專利名稱:網(wǎng)絡攻擊檢測的制作方法
技術領域:
本發(fā)明涉及檢測網(wǎng)絡攻擊的領域,并且特別涉及檢測在攻擊始發(fā)用戶 系統(tǒng)本地的數(shù)據(jù)通信網(wǎng)絡上的攻擊����。
背景技術:
因特網(wǎng)是由多個互連的數(shù)據(jù)網(wǎng)絡所形成的廣域數(shù)據(jù)通信網(wǎng)絡。在操作 中�����,因特網(wǎng)促進了一系列位于遠程的數(shù)據(jù)處理系統(tǒng)之間的數(shù)據(jù)通信�。通常,為客戶機��。類似地�����,對網(wǎng)站以及用于由終端用戶通過因特網(wǎng)訪問的服務進行托管(hosting)的數(shù)據(jù)處理系統(tǒng)被稱為服務器數(shù)據(jù)處理系統(tǒng)或簡稱為服 務器��。存在一種通過終端用戶數(shù)據(jù)處理系統(tǒng)與托管數(shù)據(jù)處理系統(tǒng)之間的因 特網(wǎng)而完成的客戶機-服務器關系�����。因特網(wǎng)已經(jīng)成為用于促進消費者、零售商以;sj良務提供商之間的電子實現(xiàn)的商業(yè)交互的重要通信網(wǎng)絡���。通常通過因特網(wǎng)服務提供商(ISP)向這 樣的實體提供對因特網(wǎng)的訪問����。每個ISP通常運營客戶機預定的開放式網(wǎng) 絡����。每個客戶機均具備網(wǎng)絡上唯一的因特網(wǎng)協(xié)議(IP)地址。類似地��,網(wǎng) 絡上的每個服務器均具備唯一的IP地址�����。由ISP運營的網(wǎng)絡通過通常,皮稱 為路由器的專用數(shù)據(jù)處理系統(tǒng)而連接至因特網(wǎng)�。在操作中,路由器將來自 因特網(wǎng)的入站(inbound)通信業(yè)務量導向網(wǎng)絡上指定的IP地址�。類似地, 路由器將來自網(wǎng)絡的出站(outbound)通信業(yè)務量導向因特網(wǎng)上指定IP 地址的方向上����。很多人和商務所面臨的問題是對他們使用的網(wǎng)絡的電子攻擊日益增長 的頻率����。這樣的攻擊包括計算機病毒攻擊以及所謂的"蠕蟲"攻擊�����。這類 攻擊在網(wǎng)絡中引起顯著的性能降低��。連接至網(wǎng)絡的受感染系統(tǒng)通常試圖在 該網(wǎng)絡內(nèi)傳播感染�。很多用戶并沒有意識到其系統(tǒng)受到感染�����。已知的入侵檢測傳感器欺騙(spoof)與潛在攻擊者的服務交互�����。傳感器通過欺騙在另外未使用的IP地址處存在機器和服務而發(fā)揮作用���。由于沒 有另外4吏用這些地址����,因此指定到這些地址的所有通信量都是先驗可疑的(a priori suspicious )��。傳感器欺騙服務以確定通信量背后的意圖。傳感 器本身提供這樣的虛擬化基礎設施�,即該虛擬化基礎設施允許寫入單獨的 傳感器,就好《象這些傳感器正運行在單個主機上一樣����。WO 2004/107706公開了一種用于檢測數(shù)據(jù)通信網(wǎng)絡上的攻擊的入侵 檢測傳感器(IDS) 。 IDS標識起始于任何分派的地址并且尋址于任何未分 派的地址的���、該網(wǎng)絡上的數(shù)據(jù)業(yè)務量��,針對表示攻擊的數(shù)據(jù)而檢查如此標 識的數(shù)據(jù)業(yè)務量����,并且如果需要的話����,生成報警信號。該上下文中使用術語"未分派的"作為對沒有被分派給除了用于檢測 入侵或生成攻擊簽名的裝置之外的物理設備的地址的涵蓋�。為了執(zhí)行WO 2004/107706中所公開的方法而設計的裝置是這樣的設備,即那些"未分派 的"地址實際被分派給了該設備以便利用該方法�����。那些地址在一定范圍內(nèi) 未分派�����,是因為沒有將它們分派給除了簽名生成或入侵檢測之外還具有另 外的功能性的任何設備���。在上述IDS中����, 一塊未分派的地址被指定給IDS���,從而使得IDS可以 欺騙對于到這些未分派地址的任何數(shù)據(jù)業(yè)務量的響應�����。此外�,IDS可能在 地理上遠離數(shù)據(jù)業(yè)務量的始發(fā)用戶系統(tǒng)而使其難于針對始發(fā)用戶系統(tǒng)采取 措施��。發(fā)明內(nèi)容本發(fā)明的目的是提供一種用于檢測對未使用或不可訪問的地址的攻擊 的系統(tǒng)�。進一步的目的是提供本地問題的本地凈艮告。另外���,可以對攻擊實 體透明實現(xiàn)所述檢測�。根據(jù)本發(fā)明的第一方面����,提供了 一種用于檢測數(shù)據(jù)通信網(wǎng)絡上的攻擊 的方法��,該方法包括監(jiān)控尋址于始發(fā)用戶系統(tǒng)的返回消息��;標識指定種
