一种入侵检测系统与防火墙联动的方法

摘要

本发明公开了一种入侵检测系统与防火墙联动的方法，该方法使用源IP跟目标IP的比较过滤，把源IP跟目标IP都相同的报警信息合并成一条记录，在检测到需要延长阻塞时间时才发送相应的阻断信息，这样能够明显的减少联动时需要发送的数据包数量。同时再通过使用http方式一次发送多条联动数据给防火墙的方法，更进一步的降低了频繁连接防火墙的次数，这样就能够有效的减少占用网络资源，减轻网络负担。

主权项

一种入侵检测系统与防火墙联动的方法，其特征在于，该方法流程为：读取配置信息，即联动程序从事先设置好的配置文件中获取需要联动的防火墙时需要的数据；获取并解析报警信息，即联动程序实时获取snort写入文件中的报警信息，从中分析出入侵行为的来源IP，目标IP，入侵时间，以及入侵的等级，然后比对从配置信息中读取到的等级级别，如果符合联动要求的就添加到联动信息队列中，这为联动提供了数据源支持；通过源IP跟目标IP来过滤报警信息，即通过报警信息中的来源IP与目的IP来判断该报警信息是否存在报警信息队列中，如果存在，则直接修改该记录的最新达到时间，如果不存在就往队列中添加一新的记录；获取多条报警信息进行发送，即循环遍历整条阻塞信息队列，比较队列中的阻塞结束时间跟当前时间，查看当前时间是否大于阻塞结束时间，如果当前时间小于阻塞结束时间则表示阻塞仍在进行中，此时不需要处理，否则表示阻塞已经结束，如此再通过查看（阻塞时间长度‑（当前时间‑最新达到时间））是否大于0，如果大于0，则获取该阻塞信息，并修改该阻塞信息的阻塞结束时间，如此得到多条需要发送到防火墙的阻塞信息后唤醒专门负责发送数据到防火墙的线程，让该线程使用http的方式将数据发送出去。