CN115412427A - 一种路由器安全监测预警系统 - Google Patents

一种路由器安全监测预警系统 Download PDF

Info

Publication number
CN115412427A
CN115412427A CN202211044572.0A CN202211044572A CN115412427A CN 115412427 A CN115412427 A CN 115412427A CN 202211044572 A CN202211044572 A CN 202211044572A CN 115412427 A CN115412427 A CN 115412427A
Authority
CN
China
Prior art keywords
bgp
message
module
routing
early warning
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202211044572.0A
Other languages
English (en)
Inventor
张如慧
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Meizhou Kejie Circuit Co ltd
Original Assignee
Meizhou Kejie Circuit Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Meizhou Kejie Circuit Co ltd filed Critical Meizhou Kejie Circuit Co ltd
Priority to CN202211044572.0A priority Critical patent/CN115412427A/zh
Publication of CN115412427A publication Critical patent/CN115412427A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0631Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/02Topology update or discovery
    • H04L45/04Interdomain routing, e.g. hierarchical routing

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种路由器安全监测预警系统,包括获取模块、分析模块、通讯服务器、监控中心、异常路由行为判定模块、报警终端;其中,所述获取模块用于获取BGP协议报文;所述分析模块与获取模块通信连接,通过分析模块对获取的BGP协议报文进行分析;一方面提取网络可达信息生成并维护动态BGP路由表;另一方面直接或者通过查询基本信息库回答异常路由行为判定模块的询问;所述通讯服务器与分析模块通信连接,分析后的BGP协议报文传输到通讯服务器;本发明的有益效果是:通过异常路由行为判定模块判定,可发现路由异常,并向用户提供预警信息;通过监控中心实现对监测数据多维度、多角度的分析及处理;为隐患排查提供数据支撑。

