一种基于链路汇聚的路由安全防护方法及系统转让专利
申请号 : CN202311468636.4
文献号 : CN117201199B
文献日 : 2024-02-20
发明人 : 颜培杰 , 汪文晓 , 宋健 , 李彦琛 , 张永星 , 胡敏 , 廖建华 , 李凌 , 贾雄 , 黄河
申请人 : 中国人民解放军61660部队
摘要 :
本发明涉及一种基于链路汇聚的路由安全防护方法及系统,属于网络安全技术领域。本发明技术方案主要包括:通过链路汇聚获取网络中多个路由器之间的数据报文;对所述数据报文进行数据处理,判断所述数据报文是否为路由协议报文,若是则对所述路由协议报文进行解析以获取报文内容,否则执行丢弃;对网络路由状态进行分析以获取路由状态;通过规则匹配对所述路由协议报文判断为合法报文或者非法报文;基于所述报文内容数据结构和所述路由状态数据进行关联分析,以判断所述路由协议报文能否对路由状态造成破坏性影响;若所述路由协议报文被判断为非法报文或者能对路由状态造成破坏性影响则执行丢弃,否则正常转发所述路由协议报文。
权利要求 :
1.一种基于链路汇聚的路由安全防护方法,其特征在于,包括以下步骤:
通过链路汇聚获取网络中多个路由器之间的数据报文;
对所述数据报文进行数据处理,所述数据处理包括,若判断所述数据报文是否为路由协议报文,若是则对所述路由协议报文进行解析以获取报文内容,否则执行丢弃;
对网络路由状态进行分析以获取路由状态;所述对网络路由状态进行分析以获取路由状态,包括构建路由状态数据结构,所述路由状态数据结构包括路由的状态信息,所述状态信息包括通过所述数据报文获取的路由器的状态,路由器的状态包括idle状态、active状态或者connect状态;
通过规则匹配对所述路由协议报文判断为合法报文或者非法报文;
基于所述报文内容数据结构和所述路由状态数据进行关联分析,以判断所述路由协议报文能否对路由状态造成破坏性影响;基于所述报文内容数据结构和所述路由状态数据进行关联分析,以确定所述路由协议报文的源头,以及确定所述源头的合法性;
若所述路由协议报文被判断为非法报文或者能对路由状态造成破坏性影响则执行丢弃,否则正常转发所述路由协议报文。
2.根据权利要求1所述的基于链路汇聚的路由安全防护方法,其特征在于:所述通过链路汇聚获取网络中多个路由器之间的数据报文,还包括:对所述数据报文进行标记,所述标记用于区分所述数据报文所在的链路。
3.根据权利要求2所述的基于链路汇聚的路由安全防护方法,其特征在于:所述对所述路由协议报文进行解析以获取报文内容,包括构建报文内容数据结构,所述报文内容数据结构包括所述路由协议报文所在的链路。
4.根据权利要求3所述的基于链路汇聚的路由安全防护方法,其特征在于:所述规则匹配采用的规则类型包括单包规则和关联分析规则。
5.一种基于链路汇聚的路由安全防护系统,其特征在于,包括:
链路汇聚模块,所述链路汇聚模块支持接入路由网络的多个链路,用于获取网络中多个路由器之间的数据报文并转发;
数据处理模块,与所述链路汇聚模块通讯连接,接收所述数据报文并对所述数据报文进行数据处理,所述数据处理包括,若判断所述数据报文是否为路由协议报文,若是则对所述路由协议报文进行解析以获取报文内容,否则执行丢弃;
所述数据处理模块还用于对网络路由状态进行分析以获取路由状态;所述对网络路由状态进行分析以获取路由状态,包括构建路由状态数据结构,所述路由状态数据结构包括路由的状态信息,所述状态信息包括通过所述数据报文获取的路由器的状态;
控制器模块,与所述数据处理模块通讯连接,所述控制器模块通过规则匹配对所述路由协议报文判断为合法报文或者非法报文;基于所述报文内容数据结构和所述路由状态数据进行关联分析,以判断所述路由协议报文能否对路由状态造成破坏性影响;若所述路由协议报文被判断为非法报文或者能对路由状态造成破坏性影响则执行丢弃,否则正常转发所述路由协议报文;
