字簽名生成的方法。
[0017]本發(fā)明的技術效果在于:
在本發(fā)明中���,提出了一種積極的信息安全管理框架及其攻擊數(shù)據(jù)包自動�、實時地檢測和數(shù)字簽名生成的方法��,采用所述這種基于威脅檢測的信息安全管理的方法,不僅能夠檢測到已知的網(wǎng)絡攻擊數(shù)據(jù)包����,而且還能夠實時地檢測到新的網(wǎng)絡攻擊數(shù)據(jù)包,使得企業(yè)的IT網(wǎng)絡能夠正常地運行��,免遭入侵攻擊之危害�����,保持業(yè)務不中斷����、服務不停止,做到零損失或將損失降低到最小�����。本方法也可以運用到防火墻���、入侵檢測、入侵防御����、DDOS保護����、Web應用防火墻和網(wǎng)絡設備之中���。
[0018]【附圖說明】:
圖1是HTTP攻擊自動檢測和數(shù)字簽名生成的結構示意圖����;
圖2是數(shù)據(jù)包攻擊自動檢測和數(shù)字簽名生成的示意圖����。
[0019]【具體實施方式】:
下面是根據(jù)附圖和實例對本發(fā)明的進一步詳細說明:
本發(fā)明為了改進已有入侵檢測系統(tǒng)的功能之缺陷,創(chuàng)新地提出了一種積極的基于威脅檢測的安全管理框架����。一方面,這種框架具有動態(tài)性特征��,而基于風險評估的安全管理是一種靜態(tài)的方法�;另一方面,這種框架還能夠實現(xiàn)入侵檢測系統(tǒng)數(shù)字簽名庫實時�、自動、動態(tài)地更新���。改變了目前入侵檢測系統(tǒng)產品只能檢測到已知的網(wǎng)絡攻擊�����,而不能檢測到新的網(wǎng)絡攻擊的局限性����。改變了目前入侵檢測系統(tǒng)產品的數(shù)字簽名庫的更新只能依靠手工更新其速度之慢的局限性;改變了由于信息安全工具局限性而造成的虛假信息安全的現(xiàn)象�����。本發(fā)明所述方法可以運用到防火墻�、入侵檢測、入侵防御�、DDOS保護、Web應用防火墻和網(wǎng)絡設備之中�。
[0020]本專利所提出的積極的安全管理框架如圖1所示,包括一個生產區(qū)和一個仿真區(qū)��,所述生產區(qū)包括一個防火墻101���、一個DMZ路由器103、一個入侵檢測系統(tǒng)110���、一個數(shù)字簽名庫111���、一個生產服務器112�、一個郵件服務器113����、一個DNS和DHCPl 14,而所述仿真區(qū)包括一個交換機105��、一個入侵檢測系統(tǒng)120��、一個數(shù)字簽名庫121��、一個蜜罐122�����、一個仿真Web服務器123�����、一個檢測引擎125��、一個數(shù)字簽名生成引擎126���、一個企業(yè)IT網(wǎng)絡路由器102�����。
[0021]本專利所提出了一種新穎的安全管理框架��,它具有實時�����、自動的入侵檢測和新攻擊的預防功能�����。所述安全管理框架����,包括:一個企業(yè)IT網(wǎng)絡,與該網(wǎng)絡通信的兩個網(wǎng)絡入侵檢測系統(tǒng)110和120�,入侵檢測系統(tǒng)110部署在生產區(qū),入侵檢測系統(tǒng)120部署在仿真區(qū)���,每一個網(wǎng)絡入侵檢測系統(tǒng)分別包含一個數(shù)字簽名庫111和121��。數(shù)字簽名庫存儲網(wǎng)絡攻擊數(shù)據(jù)。
[0022]所述安全管理框架,還包括一個獨立的蜜罐122����、一個檢測引擎125、一個數(shù)字簽名生成系統(tǒng)126�。所述蜜罐122還含有一個仿真Web服務器123。
