CN114710388A - 一种校园网安全架构及网络监护系统 - Google Patents
一种校园网安全架构及网络监护系统 Download PDFInfo
- Publication number
- CN114710388A CN114710388A CN202210308398.XA CN202210308398A CN114710388A CN 114710388 A CN114710388 A CN 114710388A CN 202210308398 A CN202210308398 A CN 202210308398A CN 114710388 A CN114710388 A CN 114710388A
- Authority
- CN
- China
- Prior art keywords
- network
- dhcp
- equipment
- class
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000012544 monitoring process Methods 0.000 title claims abstract description 17
- 239000010410 layer Substances 0.000 claims abstract description 37
- 239000012792 core layer Substances 0.000 claims abstract description 20
- 238000005516 engineering process Methods 0.000 claims abstract description 14
- 238000000034 method Methods 0.000 claims description 22
- 230000005540 biological transmission Effects 0.000 claims description 20
- 230000006399 behavior Effects 0.000 claims description 13
- 239000013307 optical fiber Substances 0.000 claims description 7
- 238000001914 filtration Methods 0.000 claims description 6
- 239000011521 glass Substances 0.000 claims description 6
- 230000003313 weakening effect Effects 0.000 claims description 6
- 238000004891 communication Methods 0.000 claims description 5
- 230000003993 interaction Effects 0.000 claims description 4
- 238000004364 calculation method Methods 0.000 claims description 3
- 238000006243 chemical reaction Methods 0.000 claims description 3
- 238000001514 detection method Methods 0.000 claims description 3
- 238000009792 diffusion process Methods 0.000 claims description 3
- 230000014759 maintenance of location Effects 0.000 claims description 3
- 239000000463 material Substances 0.000 claims description 3
- 239000013598 vector Substances 0.000 claims description 3
- 230000008569 process Effects 0.000 description 10
- 230000004044 response Effects 0.000 description 4
- 238000012790 confirmation Methods 0.000 description 3
- 230000002265 prevention Effects 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 238000011160 research Methods 0.000 description 3
- 238000004458 analytical method Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 239000000835 fiber Substances 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 238000013507 mapping Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 230000004075 alteration Effects 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000015556 catabolic process Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 239000006185 dispersion Substances 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000000644 propagated effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/04—Network management architectures or arrangements
