亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

網(wǎng)絡(luò)攻擊檢測(cè)的制作方法

文檔序號(hào):6566835閱讀:248來源:國(guó)知局
專利名稱:網(wǎng)絡(luò)攻擊檢測(cè)的制作方法
技術(shù)領(lǐng)域
本發(fā)明涉及檢測(cè)網(wǎng)絡(luò)攻擊的領(lǐng)域,并且特別涉及檢測(cè)在攻擊始發(fā)用戶 系統(tǒng)本地的數(shù)據(jù)通信網(wǎng)絡(luò)上的攻擊。
背景技術(shù)
因特網(wǎng)是由多個(gè)互連的數(shù)據(jù)網(wǎng)絡(luò)所形成的廣域數(shù)據(jù)通信網(wǎng)絡(luò)。在操作 中,因特網(wǎng)促進(jìn)了一系列位于遠(yuǎn)程的數(shù)據(jù)處理系統(tǒng)之間的數(shù)據(jù)通信。通常,為客戶機(jī)。類似地,對(duì)網(wǎng)站以及用于由終端用戶通過因特網(wǎng)訪問的服務(wù)進(jìn)行托管(hosting)的數(shù)據(jù)處理系統(tǒng)被稱為服務(wù)器數(shù)據(jù)處理系統(tǒng)或簡(jiǎn)稱為服 務(wù)器。存在一種通過終端用戶數(shù)據(jù)處理系統(tǒng)與托管數(shù)據(jù)處理系統(tǒng)之間的因 特網(wǎng)而完成的客戶機(jī)-服務(wù)器關(guān)系。因特網(wǎng)已經(jīng)成為用于促進(jìn)消費(fèi)者、零售商以;sj良務(wù)提供商之間的電子實(shí)現(xiàn)的商業(yè)交互的重要通信網(wǎng)絡(luò)。通常通過因特網(wǎng)服務(wù)提供商(ISP)向這 樣的實(shí)體提供對(duì)因特網(wǎng)的訪問。每個(gè)ISP通常運(yùn)營(yíng)客戶機(jī)預(yù)定的開放式網(wǎng) 絡(luò)。每個(gè)客戶機(jī)均具備網(wǎng)絡(luò)上唯一的因特網(wǎng)協(xié)議(IP)地址。類似地,網(wǎng) 絡(luò)上的每個(gè)服務(wù)器均具備唯一的IP地址。由ISP運(yùn)營(yíng)的網(wǎng)絡(luò)通過通常,皮稱 為路由器的專用數(shù)據(jù)處理系統(tǒng)而連接至因特網(wǎng)。在操作中,路由器將來自 因特網(wǎng)的入站(inbound)通信業(yè)務(wù)量導(dǎo)向網(wǎng)絡(luò)上指定的IP地址。類似地, 路由器將來自網(wǎng)絡(luò)的出站(outbound)通信業(yè)務(wù)量導(dǎo)向因特網(wǎng)上指定IP 地址的方向上。很多人和商務(wù)所面臨的問題是對(duì)他們使用的網(wǎng)絡(luò)的電子攻擊日益增長(zhǎng) 的頻率。這樣的攻擊包括計(jì)算機(jī)病毒攻擊以及所謂的"蠕蟲"攻擊。這類 攻擊在網(wǎng)絡(luò)中引起顯著的性能降低。連接至網(wǎng)絡(luò)的受感染系統(tǒng)通常試圖在 該網(wǎng)絡(luò)內(nèi)傳播感染。很多用戶并沒有意識(shí)到其系統(tǒng)受到感染。已知的入侵檢測(cè)傳感器欺騙(spoof)與潛在攻擊者的服務(wù)交互。傳感器通過欺騙在另外未使用的IP地址處存在機(jī)器和服務(wù)而發(fā)揮作用。由于沒 有另外4吏用這些地址,因此指定到這些地址的所有通信量都是先驗(yàn)可疑的(a priori suspicious )。傳感器欺騙服務(wù)以確定通信量背后的意圖。傳感 器本身提供這樣的虛擬化基礎(chǔ)設(shè)施,即該虛擬化基礎(chǔ)設(shè)施允許寫入單獨(dú)的 傳感器,就好《象這些傳感器正運(yùn)行在單個(gè)主機(jī)上一樣。WO 2004/107706公開了一種用于檢測(cè)數(shù)據(jù)通信網(wǎng)絡(luò)上的攻擊的入侵 檢測(cè)傳感器(IDS) 。 IDS標(biāo)識(shí)起始于任何分派的地址并且尋址于任何未分 派的地址的、該網(wǎng)絡(luò)上的數(shù)據(jù)業(yè)務(wù)量,針對(duì)表示攻擊的數(shù)據(jù)而檢查如此標(biāo) 識(shí)的數(shù)據(jù)業(yè)務(wù)量,并且如果需要的話,生成報(bào)警信號(hào)。該上下文中使用術(shù)語(yǔ)"未分派的"作為對(duì)沒有被分派給除了用于檢測(cè) 入侵或生成攻擊簽名的裝置之外的物理設(shè)備的地址的涵蓋。為了執(zhí)行WO 2004/107706中所公開的方法而設(shè)計(jì)的裝置是這樣的設(shè)備,即那些"未分派 的"地址實(shí)際被分派給了該設(shè)備以便利用該方法。那些地址在一定范圍內(nèi) 未分派,是因?yàn)闆]有將它們分派給除了簽名生成或入侵檢測(cè)之外還具有另 外的功能性的任何設(shè)備。