一种is?is网络中的链路异常检测方法、系统、装置、芯片的制作方法
【专利摘要】本发明提出一种IS?IS网络中的链路异常检测方法、系统、装置、芯片,涉及网络安全中路由异常领域,该方法包括采集IS?IS网络中各路由器的链路状态报文,对所述链路状态报文内的TLV信息进行解析,并存储在临时数据结构内;将所述TLV信息中的链路关系与上个所述链路状态报文刷新周期获取的链路关系进行对比,如果上个所述链路状态报文刷新周期获取的链路关系中未发现所述TLV信息中的链路关系,则所述IS?IS网络中增加了新的链路。本发明通过被动采集路由信息,通过获取链路状态报文信息,新旧报文关联分析,解决了路由器异常造成的链路新增、链路状态改变、链路中断等链路异常的发现问题。
【专利说明】
一种IS-1S网络中的链路异常检测方法、系统、装置、芯片
技术领域
[0001]本发明涉及网络安全中路由异常领域,特别涉及一种IS-1S网络中的链路异常检测方法、系统、装置、芯片。
【背景技术】
[0002]计算机网络是在计算机技术和通信技术发展的过程中产生的。20世纪90年代中期万维网发明并应用于网络之后,网络上的应用日益增多、网络规模迅速增长、网络用户数量急剧增大,互联网正逐步演变成为人类社会的信息基础设施。然而,任何一台设备在运行过程中都会有损耗,会发生异常情况。近年来在互联网的路由器的异常引起的损失日益严重,如何能够及时发现路由器设备的异常、快速生成警报信息以便迅速采取修复措施受到工业界和学术界的极大关注。
[0003]针对当前互联网对网络异常的检测需要分布式部署多台探针设备使成本居高不下,轮询收集的网络设备信息准确性低,该发明提出全区域部署一台设备自动式被动采集路由信息,通过获取链路状态报文信息,新旧报文关联分析,解决了路由器异常造成的链路新增、链路状态改变、链路中断等链路异常的发现问题。
【发明内容】
[0004]针对现有技术的不足,本发明提出一种IS-1S网络中的链路异常检测方法、系统、
装置、芯片。
[0005]本发明提出一种IS-1S网络中的链路异常检测方法,包括:
[0006]步骤I,采集IS-1S网络中各路由器的链路状态报文,对所述链路状态报文内的TLV信息进行解析,并存储在临时数据结构内;
[0007]步骤2,将所述TLV信息中的链路关系与上个所述链路状态报文刷新周期获取的链路关系进行对比,如果上个所述链路状态报文刷新周期获取的链路关系中未发现所述TLV信息中的链路关系,则所述IS-1S网络中增加了新的链路。
[0008]所述步骤I包括通过解析所述TLV信息中的TLV 2或者TLV 22,获取路由器的IS-1S邻居关系,将IS-1S网络中的临时分片中的链路信息进行存储,延时等待同一Sys_Id的路由器发来的所述链路状态报文的所有分片信息。
[0009]所述步骤2还包括将新解析的TLV2或者TLV 22中的链路关系与上个所述链路状态报文刷新周期获取的链路关系进行对比,如果所述TLV信息中的链路关系中未发现上个所述链路状态报文刷新周期获取的某个链路关系,则所述某个链路关系丢失。
[0010]所述步骤2还包括获取IS-1S网络中所述链路状态报文的报文格式,获取链路Metric值,并判断所述链路Metric值是否发生变化。
[0011]本发明还提出一种IS-1S网络中的链路异常检测系统,包括
[0012]路由信息采集模块,用于采集IS-1S网络中各路由器的链路状态报文,对所述链路状态报文内的TLV信息进行解析,并存储在临时数据结构内;
[0013]路由异常监测模块,用于将所述TLV信息中的链路关系与上个所述链路状态报文刷新周期获取的链路关系进行对比,如果上个所述链路状态报文刷新周期获取的链路关系中未发现所述TLV信息中的链路关系,则所述IS-1S网络中增加了新的链路。
[0014]所述路由信息采集模块包括通过解析所述TLV信息中的TLV2或者TLV 22,获取路由器的IS-1S邻居关系,将IS-1S网络中的临时分片中的链路信息进行存储,延时等待同一Sys_Id的路由器发来的所述链路状态报文的所有分片信息。
[0015]所述路由异常监测模块还包括将新解析的TLV2或者TLV 22中的链路关系与上个所述链路状态报文刷新周期获取的链路关系进行对比,如果所述TLV信息中的链路关系中未发现上个所述链路状态报文刷新周期获取的某个链路关系,则所述某个链路关系丢失。
