專利名稱:用于保護(hù)網(wǎng)絡(luò)的方法和設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及計算機安全領(lǐng)域���,更具體地,涉及阻止對計算機網(wǎng)絡(luò) 和系統(tǒng)的非授權(quán)入侵�。
背景技術(shù):
隨著藉助于與計算機結(jié)合的信息和通信技術(shù)的快速發(fā)展,信息技 術(shù)已變得越來越流行�,網(wǎng)絡(luò)環(huán)境和互聯(lián)網(wǎng)也發(fā)生惡意的網(wǎng)絡(luò)接入,諸 如入侵到服務(wù)器系統(tǒng)和傳輸有害的流量��。許多傳統(tǒng)的安全解決方案可
用于阻擋惡意網(wǎng)絡(luò)接入����。這些系統(tǒng)在傳統(tǒng)上包括在保護(hù)網(wǎng)絡(luò)(protected network)上使用防火墻或?qū)S镁W(wǎng)絡(luò)入侵檢測系統(tǒng)。
通常人工地或自動地執(zhí)行入侵檢測����。人工入侵檢測典型地包括檢 查登錄文件系統(tǒng)記錄或入侵簽名的其它證據(jù),包括到或來自系統(tǒng)或網(wǎng) 絡(luò)的網(wǎng)絡(luò)流量的數(shù)量�。執(zhí)行自動入侵檢測的系統(tǒng)典型地稱為入侵檢測 系統(tǒng)(IDS)。 IDS可以是基于主機的��,如果它監(jiān)視系統(tǒng)呼叫或登錄的話���, 或可以是基于網(wǎng)絡(luò)的����,如果它監(jiān)視網(wǎng)絡(luò)分組流的話。傳統(tǒng)的IDS通常 是這兩個方法的組合�����。當(dāng)由傳統(tǒng)的IDS發(fā)現(xiàn)可能的入侵時�,所執(zhí)行的 典型動作包括把相關(guān)的信息記錄到文件或數(shù)據(jù)庫,生成電子郵件報警�, 或生成到尋呼機或移動電話的消息。
確定可能的入侵實際上是什么和采取某種形式的動作來停止它或 防止它再次發(fā)生通常是在入侵檢測范圍以外的事情��。然而���,通過入侵 檢測系統(tǒng)與諸如防火墻那樣的接入控制系統(tǒng)的交互已經(jīng)實施了某些形 式的自動反應(yīng)�。
外泄檢測(extrusion detection)(或外發(fā)的入侵檢測)是入侵檢測的 一個分支�����,其目的是開發(fā)一種機制�����,該機制用于識別使用計算機系統(tǒng) 的資源來危害其它系統(tǒng)的成功或不成功嘗試。外泄檢測技術(shù)通常集中在分析系統(tǒng)活動和外發(fā)的流量����,以便檢測惡意的用戶、網(wǎng)絡(luò)�、惡意軟
雖然入侵檢測最關(guān)心識別進(jìn)入的攻擊(入侵企圖)��,但外泄檢測系 統(tǒng)首先嘗試阻止發(fā)起攻擊�����。他們在保護(hù)網(wǎng)絡(luò)的"葉子�����,���,節(jié)點處實施監(jiān)視 控制-而不是把它們集中在瓶頸處����,例如�,路由器-以便分布檢查工作 負(fù)荷和利用系統(tǒng)所具有的、對它自己的狀態(tài)的可視性��。外泄檢測的最 終目標(biāo)是要識別從已經(jīng)受到危害的系統(tǒng)發(fā)起的攻擊企圖,以便阻止它 們到達(dá)它們的目標(biāo)��,由此包含對威脅的影響����。
現(xiàn)代IDS和IPS(入侵/外泄防御)技術(shù),在實施時���,沒有完全解決 與入侵或外泄攻擊有關(guān)的問題�。如果它們確實檢測到和啟動了防御�, 在大多數(shù)情形下在目的地處--或者在主機處或者在主機前面的防火墻 處-實施防護(hù)。犯規(guī)的一個或多個主機可以繼續(xù)發(fā)起入侵(在諸如拒絕 服務(wù)(DoS)或分布式DOS(DDoS)的情形下)--阻止包括添加分組過濾器 或動態(tài)邏輯來扔掉或忽略進(jìn)入的違規(guī)分組�,導(dǎo)致額外的防火墻或主機 處理。
所以�����,所需要的是用于向違規(guī)主機(offending host)通知入侵攻 擊以使得在違規(guī)主機處采取適當(dāng)?shù)男袆觼斫构舻倪M(jìn)一步傳輸?shù)姆?法��。
發(fā)明內(nèi)容
