背景技术
近年来随着网络的广泛应用,越来越多的公司企业将网络作为其重要的业务途径,因而对网络的安全提出了更高的要求。传统的网络安全设备,如防火墙等,只能对网络层以下的攻击事件进行检测,已经不能满足对网络安全的要求。
入侵检测装置是一种旁路部署的网络安全设备,采用旁路方式全面监听网络关键路径上的数据流量,通过对监听到的数据流进行4到7层,即应用层、会话层、表示层、传输层的实时深度分析,来发现网络攻击事件。通过入侵检测装置,可以了解网络的运行状况和涉及安全的攻击事件,并根据攻击事件来调整安全策略和防护手段。同时攻击事件的记录可以为定期的安全评估和分析提供依据,从而提高网络安全的整体水平。
对入侵检测装置,检测出数据流中的攻击事件是其最为基本的功能。对攻击事件的检测依赖于为入侵检测装置设置的安全策略,而设置合理有效的安全策略的基础是对攻击事件进行分析和总结。因此,安全策略和攻击事件统计是对入侵检测进行管理的重要手段。
最为常用的入侵检测装置是IDS(Intrusion Detection System)设备。在现有技术中,采用IDS设备的入侵检测系统的典型结构如图1所示。IDS设备110仅作为功能单一的检测引擎,对网络上数据流量进行检测,在检测到攻击事件时向服务器120发送告警信息;服务器120负责接收IDS设备110运行时发送的攻击事件、系统日志等告警信息,并且完成对IDS设备110的安全策略配置管理和其他的设备管理功能;管理客户端130通过其上的客户端软件对安全策略进行配置、查看攻击事件的记录。
这种入侵检测系统必须采用高性能的服务器和特定的客户端软件,成本高并且安装维护复杂;同时,所有参与管理的终端上都必须安装客户端软件,用户还得学习客户端软件的操作使用方法。
现有技术中有的入侵检测装置本身也提供安全策略配置和攻击事件统计的管理功能,通过登录入侵检测装置,以命令行方式对安全策略进行配置管理,并且以命令行方式也可以获得一些攻击事件统计分析结果。
由于命令行是基于文本的,而安全策略配置和攻击事件统计都是复杂的操作,用命令行实现很不直观,用户不仅需要学习多种繁琐的命令,而且在实际操作时费时费力。
发明内容
本发明要解决的是现有技术中入侵检测装置的安全策略配置或攻击事件统计操作复杂费时,入侵检测系统安装维护成本高、使用不便的问题。
本发明所述的入侵检测装置包括检测模块、攻击事件存储统计模块和环球网Web服务模块,其中:
检测模块对网络流量进行攻击事件检测;
攻击事件存储统计模块存储检测模块检测出的攻击事件,按照Web服务模块的管理指令统计攻击事件,将统计结果回送至Web服务模块;
Web服务模块进行管理Web页面的发布,根据接收的基于Web的请求生成管理指令,以管理指令的执行结果作为响应。
优选地,所述装置还包括安全策略存储模块和安全策略配置模块,其中:
安全策略存储模块用来保存并向检测模块提供当前据以进行攻击事件检测的安全策略;
安全策略配置模块根据Web服务模块管理指令中包括的安全策略参数对安全策略存储模块中的安全策略进行编辑,并将执行结果传输至Web服务模块。
优选地,所述攻击事件存储统计模块包括攻击事件数据库和攻击事件统计单元,其中:
攻击事件数据库用来存储检测模块检测出的攻击事件;
攻击事件统计单元根据Web服务模块管理指令中包括的统计参数对攻击事件数据库中存储的攻击事件进行统计。
优选地,所述Web服务模块接收的请求和发送的响应采用超文本传输协议HTTP或安全超文本传输协议HTTPS。
本发明所述的另一种入侵检测装置包括检测模块、安全策略存储模块、安全策略配置模块和Web服务模块,其中:
检测模块根据安全策略存储模块中的存储的安全策略对网络流量进行攻击事件检测;
安全策略配置模块按照Web服务模块的管理指令对安全策略存储模块中的安全策略进行编辑,将执行结果回送至Web服务模块;
Web服务模块进行管理Web页面的发布,根据接收的基于Web的请求生成管理指令,以管理指令的执行结果作为响应。
优选地,所述对安全策略进行编辑包括对至少一项安全策略进行查询、修改、增加和删除。
本发明还提供了一种入侵检测系统,包括入侵检测装置和浏览装置,其中:
入侵检测装置用于对网络流量进行攻击事件的检测和记录,向浏览装置发布管理Web页面,执行浏览装置基于页面的管理请求向其返回执行结果;
