专利名称:一种入侵检测系统与网络设备联动的系统及方法
技术领域:
本发明涉及网络安全技术领域,更具体地,本发明涉及一种入侵检测系统(IDS)与网络设备联动的系统及方法。
背景技术:
随着计算机技术的飞速发展,网络在人们的日常生活、学习和工作中发挥的作用越来越大。由此带来的各种网络业务也在办公和生活中获得了普及与推广。网络在给人们带来极大方便的同时,网络安全问题也日益受到人们的重视。目前,各种网络攻击行为层出不穷,对网络安全造成了极大的危害。网络攻击经常会造成机器故障、网络瘫痪,而且通常还会带来极大的经济损失。目前常见的网络攻击行为主要有蠕虫传播、口令窃取、病毒攻击等。
网络攻击行为现在已逐步向高层转移,攻击者已经不常用操作系统和网络设备的本身安全问题来入侵和攻击,而是将攻击的目标转向高层应用。与此同时,目前常见的网络攻击手法也融合了多种技术,比如蠕虫就融合了缓冲区溢出技术、网络扫描技术和病毒感染技术。
IDS系统通过收集和分析计算机网络或计算机系统中的若干关键点信息,能够发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。然而,单独的IDS系统并不能很好地保证网络的安全性。比如,如果交换机、路由器等网络设备只负责数据的传送,那么即使IDS能够检查出攻击报文,也并不能阻断攻击报文的传播。
因此,如果网络设备和IDS之间能够联动,从而形成一个统一的网络平台,并且进而在这个统一的平台上切断各种网络攻击的传播途径,显然可以更好地保证网络的安全性。
图1为现有技术中IDS与网络设备的联动组网结构示意图。如图1所示,当攻击者试图攻击企业数据中心时,交换机通过设置镜像端口,将攻击者发出的数据流镜像到IDS设备;IDS设备分析数据流,当发现数据流中的攻击报文时产生特定的数据报文,其中将需要阻断或者限制流量的报文特征组装成简单网络管理协议(SNMP)报文发送到交换机上;交换机根据IDS发送过来的报文特征,下发访问控制列表(ACL)规则到其自身的特定端口,从而实现对攻击报文的阻断。
在现有的这种IDS与网络设备的联动技术中,当检测出攻击报文后,IDS会向所有联动设备发送联动报文以执行联动,而并不能有选择地向某几个联动设备发送联动报文,这就造成联动的开关控制并不细化,联动非常盲目。实质上,当检测出攻击报文后,并不一定需要所有的联动设备执行联动,比如,可能仅需要某个网段之内的联动设备,或某种型号的联动设备执行联动。另外,在现有的联动技术中,只能实现对网络设备的联动控制,却并不能实现对具体接口的联动控制。
同时,在现有技术中,用户不能自定义联动的策略。对于同一个联动设备,联动的策略往往是相同的,不管面对何种网络攻击,IDS都会以该联动策略发送联动报文,这就不能体现各种攻击的差异性。另外,现有技术中联动报文的格式是固定的,并不能进行扩展,从而不便于扩展新的联动策略。
另外,现有技术中执行联动时,只支持阻断数据流,并不支持限流。然而,很多情况下只需要对数据流进行限制,并不需要彻底阻断数据流,比如当攻击机通过ftp向企业数据中心的某台设备传送文件时,可能只需要对ftp的流量进行限制,而不用进行阻断。
发明内容
有鉴于此,本发明的主要目的是提出一种IDS与网络设备联动的系统,以使IDS与网络设备之间的联动更加细化。
本发明的另一目的是提出一种IDS和网络设备联动的方法,以使IDS与网络设备之间的联动更加细化。
为达到上述目的,本发明的技术方案是这样实现的一种IDS与网络设备联动的系统,该系统包括IDS,用于检测数据流中是否包含攻击报文,网络设备联动组,包括至少一个网络设备;其中,所述网络设备接收数据流后,将数据流镜像到IDS,当IDS检测到所接收到的数据流中包含攻击报文时,便向所述网络设备联动组中的每个网络设备发送联动报文。
