CN101286850B - 路由器安全防御装置及防御系统和方法 - Google Patents
路由器安全防御装置及防御系统和方法 Download PDFInfo
- Publication number
- CN101286850B CN101286850B CN2007100740044A CN200710074004A CN101286850B CN 101286850 B CN101286850 B CN 101286850B CN 2007100740044 A CN2007100740044 A CN 2007100740044A CN 200710074004 A CN200710074004 A CN 200710074004A CN 101286850 B CN101286850 B CN 101286850B
- Authority
- CN
- China
- Prior art keywords
- router
- module
- data
- packet
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种对路由器具有主动防御功能的防御装置及通过该防御装置、路由器和远程控制平台组成的防御系统和一种对路由器进行主动防御的方法。该防御包括系统管理模块、入侵检测模块、路由器控制模块、审计日志模块和远程控制响应模块。本发明利用Libpcap函数库采用底层抓包技术并结合入侵检测技术,通过数据流分析法解析数据包是否正常,以此对非法数据流进行监控并阻隔,并通过系统的审计日志模块向远程控制平台的管理员进行报警。本发明大大的提高了路由器的安全性能和抗攻击性能,有效的保障了整个网络的正常运行,为网络管理员提供了一个能及时发现安全隐患、及时收到隐患信息反馈并能对隐患信息进行及时处理的网络管理平台。
Description
【技术领域】
本发明属于网络信息安全领域,特别涉及一种对路由器具有主动防御功能的防御装置及通过该防御装置、路由器和远程控制平台组成的防御系统和一种进行防御的方法。
【背景技术】
随着Internet的日益普及,人们对网络的依赖越来越强,同时,对网络的稳定性也提出了更高的要求。路由器是整个网络的核心和心脏,如果路由器发生致命性的故障,将导致本地网络的瘫痪,如果是骨干路由器,影响的范围将更大。因此,对路由器进行安全防御是十分必要的。
目前,实践中有很多针对路由器进行安全防御的方法。如:定期更新路由器操作系统,以便纠正编程错误、软件瑕疵、服务漏洞和缓存溢出的问题;修改默认的口令,避免使用普通的口令,并且使用大小写字母混合的方式作为更强大的口令规则;封锁ICMP(互联网控制消息协议)ping请求,因为ping请求和其它ICMP功能对于网络管理员和黑客都是非常有用的工具,黑客能够利用路由器上启用的ICMP功能找出可用来攻击网络的信息;为了避免因为数据被窃听而造成的信息泄漏,对流经路由器的数据进行加密处理,只有与之通信的对端才能对此加密文进行解密,以此保证数据的私有性、完整性以及数据内容的真实性;及时审阅路由器记录,及时发现明显的攻击方式和安全漏洞,采取相应的补救措施;禁用来自互联网的telnet命令、禁用IP定向广播、禁用IP路由和其它不必要的服务。
然而,上述的这些方法都属于对路由器安全的被动防御,对于路由器在使用过程中的安全隐患做不到及时发现、及时反馈和及时处理。通过上述的防御方法不但降低了路由器应有的工作效率,而且对路由器的管理配置也相当复杂和繁琐,往往由于管理员在对路由器进行配置过程中的错误而导致路由器不能正常工作,甚至整个网络的瘫痪,给使用者带来很大的不便。
【发明内容】
为了解决现有技术中存在的对路由器的保护采用被动防御的问题,本发明提供了一种对路由器具有主动防御功能的防御装置。
为了配合所述具有主动防御功能的防御装置对路由器进行安全防御,本发明提供了一种对路由器进行主动安全防御的系统。
为了解决现有技术中存在的对路由器的保护采用被动防御的问题,本发明还提供了对路由器进行主动安全防御的方法。
本发明解决现有技术问题所采用的第一个技术方案是:一种路由器安全防御装置,包括:用于响应管理请求的系统管理模块、用于对流经路由器的数据信息进行检测的入侵检测模块、用于根据所述入侵检测模块的检测结果对所述数据信息进行放行或阻隔处理的路由器控制模块、用于与远程控制平台通讯的远程控制响应模块;所述系统管理模块为所述防御装置的主控单元,所述入侵检测模块、路由器控制模块和所述远程控制响应模块分别与所述系统管理模块双向连接,所述路由器控制模块为所述防御装置和所述路由器的连接提供接口服务;所述防御装置还包括:用于存储和转发日志的审计日志模块、用于用户信息管理和识别的用户管理模块;所述审计日志模块与所述系统管理模块双向连接,可以实现通过所述系统管理模块与所述远程控制响应模块的通讯,所述用