斷網旁路自動檢測預警系統及方法
【專利摘要】本發(fā)明涉及一種斷網旁路自動檢測預警系統，其中包括專用審計設備、審計設備管理中心、數個服務器以及數個客戶端；所述的專用審計設備包括功能模塊以及通信模塊；所述的數個客戶端通過第二交換機組與所述的通信模塊通信，所述的審計設備管理中心通過第三交換機組與所述的通信模塊通信，所述的通信模塊與所述的功能模塊相連接，所述的第一交換機組、第二交換機組以及第三交換機組分別包括數個交換機；本發(fā)明還涉及一種實現斷網旁路自動檢測預警的方法。采用本發(fā)明的斷網旁路自動檢測預警系統及方法，能夠自檢網絡環(huán)境，根據網絡環(huán)境實時的控制網絡延伸范圍，解決專用審計設備的信息安全隱患，結構簡單，應用范圍廣泛。
【專利說明】斷網旁路自動檢測預警系統及方法

【技術領域】
[0001]本發(fā)明涉及通信【技術領域】，尤其涉及網絡狀態(tài)，具體是指一種斷網旁路自動檢測預警系統及方法。

【背景技術】
[0002]網絡安全審計系統針對互聯網行為提供有效的行為審計、內容審計、行為報警、行為控制及相關審計功能。從管理層面提供互聯網的有效監(jiān)督，預防、制止數據泄密。滿足用戶對互聯網行為審計備案及安全保護措施的要求，提供完整的上網記錄，便于信息追蹤、系統安全管理和風險防范。
[0003]現有操作系統均已支持ping traceroute等命令功能,依托專有網絡環(huán)境中的地址不同，合理組合使用命令可實現網絡狀態(tài)的局部檢測；網絡旁路是指不改變現有網絡拓撲結構的基礎上，通過鏡像回避已有線路，使用新線路實現通信的方式。


【發(fā)明內容】

[0004]本發(fā)明的目的是克服了上述現有技術的缺點，提供了一種能夠自檢網絡環(huán)境、根據網絡環(huán)境實時的控制網絡延伸范圍、解決專用審計設備的信息安全隱患的斷網旁路自動檢測預警系統及方法。
[0005]為了實現上述目的，本發(fā)明的斷網旁路自動檢測預警系統及方法具有如下構成:
[0006]該斷網旁路自動檢測預警系統，其主要特點是，所述的系統包括專用審計設備、審計設備管理中心、數個服務器以及數個客戶端；所述的專用審計設備包括功能模塊以及通信模塊；所述的數個服務器通過第一交換機組與所述的通信模塊通信，所述的第一交換機組通過第六條通信線路與所述的通信模塊相連接，所述的數個客戶端通過第二交換機組與所述的通信模塊通信，所述的客戶端通過第二條通信線路以及第三條通信線路與所述的第二交換機組相連接，所述的審計設備管理中心通過第三交換機組與所述的通信模塊通信，所述的審計設備管理中心通過第五條通信線路與所述的第三交換機組相連接，所述的通信模塊通過第四條通信線路與所述的第三交換機組相連接，所述的通信模塊與所述的功能模塊相連接，所述的通信模塊通過第一條通信線路與所述的功能模塊相連接，所述的第一交換機組、第二交換機組以及第三交換機組分別包括數個交換機。
[0007]進一步地，所述的功能模塊包括抓包服務單元、上報接口單元以及數據對比單元，所述的抓包服務單元以及上報接口單元分別與所述的通信模塊相連接，所述的數據對比單元分別與所述的抓包服務單元以及上報接口單元相連接，所述的數據對比單元與報警器相連接。
[0008]進一步地，所述的通信模塊包括鏡像單元。
[0009]進一步地,所述的系統還包括智能卡,所述的功能模塊還包括斷網自動修復單元，所述的智能卡與所述的斷網自動修復單元相連接，所述的斷網自動修復單元與所述的通信模塊相連接。
[0010]本發(fā)明還涉及一種實現斷網旁路自動檢測預警的方法，其主要特點是，所述的功能模塊包括抓包服務單元、上報接口單元以及數據對比單元，所述的通信模塊包括鏡像單元，所述的方法包括以下步驟:
[0011](I)所述的客戶端通過所述的第三條通信線路及第六條通信線路訪問所述的服務器；
[0012](2)所述的服務器將所述的客戶端訪問所述的服務器的審計日志通過所述的第六條通信線路、第三條通信線路以及第二條通信線路發(fā)送至所述的上報接口單元，且統計上報條目后，將該上報條目發(fā)送至所述的數據對比單元；
[0013](3)所述的鏡像單元將第三條通信線路、第四條通信線路及第五條通信線路的上行數據鏡像至所述的第一條通信線路；
[0014](4)所述的抓包服務單元獲取所述的第一條通信線路上的通信數據，并分析得到請求條目后，將該請求條目發(fā)送至所述的數據對比單元；
[0015](5)所述的數據對比單元判斷所述的上報條目與所述的請求條目的大小關系，并根據該大小關系開啟或者關閉報警器。
[0016]進一步地，所述的步驟(2)與步驟(3)之間還包括以下步驟:
[0017](2.1)所述的服務器定時通過所述的第六條通信線路、第三條通信線路以及第二條通信線路向所述的上報接口單元發(fā)送定時心跳；
[0018](2.2)所述的專用審計設備判斷最后一次定時心跳的上報時間與審計設備時間的差是否超過第一預設時間；
[0019](2.3)如果所述的定時心跳的上報時間超過第一預設時間，則報警器發(fā)出服務器斷網的報警信號，否則繼續(xù)步驟(3)。
[0020]進一步地，所述的步驟(5)包括以下步驟:
[0021](5.1)所述的數據對比模塊判斷所述的上報條目是否超過所述的請求條目；
[0022](5.2)如果所述的上報條目超過所述的請求條目，則報警器發(fā)出旁路狀態(tài)的報警信號;
[0023](5.3)如果所述的上報條目低于所述的請求條目，則報警器發(fā)出日志異常的報警信號;
[0024](5.4)如果所述的上報條目等于所述的請求條目，則報警器發(fā)出無流量的報警信號;
[0025](5.5)如果所述的上報條目等于所述的請求條目且都不為零則所述的報警器不發(fā)出報警信號。
[0026]進一步地,所述的系統還包括智能卡,所述的功能模塊還包括斷網自動修復單元，所述的智能卡與所述的斷網自動修復單元相連接，所述的方法在步驟(I)之前還包括以下步驟:
[0027](0.1)所述的功能模塊判斷所述的功能模塊是否工作正常；
[0028](0.2)如果所述的功能模塊工作正常，則繼續(xù)步驟(0.3);否則進行步驟(0.6)；
[0029](0.3)所述的功能模塊判斷所述的第一條通信線路是否連通；
[0030](0.4)如果所述的第一條通信線路連通，則所述的功能模塊判斷所述的第四條通信線路、第五條通信線路是否連通；
[0031](0.5)如果所述的第四條通信線路、第五條通信線路連通，則繼續(xù)步驟(I);否則繼續(xù)步驟(0.6)；
[0032](0.6)所述的通信模塊切斷除第一條通信線路外的其他通信電路；
[0033](0.7)所述的斷網自動修復單元讀取所述的智能卡中的網絡配置后，恢復所述的通信模塊的網絡配置。
[0034]采用了該發(fā)明中的斷網旁路自動檢測預警系統及方法，能夠有效的檢測在特定生產環(huán)境中的各個獨立設備的網絡狀態(tài)，并提供有效的狀態(tài)檢測、預警和主動防御，應用范圍廣泛。

【專利附圖】

【附圖說明】
[0035]圖1為本發(fā)明的斷網旁路自動檢測預警系統的結構示意圖。

【具體實施方式】
[0036]為了能夠更清楚地描述本發(fā)明的技術內容，下面結合具體實施例來進行進一步的描述。
[0037]本發(fā)明的斷網旁路自動檢測預警系統及方法設計網絡狀態(tài)監(jiān)測技術、網絡入侵檢測技術以及智能卡讀寫加密技術等。
