專利名稱:防攻擊安全聯(lián)動系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本實用新型涉及網(wǎng)絡(luò)通信中的防攻擊安全系統(tǒng)�,具體地說,是涉及一種防攻擊安全聯(lián)動系統(tǒng)�����。
背景技術(shù):
在目前的通信網(wǎng)絡(luò)架構(gòu)中��,路由器一般是工作于IS0/RM的第三層�,即網(wǎng)絡(luò)層,而交換機則工作于第二層�����,即數(shù)據(jù)鏈路層���,處于第三層的路由器無法對處于第二層的交換機����, 下達指令�、進行控制或管理,這種情況下,路由器的自我保護功能極為有限�。如果想要對大量的交換機進行統(tǒng)一管理,則需要借助SNMP或TR069等網(wǎng)絡(luò)管理技術(shù)���,使用獨立的控制軟件或服務(wù)端�����,而且還需要所有的設(shè)備均支持上述協(xié)議����,事先還需要為所有的設(shè)備配置IP�、端口等信息,十分繁瑣����,組建及維護成本都很高;更重要的是�����,所有的配置IP����、端口等操作均由人工完成,如果信息配置出錯���,將造成管理混亂��,無法實現(xiàn)預定的統(tǒng)一管理的目的��。另外���,目前的網(wǎng)絡(luò)攻擊大部分來自于內(nèi)網(wǎng),而現(xiàn)有的客戶端僅有少部分具有一定的安全功能�,僅僅能對內(nèi)網(wǎng)的部分攻擊數(shù)據(jù)進行攔截,或者對流量進行限制���。如果網(wǎng)絡(luò)中出現(xiàn)攻擊源對服務(wù)端���,服務(wù)端將只能被動防御,不能進行主動攻擊���,或者對攻擊源進行隔離����, 或者采取其他處理方式�,這將給網(wǎng)絡(luò)通信帶來極大的安全隱患����。
實用新型內(nèi)容本實用新型的目的在于提供一種防攻擊安全聯(lián)動系統(tǒng)�����,克服現(xiàn)有技術(shù)中服務(wù)端對網(wǎng)絡(luò)的控制能力差�,防御攻擊的能力弱等問題,實現(xiàn)對客戶端統(tǒng)一管理���,并在不影響服務(wù)端自身工作的情況下�,提高其對網(wǎng)絡(luò)的控制能力�����,與自我保護能力��。為了實現(xiàn)上述目的�,本實用新型采用的技術(shù)方案如下防攻擊安全聯(lián)動系統(tǒng),包括服務(wù)端�����,與服務(wù)端成映射關(guān)系的客戶端��,以及與客戶端成映射關(guān)系的用戶主機,其中�����,所述服務(wù)端內(nèi)嵌有系統(tǒng)管理模塊����、異常處理模塊�、協(xié)議處理模塊和數(shù)據(jù)存儲器,客戶端內(nèi)嵌有指令執(zhí)行模塊�;該系統(tǒng)管理模塊、異常處理模塊�����、協(xié)議處理模塊通過雙向總線順次連通�����,數(shù)據(jù)存儲器���、指令執(zhí)行模塊分別與系統(tǒng)管理模塊直接連接���。進一步地����,為了便于服務(wù)端對客戶端的管理�����,所述協(xié)議處理模塊內(nèi)嵌有二層網(wǎng)絡(luò)協(xié)議模塊�����,服務(wù)端與客戶端直接通過二層網(wǎng)絡(luò)協(xié)議進行數(shù)據(jù)交換���。為了實現(xiàn)系統(tǒng)管理模塊對數(shù)據(jù)存儲器的信息讀取�,以及與指令執(zhí)行模塊之間的數(shù)據(jù)交換���,所述數(shù)據(jù)存儲器�、指令執(zhí)行模塊分別通過雙向總線與系統(tǒng)管理模塊直接連接���。具體地說���,所述服務(wù)端為路由器,客戶端為交換機��。其中,在服務(wù)端與用戶端之間可以設(shè)置多級客戶端�,但是至少包含一級客戶端,每一級中客戶端的數(shù)量至少為一個��,以保證服務(wù)端的指令能通過客戶端順利執(zhí)行����,并作用于用戶端�,同時,使用戶端的信息通過客戶端順利傳回服務(wù)端����,供服務(wù)端使用。