亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

網(wǎng)絡入侵防護系統(tǒng)的制作方法

文檔序號:7667437閱讀:268來源:國知局
專利名稱:網(wǎng)絡入侵防護系統(tǒng)的制作方法
技術領域
本發(fā)明涉及一種網(wǎng)絡入侵防護系統(tǒng),且特別涉及一種網(wǎng)絡卡上建置有微處 理器來加速執(zhí)行入侵防護功能的網(wǎng)絡入侵防護系統(tǒng)。
背景技術
隨著網(wǎng)絡科技發(fā)展與普及化,網(wǎng)絡已成為生活不可或缺的部分,人們由網(wǎng) 絡快速交換所需信息。然而,使用因特網(wǎng)卻不如想象中安全。例如,計算機系 統(tǒng)可能被黑客入侵而被竊取數(shù)據(jù)或破壞計算機系統(tǒng)。目前,多數(shù)使用者由防毒 軟件及防火墻來保護計算機免于感染計算機病毒或遭受人為入侵破壞。一種名
為網(wǎng)絡入侵偵測系統(tǒng)(Intrusion Detection System, IDS)的技術可用以監(jiān)控網(wǎng)絡 活動,避免網(wǎng)絡內(nèi)部的計算機遭受惡意攻擊、破壞。網(wǎng)絡入侵偵測系統(tǒng)屬于被 動式的網(wǎng)絡安全系統(tǒng)。其通過分析網(wǎng)絡封包,發(fā)現(xiàn)異常網(wǎng)絡活動,并實時發(fā)出 警報告知網(wǎng)絡管理人員處理/防護異常網(wǎng)絡活動。為立即抵擋網(wǎng)絡上的惡意入 侵攻擊,網(wǎng)絡入侵防護系統(tǒng)(Intrusion Protection System, IPS)遂發(fā)展作為提供主 動性防護的網(wǎng)絡安全技術。所有網(wǎng)絡封包皆須流經(jīng)網(wǎng)絡入侵防護系統(tǒng),并加以 判斷網(wǎng)絡封包不含異?;顒踊蚩梢蓛?nèi)容后,才予以傳送到內(nèi)部欲保護的局域網(wǎng) 絡(或網(wǎng)絡區(qū)段)。相較于網(wǎng)絡入侵偵測系統(tǒng),網(wǎng)絡入侵防護系統(tǒng)更在發(fā)生惡意 入侵前,立即阻絕網(wǎng)絡攻擊行為,避免網(wǎng)絡內(nèi)部的計算機系統(tǒng)受破壞。
然而,隨著網(wǎng)絡技術提升以及交換數(shù)據(jù)量的增加,繁重的網(wǎng)絡流量逐漸成 為網(wǎng)絡入侵防護系統(tǒng)的負擔。由于網(wǎng)絡入侵防護系統(tǒng)需攔截分析每一個網(wǎng)絡封 包,判斷網(wǎng)絡封包中并不包含惡意內(nèi)容后才予以放行。若網(wǎng)絡入侵防護系統(tǒng)的 響應能力無法跟上網(wǎng)絡傳輸速度,則會影響內(nèi)部網(wǎng)絡存取數(shù)據(jù)的流暢度,使內(nèi) 部網(wǎng)絡效能大打折扣。

發(fā)明內(nèi)容
鑒于目前網(wǎng)絡入侵防護系統(tǒng)(Intrusion Protection System, IPS)響應能力不足,而造成封包傳遞延遲等問題,本發(fā)明的目的在于提出新的網(wǎng)絡入侵防護系 統(tǒng)(以下簡稱為系統(tǒng))的架構,由微處理器與中央處理器的分工處理,過濾流經(jīng) 局域網(wǎng)絡的有害或是惡意網(wǎng)絡封包,達到加速系統(tǒng)過濾網(wǎng)絡封包的功效。
