基于专有数据帧分析算法实现的分布式互联网安全探测告警系统的制作方法

本发明涉及一种互联网安全探测告警系统，尤其是在不影响现有互联网网络体系结构的情况下接入使用，具体地说，是关于一种基于专有数据帧分析算法实现的分布式互联网安全探测告警系统。

背景技术：

由于互联网的高速发展、物联网概念的崛起使得局域网络内部连接设备数量骤增，尤其是信息化与工业化深度融合后，广播包在网络内泛滥，给网络造成极其严重的负担。

广播包的实际应用可以分为两种情况：1、当本地局域网中某一设备上的某个应用程序需要在网内搜索资源，而该应用程序对所需资源的目标地址没有任何先验认知。2.网络中常见的一些重要的功能，比如路由要求把它们的信息发送给所有可以找到的邻机。

计算机网络病毒同样可以利用广播包的性质在局域网内传播。依据其病毒传播方式可以分为蠕虫病毒和木马病毒。在局域网内部传播能力更强造成危害相对偏大的是蠕虫病毒。

蠕虫病毒在内网中是通过扫描搜索漏洞来传播，其在网络中传播的行为特征就是计算机ip扫描。通过扫描对系统、应用进行漏洞挖掘，然后再通过这些漏洞进行入侵、传播。而扫描所依赖的就是发送广播包给所有网络内设备。

目前网络架构中，通常是在外网到内网的入口处，架设防火墙作为保护，蠕虫病毒无法由外向内扫描。防火墙常见的防蠕虫方式有两种，一是将已知蠕虫的端口号封禁以达到防传播的目的；二是对所有外网进入内网的数据包进行监控，拦截疑似蠕虫的数据包。但是由于防火墙假设在网络边缘，无法阻断蠕虫病毒从内网内部发起传播。

对于已经搭建完成并投入使用的网络架构，更换或拓展网络设备相当困难，既需要考虑现有设备的可拓展性，还需要兼顾设备的兼容性。

技术实现要素：

本发明的目的是提供一种基于专有数据帧分析算法实现的分布式互联网安全探测告警系统，在不影响现有互联网网络体系结构的情况下接入已经完成搭建并投入使用的网络架构，并通过专有模块实时监控内网子网段客户端的通讯行为，具备对客户端的异常行为发出告警的机制，以此来弥补现行网络安全方案的不足，提高现行网络结构对威胁的发现侦查能力，降低内网内部受到攻击的风险，从而加固网络安全。

该基于专有数据帧分析算法实现的分布式互联网安全探测告警系统，其技术特征主要包括防扫描仪、数据帧分析模块、被动探测模块以及管理软件：

(1)所述防扫描仪，是指采用broadcom56xxx、53xxx系列、marvell硬件作为开发平台生产的设备，可通过光纤或普通网线接入网络，对各子网进行监控；

(2)所述被动探测模块是通过嵌入式模块在设备中创建多个陷阱地址，当陷阱地址接收到攻击包时，与其建立连接，根据连接行为特征判断是否为非法连接；

(3)所述数据帧分析模块是通过对被动探测模块接收到的数据帧作分析，根据其数据帧特点，对连接通讯作出合法性判断，并发出告警；

(4)所述管理软件主要功能包括查看设备基本信息、所接入网络拓扑状态，并对各嵌入式模块的功能进行管理，同时也对设备进行配置管理和维护。

本发明与现有技术相比，具有的增益效果是：

(1)采用了分布式的结构方式加强对内网子网的安全监控，即通过在每个子网内架设一台所述的防扫描仪，充分弥补了现有网络防火墙只能在架设在网络边缘局限性地对内外网衔接处的数据作监控，而无法对内网内部之间发生的攻击作监控的严重缺陷；

(2)对数据帧的预采集与分析，并通过告警的方式通知用户，相对于以往在网络内部发生问题以后维护人员需对网络内通讯进行抓包分析，本发明能充分提高发现威胁的及时性，并直接将攻击源告知维护管理人员，充分减轻运维的压力；

