[实用新型]一种接入网关设备异常流量监控装置

说明书

技术领域

本实用新型属于网络安全监控技术领域，具体涉及一种接入网关设备异常流量监控装置。

背景技术

随着网络安全形势的日益严峻复杂特别是网络失窃密事件的频繁发生，网络设备安全成为日渐关注的热点。而作为与终端用户网络直接物理连接的网络设备，接入网关实现终端用户网络与因特网之间数据通信的网络地址转换、路由和转发，其主要功能作用如下：(1)建立网络通信物理链路，实现两个或多个网络及设备之间的物理介质连接；(2)通过与因特网上其它路由器相互交换路由信息，建立维护网络连通关系，更新查找路由表，为用户通信提供数据传送网络路径；(3)进行内网地址与外网地址之间的相互转换，实现多个内网设备共享使用一个外部因特网IP地址，可有效缓解IPV4网络地址匮乏用尽的危机；(4)根据用户需要进行内网与外网之间TCP/UDP端口的映射，以满足用户特定通信需要。

作为终端用户网络数据出入因特网的总“闸口”，接入网关设备具备实施敏感信息窃取的便利条件，与终端用户网络的安全息息相关。而近几年陆续曝出的后门、XSS、CSRF等接入网关设备漏洞及攻击行为表明接入网关等网络设备存在较大的安全隐患，正日益成为网络安全博弈的新焦点。如果接入网关设备被蓄意植入后门或者遭受攻击控制，被用于敏感信息的识别、截获和远程回传，那么终端用户的网络通信行为将被偷窥，通联数据将被窃取。更令人担忧的是，接入网关设备可能成为攻击终端用户网络的跳板，对终端用户网络主机进行扫描探测、漏洞发现、木马种植、敏感数据搜集等，隐蔽性强，危害严重。因此，加强对接入网关设备的安全监控，准确及时发现攻击渗透行为等异常流量，对于确保终端网络安全具有十分重要的现实意义。

发明内容

本实用新型的目的在于解决上述的接入网关设备安全监控问题，提供一种接入网关设备异常流量监控装置。

本实用新型解决其技术问题所采用的技术方案是：一种接入网关设备异常流量监控装置主要由5个接口数据处理单元、协议特征比对单元、异常流量报警单元、控制单元组成，所述控制单元分别与5个接口数据处理单元、协议特征比对单元、异常流量报警单元相连，协议特征比对单元分别与5个接口数据处理单元、异常流量报警单元相连。

具体地，所述5个接口数据处理单元结构完全相同，都由数据捕获记录模块、协议解析与特征提取模块、应用业务数据摘要信息求取模块、数据进出双向分离模块、输入和输出分 组特征缓存模块组成，各模块依次相互连接，特别是数据进出双向分离模块分别与输入分组特征缓存模块和输出分组特征缓存模块相连，用于网络数据的抓取解析、协议特征提取求取和缓存。

具体地，所述控制单元用于接口数据处理单元、协议特征比对单元、异常流量报警单元的参数配置、状态查询、操作控制。

具体地，所述协议特征比对单元是整个装置的功能核心，由输入分组特征缓存调度模块、输出分组特征缓存调度模块、协议特征比对模块和比对结果输出模块组成，用于5个接口输入输出分组的协议特征比对，对各接口输出的每一个分组与所有接口的输入分组进行协议特征匹配，并将比对结果传送到异常流量报警单元。

具体地，所述异常流量单元根据协议特征比对单元的输出结果，对发现的异常流量进行报警，报警方式可为声音警示、Modem连接有线电话进行振铃提醒、移动通信网络发送短信告知。

本实用新型具有以下有益效果：1.实时采集流经接入网关设备的网络流量；2.对网络流量进行协议通联特征提取与比对；3.检测发现接入网关设备的异常通联流量；4.对接入网关设备出现的异常通信情况采用多种方式进行报警告知。

本实用新型可用于对接入网关设备的各种网络攻击行为检测，具体包括：对接入网关设备的探测扫描、远程漏洞利用，对接入网关设备的远程恶意管理，接入网关设备潜在后门的远程控制及数据回传等。

附图说明

图1为本实用新型的结构框图。

图2为本实用新型的实施效果图。

图中，1、因特网，2、接入网关设备，3、局域网，4、路由器，5、接入网关设备异常流量监控装置。

具体实施方式

现在结合附图对本实用新型作进一步详细说明。

如图1所示，本实用新型由5个接口数据处理单元、协议特征比对单元、异常流量报警单元、控制单元组成，所述控制单元分别与5个接口数据处理单元、协议特征比对单元、异常流量报警单元相连，协议特征比对单元分别与5个接口数据处理单元、异常流量报警单元相连。