一種網絡設備檢測方法、裝置及雲檢測系統的製作方法

2023-08-07 22:06:21 2

一種網絡設備檢測方法、裝置及雲檢測系統的製作方法
【專利摘要】本發明公開了一種網絡設備檢測方法、裝置及雲檢測系統，該方法包括：基於網絡設備的特徵信息及業務配置，建立檢測報文庫；獲取待檢測的網絡設備的特徵信息及業務配置；根據獲取的所述特徵信息及業務配置在檢測報文庫中匹配出檢測報文，採用匹配出的檢測報文對所述待檢測的網絡設備進行檢測。該雲檢測系統包括雲檢測數據中心、檢測客戶端以及網絡設備。本發明能夠有針對性的發現網絡設備的漏洞和缺陷，且檢測客戶端可以與雲檢測數據中心中進行實時連接進行檢測，檢測結果實時性與交互性較好。
【專利說明】一種網絡設備檢測方法、裝置及雲檢測系統

【技術領域】
[0001] 本發明涉及網際網路設備【技術領域】，尤其涉及一種網絡設備檢測方法、裝置及雲檢 測系統。

【背景技術】
[0002] 網絡設備檢測和故障發現技術是一種能夠有效的發現當前運行的網絡設備潛在 缺陷和隱藏後門的技術，目前已經成為網絡安全研究中的熱點之一，針對發現缺陷和後門 的網絡設備檢測的安全技術進行分析和研究，具有重要的現實意義。
[0003] 網絡設備檢測是進行遠程或本地系統性測試的一種技術。其基本原理是採用模擬 構造各類報文對目標路由器、交換機或防火牆進行發送的方式，並且對目標網絡設備可能 存在的缺陷進行逐項檢測，以便對路由器、交換機、防火牆等對象進行系統可靠性評估。借 助於基於報文的檢測技術，人們可以發現網絡和主機存在的對外開放的埠、提供的服務、 某些系統信息、錯誤的配置、已知的漏洞、未知的漏洞、後門等。故網絡設備檢測技術是一種 極為有效的自動測試技術，能發現用戶購買、測試、現網運行中的設備隱患，為用戶採購、評 估網絡設備的可靠性，提供強有力的技術支持。
[0004] 目前在多數網絡設備掃描客戶端或網絡設備檢測的客戶端中，多數隻安裝一種或 固定的幾種掃描軟體，但是問題在於，沒有任何一種檢測軟體可以掃描和測試所有網絡設 備的缺陷。同時，大多數測試用例，尤其是新技術新標準的檢測用例需要用戶手動添加，增 加了維護和開發的難度和成本，並且不能完整的補充案例和報文庫。
[0005] 另外，現有的網絡掃描技術目標不單一，目的不明確，並不能全面而有效的發現路 由器、交換機或防火牆的漏洞。並且現有的網絡掃描技術沒有和網絡中存在的業務，例如 路由協議、MPLS (Multi-Protocol Label Switching，多協議標籤交換）、IPsec (Internet Protocol Security,通過對IP協議的分組進行加密和認證來保護IP協議的網絡傳輸協議 族）等相關聯，因此不能有針對性的發現業務的漏洞和缺陷。


【發明內容】

[0006] 本發明要解決的技術問題是，提供一種網絡設備檢測方法、裝置及雲檢測系統，能 夠有針對性的對網絡設備的業務漏洞和缺陷進行檢測。
[0007] 本發明採用的技術方案是，所述網絡設備檢測方法，包括：
[0008] 基於網絡設備的特徵信息及業務配置，建立檢測報文庫；
[0009] 獲取待檢測的網絡設備的特徵信息及業務配置；
[0010] 根據獲取的所述特徵信息及業務配置，在檢測報文庫中匹配出檢測報文，利用匹 配出的檢測報文對所述待檢測的網絡設備進行檢測。
[0011] 進一步的，所述方法還包括：基於網絡設備的特徵信息及業務配置，建立與檢測報 文庫對應的響應行為庫；
[0012] 對所述待檢測的網絡設備進行檢測時，將所述待檢測的網絡設備的響應在響應行 為庫中進行比對以判斷網絡設備行為是否合法。
[0013] 進一步的，通過 SNMP (Simple Network Management Protocol，簡單網絡管理協 議)或者網絡配置NETC0NF協議或者用戶端設備廣域網管理協議TR-069獲取待檢測的網絡 設備的特徵信息及業務配置。
[0014] 進一步的，所述網絡設備的特徵信息包括：網絡設備的類型和型號；建立檢測 報文庫時，網絡設備的業務配置的類型至少包括以下之一：接口信息、IP (Internet Protocol,網際網路協議）地址配置、VLAN (Virtual Local Area Network,虛擬區域網）配 置、路由配置、MPLS (Multi-Protocol Label Switching，多協議標籤交換）配置、以及協議 配置。
