CN113612753A - 数据的远程引导系统及方法 - Google Patents
数据的远程引导系统及方法 Download PDFInfo
- Publication number
- CN113612753A CN113612753A CN202110854880.9A CN202110854880A CN113612753A CN 113612753 A CN113612753 A CN 113612753A CN 202110854880 A CN202110854880 A CN 202110854880A CN 113612753 A CN113612753 A CN 113612753A
- Authority
- CN
- China
- Prior art keywords
- data
- network
- remote
- external
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 12
- 238000001914 filtration Methods 0.000 claims abstract description 32
- 238000001514 detection method Methods 0.000 claims abstract description 27
- 238000004891 communication Methods 0.000 claims description 6
- 230000005540 biological transmission Effects 0.000 claims description 4
- 238000010586 diagram Methods 0.000 description 3
- 238000012550 audit Methods 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 238000007726 management method Methods 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 230000001172 regenerating effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Small-Scale Networks (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种数据的远程引导系统,包括:个人电脑、外接板、远程终端装置、内部终端装置和外部终端装置,所述个人电脑包括连接到远程网络的远程引导单元;所述外接板和远程引导单元通过PCI总线连接;所述外接板包括入侵检测单元、过滤处理单元和过滤单元;所述个人电脑还包括PCI接口单元和TCP/I构成;所述外接板是通过PCI总线连接到个人电脑的远程引导单元,并且被结合在个人电脑的外壳中;所述内部网络和远程网络仅通过个人电脑和外接板通过PCI总线连接,两者完全分离为一个网络。还公开一种数据的远程引导方法。该系统和方法使攻击者试图未经授权访问很难注意到访问正在被诱导,提高了数据的安全性。
Description
技术领域
本发明涉及一种数据的远程引导系统及方法,更具体地,涉及一种能够将数据从数据中继设备引导至远程网络的系统和方法。
背景技术
现有的入侵检测系统的配置包括数据中继设备、外部网络、外部终端装置、内部网络、内部终端装置以及管理员终端和分析设备。数据中继设备与外部网络和内部网络连接,数据中继设备在两个网络之间进行通信。即,从外部终端装置到内部终端装置的数据是从外部网络接收并发送到内部网络的。此外,从内部网络接收从内部终端装置到外部终端装置的数据,并将其发送到外部网络。这里,可以从外部网络发送到内部网络。为了保护内部网络免受这种未授权访问,中继设备通常具有用于检测未授权访问分组的过滤功能。这种中继设备通过使用过滤单元来确定来自外部网络的未授权访问,其中定义了未授权访问的源或目的地信息,并且如果可以确定其是未授权访问,则访问数据不发送到内部网络。在具有这种过滤功能的中继设备中,过滤单元的内容很重要,并且为了增强内部网络的安全性,统一的策略可以消除未经授权的访问,但很难确保网络可用性。因此,在操作的时候,网络管理员需要判断每个疑似非法访问的疑似报告是否为非法访问报告,并更新过滤单元。分析设备监视中继设备和内部网络,记录通信数据,并收集可以作为检测从外部网络到内部网络的未授权访问的线索的信息。所收集的信息由分析设备分析并通知给网络管理员。网络管理员可以通过使用管理员终端设备来设置和更新中继设备的过滤单元。网络管理员根据分析设备的分析结果,最终判断该报告是非法访问报告还是涉嫌非法访问的报告,改变过滤单元,重新发生非法访问。
传统的入侵检测系统如上所述配置并由网络管理员管理。但是,由于这种网络管理工作只能由具有专业知识的专家来进行,因此存在大量工作量集中在一些管理人员身上的问题。另外,中继设备存在标识的问题。
发明内容
本发明是鉴于上述不足而完成的,是具有安全功能的中继设备。本发明的目的在于,通过向远程网络发送访问或被怀疑是访问来提高针对未授权访问的安全性,或者提供一种自动处理未授权访问的数据引导系统和方法。
一种数据的远程引导系统,包括具有安全功能的中继设备,该中继设备在通信量增加时通过向远程网络发送数据来确保通信路径的带宽。
进一步地,数据的远程引导系统能够对其中被怀疑的数据、改变安全级别、审核网络或进行未经授权的访问通过远程网络进行引导。
该中继设备具有连接第一网络和第二网络的数据中继单元,以及将从第一网络传输到第二网络的数据发送到不同于第一和第二网络的远程网络的远程引导单元。数据中继单元包括过滤单元,基于从网络传输到第二网络的数据的源或目的地信息,过滤处理单元确定丢弃或被远程引导的数据。
数据中继单元包括入侵检测单元,该入侵检测单元监视传输的数据并更新访问表,该访问表防止非法访问第二网络。远程网络与第二网络具有相同的地址系统,并且连接了远程终端装置。进一步的,远程引导单元,用于向被分配有与所述远程引导单元的目的地址信息匹配的第一地址信息的远程终端装置发送报告。在数据中继单元中,入侵检测单元将从第一网络向第二网络发送的数据与规定的非法访问数据的模式数据进行比较,检测是否是非法访问。
远程引导单元将从远程终端装置发送到第一网络的数据发送到数据中继单元,并且数据中继单元被配置为从远程终端装置发送数据到第一网络。
远程引导单元由连接到远程网络的通用计算机构成,并通过通用数据总线连接到数据中继单元以进行中继。远程引导单元被配置为接收从远程网络传输到第一网络的数据,同时将数据的帧格式转换为第二网络的格式。
数据中继单元根据从远程终端装置向第一网络发送的数据的目的地信息。判别目的地不是数据源信息中包括的,将判别出的信息更改为分配给远程终端装置的第二地址,并发送到数据中继单元。
数据中继单元为从第一网络发送的数据确定目的地信息为第二地址的数据。该单元被配置为改变目的地将确定的数据的信息发送到第一个地址,并将其发送到远程网络。
数据中继单元包括第一和第二中继单元以及用于监视数据的数据监视单元。第一中继单元的第一网络的端口连接到第一网络,第二中继单元的第一网络的端口连接到第二网络,并且第一和第二网络的端口和第二中继单元在第二路径中相互连接。
远程引导单元,通过中继单元连接到第一网络和第二网络以及与第一和第二网络不同的远程网络。数据中继单元使用过滤单元存储要丢弃的数据或由远程引导的数据的源或目的地信息,数据中继单元包括从第一网络到第二网络的过滤单元。过滤处理单元决定数据的丢弃或远程引导以及监视从第一网络传输到第二网络的数据。它由检测企图非法访问的未授权访问数据的入侵检测单元组成。
远程引导单元是当从第一网络到第二网络的通信量超过预定阈值时来自第一网络的中继单元。远程终端装置记录来自中继单元的数据,并在从第一网络到第二网络的流量减少后将其传输到第二网络。
远程终端装置对远程引导数据的信息进行分析,并根据分析结果,对远程引导数据进行二次发送。
中继单元将从第一网络发送到第二网络的数据发送到第二网络和远程终端装置,远程终端装置被配置为分析远程引导报告的报告信息,并根据分析结果对第二网络进行审计。
数据中继和引导的方法,包括从外部终端装置向内部终端装置发送的数据经由外部网络被远程引导系统接收。该接收到的数据被输入到数据中继单元的过滤处理单元,并且还被输入到入侵检测单元。入侵检测单元在数据中继单元的入口处拦截承诺模式和隐身模式的通信。过滤处理单元接收到数据后,根据过滤单元接收源或目的信息。
在过滤单元中,被指定为丢弃的数据被过滤处理单元丢弃,并且被指定为用于远程引导的数据被发送到远程网络,远程网络即为引导网络。
另一方面,拦截数据的入侵检测单元根据预定的未授权访问模式进行模式匹配并拦截该数据。并且根据预定策略执行与其相关联的过滤处理。经由内部总线通知过滤处理单元丢弃或引导。其中预定策略为未授权访问的类型和针对它的对策之间的关系。
当检测到疑似未授权访问的数据时,当将该数据添加到远程引导的目标并检测到它是未授权访问数据时,将其添加到丢弃的目标。反之,远程引导或丢弃的目标是正常访问数据。当检测到这样的正常访问数据时,将其从这些丢弃的目标中排除。这样的策略是预先任意确定的,并提供给入侵检测单元。
由于入侵检测单元检测到来自外部网络的未授权访问数据并自动更新过滤单元,因此过滤策略可以自动动态改变。因此,可以改变未授权访问数据,另外,在从外部网络到内部网络的报告中,可以通过实时实施上述对策,提高安全性,将疑似未授权访问的报告发送给远程终端装置。
附图说明
图1是根据本发明的远程引导系统的配置示意图。
图2是根据本发明的远程引导系统在正常操作期间的操作示意图。
图3是数据被远程引导系统中的过滤处理单元进行远程引导时的操作示意图。
