CN1435977A - 防火墙入侵检测与响应的方法 - Google Patents
防火墙入侵检测与响应的方法 Download PDFInfo
- Publication number
- CN1435977A CN1435977A CN02100851A CN02100851A CN1435977A CN 1435977 A CN1435977 A CN 1435977A CN 02100851 A CN02100851 A CN 02100851A CN 02100851 A CN02100851 A CN 02100851A CN 1435977 A CN1435977 A CN 1435977A
- Authority
- CN
- China
- Prior art keywords
- rule
- compartment wall
- fire compartment
- packet
- response
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Abstract
一种防火墙入侵检测与响应的方法,包括:在数据链路层捕获每一数据包;对每一数据包进行初步解码,区分网络类型;根据网络类型进行相应的网络层解码,并分析数据包的网络协议;如果为IP协议,则根据相应的传输协议对数据包进一步解码,进行协议分析和规则匹配;记录入侵日志,发出报警信息,并自动添加防火墙的阻断规则;本发明在防火墙中实现了实时入侵检测和自动响应,实现了对防火墙安全功能的逻辑补偿;使得防火墙可实时检测到网络中的绝大多数入侵行为,实时设置阻断规则,及时阻断入侵;减少了检测到入侵所需的时间和反应的时间,有效地保证被防火墙保护的网络的安全。
Description
技术领域:
本发明涉及一种防火墙入侵检测与响应的方法,特别涉及在防火墙中实时检测入侵和自动响应,使得防火墙可以实时检测到网络中的绝大多数入侵行为,实时设置阻断规则,及时阻断入侵的方法。
背景技术:
目前,防火墙设备作为一种网络访问控制设备,基本上属于工作在网络层的安全设施,能够对网络通信的双方的网际协议(Internet Protocol,简称IP)地址、端口以及协议进行控制;但是,防火墙设备对于数据驱动型的攻击一般无法控制。解决办法通常是将防火墙设备与另外一个独立的入侵检测系统进行互动操作,入侵检测系统通过检查网络的通信来发现攻击并通知防火墙,然后由防火墙进行相应的阻断操作。防火墙本身不具备实时入侵检测和响应的功能。防火墙和独立的入侵检测系统之间的互动有一定的时间延迟,攻击者往往可能会这一段时间内,在防火墙没有进行响应前,穿过防火墙并攻破被防火墙保护的主机。因此,如果防火墙本身不具备一定的入侵检测及响应能力,就不能有效地保护主机和数据通讯的安全。
发明内容:
本发明的主要目的是提供一种防火墙入侵检测与响应的方法,在防火墙中实现实时入侵检测和自动响应,实现对防火墙安全功能的逻辑补偿,使得防火墙可以实时检测到网络中的绝大多数入侵行为,并实时设置阻断规则,及时阻断入侵。减少检测到入侵所需的时间和做出反应的时间,有效地保证被防火墙保护的网络的安全。
本发明的目的是这样实现的:
一种防火墙入侵检测与响应的方法,包括:
步骤1:在数据链路层捕获每一数据包;
步骤2:对每一数据包进行初步解码,区分网络类型;
步骤3:根据网络类型进行相应的网络层解码,并分析数据包的网络协议;
步骤4:如果为IP协议,则根据相应的传输协议对数据包进一步解码,然后执行步骤6;
步骤5:如果不为IP协议则执行步骤7;
步骤6:协议分析,并进行规则匹配;
步骤7:记录入侵日志,发出报警信息,并自动添加防火墙的阻断规则。
所述的网络类型至少包括:以太网(Ethernet)、端对端协议网(Peer-Peer Protocol,简称PPP)、和令牌网(Token Ring)。
所述的网络协议至少包括:IP、以太网协议(IPX)和地址解析协议(Address Resolution Protocol,ARP简称)。
所述的传输协议至少包括:传输控制协议(Transfer Control Protocol,简称TCP)、用户数据报协议(User Datagram Protocol,简称UDP)和网间控制报文协议(Internet Control Messages Protocol,简称ICMP)。
所述的协议分析为:根据数据包的封装模式确定当前数据包的类型,然后根据该数据包的类型,在相应的攻击库中判断数据包攻击类型。
所述的规则匹配为:首先由逐行读取规则文件,将规则逐行转化为规则的内部形式,再遍历整个规则链表,对数据包进行匹配,一旦匹配到某条规则,立即停止对规则链表的遍历,执行步骤7。
所述的规则的内部形式为一二维链表;其中,第一维链表用于存储规则中的公共属性,第二维链表存放调整选项。
步骤7的具体步骤为:当被检测的数据包匹配到一条规则时,则发出报警信息并将警报信息记录到指定的文件;同时,自动为防火墙添加一条阻断规则,将发起入侵的源地址记录下来,并切断来自这个地址的所有连接。