[0016]所述路由异常监测模块还包括获取IS-1S网络中所述链路状态报文的报文格式,获取链路Me tr i c值,并判断所述链路Me tr ic值是否发生变化。
[0017]本发明还提出一种实现IS-1S网络中的链路异常检测方法的装置。
[0018]本发明还提出一种实现IS-1S网络中的链路异常检测方法方法的芯片。
[0019]由以上方案可知,本发明的优点在于:
[0020]从网络安全的角度来讲,路由异常一直是网络安全管理的重点,但遗憾的是目前对异常问题的关注点多集中于网络中服务器的管理,缺少对网络中链路状况的管理。虽然路由器的异常问题不会对用户造成直观危害,但它会显著影响网络基础设施的可用性,导致更为严重的安全问题。本发明通过被动采集路由信息,通过获取链路状态报文信息,新旧报文关联分析,解决了路由器异常造成的链路新增、链路状态改变、链路中断等链路异常的发现问题。
【附图说明】
[0021]图1是Net地址结构图;
[0022]图2是系统组成结构架构图。
【具体实施方式】
[0023]针对IS-1S网络环境下,对链路状态异常检测代价高、发现异常的精确度不高的现实问题,本发明基于ISO七层协议中网络层的IS-1S链路状态报文,通过设计路由异常监测系统提出一种IS-1S网络中的链路异常检测方法、系统、装置、芯片。
[0024]IS-1S网络中路由异常领域的研究尚处于初级阶段,产业化的路由安全产品屈指可数,随着计算机网络规模的不断扩大,路由异常势必面临更加严峻的挑战,针对当前互联网对网络异常的检测需要分布式部署多台探针设备使成本居高不下,轮询收集的网络设备信息准确性低,本发明提出全区域部署一台设备自动式被动采集路由信息,通过获取链路状态报文信息,新旧报文关联分析,解决了路由器异常造成的链路新增、链路状态改变、链路中断等链路异常的发现问题。
[0025]本发明主要采用的思想是:设计一套链路异常监测系统,通过虚拟路由器接入网络,接收来自全网的链路状态报文(LSP),发现网络中的链路关系,从而监视并发现网络中的异常链路,实现链路状态的检测,包括以下步骤:
[0026]链路状态报文分片链路信息的汇总:
[0027]在IS-1S网络中,当一个路由器直连设备增加到一定数量时,一个LSP报文在规定的大小内不能包含所有的此路由器的信息,就会分片,分片在报文中反应如图1所示:
[0028]每一个分片报文中,Sys_Id(网络服务访问点地址的系统标识字段)与NSEL(网络服务访问点选择符号)是相同的,分片号各不相同,通过抓包,每一台路由器发送的LSP报文所有分片是按序相继到达,间隔以毫秒计,另外,网络的规模和路由器的接口数量决定了一台路由器的LSP报文分片正常情况下不会超过5片,根据这一情况,通过解析TLV 2(ISreachability,包含中间系统可达信息)或者TLV 22(Extended IS reachability JtTLV 2的扩展)发现路由器的IS-1S邻居关系,在IS-1S网络中添加对临时分片中的链路信息存储,延时等待同一 Sys_Id的路由器发来的LSP所有分片信息汇总完成后,转交给链路分析模块完成后续的链路异常检测。
[0029]分片汇集过程在Is内将LSP的所有分片采集起来,并将报文内的TLV信息解析存储在临时数据结构内,虽然在时间上对未分片的报文的解析造成了时延,但是解决了报文分片造成的?目息缺失冋题。
[0030]发现网络中链路的新增:
[0031]将新解析的TLV2或者TLV 22中的链路关系与上个LSP刷新周期获得的链路关系查找对比,如果有链路关系是上个LSP刷新周期获得的链路关系里所没有的,这说明有新的链路增加,如果是POS口(即PacketOverSONET/SDH,一种基于应用城域网及广域网中的技术的接口)可以立刻知道新增的链路(比如,本路由器Sys_Id+NSEL为0000.0000.0001.00到对端路由器Sys_Id+NSEL为0000.0000.0002.00)。如果是Ethernet或者FastEthernet,由于DIS的存在,则要分情况而定:
[0032](I)、本路由器Sys_Id+NSEL与DIS的Sys_Id+NSEL相同,比如本地路由器为0000.0000.0002.00,而DIS为0000.0000.0002.01,并不能确定DIS对端路由器的Sys_Id+NSEL是什么,也就无法确定这一新增链路,这时要等待DIS发出的LSP报文,此LSP中0000.0000.0002.01 的对端路由器的Sys_Id+NSEL 0000.0000.0002.00与Sys_Id+NSEL
0000.0000.0001.00,此时即可确认新增的链路。
[0033](2)、本路由器Sys_Id+NSEL与DIS的Sys_Id+NSEL不同,比如本地路由器为0000.0000.0001.00,而DIS为0000.0000.0002.01,这时可直接确定链路的两端路由器的Sys_Id,发现链路的新增。
[0034]发现网络中链路的丢失:
[0035]将新解析的TLV2或者TLV 22中的链路关系与上个LSP刷新周期获得的链路关系查找对比,如果有链路关系是上个LSP刷新周期获得的链路关系里所有的链路关系,但在新的链路关系里没有查找到,这说明相应的链路丢失,如果是POS 口可以立刻知道丢失的链路(比如,本路由器Sys_Id+NSEL为0000.0000.0001.00到对端路由器Sys_Id+NSEL为
0000.0000.0002.00)o如果是Ethernet或者FastEthernet,由于DIS的存在,则要分情况而定:
[0036](I)、本路由器Sys_Id+NSEL与DIS的Sys_Id+NSEL相同(如图1),比如本地路由器为0000.0000.0002.00,而DIS为0000.0000.0002.01,并不能确定DIS对端路由器的Sys_Id+NSEL是什么,也就无法确定这一丢失的链路。这时要在以前解析并存入内存的DIS的对端,从而发现丢失的链路信息。
[0037](2)、本路由器Sys_Id+NSEL与DIS的Sys_Id+NSEL不同,比如本地路由器为0000.0000.0001.00,而DIS为0000.0000.0002.01,这时可直接确定链路的两端路由器的Sys_Id,发现链路的丢失。
[0038]发现网络中链路Me trie值得变化:
[0039]在IS-1S网络中,如果链路Metric值发生变化,就会迅速产生新的LSP更新全网路由器中的链路状态信息,根据报文格式,只有在实际路由器生成的LSP的邻居信息中有Me tr i c值信息,如果是POS 口,可以直接对比新链路的Me tr i c值与原链路的Me tr i c值,如果不同即发现Metric值的变化,如果是Ethernet或者FastEthernet,如果是Ethernet或者FastEthernet,由于DIS的存在,则要分情况而定:
[0040](I)、本路由器Sys_Id+NSEL与DIS的Sys_Id+NSEL相同(如图1),比如本地路由器为0000.0000.0002.00,而DIS为0000.0000.0002.01,这一邻居关系下的Metric值代表的是
0000.0000.0002.00路由器到DIS对端的与本路由器Sys_Id+NSEL不同的所有路由器的Metric值。当此新的链路信息到来时,查找相应的原来的本路由器到DIS的链路对比Metric值,如果发生变化,则所有以本地路由器为源通过DIS连接的所有目的路由器形成的链路的Metric值发生变化。
[0041 ] (2)、本路由器Sys_Id+NSEL与DIS的Sys_Id+NSEL不同,比如本地路由器为
0000.0000.0001.00,而DIS为0000.0000.0002.01,这时可直接对比相应的原链路的Metric值,如果不同则本路由器到以DIS的Sys_Id为Sys_Id的目的路由器的链路的Metric值发生变化。
[0042]以下为本发明的系统架构,如下所示:
[0043]系统由路由信息采集模块与路由异常分析模块两大部分组成,其中路由信息采集模块的作用是实时收集区域内的链路状态报文,对网路屏蔽自身的存在,将链路状态报文转发给异常分析模块,路由异常分析模块的作用是数据接收与解析,新报文信息与就报文信息关联分析,根据关联分析结果确认是否有路由链路异常事件的发生,路由异常监测系统的软件模块组成架构如图2所示。
[0044]路由信息采集模块:路由信息采集模块的作用是采集域内运行IS-1S协议路由器的链路状态信息,采集之后上报给路由异常分析模块,为检测域内的网络路由异常提供数据支持。
