专利名称:一种分布式协同入侵检测系统数据安全传输的实现方法
技术领域:
本发明涉及计算机网络安全技术领域,特别涉及一种分布式协同入侵检测系统数据安全传输的实现方法。
背景技术:
网络入侵检测(Intrusion Detection)是对入侵行为的发觉。它通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。随着高速网络的发展以及各种分布式网络技术的发展,入侵的手段与技术也有了“进步与发展”。入侵技术的发展与演化主要反映在下列几个方面入侵或攻击的综合化与复杂化。入侵的手段有多种,入侵者往往采取一种攻击手段。由于网络防范技术的多重化,攻击的难度增加,使得入侵者在实施入侵或攻击时往往同时采取多种入侵的手段,以保证入侵的成功几率,并可在攻击实施的初期掩盖攻击或入侵的真实目的。
入侵主体对象的间接化,即实施入侵与攻击的主体的隐蔽化。通过一定的技术,可掩盖攻击主体的源地址及主机位置。即使用了隐蔽技术后,对于被攻击对象攻击的主体是无法直接确定的。
入侵或攻击的规模扩大。对于网络的入侵与攻击,在其初期往往是针对于某公司或一个网站,其攻击的目的可能为某些网络技术爱好者的猎奇行为,也不排除商业的盗窃与破坏行为。由于战争对电子技术与网络技术的依赖性越来越大,随之产生、发展、逐步升级到电子战与信息战。对于信息战,无论其规模与技术都与一般意义上的计算机网络的入侵与攻击都不可相提并论。信息战的成败与国家主干通信网络的安全是与任何主权国家领土安全一样的国家安全。
入侵或攻击技术的分布化。以往常用的入侵与攻击行为往往由单机执行。由于防范技术的发展使得此类行为不能奏效。所谓的分布式拒绝服务(DDoS)在很短时间内可造成被攻击主机的瘫痪。且此类分布式攻击的单机信息模式与正常通信无差异,所以往往在攻击发动的初期不易被确认。分布式攻击是近期最常用的攻击手段。
攻击对象的转移。入侵与攻击常以网络为侵犯的主体,但近期来的攻击行为却发生了策略性的改变,由攻击网络改为攻击网络的防护系统,且有愈演愈烈的趋势。现已有专门针对IDS作攻击的报道。攻击者详细地分析了IDS的审计方式、特征描述、通信模式找出IDS的弱点,然后加以攻击。
目前入侵检测系统的分类有(1)基于网络的入侵检测。
基于网络的入侵检测产品(NIDS)放置在比较重要的网段内,不停地监视网段中的各种数据包。对每一个数据包或可疑的数据包进行特征分析。如果数据包与产品内置的某些规则吻合,入侵检测系统就会发出警报甚至直接切断网络连接。
(2)基于主机的入侵检测基于主机的入侵检测产品(HIDS)通常是安装在被重点检测的主机之上,主要是对该主机的网络实时连接以及系统审计日志进行智能分析和判断。如果其中主体活动十分可疑(特征或违反统计规律),入侵检测系统就会采取相应措施。
这些原有的网络入侵检测是由检测引擎独立对入侵行为进行检测,不能处理复杂的攻击行为,很难适应现在的状况。
发明内容
为了克服现有技术中的不足,本发明的目的在于提供一种分布式协同入侵检测系统数据安全传输的实现方法,来保证端到端的信息安全传输。
为完成上述发明目的,本发明提供一种分布式协同入侵检测系统数据安全传输的实现方法,该方法包括以下步骤1)各入侵检测引擎对报警信息进行编码;2)通信双方进行相互认证,对报警信息进行加密;3)入侵检测引擎与中心管理控制平台间报警信息的安全传输;4)中心管理控制平台将报警信息存储到报警信息数据库;
5)中心管理控制平台对报警信息进行分析、响应。
本发明具有明显的优点和积极效果。与传统的入侵检测系统相比,本发明能够保证分布式入侵检测系统端到端的信息传输的安全,包括数据加密、鉴别、数据完整性的维护和密钥管理等问题,实现入侵检测系统报警信息的安全传输,为实现监测协同提供可靠传输服务。
图1为根据本发明的分布式协同网络入侵检测系统组成;图2为根据本发明的一种分布式协同入侵检测系统工作流程图;图3为根据本发明的分布式协同入侵检测系统数据安全传输流程图;图4为根据本发明的信息交换流程图;图5为根据本发明的证书认证流程图;图6为根据本发明的数据加密、解密和验证流程图。
具体实施例方式
本发明提供一种分布式协同入侵检测系统数据安全传输的实现方法。下面结合说明书附图来说明本发明的具体实施方式
。
图1所示为本发明的分布式协同网络入侵检测系统组成示意图和图2所示为本发明的分布式协同入侵检测系统系统工作流程图,后面将结合图1、图2对本发明的分布式协同入侵检测系统工作流程进行详细描述。
首先,在步骤201,有数据收集引擎收集网络中的入侵信息,并向入侵检测引擎101发送报警消息或可疑行为消息。
在步骤202,入侵检测引擎101如果收到报警消息,则发现入侵,向中心管理控制平台102发送报警消息;如果收到可疑行为消息,则向中心管理控制平台发送,由中心管理控制平台102对可疑消息进行评估,如果超过报警阀值,则认为发现入侵。
在步骤203,中心管理控制平台102将报警消息存入入侵事件数据库103。
在步骤204,中心管理控制平台102将所有入侵检测引擎101发来的报警信息进行分析,可以检测到较复杂的入侵行为,并根据分析结果决定是否采取响应措施。
图3为根据本发明的分布式协同入侵检测系统数据安全传输流程图,下文将参考图3,对本发明的分布式协同入侵检测系统数据安全传输工作流程进行详细描述。
首先,在步骤301,各入侵检测引擎101对传输数据进行编码。由于在分布式协同入侵检测系统中各入侵检测引擎101运行的平台不同,检测算法不同,对报警所产生的数据格式也不相同,因此,为满足不同入侵检测引擎之间的信息传输需求,采用入侵检测工作组(IDWG)制定的入侵检测信息交换格式,并且用XML来实现入侵检测信息交换格式,各入侵检测引擎传输的信息都要经过XML编码。传输的发起方即入侵检测引擎101在发现入侵事件后,首先对报警信息进行XML编码,通过入侵检测安全交换协议传送给中心管理控制平台102,中心管理控制平台102对入侵检测系统发来信息进行解码分析。
在步骤302,完成入侵检测引擎101与中心管理控制平台102间报警信息的安全传输及交换。由于基于TCP/IP的网络不能保障各入侵检测系统间的信息安全传输,所有的消息都应进行加密处理,因此,本方法采用入侵检测安全交换协议。入侵检测安全交换协议是一个面向连接的能够提供加密、鉴别、完整性保护的应用层协议,它主要用于在入侵检测实体间传输入侵检测信息交换格式的信息、二进制流等,因此,利用入侵检测安全交换协议来完成入检测引擎与中心管理控制平台间报警信息的安全传输。在本方法中,使用多个信道对传输的信息进行分类,保留一个信道作为传输控制信息的通道,其它的通道用来传输数据信息,不同的通道来传输不同类型的报警信息,并根据需要设置各信道的优先级,先满足级别高的信道的信息传输。采用传输层安全协议(TLS)作为安全传输的控制协议。根据通信双方协商的通信方式,进行信息的安全传输,并采用传输层安全协议的告警协议来进行传输过程中的错误控制。因此,在传输过程中,如果通信一方发生任何异常,则会给对方发送告警消息通告。告警的类型分为两种一种是致命错误消息,当该情况发生时,双方中断会话,清除缓冲区相应会话记录,第二种是一般警告消息,在这种情况发生时,通信双方只是记录日志,不会对通信过程产生影响。
在步骤303,数据安全传输的密钥管理。包括会话密钥的协商、生成、传递,私钥的保护,证书管理、公钥和证书策略及证书撤消列表(CRL)的获取等工作。
图4为本发明的分布式协同入侵检测系统数据安全传输方法的信息交换流程图,参考图4,本发明的分布式协同入侵检测系统数据安全传输方法的信息交换工作流程如下首先,在步骤401,各入侵检测引擎101对传输数据进行编码。传输的发起方即入侵检测引擎101在发现入侵事件后,首先对报警信息进行XML编码,通过入侵检测安全交换协议传送给中心管理控制平台102。
其次,在步骤402,中心管理控制平台102将报警信息存储到报警信息数据库103。
最后,在步骤403,中心管理控制平台102对来自入侵检测引擎101的XML编码信息进行解码、分析及响应。
图5为本发明的证书认证流程图,参考图5,本发明的证书认证流程如下在步骤501,通信双方在进行信息的传输之前,必须进行相互的认证,采用认证中心CA(Certificate Authority)集中管理方式对密钥进行管理。A把自己的公钥PKA送到CA,通信双方都要从证书库中获得认证中心发布的证书,并且定时下载证书策略及证书撤消列表(CRL)。在本地维护证书库,识别X.509证书,在进行通信之前,用证书来鉴别双方的身份。检查本地已经下载的证书策略及证书撤消列表来判断证书是否有效。在用户申请并下载了新的证书时,应先造出密钥报废证书,这样假设私钥文件被破坏或删除,用户就能够产生一份废除钥匙的声明,并将其送至认证中心。
在步骤502,CA用自己的私钥和A的公钥生成A的证书,证书内包括CA的数字签名。签名对象包括需要在证书中说明的内容,比如A的公钥、时间戳、序列号等,为了简化这里不妨假设证书中只有三项内容A的公钥PKA、时间戳TIME1、序列号IDA。
