專利名稱:防攻擊安全聯(lián)動(dòng)系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本實(shí)用新型涉及網(wǎng)絡(luò)通信中的防攻擊安全系統(tǒng)�����,具體地說�,是涉及一種防攻擊安全聯(lián)動(dòng)系統(tǒng)��。
背景技術(shù):
在目前的通信網(wǎng)絡(luò)架構(gòu)中��,路由器一般是工作于IS0/RM的第三層�,即網(wǎng)絡(luò)層,而交換機(jī)則工作于第二層�,即數(shù)據(jù)鏈路層,處于第三層的路由器無法對(duì)處于第二層的交換機(jī)����, 下達(dá)指令����、進(jìn)行控制或管理����,這種情況下,路由器的自我保護(hù)功能極為有限����。如果想要對(duì)大量的交換機(jī)進(jìn)行統(tǒng)一管理,則需要借助SNMP或TR069等網(wǎng)絡(luò)管理技術(shù)����,使用獨(dú)立的控制軟件或服務(wù)端,而且還需要所有的設(shè)備均支持上述協(xié)議�,事先還需要為所有的設(shè)備配置IP、端口等信息����,十分繁瑣,組建及維護(hù)成本都很高����;更重要的是�,所有的配置IP��、端口等操作均由人工完成����,如果信息配置出錯(cuò),將造成管理混亂��,無法實(shí)現(xiàn)預(yù)定的統(tǒng)一管理的目的�。另外,目前的網(wǎng)絡(luò)攻擊大部分來自于內(nèi)網(wǎng)��,而現(xiàn)有的客戶端僅有少部分具有一定的安全功能�,僅僅能對(duì)內(nèi)網(wǎng)的部分攻擊數(shù)據(jù)進(jìn)行攔截����,或者對(duì)流量進(jìn)行限制。如果網(wǎng)絡(luò)中出現(xiàn)攻擊源對(duì)服務(wù)端�����,服務(wù)端將只能被動(dòng)防御�����,不能進(jìn)行主動(dòng)攻擊,或者對(duì)攻擊源進(jìn)行隔離�����, 或者采取其他處理方式����,這將給網(wǎng)絡(luò)通信帶來極大的安全隱患。
實(shí)用新型內(nèi)容本實(shí)用新型的目的在于提供一種防攻擊安全聯(lián)動(dòng)系統(tǒng)����,克服現(xiàn)有技術(shù)中服務(wù)端對(duì)網(wǎng)絡(luò)的控制能力差,防御攻擊的能力弱等問題���,實(shí)現(xiàn)對(duì)客戶端統(tǒng)一管理��,并在不影響服務(wù)端自身工作的情況下����,提高其對(duì)網(wǎng)絡(luò)的控制能力�,與自我保護(hù)能力。為了實(shí)現(xiàn)上述目的����,本實(shí)用新型采用的技術(shù)方案如下防攻擊安全聯(lián)動(dòng)系統(tǒng)���,包括服務(wù)端,與服務(wù)端成映射關(guān)系的客戶端���,以及與客戶端成映射關(guān)系的用戶主機(jī)��,其中��,所述服務(wù)端內(nèi)嵌有系統(tǒng)管理模塊����、異常處理模塊�、協(xié)議處理模塊和數(shù)據(jù)存儲(chǔ)器,客戶端內(nèi)嵌有指令執(zhí)行模塊��;該系統(tǒng)管理模塊、異常處理模塊�����、協(xié)議處理模塊通過雙向總線順次連通�,數(shù)據(jù)存儲(chǔ)器、指令執(zhí)行模塊分別與系統(tǒng)管理模塊直接連接。進(jìn)一步地���,為了便于服務(wù)端對(duì)客戶端的管理����,所述協(xié)議處理模塊內(nèi)嵌有二層網(wǎng)絡(luò)協(xié)議模塊�����,服務(wù)端與客戶端直接通過二層網(wǎng)絡(luò)協(xié)議進(jìn)行數(shù)據(jù)交換�。為了實(shí)現(xiàn)系統(tǒng)管理模塊對(duì)數(shù)據(jù)存儲(chǔ)器的信息讀取,以及與指令執(zhí)行模塊之間的數(shù)據(jù)交換�����,所述數(shù)據(jù)存儲(chǔ)器����、指令執(zhí)行模塊分別通過雙向總線與系統(tǒng)管理模塊直接連接。