[0015] 進一步的，所述檢測報文庫包括與網絡設備的類型對應的通用及隨機檢測報文 庫；
[0016] 所述方法還包括：採用通用及隨機檢測報文庫中的報文對所述網絡設備進行檢 測，根據所述網絡設備的響應判斷其是否存在漏洞和後門。
[0017] 進一步的，所述方法還包括：當網絡設備的特徵信息及業務配置發生變化時，對所 述檢測報文庫進行維護更新。
[0018] 本發明還提供一種網絡設備檢測裝置，包括：
[0019] 檢測處理模塊，用於基於網絡設備的特徵信息及業務配置，建立檢測報文庫；根據 獲取的所述特徵信息及業務配置在檢測報文庫中匹配出檢測報文，發送給檢測接口模塊並 通過其對待檢測的網絡設備進行檢測；
[0020] 檢測接口模塊，用於獲取待檢測的網絡設備的特徵信息及業務配置，發送給檢測 處理模塊；基於檢測處理模塊發來的檢測報文對待檢測的網絡設備進行檢測。
[0021] 進一步的，所述檢測處理模塊，還用於：基於網絡設備的特徵信息及業務配置建立 與檢測報文庫對應的響應行為庫；對所述待檢測的網絡設備進行檢測時，將所述待檢測的 網絡設備的響應在響應行為庫中進行比對以判斷網絡設備行為是否合法；
[0022] 所述檢測接口模塊，還用於將待檢測的網絡設備的響應告知檢測處理模塊。
[0023] 進一步的，所述檢測接口模塊，具體用於：通過SNMP協議或者NETC0NF協議或者用 戶端設備廣域網管理協議TR-069獲取待檢測的網絡設備的特徵信息及業務配置。
[0024] 所述網絡設備的特徵信息包括：網絡設備的類型和型號；建立檢測報文庫時，網 絡設備的業務配置的類型至少包括以下之一：接口信息、IP位址配置、VLAN配置、路由配 置、MPLS配置、以及協議配置。
[0025] 進一步的，所述檢測報文庫包括與網絡設備的類型對應的通用及隨機檢測報文 庫；
[0026] 所述檢測處理模塊，還用於採用通用及隨機檢測報文庫中的報文對所述網絡設備 進行檢測，根據所述網絡設備的響應判斷其是否存在漏洞和後門；
[0027] 所述檢測接口模塊，還用於將待檢測的網絡設備的響應告知檢測處理模塊。
[0028] 進一步的，所述檢測處理模塊，還用於當網絡設備的特徵信息及業務配置發生變 化時，對所述檢測報文庫進行維護更新。
[0029] 本發明還提供一種採用上述網絡設備檢測裝置的雲檢測系統，包括雲檢測數據中 心、檢測客戶端、以及網絡設備，其中，
[0030] 檢測處理模塊，位於雲檢測數據中心中，用於基於網絡設備的特徵信息及業務配 置，建立檢測報文庫；根據獲取的所述特徵信息及業務配置在檢測報文庫中匹配出檢測報 文，發送給檢測接口模塊並通過其對待檢測的網絡設備進行檢測；
[0031] 檢測接口模塊，位於檢測客戶端中，用於獲取待檢測的網絡設備的特徵信息及業 務配置，發送給檢測處理模塊；基於檢測處理模塊發來的檢測報文對待檢測的網絡設備進 行檢測。
[0032] 採用上述技術方案，本發明至少具有下列優點：
[0033] 本發明所述網絡設備檢測方法、裝置及雲檢測系統，能夠有針對性的發現網絡設 備的業務漏洞和缺陷。在採用通用及隨機檢測報文進行檢測的情況下，通過判斷檢測結果， 可以發現網絡設備的漏洞和後門，進而實現全面有效的對網絡設備進行檢測。本發明所述 網絡設備雲檢測系統，將檢測報文庫創建於雲檢測數據中心中，便於編輯與維護，與現有技 術中將測試用例、報文庫、漏洞庫、插件庫等掃描素材定製化，安裝在檢測客戶端裝置中相 t匕，檢測客戶端可以與雲檢測數據中心中進行實時連接進行檢測，檢測結果實時性與交互 性較好。

【專利附圖】

【附圖說明】
[0034] 圖1為本發明第一實施例的網絡設備檢測方法流程圖；
[0035] 圖2為本發明的檢測報文庫建立情況示意圖；
[0036] 圖3為本發明第二實施例的網絡設備檢測方法流程圖；
[0037] 圖4為本發明的響應行為庫建立情況示意圖；
[0038] 圖5為本發明第三實施例的網絡設備雲檢測方法流程圖；
[0039] 圖6為本發明第四、五實施例的網絡設備檢測裝置組成示意圖；
[0040] 圖7為本發明第六實施例的網絡設備雲檢測系統組成示意圖；
[0041] 圖8為本發明應用實例的網絡設備雲檢測系統的拓撲結構示意圖；
