专利名称:路由器安全防御装置及防御系统和方法
路由器安全防御装置及防御系统和方法
技术领域:
本发明属于网络信息安全领域,特别涉及一种对路由器具有主动防御功能 的防御装置及通过该防御装置、路由器和远程控制平台组成的防御系统和一种 进行防雄卩的方法。背景4支术
随着Internet的日益普及,人们对网络的依赖越来越强,同时,对网络 的稳定性也提出了更高的要求。路由器是整个网络的核心和心脏,如果路由器 发生致命性的故障,将导致本地网络的瘫痪,如果是骨干路由器,影响的范围 将更大。因此,对路由器进行安全防御是十分必要的。
目前,实践中有很多针对路由器进行安全防御的方法。如定期更新路由 器操作系统,以便纠正编程错误、软件瑕疯、服务漏洞和緩存溢出的问题;修 改默认的口令,避免使用普通的口令,并且使用大小写字母混合的方式作为更 强大的口令规则;封锁ICMP(互联网控制消息协议)ping请求,因为ping请求 和其它ICMP功能对于网络管理员和黑客都是非常有用的工具,黑客能够利用 路由器上启用的ICMP功能找出可用来攻击网络的信息;为了避免因为数据被 窃听而造成的信息泄漏,对流经路由器的数据进行加密处理,只有与之通信的 对端才能对此加密文进行解密,以此保证数据的私有性、完整性以及数据内容 的真实性;及时审阅路由器记录,及时发现明显的攻击方式和安全漏洞,采取 相应的补救措施;禁用来自互联网的telnet命令、禁用IP定向广播、禁用 IP路由和其它不必要的服务。
然而,上述的这些方法都属于对路由器安全的被动防御,对于路由器在使 用过程中的安全隐患做不到及时发现、及时反馈和及时处理。通过上述的防御 方法不但降低了路由器应有的工作效率,而且对路由器的管理配置也相当复杂 和繁瑣,往往由于管理员在对路由器进行配置过程中的错误而导致路由器不能 正常工作,甚至整个网络的瘫痪,给使用者带来很大的不便。
发明内容
提供了 一种对路由器具有主动防御功能的防御装置。
为了配合所述具有主动防御功能的防御装置对路由器进行安全防御,本发 明提供了 一种对路由器进行主动安全防御的系统。为了解决现有技术中存在的对路由器的保护采用被动防御的问题,本发明 还提供了对路由器进行主动安全防御的方法。本发明解决现有技术问题所采用的第一个技术方案是提供一种对路由器 进行主动安全防御的装置,所述防御装置包括用于响应管理请求的系统管理 模块;用于对流经路由器的数据信息进行检测的入侵检测模块;用于根据所述 入侵检测模块的检测结果对所述数据信息进行放行或阻隔处理的路由器控制 才莫块;用于与远程控制平台通讯的远程控制响应才莫块;所述系统管理^t块为所 述防御装置的主控单元,所述入侵检测模块、路由器控制模块和所述远程控制 响应模块分别与所述系统管理模块双向连接,所述路由器控制模块为所述防御 装置和所述路由器的连接提供接口服务。根据本发明的一优选实施例所述防御装置还包括用于存储和转发曰志 的审计日志模块;用于用户信息管理和识别的用户管理模块;所述审计日志模 块与所述系统管理模块双向连接,可以实现通过所述系统管理模块与所述远程 控制响应模块的通讯,所述用户管理模块与所述系统管理模块也为双向连接。根据本发明的一优选实施例所述防御装置的系统是采用层层封装的结构。根据本发明的一优选实施例所述封装结构包括系统认证管理子层、系 统控制子层、数据分析子层和系统扩展子层。本发明解决现有技术问题所采用的第二个技术方案是提供一种对路由器 进行主动安全防御的系统,该系统包括用于实现数据传输的路由器,还包括 用于检测流经所述路由器的数据并根据检测结果对所述路由器进行安全防御 的所述防御装置;用于与所述防御装置实现信息传递的所述远程控制平台;所 述路由器与所述防御装置相连接。根据本发明的 一优选实施例所迷路由器与所述防御装置连接通过所述防 御装置上的路由器控制模块提供接口 。