專(zhuān)利名稱:一種入侵檢測(cè)系統(tǒng)與網(wǎng)絡(luò)設(shè)備聯(lián)動(dòng)的系統(tǒng)及方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域���,更具體地,本發(fā)明涉及一種入侵檢測(cè)系統(tǒng)(IDS)與網(wǎng)絡(luò)設(shè)備聯(lián)動(dòng)的系統(tǒng)及方法���。
背景技術(shù):
隨著計(jì)算機(jī)技術(shù)的飛速發(fā)展�,網(wǎng)絡(luò)在人們的日常生活�����、學(xué)習(xí)和工作中發(fā)揮的作用越來(lái)越大。由此帶來(lái)的各種網(wǎng)絡(luò)業(yè)務(wù)也在辦公和生活中獲得了普及與推廣�。網(wǎng)絡(luò)在給人們帶來(lái)極大方便的同時(shí),網(wǎng)絡(luò)安全問(wèn)題也日益受到人們的重視�����。目前����,各種網(wǎng)絡(luò)攻擊行為層出不窮�,對(duì)網(wǎng)絡(luò)安全造成了極大的危害。網(wǎng)絡(luò)攻擊經(jīng)常會(huì)造成機(jī)器故障����、網(wǎng)絡(luò)癱瘓,而且通常還會(huì)帶來(lái)極大的經(jīng)濟(jì)損失�����。目前常見(jiàn)的網(wǎng)絡(luò)攻擊行為主要有蠕蟲(chóng)傳播�、口令竊取、病毒攻擊等��。
網(wǎng)絡(luò)攻擊行為現(xiàn)在已逐步向高層轉(zhuǎn)移,攻擊者已經(jīng)不常用操作系統(tǒng)和網(wǎng)絡(luò)設(shè)備的本身安全問(wèn)題來(lái)入侵和攻擊�����,而是將攻擊的目標(biāo)轉(zhuǎn)向高層應(yīng)用����。與此同時(shí),目前常見(jiàn)的網(wǎng)絡(luò)攻擊手法也融合了多種技術(shù)�����,比如蠕蟲(chóng)就融合了緩沖區(qū)溢出技術(shù)����、網(wǎng)絡(luò)掃描技術(shù)和病毒感染技術(shù)。
IDS系統(tǒng)通過(guò)收集和分析計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)信息���,能夠發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象�����。然而���,單獨(dú)的IDS系統(tǒng)并不能很好地保證網(wǎng)絡(luò)的安全性�����。比如�,如果交換機(jī)����、路由器等網(wǎng)絡(luò)設(shè)備只負(fù)責(zé)數(shù)據(jù)的傳送,那么即使IDS能夠檢查出攻擊報(bào)文�����,也并不能阻斷攻擊報(bào)文的傳播���。
因此,如果網(wǎng)絡(luò)設(shè)備和IDS之間能夠聯(lián)動(dòng)����,從而形成一個(gè)統(tǒng)一的網(wǎng)絡(luò)平臺(tái),并且進(jìn)而在這個(gè)統(tǒng)一的平臺(tái)上切斷各種網(wǎng)絡(luò)攻擊的傳播途徑�,顯然可以更好地保證網(wǎng)絡(luò)的安全性。
圖1為現(xiàn)有技術(shù)中IDS與網(wǎng)絡(luò)設(shè)備的聯(lián)動(dòng)組網(wǎng)結(jié)構(gòu)示意圖����。如圖1所示��,當(dāng)攻擊者試圖攻擊企業(yè)數(shù)據(jù)中心時(shí)�����,交換機(jī)通過(guò)設(shè)置鏡像端口�,將攻擊者發(fā)出的數(shù)據(jù)流鏡像到IDS設(shè)備�;IDS設(shè)備分析數(shù)據(jù)流,當(dāng)發(fā)現(xiàn)數(shù)據(jù)流中的攻擊報(bào)文時(shí)產(chǎn)生特定的數(shù)據(jù)報(bào)文�����,其中將需要阻斷或者限制流量的報(bào)文特征組裝成簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議(SNMP)報(bào)文發(fā)送到交換機(jī)上���;交換機(jī)根據(jù)IDS發(fā)送過(guò)來(lái)的報(bào)文特征���,下發(fā)訪問(wèn)控制列表(ACL)規(guī)則到其自身的特定端口,從而實(shí)現(xiàn)對(duì)攻擊報(bào)文的阻斷����。
在現(xiàn)有的這種IDS與網(wǎng)絡(luò)設(shè)備的聯(lián)動(dòng)技術(shù)中,當(dāng)檢測(cè)出攻擊報(bào)文后�,IDS會(huì)向所有聯(lián)動(dòng)設(shè)備發(fā)送聯(lián)動(dòng)報(bào)文以執(zhí)行聯(lián)動(dòng),而并不能有選擇地向某幾個(gè)聯(lián)動(dòng)設(shè)備發(fā)送聯(lián)動(dòng)報(bào)文���,這就造成聯(lián)動(dòng)的開(kāi)關(guān)控制并不細(xì)化�,聯(lián)動(dòng)非常盲目。實(shí)質(zhì)上�,當(dāng)檢測(cè)出攻擊報(bào)文后,并不一定需要所有的聯(lián)動(dòng)設(shè)備執(zhí)行聯(lián)動(dòng)�,比如,可能僅需要某個(gè)網(wǎng)段之內(nèi)的聯(lián)動(dòng)設(shè)備���,或某種型號(hào)的聯(lián)動(dòng)設(shè)備執(zhí)行聯(lián)動(dòng)�����。另外���,在現(xiàn)有的聯(lián)動(dòng)技術(shù)中�����,只能實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)設(shè)備的聯(lián)動(dòng)控制�����,卻并不能實(shí)現(xiàn)對(duì)具體接口的聯(lián)動(dòng)控制�����。
同時(shí),在現(xiàn)有技術(shù)中����,用戶不能自定義聯(lián)動(dòng)的策略。對(duì)于同一個(gè)聯(lián)動(dòng)設(shè)備�,聯(lián)動(dòng)的策略往往是相同的,不管面對(duì)何種網(wǎng)絡(luò)攻擊�����,IDS都會(huì)以該聯(lián)動(dòng)策略發(fā)送聯(lián)動(dòng)報(bào)文��,這就不能體現(xiàn)各種攻擊的差異性���。另外���,現(xiàn)有技術(shù)中聯(lián)動(dòng)報(bào)文的格式是固定的,并不能進(jìn)行擴(kuò)展���,從而不便于擴(kuò)展新的聯(lián)動(dòng)策略����。
另外,現(xiàn)有技術(shù)中執(zhí)行聯(lián)動(dòng)時(shí)�,只支持阻斷數(shù)據(jù)流,并不支持限流�����。然而���,很多情況下只需要對(duì)數(shù)據(jù)流進(jìn)行限制�����,并不需要徹底阻斷數(shù)據(jù)流�,比如當(dāng)攻擊機(jī)通過(guò)ftp向企業(yè)數(shù)據(jù)中心的某臺(tái)設(shè)備傳送文件時(shí)�,可能只需要對(duì)ftp的流量進(jìn)行限制,而不用進(jìn)行阻斷���。
發(fā)明內(nèi)容
有鑒于此�,本發(fā)明的主要目的是提出一種IDS與網(wǎng)絡(luò)設(shè)備聯(lián)動(dòng)的系統(tǒng)����,以使IDS與網(wǎng)絡(luò)設(shè)備之間的聯(lián)動(dòng)更加細(xì)化。
本發(fā)明的另一目的是提出一種IDS和網(wǎng)絡(luò)設(shè)備聯(lián)動(dòng)的方法���,以使IDS與網(wǎng)絡(luò)設(shè)備之間的聯(lián)動(dòng)更加細(xì)化�����。
