CN103338183A - 一种入侵检测系统与防火墙联动的方法 - Google Patents

一种入侵检测系统与防火墙联动的方法 Download PDF

Info

Publication number
CN103338183A
CN103338183A CN2013101962536A CN201310196253A CN103338183A CN 103338183 A CN103338183 A CN 103338183A CN 2013101962536 A CN2013101962536 A CN 2013101962536A CN 201310196253 A CN201310196253 A CN 201310196253A CN 103338183 A CN103338183 A CN 103338183A
Authority
CN
China
Prior art keywords
time
compartment wall
fire compartment
data
interlock
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN2013101962536A
Other languages
English (en)
Inventor
柯宗贵
柯宗庆
杨育斌
汪志军
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Bluedon Information Security Technologies Co Ltd
Original Assignee
Bluedon Information Security Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Bluedon Information Security Technologies Co Ltd filed Critical Bluedon Information Security Technologies Co Ltd
Priority to CN2013101962536A priority Critical patent/CN103338183A/zh
Publication of CN103338183A publication Critical patent/CN103338183A/zh
Priority to PCT/CN2014/000044 priority patent/WO2014187144A1/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开了一种入侵检测系统与防火墙联动的方法,该方法使用源IP跟目标IP的比较过滤,把源IP跟目标IP都相同的报警信息合并成一条记录,在检测到需要延长阻塞时间时才发送相应的阻断信息,这样能够明显的减少联动时需要发送的数据包数量。同时再通过使用http方式一次发送多条联动数据给防火墙的方法,更进一步的降低了频繁连接防火墙的次数,这样就能够有效的减少占用网络资源,减轻网络负担。