本發(fā)明的各實施例提供通過向違規(guī)主機通知攻擊和根據(jù)入侵保護(hù) 策略在違規(guī)主機處采取行動而保護(hù)網(wǎng)絡(luò)免受入侵攻擊的方法����。檢測由 被耦合到保護(hù)網(wǎng)絡(luò)的違規(guī)主機傳送的違規(guī)分組的入侵。響應(yīng)于檢測到 違規(guī)分組的入侵�,把阻擋指令返回到違規(guī)主機��,以在違規(guī)主機上發(fā)起 入侵保護(hù)操作�。阻擋指令禁止由違規(guī)主機進(jìn)一步傳輸違規(guī)分組���。在某 些實施例中�,至少違規(guī)分組的一部分與阻擋指令一起被發(fā)送回到違規(guī) 主機����。
在違規(guī)主機處��,在某些實施例中���,接收阻擋指令與該部分的違規(guī) 分組��。違規(guī)主機驗證違規(guī)分組起源于違規(guī)主機����,以及根據(jù)入侵策略禁止由違規(guī)主機發(fā)送以后的外發(fā)的違規(guī)分組�。在某些實施例中,入侵保 護(hù)操作包括發(fā)布事件或錯誤消息給違規(guī)主機的操作員或訪問違規(guī)主機 處的入侵策略�����。
在一個實施例中,把第一違規(guī)分組的一部分發(fā)送回違規(guī)主機包括 把違規(guī)數(shù)據(jù)分組的該部分封裝到UDP分組中�,并把封裝后的違規(guī)數(shù)據(jù) 分組的該部分作為通知分組返回到違規(guī)主機。在違規(guī)主機處��,接收包 含部分違規(guī)分組的封裝后的UDP分組�����。違規(guī)主機驗證第一違規(guī)分組起 源于違規(guī)主機���。在某些實施例中�,違規(guī)主機可以識別在產(chǎn)生違規(guī)分組 的違規(guī)主機上的違規(guī)應(yīng)用����,以及可以終止違規(guī)應(yīng)用。
在另 一個實施例中�����,檢測入侵和返還阻擋指令在操作系統(tǒng)的IP層 處實施�����。阻擋指令被實施為ICMP消息���,以及在某些實施例中����,ICMP 消息包含第一違規(guī)分組的拷貝。在其它實施例中��,檢測入侵和返還阻 擋指令在諸如防火墻�����、路由器或其它計算機那樣的網(wǎng)絡(luò)設(shè)備中實施�。
結(jié)合在本說明書中并構(gòu)成本說明書的一部分的附圖顯示本發(fā)明的 實施例,以及所述附圖連同以上給出的對本發(fā)明的一般說明和下面給 出的詳細(xì)說明一起用來解釋本發(fā)明的原理��。
圖1是顯示與按照本發(fā)明的實施例的入侵保護(hù)有關(guān)的在入侵攻擊 下計算機的行動的流程圖���。
圖2是顯示在圖1中的計算機通知后在違規(guī)的主計算機處的行動 的流程圖。
圖3是顯示由違規(guī)主機通過如圖1和2所示的保護(hù)網(wǎng)絡(luò)的代理執(zhí) 行的示例入侵的圖�。
圖4是顯示由違規(guī)主機在本地網(wǎng)絡(luò)或在如圖1和2所示的保護(hù)網(wǎng) 絡(luò)上執(zhí)行的示例入侵的圖。
圖5是適于實施如圖1-4所示的入侵保護(hù)的計算機的示例性硬件 和軟件環(huán)境的框圖���。
具體實施例方式
本發(fā)明的實施例提供了通過向違規(guī)主機通知攻擊和根據(jù)入侵保護(hù) 策略在違規(guī)主機處采取行動而保護(hù)網(wǎng)絡(luò)免受入侵攻擊的方法�。在被耦 合到保護(hù)網(wǎng)絡(luò)的計算機或其它網(wǎng)絡(luò)部件上檢測違規(guī)分組的入侵�����。在檢 測后,阻擋指令被返回到違規(guī)主機����,以在違規(guī)主機上發(fā)起入侵保護(hù)操 作。入侵保護(hù)操作禁止由違規(guī)主機進(jìn)一步傳輸違規(guī)分組��。與現(xiàn)代阻止 技術(shù)相組合地使用這個方法可以提供對于入侵和外泄攻擊的更健壯的 解決方案���。
圖1顯示在保護(hù)網(wǎng)絡(luò)上的計算機或網(wǎng)絡(luò)部件處采取的行動���。網(wǎng)絡(luò) 部件可以被結(jié)合到現(xiàn)代入侵保護(hù)中,它在某些實施例中可以是路由器
或防火墻���。在方塊IO���,在保護(hù)網(wǎng)絡(luò)上從違規(guī)主機接收分組。這個分組
可以是與入侵(或外泄)攻擊有關(guān)的類型�����。正如上面討論的��,入侵和外 泄是要在違規(guī)主機處被檢測和潛在地阻擋。對于本申請���,入侵和外泄 都將稱為入侵�。計算機或網(wǎng)絡(luò)部件然后檢驗分組��,以查明它是否為違
