網(wǎng)絡業(yè)務處理系統(tǒng)的制作方法
【專利摘要】一種用于處理網(wǎng)絡業(yè)務的系統(tǒng)�,包括用以在硬件加速檢查模式下處理網(wǎng)絡業(yè)務的硬件加速檢查單元����,以及用以在軟件檢查模式下處理網(wǎng)絡業(yè)務的軟件檢查單元。該軟件檢查單元在軟件檢查模式下處理連接至少達到連接的連續(xù)預定字節(jié)數(shù)����。如果連接被確定為是干凈的,則連接可過渡至硬件加速檢查模式�����。
【專利說明】網(wǎng)絡業(yè)務處理系統(tǒng)
【背景技術】
[0001]已經(jīng)提出因特網(wǎng)業(yè)務到2015年預期成為四倍��。此外���,報告已經(jīng)顯示全球平均連接率已逐年增加43%且全球平均峰值率已逐年增加67%��。因此��,以一切種類的病毒���、蠕蟲和惡意軟件形式的內(nèi)部和外部網(wǎng)絡攻擊的復雜化已顯著增加�。
[0002]網(wǎng)絡管理員繼續(xù)承擔提供網(wǎng)絡安全的任務且其常常依賴于用于網(wǎng)絡安全的各種系統(tǒng)�。例如,入侵檢測系統(tǒng)(IDS)檢測網(wǎng)絡攻擊�����,但是某些作為不提供遠遠超過事后攻擊通知的被動式系統(tǒng)進行操作�����。相反地��,已經(jīng)開發(fā)了入侵預防系統(tǒng)(IPS)以通過主動地通過掃描輸入和輸出業(yè)務來分析網(wǎng)絡業(yè)務流而補充諸如防火墻之類的傳統(tǒng)安全產(chǎn)品����。然而,由IPS進行的深度分組檢查通常利用大量的資源且如果其性能跟不上增加的連接率和吞吐量帶寬�,則可能變成網(wǎng)絡瓶頸。
【專利附圖】
【附圖說明】
[0003]參考在以下各圖中所示的示例來詳細地描述實施例:
圖1圖示出網(wǎng)絡業(yè)務處理系統(tǒng)�;
圖2A-B圖示出不同網(wǎng)絡環(huán)境中的網(wǎng)絡業(yè)務處理系統(tǒng);以及圖3和4圖示出處理網(wǎng)絡業(yè)務�。
【具體實施方式】
[0004]出于簡化和說明性目的,通過主要參考其示例來描述實施例的原理�����。在以下描述中,闡述了許多特定細節(jié)以便提供實施例的透徹理解���。顯而易見的是����,可在不限于所有特定細節(jié)的情況下實施該實施例��。并且���,可以各種組合一起使用實施例。
[0005]根據(jù)實施例����,一種用于處理網(wǎng)絡業(yè)務的系統(tǒng)檢查網(wǎng)絡業(yè)務以識別潛在簽名匹配。進一步檢查被認為具有潛在簽名匹配的網(wǎng)絡業(yè)務以確定其是否具有簽名匹配�。如果檢測到簽名匹配,則可對網(wǎng)絡業(yè)務進行阻止�����、報告����、速率限制或者可采取其他補救措施��。
[0006]該系統(tǒng)包括硬件加速檢查單元(諸如現(xiàn)場可編程門陣列(FPGA)�����,專用集成電路(ASIC)或另一類型的可自定義集成電路或處理器)�����,其執(zhí)行分組的硬件加速檢查�,并且該系統(tǒng)包括軟件檢查單元����,其包括由處理器或某個類型的處理電路執(zhí)行以執(zhí)行分組的軟件檢查的機器可讀指令。硬件加速檢查單元在執(zhí)行其檢查時比軟件檢查單元更快����,并且該系統(tǒng)利用硬件加速檢查單元以改善檢查處理速度。例如����,在連接開始時,由軟件檢查單元來執(zhí)行分組檢查。連接包括具有相同屬性的分組��。屬性的示例可包括源因特網(wǎng)協(xié)議(IP)地址��、目的地IP地址�、源IP端口、目的地IP端口���、IP協(xié)議等����。在一個示例中���,連接是傳輸控制協(xié)議(TCP)流。在另一示例中���,連接是包括具有相同屬性的分組的偽流����。例如����,連接可以是用戶數(shù)據(jù)報協(xié)議(UDP)或者不要求在先通信以建立傳輸信道或數(shù)據(jù)路徑的另一協(xié)議中的偽流。如果到連接到達閾值位數(shù)(例如8千字節(jié)(KB))的時間未檢測到攻擊,則軟件檢查單元命令硬件加速檢查單元將流置于硬件加速檢查模式以改善性能��。
[0007]在硬件加速檢查模式下�,由硬件加速檢查單元以比用軟件檢查單元可能的更快的速率來檢查連接。由硬件加速檢查單元執(zhí)行的處理的速度可以是由軟件檢查單元執(zhí)行的處理的兩倍或三倍�����。在硬件加速檢查模式下��,如果連接是干凈的��,諸如被確定為不具有潛在簽名匹配���,則在不對分組執(zhí)行軟件檢查的情況下發(fā)射用于連接的分組��。在硬件加速檢查模式下�,由硬件加速檢查單元來處理用于連接的分組���,但是不被軟件檢查單元處理以使處理時間最小化�����。然而��,如果硬件加速檢查單元在連接中檢測到潛在簽名匹配��,則將連接傳輸至軟件檢查模式以便由軟件檢查單元進一步處理以確定是否存在簽名匹配�。在軟件檢查模式下,連接被軟件檢查單元處理��,并且還被硬件加速檢查單元處理�。通過使連接的檢查在硬件加速檢查模式與軟件檢查模式之間過渡,在保持安全的同時增加吞吐量�����。
[0008]軟件檢查單元執(zhí)行分組檢查����,其可包括比在硬件檢查模式下執(zhí)行的更詳細的分組檢查和過濾。因此��,由硬件減速檢查單元執(zhí)行的分組處理可不同于由軟件檢查單元執(zhí)行的分組檢查���。例如,由軟件檢查單元執(zhí)行的分組處理包括深度分組檢查����。深度分組檢查包括檢查連接中的分組的有效負荷以及報頭。深度分組檢查可包括在所有的七個開放系統(tǒng)互連
(OSI)層中檢查來自連接的數(shù)據(jù)。由硬件加速檢查單元執(zhí)行的分組處理可不包括來自全部七個OSI層的數(shù)據(jù)�。例如,分組檢查可局限于報頭�����。
[0009]具有潛在簽名匹配的連接是被確定為具有特定預定義屬性的連接�����。例如����,連接可包括具有表示安全威脅的屬性的分組或多個分組。例如�����,由硬件加速檢查單元來檢查連接中的分組以確定其是否不按順序或者被分段或者其在其有效負荷中是否具有某個字節(jié)式樣�����。
[0010]連接還可具有潛在簽名匹配�����,如果其包括基于策略或規(guī)則而被確定為令人感興趣的數(shù)據(jù)。例如���,規(guī)則指定監(jiān)視用于特定應用程序的分組�����。如果連接包括來自那些應用程序中的任何一個的分組��,則基于該規(guī)則而將其視為簽名匹配�。例如����,監(jiān)視來自即時通訊應用程序的分組且可由系統(tǒng)阻止其離開局域網(wǎng)(LAN)。
[0011]類似于潛在簽名匹配���,可將連接確定為具有簽名匹配�����,如果其具有預定屬性�,然而�,該屬性被軟件檢查單元而不是硬件加速檢查單元識別����。用于簽名匹配的屬性可不同于用于潛在簽名匹配的屬性��?���?捎缮疃确纸M檢查來識別用于簽名匹配的屬性�����。簽名匹配可包括由正則表達式匹配和/或其他過濾和分組簽名檢測技術確定的匹配以檢測關于分組及其數(shù)據(jù)的附加信息���,該附加信息可指示其是惡意的還是以其他方式令人感興趣的����。惡意屬性可表示釣魚式攻擊���、嘗試的間諜軟件安裝��、可能消耗網(wǎng)絡帶寬或服務器資源從而促使合法分組被丟棄的分組泛洪等����。
[0012]用于處理網(wǎng)絡業(yè)務的系統(tǒng)可包括連接到網(wǎng)絡的IPS���。IPS檢查連接且如果發(fā)現(xiàn)其具有簽名匹配��,則可對連接進行標志���、阻止和/或丟棄�����。保持日志并生成警報或其他通知��,并且可由于簽名匹配而將其發(fā)送給系統(tǒng)管理員��。如果連接是干凈的��,則IPS輸出要發(fā)射到其目的地的連接���。
