專利名稱:一種分布式協(xié)同入侵檢測系統(tǒng)數據安全傳輸的實現(xiàn)方法
技術領域:
本發(fā)明涉及計算機網絡安全技術領域���,特別涉及一種分布式協(xié)同入侵檢測系統(tǒng)數據安全傳輸的實現(xiàn)方法���。
背景技術:
網絡入侵檢測(Intrusion Detection)是對入侵行為的發(fā)覺�。它通過對計算機網絡或計算機系統(tǒng)中的若干關鍵點收集信息并對其進行分析�,從中發(fā)現(xiàn)網絡或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象���。隨著高速網絡的發(fā)展以及各種分布式網絡技術的發(fā)展����,入侵的手段與技術也有了“進步與發(fā)展”���。入侵技術的發(fā)展與演化主要反映在下列幾個方面入侵或攻擊的綜合化與復雜化��。入侵的手段有多種���,入侵者往往采取一種攻擊手段。由于網絡防范技術的多重化�,攻擊的難度增加,使得入侵者在實施入侵或攻擊時往往同時采取多種入侵的手段���,以保證入侵的成功幾率�����,并可在攻擊實施的初期掩蓋攻擊或入侵的真實目的�����。
入侵主體對象的間接化�,即實施入侵與攻擊的主體的隱蔽化。通過一定的技術�,可掩蓋攻擊主體的源地址及主機位置。即使用了隱蔽技術后��,對于被攻擊對象攻擊的主體是無法直接確定的���。
入侵或攻擊的規(guī)模擴大�����。對于網絡的入侵與攻擊����,在其初期往往是針對于某公司或一個網站�����,其攻擊的目的可能為某些網絡技術愛好者的獵奇行為���,也不排除商業(yè)的盜竊與破壞行為����。由于戰(zhàn)爭對電子技術與網絡技術的依賴性越來越大,隨之產生�����、發(fā)展�����、逐步升級到電子戰(zhàn)與信息戰(zhàn)��。對于信息戰(zhàn)����,無論其規(guī)模與技術都與一般意義上的計算機網絡的入侵與攻擊都不可相提并論���。信息戰(zhàn)的成敗與國家主干通信網絡的安全是與任何主權國家領土安全一樣的國家安全���。
入侵或攻擊技術的分布化。以往常用的入侵與攻擊行為往往由單機執(zhí)行���。由于防范技術的發(fā)展使得此類行為不能奏效�����。所謂的分布式拒絕服務(DDoS)在很短時間內可造成被攻擊主機的癱瘓����。且此類分布式攻擊的單機信息模式與正常通信無差異,所以往往在攻擊發(fā)動的初期不易被確認���。分布式攻擊是近期最常用的攻擊手段���。
攻擊對象的轉移。入侵與攻擊常以網絡為侵犯的主體�����,但近期來的攻擊行為卻發(fā)生了策略性的改變��,由攻擊網絡改為攻擊網絡的防護系統(tǒng)��,且有愈演愈烈的趨勢?���,F(xiàn)已有專門針對IDS作攻擊的報道。攻擊者詳細地分析了IDS的審計方式�����、特征描述、通信模式找出IDS的弱點��,然后加以攻擊����。
目前入侵檢測系統(tǒng)的分類有(1)基于網絡的入侵檢測。
基于網絡的入侵檢測產品(NIDS)放置在比較重要的網段內�,不停地監(jiān)視網段中的各種數據包���。對每一個數據包或可疑的數據包進行特征分析����。如果數據包與產品內置的某些規(guī)則吻合��,入侵檢測系統(tǒng)就會發(fā)出警報甚至直接切斷網絡連接����。
(2)基于主機的入侵檢測基于主機的入侵檢測產品(HIDS)通常是安裝在被重點檢測的主機之上,主要是對該主機的網絡實時連接以及系統(tǒng)審計日志進行智能分析和判斷���。如果其中主體活動十分可疑(特征或違反統(tǒng)計規(guī)律)����,入侵檢測系統(tǒng)就會采取相應措施。
這些原有的網絡入侵檢測是由檢測引擎獨立對入侵行為進行檢測����,不能處理復雜的攻擊行為,很難適應現(xiàn)在的狀況����。
發(fā)明內容
為了克服現(xiàn)有技術中的不足,本發(fā)明的目的在于提供一種分布式協(xié)同入侵檢測系統(tǒng)數據安全傳輸的實現(xiàn)方法����,來保證端到端的信息安全傳輸。
為完成上述發(fā)明目的����,本發(fā)明提供一種分布式協(xié)同入侵檢測系統(tǒng)數據安全傳輸的實現(xiàn)方法,該方法包括以下步驟1)各入侵檢測引擎對報警信息進行編碼�����;2)通信雙方進行相互認證����,對報警信息進行加密��;3)入侵檢測引擎與中心管理控制平臺間報警信息的安全傳輸���;4)中心管理控制平臺將報警信息存儲到報警信息數據庫;
