专利名称:防火墙与入侵检测系统的联动方法
技术领域:
本发明涉及网络安全技术领域,是一种防火墙与入侵检测系统的联动方法。
背景技术:
随着计算机技术的发展和hternet的广泛应用,网络安全隐患日益严重,在日常的工作中,保证网络安全和系统安全被提升到重要的位置。采用单一的入侵检测(IDS)和防火墙不能及时有效的对网络安全事件做出快速准确的响应。一旦发生异常情况,只能人工做出处理,而且工作效率很低。目前,联动技术都是IDS和防火墙简单的联动。这种简单的联动方式没有达到网络有效性和准确性的要求,只是建立了一种初步的网络安全联动机制,主要存在以下两个方面的问题(1)现有防火墙与IDS的联动对一些网络安全入侵事件不能很好的响应,主要原因是由于IDS的误报率高,对报警信息缺乏关联与归并,造成错误的防火墙联动,封锁正常通信。另一方面,易被黑客利用,通过伪装成源地址为正常通信的 IP地址进行攻击,触发防火墙联动,结果造成拒绝服务攻击;( 通过对防火墙与其他产品联动的实际应用测试来看,大部分产品之间的联动都要通过较为复杂的配置来实现,而且联动响应的有效性不能很好地保证。随着技术的发展,如何有机整合各种网络安全技术,建立一个有效实用的网络安全防护方法,从而有效提升防火墙的机动性和实时反应能力、增强了入侵检测系统的阻断功能,是目前迫切需要解决的问题。高速的安全威胁增长态势已经成为整个安全世界的大背景,传统的依靠人工分析恶意软件特征的安全响应体系,已经无法满足现在的安全防护需要。
发明内容
本发明所要解决的技术问题是,提供一种防火墙与入侵检测系统的联动方法,利用这种方法进行分析响应时,能够避免由于入侵检测系统误报产生的过多的联动规则,提高联动的有效性和准确性,满足网络安全智能化要求。为解决上述技术问题所采用的技术方案是一种防火墙与入侵检测系统的联动方法,其特征是,它包含有[1]入侵检测系统产生的报警信息,经过加密传输至前级信息接发器,并在其中进行解密和认证;[2]对前级信息接发器解密后的报警信息发送至预处理器进行预处理,对信息记录进行抽取清洗,并将有关数据进行规范化处理;[3]将预处理器预处理后的数据发送至分析器进行分析,如果所得到的安全事件等级超出预定阀值则由分析器发送命令至决策器,否则将分析器分析的结果送入关联分析器;[4]将关联分析器的关联分析结果发送至风险评估器中,对现行网络状态进行风险评估,得到当前网络的风险等级和网络运行状态参数;
[5]将风险评估器得到的风险等级和网络运行参数送入决策器作出决策,得到联动的具体信息;[6]将决策器联动的具体信息发送到后级信息接发器,做相关处理后发送给防火墙,实施联动;[7]对前级信息接发器解密、认证的入侵检测日志和后级信息接发器的防火墙的日志集中审计后送入关联分析器。本发明的一种防火墙与入侵检测系统的联动方法,首先入侵检测系统实时地检测网络数据检测到报警时,将报警信息发送到联动系统,然后对信息做预处理,进而进行深入分析,并对网络安全势态进行评估,最后做出相应决策,将决策发送至防火墙。通过基于事件相关性分析,运用基于规则的分析方法,将网络中多样化的安全事件信息进行综合统一处理,利用风险评估确定网络的安全告警事件,进而利用联动技术对安全事故进行处理,能够避免由于入侵检测系统误报产生的过多的联动规则,提高了联动的有效性和准确性,满足了网络安全智能化要求。
图1为本发明防火墙与入侵检测系统的联动方法的方框图。
具体实施例方式参照图1 本发明的防火墙与入侵检测系统的联动方法包含有[1]入侵检测系统产生的报警信息,经过加密传输至前级信息接发器,并在其中进行解密和认证;[2]对前级信息接发器解密后的报警信息发送至预处理器进行预处理,对信息记录进行抽取清洗,并将有关数据进行规范化处理;[3]将预处理器预处理后的数据发送至分析器进行分析,如果所得到的安全事件等级超出预定阀值则由分析器发送命令至决策器,否则将分析器分析的结果送入关联分析器;[4]将关联分析器的关联分析结果发送至风险评估器中,对现行网络状态进行风险评估,得到当前网络的风险等级和网络运行状态参数;[5]将风险评估器得到的风险等级和网络运行参数送入决策器作出决策,得到联动的具体信息;[6]将决策器联动的具体信息发送到后级信息接发器,做相关处理后发送给防火墙,实施联动;[7]对前级信息接发器解密、认证的入侵检测日志和后级信息接发器的防火墙的日志集中经审计器审计后送入关联分析器。本发明的防火墙与入侵检测系统联动方法所涉及的前级信息接发器是网卡或实现该功能的一段程序代码。本发明的防火墙与入侵检测系统的联动方法所涉及的分析器是功能模块。本发明的防火墙与入侵检测系统的联动方法所涉及的风险评估器是风险评估软件或程序中的功能模块。
本发明的防火墙与入侵检测系统的联动方法所涉及的决策器,是程序的个功能模块。本发明的防火墙与入侵检测系统的联动方法所涉及的审计器,是审计软件或程序中的功能模块。本发明的防火墙与入侵检测系统的联动方法所涉及的后级信息接发器,可以是网卡或实现该功能的一段程序代码。本发明的防火墙与入侵检测系统的联动方法中为保证系统自身的安全,从入侵检测系统中得到报警信息,首先通过前级数据接发器对数据解密认证,解密后的数据将传送到预处理器中;在预处理器中系统对数据进行规格化处理,形成统一的格式,以便进行分析处理,同时预处理器去除数据中的冗余信息,减少信息的冗余度,预处理器将处理后的数据统一发送给分析器;分析器根据系统预定义的规则进行分析并根据情况做出相应处理,规则库中的规则是预先定义的,也可以根据实际情况添加或删除;分析器分析的结果送到关联分析器中进行关联分析;关联分析器综合网络的现有的网络运行状况和可能涉及到的网络安全事件做进一步关联分析,得到可能的网络事件发生的概率,并将结果发送到状态评估器;状态评估器根据网络中资源分布情况,并根据关联分析结果对网络安全做进一步评估判断;决策器根据状态评估结果做出相应可实施的决策,最后由信息接发器转换成防火墙联动规则发送至防火墙,实施联动。系统的各部件之间以流水线工作方式运行,每部分产生的数据都是根据上一部件输入所产生的,立即处理并向下一部件传送,以保证系统的实时性。本发明的防火墙与入侵检测系统的联动方法涉及的软件程序依据各自的功能和用途,采用信息自动化、计算机处理等技术编制,其软件程序的编制是本领域技术人员所熟悉的技术。
权利要求
1. 一种防火墙与入侵检测系统的联动方法,其特征是,它包含有[1]入侵检测系统产生的报警信息,经过加密传输至前级信息接发器,并在其中进行解密和认证;[2]对前级信息接发器解密后的报警信息发送至预处理器进行预处理,对信息记录进行抽取清洗,并将有关数据进行规范化处理;[3]将预处理器预处理后的数据发送至分析器进行分析,如果所得到的安全事件等级超出预定阀值则由分析器发送命令至决策器,否则将分析器分析的结果送入关联分析器;[4]将关联分析器的关联分析结果发送至风险评估器中,对现行网络状态进行风险评估,得到当前网络的风险等级和网络运行状态参数;[5]将风险评估器得到的风险等级和网络运行参数送入决策器作出决策,得到联动的具体信息;[6]将决策器联动的具体信息发送到后级信息接发器,做相关处理后发送给防火墙,实施联动;[7]对前级信息接发器解密、认证的入侵检测日志和后级信息接发器的防火墙的日志集中审计后送入关联分析器。
全文摘要
一种涉及网络防护用的防火墙与入侵检测系统的联动方法,其特点是,将入侵检测系统产生的报警信息,经过加密传输至前级信息接发器进行解密和认证后发送至预处理器;预处理器对信息记录进行抽取清洗的预处理后发送至分析器;分析器如果所得到的安全事件等级超出预定阀值则发送命令至决策器,否则将分析结果送入关联分析器;关联分析器进行关联分析后将结果发送至风险评估器;风险评估器对现行网络状态进行风险评估得到的当前网络的风险等级和网络运行状态参数送入决策器;决策器将联动的具体信息发送到后级信息接发器,作相关处理后发送给防火墙实施联动;对前级信息接发器的入侵检测日志和后级信息接发器的防火墙日志集中审计后送入关联分析器。
文档编号H04L29/06GK102164129SQ20111007108
公开日2011年8月24日 申请日期2011年3月19日 优先权日2011年3月19日
发明者娄建楼, 崔宏杰, 曲朝阳, 王蕾, 董如意, 郭晓利, 阚运奇 申请人:东北电力大学