本发明在防火墙中实现了实时入侵检测和自动响应,实现了对防火墙安全功能的逻辑补偿。由于防火墙放置在网络的边界点处,使得防火墙可以实时检测到网络中的绝大多数入侵行为,并实时设置阻断规则,将入侵及时阻断。极大地减少了检测到入侵所需的时间和做出反应的时间,可以有效地保证被防火墙保护的网络的安全。
以下结合附图和具体的实施例对本发明做进一步的详细说明。
附图说明:
图1为本发明入侵检测的数据流程图。
具体实施方式:
本发明在防火墙设备中设有入侵检测模块,该模块完成对入侵行为进行检测、报警和响应的功能。
参见图1,防火墙在工作时,其以太端口一般设置为混杂模式;也就是说,与该端口相连的局域网上的所有数据包均会被捕获。每当一个数据包被捕获时,防火墙的入侵检测软件模块首先进行数据包解码的工作。在数据包被处理的整个过程中,数据包结构中的各个字段可在不同的阶段被得到,整个数据包的轮廓越来越清晰。数据包处理结束时,该数据包被交给数据链路层进行解码,填写相应数据包结构与数据链路层有关的字段,并在结束时进行相关的网络层解码;接下来在网络层也进行相应的解码工作,填写数据包结构与网络层有关的信息,并在结束时判断该数据包是否是为IP包;如果是IP包,则进行相关的传输层解码;当以上工作结束后,让数据包流过防火墙的预处理器,进入检测模块。检测模块的函数遍历整个规则链表,对每一个包进行匹配,一旦匹配到某条规则,立即停止对规则链表的遍历,并触发报警事件;记录日志,发出报警信息,并将警报信息记录到指定的文件中。同时,还自动为防火墙添加一条阻断规则,将发起入侵的源地址列入黑名单,切断来自这个地址的所有连接。
本发明的一实施例中,在进行入侵检测规则匹配时,首先由规则解析器逐行读取规则文件,跳过相应的注释行、空行,去除多余的空格,将规则逐条转化为内部形式。这里所提到的规则的内部形式是一个二维链表;其中,横向链表称为“链头”,纵向链表称为“链选项”。规则中的公共属性被提取出来放在“链头”中,而调整选项则放在“链选项”中。例如:如果规则库中有45条针对“CGI-BIN probe”攻击的检测规则,那么它们的源、目的IP地址和端口号部分通常都是一样的,为了加快检测进程,就把这些公共部分提取出来放进一个“链头”中,而把单独的每一条规则的检测特征放进“链头”中。按照协议的不同,每一种规则链又分为3种规则集(TCP、UDP和ICMP)。由此可以提高匹配速度,增强性能,同时减少对防火墙设备整体性能的影响。
为了提高检测速度和效率,本发明还采用了协议分析的方法。其主要原理是:根据数据包的封装模式确定当前包是何种类型的包,然后根据该数据包类型,在该类攻击库中找到相应的数据包攻击类型。
举例说明:根据协议规则可知,一个以太网的数据帧在第13个字节的位置有两个字节的第三层协议标识,所以第一步就是跳过前12字节,直接读取13、14字节,如果为:0800(十六进制),则为IP包。根据IP包规则可知,在第24字节的位置处有一个字节的第四层协议标识,所以第二步就直接读取第24字节,如为06,则为TCP包,在第35字节的位置有两个字节的应用层协议标识,第三步就是跳到35字节处读取数据,如为0800(十六进制),则为超文本传输协议(Hypertext Transfer Protocol,简称HTTP)数据包,第四步就是通知HTTP分析器到55字节处读取统一资源位置(Uniform Resource Locator,简称URL),然后分析是否为攻击行为。
事实上,一个分析器为一个命令解释程序,本发明的检测引擎中包含多个命令分析器,可以对远程登录(Telnet)、文件传输协议(File TransferProtocol,简称FTP)、HTTP、简单网络管理协议(Simple Network ManagementProtocol,简称SNMP)、简单邮件传输协议(Simple Message TransferProtocol,简称SMTP)、域名服务器(Domain Name Server,简称DNS)等多种应用进行详细的分析。使得每个分析器的特征数据库相对小,可以大大提高准确率和检测效率,降低了计算复杂度和系统负担。
当防火墙的入侵检测模块发现入侵行为时,除了往日志里写报警信息外,还可以根据系统管理员的设置进行自动响应和报警。具体的做法是:立即增加一条阻断规则,将发起入侵的源地址列入黑名单,切断来自这个地址的所有连接;然后在一定的时间间隔(例如<=5分钟)后,去除该条阻断规则,将该地址解锁。同时往预先设置的报警邮箱发送报警邮件,并亮起防火墙的入侵报警灯,提醒系统管理员有入侵事件发生。
最后所应说明的是:以上实施例仅用以说明而非限制本发明的技术方案,尽管参照上述实施例对本发明进行了详细说明,本领域的普通技术人员应当理解:依然可以对本发明进行修改或者等同替换,而不脱离本发明的精神和范围的任何修改或局部替换,其均应涵盖在本发明的权利要求范围当中。
