[发明专利]一种网络中新增设备的检测方法和装置

说明书

技术领域

本发明涉及通信领域，特别是指一种网络中新增设备的检测方法和装置。

背景技术

为了保护内网的安全，防火墙、漏洞扫描、设备发现等技术是当前常用安全设备。其中防火墙作为网络安全的第一道防线，通常部署在内外网之间，对进出内网的连接进行访问控制；漏洞扫描设备可检测内网主机的脆弱性，提示安全管理人员进行系统升级和针对漏洞的攻击防范；设备发现工具可检测新接入内网的主机，提示安全管理人员对接入主机的合规性进行审查，避免内网信息泄露。除了上述安全设备之外，内网中还经常使用入侵检测系统、安全审计系统、终端安全等设备，各个设备功能单一，独立运行，共同承担内网安全的保护工作。

现有技术中，对内网的安全检测，通常通过防火墙进行进出内网与外网之间的报文检测，其中检测包括入侵检测、防病毒和内容过滤，这些功能对计算资源占用大，会影响防火墙的性能。对进入内网的新增设备的发现和检测，防火墙并不能做到安全保护，设备发现工具只能发现内网的新增设备，但不能对新增设备做到有效的安全检测。

发明内容

本发明要解决的技术问题是提供一种内网新增设备的检测方法和装置，避免新发现设备被攻击者从外部利用。

为解决上述技术问题，本发明的实施例提供一种网络中新增设备的检测方法，包括：

对网络中的设备进行检查，发现新增设备；

对所述新增设备进行漏洞扫描，确认所述新增设备是否存在漏洞；

若所述新增设备存在漏洞，调用防火墙对所述新增设备的访问控制策略进行检测，若确认所述漏洞能被外部利用，则发出告警信息；其中，发现新增设备的步骤包括：

获取网络的新设备列表；所述新设备列表是在网络的已有设备列表的基础上更新得到的；

根据所述新设备列表和网络的已有设备列表，发现新增设备；

根据所述新设备列表和网络的已有设备列表，发现新增设备的步骤包括：

从所述新设备列表中提取一个设备的IP地址和所述IP地址对应的MAC地址，所述新设备列表与已有设备列表进行比较，如果所述MAC地址第一次出现，或者当前时间与所述MAC地址在已有设备列表中的更新时间的时间差超过了预设阈值，则所述MAC地址对应的设备为新增设备，否则，用所述当前时间更新已有设备列表中MAC地址对应的更新时间。

其中，所述获取网络的新设备列表的步骤包括：

采集所述网络中交换机的流量信息；所述流量信息包括：所述网络的主机发出的地址解析协议ARP请求报文、ARP请求报文的回应报文以及五元组流量统计信息；

根据所述ARP请求报文或者所述ARP请求报文的回应报文生成所述新设备列表，所述新设备列表中包括：设备的IP地址、MAC地址以及更新时间。

其中，所述获取网络的新设备列表的步骤包括：

利用漏洞扫描工具对所述网络中的设备进行扫描，获取所述新设备列表，所述新设备列表中包括：设备的IP地址、MAC地址以及更新时间。

其中，若所述新增设备存在漏洞，调用防火墙对所述新增设备的访问控制策略进行检测的步骤包括：

将具有漏洞的新增设备的IP地址及该漏洞所对应服务的端口号，发给防火墙，使所述防火墙对所述端口号的访问控制策略进行检测。

本发明的实施例还提供一种网络中新增设备的检测装置，包括：

发现模块，用于对网络中的设备进行检查，发现新增设备；

扫描模块，用于对所述新增设备进行漏洞扫描，确认所述新增设备是否存在漏洞；

告警模块，用于在所述新增设备存在漏洞时，调用防火墙对所述新增设备的访问控制策略进行检测，若确认所述漏洞能被外部利用，则发出告警信息；

其中，所述发现模块包括：

获取模块，用于获取新设备列表；所述新设备列表是在网络的已有设备列表的基础上更新得到的；

发现子模块，用于根据所述新设备列表和网络的已有设备列表，发现新增设备；

所述发现子模块具体用于：从所述新设备列表中提取一个设备的IP地址和所述IP地址对应的MAC地址，新设备列表与已有设备列表进行比较，如果所述MAC地址第一次出现，或者当前时间与所述MAC地址在已有设备列表中的更新时间的时间差超过了预设阈值，则所述MAC地址对应的设备为新增设备，否则，用所述当前时间更新已有设备列表中MAC地址对应的更新时间。

其中，所述获取模块包括：