CN110225015A - 基于开放式最短路径优先协议的安全防护方法及装置 - Google Patents
基于开放式最短路径优先协议的安全防护方法及装置 Download PDFInfo
- Publication number
- CN110225015A CN110225015A CN201910465024.7A CN201910465024A CN110225015A CN 110225015 A CN110225015 A CN 110225015A CN 201910465024 A CN201910465024 A CN 201910465024A CN 110225015 A CN110225015 A CN 110225015A
- Authority
- CN
- China
- Prior art keywords
- message
- lsa
- data structure
- invalid packet
- difficult
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/12—Shortest path evaluation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例公开了一种基于开放式最短路径优先协议的安全防护方法及装置、存储介质。所述基于开放式最短路径优先开放式最短路径优先协议的安全防护方法,包括:接收至少一个链路状态通告LSA;基于所述开放式最短路径优先协议解析所述LSA通过,确定出所述LSA的报文内容的第一数据结构;基于所述开放式最短路径优先协议解析所述LSA,确定出路由状态的第二数据结构;结合所述第一数据结构和所述第二数据结构,确定所述LSA是否为非法报文;若所述LSA为非法报文,对所述LSA进行安全防护处理。
Description
技术领域
本发明涉及网络技术领域,尤其涉及一种基于开放式最短路径优先协议的安全防护方法及装置、存储介质。
背景技术
开放式最短路径优先是互联网上部署最广泛的内部网关路由协议之一。攻击者会在路由器传递开放式最短路径优先报文时进行拦截,通过修改报文的内容进而来攻击自治系统,从而影响到网络安全。
在采用数字签名技术的开放式最短路径优先协议中,路由器通过对每个LSA报文进行签名和验证来保证报文的合法性,然而签名和验证的运算代价较高,对路由器的传输效率存在较大的影响。在一些情况下,这种技术的部署难度很大。
发明内容
有鉴于此,本发明实施例期望提供一种基于开放式最短路径优先协议的安全防护方法及装置、存储介质。
本发明的技术方案是这样实现的:
一种基于开放式最短路径优先协议的安全防护方法,其特征在于,包括:
接收至少一个链路状态通告LSA;
基于所述开放式最短路径优先协议解析所述LSA通过,确定出所述LSA的报文内容的第一数据结构;
基于所述开放式最短路径优先协议解析所述LSA,确定出路由状态的第二数据结构;
结合所述第一数据结构和所述第二数据结构,确定所述LSA是否为非法报文;
若所述LSA为非法报文,对所述LSA进行安全防护处理。
基于上述方案,所述方法还包括:
获取匹配规则;
所述结合所述第一数据结构和所述第二数据结构,确定所述LSA是否为非法报文,包括:
根据所述匹配规则,结合所述第一数据结构和所述第二数据结构确定出所述LSA是否为非法报文。
基于上述方案,所述获取匹配规则,包括:
动态获取所述匹配规则。
基于上述方案,所述根据所述匹配规则,结合所述第一数据结构和所述第二数据结构确定出所述LSA是否为非法报文,包括以下至少之一:
根据所述匹配规则,结合所述第一数据结构和所述第二数据结构,确定所述LSA是否为合法报文;
根据所述匹配规则,结合所述第一数据结构和所述第二数据结构,确定所述LSA是否为非法报文;
根据所述匹配规则,结合所述第一数据结构和所述第二数据结构,确定出所述LSA是否为疑难报文,其中,所述疑难报文为根据所述匹配规则无法确定为合法报文或非法报文的难以判断的报文。
基于上述方案,所述方法还包括:
若确定所述LSA为所述疑难报文,输出预定信息,其中,所述预定信息包括:所述疑难报文;和/或,所述疑难报文的第一数据结构和所述疑难报文的所述第二数据结构;
基于针对所述预定信息的反馈信息,更新所述匹配规则。
基于上述方案,所述基于针对所述预定信息的反馈信息,更新所述匹配规则,包括以下至少之一:
若所述反馈信息指示所述疑难报文为非法报文,根据所述疑难报文的所述第一数据结构和所述第二数据结构,更新所述匹配规则中确定非法报文的非法报文参数;
若所述反馈信息指示所述疑难报文为合法报文,根据所述疑难报文的所述第一数据结构和所述第二数据结构,更新所述匹配规则中确定非法报文的合法报文参数。
基于上述方案,所述方法还包括:
若根据所述反馈信息无法确定所述疑难报文是合法报文还是非法报文,标记所述疑难报文并追踪标记后的所述疑难报文;
根据所述疑难报文的追踪信息,确定所述疑难报文是非法报文还是合法报文。
基于上述方案,所述方法还包括:
接收报文;
确定接收到报文的报文类型;
若所述报文类型为第一类型,利用数据平面转发接收到所述报文;
若所述报文类型为第二类型,利用控制平面处理所述报文,其中,所述LSA的报文类型为所述第二类型。
一种基于开放式最短路径优先协议的安全防护装置,包括:
接收模块,用于接收至少一个链路状态通告LSA;
第一确定模块,用于基于所述开放式最短路径优先协议解析所述LSA通过,确定出所述LSA的报文内容的第一数据结构;
第二确定模块,用于基于所述开放式最短路径优先协议解析所述LSA,确定出路由状态的第二数据结构;
第三确定模块,用于结合所述第一数据结构和所述第二数据结构,确定所述LSA是否为非法报文;
防护模块,用于若所述LSA为非法报文,对所述LSA进行安全防护处理。
一种计算机存储介质,所述计算机存储介质存储有计算机可执行指令;所述计算机可执行指令被处理器执行后,能够实现前述任意技术方案提供的
本发明实施例提供的技术方案,在接收到LSA之后,会基于开放式最短路径优先协议一方面分析接收到的LSA的报文内容,另一方面会分析LSA的路由状态,得到与报文内容对应的第一数据结构,和与路由状态对应的第二数据结构;然后结合这两个数据结构综合判断,当前接收到的LSA是否为携带有攻击行为的非法报文,若是非法报文会进行防护处理,减少攻击报文的继续传输;在非法报文检测过程中无需签名验证,具有计算量小及计算速率高的特点。
附图说明
图1为本发明实施例提供的第一种基于开放式最短路径优先协议的安全防护方法的流程示意图;
图2为本发明实施例提供的第二种基于开放式最短路径优先协议的安全防护方法的流程示意图;
图3为本发明实施例提供的一种基于开放式最短路径优先协议的安全防护装置的结构示意;
图4为本发明实施例提供的一种路由器的结构示意图。
具体实施方式
以下结合说明书附图及具体实施例对本发明的技术方案做进一步的详细阐述。
如图1所示,本实施例提供一种基于开放式最短路径优先协议的安全防护方法,包括:
步骤S110:接收至少一个链路状态通告LSA;
步骤S120:基于所述开放式最短路径优先协议解析所述LSA通过,确定出所述LSA的报文内容的第一数据结构;
步骤S130:基于所述开放式最短路径优先协议解析所述LSA,确定出路由状态的第二数据结构;
步骤S140:结合所述第一数据结构和所述第二数据结构,确定所述LSA是否为非法报文;
步骤S150:若所述LSA为非法报文,对所述LSA进行安全防护处理。
本实施例提供的开放式最短路径优先协议的安全防护方法可以应用于路由器中。该方法可以应用于整个网络的所有路由器中;或者应用于部分路由器中。例如,该方法可以应用于局域网连接到互联网的路由器中等。在一些实施例中,该方法还可以应用于连接预定个数其他路由器的路由器中。
总之,本实施例提供的基于开放式最短路径优先协议的安全防护方法可以应用于网络中部分或全部路由器中。
所述LSA可以用于路由器的路由发现。基于开放式最短路径优先协议,所述LSA的报文内容是具有预定的规范的;发送所述LSA的路由器若是合法路由器,也是需要按照一定的规范发送所述LSA。
在本实施例中,为了及时发现路由器的安全漏洞并防止安全漏洞导致的安全问题,会通过获得LSA的报文内容的第一数据结构;并同步获得多个LSA的路由状态的第二数据结构。
例如,获得LSA的报文内容包括:提取出LSA包括所包含的字段、一个或多个字段所包含的比特数、一个或多个字段所携带的具体内容。
根据接收到的LSA的报文内容,转换为可以用于是否为包含攻击行为的非法报文的判断。
例如,规范的合法LSA会携带有链路状态标识字段和公告路由器字段;若基于开放式最短路径优先协议检测的过程中发现当前接收的LSA有需要包含的字段缺失、无需包含的字段的多余,和/或需要包含的字段的内容冲突;或者,需要包含的字段的比特数不对,都可认为该LSA报文为包含攻击行为的非法报文。例如,在接收到的LSA缺失链路状态标识字段和公告路由器字段的至少一个时,该第一数据结构就会体现这种缺失,然后基于第一数据结构就可以认定当前接收到的LSA为包含有攻击行为的非法报文。
再例如,会检测预定时间内接收到的多个LSA,基于这多个LSA的接收参数是可以知道的,例如,预定时间内接收的多个LSA的具体接收时间,根据接收时间,并结合多个LSA的发送来源,就可以得到一种路由状态的第二数据结构。例如,根据第二数据结构发现预定时间内接收的多个LSA均是来自于一个路由器,而这不符合合法路由器发送合法LSA的路由状况,则此时可认为当前接收到的LSA为非法LSA。
总之在本实施例中,首先是根据接收到的LSA的报文内容和路由状态得到的第一数据结构和第二数据结构,来判断当前接收到的LSA是否为携带有攻击行为的非法报文,相对于通过携带签名信息的攻击行为检测方式,减少了签名验证所需的大量计算,具有计算量小、计算复杂度低及效率高的特点。
与此同时,由于同时结合了LSA的报文内容和路由状态两个方面的信息,来综合判断当前接收到的LSA是否为携带有攻击行为的非法报文,相对仅根据其中一个方面的信息来判断,能够更加准确的进行判断。
一旦确定了当前接收的LSA为非法报文,则会启动安全防护处理,将会执行步骤S150。
具体的所述步骤S150可包括以下至少之一:
若所述LSA为非法报文,丢弃所述LSA,如此,丢弃的LSA就不会再被转发,从而减少了因为非法报文修改路由器的路由表导致的路由异常现象;
若所述LSA为非法报文,且所述LSA为非法报文是因为报文内容引起的,则修改所述LSA,得到合法的LSA之后再转发合法的LSA;如此,也减少了非法报文的转发。
在一些实施例中,为了精准判断接收到的LSA是否为合法LSA,可以预定时长为一个时间片,缓存一个时间片内的LSA,综合判断当前时间片内的LSA是否为非法LSA;确定出有非法LSA则执行安全防护处理,若没有非法LSA,则将这一个时间片内的所有合法LSA进行转发。
在另一些实施例中,为了精准判断会开设一个存储区域,存储当前时间以前的一个或多个时间片内所接收到的所有LSA的所述第一数据结构和所述第二数据结构,方便用于当前时刻接收到的LSA是非法报文还是合法报文的判断,若一旦判断完成之后,合法LSA直接转发,若非法LSA就进行安全防护处理,然后根据所述存储区域内存储的LSA的第一数据结构和第二数据结构。所述存储区域内可设置有一个或多个先进先出(FIFO)队列,所述第一数据结构和第二数据结构作为一个信息加入所述FIFO队列或从所述FIFO队列弹出。
在一些实施例中,如图2所示,所述方法还包括:
步骤S100:获取匹配规则;
所述步骤S140可包括步骤S141;所述步骤S141可包括:根据所述匹配规则,结合所述第一数据结构和所述第二数据结构确定出所述LSA是否为非法报文。
在本实施例中,路由器在进行非法报文的判断时,会预先获取匹配规则。例如,路由器会动态的获取匹配规则,该匹配规则可为从人机交互接口接收的,也可以是从其他设备接收的。
若该路由器为软件定义网络(Software Define Network,SDN)的路由器,该路由器可以从SDN控制器接收所述匹配规则。
所述匹配规则可为定时或不定时更新的匹配规则。
若动态更新所述匹配规则,可以相对于长期不更新匹配规则或者使用固定的匹配规则,可以发现新的攻击类型,从而提升安全防护能力。
在一些实施例中,所述步骤S100可包括:动态获取所述匹配规则。
在一些实施例中,所述根据所述匹配规则,结合所述第一数据结构和所述第二数据结构确定出所述LSA是否为非法报文,包括以下至少之一:
根据所述匹配规则,结合所述第一数据结构和所述第二数据结构,确定所述LSA是否为合法报文;
根据所述匹配规则,结合所述第一数据结构和所述第二数据结构,确定所述LSA是否为非法报文;
根据所述匹配规则,结合所述第一数据结构和所述第二数据结构,确定出所述LSA是否为疑难报文,其中,所述疑难报文为根据所述匹配规则无法确定为合法报文或非法报文的难以判断的报文。
例如,与匹配规则中的合法报文的报文参数匹配的LSA,则可确定该LSA为合法报文,不是非法报文。
又例如,与匹配规则中非法报文的报文参数匹配的LSA,则可确定该LSA为非法报文,并非合法报文。
但是在一些情况下,有些LSA的第一数据结构和/或第二数据结构,既然不与合法报文的报文参数匹配,也不与非法报文的报文参数匹配;此时这种报文为疑难判断的疑难报文。但是若直接转发疑难报文。
进一步地,所述方法还包括:
若确定所述LSA为所述疑难报文,输出预定信息,其中,所述预定信息包括:所述疑难报文;和/或,所述疑难报文的第一数据结构和所述疑难报文的所述第二数据结构;
基于针对所述预定信息的反馈信息,更新所述匹配规则。
针对疑难报文,在本实施例中不会直接转发,而是会输出预定信息,例如,直接用当前设备的所显示器等输出装置向用户输入所述预定信息;再例如,利用传输接口将所述预定信息传输外部输出设备进行输出。
在本实施例中,所述预定信息可直接仅包括疑难报文本身,也可以仅包括疑难报文的第一数据结构和第二数据结构;或者,同时包括疑难报文本身、所述第一数据结构和所述第二结构。
通过预定信息的反馈,网络安防人员可以根据该预定信息人工判断该疑难报文是判断难度系数比较高的合法报文,还是判断难度系数比较高的非法报文。
在还有一些实施例中,所述预定信息可将输入到学习模型中,例如,神经网络等深度学习模型,由模型自动给出判断当前的疑难报文是合法报文还是非法报文,从而得到由学习模型输出的反馈信息。
为了加速后续LSA是否为携带有攻击行为的非法报文的判断,在本实施例中,会基于反馈信息更新匹配规则。
若一个路由器的匹配规则更新了,则该路由器至少会广播匹配规则的更新部分或者直接广播整个更新后的匹配规则,如此,一方面实现了自身存储的匹配规则的更新,同时还通过广播发送动态的更新了其他路由器的匹配规则。
具体地如,所述基于针对所述预定信息的反馈信息,更新所述匹配规则,包括以下至少之一:
若所述反馈信息指示所述疑难报文为非法报文,根据所述疑难报文的所述第一数据结构和所述第二数据结构,更新所述匹配规则中确定非法报文的非法报文参数;
