WO2007115457A1 - Point d'application de politiques et procédé et système de liaison pour système de détection d'intrus - Google Patents

Description

一种策略执行点及其与入侵检测系统联动的方法和系统 本申请要求于 2006 年 04 月 06 日提交中国专利局、 申请号为 200610034927.2,发明名称为 "一种策略执行点及其与入侵检测系统联动 的方法" 的中国专利申请的优先权， 其全部内容通过引用结合在本申请 中。 技术领域

本发明属于信息网絡安全技术领域， 涉及一种网络安全设备的联动 方法， 尤其是策略执行点及其与入侵检测系统联动的方法和系统。 背景技术

策略执行点设备用于分隔内网和外网， 对网络的安全有着重要的意 义。 策略执行点 （PEP, Policy Enforcement Point, )是接受策略管理的网 络实体， 通常也被称作策略客户端。 它一般位于网络节点上， 它实际执 行策略决策，可以是路由器、交换机、虚拟专用网（ VPN， Virtual Pr ivate Network ) 网关以及防火墙等网络设备， 负责执行由策略决策点 （PDP， Policy Decision Point )分配来的策略， 同时它还向策略决策点发送信息， 使策略决策点知道网络的变化以及策略的执行情况。 由于策略执行点自 身具有一定的局限性， 如检查的颗粒度较粗， 难以对众多的协议细节进 行深入的分析与检查， 并且策略执行点具有防外不防内的特性， 难以对 内部用户的非法行为和已经渗透的攻击进行有效的检查的防范， 因此， 策略执行点开放相关接口， 与其它安全软件实现联动， 通过多种技术的 组合， 构建一个安全的网络， 成为一种需要。 策略执行点与入侵检测系 统（IDS, Intrude Detection System)软件联动， 可以充分利用 IDS软件的 功能， 对流经网络的报文进行详细的分析与检查， 探测各种可能的异常 情况和攻击行为， 并通过策略执行点进行实时的响应。

策略执行点 PEP与 IDS软件联动的组网方式如图 1所示： 策略执行 点 PEP位于内外网之间， IDS服务器和管理服务器位于内网， IDS服务器 根据 IDS探测器采集到的信息， 确认非法行为和攻击的产生， 并报告给 管理服务器和策略执行点 PEP, 由策略执行点 PEP采取相应的措施对攻 击源或目的用户进行阻断或列入黑名单。 入侵检测系统 IDS的功能主要 是通过监听的方式对数据流进行分析， 发现入侵行为 （如试图刺探内网 结构、 攻击内部服务器等） 。 策略执行点提供与第三方 IDS软件的联动 接口， 当 IDS服务器检测到异常或攻击行为时， 将通过该接口发送信息 到策略执行点 PEP, 由策略执行点采取相应的限制措施（如将用户列入 黑名单等） 。 现在策略执行点 PEP与 IDS软件很多通过网管实现联动： IDS软件 与策略执行点之间并没有直接的接口， 所有的操作通过网管来完成。 IDS 服务器通过简单网络管理协议（S MP, Simple Network Management Protocol ) 向网管报告入侵行为的发生， 由管理员通过网管系统向策略执 行点发送消息， 通过策略执行点 PEP对入侵行为进行响应， 如设置访问 控制列表（ACL, Access Control List )规则进行阻断， 或者将攻击源或目 的用户列入黑名单等。 这种联动方式， 需要网管的支持， 在许多应用场 合， 并没有一个统一的网管来管理策略执行点和 IDS软件。 发明内容

本发明实施例提供一种策略执行点及其与入侵检测系统联动的方法 和系统， 可实现两者间安全高效的联动。

本发明实施例提供一种策略执行点与入侵检测系统联动的方法， 包 括：

入侵检测系统与策略执行点之间直接建立联动连接；

所述策略执行点与所述入侵检测系统之间保持通信；

所述入侵检测系统检测攻击行为，并将检测结果发送给所述策略执行 占，

所述策略执行点根据所述检测结果进行相应的操作。

本发明实施例提供一种策略执行点， 包括：

通信模块，用于与入侵检测系统之间直接建立联动连接并保持通信； 接收所述入侵检测系统发送来的检测结果并通知执行模块；

执行模块， 根据所述检测结果进行相应的操作。

本发明实施例提供一种入侵检测系统， 包括： 检测单元， 用于检测攻击行为；

通信单元， 用于与策略执行点之间直接建立联动连接并保持通信， 将所述检测单元的检测结果发送给所述策略执行点。

本发明实施例提供的方案中， 消息交互建立在 TCP连接之上。 消息 格式是私有的， IDS软件不能通过其它联动协议来与策略执行点建立连接 及联动。 一个协议报文只携带一个消息， 如果有仿冒协议报文的攻击， 可能会造成 TCP连接断掉， 此时将会重新连接。

本发明实施例提供的方案提升了入侵检测系统的安全防御能力， 有 效防止了伪消息和其他各种攻击， 同时实现较高效率的联动。 提高了安 全产品的整体防护能力。 附图说明

图 1是策略执行点与入侵检测系统联动的典型组网结构示意图。 图 2是本发明的一个具体实施例中策略执行点与入侵检测系统实现 联动的过程示意图。

图 3 是本发明的一个具体实施例中策略执行点与入侵检测系统联动 协议消息处理流程图。 具体实施方式

为使本领域技术人员更加清楚地理解本发明的技术原理及特性和优 点， 下面结合具体实施例对本发明予以描述。

图 2是本发明的一个具体实施例中策略执行点与入侵检测系统实现 联动的过程示意图， 如图 2所示， 该实施例提供一种策略执行点与入侵 检测系统联动的方法， 包括以下步骤：

入侵检测系统与策略执行点之间直接建立联动连接；

所述策略执行点与所述入侵检测系统之间保持通信；

所述入侵检测系统检测攻击行为，并将检测结果发送给所述策略执行

.占- 所述策略执行点根据所述检测结果进行相应的操作。

进一步地， 策略执行点 PEP与入侵检测系统建立联动连接的流程至 少包括如下步骤：

步據 01: 入侵检测系统 IDS软件发起建立联动连接请求， 所发送的 联动连接请求中携带 IDS软件的相关信息；

步骤 02: 策略执行点检查上述 IDS软件的相关信息， 判断是否允许 联动连接， 如果连接不允许， 执行步骤 03; 如果联动连接清求被允许， 则执行步驟 04;

步驟 03: 策略执行点 PEP发送联动连接拒绝消息， 并关闭传输控制 协议 ( TCP, Transmission Control Protocol )连接；

步骤 04: 策略执行点 PEP发送联动连接响应消息。

策略执行点与入侵检测系统保持通信的流程至少包括如下步驟： 步骤 11: 在策略执行点 PEP与 IDS软件之间定时发送 '保活' 消息， 以表明两端均处于激活状态；

步骤 12: 联动连接建立成功之后， 策略执行点接收 IDS软件发来的 联动数据。

策略执行点 PEP 与入侵检测系统处理攻击的流程至少包括如下步 驟：

步骤 13: 消息连接过程中， IDS如果发现攻击， 向策略执行点 PEP 发送联动数据， 请求阻断；

步骤 14: 策略执行点 PEP根据联动数据执行相应操作， 响应阻断结 果；

步骤 15: 策略执行点 PEP与 IDS任一方关闭 TCP连接，释放联动连 接。

所述步骤 01发送的连接请求消息中包括 IDS类型、 IDS版本、 加密 方式、 联动协议版本号和用于认证的数据， 所述用于认证的数据根据加 密方式得到。

本发明实施例中的消息交互建立在 TCP连接之上。 消息格式是私有 的， IDS软件不能通过其它联动协议来与策略执行点建立连接及联动。一 个协议报文只携带一个消息， 如果有仿冒协议^ =艮文的攻击， 可能会造成 TCP连接断掉， 此时将会重新连接。 相应地， 本发明的实施例还提供一种策略执行点， 其包括： 通信模块，用于与入侵检测系统之间直接建立联动连接并保持通信； 接收所述入侵检测系统发送来的检测结果并通知执行模块；

执行模块， 根据所述检测结果进行相应的操作。

进一步， 所述的连接模块还包括检查模块， 其对接收到的连接请求 消息中根据入侵检测系统 IDS类型、 IDS版本、 加密方式、 联动协议版 本号、 认证数据进行检查， 检查通过则允许联动连接， 否则拒绝联动连 接。

所述连接模块与入侵检测系统之间首先建立 TCP连接， 联动连接的 相关消息， 如联动连接请求消息、 拒绝消息等， 通过 TCP连接来发送或 接收。

相应地， 本发明的实施例还提供一种入侵检测系统 , 包括： 检测单元， 用于检测攻击行为；

通信单元， 用于与策略执行点之间直接建立联动连接并保持通信， 将所述检测单元的检测结果发送给所述策略执行点。

本发明的一个具体实施例中策略执行点与入侵检测系统联动协议消 息处理流程， 如图 3所示。

入侵检测系统作为客户端， 而策略执行点作为服务器端通过 TCP连 接进行交互。

具体交互过程上文中已描述， 在此不再赘述。

本发明的具体实施方案中， 消息格式如下：

(1). 连接请求消息 （ Connect req. ) , 如表 1所示，

15 31

表 1 消息类型： 连接请求消息， 取值为 1; 版本： 联动协议版本号， 取值为 1.0;

长度： 报文长度；

IDS类型： IDS软件类型； IDS版本： IDS软件的版本号；

加密方式： 取 0表示不加密， 取 1表示采用 MD5算法进行加密； 端口： IDS软件处理的联动协议的版本号，取值为 Oxfffffl†表示与策略 执行点侧的一致；

认证数据： 用于认证的数据（根据加密方式得到的数据） 。

(2). 连接拒绝消息 （ Connect rej. ) , 如表 2所示，

15 31

表 2

消息类型： 连接拒绝消息， 取值为 2;

版本： 联动协议版本号， 取值为 1.0;

长度： 报文长度， 取值为 4 (字节） 。

(3). 连接响应消息 ( Connect resp. ) , 如表 3所示,

15 31

表 3

消息类型： 连接响应消息， 取值为 3; 版本： 联动协议版本号， 取值 为 1.0; 长度： 报文长度， 取值为 8 (字节） ；

策略执行点类型： 策略执行点类型； 策略执行点版本： 策略执行点 的版本号。

(4). 阻断请求消息 ( Block req. ) , 如表 4所示， 15 31

消息类型 版本 保留 长度 保留

序列号

源 IP地址

源 IP地址掩码

目的 IP地址

目的 IP地址掩码

源端口 目的端口

协议类型 动作指示 保留

时间值

*:是否需要响应

表 4

消息类型： 阻断请求消息， 取值为 4; 版本： 联动协议版本号， 取 值为 1.0; 长度： 报文长度；

序列号： 标识当前报文内容， 用于策略执行点响应时指示当前阻断 请求是否执行成功， 取值为 OxffffffffH†, 表明策略执行点响应时不能通过 序列号来指示当前消息， 而必须携带消息的内容信息；

源 IP地址： 源 IP地址， 32位值； 源 IP地址掩码：

源 IP地址掩码， 32位值； 目的 IP地址： 目的 IP地址， 32位值； 目的 IP地址掩码： 目的 IP地址掩码， 32位值；

源端口： 源端口号， 当协议类型为 0或为 ICMP协议（Internet Control Message Protocol, 因特网控制报文协议）时， 取值为 0; 目的端口： 目的 端口号， 当协议类型为 0或为 ICMP协议时， 取值为 0;

协议类型： 协议类型为 0时， 表示所有协议；

动作指示： 表明阻断请求的具体动作 （阻断源 IP地址， 阻断目的 IP 地址， 阻断源和目的 IP地址等）； 是否需要响应.' 取值为 0时不需要策略 执行点响应， 取值为 1时需要策略执行点响应；

时间值： 阻断的持续时间， 取值为 0时表示解除阻断（根据相应的动 作指示） ， 取值为 OxffffffffB†表示一直阻断。 (5). 阻断响应消息 ( Block resp. ) , 如表 5所示,

表 5

15 31

消息类型 版本 保留 长度 保留

序列号

源 IP地址

源 IP地址掩码

目的 IP地址

目的 IP地址掩码

源端口 目的端口

协议类型 动作指示 保留 消息类型： 阻断响应消息， 取值为 5; 版本： 联动协议版本号， 取值 为 1.0; 长度： 4艮文长度；

序列号'. 使用收到的 Block req.中的序列号， 当取值不为 OxffffffffH于， 只有 1、 2、 8字段存在，且第 8字段只有 "响应"有意义； 当取值为 Oxffffffff 时， 1-8字段有存在；

源 IP地址： Block req.中的源 IP地址， 32位值； 源 IP地址掩码： Block req.中的源 IP地址掩码 , 3²位值；

目的 IP地址： Block req.中的目的 IP地址， 32位值； 目的 IP地址掩码：

Block req.中的目的 IP地址掩码， 32位值；

源端口： Block req.中的源端口号; 目的端口： Block req.中的目的端 口号； 协议类型： Block req.中的协议类型；

动作指示： Block req.中的动作指示；

响应： 取值为 0时表示策略执行点执行成功， 取值为 1时表示策略执 行点执行失败。

(6). '保活' 消息，

'保活' 消息用于在策略执行点与 IDS软件之间定时发送， 以表明两 端均处于激活状态； 如果不能收到对方的 '保活' 消息， 应该关闭 TCP 连接， 并释放相应资源。 '保活， 消息格式如下， 如表 6所示： 15 31

表 6

从上述本发明实施例提供的方案中可知 , 消息交互建立在 TCP连接 之上。 消息格式是私有的， IDS软件不能通过其它联动协议来与策略执行 点建立连接及联动。 一个协议报文只携带一个消息， 如果有仿冒协议报 文的攻击， 可能会造成 TCP连接断掉， 此时将会重新连接。 因此提升了 入侵检测系统的安全防御能力， 有效防止了伪消息和其他各种攻击， 同 时实现较高效率的联动。 提高了安全产品的整体防护能力。

上述实施例是用于说明和解释本发明的技术方案的。 可以理解， 本 发明的具体实施方式不限于此。 对于本领域技术人员而言， 在不脱离本 发明的实质和范围的前提下进行的各种变更和修改均涵盖在本发明的保 护范围之内。

Claims

权 利 要 求

1、 一种策略执行点与入侵检测系统联动的方法， 其特征在于， 包 括：

入侵检测系统与策略执行点之间直接建立联动连接；

所述策略执行点与所述入侵检测系统之间保持通信；

所述入侵检测系统检测攻击行为 , 并将检测结果发送给所述策略执 行点，

所述策略执行点根据所述检测结果进行相应的操作。 -

2、 根据权利要求 1所述的方法， 其特征在于， 还包括：

所述入侵检测系统与策略执行点之间首先建立 TCP连接，并通过该

TCP连接直接发送或接收所述联动连接的相关消息。

3、 根据权利要求 1所述的方法， 其特征在于， 所述策略执行点与 入侵检测系统之间直接建立联动连接， 包括：

所述入侵检测系统发起建立联动连接的请求，并在所发送的连接请 求消息中携带入侵检测系统的相关信息；

所述策略执行点检查所述入侵检测系统的相关信息，如果所述连接 请求不被允许， 所述策略执行点发送连接拒绝消息， 并关闭所述 TCP 连接；

如果所述连接请求被允许 , 则所述策略执行点发送连接成功消息。

4、 根据权利要求 3所述的方法， 其特征在于， 所述发送的连接请 求消息中包括：

入侵检测系统软件类型、 软件版本、 加密方式、 联动协议版本号和 用于认证的数据， 所述用于认证的数据采用加密措施。

5、根据权利要求 3所述的方法， 其特征在于， 所述连接请求消息格 式是私有的。

6、 根据权利要求 3所述的方法， 其特征在于， 所述通过该 TCP连 接发送或接收所述联动连接的相关消息时，一个协议报文只携带一个消

7、 根据权利要求 1或 2所述的方法， 其特征在于， 所述策略执行 点与所述入侵检测系统之间保持通信， 包括：

在所述策略执行点与所述入侵检测系统之间定时发送 '保活，消息， 使两端均处于激活状态；

所述联动连接建立成功之后，所述策略执行点接收所述入侵检测系 统发来的联动数据。

8、 根据权利要求 1或 2所述的方法， 其特征在于， 所述入侵检测 系统检测攻击并发送检测结果， 包括：

当所述入侵检测系统发现攻击时， 向所述策略执行点发送阻断请 求；

所述策略执行点进行相应的操作包括：

所述策略执行点根据所述阻断请求阻断所述攻击。

9、 一种策略执行点， 其特征在于， 包括：

通信模块，用于与入侵检测系统之间直接建立联动连接并保持通信； 接收所述入侵检测系统发送来的检测结果并通知执行模块；

执行模块， 根据所述检测结果进行相应的操作。

10、 根据权利要求 9所述的策略执行点， 其特征在于， 所述连接模 块与入侵检测系统之间首先建立 TCP连接， 联动连接的相关消息通过 TCP连接来发送或接收。

11、 根据权利要求 9所述的策略执行点， 其特征在于， 还包括检查 模块， 其对接收到的连接请求消息中根据入侵检测系统软类型、 软件版 本、 加密方式、 联动协议版本号、 认证数据进行检查， 检查通过则允许 联动连接， 否则拒绝联动连接。

12、 一种入侵检测系统， 其特征在于， 包括：

检测单元， 用于检测攻击行为；

通信单元， 用于与策略执行点之间直接建立联动连接并保持通信， 将所述检测单元的检测结果发送给所述策略执行点。