[发明专利]一种面向网络设备管理协议的异常配置检测装置及方法有效
| 申请号: | 202010545823.8 | 申请日: | 2020-06-16 |
| 公开(公告)号: | CN111865661B | 公开(公告)日: | 2022-11-11 |
| 发明(设计)人: | 江逸茗;张风雨;马海龙;裴学武;张进;伊鹏;张鹏;丁瑞浩;李艳捷 | 申请(专利权)人: | 中国人民解放军战略支援部队信息工程大学;网络通信与安全紫金山实验室 |
| 主分类号: | H04L41/02 | 分类号: | H04L41/02;H04L41/0213;H04L9/40 |
| 代理公司: | 郑州大通专利商标代理有限公司 41111 | 代理人: | 张立强 |
| 地址: | 450000 河*** | 国省代码: | 河南;41 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 面向 网络 设备管理 协议 异常 配置 检测 装置 方法 | ||
1.一种面向网络设备管理协议的异常配置检测装置,包括管理接口,控制平面接口,其特征在于,还包括:管理协议代理、管理协议执行体池、配置转译器、配置裁决器及异常信息上报接口;
所述管理协议代理由多个面向网络设备常用管理协议的代理模块组成;管理协议代理用于将管理接口接收到的管理协议报文复制分发给管理协议执行体池中的各个执行体,同时对各个执行体的返回值按照一定策略进行转发或拦截,确保一次配置后只有一个返回值被回送给管理员;记录远程登录至设备的管理员的信息,包括源IP、登录时间,并更新到相应的数据库中;
所述管理协议执行体池由1个以上执行体组成,各个执行体之间具有异构性,各个执行体独立运行在不同的系统环境中,每个执行体由不同团队开发的或不同版本的管理协议执行单元组成,每个管理协议执行单元能够独立地解析相应管理协议的配置命令,并将该命令转化为具体的控制指令下发到设备控制平面;
所述配置转译器用于将管理协议的配置命令进行相互转换,并将转换后的配置命令发送到相应的管理协议执行单元;
所述配置裁决器用于对比各个执行体上报的控制指令是否一致,如果全部一致则将其下发到网络设备的控制平面,如果不一致则发起投票表决流程,票数超过半数的控制指令作为裁决结果下发到网络设备的控制平面,票数未过半数的控制指令则视其为异常配置事件,追溯发送该控制指令的执行体,并通过异常信息上报接口向管理者通告异常信息,以进行更进一步的攻击检测和阻断;
所述异常信息上报接口用于将异常配置事件上报给数据平面。
2.根据权利要求1所述的一种面向网络设备管理协议的异常配置检测装置,其特征在于,所述管理协议代理包括SSH协议代理模块、Telnet协议代理模块、SNMP协议代理模块、Netconf协议代理模块、CLI协议代理模块、WEB协议代理模块。
3.基于权利要求1-2任一所述的一种面向网络设备管理协议的异常配置检测装置的一种面向网络设备管理协议的异常配置检测方法,其特征在于,包括:
管理协议代理根据管理员使用的远程管理协议,与管理协议执行体池中各个执行体中相应的管理协议执行单元建立会话,然后将管理员的登录请求以及后续发送的携带配置命令的数据包全部复制转发给各个执行体,同时记录管理员的源IP、登录时间信息;
当各个执行体收到了携带配置命令的数据包时,交由相应的管理协议执行单元进行解析处理,生成具体的控制指令后,再发送给配置裁决器进行裁决;
配置裁决器收到某个执行体发来的一条新的控制指令后,把该指令作为一个待裁决项缓存在队列中,并记录发送该指令的执行体编号、消息ID和发送时间;当收到其他执行体发送的控制指令时,首先比对缓存中是否存在该指令,如果存在则记录执行体编号、消息ID和发送时间,如果不存在则在缓存中建立新的待裁决项;
对于所述新的控制指令,判断是否有超过半数的执行体通告了该项控制指令,若是,则通过裁决,将该配置对应的控制指令下发给控制平面,同时等待后续执行体的通告;若否,则配置裁决器继续接收其他执行体发送的控制指令;
判断配置裁决器是否收到所有执行体的控制指令,若是,则弹出该待裁决项,该次裁决结束;若否,则判断待裁决项在队列中的等待时间是否超过设定的时间阈值,若是,则启动异常溯源流程,通过异常信息上报接口通告相关异常信息,若否,则配置裁决器继续接收其他执行体发送的控制指令;
当网络设备不支持多执行体架构时,管理协议代理将管理员发送的携带配置命令的数据包复制转发给配置转译器;
配置转译器分析该配置命令所属的配置方式,然后将其解析并转译为其他配置方式的配置命令,并将转译后的配置命令发送给单个执行体中相应的管理协议执行单元;
各个管理协议执行单元在对配置命令进行解析处理以后,将生成的控制指令发送给配置裁决器;
配置裁决器在收到一条管理协议执行单元发来的控制指令后,等待其他管理协议执行单元发送的控制指令;如果其他管理协议执行单元中有半数下发了相同的控制指令,则该配置通过裁决,否则将该配置判定为异常配置,并通过异常信息接口通告相关异常信息。
4.根据权利要求3所述的一种面向网络设备管理协议的异常配置检测方法,其特征在于,所述异常溯源流程包括:
首先判定通告了待裁决项的执行体数量是否已经超过半数,如果超过半数,则把未通告该配置项的执行体视为异常,并向异常信息上报接口通告相关异常信息;
如果通告了待裁决项的执行体数量正好为半数,则根据执行体权重或裁决策略来判定该配置项是否通过裁决,若判定通过裁决,则将该配置项对应的控制指令下发给控制平面,并把未通告该配置项的执行体判定为异常,若判定为未通过裁决,则将通告该配置项的执行体视为异常;
如果通告了待裁决项的执行体数量未达到半数,则判定该次配置为异常,并对该配置项进行异常记录或拦截,同时将通告该配置项的执行体视为异常,通过异常信息上报接口通告相关异常信息。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于中国人民解放军战略支援部队信息工程大学;网络通信与安全紫金山实验室,未经中国人民解放军战略支援部队信息工程大学;网络通信与安全紫金山实验室许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202010545823.8/1.html,转载请声明来源钻瓜专利网。