為達(dá)到上述目的�����,本發(fā)明的技術(shù)方案是這樣實(shí)現(xiàn)的一種IDS與網(wǎng)絡(luò)設(shè)備聯(lián)動(dòng)的系統(tǒng)�����,該系統(tǒng)包括IDS��,用于檢測(cè)數(shù)據(jù)流中是否包含攻擊報(bào)文�����,網(wǎng)絡(luò)設(shè)備聯(lián)動(dòng)組���,包括至少一個(gè)網(wǎng)絡(luò)設(shè)備;其中����,所述網(wǎng)絡(luò)設(shè)備接收數(shù)據(jù)流后���,將數(shù)據(jù)流鏡像到IDS,當(dāng)IDS檢測(cè)到所接收到的數(shù)據(jù)流中包含攻擊報(bào)文時(shí)�,便向所述網(wǎng)絡(luò)設(shè)備聯(lián)動(dòng)組中的每個(gè)網(wǎng)絡(luò)設(shè)備發(fā)送聯(lián)動(dòng)報(bào)文。
該聯(lián)動(dòng)系統(tǒng)進(jìn)一步包括管理中心��,用于接收IDS檢測(cè)出攻擊報(bào)文時(shí)所發(fā)送的報(bào)警信息�����。
所述的網(wǎng)絡(luò)設(shè)備聯(lián)動(dòng)組內(nèi)的網(wǎng)絡(luò)設(shè)備配置有相同的屬性��。
所述屬性包括聯(lián)動(dòng)組總開(kāi)關(guān)��、聯(lián)動(dòng)組使能開(kāi)關(guān)��、保護(hù)接口列表����、保護(hù)IP地址列表、白名單����、限流類(lèi)型中至少一個(gè)。
所述IDS內(nèi)配置有聯(lián)動(dòng)策略表��,所述聯(lián)動(dòng)策略表中包括與攻擊報(bào)文的類(lèi)型相對(duì)應(yīng)的聯(lián)動(dòng)策略����。
IDS當(dāng)檢測(cè)出攻擊報(bào)文時(shí),進(jìn)一步用于在聯(lián)動(dòng)策略表中查詢與攻擊報(bào)文的類(lèi)型相對(duì)應(yīng)的聯(lián)動(dòng)策略����,并且發(fā)送包含該聯(lián)動(dòng)策略的聯(lián)動(dòng)報(bào)文。
所述網(wǎng)絡(luò)設(shè)備聯(lián)動(dòng)組中的網(wǎng)絡(luò)設(shè)備位于相同的網(wǎng)段��。
所述網(wǎng)絡(luò)設(shè)備聯(lián)動(dòng)組中的網(wǎng)絡(luò)設(shè)備具有相同的型號(hào)�����。
一種IDS與網(wǎng)絡(luò)設(shè)備的聯(lián)動(dòng)方法�,將網(wǎng)絡(luò)設(shè)備根據(jù)預(yù)先定義的規(guī)則劃分成網(wǎng)絡(luò)設(shè)備聯(lián)動(dòng)組;該方法還包括A���、網(wǎng)絡(luò)設(shè)備接收數(shù)據(jù)流�,將數(shù)據(jù)流鏡像到IDS�;B、IDS檢測(cè)數(shù)據(jù)流中是否包含攻擊報(bào)文�����,當(dāng)包含攻擊報(bào)文時(shí),向鏡像該數(shù)據(jù)流的網(wǎng)絡(luò)設(shè)備所屬的網(wǎng)絡(luò)設(shè)備聯(lián)動(dòng)組中的每個(gè)網(wǎng)絡(luò)設(shè)備發(fā)送聯(lián)動(dòng)報(bào)文�����;C�、網(wǎng)絡(luò)設(shè)備根據(jù)聯(lián)動(dòng)報(bào)文對(duì)該包含攻擊報(bào)文的數(shù)據(jù)流進(jìn)行處理。
對(duì)于劃分到同一聯(lián)動(dòng)組的網(wǎng)絡(luò)設(shè)備��,配置相同的屬性�����。
所述屬性包括聯(lián)動(dòng)組總開(kāi)關(guān)����、聯(lián)動(dòng)組使能開(kāi)關(guān)、保護(hù)接口列表���、保護(hù)IP地址列表����、白名單��、限流類(lèi)型中至少一個(gè)。
進(jìn)一步預(yù)先在IDS內(nèi)配置聯(lián)動(dòng)策略表����,所述聯(lián)動(dòng)策略表中包括與攻擊報(bào)文的類(lèi)型相對(duì)應(yīng)的聯(lián)動(dòng)策略����。
步驟B中IDS檢測(cè)出攻擊報(bào)文后,進(jìn)一步在聯(lián)動(dòng)策略表中查詢與攻擊報(bào)文的類(lèi)型相對(duì)應(yīng)的聯(lián)動(dòng)策略����,并且發(fā)送包含該聯(lián)動(dòng)策略的聯(lián)動(dòng)報(bào)文;步驟C中網(wǎng)絡(luò)設(shè)備應(yīng)用該聯(lián)動(dòng)策略對(duì)該包含攻擊報(bào)文的數(shù)據(jù)流進(jìn)行處理���。
所述步驟C為對(duì)該包含攻擊報(bào)文的數(shù)據(jù)流進(jìn)行阻斷或者限制����。
所述對(duì)數(shù)據(jù)流進(jìn)行限制為對(duì)同一種類(lèi)型的多個(gè)數(shù)據(jù)流的總流量進(jìn)行限流�����,或者對(duì)每一個(gè)數(shù)據(jù)流的流量進(jìn)行單獨(dú)限流�����。
進(jìn)一步預(yù)先設(shè)置聯(lián)動(dòng)組總開(kāi)關(guān),步驟B中IDS檢測(cè)出攻擊報(bào)文時(shí)��,進(jìn)一步判斷聯(lián)動(dòng)組總開(kāi)關(guān)的狀態(tài)��,當(dāng)聯(lián)動(dòng)組總開(kāi)關(guān)打開(kāi)時(shí)�����,向鏡像該數(shù)據(jù)流的網(wǎng)絡(luò)設(shè)備所屬的網(wǎng)絡(luò)設(shè)備聯(lián)動(dòng)組中的每個(gè)網(wǎng)絡(luò)設(shè)備發(fā)送聯(lián)動(dòng)報(bào)文�,當(dāng)聯(lián)動(dòng)組總開(kāi)關(guān)關(guān)閉時(shí),不發(fā)送聯(lián)動(dòng)報(bào)文�。
進(jìn)一步預(yù)先分別設(shè)置聯(lián)動(dòng)組使能開(kāi)關(guān),步驟B中IDS檢測(cè)出攻擊報(bào)文時(shí)����,進(jìn)一步判斷鏡像該數(shù)據(jù)流的網(wǎng)絡(luò)設(shè)備所屬的網(wǎng)絡(luò)設(shè)備聯(lián)動(dòng)組的聯(lián)動(dòng)組使能開(kāi)關(guān)的狀態(tài),當(dāng)該聯(lián)動(dòng)組使能開(kāi)關(guān)打開(kāi)時(shí)����,向該聯(lián)動(dòng)組中的每個(gè)網(wǎng)絡(luò)設(shè)備發(fā)送聯(lián)動(dòng)報(bào)文,當(dāng)該聯(lián)動(dòng)組使能開(kāi)關(guān)關(guān)閉時(shí)���,不發(fā)送聯(lián)動(dòng)報(bào)文����。
進(jìn)一步預(yù)先設(shè)置聯(lián)動(dòng)組白名單,步驟B中IDS檢測(cè)出攻擊報(bào)文時(shí)�����,進(jìn)一步判斷攻擊報(bào)文的源地址/目的地址是否在白名單中��,當(dāng)不在白名單中時(shí)�,向聯(lián)動(dòng)組中的每個(gè)網(wǎng)絡(luò)設(shè)備發(fā)送聯(lián)動(dòng)報(bào)文�,當(dāng)在白名單中時(shí),不發(fā)送聯(lián)動(dòng)報(bào)文�。