[0038]請參閱圖1所示，為本發(fā)明的斷網旁路自動檢測預警系統的結構示意圖。其中IDl為第一條通信線路，ID2為第二條通信線路，ID3為第三條通信線路，ID4為第四條通信線路，ID5為第五條通信線路，ID6為第六條通信線路，另外Vl表示為該專用審計設備必備的拓撲結構，V2為業(yè)務需求中從客戶端到服務器的通信線路，其中V2中可以包括多條通信線路，以實現數個客戶端與數個服務器相通信。
[0039]本發(fā)明的斷網旁路自動檢測預警系統包括專用審計設備、審計設備管理中心、數個服務器以及數個客戶端；所述的專用審計設備包括功能模塊以及通信模塊；所述的數個服務器通過第一交換機組與所述的通信模塊通信，所述的第一交換機組通過第六條通信線路與所述的通信模塊相連接，所述的數個客戶端通過第二交換機組與所述的通信模塊通信，所述的客戶端通過第二條通信線路以及第三條通信線路與所述的第二交換機組相連接，所述的審計設備管理中心通過第三交換機組與所述的通信模塊通信，所述的審計設備管理中心通過第五條通信線路與所述的第三交換機組相連接，所述的通信模塊通過第四條通信線路與所述的第三交換機組相連接，所述的通信模塊與所述的功能模塊相連接，所述的通信模塊通過第一條通信線路與所述的功能模塊相連接，所述的第一交換機組、第二交換機組以及第三交換機組分別包括數個交換機。
[0040]所述的功能模塊包括抓包服務單元、上報接口單元以及數據對比單元，所述的抓包服務單元以及上報接口單元分別與所述的通信模塊相連接，所述的數據對比單元分別與所述的抓包服務單元以及上報接口單元相連接，所述的數據對比單元與報警器相連接。
[0041]所述的通信模塊包括鏡像單元。
[0042]所述的系統還包括智能卡,所述的功能模塊還包括斷網自動修復單元,所述的智能卡與所述的斷網自動修復單元相連接，所述的斷網自動修復單元與所述的通信模塊相連接。
[0043]本發(fā)明的實現斷網旁路自動檢測預警的方法，具體包括以下步驟:
[0044](I)所述的客戶端通過所述的第三條通信線路及第六條通信線路訪問所述的服務器；
[0045](2)所述的服務器將所述的客戶端訪問所述的服務器的審計日志通過所述的第六條通信線路、第三條通信線路以及第二條通信線路發(fā)送至所述的上報接口單元；
[0046](3)所述的鏡像單元將第三條通信線路、第四條通信線路及第五條通信線路的上行數據鏡像至所述的第一條通信線路；
[0047](4)所述的抓包服務單元獲取所述的第一條通信線路上的通信數據，并分析得到上報條目以及請求條目后，將該上報條目以及請求條目發(fā)送至所述的數據對比模塊；
[0048](5)所述的數據對比模塊判斷所述的上報條目與所述的請求條目的大小關系，并根據該大小關系開啟或者關閉報警器。
[0049]通信模塊的虛擬局域網(VLAN)狀態(tài)抓取:telnet交換板地址vlan show。
[0050]其中鏡像單向網絡抓包數據與上報數據比對，具體為:
[0051]客戶端操作服務器時，服務器將主動上報一條操作日志和內容；客戶端通過ID3，ID6訪問服務器的數據包將被截獲并比對。
[0052]所述的步驟⑵與步驟(3)之間還包括以下步驟:
[0053](2.1)所述的服務器定時通過所述的第六條通信線路、第三條通信線路以及第二條通信線路向所述的上報接口單元發(fā)送定時心跳；
[0054](2.2)所述的專用審計設備判斷最后一次定時心跳的上報時間與審計設備時間的差是否超過第一預設時間；審計設備時間為當前時間；
[0055](2.3)如果所述的定時心跳的上報時間超過第一預設時間，則報警器發(fā)出服務器斷網的報警信號，否則繼續(xù)步驟(3)。
[0056]其中服務器將每次審計日志通過ID6，ID3，ID2發(fā)回專用審計設備的上報接口 ；同時服務器也需要定時發(fā)送心跳上報，如果最后一次心跳上報時間與審計設備時間相差24小時，則說明服務器為斷線狀態(tài)。
