[发明专利]一种面向网络设备管理协议的异常配置检测装置及方法

说明书

本发明公开一种面向网络设备管理协议的异常配置检测装置，包括管理协议代理、管理协议执行体池、配置转译器、配置裁决器及异常信息上报接口；本发明还公开一种面向网络设备管理协议的异常配置检测方法，管理协议代理将远程配置命令分发给多个冗余执行体的管理协议执行单元，同时分发给配置转译器；各管理协议执行单元对配置命令进行解析和处理，将处理生成的控制指令发送给配置裁决器；配置转译器将管理协议配置命令进行转译，并将该配置命令发送给其他协议的执行单元；配置裁决器将各管理协议执行单元的控制指令进行表决，若表决某个执行单元的控制指令异常，则产生告警。本发明能够发现攻击者利用管理协议中漏洞或后门对设备下发的恶意配置。

技术领域

本发明属于网络安全技术领域，尤其涉及一种面向网络设备管理协议的异常配置检测装置及方法。

背景技术

随着网络规模和应用种类的不断发展，网络安全问题日益凸显，特别是广泛存在于网络设备中的未知漏洞与后门成为网络信息安全的重要威胁。路由器、交换机等设备是网络基础设施的核心枢纽，但其却缺乏有效的安全防护措施，其管理协议中难以避免存在各种漏洞后门。如果其安全问题不解决，受到威胁的将是与这些设备相连接的整个网络，其危害远远超过针对主机的攻击。

现有的防御体系（Cheng L, Zhang P, Ma Y. Route leakage detectionalgorithm based on new feature discovery[C]//Proceedings of the 4thInternational Conference on Communication and Information Processing. 2018:222-226.）（郭毅, 段海新, 张连成, 等. 基于特征融合相似度的域间路由系统安全威胁感知方法[J]. 中国科学: 信息科学, 2017 (7): 5.）是基于威胁特征感知的精确防御,需要获得攻击来源、攻击特征、攻击途径、攻击行为和攻击机制等先验知识作为实施有效防御的基础。因此, 它必须建立在“已知风险”或是“已知的未知风险”前提条件上。以深度包检测为代表的传统防御方法（Sun R, Shi L, Yin C, et al. An improved method indeep packet inspection based on regular expression[J]. The Journal ofSupercomputing, 2019, 75(6): 3317-3333.）必须掌握攻击特征才能进行有效防御，在面对特征未知的不确定性威胁时，比如一些基于未知漏洞和后门发起的攻击，现有防御方法难以及时有效地对其进行发现和阻断。

发明内容

本发明针对现有的防御体系和防御方法对基于未知漏洞和后门发起的攻击，难以及时有效地对其进行发现和阻断的问题，提出一种面向网络设备管理协议的异常配置检测装置及方法。

为了实现上述目的，本发明采用以下技术方案：

一种面向网络设备管理协议的异常配置检测装置，包括管理接口，控制平面接口，还包括：管理协议代理、管理协议执行体池、配置转译器、配置裁决器及异常信息上报接口；

所述管理协议代理由多个面向网络设备常用管理协议的代理模块组成；管理协议代理用于将管理接口接收到的管理协议报文复制分发给管理协议执行体池中的各个执行体，同时对各个执行体的返回值按照一定策略进行转发或拦截，确保一次配置后只有一个返回值被回送给管理员；记录远程登录至设备的管理员的信息，包括源IP、登录时间，并更新到相应的数据库中；

所述管理协议执行体池由1个以上执行体组成，各个执行体之间具有异构性，各个执行体独立运行在不同的系统环境中，每个执行体由不同团队开发的或不同版本的管理协议执行单元组成，每个管理协议执行单元能够独立地解析相应管理协议的配置命令，并将该命令转化为具体的控制指令下发到设备控制平面；

所述配置转译器用于将管理协议的配置命令进行相互转换，并将转换后的配置命令发送到相应的管理协议执行单元；