影子路由器.pdf

本发明公开了一种影子路由器，克服了现有技术中，路由器的安全性能仍需提高的问题。该发明串行接入在真实路由器的输入、输出链路中间，影子路由器包括真实路由器、数据平面和控制平面三层结构，底层是与影子路由器对应的真实路由器，中间层是影子路由器的数据平面，顶层是其控制平面；外部链路的数据首先输入影子路由器，通过影子路由器安全检验的数据可送往真实路由器完成相应处理，处理完毕后的数据再经影子路由器处理并输出到链路上；影子路由器和真实路由器的配置比为1：N。本发明既可免除恶意探测，又能完全真实模拟所连接真实路由器的处理功能和性能。能有效应对新时期网络安全威胁，实现对真实路由器的圆罩式防护。

权利要求书1.  一种影子路由器，其特征在于：影子路由器串行接入在真实路由器的输入、输出链路中间，影子路由器包括真实路由器、数据平面和控制平面三层结构，底层是与影子路由器对应的真实路由器，中间层是影子路由器的数据平面，顶层是其控制平面；外部链路的数据首先输入影子路由器，通过影子路由器安全检验的数据可送往真实路由器完成相应处理，处理完毕后的数据再经影子路由器处理并输出到链路上；影子路由器和真实路由器的配置比例为 1：N，其中 N 的个数可根据具体网络环境、安全等级需求和影子路由器本身系统性能指标来确定。 2.  根据权利要求1所述的影子路由器，其特征在于：所述影子路由器处理流程具体如下： 步骤1：报文进入影子路由器数据平面，数据输入处理模块对报文进行解封状、校验处理，并转给加扰模块； 步骤2：加扰模块执行XOR运算和增加空闲序列对数据进行加扰，并转到无路由转发处理模块； 步骤3：根据路由器的处理要求对输入数据分流，将控制平面需要的路由协议维护包、管理操作包等的“控制包”通过主控单元发送到控制平面，并转到步骤4；将不需要上报的“数据包”直接送真实路由器，转到步骤5； 步骤4：控制平面执行安全威胁检测功能，并将处理后的数据包通过数据平面主控单元传送到真实路由器，转到步骤6； 步骤5：真实路由器实现对数据进行相应处理，返回数据至影子路由器数据解扰模块。 步骤6：数据解扰模块对数据包进行解扰处理； 步骤7：输出处理单元对数据包进行封装并送至真实路由器指定的目的输出链路。 3.  根据权利要求1所述的影子路由器，其特征在于：所述多个影子路由器联合检测安全威胁流程如下： 步骤                                               ：控制平面对上报的数据包执行安全威胁检测功能； 步骤：如果能检测出安全威胁，转到步骤，否则转到步骤； 步骤：向临近影子路由器发送数据共享请求，获取临近影子路由器的日志信息和统计信息。对统计数据进行联合分析，检测安全威胁； 步骤：如果能检测出安全威胁，转到步骤，否则转到步骤； 步骤：生成新安全威胁的签名并发布给临近影子路由器，相应影子路由器更新已知安全威胁库； 步骤：对安全威胁检测结果进行相应处理。 4.  根据权利要求1所述的影子路由器，其特征在于：所述影子路由器的底层是与影子路由器对应的真实路由器，中间层是影子路由器的数据平面，顶层是其控制平面，数据经过数据平面和控制平面的相应处理后传入真实路由器，再由真实路由器对数据进行相应处理，最后经过数据平面和控制平面输出。 5.  根据权利要求1所述的影子路由器，其特征在于：所述影子路由器和真实路由器的配置比例为 1：N，其中N为大于等于1的自然数，N的大小可根据具体网络环境、安全等级需求和影子路由器本身系统性能指标来确定。

说明书影子路由器
技术领域
该发明涉及一种计算机通信用路由器，特别是涉及一种影子路由器。
背景技术
当前我们正生活在“任意互联”的时代，网络安全正在面临前所未有的挑战。当攻击者可以肆意进出和控制军事指挥系统、核系统、能源系统、交通指挥系统、金融系统时，除了信息的安全，我们实体的财产与生命安全，也将变得无比脆弱。
硬件木马、0-DAY攻击、APT等新时期网络安全威胁所向披靡，正在让政府、企业乃至整个社会不安。0-DAY攻击能够轻易突破Desktop AV、IDS、IPS 和防火墙等基于签名的传统安全防线，已成为攻击者入侵系统的利器；硬件木马面临巨大检测难题，潜伏的威胁随时可能爆发；APT攻击融合了情报、黑客技术、社会工程、供应链植入等各种手段，攻击手段复杂而且专业，几乎无法将其阻断。
路由器是信息网络互连互通的骨干，其基于路由协议互连组成了信息网络的骨架。若路由器被攻击方恶意控制，攻击方可以通过路由控制长期大范围的获取信息、劫持用户数据，若路由器不能正常工作或者被摧毁，则网络将处于瘫痪状态。因此寻找应对路由器新安全威胁的创新方法，研制路由器安全防护的技术，无疑能够为信息基础网络骨架安全保驾护航。为此，本发明提出了一种路由器安全防护新技术——“影子”路由器，能够有效应对传统及新型的网络安全威胁。
