亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

具有遠(yuǎn)程入侵檢測(cè)能力的接入復(fù)用器的制作方法

文檔序號(hào):7599533閱讀:211來源:國知局
專利名稱:具有遠(yuǎn)程入侵檢測(cè)能力的接入復(fù)用器的制作方法
技術(shù)領(lǐng)域
本發(fā)明涉及入侵檢測(cè),其是檢測(cè)通信網(wǎng)絡(luò)中不適當(dāng)?shù)?、惡意的、不正確的或異常的行為的技術(shù)。入侵可以是來自外部的任何攻擊,對(duì)這種攻擊的檢測(cè)通?;诮y(tǒng)計(jì)異常分析和/或流量模式匹配。入侵檢測(cè)系統(tǒng)的技術(shù)發(fā)展水平是如基于主機(jī)的經(jīng)典入侵檢測(cè)系統(tǒng)或基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)。
背景技術(shù)
基于主機(jī)的入侵檢測(cè)系統(tǒng)運(yùn)行在一臺(tái)主機(jī)上,以檢測(cè)該特定主機(jī)上的惡意行為。典型地,基于主機(jī)的入侵檢測(cè)器由裝載在所監(jiān)控的計(jì)算機(jī)或主機(jī)系統(tǒng)上的軟件組成,用以掃描進(jìn)出該計(jì)算機(jī)的通信流量,檢查系統(tǒng)文件的完整性,以及監(jiān)視可疑進(jìn)程。主機(jī)入侵檢測(cè)軟件可以利用所有的或選擇的系統(tǒng)和用戶日志文件,和/或監(jiān)視連接、進(jìn)程、會(huì)話、硬盤使用率和文件傳輸,最后審計(jì)作為數(shù)據(jù)源的主機(jī)系統(tǒng)以檢測(cè)惡意行為。例如,可以通過注意到某一用戶在其非典型時(shí)間登錄來檢測(cè)到一個(gè)闖入事件。許多主機(jī)入侵檢測(cè)的軟件包都是商業(yè)上可得的例如發(fā)布在http//www.aheadcomputer.com/products/2774.htm上的Ahead Computer公司的ADSL調(diào)制解調(diào)器,就提供全部可配置的基于主機(jī)的入侵檢測(cè)軟件。
作為必須裝載在每臺(tái)主機(jī)上的基于主機(jī)的入侵檢測(cè)系統(tǒng)的變形,集中式主機(jī)入侵檢測(cè)系統(tǒng)是已知的,其從單獨(dú)一個(gè)機(jī)器服務(wù)局域網(wǎng)(LAN)中比較少的計(jì)算機(jī)。這種集中式主機(jī)入侵檢測(cè)系統(tǒng)如圖1所示,其中CHIDS1服務(wù)第一網(wǎng)段NS1中的主機(jī)H1、H2、H3和H4,CHIDS2服務(wù)第二網(wǎng)段NS2中的主機(jī)H5、H6、H7和H8。商業(yè)上可得的集中式基于主機(jī)的入侵檢測(cè)系統(tǒng)是Unipalm公司的賽門鐵克(Symantec)主機(jī)入侵檢測(cè)系統(tǒng)4.0(見http//www.unipalm.co.uk/products/e-security/symantec/host-intrusion-detection-system.cfm)。
基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)通過監(jiān)視經(jīng)過某一傳感器的整個(gè)網(wǎng)段的進(jìn)出流量來作用于網(wǎng)絡(luò)數(shù)據(jù)流?;诰W(wǎng)絡(luò)的入侵傳感器在暗示可能攻擊的數(shù)據(jù)包中尋找模式,和/或監(jiān)視與眾所周知的、經(jīng)常受攻擊的端口的連接企圖,和/或監(jiān)視數(shù)據(jù)包包頭中危險(xiǎn)的或不合理的組合。典型地,網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)結(jié)合到設(shè)置在保護(hù)企業(yè)或局域網(wǎng)段的防火墻后面的機(jī)器中,如圖1所示的基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)NIDS。
