一种基于路由、流量的态势感知系统的制作方法

1.本发明涉及网络安全技术领域，具体涉及一种基于路由、流量的态势感知系统。


背景技术：

2.目前，协议分析设备往往基于各类应用协议，支持应用类协议的解析和阻拦，数据分析平台仅仅关注对象的流量状态，大多数设备通常使用访问控制列表(access control list，acl)，作为路由器和交换机接口的指令列表，用来控制端口进出的数据包；或者五元组(源ip地址，源端口，目的ip地址，目的端口和传输层协议)策略对应用类协议包进行粗略拦截，无法进行更深层次的匹配和阻截，也无法实现对路由等协议的解析拦截，未能及时关注网络中路由设备状态、组织拓扑关系、各链路上的流量分布情况。


技术实现要素：

3.本发明实施例提供了一种基于路由、流量的态势感知系统，从网络中的路由拓扑结构出发，关注各链路上的流量分布情况，实现了对路由协议以及其他应用协议攻击的发现和阻断。
4.为实现以上目的，本发明通过以下系统予以实现：
5.本发明实施例提供的一种基于路由、流量的态势感知系统，包括：
6.两级或两级以上的管理平台，每级管理平台包括：管理子系统、态势子系统和管控子系统；
7.执行单元，用于抓取协议数据包，获取数据，并且执行上级管控子系统创建并通过管理子系统下发的规则策略，所述规则策略可由顶级管理平台创建也可由中间级管理平台创建。
8.可选的，所述管理平台，还包括预警子系统，所述预警子系统以插件的形式动态提供服务。
9.进一步的，所述系统根据不同层级的管理平台中相应的子系统建立上下级的连接关系；如果上级管理平台中不包括下级管理平台的子系统，则将所述下级管理平台的子系统数据传递至当前管理平台中的管理子系统，由所述下级管理平台的管理子系统向上级管理子系统转发。
10.可选的，所述管理子系统，用于实现不同层级管理平台之间的数据传递；或者在所述管理子系统所在的当前层级的管理平台内传递所述数据。
11.可选的，所述态势子系统，用于分析由同一管理平台中管理子系统获得的数据，或者分析下级态势子系统传递上来的数据，最终将分析结果向上级态势子系统转发。
12.可选的，所述管控子系统用于编辑和更新所述规则策略，并将所述规则策略发送至下级管控子系统直至所述执行单元。
13.进一步的，所述管理平台在最上级的数量为1，并且下一级管理平台的数量大于上一级管理平台的数量；在单个管理平台中，所述管理子系统分别与所述态势子系统和所述
管控子系统建立关联关系，并且所述态势子系统与所述管控子系统之间无关联关系。
14.可选的，所述执行单元位于所述最下级管理平台的末端，其中，单个管理平台连接的执行单元的数量为一个或多个。
15.进一步的，所述执行单元之间并无关联关系，单个执行单元与上级管理平台进行交互。
16.进一步的，所述执行单元还包括：根据所述规则策略处理实时获取的数据包。
17.本发明实施例提供了一种基于路由、流量的态势感知系统，该系统包括：两级或两级以上的管理平台，每级管理平台包括：管理子系统、态势子系统和管控子系统；执行单元，用于抓取协议数据包，获取数据，并且执行上级管控子系统创建并通过管理子系统下发的规则策略，所述规则策略可由顶级管理平台创建也可由中间级管理平台创建。通过所述系统，能够在通信网络中，发现路由、流量以及不同类型协议的网络攻击；实现了对网络攻击的快速阻断并且编辑规则策略予以实施，同时，提高了网络安全风险的预判能力并生成相应的风险报告。
附图说明
18.为了更清楚的说明本发明实施例的技术方案，下面将对实施例中所需要使用的附图作简单介绍，应当理解，以下附图，仅示出了本发明的实施例，因此，不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获取其他相关的附图。
19.图1是本技术实施例一提供的一种基于路由、流量的态势感知系统的流程图；
20.图2是本技术实施例一提供的一种基于路由、流量的态势感知系统的结构示意图。
具体实施方式
21.下面结合附图和实施例对本发明作进一步的详细说明。可以理解的是，此处所描述的具体实施例仅用于解释本发明，而非对本发明的限定。另外还需要说明的是，为了便于描述，附图中仅示出了与本发明相关的部分而非全部结构，此外，在不冲突的情况下，本发明中的实施例及实施例中的特征可以相互组合。
