一种网络设备检测方法、装置及云检测系统的制作方法

一种网络设备检测方法、装置及云检测系统的制作方法
【专利摘要】本发明公开了一种网络设备检测方法、装置及云检测系统，该方法包括：基于网络设备的特征信息及业务配置，建立检测报文库；获取待检测的网络设备的特征信息及业务配置；根据获取的所述特征信息及业务配置在检测报文库中匹配出检测报文，采用匹配出的检测报文对所述待检测的网络设备进行检测。该云检测系统包括云检测数据中心、检测客户端以及网络设备。本发明能够有针对性的发现网络设备的漏洞和缺陷，且检测客户端可以与云检测数据中心中进行实时连接进行检测，检测结果实时性与交互性较好。
【专利说明】一种网络设备检测方法、装置及云检测系统

【技术领域】
[0001] 本发明涉及互联网设备【技术领域】，尤其涉及一种网络设备检测方法、装置及云检 测系统。

【背景技术】
[0002] 网络设备检测和故障发现技术是一种能够有效的发现当前运行的网络设备潜在 缺陷和隐藏后门的技术，目前已经成为网络安全研究中的热点之一，针对发现缺陷和后门 的网络设备检测的安全技术进行分析和研究，具有重要的现实意义。
[0003] 网络设备检测是进行远程或本地系统性测试的一种技术。其基本原理是采用模拟 构造各类报文对目标路由器、交换机或防火墙进行发送的方式，并且对目标网络设备可能 存在的缺陷进行逐项检测，以便对路由器、交换机、防火墙等对象进行系统可靠性评估。借 助于基于报文的检测技术，人们可以发现网络和主机存在的对外开放的端口、提供的服务、 某些系统信息、错误的配置、已知的漏洞、未知的漏洞、后门等。故网络设备检测技术是一种 极为有效的自动测试技术，能发现用户购买、测试、现网运行中的设备隐患，为用户采购、评 估网络设备的可靠性，提供强有力的技术支持。
[0004] 目前在多数网络设备扫描客户端或网络设备检测的客户端中，多数只安装一种或 固定的几种扫描软件，但是问题在于，没有任何一种检测软件可以扫描和测试所有网络设 备的缺陷。同时，大多数测试用例，尤其是新技术新标准的检测用例需要用户手动添加，增 加了维护和开发的难度和成本，并且不能完整的补充案例和报文库。
[0005] 另外，现有的网络扫描技术目标不单一，目的不明确，并不能全面而有效的发现路 由器、交换机或防火墙的漏洞。并且现有的网络扫描技术没有和网络中存在的业务，例如 路由协议、MPLS (Multi-Protocol Label Switching，多协议标签交换）、IPsec (Internet Protocol Security,通过对IP协议的分组进行加密和认证来保护IP协议的网络传输协议 族）等相关联，因此不能有针对性的发现业务的漏洞和缺陷。


【发明内容】

[0006] 本发明要解决的技术问题是，提供一种网络设备检测方法、装置及云检测系统，能 够有针对性的对网络设备的业务漏洞和缺陷进行检测。
[0007] 本发明采用的技术方案是，所述网络设备检测方法，包括：
[0008] 基于网络设备的特征信息及业务配置，建立检测报文库；
[0009] 获取待检测的网络设备的特征信息及业务配置；
[0010] 根据获取的所述特征信息及业务配置，在检测报文库中匹配出检测报文，利用匹 配出的检测报文对所述待检测的网络设备进行检测。
[0011] 进一步的，所述方法还包括：基于网络设备的特征信息及业务配置，建立与检测报 文库对应的响应行为库；
[0012] 对所述待检测的网络设备进行检测时，将所述待检测的网络设备的响应在响应行 为库中进行比对以判断网络设备行为是否合法。
[0013] 进一步的，通过 SNMP (Simple Network Management Protocol，简单网络管理协 议)或者网络配置NETC0NF协议或者用户端设备广域网管理协议TR-069获取待检测的网络 设备的特征信息及业务配置。
[0014] 进一步的，所述网络设备的特征信息包括：网络设备的类型和型号；建立检测 报文库时，网络设备的业务配置的类型至少包括以下之一：接口信息、IP (Internet Protocol,互联网协议）地址配置、VLAN (Virtual Local Area Network,虚拟局域网）配 置、路由配置、MPLS (Multi-Protocol Label Switching，多协议标签交换）配置、以及协议 配置。