Claims (8)
1、一种防火墙入侵检测与响应的方法,其特征在于它包括:
步骤1:在数据链路层捕获每一数据包;
步骤2:对每一数据包进行初步解码,区分网络类型;
步骤3:根据网络类型进行相应的网络层解码,并分析数据包的网络协议;
步骤4:如果为IP协议,则根据相应的传输协议对数据包进一步解码,然后执行步骤6;
步骤5:如果不为IP协议则执行步骤7;
步骤6:协议分析,并进行规则匹配;
步骤7:记录入侵日志,发出报警信息,并自动添加防火墙的阻断规则。
2、根据权利要求1所述的防火墙入侵检测与响应的方法,其特征在于:所述的网络类型至少包括:Ethernet、PPP和Token Ring。
3、根据权利要求1所述的防火墙入侵检测与响应的方法,其特征在于:所述的网络协议至少包括:IP、IPX和ARP。
4、根据权利要求1所述的防火墙入侵检测与响应的方法,其特征在于:所述的数据协议至少包括:TCP、UDP和ICMP。
5、根据权利要求1所述的防火墙入侵检测与响应的方法,其特征在于:所述的协议分析为:根据数据包的封装模式确定当前数据包的类型,然后根据该数据包的类型,在相应的攻击库中判断数据包攻击类型。
6、根据权利要求1所述的防火墙入侵检测与响应的方法,其特征在于:所述的规则匹配为:首先由逐行读取规则文件,将规则逐行转化为规则的内部形式,再遍历整个规则链表,对数据包进行匹配,一旦匹配到某条规则,立即停止对规则链表的遍历,执行步骤7。
7、根据权利要求6所述的防火墙入侵检测与响应的方法,其特征在于:所述的规则的内部形式为一二维链表;其中,第一维链表用于存储规则中的公共属性,第二维链表存放调整选项。
8、根据权利要求1所述的防火墙入侵检测与响应的方法,其特征在于:步骤7的具体步骤为:当被检测的数据包匹配到一条规则时,则发出报警信息并将警报信息记录到指定的文件;同时,自动为防火墙添加一条阻断规则,将发起入侵的源地址记录下来,并切断来自这个地址的所有连接。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN02100851A CN1435977A (zh) | 2002-02-01 | 2002-02-01 | 防火墙入侵检测与响应的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN02100851A CN1435977A (zh) | 2002-02-01 | 2002-02-01 | 防火墙入侵检测与响应的方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN1435977A true CN1435977A (zh) | 2003-08-13 |
Family
ID=27627301
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN02100851A Pending CN1435977A (zh) | 2002-02-01 | 2002-02-01 | 防火墙入侵检测与响应的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN1435977A (zh) |
Cited By (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1309214C (zh) * | 2004-12-20 | 2007-04-04 | 华中科技大学 | 基于协同入侵检测的大规模网络安全防御系统 |
| CN1320800C (zh) * | 2003-09-22 | 2007-06-06 | 国际商业机器公司 | 响应入侵的方法和系统 |
| WO2007115457A1 (fr) * | 2006-04-06 | 2007-10-18 | Huawei Technologies Co., Ltd. | Point d'application de politiques et procédé et système de liaison pour système de détection d'intrus |
| CN100350769C (zh) * | 2004-01-14 | 2007-11-21 | 国际商业机器公司 | 使用网络处理器和并行模式检测引擎检测侵入 |
| CN100356722C (zh) * | 2004-04-30 | 2007-12-19 | 中国科学院软件研究所 | 应用协议数据安全交换的方法 |
| CN100362809C (zh) * | 2005-07-05 | 2008-01-16 | 华为技术有限公司 | 一种对bt客户端数据传输的控制方法 |
| CN100477643C (zh) * | 2006-09-22 | 2009-04-08 | 中国科学院计算技术研究所 | 基于共享内存实现的数据包捕获方法 |
