一种基于容器的IOS-XE系统的入侵检测方法技术方案

本发明专利技术提供了一种基于容器的IOS

【技术实现步骤摘要】
一种基于容器的IOS
‑
XE系统的入侵检测方法


[0001]本专利技术属于计算机网络安全的
，具体涉及一种基于容器的IOS
‑
XE系统的入侵检测方法。

技术介绍

[0002]当前针对Cisco路由器的入侵检测成果集中在IOS操作系统，主要基于路由器信息提取进行离线检测，不能检测IOS
‑
XE(Internetwork Operating System
‑
eXtended Edition)系统广泛存在的Web注入和CLI(Command Line Interface,命令行接口)注入等漏洞利用行为，检测实时性较差。
[0003]通过对当前Cisco设备入侵检测研究成果进行分析和总结，发现存在如下问题：
①
当前研究成果主要集中在IOS操作系统，虽然大部分方法能够移植到IOS
‑
XE系统，但是实时检测能力不足；
②
当前研究成果未能有效检测IOS
‑
XE系统广泛存在的Web注入漏洞和CLI命令注入漏洞利用过程。

技术实现思路

[0004]针对目前入侵检测未能有效检测IOS
‑
XE系统广泛存在的Web注入漏洞和CLI命令注入漏洞利用过程的问题，本专利技术提供了一种基于容器的IOS
‑
XE系统的入侵检测方法。
[0005]本专利技术提供了一种基于容器的IOS
‑
XE系统的入侵检测方法，在路由器上部署自建容器，利用自建容器承载入侵检测系统，自建容器与路由器的IOSd 进程通过VPG 虚拟接口建立网络通联。
[0006]其中入侵检测系统包括信息提取模块和入侵行为判定模块，信息提取模块包括提取路由器的网络数据、实施查询路由器的状态信息以及提取路由器的日志信息，并将提取的网络数据、状态信息和日志信息储存在自建容器部署的数据库中。
[0007]入侵判断模块从数据库中读取网络数据、状态信息和日志信息进行入侵行为判定，并将检测结果输出给Web 服务器进行展示，入侵行为判定使用误用检测和异常检测相结合的混合检测方式，实现对入侵行为的判定，误用检测是指通过对已知攻击行为建立特征规则，当监测到的信息与特征规则相匹配，则判定为入侵行为；异常检测通过分析正常操作的特征，当监测信息与正常操作特征的差异超过阈值则产生入侵警告信息。
[0008]IOS
‑
XE路由器支持两种类型的容器，KVM(Kernel
‑
based Virtual Machine，基于内核的虚拟机)和LXC(Linux container，Linux容器)。其中，基于KVM的容器具备独立的内核和文件系统，基于LXC的容器与IOS
‑
XE共享内核，本专利技术所述自建容器基于LXC。
[0009]进一步的，提取路由器的网络数据包括以下步骤：步骤一、使用ERSPAN的方式将数据镜像到容器中；步骤二、数据进入容器后剥离ERSPAN功能给数据包添加的GRE协议头部，得到原始数据格式；步骤三、对https加密数据流量解密；
步骤四、https加密数据流量解密后，提取用户发送的Web请求；步骤五、对非http和https协议的数据流量捕获检测。
[0010]进一步的，路由器通过CLI命令行获取路由器状态信息，状态信息包括运行配置、用户信息、登录信息等。
[0011]为。状态信息的获取的前提是要解决配置隐藏攻击的检测问题，防止获取到的状态信息被攻击者所过滤和替换，本专利技术提供的提取状态信息还包括配置隐藏攻击行为检测，所述配置隐藏攻击行为检测包括：（1）基于信息比对的配置隐藏攻击检测，利用TCL 脚本对路由器上虚拟目录system 中running
‑
config 文件进行读取，然后利用RC4加密算法对文件内容进行加密，最后将加密后的结果返回，获取真实配置信息；利用模拟登录路由器，执行配置查看命令，获取到可疑的配置信息，对比真实配置信息和可疑的配置信息，从而判定路由器是否遭受配置隐藏攻击；（2）基于关键字匹配的TCL 脚本实时提取，通过router_command_execute远程回传路由器system目录下的heap文件，并循环接收heap文件，结合tbc文件的关键字和TCL脚本的特征，实现IOS
‑