[0015] 进一步的，所述检测报文库包括与网络设备的类型对应的通用及随机检测报文 库；
[0016] 所述方法还包括：采用通用及随机检测报文库中的报文对所述网络设备进行检 测，根据所述网络设备的响应判断其是否存在漏洞和后门。
[0017] 进一步的，所述方法还包括：当网络设备的特征信息及业务配置发生变化时，对所 述检测报文库进行维护更新。
[0018] 本发明还提供一种网络设备检测装置，包括：
[0019] 检测处理模块，用于基于网络设备的特征信息及业务配置，建立检测报文库；根据 获取的所述特征信息及业务配置在检测报文库中匹配出检测报文，发送给检测接口模块并 通过其对待检测的网络设备进行检测；
[0020] 检测接口模块，用于获取待检测的网络设备的特征信息及业务配置，发送给检测 处理模块；基于检测处理模块发来的检测报文对待检测的网络设备进行检测。
[0021] 进一步的，所述检测处理模块，还用于：基于网络设备的特征信息及业务配置建立 与检测报文库对应的响应行为库；对所述待检测的网络设备进行检测时，将所述待检测的 网络设备的响应在响应行为库中进行比对以判断网络设备行为是否合法；
[0022] 所述检测接口模块，还用于将待检测的网络设备的响应告知检测处理模块。
[0023] 进一步的，所述检测接口模块，具体用于：通过SNMP协议或者NETC0NF协议或者用 户端设备广域网管理协议TR-069获取待检测的网络设备的特征信息及业务配置。
[0024] 所述网络设备的特征信息包括：网络设备的类型和型号；建立检测报文库时，网 络设备的业务配置的类型至少包括以下之一：接口信息、IP地址配置、VLAN配置、路由配 置、MPLS配置、以及协议配置。
[0025] 进一步的，所述检测报文库包括与网络设备的类型对应的通用及随机检测报文 库；
[0026] 所述检测处理模块，还用于采用通用及随机检测报文库中的报文对所述网络设备 进行检测，根据所述网络设备的响应判断其是否存在漏洞和后门；
[0027] 所述检测接口模块，还用于将待检测的网络设备的响应告知检测处理模块。
[0028] 进一步的，所述检测处理模块，还用于当网络设备的特征信息及业务配置发生变 化时，对所述检测报文库进行维护更新。
[0029] 本发明还提供一种采用上述网络设备检测装置的云检测系统，包括云检测数据中 心、检测客户端、以及网络设备，其中，
[0030] 检测处理模块，位于云检测数据中心中，用于基于网络设备的特征信息及业务配 置，建立检测报文库；根据获取的所述特征信息及业务配置在检测报文库中匹配出检测报 文，发送给检测接口模块并通过其对待检测的网络设备进行检测；
[0031] 检测接口模块，位于检测客户端中，用于获取待检测的网络设备的特征信息及业 务配置，发送给检测处理模块；基于检测处理模块发来的检测报文对待检测的网络设备进 行检测。
[0032] 采用上述技术方案，本发明至少具有下列优点：
[0033] 本发明所述网络设备检测方法、装置及云检测系统，能够有针对性的发现网络设 备的业务漏洞和缺陷。在采用通用及随机检测报文进行检测的情况下，通过判断检测结果， 可以发现网络设备的漏洞和后门，进而实现全面有效的对网络设备进行检测。本发明所述 网络设备云检测系统，将检测报文库创建于云检测数据中心中，便于编辑与维护，与现有技 术中将测试用例、报文库、漏洞库、插件库等扫描素材定制化，安装在检测客户端装置中相 t匕，检测客户端可以与云检测数据中心中进行实时连接进行检测，检测结果实时性与交互 性较好。

【专利附图】

【附图说明】
[0034] 图1为本发明第一实施例的网络设备检测方法流程图；
[0035] 图2为本发明的检测报文库建立情况示意图；
[0036] 图3为本发明第二实施例的网络设备检测方法流程图；
[0037] 图4为本发明的响应行为库建立情况示意图；
[0038] 图5为本发明第三实施例的网络设备云检测方法流程图；
[0039] 图6为本发明第四、五实施例的网络设备检测装置组成示意图；
[0040] 图7为本发明第六实施例的网络设备云检测系统组成示意图；
[0041] 图8为本发明应用实例的网络设备云检测系统的拓扑结构示意图；