| CN101841470A (zh) * | 2010-03-29 | 2010-09-22 | 东南大学 | 一种基于Linux的底层数据包的高速捕获方法 |
| CN101141305B (zh) * | 2007-10-08 | 2010-11-24 | 福建星网锐捷网络有限公司 | 网络安全防御系统、方法和安全管理服务器 |
| CN101789883B (zh) * | 2009-01-23 | 2012-03-28 | 英业达股份有限公司 | 一种入侵检测的数据获取方法 |
| CN101420425B (zh) * | 2007-10-23 | 2012-05-30 | 国际商业机器公司 | 用于保护网络的方法和设备 |
| CN101599963B (zh) * | 2009-06-10 | 2012-07-04 | 电子科技大学 | 网络疑似威胁信息筛选器及筛选处理方法 |
| CN1612135B (zh) * | 2003-10-30 | 2012-07-04 | 北京神州绿盟信息安全科技股份有限公司 | 一种基于训练分类的协议识别方法 |
| CN101707601B (zh) * | 2009-11-23 | 2012-09-05 | 成都市华为赛门铁克科技有限公司 | 入侵防御检测方法、装置和网关设备 |
| CN103532943A (zh) * | 2013-10-08 | 2014-01-22 | 北京神州绿盟信息安全科技股份有限公司 | web应用防火墙设备和安全防护日志的异步处理方法 |
| CN104104675A (zh) * | 2014-06-24 | 2014-10-15 | 赖洪昌 | Internet控制报文协议伪装捕获与分析技术 |
| CN104702584A (zh) * | 2013-12-10 | 2015-06-10 | 中国科学院沈阳自动化研究所 | 一种基于自学习规则的Modbus通信访问控制方法 |
| CN104717088A (zh) * | 2013-12-17 | 2015-06-17 | 北京中科网威信息技术有限公司 | 一种基于十字链表的工业防火墙规则库分析方法 |
| WO2019165883A1 (zh) * | 2018-03-01 | 2019-09-06 | 中兴通讯股份有限公司 | 数据的处理方法及装置 |
| WO2020076508A1 (en) * | 2018-10-11 | 2020-04-16 | Mcafee, Llc | Methods and apparatus to detect and prevent host firewall bypass threats through a data link layer |
| CN112804238A (zh) * | 2021-01-19 | 2021-05-14 | 青岛至心传媒有限公司 | 一种基于互联网的电商平台入侵检测前端接口扫描方法 |
| CN114900347A (zh) * | 2022-04-28 | 2022-08-12 | 重庆长安汽车股份有限公司 | 一种基于以太网的入侵检测方法及数据包分发方法 |
-
2002
- 2002-02-01 CN CN02100851A patent/CN1435977A/zh active Pending
Cited By (26)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1320800C (zh) * | 2003-09-22 | 2007-06-06 | 国际商业机器公司 | 响应入侵的方法和系统 |
| CN1612135B (zh) * | 2003-10-30 | 2012-07-04 | 北京神州绿盟信息安全科技股份有限公司 | 一种基于训练分类的协议识别方法 |
| CN100350769C (zh) * | 2004-01-14 | 2007-11-21 | 国际商业机器公司 | 使用网络处理器和并行模式检测引擎检测侵入 |
| CN100356722C (zh) * | 2004-04-30 | 2007-12-19 | 中国科学院软件研究所 | 应用协议数据安全交换的方法 |
| CN1309214C (zh) * | 2004-12-20 | 2007-04-04 | 华中科技大学 | 基于协同入侵检测的大规模网络安全防御系统 |
| CN100362809C (zh) * | 2005-07-05 | 2008-01-16 | 华为技术有限公司 | 一种对bt客户端数据传输的控制方法 |
| WO2007115457A1 (fr) * | 2006-04-06 | 2007-10-18 | Huawei Technologies Co., Ltd. | Point d'application de politiques et procédé et système de liaison pour système de détection d'intrus |
| CN100477643C (zh) * | 2006-09-22 | 2009-04-08 | 中国科学院计算技术研究所 | 基于共享内存实现的数据包捕获方法 |
| CN101141305B (zh) * | 2007-10-08 | 2010-11-24 | 福建星网锐捷网络有限公司 | 网络安全防御系统、方法和安全管理服务器 |
| CN101420425B (zh) * | 2007-10-23 | 2012-05-30 | 国际商业机器公司 | 用于保护网络的方法和设备 |
| CN101789883B (zh) * | 2009-01-23 | 2012-03-28 | 英业达股份有限公司 | 一种入侵检测的数据获取方法 |
| CN101599963B (zh) * | 2009-06-10 | 2012-07-04 | 电子科技大学 | 网络疑似威胁信息筛选器及筛选处理方法 |
| CN101707601B (zh) * | 2009-11-23 | 2012-09-05 | 成都市华为赛门铁克科技有限公司 | 入侵防御检测方法、装置和网关设备 |
| CN101841470A (zh) * | 2010-03-29 | 2010-09-22 | 东南大学 | 一种基于Linux的底层数据包的高速捕获方法 |
| CN101841470B (zh) * | 2010-03-29 | 2012-10-10 | 东南大学 | 一种基于Linux的底层数据包的高速捕获方法 |
| CN103532943A (zh) * | 2013-10-08 | 2014-01-22 | 北京神州绿盟信息安全科技股份有限公司 | web应用防火墙设备和安全防护日志的异步处理方法 |
| CN104702584B (zh) * | 2013-12-10 | 2017-11-28 | 中国科学院沈阳自动化研究所 | 一种基于自学习规则的Modbus通信访问控制方法 |
| CN104702584A (zh) * | 2013-12-10 | 2015-06-10 | 中国科学院沈阳自动化研究所 | 一种基于自学习规则的Modbus通信访问控制方法 |
| CN104717088B (zh) * | 2013-12-17 | 2018-01-16 | 北京中科网威信息技术有限公司 | 一种基于十字链表的工业防火墙规则库分析方法 |
| CN104717088A (zh) * | 2013-12-17 | 2015-06-17 | 北京中科网威信息技术有限公司 | 一种基于十字链表的工业防火墙规则库分析方法 |
| CN104104675A (zh) * | 2014-06-24 | 2014-10-15 | 赖洪昌 | Internet控制报文协议伪装捕获与分析技术 |
| WO2019165883A1 (zh) * | 2018-03-01 | 2019-09-06 | 中兴通讯股份有限公司 | 数据的处理方法及装置 |
| WO2020076508A1 (en) * | 2018-10-11 | 2020-04-16 | Mcafee, Llc | Methods and apparatus to detect and prevent host firewall bypass threats through a data link layer |
| US11290469B2 (en) | 2018-10-11 | 2022-03-29 | Mcafee, Llc | Methods and apparatus to detect and prevent host firewall bypass threats through a data link layer |
| CN112804238A (zh) * | 2021-01-19 | 2021-05-14 | 青岛至心传媒有限公司 | 一种基于互联网的电商平台入侵检测前端接口扫描方法 |
| CN114900347A (zh) * | 2022-04-28 | 2022-08-12 | 重庆长安汽车股份有限公司 | 一种基于以太网的入侵检测方法及数据包分发方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1435977A (zh) | 防火墙入侵检测与响应的方法 | |
| US7587762B2 (en) | Intrusion detection system and network flow director method | |
| EP2767056B1 (en) | A method and a system to detect malicious software | |
| US6609205B1 (en) | Network intrusion detection signature analysis using decision graphs | |
| US6792546B1 (en) | Intrusion detection signature analysis using regular expressions and logical operators | |
| CN110401624A (zh) | 源网荷系统交互报文异常的检测方法及系统 | |
| US8751787B2 (en) | Method and device for integrating multiple threat security services | |
| US20060031928A1 (en) | Detector and computerized method for determining an occurrence of tunneling activity | |
| US20030084326A1 (en) | Method, node and computer readable medium for identifying data in a network exploit | |
| US20060156404A1 (en) | Intrusion detection system | |
| CN110958231A (zh) | 基于互联网的工控安全事件监测平台及其方法 | |
| CN106790193A (zh) | 基于主机网络行为的异常检测方法和装置 | |
| CN109639733A (zh) | 适用于工控系统的安全检测与监控系统 | |
| Zhou et al. | Netsecradar: A visualization system for network security situational awareness | |
| Peterson | Quickdraw: Generating security log events for legacy SCADA and control system devices | |
| CN107864110A (zh) | 僵尸网络主控端检测方法和装置 | |
| CN115664833B (zh) | 基于局域网安全设备的网络劫持检测方法 | |
| CN111030970B (zh) | 一种分布式访问控制方法、装置及存储设备 | |
| Nagy et al. | Low-reaction time FPGA-based DDoS detector | |
| CN116781315A (zh) | 一种基于egd协议的攻击检测方法 | |
| CN115883169A (zh) | 基于蜜罐系统的工控网络攻击报文响应方法及响应系统 | |
| CN114553546B (zh) | 基于网络应用的报文抓取的方法和装置 | |
| CN113596037B (zh) | 一种基于网络全流量中事件关系有向图的apt攻击检测方法 | |
| CN115801441A (zh) | 一种列车通信网络的安全防护系统及方法 | |
| CN213693762U (zh) | 一种网络入侵防御系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| ASS | Succession or assignment of patent right |
Owner name: LEGEND WANGYU TECHNOLOGY (BEIJING) LTD. Free format text: FORMER OWNER: LIANXIANG (BEIJING) CO. LTD. Effective date: 20050218 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20050218 Address after: 100086, room 801-810, CLP information building, 6 South Avenue, Beijing, Haidian District, Zhongguancun Applicant after: Lenovo Wangyu Technology (Beijing) Ltd. Address before: 100085, No. 6, Pioneer Road, Haidian District information industry base, Beijing Applicant before: Lenovo (Beijing) Co., Ltd. |
|
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |