断网旁路自动检测预警系统及方法
【专利摘要】本发明涉及一种断网旁路自动检测预警系统,其中包括专用审计设备、审计设备管理中心、数个服务器以及数个客户端;所述的专用审计设备包括功能模块以及通信模块;所述的数个客户端通过第二交换机组与所述的通信模块通信,所述的审计设备管理中心通过第三交换机组与所述的通信模块通信,所述的通信模块与所述的功能模块相连接,所述的第一交换机组、第二交换机组以及第三交换机组分别包括数个交换机;本发明还涉及一种实现断网旁路自动检测预警的方法。采用本发明的断网旁路自动检测预警系统及方法,能够自检网络环境,根据网络环境实时的控制网络延伸范围,解决专用审计设备的信息安全隐患,结构简单,应用范围广泛。
【专利说明】断网旁路自动检测预警系统及方法
【技术领域】
[0001]本发明涉及通信【技术领域】,尤其涉及网络状态,具体是指一种断网旁路自动检测预警系统及方法。
【背景技术】
[0002]网络安全审计系统针对互联网行为提供有效的行为审计、内容审计、行为报警、行为控制及相关审计功能。从管理层面提供互联网的有效监督,预防、制止数据泄密。满足用户对互联网行为审计备案及安全保护措施的要求,提供完整的上网记录,便于信息追踪、系统安全管理和风险防范。
[0003]现有操作系统均已支持ping traceroute等命令功能,依托专有网络环境中的地址不同,合理组合使用命令可实现网络状态的局部检测;网络旁路是指不改变现有网络拓扑结构的基础上,通过镜像回避已有线路,使用新线路实现通信的方式。
【发明内容】
[0004]本发明的目的是克服了上述现有技术的缺点,提供了一种能够自检网络环境、根据网络环境实时的控制网络延伸范围、解决专用审计设备的信息安全隐患的断网旁路自动检测预警系统及方法。
[0005]为了实现上述目的,本发明的断网旁路自动检测预警系统及方法具有如下构成:
[0006]该断网旁路自动检测预警系统,其主要特点是,所述的系统包括专用审计设备、审计设备管理中心、数个服务器以及数个客户端;所述的专用审计设备包括功能模块以及通信模块;所述的数个服务器通过第一交换机组与所述的通信模块通信,所述的第一交换机组通过第六条通信线路与所述的通信模块相连接,所述的数个客户端通过第二交换机组与所述的通信模块通信,所述的客户端通过第二条通信线路以及第三条通信线路与所述的第二交换机组相连接,所述的审计设备管理中心通过第三交换机组与所述的通信模块通信,所述的审计设备管理中心通过第五条通信线路与所述的第三交换机组相连接,所述的通信模块通过第四条通信线路与所述的第三交换机组相连接,所述的通信模块与所述的功能模块相连接,所述的通信模块通过第一条通信线路与所述的功能模块相连接,所述的第一交换机组、第二交换机组以及第三交换机组分别包括数个交换机。
[0007]进一步地,所述的功能模块包括抓包服务单元、上报接口单元以及数据对比单元,所述的抓包服务单元以及上报接口单元分别与所述的通信模块相连接,所述的数据对比单元分别与所述的抓包服务单元以及上报接口单元相连接,所述的数据对比单元与报警器相连接。
[0008]进一步地,所述的通信模块包括镜像单元。
[0009]进一步地,所述的系统还包括智能卡,所述的功能模块还包括断网自动修复单元,所述的智能卡与所述的断网自动修复单元相连接,所述的断网自动修复单元与所述的通信模块相连接。
[0010]本发明还涉及一种实现断网旁路自动检测预警的方法,其主要特点是,所述的功能模块包括抓包服务单元、上报接口单元以及数据对比单元,所述的通信模块包括镜像单元,所述的方法包括以下步骤:
[0011](I)所述的客户端通过所述的第三条通信线路及第六条通信线路访问所述的服务器;
[0012](2)所述的服务器将所述的客户端访问所述的服务器的审计日志通过所述的第六条通信线路、第三条通信线路以及第二条通信线路发送至所述的上报接口单元,且统计上报条目后,将该上报条目发送至所述的数据对比单元;
[0013](3)所述的镜像单元将第三条通信线路、第四条通信线路及第五条通信线路的上行数据镜像至所述的第一条通信线路;
[0014](4)所述的抓包服务单元获取所述的第一条通信线路上的通信数据,并分析得到请求条目后,将该请求条目发送至所述的数据对比单元;
[0015](5)所述的数据对比单元判断所述的上报条目与所述的请求条目的大小关系,并根据该大小关系开启或者关闭报警器。