(3)兼容性强，对网络中所使用的交换机、路由器等网络通讯设备没有品牌和型号的规定，即安装即使用。

附图说明

图1是在现行网络拓扑架构在受到内部攻击时的简单说明图。

图2是在原有网络结构的情况下接入本发明的简单说明图。

图3为本发明中所使用的一种的基于动态主机配置协议的防非法ip扫描告警技术示意图。

具体实施方式

为了能够更清楚地描述本发明的技术内容，下面结合具体实施案例来进行进一步的描述。

如图1所示，传统网络拓扑架构中，防火墙所设立的位置为内部网络与互联网的交界处，即为内网边缘。当有攻击者从外部攻击时，防火墙能够起到保护作用，而一旦攻击者出现在内部，防火墙就丧失了其保护功能。

在图2中，将本发明所提及的防扫描仪接入现存网络结构中的多个子网中，在激活探测功能后，即可探测到内部出现的攻击者。

如图3所示，当网内受感染的设备发起ip扫描动作的时候，数据流到达路由器后，路由器会根据目标ip的网段，将数据按箭头方向转发到相应ip段的路由设备上。

收到数据的防扫描仪，通过固化在设备中的专有模块，对网络数据帧进行分析。如果目标ip已经有对应设备，那么数据帧会经路由设备转发到对应ip的设备上，如图3中ip为192.168.1.2-192.168.1.5的设备。但是，如果扫描的目标ip没有相对应的设备，那么防扫描仪就会发出“有非法ip扫描”的告警信息，固化模块会对数据帧进行数据分析，根据分析结果，告知用户非法通讯的源头和目标，让用户决定将采取某种措施来阻断数据源的通信，如图3中192.168.2.2对192.168.1.6发起通讯，触发防扫描仪发起告警。

技术特征：

1.一种基于专有数据帧分析算法实现的分布式网络安全探测告警系统，包括防扫描仪、数据帧分析模块、被动探测模块以及管理软件，其特征在于：

(1)防扫描仪：作为数据采集设备，接入网络结构后监控并采集多层网络域内的数据帧，并为设备管理模块提供接口；

(2)被动探测模块：该模块激活后，设备即在网络内创建一个或多个陷阱系统；

(3)数据帧分析模块：对所收集数据帧进行分析，根据其行为特征，对连接通讯作出合法性判断，并发出告警；

(4)管理软件：可查看设备基本信息、所接入网络拓扑状态，并对各嵌入式模块的功能进行管理，同时也对防扫描仪设备进行配置管理和维护。

2.根据权利要求1所述防扫描仪，其特征在于，是可编程控制设备，该设备具有基本网络连接功能，可作为单一设备接入现有网络拓扑结构，也可成套接入组网内的多个子网以构建成分布式安全探测网；设备的种类包括但不限于二层交换机、三层交换机、防扫描仪、工控机等。

3.根据权利要求1所述的被动探测模块，其特征在于，所述的陷阱系统，当攻击者试图对陷阱地址发起攻击时，系统发出警告。

4.根据权利要求1所述的数据帧分析模块，其特征在于，对所收集的数据帧作分析，提取出其中的具有特殊特征的数据帧，并作溯源分析，对源头设备进行标记记录，判断其合法性，非法时发出告警。

5.根据权利要求1所述的管理软件，包括通讯网络管理模块、数据持久化模块、用户展示模块、设备管理模块、告警模块，其特征在于：所述数据持久化模块、用户展示模块、设备管理模块、告警模块都与网络管理模块相连接，对防扫描仪作统一管理。

技术总结
本发明的目的是提供一种基于专有数据帧分析算法实现的分布式互联网安全探测告警系统，在不影响现有互联网网络体系结构的情况下接入已经完成搭建并投入使用的网络架构，并通过专有模块实时监控内网子网段客户端的通讯行为，具备对客户端的异常行为发出告警的机制，以此来弥补现行网络安全方案的不足，提高现行网络结构对威胁的发现侦查能力，降低内网内部受到攻击的风险，从而加固网络安全。

技术研发人员：陈晓伟;江万春;徐晓磊;方祺远
受保护的技术使用者：上海自恒信息科技有限公司
技术研发日：2020.04.24
技术公布日：2020.08.14