专利名称:一种提高网络安全性的方法
技术领域:
本发明涉及网络安全领域,尤其涉及一种计算机和通讯系统设备在基于IpStream (IP数据流)功能&出上来智能提高网络安全性的方法。
技术背景IpStream是一种用于IP/MPLS (Multiprotocol Label Switch,多协议标签 交换)网络的通信流量进行详细的行为模式分析和计量的技术,可以提供网 络运行的准确统计数据,这些功能都是运营商在进行网络安全管理时实现异 常通信流量;^测和参数定性分析所必需的。对网络中的异常流量进行检测,需要对网络中不同类型业务的正常通信 进行基线分析,包括测量和统计不同业务日常的流量和流向数据并计算基线 的合理范围。IpStream技术提供的网络运行的准确统计数据,通过和上述估 算出的数据流量、流向、基线范围等信息,可以帮助运营商安全有效的管理 网络。反攻击技术(入侵检测技术)的核心问题是如何截获所有的网络信息。 而这点正好可以利用IpStream技术中对数据流进行有效的分类来实现。常见 的网络攻击手段包括拒绝服务攻击、报文洪水攻击、协议漏洞攻击等等, 利用IpStream来提高实现攻击净艮文截获可以有效的防止这些攻击手段对网 络的侵害。如图l所示,现有的IpStream技术应用于网络设备,仅可通过IpStream 采样得出的异常流量识别攻击用户,但是对于攻击报文的防范往往束手无 措。即对于目前IpStream技术应用的网络中,对于攻击性的数据流尚缺乏有 效的阻拦以及对网络设备的CPU (中央处理单元)保护的设计,而用户仅 仅可以在服务器端观察网络的现实状态,因此现有的技术存在不足甚至缺 陷,有待进一步改进和发展。发明内容本发明所解决的技术问题在于提供一种提高网络安全性的方法,以解决如何基于IpStream技术对网络数据流进行优化、对网络攻击进行阻拦,并有 效保护网络设备CPU的安全的问题。为了解决上述问题,本发明提供了一种提高网络安全性的方法,首先配 置网络设备和服务器,其中,还包括以下步骤(1) IP数据流模块中设置一数据流分类子模块;(2) 对所述IP数据流模块进行安全级别的配置,服务器对所述数据流 分类子模块基于数据流分类后上送的报文根据当前配置的安全级别进行过 滤、;(3 )网络设备根据服务器下发的处理策略对报文进行处理。本发明所述的方法,其中,步骤(l)中,IP数据流模块存在于网络设 备和服务器中。本发明所述的方法,其中,步骤(l)中进一步包括将IP数据流模块 设置成由转发模块、采集处理模块、数据流分检模块以及数据流分类子模块 组成。其中,步骤(2)中对IP数据流模块进行安全级别的配置,包括对IP 数据流模块选择高、中、低三个等级安全级别的其中之一进行配置,其中,所述低级安全级别为拦截洪水^t艮文的攻击;所述中级安全级别为包含低级安全级别在内的配置,同时还要拦截没有 设置任何标志的传输控制协议(TCP)报文攻击、设置了连接拆除标志却没 有设置确认标志的TCP报文攻击、连接建立标志比特和连接拆除标志比特 同时设置的报文攻击、未知协议字段的IP报文攻击和地址攻击;所述高级安全级别为包含中级安全级别在内的配置,同时还要拦截分片 IP报文攻击、端口扫描攻击、泪滴攻击、地址猜测攻击、IP地址,夂骗攻击、 路由协议攻击、针对第二层物理地址表的攻击、针对地址解析协议表的攻击、 带源路由选项的IP报文攻击。上面所述洪水报文,包括网际控制信息协议洪水报文、用户数据报协议 洪水报文。本发明所述的方法,其中,步骤(2)中所述服务器对所述数据流分类 子模块基于数据流分类后上送的报文根据当前配置的安全级别进行过滤之 前,还包括建立一套数据流比较的机制。上面所述数据流比较的机制,包括流字段緩存机制、攻击识别机制、报 文处理4几制、通ifU几制。本发明所述的方法,其中,步骤(2)进一步包括所述服务器对报文通 过字段分析、报文对比手段进行鉴别,发现攻击"R文立即报告网络设备;步骤(3)进一步包括所述网络设备根据服务器的上报的地址端口对攻 击报文进行拦截。本发明所述的方法,其中,步骤(3)进一步包括所述网络设备建立基 于服务器的报警机制,通知服务器当前或历史网络攻击事件。上面所述攻击事件为攻击报文的地址、端口和攻击类型。与现有的技术相比,本发明所述的方法具有以下特点(1) 本发明所述方法可以有效的帮助用户分析网络安全的隐患,缩短 了分析计算的周期;(2) 其次对于攻击性报文可以进行有效的拦截,保障网络正常运转;(3) 由于很多网络设备对于洪水报文并没有相应的处理机制,会导致 短时间内处理过多的报文使网络设备的CPU处于过负荷运行状态;对于洪 水报文的拦截对保护网络设备的CPU有非常重要的作用,有效的延长网络 设备CPU的使用寿命。
图1是本发明现有技术中所述的IpStream技术对网络报文的处理示意图;图2是本发明实施例所述的基于IpStream技术的对网络异常报文处理示意图;图3是本发明实施例所述的基于IpStream技术的提出的一种提高网络安 全性的方法的具体处理流程图。
具体实施方式
本发明在这里提供了 一种提高网络安全性的方法,以解决如何基于 IpStream技术对网络数据流进行优化、对网络攻击进行阻拦,并有效保护网 络设备CPU的安全的问题。以下对具体实施方式
进行详细描述,但不作为 对本发明的限定。如图2所示,本发明的主要技术思想是,通过对网络设备IpStream技 术对数据流分类的重用,解决现有在同步实现IP数据流进行精确测量和统 计的同时,无法对攻击性数据流进行智能拦截进而对CPU进行有效的保护 这样的问题,并且对于该发明,进行了模块化设计,与IpStream技术保持很 好的相对独立性。结合图2和3,本发明实施例所述的具体步骤包括步骤101:首先用户通过配置网络设备和服务器;步骤102:所述网络设备将IP数据流(IpStream)的数据流分类子模块 相对独立出来,(也就是将IpStream模块进行模块式的划分,至少使数据流 分类子模块相对独立出来,还可以将IpStream模块的划分成独立的几个模 块,如转发模块、采集处理模块、数据流分检模块等等,对数据流分检模块 进行改进);步骤103:建立一套用户配置模式,用户可以通过IpStream与用户的接 口对IpStream分类子模块进行安全级别的配置,配置级别分为高、中、低三 个级别;根据用户的配置变更采样策略,并将采集的报文上送服务器,也就 是网络设备根据当前的安全级别制定采样策略,服务器根据当前的安全级别 进行4艮文过滤;这里所述的高、中、^f氐三个级别,其中,低级别包括以下安全措施拦 截洪水报文,所述洪水报文包括ICMP (Internet Control Message Protocol,网际控制信息协i义)洪水才艮文、UDP (User Datagram Protocol,用户凝:据净艮 协议)洪水4艮文。其中,中级别涵盖低级别以及以下防攻击措施1、 拦截没有设置任何标志的TCP (Transfer Controln Protocol,传输控 制协议)报文攻击;2、 拦截设置了 FIN (连接拆除标志)标志却没有设置ACK (确认)标 的TCP报文攻击;3、 拦截SYN (连接建立标志)比特和FIN (连接拆除标志)比特同时 设置的报文攻击;4、 拦截未知协议字段的IP报文攻击;5、 拄截Land (地址)攻击。其中,高级别涵盖j氐、中两级并增加以下防攻击措施1、 拦截分片IP报文攻击;2、 拦截端口扫描攻击;3、 拦截泪滴攻击;4、 拦截地址猜测攻击;5、 拦截IP地址-太骗;6、 拦截路由协议攻击;7、 拦截针对MAC (第二层物理地址)地址表的攻击;8、 拦截针对ARP (Address Resolution Protocol,地址解析协议)表的攻击;9、 拦截带源路由选项的IP报文攻击。对于用户来说,如果需要拦截洪水报文,保护CPU不会超负荷运转, 可以选择低级别;如果需要对局域网中的主机进行保护,则可以选择中级别; 如果需要对局域网以及自身进行保护(如防止MAC表攻击、ARP欺骗等), 则可以选择高级别。步骤104:基于数据流的分类,建立一套数据流比较的机制,正确识别 出攻击性数据流,根据用户配置的安全级别进行数据拦截;服务器对报文通 过字段分析、报文对比等手段进行鉴别,发现攻击报文立即通知网络设备;步骤105:网络设备根据服务器的处理策略进行报文处理与拦截,从而 实现提高网络的安全性以及保护CPU的安全运行;同时网络设备建立基于 IpStream服务器的报警机制,通知用户当前或历史网络攻击事件(所述的安 全^R警机制可如下实施方案,即服务器端列出当前的安全级别并表明当前安 全级别的处理范围,当网络设备拦截一种类型的攻击报文之后,组织消息上 送服务器,告知成功拦截,提供该攻击报文的地址、端口和攻击类型等信息 给服务器)。上面所述两步骤,对于管理服务器是用IpStream技术对数据包的统计信 息来分析攻击报文的地址和端口,并通过消息通知网络设备,网络设备执行 服务器通知的处理策略。具体的说,上述实施例所述的方法,首先应该根据用户具体的应用场景 和特定的功能需求选择相应的安全级别,通过配置通知网络设备和服务器。本发明实施例所述方法中对所述的报文采集的实施方案为,网络设备 中,没有配置安全级别模式的IpStream分类子模块对于报文通常采取抽样采 集或定时采集的方式上送服务器端,交给服务器处理分析;如果配置了安全 级别之后,对于每一个报文都上送服务器,服务器建立一系列的緩存,对于 报文进行分析,如果发现攻击报文则立即通知网络设备,网络设备根据服务 器提供的地址端口等信息对报文进行拦截。综上所述,本发明通过IpStream对数据包的采集分类来获取数据包的信 息,通过这些信息来鉴别数据包是否是攻击报文是否对于网络具有破坏性, 对于探测到具有攻击性的报文时,可以迅速进行拦截并通知用户相应的告警 信息;即通过对IpStream分类数据包功能的重用,可以有效的拦截攻击报文, 有效的提高网络安全性以及有效的保护网络设备的CPU,延长使用寿命。当然,本发明还可有其他多种实施例,在不背离本发明精神及其实质的 情况下,熟悉本领域的技术人员可才艮据本发明做出各种相应的改变和变形, 但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。
权利要求
1、一种提高网络安全性的方法,首先配置网络设备和服务器,其特征在于,还包括以下步骤(1)IP数据流模块中设置一数据流分类子模块;(2)对所述IP数据流模块进行安全级别的配置,服务器对所述数据流分类子模块基于数据流分类后上送的报文根据当前配置的安全级别进行过滤;(3)网络设备根据服务器下发的处理策略对报文进行处理。
2、 如权利要求l所述的方法,其特征在于,步骤(l)中,IP数据流模 块存在于网络设备和服务器中。
3、 如权利要求l所述的方法,其特征在于,步骤(l)中进一步包括 将IP数据流模块设置成由转发模块、采集处理模块、数据流分检模块以及 数据流分类子模块组成。
4、 如权利要求1所述的方法,其特征在于,步骤(2)中对IP数据流 模块进行安全级别的配置,包括对IP数据流模块选择高、中、低三个等级 安全级别的其中之一进行配置,其中,所述低级安全级别为拦截洪水报文的攻击;所迷中级安全级别为包含低级安全级别在内的配置,同时还要拦截没有 设置任何标志的传输控制协议TCP报文攻击、设置了连接拆除标志却没有 设置确认标志的TCP报文攻击、连接建立标志比特和连接拆除标志比特同 时设置的报文攻击、未知协议字段的IP报文攻击和地址攻击;所述高级安全级别为包含中级安全级别在内的配置,同时还要拦截分片 IP才艮文攻击、端口扫描攻击、泪滴攻击、地址猜测攻击、IP地址欺骗攻击、 路由协议攻击、针对第二层物理地址表的攻击、针对地址解析协议表的攻击、 带源路由选项的IP报文攻击。
5、 如权利要求4所述的方法,其特征在于,所述洪水报文,包括网际控制信息协议洪7JC报文、用户数据报协议洪水报文。
6、 如权利要求l所述的方法,其特征在于,步骤(2)中所述服务器对 所述数据流分类子模块基于数据流分类后上送的报文根据当前配置的安全 级别进行过滤之前,还包括建立一套数据流比较的机制。
7、 如权利要6所述的方法,其特征在于,所述数据流比较的机制,包 括流字段緩存机制、攻击识别才几制、纟艮文处理机制、通讯机制。
8、 如权利要求l所述的方法,其特征在于,步骤(2)进一步包括所述 服务器对报文通过字段分析、报文对比手段进行鉴别,发现攻击报文立即报 告网络设备;步骤(3)进一步包括所述网络设备根据服务器的上报的地址端口对攻 击才艮文进行拦截。
9、 如权利要求l所述的方法,其特征在于,步骤(3)进一步包括所述 网络设备建立基于服务器的报警机制,通知服务器当前或历史网络攻击事 件。
10、 如权利要求9所述的方法,其特征在于,所述攻击事件为攻击报文 的地址、端口和攻击类型。
全文摘要
本发明公开了一种提高网络安全性的方法,首先配置网络设备和服务器,其中还包括(1)IP数据流模块中设置一数据流分类子模块;(2)对所述IP数据流模块进行安全级别的配置,服务器对所述数据流分类子模块基于数据流分类后上送的报文根据当前配置的安全级别进行过滤;(3)网络设备根据服务器下发的处理策略对报文进行处理。本发明解决了如何基于IpStream技术对网络数据流进行优化、对网络攻击进行阻拦,并有效保护网络设备CPU的安全的问题。
文档编号H04L29/06GK101222498SQ20081000419
公开日2008年7月16日 申请日期2008年1月29日 优先权日2008年1月29日
发明者辉 何, 伟 孟, 张丽晖 申请人:中兴通讯股份有限公司