专利名称:利用动态选择性过滤标准的多级信息包筛选的制作方法
技术领域:
本发明涉及信息包通信的多级筛选,特别是涉及一种分级筛选技术,其中,每一级的过滤筛选标准可以基于例如每一级的处理能力和/或信息包通信量的变化进行动态地选择。
背景技术:
在很多公认的情形下都需要对信息包通信进行筛选。一种这样的情形是在应用网络入侵探测系统(IDS)的情况下,需要对通过的信息包通信进行威胁性或危险性内容的检查。当检测到这种威胁时,在有机会进入到一个受保护的网络前,该可疑信息包通信将会被识别,并被捕获或丢弃(也许使用防火墙)。
众所周知,对信息包通信的检查筛选操作需要消耗很多时间,并且因此可能造成信息包通信通过量的延误。特别是在需要检查的通信量增加、而入侵探测系统出现信息包通信通过量的瓶颈时,这种延误显得尤为突出。如果使用了更全面(更费时间)的筛选操作,则有可能造成通过时间的进一步延误。
因此,需要开发一种更为有效的途径来进行信息包的筛选。
发明内容
本发明的一个方面,信息包过滤是通过使用第一个过滤标准对信息包通信进行第一级过滤,以形成第一部分通过的通信以及一部分不能通过的通信,这部分不能通过的通信再以第二个过滤标准进行第二级过滤,从而形成第二部分通过的通信和一部分被拒绝的通信。
在一个具体的实施例中,第一级过滤检测出可疑的信息包通信,作为不能通过的通信部分输出,而第二级过滤检测出该可疑信息包通信中具有威胁性的信息包通信,作为被拒绝的通信部分。在一个相关的实施例中,第一级过滤会触发对信息包通信中危险性信息包的怀疑,并将可疑信息包作为不能通过的通信部分;而第二级过滤则确认该不能通过的通信部分中危险的信息包通信的存在,并选出危险信息包作为被拒绝的通信部分。
在进一步的实施例中,负载量被测定,并根据测得的负载量动态地选择和改变第一和第二级过滤标准。选择的第一和第二级过滤标准的变化是基于测得的负载量的变化。在一个特定的实施例中,负载量的测定检测出第一和第二级过滤操作中负载量的不平衡。然后启动动态选择以改变第一和第二级过滤标准,从而更好地平衡过滤负载量。
在另一个实施例中,第一组过滤标准的特征为较高的通过量、较低的过滤标准精确度;而第二组过滤标准的特点为较低的通过量和较高的过滤标准精确度。进行动态选择可以调整第一和第二组过滤标准中的相对的通过量和精确度。
在一个相关的实施例中,这种调整改变了第一和第二级过滤标准的复杂性,并同时改变了其相对通过量和精确度。这通过一个动态的适应过程来实现,该过程响应于一个或多个特性和/或因子。
在另一个相关的实施例中,这种调整改变了第一和第二级过滤标准的全面性,并同时改变了其相对通过量和精确度。这同样通过一个响应于一个或多个特性和/或因子的、动态的适应过程来实现。
结合所附的附图,通过参考以下的详细描述,本发明的方法和装置将被更为全面的了解。
图1为一个框图,显示了根据本发明的一个实施例的、用于信息包通信筛选的一种分级的方法。
图2为一个框图,显示了根据本发明的另一个实施例的、用于信息包通信筛选的一种分级的方法。
图3为一个框图,显示了根据本发明的又一个实施例的、用于信息包通信筛选的一种分级的方法。
具体实施例方式
首先参考图1,其是一个框图,根据本发明的一个实施例,它显示了一个对信息包通信进行筛选的方法。一个筛选引擎10(可以应用于多种应用中,例如网络保护、入侵探测、防火墙、防病毒内容的过滤以及其他类似应用)执行了一项多级处理技术。在第一级12(也被称为触发级或检测级)上,对应的第一级过滤器14收到信息包通信16,并利用第一组过滤标准18对该收到的通信进行筛选。收到的通信16中通过该第一组过滤标准18的部分20被从筛选引擎10输出。但是,收到的通信16中没有通过第一组过滤标准18的部分22将被继续传递给筛选引擎10中第二级24进行进一步的检查。而第二级24(也被称为确认级或捕获级)执行对应的第二级过滤26,接收信息包通信16中未通过的部分22,并以第二组过滤标准28对接收的通信进行筛选。接收的通信(未通过部分)22中的一部分30通过了第二组过滤标准28,并被从筛选引擎10输出,与信息包部分20一起作为通过的信息包通信输出。接收的通信22(未通过部分)中不能通过第二组过滤标准28的部分32则被拒绝。然后被拒绝的信息包被输出并根据需要进行处理(例如记录、丢弃、发出警告或者其他类似操作)。
虽然图1举例说明了两级的分级处理过程,但本领域的技术人员很容易明白,这实际上只是一个范例。如果需要,图1中描述的本发明的实施例可以包括三级或者更多级的处理,每个随后的和/或附加的层级的构建都与第一和/或第二级过滤的构建方法类似。一般而言,每一个层级的增加,意味着使用逐级递增的过滤标准对信息包中可疑或危险的通信的更为准确的检测。
另外,虽然图1中主要说明了所有无法通过第一级过滤检查的通信(也就是未通过部分22)都被传递给第二级过滤处理,容易理解,根据第一级过滤器14所使用的过滤标准18,第一级过滤也可能识别部分22中的某些明显具有威胁性或危险性的通信。这些明确确定为危险通信的部分22′无需在第二级过滤器26中进一步处理确认,而是直接被传递给被拒绝部分32(如虚线所示),从而形成拒绝信息包输出,并根据需要进行进一步的处理。通过这种方式配置的引擎10的优点在于相对于第二级24的处理提高了通过量。
为了提高筛选引擎10在通过量方面的性能(速度和精确度),需要在第一级过滤器14和第二级过滤器26所执行的过滤标准之间确定可靠的关系。第一组过滤标准18作为一种触发机制执行,以允许对接收的信息包通信16进行相对速度较快的检查,在这里,所使用的过滤设计成具有有限的处理能力,以捕获事实上所有的可疑通信,应当理解,过滤器14将不可避免地在捕捉危险通信的同时错误地捕捉一些无危险的通信(也就是精确度相对比较低而误检的几率较大)。比如,第一级12的筛选涉及到标题字段的比较并触发内容搜索(例如短字符的比较),这可以利用相对较简单的算法以较快的速度完成,而对于筛选输出的处理将更容易出错。另一方面,第二组过滤标准28作为一种确认机制执行,以允许对信息包通信16中的通信部分22进行较慢速度的检查,在这里,所使用的过滤设计成具有更为复杂的处理能力,以更仔细地检测可疑通信(由第一级过滤器14识别),并确定最可能具有威胁或危险性的通信。同样的,容易理解,过滤器26可能错误地捕获一些无危险的通信(也就是准确性相对较高,尽管误检的几率非常低)。但是发生这种情况的可能性要比采用第一级过滤器14时出现的几率显著降低。举例来说,这个第二层级24的筛选涉及到协议解码和常规的表达式匹配(也就是长字符比较),由于使用了更为复杂的算法,运行速度较低,但筛选输出更不容易出错。