基于主機(jī)的入侵檢測(cè)和基于網(wǎng)絡(luò)的入侵檢測(cè)都有正反兩面。因此,有效的入侵檢測(cè)需要基于主機(jī)和基于網(wǎng)絡(luò)的入侵檢測(cè)的結(jié)合。例如,Enterasys’Dragon入侵檢測(cè)系統(tǒng)6.0版本包括基于主機(jī)的入侵傳感器和基于網(wǎng)絡(luò)的入侵傳感器,它們可以分開購買(見http//boston.internet.com/news/article.php/1135921)。
已知的基于主機(jī)的入侵檢測(cè)系統(tǒng),無論是否和基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)結(jié)合,都在局域網(wǎng)中的單獨(dú)的主機(jī)或少數(shù)主機(jī)上運(yùn)行,因此不能檢測(cè)多個(gè)操作系統(tǒng)的異常。而且,這種基于主機(jī)的入侵檢測(cè)系統(tǒng)消耗主機(jī)的CPU功率和內(nèi)存資源,并且難于管理和升級(jí)等。因此,這種已知的基于主機(jī)的入侵檢測(cè)系統(tǒng)很不適合在有非常多的接入用戶(例如連接到單獨(dú)一個(gè)數(shù)字用戶線路接入復(fù)用器(DSLAM)的近幾千個(gè)數(shù)字用戶線(DSL)用戶)連接到一個(gè)接入復(fù)用器的接入網(wǎng)絡(luò)中使用,典型地,這些用戶在PC上運(yùn)行不同的操作系統(tǒng)。

發(fā)明內(nèi)容
因此,本發(fā)明的目的是提供一種入侵檢測(cè)系統(tǒng),其比較容易管理和升級(jí),能夠檢測(cè)多個(gè)操作系統(tǒng)的異常,并減少用戶端的功率和資源消耗。
根據(jù)本發(fā)明,該目的通過以下方案實(shí)現(xiàn)將遠(yuǎn)程基于主機(jī)的入侵檢測(cè)系統(tǒng)集成在接入復(fù)用器中,如DSLAM、數(shù)字環(huán)路載波(DLC)或無源光網(wǎng)絡(luò)線路終端(PON OLT)。
的確,根據(jù)本發(fā)明的集成在接入復(fù)用器中的遠(yuǎn)程基于主機(jī)的入侵檢測(cè)系統(tǒng)比傳統(tǒng)的基于主機(jī)的入侵檢測(cè)系統(tǒng)可服務(wù)多得多的用戶,因?yàn)樗治鱿到y(tǒng)的完整性和近幾千個(gè)用戶的統(tǒng)計(jì)行為。注意接入用戶會(huì)被單獨(dú)地提前要求(如在連接建立時(shí))同意遠(yuǎn)程基于主機(jī)的入侵檢測(cè)系統(tǒng)監(jiān)視和審計(jì)其文件和系統(tǒng)。典型地,遠(yuǎn)程基于主機(jī)的入侵檢測(cè)系統(tǒng)運(yùn)行在較高層(協(xié)議棧的應(yīng)用層),能夠檢測(cè)多個(gè)操作系統(tǒng)的異常,并且由于其在接入網(wǎng)絡(luò)的“中心”位置,可以更快地使罕見事件相互關(guān)聯(lián)。根據(jù)本發(fā)明的遠(yuǎn)程基于主機(jī)的入侵檢測(cè)系統(tǒng)進(jìn)一步節(jié)省了用戶的CPU功率和內(nèi)存資源,并且由于其“中心”位置也更容易管理、升級(jí)等。