Description

一种路由器安全监测预警系统
技术领域
本发明属于路由器监测技术领域,具体涉及一种路由器安全监测预警系统。
背景技术
路由器的第一个作用就是联通不同的网络,可以将网络从逻辑上进行合理划分,让网络信号更加分散;路由器是一种计算机网络传输设备,可以将数据打包起来根据不同的传输途径传输到目的地;一般家庭、寝室或者事业单位安装宽带都需要路由器来将网络WIFI信号分布到更大的空间,供更多的人来连接WIFI;路由器可以根据网络系统的运行情况来自动调整网络数据的传输途径,借以协调各个网络之间和谐工作。
由于路由本身协议的脆弱性,通过对路由系统的破坏和入侵可以实现对用户网络的破坏和对用户流量的操纵;非法入侵者可以通过高强度地注入大量路由信息,使路由器内存耗尽,路由系统崩溃;也可以通过注入伪造和非法的路由信息,发起路由劫持攻击,窃取数据,并可对数据进行修改。
目前对路由器的安全监测主要采用基于BGP更新报文、BGP路由表的监测,监测技术的实时性差,部署、监测、告警周期长。
发明内容
本发明的目的在于提供一种路由器安全监测预警系统,及时发现路由器的异常行为,及时向用户发送预警信息。
为实现上述目的,本发明提供如下技术方案:一种路由器安全监测预警系统,包括获取模块、分析模块、通讯服务器、监控中心、异常路由行为判定模块、报警终端;其中,
所述获取模块用于获取BGP协议报文;
所述分析模块与获取模块通信连接,通过分析模块对获取的BGP协议报文进行分析;一方面提取网络可达信息生成并维护动态BGP路由表;另一方面直接或者通过查询基本信息库回答异常路由行为判定模块的询问;
所述通讯服务器与分析模块通信连接,分析后的BGP协议报文传输到通讯服务器;
所述监控中心与通讯服务器通信连接,通过监控中心实现对监测数据多维度、多角度的分析及处理;为隐患排查提供数据支撑;
所述异常路由行为判定模块与监控中心通信连接,通过异常路由行为判定模块判定路由异常;
所述报警终端与异常路由行为判定模块通信连接,通过报警终端查看异常路由器情况。
作为本发明的一种优选的技术方案,所述BGP协议报文对等体的建立、更新和删除交互过程包括5种报文、6种状态机和5个原则。
作为本发明的一种优选的技术方案,所述5种报文分别为:
Open报文:用于建立BGP对等体连接;
Update报文:用于在对等体之间交换路由信息;
Notification报文:用于中断BGP连接;
Keepalive报文:用于保持BGP连接;
Route-refresh报文:用于在改变路由策略后请求对等体重新发送路由信息,只有支持路由刷新(Route-refresh)能力的BGP设备会发送和响应此报文。
作为本发明的一种优选的技术方案,所述6种状态机分别为:空闲、连接、活跃、Open报文已发送、Open报文已确认和连接已建立。
作为本发明的一种优选的技术方案,所述5个原则分别为:从IBGP对等体获得的BGP路由,BGP设备只发布给它的EBGP对等体;从EBGP对等体获得的BGP路由,BGP设备发布给它所有EBGP和IBGP对等体;当存在多条到达同一目的地址的有效路由时,BGP设备只将最优路由发布给对等体;路由更新时,BGP设备只发送更新的BGP路由;所有对等体发送的路由,BGP设备都会接收。
作为本发明的一种优选的技术方案,所述BGP协议报文获取方法如下:获取被监测网络的数据包,采取先入先出队列的报文队列管理方法,过滤后的报文,放到队列里面进行排队,由其他处理模块负责取走队列里面最早进入的报文。
作为本发明的一种优选的技术方案,所述异常路由行为判定模块根据规则库向协议报文与分析模块一一发出询问路由行为是否符合规则,如果符合规则库里一条或多条规则,则断言存在路由异常。
作为本发明的一种优选的技术方案,所述报警终端包括移动端、PC端,增加使用的便利。
与现有技术相比,本发明的有益效果是:
1.通过异常路由行为判定模块判定,可发现路由异常,并向用户提供预警信息;
2.通过监控中心实现对监测数据多维度、多角度的分析及处理;为隐患排查提供数据支撑
附图说明
图1为本发明的系统图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例1
请参阅图1,本发明提供一种技术方案:一种路由器安全监测预警系统,包括获取模块、分析模块、通讯服务器、监控中心、异常路由行为判定模块、报警终端;其中,
获取模块用于获取BGP协议报文;
分析模块与获取模块通信连接,通过分析模块对获取的BGP协议报文进行分析;一方面提取网络可达信息生成并维护动态BGP路由表;另一方面直接或者通过查询基本信息库回答异常路由行为判定模块的询问;
通讯服务器与分析模块通信连接,分析后的BGP协议报文传输到通讯服务器;
监控中心与通讯服务器通信连接,通过监控中心实现对监测数据多维度、多角度的分析及处理;为隐患排查提供数据支撑;
异常路由行为判定模块与监控中心通信连接,通过异常路由行为判定模块判定路由异常;
报警终端与异常路由行为判定模块通信连接,通过报警终端查看异常路由器情况。
本实施例中,优选的,BGP协议报文对等体的建立、更新和删除交互过程包括5种报文、6种状态机和5个原则。
本实施例中,优选的,5种报文分别为:
Open报文:用于建立BGP对等体连接;
Update报文:用于在对等体之间交换路由信息;
Notification报文:用于中断BGP连接;
Keepalive报文:用于保持BGP连接;
Route-refresh报文:用于在改变路由策略后请求对等体重新发送路由信息,只有支持路由刷新(Route-refresh)能力的BGP设备会发送和响应此报文。
本实施例中,优选的,6种状态机分别为:空闲、连接、活跃、Open报文已发送、Open报文已确认和连接已建立,空闲状态是BGP初始状态,在空闲状态下,BGP拒绝邻居发送的连接请求,只有在收到本设备的Start事件后,BGP才开始尝试和其它BGP对等体进行TCP连接,并转至连接状态;在连接状态下,BGP启动连接重传定时器,等待TCP完成连接;在活跃状态下,BGP总是在试图建立TCP连接,如果TCP连接成功,那么BGP向对等体发送Open报文,关闭连接重传定时器,并转至报文已发送状态,如果TCP连接失败,那么BGP停留在活跃状态,如果连接重传定时器超时,BGP仍没有收到BGP对等体的响应,那么BGP转至连接状态;在Open报文已发送状态下,BGP等待对等体的Open报文,并对收到的Open报文中的AS号、版本号、认证码等进行检查,如果收到的Open报文正确,那么BGP发送Keepalive报文,并转至Open报文已确认状态,如果发现收到的Open报文有错误,那么BGP发送Notification报文给对等体,并转至空闲状态,在Open报文已确认状态下,BGP等待Keepalive或Notification报文,如果收到Keepalive报文,则转至连接已建立状态,如果收到连接已建立报文,则转至空心状态,在连接已建立状态下,BGP可以和对等体交换Update、Keepalive、Route-refresh报文和Notification报文。
本实施例中,优选的,5个原则分别为:从IBGP对等体获得的BGP路由,BGP设备只发布给它的EBGP对等体;从EBGP对等体获得的BGP路由,BGP设备发布给它所有EBGP和IBGP对等体;当存在多条到达同一目的地址的有效路由时,BGP设备只将最优路由发布给对等体;路由更新时,BGP设备只发送更新的BGP路由;所有对等体发送的路由,BGP设备都会接收。
本实施例中,优选的,BGP协议报文获取方法如下:获取被监测网络的数据包,采取先入先出队列的报文队列管理方法,过滤后的报文,放到队列里面进行排队,由其他处理模块负责取走队列里面最早进入的报文。
本实施例中,优选的,异常路由行为判定模块根据规则库向协议报文与分析模块一一发出询问路由行为是否符合规则,如果符合规则库里一条或多条规则,则断言存在路由异常,定义的规则:被监测网络的BGP路由表项中包含的IP前缀,如果属于RFC1918中定义的私有地址块,则判定该路由为“含私有地址”异常;被监测网络的BGP路由表项中包含的IP前缀,如果不属于基本信息库中定义的已分配IP地址块,则判定该路由为“含未分配地址”异常;被监测网络的BGP路由表项中包含的IP前缀,如果不符合基本信息库定义的自治系统―IP地址映射关系,则判定该路由为“未授权使用地址块”异常,可能存在伪造路由和路由劫持攻击;被监测网络的BGP路由表项中AS-PATH包含的自治系统号,如果属于RFC1930中定义的私有自治系统号,则判定该路由为“含私有AS号”异常;被监测网络的BGP路由表项中AS-PATH包含的自治系统号,如果出现重复且重复的自治系统号在AS-PATH中不连续,则判定该路由为“含AS环”异常;如果同一地址:前缀有多个发起者,则判定该路由具有潜在MOAS冲突异常;具有潜在MOAS冲突的网络前缀,如果基本信息库中的自治系统号与IP地址块的映射信息表明,发生冲突的自治系统之间没有存在隶属关系或未对该网络前缀进行授权,则判定该路由为路由劫持异常。
本实施例中,优选的,报警终端包括移动端,增加使用的便利。
实施例2
请参阅图1,实施例2与实施例1的区别如下:报警终端包括PC端,增加使用的便利;可将数据存入后端数据库系统,随时可对历史数据进行查询、对比,利用大数据对路由器安全进行判断。
尽管已经示出和描述了本发明的实施例,详见上述详尽的描述,对于本领域的普通技术人员而言,可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型,本发明的范围由所附权利要求及其等同物限定。

Claims (8)

1.一种路由器安全监测预警系统,其特征在于:包括获取模块、分析模块、通讯服务器、监控中心、异常路由行为判定模块、报警终端;其中,
所述获取模块用于获取BGP协议报文;
所述分析模块与获取模块通信连接,通过分析模块对获取的BGP协议报文进行分析;
所述通讯服务器与分析模块通信连接,分析后的BGP协议报文传输到通讯服务器;
所述监控中心与通讯服务器通信连接,通过监控中心实现对监测数据多维度、多角度的分析及处理;
所述异常路由行为判定模块与监控中心通信连接,通过异常路由行为判定模块判定路由异常;
所述报警终端与异常路由行为判定模块通信连接,通过报警终端查看异常路由器情况。
2.根据权利要求1所述的一种路由器安全监测预警系统,其特征在于:所述BGP协议报文对等体的建立、更新和删除交互过程包括5种报文、6种状态机和5个原则。
3.根据权利要求2所述的一种路由器安全监测预警系统,其特征在于:所述5种报文分别为:Open报文;Update报文;Notification报文;Keepalive报文:Route-refresh报文。
4.根据权利要求2所述的一种路由器安全监测预警系统,其特征在于:所述6种状态机分别为:空闲、连接、活跃、Open报文已发送、Open报文已确认和连接已建立。
5.根据权利要求2所述的一种路由器安全监测预警系统,其特征在于:所述5个原则分别为:从IBGP对等体获得的BGP路由,BGP设备只发布给它的EBGP对等体;从EBGP对等体获得的BGP路由,BGP设备发布给它所有EBGP和IBGP对等体;当存在多条到达同一目的地址的有效路由时,BGP设备只将最优路由发布给对等体;路由更新时,BGP设备只发送更新的BGP路由;所有对等体发送的路由,BGP设备都会接收。
6.根据权利要求1所述的一种路由器安全监测预警系统,其特征在于:所述BGP协议报文获取方法如下:获取被监测网络的数据包,采取先入先出队列的报文队列管理方法,过滤后的报文,放到队列里面进行排队,由其他处理模块负责取走队列里面最早进入的报文。
7.根据权利要求1所述的一种路由器安全监测预警系统,其特征在于:所述异常路由行为判定模块根据规则库向协议报文与分析模块一一发出询问路由行为是否符合规则,如果符合规则库里一条或多条规则,则断言存在路由异常。
8.根据权利要求1所述的一种路由器安全监测预警系统,其特征在于:所述报警终端包括移动端、PC端。
CN202211044572.0A 2022-08-30 2022-08-30 一种路由器安全监测预警系统 Pending CN115412427A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211044572.0A CN115412427A (zh) 2022-08-30 2022-08-30 一种路由器安全监测预警系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211044572.0A CN115412427A (zh) 2022-08-30 2022-08-30 一种路由器安全监测预警系统