可以理解,通过增加额外的层级(超过二级过滤)能提高系统的准确性,同时还能在更多的过滤器上分摊处理负载。但是,得到这种好处的代价是增加了过滤作业量,并可能进一步造成信息包通信的延迟。
举一个例子可以更好地理解精确度/通过量与第一组过滤标准18(用于触发怀疑)和第二组过滤标准28(用于确认存在)之间的相互关系。在一个典型的实施例中,第一组过滤标准18可以包括一个筛选,该筛选设计为快速检查通过的信息包并撒下大网来捕捉任何、甚至是很细微的可疑通信(比如根据标题字段的比较或者短字符串的比较)。由于这个触发筛选不必要求对通过的通信16中的每一个信息包进行详细或者全面的检查,所以,由第一级过滤器14进行的分析可以在逐个信息包的基础上以相对比较快的速度完成,从而使得接收的通信16中通过的部分20的通过量相对比较高。然而,由于筛选分析不够详细或者全面,特别是由于筛选的参数过于宽泛并且字符过于简练,通信中被捕获并传递以进行进一步分析的不能通过的部分22很可能会含有大量非危险的信息包(也就是由于准确性低造成的误检现象)。发现那些被错误捕获的信息包是第二组过滤器26的工作之一。在一个典型的实施例中,过滤标准28中可能包括一个筛选,该筛选被设计成可以对可疑信息包部分22进行更为彻底的检查,并仔细研究信息包(既可以是单独的,也可以与其它前述的信息包结合)中具有危险的内容(比如根据协议解码或者长字符比较)。由于这个确认筛选对第一级筛选输出的部分20中的每一个信息包进行更为详尽或全面的检查,所以第二级过滤器26进行的分析需要在每个信息包上耗费明显更多的时间,也因此降低了这些信息包的通过量。但是,通过第一级筛选,需要进行更为仔细的检查的信息包少了。此外,由于筛选分析更为详细、全面,特别是由于筛选的参数更为准确,并对可疑通信中的某些特性更具有针对性,所以只有那些最可能具有危害性的通信才会被捕获(也就是说准确性很高),而其余的通信都会很快被释放,只需延误少许的时间以便确认这些通信的合法性。
现在参考图2,根据本发明的另一个实施例,图2的框图显示了用于信息包通信筛选的一种分级的方法。相似的参照编号用来指示相似或者完全相同的部分。另外,虽然图中只画出了两个层级,容易理解的是根据需要可以使用三级或者更多级的过滤。
众所周知,信息包通信16的数量和性质(也就是通信混合情况)会随着时间而变化。如果通信混合的情况决定对信息包的筛选不需要使用大量的处理资源,则第一级过滤器14的工作负载不高,因此可以用于执行额外的或者更为全面的筛选。反之,如果通信混合的情况使第一级过滤器作出触发处理决定的负载很高,则这些处理中的一部分可以卸载给第二级过滤器,从而更有效地的分担负载。图2的实施例通过调整每一级过滤中使用的标准18和28而利用了这些信息包通信混合情况的自然变化。这些调整解决了通信混合情况的变化并更好地平衡了相关层级之间的负载。比如,引擎10可以改变第一组过滤标准18,使其在第一级过滤器14上执行某些本该在第二级过滤器26上按照第二组过滤标准28执行的筛选。尽管这种“提高的”第一组过滤标准18′针对每一个信息包执行了更为详细或全面(也就是相对而言更准确)的检查,但总的通过量可以被提高。被加入以形成第一组过滤标准18′的标准的提高在第二组过滤标准28中是不需要的,因此第二级过滤器26可以使用经过修改的第二组过滤标准28′以便继续执行比图1中执行的更为全面,但针对性更强的筛选。在标准18和18a′以及28和28a′之间应当根据需要建立一种转换,以便根据探测到的通信混合情况的变化做出相应的反应。
对于第一组和第二组过滤标准的调整主要包括改变过滤器的相对通过量以及准确性。例如,采用一组高通过量和低准确性的过滤标准的第一级过滤器在某些情况下可以调整为提供稍微低一些的通过量和相对较高的准确性。反之,采用一组低通过量和高准确性的过滤标准的第二级过滤器在那些情况下,可以调整为提供在相对较低的通过量下、保持准确性,但全面性较低的筛选。这些调整可以根据探测到的信息包通信混合情况的变化来进行,也可以被用于修正觉察到的、在第一级和第二级过滤器之间负载的不平衡。
筛选引擎10上的总体负载、特别是其组成的过滤器的负载测定(参见36),被用于触发第一级过滤器14和第二级过滤器26所采用的过滤标准的选定的变化。在这种情况下,负载是指任何一个因子(参见38)或者一个以上因子的组合,这些因子包括例如,通信数量、处理器负载系数或比例、对于某些通信类型的过量探测、信息包的丢失、通过率、过滤器标准等等。如果一个给定的过滤器被确定为过载,或者存在过载的危险,则筛选引擎动态地做出反应来调整采用的过滤标准(参见42,例如考虑相对准确性、通过量、复杂性和/或全面性),以更好地分配或者平衡可用过滤器之间的负载。这里介绍的几个这种操作的例子,目的在于说明引擎10的负载响应操作,而非用于限定的目的。
筛选引擎10的负载装置36可以使用通信量监视器40来测量某种特定类型的信息包通信16的量。根据这个信息,负载装置36动态地调整第一级过滤器14和第二级过滤器26中每一个所采用的过滤标准。举例来说,如果通过测量发现某种类型的信息包通信16的量超过了第一个极限值(表示一个相对的最高通信量水平),则负载装置36配置第一级过滤器14和第二级过滤器26分别采用第一组过滤标准18和第二组过滤标准28,如以上图1所讨论的那样。在这种配置下,第一组过滤标准18提供了对收到的信息包通信16的相对高速度(高通过量)的检查,进行有限处理能力的过滤,以捕获实际上所有可疑的通信(但不必精确地探测出具有危险性或威胁性的信息)。而第二组过滤标准28提供了对信息包通信16中的部分22的较低速度的检查,进行处理能力更为全面的过滤,以更为仔细地检查可疑通信并精确地识别出最可能具有威胁性的通信。
