[发明专利]一种网络设备准入方法

说明书

本发明一种网络设备准入方法，包括：建立验证信息数据库；接收网络设备发送的数据包；根据验证信息数据库，验证数据包中网络设备的Mac信息；根据Mac信息，验证DHCP信息、HTTP信息、SSDP信息；建立数据包捕捉线程，验证SNMP询问信息、NMAP扫描信息和NETBIOS扫描信息；本发明部署简单，采用主动探测和被动收集的方式，依靠验证信息能有效克服IP/MAC伪造问题，提高网络准入安全标准，保证企业的网络信息安全，同时能够识别出各种非IP设备的类型及型号，方便用户统一分类管理和准确定位跟踪。

技术领域

本发明涉及网络安全技术领域，尤其是涉及一种基于广域网或局域网的网络设备准入方法。

背景技术

随着虚拟化的发展，大部分企事业单位中已经开始部署虚拟化桌面，还有在当今网络中各种IP设备层出不穷，如：网络摄像头、网络传感器、网络电话等，这些非传统PC设备从网络层的外部观察难以进行识别，而同时这些设备又是网络的一部分，传统手段无法在管理中准确的定位和准入，容易被通过IP/MAC伪造而进行替换，对它们进行追踪并且分类非常的困难，由于这些设备的存在，越来越多的安全职业人员在审计中遭遇失败，因为这些设备可以允许恶意用户骗取资源，绕过控制，并取得未经授权的网络访问，如何防止IP/MAC伪造进行准入管理成为当今准入系统中急迫需要解决的问题。

发明内容

为了解决上述问题，解决虚拟化终端和生产IP设备被伪冒的问题，本发明提供了一种网络设备准入方法。

本发明采用的技术方案如下：

一种网络设备准入方法，包括以下步骤：

步骤一，建立验证信息数据库，所述验证信息数据库包括网络设备的身份验证信息，所述身份验证信息包括网络设备的Mac地址、DHCP信息、HTTP信息、SSDP信息、SNMP询问信息、NMAP扫描信息和NETBIOS扫描信息；

步骤二，接收网络设备发送的数据包；

步骤三，根据验证信息数据库，验证数据包中网络设备的Mac信息；

步骤四，根据Mac信息在验证信息数据库中验证数据包中网络设备的DHCP信息、HTTP信息、SSDP信息；

步骤五，根据Mac信息在验证信息数据库中验证数据包中SNMP询问信息、NMAP扫描信息和NETBIOS扫描信息。

优选的，所述步骤一还包括，根据验证信息数据库创建哈希表，所述哈希表存储每台终端设备的身份验证信息。

优选的，验证网络设备时采用哈希表检索验证信息数据库。

优选的，所述步骤三还包括，如验证信息数据库中没有该网络设备的Mac信息，则提示用户MAC地址未注册。

又算的，所述步骤三还包括，判断该接收Mac地址的数据包与记录的上一次Mac地址的数据包之间的时间间隔，如果时间间隔超过系统预设值，判定该Mac地址的网络设备为伪造。

优选的，所述时间间隔为10S。

优选的，所述步骤四还包括，如验证信息数据库中没有该Mac地址的网络设备的DHCP信息、HTTP信息、SSDP信息，则将数据包中的DHCP信息、HTTP信息、SSDP信息存储于验证信息数据库中。

优选的，所述步骤五还包括，如验证信息数据库中没有该Mac地址的网络设备的SNMP询问信息、NMAP扫描信息和NETBIOS扫描信息，启动数据包捕捉线程捕捉SNMP询问信息、NMAP扫描信息和NETBIOS扫描信息。

优选的，创建多个数据包捕捉线程形成队列，当验证过程中调用对应的数据包捕捉线程。

优选的，所述数据包捕捉线程采用Libpcap应用程序框架或Wincap应用程序框架中的一种。