類(specified nature)的返回消息�;以及將來自所述始發(fā)用戶系統(tǒng)的后續(xù) 消息臨時路由至入侵檢測傳感器���。將術語"指定種類"理解為具有特定特 性或?qū)儆陬A定類型的消息����。也被稱為消息檢驗器的監(jiān)控裝置充當檢查所述 返回消息是否具有所述特定特性的濾波器�。如果識別出所述返回消息具有 所述消息檢驗器正在尋找的特性,則所述返回消息受到重新路由��。所述消 息檢驗器因此可以被看作返回消息類型操作的開關�����。與此同時所述消息檢 驗器可以檢查不同的特定特性���,并且如果發(fā)現(xiàn)存在那些特性中的一個或多 個���,則進行所述重新路由��。優(yōu)選地�����,所述入侵檢測傳感器在所述始發(fā)用戶系統(tǒng)的本地,即��,所述 入侵檢測傳感器連接至與所述始發(fā)系統(tǒng)相同的網(wǎng)絡�。術語"網(wǎng)絡"在文中 被理解為網(wǎng)絡單元的集合,所述網(wǎng)絡的邊界由邊界路由器或邊緣路由器表 示�。這些路由器處理通往其它網(wǎng)絡的連通性。網(wǎng)絡可以是子網(wǎng)絡或更大的 網(wǎng)絡����。所^U曼檢測傳感器可以欺騙與所述始發(fā)用戶系統(tǒng)的交換。以這樣 的方式����,在發(fā)送至不可訪問的地址的消息的始發(fā)用戶系統(tǒng)本地的入4曼檢測傳感器可以確定所述始發(fā)用戶系統(tǒng)的意圖的種類。換句話說����,本發(fā)明允許 檢測和報告較為靠近攻擊實體的攻擊。所述返回消息可以與由所述始發(fā)用戶系統(tǒng)發(fā)送至目的地址的消息有 關��,并且所述臨時路由的步驟可以將從所述始發(fā)用戶系統(tǒng)導向所述目的地 址的所有后續(xù)消息重新路由至所述入侵檢測傳感器。所述返回消息的指定種類可以指示目的地址是不可訪問的�����。例如��,所 述返回消息的指定種類可以是指示失敗連接的因特網(wǎng)控制消息協(xié)議消息����。可以在預定的時間周期應用所述臨時路由��,此后重新開始正常的路由����。 所述方法還可以包括如果已被標識為尋址于始發(fā)用戶系統(tǒng)的指定種類的 返回消息的數(shù)目超過了預定閾值,則觸發(fā)所述臨時路由�����。然后該閾值將可 用于區(qū)分無害通信量與諸如垃圾郵件的有害通信量���。根據(jù)本發(fā)明的第二方面�����,提供了 一種用于檢測數(shù)據(jù)通信網(wǎng)絡上的攻擊 的裝置�����,所述裝置包括路由器����,所述路由器包括用于監(jiān)控尋址于在所述 路由器本地的始發(fā)用戶系統(tǒng)的返回消息的機制;以;5Uvf曼檢測傳感器���;其中所述機制包括用于標識指定種類的返回消息的消息跟蹤器;以及用于 將來自所述始發(fā)用戶系統(tǒng)的后續(xù)消息臨時路由至所i^侵檢測傳感器的裝 置����。優(yōu)選地,所述入侵檢測傳感器在所述路由器的本地���。所述入侵檢測傳 感器可以包括用于欺騙與所述始發(fā)用戶系統(tǒng)的交換的裝置�����。所述入侵檢測 傳感器可以包括虛擬化基礎設施�,所述虛擬化l^fe設施具有各自欺騙服務 的多個虛擬傳感器���。根據(jù)本發(fā)明的第三方面���,提供了一種路由器���,其包括用于監(jiān)控尋址 于在所述路由器本地的始發(fā)用戶系統(tǒng)的返回消息的機制;用于標識指定種 類的返回消息的裝置���;以及用于將來自所述始發(fā)用戶系統(tǒng)的后續(xù)消息臨時 路由至入侵檢測傳感器的裝置���。