[发明专利]防火墙与入侵检测系统的联动方法

说明书

技术领域

本发明涉及网络安全技术领域，是一种防火墙与入侵检测系统的联动方法。

背景技术

随着计算机技术的发展和Internet的广泛应用，网络安全隐患日益严重，在日常的工作中，保证网络安全和系统安全被提升到重要的位置。采用单一的入侵检测(IDS)和防火墙不能及时有效的对网络安全事件做出快速准确的响应。一旦发生异常情况，只能人工做出处理，而且工作效率很低。目前，联动技术都是IDS和防火墙简单的联动。这种简单的联动方式没有达到网络有效性和准确性的要求，只是建立了一种初步的网络安全联动机制，主要存在以下两个方面的问题：(1)现有防火墙与IDS的联动对一些网络安全入侵事件不能很好的响应，主要原因是由于IDS的误报率高，对报警信息缺乏关联与归并，造成错误的防火墙联动，封锁正常通信。另一方面，易被黑客利用，通过伪装成源地址为正常通信的IP地址进行攻击，触发防火墙联动，结果造成拒绝服务攻击；(2)通过对防火墙与其他产品联动的实际应用测试来看，大部分产品之间的联动都要通过较为复杂的配置来实现，而且联动响应的有效性不能很好地保证。

随着技术的发展，如何有机整合各种网络安全技术，建立一个有效实用的网络安全防护方法，从而有效提升防火墙的机动性和实时反应能力、增强了入侵检测系统的阻断功能，是目前迫切需要解决的问题。高速的安全威胁增长态势已经成为整个安全世界的大背景，传统的依靠人工分析恶意软件特征的安全响应体系，已经无法满足现在的安全防护需要。

发明内容

本发明所要解决的技术问题是，提供一种防火墙与入侵检测系统的联动方法，利用这种方法进行分析响应时，能够避免由于入侵检测系统误报产生的过多的联动规则，提高联动的有效性和准确性，满足网络安全智能化要求。

为解决上述技术问题所采用的技术方案是：一种防火墙与入侵检测系统的联动方法，其特征是，它包含有：

[1]入侵检测系统产生的报警信息，经过加密传输至前级信息接发器，并在其中进行解密和认证；

[2]对前级信息接发器解密后的报警信息发送至预处理器进行预处理，对信息记录进行抽取清洗，并将有关数据进行规范化处理；

[3]将预处理器预处理后的数据发送至分析器进行分析，如果所得到的安全事件等级超出预定阀值则由分析器发送命令至决策器，否则将分析器分析的结果送入关联分析器；

[4]将关联分析器的关联分析结果发送至风险评估器中，对现行网络状态进行风险评估，得到当前网络的风险等级和网络运行状态参数；

[5]将风险评估器得到的风险等级和网络运行参数送入决策器作出决策，得到联动的具体信息；

[6]将决策器联动的具体信息发送到后级信息接发器，做相关处理后发送给防火墙，实施联动；

[7]对前级信息接发器解密、认证的入侵检测日志和后级信息接发器的防火墙的日志集中审计后送入关联分析器。

本发明的一种防火墙与入侵检测系统的联动方法，首先入侵检测系统实时地检测网络数据检测到报警时，将报警信息发送到联动系统，然后对信息做预处理，进而进行深入分析，并对网络安全势态进行评估，最后做出相应决策，将决策发送至防火墙。通过基于事件相关性分析，运用基于规则的分析方法，将网络中多样化的安全事件信息进行综合统一处理，利用风险评估确定网络的安全告警事件，进而利用联动技术对安全事故进行处理，能够避免由于入侵检测系统误报产生的过多的联动规则，提高了联动的有效性和准确性，满足了网络安全智能化要求。

附图说明

图1为本发明防火墙与入侵检测系统的联动方法的方框图。

具体实施方式

参照图1：本发明的防火墙与入侵检测系统的联动方法包含有：

[1]入侵检测系统产生的报警信息，经过加密传输至前级信息接发器，并在其中进行解密和认证；

[2]对前级信息接发器解密后的报警信息发送至预处理器进行预处理，对信息记录进行抽取清洗，并将有关数据进行规范化处理；

[3]将预处理器预处理后的数据发送至分析器进行分析，如果所得到的安全事件等级超出预定阀值则由分析器发送命令至决策器，否则将分析器分析的结果送入关联分析器；

[4]将关联分析器的关联分析结果发送至风险评估器中，对现行网络状态进行风险评估，得到当前网络的风险等级和网络运行状态参数；

[5]将风险评估器得到的风险等级和网络运行参数送入决策器作出决策，得到联动的具体信息；

[6]将决策器联动的具体信息发送到后级信息接发器，做相关处理后发送给防火墙，实施联动；