【技术实现步骤摘要】
一种针对弱监管路由设备的恶意行为检测方法
本专利技术属于路由设备恶意行为检测
,具体涉及一种针对弱监管路由设备的恶意行为检测方法。
技术介绍
根据《2019产业互联网白皮书》,互联网中包含的路由设备据估算至少达到千万数量级。广泛部署的路由设备已成为黑客的重要攻击目标,针对路由设备的攻击层出不穷,按照攻击的流程可将攻击划分为如下阶段:探测扫描、口令猜解、漏洞攻击、设备后门及隐蔽篡改配置等。近年针对俄罗斯的路由设备的攻击表明大量攻击威胁已经由传统PC端、移动端向路由设备转移。JaspalKumar等人通过对路由设备进行脆弱性分析,发现通过路由协议漏洞可以控制路由设备,并对路由设备配置服务的篡改。根据《2019年第一季度DDoS攻击报告》2018至2019年大量的Mikrotik路由器、华为路由器受到Mirai病毒的攻击、大量的Cisco设备被植入EEm事件管理器(EmbededEventManager,EEM)后门。与终端、移动端相比,路由设备部署广泛、部署地理位置差异较大,运维措施、安防措施参差不齐,除核...
【技术保护点】
1.一种针对弱监管路由设备的恶意行为检测方法,其特征在于:对路由设备遭受的恶意行为进行检测告警,通过加载轻量级的检测系统对传统安防手段无法顾忌的网络设备进行防护,所述的检测系统采用的是路由设备操作系统缺省调用接口,利用路由设备操作系统实现对路由设备的监控和对数据流量的监控;所述检测系统包括设备配置信息监控模块和设备流量抓取模块;所述设备信息监控模块主要针对路由设备的配置信息进行监控,利用路由设备提供的monitor函数接口,编写程序hook到配置信息发生改变时的状态,配合恶意行为判定规则,来确定配置信息是否遭到篡改;所述设备流量抓取模块,利用了路由器IOS系统中captur...
【技术特征摘要】
1.一种针对弱监管路由设备的恶意行为检测方法,其特征在于:对路由设备遭受的恶意行为进行检测告警,通过加载轻量级的检测系统对传统安防手段无法顾忌的网络设备进行防护,所述的检测系统采用的是路由设备操作系统缺省调用接口,利用路由设备操作系统实现对路由设备的监控和对数据流量的监控;所述检测系统包括设备配置信息监控模块和设备流量抓取模块;所述设备信息监控模块主要针对路由设备的配置信息进行监控,利用路由设备提供的monitor函数接口,编写程序hook到配置信息发生改变时的状态,配合恶意行为判定规则,来确定配置信息是否遭到篡改;所述设备流量抓取模块,利用了路由器IOS系统中capture函数,通过以IP、端口、协议为参数,设置流量过滤规则对设备过境流量进行筛查,周期性的抓取流量;
所述检测系统包括如下步骤:
(1)在检测期间,持续抓取路由设备的数据流量,并周期性的定时向本地回传数据;
(2)同时对路由设备的配置信息进行监控,根据预设的判定规则,在配置信息发生改变时,识别并处理恶意攻击行为,并将配置信息发生改变时的路由器数据流量回传到本地,对数据流量进行分析;
(3)当判定恶意行为出现后,将告警信息反馈到CLI界面上,同时记录恶意行为出现的时间,在本地对恶意行为所在时间段的数据包进行分析,鉴别攻击方式,针对恶意行为采取反制措施。
2.根据权利要求1所述的针对弱监管路由设备的恶意行为检测方法,其特征在于:持续抓取路由设备的数据流量的方法包括如下步骤:(1)首先将流量监控工具连接路由设备对路由设备的数据流量进行抓取,所述流量监控工具由TCL语言调用路由设备提供的API接口实现;(2)在路由设备内存开辟环形缓冲区;(3)以5分钟为一个周期抓取的数据流量,并保存到缓冲区;(4)然后将每个周期的数据流量转存为PCAP格式并传回本地,(5)最后判断是否结束...
【专利技术属性】
技术研发人员:尹小康,蔡瑞杰,刘秉楠,李鹏宇,杨启超,陆炫廷,刘胜利,
申请(专利权)人:中国人民解放军战略支援部队信息工程大学,
类型:发明
国别省市:河南;41
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。