如果测得的特定类型的信息包通信16的量后来下降到第二个极限值以下(表示一个相对较低的通信量水平),则如上所述,负载装置36通过改变过滤标准中的相对通过量和准确性特征,来配制第一级过滤器14和第二级过滤器26分别执行提高的第一组过滤标准18′和修改的第二组过滤标准28′。在这种配置下,经修改的第一组过滤标准18′继续提供对接收的信息包通信16的相对高速的检查,但是进行处理能力略微全面些的过滤以提高准确性,并捕获更多(或最多)通信16中的可疑部分22(并可能生成部分22′)。而另一方面,第二组过滤标准28′继续提供对信息包通信16中的部分22的较低速度的检查,进行处理能力更为复杂的过滤(也许扣除在第一级过滤器14中用于提高通过量的部分),以更仔细地检查可疑的通信并识别出最可能具有威胁性的通信。
第一组过滤标准18和第二组过滤标准28之间,以及提高的第一组过滤标准18′和修改的第二组过滤标准28′之间的关系可以通过一个例子得到更好的理解。在这个例子中可以考虑一系列与特定的威胁性或危险性检测相关的可用过滤标准F(l)-F(n),对于每一个标准F(a)随着n的增加,根据该标准执行的过滤的复杂程度提高;(b)随着n的增加,根据该标准执行的信息包筛选的速度降低;和(c)随着n的增加,根据该标准的筛选过程中错误地捕获信息包(也就是误检)的可能性降低。第一组过滤标准18可能包括过滤标准F(l)-F(m),而第二组过滤标准28包括过滤标准F(m+1)-F(n)。该系列的过滤标准由负载装置36在点m上的分界反映了在第一级过滤器中针对通过量和准确性所作出的权衡。因此可以看出,通过利用过滤标准F(l)-F(m)作为第一组过滤标准18,可以利用复杂性或全面性较低的算法对信息包16进行快速的处理,但在部分22中出现误检的几率增加。作为选择,提高的第一组过滤标准18′可以包括过滤标准F(l)-F(p),而修改的第二组过滤标准28′包括过滤标准F(p+1)-F(n),其中p>m。同样,该系列过滤标准在p点的分界反映了负载装置36在第一级过滤器中针对的通过量与准确性所作出的权衡。然而,在这种情况下,由于信息包通信的量较小,所以对处理通过量的要求不高,这样就可以在第一级过滤器14中采用更为精确和复杂的筛选,包括提高的第一组过滤标准18′中的过滤标准F(m)-F(p),否则应当执行第二组过滤标准28。由于包含了第一组过滤标准18′中的标准F(m)-F(p),因此这些标准无需在另一个层级上重复应用,从而使得修改的第二组过滤标准28′可以得到执行。因为修改的第二组过滤标准28′现在对部分22进行较少的检查,针对每个被检查信息包的处理速度应该提高(但不会造成准确性的降低)。
一系列可用过滤标准F(l)-F(n)中分界点(m、p等)的选择由负载装置36利用诸如通信量监测器40测量的信息包数量水平来确定的。当测得的数量相对较高,例如达到或超过第一个极限值,则分界点的选择更接近于一系列标准中的F(l)端(相对而言具有较高的通过量和较低的准确性)。反之,如果测得的数量相对较低,例如达到或低于第二个极限值,则分界点的选择更接近于一系列标准中的F(n)端(相对而言具有较低的通过量和较高的准确性)。一般而言,第一和第二个极限值是不同的(第一个>第二个),以限定出一个通信数量变化的滞后,而负载装置36在转换当前应用的过滤标准前必须克服这种滞后。这种滞后可以防止负载装置36响应测得数量的正常的和预期的波动所作出的对应用的过滤标准的反复转换。只有在测得的数量的变化克服了滞后现象之后,才会响应该变化转换当前使用的过滤标准。
通信量监测器40可以根据用户希望的任意选择的速率对信息包通信进行采样。选择较快的速率将使引擎10的负载装置36对于数量变化作出更快的响应,并相应地转换过滤标准。较快的速率同时也使负载装置36对每一个决定考虑更多的数据点。通过这种方式,容易理解用于作出标准转换决定的测得的数量既可以包括由一个单一的数据点表示的瞬间的数量,也可以是由多个数据点表示的平均数量。
虽然前述的例子说明了通信量监测器40操作测量了整体数量,应当理解,为了便于负载装置36确定过滤标准的分配,其它与通信量相关的特性可以额外的或者选择性的被测量。比如通信量监测器40可以识别出通信类型并分别测量每一种通信类型的数量。在这种情况下,引擎10可能对某个通信的类型特别的关注,这里的类型是指协议种类(HTTP、FTP、DNS等等),因为过滤器对该类通信的筛选需要比处理其他通信明显大得多的处理资源量。如果检测到大量这类通信,则需要对第一组过滤标准18作一些调整,以确保第一级过滤器14不会因为该通信的出现而过载。此外,通信量监测器40还可以识别通信的来源,并针对不同的来源或目的地分别测量数量。在这种情况下,引擎10可能对某个特定来源的通信特别关注,在这里,来源是指源地址、端口ID。协议目的地址,这是因为与处理其他通信相比,过滤器对来自该源头的通信的筛选需要明显大得多的处理资源量。如果检测到大量的这类通信,则需要对第一组过滤标准18作一些调整,以确保第一组过滤器14不会因为该通信的出现而过载。
作为选择,负载装置36中可以包括一个过滤器负载监视器40′,它可以测量第一级过滤器14和第二级过滤器26中每一个的处理负载。如果负载监视器40′发现任一级过滤器在处理收到的信息包的过程中出现过载(比如检测到信息包的丢失),或者将要出现过载的情形(比如处理器的利用和/或存储器的利用超过了某个极限值),这就说明引擎10处理的信息包没有在第一级过滤器14和第二级过滤器26之间很好地平衡。作为响应,负载装置36可以调整过滤器执行的过滤标准(例如对于相对通过量和准确性),以更好地平衡负载以及提高性能。举例来说,如果负载监视器40′检测到第一级过滤器14过载,则该过滤器执行的过滤标准将被调整,从而为第一级过滤器选择一组准确性较低的过滤标准(也就是分界点的选择更接近系列中F(1)端)。当然,这将造成第一级过滤器中出现更多的误检捕获,并因此造成第二级过滤器26上负载的增加,因为该过滤器现在必须对大量的信息包使用一组更为精确的过滤标准。如果平衡点选择得当,则第一级过滤器的负载将会降到低于其过载水平,而第二级过滤器中的负载水平不会上升到高于其过载水平。反之,如果负载监视器40′检测到第二级过滤器26出现过载,则该过滤器执行的过滤标准将被调整,从而为第一级过滤器14选择一组更为精确的过滤标准(也就是分界点的选择更接近系列中F(n)端)。当然,这将造成第一级过滤器中出现较少的误检捕获,但也使得第二级过滤器26可以集中于更全面的检查而无过载之忧。
