CN108809950B - 一种基于云端影子系统的无线路由器保护方法和系统 - Google Patents

Abstract

本发明涉及一种基于云端影子系统的无线路由器保护方法和系统。该方法包括：1)对经过无线路由器的网络流量数据包进行检测，判断其是否为恶意流量数据包；2)将检测到的恶意流量数据包转发到云端影子系统，从而实现对无线路由器的防护。该系统包括无线路由器和云服务器，其中无线路由器包括流量获取模块、流量检测模块和流量牵引模块，云服务器包括云端影子系统。本发明将攻击者引入一个与用户无线路由器系统完全相同的云端影子系统中，是基于云端影子系统的无线路由器轻量级防护方案，能够方便安全工作人员更加深入地了解攻击者的攻击手段，并根据攻击者的攻击手段做出更加有效的响应。

Description

一种基于云端影子系统的无线路由器保护方法和系统

技术领域

本发明属于计算机网络安全领域，总体来说使用了网络流量识别和影子系统技术，提出了对无线路由器的一种保护方案，具体涉及一种基于云端影子服务的无线路由器保护方法和系统。

背景技术

随着智能手机和众多智能设备的普及，以及互联网和物联网技术的高速发展，无线路由器已经成为了一个家庭中不可或缺的一部分。随着无线路由器在生活中扮演着越来越重要的角色，这类技术和设备引入也带来了新的安全和隐私风险。当然，路由器设备不仅仅在家庭生活中扮演着重要的角色，在公司、商场、酒店等公共场合同样有着不可或缺的地位。就目前来看，无线路由器市场中，竞争异常激烈，各个厂商为了不在快速且激烈的市场竞争中败下阵来，往往热衷于在新发布的路由器产品中使用新的技术，而这些技术可能存在不同程度的安全隐患。与此同时，用户往往只是使用路由器的无线路由功能，在使用路由器的时候仅仅设置完路由器账户密码后就将路由器置于一旁，并不关心路由器的运行情况。因此，即使无线路由器被入侵或者安全厂商公布了一系列漏洞补丁，用户也会全然不知且不会采取任何安全措施。正是用户安全意识的缺失和厂商的逐利思想对无线路由器的安全造成了极大的挑战。

无线路由器存在的众多安全问题，使得无线路由器自身和接入无线路由器的设备面临极大的安全风险。然而，针对无线路由器的防护手段却极其有限。对于相当多的传统无线路由器来说，其系统的升级防护要经历以下过程，厂商发现安全问题、安全人员对于安全问题进行分析、厂商开发出相应的安全升级固件以及通过互联网提供给用户去下载，而这中间往往需要几个月的时间。并且由于传统无线路由器的设计往往导致不同版本的无线路由器需要安全开发人员逐个开发安全升级固件，这对于用户和厂商来说都是相当大的成本，并且不能保证时效性。近几年的新兴互联网路由器厂商虽然在安全问题的解决方面有相当大的进步，但是仍然需要用户定时定期地去升级无线路由器。而且新兴厂商对于无线路由器安全方面的重视程度一般不大，更关心新功能的添加。可以明确的是，由于无线路由器的资源、性能、部署成本、人机交互等因素的限制，在无线路由器内部安装安全防护软件或者在无线路由器外部部署额外的安全硬件等防护方案都不具备良好的可行性，而且设备厂商发布固件更新的动作迟缓。

综上所述，在目前的无线路由器设备的大量需求下催发的市场快速扩张行为，带来了大量的安全问题，但是无线路由器的硬件身份和用户的安全意识普遍不高等原因造成了无线路由器的安全问题难以在短时间内解决。因此，无线路由器亟需一款轻量级的，可推广的，并且能够在短时间内解决安全问题的防护方案。

发明内容

本发明提出了一种基于云端影子系统的无线路由器轻量级防护方案。该方案是在无线路由器上面部署一种基于网络流量的检测系统，通过该套系统与云端的影子系统进行协作，两者相结合来保护无线路由器。

