专利名称:防火墙入侵检测与响应的方法
技术领域:
本发明涉及一种防火墙入侵检测与响应的方法,特别涉及在防火墙中实时检测入侵和自动响应,使得防火墙可以实时检测到网络中的绝大多数入侵行为,实时设置阻断规则,及时阻断入侵的方法。
本发明的目的是这样实现的一种防火墙入侵检测与响应的方法,包括
步骤1在数据链路层捕获每一数据包;步骤2对每一数据包进行初步解码,区分网络类型;步骤3根据网络类型进行相应的网络层解码,并分析数据包的网络协议;步骤4如果为IP协议,则根据相应的传输协议对数据包进一步解码,然后执行步骤6;步骤5如果不为IP协议则执行步骤7;步骤6协议分析,并进行规则匹配;步骤7记录入侵日志,发出报警信息,并自动添加防火墙的阻断规则。
所述的网络类型至少包括以太网(Ethernet)、端对端协议网(Peer-Peer Protocol,简称PPP)、和令牌网(Token Ring)。
所述的网络协议至少包括IP、以太网协议(IPX)和地址解析协议(Address Resolution Protocol,ARP简称)。
所述的传输协议至少包括传输控制协议(Transfer Control Protocol,简称TCP)、用户数据报协议(User Datagram Protocol,简称UDP)和网间控制报文协议(Internet Control Messages Protocol,简称ICMP)。
所述的协议分析为根据数据包的封装模式确定当前数据包的类型,然后根据该数据包的类型,在相应的攻击库中判断数据包攻击类型。
所述的规则匹配为首先由逐行读取规则文件,将规则逐行转化为规则的内部形式,再遍历整个规则链表,对数据包进行匹配,一旦匹配到某条规则,立即停止对规则链表的遍历,执行步骤7。
所述的规则的内部形式为一二维链表;其中,第一维链表用于存储规则中的公共属性,第二维链表存放调整选项。
步骤7的具体步骤为当被检测的数据包匹配到一条规则时,则发出报警信息并将警报信息记录到指定的文件;同时,自动为防火墙添加一条阻断规则,将发起入侵的源地址记录下来,并切断来自这个地址的所有连接。
本发明在防火墙中实现了实时入侵检测和自动响应,实现了对防火墙安全功能的逻辑补偿。由于防火墙放置在网络的边界点处,使得防火墙可以实时检测到网络中的绝大多数入侵行为,并实时设置阻断规则,将入侵及时阻断。极大地减少了检测到入侵所需的时间和做出反应的时间,可以有效地保证被防火墙保护的网络的安全。
以下结合附图和具体的实施例对本发明做进一步的详细说明。
参见
图1,防火墙在工作时,其以太端口一般设置为混杂模式;也就是说,与该端口相连的局域网上的所有数据包均会被捕获。每当一个数据包被捕获时,防火墙的入侵检测软件模块首先进行数据包解码的工作。在数据包被处理的整个过程中,数据包结构中的各个字段可在不同的阶段被得到,整个数据包的轮廓越来越清晰。数据包处理结束时,该数据包被交给数据链路层进行解码,填写相应数据包结构与数据链路层有关的字段,并在结束时进行相关的网络层解码;接下来在网络层也进行相应的解码工作,填写数据包结构与网络层有关的信息,并在结束时判断该数据包是否是为IP包;如果是IP包,则进行相关的传输层解码;当以上工作结束后,让数据包流过防火墙的预处理器,进入检测模块。检测模块的函数遍历整个规则链表,对每一个包进行匹配,一旦匹配到某条规则,立即停止对规则链表的遍历,并触发报警事件;记录日志,发出报警信息,并将警报信息记录到指定的文件中。同时,还自动为防火墙添加一条阻断规则,将发起入侵的源地址列入黑名单,切断来自这个地址的所有连接。
本发明的一实施例中,在进行入侵检测规则匹配时,首先由规则解析器逐行读取规则文件,跳过相应的注释行、空行,去除多余的空格,将规则逐条转化为内部形式。这里所提到的规则的内部形式是一个二维链表;其中,横向链表称为“链头”,纵向链表称为“链选项”。规则中的公共属性被提取出来放在“链头”中,而调整选项则放在“链选项”中。例如如果规则库中有45条针对“CGI-BIN probe”攻击的检测规则,那么它们的源、目的IP地址和端口号部分通常都是一样的,为了加快检测进程,就把这些公共部分提取出来放进一个“链头”中,而把单独的每一条规则的检测特征放进“链头”中。按照协议的不同,每一种规则链又分为3种规则集(TCP、UDP和ICMP)。由此可以提高匹配速度,增强性能,同时减少对防火墙设备整体性能的影响。
为了提高检测速度和效率,本发明还采用了协议分析的方法。其主要原理是根据数据包的封装模式确定当前包是何种类型的包,然后根据该数据包类型,在该类攻击库中找到相应的数据包攻击类型。
举例说明根据协议规则可知,一个以太网的数据帧在第13个字节的位置有两个字节的第三层协议标识,所以第一步就是跳过前12字节,直接读取13、14字节,如果为0800(十六进制),则为IP包。根据IP包规则可知,在第24字节的位置处有一个字节的第四层协议标识,所以第二步就直接读取第24字节,如为06,则为TCP包,在第35字节的位置有两个字节的应用层协议标识,第三步就是跳到35字节处读取数据,如为0800(十六进制),则为超文本传输协议(Hypertext Transfer Protocol,简称HTTP)数据包,第四步就是通知HTTP分析器到55字节处读取统一资源位置(Uniform Resource Locator,简称URL),然后分析是否为攻击行为。
事实上,一个分析器为一个命令解释程序,本发明的检测引擎中包含多个命令分析器,可以对远程登录(Telnet)、文件传输协议(File TransferProtocol,简称FTP)、HTTP、简单网络管理协议(Simple Network ManagementProtocol,简称SNMP)、简单邮件传输协议(Simple Message TransferProtocol,简称SMTP)、域名服务器(Domain Name Server,简称DNS)等多种应用进行详细的分析。使得每个分析器的特征数据库相对小,可以大大提高准确率和检测效率,降低了计算复杂度和系统负担。
当防火墙的入侵检测模块发现入侵行为时,除了往日志里写报警信息外,还可以根据系统管理员的设置进行自动响应和报警。具体的做法是立即增加一条阻断规则,将发起入侵的源地址列入黑名单,切断来自这个地址的所有连接;然后在一定的时间间隔(例如<=5分钟)后,去除该条阻断规则,将该地址解锁。同时往预先设置的报警邮箱发送报警邮件,并亮起防火墙的入侵报警灯,提醒系统管理员有入侵事件发生。
最后所应说明的是以上实施例仅用以说明而非限制本发明的技术方案,尽管参照上述实施例对本发明进行了详细说明,本领域的普通技术人员应当理解依然可以对本发明进行修改或者等同替换,而不脱离本发明的精神和范围的任何修改或局部替换,其均应涵盖在本发明的权利要求范围当中。
权利要求
1.一种防火墙入侵检测与响应的方法,其特征在于它包括步骤1在数据链路层捕获每一数据包;步骤2对每一数据包进行初步解码,区分网络类型;步骤3根据网络类型进行相应的网络层解码,并分析数据包的网络协议;步骤4如果为IP协议,则根据相应的传输协议对数据包进一步解码,然后执行步骤6;步骤5如果不为IP协议则执行步骤7;步骤6协议分析,并进行规则匹配;步骤7记录入侵日志,发出报警信息,并自动添加防火墙的阻断规则。
2.根据权利要求1所述的防火墙入侵检测与响应的方法,其特征在于所述的网络类型至少包括Ethernet、PPP和Token Ring。
3.根据权利要求1所述的防火墙入侵检测与响应的方法,其特征在于所述的网络协议至少包括IP、IPX和ARP。
4.根据权利要求1所述的防火墙入侵检测与响应的方法,其特征在于所述的数据协议至少包括TCP、UDP和ICMP。
5.根据权利要求1所述的防火墙入侵检测与响应的方法,其特征在于所述的协议分析为根据数据包的封装模式确定当前数据包的类型,然后根据该数据包的类型,在相应的攻击库中判断数据包攻击类型。
6.根据权利要求1所述的防火墙入侵检测与响应的方法,其特征在于所述的规则匹配为首先由逐行读取规则文件,将规则逐行转化为规则的内部形式,再遍历整个规则链表,对数据包进行匹配,一旦匹配到某条规则,立即停止对规则链表的遍历,执行步骤7。
7.根据权利要求6所述的防火墙入侵检测与响应的方法,其特征在于所述的规则的内部形式为一二维链表;其中,第一维链表用于存储规则中的公共属性,第二维链表存放调整选项。
8.根据权利要求1所述的防火墙入侵检测与响应的方法,其特征在于步骤7的具体步骤为当被检测的数据包匹配到一条规则时,则发出报警信息并将警报信息记录到指定的文件;同时,自动为防火墙添加一条阻断规则,将发起入侵的源地址记录下来,并切断来自这个地址的所有连接。
全文摘要
一种防火墙入侵检测与响应的方法,包括在数据链路层捕获每一数据包;对每一数据包进行初步解码,区分网络类型;根据网络类型进行相应的网络层解码,并分析数据包的网络协议;如果为IP协议,则根据相应的传输协议对数据包进一步解码,进行协议分析和规则匹配;记录入侵日志,发出报警信息,并自动添加防火墙的阻断规则;本发明在防火墙中实现了实时入侵检测和自动响应,实现了对防火墙安全功能的逻辑补偿;使得防火墙可实时检测到网络中的绝大多数入侵行为,实时设置阻断规则,及时阻断入侵;减少了检测到入侵所需的时间和反应的时间,有效地保证被防火墙保护的网络的安全。
文档编号H04L29/02GK1435977SQ0210085
公开日2003年8月13日 申请日期2002年2月1日 优先权日2002年2月1日
发明者韦卫, 李俊, 高红 申请人:联想(北京)有限公司