亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

數(shù)據(jù)中心環(huán)境中的入侵檢測的制作方法

文檔序號:6656822閱讀:482來源:國知局
專利名稱:數(shù)據(jù)中心環(huán)境中的入侵檢測的制作方法
數(shù)據(jù)中心環(huán)境中的入侵檢測
相關(guān)申請的交叉引用
本申請要求2004年10月28日由Mauricio Arregoces禾卩Maurizio Portolani遞交的題為 "Data Center Network Design And Infrastructure Architecture"的申請?zhí)枮?0/623,810的臨時專利申請的優(yōu)先權(quán),這里通過 引用將該申請的整體公開結(jié)合于此。
背景技術(shù)
成功的因特網(wǎng)存在(presence)要求公司具有可用于處理來自顧客和 雇員兩者的大量命中(hit)的網(wǎng)站和計算機(jī)資源?,F(xiàn)在一般認(rèn)可電子商務(wù) 作為執(zhí)行交易的有效方式,并且電子商務(wù)越來越多地慮及世界范圍內(nèi)商業(yè) 的絕大部分。同時,成功的因特網(wǎng)存在意味著該公司必須對顧客記錄(例 如信用卡號以及他自己的私人信息)提供足夠的安全性。但是, 一旦建立 了因特網(wǎng)存在,計算機(jī)資源就暴露給一個一般被稱為黑客(hacker)的群 組,黑客的唯一目的是獲得對公司的計算機(jī)資源的未經(jīng)授權(quán)的訪問。黑客 可能嘗試獲得金融值的信息或者可能為了智力或政治挑戰(zhàn)而嘗試潛入公司 的計算機(jī)資源。其他黑客的簡單目的就是要制造麻煩。
無論黑客的動機(jī)是什么,都有責(zé)任識別和防止對敏感機(jī)構(gòu)的計算機(jī)資 源進(jìn)行未經(jīng)授權(quán)的訪問。但是在實(shí)踐中,這不是一個簡單任務(wù),因?yàn)楸仨?對公司的雇員和顧客提供對完全相同的資源的訪問,并且不是所有雇員和 顧客都能被立即識別出的。識別入侵這一任務(wù)依然是維護(hù)在線存在的基本 部分。
為了檢測入侵,具有一個數(shù)據(jù)中心的多個商業(yè)機(jī)構(gòu)共同包括一個入侵 檢測系統(tǒng)或IDS。 IDS通過分析網(wǎng)絡(luò)分組并尋找其他惡意或可疑異常物的 跡象來監(jiān)視數(shù)據(jù)中心網(wǎng)絡(luò),所述惡意或可疑異常物的跡象是由可能指示黑 客正在嘗試入侵的不適當(dāng)?shù)摹⒉徽_的或異常的行為來指示的。
IDS可以是基于網(wǎng)絡(luò)的IDS或者基于主機(jī)的入侵防范系統(tǒng)實(shí)現(xiàn)方式。
基于網(wǎng)絡(luò)的IDS監(jiān)視流過交換機(jī)或路由器的網(wǎng)絡(luò)流量。基于主機(jī)的IDS監(jiān) 視系統(tǒng)級事件以檢測該主機(jī)上的惡意行為。IDS等同于向IDS管理系統(tǒng)報 告可疑行為的監(jiān)督工具。舉例來說, 一個IDS (例如由Cisco Systems公司 投入市場的Cisco IDS-4250)采用復(fù)雜的檢測技術(shù),所述檢測技術(shù)包括狀 態(tài)模式識別、協(xié)議解析、啟發(fā)式檢測和異常性檢測。這些檢測技術(shù)全面地 防范各種已知和未知的威脅。
在網(wǎng)絡(luò)環(huán)境中,IDS被部署得遍布網(wǎng)絡(luò)各處,但是,將IDS放置在最 可能面臨攻擊的網(wǎng)段是尤其重要的。基于網(wǎng)絡(luò)的IDS保護(hù)在設(shè)備所在網(wǎng)段 上可訪問的所有設(shè)備并識別惡意行為。在具有多個子網(wǎng)的數(shù)據(jù)中心環(huán)境 中,希望IDS傳感器監(jiān)視每個子網(wǎng)。因此,如果數(shù)據(jù)中心有三個子網(wǎng),則 第一子網(wǎng)上的流量應(yīng)該由第一 IDS監(jiān)視,第二子網(wǎng)上的流量應(yīng)該由第二 IDS監(jiān)視。不幸的是,在某些網(wǎng)絡(luò)中,由于流量捕獲技術(shù)而對IDS傳感器 可以監(jiān)視的會話數(shù)目存在實(shí)際限制。因此,沒有能力利用第三IDS來監(jiān)視 第三子網(wǎng)。在此情況下,兩個或更多個子網(wǎng)可能被結(jié)合在一起并由單個 IDS監(jiān)視。在其他情況下,希望有選擇地監(jiān)視子網(wǎng)上的流量,例如HTTP 客戶端-服務(wù)器流量應(yīng)該由一個IDS傳感器監(jiān)視,SMTP客戶端-服務(wù)器流 量應(yīng)該由另一傳感器監(jiān)視,DNS流量由再另一傳感器監(jiān)視,同時過濾在同 一子網(wǎng)上發(fā)起和終止的所有其它流量。