具體地說���,所述服務(wù)端為路由器��,客戶端為交換機(jī)����。其中,在服務(wù)端與用戶端之間可以設(shè)置多級(jí)客戶端�����,但是至少包含一級(jí)客戶端����,每一級(jí)中客戶端的數(shù)量至少為一個(gè),以保證服務(wù)端的指令能通過客戶端順利執(zhí)行�����,并作用于用戶端����,同時(shí),使用戶端的信息通過客戶端順利傳回服務(wù)端�,供服務(wù)端使用。本實(shí)用新型的設(shè)計(jì)原理針對(duì)現(xiàn)有技術(shù)中服務(wù)端自我保護(hù)能力差�����、對(duì)其底層用戶主機(jī)控制能力弱的問題�,利用系統(tǒng)管理模塊根據(jù)協(xié)議處理模塊的功能來實(shí)現(xiàn)對(duì)下層客戶端的直接管理,同時(shí)�,利用客戶端對(duì)底層用戶主機(jī)執(zhí)行懲罰操作,達(dá)到在不影響服務(wù)端正常工作的情況下實(shí)現(xiàn)對(duì)用戶主機(jī)的主動(dòng)性防御和攻擊�����。與現(xiàn)有技術(shù)相比�,本實(shí)用新型具有以下有益效果一 .利用二層網(wǎng)絡(luò)協(xié)議實(shí)現(xiàn)服務(wù)端與客戶端的會(huì)話,利用系統(tǒng)管理模塊實(shí)現(xiàn)了對(duì)客戶端的直接統(tǒng)一管理��,為服務(wù)端在不影響自身工作的情況下進(jìn)行主動(dòng)防御與攻擊打下了實(shí)現(xiàn)基礎(chǔ)�����。二 .服務(wù)端對(duì)客戶端的統(tǒng)一管理�����,無須借助其他網(wǎng)絡(luò)管理協(xié)議��,無須配置復(fù)雜的 IP地址�、端口及TCP/IP協(xié)議地址等信息,僅僅根據(jù)網(wǎng)絡(luò)協(xié)議即可實(shí)現(xiàn)���,大大簡(jiǎn)化了管理程序�����,避免了因配置信息過于繁雜造成管理混亂的問題�。三.網(wǎng)絡(luò)結(jié)構(gòu)配置簡(jiǎn)單,操作方便�����,大大降低了系統(tǒng)的組建成本和維護(hù)成本�����。四.服務(wù)端通過客戶端來執(zhí)行對(duì)用戶主機(jī)的懲罰操作�,在不影響自身工作的情況下實(shí)現(xiàn)了對(duì)用戶主機(jī)的控制與管理,使服務(wù)端的主動(dòng)操作性大大提高��,進(jìn)行提高了服務(wù)端的主動(dòng)防御能力與攻擊能力�。五.實(shí)現(xiàn)了服務(wù)端與客戶端的主動(dòng)性聯(lián)動(dòng)防御與攻擊,大大提高了整個(gè)網(wǎng)絡(luò)的安全可靠性��。本實(shí)用新型主要應(yīng)用于計(jì)算機(jī)網(wǎng)絡(luò)通信中��,具有很高的實(shí)用價(jià)值和推廣價(jià)值���。
圖1為本實(shí)用新型中服務(wù)端與客戶端中內(nèi)嵌的模塊連接示意圖���。圖2為本實(shí)用新型-實(shí)施例一的防攻擊安全聯(lián)動(dòng)系統(tǒng)的系統(tǒng)框圖。圖3為本實(shí)用新型-實(shí)施例二的防攻擊安全聯(lián)動(dòng)系統(tǒng)的系統(tǒng)框圖�。
具體實(shí)施方式