根據(jù)本發(fā)明的第四方面,提供了一種數(shù)據(jù)通信系統(tǒng)��,其包括網(wǎng)絡中 的多個數(shù)據(jù)處理系統(tǒng)�����;在所述數(shù)據(jù)處理系統(tǒng)本地的路由器�,用于將消息路 由至所述數(shù)據(jù)處理系統(tǒng)或者路由來自所述數(shù)據(jù)處理系統(tǒng)的消息;所述路由 器包括一種機制�����,所述機制用于監(jiān)控尋址于作為在所述路由器本地的數(shù)據(jù) 處理系統(tǒng)之一的始發(fā)用戶系統(tǒng)的返回消息;以;5U^侵檢測傳感器�;其中所 述機制包括用于標識指定種類的返回消息的裝置;以及用于將來自所述 始發(fā)用戶系統(tǒng)的后續(xù)消息臨時路由至所^侵檢測傳感器的裝置����。根據(jù)本發(fā)明的第五方面,提供了一種計算機程序元件��,其包括計算機 程序代碼裝置�,當加栽到數(shù)據(jù)處理系統(tǒng)的處理器中時,所述計算機程序代 碼裝置配置所述處理器以實現(xiàn)包括以下步驟的方法監(jiān)控尋址于始發(fā)用戶 系統(tǒng)的返回消息���;標識指定種類的返回消息�;以及將來自所述始發(fā)用戶系 統(tǒng)的后續(xù)消息臨時路由至入侵檢測傳感器����。當來自始發(fā)用戶系統(tǒng)的過程嘗試聯(lián)系未使用或不可訪問的地址(例如����, 防火墻后面的地址)時,ICMP (因特網(wǎng)控制消息協(xié)議)消息被返回給在 所述始發(fā)用戶系統(tǒng)本地的路由器���,告知所述始發(fā)用戶系統(tǒng)目的地不可到達 以及關于原因的一些細節(jié)�����。該消息:故所述始發(fā)用戶系統(tǒng)本地的路由器截獲���, 并且來自所述始發(fā)用戶系統(tǒng)的所有通信量都通過IDS ^皮臨時路由����。
現(xiàn)在將參照附圖�,僅通過例子來描述本發(fā)明的實施例,其中圖1是現(xiàn)有技術中已知的數(shù)據(jù)處理系統(tǒng)的框圖�����;圖2是示出了已知的入侵檢測傳感器的實施例的數(shù)據(jù)處理網(wǎng)絡的框圖�����;圖3是已知的入侵檢測傳感器的框圖�; 圖4是依照本發(fā)明的數(shù)據(jù)處理網(wǎng)絡的框圖;圖5是示出了依照本發(fā)明重新路由消息的圖4的數(shù)據(jù)處理網(wǎng)絡的細節(jié)����;以及圖6是依照本發(fā)明的方法或重新路由的流程圖。
具體實施方式
首先參照圖1���,數(shù)據(jù)處理系統(tǒng)包括中央處理器(CPU) 10��、輸/v/輸出 (1/0)子系統(tǒng)20���,以及存儲子系統(tǒng)40��,其全部通過總線子系統(tǒng)30互連����。 存儲子系統(tǒng)40可以包括隨機訪問存儲器(RAM)��、只讀存儲器(ROM)�, 以及一個或多個數(shù)據(jù)存儲設備,例如硬盤驅(qū)動器����、光盤驅(qū)動器等。I/O子 系統(tǒng)20可以包括顯示器�����;打印機����;鍵盤;諸如鼠標���、跟蹤球等的指點設 備�����;以及準許通過數(shù)據(jù)通信網(wǎng)絡在數(shù)據(jù)處理系統(tǒng)與一個或多個類似系統(tǒng)和/ 或外圍設備之間通信的一個或多個網(wǎng)絡連接���。由這樣的網(wǎng)絡互連的這樣的 系統(tǒng)和設備的組合本身可以形成分布式數(shù)據(jù)處理系統(tǒng)。這樣的分布式系統(tǒng) 可以通過附加的數(shù)據(jù)通信網(wǎng)絡自我互連���。在存儲子系統(tǒng)40中存儲了數(shù)據(jù)60以及可由CPU 10執(zhí)行的計算^l^呈 序代碼50�����。程序代碼50包括操作系統(tǒng)軟件90以;5L應用軟件80�。當由CPU 10執(zhí)行時����,操作系統(tǒng)軟件90提供可以在其上執(zhí)行應用軟件80的平臺。現(xiàn)在參照圖2,其利用入侵檢測傳感器(IDS)的實施例示出了對因特 網(wǎng)體系結(jié)構的示例摘取����。在示例體系結(jié)構中示出了兩個數(shù)據(jù)通信網(wǎng)絡100 ����、 200���。應當理解這是示例體系結(jié)構并且可以提供很多不同形式的數(shù)據(jù)通信網(wǎng)絡���。