在上述IDS中, 一塊未分派的地址被指定給IDS,從而使得IDS可以 欺騙對(duì)于到這些未分派地址的任何數(shù)據(jù)業(yè)務(wù)量的響應(yīng)。此外,IDS可能在 地理上遠(yuǎn)離數(shù)據(jù)業(yè)務(wù)量的始發(fā)用戶系統(tǒng)而使其難于針對(duì)始發(fā)用戶系統(tǒng)采取 措施。發(fā)明內(nèi)容本發(fā)明的目的是提供一種用于檢測(cè)對(duì)未使用或不可訪問的地址的攻擊 的系統(tǒng)。進(jìn)一步的目的是提供本地問題的本地凈艮告。另外,可以對(duì)攻擊實(shí) 體透明實(shí)現(xiàn)所述檢測(cè)。根據(jù)本發(fā)明的第一方面,提供了 一種用于檢測(cè)數(shù)據(jù)通信網(wǎng)絡(luò)上的攻擊 的方法,該方法包括監(jiān)控尋址于始發(fā)用戶系統(tǒng)的返回消息;標(biāo)識(shí)指定種
類(specified nature)的返回消息;以及將來自所述始發(fā)用戶系統(tǒng)的后續(xù) 消息臨時(shí)路由至入侵檢測(cè)傳感器。將術(shù)語(yǔ)"指定種類"理解為具有特定特 性或?qū)儆陬A(yù)定類型的消息。也被稱為消息檢驗(yàn)器的監(jiān)控裝置充當(dāng)檢查所述 返回消息是否具有所述特定特性的濾波器。如果識(shí)別出所述返回消息具有 所述消息檢驗(yàn)器正在尋找的特性,則所述返回消息受到重新路由。所述消 息檢驗(yàn)器因此可以被看作返回消息類型操作的開關(guān)。與此同時(shí)所述消息檢 驗(yàn)器可以檢查不同的特定特性,并且如果發(fā)現(xiàn)存在那些特性中的一個(gè)或多 個(gè),則進(jìn)行所述重新路由。優(yōu)選地,所述入侵檢測(cè)傳感器在所述始發(fā)用戶系統(tǒng)的本地,即,所述 入侵檢測(cè)傳感器連接至與所述始發(fā)系統(tǒng)相同的網(wǎng)絡(luò)。術(shù)語(yǔ)"網(wǎng)絡(luò)"在文中 被理解為網(wǎng)絡(luò)單元的集合,所述網(wǎng)絡(luò)的邊界由邊界路由器或邊緣路由器表 示。這些路由器處理通往其它網(wǎng)絡(luò)的連通性。網(wǎng)絡(luò)可以是子網(wǎng)絡(luò)或更大的 網(wǎng)絡(luò)。所^U曼檢測(cè)傳感器可以欺騙與所述始發(fā)用戶系統(tǒng)的交換。以這樣 的方式,在發(fā)送至不可訪問的地址的消息的始發(fā)用戶系統(tǒng)本地的入4曼檢測(cè)傳感器可以確定所述始發(fā)用戶系統(tǒng)的意圖的種類。換句話說,本發(fā)明允許 檢測(cè)和報(bào)告較為靠近攻擊實(shí)體的攻擊。所述返回消息可以與由所述始發(fā)用戶系統(tǒng)發(fā)送至目的地址的消息有 關(guān),并且所述臨時(shí)路由的步驟可以將從所述始發(fā)用戶系統(tǒng)導(dǎo)向所述目的地 址的所有后續(xù)消息重新路由至所述入侵檢測(cè)傳感器。所述返回消息的指定種類可以指示目的地址是不可訪問的。例如,所 述返回消息的指定種類可以是指示失敗連接的因特網(wǎng)控制消息協(xié)議消息??梢栽陬A(yù)定的時(shí)間周期應(yīng)用所述臨時(shí)路由,此后重新開始正常的路由。 所述方法還可以包括如果已被標(biāo)識(shí)為尋址于始發(fā)用戶系統(tǒng)的指定種類的 返回消息的數(shù)目超過了預(yù)定閾值,則觸發(fā)所述臨時(shí)路由。然后該閾值將可 用于區(qū)分無害通信量與諸如垃圾郵件的有害通信量。根據(jù)本發(fā)明的第二方面,提供了 一種用于檢測(cè)數(shù)據(jù)通信網(wǎng)絡(luò)上的攻擊 的裝置,所述裝置包括路由器,所述路由器包括用于監(jiān)控尋址于在所述 路由器本地的始發(fā)用戶系統(tǒng)的返回消息的機(jī)制;以;5Uvf曼檢測(cè)傳感器;其中所述機(jī)制包括用于標(biāo)識(shí)指定種類的返回消息的消息跟蹤器;以及用于 將來自所述始發(fā)用戶系統(tǒng)的后續(xù)消息臨時(shí)路由至所i^侵檢測(cè)傳感器的裝 置。優(yōu)選地,所述入侵檢測(cè)傳感器在所述路由器的本地。所述入侵檢測(cè)傳 感器可以包括用于欺騙與所述始發(fā)用戶系統(tǒng)的交換的裝置。所述入侵檢測(cè) 傳感器可以包括虛擬化基礎(chǔ)設(shè)施,所述虛擬化l^fe設(shè)施具有各自欺騙服務(wù) 的多個(gè)虛擬傳感器。根據(jù)本發(fā)明的第三方面,提供了一種路由器,其包括用于監(jiān)控尋址 于在所述路由器本地的始發(fā)用戶系統(tǒng)的返回消息的機(jī)制;用于標(biāo)識(shí)指定種 類的返回消息的裝置;以及用于將來自所述始發(fā)用戶系統(tǒng)的后續(xù)消息臨時(shí) 路由至入侵檢測(cè)傳感器的裝置。根據(jù)本發(fā)明的第四方面,提供了一種數(shù)據(jù)通信系統(tǒng),其包括網(wǎng)絡(luò)中 的多個(gè)數(shù)據(jù)處理系統(tǒng);在所述數(shù)據(jù)處理系統(tǒng)本地的路由器,用于將消息路 由至所述數(shù)據(jù)處理系統(tǒng)或者路由來自所述數(shù)據(jù)處理系統(tǒng)的消息;所述路由 器包括一種機(jī)制,所述機(jī)制用于監(jiān)控尋址于作為在所述路由器本地的數(shù)據(jù) 處理系統(tǒng)之一的始發(fā)用戶系統(tǒng)的返回消息;以;5U^侵檢測(cè)傳感器;其中所 述機(jī)制包括用于標(biāo)識(shí)指定種類的返回消息的裝置;以及用于將來自所述 始發(fā)用戶系統(tǒng)的后續(xù)消息臨時(shí)路由至所^侵檢測(cè)傳感器的裝置。根據(jù)本發(fā)明的第五方面,提供了一種計(jì)算機(jī)程序元件,其包括計(jì)算機(jī) 程序代碼裝置,當(dāng)加栽到數(shù)據(jù)處理系統(tǒng)的處理器中時(shí),所述計(jì)算機(jī)程序代 碼裝置配置所述處理器以實(shí)現(xiàn)包括以下步驟的方法監(jiān)控尋址于始發(fā)用戶 系統(tǒng)的返回消息;標(biāo)識(shí)指定種類的返回消息;以及將來自所述始發(fā)用戶系 統(tǒng)的后續(xù)消息臨時(shí)路由至入侵檢測(cè)傳感器。當(dāng)來自始發(fā)用戶系統(tǒng)的過程嘗試聯(lián)系未使用或不可訪問的地址(例如, 防火墻后面的地址)時(shí),ICMP (因特網(wǎng)控制消息協(xié)議)消息被返回給在 所述始發(fā)用戶系統(tǒng)本地的路由器,告知所述始發(fā)用戶系統(tǒng)目的地不可到達(dá) 以及關(guān)于原因的一些細(xì)節(jié)。該消息:故所述始發(fā)用戶系統(tǒng)本地的路由器截獲, 并且來自所述始發(fā)用戶系統(tǒng)的所有通信量都通過IDS ^皮臨時(shí)路由。


現(xiàn)在將參照附圖,僅通過例子來描述本發(fā)明的實(shí)施例,其中圖1是現(xiàn)有技術(shù)中已知的數(shù)據(jù)處理系統(tǒng)的框圖;圖2是示出了已知的入侵檢測(cè)傳感器的實(shí)施例的數(shù)據(jù)處理網(wǎng)絡(luò)的框圖;圖3是已知的入侵檢測(cè)傳感器的框圖; 圖4是依照本發(fā)明的數(shù)據(jù)處理網(wǎng)絡(luò)的框圖;圖5是示出了依照本發(fā)明重新路由消息的圖4的數(shù)據(jù)處理網(wǎng)絡(luò)的細(xì)節(jié);以及圖6是依照本發(fā)明的方法或重新路由的流程圖。
具體實(shí)施方式
首先參照?qǐng)D1,數(shù)據(jù)處理系統(tǒng)包括中央處理器(CPU) 10、輸/v/輸出 (1/0)子系統(tǒng)20,以及存儲(chǔ)子系統(tǒng)40,其全部通過總線子系統(tǒng)30互連。 存儲(chǔ)子系統(tǒng)40可以包括隨機(jī)訪問存儲(chǔ)器(RAM)、只讀存儲(chǔ)器(ROM), 以及一個(gè)或多個(gè)數(shù)據(jù)存儲(chǔ)設(shè)備,例如硬盤驅(qū)動(dòng)器、光盤驅(qū)動(dòng)器等。I/O子 系統(tǒng)20可以包括顯示器;打印機(jī);鍵盤;諸如鼠標(biāo)、跟蹤球等的指點(diǎn)設(shè) 備;以及準(zhǔn)許通過數(shù)據(jù)通信網(wǎng)絡(luò)在數(shù)據(jù)處理系統(tǒng)與一個(gè)或多個(gè)類似系統(tǒng)和/ 或外圍設(shè)備之間通信的一個(gè)或多個(gè)網(wǎng)絡(luò)連接。由這樣的網(wǎng)絡(luò)互連的這樣的 系統(tǒng)和設(shè)備的組合本身可以形成分布式數(shù)據(jù)處理系統(tǒng)。這樣的分布式系統(tǒng) 可以通過附加的數(shù)據(jù)通信網(wǎng)絡(luò)自我互連。在存儲(chǔ)子系統(tǒng)40中存儲(chǔ)了數(shù)據(jù)60以及可由CPU 10執(zhí)行的計(jì)算^l^呈 序代碼50。程序代碼50包括操作系統(tǒng)軟件90以;5L應(yīng)用軟件80。當(dāng)由CPU 10執(zhí)行時(shí),操作系統(tǒng)軟件90提供可以在其上執(zhí)行應(yīng)用軟件80的平臺(tái)?,F(xiàn)在參照?qǐng)D2,其利用入侵檢測(cè)傳感器(IDS)的實(shí)施例示出了對(duì)因特 網(wǎng)體系結(jié)構(gòu)的示例摘取。在示例體系結(jié)構(gòu)中示出了兩個(gè)數(shù)據(jù)通信網(wǎng)絡(luò)100 、 200。應(yīng)當(dāng)理解這是示例體系結(jié)構(gòu)并且可以提供很多不同形式的數(shù)據(jù)通信網(wǎng)絡(luò)。