[0042] 图9为本发明应用实例中对路由器检测的流程图。

【具体实施方式】
[0043] 为更进一步阐述本发明为达成预定目的所采取的技术手段及功效，以下结合附图 及较佳实施例，对本发明进行详细说明如后。
[0044] 本发明第一实施例，一种网络设备检测方法，如图1所示，包括以下具体步骤：
[0045] 步骤S101，基于网络设备的特征信息及业务配置，建立检测报文库。
[0046] 具体的，网络设备的特征信息包括：网络设备的类型和型号，网络设备的种类可以 根据特征信息来划分，建立检测报文库时，每种网络设备的业务配置的类型至少包括以下 之一：接口信息、IP地址配置、VLAN配置、路由配置、MPLS配置、以及协议配置等。该协议配 置包括：IPsec、RADIUS(Remote Authentication Dial In User Service，远程接入拨入用 户服务)、PPP〇E等。
[0047] 网络设备的类型包括：交换机、路由器和防火墙等。图2给出了检测报文库建立 情况示意图，对于路由器类型的网络设备，为路由器下面每一种型号创建该型号路由器的 业务配置所对应的检测报文库，例如，A型号路由器对应的检测报文库包括：0SPF (Open Shortest Path First，开放式最短路径优先）协议检测报文库、IPsec应用检测报文库、 L2VPN (Layer2 Virtual Private Network,基于MPLS网络的二层虚拟专用网服务）应用 检测报文库、PPPoE (point to point protocal over Ethernet，在 Ethernet 上承载点到 点连接协议）检测报文库等，每个与业务配置相关的检测报文库中又包含有若干检测报文。 对于交换机类型的网络设备，为交换机下面每一种型号创建该型号交换机的业务配置所对 应的检测报文库，例如，A型号交换机对应的检测报文库包括：VLAN协议检测报文库、CFM (Connectivity Fault Management,连接故障管理）应用检测报文库、窥探（Snooping)检 测报文库等。对于防火墙类型的网络设备，为防火墙下面每一种型号创建该型号防火墙的 业务配置所对应的检测报文库，例如，A型号防火墙对应的检测报文库包括：NAT (Network Address Translation,网络地址转换）应用检测报文库、ACL (Access Control List,访问 控制列表）应用检测报文库、策略模块检测报文库等。
[0048] 本实施例的检测报文库可以是比较全面的覆盖目前本领域所出现的网络设备种 类及相应的业务配置情况，优选的，当网络设备的特征信息及业务配置发生变化时，可以对 所述检测报文库进行维护更新，比如：当有新的网络设备及业务配置出现时，或者目前建库 所涉及的某种网络设备的业务配置发生变化时，对所述检测报文库中的检测报文进行相应 的增删。
[0049] 步骤S102,获取待检测的网络设备的特征信息及业务配置。
[0050] 具体的，主要是通过SNMP协议或者NETC0NF协议或者用户端设备广域网管理协 议TR-069获取待检测的网络设备的特征信息及业务配置，还可以通过人工获取、或者基于 Web⑶I管理方式（即网站公开源码的管理系统)获取。实现时，以SNMP方式为例，将网络设 备的SNMP端口和服务打开，通过向网络设备发送SNMP报文来获取该网络设备的特征信息 和业务配置。
[0051] 步骤S103,根据获取的所述特征信息及业务配置，在检测报文库中匹配出检测报 文，利用匹配出的检测报文对所述待检测的网络设备进行检测。此时可以根据网络设备的 响应判断其行为是否合法。待检测网络设备业务配置通常与检测报文库中该种网络设备检 测报文所涉及的业务配置有交集，即可匹配出检测报文，若没有交集，则需要对检测报文库 进行更新，以补充新的业务配置检测报文。
[0052] 本发明第二实施例，一种网络设备检测方法，如图3所示，包括以下具体步骤：
[0053] 步骤S201，基于网络设备的特征信息及业务配置，建立检测报文库及其对应的响 应行为库。
[0054] 具体的，本实施例中建立检测报文库的过程与第一实施例中相同。
