CN102164129A - 防火墙与入侵检测系统的联动方法 - Google Patents
防火墙与入侵检测系统的联动方法 Download PDFInfo
- Publication number
- CN102164129A CN102164129A CN2011100710844A CN201110071084A CN102164129A CN 102164129 A CN102164129 A CN 102164129A CN 2011100710844 A CN2011100710844 A CN 2011100710844A CN 201110071084 A CN201110071084 A CN 201110071084A CN 102164129 A CN102164129 A CN 102164129A
- Authority
- CN
- China
- Prior art keywords
- sending
- analyzer
- detection system
- sent
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Computer And Data Communications (AREA)
Abstract
一种涉及网络防护用的防火墙与入侵检测系统的联动方法,其特点是,将入侵检测系统产生的报警信息,经过加密传输至前级信息接发器进行解密和认证后发送至预处理器;预处理器对信息记录进行抽取清洗的预处理后发送至分析器;分析器如果所得到的安全事件等级超出预定阀值则发送命令至决策器,否则将分析结果送入关联分析器;关联分析器进行关联分析后将结果发送至风险评估器;风险评估器对现行网络状态进行风险评估得到的当前网络的风险等级和网络运行状态参数送入决策器;决策器将联动的具体信息发送到后级信息接发器,作相关处理后发送给防火墙实施联动;对前级信息接发器的入侵检测日志和后级信息接发器的防火墙日志集中审计后送入关联分析器。
Description
技术领域
本发明涉及网络安全技术领域,是一种防火墙与入侵检测系统的联动方法。
背景技术
随着计算机技术的发展和Internet的广泛应用,网络安全隐患日益严重,在日常的工作中,保证网络安全和系统安全被提升到重要的位置。采用单一的入侵检测(IDS)和防火墙不能及时有效的对网络安全事件做出快速准确的响应。一旦发生异常情况,只能人工做出处理,而且工作效率很低。目前,联动技术都是IDS和防火墙简单的联动。这种简单的联动方式没有达到网络有效性和准确性的要求,只是建立了一种初步的网络安全联动机制,主要存在以下两个方面的问题:(1)现有防火墙与IDS的联动对一些网络安全入侵事件不能很好的响应,主要原因是由于IDS的误报率高,对报警信息缺乏关联与归并,造成错误的防火墙联动,封锁正常通信。另一方面,易被黑客利用,通过伪装成源地址为正常通信的IP地址进行攻击,触发防火墙联动,结果造成拒绝服务攻击;(2)通过对防火墙与其他产品联动的实际应用测试来看,大部分产品之间的联动都要通过较为复杂的配置来实现,而且联动响应的有效性不能很好地保证。
随着技术的发展,如何有机整合各种网络安全技术,建立一个有效实用的网络安全防护方法,从而有效提升防火墙的机动性和实时反应能力、增强了入侵检测系统的阻断功能,是目前迫切需要解决的问题。高速的安全威胁增长态势已经成为整个安全世界的大背景,传统的依靠人工分析恶意软件特征的安全响应体系,已经无法满足现在的安全防护需要。
发明内容
本发明所要解决的技术问题是,提供一种防火墙与入侵检测系统的联动方法,利用这种方法进行分析响应时,能够避免由于入侵检测系统误报产生的过多的联动规则,提高联动的有效性和准确性,满足网络安全智能化要求。
为解决上述技术问题所采用的技术方案是:一种防火墙与入侵检测系统的联动方法,其特征是,它包含有:
[1]入侵检测系统产生的报警信息,经过加密传输至前级信息接发器,并在其中进行解密和认证;
[2]对前级信息接发器解密后的报警信息发送至预处理器进行预处理,对信息记录进行抽取清洗,并将有关数据进行规范化处理;
[3]将预处理器预处理后的数据发送至分析器进行分析,如果所得到的安全事件等级超出预定阀值则由分析器发送命令至决策器,否则将分析器分析的结果送入关联分析器;
[4]将关联分析器的关联分析结果发送至风险评估器中,对现行网络状态进行风险评估,得到当前网络的风险等级和网络运行状态参数;
[5]将风险评估器得到的风险等级和网络运行参数送入决策器作出决策,得到联动的具体信息;
[6]将决策器联动的具体信息发送到后级信息接发器,做相关处理后发送给防火墙,实施联动;
[7]对前级信息接发器解密、认证的入侵检测日志和后级信息接发器的防火墙的日志集中审计后送入关联分析器。
本发明的一种防火墙与入侵检测系统的联动方法,首先入侵检测系统实时地检测网络数据检测到报警时,将报警信息发送到联动系统,然后对信息做预处理,进而进行深入分析,并对网络安全势态进行评估,最后做出相应决策,将决策发送至防火墙。通过基于事件相关性分析,运用基于规则的分析方法,将网络中多样化的安全事件信息进行综合统一处理,利用风险评估确定网络的安全告警事件,进而利用联动技术对安全事故进行处理,能够避免由于入侵检测系统误报产生的过多的联动规则,提高了联动的有效性和准确性,满足了网络安全智能化要求。
附图说明
图1为本发明防火墙与入侵检测系统的联动方法的方框图。
具体实施方式
参照图1:本发明的防火墙与入侵检测系统的联动方法包含有:
[1]入侵检测系统产生的报警信息,经过加密传输至前级信息接发器,并在其中进行解密和认证;
[2]对前级信息接发器解密后的报警信息发送至预处理器进行预处理,对信息记录进行抽取清洗,并将有关数据进行规范化处理;
