專利名稱:響應入侵的方法和系統的制作方法
技術領域:
本發明一般涉及計算機安全,特別涉及響應違反計算機安全策略的計算機入侵。
背景技術:
在計算機安全領域,“入侵”是一個包括很多不良活動的廣義術語。入侵的目的可能是獲得個人未被授權擁有的信息(稱作“信息偷竊”),它可能是通過使網絡、系統或應用不可用來造成商業損害(稱作“拒絕服務”),并且/或者,它可能是獲得系統的非授權使用以作為用于在它處作進一步入侵的踏腳石。入侵會遵循信息收集、嘗試訪問然后是破壞性攻擊的模式。
一些入侵可以被目標系統檢測和化解(neutralize),不過經常不是實時的。其他入侵不能被目標系統有效化解。入侵還可能利用使得不容易對它們的真實來源進行追蹤的“欺騙”分組。很多入侵現在利用不知情的同伙-也就是,未授權使用以隱藏入侵者身份的機器或網絡。由于這些原因,檢測信息收集嘗試、訪問嘗試和入侵同伙行為可以是入侵檢測的一個重要部分。
如圖1所示,入侵可以由例如位于外部網135(例如,因特網)上的入侵者130或者從位于內部網115上的入侵者110向內部網115上的主機100發起。防火墻120可以提供一些保護來防止來自外部網的入侵。然而,一旦防火墻“認可”了進入到內部網115中,它就不能防止入侵,并且當入侵從內部網115內部(例如,入侵者110)發起時,它不能提供保護。另外,端到端加密會限制可以被諸如防火墻120的中間設備檢測的入侵類型,因為中間設備可能不能評估(evaluate)未加密形式的分組以獲得入侵的證據。
入侵檢測系統(以下為“IDS”)可以提供多種類型入侵的檢測。參照圖2,IDS可以包括檢查網絡通信信息(traffic)的嗅探器。嗅探器可以置于網絡中的關鍵點,如防火墻220前面的嗅探器210;防火墻220后面的嗅探器230;內部網115上的嗅探器240;和/或主機260與內部網115之間的嗅探器250所示。嗅探器可以使用“模式匹配”來試圖將通信信息與已知的入侵簽名進行匹配。對所有網絡通信信息執行模式匹配可能需要相當多的處理時間,并且可能導致所要分析的通信信息的積壓,從而造成識別入侵的延遲。已知入侵簽名數目的增長可能增加識別入侵的處理時間和相關延遲。
一檢測到入侵,嗅探器就可以向IDS管理系統270報警,IDS管理系統270可以采取行動來停止入侵。例如,嗅探器230和250被示出為將“告警”通知給IDS管理系統270。IDS管理系統270可以是例如IBM的Tivoli Risk Manager system(Tivoli風險管理器系統)。IDS管理系統270可以相互關聯來自若干嗅探器的入侵通知以判定是否發生了入侵,并且如果是,確定入侵的特征。IDS管理系統270可以響應入侵而將通信過濾規則下載到防火墻220。
嗅探器還可以或者可以替代地通知提供由IDS組件檢測的安全告警的日志記錄和分析的服務如IBM的Emergency Response Service(應急響應服務,ERS)單元200。在所示例子中,防火墻220之前的嗅探器210將告警發送到應急響應服務單元200。
發明內容
在本發明的一些實施例中,計算機通過根據包括與計算機相關的信息的局部IDS策略評估通知來選擇性地響應來自網絡可訪問入侵檢測服務(IDS)管理器的至少一條入侵通知。與計算機相關的信息可以例如基于計算機是否是用于計算機系統中的其他計算機的信息服務器、計算機是否受到防火墻的保護以隔離入侵源、計算機與入侵源的鄰近性、計算機中的存儲器利用、和/或計算機中的處理器利用。
局部IDS策略可以從網絡可訪問倉庫下載到計算機。IDS策略可以包括根據來自IDS管理器的入侵通知所要采取的一個或多個響應行動。計算機的響應行動可以包括終止作為入侵目標的應用、丟棄通信中的信息和/或中止與通信源的通信。
從而,IDS管理器可以向計算機通知檢測到入侵。然后,計算機可以根據局部策略和與計算機相關的信息決定是否和/或如何它將響應通知。因此,在具有眾多計算機的計算機系統中,每臺計算機可以根據對于每臺計算機已知的局部信息不同地響應入侵通知。這樣,局部計算機如何響應入侵可以是單獨定制的。這種響應局部定制可以使得能夠改善計算機如何響應入侵的自動化。
