RPKI路由应急管控系统---软件著作

在这里插入图片描述

RPKI路由应急管控系统V2.0

说明书

1.引言

1.1产品描述

软件名称:RPKI路由应急管控系统V2.0
简称:RPKI - QCL-V2.0
开发语言:Rust、Python、HTML、CSS、TypeScript
功能版本:V2.0

1.2开发背景及内容提要

随着互联网的快速发展,网络安全威胁也日益增多,特别是对于互联网基础设施的攻击可能带来严重的后果。RPKI(Resource Public Key Infrastructure)是一种用于加强BGP(Border Gateway Protocol)路由安全性的框架,它提供了一种方式来验证路由传播的真实性,防止恶意的路由劫持和欺骗攻击。然而,尽管RPKI提供了一定程度的路由安全性,但在应对网络紧急情况时,仍然存在一些挑战,需要开发相应的应急防御系统来应对各种网络攻击。
软件开发旨在建立一套完善的应急防御系统,以应对互联网基础设施遭受的各种网络攻击。该系统将结合RPKI框架的路由安全性机制,针对网络紧急情况,提供实时监测、快速响应和自动化处理的功能,保障互联网路由的可靠性和安全性。主要包括以下内容:系统将实时监测互联网路由的状态和变化,包括对RPKI路由的验证结果进行监测,以及对异常路由的检测和识别。在发现异常路由或网络攻击行为时,系统将立即发出警报,并启动快速响应机制,包括应急过滤恶意路由、调整路由策略等措施,以最小化网络影响。针对常见的网络攻击场景和应急事件,系统将提供自动化处理方案,通过预设的规则和策略进行自动化处理,提高应对能力和响应速度。提供直观的可视化界面,显示实时的路由状态和安全事件,帮助管理员及时了解网络情况,做出相应的应对措施。通过《RPKI路由应急管控系统》软件的开发与应用,可以有效提升互联网路由的安全性和稳定性,保障网络基础设施的正常运行,提高网络抗攻击能力,减少因网络攻击带来的损失。

2.软件体系结构

2.1软件的功能结构

软件的功能结构如下:
在这里插入图片描述

                                        图1.系统功能结构图

路由管理功能是对整个RPKI体系中的路由进行管理与展示,包括搜索筛选ROA、ROA资源信息、ROA添加删除、攻击告警处理等,以可视化的方式直观地管理路由授权信息,并及时响应网络安全事件,确保网络的安全和稳定运行。
证书信息功能模块旨在提供对父级CA及资源库的全面管理和监控,使系统管理员能够轻松地查看和配置与父级CA及资源库相关的摘要信息。这包括父级CA Handle、资源库URI、最近交换时间以及父级CA所分配的所有资源的详细信息。
证书管理功能是为了提高子级CA与资源库之间的交互效率和安全性而设计的。这个功能的目标是通过小程序,利用SSL加密认证,实现子级CA与资源库之间的自动注册和注销,避免手动交互,提高系统的可靠性和安全性。
应急管控功能提供了路由撤销和路由重定向两大功能。路由撤销允许管理员撤销指定的路由,即使它们已经生效。这可以阻止错误配置或恶意攻击导致的不良路由传播,迅速恢复网络的正常运行状态。路由重定向允许管理员将路由重定向到安全的AS Number,以避免恶意攻击或路由故障对网络造成的影响。通过这些功能,用户可以在网络发生紧急情况时,及时采取措施以应对威胁,确保网络安全。
关于我们功能提供了关于RPKI路由攻击防御系统的相关研究信息,旨在向用户介绍平台的背景、目标和成果,以及所搭建的RPKI资源公共密钥基础架构认证体系的相关信息。通过“关于我们”功能,用户可以了解到RPKI路由攻击防御平台的详细信息,建立信任和了解,为进一步合作和研究提供基础。

2.2软件的系统架构

软件系统架构如下:
在这里插入图片描述

                                     图2.软件系统架构图

RPKI路由应急管控系统的系统架构如图2所示。基本设计思路如下:主要由前端展示层、访问控制层、前台应用层、服务层和数据层等5部分构成。其中,前端展示层作为路由管控平台的载体,包括接入设备及其前端架构,以实现数据传输和结果展示;访问控制层利用一系列代理和网关执行程序,以实现前后端的交互;前台应用层部署多种实用性功能,以供用户需求访问;服务层存储RPKI证书体系,以签发、存储和同步验证ROA信息;数据层存储ROA的缓存数据以供上层获取。通过对各层模块的详细设计,前端调用一个API接口通过访问控制层的前后端交互,以到达前台应用层的功能模块,然后利用服务层RPKI证书签发存储和验证体系,抵达数据层中寻找ROA的数据信息,然后将查询到的结果汇聚至前端展示层供用户查看。

3.软件实现功能

3.1攻击告警

攻击告警功能是RPKI路由攻击防御平台的重要组成部分。当系统检测接收到异常路由或网络攻击行为时,立即发出警报,迅速启动响应机制,以应对潜在的网络威胁。这项功能不仅能够及时发现问题,还能有效减轻潜在风险,保障网络的安全与稳定运行。
在接收到异常路由的报警后,管理员可根据上报的告警IP信息采取相应措施进行应急处理。其中,关键的一项应对措施是针对异常IP进行资源库ROA的删除或者依赖方ROA的应急过滤。通过这种方式,系统能够迅速剔除恶意路由,降低网络受到攻击的风险,确保数据传输的可靠性和安全性。

3.2路由管理

路由管理功能是对整个RPKI体系中可以获取的资源库ROA进行应急管理与展示,当路由系统遭遇泛洪攻击的时候,应急管理以撤销资源库中存储的ROA信息,使得依赖方无法从资源库中拉取ROA信息,从而阻断恶意流量的宣发路径。展示以可视化的方式显示整个资源库中ROA的ASN、前缀、状态、资源等信息,为管理员提供了全局视角,有助于更深入地理解ROA体系的特征和组成。

3.3证书信息

证书信息功能旨在为系统管理员提供对父级CA及资源库的全面管理和监控功能。通过这一功能,管理员可以轻松地查看和配置与父级CA及资源库相关的重要信息,实现对整个RPKI体系的有效管控。
该功能模块涵盖了多个关键信息点,其中包括父级CA Handle、资源库URI、最近交换时间等重要数据。管理员可以通过界面直观地获取这些信息,了解父级CA的身份和资源库的状态,以及与之相关的关键时间节点。此外,该功能还提供了父级CA所分配的所有资源的详细信息,帮助管理员全面了解和监控资源的分配情况。
为了提升用户体验和管理效率,证书信息功能模块设计了直观友好的界面,并提供了灵活的配置选项,使管理员能够根据需要对父级CA和资源库进行定制化配置。同时,该功能模块还支持实时数据更新和监控,确保管理员始终掌握最新的信息,及时做出决策和调整。
总的来说,证书信息功能模块为系统管理员提供了一站式的父级CA及资源库管理和监控解决方案,为保障网络的安全和稳定运行提供了强有力的支持。

3.4证书管理

证书管理功能其旨在提升子级CA与资源库之间的交互效率和安全性。通过该功能,系统能够实现子级CA与资源库之间的自动注册和注销,从而简化管理流程,确保通信的可靠性和安全性。
在传统的RPKI体系中,子级CA需要手动进行注册和注销操作,这不仅费时费力,还容易出现人为错误。而证书管理功能的引入,使得这一过程变得更加智能化和高效化。系统能够自动识别子级CA的注册请求,并在验证通过后自动完成注册流程,实现注册证书的生成和存储。同时,当子级CA需要注销时,系统也能够自动识别并执行相应的注销操作,确保证书管理的及时性和准确性。
综上所述,证书管理功能的引入大大提高了子级CA与资源库之间的交互效率和安全性,为RPKI路由攻击防御平台的运行和管理提供了强有力的支持。

3.5应急管控

应急功能是为了应对路由系统中的潜在恶意流量攻击,以及由此可能导致的流量堵塞和不可达情况而设计的。该功能通过SLURM(Signed Object for the Announcement of ROAs)路由策略,对依赖方进行精细化的RP(Route Prefix)管理,实现对路由系统中的恶意流量的快速响应和管控。
通过SLURM路由策略,实现对具体RP和前缀的精细化管控,使管理员能够有针对性地对流量进行过滤。管理平台提供了直观的前端界面,管理员可以快速选择需要过滤的RP和前缀,通过后端服务器生成SLURM.json文件,实现对恶意流量的快速响应。管理平台前端提供了灵活的选项,管理员可以根据实际情况选择需要过滤的ROA,提高了系统的灵活性和可配置性。通过这些特性,依赖方ROA管控功能使得系统能够迅速而有效地应对潜在的网络安全威胁,保障路由系统的正常运行。

3.6关于我们

关于我们功能是RPKI路由攻击防御系统中至关重要的一部分,旨在向用户提供关于该系统的详尽信息,以建立信任、促进了解,并为进一步的合作和研究提供基础。该功能不仅介绍了系统的背景、目标和成果,还提供了关于建立的RPKI资源公共密钥基础架构认证体系的相关信息,从而使用户能够全面了解该系统的运作机制和核心理念。
在关于我们功能中,用户可以深入了解系统的发展历程、研究动机以及未来展望。通过详细介绍系统所致力解决的问题和提供的解决方案,用户能够全面认识到该系统在网络安全领域的重要性和价值。此外,系统还会展示已取得的研究成果和技术特点,以及相关的论文和学术报道,为用户提供了充分的参考和了解渠道。

4.软件详细设计

4.1攻击告警

4.1.1程序流程
在这里插入图片描述

                                      图3.攻击告警上报处理流程图

在接收到异常路由的报警后,管理员可根据上报的告警IP信息采取相应措施进行应急处理。系统提供了灵活的处理方式,管理员可以根据具体情况选择单个处理攻击告警,也可以批量进行处理攻击告警,以实现全面的应急管控。
针对单个攻击告警,管理员可以立即采取针对性的措施,如针对异常IP进行资源库ROA的删除或者依赖方ROA的应急过滤。这样的精准处理能够迅速剔除恶意路由,降低网络受到攻击的风险,确保数据传输的可靠性和安全性。
而针对批量攻击告警,系统也提供了相应的应急处理功能。管理员可以批量选择多个异常IP进行处理,例如一次性撤销多个恶意路由,从而迅速遏制攻击行为的传播,有效保护网络的安全。这种批量处理的方式能够提高应急响应的效率,缩短应对时间,为网络安全提供更加全面的保障。
总之,系统提供了灵活多样的应急处理方式,管理员可以根据具体情况选择单个或批量处理攻击告警,以实现及时、精准、高效的应急管控。这样的应急处理机制有助于保障网络的安全和稳定运行,提升系统的整体防御能力。
4.1.2关键子函数说明
子函数名:emergency_report_dispose( )
函数功能:接收处理攻击告警信息并通过ORM关系映射将攻击告警存储到数据库。
输入参数:攻击告警信息json数据
输出信息:JsonResponse
子函数名:Emergency()
函数功能:处理小程序返回的攻击告警并在前端页面进行渲染展示,进行攻击告警的单个处理跟批量处理。
输入参数:prefixList
输出信息:攻击告警表格信息
4.1.3关键数据变量
变量名:prefixList
说明:前缀列表
类型:list
变量名:selectedPrefixes
说明:批量选中的攻击告警IP前缀
类型:list
变量名:prefixesData
说明:小程序响应的数据库中存储的攻击告警数据
类型:dict

4.2应急管控IP前缀命中条目检测

4.2.1程序流程
在这里插入图片描述

                               图4.检测IP前缀资源库命中条目数流程图

管理员可以在管控平台客户端的应急管控功能中,通过点击"检测IP前缀命中条目"按钮,来获取IP前缀在资源库中的命中条目数。这项功能允许管理员根据需要对特定IP前缀进行信息检测,以了解其在资源库中的授权情况。
具体操作包括系统根据管理员输入的IP前缀信息,遍历资源库中的ROA信息,并进行分割IP地址和掩码,然后通过与运算筛选出资源库中命中的ROA条目数。这一过程能够帮助管理员迅速了解特定IP前缀的授权情况,从而更好地判断网络安全风险。
在客户端执行检测后,系统将会向管理员提示命中的ROA条目数,以便管理员进行进一步的分析和应对措施。这种即时的反馈和提示有助于管理员快速掌握网络安全状态,及时采取相应的防御措施,保障网络的安全和稳定运行。
通过这样的功能优化和拓展,管理员能够更加方便地进行IP前缀命中条目的检测,有效提高了应急管控的效率和准确性,为网络安全提供了更加可靠的保障。
4.2.2关键子函数说明
子函数名:handIPPrefix( )
函数功能:根据IP前缀信息,遍历资源库中的ROA信息,并进行分割IP地址和掩码,然后通过与运算筛选出资源库中命中的ROA条目数。
输入参数:ip_prefix
输出信息:notification
子函数名:getIps()
函数功能:进行筛选。
输入参数:filtering
输出信息:setNotification
4.2.3关键数据变量
变量名:filtering
说明:筛选条件
类型:Filtering
变量名:suggestionCount
说明:命中的ROA条目数量
类型:int

4.3资源库ROA应急管控

4.3.1程序流程
在这里插入图片描述

                                    图5.资源库ROA应急管控流程图

为紧急撤销资源库中的ROA信息,管控平台根据实际情况的需求设计两种撤销路径 (1) ROA单个撤销:在平台客户端利用ASN、状态及地址前缀搜索并选中相应的ROA,向后端发起请求;后台服务器根据路由选择相应的响应函数以对资源库中的ROA紧急过滤撤销。(2)ROA批量撤销:根据用户在管控平台客户端录入的ROA前缀信息,遍历资源库的ROA信息,分割其前缀的IP和掩码,并作与运算,从而批量筛选出资源库中所包含的需要过滤的ROA信息,选中并向后端发起请求,后台服务器根据路由选择相应的响应函数进行资源库中相应的ROA紧急过滤撤销。
4.3.2关键子函数说明
子函数名:isPrefixContained( )
函数功能:判断前缀包含函数,判断一个IP地址的前缀是否包含在另一个IP地址的前缀中。
输入参数:前缀1、前缀2
输出信息:boolean
子函数名:getMaskSegments()
函数功能:将一个表示子网掩码的数字转化为一个由四个数字组成的数组。
输入参数:mask
输出信息:将掩码分割后的数组
4.3.3关键数据变量
变量名:prefix
说明:前缀
类型:string
变量名:mask
说明:掩码
类型:number

4.4依赖方ROA应急管控

4.4.1程序流程
在这里插入图片描述

                                       图6.依赖方ROA应急管控流程图

为了应对路由系统中的潜在恶意流量攻击,以及由此可能导致的流量堵塞和不可达,管理平台前端提供了一个用户界面,允许管理员根据需要选择要紧急过滤的RP和前缀信息,当管理员在前端界面上进行了选择后,管理平台前端向后端服务器发起请求,传递所选RP和前缀信息。后端服务器接收到请求后,通过调用RP端的小程序,生成SLURM.json文件。生成的SLURM.json文件通过安全的通信方式传输到依赖方,然后依赖方根据本地策略引擎将SLURM.json文件中的ROA信息应用到路由系统的策略中。为了使新的SLURM策略生效,依赖方需要重启相关路由设备,确保新的ROA信息得到正确应用,这确保了管控功能的即时生效。
4.4.2关键子函数说明
子函数名:rp_roa_filter()
函数功能:整合数据信息,模拟客户端向RP端小程序发起请求。
输入参数:无
输出信息:后端响应结果
子函数名:slurm_config()
函数功能:生成SLURM.json文件,并重启依赖方然后依赖方根据本地策略引擎将SLURM.json文件中的ROA信息应用到路由系统的策略中。
输入参数:前缀列表
输出信息:后端响应结果
4.4.3关键数据变量
变量名:rp_url
说明:RP地址信息
类型:String
变量名:prefix_list
说明: 前缀列表
类型:List
变量名:slurm_json
说明:生成的slurm的json数据
类型:Json

5.软件运行示例

5.1 系统主页

在这里插入图片描述

5.2 证书信息

在这里插入图片描述

5.3 证书管理

在这里插入图片描述

5.4 应急管控

在这里插入图片描述

5.5 关于我们

在这里插入图片描述

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/901967.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

gin入门教程(7): 使用 Logrus + Lumberjack 创建日志中间件

结合 Logrus 和 Lumberjack,可以创建一个高效的日志中间件,用于记录请求和响应。以下是实现步骤: 1. 安装依赖 首先,确保安装了 Logrus 和 Lumberjack: go get github.com/sirupsen/logrus go get gopkg.in/natefin…

基于Python大数据的王者荣耀战队数据分析及可视化系统

作者:计算机学姐 开发技术:SpringBoot、SSM、Vue、MySQL、JSP、ElementUI、Python、小程序等,“文末源码”。 专栏推荐:前后端分离项目源码、SpringBoot项目源码、Vue项目源码、SSM项目源码、微信小程序源码 精品专栏:…

SpringBoot中yaml配置文件中文字符异常以及将多个独立的IDEA项目整合到一个项目里当做模块的处理

一、SpringBoot中yaml配置文件中文字符异常 在使用 SpringBoot 中 yaml 配置注入实体类中时,怎么注入都不成功,注入类的数据 yaml 如下。 schools:name: kermitgrades: 7students: 2050address: "中国北京" 报错如下: java.lang.I…

Linux 命令行学习:数据流控制、文本处理、文件管理与自动化脚本 (第二天)

目标&#xff1a;掌握更多命令行技巧和文本处理工具。 1. 管道和重定向 &#xff08;1&#xff09;输入输出重定向 输出重定向 (>)&#xff1a;将命令的输出写入到文件中&#xff0c;如果文件存在&#xff0c;则覆盖。 演示 &#xff1a; 输入重定向&#xff08;<&a…

解决电脑突然没有声音

问题描述&#xff1a;电脑突然没有声音了&#xff0c;最近没有怎么动过系统&#xff0c;没有安装或者卸载过什么软件&#xff0c;也没有安装或者卸载过驱动程序&#xff0c;怎么就没有声音了呢&#xff1f; 问题分析&#xff1a;仔细观察&#xff0c;虽然音量按钮那边看不到什…

基于Arduino的LED亮灭按键控制

一、项目简介 通过一个按键控制LED的亮灭&#xff0c;实现按键按一下LED点亮&#xff0c;再按一下LED熄灭&#xff0c;交替循环。 二、控制原理 1. 按键检测原理&#xff1a; 将Arduino的监测端口设置为输入上拉模式&#xff08;INPUT_PULLUP&#xff09;&#xff0c;用于连…

初始JavaEE篇——多线程(4):生产者-消费者模型、阻塞队列

找往期文章包括但不限于本期文章中不懂的知识点&#xff1a; 个人主页&#xff1a;我要学编程程(ಥ_ಥ)-CSDN博客 所属专栏&#xff1a;JavaEE 文章目录 阻塞队列生产者—消费者模型生产者—消费者模型的优势&#xff1a;生产者—消费者模型的劣势&#xff1a; Java标准库中的阻…

【vue3|第29期】Vue3中的插槽:实现灵活的组件内容分发

日期&#xff1a;2024年10月24日 作者&#xff1a;Commas 签名&#xff1a;(ง •_•)ง 积跬步以致千里,积小流以成江海…… 注释&#xff1a;如果您觉在这里插入代码片得有所帮助&#xff0c;帮忙点个赞&#xff0c;也可以关注我&#xff0c;我们一起成长&#xff1b;如果有不…

多款云存储平台存在安全漏洞,影响超2200万用户

据苏黎世联邦理工学院研究人员Jonas Hofmann和Kien Tuong Turong的发现&#xff0c;端到端加密&#xff08;E2EE&#xff09;云存储平台存在一系列安全问题&#xff0c;可能会使用户数据暴露给恶意行为者。在通过密码学分析后&#xff0c;研究人员揭示了Sync、pCloud、Icedrive…

docker中部署mysql时一直报Get“http://“

原因是使用阿里镜像是网速过慢的问题 解决方式&#xff1a;重新配置镜像 j解决docker: Error response from daemon: Get “https://registry-1.docker.io/v2/“: net/http: request canc-CSDN博客

深度学习--CNN实现猫狗识别二分类(附带下载链接, 长期有效)

1. 代码实现(包含流程解释) 样本量: 8005 # # 1.导入数据集(加载图片)数据预处理# 进行图像增强, 通过对图像的旋转 ,缩放,剪切变换, 翻转, 平移等一系列操作来生成新样本, 进而增加样本容量, # 同时对图片数值进行归一化[0:1] from tensorflow.keras.preprocessing.image …

2024/10/27周报

文章目录 摘要Abstract深度学习预测进出水水质使用UCI机器学习库中的水处理数据集代码描述具体代码示例实验结果 智能比对示例数据示例比对步骤Python 代码示例结果解读应用场景 总结改进建议 摘要 本周对南宁伶俐工业园区污水处理厂进行调研&#xff0c;了解了该污水处理厂的…

H5实现PDF文件预览,使用pdf.js-dist进行加载

H5实现PDF文件预览&#xff0c;使用pdf.js-dist进行加载 一、应用场景 在H5平台上预览PDF文件是在原本已经开发完成的系统中新提出的需求&#xff0c;原来的系统业务部门是在PC端进行PDF的预览与展示&#xff0c;但是现在设备进行了切换&#xff0c;改成了安卓一体机进行文件…

记一次真实项目的性能问题诊断、优化(阿里云redis分片带宽限制问题)过程

前段时间&#xff0c;接到某项目的压测需求。项目所有服务及中间件&#xff08;redis、kafka&#xff09;、pg库全部使用的阿里云。 压测工具&#xff1a;jmeter(分布式部署)&#xff0c;3组负载机&#xff08;每组1台主控、10台linux 负载机&#xff09; 问题现象&#xff1…

基于SSM的网上购物系统的设计与实现

技术介绍 本系统运用了JSP技术、SSM框架、B/S架构和myspl数据库 MySQL 介绍 MySQL是一种关系型的数据库管理系统&#xff0c;属于Oracle旗下的产品。MySQL的语言是非结构化的&#xff0c;使用的用户可以在数据上进行工作。这个数据库管理系统一经问世就受到了社会的广泛关注…

神仙公司名单(成都)

神仙公司&#xff08;成都&#xff09; 神仙公司&#xff0c;继续。 最近对古城很感兴趣&#xff0c;加上前两周吃的串串还记忆犹新&#xff0c;这期写一下四川省省会&#xff1a;成都。 在互联网人眼中&#xff0c;成都似乎是一个存在感很低的城市&#xff0c;但实际上成都一直…

【电机控制】相电流重构——单电阻采样方案

【电机控制】相电流重构——单电阻采样方案 文章目录 [TOC](文章目录) 前言一、基于单电阻采样电流重构技术原理分析1.1 单电阻采样原理图1.2 基本电压矢量与电流采样关系 二、非观测区2.1 扇区过渡区2.2 低压调制区 三、非观测区补偿——移相法四、参考文献总结 前言 使用工具…

C语言实现栈和队列

代码已经上传我的资源&#xff0c;需要可自取 1.栈 1.1栈的概念及结构 栈&#xff1a;一种特殊的线性表&#xff0c;其只允许在固定的一端进行插入和删除元素操作。 进行数据插入和删除操作的一端 称为栈顶&#xff0c;另一端称为栈底。栈中的数据元素遵守后进先出LIFO&…

Python实现贝叶斯优化器(Bayes_opt)优化简单循环神经网络分类模型(SimpleRNN分类算法)项目实战

说明&#xff1a;这是一个机器学习实战项目&#xff08;附带数据代码文档视频讲解&#xff09;&#xff0c;如需数据代码文档视频讲解可以直接到文章最后关注获取。 1.项目背景 贝叶斯优化器 (BayesianOptimization) 是一种黑盒子优化器&#xff0c;用来寻找最优参数。 贝叶斯…

Linux资源与网络请求

参数说明&#xff1a; d : 改变显示的更新速度&#xff0c;或是在交谈式指令列( interactive command)按 sq : 没有任何延迟的显示速度&#xff0c;如果使用者是有 superuser 的权限&#xff0c;则 top 将会以最高的优先序执行c : 切换显示模式&#xff0c;共有两种模式&#…