根據(jù)本發(fā)明,提供了用于利用相應(yīng)的多個IDS來監(jiān)視多個子網(wǎng)和協(xié)議 的系統(tǒng)和方法。有利的是,本發(fā)明減少了網(wǎng)絡(luò)攻擊的錯誤肯定(false positive),消除了子網(wǎng)中的流量噪聲,并通過選擇監(jiān)視流量而在監(jiān)視每個 子網(wǎng)上的網(wǎng)絡(luò)流量方面提供了更大粒度,從而優(yōu)化了性能。
從以下結(jié)合附圖的詳細(xì)描述中,本發(fā)明的前述和附加特征和優(yōu)點(diǎn)將變 得清楚。


圖1是示出根據(jù)本發(fā)明一個實(shí)施例具有與每個流量源相關(guān)聯(lián)的入侵檢 測系統(tǒng)的網(wǎng)段的簡化框圖。
圖2是示出根據(jù)圖l所示的實(shí)施例,用于在網(wǎng)段上操作入侵檢測系統(tǒng) 的方法的框圖。
圖3是示出根據(jù)本發(fā)明另一實(shí)施例具有與每個流量源相關(guān)聯(lián)的入侵檢 測系統(tǒng)的網(wǎng)段的另 一 簡化框圖。
圖4是示出圖3所示本發(fā)明的實(shí)施例的操作的框圖。
圖5是示出根據(jù)圖3和4所示的實(shí)施例,用于在網(wǎng)段上操作入侵檢測 系統(tǒng)的方法的框圖。
具體實(shí)施例方式
在這里對本發(fā)明實(shí)施例的描述中,提供了大量具體細(xì)節(jié)(例如組件和 /或方法的示例),以對本發(fā)明的實(shí)施例提供全面理解。但是,本領(lǐng)域技 術(shù)人員將意識到,無需一個或多個所述具體細(xì)節(jié)或者利用其他裝置、系 統(tǒng)、裝配、方法、組件、部件等等也可以實(shí)現(xiàn)本發(fā)明的實(shí)施例。在其他實(shí) 例中,公知的結(jié)構(gòu)、材料或操作沒有具體示出或詳細(xì)描述,以免模糊本發(fā) 明的實(shí)施例的各個方面。
現(xiàn)在利用標(biāo)號更具體的參考附圖,圖1中示出網(wǎng)絡(luò)環(huán)境的網(wǎng)段10。 網(wǎng)段10是網(wǎng)絡(luò)環(huán)境中通常用于數(shù)據(jù)中心或大機(jī)構(gòu)或企業(yè)網(wǎng)絡(luò)的部分的示 例。網(wǎng)絡(luò)環(huán)境IO包括將網(wǎng)絡(luò)環(huán)境劃分成邏輯分段的路由器或交換機(jī)11以 及子網(wǎng)12、 13和14。雖然圖1中只示出三個子網(wǎng),但是將會意識到,在 一個網(wǎng)段中可能存在任意數(shù)目的這樣的子網(wǎng)。此外,IDS在這里被任意描 述為分離的系統(tǒng),但是將會意識到,IDS可以用軟件實(shí)現(xiàn),并且由與交換 機(jī)11相關(guān)聯(lián)的處理器來執(zhí)行??商鎿Q地,IDS可以是與一個或多個其他 網(wǎng)絡(luò)設(shè)備(例如交換機(jī)、路由器、防火墻、網(wǎng)橋、集中器、掃描儀、負(fù)載 平衡器或內(nèi)容引擎)共享同一機(jī)架的刀片插件(blade)。
在該網(wǎng)絡(luò)環(huán)境中,交換機(jī)ll充當(dāng)?shù)矫總€子網(wǎng)的網(wǎng)關(guān)。每個子網(wǎng)12-14 包括節(jié)點(diǎn)17,該節(jié)點(diǎn)17定義多個服務(wù)器(例如web服務(wù)器)或其他受保 護(hù)的網(wǎng)絡(luò)可訪問資源。網(wǎng)段IO可由客戶端15通過核心網(wǎng)絡(luò)(例如因特網(wǎng) 16)訪問。應(yīng)該意識到,客戶端可以從各種不同網(wǎng)絡(luò)連接到該網(wǎng)段,并且 所示出的因特網(wǎng)僅僅用于舉例說明外部核心網(wǎng)絡(luò)。在該實(shí)施例中,每個子
網(wǎng)被入侵檢測系統(tǒng)或IDS監(jiān)視。具體而言,IDS 22-24監(jiān)視子網(wǎng)上的流
基于網(wǎng)絡(luò)的傳感器是連接到網(wǎng)段并檢查流量以檢測入侵和可疑行為的 系統(tǒng)。這些傳感器可以軟件方式實(shí)現(xiàn)在路由器和防火墻上,或者實(shí)現(xiàn)為獨(dú) 立設(shè)備或硬件模塊。基于網(wǎng)絡(luò)的傳感器通常使用兩個網(wǎng)絡(luò)接口, 一個連接 到正被監(jiān)視的網(wǎng)絡(luò),另一個連接到提供對管理系統(tǒng)的訪問的安全分段。監(jiān) 視接口不具有MAC地址,因此無法發(fā)送流量。連接有IDS的交換機(jī)端口 查看所有通過交換機(jī)被鏡像的流量。管理接口優(yōu)選地具有MAC地址和IP 地址,以與被監(jiān)視的網(wǎng)絡(luò)設(shè)備通信?;诰W(wǎng)絡(luò)的傳感器應(yīng)該被部署在更可 能面臨攻擊的網(wǎng)段上(即因特網(wǎng)邊緣處)以及設(shè)置有關(guān)鍵業(yè)務(wù)(皿ssum-critical)服務(wù)器的網(wǎng)段上。