進(jìn)一步預(yù)先設(shè)置聯(lián)動(dòng)組保護(hù)接口列表,步驟B中IDS檢測(cè)出攻擊報(bào)文時(shí)�,進(jìn)一步判斷攻擊報(bào)文是否來(lái)自所述保護(hù)接口列表,如果是�,則向聯(lián)動(dòng)組中的每個(gè)網(wǎng)絡(luò)設(shè)備發(fā)送聯(lián)動(dòng)報(bào)文;如果不是����,則不發(fā)送聯(lián)動(dòng)報(bào)文。
進(jìn)一步預(yù)先設(shè)置聯(lián)動(dòng)組保護(hù)IP地址列表���,步驟B中IDS檢測(cè)出攻擊報(bào)文時(shí)��,IDS進(jìn)一步判斷攻擊報(bào)文的源地址/目的地址是否在聯(lián)動(dòng)組保護(hù)IP地址列表中���,當(dāng)在列表中時(shí)�����,向聯(lián)動(dòng)組中的每個(gè)網(wǎng)絡(luò)設(shè)備發(fā)送聯(lián)動(dòng)報(bào)文���,當(dāng)不在時(shí),不發(fā)送聯(lián)動(dòng)報(bào)文�����。
所述預(yù)先定義的規(guī)則為將屬于同一網(wǎng)段的網(wǎng)絡(luò)設(shè)備劃分到同一網(wǎng)絡(luò)設(shè)備聯(lián)動(dòng)組中���。
所述預(yù)先定義的規(guī)則為將同一型號(hào)的網(wǎng)絡(luò)設(shè)備劃分到同一網(wǎng)絡(luò)設(shè)備聯(lián)動(dòng)組中�����。
所述聯(lián)動(dòng)報(bào)文通過(guò)TLV格式被封裝��。
當(dāng)步驟B確定數(shù)據(jù)流中包含攻擊報(bào)文時(shí)��,進(jìn)一步判斷所述攻擊報(bào)文是否具有虛擬局域網(wǎng)VLAN標(biāo)簽�����,如果有����,則向該VLAN內(nèi)IDS-ACL(訪問(wèn)控制列表)使能的網(wǎng)絡(luò)設(shè)備發(fā)送聯(lián)動(dòng)報(bào)文,如果沒(méi)有�,則退出本流程。
從以上技術(shù)方案中可以看出����,在本發(fā)明中,通過(guò)將網(wǎng)絡(luò)設(shè)備設(shè)置為聯(lián)動(dòng)組�����,IDS僅向鏡像包含攻擊報(bào)文的數(shù)據(jù)流的網(wǎng)絡(luò)設(shè)備所屬的網(wǎng)絡(luò)設(shè)備聯(lián)動(dòng)組發(fā)送聯(lián)動(dòng)報(bào)文����,而不是向所有的網(wǎng)絡(luò)設(shè)備發(fā)送聯(lián)動(dòng)報(bào)文�����,所以本發(fā)明使得IDS與網(wǎng)絡(luò)設(shè)備之間的聯(lián)動(dòng)更加細(xì)化�����。而且,通過(guò)打開(kāi)或者關(guān)閉聯(lián)動(dòng)組總開(kāi)關(guān)�,用戶能夠?qū)λ械木W(wǎng)絡(luò)設(shè)備作為整體是否參與聯(lián)動(dòng)進(jìn)行統(tǒng)一控制;通過(guò)打開(kāi)或者關(guān)閉聯(lián)動(dòng)組使能開(kāi)關(guān)����,用戶能夠?qū)γ總€(gè)聯(lián)動(dòng)組作為整體是否參與聯(lián)動(dòng)進(jìn)行統(tǒng)一控制;通過(guò)設(shè)置聯(lián)動(dòng)組保護(hù)IP地址列表��,用戶能夠?qū)χ付↖P地址進(jìn)行聯(lián)動(dòng)保護(hù)�����;通過(guò)設(shè)置聯(lián)動(dòng)組白名單�����,用戶能夠?qū)τ趤?lái)自于充分信任的地址的報(bào)文不進(jìn)行聯(lián)動(dòng)���;通過(guò)設(shè)置聯(lián)動(dòng)組保護(hù)接口列表����,用戶能夠?qū)β?lián)動(dòng)的控制進(jìn)一步細(xì)化到接口��,從而更精確地對(duì)接口進(jìn)行保護(hù)。
另外�����,用戶可以根據(jù)攻擊報(bào)文的類(lèi)型自定義聯(lián)動(dòng)策略��,以響應(yīng)不同類(lèi)型的攻擊�。而且,通過(guò)執(zhí)行限流和VLAN Tag的功能�,能夠更好地滿足服務(wù)質(zhì)量(QoS)的需求。
同時(shí)���,本發(fā)明通過(guò)采用TLV格式封裝聯(lián)動(dòng)報(bào)文����,可以對(duì)聯(lián)動(dòng)策略根據(jù)進(jìn)行配置��,從而便于增加新的聯(lián)動(dòng)策略��。
圖1為現(xiàn)有技術(shù)中IDS與網(wǎng)絡(luò)設(shè)備的聯(lián)動(dòng)組網(wǎng)結(jié)構(gòu)示意圖�;圖2為根據(jù)本發(fā)明示范性的IDS與網(wǎng)絡(luò)設(shè)備的聯(lián)動(dòng)組網(wǎng)結(jié)構(gòu)示意圖���;圖3為根據(jù)本發(fā)明的IDS與網(wǎng)絡(luò)設(shè)備的聯(lián)動(dòng)方法的示范性流程示意圖��;
圖4為根據(jù)本發(fā)明實(shí)施例的IDS與網(wǎng)絡(luò)設(shè)備的聯(lián)動(dòng)方法的流程示意圖����。
具體實(shí)施例方式
為使本發(fā)明的目的、技術(shù)方案和優(yōu)點(diǎn)表達(dá)得更加清楚明白��,下面結(jié)合附圖及具體實(shí)施例對(duì)本發(fā)明再作進(jìn)一步詳細(xì)的說(shuō)明�。
本發(fā)明的主要思想是預(yù)先將網(wǎng)絡(luò)設(shè)備組成網(wǎng)絡(luò)設(shè)備聯(lián)動(dòng)組;當(dāng)網(wǎng)絡(luò)設(shè)備接收到數(shù)據(jù)流時(shí)���,將數(shù)據(jù)流鏡像到IDS���;IDS檢測(cè)數(shù)據(jù)流中是否包含攻擊報(bào)文,并當(dāng)檢測(cè)出包含攻擊報(bào)文時(shí)���,向鏡像該數(shù)據(jù)流的網(wǎng)絡(luò)設(shè)備所屬的網(wǎng)絡(luò)設(shè)備聯(lián)動(dòng)組中的每個(gè)網(wǎng)絡(luò)設(shè)備發(fā)送聯(lián)動(dòng)報(bào)文�����,網(wǎng)絡(luò)設(shè)備聯(lián)動(dòng)組中的網(wǎng)絡(luò)設(shè)備從而根據(jù)聯(lián)動(dòng)報(bào)文對(duì)數(shù)據(jù)流進(jìn)行處理��。
圖2為根據(jù)本發(fā)明示范性的IDS與網(wǎng)絡(luò)設(shè)備的聯(lián)動(dòng)系統(tǒng)組網(wǎng)結(jié)構(gòu)示意圖�。該系統(tǒng)包括網(wǎng)絡(luò)設(shè)備203��、網(wǎng)絡(luò)設(shè)備204、網(wǎng)絡(luò)設(shè)備205以及IDS 202�。