负载监测器40′可以交替地进行过滤器负载的测量,并与一个代表负载能力百分比的极限值进行比较。如果测得的过滤器负载超过了极限值,则负载装置36启动一个负载平衡操作。在这种情况下,过滤器负载可以包括由给定的过滤层级产生的误检的测量。如果负载监测器40′从来自更高层级的过滤器(比如第二级过滤器26)的分析检测到一个较低层级的过滤器(例如第一级过滤器14)正在产生过量的误检,则负载装置36可以指示该较低层级的过滤器调整其过滤标准,以提高准确度。作为响应,该较低层级的过滤器可以采用一组更为全面的过滤标准。而较高层级的过滤器可以执行或不执行相应的变化来清除多余的过滤标准。
为了防止过滤器负载测量中由于负载随时间的自然变化造成出现过滤标准的反复调整,可以选择使用一个适当的滞后,以防止由于通信量的变化而出现上述方式的变化。
虽然直观地看负载装置36及其相关的通信量监测器40和/或负载监测器40′均与第一和第二级过滤器在功能上相互独立,但应当理解,与负载平衡相关的功能性与第一和第二级过滤器可以是一个整体(如由44相互连接的虚线框36′所示)。比如,作为另外一种替换,较高层级的过滤器(例如第二级过滤器26)自身可以配置成检测到一个较低层级的过滤器(例如第一级过滤器14)产生了数目过大的误检。这可以通过例如将收到的信息包(也就是可疑信息包)的数量与其拒绝的信息包的数量进行比较来进行识别。作为响应,较高层级的过滤器可能会由于处理过多的误检而造成过载,较高层级的过滤器可以向较低层级的过滤器发出请求,要求其采用一组更为全面的过滤标准(从可疑通信中捕获误检通信的可能性更低的标准)。作为对该请求的回应,该下级过滤器会检查其自身的负载因子,如果按照该请求做出改变后不会给该下级过滤器造成过载的危险,则根据请求执行新的过滤标准。反之,该下级过滤器通过检查自己的负载因子,如果确定面临过载的危险,则执行一组全面性较低的过滤标准,以提高通过的速度,同时在识别的可疑通信中捕获误检通信包的可能性增加。该较高层级的过滤器将被告知这种变化,如果需要,采用一组更为全面的过滤标准以便对较低层级过滤器执行的标准的改变作出响应。
现在参考图3,根据本发明的另一个实施例,图3以框图说明了一种用于信息包通信筛选的分级的方法。相似的参照编号用来指示相似或者完全相同的部分。另外,虽然本实施例只描述了两级过滤,但是容易理解,根据需要可以使用三级或更多级的过滤。
第一级过滤器14由多个触发过滤器模块14(l)-14(n)中选择的一个或多个来执行,其中n不一定是与前述用于过滤器标准F的系数相同。与此类似,第二级过滤器26由多个触发过滤器模块26(l)-14(m)中选择的一个或多个来执行,其中m不一定是与前述用于过滤器标准F的系数相同。一个生成器模块100进行操作以选择102触发过滤器模块14(l)-14(n)中的哪一个(或多个的组合)被选中来对信息包通信16进行处理,以及选择102确认过滤器模块26(l)-26(m)中的哪一个(或多个的组合)被选中来对由第一级过滤器14产生的通信16中的可疑部分22进行处理。
在这种情况下,模块14(n)和26(m)可以分别代表图1的第一级过滤器14和第二级过滤器26中相应的多组标准18和28的存在。
多个触发过滤器模块14(l)-14(n)和确认过滤器模块26(l)-26(m)中可供生成器模块100选择的每一个都被设计成可以执行一个特定的筛选操作。该处理操作被设计成首先检测某种威胁或危险的存在。这个处理操作可以作为一个检测信号被参考。为了定位信息包通信所造成的大量的威胁和危险,需要设计大量的检测信号处理操作。在某些情况下,这些检测信号处理操作对某些威胁和危险是专用的。而在其他情况下,检测信号处理操作能够检测一种以上的威胁或危险。尽管如此,一旦拥有了大量的检测信号处理操作,接下来就作出决定引擎10将执行针对哪一种威胁或者危险(也就是信号存在的原因)的保护。在做出该决定后,针对那些所选的威胁或者危险的特定检测信号处理操作将会被估算,并作出决定在引擎10中的各个层级上分别执行所述特定检测信号处理操作中的哪个部分。例如,第一个检测处理操作可以被提供作为触发过滤器模块14(n)之一所执行的过滤标准18所代表的第一个部分以及确认过滤器模块26(m)之一所执行的过滤标准28所代表的第二个部分。这些模块14(n)和26(m)然后被生成器模块100选择102进行筛选操作。然后如果需要,该过程被重复以进行第二个以及更多的检测处理操作,这样就可以选择多个模块14(n)和26(m)以提供所需的保护。
通过一个例子可以更好地理解前述操作。以所涉及的用于筛选信息包通信的处理操作定义的某个检测信号Sx作为一个“测试”,即Sx=测试。
这个信号可以作为使用该测试的一个单一的过滤操作来执行。然而,如果按照这种方式执行,虽然操作的准确性可能很高(也就是发生误检的几率被最小化),但是该测试在单个的过滤层级上要求使用大量的处理资源,并因此可能明显延迟信息包通信的通过。容易理解,该测试可以分为多个因子。接着前例来说,所述因子可以是两个,在该情况下,测试可以被分解为一个被称为″触发″的第一部分和一个被称为″确认″的第二部分,即Sx=触发+确认=测试。
