专利名称:防攻击安全联动系统的制作方法
技术领域:
本实用新型涉及网络通信中的防攻击安全系统,具体地说,是涉及一种防攻击安全联动系统。
背景技术:
在目前的通信网络架构中,路由器一般是工作于IS0/RM的第三层,即网络层,而交换机则工作于第二层,即数据链路层,处于第三层的路由器无法对处于第二层的交换机, 下达指令、进行控制或管理,这种情况下,路由器的自我保护功能极为有限。如果想要对大量的交换机进行统一管理,则需要借助SNMP或TR069等网络管理技术,使用独立的控制软件或服务端,而且还需要所有的设备均支持上述协议,事先还需要为所有的设备配置IP、端口等信息,十分繁琐,组建及维护成本都很高;更重要的是,所有的配置IP、端口等操作均由人工完成,如果信息配置出错,将造成管理混乱,无法实现预定的统一管理的目的。另外,目前的网络攻击大部分来自于内网,而现有的客户端仅有少部分具有一定的安全功能,仅仅能对内网的部分攻击数据进行拦截,或者对流量进行限制。如果网络中出现攻击源对服务端,服务端将只能被动防御,不能进行主动攻击,或者对攻击源进行隔离, 或者采取其他处理方式,这将给网络通信带来极大的安全隐患。
实用新型内容本实用新型的目的在于提供一种防攻击安全联动系统,克服现有技术中服务端对网络的控制能力差,防御攻击的能力弱等问题,实现对客户端统一管理,并在不影响服务端自身工作的情况下,提高其对网络的控制能力,与自我保护能力。为了实现上述目的,本实用新型采用的技术方案如下防攻击安全联动系统,包括服务端,与服务端成映射关系的客户端,以及与客户端成映射关系的用户主机,其中,所述服务端内嵌有系统管理模块、异常处理模块、协议处理模块和数据存储器,客户端内嵌有指令执行模块;该系统管理模块、异常处理模块、协议处理模块通过双向总线顺次连通,数据存储器、指令执行模块分别与系统管理模块直接连接。进一步地,为了便于服务端对客户端的管理,所述协议处理模块内嵌有二层网络协议模块,服务端与客户端直接通过二层网络协议进行数据交换。为了实现系统管理模块对数据存储器的信息读取,以及与指令执行模块之间的数据交换,所述数据存储器、指令执行模块分别通过双向总线与系统管理模块直接连接。具体地说,所述服务端为路由器,客户端为交换机。其中,在服务端与用户端之间可以设置多级客户端,但是至少包含一级客户端,每一级中客户端的数量至少为一个,以保证服务端的指令能通过客户端顺利执行,并作用于用户端,同时,使用户端的信息通过客户端顺利传回服务端,供服务端使用。本实用新型的设计原理针对现有技术中服务端自我保护能力差、对其底层用户主机控制能力弱的问题,利用系统管理模块根据协议处理模块的功能来实现对下层客户端的直接管理,同时,利用客户端对底层用户主机执行惩罚操作,达到在不影响服务端正常工作的情况下实现对用户主机的主动性防御和攻击。与现有技术相比,本实用新型具有以下有益效果一 .利用二层网络协议实现服务端与客户端的会话,利用系统管理模块实现了对客户端的直接统一管理,为服务端在不影响自身工作的情况下进行主动防御与攻击打下了实现基础。二 .服务端对客户端的统一管理,无须借助其他网络管理协议,无须配置复杂的 IP地址、端口及TCP/IP协议地址等信息,仅仅根据网络协议即可实现,大大简化了管理程序,避免了因配置信息过于繁杂造成管理混乱的问题。三.网络结构配置简单,操作方便,大大降低了系统的组建成本和维护成本。四.服务端通过客户端来执行对用户主机的惩罚操作,在不影响自身工作的情况下实现了对用户主机的控制与管理,使服务端的主动操作性大大提高,进行提高了服务端的主动防御能力与攻击能力。五.实现了服务端与客户端的主动性联动防御与攻击,大大提高了整个网络的安全可靠性。本实用新型主要应用于计算机网络通信中,具有很高的实用价值和推广价值。