圖1是遭到安全入侵的根據現有技術的計算機連網系統的方框圖。
圖2是根據現有技術的具有入侵檢測組件的計算機連網系統的方框圖。
圖3是根據本發明各個實施例的具有入侵檢測組件的計算機連網系統的方框圖。
圖4是根據本發明各個實施例的具有入侵檢測服務激活(enabled)應用的主計算機的方框圖。
圖5是示出根據本發明各個實施例的用于選擇性地響應入侵的操作的流程圖。
圖6是根據本發明實施例的計算機系統的方框圖。
具體實施例方式
下面將參照附圖對本發明進行更全面的描述,其中示出本發明的示例性實施例。然而,本發明可以以多種不同形式實施,并且不應解釋為受限于在此所述的實施例;而是,提供這些實施例是為了使本公開內容透徹和完整并且向本領域的技術人員全面傳達本發明的范圍。相同的標號在全文范圍內表示相同的單元。
本領域的技術人員應該理解,本發明可以作為方法、系統和/或計算機程序產品實施。因此,本發明可以采取全都統稱作“電路”或“模塊”的完全硬件實施例、完全軟件實施例或者組合軟件和硬件方面的實施例的形式。而且,本發明可以采取其中實施有計算機可用程序代碼的計算機可用存儲介質上的計算機程序產品的形式。可以利用任何適當計算機可讀介質包括硬盤、CD-ROM、光學存儲設備、傳輸介質如支持因特網或內部網的傳輸介質或者磁性存儲設備。
用于執行本發明操作的計算機程序代碼可以采用面向對象的編程語言如Java、Smalltalk或者C++來編寫。然而,用于執行本發明操作的計算機程序代碼也可以采用傳統過程編程語言如“C”編程語言來編寫。該程序代碼可以完全在用戶計算機上、部分在用戶計算機上、作為單獨軟件包、部分在用戶計算機上且部分在遠程計算機上、或者完全在遠程計算機上執行。在后一場景中,遠程計算機可以通過例如局域網(LAN)或廣域網(WAN)連接到用戶計算機,或者可以通過外部計算機(例如,使用因特網服務提供商通過因特網)進行連接。
下面將參照根據本發明實施例的方法、設備(系統)和計算機程序產品的流程圖和/或方框圖描述本發明。應該理解,流程圖和/或方框圖的每塊以及流程圖和/或方框圖的塊組合可以通過計算機程序指令實現。這些計算機程序指令可以提供給通用計算機、專用計算機或者其他可編程數據處理設備的處理器以產生通過計算機或者其他可編程數據處理設備執行的機器指令創建裝置,用于實現在流程圖和/或方框圖的一個或多個塊中指定的功能/行為。
這些計算機程序產品還可以存儲在可以引導計算機或者其他可編程數據處理設備以特定方式操作的計算機可讀存儲器中,從而使存儲在計算機可讀存儲器中的指令產生包括實現在流程圖和/或方框圖的一個或多個塊中指定的功能/行為的指令裝置的制造品。
計算機程序指令還可以裝載到計算機或其他可編程數據處理設備上以使一系列操作步驟在計算機或其他編程設備上執行以產生計算機實現過程,從而使在計算機或其他編程設備上執行的指令提供用于實現在流程圖和/或方框圖的一個或多個塊中指定的功能/行為的步驟。
圖3示出根據本發明各個實施例的具有入侵檢測組件的計算機連網系統302。計算機連網系統302包括通過內部網320連接的至少一臺主計算機300和IDS管理器310。計算機連網系統302還可以包括一個或多個檢測器(sensor)322,配置成檢測可能表示計算機連網系統302中的一個或多個可能入侵的事件并且將事件報告給IDS管理器310。內部網320通過防火墻340連接到外部網330(如因特網)。計算機連網系統302可以包括其他組件例如附加主計算機和/或附加IDS組件。
IDS管理器310維護系統的IDS策略,從而形成IDS策略倉庫(repository)。局部IDS策略可以從IDS策略倉庫下載到主計算機300。局部IDS策略可以包括根據來自IDS管理器310的入侵通知以及對于主計算機300已知的信息可以采取的一個或多個響應行動。主計算機300的響應可以包括終止作為入侵目標的應用,丟棄通信中的信息,并且/或者中止與通信源的通信。