- H04L41/044—Network management architectures or arrangements comprising hierarchical management structures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/10—Mapping addresses of different types
- H04L61/103—Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种校园网安全架构,该校园网安全架构包含有网络监护系统;该架构包括接入层、汇聚层、核心层和网络互联设备;网络互联设备包括核心交换机一和核心交换机二,核心交换机一和核心交换机二作为整个校园网的核心设备,连接校园网的各个区域;各个区域的终端设备采用DHCP获取地址,DHCP包括DHCP客户端和DHCP服务器端;DHCP服务器连接在核心交换机一和核心交换机二上,同时核心交换机一和核心交换机二上配置DHCP Snooping来保证安全终端的接入以及终端可以获取到安全地址。本发明通过在网络中的接入层设备上使用DHCP Snooping技术来保护网络内部每个用户的数据安全,进而更好的保证了整个校园网的网络安全与稳定。
Description
技术领域
本发明涉及网络监护技术领域,具体涉及一种校园网安全架构及网络监护系统。
背景技术
随着互联网的不断发展,人们的工作、学习和生活对它的依赖性也逐渐变强。在这样的大背景下,为了能够良好的解决网络中存在的IP(Internet Protocol)地址分配资源缺乏问题的同时更有效的减少网络管理人员的手动配置的错误和工作量,DHCP(DynamicHost Configuration Protocol)这种能够动态地为主机配置参数的技术得到了广泛地运用。但是由于DHCP服务器及技术被越来越多的运用到各种类型的网络配置中,人们对它的研究还只停留于表面却很少有人对它进行更深一层的研究就导致了DHCP协议在网络设计中的安全问题,有些威胁可以致使整个网络的崩溃,给网络维护带来较大的工作量,所以对于DHCP技术及其安全性的研究就显得尤为重要。
在中国专利公开的(申请号为:201710258184.5,授权公告号为:CN 106921420 B)一种DHCP报文的发送方法和装置,包括以下步骤,接入点AP建立多用户多入多出MU-MIMO下的监听表项,其中所述监听表项包括天线标识ID、用户终端标识ID和DHCP相关的用户终端媒体访问控制MAC地址的映射关系;当所述AP收到与一用户终端相关的DHCP报文时,所述用户终端相关的DHCP报文携带该用户终端的用户终端ID和用户终端MAC地址,所述AP根据所述监听表项所包括的天线ID、用户终端ID与用户终端MAC地址的映射关系以及根据所述用户终端的用户终端ID和用户终端MAC地址确定所述用户终端对应的发送天线,所述AP根据所述监听表项只在与该用户终端相对应的发送天线上发射所述用户终端的DHCP报文。
参考上述公开的中国专利一种DHCP报文的发送方法和装置,尚有以下不足:通过改变DHCP报文发送方式使得实现的DHCP snooping功能,使用该方法存在一定的安全隐患。
发明内容
本发明针对上述的问题提供一种安全性高,减少网络维护的校园网安全架构及网络监护系统。
本发明是这样实现的:一种校园网安全架构,所述该校园网安全架构包含有网络监护系统;其特征在于:所述该架构包括接入层、汇聚层、核心层和网络互联设备;
所述接入层,作为用户连接网络的直接端口,用于让本地网络能够接入工作站点;
所述汇聚层,为接入层实现数据传送、管理和汇聚的同时还选择性限制接入层设备对核心层设备的直接访问,将接入层的节点与核心层的节点关联起来,成为网络中接入层设备和核心层相互交流通信的桥梁;
所述核心层,作为整个网络结构设计的核心和纽带用于实现核心区域网络之间的高质量传输,核心层是整个网络的高速信息交互的主体是网络数据流的最终承载者;
所述网络互联设备包括核心交换机一和核心交换机二,核心交换机一和核心交换机二作为整个校园网的核心设备,连接校园网的各个区域;
所述网络监护系统,通过使用DHCP中DHCP Snooping技术实现DHCP客户从真实的DHCP服务器上获得到正确的地址,防止网络中作假的服务器攻击;所述DHCP Snooping通过建立和更新DHCP Snooping绑定表项来过剔除掉网络中不安全区域的DHCP信息,确保网络的正常运行安全;
所述DHCP包括DHCP客户端和DHCP服务器;所述DHCP服务器连接在核心交换机一和核心交换机二上,同时核心交换机一和核心交换机二上配置DHCP Snooping来保证安全终端的接入以及终端可以获取到安全地址。
优选的,所述DHCP Snooping内部设置有服务器的假冒防护模块;所述服务器的假冒防护模块采用DHCP Snooping信任端口的安全特性来控制DHCP服务器报文的来源信息,信任端口与真实服务器的接口直接或者间接性接触,不信任端口不可能与真实服务器接口连接,信任端口对DHCP报文正常传递,不信任端口则会将收到的报文剔除。
优选的,所述DHCP Snooping内部设置有ARP中间人攻击防护模块;所述ARP中间人攻击防护模块采用ARP入侵检测功能和DHCP Snooping绑定表有机结合的方式来检测ARP报文是否安全;将ARP报文中的源IP地址以及它对应的MAC地址条目与DHCP Snooping绑定表中的条目进行一对一的对比,对比结果一致并且ARP报文接口的详细信息也与DHCPSnooping绑定表中相符,从服务器接收到的ARP报文才能被正常转发,其他情况下ARP报文将被认为非法并且直接丢弃。
优选的,所述DHCP Snooping内部设置有IP/MAC地址伪造防护模块;所述IP/MAC地址伪造防护模块采取IP过滤的安全特性,保证经过某个特定接口的源地址与DHCPSnooping绑定表项中的源地址相一致,当接口上启用了IP过滤功能后设备会发送ACL列表来过滤除DHCP报文以外的其他报文,随后将进行比较,如果一致就可以正常转发否则会被丢弃。
优选的,所述DHCP Snooping内部设置有报文泛洪防护模块;所述报文泛洪防护模块采用将受到攻击的接口短暂关闭来对DHCP报文进行限速。
优选的,所述报文泛洪防护模块通过以下步骤实现报文防护:
步骤1:当有新的设备成功连入网络时,提取该设备的MAC地址与设备名称信息,从系统中以日为单位提取一个自然月内该设备的历史在线时间数据,利用这些数据对当前连入设备进行聚类操作;
步骤2:在每一类中,利用下述公式为每台设备计算危险值:
其中,DV(t)为当前类在t时刻的类危险值,DVi (t)为类内编号为i的设备的危险值,ξC为类内扩散因子,用来表示类内元素危险值的扩张性,ADVi (t)、FDVi (t)分别为用户行为危险值和请求频次危险值,Vj和ξAj分别表示第j种用户危险行为及其对应的危险系数,F和ξF分别表示用户在Δt时间内重复发送请求的频次及其危险系数,ρ为衰弱因子,在衰弱因子的影响下,将随着时间推移,危险值的计算将更加注重相近时间内发生的危险行为,之前发生的危险行为带来的影响将被逐步削减;
步骤3:遍历所有设备,当有设备的危险值从高于临界值DVmax1转为低于DVmax1时,将其移出危险类并取消限速,留待下次重新聚类;当有某台设备的危险值从低于临界值DVmax1转为高于临界值DVmax1时,将该元素转移到危险类中,并按下述公式对该设备进行限速操作:
其中,S表示该危险设备被限制后允许使用的最大网络带宽,DVmax1和DVmax2分别为最低危险临界值和最高危险临界值,σ为落差限速因子,表示进入危险状态后的设备带宽受限程度,当S=0时,该设备发出的任意请求都会被拒绝;
步骤4:对于每个类,利用下述公式更新该类的类危险值:
其中,μ为残留因子,用来表示上一时刻类危险值转移到下一时刻的留存程度;
步骤5:每隔间隔时间Δt,循环执行一次步骤2至4,直到管理员结束运行为止。
优选的,所述步骤1的聚类操作中,还包含以下步骤:
步骤1-1:对所提取的历史在线时间数据,将所有同一设备断开连接后又在30分钟内重新连入的历史在线时间数据合并为1条,从而对历史在线时间数据进行修正;
步骤1-2:对当前连入设备,找到尽可能多的存在30分钟以上的相同连入时段的历史在线时间数据,利用这些数据计算出该设备的1个常用时段信息,使其满足下述公式,完成后,剔除这些已经被使用过历史在线时间数据;
其中,COP为常用在线时段,|COP|为常用在线时段的时长,COPbegin和COPend分别为常用在线时段的起始时间与结束时间,HOPbegin和HOPend分别为符合要求的历史在线时间数据的开始时间与结束时间所构成的一维向量,λ为宽容因子;
步骤1-3:重复步骤1-2,直至当前操作中所提取的符合要求的历史在线时间数据条数小于α条,或生成的COP数据已经达到3条,α为最小生成限额;
步骤1-4:对所有连入网络的设备,利用其第一条COP数据所对应的坐标值(x,y)进行表示,并采用标准DBSCAN聚类算法进行聚类操作,由COP数据向坐标值(x,y)转换方法按如下公式计算:
其中,COP为常用在线时段,COPbegin和COPend分别为常用在线时段的起始时间与结束时间;
步骤1-5:首次聚类完成后,将元素数量少于ε个的类解散,被解散的元素改为利用其第二条COP数据所对应的坐标值(x,y)表示,并对所有元素重新采用标准DBSCAN聚类算法进行聚类操作;
步骤1-6:第二次聚类完成后,再次将元素数量少于ε个的类解散;被解散的元素改为利用其第三条COP数据所对应的坐标值(x,y)表示,并对所有元素重新采用标准DBSCAN聚类算法进行聚类操作;
步骤1-7:将元素数量少于ε个的类全部合并为一类,称该类为包容类,称包容类以外的所有类为真实类,此时便得到最终聚类结果。
优选的,所述核心交换机一、核心交换机二和各个区域的采用OSPF协议互联;所述OSPF协议工作流程包括交换阶段、发现阶段和选择阶段。
优选的,所述汇聚层在选取设备上选择三层交换机;所述三层交换机增强网络整体吞吐量和传输性能。
优选的,所述网络互联设备包括路由器、防火墙、网关、双绞线和光纤;
所述路由器用来连接处于不同网段的设备;
所述防火墙通过将内部网络和外部公网相隔开的一种技术,这种技术可以保护内外部网络的安全性;
所述网关是网络互联设备不可或缺的一部分,网关一般是每台计算机专有的;所述双绞线依据确定的规范标准所构成的网络传输媒介;
所述光纤是一种传输介质,一般大多以有机玻璃或者玻璃为常见材质;通过所述网络互联设备连接校园网的各个区域。
本发明的有益效果:1、通过在网络中的接入层设备上使用DHCP Snooping技术来保护网络内部每个用户的数据安全,进而更好的保证了整个校园网的网络安全与稳定。
2、通过使用DHCP技术,使DHCP客户端的移动设备就能自主连接DHCP服务器并从新的子网中获取新的IP地址,解决手动配置带来工程量大而繁琐的问题和人工避免不了的出错;有效地缓解了IP地址资源紧缺的问题。
3、通过报文泛洪防护模块对恶意设备进行动态限速控制,当设备发生危险网络行为时将被计入设备危险值,当危险值超出上限后并逐步增加时,设备将被逐步缩减允许使用的最大带宽直到限制为0;随着时间推移,危险值也将逐步回落以保障用户的正常使用。
附图说明
图1为本发明结构图。
具体实施方式
以下结合附图对本发明做进一步概况。
一种校园网安全架构,包括接入层、汇聚层、核心层和网络互联设备;该校园网安全架构包含有网络监护系统;
接入层,作为用户连接网络的直接端口,用于让本地网络能够接入工作站点;
汇聚层,为接入层实现数据传送、管理和汇聚的同时还选择性限制接入层设备对核心层设备的直接访问,将接入层的节点与核心层的节点关联起来,成为网络中接入层设备和核心层相互交流通信的桥梁;
核心层,作为整个网络结构设计的核心和纽带用于实现核心区域网络之间的高质量传输,核心层是整个网络的高速信息交互的主体是网络数据流的最终承载者;
网络互联设备包括核心交换机一、核心交换机二、路由器、防火墙、网关、双绞线和光纤,核心交换机一和核心交换机二作为整个校园网的核心设备,路由器用来连接处于不同网段的设备;防火墙通过将内部网络和外部公网相隔开的一种技术,这种技术可以保护内外部网络的安全性;网关是网络互联设备不可或缺的一部分,网关一般是每台计算机专有的;在网络设备上配置即可实现。网关在具有路由功能的同时还可以将使用不同通信协议的不同网络段之间的数据信息进行转化翻译,从而达到不同网络段之间的数据流通。双绞线依据确定的规范标准所构成的网络传输媒介连接校园网的各个区域;双绞线是运用于局域网中最广泛的传输介质,它可以实现在100米以内范围的数据传输。光纤是一种传输介质,一般大多以有机玻璃或者玻璃为常见材质;光纤相比于双绞线的传输带宽更高,当前技术发展水平下可以达到1000Mbps,传输距离可以长达20公里以上;传输方式分可以分成单模光纤和多模光纤两种,它的优点在于抗干扰能力强而且传输中的衰减率低。