在这种情况下,可以认为该触发部分需要较少量的处理资源,因此执行过程不会对信息包的通过量造成明显的延迟,但其准确性较低(也就是误检的可能性较大)。而确认部分则需要大量的处理资源,通过其操作准确地识别误检。因此,该信号Sx可以通过一对过滤操作来执行,即所述触发部分,该部分包含用于一个触发过滤器模块14(n)的所述标准18,以及所述确认部分,该部分包含用于一个确认过滤器模块26(m)的所述标准28。另外可以理解,该触发部分作为若干个子因子v的一个函数是可配置的,即触发=f(v),其中的子因子v可以是下列因子中的任意一个或者多个测试、该层级的处理能力(更特别的,是该第一个层级12)、其他的检测信号、通信量、负载等等。相对于测试而言,触发可以作为子因子测试的一个函数,因为标准18可以从测试自身的全部标准中衍生而来。相对于处理能力而言,触发可以是触发过滤器模块14(n)的子因子处理能力的一个函数,因为标准18的选择使其易于执行对信息包通信的高效处理,同时保持最小的通过量延迟;相对于其它检测信号,触发可以作为其它威胁或者危险检测信号的子因子的一个函数,通过识别不同信号之间的共同之处,并选择一个单一的标准18,以更有效地识别出可疑通信中是否存在各种威胁或者危险。相对于通信量和负载,触发可以是用于引擎10的子因子的当前通信量或负载的一个函数,以根据各个层级上当前的通信量和负载特性采用不同的标准18。
通过选择性地使用模块14(n)和26(m)中的一个或者多个,生成器模块100可以对各个层级上实施的筛选操作进行某种水平上的动态控制。更特别地,对于某个特定的检测信号,生成器模块100可以根据任何一个或者多个因子(比如负载或通信量混合情况)选择多个模块14(n)。响应于这些因子,生成器模块100可以在模块14(n)间转换,以触发对通信16中的威胁或危险的怀疑,并生成部分22以便在第二级24中作进一步的评估。在转换的过程中,生成器模块100可以权衡精确度方面的考虑和通过量方面的考虑,同时估算引擎10的各个不同层级上的相对负载,以便提供适当程度的分担。类似的,生成器模块100也可以选择多个模块26(m)。选择这些模块中的哪一个可以取决于选择使用了哪一(几)个模块14(n),同时也与影响模块14(n)的选择的相同的精确度/通过量均衡以及分担因子有关。如上所述,可以执行适当的滞后控制,以便在模块14(n)和26(m)发生变化时进行管理。
对于单个子因子或子因子的结合的考虑可以通过考察具体的例子得到更好地理解。对于子因子的测试和处理能力,假设测试目的为tcp_port>=34000。容易理解,在大于或者等于34000的端口上执行的过滤操作是一个相对比较复杂的操作。而同时在一个大于32768(其内部要进行>=34000的测试)的端口上进行的过滤操作是一个容易得多,且更为快速的处理操作,因为在该端口编号上只有一个单一的二进位数据需要检查,以作出大于或等于的决定。然后,所述触发变成了tcp_port>=32768,即可以被认为是第一个层级上的测试(tcp_port>=34000),以及可能是处理能力的一个函数。需要注意的是,触发过滤器14评估的标准18中的34000与32768之间的差异也可能造成一定数量的误检捕获,这些捕获只有通过使用精确的测试(tcp_port>=34000),在确认过滤器中被识别。然而,由于在第一级的处理消除了部分复杂性,因此可以提高通过量并且将详细的筛选操作转移到第二个级上,在那里可以只针对不能通过的通信部分22进行处理。
接下来考虑用于其它子因子的检测信号。在这种情况下,用于第一个测试的检测信号可以包括一个特定的字符串ABCD(长字符串比较),而用于第二个测试的检测信号可以包括一个特定的字符串AEFG(也是长字符串比较)。值得注意的是两个测试中将被发现的字符串中都有一个共同的字符串组成部分A。因此,由触发过滤器14计算得到的标准18可以被建立用来检测字符串部分A的存在(也就是短字符串比较)。这种单一触发的优点在于可以用于相对快速地检测可疑的字符串ABCD和AEFG的存在。在这方面,触发不仅仅是单一测试的一个函数,同时更重要还是多个检测信号的一个函数。同样值得注意的是,对字符串部分A的触发会产生大量的误检捕捉(即捕捉到同样包括A的无危险字符串),而这种误检测捕捉只能在长字符串比较的确认过滤器中,利用精确的、对于字符串ABCD和AEFG的测试来加以捕捉。
接下来看用于通信量的子因子,发生器100监测通信量负载和类型,并特别地测量触发过滤操作在预测威胁性或危险性通信存在方面的有效性,并动态地调节触发以进行补偿。再次回到上述有关测试(tcp_port>=34000)和执行的触发(tcp_port>=32768)的例子发生器100可能检测到源自端口33000的、被所述触发不适当地捕捉的大量的无危险信息。这种情况是不希望的,因为它减缓了这些无危险通信的通过,并不必要地增加了第二个层级所承担的处理负载。针对这个问题,该触发可以被设定为通信负载/类型的一个函数,通过向该触发(tcp_port>=32768)增加一个用于检测(tcp_port≠33000)的操作来实现。这种针对触发过滤标准18的联合操作略微增加了第一个层级上操作的复杂程度,但一个重要的优点是降低了第二个层级上的负载,同时提高第一级触发操作的准确性。
对于用于处理器负载的子因子,发生器100监视每一级上执行的处理功能的负载,并动态地调节该触发作为一个负载的函数,以补偿每一级上由于通信的通过量造成的过载/负载不足,以及每一级上所执行的筛选操作的准确性。例如上文所述,如果触发允许大量的无危险通信通过,则第二级上的负载必然增加,因为它必须处理这些可疑通信并对其中的威胁性或危险性通信进行检测。当发生器100检测到这种情况后就会做出调整,以提高第一个层级上所执行的过滤操作的准确性度。同样,如果通信量很小,第一级上的负载下降,则发生器100可以提高第一级过滤操作的准确性,以提高其负载,并在某种程度上降低第二个层级上的负载。反之,如果通信量很大,则第一级上的处理量增加,此时发生器100可以降低第一级上处理的准确性,从而降低负载,并相应地提高通过量。通过这种方式可以实现系统中不同过滤层级之间的负载平衡。
