CN117439825B - 面向家庭路由器的网络入侵防护方法及系统 - Google Patents

面向家庭路由器的网络入侵防护方法及系统 Download PDF

Info

Publication number
CN117439825B
CN117439825B CN202311766761.3A CN202311766761A CN117439825B CN 117439825 B CN117439825 B CN 117439825B CN 202311766761 A CN202311766761 A CN 202311766761A CN 117439825 B CN117439825 B CN 117439825B
Authority
CN
China
Prior art keywords
router
abnormal
cascade
interrupt signal
networking structure
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202311766761.3A
Other languages
English (en)
Other versions
CN117439825A (zh
Inventor
陈杰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Jiangsu Heguan Information Technology Co ltd
Original Assignee
Jiangsu Heguan Information Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Jiangsu Heguan Information Technology Co ltd filed Critical Jiangsu Heguan Information Technology Co ltd
Priority to CN202311766761.3A priority Critical patent/CN117439825B/zh
Publication of CN117439825A publication Critical patent/CN117439825A/zh
Application granted granted Critical
Publication of CN117439825B publication Critical patent/CN117439825B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请公开了面向家庭路由器的网络入侵防护方法及系统,涉及网络安全技术领域,所述方法包括:获取路由器组网结构;识别路由器组网结构,获取路由级联关系;对路由器组网结构进行数据监测,当识别到被入侵的异常路由器时,获取异常路由器处于路由器组网结构中的级联节点;根据级联节点判断异常路由器是否为级联位置类型,启动相应的防护模式;根据防护模式生成第一中断信号、第二中断信号和第一切换信号,根据第一中断信号、第二中断信号和第一切换信号对路由器组网结构进行防护处理。进而达成灵活防护、主动防护、适用于内部威胁的技术效果。