圖2示出監(jiān)視過程。對每個子網(wǎng)的監(jiān)視開始于在交換機(jī)11處接收目 的地為節(jié)點(diǎn)17之一的流量。如步驟27所示,對流量進(jìn)行拷貝??截惖牧?量隨后被過濾以除去不感興趣的流量,如步驟28所示。經(jīng)拷貝和過濾的 流量被重定向到專用IDS,如步驟29所示。其余流量被IDS通過應(yīng)用各 種檢測技術(shù)進(jìn)行分析,以防止連接到節(jié)點(diǎn)17的設(shè)備受到可感知的威脅, 如步驟30所示。
檢測技術(shù)可以包括狀態(tài)模式識別、協(xié)議解析、啟發(fā)式檢測、異常性 (anomaly)檢測或其它技術(shù)。為了對子網(wǎng)或協(xié)議執(zhí)行更具體的監(jiān)視,優(yōu) 選地,選擇一個特定的簽名集合,其緊密匹配每個子網(wǎng)的流量監(jiān)視的意 圖,但是也包含基于異常性的系統(tǒng)。基于異常性的系統(tǒng)定義網(wǎng)絡(luò)流量和系 統(tǒng)資源占用方面的正常行為,從而使得在任意時刻相對統(tǒng)計值存在重大偏 離時生成警報,之后任意相對定義的基準(zhǔn)線的偏離都被看作攻擊。
基于簽名的系統(tǒng)明確定義哪種行為被看作惡意的。特定簽名標(biāo)識該惡 意行為,并且IDS將流量和資源利用與該簽名相比較。如果比較結(jié)果匹 配,則指示存在惡意事件。在比較過程中,每個分組且所有分組都被與簽 名比較。應(yīng)該注意,簽名模式可被分散在多個分組中,因此基于網(wǎng)絡(luò)的系 統(tǒng)必須重組會話并最終執(zhí)行協(xié)議分析。
簽名是根據(jù)它們嘗試匹配的攻擊的類型來分組的。例如,IDS可以包
括嵌入式簽名或連接簽名,嵌入式簽名是與IDS—起出現(xiàn)的特定已知攻擊
簽名,而連接簽名是特定于協(xié)議的簽名。例如,協(xié)議定義(TCP/UDP)可 以包括端口號。IDS還可以包括字符串匹配簽名或ACL簽名,字符串匹 配簽名是基于分組中的有效載荷部分的攻擊簽名,而ACL簽名是由網(wǎng)絡(luò) 設(shè)備記錄的策略違背(policy-violation)簽名。
針對每個子網(wǎng)中的各種服務(wù)器類型指定的用于檢測攻擊的簽名的示例 包括HTTP簽名3455 _ Java Web Server Cmd Exec; 5087 — WWW Sim Java Server Access; 5312 - .jsp/.jhtml Java Execution; 5375 — Apache mod—dav Over.ow; 5103 - WWW SuSE Apache CGI Source Access;以及 5160 - Apache indexing.le disclosure bug?;赗PC的應(yīng)用簽名包括 6101 — RPC Port Unregistration; 6102 — RPC Dump; 6103 — Proxied RPC Request; 6104 — RPC Set Spoof; 6105 - RPC Unset Spoof; 6110 — RPC RSTATD Sweep; 6111 - RPC RUSERSD Sweep; 6112 - RPC NFS Sweep; 6113 — RPC MOUNTD Sweep;以及6114 — RPC YPPASSWDD Sweep。 Windows/NetBIOS簽名包括3300 — NetBIOS OOB Data; 3301 — NETBIOS Stat; 3302 — NETBIOS Session Setup Faiiure; 3303 - Windows Guest Login; 3304 — Windows Null Account Name; 3305 — Windows Password File Access; 3306 - Windows Registry Access; 以及3327 — Windows RPC DCOM Over.ow 。
在網(wǎng)絡(luò)環(huán)境中使用的簽名屬于簽名組(例如HTTP組),因?yàn)楹诳褪?用HTTP來獲得對大多數(shù)應(yīng)用的訪問。其他簽名組包括對于服務(wù)器-服務(wù) 器通信廣泛使用的RPC組和特定于某些操作系統(tǒng)(例如 Windows/NetBIOS)的組。
如果IDS被部署在因特網(wǎng)邊緣處,則用于保護(hù)服務(wù)器和應(yīng)用的公共簽 名包括以下這些簽名DNS簽名示例包括6050 - DNS HINFO Request; 6051 - DNS Zone Transfer; 6052 - DNS Zone Transfer from High Port; 6053 -DNS Request for All Records; 6054 - DNS Version Request; 6055 - DNS Inverse Query Buffer Overflow以及6056 - DNS NXT Buffer Overflow。 HTTP簽名示例包括5188 - HTTP Tunneling; 5055 - HTTP Basic
Authentication Overflow; 3200 - WWW Phf Attack; 3202 - WWW .url File Requested; 3203 - WWW .Ink File Requested; 3204 - WWW .bat File Requested; 3212 - WWW NPH-TEST隱CGI Attack;以及3213 - WWW TEST-CGI Attack。 FTP簽名示例包括3150 - FTP Remote Command Execution; 3151 -FTP SYST Command Attempt; 3152 - FTP CWD —root; 3153 - FTP Improper Address Specified ; 3154 - FTP Improper Port Specified; 3155 - FTP RETR Pipe Filename Command Execution; 3156 -FTP STOR Pipe Filename Command Execution; 3157 - FTP PASV Port Spoof; 3158-FTP SITE EXEC Format String; 3159 - FTP PASS Suspicious Length;以及3160 - Cesar FTP Buffer Overflow。 E-mail簽名示例包括 3100 - Smail Attack; 3101 - Sendmail Invalid Recipient; 3102 - Sendmail Invalid Sender; 3103 - Sendmail Reconnaissance; 3104 - Archaic Sendmail Attacks; 3105 - Sendmail Decode Alias; 3106 - Mail Spam;以及3107 -Majordomo Execute Attack 。
識別過程可能需要通過監(jiān)視警報并在檢測到威脅時確定什么是正常的 什么是異常的來調(diào)節(jié)(tune)簽名,但是,優(yōu)選地,IDS被配置為具體針 對保護(hù)子網(wǎng)的任意防火墻所允許的協(xié)議發(fā)出警告。當(dāng)檢測到威脅時,生成 可疑流量警報,并且優(yōu)選地,威脅被IDS阻擋,如步驟31所示。
IDS能夠利用特定機(jī)制對識別出的安全性事件作出響應(yīng)。例如,與檢 測出的入侵相對應(yīng)的完整IP會話可被記入日志。日志通常被用于法庭 (forensic)分析,以確定事件的細(xì)節(jié)并識別安全性縫隙在何處以及如何 糾正它。該信息還可以在需要法律實(shí)施的情況下被用作證據(jù)??商鎿Q地, IDS可被配置用于代表受害系統(tǒng)執(zhí)行TCP重置。在該配置中,IDS發(fā)送利 用受害方的源IP地址生成的TCP重置和一個隨機(jī)MAC地址,以避免與 第2層交換機(jī)和受害方的MAC地址發(fā)生沖突。IDS還可以指導(dǎo)網(wǎng)絡(luò)設(shè)備 (例如路由器、交換機(jī)或防火墻)動態(tài)應(yīng)用ACL來阻擋來自攻擊者的流 量。該響應(yīng)是最具攻擊性的響應(yīng),在其意外地阻擋了有效流量時,可能導(dǎo) 致自己引發(fā)的DoS問題。在此情況下,IDS可以利用各種協(xié)議(例如 Telnet和Secure Shell (SSH))與該避開的設(shè)備通信。
在操作中,交換機(jī)11基于不同的接收到的分組的源MAC地址建立
第2層轉(zhuǎn)發(fā)表。該轉(zhuǎn)發(fā)表或訪問控制列表被交換機(jī)11用于將以某個MAC 地址為目的地的分組直接轉(zhuǎn)發(fā)到相應(yīng)的VLAN。該特征通常被稱為單播轉(zhuǎn) 發(fā),因?yàn)榉纸M僅被從源發(fā)送到目的地。在支持單播轉(zhuǎn)發(fā)的交換機(jī)中,針對 被監(jiān)視的VLAN指定的流量被交換機(jī)11拷貝,并通過配置VACL特征 (遠(yuǎn)程或RSPAN VLAN)被發(fā)送到VLAN。 VACL配置定義了要被監(jiān)視 的流量類型。具體而言,如圖3所示,針對VLAN 12指定的流量被交換 機(jī)11拷貝,并且該拷貝被發(fā)送到VLAN35。 