户管理模块与所述系统管理模块也为双向连接;所述防御装置的系统是采用层层封装的结构;所述层层封装的结构包括:系统认证子层、系统控制子层、数据分析子层和系统扩展子层;其特征在于:所述系统认证子层主要负责用户管理、用户审核和远程控制信息管理;所述系统控制子层是系统中的核心部分,主要负责接收通过所述系统认证子层认证的要素信息后,对系统的状态进行检测,然后对整个系统进行流程控制和策略控制;所述数据分析子层主要负责处理所述系统控制子层传来的各种策略信息,并且根据规则分析流进的数据包,依照启动的策略信息对数据包进行处理,阻隔非正常的数据包,让正常的数据包通过;所述系统扩展子层属于系统的应用功能部分,主要实现了系统审计日志管理功能、信息反馈功能接口、系统用户管理功能,对整个系统进行了有效的扩展,使系统更加完善。
根据本发明的一优选实施例:所述防御装置还包括:用于存储和转发日志的审计日志模块;用于用户信息管理和识别的用户管理模块;所述审计日志模块与所述系统管理模块双向连接,可以实现通过所述系统管理模块与所述远程控制响应模块的通讯,所述用户管理模块与所述系统管理模块也为双向连接。
根据本发明的一优选实施例:所述防御装置的系统是采用层层封装的结构。
根据本发明的一优选实施例:所述封装结构包括:系统认证管理子层、系统控制子层、数据分析子层和系统扩展子层。
本发明解决现有技术问题所采用的第二个技术方案是:提供一种对路由器进行主动安全防御的系统,该系统包括用于实现数据传输的路由器,还包括:用于检测流经所述路由器的数据并根据检测结果对所述路由器进行安全防御的所述防御装置;用于与所述防御装置实现信息传递的所述远程控制平台;所述路由器与所述防御装置相连接。
根据本发明的一优选实施例:所述路由器与所述防御装置连接通过所述防御装置上的路由器控制模块提供接口。
根据本发明的一优选实施例:所述防御装置与所述远程控制平台通过所述防御装置上的远程控制响应模块相联系,并通过RSTP协议实现所述信息的传递。
本发明解决现有技术问题所采用的第三个技术方案是:.一种路由器安全防御方法,所述方法包括步骤:A1.对所述防御装置进行初始化配置;A2.所述防御装置开始工作,对路由器指定的端口进行监控,并通过远程控制响应模块实时响应来自远程控制平台发出的指令,当有数据流经过路由器指定的端口时候,所述防御装置会通过所述路由器控制模块对数据流进行检查,利用Libpcap函数库采用底层抓包技术对流经路由器的数据进行捕获,并将底层截获到的数据包发送给所述入侵检测模块,所述入侵检测模块根据规则将分析收到的数据包是否正常,如果正常,则允许该数据包返回该路由器,并通过该路由器将正常的数据发送给用户使用,否则所述入侵检测模块会将该数据包的重要信息通过远程控制响应模块向远程控制平台发送报警信息,并且自动截断并存储所有可疑的数据流的重要信息;A3.远程控制平台对报警信息中数据包的重要信息进行分析判断,从而可以发现攻击源,并且采取相应的措施;其特征在于:利用所述Libpcap函数库进行数据捕获处理的步骤包括:第一步:查找可以捕获数据包的路由器端口;第二步:创建捕获句柄,准备进行捕获;第三步:如果用户设置了过滤条件,则编译和安装过滤代码;第四步:进入循环,反复捕获数据包,对捕获的数据进行类型转换,转化成以太数据包类型;对以太头部进行分析,判断所包含的数据包类型,做进一步的处理;第五步:关闭捕获句柄;在数据链路层、网络层、传输层这三层中利用特定的自定义函数对数据包进行解析,从而判断截获的数据包所属的类型,针对不同类型的数据包,则定义了不同的规则来进行匹配,从而来判断数据包的合法性,所述规则分为处理行为、协议、源信息、目的信息和规则主体部分,经过处理行为、协议、源信息、目的信息和规则主体部分判断所包含的数据包类型,进行解析处理。
根据本发明的一优选实施例:上述第一步中的所述初始化配置包括路由器地址配置、入侵检测规则配置、审计日志远程接收平台配置、路由器转发和控制策略配置和管理员身份安全认证配置。
相较于现有技术,本发明的有益效果在于:通过分析流经路由器的数据,对路由器的安全情况实时进行监控,变传统的“被动防伪”为现在的“主动防御”从而大大的提高了路由器的安全性能和抗攻击性能,有效的保障了整个网络的正常运行,而且大大提高了网络管理员的工作效率,为网络管理员提供了一个能及时发现安全隐患、及时收到隐患信息反馈并能对隐患信息进行及时处理的网络管理平台。
【附图说明】
图1.为本发明路由器安全防御装置及防御系统和方法中防御装置模块连接结构示意图。
图2.为本发明中防御装置封装结构示意图。
图3.为本发明中防御系统结构示意图。
图4.为本发明中防御方法流程示意图。
图5.为Libpcap应用程序框图。
图6.为判定数据包合法性的流程图。
图7.为图6中匹配规则结构示意图。
图8.为RSTP协议的握手及交换信息规程流程图。
【具体实施方式】