IDS管理器310判定是否發生了對計算機連網系統302的一個或多個組件的入侵。例如,IDS管理器310可以使用模式匹配來匹配通過內部網320傳送的信息與已知的入侵簽名,并且/或者可以相互關聯從檢測器322和/或計算機連網系統302中的其他組件報告的事件以判定是否發生了入侵。當判定發生了入侵時,IDS管理器310通知主計算機300,并且可以通知計算機連網系統302中的其他主計算機和/或其他組件。然后,主計算機300根據包括與計算機相關的信息的局部IDS策略決定是否和/或如何它將響應來自IDS管理器310的入侵通知。
與主計算機300相關的信息可以基于主計算機300是否是用于計算機連網系統302中的其他組件的信息服務器、主計算機300是否受到防火墻340的保護以隔離入侵源、主計算機300與入侵源的鄰近性、主計算機300中的存儲器利用、和/或主計算機300中的處理器利用。
從而,主計算機300根據包括與計算機相關的信息的局部策略決定是否和/或如何它將響應入侵通知。因此,在具有眾多主計算機300的計算機連網系統302中,每臺主計算機300可以根據對于該主計算機300已知的局部信息不同地響應入侵通知。這樣,主計算機300如何響應入侵可以是單獨定制的。這種響應局部定制可以使得能夠改善主計算機300響應入侵的自動化。
主計算機300可以包括至少一個配置成根據來自IDS管理器310的入侵通知而響應的IDS激活應用350。參照圖4,主計算機300可以執行一個或多個IDS激活應用350、IDS代理360、IDS策略傳輸代理370、網絡程序如TCP/IP棧380以及管理應用、網絡程序和代理之間的通信的操作系統390。IDS激活應用350可以包括應用程序、IDS模塊和局部IDS策略,在應用程序執行期間,其中的一個或多個可以分配給相同或不同邏輯存儲器空間。應用程序也可以向例如主機操作員提供與入侵檢測無關的應用功能,并且如下所述,應用程序還可以使用局部IDS策略以根據入侵通知和對于主計算機300已知的信息采取行動。
IDS激活應用350中的局部IDS策略可以從IDS管理器310下載,這可以允許系統中的主機之間更統一的入侵檢測處理。例如,IDS激活應用350可以通過應用程序以初始化請求調用IDS模塊來采用局部IDS策略進行初始化。IDS模塊可以使IDS策略傳輸代理370從IDS管理器310讀取可以針對IDS激活應用350特定配置的IDS策略,并且將所檢索的IDS策略分配到應用程序的局部存儲器空間。由于諸如安全性的各種原因,應當僅向應用程序提供被授權接收的相關IDS策略。IDS策略傳輸代理370可以檢查應用的授權以在將所檢索的IDS策略置于應用的存儲器空間中之前查看IDS策略。然后,IDS策略傳輸代理370可以向IDS激活應用350提供應用存儲器空間和/或IDS代理360內所檢索IDS策略的句柄(或指針)。
根據來自IDS管理器310的入侵通知,應用程序可以使用IDS模塊來從局部IDS策略檢索可以由應用和/或IDS代理360采取以停止和可能補救入侵影響的適當行動。圖5示出可以被執行以評估和響應入侵通知的操作。在塊500,IDS代理360從IDS管理器310接收入侵通知。在塊510,IDS代理360根據局部IDS策略和與主計算機300相關的信息評估入侵通知。評估可以包括評估主計算機300是否是用于計算機連網系統302中的其他組件的信息服務器(例如,網絡(web)服務器、內部網應用服務器、后端服務器)、主計算機300是否是用于計算機連網系統302中的其他組件的防火墻、主計算機300是否受到防火墻340的保護以隔離入侵源、主計算機300與入侵源的鄰近性、主計算機300中的存儲器利用和/或主計算機300中的處理器利用。
在塊520,決定IDS代理360和/或IDS激活應用350是否要響應入侵通知而采取行動。當要采取響應行動時,則在塊530,可以由IDS代理360和/或IDS激活應用350采取的響應行動可以包括但不限于終止作為入侵目標的應用、丟棄通信中的信息和/或中止與通信源的通信(例如,中斷與源的連接和/或關閉接口套接字)。
圖6示出適于執行根據本發明一些實施例的例如圖4所示的一個或多個IDS激活應用、IDS代理、IDS策略傳輸代理、網絡程序和操作系統的主計算機系統600的示例性實施例。計算機系統600典型地包括與存儲器620通信的處理器610。計算機系統600可以可選地包括諸如鍵盤或小鍵盤(keypad)的輸入設備630以及也與處理器610通信的顯示器640(以虛線示出)。計算機系統600還可以包括諸如揚聲器650的可選設備以及也與處理器610通信的I/O數據端口660。I/O數據端口660可以用來在計算機系統600與另一個計算機系統或網絡之間傳輸信息。這些組件可以是諸如用于很多傳統計算機系統中的傳統組件,它們可以配置成如在此所述操作。
處理器610可以是任何可以買到或者定制的微處理器。存儲器620代表包含用來實現計算機系統600的功能的軟件和數據的存儲器設備的總體分級結構(overall hierarchy)。存儲器620可以包括但不限于下列類型的設備高速緩沖存儲器、ROM、PROM、EPROM、EEPROM、閃存、SRAM和DRAM。存儲器620可以包括用于計算機系統600中的軟件和數據的若干類別操作系統;應用程序;輸入/輸出(I/O)設備驅動程序;以及數據。本領域的技術人員應該理解,操作系統可以是適于與計算機系統一起使用的任何操作系統,如來自國際商業機器公司,Armonk,紐約的OS/2、AIX或System390,來自微軟公司,雷蒙德,華盛頓的Windows 95、Windows 98、Windows 2000、Windows NT、Windows ME、Windows XP,UNIX或Linux。I/O設備驅動程序典型地包括由應用程序通過操作系統訪問以與諸如I/O數據端口660的設備和特定存儲器620組件通信的軟件例程。應用程序代表實現計算機系統600的各種特性的程序并且最好包括至少一個支持根據本發明實施例的操作的應用。最后,數據代表由應用程序、操作系統、I/O設備驅動程序660以及可以駐留在存儲器620中的其他軟件程序使用的靜態和動態數據。
在附圖和說明書中,公開了本發明的實施例,并且雖然采用了特定術語,但是它們僅以一般性和描述性意義使用,并且不用于限制的目的,本發明的范圍在所附權利要求中限定。
權利要求
1.一種響應入侵的方法,該方法包括通過計算機根據包括與入侵通知相關的信息和與計算機相關的信息的局部IDS策略評估通知,選擇性地響應來自網絡可訪問入侵檢測服務(IDS)管理器的至少一條入侵通知。
2.如權利要求1所述的方法,其中,與計算機相關的信息基于計算機是否是用于計算機系統中的其他計算機的防火墻。
3.如權利要求1所述的方法,其中,與計算機相關的信息基于計算機是否是用于計算機系統中的其他計算機的信息服務器。
4.如權利要求3所述的方法,還包括評估計算機是否擔當網絡服務器、內部網應用服務器以及后端服務器的至少之一。
5.如權利要求1所述的方法,其中,與計算機相關的信息基于計算機是否受到防火墻的保護以隔離入侵源。
6.如權利要求1所述的方法,其中,與計算機相關的信息基于計算機中的存儲器利用。
7.如權利要求1所述的方法,其中,與計算機相關的信息基于計算機中的處理器利用。
8.如權利要求1所述的方法,其中,與計算機相關的信息基于表示入侵到計算機中的來自IDS管理器以外的信息。
9.如權利要求1所述的方法,其中,與計算機相關的信息基于計算機與入侵源的鄰近性。
10.如權利要求1所述的方法,還包括將局部IDS策略從網絡可訪問倉庫下載到計算機。
11.如權利要求1所述的方法,其中,局部IDS策略包括根據來自網絡可訪問IDS管理器的入侵通知所要采取的一個或多個響應行動。
12.如權利要求11所述的方法,其中,響應行動包括終止作為攻擊目標的應用。
13.如權利要求11所述的方法,其中,響應行動包括丟棄與計算機的通信中的信息。
14.如權利要求11所述的方法,其中,響應行動包括中止與通信源的通信。
15.一種響應入侵的計算機系統,該計算機系統包括多臺計算機,各自包括局部IDS策略;入侵檢測服務(IDS)管理器,配置成為計算機生成至少一條入侵通知,并且其中計算機中的每一臺配置成根據局部IDS策略和與計算機相關的信息來選擇性地響應通知。
16.如權利要求15所述的計算機系統,其中,IDS管理器配置成判定在計算機系統中發生了入侵,并且配置成根據判定發生了入侵來生成通知。
17.如權利要求16所述的計算機系統,其中,計算機中的至少兩臺不同地響應來自IDS管理器的相同入侵通知。
18.如權利要求16所述的計算機系統,其中,計算機中的至少一臺不同地響應在時間上重復至少一次的相同入侵通知。
19.如權利要求15所述的計算機系統,還包括多個檢測器,配置成檢測可能表示對計算機系統的一個或多個可能入侵的事件,并且配置成向IDS管理器通知這些事件,并且其中IDS管理器配置成通過相互關聯來自檢測器的事件來判定在計算機系統中發生了入侵。
20.如權利要求15所述的計算機系統,其中,計算機配置成從策略倉庫下載局部IDS策略。
21.如權利要求15所述的計算機系統,其中,計算機中的至少一臺配置成根據局部IDS策略以及計算機是否是計算機系統中的其他計算機的信息服務器來選擇性地響應通知。
22.如權利要求15所述的計算機系統,其中,計算機中的至少一臺配置成根據局部IDS策略以及計算機是否受到防火墻的保護以隔離入侵源來選擇性地響應通知。
23.如權利要求15所述的計算機系統,其中,計算機中的至少一臺配置成根據局部IDS策略以及計算機中的存儲器利用和計算機中的處理器利用的至少之一來選擇性地響應通知。
24.如權利要求15所述的計算機系統,其中,計算機中的至少一臺配置成根據局部IDS策略以及與對計算機的可能入侵相關的信息來選擇性地響應通知。
25.如權利要求15所述的計算機系統,其中,計算機中的至少一臺配置成根據局部IDS策略以及與計算機與入侵源的鄰近性相關的信息來選擇性地響應通知。
26.一種用于響應入侵的計算機程序產品,該計算機程序產品包括在計算機可讀存儲介質中實施的程序代碼,該計算機程序代碼包括配置成根據局部IDS策略和與計算機相關的信息來選擇性地響應來自網絡可訪問入侵檢測服務(IDS)管理器的至少一條入侵通知的程序代碼。
27.根據權利要求26所述的計算機程序產品,還包括配置成將局部IDS策略從網絡可訪問倉庫下載到計算機的程序代碼。
28.根據權利要求26所述的計算機程序產品,還包括配置成根據通知、局部IDS策略和與計算機相關的信息執行一個或多個響應行動的程序代碼。
29.根據權利要求26所述的計算機程序產品,還包括配置成根據計算機是否是用于計算機系統中的其他計算機的信息服務器來選擇性地響應通知的程序代碼。
30.根據權利要求26所述的計算機程序產品,還包括配置成根據計算機是否受到防火墻的保護以隔離入侵源以及計算機與入侵源的鄰近性的至少之一來選擇性地響應通知的程序代碼。
31.根據權利要求26所述的計算機程序產品,還包括配置成根據計算機中的存儲器利用和計算機中的處理器利用的至少之一來選擇性地響應通知的程序代碼。
全文摘要
計算機選擇性地響應來自網絡可訪問入侵檢測服務(IDS)管理器的至少一條入侵通知。計算機根據包括與計算機相關的信息的局部IDS策略來選擇性地響應入侵通知。與計算機相關的信息可以基于計算機是否是用于計算機系統中的其他計算機的信息服務器、計算機是否受到防火墻的保護以隔離入侵源、計算機與入侵源的鄰近性、計算機中的存儲器利用、和/或計算機中的處理器利用。
文檔編號H04L12/24GK1601973SQ20041007975
公開日2005年3月30日 申請日期2004年9月16日 優先權日2003年9月22日
發明者小林伍德·修·歐弗爾拜 申請人:國際商業機器公司