[0042] 圖9為本發明應用實例中對路由器檢測的流程圖。

【具體實施方式】
[0043] 為更進一步闡述本發明為達成預定目的所採取的技術手段及功效，以下結合附圖 及較佳實施例，對本發明進行詳細說明如後。
[0044] 本發明第一實施例，一種網絡設備檢測方法，如圖1所示，包括以下具體步驟：
[0045] 步驟S101，基於網絡設備的特徵信息及業務配置，建立檢測報文庫。
[0046] 具體的，網絡設備的特徵信息包括：網絡設備的類型和型號，網絡設備的種類可以 根據特徵信息來劃分，建立檢測報文庫時，每種網絡設備的業務配置的類型至少包括以下 之一：接口信息、IP位址配置、VLAN配置、路由配置、MPLS配置、以及協議配置等。該協議配 置包括：IPsec、RADIUS(Remote Authentication Dial In User Service，遠程接入撥入用 戶服務)、PPP〇E等。
[0047] 網絡設備的類型包括：交換機、路由器和防火牆等。圖2給出了檢測報文庫建立 情況示意圖，對於路由器類型的網絡設備，為路由器下面每一種型號創建該型號路由器的 業務配置所對應的檢測報文庫，例如，A型號路由器對應的檢測報文庫包括：0SPF (Open Shortest Path First，開放式最短路徑優先）協議檢測報文庫、IPsec應用檢測報文庫、 L2VPN (Layer2 Virtual Private Network,基於MPLS網絡的二層虛擬專用網服務）應用 檢測報文庫、PPPoE (point to point protocal over Ethernet，在 Ethernet 上承載點到 點連接協議）檢測報文庫等，每個與業務配置相關的檢測報文庫中又包含有若干檢測報文。 對於交換機類型的網絡設備，為交換機下面每一種型號創建該型號交換機的業務配置所對 應的檢測報文庫，例如，A型號交換機對應的檢測報文庫包括：VLAN協議檢測報文庫、CFM (Connectivity Fault Management,連接故障管理）應用檢測報文庫、窺探（Snooping)檢 測報文庫等。對於防火牆類型的網絡設備，為防火牆下面每一種型號創建該型號防火牆的 業務配置所對應的檢測報文庫，例如，A型號防火牆對應的檢測報文庫包括：NAT (Network Address Translation,網絡地址轉換）應用檢測報文庫、ACL (Access Control List,訪問 控制列表）應用檢測報文庫、策略模塊檢測報文庫等。
[0048] 本實施例的檢測報文庫可以是比較全面的覆蓋目前本領域所出現的網絡設備種 類及相應的業務配置情況，優選的，當網絡設備的特徵信息及業務配置發生變化時，可以對 所述檢測報文庫進行維護更新，比如：當有新的網絡設備及業務配置出現時，或者目前建庫 所涉及的某種網絡設備的業務配置發生變化時，對所述檢測報文庫中的檢測報文進行相應 的增刪。
[0049] 步驟S102,獲取待檢測的網絡設備的特徵信息及業務配置。
[0050] 具體的，主要是通過SNMP協議或者NETC0NF協議或者用戶端設備廣域網管理協 議TR-069獲取待檢測的網絡設備的特徵信息及業務配置，還可以通過人工獲取、或者基於 Web⑶I管理方式（即網站公開源碼的管理系統)獲取。實現時，以SNMP方式為例，將網絡設 備的SNMP埠和服務打開，通過向網絡設備發送SNMP報文來獲取該網絡設備的特徵信息 和業務配置。
[0051] 步驟S103,根據獲取的所述特徵信息及業務配置，在檢測報文庫中匹配出檢測報 文，利用匹配出的檢測報文對所述待檢測的網絡設備進行檢測。此時可以根據網絡設備的 響應判斷其行為是否合法。待檢測網絡設備業務配置通常與檢測報文庫中該種網絡設備檢 測報文所涉及的業務配置有交集，即可匹配出檢測報文，若沒有交集，則需要對檢測報文庫 進行更新，以補充新的業務配置檢測報文。
[0052] 本發明第二實施例，一種網絡設備檢測方法，如圖3所示，包括以下具體步驟：
[0053] 步驟S201，基於網絡設備的特徵信息及業務配置，建立檢測報文庫及其對應的響 應行為庫。
[0054] 具體的，本實施例中建立檢測報文庫的過程與第一實施例中相同。