通过网络互联设备连接校园网的各个区域;整个网络互联设备和各个区域之间采用OSPF协议互联;OSPF协议互联工作流程如下:
交换阶段:只要有OSPF进程的设备都会输出Hello包,从所有允许OSPF协议的端口传播出去,通过交换Hello包中的详细数据信息确定是否建立邻接关系;
发现阶段:只有顺利形成邻接关系的路由器才能进入到路由发现阶段,在该阶段每台路由器都会发出描述链路状态的通告给已经建立邻居状态的设备,邻居路由器会将收到的这些LSA添加到链路状态数据库中并通过LSA泛洪散播到整个OSPF区域最终让区域中的路由器具有相同的链路状态数据库;
选择阶段:每台路由器都把自己看做起点就像树的根一样,通过运用SPF算法来衡量它所到达的区域中每个角落的最短路径最终构成自己的路由表项。
网络监护系统,通过使用DHCP中DHCP Snooping技术实现DHCP客户从真实的DHCP服务器上获得到正确的地址,防止网络中作假的服务器攻击;所述DHCP Snooping通过建立和更新DHCP Snooping绑定表项来过剔除掉网络中不安全区域的DHCP信息,确保网络的正常运行安全;DHCP包括DHCP客户端和DHCP服务器;所述DHCP服务器连接在核心交换机一和核心交换机二上,同时核心交换机一和核心交换机二上配置DHCP Snooping来保证安全终端的接入以及终端可以获取到安全地址。
DHCP客户端主动发起整个DHCP进程的,DHCP客户端和DHCP服务器的进程利用DHCP报文作为载体获取配置的相关信息;DHCP服务器是整个DHCP活动的支持者,它利用DHCP的各个报文与网络中的不同类型的DHCP客户端进行交流,为DHCP客户端的不同要求提供IP地址分发、网络相关参数配置。
DHCP Snooping包括信任功能、分析功能和DHCP Option82功能;
信任功能过监听交换机的接口实现的,信任功能可以确保DHCP客户端是从网络中真实的服务器上收到网络配置数据,一般将与真实服务器直接连接的接口配置成信任端口目的是为了DHCP Snooping设备能够成功转达DHCP服务器的回应信号,DHCP Snooping设备上的信任端口可以接受所有类型的DHCP报文但是非信任端口唯一的功能就是用来输出DHCP报文却不会处理来自该端口任何类型的DHCP报文;例如网络中出现攻击者自己伪造的DHCP服务器时DHCP Snooping设备上的非信任端口就会起作用,这时该端口不会接受来自假冒服务器的应答报文这样一来就不会让DHCP客户端分配到来源于假冒服务器的错误IP地址,最终保持网络中合法用户与合法服务器的正常通信。
分析功能,在网络的交互过程中设备会自动生成用来记录DHCP客户端IP地址、对应的MAC地址和所连接的端口以及端口的相关属性等数据的DHCP Snooping绑定表,交换机会在接收到DHCP报文时分析报文实际的来源接口和DHCP Snooping绑定表中的接口字段,如果不相匹配该报文则不会被转发;特别的是DHCP Snooping绑定表中的表项是可以通过人为增加的,如果该DHCP Snooping设备被重启那么所有信息就会自动丢弃但是可以利用将DHCP Snooping绑定表存储在ftp服务器上,只要设备重启后就可以直接从DHCP服务器上获取数据不再需要重新绑定。
DHCP Option82功能是指DHCP服务器和DHCP客户端处于不同子网下时,DHCP客户端就必须通过DHCP中继设备来帮助DHCP服务器传递DHCP报文从而使得DHCP客户端得到合法正确的IP地址,那么在DHCP中继设备转发DHCP报文前,想要更加精确了解到DHCP客户端的具体信息可以通过插入82选项来实现,该选项中存储着DHCP客户端的具体的物理位置信息,网络管理员利用这一点来保证DHCP客户端的安全性;Option82中最常用的两个数据是Circuit ID以及Remote ID,一个是用来标明DHCP客户端的接口、VLAN的信息,而另一个则是用来标明DHCP客户端连接设备的MAC地址;DHCP服务器和DHCP报文若有一方不支持Option82选项,这两种情况对于DHCP服务器的基本功能没有影响,但是如果想要Option82带来一些拓展性功能,则需要保证DHCP服务器支持Option82功能的同时DHCP报文中也要插入Option82信息。
DHCP服务器利用DHCP的各个报文与网络中的不同类型的DHCP客户端进行交流,为DHCP客户端的不同要求提供IP地址分发、网络相关参数配置,工作过程如下:
创建地址池:DHCP服务器上可以创建一个或者多个不同的DHCP地址池,当DHCP服务器响应到来源于网络中用户的DHCP请求时,DHCP服务器就会从自身的地址池里面拿出当前闲置的IP地址以及相关的配置数据回复给请求的DHCP客户端;DHCP地址池有静态地址池和动态地址池两种类型,动态地址池根据管理员配置的指定地址范围内向网络中的DHCP客户端分配合适的地址,静态地址池则是只存在一个地址的地址池通常用于特殊的某个DHCP客户端确定的地址;
处理客户端的DHCP报文:
接入层:当DHCP服务器接收到来自DHCP客户端的DHCP-DISCOVER报文时首先会检索自身的地址池看存不存在可以下放的IP地址,如果存在可用的IP地址就会响应DHCP客户端的请求并为其绑定租期和配置其他网络参数,如果不存在就不会作出回应;
汇聚层:DHCP服务器会根据接收到的REQUEST报文类型的不同作出不同的处理,如果接收到的REQUEST的报文中包含Option54标识就表示该报文是用来响应DHCP-OFFER报文的;
核心层:当DHCP客户端发现来自DHCP服务器分发的IP地址出现问题导致无法访问网络就会向DHCP服务器发起DHCP-DECLINE信号,DHCP服务器就会将该报文内的IP地址打个标记。
核心交换机一:如果DHCP客户端是自己主动向服务器发送DHCP-RELESE报文,实质上就表明该用户不想要使用这个下放的IP地址,DHCP服务器接收到这种报文后会给该IP地址做标记并维持与客户端的初始状态;