若所述反馈信息指示所述疑难报文为合法报文,根据所述疑难报文的所述第一数据结构和所述第二数据结构,更新所述匹配规则中确定非法报文的合法报文参数。
若反馈信息指示对应的疑难报文为合法报文,为了加速后续的报文是合法报文还是非法报文的判断,会根据该第一数据结构和第二数据结构,更新匹配规则中的非法报文参数,更新后的非法报文参数包括快速识别与该疑难报文或者与该疑难报文相似的非法报文的非法报文参数。
在一些实施例中,为了加速后续的报文是合法报文还是非法报文的判断,会根据该第一数据结构和第二数据结构,更新匹配规则中的合法报文参数,更新后的合法报文参数包括快速识别与该疑难报文或者与该疑难报文相似的合法报文的合法报文参数
进一步地,所述方法还包括:
若根据所述反馈信息无法确定所述疑难报文是合法报文还是非法报文,标记所述疑难报文并追踪标记后的所述疑难报文;
根据所述疑难报文的追踪信息,确定所述疑难报文是非法报文还是合法报文。
若通过人工判断或者学习模型来判断,依然无法很明确的区分该依然报文是合法的还是非法的;则会标记该疑难报文,并转发该疑难报文,但是同时会追踪该疑难报文,例如,追踪疑难报文的转发路径,参与转发该疑难报文的设备记录自身的疑难报文处理记录和自身的运行状态,若该疑难报文导致其转发路劲上的一个或多个路由器出现异常,则可以确定该疑难报文为非法报文,否则可认为是合法报文。
如该高难判断的疑难报文一旦确定是合法报文或非法报文之后,会基于疑难报文做种合法性,更新所述匹配规则;和/或,更新进行疑难报文判断的学习模型,从而使得学习模型能够判断这种疑难报文的合法性。
在一些实施例中,所述方法还包括:
接收报文;
确定接收到报文的报文类型;
若所述报文类型为第一类型,利用数据平面转发接收到所述报文;
若所述报文类型为第二类型,利用控制平面处理所述报文,其中,所述LSA的报文类型为所述第二类型。
本实施例提供的方法可以用于控制平面和数据平面分离的网络架构中,例如,该网络架构包括但不限于:Intel DPDK网络和SDN。
在区分控制平面和数据平面的网络架构中,在路由器接收到一个报文之后,会立马判断报文类型,从而根据报文类型确定是否是需要处理的报文,还是可以直接转发的报文。
在本实施例中,所述报文类型分为第一类型和第二类型,其中,若确定出客是第一类型的报文,直接由数据平面进行转发,例如,由数据平面透明转发。
若确定出当前接收的报文为第二类型的报文,则会由控制平面进行报文处理。在本实施例中,所述LSA为第二类型的报文。在确定出当前接收的报文为第二类型的报文之后,会进一步确定是否是LSA,若是LSA则由控制平面执行前述步骤S110至步骤S150。
如图3所示,本实施例还提供一种基于开放式最短路径优先协议的安全防护装置,包括:
接收模块110,用于接收至少一个链路状态通告LSA;
第一确定模块120,用于基于所述开放式最短路径优先协议解析所述LSA通过,确定出所述LSA的报文内容的第一数据结构;
第二确定模块130,用于基于所述开放式最短路径优先协议解析所述LSA,确定出路由状态的第二数据结构;
第三确定模块140,用于结合所述第一数据结构和所述第二数据结构,确定所述LSA是否为非法报文;
防护模块150,用于若所述LSA为非法报文,对所述LSA进行安全防护处理。
在一些实施例中,所述接收模块110、所述第一确定模块120、所述第二确定模块130、第三确定模块140及防护模块150可为程序模块;所述程序模块被处理器执行后,能够接收所述LSA、确定出第一数据结构、第二数据结构、LSA是否为非法报文及安全方法处理的功能。
在另一些实施例中,所述接收模块110、所述第一确定模块120、所述第二确定模块130、第三确定模块140及防护模块150可为软硬结合模块,所述软硬结合模块可包括各种可编程阵列;所述可编程阵列包括但不限于复杂可编程阵列或现场可编程阵列。
在还有一些实施例中,所述接收模块110、所述第一确定模块120、所述第二确定模块130、第三确定模块140及防护模块150可为纯硬件模块;所述纯硬件模块可包括但不限于专用集成电路。
在一些实施例中,所述装置还包括:
获取模块,用于获取匹配规则;
所述第三确定模块140,具体用于根据所述匹配规则,结合所述第一数据结构和所述第二数据结构确定出所述LSA是否为非法报文。
在一些实施例中,所述获取模块,具体用于动态获取所述匹配规则。
在一些实施例中,所述第三确定模块140,具体用于执行以下至少之一:
根据所述匹配规则,结合所述第一数据结构和所述第二数据结构,确定所述LSA是否为合法报文;
根据所述匹配规则,结合所述第一数据结构和所述第二数据结构,确定所述LSA是否为非法报文;
根据所述匹配规则,结合所述第一数据结构和所述第二数据结构,确定出所述LSA是否为疑难报文,其中,所述疑难报文为根据所述匹配规则无法确定为合法报文或非法报文的难以判断的报文。
在一些实施例中,所述装置还包括:
输出模块,用于若确定所述LSA为所述疑难报文,输出预定信息,其中,所述预定信息包括:所述疑难报文;和/或,所述疑难报文的第一数据结构和所述疑难报文的所述第二数据结构;
