防火墙与入侵检测系统联动的方法

摘要

一种防火墙与入侵检测系统联动的方法，入侵检测系统检测到网络中的入侵行为后，与防火墙建立联动的安全通信信道；入侵检测系统通过安全通信信道向防火墙发送联动内容；防火墙根据收到的联动内容，生成相应的安全规则，阻断攻击行为。本发明不但能发挥各自的特殊优势，而且能提升入侵检测系统在额外层次上的安全防御能力，提高了安全产品的整体防护能力，由于具有开放的接口，所以还能完全适合目前绝大部分联动场合。

说明书

技术领域：

本发明涉及一种网络安全设备的联动方法，尤其是防火墙与入侵检测系统(Intrude Detection System，简称IDS)联动的方法，属于网络安全技术领域。

背景技术：

防火墙是一种网络安全隔离设备，包括：网关防火墙和主机防火墙。防火墙采用包过滤、应用代理、地址转换或状态检测等技术实现对网络资源的访问控制。防火墙的访问控制属于静态防护机制，它按照定制的安全规则，对特定的数据包进行过滤或限制，同时也允许开放一定的服务或协议端口。防火墙不能自动调整自身的安全策略，一般很难适应不断变化的网络环境，因此，它的防护作用有一定的局限性。

入侵检测系统实时地监控、检测网络或主机系统，及时地发现和控制网络系统中存在的入侵或其它可疑的行为，属于一种智能的网络安全防御体系。入侵检测系统通常采用网络旁路的接入方式，对网络中的数据信息包进行复制并作特征检测，而入侵检测系统一般对网络中的通讯不进行干预。因此，其防护作用也有一定的局限性。

在传统的联动机制中，大都没有采用或采用了安全性较低的联动协议，或者联动协议过于复杂，效率较低，不符合实用环境，或者采用传统的加密套接字协议层(Security Socket Layer，简称SSL)，受到了很多的局限。

目前已经存在的入侵检测系统和防火墙的联动协议，在安全方面基本没有考虑联动信息的完整性保护和对联动报文的重放攻击，无密钥管理功能，长期直接地使用一个固定不变的主密钥，很容易被攻击。

发明内容：

本发明的主要目的在于提供一种防火墙与入侵检测系统联动的方法，实现入侵检测系统与防火墙的联动，提高入侵检测系统在额外层次上的安全防御能力，同时也能发挥各自的特殊优势，提高安全产品的整体防护能力。

本发明的又一目的在于提供一种防火墙与入侵检测系统联动的方法，能应用于防火墙和入侵检测系统，并提供开放的接口，完全适合目前绝大部分联动场合。

本发明是通过以下技术方案实现的：

一种防火墙与入侵检测系统联动的方法，至少包括如下步骤：

步骤1：入侵检测系统检测到网络中的入侵行为后，与防火墙建立联动的安全通信信道；

步骤2：入侵检测系统通过安全通信信道向防火墙发送联动内容；

步骤3：防火墙根据收到的联动内容，生成相应的安全规则，阻断攻击行为。

上述安全通信信道的建立过程为：防火墙与入侵检测系统采用握手协议协商会话密钥，然后利用该会话密钥对联动信息进行加密传输。该会话密钥的协商过程至少包括：

步骤210：在建立安全通信信道时，入侵检测系统产生一临时会话密钥，并使用自己的主密钥加密该会话密钥，向防火墙发送密钥协商请求和认证请求；

步骤211：防火墙收到密钥协商和认证请求以后，解密获取的临时会话密钥，产生本次会话的会话密钥，并用临时会话密钥加密后发送给入侵检测系统；

步骤212：入侵检测系统获取上述信息后，用临时会话密钥解密，获取本次会话的会话密钥。

防火墙收到密钥协商和认证请求以后，在解密获取临时会话密钥的同时，验证Nonce(一个随机数序列)值、时戳和散列结果的完整性，具体方法是：在每次联动之前，防火墙作为发送方和入侵检测系统目的方进行会话密钥协商，同时，防火墙将自己的主机时间发送给入侵检测系统，入侵检测系统与防火墙进行时间同步。

入侵检测系统在收到防火墙发送来的会话密钥后，首先验证Nonce值、时戳和散列结果的完整性，具体的方法是：在每次联动之前，入侵检测系统作为发送方和防火墙目的方进行会话密钥协商，同时，入侵检测系统方将自己的主机时间发送给防火墙，防火墙与入侵检测系统进行时间同步。

上述发送方和目的方之间验证Nonce值、时戳和散列结果完整性的具体步骤包括：

发送方将报文、Nonce值、时间戳和会话密钥作为输入变量，用hash散列函数计算后，形成消息文摘或报文认证码发送给目的方；

目的方首先将报文、Nonce值、时间戳和会话密钥作为输入变量，用hash散列函数计算；其次，将收到的由发方生成的消息文摘和计算的hash函数结果进行比较；如果，两个结果一致，表明目的方收到的是发方发送的报文，且在通信过程中没有被攻击者修改过，从而验证了对方报文的完整性；最后，目的方根据在与发送方密钥协商过程中的时间同步机制，验证收到报文的时间是否在预先规定的时间范围内，如果是，则认为该报文是发送方发送的正常报文，否则认为是攻击者重放的报文。

上述密钥的管理方式为密钥管理中心(key distributed Center，简称KDC或数字证书(Public Key Infrastructure-Certificate Authority，简称PKI-CA)。

采用KDC的方式时，在联动之前要为每一个联动实体发放证书，发放过程为：

步骤200：KDC启动后产生自己的主密钥；

步骤201：KDC为防火墙和入侵检测系统分别建立用户，并输入各自的口令；

步骤202：防火墙和入侵检测系统分别利用自己的口令生成一对称密钥，并利用该密钥加密KDC的主密钥，生成各自有一定的有效期的证书文件；

步骤203：防火墙和入侵检测系统分别将自己的证书拷贝到本地。

上述的防火墙和入侵检测系统通过电子邮件或文件传输协议(FileTransfer Protocol，简称FTP)方式分别将自己的证书拷贝到本地。

采用PKI-CA方式时，在联动之前，为联动设备防火墙和入侵检测系统分配密钥证书作为主密钥。

上述的联动内容至少包括：发起攻击主机的网际协议(InternetProtocol，简称IP)地址或源端口号或协议类型或被攻击主机的IP地址或源端口号或协议类型之一或其组合。

本发明不但能发挥各自的特殊优势，而且能提升入侵检测系统在额外层次上的安全防御能力，提高了安全产品的整体防护能力，由于具有开放的接口，所以还能完全适合目前绝大部分联动场合。

附图说明：

图1为本发明结构示意图。

图2为本发明流程示意图。

具体实施方式：

以下通过具体的实施例和附图对本发明做详细的说明：

参见图1和图2，一种防火墙与入侵检测系统联动的方法，其步骤为：

步骤1：入侵检测系统检测网络系统；

步骤2：入侵检测系统检测到网络中的入侵行为后，与防火墙建立联动的安全通信信道；

步骤3：在安全通信信道的保护下，入侵检测系统向防火墙发送联动内容；

步骤4：在安全信道的保护下，防火墙根据收到的联动内容，生成相应的安全规则，阻断攻击行为。

具体地，如图1，在本实施例中，采用具有Client/Server结构的协议建立安全通信信道，客户端(Client)为入侵检测系统，服务器端(Server)为防火墙，当需要进行管理或联动时，客户端入侵检测系统和服务器端防火墙采用握手协议协商会话密钥，并使用该会话密钥进行加密的安全通信。在此安全通道内，利用生成的会话密钥对联动信息进行加密传输，并采用随机序列Nonce值、时戳和散列算法等机制提高协议的抗重放攻击和完整性攻击。

本联动机制采用2种密钥管理方式：一是基于KDC；二是基于PKI-CA。

当采用KDC方式时，在联动之前，首先为每一个联动实体(如防火墙或入侵检测系统等)发放证书，过程如下：

步骤200：KDC启动后产生自己的主密钥；

步骤201：KDC为防火墙和入侵检测系统分别建立用户，并要求输入各自的口令；

步骤202：防火墙和入侵检测系统分别利用自己的口令生成一对称密钥，并利用该密钥加密KDC的主密钥，生成各自的证书文件，并有一定的有效期；

步骤203：防火墙和入侵检测系统分别将自己的证书拷贝到本地，可以采用多种方式，如电子邮件或ftp方式等。

当采用PKI-CA数字证书方式时，在联动之前，CA机构为联动设备，即防火墙和入侵检测系统，分配密钥证书(公钥和私钥证书)作为主密钥。

在建立安全通信信道时，会话密钥协商过程为：

步骤210：在建立安全通信信道时，入侵检测系统产生一临时会话密钥(一个随机乱数)，并使用自己口令解密的主密钥(通过证书文件)加密该会话密钥，向防火墙发送密钥协商请求和认证请求；

步骤211：防火墙收到密钥协商和认证请求以后，利用自己的口令和证书文件取出同样的主密钥，解密获取临时会话密钥，同时验证Nonce值、时戳和散列结果的完整性，最后产生本次会话的会话密钥，并用临时会话密钥加密后发送给入侵检测系统；

步骤212：入侵检测系统获取上述信息后，首先验证Nonce值、时戳和散列结果完整性，并用临时会话密钥解密，获取本次会话的会话密钥。

在安全通道中传输的内容要进行安全保护，安全保护包括：防止联动信息的重放攻击，完整性保护，加密保护。

在协商获取会话密钥以后，入侵检测系统利用该会话密钥和加密算法加密向防火墙发送联动信息，防火墙也利用该会话密钥和加密算法加密向入侵检测系统发送反馈信息。在此过程中，采用Nonce值、时戳和散列算法等机制提高协议的安全性，防止攻击者对联动信息的重放攻击，并对联动信息内容进行完整性保护。

防火墙收到密钥协商和认证请求以后，在解密获取临时会话密钥的同时，验证Nonce(一个随机数序列)值、时戳和散列结果的完整性，具体方法是：在每次联动之前，防火墙作为发送方和入侵检测系统目的方进行会话密钥协商，同时，防火墙将自己的主机时间发送给入侵检测系统，入侵检测系统与防火墙进行时间同步。

入侵检测系统在收到防火墙发送来的会话密钥后，首先验证Nonce值、时戳和散列结果的完整性，具体的方法是：在每次联动之前，入侵检测系统作为发送方和防火墙目的方进行会话密钥协商，同时，入侵检测系统方将自己的主机时间发送给防火墙，防火墙与入侵检测系统进行时间同步。

无论入侵检测系统或防火墙作为发送方或目的方，发送方和目的方之间验证Nonce值、时戳和散列结果完整性的具体步骤包括：

发送方将报文、Nonce值、时间戳和会话密钥作为输入变量，用hash散列函数计算后，形成消息文摘或报文认证码发送给目的方；

目的方首先将报文、Nonce值、时间戳和会话密钥作为输入变量，用hash散列函数计算；其次，将收到的由发方生成的消息文摘和计算的hash函数结果进行比较；如果，两个结果一致，表明目的方收到的是发方发送的报文，且在通信过程中没有被攻击者修改过，从而验证了对方报文的完整性；最后，目的方根据在与发送方密钥协商过程中的时间同步机制，验证收到报文的时间是否在预先规定的时间范围内，如果是，则认为该报文是发送方发送的正常报文，否则认为是攻击者重放的报文。

在上述的联动内容中，至少包括：发起攻击主机的IP地址，源端口号，协议类型等；被攻击主机的IP地址，源端口号，协议类型，攻击类型(对主机某项服务的攻击，或对主机系统的攻击)。

最后应说明的是：以上实施例仅用以说明本发明而非限制，尽管参照较佳实施例对本发明进行了详细说明，本领域的普通技术人员应当理解，可以对本发明进行修改或者等同替换，而不脱离本发明的精神和范围，其均应涵盖在本发明的权利要求范围当中。