[0055] 图4给出了响应行为库建立情况示意图，响应行为库中的响应行为记录是与具体 的报文对应的，以交换机类型的网络设备为例，A型号的交换机下有η个报文的响应行为记 录，报文1?3可能属于VLAN协议检测报文库，故报文1?3响应行为记录分别与VLAN协 议检测报文库中的报文1?3对应，而报文4?6可能属于CFM应用检测报文库，故报文 4?6响应行为记录分别与CFM应用检测报文库中的报文4?6对应。再以路由器类型的 网络设备为例，A型号的路由器下有η个报文的响应行为记录，报文1?4可能属于0SPF协 议检测报文库，故报文1?4响应行为记录分别与VLAN协议检测报文库中的报文1?4对 应，A型号路由器与A型号交换机下面的报文的响应行为记录的个数也可以不同。
[0056] 步骤S202,获取待检测的网络设备的特征信息及业务配置。
[0057] 具体的，主要是通过SNMP协议或者NETC0NF协议或者用户端设备广域网管理协 议TR-069获取待检测的网络设备的特征信息及业务配置，还可以通过人工获取、或者基于 Web⑶I管理方式（即网站公开源码的管理系统）获取。
[0058] 步骤S203,根据获取的所述特征信息及业务配置，在检测报文库中匹配出检测报 文，利用匹配出的检测报文对所述待检测的网络设备进行检测。
[0059] 具体的，对所述待检测的网络设备进行检测时，将所述待检测的网络设备的响应 在响应行为库中进行比对，以判断网络设备行为是否合法。
[0060] 本实施例中根据响应行为库的不同组成，介绍三种比对流程：
[0061] 第一种：响应行为库中包括：人工设置的第一响应行为记录和检测开始后保存的 第二响应行为记录；
[0062] 将待检测的网络设备的响应与所述匹配的检测报文对应的第二响应行为记录进 行比对，若与第二响应行为记录中的多数一致，则判定行为合法，否则判定行为不合法；这 里，响应行为记录中的多数是指响应行为记录中相同响应数量最多的那种响应记录。
[0063] 当所述匹配的检测报文对应的第二响应行为记录中不能区分出多数一致的响应 行为记录时，将待检测的网络设备的响应与第一响应行为记录进行比对，若与第一响应行 为记录一致，则判定行为合法，否则判定行为不合法；
[0064] 第二种：响应行为库中包括：检测开始后保存的第二响应行为记录；
[0065] 将待检测的网络设备的响应与所述匹配的检测报文对应的第二响应行为记录进 行比对，若与第二响应行为记录中的多数一致，则判定行为合法，否则判定行为不合法； [0066] 当所述匹配的检测报文对应的第二响应行为记录中不能区分出多数一致的响应 行为记录时，直接将比对结果判定为行为合法；
[0067] 第三种：响应行为库中包括：人工设置的第一响应行为记录；
[0068] 将待检测的网络设备的响应与所述匹配的检测报文对应的第一响应行为记录进 行比对，若与第一响应行为记录一致，则判定行为合法，否则判定行为不合法。
[0069] 优选的，在步骤S201中，检测报文库还包括：与网络设备的类型对应的通用及随 机检测报文库。如图2所示，通用及随机检测报文库按照网络设备的类型划分。承接步骤 S201,本实施例的所述方法还包括：
[0070] 步骤S204,采用通用及随机检测报文库中的报文，对所述网络设备进行检测，根据 所述网络设备的响应判断其是否存在漏洞和后门。
[0071] 具体的，按照待检测的网络设备的不同类型，采用相应的通用及随机检测报文库 中的报文，对所述网络设备进行检测，对于通用检测报文库，可以具备相应的响应行为库， 后续将该网络设备的响应，在该通用检测报文库的响应行为库中进行比对，以判断网络设 备行为是否合法。
[0072] 对于采用随机检测报文库中的报文进行检测的情况，根据所述网络设备的响应判 断其是否存在漏洞和后门。比如：有些网络设备可能在收到某条随机检测报文后，会出现向 指定端口发送本机信息的行为，这就是一种网络设备的后门。
[0073] 本发明第三实施例，本实施例是在第二实施例的基础上引入云检测数据中心和检 测客户端，使它们按照本实施例的步骤执行检测流程，可以作为本发明的最佳实施例，即一 种网络设备检测方法，如图5所示，包括以下具体步骤：
[0074] 步骤S301，在云检测数据中心中基于网络设备的特征信息及业务配置，建立检测 报文库及其对应的响应行为库。本步骤将检测报文库和响应行为库立在云检测数据中心 中，便于对检测报文进行编辑和维护。