[0055] 圖4給出了響應行為庫建立情況示意圖，響應行為庫中的響應行為記錄是與具體 的報文對應的，以交換機類型的網絡設備為例，A型號的交換機下有η個報文的響應行為記 錄，報文1?3可能屬於VLAN協議檢測報文庫，故報文1?3響應行為記錄分別與VLAN協 議檢測報文庫中的報文1?3對應，而報文4?6可能屬於CFM應用檢測報文庫，故報文 4?6響應行為記錄分別與CFM應用檢測報文庫中的報文4?6對應。再以路由器類型的 網絡設備為例，A型號的路由器下有η個報文的響應行為記錄，報文1?4可能屬於0SPF協 議檢測報文庫，故報文1?4響應行為記錄分別與VLAN協議檢測報文庫中的報文1?4對 應，A型號路由器與A型號交換機下面的報文的響應行為記錄的個數也可以不同。
[0056] 步驟S202,獲取待檢測的網絡設備的特徵信息及業務配置。
[0057] 具體的，主要是通過SNMP協議或者NETC0NF協議或者用戶端設備廣域網管理協 議TR-069獲取待檢測的網絡設備的特徵信息及業務配置，還可以通過人工獲取、或者基於 Web⑶I管理方式（即網站公開源碼的管理系統）獲取。
[0058] 步驟S203,根據獲取的所述特徵信息及業務配置，在檢測報文庫中匹配出檢測報 文，利用匹配出的檢測報文對所述待檢測的網絡設備進行檢測。
[0059] 具體的，對所述待檢測的網絡設備進行檢測時，將所述待檢測的網絡設備的響應 在響應行為庫中進行比對，以判斷網絡設備行為是否合法。
[0060] 本實施例中根據響應行為庫的不同組成，介紹三種比對流程：
[0061] 第一種：響應行為庫中包括：人工設置的第一響應行為記錄和檢測開始後保存的 第二響應行為記錄；
[0062] 將待檢測的網絡設備的響應與所述匹配的檢測報文對應的第二響應行為記錄進 行比對，若與第二響應行為記錄中的多數一致，則判定行為合法，否則判定行為不合法；這 裡，響應行為記錄中的多數是指響應行為記錄中相同響應數量最多的那種響應記錄。
[0063] 當所述匹配的檢測報文對應的第二響應行為記錄中不能區分出多數一致的響應 行為記錄時，將待檢測的網絡設備的響應與第一響應行為記錄進行比對，若與第一響應行 為記錄一致，則判定行為合法，否則判定行為不合法；
[0064] 第二種：響應行為庫中包括：檢測開始後保存的第二響應行為記錄；
[0065] 將待檢測的網絡設備的響應與所述匹配的檢測報文對應的第二響應行為記錄進 行比對，若與第二響應行為記錄中的多數一致，則判定行為合法，否則判定行為不合法； [0066] 當所述匹配的檢測報文對應的第二響應行為記錄中不能區分出多數一致的響應 行為記錄時，直接將比對結果判定為行為合法；
[0067] 第三種：響應行為庫中包括：人工設置的第一響應行為記錄；
[0068] 將待檢測的網絡設備的響應與所述匹配的檢測報文對應的第一響應行為記錄進 行比對，若與第一響應行為記錄一致，則判定行為合法，否則判定行為不合法。
[0069] 優選的，在步驟S201中，檢測報文庫還包括：與網絡設備的類型對應的通用及隨 機檢測報文庫。如圖2所示，通用及隨機檢測報文庫按照網絡設備的類型劃分。承接步驟 S201,本實施例的所述方法還包括：
[0070] 步驟S204,採用通用及隨機檢測報文庫中的報文，對所述網絡設備進行檢測，根據 所述網絡設備的響應判斷其是否存在漏洞和後門。
[0071] 具體的，按照待檢測的網絡設備的不同類型，採用相應的通用及隨機檢測報文庫 中的報文，對所述網絡設備進行檢測，對於通用檢測報文庫，可以具備相應的響應行為庫， 後續將該網絡設備的響應，在該通用檢測報文庫的響應行為庫中進行比對，以判斷網絡設 備行為是否合法。
[0072] 對於採用隨機檢測報文庫中的報文進行檢測的情況，根據所述網絡設備的響應判 斷其是否存在漏洞和後門。比如：有些網絡設備可能在收到某條隨機檢測報文後，會出現向 指定埠發送本機信息的行為，這就是一種網絡設備的後門。
[0073] 本發明第三實施例，本實施例是在第二實施例的基礎上引入雲檢測數據中心和檢 測客戶端，使它們按照本實施例的步驟執行檢測流程，可以作為本發明的最佳實施例，即一 種網絡設備檢測方法，如圖5所示，包括以下具體步驟：
[0074] 步驟S301，在雲檢測數據中心中基於網絡設備的特徵信息及業務配置，建立檢測 報文庫及其對應的響應行為庫。本步驟將檢測報文庫和響應行為庫立在雲檢測數據中心 中，便於對檢測報文進行編輯和維護。