图中,1为个人电脑,2为外接板,3为远程引导单元,4为入侵检测单元,5为过滤处理单元,6为过滤单元,10为PCI(Peripheral Components Interconnect)总线,11为PCI接口部分,12为TCP/IP接口部分;20为外部网络,21为外部终端装置,30为内部网络,31为内部终端装置,40为远程网络,41为远程终端装置。
具体实施方式
如图1所示,数据远程引导系统包括:个人电脑1、外接板2、远程终端装置41、内部终端装置31和外部终端装置21,个人电脑1通过外接板2连接到外部网络20和内部网络30并且能够在两个网络之间进行数据的引导。即,从外部终端装置21到内部终端装置31的数据是从外部网络20接收并发送到内部网络30的。此外,从内部网络30接收从内部终端装置31到外部终端装置21发送的数据,并将其发送到外部网络20。通常,两个或更多个终端设备连接到网络20、30和40中的每一个,但是在图中省略了它们。特别地,外部网络20可以是其中容纳不指定数量的诸如因特网的终端设备的网络。远程网络40是不与内部网络30连接的独立的网络(通过个人电脑1除外),连接有远程终端装置41。个人电脑1包括连接到远程网络40的远程引导单元3,个人电脑1通过外接板2连接外部网络20和内部网络30。
个人电脑1还包括PCI接口单元11和TCP/I12构成。外接板2是通过PCI总线10连接到个人电脑1的远程引导单元3,并且被结合在个人电脑1的外壳中。外接板2包括入侵检测单元4、过滤处理单元5和过滤单元6,入侵检测单元4和过滤处理单元5连接到PCI总线10。内部网络30和远程网络40仅通过个人电脑1和外接板2通过PCI总线连接,两者完全分离为一个网络。因此,可以使远程网络40的环境(例如IP地址等网络设定信息)尽可能接近内部网络30的环境。即,可以为远程网络40采用与内部网络30相同的协议和地址系统,并且可以为远程网络30上的终端设备31分配与内部网络30上的终端设备31相同的IP地址。尝试未授权访问的外部网络20上的用户(攻击者)能够通过远程网络40与远程终端装置41通信来获取各种信息。因此,如果网络30和40两者的环境彼此接近,则可以使攻击者难以注意到未授权访问分组正被引导至远程站点。
对使用网络中继功能的用户隐藏远程引导单元3和入侵检测单元4。
如图2所示,数据的远程引导方法,通过作为数据中继单元的外接板2执行正常操作期间的数据流。即,来自外部网络20的数据被输入到过滤处理单元5,并且不是丢弃或远程引导目标的数据被发送到内部网络30。入侵检测单元4在外接板2的入口处截取数据并判断访问是否未经授权。当发现未经授权的访问时,PC连接策略会自动更改,以防止后续未经授权的访问。
如图3所示,已经接收到来自外部网络20的数据的过滤处理单元5根据以下信息确定源或目的信息,例如源IP地址、目的IP地址、源TCP端口号、目的TCP端口号。过滤单元6检查源UDP端口号或目标UDP端口号。结果,如果数据被指定用于远程引导,则该数据通过PCI总线10被传送到个人电脑1,以便将数据引导到远程终端装置41。作为个人电脑上的程序的远程引导单元3确定数据的类型,将其转换成远程终端装置41可以接收的数据格式,然后将数据发送到远程网络40。当入侵检测单元4检测到来自外部网络20的未授权访问时,入侵检测单元4向过滤处理单元5发送攻击检测通知,过滤处理单元5向内部网络30发送攻击检测通知。与内部网络30的通信暂时被阻止。此时,如上所述,过滤单元6被更新,使得其后接收的相同类型的分组被过滤处理单元5引导至远程终端装置41。
另一方面,当远程终端装置41向外部网络20上的外部终端装置21(攻击者)发送数据时,来自远程终端装置41的数据经由远程网络40被发送到个人电脑1。经由TCP/IP接口12接收数据的远程引导单元3经由PCI总线10向外接板2发出数据传输请求。经由PCI总线10接收数据传输请求的过滤处理单元5将接收到的访问数据转换成以太网帧格式并将其发送到外部网络20。在本实施例中,远程引导单元3由个人电脑1上的软件实现,作为数据中继设备的外接板2通过PCI总线10连接到计算机,从而使用PCI驱动程序。一经开发,现有的个人电脑1可用于构建远程导航系统。此外,由于来自远程终端装置41的数据被发送到外部网络20并伪装成来自内部网络30上的终端装置31的数据,因此外部网络20的用户(攻击者)试图未经授权访问很难注意到访问正在被诱导。具体地,远程网络40的协议和地址系统与内部网络30的协议和地址系统相同,并且将与目的地信息(即内部网络上的终端设备31)相同的地址信息分配给由远程引起的未授权访问包通过将包发送到远程网络40上的远程终端装置41,可以使远程引导不太明显。
Claims (4)