本发明主要研究如何实现对路由器的全方位圆罩式防护。为此，提出了一种新型的路由器—“影子”路由器；设计了影子路由器与真实路由器的外部连接结构，内部结构及处理流程，使得影子路由器即可免除恶意探测又能完全真实模拟所连接真实路由器的处理功能和性能。通过将针对路由器的安全威胁诱骗进入“影子”路由器中，让安全威胁在“影子”路由器中发作并将其消灭。
发明内容
本发明克服了现有技术中，路由器的安全性能仍需提高的问题，提供一种安全性能高的影子路由器。
本发明的技术解决方案是，提供一种具有以下过程的影子路由器：影子路由器串行接入在真实路由器的输入、输出链路中间，影子路由器包括真实路由器、数据平面和控制平面三层结构，底层是与影子路由器对应的真实路由器，中间层是影子路由器的数据平面，顶层是其控制平面；外部链路的数据首先输入影子路由器，通过影子路由器安全检验的数据可送往真实路由器完成相应处理，处理完毕后的数据再经影子路由器处理并输出到链路上；影子路由器和真实路由器的配置比例为 1：N，其中 N 的个数可根据具体网络环境、安全等级需求和影子路由器本身系统性能指标来确定。
所述影子路由器处理流程具体如下：步骤1：报文进入影子路由器数据平面，数据输入处理模块对报文进行解封状、校验处理，并转给加扰模块；步骤2：加扰模块执行XOR运算和增加空闲序列对数据进行加扰，并转到无路由转发处理模块；步骤3：根据路由器的处理要求对输入数据分流，将控制平面需要的路由协议维护包、管理操作包等的“控制包”通过主控单元发送到控制平面，并转到步骤4；将不需要上报的“数据包”直接送真实路由器，转到步骤5；步骤4：控制平面执行安全威胁检测功能，并将处理后的数据包通过数据平面主控单元传送到真实路由器，转到步骤6；步骤5：真实路由器实现对数据进行相应处理，返回数据至影子路由器数据解扰模块。步骤6：数据解扰模块对数据包进行解扰处理；步骤7：输出处理单元对数据包进行封装并送至真实路由器指定的目的输出链路。
所述多个影子路由器联合检测安全威胁流程如下：步骤                                               ：控制平面对上报的数据包执行安全威胁检测功能；步骤：如果能检测出安全威胁，转到步骤，否则转到步骤；步骤：向临近影子路由器发送数据共享请求，获取临近影子路由器的日志信息和统计信息。对统计数据进行联合分析，检测安全威胁；步骤：如果能检测出安全威胁，转到步骤，否则转到步骤；步骤：生成新安全威胁的签名并发布给临近影子路由器，相应影子路由器更新已知安全威胁库；步骤：对安全威胁检测结果进行相应处理。
所述影子路由器的底层是与影子路由器对应的真实路由器，中间层是影子路由器的数据平面，顶层是其控制平面，数据经过数据平面和控制平面的相应处理后传入真实路由器，再由真实路由器对数据进行相应处理，最后经过数据平面和控制平面输出。
所述影子路由器和真实路由器的配置比例为 1：N，其中N为大于等于1的自然数，N的大小可根据具体网络环境、安全等级需求和影子路由器本身系统性能指标来确定。
与现有技术相比，本发明影子路由器具有以下优点：本发明既可免除恶意探测，又能完全真实模拟所连接真实路由器的处理功能和性能。能够有效应对新时期网络安全威胁，实现对真实路由器的全方位圆罩式防护，提升信息安全防护能力，为信息基础网络骨架安全保驾护航。
附图说明
图1是本发明影子路由器与真实路由器的外部连接结构示意图；
图2是本发明影子路由器的内部结构示意图；
图3是本发明影子路由器数据处理平面的结构示意图；
图4是本发明影子路由器控制平面的结构示意图；
图5是本发明影子路由器安全威胁检测模块的结构示意图；
图6是本发明影子路由器处理流程的结构示意图；
图7是本发明影子路由器联合检测安全威胁流程的结构示意图。
具体实施方式
下面结合附图和具体实施方式对本发明影子路由器作进一步说明：如图所示，本实施例中影子路由器串行接入在真实路由器的输入、输出链路中间，影子路由器包括真实路由器、数据平面和控制平面三层结构，底层是与影子路由器对应的真实路由器，中间层是影子路由器的数据平面，顶层是其控制平面；外部链路的数据首先输入影子路由器，通过影子路由器安全检验的数据可送往真实路由器完成相应处理，处理完毕后的数据再经影子路由器处理并输出到链路上；影子路由器和真实路由器的配置比例为 1：N，其中 N 的个数可根据具体网络环境、安全等级需求和影子路由器本身系统性能指标来确定。
