ASN防攻击安全联动系统及其实现方法
技术领域
本发明涉及网络通信中的防攻击安全系统,具体地说,是涉及一种ASN防攻击安全联动系统及其实现方法。
背景技术
在目前的通信网络架构中,路由器一般是工作于ISO/RM的第三层,即网络层,而交换机则工作于第二层,即数据链路层,处于第三层的路由器无法对处于第二层的交换机,下达指令、进行控制或管理,这种情况下,路由器的自我保护功能极为有限。
如果想要对大量的交换机进行统一管理,则需要借助SNMP或TR069等网络管理技术,使用独立的控制软件或服务端,而且还需要所有的设备均支持上述协议,事先还需要为所有的设备配置IP、端口等信息,十分繁琐,组建及维护成本都很高;更重要的是,所有的配置IP、端口等操作均由人工完成,如果信息配置出错,将造成管理混乱,无法实现预定的统一管理的目的。
另外,目前的网络攻击大部分来自于内网,而现有的客户端仅有少部分具有一定的安全功能,仅仅能对内网的部分攻击数据进行拦截,或者对流量进行限制。如果网络中出现攻击源对服务端,服务端将只能被动防御,不能进行主动攻击,或者对攻击源进行隔离,或者采取其他处理方式,这将给网络通信带来极大的安全隐患。
发明内容
本发明的目的在于提供一种ASN防攻击安全联动系统,克服现有技术中服务端对网络的控制能力差,防御攻击的能力弱等问题,实现对客户端统一管理,并在不影响服务端自身工作的情况下,提高其对网络的控制能力,与自我保护能力。
为了实现上述目的,本发明采用的技术方案如下:
ASN防攻击安全联动系统,包括服务端,与服务端成映射关系的客户端,以及与客户端成映射关系的用户主机,所述服务端内嵌有系统管理模块、异常处理模块、协议处理模块和数据存储器,客户端则内嵌有指令执行模块;所述的数据存储器、异常处理模块和指令执行模块均直接与该系统管理模块相连接并接受其控制,而协议处理模块则分别与异常处理模块和指令执行模块相连接。
具体地说,所述协议处理模块内嵌二层网络协议,服务端为路由器,客户端为交换机。
在上述ASN防攻击安全联动系统的基础上,本发明还提供了其实现方法,其步骤如下:
(1)服务端自动发现并由数据存储器记录其下层网络的所有客户端信息与用户主机的MAC地址,由系统管理模块通过协议处理模块对所有客户端发出配置信息和安全策略;
(2)服务端实时监控其下层网络的数据传输,发现具有攻击性的异常数据后,通过异常处理模块来确定该异常数据的来源;
(3)服务端通过协议处理模块向客户端发出限制指令,客户端的指令执行模块接收到限制指令后,对发出攻击数据的用户主机进行相应的限制;
(4)指令执行模块调用服务端下发的当前安全策略,对该异常数据来源的用户主机的网络进行调控,并将调控结果即时传回服务端,作为制定最新安全策略的依据。
进一步地,所述步骤(1)具体包括:
服务端内嵌的系统管理模块定期发出扫描指令,扫描该服务端下层网络中的客户端信息;
未注册的客户端通过指令执行模块接收扫描指令,并向系统管理模块登记注册;
注册后的客户端通过协议处理模块将其下层网络中的用户主机MAC地址发送至系统管理模块,并保存至数据存储器;
系统管理模块在确认所有客户端已经注册,以及其下层网络中用户主机的连接状态后,更新配置信息和安全策略,并发送至所有客户端。
更进一步地,所述步骤(3)的具体包括:
系统管理模块预先设定网络中正常数据的标准,该标准包括用户主机设定的标准和系统管理模块内置的攻击特征库;
异常处理模块将接收到的实际数据与用户主机设定的标准和系统管理模块内置的攻击特征库进行对比,确定实际数据是否异常;
追查异常数据的传输链路,并与数据存储器中记录的用户主机的MAC地址对比,从而确定该异常数据的来源。
在上述步骤中,限制指令至少包括过滤指令和阻断指令,其中:系统管理模块首次发现用户主机传输带攻击性数据时,由异常处理模块向该用户主机的上层客户端发出过滤指令;而该客户端的指令执行模块按照过滤指令对该用户主机传输的数据进行过滤,直到符合该客户端的当前安全策略后,客户端再将过滤后的数据传回异常处理模块;异常处理模块收到数据后,再次对过滤后的数据进行分析,如果仍具有攻击性,则向该客户端的指令执行模块发出阻断指令,该指令执行模块断开该用户主机的网络连接。
本发明的设计原理:针对现有技术中服务端自我保护能力差、对其底层用户主机控制能力弱的问题,本发明采用二层网络协议实现服务端对下层客户端的直接管理,并利用客户端对底层用户主机执行限制操作,在不影响服务端正常工作的情况下提高其自我防御能力,甚至实现服务端对用户主机的主动攻击。
与现有技术相比,本发明具有以下有益效果:
一.本发明利用二层网络协议实现服务端与客户端的会话,利用系统管理模块实现了对客户端的直接统一管理,为服务端在不影响自身工作的情况下进行主动防御与攻击打下了实现基础。
二.服务端对客户端的统一管理,无须借助其他网络管理协议,无须配置复杂的IP地址、端口及TCP/IP协议地址等信息,仅仅根据网络协议即可实现,大大简化了管理程序,避免了因配置信息过于繁杂造成管理混乱的问题。
三.网络结构配置简单,操作方便,大大降低了系统的组建成本和维护成本。
四.服务端通过客户端来执行对用户主机的限制操作,在不影响自身工作的情况下实现了对用户主机的控制与管理,使服务端的主动操作性大大提高,进行提高了服务端的主动防御能力与攻击能力。
五.本发明实现了服务端与客户端的联动防御与攻击,大大提高了整个网络的安全可靠性。
本发明主要应用于计算机网络通信中,具有很高的实用价值和推广价值。
附图说明
图1为本发明中服务端与客户端中内嵌的模块连接示意图。
图2为本发明一实施例一的ASN防攻击安全联动系统的系统框图。
图3为本发明中ASN防攻击安全联动系统的实现方法的系统流程图。
图4为本发明-实施例二的ASN防攻击安全联动系统的系统框图。
具体实施方式
下面结合附图和实施例对本发明作进一步说明。
实施例一
本实施例以服务端包括梯次连接的两级客户端为例对本发明进行说明。
如图1~图3所示,ASN防攻击安全联动系统主要包括一个服务端,以及与该服务端相连接的一个一级客户端,该一级客户端下设三个二级客户端,每个二级客户端下设两个用户主机。其中,所述服务端内嵌有系统管理模块、异常处理模块、协议处理模块和数据存储器,一级客户端和二级客户端分别内嵌有指令执行模块。该系统的实现方法如下:
一.服务端实现对所有客户端的限制
1.客户端注册登记:服务端由系统管理模块定期发出扫描指令,并根据协议处理模块中的二层网络协议传输至各级客户端,对其下层网络中的所有客户端进行扫描,更新客户端信息,如更新与服务端连接的客户端数量;一级客户端的指令执行模块接收到扫描指令后,在对自己进行扫描操作的同时,向所有二级客户端发送该扫描指令。所有客户端在接收到扫描指令后,检测自身是否已在服务端的系统管理模块中登记注册,如果已经注册,则扫描指令结束,反之,则向系统管理模块发送注册请求,并传送随机会话密匙;系统管理模块接收到注册请求后,对客户端进行登记注册,并给客户端发回登记注册的确认信息。
2.用户主机登记:由客户端的指令执行模块将其下层所有用户主机的MAC地址通过协议处理模块传回服务端,并存储于数据存储器中。