圖2示出了第一數(shù)據(jù)通信網(wǎng)絡(luò)100,其具有用于分派給第一網(wǎng)絡(luò)100 中的數(shù)據(jù)處理系統(tǒng)120的多個(gè)地址110,以及第二數(shù)據(jù)通信網(wǎng)絡(luò)200,其具 有用于分派給笫二網(wǎng)絡(luò)200中的數(shù)據(jù)處理系統(tǒng)220的多個(gè)地址210。網(wǎng)絡(luò) 100、 200可以作為具有多個(gè)可分派的因特網(wǎng)協(xié)議(IP)地址110、 210的 因特網(wǎng)服務(wù)設(shè)備。網(wǎng)絡(luò)IOO、 200各自通過路由器130、 230連接至因特網(wǎng) 150。通過對(duì)以數(shù)據(jù)分組的形式在因特網(wǎng)150與網(wǎng)絡(luò)100、 200之間路由通信 業(yè)務(wù)量的任務(wù)進(jìn)4亍適當(dāng)?shù)木幊蹋梢砸匀缥闹兄皡⒄請(qǐng)D1專門描述的數(shù) 據(jù)處理系統(tǒng)的形式實(shí)現(xiàn)路由器130、 230,其中路由器130、 230基于在數(shù) 據(jù)分組中指定的IP地址數(shù)據(jù)連接至網(wǎng)絡(luò)100、 200。在第一數(shù)據(jù)通信網(wǎng)絡(luò)IOO中,存在分派給屬于因特網(wǎng)服務(wù)的用戶的系 統(tǒng)120的IP地址110。每個(gè)系統(tǒng)120可以是如文中之前參照?qǐng)D1所描述的 數(shù)據(jù)處理系統(tǒng)。網(wǎng)絡(luò)100上的第二組IP地址140是空閑的。更具體而言, 第二組IP地址140沒有被分派給用戶系統(tǒng)。入侵檢測(cè)傳感器(IDS) 160 連接至網(wǎng)絡(luò)100。 IDS 160還連接至路由器130。諸如蠕蟲或其它攻擊的過程240可以源自第二數(shù)據(jù)通信網(wǎng)絡(luò)200上的 用戶系統(tǒng)220。過程240可以尋址于其它網(wǎng)絡(luò)100上寬范圍選擇的地址。 如果過程240尋址于未分派的地址,例如未被分派給用戶系統(tǒng)的、第一網(wǎng) 絡(luò)100上的第二組IP地址140之一,則將過程240路由至欺騙對(duì)過程240 的回復(fù)并JJL出警報(bào)的IDS 160。圖3中較為詳細(xì)的示出了 IDS 160的示例內(nèi)部體系結(jié)構(gòu)。其它形式的 IDS是已知的并且可以在本發(fā)明中使用。IDS 160通過欺騙在另外未4吏用的 IP地址處存在機(jī)器和服務(wù)而進(jìn)行操作。因?yàn)镮P地址未被另外使用,所以 指定到這些地址的所有通信量都是先驗(yàn)可疑的。IDS 160欺騙服務(wù),而不 是^^僅i己錄所嘗試的連接,以便確定通信量背后的意圖。IDS 160建立于不提供超出受限登錄之外的真實(shí)服務(wù)的高安全性 (security-hardened )機(jī)器之上。IDS 160提供這樣的虛擬化^ftij設(shè)施310,
即該虛擬化M設(shè)施310允許操作單獨(dú)的傳感器311-315,就好像它們正在 單個(gè)主機(jī)上運(yùn)行一樣。基于允許對(duì)由虛擬傳感器311-315的數(shù)目而產(chǎn)生的 大量數(shù)據(jù)進(jìn)行相關(guān)和分析的關(guān)系數(shù)據(jù)庫(kù)330,其還提供了登錄基礎(chǔ)設(shè)施 320。由虛擬傳感器311-315提供的服務(wù)可以包括超文本傳輸協(xié)議(HTTP )、 微軟的分布式構(gòu)件對(duì)象才莫型(Microsoft's Distributed Component Object Model)、結(jié)構(gòu)4匕查詢i吾言(Structured Query Language )以及Windows 文件共享和打印(SMB)。參照?qǐng)D4,在本發(fā)明的示例實(shí)施例中,提供了具有用戶系統(tǒng)420的第 一數(shù)據(jù)通信網(wǎng)絡(luò)400,該用戶系統(tǒng)420具有IP地址410,由此地址始發(fā)諸 如惡意蠕蟲過程的過程440。過程440可以尋址于其它網(wǎng)絡(luò)(例如圖4中 所示出的第二網(wǎng)絡(luò)500)上的用戶系統(tǒng)520的一系列IP地址510。過程440可以尋址于未^f吏用或不可訪問(例如,在防火墻后面)的IP 地址540。如果是這種情況,則從在不可訪問的地址本地的路由器530返 回ICMP (因特網(wǎng)控制消息協(xié)議)消息,在該例中是第二網(wǎng)絡(luò)500的路由 器530。 ICMP消息尋址于過程440的始發(fā)用戶系統(tǒng)420,指示目的地不可 到達(dá)以及關(guān)于原因的一些細(xì)節(jié)。