影子路由器的制造方法
【技术领域】
[0001] 该发明涉及一种计算机通信用路由器,特别是涉及一种影子路由器。
【背景技术】
[0002] 当前我们正生活在"任意互联"的时代,网络安全正在面临前所未有的挑战。当攻 击者可以肆意进出和控制军事指挥系统、核系统、能源系统、交通指挥系统、金融系统时,除 了信息的安全,我们实体的财产与生命安全,也将变得无比脆弱。
[0003] 硬件木马、0-DAY攻击、APT等新时期网络安全威胁所向披靡,正在让政府、企业乃 至整个社会不安。0-DAY攻击能够轻易突破DesktopAV、IDS、IPS和防火墙等基于签名的 传统安全防线,已成为攻击者入侵系统的利器;硬件木马面临巨大检测难题,潜伏的威胁随 时可能爆发;APT攻击融合了情报、黑客技术、社会工程、供应链植入等各种手段,攻击手段 复杂而且专业,几乎无法将其阻断。
[0004] 路由器是信息网络互连互通的骨干,其基于路由协议互连组成了信息网络的骨 架。若路由器被攻击方恶意控制,攻击方可以通过路由控制长期大范围的获取信息、劫持用 户数据,若路由器不能正常工作或者被摧毁,则网络将处于瘫痪状态。因此寻找应对路由器 新安全威胁的创新方法,研制路由器安全防护的技术,无疑能够为信息基础网络骨架安全 保驾护航。为此,本发明提出了一种路由器安全防护新技术一一 "影子"路由器,能够有效 应对传统及新型的网络安全威胁。
[0005] 本发明主要研宄如何实现对路由器的全方位圆罩式防护。为此,提出了一种新型 的路由器一"影子"路由器;设计了影子路由器与真实路由器的外部连接结构,内部结构及 处理流程,使得影子路由器即可免除恶意探测又能完全真实模拟所连接真实路由器的处理 功能和性能。通过将针对路由器的安全威胁诱骗进入"影子"路由器中,让安全威胁在"影 子"路由器中发作并将其消灭。
【发明内容】
[0006] 本发明克服了现有技术中,路由器的安全性能仍需提高的问题,提供一种安全性 能尚的影子路由器。
[0007] 本发明的技术解决方案是,提供一种具有以下过程的影子路由器:影子路由器串 行接入在真实路由器的输入、输出链路中间,影子路由器包括真实路由器、数据平面和控制 平面三层结构,底层是与影子路由器对应的真实路由器,中间层是影子路由器的数据平面, 顶层是其控制平面;外部链路的数据首先输入影子路由器,通过影子路由器安全检验的数 据可送往真实路由器完成相应处理,处理完毕后的数据再经影子路由器处理并输出到链路 上;影子路由器和真实路由器的配置比例为1:N,其中N的个数可根据具体网络环境、安 全等级需求和影子路由器本身系统性能指标来确定。
[0008] 所述影子路由器处理流程具体如下:步骤1:报文进入影子路由器数据平面,数据 输入处理模块对报文进行解封状、校验处理,并转给加扰模块;步骤2 :加扰模块执行X0R运 算和增加空闲序列对数据进行加扰,并转到无路由转发处理模块;步骤3 :根据路由器的处 理要求对输入数据分流,将控制平面需要的路由协议维护包、管理操作包等的"控制包"通 过主控单元发送到控制平面,并转到步骤4 ;将不需要上报的"数据包"直接送真实路由器, 转到步骤5 ;步骤4 :控制平面执行安全威胁检测功能,并将处理后的数据包通过数据平面 主控单元传送到真实路由器,转到步骤6 ;步骤5 :真实路由器实现对数据进行相应处理,返 回数据至影子路由器数据解扰模块。步骤6 :数据解扰模块对数据包进行解扰处理;步骤7 : 输出处理单元对数据包进行封装并送至真实路由器指定的目的输出链路。
