數據業務過濾指示器的制作方法

專利名稱：數據業務過濾指示器的制作方法
技術領域：
本發明大體上涉及寬帶數據傳輸。更具體地，本發明涉及對通過具有適用于用在網絡系統中的防火墻程序的通信設備的數據業務進行監控。
背景技術：
對聯網計算機設備的安全性破壞的增加導致了設計用于提供對病毒、蠕蟲和設計用于利用未受保護的計算機系統的其他惱人或不可逆的有害計算機程序的安全措施的硬件和軟件設備的出現。保護網絡上的用戶或多個用戶的一種常用技術是例如在因特網和為這些用戶服務的內聯網的網關之間安裝防火墻程序。
具體地，防火墻程序是位于網絡網關服務器上的一組相關程序，保護專用網絡的資源不受來自其他網絡(例如因特網)的用戶的侵犯。具有允許其雇員/用戶訪問更為寬廣的因特網的內聯網的組織或實體典型地安裝有防火墻程序，以防止外人訪問其自身的專用數據資源，并對其自身的用戶能夠訪問什么樣的外部資源進行控制。
防火墻程序檢查通過網關的數據業務，以確定是否向特定的目的地轉發該數據業務。具體地，防火墻程序檢查尋址于防火墻程序所駐留的網絡(LAN)的數據分組。防火墻程序可以安裝在單獨的主機上、路由器上、或能夠接收已打包的信息并作為防火墻程序的主機的其他網絡硬件上。
典型的基于軟件的防火墻程序將事件記錄在目志文件中。防火墻程序并不提供同期反饋，例如，當黑客正試圖進入網絡時。而是，當過濾事件發生時，隨后提供對話窗口。對話窗口需要用戶操作來清除屏幕。防火墻程序的重復過濾重復地啟動對話窗口，并需要恒定的用戶互動以清除屏幕，可能會令用戶感到厭煩。許多用戶簡單地禁用對話窗口，而只是保持對日志文件的記錄使能。這樣，需要通知系統管理或終端用戶防火墻程序在網絡環境中阻擋(即，過濾)數據業務的情況。

發明內容
本發明克服了此前與現有技術相關的缺點，一種方法和設備，用于同期指示與不適當的活動相關聯的分組的數量已經超過閾值水平。
在一個實施例中，一種方法，包括檢查數據業務，以確定是否已經違反了多條規則中的至少一條，其中所述規則定義了不適當的通信活動的指示器。在違反了多條規則中的第一類規則的情況下，過濾違反了所述第一類規則的數據業務，并觸發用戶可識別指示器。
在另一實施例中，所述設備適用于通過網絡的通信，包括防火墻，用于識別與不適當的活動相關聯的那些分組。至少一個用戶可識別指示器與防火墻相關聯，用于同期指示與不適當的活動相關聯的分組的數量已經超過閾值水平。
在另一實施例中，一種線纜調制解調器，包括下行處理電路、上行處理電路以及與所述下行電路、上行電路和存儲器進行通信的控制器。將一組規則與之相關聯的防火墻程序駐留在所述存儲器中，并可由所述控制器執行。所述防火墻適合于發起對來自下行和上行電路的數據分組的檢查。由防火墻做出的不適當的活動超過閾值水平的確定，導致至少一個可視指示器的觸發。所述至少一個可視指示器位于所述線纜調制解調器附近，并可由用戶識別。


通過考慮以下結合附圖的詳細描述，本發明的教義將更容易得到理解，其中圖1是根據本發明的原理的典型多模式雙向通信設備的方框圖；圖2是根據本發明的原理的線纜調制解調器的典型方框圖；以及圖3是根據本發明的原理的方法的流程圖。
為了有利于理解，在可能的情況下，使用相同的參考數字來表示圖中所共有的相同元件。
具體實施例方式
本發明提供了用戶可識別指示器(例如，光源和/或聲源)，以指示在數據業務達到網絡中的特定目的地之前，防火墻程序正在過濾不想要的或不適當的數據業務。將主要在數據通信系統中的線纜調制解調器的情況下，對本發明進行描述。但是，本領域的普通技術人員應當清楚的是，如路由器、數字訂戶線(DSL)調制解調器等其他數據交換通信設備或具有與之相關聯的防火墻程序的任何其他聯網通信設備可以包括本發明并從本發明受益。本發明提出了一種可視指示器，同期指示防火墻程序的這種過濾，并能夠將任何不需要的數據業務快速地通知給終端用戶和系統管理員。因此，終端用戶/系統管理員可以提供額外的安全措施，以保護其自身不受到黑客、“蠕蟲”的持續“攻擊”或其他對網絡不利的攻擊。
