技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)通信中的防攻擊安全系統(tǒng)，具體地說，是涉及一種ASN防攻擊安全聯(lián)動(dòng)系統(tǒng)及其實(shí)現(xiàn)方法。

背景技術(shù)

在目前的通信網(wǎng)絡(luò)架構(gòu)中，路由器一般是工作于ISO/RM的第三層，即網(wǎng)絡(luò)層，而交換機(jī)則工作于第二層，即數(shù)據(jù)鏈路層，處于第三層的路由器無法對處于第二層的交換機(jī)，下達(dá)指令、進(jìn)行控制或管理，這種情況下，路由器的自我保護(hù)功能極為有限。

如果想要對大量的交換機(jī)進(jìn)行統(tǒng)一管理，則需要借助SNMP或TR069等網(wǎng)絡(luò)管理技術(shù)，使用獨(dú)立的控制軟件或服務(wù)端，而且還需要所有的設(shè)備均支持上述協(xié)議，事先還需要為所有的設(shè)備配置IP、端口等信息，十分繁瑣，組建及維護(hù)成本都很高；更重要的是，所有的配置IP、端口等操作均由人工完成，如果信息配置出錯(cuò)，將造成管理混亂，無法實(shí)現(xiàn)預(yù)定的統(tǒng)一管理的目的。

另外，目前的網(wǎng)絡(luò)攻擊大部分來自于內(nèi)網(wǎng)，而現(xiàn)有的客戶端僅有少部分具有一定的安全功能，僅僅能對內(nèi)網(wǎng)的部分攻擊數(shù)據(jù)進(jìn)行攔截，或者對流量進(jìn)行限制。如果網(wǎng)絡(luò)中出現(xiàn)攻擊源對服務(wù)端，服務(wù)端將只能被動(dòng)防御，不能進(jìn)行主動(dòng)攻擊，或者對攻擊源進(jìn)行隔離，或者采取其他處理方式，這將給網(wǎng)絡(luò)通信帶來極大的安全隱患。

發(fā)明內(nèi)容

本發(fā)明的目的在于提供一種ASN防攻擊安全聯(lián)動(dòng)系統(tǒng)，克服現(xiàn)有技術(shù)中服務(wù)端對網(wǎng)絡(luò)的控制能力差，防御攻擊的能力弱等問題，實(shí)現(xiàn)對客戶端統(tǒng)一管理，并在不影響服務(wù)端自身工作的情況下，提高其對網(wǎng)絡(luò)的控制能力，與自我保護(hù)能力。

為了實(shí)現(xiàn)上述目的，本發(fā)明采用的技術(shù)方案如下：

ASN防攻擊安全聯(lián)動(dòng)系統(tǒng)，包括服務(wù)端，與服務(wù)端成映射關(guān)系的客戶端，以及與客戶端成映射關(guān)系的用戶主機(jī)，所述服務(wù)端內(nèi)嵌有系統(tǒng)管理模塊、異常處理模塊、協(xié)議處理模塊和數(shù)據(jù)存儲器，客戶端則內(nèi)嵌有指令執(zhí)行模塊；所述的數(shù)據(jù)存儲器、異常處理模塊和指令執(zhí)行模塊均直接與該系統(tǒng)管理模塊相連接并接受其控制，而協(xié)議處理模塊則分別與異常處理模塊和指令執(zhí)行模塊相連接。

具體地說，所述協(xié)議處理模塊內(nèi)嵌二層網(wǎng)絡(luò)協(xié)議，服務(wù)端為路由器，客戶端為交換機(jī)。

在上述ASN防攻擊安全聯(lián)動(dòng)系統(tǒng)的基礎(chǔ)上，本發(fā)明還提供了其實(shí)現(xiàn)方法，其步驟如下：

(1)服務(wù)端自動(dòng)發(fā)現(xiàn)并由數(shù)據(jù)存儲器記錄其下層網(wǎng)絡(luò)的所有客戶端信息與用戶主機(jī)的MAC地址，由系統(tǒng)管理模塊通過協(xié)議處理模塊對所有客戶端發(fā)出配置信息和安全策略；

