本发明专利技术涉及一种双向机顶盒入侵检测系统及其检测方法,其入侵检测系统,包含前端子系统和后端子系统,前端子系统,与OLT上游双向链路连接,对出/入OLT上游双向链路的双向流量进行采集和处理;后端子系统,对前端子系统的数据包进行安全检测和数据分析。本发明专利技术部署在OLT上游双向链路,对汇聚流量实现实时、智能识别,并实时检测并阻断、清洗恶意攻击流量;保证接入网正常不间断运行,对其串联在链路中可能产生的中断问题加以处理,保证链路的畅通;系统本身无外部可探测到的IP地址,类似于物理层的透明传输装置,类似一段光纤,具有天然的“隐形”特性,可免除攻击者对其进行探测,确保自身网络安全。
【技术实现步骤摘要】
本专利技术涉及广电网安全
,特别涉及一种。
技术介绍
2014年8月,温州广电网遭受黑客攻击,合法节目被中断,终端出现大量敏感画面,造成极其恶劣的影响,这给我们敲响了广电网安全的警钟。三网融合演进中,广电网原来安全的部分在新的融合形势下可能变得不再安全。双向改造为普通用户带来自主、个性化视频观看服务的同时,也为恶意攻击者提供了攻击路径,传统广电网络单向传播这一安全基石不复存在。终端智能化、电视网络化也为广电网带来新的安全隐患,智能化的机顶盒、电视机、家庭网关等终端运行在各种处理器平台基础上,安装有安卓等操作系统,具备了连接外部网络的双向通信通道,也就可以成为恶意攻击者实施网络攻击的目标或者攻击跳板。如图1所示,广电网网络分为外部网络和内部网络,其中内部网络分为前端、传输和终端三大部分。I)外部网络:对应于广电网络之外的其他公共网络,如互联网;2)前端网络:对应于广播业务前端网络、双向业务前端网络和广电办公网络,前端网络位于运营商网络的前部,完成日常办公和广播、双向业务的节目管理、节目发布、EPG(ElectronicProgram Guide)、B0SS/SMS等功能,在整个广电网络通信系统模型中可抽象成源端部分;3)传输网络:位于前端网络之后,在整个广电网络通信系统模型中可抽象成信道部分;包括单向广播传输网络和双向传输网络,从层次上还可分为骨干网络和接入网络,骨干网络由骨干路由器连接构成,接入网络通常采用P0N+E0C(P0N,Passive Optical Network; EOC,Ethernet over Coax)或其他接入方式;4)终端网络:以新型机顶盒或家庭智能网关形成的家庭网络,在整个广电网络通信系统模型中可抽象成终端部分。广电网络的网络安全边界包括外部网络与前端网络之间的区域边界,前端网络与传输网络的区域边界,传输网络与终端网络的边界。目前,广电网已在前端网络与外部网络边界、前端网络与传输网络边界加装了防火墙、IDS、IPS (Intrus1n Prevent1n System)等常规安全防护设备,以防范攻击者从外部网络或办公网络对广电前端网络发起攻击,防范攻击者从双向传输网络或者终端网络对广电前端网络发起攻击。相比而言,在传输网络与终端网络的边界上至今少有相应的网络安全保障技术提出和实施。广电网的网络安全建设需要对网络整体实施安全加固,忽视对传输网络与终端网络边界的安全防护可能会造成安全木桶的“短板”,即网络的整体安全并不是由安全性最强的那一部分决定,而往往由安全性最低的那部分确定。在互联网领域中,接入网是安全防护的重点布防区,防火墙、漏洞扫描、IDS、IPS等专用安全设备被广泛部署,以及在互联网接入网内的终端PC上,也都有防病毒之类的软件,操作系统也都是定期升级以此来弥补操作系统的安全漏洞。显然,在互联网中现已存在相对立体的安全防护系统。相比互联网,广电接入网目前缺乏相对立体的安全体系,没有类似的专门针对广电的安全专用设备,广电接入网端相对来说是“裸”安全的状态,攻击者可以轻松透明地进入网络并直接攻击到机顶盒。这样,即使机顶盒内部安装各类安全固件,攻击者的攻击难度也不大。接入网存在安全“短板”可能带来的安全隐患有:(I)攻击者可从终端网络发起对前端网络的上行攻击。在终端网络中智能机顶盒潜藏的安全漏洞很少被关注,实际上,很多智能机顶盒由于升级困难,再加上人们对机顶盒安全的意识薄弱以及机顶盒本身的“静默”特性,使得机顶盒安全隐患有较长的潜伏周期,容易被恶意攻击者大范围、大规模长期控制,可能造成严重的破坏后果。(2)接入网无边界防护,攻击者可从前端网络发起对终端网络的下行攻击。通过控制大量机顶盒酝酿大范围安全事故,利用机顶盒静默特性造成机顶盒下载存储非法应用,播放非法信息。(3)接入网无边界防护,非法的终端可能以假冒的身份轻易进入网络,进行各种破坏活动;合法身份的终端在进入网络后,也可能越权访问各种网络资源。
技术实现思路
针对现有技术中的不足,本专利技术提供一种,能够应对广电网现在面临的安全问题,提升了广电网安全防护能力,弥补了广电网接入网安全机制缺失的问题,实现为广电接入网防护提供一种有效的安全保障方法,保证了攻击流量的无可遁形。按照本专利技术所提供的设计方案,一种双向机顶盒入侵检测系统,包含前端子系统和后端子系统,前端子系统,与OLT上游双向链路连接,对出/AOLT上游双向链路的双向流量进行采集和处理;后端子系统,对前端子系统的数据包进行安全检测和数据分析。上述的,所述后端子系统还包含安全检测模块,安全检测模块依据安全威胁库对安全威胁进行比对检测,并实时通知前端子系统。上述的,还包含线速串接光/电切换保护模块,线速串接光/电切换保护模块处理串联在OLT上游双向链路中的中断问题,保证链路的畅通。一种双向机顶盒入侵检测方法,包含如下步骤: 步骤1.前端子系统对出/入OLT上游双向链路的双向流量进行筛选采集,剔除已知确定无危害的流量数据,采集剩余的可疑流量数据并传输至后端子系统; 步骤2.后端子系统根据接收到的可疑流量数据判定是否包含已知威胁特征,若包含,则根据已知安全威胁库对接收到的可疑流量数据进行安全威胁检测并清除,否则,通过统计行为特征并根据大数据关联分析方法对该可疑流量数据进行安全威胁检测,并对检测出的安全威胁进行特征分析,将分析结果加入已知安全威胁库中。上述的双向机顶盒入侵检测方法,所述步骤I具体包含如下步骤: 步骤1.1.根据广电网流量的特点判断出/入OLT上游双向链路的双向流量是否是已知合法音视频内容,若是,则剔除,否则进行下一步,则判定为可疑流量数据; 步骤1.2.对可疑流量数据进行采集; 步骤1.3.将采集到的可疑流量数据传输至后端子系统进行分析处理; 步骤1.4.后端子系统分析通过分析判定该可疑流量数据是否为攻击流量数据,若是,则进行下一步,否则,剔除; 步骤1.5.通过后端子系统对数据分析处理后,前端子系统发送响应处理命令,进入步骤 1.6 ; 步骤1.6.根据响应命令,前端子系统对该攻击流量数据做出相应处理。上述的双向机顶盒入侵检测方法,所述步骤2具体包含如下步骤: 步骤2.1.接收可疑流量数据,将该可疑流量数据传输至安全检测模块; 步骤2.2.安全检测模块通过比对已知安全威胁特征库,判断可疑流量数据是否存在已知安全威胁,若存在,则向前端子系统发送异常处理指令,否则,进入下一步骤2.3 ; 步骤2.3.根据大数据关联分析方法检测可疑流量数据,判断可疑流量数据是否存在未知安全威胁,若存在,则向前端子系统发送异常处理指令,否则,执行步骤2.4 ; 步骤2.4.将检测完的可疑流量数据传送到相应光线路终端。上述的双向机顶盒入侵检测方法,所述步骤2还包含广电网回传流量检测,所述广电网回传流量检测具体包含如下内容:对用户流量进行检测,是否有大规模流量回传,如果没有,则判定属于正常行为,如果有,则检测大规模流量回传的时间是否为约定的时间节点,若是,则判定属于正常流量回传行为,否则,判定为入侵行为,并对入侵行为采取入侵响应。上述的双向机顶盒入侵检测方法,所述步骤2中通过统计行为特征并根据大数据关联分析方法对该可疑流量数据进行安全威胁检测本文档来自技高网...
【技术保护点】
一种双向机顶盒入侵检测系统,其特征在于:包含前端子系统和后端子系统,前端子系统,与OLT上游双向链路连接,对出/入OLT上游双向链路的双向流量进行采集和处理;后端子系统,对前端子系统的数据包进行安全检测和数据分析。
【技术特征摘要】
【专利技术属性】
技术研发人员:李玉峰,张明明,李康士,于松林,王文功,陈博,张传浩,杜飞,
申请(专利权)人:中国人民解放军信息工程大学,
类型:发明
国别省市:河南;41
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。