安全路由交換方法、系統及優化判斷方法技術方案

本發明專利技術公開了一種安全路由交換方法、系統及優化判斷方法，交換方法包括步驟：采集進入路由交換設備前所有分組的第一特征三元組；采集經過路由交換設備發出分組的第二特征三元組，在第一特征三元組集合中查找與第二特征三元組匹配的第一特征三元組；若找到匹配的第一特征三元組，當路由交換設備為邊界路由交換設備，且向外網轉發分組時，審核目的IP地址是否符合輸出接口的指向；若找不到，當第二特征三元組中源IP地址不是路由交換設備本身時，禁止該分組輸出；當第二特征三元組中源IP地址是路由交換設備本身時，審核路由交換設備是否具備向目的IP地址對應設備發送分組的權限。本發明專利技術具有如下優點：對流量竊聽攻擊的防護性極高。

【技術實現步驟摘要】
【專利摘要】本專利技術公開了一種，交換方法包括步驟：采集進入路由交換設備前所有分組的第一特征三元組；采集經過路由交換設備發出分組的第二特征三元組，在第一特征三元組集合中查找與第二特征三元組匹配的第一特征三元組；若找到匹配的第一特征三元組，當路由交換設備為邊界路由交換設備，且向外網轉發分組時，審核目的IP地址是否符合輸出接口的指向；若找不到，當第二特征三元組中源IP地址不是路由交換設備本身時，禁止該分組輸出；當第二特征三元組中源IP地址是路由交換設備本身時，審核路由交換設備是否具備向目的IP地址對應設備發送分組的權限。本專利技術具有如下優點：對流量竊聽攻擊的防護性極高?！緦＠f明】
本專利技術屬于網絡安全領域，具體設及一種安全路由交換方法、系統及優化判斷方 法。
技術介紹
多年來，利用路由設備漏桐在核屯、網絡竊聽用戶數據的攻擊行為一直嚴重威脅網 絡用戶信息安全，而用戶和網絡運營商W往低估了此類攻擊的危害。2013年6月，"棱鏡 (PRISM)"計劃曝光顯示該項目通過直接攻擊互聯網大型路由設備，即可獲取數十萬計算機 流量，凸顯出提高信息在核屯、網絡傳輸安全的重要意義。 從棱鏡口曝光的文檔看，路由交換設備存在安全漏桐是核屯、網絡信息泄露的內在 原因。攻擊者利用漏桐遠程控制路由交換設備，當Alice發往Bob的分組流經圖1所示的漏桐 設備則寸，原始分組繼續沿中黑色粗曲線所示的正常路徑發送，但R備份分組內容，并利用異 常路由交換行為將備份分組發送給攻擊者Eve,其發送方式包括：1、偽造新報文，將備份分 組目的IP地址篡改為Eve;2、篡改備份分組內容，該方式不會直接造成攻擊者接收備份分 組，但可用W規避運營商識別竊聽分組;3、錯誤輸出接口，此時備份分組沿著錯誤鏈路③輸 出設備，當R為鏈接Eve與核屯、網絡的邊界設備時，該行為也可造成用戶信息泄露。 利用漏桐實施的流量竊聽攻擊不僅成本低、危害大，還具有頑固、隱蔽、單向等特 點。頑固體現在不但設備使用者難W識別漏桐，受研發人員認知水平和編碼水平限制，設備 供應商自身也難W根除漏桐。隱蔽指圖1中=種異常路由交換行為與正常路由交換行為有 較強的相似性，網絡運營商難W實現二者區分。攻擊者單方面掌握設備漏桐，導致網絡攻防 雙方漏桐利用嚴重失衡。上述特點決定利用漏桐竊聽用戶信息的網絡攻擊行為難W被用戶 及運營商識別和約束，當前尚缺少理論上安全完備、通用TCP/IP網絡而又可設計實現的解 決方案。
技術實現思路
本專利技術旨在阻止上述=種異常分組輸出網絡。 為此，本專利技術的第一個目的在于提出一種安全路由交換方法。 本專利技術的第二個目的在于提出一種安全路由交換系統。[000引本專利技術的第=個目的在于優化異常分組判斷方法，增加安全路由交換系統的工作 效率。為了實現上述目的，本專利技術的實施例公開了一種安全路由交換方法，包括W下步 驟:A:采集進入路由交換設備前所有分組的第一特征=元組，其中，所述第一特征=元組包 括第一源IP地址、第一目的IP地址和第一載荷;B:采集經過所述路由交換設備發出分組的 第二特征=元組，其中，第二特征=元組包括第二源IP地址、第二目的IP地址和第二載荷， 在所述第一特征=元組集合中查找與所述第二特征=元組匹配的第一特征=元組，如果找 到匹配則進入步驟C;C:當所述路由交換設備不是邊界路由交換設備時，轉發所述第一特征 =元組，其中，所述邊界設備為與外網之間連接的路由交換設備；當所述路由交換設備為邊 界路由交換設備時，所述路由交換設備向外網轉發消息時，審核所述第二目的IP地址是否 符合輸出接口的指向，如果符合，轉發所述分組，如果不符合，拒絕轉發所述分組;如果找到 匹配則進入步驟D;D:當第二特征=元組中源IP地址不是所述路由交換設備本身時，禁止該 分組輸出所述路由交換設備；當第二特征=元組中源IP地址是所述路由交換設備本身時， 審核所述路由交換設備是否具備向所述第二特征=元組中目的IP地址對應設備發送分組 的權限，如果有權限，轉發所述分組，如果沒有權限，拒絕轉發所述分組。 為了實現上述目的，本專利技術的實施例公開了一種安全路由交換檢測系統，包括:信 息采集模塊，設置與路由交換系統的信息入口前端和信息出口后端，所述信息采集模塊用 于獲取輸入到所述路由交換設備的第一特征=元組和從所述路由交換設備輸出的第二特 征=元組，并將所述第一特征=元組和所述第二特征=元組均傳送給決策模塊，其中，所述 第一特征=元組包括第一源IP地址、第一目的IP地址和第一載荷，所述第二特征=元組包 括第二源IP地址、第二目的IP地址和第二載荷;信息匹配模塊，用于根據所述第一特征=元 組和所述第二特征=元組進行信息匹配，并將匹配結果發送至決策模塊；W及決策模塊，用 于根據所述匹配結果決定是否轉發消息。 本專利技術具有如下優點:對流量竊聽攻擊的防護性極高;在100%放行合法分組的同 時，識別和約束99.92% W上的竊聽分組，其檢測性能可滿足當前網絡需求。 另外，根據本專利技術上述實施例的安全路由交換系統，還可W具有如下附加的技術 特征： 進一步地，還包括邊界路由交換設備判斷模塊，用于判斷所述路由交換設備是否 為邊界路由交換設備，其中，所述邊界設備為與外網之間連接的路由交換設備，所述決策模 塊用于根據所述匹配結果決定是否轉發消息進一步包括:如果所述匹配結果為所述第二源 特征=元組在第一特征=元組集合中找到匹配，當所述路由交換設備不是邊界路由交換設 備時，轉發所述消息；當所述路由交換設備為邊界路由交換設備時，所述路由交換設備向外 網轉發消息時，審核所述第二目的IP地址是否符合輸出接口的指向，如果符合，轉發所述消 息，如果不符合，拒絕轉發所述消息； 如果所述匹配結果為所述第二特征=元組在第一特征=元組集合中找不到匹配， 當所述輸出分組源IP地址不是路由交換設備本身時，拒絕轉發所述消息；當所述輸出分組 源IP地址是路由交換設備本身時，審核所述路由交換設備是否具備向所述第二特征=元組 中目的IP地址對應設備發送所述消息的權限，如果有權限，轉發所述消息，如果沒有權限， 拒絕轉發所述消息。 為了實現上述目的，本專利技術的實施例公開了一種安全路由交換的優化判斷方法， 包括權利要求上述安全路由交換檢測系統，還包括第一分組輸入記錄表，所述方法包括W 下步驟:初始狀態下所述第一分組輸入記錄表全表置0 ;獲取所述第一特征=元組，利用預 設化Sh算法計算輸入的所述第一特征S元組的第一摘要，選取所述摘要第一預設位置和第 一預設長度作為第一摘要，選取所述摘要第一預設位置和第一預設長度作為第一摘要結 果，根據所述摘要結果將所述第一分組輸入記錄表中對應位置置1;獲取所述第二特征=元 組，利用所述預設化Sh算法計算輸入的所述第二特征S元組的第二摘要，選取所述第二摘 要所述第一預設位置和所述第一預設長度作為第二摘要結果;在所述第一分組輸入記錄表 中查找所述第二摘要結果對應位置的狀態，如果該位置狀態為1，則找到該輸出分組的輸入 源，否則判斷該輸出分組無源。 根據本專利技術實施例的安全路由交換的優化判斷方法，大幅提高安全路由系統的效 率和準確性。 另外，根據本專利技術上述實施例的安全路由交換的優化判斷方法，還可W具有如下 附加的技術特征： 進一步地，所述第一分本文檔來自技高網...

【技術保護點】
一種安全路由交換方法，其特征在于，包括以下步驟：A：采集分組進入路由交換設備前的第一特征三元組，其中，所述第一特征三元組包括第一源IP地址、第一目的IP地址和第一載荷；B：采集經過所述路由交換設備發出分組的第二特征三元組，其中，第二特征三元組包括第二源IP地址、第二目的IP地址和第二載荷，在所述第一特征三元組集合中查找與所述第二特征三元組匹配的第一特征三元組，如果找到匹配則進入步驟C；C：當所述路由交換設備不是邊界路由交換設備時，轉發所述第一特征三元組，其中，所述邊界設備為與外網之間連接的路由交換設備；當所述路由交換設備為邊界路由交換設備時，所述路由交換設備向外網轉發消息時，審核所述第二目的IP地址是否符合輸出接口的指向，如果符合，轉發所述分組，如果不符合，拒絕轉發所述分組；如果找到匹配則進入步驟D；D：當第二特征三元組中源IP地址不是所述路由交換設備本身時，禁止該分組輸出所述路由交換設備；當第二特征三元組中源IP地址是所述路由交換設備本身時，審核所述路由交換設備是否具備向所述第二特征三元組中目的IP地址對應設備發送分組的權限，如果有權限，轉發所述分組，如果沒有權限，拒絕轉發所述分組。

【技術特征摘要】

【專利技術屬性】
技術研發人員：徐恪，趙玉東，吳建平，沈蒙，陳文龍，
申請(專利權)人：清華大學，
類型：發明
國別省市：北京;11