[0057]出現多種異常需要使用告警(功能模塊)時，優(yōu)先級1>優(yōu)先級2>…〉優(yōu)先級N，例如出現服務器斷線狀況及審計設備被旁路狀態(tài)時，兩種狀態(tài)均入庫，功能模塊將發(fā)出服務器斷線的告警(此處是由于設置服務器斷線的優(yōu)先級高于審計設備被旁路狀態(tài)的優(yōu)先級)。涉及到網絡告警，開箱告警，進程異常告警等其余告警條件時，使用優(yōu)先級進行判斷具體告警內容。該優(yōu)先級不能由用戶進行設置，在本申請中各個異常情況的優(yōu)先級為:功能模塊故障0，內部交換測試I (IDl)，系統斷線(ID6) 2，旁路狀態(tài)3，管理中心連接(ID4、ID5)測試4，無流量5，日志異常3。O代表高優(yōu)先級，同級使用隊列模式，最后的異常將被告警?；谏鲜鰞?yōu)先級，優(yōu)先級高的異常會被先告警。
[0058]通過解密，解析鏡像數據，獲得IP報文具有規(guī)范格式的內容(格式為具有規(guī)范XML，該規(guī)范已由專用審計設備與服務器承建方共同制定)，根據規(guī)范對鏡像數據進行分割，得到分割后請求條目A，統計上報條目B，做出判斷:A = B = O時為無流量狀態(tài)；B>AX 120%即為旁路狀態(tài)；B〈AX 120%即為日志異常狀態(tài)。
[0059]由數據對比單元將異常存入數據庫，并通知功能模塊，發(fā)出服務器系統對應報警。若無則功能模塊顯示正常，無異常警告入庫。
[0060]所述的步驟(5)包括以下步驟:
[0061](5.1)所述的數據對比模塊判斷所述的上報條目是否超過所述的請求條目；
[0062](5.2)如果所述的上報條目超過所述的請求條目，則報警器發(fā)出旁路狀態(tài)的報警信號;
[0063](5.3)如果所述的上報條目低于所述的請求條目，則報警器發(fā)出日志異常的報警信號;
[0064](5.4)如果所述的上報條目等于所述的請求條目且等于0，則報警器發(fā)出無流量的報警信號；
[0065](5.5)如果所述的上報條目等于所述的請求條目且都不為零則所述的報警器不發(fā)出報警信號。
[0066]旁路檢測主要包含以下幾個方面的判斷:
[0067]如果審計數據上報條目少于專用審計設備抓取解析的業(yè)務操作指令(即請求條目)，說明網偵系統上報業(yè)務數據不完全，系統記錄該審計結果，發(fā)出預警，可由審計員向相關網偵系統核對相關上報數據是否完整。
[0068]當專用審計設備解析業(yè)務操作指令(即請求條目)少于網偵系統上報業(yè)務日志時，說明系統抓取原始信令不完整，可能存在專用審計設備被斷開或旁路的可能，記錄該審計結果，發(fā)出預警，由審計員進行網絡連接確認。
[0069]如果上報數據和協議解析指令存在不一致情況，可能網偵系統上報業(yè)務日志不準確，記錄該審計結果，發(fā)出預警，由審計員核查。
[0070]所述的方法在步驟(I)之前還包括以下步驟:
[0071](0.1)所述的功能模塊判斷所述的功能模塊是否工作正常；
[0072]該步驟中主要是對所述的功能模塊進行環(huán)測試，S卩:ping 127.0.0.1(接口地址)；pingl27.0.0.1來測試本機TCP/IP是否正常，能ping通127.0.0.1說明本機的網卡和IP協議安裝都沒有問題。
[0073](0.2)如果所述的功能模塊工作正常，則繼續(xù)步驟(0.3);否則進行步驟(0.6)；
[0074](0.3)所述的功能模塊判斷所述的第一條通信線路是否連通；
[0075]該步驟中是為了檢測功能模塊與通信模塊的聯通性，即ping內部交換板地址。
[0076](0.4)如果所述的第一條通信線路連通，則所述的功能模塊判斷所述的第四條通信線路、第五條通信線路是否連通；
[0077]該步驟是為了檢測通信模塊與所述的審計設備管理中心的聯通性，即ping管理中心地址；
[0078]其中，審計設備管理中心向專用審計設備發(fā)送http請求格式如下:
[0079]{
[0080]“systemid”: “3100000000000115，，，
[0081]“company，，:，，，，，
[0082]“addresslist”:，，[ “192.168.0.1:8080”，…]”//管理中心地址
[0083]}
[0084]返回結果示例:
[0085]{
[0086]"status":"fail"
[0087]}
[0088]這樣審計設備管理中心就可以獲得專用審計設備的離線或者在線狀態(tài)，其中第三交換機用于連接設計設備管理中心與專用審計設備，這樣便于審計設備管理中心對專用審計設備進行管理。
[0089](0.5)如果所述的第四條通信線路、第五條通信線路連通，則繼續(xù)步驟(I);否則繼續(xù)步驟(0.6)；
[0090](0.6)所述的通信模塊切斷除第一條通信線路外的其他通信電路；
[0091]通信模塊切斷通信板塊的對外連接，即:telnet交換板地址port set LPx enable=false,此處需要說明的是當抓包服務單元、上報接口單元或者數據對比單元中任意一個出現故障時，則禁止使用通信模塊處IDl外的其余所有的網口。
[0092](0.7)所述的斷網自動修復單元讀取所述的智能卡中的網絡配置后，恢復所述的通信模塊的網絡配置。
[0093]斷網自動修復單元讀取所述的智能卡中的網絡配置，該網絡配置為智能卡默認的網絡配置，且用戶是可以更改該網絡配置的。
[0094]智能卡中包含除網絡配置外的其余服務配置信息
[0095]智能卡中包含適用于Vl的所有默認網絡配置，該智能卡的加密和格式僅可由審計設備管理中心配置并寫入，基本加密形式為MD5和CRC校驗，格式基本形式為字段長度+字段值。
[0096]采用了該發(fā)明中的斷網旁路自動檢測預警系統及方法，能夠有效的檢測在特定生產環(huán)境中的各個獨立設備的網絡狀態(tài)，并提供有效的狀態(tài)檢測、預警和主動防御，應用范圍廣泛。
[0097]在此說明書中，本發(fā)明已參照其特定的實施例作了描述。但是，很顯然仍可以作出各種修改和變換而不背離本發(fā)明的精神和范圍。因此，說明書和附圖應被認為是說明性的而非限制性的。
【權利要求】
1.一種斷網旁路自動檢測預警系統，其特征在于，所述的系統包括專用審計設備、審計設備管理中心、數個服務器以及數個客戶端；所述的專用審計設備包括功能模塊以及通信模塊；所述的數個服務器通過第一交換機組與所述的通信模塊通信，所述的第一交換機組通過第六條通信線路與所述的通信模塊相連接，所述的數個客戶端通過第二交換機組與所述的通信模塊通信，所述的客戶端通過第二條通信線路以及第三條通信線路與所述的第二交換機組相連接，所述的審計設備管理中心通過第三交換機組與所述的通信模塊通信，所述的審計設備管理中心通過第五條通信線路與所述的第三交換機組相連接，所述的通信模塊通過第四條通信線路與所述的第三交換機組相連接，所述的通信模塊與所述的功能模塊相連接，所述的通信模塊通過第一條通信線路與所述的功能模塊相連接，所述的第一交換機組、第二交換機組以及第三交換機組分別包括數個交換機。
2.根據權利要求1所述的斷網旁路自動檢測預警系統，其特征在于，所述的功能模塊包括抓包服務單元、上報接口單元以及數據對比單元，所述的抓包服務單元以及上報接口單元分別與所述的通信模塊相連接，所述的數據對比單元分別與所述的抓包服務單元以及上報接口單元相連接，所述的數據對比單元與報警器相連接。
