專利名稱:使用端點資源的網(wǎng)絡(luò)安全單元的制作方法
技術(shù)領(lǐng)域:
本發(fā)明的實施例涉及計算機安全。更具體來說��,本發(fā)明的實施例涉 及使用端點資源的網(wǎng)絡(luò)安全單元。
背景技術(shù):
對于計算機操作��,已經(jīng)引入了許多網(wǎng)絡(luò)安全單元�,以便防止外人的 攻擊。例如�,未授權(quán)的人經(jīng)常試圖通過探測網(wǎng)絡(luò)獲取系統(tǒng)中的可訪問點 來訪問網(wǎng)絡(luò)資源。在已經(jīng)設(shè)計為應(yīng)對未授權(quán)網(wǎng)絡(luò)進入的網(wǎng)絡(luò)安全單元中有暗網(wǎng)分析 器和蜜罐�,它們組合起來將有害業(yè)務(wù)誘離操作計算機資源,并且允許系 統(tǒng)工作人員分析攻擊者�����。 一般來"^兌��,安全單元會認識到�����,未授權(quán)的人正 試圖訪問未用子網(wǎng)上的IP(因特網(wǎng)協(xié)議)地址�����,因而不應(yīng)當^皮訪問����。 一旦 檢測到該訪問����,就可將未授權(quán)用戶定向到與操作網(wǎng)絡(luò)分開的并且可稱作 "暗網(wǎng)"的服務(wù)器或系統(tǒng)�。另外��,網(wǎng)絡(luò)安全可嘗試才莫擬該系統(tǒng)�,以便設(shè) 法慫恿未授權(quán)用戶泄露該用戶的訪問方法或者與網(wǎng)絡(luò)有關(guān)的知識水平 (稱作"蜜耀"),由此使系統(tǒng)管理員能夠改進網(wǎng)絡(luò)安全性�。然而,常規(guī)的系統(tǒng)在操作上受限制�����,且在許多情況下保護不了網(wǎng) 絡(luò)�。如果未授權(quán)用戶具有足夠的知識,那么該用戶就可能能夠避免觸發(fā) 暗網(wǎng)操作�。例如,如果用戶能夠避開未分配IP地址或未用網(wǎng)絡(luò)���,就可 能檢測不到該用戶�����。另外����,暗網(wǎng)/蜜罐的操作可能被未授權(quán)用戶檢測到, 使該用戶可在網(wǎng)絡(luò)管理員能夠獲得有關(guān)入侵者的信息前就中斷聯(lián)系�。發(fā)明內(nèi)容根據(jù)本發(fā)明的一個方面,提供一種方法����,包括在端點服務(wù)器接收
訪問網(wǎng)絡(luò)的請求;檢測所述訪問網(wǎng)絡(luò)的請求包含未授權(quán)請求���;以及將所 述訪問網(wǎng)絡(luò)的請求定向到網(wǎng)絡(luò)安全單元����。根據(jù)本發(fā)明的另一方面�,提供一種服務(wù)器,包括接口��,接收訪問 網(wǎng)絡(luò)的請求�;模塊,檢測訪問網(wǎng)絡(luò)的授權(quán)請求����;以及網(wǎng)絡(luò)安全單元,所 述服務(wù)器將檢測的未授權(quán)請求定向到所述網(wǎng)絡(luò)安全單元��。根據(jù)本發(fā)明的又一方面,提供一種網(wǎng)絡(luò)���,包括以太網(wǎng)電纜�����,用于 以太網(wǎng)連接;端點服務(wù)器����,耦合到所述以太網(wǎng)電纜,所述端點服務(wù)器檢 測訪問網(wǎng)絡(luò)的未授權(quán)請求�;網(wǎng)絡(luò)安全單元,與所述端點服務(wù)器耦合�����,所 述端點服務(wù)器將檢測的訪問網(wǎng)絡(luò)的未授權(quán)請求發(fā)送到所述網(wǎng)絡(luò)安全單 元�����;以及安全服務(wù)器���,與所述網(wǎng)絡(luò)的操作分開����,所述安全服務(wù)器從所述 網(wǎng)絡(luò)安全單元接收有關(guān)所述未4吏權(quán)請求的數(shù)據(jù)。根據(jù)本發(fā)明的再一方面����,提供一種制品,包括機器可存取介質(zhì)�����, 包含當由機器存取時使所述機器執(zhí)行包括以下步驟的操作的數(shù)據(jù)在端 點服務(wù)器接收訪問網(wǎng)絡(luò)的請求�����;檢測所述訪問網(wǎng)絡(luò)的請求包含未授權(quán)請 求�;以及將所述訪問請求定向到網(wǎng)絡(luò)安全單元。
在附圖中作為實例而不是限制來說明本發(fā)明的實施例�����,附圖中相似 的參考標號表示相似的單元圖1是網(wǎng)絡(luò)安全單元用于檢測和防止未授權(quán)進入網(wǎng)絡(luò)的圖示��;圖2是分布式網(wǎng)絡(luò)安全系統(tǒng)的實施例�;圖3是用于出站分組監(jiān)測的過程的圖示;圖4是用于入站分組監(jiān)測的過程的圖示;以及圖5是利用本發(fā)明實施例的計算機系統(tǒng)的圖示�����。
