專利名稱:智能集成網(wǎng)絡(luò)安全設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及用于控制計算機網(wǎng)絡(luò)安全的方法�。
背景技術(shù):
防火墻和入侵檢測系統(tǒng)是用來保護(hù)計算機網(wǎng)絡(luò)免于非授權(quán)或破壞性用戶訪問的設(shè)備�。可以使用防火墻來保護(hù)局域網(wǎng)不受該局域網(wǎng)外部的用戶訪問���。防火墻檢查�、路由并且常常標(biāo)記發(fā)送到局域網(wǎng)外部的用戶或局域網(wǎng)外部的用戶發(fā)送的所有信息??梢允褂萌肭謾z測系統(tǒng)(IDS)來檢查正在網(wǎng)絡(luò)內(nèi)傳送的信息以識別可疑行為模式??梢允褂肐DS獲得的信息來阻止非授權(quán)或破壞性用戶訪問網(wǎng)絡(luò)��。入侵預(yù)防系統(tǒng)(IPS)是IDS的內(nèi)嵌方式�。可以使用IPS來檢查正在網(wǎng)絡(luò)內(nèi)傳送的信息以識別可疑行為模式���。
基于流量的路由器(FBR)允許不同網(wǎng)絡(luò)管理員依照某個網(wǎng)絡(luò)管理員定義的網(wǎng)絡(luò)策略實現(xiàn)分組轉(zhuǎn)發(fā)和路由��。FBR允許不同網(wǎng)絡(luò)管理員實現(xiàn)通過網(wǎng)絡(luò)中的特定路徑選擇性地路由分組的策略�����。也可以使用FBR來確保在路由分組時某些類型的分組接收有差別的優(yōu)先服務(wù)�����。常規(guī)路由器能夠根據(jù)可用路由信息向其目的地址轉(zhuǎn)發(fā)分組�����。FBR可以使網(wǎng)絡(luò)管理員實現(xiàn)以下路由策略����,即,根據(jù)包括應(yīng)用��、協(xié)議���、分組大小和終端系統(tǒng)之身份在內(nèi)的多種其它標(biāo)準(zhǔn)允許或拒絕分組����,而不是僅僅根據(jù)目的地址進(jìn)行路由���。
分組過濾器能夠?qū)W(wǎng)絡(luò)層上的數(shù)據(jù)起作用�,以保護(hù)可信任的網(wǎng)絡(luò)免于不可信任的網(wǎng)絡(luò)的攻擊�����。分組過濾器可以在網(wǎng)絡(luò)層上運行以檢查TCP/IP報頭的各個字段����,包括協(xié)議類型、源和目的IP地址以及源和目的端口號�����。分組過濾器的缺點是速度慢,并且大型網(wǎng)絡(luò)中的安全策略管理非常復(fù)雜��。由于分組過濾器不知道指定通信信息的上下文����,所以分組過濾器本身不能提供強壯的保護(hù)。另外��,分組過濾器不檢查應(yīng)用層的數(shù)據(jù)�,所以分組過濾器很容易受到使用應(yīng)用層的嘗試安全入侵的攻擊����。
代理服務(wù)器可以對應(yīng)用層傳送的數(shù)值起作用,以隔離可信任的網(wǎng)絡(luò)和不可信任的網(wǎng)絡(luò)��。在應(yīng)用代理服務(wù)器中�����,建立兩個TCP連接一個在分組信源和代理服務(wù)器之間�,另一個在代理服務(wù)器和分組目的地之間。應(yīng)用代理服務(wù)器可以代表目的服務(wù)器接收到達(dá)的分組�����。代理服務(wù)器可以組合并檢查這些應(yīng)用數(shù)據(jù),可以打開代理服務(wù)器和目的服務(wù)器之間的第二TCP連接以便向目的服務(wù)器轉(zhuǎn)發(fā)允許的分組���。由于在應(yīng)用層檢查分組需要額外的協(xié)議棧開銷��,所以代理服務(wù)器可能較慢�。此外��,由于每個應(yīng)用都需要唯一代理��,所以代理服務(wù)器的實現(xiàn)可能很復(fù)雜并且很難進(jìn)行修改以支持新的應(yīng)用��。另外�����,由于代理服務(wù)器僅僅檢查應(yīng)用分組�,所以代理服務(wù)器未必能夠檢測TCP層或網(wǎng)絡(luò)層上的嘗試網(wǎng)絡(luò)安全入侵。
發(fā)明內(nèi)容
本發(fā)明提供用于處理數(shù)據(jù)分組和用于實現(xiàn)計算機網(wǎng)絡(luò)安全的方法和裝置�,包括計算機程序產(chǎn)品。