圖1是根據本發明的原理的、具有數據過濾指示器126的典型多模式雙向通信設備102的方框圖。所述多模式雙向通信設備可以是路由器、網橋、服務器、臺式計算機、膝上型計算機、線纜調制解調器、個人數據助理(PDA)、便攜式電話或具有或與用于檢查和過濾數據分組的防火墻程序進行通信的任何其他通信設備。參照圖1，多模式雙向通信設備(此后稱為“通信設備”)102是數據通信系統100的一部分。通信設備102包括至少一個處理器104、支持電路106、I/O電路110、具有安裝在其中的防火墻程序124的存儲器108、以及用于指示數據分組過濾事件的指示器126。
處理器104與傳統的支持電路106(例如，時鐘、電源、總線控制器等)和存儲器108合作，以執行存儲在存儲器108中的軟件例程，如防火墻程序124等。存儲器108可以包括易失性存儲器(如RAM)和非易失性存儲器(如一個或多個盤驅動器)。這樣，應當理解的是，這里作為軟件處理討論的一些處理步驟可以由硬件實現，例如，作為與處理器104合作以執行多個步驟的電路。I/O電路110形成與I/O電路110進行通信的多個功能元件之間的接口。例如，在圖1所示的實施例中，通信設備102的I/O電路110通過信號S1和S2在廣域網(WAN)和局域網(LAN)之間進行通信。
盡管如圖1所示，通信設備102包括通用計算機，對其進行編程以執行根據本發明的原理的多種控制功能，本發明可以由硬件實現，例如，作為特定用途集成電路(ASIC)。這樣，這里所描述的處理步驟傾向于被更為廣泛地理解為由軟件、硬件或其組合等效地執行。
防火墻程序124能夠檢查和過濾從來源節點(例如WAN上的文件服務器)發送到目的地節點(例如LAN上的本地計算機)的數據分組(例如IP數據分組)。具體地，防火墻程序124包括一組相關程序，保護專用網絡的資源不受來自其他網絡的用戶的侵犯。防火墻程序124檢查一些或全部網絡分組，以確定是否向其目的地轉發分組。即，過濾防火墻程序按網絡級進行操作。只有分組結構不違反所指定的規則，才允許數據通過包含防火墻程序124的通信設備102。
例如，由LAN的管理員(也可以使用缺省規則)建立防火墻程序規則。規則反映了組織的政策考慮，通過禁止不想要的數據進入該組織的LAN，來提供安全性。例如，組織可以決定該組織的雇員不能瀏覽特定的因特網網站，或者一些雇員應當拒絕任何因特網訪問。這樣，規則包括編程以限制一些或全部超文本傳送協議(HTTP)。額外的規則包括限制可能被視為對LAN和終端用戶有害的數據分組，如蠕蟲等，以及試圖進入LAN的未經授權的人(即，“黑客”)。可以將不適當的數據活動的簡檔表(profile)與實際活動進行比較，以確定實際的數據活動是否是不適當的。
I/O電路110接收輸入數據分組，并將該分組存儲在存儲器108中，在存儲器108，防火墻程序124至少檢查包含在每個分組中的分組類型、源地址、目的地地址和端口信息。如果所檢查的分組(或作為整體的一組分組)并未違反任何防火墻程序規則，則將所檢查的分組進一步路由到該分組的目的地地址。但是，如果所檢查的分組(或作為整體的一組分組)被視為違反了規則，則可以對該分組進行過濾(即限制)，以防止其進一步進入網絡。下面，將參照圖3，對過濾數據分組的方法進行更為詳細的描述。