規(guī)分組����,諸如,例如畸形分組���、拒絕服務(wù)(DoS)或分布式拒絕服務(wù)(DDoS) 分組�����。如果分組被檢測為違規(guī)分組(判決塊12的"yes"分支)�����,則在方塊 14,把阻擋指令返回到違規(guī)主機�����。如果分組不是與入侵有關(guān)的類型(判 決塊12的"no,���,分支)����,則網(wǎng)絡(luò)部件或計算機繼續(xù)接收分組�����。在結(jié)合現(xiàn) 代入侵保護(hù)操作的其它實施例中�,可以采取如上對于IDS和IPS實施 方案討論的其它行動。
單個違規(guī)主機可以發(fā)送違規(guī)分組到在許多網(wǎng)絡(luò)上的許多計算機���。 這又可以生成過大的網(wǎng)絡(luò)流量�����,因為每個計算機把數(shù)據(jù)發(fā)送回到違規(guī) 主機���。為了有助于減小網(wǎng)絡(luò)流量的數(shù)量,在某些實施例中阻擋指令可 以在保護(hù)網(wǎng)絡(luò)中的計算機上實施以便將其周期性地發(fā)送到違規(guī)主機�, 而不是在接收到違規(guī)分組時發(fā)送。阻擋指令的傳輸可被設(shè)置成使得傳 輸間隔性地被發(fā)送,但不大于預(yù)定的次數(shù)����。如果違規(guī)主機正在接收多 于某個數(shù)目的阻擋指令,則多個接收可能表明在違規(guī)主機處有應(yīng)當(dāng)被 解決的實際問題�����。
在違規(guī)主機處��,正如在圖2的流程圖上看到的那樣����,在方塊20,接收阻擋指令��。違規(guī)主機驗證阻擋指令多半從主機發(fā)起�����。分組的驗證 在某些實施例中是通過當(dāng)可應(yīng)用時����,諸如在本地網(wǎng)絡(luò)上����,檢驗與分組
有關(guān)的MAC地址而完成���,或?qū)τ谄渌鼘嵤├炞C可以通過檢驗源 和目的地IP地址和/或違規(guī)分組的源和目的地端口而完成�����。如果違規(guī) 主才幾確定分組起源于該主才幾(判決塊22的"yes"分支)���,則在方塊24�����, 向在違規(guī)主機上實施的入侵策略咨詢適當(dāng)?shù)男袆舆^程���。然后在方塊25 發(fā)起入侵保護(hù)操作,以根據(jù)入侵策略禁止違規(guī)分組的進(jìn)一步傳輸�。如 果違規(guī)主機確定分組不是起源于該主機(判決塊22的"no"分支),則違 規(guī)主機檢驗以查明它是否正在接收阻擋指令的多個實例�。如果主機正 在接收對于看起來不是起源于違規(guī)主機的分組的阻擋指令的多個實例 (判決塊26的"yes,��,分支)�,則在方塊24,咨詢?nèi)肭植呗裕约霸诜綁K 25,發(fā)起適當(dāng)?shù)娜肭直Wo(hù)操作��。如果主機沒有正在接收阻擋指令的多 個實例����,則在某些實施例中,在方塊27�,可以向入侵策略咨詢用于錯 誤檢測的行動過程。
入侵策略可以被實施���,因而在沒有通過人的交互或其它自動的手 段來自違規(guī)主機的許可的情況下將不采取行動�����。這些策略可被實施來 防止粗暴的阻擋指令關(guān)斷在"違規(guī)"的主計算機上運行的有效應(yīng)用�����。 因此�����,用于違規(guī)主機的策略可以僅僅將入侵保護(hù)操作規(guī)定為登錄系統(tǒng) 中的違規(guī)主機的入侵或事件記錄�。在某些實施例中�����,也可以通過在主 機上發(fā)布消息���,或通過發(fā)送錯誤消息到操作員而通知違規(guī)主機的操作 員����。違規(guī)主機還可規(guī)定入侵保護(hù)操作以通過電子郵件或通過使用諸如 發(fā)送消息給個人數(shù)字助理或蜂窩電話那樣的其它電子傳輸而把消息發(fā) 送到其它位置�。 一旦操作員被告知有入侵攻擊,操作員就可以通過識 別入侵源而采取附加行動�。取決于入侵的類型,操作員可以關(guān)斷違規(guī) 主機或主機上的負(fù)責(zé)生成違規(guī)分組的應(yīng)用執(zhí)行��。
