一种网络设备配置方法及网络设备

1.本发明属于网络设备配置技术领域，尤其涉及一种网络设备配置方法及网络设备。


背景技术：

2.网络设备是用来将各类服务器、pc、应用终端等节点相互连接，构成信息通信网络的专用硬件设备。包括信息网络设备、通信网络设备、网络安全设备等。常见网络设备有：交换机、路由器、防火墙、网桥、集线器、网关、vpn服务器、网络接口卡(nic)、无线接入点(wap)、调制解调器、5g基站、光端机、光纤收发器、光缆等。广义上，接入网络的设备都可以称作为网络设备，比如：网络计算机(无论其为个人电脑或服务器)、网络打印机、网络摄像头、rtu、智能手机等；然而，现有网络设备配置方法及网络设备不能进行自动配置；同时，不能实时对网络安全进行评估；及对网络评估不准确。
3.通过上述分析，现有技术存在的问题及缺陷为：
4.(1)现有网络设备配置方法及网络设备不能进行自动配置。
5.(2)不能实时对网络安全进行评估；及对网络评估不准确。


技术实现要素：

6.针对现有技术存在的问题，本发明提供了一种网络设备配置方法及网络设备。
7.本发明是这样实现的，一种网络设备包括：
8.网络信号检测模块、网络主机检测模块、网络攻击检测模块、主控模块、ip地址配置模块、通信模块、网络安全评估模块、网络账号配置模块、警报模块；
9.网络信号检测模块，与主控模块连接，用于检测网络通信信号；
10.网络主机检测模块，与主控模块连接，用于检测网络终端主机；
11.网络攻击检测模块，与主控模块连接，用于检测网络攻击信息；
12.主控模块，与网络信号检测模块、网络主机检测模块、网络攻击检测模块、ip地址配置模块、通信模块、网络安全评估模块、网络账号配置模块、警报模块9连接，用于控制各个模块正常工作；
13.ip地址配置模块，与主控模块连接，用于对网络终端主机ip地址进行配置；
14.通信模块，与主控模块连接，用于对网络设备进行网络通信；
15.网络安全评估模块，与主控模块连接，用于通过评估程序对网络安全进行评估；
16.网络账号配置模块，与主控模块连接，用于对网络设备管理账号进行配置；
17.警报模块，与主控模块连接，用于对网络异常进行警报通知。
18.本发明的另一目的在于提供一种网络设备配置方法，包括以下步骤：
19.步骤一，通过网络信号检测模块检测网络通信信号；通过网络主机检测模块检测网络终端主机；通过网络攻击检测模块检测网络攻击信息；
20.步骤二，主控模块通过ip地址配置模块对网络终端主机ip地址进行配置；
21.步骤三，通过通信模块对网络设备进行网络通信；通过网络安全评估模块利用评估程序对网络安全进行评估；
22.步骤四，通过网络账号配置模块对网络设备管理账号进行配置；
23.步骤五，通过警报模块对网络异常进行警报通知。
24.进一步，所述通信模块通信方法如下：
25.(1)通过测试设备测试目标网络设备是否正常；当目标网络设备接入网络时，获取邻居设备发送的邻居发现协议nd消息，所述nd消息中携带网管服务器的信息，所述网管服务器的信息包括互联网协议ip地址或统一资源标识符url或域名；
26.(2)目标网络设备根据所述nd消息，获取所述网管服务器的信息；
27.(3)目标网络设备利用所述网管服务器的信息，与所述网管服务器进行通信；
28.所述目标网络设备自动生成唯一本地地址ula地址；所述目标网络设备利用所述网管服务器的信息，与所述网管服务器进行通信，具体包括：所述目标网络设备向所述邻居设备发送以所述ula地址为源地址、所述网管服务器的ip地址为目的地址的第一数据报文；所述邻居设备将所述第一数据报文中的所述ula地址替换成全球唯一地址gua地址后，发送替换后的所述第一数据报文给所述网管服务器；所述网管服务器的ip地址从所述网管服务器的信息中得到；所述目标网络设备通过所述邻居设备接收所述网管服务器发送的第二数据报文，所述第二数据报文是以所述网管服务器ip地址为源地址、所述第一数据报文的源地址为目的地址的数据报文。
29.进一步，所述nd消息采用邻居发现nd协议的扩展选项来携带所述网管服务器的ip地址或url或域名。
30.进一步，所述nd消息包括路由器通告ra消息、路由请求rs消息、邻居请求ns消息或邻居通告na消息；
31.所述获取邻居设备发送的邻居发现协议nd消息，所述nd消息中携带所述网管服务器的信息，包括：
32.所述目标网络设备接收所述邻居设备广播的路由器通告ra消息，所述ra消息中携带所述网管服务器的信息；
33.或者，所述目标网络设备发送路由请求rs消息给所述邻居设备，再接收所述邻居设备返回的ra消息，所述ra消息中携带所述网管服务器的信息；
34.或者，所述目标网络设备发送邻居请求ns消息给所述邻居设备，再接收所述邻居设备返回的na消息，所述na消息中携带所述网管服务器的信息。
35.进一步，所述通信方法还包括：
36.所述目标网络设备向所述邻居设备获取所述目标网络设备的gua地址；
37.所述目标网络设备利用所述网管服务器的信息，通过所述邻居设备与所述网管服务器进行通信，具体包括：
38.所述目标网络设备通过所述邻居设备向所述网管服务器发送以所述gua地址为源地址、所述网管服务器ip地址为目的地址的数据报文；所述网管服务器的ip地址从所述网管服务器的信息中得到；
39.所述目标网络设备通过所述邻居设备接收所述网管服务器发送的数据报文，所述网管服务器发送的数据报文是以所述网管服务器ip地址为源地址、所述目标网络设备的
gua地址为目的地址的数据报文。
40.进一步，所述网络安全评估模块评估方法如下：
41.1)通过评估程序对网络设备所在网络进行静态风险评估，给出静态评估结果；
42.2)对网络设备所在网络资产进行识别，对资产价值赋值，并将资产与脆弱性进行关联分析；
43.3)采用cvss评估指标对漏洞采用成功概率进行赋值；
44.采用公式计算节点资产重要程度l；其中，lc、li、la分别为节点对应的机密性、完整性、可用性属性的量化值，round函数表示四舍五入到3个小数位；
45.4)检测网络漏洞；
46.5)接收入侵检测系统、防火墙以及第三方的提供的当前节点实时攻击事件告警，并根据不同的漏洞将告警信息分类；对入侵检测、防火墙以及第三方数据样本进行分析；
47.基于公式计算影响节点弱性风险指数的告警数量参数num；
48.其中，ni为某种告警阈值，num为某种告警的数量；
49.基于公式计算影响节点弱性风险指数的告警来源类型cate；其中，cn总的告警来源种类，ci为某种告警的来源种类；
50.基于公式计算影响节点弱性风险指数的告警级别参数lev；其中，n1、n2、n3分别对应高、中、低三个级别告警事件数量，w1、w2、w3为对应级别权值；
51.6)采用公式p＝num
×
cate
×
lev计算节点脆弱性风险指数p，再采用公式ri＝li
×
ti
×
pi计算节点安全风险，对系统进行动态风险评估；其中，ri是节点i的动态风险值，li是节点i的资产重要程度，ti是节点i的漏洞威胁程度，pi是节点i的脆弱性风险指数；
52.7)重复步骤5)至步骤6)，基于威胁对网络设备所在网络动态评估，进而完成对网络设备所在网络的安全评估。
53.进一步，所述采用cvss评估指标对漏洞采用成功概率进行赋值方法：
54.采用公式计算节点资产重要程度l；其中，lc、li、la分别为节点对应的机密性、完整性、可用性属性的量化值，round函数表示四舍五入到3
个小数位。
55.进一步，所述检测网络漏洞方法：
56.采用漏洞扫描器对网络设备所在网络节点进行漏洞识别，检测出当前节点的漏洞，并根据cvss评估指标，采用公式计算出每个漏洞威胁程度t；其中，base为cvss评分，k为漏洞攻击的成功概率，k是一个0～1范围的数字。
57.进一步，所述对入侵检测、防火墙以及第三方数据样本进行分析方法：
58.基于公式计算影响节点弱性风险指数的告警数量参数num；
59.其中，ni为某种告警阈值，num为某种告警的数量；
60.基于公式计算影响节点弱性风险指数的告警来源类型cate；其中，cn总的告警来源种类，ci为某种告警的来源种类；
61.基于公式计算影响节点弱性风险指数的告警级别参数lev；其中，n1、n2、n3分别对应高、中、低三个级别告警事件数量，w1、w2、w3为对应级别权值。
62.结合上述的技术方案和解决的技术问题，请从以下几方面分析本发明所要保护的技术方案所具备的优点及积极效果为：
63.第一、针对上述现有技术存在的技术问题以及解决该问题的难度，紧密结合本发明的所要保护的技术方案以及研发过程中结果和数据等，详细、深刻地分析本发明技术方案如何解决的技术问题，解决问题之后带来的一些具备创造性的技术效果。具体描述如下：
64.本发明通过通信模块利用互联网协议版本ipv6的自动化机制，从目标网络设备的邻居设备获取网管服务器的信息，然后与网管服务器建立通信连接，进而可以从网关服务器获得该目标网络设备的配置信息，可自动对目标网络设备进行初始化配置，实现了目标网络设备的自动化配置，简化了目标网络设备的管理开销；同时，通过网络安全评估模块利用静态和动态相结合的风险评估方法，有效提高网络设备所在网络风险评估的实时性；利用基于漏洞和基于威胁方法来综合评估网络设备所在网络的潜在风险，可有效提高网络设备所在网络风险评估的准确度。
65.第二，把技术方案看做一个整体或者从产品的角度，本发明所要保护的技术方案具备的技术效果和优点，具体描述如下：
66.本发明通过通信模块利用互联网协议版本ipv6的自动化机制，从目标网络设备的邻居设备获取网管服务器的信息，然后与网管服务器建立通信连接，进而可以从网关服务器获得该目标网络设备的配置信息，可自动对目标网络设备进行初始化配置，实现了目标
网络设备的自动化配置，简化了目标网络设备的管理开销；同时，通过网络安全评估模块利用静态和动态相结合的风险评估方法，有效提高网络设备所在网络风险评估的实时性；利用基于漏洞和基于威胁方法来综合评估网络设备所在网络的潜在风险，可有效提高网络设备所在网络风险评估的准确度。
附图说明
67.图1是本发明实施例提供的网络设备配置方法流程图。
68.图2是本发明实施例提供的网络设备结构框图。
69.图3是本发明实施例提供的通信模块通信方法流程图。
70.图4是本发明实施例提供的网络安全评估模块评估方法流程图。
71.图2中：1、网络信号检测模块；2、网络主机检测模块；3、网络攻击检测模块；4、主控模块；5、ip地址配置模块；6、通信模块；7、网络安全评估模块；8、网络账号配置模块；9、警报模块。
具体实施方式
72.为了使本发明的目的、技术方案及优点更加清楚明白，以下结合实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。
73.一、解释说明实施例。为了使本领域技术人员充分了解本发明如何具体实现，该部分是对权利要求技术方案进行展开说明的解释说明实施例。
74.如图1所示，本发明提供的网络设备配置方法包括以下步骤：
75.s101，通过网络信号检测模块检测网络通信信号；通过网络主机检测模块检测网络终端主机；通过网络攻击检测模块检测网络攻击信息；
76.s102，主控模块通过ip地址配置模块对网络终端主机ip地址进行配置；
77.s103，通过通信模块对网络设备进行网络通信；通过网络安全评估模块利用评估程序对网络安全进行评估；
78.s104，通过网络账号配置模块对网络设备管理账号进行配置；
79.s105，通过警报模块对网络异常进行警报通知。
80.如图2所示，本发明实施例提供的网络设备包括：网络信号检测模块1、网络主机检测模块2、网络攻击检测模块3、主控模块4、ip地址配置模块5、通信模块6、网络安全评估模块7、网络账号配置模块8、警报模块9。
81.网络信号检测模块1，与主控模块4连接，用于检测网络通信信号；
82.网络主机检测模块2，与主控模块4连接，用于检测网络终端主机；
83.网络攻击检测模块3，与主控模块4连接，用于检测网络攻击信息；
84.主控模块4，与网络信号检测模块1、网络主机检测模块2、网络攻击检测模块3、ip地址配置模块5、通信模块6、网络安全评估模块7、网络账号配置模块8、警报模块9连接，用于控制各个模块正常工作；
85.ip地址配置模块5，与主控模块4连接，用于对网络终端主机ip地址进行配置；
86.通信模块6，与主控模块4连接，用于对网络设备进行网络通信；
87.网络安全评估模块7，与主控模块4连接，用于通过评估程序对网络安全进行评估；
88.网络账号配置模块8，与主控模块4连接，用于对网络设备管理账号进行配置；
89.警报模块9，与主控模块4连接，用于对网络异常进行警报通知。
90.如图3所示，本发明提供的通信模块6通信方法如下：
91.s201，通过测试设备测试目标网络设备是否正常；当目标网络设备接入网络时，获取邻居设备发送的邻居发现协议nd消息，所述nd消息中携带网管服务器的信息，所述网管服务器的信息包括互联网协议ip地址或统一资源标识符url或域名；
92.s202，目标网络设备根据所述nd消息，获取所述网管服务器的信息；
93.s203，目标网络设备利用所述网管服务器的信息，与所述网管服务器进行通信；
94.所述目标网络设备自动生成唯一本地地址ula地址；所述目标网络设备利用所述网管服务器的信息，与所述网管服务器进行通信，具体包括：所述目标网络设备向所述邻居设备发送以所述ula地址为源地址、所述网管服务器的ip地址为目的地址的第一数据报文；所述邻居设备将所述第一数据报文中的所述ula地址替换成全球唯一地址gua地址后，发送替换后的所述第一数据报文给所述网管服务器；所述网管服务器的ip地址从所述网管服务器的信息中得到；所述目标网络设备通过所述邻居设备接收所述网管服务器发送的第二数据报文，所述第二数据报文是以所述网管服务器ip地址为源地址、所述第一数据报文的源地址为目的地址的数据报文。
95.本发明提供的nd消息采用邻居发现nd协议的扩展选项来携带所述网管服务器的ip地址或url或域名。
96.本发明提供的nd消息包括路由器通告ra消息、路由请求rs消息、邻居请求ns消息或邻居通告na消息；
97.所述获取邻居设备发送的邻居发现协议nd消息，所述nd消息中携带所述网管服务器的信息，包括：
98.所述目标网络设备接收所述邻居设备广播的路由器通告ra消息，所述ra消息中携带所述网管服务器的信息；
99.或者，所述目标网络设备发送路由请求rs消息给所述邻居设备，再接收所述邻居设备返回的ra消息，所述ra消息中携带所述网管服务器的信息；
100.或者，所述目标网络设备发送邻居请求ns消息给所述邻居设备，再接收所述邻居设备返回的na消息，所述na消息中携带所述网管服务器的信息。
101.本发明提供的通信方法还包括：
102.所述目标网络设备向所述邻居设备获取所述目标网络设备的gua地址；
103.所述目标网络设备利用所述网管服务器的信息，通过所述邻居设备与所述网管服务器进行通信，具体包括：
104.所述目标网络设备通过所述邻居设备向所述网管服务器发送以所述gua地址为源地址、所述网管服务器ip地址为目的地址的数据报文；所述网管服务器的ip地址从所述网管服务器的信息中得到；
105.所述目标网络设备通过所述邻居设备接收所述网管服务器发送的数据报文，所述网管服务器发送的数据报文是以所述网管服务器ip地址为源地址、所述目标网络设备的gua地址为目的地址的数据报文。
106.如图4所示，本发明提供的网络安全评估模块7评估方法如下：
107.s301，通过评估程序对网络设备所在网络进行静态风险评估，给出静态评估结果；
108.s302，对网络设备所在网络资产进行识别，对资产价值赋值，并将资产与脆弱性进行关联分析；
109.s303，采用cvss评估指标对漏洞采用成功概率进行赋值；
110.采用公式计算节点资产重要程度l；其中，lc、li、la分别为节点对应的机密性、完整性、可用性属性的量化值，round函数表示四舍五入到3个小数位；
111.s304，检测网络漏洞；
112.s305，接收入侵检测系统、防火墙以及第三方的提供的当前节点实时攻击事件告警，并根据不同的漏洞将告警信息分类；对入侵检测、防火墙以及第三方数据样本进行分析；
113.基于公式计算影响节点弱性风险指数的告警数量参数num；
114.其中，ni为某种告警阈值，num为某种告警的数量；
115.基于公式计算影响节点弱性风险指数的告警来源类型cate；其中，cn总的告警来源种类，ci为某种告警的来源种类；
116.基于公式计算影响节点弱性风险指数的告警级别参数lev；其中，n1、n2、n3分别对应高、中、低三个级别告警事件数量，w1、w2、w3为对应级别权值；
117.s306，采用公式p＝num
×
cate
×
lev计算节点脆弱性风险指数p，再采用公式ri＝li
×
ti
×
pi计算节点安全风险，对系统进行动态风险评估；其中，ri是节点i的动态风险值，li是节点i的资产重要程度，ti是节点i的漏洞威胁程度，pi是节点i的脆弱性风险指数；
118.s307，重复s305至s306，基于威胁对网络设备所在网络动态评估，进而完成对网络设备所在网络的安全评估。
119.如权利要求7所述网络设备，其特征在于，所述采用cvss评估指标对漏洞采用成功概率进行赋值方法：
120.采用公式计算节点资产重要程度l；其中，lc、
li、la分别为节点对应的机密性、完整性、可用性属性的量化值，round函数表示四舍五入到3个小数位。
121.本发明提供的检测网络漏洞方法：
122.采用漏洞扫描器对网络设备所在网络节点进行漏洞识别，检测出当前节点的漏洞，并根据cvss评估指标，采用公式计算出每个漏洞威胁程度t；其中，base为cvss评分，k为漏洞攻击的成功概率，k是一个0～1范围的数字。
123.本发明提供的对入侵检测、防火墙以及第三方数据样本进行分析方法：
124.基于公式计算影响节点弱性风险指数的告警数量参数num；
125.其中，ni为某种告警阈值，num为某种告警的数量；
126.基于公式计算影响节点弱性风险指数的告警来源类型cate；其中，cn总的告警来源种类，ci为某种告警的来源种类；
127.基于公式计算影响节点弱性风险指数的告警级别参数lev；其中，n1、n2、n3分别对应高、中、低三个级别告警事件数量，w1、w2、w3为对应级别权值。
128.二、应用实施例。为了证明本发明的技术方案的创造性和技术价值，该部分是对权利要求技术方案进行具体产品上或相关技术上的应用实施例。
129.本发明通过通信模块利用互联网协议版本ipv6的自动化机制，从目标网络设备的邻居设备获取网管服务器的信息，然后与网管服务器建立通信连接，进而可以从网关服务器获得该目标网络设备的配置信息，可自动对目标网络设备进行初始化配置，实现了目标网络设备的自动化配置，简化了目标网络设备的管理开销；同时，通过网络安全评估模块利用静态和动态相结合的风险评估方法，有效提高网络设备所在网络风险评估的实时性；利用基于漏洞和基于威胁方法来综合评估网络设备所在网络的潜在风险，可有效提高网络设备所在网络风险评估的准确度。
130.应当注意，本发明的实施方式可以通过硬件、软件或者软件和硬件的结合来实现。硬件部分可以利用专用逻辑来实现；软件部分可以存储在存储器中，由适当的指令执行系统，例如微处理器或者专用设计硬件来执行。本领域的普通技术人员可以理解上述的设备和方法可以使用计算机可执行指令和/或包含在处理器控制代码中来实现，例如在诸如磁盘、cd或dvd-rom的载体介质、诸如只读存储器(固件)的可编程的存储器或者诸如光学或电子信号载体的数据载体上提供了这样的代码。本发明的设备及其模块可以由诸如超大规模集成电路或门阵列、诸如逻辑芯片、晶体管等的半导体、或者诸如现场可编程门阵列、可编
程逻辑设备等的可编程硬件设备的硬件电路实现，也可以用由各种类型的处理器执行的软件实现，也可以由上述硬件电路和软件的结合例如固件来实现。
131.三、实施例相关效果的证据。本发明实施例在研发或者使用过程中取得了一些积极效果，和现有技术相比的确具备很大的优势，下面内容结合试验过程的数据、图表等进行描述。
132.本发明通过通信模块利用互联网协议版本ipv6的自动化机制，从目标网络设备的邻居设备获取网管服务器的信息，然后与网管服务器建立通信连接，进而可以从网关服务器获得该目标网络设备的配置信息，可自动对目标网络设备进行初始化配置，实现了目标网络设备的自动化配置，简化了目标网络设备的管理开销；同时，通过网络安全评估模块利用静态和动态相结合的风险评估方法，有效提高网络设备所在网络风险评估的实时性；利用基于漏洞和基于威胁方法来综合评估网络设备所在网络的潜在风险，可有效提高网络设备所在网络风险评估的准确度。
133.以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，都应涵盖在本发明的保护范围之内。