以下结合附图和具体实施方式,对本发明作进一步说明。
请参阅图1本发明路由器安全防御装置及防御系统和方法中防御装置模块连接结构示意图。如图1所示,本发明路由器防御装置302包括六大模块,分别是路由器控制模块101、审计日志模块102、用户管理模块103、入侵检测模块104、系统管理模块105、和远程控制响应模块106。其中,路由器控制模块101,是所述防御装置302和路由器301的接口服务部分,接收防御装置302中系统管理模块105发送来的经过入侵检测模块104解析后的策略信息,根据该策略信息阻隔有害的数据包返回路由器,并将正常的数据包发回给路由器301,供给用户使用。审计日志模块102负责日志的存储和转发。用户管理模块103负责用户信息管理和识别。入侵检测模块104的功能在于处理路由器控制模块101发来的数据包,根据入侵检测模块104内设定的规则解析数据包是否正常,并对检测到的非正常信息进行入侵报警,该报警日志可以存放到本地,也可以通过审计日志模块102发送到远程控制平台303。系统管理模块105是整个防御装置的核心部分,协调防御装置302内其它功能模块的工作,同时系统管理模块105又是远程控制平台303的后台服务器,响应来自远程控制平台303的管理请求。远程控制响应模块106是本防御装置302与远程控制平台303信息传输的接口,负责与远程控制平台303进行信息传递,接收来自远程控制平台303发送的有关网络管理员配置、路由器地址配置、入侵检测配置、审计日志配置和转发策略配置等信息。
本发明防御装置302是采用层层封装的结构进行设计的,该结构可以参阅图2,防御装置封装结构示意图。各层之间的功能为:系统认证子层240主要负责用户管理241、用户审核242和远程控制信息管理243。系统控制子层230是系统中的核心部分,主要负责接收通过系统认证子层240认证的要素信息后,对系统的状态进行检测232,然后对整个系统进行流程控制231和策略控制233。数据分析子层220主要负责处理系统控制子层230传来的各种策略信息,并且根据规则分析流进的数据包221,依照启动的策略信息对数据包进行处理,阻隔非正常的数据包,让正常的数据包通过。系统扩展子层210属于系统的应用功能部分,主要实现了系统审计日志管理212功能,信息反馈213功能接口,系统用户管理211功能,对整个系统进行了有效的扩展,使系统更加完善。对应于不同的层,可以根据不同的情况独立的进行开发对应的模块,这种类似OSI层网络结构的设计方式,使防御装置的开发更加灵活,多样,甚至可以开发出针对特定用户,特定功能的多功能防御装置。
图3.为本发明中防御系统结构示意图。请参阅图3并结合图1,如图3所示,一种路由器安全防御系统,包括用于实现数据传输的路由器301,还包括用于检测流经所述路由器301的数据并根据检测结果对所述路由器301进行安全防御的所述防御装置302;用于与所述防御装置302进行信息传递的所述远程控制平台303;所述路由器301与所述防御装置302的连接是通过所述防御装置302上的路由器控制模块101提供接口服务的,所述防御装置302与所述远程控制平台303通过所述防御装置302上的远程控制响应模块106相联系,并通过RSTP协议实现所述信息的传递。本防御系统在工作中,会有大量网络数据流经过路由器301,所有这些数据流会通过防御装置302上的路由器控制模块101进入防御装置302,此时该防御装置302上的入侵检测模块104会对这些数据流进行检测,并将这些数据分为正常数据和非正常数据,将正常数据返回给路由器201供用户使用,将非正常数据的重要信息发给审计日志模块102进行存储,并同时通过远程控制模块106将上述的这些非正常数据的重要信息通过RSTP协议发送给远程控制平台303进行报警。
RSTP(Remote Service Transmission Protocol)远程服务传输协议。该RSTP协议的握手及交换信息规程流程图可以参阅图8。内部协议规定了一系列具有特定含义的关键字来表示不同的操作意图,例如LOGON表示登录请求,CTIS表示启动入侵检测请求等。远程控制平台303的后台系统启动后,远程控制平台303开始工作,通过RSTP协议,经过远程控制响应模块106向防御装置系统管理模块105发送以LOGON为协议关键字的网络登录指令包;防御装置系统管理模块105负责捕捉网络信息包,它收到LOGON后进行登录信息校验,校验成功后向远程控制平台303返回含有LOGON OK关键字的校验成功信息;远程控制平台303收到后接着发送以RCOF为关键字的指令要求防御装置系统管理模块105初始化所有防御装置302的地址信息,路由器地址信息,审计地址信息和系统状态;然后以含有CTIS关键字的协议指令命令防御装置系统管理模块105启动IDS,开始检测;启动成功后防御装置系统管理模块105向远程控制平台303返回启动成功信息CTIS OK。如果没有入侵消息,系统正常运行下去。当出现入侵时,防御装置系统管理模块105以STAT指令通知远程控制平台303,远程控制平台303收到后将信息告警,通知管理员查看。同时防御装置系统管理模块105将启动响应措施做出反应。当系统管理员根据情况配置入侵规则时,远程控制平台303以含有CFIS关键字的协议指令命令防御装置系统管理模块105配置IDS规则,然后重新开始检测,流程如上。当准备停止系统时,远程控制平台303以STIS指令通知协处理器管理模块停止检测;停止成功后防御装置系统管理模块105向远程控制平台303返回启动成功信息STIS OK。