Description

一种入侵检测系统与防火墙联动的方法
技术领域
本发明涉及信息安全技术领域,尤其涉及一种入侵检测系统与防火墙联动的方法。
背景技术
防火墙位于内部网络跟外部网络之间,作为网络安全防御体系中实施访问控制策略的基础和核心控制部件,对经过的数据包进行审查检测,拦截违反本地安全策略的数据包。但防火墙的这种安全策略属于静态的,不能根据网络的变化自动调整自身的安全策略,这样一来就很难适应不断变化的网络环境,使得它对于来自网络内部的攻击以及安全策略上的漏洞无能为力。入侵检测系统(IDS)积极主动的收集网络中的数据包及主机相关日志,实时监视网络状况,以发现网络中存在的入侵攻击行为,但由于入侵检测系统在响应措施方面的局限性,使其即使发现了网络中的攻击行为,也很难对其进行有效的拦截处理。目前现有的解决方案中已经能够实现了IDS与防火墙的联动,已经能够根据IDS发现入侵行为时及时通知防火墙进行阻断。
比如东北电力大学的发明专利申请“防火墙与入侵检测系统的联动方法”,申请号为201110071084.4,其将入侵检测系统产生的报警信息,经过加密传输至前级信息接发器进行解密和认证后发送至预处理器;预处理器对信息记录进行抽取清洗的预处理后发送至分析器;分析器如果所得到的安全事件等级超出预定阀值则发送命令至决策器,否则将分析结果送入关联分析器;关联分析器进行关联分析后将结果发送至风险评估器;风险评估器对现行网络状态进行风险评估得到的当前网络的风险等级和网络运行状态参数送入决策器;决策器将联动的具体信息发送到后级信息接发器,作相关处理后发送给防火墙实施联动;对前级信息接发器的入侵检测日志和后级信息接发器的防火墙日志集中审计后送入关联分析器。
上述发明申请在获取到报警信息到通知防火墙进行联动前的这个阶段经过了大量的处理,但并没有对报警信息进行过滤,这就可能造成对重复的攻击行为(如相同的源IP跟相同的目标IP就能算是相同的攻击行为)做了大量的重复的处理事情。这样不仅对IDS带来一定的负担,降低IDS的性能,同样也会因为频繁的发送相同的联动通知从而占用大量的网络资源,增加网络负担。
此外联想(北京)有限公司的发明专利“一种防火墙与入侵检测系统联动的方法”,专利号为02155686.5,其将入侵检测系统检测到网络中的入侵行为后,与防火墙建立联动的安全通信信道;入侵检测系统通过安全通信信道向防火墙发送联动内容;防火墙根据收到的联动内容,生成相应的安全规则,阻断攻击行为。
该发明没有对检测到的入侵行为进行过滤,造成对重复的入侵行为做了大量的重复的事情,如相同的入侵行为重复建立了多条的安全通信信道。这样不仅对IDS带来一定的负担,降低IDS的性能,同样也会因为频繁建立了多条的安全通信信道,发送多条相同的联动通知从而占用大量的网络资源,增加网络负担。
由此可见,现有的方案中仍然存在一些不足,他们没有对入侵行为进行过滤归并,这导致对相同的入侵行为作了大量的相同的处理,重复大量的发送相同的联动信息到防火墙,从而使得网络资源占用量比较多。没有实行一次发送多条入侵信息的策略,频繁的进行网络连接,增加了网络负担。本发明则是解决了这些方案的不足。
发明内容
本发明的目的是为了克服现有技术的缺陷,提供一种入侵检测系统与防火墙联动的方法,该方法的具体流程为:
读取配置信息,即联动程序从事先设置好的配置文件中获取需要联动的防火墙时需要的数据。
获取并解析报警信息,即联动程序实时获取snort写入文件中的报警信息,从中分析出入侵行为的来源IP,目标IP,入侵时间,以及入侵的等级,然后比对从配置信息中读取到的等级级别,如果符合联动要求的就添加到联动信息队列中,这为联动提供了数据源支持。
通过源IP跟目标IP来过滤报警信息,即通过报警信息中的来源IP与目的IP来判断该报警信息是否存在报警信息队列中,如果存在,则直接修改该记录的最新达到时间,如果不存在就往队列中添加一新的记录。
获取多条报警信息进行发送,即循环遍历整条阻塞信息队列,比较队列中的阻塞结束时间跟当前时间,查看当前时间是否大于阻塞结束时间,如果当前时间小于阻塞结束时间则表示阻塞仍在进行中,此时不需要处理,否则表示阻塞已经结束,如此再通过查看(阻塞时间长度-(当前时间-最新达到时间))是否大于0,如果大于0,则获取该阻塞信息,并修改该阻塞信息的阻塞结束时间,如此得到多条需要发送到防火墙的阻塞信息后唤醒专门负责发送数据到防火墙的线程,让该线程使用http的方式将数据发送出去。
本发明技术方案带来的有益效果:
本发明通过使用源IP跟目标IP的比较过滤,把源IP跟目标IP都相同的报警信息合并成一条记录,在检测到需要延长阻塞时间时才发送相应的阻断信息,这样能够明显的减少联动时需要发送的数据包数量。同时再通过使用http方式一次发送多条联动数据给防火墙的方法,更进一步的降低了频繁连接防火墙的次数,这样就能够有效的减少占用网络资源,减轻网络负担。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1是本发明的方法流程图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明提供一种入侵检测系统与防火墙联动的方法,该方法在于对检测到的报警信息进行过滤归并,一次发送多条报警信息到防火墙,减少了IDS对入侵行为的处理压力,同时也减轻了IDS联动防火墙时的网络负担,释放网络资源。具体流程图如图1所示。
1:读取配置信息
联动程序从事先设置好的配置文件中获取需要联动的防火墙时需要的数据,包括IP,端口,登录的用户名,密码,需要阻断的时间长度,符合联动的等级级别。
2:获取并解析报警信息
联动程序实时获取snort写入文件中的报警信息,从中分析出入侵行为的来源IP,目标IP,入侵时间,以及入侵的等级等,然后比对从配置信息中读取到的等级级别,如果符合联动要求的就添加到联动信息队列中,这为联动提供了数据源支持。
3:通过源IP跟目标IP来过滤报警信息
通过报警信息中的来源IP与目的IP来判断该报警信息是否存在报警信息队列中,如果存在,则直接修改该记录的最新达到时间,如果不存在就往队列中添加一新的记录。
4:获取多条报警信息进行发送
循环遍历整条阻塞信息队列,比较队列中的阻塞结束时间跟当前时间,查看当前时间是否大于阻塞结束时间,如果当前时间小于阻塞结束时间则表示阻塞仍在进行中,此时不需要处理,否则表示阻塞已经结束,如此再通过查看(阻塞时间长度-(当前时间–最新达到时间))是否大于0,如果大于0,则获取该阻塞信息,并修改该阻塞信息的阻塞结束时间。如此得到多条需要发送到防火墙的阻塞信息后唤醒专门负责发送数据到防火墙的线程,让该线程使用http的方式将数据发送出去。专门负责发送数据到防火墙的线程使用唤醒机制,当获取到一定量的阻塞信息时才会被唤醒来发送数据,没数据发送时会被阻塞,这样使用唤醒机制可以降低进程的CPU使用率。发送阻塞信息时选择一次发送多条阻塞数据的方案,让防火墙一次接收多条联动阻塞的规则,这样一来就可以避免频繁连接防火墙,减轻网络负担。
本发明通过使用源IP跟目标IP的比较过滤,把源IP跟目标IP都相同的报警信息合并成一条记录,在检测到需要延长阻塞时间时才发送相应的阻断信息,这样能够明显的减少联动时需要发送的数据包数量。同时再通过使用http方式一次发送多条联动数据给防火墙的方法,更进一步的降低了频繁连接防火墙的次数,这样就能够有效的减少占用网络资源,减轻网络负担。
此外,本发明可以在获取多条阻塞信息时直接发送到防火墙,不用另外开辟一条线程专门负责发送数据也能达到预定效果,但这样会降低报警信息的处理速度,在等待发送完毕后才接着获取下一批需要发送的阻塞数据。本发明还可以通过使用多个线程不断循环获取阻塞信息直接发送到防火墙,但是这样可能会导致一直占用到防火墙的http连接,占用的网络资源反而变多。
本发明的IDS联动防火墙的方案中通过使用源IP,目标IP进行归并算法过滤,归并算法的部分结构及代码如下:
Snort告警日志解析后的结构(C语言):
typedef struct_InstructInfo{
//报警日志生成的时间
time_t begin_time;
//源IP
char src[64];
//目标IP
char des[64];
//报警等级
int priority;
}InstructInfo;
归并队列A的结构(C语言):
typedef struct_AlertInfo{
//开始时间
time_t begin_time;
//结束时间
time_t end_time;
//最后到达时间
time_t last_time;
//告警信息
InstructInfo ins_info;
struct_AlertInfo*pre;
struct_AlertInfo*next;
}AlertInfo;
发送队列B结构(C语言):
typedef struct_BlockInfo{
//入侵信息
InstructInfo ins_info;
//阻塞时间长度
int block_time;
struct_BlockInfo*pre;
struct_BlockInfo*next;}BlockInfo;
以上对本发明实施例所提供的一种入侵检测系统与防火墙联动的方法进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。

Claims (5)

1.一种入侵检测系统与防火墙联动的方法,其特征在于,该方法流程为:
读取配置信息,即联动程序从事先设置好的配置文件中获取需要联动的防火墙时需要的数据;
获取并解析报警信息,即联动程序实时获取snort写入文件中的报警信息,从中分析出入侵行为的来源IP,目标IP,入侵时间,以及入侵的等级,然后比对从配置信息中读取到的等级级别,如果符合联动要求的就添加到联动信息队列中,这为联动提供了数据源支持;
通过源IP跟目标IP来过滤报警信息,即通过报警信息中的来源IP与目的IP来判断该报警信息是否存在报警信息队列中,如果存在,则直接修改该记录的最新达到时间,如果不存在就往队列中添加一新的记录;
获取多条报警信息进行发送,即循环遍历整条阻塞信息队列,比较队列中的阻塞结束时间跟当前时间,查看当前时间是否大于阻塞结束时间,如果当前时间小于阻塞结束时间则表示阻塞仍在进行中,此时不需要处理,否则表示阻塞已经结束,如此再通过查看(阻塞时间长度-(当前时间-最新达到时间))是否大于0,如果大于0,则获取该阻塞信息,并修改该阻塞信息的阻塞结束时间,如此得到多条需要发送到防火墙的阻塞信息后唤醒专门负责发送数据到防火墙的线程,让该线程使用http的方式将数据发送出去。
2.根据权利要求1所述的方法,其特征在于,在读取配置信息步骤中,所述的数据包括IP,端口,登录的用户名,密码,需要阻断的时间长度,符合联动的等级级别。
3.根据权利要求1所述的方法,其特征在于,专门负责发送数据到防火墙的线程使用唤醒机制,当获取到一定量的阻塞信息时才会被唤醒来发送数据,没数据发送时会被阻塞,发送阻塞信息时选择一次发送多条阻塞数据的方案,让防火墙一次接收多条联动阻塞的规则,这样一来就可以避免频繁连接防火墙,减轻网络负担。
4.根据权利要求1所述的方法,其特征在于,获取多条报警信息进行发送时,还能够在获取多条阻塞信息时直接发送到防火墙,不用另外开辟一条线程专门负责发送数据,但这样会降低报警信息的处理速度,在等待发送完毕后才接着获取下一批需要发送的阻塞数据。
5.根据权利要求1所述的方法,其特征在于,获取多条报警信息进行发送时,还能够通过使用多个线程不断循环获取阻塞信息直接发送到防火墙,但是这样可能会导致一直占用到防火墙的http连接,占用的网络资源反而变多。
CN2013101962536A 2013-05-22 2013-05-22 一种入侵检测系统与防火墙联动的方法 Pending CN103338183A (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN2013101962536A CN103338183A (zh) 2013-05-22 2013-05-22 一种入侵检测系统与防火墙联动的方法
PCT/CN2014/000044 WO2014187144A1 (zh) 2013-05-22 2014-01-15 一种入侵检测系统与防火墙联动的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN2013101962536A CN103338183A (zh) 2013-05-22 2013-05-22 一种入侵检测系统与防火墙联动的方法

Publications (1)

Publication Number Publication Date
CN103338183A true CN103338183A (zh) 2013-10-02

Family

ID=49246281

Family Applications (1)

Application Number Title Priority Date Filing Date
CN2013101962536A Pending CN103338183A (zh) 2013-05-22 2013-05-22 一种入侵检测系统与防火墙联动的方法

Country Status (2)

Country Link
CN (1) CN103338183A (zh)
WO (1) WO2014187144A1 (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014187144A1 (zh) * 2013-05-22 2014-11-27 蓝盾信息安全技术股份有限公司 一种入侵检测系统与防火墙联动的方法
CN107634964A (zh) * 2017-10-13 2018-01-26 杭州迪普科技股份有限公司 一种针对waf的测试方法及装置
CN110505206A (zh) * 2019-07-19 2019-11-26 广东电网有限责任公司信息中心 一种基于动态联防的互联网威胁监测防御方法

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101026510A (zh) * 2007-01-31 2007-08-29 华为技术有限公司 一种网络流量异常检测方法和系统
CN101471933A (zh) * 2007-12-28 2009-07-01 英业达股份有限公司 通过网络链路数据动态更新入侵检测规则的方法
CN102088363A (zh) * 2009-12-08 2011-06-08 大唐移动通信设备有限公司 告警处理方法和系统
CN102594620A (zh) * 2012-02-20 2012-07-18 南京邮电大学 一种基于行为描述的可联动分布式网络入侵检测方法
US20120198541A1 (en) * 2011-02-02 2012-08-02 Reeves Randall E Methods and apparatus for preventing network intrusion

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101820413B (zh) * 2010-01-08 2012-08-29 中国科学院软件研究所 一种网络安全最佳防护策略的选择方法
CN103338183A (zh) * 2013-05-22 2013-10-02 蓝盾信息安全技术股份有限公司 一种入侵检测系统与防火墙联动的方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101026510A (zh) * 2007-01-31 2007-08-29 华为技术有限公司 一种网络流量异常检测方法和系统
CN101471933A (zh) * 2007-12-28 2009-07-01 英业达股份有限公司 通过网络链路数据动态更新入侵检测规则的方法
CN102088363A (zh) * 2009-12-08 2011-06-08 大唐移动通信设备有限公司 告警处理方法和系统
US20120198541A1 (en) * 2011-02-02 2012-08-02 Reeves Randall E Methods and apparatus for preventing network intrusion
CN102594620A (zh) * 2012-02-20 2012-07-18 南京邮电大学 一种基于行为描述的可联动分布式网络入侵检测方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
乔佩利等: "Windows 平台下 Snort 和 IPSec 联动实现", 《哈尔滨理工大学学报》 *
乔佩利等: "Windows平台下基于Snort的联动系统的实现", 《软件》 *

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014187144A1 (zh) * 2013-05-22 2014-11-27 蓝盾信息安全技术股份有限公司 一种入侵检测系统与防火墙联动的方法
CN107634964A (zh) * 2017-10-13 2018-01-26 杭州迪普科技股份有限公司 一种针对waf的测试方法及装置
CN110505206A (zh) * 2019-07-19 2019-11-26 广东电网有限责任公司信息中心 一种基于动态联防的互联网威胁监测防御方法

Also Published As

Publication number Publication date
WO2014187144A1 (zh) 2014-11-27

Similar Documents

Publication Publication Date Title
AU2019216687B2 (en) Path scanning for the detection of anomalous subgraphs and use of DNS requests and host agents for anomaly/change detection and network situational awareness
Sicari et al. REATO: REActing TO Denial of Service attacks in the Internet of Things
CN109962903B (zh) 一种家庭网关安全监控方法、装置、系统和介质
CN102857486B (zh) 下一代应用防火墙系统及防御方法
JP3968724B2 (ja) ネットワーク保安システム及びその動作方法
KR101574193B1 (ko) 분산 서비스 거부 공격 탐지 및 방어 장치 및 방법
EP2889798A1 (en) Method and apparatus for improving network security
CN102035793B (zh) 僵尸网络检测方法、装置以及网络安全防护设备
CN104660552A (zh) 一种wlan网络入侵检测系统
TW201505411A (zh) 用於規則式安全防護設備之規則解譯方法及設備
CN105991637A (zh) 网络攻击的防护方法和装置
KR101602189B1 (ko) 10기가급 패킷 캡쳐링에 의한 트래픽 분석 및 망 감시 시스템
Pan et al. Anomaly based intrusion detection for building automation and control networks
CN101902365B (zh) 一种广域网p2p流量监控方法及系统
CN101572711A (zh) 一种基于网络的反弹端口型木马的检测方法
CN109743314A (zh) 网络异常的监控方法、装置、计算机设备及其存储介质
CN103618720B (zh) 一种木马网络通信检测与取证方法和系统
Frye et al. An ontology-based system to identify complex network attacks
Chen et al. Intrusion detection using a hybrid support vector machine based on entropy and TF-IDF
CN103338183A (zh) 一种入侵检测系统与防火墙联动的方法
CN202424749U (zh) 内网流量控制系统
Hendaoui et al. FID: Fuzzy based intrusion detection for distributed smart devices
KR101587845B1 (ko) 디도스 공격을 탐지하는 방법 및 장치
Xue et al. Research of worm intrusion detection algorithm based on statistical classification technology
KR101263218B1 (ko) 단일 세션 내 단일 패킷 집성 방법 및 장치

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C02 Deemed withdrawal of patent application after publication (patent law 2001)
WD01 Invention patent application deemed withdrawn after publication

Application publication date: 20131002