[0075] 步骤S302，检测客户端获取待检测的网络设备的特征信息及业务配置。
[0076] 具体的，检测客户端主要是通过SNMP协议或者NETC0NF协议或者用户端设备广域 网管理协议TR-069获取待检测的网络设备的特征信息及业务配置，还可以通过人工获取、 或者基于Web⑶I管理方式（即网站公开源码的管理系统)获取。实现时，以SNMP方式为例， 网络设备与检测客户端的物理连接的接口需要打开SNMP端口和服务，通过向网络设备发 送SNMP报文来获取该网络设备的特征信息和业务配置。
[0077] 步骤S303,云检测数据中心根据获取的所述特征信息及业务配置，在检测报文库 中匹配出检测报文发送给检测客户端，通过检测客户端对所述待检测的网络设备进行检 测。
[0078] 具体的，对所述待检测的网络设备进行检测时，检测客户端将匹配出的检测报文 发送给待检测的网络设备，将该网络设备的响应告知云检测数据中心，云检测数据中心将 该网络设备的响应，在响应行为库中进行比对，以判断网络设备行为是否合法，若行为合 法，则输出日志至检测客户端，若行不合法，则在输出日志至检测客户端的同时，追加告警。
[0079] 本实施例中根据在云检测数据中心中建立的响应行为库的不同组成，介绍三种比 对流程：
[0080] 第一种：响应行为库中包括：人工设置的第一响应行为记录和检测开始后保存的 第二响应行为记录；
[0081] 云检测数据中心将待检测的网络设备的响应与该匹配的检测报文对应的第二响 应行为记录进行比对，若与第二响应行为记录中的多数一致，则判定行为合法，否则判定行 为不合法；这里，响应行为记录中的多数是指响应行为记录中相同响应数量最多的那种响 应记录。
[0082] 当该匹配的检测报文对应的第二响应行为记录中不能区分出多数一致的响应行 为记录时，云检测数据中心将该网络设备的响应与第一响应行为记录进行比对，若与第一 响应行为记录一致，则判定行为合法，否则判定行为不合法；
[0083] 第二种：响应行为库中包括：检测开始后保存的第二响应行为记录；
[0084] 云检测数据中心将待检测的网络设备的响应与所述匹配的检测报文对应的第二 响应行为记录进行比对，若与第二响应行为记录中的多数一致，则判定行为合法，否则判定 行为不合法；
[0085] 当所述匹配的检测报文对应的第二响应行为记录中不能区分出多数一致的响应 行为记录时，云检测数据中心直接将比对结果判定为行为合法；
[0086] 第三种：响应行为库中包括：人工设置的第一响应行为记录；
[0087] 云检测数据中心将待检测的网络设备的响应与所述匹配的检测报文对应的第一 响应行为记录进行比对，若与第一响应行为记录一致，则判定行为合法，否则判定行为不合 法。
[0088] 优选的，在步骤S301中，检测报文库还包括：与网络设备的类型对应的通用及随 机检测报文库。如图2所示，通用及随机检测报文库按照网络设备的类型划分。承接步骤 S301,本实施例的所述方法还包括：
[0089] 步骤S304,云检测数据中心采用通用及随机检测报文库中的报文对所述网络设备 进行检测，根据所述网络设备的响应判断其是否存在漏洞和后门。
[0090] 具体的，云检测数据中心按照待检测的网络设备的不同类型采用相应的通用及随 机检测报文库中的报文对该网络设备进行检测。该通用及随机检测报文库中的报文还是由 检测客户端发送给待检测的网络设备，对于通用检测报文库，可以为其建立相应的响应行 为库，后续云检测数据中心将该网络设备的响应，在该通用检测报文库的响应行为库中进 行比对，以判断网络设备行为是否合法，若行为合法，则输出日志至检测客户端，若行不合 法，则在输出日志至检测客户端的同时，追加告警。
[0091] 对于采用随机检测报文库中的报文进行检测的情况，后续根据所述网络设备的响 应判断其是否存在漏洞和后门。
[0092] 本发明第四实施例，一种网络设备检测装置，如图6所示，包括以下组成部分：
[0093] 检测处理模块100,优选的，位于云检测数据中心中，检测处理模块100用于基于 网络设备的特征信息及业务配置，建立检测报文库；根据获取的所述特征信息及业务配置 在检测报文库中匹配出检测报文，发送给检测接口模块200并通过其对待检测的网络设备 进行检测；
