CN111865661A - 一种面向网络设备管理协议的异常配置检测装置及方法 - Google Patents

Abstract

本发明公开一种面向网络设备管理协议的异常配置检测装置，包括管理协议代理、管理协议执行体池、配置转译器、配置裁决器及异常信息上报接口；本发明还公开一种面向网络设备管理协议的异常配置检测方法，管理协议代理将远程配置命令分发给多个冗余执行体的管理协议执行单元，同时分发给配置转译器；各管理协议执行单元对配置命令进行解析和处理，将处理生成的控制指令发送给配置裁决器；配置转译器将管理协议配置命令进行转译，并将该配置命令发送给其他协议的执行单元；配置裁决器将各管理协议执行单元的控制指令进行表决，若表决某个执行单元的控制指令异常，则产生告警。本发明能够发现攻击者利用管理协议中漏洞或后门对设备下发的恶意配置。

Description

一种面向网络设备管理协议的异常配置检测装置及方法

技术领域

本发明属于网络安全技术领域，尤其涉及一种面向网络设备管理协议的异常配置检测装置及方法。

背景技术

随着网络规模和应用种类的不断发展，网络安全问题日益凸显，特别是广泛存在于网络设备中的未知漏洞与后门成为网络信息安全的重要威胁。路由器、交换机等设备是网络基础设施的核心枢纽，但其却缺乏有效的安全防护措施，其管理协议中难以避免存在各种漏洞后门。如果其安全问题不解决，受到威胁的将是与这些设备相连接的整个网络，其危害远远超过针对主机的攻击。

现有的防御体系（Cheng L, Zhang P, Ma Y. Route leakage detectionalgorithm based on new feature discovery[C]//Proceedings of the 4thInternational Conference on Communication and Information Processing. 2018:222-226.）（郭毅, 段海新, 张连成, 等. 基于特征融合相似度的域间路由系统安全威胁感知方法[J]. 中国科学: 信息科学, 2017 (7): 5.）是基于威胁特征感知的精确防御,需要获得攻击来源、攻击特征、攻击途径、攻击行为和攻击机制等先验知识作为实施有效防御的基础。因此, 它必须建立在“已知风险”或是“已知的未知风险”前提条件上。以深度包检测为代表的传统防御方法（Sun R, Shi L, Yin C, et al. An improved method indeep packet inspection based on regular expression[J]. The Journal ofSupercomputing, 2019, 75(6): 3317-3333.）必须掌握攻击特征才能进行有效防御，在面对特征未知的不确定性威胁时，比如一些基于未知漏洞和后门发起的攻击，现有防御方法难以及时有效地对其进行发现和阻断。

发明内容

本发明针对现有的防御体系和防御方法对基于未知漏洞和后门发起的攻击，难以及时有效地对其进行发现和阻断的问题，提出一种面向网络设备管理协议的异常配置检测装置及方法。

为了实现上述目的，本发明采用以下技术方案：

一种面向网络设备管理协议的异常配置检测装置，包括管理接口，控制平面接口，还包括：管理协议代理、管理协议执行体池、配置转译器、配置裁决器及异常信息上报接口；

所述管理协议代理由多个面向网络设备常用管理协议的代理模块组成；管理协议代理用于将管理接口接收到的管理协议报文复制分发给管理协议执行体池中的各个执行体，同时对各个执行体的返回值按照一定策略进行转发或拦截，确保一次配置后只有一个返回值被回送给管理员；记录远程登录至设备的管理员的信息，包括源IP、登录时间，并更新到相应的数据库中；

所述管理协议执行体池由1个以上执行体组成，各个执行体之间具有异构性，各个执行体独立运行在不同的系统环境中，每个执行体由不同团队开发的或不同版本的管理协议执行单元组成，每个管理协议执行单元能够独立地解析相应管理协议的配置命令，并将该命令转化为具体的控制指令下发到设备控制平面；

