專利名稱:一種分布式協(xié)同入侵檢測系統(tǒng)數(shù)據(jù)安全傳輸?shù)膶?shí)現(xiàn)方法
技術(shù)領(lǐng)域:
本發(fā)明涉及計算機(jī)網(wǎng)絡(luò)安全技術(shù)領(lǐng)域,特別涉及一種分布式協(xié)同入侵檢測系統(tǒng)數(shù)據(jù)安全傳輸?shù)膶?shí)現(xiàn)方法���。
背景技術(shù):
網(wǎng)絡(luò)入侵檢測(Intrusion Detection)是對入侵行為的發(fā)覺���。它通過對計算機(jī)網(wǎng)絡(luò)或計算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對其進(jìn)行分析,從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象����。隨著高速網(wǎng)絡(luò)的發(fā)展以及各種分布式網(wǎng)絡(luò)技術(shù)的發(fā)展����,入侵的手段與技術(shù)也有了“進(jìn)步與發(fā)展”����。入侵技術(shù)的發(fā)展與演化主要反映在下列幾個方面入侵或攻擊的綜合化與復(fù)雜化����。入侵的手段有多種,入侵者往往采取一種攻擊手段���。由于網(wǎng)絡(luò)防范技術(shù)的多重化���,攻擊的難度增加,使得入侵者在實(shí)施入侵或攻擊時往往同時采取多種入侵的手段�,以保證入侵的成功幾率,并可在攻擊實(shí)施的初期掩蓋攻擊或入侵的真實(shí)目的���。
入侵主體對象的間接化��,即實(shí)施入侵與攻擊的主體的隱蔽化����。通過一定的技術(shù)���,可掩蓋攻擊主體的源地址及主機(jī)位置�。即使用了隱蔽技術(shù)后,對于被攻擊對象攻擊的主體是無法直接確定的�����。
入侵或攻擊的規(guī)模擴(kuò)大�����。對于網(wǎng)絡(luò)的入侵與攻擊�,在其初期往往是針對于某公司或一個網(wǎng)站,其攻擊的目的可能為某些網(wǎng)絡(luò)技術(shù)愛好者的獵奇行為���,也不排除商業(yè)的盜竊與破壞行為�����。由于戰(zhàn)爭對電子技術(shù)與網(wǎng)絡(luò)技術(shù)的依賴性越來越大�����,隨之產(chǎn)生�����、發(fā)展�、逐步升級到電子戰(zhàn)與信息戰(zhàn)�。對于信息戰(zhàn),無論其規(guī)模與技術(shù)都與一般意義上的計算機(jī)網(wǎng)絡(luò)的入侵與攻擊都不可相提并論�。信息戰(zhàn)的成敗與國家主干通信網(wǎng)絡(luò)的安全是與任何主權(quán)國家領(lǐng)土安全一樣的國家安全。
入侵或攻擊技術(shù)的分布化���。以往常用的入侵與攻擊行為往往由單機(jī)執(zhí)行��。由于防范技術(shù)的發(fā)展使得此類行為不能奏效����。所謂的分布式拒絕服務(wù)(DDoS)在很短時間內(nèi)可造成被攻擊主機(jī)的癱瘓���。且此類分布式攻擊的單機(jī)信息模式與正常通信無差異�����,所以往往在攻擊發(fā)動的初期不易被確認(rèn)�。分布式攻擊是近期最常用的攻擊手段���。
攻擊對象的轉(zhuǎn)移��。入侵與攻擊常以網(wǎng)絡(luò)為侵犯的主體�����,但近期來的攻擊行為卻發(fā)生了策略性的改變�,由攻擊網(wǎng)絡(luò)改為攻擊網(wǎng)絡(luò)的防護(hù)系統(tǒng),且有愈演愈烈的趨勢?���,F(xiàn)已有專門針對IDS作攻擊的報道。攻擊者詳細(xì)地分析了IDS的審計方式�����、特征描述���、通信模式找出IDS的弱點(diǎn)���,然后加以攻擊。
目前入侵檢測系統(tǒng)的分類有(1)基于網(wǎng)絡(luò)的入侵檢測�����。
基于網(wǎng)絡(luò)的入侵檢測產(chǎn)品(NIDS)放置在比較重要的網(wǎng)段內(nèi),不停地監(jiān)視網(wǎng)段中的各種數(shù)據(jù)包�����。對每一個數(shù)據(jù)包或可疑的數(shù)據(jù)包進(jìn)行特征分析����。如果數(shù)據(jù)包與產(chǎn)品內(nèi)置的某些規(guī)則吻合��,入侵檢測系統(tǒng)就會發(fā)出警報甚至直接切斷網(wǎng)絡(luò)連接�����。
(2)基于主機(jī)的入侵檢測基于主機(jī)的入侵檢測產(chǎn)品(HIDS)通常是安裝在被重點(diǎn)檢測的主機(jī)之上����,主要是對該主機(jī)的網(wǎng)絡(luò)實(shí)時連接以及系統(tǒng)審計日志進(jìn)行智能分析和判斷。如果其中主體活動十分可疑(特征或違反統(tǒng)計規(guī)律)��,入侵檢測系統(tǒng)就會采取相應(yīng)措施��。
這些原有的網(wǎng)絡(luò)入侵檢測是由檢測引擎獨(dú)立對入侵行為進(jìn)行檢測��,不能處理復(fù)雜的攻擊行為����,很難適應(yīng)現(xiàn)在的狀況�。
發(fā)明內(nèi)容
為了克服現(xiàn)有技術(shù)中的不足�����,本發(fā)明的目的在于提供一種分布式協(xié)同入侵檢測系統(tǒng)數(shù)據(jù)安全傳輸?shù)膶?shí)現(xiàn)方法���,來保證端到端的信息安全傳輸�。
為完成上述發(fā)明目的�,本發(fā)明提供一種分布式協(xié)同入侵檢測系統(tǒng)數(shù)據(jù)安全傳輸?shù)膶?shí)現(xiàn)方法,該方法包括以下步驟1)各入侵檢測引擎對報警信息進(jìn)行編碼���;2)通信雙方進(jìn)行相互認(rèn)證���,對報警信息進(jìn)行加密;3)入侵檢測引擎與中心管理控制平臺間報警信息的安全傳輸����;4)中心管理控制平臺將報警信息存儲到報警信息數(shù)據(jù)庫;
5)中心管理控制平臺對報警信息進(jìn)行分析�、響應(yīng)。
本發(fā)明具有明顯的優(yōu)點(diǎn)和積極效果���。與傳統(tǒng)的入侵檢測系統(tǒng)相比�,本發(fā)明能夠保證分布式入侵檢測系統(tǒng)端到端的信息傳輸?shù)陌踩〝?shù)據(jù)加密����、鑒別、數(shù)據(jù)完整性的維護(hù)和密鑰管理等問題�����,實(shí)現(xiàn)入侵檢測系統(tǒng)報警信息的安全傳輸�,為實(shí)現(xiàn)監(jiān)測協(xié)同提供可靠傳輸服務(wù)����。
圖1為根據(jù)本發(fā)明的分布式協(xié)同網(wǎng)絡(luò)入侵檢測系統(tǒng)組成;圖2為根據(jù)本發(fā)明的一種分布式協(xié)同入侵檢測系統(tǒng)工作流程圖�;圖3為根據(jù)本發(fā)明的分布式協(xié)同入侵檢測系統(tǒng)數(shù)據(jù)安全傳輸流程圖;圖4為根據(jù)本發(fā)明的信息交換流程圖�����;圖5為根據(jù)本發(fā)明的證書認(rèn)證流程圖�;圖6為根據(jù)本發(fā)明的數(shù)據(jù)加密、解密和驗(yàn)證流程圖��。
具體實(shí)施例方式
本發(fā)明提供一種分布式協(xié)同入侵檢測系統(tǒng)數(shù)據(jù)安全傳輸?shù)膶?shí)現(xiàn)方法。下面結(jié)合說明書附圖來說明本發(fā)明的具體實(shí)施方式
���。
圖1所示為本發(fā)明的分布式協(xié)同網(wǎng)絡(luò)入侵檢測系統(tǒng)組成示意圖和圖2所示為本發(fā)明的分布式協(xié)同入侵檢測系統(tǒng)系統(tǒng)工作流程圖�����,后面將結(jié)合圖1���、圖2對本發(fā)明的分布式協(xié)同入侵檢測系統(tǒng)工作流程進(jìn)行詳細(xì)描述。
首先��,在步驟201���,有數(shù)據(jù)收集引擎收集網(wǎng)絡(luò)中的入侵信息��,并向入侵檢測引擎101發(fā)送報警消息或可疑行為消息�。
在步驟202���,入侵檢測引擎101如果收到報警消息���,則發(fā)現(xiàn)入侵,向中心管理控制平臺102發(fā)送報警消息�;如果收到可疑行為消息�����,則向中心管理控制平臺發(fā)送���,由中心管理控制平臺102對可疑消息進(jìn)行評估,如果超過報警閥值���,則認(rèn)為發(fā)現(xiàn)入侵�����。
在步驟203,中心管理控制平臺102將報警消息存入入侵事件數(shù)據(jù)庫103����。
在步驟204,中心管理控制平臺102將所有入侵檢測引擎101發(fā)來的報警信息進(jìn)行分析����,可以檢測到較復(fù)雜的入侵行為,并根據(jù)分析結(jié)果決定是否采取響應(yīng)措施��。
圖3為根據(jù)本發(fā)明的分布式協(xié)同入侵檢測系統(tǒng)數(shù)據(jù)安全傳輸流程圖����,下文將參考圖3���,對本發(fā)明的分布式協(xié)同入侵檢測系統(tǒng)數(shù)據(jù)安全傳輸工作流程進(jìn)行詳細(xì)描述。
首先�����,在步驟301���,各入侵檢測引擎101對傳輸數(shù)據(jù)進(jìn)行編碼�。由于在分布式協(xié)同入侵檢測系統(tǒng)中各入侵檢測引擎101運(yùn)行的平臺不同���,檢測算法不同�,對報警所產(chǎn)生的數(shù)據(jù)格式也不相同�����,因此���,為滿足不同入侵檢測引擎之間的信息傳輸需求�����,采用入侵檢測工作組(IDWG)制定的入侵檢測信息交換格式����,并且用XML來實(shí)現(xiàn)入侵檢測信息交換格式,各入侵檢測引擎?zhèn)鬏數(shù)男畔⒍家?jīng)過XML編碼��。傳輸?shù)陌l(fā)起方即入侵檢測引擎101在發(fā)現(xiàn)入侵事件后��,首先對報警信息進(jìn)行XML編碼���,通過入侵檢測安全交換協(xié)議傳送給中心管理控制平臺102�,中心管理控制平臺102對入侵檢測系統(tǒng)發(fā)來信息進(jìn)行解碼分析�����。
在步驟302���,完成入侵檢測引擎101與中心管理控制平臺102間報警信息的安全傳輸及交換。由于基于TCP/IP的網(wǎng)絡(luò)不能保障各入侵檢測系統(tǒng)間的信息安全傳輸����,所有的消息都應(yīng)進(jìn)行加密處理,因此�,本方法采用入侵檢測安全交換協(xié)議����。入侵檢測安全交換協(xié)議是一個面向連接的能夠提供加密����、鑒別、完整性保護(hù)的應(yīng)用層協(xié)議��,它主要用于在入侵檢測實(shí)體間傳輸入侵檢測信息交換格式的信息�����、二進(jìn)制流等����,因此,利用入侵檢測安全交換協(xié)議來完成入檢測引擎與中心管理控制平臺間報警信息的安全傳輸����。在本方法中,使用多個信道對傳輸?shù)男畔⑦M(jìn)行分類��,保留一個信道作為傳輸控制信息的通道�����,其它的通道用來傳輸數(shù)據(jù)信息,不同的通道來傳輸不同類型的報警信息����,并根據(jù)需要設(shè)置各信道的優(yōu)先級,先滿足級別高的信道的信息傳輸�。采用傳輸層安全協(xié)議(TLS)作為安全傳輸?shù)目刂茀f(xié)議。根據(jù)通信雙方協(xié)商的通信方式���,進(jìn)行信息的安全傳輸����,并采用傳輸層安全協(xié)議的告警協(xié)議來進(jìn)行傳輸過程中的錯誤控制�����。因此�,在傳輸過程中,如果通信一方發(fā)生任何異常�����,則會給對方發(fā)送告警消息通告�����。告警的類型分為兩種一種是致命錯誤消息��,當(dāng)該情況發(fā)生時���,雙方中斷會話����,清除緩沖區(qū)相應(yīng)會話記錄����,第二種是一般警告消息,在這種情況發(fā)生時���,通信雙方只是記錄日志�,不會對通信過程產(chǎn)生影響��。
在步驟303��,數(shù)據(jù)安全傳輸?shù)拿荑€管理�����。包括會話密鑰的協(xié)商、生成��、傳遞��,私鑰的保護(hù)��,證書管理����、公鑰和證書策略及證書撤消列表(CRL)的獲取等工作。
圖4為本發(fā)明的分布式協(xié)同入侵檢測系統(tǒng)數(shù)據(jù)安全傳輸方法的信息交換流程圖��,參考圖4�,本發(fā)明的分布式協(xié)同入侵檢測系統(tǒng)數(shù)據(jù)安全傳輸方法的信息交換工作流程如下首先,在步驟401�,各入侵檢測引擎101對傳輸數(shù)據(jù)進(jìn)行編碼。傳輸?shù)陌l(fā)起方即入侵檢測引擎101在發(fā)現(xiàn)入侵事件后��,首先對報警信息進(jìn)行XML編碼����,通過入侵檢測安全交換協(xié)議傳送給中心管理控制平臺102。
其次�����,在步驟402,中心管理控制平臺102將報警信息存儲到報警信息數(shù)據(jù)庫103��。
最后�,在步驟403�����,中心管理控制平臺102對來自入侵檢測引擎101的XML編碼信息進(jìn)行解碼��、分析及響應(yīng)�����。
圖5為本發(fā)明的證書認(rèn)證流程圖��,參考圖5�����,本發(fā)明的證書認(rèn)證流程如下在步驟501���,通信雙方在進(jìn)行信息的傳輸之前����,必須進(jìn)行相互的認(rèn)證,采用認(rèn)證中心CA(Certificate Authority)集中管理方式對密鑰進(jìn)行管理�。A把自己的公鑰PKA送到CA,通信雙方都要從證書庫中獲得認(rèn)證中心發(fā)布的證書���,并且定時下載證書策略及證書撤消列表(CRL)�����。在本地維護(hù)證書庫���,識別X.509證書,在進(jìn)行通信之前��,用證書來鑒別雙方的身份�����。檢查本地已經(jīng)下載的證書策略及證書撤消列表來判斷證書是否有效���。在用戶申請并下載了新的證書時�,應(yīng)先造出密鑰報廢證書����,這樣假設(shè)私鑰文件被破壞或刪除��,用戶就能夠產(chǎn)生一份廢除鑰匙的聲明��,并將其送至認(rèn)證中心��。
在步驟502,CA用自己的私鑰和A的公鑰生成A的證書�,證書內(nèi)包括CA的數(shù)字簽名。簽名對象包括需要在證書中說明的內(nèi)容�����,比如A的公鑰����、時間戳、序列號等����,為了簡化這里不妨假設(shè)證書中只有三項(xiàng)內(nèi)容A的公鑰PKA、時間戳TIME1��、序列號IDA��。
在步驟503�,M同樣把自己的公鑰PKM送到CA�����。
在步驟504�����,M得到CA發(fā)布的證書CertM���。
在步驟505,A告知M證書CertA���。
在步驟506����,M告知A證書CertM��。
A��、M各自得到對方證書后�����,利用從CA得到的公鑰(在CA的自簽證書中)驗(yàn)證彼此對方的證書是否有效���,如果有效����,那么就得到了彼此的公鑰。利用對方的公鑰�����,可以加密數(shù)據(jù)��,也可以用來驗(yàn)證對方的數(shù)字簽名����。
圖6為根據(jù)本發(fā)明的數(shù)據(jù)加密��、解密和驗(yàn)證流程圖��,參考圖6��,數(shù)據(jù)加密��、解密和驗(yàn)證流程如下通信的雙方采用非對稱密鑰體制完成身份認(rèn)證后�,協(xié)商產(chǎn)生一個3DES密鑰,采用RSA算法對這個3DES密鑰進(jìn)行加密�����,然后使用3DES算法對信息本身進(jìn)行加密,即采用一次一密的方式�����,對于每次通信都采用不同的工作密鑰���,保證了通信的安全性����,防止中間人攻擊��。通信雙方M與B的信息處理過程為M用MD5算法對文本信息T產(chǎn)生信息摘要Td�����,再用自己的私鑰對Td加密���,得到數(shù)字簽名Tds(步驟601�、603)����,然后隨機(jī)產(chǎn)生一個3DES的密鑰K����,作為工作密鑰���,按3DES算法對信息T進(jìn)行加密得到密文Tc(步驟602)�����,再用B的公鑰采用RSA算法對工作密鑰K進(jìn)行加密得到Kc��,則加密后的工作密鑰Kc���、加密后的文本信息Tc和數(shù)字簽名Tds發(fā)送給B��。B使用自己的私鑰對Kc解密后得到工作密鑰K�,使用K對密文Tc進(jìn)行解密(步驟605),得到文本信息T(步驟607)����,再對文本信息T用MD5算法計算信息摘要,得到Td_new����,然后B再對Tds使用M的公鑰進(jìn)行解密得到Td_old����,如果Td_new和Td_old相同��,則可以肯定信息是從M處發(fā)過來的(步驟604)��,因此采用這樣的方式可對信息進(jìn)行安全保護(hù)�,從而完成數(shù)據(jù)安全傳輸。
權(quán)利要求
1.一種分布式協(xié)同入侵檢測系統(tǒng)數(shù)據(jù)安全傳輸?shù)膶?shí)現(xiàn)方法����,其特征在于,該方法包括以下步驟1)各入侵檢測引擎對報警信息進(jìn)行編碼�;2)通信雙方進(jìn)行相互認(rèn)證,對報警信息進(jìn)行加密��;3)入侵檢測引擎與中心管理控制平臺間報警信息的安全傳輸�����;4)中心管理控制平臺將報警信息存儲到報警信息數(shù)據(jù)庫����;5)中心管理控制平臺對報警信息進(jìn)行分析、響應(yīng)。
2.根據(jù)權(quán)利要求1所述的分布式協(xié)同入侵檢測系統(tǒng)數(shù)據(jù)安全傳輸?shù)膶?shí)現(xiàn)方法����,其特征在于,所述步驟1中的對報警信息進(jìn)行編碼采用入侵檢測工作組IDWG制定的入侵檢測信息交換格式����,并且用XML來實(shí)現(xiàn)入侵檢測信息交換格式,各入侵檢測引擎?zhèn)鬏數(shù)男畔⒉捎肵ML編碼���。
3.根據(jù)權(quán)利要求1所述的分布式協(xié)同入侵檢測系統(tǒng)數(shù)據(jù)安全傳輸?shù)膶?shí)現(xiàn)方法����,其特征在于����,所述步驟2中的通信雙方進(jìn)行相互認(rèn)證采用認(rèn)證中心CA集中管理方式對密鑰進(jìn)行管理。
4.根據(jù)權(quán)利要求1所述的分布式協(xié)同入侵檢測系統(tǒng)數(shù)據(jù)安全傳輸?shù)膶?shí)現(xiàn)方法�����,其特征在于���,所述步驟2中的信息加密采用對稱密鑰體制,即會話密鑰采用對稱密鑰體制。
5.根據(jù)權(quán)利要求4所述的信息加密����,其特征在于,所述步驟2中的信息加密方式為通信的雙方采用非對稱密鑰體制完成身份認(rèn)證后���,協(xié)商產(chǎn)生一個3DES密鑰�����,采用RSA算法對這個3DES密鑰進(jìn)行加密�����,然后使用3DES算法對信息本身進(jìn)行加密�����,即采用一次一密的方式���,對于每次通信都采用不同的工作密鑰。
6.根據(jù)權(quán)利要求1所述的分布式協(xié)同入侵檢測系統(tǒng)數(shù)據(jù)安全傳輸?shù)膶?shí)現(xiàn)方法����,其特征在于,所述步驟3中的報警信息的安全傳輸方式為是使用多個信道并對傳輸?shù)男畔⑦M(jìn)行分類,保留一個信道作為傳輸控制信息的通道���,其它的通道用來傳輸數(shù)據(jù)信息��,不同的通道用來傳輸不同類型的報警信息��,并根據(jù)需要設(shè)置各信道的優(yōu)先級���,先滿足級別高的信道的信息傳輸,根據(jù)通信雙方協(xié)商的通信方式�,進(jìn)行信息的安全傳輸,并采用傳輸層安全協(xié)議的告警協(xié)議來進(jìn)行傳輸過程中的錯誤控制���,當(dāng)發(fā)生致命錯誤時����,雙方中斷會話��,清除緩沖區(qū)相應(yīng)會話記錄�����。
7.根據(jù)權(quán)利要求1所述的分布式協(xié)同入侵檢測系統(tǒng)數(shù)據(jù)安全傳輸?shù)膶?shí)現(xiàn)方法�,其特征在于,所述步驟3中的報警信息的安全傳輸采用傳輸層安全協(xié)議(TLS)作為安全傳輸?shù)目刂茀f(xié)議�����。
全文摘要
本發(fā)明公開了計算機(jī)網(wǎng)絡(luò)安全技術(shù)領(lǐng)域的一種分布式協(xié)同入侵檢測系統(tǒng)數(shù)據(jù)安全傳輸?shù)膶?shí)現(xiàn)方法�。該方法通過將入侵報警信息進(jìn)行數(shù)據(jù)編碼、消息交換和密鑰管理�����,保證了分布式協(xié)同入侵檢測系統(tǒng)端到端的信息傳輸?shù)陌踩?���,解決了數(shù)據(jù)加密、鑒別����、數(shù)據(jù)完整性的維護(hù)和密鑰管理等問題,實(shí)現(xiàn)了入侵檢測系統(tǒng)報警信息的安全傳輸�����,為監(jiān)測協(xié)同提供可靠的傳輸服務(wù)��。
文檔編號H04L9/32GK101039225SQ20071006511
公開日2007年9月19日 申請日期2007年4月4日 優(yōu)先權(quán)日2007年4月4日
發(fā)明者姜圳 申請人:北京佳訊飛鴻電氣有限責(zé)任公司