现在参照图1-3,对于在任一个实施例的每一个层级上的过滤器14和过滤器26所执行的过滤操作,可以考虑许多处理函数,并估算使用或与使用相关的过滤标准。在OSI层级1中,可以考虑用于信息包通信的物理硬件接口。而在OSI层级2中,可以考虑下列与数据连接相关的编码、寻址以及传输数据以太网源/目的地址、VLAN PRI/CFI、VLAN识别器和以太网类型、以及MPLS标签。在OSI层级3中,需要考虑下列与网络有关的传输线路、信息处理以及信息传输IP域(例如源/目的地址、有效负载长度、Fragbit、标题长度、ID域、偏移域、选项、协议域、服务域类型、生存时间域以及版本域),以及ARP域(发送方和目的MAC或者协议地址、协议或者硬件种类或者规格)。此外,在OSI层级4,可以考虑以下与传输有关的传递服务以及质量信息TCP域(源/目的端口、数据长度、标题长度、确认编号、旗标、序列号、紧急指针、窗口和校验和)、ICMP(类型、代码、序列、ID、数据长度、校验和icmp.code)和UDP(源/目的端口)。处理函数还可以估算下协议解码信息HTTP(全部标题域,包括请求线路、方法、URI、协议、主机、内容长度、本体)、DNS、SMTP、SNMP、SMP、FTP等等。另外,处理函数还可以估算固定的字符串-固定偏移、固定字符串-可变偏移、常规表达式-固定偏移、常规表达式-可变偏移、事件的集合、事件的顺序、分区、连接状态、流量重组、标准化技术(检测和消除重叠分区、回避技术)以及十六进制和单代码解码。
虽然以上自动动态修正,应当理解,在任一个所揭示的实施例中所执行的的过滤修改都可以通过人为的干预进行选择和控制。在这种情况下,过滤标准由用户进行定义,以根据管理人员的意愿来专门制定操作,而不是根据测定的因子来实施自动控制。也可能自动操作以选择用于改变过滤标准的多个选项,并将该些选项提供给管理人员以供考虑和选择。
虽然在前述的详细说明中结合附图对本发明的方法和装置的优选实施例作了描述,应当理解,本发明并不限于以上所揭示的实施例,在不背离本发明的精神的范围内的各种重新安排、修改和替换都应属于本发明的范围,本发明有以下的权利要求所限定。
权利要求
1.一种信息包过滤装置,其特征在于包括第一级过滤器,该过滤器对信息包通信采用第一级过滤标准,以产生第一部分通过的通信以及一部分不能通过的通信;和第二级过滤器,该过滤器对该部分不能通过的通信采用第二级过滤标准,以产生第二部分通过的通信和一部分被拒绝的通信。
2.如权利要求1所述的装置,其特征在于,所述第一和第二部分通过的通信合并组成一个通过的过滤信息包通信输出,而所述被拒绝的通信部分组成一个被拒绝的过滤信息包通信输出。
3.如权利要求1所述的装置,其特征在于,所述第一级过滤标准设计成检测出可疑信息包通信以作为所述不能通过的通信部分输出,而第二级过滤标准则设计成检测出所述可疑信息包通信中具有威胁的信息包通信以作为所述被拒绝的通信部分输出。
4.如权利要求1所述的装置,其特征在于,所述第一级过滤标准设计成触发对所述信息包通信中危险信息包的怀疑,并生成可疑信息包作为所述不能通过的通信部分;而第二级过滤标准设计成确认所述不能通过的通信部分中危险信息包通信的存在,并生成危险信息包作为所述被拒绝的通信部分。
5.如权利要求1所述的装置,其特征在于,所述第一和第二级过滤标准是由用户选择的。
6.如权利要求1所述的装置,其特征在于,所述第一和第二级过滤标准是动态选择的。
7.一种信息包过滤装置,其特征在于包括第一级过滤器,该过滤器对信息包通信采用第一级过滤标准,以产生第一部分通过的通信,一部分不能通过的通信以及第一部分被拒绝的通信;和第二级过滤器,该过滤器对该部分不能通过的通信采用第二级过滤标准,以产生第二部分通过的通信和第二部分被拒绝的通信。
8.如权利要求7所述的装置,其特征在于,所述第一和第二部分通过的通信合并组成一个通过的过滤信息包通信输出,而所述第一和第二部分被拒绝的通信合并组成一个被拒绝的过滤信息包通信输出。
9.如权利要求8所述的装置,其特征在于,所述第一级过滤标准设计成检测出可疑信息包通信作为所述不能通过的通信部分输出,以及检测出危险信息包通信作为所述第一部分被拒绝的通信输出;而第二级过滤标准则设计成检测出所述可疑信息包通信中有威胁的信息包通信作为所述第二部分被拒绝的通信输出。
10.如权利要求8所述的装置,其特征在于,所述第一级过滤标准设计成触发对所述信息包通信中危险信息包的怀疑,并生成可疑信息包作为所述不能通过的通信部分;而第二级过滤标准设计成确认所述不能通过的通信部分中危险信息包通信的存在,并生成危险信息包作为所述第二部分被拒绝的通信。
11.如权利要求10所述的装置,其特征在于,所述第一级过滤标准进一步设计成触发对所述信息包通信中危险信息包的检测,并生成危险信息包作为所述第一部分被拒绝的通信。
12.如权利要求7所述的装置,其特征在于,所述第一和第二级过滤标准是由用户选择的。
13.如权利要求7所述的装置,其特征在于,所述第一和第二级过滤标准是动态选择的。
14.一种信息包过滤装置,其特征在于包括第一级过滤器,该过滤器对信息包通信采用第一级过滤标准,以产生第一部分通过的通信以及一部分不能通过的通信;第二级过滤器,该过滤器对该部分不能通过的通信采用第二级过滤标准,以产生第二部分通过的通信和一部分被拒绝的通信;和一个负载检测器,根据测得的负载进行操作以动态地选择所述第一和第二级过滤标准。
15.如权利要求14所述的装置,其特征在于,所述负载检测器包括一个用于测量信息包通信量负载的通信量监视器,根据测得的信息包通信量负载,该负载检测器动态地选择所述第一和第二级过滤标准。
16.如权利要求15所述的装置,其特征在于,所述测得的信息包通信量负载包括信息包通信的数量。
17.如权利要求16所述的装置,其特征在于,所述信息包通信的数量包括一种特定类型的信息包通信的数量。
18.如权利要求16所述的装置,其特征在于,所述信息包通信的数量包括一种特定来源的信息包通信的数量。
19.如权利要求15所述的装置,其特征在于,进一步包括一个负载滞后,该滞后由所述负载检测器进行估算,并且,在所述第一和第二级过滤标准发生变化前,该滞后必须由测得的信息包通信量负载的变化所克服。