本发明采用的技术方案如下：

一种基于云端影子系统的无线路由器保护方法，包括以下步骤：

1)对经过无线路由器的网络流量数据包进行检测，判断其是否为恶意流量数据包；

2)将检测到的恶意流量数据包转发到云端影子系统，从而实现对无线路由器的防护。

进一步地，步骤1)通过内置规则对流量数据包进行过滤，即根据目的地址进行分类，针对目的地址为路由器本身的流量进行拦截，放行目的地址非本路由器的数据包。

进一步地，步骤2)通过一个不断更新的规则对流量数据包进行检测，以发现攻击者的恶意流量数据包。如果发现符合规则的流量，则将该流量移交给云端影子系统。

进一步地，上述检测流量数据包的规则由云端服务器提供，同时该系统会每隔一定的时间对该规则进行远程更新，即从云端服务器获取最新的规则。

进一步地，在对流量数据包进行检测的时候，使用正则表达式的方式，通过系统内置的正则表达式引擎和上述从云端服务器获取的规则对流量数据包进行检测。

进一步地，上述云端影子系统能够完全模拟路由器的功能。上述云端影子系统的核心是影子服务。影子服务是一个路由器系统环境的克隆，与路由器的管理系统拥有相同的界面和功能，并且在系统层面保持与路由器相同的操作系统，开放相同的端口和服务。不同的是该影子服务并不具有能够改变路由器参数的功能，即在该影子服务中所做的更改在显示上生效，但实际上对真实的无线路由器无影响。

进一步地，在上述云端影子系统中存在使用反向代理技术的虚拟网关，其利用对影子服务返回的数据包进行个性化定制的方式，实现单一的影子服务对多个客户端(无线路由器)系统的克隆。

进一步地，在上述云端影子系统中存在流量获取模块，通过获取流量对攻击者的恶意流量进行收集。

一种无线路由器，其包括：

流量获取模块，负责获取目的地址是无线路由器本身的网络流量数据包；

流量检测模块，负责对获取的网络流量数据包进行检测，判断其是否为恶意流量数据包；

流量牵引模块，负责将检测到的恶意流量数据包转发到云端影子系统，从而实现对无线路由器的防护。

一种云服务器，其包括云端影子系统，所述云端影子系统负责接收上面所述无线路由器转发的恶意流量数据包，从而实现对所述无线路由器的防护。

一种无线路由器保护系统，包括上面所述的无线路由器和云服务器。

与传统的软件或者硬件的无线路由器防护方案相比，本发明具有以下几点优势：

1.无需额外购买硬件保护设备。用户不需要花费额外费用去升级路由器，并且本发明在绝大多数家用无线路由器上都可以部署，方便推广。

2.与传统的防护方案不同，本发明在发现攻击者的流量数据包后，并不是即刻拒绝服务，而是将攻击者引入一个与用户无线路由器系统完全相同的影子系统中，方便安全工作人员更加深入的了解攻击者的攻击手段，能够根据攻击者的攻击手段做出更加有效的响应。

3.与传统的升级方案不同，本发明会对流量数据包检测规则进行自动升级，即根据内置的定时系统，在固定的时间内从云端获取最新的检测规则，免去用户自行升级的麻烦。

附图说明

图1是本发明方案的整体结构示意图。

图2是流量截取检测及转发逻辑流程图。

图3是影子系统中的影子服务创建与更新流程图。

图4是客户端特征个性化定制流程图。

具体实施方式

为了使本技术领域的相关人员能够更好的理解本发明的技术方案，并且为了将本发明的目的、特征和有点讲解的更加明显易懂，下面结合附图和实施案例对本发明的核心技术进行进一步的说明。

本发明的核心内容主要包括：

1.流量数据包获取。流量数据包获取是无线路由器防护系统中最基础的一个功能点，对于流经路由器的数据包，通过中间人技术进行获取，并进行分析，根据目的地址进行分类，放行目的地址非本路由器的数据包。

