一种路由器安全监测预警系统的制作方法

1.本发明属于路由器监测技术领域，具体涉及一种路由器安全监测预警系统。


背景技术：

2.路由器的第一个作用就是联通不同的网络，可以将网络从逻辑上进行合理划分，让网络信号更加分散；路由器是一种计算机网络传输设备，可以将数据打包起来根据不同的传输途径传输到目的地；一般家庭、寝室或者事业单位安装宽带都需要路由器来将网络wifi信号分布到更大的空间，供更多的人来连接wifi；路由器可以根据网络系统的运行情况来自动调整网络数据的传输途径，借以协调各个网络之间和谐工作。
3.由于路由本身协议的脆弱性，通过对路由系统的破坏和入侵可以实现对用户网络的破坏和对用户流量的操纵；非法入侵者可以通过高强度地注入大量路由信息，使路由器内存耗尽，路由系统崩溃；也可以通过注入伪造和非法的路由信息，发起路由劫持攻击，窃取数据，并可对数据进行修改。
4.目前对路由器的安全监测主要采用基于bgp更新报文、bgp路由表的监测，监测技术的实时性差，部署、监测、告警周期长。


技术实现要素：

5.本发明的目的在于提供一种路由器安全监测预警系统，及时发现路由器的异常行为，及时向用户发送预警信息。
6.为实现上述目的，本发明提供如下技术方案：一种路由器安全监测预警系统，包括获取模块、分析模块、通讯服务器、监控中心、异常路由行为判定模块、报警终端；其中，
7.所述获取模块用于获取bgp协议报文；
8.所述分析模块与获取模块通信连接，通过分析模块对获取的bgp协议报文进行分析；一方面提取网络可达信息生成并维护动态bgp路由表；另一方面直接或者通过查询基本信息库回答异常路由行为判定模块的询问；
9.所述通讯服务器与分析模块通信连接，分析后的bgp协议报文传输到通讯服务器；
10.所述监控中心与通讯服务器通信连接，通过监控中心实现对监测数据多维度、多角度的分析及处理；为隐患排查提供数据支撑；
11.所述异常路由行为判定模块与监控中心通信连接，通过异常路由行为判定模块判定路由异常；
12.所述报警终端与异常路由行为判定模块通信连接，通过报警终端查看异常路由器情况。
13.作为本发明的一种优选的技术方案，所述bgp协议报文对等体的建立、更新和删除交互过程包括5种报文、6种状态机和5个原则。
14.作为本发明的一种优选的技术方案，所述5种报文分别为：
15.open报文：用于建立bgp对等体连接；
16.update报文：用于在对等体之间交换路由信息；
17.notification报文：用于中断bgp连接；
18.keepalive报文：用于保持bgp连接；
19.route-refresh报文：用于在改变路由策略后请求对等体重新发送路由信息，只有支持路由刷新(route-refresh)能力的bgp设备会发送和响应此报文。
20.作为本发明的一种优选的技术方案，所述6种状态机分别为：空闲、连接、活跃、open报文已发送、open报文已确认和连接已建立。
21.作为本发明的一种优选的技术方案，所述5个原则分别为：从ibgp对等体获得的bgp路由，bgp设备只发布给它的ebgp对等体；从ebgp对等体获得的bgp路由，bgp设备发布给它所有ebgp和ibgp对等体；当存在多条到达同一目的地址的有效路由时，bgp设备只将最优路由发布给对等体；路由更新时，bgp设备只发送更新的bgp路由；所有对等体发送的路由，bgp设备都会接收。
22.作为本发明的一种优选的技术方案，所述bgp协议报文获取方法如下：获取被监测网络的数据包，采取先入先出队列的报文队列管理方法，过滤后的报文，放到队列里面进行排队，由其他处理模块负责取走队列里面最早进入的报文。
23.作为本发明的一种优选的技术方案，所述异常路由行为判定模块根据规则库向协议报文与分析模块一一发出询问路由行为是否符合规则，如果符合规则库里一条或多条规则，则断言存在路由异常。
24.作为本发明的一种优选的技术方案，所述报警终端包括移动端、pc端，增加使用的便利。
25.与现有技术相比，本发明的有益效果是：
26.1.通过异常路由行为判定模块判定，可发现路由异常，并向用户提供预警信息；
27.2.通过监控中心实现对监测数据多维度、多角度的分析及处理；为隐患排查提供数据支撑
附图说明
28.图1为本发明的系统图。
具体实施方式
29.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
30.实施例1
31.请参阅图1，本发明提供一种技术方案：一种路由器安全监测预警系统，包括获取模块、分析模块、通讯服务器、监控中心、异常路由行为判定模块、报警终端；其中，
32.获取模块用于获取bgp协议报文；
33.分析模块与获取模块通信连接，通过分析模块对获取的bgp协议报文进行分析；一方面提取网络可达信息生成并维护动态bgp路由表；另一方面直接或者通过查询基本信息
库回答异常路由行为判定模块的询问；
34.通讯服务器与分析模块通信连接，分析后的bgp协议报文传输到通讯服务器；