網(wǎng)絡(luò)設(shè)備203、網(wǎng)絡(luò)設(shè)備204�����、網(wǎng)絡(luò)設(shè)備205分別接收數(shù)據(jù)流��,并將數(shù)據(jù)流鏡像到IDS 202�;在這些網(wǎng)絡(luò)設(shè)備中,網(wǎng)絡(luò)設(shè)備203和204組成網(wǎng)絡(luò)設(shè)備聯(lián)動(dòng)組200�����,而網(wǎng)絡(luò)設(shè)備205并不屬于該聯(lián)動(dòng)組��。IDS 202對(duì)各個(gè)網(wǎng)絡(luò)設(shè)備鏡像過(guò)來(lái)的數(shù)據(jù)流進(jìn)行分析���,以檢測(cè)是否包含攻擊報(bào)文����。當(dāng)檢測(cè)出包含攻擊報(bào)文時(shí)�,IDS 202向鏡像該數(shù)據(jù)流的網(wǎng)絡(luò)設(shè)備所屬的網(wǎng)絡(luò)設(shè)備聯(lián)動(dòng)組中的每個(gè)網(wǎng)絡(luò)設(shè)備發(fā)送聯(lián)動(dòng)報(bào)文�,以響應(yīng)該攻擊報(bào)文��。比如�����,如圖2所示���,當(dāng)攻擊者201向網(wǎng)絡(luò)設(shè)備203發(fā)送數(shù)據(jù)流時(shí),網(wǎng)路設(shè)備203首先通過(guò)鏡像端口將數(shù)據(jù)流鏡像到IDS 202�����;IDS 202分析出由網(wǎng)路設(shè)備203鏡像過(guò)來(lái)的數(shù)據(jù)流中包含攻擊報(bào)文�,則向整個(gè)聯(lián)動(dòng)組200發(fā)送包含攻擊報(bào)文特征的聯(lián)動(dòng)報(bào)文,聯(lián)動(dòng)報(bào)文中包括針對(duì)攻擊報(bào)文的聯(lián)動(dòng)策略��;然后�����,聯(lián)動(dòng)組200中的所有網(wǎng)絡(luò)設(shè)備��,也就是網(wǎng)絡(luò)設(shè)備203和204�,根據(jù)攻擊報(bào)文特征和聯(lián)動(dòng)策略,下發(fā)ACL規(guī)則到特定端口�����,實(shí)現(xiàn)對(duì)攻擊報(bào)文的阻斷或者限流。
優(yōu)選地��,可以根據(jù)各種配置規(guī)則來(lái)將網(wǎng)絡(luò)設(shè)備配置為網(wǎng)絡(luò)設(shè)備聯(lián)動(dòng)組��。比如�����,可以將位于相同網(wǎng)段內(nèi)的所有網(wǎng)絡(luò)設(shè)備設(shè)置在同一網(wǎng)絡(luò)設(shè)備聯(lián)動(dòng)組中�,以實(shí)現(xiàn)對(duì)同一網(wǎng)段之間網(wǎng)絡(luò)設(shè)備的聯(lián)動(dòng);或者�,將相同型號(hào)的所有網(wǎng)絡(luò)設(shè)備設(shè)置在同一網(wǎng)絡(luò)設(shè)備聯(lián)動(dòng)組中,以實(shí)現(xiàn)對(duì)相同型號(hào)的網(wǎng)絡(luò)設(shè)備的聯(lián)動(dòng)����。顯然,以上設(shè)置方式僅為示范性�,并不是窮舉性,對(duì)于本領(lǐng)域普通技術(shù)人員�,其它設(shè)置網(wǎng)絡(luò)設(shè)備聯(lián)動(dòng)組的方式是明顯的。
優(yōu)選地��,IDS檢測(cè)出攻擊報(bào)文后,進(jìn)一步對(duì)攻擊報(bào)文的類(lèi)型進(jìn)行分析��,并且根據(jù)分析結(jié)果向網(wǎng)絡(luò)設(shè)備發(fā)送包含與攻擊報(bào)文的類(lèi)型相對(duì)應(yīng)的聯(lián)動(dòng)策略的聯(lián)動(dòng)報(bào)文�。也就是說(shuō)���,IDS根據(jù)攻擊報(bào)文的類(lèi)型來(lái)配置不同的聯(lián)動(dòng)策略���。比如,對(duì)于同一個(gè)聯(lián)動(dòng)設(shè)備�,當(dāng)其受到DOS攻擊時(shí),IDS 202可以發(fā)送阻斷源地址1000秒的聯(lián)動(dòng)報(bào)文�����;當(dāng)其受到緩沖區(qū)溢出攻擊時(shí)�,IDS 202發(fā)送阻斷數(shù)據(jù)流100秒的聯(lián)動(dòng)報(bào)文。IDS 202向網(wǎng)絡(luò)設(shè)備發(fā)送與攻擊報(bào)文的類(lèi)型相對(duì)應(yīng)的聯(lián)動(dòng)報(bào)文�����,網(wǎng)絡(luò)設(shè)備從而能夠根據(jù)攻擊類(lèi)型的不同而對(duì)數(shù)據(jù)流執(zhí)行不同的響應(yīng)操作�。網(wǎng)絡(luò)設(shè)備可以對(duì)包含攻擊報(bào)文的數(shù)據(jù)流進(jìn)行完全阻斷,也可以進(jìn)行限制����。在對(duì)數(shù)據(jù)流執(zhí)行限制時(shí)��,既可以是對(duì)同一種類(lèi)型的多個(gè)數(shù)據(jù)流的總流量進(jìn)行限流�����,也可以是對(duì)每一個(gè)數(shù)據(jù)流的流量進(jìn)行單獨(dú)限流�。
IDS 202內(nèi)還可以配置有聯(lián)動(dòng)策略表���,該聯(lián)動(dòng)策略表中包括與攻擊報(bào)文的類(lèi)型相對(duì)應(yīng)的聯(lián)動(dòng)策略�。IDS 202當(dāng)檢測(cè)出攻擊報(bào)文時(shí)�,在聯(lián)動(dòng)策略表中查詢與攻擊報(bào)文的類(lèi)型相對(duì)應(yīng)的聯(lián)動(dòng)策略,并且發(fā)送包含該聯(lián)動(dòng)策略的聯(lián)動(dòng)報(bào)文�。在發(fā)送聯(lián)動(dòng)報(bào)文之前,IDS 202需要對(duì)聯(lián)動(dòng)報(bào)文進(jìn)行封裝�,聯(lián)動(dòng)報(bào)文中封裝有攻擊報(bào)文的特征以及聯(lián)動(dòng)策略,優(yōu)選根據(jù)TLV格式對(duì)聯(lián)動(dòng)報(bào)文進(jìn)行封裝����。在聯(lián)動(dòng)策略中,對(duì)策略中的各個(gè)聯(lián)動(dòng)選項(xiàng)進(jìn)行TLV格式的封裝��。每條聯(lián)動(dòng)策略包含一個(gè)或多個(gè)二進(jìn)制的TLV字段����,并且按照選項(xiàng)的序號(hào)下發(fā)����。其中����,T(類(lèi)型)為1個(gè)字節(jié)����;L(長(zhǎng)度)為1個(gè)字節(jié);V(值)的長(zhǎng)度由L確定�����。由于根據(jù)TLV格式來(lái)封裝聯(lián)動(dòng)報(bào)文���,因此很容易擴(kuò)展新的聯(lián)動(dòng)策略選項(xiàng)����。當(dāng)需要增加新聯(lián)動(dòng)選項(xiàng)時(shí)����,只需要在聯(lián)動(dòng)選項(xiàng)列表中增加一個(gè)新的TLV定義即可,每個(gè)TLV字段包括流參數(shù)和操作參數(shù)兩部分。
表1為根據(jù)本發(fā)明實(shí)施例的聯(lián)動(dòng)策略聯(lián)動(dòng)選項(xiàng)列表���。
表1用戶可以通過(guò)Web進(jìn)行可視化配置來(lái)配置聯(lián)動(dòng)策略��,并且配置完成后將聯(lián)動(dòng)策略寫(xiě)入聯(lián)動(dòng)策略表���,并將聯(lián)動(dòng)策略表存入聯(lián)動(dòng)策略的數(shù)據(jù)庫(kù),以方便查詢和使用�����。同時(shí)�,在聯(lián)動(dòng)策略中增加對(duì)限流的支持。對(duì)于某一個(gè)攻擊��,用戶可以選擇阻斷或者限流�����。優(yōu)選地����,可以指定聯(lián)動(dòng)策略支持VLAN Tag的功能。如果指定這項(xiàng)功能�,對(duì)于帶有VLAN Tag的報(bào)文���,則聯(lián)動(dòng)設(shè)備只針對(duì)屬于該VLAN且IDS-ACL使能的端口下發(fā)聯(lián)動(dòng)規(guī)則。在配置聯(lián)動(dòng)策略時(shí)����,還可以進(jìn)一步?jīng)Q定是阻斷完整的七元組,還是阻斷五元組�����,其中七元組包括源MAC地址�����、目的MAC地址���、源IP地址、目的IP地址�����、源端口���、目的端口�����、協(xié)議類(lèi)型��;五元組包括源IP地址����、目的IP地址、源端口���、目的端口和協(xié)議類(lèi)型��。
IDS可以通過(guò)多種傳輸協(xié)議向網(wǎng)絡(luò)設(shè)備發(fā)送聯(lián)動(dòng)報(bào)文�。比如�,通過(guò)SNMP、或SSL協(xié)議�、或SSH協(xié)議、或HTTPS協(xié)議��、或Telnet程序等�����。
具體地�����,網(wǎng)絡(luò)設(shè)備可以為交換機(jī)或者路由器等設(shè)備,并且分別連接數(shù)據(jù)中心�����,以將數(shù)據(jù)流交換到與其連接的數(shù)據(jù)中心��。在圖2中�����,網(wǎng)絡(luò)設(shè)備203與數(shù)據(jù)中心206連接��,網(wǎng)絡(luò)設(shè)備204與數(shù)據(jù)中心207連接�,網(wǎng)絡(luò)設(shè)備205與數(shù)據(jù)中心208連接�。
該聯(lián)動(dòng)系統(tǒng)還可以進(jìn)一步包括管理中心209,當(dāng)IDS當(dāng)檢測(cè)出攻擊報(bào)文時(shí)��,IDS向管理中心209發(fā)送報(bào)警信息���,從而管理中心209能夠獲知正有攻擊報(bào)文對(duì)數(shù)據(jù)中心進(jìn)行攻擊����。
以上對(duì)本發(fā)明的IDS與網(wǎng)絡(luò)設(shè)備的聯(lián)動(dòng)系統(tǒng)進(jìn)行了描述,下面對(duì)根據(jù)本發(fā)明的IDS與網(wǎng)絡(luò)設(shè)備的聯(lián)動(dòng)方法進(jìn)行描述����。
圖3為根據(jù)本發(fā)明的IDS與網(wǎng)絡(luò)設(shè)備的聯(lián)動(dòng)方法的示范性流程示意圖。在該方法中��,預(yù)先將至少一個(gè)網(wǎng)絡(luò)設(shè)備組成網(wǎng)絡(luò)設(shè)備聯(lián)動(dòng)組�����,其中優(yōu)選將屬于同一網(wǎng)段的網(wǎng)絡(luò)設(shè)備�,或同一型號(hào)的網(wǎng)絡(luò)設(shè)備設(shè)置在同一網(wǎng)絡(luò)設(shè)備聯(lián)動(dòng)組中。如圖3所示�,該方法還包括以下步驟步驟301網(wǎng)絡(luò)設(shè)備接收數(shù)據(jù)流,并將數(shù)據(jù)流鏡像到IDS�����;在這里�,網(wǎng)絡(luò)設(shè)備首先接收數(shù)據(jù)流,然后通過(guò)與IDS連接的鏡像端口將數(shù)據(jù)流鏡像到IDS�。優(yōu)選地,網(wǎng)絡(luò)設(shè)備為具有數(shù)據(jù)交換功能的交換機(jī)或者路由器�。當(dāng)攻擊者發(fā)出攻擊報(bào)文時(shí),需要通過(guò)交換機(jī)或路由器而將數(shù)據(jù)流發(fā)送到數(shù)據(jù)中心��,此時(shí)交換機(jī)或路由器會(huì)將數(shù)據(jù)流鏡像到IDS。
步驟302IDS檢測(cè)數(shù)據(jù)流中是否包含攻擊報(bào)文�,當(dāng)包含攻擊報(bào)文時(shí),向鏡像該數(shù)據(jù)流的網(wǎng)絡(luò)設(shè)備所屬的網(wǎng)絡(luò)設(shè)備聯(lián)動(dòng)組中的每個(gè)網(wǎng)絡(luò)設(shè)備發(fā)送聯(lián)動(dòng)報(bào)文���;在這里����,IDS對(duì)網(wǎng)絡(luò)設(shè)備所鏡像來(lái)的數(shù)據(jù)流進(jìn)行分析���,當(dāng)分析出數(shù)據(jù)流中包含攻擊報(bào)文時(shí)�����,向鏡像該數(shù)據(jù)流的網(wǎng)絡(luò)設(shè)備所屬的網(wǎng)絡(luò)設(shè)備聯(lián)動(dòng)組中的每個(gè)網(wǎng)絡(luò)設(shè)備發(fā)送聯(lián)動(dòng)報(bào)文����,以響應(yīng)該攻擊報(bào)文����。也就是說(shuō)��,當(dāng)分析出數(shù)據(jù)流中包含攻擊報(bào)文時(shí)�,IDS設(shè)備向聯(lián)動(dòng)組中的每個(gè)網(wǎng)絡(luò)設(shè)備發(fā)送聯(lián)動(dòng)報(bào)文��。聯(lián)動(dòng)報(bào)文中優(yōu)選封裝有攻擊報(bào)文的特征以及聯(lián)動(dòng)策略����,網(wǎng)絡(luò)設(shè)備收到聯(lián)動(dòng)報(bào)文后�,可以解析出攻擊報(bào)文的特征以及聯(lián)動(dòng)策略。
步驟303網(wǎng)絡(luò)設(shè)備根據(jù)聯(lián)動(dòng)報(bào)文對(duì)該包含攻擊報(bào)文的數(shù)據(jù)流進(jìn)行處理���。
在這里�,網(wǎng)絡(luò)設(shè)備收到聯(lián)動(dòng)報(bào)文后�����,首先解析出攻擊報(bào)文的特征以及聯(lián)動(dòng)策略�,根據(jù)攻擊報(bào)文的特征可以確定包含攻擊報(bào)文的數(shù)據(jù)流,根據(jù)聯(lián)動(dòng)策略可以對(duì)數(shù)據(jù)流進(jìn)行相應(yīng)處理����,比如對(duì)該包含攻擊報(bào)文的數(shù)據(jù)流進(jìn)行阻斷或者限制。其中對(duì)數(shù)據(jù)流進(jìn)行限制可以為對(duì)同一種類(lèi)型的多個(gè)數(shù)據(jù)流的總流量進(jìn)行限流�����,或者對(duì)每一個(gè)數(shù)據(jù)流的流量進(jìn)行單獨(dú)限流。具體地����,進(jìn)一步預(yù)先在IDS內(nèi)配置聯(lián)動(dòng)策略表,其中聯(lián)動(dòng)策略表中包括與攻擊報(bào)文的類(lèi)型相對(duì)應(yīng)的聯(lián)動(dòng)策略���。IDS檢測(cè)出攻擊報(bào)文后�����,在聯(lián)動(dòng)策略表中查詢與攻擊報(bào)文的類(lèi)型相對(duì)應(yīng)的聯(lián)動(dòng)策略��,并且發(fā)送包含該聯(lián)動(dòng)策略的聯(lián)動(dòng)報(bào)文�,網(wǎng)絡(luò)設(shè)備收到該聯(lián)動(dòng)報(bào)文后�,再應(yīng)用聯(lián)動(dòng)策略對(duì)包含攻擊報(bào)文的數(shù)據(jù)流進(jìn)行處理。也就是說(shuō)��,IDS能夠根據(jù)攻擊報(bào)文的類(lèi)型來(lái)配置不同的聯(lián)動(dòng)策略�。此外,IDS優(yōu)選對(duì)聯(lián)動(dòng)報(bào)文進(jìn)行TLV格式的封裝���,當(dāng)需要增加新選項(xiàng)時(shí)���,只需要在聯(lián)動(dòng)選項(xiàng)列表中增加一個(gè)TLV的定義即可�����,從而便于對(duì)聯(lián)動(dòng)策略進(jìn)行擴(kuò)展。
以上過(guò)程中��,優(yōu)選地��,進(jìn)一步預(yù)先設(shè)置聯(lián)動(dòng)組總開(kāi)關(guān)��,當(dāng)IDS檢測(cè)出攻擊報(bào)文時(shí)���,進(jìn)一步判斷聯(lián)動(dòng)組總開(kāi)關(guān)的狀態(tài)�����;當(dāng)聯(lián)動(dòng)組總開(kāi)關(guān)打開(kāi)時(shí)���,向鏡像該數(shù)據(jù)流的網(wǎng)絡(luò)設(shè)備所屬的網(wǎng)絡(luò)設(shè)備聯(lián)動(dòng)組中的每個(gè)網(wǎng)絡(luò)設(shè)備發(fā)送聯(lián)動(dòng)報(bào)文,當(dāng)聯(lián)動(dòng)組總開(kāi)關(guān)關(guān)閉時(shí)�����,不發(fā)送聯(lián)動(dòng)報(bào)文�。這樣,根據(jù)配置聯(lián)動(dòng)組總開(kāi)關(guān)的狀態(tài),可以對(duì)所有的網(wǎng)絡(luò)設(shè)備作為整體是否參與聯(lián)動(dòng)進(jìn)行統(tǒng)一控制�。
以上過(guò)程中,優(yōu)選地�,進(jìn)一步預(yù)先分別為每個(gè)聯(lián)動(dòng)組設(shè)置聯(lián)動(dòng)組使能開(kāi)關(guān),當(dāng)IDS檢測(cè)出攻擊報(bào)文時(shí)�,進(jìn)一步判斷鏡像該數(shù)據(jù)流的網(wǎng)絡(luò)設(shè)備所屬的網(wǎng)絡(luò)設(shè)備聯(lián)動(dòng)組的聯(lián)動(dòng)組使能開(kāi)關(guān)狀態(tài),當(dāng)該聯(lián)動(dòng)組使能開(kāi)關(guān)打開(kāi)時(shí)�,向該聯(lián)動(dòng)組中的每個(gè)網(wǎng)絡(luò)設(shè)備發(fā)送聯(lián)動(dòng)報(bào)文,當(dāng)該聯(lián)動(dòng)組使能開(kāi)關(guān)關(guān)閉時(shí)����,不發(fā)送聯(lián)動(dòng)報(bào)文。這樣���,根據(jù)配置聯(lián)動(dòng)組使能開(kāi)關(guān)的狀態(tài)��,可以對(duì)每個(gè)聯(lián)動(dòng)組作為整體是否參與聯(lián)動(dòng)進(jìn)行統(tǒng)一控制���。
以上過(guò)程中,優(yōu)選地�����,進(jìn)一步預(yù)先設(shè)置聯(lián)動(dòng)組保護(hù)IP地址列表�,保護(hù)IP地址列表中指定需要聯(lián)動(dòng)組保護(hù)的IP地址列表����,其中IP地址列表支持IPV4和CIDR的格式�。當(dāng)檢測(cè)出攻擊報(bào)文時(shí)�,IDS進(jìn)一步判斷攻擊報(bào)文的源地址/目的地址是否在聯(lián)動(dòng)組保護(hù)IP地址列表中,當(dāng)在列表中時(shí)��,向聯(lián)動(dòng)組中的每個(gè)網(wǎng)絡(luò)設(shè)備發(fā)送聯(lián)動(dòng)報(bào)文�,當(dāng)不在時(shí),不發(fā)送聯(lián)動(dòng)報(bào)文�。這樣,根據(jù)設(shè)置聯(lián)動(dòng)組保護(hù)IP地址列表�����,可以對(duì)指定IP地址進(jìn)行聯(lián)動(dòng)保護(hù)�����。
以上過(guò)程中�,優(yōu)選地,進(jìn)一步預(yù)先設(shè)置聯(lián)動(dòng)組白名單��,白名單中包含網(wǎng)絡(luò)中受信任主機(jī)或網(wǎng)絡(luò)IP地址�。當(dāng)檢測(cè)出攻擊報(bào)文時(shí)����,進(jìn)一步判斷攻擊報(bào)文的源地址/目的地址是否在白名單中�����,當(dāng)不在白名單中時(shí)����,向聯(lián)動(dòng)組中的每個(gè)網(wǎng)絡(luò)設(shè)備發(fā)送聯(lián)動(dòng)報(bào)文,當(dāng)在白名單中時(shí)���,不發(fā)送聯(lián)動(dòng)報(bào)文�。這樣���,根據(jù)設(shè)置聯(lián)動(dòng)組白名單�����,可以對(duì)于來(lái)自于充分信任的地址的報(bào)文不進(jìn)行聯(lián)動(dòng)�����。
以上過(guò)程中����,優(yōu)選地,進(jìn)一步預(yù)先設(shè)置聯(lián)動(dòng)組保護(hù)接口列表���,當(dāng)IDS檢測(cè)出攻擊報(bào)文時(shí)����,進(jìn)一步判斷攻擊報(bào)文是否來(lái)自保護(hù)接口列表�,如果是��,則向聯(lián)動(dòng)組中的每個(gè)網(wǎng)絡(luò)設(shè)備發(fā)送聯(lián)動(dòng)報(bào)文����;如果不是,則不發(fā)送聯(lián)動(dòng)報(bào)文�。這樣,根據(jù)設(shè)置聯(lián)動(dòng)組保護(hù)接口列表��,可以對(duì)聯(lián)動(dòng)的控制更進(jìn)一步細(xì)化到接口��,從而更精確地對(duì)接口進(jìn)行保護(hù)�����。
根據(jù)具體需要,可以在設(shè)置聯(lián)動(dòng)組總開(kāi)關(guān)�����、聯(lián)動(dòng)組使能開(kāi)關(guān)�����、聯(lián)動(dòng)組白名單��、聯(lián)動(dòng)組保護(hù)接口列表等操作中進(jìn)行相應(yīng)選擇�����。
圖4為根據(jù)本發(fā)明實(shí)施例的IDS與網(wǎng)絡(luò)設(shè)備的聯(lián)動(dòng)方法的流程示意圖��。如圖4所示�����,該方法包括步驟401各個(gè)網(wǎng)絡(luò)設(shè)備接收數(shù)據(jù)流�����,并分別將數(shù)據(jù)流鏡像到IDS�;步驟402IDS對(duì)各個(gè)網(wǎng)絡(luò)設(shè)備鏡像來(lái)的數(shù)據(jù)流進(jìn)行分析��,判斷其中是否包含攻擊報(bào)文�����,當(dāng)包含時(shí)�,執(zhí)行步驟403及其后續(xù)步驟�����,當(dāng)不包含時(shí)��,結(jié)束本流程�����;步驟403IDS判斷聯(lián)動(dòng)組總開(kāi)關(guān)是否已經(jīng)打開(kāi)��,當(dāng)打開(kāi)時(shí)���,執(zhí)行步驟404及其后續(xù)步驟,當(dāng)關(guān)閉時(shí)�,結(jié)束本流程;步驟404IDS判斷鏡像包含攻擊報(bào)文的數(shù)據(jù)流的網(wǎng)絡(luò)設(shè)備所屬的聯(lián)動(dòng)組的使能開(kāi)關(guān)是否打開(kāi)����,當(dāng)打開(kāi)時(shí)���,執(zhí)行步驟405及其后續(xù)步驟,當(dāng)關(guān)閉時(shí)���,結(jié)束本流程����;步驟405IDS判斷攻擊報(bào)文是否來(lái)自于保護(hù)接口列表中所包含的保護(hù)接口�,如果是,執(zhí)行步驟406及其后續(xù)步驟���,如果不是�,則結(jié)束本流程�����;步驟406IDS判斷攻擊報(bào)文的源地址或者目的地址是否在白名單中����,如果不是,執(zhí)行步驟407及其后續(xù)步驟,如果是�����,則結(jié)束本流程�����;步驟407IDS組裝聯(lián)動(dòng)報(bào)文����,并且向鏡像包含攻擊報(bào)文的數(shù)據(jù)流的網(wǎng)絡(luò)設(shè)備所屬的聯(lián)動(dòng)組發(fā)送聯(lián)動(dòng)報(bào)文。
其中IDS根據(jù)攻擊報(bào)文的類(lèi)型提取源MAC地址�、目的MAC地址、源IP地址��、目的IP地址�、源端口��、目的端口�����、協(xié)議類(lèi)型和VLAN Tag���,并結(jié)合聯(lián)動(dòng)策略生成可擴(kuò)展的TLV格式的聯(lián)動(dòng)報(bào)文�。
至此,聯(lián)動(dòng)組中的各個(gè)網(wǎng)絡(luò)設(shè)備接收到聯(lián)動(dòng)報(bào)文后���,能夠根據(jù)聯(lián)動(dòng)報(bào)文中所包含的聯(lián)動(dòng)策略對(duì)數(shù)據(jù)流進(jìn)行相應(yīng)處理�。
以上所述����,僅為本發(fā)明的較佳實(shí)施例而已,并非用于限定本發(fā)明的保護(hù)范圍���。凡在本發(fā)明的精神和原則之內(nèi)�����,所作的任何修改����、等同替換�����、改進(jìn)等���,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)���。
權(quán)利要求
1.一種入侵檢測(cè)系統(tǒng)IDS與網(wǎng)絡(luò)設(shè)備聯(lián)動(dòng)的系統(tǒng)�,其特征在于��,該系統(tǒng)包括IDS����,用于檢測(cè)數(shù)據(jù)流中是否包含攻擊報(bào)文,網(wǎng)絡(luò)設(shè)備聯(lián)動(dòng)組�,包括至少一個(gè)網(wǎng)絡(luò)設(shè)備;其中�,所述網(wǎng)絡(luò)設(shè)備接收數(shù)據(jù)流后,將數(shù)據(jù)流鏡像到IDS�,當(dāng)IDS檢測(cè)到所接收到的數(shù)據(jù)流中包含攻擊報(bào)文時(shí),便向所述網(wǎng)絡(luò)設(shè)備聯(lián)動(dòng)組中的每個(gè)網(wǎng)絡(luò)設(shè)備發(fā)送聯(lián)動(dòng)報(bào)文�����。
2.根據(jù)權(quán)利要求1所述的聯(lián)動(dòng)系統(tǒng)��,其特征在于����,該聯(lián)動(dòng)系統(tǒng)進(jìn)一步包括管理中心,用于接收IDS檢測(cè)出攻擊報(bào)文時(shí)所發(fā)送的報(bào)警信息�����。
3.根據(jù)權(quán)利要求1所述的聯(lián)動(dòng)系統(tǒng)��,其特征在于����,所述的網(wǎng)絡(luò)設(shè)備聯(lián)動(dòng)組內(nèi)的網(wǎng)絡(luò)設(shè)備配置有相同的屬性。
4.根據(jù)權(quán)利要求3所述的聯(lián)動(dòng)系統(tǒng)����,其特征在于,所述屬性包括聯(lián)動(dòng)組總開(kāi)關(guān)�、聯(lián)動(dòng)組使能開(kāi)關(guān)、保護(hù)接口列表�、保護(hù)IP地址列表、白名單���、限流類(lèi)型中至少一個(gè)�。
5.根據(jù)權(quán)利要求1所述的聯(lián)動(dòng)系統(tǒng)����,其特征在于�����,所述IDS內(nèi)配置有聯(lián)動(dòng)策略表�,所述聯(lián)動(dòng)策略表中包括與攻擊報(bào)文的類(lèi)型相對(duì)應(yīng)的聯(lián)動(dòng)策略��。
6.根據(jù)權(quán)利要求5所述的聯(lián)動(dòng)系統(tǒng)���,其特征在于����,IDS當(dāng)檢測(cè)出攻擊報(bào)文時(shí)���,進(jìn)一步用于在聯(lián)動(dòng)策略表中查詢與攻擊報(bào)文的類(lèi)型相對(duì)應(yīng)的聯(lián)動(dòng)策略��,并且發(fā)送包含該聯(lián)動(dòng)策略的聯(lián)動(dòng)報(bào)文����。
7.根據(jù)權(quán)利要求1所述的聯(lián)動(dòng)系統(tǒng),其特征在于,所述網(wǎng)絡(luò)設(shè)備聯(lián)動(dòng)組中的網(wǎng)絡(luò)設(shè)備位于相同的網(wǎng)段�����。
8.根據(jù)權(quán)利要求1所述的聯(lián)動(dòng)系統(tǒng),其特征在于�����,所述網(wǎng)絡(luò)設(shè)備聯(lián)動(dòng)組中的網(wǎng)絡(luò)設(shè)備具有相同的型號(hào)����。
9.一種IDS與網(wǎng)絡(luò)設(shè)備的聯(lián)動(dòng)方法,其特征在于��,將網(wǎng)絡(luò)設(shè)備根據(jù)預(yù)先定義的規(guī)則劃分成網(wǎng)絡(luò)設(shè)備聯(lián)動(dòng)組�;該方法還包括A、網(wǎng)絡(luò)設(shè)備接收數(shù)據(jù)流���,將數(shù)據(jù)流鏡像到IDS�����;B�、IDS檢測(cè)數(shù)據(jù)流中是否包含攻擊報(bào)文�����,當(dāng)包含攻擊報(bào)文時(shí)�,向鏡像該數(shù)據(jù)流的網(wǎng)絡(luò)設(shè)備所屬的網(wǎng)絡(luò)設(shè)備聯(lián)動(dòng)組中的每個(gè)網(wǎng)絡(luò)設(shè)備發(fā)送聯(lián)動(dòng)報(bào)文��;C��、網(wǎng)絡(luò)設(shè)備根據(jù)聯(lián)動(dòng)報(bào)文對(duì)該包含攻擊報(bào)文的數(shù)據(jù)流進(jìn)行處理��。
10.根據(jù)權(quán)利要求9所述的聯(lián)動(dòng)方法�����,其特征在于�����,對(duì)于劃分到同一聯(lián)動(dòng)組的網(wǎng)絡(luò)設(shè)備����,配置相同的屬性���。
11.根據(jù)權(quán)利要求10所述的聯(lián)動(dòng)方法�,其特征在于��,所述屬性包括聯(lián)動(dòng)組總開(kāi)關(guān)�、聯(lián)動(dòng)組使能開(kāi)關(guān)、保護(hù)接口列表、保護(hù)IP地址列表���、白名單���、限流類(lèi)型中至少一個(gè)��。
12.根據(jù)權(quán)利要求9所述的聯(lián)動(dòng)方法�����,其特征在于��,進(jìn)一步預(yù)先在IDS內(nèi)配置聯(lián)動(dòng)策略表��,所述聯(lián)動(dòng)策略表中包括與攻擊報(bào)文的類(lèi)型相對(duì)應(yīng)的聯(lián)動(dòng)策略����。
13.根據(jù)權(quán)利要求12所述的聯(lián)動(dòng)方法,其特征在于��,步驟B中IDS檢測(cè)出攻擊報(bào)文后�����,進(jìn)一步在聯(lián)動(dòng)策略表中查詢與攻擊報(bào)文的類(lèi)型相對(duì)應(yīng)的聯(lián)動(dòng)策略���,并且發(fā)送包含該聯(lián)動(dòng)策略的聯(lián)動(dòng)報(bào)文����;步驟C中網(wǎng)絡(luò)設(shè)備應(yīng)用該聯(lián)動(dòng)策略對(duì)該包含攻擊報(bào)文的數(shù)據(jù)流進(jìn)行處理。
14.根據(jù)權(quán)利要求9所述的聯(lián)動(dòng)方法�����,其特征在于��,所述步驟C為對(duì)該包含攻擊報(bào)文的數(shù)據(jù)流進(jìn)行阻斷或者限制�。
15.根據(jù)權(quán)利要求14所述的聯(lián)動(dòng)方法,其特征在于�����,所述對(duì)數(shù)據(jù)流進(jìn)行限制為對(duì)同一種類(lèi)型的多個(gè)數(shù)據(jù)流的總流量進(jìn)行限流��,或者對(duì)每一個(gè)數(shù)據(jù)流的流量進(jìn)行單獨(dú)限流�����。
16.根據(jù)權(quán)利要求9所述的聯(lián)動(dòng)方法�,其特征在于,進(jìn)一步預(yù)先設(shè)置聯(lián)動(dòng)組總開(kāi)關(guān),步驟B中IDS檢測(cè)出攻擊報(bào)文時(shí)���,進(jìn)一步判斷聯(lián)動(dòng)組總開(kāi)關(guān)的狀態(tài)�,當(dāng)聯(lián)動(dòng)組總開(kāi)關(guān)打開(kāi)時(shí)�����,向鏡像該數(shù)據(jù)流的網(wǎng)絡(luò)設(shè)備所屬的網(wǎng)絡(luò)設(shè)備聯(lián)動(dòng)組中的每個(gè)網(wǎng)絡(luò)設(shè)備發(fā)送聯(lián)動(dòng)報(bào)文�����,當(dāng)聯(lián)動(dòng)組總開(kāi)關(guān)關(guān)閉時(shí)�,不發(fā)送聯(lián)動(dòng)報(bào)文��。
17.根據(jù)權(quán)利要求9所述的聯(lián)動(dòng)方法�����,其特征在于��,進(jìn)一步預(yù)先分別設(shè)置聯(lián)動(dòng)組使能開(kāi)關(guān)��,步驟B中IDS檢測(cè)出攻擊報(bào)文時(shí)�,進(jìn)一步判斷鏡像該數(shù)據(jù)流的網(wǎng)絡(luò)設(shè)備所屬的網(wǎng)絡(luò)設(shè)備聯(lián)動(dòng)組的聯(lián)動(dòng)組使能開(kāi)關(guān)的狀態(tài),當(dāng)該聯(lián)動(dòng)組使能開(kāi)關(guān)打開(kāi)時(shí),向該聯(lián)動(dòng)組中的每個(gè)網(wǎng)絡(luò)設(shè)備發(fā)送聯(lián)動(dòng)報(bào)文����,當(dāng)該聯(lián)動(dòng)組使能開(kāi)關(guān)關(guān)閉時(shí),不發(fā)送聯(lián)動(dòng)報(bào)文��。
18.根據(jù)權(quán)利要求9所述的聯(lián)動(dòng)方法�,其特征在于,進(jìn)一步預(yù)先設(shè)置聯(lián)動(dòng)組白名單�����,步驟B中IDS檢測(cè)出攻擊報(bào)文時(shí)��,進(jìn)一步判斷攻擊報(bào)文的源地址/目的地址是否在白名單中����,當(dāng)不在白名單中時(shí),向聯(lián)動(dòng)組中的每個(gè)網(wǎng)絡(luò)設(shè)備發(fā)送聯(lián)動(dòng)報(bào)文�,當(dāng)在白名單中時(shí),不發(fā)送聯(lián)動(dòng)報(bào)文�����。
19.根據(jù)權(quán)利要求9所述的聯(lián)動(dòng)方法�����,其特征在于,進(jìn)一步預(yù)先設(shè)置聯(lián)動(dòng)組保護(hù)接口列表����,步驟B中IDS檢測(cè)出攻擊報(bào)文時(shí),進(jìn)一步判斷攻擊報(bào)文是否來(lái)自所述保護(hù)接口列表��,如果是���,則向聯(lián)動(dòng)組中的每個(gè)網(wǎng)絡(luò)設(shè)備發(fā)送聯(lián)動(dòng)報(bào)文�;如果不是�,則不發(fā)送聯(lián)動(dòng)報(bào)文�。
20.根據(jù)權(quán)利要求9所述的聯(lián)動(dòng)方法,其特征在于���,進(jìn)一步預(yù)先設(shè)置聯(lián)動(dòng)組保護(hù)IP地址列表���,步驟B中IDS檢測(cè)出攻擊報(bào)文時(shí),IDS進(jìn)一步判斷攻擊報(bào)文的源地址/目的地址是否在聯(lián)動(dòng)組保護(hù)IP地址列表中���,當(dāng)在列表中時(shí)�����,向聯(lián)動(dòng)組中的每個(gè)網(wǎng)絡(luò)設(shè)備發(fā)送聯(lián)動(dòng)報(bào)文�,當(dāng)不在時(shí),不發(fā)送聯(lián)動(dòng)報(bào)文�����。
21.根據(jù)權(quán)利要求9所述的聯(lián)動(dòng)方法����,其特征在于,所述預(yù)先定義的規(guī)則為將屬于同一網(wǎng)段的網(wǎng)絡(luò)設(shè)備劃分到同一網(wǎng)絡(luò)設(shè)備聯(lián)動(dòng)組中�����。
22.根據(jù)權(quán)利要求9所述的聯(lián)動(dòng)方法��,其特征在于��,所述預(yù)先定義的規(guī)則為將同一型號(hào)的網(wǎng)絡(luò)設(shè)備劃分到同一網(wǎng)絡(luò)設(shè)備聯(lián)動(dòng)組中����。
23.根據(jù)權(quán)利要求9所述的聯(lián)動(dòng)方法,其特征在于����,所述聯(lián)動(dòng)報(bào)文通過(guò)TLV格式被封裝�����。
24.根據(jù)權(quán)利要求9所述的聯(lián)動(dòng)方法�����,其特征在于����,當(dāng)步驟B確定數(shù)據(jù)流中包含攻擊報(bào)文時(shí)���,進(jìn)一步判斷所述攻擊報(bào)文是否具有虛擬局域網(wǎng)VLAN標(biāo)簽���,如果有���,則向該VLAN內(nèi)IDS-ACL(訪問(wèn)控制列表)使能的網(wǎng)絡(luò)設(shè)備發(fā)送聯(lián)動(dòng)報(bào)文�,如果沒(méi)有����,則退出本流程��。
全文摘要
本發(fā)明公開(kāi)了一種入侵檢測(cè)系統(tǒng)(IDS)與網(wǎng)絡(luò)設(shè)備聯(lián)動(dòng)的系統(tǒng)�����,該系統(tǒng)包括IDS����,用于檢測(cè)數(shù)據(jù)流中是否包含攻擊報(bào)文�����,網(wǎng)絡(luò)設(shè)備聯(lián)動(dòng)組�����,包括至少一個(gè)網(wǎng)絡(luò)設(shè)備�;其中,網(wǎng)絡(luò)設(shè)備接收數(shù)據(jù)流后����,將數(shù)據(jù)流鏡像到IDS,當(dāng)IDS檢測(cè)到所接收到的數(shù)據(jù)流中包含攻擊報(bào)文時(shí)�����,便向網(wǎng)絡(luò)設(shè)備聯(lián)動(dòng)組中的每個(gè)網(wǎng)絡(luò)設(shè)備發(fā)送聯(lián)動(dòng)報(bào)文。本發(fā)明還公開(kāi)了一種IDS與網(wǎng)絡(luò)設(shè)備聯(lián)動(dòng)的方法����。應(yīng)用本發(fā)明以后,對(duì)聯(lián)動(dòng)的控制更加細(xì)化�����,并且可以針對(duì)攻擊類(lèi)型而自定義聯(lián)動(dòng)策略����。
文檔編號(hào)H04L12/56GK1791021SQ200510132330
公開(kāi)日2006年6月21日 申請(qǐng)日期2005年12月21日 優(yōu)先權(quán)日2005年12月21日
發(fā)明者李開(kāi)銀, 汪翰林, 陳冰 申請(qǐng)人:杭州華為三康技術(shù)有限公司