2.数据包检测。数据包检测是无线路由器防护系统中关键的一环，使用路由器内定时更新的恶意流量检测规则，对目的地址是路由器本身的数据包进行正则匹配，一旦匹配成功则表示发现了恶意流量(攻击者的流量数据包)，即进行处理并转发到云端影子系统中。

3.影子系统。影子系统并不在无线路由器中，是属于云端系统的一部分，其内置的影子服务是一个能够完全模拟路由器系统的镜像系统；同时，影子系统利用虚拟网关的反向代理对不同的客户端系统进行对数据包进行个性化定制；另外，在该影子系统内可以对攻击者的恶意流量进行捕获，并提供给安全人员进行分析。

在本发明中，基于本方案设计了一套基于云端影子系统的无线路由器防护系统，能够保护无线路由器设备安全，具体说明如下：

整个实施方案的整体结构及防护系统架构如图1所示。整体上看，整个框架在物理位置上分为无线路由器和云服务器两部分。

在步骤100处，无线路由器运行流量数据包获取及检测两个基本模块，这两个基本模块共同组成了流量处理子系统；而云服务器主要运行影子系统。对于客户端(无线路由器)，只需要在无线路由器上安装轻量级的流量数据包处理系统即可完成客户端上的部署工作。路由器仍然按照原来的工作模式正常运行。另外对于路由器本身的路由转发功能，本方案不进行任何干涉，因此对于路由器的性能影响不大。在无线路由器上，流量获取模块进行流量拦截时，仅针对目的地址为路由器本身的流量进行拦截，在进行正则匹配时，根据恶意流量检测规则进行匹配分析，并对恶意流量进行标记；流量牵引模块则根据流量的标记信息，进行流量转发，详见后文对图2的描述。

在步骤200处运行的是影子系统。影子系统是路由系统环境的克隆，但考虑到云服务器和客户端的对应并非一一映射的关系，因此除了克隆大部分的信息外，还需要针对数据包的特征(来自流量牵引模块)，对系统的返回信息进行个性化定制。

流量处理子系统的工作流程图如图2所示，主要包括以下步骤：

在步骤101处进行传输流量截取。将目的地址是路由器本身的数据包进行截取，其利用路由器内置的IPTABLES进行操作系统底层的流量拦截操作。使用IPTABLES规则，对发送到路由器Web管理端口的流量重定向到流量截取模块监听的端口。

在步骤102处进行协议识别和数据提取。由于本系统防护的是路由器Web管理系统，如果流量非HTTP协议，则对其不进行处理。协议识别是指对HTTP请求头进行判断，并针对HTTP数据包格式进行检查，检查成功之后进行数据提取，提取除HTTP头之外的所有字段。

在步骤103处进行恶意流量SESSION(会话)检测。利用HTTP的SESSION信息，对恶意流量进行特征检测，这个检测步骤主要针对的是恶意流量的后续流量。一旦发现带有恶意流量的SESSION，则进行恶意标记。

在步骤104处进行恶意流量检测。对不携带恶意SESSION(会话)的HTTP数据包，本系统利用从服务器获取到的恶意流量检测规则，进行特征匹配检测。

在步骤105处，当识别出恶意流量时，对流量进行标记，并对恶意流量携带的SESSION(会话)进行记录。

在步骤106处开始流量转发的步骤。对于正常流量，流量牵引模块转发到路由器本身的Web管理系统，也就是流量的期望抵达的真实服务器，而对于恶意流量，则处理后转发到云服务器上的影子系统。值得说明的是，转发时，流量牵引模块还会向影子服务提交路由器本身的属性信息，例如IP地址以及系统版本等，方便影子服务进行个性化克隆。

影子服务的创建和更新方式如图3所示，影子服务需要保证良好的可靠性，而路由器系统运行时间如果运行时间过长，很有可能会导致服务故障，因此必须要进行定期的销毁重建。建立与重建过程主要有以下步骤：

在步骤201处创建虚拟网关。虚拟网关在整个建立过程中只需要创建一次，主要负责对传递到影子服务的请求包和响应包进行预处理，以及针对影子服务进行反向代理。使用反向代理可以确保影子服务的创建销毁过程不会影响正常地执行逻辑。