22.应当理解，本发明的方法实施方式中记载的各个步骤可以按照不同的顺序执行，和/或并行执行。此外，方法实施方式可以包括附加的步骤和/或省略执行示出的步骤。本发明的范围在此方面不受限制。本文使用的术语“包括”及其变形是开放性包括，即“包括但不限于”。术语“基于”是“至少部分地基于”。术语“一个实施例”表示“至少一个实施例”；术语“另一实施例”表示“至少一个另外的实施例”；术语“一些实施例”表示“至少一些实施例”。其他术语的相关定义将在下文描述中给出。
23.需要注意的，本发明中提及的“一个”、“多个”的修饰是示意性而非限制性的，本领域技术人员应当理解，除非在上下文另有明确指出，否则应该理解为“一个或多个”。
24.本发明实施方式中的多个装置之间所交互的消息或者信息的名称仅用于说明性的目的，而并不是用于对这些消息或信息的范围进行限制。
25.图1为本实施例提供的一种基于路由、流量的态势感知系统的流程图，所述系统的结构包括：
26.s110、两级或两级以上的管理平台，每级管理平台包括：管理子系统、态势子系统和管控子系统。
27.传统的部署方式是根据路由域的划分部署所述管理平台。路由域用于标识与网络流量路由相关的计算机网络层次结构的较低级别。域下包含的所有计算机和路由器必须由单个源管理，并且遵循单一的路由协议。为了详细描述网络拓扑，可以在给定的域中存在额外的子网络，只要这些子网遵循相同的路由协议。此外，一个特定的域可能作为更大网络的一部分存在。
28.本实施例在系统组织关系上实现所述管理平台的多级部署，通常按照路由的主干路由、骨干路由、接入路由的层级实施部署所述管理平台。主干路由器是指设计用于构建骨干网，一般不具有内置的数字拨入的广域网(wan)接口的路由器；骨干级路由器实现企业级网络的互联；接入路由器是位于网络外围(边缘)的路由器，某一层的核心路由器是另一层的边缘路由器，用于连接家庭或者小型企业客户。各个管理平台设备可独立运行，单独提供服务，当所述各个管理平台组合部署时，采用类似于多叉树的方式进行上下级关系的构建，其中，任何一个管理平台设备均可与单个上级管理平台设备或者多个下级管理平台设备建立连接。需要注意的是：所述管理平台设备为所述管理平台中各个子系统组成的集合。在所述多叉树的系统构建方法中，所述管理平台设备的树状分布，若任意结点失效、连接超时或者处理速度过慢等，其对应的上下级管理平台设备及时采取措施，暂存数据并跨级建立临时链接保证数据通道畅通，待所述失效结点的管理平台设备恢复时，原本的上下级关系重新建立连接。
29.s120、执行单元，用于抓取协议数据包，获取数据，并且执行上级管控子系统创建并通过管理子系统下发的规则策略，所述规则策略可由顶级管理平台创建也可由中间级管理平台创建。
30.需要注意的是，所述规则策略并非仅用于执行上级管控子系统创建并通过管理子系统下发的规则策略。所述执行单元通过串联或者并联的方式接入实际运行的网络，并且不同执行单元之间不存在关联关系。如果所述执行单元以串联的方式接入实际运行的网络，则该执行单元可以实施数据的采集和所述规则策略的执行；如果所述执行单元以并联的方式接入实际运行的网络，则该执行单元仅能采集数据。其中所述采集的数据均从实际运行的网络中获取。执行单元根据所述规则策略匹配实时获取的数据包，对满足所述规则策略的数据包执行放行或者丢弃操作。需要注意的是：执行单元对所述规则策略的执行和采集数据并不冲突，当该单元获取数据包时，一方面，解析所述数据包，得到所述数据并将其转发至上一层级；另一方面，匹配所述规则策略，生成告警事件。
31.图2为本实施例提供的一种基于路由、流量的态势感知系统的结构图，如图所示，最上级的管理平台作为顶级管理平台包括管理、态势、预警、管控子系统，并且，该管理平台中所有的子系统均拥有对下级各个管理平台中相应子系统的控制能力；所述顶级管理平台同时也具有对下级各个管理平台的控制能力。本实施例提供的所述态势感知系统，除了最上级的管理平台数量级为1之外，位于顶级管理平台的下属各个层级中管理平台的数量可根据需要部署，在单个层级中管理平台的数量比上一层级管理平台的数量多，使得所述系统的架构呈现类似于多叉树的结构。图中所示，仅用于示例说明所述系统的结构，并非只限于两个数量级的管理平台。在所述系统的末端，执行单元与所述上级管理平台的关联关系
为一个管理平台可对应单个或者多个执行单元；一个执行单元只能对应一个上级管理平台。
32.可选的，所述管理平台，还包括预警子系统，所述预警子系统以插件的形式动态提供服务。
33.插件是一种遵循一定规范的应用程序接口编写出来的一种程序，其只能运行在程序规定的系统平台下，可能同时支持多个平台，而不能脱离指定的平台单独运行。所述预警子系统除了在所述类似于多叉树的系统中作为根结点的顶层管理平台设备中作为固定的子系统以外，其余各级管理平台中按照需求进行部署。顶级管理平台为本系统中最上级的管理平台，其需要对所有子系统进行全量部署以提供完整功能，但是，对于所述管理平台中的不同子系统而言，提供路由、流量分布态势的呈现以及规则策略的编辑执行的功能。
34.可选的，所述系统根据不同层级的管理平台中相应的子系统建立上下级的连接关系；如果上级管理平台中不包括下级管理平台的子系统，则将所述下级管理平台的子系统数据传递至当前管理平台中的管理子系统，由所述下级管理平台的管理子系统向上级管理子系统转发。
35.具体的，所述管理子系统用于实现对各个层级间数据的传递，依据业务域将可处理的数据发送给当前管理平台设备对应的态势子系统，由态势子系统进行数据分析，另外，当所述态势子系统处理完所述数据以后，独立向上级的态势子系统传递数据，直至汇总到所述顶级管理平台设备中的态势子系统；此外，还需将不可处理的其他数据向上级管理平台中对应的管理子系统转发。
36.可选的，所述管理子系统，用于实现不同层级管理平台之间的数据传递；或者在所述管理子系统所在的当前层级的管理平台内传递所述数据。
37.当管理平台中管理子系统接收到数据时，依据本级管理域、业务域确定的设备可见范围和数据处理范围划分数据。其中，管理域由管理子系统组成，用于控制系统参数的应用范围；管理域中的各管理子系统可不具有物理连接关系。基于物理连接关系的构成的是设备域，属于管理域的一部分，可对所有设备进行管理。业务域由部署有执行单元的各路由域中的路由器组成，用于控制态势子系统中路由器及路由域的可见范围。各域管理默认由顶级管理平台实施，各级管理平台可按照需求创建对应的域。
38.可选的，所述态势子系统，用于分析由同一管理平台中管理子系统获得的数据，或者分析下级态势子系统传递上来的数据，最终将分析结果向上级态势子系统转发。
39.作为一种可能的实施方式，如果中间某个管理平台的态势子系统出现异常，同时，在该异常态势子系统至顶级态势子系统的路径中，所有管理平台中的态势子系统均发生故障，那么，相关联的数据就通过当前管理平台中的管理子系统继续向上传递，由上级子系统接受分析，最终由顶级管理平台中的态势子系统完成数据汇总。
40.可选的，所述管控子系统用于编辑和更新所述规则策略，并将所述规则策略发送至下级管控子系统直至所述执行单元。
41.当管控子系统完成规则策略的创建后，经过管理子系统传递至执行单元，执行单元接收所述规则策略并应用。值得注意的是，所述规则策略不是一次性的，在未接收到新的规则策略时，执行单元持续应用所述规则策略策略，并对其当前的规则策略进行存储，当接收到上级下发的新的规则策略后更新所述当前规则策略。
42.可选的，所述管理平台在最上级的数量为1，并且下一级管理平台的数量大于上一级管理平台的数量；在单个管理平台中，所述管理子系统分别与所述态势子系统和所述管控子系统建立关联关系，并且所述态势子系统与所述管控子系统之间无关联关系。
43.可选的，所述执行单元位于所述最下级管理平台的末端，其中，单个管理平台连接的执行单元的数量为一个或多个。
44.所述基于路由、流量的态势感知系统中，上级指令依据各级管理平台的分支结点的关系向下实施，各级管理平台的分支结点可以在满足上级要求和实际需求的条件时下发独立指令。如果系统执行的任务是各级管理平台的设备参数配置，将不会运行至所述执行单元；如果要完成所述规则策略和对执行单元的配置命令，则会运行到执行单元；另外，如果顶级管理平台下发数据的路径仅仅为从顶级管理平台遍历到目标执行单元的分支。