(2)服務(wù)端實(shí)時(shí)監(jiān)控其下層網(wǎng)絡(luò)的數(shù)據(jù)傳輸，發(fā)現(xiàn)具有攻擊性的異常數(shù)據(jù)后，通過異常處理模塊來確定該異常數(shù)據(jù)的來源；

(3)服務(wù)端通過協(xié)議處理模塊向客戶端發(fā)出限制指令，客戶端的指令執(zhí)行模塊接收到限制指令后，對發(fā)出攻擊數(shù)據(jù)的用戶主機(jī)進(jìn)行相應(yīng)的限制；

(4)指令執(zhí)行模塊調(diào)用服務(wù)端下發(fā)的當(dāng)前安全策略，對該異常數(shù)據(jù)來源的用戶主機(jī)的網(wǎng)絡(luò)進(jìn)行調(diào)控，并將調(diào)控結(jié)果即時(shí)傳回服務(wù)端，作為制定最新安全策略的依據(jù)。

進(jìn)一步地，所述步驟(1)具體包括：

服務(wù)端內(nèi)嵌的系統(tǒng)管理模塊定期發(fā)出掃描指令，掃描該服務(wù)端下層網(wǎng)絡(luò)中的客戶端信息；

未注冊的客戶端通過指令執(zhí)行模塊接收掃描指令，并向系統(tǒng)管理模塊登記注冊；

注冊后的客戶端通過協(xié)議處理模塊將其下層網(wǎng)絡(luò)中的用戶主機(jī)MAC地址發(fā)送至系統(tǒng)管理模塊，并保存至數(shù)據(jù)存儲器；

系統(tǒng)管理模塊在確認(rèn)所有客戶端已經(jīng)注冊，以及其下層網(wǎng)絡(luò)中用戶主機(jī)的連接狀態(tài)后，更新配置信息和安全策略，并發(fā)送至所有客戶端。

更進(jìn)一步地，所述步驟(3)的具體包括：

系統(tǒng)管理模塊預(yù)先設(shè)定網(wǎng)絡(luò)中正常數(shù)據(jù)的標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)包括用戶主機(jī)設(shè)定的標(biāo)準(zhǔn)和系統(tǒng)管理模塊內(nèi)置的攻擊特征庫；

異常處理模塊將接收到的實(shí)際數(shù)據(jù)與用戶主機(jī)設(shè)定的標(biāo)準(zhǔn)和系統(tǒng)管理模塊內(nèi)置的攻擊特征庫進(jìn)行對比，確定實(shí)際數(shù)據(jù)是否異常；

追查異常數(shù)據(jù)的傳輸鏈路，并與數(shù)據(jù)存儲器中記錄的用戶主機(jī)的MAC地址對比，從而確定該異常數(shù)據(jù)的來源。

在上述步驟中，限制指令至少包括過濾指令和阻斷指令，其中：系統(tǒng)管理模塊首次發(fā)現(xiàn)用戶主機(jī)傳輸帶攻擊性數(shù)據(jù)時(shí)，由異常處理模塊向該用戶主機(jī)的上層客戶端發(fā)出過濾指令；而該客戶端的指令執(zhí)行模塊按照過濾指令對該用戶主機(jī)傳輸?shù)臄?shù)據(jù)進(jìn)行過濾，直到符合該客戶端的當(dāng)前安全策略后，客戶端再將過濾后的數(shù)據(jù)傳回異常處理模塊；異常處理模塊收到數(shù)據(jù)后，再次對過濾后的數(shù)據(jù)進(jìn)行分析，如果仍具有攻擊性，則向該客戶端的指令執(zhí)行模塊發(fā)出阻斷指令，該指令執(zhí)行模塊斷開該用戶主機(jī)的網(wǎng)絡(luò)連接。