本發(fā)明的優(yōu)點包括以下特征中的一個或多個特征�����?�?梢允褂盟_的技術(shù)來檢測嘗試的網(wǎng)絡(luò)安全入侵并且可能阻止與該安全入侵有關(guān)的當(dāng)前分組。所公開的技術(shù)可以提供強壯��、有效的網(wǎng)絡(luò)安全并且包括多種安全設(shè)備����,但只有一個流量表。網(wǎng)絡(luò)安全信息是從其它網(wǎng)絡(luò)安全設(shè)備中獲取的并且存儲在該流量表中的單一流量記錄內(nèi)���。通過使用單一流量記錄來確定是否允許分組能夠?qū)е赂斓捻憫?yīng)時間���。
附圖和下面的詳細(xì)說明書闡述本發(fā)明之一個或多個實現(xiàn)的細(xì)節(jié)。通過閱讀詳細(xì)說明書��、附圖和權(quán)利要求書���,本發(fā)明的其它特征和優(yōu)點將更加明顯。
圖1表示包含會話模塊的網(wǎng)絡(luò)拓?fù)?�;圖2說明會話模塊的框圖��;圖3表示流量表的結(jié)構(gòu)���;圖4是一個流程圖�����,描述會話模塊的操作����;圖5是一個流程圖,描述會話分類�;圖6表示由會話模塊生成的準(zhǔn)重組信息;圖7表示防火墻中包含會話模塊的網(wǎng)絡(luò)拓?fù)?���;圖8表示會話模塊與防火墻、IPS和路由器串聯(lián)運行的網(wǎng)絡(luò)拓?fù)?���;以及圖9表示單一安全設(shè)備中包含會話模塊、防火墻���、IPS和路由器的網(wǎng)絡(luò)拓?fù)洹?br>
在不同附圖中�,相同參考號數(shù)和指示表示相同組成部分����。
具體實施例方式
圖1表示包含局域網(wǎng)(LAN)(100)的網(wǎng)絡(luò)拓?fù)洌琇AN 100包括服務(wù)器(102)���、若干工作站(W/S)(104)和安全系統(tǒng)124�����。安全系統(tǒng)124包括會話模塊122和多種其它安全設(shè)備����。在所示實現(xiàn)中,安全系統(tǒng)124包括兩個安全設(shè)備��,第一安全設(shè)備106和第二安全設(shè)備108�����。LAN 100通過安全系統(tǒng)124與諸如因特網(wǎng)(114)之類的外部網(wǎng)絡(luò)相連���。并且LAN 100與第二個LAN(116)(通過路由器(118))和衛(wèi)星120相連。第二個LAN 116包括web服務(wù)器(110)����、電子郵件服務(wù)器(112)、服務(wù)器102����、若干工作站104以及安全系統(tǒng)124�。通過使用諸如電線��、光纖和無線電波之類的多種數(shù)據(jù)傳輸介質(zhì)�����,互連LAN內(nèi)的計算機���、服務(wù)器和其它設(shè)備�。會話模塊122監(jiān)控正在該網(wǎng)絡(luò)內(nèi)傳送的分組��。在一種實現(xiàn)中�����,第一安全設(shè)備106是防火墻��,而第二安全設(shè)備108是IPS�。會話模塊122可以與第一安全設(shè)備106和第二安全設(shè)備108一道起作用,以幫助阻止與嘗試的網(wǎng)絡(luò)安全入侵有關(guān)的分組�����。
圖2表示會話模塊122的框圖�。會話模塊122包括用于接收分組的輸入分組接口205���。流量處理引擎(FPE)202分析所接收的分組以確定嘗試的網(wǎng)絡(luò)安全入侵是否正在進(jìn)行。會話模塊122還包括流量表215�。流量表215用于存儲與所接收的分組有關(guān)的流量方面的信息。會話模塊122還包括該網(wǎng)絡(luò)上的其它安全設(shè)備的接口�����。在一種實現(xiàn)中�,會話模塊122包括防火墻接口220、IPS接口225和流量路由器接口230��。會話模塊使用安全設(shè)備接口220獲取有關(guān)所接收的分組的信息��,與該分組關(guān)聯(lián)的流量方面的信息���,以便確定是否允許或修改所接收的分組�。除此之外�����,會話模塊122使用安全設(shè)備接口218傳送安全設(shè)備所需的流量信息以方便分組的處理���。
圖3說明流量表300的結(jié)構(gòu)��。流量表300包括與當(dāng)前的TCP/IP流量關(guān)聯(lián)的流量記錄302�����。TCP/IP流量包括在一個方向上在源和目的地之間傳送信息的數(shù)據(jù)分組序列�。利用索引關(guān)鍵字305給流量記錄編排索引�����。利用索引關(guān)鍵字305來存儲和檢索與所接收的分組關(guān)聯(lián)的適合流量記錄���。在一種實現(xiàn)中��,索引關(guān)鍵字305可以是哈希關(guān)鍵字�����,而流量表300可以用哈希表實現(xiàn)����。會話模塊122(圖2)在同一流量記錄中存儲用于該網(wǎng)絡(luò)上的兩個或多個安全設(shè)備的指令�。在會話模塊122的一種實現(xiàn)中,在流量記錄302中存儲三個安全設(shè)備(即,設(shè)備310�、315和320)的指令。流量記錄302可以存儲策略信息(應(yīng)用于該流量的防火墻策略���、IP策略等)以及該安全設(shè)備使用的其它信息�����,如加密參數(shù)���、地址轉(zhuǎn)換參數(shù)、薄記信息和統(tǒng)計信息���。流量記錄302也可以包括會話模塊122所需的流量信息���,以便確定是否允許該分組。此類信息包括實現(xiàn)網(wǎng)絡(luò)策略所需的信息�,網(wǎng)絡(luò)策略如連接超時、時間記帳以及帶寬使用率��。指定序號為10/070,683��,題目為“Multi-MethodGateway-Based Network Security Systems and Methods(多種方法的基于網(wǎng)關(guān)的網(wǎng)絡(luò)安全系統(tǒng)和方法)”的共同未決共同擁有專利申請詳細(xì)描述流量��、會話和流量表,本文明確引用其內(nèi)容作為參考�����。
圖4是一個流程圖�,描述FPE 202(圖2)的操作?���,F(xiàn)在參照圖2和圖4,會話模塊接收輸入分組(步驟400)��。重組IP分組(步驟402)并且驗證每個IP分組的IP報頭(步驟403)��。在驗證步驟中�����,抽取于指定分組關(guān)聯(lián)的IP報頭并且檢查抽取的IP報頭以查找基礎(chǔ)缺陷���。此后��,F(xiàn)PE 202確定是否允許該會話(步驟415)�����。
如果該分組是TCP報頭(步驟404)����,則驗證該TCP報頭(步驟405)并且重組該TCP分組(步驟410)。驗證處理包括抽取TCP報頭數(shù)據(jù)并評估該報頭以查找基礎(chǔ)缺陷�。會話模塊122可以向其它安全設(shè)備傳送在步驟410中產(chǎn)生的準(zhǔn)重組信息,以幫助其它安全設(shè)備處理該分組��。在“Multi-Method Gateway-Based Network SecuritySystems and Methods”和下文中詳細(xì)描述重組���。
在步驟415中����,F(xiàn)PE 202通過使用與指定的所接收的分組關(guān)聯(lián)的TCP/IP報頭數(shù)據(jù)執(zhí)行會話分類����。會話模塊122可以根據(jù)所獲得的與所接收的分組關(guān)聯(lián)的TCP/IP流量方面的信息和從流量表420中檢索的信息確定是否允許該分組。另外�����,會話模塊122可以使用諸如防火墻425���、IPS 430或基于流量的路由器435之類的其它安全設(shè)備中的某個設(shè)備返回的信息����。此外,會話模塊122也可以方便安全設(shè)備的處理����,其方法是當(dāng)處理指定分組的設(shè)備需要流量信息時���,向各設(shè)備傳送該信息�。最后���,如果允許該分組�����,則FPE 202轉(zhuǎn)發(fā)該分組(步驟440)�����。否則��,在步驟445中用不同方式處理該分組�。其它處理包括記錄有關(guān)該分組的特定信息的日志�����,保存該分組,修改和/或丟棄該分組���。由此完成FPE 202的操作的描述��。
圖5是一個流程圖��,表示會話分類(步驟415)中包含的步驟���。會話分類步驟接收分組(步驟500)并且抽取用于確定是否允許該分組時所需的信息。抽取的信息包括源和目的IP地址�、源和目的端口號以及協(xié)議(步驟505)??梢允褂贸槿〉男畔硭阉髁髁勘?步驟510)以便確定該分組是否與已知的會話流量相關(guān)聯(lián)。對于已知的會話流量��,步驟510將在該流量表中生成匹配的流量記錄(步驟515)�。如果找到匹配的流量記錄,則FPE 202(圖2)可以從匹配的流量記錄中抽取所接收的分組的TCP/IP會話信息(步驟520)�����。FPE 202通過使用在步驟520中獲得的TCP/IP會話信息確定是否允許所接收的分組�。更準(zhǔn)確地說�����,F(xiàn)PE 202從匹配的流量記錄中抽取信息�,并向安全設(shè)備傳送該信息(例如����,傳送流量記錄中的會話ID,TCP/IP會話信息以及其它安全設(shè)備特有的信息)(步驟525)���。根據(jù)來自安全設(shè)備的返回結(jié)果,F(xiàn)PE 202可以轉(zhuǎn)發(fā)��、丟棄�����、記錄日志����、存儲、修改或按不同方式處理指定分組(步驟530)���。
