[发明专利]一种融合了入侵检测功能的交换机

说明书

技术领域

本发明涉及数据通信领域。

背景技术

随着网络规模的不断扩大，网络应用的不断增多，网络设备的类型和数量随之增加，功能复杂、数量繁多的网络设备给部署和管理带来了一定的困难，使得维护成本不断增加。各种网络设备功能融合已经是一个大趋势，传统的功能单一的网络设备正在被集成多种功能的设备所取代。

网络中的攻击和病毒使得入侵检测系统成为网络中的必需设备。入侵检测技术是主动保护自己免受攻击的一种网络安全技术。作为防火墙的合理补充，入侵检测技术能够帮助系统对付网络攻击，扩展了系统管理员的安全管理能力，提高了信息安全基础结构的完整性。

发明内容

本发明要解决的是现有技术中交换机和IDS(入侵检测系统)不能实现融合组网的问题，简化网络部署，减少设备，节省建网投资。

本发明所述的一种融合了入侵检测功能的交换机，包括至少一个交换线卡和至少一个IDS线卡，其中IDS线卡用来进行安全检测，并且和交换线卡联动，交换线卡用来转发报文。交换线卡至少包括两个物理端口和一个交换单元，物理端口用来连接需要监控的网络，交换单元负责在两个物理端口之间以及物理端口和IDS线卡之间转发报文。IDS线卡至少包括一个交换单元和一个IDS单元，交换单元用于接收由交换线卡转发过来的报文，IDS单元用来检测报文特征。交换线卡物理端口通过交换单元保留端口把收到的报文发送到IDS线卡，IDS线卡从保留端口接收报文，对非法报文进行告警或者通过内部通道与交换线卡联动，对非法报文进行阻断。还包括主控单元和控制通道，用来通过主控单元对IDS线卡进行设置和监测。

附图说明

图1.本发明结构示意图

图2.本发明逻辑结构图

图3.本发明联动示意图

具体实施方式

如图1所示，为本发明结构示意图。

IDS单元与交换单元来连接，对来自交换单元的报文进行安全检查，以及与交换单元之间联动。通过在交换机上设置端口镜像，镜像源端口设置为需要监控的端口(物理端口)，镜像目的端口设置为IDS线卡上与IDS单元连接的交换单元端口，IDS单元对镜像来的数据报文检查。

IDS控制单元用来对IDS单元进行工作参数配置和工作状态监测，主控单元用来提供对IDS控制单元进行工作参数配置和工作状态显示的通道。包括接收和显示IDS单元发送的工作状态信息、将对IDS单元的控制指令传输至IDS控制单元和显示IDS控制单元返回的控制指令执行结果。

如图2所示，为本发明逻辑结构图。IDS线卡通过数据总线与交换线卡连接，IDS线卡包括相互连接的交换单元、IDS单元、物理端口，交换线卡包括相互连接的交换单元、物理端口。IDS线卡和交换线卡的交换单元均连接至数据总线.IDS线卡的交换单元通过通用接口(如FE、GE等)与IDS单元连接。主控单元、交换线卡、IDS交换线卡的交换单元和IDS线卡的IDS单元均连接至控制总线。不难看出，交换设备可以不包括交换线卡，也可以包括多个交换线卡。同样IDS线卡可以提供1个到多个物理端口，也可以不带物理端口。

主控单元对IDS单元的管理，开辟了一个管理通道，通过TCP/IP协议对其进行管理。用户通过主控单元向IDS单元发送控制指令，IDS单元通过主控单元向用户返回控制指令的执行结果，控制指令主要包括配置IDS线卡的工作参数和监测其工作状态。

如图3所示，为本发明联动示意图。联动是IDS设备的重要功能。在网络设备运行过程中，将来自Internet的各种数据流的信息报告给IDS，IDS一方面要监听来自Internet的数据流，一方面还要监听来自Intranet的数据流。当IDS发现可疑的流量数据(如病毒、恶意的ActiveX)程序后，将相应的流量数据对应的端口通知给网路设备，由网路设备将该端口禁止掉，一段时间后再使能该端口。

交换单元将需要检测的物理端口上的所有报文通过端口镜像发送到IDS单元，IDS单元根据收到的报文获取可疑数据流特征信息，和入侵检测系统特征库进行比对，查看报文是否是攻击报文，根据检查结果生成数据流控制信息；

将数据流控制信息封装在网络协议报文中，网络协议报文可以是简单网络管理协议报文，也可以是安全套接字协议协议层报文，然后将协议报文发送给主控单元；

主控单元根据收到的数据流控制信息建立对应的访问控制列表(ACL)，控制信息中的特征值包括源MAC地址、目的MAC地址、源IP地址、目的IP地址、源端口、目的端口、协议类型中的一种或多重组合，再将访问控制列表下发到交换单元的相应端口上，阻断攻击数据流。