该联动系统进一步包括管理中心,用于接收IDS检测出攻击报文时所发送的报警信息。
所述的网络设备联动组内的网络设备配置有相同的属性。
所述属性包括联动组总开关、联动组使能开关、保护接口列表、保护IP地址列表、白名单、限流类型中至少一个。
所述IDS内配置有联动策略表,所述联动策略表中包括与攻击报文的类型相对应的联动策略。
IDS当检测出攻击报文时,进一步用于在联动策略表中查询与攻击报文的类型相对应的联动策略,并且发送包含该联动策略的联动报文。
所述网络设备联动组中的网络设备位于相同的网段。
所述网络设备联动组中的网络设备具有相同的型号。
一种IDS与网络设备的联动方法,将网络设备根据预先定义的规则划分成网络设备联动组;该方法还包括A、网络设备接收数据流,将数据流镜像到IDS;B、IDS检测数据流中是否包含攻击报文,当包含攻击报文时,向镜像该数据流的网络设备所属的网络设备联动组中的每个网络设备发送联动报文;C、网络设备根据联动报文对该包含攻击报文的数据流进行处理。
对于划分到同一联动组的网络设备,配置相同的属性。
所述属性包括联动组总开关、联动组使能开关、保护接口列表、保护IP地址列表、白名单、限流类型中至少一个。
进一步预先在IDS内配置联动策略表,所述联动策略表中包括与攻击报文的类型相对应的联动策略。
步骤B中IDS检测出攻击报文后,进一步在联动策略表中查询与攻击报文的类型相对应的联动策略,并且发送包含该联动策略的联动报文;步骤C中网络设备应用该联动策略对该包含攻击报文的数据流进行处理。
所述步骤C为对该包含攻击报文的数据流进行阻断或者限制。
所述对数据流进行限制为对同一种类型的多个数据流的总流量进行限流,或者对每一个数据流的流量进行单独限流。
进一步预先设置联动组总开关,步骤B中IDS检测出攻击报文时,进一步判断联动组总开关的状态,当联动组总开关打开时,向镜像该数据流的网络设备所属的网络设备联动组中的每个网络设备发送联动报文,当联动组总开关关闭时,不发送联动报文。
进一步预先分别设置联动组使能开关,步骤B中IDS检测出攻击报文时,进一步判断镜像该数据流的网络设备所属的网络设备联动组的联动组使能开关的状态,当该联动组使能开关打开时,向该联动组中的每个网络设备发送联动报文,当该联动组使能开关关闭时,不发送联动报文。
进一步预先设置联动组白名单,步骤B中IDS检测出攻击报文时,进一步判断攻击报文的源地址/目的地址是否在白名单中,当不在白名单中时,向联动组中的每个网络设备发送联动报文,当在白名单中时,不发送联动报文。
进一步预先设置联动组保护接口列表,步骤B中IDS检测出攻击报文时,进一步判断攻击报文是否来自所述保护接口列表,如果是,则向联动组中的每个网络设备发送联动报文;如果不是,则不发送联动报文。
进一步预先设置联动组保护IP地址列表,步骤B中IDS检测出攻击报文时,IDS进一步判断攻击报文的源地址/目的地址是否在联动组保护IP地址列表中,当在列表中时,向联动组中的每个网络设备发送联动报文,当不在时,不发送联动报文。
所述预先定义的规则为将属于同一网段的网络设备划分到同一网络设备联动组中。
所述预先定义的规则为将同一型号的网络设备划分到同一网络设备联动组中。
所述联动报文通过TLV格式被封装。
当步骤B确定数据流中包含攻击报文时,进一步判断所述攻击报文是否具有虚拟局域网VLAN标签,如果有,则向该VLAN内IDS-ACL(访问控制列表)使能的网络设备发送联动报文,如果没有,则退出本流程。
