技術領域

本發明涉及通信技術，特別地涉及一種網絡監控技術。?

背景技術

IEEE802.1x是美國電氣電子工程師學會(Institute?of?Electrical?andElectronic?Engineers，IEEE)802委員會制定的局域網(Local?Area?Network，LAN)標準中的一個。對于部署了802.1x認證的LAN，當用戶終端設備(例如電腦)接入到LAN中時，需要通過802.1x認證，未經過認證的用戶將無法接入到LAN中。認證的過程由安裝了認證客戶端軟件的用戶終端設備和網絡中的交換機、認證服務器共同完成。?

集線器(Hub)是一個多端口的信號放大設備，工作中當一個端口接收到數據信號時，由于信號在傳輸過程中已有了衰減，所以集線器便將該信號進行整形放大，轉發到其它所有處于工作狀態的端口上。從集線器的工作方式可以看出，它在網絡中只起到信號放大和重發作用，其目的是擴大網絡的傳輸范圍，而不具備信號的定向傳送能力，是一個標準的共享式設備。于是，與同一集線器相連接的任何設備，都可以捕捉在集線器上傳遞的任何信息包。?

網卡也叫“網絡適配器”，是局域網中最基本的部件之一，它是連接計算機與網絡的硬件設備。無論是雙絞線連接、同軸電纜連接還是光纖連接，都必須借助于網卡才能實現數據的通信。網卡的主要工作原理是整理計算機上發往網線上的數據，并將數據分解為適當大小的數據包之后向網絡發送。對于網卡而言，每塊網卡都有一個唯一的介質訪問控制(Media?Access?Control，MAC)地址，是用于識別LAN中各個節點的標識，由網卡生產廠家在生產過程中固化在網卡中，具有全球唯一性。在LAN中，它是用戶身份的重要標志之一。?

在普通局域網中，只要用戶終端設備接入網絡，不需經過認證和授權即可直接從網絡獲取信息。這種方式不利于網絡信息的安全，于是人們采取網絡認證方式對訪問網絡的用戶的合法性進行確認，以此提高網絡信息的安全性。?

現有網絡認證采用基于端口的網絡存取控制，為局域網用戶提供點對點式的安全接入。如圖1所示，安裝有認證客戶端軟件的終端設備提交認證信息給交換機，交換機將相關認證信息轉交給認證服務器進行確認。如果認證通過，交換機將相關的端口打開，這時候交換機將學習到該終端設備的IP地址和MAC地址，并將其同接入的相應端口(PORT)進行綁定，形成一個三元組IP+MAC+PORT，并允許滿足該三元組的報文進入端口。也就是說只有具備該三元組的終端設備才能夠獲準接入LAN，并訪問相關的網絡資源。這種提交了認證信息并獲得通過的終端設備稱作合法終端設備，反之那些未執行或未通過認證的終端設備稱作非法終端設備。?

根據現有網絡認證方式，如果某個終端設備在認證成功后另有一非法終端設備與其使用同一交換機端口，并且非法終端設備使用與合法終端設備相同的IP和MAC地址，那么該非法終端設備也能夠訪問相關的網絡資源。傳統的解決方案一般基于檢測非法終端設備的特征來實現，比如說通過檢測網絡中是否有不同終端設備存在同樣的IP和MAC，來判斷網絡中是否存在非法終端設備，但這類方法容易被非法終端設備通過一些過濾機制過濾掉，從而避過檢測。?

發明內容

本發明的目的是給出一種網絡監控方法、系統和裝置，可以檢測出網絡中是否接入了非法終端設備。?

本發明實施例提供一種網絡監控方法，包括：?

接收經過認證的終端設備上報的發送流量和地址信息，所述發送流量為終端設備發送給交換機端口的數據流量，其中，所述終端設備上報發送流量和地址信息包括：所述終端設備每間隔設定時間上報所述發送流量和地址信息；?

統計交換機端口從具有所述地址信息的終端設備接收到的數據的接收流量；?

根據所述發送流量和所述接收流量之間的差值，確認是否有非法終端設備接入到網絡中，具體為：每一次接收上報的發送流量時，根據對應的接收流量獲得一個差值，并當設定數目個連續的差值遞增時，確認有所述非法終端設備接入到網絡中。?

所述非法終端設備接入到網絡的方法包括：所述非法終端設備仿冒經過認證的終端設備的地址信息并通過被仿冒終端設備所連接的交換機端口接入網絡。?

所述地址信息包括：經過認證的終端設備的MAC地址。?

本發明實施例給出一種網絡客戶端，包括：?

發送流量統計單元，用于統計網絡中經過認證的終端設備發送給交換機端口的數據發送流量；?