RSPAN特征的使用不同于其 預(yù)期使用,但提供了基于所選參數(shù)重定向流量的能力。VLAN35優(yōu)選地 是本地VLAN并且甚至可以是交換機(jī)11的一部分,如虛線39所示。如果 VLAN 12-14被配置用于捕獲,則來自每個這樣的VLAN的指定流量被拷 貝到VLAN 35。為了使每個專用IDS都能查看所有流量,操作軟件或硬 件將來自VLAN 35的流量重定向到適當(dāng)?shù)膶S肐DS。因此,VLAN 12上 的流量被交換機(jī)11拷貝并被發(fā)送到VLAN35,在VLAN35,流量可被重 定向到IDS 37。類似地,VLAN 13和14上的流量被拷貝到VLAN 35,然 后可被分別重定向到IDS 38和39。在替換實(shí)施例中,流量可基于協(xié)議被 重定向。在另一實(shí)施例中,流量基于源和協(xié)議被重定向。 一般而言,重定 向可按特定應(yīng)用所需的粒度來執(zhí)行。
圖3的實(shí)施例的監(jiān)視過程在圖4中示出。流量的重定向發(fā)生在交換機(jī) 11處,其被配置為指定哪些VLAN的流量將被拷貝,如歩驟42所示。如 果交換機(jī)11是Cisco交換機(jī),則重定向是通過配置交換機(jī)以使每個 VLAN或鏈路SPAN (跨越)到另一其中的流量將被拷貝的VLAN來實(shí)現(xiàn) 的。SPAN將流量拷貝到一個VLAN,該VLAN還可被運(yùn)載到不同于交換 機(jī)11的交換機(jī)。
拷貝的流量隨后被發(fā)送到VLAN 35,如步驟43所示。 一旦拷貝的流 量在VLAN 35處被接收,流量類型和源VLAN就被確定,如步驟44所 示。流量類型可以通過檢查分組頭部來確定。基于流量類型和源,VLAN 35過濾流量并重定向流量到特定IDS,如步驟45所示。該操作優(yōu)選地是 通過在VLAN 35上應(yīng)用VACL REDIRECT判決來執(zhí)行的。VACL
REDIRECT由操作系統(tǒng)執(zhí)行并應(yīng)用于路由入或路由出VLAN 35的所有分 組。VACL REDIRECT嚴(yán)格地用于分組過濾和基于配置重定向流量到特定 物理交換機(jī)端口。
更具體而言,VACL REDURECT被用來基于信息(例如子網(wǎng)、協(xié)議 和第4層端口)判斷流量將在哪個端口上流出。因此,如果接收到某種流 量模式,則VLAN 35識別出該流量的源、目的地、協(xié)議和第4層端口并 將流量重定向到若干指定IDS之一。
IDS使用簽名或模板(template)來檢測網(wǎng)絡(luò)上被認(rèn)為是安全性違背 的異常行為,所述檢測是通過將模板與流量模式或特定流量會話相比較以 尋找匹配來執(zhí)行的。匹配暗示已經(jīng)檢測到異常性并且需要某種動作。該動 作可以是僅僅發(fā)送警報,或者是發(fā)送警報并應(yīng)用被設(shè)計用于停止該異常性 的措施。
圖5示出用于拷貝流量,然后重定向流量到指定IDS的方法。具體而 言,在交換機(jī)11處的進(jìn)入流量利用SPAN命令被有選擇地拷貝,所述 SPAN命令由在交換機(jī)11上活動的操作系統(tǒng)執(zhí)行。因此,多個進(jìn)入流中 的一個或多個在離開交換機(jī)11之前被拷貝到VLAN 35。 VLAN 35利用由 活動的操作系統(tǒng)執(zhí)行的VACL REDIRECT命令來監(jiān)視進(jìn)入流。VACL REDIRECT用于確定流量類型(例如MAC、 RPC或HTTP),然后將其 路由到特定IDS 。例如,對于從VLAN 12拷貝的流量,VACL REDIRECT命令識別出源是VLAN 12,該VLAN 12選擇第一組IDS傳感 器47。然后,基于流量的類型,VACL REDIRECT將具有特定類型的流 量重定向到相應(yīng)的IDS。例如,如果VLAN 12上的流量包括RPC和 HTTP流量,貝U RPC流量被發(fā)送到IDS傳感器48,而HTTP流量被發(fā)送 到IDS傳感器49。進(jìn)行類似的兩級分級判斷以路由流量到指定的IDS。 VLAN 13上的流量如果是RPC流量則被路由到IDS傳感器50,如果是 HTTP流量則被路由到IDS傳感器51。 IDS傳感器50禾Q 51處于第二組 IDS 52中。類似地,VLAN 14上的流量如果是RPC或HTTP流量,則被 路由到IDS組53。與所述多個流量源中的每一個相關(guān)聯(lián)的入侵檢測傳感 器可以包括單個虛擬的IDS傳感器。
一般而言,如果識別出不同的流量協(xié)議、模式或源,則定向到不同的
專用IDS。利用該配置,可以定義很多不同的IDS傳感器,其中每個IDS
傳感器監(jiān)視不同的流量協(xié)議或模式。傳感器可以具有協(xié)議號所允許的粒