[0016]进一步地,所述的步骤(2)与步骤(3)之间还包括以下步骤:
[0017](2.1)所述的服务器定时通过所述的第六条通信线路、第三条通信线路以及第二条通信线路向所述的上报接口单元发送定时心跳;
[0018](2.2)所述的专用审计设备判断最后一次定时心跳的上报时间与审计设备时间的差是否超过第一预设时间;
[0019](2.3)如果所述的定时心跳的上报时间超过第一预设时间,则报警器发出服务器断网的报警信号,否则继续步骤(3)。
[0020]进一步地,所述的步骤(5)包括以下步骤:
[0021](5.1)所述的数据对比模块判断所述的上报条目是否超过所述的请求条目;
[0022](5.2)如果所述的上报条目超过所述的请求条目,则报警器发出旁路状态的报警信号;
[0023](5.3)如果所述的上报条目低于所述的请求条目,则报警器发出日志异常的报警信号;
[0024](5.4)如果所述的上报条目等于所述的请求条目,则报警器发出无流量的报警信号;
[0025](5.5)如果所述的上报条目等于所述的请求条目且都不为零则所述的报警器不发出报警信号。
[0026]进一步地,所述的系统还包括智能卡,所述的功能模块还包括断网自动修复单元,所述的智能卡与所述的断网自动修复单元相连接,所述的方法在步骤(I)之前还包括以下步骤:
[0027](0.1)所述的功能模块判断所述的功能模块是否工作正常;
[0028](0.2)如果所述的功能模块工作正常,则继续步骤(0.3);否则进行步骤(0.6);
[0029](0.3)所述的功能模块判断所述的第一条通信线路是否连通;
[0030](0.4)如果所述的第一条通信线路连通,则所述的功能模块判断所述的第四条通信线路、第五条通信线路是否连通;
[0031](0.5)如果所述的第四条通信线路、第五条通信线路连通,则继续步骤(I);否则继续步骤(0.6);
[0032](0.6)所述的通信模块切断除第一条通信线路外的其他通信电路;
[0033](0.7)所述的断网自动修复单元读取所述的智能卡中的网络配置后,恢复所述的通信模块的网络配置。
[0034]采用了该发明中的断网旁路自动检测预警系统及方法,能够有效的检测在特定生产环境中的各个独立设备的网络状态,并提供有效的状态检测、预警和主动防御,应用范围广泛。
【专利附图】
【附图说明】
[0035]图1为本发明的断网旁路自动检测预警系统的结构示意图。
【具体实施方式】
[0036]为了能够更清楚地描述本发明的技术内容,下面结合具体实施例来进行进一步的描述。
[0037]本发明的断网旁路自动检测预警系统及方法设计网络状态监测技术、网络入侵检测技术以及智能卡读写加密技术等。
[0038]请参阅图1所示,为本发明的断网旁路自动检测预警系统的结构示意图。其中IDl为第一条通信线路,ID2为第二条通信线路,ID3为第三条通信线路,ID4为第四条通信线路,ID5为第五条通信线路,ID6为第六条通信线路,另外Vl表示为该专用审计设备必备的拓扑结构,V2为业务需求中从客户端到服务器的通信线路,其中V2中可以包括多条通信线路,以实现数个客户端与数个服务器相通信。
[0039]本发明的断网旁路自动检测预警系统包括专用审计设备、审计设备管理中心、数个服务器以及数个客户端;所述的专用审计设备包括功能模块以及通信模块;所述的数个服务器通过第一交换机组与所述的通信模块通信,所述的第一交换机组通过第六条通信线路与所述的通信模块相连接,所述的数个客户端通过第二交换机组与所述的通信模块通信,所述的客户端通过第二条通信线路以及第三条通信线路与所述的第二交换机组相连接,所述的审计设备管理中心通过第三交换机组与所述的通信模块通信,所述的审计设备管理中心通过第五条通信线路与所述的第三交换机组相连接,所述的通信模块通过第四条通信线路与所述的第三交换机组相连接,所述的通信模块与所述的功能模块相连接,所述的通信模块通过第一条通信线路与所述的功能模块相连接,所述的第一交换机组、第二交换机组以及第三交换机组分别包括数个交换机。
[0040]所述的功能模块包括抓包服务单元、上报接口单元以及数据对比单元,所述的抓包服务单元以及上报接口单元分别与所述的通信模块相连接,所述的数据对比单元分别与所述的抓包服务单元以及上报接口单元相连接,所述的数据对比单元与报警器相连接。