[3]将预处理器预处理后的数据发送至分析器进行分析,如果所得到的安全事件等级超出预定阀值则由分析器发送命令至决策器,否则将分析器分析的结果送入关联分析器;
[4]将关联分析器的关联分析结果发送至风险评估器中,对现行网络状态进行风险评估,得到当前网络的风险等级和网络运行状态参数;
[5]将风险评估器得到的风险等级和网络运行参数送入决策器作出决策,得到联动的具体信息;
[6]将决策器联动的具体信息发送到后级信息接发器,做相关处理后发送给防火墙,实施联动;
[7]对前级信息接发器解密、认证的入侵检测日志和后级信息接发器的防火墙的日志集中经审计器审计后送入关联分析器。
本发明的防火墙与入侵检测系统联动方法所涉及的前级信息接发器是网卡或实现该功能的一段程序代码。
本发明的防火墙与入侵检测系统的联动方法所涉及的分析器是功能模块。
本发明的防火墙与入侵检测系统的联动方法所涉及的风险评估器是风险评估软件或程序中的功能模块。
本发明的防火墙与入侵检测系统的联动方法所涉及的决策器,是程序的个功能模块。
本发明的防火墙与入侵检测系统的联动方法所涉及的审计器,是审计软件或程序中的功能模块。
本发明的防火墙与入侵检测系统的联动方法所涉及的后级信息接发器,可以是网卡或实现该功能的一段程序代码。
本发明的防火墙与入侵检测系统的联动方法中为保证系统自身的安全,从入侵检测系统中得到报警信息,首先通过前级数据接发器对数据解密认证,解密后的数据将传送到预处理器中;在预处理器中系统对数据进行规格化处理,形成统一的格式,以便进行分析处理,同时预处理器去除数据中的冗余信息,减少信息的冗余度,预处理器将处理后的数据统一发送给分析器;分析器根据系统预定义的规则进行分析并根据情况做出相应处理,规则库中的规则是预先定义的,也可以根据实际情况添加或删除;分析器分析的结果送到关联分析器中进行关联分析;关联分析器综合网络的现有的网络运行状况和可能涉及到的网络安全事件做进一步关联分析,得到可能的网络事件发生的概率,并将结果发送到状态评估器;状态评估器根据网络中资源分布情况,并根据关联分析结果对网络安全做进一步评估判断;决策器根据状态评估结果做出相应可实施的决策,最后由信息接发器转换成防火墙联动规则发送至防火墙,实施联动。系统的各部件之间以流水线工作方式运行,每部分产生的数据都是根据上一部件输入所产生的,立即处理并向下一部件传送,以保证系统的实时性。
本发明的防火墙与入侵检测系统的联动方法涉及的软件程序依据各自的功能和用途,采用信息自动化、计算机处理等技术编制,其软件程序的编制是本领域技术人员所熟悉的技术。
Claims (1)
1.一种防火墙与入侵检测系统的联动方法,其特征是,它包含有:
[1]入侵检测系统产生的报警信息,经过加密传输至前级信息接发器,并在其中进行解密和认证;
[2]对前级信息接发器解密后的报警信息发送至预处理器进行预处理,对信息记录进行抽取清洗,并将有关数据进行规范化处理;
[3]将预处理器预处理后的数据发送至分析器进行分析,如果所得到的安全事件等级超出预定阀值则由分析器发送命令至决策器,否则将分析器分析的结果送入关联分析器;
[4]将关联分析器的关联分析结果发送至风险评估器中,对现行网络状态进行风险评估,得到当前网络的风险等级和网络运行状态参数;
[5]将风险评估器得到的风险等级和网络运行参数送入决策器作出决策,得到联动的具体信息;
[6]将决策器联动的具体信息发送到后级信息接发器,做相关处理后发送给防火墙,实施联动;
[7]对前级信息接发器解密、认证的入侵检测日志和后级信息接发器的防火墙的日志集中审计后送入关联分析器。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2011100710844A CN102164129A (zh) | 2011-03-19 | 2011-03-19 | 防火墙与入侵检测系统的联动方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2011100710844A CN102164129A (zh) | 2011-03-19 | 2011-03-19 | 防火墙与入侵检测系统的联动方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN102164129A true CN102164129A (zh) | 2011-08-24 |
Family
ID=44465103
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2011100710844A Pending CN102164129A (zh) | 2011-03-19 | 2011-03-19 | 防火墙与入侵检测系统的联动方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102164129A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105027510A (zh) * | 2013-02-21 | 2015-11-04 | 日本电信电话株式会社 | 网络监视装置、网络监视方法以及网络监视程序 |
| CN106131078A (zh) * | 2016-08-29 | 2016-11-16 | 联动优势科技有限公司 | 一种处理业务请求的方法及装置 |
| CN110572412A (zh) * | 2019-09-24 | 2019-12-13 | 南京大学 | 云环境下基于入侵检测系统反馈的防火墙及其实现方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1509006A (zh) * | 2002-12-13 | 2004-06-30 | 联想(北京)有限公司 | 防火墙与入侵检测系统联动的方法 |