核心交换机二:DHCP服务器会处理始发地是客户端的DHCP-INFORM数据包,该数据包是DHCP客户端向DHCP服务器索取其他相关网络配置数据的报文。
处理客户端的续租请求:DHCP客户端会主动向DHCP服务器请求继续租用之前下放的IP地址,DHCP服务器向DHCP客户端回应确认信号的同时更新租期表项,这种情况是建立在检验通过的状态下。
设置保留地址:DHCP服务器会将协议中不被分配的地址段设定为保留地址,保留地址将不会参加整个地址池的分配活动,但是该参数在IP地址池中会有记录显示。
检测分配的IP地址情况:当DHCP服务器给用户下放IP地址后会检索该IP地址是不是已经被网络中的其他设备占用,这时DHCP服务器就会发出ICMP数据包对所分配的IP地址检测,若在规定的时间期限内没有接收到应答,那么DHCP服务器会尝试再次发出ICMP数据包,达到限定的次数却没有收到应答就表明该分配的IP地址是可使用的。
DHCP Snooping内部设置有服务器的假冒防护模块、ARP中间人攻击防护模块、IP/MAC地址伪造防护模块和报文泛洪防护模块;
服务器的假冒防护模块:DHCP客户端模块主动发起整个DHCP进程的,DHCP客户端和DHCP服务器的进程利用DHCP报文作为载体获取配置的相关信息,工作过程如下:
DHCP客户端IP地址的获取:DHCP客户端向网络中发出DISCOVER的广播信号来寻找合适的DHCP服务器,DHCP服务器感应到该信号后会用DHCP-OFFER信息报文来回馈DHCP客户端,随后DHCP客户端会通过发送REQUEST的报文的形式散播到整个区域中,这时DHCP服务器就会给DHCP客户端回复一个包含提供的IP地址和其他配置信息的确认信号,如果当下下放的地址可以使用用户就会把该地址和网卡做捆绑;
更新DHCP客户端租期:DHCP客户端获取到的IP地址的时长都是有所规定的,DHCP服务器会自动将分配的该地址没收一旦租赁期到达时间上限值,那么只有DHCP客户端更新IP地址的租期才可以持续使用之前分配到的地址,其中具体的操作流程为:
接入层在IP地址的租赁时长超过一半的时候DHCP客户端会给DHCP服务器发送DHCP-REQUEST的一对一的信息,接收到DHCP-REQUEST信号后DHCP服务器就会使用一对一的DHCP-ACK这一确认信号告知DHCP客户端,告诉DHCP客户端IP地址的租期是否完成了更新;
汇聚层:如果上述操作的要求续租不成功了,DHCP客户端会尝试过段时间再次向网络中发送广播的DHCP-REQUEST信号,接收到DHCP-REQUEST信号后服务器就会用单播的DHCP-ACK这一确认信号回复DHCP客户端,目的是为了告诉DHCP客户端IP地址的租期是否完成了更新。
ARP中间人攻击防护模块:采用ARP入侵检测功能和DHCP Snooping绑定表有机结合的方式来检测ARP报文是否安全;将ARP报文中的源IP地址以及它对应的MAC地址条目与DHCP Snooping绑定表中的条目进行一对一的对比,对比结果一致并且ARP报文接口的详细信息也与DHCP Snooping绑定表中相符,从DHCP服务器接收到的ARP报文才能被正常转发,其他情况下ARP报文将被认为非法并且直接丢弃。
IP/MAC地址伪造防护模块:采取IP过滤的安全特性,保证经过某个特定接口的源地址与DHCP Snooping绑定表项中的源地址相一致,当接口上启用了IP过滤功能后设备会发送ACL列表来过滤除DHCP报文以外的其他报文,随后将进行比较,如果一致就可以正常转发否则会被丢弃。
报文泛洪防护模块采用将受到攻击的接口短暂关闭来对DHCP报文进行限速;通过以下步骤进行实现:
步骤1:当有新的设备成功连入网络时,提取该设备的MAC地址与设备名称信息,从系统中以日为单位提取一个自然月内该设备的历史在线时间数据,利用这些数据对当前连入设备进行聚类操作;
聚类操作中,还包含以下步骤:
步骤1-1:对所提取的历史在线时间数据,将所有同一设备断开连接后又在30分钟内重新连入的历史在线时间数据合并为1条,从而对历史在线时间数据进行修正;
步骤1-2:对当前连入设备,找到尽可能多的存在30分钟以上的相同连入时段的历史在线时间数据,利用这些数据计算出该设备的1个常用时段信息,使其满足下述公式,完成后,剔除这些已经被使用过历史在线时间数据;
其中,COP为常用在线时段,|COP|为常用在线时段的时长,COPbegin和COPend分别为常用在线时段的起始时间与结束时间,HOPbegin和HOPend分别为符合要求的历史在线时间数据的开始时间与结束时间所构成的一维向量,λ为宽容因子;
步骤1-3:重复步骤7-2,直至当前操作中所提取的符合要求的历史在线时间数据条数小于α条,或生成的COP数据已经达到3条,α为最小生成限额;
步骤1-4:对所有连入网络的设备,利用其第一条COP数据所对应的坐标值(x,y)进行表示,并采用标准DBSCAN聚类算法进行聚类操作,由COP数据向坐标值(x,y)转换方法按如下公式计算:
其中,COP为常用在线时段,COPbegin和COPend分别为常用在线时段的起始时间与结束时间;
步骤1-5:首次聚类完成后,将元素数量少于ε个的类解散,被解散的元素改为利用其第二条COP数据所对应的坐标值(x,y)表示,并对所有元素重新采用标准DBSCAN聚类算法进行聚类操作;
步骤1-6:第二次聚类完成后,再次将元素数量少于ε个的类解散;被解散的元素改为利用其第三条COP数据所对应的坐标值(x,y)表示,并对所有元素重新采用标准DBSCAN聚类算法进行聚类操作;
步骤1-7:将元素数量少于ε个的类全部合并为一类,称该类为包容类,称包容类以外的所有类为真实类,此时便得到最终聚类结果
步骤2:在每一类中,利用下述公式为每台设备计算危险值:
其中,DV(t)为当前类在t时刻的类危险值,DVi (t)为类内编号为i的设备的危险值,ξC为类内扩散因子,用来表示类内元素危险值的扩张性,ADVi (t)、FDVi (t)分别为用户行为危险值和请求频次危险值,Vj和ξAj分别表示第j种用户危险行为及其对应的危险系数,F和ξF分别表示用户在Δt时间内重复发送请求的频次及其危险系数,ρ为衰弱因子,在衰弱因子的影响下,将随着时间推移,危险值的计算将更加注重相近时间内发生的危险行为,之前发生的危险行为带来的影响将被逐步削减;