一旦防火墻程序124過濾出超過特定閾值水平的分組或一組分組，處理器104提供對指示器126的控制信號。在一個實施例中，所述指示器是發光二極管(LED)，提供光信號，以表示分組正在被有效地過濾。在第二實施例中，所述指示器可以是揚聲器，提供聽覺可識別聲音(例如，“蜂鳴”)，以通知管理員/終端用戶正在對分組進行過濾。在另一實施例中，指示器提供網絡正在受到防火墻程序規則所不允許的方式的攻擊的同期通知。
在一個實施例中，指示器(即LED或揚聲器)位于通信設備102附近。例如，LED位于通信設備102的外表面上、容易被管理員/終端用戶觀察到的位置。在另一實施例中，防火墻程序124可以向運行在計算機設備上的操作系統或應用程序提供指令信號，以便在計算機屏幕上提供指示器。例如，可以在安裝在臺式或膝上型計算機中的WINDOWSTM操作系統的系統托盤中的圖標上提供紅光。
圖2是根據本發明的原理的、具有數據過濾指示器126的線纜調制解調器202的典型方框圖。根據本發明的一個實施例，數據通信系統220包括服務提供商255，圖示為從因特網270向如計算機、手持設備、膝上型計算機、或能夠傳輸和/或接收數據的任何其他設備等具有輸入/輸出(I/O)設備260的終端用戶提供電傳輸的數字數據。線纜調制解調器202通過線纜傳送網絡250與位于服務提供商255的頭端處的線路調制解調器終端系統(CMTS)256相連。典型地，服務提供商255包括一個或多個主機服務器，如動態主機配置協議(DHCP)服務器(未示出)，用于將IP地址分配給訂戶家用設備(即，計算機設備260)。
服務提供商255可以是能夠提供低、中和/或高速數據傳輸、多個語音信道、視頻信道等的任何實體。具體地，服務提供商255以如多衛星廣播格式(例如，數字廣播衛星(DBS))、線纜傳輸系統(例如，高清晰度電視(HDTV))、數字視頻廣播((DVB-C)(即，歐洲數字有線電視標準))等格式，通過射頻(RF)載波信號傳輸數據。服務提供商255通過線纜傳送網絡250提供數據。
在一個實施例中，線纜傳送網絡250是傳統的雙向混合光纖-同軸線(HFC)線纜網絡，如北美或歐洲DOCSIS標準所規定的那樣。具體地，HFC網絡包括多個組件(未示出)，如用于將有線電視RF信號與來自CMTS的RF數據信號進行混合的混合器、用于將混合后的RF信號轉換為光信號的光發射器(OTX)、用于將光信號轉換回下行混合RF信號以及將來自每個訂戶家用設備260的RF信號轉換為上行路徑中的光信號的光網絡單元(ONU)、用于將傳輸過來的混合RF信號通過線纜調制解調器202分配給每個訂戶家用設備260的分接器、以及用于將來自ONU的光信號轉換回RF信號的光接收器(ORX)。
利用典型的線纜調制解調器202，以便從服務提供商255向數據通信系統200的計算機設備260提供下行寬帶數據信號。此外，利用典型的線纜調制解調器202，以便從圖示計算機260向服務提供商255傳送上行寬帶數據信號。
在操作中，CMTS 256將數字數據轉換為調制RF信號，并通HFC傳送網絡250將該調制信號下行提供給線纜調制解調器202，在線纜調制解調器202，對RF信號進行接收、調諧并過濾出預定的中頻(IF)信號。然后，將IF信號解調為一個或多個相應的基帶信號，否則，處理為數據分組。通過線纜262(例如，以太網、通用串行總線(USB)、同軸線等)，將數據分組進一步傳輸到計算機設備260。
類似地，計算機設備260的用戶可以通過線纜262向線纜調制解調器202發送數據信號。線纜調制解調器202接收來自計算機設備260的數據信號，然后，對該數據信號進行調制并上轉換到RF載波上，以便通過線纜傳送網絡250，上行傳輸回服務提供商255。