本實用新型的設(shè)計原理針對現(xiàn)有技術(shù)中服務(wù)端自我保護能力差��、對其底層用戶主機控制能力弱的問題��,利用系統(tǒng)管理模塊根據(jù)協(xié)議處理模塊的功能來實現(xiàn)對下層客戶端的直接管理�����,同時���,利用客戶端對底層用戶主機執(zhí)行懲罰操作�,達到在不影響服務(wù)端正常工作的情況下實現(xiàn)對用戶主機的主動性防御和攻擊。與現(xiàn)有技術(shù)相比�,本實用新型具有以下有益效果一 .利用二層網(wǎng)絡(luò)協(xié)議實現(xiàn)服務(wù)端與客戶端的會話,利用系統(tǒng)管理模塊實現(xiàn)了對客戶端的直接統(tǒng)一管理���,為服務(wù)端在不影響自身工作的情況下進行主動防御與攻擊打下了實現(xiàn)基礎(chǔ)��。二 .服務(wù)端對客戶端的統(tǒng)一管理�����,無須借助其他網(wǎng)絡(luò)管理協(xié)議���,無須配置復雜的 IP地址、端口及TCP/IP協(xié)議地址等信息�����,僅僅根據(jù)網(wǎng)絡(luò)協(xié)議即可實現(xiàn)�,大大簡化了管理程序,避免了因配置信息過于繁雜造成管理混亂的問題��。三.網(wǎng)絡(luò)結(jié)構(gòu)配置簡單��,操作方便,大大降低了系統(tǒng)的組建成本和維護成本�����。四.服務(wù)端通過客戶端來執(zhí)行對用戶主機的懲罰操作�����,在不影響自身工作的情況下實現(xiàn)了對用戶主機的控制與管理���,使服務(wù)端的主動操作性大大提高��,進行提高了服務(wù)端的主動防御能力與攻擊能力���。五.實現(xiàn)了服務(wù)端與客戶端的主動性聯(lián)動防御與攻擊���,大大提高了整個網(wǎng)絡(luò)的安全可靠性�����。本實用新型主要應用于計算機網(wǎng)絡(luò)通信中�,具有很高的實用價值和推廣價值�����。
圖1為本實用新型中服務(wù)端與客戶端中內(nèi)嵌的模塊連接示意圖。圖2為本實用新型-實施例一的防攻擊安全聯(lián)動系統(tǒng)的系統(tǒng)框圖�。圖3為本實用新型-實施例二的防攻擊安全聯(lián)動系統(tǒng)的系統(tǒng)框圖。
具體實施方式
以下結(jié)合附圖和實施例對本實用新型作進一步說明����。實施例一本實施例以服務(wù)端包括梯次連接的兩級客戶端為例對本實用新型進行說明。如圖1 圖2所示����,防攻擊安全聯(lián)動系統(tǒng)主要包括一個服務(wù)端,以及與該服務(wù)端相連接的一個一級客戶端��,該一級客戶端下設(shè)三個二級客戶端���,每個二級客戶端下設(shè)兩個用戶主機����。其中����,所述服務(wù)端內(nèi)嵌有系統(tǒng)管理模塊、異常處理模塊���、協(xié)議處理模塊和數(shù)據(jù)存儲器��,一級客戶端和二級客戶端均內(nèi)嵌有指令執(zhí)行模塊����。該系統(tǒng)的實現(xiàn)方法如下一.服務(wù)端對所有客戶端實現(xiàn)統(tǒng)一管理1.客戶端注冊登記為實現(xiàn)對客戶端的管理,服務(wù)端由系統(tǒng)管理模塊定期發(fā)出掃描指令��,并利用協(xié)議處理模塊傳輸至各級客戶端�,對其下層網(wǎng)絡(luò)中的所有客戶端進行掃描, 更新客戶端信息�,如更新與服務(wù)端連接的客戶端數(shù)量;一級客戶端的指令執(zhí)行模塊接收到掃描指令后�����,在對自己進行掃描操作的同時��,向所有二級客戶端發(fā)送該掃描指令����。所有客戶端在接收到掃描指令后�����,檢測自身是否已在服務(wù)端的系統(tǒng)管理模塊中登記注冊,如果已經(jīng)注冊�����,則掃描指令結(jié)束�,反之,則向系統(tǒng)管理模塊發(fā)送注冊請求�,并傳送隨機會話密匙;系統(tǒng)管理模塊接收到注冊請求后����,對客戶端進行登記注冊,并給客戶端發(fā)回登記注冊的確認信肩���、ο2.用戶主機登記由客戶端的指令執(zhí)行模塊將其下層所有用戶主機的MAC地址通過協(xié)議處理模塊傳回服務(wù)端��,并存儲于數(shù)據(jù)存儲器中����。3.