[0075] 步驟S302，檢測客戶端獲取待檢測的網絡設備的特徵信息及業務配置。
[0076] 具體的，檢測客戶端主要是通過SNMP協議或者NETC0NF協議或者用戶端設備廣域 網管理協議TR-069獲取待檢測的網絡設備的特徵信息及業務配置，還可以通過人工獲取、 或者基於Web⑶I管理方式（即網站公開源碼的管理系統)獲取。實現時，以SNMP方式為例， 網絡設備與檢測客戶端的物理連接的接口需要打開SNMP埠和服務，通過向網絡設備發 送SNMP報文來獲取該網絡設備的特徵信息和業務配置。
[0077] 步驟S303,雲檢測數據中心根據獲取的所述特徵信息及業務配置，在檢測報文庫 中匹配出檢測報文發送給檢測客戶端，通過檢測客戶端對所述待檢測的網絡設備進行檢 測。
[0078] 具體的，對所述待檢測的網絡設備進行檢測時，檢測客戶端將匹配出的檢測報文 發送給待檢測的網絡設備，將該網絡設備的響應告知雲檢測數據中心，雲檢測數據中心將 該網絡設備的響應，在響應行為庫中進行比對，以判斷網絡設備行為是否合法，若行為合 法，則輸出日誌至檢測客戶端，若行不合法，則在輸出日誌至檢測客戶端的同時，追加告警。
[0079] 本實施例中根據在雲檢測數據中心中建立的響應行為庫的不同組成，介紹三種比 對流程：
[0080] 第一種：響應行為庫中包括：人工設置的第一響應行為記錄和檢測開始後保存的 第二響應行為記錄；
[0081] 雲檢測數據中心將待檢測的網絡設備的響應與該匹配的檢測報文對應的第二響 應行為記錄進行比對，若與第二響應行為記錄中的多數一致，則判定行為合法，否則判定行 為不合法；這裡，響應行為記錄中的多數是指響應行為記錄中相同響應數量最多的那種響 應記錄。
[0082] 當該匹配的檢測報文對應的第二響應行為記錄中不能區分出多數一致的響應行 為記錄時，雲檢測數據中心將該網絡設備的響應與第一響應行為記錄進行比對，若與第一 響應行為記錄一致，則判定行為合法，否則判定行為不合法；
[0083] 第二種：響應行為庫中包括：檢測開始後保存的第二響應行為記錄；
[0084] 雲檢測數據中心將待檢測的網絡設備的響應與所述匹配的檢測報文對應的第二 響應行為記錄進行比對，若與第二響應行為記錄中的多數一致，則判定行為合法，否則判定 行為不合法；
[0085] 當所述匹配的檢測報文對應的第二響應行為記錄中不能區分出多數一致的響應 行為記錄時，雲檢測數據中心直接將比對結果判定為行為合法；
[0086] 第三種：響應行為庫中包括：人工設置的第一響應行為記錄；
[0087] 雲檢測數據中心將待檢測的網絡設備的響應與所述匹配的檢測報文對應的第一 響應行為記錄進行比對，若與第一響應行為記錄一致，則判定行為合法，否則判定行為不合 法。
[0088] 優選的，在步驟S301中，檢測報文庫還包括：與網絡設備的類型對應的通用及隨 機檢測報文庫。如圖2所示，通用及隨機檢測報文庫按照網絡設備的類型劃分。承接步驟 S301,本實施例的所述方法還包括：
[0089] 步驟S304,雲檢測數據中心採用通用及隨機檢測報文庫中的報文對所述網絡設備 進行檢測，根據所述網絡設備的響應判斷其是否存在漏洞和後門。
[0090] 具體的，雲檢測數據中心按照待檢測的網絡設備的不同類型採用相應的通用及隨 機檢測報文庫中的報文對該網絡設備進行檢測。該通用及隨機檢測報文庫中的報文還是由 檢測客戶端發送給待檢測的網絡設備，對於通用檢測報文庫，可以為其建立相應的響應行 為庫，後續雲檢測數據中心將該網絡設備的響應，在該通用檢測報文庫的響應行為庫中進 行比對，以判斷網絡設備行為是否合法，若行為合法，則輸出日誌至檢測客戶端，若行不合 法，則在輸出日誌至檢測客戶端的同時，追加告警。
[0091] 對於採用隨機檢測報文庫中的報文進行檢測的情況，後續根據所述網絡設備的響 應判斷其是否存在漏洞和後門。
[0092] 本發明第四實施例，一種網絡設備檢測裝置，如圖6所示，包括以下組成部分：
[0093] 檢測處理模塊100,優選的，位於雲檢測數據中心中，檢測處理模塊100用於基於 網絡設備的特徵信息及業務配置，建立檢測報文庫；根據獲取的所述特徵信息及業務配置 在檢測報文庫中匹配出檢測報文，發送給檢測接口模塊200並通過其對待檢測的網絡設備 進行檢測；