[0094] 检测接口模块200,优选的，位于检测客户端中，检测接口模块200用于获取待检 测的网络设备的特征信息及业务配置，发送给检测处理模块100 ;基于检测处理模块100发 来的检测报文对待检测的网络设备进行检测。
[0095] 具体的，检测接口模块100主要是通过SNMP协议或者NETC0NF协议或者用户端设 备广域网管理协议TR-069获取待检测的网络设备的特征信息及业务配置，还可以通过人 工获取、或者基于Web⑶I管理方式（即网站公开源码的管理系统)获取。网络设备的特征信 息包括：网络设备的类型和型号，网络设备的种类可以根据特征信息来划分，建立检测报文 库时，每种网络设备的业务配置的类型至少包括以下之一：接口信息、IP地址配置、VLAN配 置、路由配置、MPLS配置、以及协议配置。
[0096] 本发明第五实施例，一种网络设备检测装置，如图6所示，包括以下组成部分：
[0097] 检测处理模块100,优选的，位于云检测数据中心中，检测处理模块100用于基于 网络设备的特征信息及业务配置，建立检测报文库及其对应的响应行为库；根据获取的所 述特征信息及业务配置在检测报文库中匹配出检测报文，发送给检测接口模块200并通过 其对待检测的网络设备进行检测；
[0098] 检测接口模块200,优选的，位于检测客户端中，检测接口模块200用于获取待检 测的网络设备的特征信息及业务配置，发送给检测处理模块100 ;基于检测处理模块100发 来的检测报文对待检测的网络设备进行检测。
[0099] 进一步的，对待检测的网络设备进行检测时，检测接口模块200还用于：将检测报 文发送给待检测的网络设备，并将待检测的网络设备的响应告知检测处理模块100。
[0100] 检测处理模块100还用于：将所述待检测的网络设备的响应在响应行为库中进行 比对以判断网络设备行为是否合法；
[0101] 本实施例中根据响应行为库的不同组成，介绍三种可选的比对方式：
[0102] 第一种：响应行为库中包括：人工设置的第一响应行为记录和检测开始后保存的 第二响应行为记录；
[0103] 检测处理模块100将待检测的网络设备的响应与所述匹配的检测报文对应的第 二响应行为记录进行比对，若与第二响应行为记录中的多数一致，则判定行为合法，否则判 定行为不合法；这里，响应行为记录中的多数是指响应行为记录中相同响应数量最多的那 种响应记录。
[0104] 当所述匹配的检测报文对应的第二响应行为记录中不能区分出多数一致的响应 行为记录时，将待检测的网络设备的响应与第一响应行为记录进行比对，若与第一响应行 为记录一致，则判定行为合法，否则判定行为不合法；
[0105] 第二种：响应行为库中包括：检测开始后保存的第二响应行为记录；
[0106] 检测处理模块100将待检测的网络设备的响应与所述匹配的检测报文对应的第 二响应行为记录进行比对，若与第二响应行为记录中的多数一致，则判定行为合法，否则判 定行为不合法；
[0107] 当所述匹配的检测报文对应的第二响应行为记录中不能区分出多数一致的响应 行为记录时，直接将比对结果判定为行为合法；
[0108] 第三种：响应行为库中包括：人工设置的第一响应行为记录；
[0109] 检测处理模块100将待检测的网络设备的响应与所述匹配的检测报文对应的第 一响应行为记录进行比对，若与第一响应行为记录一致，则判定行为合法，否则判定行为不 合法。
[0110] 检测报文库的创建情况如图2所示，优选的，检测报文库还包括与网络设备的类 型对应的通用及随机检测报文库；
[0111] 检测处理模块100还用于：采用通用及随机检测报文库中的报文对所述网络设备 进行检测，根据所述网络设备的响应判断其是否存在漏洞和后门。
[0112] 具体的，检测处理模块100按照待检测的网络设备的不同类型采用相应的通用及 随机检测报文库中的报文对所述网络设备进行检测，该通用及随机检测报文库中的报文还 是由检测接口模块200发送给待检测的网络设备，对于通用检测报文库，可以具备相应的 响应行为库，后续检测处理模块1〇〇将该网络设备的响应，在该通用检测报文库的响应行 为库中进行比对，以判断网络设备行为是否合法。
[0113] 对于采用随机检测报文库中的报文进行检测的情况，后续根据所述网络设备的响 应判断其是否存在漏洞和后门。