浏览装置用于显示管理Web页面,向入侵检测装置发送基于页面的管理请求,接收并显示执行结果。
优选地,所述浏览装置的管理请求包括攻击事件查询请求,入侵检测装置根据其中的统计参数进行攻击事件统计后将统计结果发送给浏览装置。
优选地,所述浏览装置的管理请求包括安全策略请求,入侵检测装置按照其中的安全策略参数编辑用来检测攻击事件的安全策略,并将操作结果发送给浏览装置。
优选地,所述浏览装置为具有Web浏览器的装置;所述浏览装置对执行结果进行图形化显示。
本发明通过在入侵检测装置中内置Web(环球网)服务模块,以Web页面的方式提供涉及入侵检测装置的管理功能,从而可以在Web页面上进行攻击事件的统计结果查询和安全策略的设置,用户不需要投入高成本的服务器,仅需标准的浏览器即可简单省时地对入侵检测装置进行图形化管理。
具体实施方式
为了克服现有技术中命令行语句繁琐、使用不便的问题,本发明中采用内嵌式的图形化管理工具来对入侵检测装置进行管理。由于图形管理工具需要通过终端来显示和接受用户的指令,而终端可能有不同的硬件和软件平台,要使入侵检测装置能够实现与终端平台的无关性,应当采用各平台都支持的图形化工具,即实现入侵检测装置基于Web的管理工具,任何终端只要具有标准的Web浏览器就可以对入侵检测装置进行管理的。
如前所述,对于入侵检测装置的管理,最为重要的两项功能是攻击事件统计和安全策略配置。图2所示为本发明中入侵检测装置实施例一的结构,本实施例中的入侵检测装置内置有进行攻击事件统计的图形化管理工具。
网络流量输入至检测模块210,攻击事件存储统计模块220分别与检测模块210和Web服务模块230连接,Web服务模块230与入侵检测装置外部的Web浏览器通信。攻击事件存储统计模块220包括互相连接的攻击事件数据库221和攻击事件统计单元222,其中攻击事件数据库221与检测模块210连接,攻击事件统计单元222与Web服务模块230连接。
检测模块210对输入的网络流量进行攻击事件检测,将检测出的攻击事件写入攻击事件数据库221,攻击事件是检测模块210根据当前的安全策略检测到一次攻击后产生的告警事件。
攻击事件存储统计模块220存储检测模块210检测出的攻击事件的各种信息,在Web服务模块230发送管理指令进行攻击事件统计时,根据管理指令中的统计参数完成统计工作,并将统计结果返回给Web服务模块230。
攻击事件数据库221用来存储检测出的攻击事件,写入攻击事件数据库221的信息通常包括关于攻击的各种详细信息,如攻击发生时间、发起攻击的源地址、源端口、遭受攻击的目的地址、目的端口、攻击采用的协议、攻击报文内容、攻击报文类型、严重级别等。
在接收到Web服务模块230在管理指令中发送的统计参数后,攻击事件统计单元222根据统计参数从攻击事件数据库221中读取攻击事件记录,进行统计分析后,生成统计结果返回至Web服务模块230。统计参数至少包括一项针对攻击事件数据库221中记录的某种攻击信息所设置的查询条件,也可以是一条以上查询条件的组合。攻击事件统计单元222由上述查询条件生成标准的SQL(Structured Query Language,结构化查询语言)语句,向攻击事件数据库221进行查询。
Web服务模块230向连接到入侵检测装置的外部浏览器发布图形化的管理Web页面,外部浏览器根据管理Web页面编辑统计参数,以基于Web的请求发送至Web服务模块230。Web服务模块230据此生成管理指令,其中包括统计参数,发送给攻击事件统计单元222。在收到攻击事件统计单元222返回的统计结果后,Web服务模块将统计结果生成基于Web的响应,发送给外部浏览器。
图3所示为实施例一中入侵检测装置的工作流程,其中Web浏览器在入侵检测装置的外部,用来显示Web页面和实现对用户的接口。检测模块210检测到攻击事件后,将其写入攻击事件数据库221。Web浏览器图形化编辑好统计参数后,通过标准的基于Web的请求下发给入侵检测装置里的Web服务模块230。入侵检测装置里的Web服务模块230接到该请求后,将该请求里携带的统计参数解析至管理指令中交给攻击事件统计单元222,攻击事件统计单元222根据这些统计参数向攻击事件数据库221获取攻击事件数据,然后进行统计分析运算,将统计结果发给Web服务模块230。Web服务模块230将统计结果封装成标准的基于Web的响应,发给Web浏览器,Web浏览器再图形化地将统计结果显示出来。