所述配置转译器用于将管理协议的配置命令进行相互转换，并将转换后的配置命令发送到相应的管理协议执行单元；

所述配置裁决器用于对比各个执行体上报的控制指令是否一致，如果全部一致则将其下发到网络设备的控制平面，如果不一致则发起投票表决流程，票数超过半数的控制指令作为裁决结果下发到网络设备的控制平面，票数未过半数的控制指令则视其为异常配置事件，追溯发送该控制指令的执行体，并通过异常信息上报接口向管理者通告异常信息，以进行更进一步的攻击检测和阻断；

所述异常信息上报接口用于将异常配置事件上报给数据平面。

进一步地，所述管理协议代理包括SSH协议代理模块、Telnet协议代理模块、SNMP协议代理模块、Netconf协议代理模块、CLI协议代理模块、WEB协议代理模块。

一种面向网络设备管理协议的异常配置检测方法，包括：

管理协议代理根据管理员使用的远程管理协议，与管理协议执行体池中各个执行体中相应的管理协议执行单元建立会话，然后将管理员的登录请求以及后续发送的携带配置命令的数据包全部复制转发给各个执行体，同时记录管理员的源IP、登录时间信息；

当各个执行体收到了携带配置命令的数据包时，交由相应的管理协议执行单元进行解析处理，生成具体的控制指令后，再发送给配置裁决器进行裁决；

配置裁决器收到某个执行体发来的一条新的控制指令后，把该指令作为一个待裁决项缓存在队列中，并记录发送该指令的执行体编号、消息ID和发送时间；当收到其他执行体发送的控制指令时，首先比对缓存中是否存在该指令，如果存在则记录执行体编号、消息ID和发送时间，如果不存在则在缓存中建立新的待裁决项；

判断是否有超过半数的执行体通告了该项控制指令，若是，则通过裁决，将该配置对应的控制指令下发给控制平面，同时等待后续执行体的通告；若否，则配置裁决器继续接收其他执行体发送的控制指令；

判断配置裁决器是否收到所有执行体的控制指令，若是，则弹出该待裁决项，该次裁决结束；若否，则判断待裁决项在队列中的等待时间是否超过设定的时间阈值，若是，则启动异常溯源流程，通过异常信息上报接口通告相关异常信息，若否，则配置裁决器继续接收其他执行体发送的控制指令。

进一步地，所述异常溯源流程包括：

首先判定通告了待裁决项的执行体数量是否已经超过半数，如果超过半数，则把未通告该配置项的执行体视为异常，并向异常信息上报接口通告相关异常信息；

如果通告了待裁决项的执行体数量正好为半数，则根据执行体权重或裁决策略来判定该配置项是否通过裁决，若判定通过裁决，则将该配置项对应的控制指令下发给控制平面，并把未通告该配置项的执行体判定为异常，若判定为未通过裁决，则将通告该配置项的执行体视为异常；

如果通告了待裁决项的执行体数量未达到半数，则判定该次配置为异常，并对该配置项进行异常记录或拦截，同时将通告该配置项的执行体视为异常，通过异常信息上报接口通告相关异常信息。

与现有技术相比，本发明具有的有益效果：

当攻击者利用CLI、Netconf、SNMP等管理协议和接口中存在的漏洞或后门获取执行权限并下发恶意配置时，本申请可以通过多执行体架构和配置裁决机制发现和阻断攻击者的恶意配置行为，由于每个执行体之间具有异构性，且独立运行在不同的系统环境中，从而使多个执行体之间不具有相同的漏洞或后门，攻击者难以通过漏洞或后门同时控制多个执行体，从而使配置裁决器能够通过比对各个执行体的输出及时发现攻击者下发的异常配置，从而及时有效地对其进行阻断。其防御效果的实现不依赖于任何对管理协议中漏洞和后门相关先验知识的掌握，也不依赖于对任何攻击行为特征的识别。