根據(jù)本發(fā)明的接入復(fù)用器,還包括基于網(wǎng)絡(luò)的入侵檢測(cè)裝置,用于通過分析出入的流量以查找攻擊簽名模式來檢測(cè)所有接入用戶上的惡意行為。
因而,通過在接入復(fù)用器中也集成基于網(wǎng)絡(luò)的入侵檢測(cè)功能,基于主機(jī)和基于網(wǎng)絡(luò)的入侵檢測(cè)器構(gòu)成了同一機(jī)器的一部分,并能容易互相作用以更好地保護(hù)用戶。典型地,基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)通過監(jiān)視所有流量以查找惡意模式而運(yùn)行在協(xié)議棧的較低層(物理層、鏈路層和網(wǎng)絡(luò)層),并保護(hù)所有連接到接入復(fù)用器的接入用戶,因?yàn)榻尤胩峁┱卟蛔層脩暨x擇接通/切斷基于網(wǎng)絡(luò)的入侵檢測(cè)器。一旦檢測(cè)到針對(duì)一個(gè)或多個(gè)用戶的新的惡意攻擊,系統(tǒng)的知識(shí)數(shù)據(jù)庫就立即更新以保護(hù)所有的用戶。根據(jù)本發(fā)明的接入復(fù)用器還具有基于網(wǎng)絡(luò)的入侵檢測(cè)的功能,使得接入服務(wù)提供者,如DSL提供者,能夠向其用戶提供全套的安全服務(wù)。
根據(jù)本發(fā)明的接入復(fù)用器,其中遠(yuǎn)程基于主機(jī)的入侵檢測(cè)裝置用于為接入用戶的各個(gè)組存儲(chǔ)用戶“簡(jiǎn)檔(profile)”。
實(shí)際上,通過建立用戶“簡(jiǎn)檔”數(shù)據(jù)庫,根據(jù)本發(fā)明的集成在接入復(fù)用器中的遠(yuǎn)程基于主機(jī)的入侵檢測(cè)系統(tǒng)可以向不同的用戶提供可定制的保護(hù)服務(wù),并能監(jiān)視這些用戶的行為以檢測(cè)異常。
根據(jù)本發(fā)明的接入復(fù)用器,還包括入侵防止裝置,用于在入侵檢測(cè)裝置檢測(cè)到異常時(shí),保護(hù)接入用戶免受入侵。
因此,一旦針對(duì)一個(gè)接入用戶的攻擊被遠(yuǎn)程基于主機(jī)的入侵檢測(cè)系統(tǒng)或基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)檢測(cè)到,該系統(tǒng)就將保護(hù)其他的接入用戶免受攻擊。


通過下面結(jié)合附圖對(duì)實(shí)施例的描述,本發(fā)明上面提到的以及其它目標(biāo)和特征會(huì)更加清楚,也能更好理解本發(fā)明,其中圖1說明了在現(xiàn)有技術(shù)系統(tǒng)的例子中實(shí)現(xiàn)的入侵檢測(cè);圖2描述了一個(gè)DSL接入網(wǎng)絡(luò),其包括根據(jù)本發(fā)明的接入復(fù)用器(DSLAM)的一個(gè)實(shí)施例。
具體實(shí)施例方式
在圖1所示的現(xiàn)有技術(shù)網(wǎng)絡(luò)中,主機(jī)H1、H2、H3和H4以及第一集中式基于主機(jī)的入侵檢測(cè)系統(tǒng)CHIDS1組成第一網(wǎng)段NS1的一部分;類似地,主機(jī)H5、H6、H7和H8以及第二集中式基于主機(jī)的入侵檢測(cè)系統(tǒng)CHIDS2組成第二網(wǎng)段NS2的一部分。網(wǎng)段NS1和網(wǎng)段NS2都通過基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)NIDS連接到公共網(wǎng)絡(luò)(圖1中的“網(wǎng)絡(luò)”)。
