恶意入侵检测

什么是恶意入侵检测？

恶意入侵检测就是检测网络中是否有未经授权而访问接入的设备。

工作机制

OpUtils定期对已在全局环境设置中定义的子网、交换机、网关服务器以及路由器进行扫描，获取相应设备的MAC IP数据。当然，任何扫描动作也会收集这些信息。当检测到网络中有新的MAC地址，也会自动添加这些数据到数据库中。

最初，所有被发现的MAC地址都会显示在这里，管理员必须对列表数据进行验证，标记出有效的（可授权访问的）设备。在完成整个网络的扫描后，可一次性地进行排查，筛选。一旦配置完成，当扫描又检测到新的MAC时，新的数据就会列在未标记列表中，它有可能就是未经授权访问网络的设备。也就是恶意接入的设备。当然，管理员也可以再次排查，确定是否是恶意设备。

基本步骤

1. 在全局环境设置中，添加所有的路由器、交换机、网关服务器、以及网络中的所有子网。并设置扫描计划表。

2. 按计划做全网扫描，获取第一手信息。若要查看交换机各端口所连设备的情况，可使用交换机端口映射工具。

成功扫描网络之后，可进行以下操作：

• 检验所列的设备信息，将网络中允许的设备标记为受信任设备。一旦被标记为受信任设备，其信息再次发现时将不再显示在发现页签之下。

• 将未知的或者未授权设备标记为恶意入侵设备，被标记为恶意设备，在再次发现时依然会显示在发现设备的页签之下。

• 为访客设备设置临时允许周期。

• 阻止恶意设备连接的交换机端口。

要了解更多信息，可参照以下章节：

• 发现的设备

• 受信任的设备

• 访客的设备

• 恶意入侵的设备

• 阻止/解除阻止某个交换机端口

• 配置告警通知