一種校園網安全架構及網絡監護系統技術方案

本發明專利技術公開了一種校園網安全架構，該校園網安全架構包含有網絡監護系統；該架構包括接入層、匯聚層、核心層和網絡互聯設備；網絡互聯設備包括核心交換機一和核心交換機二，核心交換機一和核心交換機二作為整個校園網的核心設備，連接校園網的各個區域；各個區域的終端設備采用DHCP獲取地址，DHCP包括DHCP客戶端和DHCP服務器端；DHCP服務器連接在核心交換機一和核心交換機二上，同時核心交換機一和核心交換機二上配置DHCP Snooping來保證安全終端的接入以及終端可以獲取到安全地址。本發明專利技術通過在網絡中的接入層設備上使用DHCP Snooping技術來保護網絡內部每個用戶的數據安全，進而更好的保證了整個校園網的網絡安全與穩定。好的保證了整個校園網的網絡安全與穩定。好的保證了整個校園網的網絡安全與穩定。

【技術實現步驟摘要】
一種校園網安全架構及網絡監護系統


[0001]本專利技術涉及網絡監護
，具體涉及一種校園網安全架構及網絡監護系統。

技術介紹

[0002]隨著互聯網的不斷發展，人們的工作、學習和生活對它的依賴性也逐漸變強。在這樣的大背景下，為了能夠良好的解決網絡中存在的IP(Internet Protocol)地址分配資源缺乏問題的同時更有效的減少網絡管理人員的手動配置的錯誤和工作量，DHCP(Dynamic Host Configuration Protocol)這種能夠動態地為主機配置參數的技術得到了廣泛地運用。但是由于DHCP服務器及技術被越來越多的運用到各種類型的網絡配置中，人們對它的研究還只停留于表面卻很少有人對它進行更深一層的研究就導致了DHCP協議在網絡設計中的安全問題，有些威脅可以致使整個網絡的崩潰，給網絡維護帶來較大的工作量，所以對于DHCP技術及其安全性的研究就顯得尤為重要。
[0003]在中國專利公開的(申請號為：201710258184.5，授權公告號為：CN 106921420 B)一種DHCP報文的發送方法和裝置，包括以下步驟，接入點AP建立多用戶多入多出MU
?
MIMO下的監聽表項，其中所述監聽表項包括天線標識ID、用戶終端標識ID和DHCP相關的用戶終端媒體訪問控制MAC地址的映射關系；當所述AP收到與一用戶終端相關的DHCP報文時，所述用戶終端相關的DHCP報文攜帶該用戶終端的用戶終端ID和用戶終端MAC地址，所述AP根據所述監聽表項所包括的天線ID、用戶終端ID與用戶終端MAC地址的映射關系以及根據所述用戶終端的用戶終端ID和用戶終端MAC地址確定所述用戶終端對應的發送天線，所述AP根據所述監聽表項只在與該用戶終端相對應的發送天線上發射所述用戶終端的DHCP報文。
[0004]參考上述公開的中國專利一種DHCP報文的發送方法和裝置，尚有以下不足：通過改變DHCP報文發送方式使得實現的DHCP snooping功能，使用該方法存在一定的安全隱患。

技術實現思路

[0005]本專利技術針對上述的問題提供一種安全性高，減少網絡維護的校園網安全架構及網絡監護系統。
[0006]本專利技術是這樣實現的：一種校園網安全架構，所述該校園網安全架構包含有網絡監護系統；其特征在于：所述該架構包括接入層、匯聚層、核心層和網絡互聯設備；
[0007]所述接入層，作為用戶連接網絡的直接端口，用于讓本地網絡能夠接入工作站點；
[0008]所述匯聚層，為接入層實現數據傳送、管理和匯聚的同時還選擇性限制接入層設備對核心層設備的直接訪問，將接入層的節點與核心層的節點關聯起來，成為網絡中接入層設備和核心層相互交流通信的橋梁；
[0009]所述核心層，作為整個網絡結構設計的核心和紐帶用于實現核心區域網絡之間的高質量傳輸，核心層是整個網絡的高速信息交互的主體是網絡數據流的最終承載者；
[0010]所述網絡互聯設備包括核心交換機一和核心交換機二，核心交換機一和核心交換機二作為整個校園網的核心設備，連接校園網的各個區域；
[0011]所述網絡監護系統，通過使用DHCP中DHCP Snooping技術實現DHCP客戶從真實的DHCP服務器上獲得到正確的地址，防止網絡中作假的服務器攻擊；所述DHCP Snooping通過建立和更新DHCP Snooping綁定表項來過剔除掉網絡中不安全區域的DHCP信息，確保網絡的正常運行安全；
[0012]所述DHCP包括DHCP客戶端和DHCP服務器；所述DHCP服務器連接在核心交換機一和核心交換機二上，同時核心交換機一和核心交換機二上配置DHCP Snooping來保證安全終端的接入以及終端可以獲取到安全地址。
[0013]優選的，所述DHCP Snooping內部設置有服務器的假冒防護模塊；所述服務器的假冒防護模塊采用DHCP Snooping信任端口的安全特性來控制DHCP服務器報文的來源信息，信任端口與真實服務器的接口直接或者間接性接觸，不信任端口不可能與真實服務器接口連接，信任端口對DHCP報文正常傳遞，不信任端口則會將收到的報文剔除。
[0014]優選的，所述DHCP Snooping內部設置有ARP中間人攻擊防護模塊；所述ARP中間人攻擊防護模塊采用ARP入侵檢測功能和DHCP Snooping綁定表有機結合的方式來檢測ARP報文是否安全；將ARP報文中的源IP地址以及它對應的MAC地址條目與DHCP Snooping綁定表中的條目進行一對一的對比，對比結果一致并且ARP報文接口的詳細信息也與DHCP Snooping綁定表中相符，從服務器接收到的ARP報文才能被正常轉發，其他情況下ARP報文將被認為非法并且直接丟棄。
[0015]優選的，所述DHCP Snooping內部設置有IP/MAC地址偽造防護模塊；所述IP/MAC地址偽造防護模塊采取IP過濾的安全特性，保證經過某個特定接口的源地址與DHCP Snooping綁定表項中的源地址相一致，當接口上啟用了IP過濾功能后設備會發送ACL列表來過濾除DHCP報文以外的其他報文，隨后將進行比較，如果一致就可以正常轉發否則會被丟棄。
[0016]優選的，所述DHCP Snooping內部設置有報文泛洪防護模塊；所述報文泛洪防護模塊采用將受到攻擊的接口短暫關閉來對DHCP報文進行限速。
[0017]優選的，所述報文泛洪防護模塊通過以下步驟實現報文防護：
[0018]步驟1：當有新的設備成功連入網絡時，提取該設備的MAC地址與設備名稱信息，從系統中以日為單位提取一個自然月內該設備的歷史在線時間數據，利用這些數據對當前連入設備進行聚類操作；
[0019]步驟2：在每一類中，利用下述公式為每臺設備計算危險值：
[0020][0021]其中，DV
(t)
為當前類在t時刻的類危險值，DV
i(t)
為類內編號為i的設備的危險值，ξ
C
為類內擴散因子，用來表示類內元素危險值的擴張性，ADV
i(t)
、FDV
i(t)
分別為用戶行為危險值和請求頻次危險值，V
j
和ξ
Aj
分別表示第j種用戶危險行為及其對應的危險系數，F和ξ
F
分別表示用戶在Δt時間內重復發送請求的頻次及其危險系數，ρ為衰弱因子，在衰弱因子的影響下，將隨著時間推移，危險值的計算將更加注重相近時間內發生的危險行為，之前發生
的危險行為帶來的影響將被逐步削減；
[0022]步驟3：遍歷所有設備，當有設備的危險值從高于臨界值DV
max1
轉為低于DV
max1
時，將其移出危險類并取消限速，留待下次重新聚類；當有某臺設備的危險值從低于臨界值DV
max1
轉為高于臨界值DV
max1
時，將該元素轉移到危險類中，并按下述公式對該設備進行限速操作：
...

【技術保護點】

【技術特征摘要】
1.一種校園網安全架構，所述該校園網安全架構包含有網絡監護系統；其特征在于：所述該架構包括接入層、匯聚層、核心層和網絡互聯設備；所述接入層，作為用戶連接網絡的直接端口，用于讓本地網絡能夠接入工作站點；所述匯聚層，為接入層實現數據傳送、管理和匯聚的同時還選擇性限制接入層設備對核心層設備的直接訪問，將接入層的節點與核心層的節點關聯起來，成為網絡中接入層設備和核心層相互交流通信的橋梁；所述核心層，作為整個網絡結構設計的核心和紐帶用于實現核心區域網絡之間的高質量傳輸，核心層是整個網絡的高速信息交互的主體是網絡數據流的最終承載者；所述網絡互聯設備包括核心交換機一和核心交換機二，核心交換機一和核心交換機二作為整個校園網的核心設備，連接校園網的各個區域；所述網絡監護系統，通過使用DHCP中DHCP Snooping技術實現DHCP客戶從真實的DHCP服務器上獲得到正確的地址，防止網絡中作假的服務器攻擊；所述DHCP Snooping通過建立和更新DHCP Snooping綁定表項來過剔除掉網絡中不安全區域的DHCP信息，確保網絡的正常運行安全；所述DHCP包括DHCP客戶端和DHCP服務器；所述DHCP服務器連接在核心交換機一和核心交換機二上，同時核心交換機一和核心交換機二上配置DHCP Snooping來保證安全終端的接入以及終端可以獲取到安全地址。2.根據權利要求1所述的一種校園網安全架構，其特征在于：所述DHCP Snooping內部設置有服務器的假冒防護模塊；所述服務器的假冒防護模塊采用DHCP Snooping信任端口的安全特性來控制DHCP服務器報文的來源信息，信任端口與真實服務器的接口直接或者間接性接觸，不信任端口不可能與真實服務器接口連接，信任端口對DHCP報文正常傳遞，不信任端口則會將收到的報文剔除。3.根據權利要求1所述的一種校園網安全架構，其特征在于：所述DHCP Snooping內部設置有ARP中間人攻擊防護模塊；所述ARP中間人攻擊防護模塊采用ARP入侵檢測功能和DHCP Snooping綁定表有機結合的方式來檢測ARP報文是否安全；將ARP報文中的源IP地址以及它對應的MAC地址條目與DHCP Snooping綁定表中的條目進行一對一的對比，對比結果一致并且ARP報文接口的詳細信息也與DHCP Snooping綁定表中相符，從服務器接收到的ARP報文才能被正常轉發，其他情況下ARP報文將被認為非法并且直接丟棄。4.根據權利要求1所述的一種校園網安全架構，其特征在于：所述DHCP Snooping內部設置有IP/MAC地址偽造防護模塊；所述IP/MAC地址偽造防護模塊采取IP過濾的安全特性，保證經過某個特定接口的源地址與DHCP Snooping綁定表項中的源地址相一致，當接口上啟用了IP過濾功能后設備會發送ACL列表來過濾除DHCP報文以外的其他報文，隨后將進行比較，如果一致就可以正常轉發否則會被丟棄。5.根據權利要求1所述的一種校園網安全架構，其特征在于：所述DHCP Snooping內部設置有報文泛洪防護模塊；所述報文泛洪防護模塊采用將受到攻擊的接口短暫關閉來對DHCP報文進行限速。6.根據權利要求5所述的一種校園網安全架構，其特征在于：所述報文泛洪防護模塊通過以下步驟實現報文防護：步驟1：當有新的設備成功連入網絡時，提取該設備的MAC地址與設備名稱信息，從系統
中以日為單位提取一個自然月內該設備的歷史在線時間數據，利用這些數據對當前連入設備進行聚類操作；步驟2：在每一類中，利用下述公式為每臺設備計算危險值：其中，DV
(t)
為當前類在t時刻的類危險值，DV
i(t)
為類內編號為i的設備的危險值，ξ
C
為類內擴散因子，用來表示類內元素危險值的擴張性，ADV
i(t)
、FDV
i(t)
分別為用戶行為危險值和請求頻次危險值，V
j
和ξ
Aj
分別表示第j種用戶危險行為及其對應的危險系數，F和ξ
F
分別表示用戶在Δt時間內重復發送請求的頻次及其危險系數，ρ為衰弱因子，在衰弱因子的影響下，將隨著時間推移，危險值的計算將更加注重相近時間內發生的危險行為，之前發生的危險行為帶來的...

【專利技術屬性】
技術研發人員：張紫妍，韓斌，王東升，劉嘎瓊，
申請(專利權)人：江蘇科技大學，
類型：發明
國別省市：