Publications (1)

Publication Number Publication Date
CN115412427A true CN115412427A (zh) 2022-11-29

Family

ID=84162389

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211044572.0A Pending CN115412427A (zh) 2022-08-30 2022-08-30 一种路由器安全监测预警系统

Country Status (1)

Country Link
CN (1) CN115412427A (zh)

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102271080A (zh) * 2010-06-03 2011-12-07 杭州华三通信技术有限公司 防止bgp会话在业务变更时断开的方法及其适用的系统
CN102394794A (zh) * 2011-11-04 2012-03-28 中国人民解放军国防科学技术大学 防范边界网关协议路由劫持的协同监测方法
CN103532776A (zh) * 2013-09-30 2014-01-22 广东电网公司电力调度控制中心 业务流量检测方法及系统
CN104579814A (zh) * 2013-10-29 2015-04-29 国家计算机网络与信息安全管理中心 一种路由信息分析、采集装置及其方法
CN108449210A (zh) * 2018-03-21 2018-08-24 中国人民解放军陆军炮兵防空兵学院郑州校区 一种eigrp路由网路故障监测系统
US20210250228A1 (en) * 2020-02-12 2021-08-12 Ciena Corporation Identifying Border Gateway Protocol (BGP) anomalies at scale
CN114301823A (zh) * 2021-12-29 2022-04-08 中国电信股份有限公司 一种路由通告方法、装置、设备及存储介质

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102271080A (zh) * 2010-06-03 2011-12-07 杭州华三通信技术有限公司 防止bgp会话在业务变更时断开的方法及其适用的系统
CN102394794A (zh) * 2011-11-04 2012-03-28 中国人民解放军国防科学技术大学 防范边界网关协议路由劫持的协同监测方法
CN103532776A (zh) * 2013-09-30 2014-01-22 广东电网公司电力调度控制中心 业务流量检测方法及系统
CN104579814A (zh) * 2013-10-29 2015-04-29 国家计算机网络与信息安全管理中心 一种路由信息分析、采集装置及其方法
CN108449210A (zh) * 2018-03-21 2018-08-24 中国人民解放军陆军炮兵防空兵学院郑州校区 一种eigrp路由网路故障监测系统
US20210250228A1 (en) * 2020-02-12 2021-08-12 Ciena Corporation Identifying Border Gateway Protocol (BGP) anomalies at scale
CN114301823A (zh) * 2021-12-29 2022-04-08 中国电信股份有限公司 一种路由通告方法、装置、设备及存储介质

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
刘欣;朱培栋;米强;杨明军;: "基于规则的域间路由系统异常检测", 国防科技大学学报, no. 03, pages 71 - 76 *
李凯;朱培栋;刘功杰;: "域间路由安全实时监测系统的设计与实现", 计算机工程, no. 18, pages 166 - 168 *

Similar Documents

Publication Publication Date Title
US8245300B2 (en) System and method for ARP anti-spoofing security
US7499395B2 (en) BFD rate-limiting and automatic session activation
US6415321B1 (en) Domain mapping method and system
JP3824274B2 (ja) 不正接続検知システム及び不正接続検知方法
US20020073338A1 (en) Method and system for limiting the impact of undesirable behavior of computers on a shared data network
US7854000B2 (en) Method and system for addressing attacks on a computer connected to a network
US7567573B2 (en) Method for automatic traffic interception
WO2005036831A1 (ja) フレーム中継装置
JP2014517593A (ja) 遮断サーバを用いたスプーフィング攻撃に対する防御方法
CN108810008B (zh) 传输控制协议流量过滤方法、装置、服务器及存储介质
EP2218214B1 (en) Network location service
CN102377568A (zh) 网络中继装置及帧的中继的控制方法
JP2020500374A (ja) 通信ネットワーク用の方法及び電子監視ユニット
CN108289044B (zh) 数据转发方法、确定静态路由的链路状态方法及网络设备
KR20090090641A (ko) 능동형 보안 감사 시스템
Wang et al. Efficient and low‐cost defense against distributed denial‐of‐service attacks in SDN‐based networks
CN110611683A (zh) 一种攻击源告警的方法和系统
CN106254433B (zh) 一种建立tcp通信连接的方法及装置
JP2018073397A (ja) 通信装置
CN115412427A (zh) 一种路由器安全监测预警系统
CN114710388B (zh) 一种校园网安全系统及网络监护系统
US8239930B2 (en) Method for controlling access to a network in a communication system
CN113055427B (zh) 一种基于业务的服务器集群接入方法及装置
CN107835188A (zh) 一种基于sdn的设备安全接入方法及系统
JP2003258910A (ja) 不正アクセス経路解析システム及び不正アクセス経路解析方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20221129