提供了一種機(jī)制以便在始發(fā)用戶系統(tǒng)420本地的路由器430處捕獲 ICMP消息。ICMP消息告知在始發(fā)用戶系統(tǒng)420本地的路由器430:從始 發(fā)用戶系統(tǒng)420到目的地的所有業(yè)務(wù)量都應(yīng)當(dāng)#1給予本地入侵檢測(cè)傳感器 (IDS) 160或者通過本地入侵檢測(cè)傳感器(IDS ) 160而被路由。本地IDS 160然后可以與始發(fā)用戶系統(tǒng)420交互以確定導(dǎo)致嘗試連接的根源。每個(gè)網(wǎng)絡(luò)400、 500均具有其路由器430、 530,該路由器管理因特網(wǎng) 150上的業(yè)務(wù)量。路由器打開數(shù)據(jù)的IP分組以讀取目的地址,計(jì)算最佳路 由,并且然后向其最終目的地發(fā)送分組。如果目的地與發(fā)送計(jì)算機(jī)在相同 的網(wǎng)絡(luò)上,則路由器直接向目的計(jì)算機(jī)發(fā)送分組。如果分組要前往本地網(wǎng) 絡(luò)外部的目的地,則路由器改為向更靠近目的地的另一路由器發(fā)送分組。 該路由器接著向更靠近的路由器發(fā)送分組,直到該分組到達(dá)其最終目的地。路由器430、 530具有兩個(gè)或更多的物理端口輸入端口和輸出端口。
當(dāng)輸入端口接收到分組時(shí),運(yùn)行被稱為路由過程的軟件例程。該過程向內(nèi) 察看IP分組中的報(bào)頭信息,并且找到正向其發(fā)送數(shù)據(jù)的地址。然后其將該 地址與內(nèi)部數(shù)據(jù)庫(kù)進(jìn)行比較,該內(nèi)部數(shù)據(jù)庫(kù)被稱為路由表,其具有關(guān)于應(yīng) 當(dāng)將具有各種ip地址的分組發(fā)送到的端口的詳細(xì)信息。基于其在路由器表中找到的內(nèi)容,路由器將分組發(fā)送至特定的輸出端口,該輸出端口將數(shù)據(jù) 發(fā)送至下一路由器或其目的地。因特網(wǎng)的操作是由路由器監(jiān)控的,并且當(dāng)不能夠完成連接時(shí),由ICMP (因特網(wǎng)控制消息協(xié)議)報(bào)告該事件。定義了各種不同類型的ICMP消息 并且每種消息類型均被封裝在IP分組中。例如,當(dāng)子網(wǎng)絡(luò)或路由器不能夠 定位主機(jī)目的地時(shí),使用"目的地不可到達(dá)"消息,并且當(dāng)不能夠定位目 的地的網(wǎng)絡(luò)時(shí),使用"網(wǎng)絡(luò)不可到達(dá)"消息。參照?qǐng)D5,在本發(fā)明的示例實(shí)施例中,路由器430中的重選路由機(jī)制 460 (也^皮稱為重選路由器(rerouter))標(biāo)識(shí)正返回給在路由器430本地 的IP地址410的消息的種類。具有始發(fā)IP地址410的始發(fā)用戶系統(tǒng)420 向目的地址發(fā)送消息501。如果返回消息511被機(jī)制460標(biāo)識(shí)為指示不可 到達(dá)的目的地的ICMP消息,則機(jī)制460建立臨時(shí)路由541以便將尋址于 該不可到達(dá)的目的地的業(yè)務(wù)量從始發(fā)IP地址410導(dǎo)向在路由器430本地的 IDS 160。這里機(jī)制460可以包括能夠分析所截獲的返回消息511的種類并 且標(biāo)識(shí)屬于指定種類的那些消息的消息檢驗(yàn)器。該標(biāo)識(shí)就像不影響不屬于 指定種類的返回消息的濾波器一樣工作。其它消息511由重選路由器重新 路由至IDS 160。重選路由器不需要單獨(dú)的硬件設(shè)備。依照策略重新路由 返回消息511可以是路由器430的一種功能性。路由器430可以運(yùn)行一個(gè) 或多個(gè)策略來確定重定向和重新路由的種類。例如,只有在監(jiān)控類型的返 回消息511的數(shù)目超過預(yù)定閾值的情況下,重定向才會(huì)發(fā)生。可以將臨時(shí) 路由541定時(shí)成持續(xù)預(yù)定的時(shí)間周期,例如30秒。響應(yīng)于消息501,由因特網(wǎng)150中的遠(yuǎn)程路由器將ICMP消息511返 回至在始發(fā)用戶系統(tǒng)420本地的路由器430。機(jī)制460截獲該ICMP消息 511。由于返回消息511被標(biāo)識(shí)成屬于指定種類,即這里指示不可到達(dá)的目
的地,因此機(jī)制460將進(jìn)行重新路由,以便從始發(fā)用戶系統(tǒng)420到目的地 的所有業(yè)務(wù)量都被給予本地IDS 160或者都通過本地IDS 160而被路由。 機(jī)制460建立臨時(shí)路由541,以便將從始發(fā)IP地址410發(fā)送至不可訪問的 地址的任何后續(xù)消息重新路由至IDS 160。 IDS 160可以通過假裝是不可訪 問的地址來欺騙與始發(fā)用戶系統(tǒng)420的交換531。 IDS 160然后可以確定始 發(fā)用戶系統(tǒng)420到不可訪問的地址的嘗試聯(lián)系的種類,并且如果該嘗試聯(lián) 系是惡意的,則可以在相同的路由器網(wǎng)絡(luò)內(nèi)本地發(fā)出警報(bào)。
圖6示出了在路由器430處的機(jī)制460的過程600的流程圖。過程600 涉及機(jī)制460,該機(jī)制460監(jiān)控610尋址于始發(fā)用戶系統(tǒng)的返回消息511、 標(biāo)識(shí)620指定種類的返回消息511,以及將來自始發(fā)用戶系統(tǒng)420的后續(xù) 消息臨時(shí)路由630至入4曼檢測(cè)傳感器160。 IDS 160可以是如文中之前所描 述的傳感器,其欺騙對(duì)始發(fā)用戶系統(tǒng)420的回復(fù)。
除了常規(guī)IDS的所有優(yōu)點(diǎn)之外,該機(jī)制更為準(zhǔn)確地傳遞更為本地的警 報(bào),因此降低了對(duì)重分布體系結(jié)構(gòu)的需要。這直接解決了有效檢測(cè)本地網(wǎng) 絡(luò)中受感染的機(jī)器的問題(這對(duì)本地網(wǎng)絡(luò)管理員是有價(jià)值的信息),而不 檢測(cè)遠(yuǎn)程受感染的系統(tǒng)(本地網(wǎng)絡(luò)管理員對(duì)此無能為力)。所以本發(fā)明允 許檢測(cè)更靠近入侵者的入侵,從而允許負(fù)責(zé)包括該入侵者的域的網(wǎng)絡(luò)管理 員通過適當(dāng)?shù)膭?dòng)作對(duì)該入侵作出反應(yīng)。入侵檢測(cè)的位置越靠近入侵者,管 理員就能夠越好地進(jìn)行這樣的動(dòng)作。另一優(yōu)點(diǎn)在于不同網(wǎng)絡(luò)上現(xiàn)有的每個(gè)未使用或不可訪問的地址均會(huì)導(dǎo) 致返回的ICMP消息511。因此,不需要將未使用的地址分派給IDS。該 機(jī)制依賴于返回的ICMP消息511,其指示目的地址是不可訪問的。
本發(fā)明通常作為計(jì)算機(jī)程序產(chǎn)品來實(shí)現(xiàn),其包括用于控制計(jì)算機(jī)或類 似設(shè)備的程序指令集。這些指令可以被提供預(yù)加載到系統(tǒng)中或記錄到諸如 CD-ROM的存儲(chǔ)^h質(zhì)上,或者可提供用于通過諸如因特網(wǎng)或移動(dòng)電話網(wǎng)的 網(wǎng)絡(luò)下載。本發(fā)明還可以通過向接受服務(wù)的實(shí)體(也被稱為客戶系統(tǒng))提供服務(wù) 的服務(wù)實(shí)體來實(shí)現(xiàn)。該服務(wù)可以是以下中的一個(gè)或多個(gè)在接受服務(wù)的實(shí)
體的環(huán)境中或者為接受服務(wù)的實(shí)體的環(huán)境安裝根據(jù)本發(fā)明的設(shè)備或系統(tǒng)、 部署可用于在其上實(shí)現(xiàn)的基礎(chǔ)設(shè)施,特別是部署或集成計(jì)算基礎(chǔ)設(shè)施,包 括將計(jì)算機(jī)可讀代碼集成到計(jì)算系統(tǒng)中,其中結(jié)合計(jì)算系統(tǒng)的代碼能夠?qū)?現(xiàn)根據(jù)本發(fā)明的方法。在本發(fā)明的上下文中,服務(wù)實(shí)體可以針對(duì)來自始發(fā) 用戶系統(tǒng)的入侵來裝備客戶系統(tǒng)。由此,服務(wù)實(shí)體可以在接受服務(wù)的實(shí)體 的網(wǎng)絡(luò)中提供對(duì)受感染機(jī)器的高效檢測(cè)或者檢測(cè)攻擊接受服務(wù)的實(shí)體的網(wǎng)絡(luò)的受感染機(jī)器。裝備方法可以包括以下步驟將入侵檢測(cè)傳感器160連 接至路由器430,為路由器430配備以下能力監(jiān)控610尋址于始發(fā)用戶 系統(tǒng)420的返回消息511、標(biāo)識(shí)620指定種類的返回消息511,以及將來自 相同的始發(fā)用戶系統(tǒng)420的后續(xù)消息臨時(shí)路由630至所ii^侵檢測(cè)傳感器 160。 IDS160可以是由服務(wù)實(shí)體擁有或租用的裝備。特別地,服務(wù)實(shí)體可 以同時(shí)為幾個(gè)接受服務(wù)的實(shí)體使用該IDS 160,從而共享該資源。這具有 的優(yōu)點(diǎn)在于,在IDS 160上進(jìn)行的關(guān)于入侵可檢測(cè)性性能的更新對(duì)所有連 接的接受服務(wù)的實(shí)體具有其影響。另 一優(yōu)點(diǎn)在于可以對(duì)接受服務(wù)的實(shí)體透 明實(shí)現(xiàn)該服務(wù)。在不背離本發(fā)明的范圍的情況下可以對(duì)前述內(nèi)容進(jìn)行改進(jìn)和修改。
權(quán)利要求
1. 一種用于檢測(cè)數(shù)據(jù)通信網(wǎng)絡(luò)上的攻擊的方法,所述方法包括 監(jiān)控(610)尋址于始發(fā)用戶系統(tǒng)(420)的返回消息(511); 標(biāo)識(shí)(620)指定種類的返回消息(511);以及將來自相同的始發(fā)用戶系統(tǒng)(420)的后續(xù)消息臨時(shí)路由(630)至入 4曼檢測(cè)傳感器(160)。
2. 根據(jù)權(quán)利要求1所述的方法,其中所^4曼檢測(cè)傳感器(160)被 選擇安排在所述始發(fā)用戶系統(tǒng)(420)的本地。
3. 根據(jù)權(quán)利要求1或2所述的方法,其進(jìn)一步包括所i^侵檢測(cè)傳 感器(160)欺騙與所述始發(fā)用戶系統(tǒng)(420)的交換。
4. 根據(jù)權(quán)利要求1至3中任何一項(xiàng)所述的方法,其中所述返回消息 (511)與由所述始發(fā)用戶系統(tǒng)(420 )發(fā)送至目的地址的消息(501)有關(guān),并且所述臨時(shí)路由(630)的步驟被應(yīng)用于從所述始發(fā)用戶系統(tǒng)(420)到 所述目的地址的所有后續(xù)消息。
5. 根據(jù)前述權(quán)利要求中任何一項(xiàng)所述的方法,其中選擇所述返回消息 (511)的指定種類以指示目的地址是不可訪問的。
6. 根據(jù)前述權(quán)利要求中任何一項(xiàng)所述的方法,其中選擇所述返回消息 (511)的指定種類以包括指示失敗連接的因特網(wǎng)控制消息協(xié)議消息。
7. 根據(jù)前述權(quán)利要求中任何一項(xiàng)所述的方法,其中在預(yù)定的時(shí)間周期 應(yīng)用所述臨時(shí)路由(630)。
8. 根據(jù)前a利要求中任何一項(xiàng)所述的方法,其進(jìn)一步包括如果已 經(jīng)將指定種類的一數(shù)目的返回消息(511)標(biāo)識(shí)為尋址于始發(fā)用戶系統(tǒng)(420),所述數(shù)目超過了預(yù)定閾值,則觸發(fā)所述臨時(shí)路由(630)。
9. 一種用于檢測(cè)數(shù)據(jù)通信網(wǎng)絡(luò)上的攻擊的裝置,所述裝置包括 路由器(430 ),所述路由器(430 )包括用于監(jiān)控尋址于在所述路由器(430)本地的始發(fā)用戶系統(tǒng)(420)的返回消息(511)的機(jī)制(460);以 及入侵檢測(cè)傳感器(160); 其中所述機(jī)制(460)包括消息檢驗(yàn)器,所述消息檢驗(yàn)器用于標(biāo)識(shí)指定種類的返回消息 (511);以及重選路由器,所述重選路由器用于將來自所述始發(fā)用戶系統(tǒng)(420 ) 的后續(xù)消息臨時(shí)路由至所^侵檢測(cè)傳感器(160 )。
10. 根據(jù)權(quán)利要求9所述的裝置,其中所^侵檢測(cè)傳感器(160) 在所述路由器(430)的本地。
11. 根據(jù)權(quán)利要求9或10所述的裝置,其中所述入侵檢測(cè)傳感器 (160)被設(shè)計(jì)以欺騙與所述始發(fā)用戶系統(tǒng)(420)的交換。
12. 根據(jù)權(quán)利要求11所述的裝置,其中所述入侵檢測(cè)傳感器(160 ) 包括虛擬化^i殳施,所述虛擬化^J設(shè)施具有各自欺騙服務(wù)的多個(gè)虛擬 傳感器(310-315)。
13. 根據(jù)權(quán)利要求9至12中任何一項(xiàng)所述的裝置,其中所述返回消 息(511)與由所述始發(fā)用戶系統(tǒng)(420)發(fā)送至目的地址的消息(500)有 關(guān),并且所述重選路由器在從所述始發(fā)用戶系統(tǒng)(420)到所述目的地址的所有后續(xù)消息上操作。
14. 根據(jù)權(quán)利要求9至13中任何一項(xiàng)所述的裝置,其中所述返回消 息(511)的指定種類指示目的地址是不可訪問的。
15. 根據(jù)權(quán)利要求9至14中任何一項(xiàng)所述的裝置,其中所迷返回消 息(511)的指定種類是指示失敗連接的因特網(wǎng)控制消息協(xié)議消息。
16. 根據(jù)權(quán)利要求9至15中任何一項(xiàng)所述的裝置,其中所述重選路 由器在預(yù)定的時(shí)間周期有效。
17. 根據(jù)權(quán)利要求9至16中任何一項(xiàng)所述的裝置,其中所述重選路 由器包括確定器,所述確定器用于確定已4皮標(biāo)識(shí)尋址于始發(fā)用戶系統(tǒng)(420 ) 的指定種類的返回消息(510)的數(shù)目是否超過了預(yù)定閾值。
18. —種路由器(430),其包括機(jī)制(460),所述機(jī)制(460)用于監(jiān)控尋址于在所述路由器(430) 本地的始發(fā)用戶系統(tǒng)(420)的返回消息(511);消息檢驗(yàn)器,所述消息檢驗(yàn)器用于標(biāo)識(shí)指定種類的返回消息(511);以及重選路由器,所述重選路由器用于將來自所述始發(fā)用戶系統(tǒng)(420 )的 后續(xù)消息臨時(shí)路由至入侵檢測(cè)傳感器(160)。
19. 一種數(shù)據(jù)通信系統(tǒng),其包括 一網(wǎng)絡(luò)中的多個(gè)數(shù)據(jù)處理系統(tǒng);—在所述數(shù)據(jù)處理系統(tǒng)本地的路由器(430),所述路由器(430)用 于將消息路由至所述數(shù)據(jù)處理系統(tǒng)或者路由來自所述數(shù)據(jù)處理系統(tǒng)的消息;所述路由器(430)包括機(jī)制(460),所述機(jī)制(460)用于監(jiān)控尋址 于作為在所述路由器(430 )本地的數(shù)據(jù)處理系統(tǒng)之一的始發(fā)用戶系統(tǒng)(420 ) 的返回消息(511);一入侵檢測(cè)傳感器(160);其中所述機(jī)制(460)包括消息檢驗(yàn)器,所述消息檢驗(yàn)器用于標(biāo)識(shí)指定種類的返回消息(510) ;以及重選路由器,所述重選路由器用于將來自所述始發(fā)用戶系統(tǒng)(420) 的后續(xù)消息臨時(shí)路由至所^侵檢測(cè)傳感器(160)。
20. —種計(jì)算機(jī)程序元件,其包括計(jì)算機(jī)程序代碼裝置,當(dāng)加栽到數(shù) 據(jù)處理系統(tǒng)的處理器中時(shí),所述計(jì)算機(jī)程序代碼裝置配置所述處理器以實(shí) 現(xiàn)包括以下步驟的方法監(jiān)控(610)尋址于始發(fā)用戶系統(tǒng)(420)的返回消息(511); 標(biāo)識(shí)(620)指定種類的返回消息(510);以及 將來自所述始發(fā)用戶系統(tǒng)(420)的后續(xù)消息臨時(shí)路由(630)至入侵 檢測(cè)傳感器(160)。
21. 根據(jù)權(quán)利要求20所述的計(jì)算機(jī)程序元件,其中所述返回消息(511) 與由所述始發(fā)用戶系統(tǒng)(420 )發(fā)送至目的地址的消息(501)有關(guān), 并且對(duì)從所述始發(fā)用戶系統(tǒng)(420 )到所述目的地址的所有后續(xù)消息進(jìn)行所 述臨時(shí)路由的步驟。
22. 根據(jù)權(quán)利要求20或21所述的計(jì)算機(jī)程序元件,其中所述返回消 息(511)的指定種類指示目的地址是不可訪問的。
23. 根據(jù)權(quán)利要求20至22中任何一項(xiàng)所述的計(jì)算機(jī)程序元件,其中 所述返回消息(511)的指定種類是指示失敗連接的因特網(wǎng)控制消息協(xié)議消 息。
24. 根據(jù)權(quán)利要求20至23中任何一項(xiàng)所述的計(jì)算機(jī)程序元件,其中 所述臨時(shí)路由(630)用于預(yù)定的時(shí)間周期。
25. 根據(jù)權(quán)利要求20至24中任何一項(xiàng)所述的計(jì)算機(jī)程序元件,其中 所述方法包括如果已被標(biāo)識(shí)為尋址于始發(fā)用戶系統(tǒng)(420)的指定種類的 返回消息(511)的數(shù)目超過了預(yù)定閾值,則觸發(fā)所述臨時(shí)路由(630)。
26. —種針對(duì)來自始發(fā)用戶系統(tǒng)(420)的入侵而裝備客戶系統(tǒng)的方 法,其包括以下步驟將入侵檢測(cè)傳感器(160)連接至路由器(430), 為所述路由器(430)配備以下能力-監(jiān)控(610)尋址于所述始發(fā)用戶系統(tǒng)(420)的返回消息(511), -標(biāo)識(shí)(620)指定種類的返回消息(511),以及 -將來自相同的始發(fā)用戶系統(tǒng)(420)的后續(xù)消息臨時(shí)路由(630)至 所^侵檢測(cè)傳感器(160)。
全文摘要
提供了一種用于檢測(cè)數(shù)據(jù)通信網(wǎng)絡(luò)上的攻擊的方法和裝置。所述裝置包括路由器,所述路由器具有用于監(jiān)控尋址于在所述路由器本地的始發(fā)用戶系統(tǒng)的返回消息的機(jī)制。所述機(jī)制包括用于標(biāo)識(shí)指定種類的返回消息的消息檢驗(yàn)器,以及用于將來自所述始發(fā)用戶系統(tǒng)的后續(xù)消息臨時(shí)路由至入侵檢測(cè)傳感器的重選路由器。
文檔編號(hào)G06F21/00GK101147153SQ200680009164
公開日2008年3月19日 申請(qǐng)日期2006年2月21日 優(yōu)先權(quán)日2005年3月24日
發(fā)明者D·M·贊波尼, J·F·賴爾登, R·里斯曼, Y·杜邦徹 申請(qǐng)人:國(guó)際商業(yè)機(jī)器公司
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
1