[0041]所述的通信模块包括镜像单元。
[0042]所述的系统还包括智能卡,所述的功能模块还包括断网自动修复单元,所述的智能卡与所述的断网自动修复单元相连接,所述的断网自动修复单元与所述的通信模块相连接。
[0043]本发明的实现断网旁路自动检测预警的方法,具体包括以下步骤:
[0044](I)所述的客户端通过所述的第三条通信线路及第六条通信线路访问所述的服务器;
[0045](2)所述的服务器将所述的客户端访问所述的服务器的审计日志通过所述的第六条通信线路、第三条通信线路以及第二条通信线路发送至所述的上报接口单元;
[0046](3)所述的镜像单元将第三条通信线路、第四条通信线路及第五条通信线路的上行数据镜像至所述的第一条通信线路;
[0047](4)所述的抓包服务单元获取所述的第一条通信线路上的通信数据,并分析得到上报条目以及请求条目后,将该上报条目以及请求条目发送至所述的数据对比模块;
[0048](5)所述的数据对比模块判断所述的上报条目与所述的请求条目的大小关系,并根据该大小关系开启或者关闭报警器。
[0049]通信模块的虚拟局域网(VLAN)状态抓取:telnet交换板地址vlan show。
[0050]其中镜像单向网络抓包数据与上报数据比对,具体为:
[0051]客户端操作服务器时,服务器将主动上报一条操作日志和内容;客户端通过ID3,ID6访问服务器的数据包将被截获并比对。
[0052]所述的步骤⑵与步骤(3)之间还包括以下步骤:
[0053](2.1)所述的服务器定时通过所述的第六条通信线路、第三条通信线路以及第二条通信线路向所述的上报接口单元发送定时心跳;
[0054](2.2)所述的专用审计设备判断最后一次定时心跳的上报时间与审计设备时间的差是否超过第一预设时间;审计设备时间为当前时间;
[0055](2.3)如果所述的定时心跳的上报时间超过第一预设时间,则报警器发出服务器断网的报警信号,否则继续步骤(3)。
[0056]其中服务器将每次审计日志通过ID6,ID3,ID2发回专用审计设备的上报接口 ;同时服务器也需要定时发送心跳上报,如果最后一次心跳上报时间与审计设备时间相差24小时,则说明服务器为断线状态。
[0057]出现多种异常需要使用告警(功能模块)时,优先级1>优先级2>…〉优先级N,例如出现服务器断线状况及审计设备被旁路状态时,两种状态均入库,功能模块将发出服务器断线的告警(此处是由于设置服务器断线的优先级高于审计设备被旁路状态的优先级)。涉及到网络告警,开箱告警,进程异常告警等其余告警条件时,使用优先级进行判断具体告警内容。该优先级不能由用户进行设置,在本申请中各个异常情况的优先级为:功能模块故障0,内部交换测试I (IDl),系统断线(ID6) 2,旁路状态3,管理中心连接(ID4、ID5)测试4,无流量5,日志异常3。O代表高优先级,同级使用队列模式,最后的异常将被告警。基于上述优先级,优先级高的异常会被先告警。
[0058]通过解密,解析镜像数据,获得IP报文具有规范格式的内容(格式为具有规范XML,该规范已由专用审计设备与服务器承建方共同制定),根据规范对镜像数据进行分割,得到分割后请求条目A,统计上报条目B,做出判断:A = B = O时为无流量状态;B>AX 120%即为旁路状态;B〈AX 120%即为日志异常状态。
[0059]由数据对比单元将异常存入数据库,并通知功能模块,发出服务器系统对应报警。若无则功能模块显示正常,无异常警告入库。
[0060]所述的步骤(5)包括以下步骤:
[0061](5.1)所述的数据对比模块判断所述的上报条目是否超过所述的请求条目;
[0062](5.2)如果所述的上报条目超过所述的请求条目,则报警器发出旁路状态的报警信号;
[0063](5.3)如果所述的上报条目低于所述的请求条目,则报警器发出日志异常的报警信号;
[0064](5.4)如果所述的上报条目等于所述的请求条目且等于0,则报警器发出无流量的报警信号;
[0065](5.5)如果所述的上报条目等于所述的请求条目且都不为零则所述的报警器不发出报警信号。
[0066]旁路检测主要包含以下几个方面的判断:
[0067]如果审计数据上报条目少于专用审计设备抓取解析的业务操作指令(即请求条目),说明网侦系统上报业务数据不完全,系统记录该审计结果,发出预警,可由审计员向相关网侦系统核对相关上报数据是否完整。
[0068]当专用审计设备解析业务操作指令(即请求条目)少于网侦系统上报业务日志时,说明系统抓取原始信令不完整,可能存在专用审计设备被断开或旁路的可能,记录该审计结果,发出预警,由审计员进行网络连接确认。
[0069]如果上报数据和协议解析指令存在不一致情况,可能网侦系统上报业务日志不准确,记录该审计结果,发出预警,由审计员核查。
[0070]所述的方法在步骤(I)之前还包括以下步骤:
[0071](0.1)所述的功能模块判断所述的功能模块是否工作正常;
[0072]该步骤中主要是对所述的功能模块进行环测试,S卩:ping 127.0.0.1(接口地址);pingl27.0.0.1来测试本机TCP/IP是否正常,能ping通127.0.0.1说明本机的网卡和IP协议安装都没有问题。
[0073](0.2)如果所述的功能模块工作正常,则继续步骤(0.3);否则进行步骤(0.6);
[0074](0.3)所述的功能模块判断所述的第一条通信线路是否连通;
[0075]该步骤中是为了检测功能模块与通信模块的联通性,即ping内部交换板地址。
[0076](0.4)如果所述的第一条通信线路连通,则所述的功能模块判断所述的第四条通信线路、第五条通信线路是否连通;
[0077]该步骤是为了检测通信模块与所述的审计设备管理中心的联通性,即ping管理中心地址;
[0078]其中,审计设备管理中心向专用审计设备发送http请求格式如下:
[0079]{
[0080]“systemid”: “3100000000000115,,,
[0081]“company,,:,,,,,
[0082]“addresslist”:,,[ “192.168.0.1:8080”,…]”//管理中心地址
[0083]}
[0084]返回结果示例:
[0085]{
[0086]"status":"fail"
[0087]}
[0088]这样审计设备管理中心就可以获得专用审计设备的离线或者在线状态,其中第三交换机用于连接设计设备管理中心与专用审计设备,这样便于审计设备管理中心对专用审计设备进行管理。
[0089](0.5)如果所述的第四条通信线路、第五条通信线路连通,则继续步骤(I);否则继续步骤(0.6);
[0090](0.6)所述的通信模块切断除第一条通信线路外的其他通信电路;
[0091]通信模块切断通信板块的对外连接,即:telnet交换板地址port set LPx enable=false,此处需要说明的是当抓包服务单元、上报接口单元或者数据对比单元中任意一个出现故障时,则禁止使用通信模块处IDl外的其余所有的网口。
[0092](0.7)所述的断网自动修复单元读取所述的智能卡中的网络配置后,恢复所述的通信模块的网络配置。
[0093]断网自动修复单元读取所述的智能卡中的网络配置,该网络配置为智能卡默认的网络配置,且用户是可以更改该网络配置的。
[0094]智能卡中包含除网络配置外的其余服务配置信息
[0095]智能卡中包含适用于Vl的所有默认网络配置,该智能卡的加密和格式仅可由审计设备管理中心配置并写入,基本加密形式为MD5和CRC校验,格式基本形式为字段长度+字段值。
[0096]采用了该发明中的断网旁路自动检测预警系统及方法,能够有效的检测在特定生产环境中的各个独立设备的网络状态,并提供有效的状态检测、预警和主动防御,应用范围广泛。
[0097]在此说明书中,本发明已参照其特定的实施例作了描述。但是,很显然仍可以作出各种修改和变换而不背离本发明的精神和范围。因此,说明书和附图应被认为是说明性的而非限制性的。
【权利要求】
1.一种断网旁路自动检测预警系统,其特征在于,所述的系统包括专用审计设备、审计设备管理中心、数个服务器以及数个客户端;所述的专用审计设备包括功能模块以及通信模块;所述的数个服务器通过第一交换机组与所述的通信模块通信,所述的第一交换机组通过第六条通信线路与所述的通信模块相连接,所述的数个客户端通过第二交换机组与所述的通信模块通信,所述的客户端通过第二条通信线路以及第三条通信线路与所述的第二交换机组相连接,所述的审计设备管理中心通过第三交换机组与所述的通信模块通信,所述的审计设备管理中心通过第五条通信线路与所述的第三交换机组相连接,所述的通信模块通过第四条通信线路与所述的第三交换机组相连接,所述的通信模块与所述的功能模块相连接,所述的通信模块通过第一条通信线路与所述的功能模块相连接,所述的第一交换机组、第二交换机组以及第三交换机组分别包括数个交换机。
2.根据权利要求1所述的断网旁路自动检测预警系统,其特征在于,所述的功能模块包括抓包服务单元、上报接口单元以及数据对比单元,所述的抓包服务单元以及上报接口单元分别与所述的通信模块相连接,所述的数据对比单元分别与所述的抓包服务单元以及上报接口单元相连接,所述的数据对比单元与报警器相连接。
3.根据权利要求1所述的断网旁路自动检测预警系统,其特征在于,所述的通信模块包括镜像单元。
4.根据权利要求1所述的断网旁路自动检测预警系统,其特征在于,所述的系统还包括智能卡,所述的功能模块还包括断网自动修复单元,所述的智能卡与所述的断网自动修复单元相连接,所述的断网自动修复单元与所述的通信模块相连接。
5.一种基于权利要求1至4中任意一项所述的系统实现断网旁路自动检测预警的方法,其特征在于,所述的功能模块包括抓包服务单元、上报接口单元以及数据对比单元,所述的通信模块包括镜像单元,所述的方法包括以下步骤: (1)所述的客户端通过所述的第三条通信线路及第六条通信线路访问所述的服务器; (2)所述的服务器将所述的客户端访问所述的服务器的审计日志通过所述的第六条通信线路、第三条通信线路以及第二条通信线路发送至所述的上报接口单元,且统计上报条目后,将该上报条目发送至所述的数据对比单元; (3)所述的镜像单元将第三条通信线路、第四条通信线路及第五条通信线路的上行数据镜像至所述的第一条通信线路; (4)所述的抓包服务单元获取所述的第一条通信线路上的通信数据,并分析得到请求条目后,将该请求条目发送至所述的数据对比单元; (5)所述的数据对比单元判断所述的上报条目与所述的请求条目的大小关系,并根据该大小关系开启或者关闭报警器。
6.根据权利要求5所述的实现断网旁路自动检测预警的方法,其特征在于,所述的步骤⑵与步骤⑶之间还包括以下步骤: (2.1)所述的服务器定时通过所述的第六条通信线路、第三条通信线路以及第二条通信线路向所述的上报接口单元发送定时心跳; (2.2)所述的专用审计设备判断最后一次定时心跳的上报时间与审计设备时间的差是否超过第一预设时间; (2.3)如果所述的定时心跳的上报时间超过第一预设时间,则报警器发出服务器断网的报警信号,否则继续步骤(3)。
7.根据权利要求5所述的实现断网旁路自动检测预警的方法,其特征在于,所述的步骤(5)包括以下步骤: (5.1)所述的数据对比模块判断所述的上报条目是否超过所述的请求条目; (5.2)如果所述的上报条目超过所述的请求条目,则报警器发出旁路状态的报警信号; (5.3)如果所述的上报条目低于所述的请求条目,则报警器发出日志异常的报警信号; (5.4)如果所述的上报条目等于所述的请求条目且都为零,则报警器发出无流量的报警信号; (5.5)如果所述的上报条目等于所述的请求条目且都不为零则所述的报警器不发出报警信号。
8.根据权利要求5所述的实现断网旁路自动检测预警的方法,其特征在于,所述的系统还包括智能卡,所述的功能模块还包括断网自动修复单元,所述的智能卡与所述的断网自动修复单元相连接,所述的方法在步骤(I)之前还包括以下步骤: (0.1)所述的功能模块判断所述的功能模块是否工作正常; (0.2)如果所述的功能模块工作正常,则继续步骤(0.3);否则进行步骤(0.6); (0.3)所述的功能模块判断所述的第一条通信线路是否连通; (0.4)如果所述的第一条通信线路连通,则所述的功能模块判断所述的第四条通信线路、第五条通信线路是否连通; (0.5)如果所述的第四条通信线路、第五条通信线路连通,则继续步骤(I);否则继续步骤(0.6); (0.6)所述的通信模块切断除第一条通信线路外的其他通信电路; (0.7)所述的断网自动修复单元读取所述的智能卡中的网络配置后,恢复所述的通信模块的网络配置。
【文档编号】H04L12/26GK104394038SQ201410742667
【公开日】2015年3月4日 申请日期:2014年12月8日 优先权日:2014年12月8日
【发明者】吴松洋, 张瑜, 王磐, 陈以山, 李勋, 张勇 申请人:公安部第三研究所