20.如权利要求14所述的装置,其特征在于,所述负载检测器包括一个过滤器负载监视器,该监视器用于测量所述第一和第二级过滤器上的负载,根据测得的过滤器负载,该负载检测器动态地选择所述第一和第二级过滤标准。
21.如权利要求20所述的装置,其特征在于,所述测得的过滤器负载包括对所述第一和第二级过滤器中所丢弃的信息包的确认。
22.如权利要求20所述的装置,其特征在于,所述测得的过滤器负载包括对用于所述第一和第二级过滤器中过滤器负载能力的百分比的确认。
23.如权利要求14所述的装置,其特征在于,所述负载检测器用于检测出所述第一和第二级过滤器之间负载的不平衡,所述负载检测器改变所述第一和第二级过滤标准以更好地平衡所述第一和第二级过滤器之间的负载。
24.如权利要求23所述的装置,其特征在于,所述不平衡由所述不能通过的通信部分中误检信息包数量的增加来指示。
25.如权利要求14所述的装置,其特征在于,应用针对所述信息包通信的所述第一级过滤标准还产生一部分额外的被拒绝通信,该部分通信饶过在所述第二级过滤器中的过滤。
26.如权利要求25所述的装置,其特征在于,所述第一和第二部分通过的通信合并组成一个通过的过滤信息包通信输出,而所述被拒绝的通信部分和额外的被拒绝通信部分合并组成一个被拒绝的过滤信息包通信输出。
27.如权利要求14所述的装置,其特征在于,所述第一级过滤标准设计成检测出可疑信息包通信作为不能通过的通信部分输出;而第二级过滤标准则设计成检测出所述可疑信息包通信中有威胁的信息包通信作为所述被拒绝的通信部分输出。
28.如权利要求14所述的装置,其特征在于,所述第一级过滤标准设计成触发对所述信息包通信中危险信息包的怀疑,并生成可疑信息包作为不能通过的通信部分;而第二级过滤标准则设计成确认所述不能通过的通信部分中危险信息包通信的存在,并生成危险信息包作为被拒绝的通信部分。
29.如权利要求28所述的装置,其特征在于,所述第一级过滤标准进一步设计成触发对所述信息包通信中危险信息包的检测,并生成危险信息包作为额外的被拒绝通信部分。
30.如权利要求14所述的装置,其特征在于,所述第一和第二级过滤标准的动态选择通过用户输入来进行。
31.一种信息包过滤装置,其特征在于包括第一级过滤器,该过滤器对信息包通信采用较高通过量、较低精确度的过滤标准,以产生第一部分通过的通信以及一部分可疑的通信;和第二级过滤器,该过滤器对该部分可疑的通信采用较低通过量、较高精确度的过滤标准,以产生第二部分通过的通信和一部分被拒绝的通信。
32.如权利要求31所述的装置,其特征在于,还包括一个负载平衡器,用于调节所述第一和第二级过滤标准的相对通过量和精确度,从而平衡相互之间的负载。
33.如权利要求32所述的装置,其特征在于,所述负载平衡器响应测得的负载进行动态地调节。
34.如权利要求33所述的装置,其特征在于,所述测得的负载为第一和第二级过滤器的处理负载。
35.如权利要求34所述的装置,其特征在于,所述处理负载是通过与第一和第二级过滤器的负载能力相比较进行估算的。
36.如权利要求33所述的装置,其特征在于,所述测得的负载包括信息包通信的数量。
37.如权利要求36所述的装置,其特征在于,所述信息包通信的数量包括一种特定类型的信息包通信的数量。
38.如权利要求36所述的装置,其特征在于,所述信息包通信的数量包括一种特定来源的信息包通信的数量。
39.如权利要求31所述的装置,其特征在于,还包括一个函数,用于调节所述第一和第二级过滤器所采用的所述过滤标准的复杂性,从而改变相对的通过量和精确度。
40.如权利要求39述的装置,其特征在于,所述函数进行所述复杂性的调节,以更好地平衡所述第一和第二级过滤器之间的负载。
41.如权利要求31所述的装置,其特征在于,还包括一个函数,用于调节所述第一和第二级过滤器所采用的所述过滤标准的全面性,从而改变相对的通过量和精确度。
42.如权利要求41所述的装置,其特征在于,所述函数进行所述全面性的调节,以更好地平衡所述第一和第二级过滤器之间的负载。
43.如权利要求31所述的装置,其特征在于,所述较高通过量、较低精确度的过滤标准包括标题字段的比较;而所述较低通过量、较高精确度的过滤标准包括协议解码器。
44.如权利要求31所述的装置,其特征在于,所述较高通过量、较低精确度的过滤标准包括触发内容搜索;而所述较低通过量、较高精确度的过滤标准包括常规表达式的匹配。
45.如权利要求44所述的装置,其特征在于,所述触发内容搜索包括短字符串的比较,而所述常规表达式的匹配包括长字符串的比较。
46.一种用于信息包通信的分级过滤的方法,其特征在于包括以下步骤以第一级过滤标准对所述信息包通信进行第一级过滤,以产生第一部分通过的通信以及一部分不能通过的通信;和以第二级过滤标准对所述不能通过的通信部分进行第二级过滤,以产生第二部分通过的通信和一部分被拒绝的通信。
47.如权利要求46所述的方法,其特征在于,所述第一级过滤的步骤检测出可疑信息包通信作为所述不能通过的通信部分输出,而所述第二级过滤的步骤检测出所述可疑信息包通信中有威胁的信息包通信作为所述被拒绝的通信部分。
48.如权利要求46所述的方法,其特征在于,所述第一级过滤的步骤触发对所述信息包通信中危险信息包的怀疑,并生成可疑信息包作为不能通过的通信部分;而第二级过滤的步骤确认所述不能通过的通信部分中危险信息包的存在,并生成危险信息包作为所述被拒绝的通信部分。
49.如权利要求46所述的方法,其特征在于,所述第一级过滤的步骤包括对所述信息包通信采用第一级过滤标准并进一步生成一部分额外的被拒绝通信,该被拒绝通信饶过所述第二级过滤步骤的处理。
50.如权利要求46所述的方法,其特征在于,还包括以下步骤测定负载;和根据测得的负载动态地选择所述第一和第二级过滤标准。
51.如权利要求50所述的方法,其特征在于,所述测量负载的步骤包括根据测得的信息包通信量负载,以所述动态选择监控信息包通信量负载的步骤。