从以上技术方案中可以看出,在本发明中,通过将网络设备设置为联动组,IDS仅向镜像包含攻击报文的数据流的网络设备所属的网络设备联动组发送联动报文,而不是向所有的网络设备发送联动报文,所以本发明使得IDS与网络设备之间的联动更加细化。而且,通过打开或者关闭联动组总开关,用户能够对所有的网络设备作为整体是否参与联动进行统一控制;通过打开或者关闭联动组使能开关,用户能够对每个联动组作为整体是否参与联动进行统一控制;通过设置联动组保护IP地址列表,用户能够对指定IP地址进行联动保护;通过设置联动组白名单,用户能够对于来自于充分信任的地址的报文不进行联动;通过设置联动组保护接口列表,用户能够对联动的控制进一步细化到接口,从而更精确地对接口进行保护。
另外,用户可以根据攻击报文的类型自定义联动策略,以响应不同类型的攻击。而且,通过执行限流和VLAN Tag的功能,能够更好地满足服务质量(QoS)的需求。
同时,本发明通过采用TLV格式封装联动报文,可以对联动策略根据进行配置,从而便于增加新的联动策略。
图1为现有技术中IDS与网络设备的联动组网结构示意图;图2为根据本发明示范性的IDS与网络设备的联动组网结构示意图;图3为根据本发明的IDS与网络设备的联动方法的示范性流程示意图;
图4为根据本发明实施例的IDS与网络设备的联动方法的流程示意图。
具体实施例方式
为使本发明的目的、技术方案和优点表达得更加清楚明白,下面结合附图及具体实施例对本发明再作进一步详细的说明。
本发明的主要思想是预先将网络设备组成网络设备联动组;当网络设备接收到数据流时,将数据流镜像到IDS;IDS检测数据流中是否包含攻击报文,并当检测出包含攻击报文时,向镜像该数据流的网络设备所属的网络设备联动组中的每个网络设备发送联动报文,网络设备联动组中的网络设备从而根据联动报文对数据流进行处理。
图2为根据本发明示范性的IDS与网络设备的联动系统组网结构示意图。该系统包括网络设备203、网络设备204、网络设备205以及IDS 202。
网络设备203、网络设备204、网络设备205分别接收数据流,并将数据流镜像到IDS 202;在这些网络设备中,网络设备203和204组成网络设备联动组200,而网络设备205并不属于该联动组。IDS 202对各个网络设备镜像过来的数据流进行分析,以检测是否包含攻击报文。当检测出包含攻击报文时,IDS 202向镜像该数据流的网络设备所属的网络设备联动组中的每个网络设备发送联动报文,以响应该攻击报文。比如,如图2所示,当攻击者201向网络设备203发送数据流时,网路设备203首先通过镜像端口将数据流镜像到IDS 202;IDS 202分析出由网路设备203镜像过来的数据流中包含攻击报文,则向整个联动组200发送包含攻击报文特征的联动报文,联动报文中包括针对攻击报文的联动策略;然后,联动组200中的所有网络设备,也就是网络设备203和204,根据攻击报文特征和联动策略,下发ACL规则到特定端口,实现对攻击报文的阻断或者限流。
优选地,可以根据各种配置规则来将网络设备配置为网络设备联动组。比如,可以将位于相同网段内的所有网络设备设置在同一网络设备联动组中,以实现对同一网段之间网络设备的联动;或者,将相同型号的所有网络设备设置在同一网络设备联动组中,以实现对相同型号的网络设备的联动。显然,以上设置方式仅为示范性,并不是穷举性,对于本领域普通技术人员,其它设置网络设备联动组的方式是明显的。