XE路由器内存中执行的TCL脚本的自动化定位和提取分析；（3）系统完整性校验，通过离线计算好固件的hash值、IOSd文件的hash值以及加载的动态链接库的hash值并建立初始索引文件，同时，在容器中实时查询IOSd进程和其加载的所有动态链接库代码段的hash值，与索引文件中的hash值进行比对，从而确定系统镜像是否完整。
[0012]路由器日志信息中包含丰富的用户操作行为信息，包括用户命令、配置修改、用户登录等，利用路由器archive和EEM功能，结合在容器中部署的日志服务器，记录用户在CLI接口输入的所有信息，从而获取完整的日志信息。
[0013]本专利技术的有益效果：
①
提出了一种基于容器的IOS
‑
XE系统的实时检测方法，结合当前针对Cisco路由器的攻击行为研究，能实现对口令破解、配置隐藏、后门植入等入侵行为的检测；
②
弥补了IOS
‑
XE系统UTD服务只检测过境流量的不足，可以有效检测该系统广泛存在的Web注入类和CLI注入类攻击；
③
提出了一种适用于IOS和IOS
‑
XE系统的配置隐藏攻击检测方法，能抵御已知的配置隐藏攻击。
附图说明
[0014]图1本专利技术所述方法的系统架构图。
[0015]图2运行配置获取方法图。
[0016]图3配置隐藏检测效果图。
[0017]图4误用检测规则图。
[0018]图5异常检测规则图。
[0019]图6行为判定流程图。
具体实施方式
[0020]下面结合附图和实施例对本专利技术进一步说明。
[0021]实施例1：针对Cisco路由器的入侵检测主要有以下三类方法。一是基于核心转储文件的信息提取方法，通过路由器自带的核心转储文件提取路由器状态信息，包括运行的TCL脚本、运行配置；二是基于TCL脚本的信息自动化提取方法，利用路由器支持的TCL脚本实时获取路由器的各种动态信息，包括日志、运行配置、端口开放、登录用户等，综合各类信息判定攻击行为；三是利用路由器自带的SnortIPS容器，对过境流量进行监控，结合检测规则判定入侵行为。
[0022]上述的入侵检测方法存在问题如下：一是核心转储文件提取信息方法需要离线分析，不能监控路由器实时状态变化；二是当前针对Cisco路由器的检测方法无法应对IOS
‑
XE系统普遍存在的Web注入和CLI注入类漏洞利用行为和配置隐藏攻击；三是SnortIPS容器没有考虑对目的地址为路由器的本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于容器的IOS
‑
XE系统的入侵检测方法，其特征在于，在路由器上部署自建容器，利用自建容器承载入侵检测系统，自建容器与路由器的IOSd 进程通过VPG 虚拟接口建立网络通联；其中入侵检测系统包括信息提取模块和入侵行为判定模块，信息提取模块包括提取路由器的网络数据、实施查询路由器的状态信息以及提取路由器的日志信息；提取的网络数据、状态信息和日志信息储存在自建容器部署的数据库中；入侵判断模块从数据库中读取网络数据、状态信息和日志信息进行入侵行为判定，并将检测结果输出给Web 服务器进行展示，入侵行为判定使用误用检测和异常检测相结合的混合检测方式，实现对入侵行为的判定；误用检测是指通过对已知攻击行为建立特征规则，当监测到的信息与特征规则相匹配，则判定为入侵行为；异常检测通过分析正常操作的特征，当监测信息与正常操作特征的差异超过阈值则产生入侵警告信息。2.根据权利要求1所述的一种基于容器的IOS
‑
XE系统的入侵检测方法，其特征在于，所述自建容器基于LXC。3.根据权利要求1所述的一种基于容器的IOS
‑
XE系统的入侵检测方法，其特征在于，提取路由器的网络数据包括以下步骤：步骤一、使用ERSPAN的方式将数据镜像到容器中；步骤二、数据进入容器后剥离ERSPAN功能给数据包添加的GRE协议头部，得到原始数据格式；步骤三、对https加密数据流量解密；步骤四、https加密数据流量解密后，提取用户发送的Web请求；步骤五、对非http和https协议的数据流量捕获检测。4.根据权利要求1所述的一种基于容器的IOS
‑
XE系统的入侵检测方法，其特征在于，路由器通过CLI命令行获取路由器状态信息...

【专利技术属性】
技术研发人员：刘胜利，杨鹏飞，蔡瑞杰，吕思欧，张一筝，尹小康，杨启超，贾凡，陈宏伟，盖贤哲，
申请(专利权)人：中国人民解放军战略支援部队信息工程大学，
类型：发明
国别省市：