专利名称:一种路由器和入侵检测系统联动的方法
技术领域:
本发明专利涉及一种网络设备和网络安全设备联动的方法,尤其涉及一种路由器和入侵检测系统联动的方法,属于网络安全技术领域。
背景技术:
路由器是互联网的主要节点设备,通过路由表决定数据包的转发。作用之一是连通不同的网络,另一个作用是选择数据包传送的线路。按性能档次分为高、中、低档路由器;按功能分可将路由器分为“骨干级路由器”、“企业级路由器”和“接入级路由器”。路由器自身的访问控制列表能够对流经的数据包进行过滤,实现对网络资源的访问控制。路由器的访问控制列表属于静态防护机制,它根据事先设置的规则,对流经的数据包进行过滤,不能自适应地改变安全规则,所以很难在动态变化的网络环境中收到良好效果。因此,它的防护功能有一定的局限性。
入侵检测系统就是对网络或操作系统上的可疑行为做出策略反应,及时切断资料入侵源,记录并通过各种途径通知网络管理员,最大幅度地保障系统安全,帮助系统对付网络攻击,扩展系统管理员的安全管理能力,提高信息安全基础结构的完整性。按照其数据来源可将入侵检测系统分为三类基于主机的入侵检测系统、基于网络的入侵检测系统和采用上述两种数据来源的分布式入侵检测系统。入侵检测系统通常是采取流量镜像的接入方式,对网络中的数据包进行复制并作特征检测,而对网络中正在进行的通信过程不进行干预。因此,其防护功能也同样具有一定的局限性。
网络安全需要纵深、多样的防护。目前已经存在的联动机制多是存在于防火墙和入侵检测系统之间,结构和功能单一,或者机制过于复杂,难以在实际环境中应用。目前还缺乏在路由器和入侵检测系统之间有效的联动机制。
发明内容
本发明的主要目的在于提供一种路由器和入侵检测系统联动的方法,实现路由器和入侵检测系统的联动,不但将二者的优势紧密地结合,而且能提升入侵检测系统抵御攻击的能力,提高了被管网络的安全系数。
本发明是通过以下技术方案实现的步骤1入侵检测系统检测到网络中的异常行为后,生成相应的安全规则,作为联动信息;步骤2入侵检测系统判别入侵位置,与对应的路由器建立联动的通信信道;步骤3入侵检测系统通过通信信道向路由器发送联动信息;步骤4路由器通过连接的AAA(Authentication Authorization Account)系统对入侵检测系统进行认证;步骤5若通过认证则路由器对收到的联动信息内包含的安全规则进行授权检查,否则不予响应;步骤6若通过授权检查则路由器根据收到的安全规则设置相应的访问控制列表,阻断攻击行为,否则不予响应;步骤7在AAA系统上记录所有认证和授权请求以及所作的任何操作。上述认证过程步骤至少包括步骤1在入侵检测系统向路由器发送联动内容时,联动内容内包含与该入侵检测系统对应的帐户和密码;步骤2路由器向相连的AAA服务器发出认证请求,请求内包含收到的联动内容内含有的帐户和密码;步骤3AAA服务器根据事先的配置对入侵检测系统的身份进行认证,并将认证结果返回给发出请求的路由器;步骤4若认证成功则路由器对联动内容内的安全规则进行授权检查,否则不予响应,并在AAA服务器上记录本次认证请求。
上述授权过程步骤至少包括步骤1路由器向相连的AAA服务器发出授权请求,请求内包含收到的联动内容内含有的安全规则;步骤2AAA服务器根据事先的配置对安全规则进行授权检查,并将授权检查结果返回给发出请求的路由器;步骤3若授权检查成功则路由器根据收到的联动内容内含有的安全规则设置相应的访问控制列表,否则不予响应,并在AAA服务器上记录本次授权请求。
上述联动内容至少包括
入侵检测系统相应的帐户和密码或发起攻击主机的IP地址或源端口号或目的端口号或协议类型之一或其组合。
图1为本发明结构示意图。
图2为本发明流程示意图。
具体实施例方式
以下通过具体的实施例和附图对本发明做详细的说明参见图1和图2,一种路由器和入侵检测系统联动的方法,其步骤包括步骤1入侵检测系统检测到网络中的异常行为后,生成相应的安全规则,作为联动信息;步骤2入侵检测系统判别入侵位置,与对应的路由器建立联动的通信信道;步骤3入侵检测系统通过通信信道向路由器发送联动信息;步骤4路由器通过连接的AAA系统对入侵检测系统进行认证;步骤5若通过认证则路由器对收到的联动信息内包含的安全规则进行授权检查,否则不予响应;步骤6若通过授权检查则路由器根据收到的安全规则设置相应的访问控制列表,阻断攻击行为,否则不予响应;步骤7在AAA系统上记录所有认证和授权请求以及所作的任何操作。
具体地,在本实施例中,系统部署如图1,采用具有Client/Server结构的协议建立通信信道,客户端(Client)为入侵检测系统,服务器端(Server)为路由器,使用命令行接口(Command Line Interface,CLI)充当。为多台路由器配置一个AAA服务器,为入侵检测系统设置一个帐户和密码,并进行适当的授权和记录设置。系统联动如图2,入侵检测系统将认证所需的帐户和密码连同生成的安全规则通过建立的通信信道发送给对应的路由器。路由器向AAA服务器发出认证请求,若成功认证则路由器对安全规则进行授权检查,否则不予相应。如果授权成功,路由器根据安全规则设置相应的访问控制列表,阻断攻击,否则不予响应。在AAA服务器上记录所有认证和授权请求以及所作的所有操作。
AAA服务器对入侵检测系统的认证过程包括
步骤1在入侵检测系统向路由器发送联动内容时,联动内容内包含与该入侵检测系统对应的帐户和密码以及安全规则;步骤2路由器向相连的AAA服务器发出认证请求,请求内包含收到的联动内容内含有的账户和密码;步骤3AAA服务器根据事先的配置对入侵检测系统的身份进行认证,并将认证结果返回给发出请求的路由器;步骤4若认证成功则路由器对联动内容内的安全规则进行授权检查,否则不予响应,并在AAA服务器上记录本次认证请求。
AAA服务器对入侵检测系统的授权过程包括步骤1路由器向相连的AAA服务器发出授权请求,请求内包含收到的联动内容内含有的安全规则;步骤2AAA服务器根据事先的配置对安全规则进行授权检查,并将授权检查结果返回给发出请求的路由器;步骤3若授权检查成功则路由器根据收到的联动内容内含有的安全规则设置相应的访问控制列表,否则不予响应,并在AAA服务器上记录本次授权请求。
路由器和AAA服务器通信可以使用Radius协议或者TACACS+协议。
在上述联动内容中至少包括入侵检测系统相应的帐户和密码或发起攻击主机的IP地址或源端口号或目的端口号或协议类型之一或其组合。
最后应说明的是以上实施例仅用以说明本发明而非限制,尽管参照较佳实施例对本发明进行了详细说明,本领域的普通技术人员应当理解,可以对本发明进行修改或者等同替换,而不脱离本发明的精神和范围,其均应涵盖在本发明的权利要求范围当中。
权利要求
1.一种路由器和入侵检测系统联动的方法,其特征在于至少包括如下步骤步骤1入侵检测系统检测到网络中的异常行为后,生成相应的安全规则,作为联动信息;步骤2入侵检测系统判别入侵位置,与对应的路由器建立联动的通信信道;步骤3入侵检测系统通过通信信道向路由器发送联动信息;步骤4路由器通过连接的AAA系统对入侵检测系统进行认证;步骤5若通过认证则路由器对收到的联动信息内包含的安全规则进行授权检查;否则不予响应;步骤6若通过授权检查则路由器根据收到的安全规则设置相应的访问控制列表,阻断攻击行为;否则不予响应;步骤7在AAA系统上记录所有认证和授权请求以及所作的任何操作。
2.根据权利要求1所述的路由器和入侵检测系统联动的方法,其特征在于通过AAA服务器对入侵检测系统进行认证和授权,并记录所有认证和授权请求以及所作的任何操作。
3.根据权利要求2所述的路由器和入侵检测系统联动的方法,其特征在于所述AAA服务器对入侵检测系统进行认证的过程至少包括步骤1在入侵检测系统向路由器发送联动内容时,联动内容内包含与该入侵检测系统对应的帐户和密码;步骤2路由器向相连的AAA服务器发出认证请求,请求内包含收到的联动内容内含有的帐户和密码;步骤3AAA服务器根据事先的配置对入侵检测系统的身份进行认证,并将认证结果返回给发出请求的路由器;步骤4若认证成功则路由器对联动内容内的安全规则进行授权检查;否则不予响应,并在AAA服务器上记录本次认证请求。
4.根据权利要求2所述的路由器和入侵检测系统联动的方法,其特征在于所述AAA服务器对入侵检测系统进行授权的过程至少包括步骤1路由器向相连的AAA服务器发出授权请求,请求内包含收到的联动内容内含有的安全规则;步骤2AAA服务器根据事先的配置对安全规则进行授权检查,并将授权检查结果返回给发出请求的路由器;步骤3若授权检查成功则路由器根据收到的联动内容内含有的安全规则设置相应的访问控制列表;否则不予响应,并在AAA服务器上记录本次授权请求。
5.根据权利要求1所述的路由器和入侵检测系统联动方法,其特征在于所述的联动内容至少包括入侵检测系统相应的帐户和密码或发起攻击主机的IP地址或源端口号或目的端口号或协议类型之一或其组合。
6.根据权利要求5所述的路由器和入侵检测系统联动的方法,其特征在于所述的攻击类型至少包括对主机系统的攻击或对主机应用软件的攻击。
全文摘要
本发明涉及一种路由器和入侵检测系统联动的方法。入侵检测系统检测到网络中的异常行为后,生成相应的安全规则,作为联动信息;判别入侵位置,与对应的路由器建立联动的通信信道;入侵检测系统通过通信信道向路由器发送联动内容;路由器通过连接的AAA系统对入侵检测系统进行认证;若通过认证则路由器对收到的联动信息内包含的安全规则进行授权检查,否则不予响应;若通过授权检查则路由器根据安全规则设置相应的访问控制列表,阻断攻击行为,否则不予响应;在AAA系统上记录所有认证和授权请求以及所作的任何操作。本发明不但能将二者的优势紧密地结合,而且能提升入侵检测系统抵御攻击的能力,提高被管网络的安全系数。
文档编号H04L12/56GK1946025SQ20061013768
公开日2007年4月11日 申请日期2006年11月6日 优先权日2006年11月6日
发明者刘衍珩 申请人:吉林大学