库。而且,合法无线网络设备指纹库可以只建立一次,后续过程中,可以定时更新合法无线网络设备指纹库内的合法无线网络设备的BSSID。 [0070] 其中,网络系统中的无线网络设备包括非法无线网络设备,还包括误报为非法无线网络设备的合法无线网络设备。比如:网络中的两个AP为合法无线网络设备,这两个AP在检测非法无线网络设备时,会将对方误认为是非法无线网络设备,从而在后续过程中将这两个AP误判为非法无线网络设备。 [0071] 因此,需要在网络系统中的无线网络设备的BSSID中去除掉合法无线网络设备指纹库中存在的合法无线网络设备的BSSID。在网络系统中的无线网络设备的BSSID中去除掉合法无线网络设备指纹库中存在的合法无线网络设备的BSSID,可以由控制器对接收到的待检测网络设备的BSSID进行过滤,也可以由网络管理系统进行过滤。 [0072] 103,获取面向用户的网络端口对应的介质访问控制MAC转发表。 [0073] 其中,MAC转发表中包括面向用户的网络端口连接的无线网络设备的MAC地址。面向用户的网络端口为用户可接入网络设备的网络端口,例如接入交换机的网络端口,用户可通过该接入交换机的网络端口接入任意的网络设备。 [0074] 104,根据所述非法无线网络设备的BSSID和所述MAC地址确定接入了所述网络端口的非法无线网络设备。 [0075] 其中,根据MAC转发表中的MAC地址和非法无线网络设备的BSSID,可以确定该网络端口连接的设备是否为非法无线网络设备。因为MAC地址用于定义网络设备的位置,所以能够根据非法无线网络设备的MAC地址,确定该网络端口连接的非法无线网络设备的位置。 [0076] 本发明实施例提供的一种监控网络设备的方法,能够获取所述网络管理系统所管理的网络系统中的无线网络设备的BSSID(Basic Service Set Identifier,基本服务集标识),利用合法无线网络设备指纹库,从获取的网络系统中的无线网络设备的BSSID中,确定非法无线网络设备的BSSID,获取面向用户的网络端口对应的介质访问控制MAC转发表,根据非法无线网络设备的BSSID和所述MAC地址确定接入了网络端口的非法无线网络设备。与现有技术相比,本方案不依赖MAC转发表中MAC地址的具体个数来判定是否有非法无线网络设备接入网络。而是根据非法无线网络设备的BSSID和网络端口对应的MAC转发表,准确地确定网络端口连接的非法无线网络设备,在网络端口只连接有一个设备的情况下,也能够判断该设备是否为非法无线网络设备,从而提高了内部网络信息的安全性;同时,在网络端口连接多个设备的情况下,也能够准确的判断网络端口连接的设备是否为非法无线网络设备;而且,网络管理系统定时获取MAC转发表,当网络中新增加了网络设备时,就能够直接获取网络端口与MAC地址的关系,不再需要将每个网络端口与对应的MAC地址进行绑定,使得对网络端口与MAC地址的管理及查询更具有灵活性;而且,为了准确得到非法无线网络设备的BSSID,利用合法无线网络设备指纹库,过滤了可能误报为非法无线网络设备的合法无线网络设备的BSSID,进一步提高了判断非法无线网络设备的正确率。 [0077] 进一步的,在图1a所示的方案的基础上,本发明实施例还提供了一种监控网络设备的方法的具体方案,对图1a所示的方案中的104的执行过程进一步细化,104可以具体实现为1041a和1042a、1041b-1043b或者1041c-1043c,如图2a、2b、2c所示,包括: [0078] 1041a,检测所述MAC地址是否与所述非法无线网络设备的BSSID相同。 [0079] 其中,MAC转发表中包括网络端口连接的设备的MAC地址。非法无线网络设备的种类不同,具体根据非法无线网络设备的BSSID和MAC地址确定接入了网络端口的非法无线网络设备的方式也不同。当非法无线网络设备为低端FATAP类设备时,可以直接检测在网络端口对应的MAC转发表中的MAC地址是否与非法无线网络设备的BSSID相同。