1.一种数据的远程引导系统,包括:个人电脑、外接板、远程终端装置、内部终端装置和外部终端装置,个人电脑通过外接板连接到外部网络和内部网络并且能够在两个网络之间进行数据的引导;所述数据从外部终端装置通过外部网络接收并传输到外接板后,再通过内部网络传递到内部终端装置;其特征是:所述远程引导系统还通过远程网络连接有远程终端装置;所述远程网络是不与内部网络连接的独立的网络;所述外接板为连接到外部网络和内部网络的数据中继单元,所述个人电脑包括连接到远程网络的远程引导单元;所述外接板和远程引导单元通过PCI总线连接;所述外接板包括入侵检测单元、过滤处理单元和过滤单元;所述个人电脑还包括PCI接口单元和TCP/I构成;所述外接板是通过PCI总线连接到个人电脑的远程引导单元,并且被结合在个人电脑的外壳中;所述内部网络和远程网络仅通过个人电脑和外接板通过PCI总线连接,两者完全分离为一个网络。
2.如权利要求1所述的数据的远程引导系统,其特征是:对使用网络中继功能的用户隐藏远程引导单元和入侵检测单元。
3.一种使用如权利要求1-2任一所述的数据的远程引导系统对数据进行远程引导的方法,其特征是:通过作为数据中继单元的外接板执行正常操作期间的数据流;即,来自外部网络的数据被输入到过滤处理单元,并且不是丢弃或远程引导目标的数据被发送到内部网络;所述入侵检测单元在外接板的入口处截取数据并判断访问是否未经授权;当发现未经授权的访问时,PC连接策略会自动更改,以防止后续未经授权的访问;
已经接收到来自外部网络的数据的过滤处理单元根据源IP地址、目的IP地址、源TCP端口号、目的TCP端口号确定源或目的信息;
过滤单元检查源端口号或目标端口号;如果数据被指定用于远程引导,则该数据通过PCI总线被传送到个人电脑,以便将数据引导到远程终端装置;作为个人电脑上的程序的远程引导单元确定数据的类型,将其转换成远程终端装置可以接收的数据格式,然后将数据发送到远程网络;
当入侵检测单元检测到来自外部网络的未授权访问时,入侵检测单元向过滤处理单元发送攻击检测通知,过滤处理单元向内部网络发送攻击检测通知;与内部网络的通信暂时被阻止;此时,过滤单元被更新,使得其后接收的相同类型的数据被过滤处理单元引导至远程终端装置。
4.如权利要求3所述的数据的远程引导方法,其特征是:当远程终端装置向外部网络上的外部终端装置发送数据时,来自远程终端装置的数据经由远程网络被发送到个人电脑,经由TCP/IP接口接收数据的远程引导单元经由PCI总线向外接板发出数据传输请求;
经由PCI总线接收数据传输请求的过滤处理单元将接收到的访问数据转换成以太网帧格式并将其发送到外部网络。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110854880.9A CN113612753A (zh) | 2021-07-27 | 2021-07-27 | 数据的远程引导系统及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110854880.9A CN113612753A (zh) | 2021-07-27 | 2021-07-27 | 数据的远程引导系统及方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113612753A true CN113612753A (zh) | 2021-11-05 |
Family
ID=78305755
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110854880.9A Pending CN113612753A (zh) | 2021-07-27 | 2021-07-27 | 数据的远程引导系统及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113612753A (zh) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003264595A (ja) * | 2002-03-08 | 2003-09-19 | Mitsubishi Electric Corp | パケット中継装置、パケット中継システムおよびオトリ誘導システム |
| CN101040497A (zh) * | 2004-10-12 | 2007-09-19 | 松下电器产业株式会社 | 防火墙系统和防火墙控制方法 |
| CN102113292A (zh) * | 2008-06-24 | 2011-06-29 | 法国电信 | 通过已访问网络实现远程网络访问 |
| CN107735987A (zh) * | 2015-06-02 | 2018-02-23 | 三菱电机大楼技术服务株式会社 | 中继装置、网络监视系统和程序 |
-
2021
- 2021-07-27 CN CN202110854880.9A patent/CN113612753A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003264595A (ja) * | 2002-03-08 | 2003-09-19 | Mitsubishi Electric Corp | パケット中継装置、パケット中継システムおよびオトリ誘導システム |