图1为本实用新型中服务端与客户端中内嵌的模块连接示意图。图2为本实用新型-实施例一的防攻击安全联动系统的系统框图。图3为本实用新型-实施例二的防攻击安全联动系统的系统框图。
具体实施方式
以下结合附图和实施例对本实用新型作进一步说明。实施例一本实施例以服务端包括梯次连接的两级客户端为例对本实用新型进行说明。如图1 图2所示,防攻击安全联动系统主要包括一个服务端,以及与该服务端相连接的一个一级客户端,该一级客户端下设三个二级客户端,每个二级客户端下设两个用户主机。其中,所述服务端内嵌有系统管理模块、异常处理模块、协议处理模块和数据存储器,一级客户端和二级客户端均内嵌有指令执行模块。该系统的实现方法如下一.服务端对所有客户端实现统一管理1.客户端注册登记为实现对客户端的管理,服务端由系统管理模块定期发出扫描指令,并利用协议处理模块传输至各级客户端,对其下层网络中的所有客户端进行扫描, 更新客户端信息,如更新与服务端连接的客户端数量;一级客户端的指令执行模块接收到扫描指令后,在对自己进行扫描操作的同时,向所有二级客户端发送该扫描指令。所有客户端在接收到扫描指令后,检测自身是否已在服务端的系统管理模块中登记注册,如果已经注册,则扫描指令结束,反之,则向系统管理模块发送注册请求,并传送随机会话密匙;系统管理模块接收到注册请求后,对客户端进行登记注册,并给客户端发回登记注册的确认信肩、ο2.用户主机登记由客户端的指令执行模块将其下层所有用户主机的MAC地址通过协议处理模块传回服务端,并存储于数据存储器中。3.确认网络中所有用户主机是否在线用户主机定期向服务端的系统管理模块发送心跳包,与之对应地,系统管理模块定期检查是否收到心跳包;如果收到,则更新与该心跳包对应的用户主机的计数器值为预先设定的最大值,反之,与该心跳包对应的用户主机的计数器值减1 ;如果用户主机的计数器值为0,则服务端记录该用户主机的状态为离线。用户主机的计数器值与其MAC地址直接关联,并存储于数据存储器中。本实施例中,预先设定的用户主机的计数器最大值为3,即如果连续三次服务端均没有收到来自某用户主机的心跳包,那么服务端认为该用户主机已经离线,服务端对该用户主机的状态进行记录。4.客户端信息配置与安全策略制定服务端的系统管理模块根据客户端和用户主机的最新状态制定配置信息和安全策略,并通过协议处理模块将之发送给所有客户端, 完成客户端信息的自动配置。另外,本实用新型中客户端的信息配置工作也可以由人工手动配置。至此,服务端通过协议处理模块完成对所有客户端的统一管理,为服务端主动防御与攻击打下了可实现的基础。二.服务端对用户主机的主动防御与攻击服务端通过异常处理模块分析并确定攻击数据的来源,并向客户端发送操作指令,由客户端的指令执行模块执行对用户主机的主动防御与攻击。1.确定攻击源系统管理模块预先设定网络中正常数据的标准,该标准包括用户主机设定的标准和系统管理模块内置的攻击特征库;客户端将接收的实际数据通过协议处理模块回传至异常处理模块,由异常处理模块将之与预先设定的标准进行对比,判断其是否异常;如果确定该数据异常,系统管理模块立刻追查该异常数据的传输链路,并将之与数据存储器中记录的用户主机的MAC地址进行对比,从而确定该异常数据的来源。如图2中所示,本实施例中确定攻击源来自一个二级客户端的下级网络中的一个用户主机。2.