專利名稱:一種可定制的ids通訊方法和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及作為網(wǎng)絡(luò)安全的重要產(chǎn)品之一的入侵監(jiān)測系統(tǒng)(IDSIntrusion Detection System)的一種可定制的IDS通訊方法和系統(tǒng),屬于計算機(jī)網(wǎng)絡(luò)技術(shù)領(lǐng)域��。
背景技術(shù):
在分布式入侵檢測系統(tǒng)中���,數(shù)據(jù)是是分層處理的��,這需要多次數(shù)據(jù)傳輸。但每個數(shù)據(jù)處理單元的功能不同���,或者可以根據(jù)用戶的操作而變化��,因此所需要的數(shù)據(jù)也不相同�����。以往由于IDS功能弱���,生成事件少,采用全部傳輸?shù)姆绞?��,由?shù)據(jù)處理端完成數(shù)據(jù)的分類處理�����。但目前多功能IDS所生成的數(shù)據(jù)量巨大����,不可能,也無必要全部傳輸���,因此�����,需要可定制的IDS通訊系統(tǒng)��。
當(dāng)選擇的過濾條件比較復(fù)雜時���,如果沒有一種良好的表示方式,那么實現(xiàn)通訊和處理將比較困難��。
發(fā)明內(nèi)容
本發(fā)明目的是提供一種可定制的IDS通訊方法和系統(tǒng)��。一種可定制的IDS通訊方法�����,包含如下的步驟①封裝命令串?dāng)?shù)據(jù)請求端根據(jù)需求,生成一個數(shù)據(jù)請求命令串���。
②發(fā)送命令串?dāng)?shù)據(jù)請求端通過TCP連接����,向數(shù)據(jù)生成端發(fā)送該命令串�。
③接收命令串?dāng)?shù)據(jù)生成端接收命令串,并進(jìn)行解析��,生成內(nèi)部使用的過濾處理規(guī)則����。
④循環(huán)數(shù)據(jù)發(fā)送數(shù)據(jù)生成端把接收到的數(shù)據(jù)����,按照過濾處理規(guī)則,對數(shù)據(jù)進(jìn)行各類處理緩存��、運(yùn)算�����、排序�����、過濾等,符合條件的數(shù)據(jù)����,進(jìn)行重組成新的事件,發(fā)送出去�,其他事件丟棄,或者轉(zhuǎn)存�。
一種可定制的IDS通訊系統(tǒng),該系統(tǒng)包括1)根據(jù)用戶要求(可以是界面輸入�����,或者系統(tǒng)固定)���,選擇要求查詢的數(shù)據(jù)����,即查詢條件���,并將此查詢條件封裝成命令串���,發(fā)送給數(shù)據(jù)生成單元的數(shù)據(jù)請求模塊����;2)接收上述命令串�����,并進(jìn)行解析處理��,便于后續(xù)處理的命令處理模塊����;3)按照解析的命令,把接收到的數(shù)據(jù)��,進(jìn)行過濾等處理���,并重新組合成新的數(shù)據(jù),發(fā)送給數(shù)據(jù)請求端的事件處理模塊��;4)數(shù)據(jù)請求端接收事件數(shù)據(jù)的數(shù)據(jù)接收模塊�。
本發(fā)明具有如下優(yōu)點1.減少模塊間的通訊量;2.提高了整個系統(tǒng)的處理速度�����;3.提高了系統(tǒng)的靈活性;4.命令串為可讀的字符串���,便于閱讀與調(diào)試�����。
5.命令串按照節(jié)組成�,便于擴(kuò)充��。
圖1是本發(fā)明通訊系統(tǒng)的組成框架圖���。
圖2是本發(fā)明的軟件實現(xiàn)流程�����。
圖3是本發(fā)明通訊系統(tǒng)的系統(tǒng)工作環(huán)境�。
具體實施例方式實施例1�����;一種可定制的IDS通訊方法��,包括如下步驟1)客戶端按照用戶要求,根據(jù)通訊格式封裝數(shù)據(jù)請求命令串�;
2)客戶端通過TCP發(fā)送命令串;3)服務(wù)端接收命令串并解析���;4)服務(wù)端對接收到的入侵檢測數(shù)據(jù)進(jìn)行處理���,按照命令串的要求,進(jìn)行過濾����、重組數(shù)據(jù);5)服務(wù)端發(fā)送過濾��、重組后的事件數(shù)據(jù)����;6)客戶端接收事件數(shù)據(jù)。