| CN101040497A (zh) * | 2004-10-12 | 2007-09-19 | 松下电器产业株式会社 | 防火墙系统和防火墙控制方法 |
| CN102113292A (zh) * | 2008-06-24 | 2011-06-29 | 法国电信 | 通过已访问网络实现远程网络访问 |
| CN107735987A (zh) * | 2015-06-02 | 2018-02-23 | 三菱电机大楼技术服务株式会社 | 中继装置、网络监视系统和程序 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US6957348B1 (en) | Interoperability of vulnerability and intrusion detection systems | |
| US9866584B2 (en) | System and method for analyzing unauthorized intrusion into a computer network | |
| US8042182B2 (en) | Method and system for network intrusion detection, related network and computer program product | |
| CN100518052C (zh) | 在分组网络的路由器中提供节点安全的方法和装置 | |
| US8656493B2 (en) | Decoy network technology with automatic signature generation for intrusion detection and intrusion prevention systems | |
| US8015605B2 (en) | Scalable monitor of malicious network traffic | |
| Verba et al. | Idaho national laboratory supervisory control and data acquisition intrusion detection system (SCADA IDS) | |
| CN100435513C (zh) | 网络设备与入侵检测系统联动的方法 | |
| US20050182950A1 (en) | Network security system and method | |
| CN113364799B (zh) | 一种网络威胁行为的处理方法和系统 | |
| WO2021162473A1 (ko) | 차량 내 네트워크에 대한 침입 탐지를 위한 시스템 및 방법 | |
| CN108183921B (zh) | 经由边界网关进行信息安全性威胁中断的系统和方法 | |
| EP1542406B1 (en) | Mechanism for detection of attacks based on impersonation in a wireless network | |
| CN113794590B (zh) | 处理网络安全态势感知信息的方法、装置及系统 | |
| JP3790486B2 (ja) | パケット中継装置、パケット中継システムおよびオトリ誘導システム | |
| JP3495030B2 (ja) | 不正侵入データ対策処理装置、不正侵入データ対策処理方法及び不正侵入データ対策処理システム | |
| KR100772177B1 (ko) | 보안 기능 시험을 위한 침입 탐지 이벤트 생성 방법 및장치 | |
| CN113612753A (zh) | 数据的远程引导系统及方法 | |
| KR101923054B1 (ko) | 시그니쳐 기반으로 악성행위를 자체 탐지하는 유무선 게이트웨이 및 그 탐지 방법 | |
| CN109274638A (zh) | 一种攻击源接入自动识别处理的方法和路由器 | |
| KR20150043843A (ko) | 정보유출방지장치 | |
| CN113596023A (zh) | 数据中继和远程引导设备 | |
| KR101424504B1 (ko) | 포지티브 방식을 이용한 통합보안관제시스템 | |
| KR102545705B1 (ko) | DDoS 공격의 탐지 및 방어 시스템 및 그 방법 | |
| KR100938647B1 (ko) | 플로우 데이터 분석 결과에 따라 이를 저장하는 장치 및방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20211105 |
|
| WD01 | Invention patent application deemed withdrawn after publication |