35.监控中心与通讯服务器通信连接，通过监控中心实现对监测数据多维度、多角度的分析及处理；为隐患排查提供数据支撑；
36.异常路由行为判定模块与监控中心通信连接，通过异常路由行为判定模块判定路由异常；
37.报警终端与异常路由行为判定模块通信连接，通过报警终端查看异常路由器情况。
38.本实施例中，优选的，bgp协议报文对等体的建立、更新和删除交互过程包括5种报文、6种状态机和5个原则。
39.本实施例中，优选的，5种报文分别为：
40.open报文：用于建立bgp对等体连接；
41.update报文：用于在对等体之间交换路由信息；
42.notification报文：用于中断bgp连接；
43.keepalive报文：用于保持bgp连接；
44.route-refresh报文：用于在改变路由策略后请求对等体重新发送路由信息，只有支持路由刷新(route-refresh)能力的bgp设备会发送和响应此报文。
45.本实施例中，优选的，6种状态机分别为：空闲、连接、活跃、open报文已发送、open报文已确认和连接已建立，空闲状态是bgp初始状态，在空闲状态下，bgp拒绝邻居发送的连接请求，只有在收到本设备的start事件后，bgp才开始尝试和其它bgp对等体进行tcp连接，并转至连接状态；在连接状态下，bgp启动连接重传定时器，等待tcp完成连接；在活跃状态下，bgp总是在试图建立tcp连接，如果tcp连接成功，那么bgp向对等体发送open报文，关闭连接重传定时器，并转至报文已发送状态，如果tcp连接失败，那么bgp停留在活跃状态，如果连接重传定时器超时，bgp仍没有收到bgp对等体的响应，那么bgp转至连接状态；在open报文已发送状态下，bgp等待对等体的open报文，并对收到的open报文中的as号、版本号、认证码等进行检查，如果收到的open报文正确，那么bgp发送keepalive报文，并转至open报文已确认状态，如果发现收到的open报文有错误，那么bgp发送notification报文给对等体，并转至空闲状态，在open报文已确认状态下，bgp等待keepalive或notification报文，如果收到keepalive报文，则转至连接已建立状态，如果收到连接已建立报文，则转至空心状态，在连接已建立状态下，bgp可以和对等体交换update、keepalive、route-refresh报文和notification报文。
46.本实施例中，优选的，5个原则分别为：从ibgp对等体获得的bgp路由，bgp设备只发布给它的ebgp对等体；从ebgp对等体获得的bgp路由，bgp设备发布给它所有ebgp和ibgp对等体；当存在多条到达同一目的地址的有效路由时，bgp设备只将最优路由发布给对等体；路由更新时，bgp设备只发送更新的bgp路由；所有对等体发送的路由，bgp设备都会接收。
47.本实施例中，优选的，bgp协议报文获取方法如下：获取被监测网络的数据包，采取先入先出队列的报文队列管理方法，过滤后的报文，放到队列里面进行排队，由其他处理模块负责取走队列里面最早进入的报文。
48.本实施例中，优选的，异常路由行为判定模块根据规则库向协议报文与分析模块
一一发出询问路由行为是否符合规则，如果符合规则库里一条或多条规则，则断言存在路由异常，定义的规则：被监测网络的bgp路由表项中包含的ip前缀，如果属于rfc1918中定义的私有地址块，则判定该路由为“含私有地址”异常；被监测网络的bgp路由表项中包含的ip前缀，如果不属于基本信息库中定义的已分配ip地址块，则判定该路由为“含未分配地址”异常；被监测网络的bgp路由表项中包含的ip前缀，如果不符合基本信息库定义的自治系统―ip地址映射关系，则判定该路由为“未授权使用地址块”异常，可能存在伪造路由和路由劫持攻击；被监测网络的bgp路由表项中as-path包含的自治系统号，如果属于rfc1930中定义的私有自治系统号，则判定该路由为“含私有as号”异常；被监测网络的bgp路由表项中as-path包含的自治系统号,如果出现重复且重复的自治系统号在as-path中不连续，则判定该路由为“含as环”异常；如果同一地址：前缀有多个发起者，则判定该路由具有潜在moas冲突异常；具有潜在moas冲突的网络前缀，如果基本信息库中的自治系统号与ip地址块的映射信息表明,发生冲突的自治系统之间没有存在隶属关系或未对该网络前缀进行授权，则判定该路由为路由劫持异常。
49.本实施例中，优选的，报警终端包括移动端，增加使用的便利。
50.实施例2
51.请参阅图1，实施例2与实施例1的区别如下：报警终端包括pc端，增加使用的便利；可将数据存入后端数据库系统，随时可对历史数据进行查询、对比，利用大数据对路由器安全进行判断。
52.尽管已经示出和描述了本发明的实施例，详见上述详尽的描述，对于本领域的普通技术人员而言，可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型，本发明的范围由所附权利要求及其等同物限定。