图4.为本发明中防御方法流程示意图。在该防御方法中,首先、网络管理员可以通过远程控制平台303对防御装置302进行初始化配置,该配置包括路由器地址配置、入侵检测规则配置、审计日志远程接收平台配置、路由器转发和控制策略配置和管理员身份安全认证配置;其次、在配置生效后,防御装置302开始工作,对路由器301指定的端口进行监控,并通过远程控制响应模块106实时响应来自远程控制平台303发出的指令,当有数据流经过路由器301指定的端口时候,防御装置302会通过路由器控制模块101对数据流进行检查,利用Libpcap函数库采用底层抓包技术,将底层截获到的数据包发送给入侵检测模块104,入侵检测模块104根据规则将分析收到的数据包是否正常,如果正常,则允许该数据包返回该路由器301,并通过该路由器301将正常的数据发送给用户使用,否则入侵检测模块104会将该数据包的重要信息,如:源IP地址、端口信息和攻击方式等提交给审记日志模块102,审记日志模块102则根据设置,通过远程控制响应模块106向远程的控制平台303发送报警信息,并且自动截断并存储所有可疑的数据流的重要信息。最后、远程的管理员会对报警信息中数据包的重要信息进行分析判断,从而可以发现攻击源,并且采取相应的措施。
在本发明中防御装置在对数据流进行检查的过程中,利用了Libpcap函数库采用了底层抓包技术,Libpcap函数应用程序框图可以参阅图5。Libpcap是unix/linux平台下的网络数据包捕获函数包,Libpcap提供了系统独立的用户级别网络数据包捕获接口,并充分考虑到应用程序的可移植性。Libpcap重点使用BPF(BSD Packet Filter)包过滤机制。数据包常规的传输路径依次为:网卡=>设备驱动层=>数据链路层=>IP层=>传输层=>最后到达应用程式,本发明中包捕获机制是在数据链路层增加一个旁路处理,对发送和接收到的数据包做过滤/缓冲等相关处理,最后直接传递到应用程式.包捕获机制并不影响操作系统对数据包的网络栈处理。对用户而言,包捕获机制提供了一个统一的接口,使用户程式只需要简单的调用若干函数就能获得所期望的数据包.这样一来,针对特定操作系统的捕获机制对用户透明,使用户程式有比较好的可移植性.包过滤机制是对所捕获到的数据包根据用户的要求进行筛选,最终只把满足过滤条件的数据包传递给用户程式。本发明在利用Libpcap函数库进行数据捕获处理的步骤包括:第一步:查找可以捕获数据包的路由器端口、第二步:创建捕获句柄,准备进行捕获、第三步:如果用户设置了过滤条件,则编译和安装过滤代码、第四步:进入(死)循环,反复捕获数据包,对捕获的数据进行类型转换,转化成以太数据包类型。对以太头部进行分析,判断所包含的数据包类型,做进一步的处理、第五步:关闭捕获句柄。在上面的第四步中,对捕获的数据进行类型转换,转化成以太数据包类型。由于网络中传输的数据包种类繁多,所以在数据链路层,网络层,传输层,这三层中利用特定的自定义函数对数据包进行解析。从而判断截获的数据包所属的类型,针对不同类型的数据包,则定义了不同的规则来进行匹配,从而来判断数据包的合法性。在数据链路层,网络层,传输层,这三层中利用特定的自定义函数对数据包进行解析并判定数据包的合法性的过程可以参阅图6,判定数据包合法性的流程图并同时参阅图7,匹配规则结构示意图,在图6中提到了匹配的规则,该规则分为处理行为701、协议702、源信息703、目的信息704和规则主体部分705。其中在处理行为701中当数据包匹配到某条规则的时候,将进行相应的处理。如Pass动作忽略当前的包,继续捕获后续包进行分析、SysLog动作将记录当前的包、Alert动作将先记录该包,然后进行报警。协议702的功能在于可以针对不同的协议,如IP,TCP,ARP等,对数据包进行分类匹配。源信息703、目的信息704是用于指定在该规则中的源地址和目的IP地址,在规则中可以指定两种类型的地址。分别是单一的IP地址和无类别域间路由地址(CIDR)。并且还可以使用any通配符来声明源地址和目的地址。规则主体部分705的作用是在规则头信息——处理行为701、协议702、源信息703和目的信息704的基础上作进一步的分析,通过规则可以确认更为复杂的攻击。根据上面的描述,下面提供一个实施例来说明规则的定义模式:例如:服务类型(TOS)选项的加入最初只是为了完善IP规则的描述能力,预备将来的需要,而现今出现的IP服务类型滥用的攻击,却给路由器等网络设备带来了极大的安全隐患。一些老式的Cisco设备甚至要求进入包的TOS必须为0。下面的规则可以对从外部发往Cisco设备的TOS域不为0的包报警,解析规则为:
基于数据流的分析方法可以加强处理TCP会话,提高对使用分片来逃避规则匹配的检测效率。通过在内存中对TCP连接进行包缓存,可以高效地检测跨越多个包的攻击。UDP的所有信息数据包含在单一包中,TCP协议则没有这个限制,基于TCP的高层应用程序,比如TELNET,SSH,可以实现用户和远程系统的交互,用户的输入可以被轻易的分割到多个包中,因此攻击代码会分割到不同的包中,通过使用IDS预处理模块可以将所有的数据合并到一个包中,这样就避免了跨越多个包的攻击。
通过上面就本发明中相关技术的描述可以看出本发明相较于现有技术的有益效果在于:通过分析流经路由器的数据,对路由器的安全情况实时进行监控,变传统的“被动防伪”为现在的“主动防御”从而大大的提高了路由器的安全性能和抗攻击性能,有效的保障了整个网络的正常运行,而且大大提高了网络管理员的工作效率,为网络管理员提供了一个能及时发现安全隐患、及时收到隐患信息反馈并能对隐患信息进行及时处理的网络管理平台。
以上对本发明路由器安全防御装置及防御系统和方法进行了详细介绍,本说明书中应用了具体实施例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施例及应用范围上均会有改变之处,例如本发明中的防御装置可以和路由器设计成一整体,也可以将该防御装置通过接口与路由器外置连接、本发明中的防御装置可以对指定的一台路由器进行主动安全防御,也可以经过设置对多台路由器进行主动安全防御。综上所述,本说明书内容不应理解为对本发明的限制。
Claims (6)
1.一种路由器安全防御装置,包括:
用于响应管理请求的系统管理模块(105)、用于对流经路由器的数据信息进行检测的入侵检测模块(104)、用于根据所述入侵检测模块(104)的检测结果对所述数据信息进行放行或阻隔处理的路由器控制模块(101)、用于与远程控制平台(303)通讯的远程控制响应模块(106);
所述系统管理模块(105)为所述防御装置(302)的主控单元,所述入侵检测模块(104)、路由器控制模块(101)和所述远程控制响应模块(106)分别与所述系统管理模块(105)双向连接,所述路由器控制模块(101)为所述防御装置(302)和所述路由器(301)的连接提供接口服务;
所述防御装置还包括:用于存储和转发日志的审计日志模块、用于用户信息管理和识别的用户管理模块;所述审计日志模块与所述系统管理模块双向连接,可以实现通过所述系统管理模块与所述远程控制响应模块的通讯,所述用户管理模块与所述系统管理模块也为双向连接;
所述防御装置的系统是采用层层封装的结构;所述层层封装的结构包括:系统认证子层、系统控制子层、数据分析子层和系统扩展子层;
其特征在于:
所述系统认证子层主要负责用户管理、用户审核和远程控制信息管理;
所述系统控制子层是系统中的核心部分,主要负责接收通过所述系统认证子层认证的要素信息后,对系统的状态进行检测,然后对整个系统进行流程控制和策略控制;
所述数据分析子层主要负责处理所述系统控制子层传来的各种策略信息,并且根据规则分析流进的数据包,依照启动的策略信息对数据包进行处理,阻隔非正常的数据包,让正常的数据包通过;
所述系统扩展子层属于系统的应用功能部分,主要实现了系统审计日志管理功能、信息反馈功能接口、系统用户管理功能,对整个系统进行了有效的扩展,使系统更加完善。
2.一种路由器安全防御系统,包括用于实现数据传输的路由器(301),其特征在于:所述防御系统还包括:
用于检测流经所述路由器(301)的数据并根据检测结果对所述路由器(301)进行安全防御的、如权利要求1所述的路由器安全防御装置(302);
用于与所述防御装置(302)实现信息传递的所述远程控制平台(303);
所述路由器(301)与所述防御装置(302)相连接。
3.根据权利要求2所述的防御系统,其特征在于:所述路由器(301)与所述防御装置(302)的连接通过所述防御装置(302)上的路由器控制模块(101)提供接口。
4.根据权利要求2所述的防御系统,其特征在于:所述防御装置(302)与所述远程控制平台(303)通过所述防御装置(302)上的远程控制响应模块(106)相联系,并通过RSTP协议实现所述信息的传递。
5.一种如权利要求2所述的路由器安全防御系统的路由器安全防御方法,所述方法包括步骤:
A1.对所述防御装置(302)进行初始化配置;