5)中心管理控制平臺對報警信息進行分析�����、響應���。
本發(fā)明具有明顯的優(yōu)點和積極效果����。與傳統(tǒng)的入侵檢測系統(tǒng)相比����,本發(fā)明能夠保證分布式入侵檢測系統(tǒng)端到端的信息傳輸的安全���,包括數據加密���、鑒別、數據完整性的維護和密鑰管理等問題�,實現(xiàn)入侵檢測系統(tǒng)報警信息的安全傳輸��,為實現(xiàn)監(jiān)測協(xié)同提供可靠傳輸服務��。
圖1為根據本發(fā)明的分布式協(xié)同網絡入侵檢測系統(tǒng)組成�����;圖2為根據本發(fā)明的一種分布式協(xié)同入侵檢測系統(tǒng)工作流程圖�����;圖3為根據本發(fā)明的分布式協(xié)同入侵檢測系統(tǒng)數據安全傳輸流程圖����;圖4為根據本發(fā)明的信息交換流程圖����;圖5為根據本發(fā)明的證書認證流程圖;圖6為根據本發(fā)明的數據加密���、解密和驗證流程圖����。
具體實施例方式
本發(fā)明提供一種分布式協(xié)同入侵檢測系統(tǒng)數據安全傳輸的實現(xiàn)方法。下面結合說明書附圖來說明本發(fā)明的具體實施方式
�����。
圖1所示為本發(fā)明的分布式協(xié)同網絡入侵檢測系統(tǒng)組成示意圖和圖2所示為本發(fā)明的分布式協(xié)同入侵檢測系統(tǒng)系統(tǒng)工作流程圖����,后面將結合圖1、圖2對本發(fā)明的分布式協(xié)同入侵檢測系統(tǒng)工作流程進行詳細描述����。
首先,在步驟201��,有數據收集引擎收集網絡中的入侵信息���,并向入侵檢測引擎101發(fā)送報警消息或可疑行為消息��。
在步驟202,入侵檢測引擎101如果收到報警消息��,則發(fā)現(xiàn)入侵����,向中心管理控制平臺102發(fā)送報警消息;如果收到可疑行為消息,則向中心管理控制平臺發(fā)送�����,由中心管理控制平臺102對可疑消息進行評估�,如果超過報警閥值,則認為發(fā)現(xiàn)入侵���。
在步驟203���,中心管理控制平臺102將報警消息存入入侵事件數據庫103。
在步驟204�����,中心管理控制平臺102將所有入侵檢測引擎101發(fā)來的報警信息進行分析�,可以檢測到較復雜的入侵行為,并根據分析結果決定是否采取響應措施�。
圖3為根據本發(fā)明的分布式協(xié)同入侵檢測系統(tǒng)數據安全傳輸流程圖,下文將參考圖3����,對本發(fā)明的分布式協(xié)同入侵檢測系統(tǒng)數據安全傳輸工作流程進行詳細描述。
首先����,在步驟301����,各入侵檢測引擎101對傳輸數據進行編碼��。由于在分布式協(xié)同入侵檢測系統(tǒng)中各入侵檢測引擎101運行的平臺不同����,檢測算法不同,對報警所產生的數據格式也不相同�����,因此����,為滿足不同入侵檢測引擎之間的信息傳輸需求,采用入侵檢測工作組(IDWG)制定的入侵檢測信息交換格式����,并且用XML來實現(xiàn)入侵檢測信息交換格式,各入侵檢測引擎?zhèn)鬏數男畔⒍家涍^XML編碼��。傳輸的發(fā)起方即入侵檢測引擎101在發(fā)現(xiàn)入侵事件后�����,首先對報警信息進行XML編碼��,通過入侵檢測安全交換協(xié)議傳送給中心管理控制平臺102��,中心管理控制平臺102對入侵檢測系統(tǒng)發(fā)來信息進行解碼分析�����。