步骤3:遍历所有设备,当有设备的危险值从高于临界值DVmax1转为低于DVmax1时,将其移出危险类并取消限速,留待下次重新聚类;当有某台设备的危险值从低于临界值DVmax1转为高于临界值DVmax1时,将该元素转移到危险类中,并按下述公式对该设备进行限速操作:
其中,S表示该危险设备被限制后允许使用的最大网络带宽,DVmax1和DVmax2分别为最低危险临界值和最高危险临界值,σ为落差限速因子,表示进入危险状态后的设备带宽受限程度,当S=0时,该设备发出的任意请求都会被拒绝;
步骤4:对于每个类,利用下述公式更新该类的类危险值:
其中,μ为残留因子,用来表示上一时刻类危险值转移到下一时刻的留存程度;
步骤5:每隔间隔时间Δt,循环执行一次步骤2至4,直到管理员结束运行为止。
以上所述仅为本发明的实施方式而已,并不用于限制本发明。对于本领域技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原理内所作的任何修改、等同替换、改进等,均应包括在本发明的权利要求范围之内。
Claims (10)
1.一种校园网安全架构,所述该校园网安全架构包含有网络监护系统;其特征在于:所述该架构包括接入层、汇聚层、核心层和网络互联设备;
所述接入层,作为用户连接网络的直接端口,用于让本地网络能够接入工作站点;
所述汇聚层,为接入层实现数据传送、管理和汇聚的同时还选择性限制接入层设备对核心层设备的直接访问,将接入层的节点与核心层的节点关联起来,成为网络中接入层设备和核心层相互交流通信的桥梁;
所述核心层,作为整个网络结构设计的核心和纽带用于实现核心区域网络之间的高质量传输,核心层是整个网络的高速信息交互的主体是网络数据流的最终承载者;
所述网络互联设备包括核心交换机一和核心交换机二,核心交换机一和核心交换机二作为整个校园网的核心设备,连接校园网的各个区域;
所述网络监护系统,通过使用DHCP中DHCP Snooping技术实现DHCP客户从真实的DHCP服务器上获得到正确的地址,防止网络中作假的服务器攻击;所述DHCP Snooping通过建立和更新DHCP Snooping绑定表项来过剔除掉网络中不安全区域的DHCP信息,确保网络的正常运行安全;
所述DHCP包括DHCP客户端和DHCP服务器;所述DHCP服务器连接在核心交换机一和核心交换机二上,同时核心交换机一和核心交换机二上配置DHCP Snooping来保证安全终端的接入以及终端可以获取到安全地址。
2.根据权利要求1所述的一种校园网安全架构,其特征在于:所述DHCP Snooping内部设置有服务器的假冒防护模块;所述服务器的假冒防护模块采用DHCP Snooping信任端口的安全特性来控制DHCP服务器报文的来源信息,信任端口与真实服务器的接口直接或者间接性接触,不信任端口不可能与真实服务器接口连接,信任端口对DHCP报文正常传递,不信任端口则会将收到的报文剔除。
3.根据权利要求1所述的一种校园网安全架构,其特征在于:所述DHCP Snooping内部设置有ARP中间人攻击防护模块;所述ARP中间人攻击防护模块采用ARP入侵检测功能和DHCP Snooping绑定表有机结合的方式来检测ARP报文是否安全;将ARP报文中的源IP地址以及它对应的MAC地址条目与DHCP Snooping绑定表中的条目进行一对一的对比,对比结果一致并且ARP报文接口的详细信息也与DHCP Snooping绑定表中相符,从服务器接收到的ARP报文才能被正常转发,其他情况下ARP报文将被认为非法并且直接丢弃。
4.根据权利要求1所述的一种校园网安全架构,其特征在于:所述DHCP Snooping内部设置有IP/MAC地址伪造防护模块;所述IP/MAC地址伪造防护模块采取IP过滤的安全特性,保证经过某个特定接口的源地址与DHCP Snooping绑定表项中的源地址相一致,当接口上启用了IP过滤功能后设备会发送ACL列表来过滤除DHCP报文以外的其他报文,随后将进行比较,如果一致就可以正常转发否则会被丢弃。
5.根据权利要求1所述的一种校园网安全架构,其特征在于:所述DHCP Snooping内部设置有报文泛洪防护模块;所述报文泛洪防护模块采用将受到攻击的接口短暂关闭来对DHCP报文进行限速。
6.根据权利要求5所述的一种校园网安全架构,其特征在于:所述报文泛洪防护模块通过以下步骤实现报文防护:
步骤1:当有新的设备成功连入网络时,提取该设备的MAC地址与设备名称信息,从系统中以日为单位提取一个自然月内该设备的历史在线时间数据,利用这些数据对当前连入设备进行聚类操作;
步骤2:在每一类中,利用下述公式为每台设备计算危险值:
其中,DV(t)为当前类在t时刻的类危险值,DVi (t)为类内编号为i的设备的危险值,ξC为类内扩散因子,用来表示类内元素危险值的扩张性,ADVi (t)、FDVi (t)分别为用户行为危险值和请求频次危险值,Vj和ξAj分别表示第j种用户危险行为及其对应的危险系数,F和ξF分别表示用户在Δt时间内重复发送请求的频次及其危险系数,ρ为衰弱因子,在衰弱因子的影响下,将随着时间推移,危险值的计算将更加注重相近时间内发生的危险行为,之前发生的危险行为带来的影响将被逐步削减;
步骤3:遍历所有设备,当有设备的危险值从高于临界值DVmax1转为低于DVmax1时,将其移出危险类并取消限速,留待下次重新聚类;当有某台设备的危险值从低于临界值DVmax1转为高于临界值DVmax1时,将该元素转移到危险类中,并按下述公式对该设备进行限速操作:
其中,S表示该危险设备被限制后允许使用的最大网络带宽,DVmax1和DVmax2分别为最低危险临界值和最高危险临界值,σ为落差限速因子,表示进入危险状态后的设备带宽受限程度,当S=0时,该设备发出的任意请求都会被拒绝;
步骤4:对于每个类,利用下述公式更新该类的类危险值:
其中,μ为残留因子,用来表示上一时刻类危险值转移到下一时刻的留存程度;
步骤5:每隔间隔时间Δt,循环执行一次步骤2至4,直到管理员结束运行为止。
7.根据权利要求6所述的一种校园网安全架构,其特征在于所述步骤1的聚类操作中,还包含以下步骤:
步骤1-1:对所提取的历史在线时间数据,将所有同一设备断开连接后又在30分钟内重新连入的历史在线时间数据合并为1条,从而对历史在线时间数据进行修正;