所述控制器模块还用于,基于所述报文内容数据结构和所述路由状态数据进行关联分析,以确定所述路由协议报文的源头,以及确定所述源头的合法性。
6.根据权利要求5所述的基于链路汇聚的路由安全防护系统,其特征在于:所述获取网络中多个路由器之间的数据报文,还包括:对所述数据报文进行标记,所述标记用于区分所述数据报文所在的链路。
7.根据权利要求6所述的基于链路汇聚的路由安全防护系统,其特征在于:所述对所述路由协议报文进行解析以获取报文内容,包括构建报文内容数据结构,所述报文内容数据结构包括所述路由协议报文所在的链路。
8.根据权利要求5所述的基于链路汇聚的路由安全防护系统,其特征在于:所述规则匹配采用的规则类型包括单包规则和关联分析规则;
所述系统还包括管理模块,所述管理模块与所述控制器模块通讯连接,所述管理模块用于对所述单包规则和所述关联分析规则进行维护,并对安全防护结果记录和展示。
说明书 :
一种基于链路汇聚的路由安全防护方法及系统
技术领域
[0001] 本发明属于网络安全技术领域,具体而言涉及一种基于链路汇聚的路由安全防护方法及系统。
背景技术
[0002] 动态路由协议通过路由信息的交换生成并维护转发引擎所需的路由表。当网络拓扑结构改变时动态路由协议可以自动更新路由表,并负责决定数据传输最佳路径。然而攻击者会在路由器传递路由协议报文时进行拦截,通过修改报文的内容,或者通过攻陷的路由器发送非法报文,来攻击目标路由器,进而攻击自治系统,影响整个网络的安全。另外,由于配置错误等原因,路由器发出的合法报文也同样可能导致网络发生震荡、环路等故障。
[0003] 虽然OSPF、ISIS等协议支持协议认证,但是只限于明文口令,容易被攻击者窃取,而且对于路由器本身发出的报文无法防御。另外,路由网络中具有多个路由器,难以对多个路由器同时进行安全防护,并有效判断攻击报文的源头。现有技术中没有对路由协议本身的检测防御,针对部分路由故障的技术方案通常防护代价较高,防护功能有限。
发明内容
[0004] 鉴于上述的分析,本发明实施例旨在提供一种基于链路汇聚的路由安全防护方法及系统,用以解决现有技术中对于路由链路中的安全防护能力低、代价高的问题。
[0005] 本发明第一方面实施例提供一种基于链路汇聚的路由安全防护方法,包括以下步骤:
[0006] 通过链路汇聚获取网络中多个路由器之间的数据报文;
[0007] 对所述数据报文进行数据处理,所述数据处理包括,若判断所述数据报文是否为路由协议报文,若是则对所述路由协议报文进行解析以获取报文内容,否则执行丢弃;
[0008] 对网络路由状态进行分析以获取路由状态;
[0009] 通过规则匹配对所述路由协议报文判断为合法报文或者非法报文;
[0010] 基于所述报文内容数据结构和所述路由状态数据进行关联分析,以判断所述路由协议报文能否对路由状态造成破坏性影响;
[0011] 若所述路由协议报文被判断为非法报文或者能对路由状态造成破坏性影响则执行丢弃,否则正常转发所述路由协议报文。
[0012] 在一些实施例中,所述通过链路汇聚获取网络中多个路由器之间的数据报文,还包括:
[0013] 对所述数据报文进行标记,所述标记用于区分所述数据报文所在的链路。
[0014] 在一些实施例中,所述对所述路由协议报文进行解析以获取报文内容,包括构建报文内容数据结构,所述报文内容数据结构包括所述路由协议报文所在的链路;
[0015] 所述对网络路由状态进行分析以获取路由状态,包括构建路由状态数据结构,所述路由状态数据结构包括路由的状态信息,所述状态信息包括通过所述数据报文获取的路由器的状态。
[0016] 在一些实施例中,所述规则匹配采用的规则类型包括单包规则和关联分析规则。
[0017] 在一些实施例中,还包括:基于所述报文内容数据结构和所述路由状态数据进行关联分析,以确定所述路由协议报文的源头,以及确定所述源头的合法性。
[0018] 本发明第二方面实施例提供一种基于链路汇聚的路由安全防护系统,包括:
[0019] 链路汇聚模块,所述链路汇聚模块支持接入路由网络的多个链路,用于获取网络中多个路由器之间的数据报文并转发;
[0020] 数据处理模块,与所述链路汇聚模块通讯连接,接收所述数据报文并对所述数据报文进行数据处理,所述数据处理包括,若判断所述数据报文是否为路由协议报文,若是则对所述路由协议报文进行解析以获取报文内容,否则执行丢弃;
[0021] 所述数据处理模块还用于对网络路由状态进行分析以获取路由状态;
[0022] 控制器模块,与所述数据处理模块通讯连接,所述控制器模块通过规则匹配对所述路由协议报文判断为合法报文或者非法报文;基于所述报文内容数据结构和所述路由状态数据进行关联分析,以判断所述路由协议报文能否对路由状态造成破坏性影响;若所述路由协议报文被判断为非法报文或者能对路由状态造成破坏性影响则执行丢弃,否则正常转发所述路由协议报文。
[0023] 在一些实施例中,所述获取网络中多个路由器之间的数据报文,还包括:
[0024] 对所述数据报文进行标记,所述标记用于区分所述数据报文所在的链路。
[0025] 在一些实施例中,所述对所述路由协议报文进行解析以获取报文内容,包括构建报文内容数据结构,所述报文内容数据结构包括所述路由协议报文所在的链路;
[0026] 所述对网络路由状态进行分析以获取路由状态,包括构建路由状态数据结构,所述路由状态数据结构包括路由的状态信息,所述状态信息包括通过所述数据报文获取的路由器的状态。
[0027] 在一些实施例中,所述规则匹配采用的规则类型包括单包规则和关联分析规则;
[0028] 所述系统还包括管理模块,所述管理模块与所述控制器模块通讯连接,所述管理模块用于对所述单包规则和所述关联分析规则进行维护,并对安全防护结果记录和展示。
[0029] 在一些实施例中,所述控制器模块还用于,基于所述报文内容数据结构和所述路由状态数据进行关联分析,以确定所述路由协议报文的源头,以及确定所述源头的合法性。
[0030] 本发明实施例至少具有以下有益效果:
[0031] 本发明实施例可以通过链路汇聚的方式将路由网络中多个路由器之间的流量进行汇聚,基于快速流量处理技术,对于非路由协议报文,执行快速转发;对于路由协议报文,通过关联分析和规则匹配判断报文是否合法,合法报文执行快速转发,非法报文执行丢弃,同时精确判断攻击报文的源头。支持对路由网络中针对路由协议的分析和防护,同时易于部署,对网络的影响可以忽略不计。
附图说明
[0032] 为了更清楚地说明本说明书实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本说明书实施例中记载的一些实施例,对于本领域普通技术人员来讲,还可以根据这些附图获得其他的附图。
[0033] 图1为本发明第一方面实施例提供的基于链路汇聚的路由安全防护方法流程示意图;
[0034] 图2为本发明第二方面实施例提供的基于链路汇聚的路由安全防护系统架构示意图。
具体实施方式
[0035] 为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。需要说明的是,在不冲突的情况下,本公开中的实施方式及实施方式中的特征可以相互组合、分离、互换和/或重新布置。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
[0036] 这里使用的术语是为了描述具体实施例的目的,而不意图是限制性的。如这里所使用的,除非上下文另外清楚地指出,否则单数形式“一个(种、者)”和“所述(该)”也意图包括复数形式。此外,当在本说明书中使用术语“包含”和/或“包括”以及它们的变型时,说明存在所陈述的特征、整体、步骤、操作、部件、组件和/或它们的组,但不排除存在或附加一个或更多个其它特征、整体、步骤、操作、部件、组件和/或它们的组。还要注意的是,如这里使用的,术语“基本上”、“大约”和其它类似的术语被用作近似术语而不用作程度术语,如此,它们被用来解释本领域普通技术人员将认识到的测量值、计算值和/或提供的值的固有偏差。
