一种校园网安全架构及网络监护系统技术方案

本发明专利技术公开了一种校园网安全架构，该校园网安全架构包含有网络监护系统；该架构包括接入层、汇聚层、核心层和网络互联设备；网络互联设备包括核心交换机一和核心交换机二，核心交换机一和核心交换机二作为整个校园网的核心设备，连接校园网的各个区域；各个区域的终端设备采用DHCP获取地址，DHCP包括DHCP客户端和DHCP服务器端；DHCP服务器连接在核心交换机一和核心交换机二上，同时核心交换机一和核心交换机二上配置DHCP Snooping来保证安全终端的接入以及终端可以获取到安全地址。本发明专利技术通过在网络中的接入层设备上使用DHCP Snooping技术来保护网络内部每个用户的数据安全，进而更好的保证了整个校园网的网络安全与稳定。好的保证了整个校园网的网络安全与稳定。好的保证了整个校园网的网络安全与稳定。

【技术实现步骤摘要】
一种校园网安全架构及网络监护系统


[0001]本专利技术涉及网络监护
，具体涉及一种校园网安全架构及网络监护系统。

技术介绍

[0002]随着互联网的不断发展，人们的工作、学习和生活对它的依赖性也逐渐变强。在这样的大背景下，为了能够良好的解决网络中存在的IP(Internet Protocol)地址分配资源缺乏问题的同时更有效的减少网络管理人员的手动配置的错误和工作量，DHCP(Dynamic Host Configuration Protocol)这种能够动态地为主机配置参数的技术得到了广泛地运用。但是由于DHCP服务器及技术被越来越多的运用到各种类型的网络配置中，人们对它的研究还只停留于表面却很少有人对它进行更深一层的研究就导致了DHCP协议在网络设计中的安全问题，有些威胁可以致使整个网络的崩溃，给网络维护带来较大的工作量，所以对于DHCP技术及其安全性的研究就显得尤为重要。
[0003]在中国专利公开的(申请号为：201710258184.5，授权公告号为：CN 106921420 B)一种DHCP报文的发送方法和装置，包括以下步骤，接入点AP建立多用户多入多出MU
‑
MIMO下的监听表项，其中所述监听表项包括天线标识ID、用户终端标识ID和DHCP相关的用户终端媒体访问控制MAC地址的映射关系；当所述AP收到与一用户终端相关的DHCP报文时，所述用户终端相关的DHCP报文携带该用户终端的用户终端ID和用户终端MAC地址，所述AP根据所述监听表项所包括的天线ID、用户终端ID与用户终端MAC地址的映射关系以及根据所述用户终端的用户终端ID和用户终端MAC地址确定所述用户终端对应的发送天线，所述AP根据所述监听表项只在与该用户终端相对应的发送天线上发射所述用户终端的DHCP报文。
[0004]参考上述公开的中国专利一种DHCP报文的发送方法和装置，尚有以下不足：通过改变DHCP报文发送方式使得实现的DHCP snooping功能，使用该方法存在一定的安全隐患。

