專利名稱:用于探試性防火墻的方法和裝置的制作方法
背景技術(shù):
本發(fā)明總體上涉及到計(jì)算機(jī)網(wǎng)絡(luò)安全的方法和裝置,更具體地涉及到探試性計(jì)算機(jī)防火墻。
常規(guī)的基于規(guī)則的計(jì)算機(jī)安全防火墻以不同的復(fù)雜的規(guī)則集或者″規(guī)則庫(kù)″為基礎(chǔ)。進(jìn)入這種防火墻的數(shù)據(jù)包與一個(gè)或多個(gè)規(guī)則庫(kù)中的信息以及規(guī)則進(jìn)行比較以確定是否應(yīng)該允許數(shù)據(jù)包通過(guò)這種防火墻。規(guī)則庫(kù)的建立以邏輯比較(例如,布爾值)的概念及經(jīng)過(guò)規(guī)則列表的順序規(guī)則流(例如,從上到下)為前提。當(dāng)規(guī)則庫(kù)變得更復(fù)雜時(shí),它們就需要更多的系統(tǒng)和處理器的開(kāi)銷。因此,使用防火墻的機(jī)構(gòu)常常在規(guī)則庫(kù)的復(fù)雜性和感知的需要的數(shù)據(jù)吞吐量之間妥協(xié);以犧牲一些安全來(lái)?yè)Q取性能。
簡(jiǎn)單和復(fù)雜規(guī)則庫(kù)之間的切換常常需要人的干預(yù),甚至最復(fù)雜的規(guī)則庫(kù)也以與最簡(jiǎn)單的規(guī)則庫(kù)相同的邏輯和線性方式來(lái)處理數(shù)據(jù)。而且,由于受到數(shù)據(jù)存儲(chǔ)的約束、邏輯分析的限制、以及與相當(dāng)復(fù)雜的規(guī)則庫(kù)關(guān)聯(lián)的處理器開(kāi)銷的需求,常規(guī)的防火墻都是靜態(tài)對(duì)象,它所提供的安全僅僅限于防火墻管理員的知識(shí)和能力并且這種防火墻既不從流過(guò)它們的數(shù)據(jù)中進(jìn)行學(xué)習(xí),也不能適應(yīng)那些數(shù)據(jù)。因此,常規(guī)的防火墻就不能執(zhí)行這樣的模式匹配和分析的需求,這些需求與減輕由現(xiàn)今和未來(lái)的計(jì)算機(jī)駭客所造成的安全威脅相關(guān)。
因此提供用于探試性防火墻的方法和裝置是有必要的,這些方法和裝置使防火墻能夠從流過(guò)它們的數(shù)據(jù)中學(xué)習(xí)并適應(yīng)這些數(shù)據(jù)以便能更好地減輕這樣的安全威脅。提供用于綜合多種分析的方法和裝置也是有必要的,這樣作就可以提供比常規(guī)的防火墻的功能更高水平的功能。這種方法和裝置更進(jìn)一步地需要具有能夠應(yīng)付計(jì)算機(jī)網(wǎng)絡(luò)安全的多方面的能力。另外,需要的功能包括(1)提供針對(duì)已知計(jì)算機(jī)安全威脅的解決方案;(2)動(dòng)態(tài)地適應(yīng)新的和未來(lái)的計(jì)算機(jī)安全的利用嘗試;以及(3)對(duì)不需要的頻帶外(OOB)及/或隱蔽的通道通信活動(dòng)的分析和響應(yīng)。
這種范例實(shí)施方案克服了以前的用于提供防火墻安全的方法的缺點(diǎn)并且能夠從流過(guò)網(wǎng)絡(luò)的數(shù)據(jù)中進(jìn)行學(xué)習(xí)和適應(yīng)這些數(shù)據(jù)以提供額外的網(wǎng)絡(luò)安全。
應(yīng)當(dāng)理解的是,本發(fā)明的有些實(shí)施方案的實(shí)現(xiàn)使用了運(yùn)行于合適的處理器的軟件或固件,所以在圖示的塊圖的個(gè)別塊并不一定就代表單獨(dú)的硬件部件。發(fā)明詳述在本發(fā)明一種實(shí)施方案中并參照
圖1的結(jié)構(gòu)塊圖,提供探試性防火墻10A,它將常規(guī)的規(guī)則庫(kù)12和14與各種探試性分析算法16、18和20相結(jié)合。探試性分析算法16、18和20提供防火墻中改進(jìn)的模式識(shí)別,該模式識(shí)別已超越了規(guī)則庫(kù)的能力。探試性算法16、18和20范疇內(nèi)的例子包括,但不限于,″模糊邏輯″和″神經(jīng)元網(wǎng)絡(luò)″。規(guī)則庫(kù)12和14可已當(dāng)作是″專家系統(tǒng)″的實(shí)例。通過(guò)將探試性分析算法和專家系統(tǒng)相結(jié)合,本發(fā)明的各實(shí)施方案提供安全的適應(yīng)性以及加強(qiáng)級(jí)別,這是常規(guī)的防火墻不能提供的。
探試性防火墻10A包括多種分析或控制階段,其中包括傳統(tǒng)防火墻規(guī)則庫(kù)、多種探試性分析程序、控制邏輯以及起支撐作用的硬件和軟件(即,計(jì)算機(jī)、操作系統(tǒng)、通信鏈路、數(shù)據(jù)庫(kù)集以及語(yǔ)法分析程序等等)。參照?qǐng)D1所示的實(shí)施方案,例如通過(guò)因特網(wǎng)進(jìn)入防火墻接口的數(shù)據(jù)包22被扇出并導(dǎo)入多種探試性分析算法階段16、18和20,而每個(gè)階段又負(fù)責(zé)總體分析的不同方面。
原始數(shù)據(jù)包22也傳送到第一緩沖區(qū)24,該緩沖區(qū)保持前面的原始數(shù)據(jù)包直到探試性分析階段16做出判定。(在一種實(shí)施方案中沒(méi)有示出,其它的探試性分析及/或控制階段也給這個(gè)判定提供依據(jù)。)根據(jù)探試性分析階段16的判定,在緩沖區(qū)22中的數(shù)據(jù)包就釋放到適當(dāng)?shù)奶幚黼A段。如果數(shù)據(jù)包被視為″高-可信度″或″佳-可信度″(與安全、驗(yàn)證以及有效性等有關(guān)),則它們就從第一緩沖區(qū)24釋放到傳統(tǒng)防火墻規(guī)則庫(kù)12中進(jìn)行處理。如果數(shù)據(jù)包被視為″邊緣-可信度″,則它們就釋放到更加復(fù)雜的防火墻規(guī)則庫(kù)14中進(jìn)行處理。如果數(shù)據(jù)包被視為″低-可信度″,則它們就轉(zhuǎn)送26離開(kāi)防火墻10A。(在一種實(shí)施方案中,那些已轉(zhuǎn)送的數(shù)據(jù)包要接受額外的分析及/或處理以進(jìn)一步確定造成低可信度的原因。例如,可能正在遭到一種未知或未識(shí)別類型威脅的攻擊并進(jìn)一步分析可能顯露有關(guān)攻擊來(lái)源或者改進(jìn)避免攻擊的途徑的細(xì)節(jié)。在有些情況下,可以建立到網(wǎng)絡(luò)仿真器[圖1中未示出]的連接,用以刺激″駭客″繼續(xù)他所認(rèn)為是成功的攻擊,并由此而提供更多的可用來(lái)分析和可以來(lái)確定它們的源的數(shù)據(jù)包。)經(jīng)防火墻規(guī)則庫(kù)12或復(fù)雜規(guī)則庫(kù)14處理過(guò)的可接受的數(shù)據(jù)包會(huì)被接收并送到第二緩沖區(qū)28。(在一種實(shí)施方案中,將不可接受的數(shù)據(jù)包寫(xiě)到異常日志以供管理員以后查閱。在另一種實(shí)施方案中,提供一種選項(xiàng)用以記錄不可接受的數(shù)據(jù)包或者記錄這些數(shù)據(jù)包并轉(zhuǎn)發(fā)用于分析的數(shù)據(jù)。)根據(jù)不同于探試性分析16的一個(gè)或多個(gè)探試性分析的可信度結(jié)果,對(duì)于在第二緩沖區(qū)28中的數(shù)據(jù)包,或者以一種與緩沖區(qū)24中的數(shù)據(jù)包相似的處理方式轉(zhuǎn)送到26,或者將它們傳送到網(wǎng)絡(luò)30,例如,公司的本地或廣域網(wǎng)。在這種實(shí)施方案中,在第二緩沖區(qū)28中的數(shù)據(jù)包處理的控制是由探試性算法階段18和20的分析確定的。提供控制邏輯32以便結(jié)合結(jié)果形成單一判定從而控制第二緩沖區(qū)28。轉(zhuǎn)送單元26例如,是日志文件、分析階段或者像/dev/null這樣的″位元桶″。
在一種實(shí)施方案,探試性處理和分析階段16、18和20會(huì)有變化并覆蓋幾個(gè)不同的處理和分析方法。例如,探試性階段包括下列的一項(xiàng)或多項(xiàng)探試性引擎(s)、適當(dāng)?shù)臉颖居?xùn)練數(shù)據(jù)(輸入/輸出)、探試性算法(s)、數(shù)據(jù)準(zhǔn)備程序(s)、傳遞函數(shù)(s)、過(guò)濾器(s)、正?;绦?s)、共軛及/或反共軛處理、靜態(tài)及/或動(dòng)態(tài)閥值(s)、脈沖響應(yīng)(s)或其它的數(shù)學(xué)或邏輯部件(s)。探試性階段16、18和20例如,配置為函數(shù)或控制或者受控于其它的探試法(例如,控制路徑34)、邏輯(例如,控制邏輯32)、控制或各分析階段等。
圖2是高層塊圖,它圖示了本發(fā)明的探試性防火墻10B的一種實(shí)施方案,該防火墻配置為處理來(lái)自因特網(wǎng)的輸入數(shù)據(jù)22。在使用以前,探試性防火墻10B要接受訓(xùn)練以便執(zhí)行指定的需要的任務(wù)。在這種實(shí)施方案中,例如,第一探試性階段36接受訓(xùn)練以便識(shí)別絕對(duì)高-可信度的通信量、計(jì)算機(jī)病毒、特洛伊簽名、拒絕服務(wù)攻擊簽名以及其它的計(jì)算機(jī)安全利用簽名。在訓(xùn)練之后及使用期間,如果探試性階段36清除了具有″高-可信度″等級(jí)的數(shù)據(jù)包流(即,探試性階段36對(duì)數(shù)據(jù)包22分析之后產(chǎn)生高級(jí)別的可信度,該數(shù)據(jù)包流并不包含探試性階段36接受訓(xùn)練后檢測(cè)到的威脅),緩沖區(qū)24將那些數(shù)據(jù)包釋放到經(jīng)安全處理的通道38,然后就直接進(jìn)入網(wǎng)絡(luò)30。如果經(jīng)探試性階段36的處理之后,僅產(chǎn)生了較低的沒(méi)有威脅的可信度等級(jí)(即,″佳-可信度″等級(jí)),緩沖區(qū)24將數(shù)據(jù)包釋放到傳統(tǒng)防火墻規(guī)則庫(kù)12中進(jìn)行標(biāo)準(zhǔn)方式的處理。在這種情況下,傳統(tǒng)的防火墻規(guī)則庫(kù)12輸出到緩沖區(qū)28。如果探試性階段36確定數(shù)據(jù)包流受到一定程度的損壞或它們是不需要的或者確定了威脅已檢測(cè)到(″低-可信度″),緩沖區(qū)24就將數(shù)據(jù)包轉(zhuǎn)送到別處,例如,或者轉(zhuǎn)送到防火墻之外(例如,轉(zhuǎn)送到像/dev/null這樣的″位元桶″,它們?cè)谀抢锉粊G棄)或者將它們轉(zhuǎn)送26到某處進(jìn)行額外的處理。如果探試性階段36不能確定數(shù)據(jù)包(″邊緣-可信度″)的有效性,緩沖區(qū)24將數(shù)據(jù)包釋放到復(fù)雜防火墻規(guī)則庫(kù)14進(jìn)行處理。復(fù)雜防火墻規(guī)則庫(kù)24輸出到緩沖區(qū)40。
如果探試性階段36認(rèn)為數(shù)據(jù)包22的等級(jí)是佳-可信度或邊緣-可信度,則將數(shù)據(jù)包轉(zhuǎn)發(fā)到另一個(gè)探試性階段44。探試性階段44提前接受訓(xùn)練以便查找數(shù)據(jù)包流中的時(shí)間及其它的異常,這些異常包括,但并不限于,下列的一項(xiàng)或多項(xiàng)時(shí)間攻擊簽名、頻率分析、傳送中的數(shù)據(jù)包的修改、竄改數(shù)據(jù)包指示器、頻帶外(OOB)通信以及/或隱蔽的通道通信等。
在探試性階段44已經(jīng)被″佳-可信度″等級(jí)的探試性階段36激活的情況下,與″低-可信度″等級(jí)相應(yīng)的探試性階段44將數(shù)據(jù)包轉(zhuǎn)送到緩沖區(qū)28?!寮?可信度″等級(jí)的探試性階段44將數(shù)據(jù)包釋放到緩沖區(qū)28中然后進(jìn)入網(wǎng)絡(luò)30。
在探試性階段44已經(jīng)被″邊緣-可信度″等級(jí)的探試性階段36激活的情況下,與″低-可信度″等級(jí)相應(yīng)的探試性階段44將數(shù)據(jù)包轉(zhuǎn)送到緩沖區(qū)40中?!寮?可信度″等級(jí)的探試性階段44將數(shù)據(jù)包釋放到緩沖區(qū)40中然后進(jìn)入網(wǎng)絡(luò)30。
在一種實(shí)施方案,數(shù)據(jù)準(zhǔn)備階段35、42和45提供輸入數(shù)據(jù)預(yù)處理(例如,從原始數(shù)據(jù)包22中抽出端口和時(shí)間戳信息并輸入到相應(yīng)的探試性階段36、44和46)。此外,當(dāng)探試性階段36將數(shù)據(jù)分類為″高-可信度,″該信息傳送37到探試性階段44,它″清除″那些不需要進(jìn)一步分析的數(shù)據(jù)從而節(jié)省CPU的周期。
在一種實(shí)施方案,探試性防火墻10B的所有接受輸入數(shù)據(jù)包的接口按照?qǐng)D2所示配置。因此,探試性防火墻10B可以相對(duì)于網(wǎng)絡(luò)接口分析來(lái)自該防火墻的任何側(cè)的數(shù)據(jù)。因此,來(lái)自與作為目的地的因特網(wǎng)相連的網(wǎng)絡(luò)30的數(shù)據(jù)包也進(jìn)入防火墻10B并且看到與顯示給數(shù)據(jù)包22相似的接口(未示出)。然而,這些數(shù)據(jù)包的最后輸出,如果它們是允許離開(kāi)防火墻10B的,就進(jìn)入因特網(wǎng)。在同一種實(shí)施方案中,探試性防火墻10B配置為在已經(jīng)建立會(huì)話時(shí)就降低防火墻的的干預(yù)。
在一種實(shí)施方案中并再次參照?qǐng)D2,探試性階段46是探試性防火墻的相關(guān)分析階段。進(jìn)入探試性階段46的輸入包括雙向(或多向)會(huì)話數(shù)據(jù)。探試性階段46提前接受訓(xùn)練以分析不需要的會(huì)話通信量及/或多機(jī)互動(dòng)的通信量,該通信量包括,例如特洛伊、拒絕-服務(wù)及分布式-拒絕-服務(wù)的攻擊、隱蔽通道的通信,頻帶外(OOB)的通信、人在途中的利用以及其它不需要的通信量。
探試性階段48也是探試性防火墻10B的相關(guān)分析階段。與探試性階段46相似,探試性階段48的處理也是基于雙向或多向的會(huì)話數(shù)據(jù),該數(shù)據(jù)已經(jīng)被轉(zhuǎn)換為頻譜,例如,由數(shù)據(jù)準(zhǔn)備階段47進(jìn)行這種轉(zhuǎn)換。具體地講,在本發(fā)明的一種實(shí)施方案中,數(shù)據(jù)包22的解釋是以比線性或者時(shí)間方式更多的形式進(jìn)行的。例如,數(shù)據(jù)包22的流可以表示成基于結(jié)合數(shù)據(jù)包頭信息的曲線,該信息可以是像源和目的地址、端口以及時(shí)間戳等等的信息。(在這種實(shí)施方案中,并不是所有的數(shù)據(jù)準(zhǔn)備階段35、42、45和47都要從數(shù)據(jù)包22中抽出前述的那些信息。)該信息用以分析異常、不連續(xù)以及可能指示出不可信任數(shù)據(jù)包的模式。例如,將時(shí)間戳轉(zhuǎn)換成頻率域,就可以提供檢測(cè)通過(guò)時(shí)間域分析而檢測(cè)不到的異常的機(jī)會(huì)。
在探試性階段46或48發(fā)現(xiàn)會(huì)話數(shù)據(jù)或者會(huì)話數(shù)據(jù)流中問(wèn)題的事件中,控制會(huì)切換到外部呼叫或者候選過(guò)程49。外部呼叫或者候選過(guò)程49的范例可以是警報(bào)、警告設(shè)備、給管理員、安全警官、FBI等提供消息的尋呼系統(tǒng)以及日志文件。在一種實(shí)施方案,可以選擇這些范例中的任意或所有的項(xiàng),或者選擇立即斷開(kāi)會(huì)話,如何選擇取決于探試性階段46或48所確定的嚴(yán)重性的程度。
另外的探試性階段50、52、54、...N,在一種實(shí)施方案中被提供用以實(shí)現(xiàn)額外的安全預(yù)防。例如,探試性階段50提供提前接受訓(xùn)練的差分分析算法,該算法用來(lái)分析輸入數(shù)據(jù)包流22、可能候選的OOB以及/或隱蔽通道通信的差分。其它的探試性階段52、54等配置為后續(xù)的差分比較。例如,探試性階段52就是探試性階段50輸入數(shù)據(jù)的已轉(zhuǎn)換的頻率分析的差分。這種技術(shù)在有些方案中得到了延伸,延伸的方法是通過(guò)修改脈沖函數(shù)或修改征對(duì)這種算法的響應(yīng)實(shí)現(xiàn)的,該算法用于提供可選的探試性階段N,它們覆蓋了其它可能的OOB或者隱蔽通道通信的情況。
在一種實(shí)施方案,″即插即用″型的探試性模塊被提供,它們包括(1)分析表示數(shù)據(jù)包22流的頭信息的時(shí)間域曲線的二次差分的模塊;(2)分析這種用j=1與貝塞爾函數(shù)共軛之后的曲線的模塊;以及(3)分析基于候選的轉(zhuǎn)換函數(shù)的頻譜的模塊等。在一種實(shí)施方案中,這些分析與已知的代碼及/或像摩爾斯電碼和凱撒密碼這樣的密碼進(jìn)行比較,以嘗試發(fā)現(xiàn)隱藏的或隱蔽的通道通信。
由于系統(tǒng)的模塊性,當(dāng)需要時(shí),可以邏輯地插入、控制及/或編程探試性階段50、52、54、...N等以影響任何可編程的期望的系統(tǒng)響應(yīng)。因此,提供一種高效具有適應(yīng)性的防火墻結(jié)構(gòu)10B,它能夠處理目前和將來(lái)的安全需要。
適用于探試性防火墻10A和10B的計(jì)算機(jī)系統(tǒng)有SUNMICROSYSTEMS計(jì)算機(jī)系統(tǒng),它運(yùn)行的操作系統(tǒng)是SOLARIS,這兩者都可從Sun Microsystems,Palo Alto,CA獲得。常規(guī)的防火墻12和14的實(shí)現(xiàn)使用的是SUN SECURETM常規(guī)防火墻的軟件(它也可從SunMicrosystems獲得)。能實(shí)現(xiàn)探試性階段16、18、20、36、42、46、48、50、52、54、...N的合適的軟件有NEURAL WARETM神經(jīng)元組網(wǎng)軟件,該軟件可從NEURAL WARETM,Inc.,Sewickley Pennsylvania獲得。TRADEHARBORTM語(yǔ)音簽名軟件可從TradeHarbor,Inc.,St.Louis,MO獲得,該軟件也用于語(yǔ)音簽名管理授權(quán)。該軟件所提供的額外的安全針對(duì)的是未被授權(quán)的軟件和數(shù)據(jù)庫(kù)的變更,它是通過(guò)在這種變更被允許之前提出要求語(yǔ)音簽名確認(rèn)的方式實(shí)現(xiàn)的。選擇這些計(jì)算機(jī)系統(tǒng)和軟件是因?yàn)樗鼈兪乾F(xiàn)成的、能滿足需求的變化以及它們的性能、靈活性以及可靠性等特點(diǎn)。對(duì)那些諳熟本領(lǐng)域的技術(shù)人員來(lái)說(shuō),在讀完和理解了這里給出的本發(fā)明的各種實(shí)施方案的詳細(xì)說(shuō)明之后,候選的硬件和軟件平臺(tái)將會(huì)更加清楚。例如,可以使用基于INTELmicroprocessors(IntelCorporation,Santa Clara,CA)的計(jì)算機(jī)而不使用SUN MICROSYSTEMS的計(jì)算機(jī),雖然這樣的設(shè)計(jì)也需要選擇其它的操作系統(tǒng)及/或軟件。
一種使用神經(jīng)元網(wǎng)絡(luò)56實(shí)現(xiàn)探試性算法的實(shí)施方案以圖3的塊圖形式表示。圖示的實(shí)施方案使用完全連接、雙隱含層、反向傳播、S-型傳遞函數(shù)的神經(jīng)元網(wǎng)絡(luò)算法。在這種實(shí)施方案,提供輸入層58的多個(gè)處理元件(″PEs″)60,它們?cè)跀?shù)目上與處理器的精度相等。例如,給32位處理器提供32個(gè)輸入PE 60。(每個(gè)PE 60在內(nèi)部和許多或者全部的其它的PE 60相連接,連接方式見(jiàn)圖3所示的實(shí)施方案。連接的方式取決于訓(xùn)練程度和指定的PE 60之間連接的需要情況,這種情況是指給定的算法能適應(yīng)正在處理的數(shù)據(jù)。然而,為了降低附圖的復(fù)雜程度,就沒(méi)有圖示這些連接的內(nèi)部情況。)兩個(gè)隱含層62、64中的每一個(gè)在這種實(shí)施方案中所提供的PE 60的數(shù)目是輸入層58的兩倍(例如,如果在輸入層58有32個(gè)輸入PE 60,那么每個(gè)隱含層62、64就有64個(gè)PE 60)。輸出層66 PE60的數(shù)目在這種實(shí)施方案指派要等于期望從系統(tǒng)56輸出的數(shù)目。其它實(shí)施方案提供不同數(shù)目的PE 60并且不一定要與上述的實(shí)施方案的關(guān)系保持一致。例如,在一種實(shí)施方案,輸入層58所提供的PE 60的數(shù)目與系統(tǒng)以太網(wǎng)卡的位精度相匹配。在另一種實(shí)施方案,指派要使用一個(gè)隱含層62并且隱含層的數(shù)目取決于所期望的功能標(biāo)準(zhǔn)。
當(dāng)訓(xùn)練神經(jīng)元網(wǎng)絡(luò)56時(shí),應(yīng)該選擇準(zhǔn)確合適的數(shù)據(jù)。有效的訓(xùn)練數(shù)據(jù)集包括,例如,歷史的輸入及輸出數(shù)據(jù)包的樣本,這些樣本來(lái)自于神經(jīng)元網(wǎng)絡(luò)正在為其接受訓(xùn)練的各種類型的數(shù)據(jù)。在一種實(shí)施方案中,要充分地運(yùn)行將數(shù)據(jù)提交給神經(jīng)元網(wǎng)絡(luò)的迭代以確保進(jìn)行正確的訓(xùn)練并且已接受訓(xùn)練的系統(tǒng)要經(jīng)過(guò)完全的測(cè)試。
在一種實(shí)施方案中,神經(jīng)元網(wǎng)絡(luò)56也要接受訓(xùn)練以響應(yīng)具有空間-時(shí)間獨(dú)立性的輸入以便使它能繼續(xù)根據(jù)新的和不熟悉的輸入來(lái)學(xué)習(xí)和適應(yīng)。為了確??臻g-時(shí)間獨(dú)立性,輸入到神經(jīng)元網(wǎng)絡(luò)56的數(shù)據(jù)并不以并行方式輸入(例如,對(duì)于32個(gè)輸入PE 60,它一次以32位、4位以及8位或者16位的方式輸入),而是從輸入層58的輸入PE 60順序地輸入。例如,參考圖4所示的訓(xùn)練數(shù)據(jù)輸入范例。神經(jīng)元網(wǎng)絡(luò)56的實(shí)施方案使用指派包括隱含層62、64以及如圖所示的PE 60的數(shù)目和并且參照這里所說(shuō)明的實(shí)施方案對(duì)其進(jìn)行了描述,它提供對(duì)不熟悉數(shù)據(jù)具有快速適應(yīng)能力的漸增的可能性。已經(jīng)減少隱含層62、64或PE 60數(shù)目的實(shí)施方案可以供稍微高一點(diǎn)的″處理器效率″,但是它具有更加受限的一般化和動(dòng)態(tài)學(xué)習(xí)的特點(diǎn)。
神經(jīng)元網(wǎng)絡(luò)實(shí)施方案56的范例圖示于圖3,它將探試性的處理與常規(guī)的技術(shù)結(jié)合起來(lái)以實(shí)現(xiàn)改進(jìn)的防火墻。在另一種實(shí)施方案,常規(guī)技術(shù)的功能替換為探試性的處理以生成″純″探試性防火墻。在這種實(shí)施方案,圖2所示的傳統(tǒng)/常規(guī)的防火墻規(guī)則庫(kù)12和14替換為基于探試性的規(guī)則庫(kù)。如果希望實(shí)現(xiàn)靜態(tài)規(guī)則庫(kù),則探試性規(guī)則庫(kù)一旦接受訓(xùn)練,它們就被禁閉,或者訓(xùn)練完成之后,如果希望探試性規(guī)則庫(kù)能繼續(xù)適應(yīng)或隨時(shí)間發(fā)展,它們就被當(dāng)作動(dòng)態(tài)規(guī)則庫(kù)來(lái)實(shí)現(xiàn)。
在又一種實(shí)施方案中,使用其它的神經(jīng)元網(wǎng)絡(luò)和探試性算法來(lái)實(shí)現(xiàn)各種探試性階段。例如,使用雙向相聯(lián)存儲(chǔ)器(BAM)及/或自適應(yīng)共振原理(ART)算法,但是這些僅表示幾個(gè)合適的算法的例子,這些算法可用于本發(fā)明的各實(shí)施方案中。
因此,可以看出的是,本發(fā)明的各實(shí)施方案提供的是探試性防火墻的方法和裝置,它們從數(shù)據(jù)流中學(xué)習(xí)并適應(yīng)數(shù)據(jù)流以此來(lái)減輕安全的威脅。在有些實(shí)施方案中提供了多種分析方法以加強(qiáng)安全,并且防火墻的探試本性提供了這樣的能力,這種能力可以動(dòng)態(tài)地適應(yīng)新的計(jì)算機(jī)安全利用、威脅以及隱藏通道的通信。
盡管本發(fā)明已經(jīng)描述了不同種特定的與計(jì)算機(jī)網(wǎng)絡(luò)防火墻系統(tǒng)有關(guān)的實(shí)施方案的各方面,但是應(yīng)該承認(rèn)的是,本發(fā)明也可應(yīng)用到許多其它的與安全有關(guān)的產(chǎn)品中。該產(chǎn)品包括例如,網(wǎng)絡(luò)轉(zhuǎn)發(fā)設(shè)備、網(wǎng)絡(luò)仿真系統(tǒng)、生物測(cè)量分析及生物異常分析系統(tǒng)、安全結(jié)構(gòu)設(shè)計(jì)以及安全信息管理系統(tǒng)。因此,那些諳熟本領(lǐng)域的技術(shù)人員會(huì)明白,在權(quán)利要求的精神和范圍內(nèi)本發(fā)明經(jīng)過(guò)修改就能夠?qū)崿F(xiàn)。
權(quán)利要求
1.一種處理計(jì)算機(jī)通信網(wǎng)絡(luò)中數(shù)據(jù)包的方法,該方法包括如下步驟使用已接受訓(xùn)練的至少第一探試性階段進(jìn)行數(shù)據(jù)包流的分析,該第一探試性階段接受訓(xùn)練以用于識(shí)別潛在的惡意數(shù)據(jù)包;根據(jù)與已分析過(guò)的數(shù)據(jù)包的危害性對(duì)應(yīng)的可信度級(jí)別,給已分析過(guò)的流中的數(shù)據(jù)包指派可信度等級(jí);以及根據(jù)數(shù)據(jù)包已被指派的可信度等級(jí),對(duì)這些數(shù)據(jù)包進(jìn)行選擇以供進(jìn)一步分析。
2.權(quán)利要求1中的方法,進(jìn)一步包括為了識(shí)別能指示含有計(jì)算機(jī)病毒、特洛伊木馬以及拒絕服務(wù)攻擊的組中至少一個(gè)成員的數(shù)據(jù)包而提前進(jìn)行第一探試性階段的訓(xùn)練。
3.權(quán)利要求1中的方法,其中根據(jù)數(shù)據(jù)包已被指派的可信度等級(jí)而對(duì)這些數(shù)據(jù)包進(jìn)行選擇以供進(jìn)一步分析包括如下的步驟(1)釋放這樣的數(shù)據(jù)包(″較高可信度數(shù)據(jù)包″),該數(shù)據(jù)包已被指派了能指示其沒(méi)有惡意并具有較高可信度的可信度級(jí)別;(2)進(jìn)一步分析這樣的數(shù)據(jù)包(″較低可信度數(shù)據(jù)包″),該數(shù)據(jù)包已被指派了能指示其沒(méi)有惡意并具有較低可信度的可信度級(jí)別。
4.權(quán)利要求3中的方法,其中對(duì)較低可信度數(shù)據(jù)包的進(jìn)一步分析包括使用第一規(guī)則庫(kù)對(duì)較低可信度數(shù)據(jù)包進(jìn)行分析。
5.權(quán)利要求4中的方法,進(jìn)一步包括如下步驟(1)將界于較低可信度數(shù)據(jù)包與較高可信度數(shù)據(jù)包的可信度等級(jí)的中間可信度等級(jí)指派給至少一些數(shù)據(jù)包(″邊緣可信度數(shù)據(jù)包″);(2)使用第二規(guī)則庫(kù)對(duì)邊緣可信度數(shù)據(jù)包進(jìn)行分析。
6.權(quán)利要求4中的方法,進(jìn)一步包括使用第二探試性階段對(duì)邊緣可信度數(shù)據(jù)包進(jìn)行分析。
7.權(quán)利要求6中的方法,進(jìn)一步包括,為了識(shí)別能指示數(shù)據(jù)包流中至少時(shí)間異常的數(shù)據(jù)包而對(duì)第二探試性階段進(jìn)行訓(xùn)練。
8.權(quán)利要求7中的方法,其中為識(shí)別能指示數(shù)據(jù)包流中至少時(shí)間異常的數(shù)據(jù)包而對(duì)第二探試性階段進(jìn)行的訓(xùn)練包括為識(shí)別這樣的組中至少成員之一而對(duì)第二探試性階段進(jìn)行訓(xùn)練,該組包含時(shí)間攻擊簽名、頻率分析、傳送中的數(shù)據(jù)包的修改、竄改數(shù)據(jù)包指示器、頻帶外(OOB)通信以及/或隱蔽的通道通信等。
9.權(quán)利要求6中的方法,進(jìn)一步包括根據(jù)由第二探試性階段指派的可信度等級(jí),有選擇地釋放已被第一規(guī)則庫(kù)分析過(guò)的數(shù)據(jù)包。
10.權(quán)利要求9中的方法,進(jìn)一步包括如下步驟(1)第一探試性階段將界于較低可信度數(shù)據(jù)包與較高可信度數(shù)據(jù)包的可信度等級(jí)的中間可信度等級(jí)指派給至少一些數(shù)據(jù)包(″邊緣可信度數(shù)據(jù)包″);(2)使用第二規(guī)則庫(kù)對(duì)邊緣可信度數(shù)據(jù)包進(jìn)行的分析;(3)根據(jù)第二探試性階段所指派的可信度等級(jí),有選擇地釋放已被第一規(guī)則庫(kù)分析過(guò)的數(shù)據(jù)包;(4)根據(jù)第二探試性階段所指派的可信度等級(jí),有選擇地釋放已被第二規(guī)則庫(kù)分析過(guò)的數(shù)據(jù)包。
11.權(quán)利要求1中的方法,進(jìn)一步包括,轉(zhuǎn)送已被分析過(guò)并被確定為對(duì)網(wǎng)絡(luò)仿真器有惡意的數(shù)據(jù)包。
12.權(quán)利要求1中的方法,所述的方法對(duì)進(jìn)入的和出去的數(shù)據(jù)包流都要執(zhí)行。
13.權(quán)利要求1中的方法,其中為識(shí)別潛在的惡意數(shù)據(jù)包而使用已接受訓(xùn)練的至少第一探試性階段對(duì)數(shù)據(jù)包流進(jìn)行分析包括以下步驟使用多個(gè)已接受過(guò)差異性訓(xùn)練的探試性階段對(duì)數(shù)據(jù)包流進(jìn)行分析。
14.權(quán)利要求13中的方法,其中使用多個(gè)已接受過(guò)差異性訓(xùn)練的探試性階段對(duì)數(shù)據(jù)包流進(jìn)行分析包括使用已經(jīng)接受過(guò)訓(xùn)練的探試性階段對(duì)數(shù)據(jù)包流進(jìn)行分析,該探試性階段接受訓(xùn)練以用于分析已被轉(zhuǎn)換為頻率域的數(shù)據(jù)包流。
15.權(quán)利要求13中的方法,其中使用多個(gè)已接受過(guò)差異性訓(xùn)練的探試性階段對(duì)數(shù)據(jù)包流進(jìn)行分析包括使用已經(jīng)接受過(guò)訓(xùn)練的探試性階段對(duì)數(shù)據(jù)包流進(jìn)行分析,該探試性階段接受訓(xùn)練以用于分析數(shù)據(jù)包流的差分。
16.權(quán)利要求13中的方法,其中使用多個(gè)已接受過(guò)差異性訓(xùn)練的探試性階段對(duì)數(shù)據(jù)包流進(jìn)行分析包括使用各探試性階段對(duì)數(shù)據(jù)包流進(jìn)行的分析,該探試性階段配置為分析后續(xù)的差分比較。
17.權(quán)利要求1中的方法,其中為識(shí)別潛在的惡意數(shù)據(jù)包而使用已接受過(guò)訓(xùn)練的至少第一探試性階段對(duì)數(shù)據(jù)包流進(jìn)行分析包括使用已接受過(guò)訓(xùn)練的至少第一探試性階段對(duì)數(shù)據(jù)包流進(jìn)行分析,該第一探試性階段接受訓(xùn)練以用于響應(yīng)具有空間-時(shí)間獨(dú)立性的輸入。
18.權(quán)利要求17中的方法,其中使用第一探試性階段對(duì)數(shù)據(jù)包流進(jìn)行分析包括使用完全連接、雙隱含層、反向傳播、S-型傳遞函數(shù)的神經(jīng)元網(wǎng)絡(luò)算法對(duì)數(shù)據(jù)包流進(jìn)行分析。
19.權(quán)利要求1中的方法,其中根據(jù)數(shù)據(jù)包已被指派的可信度等級(jí)對(duì)這些數(shù)據(jù)包進(jìn)行選擇以供進(jìn)一步分析包括如下步驟使用至少第二探試性階段,(1)釋放這樣的數(shù)據(jù)包(″較高可信度數(shù)據(jù)包″),該數(shù)據(jù)包已被指派了能指示其沒(méi)有惡意并具有較高可信度的可信度級(jí)別;(2)進(jìn)一步分析這樣的數(shù)據(jù)包(″較低可信度數(shù)據(jù)包″),該數(shù)據(jù)包已被指派了能指示其沒(méi)有惡意并具有較低可信度的可信度級(jí)別。
20.計(jì)算機(jī)網(wǎng)絡(luò)防火墻,它被配置用于使用已接受過(guò)訓(xùn)練的至少第一探試性階段進(jìn)行數(shù)據(jù)包流的分析,該第一探試性階段接受訓(xùn)練以用于識(shí)別潛在的惡意數(shù)據(jù)包;根據(jù)與已分析過(guò)的數(shù)據(jù)包的危害性對(duì)應(yīng)的可信度級(jí)別,給已分析過(guò)的流中的數(shù)據(jù)包指派可信度等級(jí);以及根據(jù)數(shù)據(jù)包已被指派的可信度等級(jí),對(duì)這些數(shù)據(jù)包進(jìn)行選擇以供進(jìn)一步分析。
21.權(quán)利要求20中的防火墻,為識(shí)別能指示含有計(jì)算機(jī)病毒、特洛伊木馬以及拒絕服務(wù)攻擊的組中的至少一個(gè)成員的數(shù)據(jù)包,提前進(jìn)行第一探試性階段的訓(xùn)練。
22.權(quán)利要求20中的防火墻,其中根據(jù)數(shù)據(jù)包已被指派的可信度等級(jí),為選擇用于進(jìn)一步分析的數(shù)據(jù)包而對(duì)所述的防火墻進(jìn)行的配置包括(1)為釋放這樣的數(shù)據(jù)包(″較高可信度數(shù)據(jù)包″)而對(duì)防火墻進(jìn)行配置,該數(shù)據(jù)包已被指派了能指示其沒(méi)有惡意并具有較高可信度的可信度級(jí)別;(2)為進(jìn)一步分析這樣的數(shù)據(jù)包(″較低可信度數(shù)據(jù)包″)而對(duì)防火墻進(jìn)行配置,該數(shù)據(jù)包已被指派了能指示其沒(méi)有惡意并具有較低可信度的可信度級(jí)別。
23.權(quán)利要求22中的防火墻,其中為進(jìn)一步分析較低可信度數(shù)據(jù)包而對(duì)所述的防火墻進(jìn)行配置包括為使用第一規(guī)則庫(kù)分析較低可信度數(shù)據(jù)包而對(duì)防火墻進(jìn)行配置。
24.權(quán)利要求23中的防火墻,它進(jìn)一步被配置用于(1)將界于較低可信度數(shù)據(jù)包與較高可信度數(shù)據(jù)包的可信度等級(jí)的中間可信度等級(jí)指派給至少一些數(shù)據(jù)包(″邊緣可信度數(shù)據(jù)包″);(2)使用第二規(guī)則庫(kù)對(duì)邊緣可信度數(shù)據(jù)包進(jìn)行分析。
25.權(quán)利要求23中的防火墻,它進(jìn)一步被配置用于使用第二探試性階段對(duì)邊緣可信度數(shù)據(jù)包進(jìn)行分析。
26.權(quán)利要求25中的防火墻,其中為識(shí)別能指示數(shù)據(jù)包流中至少時(shí)間異常的數(shù)據(jù)包而訓(xùn)練所述的第二探試性階段。
27.權(quán)利要求26中的防火墻,其中為識(shí)別這樣的組中至少成員之一而訓(xùn)練所述的第二探試性階段,該組包含時(shí)間攻擊簽名、頻率分析、傳送中的數(shù)據(jù)包的修改、竄改數(shù)據(jù)包指示器、頻帶外(OOB)通信以及/或隱蔽的通道通信。
28.權(quán)利要求25中的防火墻,它進(jìn)一步被配置用于根據(jù)由第二探試性階段所指派的可信度等級(jí)而有選擇地釋放已被第一規(guī)則庫(kù)分析過(guò)的數(shù)據(jù)包。
29.權(quán)利要求28的防火墻,它進(jìn)一步被配置以使得(1)第一探試性階段能將界于較低可信度數(shù)據(jù)包與較高可信度數(shù)據(jù)包的可信度等級(jí)的中間可信度等級(jí)指派給至少一些數(shù)據(jù)包(″邊緣可信度數(shù)據(jù)包″);(2)能使用第二規(guī)則庫(kù)對(duì)邊緣可信度數(shù)據(jù)包進(jìn)行分析;(3)能根據(jù)第二探試性階段所指派的可信度等級(jí)而有選擇地釋放已被第一規(guī)則庫(kù)分析過(guò)的數(shù)據(jù)包;(4)能根據(jù)第二探試性階段所指派的可信度等級(jí)而有選擇地釋放已被第二規(guī)則庫(kù)分析過(guò)的數(shù)據(jù)包。
30.權(quán)利要求20中的防火墻,它進(jìn)一步被配置用于轉(zhuǎn)送已被分析過(guò)并被確定為對(duì)網(wǎng)絡(luò)仿真器有惡意的數(shù)據(jù)包。
31.權(quán)利要求20中的防火墻,它被配置用于操作進(jìn)入的和出去的兩種數(shù)據(jù)包流。
32.權(quán)利要求20中的防火墻,其中為使用已接受訓(xùn)練以用于識(shí)別潛在的惡意數(shù)據(jù)包的至少第一探試性階段分析數(shù)據(jù)包流而對(duì)所述的防火墻進(jìn)行的配置包括為使用多個(gè)已接受過(guò)差異性訓(xùn)練的探試性階段來(lái)分析數(shù)據(jù)包流而對(duì)防火墻進(jìn)行的配置。
33.權(quán)利要求32中的防火墻,其中為使用多個(gè)已接受過(guò)具有差異性訓(xùn)練的探試性階段來(lái)分析數(shù)據(jù)包流而對(duì)所述的防火墻進(jìn)行的配置包括,為使用已接受過(guò)訓(xùn)練以用于分析已轉(zhuǎn)換為頻率域的數(shù)據(jù)包流的探試性階段來(lái)分析數(shù)據(jù)包流而對(duì)防火墻進(jìn)行的配置。
34.權(quán)利要求32中的防火墻,其中為使用多個(gè)已接受過(guò)差異性訓(xùn)練的探試性階段分析數(shù)據(jù)包流而對(duì)所述的防火墻進(jìn)行的配置包括為使用已接受過(guò)訓(xùn)練的用于分析數(shù)據(jù)包流的差分的探試性階段來(lái)分析數(shù)據(jù)包流而對(duì)防火墻進(jìn)行的配置。
35.權(quán)利要求32中的防火墻,其中為使用多個(gè)已接受過(guò)差異性訓(xùn)練的探試性階段分析數(shù)據(jù)包流而對(duì)所述的防火墻進(jìn)行的配置包括為使用已接受過(guò)訓(xùn)練的用于分析后續(xù)的差分比較的探試性階段來(lái)分析數(shù)據(jù)包流而對(duì)防火墻進(jìn)行的配置。
36.權(quán)利要求20中的防火墻,其中為使用已接受過(guò)訓(xùn)練的用于識(shí)別潛在惡意數(shù)據(jù)包的至少第一探試性階段來(lái)分析數(shù)據(jù)包流而對(duì)所述的防火墻進(jìn)行的配置包括為使用已接受過(guò)訓(xùn)練的用于響應(yīng)具有空間-時(shí)間獨(dú)立性的輸入的至少第一探試性階段來(lái)分析數(shù)據(jù)包流而對(duì)防火墻進(jìn)行的配置。
37.權(quán)利要求36中的防火墻,其中為使用第一探試性階段分析數(shù)據(jù)包流對(duì)所述的防火墻進(jìn)行的配置包括,為使用完全連接、雙隱含層、反向傳播、S-型傳遞函數(shù)的神經(jīng)元網(wǎng)絡(luò)算法分析數(shù)據(jù)包流而對(duì)防火墻進(jìn)行的配置。
38.權(quán)利要求36中的防火墻,其中所述的第一探試性階段包括多個(gè)輸入層處理元件、至少一個(gè)隱含層處理元件以及輸出層處理元件。
39.權(quán)利要求38中的防火墻,其中所述的防火墻包括具有n位精度的處理器,所述的輸入層包括n個(gè)處理元件。
40.權(quán)利要求39中的防火墻,其中每個(gè)所述的隱含層包括2n個(gè)處理元件。
41.權(quán)利要求20中的防火墻,其中為根據(jù)數(shù)據(jù)包已被指派的可信度等級(jí)選擇需要進(jìn)一步分析的數(shù)據(jù)包而對(duì)所述的防火墻進(jìn)行的配置包括使用至少第二探試性階段,(1)為釋放這樣的數(shù)據(jù)包(″高-可信度數(shù)據(jù)包″)而對(duì)防火墻所作的配置,該數(shù)據(jù)包已被指派了能指示其沒(méi)有惡意并具有較高可信度的可信度級(jí)別;(2)為進(jìn)一步分析這樣的數(shù)據(jù)包(″較低可信度數(shù)據(jù)包″)而對(duì)防火墻所作的配置,該數(shù)據(jù)包已被指派了能指示其沒(méi)有惡意并具有較低可信度的可信度級(jí)別。
全文摘要
本發(fā)明所描述的是一種分析數(shù)據(jù)包流(22)的方法。該方法用探試性階段(16、18、20)以及可信度因子及其級(jí)別(14)進(jìn)行潛在的惡意數(shù)據(jù)包(22)的檢測(cè)。
文檔編號(hào)H04L12/66GK1423870SQ01808027
公開(kāi)日2003年6月11日 申請(qǐng)日期2001年3月23日 優(yōu)先權(quán)日2000年4月14日
發(fā)明者詹姆斯B·喬伊斯 申請(qǐng)人:詹姆斯B·喬伊斯