Description

面向家庭路由器的网络入侵防护方法及系统
技术领域
本发明涉及网络安全技术领域,特别涉及面向家庭路由器的网络入侵防护方法及系统。
技术背景
随着网络通信技术的发展和互联网的广泛应用,网络连接与网络连接设备已走进千家万户,日渐成为生活中不可或缺的一部分。然而面对日趋复杂的家庭网络结构,现有的依靠防火墙的家庭路由器防护方法存在防护模式单一、防护被动、不适用于内部威胁的技术问题。
发明内容
本申请的目的在于提供面向家庭路由器的网络入侵防护方法及系统。用以解决现有技术中防护模式单一、防护被动、不适用于内部威胁的技术问题。
鉴于以上技术问题,本申请提供了面向家庭路由器的网络入侵防护方法及系统。
第一方面,本申请提供了面向家庭路由器的网络入侵防护方法,其中,所述方法包括:
获取路由器组网结构,其中,所述路由器组网结构通过对目标家庭通信环境进行识别获取;通过对所述路由器组网结构进行识别,获取路由级联关系;通过对所述路由器组网结构进行数据监测,当识别到被入侵的异常路由器时,根据所述路由级联关系获取所述异常路由器处于所述路由器组网结构中的级联节点;根据所述级联节点判断所述异常路由器是否为级联中间端,若所述异常路由器为级联中间端,定位所述异常路由器的上一级路由器和下一级路由器,启动第一防护模式;根据所述第一防护模式生成第一中断信号、第二中断信号和第一切换信号,其中,所述第一中断信号用于控制所述异常路由器与所述上一级路由器的通信中断,所述第二中断信号用于控制所述异常路由器与下一级路由器的通信中断,所述第一切换信号用于建立所述上一级路由器和所述下一级路由器的通信协议;根据所述第一中断信号、所述第二中断信号和所述第一切换信号对所述路由器组网结构进行防护处理。
第二方面,本申请还提供了面向家庭路由器的网络入侵防护系统,其中,所述系统包括:
组网结构提取模块,所述组网结构提取模块用于获取路由器组网结构,其中,所述路由器组网结构通过对目标家庭通信环境进行识别获取;级联分析模块,所述级联分析模块用于通过对所述路由器组网结构进行识别,获取路由级联关系;数据监测模块,所述数据监测模块用于通过对所述路由器组网结构进行数据监测,当识别到被入侵的异常路由器时,根据所述路由级联关系获取所述异常路由器处于所述路由器组网结构中的级联节点;异常分析模块,所述异常分析模块用于根据所述级联节点判断所述异常路由器是否为级联中间端,若所述异常路由器为级联中间端,定位所述异常路由器的上一级路由器和下一级路由器,启动第一防护模式;控制决策模块,所述控制决策模块用于根据所述第一防护模式生成第一中断信号、第二中断信号和第一切换信号,其中,所述第一中断信号用于控制所述异常路由器与所述上一级路由器的通信中断,所述第二中断信号用于控制所述异常路由器与下一级路由器的通信中断,所述第一切换信号用于建立所述上一级路由器和所述下一级路由器的通信协议;防护处置模块,所述防护处置模块用于根据所述第一中断信号、所述第二中断信号和所述第一切换信号对所述路由器组网结构进行防护处理。
本申请实施例中提供的一个或多个技术方案,至少具有如下技术效果或优点:
通过获取路由器组网结构;识别路由器组网结构,获取路由级联关系;对路由器组网结构进行数据监测,当识别到被入侵的异常路由器时,获取异常路由器处于路由器组网结构中的级联节点;根据级联节点判断异常路由器是否为级联中间端,若异常路由器为级联中间端,定位异常路由器的上一级路由器和下一级路由器,启动第一防护模式;根据第一防护模式生成第一中断信号、第二中断信号和第一切换信号,其中,第一中断信号用于控制异常路由器与上一级路由器的通信中断,第二中断信号用于控制异常路由器与下一级路由器的通信中断,第一切换信号用于建立上一级路由器和下一级路由器的通信协议;根据第一中断信号、第二中断信号和第一切换信号对路由器组网结构进行防护处理。进而达成灵活防护、主动防护、适用于内部威胁的技术效果。
上述说明仅是本申请技术方案的概述,为了能够更清楚阐明本申请的技术手段,进而可依照说明书的内容予以实施,并且为了让本申请的上述及其他目的、特征和优点能够更明显易懂,以下特举本申请的具体实施方式。
附图说明
本发明的实施例及后述简单说明结合图示予以说明,附图说明如下:
图1为本申请面向家庭路由器的网络入侵防护方法的流程示意图;
图2为本申请面向家庭路由器的网络入侵防护方法中获取所述异常路由器处于所述路由器组网结构中的级联节点的流程示意图;
图3为本申请面向家庭路由器的网络入侵防护系统的结构示意图。
附图标记说明:组网结构提取模块11、级联分析模块12、数据监测模块13、异常分析模块14、控制决策模块15、防护处置模块16。
具体实施方式