在本地的或更可信的網(wǎng)絡(luò)上����,例如,如果入侵是DoS入侵����,則由 策略規(guī)定的入侵保護(hù)操作可以允許自動關(guān)斷負(fù)責(zé)生成DoS的應(yīng)用或過 程。類似地�,對于畸形分組,由策略引導(dǎo)的入侵保護(hù)操作可以自動關(guān) 斷應(yīng)用或引導(dǎo)違規(guī)主機自動停止畸形分組的進(jìn)一步傳輸���。然而�,如果阻擋指令起源于在不同的網(wǎng)絡(luò)或遠(yuǎn)端網(wǎng)絡(luò)上的計算機,則可以有較低 級別的信任��,以及可以實施用來驅(qū)動由違規(guī)主機采取的入侵保護(hù)操作 的策略���,以使得通過發(fā)布事件或錯誤消息或以如上所討論的某些其它 方式發(fā)送通信到操作員而告知操作員有入侵攻擊���。入侵策略的實施方 式是一種幫助避免使用阻擋指令來作為針對其它計算機上運行的合法 且有效的應(yīng)用的攻擊的方法。在計算機與違規(guī)主機之間存在的更多信 任可以允許更自動的入侵保護(hù)操作�����,以補救確認(rèn)的入侵��。
在某些情形下�����,如圖3所示�,入侵可以通過代理發(fā)生。違規(guī)主機 30通過代理計算機32發(fā)送違規(guī)分組到互聯(lián)網(wǎng)34或其它局域網(wǎng)或廣域 網(wǎng)���。違規(guī)分組到達(dá)保護(hù)網(wǎng)絡(luò)36�,在某些實施例中,保護(hù)網(wǎng)絡(luò)36可以 由防火墻38保護(hù)�����。計算機40a-40d可以檢測來自代理計算機32的入 侵����,和把阻擋指令發(fā)送回到代理計算機32�����。代理計算機32可能沒有 檢測到入侵起源于它自己����,如以上參照圖2討論的那樣,但是可能能 夠通過入侵策略確定分組起源于原先的違規(guī)主機30�����。在進(jìn)行檢測后��, 在某些實施例中���,代理計算機32可以按照入侵策略發(fā)出入侵保護(hù)操 作�����,該操作關(guān)斷在代理計算機32處的傳輸或通知操作員�����,正如上面討 論的那樣�。在其它實施例中,代理計算機32可以修改違規(guī)分組����,以具 有違規(guī)主機30的正確標(biāo)識,例如���,IP地址和端口����,然后把阻擋指令 發(fā)送回到違規(guī)主機30��,在違規(guī)主機30處可以釆取適當(dāng)?shù)男袆?����。在?一個實施例中����,入侵保護(hù)操作可以根據(jù)在代理計算機32處的策略以及 發(fā)送阻擋指令到違規(guī)主機30而被實施�。
在某些實施例中��,用于入侵保護(hù)的阻擋指令可以在操作系統(tǒng)的IP 層處被實施���,以及使用類似于ICMP REDIRECT或ICMP ECHO RESPONSE的操作系統(tǒng)呼叫�。專門的ICMP消息��、ICMP BLOCK可 被實施來包容阻擋指令���。這將有助于阻止黑客改變?nèi)肭痔幚磉壿?例 如,通過使用數(shù)字簽名)���。因為許多入侵是由詐騙應(yīng)用發(fā)起的���,在操作 系統(tǒng)中具有保護(hù)邏輯可以有助于阻止從應(yīng)用層發(fā)起的那些入侵。現(xiàn)在 參照圖4����,被連接到互聯(lián)網(wǎng)52的違規(guī)主機50在例如通過本地網(wǎng)絡(luò)54 被連接的計算機58a上,或在通過互聯(lián)網(wǎng)52連接的和遠(yuǎn)離違規(guī)主機50的保護(hù)網(wǎng)絡(luò)的計算機64a上發(fā)起入侵��。在某些實施例中,保護(hù)網(wǎng)絡(luò) 60可以由防火墻62或在阻止入侵攻擊時使用的其它已知的部件被保 護(hù)�����。在網(wǎng)絡(luò)60上的計算機64a-64d可以是作為入侵攻擊的對象的服務(wù) 器���。
當(dāng)入侵在網(wǎng)絡(luò)60上通過防火墻62或其它檢測設(shè)備(例如計算機 64a )被檢測到時���,以ICMP BLOCK形式的阻擋指令被發(fā)送回到違規(guī) 主機50,該阻擋指令表明它是入侵的發(fā)起者���。例如����,計算機64a把包 含關(guān)于入侵的類型的信息和在某些實施例中����,作為入侵的一部分發(fā)送 的分組的一部分的ICMP BLOCK發(fā)送回到違規(guī)主機50。取決于入侵 的類型�,例如DoS,入侵策略可以在違規(guī)主機50上被實施,其根據(jù)所 接收的ICMP BLOCK確定適當(dāng)?shù)男袆?����。在這階段,違規(guī)主機的操作 員可以被給予要采取的適當(dāng)行動的選項列表���,如以上討論的那樣�。在 本例中�,違規(guī)主機50多半不是與例如計算機64a有關(guān)的可信主機,因 為兩個計算機是在不同的網(wǎng)絡(luò)上����。所以,用于違規(guī)主機50的策略可以
把入侵保護(hù)操作僅僅規(guī)定為記錄在系統(tǒng)中的違規(guī)主機50的入侵或事 件日志���。
繼續(xù)參照圖4�����,從違規(guī)主機50發(fā)起的入侵攻擊也可以被引導(dǎo)到本 地網(wǎng)絡(luò)54上的計算機58a-58c,以及通過互聯(lián)網(wǎng)52被引導(dǎo)到保護(hù)網(wǎng)絡(luò) 60。使用類似于以上討論的那樣的過程�,入侵攻擊在計算機處,例如 在計算機58a處被檢測�����。在檢測后,計算機5Sa把ICMP BLOCK發(fā) 送回到違規(guī)主機50�����。正如以上討論的那樣�����,ICMP BLOCK可包含具 有由違規(guī)主機50使用的附加信息的違規(guī)分組的一部分�����,以驗證違規(guī)分 組起源于主機50�。 一旦被驗證,違規(guī)主機50可以根據(jù)在計算機58a 與違規(guī)主機50之間的信任的級別而釆取兩個不同的方法��。例如���,如果 所實施的入侵策略認(rèn)識到在計算機58a與違規(guī)主機50之間的可信關(guān) 系��,即����,都是同一個局域網(wǎng)的一部分����,由入侵策略規(guī)定的入侵保護(hù)操 作可以允許自動關(guān)斷負(fù)責(zé)生成違規(guī)分組�����,諸如DoS�,的應(yīng)用或過程�����。 對于畸形分組����,類似地,由入侵策略引導(dǎo)的入侵保護(hù)操作可以自動關(guān) 斷應(yīng)用或引導(dǎo)違規(guī)主機50自動停止畸形分組的傳輸�����?�?商鎿Q地�����,在其它實施例中����,入侵策略可以實施在美國專利申請序列號為
No.ll/752,972 (ROC920070033US1)中公開的"Variable Dynamic Throttling (可變動態(tài)調(diào)節(jié))"��,該專利申請在此引用以供參考���?�?勺儎?態(tài)調(diào)節(jié)允許改變在定制的時間間隔內(nèi)網(wǎng)絡(luò)流量的拒絕和允許的比率�����。 然而����,如果不是可信關(guān)系����,諸如以前討論的與在不同網(wǎng)絡(luò)60上的計算 機64a的關(guān)系,則信任的級別可能是較低的��,以及驅(qū)動由違規(guī)主機50 采取的入侵保護(hù)操作的策略可以限于通過發(fā)布事件或錯誤消息或以某 個其它方式發(fā)送通信到操作員而通知操作員有入侵攻擊�����。正如以上討 論的,入侵策略可被使用來幫助阻止使用ICMP BLOCKS作為對于在 其它計算機上運行的合法和有效的應(yīng)用的攻擊���。在諸如計算機58a的 計算機與違規(guī)主機50之間存在的更多信任可以允許更自動的入侵保 護(hù)操作��,以補救已確認(rèn)的入侵����。
在其它實施例中�����,代替在操作系統(tǒng)的IP層上實施入侵檢測和通 知��,服務(wù)器可以在被配置成監(jiān)聽UDP端口的每個計算機上被實施�。入 侵檢測過程和通知包括類似的步驟,但不用發(fā)送ICMP BLOCK, UDP 消息與違規(guī)分組的至少一部分被封裝在一起���,并被發(fā)送到違規(guī)主機的 UDP端口���。 一旦在UDP端口上被接收,就根據(jù)實施的入侵策略和適 當(dāng)?shù)娜肭直Wo(hù)操作進(jìn)行類似的處理���。因為這個方法不是在操作系統(tǒng)����, 而是包括ICMP消息的IP層��,中實施的�����,操作系統(tǒng)API可能需要結(jié) 合入侵保護(hù)操作被使用�����,以與應(yīng)用和過程交互��,以便關(guān)斷它們或發(fā)送 通知到操作員��。使用UDP消息將需要服務(wù)器在所有的計算機上執(zhí)行��, 這可以通過把服務(wù)器包裝為操作系統(tǒng)組的一部分而更容易實現(xiàn)����。
圖5顯示用于設(shè)備70的示例性硬件和軟件環(huán)境,它可以被配置為 在圖3和4中的違規(guī)主機30��, 50����,在圖3上的代理計算機32���,或在圖 3和4上的本地網(wǎng)絡(luò)或遠(yuǎn)端網(wǎng)絡(luò)36, 54和60上的任何計算才幾��。對于 本發(fā)明���,設(shè)備70實際上可以代表任何計算機���,計算機系統(tǒng),或可編程 的設(shè)備�����,例如多用戶或單用戶計算機���,臺式計算機����,便攜式計算機和 設(shè)備�,手持設(shè)備,網(wǎng)絡(luò)設(shè)備�,移動電話等等���。設(shè)備70此后將稱為"計 算機"���,盡管應(yīng)當(dāng)意識到�����,術(shù)語"設(shè)備����,��,也可以包括其它適當(dāng)?shù)目删幊屉娮釉O(shè)備���,諸如路由器或防火墻���。