[0114] 本发明第六实施例，一种网络设备云检测系统，如图7所示，包括云检测数据中心 10、检测客户端20、以及网络设备30，其中，
[0115] 检测处理模块100,位于云检测数据中心10中，用于基于各网络设备30的特征信 息及业务配置，建立检测报文库；根据获取的所述特征信息及业务配置在检测报文库中匹 配出检测报文，发送给检测接口模块200并通过其对待检测的网络设备30进行检测；
[0116] 检测接口模块200,位于检测客户端20中，用于获取待检测的网络设备30的特征 信息及业务配置，发送给检测处理模块100 ;基于检测处理模块100发来的检测报文对待检 测的网络设备30进行检测。
[0117] 下面基于第一?六实施例，介绍一个本发明的应用实例。
[0118] 图8为本发明应用实例的网络设备云检测系统的拓扑结构示意图。以网络设备为 路由器的情况为例，图9为本发明应用实例中的路由器、检测客户端与云检测数据中心报 文交互过程示意图。
[0119] 如图9所示，本发明应用实例中对路由器的检测过程，包括以下步骤：
[0120] 101，建立云检测数据中心，并配置相关的网络设备库、检测报文库、报文的响应行 为库；
[0121] 102,配置检测客户端A，被检测路由器Rl，IP地址为192. 168. 1. 1。
[0122] 103,检测客户端A向路由器R1发送SNMP请求报文，路由器R1返回相关的配置信 息至客户端A。
[0123] 104,检测客户端A获取了路由器R1的型号为X型号系列路由器、配置了 NAT、 OSPF、LSP协议等业务信息。
[0124] 105,检测客户端A将路由器R1的相关特征信息告知云检测数据中心。
[0125] 106,云检测数据中心对路由器R1特征信息分析并进行检测报文库的匹配。
[0126] 107,云检测数据中心通知检测客户端A准备完毕。
[0127] 108,检测客户端A通知云检测数据中心，获取第1条检测报文。
[0128] 109,云检测数据中心根据路由器R1相关MAC、IP等配置信息，封装完整的一条检 测报文，并发送给检测客户端A。
[0129] 110,检测客户端收到检测报文后，将该检测报文发送至被检测路由器R1，路由器 R1做出响应，并回复报文至检测客户端A。
[0130] 111，检测客户端A收到响应报文后，发送响应报文至云检测数据中心。
[0131] 112,云检测数据中心将响应报文与响应行为库中的记录进行比对，若行为合法， 则输出日志至检测客户端A ;若行为不合法，则在输出日志至检测客户端A的同时追加告 警；
[0132] 113,检测客户端A对日志和告警进行处理。并请求第2条检测报文，重复如上步 骤。
[0133] 114,当第2条报文从检测客户端A发送至路由器R1时，路由器R1没有响应。
[0134] 115,检测客户端A等待设定的时间T之后，通知云检测数据中心路由器R1 "无响 应"。
[0135] 116,云检测数据中心根据路由器R1 "无响应"的行为，和响应行为库中的记录进 行比对，若行为合法，则输出日志至客户端A ;若行为不合法，则在输出日志至检测客户端A 的同时追加告警。
[0136] 本发明实施例的网络设备检测方法、装置及云检测系统，能够有针对性的发现网 络设备的业务漏洞和缺陷。在采用通用及随机检测报文进行检测的情况下，通过判断检测 结果可以发现网络设备的漏洞和后门，进而实现全面有效的对网络设备进行检测。本发明 所述网络设备云检测系统，将检测报文库创建于云检测数据中心中，便于编辑与维护，且与 现有技术中将测试用例、报文库、漏洞库、插件库等扫描素材定制化、安装在检测客户端装 置中相比，本发明检测客户端可以与云检测数据中心中进行实时连接进行检测，检测结果 实时性与交互性较好。
[0137] 通过【具体实施方式】的说明，应当可对本发明为达成预定目的所采取的技术手段及 功效得以更加深入且具体的了解，然而所附图示仅是提供参考与说明之用，并非用来对本 发明加以限制。
【权利要求】
1. 一种网络设备检测方法，其特征在于，包括： 基于网络设备的特征信息及业务配置，建立检测报文库； 获取待检测的网络设备的特征信息及业务配置； 根据获取的所述特征信息及业务配置，在检测报文库中匹配出检测报文，利用匹配出 的检测报文对所述待检测的网络设备进行检测。