在步骤202处创建影子服务。利用虚拟化技术，创建影子服务器虚拟机，这个虚拟机是一种特定类型路由器系统的克隆。

在步骤203处虚拟网关开启反向代理，使反向代理指向影子服务。利用反向代理技术，对影子服务的管理界面进行反向代理。

在步骤205处创建并打开计时器。当计时器到期，将建立新的影子服务虚拟机，而原有虚拟机进入退役待销毁阶段。

在步骤204处，在不是第一次创建影子服务的情况下，当计时器结束，第二个影子服务已经开始工作时，对上一个影子服务进行销毁。

影子服务的个性化更改部分如图4所示。如果不进行数据包的个性化定制，其影子服务的欺骗性将会大打折扣。影子服务的个性化定制部分主要有以下步骤：

在步骤211处，虚拟网关处理请求包。虚拟网关对请求包进行接收并进行预处理，分离出原始请求，并记录请求包的个性化信息。

在步骤212处，虚拟网关将请求包递交反向代理。虚拟网关对请求包进行处理后，将原始的请求包递交给影子服务的反向代理。实际上数据包会由反向代理递交给影子服务，并获得影子服务的响应包。

在步骤213处，虚拟网关处理返回数据。虚拟网关利用流量牵引模块的请求包中的个性化信息，对反向代理的返回数据包进行个性化处理，包括IP地址，系统信息等。最大程度地保证影子系统能够以假乱真。

本发明的另一实施例提供一种无线路由器保护系统，包括无线路由器和云服务器。其中，无线路由器包括：流量获取模块，负责获取目的地址是无线路由器本身的网络流量数据包；流量检测模块，负责对获取的网络流量数据包进行检测，判断其是否为恶意流量数据包；流量牵引模块，负责将检测到的恶意流量数据包转发到云端影子系统。云服务器包括云端影子系统，负责接收所述无线路由器转发的恶意流量数据包，从而实现对所述无线路由器的防护。

为了测试本发明的防护能力，利用近年来公开的无线路由器的漏洞利用程序对部署保护系统的路由器进行攻击，并在影子系统进行监控。若针对无线路由器发起攻击时，影子系统收到了攻击流量，则判定防护成功。本次测试包含4项实验，表1展示了具体的实验效果：

1)实验1采用弱口令字典针对web管理界面的密码暴力破解演示；

2)实验2采用TP-Link WR940N路由器的CVE-2017-13772远程命令注入漏洞验证程序进行测试；

3)实验3采用华为HG532路由器的CVE-2017-17215远程命令注入漏洞利用程序进行攻击测试；

4)实验4采用D-Link dir600M CSRF漏洞验证程序进行测试。

表1.防护能力实验结果

实验序号	攻击方式	是否防护成功
			1	弱口令爆破	是
2	CVE-2017-13772	是
			3	CVE-2017-17215	是
4	D-Link dir600M CSRF	是

为了测试本发明的在防护能力提高的基础上，对无线路由器性能的影响，依次模拟Ping命令、打开网页、下载文件等常用的网络操作，通过本发明方案未启用和启用两种情况下的两组实验数据进行比较，性能测试结果如表2所示。

1)Ping操作。通过执行命令Ping www.baidu.com测试网络响应时间；

2)打开简单网页(Baidu)。使用Chrome浏览器(版本66.0.3330.0canary 64位)打开简单网页(18个请求，288KB)记录页面加载时间，每次打开网页后对浏览器缓存进行清理；

3)打开复杂网页(Sina)。使用Chrome浏览器(版本66.0.3330.0canary 64位)打开复杂网页(506个请求，5.2MB)记录页面加载时间，每次打开网页后对浏览器缓存进行清理；

4)HTTP下载文件。使用Chrome浏览器(版本66.0.3330.0canary 64位)下载文件，下载地址：http://down10.zol.com.cn/xiezuo/sogou_pinyin_89a.exe。