本申请通过提供面向家庭路由器的网络入侵防护方法和系统,解决了现有技术面临的防护模式单一、防护被动、不适用于内部威胁的技术问题。
本技术实施例中的方案,为解决上述问题,所采用的整体思路如下:
首先,获取路由器组网结构;然后,识别路由器组网结构,获取路由级联关系;接着,对路由器组网结构进行数据监测,当识别到被入侵的异常路由器时,获取异常路由器处于路由器组网结构中的级联节点;而后,根据级联节点判断异常路由器是否为级联中间端,若异常路由器为级联中间端,定位异常路由器的上一级路由器和下一级路由器,启动第一防护模式;进而,根据第一防护模式生成第一中断信号、第二中断信号和第一切换信号;最后,根据第一中断信号、第二中断信号和第一切换信号对路由器组网结构进行防护处理。进而达成灵活防护、主动防护、适用于内部威胁的技术效果。
为更好理解上述技术方案,下面将结合说明书附图和具体的实施方式来对上述技术方案进行详细的说明,需要说明的是,所描述的实施例仅是本申请的一部分实施例,而不是本申请的全部实施例,应理解,本申请不受这里描述的示例实施例的限制。基于本发明的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。另外还需要说明的是,为了便于描述,附图中仅示出了与本发明相关的部分而非全部。
实施例一:如图1所示,本申请提供了面向家庭路由器的网络入侵防护方法,所述方法包括:
S100:获取路由器组网结构,其中,所述路由器组网结构通过对目标家庭通信环境进行识别获取;
可选的,路由器的配置模式可分为路由模式、中继模式、桥接模式、AP模式,其中,路由模式下,路由器充当网络的中心,执行路由功能,将数据包从一个网络传输到另一个网络,起到网关的作用,适用于创建和管理局域网(LAN)和广域网(WAN)之间的网络连接,支持NAT(网络地址转换)功能,允许多个设备共享一个公共IP地址。中继模式下路由器对网络信号进行增强,将信号从一个路由器传输到另一个路由器,扩大信号的覆盖范围。桥接模式将路由器转变为一个网络桥接设备,将两个或多个不同的网络连接在一起,使其表现为一个单一的网络。用于扩展局域网,如将两个物理位置之间的局域网连接在一起,使它们看起来像一个网络。AP模式将路由器配置为无线接入点,允许无线设备连接到现有的有线局域网中。
可选的,根据家庭网络的需求差距和家庭环境的不同,家庭路由器组网结构也各不相同。对目标家庭通信环境进行识别,包括使用网络扫描工具,对目标家庭网络进行扫描,获取目标网络的IP地址范围实现;检测目标网络中的所有设备,包括路由器、计算机、智能手机、智能家居设备等。这通过检测设备的MAC地址或其他唯一标识符来实现;网络拓扑分析,分析网络设备之间的连接方式,以确定路由器和其他设备之间的关系。这涉及网络设备之间的通信数据包分析,及网络拓扑映射工具使用;协议分析:分析网络数据包中的协议信息,以确定哪些设备充当路由器或接入点,并了解它们之间的通信方式。连接方式:了解设备之间的连接方式,包括有线连接(以太网)、无线连接(Wi-Fi)以及任何其他连接方式。
S200:通过对所述路由器组网结构进行识别,获取路由级联关系;
可选的,路由级联关系中由多级路由组成,包括主路由、多个层级的次级路由。其中,主路由为根节点,主路由下级联的多个次级路由为叶节点。
进一步的,通过对所述路由器组网结构进行识别,步骤S200包括:
S201:通过对所述路由器组网结构进行识别,若所述路由器组网结构中包括接入控制器,获取所述接入控制器连接的并联路由器;
S202:当所述并联路由器中任一路由器识别到被入侵时,基于被入侵路由器向所述接入控制器发送入侵预警信息,根据入侵预警信息对所述被入侵路由器下达中断信号,根据所述中断信号控制所述被入侵路由器与所述接入控制器之间的通信中断。
可选的,接入控制器包括处于桥接或中继模式下的路由器、交换机等。多个并联路由器共同连接至接入控制器的多个物理端口上,多个物理端口与多个逻辑端口一一对应。多个并联路由器通过接入控制器实现并联路由器下子网间的相互通信及与上级路由的通信。
可选的,并联路由器中任一路由器识别到被入侵,生成预警信息,其中预警信息被入侵路由器的MAC地址、物理端口地址、逻辑端口地址等。
可选的,接入控制器根据中断信号控制被入侵路由器与接入控制器之间的通信中断。通信中断的实现方式包括中断通信通道、阻止流量或断开连接来实现。
进一步的,通过对所述路由器组网结构进行识别,步骤S200还包括:
S203:对所述并联路由器的网段进行识别,获取所述并联路由器中与所述被入侵路由器处于同一网段的标识路由器;
S204:基于所述被入侵路由器,生成访问拦截指令,根据所述访问拦截指令当所述标识路由器中任一路由器接收到来自所述被入侵路由器的访问请求信息时进行信息拦截。