度。VACL對流量是否將被拷貝或重定向進(jìn)行所有分析。訪問控制列表被 配置用于定義用于特定流量源的子網(wǎng)。實(shí)際上,對于交換機(jī)11中的第4 層協(xié)議和第4層端口 ,關(guān)于每個IDS將接收哪種類型的流量可能是非常特 定的。此外,通過使來自子網(wǎng)的不感興趣的流量對IDS而言不可見,可以 過濾掉無關(guān)警報。該過濾功能意味著已知安全流量不經(jīng)過IDS,并且只有 可疑或高危險性的流量需要被IDS查看。
本發(fā)明通過提供多于一個或兩個IDS監(jiān)視來自多個子網(wǎng)的流量,從而 實(shí)現(xiàn)了重要里程碑。此外,本發(fā)明通過限制提供給每個IDS的流量的類型 而使得IDS能夠更有效地工作,從而減少了將報告的錯誤肯定的數(shù)目。通 過識別和過濾安全流量,實(shí)現(xiàn)了效率的進(jìn)一歩提高。該過濾步驟提高了等 待時間并減少了錯誤警報的的發(fā)生。因此,利用本發(fā)明,只有流量的一個 子集被每個IDS所監(jiān)視,同時同一子集中的安全流量無需被監(jiān)視。雖然在 這里描述的實(shí)施例中可以使用IP工業(yè)熟悉的機(jī)制,但是將會理解,任意 能夠執(zhí)行訪問控制列表功能和重定向功能的設(shè)備都可被用于實(shí)現(xiàn)本發(fā)明。 利用本發(fā)明,用于防止由惡意黑客導(dǎo)致的網(wǎng)絡(luò)問題的成本立即被大大降 低。
因此,本發(fā)明提供了一種新型入侵檢測系統(tǒng),該系統(tǒng)能夠識別流量 源,過濾流量以分類其是安全的還是可疑的,然后應(yīng)用復(fù)雜的檢測技術(shù), 例如狀態(tài)模式識別、協(xié)議解析、啟發(fā)式檢測和異常性檢測。這些技術(shù)可以 單獨(dú)應(yīng)用也可以與IDS傳感器組合應(yīng)用,所述IDS傳感器專用于監(jiān)視來自 特定流量源的特定類型的流量。由于流量被過濾以除去不感興趣的流量并 且不同傳感器監(jiān)視流量的不同部分,因此由于較少流量被路由到用于監(jiān)視 的IDS而使效率大大提高。因此,每個IDS傳感器采用的檢測技術(shù)可被具 體限定和細(xì)化,以確保全面地防范多種己知和未知的威脅,同時減少等待 時間。
雖然已經(jīng)參考特定實(shí)施例描述了本發(fā)明,但是這些實(shí)施例僅僅是示例
性的而非限制性的。例如,網(wǎng)絡(luò)可以包括不同的路由器、交換機(jī)、服務(wù)器 以及在這樣的網(wǎng)路中常見的其他組件或設(shè)備。此外,這些組件可以包括以 不同于這里所述的方式實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備和其他設(shè)備之間的連接功能的軟件算 法。
這里描述的可執(zhí)行代碼可以以任意合適的編程語言來實(shí)現(xiàn)以實(shí)現(xiàn)本發(fā)
明的例程,包括C、 C++、 Java、匯編語言等等??梢圆捎貌煌木幊碳?br> 術(shù),例如程序性的或面向?qū)ο蟮?。例程可以在操作系統(tǒng)環(huán)境中工作,或者 作為占用系統(tǒng)處理的全部或絕大部分的獨(dú)立例程工作。
在這里的描述中,提供了具體細(xì)節(jié)(例如組件和/或方法的示例), 以對本發(fā)明的實(shí)施例提供全面理解。但是,本領(lǐng)域技術(shù)人員將意識到,沒 有這些具體細(xì)節(jié)中的一個或多個或者利用其他裝置、系統(tǒng)、裝備、方法、 組件、材料、部件等等也可以實(shí)現(xiàn)本發(fā)明的實(shí)施例。在其他情況下,沒有 具體示出或描述公知的結(jié)構(gòu)、材料或操作,以免模糊本發(fā)明的實(shí)施例的各 個方面。
這里使用的各種數(shù)據(jù)庫、應(yīng)用軟件或網(wǎng)絡(luò)工具可能位于一個或多個服 務(wù)器計算機(jī)中,更具體而言,位于這種服務(wù)器計算機(jī)的存儲器中。出于本 發(fā)明實(shí)施例的目的,這里使用的"存儲器"可以是任意包含、存儲、傳 輸、傳播或運(yùn)送程序以用于指令執(zhí)行系統(tǒng)、裝置、系統(tǒng)或設(shè)備或與指令執(zhí) 行系統(tǒng)、裝置、系統(tǒng)或設(shè)備結(jié)合使用的介質(zhì)。存儲器例如(但不局限于) 可以是電子的、磁的、光的、電磁的、紅外的或半導(dǎo)體系統(tǒng)、裝置、系 統(tǒng)、設(shè)備、傳播介質(zhì)或計算機(jī)存儲器。