在步驟515中���,如果在該流量表中找不到匹配的流量記錄��,則可以把所接收的分組和新的TCP/IP會話聯(lián)系起來(步驟532)���。對于新的TCP/IP會話,F(xiàn)PE 202可以為新建會話指派一個會話ID����,并且FPE202可以與其它安全設(shè)備(例如,防火墻����、IPS、流量路由器)通信���,以確定與新建會話關(guān)聯(lián)的分組的安全策略��。例如��,F(xiàn)PE 202可以從防火墻540中獲取信息以便確定是否允許所接收的與新建會話關(guān)聯(lián)的分組��。FPE 202可以與IPS 545通信以便確定是否阻止所接收的分組��,因為它與嘗試的網(wǎng)絡(luò)安全入侵的已知攻擊簽名匹配�����。FPE 202可以從流量路由器550中獲取與新建會話關(guān)聯(lián)的所有網(wǎng)絡(luò)策略�����。FPE 202可以充當(dāng)不同安全設(shè)備之間的仲裁器��,并且使用或者從各個安全設(shè)備中或者從安全設(shè)備之組合中獲取的信息確定是否允許與新的TCP/IP會話關(guān)聯(lián)的分組��。FPE 202可以使用從這些安全設(shè)備中獲取的信息來創(chuàng)建新的流量記錄并在流量表中存儲新的流量記錄(步驟555)��。新的流量記錄包括與所接收的分組關(guān)聯(lián)的新建會話的TCP/IP會話信息以及所有其它特定安全設(shè)備信息�����。此后���,正如連同圖4描述的那樣,F(xiàn)PE202可以方便與指定TCP/IP會話關(guān)聯(lián)的所接收的分組的處理�,包括從相應(yīng)的流量記錄中向安全設(shè)備傳送會話ID、TCP/IP會話信息以及安全設(shè)備特有的信息����。
正如連同圖4描述的那樣�,除通過使用各種各樣的安全設(shè)備確定所接收的分組是否與嘗試的網(wǎng)絡(luò)安全入侵相關(guān)聯(lián)之外����,會話模塊還可以對所接收的TCP/IP分組執(zhí)行準(zhǔn)重組處理。圖6表示該會話模塊生成的準(zhǔn)重組信息�。準(zhǔn)重組信息包括存儲器中的指定分組的位置的指針600,以及包含流量中的分組的相對位置的信息的指針605�����。在一種實現(xiàn)中���,IPS可以執(zhí)行被動TCP/IP重組��,并且可以使用該分組的位置的指針來確定該分組在該IPS內(nèi)的位置���。在另一種實現(xiàn)中,可以使用包含該流量中的該分組的相對位置的信息的指針來獲得與該分組關(guān)聯(lián)的TCP/IP報頭中包含的TCP/IP序號�����。需要時可以向與會話模塊122(圖2)相連的安全設(shè)備傳送準(zhǔn)重組信息��。安全設(shè)備可以使用準(zhǔn)重組信息處理所接收的分組。
可以在許多不同網(wǎng)絡(luò)拓?fù)渲惺褂脮捘K����。圖7表示將會話模塊710集成到防火墻705中的網(wǎng)絡(luò)拓?fù)洹7阑饓?05包括與路由器720和IPS 715的接口�����。防火墻705接收來自外部網(wǎng)絡(luò)接口700的分組��。防火墻705與IPS 715通信���,目的是根據(jù)已知的攻擊簽名確定是否阻止所接收的分組����。如果防火墻705和IPS 715確定允許該分組通過����,則防火墻705向路由器720發(fā)送所接收的分組��。路由器720根據(jù)該路由器中存儲的網(wǎng)絡(luò)策略�,通過使用內(nèi)部網(wǎng)絡(luò)接口725向其預(yù)定目的地轉(zhuǎn)發(fā)輸出分組。
圖8表示通過使用會話模塊實現(xiàn)計算機網(wǎng)絡(luò)安全的選擇配置����。在本配置中���,會話模塊820與防火墻805、IPS 810和路由器815串聯(lián)運行��。利用防火墻805過濾通過使用外部網(wǎng)絡(luò)接口800接收的分組�����,然后傳送給路由器815�。防火墻805還向IPS 810發(fā)送有關(guān)接收的分組的信息。IPS 810檢查接收的分組�����,并且如果根據(jù)已知的攻擊簽名應(yīng)該阻止所接收的分組��,則通知會話模塊820����。路由器815向會話模塊820發(fā)送該分組以便進(jìn)一步處理。如果會話模塊820確定應(yīng)該允許所接收的分組���,則它通過使用內(nèi)部網(wǎng)絡(luò)接口825向其預(yù)定目的地轉(zhuǎn)發(fā)所接收的分組�。