可选的,并联路由器具备IP地址与子网掩码,其中,IP地址又分为A类IP地址、B类IP地址、C类IP地址等。对于家庭网络,常用的IP地址为C类IP地址,C类地址的表示范围为:192.0.0.0~223.255.255.255,默认子网掩码为:255.255.255.0。用前三组数字表示网络的地址,最后一组数字作为网络上的主机地址。示例性的,若子网掩码相同的并联路由器得网络地址相同,即前三组数字相同,则并联路由器位于相同的网段。
可选的,通过IP地址与子网掩码进行运算,可以获得并联路由器的网络号,并通过网络号比较判断并联路由器是否为与被入侵路由器处于同一网段的标识路由器。
示例性的,对于IPV4地址,通过IP地址与子网掩码进行运算,获得网络号。首先,将的IP地址与子网掩码转换为二进制;接着,将两者相“与(and)"运算,得到二进制的网络号;然后,将二进制的网络号转换回十进制,获取网络号。
可选的,访问拦截指令包括被入侵路由器的逻辑端口、MAC地址、IP地址等。
S300:通过对所述路由器组网结构进行数据监测,当识别到被入侵的异常路由器时,根据所述路由级联关系获取所述异常路由器处于所述路由器组网结构中的级联节点;
可选的,路由器组网结构中的级联节点包括中间端、初始端、末尾端。其中,初始端是数据传输链的起始点。在路由器级联中,初始端是第一个路由器,从这里开始数据传输。数据从初始端进入级联网络,然后通过级联路由器传输到中间端或末尾端。中间端是数据传输链中位于初始端和末尾端之间的路由器或节点。它用于中继数据,将数据从初始端传输到末尾端或进行末尾端之间的数据传输。在级联路由器结构中,中间端通常会对数据进行处理、路由和转发。末尾端是数据传输链的终点,在级联路由器结构中,末尾端通常是最后一个路由器,负责将数据传输到最终目标设备或网络。
进一步的,如图2所示,所述获取所述异常路由器处于所述路由器组网结构中的级联节点,步骤S300包括:
S310:若所述异常路由器不为级联中间端,根据所述级联节点判断所述异常路由器是否为级联初始端;
S320:若所述异常路由器为级联初始端,启动第二防护模式,根据所述第二防护模式,生成第一中断信号和第一切换信号,根据所述第一中断信号控制所述异常路由器与下一级路由器的通信中断,根据所述第一切换信号建立所述下一级路由器与光纤设备的通信协议;
S330:根据所述第一中断信号和第一切换信号对所述路由器组网结构进行防护处理。
可选的,根据第一中断信号,控制异常路由器与下一级路由器的通信中断。包括停止或限制数据流经异常路由器的传输、关闭异常路由器与外部网络的连接、断开异常路由器的电源等。
可选的,级联初始端设置有备用路由器,第二防护模式时,切换至备用路由器,并与备用路由器建立通信协议。其中,备用路由器与异常路由器同为级联初始端。
可选的,异常路由器设置有通信旁路,通信旁路与异常路由器其他组件、接口隔离,下一级路由器可通过通信旁路与外部网络直通连接。其中,通信旁路包括电信号旁路与光信号旁路。
通过第一切换信号建立下一级路由器与光纤设备的通信协议,实现了入侵防护的同时,维持网络正常使用的技术效果。
进一步的,如图2所示,所述获取所述异常路由器处于所述路由器组网结构中的级联节点,步骤S300还包括:
S340:若所述异常路由器不为级联初始端,根据所述级联节点判断所述异常路由器是否为级联末尾端;
S350:若所述异常路由器为级联末尾端,启动第三防护模式,根据所述第三防护模式,生成第一中断信号,根据所述第一中断信号控制所述异常路由器与上一级路由器的通信中断;
S360:根据所述第一中断信号对所述路由器组网结构进行防护处理。
可选的,若异常路由器为级联末尾端,基于第三防护模式,激活第一信号,其中,第一中断信号包括异常路由器的级联等级、IP地址、MAC地址等。
进一步的,当识别到被入侵的异常路由器时,步骤S300还包括:
S301:接收所述异常路由器的攻击数据集,对所述攻击数据集进行风险等级识别,输出第一风险指标;
S302:获取所述异常路由器的安全防护指标,其中,所述安全防护指标用于表示所述异常路由器的安全防护配置对应的防护等级;
S303:当所述第一风险指标大于所述安全防护指标时,启动第一防护模式/第二防护模式/第三防护模式。
其中,获取异常路由器的安全防护指标包括,记录防火墙规则和策略;检测是否配备入侵检测系统(IDS)和入侵防御系统(IPS)。记录其配置、规则和性能参数;检查路由器上的ACL配置,包括允许和拒绝的访问、访问规则等;记录异常路由器的固件和操作系统版本,并查看是否及时进行了安全更新和补丁程序的安装等。
