專利名稱:分布式網(wǎng)絡(luò)動(dòng)態(tài)安全保護(hù)系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明屬于計(jì)算機(jī)安全領(lǐng)域,具體涉及一種基于分布式微防火墻和微入侵檢測的網(wǎng)絡(luò)動(dòng)態(tài)安全保護(hù)系統(tǒng)����。
中國網(wǎng)絡(luò)安全響應(yīng)中心的技術(shù)報(bào)告指出,當(dāng)前的入侵檢測系統(tǒng)面臨兩個(gè)主要挑戰(zhàn)一個(gè)是虛警率太高��,美國政府利用國家科學(xué)基金會(huì)的資金資助學(xué)術(shù)界對(duì)虛警問題的研究��,足見問題之嚴(yán)重��;另一個(gè)是檢測速度太慢��,目前大多數(shù)入侵檢測系統(tǒng)在不犧牲檢測質(zhì)量的前提下尚不能處理百兆位網(wǎng)絡(luò)滿負(fù)荷時(shí)的數(shù)據(jù)量���。
1999年����,S.M.Bellovin在《���;login》雜志24卷第5期上發(fā)表的“DistributedFirewalls”首次提出分布式防火墻的結(jié)構(gòu)�����,其示意圖如
圖1所示�����。該結(jié)構(gòu)在受保護(hù)子網(wǎng)的各個(gè)節(jié)點(diǎn)上安裝防火墻進(jìn)行數(shù)據(jù)包的訪問控制����,同時(shí)中央管理臺(tái)對(duì)防火墻的安全策略進(jìn)行集中管理���,并由策略發(fā)布模塊將安全策略發(fā)布到各個(gè)防火墻上�����,發(fā)布機(jī)制采用TFTP(Trivial File Transfer Protocol�����,簡單文件傳輸協(xié)議)���。該結(jié)構(gòu)消除了傳統(tǒng)防火墻存在的一些弱點(diǎn)(例如依賴于網(wǎng)絡(luò)的物理拓?fù)浣Y(jié)構(gòu)���、不能防止內(nèi)部攻擊、效率不高����、故障點(diǎn)多、無法有效地處理許多端到端的加密協(xié)議如IPSec)�。但是在該結(jié)構(gòu)中,隨著受保護(hù)節(jié)點(diǎn)的增加���,中央管理臺(tái)發(fā)布策略的任務(wù)將日趨繁重����,降低了系統(tǒng)的可擴(kuò)展性�;另外,該結(jié)構(gòu)不能防止日益嚴(yán)峻的協(xié)同式入侵行為�,不能有效的實(shí)現(xiàn)動(dòng)態(tài)自免疫。
從工作原理的角度可以將本系統(tǒng)分為兩大部分�,一是安裝在受保護(hù)節(jié)點(diǎn)上的微防火墻系統(tǒng)和微入侵檢測系統(tǒng);二是安裝在中央管理臺(tái)上的IDS匯總決策模塊和防火墻策略發(fā)布模塊。
本發(fā)明分布式網(wǎng)絡(luò)動(dòng)態(tài)安全保護(hù)系統(tǒng)�,網(wǎng)絡(luò)中央管理臺(tái)配置匯總決策模塊和策略發(fā)布模塊�,網(wǎng)絡(luò)按照樹型結(jié)構(gòu)分成N個(gè)子網(wǎng),N≥1�,各子網(wǎng)管理臺(tái)上均配置匯總決策模塊和策略發(fā)布模塊,子網(wǎng)中每個(gè)節(jié)點(diǎn)都安裝微入侵檢測模塊和微防火墻模塊�,子網(wǎng)各節(jié)點(diǎn)的微防火墻模塊用于接收網(wǎng)絡(luò)數(shù)據(jù)包、丟棄非法數(shù)據(jù)包����,將合法數(shù)據(jù)包傳送給同一節(jié)點(diǎn)的微入侵檢測模塊;入侵檢測模塊用于檢測數(shù)據(jù)包�,若發(fā)生常規(guī)入侵則修改微防火墻模塊的安全策略,否則將安全事件傳送給本子網(wǎng)的微匯總決策模塊�;各子網(wǎng)的匯總決策模塊根據(jù)本子網(wǎng)各節(jié)點(diǎn)發(fā)送的當(dāng)前安全事件檢測協(xié)同入侵,并根據(jù)其嚴(yán)重程度判決是否需要傳給上級(jí)管理臺(tái)��,若不傳給上級(jí)管理臺(tái)����,則通知策略發(fā)布模塊,啟動(dòng)子網(wǎng)移動(dòng)代理系統(tǒng)�����,登陸到本子網(wǎng)各節(jié)點(diǎn)修改微防火墻模塊的安全策略���;中央管理臺(tái)匯總決策模塊接收各子網(wǎng)匯總決策模塊發(fā)來的協(xié)同入侵事件��,并通知策略發(fā)布模塊生成全局安全策略�����,策略發(fā)布模塊啟動(dòng)全局移動(dòng)代理系統(tǒng)�����,把策略發(fā)送到各子網(wǎng)管理臺(tái)的策略發(fā)布模塊�,從而修改所有節(jié)點(diǎn)微防火墻模塊的安全策略。
所述的分布式網(wǎng)絡(luò)動(dòng)態(tài)安全保護(hù)系統(tǒng)��,各個(gè)子網(wǎng)可以進(jìn)一步劃分為若干級(jí)子網(wǎng)�。
所述的分布式網(wǎng)絡(luò)動(dòng)態(tài)安全保護(hù)系統(tǒng),其進(jìn)一步的特征在于(1)微防火墻模塊包括包過濾模塊和包過濾策略庫���,包過濾策略庫定義當(dāng)前安全策略�,包過濾模塊駐留于網(wǎng)絡(luò)協(xié)議層����,它根據(jù)包過濾策略庫對(duì)所有流經(jīng)網(wǎng)絡(luò)協(xié)議層的數(shù)據(jù)包進(jìn)行過濾,丟棄非法數(shù)據(jù)包,將合法數(shù)據(jù)包提交微入侵檢測模塊����;(2)微入侵檢測模塊包括事件采集器、常規(guī)安全事件庫����、常規(guī)入侵規(guī)則庫���、常規(guī)入侵分析器和常規(guī)入侵響應(yīng)器�,事件采集器實(shí)時(shí)采集包過濾模塊傳送的數(shù)據(jù)包���,并按預(yù)定格式組合成網(wǎng)絡(luò)安全事件存入常規(guī)安全事件庫��,同時(shí)發(fā)送給常規(guī)入侵分析器和匯總決策模塊�,常規(guī)入侵規(guī)則庫存放描述常規(guī)入侵的規(guī)則��,常規(guī)入侵分析器將這些規(guī)則轉(zhuǎn)換為規(guī)則鏈表并將發(fā)送來的網(wǎng)絡(luò)安全事件與其遍歷匹配��,當(dāng)產(chǎn)生一個(gè)完全匹配時(shí)��,通知常規(guī)入侵響應(yīng)器�,同時(shí)修改包過濾策略庫;(3)匯總決策模塊包括事件接收模塊、協(xié)同安全事件生成模塊��、抽象化模塊����、支持度和可信度計(jì)算模塊、閾值比較模塊����、協(xié)同事件數(shù)據(jù)庫、協(xié)同入侵分析器和協(xié)同入侵規(guī)則庫����,事件接收模塊接收微入侵檢測模塊的事件采集器發(fā)來的網(wǎng)絡(luò)安全事件,存入?yún)f(xié)同事件數(shù)據(jù)庫��,同時(shí)通過協(xié)同安全事件生成模塊產(chǎn)生協(xié)同安全事件����,并傳給抽象化模塊,該模塊將協(xié)同安全事件諸字節(jié)抽象化為一個(gè)取值范圍�����,并作為候選的新協(xié)同入侵規(guī)則Y傳給支持度和可信度計(jì)算模塊�,后一模塊遍歷協(xié)同入侵規(guī)則庫中每條安全規(guī)則X計(jì)算X與Y關(guān)聯(lián)的支持度和可信度����,并將其傳給閾值比較模塊���,與預(yù)先定義的最小支持度閾值和最小可信度閾值分別比較�����,若都有大于閾值,則將Y存入?yún)f(xié)同入侵規(guī)則庫中����,協(xié)同入侵分析器根據(jù)協(xié)同事件數(shù)據(jù)庫和協(xié)同入侵規(guī)則庫判別協(xié)同入侵事件的類型并給出相應(yīng)的安全策略,傳給策略發(fā)布模塊���;(4)子網(wǎng)/全局移動(dòng)代理系統(tǒng)由駐留于子網(wǎng)/中央管理臺(tái)的移動(dòng)代理客戶端和駐留于各節(jié)點(diǎn)/子網(wǎng)管理臺(tái)的移動(dòng)代理服務(wù)器端組成��,移動(dòng)代理客戶端包括用戶界面�����、簽名模塊�、代理路線記錄模塊和客戶端代理傳輸協(xié)議棧����,用戶界面定義移動(dòng)代理的數(shù)字簽名算法類型并提交給簽名模塊�,同時(shí)定義代理路線記錄模塊的相關(guān)內(nèi)容����,簽名模塊對(duì)移動(dòng)代理進(jìn)行數(shù)字簽名供各節(jié)點(diǎn)/子網(wǎng)策略發(fā)布模塊驗(yàn)證,代理路線記錄模塊保存移動(dòng)代理將要周游的節(jié)點(diǎn)/子網(wǎng)管理臺(tái)序列���,并通過客戶端代理傳輸協(xié)議棧與服務(wù)器交互����;移動(dòng)代理服務(wù)器端包括服務(wù)器端代理傳輸協(xié)議棧�、代理資源控制模塊、合法性檢查模塊和策略解釋器���,客戶端和服務(wù)器端的代理傳輸協(xié)議棧提供客戶端/服務(wù)器端的底層信息交互機(jī)制��,代理資源控制模塊為移動(dòng)代理提供執(zhí)行環(huán)境�����,合法性檢查模塊驗(yàn)證移動(dòng)代理的數(shù)字簽名�,并把代理攜帶的安全策略傳給策略解釋器��,然后將安全策略解釋為策略腳本并加載到微防火墻模塊的包過濾策略庫中。
所述的分布式網(wǎng)絡(luò)動(dòng)態(tài)安全保護(hù)系統(tǒng)���,其更進(jìn)一步的特征在于(1)微防火墻模塊還包括策略定義用戶界面和策略沙盒模塊�,策略定義用戶界面支持用戶自定義安全策略規(guī)則并將其傳給策略沙盒模塊�,然后將用戶自定義安全策略規(guī)則與包過濾策略庫中的安全策略規(guī)則進(jìn)行比較,若發(fā)現(xiàn)沖突則丟棄該用戶自定義的安全策略規(guī)則���,否則存入包過濾策略庫中�����;(2)匯總決策模塊還包括規(guī)則淘汰模塊和定時(shí)器����,規(guī)則淘汰模塊對(duì)新協(xié)同入侵規(guī)則Y定義使用頻度�,每當(dāng)Y支持一個(gè)抽象協(xié)同入侵事件����,該規(guī)則的使用頻度加1,當(dāng)協(xié)同入侵規(guī)則庫中生成的協(xié)同入侵規(guī)則數(shù)到達(dá)最大時(shí)��,該模塊采用最近最少使用算法淘汰使用頻度低的規(guī)則��;定時(shí)器定時(shí)給規(guī)則淘汰模塊發(fā)信號(hào),以便淘汰最少使用的入侵規(guī)則��。
所述的分布式網(wǎng)絡(luò)動(dòng)態(tài)安全保護(hù)系統(tǒng)���,其特征還可以在于所述協(xié)同安全事件為一組彼此相關(guān)的網(wǎng)絡(luò)安全事件集�,它們可以在時(shí)間上相關(guān)���,即按發(fā)生時(shí)間排序��,相鄰兩個(gè)事件間隔不超過規(guī)定單位時(shí)間�����;也可以在空間上相關(guān)��,即構(gòu)成此協(xié)同安全事件的網(wǎng)絡(luò)安全事件的源網(wǎng)絡(luò)協(xié)議地址來自同一子網(wǎng)�����。
本發(fā)明的分布式網(wǎng)絡(luò)動(dòng)態(tài)安全保護(hù)系統(tǒng)具有以下優(yōu)點(diǎn)及效果�。1)雙重的安全保護(hù)本系統(tǒng)包含兩個(gè)相互平行的子系統(tǒng)分布式微入侵檢測模塊(DM-IDS)可以提供應(yīng)用層的安全保護(hù)�����;分布式微防火墻模塊(DM-Firewall)提供內(nèi)核級(jí)網(wǎng)絡(luò)層的安全保護(hù),從而提供雙重的安全保護(hù)��。2)細(xì)粒度安全保護(hù)本系統(tǒng)不僅以網(wǎng)段為保護(hù)單位�����,而且還以單個(gè)節(jié)點(diǎn)機(jī)為保護(hù)對(duì)象�,從而實(shí)現(xiàn)細(xì)粒度的安全保護(hù)。在各節(jié)點(diǎn)機(jī)上安裝的微入侵檢測系統(tǒng)(M-IDS)和微防火墻系統(tǒng)(M-Firewall)可以獨(dú)立的檢測和響應(yīng)入侵��,不僅消除了單一失效點(diǎn)�,而且可以同時(shí)檢測內(nèi)部和外部攻擊。3)樹型可擴(kuò)展架構(gòu)分層的樹型管理模式使維護(hù)和管理易于擴(kuò)展�����;移動(dòng)代理自主移動(dòng)的優(yōu)點(diǎn)能夠有效的節(jié)約網(wǎng)絡(luò)帶寬�,從而使系統(tǒng)效率不會(huì)隨受保護(hù)節(jié)點(diǎn)數(shù)目的增多而下降�����,達(dá)到系統(tǒng)效率的可擴(kuò)展性�����;采用JAVA作為開發(fā)工具實(shí)現(xiàn)了平臺(tái)無關(guān)性;4)動(dòng)態(tài)自免疫本系統(tǒng)將入侵行為分為常規(guī)入侵和協(xié)同入侵兩種�。微入侵檢測收集各種安全事件,如果發(fā)現(xiàn)常規(guī)入侵��,微入侵檢測立即修改本節(jié)點(diǎn)微防火墻的策略�,阻止入侵?jǐn)?shù)據(jù)包的進(jìn)一步涌入(常規(guī)入侵響應(yīng));如果發(fā)現(xiàn)協(xié)同入侵�,匯總決策模塊通知策略發(fā)布機(jī)構(gòu)向所有微防火墻發(fā)布更新策略(協(xié)同入侵響應(yīng))。兩種響應(yīng)使系統(tǒng)具有動(dòng)態(tài)自免疫的功能���;5)防御協(xié)同入侵分布環(huán)境下的協(xié)同攻擊與日俱增�,傳統(tǒng)的入侵檢測技術(shù)已經(jīng)不能滿足應(yīng)用需求�����。本系統(tǒng)采用匯總決策技術(shù)對(duì)時(shí)間上和空間上分布的協(xié)同入侵行為進(jìn)行匯總�、關(guān)聯(lián)和檢測,并更新所有微防火墻的安全策略進(jìn)行動(dòng)態(tài)防御��。
圖2基于分布式微防火墻和微入侵檢測的分布式網(wǎng)絡(luò)動(dòng)態(tài)安全保護(hù)系統(tǒng)的體系結(jié)構(gòu)����。
圖3本發(fā)明分布式網(wǎng)絡(luò)動(dòng)態(tài)安全保護(hù)系統(tǒng)流程示意圖。
圖4分布式微防火墻模塊的結(jié)構(gòu)及軟件示意圖。
圖5分布式微入侵檢測模塊的結(jié)構(gòu)及軟件示意圖��。
圖6匯總決策模塊的結(jié)構(gòu)及軟件示意圖�����。
圖7移動(dòng)代理模塊的結(jié)構(gòu)及軟件示意圖�。
結(jié)合附圖,對(duì)整個(gè)系統(tǒng)的配置說明如下1)包過濾策略庫(8)該策略庫共6個(gè)字段���,其示例如表2和表3�����。
對(duì)Web組各節(jié)點(diǎn)(以17.0.0.1為例)的微防火墻具有類似表2的配置���,對(duì)FTP組各節(jié)點(diǎn)(以17.0.0.2為例)的微防火墻具有類似表3的配置。
表2 Web組各節(jié)點(diǎn)的配置示例(以17.0.0.1為例)
表3 FTP組各節(jié)點(diǎn)的配置示例(以17.0.0.2為例)各字段解釋如下協(xié)議號(hào)分為TCP�、UDP、ICMP��、ANY����,其中ANY指代任何協(xié)議����;源IP數(shù)據(jù)包的源IP地址��;源端口數(shù)據(jù)包的源端口�����;目的IP數(shù)據(jù)包的源IP地址�����;目的端口數(shù)據(jù)包的目的端口��;措施指對(duì)匹配的數(shù)據(jù)包將存取何種措施�,分為ACCEPT(接收)和DROP(拒絕)兩種����。2)常規(guī)安全事件庫(10)該事件庫共6個(gè)字段,其示例如表4�。
表4 常規(guī)安全事件庫示例各字段的說明如下協(xié)議號(hào)入侵事件的協(xié)議類型,分為TCP����、UDP、ICMP;源IP入侵事件的源IP地址����;源端口入侵事件的源端口;目的IP入侵事件的源IP地址���;目的端口入侵事件的目的端口���;時(shí)間入侵事件發(fā)生的時(shí)間。3)常規(guī)入侵規(guī)則庫(11)該常規(guī)規(guī)則庫共5個(gè)字段�,其示例如表5。
表5常規(guī)入侵規(guī)則庫示例各字段的說明如下規(guī)則編號(hào)一條規(guī)則紀(jì)錄的數(shù)字編號(hào)����;攻擊類型分為Dictionary Attack(字典攻擊)、Scan(端口掃描)����、DoS(拒絕服務(wù)攻擊)三種;攻擊服務(wù)各種眾所周知的服務(wù)(如Web����、FTP等),ANY表示任意服務(wù)�����;攻擊特征碼表示代表一次攻擊的標(biāo)志性特征碼�;入侵危害程度指入侵事件的危害程度,該程度可分為最嚴(yán)重(0級(jí))�、較嚴(yán)重(1級(jí))和次嚴(yán)重(2級(jí))。4)閾值比較器(18)MinSupp和MinConf的取值范圍是大于0的整數(shù)����。本實(shí)例中兩個(gè)閾值設(shè)定如下MinSupp=10,MinConf=10��;5)協(xié)同事件數(shù)據(jù)庫(19)該數(shù)據(jù)庫共7個(gè)字段�,其示例如表6。
表6協(xié)同事件數(shù)據(jù)庫的配置示例各字段解釋如下協(xié)同入侵事件編號(hào)指一組協(xié)同入侵事件的編號(hào)��;相關(guān)性分為空間相關(guān)(S)和時(shí)間相關(guān)(T)���;入侵類型分為Dictionary Attack(字典攻擊)��、Scan(端口掃描)����、DoS(拒絕服務(wù)攻擊)三種�;源IP指入侵行為的源IP地址�����;
目的IP指被攻擊的IP地址�����;入侵時(shí)間指入侵事件的發(fā)生時(shí)間���;入侵危害程度指入侵事件的危害程度,該程度可分為最嚴(yán)重(0級(jí))�、較嚴(yán)重(1級(jí))和次嚴(yán)重(2級(jí))。6)協(xié)同入侵規(guī)則庫(21)該數(shù)據(jù)庫共6個(gè)字段�,其示例如表7。
表7協(xié)同入侵規(guī)則庫的配置示例各字段解釋如下相關(guān)性分為空間相關(guān)(S)和時(shí)間相關(guān)(T)�;入侵類型分為Dictionary Attack(字典攻擊)、Scan(端口掃描)��、DoS(拒絕服務(wù)攻擊)三種���;空間相關(guān)度當(dāng)“相關(guān)性”字段為S時(shí)�����,此處為構(gòu)成一次空間上分布的入侵行為的相關(guān)度范圍�;時(shí)間相關(guān)度當(dāng)“相關(guān)性”字段為T時(shí),此處為時(shí)間上分布的入侵行為的相關(guān)度�;入侵危害程度指入侵事件的危害程度,該程度可分為最嚴(yán)重(0級(jí))�����、較嚴(yán)重(1級(jí))和次嚴(yán)重(2級(jí))�����;響應(yīng)策略針對(duì)某一協(xié)同入侵行為的全局響應(yīng)策略�����。7)代理路線紀(jì)錄(26)該記錄庫共2個(gè)字段�����,保存代理的周游路線����,該路線紀(jì)錄以鏈表的形式保存在代理客戶端的內(nèi)存中�,其初始值如表8所示。
表8代理路線紀(jì)錄示例該紀(jì)錄表明移動(dòng)代理將周游Web組的2到8節(jié)點(diǎn)和FTP組的9到16節(jié)點(diǎn)����。
權(quán)利要求
1.一種分布式網(wǎng)絡(luò)動(dòng)態(tài)安全保護(hù)系統(tǒng)����,網(wǎng)絡(luò)中央管理臺(tái)配置匯總決策模塊和策略發(fā)布模塊�,網(wǎng)絡(luò)按照樹型結(jié)構(gòu)分成N個(gè)子網(wǎng),N≥1���,各子網(wǎng)管理臺(tái)上均配置匯總決策模塊和策略發(fā)布模塊��,子網(wǎng)中每個(gè)節(jié)點(diǎn)都安裝微入侵檢測模塊和微防火墻模塊�,子網(wǎng)各節(jié)點(diǎn)的微防火墻模塊用于接收網(wǎng)絡(luò)數(shù)據(jù)包���、丟棄非法數(shù)據(jù)包�,將合法數(shù)據(jù)包傳送給同一節(jié)點(diǎn)的微入侵檢測模塊��;入侵檢測模塊用于檢測數(shù)據(jù)包��,若發(fā)生常規(guī)入侵則修改微防火墻模塊的安全策略�,否則將安全事件傳送給本子網(wǎng)的微匯總決策模塊;各子網(wǎng)的匯總決策模塊根據(jù)本子網(wǎng)各節(jié)點(diǎn)發(fā)送的當(dāng)前安全事件檢測協(xié)同入侵���,并根據(jù)其嚴(yán)重程度判決是否需要傳給上級(jí)管理臺(tái)����,若不傳給上級(jí)管理臺(tái),則通知策略發(fā)布模塊�����,啟動(dòng)子網(wǎng)移動(dòng)代理系統(tǒng)��,登陸到本子網(wǎng)各節(jié)點(diǎn)修改微防火墻模塊的安全策略����;中央管理臺(tái)匯總決策模塊接收各子網(wǎng)匯總決策模塊發(fā)來的協(xié)同入侵事件��,并通知策略發(fā)布模塊生成全局安全策略�,策略發(fā)布模塊啟動(dòng)全局移動(dòng)代理系統(tǒng),把策略發(fā)送到各子網(wǎng)管理臺(tái)的策略發(fā)布模塊����,從而修改所有節(jié)點(diǎn)微防火墻模塊的安全策略。
2.如權(quán)利要求1所述的分布式網(wǎng)絡(luò)動(dòng)態(tài)安全保護(hù)系統(tǒng)�,其特征在于各個(gè)子網(wǎng)可以進(jìn)一步劃分為若干次級(jí)子網(wǎng)。
3.如權(quán)利要求1或2所述的分布式網(wǎng)絡(luò)動(dòng)態(tài)安全保護(hù)系統(tǒng)�,其特征在于(1)微防火墻模塊包括包過濾模塊和包過濾策略庫,包過濾策略庫定義當(dāng)前安全策略�,包過濾模塊駐留于網(wǎng)絡(luò)協(xié)議層���,它根據(jù)包過濾策略庫對(duì)所有流經(jīng)網(wǎng)絡(luò)協(xié)議層的數(shù)據(jù)包進(jìn)行過濾,丟棄非法數(shù)據(jù)包����,將合法數(shù)據(jù)包提交微入侵檢測模塊;(2)微入侵檢測模塊包括事件采集器�����、常規(guī)安全事件庫�����、常規(guī)入侵規(guī)則庫��、常規(guī)入侵分析器和常規(guī)入侵響應(yīng)器���,事件采集器實(shí)時(shí)采集包過濾模塊傳送的數(shù)據(jù)包�,并按預(yù)定格式組合成網(wǎng)絡(luò)安全事件存入常規(guī)安全事件庫����,同時(shí)發(fā)送給常規(guī)入侵分析器和匯總決策模塊,常規(guī)入侵規(guī)則庫存放描述常規(guī)入侵的規(guī)則,常規(guī)入侵分析器將這些規(guī)則轉(zhuǎn)換為規(guī)則鏈表并將發(fā)送來的網(wǎng)絡(luò)安全事件與其遍歷匹配��,當(dāng)產(chǎn)生一個(gè)完全匹配時(shí)����,通知常規(guī)入侵響應(yīng)器,同時(shí)修改包過濾策略庫�;(3)匯總決策模塊包括事件接收模塊、協(xié)同安全事件生成模塊�、抽象化模塊、支持度和可信度計(jì)算模塊���、閾值比較模塊����、協(xié)同事件數(shù)據(jù)庫����、協(xié)同入侵分析器和協(xié)同入侵規(guī)則庫�,事件接收模塊接收微入侵檢測模塊的事件采集器發(fā)來的網(wǎng)絡(luò)安全事件,存入?yún)f(xié)同事件數(shù)據(jù)庫��,同時(shí)通過協(xié)同安全事件生成模塊產(chǎn)生協(xié)同安全事件���,并傳給抽象化模塊�����,該模塊將協(xié)同安全事件諸字節(jié)抽象化為一個(gè)取值范圍�����,并作為候選的新協(xié)同入侵規(guī)則Y傳給支持度和可信度計(jì)算模塊���,后一模塊遍歷協(xié)同入侵規(guī)則庫中每條安全規(guī)則X計(jì)算X與Y關(guān)聯(lián)的支持度和可信度��,并將其傳給閾值比較模塊���,與預(yù)先定義的最小支持度閾值和最小可信度閾值分別比較,若都有大于閾值����,則將Y存入?yún)f(xié)同入侵規(guī)則庫中,協(xié)同入侵分析器根據(jù)協(xié)同事件數(shù)據(jù)庫和協(xié)同入侵規(guī)則庫判別協(xié)同入侵事件的類型并給出相應(yīng)的安全策略�,傳給策略發(fā)布模塊;(4)子網(wǎng)/全局移動(dòng)代理系統(tǒng)由駐留于子網(wǎng)/中央管理臺(tái)的移動(dòng)代理客戶端和駐留于各節(jié)點(diǎn)/子網(wǎng)管理臺(tái)的移動(dòng)代理服務(wù)器端組成��,移動(dòng)代理客戶端包括用戶界面��、簽名模塊、代理路線記錄模塊和客戶端代理傳輸協(xié)議棧��,用戶界面定義移動(dòng)代理的數(shù)字簽名算法類型并提交給簽名模塊�,同時(shí)定義代理路線記錄模塊的相關(guān)內(nèi)容,簽名模塊對(duì)移動(dòng)代理進(jìn)行數(shù)字簽名供各節(jié)點(diǎn)/子網(wǎng)策略發(fā)布模塊驗(yàn)證�,代理路線記錄模塊保存移動(dòng)代理將要周游的節(jié)點(diǎn)/子網(wǎng)管理臺(tái)序列,并通過客戶端代理傳輸協(xié)議棧與服務(wù)器交互��;移動(dòng)代理服務(wù)器端包括服務(wù)器端代理傳輸協(xié)議棧�����、代理資源控制模塊�、合法性檢查模塊和策略解釋器,客戶端和服務(wù)器端的代理傳輸協(xié)議棧提供客戶端/服務(wù)器端的底層信息交互機(jī)制�,代理資源控制模塊為移動(dòng)代理提供執(zhí)行環(huán)境,合法性檢查模塊驗(yàn)證移動(dòng)代理的數(shù)字簽名�,并把代理攜帶的安全策略傳給策略解釋器,然后將安全策略解釋為策略腳本并加載到微防火墻模塊的包過濾策略庫中����。
4.如權(quán)利要求3所述的分布式網(wǎng)絡(luò)動(dòng)態(tài)安全保護(hù)系統(tǒng)�����,其特征在于(1)微防火墻模塊還包括策略定義用戶界面和策略沙盒模塊,策略定義用戶界面支持用戶自定義安全策略規(guī)則并將其傳給策略沙盒模塊���,然后將用戶自定義安全策略規(guī)則與包過濾策略庫中的安全策略規(guī)則進(jìn)行比較�����,若發(fā)現(xiàn)沖突則丟棄該用戶自定義的安全策略規(guī)則����,否則存入包過濾策略庫中��;(2)匯總決策模塊還包括規(guī)則淘汰模塊和定時(shí)器�,規(guī)則淘汰模塊對(duì)新協(xié)同入侵規(guī)則Y定義使用頻度,每當(dāng)Y支持一個(gè)抽象協(xié)同入侵事件�,該規(guī)則的使用頻度加1,當(dāng)協(xié)同入侵規(guī)則庫中生成的協(xié)同入侵規(guī)則數(shù)到達(dá)最大時(shí)���,該模塊采用最近最少使用算法淘汰使用頻度低的規(guī)則���;定時(shí)器定時(shí)給規(guī)則淘汰模塊發(fā)信號(hào),以便淘汰最少使用的入侵規(guī)則���。
5.如權(quán)利要求3所述的分布式網(wǎng)絡(luò)動(dòng)態(tài)安全保護(hù)系統(tǒng)��,其特征在于所述協(xié)同安全事件為一組彼此相關(guān)的網(wǎng)絡(luò)安全事件集�,它們可以在時(shí)間上相關(guān),即按發(fā)生時(shí)間排序�����,相鄰兩個(gè)事件間隔不超過規(guī)定單位時(shí)間���;也可以在空間上相關(guān)����,即構(gòu)成此協(xié)同安全事件的網(wǎng)絡(luò)安全事件的源網(wǎng)絡(luò)協(xié)議地址來自同一子網(wǎng)���。
6.如權(quán)利要求4所述的分布式網(wǎng)絡(luò)動(dòng)態(tài)安全保護(hù)系統(tǒng)�����,其特征在于所述協(xié)同安全事件為一組彼此相關(guān)的網(wǎng)絡(luò)安全事件集����,它們可以在時(shí)間上相關(guān)�,即按發(fā)生時(shí)間排序,相鄰兩個(gè)事件間隔不超過規(guī)定單位時(shí)間���;也可以在空間上相關(guān)���,即構(gòu)成此協(xié)同安全事件的網(wǎng)絡(luò)安全事件的源網(wǎng)絡(luò)協(xié)議地址來自同一子網(wǎng)。
全文摘要
本發(fā)明的分布式網(wǎng)絡(luò)安全保護(hù)系統(tǒng),網(wǎng)絡(luò)中央管理臺(tái)配置匯總決策模塊和策略發(fā)布模塊,網(wǎng)絡(luò)按照樹型結(jié)構(gòu)分為N個(gè)子網(wǎng),各子網(wǎng)管理臺(tái)上均配置匯總決策模塊和策略發(fā)布模塊,子網(wǎng)中每個(gè)節(jié)點(diǎn)都安裝微入侵檢測模塊和微防火墻模塊,策略發(fā)布模塊采用移動(dòng)代理技術(shù);本系統(tǒng)的分布式微入侵檢測模塊可提供應(yīng)用層的安全保護(hù),分布式微防火墻模塊提供內(nèi)核級(jí)的網(wǎng)絡(luò)層安全保護(hù),不僅以網(wǎng)段為保護(hù)單位,而且還以單個(gè)節(jié)點(diǎn)機(jī)為保護(hù)對(duì)象,從而實(shí)現(xiàn)雙重細(xì)粒度的安全保護(hù);該系統(tǒng)與傳統(tǒng)的入侵檢測和防火墻產(chǎn)品相比,具有防止外部和內(nèi)部攻擊��、可擴(kuò)展性強(qiáng)�����、防單失效點(diǎn)���、防范協(xié)同入侵�����、實(shí)時(shí)安全保護(hù)及動(dòng)態(tài)自免疫等優(yōu)點(diǎn)����。
文檔編號(hào)H04L9/00GK1384639SQ0211595
公開日2002年12月11日 申請(qǐng)日期2002年6月11日 優(yōu)先權(quán)日2002年6月11日
發(fā)明者韓宗芬, 金海 , 劉科, 鮮豐, 易川江, 孫建華, 郭立 申請(qǐng)人:華中科技大學(xué)