圖2示出了第一數(shù)據(jù)通信網(wǎng)絡100,其具有用于分派給第一網(wǎng)絡100 中的數(shù)據(jù)處理系統(tǒng)120的多個地址110�����,以及第二數(shù)據(jù)通信網(wǎng)絡200����,其具 有用于分派給笫二網(wǎng)絡200中的數(shù)據(jù)處理系統(tǒng)220的多個地址210。網(wǎng)絡 100���、 200可以作為具有多個可分派的因特網(wǎng)協(xié)議(IP)地址110����、 210的 因特網(wǎng)服務設備����。網(wǎng)絡IOO、 200各自通過路由器130����、 230連接至因特網(wǎng) 150。通過對以數(shù)據(jù)分組的形式在因特網(wǎng)150與網(wǎng)絡100�、 200之間路由通信 業(yè)務量的任務進4亍適當?shù)木幊蹋梢砸匀缥闹兄皡⒄請D1專門描述的數(shù) 據(jù)處理系統(tǒng)的形式實現(xiàn)路由器130�����、 230���,其中路由器130���、 230基于在數(shù) 據(jù)分組中指定的IP地址數(shù)據(jù)連接至網(wǎng)絡100、 200��。在第一數(shù)據(jù)通信網(wǎng)絡IOO中�,存在分派給屬于因特網(wǎng)服務的用戶的系 統(tǒng)120的IP地址110。每個系統(tǒng)120可以是如文中之前參照圖1所描述的 數(shù)據(jù)處理系統(tǒng)��。網(wǎng)絡100上的第二組IP地址140是空閑的�。更具體而言, 第二組IP地址140沒有被分派給用戶系統(tǒng)���。入侵檢測傳感器(IDS) 160 連接至網(wǎng)絡100��。 IDS 160還連接至路由器130�。諸如蠕蟲或其它攻擊的過程240可以源自第二數(shù)據(jù)通信網(wǎng)絡200上的 用戶系統(tǒng)220。過程240可以尋址于其它網(wǎng)絡100上寬范圍選擇的地址���。 如果過程240尋址于未分派的地址���,例如未被分派給用戶系統(tǒng)的、第一網(wǎng) 絡100上的第二組IP地址140之一�,則將過程240路由至欺騙對過程240 的回復并JJL出警報的IDS 160。圖3中較為詳細的示出了 IDS 160的示例內(nèi)部體系結(jié)構����。其它形式的 IDS是已知的并且可以在本發(fā)明中使用。IDS 160通過欺騙在另外未4吏用的 IP地址處存在機器和服務而進行操作�����。因為IP地址未被另外使用�,所以 指定到這些地址的所有通信量都是先驗可疑的。IDS 160欺騙服務��,而不 是^^僅i己錄所嘗試的連接�,以便確定通信量背后的意圖�。IDS 160建立于不提供超出受限登錄之外的真實服務的高安全性 (security-hardened )機器之上���。IDS 160提供這樣的虛擬化^ftij設施310,
即該虛擬化M設施310允許操作單獨的傳感器311-315��,就好像它們正在 單個主機上運行一樣���?���;谠试S對由虛擬傳感器311-315的數(shù)目而產(chǎn)生的 大量數(shù)據(jù)進行相關和分析的關系數(shù)據(jù)庫330�����,其還提供了登錄基礎設施 320��。由虛擬傳感器311-315提供的服務可以包括超文本傳輸協(xié)議(HTTP )��、 微軟的分布式構件對象才莫型(Microsoft's Distributed Component Object Model)����、結(jié)構4匕查詢i吾言(Structured Query Language )以及Windows 文件共享和打印(SMB)。參照圖4�����,在本發(fā)明的示例實施例中,提供了具有用戶系統(tǒng)420的第 一數(shù)據(jù)通信網(wǎng)絡400�,該用戶系統(tǒng)420具有IP地址410,由此地址始發(fā)諸 如惡意蠕蟲過程的過程440��。過程440可以尋址于其它網(wǎng)絡(例如圖4中 所示出的第二網(wǎng)絡500)上的用戶系統(tǒng)520的一系列IP地址510�����。過程440可以尋址于未^f吏用或不可訪問(例如��,在防火墻后面)的IP 地址540���。如果是這種情況�,則從在不可訪問的地址本地的路由器530返 回ICMP (因特網(wǎng)控制消息協(xié)議)消息��,在該例中是第二網(wǎng)絡500的路由 器530��。 