进一步的,对所述攻击数据集进行风险等级识别,输出第一风险指标,步骤S301还包括:
S3011:调用历史攻击数据样本,对所述历史攻击数据样本进行识别,输出标识所述异常路由器受到攻击后扩散速率的攻击扩散度,标识所述异常路由器受到攻击后通信影响程度的攻击影响度以及标识所述异常路由器所受攻击类型的攻击罕见度;
S3012:利用所述攻击扩散度、所述攻击影响度和所述攻击罕见度作为训练数据,并输入预先训练好的风险等级识别网络层,根据所述风险等级识别网络层进行风险等级识别,输出所述第一风险指标。
可选的,攻击扩散度、攻击影响度和攻击罕见度数据带有时序标识,根据时序标识,关联存储攻击扩散度、攻击影响度和攻击罕见度数据。
可选的,风险等级识别网络层的训练,首先对攻击扩散度、攻击影响度和攻击罕见度数据的数据组进行风险等级标识。其中,风险等级标识通过网络安全专家系统给出,风险等级标识包括多个子标识,多个子标识与攻击扩散度、攻击影响度和攻击罕见度一一对应。
可选的,风险等级识别网络层包括多个子网络,多个子网络的输入端与风险等级识别网络层的头节点通信连接。头节点包括一接收端口与多个发送端口,其中,发送端口具有攻击参数类型标识,多个子网络与多个发送端口一一对应,用于分别接收攻击扩散度、攻击影响度和攻击罕见度数据。此外,风险等级识别网络层还包括一尾节点,尾节点与多个子网络的输出端全链接,用于根据多个子网络的输出结果进行风险等级识别,获取第一风险指标。
可选的,基于知识蒸馏原理,获取风险等级识别网络层,知识蒸馏是指利用大模型学习到的知识去指导小模型训练,使得小模型具有与大模型相当的性能,但是参数数量大幅降低,从而实现模型压缩与加速,达到优化模型的目的。可以在损失较小网络精度的情况下,大幅减小网络参数,提升模型效率和响应速度。
具体的,中知识蒸馏中,高性能的复杂网络称为教师网络,对应未压缩的源风险等级识别网络层,低性能的简单网络称为学生网络,对应知识蒸馏后的风险等级识别网络层。学生网络通过知识蒸馏学习教师网络提取到的风险等级特征,即教师网络的Softmax输出(Soft-target),提升学生网络的风险等级识别精度,使其具有和教师网络相近的性能,从而实现了对风险等级识别网络的压缩。
S400:根据所述级联节点判断所述异常路由器是否为级联中间端,若所述异常路由器为级联中间端,定位所述异常路由器的上一级路由器和下一级路由器,启动第一防护模式;
可选的,判断所述异常路由器是否为级联中间端,还包括判断路由器的数据流向、查看异常路由器的配置文件、分析整个网络拓扑等。示例性的,首先,获取与异常路由器直接通信连接的设备,获取邻域设备池;接着,选取邻域设备池中任意一设备作为第一检测设备,并提取第一检测设备的MAC地址;而后,基于第一检测设备的MAC地址,遍历邻域设备池中其他设备的MAC地址表进行地址匹配,获取MAC地址匹配结果;进而,重复选取第一检测设备,重复遍历匹配,获取多个地址匹配结果,获取地址匹配结果集。若地址匹配结果集中存在第一检测设备的MAC地址在邻域设备池中其他设备的MAC地址表中无匹配结果,则异常路由器是级联中间端。
S500:根据所述第一防护模式生成第一中断信号、第二中断信号和第一切换信号,其中,所述第一中断信号用于控制所述异常路由器与所述上一级路由器的通信中断,所述第二中断信号用于控制所述异常路由器与下一级路由器的通信中断,所述第一切换信号用于建立所述上一级路由器和所述下一级路由器的通信协议;
可选的,异常路由器设置有通信旁路,通信旁路与异常路由器其他组件、借口隔离,上一级路由器与上一级可通过通信旁路直通连接。其中,通信旁路包括电信号旁路与光信号旁路。
S600:根据所述第一中断信号、所述第二中断信号和所述第一切换信号对所述路由器组网结构进行防护处理。
可选的,路由器组网中的多个路由器具有安全控制组件,安全控制组件通过安全控制接口或端口与本申请的面向家庭路由器的网络入侵防护系统通信连接。
综上所述,本发明所提供的面向家庭路由器的网络入侵防护方法具有如下技术效果:
通过获取路由器组网结构;识别路由器组网结构,获取路由级联关系;对路由器组网结构进行数据监测,当识别到被入侵的异常路由器时,获取异常路由器处于路由器组网结构中的级联节点;根据级联节点判断异常路由器是否为级联中间端,若异常路由器为级联中间端,定位异常路由器的上一级路由器和下一级路由器,启动第一防护模式;根据第一防护模式生成第一中断信号、第二中断信号和第一切换信号,其中,第一中断信号用于控制异常路由器与上一级路由器的通信中断,第二中断信号用于控制异常路由器与下一级路由器的通信中断,第一切换信号用于建立上一级路由器和下一级路由器的通信协议;根据第一中断信号、第二中断信号和第一切换信号对路由器组网结构进行防护处理。进而达成灵活防护、主动防护、适用于内部威胁的技术效果。