[0023]Web服務器器112��,即“生產Web服務器”被部署在DMZ區(qū)�����;3層防火墻101和入侵檢測系統(tǒng)(IDSl) 110被部署在Web服務器112和網(wǎng)絡出口 100之間����,以保護它們免遭已知網(wǎng)絡攻擊的入侵。同時��,仿真或假冒的Web服務器123被部署在企業(yè)IT網(wǎng)絡內部���。發(fā)往仿真Web服務器123的數(shù)據(jù)包通過鏡像交換機上105的端口也被發(fā)送到入侵檢測系統(tǒng)(IDS2)120�。入侵檢測系統(tǒng)(IDS2)120過濾掉已知攻擊的數(shù)據(jù)包�。仿真服務器123接收數(shù)據(jù)包,并封裝成日志數(shù)據(jù)包124��,以便進一步的處理。檢測引擎125閱讀和分析這些日志數(shù)據(jù)包�,并負責從這些日志數(shù)據(jù)包中識別出可疑的攻擊。這些未知的攻擊在入侵檢測系統(tǒng)(IDSl) 110數(shù)字簽名庫111之中是不可能存在的�。一個網(wǎng)絡攻擊一旦被檢測引擎125檢測到,它就被發(fā)送到數(shù)字簽名生成引擎126之中���。緊接著���,數(shù)字簽名生成引擎126生成數(shù)字簽名,并把它們保存在入侵檢測系統(tǒng)(IDS2)120中的數(shù)字簽名庫121之中����。這些數(shù)字簽名被用作更新或同步入侵檢測系統(tǒng)(IDSl) 110的數(shù)字簽名庫111。
[0024]本專利所提出的安全管理框架����,蜜罐122被用作誘惑網(wǎng)絡攻擊者在攻擊實際的Web服務器112之前首先攻擊蜜罐內的Web服務器123。自動的攻擊檢測引擎125和數(shù)字簽名生成引擎126為未知的網(wǎng)絡攻擊生成網(wǎng)絡攻擊數(shù)字簽名�����,并把它們存儲在數(shù)字簽名庫121之中�����。這些新的數(shù)字簽名可以阻止對實際Web服務器112的攻擊。該方法能夠及早地檢測到網(wǎng)絡攻擊���,相應的數(shù)字簽名能使得入侵檢測系統(tǒng)110阻止對實際Web服務器112的攻擊,實現(xiàn)了預防網(wǎng)絡攻擊的功能�。
[0025]圖2給出了自動的攻擊檢測和數(shù)字簽名生成的步驟。201獲取要訪問DMZ諸如生產Web服務器112的數(shù)據(jù)包�����,并分別將此數(shù)據(jù)包轉發(fā)給入侵檢測系統(tǒng)(IDSl)110和蜜罐122之內的仿真服務器123���。110檢查該數(shù)據(jù)包211是否與已知攻擊模式相匹配�����,判斷是否是惡意數(shù)據(jù)213 ?如果是的話�����,則IDSl發(fā)出告警215 ;否則將該數(shù)據(jù)包直接發(fā)往生產Web服務器 221��。
[0026]蜜罐122之中的仿真Web服務器123接收該數(shù)據(jù)包231���,并封裝成日志數(shù)據(jù)124���,以便進一步的處理。入侵檢測系統(tǒng)(IDS2)檢查數(shù)字簽名是否匹配241 ?如果是的話��,則它通知該數(shù)字簽名已經(jīng)存在243����,并過濾掉該數(shù)據(jù)包;否則檢測引擎125分析所述日志251��,并通過某種算法(例如��,LCS)���,弄清楚它的攻擊模式253��。清楚其攻擊模式之后將此種新攻擊模式通過數(shù)字簽名生成引擎126生成數(shù)字簽名261��,并存儲在入侵檢測系統(tǒng)(IDS2) 120的數(shù)字簽名庫121里263����,與此同時����,更新或同步入侵檢測系統(tǒng)(IDSl) 110里的數(shù)字簽名庫111里的數(shù)字簽名265�����。
[0027]以上所述僅為本發(fā)明的較佳實施例��,并非用來限定本發(fā)明的實施范圍��;凡是依本發(fā)明所作的等效變化與修改,都被視為本發(fā)明的專利范圍所涵蓋���。
【主權項】
1.本發(fā)明提供了一種積極的自動檢測HTTP攻擊的信息安全管理框架�����,其特點在于�,包括:一個企業(yè)IT網(wǎng)絡�,與該網(wǎng)絡通信的兩個入侵檢測系統(tǒng),它們分別被部署在生產區(qū)和仿真區(qū)����,一個獨立的蜜罐,一個檢測引擎�����,一個數(shù)字簽名生成系統(tǒng),每一個入侵檢測系統(tǒng)含有一個數(shù)字簽名庫�,每一個蜜罐具有一個仿真Web服務器, ?所述數(shù)字簽名庫具有: 存儲已知的網(wǎng)絡攻擊數(shù)據(jù)�, 存儲新的網(wǎng)絡攻擊數(shù)據(jù); ?所述仿真Web服務器具有: 仿真服務器接收數(shù)據(jù)包����, 形成日志,以便進一步的處理���; 籲所述檢測引擎具有: 閱讀��、分析所述日志數(shù)據(jù)包����, 負責從這些日志中識別出可疑的攻擊����, 發(fā)送給數(shù)字簽名生成系統(tǒng); 籲所述數(shù)字簽名生成系統(tǒng)具有: 接收來自檢測引擎的數(shù)據(jù)包����, 生成數(shù)字簽名。2.根據(jù)權利要求1所述的一種積極的自動檢測HTTP攻擊的信息安全管理框架,其特征在于�,所述生成數(shù)字簽名,包括以下步驟: (O防火墻接收訪問企業(yè)IT網(wǎng)絡的數(shù)據(jù)包�����,并分別將此數(shù)據(jù)包轉發(fā)給生產區(qū)的入侵檢測系統(tǒng)和仿真區(qū)蜜罐內的仿真Web服務器�; (2)生產區(qū)的入侵檢測系統(tǒng)檢查該數(shù)據(jù)包是否與已知攻擊相匹配?如果是的話�,則表明該數(shù)據(jù)包是惡意數(shù)據(jù)包,并發(fā)出告警�;否則,允許訪問DMZ區(qū)的服務器�; (3)蜜罐之中的仿真Web服務器接收該數(shù)據(jù)包�����,并封裝成日志數(shù)據(jù)包��,以便進一步的處理����; (4)仿真區(qū)的入侵檢測系統(tǒng)檢查已知的數(shù)字簽名是否匹配該數(shù)據(jù)包,如果是的話�����,則它通知該數(shù)字簽名已經(jīng)存在并過濾掉該數(shù)據(jù)包;否則���,檢測引擎分析所述日志數(shù)據(jù)包�����,并基于LCS的算法���,檢測出所述數(shù)據(jù)包的攻擊模式; (5)通過數(shù)字簽名生成引擎生成數(shù)字簽名�,并存儲在仿真區(qū)的入侵檢測系統(tǒng)的數(shù)字簽名庫里; (6)更新或同步到生產區(qū)的入侵檢測系統(tǒng)的數(shù)字簽名庫之中�。
【專利摘要】本發(fā)明公開了一種積極的信息安全管理的框架及其攻擊數(shù)據(jù)包自動檢測和數(shù)字簽名生成的方法,其特點在于�,包括:一個企業(yè)IT網(wǎng)絡,與該網(wǎng)絡通信的兩個網(wǎng)絡入侵檢測系統(tǒng)�,它們分別被部署在生產區(qū)和仿真區(qū),一個獨立的蜜罐����、一個檢測引擎、一個數(shù)字簽名生成系統(tǒng)��。所述蜜罐包含一個仿真Web服務器,每一個入侵檢測系統(tǒng)分別含有一個數(shù)字簽名庫�����,數(shù)字簽名庫里存儲各種網(wǎng)絡攻擊數(shù)據(jù)���。這種基于威脅檢測的信息安全管理的方法��,不僅能夠檢測到已知的網(wǎng)絡攻擊數(shù)據(jù)包��,而且還能夠實時地檢測到新的網(wǎng)絡攻擊數(shù)據(jù)并加以阻止����,使得企業(yè)的IT網(wǎng)絡免遭入侵之損害�,保持業(yè)務不中斷、服務不停止����,做到零損失或將損失降低到最小����。本方法也可以運用到防火墻、入侵檢測�����、入侵防御、DDOS保護����、Web應用防火墻和網(wǎng)絡設備之中。
【IPC分類】H04L29/06
【公開號】CN105227559
【申請?zhí)枴緾N201510660383
【發(fā)明人】凌飛, 李木金
【申請人】南京聯(lián)成科技發(fā)展有限公司
【公開日】2016年1月6日
【申請日】2015年10月13日