它提供一種“數(shù)據(jù)請求命令串”的表示方式�����,來實現(xiàn)入侵檢測系統(tǒng)中數(shù)據(jù)的可定制通訊�。
數(shù)據(jù)請求命令串格式定義如下{tasktype1���;type2}{filter1XXX}{filter2XXX����,XXX-XXX}…其中1.各節(jié)采用{}進(jìn)行分隔;2.第一節(jié)task為任務(wù)節(jié)���,表示查詢?nèi)蝿?wù)等��;3.{filter1XXX}�、{filter2XXX�,…等為過濾條件節(jié),表示查詢使用的過濾條件��,過濾條件之間的邏輯關(guān)系為“與”��;4.命令串中有且只有一個任務(wù)節(jié)�����?��?梢杂卸鄠€過濾條件節(jié)�;5.每個過濾表達(dá)式的分號“�����;”,表明2個數(shù)據(jù)間為或關(guān)系���;6.每個過濾表達(dá)式中的減號“-”��,表明2個數(shù)據(jù)為范圍數(shù)值�����。
如果“-”號缺少左邊的數(shù)值�����,默認(rèn)為0�����;如果“-”號缺少右邊的數(shù)值��,默認(rèn)為無窮大�。
Task的關(guān)鍵字的范圍如下
過濾條件的關(guān)鍵字的范圍如下
實施例2���;系統(tǒng)工作環(huán)境本系統(tǒng)工作在百兆或千兆網(wǎng)絡(luò)的以太網(wǎng)絡(luò)環(huán)境中��,數(shù)據(jù)請求端與數(shù)據(jù)發(fā)送端在不同的機(jī)器上實現(xiàn)��,它們之間采用TCP進(jìn)行通訊����。
如圖1所示��,本系統(tǒng)主要包括數(shù)據(jù)請求端與數(shù)據(jù)發(fā)送端兩部分����。
數(shù)據(jù)請求端生成命令串,并與數(shù)據(jù)發(fā)送端進(jìn)行TCP連接����,數(shù)據(jù)請求端為CLIENT端,數(shù)據(jù)發(fā)送端為SERVER端��。
連接建立后���,數(shù)據(jù)請求端調(diào)用TCP的發(fā)送函數(shù)�����,將命令串發(fā)出�����,數(shù)據(jù)發(fā)送端接收此命令串���,即完成命令傳輸����。
數(shù)據(jù)發(fā)送端解析命令串�����,并處理接收到的數(shù)據(jù)���,把符合要求的數(shù)據(jù)�,經(jīng)過整理后發(fā)送給數(shù)據(jù)請求端����,即完成數(shù)據(jù)的傳輸。
此方法的核心部分是命令串的格式�����,以下對命令串的格式進(jìn)行舉例說明。
●示例1{tasksign}{id0x80223301}{Sign_security攻擊}{time2006/8/6-2006/8/7}含義查詢在2006-8-6到2006-8-7這段時間內(nèi)��,事件id號為0x80223301�,所發(fā)生的攻擊類的信息。
●示例2{tasksignst}{time2006/8/1-}{Sign_security蠕蟲}{topn50}含義查詢自2006/8/1以來�,排名前50的所有蠕蟲類的信息。
●示例3{tasksign}{Sign_security賬號}{srcip192.168.1.1�;192.168.1.2�;192.168.1.3}含義查詢192.168.1.1;192.168.1.2�����;192.168.1.3這三臺機(jī)器的賬號信息��。
●示例4{taskflow}{idtcp_port}{topn30}含義查詢流量事件中��,TCP端口流量事件中流量最大的前30個端口的信息��。
如圖2表示��,可定制的入侵檢測通訊系統(tǒng)的軟件實現(xiàn)流程��,數(shù)據(jù)請求端與數(shù)據(jù)發(fā)送端采用TCP SOCKET進(jìn)行通訊�。數(shù)據(jù)請求端為CLIENT端,數(shù)據(jù)發(fā)送端為SERVER端����。它們之間的軟件實現(xiàn)流程如下1.數(shù)據(jù)發(fā)送端實現(xiàn)服務(wù)偵聽���,等待TCP連接,即等待數(shù)據(jù)請求端的連接���。
2.數(shù)據(jù)請求端根據(jù)系統(tǒng)的需求或用戶命令�����,生成請求命令串����。
3.數(shù)據(jù)請求端與數(shù)據(jù)發(fā)送端建立TCP連接����,如果連接失敗,則進(jìn)行重試�����,如果多次重試(默認(rèn)為10次)均失敗���,則此軟件流程終止���。如果成功��,執(zhí)行下一步操作��。
4.連接成功后�����,數(shù)據(jù)發(fā)送端建立新線程,用于處理與數(shù)據(jù)請求端的數(shù)據(jù)通訊��。數(shù)據(jù)請求端將“第2步”生成的命令串��,發(fā)送到數(shù)據(jù)發(fā)送端��。
5.數(shù)據(jù)請求端發(fā)送命令串后�����,進(jìn)入循環(huán)接收數(shù)據(jù)的狀態(tài)�����,并將接收到的數(shù)據(jù)輸出給其它模塊,用于顯示����,存儲等功能。當(dāng)接收到數(shù)據(jù)終止符命令����,或需要停止接收數(shù)據(jù)時,則退出循環(huán)接收數(shù)據(jù)狀態(tài)��。
6.與5步同時進(jìn)行�����,數(shù)據(jù)發(fā)送端對接收到的命令串�,進(jìn)行解析等處理,生成符合條件的數(shù)據(jù)�,并將此數(shù)據(jù)發(fā)送到數(shù)據(jù)請求端,當(dāng)數(shù)據(jù)量較大時���,需要分為多個數(shù)據(jù)包進(jìn)行發(fā)送�����,即循環(huán)發(fā)送��。
7.當(dāng)數(shù)據(jù)請求端接收到數(shù)據(jù)終止符命令����,或者因為用戶干預(yù),需要停止接收數(shù)據(jù)時����,則退出循環(huán)接收數(shù)據(jù)狀態(tài),并發(fā)出SOCKET關(guān)閉命令�。
8.數(shù)據(jù)發(fā)送端關(guān)閉TCP連接。即完成整個數(shù)據(jù)通訊流程��。如圖3表示�����,定制的入侵檢測通訊系統(tǒng)的系統(tǒng)工作環(huán)境�����;IDS事件生成系統(tǒng)�����,用于網(wǎng)絡(luò)報警事件的發(fā)現(xiàn)�、生成,并將檢測到的IDS事件數(shù)據(jù)進(jìn)行本地存儲�����。
通訊服務(wù)端根據(jù)通訊客戶端系統(tǒng)的要求�����,對所有的IDS事件數(shù)據(jù)進(jìn)行過濾����、分析,將符合客戶端系統(tǒng)要求的數(shù)據(jù)����,返回給客戶端。
通訊客戶端系統(tǒng)主要包括“生成查詢命令”和“事件數(shù)據(jù)接收”兩部分���。
“生成查詢命令”用于處理用戶交互命令�,并將交互命令翻譯成“命令串”�����,然后使用此命令串與通訊服務(wù)器端通訊����。
“事件數(shù)據(jù)接收”用于接收來自通訊服務(wù)器端的數(shù)據(jù)�����,并將接收到的數(shù)據(jù)輸出給其它模塊����,用于顯示���,存儲等功能�����。
權(quán)利要求
1.一種可定制的IDS通訊方法�,其特征在于包括如下步驟①封裝命令串?dāng)?shù)據(jù)請求端根據(jù)需求�,生成一個數(shù)據(jù)請求命令串;②發(fā)送命令串?dāng)?shù)據(jù)請求端通過TCP連接�����,向數(shù)據(jù)生成端發(fā)送該命令串��;③接收命令串?dāng)?shù)據(jù)生成端接收命令串���,并進(jìn)行解析�,生成內(nèi)部使用的過濾處理規(guī)則�;④循環(huán)數(shù)據(jù)發(fā)送數(shù)據(jù)生成端把接收到的數(shù)據(jù),按照過濾處理規(guī)則���,對數(shù)據(jù)進(jìn)行各類處理緩存����、運(yùn)算�����、排序��、過濾等��,符合條件的數(shù)據(jù)����,進(jìn)行重組成新的事件,發(fā)送出去��,其他事件丟棄�,或者轉(zhuǎn)存����。
2.根據(jù)權(quán)利要求1所述的一種可定制的IDS通訊方法����,其特征在于,數(shù)據(jù)請求命令串為字符串�,且由若干個“節(jié)”組成,每節(jié)包含一個數(shù)據(jù)要求���,多個數(shù)據(jù)要求以“與”的關(guān)系��,組成一個完整的數(shù)據(jù)查詢要求�。
