本发明涉及计算机技术领域,尤其涉及防止设备冒用的方法及系统。
背景技术:
目前,哑终端(摄像头、报警、门禁、打印机、视频会议、点钞机等无人值守终端)设备的安全接入主要采用在交换机上做ip/mac地址绑定,实现哑终端设备的网络准入管控。windows或linux操作系统提供了修改设备mac地址的方法,可以人为修改设备ip/mac地址,绕过ip/mac绑定认证,达到非法接入网络的目的。
目前对设备接入感知常用的方法基本是:对于非法设备接入主要通过acl控制其进行网络通信。但是通过acl控制设备的网络通信,对于非法设备伪装、欺骗合法设备无法进行有效的检测。其中,地址解析协议,即arp(addressresolutionprotocol),是根据ip地址获取物理地址的一个tcp/ip协议。当一台主机设备接入网络后会主动广播arp报文,并对收到的arp报文进行解析。arp协议进行地址解析时,首先以广播的形式向广播域内的所有主机发送一个arp请求报文,当广播域内的主机收到请求报文后,检查请求包中的目的地址ip是否与本机ip相同,若不同则丢弃此数据报文,若相同就向源主机发送一个应答报文。应答报文中源ip、mac地址为本机的地址,目的ip、mac地址为请求报文的ip、mac地址。发送请求报文的主机收到应答报文后提取应答报文中的源mac地址,然后进行数据的发送。
因此现有技术还有待于进一步发展。
技术实现要素:
针对上述技术问题,本发明提供了一种防止设备冒用的方法及系统,实现策略查找加速的功能。
本发明实施例的第一方面,提供一种防止设备冒用的方法,所述方法包括:
主机设备向全网设备发送arp请求,接收并解析设备的arp响应;
根据所述arp响应的结果获取到全网的存活设备;
主机设备向所述全网的存活设备发起探测协议,接收探测响应报文并从响应报文中提取设备信息,将所述设备信息与数据库存储的信息对比,根据对比结果判断是否对所述设备实施网络阻断。
可选地,所述设备向全网设备发送arp请求,接收并解析设备的arp响应,包括:
所述主机设备将包含目标ip地址的arp请求广播到全网络上的设备中,接收所述全网络设备反馈的arp响应,根据通讯协议解析全网设备的设备信息,将解析识别结果存入数据库。
可选地,所述根据所述arp响应的结果获取到全网的存活设备,包括:
根据所述arp响应的结果提取全网设备的识别比对信息,将全网设备的识别比对信息固化存储至数据库;
所述识别比对信息包括厂商、型号、序列号、操作系统、开放的端口列表信息。
可选地,所述将所述设备信息与数据库存储的信息对比,根据对比结果判断是否对所述设备实施网络阻断,包括:
以主机设备的唯一识别标识在所述数据库中检索,并比对所述主机设备的识别对比信息是否与所述数据库中的存储信息一致。
可选地,所述的防止设备冒用的方法,还包括构建对比用的所述数据库:
服务端在数据库中查找是否存在当前主机设备的ip;若所述数据库中不存在当前主机设备的ip,则所述服务端将当前主机设备判定为新的合法接入设备,并将其状态更新为合法在线。
本发明实施例的第二方面,提供一种防止设备冒用的系统,所述系统包括:
请求模块,用于主机设备向全网设备发送arp请求,接收并解析设备的arp响应;
获取模块,用于根据所述arp响应的结果获取到全网的存活设备;
实施模块,用于主机设备向所述全网的存活设备发起探测协议,接收探测响应报文并从响应报文中提取设备信息,将所述设备信息与数据库存储的信息对比,根据对比结果判断是否对所述设备实施网络阻断。
可选地,所述请求模块包括:
所述主机设备将包含目标ip地址的arp请求广播到全网络上的设备中,接收所述全网络设备反馈的arp响应,根据通讯协议解析全网设备的设备信息,将解析识别结果存入数据库。
可选地,所述获取模块,包括:
根据所述arp响应的结果提取全网设备的识别比对信息,将全网设备的识别比对信息固化存储至数据库;
所述识别比对信息包括厂商、型号、序列号、操作系统、开放的端口列表信息。
可选地,所述的防止设备冒用的系统,还包括构建模块,用于构建对比用的所述数据库:
服务端在数据库中查找是否存在当前主机设备的ip;若所述数据库中不存在当前主机设备的ip,则所述服务端将当前主机设备判定为新的合法接入设备,并将其状态更新为合法在线。
本发明实施例的第三方面,提供一种计算机可读介质,其上存储有计算机程序,所述程序被处理器执行时实现前述的防止设备冒用的方法。
本发明实施例提供的技术方案,能够实现对所有ip地址化设备进行仿冒检测,彻底杜绝通过ip/mac地址仿冒的网络入侵。
附图说明
图1为本发明实施例中一种防止设备冒用的方法的流程示意图;
图2为本发明实施例中一种防止设备冒用的方法的另一流程示意图;
图3为本发明实施例中一种防止设备冒用的系统的模块框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
请参阅图1,图1为本发明实施例中一种防止设备冒用的方法的一实施例的流程示意图。所述防止设备冒用的方法,包括以下步骤:
步骤s100:主机设备向全网设备发送arp请求,接收并解析设备的arp响应。