附图说明

图1为本发明实施例一种面向网络设备管理协议的异常配置检测装置的架构示意图；

图2为本发明实施例一种面向网络设备管理协议的异常配置检测方法的基本流程图；

图3为本发明又一实施例的一种面向网络设备管理协议的异常配置检测方法的基本流程图。

具体实施方式

下面结合附图和具体的实施例对本发明做进一步的解释说明：

如图1所示，一种面向网络设备管理协议的异常配置检测装置，包括：管理接口，控制平面接口，还包括：管理协议代理、管理协议执行体池、配置转译器、配置裁决器及异常信息上报接口；

所述管理协议代理由多个面向网络设备常用管理协议的代理模块组成；管理协议代理用于将管理接口接收到的管理协议报文复制分发给管理协议执行体池中的各个执行体，同时对各个执行体的返回值按照一定策略进行转发或拦截，确保一次配置后只有一个返回值被回送给管理员；记录远程登录至设备的管理员的信息，包括源IP、登录时间，并更新到相应的数据库中；

所述管理协议执行体池由1个以上执行体组成，各个执行体之间具有异构性，各个执行体独立运行在不同的系统环境中，每个执行体由不同团队开发的或不同版本的管理协议执行单元组成，每个管理协议执行单元能够独立地解析相应管理协议的配置命令，并将该命令转化为具体的控制指令下发到设备控制平面；

所述配置转译器用于将管理协议的配置命令进行相互转换，并将转换后的配置命令发送到相应的管理协议执行单元；

所述配置裁决器用于对比各个执行体上报的控制指令是否一致，如果全部一致则将其下发到网络设备的控制平面，如果不一致则发起投票表决流程，票数超过半数的控制指令作为裁决结果下发到网络设备的控制平面，票数未过半数的控制指令则视其为异常配置事件，追溯发送该控制指令的执行体，并通过异常信息上报接口向管理者通告异常信息，以进行更进一步的攻击检测和阻断；

所述异常信息上报接口用于将异常配置事件上报给数据平面。

值得说明的是，路由器、交换机等网络设备的体系架构通常分为三个平面：管理平面、控制平面、数据平面。管理平面是提供给网络管理人员使用telnet、WEB、SSH、SNMP、Netconf等方式来管理设备，并支持、理解和执行管理人员对于网络设备各种网络协议的设置命令；控制平面用于控制和管理所有网络协议的运行；数据平面负责各类报文的转发。

进一步地，所述管理协议代理包括SSH协议代理模块、Telnet协议代理模块、SNMP协议代理模块、Netconf协议代理模块、CLI协议代理模块、WEB协议代理模块。其中SSH协议代理模块需要进行管理命令的加解密以及维持与各个管理协议执行单元的加密会话通道。

进一步地，所述管理协议执行单元包括SSH执行单元、Telnet执行单元、SNMP执行单元、Netconf执行单元、CLI执行单元、WEB执行单元。

在上述实施例的基础上，如图2所示，本发明还公开一种面向网络设备管理协议的异常配置检测方法，该方法适用于当网络设备支持多执行体架构时，包括：

管理协议代理根据管理员使用的远程管理协议，与管理协议执行体池中各个执行体中相应的管理协议执行单元建立会话，然后将管理员的登录请求以及后续发送的携带配置命令的数据包全部复制转发给各个执行体，同时记录管理员的源IP、登录时间信息；

当各个执行体收到了携带配置命令的数据包时，交由相应的管理协议执行单元进行解析处理，生成具体的控制指令后，再发送给配置裁决器进行裁决；值得说明的是，当各个执行体收到了携带查询命令的数据包时，则生成的控制指令直接发送至控制平面；而该查询对应的返回值则会被发给配置裁决器进行裁决，裁决结果将会返回给管理员；

配置裁决器收到某个执行体发来的一条新的控制指令后，把该指令作为一个待裁决项缓存在队列中，并记录发送该指令的执行体编号、消息ID和发送时间；当收到其他执行体发送的控制指令时，首先比对缓存中是否存在该指令，如果存在则记录执行体编号、消息ID和发送时间，如果不存在则在缓存中建立新的待裁决项；

判断是否有超过半数的执行体通告了该项控制指令，若是，则通过裁决，将该配置对应的控制指令下发给控制平面，同时等待后续执行体的通告；若否，则配置裁决器继续接收其他执行体发送的控制指令；

判断配置裁决器是否收到所有执行体的控制指令，若是，则弹出该待裁决项，该次裁决结束；若否，则判断待裁决项在队列中的等待时间是否超过设定的时间阈值，若是，则启动异常溯源流程，通过异常信息上报接口通告相关异常信息，若否，则配置裁决器继续接收其他执行体发送的控制指令。

进一步地，所述异常溯源流程包括：

首先判定通告了待裁决项的执行体数量是否已经超过半数，如果超过半数，则把未通告该配置项的执行体视为异常，并向异常信息上报接口通告相关异常信息；

如果通告了待裁决项的执行体数量正好为半数，则根据执行体权重或裁决策略来判定该配置项是否通过裁决，若判定通过裁决，则将该配置项对应的控制指令下发给控制平面，并把未通告该配置项的执行体判定为异常，若判定为未通过裁决，则将通告该配置项的执行体视为异常；

如果通告了待裁决项的执行体数量未达到半数，则判定该次配置为异常，并对该配置项进行异常记录或拦截，同时将通告该配置项的执行体视为异常，通过异常信息上报接口通告相关异常信息。

当攻击者利用CLI、Netconf、SNMP等管理协议和接口中存在的漏洞或后门获取执行权限并下发恶意配置时，本申请可以通过多执行体架构和配置裁决机制发现和阻断攻击者的恶意配置行为，由于每个执行体之间具有异构性，且独立运行在不同的系统环境中，从而使多个执行体之间不具有相同的漏洞或后门，攻击者难以通过漏洞或后门同时控制多个执行体，从而使配置裁决器能够通过比对各个执行体的输出及时发现攻击者下发的异常配置，从而及时有效地对其进行阻断。其防御效果的实现不依赖于任何对管理协议中漏洞和后门相关先验知识的掌握，也不依赖于对任何攻击行为特征的识别。

值得说明的是，当网络设备不支持多执行体架构时，在上述一种面向网络设备管理协议的异常配置检测装置实施例的基础上，如图3所示，本发明又公开另一种面向网络设备管理协议的异常配置检测方法，包括：

管理协议代理将管理员发送的携带配置命令的数据包复制转发给配置转译器；

配置转译器分析该配置命令所属的配置方式，然后将其解析并转译为其他配置方式的配置命令，比如把命令行（CLI）的配置命令转译为Netconf或SNMP的配置命令，把Netconf的配置命令转译为CLI或SNMP的配置命令，把SNMP的配置命令转译为CLI或Netconf的配置命令，并将转译后的配置命令发送给单个执行体中相应的管理协议执行单元；

各个管理协议执行单元在对配置命令进行解析处理以后，将生成的控制指令发送给配置裁决器；

配置裁决器在收到一条管理协议执行单元发来的控制指令后，等待其他管理协议执行单元发送的控制指令；如果其他管理协议执行单元中有半数下发了相同的控制指令，则该配置通过裁决，否则将该配置判定为异常配置，并通过异常信息接口通告相关异常信息。

由上可知，当设备不支持多执行体架构时，通过多协议的命令转译、并行处理和输出裁决，也可实现恶意命令的异常告警。不过，相对于上述多执行体架构下的异常配置检测，无法通过调度消除脆弱点；若部分协议不支持某项配置命令，则无法实现针对该项命令的异常检测。

以上所示仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。

Claims (4)

1.一种面向网络设备管理协议的异常配置检测装置，包括管理接口，控制平面接口，其特征在于，还包括：管理协议代理、管理协议执行体池、配置转译器、配置裁决器及异常信息上报接口；

所述管理协议代理由多个面向网络设备常用管理协议的代理模块组成；管理协议代理用于将管理接口接收到的管理协议报文复制分发给管理协议执行体池中的各个执行体，同时对各个执行体的返回值按照一定策略进行转发或拦截，确保一次配置后只有一个返回值被回送给管理员；记录远程登录至设备的管理员的信息，包括源IP、登录时间，并更新到相应的数据库中；

所述管理协议执行体池由1个以上执行体组成，各个执行体之间具有异构性，各个执行体独立运行在不同的系统环境中，每个执行体由不同团队开发的或不同版本的管理协议执行单元组成，每个管理协议执行单元能够独立地解析相应管理协议的配置命令，并将该命令转化为具体的控制指令下发到设备控制平面；

所述配置转译器用于将管理协议的配置命令进行相互转换，并将转换后的配置命令发送到相应的管理协议执行单元；

所述配置裁决器用于对比各个执行体上报的控制指令是否一致，如果全部一致则将其下发到网络设备的控制平面，如果不一致则发起投票表决流程，票数超过半数的控制指令作为裁决结果下发到网络设备的控制平面，票数未过半数的控制指令则视其为异常配置事件，追溯发送该控制指令的执行体，并通过异常信息上报接口向管理者通告异常信息，以进行更进一步的攻击检测和阻断；

所述异常信息上报接口用于将异常配置事件上报给数据平面。

2.根据权利要求1所述的一种面向网络设备管理协议的异常配置检测装置，其特征在于，所述管理协议代理包括SSH协议代理模块、Telnet协议代理模块、SNMP协议代理模块、Netconf协议代理模块、CLI协议代理模块、WEB协议代理模块。

3.基于权利要求1-2任一所述的一种面向网络设备管理协议的异常配置检测装置的一种面向网络设备管理协议的异常配置检测方法，其特征在于，包括：

管理协议代理根据管理员使用的远程管理协议，与管理协议执行体池中各个执行体中相应的管理协议执行单元建立会话，然后将管理员的登录请求以及后续发送的携带配置命令的数据包全部复制转发给各个执行体，同时记录管理员的源IP、登录时间信息；

当各个执行体收到了携带配置命令的数据包时，交由相应的管理协议执行单元进行解析处理，生成具体的控制指令后，再发送给配置裁决器进行裁决；

配置裁决器收到某个执行体发来的一条新的控制指令后，把该指令作为一个待裁决项缓存在队列中，并记录发送该指令的执行体编号、消息ID和发送时间；当收到其他执行体发送的控制指令时，首先比对缓存中是否存在该指令，如果存在则记录执行体编号、消息ID和发送时间，如果不存在则在缓存中建立新的待裁决项；

判断是否有超过半数的执行体通告了该项控制指令，若是，则通过裁决，将该配置对应的控制指令下发给控制平面，同时等待后续执行体的通告；若否，则配置裁决器继续接收其他执行体发送的控制指令；

判断配置裁决器是否收到所有执行体的控制指令，若是，则弹出该待裁决项，该次裁决结束；若否，则判断待裁决项在队列中的等待时间是否超过设定的时间阈值，若是，则启动异常溯源流程，通过异常信息上报接口通告相关异常信息，若否，则配置裁决器继续接收其他执行体发送的控制指令。

4.根据权利要求3所述的一种面向网络设备管理协议的异常配置检测方法，其特征在于，所述异常溯源流程包括：

首先判定通告了待裁决项的执行体数量是否已经超过半数，如果超过半数，则把未通告该配置项的执行体视为异常，并向异常信息上报接口通告相关异常信息；

如果通告了待裁决项的执行体数量正好为半数，则根据执行体权重或裁决策略来判定该配置项是否通过裁决，若判定通过裁决，则将该配置项对应的控制指令下发给控制平面，并把未通告该配置项的执行体判定为异常，若判定为未通过裁决，则将通告该配置项的执行体视为异常；

如果通告了待裁决项的执行体数量未达到半数，则判定该次配置为异常，并对该配置项进行异常记录或拦截，同时将通告该配置项的执行体视为异常，通过异常信息上报接口通告相关异常信息。

Images