45.进一步的，所述执行单元之间并无关联关系，单个执行单元与上级管理平台进行交互。
46.进一步的，所述执行单元还包括：根据所述规则策略处理实时获取的数据包。
47.执行单元根据规则策略匹配实时获取的数据包，对满足规则策略的数据包进行放行或者丢弃操作，所述规则策略由上级管控子系统下发而来，数据包根据实际运行网络中捕获，对其进行解析，读取数据包内容，获得所述采集数据。其中，所述执行单元是实际运行网络的一部分。
48.示例性的，执行单元实时采集数据包的数据，并上报路由数据信息，各级管理平台由下到上逐级转发所述数据直至汇总到所述顶级管理平台中的态势子系统，所述顶级管理平台中的态势子系统学习获得的路由数据结合知识图谱分析判断路由变化是否异常，若发生异常，产生路由异常告警，联动管控子系统生成规则策略，下发至执行单元及时阻拦攻击行为。各级预警子系统负责接收管理子系统转发的数据包内容，执行具体详尽的规则策略匹配分析，明确分类数据包，生成告警事件及安全风险报告。预警子系统可独立生成两类报告，安全风险报告及路由风险报告，其中，路由风险报告需调用态势子系统数据动态生成。
49.管理子系统需明确安全域，态势子系统的业务域和管理子系统的管理域，安全域由管控子系统组成，用于控制安全策略的应用范围。未部署有管控子系统的管理平台可不加入安全域，执行单元默认加入安全域；规则策略通过设备域组织关系进行下发。一般地，部署执行单元对用户节点的流量执行管控，用户节点通常不部署管理平台。执行单元在流量设计的功能中仅用于数据采集，其上级管理平台根据所述执行单元上报来的数据分析流量的分布情况和对链路的占用情况。
50.作为另一种可能的实施方式，在本技术方案的背景下，变更所述系统的部署规则，即在排除顶级管理平台之后，令各级管理平台中的固定子系统设定为管理子系统，其它的态势、管控、预警子系统均设定为动态子系统，所述动态子系统表征各子系统可按照需求部署。对于执行单元而言，其所对应的上级需要分别部署有态势子系统和管控子系统才可进行管理；若没有态势子系统，则执行单元仅有规则策略执行能力；如没有管控子系统，执行单元仅执行数据采集。另外，直属上级是否部署有态势、管控子系统不直接决定执行单元的执行能力，需要根据从顶级管理平台到执行单元的直属管理平台这一连串的管理平台是否均部署或者均不部署相应子系统来决定。此外，所述态势子系统还包括：路由子系统、流量子系统和任务子系统。
51.本发明实施例所呈现的系统，能够对路由、流量分布态势予以呈现，实现了当攻击发生时，相应的规则策略可以快速执行。把实际运行网络中的路由拓扑关系、路由域的划分情况具体呈现出来，在路由拓扑态势基础上准确呈现目标的流量分布状态，发现路由、流量及其他基础协议攻击的实施，同时，便于针对攻击的规则策略的编辑和下发实施。最终，路由以拓扑图的形式呈现，图中需呈现路由域的信息；流量分布基于路由拓扑图，对各路由间的链路上流量情况进行呈现，此外，流量分布还反映了目标用户流量或者业务流量在网络范围内各链路上的情况。
52.本发明实施例提供了一种基于路由、流量的态势感知系统，该系统包括：两级或两级以上的管理平台，每级管理平台包括：管理子系统、态势子系统和管控子系统；执行单元，用于抓取协议数据包，获取数据，并且执行上级管控子系统创建并通过管理子系统下发的规则策略，所述规则策略可由顶级管理平台创建也可由中间级管理平台创建。通过所述系统，能够在通信网络中，发现路由、流量以及不同类型协议的网络攻击；实现了对网络攻击的快速阻断并且编辑规则策略予以实施，同时，提高了网络安全风险的预判能力并生成相应的风险报告。
53.注意，上述仅为本发明的较佳实施例及所运用技术原理。本领域技术人员会理解，本发明不限于这里的特定实施例，对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本发明的保护范围。因此，虽然通过以上实施例对本发明进行了较为详细的说明，但是本发明不仅仅限于以上实施例，在不脱离本发明构思的情况下，还可以包括更多其他等效实施例，而本发明的范围由所附的权利要求范围决定。