例如,第一網(wǎng)段NS1和第二網(wǎng)段NS2都是公司的LAN(局域網(wǎng)),其中主機(jī)H1、H2、H3、H4、H5、H6、H7和H8代表個(gè)人計(jì)算機(jī),如桌上型電腦或膝上型電腦。第一集中式基于主機(jī)的入侵檢測(cè)系統(tǒng)CHIDS1和第二集中式基于主機(jī)的入侵檢測(cè)系統(tǒng)CHIDS2是應(yīng)用軟件,如Unipalm公司的賽門鐵克(Symantec)主機(jī)入侵檢測(cè)系統(tǒng)4.0(發(fā)布在http//www.unipalm.co.uk/products/e-security/symantec/host-intrusion-detection-system.cfm上),這些軟件被下載并安裝在網(wǎng)絡(luò)服務(wù)器上,以各自向各自的局域網(wǎng)NS1、NS2上的少數(shù)PC提供服務(wù)。例如第一集中式基于主機(jī)的入侵檢測(cè)系統(tǒng)CHIDS1監(jiān)視主機(jī)H1、H2、H3和H4的進(jìn)出流量,觀察這些主機(jī)的行為是否與其正?;蝾A(yù)期的行為偏離,以檢測(cè)安全漏洞和未授權(quán)行為。第一局域網(wǎng)NS1的管理員能夠從單個(gè)服務(wù)器或基于主機(jī)的入侵檢測(cè)軟件運(yùn)行的管理控制臺(tái)上,為主機(jī)H1、H2、H3和H4定制安全和入侵檢測(cè)策略。同樣地,第二局域網(wǎng)NS2的管理員可集中為主機(jī)H5、H6、H7和H8配置入侵檢測(cè)策略,并收集和審計(jì)這些主機(jī)的檔案文件。
基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)NIDS合并在位于保護(hù)企業(yè)局域網(wǎng)的防火墻后面的機(jī)器上。該系統(tǒng)掃描出入網(wǎng)段NS1和NS2的流量以查找某些模式,并收集事件數(shù)據(jù)以檢測(cè)例如(已知的)基于簽名的安全攻擊。另外,通過與數(shù)據(jù)庫中已有的簽名進(jìn)行比較來分析截取的數(shù)據(jù)包?;诰W(wǎng)絡(luò)的入侵檢測(cè)已有多種實(shí)現(xiàn)方法,從傳統(tǒng)的跨越端口(連接到交換機(jī)的監(jiān)控端口的交換端口分析器,其接收指令將網(wǎng)絡(luò)流量的副本發(fā)送到該監(jiān)控端口),經(jīng)分接器(分開網(wǎng)絡(luò)流量的特殊用途硬件設(shè)備,將一個(gè)分支發(fā)送到目的地,另一個(gè)發(fā)送到入侵檢測(cè)器),到集線器,或甚至內(nèi)建在線速入侵傳感器中的交換機(jī)。
由于基于主機(jī)的入侵檢測(cè)的分布式實(shí)現(xiàn),遍布CHIDS1和CHIDS2,在圖1所示的現(xiàn)有技術(shù)系統(tǒng)中,檢測(cè)多個(gè)操作系統(tǒng)的異常是不可能的。而且,這種基于主機(jī)的入侵檢測(cè)的實(shí)現(xiàn)消耗兩個(gè)局域網(wǎng)NS1和NS2的CPU功率和內(nèi)存資源,并且在某些情況下,只要基于主機(jī)的入侵檢測(cè)系統(tǒng)必須升級(jí),都要求CHIDS1和CHIDS2升級(jí)。而且,基于主機(jī)的入侵檢測(cè)和基于網(wǎng)絡(luò)的入侵檢測(cè)是兩個(gè)互補(bǔ)但不同的解決方案,而在圖1的現(xiàn)有技術(shù)中沒有互相作用。
顯然,在基于主機(jī)的入侵檢測(cè)沒有集中在每個(gè)LAN上、但必須運(yùn)行在每個(gè)單獨(dú)的主機(jī)上的現(xiàn)有技術(shù)系統(tǒng)中,上述缺點(diǎn)甚至更糟。在如ADSL網(wǎng)絡(luò)的接入網(wǎng)絡(luò)中,大部分用戶不是公司用戶,他們有單獨(dú)的個(gè)人計(jì)算機(jī),通過ADSL調(diào)制解調(diào)器和雙絞銅線連接到DSL服務(wù)提供者的接入復(fù)用器上。在這種結(jié)構(gòu)下,主機(jī)入侵檢測(cè)軟件在每個(gè)單獨(dú)的主機(jī)上運(yùn)行,在所有主機(jī)上消耗功率和資源,提供升級(jí)更加困難。
在圖2所示的接入網(wǎng)絡(luò)中,ADSL接入用戶S21、S22...S2N通過銅質(zhì)雙絞電話線連接到數(shù)字用戶線路接入復(fù)用器DSLAM,該DSLAM集中了通往公共網(wǎng)絡(luò)如互聯(lián)網(wǎng)(圖2中的“互聯(lián)網(wǎng)”)的下行傳輸和上行傳輸流量。
ADSL用戶S21、S22...S2N都有帶有外置或內(nèi)置DSL CPE(用戶駐地設(shè)備)設(shè)備的個(gè)人計(jì)算機(jī),DSL CPE如ADSL調(diào)制解調(diào)器或ADSL路由器以及最后的分路器等。DSLAM包括傳統(tǒng)的接入集中功能,以使DSLAM可以向大量的DSL接入用戶提供服務(wù),典型地,幾百到幾千DSL接入用戶,并且進(jìn)一步結(jié)合遠(yuǎn)程基于主機(jī)的入侵檢測(cè)系統(tǒng)RHIDS和基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)NIDS2。
遠(yuǎn)程基于主機(jī)的入侵檢測(cè)系統(tǒng)RHIDS收集DSL用戶的統(tǒng)計(jì)信息,并使用這些信息檢測(cè)基于協(xié)議異常的攻擊。它能夠檢測(cè)多個(gè)操作系統(tǒng)的異常,并更快地使不同用戶的罕見事件相互關(guān)聯(lián)。一旦檢測(cè)到針對(duì)一個(gè)用戶的攻擊,它將防止其它用戶受到攻擊。此外,遠(yuǎn)程基于主機(jī)的入侵檢測(cè)系統(tǒng)RHIDS能夠建立用戶“簡(jiǎn)檔”數(shù)據(jù)庫,這樣用戶不再擔(dān)心安全問題。
盡管這不是必需的,但本發(fā)明的優(yōu)選實(shí)施例將網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)NIDS2和遠(yuǎn)程基于主機(jī)的入侵檢測(cè)系統(tǒng)RHIDS集成在DSLAM中,生成在單獨(dú)一個(gè)機(jī)器上的完整的入侵檢測(cè)系統(tǒng)。例如,基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)NIDS2的一個(gè)任務(wù)是掃描流量以查找某些模式,以檢測(cè)對(duì)多個(gè)DSL用戶的(已知的)基于簽名的攻擊。
根據(jù)本發(fā)明的DSLAM使DSL提供者能向其用戶提供安全的服務(wù),并不消耗DSL用戶的CPU功率和內(nèi)存資源,并且很容易管理和升級(jí),如必須增加新規(guī)則的情況。
雖然前面已經(jīng)對(duì)應(yīng)用于雙絞電話線傳輸?shù)腁DSL(非對(duì)稱數(shù)字用戶線)技術(shù)給出了參考,但任何技術(shù)人員都會(huì)意識(shí)到,本發(fā)明應(yīng)用在其它DSL(數(shù)字用戶線)系統(tǒng)(如VDSL(甚高速數(shù)字用戶線)、SDSL(同步數(shù)字用戶線)系統(tǒng)、HDSL(高速數(shù)字用戶線)系統(tǒng)以及類似系統(tǒng))或基于電纜、光纖或無線的接入系統(tǒng)也有同樣的優(yōu)點(diǎn),在這些系統(tǒng)中,接入復(fù)用器集中了大量接入用戶的進(jìn)出流量。因此,這種接入復(fù)用器也可以替換為PONOLT(無源光網(wǎng)絡(luò)線路終端)或者小型DSLAM或者向少量ADSL或VDSL用戶、DLC(數(shù)字環(huán)路載波)等提供服務(wù)的光纖反饋遠(yuǎn)程機(jī)柜。
此外,要注意的是,本發(fā)明的實(shí)施例采用了更適合的功能性術(shù)語來描述。從功能性描述來說,對(duì)于設(shè)計(jì)網(wǎng)絡(luò)硬件和/或軟件解決方案的技術(shù)人員,如何制造本發(fā)明的實(shí)施例是顯而易見的。
雖然本發(fā)明的原理已在上面結(jié)合特定設(shè)備進(jìn)行了描述,但很容易理解,該描述是以舉例的方式進(jìn)行的,并不是對(duì)權(quán)利要求的范圍的限制。
權(quán)利要求
1.用于將接入用戶(S21、S22...S2N)連接到通信網(wǎng)絡(luò)(互聯(lián)網(wǎng))的接入復(fù)用器(DSLAM),其特征在于,所述接入復(fù)用器(DSLAM)包括遠(yuǎn)程基于主機(jī)的入侵檢測(cè)裝置(RHIDS),用于通過遠(yuǎn)程分析系統(tǒng)的完整性和/或大量所述接入用戶的統(tǒng)計(jì)行為來檢測(cè)所述大量用戶上的惡意行為。
2.根據(jù)權(quán)利要求1所述的接入復(fù)用器(DSLAM),其特征在于,所述接入復(fù)用器(DSLAM)還包括基于網(wǎng)絡(luò)的入侵檢測(cè)裝置(NIDS2),用于通過分析出入的流量以查找攻擊簽名模式來檢測(cè)所有所述接入用戶上的惡意行為。
3.根據(jù)權(quán)利要求1或2所述的接入復(fù)用器(DSLAM),其特征在于,所述遠(yuǎn)程基于主機(jī)的入侵檢測(cè)裝置(RHIDS)用于為所述接入用戶的各個(gè)組存儲(chǔ)用戶“簡(jiǎn)檔”。
4.根據(jù)權(quán)利要求1或2所述的接入復(fù)用器(DSLAM),其特征在于,所述接入復(fù)用器(DSLAM)還包括入侵防止裝置,用于在入侵檢測(cè)裝置(RHIDS,NIDS2)檢測(cè)到異常時(shí),保護(hù)所述接入用戶(S21、S22...S2N)免受入侵。
5.根據(jù)權(quán)利要求1或2所述的接入復(fù)用器(DSLAM),其特征在于,所述接入復(fù)用器(DSLAM)是數(shù)字用戶環(huán)路接入復(fù)用器。
6.根據(jù)權(quán)利要求1或2所述的接入復(fù)用器,其特征在于,所述接入復(fù)用器是數(shù)字環(huán)路載波(DLC)。
7.根據(jù)權(quán)利要求1或2所述的接入復(fù)用器,其特征在于,所述接入復(fù)用器是無源光網(wǎng)絡(luò)線路終端(PON OLT)。
全文摘要
根據(jù)本發(fā)明的接入復(fù)用器(DSLAM)結(jié)合了遠(yuǎn)程基于主機(jī)的入侵檢測(cè)系統(tǒng)(RHIDS),以通過遠(yuǎn)程分析系統(tǒng)的完整性和接入用戶的統(tǒng)計(jì)行為,檢測(cè)連接到接入復(fù)用器的大量接入用戶上的惡意行為;并且最后還結(jié)合了基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)(NIDS2),以通過分析出入流量以查找攻擊簽名模式,檢測(cè)連接到接入復(fù)用器的所有接入用戶(S21、S22...S2N)上的惡意行為。
文檔編號(hào)H04M11/06GK1627708SQ200410091450
公開日2005年6月15日 申請(qǐng)日期2004年11月22日 優(yōu)先權(quán)日2003年12月11日
發(fā)明者S·米克萊亞, M·佩爾特, E·F·E·博爾斯 申請(qǐng)人:阿爾卡特公司
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
1