步骤1-2:对当前连入设备,找到尽可能多的存在30分钟以上的相同连入时段的历史在线时间数据,利用这些数据计算出该设备的1个常用时段信息,使其满足下述公式,完成后,剔除这些已经被使用过历史在线时间数据;
其中,COP为常用在线时段,|COP|为常用在线时段的时长,COPbegin和COPend分别为常用在线时段的起始时间与结束时间,HOPbegin和HOPend分别为符合要求的历史在线时间数据的开始时间与结束时间所构成的一维向量,λ为宽容因子;
步骤1-3:重复步骤8-2,直至当前操作中所提取的符合要求的历史在线时间数据条数小于α条,或生成的COP数据已经达到3条,α为最小生成限额;
步骤1-4:对所有连入网络的设备,利用其第一条COP数据所对应的坐标值(x,y)进行表示,并采用标准DBSCAN聚类算法进行聚类操作,由COP数据向坐标值(x,y)转换方法按如下公式计算:
其中,COP为常用在线时段,COPbegin和COPend分别为常用在线时段的起始时间与结束时间;
步骤1-5:首次聚类完成后,将元素数量少于ε个的类解散,被解散的元素改为利用其第二条COP数据所对应的坐标值(x,y)表示,并对所有元素重新采用标准DBSCAN聚类算法进行聚类操作;
步骤1-6:第二次聚类完成后,再次将元素数量少于ε个的类解散;被解散的元素改为利用其第三条COP数据所对应的坐标值(x,y)表示,并对所有元素重新采用标准DBSCAN聚类算法进行聚类操作;
步骤1-7:将元素数量少于ε个的类全部合并为一类,称该类为包容类,称包容类以外的所有类为真实类,此时便得到最终聚类结果。
8.根据权利要求1所述的一种校园网安全架构,其特征在于:所述核心交换机一、核心交换机二和各个区域的采用OSPF协议互联;所述OSPF协议工作流程包括交换阶段和发现阶段。
9.根据权利要求1所述的一种校园网安全架构,其特征在于:所述汇聚层在选取设备上选择三层交换机;所述三层交换机增强网络整体吞吐量和传输性能。
10.根据权利要求1所述的一种校园网安全架构,其特征在于:所述网络互联设备包括路由器、防火墙、网关、双绞线和光纤;
所述路由器用来连接处于不同网段的设备;
所述防火墙通过将内部网络和外部公网相隔开的一种技术,这种技术可以保护内外部网络的安全性;
所述网关是网络互联设备不可或缺的一部分,网关一般是每台计算机专有的;所述双绞线依据确定的规范标准所构成的网络传输媒介;所述光纤是一种传输介质,一般大多以有机玻璃或者玻璃为常见材质;通过所述网络互联设备连接校园网的各个区域。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210308398.XA CN114710388B (zh) | 2022-03-25 | 2022-03-25 | 一种校园网安全系统及网络监护系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210308398.XA CN114710388B (zh) | 2022-03-25 | 2022-03-25 | 一种校园网安全系统及网络监护系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114710388A true CN114710388A (zh) | 2022-07-05 |
CN114710388B CN114710388B (zh) | 2024-01-23 |
Family
ID=82170428
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210308398.XA Active CN114710388B (zh) | 2022-03-25 | 2022-03-25 | 一种校园网安全系统及网络监护系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114710388B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115174301A (zh) * | 2022-07-06 | 2022-10-11 | 广东石油化工学院 | 基于mstp+vrrp组网技术的校园网 |
Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1855926A (zh) * | 2005-04-29 | 2006-11-01 | 华为技术有限公司 | 实现dhcp地址安全分配的方法及系统 |
CN101635628A (zh) * | 2009-08-28 | 2010-01-27 | 杭州华三通信技术有限公司 | 一种防止arp攻击的方法及装置 |
CN102130831A (zh) * | 2011-02-18 | 2011-07-20 | 李金方 | 基于SuperVLAN技术的网络组网方法 |
CN102438028A (zh) * | 2012-01-19 | 2012-05-02 | 神州数码网络(北京)有限公司 | 一种防止dhcp服务器欺骗的方法、装置及系统 |
CN102437966A (zh) * | 2012-01-18 | 2012-05-02 | 神州数码网络(北京)有限公司 | 基于二层dhcp snooping三层交换系统及方法 |
CN102647292A (zh) * | 2012-03-20 | 2012-08-22 | 北京大学 | 一种基于半监督神经网络模型的入侵检测方法 |
CN103095722A (zh) * | 2013-02-01 | 2013-05-08 | 华为技术有限公司 | 一种更新网络安全表的方法及网络设备、dhcp服务器 |
CN203883860U (zh) * | 2014-05-16 | 2014-10-15 | 北京北控电信通科技发展有限公司 | 一种校园网的网络通信架构 |
CN105827648A (zh) * | 2016-05-18 | 2016-08-03 | 霍焕潇 | 基于ip-mac实名绑定的网络准入控制系统及控制方法 |
CN111953552A (zh) * | 2019-05-14 | 2020-11-17 | 华为技术有限公司 | 数据流的分类方法和报文转发设备 |