貫穿整個說明書,提到的"一個實(shí)施例"、"實(shí)施例"或"特定實(shí)施 例"意味著結(jié)合該實(shí)施例所述的特定特征、結(jié)構(gòu)或特性被包括在本發(fā)明的 至少一個實(shí)施例中并且不一定包括在所有實(shí)施例中。因此,在說明書中各 個位置上分別出現(xiàn)的短語"在一個實(shí)施例中"、"在實(shí)施例中"或"在特 定實(shí)施例中"不一定指的是同一實(shí)施例。此外,本發(fā)明的任意特定實(shí)施例 的特定特征、結(jié)構(gòu)或特性可以按任意合適的方式被與一個或多個其他實(shí)施 例組合在一起。將會理解,對這里描述和示出的本發(fā)明的實(shí)施例的其他變 化和修改根據(jù)這里的教導(dǎo)是可能的,并且將被認(rèn)為是本發(fā)明的精神和范圍
的一部分。
本發(fā)明的實(shí)施例可以通過使用經(jīng)編程的通用數(shù)字計算機(jī)、專用集成電 路、可編程邏輯器件、現(xiàn)場可編程門陣列來實(shí)現(xiàn),可以使用光的、化學(xué)
的、生物的、量子的或納米工程(nanoengineered)系統(tǒng)、組件和機(jī)構(gòu)。 一般而言,本發(fā)明的功能可以利用本領(lǐng)域已知的任何裝置來實(shí)現(xiàn)。分布式 的或聯(lián)網(wǎng)的系統(tǒng)、組件和電路可被使用。數(shù)據(jù)的通信或傳輸可以是有線 的、無線的或利用任何其他裝置。
還將意識到,附圖中示出的一個或多個元件也可以用更加分離或集成 的方式來實(shí)現(xiàn),或者在某些情況下甚至被去除或使之不工作以用于特定應(yīng) 用。實(shí)現(xiàn)可被存儲在機(jī)器可讀介質(zhì)中以允許計算機(jī)執(zhí)行任意上述方法的程 序或代碼也包括在本發(fā)明的精神和范圍中。
另外,附圖中的任意信號箭頭應(yīng)被視為示例性的而非限制性的,除非 另外特別注明。此外,除非另外指明,否則這里使用的術(shù)語"或" 一般希 望指的是"和/或"。組件或步驟的組合也將被視為顯著的,其中術(shù)語被 預(yù)見為能夠?qū)Σ磺宄庍M(jìn)行分離或組合。
在這里的描述和所附權(quán)利要求中使用的"一個"和"這個"包括復(fù)數(shù) 情況,除非上下文另外明確指示。而且,這里的描述和所附權(quán)利要求中使 用的"在...中"的意思包括"在...中"和"在...上",除非上下文另外明 確指示。
前面對本發(fā)明所示實(shí)施例的描述(包括摘要的描述)不希望被視為窮 盡的或?qū)⒈景l(fā)明限制在這里公開的精確形式。雖然這里描述的本發(fā)明的特 定實(shí)施例和示例出于舉例說明的目的,但是本領(lǐng)域技術(shù)人員將會意識到, 在本發(fā)明的精神和范圍內(nèi)可以進(jìn)行各種等同修改。如上所述,根據(jù)前面對 本發(fā)明所示實(shí)施例的描述,可以對本發(fā)明進(jìn)行各種修改,并且這些修改將 被包括在本發(fā)明的精神和范圍內(nèi)。
因此,雖然已經(jīng)參考本發(fā)明的特定實(shí)施例描述了本發(fā)明,但是在前述 公開中將想到各種修改、變化和替換,并且將意識到,在某些情況下,無 需相應(yīng)地使用其它特征,本發(fā)明的實(shí)施例的某些特征就將被采用,并且不 會脫離本發(fā)明的精神和范圍。因此,可以執(zhí)行很多修改,以使得特定情況
或材料適應(yīng)于本發(fā)明的本質(zhì)范圍和精神。希望本發(fā)明不局限于所附權(quán)利要 求書中的使用的特定術(shù)語和/或作為為了實(shí)現(xiàn)本發(fā)明而設(shè)想的最佳實(shí)施方 式而公開的特定實(shí)施例,而是希望本發(fā)明包括落在所附權(quán)利要求書的范圍 中的所有修改和等同物。
權(quán)利要求
1.一種在具有多個流量源的網(wǎng)絡(luò)環(huán)境中用于監(jiān)視所述多個流量源中的至少一部分上的流量的系統(tǒng),包括用于拷貝來自所述多個流量源中的每個流量源的流量的裝置;多個入侵檢測系統(tǒng),其中所述多個流量源中的每個流量源與至少一個所述入侵檢測系統(tǒng)相關(guān)聯(lián);以及用于將來自所述多個流量源中的每個流量源的經(jīng)拷貝的流量重定向到所述多個入侵檢測系統(tǒng)中的所述相關(guān)聯(lián)的一個入侵檢測系統(tǒng)的裝置。
2. 如權(quán)利要求1所述的系統(tǒng),還包括用于過濾所述經(jīng)拷貝的流量的裝置。
3. 如權(quán)利要求2所述的系統(tǒng),其中所述用于過濾的裝置包括訪問控制列表,該訪問控制列表將所選流量轉(zhuǎn)發(fā)到所述相關(guān)聯(lián)的入侵檢測系統(tǒng)。
4. 如權(quán)利要求3所述的系統(tǒng),其中所述過濾包括區(qū)分流量類型的訪問 控制列表。
5. 如權(quán)利要求4所述的系統(tǒng),其中所述重定向裝置包括用于基于流量 類型將流量發(fā)送到所述多個入侵檢測系統(tǒng)之一的裝置。