| CN101741633A (zh) * | 2008-11-06 | 2010-06-16 | 北京启明星辰信息技术股份有限公司 | 一种海量日志关联分析方法及系统 |
| CN101815015A (zh) * | 2010-02-22 | 2010-08-25 | 浪潮通信信息系统有限公司 | 面向内容的网络流量快速安检引擎 |
-
2011
- 2011-03-19 CN CN2011100710844A patent/CN102164129A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1509006A (zh) * | 2002-12-13 | 2004-06-30 | 联想(北京)有限公司 | 防火墙与入侵检测系统联动的方法 |
| CN101741633A (zh) * | 2008-11-06 | 2010-06-16 | 北京启明星辰信息技术股份有限公司 | 一种海量日志关联分析方法及系统 |
| CN101815015A (zh) * | 2010-02-22 | 2010-08-25 | 浪潮通信信息系统有限公司 | 面向内容的网络流量快速安检引擎 |
Non-Patent Citations (1)
| Title |
|---|
| 王相林,等: "IDS与防火墙联动的网络安全模型设计", 《科技通报》 * |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105027510A (zh) * | 2013-02-21 | 2015-11-04 | 日本电信电话株式会社 | 网络监视装置、网络监视方法以及网络监视程序 |
| CN105027510B (zh) * | 2013-02-21 | 2018-06-12 | 日本电信电话株式会社 | 网络监视装置和网络监视方法 |
| CN106131078A (zh) * | 2016-08-29 | 2016-11-16 | 联动优势科技有限公司 | 一种处理业务请求的方法及装置 |
| CN110572412A (zh) * | 2019-09-24 | 2019-12-13 | 南京大学 | 云环境下基于入侵检测系统反馈的防火墙及其实现方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9699204B2 (en) | Abnormal traffic detection apparatus and method based on modbus communication pattern learning | |
| Sabahi et al. | Intrusion detection: A survey | |
| CN109739203B (zh) | 一种工业网络边界防护系统 | |
| CN108931968A (zh) | 一种应用于工业控制系统中的网络安全防护系统及其防护方法 | |
| CN104135474B (zh) | 基于主机出入度的网络异常行为检测方法 | |
| CN101364981A (zh) | 基于因特网协议版本6的混合式入侵检测方法 | |
| CN113438249B (zh) | 一种基于策略的攻击溯源方法 | |
| CN115865526B (zh) | 一种基于云边协同的工业互联网安全检测方法及系统 | |
| CN111835680A (zh) | 一种工业自动制造的安全防护系统 | |
| CN114666088A (zh) | 工业网络数据行为信息的侦测方法、装置、设备和介质 | |
| CN117220994A (zh) | 一种基于网络安全服务的数据处理方法及系统 | |
| CN118041617B (zh) | 一种基于互联网的网站安全智能管理系统 | |
| CN115147956A (zh) | 数据处理方法、装置、电子设备及存储介质 | |
| CN113364799A (zh) | 一种网络威胁行为的处理方法和系统 | |
| CN113783886A (zh) | 一种基于情报和数据的电网智慧运维方法及其系统 | |
| CN113382076A (zh) | 物联网终端安全威胁分析方法及防护方法 | |
| CN114826880A (zh) | 一种数据安全运行在线监测的方法及系统 | |
| CN116132989A (zh) | 一种工业互联网安全态势感知系统及方法 | |
| CN115941317A (zh) | 一种网络安全综合分析及态势感知平台 | |
| CN110049015B (zh) | 网络安全态势感知系统 | |
| CN115766235A (zh) | 一种网络安全预警系统及预警方法 | |
| CN102164129A (zh) | 防火墙与入侵检测系统的联动方法 | |
| CN113452702B (zh) | 一种微服务流量检测系统和方法 | |
| CN114928486A (zh) | 一种基于数字证书的工控协议安全摆渡方法、装置、系统和存储介质 | |
| Pedireddy et al. | A prototype multiagent network security system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20110824 |