本发明专利技术提供一种路由器威胁感知方法及系统。该方法包括:威胁感知系统与被监测路由器输入一致;被监测路由器的输出数据同时送至威胁感知系统;被监测路由器的配置信息要同步配置到威胁感知系统;被监测路由器的状态信息要及时收集到威胁感知系统。将被监测路由器的输出数据、状态与威胁感知系统的输出数据、状态进行对比,若两者的输出数据或状态存在不一致的情况,则表示被监测路由器可能存在威胁,需要向管理系统发出告警信息。威胁感知系统包括:输入处理单元、功能等价执行体单元、状态比较单元、输出比较单元和分析告警单元。本发明专利技术可应对漏洞及攻击技术手段多样导致的对路由器威胁进行判定难度较大的问题,并可感知未知漏洞及零日攻击。
A Threat Sensing Method and System for Routers
【技术实现步骤摘要】
一种路由器威胁感知方法及系统
本专利技术涉及网络信息安全
,尤其涉及一种路由器威胁感知方法及系统。
技术介绍
路由器作为网络空间的基础核心要素,位于网络空间底层,互联多种异构网络,通过路由查找和数据转发,实现网络端到端的互通。它作为网络空间信息基础设施的核心装备,覆盖整个互联网的核心层、汇聚层和接入层。由于其复杂性和智能性,使之成为网络安全攻击的主要目标之一,其安全性直接影响乃至制约网络空间安全。由于路由器在网络中处于基础地位,其漏洞和后门一旦被利用就会产生难以估量的危害,这不仅仅关系到路由器本身的安全,还会对其所覆盖的用户产生较大的影响。因此,路由器的安全防护成为网络空间安全的重要内容。路由器的安全漏洞及攻击技术手段多样,从攻击本身来对路由器是否受到威胁进行判定难度较大。当前路由器威胁的主要防护方向是针对DDOS攻击进行的流量清洗以及使用网络流量分析设备针对已知漏洞对路由器的流量进行分析检测,而针对未知漏洞及零日攻击的威胁感知手段欠缺。通过对路由器安全的研究发现,对路由器的漏洞利用中很常见的一种类型是通过各种方式取得路由器控制权,然后对路由器进行一些违规操作。比如开启一个新的tcp/udp端口,主动向外进行连接或被动接受攻击者的连接来进行信息窃取,或者通过更改路由表来改变数据流的流向或对数据进行镜像等。
技术实现思路
为解决针对未知漏洞及零日攻击的路由器威胁感知手段欠缺的问题,本专利技术提供一种新的路由器威胁感知方法及系统,以路由器被控后的行为和状态作为判断依据,对路由器的威胁进行感知。一方面,本专利技术提供一种路由器威胁感知方法,该方法包括以下步骤:步骤1、接收被监测路由器的输入数据、被监测路由器根据所述输入数据执行任务过程中输出的第一状态信息以及与所述输入数据对应的第一输出数据;步骤2、在根据所述被监测路由器的配置信息进行同步配置后,根据所述输入数据执行与所述被监测路由器功能等价的应用并输出在执行所述应用过程中的第二状态信息以及与所述输入数据对应的第二输出数据;步骤3、比较所述第一状态信息和所述第二状态信息;步骤4、比较所述第一输出数据和所述第二输出数据;步骤5、若所述第一状态信息和所述第二状态信息不一致,或所述第一输出数据和所述第二输出数据不一致,则认为所述被监测路由器可能存在威胁。进一步地,该方法还包括:步骤6、若认为所述被监测路由器可能存在威胁,则发出告警信息。进一步地,在步骤1之后还包括;对所述输入数据进行数据流异常检测。进一步地,所述第一状态信息和所述第二状态信息均包括:系统状态信息、系统配置信息、协议状态信息和系统维护的表信息中的至少一个。进一步地,所述第一输出数据和所述第二输出数据均包括:数据内容、链接数、链接状态和报文分布中的至少一个。另一方面,本专利技术还提供一种路由器威胁感知系统,该系统包括:输入处理单元,用于接收被监测路由器的输入数据;功能等价执行体单元,用于在根据所述被监测路由器的配置信息进行同步配置后,根据所述输入数据执行与所述被监测路由器功能等价的应用并输出在执行所述应用过程中的第二状态信息以及与所述输入数据对应的第二输出数据;状态比较单元,用于接收被监测路由器根据所述输入数据执行任务过程中输出的第一状态信息,并比较所述第一状态信息和所述第二状态信息;输出比较单元,用于接收被监测路由器输出的与所述输入数据对应的第一输出数据,并比较所述第一输出数据和所述第二输出数据;分析告警单元,若获知所述第一状态信息和所述第二状态信息不一致,或所述第一输出数据和所述第二输出数据不一致,则认为所述被监测路由器可能存在威胁。进一步地,所述分析告警单元还用于:若认为所述被监测路由器可能存在威胁,则发出告警信息。进一步地,所述输入处理单元还用于;对所述输入数据进行数据流异常检测。进一步地,所述功能等价执行体单元包括多个执行体子单元,每个执行体子单元包括至少一个执行体。进一步地,所述第一状态信息和所述第二状态信息均包括:系统状态信息、系统配置信息、协议状态信息和系统维护的表信息中的至少一个;所述第一输出数据和所述第二输出数据均包括:数据内容、链接数、链接状态和报文分布中的至少一个。本专利技术的有益效果:本专利技术提供的一种路由器威胁感知方法及系统,以拟态思想为基础,以运行被监测路由器功能等价执行体的方式,对路由器的行为和状态进行监测和对比,以此对路由器的威胁进行感知。本专利技术可应对路由器安全漏洞及攻击技术手段多样导致的从攻击本身来对路由器威胁进行判定难度较大的问题,同时可实现对未知漏洞及零日攻击的威胁感知。附图说明图1为本专利技术实施例提供的路由器威胁感知系统的逻辑部署框图;图2为本专利技术实施例提供的一种路由器威胁感知方法的流程示意图;图3为本专利技术实施例提供的路由器威胁感知系统接入被监测路由器方式的示意图;图4为本专利技术实施例提供的一种路由器威胁感知系统的功能框图之一;图5为本专利技术实施例提供的一种路由器威胁感知系统的工作流程图之一;图6为本专利技术实施例提供的一种路由器威胁感知系统的工作流程图之二;图7为本专利技术实施例提供的一种路由器威胁感知系统的功能框图之二;图8为本专利技术实施例提供的一种路由器威胁感知系统的功能框图之三。具体实施方式为使本专利技术的目的、技术方案和优点更加清楚,下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚地描述,显然,所描述的实施例是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。本专利技术实施例提供的路由器威胁感知系统的逻辑框图如图1所示。为了区分被监测路由器与路由器威胁感知系统(下称威胁感知系统),将被监测路由器的输出数据称为第一输出数据,将威胁感知系统的输出数据称为第二输出数据;将被监测路由器的状态信息称为第一状态信息,将威胁感知系统的状态信息称为第二状态信息。威胁感知系统与被监测路由器的输入数据一致。第一输出数据被送至威胁感知系统;被监测路由器的配置信息要同步配置到威胁感知系统;第一状态信息要及时收集到威胁感知系统。如图2所示,本专利技术实施例提供的路由器威胁感知方法包括以下步骤:S101、威胁感知系统接收被监测路由器的输入数据、被监测路由器根据所述输入数据执行任务过程中输出的第一状态信息以及与所述输入数据对应的第一输出数据;具体地,参见图3所示,威胁感知系统通过在被监测路由器的输入线路和输出线路上采用截线接入的方式,获取被监测路由器的输入数据和输出数据。同时,威胁感知系统通过控制链路与被监测路由器进行通信,获取被监测路由器的配置信息后与被监测路由器进行同步配置,并且获取被监测路由器的状态信息。作为一种可实施方式,在本步骤中,威胁感知系统还可对输入数据进行数据流异常检测。S102、威胁感知系统在根据所述被监测路由器的配置信息进行同步配置后,根据所述输入数据执行与所述被监测路由器功能等价的应用并输出在执行所述应用过程中的第二状态信息以及与所述输入数据对应的第二输出数据;具体地,威胁感知系统预先构建与被监测路由器功能等价的应用,然后基于与被监测路由器一致的输入数据,执行该应用后生成输出数据,并记录在执行该应用的过程中威胁感知系统自身的状态信息。S103、威胁感知系统比较所述第一状态本文档来自技高网...
【技术保护点】
1.一种路由器威胁感知方法,其特征在于,包括:步骤1、接收被监测路由器的输入数据、被监测路由器根据所述输入数据执行任务过程中输出的第一状态信息以及与所述输入数据对应的第一输出数据;步骤2、在根据所述被监测路由器的配置信息进行同步配置后,根据所述输入数据执行与所述被监测路由器功能等价的应用并输出在执行所述应用过程中的第二状态信息以及与所述输入数据对应的第二输出数据;步骤3、比较所述第一状态信息和所述第二状态信息;步骤4、比较所述第一输出数据和所述第二输出数据;步骤5、若所述第一状态信息和所述第二状态信息不一致,或所述第一输出数据和所述第二输出数据不一致,则认为所述被监测路由器可能存在威胁。
【技术特征摘要】
1.一种路由器威胁感知方法,其特征在于,包括:步骤1、接收被监测路由器的输入数据、被监测路由器根据所述输入数据执行任务过程中输出的第一状态信息以及与所述输入数据对应的第一输出数据;步骤2、在根据所述被监测路由器的配置信息进行同步配置后,根据所述输入数据执行与所述被监测路由器功能等价的应用并输出在执行所述应用过程中的第二状态信息以及与所述输入数据对应的第二输出数据;步骤3、比较所述第一状态信息和所述第二状态信息;步骤4、比较所述第一输出数据和所述第二输出数据;步骤5、若所述第一状态信息和所述第二状态信息不一致,或所述第一输出数据和所述第二输出数据不一致,则认为所述被监测路由器可能存在威胁。2.根据权利要求1所述的方法,其特征在于,还包括:步骤6、若认为所述被监测路由器可能存在威胁,则发出告警信息。3.根据权利要求1或2所述的方法,其特征在于,在步骤1之后还包括;对所述输入数据进行数据流异常检测。4.根据权利要求1所述的方法,其特征在于,所述第一状态信息和所述第二状态信息均包括:系统状态信息、系统配置信息、协议状态信息和系统维护的表信息中的至少一个。5.根据权利要求1所述的方法,其特征在于,所述第一输出数据和所述第二输出数据均包括:数据内容、链接数、链接状态和报文分布中的至少一个。6.一种路由器威胁感知系统,其特征在于,包括:输入处理单元,用于接收...
【专利技术属性】
技术研发人员:于婧,马海龙,陈祥,陈博,韩伟涛,白冰,周锟,张鹏,袁征,李路晗,
申请(专利权)人:中国人民解放军战略支援部队信息工程大学,
类型:发明
国别省市:河南,41
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。