本發明公開一種面向網絡設備管理協議的異常配置檢測裝置，包括管理協議代理、管理協議執行體池、配置轉譯器、配置裁決器及異常信息上報接口；本發明還公開一種面向網絡設備管理協議的異常配置檢測方法，管理協議代理將遠程配置命令分發給多個冗余執行體的管理協議執行單元，同時分發給配置轉譯器；各管理協議執行單元對配置命令進行解析和處理，將處理生成的控制指令發送給配置裁決器；配置轉譯器將管理協議配置命令進行轉譯，并將該配置命令發送給其他協議的執行單元；配置裁決器將各管理協議執行單元的控制指令進行表決，若表決某個執行單元的控制指令異常，則產生告警。本發明能夠發現攻擊者利用管理協議中漏洞或后門對設備下發的惡意配置。

技術領域

本發明屬于網絡安全技術領域，尤其涉及一種面向網絡設備管理協議的異常配置檢測裝置及方法。

背景技術

隨著網絡規模和應用種類的不斷發展，網絡安全問題日益凸顯，特別是廣泛存在于網絡設備中的未知漏洞與后門成為網絡信息安全的重要威脅。路由器、交換機等設備是網絡基礎設施的核心樞紐，但其卻缺乏有效的安全防護措施，其管理協議中難以避免存在各種漏洞后門。如果其安全問題不解決，受到威脅的將是與這些設備相連接的整個網絡，其危害遠遠超過針對主機的攻擊。

現有的防御體系（Cheng L, Zhang P, Ma Y. Route leakage detectionalgorithm based on new feature discovery[C]//Proceedings of the 4thInternational Conference on Communication and Information Processing. 2018:222-226.）（郭毅, 段海新, 張連成, 等. 基于特征融合相似度的域間路由系統安全威脅感知方法[J]. 中國科學: 信息科學, 2017 (7): 5.）是基于威脅特征感知的精確防御,需要獲得攻擊來源、攻擊特征、攻擊途徑、攻擊行為和攻擊機制等先驗知識作為實施有效防御的基礎。因此, 它必須建立在“已知風險”或是“已知的未知風險”前提條件上。以深度包檢測為代表的傳統防御方法（Sun R, Shi L, Yin C, et al. An improved method indeep packet inspection based on regular expression[J]. The Journal ofSupercomputing, 2019, 75(6): 3317-3333.）必須掌握攻擊特征才能進行有效防御，在面對特征未知的不確定性威脅時，比如一些基于未知漏洞和后門發起的攻擊，現有防御方法難以及時有效地對其進行發現和阻斷。

發明內容

本發明針對現有的防御體系和防御方法對基于未知漏洞和后門發起的攻擊，難以及時有效地對其進行發現和阻斷的問題，提出一種面向網絡設備管理協議的異常配置檢測裝置及方法。

為了實現上述目的，本發明采用以下技術方案：

一種面向網絡設備管理協議的異常配置檢測裝置，包括管理接口，控制平面接口，還包括：管理協議代理、管理協議執行體池、配置轉譯器、配置裁決器及異常信息上報接口；

所述管理協議代理由多個面向網絡設備常用管理協議的代理模塊組成；管理協議代理用于將管理接口接收到的管理協議報文復制分發給管理協議執行體池中的各個執行體，同時對各個執行體的返回值按照一定策略進行轉發或攔截，確保一次配置后只有一個返回值被回送給管理員；記錄遠程登錄至設備的管理員的信息，包括源IP、登錄時間，并更新到相應的數據庫中；

所述管理協議執行體池由1個以上執行體組成，各個執行體之間具有異構性，各個執行體獨立運行在不同的系統環境中，每個執行體由不同團隊開發的或不同版本的管理協議執行單元組成，每個管理協議執行單元能夠獨立地解析相應管理協議的配置命令，并將該命令轉化為具體的控制指令下發到設備控制平面；

所述配置轉譯器用于將管理協議的配置命令進行相互轉換，并將轉換后的配置命令發送到相應的管理協議執行單元；