根据本发明的一优选实施例所述防御装置与所述远程控制平台通过所述 防御装置上的远程控制响应模块相联系,并通过RSTP协议实现所述信息的传 递。本发明解决现有技术问题所采用的第三个技术方案是提供一种对路由器 进行主动安全防御的方法,所述方法包括步骤第一、对所述防御装置进行初 始化配置;第二、所述防御装置开始工作,对流经路由器的数据进行捕获,并 将捕获到的数据转化成以太数据包类型,对以太数据包头部进行分析,经过处 理行为、协议、源信息、目的信息和规则主体部分判断所包含的数据包类型,进行解析处理;第三、向所述远程控制平台发送报警佶息。
根据本发明的一优选实施例上述第一步中的所述初始化配置包括路由器 地址配置、入侵检测规则配置、审计日志远程接收平台配置、路由器转发和控 制策略配置和管理员身份安全认证配置。
根据本发明的一优选实施例上述第二步中包括子步骤首先、通过所述 路由器控制模块捕获流经路由器的数据,并将捕获的数据发给所述入侵检测模 块;其次、通过所述入侵检测4莫块将捕获到的数据转化成以太数据包类型,对 以太数据包头部进行分析,经过处理行为、协议、源信息、目的信息和规则主 体部分判断所包含的数据包类型,进行解析处理;再次、将上一步解析处理后 的非法数据信息发给所述审计日志模块;最后、所述审计日志模块通过所述远 程控制响应模块向所述远程控制平台发送报警信息。
相较于现有技术,本发明的有益效果在于通过分析流经路由器的数据, 对路由器的安全情况实时进行监控,变传统的4皮动防伪"为现在的"主动防 御,,从而大大的提高了路由器的安全性能和抗攻击性能,有效的保障了整个网 络的正常运行,而且大大提高了网络管理员的工作效率,为网络管理员提供了 一个能及时发现安全隐患、及时收到隐患信息反馈并能对隐患信息进行及时处 理的网络管理平台。
图1 .为本发明路由器安全防御装置及防御系统和方法中防御装置模块连 接结构示意图。
图2.为本发明中防御装置封装结构示意图。 图3.为本发明中防御系统结构示意图。 图4.为本发明中防御方法流程示意图。 图5.为Libpcap应用程序框图。 图6 .为判定数据包合法性的流程图。 图7 .为图6中匹配规则结构示意图。 图8 .为RSTP协议的握手及交换信息规程流程图。
具体实施方式
以下结合附图和具体实施方式
,对本发明作进一步说明。 请参阅图1本发明路由器安全防御装置及防御系统和方法中防御装置模 块连接结构示意图。如图l所示,本发明路由器防御装置302包括六大模块, 分别是路由器控制模块IOI、审计日志模块102、用户管理模块103、入侵检测 模块1Q4、系统管理模块105、和远程控制响应^t块106。其中,路由器控制模块IOI,是所述防御装置302和路由器301的接口服务部分,接收防御装置302 中系统管理模块105发送来的经过入侵检测模块104解析后的策略信息,根据该 策略信息阻隔有害的数据包返回路由器,并将正常的数据包发回给路由器301, 供给用户使用。审计日志模块102负责日志的存储和转发。用户管理模块103 负责用户信息管理和识别。入侵检测模块104的功能在于处理路由器控制模块 1 Ol发来的数据包,根据入侵检测模块104内设定的规则解析数据包是否正常, 并对检测到的非正常信息进行入侵报警,该报警日志可以存放到本地,也可以 通过审计日志模块102发送到远程控制平台303。系统管理模块105是整个防御 装置的核心部分,协调防御装置302内其它功能模块的工作,同时系统管理模 块105又是远程控制平台303的后台服务器,响应来自远程控制平台303的管理 请求。远程控制响应模块106是本防御装置302与远程控制平台303信息传输的 接口,负责与远程控制平台303进行信息传递,接收来自远程控制平台303发送 的有关网络管理员配置、路由器地址配置、入侵检测配置、审计日志配置和转 发策略配置等信息。本发明防御装置302是采用层层封装的结构进行设计的,该结构可以参阅 图2,防御装置封装结构示意图。