為實現(xiàn)上述的目的,本發(fā)明的系統(tǒng)至少包含一張具有微處理器的網(wǎng)絡卡及 中央處理器。網(wǎng)絡卡接收局域網(wǎng)絡外的網(wǎng)絡封包。此網(wǎng)絡卡更內(nèi)建有兩韌體程 序其一為網(wǎng)絡封包剖析程序,通過前述微處理器執(zhí)行此網(wǎng)絡封包剖析程序, 以剖析網(wǎng)絡封包的通訊協(xié)議、來源地址、以及連接端口號;另一為惡意封包的 濾除程序,亦通過前述微處理器執(zhí)行,并依據(jù)網(wǎng)絡封包剖析程序的剖析結果及 入侵封包定義文件,來判斷網(wǎng)絡封包是否可能為惡意網(wǎng)絡封包,并加以濾除。 剩余未被過濾的網(wǎng)絡封包,再交由中央處理器處理。中央處理器執(zhí)行下列程序 首先,剖析剩余網(wǎng)絡封包的封包內(nèi)容;接著,根據(jù)前述入侵封包定義文件及由 剩余網(wǎng)絡封包所剖析出的封包內(nèi)容,判斷是否為惡意網(wǎng)絡封包;然后,再過濾 掉惡意網(wǎng)絡封包,并通過網(wǎng)絡卡將剩余的正常網(wǎng)絡封包傳送至內(nèi)部局域網(wǎng)絡的 計算機。
依照本發(fā)明的較佳實施例所述的網(wǎng)絡入侵防護系統(tǒng),上述的網(wǎng)絡卡更包括 用來暫存網(wǎng)絡封包的內(nèi)存。另外,系統(tǒng)內(nèi)部的主要內(nèi)存,則是用來存放網(wǎng)絡封 包解析后的封包內(nèi)容。
依照本發(fā)明的較佳實施例所述的網(wǎng)絡入侵防護系統(tǒng),上述的入侵封包定義 文件,包括多條預先定義的入侵行為規(guī)則,以及這些規(guī)則所對應的預設通訊協(xié) 議、來源地址以及連接端口號。網(wǎng)絡管理人員更可通過一個使用者接口來修改 入侵封包定義文件的入侵行為規(guī)則及對應的預設通訊協(xié)議、來源地址、及連接 端口號。
依照本發(fā)明的較佳實施例所述的網(wǎng)絡入侵防護系統(tǒng),更包括依據(jù)濾除惡意 入侵的網(wǎng)絡封包中的通訊協(xié)議、來源地址、以及連接端口號,自動新增對應的 入侵行為規(guī)則于入侵封包定義檔。另外,前述網(wǎng)絡封包剖析程序是通過多個結
構指針(Hook Structure)指向接收的網(wǎng)絡封包的數(shù)據(jù)段,以快速剖析網(wǎng)絡封包中 的通訊協(xié)議、來源地址、以及連接端口號。
依照本發(fā)明的較佳實施例所述的網(wǎng)絡入侵防護系統(tǒng),上述的微處理器更包 括以多條執(zhí)行緒(Thread)來處理入侵封包定義文件定義的預設通訊協(xié)議、來源 地址或連接端口號。另外,中央處理器亦通過執(zhí)行緒個別處理入侵封包定義文件所定義的其它入侵行為。
由上所述,本發(fā)明的系統(tǒng)先以網(wǎng)絡卡的微處理器快速濾除可能為惡意入侵 的網(wǎng)絡封包,再以中央處理器濾除剩余網(wǎng)絡封包中惡意入侵的網(wǎng)絡封包。因為, 網(wǎng)絡卡的微處理器與系統(tǒng)的中央處理器可分工并同時處理簡單過濾網(wǎng)絡封包 及深層剖析封包內(nèi)容的動作,因此可加速系統(tǒng)處理網(wǎng)絡封包的速度,進而解決 目前系統(tǒng)存在的影響網(wǎng)絡傳輸速度及封包傳輸延遲的現(xiàn)象。
以下結合附圖和具體實施例對本發(fā)明進行詳細描述,但不作為對本發(fā)明的 限定。


圖1為本發(fā)明較佳實施例的網(wǎng)絡入侵防護系統(tǒng)的網(wǎng)絡拓撲示意圖2為本發(fā)明較佳實施例的網(wǎng)絡入侵防護系統(tǒng)的系統(tǒng)架構示意圖。
其中,附圖標記
110 網(wǎng)絡入侵防護系統(tǒng)
120 局域網(wǎng)絡
121 126 計算機主機
130 因特網(wǎng)
210 中央處理器
220 主要內(nèi)存
230 網(wǎng)絡卡
232 微處理器
233a 網(wǎng)絡封包剖析程序
233b 惡意封包的濾除程序
234 內(nèi)存
236、 238 連接端口
240、 242、 244 網(wǎng)絡封包
具體實施例方式
本發(fā)明的目的及提出的在下列較佳實施例中詳細說明的。然而本發(fā)明的概 念亦可用于其它范圍。以下列舉的實施例僅用于說明本發(fā)明的目的與執(zhí)行方法,并非用以限制其范圍。
圖1為本發(fā)明較佳實施例的網(wǎng)絡入侵防護系統(tǒng)的網(wǎng)絡拓撲示意圖。請參照 圖l,在本實施例中,所有網(wǎng)絡封包皆會流經(jīng)邊界節(jié)點,因此將網(wǎng)絡入侵防護 系統(tǒng)110 (以下簡稱為系統(tǒng)110)架設于例如局域網(wǎng)絡120的邊界節(jié)點(或邊界路 由器)將帶有惡意入侵/攻擊行為內(nèi)容的網(wǎng)絡封包(以下稱為惡意封包)加以濾
除,以保護局域網(wǎng)絡120內(nèi)部的計算機主機(121 126)免于來自因特網(wǎng)130 的惡意封包侵襲。
本發(fā)明的系統(tǒng)與目前的系統(tǒng)最大的差異在于本發(fā)明系統(tǒng)內(nèi)部的網(wǎng)絡卡具 有微處理器。此微處理器執(zhí)行預先燒錄于網(wǎng)絡卡記憶區(qū)塊(例如只讀存儲器 ROM)的韌體,用以在收到網(wǎng)絡封包時,剖析網(wǎng)絡封包的標頭文件(Header)信息, 并由標頭文件信息快速濾除可能為惡意封包的網(wǎng)絡封包。舉例說明本發(fā)明較佳 實施例所述的系統(tǒng)的架構如下。
圖2為本發(fā)明較佳實施例的網(wǎng)絡入侵防護系統(tǒng)的系統(tǒng)架構圖。請參照圖2, 系統(tǒng)110內(nèi)具有中央處理器210以及網(wǎng)絡卡230。網(wǎng)絡卡230包括微處理器232、 及網(wǎng)絡封包剖析程序233a、惡意封包的濾除程序233b、內(nèi)存234、以及兩個 連接端口(236、 238)。其中的網(wǎng)絡封包剖析程序233a以及惡意封包的濾除程 序233b可預先儲存于系統(tǒng)110的儲存空間,例如硬盤,并于系統(tǒng)110運行時, 加載內(nèi)存234。
網(wǎng)絡卡230通過連接端口 236接收多個網(wǎng)絡封包240,同時間微處理器232 執(zhí)行網(wǎng)絡封包剖析程序233a來剖析這些網(wǎng)絡封包240的通訊協(xié)議、來源地址、 及連接端口號。前述的通訊協(xié)議、來源地址、及連接端口號等信息,可由解析 這些網(wǎng)絡封包240的標頭文件(Header)數(shù)據(jù)段得知。之后,再以微處理器執(zhí)行 惡意封包的濾除程序233b將網(wǎng)絡封包剖析程序233a解析出的通訊協(xié)議、來源 地址、以及連接端口號依據(jù)入侵封包定義文件(未顯示)判斷網(wǎng)絡封包240是否 可能為惡意封包,并在第一時間加以濾除。
接著,再將剩余的多個網(wǎng)絡封包(亦即網(wǎng)絡封包242)交由中央處理器210 進行深層的封包內(nèi)容解析。中央處理器210執(zhí)行以下程序首先,剖析網(wǎng)絡封 包242的封包內(nèi)容;接著,根據(jù)預先設定的一個入侵封包定義文件所載規(guī)則來 分析這些網(wǎng)絡封包242的封包內(nèi)容,以判斷這些網(wǎng)絡封包242是否為惡意封包。 若這些網(wǎng)絡封包242為惡意封包,則直接過濾掉這些網(wǎng)絡封包;若這些網(wǎng)絡封包242為正常的網(wǎng)絡封包(亦即封包的內(nèi)容不包含入侵封包定義文件所定義的
惡意封包規(guī)則),則通過網(wǎng)絡卡230將正常的網(wǎng)絡封包(亦即網(wǎng)絡封包244)通 過連接端口 238傳送到內(nèi)部局域網(wǎng)絡的計算機。
系統(tǒng)110的網(wǎng)絡卡230更包括內(nèi)存234,用來暫存接收的多個網(wǎng)絡封包 240,避免因系統(tǒng)110處理網(wǎng)絡封包速度過慢造成丟包現(xiàn)象(Packet Lose)。處 理完成的網(wǎng)絡封包242亦可先暫存于內(nèi)存234,再由中央處理器210存取;或 直接搬運到系統(tǒng)110內(nèi)的主要內(nèi)存220或其它儲存空間(例如硬盤)。需轉發(fā)送 局域網(wǎng)絡的正常網(wǎng)絡封包244,亦可先暫存于內(nèi)存234,避免網(wǎng)絡阻塞時發(fā)生 丟包(Packet Lose)的現(xiàn)象。另外,主要內(nèi)存220則可暫存中央處理器210深 層解析過后的網(wǎng)絡封包242的封包內(nèi)容,以利中央處理器210分析統(tǒng)計封包內(nèi) 容的入侵行為分布(例如,分析入侵攻擊的網(wǎng)絡封包中,各種入侵行為所占網(wǎng) 絡封包總量的百分比)。
在本實施例中,所述的網(wǎng)絡封包解析程序可通過定義一些結構指針指向網(wǎng) 絡封包的數(shù)據(jù)段,以快速剖析網(wǎng)絡封包的通訊協(xié)議、來源地址、以及連接端口 號。舉例而言,利用掛勾函數(shù)(Hook Function)指到網(wǎng)絡封包文件頭中的通訊 協(xié)議字段所屬位的位置,并取出通訊協(xié)議字段寬度的數(shù)據(jù)段即可得知網(wǎng)絡封包 釆用的通訊協(xié)議為何。事實上,此等步驟可由網(wǎng)絡過濾器(Netfilter)取得。 通過網(wǎng)絡過濾器,可先阻斷每一個流經(jīng)系統(tǒng)]10的網(wǎng)絡封包240,并加以取出 網(wǎng)絡封包240中的通訊協(xié)議、來源地址、以及連接端口號等信息。
承上,前述的入侵封包定義文件包括預先定義的多條入侵行為規(guī)則,以及 入侵行為規(guī)則所對應的預設通訊協(xié)議、來源地址、以及連接端口號。例如,已 知網(wǎng)絡黑客會以阻斷式攻擊(DOS)方式,通過網(wǎng)頁瀏覽器對服務器的特定連接 端口(例如端口號80)傳送大量的NOP指令。則可在入侵封包定義文件預先寫 入一條入侵行為規(guī)則,若符合以TCP通訊協(xié)議存取連接端口 (端口號80)傳送 NOP指令大于默認值(Threshold)時,即判斷為入侵攻擊行為。另外,網(wǎng)絡管 理人員亦可通過一個使用者接口來修改記錄于入侵封包定義文件的入侵行為 規(guī)則,或新增入侵行為規(guī)則。同樣地,這些入侵行為規(guī)則亦包含對應的預設通 訊協(xié)議、來源地址、以及連接端口號。
在一些實施例中,前述中央處理器210更于過濾掉惡意封包之前(亦即將 判斷為惡意封包的網(wǎng)絡封包242濾除前),依據(jù)這些惡意封包的通訊協(xié)議、來源地址、以及連接端口號產(chǎn)生一條入侵行為規(guī)則,而自動新增到入侵封包定義 文件中。另外,為加快處理網(wǎng)絡封包的速度,微處理器232可通過多條執(zhí)行緒
(Thread)處理單一種類的通訊協(xié)議(例如TCP、 UDP通訊協(xié)議),并依據(jù)來源地 址、連接端口號來判斷該網(wǎng)絡封包是否為惡意封包。同樣地,中央處理器亦可 設定多條執(zhí)行緒來個別處理不同的入侵行為項目(亦即入侵封包定義文件所預 先定義的判別項目),以方便計算分析每種入侵行為的分布。
當然,本發(fā)明還可有其它多種實施例,在不背離本發(fā)明精神及其實質的情 況下,熟悉本領域的技術人員當可根據(jù)本發(fā)明作出各種相應的改變和變形,但 這些相應的改變和變形都應屬于本發(fā)明所附的權利要求的保護范圍。
權利要求
1、一種網(wǎng)絡入侵防護系統(tǒng),架設在局域網(wǎng)絡的重要節(jié)點處,用以濾除包含惡意入侵/攻擊行為內(nèi)容的網(wǎng)絡封包,其特征在于,該網(wǎng)絡入侵防護系統(tǒng),至少包括一網(wǎng)絡卡,接收數(shù)個網(wǎng)絡封包,該網(wǎng)絡卡包括一微處理器;一網(wǎng)絡封包剖析程序,通過該微處理器執(zhí)行該網(wǎng)絡封包剖析程序,以剖析該些網(wǎng)絡封包的通訊協(xié)議、來源地址、以及連接端口號;一惡意封包的濾除程序,通過該微處理器執(zhí)行,并依據(jù)該網(wǎng)絡封包剖析程序的剖析結果及一入侵封包定義文件判斷該些網(wǎng)絡封包是否可能為惡意網(wǎng)絡封包,并加以濾除;以及一中央處理器,用以處理下列程序剖析剩余的該些網(wǎng)絡封包的封包內(nèi)容;根據(jù)該入侵封包定義文件及剩余該些網(wǎng)絡封包的封包內(nèi)容,判斷是否為惡意網(wǎng)絡封包;以及濾除該些惡意網(wǎng)絡封包,并通過該網(wǎng)絡卡將剩余正常的網(wǎng)絡封包傳送至內(nèi)部局域網(wǎng)絡的計算機。
2、 根據(jù)權利要求1所述的網(wǎng)絡入侵防護系統(tǒng),其特征在于,該網(wǎng)絡卡更 包括一內(nèi)存,用以暫存該些網(wǎng)絡封包。
3、 根據(jù)權利要求1所述的網(wǎng)絡入侵防護系統(tǒng),其特征在于,該網(wǎng)絡入侵 防護系統(tǒng)更包括一主要內(nèi)存,用以暫存該些網(wǎng)絡封包解析后的封包內(nèi)容。
4、 根據(jù)權利要求1所述的網(wǎng)絡入侵防護系統(tǒng),其特征在于,該入侵封包 定義文件包括數(shù)條入侵行為規(guī)則及對應該些入侵行為規(guī)則的預設通訊協(xié)議、來 源地址、以及連接端口號。
5、 根據(jù)權利要求1所述的網(wǎng)絡入侵防護系統(tǒng),其特征在于,該中央處理 器更包括依據(jù)濾除惡意入侵的該些網(wǎng)絡封包中的通訊協(xié)議、來源地址、以及連 接端口號,自動新增對應的該入侵行為規(guī)則于該入侵封包定義文件。
6、 根據(jù)權利要求1所述的網(wǎng)絡入侵防護系統(tǒng),其特征在于,該網(wǎng)絡封包 剖析程序通過數(shù)個結構指針指向該些網(wǎng)絡封包的數(shù)據(jù)段,以快速剖析該些網(wǎng)絡封包的通訊協(xié)議、來源地址、以及連接端口號。
7、 根據(jù)權利要求1所述的網(wǎng)絡入侵防護系統(tǒng),其特征在于,更包括通過 一使用者接口修改該入侵封包定義文件的該些入侵行為規(guī)則及對應的預設通 訊協(xié)議、來源地址、以及連接端口號。
8、 根據(jù)權利要求1所述的網(wǎng)絡入侵防護系統(tǒng),其特征在于,該微處理器 更包括通過數(shù)條執(zhí)行緒個別處理該入侵封包定義文件定義的預設通訊協(xié)議、來 源地址或連接端口號。
9、 根據(jù)權利要求1所述的網(wǎng)絡入侵防護系統(tǒng),其特征在于,該中央處理 器更包括通過該些執(zhí)行緒個別處理該入侵封包定義文件定義的該些入侵行為 規(guī)則。
全文摘要
一種網(wǎng)絡入侵防護系統(tǒng)。網(wǎng)絡入侵防護系統(tǒng)架設于重要網(wǎng)絡節(jié)點,例如設置在邊界路由器,用以濾除包含惡意入侵/攻擊行為內(nèi)容的網(wǎng)絡封包。網(wǎng)絡入侵防護系統(tǒng)內(nèi)的網(wǎng)絡卡設置有微處理器、網(wǎng)絡封包剖析程序,及過濾掉惡意入侵封包程序,用以依據(jù)網(wǎng)絡封包的標頭文件信息,預先濾除惡意網(wǎng)絡封包。之后,再由網(wǎng)絡入侵防護系統(tǒng)的中央處理器剖析剩余網(wǎng)絡封包的封包內(nèi)容,并依據(jù)入侵行為定義文件來判斷這些網(wǎng)絡封包是否為惡意封包。若是惡意封包,則加以丟棄;若不是惡意封包,則將網(wǎng)絡封包傳送給內(nèi)部局域網(wǎng)絡的計算機。
文檔編號H04L12/24GK101453365SQ20071019494
公開日2009年6月10日 申請日期2007年12月5日 優(yōu)先權日2007年12月5日
發(fā)明者劉文涵, 怡 陳, 陳玄同 申請人:英業(yè)達股份有限公司
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會獲得點贊!
1