[发明专利]一种网络监控方法、装置和系统

说明书

技术领域

本发明涉及通信技术，特别地涉及一种网络监控技术。 

背景技术

IEEE802.1x是美国电气电子工程师学会(Institute of Electrical andElectronic Engineers，IEEE)802委员会制定的局域网(Local Area Network，LAN)标准中的一个。对于部署了802.1x认证的LAN，当用户终端设备(例如电脑)接入到LAN中时，需要通过802.1x认证，未经过认证的用户将无法接入到LAN中。认证的过程由安装了认证客户端软件的用户终端设备和网络中的交换机、认证服务器共同完成。 

集线器(Hub)是一个多端口的信号放大设备，工作中当一个端口接收到数据信号时，由于信号在传输过程中已有了衰减，所以集线器便将该信号进行整形放大，转发到其它所有处于工作状态的端口上。从集线器的工作方式可以看出，它在网络中只起到信号放大和重发作用，其目的是扩大网络的传输范围，而不具备信号的定向传送能力，是一个标准的共享式设备。于是，与同一集线器相连接的任何设备，都可以捕捉在集线器上传递的任何信息包。 

网卡也叫“网络适配器”，是局域网中最基本的部件之一，它是连接计算机与网络的硬件设备。无论是双绞线连接、同轴电缆连接还是光纤连接，都必须借助于网卡才能实现数据的通信。网卡的主要工作原理是整理计算机上发往网线上的数据，并将数据分解为适当大小的数据包之后向网络发送。对于网卡而言，每块网卡都有一个唯一的介质访问控制(Media Access Control，MAC)地址，是用于识别LAN中各个节点的标识，由网卡生产厂家在生产过程中固化在网卡中，具有全球唯一性。在LAN中，它是用户身份的重要标志之一。 

在普通局域网中，只要用户终端设备接入网络，不需经过认证和授权即可直接从网络获取信息。这种方式不利于网络信息的安全，于是人们采取网络认证方式对访问网络的用户的合法性进行确认，以此提高网络信息的安全性。 

现有网络认证采用基于端口的网络存取控制，为局域网用户提供点对点式的安全接入。如图1所示，安装有认证客户端软件的终端设备提交认证信息给交换机，交换机将相关认证信息转交给认证服务器进行确认。如果认证通过，交换机将相关的端口打开，这时候交换机将学习到该终端设备的IP地址和MAC地址，并将其同接入的相应端口(PORT)进行绑定，形成一个三元组IP+MAC+PORT，并允许满足该三元组的报文进入端口。也就是说只有具备该三元组的终端设备才能够获准接入LAN，并访问相关的网络资源。这种提交了认证信息并获得通过的终端设备称作合法终端设备，反之那些未执行或未通过认证的终端设备称作非法终端设备。 

根据现有网络认证方式，如果某个终端设备在认证成功后另有一非法终端设备与其使用同一交换机端口，并且非法终端设备使用与合法终端设备相同的IP和MAC地址，那么该非法终端设备也能够访问相关的网络资源。传统的解决方案一般基于检测非法终端设备的特征来实现，比如说通过检测网络中是否有不同终端设备存在同样的IP和MAC，来判断网络中是否存在非法终端设备，但这类方法容易被非法终端设备通过一些过滤机制过滤掉，从而避过检测。 

发明内容

本发明的目的是给出一种网络监控方法、系统和装置，可以检测出网络中是否接入了非法终端设备。 

本发明实施例提供一种网络监控方法，包括： 

接收经过认证的终端设备上报的发送流量和地址信息，所述发送流量为终端设备发送给交换机端口的数据流量，其中，所述终端设备上报发送流量和地址信息包括：所述终端设备每间隔设定时间上报所述发送流量和地址信息； 

统计交换机端口从具有所述地址信息的终端设备接收到的数据的接收流量； 

根据所述发送流量和所述接收流量之间的差值，确认是否有非法终端设备接入到网络中，具体为：每一次接收上报的发送流量时，根据对应的接收流量获得一个差值，并当设定数目个连续的差值递增时，确认有所述非法终端设备接入到网络中。 

所述非法终端设备接入到网络的方法包括：所述非法终端设备仿冒经过认证的终端设备的地址信息并通过被仿冒终端设备所连接的交换机端口接入网络。 

所述地址信息包括：经过认证的终端设备的MAC地址。 

本发明实施例给出一种网络客户端，包括： 

发送流量统计单元，用于统计网络中经过认证的终端设备发送给交换机端口的数据发送流量；