在步骤503,M同样把自己的公钥PKM送到CA。
在步骤504,M得到CA发布的证书CertM。
在步骤505,A告知M证书CertA。
在步骤506,M告知A证书CertM。
A、M各自得到对方证书后,利用从CA得到的公钥(在CA的自签证书中)验证彼此对方的证书是否有效,如果有效,那么就得到了彼此的公钥。利用对方的公钥,可以加密数据,也可以用来验证对方的数字签名。
图6为根据本发明的数据加密、解密和验证流程图,参考图6,数据加密、解密和验证流程如下通信的双方采用非对称密钥体制完成身份认证后,协商产生一个3DES密钥,采用RSA算法对这个3DES密钥进行加密,然后使用3DES算法对信息本身进行加密,即采用一次一密的方式,对于每次通信都采用不同的工作密钥,保证了通信的安全性,防止中间人攻击。通信双方M与B的信息处理过程为M用MD5算法对文本信息T产生信息摘要Td,再用自己的私钥对Td加密,得到数字签名Tds(步骤601、603),然后随机产生一个3DES的密钥K,作为工作密钥,按3DES算法对信息T进行加密得到密文Tc(步骤602),再用B的公钥采用RSA算法对工作密钥K进行加密得到Kc,则加密后的工作密钥Kc、加密后的文本信息Tc和数字签名Tds发送给B。B使用自己的私钥对Kc解密后得到工作密钥K,使用K对密文Tc进行解密(步骤605),得到文本信息T(步骤607),再对文本信息T用MD5算法计算信息摘要,得到Td_new,然后B再对Tds使用M的公钥进行解密得到Td_old,如果Td_new和Td_old相同,则可以肯定信息是从M处发过来的(步骤604),因此采用这样的方式可对信息进行安全保护,从而完成数据安全传输。
权利要求
1.一种分布式协同入侵检测系统数据安全传输的实现方法,其特征在于,该方法包括以下步骤1)各入侵检测引擎对报警信息进行编码;2)通信双方进行相互认证,对报警信息进行加密;3)入侵检测引擎与中心管理控制平台间报警信息的安全传输;4)中心管理控制平台将报警信息存储到报警信息数据库;5)中心管理控制平台对报警信息进行分析、响应。
2.根据权利要求1所述的分布式协同入侵检测系统数据安全传输的实现方法,其特征在于,所述步骤1中的对报警信息进行编码采用入侵检测工作组IDWG制定的入侵检测信息交换格式,并且用XML来实现入侵检测信息交换格式,各入侵检测引擎传输的信息采用XML编码。
3.根据权利要求1所述的分布式协同入侵检测系统数据安全传输的实现方法,其特征在于,所述步骤2中的通信双方进行相互认证采用认证中心CA集中管理方式对密钥进行管理。
4.根据权利要求1所述的分布式协同入侵检测系统数据安全传输的实现方法,其特征在于,所述步骤2中的信息加密采用对称密钥体制,即会话密钥采用对称密钥体制。
5.根据权利要求4所述的信息加密,其特征在于,所述步骤2中的信息加密方式为通信的双方采用非对称密钥体制完成身份认证后,协商产生一个3DES密钥,采用RSA算法对这个3DES密钥进行加密,然后使用3DES算法对信息本身进行加密,即采用一次一密的方式,对于每次通信都采用不同的工作密钥。
6.根据权利要求1所述的分布式协同入侵检测系统数据安全传输的实现方法,其特征在于,所述步骤3中的报警信息的安全传输方式为是使用多个信道并对传输的信息进行分类,保留一个信道作为传输控制信息的通道,其它的通道用来传输数据信息,不同的通道用来传输不同类型的报警信息,并根据需要设置各信道的优先级,先满足级别高的信道的信息传输,根据通信双方协商的通信方式,进行信息的安全传输,并采用传输层安全协议的告警协议来进行传输过程中的错误控制,当发生致命错误时,双方中断会话,清除缓冲区相应会话记录。
7.根据权利要求1所述的分布式协同入侵检测系统数据安全传输的实现方法,其特征在于,所述步骤3中的报警信息的安全传输采用传输层安全协议(TLS)作为安全传输的控制协议。
全文摘要
本发明公开了计算机网络安全技术领域的一种分布式协同入侵检测系统数据安全传输的实现方法。该方法通过将入侵报警信息进行数据编码、消息交换和密钥管理,保证了分布式协同入侵检测系统端到端的信息传输的安全,解决了数据加密、鉴别、数据完整性的维护和密钥管理等问题,实现了入侵检测系统报警信息的安全传输,为监测协同提供可靠的传输服务。
文档编号H04L9/32GK101039225SQ20071006511
公开日2007年9月19日 申请日期2007年4月4日 优先权日2007年4月4日
发明者姜圳 申请人:北京佳讯飞鸿电气有限责任公司