所述主机设备构建arp请求,面向全网设备发送,全网设备接收所述arp请求会会反馈信息,主机设备以此确定目标的物理地址;收到返回消息后将该ip地址和物理地址存入本机arp缓存中并保留一定时间,下次请求时直接查询arp缓存以节约资源。
得到全网设备的信息,包括接入设备ip地址、mac地址、协议类型、端口号、报文长度和特征码等。
步骤s200:根据所述arp响应的结果获取到全网的存活设备。
根据所述arp响应的结果提取全网设备的识别比对信息,将全网设备的识别比对信息固化存储至数据库,形成设备信息;所述识别比对信息包括厂商、型号、序列号、操作系统、开放的端口列表信息。
基于步骤s100,向全网存活设备发起协议识别(协议包含但不限于:onvif/snmp/厂商私有协议/端口扫描/lldp等),从响应报文中提取设备的厂商、型号、序列号、操作系统、开放的端口列表信息。然后将识别结果保存至数据库中,进行持久化存储。
步骤s300:主机设备向所述全网的存活设备发起探测协议,接收探测响应报文并从响应报文中提取设备信息,将所述设备信息与数据库存储的信息对比,根据对比结果判断是否对所述设备实施网络阻断。
具体的,以主机设备的唯一识别标识在所述数据库中检索,并比对所述主机设备的识别对比信息是否与所述数据库中的存储信息一致。
根据s200设备识别结果,跟数据库存储的设备信息,以设备唯一标识(包含不限于:ip、mac、序列号)为关键字进行对比。如果ip、mac、厂商、型号、序列号、操作系统、开放端口列表与对应的存储内容一致则判定为合法设备,不一致则判定为设备仿冒,对其实施网络阻断。
本发明采用的技术是主动通过网络协议对在网设备发起扫描,跟网络流量是否经过检测设备没有关系,是一种主动检测技术。能够实现对所有ip地址化设备进行仿冒检测,彻底杜绝通过ip/mac地址仿冒的网络入侵。
发明人发现现有技术中存在中国专利申请201810157440.6-识别设备的方法,采用的是解析网络中流量报文的方式实现,也就是只有非法接入设备的网络报文经过检测设备的时候才能被发现,是一种被动检测技术。本发明采用的技术是主动通过网络协议对在网设备发起扫描,跟网络流量是否经过检测设备没有关系,是一种主动检测技术。从技术先进性上看,本发明技术更优。从安全角度看,本发明支持横向,纵向安全检测与防护,技术更全面,更安全。而专利申请201810157440.6只能检测和防范纵向安全。
与对比文件署组网上存在差异:上述专利只能直路(即串接)部署在核心或汇聚交换机之上,本发明可以旁路部署在网络中的任何位置,不受网络环境的影响。从部署上:本发明更加方便,更容易部署。从可靠性上:专利申请201810157440.6则因为要串接存在单点故障,本发明不存在改问题。从硬件设备的要求上看:专利申请201810157440.6因为要解析网络中的每一个报文,对硬件的要求更高,设备成本更高。且对应大局点部署可能存在性能瓶颈,本发明因为部署的灵活性可以采取分布式计算,分布式部署的方式实现,没有性能瓶颈,理论上没有管理网络上限。
进一步地,在上述步骤s100之前还包括构建对比用的所述数据库:
全网设备均各自向全网设备发送arp请求,接收并解析设备的arp响应;根据所述arp响应的结果获取到全网的存活设备。
在该步骤中,服务端在数据库中查找是否存在当前主机设备的ip;若所述数据库中不存在当前主机设备的ip,则所述服务端将当前主机设备判定为新的合法接入设备,并将其状态更新为合法在线。
所述主机设备将包含目标ip地址的arp请求广播到全网络上的设备中,接收所述全网络设备反馈的arp响应,根据通讯协议解析全网设备的设备信息,将解析识别结果存入数据库。
如图2所示,作为一种简单实例,图2为一种放置设备冒用的方法流程:
首先启动设备识别;依次
发起arp请求;
接收arp响应;
发送他侧协议;
最后解析识别结果,识别后将识别结果入库,存储在数据库,判断识别结果是否与数据库存储的识别信息一致,若不一致则阻断设备网络,若一致则允许设备入网;若解析识别结果故障则重新发起协议识别结果。
如图3所示,本发明实施例的第二方面,提供一种防止设备冒用的系统,所述系统包括:
请求模块100,用于主机设备向全网设备发送arp请求,接收并解析设备的arp响应;
获取模块200,用于根据所述arp响应的结果获取到全网的存活设备;
实施模块300,用于主机设备向所述全网的存活设备发起探测协议,接收探测响应报文并从响应报文中提取设备信息,将所述设备信息与数据库存储的信息对比,根据对比结果判断是否对所述设备实施网络阻断。
可选地,所述请求模块100包括:
所述主机设备将包含目标ip地址的arp请求广播到全网络上的设备中,接收所述全网络设备反馈的arp响应,根据通讯协议解析全网设备的设备信息,将解析识别结果存入数据库。
可选地,所述获取模块200,包括:
根据所述arp响应的结果提取全网设备的识别比对信息,将全网设备的识别比对信息固化存储至数据库;
所述识别比对信息包括厂商、型号、序列号、操作系统、开放的端口列表信息。
可选地,所述的防止设备冒用的系统,还包括构建模块,用于构建对比用的所述数据库:
服务端在数据库中查找是否存在当前主机设备的ip;若所述数据库中不存在当前主机设备的ip,则所述服务端将当前主机设备判定为新的合法接入设备,并将其状态更新为合法在线。
本发明实施例的第三方面,提供一种计算机可读介质,其上存储有计算机程序,所述程序被处理器执行时实现前述的防止设备冒用的方法。
本发明还提供一种计算机可读介质,其上存储有计算机程序,所述程序被处理器执行时实现如图1所示实施例所述的方法。所述计算机可读存储介质可以是u盘、移动硬盘、只读存储器(read-onlymemory,rom)、磁碟或者光盘等各种可以存储程序代码的计算机可读存储介质。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
在本发明所提供的几个实施例中,应该理解到,所揭露的系统和方法,可以通过其它的方式实现。例如,以上所描述的系统实施例仅仅是示意性的。例如,各个单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。
本发明实施例方法中的步骤可以根据实际需要进行顺序调整、合并和删减。本发明实施例系统中的单元可以根据实际需要进行合并、划分和删减。另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以是两个或两个以上单元集成在一个单元中。
该集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分,或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,终端,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。
以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
1.一种防止设备冒用的方法,其特征在于,所述方法包括:
主机设备向全网设备发送arp请求,接收并解析设备的arp响应;
根据所述arp响应的结果获取到全网的存活设备;
主机设备向所述全网的存活设备发起探测协议,接收探测响应报文并从响应报文中提取设备信息,将所述设备信息与数据库存储的信息对比,根据对比结果判断是否对所述设备实施网络阻断。
2.根据权利要求1所述的防止设备冒用的方法,其特征在于,所述设备向全网设备发送arp请求,接收并解析设备的arp响应,包括:
所述主机设备将包含目标ip地址的arp请求广播到全网络上的设备中,接收所述全网络设备反馈的arp响应,根据通讯协议解析全网设备的设备信息,将解析识别结果存入数据库。
3.根据权利要求2所述的防止设备冒用的方法,其特征在于,所述根据所述arp响应的结果获取到全网的存活设备,包括:
根据所述arp响应的结果提取全网设备的识别比对信息,将全网设备的识别比对信息固化存储至数据库;
所述识别比对信息包括厂商、型号、序列号、操作系统、开放的端口列表信息。
4.根据权利要求1所述的防止设备冒用的方法,其特征在于,所述将所述设备信息与数据库存储的信息对比,根据对比结果判断是否对所述设备实施网络阻断,包括:
以主机设备的唯一识别标识在所述数据库中检索,并比对所述主机设备的识别对比信息是否与所述数据库中的存储信息一致。
5.根据权利要求4所述的防止设备冒用的方法,其特征在于,还包括构建对比用的所述数据库:
服务端在数据库中查找是否存在当前主机设备的ip;若所述数据库中不存在当前主机设备的ip,则所述服务端将当前主机设备判定为新的合法接入设备,并将其状态更新为合法在线。
6.一种防止设备冒用的系统,其特征在于,所述系统包括:
请求模块,用于主机设备向全网设备发送arp请求,接收并解析设备的arp响应;
获取模块,用于根据所述arp响应的结果获取到全网的存活设备;
实施模块,用于主机设备向所述全网的存活设备发起探测协议,接收探测响应报文并从响应报文中提取设备信息,将所述设备信息与数据库存储的信息对比,根据对比结果判断是否对所述设备实施网络阻断。
7.根据权利要求6所述的防止设备冒用的系统,其特征在于,所述请求模块包括:
所述主机设备将包含目标ip地址的arp请求广播到全网络上的设备中,接收所述全网络设备反馈的arp响应,根据通讯协议解析全网设备的设备信息,将解析识别结果存入数据库。
8.根据权利要求7所述的防止设备冒用的系统,其特征在于,所述获取模块,包括:
根据所述arp响应的结果提取全网设备的识别比对信息,将全网设备的识别比对信息固化存储至数据库;
所述识别比对信息包括厂商、型号、序列号、操作系统、开放的端口列表信息。
9.根据权利要求6所述的防止设备冒用的系统,其特征在于,还包括构建模块,用于构建对比用的所述数据库:
服务端在数据库中查找是否存在当前主机设备的ip;若所述数据库中不存在当前主机设备的ip,则所述服务端将当前主机设备判定为新的合法接入设备,并将其状态更新为合法在线。
10.一种计算机可读介质,其上存储有计算机程序,其特征在于,所述程序被处理器执行时实现如权利要求1-5中任一所述的方法。
技术总结