各层之间的功能为系统认证子层240主要 负责用户管理241、用户审核242和远程控制信息管理243。系统控制子层230 是系统中的核心部分,主要负责接收通过系统iU正子层240认证的要素信息 后,对系统的状态进行;险测232,然后对整个系统进行流程控制231和策略控 制233。数据分析子层220主要负责处理系统控制子层230传来的各种策略信 息,并且根据规则分析流进的数据包221,依照启动的策略信息对数据包进行 处理,阻隔非正常的数据包,让正常的数据包通过。系统扩展子层210属于系 统的应用功能部分,主要实现了系统审计日志管理212功能,信息反馈213 功能接口,系统用户管理211功能,对整个系统进行了有效的扩展,使系统更 加完善。对应于不同的层,可以根据不同的情况独立的进行开发对应的模块, 这种类似OSI层网络结构的设计方式,使防御装置的开发更加灵活,多样,甚 至可以开发出针对特定用户,特定功能的多功能防御装置。图3.为本发明中防御系统结构示意图。请参阅图3并结合图1 ,如图3 所示, 一种路由器安全防御系统,包括用于实现数据传输的路由器301,还包 括用于检测流经所述路由器301的数据并根据检测结果对所述路由器301进行 安全防御的所述防御装置302;用于与所述防御装置302进行信息传递的所述 远程控制平台303;所述路由器301与所述防御装置302的连接是通过所述防 御装置302上的路由器控制模块101提供接口服务的,所述防御装置302与所述远程控制平台303通过所述防御装置302上的远程控制响应模块106相联 系,并通过RSTP协议实现所述信息的传递。本防御系统在工作中,会有大量 网络数据流经过路由器301,所有这些翁:据流会通过防御装置302上的路由器 控制模块101进入防御装置302,此时该防御装置302上的入侵检测模块l(M 会对这些数据流进行检测,并将这些数据分为正常数据和非正常数据,将正常 数据返回给路由器201供用户使用,将非正常数据的重要信息发给审计日志模 块102进行存储,并同时通过远程控制模块106将上述的这些非正常数据的重 要信息通过RSTP协议发送给远程控制平台303进行报警。RSTP (Remote Service Transmission Protocol)远程月良务传输协议。该 RSTP协议的握手及交换信息规程流程图可以参阅图8 。内部协议规定了一系列 具有特定含义的关键字来表示不同的操作意图,例如LOGON表示登录请求, CTIS表示启动入侵检测请求等。远程控制平台303的后台系统启动后,远程 控制平台303开始工作,通过RSTP协议,经过远程控制响应模块106向防御 装置系统管理模块105发送以LOGON为协议关键字的网络登录指令包;防御装 置系统管理模块105负责捕捉网络信息包,它收到LOGON后进行登录信息校验, 校验成功后向远程控制平台303返回含有LOGON OK关键字的校验成功信息; 远程控制平台303收到后接着发送以RCOF为关键字的指令要求防御装置系统 管理模块105初始化所有防御装置302的地址信息,路由器地址信息,审计地 址信息和系统状态;然后以含有CTIS关键字的协议指令命令防御装置系统管 理模块105启动IDS,开始检测;启动成功后防御装置系统管理模块105向远 程控制平台303返回启动成功信息CTIS 0K。如果没有入侵消息,系统正常运 行下去。当出现入侵时,防御装置系统管理模块105以STAT指令通知远程控 制平台303,远程控制平台303收到后将信息告警,通知管理员查看。同时防 御装置系统管理模块105将启动响应措施啦文出反应。当系统管理员根据情况配 置入侵规则时,远程控制平台303以含有CFIS关键字的协议指令命令防御装 置系统管理模块105配置IDS规则,然后重新开始检测,流程如上。