[0094] 檢測接口模塊200,優選的，位於檢測客戶端中，檢測接口模塊200用於獲取待檢 測的網絡設備的特徵信息及業務配置，發送給檢測處理模塊100 ;基於檢測處理模塊100發 來的檢測報文對待檢測的網絡設備進行檢測。
[0095] 具體的，檢測接口模塊100主要是通過SNMP協議或者NETC0NF協議或者用戶端設 備廣域網管理協議TR-069獲取待檢測的網絡設備的特徵信息及業務配置，還可以通過人 工獲取、或者基於Web⑶I管理方式（即網站公開源碼的管理系統)獲取。網絡設備的特徵信 息包括：網絡設備的類型和型號，網絡設備的種類可以根據特徵信息來劃分，建立檢測報文 庫時，每種網絡設備的業務配置的類型至少包括以下之一：接口信息、IP位址配置、VLAN配 置、路由配置、MPLS配置、以及協議配置。
[0096] 本發明第五實施例，一種網絡設備檢測裝置，如圖6所示，包括以下組成部分：
[0097] 檢測處理模塊100,優選的，位於雲檢測數據中心中，檢測處理模塊100用於基於 網絡設備的特徵信息及業務配置，建立檢測報文庫及其對應的響應行為庫；根據獲取的所 述特徵信息及業務配置在檢測報文庫中匹配出檢測報文，發送給檢測接口模塊200並通過 其對待檢測的網絡設備進行檢測；
[0098] 檢測接口模塊200,優選的，位於檢測客戶端中，檢測接口模塊200用於獲取待檢 測的網絡設備的特徵信息及業務配置，發送給檢測處理模塊100 ;基於檢測處理模塊100發 來的檢測報文對待檢測的網絡設備進行檢測。
[0099] 進一步的，對待檢測的網絡設備進行檢測時，檢測接口模塊200還用於：將檢測報 文發送給待檢測的網絡設備，並將待檢測的網絡設備的響應告知檢測處理模塊100。
[0100] 檢測處理模塊100還用於：將所述待檢測的網絡設備的響應在響應行為庫中進行 比對以判斷網絡設備行為是否合法；
[0101] 本實施例中根據響應行為庫的不同組成，介紹三種可選的比對方式：
[0102] 第一種：響應行為庫中包括：人工設置的第一響應行為記錄和檢測開始後保存的 第二響應行為記錄；
[0103] 檢測處理模塊100將待檢測的網絡設備的響應與所述匹配的檢測報文對應的第 二響應行為記錄進行比對，若與第二響應行為記錄中的多數一致，則判定行為合法，否則判 定行為不合法；這裡，響應行為記錄中的多數是指響應行為記錄中相同響應數量最多的那 種響應記錄。
[0104] 當所述匹配的檢測報文對應的第二響應行為記錄中不能區分出多數一致的響應 行為記錄時，將待檢測的網絡設備的響應與第一響應行為記錄進行比對，若與第一響應行 為記錄一致，則判定行為合法，否則判定行為不合法；
[0105] 第二種：響應行為庫中包括：檢測開始後保存的第二響應行為記錄；
[0106] 檢測處理模塊100將待檢測的網絡設備的響應與所述匹配的檢測報文對應的第 二響應行為記錄進行比對，若與第二響應行為記錄中的多數一致，則判定行為合法，否則判 定行為不合法；
[0107] 當所述匹配的檢測報文對應的第二響應行為記錄中不能區分出多數一致的響應 行為記錄時，直接將比對結果判定為行為合法；
[0108] 第三種：響應行為庫中包括：人工設置的第一響應行為記錄；
[0109] 檢測處理模塊100將待檢測的網絡設備的響應與所述匹配的檢測報文對應的第 一響應行為記錄進行比對，若與第一響應行為記錄一致，則判定行為合法，否則判定行為不 合法。
[0110] 檢測報文庫的創建情況如圖2所示，優選的，檢測報文庫還包括與網絡設備的類 型對應的通用及隨機檢測報文庫；
[0111] 檢測處理模塊100還用於：採用通用及隨機檢測報文庫中的報文對所述網絡設備 進行檢測，根據所述網絡設備的響應判斷其是否存在漏洞和後門。
[0112] 具體的，檢測處理模塊100按照待檢測的網絡設備的不同類型採用相應的通用及 隨機檢測報文庫中的報文對所述網絡設備進行檢測，該通用及隨機檢測報文庫中的報文還 是由檢測接口模塊200發送給待檢測的網絡設備，對於通用檢測報文庫，可以具備相應的 響應行為庫，後續檢測處理模塊1〇〇將該網絡設備的響應，在該通用檢測報文庫的響應行 為庫中進行比對，以判斷網絡設備行為是否合法。
[0113] 對於採用隨機檢測報文庫中的報文進行檢測的情況，後續根據所述網絡設備的響 應判斷其是否存在漏洞和後門。