实施例二:基于与所述实施例中面向家庭路由器的网络入侵防护方法同样的构思,如图3所示,本申请还提供了面向家庭路由器的网络入侵防护系统,所述系统包括:
组网结构提取模块11,用于获取路由器组网结构,其中,所述路由器组网结构通过对目标家庭通信环境进行识别获取;
级联分析模块12,用于通过对所述路由器组网结构进行识别,获取路由级联关系;
数据监测模块13,用于通过对所述路由器组网结构进行数据监测,当识别到被入侵的异常路由器时,根据所述路由级联关系获取所述异常路由器处于所述路由器组网结构中的级联节点;
异常分析模块14,用于根据所述级联节点判断所述异常路由器是否为级联中间端,若所述异常路由器为级联中间端,定位所述异常路由器的上一级路由器和下一级路由器,启动第一防护模式;
控制决策模块15,用于根据所述第一防护模式生成第一中断信号、第二中断信号和第一切换信号,其中,所述第一中断信号用于控制所述异常路由器与所述上一级路由器的通信中断,所述第二中断信号用于控制所述异常路由器与下一级路由器的通信中断,所述第一切换信号用于建立所述上一级路由器和所述下一级路由器的通信协议;
防护处置模块16,用于根据所述第一中断信号、所述第二中断信号和所述第一切换信号对所述路由器组网结构进行防护处理。
进一步的,级联分析模块12还包括:
并联识别单元,用于通过对所述路由器组网结构进行识别,若所述路由器组网结构中包括接入控制器,获取所述接入控制器连接的并联路由器;
并联阻断单元,用于当所述并联路由器中任一路由器识别到被入侵时,基于被入侵路由器向所述接入控制器发送入侵预警信息,根据入侵预警信息对所述被入侵路由器下达中断信号,根据所述中断信号控制所述被入侵路由器与所述接入控制器之间的通信中断。
进一步的,级联分析模块12还包括:
网段分析单元,用于对所述并联路由器的网段进行识别,获取所述并联路由器中与所述被入侵路由器处于同一网段的标识路由器;
标识拦截单元,用于基于所述被入侵路由器,生成访问拦截指令,根据所述访问拦截指令当所述标识路由器中任一路由器接收到来自所述被入侵路由器的访问请求信息时进行信息拦截。
进一步的,数据监测模块13还包括:
节点研判单元,用于若所述异常路由器不为级联中间端,根据所述级联节点判断所述异常路由器是否为级联初始端;若所述异常路由器不为级联初始端,根据所述级联节点判断所述异常路由器是否为级联末尾端;
模式选择单元,用于若所述异常路由器为级联初始端,启动第二防护模式,根据所述第二防护模式,生成第一中断信号和第一切换信号,根据所述第一中断信号控制所述异常路由器与下一级路由器的通信中断,根据所述第一切换信号建立所述下一级路由器与光纤设备的通信协议;若所述异常路由器为级联末尾端,启动第三防护模式,根据所述第三防护模式,生成第一中断信号,根据所述第一中断信号控制所述异常路由器与上一级路由器的通信中断;
防护执行单元,用于根据所述第一中断信号和第一切换信号对所述路由器组网结构进行防护处理;根据所述第一中断信号对所述路由器组网结构进行防护处理。
进一步的,数据监测模块13还包括:
风险评估单元,用于接收所述异常路由器的攻击数据集,对所述攻击数据集进行风险等级识别,输出第一风险指标;
指标读取单元,用于获取所述异常路由器的安全防护指标,其中,所述安全防护指标用于表示所述异常路由器的安全防护配置对应的防护等级;
风险防护激活单元,用于当所述第一风险指标大于所述安全防护指标时,启动第一防护模式/第二防护模式/第三防护模式。
防护执行单元,用于根据所述第一中断信号对所述路由器组网结构进行防护处理。
进一步的,风险评估单元还包括:
攻击样本分析单元,用于调用历史攻击数据样本,对所述历史攻击数据样本进行识别,输出标识所述异常路由器受到攻击后扩散速率的攻击扩散度,标识所述异常路由器受到攻击后通信影响程度的攻击影响度以及标识所述异常路由器所受攻击类型的攻击罕见度;
风险识别单元,用于利用所述攻击扩散度、所述攻击影响度和所述攻击罕见度作为训练数据,并输入预先训练好的风险等级识别网络层,根据所述风险等级识别网络层进行风险等级识别,输出所述第一风险指标。
应当理解的是,本说明书中所提及的实施例重点在其与其他实施例的不同,前述实施例一中的具体实施例,同样适用于实施例二所述的面向家庭路由器的网络入侵防护系统,为了说明书的简洁,在此不做进一步的展开。
应当理解的是,本申请所公开的实施例及上述说明,可以使得本领域的技术人员运用本申请实现本申请。同时本申请不被限制于上述所提到的这部分实施例,对本申请提到的实施例进行显而易见的修改、变种,也属于本申请原理范围之内。