技术实现思路

[0005]本专利技术针对上述的问题提供一种安全性高，减少网络维护的校园网安全架构及网络监护系统。
[0006]本专利技术是这样实现的：一种校园网安全架构，所述该校园网安全架构包含有网络监护系统；其特征在于：所述该架构包括接入层、汇聚层、核心层和网络互联设备；
[0007]所述接入层，作为用户连接网络的直接端口，用于让本地网络能够接入工作站点；
[0008]所述汇聚层，为接入层实现数据传送、管理和汇聚的同时还选择性限制接入层设备对核心层设备的直接访问，将接入层的节点与核心层的节点关联起来，成为网络中接入层设备和核心层相互交流通信的桥梁；
[0009]所述核心层，作为整个网络结构设计的核心和纽带用于实现核心区域网络之间的高质量传输，核心层是整个网络的高速信息交互的主体是网络数据流的最终承载者；
[0010]所述网络互联设备包括核心交换机一和核心交换机二，核心交换机一和核心交换机二作为整个校园网的核心设备，连接校园网的各个区域；
[0011]所述网络监护系统，通过使用DHCP中DHCP Snooping技术实现DHCP客户从真实的DHCP服务器上获得到正确的地址，防止网络中作假的服务器攻击；所述DHCP Snooping通过建立和更新DHCP Snooping绑定表项来过剔除掉网络中不安全区域的DHCP信息，确保网络的正常运行安全；
[0012]所述DHCP包括DHCP客户端和DHCP服务器；所述DHCP服务器连接在核心交换机一和核心交换机二上，同时核心交换机一和核心交换机二上配置DHCP Snooping来保证安全终端的接入以及终端可以获取到安全地址。
[0013]优选的，所述DHCP Snooping内部设置有服务器的假冒防护模块；所述服务器的假冒防护模块采用DHCP Snooping信任端口的安全特性来控制DHCP服务器报文的来源信息，信任端口与真实服务器的接口直接或者间接性接触，不信任端口不可能与真实服务器接口连接，信任端口对DHCP报文正常传递，不信任端口则会将收到的报文剔除。
[0014]优选的，所述DHCP Snooping内部设置有ARP中间人攻击防护模块；所述ARP中间人攻击防护模块采用ARP入侵检测功能和DHCP Snooping绑定表有机结合的方式来检测ARP报文是否安全；将ARP报文中的源IP地址以及它对应的MAC地址条目与DHCP Snooping绑定表中的条目进行一对一的对比，对比结果一致并且ARP报文接口的详细信息也与DHCP Snooping绑定表中相符，从服务器接收到的ARP报文才能被正常转发，其他情况下ARP报文将被认为非法并且直接丢弃。
[0015]优选的，所述DHCP Snooping内部设置有IP/MAC地址伪造防护模块；所述IP/MAC地址伪造防护模块采取IP过滤的安全特性，保证经过某个特定接口的源地址与DHCP Snooping绑定表项中的源地址相一致，当接口上启用了IP过滤功能后设备会发送ACL列表来过滤除DHCP报文以外的其他报文，随后将进行比较，如果一致就可以正常转发否则会被丢弃。
[0016]优选的，所述DHCP Snooping内部设置有报文泛洪防护模块；所述报文泛洪防护模块采用将受到攻击的接口短暂关闭来对DHCP报文进行限速。
[0017]优选的，所述报文泛洪防护模块通过以下步骤实现报文防护：
[0018]步骤1：当有新的设备成功连入网络时，提取该设备的MAC地址与设备名称信息，从系统中以日为单位提取一个自然月内该设备的历史在线时间数据，利用这些数据对当前连入设备进行聚类操作；
[0019]步骤2：在每一类中，利用下述公式为每台设备计算危险值：
[0020][0021]其中，DV
(t)
为当前类在t时刻的类危险值，DV
i(t)
为类内编号为i的设备的危险值，ξ
C
为类内扩散因子，用来表示类内元素危险值的扩张性，ADV
i(t)
、FDV
i(t)
分别为用户行为危险值和请求频次危险值，V
j
和ξ
Aj
分别表示第j种用户危险行为及其对应的危险系数，F和ξ
F
分别表示用户在Δt时间内重复发送请求的频次及其危险系数，ρ为衰弱因子，在衰弱因子的影响下，将随着时间推移，危险值的计算将更加注重相近时间内发生的危险行为，之前发生
的危险行为带来的影响将被逐步削减；
[0022]步骤3：遍历所有设备，当有设备的危险值从高于临界值DV
max1
转为低于DV
max1
时，将其移出危险类并取消限速，留待下次重新聚类；当有某台设备的危险值从低于临界值DV
max1
转为高于临界值DV
max1
时，将该元素转移到危险类中，并按下述公式对该设备进行限速操作：
...