3.根據權利要求1所述的斷網旁路自動檢測預警系統，其特征在于，所述的通信模塊包括鏡像單元。
4.根據權利要求1所述的斷網旁路自動檢測預警系統，其特征在于，所述的系統還包括智能卡，所述的功能模塊還包括斷網自動修復單元，所述的智能卡與所述的斷網自動修復單元相連接，所述的斷網自動修復單元與所述的通信模塊相連接。
5.一種基于權利要求1至4中任意一項所述的系統實現斷網旁路自動檢測預警的方法，其特征在于，所述的功能模塊包括抓包服務單元、上報接口單元以及數據對比單元，所述的通信模塊包括鏡像單元，所述的方法包括以下步驟: (1)所述的客戶端通過所述的第三條通信線路及第六條通信線路訪問所述的服務器； (2)所述的服務器將所述的客戶端訪問所述的服務器的審計日志通過所述的第六條通信線路、第三條通信線路以及第二條通信線路發(fā)送至所述的上報接口單元，且統計上報條目后，將該上報條目發(fā)送至所述的數據對比單元； (3)所述的鏡像單元將第三條通信線路、第四條通信線路及第五條通信線路的上行數據鏡像至所述的第一條通信線路； (4)所述的抓包服務單元獲取所述的第一條通信線路上的通信數據，并分析得到請求條目后，將該請求條目發(fā)送至所述的數據對比單元； (5)所述的數據對比單元判斷所述的上報條目與所述的請求條目的大小關系，并根據該大小關系開啟或者關閉報警器。
6.根據權利要求5所述的實現斷網旁路自動檢測預警的方法，其特征在于，所述的步驟⑵與步驟⑶之間還包括以下步驟: (2.1)所述的服務器定時通過所述的第六條通信線路、第三條通信線路以及第二條通信線路向所述的上報接口單元發(fā)送定時心跳； (2.2)所述的專用審計設備判斷最后一次定時心跳的上報時間與審計設備時間的差是否超過第一預設時間； (2.3)如果所述的定時心跳的上報時間超過第一預設時間，則報警器發(fā)出服務器斷網的報警信號，否則繼續(xù)步驟(3)。
7.根據權利要求5所述的實現斷網旁路自動檢測預警的方法，其特征在于，所述的步驟(5)包括以下步驟: (5.1)所述的數據對比模塊判斷所述的上報條目是否超過所述的請求條目； (5.2)如果所述的上報條目超過所述的請求條目，則報警器發(fā)出旁路狀態(tài)的報警信號; (5.3)如果所述的上報條目低于所述的請求條目，則報警器發(fā)出日志異常的報警信號; (5.4)如果所述的上報條目等于所述的請求條目且都為零，則報警器發(fā)出無流量的報警信號； (5.5)如果所述的上報條目等于所述的請求條目且都不為零則所述的報警器不發(fā)出報警信號。
8.根據權利要求5所述的實現斷網旁路自動檢測預警的方法，其特征在于，所述的系統還包括智能卡,所述的功能模塊還包括斷網自動修復單元，所述的智能卡與所述的斷網自動修復單元相連接，所述的方法在步驟(I)之前還包括以下步驟: (0.1)所述的功能模塊判斷所述的功能模塊是否工作正常； (0.2)如果所述的功能模塊工作正常，則繼續(xù)步驟(0.3);否則進行步驟(0.6)； (0.3)所述的功能模塊判斷所述的第一條通信線路是否連通； (0.4)如果所述的第一條通信線路連通，則所述的功能模塊判斷所述的第四條通信線路、第五條通信線路是否連通； (0.5)如果所述的第四條通信線路、第五條通信線路連通，則繼續(xù)步驟(I);否則繼續(xù)步驟(0.6)； (0.6)所述的通信模塊切斷除第一條通信線路外的其他通信電路； (0.7)所述的斷網自動修復單元讀取所述的智能卡中的網絡配置后，恢復所述的通信模塊的網絡配置。
【文檔編號】H04L12/26GK104394038SQ201410742667
【公開日】2015年3月4日 申請日期:2014年12月8日 優(yōu)先權日:2014年12月8日
【發(fā)明者】吳松洋, 張瑜, 王磐, 陳以山, 李勛, 張勇 申請人:公安部第三研究所