表2.性能实验结果

本发明除了针对路由器Web管理程序，也可以针对任何其他明文传输的网络协议，例如FTP服务等；另外，相同的防护方法不局限于路由器设备，也可以在其他连接到互联网的嵌入式设备中部署。

最后应说明的是，以上实施案例仅用以说明本发明的技术方案而非限制，尽管使用事例对本发明进行了详细说明，本领域的普通技术人员应当理解，可对本发明的技术方案进行修改或者等价替换，而不脱离本发明技术方案的精神和范围，其均应涵盖在本发明的权利要求范围当中。

Claims (8)

1.一种基于云端影子系统的无线路由器保护方法，其特征在于，包括以下步骤：

1)对经过无线路由器的网络流量数据包进行检测，判断其是否为恶意流量数据包；

2)将检测到的恶意流量数据包转发到云端影子系统，从而实现对无线路由器的防护；

所述云端影子系统的核心是影子服务，所述影子服务是无线路由器的系统环境的克隆，但不具有能够改变无线路由器参数的功能；所述云端影子系统包含使用反向代理技术的虚拟网关，所述虚拟网关利用对影子服务返回的数据包进行个性化定制的方式，实现单一的影子服务对多个无线路由器的克隆。

2.根据权利要求1所述的方法，其特征在于，步骤1)包括：

1.1)获取经过无线路由器的网络流量数据包，并根据目的地址进行过滤，放行目的地址非本路由器的网络流量数据包；

1.2)通过一个设定的规则对目的地址是无线路由器本身的网络流量数据包进行正则匹配，匹配成功则表示发现了恶意流量数据包。

3.根据权利要求2所述的方法，其特征在于，步骤1.2)所述设定的规则由云端服务器提供，并每隔一定的时间对规则进行远程更新，无线路由器从云端服务器获取最新的规则。

4.根据权利要求2或3所述的方法，其特征在于，在进行所述正则匹配时，根据恶意流量检测规则进行匹配分析，并对恶意流量数据包进行标记；然后根据标记信息进行流量转发，将正常流量数据包转发至无线路由器，将恶意流量数据包转发到云端影子系统。

5.根据权利要求1所述的方法，其特征在于，采用以下步骤进行所述影子服务的创建与更新：

a)创建虚拟网关，虚拟网关主要负责对传递到影子服务的请求包和响应包进行预处理，以及针对影子服务进行反向代理；

b)利用虚拟化技术，创建影子服务器虚拟机；

c)虚拟网关开启反向代理，使反向代理指向影子服务；

d)创建并打开计时器，计时器到期时建立新的影子服务虚拟机，原有虚拟机进入退役待销毁阶段；

e)在不是第一次创建影子服务的情况下，当计时器结束，新的影子服务已经开始工作时，对上一个影子服务进行销毁。

6.根据权利要求1所述的方法，其特征在于，采用以下步骤进行所述影子服务的个性化定制：

a)虚拟网关对请求包进行接收并进行预处理，分离出原始请求，并记录请求包的个性化信息；

b)虚拟网关将原始的请求包递交给影子服务的反向代理；

c)虚拟网关利用请求包中的个性化信息，对反向代理的返回数据包进行个性化处理。

7.一种云服务器，其特征在于，包括云端影子系统，所述云端影子系统负责接收无线路由器转发的恶意流量数据包，从而实现对所述无线路由器的防护；所述云端影子系统的核心是影子服务，所述影子服务是无线路由器的系统环境的克隆，但不具有能够改变无线路由器参数的功能；所述云端影子系统包含使用反向代理技术的虚拟网关，所述虚拟网关利用对影子服务返回的数据包进行个性化定制的方式，实现单一的影子服务对多个无线路由器的克隆。

8.一种无线路由器保护系统，其特征在于，包括无线路由器和权利要求7所述的云服务器；所述无线路由器包括：

流量获取模块，负责获取目的地址是无线路由器本身的网络流量数据包；

流量检测模块，负责对获取的网络流量数据包进行检测，判断其是否为恶意流量数据包；

流量牵引模块，负责将检测到的恶意流量数据包转发到云端影子系统，从而实现对无线路由器的防护。

Images