為了更好地理解通過線纜調制解調器202的數據分組流，以單一的下行和上行模塊表示下行硬件和上行硬件。下行和上行硬件是指調制解調器與CMTS 256之間的RF雙向路徑。具體地，在服務提供商網絡的頭端，CMTS下行RF接口(CMTS-DRFI)和上行RF接口(CMTS-URFI)(總示為CMTS 256所包括的元件)提供線纜調制解調器系統與下行RF路徑之間的接口，所述下行RF路徑終止于線纜調制解調器，圖示為位于消費者的住宅260處。CMTS-DRFI和CMTS-URFI協力進行操作，以提供雙向通信。
線纜調制解調器202的下行處理電路210典型地包括多個組件，如調諧器、濾波器、解調器、控制器226和其他下行處理電路，如媒體訪問控制器(MAC)，也用于上行處理。
下行處理電路210響應由控制器204提供的選擇信號，有選擇地調諧、解調或“接收”來自CMTS 256的多個下行數據信號中的至少一個。高通濾波器(HPF)將所有下行數據信號傳遞到調諧器，所述調諧器將來自HPF的所接收的下行RF信號下轉換為預定的IF頻率信號。解調器電路對IF信號進行解調，以提供一個或多個相應的數字基帶信號。由控制器204進行管理的同時，向媒體訪問控制器(MAC)發送數字基帶信號，在媒體訪問控制器(MAC)，對接收到的信號(如MPEG分組)進行解封裝，并形成為隨后傳送到計算機設備260的比特流。
在傳送到計算機設備260之前，向內部TCP/IP棧214或防火墻程序124發送分組，以進行檢查，稍后將進行詳細的討論。一旦分組被視為符合防火墻程序規則，MAC、控制器204和其他數字電路可以進一步處理已打包的數據(例如，按照需要附加或封裝成適當的傳送分組)，然后將處理過的、已打包的數據分配給計算機設備260(或其他信息應用設備)。具體地，MAC向控制器204發送已打包的比特流，在控制器204，將數據進行處理(例如，格式化)，以便與計算機設備260進行接口。控制器204向計算機設備260傳送格式化的已打包的比特流(通過線纜262)，以便進行進一步的處理(例如，數據的提取和上轉換)。
線纜調制解調器202還包括上行處理電路212，典型地包括多種組件，如上行物理層元件、上行媒體訪問控制器、調制器、低通濾波器和其他上行處理電路(例如，放大器、電壓調節器等)。線纜調制解調器202從計算機設備260接收信號(如命令信號等)，以便隨后通過服務提供商255傳輸到目的地。具體地，用戶通過線纜調制解調器202向服務提供商255發送數據、數據請求或一些其他用戶請求。線纜調制解調器202接收用戶請求，并由MAC和上行處理電路對信號進行格式化、封裝和上轉換，以便進行傳送。調制器沿去往CMTS 256的上行信號路徑，對上轉換后的信號進行調制(如QPSK或16QAM)。
對于如圖1和圖2所示的實施例，線纜262的物理層可以圖示為包括以太網、同軸線、FDDI、ISDN、ATM、ADSL、CAT 1-5線纜、USB、家庭PNA、無線數據鏈路(例如，802.11或藍牙標準無線鏈路)、電源線載體等。
參照圖2，模塊和模塊之間的路徑主要表示通過線纜調制解調器202的功能數據運動，而不是表示實際的硬件模塊。
具體地，例如，由下行處理電路210接收從CMTS 256(服務提供商255)通過接入網絡250發送的數據分組。向內部TCP/IP棧214或防火墻程序124路由下行處理電路接收到的下行分組，以便進行進一步的處理。
內部TCP/IP棧表示通過其數據在數據交換的客戶端和服務器端傳遞的層(TCP和IP層)。TCP/IP棧對應于OSI模型下的傳送層(4)和會話層(5)，其分別管理端到端控制和誤碼校驗，以及每個末端處的應用程序之間的通信交換的會話和連接配合。
例如，如果分組是來自線纜頭端255的、用于控制線纜調制解調器202的簡單網絡管理協議(SNMP)消息，則通過第一路由功能221，將SNMP分組路由到TCP/IP棧214。如果所述分組尋址于計算機設備260(例如，附屬于線纜調制解調器202的PC)，如HTTP分組，路由功能222將HTTP分組傳遞到設置在線纜調制解調器202的存儲器108中的防火墻程序124。