以下結(jié)合附圖和實(shí)施例對(duì)本實(shí)用新型作進(jìn)一步說明。實(shí)施例一本實(shí)施例以服務(wù)端包括梯次連接的兩級(jí)客戶端為例對(duì)本實(shí)用新型進(jìn)行說明��。如圖1 圖2所示���,防攻擊安全聯(lián)動(dòng)系統(tǒng)主要包括一個(gè)服務(wù)端��,以及與該服務(wù)端相連接的一個(gè)一級(jí)客戶端�,該一級(jí)客戶端下設(shè)三個(gè)二級(jí)客戶端���,每個(gè)二級(jí)客戶端下設(shè)兩個(gè)用戶主機(jī)��。其中�,所述服務(wù)端內(nèi)嵌有系統(tǒng)管理模塊����、異常處理模塊、協(xié)議處理模塊和數(shù)據(jù)存儲(chǔ)器��,一級(jí)客戶端和二級(jí)客戶端均內(nèi)嵌有指令執(zhí)行模塊�。該系統(tǒng)的實(shí)現(xiàn)方法如下一.服務(wù)端對(duì)所有客戶端實(shí)現(xiàn)統(tǒng)一管理1.客戶端注冊(cè)登記為實(shí)現(xiàn)對(duì)客戶端的管理�����,服務(wù)端由系統(tǒng)管理模塊定期發(fā)出掃描指令�,并利用協(xié)議處理模塊傳輸至各級(jí)客戶端��,對(duì)其下層網(wǎng)絡(luò)中的所有客戶端進(jìn)行掃描��, 更新客戶端信息����,如更新與服務(wù)端連接的客戶端數(shù)量;一級(jí)客戶端的指令執(zhí)行模塊接收到掃描指令后�����,在對(duì)自己進(jìn)行掃描操作的同時(shí)�,向所有二級(jí)客戶端發(fā)送該掃描指令。所有客戶端在接收到掃描指令后�����,檢測(cè)自身是否已在服務(wù)端的系統(tǒng)管理模塊中登記注冊(cè)����,如果已經(jīng)注冊(cè)����,則掃描指令結(jié)束����,反之�,則向系統(tǒng)管理模塊發(fā)送注冊(cè)請(qǐng)求,并傳送隨機(jī)會(huì)話密匙�;系統(tǒng)管理模塊接收到注冊(cè)請(qǐng)求后,對(duì)客戶端進(jìn)行登記注冊(cè)���,并給客戶端發(fā)回登記注冊(cè)的確認(rèn)信肩����、ο2.用戶主機(jī)登記由客戶端的指令執(zhí)行模塊將其下層所有用戶主機(jī)的MAC地址通過協(xié)議處理模塊傳回服務(wù)端�,并存儲(chǔ)于數(shù)據(jù)存儲(chǔ)器中。3.確認(rèn)網(wǎng)絡(luò)中所有用戶主機(jī)是否在線用戶主機(jī)定期向服務(wù)端的系統(tǒng)管理模塊發(fā)送心跳包��,與之對(duì)應(yīng)地�����,系統(tǒng)管理模塊定期檢查是否收到心跳包;如果收到�,則更新與該心跳包對(duì)應(yīng)的用戶主機(jī)的計(jì)數(shù)器值為預(yù)先設(shè)定的最大值,反之�����,與該心跳包對(duì)應(yīng)的用戶主機(jī)的計(jì)數(shù)器值減1 �����;如果用戶主機(jī)的計(jì)數(shù)器值為0�����,則服務(wù)端記錄該用戶主機(jī)的狀態(tài)為離線�����。用戶主機(jī)的計(jì)數(shù)器值與其MAC地址直接關(guān)聯(lián)���,并存儲(chǔ)于數(shù)據(jù)存儲(chǔ)器中�����。本實(shí)施例中����,預(yù)先設(shè)定的用戶主機(jī)的計(jì)數(shù)器最大值為3,即如果連續(xù)三次服務(wù)端均沒有收到來自某用戶主機(jī)的心跳包��,那么服務(wù)端認(rèn)為該用戶主機(jī)已經(jīng)離線�����,服務(wù)端對(duì)該用戶主機(jī)的狀態(tài)進(jìn)行記錄��。4.客戶端信息配置與安全策略制定服務(wù)端的系統(tǒng)管理模塊根據(jù)客戶端和用戶主機(jī)的最新狀態(tài)制定配置信息和安全策略����,并通過協(xié)議處理模塊將之發(fā)送給所有客戶端���, 完成客戶端信息的自動(dòng)配置�����。另外�����,本實(shí)用新型中客戶端的信息配置工作也可以由人工手動(dòng)配置���。至此���,服務(wù)端通過協(xié)議處理模塊完成對(duì)所有客戶端的統(tǒng)一管理,為服務(wù)端主動(dòng)防御與攻擊打下了可實(shí)現(xiàn)的基礎(chǔ)����。二.服務(wù)端對(duì)用戶主機(jī)的主動(dòng)防御與攻擊服務(wù)端通過異常處理模塊分析并確定攻擊數(shù)據(jù)的來源,并向客戶端發(fā)送操作指令�����,由客戶端的指令執(zhí)行模塊執(zhí)行對(duì)用戶主機(jī)的主動(dòng)防御與攻擊���。