確認網(wǎng)絡(luò)中所有用戶主機是否在線用戶主機定期向服務(wù)端的系統(tǒng)管理模塊發(fā)送心跳包�����,與之對應地�����,系統(tǒng)管理模塊定期檢查是否收到心跳包;如果收到�����,則更新與該心跳包對應的用戶主機的計數(shù)器值為預先設(shè)定的最大值��,反之��,與該心跳包對應的用戶主機的計數(shù)器值減1 ���;如果用戶主機的計數(shù)器值為0��,則服務(wù)端記錄該用戶主機的狀態(tài)為離線��。用戶主機的計數(shù)器值與其MAC地址直接關(guān)聯(lián)�,并存儲于數(shù)據(jù)存儲器中���。本實施例中���,預先設(shè)定的用戶主機的計數(shù)器最大值為3����,即如果連續(xù)三次服務(wù)端均沒有收到來自某用戶主機的心跳包�,那么服務(wù)端認為該用戶主機已經(jīng)離線�����,服務(wù)端對該用戶主機的狀態(tài)進行記錄�。4.客戶端信息配置與安全策略制定服務(wù)端的系統(tǒng)管理模塊根據(jù)客戶端和用戶主機的最新狀態(tài)制定配置信息和安全策略,并通過協(xié)議處理模塊將之發(fā)送給所有客戶端�����, 完成客戶端信息的自動配置�����。另外����,本實用新型中客戶端的信息配置工作也可以由人工手動配置。至此�����,服務(wù)端通過協(xié)議處理模塊完成對所有客戶端的統(tǒng)一管理�,為服務(wù)端主動防御與攻擊打下了可實現(xiàn)的基礎(chǔ)���。二.服務(wù)端對用戶主機的主動防御與攻擊服務(wù)端通過異常處理模塊分析并確定攻擊數(shù)據(jù)的來源,并向客戶端發(fā)送操作指令��,由客戶端的指令執(zhí)行模塊執(zhí)行對用戶主機的主動防御與攻擊�。1.確定攻擊源系統(tǒng)管理模塊預先設(shè)定網(wǎng)絡(luò)中正常數(shù)據(jù)的標準,該標準包括用戶主機設(shè)定的標準和系統(tǒng)管理模塊內(nèi)置的攻擊特征庫��;客戶端將接收的實際數(shù)據(jù)通過協(xié)議處理模塊回傳至異常處理模塊�,由異常處理模塊將之與預先設(shè)定的標準進行對比,判斷其是否異常�;如果確定該數(shù)據(jù)異常,系統(tǒng)管理模塊立刻追查該異常數(shù)據(jù)的傳輸鏈路�,并將之與數(shù)據(jù)存儲器中記錄的用戶主機的MAC地址進行對比,從而確定該異常數(shù)據(jù)的來源���。如圖2中所示����,本實施例中確定攻擊源來自一個二級客戶端的下級網(wǎng)絡(luò)中的一個用戶主機��。2.服務(wù)端對攻擊源進行主動防御和攻擊系統(tǒng)管理模塊確定攻擊源后,由異常處理模塊發(fā)出懲罰指令,并經(jīng)過一級客戶端后傳輸至與該攻擊源直接連接的二級客戶端,該懲罰指令指包含有過濾對象的過濾指令�; 該二級客戶端的指令執(zhí)行模塊根據(jù)接收到的過濾指令對該攻擊源發(fā)出的數(shù)據(jù)進行過濾�����,直到符合該二級客戶端當前的安全策略��;過濾數(shù)據(jù)達標后���,該指令執(zhí)行模塊將過濾后的數(shù)據(jù)通過一級客戶端回傳至異常處理模塊,異常處理模塊對該數(shù)據(jù)再次進行分析�,如果該數(shù)據(jù)屬于正常數(shù)據(jù),則保證該數(shù)據(jù)的正常傳輸��,反之����,則通過一級客戶端向該二級客戶端發(fā)送阻斷指令,由其指令執(zhí)行模塊根據(jù)阻斷指令斷開該攻擊源的網(wǎng)絡(luò)連接��,從而切斷其傳輸路徑��, 以防止其傳輸攻擊數(shù)據(jù)對服務(wù)端進行攻擊�,實現(xiàn)服務(wù)端主動防御能力的目的。另一方面����,服務(wù)端通過向二級客戶端下發(fā)指令���,實現(xiàn)對攻擊源的數(shù)據(jù)過濾、斷開網(wǎng)絡(luò)連接操作�����,即是對該攻擊源的主動攻擊方式之一����,在一定程度上提高了服務(wù)端主動攻擊的能力。[0040]實施例二如圖1��、圖3所示���,防攻擊安全聯(lián)動系統(tǒng)主要包括一個服務(wù)端����,以及與該服務(wù)端相連接的三個一級客戶端��,每個一級客戶端下設(shè)兩個用戶主機�。