所有在攻击事件数据库221中存储的攻击事件信息都可以在Web服务模块230发布的Web页面上用作编辑和组合查询条件的参数。同样,Web服务模块230发布的统计结果页面也可以根据需要采用各种不同的形式,如数据显示、柱状图、饼状图、线形图等等。
以查询当天发生的次数最多的5种攻击类型为例,管理员在Web服务模块230在Web浏览器发布的页面上点击查询当天发生的最多的5种攻击类型,攻击事件统计单元222将得到该查询条件,向攻击事件数据库221用标准的SQL语句查询得到当日产生的所有攻击事件,计算出次数最多的5种攻击类型,并得到这5种攻击类型所占的总攻击次数的百分比,然后将5种攻击类型名称、攻击发生的次数、攻击所占百分比等信息通过Web服务模块230发给Web浏览器,Web浏览器以图形化的形式将该统计结果直观地显示出来供管理员查看。
在Web浏览器与Web服务模块230之间的请求和响应所采用的协议没有限制,例如可以采用HTIP(Hypertext Transfer Protocol,超文本传输协议),也可以采用HTTPS(Hypertext Transfer Protocol Secure,安全超文本传输协议)以实现更好的安全性。
图4所示为本发明入侵检测装置实施例二的结构,本实施例中的入侵检测装置内置有进行安全策略配置的图形化管理工具。
网络流量输入至检测模块210,安全策略存储模块240分别连接至检测模块210和安全策略配置模块250,安全策略配置模块250连接至Web服务模块230,Web服务模块230与入侵检测装置外部的Web浏览器通信。
检测模块210对输入的网络流量进行攻击事件检测,检测根据安全策略存储模块240中存储的安全策略来进行。入侵检测装置中最重要的安全策略是攻击检测特征规则,其中包括了攻击报文所具有的特征。当网络上的报文完全具备这些攻击检测特征时,就认为发生了攻击事件。
安全策略存储模块240中存储着当前生效的安全策略,每个攻击检测特征规则在安全策略存储模块240中以二进制编码的格式存储,各个二进制格式的特征规则形成了树型的规则结构树。检测模块210根据规则结构树来检测攻击事件。
安全策略配置模块250接收到Web服务模块230的管理指令后,取出指令中包括的安全策略参数,根据安全策略参数对安全策略存储模块240中的安全策略进行编辑。安全策略参数包括编辑的执行事项和所针对的安全策略,编辑的执行事项包括对至少一项安全策略的查询、添加、删除、修改等。在添加或修改安全策略时,安全策略配置模块250在将新的安全策略写入安全策略存储模块240之前,会先检查该安全策略的有效性和合理性,如IP地址是否合法、该安全策略是否与已有的安全策略相冲突等等。通过检查后,安全策略配置模块250将该安全策略转化为二进制编码写入安全策略存储模块240的规则结构树中。在执行完编辑工作后,安全策略配置模块250将执行结果返回给Web服务模块230。对添加、删除、修改安全策略的操作,其结果仅包括配置成功或配置失败信息。
Web服务模块230向连接到入侵检测装置的外部浏览器发布图形化的管理Web页面,外部浏览器根据管理Web页面编辑安全策略,以基于Web的请求发送至Web服务模块230。Web服务模块230据此生成管理指令,其中包括安全策略参数,发送给安全策略配置模块250。在收到安全策略配置模块250返回的执行结果后,Web服务模块将执行结果生成基于Web的响应,发送给外部浏览器。
图5所示为实施例二中入侵检测装置的工作流程,其中Web浏览器与实施例一中功能相同,也不包括在入侵检测装置中。
Web浏览器图形化编辑好安全策略后,通过标准的基Web的请求下发给入侵检测装置里的Web服务模块230。入侵检测装置里的Web服务模块230接到该请求后,将该请求中携带的安全策略解析到管理指令中交给安全策略配置模块250。安全策略配置模块250会处理这些安全策略,包括判断安全策略的有效性和合理性、将安全策略转化成特定的格式等,然后将处理后的安全策略存入安全策略存储模块240。安全策略存储模块240返回操作结果,操作结果经安全策略配置模块250到达Web服务模块230后,Web服务模块230将其封装成标准的基于Web的响应,发送给Web浏览器,Web浏览器再图形化地将操作结果显示出来。
例如,管理员发现了一种针对内网某特定应用的攻击,并且得到该攻击包含如下的内容特征:window\.open|28 23|helpdoc\.eml|27|;另外,还得到该特征内容在建立TCP连接后包含在从攻击客户端到目标服务器端的TCP流中,则管理员就可通过Web服务模块230在Web浏览器上发布的页面上进行图形化的向导式的特征规则配置,配置完成的规则内容如下表所示:
特征匹配规则包含的表项 |
内容 |
规则号 |
20001 |
协议类型 |
TCP |
源地址 |
Any |
源端口 |
Any |
目的地址(被攻击应用的地址) |
10.10.2.23、10.10.3.23 |
目的端口(被攻击应用的的端口) |
1308 |
TCP流状态 |
Established |
TCP流方向 |
Client-to-Server |
特征内容 |
window.open|28 23|helpdoc.eml|27| |
响应方式 |
Email、SNMP Trap |
配置完成后,将包括上述特征规则的请求发送至Web服务模块230。Web服务模块230生成包括增加和该特征规则的管理指令,由安全策略配置模块250将该特征规则增加到安全策略存储模块240中。
与实施例一中相同,本实施例中对在Web浏览器与Web服务模块230之间的请求和响应所采用的协议没有限制。
对入侵检测装置而言,安全策略配置和攻击事件统计具有同样的重要性。安全策略配置是进行攻击事件检测的基础,而对攻击事件的统计可以了解网络上的安全状况,并可以根据统计结果进一步调整和改善安全策略。因而,以入侵检测装置的攻击事件检测为核心,与安全策略配置和攻击事件统计一道形成一个闭环,从而使网络安全整体水平不断得到提高。本发明实施例三中的入侵检测装置同时内置有进行安全策略配置和攻击事件统计的图形化管理工具,其结构如图6所示。
可见,只要在实施例一中结构的基础上增加安全策略存储模块240和安全策略配置模块250,或者在实施例二中结构的基础上增加包括攻击事件数据库221和攻击事件统计单元222的攻击事件存储统计模块220就形成了图6的结构;因此,令检测模块210和Web服务模块230同时具有实施例一和实施例二中的功能即可实现实施例三,而其他模块的功能和相互关系都没有变化,此处不再赘述。
同样,实施例三中对在Web浏览器与Web服务模块230之间的请求和响应所采用的协议没有限制,例如可以采用HTTP或HTTPS。
应用本发明中入侵检测装置的入侵检测系统的典型结构为:入侵检测装置与浏览装置相连接,其中浏览装置具有能够图形化显示Web页面的Web浏览器。网络流量输入入侵检测装置,入侵检测装置进行攻击事件的检测并记录检测到的攻击事件。当与浏览装置连接时,入侵检测装置向浏览装置发布管理Web页面,浏览装置根据该管理Web页面编辑管理请求发送给入侵检测装置。入侵检测装置执行接收到的管理请求,并将执行结果返回给浏览装置,由浏览装置进行图形化显示。
浏览装置的管理请求可以是攻击事件查询请求,其中包括攻击事件的统计参数。入侵检测装置按照统计参数对攻击事件进行统计,将统计结果回送至浏览装置。
浏览装置的管理请求也可以是安全策略请求,其中包括安全策略参数。入侵检测装置按照安全策略参数来编辑用来检测攻击事件的安全策略,例如查询、增删和修改,并将编辑操作的结果回送至浏览装置。
应用本发明后,对入侵检测装置的管理不再需要记忆复杂的命令和进行费时的操作,用户可方便、安全地进行图形化的管理;对入侵检测系统,不再需要高成本的服务器,避免了安装维护复杂、使用不方便、不灵活的问题,用户仅需要一个标准浏览器(如Internet Explore)就可方便、安全、随时随地地对入侵检测装置进行安全策略的配置和攻击事件的统计。
以上所述的本发明实施方式,并不构成对本发明保护范围的限定。任何在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的权利要求保护范围之内。