1.確定攻擊源系統(tǒng)管理模塊預(yù)先設(shè)定網(wǎng)絡(luò)中正常數(shù)據(jù)的標(biāo)準(zhǔn)�����,該標(biāo)準(zhǔn)包括用戶主機(jī)設(shè)定的標(biāo)準(zhǔn)和系統(tǒng)管理模塊內(nèi)置的攻擊特征庫�����;客戶端將接收的實(shí)際數(shù)據(jù)通過協(xié)議處理模塊回傳至異常處理模塊���,由異常處理模塊將之與預(yù)先設(shè)定的標(biāo)準(zhǔn)進(jìn)行對(duì)比���,判斷其是否異常;如果確定該數(shù)據(jù)異常�,系統(tǒng)管理模塊立刻追查該異常數(shù)據(jù)的傳輸鏈路,并將之與數(shù)據(jù)存儲(chǔ)器中記錄的用戶主機(jī)的MAC地址進(jìn)行對(duì)比�,從而確定該異常數(shù)據(jù)的來源。如圖2中所示���,本實(shí)施例中確定攻擊源來自一個(gè)二級(jí)客戶端的下級(jí)網(wǎng)絡(luò)中的一個(gè)用戶主機(jī)���。2.服務(wù)端對(duì)攻擊源進(jìn)行主動(dòng)防御和攻擊系統(tǒng)管理模塊確定攻擊源后,由異常處理模塊發(fā)出懲罰指令�����,并經(jīng)過一級(jí)客戶端后傳輸至與該攻擊源直接連接的二級(jí)客戶端���,該懲罰指令指包含有過濾對(duì)象的過濾指令; 該二級(jí)客戶端的指令執(zhí)行模塊根據(jù)接收到的過濾指令對(duì)該攻擊源發(fā)出的數(shù)據(jù)進(jìn)行過濾���,直到符合該二級(jí)客戶端當(dāng)前的安全策略���;過濾數(shù)據(jù)達(dá)標(biāo)后�����,該指令執(zhí)行模塊將過濾后的數(shù)據(jù)通過一級(jí)客戶端回傳至異常處理模塊�,異常處理模塊對(duì)該數(shù)據(jù)再次進(jìn)行分析�����,如果該數(shù)據(jù)屬于正常數(shù)據(jù)���,則保證該數(shù)據(jù)的正常傳輸��,反之���,則通過一級(jí)客戶端向該二級(jí)客戶端發(fā)送阻斷指令,由其指令執(zhí)行模塊根據(jù)阻斷指令斷開該攻擊源的網(wǎng)絡(luò)連接����,從而切斷其傳輸路徑, 以防止其傳輸攻擊數(shù)據(jù)對(duì)服務(wù)端進(jìn)行攻擊��,實(shí)現(xiàn)服務(wù)端主動(dòng)防御能力的目的�。另一方面,服務(wù)端通過向二級(jí)客戶端下發(fā)指令��,實(shí)現(xiàn)對(duì)攻擊源的數(shù)據(jù)過濾、斷開網(wǎng)絡(luò)連接操作�����,即是對(duì)該攻擊源的主動(dòng)攻擊方式之一�����,在一定程度上提高了服務(wù)端主動(dòng)攻擊的能力��。[0040]實(shí)施例二如圖1����、圖3所示���,防攻擊安全聯(lián)動(dòng)系統(tǒng)主要包括一個(gè)服務(wù)端�,以及與該服務(wù)端相連接的三個(gè)一級(jí)客戶端��,每個(gè)一級(jí)客戶端下設(shè)兩個(gè)用戶主機(jī)����。其中��,所述服務(wù)端內(nèi)嵌有系統(tǒng)管理模塊、異常處理模塊�����、協(xié)議處理模塊和數(shù)據(jù)存儲(chǔ)器�,所有一級(jí)客戶端內(nèi)嵌有指令執(zhí)行模塊。對(duì)于實(shí)現(xiàn)方法�����,兩個(gè)實(shí)施例的主要區(qū)別在于���,本實(shí)施例中��,服務(wù)端對(duì)攻擊源進(jìn)行主動(dòng)防御與攻擊時(shí)�����,異常處理模塊將操作指令直接發(fā)給與攻擊源直接連接的一級(jí)客戶端���,中間不再經(jīng)過其他客戶端傳輸數(shù)據(jù),而該一級(jí)客戶端在對(duì)攻擊源傳輸?shù)臄?shù)據(jù)進(jìn)行過濾后�,向服務(wù)端回傳數(shù)據(jù)時(shí)也直接回傳,不再經(jīng)過其他客戶端。其他實(shí)現(xiàn)過程均相同����,在此不再贅述。按照上述實(shí)施例��,便可很好地實(shí)現(xiàn)本實(shí)用新型�。上述實(shí)施例僅為本實(shí)用新型的兩種情況,并非全部情況�����,本實(shí)用新型的保護(hù)范圍包括但不限于上述實(shí)施例�����。
權(quán)利要求1.防攻擊安全聯(lián)動(dòng)系統(tǒng)���,包括服務(wù)端����,與服務(wù)端成映射關(guān)系的客戶端����,以及與客戶端成映射關(guān)系的用戶主機(jī)�,其特征在于���,所述服務(wù)端內(nèi)嵌有系統(tǒng)管理模塊、異常處理模塊�����、協(xié)議處理模塊和數(shù)據(jù)存儲(chǔ)器����,客戶端內(nèi)嵌有指令執(zhí)行模塊;該系統(tǒng)管理模塊�����、異常處理模塊���、協(xié)議處理模塊通過雙向總線順次連通��,數(shù)據(jù)存儲(chǔ)器����、指令執(zhí)行模塊分別與系統(tǒng)管理模塊直接連接�。
2.根據(jù)權(quán)利要求1所述的防攻擊安全聯(lián)動(dòng)系統(tǒng),其特征在于,所述協(xié)議處理模塊內(nèi)嵌有二層網(wǎng)絡(luò)協(xié)議模塊��。
3.根據(jù)權(quán)利要求2所述的防攻擊安全聯(lián)動(dòng)系統(tǒng)��,其特征在于�,所述數(shù)據(jù)存儲(chǔ)器、指令執(zhí)行模塊分別通過雙向總線與系統(tǒng)管理模塊直接連接�����。
4.根據(jù)權(quán)利要求3所述的防攻擊安全聯(lián)動(dòng)系統(tǒng)����,其特征在于,所述服務(wù)端為路由器�����。
5.根據(jù)權(quán)利要求4所述的防攻擊安全聯(lián)動(dòng)系統(tǒng)����,其特征在于�����,所述客戶端為交換機(jī)。
6.根據(jù)權(quán)利要求5所述的防攻擊安全聯(lián)動(dòng)系統(tǒng)�,其特征在于�����,在服務(wù)端與用戶端之間至少包含一級(jí)客戶端�。
7.根據(jù)權(quán)利要求6所述的防攻擊安全聯(lián)動(dòng)系統(tǒng),其特征在于�,每一級(jí)中客戶端的數(shù)量至少為一個(gè)。
專利摘要本實(shí)用新型公開了一種防攻擊安全聯(lián)動(dòng)系統(tǒng)�,屬于網(wǎng)絡(luò)通信技術(shù)領(lǐng)域,主要解決了現(xiàn)有技術(shù)中網(wǎng)絡(luò)服務(wù)端自我保護(hù)能力太弱的問題�。防攻擊安全聯(lián)動(dòng)系統(tǒng),包括服務(wù)端�����,與服務(wù)端成映射關(guān)系的客戶端��,以及與客戶端成映射關(guān)系的用戶主機(jī)����,所述服務(wù)端內(nèi)嵌有系統(tǒng)管理模塊、異常處理模塊�、協(xié)議處理模塊和數(shù)據(jù)存儲(chǔ)器���,客戶端內(nèi)嵌有指令執(zhí)行模塊;該系統(tǒng)管理模塊��、異常處理模塊�����、協(xié)議處理模塊通過雙向總線順次連通���,數(shù)據(jù)存儲(chǔ)器�����、指令執(zhí)行模塊分別與系統(tǒng)管理模塊直接連接��。本實(shí)用新型實(shí)現(xiàn)了服務(wù)端與客戶端的主動(dòng)性聯(lián)動(dòng)防御與攻擊�,提高了服務(wù)端的自我保護(hù)能力��,具有很高的實(shí)用價(jià)值��。
文檔編號(hào)H04L29/06GK202103697SQ20102064090
公開日2012年1月4日 申請(qǐng)日期2010年12月3日 優(yōu)先權(quán)日2010年12月3日
發(fā)明者周龍 申請(qǐng)人:成都飛魚星科技開發(fā)有限公司