一種智能發(fā)現(xiàn)和定位地址轉(zhuǎn)換設備的方法
【專利說明】
【技術領域】
[0001]本發(fā)明涉及專用網(wǎng)絡邊界管理控制的技術領域����,特別涉及一種智能發(fā)現(xiàn)和定位地址轉(zhuǎn)換設備的方法�。
【【背景技術】】
[0002]在網(wǎng)絡應用的深入發(fā)展和技術進步的同時,非法訪問���、惡意攻擊���、病毒傳播等網(wǎng)絡安全威脅也越來越嚴重。在規(guī)模越來越龐大�����,結(jié)構越來越復雜的專用網(wǎng)絡環(huán)境下�����,很多用戶為了方便設備接入或是逃避監(jiān)管����,將終端電腦通過地址轉(zhuǎn)換設備(NET設備)私自接入到管控網(wǎng)絡當中,并且未經(jīng)授權訪問內(nèi)部網(wǎng)絡資源。而現(xiàn)階段的網(wǎng)絡監(jiān)測管理手段無法及時有效的發(fā)現(xiàn)此類接入行為���,更無法對接入的終端設備進行定位和控制���,且這種違規(guī)行為改變了整個網(wǎng)絡的拓撲結(jié)構,使整個網(wǎng)絡處于不完整監(jiān)管狀態(tài)����,從而無法及時掌握網(wǎng)絡邊界結(jié)構的變化情況,內(nèi)部網(wǎng)絡資源信息存在極大的安全隱患����,極易帶來不良后果。
[0003]為了提高網(wǎng)絡安全��,加強專用網(wǎng)絡環(huán)境下的信息安全����,杜絕通過NET設備私自搭建網(wǎng)中網(wǎng)和未授權設備接入的問題,增強管理員對專用網(wǎng)絡邊界的可控性和可管性��,并實現(xiàn)對NET設備的自動識別和位置定位��,有必要提出一種智能發(fā)現(xiàn)和定位地址轉(zhuǎn)換設備的方法���。
【
【發(fā)明內(nèi)容】
】
[0004]本發(fā)明的目的在于克服上述現(xiàn)有技術的不足���,提供一種智能發(fā)現(xiàn)和定位地址轉(zhuǎn)換設備的方法,其旨在解決現(xiàn)有技術中NET設備私自搭建網(wǎng)中網(wǎng)和未授權設備接入�����,專用網(wǎng)絡邊界的可控性和可管性較差的技術問題��。
[0005]為實現(xiàn)上述目的��,本發(fā)明提出了一種智能發(fā)現(xiàn)和定位地址轉(zhuǎn)換設備的方法��,其基于在管控網(wǎng)絡的核心交換機上旁路一個監(jiān)測設備硬件�,所述的監(jiān)測設備硬件內(nèi)部嵌入核心監(jiān)測程序、數(shù)據(jù)分析程序和設備掃描程序���,所述的核心監(jiān)測程序?qū)崟r將通過核心交換機的所有通信數(shù)據(jù)包鏡像至本地服務器�����,所述的數(shù)據(jù)分析程序?qū)︾R像至本地服務器的通信數(shù)據(jù)包進行拆包并采集特征信息��,通過已有的NET設備特征分析模型對所采集的數(shù)據(jù)特征信息進行建模和特征差異性分析��,分析出可疑NET設備的IP地址����,所述的設備掃描程序?qū)梢蒒ET設備進行自主掃描,直接獲取可疑NET設備的信息����,具體步驟如下:
[0006]A)、鏡像獲取網(wǎng)絡數(shù)據(jù)包:核心交換機上旁路的監(jiān)測設備硬件啟動核心監(jiān)測程序���,將通過核心交換機的所有通信數(shù)據(jù)包鏡像一份至本地服務器�����;
[0007]B)�、解析通信數(shù)據(jù)包:監(jiān)測設備硬件內(nèi)的數(shù)據(jù)分析程序?qū)︾R像至本地服務器的通信數(shù)據(jù)包進行拆包分析����,并采集通信數(shù)據(jù)包的特征信息,所述特征信息包括請求源IP地址���、源端口��、目的端口�、通信協(xié)議類型;
[0008]C)�、分析特征信息:數(shù)據(jù)分析程序根據(jù)已有的NET設備特征分析模型對采集的通信數(shù)據(jù),包括通信數(shù)據(jù)的協(xié)議信息�、IP地址、端口號以及內(nèi)容特征信息��,進行建模和特征差異性分析�,分析出可疑的NET設備IP地址�;
[0009]D)、設備掃描:在分析出并鎖定可疑NET設備的IP地址后��,監(jiān)測設備硬件內(nèi)部的設備掃描程序主動對該IP地址的可疑NET設備進行掃描�,直接獲取該可疑NET設備的相關信息;
[0010]E)、進行設備確認:通過設備掃描獲取的硬件特征信息確認該設備類型����,如果確認為NET設備,轉(zhuǎn)至步驟G);如果確認不是NET設備��,則回轉(zhuǎn)至步驟E);
[0011]F)��、再次核對:將當前被識別的NET設備同歷史數(shù)據(jù)進行對比�����,若該NET設備特征信息多次出現(xiàn),進行相似度權值累加處理�;如果該NET設備特征信息在歷史數(shù)據(jù)中未曾出現(xiàn),進行相似度權值累減處理�����;
[0012]G)���、精確識別NET設備:通過對NET設備的相似度權值的賦值計算����,提高并發(fā)現(xiàn)NET設備的精確度�。
[0013]作為優(yōu)選,所述步驟B)中的通信協(xié)議類型包括傳輸協(xié)議和應用層協(xié)議����。
[0014]作為優(yōu)選,所述步驟C)中的特征差異性分析包括應用協(xié)議差異性分析���、操作系統(tǒng)差異性分析和應用特征差異性分析���。
[0015]作為優(yōu)選,所述步驟D)中可疑NET設備的相關信息包括可疑NET設備的系統(tǒng)信息����、硬件信息和廠商信息���。
[0016]作為優(yōu)選,所述步驟E)中可疑NET設備的信息包括設備系統(tǒng)信息��、硬件信息����、出廠商信息。
[0017]作為優(yōu)選���,所述步驟E)中設備確認是通過當前NET設備信息與未確認之前所獲得的該設備的相關信息進行匹配。
[0018]作為優(yōu)選���,所述匹配對象包括操作系統(tǒng)類型����、端口�����、協(xié)議類型特征信息�����。
[0019]本發(fā)明的有益效果:與現(xiàn)有技術相比,本發(fā)明提供的一種智能發(fā)現(xiàn)和定位地址轉(zhuǎn)換設備的方法���,具有如下優(yōu)點:①NET設備自動發(fā)現(xiàn):傳統(tǒng)網(wǎng)絡設備管理大部分是基于資產(chǎn)人工報備的方式����,被動且不可動態(tài)監(jiān)管����,而本方法可在管轄網(wǎng)絡內(nèi)通過通信數(shù)據(jù)包特征信息等內(nèi)容分析,自動發(fā)現(xiàn)和定位NET設備��,實現(xiàn)對網(wǎng)絡邊界動態(tài)監(jiān)管目的設備特征建模分析:利用網(wǎng)絡數(shù)據(jù)包分析技術��、特征建模分析技術���,對經(jīng)過NET設備轉(zhuǎn)換的通信數(shù)據(jù)特征內(nèi)容進行大數(shù)據(jù)綜合分析����,及時發(fā)現(xiàn)NET設備���;③相似度加權算法:通過對特征的疊加����、歷史數(shù)據(jù)的比對和計算,實現(xiàn)對NET設備相似度的賦值計算����,提高發(fā)現(xiàn)的精確度,可準確并及早剔除NET設備�。本發(fā)明一種智能發(fā)現(xiàn)和定位地址轉(zhuǎn)換設備的方法,實現(xiàn)專用網(wǎng)絡邊界的高效可控性和可管性��,加強了專用網(wǎng)絡環(huán)境下的信息安全���。
[0020]本發(fā)明的特征及優(yōu)點將通過實施例結(jié)合附圖進行詳細說明�����。
【【附圖說明】】
[0021]圖1是本發(fā)明一種智能發(fā)現(xiàn)和定位地址轉(zhuǎn)換設備的方法的流程示意圖。
【【具體實施方式】】
[0022]為使本發(fā)明的目的���、技術方案和優(yōu)點更加清楚明了�,下面通過附圖中及實施例�,對本發(fā)明進行進一步詳細說明。但是應該理解����,此處所描述的具體實施例僅僅用以解釋本發(fā)明����,并不用于限制本發(fā)明的范圍�����。此外��,在以下說明中�,省略了對公知結(jié)構和技術的描述,以避免不必要地混淆本發(fā)明的概念�����。
[0023]參閱圖1���,本發(fā)明實施例提供一種智能發(fā)現(xiàn)和定位地址轉(zhuǎn)換設備的方法��,其基于在管控網(wǎng)絡的核心交換機上旁路一個監(jiān)測設備硬件�����,所述的監(jiān)測設備硬件內(nèi)部嵌入核心監(jiān)測程序����、數(shù)據(jù)分析程序和設備掃描程序,所述的核心監(jiān)測程序?qū)崟r將通過核心交換機的所有通信數(shù)據(jù)包鏡像至本地服務器���,所述的數(shù)據(jù)分析程序?qū)︾R像至本地服務器的通信數(shù)據(jù)包進行拆包并采集特征信息��,通過已有的NET設備特征分析模型對所采集的數(shù)據(jù)特征信息進行建模和特征差異性分析�����,并分析出可疑NET設備的IP地址�,所述的設備掃描程序?qū)梢蒒ET設備進行自主掃描�,直接獲取可疑NET設備的信息。
[0024]通過核心監(jiān)測程序?qū)崿F(xiàn)管轄網(wǎng)絡邊界的動態(tài)監(jiān)管��,改善了目前傳統(tǒng)網(wǎng)絡設備管理大部分是基于資產(chǎn)人工報備的方式����,被動且不可動態(tài)監(jiān)管的現(xiàn)狀�,提高了網(wǎng)絡監(jiān)管的實時性,提高了專用網(wǎng)絡的穩(wěn)定性�,通過數(shù)據(jù)分析程序?qū)崿F(xiàn)對所有數(shù)據(jù)進行解析,逐一篩選排查后,分析出可疑的NET設備的IP地址��,通過設備掃描程序?qū)梢蒊P地址所屬的設備進行自主掃描����,通過匹配后確定當前的設備是否為NET設備。核心監(jiān)測程序�����、數(shù)據(jù)分析程序和設備掃描程序三者聯(lián)動�����,自動監(jiān)測�����、分析并定位����,實現(xiàn)專用網(wǎng)絡邊界的高效可控性和可管性,加強了專用網(wǎng)絡環(huán)境下的信息安全�。
[0025]具體步驟如下:
[0026]A)、鏡像獲取網(wǎng)絡數(shù)據(jù)包:核心交換機上旁路的監(jiān)測設備硬件啟動核心監(jiān)測程序��,將通過核心交換機的所有通信數(shù)據(jù)包鏡像一份至本地服務器。
[0027]B)����、解析通信數(shù)據(jù)包:監(jiān)測設備硬件內(nèi)的數(shù)據(jù)分析