計算機70典型地包括至少一個被耦合到存儲器74的處理器72。 處理器72可以代表一個或多個處理器(例如��,微處理器)����,和存儲器74 可以代表隨機存取存儲器(RAM)器件����,該器件包括計算機70的主存儲 裝置�,以及任何補充級別的存儲器,例如����,高速緩存存儲器、非易失 性或備份存儲器(例如�����,可編程或快閃存儲器)����、只讀存儲器等等。另 外���,存儲器74可被看作為包括物理上位于計算機70中的其它地方的 存儲器裝置����,例如�����,在處理器72中的任何高速緩存存儲器,以及被用 作為虛擬存儲器的任何存儲容量�����,例如被存儲在大容量存儲器件76或 經(jīng)由網(wǎng)絡(luò)78被耦合到計算機70的另 一個計算機�。
計算機70還典型地接收多個輸入和輸出以便外部傳送信息。對于 與用戶或搮作員的接口 ��,計算機70典型地包括一個或多個用戶輸入設(shè) 備80(例如���,鍵盤、鼠標(biāo)����、跟蹤球、游戲棒�����、觸摸板�����、小鍵盤、筆尖(stylus)��、 和/或話筒等等)���。計算機70還可包括顯示器82(例如����,CRT監(jiān)視器�、 LCD顯示板、和/或揚聲器等等)�。到計算機70的接口還可以通過被直 接或遠(yuǎn)程地連接到計算機70的外部終端,或通過經(jīng)由網(wǎng)絡(luò)78�、調(diào)制 解調(diào)器或其它類型的通信設(shè)備與計算機70通信的另一個計算機。
計算機70在操作系統(tǒng)84的控制下運行�,以及執(zhí)行或否則依賴于 各種計算機軟件應(yīng)用、部件����、程序、對象����、模塊、數(shù)據(jù)結(jié)構(gòu)等等(例如���, 應(yīng)用86)�,合在一起稱為"目標(biāo)"。應(yīng)用86例如可以是如以上討論的�����、 發(fā)起到另一個系統(tǒng)或網(wǎng)絡(luò)上的入侵的應(yīng)用���,或應(yīng)用86可以是在這個或 另一個計算機上的違規(guī)應(yīng)用入侵的目標(biāo)����。計算機70在網(wǎng)絡(luò)78上通過 網(wǎng)絡(luò)接口 88使用網(wǎng)絡(luò)協(xié)議(例如����,在IP層90上實施的)和/或例如在操 作系統(tǒng)84上實施的端口(例如����,UDP端口92)通信。
通常����,被執(zhí)行來實施本發(fā)明的實施例的子程序,不管被實施為操 作系統(tǒng)的一部分或特定的應(yīng)用��;部件,程序�,對象,模塊��,或指令序 列��,在這里將被稱為"計算機程序代碼"或簡稱為"程序代碼"�����。計算機 程序代碼典型地包括一個或多個指令����,該指令在不同的時間在計算機 中的各種存儲器和存儲裝置中駐留,并且在由計算機中的一個或多個處理器讀出和執(zhí)行時使得該計算機執(zhí)行對于執(zhí)行實現(xiàn)本發(fā)明的各種方 面的步驟或單元所必須的步驟���。而且�,雖然本發(fā)明是結(jié)合有全部功能 的計算機和計算機系統(tǒng)描述的��,但本領(lǐng)域技術(shù)人員將會認(rèn)識到����,本發(fā)
明的各種實施例能夠作為各種不同形式的程序產(chǎn)品分布,以及本發(fā)明 可以不管所使用的計算機可讀媒體的具體類型同樣地應(yīng)用來實際上實 行該分布����。計算機可讀媒體的例子包括但不限于��,物理的�、可記錄類 型的媒體����,諸如易失性和非易失性存儲器器件、軟盤和其它可拆卸的
盤�、硬盤驅(qū)動、光盤(例如����,CD-ROM, DVD等)等等,以及傳輸型 媒體��,諸如數(shù)字和模擬通信鏈路����。
另外����,這里描述的各種程序代碼可以根據(jù)在本發(fā)明的特定實施例 中實施該代碼的應(yīng)用或軟件部件被識別。然而�,應(yīng)當(dāng)認(rèn)識到�,這里使 用的任何具體的程序命名僅僅是為了方便���,因此本發(fā)明不應(yīng)當(dāng)限于僅 僅在由這樣的命名識別的和/或暗指的任何特定應(yīng)用中使用���。而且,在
給定計算機程序可被組織成子程序����、過程、方法���、模塊��、對象等等的 典型地?zé)o窮的方式��,以及程序功能可以放置在駐留于典型的計算機中 的各種軟件層(例如�,操作系統(tǒng)���、庫�����、API�、應(yīng)用、應(yīng)用小程序等) 之間的各種方式后����,應(yīng)當(dāng)意識到,本發(fā)明不限于這里描述的程序功能 的特定組織和分配�。
本領(lǐng)域技術(shù)人員將會認(rèn)識到,圖5所示的示例性環(huán)境不打算限制 本發(fā)明��。而是���,本領(lǐng)域技術(shù)人員將會認(rèn)識到��,可以使用其它替換的硬 件和/或軟件環(huán)境����,而不背離本發(fā)明的范圍�。
雖然本發(fā)明的所有的內(nèi)容是通過各種實施例的說明被顯示的,并 且這些實施例是相當(dāng)詳細(xì)地描述的�����,但本申請人不打算把所附權(quán)利要 求的范圍限制于或以任何形式限定于這樣的細(xì)節(jié)���。附加的優(yōu)點和修改 方案�����,諸如把本技術(shù)應(yīng)用于現(xiàn)有的網(wǎng)絡(luò)安全系統(tǒng)��,對于本領(lǐng)域技術(shù)人 員是顯而易見的����。因而��,本發(fā)明在它的更廣泛的方面不限于所顯示和 描述的具體細(xì)節(jié)��、代表性設(shè)備和方法���、以及說明性例子��。因此�,可以 偏離這樣的細(xì)節(jié)而不背離申請人的總的發(fā)明性概念的精神或范圍��。
權(quán)利要求
1. 一種保護(hù)網(wǎng)絡(luò)免受入侵的方法��,所述方法包括檢測由被耦合到保護(hù)網(wǎng)絡(luò)的違規(guī)主機傳送的違規(guī)分組的入侵��;以及響應(yīng)于檢測到違規(guī)分組的入侵,把阻擋指令返回到違規(guī)主機以在違規(guī)主機上發(fā)起入侵保護(hù)操作�,其中阻擋指令禁止由違規(guī)主機進(jìn)一步傳輸違規(guī)分組。
2. 根據(jù)權(quán)利要求l的方法�,其中發(fā)送阻擋指令還包括 至少把違規(guī)分組的一部分與阻擋指令一起發(fā)送回違規(guī)主機。
3. 根據(jù)權(quán)利要求2的方法�,其中入侵保護(hù)操作包括,在違規(guī)主機處接收阻擋指令和該部分的違規(guī)分組���;驗證違規(guī)分組起源于違規(guī)主機�;以及根據(jù)入侵策略禁止由違規(guī)主機發(fā)送以后的外發(fā)的違規(guī)分組���。
4. 根據(jù)權(quán)利要求3的方法�����,其中驗證還包括 比較與第一違規(guī)分組和違規(guī)主機有關(guān)的相應(yīng)的MAC地址�����。
5. 根據(jù)權(quán)利要求3的方法���,其中驗證還包括 比較與第一違規(guī)分組和違規(guī)主機有關(guān)的源和目的地IP地址。
6. 根據(jù)權(quán)利要求3的方法���,其中驗證還包括 檢驗與第一違規(guī)分組和違規(guī)主機有關(guān)的TCP或UDP源和目的地端口����。
7. 根據(jù)權(quán)利要求3的方法����,其中違規(guī)分組是TCP分組,以及驗 證還包括檢驗與第 一違規(guī)分組和違規(guī)主機有關(guān)的序列號�。
8. 根據(jù)權(quán)利要求3的方法,其中禁止發(fā)送還包括 把以后的違規(guī)分組返回到違規(guī)應(yīng)用��,其中第一違規(guī)分組和以后的違規(guī)分組起源于違規(guī)應(yīng)用��;以及 結(jié)束與違規(guī)應(yīng)用的連接�����。
9. 根據(jù)權(quán)利要求2的方法����,其中至少把第一違規(guī)分組的一部分發(fā) 送回違規(guī)主機還包括把該部分的違規(guī)數(shù)據(jù)分組封裝到UDP分組中;以及 把封裝后的該部分的違規(guī)數(shù)據(jù)分組作為通知分組返回到違規(guī)主機���。
10. 根據(jù)權(quán)利要求9的方法�����,其中入侵保護(hù)操作包括�,在違規(guī)主 機處接收包含該部分的違規(guī)分組的封裝后的UDP分組;以及 驗證第 一違規(guī)分組起源于違規(guī)主機��。