[0114] 本發明第六實施例，一種網絡設備雲檢測系統，如圖7所示，包括雲檢測數據中心 10、檢測客戶端20、以及網絡設備30，其中，
[0115] 檢測處理模塊100,位於雲檢測數據中心10中，用於基於各網絡設備30的特徵信 息及業務配置，建立檢測報文庫；根據獲取的所述特徵信息及業務配置在檢測報文庫中匹 配出檢測報文，發送給檢測接口模塊200並通過其對待檢測的網絡設備30進行檢測；
[0116] 檢測接口模塊200,位於檢測客戶端20中，用於獲取待檢測的網絡設備30的特徵 信息及業務配置，發送給檢測處理模塊100 ;基於檢測處理模塊100發來的檢測報文對待檢 測的網絡設備30進行檢測。
[0117] 下面基於第一?六實施例，介紹一個本發明的應用實例。
[0118] 圖8為本發明應用實例的網絡設備雲檢測系統的拓撲結構示意圖。以網絡設備為 路由器的情況為例，圖9為本發明應用實例中的路由器、檢測客戶端與雲檢測數據中心報 文交互過程示意圖。
[0119] 如圖9所示，本發明應用實例中對路由器的檢測過程，包括以下步驟：
[0120] 101，建立雲檢測數據中心，並配置相關的網絡設備庫、檢測報文庫、報文的響應行 為庫；
[0121] 102,配置檢測客戶端A，被檢測路由器Rl，IP位址為192. 168. 1. 1。
[0122] 103,檢測客戶端A向路由器R1發送SNMP請求報文，路由器R1返回相關的配置信 息至客戶端A。
[0123] 104,檢測客戶端A獲取了路由器R1的型號為X型號系列路由器、配置了 NAT、 OSPF、LSP協議等業務信息。
[0124] 105,檢測客戶端A將路由器R1的相關特徵信息告知雲檢測數據中心。
[0125] 106,雲檢測數據中心對路由器R1特徵信息分析並進行檢測報文庫的匹配。
[0126] 107,雲檢測數據中心通知檢測客戶端A準備完畢。
[0127] 108,檢測客戶端A通知雲檢測數據中心，獲取第1條檢測報文。
[0128] 109,雲檢測數據中心根據路由器R1相關MAC、IP等配置信息，封裝完整的一條檢 測報文，並發送給檢測客戶端A。
[0129] 110,檢測客戶端收到檢測報文後，將該檢測報文發送至被檢測路由器R1，路由器 R1做出響應，並回復報文至檢測客戶端A。
[0130] 111，檢測客戶端A收到響應報文後，發送響應報文至雲檢測數據中心。
[0131] 112,雲檢測數據中心將響應報文與響應行為庫中的記錄進行比對，若行為合法， 則輸出日誌至檢測客戶端A ;若行為不合法，則在輸出日誌至檢測客戶端A的同時追加告 警；
[0132] 113,檢測客戶端A對日誌和告警進行處理。並請求第2條檢測報文，重複如上步 驟。
[0133] 114,當第2條報文從檢測客戶端A發送至路由器R1時，路由器R1沒有響應。
[0134] 115,檢測客戶端A等待設定的時間T之後，通知雲檢測數據中心路由器R1 "無響 應"。
[0135] 116,雲檢測數據中心根據路由器R1 "無響應"的行為，和響應行為庫中的記錄進 行比對，若行為合法，則輸出日誌至客戶端A ;若行為不合法，則在輸出日誌至檢測客戶端A 的同時追加告警。
[0136] 本發明實施例的網絡設備檢測方法、裝置及雲檢測系統，能夠有針對性的發現網 絡設備的業務漏洞和缺陷。在採用通用及隨機檢測報文進行檢測的情況下，通過判斷檢測 結果可以發現網絡設備的漏洞和後門，進而實現全面有效的對網絡設備進行檢測。本發明 所述網絡設備雲檢測系統，將檢測報文庫創建於雲檢測數據中心中，便於編輯與維護，且與 現有技術中將測試用例、報文庫、漏洞庫、插件庫等掃描素材定製化、安裝在檢測客戶端裝 置中相比，本發明檢測客戶端可以與雲檢測數據中心中進行實時連接進行檢測，檢測結果 實時性與交互性較好。
[0137] 通過【具體實施方式】的說明，應當可對本發明為達成預定目的所採取的技術手段及 功效得以更加深入且具體的了解，然而所附圖示僅是提供參考與說明之用，並非用來對本 發明加以限制。
【權利要求】
1. 一種網絡設備檢測方法，其特徵在於，包括： 基於網絡設備的特徵信息及業務配置，建立檢測報文庫； 獲取待檢測的網絡設備的特徵信息及業務配置； 根據獲取的所述特徵信息及業務配置，在檢測報文庫中匹配出檢測報文，利用匹配出 的檢測報文對所述待檢測的網絡設備進行檢測。
