[发明专利]检测仿冒网络设备的方法和装置

说明书

技术领域

本发明涉及局域网技术，特别是涉及一种检测仿冒网络设备的方法和装置。

背景技术

因特网协议(Internet Protocol，简称IP)规定每个网络设备的IP地址是唯一的，且在以太网(Ethernet)中每个网络设备都有唯一的介质访问控制(Media Access Control，简称MAC)地址，因此，网络设备可通过IP地址和MAC地址结合的方式唯一标识。

在基于美国电气电子工程师学会(Institute of Electrical andElectronic Engineers，简称IEEE)802委员会制定的局域网(Local AreaNetwork，简称LAN)标准中的802.1x认证协议，进行用户接入认证的过程中，需要访问外部网络的第一网络设备向交换机发送接入认证请求；交换机将接入认证请求转发给认证服务器，由认证服务器对该认证请求进行认证；如果认证通过，交换机可打开相应的交换机端口，在局域网和外部网络之间放行具有第一网络设备的IP地址和MAC地址的报文；以下将已通过接入认证的网络设备称为合法网络设备。如果有人将自己使用的网络设备(以下称为第二网络设备)的IP地址和MAC地址，分别与合法网络设备的IP地址和MAC地址设置得完全一致，第二网络设备则不需要进行接入认证就可访问外部网络。以下将自身的MAC地址和IP地址设置成与其他网络设备真实的MAC地址和IP地址的网络设备，称为仿冒网络设备。如果局域网中存在仿冒网络设备，交换机则无法区分已通过接入认证的合法网络设备还是仿冒网络设备，仿冒网络设备无需认证即可访问外部网络并可获得合法网络设备相同的权益，从而增加了安全隐患。

为了检测局域网中是否存在同时盗用合法网络设备的IP地址和MAC地址的仿冒网络设备，现有技术提供了两种实现方法。现有技术一是基于仿冒网络设备的特征实现检测，例如可通过检测局域网中是否有不同网络设备存在完全相同的IP地址和MAC地址，进而判断局域网中是否存在仿冒网络设备。该检测数据包容易被仿冒网络设备通过一些过滤机制，如增设防火墙的方式过滤掉，从而使得仿冒网络设备躲过检测。现有技术二可采用交换机和网络设备一起配合统计流量的方法实现，例如可通过检测合法网络设备上的网络流量和交换机上的网络流量是否一致，进而判断网络中是否存在仿冒网络设备。但该方法需要相应设备在有限的资源上分出部分资源以进行流量统计，因而影响了设备性能，此外，由于交换机和合法网络设备之间在检测过程中存在信息交互，因此增加了网络部署及网络设备维护的难度，使得该方法实现的复杂度较高。

通过上述分析可知，检测局域网中是否存在同时盗用合法网络设备的IP地址和MAC地址的仿冒网络设备的现有技术，至少存在着检测效率较低的技术缺陷。

发明内容

本发明提供一种检测仿冒网络设备的方法和装置，用以提高局域网中是否存在仿冒网络设备的检测效率。

本发明提供了一种检测仿冒网络设备的方法，包括：

获取与合法网络设备运行的各应用程序相应的第一端口信息，以及与所述合法网络设备接收得到的报文所属应用程序相应的第二端口信息；

匹配所述第二端口信息与获取的所述第一端口信息；

在所述第二端口信息与所述第一端口信息匹配失败时，确定所述合法网络设备当前所在的局域网中，存在与所述合法网络设备相关的仿冒网络设备。

本发明还提供了一种检测仿冒网络设备的装置，包括：

端口信息获取模块，用于获取与合法网络设备运行的各应用程序相应的第一端口信息，以及与所述合法网络设备接收得到的报文所属应用程序相应的第二端口信息；

匹配模块，用于匹配所述第二端口信息与获取的所述第一端口信息；

判决模块，用于在所述第二端口信息与所述第一端口信息匹配失败时，确定所述合法网络设备当前所在的局域网中，存在与所述合法网络设备相关的仿冒网络设备。

本发明在检测局域网中是否存在同时盗用合法网络设备的IP地址和MAC地址的仿冒网络设备时，只需要在合法网络设备上即可以完成仿冒网络设备的检测过程，所以仿冒网络设备避开检测的难度较大，检测过程相对简单，明显提高了仿冒网络设备的检测效率。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本发明第一实施例提供的检测仿冒网络设备的方法流程图；