A2.所述防御装置(302)开始工作,对路由器指定的端口进行监控,并通过远程控制响应模块实时响应来自远程控制平台发出的指令,当有数据流经过路由器指定的端口时候,所述防御装置会通过所述路由器控制模块对数据流进行检查,利用Libpcap函数库采用底层抓包技术对流经路由器(301)的数据进行捕获,并将底层截获到的数据包发送给所述入侵检测模块,所述入侵检测模块根据规则将分析收到的数据包是否正常,如果正常,则允许该数据包返回该路由器,并通过该路由器将正常的数据发送给用户使用,否则所述入侵检测模块会将该数据包的重要信息通过远程控制响应模块向远程控制平台发送报警信息,并且自动截断并存储所有可疑的数据流的重要信息;
A3.远程控制平台对报警信息中数据包的重要信息进行分析判断,从而可以发现攻击源,并且采取相应的措施;
其特征在于:
利用所述Libpcap函数库进行数据捕获处理的步骤包括:
第一步:查找可以捕获数据包的路由器端口;
第二步:创建捕获句柄,准备进行捕获;
第三步:如果用户设置了过滤条件,则编译和安装过滤代码;
第四步:进入循环,反复捕获数据包,对捕获的数据进行类型转换,转化成以太数据包类型;对以太头部进行分析,判断所包含的数据包类型,做进一步的处理;
第五步:关闭捕获句柄;
在数据链路层、网络层、传输层这三层中利用特定的自定义函数对数据包进行解析,从而判断截获的数据包所属的类型,针对不同类型的数据包,则定义了不同的规则来进行匹配,从而来判断数据包的合法性,所述规则分为处理行为、协议、源信息、目的信息和规则主体部分,经过处理行为(701)、协议(702)、源信息(703)、目的信息(704)和规则主体部分(705)判断所包含的数据包类型,进行解析处理。
6.根据权利要求5所述的防御方法,其特征在于:所述A1步中的所述初始化配置包括路由器地址配置、入侵检测规则配置、审计日志远程接收平台配置、路由器转发和控制策略配置和管理员身份安全认证配置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007100740044A CN101286850B (zh) | 2007-04-10 | 2007-04-10 | 路由器安全防御装置及防御系统和方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007100740044A CN101286850B (zh) | 2007-04-10 | 2007-04-10 | 路由器安全防御装置及防御系统和方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101286850A CN101286850A (zh) | 2008-10-15 |
| CN101286850B true CN101286850B (zh) | 2010-12-15 |
Family
ID=40058833
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2007100740044A Expired - Fee Related CN101286850B (zh) | 2007-04-10 | 2007-04-10 | 路由器安全防御装置及防御系统和方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101286850B (zh) |
Families Citing this family (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101714931B (zh) * | 2009-11-26 | 2012-09-19 | 成都市华为赛门铁克科技有限公司 | 一种未知恶意代码的预警方法、设备和系统 |
| US10027693B2 (en) | 2009-11-26 | 2018-07-17 | Huawei Digital Technologies (Cheng Du) Co., Limited | Method, device and system for alerting against unknown malicious codes within a network environment |
| CN102404157A (zh) * | 2011-12-26 | 2012-04-04 | 苏州风采信息技术有限公司 | 系统管理员功能的实现方法 |
| CN102523123A (zh) * | 2011-12-26 | 2012-06-27 | 苏州风采信息技术有限公司 | 用户操作的安全管理方法 |
| CN102546239A (zh) * | 2011-12-26 | 2012-07-04 | 苏州风采信息技术有限公司 | 服务端配置的操作方法 |
| CN102497271A (zh) * | 2011-12-26 | 2012-06-13 | 苏州风采信息技术有限公司 | 身份认证的安全管理方法 |
| CN105099991B (zh) * | 2014-04-28 | 2019-05-31 | 北京奇虎科技有限公司 | 在移动终端中抓取网络数据包的方法及装置 |
| CN105704091B (zh) * | 2014-11-25 | 2018-12-04 | 中国科学院声学研究所 | 一种基于ssh协议的会话解析方法及系统 |
| CN104734977B (zh) * | 2015-03-10 | 2018-03-02 | 中国人民解放军信息工程大学 | 影子路由器 |
| CN106612260A (zh) * | 2015-10-26 | 2017-05-03 | 任子行网络技术股份有限公司 | 一种基于云技术的公共场所wlan安全审计方法及系统 |
| CN105429804B (zh) * | 2015-12-17 | 2016-12-28 | 福建六壬网安股份有限公司 | 基于nginx的旁路WEB应用预警方法 |
| CN105871658B (zh) * | 2016-05-26 | 2019-05-07 | 广州纳斯威尔信息技术有限公司 | 一种基于OpenWRT系统的网络嗅探方法 |
| CN107864153A (zh) * | 2017-12-11 | 2018-03-30 | 江苏恒信和安电子科技有限公司 | 一种基于网络安全传感器的网络病毒预警方法 |
| CN108347388A (zh) * | 2018-05-07 | 2018-07-31 | 苏州明上系统科技有限公司 | 一种具有防御装置的高安全性能路由器 |
| CN109413114B (zh) * | 2018-12-28 | 2021-08-10 | 安徽长泰信息安全服务有限公司 | 一种网络入侵防御系统 |
| CN109861875A (zh) * | 2018-12-29 | 2019-06-07 | 顺丰科技有限公司 | 应用程序的测试方法及装置 |
| CN109934010A (zh) * | 2019-03-15 | 2019-06-25 | 温州职业技术学院 | 一种计算机信息安全储存系统 |
| CN113794074A (zh) * | 2021-09-16 | 2021-12-14 | 湖北珞格科技发展有限公司 | 一种计算机网络安全检测设备及检测方法 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1695365A (zh) * | 2002-12-05 | 2005-11-09 | 国际商业机器公司 | 应对计算机入侵的方法及系统 |
-
2007
- 2007-04-10 CN CN2007100740044A patent/CN101286850B/zh not_active Expired - Fee Related
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1695365A (zh) * | 2002-12-05 | 2005-11-09 | 国际商业机器公司 | 应对计算机入侵的方法及系统 |
Non-Patent Citations (1)
| Title |
|---|
| 文光斌,温晓军.主动防御型Intranet网络安全研究.微计算机应用.2007,(03),1.2节-2.2节、附图1-3. * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101286850A (zh) | 2008-10-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101286850B (zh) | 路由器安全防御装置及防御系统和方法 | |
| Yan et al. | Software-defined networking (SDN) and distributed denial of service (DDoS) attacks in cloud computing environments: A survey, some research issues, and challenges | |
| Dayal et al. | Research trends in security and DDoS in SDN | |
| US7370354B2 (en) | Method of remotely managing a firewall | |
| US9094372B2 (en) | Multi-method gateway-based network security systems and methods | |
| US20080295173A1 (en) | Pattern-based network defense mechanism | |
| Gao et al. | Analysis of security threats and vulnerability for cyber-physical systems | |
| Cuppens et al. | Handling stateful firewall anomalies | |
| CN104660572A (zh) | 新型接入网络中拒绝服务攻击的模式数据的控制方法及装置 | |
| Rashid et al. | Trust system architecture for securing GOOSE communication in IEC 61850 substation network | |
| Chen et al. | Effective allied network security system based on designed scheme with conditional legitimate probability against distributed network attacks and intrusions | |
| Satapathy et al. | A comprehensive survey of security issues and defense framework for VoIP Cloud | |
| JP2006099590A (ja) | アクセス制御装置、アクセス制御方法およびアクセス制御プログラム | |
| Chen et al. | Neuronet: An adaptive infrastructure for network security | |
| Yuhong et al. | Industrial internet security protection based on an industrial firewall | |
| US20060225141A1 (en) | Unauthorized access searching method and device | |
| JP2003264595A (ja) | パケット中継装置、パケット中継システムおよびオトリ誘導システム | |
| Jadhav et al. | Detection and mitigation of ARP spoofing attack | |
| Chan et al. | Intrusion detection routers: design, implementation and evaluation using an experimental testbed | |
| Kotenko et al. | The software environment for multi-agent simulation of defense mechanisms against ddos attacks | |
| Ghosh et al. | Analysis of network security issues and threats analysis on 5G wireless networks | |
| Foote et al. | Low Cost ICS Network Scanning for Vulnerability Prevention | |
| Selvaraj et al. | Enhancing intrusion detection system performance using firecol protection services based honeypot system | |
| Chandradeep | A Scheme for the Design and Implementation of a Distributed IDS | |
| Ahmed et al. | Link analysis approach to improve detection of fragmentation attacks in Misuse IDS |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C17 | Cessation of patent right | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20101215 Termination date: 20110410 |