【技术保护点】

【技术特征摘要】
1.一种校园网安全架构，所述该校园网安全架构包含有网络监护系统；其特征在于：所述该架构包括接入层、汇聚层、核心层和网络互联设备；所述接入层，作为用户连接网络的直接端口，用于让本地网络能够接入工作站点；所述汇聚层，为接入层实现数据传送、管理和汇聚的同时还选择性限制接入层设备对核心层设备的直接访问，将接入层的节点与核心层的节点关联起来，成为网络中接入层设备和核心层相互交流通信的桥梁；所述核心层，作为整个网络结构设计的核心和纽带用于实现核心区域网络之间的高质量传输，核心层是整个网络的高速信息交互的主体是网络数据流的最终承载者；所述网络互联设备包括核心交换机一和核心交换机二，核心交换机一和核心交换机二作为整个校园网的核心设备，连接校园网的各个区域；所述网络监护系统，通过使用DHCP中DHCP Snooping技术实现DHCP客户从真实的DHCP服务器上获得到正确的地址，防止网络中作假的服务器攻击；所述DHCP Snooping通过建立和更新DHCP Snooping绑定表项来过剔除掉网络中不安全区域的DHCP信息，确保网络的正常运行安全；所述DHCP包括DHCP客户端和DHCP服务器；所述DHCP服务器连接在核心交换机一和核心交换机二上，同时核心交换机一和核心交换机二上配置DHCP Snooping来保证安全终端的接入以及终端可以获取到安全地址。2.根据权利要求1所述的一种校园网安全架构，其特征在于：所述DHCP Snooping内部设置有服务器的假冒防护模块；所述服务器的假冒防护模块采用DHCP Snooping信任端口的安全特性来控制DHCP服务器报文的来源信息，信任端口与真实服务器的接口直接或者间接性接触，不信任端口不可能与真实服务器接口连接，信任端口对DHCP报文正常传递，不信任端口则会将收到的报文剔除。3.根据权利要求1所述的一种校园网安全架构，其特征在于：所述DHCP Snooping内部设置有ARP中间人攻击防护模块；所述ARP中间人攻击防护模块采用ARP入侵检测功能和DHCP Snooping绑定表有机结合的方式来检测ARP报文是否安全；将ARP报文中的源IP地址以及它对应的MAC地址条目与DHCP Snooping绑定表中的条目进行一对一的对比，对比结果一致并且ARP报文接口的详细信息也与DHCP Snooping绑定表中相符，从服务器接收到的ARP报文才能被正常转发，其他情况下ARP报文将被认为非法并且直接丢弃。4.根据权利要求1所述的一种校园网安全架构，其特征在于：所述DHCP Snooping内部设置有IP/MAC地址伪造防护模块；所述IP/MAC地址伪造防护模块采取IP过滤的安全特性，保证经过某个特定接口的源地址与DHCP Snooping绑定表项中的源地址相一致，当接口上启用了IP过滤功能后设备会发送ACL列表来过滤除DHCP报文以外的其他报文，随后将进行比较，如果一致就可以正常转发否则会被丢弃。5.根据权利要求1所述的一种校园网安全架构，其特征在于：所述DHCP Snooping内部设置有报文泛洪防护模块；所述报文泛洪防护模块采用将受到攻击的接口短暂关闭来对DHCP报文进行限速。6.根据权利要求5所述的一种校园网安全架构，其特征在于：所述报文泛洪防护模块通过以下步骤实现报文防护：步骤1：当有新的设备成功连入网络时，提取该设备的MAC地址与设备名称信息，从系统
中以日为单位提取一个自然月内该设备的历史在线时间数据，利用这些数据对当前连入设备进行聚类操作；步骤2：在每一类中，利用下述公式为每台设备计算危险值：其中，DV
(t)
为当前类在t时刻的类危险值，DV
i(t)
为类内编号为i的设备的危险值，ξ
C
为类内扩散因子，用来表示类内元素危险值的扩张性，ADV
i(t)
、FDV
i(t)
分别为用户行为危险值和请求频次危险值，V
j
和ξ
Aj
分别表示第j种用户危险行为及其对应的危险系数，F和ξ
F
分别表示用户在Δt时间内重复发送请求的频次及其危险系数，ρ为衰弱因子，在衰弱因子的影响下，将随着时间推移，危险值的计算将更加注重相近时间内发生的危险行为，之前发生的危险行为带来的...

【专利技术属性】
技术研发人员：张紫妍，韩斌，王东升，刘嘎琼，
申请(专利权)人：江苏科技大学，
类型：发明
国别省市：