[0037] 以下通过具体实施例进行说明,本发明第一方面实施例提供一种基于链路汇聚的路由安全防护方法,如图1所示,包括以下步骤:
[0038] 步骤一、通过链路汇聚获取网络中多个路由器之间的数据报文。其中链路汇聚主要用于将多条链路放在一起进行数据分析,充分利用系统资源快速处理。
[0039] 在一些实施例中,所述通过链路汇聚获取网络中多个路由器之间的数据报文,还包括:
[0040] 对所述数据报文进行标记,所述标记用于区分所述数据报文所在的链路。本实施例通过链路汇聚将收到的多个链路的数据报文(或者称为流量)进行标记,并转发至下一步处理。
[0041] 步骤二、对所述数据报文进行数据处理,所述数据处理包括,若判断所述数据报文是否为路由协议报文,若是则对所述路由协议报文进行解析以获取报文内容,否则执行丢弃。
[0042] 步骤三、对网络路由状态进行分析以获取路由状态。
[0043] 本实施例中基于快速流量处理技术,进行简单判断,对于非路由协议报文,执行快速转发丢弃,以达到快速处理的目的。
[0044] 在一些实施例中,所述对所述路由协议报文进行解析以获取报文内容,包括构建报文内容数据结构,所述报文内容数据结构包括所述路由协议报文所在的链路。构建报文内容数据结构,指的是在收到报文后,对数据解析之后的,将报文信息存储起来,用于后续操作。报文内容数据结构指报文消息数据的结构。
[0045] 所述对网络路由状态进行分析以获取路由状态,包括构建路由状态数据结构,所述路由状态数据结构包括路由的状态信息,所述状态信息包括通过所述数据报文获取的路由器的状态。构建路由状态数据结构中的路由状态指的是路由器连接过程状态,例如路由器间报文交互过程中,通过报文的可以获取路由器的状态,比如idle状态、active状态、connect状态等。状态的数据结构指存储当前状态信息数据的结构。
[0046] 步骤四、通过规则匹配对所述路由协议报文判断为合法报文或者非法报文。
[0047] 在一些实施例中,所述规则匹配采用的规则类型包括单包规则和关联分析规则。单包规则指针对单一数据包进行规则匹配。关联匹配指多个存在关系的多个数据包进行规则匹配。规则匹配指根据规则类型,将相应包的构建的数据结构存取的信息和规则中信息进行比较,换句话说,规则匹配通过分析数据报文的内容和下发的规则进行匹配,符合条件的命中规则。如果是攻击报文则配置丢弃规则,能够保证网络通常,达到防御目的。
[0048] 步骤五、基于所述报文内容数据结构和所述路由状态数据进行关联分析,以判断所述路由协议报文能否对路由状态造成破坏性影响。
[0049] 在一些实施例中,还包括:基于所述报文内容数据结构和所述路由状态数据进行关联分析,以确定所述路由协议报文的源头,以及确定所述源头的合法性。
[0050] 本实施例基于报文和路由状态进行关联分析,判断报文是否来自合法的源头,以及报文是否会对路由状态造成破坏性影响(如链路震荡、路由冲突等),进一步判断路由报文是否为攻击报文,并确定攻击源头。应当理解的是,关联分析根据预设的关联规则进行判断,通过对设备路由的数据报文进行分析,根据下发的关联规则判断是否合法,例如,对于正常情况1秒内最多只能有3个A型报文,则下发关联规则为1s内有超过3个A型报文,若命中关联规则,则认为路由器遭受攻击。
[0051] 步骤六、若所述路由协议报文被判断为非法报文或者能对路由状态造成破坏性影响则执行丢弃,否则正常转发所述路由协议报文。本实施例通过丢弃攻击报文对攻击行为进行防护。
[0052] 本发明第二方面实施例提供一种基于链路汇聚的路由安全防护系统,包括:
[0053] 链路汇聚模块,所述链路汇聚模块支持接入路由网络的多个链路,用于获取网络中多个路由器之间的数据报文并转发;
[0054] 数据处理模块,与所述链路汇聚模块通讯连接,接收所述数据报文并对所述数据报文进行数据处理,所述数据处理包括,若判断所述数据报文是否为路由协议报文,若是则对所述路由协议报文进行解析以获取报文内容,否则执行丢弃;