可以用數(shù)字電子電路,或用計算機硬件�、固件、軟件或其組合的方式�,實現(xiàn)本發(fā)明?���?梢杂糜嬎銠C程序產(chǎn)品的方式實現(xiàn)本發(fā)明,計算機程序產(chǎn)品如計算機載體中包含的計算機程序����,計算機載體如機器可讀存儲設(shè)備或傳播信號,程序產(chǎn)品由數(shù)據(jù)處理裝置執(zhí)行或用來控制數(shù)據(jù)處理裝置的操作��,數(shù)據(jù)處理裝置如可編程處理器�����、計算機或多臺計算機���??梢杂萌魏涡问降某绦蛟O(shè)計語言�����,包括編譯或解釋語言��,來編寫計算機程序���,并且可以用任何方式進(jìn)行部署�,包括以單機程序的方式��,或者以模塊��、組件�、子程序、或適合在計算環(huán)境中使用的其它單元的方式進(jìn)行部署�����。計算機程序可以部署為在一個站點的一臺或多臺計算機上運行�����,或者分發(fā)到利用通信網(wǎng)絡(luò)互連的多個站點上��。
可以利用執(zhí)行計算機程序的一個或多個可編程處理器執(zhí)行本發(fā)明的方法步驟����,可編程處理器通過處理輸入數(shù)據(jù)并生成輸出執(zhí)行本發(fā)明的功能����。同樣�,可以利用專用邏輯電路,如FPGA(現(xiàn)場可編程門陣列)或ASIC(專用集成電路)���,來執(zhí)行上述方法步驟或?qū)崿F(xiàn)本發(fā)明的裝置�����。
舉例來說�����,適合執(zhí)行計算機程序的處理器包括通用和專用微處理器��,以及各種類型的數(shù)字計算機的任何一個或多個處理器����。通常�,處理器接收來自只讀存儲器或隨機存取存儲器或二者的指令和數(shù)據(jù)。計算機的主要元件是用于執(zhí)行指令的處理器以及用于存儲指令和數(shù)據(jù)的一個或多個存儲設(shè)備����。通常�,計算機還包括或連接有用于存儲數(shù)據(jù)的一個或多個海量存儲設(shè)備����,以便接收數(shù)據(jù)�����、傳送數(shù)據(jù)或者接收并傳送數(shù)據(jù)���,海量存儲設(shè)備如磁盤�、磁光盤或光盤����。適合于包含計算機程序指令和數(shù)據(jù)的信息載體包括各種形式的非易失存儲器,舉例來說�,非易失存儲器包括半導(dǎo)體存儲設(shè)備,如EPROM���、EEPROM和閃存設(shè)備���;磁盤,如內(nèi)部硬盤或可抽取磁盤�;磁光盤���;以及CD-ROM和DVD-ROM盤片?����?梢杂脤S眠壿嬰娐费a充或合并處理器和存儲器��。
可以在計算系統(tǒng)中實現(xiàn)本發(fā)明�,計算系統(tǒng)包括諸如數(shù)據(jù)服務(wù)器之類的后端組件,諸如應(yīng)用服務(wù)器之類的中間件組件�����,諸如客戶計算機之類的前端組件��,或此類后端���、中間件或前端組件之任意組合����,其中客戶計算機具有圖形用戶界面或web瀏覽器����,用戶通過該圖形用戶界面或web瀏覽器與本發(fā)明的實現(xiàn)進(jìn)行交互���。可以利用諸如通信網(wǎng)絡(luò)之類的任何形式或介質(zhì)的數(shù)字?jǐn)?shù)據(jù)通信互連該系統(tǒng)的各種組件�。通信網(wǎng)絡(luò)的例子包括局域網(wǎng)(LAN)和諸如因特網(wǎng)之類的廣域網(wǎng)(WAN)。
計算機系統(tǒng)可以包括客戶機和服務(wù)器�����?��?蛻魴C和服務(wù)器通常彼此相距很遠(yuǎn),并且通常通過通信網(wǎng)絡(luò)進(jìn)行交互���?���?蛻魴C和服務(wù)器的相互關(guān)系是由在各自計算機上運行的彼此具有客戶機服務(wù)器關(guān)系的計算機程序引起的����。
盡管本發(fā)明是用特定實施方式描述的。然而����,應(yīng)該理解�,可以進(jìn)行各種修改而并不背離本發(fā)明的實質(zhì)和范圍���。例如�����,可以以不同順序執(zhí)行本發(fā)明的步驟而仍能獲得所需結(jié)果��。另外�����,可以將會話模塊�����、IPS�、防火墻和路由器集成到諸如圖9所示配置之類的單一設(shè)備中�。與一臺或多臺安全設(shè)備封裝在一起的會話模塊的其它配置也是可行的。因此���,其它實施方式也在下述權(quán)利要求書的范圍內(nèi)��。
權(quán)利要求
1.一種用于檢查與計算機網(wǎng)絡(luò)中的流量相關(guān)聯(lián)的數(shù)據(jù)分組的方法����,該計算機網(wǎng)絡(luò)具有用于處理該分組的一臺或多臺設(shè)備,每個數(shù)據(jù)分組具有關(guān)聯(lián)的報頭數(shù)據(jù)�,該方法包括以下步驟接收該數(shù)據(jù)分組;檢查該數(shù)據(jù)分組����;確定與該分組相關(guān)聯(lián)的單一流量記錄;以及從該單一流量記錄中抽取兩臺或多臺設(shè)備的流量指令并將該指令轉(zhuǎn)發(fā)給各自設(shè)備以方便該分組的處理�����。
2.權(quán)利要求1的方法���,其中該設(shè)備為安全設(shè)備。
3.權(quán)利要求2的方法�,其中該設(shè)備是從入侵檢測系統(tǒng)、入侵預(yù)防系統(tǒng)��、防火墻和基于流量的路由器中選擇的�����。
4.權(quán)利要求1的方法,其中檢查該數(shù)據(jù)分組包括檢查有關(guān)報頭數(shù)據(jù)以確定是否允許該數(shù)據(jù)分組�����。
5.權(quán)利要求1的方法��,其中確定與該數(shù)據(jù)分組相關(guān)聯(lián)的單一流量記錄包括通過使用有關(guān)報頭數(shù)據(jù)確定流量記錄的位置���。
6.權(quán)利要求1的方法�����,其中從該單一流量記錄中抽取兩臺或多臺設(shè)備的流量指令包括獲取用于對存儲器中的該數(shù)據(jù)分組進(jìn)行定位的信息���,以及用于提供該流量中的該數(shù)據(jù)分組的相對位置的信息。
7.權(quán)利要求1的方法��,其中確定與該數(shù)據(jù)分組相關(guān)聯(lián)的流量記錄包括通過使用至少有關(guān)報頭數(shù)據(jù)確定分組標(biāo)識符���;通過使用該分組標(biāo)識符評估流量表��;如果有匹配的流量表條目��,則檢索匹配的流量記錄���;如果沒有匹配的流量表條目���,則創(chuàng)建新的流量記錄;以及將新的流量記錄存儲到該流量表中�。
8.權(quán)利要求7的方法,其中從匹配的流量記錄中抽取流量指令包括從匹配的流量記錄中抽取會話ID和流量信息����;以及向該設(shè)備傳送該會話ID和流量信息。
9.權(quán)利要求7的方法����,其中創(chuàng)建新的流量記錄包括創(chuàng)建新的會話ID;從至少兩臺設(shè)備中抽取與該數(shù)據(jù)分組關(guān)聯(lián)的設(shè)備特有的流量信息�;以及把新的會話ID與設(shè)備特有的流量信息和新的流量記錄聯(lián)系起來�。
10.權(quán)利要求9的方法進(jìn)一步包括,使用設(shè)備特有的流量信息創(chuàng)建每臺設(shè)備的指令以處理該分組��。
11.權(quán)利要求9的方法�����,其中一臺或多臺設(shè)備為安全設(shè)備���,該方法進(jìn)一步包括在該單一流量記錄中存儲每臺安全設(shè)備的安全設(shè)備特有的流量信息以及新的會話ID��。
12.權(quán)利要求1的方法進(jìn)一步包括�����,使用抽取的流量信息處理兩臺或多臺設(shè)備的每臺設(shè)備中的數(shù)據(jù)分組��。
13.權(quán)利要求1的方法���,其中至少兩臺設(shè)備為安全設(shè)備�����,該方法進(jìn)一步包括接收來自該安全設(shè)備的評估信息���,該評估信息是處理該分組時在各自設(shè)備中生成的;以及處理該分組包括使用該評估信息���。
14.權(quán)利要求13的方法����,其中處理該分組的步驟包括轉(zhuǎn)發(fā)���、丟棄��、修改�、記錄日志或存儲該分組中的一項或多項處理。
15.權(quán)利要求13的方法�����,其中該處理步驟包括確定是否轉(zhuǎn)發(fā)該分組��。
16.權(quán)利要求2的方法��,其中該單一流量記錄包括用于一臺或多臺安全設(shè)備的策略信息�。
17.權(quán)利要求2的方法,其中該單一流量記錄包括防火墻策略以及入侵預(yù)防系統(tǒng)策略�����。
18.權(quán)利要求1的方法��,其中該單一流量記錄包括供一臺設(shè)備使用的加密參數(shù)���。
19.權(quán)利要求1的方法,其中該單一流量記錄包括地址轉(zhuǎn)換參數(shù)��。
20.權(quán)利要求1的方法,其中該單一流量記錄包括薄記和統(tǒng)計信息���。
21.權(quán)利要求1的方法����,其中該單一流量記錄包括用于描述應(yīng)用于一臺或多臺設(shè)備使用的指定流量的策略的信息���。
22.權(quán)利要求1的方法����,其中該設(shè)備為安全設(shè)備并且該單一流量記錄包括用于處理該分組的兩臺或多臺設(shè)備使用的策略信息�。
23.一種信息載體中包含的用于檢查與計算機網(wǎng)絡(luò)中的流量相關(guān)聯(lián)的數(shù)據(jù)分組的計算機程序產(chǎn)品,該計算機網(wǎng)絡(luò)具有用于處理數(shù)據(jù)分組的一臺或多臺設(shè)備�����,每個數(shù)據(jù)分組具有關(guān)聯(lián)的報頭數(shù)據(jù)�����,該計算機程序產(chǎn)品包括可以使數(shù)據(jù)處理設(shè)備執(zhí)行以下處理的指令接收該數(shù)據(jù)分組�;檢查該數(shù)據(jù)分組;確定與該分組相關(guān)聯(lián)的單一流量記錄�;以及從該單一流量記錄中抽取兩臺或多臺設(shè)備的流量指令并將該指令轉(zhuǎn)發(fā)給各自設(shè)備以方便該分組的處理����。
24.權(quán)利要求23的計算機程序產(chǎn)品����,其中該設(shè)備為安全設(shè)備。
25.權(quán)利要求24的計算機程序產(chǎn)品�,其中該設(shè)備是從入侵檢測系統(tǒng)、入侵預(yù)防系統(tǒng)��、防火墻和基于流量的路由器中選擇的��。
26.權(quán)利要求23的計算機程序產(chǎn)品�����,其中檢查該數(shù)據(jù)分組的指令包括檢查有關(guān)報頭數(shù)據(jù)以確定是否允許該數(shù)據(jù)分組的指令���。
27.權(quán)利要求23的計算機程序產(chǎn)品���,其中確定與該數(shù)據(jù)分組相關(guān)聯(lián)的單一流量記錄的指令包括通過使用有關(guān)報頭數(shù)據(jù)確定流量記錄的位置的指令。
28.權(quán)利要求23的計算機程序產(chǎn)品����,其中從該單一流量記錄中抽取兩臺或多臺設(shè)備的流量指令的指令包括,獲取用于對存儲器中的該數(shù)據(jù)分組進(jìn)行定位的信息以及用于提供該流量中的該數(shù)據(jù)分組的相對位置的信息的指令�。
29.權(quán)利要求23的計算機程序產(chǎn)品,其中確定與該數(shù)據(jù)分組關(guān)聯(lián)的流量記錄的指令包括執(zhí)行以下處理的指令通過使用至少有關(guān)報頭數(shù)據(jù)確定分組標(biāo)識符��;通過使用該分組標(biāo)識符評估流量表��;如果有匹配的流量表條目�,則檢索匹配的流量記錄;如果沒有匹配的流量表條目��,則創(chuàng)建新的流量記錄����;以及將新的流量記錄存儲到該流量表中。
30.權(quán)利要求29的計算機程序產(chǎn)品���,其中從匹配的流量記錄中抽取流量指令的指令包括執(zhí)行以下處理的指令從匹配的流量記錄中抽取會話ID和流量信息��;以及向該設(shè)備傳送該會話ID和流量信息�����。
31.權(quán)利要求29的計算機程序產(chǎn)品�,其中創(chuàng)建新的流量記錄的指令包括執(zhí)行以下處理的指令創(chuàng)建新的會話ID;從至少兩臺設(shè)備中抽取與該數(shù)據(jù)分組關(guān)聯(lián)的設(shè)備特有的流量信息����;以及把新的會話ID與設(shè)備特有的流量信息和新的流量記錄聯(lián)系起來。
32.權(quán)利要求31的計算機程序產(chǎn)品進(jìn)一步包括執(zhí)行以下處理的指令�,使用設(shè)備特有的流量信息創(chuàng)建每臺設(shè)備的指令以處理該分組。
33.權(quán)利要求31的計算機程序產(chǎn)品�����,其中一臺或多臺設(shè)備為安全設(shè)備�,該計算機程序產(chǎn)品進(jìn)一步包括執(zhí)行以下處理的指令,在該單一流量記錄中存儲每臺安全設(shè)備的安全設(shè)備特有的流量信息以及新的會話ID�����。
34.權(quán)利要求23的計算機程序產(chǎn)品進(jìn)一步包括執(zhí)行以下處理的指令��,使用抽取的流量信息處理兩臺或多臺設(shè)備的每臺設(shè)備中的數(shù)據(jù)分組�。
35.權(quán)利要求23的計算機程序產(chǎn)品,其中至少兩臺設(shè)備為安全設(shè)備���,該計算機程序產(chǎn)品進(jìn)一步包括執(zhí)行以下處理的指令接收來自該安全設(shè)備的評估信息����,該評估信息是處理該分組時在各自設(shè)備中生成的;以及處理該分組包括使用該評估信息����。
36.權(quán)利要求35的計算機程序產(chǎn)品�,其中處理該分組的指令包括轉(zhuǎn)發(fā)、丟棄��、修改����、記錄日志或存儲該分組中的一條或多條指令。
37.權(quán)利要求35的計算機程序產(chǎn)品���,其中處理指令包括確定是否轉(zhuǎn)發(fā)該分組的指令�����。
38.權(quán)利要求24的計算機程序產(chǎn)品����,其中該單一流量記錄包括用于一臺或多臺安全設(shè)備的策略信息����。
39.權(quán)利要求24的計算機程序產(chǎn)品��,其中該單一流量記錄包括防火墻策略以及入侵預(yù)防系統(tǒng)策略��。
40.權(quán)利要求23的計算機程序產(chǎn)品�,其中該單一流量記錄包括供一臺設(shè)備使用的加密參數(shù)��。
41.權(quán)利要求23的計算機程序產(chǎn)品���,其中該單一流量記錄包括地址轉(zhuǎn)換參數(shù)���。
42.權(quán)利要求23的計算機程序產(chǎn)品,其中該單一流量記錄包括薄記和統(tǒng)計信息��。
43.權(quán)利要求23的計算機程序產(chǎn)品��,其中該單一流量記錄包括用于描述應(yīng)用于一臺或多臺設(shè)備使用的指定流量的策略的信息��。
44.權(quán)利要求23的計算機程序產(chǎn)品�����,其中該設(shè)備為安全設(shè)備并且該單一流量記錄包括用于處理該分組的兩臺或多臺設(shè)備使用的策略信息����。
45.一種用于處理數(shù)據(jù)分組的裝置����,包括能夠確定每個接收的數(shù)據(jù)分組的流量信息的模塊�;包括該模塊檢測的每個流量的流量記錄的流量表,每個流量記錄包括用于多臺處理設(shè)備的流量信息�;以及用于向與該裝置相連的多臺處理設(shè)備的每臺設(shè)備傳送設(shè)備特有的流量信息的接口。
46.權(quán)利要求45的裝置進(jìn)一步包括會話模塊��,該會話模塊可以評估用于標(biāo)識與指定分組關(guān)聯(lián)的特定流量的信息��,確定與所標(biāo)識的流量關(guān)聯(lián)的流量表中的流量記錄的位置����,向每臺處理設(shè)備傳送設(shè)備特有的流量信息�,接收一臺或多臺處理設(shè)備的評估信息,以及根據(jù)該評估信息處理該分組�。
47.權(quán)利要求46的裝置,其中該會話模塊對該分組的處理包括丟棄�����、記錄日志��、存儲或轉(zhuǎn)發(fā)該分組之一���。
48.權(quán)利要求45的裝置�,其中該流量表包括索引關(guān)鍵字以及與該裝置相連的多臺安全設(shè)備的設(shè)備特有的流量信息。
49.權(quán)利要求45的裝置��,該處理設(shè)備是從防火墻��、基于流量的路由器��、入侵檢測系統(tǒng)以及入侵預(yù)防系統(tǒng)中選擇的���。
50.權(quán)利要求45的裝置�����,其中該流量表包括一條或多條流量記錄����,該流量記錄包括處理該分組的一臺或多臺安全設(shè)備使用的策略信息��。
全文摘要
描述了用于處理數(shù)據(jù)分組的方法�、計算機程序產(chǎn)品和裝置。該方法包括以下步驟接收該數(shù)據(jù)分組�����;檢查該數(shù)據(jù)分組;確定與該分組關(guān)聯(lián)的單一流量記錄��;以及從該單一流量記錄中抽取兩臺或多臺設(shè)備的流量指令��。
文檔編號H04L12/66GK1768516SQ200480008628
公開日2006年5月3日 申請日期2004年3月29日 優(yōu)先權(quán)日2003年3月28日
發(fā)明者尼爾·祖克 申請人:叢林網(wǎng)絡(luò)公司