更新模块,用于基于针对所述预定信息的反馈信息,更新所述匹配规则。
在一些实施例中,所述更新模块,具体用于执行以下至少之一:
若所述反馈信息指示所述疑难报文为非法报文,根据所述疑难报文的所述第一数据结构和所述第二数据结构,更新所述匹配规则中确定非法报文的非法报文参数;
若所述反馈信息指示所述疑难报文为合法报文,根据所述疑难报文的所述第一数据结构和所述第二数据结构,更新所述匹配规则中确定非法报文的合法报文参数。
在一些实施例中,所述装置还包括:
标记追踪模块,用于若根据所述反馈信息无法确定所述疑难报文是合法报文还是非法报文,标记所述疑难报文并追踪标记后的所述疑难报文;
第四确定模块,用于根据所述疑难报文的追踪信息,确定所述疑难报文是非法报文还是合法报文。
在一些实施例中,所述接收模块110,具体用于接收报文;
所述装置还包括:
第五确定模块,具体用于确定接收到报文的报文类型;
转发模块,用于若所述报文类型为第一类型,利用数据平面转发接收到所述报文;
处理模块,用于若所述报文类型为第二类型,利用控制平面处理所述报文,其中,所述LSA的报文类型为所述第二类型。
以下结合上述实施例提供几个具体示例:
示例1:
本示例提供一种针对开放式最短路径优先协议的安全防护方法,可应用于控制平面和数据平面分离的网络架构中,如软件定义网络(Software Defined Network,SDN)、数据平面开发工具集(Data Plane Development Kit,Intel DPDK)等,对开放式最短路径优先协议进行深度分析,基于开放式最短路径优先报文内容和路由状态构建动态规则,一方面保证合法报文的快速转发,另一方面挖掘和阻断针对开放式最短路径优先协议的攻击行为。
开放式最短路径优先协议是路由协议一种内部网关协议,应用于单一自治系统,用于计算路由。路由器基于开放式最短路径优先协议计算路由的过程分为:发现相邻路由器并维护与相邻路由器的路由链路。然而攻击者会在路由器传递开放式最短路径优先报文时进行拦截,通过修改报文的内容进而来攻击自治系统,从而影响到网络安全。
本示例提供一种针对开放式最短路径优先协议的安全防护方法包括开放式最短路径优先报文解析、开放式最短路径优先路由状态分析、动态规则匹配、攻击行为分析和防护。
开放式最短路径优先报文解析对接收到的报文进行解析,构建报文内容的数据结构;
开放式最短路径优先路由状态分析对开放式最短路径优先历史报文进行状态分析,构建路由状态的数据结构;
动态规则匹配基于规则内容对开放式最短路径优先报文内容和路由状态进行匹配;
根据规则匹配的结果,分析是否存在针对开放式最短路径优先报文的攻击行为,并通过修改或丢弃非法报文对攻击行为进行防护。
总之,基于开放式最短路径优先报文内容和路由状态构建动态规则,在受到已知和未知的针对开放式最短路径优先协议脆弱性的恶意攻击时,能够及时地进行防护,极大的保障开放式最短路径优先协议在运行期间的安全性,防止了针对开放式最短路径优先协议进行攻击时造成的网络错误,能够有效地保障网络重要基础设施的安全稳定。
安全防护系统的部署方式,包括但不限于在重要路由节点之间、路由器网络最小连通图中,以及路由器网络全网部署。
如果将安全防护系统以旁路方式部署在路由器网路中,无法对攻击行为进行阻断,但是可以对针对开放式最短路径优先协议的攻击行为进行检测和告警
示例2
本示例一种针对开放式最短路径优先协议的安全防护系统,采用控制平面和数据平面分离的网络架构,包括:数据处理模块、控制器模块、管理模块。
其中,
数据处理模块和路由器进行连接,负责对数据包进行修改、丢弃和快速转发;
控制器模块,负责对开放式最短路径优先报文的处理和分析,同时和管理模块进行交互;
管理模块,负责对动态规则进行维护,并对开放式最短路径优先报文分析结果进行记录和展示。
本实施例还提供一种计算机存储介质,所述计算机存储介质存储有计算机可执行指令;所述计算机可执行指令被执行后,能够实现前述任意一个技术方案提供的基于开放式最短路径优先协议的安全防护方法,例如,执行图1和/或图2所示的方法。
本发明实施例提供的计算机存储介质为非瞬间存储介质。
如图4所示,本申请实施例提供了一种路由器,包括:
通信接口,用于收发报文;
存储器,用于存储计算机可执行指令;
处理器,分别与显示器及所述存储器连接,用于通过执行存储在所述存储器上的计算机可执行指令,能够实现前述一个或多个技术方案提供的基于开放式最短路径优先协议的安全防护方法,例如,执行图1和/或图2所示的方法。
该存储器可为各种类型的存储器,可为随机存储器、只读存储器、闪存等。所述存储器可用于信息存储,例如,存储计算机可执行指令等。所述计算机可执行指令可为各种程序指令,例如,目标程序指令和/或源程序指令等。
所述处理器可为各种类型的处理器,例如,中央处理器、微处理器、数字信号处理器、可编程阵列、数字信号处理器、专用集成电路或图像处理器等。
所述处理器可以通过总线与所述存储器连接。所述总线可为集成电路总线等。
该通信接口可包括:网络接口、例如,局域网接口、收发天线等。所述通信接口同样与所述处理器连接,能够用于信息收发。
在本申请所提供的几个实施例中,应该理解到,所揭露的设备和方法,可以通过其它的方式实现。以上所描述的设备实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,如:多个单元或组件可以结合,或可以集成到另一个系统,或一些特征可以忽略,或不执行。另外,所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口,设备或单元的间接耦合或通信连接,可以是电性的、机械的或其它形式的。
上述作为分离部件说明的单元可以是、或也可以不是物理上分开的,作为单元显示的部件可以是、或也可以不是物理单元,即可以位于一个地方,也可以分布到多个网络单元上;可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。
另外,在本发明各实施例中的各功能单元可以全部集成在一个处理模块中,也可以是各单元分别单独作为一个单元,也可以两个或两个以上单元集成在一个单元中;上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
本申请任意实施例公开的技术特征,在不冲突的情况下,可以任意组合形成新的方法实施例或设备实施例。
本申请任意实施例公开的方法实施例,在不冲突的情况下,可以任意组合形成新的方法实施例。
本申请任意实施例公开的设备实施例,在不冲突的情况下,可以任意组合形成新的设备实施例。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:移动存储设备、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。
Claims (10)
1.一种基于开放式最短路径优先协议的安全防护方法,其特征在于,包括:
接收至少一个链路状态通告LSA;
基于所述开放式最短路径优先协议解析所述LSA通过,确定出所述LSA的报文内容的第一数据结构;
基于所述开放式最短路径优先协议解析所述LSA,确定出路由状态的第二数据结构;
结合所述第一数据结构和所述第二数据结构,确定所述LSA是否为非法报文;
若所述LSA为非法报文,对所述LSA进行安全防护处理。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
获取匹配规则;
所述结合所述第一数据结构和所述第二数据结构,确定所述LSA是否为非法报文,包括:
根据所述匹配规则,结合所述第一数据结构和所述第二数据结构确定出所述LSA是否为非法报文。
3.根据权利要求2所述的方法,其特征在于,所述获取匹配规则,包括:
动态获取所述匹配规则。
4.根据权利要求3所述的方法,其特征在于,所述根据所述匹配规则,结合所述第一数据结构和所述第二数据结构确定出所述LSA是否为非法报文,包括以下至少之一:
根据所述匹配规则,结合所述第一数据结构和所述第二数据结构,确定所述LSA是否为合法报文;
根据所述匹配规则,结合所述第一数据结构和所述第二数据结构,确定所述LSA是否为非法报文;
根据所述匹配规则,结合所述第一数据结构和所述第二数据结构,确定出所述LSA是否为疑难报文,其中,所述疑难报文为根据所述匹配规则无法确定为合法报文或非法报文的难以判断的报文。
5.根据权利要求4所述的方法,其特征在于,所述方法还包括:
若确定所述LSA为所述疑难报文,输出预定信息,其中,所述预定信息包括:所述疑难报文;和/或,所述疑难报文的第一数据结构和所述疑难报文的所述第二数据结构;
基于针对所述预定信息的反馈信息,更新所述匹配规则。
6.根据权利要求5所述的方法,其特征在于,所述基于针对所述预定信息的反馈信息,更新所述匹配规则,包括以下至少之一:
若所述反馈信息指示所述疑难报文为非法报文,根据所述疑难报文的所述第一数据结构和所述第二数据结构,更新所述匹配规则中确定非法报文的非法报文参数;
若所述反馈信息指示所述疑难报文为合法报文,根据所述疑难报文的所述第一数据结构和所述第二数据结构,更新所述匹配规则中确定非法报文的合法报文参数。
7.根据权利要求6所述的方法,其特征在于,所述方法还包括:
若根据所述反馈信息无法确定所述疑难报文是合法报文还是非法报文,标记所述疑难报文并追踪标记后的所述疑难报文;
根据所述疑难报文的追踪信息,确定所述疑难报文是非法报文还是合法报文。
8.根据权利要求1至7任一项所述的方法,其特征在于,所述方法还包括:
接收报文;
确定接收到报文的报文类型;
若所述报文类型为第一类型,利用数据平面转发接收到所述报文;
若所述报文类型为第二类型,利用控制平面处理所述报文,其中,所述LSA的报文类型为所述第二类型。
9.一种基于开放式最短路径优先协议的安全防护装置,其特征在于,包括:
接收模块,用于接收至少一个链路状态通告LSA;
第一确定模块,用于基于所述开放式最短路径优先协议解析所述LSA通过,确定出所述LSA的报文内容的第一数据结构;
第二确定模块,用于基于所述开放式最短路径优先协议解析所述LSA,确定出路由状态的第二数据结构;
第三确定模块,用于结合所述第一数据结构和所述第二数据结构,确定所述LSA是否为非法报文;
防护模块,用于若所述LSA为非法报文,对所述LSA进行安全防护处理。
10.一种计算机存储介质,所述计算机存储介质存储有计算机可执行指令;所述计算机可执行指令被处理器执行后,能够实现权利要求1至8任一项提供的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910465024.7A CN110225015A (zh) | 2019-05-30 | 2019-05-30 | 基于开放式最短路径优先协议的安全防护方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910465024.7A CN110225015A (zh) | 2019-05-30 | 2019-05-30 | 基于开放式最短路径优先协议的安全防护方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110225015A true CN110225015A (zh) | 2019-09-10 |
Family
ID=67818747
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910465024.7A Pending CN110225015A (zh) | 2019-05-30 | 2019-05-30 | 基于开放式最短路径优先协议的安全防护方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110225015A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111083154A (zh) * | 2019-12-24 | 2020-04-28 | 北京网太科技发展有限公司 | 一种安全防护方法、装置及存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020078232A1 (en) * | 2000-12-20 | 2002-06-20 | Nortel Networks Limited | OSPF backup interface |
| CN1469587A (zh) * | 2002-07-16 | 2004-01-21 | 华为技术有限公司 | 基于开放式最短路径优先路由协议的路由计算方法 |
| CN103442008A (zh) * | 2013-08-29 | 2013-12-11 | 中国科学院计算技术研究所 | 一种路由安全检测系统及检测方法 |
| CN103607346A (zh) * | 2013-11-17 | 2014-02-26 | 北京工业大学 | 可信路由器中ospf协议的异常和攻击检测方法 |
| CN108881315A (zh) * | 2018-08-29 | 2018-11-23 | 南京航空航天大学 | 一种基于nfv的检测和恢复双lsa攻击ospf协议的方法及系统 |
| CN109525491A (zh) * | 2018-10-26 | 2019-03-26 | 北京网太科技发展有限公司 | 开放式最短路径优先协议的信息处理方法及装置、存储介质 |
-
2019
- 2019-05-30 CN CN201910465024.7A patent/CN110225015A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020078232A1 (en) * | 2000-12-20 | 2002-06-20 | Nortel Networks Limited | OSPF backup interface |
| CN1469587A (zh) * | 2002-07-16 | 2004-01-21 | 华为技术有限公司 | 基于开放式最短路径优先路由协议的路由计算方法 |
| CN103442008A (zh) * | 2013-08-29 | 2013-12-11 | 中国科学院计算技术研究所 | 一种路由安全检测系统及检测方法 |
| CN103607346A (zh) * | 2013-11-17 | 2014-02-26 | 北京工业大学 | 可信路由器中ospf协议的异常和攻击检测方法 |
| CN108881315A (zh) * | 2018-08-29 | 2018-11-23 | 南京航空航天大学 | 一种基于nfv的检测和恢复双lsa攻击ospf协议的方法及系统 |
| CN109525491A (zh) * | 2018-10-26 | 2019-03-26 | 北京网太科技发展有限公司 | 开放式最短路径优先协议的信息处理方法及装置、存储介质 |
Non-Patent Citations (1)
| Title |
|---|
| GABI NAKIBLY, ADI SOSNOVICH PROFILE IMAGEADI SOSNOVICH, EIT: "OSPF Vulnerability to Persistent Poisoning Attacks:A Systematic Analysis", 《ACSAC "14: PROCEEDINGS OF THE 30TH ANNUAL COMPUTER SECURITY APPLICATIONS CONFERENCE》 * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111083154A (zh) * | 2019-12-24 | 2020-04-28 | 北京网太科技发展有限公司 | 一种安全防护方法、装置及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Kulkarni et al. | Adaptive real-time Trojan detection framework through machine learning | |
| CN101197648B (zh) | 用于接入网的自环路检测方法和装置 | |
| Manickam et al. | Secure data transmission through reliable vehicles in VANET using optimal lightweight cryptography | |
| US10826821B2 (en) | Flow path detection | |
| US20170111377A1 (en) | NETWORK CAPABLE OF DETECTING DoS ATTACKS AND METHOD OF CONTROLLING THE SAME, GATEWAY AND MANAGING SERVER INCLUDED IN THE NETWORK | |
| JP5364776B2 (ja) | 複数のログ・エントリをマージする技術 | |
| US11265336B2 (en) | Detecting anomalies in networks | |
| CN110224990A (zh) | 一种基于软件定义安全架构的入侵检测系统 | |
| CN110225008A (zh) | 一种云环境下sdn网络状态一致性验证方法 | |
| CN103442008B (zh) | 一种路由安全检测系统及检测方法 | |
| US8626678B2 (en) | Anomaly detection for link-state routing protocols | |
| CN101873258A (zh) | 一种概率包标记及攻击源追溯方法、系统及装置 | |
| CN107210927A (zh) | 协议处理中的异常检测 | |
| CN109525491A (zh) | 开放式最短路径优先协议的信息处理方法及装置、存储介质 | |
| CN111126440B (zh) | 一种基于深度学习的一体化工控蜜罐识别系统及方法 | |
| CN110740077A (zh) | 基于网络抓包的拟态系统异构性测试系统、方法及装置 | |
| CN105516658B (zh) | 一种监控设备控制方法及装置 | |
| CN102315988A (zh) | 高效的域间路由协议前缀劫持检测方法 | |
| CN110225015A (zh) | 基于开放式最短路径优先协议的安全防护方法及装置 | |
| US8045474B2 (en) | Method and apparatus for tracking layer-2 (L2) resource of a switch | |
| CN106790010B (zh) | 基于Android系统的ARP攻击检测方法、装置及系统 | |
| Nguyen et al. | A hybrid prevention method for eavesdropping attack by link spoofing in software-defined Internet of Things controllers | |
| CN109861869A (zh) | 一种配置文件的生成方法及装置 | |
| CN104219240B (zh) | 一种主机学习方法以及装置 | |
| Lisova | Monitoring for securing clock synchronization |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190910 |
|
| RJ01 | Rejection of invention patent application after publication |