類似地，由第二路由功能222將從線纜調制解調器202的上行處理電路(即MAC和物理層元件)212接收到的分組路由到內部TCP/IP棧214或防火墻程序124。例如，如果分組是查看線纜調制解調器的內部診斷網頁(通過內部HTTP服務器(未示出)提供服務)的請求，將分組路由到TCP/IP棧214。代替地，如果要通過因特網發送分組，則第二路由功能222將分組路由到防火墻程序124。
在將分組立即路由到TCP/IP棧214而不是防火墻程序124的情況下，第三路由功能223進一步將分組從TCP/IP棧214路由到上行或下行處理電路212和210的MAC和物理層元件。例如，如果分組是來自要顯示在用戶的PC的瀏覽器上的、線纜調制解調器202的內部網頁(未示出)的HTML數據，則通過第三路由功能223，將分組從TCP/IP棧214路由到上行處理電路(即MAC和物理層元件)212。代替地，如果分組是對來自線纜頭端的、對SNMP請求消息的響應，則通過第三路由功能223，將分組路由到下行處理電路(即MAC和物理層元件)210。
如先前參照圖1所述，防火墻程序124檢查每個接收到的分組，并確定所檢查的分組是否符合所述的規則，以有助于確保網絡的安全性和應用組織或終端用戶的網絡政策。一旦防火墻程序124確定要限制特定的分組(或者在以下所討論的一些情況下為一組分組)進入分組的預期目的地地址，線纜調制解調器202的控制器204就向一個或多個指示器126發送信號，以便將數據過濾事件通知給管理員/端用戶。
圖3是根據本發明的原理、用于利用圖1和圖2所示的典型設備在數據過濾事件期間提供可識別指示器的方法300的流程圖。方法300在步驟301處開始，在步驟301，例如，防火墻程序124接收來自下行或上行處理電路210和212的至少一個分組，以便進行檢查。在步驟302，防火墻程序124檢查可用數據業務的至少一部分。即，防火墻程序124根據防火墻程序規則中的政策和安全等級，檢查部分或所有接收到的數據分組。
在步驟304，防火墻程序確定所檢查的數據分組是否違反了任何規則。應當注意，防火墻程序規則可以包括多種優先級或分級等級。即，可以針對識別為未經授權的源(如黑客等)的進入或攻擊的數據分組的組別，定義高等級的規則(例如，第一類規則)。此外，中間等級的規則(例如，第二類規則)可以包括有害程度稍低的病毒或不需要的數據分組的其他較低優先級類型，而更低等級的規則(例如，第三類規則)可以包括阻止因特網域和網站的特定數據分組目的地地址。應當注意，規則的優先化和類的數量依賴于防火墻程序124的設計配置，并基于訪問網絡的組織的政策和安全性考慮。
在步驟306，確定是否違反了第一類規則。如果確定得到了肯定的應答，則在可選的步驟308，防火墻程序124確定是否已經超過第一閾值。即，防火墻程序124檢查數據分組的特定樣本是否已經違反了第一類規則之一。如果已經超過了可選步驟308的閾值，則方法300進行到步驟318。
在步驟318，防火墻程序過濾違反了已確定的防火墻程序規則的數據分組。防火墻程序124與控制器204相互作用，以檢查并過濾數據分組。在步驟320，控制器204向指示器126發送信號，以便向管理員或端用戶提供防火墻程序正在過濾數據分組的可識別指示。在一個實施例中，如發光二極管(LED)等顯示設備位于容易被管理員或終端用戶觀察到的、線纜調制解調器202的外表面(例如，蓋)上。指示器126提供過濾事件的同期實時指示。