2. 根據權利要求1所述的網絡設備檢測方法，其特徵在於，所述方法還包括：基於網絡 設備的特徵信息及業務配置，建立與檢測報文庫對應的響應行為庫； 對所述待檢測的網絡設備進行檢測時，將所述待檢測的網絡設備的響應在響應行為庫 中進行比對，以判斷網絡設備行為是否合法。
3. 根據權利要求2所述的網絡設備檢測方法，其特徵在於，通過簡單網絡管理協議 SNMP或者網絡配置協議NETCONF或者用戶端設備廣域網管理協議TR-069獲取待檢測的網 絡設備的特徵信息及業務配置。
4. 根據權利要求2所述的網絡設備檢測方法，其特徵在於，所述網絡設備的特徵信息 包括：網絡設備的類型和型號； 建立檢測報文庫時，網絡設備的業務配置的類型至少包括以下之一：接口信息、網際網路 協議IP位址配置、虛擬區域網VLAN配置、路由配置、多協議標籤交換MPLS、以及協議配置。
5. 根據權利要求4所述的網絡設備檢測方法，其特徵在於，所述檢測報文庫包括與網 絡設備的類型對應的通用及隨機檢測報文庫； 所述方法還包括：採用通用及隨機檢測報文庫中的報文對所述網絡設備進行檢測，根 據所述網絡設備的響應判斷其是否存在漏洞和後門。
6. 根據權利要求1-5中任一項所述的網絡設備檢測方法，其特徵在於，所述方法還包 括：當網絡設備的特徵信息及業務配置發生變化時，對所述檢測報文庫進行維護更新。
7. -種網絡設備檢測裝置，其特徵在於，包括： 檢測處理模塊，用於基於網絡設備的特徵信息及業務配置，建立檢測報文庫；根據獲取 的所述特徵信息及業務配置在檢測報文庫中匹配出檢測報文，發送給檢測接口模塊並通過 其對待檢測的網絡設備進行檢測； 檢測接口模塊，用於獲取待檢測的網絡設備的特徵信息及業務配置，發送給檢測處理 模塊；基於檢測處理模塊發來的檢測報文對待檢測的網絡設備進行檢測。
8. 根據權利要求7所述的網絡設備檢測裝置，其特徵在於，所述檢測處理模塊，還用 於：基於網絡設備的特徵信息及業務配置，建立與檢測報文庫對應的響應行為庫；對所述 待檢測的網絡設備進行檢測時，將所述待檢測的網絡設備的響應在響應行為庫中進行比對 以判斷網絡設備行為是否合法； 所述檢測接口模塊，還用於將待檢測的網絡設備的響應告知檢測處理模塊。
9. 根據權利要求7所述的網絡設備檢測裝置，其特徵在於，所述檢測接口模塊，具體用 於：通過簡單網絡管理協議SNMP或者網絡配置協議NETCONF或者用戶端設備廣域網管理協 議TR-069獲取待檢測的網絡設備的特徵信息及業務配置。
10. 根據權利要求7所述的網絡設備檢測裝置，其特徵在於，所述網絡設備的特徵信息 包括：網絡設備的類型和型號； 建立檢測報文庫時，網絡設備的業務配置的類型至少包括以下之一：接口信息、IP地 址配置、VLAN配置、路由配置、MPLS配置、以及協議配置。
11. 根據權利要求10所述的網絡設備檢測裝置，其特徵在於，所述檢測報文庫包括與 網絡設備的類型對應的通用及隨機檢測報文庫； 所述檢測處理模塊，還用於採用通用及隨機檢測報文庫中的報文對所述網絡設備進行 檢測，根據所述網絡設備的響應判斷其是否存在漏洞和後門； 所述檢測接口模塊，還用於將待檢測的網絡設備的響應告知檢測處理模塊。
12. 根據權利要求7-11中任一項所述的網絡設備檢測裝置，其特徵在於，所述檢測處 理模塊，還用於當網絡設備的特徵信息及業務配置發生變化時，對所述檢測報文庫進行維 護更新。
13. -種網絡設備雲檢測系統，其特徵在於，包括網絡設備檢測裝置和網絡設備，其中， 所述網絡設備檢測裝置包括： 檢測處理模塊，位於雲檢測數據中心中，用於基於網絡設備的特徵信息及業務配置，建 立檢測報文庫；根據獲取的所述特徵信息及業務配置在檢測報文庫中匹配出檢測報文，發 送給檢測接口模塊並通過其對待檢測的網絡設備進行檢測； 檢測接口模塊，位於檢測客戶端中，用於獲取待檢測的網絡設備的特徵信息及業務配 置，發送給檢測處理模塊；基於檢測處理模塊發來的檢測報文對待檢測的網絡設備進行檢 測。
【文檔編號】H04L29/08GK104113443SQ201310138033
【公開日】2014年10月22日 申請日期:2013年4月19日 優先權日:2013年4月19日
【發明者】孟偉 申請人:中興通訊股份有限公司