[发明专利]异常报文接入点的定位方法和设备

说明书

技术领域

本发明涉及网络技术领域，尤其涉及一种异常报文接入点的定位方法和设备。 

背景技术

随着计算机网络的普及，越来越多的用户享受到了网络带来的便利，但是同时网络安全问题也时常困扰着用户。木马、病毒、远程攻击等轻则给用户带来使用上的不方便，重则造成数据丢失或财产损失。面对这些问题，加解密算法、入侵检测、防火墙技术等技术应运而生。对于一名网络管理员，需要及时发现网络中的异常情况，在攻击出现的早期发现攻击，在攻击造成损失后及时进行补救。而只有定位出了异常报文的接入点，才能进一步阻断异常报文的后继行为，因此在出现异常报文的时候，定位异常报文在网络中的接入点就显得尤为重要。以图1所示的环境为例，网络中出现异常报文时，网络管理员希望能很快定位到设备5与攻击者连接的端口，进而阻断攻击。而现有的防火墙技术、入侵检测技术以及加解密技术都没有提供定位异常报文的接入点的功能。 

现有技术中提供了一种基于IP(Internet Protocol，英特网协议)/MAC(MediumAccess Control，媒体接入控制)反查的异常报文接入点定位方法。该方法中要求所有网络设备都已经加入到网管中，且网管拓扑是正确且完整的。侦测到异常报文时，网络管理员利用防火墙或者抓包工具得到异常报文的源IP或源MAC。如果网络管理员得到的异常报文源地址是IP地址，则首先根据IP地址所在网段关联的路由器ARP(Address Resolution Protocol，地址解析协议)表，提取该IP地址对应的MAC地址，然后统一按照MAC地址作为参数进行异常攻击点查找。 

该基于IP/MAC反查的异常报文接入点定位方法如图2所示，包括： 

步骤s101、获取一未进行查找过的网络设备。 

步骤s102、通过SNMP协议读取该网络设备是否学习到指定的MAC地址，以及学习到该MAC地址的端口，如果没有学习到，则返回s101；否则执行步骤s103； 

步骤s103、判断学习到目标MAC地址的端口在网络拓扑中是否关联链路，若不存在则进行步骤s104，否则进行步骤s105； 

步骤s104、由于所有的网络设备都已经加入网管，因此若不存在则说明这个端口对端是发送异常报文的攻击源，显然这个端口就是异常报文接入点，将这个端口加入到查找结果集中，返回步骤s101。 

步骤s105、根据端口关联的链路得到对端网络设备，判断对端网络设备是否为MAC地址对应的设备，是则进行步骤s106，否则进行步骤s107； 

步骤s106、将该端口加入查找结果集，返回步骤s101。 

步骤s107、判断对端网络设备是否已经被查找过，是则进行步骤s101；否则将对端网络设备作为当前查找设备，进行步骤s102。 

通过上述算法得到的查找结果集，就是异常报文的接入点。 

现有的异常报文接入点定位方法的缺陷在于，该IP/MAC反查方法顺着链路查找设备，算法复杂。由于算法的特点，实现时大多选择递归实现，效率低下，如果以非递归实现，算法则更复杂。 

发明内容

本发明提供一种异常报文接入点的定位方法和设备，用于实现网络中异常报文接入点的快速定位。 

本发明提供一种异常报文接入点的定位方法，所述方法由网管设备执行，所述网管设备用于管理网络中若干网络设备，所述方法包括： 

对于网络中的每一设备，通过SNMP协议获取所述每一设备对于异常报文源MAC地址的学习关系；其中，获取所述学习关系的过程包括：网管设备获取到异常报文源MAC地址后，网管设备获取网络中设备的Q-BRIDGE-MIB的dot1qTpFdbTable表，若所述设备的dot1qTpFdbTable表中存在一条数据项 的MAC地址和异常报文源MAC地址相同，则认为所述设备学习到了指定的报文源MAC地址，获取学习到异常报文源MAC地址的端口； 

根据所述每一设备对于异常报文源MAC地址的学习关系，定位异常报文接入点；其中，当一设备的端口学习到所述异常报文源MAC地址，且所述端口在网络拓扑中的链路对端设备不是所述异常报文源MAC地址对应的设备时，继续获取另一设备；当一设备的端口学习到所述异常报文源MAC地址，且所述端口在网络拓扑中的链路对端设备是所述异常报文源MAC地址对应的设备时，确定所述端口为异常报文接入点。 

其中，所述根据每一设备对于异常报文源MAC地址的学习关系，定位异常报文接入点包括：