低端FAT AP类设备的BSSID与该设备的MAC地址相同,低端FAT AP类设备可以是家用无线路由器等。 [0080] 1042a,若相同,则根据所述MAC地址,确定接入了所述网络端口的非法无线网络设备。 [0081] 其中,与1041a中的检测方式对应,当非法无线网络设备为低端FAT AP类设备时,若在网络端口对应的MAC转发表中的MAC地址与非法无线网络设备的BSSID相同,则根据MAC地址,可以确定接入了面向用户的网络端口的非法无线网络设备。 [0082] 其中,若MAC地址与非法无线网络设备的BSSID不同,则网络端口连接的设备是合法无线网络设备,并没有连接非法无线网络设备。 [0083] 1041b,根据最长匹配原则,利用比特位掩码,对所述非法无线网络设备的BSSID和所述MAC地址进行处理,并得到与所述非法无线网络设备的BSSID对应的处理结果,以及与所述MAC地址对应的处理结果。 [0084] 其中,MAC转发表中包括网络端口连接的设备的MAC地址。非法无线网络设备的种类不同,具体根据非法无线网络设备的BSSID和MAC地址确定接入了网络端口的非法无线网络设备的方式也不同。当非法无线网络设备为高端FAT AP类设备或FIT AP类设备时,可以利用比特位掩码,采用最长匹配原则对非法无线网络设备的BSSID进行处理,得到与非法无线网络设备的BSSID对应的处理结果,并利用比特位掩码,采用最长匹配原则对MAC转发表中的MAC地址进行处理,得到与MAC转发表中的MAC地址对应的处理结果,其中,最短匹配多少位掩码根据用户实际要求进行设定,一般使用0-8位。 [0085] 1042b,检测与所述非法无线网络设备的BSSID对应的处理结果和与所述MAC地址对应的处理结果是否相同。 [0086] 1043b,若相同,则根据所述MAC地址,确定接入了所述网络端口的非法无线网络设备。 [0087] 其中,与1042b中的检测方式对应,当非法无线网络设备为高端FAT AP类设备或FIT AP类设备时,利用比特位掩码,采用最长匹配原则对非法无线网络设备的BSSID和MAC转发表中的MAC地址进行处理,若非法无线网络设备的BSSID对应的处理结果与MAC转发表中的MAC地址对应的处理结果相同,则根据MAC地址,可以确定接入了面向用户的网络端口的非法无线网络设备。 [0088] 其中,若非法无线网络设备的BSSID对应的处理结果和与MAC地址对应的处理结果不同,则网络端口连接的设备是合法无线网络设备,并没有连接非法无线网络设备。 [0089] 1041c,利用相似度匹配算法,计算所述非法无线网络设备的BSSID和所述MAC地址的相似度。 [0090] 其中,MAC转发表中包括网络端口连接的设备的MAC地址。非法无线网络设备的种类不同,具体根据非法无线网络设备的BSSID和MAC地址确定接入了网络端口的非法无线网络设备的方式也不同。当非法无线网络设备为高端FAT AP类设备或FIT AP类设备时,还可以计算非法无线网络设备的BSSID与网络端口对应的MAC转发表中的MAC地址之间的相似度。计算相似度可以使用相似度匹配算法,如:编辑距离算法、最长公共子串算法、贪心字符串匹配算法、RKR-GST(Running Karp-Rabin Greedy String Tiling)等算法。 [0091] 1042c,检测所述相似度是否大于等于预设阈值。 [0092] 其中,预设阈值可以根据历史经验值设定,也可以根据具体情况由用户设定。 [0093] 1043c,若大于等于所述预设阈值,则根据所述MAC地址,确定接入了所述网络端口的非法无线网络设备。 [0094] 其中,与1042c中的检测方式对应,当非法无线网络设备为高端FAT AP类设备或FIT AP类设备时,若非法无线网络设备的BSSID与网络端口对应的MAC转发表中的MAC地址之间的相似度超过预设阈值,则根据MAC地址,可以确定接入了面向用户的网络端口的非法无线网络设备。 [0095] 本发明实施例提供的一种监控网络设备的方法,能够获取所述网络管理系统所管理的网络系统中的无线网络设备的BSSID,利用合法无线网络设备指纹库,从获取的网络系统中的无线网络设备的BSSID中,确定非法无线网络设备的BSSID,获取面向用户的网络端口对应的介质访问控制MAC转发表,根据无线网络设备种类的不同,采用不同的方法来确定网络端口连接的非法无线网络设备。与现有技术相比,本方案不依赖MAC转发表中MAC地址的具体个数来判定是否有非法设备接入网络。而是根据非法无线网络设备的BSSID和网络端口对应的MAC转发表,准确地确定网络端口连接的非法无线网络设备,在网络端口只连接有一个设备的情况下,也能够判断该设备是否为非法无线网络设备,从而提高了内部网络信息的安全性;同时,在网络端口连接多个设备的情况下,也能够准确的判断网络端口连接的设备是否为非法无线网络设备;而且,网络管理系统定时获取MAC转发表,当网络中新增加了网络设备时,就能够直接获取网络端口与MAC地址的关系,不再需要将每个网络端口与对应的MAC地址进行绑定,使得对网络端口与MAC地址的管理及查询更具有灵活性;而且,待检测网络设备的BSSID中存在被误报为非法无线网络设备的BSSID,利用合法无线网络设备指纹库,准确的得到了非法无线网络设备的BSSID,进一步提高了判断非法无线网络设备的正确率。 [0096] 此外,在图2a所示的方案的基础上,本发明实施例还提供了一种监控网络设备的方法的具体方案,在102之后增添了105-108,减少属于同一非法无线网络设备的BSSID数量,也减少了后续确定非法无线网络设备的时间;也可以在1042a之后增添1044,对确定的非法无线网络设备所在的网络端口进行处理,如图3a所示,包括: [0097] 105,获取掩码,并对所述非法无线网络设备的BSSID和所述掩码进行与操作处理,得到处理结果。 [0098] 其中,掩码用于检测多个BSSID是否属于同一个无线网络设备,且掩码可以由用户根据需求设定。一个非法无线网络设备可以只具有一个BSSID,也可以具有至少两个不同的BSSID,同一个无线网络设备的不同的BSSID之间存在掩码关系。在本方案中,为了得到属于同一个非法无线网络设备的所有BSSID,用户一般设定一个掩码来对102中确定的非法无线网络设备进行检测。网络管理系统将102中确定的非法无线网络设备的BSSID与获取的掩码都转换为二进制数串,对这两个二进制数串进行与操作,得到处理结果。 [0099] 106,将部分相同的所述处理结果对应的所述非法无线网络设备的BSSID确定为属于一个非法无线网络设备的BSSID。 [0100] 其中,网络管理系统可以通过对非法无线网络设备的BSSID和掩码进行与操作,来确定同一个非法无线网络设备的不同的BSSID,同一个非法网络设备的不同的BSSID对应的处理结果部分相同,部分相同的处理结果是指后N位二进制数位上的值不同,其他部分的二进制数位上的值相同的处理结果。N的具体取值可以由用户根据需求和精度设定,一般情况下,N的取值在0-8范围内。比如:预先设定N为8,即后8位二进制数位上的值不同,其他部分的二进制数位上的值相同的处理结果对应的BSSID是同一个非法无线网络设备的BSSID。为00:04:03:02:01:00-00:04:03:02:01:1e的BSSID与为FF:FF:FF:FF:FF:00的掩码进行与操作,由于这里的BSSID是用十六进制表示的,为00:04:03:02:01:00-00:04:03:02:01:1e的BSSID的后2位不同,转换为二进制后,就是BSSID的后8位不同,为00:04:03:02:01:00-00: 04:03:02:01:1e的BSSID分别和掩码进行与操作,得到的后8位二进制数位上的值不同,其他部分的二进制数位上的值相同的多个处理结果对应的BSSID是同一个非法无线网络的BSSID,即掩码为00:04:03:02:01:00-00:04:03:02:01:1e的BSSID是属于同一个非法无线网络设备的BSSID。 [0101] 107,检测属于所述一个非法无线网络设备的所有BSSID的数目是否大于等于2; [0102] 其中,一个无线网络设备可能提供多组基础型服务,需要将这一个无线网络设备划分为多个虚拟网络设备,比如:在多组基础型服务网络中,一组基础型服务供客户访问,另一组基础型服务供企业内部使用,则需要将AP划分成多个VAP,每个VAP也具有BSSID。所以,同一个无线网络设备可能会具有多个不同的BSSID,同理,一个非法无线网络设备也可能会具有多个不同的BSSID,在此基础上,检测一个非法无线网络设备是否具有2个或2个以上的BSSID。 [0103] 108,若大于等于2,则保留所述一个非法无线网络设备的一个BSSID。 [0104] 其中,比如:在105例子中,为00:04:03:02:01:00-00:04:03:02:01:1e的BSSID属于同一个非法无线网络设备,只需要保留00:04:03:02:01:00-00:04:03:02:01:1e中的一个BSSID即可。根据保留的这一个BSSID和面向用户的端口的MAC转发表,就可以确定这一个BSSID对应的非法无线网络设备。 [0105] 其中,若属于一个非法无线网络设备的BSSID的数目小于2,即属于一个非法无线网络设备的所有BSSID的数目为一个时,保留这一个非法无线网络设备的这一个BSSID,并利用这一个BSSID和MAC转发表,确定网络端口连接的非法无线网络设备。 [0106] 1044,关闭连接有所述非法无线网络设备的所述网络端口。 [0107] 其中,网络管理系统可以关闭连接有非法无线网络设备的网络端口的服务,比如:确定网络端口A连接有非法无线网络设备,网络管理系统对网络端口A进行shutdown操作,阻止非法无线网络设备连接到网络,同时也可以发出告警,通知网络管理人员。 [0108] 当笔记本或无线网卡等非法无线网络设备作为网络热点接入网络时,网络管理系统可以通过WLAN API(Application Programming Interface,应用程序编程接口)确认笔记本或无线网卡等非法无线网络设备的客户端软件是否开启网络热点,如果开启且与网络连接,则可以直接禁止笔记本或无线网卡等客户端非法无线网络设备接入网络。 [0109] 可选的,结合图3a和图2b的方案,还可以得到如图3b所示的方案;结合图3a和图2c的方案,还可以得到如图3c所示的方案。 [0110] 本发明实施例提供的一种监控网络设备的方法,能够获取所述网络管理系统所管理的网络系统中的无线网络设备的BSSID,利用合法无线网络设备指纹库,从获取的网络系统中的无线网络设备的BSSID中,确定非法无线网络设备的BSSID,利用非法无线网络设备的BSSID和掩码,确定属于一个非法无线网络设备的所有BSSID,检测属于一个非法无线网络设备的所有BSSID的数目是否大于等于2,当大于等于2时,保留一个非法无线网络设备的一个BSSID,获取面向用户的网络端口对应的介质访问控制MAC转发表,根据无线网络设备种类的不同,采用不同的方法来确定接入了所述网络端口的非法无线网络设备,并关闭连接有非法无线网络设备的网络端口。与现有技术相比,本方案不依赖MAC转发表中MAC地址的具体个数来判定是否有非法设备接入网络。而是根据非法无线网络设备的BSSID和网络端口对应的MAC转发表,准确地确定网络端口连接的非法无线网络设备,在网络端口只连接有一个设备的情况下,也能够判断该设备是否为非法无线网络设备,从而提高了内部网络信息的安全性;同时,在网络端口连接多个设备的情况下,也能够准确的判断网络端口连接的设备是否为非法无线网络设备;而且,网络管理系统定时获取MAC转发表,当网络中新增加了网络设备时,就能够直接获取网络端口与MAC地址的关系,不再需要将每个网络端口与对应的MAC地址进行绑定,使得对网络端口与MAC地址的管理及查询更具有灵活性;而且,待检测网络设备的BSSID中存在被误报为非法无线网络设备的BSSID,利用合法无线网络设备指纹库,准确的得到了非法无线网络设备的BSSID,进一步提高了判断非法无线网络设备的正确率;而且,针对具有多个BSSID的非法无线网络设备,只保留非法无线网络设备的一个BSSID,减少了非法无线网络设备的BSSID的数量,从而节省了后续检测和匹配过程中消耗的时间;此外,关闭连接有非法无线网络设备的网络端口,使得非法无线网络设备无法接入网络,及时减小了网络信息安全受到的威胁。 [0111] 本发明实施例还提供了一种监控网络设备的装置200,如图4所示,包括: [0112] 第一获取模块201,用于获取所述网络管理系统所管理的网络系统中的无线网络设备的基本服务集标识BSSID。 [0113] 第二获取模块202,用于利用合法无线网络设备指纹库,从获取的所述网络系统中的无线网络设备的BSSID中,确定所述非法无线网络设备的BSSID。 [0114] 其中,合法无线网络设备指纹库包括所有合法无线网络设备的BSSID,并且合法无线网络设备指纹库中不包括非法无线网络设备的BSSID。 [0115] 第三获取模块203,用于获取面向用户的网络端口对应的介质访问控制MAC转发表. [0116] 其中,MAC转发表中包括网络端口连接的无线网络设备的MAC地址。 [0117] 第一确定模块204,用于根据所述非法无线网络设备的BSSID和所述MAC地址确定接入了所述网络端口的非法无线网络设备。 [0118] 本发明实施例提供的一种监控网络设备的装置,能够获取所述网络管理系统所管理的网络系统中的无线网络设备的BSSID(Basic Service Set Identifier,基本服务集标识),利用合法无线网络设备指纹库,从获取的网络系统中的无线网络设备的BSSID中,确定非法无线网络设备的BSSID,获取面向用户的网络端口对应的介质访问控制MAC转发表,根据非法无线网络设备的BSSID和所述MAC地址确定接入了网络端口的非法无线网络设备。与现有技术相比,本方案不依赖MAC转发表中MAC地址的具体个数来判定是否有非法设备接入网络。而是根据非法无线网络设备的BSSID和网络端口对应的MAC转发表,准确地确定网络端口连接的非法无线网络设备,在网络端口只连接有一个设备的情况下,也能够判断该设备是否为非法无线网络设备,从而提高了内部网络信息的安全性;同时,在网络端口连接多个设备的情况下,也能够准确的判断网络端口连接的设备是否为非法无线网络设备;而且,网络管理系统定时获取MAC转发表,当网络中新增加了网络设备时,就能够直接获取网络端口与MAC地址的关系,不再需要将每个网络端口与对应的MAC地址进行绑定,使得对网络端口与MAC地址的管理及查询更具有灵活性;而且,为了准确得到非法无线网络设备的BSSID,利用合法无线网络设备指纹库,过滤了可能误报为非法无线网络设备的合法无线网络设备的BSSID,进一步提高了判断非法无线网络设备的正确率。 [0119] 进一步的,第一确定模块204还用于检测所述MAC地址是否与所述非法无线网络设备的BSSID相同。 [0120] 并且,第一确定模块204用于当相同时,根据所述MAC地址,确定接入了所述网络端口的非法无线网络设备。 [0121] 可选的,第一确定模块204还用于根据最长匹配原则,利用比特位掩码,对所述非法无线网络设备的BSSID和所述MAC地址进行处理,并得到与所述非法无线网络设备的BSSID对应的处理结果,以及与所述MAC地址对应的处理结果。 [0122] 并且,第一确定模块204用于检测与所述非法无线网络设备的BSSID对应的处理结果和与所述MAC地址对应的处理结果是否相同。 [0123] 并且,第一确定模块204用于当相同时,根据所述MAC地址,确定接入了所述网络端口的非法无线网络设备。 [0124] 可选的,第一确定模块204还用于利用相似度匹配算法,计算所述非法无线网络设备的BSSID和所述MAC地址的相似度。 [0125] 并且,第一确定模块204用于检测所述相似度是否大于等于预设阈值。 [0126] 并且,第一确定模块204用于当大于等于所述预设阈值时,根据所述MAC地址,确定接入了所述网络端口的非法无线网络设备。 [0127] 本发明实施例提供的一种监控网络设备的装置,能够获取所述网络管理系统所管理的网络系统中的无线网络设备的BSSID,利用合法无线网络设备指纹库,从获取的网络系统中的无线网络设备的BSSID中,确定非法无线网络设备的BSSID,获取面向用户的网络端口对应的介质访问控制MAC转发表,根据无线网络设备种类的不同,采用不同的方法来确定接入了所述网络端口的非法无线网络设备。与现有技术相比,本方案不依赖MAC转发表中MAC地址的具体个数来判定是否有非法设备接入网络。而是根据非法无线网络设备的BSSID和网络端口对应的MAC转发表,准确地确定网络端口连接的非法无线网络设备,在网络端口只连接有一个设备的情况下,也能够判断该设备是否为非法无线网络设备,从而提高了内部网络信息的安全性;同时,在网络端口连接多个设备的情况下,也能够准确的判断网络端口连接的设备是否为非法无线网络设备;而且,网络管理系统定时获取MAC转发表,当网络中新增加了网络设备时,就能够直接获取网络端口与MAC地址的关系,不再需要将每个网络端口与对应的MAC地址进行绑定,使得对网络端口与MAC地址的管理及查询更具有灵活性;而且,待检测网络设备的BSSID中存在被误报为非法无线网络设备的BSSID,利用合法无线网络设备指纹库,准确的得到了非法无线网络设备的BSSID,进一步提高了判断非法无线网络设备的正确率。 [0128] 此外,如图5所示,所述装置200还包括: [0129] 关闭模块205,用于关闭连接有所述非法无线网络设备的所述网络端口。 [0130] 本发明实施例提供的一种监控网络设备的方法,能够获取所述网络管理系统所管理的网络系统中的无线网络设备的BSSID,利用合法无线网络设备指纹库,从获取的网络系统中的无线网络设备的BSSID中,确定非法无线网络设备的BSSID,获取面向用户的网络端口对应的介质访问控制MAC转发表,根据无线网络设备种类的不同,采用不同的方法来确定接入了所述网络端口的非法无线网络设备,并关闭连接有非法无线网络设备的网络端口。与现有技术相比,本方案不依赖MAC转发表中MAC地址的具体个数来判定是否有非法设备接入网络。而是根据非法无线网络设备的BSSID和网络端口对应的MAC转发表,准确地确定网络端口连接的非法无线网络设备,在网络端口只连接有一个设备的情况下,也能够判断该设备是否为非法无线网络设备,从而提高了内部网络信息的安全性;同时,在网络端口连接多个设备的情况下,也能够准确的判断网络端口连接的设备是否为非法无线网络设备;而且,网络管理系统定时获取MAC转发表,当网络中新增加了网络设备时,就能够直接获取网络端口与MAC地址的关系,不再需要将每个网络端口与对应的MAC地址进行绑定,使得对网络端口与MAC地址的管理及查询更具有灵活性;而且,待检测网络设备的BSSID中存在被误报为非法无线网络设备的BSSID,利用合法无线网络设备指纹库,准确的得到了非法无线网络设备的BSSID,进一步提高了判断非法无线网络设备的正确率;此外,关闭连接有非法无线网络设备的网络端口,使得非法无线网络设备无法接入网络,及时减小了网络信息安全受到的威胁。 [0131] 此外,如图6所示,所述装置200还包括: [0132] 处理模块206,用于获取掩码,并对所述非法无线网络设备的BSSID和所述掩码进行与操作处理,得到处理结果。 [0133] 第二确定模块207,用于将部分相同的所述处理结果对应的所述非法无线网络设备的BSSID确定为属于一个非法无线网络设备的BSSID。 [0134] 检测模块208,用于检测属于所述一个非法无线网络设备的所有BSSID的数目是否大于等于2,当大于等于2时,保留所述一个非法无线网络设备的一个BSSID。 [0135] 本发明实施例提供的一种监控网络设备的装置,能够获取所述网络管理系统所管理的网络系统中的无线网络设备的BSSID,利用合法无线网络设备指纹库,从获取的网络系统中的无线网络设备的BSSID中,确定非法无线网络设备的BSSID,利用非法无线网络设备的BSSID和掩码,确定属于一个非法无线网络设备的所有BSSID,检测属于一个非法无线网络设备的所有BSSID的数目是否大于等于2,当大于等于2时,保留一个非法无线网络设备的一个BSSID,获取面向用户的网络端口对应的介质访问控制MAC转发表,根据无线网络设备种类的不同,采用不同的方法来确定接入了所述网络端口的非法无线网络设备,并关闭连接有非法无线网络设备的网络端口。与现有技术相比,本方案不依赖MAC转发表中MAC地址的具体个数来判定是否有非法设备接入网络。而是根据非法无线网络设备的BSSID和网络端口对应的MAC转发表,准确地确定网络端口连接的非法无线网络设备,在网络端口只连接有一个设备的情况下,也能够判断该设备是否为非法无线网络设备,从而提高了内部网络信息的安全性;同时,在网络端口连接多个设备的情况下,也能够准确的判断网络端口连接的设备是否为非法无线网络设备;而且,网络管理系统定时获取MAC转发表,当网络中新增加了网络设备时,就能够直接获取网络端口与MAC地址的关系,不再需要将每个网络端口与对应的MAC地址进行绑定,使得对网络端口与MAC地址的管理及查询更具有灵活性;而且,待检测网络设备的BSSID中存在被误报为非法无线网络设备的BSSID,利用合法无线网络设备指纹库,准确的得到了非法无线网络设备的BSSID,进一步提高了判断非法无线网络设备的正确率;而且,针对具有多个BSSID的非法无线网络设备,只保留非法无线网络设备的一个BSSID,减少了非法无线网络设备的BSSID的数量,从而节省了后续检测和匹配过程中消耗的时间;此外,关闭连接有非法无线网络设备的网络端口,使得非法无线网络设备无法接入网络,及时减小了网络信息安全受到的威胁。 [0136] 本发明实施例还提供了一种网络管理系统300,如图7所示,包括:至少一个处理器301,至少一条通信总线302,存储器303,至少一个网络接口304和/或至少一个用户接口 305。通信总线302用于实现这些组件之间的连接通信。可选的,用户接口305用于连接显示器、键盘、鼠标、触摸屏等设备。存储器303可能包含高速RAM(random access memory,随机存储记忆体)存储器,也可能还包括非易失性存储器(non-volatile memory),例如至少一个磁盘存储器。 [0137] 具体的,存储器303用于存储计算机程序。存储器303还可以用于存储网络系统中的无线网络设备的BSSID,还可以用于存储合法无线网络设备指纹库,合法无线网络设备指纹库包括所有合法无线网络设备的BSSID,还可以用于存储非法无线网络设备的BSSID,还可以用于存储面向用户的网络端口对应的MAC转发表。 [0138] 具体的,处理器301用于读取存储器303中的计算机程序,并执行以下操作: [0139] 获取所述网络管理系统所管理的网络系统中的无线网络设备的基本服务集标识BSSID;以及,用于利用合法无线网络设备指纹库,从获取的所述网络系统中的无线网络设备的BSSID中,确定所述非法无线网络设备的BSSID,所述合法无线网络设备指纹库包括所有所述合法无线网络设备的BSSID,并且所述合法无线网络设备指纹库中不包括所述非法无线网络设备的BSSID;以及,用于获取面向用户的网络端口对应的介质访问控制MAC转发表,所述MAC转发表中包括所述网络端口连接的无线网络设备的MAC地址;以及,用于根据所述非法无线网络设备的BSSID和所述MAC地址确定接入了所述网络端口的非法无线网络设备。 [0140] 进一步的,处理器301还用于检测所述MAC地址是否与所述非法无线网络设备的BSSID相同;以及,用于当相同时,根据所述MAC地址,确定接入了所述网络端口的非法无线网络设备。 [0141] 可选的,处理器301还用于根据最长匹配原则,利用比特位掩码,对所述非法无线网络设备的BSSID和所述MAC地址进行处理,并得到与所述非法无线网络设备的BSSID对应的处理结果,以及与所述MAC地址对应的处理结果;以及,用于检测与所述非法无线网络设备的BSSID对应的处理结果和与所述MAC地址对应的处理结果是否相同;以及,用于当相同时,根据所述MAC地址,确定接入了所述网络端口的非法无线网络设备。 [0142] 可选的,处理器301还用于利用相似度匹配算法,计算所述非法无线网络设备的BSSID和所述MAC地址的相似度;以及,用于检测所述相似度是否大于等于预设阈值;以及,用于当大于等于所述预设阈值时,根据所述MAC地址,确定接入了所述网络端口的非法无线网络设备。 [0143] 此外,处理器301还用于关闭连接有所述非法无线网络设备的所述网络端口。 [0144] 此外,处理器301还用于获取掩码,并对所述非法无线网络设备的BSSID和所述掩码进行与操作处理,得到处理结果;以及,用于将部分相同的所述处理结果对应的所述非法无线网络设备的BSSID确定为属于一个非法无线网络设备的BSSID;以及,用于检测属于所述一个非法无线网络设备的所有BSSID的数目是否大于等于2,当大于等于2时,保留所述一个非法无线网络设备的一个BSSID。 [0145] 需要说明的是,处理器301在获取数据,例如BSSID之后,可以将获取的数据存储到存储器303中,或者处理器301在执行操作的过程中产生的中间结果也可以存储到存储器303中,这些是本领域公知的技术,本发明实施例在此不做详细描述。 [0146] 本发明实施例提供的一种网络管理系统,能够获取所述网络管理系统所管理的网络系统中的无线网络设备的BSSID,利用合法无线网络设备指纹库,从获取的网络系统中的无线网络设备的BSSID中,确定非法无线网络设备的BSSID,利用非法无线网络设备的BSSID和掩码,确定属于一个非法无线网络设备的所有BSSID,检测属于一个非法无线网络设备的所有BSSID的数目是否大于等于2,当大于等于2时,保留一个非法无线网络设备的一个BSSID,获取面向用户的网络端口对应的介质访问控制MAC转发表,根据无线网络设备种类的不同,采用不同的方法来确定接入了所述网络端口的非法无线网络设备,并关闭连接有非法无线网络设备的网络端口。与现有技术相比,本方案不依赖MAC转发表中MAC地址的具体个数来判定是否有非法设备接入网络。而是根据非法无线网络设备的BSSID和网络端口对应的MAC转发表,准确地确定网络端口连接的非法无线网络设备,在网络端口只连接有一个设备的情况下,也能够判断该设备是否为非法无线网络设备,从而提高了内部网络信息的安全性;同时,在网络端口连接多个设备的情况下,也能够准确的判断网络端口连接的设备是否为非法无线网络设备;而且,网络管理系统定时获取MAC转发表,当网络中新增加了网络设备时,就能够直接获取网络端口与MAC地址的关系,不再需要将每个网络端口与对应的MAC地址进行绑定,使得对网络端口与MAC地址的管理及查询更具有灵活性;而且,待检测网络设备的BSSID中存在被误报为非法无线网络设备的BSSID,利用合法无线网络设备指纹库,准确的得到了非法无线网络设备的BSSID,进一步提高了判断非法无线网络设备的正确率;此外,关闭连接有非法无线网络设备的网络端口,使得非法无线网络设备无法接入网络,及时减小了网络信息安全受到的威胁。 [0147] 本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于设备实施例而言,由于其基本相似于方法实施例,所以描述得比较简单,相关之处参见方法实施例的部分说明即可。 [0148] 本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random Access Memory,RAM)等。 [0149] 以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。 |
||||||
QQ群二维码
意见反馈
意见反馈