[0009] 所述多个影子路由器联合检测安全威胁流程如下:步骤 3:+ :控制平面对上报的数据包执行安全威胁检测功能;步骤S:如果能检测出安全威胁,转 到步骤S,否则转到步骤步骤t:向临近影子路由器发送数据共享请求,获取临近影子 路由器的日志信息和统计信息。对统计数据进行联合分析,检测安全威胁;步骤$ :如果能 检测出安全威胁,转到步骤甚,否则转到步骤$;步骤墓:生成新安全威胁的签名并发布给 临近影子路由器,相应影子路由器更新已知安全威胁库;步骤f:对安全威胁检测结果进 行相应处理。
[0010] 所述影子路由器的底层是与影子路由器对应的真实路由器,中间层是影子路由器 的数据平面,顶层是其控制平面,数据经过数据平面和控制平面的相应处理后传入真实路 由器,再由真实路由器对数据进行相应处理,最后经过数据平面和控制平面输出。
[0011] 所述影子路由器和真实路由器的配置比例为1 :N,其中N为大于等于1的自然数, N的大小可根据具体网络环境、安全等级需求和影子路由器本身系统性能指标来确定。 [0012] 与现有技术相比,本发明影子路由器具有以下优点:本发明既可免除恶意探测,又 能完全真实t旲拟所连接真实路由器的处理功能和性能。能够有效应对新时期网络安全威 胁,实现对真实路由器的全方位圆罩式防护,提升信息安全防护能力,为信息基础网络骨架 安全保驾护航。
【附图说明】
[0013] 图1是本发明影子路由器与真实路由器的外部连接结构示意图; 图2是本发明影子路由器的内部结构示意图; 图3是本发明影子路由器数据处理平面的结构示意图; 图4是本发明影子路由器控制平面的结构示意图; 图5是本发明影子路由器安全威胁检测模块的结构示意图; 图6是本发明影子路由器处理流程的结构示意图; 图7是本发明影子路由器联合检测安全威胁流程的结构示意图。
【具体实施方式】
[0014] 下面结合附图和【具体实施方式】对本发明影子路由器作进一步说明:如图所示,本 实施例中影子路由器串行接入在真实路由器的输入、输出链路中间,影子路由器包括真实 路由器、数据平面和控制平面三层结构,底层是与影子路由器对应的真实路由器,中间层是 影子路由器的数据平面,顶层是其控制平面;外部链路的数据首先输入影子路由器,通过影 子路由器安全检验的数据可送往真实路由器完成相应处理,处理完毕后的数据再经影子路 由器处理并输出到链路上;影子路由器和真实路由器的配置比例为1:N,其中N的个数可 根据具体网络环境、安全等级需求和影子路由器本身系统性能指标来确定。
[0015]所述影子路由器处理流程具体如下:步骤1 :报文进入影子路由器数据平面,数据 输入处理模块对报文进行解封状、校验处理,并转给加扰模块;步骤2 :加扰模块执行X0R运 算和增加空闲序列对数据进行加扰,并转到无路由转发处理模块;步骤3 :根据路由器的处 理要求对输入数据分流,将控制平面需要的路由协议维护包、管理操作包等的"控制包"通 过主控单元发送到控制平面,并转到步骤4 ;将不需要上报的"数据包"直接送真实路由器, 转到步骤5 ;步骤4 :控制平面执行安全威胁检测功能,并将处理后的数据包通过数据平面 主控单元传送到真实路由器,转到步骤6 ;步骤5 :真实路由器实现对数据进行相应处理,返 回数据至影子路由器数据解扰模块。步骤6 :数据解扰模块对数据包进行解扰处理;步骤7 : 输出处理单元对数据包进行封装并送至真实路由器指定的目的输出链路。
[0016] 所述多个影子路由器联合检测安全威胁流程如下:步骤;I::控制平面对上报的数 据包执行安全威胁检测功能;步骤S.:如果能检测出安全威胁,转到步骤?,否则转到步骤 @ ;步骤塞:向临近影子路由器发送数据共享请求,获取临近影子路由器的日志信息和统 计信息。对统计数据进行联合分析,检测安全威胁;步骤④:如果能检测出安全威胁,转到 步骤苕,否则转到步骤:E;步骤? :生成新安全威胁的签名并发布给临近影子路