52.如权利要求50所述的方法,其特征在于,还包括应用一个负载滞后的步骤,在所述第一和第二级过滤标准进行变化前,所述滞后必须由测得的负载的变化予以克服。
53.如权利要求50所述的方法,其特征在于,所述测量负载的步骤包括监控负载的步骤,因为需要根据测得的过滤步骤负载对所述第一和第二级过滤步骤进行动态选择。
54.如权利要求50所述的方法,其特征在于,所述测量负载的步骤包括检测在所述第一和第二级过滤步骤之间负载不平衡的步骤,并以动态选择更好地平衡过滤步骤的负载。
55.如权利要求46所述的方法,其特征在于所述第一级过滤的步骤包括对所述信息包通信采用较高通过量、较低精确度的过滤标准的步骤;和所述第二级过滤步骤包括对所述不能通过的通信部分采用较低通过量、较高精确度的过滤标准。
56.如权利要求55所述的方法,其特征在于,还包括通过调节第一和第二级过滤标准的相对通过量和精确度来平衡所述第一和第二级过滤步骤之间的负载的步骤。
57.如权利要求56的方法,其特征在于,所述用于平衡负载的调节步骤响应于测得的负载动态地进行。
58.如权利要求55的方法,其特征在于,还包括调节所述第一和第二级过滤标准的复杂性的步骤,以改变相对的通过量和精确度。
59.如权利要求55的方法,其特征在于,还包括调节所述第一和第二级过滤标准的全面性的步骤,以改变相对的通过量和精确度。
60.如权利要求55的方法,其特征在于,所述较高通过量、较低精确度的过滤标准包括标题字段的比较;而所述较低通过量、较高精确度的过滤标准包括协议解码器。
61.如权利要求55所述的方法,其特征在于,所述较高通过量、较低精确度的过滤标准包括触发内容搜索;而而所述较低通过量、较高精确度的过滤标准包括常规表达式的匹配。
62.如权利要求61所述的方法,其特征在于,所述触发内容搜索包括短字符串的比较,而所述常规表达式的匹配包括长字符串的比较。
63.如权利要求46所述的方法,其特征在于,还包括用户选择所述第一和第二级过滤标准的步骤。
64.如权利要求46所述的方法,其特征在于,还包括动态选择所述第一和第二级过滤标准的步骤。
65.一种信息包过滤装置,其特征在于包括第一级过滤器,该过滤器包含第一组过滤模块,每一个过滤模块具有相关的第一级过滤标准;第二级过滤器,该过滤器包含第二组过滤模块,每一个过滤模块具有相关的第二级过滤标准;和一个生成器模块,用于选择所述第一组过滤模块中的至少一个模块,以及选择所述第二组过滤模块中的至少一个模块。所述选择的第一组过滤模块对信息包通信采用所述相关的第一级过滤标准,以产生第一部分通过的通信和一部分不能通过的通信;和所述选择的第二组过滤模块对所述不能通过的通信部分采用所述相关的第二级过滤标准,以产生第二部分通过的通信和一部分被拒绝的通信。
66.如权利要求65所述的装置,其特征在于,所述生成器模块用于根据测得的负载动态地选择所述第一和第二组过滤模块。
67.如权利要求66所述的装置,其特征在于,所述动态选择用于平衡所述第一和第二级过滤器之间的平衡。
68.如权利要求65所述的装置,其特征在于,针对所述信息包通信的所述相关的第一级过滤标准的使用还产生一部分额外的被拒绝通信,该部分被拒绝通信饶过所述第二级过滤器的过滤。
69.如权利要求68所述的装置,其特征在于,所述第一和第二部分通过的通信合并组成一个通过的过滤信息包通信输出;且所述被拒绝的通信部分与所述额外的被拒绝通信部分合并组成一个被拒绝的过滤信息包通信输出。
70.如权利要求65所述的装置,其特征在于,所述选择的第一组过滤模块的所述相关的第一级过滤标准设计成检测出可疑信息包通信作为所述不能通过的通信部分输出,而所述选择的第二组过滤模块的所述相关的第二级过滤标准设计成检测出所述可疑信息包通信中有威胁的信息包通信,作为所述被拒绝的通信部分输出。
71.如权利要求65所述的装置,其特征在于,所述选择的第一组过滤模块的所述相关的第一级过滤标准设计成触发对所述信息包通信中危险信息包的怀疑,并生成可疑信息包作为不能通过的通信部分;而所述选择的第二组过滤模块的所述相关的第二级过滤标准设计成确认所述不能通过的通信部分中危险信息包信息的存在,并生成危险信息包作为所述被拒绝的通信部分。
72.如权利要求71所述的装置,其特征在于,所述选择的第一组过滤模块所述相关的第一级过滤标准进一步设计成触发对所述信息包通信中危险信息包的检测,并生成危险信息包作为一个额外的被拒绝通信部分。
74.如权利要求65所述的装置,其特征在于,所述第一级过滤标准由较高通过量、较低精确度的过滤标准组成;而所述第二级过滤标准由较低通过量、较高精确度的过滤标准组成。
75.如权利要求74所述的装置,其特征在于,所述较高通过量、较低精确度的过滤标准包含标题字段的比较;而所述较低通过量、较高精确度的过滤标准包含协议解码操作。
76.如权利要求74所述的装置,其特征在于,所述较高通过量、较低精确度的过滤标准包含触发内容搜索;而所述较低通过量、较高精确度的过滤标准包含常规表达式的匹配操作。
77.如权利要求76所述的装置,其特征在于,所述触发内容搜索包含短字符串的比较;而所述常规表达式的匹配操作包含长字符串的比较。
全文摘要
本发明公开了一种执行分级技术的信息包过滤操作。收到的信息包首先以第一级过滤标准过滤。这个第一级过滤从收到的信息包通信产生第一部分通过的通信和一部分不能通过的通信。然后该不能通过的通信部分以第二级过滤标准进行第二级过滤。这个第二级过滤产生第二部分通过的通信和一部分被拒绝的通信。第一级过滤标准提供高通过量、低精确度的处理,而第二级过滤标准提供低通过量、高精确度的处理。对该第一和第二级过滤标准可以进行动态调节,以提供整个信息包过滤的性能。例如,负载被测定,然后调整过滤标准以更好地平衡分级过滤操作之间的负载。
文档编号G06F12/14GK1816804SQ03824110
公开日2006年8月9日 申请日期2003年8月11日 优先权日2002年8月12日
发明者克雷格·坎特雷尔, 马克·勒迈尔-维勒比克, 丹尼斯·考克斯, 多诺万·科尔伯利, 布赖恩·史密斯 申请人:倾点科技公司