[发明专利]一种非法入网设备的检测方法及装置

说明书

本发明是关于一种非法入网设备的检测方法及装置，该方法首先持续从服务器的DHCP报文日志中包含第一预设关键字的行信息中提取第一客户端物理地址并存入到指定数据库、以及从包含第二预设关键字的行信息中提取第二客户端物理地址；然后，判断存入在该数据库中的第一客户端物理在其被存入到所述数据库中后的预设时间内能否从提取的第二客户端物理地址中匹配到相同的客户端物理地址，如果不能，则将该第一客户端物理地址对应的客户端主机判定为非法设备。本发明根据非法入网络与合法入网设备对应DHCP响应过程不同的特点，对DHCP报文日志的实时检测分析，实现对非法入网设备的检测，并且该方法可与DHCP响应过程同步，具有检测速度快的优势。

技术领域

本发明涉及通信技术领域，尤其涉及一种非法入网设备的检测方法及装置。

背景技术

随着通信技术的快速进步，社会各个领域的信息化程度都在逐步提高，越来越多的企业、政府部门及军事机构开始建立自己的局域网系统。

在上述局域网络系统中，为能够集中的管理和分配IP地址，通常采用DHCP(Dynamic Host Configuration Protocol，动态主机配置协议)来给网络客户端分配IP地址。具体的，DHCP使用客户端/服务器模式，网络管理员建立一个或多个DHCP服务器，在这些服务器中保存有可以提供给客户端的TCP/IP配置信息，其中，该配置信息包括网络客户的有效配置参数、分配给客户的有效IP地址池(包括为手工配置而保留的地址)、服务器提供的租约持续时间。如果将TCP/IP网络上的计算机设定为从DHCP服务器获得IP地址，这些计算机则成为DHCP客户端主机，启动DHCP客户端主机时，它与DHCP服务器通信以接收必要的TCP/IP配置信息。

进一步的，DHCP服务器为DHCP客户端主机分配TCP/IP地址的方式包括手工分配、自动分配和动态分配，其中，为了防止非法的DHCP请求，现有技术中通常采用手工方式分配TCP/IP地址。图1为DHCP响应IP地址分配请求的基本过程示意图。如图1所示，客户端主机接入网络后，需要申请一个IP地址才能使用网络，它会在本地子网内广播一个DHCPDISCOVER消息，该消息中可以包括一些选项，要求获得指定的网络地址和租期等；由于在手工分配中，网络管理员在DHCP服务器通过手工方法配置DHCP客户端主机的IP地址，所以，DHCP服务器收到DHCPDISCOVER消息后，服务器根据客户端主机MAC(Medium Access Control，物理地址)寻找到对应的固定IP地址分配给客户端主机，并回应一个DHCPOFFER消息；客户端主机根据DHCPOFFER消息中的配置参数来选择其中一个服务器作为回应，客户端回应的消息是DHCPREQUEST消息；最后，服务器向客户端主机发送DHCPACKNOWLEDGE消息以确认IP租约，这样客户端主机才能与网络中的其他主机进行通信。

然而，在局域网络系统中，经常存在一些客户端主机，在还没有分配IP地址时就进行了设备加电操作，这不仅浪费了电力资源，并且，从数据中心管理方面来说，也违反了设备上架规则。

发明内容

为克服相关技术中存在的问题，本发明提供一种非法入网设备的检测方法及装置。

根据本发明实施例的第一方面，提供一种非法入网设备的检测方法，该方法包括：

持续从服务器的动态主机配置协议DHCP报文日志中抓取包含第一预设关键字的行信息和包含第二预设关键字的行信息，其中，所述第一预设关键字包括DISCOVER，所述第二预设关键字包括OFFER或REQUEST；

从抓取的所述包含第一预设关键字的行信息中提取第一客户端物理地址并存入到指定的数据库中，以及从抓取的所述包含第二预设关键字的行信息中提取第二客户端物理地址；

判断存入到所述数据库中的第一客户端物理地址在被存入到所述数据库中后的预设时间内，能否从提取的第二客户端物理地址中匹配到相同的客户端物理地址；