Claims (6)

1.面向家庭路由器的网络入侵防护方法,其特征在于,所述方法包括:
获取路由器组网结构,其中,所述路由器组网结构通过对目标家庭通信环境进行识别获取;
通过对所述路由器组网结构进行识别,获取路由级联关系;
通过对所述路由器组网结构进行数据监测,当识别到被入侵的异常路由器时,根据所述路由级联关系获取所述异常路由器处于所述路由器组网结构中的级联节点;
根据所述级联节点判断所述异常路由器是否为级联中间端,若所述异常路由器为级联中间端,定位所述异常路由器的上一级路由器和下一级路由器,启动第一防护模式;
根据所述第一防护模式生成第一中断信号、第二中断信号和第一切换信号,其中,所述第一中断信号用于控制所述异常路由器与所述上一级路由器的通信中断,所述第二中断信号用于控制所述异常路由器与下一级路由器的通信中断,所述第一切换信号用于建立所述上一级路由器和所述下一级路由器的通信协议;
根据所述第一中断信号、所述第二中断信号和所述第一切换信号对所述路由器组网结构进行防护处理;
获取所述异常路由器处于所述路由器组网结构中的级联节点,包括:
若所述异常路由器不为级联中间端,根据所述级联节点判断所述异常路由器是否为级联初始端;
若所述异常路由器为级联初始端,启动第二防护模式,根据所述第二防护模式,生成第一中断信号和第一切换信号,根据所述第一中断信号控制所述异常路由器与下一级路由器的通信中断,根据所述第一切换信号建立所述下一级路由器与光纤设备的通信协议;
根据所述第一中断信号和第一切换信号对所述路由器组网结构进行防护处理;
若所述异常路由器不为级联初始端,根据所述级联节点判断所述异常路由器是否为级联末尾端;
若所述异常路由器为级联末尾端,启动第三防护模式,根据所述第三防护模式,生成第一中断信号,根据所述第一中断信号控制所述异常路由器与上一级路由器的通信中断;
根据所述第一中断信号对所述路由器组网结构进行防护处理。
2.如权利要求1所述的方法,其特征在于,当识别到被入侵的异常路由器时,方法还包括:
接收所述异常路由器的攻击数据集,对所述攻击数据集进行风险等级识别,输出第一风险指标;
获取所述异常路由器的安全防护指标,其中,所述安全防护指标用于表示所述异常路由器的安全防护配置对应的防护等级;
当所述第一风险指标大于所述安全防护指标时,启动第一防护模式/第二防护模式/第三防护模式。
3.如权利要求2所述的方法,其特征在于,对所述攻击数据集进行风险等级识别,输出第一风险指标,方法还包括:
调用历史攻击数据样本,对所述历史攻击数据样本进行识别,输出标识所述异常路由器受到攻击后扩散速率的攻击扩散度,标识所述异常路由器受到攻击后通信影响程度的攻击影响度以及标识所述异常路由器所受攻击类型的攻击罕见度;
利用所述攻击扩散度、所述攻击影响度和所述攻击罕见度作为训练数据,并输入预先训练好的风险等级识别网络层,根据所述风险等级识别网络层进行风险等级识别,输出所述第一风险指标。
4.如权利要求1所述的方法,其特征在于,通过对所述路由器组网结构进行识别,方法还包括:
通过对所述路由器组网结构进行识别,若所述路由器组网结构中包括接入控制器,获取所述接入控制器连接的并联路由器;
当所述并联路由器中任一路由器识别到被入侵时,基于被入侵路由器向所述接入控制器发送入侵预警信息,根据入侵预警信息对所述被入侵路由器下达中断信号,根据所述中断信号控制所述被入侵路由器与所述接入控制器之间的通信中断。
5.如权利要求4所述的方法,其特征在于,所述方法还包括:
对所述并联路由器的网段进行识别,获取所述并联路由器中与所述被入侵路由器处于同一网段的标识路由器;
基于所述被入侵路由器,生成访问拦截指令,当所述标识路由器中任一路由器接收到来自所述被入侵路由器的访问请求信息时,根据所述访问拦截指令进行信息拦截。
6.面向家庭路由器的网络入侵防护系统,其特征在于,所述系统包括:
组网结构提取模块,所述组网结构提取模块用于获取路由器组网结构,其中,所述路由器组网结构通过对目标家庭通信环境进行识别获取;
级联分析模块,所述级联分析模块用于通过对所述路由器组网结构进行识别,获取路由级联关系;
数据监测模块,所述数据监测模块用于通过对所述路由器组网结构进行数据监测,当识别到被入侵的异常路由器时,根据所述路由级联关系获取所述异常路由器处于所述路由器组网结构中的级联节点;
异常分析模块,所述异常分析模块用于根据所述级联节点判断所述异常路由器是否为级联中间端,若所述异常路由器为级联中间端,定位所述异常路由器的上一级路由器和下一级路由器,启动第一防护模式;
控制决策模块,所述控制决策模块用于根据所述第一防护模式生成第一中断信号、第二中断信号和第一切换信号,其中,所述第一中断信号用于控制所述异常路由器与所述上一级路由器的通信中断,所述第二中断信号用于控制所述异常路由器与下一级路由器的通信中断,所述第一切换信号用于建立所述上一级路由器和所述下一级路由器的通信协议;
防护处置模块,所述防护处置模块用于根据所述第一中断信号、所述第二中断信号和所述第一切换信号对所述路由器组网结构进行防护处理;
所述数据监测模块还用于:
若所述异常路由器不为级联中间端,根据所述级联节点判断所述异常路由器是否为级联初始端;
若所述异常路由器为级联初始端,启动第二防护模式,根据所述第二防护模式,生成第一中断信号和第一切换信号,根据所述第一中断信号控制所述异常路由器与下一级路由器的通信中断,根据所述第一切换信号建立所述下一级路由器与光纤设备的通信协议;
根据所述第一中断信号和第一切换信号对所述路由器组网结构进行防护处理;
若所述异常路由器不为级联初始端,根据所述级联节点判断所述异常路由器是否为级联末尾端;
若所述异常路由器为级联末尾端,启动第三防护模式,根据所述第三防护模式,生成第一中断信号,根据所述第一中断信号控制所述异常路由器与上一级路由器的通信中断;
根据所述第一中断信号对所述路由器组网结构进行防护处理。
CN202311766761.3A 2023-12-21 2023-12-21 面向家庭路由器的网络入侵防护方法及系统 Active CN117439825B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202311766761.3A CN117439825B (zh) 2023-12-21 2023-12-21 面向家庭路由器的网络入侵防护方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202311766761.3A CN117439825B (zh) 2023-12-21 2023-12-21 面向家庭路由器的网络入侵防护方法及系统

Publications (2)

Publication Number Publication Date
CN117439825A CN117439825A (zh) 2024-01-23
CN117439825B true CN117439825B (zh) 2024-03-01

Family

ID=89550211

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202311766761.3A Active CN117439825B (zh) 2023-12-21 2023-12-21 面向家庭路由器的网络入侵防护方法及系统

Country Status (1)

Country Link
CN (1) CN117439825B (zh)

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016095718A1 (zh) * 2014-12-17 2016-06-23 中兴通讯股份有限公司 检测通讯链路的方法、基站、网管、系统及存储介质
CN107046481A (zh) * 2017-04-18 2017-08-15 国网福建省电力有限公司 一种信息系统综合网管系统综合分析平台
CN110445770A (zh) * 2019-07-18 2019-11-12 平安科技(深圳)有限公司 网络攻击源定位及防护方法、电子设备及计算机存储介质
CN210469377U (zh) * 2019-09-27 2020-05-05 重庆市了赢科技有限公司 一种跨空间级联监控系统
CN114338372A (zh) * 2020-09-25 2022-04-12 中国移动通信集团山东有限公司 网络信息安全监控方法及系统
CN116074066A (zh) * 2022-12-29 2023-05-05 广西南宁英福泰科信息科技有限公司 一种检索威胁情报智能化监控阻断方法及系统
CN116668078A (zh) * 2023-05-04 2023-08-29 成都老鹰信息技术有限公司 一种互联网入侵安全防御系统

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016095718A1 (zh) * 2014-12-17 2016-06-23 中兴通讯股份有限公司 检测通讯链路的方法、基站、网管、系统及存储介质
CN107046481A (zh) * 2017-04-18 2017-08-15 国网福建省电力有限公司 一种信息系统综合网管系统综合分析平台
CN110445770A (zh) * 2019-07-18 2019-11-12 平安科技(深圳)有限公司 网络攻击源定位及防护方法、电子设备及计算机存储介质
CN210469377U (zh) * 2019-09-27 2020-05-05 重庆市了赢科技有限公司 一种跨空间级联监控系统
CN114338372A (zh) * 2020-09-25 2022-04-12 中国移动通信集团山东有限公司 网络信息安全监控方法及系统
CN116074066A (zh) * 2022-12-29 2023-05-05 广西南宁英福泰科信息科技有限公司 一种检索威胁情报智能化监控阻断方法及系统
CN116668078A (zh) * 2023-05-04 2023-08-29 成都老鹰信息技术有限公司 一种互联网入侵安全防御系统

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
无线局域网路由器ARP攻击故障的排除;刘云霞;吕春光;;电脑知识与技术;20080825(24);全文 *

Also Published As

Publication number Publication date
CN117439825A (zh) 2024-01-23

Similar Documents

Publication Publication Date Title
US11595396B2 (en) Enhanced smart process control switch port lockdown
US20180139104A1 (en) Method and System for Discovery and Mapping of a Network Topology
EP2544417B1 (en) Communication system, path control apparatus, packet forwarding apparatus and path control method
JP6994123B2 (ja) コンテナネットワークのためのセキュリティ
CN109510841B (zh) 一种控制装置及系统的安全隔离网关
KR102001812B1 (ko) K-means 알고리즘을 이용한 기기간 통신 화이트리스트 생성 장치 및 방법
EP2600566B1 (en) Unauthorized access blocking control method
WO2020013439A1 (ko) Sdn네트워크에서 라우팅 제어 장치 및 방법
CN109862045B (zh) 一种基于sdn的工业控制系统动态防御方法及装置
Etxezarreta et al. Software-Defined Networking approaches for intrusion response in Industrial Control Systems: A survey
Tantar et al. Cognition: A tool for reinforcing security in software defined networks
CN117155629A (zh) 一种基于人工智能的电力信息系统网络主动防御方法及系统
EP3905595B1 (en) Industrial control system monitoring method, device and system, and computer-readable medium
CN110855711A (zh) 一种基于scada系统白名单矩阵的工控网络安全监控方法
CN117439825B (zh) 面向家庭路由器的网络入侵防护方法及系统
TWI797962B (zh) 基於SASE的IPv6雲邊緣網路安全連線方法
JP2018064228A (ja) パケット制御装置
RU2509425C1 (ru) Способ и устройство управления потоками данных распределенной информационной системы
Altaleb et al. A Comprehensive Analysis and Solutions for Enhancing SCADA Systems Security in Critical Infrastructures
KR102555773B1 (ko) 네트워크 터널링 기반 동일 네트워크 내 장비 별 통신 제어 시스템
Kiran et al. SDN-based Firewall using Machine Learning
Garg et al. Current State and Challenges in Privacy of Software Defined Networks for the Internet of Things
Naqash et al. Statistical analysis-based intrusion detection for software defined network
Szigeti et al. INTENT-BASED NETWORKING FROM THE IOT EDGE TO THE APPLICATION SERVER
Kohli et al. SDN-based Intelligent Honeynet Architecture for Averting Attacks

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant