专利名称:网络设备与入侵检测系统联动的方法
技术领域:
本发明涉及网络安全技术领域,具体涉及一种网络设备与入侵检测系统联动的方法。
背景技术:
当越来越多的公司将其核心业务向互联网转移的时候,网络安全作为一个无法回避的问题呈现在人们面前。传统上,公司一般采用防火墙作为安全的第一道防线。而随着攻击者知识的日趋成熟,攻击工具与手法的日趋复杂多样,单纯的防火墙策略已经无法满足对安全高度敏感的部门的需要,网络的防卫必须采用一种纵深的、多样的手段。入侵检测技术是主动保护自己免受攻击的一种网络安全技术。作为防火墙的合理补充,入侵检测技术能够帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应),提高了信息安全基础结构的完整性。IDS(入侵检测系统)处于防火墙之后对网络活动进行实时检测,它从计算机网络系统中的若干关键点收集信息,并分析这些信息。很多时候需要安全产品与安全产品之间、安全产品与网络设备之间通力协作,保证相关的攻击和漏洞在源头就被发现和阻断,从而更有效地保护整个网络的安全。
由此,出现了网络设备与IDS的联动技术。IDS与网络交换设备联动是指,交换机在运行的过程中,将各种数据流的信息上报给安全设备,IDS系统可根据上报信息和数据流内容进行检测,当发现网络安全事件的时候,进行有针对性的动作,并将这些对安全事件反应的动作发送到交换机上,由交换机来实现精确端口的关闭和断开。
入侵检测联动模型如图1所示
在网络设备运行过程中,将来自Internet(因特网)的各种数据流的信息报告给IDS,IDS一方面要监听来自Internet的数据流,一方面还要监听来自Interant(企业网)的数据流。当IDS发现可疑的流量数据(如病毒、恶意的ActiveX(ActiveX是使软件组件能够在网络环境中交互作用而与创建组件的语言无关的一套封装技术)程序后,将相应的流量数据对应的端口通知给网络设备,由网络设备将该端口禁止掉,一段时间后再使能该端口。
这种禁止某个端口的异常数据流的联动方式,虽然在一定程度上保证网络的安全,但同时也会影响该端口下其他用户的正常使用。
发明内容
本发明的目的是提供一种网络设备与入侵检测系统联动的方法,以克服现有技术中基于端口的异常数据流的阻断方式对其他用户使用的影响,有效地实现网络设备与IDS之间的联动,提高网络的安全性,并保证其他用户的正常使用。
为此,本发明提供如下的技术方案一种网络设备与入侵检测系统联动的方法,所述方法包括步骤A、所述入侵检测系统监测所述网络设备端口,根据监测结果生成数据流控制信息,所述数据流控制信息包括可疑数据流特征信息及其对应的阻断时间;B、将所述数据流控制信息发送给所述网络设备;C、所述网络设备根据收到的数据流控制信息建立对应的访问控制列表,阻断所述可疑数据流。
所述步骤A包括A1、在所述网络设备上设置侦听端口;A2、将需要检测的端口上的所有报文通过所述侦听端口映射到所述入侵检测系统;A3、所述入侵检测系统根据收到的报文获取可疑数据流特征信息;A4、根据所述可疑数据流特征信息生成所述数据流控制信息。
所述可疑数据流特征信息包括满足开放系统互连模型中1至7层协议头信息。
所述步骤B包括B1、将所述数据流控制信息封装在网络协议报文中;B2、通过所述网络协议报文将所述数据流控制信息发送给所述网络设备。
所述步骤B1具体为将所述数据流控制信息封装在简单网络管理协议报文中;或者将所述数据流控制信息封装在安全套接字协议层报文中。
所述网络协议报文包括记录名称、源MAC地址、目的MAC地址、源IP地址、目的IP地址、源端口号、目的端口号、协议类型。
所述访问控制列表包括需阻断的指定源的流,和/或指定目的的流,和/或指定源范围的流,和/或指定目的范围的流,和/或指定五元组的流。
一种网络设备与入侵检测系统联动方法,包括以下步骤a、入侵检测系统监控通过网络设备的数据流,发现可疑数据流时,收集该可疑数据流区别于其他数据流的特征信息;b、将上述特征信息封装在协议报文中发送给所述网络设备;c、所述网络设备收到上述协议报文后,根据该协议报文内的特征信息建立相应的访问控制列表,以阻断上述可疑数据流。
优选地,所述特征信息包括源媒体接入控制地址、目的媒体接入控制地址、源IP地址、目的IP地址、源端口号、目的端口号、协议类型中任意一种或多种的组合。
优选地,在步骤b中,所述入侵检测设备将阻断时间同时加入所述协议报文中,通知网络设备阻断该可疑数据流的时间。
由以上本发明提供的技术方案可以看出,本发明通过IDS系统对网络设备端口处理的所有数据流进行监测,并根据监测结果将可疑的数据流信息发送到网络设备,使网络设备根据数据流的信息,只阻断带有攻击性的报文,而不会影响其他正常报文的传输,有效地实现了网络设备与入侵检测系统的联动。而且本发明还可以根据不同网络设备的需要,区分对待不同的数据流,根据报文中可能带有的13个报文头信息的组合,可以实现OSI(开放系统互连)模型中1-7层数据流的阻断;还可针对不同数据流设置不同的阻断时间,从而满足了网络不同安全等级的需要。本发明实现简单,灵活可靠,提高了安全产品的整体防护能力。
图1是入侵检测联动模型示意图;图2是本发明方法的第一实施例实现流程图;图3是本发明方法的第二实施例实现流程图。
具体实施例方式
本发明的核心在于在网络设备上设置侦听端口,将启动入侵检测端口的所有数据报文复制到入侵检测系统,由入侵检测系统检测这些数据流是否带有攻击性,根据检测结果向网络设备发送需要阻断的数据流的特征,网络设备根据这些数据流的特征通过ACL(访问控制列表)实现针对数据流的阻断。
本技术领域人员知道,入侵检测是指通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。进行入侵检测的软件与硬件的组合便是IDS(入侵检测系统)。网络入侵检测系统通常通过匹配网络数据包发现攻击行为,其功能主要有a.监测并分析用户和系统的活动;b.核查系统配置和漏洞;c.评估系统关键资源和数据文件的完整性;d.识别已知的攻击行为;e.统计分析异常行为;f.操作系统日志管理,并识别违反安全策略的用户活动。
本发明利用IDS,在网络设备上,比如,交换机、路由器、防火墙等,实现基于数据流的阻断。
为了使本技术领域的人员更好地理解本发明方案,下面结合附图和实施方式对本发明作进一步的详细说明。
本发明方法的第一实施例实现流程如图2所示步骤201由入侵检测系统监测所述网络设备端口,根据监测结果生成数据流控制信息,数据流控制信息包括可疑数据流特征信息及其对应的阻断时间。
对于网络型IDS,其数据采集有多种可能(1)如果网段用总线式的集线器相连,则可将其简单的接在集线器的一个端口上即可;(2)对于交换式以太网交换机由于交换机不采用共享媒质的办法,因此可以采用以下几种方式a、交换机的核心芯片上一般有一个用于调试的端口,任何其他端口的进出信息都可从此得到,因此可将IDS系统接到此端口上。
b、把入侵检测系统放在交换机内部或防火墙内部等数据流的关键入口、出口。
c、采用分接器,将其接在所有要监测的线路上。
在本发明中,可以在网络设备(交换机、路由器或防火墙)上设置一个或多个侦听端口,端口速率可以为100Mbps或者1000Mbps,将需要检测的端口上的所有报文通过该侦听端口映像到入侵检测系统。入侵检测系统收到这些数据流后,对这些数据流进行过滤,分析其是否带有攻击性,获取可疑数据流特征信息,包括所有满足开放系统互连模型中1至7层协议头信息,并确定对这些可疑数据流的阻断时间。
比如,从以下几方面对数据流进行检测(1)内容过滤,如针对病毒,恶意的ActiveX程序等的过滤;(2)入侵检测,根据各种协议特征检测网络中的可疑行为,通知网络设备进行处理。
需检测的数据流的信息包括所有满足OSI模型中1-7层协议头的信息,如MAC(媒体接入控制)信息、IP(因特网协议)地址信息、TCP(传输控制协议)信息、UDP(用户数据报文协议)信息、ICMP(因特网控制报文协议)信息等。
步骤202将生成的数据流控制信息封装在网络协议报文中。
比如,将数据流控制信息封装在SNMP(网络协议)报文或者SSL(安全套接字协议层)报文中。
可以按以下方式组织生成的数据流控制信息A、记录名称(32)B、源MAC地址(6)C、目的MAC地址(6)D、源IP地址(4)E、源IP地址掩码(4)F、目的IP地址(4)G、目的IP地址掩码(4)
H、源TCP/UDP端口(4)I、目的TCP/UDP端口(4)J、协议类型(4)K、阻断时间(4)L、访问控制列表项类型(阻断/通过)(4)M、ACL状态,表明创建ACL开始还是结束或者删除ACL(4)其中,括号中的数字表示字段长度,单位为字节。当然,根据需要,也可以采用其他方式,各字段的长度也可以重新设定。
步骤203通过网络协议报文将数据流控制信息发送给网络设备。
步骤204网络设备根据收到的数据流控制信息建立对应的访问控制列表,阻断可疑数据流。
网络设备解析出报文中带有的数据流信息,包括数据流的各种特征、报文阻断时间等,利用一般网络设备所带有的ACL(访问控制列表)功能,通过ACL实现针对数据流的阻断。
本技术领域人员知道,访问控制列表是应用在路由器等网络设备接口的指令列表,这些指令列表用来告诉路由器哪些数据包可以接收、哪些数据包需要拒绝。至于数据包是被接收还是被拒绝,可以由类似于源地址、目的地址、端口号、协议等特定指示条件来决定。通过灵活地增加访问控制列表,ACL可以当作一种网络控制的有力工具,用来过滤流入和流出路由器接口的数据包。
建立访问控制列表后,可以限制网络流量,提高网络性能,对通信流量起到控制的手段,这也是对网络访问的基本安全手段。在路由器的接口上配置访问控制列表后,可以对入站接口、出站接口及通过路由器中继的数据包进行安全检测。
访问控制列表主要有标准ALC、扩展ACL和命名ACL,可以根据实际需要选用。
当需要阻止来自某一网络的所有通信流量,或者允许来自某一特定网络的所有通信流量,或者想要拒绝某一协议簇的所有通信流量时,可以使用标准访问控制列表来实现这一目标。标准访问控制列表检查路由的数据包的源地址,从而允许或拒绝基于网络、子网或主机的IP地址的所有通信流量通过路由器的出口。
使用扩展访问控制列表既检查数据包的源地址,也检查数据包的目的地址,还检查数据包的特定协议类型、端口号等。扩展访问控制列表更具有灵活性和可扩充性,即可以对同一地址允许使用某些协议通信流量通过,而拒绝使用其他协议的流量通过。
在标准与扩展访问控制列表中均要使用表号,而在命名访问控制列表中使用一个字母或数字组合的字符串来代替前面所使用的数字。使用命名访问控制列表可以用来删除某一条特定的控制条目,这样可以在使用过程中方便地进行修改。
可以根据不同的数据流,生成对应的ACL,并且设置不同的阻断时间。例如,如果网络运营商不允许用户通过FTP(文件传输协议)去访问网络设备,可以将TCP(传输控制协议)端口号为21的数据流的阻挡时间设为几分钟;而当IDS系统检测到网络设备在被恶意攻击时,则直接将恶意攻击源(通过MAC和IP等特征识别)发送的数据流阻挡时间设为几个小时或更长。阻断时间超时后,原先认为可疑而被阻断的数据流又可以恢复正常转发。
将生成的ACL应用到网络设备的所有接口或者需要检测的部分接口中,使通过该接口的数据包需要进行相应的匹配,然后决定被通过还是拒绝。
各表项中标明需阻断的数据流的特征信息及阻断时间信息,网络设备接口将收到的数据流与访问控制列表中的各表项进行逐项匹配,这样,即可有效地阻断多种类型的数据流,同时不会影响其他数据报文的正常处理。
网络设备根据IDS下发的报文中可能带有的13个报文头信息的组合,可以实现OSI模型中1-7层数据流的阻断。比如阻断指定源的流其中源MAC、源IP地址、协议确定,目的MAC、目的IP地址、源IP地址掩码、目的IP地址掩码为任意值;阻断指定目的流其中目的MAC、目的IP地址、协议确定,源MAC、源IP地址、源IP地址掩码、目的IP地址掩码为任意值;阻断指定范围的源的流其中源MAC、源IP地址、源IP地址掩码、协议确定,目的MAC、目的IP地址、目的IP地址掩码为任意值;阻断指定目的范围的流其中目的MAC、目的IP地址、目的IP地址掩码、协议确定,源MAC、源IP地址、源IP地址掩码、为任意值;阻断完整的五元组流源MAC、源IP地址、目的MAC、目的IP地址、协议类型;源IP地址掩码、目的IP地址源码为任意值。
应用本发明的网络设备需要提供至少一个侦听端口,支持网络管理协议,比如SNMP,SSL等,并且支持访问控制列表功能,支持MAC地址、IP地址、TCP/UDP端口、协议号等OSI模型中1-7层报文头字段的访问控制,支持每条访问控制列表项的阻断时间和阻断动作的设置。
为了更简单、方便地实现本发明,可以采用图3所示本发明方法的第二实施例的实现流程步骤301入侵检测系统监控通过网络设备的数据流,发现可疑数据流时,收集该可疑数据流区别于其他数据流的特征信息,所述特征信息包括源媒体接入控制地址、目的媒体接入控制地址、源IP地址、目的IP地址、源端口号、目的端口号、协议类型中任意一种或多种的组合。
步骤302将可疑数据流区别于其他数据流的特征信息封装在协议报文中发送给所述网络设备。
步骤303网络设备收到所述协议报文后,根据该协议报文内的特征信息建立相应的访问控制列表,以阻断上述可疑数据流。
虽然通过实施例描绘了本发明,本领域普通技术人员知道,本发明有许多变形和变化而不脱离本发明的精神,希望所附的权利要求包括这些变形和变化而不脱离本发明的精神。
权利要求
1.一种网络设备与入侵检测系统联动的方法,其特征在于,所述方法包括步骤A、所述入侵检测系统监测所述网络设备端口,根据监测结果生成数据流控制信息,所述数据流控制信息包括可疑数据流特征信息及其对应的阻断时间;B、将所述数据流控制信息发送给所述网络设备;C、所述网络设备根据收到的数据流控制信息建立对应的访问控制列表,阻断所述可疑数据流。
2.根据权利要求1所述的网络设备与入侵检测系统联动的方法,其特征在于,所述步骤A包括A1、在所述网络设备上设置侦听端口;A2、将需要检测的端口上的所有报文通过所述侦听端口映射到所述入侵检测系统;A3、所述入侵检测系统根据收到的报文获取可疑数据流特征信息;A4、根据所述可疑数据流特征信息生成数据流控制信息。
3.根据权利要求1或2所述的网络设备与入侵检测系统联动的方法,其特征在于,所述可疑数据流特征信息包括满足开放系统互连模型中1至7层协议头信息。
4.根据权利要求1所述的网络设备与入侵检测系统联动的方法,其特征在于,所述步骤B包括B1、将所述数据流控制信息封装在网络协议报文中;B2、通过所述网络协议报文将所述数据流控制信息发送给所述网络设备。
5.根据权利要求4所述的网络设备与入侵检测系统联动的方法,其特征在于,所述步骤B1具体为将所述数据流控制信息封装在简单网络管理协议报文中;或者将所述数据流控制信息封装在安全套接字协议层报文中。
6.根据权利要求4或5所述的网络设备与入侵检测系统联动的方法,其特征在于,所述网络协议报文包括记录名称、源媒体接入控制地址、目的媒体接入控制地址、源IP地址、目的IP地址、源端口号、目的端口号、协议类型。
7.根据权利要求1所述的网络设备与入侵检测系统联动的方法,其特征在于,所述访问控制列表包括需阻断的指定源的流,和/或指定目的的流,和/或指定源范围的流,和/或指定目的范围的流,和/或指定五元组的流。
8.一种网络设备与入侵检测系统联动方法,其特征在于,包括以下步骤a、入侵检测系统监控通过网络设备的数据流,发现可疑数据流时,收集该可疑数据流区别于其他数据流的特征信息;b、将上述特征信息封装在协议报文中发送给所述网络设备;c、所述网络设备收到上述协议报文后,根据该协议报文内的特征信息建立相应的访问控制列表,以阻断上述可疑数据流。
9.根据权利要求8所述的网络设备与入侵检测系统联动方法,其特征在于,所述特征信息包括源媒体接入控制地址、目的媒体接入控制地址、源IP地址、目的IP地址、源端口号、目的端口号、协议类型中任意一种或多种的组合。
10.根据权利要求8所述的网络设备与入侵检测系统联动的方法,其特征在于,在步骤b中,所述入侵检测设备将阻断时间同时加入所述协议报文中,通知网络设备阻断该可疑数据流的时间。
全文摘要
本发明公开了一种网络设备与入侵检测系统联动的方法,包括步骤入侵检测系统监测所述网络设备端口,获取数据流控制信息,数据流控制信息包括可疑数据流特征信息及其对应的阻断时间;将数据流控制信息发送给网络设备;网络设备根据收到的数据流控制信息建立对应的访问控制列表,阻断可疑数据流。利用本发明,可以实现基于数据流的阻断,提高网络的安全性,并保证其他用户的正常使用。
文档编号H04L12/24GK1725709SQ20051008051
公开日2006年1月25日 申请日期2005年6月30日 优先权日2005年6月30日
发明者周万, 张志群, 乐识非, 郑高, 龚志伟 申请人:杭州华为三康技术有限公司