3.确认网络中所有用户主机是否在线:用户主机定期向服务端的系统管理模块发送心跳包,与之对应地,系统管理模块定期检查是否收到心跳包;如果收到,则更新与该心跳包对应的用户主机的计数器值为预先设定的最大值,反之,与该心跳包对应的用户主机的计数器值减1;如果用户主机的计数器值为0,则服务端记录该用户主机的状态为离线。用户主机的计数器值与其MAC地址直接关联,并存储于数据存储器中。
本实施例中,预先设定的用户主机的计数器最大值为3,即如果连续三次服务端均没有收到来自某用户主机的心跳包,那么服务端认为该用户主机已经离线,服务端对该用户主机的状态进行记录。
4.客户端信息配置与安全策略制定:服务端的系统管理模块根据客户端和用户主机的最新状态制定配置信息和安全策略,并通过协议处理模块将之发送给所有客户端,完成客户端信息的自动配置。另外,本发明中客户端的信息配置工作也可以由人工手动配置。
至此,服务端通过协议处理模块完成对所有客户端的统一管理,为服务端主动防御与攻击打下了可实现的基础。
二.服务端对用户主机的主动防御与攻击
服务端通过异常处理模块分析并确定攻击数据的来源,并向客户端发送操作指令,由客户端的指令执行模块执行对用户主机的主动防御与攻击。
1.确定攻击源
系统管理模块预先设定网络中正常数据的标准,该标准包括用户主机设定的标准和系统管理模块内置的攻击特征库;客户端将接收的实际数据通过协议处理模块回传至异常处理模块,由异常处理模块将之与预先设定的标准进行对比,判断其是否异常;如果确定该数据异常,系统管理模块立刻追查该异常数据的传输链路,并将之与数据存储器中记录的用户主机的MAC地址进行对比,从而确定该异常数据的来源。
如图2中所示,本实施例中确定攻击源来自一个二级客户端的下级网络中的一个用户主机。
2.服务端对攻击源进行主动防御和攻击
系统管理模块确定攻击源后,由异常处理模块发出限制指令,并经过一级客户端后传输至与该攻击源直接连接的二级客户端,该限制指令指包含有过滤对象的过滤指令;该二级客户端的指令执行模块根据接收到的过滤指令对该攻击源发出的数据进行过滤,直到符合该二级客户端当前的安全策略;过滤数据达标后,该指令执行模块将过滤后的数据通过一级客户端回传至异常处理模块,异常处理模块对该数据再次进行分析,如果该数据属于正常数据,则保证该数据的正常传输,反之,则通过一级客户端向该二级客户端发送阻断指令,由其指令执行模块根据阻断指令断开该攻击源的网络连接,从而切断其传输路径,以防止其传输攻击数据对服务端进行攻击,实现服务端主动防御能力的目的。另一方面,服务端通过向二级客户端下发指令,实现对攻击源的数据过滤、断开网络连接操作,即是对该攻击源的主动攻击方式之一,在一定程度上提高了服务端主动攻击的能力。
实施例二
如图1、图4所示,ASN防攻击安全联动系统主要包括一个服务端,以及与该服务端相连接的三个一级客户端,每个一级客户端下设两个用户主机。其中,所述服务端内嵌有系统管理模块、异常处理模块、协议处理模块和数据存储器,所有一级客户端内嵌有指令执行模块。
对于实现方法,两个实施例的主要区别在于,本实施例中,服务端对攻击源进行主动防御与攻击时,异常处理模块将操作指令直接发给与攻击源直接连接的一级客户端,中间不再经过其他客户端传输数据,而该一级客户端在对攻击源传输的数据进行过滤后,向服务端回传数据时也直接回传,不再经过其他客户端。其他实现过程均相同,在此不再赘述。
按照上述实施例,便可很好地实现本发明。上述实施例仅为本发明的两种情况,并非全部情况,本发明的保护范围包括但不限于上述实施例。