其中,所述服務(wù)端內(nèi)嵌有系統(tǒng)管理模塊���、異常處理模塊�、協(xié)議處理模塊和數(shù)據(jù)存儲器,所有一級客戶端內(nèi)嵌有指令執(zhí)行模塊��。對于實現(xiàn)方法�����,兩個實施例的主要區(qū)別在于���,本實施例中,服務(wù)端對攻擊源進行主動防御與攻擊時��,異常處理模塊將操作指令直接發(fā)給與攻擊源直接連接的一級客戶端�,中間不再經(jīng)過其他客戶端傳輸數(shù)據(jù),而該一級客戶端在對攻擊源傳輸?shù)臄?shù)據(jù)進行過濾后�,向服務(wù)端回傳數(shù)據(jù)時也直接回傳,不再經(jīng)過其他客戶端��。其他實現(xiàn)過程均相同�,在此不再贅述。按照上述實施例�,便可很好地實現(xiàn)本實用新型。上述實施例僅為本實用新型的兩種情況�,并非全部情況,本實用新型的保護范圍包括但不限于上述實施例。
權(quán)利要求1.防攻擊安全聯(lián)動系統(tǒng)���,包括服務(wù)端�����,與服務(wù)端成映射關(guān)系的客戶端���,以及與客戶端成映射關(guān)系的用戶主機,其特征在于���,所述服務(wù)端內(nèi)嵌有系統(tǒng)管理模塊��、異常處理模塊�、協(xié)議處理模塊和數(shù)據(jù)存儲器���,客戶端內(nèi)嵌有指令執(zhí)行模塊�;該系統(tǒng)管理模塊�、異常處理模塊、協(xié)議處理模塊通過雙向總線順次連通��,數(shù)據(jù)存儲器�����、指令執(zhí)行模塊分別與系統(tǒng)管理模塊直接連接。
2.根據(jù)權(quán)利要求1所述的防攻擊安全聯(lián)動系統(tǒng)���,其特征在于��,所述協(xié)議處理模塊內(nèi)嵌有二層網(wǎng)絡(luò)協(xié)議模塊����。
3.根據(jù)權(quán)利要求2所述的防攻擊安全聯(lián)動系統(tǒng)����,其特征在于��,所述數(shù)據(jù)存儲器���、指令執(zhí)行模塊分別通過雙向總線與系統(tǒng)管理模塊直接連接�。
4.根據(jù)權(quán)利要求3所述的防攻擊安全聯(lián)動系統(tǒng)����,其特征在于,所述服務(wù)端為路由器���。
5.根據(jù)權(quán)利要求4所述的防攻擊安全聯(lián)動系統(tǒng)�����,其特征在于�����,所述客戶端為交換機��。
6.根據(jù)權(quán)利要求5所述的防攻擊安全聯(lián)動系統(tǒng)��,其特征在于����,在服務(wù)端與用戶端之間至少包含一級客戶端。
7.根據(jù)權(quán)利要求6所述的防攻擊安全聯(lián)動系統(tǒng)���,其特征在于���,每一級中客戶端的數(shù)量至少為一個。
專利摘要本實用新型公開了一種防攻擊安全聯(lián)動系統(tǒng)����,屬于網(wǎng)絡(luò)通信技術(shù)領(lǐng)域�����,主要解決了現(xiàn)有技術(shù)中網(wǎng)絡(luò)服務(wù)端自我保護能力太弱的問題�����。防攻擊安全聯(lián)動系統(tǒng)����,包括服務(wù)端��,與服務(wù)端成映射關(guān)系的客戶端����,以及與客戶端成映射關(guān)系的用戶主機�,所述服務(wù)端內(nèi)嵌有系統(tǒng)管理模塊、異常處理模塊����、協(xié)議處理模塊和數(shù)據(jù)存儲器,客戶端內(nèi)嵌有指令執(zhí)行模塊����;該系統(tǒng)管理模塊�����、異常處理模塊�、協(xié)議處理模塊通過雙向總線順次連通��,數(shù)據(jù)存儲器����、指令執(zhí)行模塊分別與系統(tǒng)管理模塊直接連接。本實用新型實現(xiàn)了服務(wù)端與客戶端的主動性聯(lián)動防御與攻擊�,提高了服務(wù)端的自我保護能力,具有很高的實用價值��。
文檔編號H04L29/06GK202103697SQ20102064090
公開日2012年1月4日 申請日期2010年12月3日 優(yōu)先權(quán)日2010年12月3日
發(fā)明者周龍 申請人:成都飛魚星科技開發(fā)有限公司