一種網絡中新增設備的檢測方法和裝置制造方法
【專利摘要】本發(fā)明提供一種網絡中新增設備的檢測方法及裝置,其中方法包括:對網絡中的設備進行檢查����,發(fā)現(xiàn)新增設備;對所述新增設備進行漏洞掃描���,確認所述新增設備是否存在漏洞���;若所述新增設備存在漏洞,調用防火墻對所述新增設備的訪問控制策略進行檢測����,若確認所述漏洞能被外部利用���,則發(fā)出告警信息。本發(fā)明的方案可以避免新發(fā)現(xiàn)設備被攻擊者從外部利用����。
【專利說明】一種網絡中新增設備的檢測方法和裝置
【技術領域】
[0001]本發(fā)明涉及通信領域,特別是指一種網絡中新增設備的檢測方法和裝置�����。
【背景技術】
[0002]為了保護內網的安全���,防火墻、漏洞掃描����、設備發(fā)現(xiàn)等技術是當前常用安全設備。其中防火墻作為網絡安全的第一道防線����,通常部署在內外網之間,對進出內網的連接進行訪問控制��;漏洞掃描設備可檢測內網主機的脆弱性,提示安全管理人員進行系統(tǒng)升級和針對漏洞的攻擊防范��;設備發(fā)現(xiàn)工具可檢測新接入內網的主機�����,提示安全管理人員對接入主機的合規(guī)性進行審查�,避免內網信息泄露。除了上述安全設備之外����,內網中還經常使用入侵檢測系統(tǒng)、安全審計系統(tǒng)�����、終端安全等設備��,各個設備功能單一����,獨立運行,共同承擔內網安全的保護工作����。
[0003]現(xiàn)有技術中���,對內網的安全檢測,通常通過防火墻進行進出內網與外網之間的報文檢測�,其中檢測包括入侵檢測、防病毒和內容過濾�����,這些功能對計算資源占用大�����,會影響防火墻的性能�����。對進入內網的新增設備的發(fā)現(xiàn)和檢測�����,防火墻并不能做到安全保護���,設備發(fā)現(xiàn)工具只能發(fā)現(xiàn)內網的新增設備,但不能對新增設備做到有效的安全檢測����。
【發(fā)明內容】
[0004]本發(fā)明要解決的技術問題是提供一種內網新增設備的檢測方法和裝置�����,避免新發(fā)現(xiàn)設備被攻擊者從外部利用��。
[0005]為解決上述技術問題����,本發(fā)明的實施例提供一種網絡中新增設備的檢測方法����,包括:
[0006]對網絡中的設備進行檢查,發(fā)現(xiàn)新增設備�;
[0007]對所述新增設備進行漏洞掃描,確認所述新增設備是否存在漏洞�����;
[0008]若所述新增設備存在漏洞�,調用防火墻對所述新增設備的訪問控制策略進行檢測,若確認所述漏洞能被外部利用���,則發(fā)出告警信息���。
[0009]其中����,發(fā)現(xiàn)新增設備的步驟包括:
[0010]獲取網絡的新設備列表����;
[0011]根據所述新設備列表和網絡的已有設備列表,發(fā)現(xiàn)新增設備��。
[0012]其中�,所述獲取網絡的新設備列表的步驟包括:
[0013]采集所述網絡中交換機的流量信息;所述流量信息包括:所述網絡的主機發(fā)出的地址解析協(xié)議ARP請求報文���、ARP請求報文的回應報文以及五元組流量統(tǒng)計信息�;
[0014]根據所述ARP請求報文或者所述ARP請求報文的回應報文生成所述新設備列表�,所述新設備列表中包括:設備的IP地址��、MAC地址以及更新時間��。
[0015]其中��,所述獲取網絡的新設備列表的步驟包括:
[0016]利用漏洞掃描工具對所述網絡中的設備進行掃描����,獲取所述新設備列表�,所述新設備列表中包括:設備的IP地址�����、MAC地址以及更新時間�。[0017]其中,根據所述新設備列表和網絡的已有設備列表�����,發(fā)現(xiàn)新增設備的步驟包括:
[0018] 從所述新設備列表中提取一個設備的IP地址和所述IP地址對應的MAC地址�����,如果所述MAC地址首次出現(xiàn)在所述已有設備列表中��,��,或者當前時間與所述MAC地址在資產列表中的更新時間的時間差超過了預設閾值��,則所述MAC地址對應的設備為新增設備���。
[0019]其中��,若所述新增設備存在漏洞���,調用防火墻對所述新增設備的訪問控制策略進行檢測的步驟包括:
[0020]將具有漏洞的新增設備的IP地址及該漏洞所對應服務的端口號���,發(fā)給防火墻,使所述防火墻對所述端口號的訪問控制策略進行檢測���。
[0021]本發(fā)明的實施例還提供一種網絡中新增設備的檢測裝置�����,包括:
[0022]發(fā)現(xiàn)模塊,用于對網絡中的設備進行檢查����,發(fā)現(xiàn)新增設備;
[0023]掃描模塊�,用于對所述新增設備進行漏洞掃描��,確認所述新增設備是否存在漏洞;
[0024]告警模塊���,用于在所述新增設備存在漏洞時�����,調用防火墻對所述新增設備的訪問控制策略進行檢測��,若確認所述漏洞能被外部利用�����,則發(fā)出告警信息���。
[0025]其中,所述發(fā)現(xiàn)模塊包括:
[0026]獲取模塊,用于獲取新設備列表��;
[0027]發(fā)現(xiàn)子模塊���,用于根據所述新設備列表和網絡的已有設備列表,發(fā)現(xiàn)新增設備���。
[0028]其中���,所述獲取模塊包括:
[0029]采集模塊,用于采集所述網絡中交換機的流量信息;所述流量信息包括:所述網絡的主機發(fā)出的地址解析協(xié)議ARP請求報文、ARP請求報文的回應報文以及五元組流量統(tǒng)計信息���;
[0030]分析模塊,用于根據所述ARP請求報文或者所述ARP請求報文的回應報文生成所述新設備列表�,所述新設備列表中包括:設備的IP地址、MAC地址以及更新時間�����。
[0031]其中�����,所述獲取模塊具體用于:利用漏洞掃描工具對所述網絡中的設備進行掃描,獲取所述新設備列表�,所述新設備列表中包括:設備的IP地址����、MAC地址以及更新時間。
[0032]其中���,所述發(fā)現(xiàn)子模塊具體用于:從所述新設備列表中提取一個設備的IP地址和所述IP地址對應的MAC地址���,如果所述MAC地址首次出現(xiàn)在所述已有設備列表中���,或者當前時間與所述MAC地址在資產列表中的更新時間的時間差超過了預設閾值���,則所述MAC地址對應的設備為新增設備。
[0033]其中,所述告警模塊具體用于:在所述新增設備存在漏洞時,將具有漏洞的新增設備的IP地址及該漏洞所對應服務的端口號��,發(fā)給防火墻�����,使所述防火墻對所述端口號的訪問控制策略進行檢測����,若確認所述漏洞能被外部利用,則發(fā)出告警信息���。
[0034]本發(fā)明的上述技術方案的有益效果如下:
[0035]上述方案中���,通過對網絡中的設備進行檢查�����,發(fā)現(xiàn)新增設備����;對所述新增設備進行漏洞掃描�,確認所述新增設備是否存在漏洞���;若所述新增設備存在漏洞,調用防火墻對所述新增設備的訪問控制策略進行檢測����,若確認所述漏洞能被外部利用,則發(fā)出告警信息����;將設備發(fā)現(xiàn)、漏洞掃描、防火墻檢查組成了一個有機的整體����,從而避免新發(fā)現(xiàn)設備被攻擊者從外部利用?�!緦@綀D】
【附圖說明】
[0036]圖1為本發(fā)明的網絡中新增設備的檢測方法的流程示意圖�;
[0037]圖2為圖1所示流程的第一實現(xiàn)方式流程圖;
[0038]圖3為圖1所示流程的第二實現(xiàn)方式流程圖��;
[0039]圖4為本發(fā)明的網絡中新增設備的檢測裝置的結構示意圖����。
【具體實施方式】
[0040]為使本發(fā)明要解決的技術問題、技術方案和優(yōu)點更加清楚�����,下面將結合附圖及具體實施例進行詳細描述���。
[0041] 如圖1所示,本發(fā)明的實施例提供一種網絡中新增設備的檢測方法�,包括:
[0042]步驟11,對網絡中的設備進行檢查�����,發(fā)現(xiàn)新增設備;
[0043]步驟12����,對所述新增設備進行漏洞掃描,確認所述新增設備是否存在漏洞��;
[0044]步驟13�,若所述新增設備存在漏洞,調用防火墻對所述新增設備的訪問控制策略進行檢測�,若確認所述漏洞能被外部利用,則發(fā)出告警信息��。
[0045]該實施例將設備發(fā)現(xiàn)�����、漏洞掃描��、防火墻檢查組成了一個有機的整體��,從而避免新發(fā)現(xiàn)設備被攻擊者從外部利用��。
[0046]在本發(fā)明的另一實施例中����,包括上述步驟11 - 13的基礎上�,步驟11包括:
[0047]步驟111�,獲取新設備列表;其中�����,該新設備列表是在該已有設備列表的基礎上更新得到的�����;
[0048]步驟112�����,根據所述新設備列表和網絡的已有設備列表�����,發(fā)現(xiàn)新增設備��。
[0049]其中�,上述步驟111的第一種實現(xiàn)方式:
[0050]步驟111的第一種實現(xiàn)方式包括:
[0051]步驟1111,采集所述網絡中交換機的流量信息�;所述流量信息包括:所述網絡的主機發(fā)出的地址解析協(xié)議ARP請求報文,該流量信息中還可以進一步包括:ARP請求報文的回應報文���,以及基于五元組(源IP地址�����,源端口���,目的IP地址,目的端口����,協(xié)議類型)的流量統(tǒng)計信息等;
[0052]步驟1112��,根據所述ARP請求報文或者ARP請求報文的回應報文生成所述新設備列表���,所述新設備列表中包括:設備的IP地址��、MAC地址以及更新時間等屬性信息�。
[0053]進一步地,上述步驟112包括:
[0054]從所述新設備列表中提取一個設備的IP地址和所述IP地址對應的MAC地址���,如果所述MAC地址首次出現(xiàn)在所述已有設備列表中�,或者當前時間與所述MAC地址在資產列表中的更新時間的時間差超過了預設閾值,則所述MAC地址對應的設備為新增設備�����。
[0055]其中�,上述步驟13中:若所述新增設備存在漏洞,將具有漏洞的新增設備的IP地址及該漏洞所對應服務的端口號�����,發(fā)給防火墻�����,使所述防火墻的配置檢查工具對所述新增設備的所述漏洞所對應服務的端口號的訪問控制策略進行檢測����。
[0056]下面結合具體的流程說明上述步驟111的第一種實現(xiàn)方式的具體實現(xiàn)流程:
[0057]步驟101:采集交換機流量信息,包括但不限于:內網主機發(fā)出的ARP請求和ARP回應報文���,基于五元組(源IP地址�,源端口�����,目的IP地址,目的端口�,協(xié)議類型)的流量統(tǒng)計信息;[0058]步驟102:通過分析ARP請求報文��,發(fā)現(xiàn)新設備�;具體的:
[0059]首先維護資產列表(本發(fā)明的實施例中的資產列表也稱作設備列表)��,所述資產列表包括但不限于:資產IP地址����、資產MAC地址、更新時間等設備屬性信息���,其中�,維護資產列表即是對已有資產列表進行更新����,得到一新資產列表;當然也可以通過分析ARP請求報文或者ARP回應報文自動生成�����;
[0060]然后從ARP請求報文中提取了一個IP地址和該IP地址對應的MAC地址���,如果所述MAC地址第一次出現(xiàn)在已有資產列表中�,或者當前時間與所述MAC地址在已有資產列表中的更新時間的時間差超過了設定的閾值,則所述MAC地址對應的資產即為新增設備���;反之所述MAC地址對應的資產為已有資產�����,用當前時間更新資產列表中所述MAC地址對應的更新時間���;
[0061]步驟103:調用漏掃工具掃描新增設備,包括:利用新增設備的IP地址����,生成新的掃描任務,將掃描任務下發(fā)到漏掃工具�;
[0062]步驟104:通過漏洞掃描發(fā)現(xiàn)新增設備的漏洞信息,如果所述新增設備存在漏洞則轉步驟105���,否則結束�����;
[0063]步驟105:調用防火墻配置檢查工具��;具體包括:將含有漏洞的新設備的IP地址��,及該漏洞所對應服務的端口號����,發(fā)給防火墻配置檢查工具;
[0064]步驟106:根據防火墻配置檢查結果確認漏洞能否被外部利用�,如果新設備上存在的漏洞能夠被外部利用���,則發(fā)出高危報警�,提示安全管理人員進行系統(tǒng)升級��,或調整防火墻策略��;如果不能被外部利用��,則發(fā)出中度報警�,提示安全管理人員進行系統(tǒng)升級。
[0065]其中����,上述步驟111的第二種實現(xiàn)方式:
[0066]步驟1113,利用漏洞掃描工具對所述網絡中的設備進行掃描���,獲取所述新設備列表���,所述新設備列表中包括:設備的IP地址�、MAC地址以及更新時間屬性信息��。
[0067]進一步地�����,上述步驟112包括:
[0068]從所述新設備列表中提取一個設備的IP地址和所述IP地址對應的MAC地址��,如果所述MAC地址首次出現(xiàn)在所述已有設備列表中���,或者當前時間與所述MAC地址在資產列表中的更新時間的時間差超過了預設閾值�����,則所述MAC地址對應的設備為新增設備��。
[0069]其中�,上述步驟13中:若所述新增設備存在漏洞���,將具有漏洞的新增設備的IP地址及該漏洞所對應服務的端口號�,發(fā)給防火墻,使所述防火墻的配置檢查工具對所述新增設備的所述漏洞所對應服務的端口號的訪問控制策略進行檢測�。
[0070]下面結合具體的流程說明上述步驟111的第二種實現(xiàn)方式的具體實現(xiàn)流程:
[0071]步驟201:直接通過漏洞掃描工具發(fā)現(xiàn)新設備,包括:通過手動或自動的方式生成掃描任務��,掃描范圍為內網整個網段�����;將掃描得到的新資產列表與步驟已有資產列表進行比較��;如果一個MAC地址第一次出現(xiàn)�,或者掃描時間與所述IP地址在資產列表中的更新時間的時間差超過了設定的閾值��,則所述MAC地址對應的資產即為新增設備�����;反之所述MAC地址對應的資產為已有資產���,用掃描時間更新資產列表中所述IP地址對應的更新時間�。
[0072]步驟202:從漏洞掃描結果中提取新增設備的漏洞信息����。如果所述新設備存在漏洞則轉步驟107�����,否則結束��;
[0073]步驟203:調用防火墻配置檢查工具�;具體包括:將含有漏洞的新設備的IP地址�����,及該漏洞所對應服務的端口號��,發(fā)給防火墻配置檢查工具����;[0074]步驟204:根據防火墻配置檢查結果確認漏洞能否被外部利用,如果新設備上存在的漏洞能夠被外部利用�����,則發(fā)出高危報警�����,提示安全管理人員進行系統(tǒng)升級,或調整防火墻策略���;如果不能被外部利用�����,則發(fā)出中度報警�,提示安全管理人員進行系統(tǒng)升級�����。
[0075]本發(fā)明的上述實施例中���,將設備發(fā)現(xiàn)����、漏洞掃描��、防火墻配置檢查組成了一個有機的整體����。在發(fā)現(xiàn)新增設備后�,能夠將新增設備IP地址信息傳送至漏洞掃描模塊��,并檢查該新增設備上是否存在漏洞���;對于存在漏洞的新增設備,能夠將存在漏洞新增設備的IP地址信息��、漏洞對應的端口信息傳送至防火墻��,判斷防火墻是否能夠阻止外部對新增設備漏洞的利用����,并根據判斷結果產生報警信息,從而避免新增設備被攻擊者從外部利用���;且采用主動掃描(上述步驟111的第二種實現(xiàn)方式)與被動監(jiān)聽(上述步驟111的第一種實現(xiàn))的相結合的方式檢查內網中是否存在新增設備�,避免了現(xiàn)有技術中僅依靠主動掃描的不足��,這樣即使新增設備在兩次掃描的間隔中加入到內網中��,也能夠進行及時發(fā)現(xiàn)�。
[0076]如圖4所示,本發(fā)明的實施例還提供一種網絡中新增設備的檢測裝置��,包括:
[0077]發(fā)現(xiàn)模塊401�����,用于對網絡中的設備進行檢查,發(fā)現(xiàn)新增設備����;
[0078]掃描模塊402,用于對所述新增設備進行漏洞掃描��,確認所述新增設備是否存在漏洞�;
[0079]告警模塊403,用于在所述新增設備存在漏洞時�����,調用防火墻對所述新增設備的訪問控制策略進行檢測��,若確認所述漏洞能被外部利用�,則發(fā)出告警信息。
[0080]該實施例將設備發(fā)現(xiàn)�、漏洞掃描、防火墻檢查組成了一個有機的整體��,從而避免新發(fā)現(xiàn)設備被攻擊者從外部利用�。
[0081]其中����,所述發(fā)現(xiàn)模塊401包括:獲取模塊��,用于獲取新設備列表�;發(fā)現(xiàn)子模塊�����,用于根據所述新設備列表和網絡的已有設備列表��,發(fā)現(xiàn)新增設備���。
[0082]其中���,獲取新設備列表的第一種實現(xiàn)方式中,所述獲取模塊包括:
[0083]采集模塊����,用于采集所述網絡中交換機的流量信息;所述流量信息包括:所述網絡的主機發(fā)出的地址解析協(xié)議ARP請求報文�;
[0084]分析模塊,用于根據所述ARP請求報文生成所述新設備列表����,所述新設備列表中包括:設備的IP地址�����、MAC地址以及更新時間屬性信息�����。
[0085]相應的��,所述發(fā)現(xiàn)子模塊具體用于:從所述新設備列表中提取一個設備的IP地址和所述IP地址對應的MAC地址�,如果所述MAC地址首次出現(xiàn)在所述已有設備列表中����,或者當前時間與所述MAC地址在資產列表中的更新時間的時間差超過了預設閾值,則所述MAC地址對應的設備為新增設備���。
[0086]所述告警模塊具體用于:在所述新增設備存在漏洞時����,將具有漏洞的新增設備的IP地址及該漏洞所對應服務的端口號�,發(fā)給防火墻,使所述防火墻的配置檢查工具對所述新增設備的所述漏洞所對應服務的端口號的訪問控制策略進行檢測���,若確認所述漏洞能被外部利用�����,則發(fā)出告警信 息����。
[0087]本發(fā)明的上述實施例中�,采集模塊采集交換機流量信息,包括但不限于:內網主機發(fā)出的ARP請求和回應報文����,基于五元組(源IP地址,源端口����,目的IP地址,目的端口�����,協(xié)議類型)的流量統(tǒng)計信息�����;采集模塊201的結果輸出到分析模塊;分析模塊通過對ARP請求報文的分析����,檢查內網中是否有新增設備,若有輸出為新增設備的IP地址�����。分析模塊接收采集模塊的輸出��,并將分析結果輸出到掃描模塊�;掃描模塊通過對新發(fā)現(xiàn)設備進行漏洞掃描,并將掃描結果輸出到防火墻的告警模塊(即防火墻配置檢查模塊)檢查當前的防火墻配置策略能否阻止外部對新增設備漏洞的利用����;如果新增設備上存在的漏洞能夠被外部利用,則發(fā)出高危報警��,提示安全管理人員進行系統(tǒng)升級�����,或調整防火墻策略�;如果不能被外部利用,則發(fā)出中度報警��,提示安全管理人員進行系統(tǒng)升級。
[0088]在獲取新設備列表的第二種實現(xiàn)方式中�,所述獲取模塊具體用于:利用漏洞掃描工具對所述網絡中的設備進行掃描,獲取所述新設備列表���,所述新設備列表中包括:設備的IP地址、MAC地址以及更新時間屬性信息����;也就是說,直接利用掃描模塊通過自動或手動的掃描任務進行新設備發(fā)現(xiàn)并掃描新設備的漏洞�����;
[0089]相應的���,所述發(fā)現(xiàn)子模塊具體用于:從所述新設備列表中提取一個設備的IP地址和所述IP地址對應的MAC地址���,如果所述MAC地址首次出現(xiàn)在所述已有設備列表中,或者當前時間與所述MAC地址在資產列表中的更新時間的時間差超過了預設閾值�����,則所述MAC地址對應的設備為新增設備�����。
[0090]其中,所述告警模塊具體用于:在所述新增設備存在漏洞時����,將具有漏洞的新增設備的IP地址及該漏洞所對應服務的端口號,發(fā)給防火墻�,使所述防火墻的配置檢查工具對所述新增設備的所述漏洞所對應服務的端口號的訪問控制策略進行檢測,若確認所述漏洞能被外部利用�,則發(fā)出告警信息。
[0091]具體的���,掃描模塊通過對設備進行漏洞掃描��,發(fā)現(xiàn)新增設備�,并將有漏洞的新增設備的IP地址以及該漏洞所對應服務的端口號輸出到防火墻的告警模塊(即防火墻配置檢查模塊)檢查當前的防火墻配置策略能否阻止外部對新增設備漏洞的利用����,如果新增設備上存在的漏洞能夠被外部利用,則發(fā)出高危報警��,提示安全管理人員進行系統(tǒng)升級�,或調整防火墻策略;如果不能 被外部利用���,則發(fā)出中度報警����,提示安全管理人員進行系統(tǒng)升級。
[0092]本發(fā)明的上述裝置同樣將設備發(fā)現(xiàn)�����、漏洞掃描��、防火墻配置檢查組成了一個有機的整體�����。在發(fā)現(xiàn)新增設備后���,能夠將新增設備IP地址信息傳送至漏洞掃描模塊,并檢查該新增設備上是否存在漏洞�;對于存在漏洞的新增設備,能夠將存在漏洞新增設備的IP地址信息��、漏洞對應的端口信息傳送至防火墻�����,判斷防火墻是否能夠阻止外部對新增設備漏洞的利用,并根據判斷結果產生報警信息��,從而避免新增設備被攻擊者從外部利用�����;且采用主動掃描與被動監(jiān)聽的相結合的方式檢查內網中是否存在新增設備��,避免了現(xiàn)有技術中僅依靠主動掃描的不足��,這樣即使新增設備在兩次掃描的間隔中加入到內網中��,也能夠進行及時發(fā)現(xiàn)����。
[0093]以上所述是本發(fā)明的優(yōu)選實施方式,應當指出����,對于本【技術領域】的普通技術人員來說,在不脫離本發(fā)明所述原理的前提下��,還可以作出若干改進和潤飾�,這些改進和潤飾也應視為本發(fā)明的保護范圍。
【權利要求】
1.一種網絡中新增設備的檢測方法���,其特征在于����,包括: 對網絡中的設備進行檢查,發(fā)現(xiàn)新增設備���; 對所述新增設備進行漏洞掃描�����,確認所述新增設備是否存在漏洞�; 若所述新增設備存在漏洞�����,調用防火墻對所述新增設備的訪問控制策略進行檢測���,若確認所述漏洞能被外部利用,則發(fā)出告警信息��。
2.根據權利要求1所述的檢測方法��,其特征在于�����,發(fā)現(xiàn)新增設備的步驟包括: 獲取網絡的新設備列表; 根據所述新設備列表和網絡的已有設備列表����,發(fā)現(xiàn)新增設備。
3.根據權利要求2所述的檢測方法����,其特征在于,所述獲取網絡的新設備列表的步驟包括: 采集所述網絡中交換機的流量信息�����;所述流量信息包括:所述網絡的主機發(fā)出的地址解析協(xié)議ARP請求報文��、ARP請求報文的回應報文以及五元組流量統(tǒng)計信息��; 根據所述ARP請求報文或者所述ARP請求報文的回應報文生成所述新設備列表���,所述新設備列表中包括:設備的IP地址���、MAC地址以及更新時間。
4.根據權利要求2所 述的檢測方法���,其特征在于�,所述獲取網絡的新設備列表的步驟包括: 利用漏洞掃描工具對所述網絡中的設備進行掃描,獲取所述新設備列表����,所述新設備列表中包括:設備的IP地址、MAC地址以及更新時間��。
5.根據權利要求3或4所述的檢測方法��,其特征在于���,根據所述新設備列表和網絡的已有設備列表����,發(fā)現(xiàn)新增設備的步驟包括: 從所述新設備列表中提取一個設備的IP地址和所述IP地址對應的MAC地址�����,如果所述MAC地址首次出現(xiàn)在所述已有設備列表中����,或者當前時間與所述MAC地址在資產列表中的更新時間的時間差超過了預設閾值���,則所述MAC地址對應的設備為新增設備�。
6.根據權利要求1所述的檢測方法,其特征在于�,若所述新增設備存在漏洞,調用防火墻對所述新增設備的訪問控制策略進行檢測的步驟包括: 將具有漏洞的新增設備的IP地址及該漏洞所對應服務的端口號�����,發(fā)給防火墻����,使所述防火墻對所述端口號的訪問控制策略進行檢測。
7.—種網絡中新增設備的檢測裝置�����,其特征在于����,包括: 發(fā)現(xiàn)模塊,用于對網絡中的設備進行檢查����,發(fā)現(xiàn)新增設備; 掃描模塊,用于對所述新增設備進行漏洞掃描�����,確認所述新增設備是否存在漏洞����; 告警模塊,用于在所述新增設備存在漏洞時��,調用防火墻對所述新增設備的訪問控制策略進行檢測����,若確認所述漏洞能被外部利用,則發(fā)出告警信息�。
8.根據權利要求7所述的檢測裝置,其特征在于�,所述發(fā)現(xiàn)模塊包括: 獲取模塊,用于獲取新設備列表�; 發(fā)現(xiàn)子模塊,用于根據所述新設備列表和網絡的已有設備列表��,發(fā)現(xiàn)新增設備����。
9.根據權利要求8所述的檢測裝置,其特征在于��,所述獲取模塊包括: 采集模塊�����,用于采集所述網絡中交換機的流量信息�;所述流量信息包括:所述網絡的主機發(fā)出的地址解析協(xié)議ARP請求報文、ARP請求報文的回應報文以及五元組流量統(tǒng)計信息��;分析模塊���,用于根據所述ARP請求報文或者所述ARP請求報文的回應報文生成所述新設備列表�����,所述新設備列表中包括:設備的IP地址�����、MAC地址以及更新時間�����。
10.根據權利要求8所述 的檢測裝置�,其特征在于,所述獲取模塊具體用于:利用漏洞掃描工具對所述網絡中的設備進行掃描��,獲取所述新設備列表����,所述新設備列表中包括:設備的IP地址、MAC地址以及更新時間����。
11.根據權利要求9或10所述的檢測裝置,其特征在于����,所述發(fā)現(xiàn)子模塊具體用于:從所述新設備列表中提取一個設備的IP地址和所述IP地址對應的MAC地址,如果所述MAC地址首次出現(xiàn)在所述已有設備列表中����,,或者當前時間與所述MAC地址在資產列表中的更新時間的時間差超過了預設閾值���,則所述MAC地址對應的設備為新增設備��。
12.根據權利要求7所述的檢測裝置���,其特征在于��,所述告警模塊具體用于:在所述新增設備存在漏洞時,將具有漏洞的新增設備的IP地址及該漏洞所對應服務的端口號��,發(fā)給防火墻��,使所述防火墻對所述端口號進行檢測�����,若確認所述漏洞能被外部利用���,則發(fā)出告警信息����。
【文檔編號】H04L12/26GK103905265SQ201210581037
【公開日】2014年7月2日 申請日期:2012年12月27日 優(yōu)先權日:2012年12月27日
【發(fā)明者】何申, 楊凱, 章新斌 申請人:中國移動通信集團公司