2. 根据权利要求1所述的网络设备检测方法，其特征在于，所述方法还包括：基于网络 设备的特征信息及业务配置，建立与检测报文库对应的响应行为库； 对所述待检测的网络设备进行检测时，将所述待检测的网络设备的响应在响应行为库 中进行比对，以判断网络设备行为是否合法。
3. 根据权利要求2所述的网络设备检测方法，其特征在于，通过简单网络管理协议 SNMP或者网络配置协议NETCONF或者用户端设备广域网管理协议TR-069获取待检测的网 络设备的特征信息及业务配置。
4. 根据权利要求2所述的网络设备检测方法，其特征在于，所述网络设备的特征信息 包括：网络设备的类型和型号； 建立检测报文库时，网络设备的业务配置的类型至少包括以下之一：接口信息、互联网 协议IP地址配置、虚拟局域网VLAN配置、路由配置、多协议标签交换MPLS、以及协议配置。
5. 根据权利要求4所述的网络设备检测方法，其特征在于，所述检测报文库包括与网 络设备的类型对应的通用及随机检测报文库； 所述方法还包括：采用通用及随机检测报文库中的报文对所述网络设备进行检测，根 据所述网络设备的响应判断其是否存在漏洞和后门。
6. 根据权利要求1-5中任一项所述的网络设备检测方法，其特征在于，所述方法还包 括：当网络设备的特征信息及业务配置发生变化时，对所述检测报文库进行维护更新。
7. -种网络设备检测装置，其特征在于，包括： 检测处理模块，用于基于网络设备的特征信息及业务配置，建立检测报文库；根据获取 的所述特征信息及业务配置在检测报文库中匹配出检测报文，发送给检测接口模块并通过 其对待检测的网络设备进行检测； 检测接口模块，用于获取待检测的网络设备的特征信息及业务配置，发送给检测处理 模块；基于检测处理模块发来的检测报文对待检测的网络设备进行检测。
8. 根据权利要求7所述的网络设备检测装置，其特征在于，所述检测处理模块，还用 于：基于网络设备的特征信息及业务配置，建立与检测报文库对应的响应行为库；对所述 待检测的网络设备进行检测时，将所述待检测的网络设备的响应在响应行为库中进行比对 以判断网络设备行为是否合法； 所述检测接口模块，还用于将待检测的网络设备的响应告知检测处理模块。
9. 根据权利要求7所述的网络设备检测装置，其特征在于，所述检测接口模块，具体用 于：通过简单网络管理协议SNMP或者网络配置协议NETCONF或者用户端设备广域网管理协 议TR-069获取待检测的网络设备的特征信息及业务配置。
10. 根据权利要求7所述的网络设备检测装置，其特征在于，所述网络设备的特征信息 包括：网络设备的类型和型号； 建立检测报文库时，网络设备的业务配置的类型至少包括以下之一：接口信息、IP地 址配置、VLAN配置、路由配置、MPLS配置、以及协议配置。
11. 根据权利要求10所述的网络设备检测装置，其特征在于，所述检测报文库包括与 网络设备的类型对应的通用及随机检测报文库； 所述检测处理模块，还用于采用通用及随机检测报文库中的报文对所述网络设备进行 检测，根据所述网络设备的响应判断其是否存在漏洞和后门； 所述检测接口模块，还用于将待检测的网络设备的响应告知检测处理模块。
12. 根据权利要求7-11中任一项所述的网络设备检测装置，其特征在于，所述检测处 理模块，还用于当网络设备的特征信息及业务配置发生变化时，对所述检测报文库进行维 护更新。
13. -种网络设备云检测系统，其特征在于，包括网络设备检测装置和网络设备，其中， 所述网络设备检测装置包括： 检测处理模块，位于云检测数据中心中，用于基于网络设备的特征信息及业务配置，建 立检测报文库；根据获取的所述特征信息及业务配置在检测报文库中匹配出检测报文，发 送给检测接口模块并通过其对待检测的网络设备进行检测； 检测接口模块，位于检测客户端中，用于获取待检测的网络设备的特征信息及业务配 置，发送给检测处理模块；基于检测处理模块发来的检测报文对待检测的网络设备进行检 测。
【文档编号】H04L29/08GK104113443SQ201310138033
【公开日】2014年10月22日 申请日期:2013年4月19日 优先权日:2013年4月19日
【发明者】孟伟 申请人:中兴通讯股份有限公司