ICMP消息尋址于過程440的始發(fā)用戶系統(tǒng)420�,指示目的地不可 到達以及關于原因的一些細節(jié)。提供了一種機制以便在始發(fā)用戶系統(tǒng)420本地的路由器430處捕獲 ICMP消息���。ICMP消息告知在始發(fā)用戶系統(tǒng)420本地的路由器430:從始 發(fā)用戶系統(tǒng)420到目的地的所有業(yè)務量都應當#1給予本地入侵檢測傳感器 (IDS) 160或者通過本地入侵檢測傳感器(IDS ) 160而被路由���。本地IDS 160然后可以與始發(fā)用戶系統(tǒng)420交互以確定導致嘗試連接的根源����。每個網(wǎng)絡400���、 500均具有其路由器430、 530�����,該路由器管理因特網(wǎng) 150上的業(yè)務量�����。路由器打開數(shù)據(jù)的IP分組以讀取目的地址��,計算最佳路 由�����,并且然后向其最終目的地發(fā)送分組��。如果目的地與發(fā)送計算機在相同 的網(wǎng)絡上,則路由器直接向目的計算機發(fā)送分組�。如果分組要前往本地網(wǎng) 絡外部的目的地,則路由器改為向更靠近目的地的另一路由器發(fā)送分組����。 該路由器接著向更靠近的路由器發(fā)送分組,直到該分組到達其最終目的地�。路由器430、 530具有兩個或更多的物理端口輸入端口和輸出端口����。
當輸入端口接收到分組時,運行被稱為路由過程的軟件例程���。該過程向內(nèi) 察看IP分組中的報頭信息���,并且找到正向其發(fā)送數(shù)據(jù)的地址。然后其將該 地址與內(nèi)部數(shù)據(jù)庫進行比較��,該內(nèi)部數(shù)據(jù)庫被稱為路由表����,其具有關于應 當將具有各種ip地址的分組發(fā)送到的端口的詳細信息?��;谄湓诼酚善鞅碇姓业降膬?nèi)容��,路由器將分組發(fā)送至特定的輸出端口���,該輸出端口將數(shù)據(jù) 發(fā)送至下一路由器或其目的地��。因特網(wǎng)的操作是由路由器監(jiān)控的�,并且當不能夠完成連接時�����,由ICMP (因特網(wǎng)控制消息協(xié)議)報告該事件�。定義了各種不同類型的ICMP消息 并且每種消息類型均被封裝在IP分組中����。例如,當子網(wǎng)絡或路由器不能夠 定位主機目的地時����,使用"目的地不可到達"消息,并且當不能夠定位目 的地的網(wǎng)絡時���,使用"網(wǎng)絡不可到達"消息��。參照圖5��,在本發(fā)明的示例實施例中��,路由器430中的重選路由機制 460 (也^皮稱為重選路由器(rerouter))標識正返回給在路由器430本地 的IP地址410的消息的種類����。具有始發(fā)IP地址410的始發(fā)用戶系統(tǒng)420 向目的地址發(fā)送消息501。如果返回消息511被機制460標識為指示不可 到達的目的地的ICMP消息����,則機制460建立臨時路由541以便將尋址于 該不可到達的目的地的業(yè)務量從始發(fā)IP地址410導向在路由器430本地的 IDS 160。這里機制460可以包括能夠分析所截獲的返回消息511的種類并 且標識屬于指定種類的那些消息的消息檢驗器�。該標識就像不影響不屬于 指定種類的返回消息的濾波器一樣工作。其它消息511由重選路由器重新 路由至IDS 160�。重選路由器不需要單獨的硬件設備。依照策略重新路由 返回消息511可以是路由器430的一種功能性����。路由器430可以運行一個 或多個策略來確定重定向和重新路由的種類。例如�����,只有在監(jiān)控類型的返 回消息511的數(shù)目超過預定閾值的情況下�����,重定向才會發(fā)生?��?梢詫⑴R時 路由541定時成持續(xù)預定的時間周期����,例如30秒�。響應于消息501,由因特網(wǎng)150中的遠程路由器將ICMP消息511返 回至在始發(fā)用戶系統(tǒng)420本地的路由器430����。機制460截獲該ICMP消息 511。由于返回消息511被標識成屬于指定種類����,即這里指示不可到達的目
的地����,因此機制460將進行重新路由,以便從始發(fā)用戶系統(tǒng)420到目的地 的所有業(yè)務量都被給予本地IDS 160或者都通過本地IDS 160而被路由����。 機制460建立臨時路由541����,以便將從始發(fā)IP地址410發(fā)送至不可訪問的 地址的任何后續(xù)消息重新路由至IDS 160�����。 IDS 160可以通過假裝是不可訪 問的地址來欺騙與始發(fā)用戶系統(tǒng)420的交換531�。 IDS 160然后可以確定始 發(fā)用戶系統(tǒng)420到不可訪問的地址的嘗試聯(lián)系的種類,并且如果該嘗試聯(lián) 系是惡意的����,則可以在相同的路由器網(wǎng)絡內(nèi)本地發(fā)出警報。
圖6示出了在路由器430處的機制460的過程600的流程圖�����。過程600 涉及機制460����,該機制460監(jiān)控610尋址于始發(fā)用戶系統(tǒng)的返回消息511、 標識620指定種類的返回消息511����,以及將來自始發(fā)用戶系統(tǒng)420的后續(xù) 消息臨時路由630至入4曼檢測傳感器160。 IDS 160可以是如文中之前所描 述的傳感器�,其欺騙對始發(fā)用戶系統(tǒng)420的回復����。
除了常規(guī)IDS的所有優(yōu)點之外�����,該機制更為準確地傳遞更為本地的警 報�����,因此降低了對重分布體系結(jié)構的需要���。這直接解決了有效檢測本地網(wǎng) 絡中受感染的機器的問題(這對本地網(wǎng)絡管理員是有價值的信息)�,而不 檢測遠程受感染的系統(tǒng)(本地網(wǎng)絡管理員對此無能為力)�。所以本發(fā)明允 許檢測更靠近入侵者的入侵,從而允許負責包括該入侵者的域的網(wǎng)絡管理 員通過適當?shù)膭幼鲗υ撊肭肿鞒龇磻?���。入侵檢測的位置越靠近入侵者,管 理員就能夠越好地進行這樣的動作���。另一優(yōu)點在于不同網(wǎng)絡上現(xiàn)有的每個未使用或不可訪問的地址均會導 致返回的ICMP消息511。因此���,不需要將未使用的地址分派給IDS�。該 機制依賴于返回的ICMP消息511,其指示目的地址是不可訪問的��。
本發(fā)明通常作為計算機程序產(chǎn)品來實現(xiàn)���,其包括用于控制計算機或類 似設備的程序指令集�����。這些指令可以被提供預加載到系統(tǒng)中或記錄到諸如 CD-ROM的存儲^h質(zhì)上����,或者可提供用于通過諸如因特網(wǎng)或移動電話網(wǎng)的 網(wǎng)絡下載����。本發(fā)明還可以通過向接受服務的實體(也被稱為客戶系統(tǒng))提供服務 的服務實體來實現(xiàn)。該服務可以是以下中的一個或多個在接受服務的實
體的環(huán)境中或者為接受服務的實體的環(huán)境安裝根據(jù)本發(fā)明的設備或系統(tǒng)����、 部署可用于在其上實現(xiàn)的基礎設施,特別是部署或集成計算基礎設施���,包 括將計算機可讀代碼集成到計算系統(tǒng)中��,其中結(jié)合計算系統(tǒng)的代碼能夠?qū)?現(xiàn)根據(jù)本發(fā)明的方法��。在本發(fā)明的上下文中���,服務實體可以針對來自始發(fā) 用戶系統(tǒng)的入侵來裝備客戶系統(tǒng)��。由此���,服務實體可以在接受服務的實體 的網(wǎng)絡中提供對受感染機器的高效檢測或者檢測攻擊接受服務的實體的網(wǎng)絡的受感染機器。裝備方法可以包括以下步驟將入侵檢測傳感器160連 接至路由器430����,為路由器430配備以下能力監(jiān)控610尋址于始發(fā)用戶 系統(tǒng)420的返回消息511、標識620指定種類的返回消息511����,以及將來自 相同的始發(fā)用戶系統(tǒng)420的后續(xù)消息臨時路由630至所ii^侵檢測傳感器 160。 IDS160可以是由服務實體擁有或租用的裝備���。特別地�����,服務實體可 以同時為幾個接受服務的實體使用該IDS 160����,從而共享該資源��。這具有 的優(yōu)點在于����,在IDS 160上進行的關于入侵可檢測性性能的更新對所有連 接的接受服務的實體具有其影響。另 一優(yōu)點在于可以對接受服務的實體透 明實現(xiàn)該服務�。在不背離本發(fā)明的范圍的情況下可以對前述內(nèi)容進行改進和修改。
權利要求
1. 一種用于檢測數(shù)據(jù)通信網(wǎng)絡上的攻擊的方法�����,所述方法包括 監(jiān)控(610)尋址于始發(fā)用戶系統(tǒng)(420)的返回消息(511); 標識(620)指定種類的返回消息(511);以及將來自相同的始發(fā)用戶系統(tǒng)(420)的后續(xù)消息臨時路由(630)至入 4曼檢測傳感器(160)�����。
2. 根據(jù)權利要求1所述的方法�,其中所^4曼檢測傳感器(160)被 選擇安排在所述始發(fā)用戶系統(tǒng)(420)的本地。
3. 根據(jù)權利要求1或2所述的方法��,其進一步包括所i^侵檢測傳 感器(160)欺騙與所述始發(fā)用戶系統(tǒng)(420)的交換�����。
4. 根據(jù)權利要求1至3中任何一項所述的方法,其中所述返回消息 (511)與由所述始發(fā)用戶系統(tǒng)(420 )發(fā)送至目的地址的消息(501)有關�,并且所述臨時路由(630)的步驟被應用于從所述始發(fā)用戶系統(tǒng)(420)到 所述目的地址的所有后續(xù)消息。
5. 根據(jù)前述權利要求中任何一項所述的方法��,其中選擇所述返回消息 (511)的指定種類以指示目的地址是不可訪問的�。
6. 根據(jù)前述權利要求中任何一項所述的方法,其中選擇所述返回消息 (511)的指定種類以包括指示失敗連接的因特網(wǎng)控制消息協(xié)議消息�。
7. 根據(jù)前述權利要求中任何一項所述的方法,其中在預定的時間周期 應用所述臨時路由(630)�。
8. 根據(jù)前a利要求中任何一項所述的方法,其進一步包括如果已 經(jīng)將指定種類的一數(shù)目的返回消息(511)標識為尋址于始發(fā)用戶系統(tǒng)(420),所述數(shù)目超過了預定閾值����,則觸發(fā)所述臨時路由(630)。
9. 一種用于檢測數(shù)據(jù)通信網(wǎng)絡上的攻擊的裝置����,所述裝置包括 路由器(430 ),所述路由器(430 )包括用于監(jiān)控尋址于在所述路由器(430)本地的始發(fā)用戶系統(tǒng)(420)的返回消息(511)的機制(460);以 及入侵檢測傳感器(160); 其中所述機制(460)包括消息檢驗器�,所述消息檢驗器用于標識指定種類的返回消息 (511);以及重選路由器,所述重選路由器用于將來自所述始發(fā)用戶系統(tǒng)(420 ) 的后續(xù)消息臨時路由至所^侵檢測傳感器(160 )��。
10. 根據(jù)權利要求9所述的裝置�����,其中所^侵檢測傳感器(160) 在所述路由器(430)的本地。
11. 根據(jù)權利要求9或10所述的裝置����,其中所述入侵檢測傳感器 (160)被設計以欺騙與所述始發(fā)用戶系統(tǒng)(420)的交換�。
12. 根據(jù)權利要求11所述的裝置,其中所述入侵檢測傳感器(160 ) 包括虛擬化^i殳施����,所述虛擬化^J設施具有各自欺騙服務的多個虛擬 傳感器(310-315)。
13. 根據(jù)權利要求9至12中任何一項所述的裝置���,其中所述返回消 息(511)與由所述始發(fā)用戶系統(tǒng)(420)發(fā)送至目的地址的消息(500)有 關�����,并且所述重選路由器在從所述始發(fā)用戶系統(tǒng)(420)到所述目的地址的所有后續(xù)消息上操作��。
14. 根據(jù)權利要求9至13中任何一項所述的裝置����,其中所述返回消 息(511)的指定種類指示目的地址是不可訪問的����。
15. 根據(jù)權利要求9至14中任何一項所述的裝置���,其中所迷返回消 息(511)的指定種類是指示失敗連接的因特網(wǎng)控制消息協(xié)議消息。
16. 根據(jù)權利要求9至15中任何一項所述的裝置�����,其中所述重選路 由器在預定的時間周期有效�����。
17. 根據(jù)權利要求9至16中任何一項所述的裝置���,其中所述重選路 由器包括確定器�����,所述確定器用于確定已4皮標識尋址于始發(fā)用戶系統(tǒng)(420 ) 的指定種類的返回消息(510)的數(shù)目是否超過了預定閾值��。
18. —種路由器(430),其包括機制(460),所述機制(460)用于監(jiān)控尋址于在所述路由器(430) 本地的始發(fā)用戶系統(tǒng)(420)的返回消息(511);消息檢驗器��,所述消息檢驗器用于標識指定種類的返回消息(511);以及重選路由器���,所述重選路由器用于將來自所述始發(fā)用戶系統(tǒng)(420 )的 后續(xù)消息臨時路由至入侵檢測傳感器(160)��。
19. 一種數(shù)據(jù)通信系統(tǒng)�����,其包括 一網(wǎng)絡中的多個數(shù)據(jù)處理系統(tǒng)����;—在所述數(shù)據(jù)處理系統(tǒng)本地的路由器(430)�����,所述路由器(430)用 于將消息路由至所述數(shù)據(jù)處理系統(tǒng)或者路由來自所述數(shù)據(jù)處理系統(tǒng)的消息�����;所述路由器(430)包括機制(460)�,所述機制(460)用于監(jiān)控尋址 于作為在所述路由器(430 )本地的數(shù)據(jù)處理系統(tǒng)之一的始發(fā)用戶系統(tǒng)(420 ) 的返回消息(511);一入侵檢測傳感器(160);其中所述機制(460)包括消息檢驗器���,所述消息檢驗器用于標識指定種類的返回消息(510) ;以及重選路由器��,所述重選路由器用于將來自所述始發(fā)用戶系統(tǒng)(420) 的后續(xù)消息臨時路由至所^侵檢測傳感器(160)��。
20. —種計算機程序元件�����,其包括計算機程序代碼裝置����,當加栽到數(shù) 據(jù)處理系統(tǒng)的處理器中時,所述計算機程序代碼裝置配置所述處理器以實 現(xiàn)包括以下步驟的方法監(jiān)控(610)尋址于始發(fā)用戶系統(tǒng)(420)的返回消息(511); 標識(620)指定種類的返回消息(510);以及 將來自所述始發(fā)用戶系統(tǒng)(420)的后續(xù)消息臨時路由(630)至入侵 檢測傳感器(160)�。
21. 根據(jù)權利要求20所述的計算機程序元件,其中所述返回消息(511) 與由所述始發(fā)用戶系統(tǒng)(420 )發(fā)送至目的地址的消息(501)有關���, 并且對從所述始發(fā)用戶系統(tǒng)(420 )到所述目的地址的所有后續(xù)消息進行所 述臨時路由的步驟�����。
22. 根據(jù)權利要求20或21所述的計算機程序元件��,其中所述返回消 息(511)的指定種類指示目的地址是不可訪問的�。
23. 根據(jù)權利要求20至22中任何一項所述的計算機程序元件�����,其中 所述返回消息(511)的指定種類是指示失敗連接的因特網(wǎng)控制消息協(xié)議消 息��。
24. 根據(jù)權利要求20至23中任何一項所述的計算機程序元件���,其中 所述臨時路由(630)用于預定的時間周期�����。
25. 根據(jù)權利要求20至24中任何一項所述的計算機程序元件����,其中 所述方法包括如果已被標識為尋址于始發(fā)用戶系統(tǒng)(420)的指定種類的 返回消息(511)的數(shù)目超過了預定閾值,則觸發(fā)所述臨時路由(630)���。
26. —種針對來自始發(fā)用戶系統(tǒng)(420)的入侵而裝備客戶系統(tǒng)的方 法��,其包括以下步驟將入侵檢測傳感器(160)連接至路由器(430), 為所述路由器(430)配備以下能力-監(jiān)控(610)尋址于所述始發(fā)用戶系統(tǒng)(420)的返回消息(511)��, -標識(620)指定種類的返回消息(511)����,以及 -將來自相同的始發(fā)用戶系統(tǒng)(420)的后續(xù)消息臨時路由(630)至 所^侵檢測傳感器(160)。
全文摘要
提供了一種用于檢測數(shù)據(jù)通信網(wǎng)絡上的攻擊的方法和裝置���。所述裝置包括路由器�����,所述路由器具有用于監(jiān)控尋址于在所述路由器本地的始發(fā)用戶系統(tǒng)的返回消息的機制��。所述機制包括用于標識指定種類的返回消息的消息檢驗器���,以及用于將來自所述始發(fā)用戶系統(tǒng)的后續(xù)消息臨時路由至入侵檢測傳感器的重選路由器�。
文檔編號G06F21/00GK101147153SQ200680009164
公開日2008年3月19日 申請日期2006年2月21日 優(yōu)先權日2005年3月24日
發(fā)明者D·M·贊波尼, J·F·賴爾登, R·里斯曼, Y·杜邦徹 申請人:國際商業(yè)機器公司