在步驟302��,完成入侵檢測引擎101與中心管理控制平臺102間報警信息的安全傳輸及交換����。由于基于TCP/IP的網絡不能保障各入侵檢測系統(tǒng)間的信息安全傳輸,所有的消息都應進行加密處理�,因此,本方法采用入侵檢測安全交換協(xié)議���。入侵檢測安全交換協(xié)議是一個面向連接的能夠提供加密�����、鑒別��、完整性保護的應用層協(xié)議��,它主要用于在入侵檢測實體間傳輸入侵檢測信息交換格式的信息���、二進制流等�,因此�,利用入侵檢測安全交換協(xié)議來完成入檢測引擎與中心管理控制平臺間報警信息的安全傳輸。在本方法中���,使用多個信道對傳輸的信息進行分類�,保留一個信道作為傳輸控制信息的通道���,其它的通道用來傳輸數據信息���,不同的通道來傳輸不同類型的報警信息,并根據需要設置各信道的優(yōu)先級��,先滿足級別高的信道的信息傳輸����。采用傳輸層安全協(xié)議(TLS)作為安全傳輸的控制協(xié)議。根據通信雙方協(xié)商的通信方式�����,進行信息的安全傳輸���,并采用傳輸層安全協(xié)議的告警協(xié)議來進行傳輸過程中的錯誤控制���。因此,在傳輸過程中�����,如果通信一方發(fā)生任何異常�,則會給對方發(fā)送告警消息通告。告警的類型分為兩種一種是致命錯誤消息��,當該情況發(fā)生時����,雙方中斷會話,清除緩沖區(qū)相應會話記錄�����,第二種是一般警告消息�����,在這種情況發(fā)生時,通信雙方只是記錄日志�,不會對通信過程產生影響。
在步驟303�����,數據安全傳輸的密鑰管理���。包括會話密鑰的協(xié)商����、生成�、傳遞,私鑰的保護���,證書管理����、公鑰和證書策略及證書撤消列表(CRL)的獲取等工作���。
圖4為本發(fā)明的分布式協(xié)同入侵檢測系統(tǒng)數據安全傳輸方法的信息交換流程圖�,參考圖4,本發(fā)明的分布式協(xié)同入侵檢測系統(tǒng)數據安全傳輸方法的信息交換工作流程如下首先��,在步驟401�����,各入侵檢測引擎101對傳輸數據進行編碼���。傳輸的發(fā)起方即入侵檢測引擎101在發(fā)現(xiàn)入侵事件后,首先對報警信息進行XML編碼����,通過入侵檢測安全交換協(xié)議傳送給中心管理控制平臺102。
其次�,在步驟402,中心管理控制平臺102將報警信息存儲到報警信息數據庫103��。
最后��,在步驟403���,中心管理控制平臺102對來自入侵檢測引擎101的XML編碼信息進行解碼�����、分析及響應�。
圖5為本發(fā)明的證書認證流程圖,參考圖5���,本發(fā)明的證書認證流程如下在步驟501����,通信雙方在進行信息的傳輸之前����,必須進行相互的認證,采用認證中心CA(Certificate Authority)集中管理方式對密鑰進行管理���。A把自己的公鑰PKA送到CA�,通信雙方都要從證書庫中獲得認證中心發(fā)布的證書�����,并且定時下載證書策略及證書撤消列表(CRL)����。在本地維護證書庫,識別X.509證書,在進行通信之前���,用證書來鑒別雙方的身份����。檢查本地已經下載的證書策略及證書撤消列表來判斷證書是否有效�。在用戶申請并下載了新的證書時,應先造出密鑰報廢證書�����,這樣假設私鑰文件被破壞或刪除����,用戶就能夠產生一份廢除鑰匙的聲明���,并將其送至認證中心���。
在步驟502,CA用自己的私鑰和A的公鑰生成A的證書�����,證書內包括CA的數字簽名。簽名對象包括需要在證書中說明的內容�,比如A的公鑰、時間戳���、序列號等�,為了簡化這里不妨假設證書中只有三項內容A的公鑰PKA�����、時間戳TIME1���、序列號IDA���。
在步驟503,M同樣把自己的公鑰PKM送到CA�。
在步驟504,M得到CA發(fā)布的證書CertM��。
在步驟505���,A告知M證書CertA���。
在步驟506���,M告知A證書CertM。
A����、M各自得到對方證書后,利用從CA得到的公鑰(在CA的自簽證書中)驗證彼此對方的證書是否有效�,如果有效,那么就得到了彼此的公鑰�。利用對方的公鑰,可以加密數據����,也可以用來驗證對方的數字簽名。
圖6為根據本發(fā)明的數據加密�����、解密和驗證流程圖����,參考圖6�����,數據加密、解密和驗證流程如下通信的雙方采用非對稱密鑰體制完成身份認證后��,協(xié)商產生一個3DES密鑰�,采用RSA算法對這個3DES密鑰進行加密,然后使用3DES算法對信息本身進行加密����,即采用一次一密的方式,對于每次通信都采用不同的工作密鑰�,保證了通信的安全性,防止中間人攻擊���。通信雙方M與B的信息處理過程為M用MD5算法對文本信息T產生信息摘要Td��,再用自己的私鑰對Td加密����,得到數字簽名Tds(步驟601��、603)�,然后隨機產生一個3DES的密鑰K,作為工作密鑰���,按3DES算法對信息T進行加密得到密文Tc(步驟602)�,再用B的公鑰采用RSA算法對工作密鑰K進行加密得到Kc,則加密后的工作密鑰Kc�����、加密后的文本信息Tc和數字簽名Tds發(fā)送給B�。B使用自己的私鑰對Kc解密后得到工作密鑰K,使用K對密文Tc進行解密(步驟605)���,得到文本信息T(步驟607)��,再對文本信息T用MD5算法計算信息摘要,得到Td_new�,然后B再對Tds使用M的公鑰進行解密得到Td_old�,如果Td_new和Td_old相同,則可以肯定信息是從M處發(fā)過來的(步驟604)���,因此采用這樣的方式可對信息進行安全保護,從而完成數據安全傳輸�����。
權利要求
1.一種分布式協(xié)同入侵檢測系統(tǒng)數據安全傳輸的實現(xiàn)方法,其特征在于�,該方法包括以下步驟1)各入侵檢測引擎對報警信息進行編碼;2)通信雙方進行相互認證����,對報警信息進行加密;3)入侵檢測引擎與中心管理控制平臺間報警信息的安全傳輸�;4)中心管理控制平臺將報警信息存儲到報警信息數據庫;5)中心管理控制平臺對報警信息進行分析�����、響應�����。
2.根據權利要求1所述的分布式協(xié)同入侵檢測系統(tǒng)數據安全傳輸的實現(xiàn)方法�����,其特征在于�,所述步驟1中的對報警信息進行編碼采用入侵檢測工作組IDWG制定的入侵檢測信息交換格式,并且用XML來實現(xiàn)入侵檢測信息交換格式,各入侵檢測引擎?zhèn)鬏數男畔⒉捎肵ML編碼���。
3.根據權利要求1所述的分布式協(xié)同入侵檢測系統(tǒng)數據安全傳輸的實現(xiàn)方法���,其特征在于�,所述步驟2中的通信雙方進行相互認證采用認證中心CA集中管理方式對密鑰進行管理�。
4.根據權利要求1所述的分布式協(xié)同入侵檢測系統(tǒng)數據安全傳輸的實現(xiàn)方法,其特征在于����,所述步驟2中的信息加密采用對稱密鑰體制,即會話密鑰采用對稱密鑰體制����。
5.根據權利要求4所述的信息加密,其特征在于����,所述步驟2中的信息加密方式為通信的雙方采用非對稱密鑰體制完成身份認證后,協(xié)商產生一個3DES密鑰�����,采用RSA算法對這個3DES密鑰進行加密�,然后使用3DES算法對信息本身進行加密,即采用一次一密的方式��,對于每次通信都采用不同的工作密鑰����。
6.根據權利要求1所述的分布式協(xié)同入侵檢測系統(tǒng)數據安全傳輸的實現(xiàn)方法,其特征在于���,所述步驟3中的報警信息的安全傳輸方式為是使用多個信道并對傳輸的信息進行分類����,保留一個信道作為傳輸控制信息的通道����,其它的通道用來傳輸數據信息,不同的通道用來傳輸不同類型的報警信息�����,并根據需要設置各信道的優(yōu)先級�,先滿足級別高的信道的信息傳輸,根據通信雙方協(xié)商的通信方式,進行信息的安全傳輸��,并采用傳輸層安全協(xié)議的告警協(xié)議來進行傳輸過程中的錯誤控制�,當發(fā)生致命錯誤時,雙方中斷會話��,清除緩沖區(qū)相應會話記錄��。
7.根據權利要求1所述的分布式協(xié)同入侵檢測系統(tǒng)數據安全傳輸的實現(xiàn)方法����,其特征在于,所述步驟3中的報警信息的安全傳輸采用傳輸層安全協(xié)議(TLS)作為安全傳輸的控制協(xié)議����。
全文摘要
本發(fā)明公開了計算機網絡安全技術領域的一種分布式協(xié)同入侵檢測系統(tǒng)數據安全傳輸的實現(xiàn)方法。該方法通過將入侵報警信息進行數據編碼�、消息交換和密鑰管理,保證了分布式協(xié)同入侵檢測系統(tǒng)端到端的信息傳輸的安全�����,解決了數據加密�、鑒別���、數據完整性的維護和密鑰管理等問題,實現(xiàn)了入侵檢測系統(tǒng)報警信息的安全傳輸��,為監(jiān)測協(xié)同提供可靠的傳輸服務�����。
文檔編號H04L9/32GK101039225SQ20071006511
公開日2007年9月19日 申請日期2007年4月4日 優(yōu)先權日2007年4月4日
發(fā)明者姜圳 申請人:北京佳訊飛鴻電氣有限責任公司