[0045]路由异常监测模块:通过被动监听路由信息采集模块上传的IS-1S链路状态信息报文的方式,根据LSP报文中的IS reachability和Extended IS reachability信息与旧有信息关联分析,发现网络中链路的异常状态并产生警报信息。
[0046]本发明在实际应用中,路由异常监测系统包括路由信息采集模块和路由异常分析模块两个组成部分。其中,路由信息采集模块部署在各AS内,支持对LSP报文的采集,并将采集结果上报到路由异常分析模块进行深入分析。路由信息采集模块通常在每个管理域各部署一台。路由异常分析模块提供对全网路由链路信息的分析功能,检测和分析网络路由异常事件。它作为网络异常监测分析系统的重要软件模块,通常部署在总部。
[0047]本发明还包括一种实现IS-1S网络中的链路异常检测方法的装置。
[0048]本发明还包括一种实现IS-1S网络中的链路异常检测方法的芯片。
【主权项】
1.一种IS-1S网络中的链路异常检测方法,其特征在于,包括: 步骤I,采集IS-1S网络中各路由器的链路状态报文,对所述链路状态报文内的TLV信息进行解析,并存储在临时数据结构内; 步骤2,将所述TLV信息中的链路关系与上个所述链路状态报文刷新周期获取的链路关系进行对比,如果上个所述链路状态报文刷新周期获取的链路关系中未发现所述TLV信息中的链路关系,则所述IS-1S网络中增加了新的链路。2.如权利要求1所述的一种IS-1S网络中的链路异常检测方法,其特征在于,所述步骤I包括通过解析所述TLV信息中的TLV 2或者TLV 22,获取路由器的IS-1S邻居关系,将IS-1S网络中的临时分片中的链路信息进行存储,延时等待同一 Sys_Id的路由器发来的所述链路状态报文的所有分片信息。3.如权利要求1所述的一种IS-1S网络中的链路异常检测方法,其特征在于,所述步骤2还包括将新解析的TLV 2或者TLV 22中的链路关系与上个所述链路状态报文刷新周期获取的链路关系进行对比,如果所述TLV信息中的链路关系中未发现上个所述链路状态报文刷新周期获取的某个链路关系,则所述某个链路关系丢失。4.如权利要求1所述的一种IS-1S网络中的链路异常检测方法,其特征在于,所述步骤2还包括获取IS-1S网络中所述链路状态报文的报文格式,获取链路Me tr i c值,并判断所述链路Metric值是否发生变化。5.一种IS-1S网络中的链路异常检测系统,其特征在于,包括 路由信息采集模块,用于采集IS-1S网络中各路由器的链路状态报文,对所述链路状态报文内的TLV信息进行解析,并存储在临时数据结构内; 路由异常监测模块,用于将所述TLV信息中的链路关系与上个所述链路状态报文刷新周期获取的链路关系进行对比,如果上个所述链路状态报文刷新周期获取的链路关系中未发现所述TLV信息中的链路关系,则所述IS-1S网络中增加了新的链路。6.如权利要求5所述的一种IS-1S网络中的链路异常检测系统,其特征在于,所述路由信息采集模块包括通过解析所述TLV信息中的TLV 2或者TLV 22,获取路由器的IS-1S邻居关系,将IS-1S网络中的临时分片中的链路信息进行存储,延时等待同一 Sy s_I d的路由器发来的所述链路状态报文的所有分片信息。7.如权利要求6所述的一种IS-1S网络中的链路异常检测系统,其特征在于,所述路由异常监测模块还包括将新解析的TLV 2或者TLV 22中的链路关系与上个所述链路状态报文刷新周期获取的链路关系进行对比,如果所述TLV信息中的链路关系中未发现上个所述链路状态报文刷新周期获取的某个链路关系,则所述某个链路关系丢失。8.如权利要求6所述的一种IS-1S网络中的链路异常检测系统,其特征在于,所述路由异常监测模块还包括获取IS-1S网络中所述链路状态报文的报文格式,获取链路Metric值,并判断所述链路Metric值是否发生变化。9.一种实现如权利要求1-4任意一项方法的装置。10.一种实现如权利要求1-4任意一项方法的芯片。
【文档编号】H04L12/721GK106059850SQ201610324530
【公开日】2016年10月26日
【申请日】2016年5月17日
【发明人】景全亮, 刘琳, 毕经平, 姚忠将
【申请人】中国科学院计算技术研究所