所述影子路由器处理流程具体如下：步骤1：报文进入影子路由器数据平面，数据输入处理模块对报文进行解封状、校验处理，并转给加扰模块；步骤2：加扰模块执行XOR运算和增加空闲序列对数据进行加扰，并转到无路由转发处理模块；步骤3：根据路由器的处理要求对输入数据分流，将控制平面需要的路由协议维护包、管理操作包等的“控制包”通过主控单元发送到控制平面，并转到步骤4；将不需要上报的“数据包”直接送真实路由器，转到步骤5；步骤4：控制平面执行安全威胁检测功能，并将处理后的数据包通过数据平面主控单元传送到真实路由器，转到步骤6；步骤5：真实路由器实现对数据进行相应处理，返回数据至影子路由器数据解扰模块。步骤6：数据解扰模块对数据包进行解扰处理；步骤7：输出处理单元对数据包进行封装并送至真实路由器指定的目的输出链路。
所述多个影子路由器联合检测安全威胁流程如下：步骤：控制平面对上报的数据包执行安全威胁检测功能；步骤：如果能检测出安全威胁，转到步骤，否则转到步骤；步骤：向临近影子路由器发送数据共享请求，获取临近影子路由器的日志信息和统计信息。对统计数据进行联合分析，检测安全威胁；步骤：如果能检测出安全威胁，转到步骤，否则转到步骤；步骤：生成新安全威胁的签名并发布给临近影子路由器，相应影子路由器更新已知安全威胁库；步骤：对安全威胁检测结果进行相应处理。
所述影子路由器的底层是与影子路由器对应的真实路由器，中间层是影子路由器的数据平面，顶层是其控制平面，数据经过数据平面和控制平面的相应处理后传入真实路由器，再由真实路由器对数据进行相应处理，最后经过数据平面和控制平面输出。
所述影子路由器和真实路由器的配置比例为 1：N，其中N为大于等于1的自然数，N的大小可根据具体网络环境、安全等级需求和影子路由器本身系统性能指标来确定。
图2给出了影子路由器的内部结构。影子路由器为三层结构，底层是与影子路由器对应的真实路由器，中间层是影子路由器的数据平面，顶层是其控制平面。数据经过数据平面和控制平面的相应处理后传入真实路由器，再由真实路由器对数据进行相应处理，最后经过数据和控制平面输出。
图3为影子路由器数据平面，共包括线卡和主控２个硬件单元，无交换单元。主控连接各个线卡控制通道，包括信息上报和下发两个方向。上报方向将路由协议维护数据包、管理、应用返回包等数据上传给主控单元；下发方向将主控单元维护的转发表等信息下发给各个线卡。线卡包括输入、输出两个处理方向。在输入方向上，主要包括输入处理模块、无路由转发处理模块、加扰模块。输入处理模块的功能主要为：数据解封状、校验等。无路由转发处理模块根据路由器的处理要求对输入数据分流，上报控制平面需要的路由协议维护包、管理操作包等类型的“控制包”，将其他不需要上报的“数据包”直接送加扰模块。加扰模块的功能主要为执行XOR运算和增加空闲序列。在输出方向上，主要包括解扰模块、输出处理模块两部分。解扰模块将加扰后的数据进行还原，输出模块主要实现数据的封装处理。
图4为影子路由器控制平面，该平面本质上是真实路由器控制平面的真实投影和安全威胁检测功能的结合，主要包括管理、操作系统、路由协议、安全威胁检测四大部分。其中管理、操作系统、路由协议三个部分是真实路由器的投影，也是真实路由器安全威胁的一种虚拟执行和围堵清除空间，安全威胁检测模块完成对威胁的检测、清除和安全数据库的维护。影子路由器要完全重现真实路由器的控制平面环境，根据真实路由器的厂商、系列型号的不同，选择安装对应的操作系统版本、路由协议版本和管理维护模块。
通过影子路由器安全检测模块检测后数据包直接输送到真实路由器中，完成在真实路由器的相应处理。影子路由器不保留转发等信息，使得影子路由器即使执行了安全威胁代码也不会将危害反应到影子路由器数据平面，从而让安全威胁在一个封闭环境内得到执行而又无法造成恶果。
图5为影子路由器的安全威胁检测模块，影子路由器的安全威胁特征库中保存已知安全威胁的各种签名和特征，包括输入输出流量的统计特征、可疑载荷特征、已知安全漏洞签名、已知木马签名、已知高危可疑链路特征、已知攻击行为特征、智能事件关联特征等。未知安全威胁检测单元利用影子路由器的虚拟真实路由器环境作为安全威胁执行和检测环境，判断未知的安全威胁。
输入影子路由器的数据首先在安全威胁特征库进行威胁检测，发现安全威胁后对其进行处理。若不属于已知的安全威胁，则由安全威胁检测单元判断攻击行为，整理攻击特征，并将该安全威胁的签名加入安全威胁库。当新安全威胁发生时，检测系统判断攻击行为，整理攻击特征，并将该安全威胁的签名加入安全威胁库。