当准备停 止系统时,远程控制平台303以STIS指令通知协处理器管理模块停止检测; 停止成功后防御装置系统管理模块105向远程控制平台303返回启动成功信息 STIS OK。图4.为本发明中防御方法流程示意图。在该防御方法中,首先、网络管理 员可以通过远程控制平台303对防御装置302进行初始化配置,该配置包括路由 器地址配置、入侵检测规则配置、审计日志远程接收平台配置、路由器转发和 控制策略配置和管理员身份安全认证配置;其次、在配置生效后,防御装置302开始工作,对路由器301指定的端口进行监控,并通过远程控制响应模块106 实时响应来自远程控制平台303发出的指令,当有数据流经过路由器30l指定的 端口时候,防御装置302会通过路由器控制模块101对数据流进行检查,利用 Libpcap函数库采用底层抓包技术,将底层截获到的数据包发送给入侵检测模 块104,入侵检测模块104根据规则将分析收到的数据包是否正常,如果正常, 则允许该数据包返回该路由器301,并通过该路由器301将正常的数据发送给用 户使用,否则入侵检测模块104会将该数据包的重要信息,如源IP地址、端 口信息和攻击方式等提交给审记日志模块102,审记日志模块102则根据设置, 通过远程控制响应模块106向远程的控制平台303发送报警信息,并且自动截断 并存储所有可疑的数据流的重要信息。最后、远程的管理员会对报警信息中数 据包的重要信息进行分析判断,从而可以发现攻击源,并且采取相应的措施。 在本发明中防御装置在对数据流进行检查的过程中,利用了 Libpcap函数 库采用了底层抓包技术,Libpcap函数应用程序框图可以参阅图5 。 Libpcap 是un i x /1 i nux平台下的网络数据包捕获函数包,L i bpcap提供了系统独立的 用户级别网络数据包捕获接口 ,并充分考虑到应用程序的可移植性。Libpcap 重点使用BPF (BSD Packet Filter)包过滤机制。数据包常规的传输路径依 次为网卡=> 设备驱动层=> 数据链路层=> IP层=> 传输层==> 最后到达 应用程式,本发明中包捕获机制是在数据链路层增加一个旁路处理,对发送和 接收到的数据包做过滤/緩冲等相关处理,最后直接传递到应用程式.包捕获 机制并不影响操作系统对数据包的网络栈处理。对用户而言,包捕获机制提供 了一个统一的接口,使用户程式只需要简单的调用若干函数就能获得所期望的 数据包.这样一来,针对特定操作系统的捕获机制对用户透明,使用户程式有比 较好的可移植性.包过滤机制是对所捕获到的数据包根据用户的要求进行筛选 最终只把满足过滤条件的数据包传递给用户程式。本发明在利用Libpcap函数 库进行数据捕获处理的步骤包括第一步查找可以捕获数据包的路由器端口 、 第二步创建捕获句柄,准备进行捕获、第三步如果用户设置了过滤条件, 则编译和安装过滤代码、第四步进入(死)循环,反复捕获数据包,对捕获 的数据进行类型转换,转化成以太lt据包类型。对以太头部进行分析,判断所 包含的数据包类型,做进一步的处理、第五步关闭捕获句柄。在上面的第四 步中,对捕获的数据进行类型转换,转化成以太数据包类型。由于网络中传給 的数据包种类繁多,所以在数据链路层,网络层,传输层,这三层中利用特定的 自定义函数对数据包进行解析。从而判断截获的数据包所属的类型,针对不同 类型的数'据包,则定义了不同的规则来进行匹配,从而来判断数据包的合法性。在数据链路层,网络层,传输层,这三层中利用特定的自定义函数对数据包进行解析并判定数据包的合法性的过程可以参阅图6 ,判定数据包合法性的流程图 并同时参阅图7 ,匹配规则结构示意图,在图6中提到了匹配的规则,该规则 分为处理行为701、协议702、源信息703、目的信息704和规则主体部分705。 其中在处理行为701中当数据包匹配到某条规则的时候,将进行相应的处理. 