优选地,IDS检测出攻击报文后,进一步对攻击报文的类型进行分析,并且根据分析结果向网络设备发送包含与攻击报文的类型相对应的联动策略的联动报文。也就是说,IDS根据攻击报文的类型来配置不同的联动策略。比如,对于同一个联动设备,当其受到DOS攻击时,IDS 202可以发送阻断源地址1000秒的联动报文;当其受到缓冲区溢出攻击时,IDS 202发送阻断数据流100秒的联动报文。IDS 202向网络设备发送与攻击报文的类型相对应的联动报文,网络设备从而能够根据攻击类型的不同而对数据流执行不同的响应操作。网络设备可以对包含攻击报文的数据流进行完全阻断,也可以进行限制。在对数据流执行限制时,既可以是对同一种类型的多个数据流的总流量进行限流,也可以是对每一个数据流的流量进行单独限流。
IDS 202内还可以配置有联动策略表,该联动策略表中包括与攻击报文的类型相对应的联动策略。IDS 202当检测出攻击报文时,在联动策略表中查询与攻击报文的类型相对应的联动策略,并且发送包含该联动策略的联动报文。在发送联动报文之前,IDS 202需要对联动报文进行封装,联动报文中封装有攻击报文的特征以及联动策略,优选根据TLV格式对联动报文进行封装。在联动策略中,对策略中的各个联动选项进行TLV格式的封装。每条联动策略包含一个或多个二进制的TLV字段,并且按照选项的序号下发。其中,T(类型)为1个字节;L(长度)为1个字节;V(值)的长度由L确定。由于根据TLV格式来封装联动报文,因此很容易扩展新的联动策略选项。当需要增加新联动选项时,只需要在联动选项列表中增加一个新的TLV定义即可,每个TLV字段包括流参数和操作参数两部分。
表1为根据本发明实施例的联动策略联动选项列表。
表1用户可以通过Web进行可视化配置来配置联动策略,并且配置完成后将联动策略写入联动策略表,并将联动策略表存入联动策略的数据库,以方便查询和使用。同时,在联动策略中增加对限流的支持。对于某一个攻击,用户可以选择阻断或者限流。优选地,可以指定联动策略支持VLAN Tag的功能。如果指定这项功能,对于带有VLAN Tag的报文,则联动设备只针对属于该VLAN且IDS-ACL使能的端口下发联动规则。在配置联动策略时,还可以进一步决定是阻断完整的七元组,还是阻断五元组,其中七元组包括源MAC地址、目的MAC地址、源IP地址、目的IP地址、源端口、目的端口、协议类型;五元组包括源IP地址、目的IP地址、源端口、目的端口和协议类型。
IDS可以通过多种传输协议向网络设备发送联动报文。比如,通过SNMP、或SSL协议、或SSH协议、或HTTPS协议、或Telnet程序等。
具体地,网络设备可以为交换机或者路由器等设备,并且分别连接数据中心,以将数据流交换到与其连接的数据中心。在图2中,网络设备203与数据中心206连接,网络设备204与数据中心207连接,网络设备205与数据中心208连接。
该联动系统还可以进一步包括管理中心209,当IDS当检测出攻击报文时,IDS向管理中心209发送报警信息,从而管理中心209能够获知正有攻击报文对数据中心进行攻击。
以上对本发明的IDS与网络设备的联动系统进行了描述,下面对根据本发明的IDS与网络设备的联动方法进行描述。
图3为根据本发明的IDS与网络设备的联动方法的示范性流程示意图。在该方法中,预先将至少一个网络设备组成网络设备联动组,其中优选将属于同一网段的网络设备,或同一型号的网络设备设置在同一网络设备联动组中。如图3所示,该方法还包括以下步骤步骤301网络设备接收数据流,并将数据流镜像到IDS;在这里,网络设备首先接收数据流,然后通过与IDS连接的镜像端口将数据流镜像到IDS。优选地,网络设备为具有数据交换功能的交换机或者路由器。当攻击者发出攻击报文时,需要通过交换机或路由器而将数据流发送到数据中心,此时交换机或路由器会将数据流镜像到IDS。
步骤302IDS检测数据流中是否包含攻击报文,当包含攻击报文时,向镜像该数据流的网络设备所属的网络设备联动组中的每个网络设备发送联动报文;在这里,IDS对网络设备所镜像来的数据流进行分析,当分析出数据流中包含攻击报文时,向镜像该数据流的网络设备所属的网络设备联动组中的每个网络设备发送联动报文,以响应该攻击报文。也就是说,当分析出数据流中包含攻击报文时,IDS设备向联动组中的每个网络设备发送联动报文。联动报文中优选封装有攻击报文的特征以及联动策略,网络设备收到联动报文后,可以解析出攻击报文的特征以及联动策略。
步骤303网络设备根据联动报文对该包含攻击报文的数据流进行处理。
在这里,网络设备收到联动报文后,首先解析出攻击报文的特征以及联动策略,根据攻击报文的特征可以确定包含攻击报文的数据流,根据联动策略可以对数据流进行相应处理,比如对该包含攻击报文的数据流进行阻断或者限制。其中对数据流进行限制可以为对同一种类型的多个数据流的总流量进行限流,或者对每一个数据流的流量进行单独限流。具体地,进一步预先在IDS内配置联动策略表,其中联动策略表中包括与攻击报文的类型相对应的联动策略。IDS检测出攻击报文后,在联动策略表中查询与攻击报文的类型相对应的联动策略,并且发送包含该联动策略的联动报文,网络设备收到该联动报文后,再应用联动策略对包含攻击报文的数据流进行处理。也就是说,IDS能够根据攻击报文的类型来配置不同的联动策略。此外,IDS优选对联动报文进行TLV格式的封装,当需要增加新选项时,只需要在联动选项列表中增加一个TLV的定义即可,从而便于对联动策略进行扩展。
以上过程中,优选地,进一步预先设置联动组总开关,当IDS检测出攻击报文时,进一步判断联动组总开关的状态;当联动组总开关打开时,向镜像该数据流的网络设备所属的网络设备联动组中的每个网络设备发送联动报文,当联动组总开关关闭时,不发送联动报文。这样,根据配置联动组总开关的状态,可以对所有的网络设备作为整体是否参与联动进行统一控制。
以上过程中,优选地,进一步预先分别为每个联动组设置联动组使能开关,当IDS检测出攻击报文时,进一步判断镜像该数据流的网络设备所属的网络设备联动组的联动组使能开关状态,当该联动组使能开关打开时,向该联动组中的每个网络设备发送联动报文,当该联动组使能开关关闭时,不发送联动报文。这样,根据配置联动组使能开关的状态,可以对每个联动组作为整体是否参与联动进行统一控制。
以上过程中,优选地,进一步预先设置联动组保护IP地址列表,保护IP地址列表中指定需要联动组保护的IP地址列表,其中IP地址列表支持IPV4和CIDR的格式。当检测出攻击报文时,IDS进一步判断攻击报文的源地址/目的地址是否在联动组保护IP地址列表中,当在列表中时,向联动组中的每个网络设备发送联动报文,当不在时,不发送联动报文。这样,根据设置联动组保护IP地址列表,可以对指定IP地址进行联动保护。
以上过程中,优选地,进一步预先设置联动组白名单,白名单中包含网络中受信任主机或网络IP地址。当检测出攻击报文时,进一步判断攻击报文的源地址/目的地址是否在白名单中,当不在白名单中时,向联动组中的每个网络设备发送联动报文,当在白名单中时,不发送联动报文。这样,根据设置联动组白名单,可以对于来自于充分信任的地址的报文不进行联动。
以上过程中,优选地,进一步预先设置联动组保护接口列表,当IDS检测出攻击报文时,进一步判断攻击报文是否来自保护接口列表,如果是,则向联动组中的每个网络设备发送联动报文;如果不是,则不发送联动报文。这样,根据设置联动组保护接口列表,可以对联动的控制更进一步细化到接口,从而更精确地对接口进行保护。
根据具体需要,可以在设置联动组总开关、联动组使能开关、联动组白名单、联动组保护接口列表等操作中进行相应选择。
图4为根据本发明实施例的IDS与网络设备的联动方法的流程示意图。如图4所示,该方法包括步骤401各个网络设备接收数据流,并分别将数据流镜像到IDS;步骤402IDS对各个网络设备镜像来的数据流进行分析,判断其中是否包含攻击报文,当包含时,执行步骤403及其后续步骤,当不包含时,结束本流程;步骤403IDS判断联动组总开关是否已经打开,当打开时,执行步骤404及其后续步骤,当关闭时,结束本流程;步骤404IDS判断镜像包含攻击报文的数据流的网络设备所属的联动组的使能开关是否打开,当打开时,执行步骤405及其后续步骤,当关闭时,结束本流程;步骤405IDS判断攻击报文是否来自于保护接口列表中所包含的保护接口,如果是,执行步骤406及其后续步骤,如果不是,则结束本流程;步骤406IDS判断攻击报文的源地址或者目的地址是否在白名单中,如果不是,执行步骤407及其后续步骤,如果是,则结束本流程;步骤407IDS组装联动报文,并且向镜像包含攻击报文的数据流的网络设备所属的联动组发送联动报文。
其中IDS根据攻击报文的类型提取源MAC地址、目的MAC地址、源IP地址、目的IP地址、源端口、目的端口、协议类型和VLAN Tag,并结合联动策略生成可扩展的TLV格式的联动报文。
至此,联动组中的各个网络设备接收到联动报文后,能够根据联动报文中所包含的联动策略对数据流进行相应处理。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
权利要求
1.一种入侵检测系统IDS与网络设备联动的系统,其特征在于,该系统包括IDS,用于检测数据流中是否包含攻击报文,网络设备联动组,包括至少一个网络设备;其中,所述网络设备接收数据流后,将数据流镜像到IDS,当IDS检测到所接收到的数据流中包含攻击报文时,便向所述网络设备联动组中的每个网络设备发送联动报文。
2.根据权利要求1所述的联动系统,其特征在于,该联动系统进一步包括管理中心,用于接收IDS检测出攻击报文时所发送的报警信息。
3.根据权利要求1所述的联动系统,其特征在于,所述的网络设备联动组内的网络设备配置有相同的属性。
4.根据权利要求3所述的联动系统,其特征在于,所述属性包括联动组总开关、联动组使能开关、保护接口列表、保护IP地址列表、白名单、限流类型中至少一个。
5.根据权利要求1所述的联动系统,其特征在于,所述IDS内配置有联动策略表,所述联动策略表中包括与攻击报文的类型相对应的联动策略。
6.根据权利要求5所述的联动系统,其特征在于,IDS当检测出攻击报文时,进一步用于在联动策略表中查询与攻击报文的类型相对应的联动策略,并且发送包含该联动策略的联动报文。
7.根据权利要求1所述的联动系统,其特征在于,所述网络设备联动组中的网络设备位于相同的网段。
8.根据权利要求1所述的联动系统,其特征在于,所述网络设备联动组中的网络设备具有相同的型号。
9.一种IDS与网络设备的联动方法,其特征在于,将网络设备根据预先定义的规则划分成网络设备联动组;该方法还包括A、网络设备接收数据流,将数据流镜像到IDS;B、IDS检测数据流中是否包含攻击报文,当包含攻击报文时,向镜像该数据流的网络设备所属的网络设备联动组中的每个网络设备发送联动报文;C、网络设备根据联动报文对该包含攻击报文的数据流进行处理。
10.根据权利要求9所述的联动方法,其特征在于,对于划分到同一联动组的网络设备,配置相同的属性。
11.根据权利要求10所述的联动方法,其特征在于,所述属性包括联动组总开关、联动组使能开关、保护接口列表、保护IP地址列表、白名单、限流类型中至少一个。
12.根据权利要求9所述的联动方法,其特征在于,进一步预先在IDS内配置联动策略表,所述联动策略表中包括与攻击报文的类型相对应的联动策略。
13.根据权利要求12所述的联动方法,其特征在于,步骤B中IDS检测出攻击报文后,进一步在联动策略表中查询与攻击报文的类型相对应的联动策略,并且发送包含该联动策略的联动报文;步骤C中网络设备应用该联动策略对该包含攻击报文的数据流进行处理。
14.根据权利要求9所述的联动方法,其特征在于,所述步骤C为对该包含攻击报文的数据流进行阻断或者限制。
15.根据权利要求14所述的联动方法,其特征在于,所述对数据流进行限制为对同一种类型的多个数据流的总流量进行限流,或者对每一个数据流的流量进行单独限流。
16.根据权利要求9所述的联动方法,其特征在于,进一步预先设置联动组总开关,步骤B中IDS检测出攻击报文时,进一步判断联动组总开关的状态,当联动组总开关打开时,向镜像该数据流的网络设备所属的网络设备联动组中的每个网络设备发送联动报文,当联动组总开关关闭时,不发送联动报文。
17.根据权利要求9所述的联动方法,其特征在于,进一步预先分别设置联动组使能开关,步骤B中IDS检测出攻击报文时,进一步判断镜像该数据流的网络设备所属的网络设备联动组的联动组使能开关的状态,当该联动组使能开关打开时,向该联动组中的每个网络设备发送联动报文,当该联动组使能开关关闭时,不发送联动报文。
18.根据权利要求9所述的联动方法,其特征在于,进一步预先设置联动组白名单,步骤B中IDS检测出攻击报文时,进一步判断攻击报文的源地址/目的地址是否在白名单中,当不在白名单中时,向联动组中的每个网络设备发送联动报文,当在白名单中时,不发送联动报文。
19.根据权利要求9所述的联动方法,其特征在于,进一步预先设置联动组保护接口列表,步骤B中IDS检测出攻击报文时,进一步判断攻击报文是否来自所述保护接口列表,如果是,则向联动组中的每个网络设备发送联动报文;如果不是,则不发送联动报文。
20.根据权利要求9所述的联动方法,其特征在于,进一步预先设置联动组保护IP地址列表,步骤B中IDS检测出攻击报文时,IDS进一步判断攻击报文的源地址/目的地址是否在联动组保护IP地址列表中,当在列表中时,向联动组中的每个网络设备发送联动报文,当不在时,不发送联动报文。
21.根据权利要求9所述的联动方法,其特征在于,所述预先定义的规则为将属于同一网段的网络设备划分到同一网络设备联动组中。
22.根据权利要求9所述的联动方法,其特征在于,所述预先定义的规则为将同一型号的网络设备划分到同一网络设备联动组中。
23.根据权利要求9所述的联动方法,其特征在于,所述联动报文通过TLV格式被封装。
24.根据权利要求9所述的联动方法,其特征在于,当步骤B确定数据流中包含攻击报文时,进一步判断所述攻击报文是否具有虚拟局域网VLAN标签,如果有,则向该VLAN内IDS-ACL(访问控制列表)使能的网络设备发送联动报文,如果没有,则退出本流程。
全文摘要
本发明公开了一种入侵检测系统(IDS)与网络设备联动的系统,该系统包括IDS,用于检测数据流中是否包含攻击报文,网络设备联动组,包括至少一个网络设备;其中,网络设备接收数据流后,将数据流镜像到IDS,当IDS检测到所接收到的数据流中包含攻击报文时,便向网络设备联动组中的每个网络设备发送联动报文。本发明还公开了一种IDS与网络设备联动的方法。应用本发明以后,对联动的控制更加细化,并且可以针对攻击类型而自定义联动策略。
文档编号H04L12/56GK1791021SQ200510132330
公开日2006年6月21日 申请日期2005年12月21日 优先权日2005年12月21日
发明者李开银, 汪翰林, 陈冰 申请人:杭州华为三康技术有限公司