6. 如權(quán)利要求1所述的系統(tǒng),其中所述流量源包括大于兩個的多個 VLAN和協(xié)議,并且所述多個入侵檢測系統(tǒng)包括用于所述多個VLAN和協(xié) 議中的每一個的至少一個入侵檢測系統(tǒng)。
7. 如權(quán)利要求1所述的系統(tǒng),還包括用于將至少一個入侵檢測系統(tǒng)與 每個流量源相關(guān)聯(lián)并且用于基于流量類型將所述經(jīng)拷貝的流量重定向到所 述入侵檢測系統(tǒng)之一的裝置。
8. 如權(quán)利要求7所述的系統(tǒng),其中所述入侵檢測系統(tǒng)還包括用于向所 選類型的流量應(yīng)用各種檢測技術(shù)的裝置。
9. 如權(quán)利要求8所述的系統(tǒng),其中與流量源相關(guān)聯(lián)的所述多個入侵檢 測系統(tǒng)包括用于監(jiān)視至少兩種類型流量的多個入侵檢測傳感器。
10. 如權(quán)利要求9所述的系統(tǒng),其中所述多個入侵檢測傳感器中的每 一個適合于監(jiān)視具有以下流量類型之一的流量RPC、 HTTP、 DNS、 MAC或SMTP 。
11. 如權(quán)利要求IO所述的系統(tǒng),其中與所述多個流量源中的每個流量 源相關(guān)聯(lián)的所述入侵檢測傳感器包括單個虛擬的IDS傳感器。
12. —種在具有至少三個子網(wǎng)的網(wǎng)絡(luò)中用于有選擇地監(jiān)視每個所述子 網(wǎng)上的流量的系統(tǒng),包括多個入侵檢測系統(tǒng); 適合于識別要被拷貝的流量的交換機(jī); 適合于接收所述經(jīng)拷貝的流量的VLAN;以及與所述VLAN相關(guān)聯(lián)的交換機(jī),其適合于對流量源和流量類型執(zhí)行分 級判決,并且適合于基于所述流量源和流量類型將所述流量有選擇地發(fā)送 到所述入侵檢測系統(tǒng)中的一個所選入侵檢測系統(tǒng)。
13. 如權(quán)利要求12所述的系統(tǒng),還包括用于從所述經(jīng)拷貝的流量中過 濾出安全流量的裝置。
14. 如權(quán)利要求13所述的系統(tǒng),其中所述過濾裝置包括被配置用于對 所述流量執(zhí)行VACL REDIRECT命令的網(wǎng)絡(luò)交換機(jī)。
15. 如權(quán)利要求14所述的系統(tǒng),其中所述過濾裝置包括訪問控制列 表,該訪問控制列表將所選流量重定向到所述相關(guān)聯(lián)的入侵檢測系統(tǒng)。
16. —種在具有至少三個子網(wǎng)的網(wǎng)絡(luò)中用于有選擇地監(jiān)視每個所述子 網(wǎng)上的流量的方法,包括配置用于拷貝來自每個所述子網(wǎng)的流量的第一交換機(jī);將所述經(jīng)拷貝的流量的拷貝發(fā)送到虛擬局域網(wǎng);確定所述流量的源和目的地;確定流量類型(第4層協(xié)議和第4層端口);基于所述確定步驟,過濾所述流量以去除安全流量;以及將經(jīng)過濾的流量重定向到入侵檢測系統(tǒng)。
17. 如權(quán)利要求16所述的方法,其中所述重定向步驟還包括將每個流量源與至少一個入侵檢測系統(tǒng)相關(guān)聯(lián)的步驟。
18. 如權(quán)利要求17所述的方法,其中所述重定向歩驟還包括針對對于所選流量源監(jiān)視的每種類型的流量關(guān)聯(lián)至少一個入侵檢測系統(tǒng)的步驟。
19. 如權(quán)利要求16所述的方法,其中所述配置步驟包括針對要被監(jiān)視的每個流量源利用VACL命令配置交換機(jī)。
20. 如權(quán)利要求16所述的方法,其中所述確定步驟和所述過濾步驟包 括利用VACL REDIRECT命令配置第二交換機(jī)。
全文摘要
本發(fā)明提供了一種入侵檢測系統(tǒng)(1)(IDS),其能夠識別流量源,過濾流量(28)以將其分類為安全的或可疑的,然后基于流量類型來單獨(dú)地或組合地應(yīng)用復(fù)雜的檢測技術(shù),例如狀態(tài)模式識別、協(xié)議解析、啟發(fā)式檢測和異常性檢測。在網(wǎng)絡(luò)環(huán)境中,每個流量源(12)具有至少一個IDS傳感器(22-24),該IDS傳感器專用于監(jiān)視特定類型的流量,例如RPC、HTTP、SMTP、DNS等等。來自每個流量源(12)的流量被過濾以去除已知的安全流量,從而通過使每個IDS傳感器(22-24)集中針對一種特定流量類型來提高效率和增大精確性。
文檔編號G06F15/173GK101116068SQ200580031064
公開日2008年1月30日 申請日期2005年10月11日 優(yōu)先權(quán)日2004年10月28日
發(fā)明者毛里西奧·波爾托拉尼, 毛里西奧·阿雷格賽斯, 蒂莫西·W·史蒂文森 申請人:思科技術(shù)公司
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會獲得點(diǎn)贊!
1