如Pass动作忽略当前的包,继续捕获后续包进行分析、SysLog动作将记录当 前的包、Alert动怍将先记录该包,然后进行"t艮警。协议702的功能在于可以 针对不同的协议,如IP, TCP, ARP等,对数据包进行分类匹配。源信息7()3、 目的信息704是用于指定在该规则中的源地址和目的IP地址,在规則屮可以 指定两种类型的地址。分别是单一的IP地址和无类别域间路由地址((:!WU. 并且还可以使用any通配符来声明源地址和目的地址。规则主体部分705的作 用是在规则头信息一一处理行为701、协议702、源信息703和目的信息704 的基础上作进一步的分析,通过规则可以确认更为复杂的攻击。根据上面的描 述,下面提供一个实施例来说明规则的定义模式例如服务类型(TOS)选 项的加入最初只是为了完善工P规则的描述能力,预备将来的需要,而现今出 现的1P服务类型滥用的攻击,却给路由器等网络设备带来了极大的安全隐患。 一些老式的Cisco设备甚至要求进入包的T0S必须为o。下面的规则可以对y、 外部发往Ci sco设备的TOS域不为Q的包报警,解析规则为Alert tcp SEXTFRN礼anv ..>$CISC'() a!w (msg: "Cisco TOS Attack Ex咖ple〃;tos: 1i丄———一r—: j —— 处理行为 源信息和目的信息 规则主体基于数据流的分析方法可以加强处理TCP会话,提高对使用分片来逃避规则匹 配的检测效率。通过在内存中对TCP连接进行包緩存,可以高效地检测跨越多 个包的攻击。UDP的所有信息数据包含在单一包中,TCP协议则没有这个限制, 基于TCP的高层应用程序,比如TELNET, SSH,可以实现用户和远程系统的交 互,用户的输入可以被轻易的分割到多个包中,因此攻击代码会分割到不同的 包中,通过使用IDS预处理模块可以将所有的数据合并到一个包中,这样就避 免了跨越多个包的攻击。通过上面就本发明中相关技术的描述可以看出本发明相较于现有技术的 有益效果在于通过分析流经路由器的数据,对路由器的安全情况实时进行监 控,变传统的"被动防伪"为现在的"主动防御"从而大大的提高了路由器的 安全性能和抗攻击性能,有效的保障了整个网络的正常运行,而且大大提高了 网络管理员的工作效率,为网络管理员提供了一个能及时发现安全隐患、及时收到隐患信息反馈并能对隐患信息进行及时处理的网络管理平台。以上对本发明路由器安全防御装置及防御系统和方法进行了详细介绍,本例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施例及应用范围上均会有改变之 处,例如本发明中的防御装置可以和路由器设计成一整体,也可以将该防御装 置通过接口与路由器外置连接、本发明中的防御装置可以对指定的一台路由器 进行主动安全防御,也可以经过设置对多台路由器进行主动安全防御。综上所 述,本说明书内容不应理解为对本发明的限制。
权利要求
1. 一种路由器安全防御装置,其特征在于所述防御装置(302)包括用于响应管理请求的系统管理模块(105);用于对流经路由器的数据信息进行检测的入侵检测模块(104);用于根据所述入侵检测模块(104)的检测结果对所述数据信息进行放行或阻隔处理的路由器控制模块(101);用于与远程控制平台(303)通讯的远程控制响应模块(106);所述系统管理模块(105)为所述防御装置(302)的主控单元,所述入侵检测模块(104)、路由器控制模块(101)和所述远程控制响应模块(106)分别与所述系统管理模块(105)双向连接,所述路由器控制模块(101)为所述防御装置(302)和所述路由器(301)的连接提供接口服务。
