一种提升网络协议安全防攻击能力的装置及方法

本发明属于信息安全，具体涉及一种提升网络协议安全防攻击能力的装置及方法。

背景技术：

1、现代通讯网络中，通讯节点之间通过网络设备（如路由器、交换机）连接。不同的设备在不同的网络层次上运行，网络设备之间交互协作，共同实现高效、安全的数据通讯。

2、路由器或者交换机通过运行控制平面网络协议来交互信息，感知网络拓扑结构，形成转发路径，从而指导网络流量合理、高效地到达目的地。这些控制平面协议的安全性，成为网络设备高效、安全工作的关键因素。

3、网络安全事件多发生在网络设备的控制平面。最常见的对控制平面的攻击形式是拒绝服务攻击，攻击者大量发送伪造的建链报文，形成拒绝服务攻击，使网络设备无法与邻居设备正常建链和学习网络拓扑信息，导致网络流量无法正确转发；或者将伪造的信息注入网络设备，使网络流量转发到错误的路径。

技术实现思路

1、为了克服现有技术的不足，本发明提供了一种提升网络协议安全防攻击能力的装置及方法，包括安全摘要存储（sss：secure summary storage module）、合法性校验（vcm：validate check module）、安全统计状态机（ssm：secure state machine）三个模块，以及这三个模块与网络设备中的业务协议模块（bpm：business protocol module）、报文处理模块（ppm：packet process module）之间的相互协作关系。本发明能够有效地防止网络设备交互过程中的非法网络攻击，保证控制平面协议的正常工作。本发明提供两种提升网络协议安全防攻击能力的方法，第一种方法应用于物理网络设备，第二种方法应用于云上虚拟网络设备，仅需要极少的存储和计算开销，可大幅提升网络设备的安全性。

2、本发明解决其技术问题所采用的技术方案如下：

3、一种提升网络协议安全防攻击能力的装置，包括三个平面，分别为：

4、管理平面：是网络设备上负责配置、监控、故障排查以及软件升级功能的模块；管理员通过snmp协议、命令行接口cli、web ui或者netconf管理接口对设备进行远程或本地管理；管理平面是设备的人机界面；

5、控制平面：负责网络路径计算、路由表维护、邻居发现、拓扑学习网络智能功能；使用路由协议和控制协议与网络中的其他设备通信，收集网络状态信息，并基于网络状态信息构建和更新最优的数据转发路径；控制平面决定数据包如何在网络中传输，是网络设备的大脑；

6、转发平面：是根据控制平面生成的转发表项和转发数据包，当数据包到达设备时，转发引擎根据目的ip地址、mac地址或其他标签信息查找对应的转发表项，然后决定将数据包发送到哪个端口或下一跳设备；

7、所述三个平面中包括如下模块：

8、业务协议模块bpm：包括管理平面或者控制平面中的指定协议；

9、安全摘要存储模块sss：用于存储安全摘要信息，所述安全摘要信息由业务协议模块bpm产生，在设备重启前存储到硬盘中，并在合法性校验模块vcm中使用；

10、合法性校验模块vcm：完成报文的合法性校验，使用安全摘要存储模块sss产生的摘要信息，完成信息安全性和合法性的校验；

11、安全统计状态机ssm：存储报文合法性校验的统计结果，并根据统计结果，判定当前是否处于被攻击状态，指导合法性校验模块vcm对报文处理模块ppm上送的疑似攻击报文进行概率性丢弃，防止过量的报文上送，保证控制平面的安全可控；

12、报文处理模块ppm：该模块位于转发平面，用于对报文进行处理，以决定该报文是转发还是本地上送处理；对于需要本地上送处理的报文，进一步通过合法性校验模块vcm进行初步校验，以决定该报文是上送还是概率丢弃。

13、优选地，所述转发平面由专用集成电路或者专用网络处理器np完成报文的转发；控制平面和管理平面上的协议处理在cpu上完成；通过转发平面、控制平面以及管理平面的相互配合，完成对控制平面或管理平面协议交互对象的合法性校验。

14、优选地，所述路由协议包括ospf、bgp和isis。

15、优选地，所述管理协议包括telnet、snmp和netconfig。

16、一种提升网络协议安全防攻击能力的方法，包括如下步骤：

17、步骤1：安全摘要存储模块sss收集业务协议模块bpm的合法邻居信息，并将这些合法邻居信息以安全摘要信息的形式下发到转发平面；安全统计状态机ssm和合法性校验模块vcm被部署到转发平面，合法性校验模块vcm利用安全摘要存储模块sss下发的信息，识别疑似攻击报文和疑似合法性，并结合安全统计状态机ssm的状态，对不同性质的报文分配不同的上送配额，保证通过合法性校验的控制平面和管理平面协议能正常建立链接关系。

18、步骤1-1：正常运行阶段：

19、步骤1-1-1：设备在正常运行阶段，转发平面收到报文后，由合法性校验模块vcm进行报文的合法性校验：

20、对于已经或曾经建立链接并通过认证的邻居，报文通过合法性检验，正常上送到控制平面；

21、对于从未建立链接的新邻居发送的报文，合法性校验模块vcm验证不通过，会被误认为疑似攻击报文；如果当前设备并不处于受攻击状态，这一类报文还是按照设定百分比上送到控制平面，并最终建立起邻接关系；

22、步骤1-1-2：控制平面收到转发平面上送的报文后，进行正常的协议处理，包括控制平面协议定义的标准安全检验机制；通过标准安全检验机制后，通讯端点标识符被存放到安全摘要存储模块sss中，并下发到合法性校验模块vcm，这些已经通过安全检验的通讯端点的报文，将被判定为合法的通讯报文，正常上送；

23、步骤1-1-3：安全摘要存储模块sss中的信息，在内存中存放并实时更新；同时，在变更后实时触发，或者周期性触发，将安全摘要信息存放到持久化存储介质，以便设备掉电后重启能继续使用，消除设备重启时的安全攻击风险；

24、步骤1-1-4：设备的安全通讯端点标识符，能够通过管理员手工删除，或者长时间没有使用后自动老化删除；

25、步骤1-2：设备重启或受攻击阶段：

26、正常运行过程中，积累的安全摘要信息被存放在安全摘要存储模块sss中；如果设备没有掉电重启，安全摘要信息在内存中存储维护，并下发到合法性校验模块vcm；如果设备掉电重启，安全摘要存储模块sss从持久化存储介质中恢复安全摘要信息，并重新下发到合法性校验模块vcm；

27、步骤1-2-1：设备收到其他设备发送的报文，由合法性校验模块vcm在转发平面完成报文的合法性校验；如果通过合法性校验模块vcm的合法性校验，则判定该报文发起方是以前安全建立过邻接关系的通讯端点，判定该通讯端点具备合法性，将来自于此端点的控制平面报文上送控制平面；如果没有通过合法性校验模块vcm的合法性校验，则判定该通讯端点疑似受到攻击，使用比通过合法性校验的通讯端点低的配额上送控制平面，或者完全不上送控制平面；合法性校验模块vcm根据历史经验记录确定报文上送和丢弃比例；

28、所有合法性校验模块vcm校验结果的统计信息，会通知给安全统计状态机ssm，安全统计状态机根据单位时间内收到疑似攻击报文的数量，判断当前是否处于受攻击状态，并周期性调整上送控制平面报文的配额；

29、步骤1-2-2：对于通过合法性校验模块vcm校验后确定需要上送控制平面处理的报文，其处理流程与步骤1-1流程相同；

30、步骤2：用于虚拟化场景，使用通用服务器部署虚拟化的路由器；使用linux的ebpf机制完成控制平面报文的安全检查；

31、安全摘要存储模块sss将安全摘要信息下发linux内核的ebpf程序，安全统计状态机ssm和合法性校验模块vcm都以ebpf程序的形式部署到linux内核，合法性校验模块vcm利用安全摘要存储模块sss的信息，识别疑似攻击报文和疑似合法性，并根据安全统计状态机ssm对当前安全状态的判断，对不同性质的报文分配不同的上送配额，合法性校验模块vcm是网络驱动层和网络协议层之间的安全过滤功能层，保证通过合法性校验的控制平面和管理平面协议正常建立链接。

32、优选地，所述安全摘要存储模块sss中存储两套安全摘要信息，一套是历史上曾经通过安全认证的通讯端点摘要，另外一套是当前已经通过安全认证的通讯端点摘要。对两套通讯端点分配不同的配额，当前已经通过安全认证的通讯端点给予大于设定阈值的配额，历史曾经通过认证，但当前还没有通过认证的通讯端点，给予小于设定阈值的配额，而尚未在安全摘要信息中的通讯端点则给予更低的配额。

33、本发明的有益效果如下：

34、本发明在正常运行过程中，收集和存储邻居通讯端点的信息，并将这些信息以安全摘要的形式存储，用于在受到攻击时指导报文的丢弃和上送，避免因设备受到拒绝服务攻击时无差别丢包，导致无法正常建立邻接关系；同时及时丢弃非法攻击报文，确保了控制平面的安全。本发明方法也适用于伪造信息的过滤，仅需要极少的存储和计算开销，可大幅提升网络设备的安全性。