如果在步驟306，確定得到了否定的應答，或者已經違反了第一類規則，但在可選的步驟308中并未超過閾值，則方法300進行到步驟310。在步驟310，防火墻程序124確定是否違反了第二類規則。如果在步驟310，確定得到了肯定的應答，方法300進行到可選的步驟312。在可選的步驟312，防火墻程序124確定是否已經超過第一閾值。即，防火墻程序124在執行過濾數據分組的步驟之前(步驟318)，檢查數據分組的特定樣本是否已經違反了第二類規則之一。如果已經超過了可選步驟312的閾值，則方法300進行到如前所述的步驟318和320。但是，如果在步驟310中，并未違反第二類規則，或者已經違反了第二類規則但在可選的步驟312中并未超過閾值，方法300進行到步驟314。
在步驟314，防火墻程序124確定是否已經違反了第三類規則。如果在步驟314，確定得到了肯定的應答，方法300進行到可選的步驟316。在可選的步驟316，防火墻程序124確定是否已經超過第三閾值。即，防火墻程序124在執行過濾數據分組的步驟之前(步驟318)，檢查數據分組的特定樣本是否已經違反了第三類規則之一。如果已經超過了可選步驟316的閾值，則方法300進行到如前所述的步驟318和320。但是，如果在步驟314中，并未違反第三類規則，或者已經違反了第三類規則但在可選的步驟316中并未超過閾值，方法300進行到步驟322。
在步驟322，防火墻程序124已經針對防火墻程序規則中的政策和安全性要求，完成了對數據分組的檢查，而并未檢測規則違反。因此，在步驟322，數據分組被視為是安全的，以在線纜調制解調器202中進行進一步處理，并傳送到分組目的地地址中所述的目的地。然后，方法300進行到步驟324，在步驟324，方法300結束。
可選步驟308、312和314提供了在防火墻程序124開始過濾步驟318之前必須超過的閾值水平。應當注意，設置閾值水平作為利用該防火墻程序的組織或終端用戶的政策和安全性考慮的函數。因此，可以將閾值水平設置為單一事件，表示一旦單一分組違反了特定的規則，就立即啟動過濾步驟318。此場景最可能應用于步驟306和308的最高等級(第一類)規則。可以將較大的閾值水平用于較低等級的規則，例如，逐漸增加，或者按照對于防火墻程序124的政策和安全性考慮都適當的任何其他方式。
圖3所示的方法300描述了只在超過閾值水平(例如步驟308、312和316)之后，才發生步驟318的對數據分組的過濾和步驟320的對指示器的觸發。但是，在可選實施例中，防火墻程序124可以濾除違反了特定防火墻程序規則的所有數據分組，但只在超過閾值水平時，才觸發指示器。例如，立即濾除在步驟314中發現違反了第三類規則的所有分組，但是，只有超過了步驟316的閾值水平，才觸發指示器126。應當注意，可以提供過濾和觸發指示器的任意配置，以滿足利用網絡的組織的政策和安全性考慮。
還應當注意，指示器可以包括多于一類的指示器。例如，第一LED可以用于指示防火墻程序124的普通過濾事件，而第二LED可以用于與第一LED一起指示任意惡意型的過濾事件。例如，典型地產生相對無害的地址解析協議(ARP)業務的、稱為“Code Red”蠕蟲可以只觸發用于普通過濾事件的第一LED(例如，黃色LED)。但是，如對計算機端口的系統探測等更為重要的攻擊可以觸發第二LED(例如，紅色LED)，以表示對違反了高等級規則的數據分組的過濾。
盡管已經詳細地示出和描述了包括本發明的教義的多種實施例，本領域的普通技術人員可以容易地得出仍然包括這些教義的多種其他變化實施例。
權利要求
1.一種適用于通過網絡的通信的設備，包括防火墻(124)，用于識別與不適當的活動相關聯的那些分組；以及與所述防火墻相關聯的至少一個用戶可識別指示器(126)，用于同期指示與所述不適當的活動相關聯的分組的數量已經超過閾值水平。
2.根據權利要求1所述的設備，其特征在于所述不適當的活動是利用被分為表示不適當的水平的分類的多條規則來確定的。
3.根據權利要求1所述的設備，其特征在于所述設備包括調制解調器、路由器和網橋中的至少一個(202)。
4.根據權利要求1所述的設備，其特征在于所述指示器包括至少一個視覺指示器。
5.根據權利要求4所述的設備，其特征在于所述至少一個視覺指示器包括位于所述設備附近的發光設備。
6.根據權利要求4所述的設備，其特征在于所述至少一個視覺指示器包括顯示在計算設備(260)上的高亮圖標。
7.一種方法，包括檢查數據業務，以確定是否已經違反了多條規則中的至少一條，所述規則定義了不適當的通信活動的指示器；以及在違反了多條規則中的至少第一類規則的情況下，過濾違反了所述第一類規則的數據業務，并觸發用戶可識別指示器。
8.根據權利要求7所述的方法，其特征在于還包括在過濾所述數據業務之前，確定是否已經超過了規則違反的第一閾值水平。
9.根據權利要求7所述的方法，其特征在于還包括在觸發所述用戶可識別指示器之前，確定是否已經超過了規則違反的第一閾值水平。
10.根據權利要求7所述的方法，其特征在于在違反了第二類規則的情況下，過濾違反了所述第二類規則的所述數據業務，并觸發所述用戶可識別指示符。
11.根據權利要求10所述的方法，其特征在于還包括在過濾所述數據業務之前，確定是否已經超過了規則違反的第二閾值水平。
12.根據權利要求10所述的方法，其特征在于還包括在觸發所述用戶可識別指示器之前，確定是否已經超過了規則違反的第二閾值水平。
13.根據權利要求7所述的方法，其特征在于在違反了第三類規則的情況下，過濾違反了所述第三類規則的所述數據業務；以及觸發所述用戶可識別指示符。
14.根據權利要求13所述的方法，其特征在于還包括在過濾所述數據業務之前，確定是否已經超過了規則違反的第三閾值水平。
15.根據權利要求13所述的方法，其特征在于還包括在觸發所述用戶可識別指示器之前，確定是否已經超過了規則違反的第三閾值水平。
16.一種線纜調制解調器(202)，包括下行處理電路(210)；上行處理電路(212)；與所述下行電路、上行電路和存儲器(108)進行通信的控制器(204)；以及一組規則與之相關聯的防火墻程序(124)，所述防火墻程序駐留在所述存儲器中，并可由所述控制器執行，以發起對來自所述下行和上行電路的數據分組的檢查，從而使閾值水平之上的不適當的活動導致位于所述線纜調制解調器附近的至少一個視覺指示器(126)的觸發，所述至少一個視覺指示器用于用戶的可識別觀察。
17.根據權利要求16所述的線纜調制解調器，其特征在于所述至少一個視覺指示器包括至少一個發光二極管(LED)。
18.根據權利要求16所述的線纜調制解調器，其特征在于所述至少一個視覺指示器包括用于表示過濾事件的第一LED和用于表示過濾所述規則組中視為惡性的數據分組的第二LED。
19.根據權利要求16所述的線纜調制解調器，其特征在于所述至少一個視覺指示器包括顯示在計算機設備(26)上的高亮圖標。
全文摘要
公開了一種方法和雙向通信設備，如線纜調制解調器(202)、路由器、網橋或適用于通過網絡進行通信并具有防火墻(124)的其他通信設備，用于識別與不適當的活動相關聯的那些分組。所述通信設備包括與所述防火墻相關聯的至少一個用戶可識別指示器(126)。所述至少一個用戶可識別指示器同期指示與所述不適當的活動相關聯的分組的數量已經超過閾值水平。
文檔編號H04L29/06GK1659822SQ03813634
公開日2005年8月24日 申請日期2003年6月9日 優先權日2002年6月12日
發明者布賴恩·艾伯特·維特曼 申請人:湯姆森許可貿易公司