2. 根据权利要求1所述的防御装置,其特征在于所述防御装置(302) 包括用于存储和转发日志的审计日志模块(102);用于用户信息管理和识别的用户管理才莫块(103);所述审计日志模块(102)与所述系统管理模块(103)双向连接,可以实现通 过所述系统管理;漠块(105)与所述远程控制响应模块(106)的通讯,所述用户管 理模块(103)与所述系统管理模块(103)也为双向连接。
3. 根据权利要求1所述的防御装置,其特征在于所述防御装置(302) 的系统是采用层层封装的结构。
4. 冲艮据权利要求3所述的防御装置,其特征在于所述封装结构包括 系统认证管理子层(210)、系统控制子层(220)、数据分析子层(230)和系统扩 展子层(240)。
5. —种路由器安全防御系统,包括用于实现数据传输的路由器GOl),其 特征在于所述防御系统还包括用于检测流经所述路由器(301)的数据并根据检测结果对所述路由器(301) 进行安全防御的所述防御装置(302);用于与所述防御装置(302)实现信息传递的所述远程控制平台(303); 所述路由器(301)与所述防御装置(302)相连接。
6. 根据权利要求5所述的防御系统,其特征在于所述路由器(301)与所 述防御装置(302)的连接通过所述防御装置(302)上的路由器控制模块(101)提 供接口。
7. 根据权利要求5所述的防御系统,其特征在于所述防御装置(302) 与所述远程控制平台(303)通过所述防御装置(302)上的远程控制响应模块 (106)相联系,并通过RSTP协议实现所述信息的传递。
8. —种路由器安全防御方法,其特征在于所述方法包括步骤 Al.对所述防御装置(302)进行初始化配置;A2.所述防御装置(302)开始工作,对流经路由器(301)的数据进行捕获, 并将捕获到的数据转化成以太数据包类型,对以太数据包头部进行分析,经过 处理行为(701)、协议(702)、源信息(703)、目的信息(704)和规则主体部分(705) 判断所包含的数据包类型,进行解析处理;A3.向所述远程控制平台(303)发送报警信息。
9. 根据权利要求8所述的防御方法,其特征在于所述A1步中的所述初 始化配置包括路由器地址配置、入侵检测规则配置、审计日志远程接收平台配 置、路由器转发和控制策略配置和管理员身份安全认证配置。
10. 根据权利要求9所述的防御方法,其特征在于所述A2步包括子步骤 A21.通过所述路由器控制模块(101)捕获流经路由器的数据,并将捕获的数据发给所述入侵检测模块(104);A22.通过所述入侵检测模块(104)将捕获到的数据转化成以太数据包类 型,对以太数据包头部进行分析,经过处理行为(701)、协议(702)、源信息 (703)、目的信息(704)和规则主体部分(705)判断所包含的数据包类型,进行解 析处理;A23.将A22解析处理后的非法数据信息发给所述审计日志模块(102); A24.所述审计日志模块(102)通过所述远程控制响应模块(10 6)向所述远 程控制平台(303)发送报警信息。
全文摘要
本发明涉及一种对路由器具有主动防御功能的防御装置及通过该防御装置、路由器和远程控制平台组成的防御系统和一种对路由器进行主动防御的方法。该防御包括系统管理模块、入侵检测模块、路由器控制模块、审计日志模块和远程控制响应模块。本发明利用Libpcap函数库采用底层抓包技术并结合入侵检测技术,通过数据流分析法解析数据包是否正常,以此对非法数据流进行监控并阻隔,并通过系统的审计日志模块向远程控制平台的管理员进行报警。本发明大大的提高了路由器的安全性能和抗攻击性能,有效的保障了整个网络的正常运行,为网络管理员提供了一个能及时发现安全隐患、及时收到隐患信息反馈并能对隐患信息进行及时处理的网络管理平台。
文档编号H04L9/32GK101286850SQ20071007400
公开日2008年10月15日 申请日期2007年4月10日 优先权日2007年4月10日
发明者文光斌, 曾向阳, 温晓军, 磊 王, 邹平辉 申请人:深圳职业技术学院