[0013]圖1圖示出用于處理網(wǎng)絡業(yè)務的系統(tǒng)100。系統(tǒng)100可包括阻止被確定為具有簽名匹配的網(wǎng)絡業(yè)務的IPS�����。系統(tǒng)100包括包含端口 102的接口 101����。接口 101是將系統(tǒng)100連接到網(wǎng)絡的網(wǎng)絡接口��。在接口 101的端口 102上發(fā)送和接收分組。
[0014]系統(tǒng)100包括硬件加速檢查單元110和軟件檢查單元120���?���?山?jīng)由總線130來連接系統(tǒng)100的部件��。軟件檢查單元120可包括一個或多個處理器121a-n�����,其包括數(shù)據(jù)儲存器122a-n�����,該數(shù)據(jù)儲存器122a_n包括可操作用于存儲機器可讀指令和數(shù)據(jù)的計算機可讀存儲介質(zhì)����。機器可讀指令可包括用以執(zhí)行本文所述的連接處理功能的代碼。硬件加速單元110包括處理電路111���,諸如FPGA��、ASIC或另一類型的可自定義的集成電路或硬件�,其也執(zhí)行連接處理但是在與軟件檢查單元120相比時以加速的速率。硬件加速單元110還可包括數(shù)據(jù)儲存器112�����。
[0015]硬件加速檢查單元110和軟件檢查單元120處理從網(wǎng)絡接收到的連接以確定連接是否具有潛在簽名匹配�����。這稱為檢查�。如果連接被確定為具有簽名匹配,則可阻止該連接被發(fā)送到其目的地����。可由系統(tǒng)100對該連接進行標志和丟棄����。被確定為干凈的連接經(jīng)由接口 101而被發(fā)射到其目的地。干凈的連接是不具有潛在簽名匹配和/或簽名匹配的連接�。
[0016]可針對在線處理來配置硬件加速檢查單元110和軟件檢查單元120。例如���,由接口101接收到的連接首先被硬件加速檢查單元110處理且然后可被軟件檢查單元120處理�����。如果連接被確定為是干凈的�����,則經(jīng)由接口 101將其發(fā)送到其目的地�。
[0017]系統(tǒng)內(nèi)100可在其中由硬件加速檢查單元來檢查連接但未由軟件檢查單元120處理的硬件加速檢查模式與其中由軟件檢查單元來處理連接且還可由硬件加速檢查單元來處理(諸如以其中首先由硬件加速檢查單元110來處理連接且然后可由軟件檢查單元120來處理的在線配置)的軟件檢查模式之間進行切換��。
[0018]系統(tǒng)100可以是獨立網(wǎng)絡設備���,其可連接到路由器或防火墻或一般地網(wǎng)絡以接收和檢查分組并發(fā)送出干凈的分組��?���?蓪⑾到y(tǒng)100結合在現(xiàn)有網(wǎng)絡設備中�����,諸如路由器�、防火墻或另一類型的交換機。系統(tǒng)100可在多功能會聚安全設備中,諸如單個設備中的IPS和防火墻�����。系統(tǒng)100可在刀片機架中或另一類型的設備中���。
[0019]圖2A-B示出了連接在不同網(wǎng)絡環(huán)境中的系統(tǒng)100�,其可以是IPS 200�����。圖2A示出了以“導線中凸塊”配置連接的IPS 200�����。用戶‘1’ 202至用戶‘η’ 204被連接到被連接到IPS 200的交換機206�����,該IPS 200又被連接到因特網(wǎng)213或網(wǎng)絡骨干���。IPS 200 —般地在交換機與網(wǎng)絡之間實現(xiàn)以防止從因特網(wǎng)213或網(wǎng)絡骨干接收到或向其發(fā)射安全威脅�����。
[0020]圖2B示出了在另一網(wǎng)絡環(huán)境中實現(xiàn)的IPS 200a_c��。在此圖中�����,內(nèi)部子網(wǎng)絡‘A’210包括客戶端個人計算機(PC) ‘1’ 212至客戶端PC ‘η’ 214��,其被連接到又被連接到IPS‘1’ 200a的交換機‘1’ 216�。內(nèi)部子網(wǎng)絡‘B’ 220包括服務器‘1’ 222至服務器‘η’ 224,其被連接到又被連接到IPS ‘2’ 200b的交換機‘2’ 226���。內(nèi)部子網(wǎng)絡‘A’ 210和內(nèi)部子網(wǎng)絡‘B’ 220被連接到路由器230,其被連接到又被連接到外部網(wǎng)絡234的IPS ‘3’ 200c����。一般地實現(xiàn)IPS ‘3’ 200c以防止安全威脅從外部網(wǎng)絡234到內(nèi)部子網(wǎng)絡‘A’ 210和內(nèi)部子網(wǎng)絡‘B,220的入侵�。
[0021]IPS ‘1’ 200a通過防止源自于內(nèi)部子網(wǎng)絡‘A’ 210的安全威脅的入侵來提供附加入侵保護。同樣地���,IPS ‘2’ 200b通過防止源自于內(nèi)部子網(wǎng)絡‘B’ 220的安全威脅的入侵來提供附加入侵保護���。如對于本領域的技術人員而言將顯而易見的,IPS ‘1’ 200a的實現(xiàn)隔離了到內(nèi)部子網(wǎng)絡210的入侵問題,包括一個或多個客戶端PC 212至214和相應交換機‘1’216����。同樣地,IPS ‘2’ 200b的實現(xiàn)隔離了到內(nèi)部子網(wǎng)絡220的入侵問題����,包括一個或多個服務器222至224和相應交換機‘1’ 226。
[0022]圖3示出了隨時間推移的硬件加速檢查模式與軟件檢查模式之間的連接處理切換的示例�����。在連接開始時���,由圖1中所示的軟件檢查單元120在軟件檢查模式下處理該連接����。在軟件檢查模式下處理連接達到至少預定字節(jié)數(shù)直至點B為止�����。如果連接被確定為具有潛在簽名匹配�����,則繼續(xù)在軟件檢查模式下處理連接超過閾值(例如,8KB)����。本示例示出了8KB,但閾值可更大或更小����。
[0023]如果連接是“干凈的”直至點B,則連接的處理從點B至C從軟件檢查模式過渡至硬件加速檢查模式并保持在硬件加速檢查模式��,其中以比軟件檢查模式快得多的速率處理分組直至連接被硬件加速檢查單元110確定為具有潛在簽名匹配為止��,諸如在點D處�。然后,連接的處理過渡至軟件檢查模式以用于附加檢查�,其可包括從點D至E的深度分組檢查并保持在軟件檢查模式直至連接被確定為“干凈”為止���。如果連接是“干凈的”��,則處理可再次從點F到G過渡至硬件加速檢查模式以用于最大性能��。連接處理過渡可在連接的壽命內(nèi)繼續(xù)發(fā)生�����。連接被單獨地處理���,因此不同的連接可根據(jù)是否和何時在連接中檢測到潛在簽名匹配或簽名匹配而具有不同的連接處理過渡���。
[0024]圖4示出了用于處理網(wǎng)絡業(yè)務的方法400的示例。以示例而非限制的方式相對于系統(tǒng)100來描述方法400��?���?稍谄渌到y(tǒng)中實施該方法。
[0025]在401處�����,系統(tǒng)接收新的連接��?��?捎枚x連接的屬性來識別新的連接�,并且可在存儲于圖1中所示的硬件加速檢查單元110和/或軟件檢查單元120處的連接表中創(chuàng)建條目�,其包括連接ID和連接屬性及用于連接的當前模式的指示。當前模式是硬件加速模式或軟件檢查模式�。新的連接作為在軟件檢查模式下被處理而開始�����。
[0026]在402處�,在軟件檢查模式下處理連接達到至少預定字節(jié)數(shù)�。例如,由硬件加速檢查單元110來處理連接并從硬件加速檢查單元110將連接發(fā)送到軟件檢查單元120以用于進一步處理至少直至達到閾值字節(jié)數(shù)為止���。硬件加速檢查單元110可在其連接表中指示該連接處于軟件檢查模式��。
[0027]在403處���,在正在軟件檢查模式下處理連接達到至少預定字節(jié)的同時,由軟件檢查單元120進行關于該連接是否具有潛在簽名匹配的確定���。如果是�����,則在404處用于連接的分組處理在軟件檢查模式下繼續(xù)。在405處連接處理在軟件檢查模式下繼續(xù)直至連接被確定為干凈為止�。如果連接是干凈的,則在407處連接處理過渡至硬件加速檢查模式�。如果連接處理不是干凈的�,則在404處繼續(xù)軟件檢查模式下的連接處理����。例如,如果檢測到簽名匹配����,則在404處繼續(xù)軟件檢查模式下的連接處理。例如�,如果通過簽名匹配檢測到惡意分組且連接被阻止,則繼續(xù)軟件檢查模式下的連接處理����。連接處理過渡至軟件加速模式直至連接是干凈的為止。如果在406處連接是干凈的且其干凈達到預定的字節(jié)數(shù)���,則在407處連接處理過渡至硬件加速檢查模式��。例如�,軟件檢查單元120命令硬件加速檢查單元110將連接置于硬件加速檢查模式�����。例如�����,硬件加速檢查單元110更新其連接表以指示連接現(xiàn)在處于硬件加速檢查模式。
[0028]在408處��,例如由硬件加速檢查模式110在硬件加速檢查模式下處理連接���,直至連接終止為止或者直至連接被硬件加速檢查單元110確定為具有潛在簽名匹配為止���。如果連接被確定為具有潛在簽名匹配,則處理過渡至軟件檢查模式且在409處在軟件檢查模式下處理連接�,并且在404處理可繼續(xù)。硬件加速檢查單元110然后可更新其連接表以指示連接處于軟件檢查模式����,因此如果在接口 101上接收到任何分組以用于連接,則硬件加速檢查單元110知道將處理之后的分組發(fā)送到軟件檢查單元110�����。
[0029]如果硬件加速檢查單元110中的連接表指示連接處于硬件加速檢查模式����,則硬件加速檢查單元知道不將分組發(fā)送到軟件檢查單元120��,如果硬件加速檢查單元110確定連接是干凈的。如果基于策略規(guī)則將連接確定為是無興趣的����,則可將其確定為是干凈的。替代地�����,經(jīng)由接口 110而發(fā)送出分組����。并且,如果由硬件加速檢查單元110識別分組可疑的信息���,諸如分組是否不按順序���,具有可疑字節(jié)式樣或指示其為惡意或令人感興趣的某個其他屬性,則可將該信息發(fā)送到軟件檢查單元120以幫助由軟件檢查單元120執(zhí)行的分組檢查����。可在軟件檢查單元120與硬件加速檢查單元110之間傳送其他信息����,諸如處理模式的指示或過渡至不同模式的指令��。
[0030]并且���,如果分組被軟件檢查單元120確定為是惡意的或令人感興趣的,則系統(tǒng)100可阻止連接并不發(fā)送用于該連接的可疑分組或任何其他分組����。如果軟件檢查單元120確定用于連接的分組或分組集合是惡意的或令人感興趣的,則系統(tǒng)100可丟棄分組��。并且��,可更新關于事件和關于事件發(fā)送的通知的日志文件�����。
[0031]可將本文所述的步驟和功能中的一個或多個體現(xiàn)為可由處理器或可操作用于執(zhí)行機器可讀指令的另一類型的處理電路執(zhí)行的機器可讀指令����。可將該機器可讀指令存儲在非臨時存儲介質(zhì)中���,其可包括圖1中所示的存儲器件中的一個或多個���。
[0032]雖然已參考示例描述了實施例�,但在不脫離要求保護的實施例的范圍的情況下可對所述實施例進行各種修改��。
【權利要求】
1.一種用于處理網(wǎng)絡業(yè)務的系統(tǒng)��,包括: 硬件加速檢查單元����,用以在硬件加速檢查模式下處理網(wǎng)絡業(yè)務���;以及軟件檢查單元���,用以在軟件檢查模式下處理網(wǎng)絡業(yè)務,其中���,軟件檢查單元在軟件檢查模式下處理網(wǎng)絡業(yè)務中的連接以檢測簽名匹配�����,并且如果連接被軟件檢查單元確定為是干凈的達到至少連接的連續(xù)預定字節(jié)數(shù)�����,貝1J連接過渡至硬件加速檢查模式以便由硬件加速檢查進行處理��。
2.權利要求1的系統(tǒng)�,其中,如果硬件加速檢查單元檢測到潛在簽名匹配����,則連接過渡回到軟件檢查單元以對連接執(zhí)行深度分組檢查。
3.權利要求2的系統(tǒng)���,其中����,如果軟件檢查單元確定該連接具有簽名匹配����,則基于簽名匹配而采取動作。
4.權利要求1的系統(tǒng)�,其中,所述硬件加速檢查單元以比軟件檢查單元更快的速率來處理連接��。
5.權利要求1的系統(tǒng)��,其中�,在軟件檢查模式下��,由硬件加速檢查單元和軟件檢查單元來處理該連接�����。
6.權利要求1的系統(tǒng)��,其中,在硬件加速檢查模式下���,僅僅由硬件加速檢查單元來處理連接��。
7.權利要求1的系統(tǒng)��,其中�,由系統(tǒng)接收到的所有網(wǎng)絡業(yè)務至少由硬件加速檢查單元處理���。
8.權利要求1的系統(tǒng)��,其中���,所述系統(tǒng)在獨立網(wǎng)絡設備中。
9.權利要求1的系統(tǒng)�����,其中,所述系統(tǒng)被結合到網(wǎng)絡交換機���、防火墻網(wǎng)絡設備��、會聚安全設備或刀片機架中���。
10.一種入侵預防系統(tǒng)(IPS),包括: 接口���,用以接收網(wǎng)絡業(yè)務并朝著其目的地輸出網(wǎng)絡業(yè)務�,如果其被IPS確定為是干凈的�����; 硬件加速檢查單元����,用以在硬件加速檢查模式下處理網(wǎng)絡業(yè)務中的連接以確定該連接是否具有潛在簽名匹配;以及 軟件檢查單元�����,用以在軟件檢查模式下處理連接以確定該連接是否具有簽名匹配;其中��,所述軟件檢查單元在軟件檢查模式下處理連接�,并且如果連接被確定為是干凈的達到連接的連續(xù)預定字節(jié)數(shù),則連接過渡至硬件加速檢查模式以供硬件加速檢查單元處理���。
11.權利要求10的IPS�����,其中���,如果所述硬件加速檢查單元確定該連接具有潛在簽名匹配�,則連接過渡回到軟件檢查單元以對連接執(zhí)行附加檢查。
12.權利要求11的IPS����,其中,如果所述軟件檢查單元確定連接具有簽名匹配��,則阻止連接被從接口發(fā)送出�����。
13.權利要求10的IPS,其中��,所述硬件加速檢查單元以比軟件檢查單元更快的速率來處理連接�����。
14.一種處理網(wǎng)絡業(yè)務的方法��,包括: 在網(wǎng)絡處理系統(tǒng)的接口上接收連接��; 在軟件檢查模式下處理連接達到連接的預定字節(jié)數(shù)以確定該連接是否具有簽名匹配�����;以及 如果該連接被確定為是干凈的達到預定字節(jié)數(shù)��,則使連接的處理過渡至硬件加速檢查模式�����,其中�,硬件加速檢查模式下的連接處理比在軟件檢查模式下更快。
15.權利要求14的方法��,包括: 如果硬件加速檢查模式下的處理確定連接具有潛在簽名匹配,則連接處理過渡回到軟件檢查模式���。
【文檔編號】H04L12/26GK104488229SQ201280075018
【公開日】2015年4月1日 申請日期:2012年7月31日 優(yōu)先權日:2012年7月31日
【發(fā)明者】E. 弗勒里 D., 羅勒特 J. 申請人:惠普發(fā)展公司��,有限責任合伙企業(yè)