具體實施方式
本發(fā)明的實施例涉及使用端點資源的網(wǎng)絡(luò)安全單元���。 如本文所用的
"暗網(wǎng)"是指用于引導(dǎo)未授^l的使用離開操作網(wǎng)絡(luò)單元的網(wǎng)絡(luò)服務(wù) 器或單元�。在一個通用實例中��,試圖訪問未用子網(wǎng)中的未分配IP地址的用戶可^皮^r測到并定向到暗網(wǎng)���。"蜜罐"是指用于模擬未授權(quán)用戶的網(wǎng)絡(luò)訪問的網(wǎng)絡(luò)單元。在一個 實例中�,可將被懷疑是未授權(quán)的訪問網(wǎng)絡(luò)的一方定向到蜜罐,以便獲得 與未授權(quán)訪問嘗試有關(guān)的信息���。"網(wǎng)絡(luò)安全單元"是指用來保護網(wǎng)絡(luò)免于未授權(quán)訪問的單元��。術(shù)語 "網(wǎng)絡(luò)安全單元"包括但不限于暗網(wǎng)或蜜罐��。在本發(fā)明的實施例中�,防止未授權(quán)用戶的網(wǎng)絡(luò)安全單元分布于整個 網(wǎng)絡(luò)�����。在本發(fā)明的實施例中,通過在網(wǎng)絡(luò)端點中使用分布式網(wǎng)絡(luò)安全單 元來擴展網(wǎng)絡(luò)安全的操作���。在一個實例中����,通過將功能分布到網(wǎng)絡(luò)端點 來擴展被定向到暗網(wǎng)/蜜罐的已授權(quán)訪問類型�。在本發(fā)明的實施例中, 網(wǎng)絡(luò)安全單元分析可由端點資源訪問的等級上的業(yè)務(wù)���,而不是限制于常 規(guī)的操作�����。網(wǎng)絡(luò)安全單元諸如暗網(wǎng)和蜜罐是企業(yè)安全武器庫中的極有用的工 具�����。這些安全單元通常存在于中央位置�,并且通常通過導(dǎo)離送往未用子 網(wǎng)中的IP地址的業(yè)務(wù)���,而具有到企業(yè)EP空間某些部分中的可見性����。但 是,用這種方法一個值得注意的問題是��,它沒有提供任何到許多事件中 的可見性�,其中送往已用IP地址或者到已用網(wǎng)絡(luò)中未用IP地址的業(yè)務(wù) 避開安全單元。因此�,常規(guī)的構(gòu)造在應(yīng)對在行的或熟練的攻擊者方面不 太有用。了解IP空間分配的攻擊者����,諸如在探測之前監(jiān)測網(wǎng)絡(luò)業(yè)務(wù)或 者具有其它拓樸知識的攻擊者,能夠部分或完全避開這些檢測系統(tǒng)�����,因 此��,安全單元對于能夠?qū)⒃L問限制于活動網(wǎng)絡(luò)中的已分配IP地址或多 個地址的攻擊者沒有任何可見性�。在本發(fā)明的實施例中��,網(wǎng)絡(luò)安全分布于整個網(wǎng)絡(luò)�����,使得端點資源可 用于安全性。通過提供被定向到暗網(wǎng)的業(yè)務(wù)的較細粒度�,端點資源的使 用允許在更多操作中的可見性,并允許在端點級才莫擬操作���,由此改進才莫 擬質(zhì)量��。暗網(wǎng)操作的分布可操作以使安全系統(tǒng)更難以避開(因為有效地 址包含在系統(tǒng)范圍內(nèi))�����,并使安全系統(tǒng)更難以檢測到(因為端點系統(tǒng)能夠 更緊密地接近操作系統(tǒng)的操作)���。在一個實例中,端點能夠為分組提供與正常系統(tǒng)相同的TTL(生存時間-IP分組中的一個值�,它告訴路由器 該分組在網(wǎng)絡(luò)中是否過長并且應(yīng)當丟棄),由此提供一種響應(yīng)�����,該響應(yīng) 由于遠程系統(tǒng)的分組傳輸?shù)谋匾舆t而從遠程暗網(wǎng)中得不到���。在本發(fā)明的實施例中��,網(wǎng)絡(luò)包括服務(wù)器的一個或多個模擬��,這些單 元由真實主機系統(tǒng)模擬���。例如��,網(wǎng)絡(luò)路由器可提供對一個或多個真實主 機系統(tǒng)以及由真實系統(tǒng)所模擬的 一個或多個模擬系統(tǒng)的訪問�。模擬系統(tǒng) 打算看起來是操作系統(tǒng)的一部分�,但實際上是在端點級的^t擬。在本發(fā)明的實施例中��,網(wǎng)絡(luò)安全的分布可在網(wǎng)絡(luò)中實現(xiàn)�����,而無需才殳 資重要資源�。例如,對于網(wǎng)絡(luò)安全操作的分布僅需要ME(管理引擎)中 的比較少數(shù)量的端點資源�。此外,不需要巻入主機OS (操作系統(tǒng))�,因 而使分布式安全單元的部署和使用簡單。在本發(fā)明的實施例中�,不需要 巻入OS����,因為所有網(wǎng)絡(luò)業(yè)務(wù)都通過ME�,因此在OS甚至有機會查看惡 意分組之前就可采取安全對策�����。因此����,沒有暴露OS,并且入侵嘗試處 理完全保持在ME裝置內(nèi)��。在本發(fā)明的實施例中�,端點外殼(為安全性提供的服務(wù)器模擬)操作 以向中央安全服務(wù)器(暗網(wǎng)/蜜罐服務(wù)器)發(fā)送看來像是未授權(quán)的某些類 型的業(yè)務(wù)(它們也可稱作定義為"所關(guān)注"的任何業(yè)務(wù))或者與這種業(yè)務(wù) 有關(guān)的統(tǒng)計。分布式安全單元的使用可用于增加這類構(gòu)造到操作中的可 見性�����。在一個實施例中�����,分布式網(wǎng)絡(luò)安全單元可用于避免常規(guī)操作的主 要缺失�����,其是通常由暗網(wǎng)/蜜罐服務(wù)器提供的網(wǎng)絡(luò)空間的選擇性視圖��。在本發(fā)明的具體實施例中,例如由英特爾公司制造的英特爾主動管 理技術(shù)(iAMT) ME (管理引擎)的資源可用于有選擇地檢測某些業(yè)務(wù)類 型或者創(chuàng)建某些統(tǒng)計����,并將其傳遞到中央暗網(wǎng)/蜜罐。但是���,本發(fā)明的 實施例不限于這種環(huán)境���。在一個實施例中,用于對"所關(guān)注"網(wǎng)絡(luò)業(yè)務(wù) 進行分類的代理可以是斷路器(CB)��,斷路器是在接收到某種信號或數(shù)據(jù) 時"脫扣"的單元�。在本發(fā)明的實施例中,ME的擴展可用于執(zhí)行蜜罐
型動作�,或者可用于將通過它的某些業(yè)務(wù)類型復(fù)制到遠程分析器。在一個實例中����,如果服務(wù)器接收到指示建立TCP(傳輸控制協(xié)議)連接的請求 的SYN請求,但業(yè)務(wù)被送往已關(guān)閉端口���,則服務(wù)器通常將發(fā)送RST(重 置)響應(yīng)����。在本發(fā)明的實施例中�,服務(wù)器的ME可配置成,在業(yè)務(wù)被送 往已關(guān)閉端口時��,發(fā)送SYNACK(或者SYN/ACK)(響應(yīng)于發(fā)送到服務(wù)器 的SYN的確認和同步)響應(yīng)來代替RST響應(yīng)����,然后向暗網(wǎng)/蜜罐服務(wù)器 發(fā)送后面的分組或多個分組。在本發(fā)明的實施例中����,在端點代理中建立的網(wǎng)絡(luò)安全單元的操作包 括導(dǎo)離所檢測的未授權(quán)網(wǎng)絡(luò)業(yè)務(wù)。用于這種導(dǎo)離的方法在不同實現(xiàn)中可 以不同���,并且可包括但不限于以下步驟(1) 開啟IP隧道以轉(zhuǎn)發(fā)未4更權(quán)業(yè)務(wù)��?�?墒褂酶鞣N方式建立IP隧道���, 包括例如IP-in-IP隧道(一般用于轉(zhuǎn)發(fā)端點之間的信息,充當IP互連網(wǎng) 絡(luò)具有不同能力的部分之間的橋�����;如在"IP in IP隧穿"(Internet Network Working Group RFC 1853, 1995年10月)中提供的;還參見"IP內(nèi)的IP 封裝"(Internet Network Working Group RFC 2003��, 1996年10月)���;或 者其它類似的方法���。(2) 用已知的DSCP(差分服務(wù)代碼點,它指定在IP分組標題中為了 分組分類而提供的字段)值來標記業(yè)務(wù)����。在這個實例中,允許網(wǎng)絡(luò)基礎(chǔ) 設(shè)施采用基于策略的路由方法將指定信息傳遞到暗網(wǎng)�����。在本發(fā)明的實施例中�,根^^具體實現(xiàn),端點代理可向中央暗網(wǎng)/蜜 罐控制器傳遞與指定標準匹配的所有分組���、諸如這種業(yè)務(wù)的統(tǒng)計抽樣等 某些分組���、或者只是關(guān)于這種業(yè)務(wù)的統(tǒng)計。如果大量的站參與分布式端 點安全解決方案,則甚至網(wǎng)絡(luò)業(yè)務(wù)的稀疏統(tǒng)計抽樣就可提供到網(wǎng)絡(luò)環(huán)境 中正在發(fā)生的情況中的足夠可見性��,從而允許網(wǎng)絡(luò)管理員分析該情況��。在本發(fā)明的具體實施例中�,網(wǎng)絡(luò)可利用現(xiàn)有端點���,諸如支持iAMT 的端點�����,作為企業(yè)安全分析實體��,而無需了解主機OS或者由主機OS 參與�����。這種結(jié)構(gòu)是所希望的���,因為它沒有使端點配置變復(fù)雜,并且它使 對性能的影響減到最小�。另外,分布式安全結(jié)構(gòu)的實施例直接由管理團 體而不是由站管理員來控制�。使用主機OS外部的受控實體簡化了將實 體結(jié)合到ISP安全傳感器網(wǎng)絡(luò)的整個企業(yè)的過程,并且可行動以關(guān)閉惡 意件活動的可見性中的顯著間隙。用惡意件的預(yù)期連續(xù)演進�����,這種能力在實現(xiàn)深入防御方面可能是顯著的�。此外,在os外部提供安全實體可 用于防止惡意件竄改os�。在本發(fā)明的實施例中,提供一種過程以便增強暗網(wǎng)和蜜罐功能性��, 并且操作以防止拓樸上知道的惡意件逃避審查的能力�����。在本發(fā)明的實施 例中��,系統(tǒng)允許將域中的每個主機用作蜜罐����。圖1是網(wǎng)絡(luò)安全單元用于4僉測和/或防止未授權(quán)或惡意業(yè)務(wù)進入網(wǎng)絡(luò)的圖示。在這個圖示中�,未授^l或有威脅用戶105正試圖進入可能受 到包括例如防火墻110在內(nèi)的各種安全代理和裝置保護的網(wǎng)絡(luò)(網(wǎng)絡(luò)外 部的用戶105a),或者已經(jīng)是這種網(wǎng)絡(luò)的合法用戶(網(wǎng)絡(luò)內(nèi)部的用戶 105b)。如果用戶105能夠躲避開其它安全措施��,則用戶可能試圖訪問 系統(tǒng)上的一個或多個IP地址�����,或者對其形成攻擊。除了可能是操作網(wǎng) 絡(luò)125的一部分或者提供對操作網(wǎng)絡(luò)125的訪問的系統(tǒng)IP地址115之 外��,還可能存在正常情況下不應(yīng)^皮訪問的某些未用IP地址120��。用戶 105訪問未用IP地址的嘗試可能導(dǎo)致該活動^皮檢測到和/或?qū)I(yè)務(wù)重定 向到暗網(wǎng)/蜜罐服務(wù)器����,該暗網(wǎng)/蜜罐服務(wù)器可模擬操作網(wǎng)絡(luò)以便引誘未 授權(quán)用戶泄露與用戶的方法或意圖有關(guān)的信息����。另外,其它網(wǎng)絡(luò)單元可 用來限制用戶的訪問���,其可基于在暗網(wǎng)中得到的信息��。但是����,未授權(quán)用戶可能已獲得了與IP地址分配有關(guān)的知識��,因而 可避免訪問上述未用IP空間���,因此避免了^皮檢測到或重定向到暗網(wǎng) 130���。此外��,即使用戶105^皮定向到暗網(wǎng)�����,暗網(wǎng)的操作也可能泄露其實 際功能����。具體來說����,與用戶105正試圖到達的本地系統(tǒng)相反,獲得來自 中央暗網(wǎng)服務(wù)器的響應(yīng)的延遲可能導(dǎo)致用戶注意到了該情況����。如果用戶 105因此得到預(yù)先警告�����,則用戶可能嘗試不同的策略來避免檢測���。在本發(fā)明的一個實施例中�����,通過使用端點操作來輔助暗網(wǎng)/蜜罐服 務(wù)器130的功能��。在本發(fā)明的一個實施例中����,暗網(wǎng)和蜜罐操作利用本地 化端點功能來實現(xiàn)改進的安全過程。圖2是分布式網(wǎng)絡(luò)安全系統(tǒng)的實施例����。圖2所示的系統(tǒng)只是可能的 網(wǎng)絡(luò)結(jié)構(gòu)的實例����,并且本發(fā)明的實施例不限于任何特定網(wǎng)絡(luò)結(jié)構(gòu)。在這 個圖示中����,廣域網(wǎng)(WAN)205包4舌分布式暗網(wǎng)控制器210。暗網(wǎng)控制器 210充當在網(wǎng)絡(luò)端點實現(xiàn)的分布式安全單元的控制器����。WAN 205可包 括用于校園的多個路由器�,包括校園AWAN路由器215���、校園BWAN 路由器220直至校園N WAN路由器225��。校園A WAN路由器215可 向局域網(wǎng)(LAN)路由器230發(fā)送數(shù)據(jù)�,其中的局域網(wǎng)包括真實主機A 240�、真實主機B245以及實際上由主機A240模擬的主機C250。類似 地�����,校園B WAN路由器220可向局域網(wǎng)(LAN)路由器235發(fā)送數(shù)據(jù)��, 其中的局域網(wǎng)包括真實主機X255����、真實主機Y260以及實際上由主機 X255模擬的主機Z265。在本發(fā)明的實施例中�,網(wǎng)絡(luò)的暗網(wǎng)操作由分布式暗網(wǎng)控制器210 控制,并分布到模擬網(wǎng)絡(luò)主機單元�,主機C 250和主機Z 265。在本發(fā) 明的一個實施例中����,通過模擬主機和真實主機系統(tǒng)二者提供了到不當網(wǎng) 絡(luò)請求中的增加可見性�。將業(yè)務(wù)定向到虛擬主機C250和Z265的嘗試 會被轉(zhuǎn)發(fā)到暗網(wǎng)控制器210或l良告給它���。另外����,送往真實主機A���、 B�、 X和Y上未用端口的任何業(yè)務(wù)也可被轉(zhuǎn)發(fā)到暗網(wǎng)控制器210或凈艮告給 它�。重定向業(yè)務(wù)轉(zhuǎn)移可通過IP隧穿、通過用已知DSCP標記業(yè)務(wù)或者 通過另一種方法來提供����。另外,主機服務(wù)器還可截取規(guī)定關(guān)閉端口的任 何RST,并改為發(fā)送SYNACK以便查看進行什么連接嘗試�����,并且可將 請求隧穿到控制器210的分布式蜜罐操作�,以洞悉與所嘗試未授權(quán)訪問 有關(guān)的信息��。圖3是用于出站分組監(jiān)測的過程的圖示�。在這個圖示中�,在建立出 站分組監(jiān)測過程305時�,確定系統(tǒng)是否處于蜜罐沖莫式310,即其中對于 未授權(quán)請求存在蜜罐操作的模式�����。如果否��,則分組可通過�����,并且過程返 回315�。如果蜜罐模式是活動的,則確定RST條件是否存在320�。如果 否,則分組可通過�,并且過程返回315。如果存在RST條件����,則改為發(fā)
送SYNACK325,嘗試引誘未授權(quán)用戶泄露更多的信息。該過程還包括 調(diào)用蜜罐TCP模擬����,以使未授權(quán)用戶確信正在建立TCP會話��。圖4是用于入站分組監(jiān)測的過程的圖示�����。在本發(fā)明的實施例中����,在 建立入站分組監(jiān)測過程405時�����,來自未授權(quán)用戶的入站分組通過410��。 確定系統(tǒng)是否處于蜜罐模式415��。如果否��,則該過程繼續(xù)進行�����,直至接 收到另一個分組���。如果系統(tǒng)處于蜜罐才莫式����,則計算與分組有關(guān)的統(tǒng)計 420�,該統(tǒng)計然后可用于分析未4受權(quán)的網(wǎng)絡(luò)業(yè)務(wù)。圖5是使用本發(fā)明實施例的計算機系統(tǒng)的圖示�。在一個實施例中, 計算機系統(tǒng)可表示服務(wù)器的端點服務(wù)器��,端點服務(wù)器用于網(wǎng)絡(luò)的分布式 暗網(wǎng)/蜜罐操作����。沒有示出與本發(fā)明無關(guān)系密切的某些標準和眾所周知 的組件��。在本發(fā)明的一個實施例下�,計算機500包括總線505或者用 于傳遞信息的其它通信部件�����;以及處理部件�,諸如與總線505耦合以便 處理信息的兩個或更多個處理器510(示為第一處理器515和第二處理 器520)����。處理器510可包括一個或多個物理處理器以及一個或多個邏輯 處理器。此外,每一個處理器510都可包括多個處理器核心�。為了簡明 起見,計算機500示為具有單個總線505��,但是計算機也可具有多個不 同的總線�,并且到這類總線的組件連接可有所不同。圖5所示的總線 505是一種抽象�����,它表示任何一個或多個獨立物理總線����、點對點連接或 者通過適當橋、適配器或控制器連接的兩者����。因此,總線505可包括例 如系統(tǒng)總線����、外圍部件互連(PCI)總線、超傳輸或工業(yè)標準體系結(jié)構(gòu)(ISA) 總線�、小型計算機系統(tǒng)接口(SCSI)總線、通用串行總線(USB)�����、 1IC(I2C) 總線�����、或者電氣與電子工程師協(xié)會(IEEE)標準1394總線�����,有時稱作"火 線"���。("高性能串行總線標準"1394-1995���, IEEE, 1996年8月30日 出版,以及增補)計算機500還包括隨機存取存儲器(RAM)或其它動態(tài)存儲裝置�,作 為主存儲器525,用于存儲要由處理器510執(zhí)行的信息和指令����。主存儲 器525還可用于在處理器510執(zhí)行指令期間存儲臨時變量或其它中間信 息。RAM存儲器包括需要刷新存儲器內(nèi)容的動態(tài)隨機存取存儲器 (DRAM)以及不需要刷新內(nèi)容但成本增加的靜態(tài)隨機存取存儲器 (SRAM)����。 DRAM存儲器可包括包含控制信號的時鐘信號的同步動態(tài)隨 機存取存儲器(SDRAM)以及擴展數(shù)據(jù)輸出動態(tài)隨機存取存儲器(EDO DRAM)�。主存儲器的用途可包^"存儲從無線裝置接收的信號��。計算機 500還可包括只讀存儲器(ROM) 530和/或其它靜態(tài)存儲裝置�����,用于存儲 處理器510的靜態(tài)信息和指令��。數(shù)據(jù)存儲裝置535還可耦合到計算機500的總線505�����,用于存儲信 息和指令��。數(shù)據(jù)存儲裝置535可包括磁盤或光盤及其對應(yīng)的驅(qū)動器�����、閃 存或其它非易失性存儲器或者其它存儲裝置�。這類單元可組合在一起, 或者可以是獨立組件����,并利用計算機500的其它單元部分。計算機500還可經(jīng)由總線505耦合到顯示裝置540���,例如陰極射線 管(CRT)顯示器���、液晶顯示器(LCD)���、等離子顯示器或者任何其它顯示 技術(shù)����,用于向終端用戶顯示信息。在一些環(huán)境中����,顯示裝置可以是觸摸 屏,它還用作輸入裝置的至少一部分�。在一些環(huán)境中,顯示裝置540 可以是或者可包括音頻裝置��,諸如用于提供音頻信息的揚聲器���。輸入裝 置545可耦合到總線505���,用于向處理器510傳遞信息和/或命令選擇。 在各種實現(xiàn)中���,輸入裝置545可以是鍵盤���、小鍵盤����、觸摸屏和輸入筆���、 語音激活系統(tǒng)或其它輸入裝置�,或者這類裝置的組合���?���?砂ㄔ趦?nèi)的另 一種類型用戶輸入裝置是光標控制裝置550�����,諸如鼠標����、跟蹤球或光標 方向鍵,用于向一個或多個處理器510傳遞方向信息和命令選擇��,并用 于控制顯示裝置540上的光標移動。通信裝置555也可耦合到總線505�����。根據(jù)具體實現(xiàn)�,通信裝置555 可包括收發(fā)器、無線調(diào)制解調(diào)器�����、網(wǎng)絡(luò)接口卡�、母板上的LAN(局域網(wǎng)) 或者其它接口裝置��。通信裝置555的用途可包括接收來自無線裝置的信 號���。對于無線電通信����,通信裝置555可包括一個或多個天線558����。在一 個實施例中,通信裝置555可包括防火墻�����,以保護計算機500免于不當 訪問。計算機500可鏈接到諸如LAN(局域網(wǎng))565的網(wǎng)絡(luò)或使用通信裝 置555的其它裝置���,這可包括鏈接到因特網(wǎng)�、局域網(wǎng)或另一種環(huán)境��。計 算機500還可包括電力裝置或系統(tǒng)560����,它可包括電源、電池或太陽能 電池�、燃料電池或者用于提供或產(chǎn)生電力的其它系統(tǒng)或裝置。由電力裝 置或系統(tǒng)560提供的電力可根據(jù)需要分布到計算機500的單元�����。在本發(fā)明的一個實施例中���,計算機500是包含充當一部分分布式網(wǎng) 絡(luò)安全系統(tǒng)的能力的端點服務(wù)器�����。在一個實施例中�,處理器510處理入 局數(shù)據(jù)分組,并檢測看來像是未授權(quán)的分組��,諸如包括訪問未用地址或 端口號的請求的分組�。在一個實施例中,為了控制器安全操作以及分析 檢測的業(yè)務(wù)�����,計算機向集中暗網(wǎng)控制器轉(zhuǎn)發(fā)一些或所有未授權(quán)數(shù)據(jù)業(yè)務(wù) 或者與數(shù)據(jù)業(yè)務(wù)有關(guān)的統(tǒng)計�����。受益于本公開的本領(lǐng)域技術(shù)人員會理解���,在本發(fā)明的范圍內(nèi)可對以 上說明書和附圖進行許多其它改變。實際上����,本發(fā)明不限于上述細節(jié)。 而是�����,由以下包含其任何修改的權(quán)利要求書來定義本發(fā)明的范圍�����。在以上說明書中,為了便于解釋�����,闡述了大量具體細節(jié)��,以便提供 本發(fā)明的全面理解�。然而,本領(lǐng)域的技術(shù)人員要清楚�����,沒有這些具體細 節(jié)其中的一部分也可以實施本發(fā)明���。在其它情況下�,以框圖形式示出眾 所周知的結(jié)構(gòu)和裝置��。本發(fā)明可包括各種過程�����。本發(fā)明的過程可由硬件組件執(zhí)行,或者可 包含在機器可執(zhí)行指令中��,這些指令可用于使得用這些指令編程的通用 或?qū)S锰幚砥骰蜻壿嬰娐穲?zhí)行這些過程����。或者���,這些過程可由硬件和軟 件的組合來執(zhí)行�。本發(fā)明各部分可提供為計算機程序產(chǎn)品��,它可包括其上存儲有指令 的機器可讀介質(zhì)��,這些指令可用于對計算機(或其它電子裝置)編程以執(zhí) 行根據(jù)本發(fā)明的過程����。機器可讀介質(zhì)可包括但不限于軟盤、光盤�����、 CD-ROM(緊致盤只讀存儲器)以及磁光盤�����、ROM(只讀存儲器)��、RAM(隨 機存取存儲器)����、EPROM(可擦除可編程只讀存儲器)、EEPROM(電可擦 除可編程只讀存儲器)�����、磁卡或光卡��、閃存或者適合于存儲電子指令的 其它類型介質(zhì)/機器可讀介質(zhì)���。此外�����,本發(fā)明還可作為計算機程序產(chǎn)品 下載����,其中程序可通過包含在載波或其它傳播介質(zhì)中的數(shù)據(jù)信號經(jīng)由通
信鏈路(例如調(diào)制解調(diào)器或網(wǎng)絡(luò)連接)從遠程計算機傳送到發(fā)出請求的 計算機����。以其最基本的形式對許多方法進行了描述�,^f旦可以對任何方法添加 或刪除過程���,并且可對任何所述消息添加或減少信息�,并不背離本發(fā)明 的基本范圍���。本領(lǐng)域的技術(shù)人員要清楚�����,可進行其它修改和改寫�����。提供 具體實施例不是限制本發(fā)明����,而是對其進行說明��。本發(fā)明的范圍不是由 以上提供的具體實例確定��,而是僅由以下權(quán)利要求書確定�。還應(yīng)理解,遍及本說明提到的"一個實施例"或"實施例"是指某 個具體特征可包含在本發(fā)明的實施中�����。類似地��,應(yīng)理解��,在本發(fā)明示范 實施例的以上描述中���,為了簡化本公開并幫助理解各發(fā)明方面中的 一個 或多個��,本發(fā)明的各種特征有時集中在單個實施例���、附圖或其描述中。 然而��,這個公開方法不應(yīng)解釋為反映所要求的發(fā)明需要比各權(quán)利要求中 明確列舉的更多的特征的發(fā)明��。而是���,如以下權(quán)利要求所反映的�����,發(fā)明 方面在于少于以上公開的單個實施例的所有特征�����。因此�����,權(quán)利要求書由 此明確地結(jié)合到此說明書中��,其中每個權(quán)利要求本身代表本發(fā)明的獨立 實施例�。
權(quán)利要求
1.一種方法,包括在端點服務(wù)器接收訪問網(wǎng)絡(luò)的請求��;檢測所述訪問網(wǎng)絡(luò)的請求包含未授權(quán)請求�;以及將所述訪問網(wǎng)絡(luò)的請求定向到網(wǎng)絡(luò)安全單元。
2. 如權(quán)利要求1所述的方法�,其中所述未授權(quán)請求包括對有放地 址的未用單元的請求。
3. 如權(quán)利要求2所述的方法���,其中所述未用單元是有效IP(因特網(wǎng) 協(xié)議)地址的未用端口���。
4. 如權(quán)利要求1所述的方法,還包括將有關(guān)所述未授權(quán)請求的數(shù) 據(jù)從所述網(wǎng)絡(luò)安全單元定向到與所述網(wǎng)絡(luò)的操作分開的安全控制器���。
5. 如權(quán)利要求4所述的方法��,其中有關(guān)所述未授權(quán)請求的所述數(shù) 據(jù)包括含有所述訪問網(wǎng)絡(luò)的請求的數(shù)據(jù)分組�。
6. 如權(quán)利要求4所述的方法�����,其中所述數(shù)據(jù)包括描述所述訪問網(wǎng) 絡(luò)的請求的統(tǒng)計��。
7. 如權(quán)利要求1所述的方法�,還包括所述網(wǎng)絡(luò)安全單元用所述 請求的確認來響應(yīng)所述訪問請求。
8. 如權(quán)利要求1所述的方法��,其中所述網(wǎng)絡(luò)安全單元是才莫擬服務(wù)器����。
9. 一種服務(wù)器,包括4妄口 ����,接收訪問網(wǎng)絡(luò)的請求;模塊���,檢測訪問網(wǎng)絡(luò)的未授權(quán)請求����;以及網(wǎng)絡(luò)安全單元,所述月良務(wù)器將檢測的未授權(quán)請求定向到所述網(wǎng)絡(luò)安 全單元��。
10. 如權(quán)利要求9所述的服務(wù)器���,其中檢測的未授權(quán)請求包括對有 效網(wǎng)絡(luò)地址的未用單元的請求���。
11. 如權(quán)利要求10所述的服務(wù)器,其中所述未用單元是有效IP(因特網(wǎng)協(xié)議)地址的未用端口 ��。
12. 如權(quán)利要求9所述的服務(wù)器����,其中所述網(wǎng)絡(luò)安全單元將有關(guān)所 述未授權(quán)請求的數(shù)據(jù)定向到暗網(wǎng)服務(wù)器。
13. 如權(quán)利要求12所述的服務(wù)器���,其中所述網(wǎng)絡(luò)安全單元將一個 或多個所述檢測的未授權(quán)請求定向到所述暗網(wǎng)服務(wù)器�����。
14. 如權(quán)利要求12所述的;i艮務(wù)器�����,其中所述網(wǎng)絡(luò)安全單元將描述 一個或多個所述檢測的未授權(quán)請求的統(tǒng)計定向到所述暗網(wǎng)服務(wù)器���。
15. 如權(quán)利要求9所述的服務(wù)器�,其中所述網(wǎng)絡(luò)安全單元用所述請 求的確認來響應(yīng)檢測的未授權(quán)請求�����。
16. 如權(quán)利要求9所述的服務(wù)器�����,其沖所述網(wǎng)絡(luò)安全單元包括所述服務(wù)器的模擬��。
17 一種網(wǎng)絡(luò)����,包括以太網(wǎng)電纜��,用于以太網(wǎng)連接��;端點服務(wù)器��,耦合到所述以太網(wǎng)電纜�,所述端點服務(wù)器檢測訪問網(wǎng) 絡(luò)的未授權(quán)請求;網(wǎng)絡(luò)安全單元,與所述端點服務(wù)器耦合���,所述端點服務(wù)器將檢測的 訪問網(wǎng)絡(luò)的未授權(quán)請求發(fā)送到所述網(wǎng)絡(luò)安全單元����;以及安全服務(wù)器����,與所述網(wǎng)絡(luò)的操作分開,所述安全服務(wù)器從所述網(wǎng)絡(luò) 安全單元接收有關(guān)所述未授權(quán)請求的數(shù)據(jù)����。
18. 如權(quán)利要求17所述的網(wǎng)絡(luò),其沖檢測的未授權(quán)請求包括對有 效網(wǎng)絡(luò)地址的未用單元的請求���。
19. 如權(quán)利要求17所述的網(wǎng)絡(luò)���,其中所述網(wǎng)絡(luò)安全單元用所述請 求的確認來響應(yīng)檢測的未授權(quán)請求。
20. 如權(quán)利要求17所述的網(wǎng)絡(luò)���,其中所述網(wǎng)絡(luò)安全單元包括才莫擬 服務(wù)器�。
21. —種制品�����,包括機器可存取介質(zhì),包含當由機器存取時使所述機器執(zhí)行包括以下步 驟的操作的數(shù)據(jù)在端點服務(wù)器接收訪問網(wǎng)絡(luò)的請求�����; 檢測所述訪問網(wǎng)絡(luò)的請求包含未授權(quán)請求��;以及 將所述訪問請求定向到網(wǎng)絡(luò)安全單元�。
22. 如權(quán)利要求21所述的制品,其中所述未授權(quán)請求包括對有效 地址的未用單元的請求����。
23. 如權(quán)利要求22所述的制品�,其中所述未用單元是有效IP(因特 網(wǎng)協(xié)議)地址的未用端口。
24. 如權(quán)利要求21所述的制品�����,其中所述機器可存取介質(zhì)還包括 使所述機器執(zhí)行包括以下步驟的操作的數(shù)據(jù)將有關(guān)所述未授權(quán)請求的數(shù)據(jù)從所述網(wǎng)絡(luò)安全單元定向到與所述 網(wǎng)絡(luò)的操作分開的安全控制器���。
全文摘要
一種使用端點資源的網(wǎng)絡(luò)安全單元的方法和設(shè)備����。方法實施例包括在端點服務(wù)器接收訪問網(wǎng)絡(luò)的請求。該方法還包括檢測訪問網(wǎng)絡(luò)的請求包括未授權(quán)請求��。將訪問網(wǎng)絡(luò)的請求定向到網(wǎng)絡(luò)安全單元����。
文檔編號H04L29/06GK101212482SQ200710305278
公開日2008年7月2日 申請日期2007年12月28日 優(yōu)先權(quán)日2006年12月29日
發(fā)明者O·本-沙洛姆, U·布盧門塔爾 申請人:英特爾公司