[发明专利]一种异常报文接入点的发现方法和装置

说明书

技术领域

本发明涉及网络通信技术领域，特别是涉及一种异常报文接入点的发现方法和装置。 

背景技术

当前随着计算机网络的普及，越来越多的人享受着网络带来的便利。但是由于网络开放性而引起的网络安全问题同时也越来越成为关注的焦点。木马、病毒、蠕虫或远程攻击等轻则给用户带来使用上的不方便，重则造成数据的丢失或财产的损失。针对这些网络安全问题，现有技术提出了加解密算法、入侵检测、防火墙技术等技术。对于一名网络管理员来说，他需要及时的发现网络中的异常情况，在攻击出现的早期发现它，在攻击造成损失后，及时进行补救。因此在出现异常报文的时候，定位出报文在网络中的接入点的功能就显得尤为重要，只有定位出了异常报文的接入点，才能进一步阻断异常报文的后继行为。如图1所示，为现有技术网络管理系统的组网图，在网络中出现异常报文的时候，网络管理员希望能很快的定位到设备5与攻击者连接的端口，进而阻断攻击。然而防火墙技术用于在攻击进入网络之前阻止攻击；入侵检测用于在入侵进入网络之后发现入侵；加解密技术用于保护保证数据的机密性；这些技术都没有提供定位异常报文的接入点的功能。 

现有技术中采用网络设备向网络管理站发送告警的方式，网络管理员根据告警能很快知道哪些设备出现了异常，网络管理员再查看设备的状态或者根据告警信息判断出报文从哪台设备的哪个端口接入。 

现有技术的缺点是无法直接确定异常报文在哪台设备接入，需要用户根据组网图和告警信息判断，并且在攻击的早期，设备没有发现报文异常时，无法检测到异常。并且对异常报文的监视不好控制，很容易将正常报文当成了异常报文，发送了大量无用告警，或者没有监视到异常报文而忽略了真正 的异常报文告警。 

发明内容

本发明要解决的问题是提供一种异常报文接入点的发现方法和装置，当出现异常报文的时候，为网络管理员提供查找异常报文在网络中的接入点的功能，定位到报文在网络中的接入点，从而使网络管理员能进行下一步动作，如阻断异常报文接入的端口。 

为达到上述目的，本发明实施例的技术方案提出一种异常报文接入点的发现方法，用于查找异常报文在网络中的接入点，包括以下步骤，计算网络设备之间的物理连接关系，所述计算网络设备之间的物理连接关系具体包括：利用伪造某一网络设备的IP源地址向其他网络设备发送PING报文的方式使所述网络设备MAC地址互相充分学习；在所述网络设备互相充分学习之后计算网络设备之间的物理连接关系，如果所述网络设备的端口互相学习到了对方的MAC地址，并且学习到的所述MAC地址不存在交集，则判断所述网络设备的端口之间存在物理连接关系；根据所述物理连接关系，查看网络设备当前某一学习到所述异常报文MAC地址的网络设备的端口是否存在相连的网络设备；如果所述学习到所述异常报文MAC地址的端口存在相连的网络设备，则将该端口对端的网络设备作为当前待查看的学习到异常报文MAC地址的网络设备，并返回上一步；直到查找到某一学习到所述异常报文MAC地址的端口不存在相连的网络设备，则该网络设备就是异常报文接入点。 

其中，在所述查看网络设备当前某一学习到所述异常报文MAC地址的端口是否存在相连的网络设备之前，还包括以下步骤：根据所述网络设备上的地址解析协议ARP信息将异常报文IP地址转换为异常报文MAC地址。 

其中，学习到异常报文MAC地址的网络设备具体包括，根据管理信息库MIB信息中的qBridge表查找到的所述学习到异常报文MAC地址的网络设 备。 

其中，所述判断网络设备是否学习到所述异常报文MAC地址具体包括，根据本地数据库中的存储的设备历史信息判断网络设备是否学习到所述异常报文MAC地址。