[0055] 所述数据处理模块还用于对网络路由状态进行分析以获取路由状态;
[0056] 控制器模块,与所述数据处理模块通讯连接,所述控制器模块通过规则匹配对所述路由协议报文判断为合法报文或者非法报文;基于所述报文内容数据结构和所述路由状态数据进行关联分析,以判断所述路由协议报文能否对路由状态造成破坏性影响;若所述路由协议报文被判断为非法报文或者能对路由状态造成破坏性影响则执行丢弃,否则正常转发所述路由协议报文。
[0057] 本实施例中采用控制平面和数据平面分离的网络架构,包括链路汇聚模块、数据处理模块、控制器模块、管理模块。其中链路汇聚模块为硬件实现,支持接入路由网络的多个链路,基于硬件方式(如FPGA)将报文转发至数据处理模块,同时在报文中标记链路信息,包括但不限于在数据包中添加VLAN层进行标记,数据处理模块负责对数据包进行丢弃和快速转发;控制器模块负责对路由报文的处理和分析,同时和管理模块进行交互;管理模块负责对单包规则和关联分析规则进行维护,并对安全防护结果进行记录和展示。
[0058] 其中添加VLAN层进行标记指的是因为收到的数据包本身不带vlan标签,模拟vlan的形式将普通的数据包转换成VLAN的数据包,利用VLAN的结构中ID字段,用于标记不同的链路,不同的链路设置不同的ID。数据包丢弃指的是在收到数据包,比如认为这个数据包会对网络造成攻击,主动将这个数据包丢掉,防止该数据包对网络造成的影响。快速转发值收到合法的数据包就行转发,保证网络的通畅。
[0059] 优选地,在一些实施例中,所述获取网络中多个路由器之间的数据报文,还包括:
[0060] 对所述数据报文进行标记,所述标记用于区分所述数据报文所在的链路。
[0061] 优选地,在一些实施例中,所述对所述路由协议报文进行解析以获取报文内容,包括构建报文内容数据结构,所述报文内容数据结构包括所述路由协议报文所在的链路;
[0062] 所述对网络路由状态进行分析以获取路由状态,包括构建路由状态数据结构,所述路由状态数据结构包括路由的状态信息,所述状态信息包括通过所述数据报文获取的路由器的状态。
[0063] 优选地,在一些实施例中,所述规则匹配采用的规则类型包括单包规则和关联分析规则;
[0064] 所述系统还包括管理模块,所述管理模块与所述控制器模块通讯连接,所述管理模块用于对所述单包规则和所述关联分析规则进行维护,并对安全防护结果记录和展示。
[0065] 优选地,在一些实施例中,所述控制器模块还用于,基于所述报文内容数据结构和所述路由状态数据进行关联分析,以确定所述路由协议报文的源头,以及确定所述源头的合法性。
[0066] 较佳地,本发明提供的系统的部署方式,包括但不限于在重要路由节点之间、路由器网络最小连通图中,以及路由器网络全网部署。如果将安全防护系统以旁路方式部署在路由器网路中,无法对攻击行为进行阻断,但是可以对针对路由协议的攻击行为进行检测和告警。
[0067] 专业人员应该还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。
专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
[0068] 结合本文中所公开的实施例描述的方法或算法的步骤可以用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD‑ROM、或技术领域内所公知的任意其它形式的存储介质中。
[0069] 以上所述的具体实施方式,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施方式而已,并不用于限定本发明的保护范围,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。