11. 根據(jù)權(quán)利要求10的方法����,其中入侵保護(hù)操作包括,在違規(guī)主 機處識別產(chǎn)生違規(guī)分組的違規(guī)主機上的違規(guī)應(yīng)用�;以及 終止違規(guī)應(yīng)用。
12. 根據(jù)權(quán)利要求l的方法�����,其中入侵保護(hù)操作包括��,在違規(guī)主 機處發(fā)布事件或錯誤消息給違規(guī)主機的操作員�����。
13. 根據(jù)權(quán)利要求l的方法���,其中入侵保護(hù)操作包括 訪問違規(guī)主機上的入侵策略�����。
14. 根據(jù)權(quán)利要求l的方法�,其中檢測入侵和返回阻擋指令在IP 層實施。
15. 根據(jù)權(quán)利要求14的方法���,其中阻擋指令是ICMP消息。
16. 根據(jù)權(quán)利要求15的方法�����,其中ICMP消息包含第一違規(guī)分 組的拷貝���。
17. 根據(jù)權(quán)利要求l的方法��,其中檢測入侵和返回阻擋指令在網(wǎng) 絡(luò)設(shè)備中實施��。
18. 根據(jù)權(quán)利要求17的方法��,其中網(wǎng)絡(luò)設(shè)備是防火墻�、路由器或 計算機�。
19. 一種保護(hù)網(wǎng)絡(luò)免受入侵的方法,所述方法包括 在主機處接收阻擋指令和違規(guī)分組的一部分���,其中違規(guī)分組是與入侵攻擊有關(guān)的類型��;驗證違規(guī)分組起源于主機�����;以及響應(yīng)于對于違規(guī)分組起源于主機的驗證�,在主機上發(fā)起入侵保護(hù) 操作,由此禁止由主機發(fā)送以后的外發(fā)的違規(guī)分組����。
20. 根據(jù)權(quán)利要求19的方法,其中主機包括 被配置為代理的第一主機���;以及產(chǎn)生違規(guī)分組和通過代理發(fā)送違規(guī)分組的第二主機����。
21. 根據(jù)權(quán)利要求20的方法�,其中代理把阻擋指令發(fā)送到第二主機.
22. —種設(shè)備,包括 處理器�����;以及程序代碼���,程序代碼被配置成由處理器執(zhí)行以保護(hù)網(wǎng)絡(luò)免受在主 機處的入侵����,程序代碼位于存儲器中并被配置成接收阻擋指令和違規(guī) 分組的一部分,驗證違規(guī)分組起源于主機�����,以及響應(yīng)于對于違規(guī)分組 起源于主機的驗證��,在主機上發(fā)起入侵保護(hù)操作��,由此禁止由主機發(fā) 送以后的外發(fā)的違規(guī)分組�。
23. 根據(jù)權(quán)利要求22的設(shè)備��,其中計算機是被配置為代理的第一 計算機�����,設(shè)備還包括具有存儲器的第二計算機���;以及違規(guī)應(yīng)用的程序代碼���,該程序代碼位于第二計算機的存儲器中��, 并被配置成產(chǎn)生違規(guī)分組并通過代理發(fā)送違規(guī)分組�����, 其中阻擋指令在代理處被接收�����。
24. 根據(jù)權(quán)利要求23的設(shè)備�����,其中代理還被配置成把阻擋指令發(fā) 送到第二計算機�����。
全文摘要
提供了用于保護(hù)網(wǎng)絡(luò)免受入侵的方法��、設(shè)備和程序產(chǎn)品����。檢測由被耦合到保護(hù)網(wǎng)絡(luò)的違規(guī)主機傳送的違規(guī)分組����。響應(yīng)于檢測��,把阻擋指令返回到違規(guī)主機�,以在違規(guī)主機處發(fā)起入侵保護(hù)操作�,其中阻擋指令禁止由違規(guī)主機進(jìn)一步傳輸違規(guī)分組。在違規(guī)主機處���,接收阻擋指令和部分的違規(guī)分組�����。違規(guī)主機驗證違規(guī)分組起源于主機�����。響應(yīng)于對于違規(guī)分組起源于主機的驗證,在主機上發(fā)起入侵保護(hù)操作����,由此禁止由主機發(fā)送以后的外發(fā)的違規(guī)分組。
文檔編號H04L12/56GK101420425SQ200810170090
公開日2009年4月29日 申請日期2008年10月22日 優(yōu)先權(quán)日2007年10月23日
發(fā)明者A·T·克拉克, C·T·格羅伊, K·A·特里, 丹尼爾·P·考爾茲 申請人:國際商業(yè)機器公司