服务端对攻击源进行主动防御和攻击系统管理模块确定攻击源后,由异常处理模块发出惩罚指令,并经过一级客户端后传输至与该攻击源直接连接的二级客户端,该惩罚指令指包含有过滤对象的过滤指令; 该二级客户端的指令执行模块根据接收到的过滤指令对该攻击源发出的数据进行过滤,直到符合该二级客户端当前的安全策略;过滤数据达标后,该指令执行模块将过滤后的数据通过一级客户端回传至异常处理模块,异常处理模块对该数据再次进行分析,如果该数据属于正常数据,则保证该数据的正常传输,反之,则通过一级客户端向该二级客户端发送阻断指令,由其指令执行模块根据阻断指令断开该攻击源的网络连接,从而切断其传输路径, 以防止其传输攻击数据对服务端进行攻击,实现服务端主动防御能力的目的。另一方面,服务端通过向二级客户端下发指令,实现对攻击源的数据过滤、断开网络连接操作,即是对该攻击源的主动攻击方式之一,在一定程度上提高了服务端主动攻击的能力。[0040]实施例二如图1、图3所示,防攻击安全联动系统主要包括一个服务端,以及与该服务端相连接的三个一级客户端,每个一级客户端下设两个用户主机。其中,所述服务端内嵌有系统管理模块、异常处理模块、协议处理模块和数据存储器,所有一级客户端内嵌有指令执行模块。对于实现方法,两个实施例的主要区别在于,本实施例中,服务端对攻击源进行主动防御与攻击时,异常处理模块将操作指令直接发给与攻击源直接连接的一级客户端,中间不再经过其他客户端传输数据,而该一级客户端在对攻击源传输的数据进行过滤后,向服务端回传数据时也直接回传,不再经过其他客户端。其他实现过程均相同,在此不再赘述。按照上述实施例,便可很好地实现本实用新型。上述实施例仅为本实用新型的两种情况,并非全部情况,本实用新型的保护范围包括但不限于上述实施例。
权利要求1.防攻击安全联动系统,包括服务端,与服务端成映射关系的客户端,以及与客户端成映射关系的用户主机,其特征在于,所述服务端内嵌有系统管理模块、异常处理模块、协议处理模块和数据存储器,客户端内嵌有指令执行模块;该系统管理模块、异常处理模块、协议处理模块通过双向总线顺次连通,数据存储器、指令执行模块分别与系统管理模块直接连接。
2.根据权利要求1所述的防攻击安全联动系统,其特征在于,所述协议处理模块内嵌有二层网络协议模块。
3.根据权利要求2所述的防攻击安全联动系统,其特征在于,所述数据存储器、指令执行模块分别通过双向总线与系统管理模块直接连接。
4.根据权利要求3所述的防攻击安全联动系统,其特征在于,所述服务端为路由器。
5.根据权利要求4所述的防攻击安全联动系统,其特征在于,所述客户端为交换机。
6.根据权利要求5所述的防攻击安全联动系统,其特征在于,在服务端与用户端之间至少包含一级客户端。
7.根据权利要求6所述的防攻击安全联动系统,其特征在于,每一级中客户端的数量至少为一个。
专利摘要本实用新型公开了一种防攻击安全联动系统,属于网络通信技术领域,主要解决了现有技术中网络服务端自我保护能力太弱的问题。防攻击安全联动系统,包括服务端,与服务端成映射关系的客户端,以及与客户端成映射关系的用户主机,所述服务端内嵌有系统管理模块、异常处理模块、协议处理模块和数据存储器,客户端内嵌有指令执行模块;该系统管理模块、异常处理模块、协议处理模块通过双向总线顺次连通,数据存储器、指令执行模块分别与系统管理模块直接连接。本实用新型实现了服务端与客户端的主动性联动防御与攻击,提高了服务端的自我保护能力,具有很高的实用价值。
文档编号H04L29/06GK202103697SQ20102064090
公开日2012年1月4日 申请日期2010年12月3日 优先权日2010年12月3日
发明者周龙 申请人:成都飞鱼星科技开发有限公司