3.根據(jù)權(quán)利要求1或2所述的一種可定制的IDS通訊方法�,其特征在于,數(shù)據(jù)請求命令串�����,節(jié)由鍵名�����,鍵值組成�,鍵名與鍵值之間采用冒號分隔,鍵名為數(shù)據(jù)查詢的類別����,鍵值為數(shù)據(jù)查詢要求的數(shù)值。
4.根據(jù)權(quán)利要求3所述的一種可定制的IDS通訊方法�,其特征在于,數(shù)據(jù)請求命令串�,當(dāng)節(jié)中的鍵值有多個時,可以采用分號�����、減號連接��,分號“����;”表示數(shù)據(jù)間為“或”關(guān)系��;減號“-”表示數(shù)據(jù)為“范圍數(shù)值”��,此時前一個數(shù)據(jù)或后一個數(shù)據(jù)可以省略���,但只能省略一個�����,省略的數(shù)據(jù)含義為“最小”�����,或者“最大”��。
5.根據(jù)權(quán)利要求3所述的一種可定制的IDS通訊方法��,其特征在于��,數(shù)據(jù)請求命令串�����,以下字符為特殊字符����,不能作為鍵名,也不能作為鍵值■大括號(包括左大括號與右大括號)�。“{”與“}”���?���!雒疤枴啊薄龇痔枴?;“■減號“-”。
6.一種可定制的IDS通訊系統(tǒng)����,其特征在于,該系統(tǒng)包括1)根據(jù)用戶要求(可以是界面輸入��,或者系統(tǒng)固定)����,選擇要求查詢的數(shù)據(jù),即查詢條件��,并將此查詢條件封裝成命令串�,發(fā)送給數(shù)據(jù)生成單元的數(shù)據(jù)請求模塊;2)接收上述命令串��,并進(jìn)行解析處理���,便于后續(xù)處理的命令處理模塊;3)按照解析的命令,把接收到的數(shù)據(jù)���,進(jìn)行過濾等處理�����,并重新組合成新的數(shù)據(jù)���,發(fā)送給數(shù)據(jù)請求端的事件處理模塊;4)數(shù)據(jù)請求端接收事件數(shù)據(jù)的數(shù)據(jù)接收模塊���。
7.根據(jù)權(quán)利要求6所述的一種可定制的IDS通訊系統(tǒng)�,其特征在于��,可定制的IDS通訊系統(tǒng)中的命令處理模塊���,把數(shù)據(jù)請求命令串�,進(jìn)行解析����,并生成對應(yīng)事件的過濾數(shù)據(jù),保存在內(nèi)部數(shù)據(jù)結(jié)構(gòu)中���。
8.根據(jù)權(quán)利要求6所述的一種可定制的IDS通訊系統(tǒng)��,其特征在于����,可定制的IDS通訊系統(tǒng)中的數(shù)據(jù)請求模塊,把用戶要求��,按照數(shù)據(jù)請求命令格式�,生成相應(yīng)的命令字符串����。
9.根據(jù)權(quán)利要求6所述的一種可定制的IDS通訊系統(tǒng),其特征在于�����,可定制的IDS通訊系統(tǒng)中的事件處理模塊�����,按照事件過濾規(guī)則���,對接收到的事件數(shù)據(jù)��,進(jìn)行過濾判斷����,符合過濾條件的事件����,發(fā)送給數(shù)據(jù)請求方;否則忽略該事件����。
全文摘要
本發(fā)明涉及一種可定制的IDS通訊方法和系統(tǒng),該方法包括如下步驟1客戶端按照用戶要求��,根據(jù)通訊格式封裝數(shù)據(jù)請求命令串���;2客戶端通過TCP發(fā)送命令串��;3服務(wù)端接收命令串并解析���;4服務(wù)端對接收到的入侵檢測數(shù)據(jù)進(jìn)行處理,按照命令串的要求����,進(jìn)行過濾���、重組數(shù)據(jù);5服務(wù)端發(fā)送過濾����、重組后的事件數(shù)據(jù);6客戶端接收該數(shù)據(jù)����。該方法通過可定制的命令串��,實現(xiàn)對入侵檢測數(shù)據(jù)的選擇性讀取��,減少數(shù)據(jù)通訊量��,提高系統(tǒng)的靈活性���、實時性����、可擴(kuò)充性。
文檔編號H04L29/02GK1972288SQ20061011336
公開日2007年5月30日 申請日期2006年9月25日 優(yōu)先權(quán)日2006年9月25日
發(fā)明者肖成民, 張文貴, 張智勇, 許金鵬 申請人:北京啟明星辰信息技術(shù)有限公司