-
2022
- 2022-03-25 CN CN202210308398.XA patent/CN114710388B/zh active Active
Patent Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1855926A (zh) * | 2005-04-29 | 2006-11-01 | 华为技术有限公司 | 实现dhcp地址安全分配的方法及系统 |
CN101635628A (zh) * | 2009-08-28 | 2010-01-27 | 杭州华三通信技术有限公司 | 一种防止arp攻击的方法及装置 |
CN102130831A (zh) * | 2011-02-18 | 2011-07-20 | 李金方 | 基于SuperVLAN技术的网络组网方法 |
CN102437966A (zh) * | 2012-01-18 | 2012-05-02 | 神州数码网络(北京)有限公司 | 基于二层dhcp snooping三层交换系统及方法 |
CN102438028A (zh) * | 2012-01-19 | 2012-05-02 | 神州数码网络(北京)有限公司 | 一种防止dhcp服务器欺骗的方法、装置及系统 |
CN102647292A (zh) * | 2012-03-20 | 2012-08-22 | 北京大学 | 一种基于半监督神经网络模型的入侵检测方法 |
CN103095722A (zh) * | 2013-02-01 | 2013-05-08 | 华为技术有限公司 | 一种更新网络安全表的方法及网络设备、dhcp服务器 |
CN203883860U (zh) * | 2014-05-16 | 2014-10-15 | 北京北控电信通科技发展有限公司 | 一种校园网的网络通信架构 |
CN105827648A (zh) * | 2016-05-18 | 2016-08-03 | 霍焕潇 | 基于ip-mac实名绑定的网络准入控制系统及控制方法 |
CN111953552A (zh) * | 2019-05-14 | 2020-11-17 | 华为技术有限公司 | 数据流的分类方法和报文转发设备 |
Non-Patent Citations (1)
Title |
---|
欧坤等: "园区网中DHCP应用的安全研究与仿真", 《惠州学院学报(自然科学版)》, vol. 38, no. 6 * |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115174301A (zh) * | 2022-07-06 | 2022-10-11 | 广东石油化工学院 | 基于mstp+vrrp组网技术的校园网 |
Also Published As
Publication number | Publication date |
---|---|
CN114710388B (zh) | 2024-01-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8966608B2 (en) | Preventing spoofing | |
CN104506511A (zh) | 一种sdn网络动态目标防御系统及方法 | |
RU2006143768A (ru) | Ароматическое ограничение сетевого нарушителя | |
JP2002508121A (ja) | 通信システムに関する方法および装置 | |
Hijazi et al. | Address resolution protocol spoofing attacks and security approaches: A survey | |
CN104270325B (zh) | CPE设备基于Linux实现公网接入用户数限制的系统及方法 | |
CN111654485B (zh) | 一种客户端的认证方法以及设备 | |
CN106027491B (zh) | 基于隔离ip地址的独立链路式通信处理方法和系统 | |
CN107070790B (zh) | 一种路由学习方法及路由设备 | |
KR101064382B1 (ko) | 통신 네트워크에서의 arp 공격 차단 시스템 및 방법 | |
Mahmood et al. | Network security issues of data link layer: An overview | |
CN109936515A (zh) | 接入配置方法、信息提供方法及装置 | |
CN114710388B (zh) | 一种校园网安全系统及网络监护系统 | |
CN104253798A (zh) | 一种网络安全监控方法和系统 | |
KR100856918B1 (ko) | IPv6 기반 네트워크상에서의 IP 주소 인증 방법 및IPv6 기반 네트워크 시스템 | |
JP2012070225A (ja) | ネットワーク中継装置及び転送制御システム | |
JP4750750B2 (ja) | パケット転送システムおよびパケット転送方法 | |
CN114338218B (zh) | PPPoE拨号的方法 | |
JP2006094416A (ja) | 加入者回線収容装置およびパケットフィルタリング方法 | |
JP4641848B2 (ja) | 不正アクセス探索方法及び装置 | |
EP2671401B1 (en) | Verification in wireless local area network | |
EP3407553A1 (en) | Pppoe message transmission method and pppoe server | |
CN114629725A (zh) | 一种用户域哑终端管理方法、装置、系统和存储介质 | |
CN102136985A (zh) | 一种接入方法和接入设备 | |
CN103491081B (zh) | 检测dhcp攻击源的方法和装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |