专利名称:检测网络攻击的制作方法
技术领域:
本发明一般地涉及检测网络攻击,并且更具体地涉及用于检测数据通信网络上的攻击的方法、装置和计算机程序元素。
背景技术:
因特网是由多个互连的数据网络形成的广域数据通信网。在操作中,因特网使得一系列位于远程的数据处理系统之间的数据通信易于进行。每个这种数据处理系统通常包括中央处理单元(CPU)、存储器子系统和输入/输出(I/O)子系统,以及存储在存储器子系统内以便由CPU执行的计算机程序代码。典型地,被连接到因特网的终端用户数据处理系统被称为客户机数据处理系统或简称为客户机。类似地,提供Web站点和服务以便由终端用户通过因特网访问的数据处理系统被称为服务器数据处理系统或简称为服务器。通过因特网在终端用户数据处理系统和主机数据处理系统之间完成了客户机-服务器关系。
因特网已经成为推动顾客、零售商和服务提供者之间的电子地实现的商务交互的重要的通信网络。通常通过因特网服务提供者(ISP)为这些实体提供对因特网的访问。每个ISP通常运行一个开放的网络,客户机订购该网络的服务。为每个客户机提供所述网络上的一个唯一的网际协议(IP)地址。类似地,为网络上的每个服务器提供一个唯一的IP地址。由ISP操作的网络通过通常被称为路由器的专用数据处理系统连接到因特网。在操作中,路由器将进入的通信业务从因特网定向到所述网络上特定的IP地址。类似地,路由器将外出的通信业务从该网络定向到因特网上的特定的IP地址的方向。
许多ISP面对的问题是对他们运行的网络的频次日益增多的电子攻击。这种攻击包括计算机病毒攻击和被称为“蠕虫”的攻击。这种性质的攻击给ISP运行的网络带来了明显的性能下降。连接到所述网络的受感染的系统通常试图在网络中传播感染。许多用户不知道他们的系统被感染了。希望提供为了提高网络性能,触发这种系统内的杀毒的技术。
发明内容
根据本发明,现在提供一种用于检测数据通信网络上的攻击的方法,所述数据通信网络具有多个用于分配给网络内的数据处理系统的地址,该方法包括识别所述网络上从任意已分配的地址发起并且以任意未被分配的地址为地址的数据通信业务;检查被这样识别出的任意数据通信业务以得到指示攻击的数据;并且在检测到指示攻击的数据后,产生报警信号。
此处的术语“未被分配”的含义是占据这样一个地址,其没有被分配给除了用于检测入侵或产生攻击特征标记的装置之外的物理设备。被设计为执行根据本发明的方法的装置是这样的设备,那些“未被分配”的地址被实际地分配给它们以便使用本发明。这些地址在未被分配的范围内,因为它们没有被分配给具有除了特征标记产生或入侵检测之外的其它功能的任意设备。从而以这种未被分配的地址为地址的数据通信业务将被所述装置接收,并且经受所提出的方法的处理。
所述检查优选地包括对被包含在所识别出的数据通信业务内的请求进行欺骗回答。本发明的优选实施例包括在产生报警信号后,将从被分配给产生指示攻击的数据的数据处理系统的地址发起的任意数据通信业务重新路由到该网络上的一个杀毒地址。在产生所述报警信号后,可以向所述杀毒地址发送一个报警消息。所述报警消息可以包括检测到的指示攻击的数据。在收到所述报警消息之后,可以从所述杀毒地址向被分配给产生所述指示攻击的数据的数据处理系统的地址发送一个警告消息。所述警告消息可以包括用于当被产生所述指示攻击的数据的数据处理系统执行时消除所述攻击的程序代码。
从另一个方面看本发明,现在提供一种装置,用于检测数据通信网络上的攻击,所述数据通信网络具有多个用于分配给网络内的数据处理系统的地址,该装置包括入侵检测传感器(IDS),用于识别所述网络上从任意已分配的地址发起并且以任意未被分配的地址为地址的数据通信业务,检查被这样识别出的任意数据通信业务以得到指示攻击的数据,并且在检测到指示攻击的数据后,产生报警信号。
所使用的IDS优选地通过对被包含在所识别出的数据通信业务内的请求进行欺骗回答检查所识别出的数据通信业务。该装置还包括被连接到所述入侵检测传感器的路由器,用于响应所述报警信号的产生,将从被分配给产生所述指示攻击的数据的数据处理系统的地址发起的任意数据通信业务重新路由到该网络上的一个杀毒地址。优选地,在产生所述报警信号后,IDS向所述杀毒地址发送一个报警消息。优选地所述报警消息包括检测到的指示入侵的数据。本发明的优选实施例还包括被分配到所述杀毒地址的杀毒服务器,在接收到所述报警消息后,杀毒服务器向被分配给产生所述指示攻击的数据的数据处理系统的地址发送警告消息。
本发明还还延伸至一种数据通信网络,包括多个用于分配给该网络内的数据处理系统的地址;和用于如此处前面所述检测该网络上的攻击的装置。
本发明还延伸至一种包括计算机程序代码手段的计算机程序元素,当被装入数据处理系统的处理器后,配置所述处理器执行如本文上面所述的用于检测数据网络上的攻击的方法。
在本发明的优选实施例中,提供了一种数据通信网络,包括用于将多个数据处理系统连接到因特网的路由器;被连接到所述路由器的IDS;和也被连接到所述路由器的杀毒服务器。响应IDS检测到所述数据处理系统中的一个数据处理系统已被攻击感染,IDS指示路由器将来自所述攻击的所有网络通信业务转向到所述杀毒服务器。同时IDS给所述杀毒服务器提供杀毒数据。所述杀毒数据指示以下内容所述感染的属性;如何对感染系统进行杀毒;以及如何恢复正常的网络连接。
在给定的网络中一般有大量空闲的IP地址。在本发明的特别优选的实施例中,IDS在网络上监听被定向到这些空闲IP地址的通信业务。应当没有这种通信业务存在。在检测到被发送到这些空闲IP地址中的一个IP地址的请求的情况下,IDS对该请求进行欺骗回答。空闲IP地址没有被使用。因此,任意试图连接(例如)位于这种地址处的服务器是优先可疑的。然后IDS监听对所述欺骗回答的答复。如果IDS在所述答复中检测到了可诊断的攻击,它向所述路由器发送信号以便将来自被感染的系统的所有通信业务转向到所述杀毒服务器。因为IDS对被感染的系统进行交互地欺骗响应,它具有每个攻击的准确的概念(view)。因此,最小化了假的肯定。
现在将参考附图,仅以示例的方式说明本发明的优选实施例,其中图1是数据处理系统的方框图;图2是包含本发明的数据处理网络的方框图;图3是包含本发明的入侵检测传感器的方框图;和图4是与所述入侵检测传感器相关的流程图。
具体实施例方式
首先参考图1,数据处理系统包括CPU10,I/O子系统20和存储器子系统40,它们全部由总线子系统30互连在一起。存储器子系统40可以包括随机访问存储器(RAM),只读存储器(ROM),和一个或多个存储设备诸如硬盘驱动器,光盘驱动器等等。I/O子系统20可以包括显示器,键盘;指点设备诸如鼠标,轨迹球等;以及允许通过数据通信网络在数据处理系统和一个或多个类似的系统和/或外部设备之间进行通信的一个或多个网络连接。由这种网络互连的这种系统和设备的组合本身可以构成分布式数据处理系统。这种分布式系统本身可以由另外的数据通信网络互连。
在存储器子系统40中的是被存储的数据60和可由CPU10执行的计算机程序代码50。程序代码50包括操作系统软件90和应用软件80。当被CPU10执行时操作系统软件90提供了一个平台,应用软件80可以在其上执行。
现在参考图2,在本发明的优选实施例中,提供了数据通信网络100,其具有用于分配给该网络中的数据处理系统的多个地址110。在本发明的特别优选实施例中,网络100是具有多个可分配的网际(IP)地址110的因特网服务设备的形式。网络100通过路由器130连接到因特网120。可以本文前面参考图1说明的数据处理系统的形式实现路由器130,其被通过适当地编程专用于基于数据包中指出的IP地址数据在因特网120和网络100之间对数据包形式的通信业务进行路由的任务。网络100上的IP地址110的第一组140被分配给属于因特网服务的用户的系统150。每个系统150可以是此处前面参考图1说明的数据处理系统。网络100上的IP地址110的第二组160是空闲的。更具体地,IP地址110的第二组160没有被分配给用户系统150。入侵检测传感器(IDS)170也被连接到网络100。IDS170还被连接到路由器130。下面将进一步提供IDS170的细节。路由器130被连接到杀毒服务器180。可以由此处前面参考图1说明的数据处理系统实现杀毒服务器180。
参考图3,在本发明的特别优选实施例中,IDS170包括此处前面参考图1说明的数据处理系统。IDS170的应用软件80包括入侵检测代码200。存储在IDS170的存储器子系统40中的数据60包括攻击识别数据210和杀毒数据220。数据60还包括网络100上哪些IP地址是空闲的并且属于第二组160,以及网络100上哪些IP地址110的IP被分配给数据处理系统150并且属于第一组140的记录。每次另一个IP地址被分配或已有IP地址分配被删除时,对该记录进行更新。攻击识别数据210包含指示标识已知攻击的特征标记的数据。杀毒数据220包含指示以下内容的数据每个攻击的属性;如何对受每个攻击感染的系统杀毒;和如何恢复正常的网络连接。攻击识别数据210和杀毒数据220是交叉引用的。当被CPU10执行时,入侵检测代码200配置IDS170以便根据图4所示的流程图操作。
现在参考图4,IDS170识别网络100上从任意已分配地址140发起并且以任意未被分配的地址160为地址的数据通信业务。IDS170检查这样识别出的任意数据通信业务以得到指示攻击的数据。当检测到指示攻击的数据后,IDS170产生报警信号。在本发明的优选实施例中,当产生所述报警信号之后,从被分配给产生所述指示攻击的数据的数据处理系统150的地址140发起的任意数据通信业务被重新路由到网络100上的杀毒地址。在本发明的特别优选实施例中,IDS170在网络100上监听被定向到空闲IP地址160的通信业务。具体地,在方框300,IDS170检查从网络100上的地址140发送的请求,以便在方框310确定该请求是否指出空闲IP地址160中的一个IP地址作为目的地地址。如果该请求没有指出空闲IP地址160中的一个IP地址,则在方框320,IDS170等待检查下一个请求。
还可以通过将未被分配的地址分配给IDS170,从而任意被定向到未被分配的地址的通信业务自动地到达IDS170来实现所述识别。
然而,如果该请求指出了空闲IP地址160中的一个IP地址,则在方框330,IDS170对该请求进行欺骗回答。所述回答被发送到网络100上的所述源IP地址。空闲IP地址160没有被使用。因此,任何试图连接(例如)这种地址处的系统是优先可疑的。在方框340,IDS170监听对所述欺骗回答的答复。如果在预先确定的时间段内没有接收到答复,IDS170可以超时,在该情况下,在方框320,IDS170等待检查下一个请求。然而如果在方框350接收到答复,IDS170对怀疑的请求和答复与被存储在存储器子系统40中的攻击识别数据210进行比较。如果在方框350,比较没有识别出攻击,则在方框320,IDS170等待检查下一个请求。然而,如果比较在方框350检测到所述答复中可诊断的攻击,则IDS170确定源系统150被感染了。因此,在方框360,IDS170产生报警信号。该报警信号被发送到路由器130。该报警信号指示路由器130将来自受感染系统150的所有通信业务转向到所述杀毒地址。再次参考图1,在本发明的特别优选实施例中,杀毒服务器180位于所述杀毒地址处。
在本发明的优选实施例中,在产生所述报警信号之后,IDS170向所述杀毒地址发送一个报警消息。优选地,该报警消息包括检测到的指示攻击的数据。因此,在本发明的特别优选实施例中,IDS170从存储器子系统40中检索相应于检测到的攻击的杀毒数据220。在方框370,IDS170将包含检索到的杀毒数据的报警消息发送到杀毒服务器180位于的杀毒地址。然后在方框320,IDS 170等待检查下一个请求。每个请求、回答和答复可以包含在网络100上的数据通信业务的一个或多个包中。因此,每个攻击的特征标记可以跨过多于一个的包。
在本发明的优选实施例中,发送到杀毒服务器180的杀毒数据220包含指示以下内容的数据检测到的攻击的属性;如何对受该攻击感染的系统150杀毒;和如何恢复正常的网络连接。在从IDS170接收到杀毒数据220后,杀毒服务器180开始治疗受感染的系统150,并且恢复网络100。在本发明的另一个优选实施例中,杀毒数据220仅包含指示所述攻击的属性的数据。然后杀毒服务器基于所述攻击的属性选择多个预先存储的技术中的一个,以便对受感染的系统150进行杀毒和/或恢复网络100,并且执行所选择的技术。攻击可以是许多不同的形式。因此,用于杀毒和网络恢复的相应技术可以从一种攻击到另一种攻击很大地改变。
在本发明的优选实施例中,在接收到杀毒数据之后,杀毒服务器180向受感染的系统150发送警告消息。该警告消息通知受感染的系统150的用户他或她的系统150被感染了。该警告消息可以指示用户运行预先存储在受感染的系统150内的杀毒软件,以便消除或隔离该感染。可替换地,警告消息可以包含用于从受感染的系统150中消除该攻击的杀毒程序代码,以及帮助用户在受感染的系统150上执行所述杀毒代码的指令。在另一个可供选择的方案中,所述消息可以将用户定向到另一个Web站点,在该站点处提供了适当的杀毒程序代码。在本发明的另一个优选实施例中,该消息包含杀毒程序代码,当被装入受感染的系统时,其自动地执行,从而以对用户透明的方式消除或隔离感染。其它的杀毒方案也是可行的。
在此处前面所述的本发明的实施例中,杀毒服务器180被实现在如此处前面参考图1说明的单个数据处理系统内。然而,在本发明的其它实施例中,杀毒服务器180可以由多个互连的数据处理系统实现。这种数据处理可以是分布式的或可以一起位于一个“场地”内。杀毒服务器内的每个数据处理系统可以专用于处理不同的攻击。IDS170还可以由多个集成的数据处理系统实现。可替换地,IDS170和杀毒服务器180可以被集成在单个数据处理系统内。
从受感染的系统150发送的并且被路由器130转向到杀毒服务器180的网络100上的通信业务可以被杀毒服务器180记录和/或丢弃。在此处前面说明的本发明的实施例中,IDS170将杀毒数据发送到杀毒服务器220。然而,在本发明的其它实施例中,一旦检测到了感染,IDS170可以简单地指示路由器130将来自受感染的系统150的数据通信业务转向到杀毒服务器180,而不用IDS170附加地为杀毒服务器180提供杀毒数据220。然后杀毒服务器180可以仅起从受感染的系统150发起的通信业务的库的作用,记录和/或丢弃它从受感染的系统150接收的通信业务。可以由杀毒服务器180向网络100的管理员报告所述的记录和丢弃。这种报告可以被周期地或实时地传递。所述报告可以通过,例如,管理控制台被执行。然而,其它报告技术,诸如例如打印的输出也是可行的。在收到这种报告后,管理员可以采取适当的行动消除或遏制网络100的感染。
在此处前面所述的本发明的实施例中,由以适当的程序代码编程的数据处理系统实现IDS170、路由器130和杀毒服务器180。然而,应当理解,在本发明的其它实施例中,此处说明的以软件实现的一个或多个功能可以至少部分地以硬件逻辑电路实现。
还应当理解,此处说明的攻击检测方法可以被由负责网络100的服务提供者实施,或至少部分地由第三方以提供给该服务提供者的服务的形式实施。这种服务可以区别由所述服务提供者提供的服务和由其竞争者提供的服务。这种有区别的服务可被可选择地提供给所述网络服务的终端用户以便换取附加的费用。
在优选实施例中,为由实体而不是所述服务提供者使用的网络检测攻击的服务包括为提供的服务记账。其中可以根据若干因素中的一个或多个确定记账的费用,所述因素通常是对复杂性或服务提供者经受的工作负载的指示。指示提供的服务的数量和时间消耗的这种因素可以包括网络的大小、被监视的未被分配的地址的数目、被监视的已分配的地址的数目、被检查的数据通信业务量、识别出的攻击的数目、产生的警报的数目、被重新路由的数据通信业务量。识别增加的复杂性的程度的因素可以是识别出的攻击的特征标记、实现的网络安全的等级。还可以使用诸如所述实体的营业额、所述实体的业务领域等识别提供给被服务的实体的服务价值的因素。
当然,上述因素的任意组合也是可行的,特别是被不同地加权以便确定最终的费用。将所述费用与在攻击检测处理中发送的信息中的一个一起发送,可以实现自动记账。这有利地将出于攻击处理目的而发送消息的运用与其出于记账目的的运用组合在一起。消息的双重运用提供了减少攻击检测和记账处理中产生的通信业务流的技术优点。同时,该方法可以用于保证仅对确实被提供的服务给被服务的实体记账。
另一种用于记账的优选的解决方案是给实体提供攻击检测服务的订购服务,其允许被服务的实体从预先确定的时间、通信业务量、系统数量等的攻击检测处理中受益。服务提供者可以将他所拥有的杀毒服务器提供为与被服务的实体所使用的网络结合在一起使用的主机单元,但是所述杀毒服务器由被服务的实体持有、维护、托管或租用也是可行的。
在另一个优选实施例中,通过给若干实体提供攻击检测服务,并且在所述若干服务之间共享资源,诸如路由器130、入侵检测传感器170和杀毒服务器180,服务提供者可以利用协同增效的效果。从而不仅可以获得对所使用的资源的更有效的使用,而且与攻击有关的信息可以在不同网络之间被共享,并且可以用于提高被服务的网络上的检测质量。例如,在一个网络上对一种攻击的检测可以导致在另一个网络上的更快的检测,因为确定攻击特征标记的处理可以被缩短或甚至被取消。同样可以在被服务的实体之间共享杀毒机制,从而减少他们与更新和维护杀毒机制有关的努力和花费。共享从对一个实体的网络的攻击处理中得出的技术数据,以便改进其它被服务的实体的攻击处理的技术优点将鼓励实体加入由同一入侵检测服务提供者服务的若干实体的池。在优选实施例中可以调整所述记账模型,以便激励实体加入共享检测资源的实体组,并且雇用相同的服务提供者。
此处,术语“连接”不限于物理连接。例如其旨在还包括允许发送或接收信息的一般链路。因此连接可以是间接的。
权利要求
1.一种用于检测数据通信网络上的攻击的方法,所述数据通信网络具有用于分配给该网络内的数据处理系统的多个地址,该方法包括识别所述网络上从任意已分配的地址发起并且以任意未被分配的地址为地址的数据通信业务;检查被这样识别出的任意数据通信业务以得到指示攻击的数据;和在检测到指示攻击的数据后,产生报警信号。
2.如权利要求1的方法,其中所述检查包括对被包含在所识别出的数据通信业务中的请求进行欺骗回答。
3.如权利要求1的方法,包括在产生所述报警信号后,将从被分配给产生所述指示攻击的数据的数据处理系统的地址发起的任意数据通信业务重新路由到所述网络上的杀毒地址。
4.如权利要求1的方法,包括在产生所述报警信号后,向所述杀毒地址发送报警消息。
5.如权利要求5的方法,其中所述报警消息包括检测到的指示攻击的数据。
6.如权利要求5的方法,包括在收到所述报警消息后,从所述杀毒地址向被分配给产生所述指示攻击的数据的数据处理系统的地址发送警告消息。
7.如权利要求6的方法,包括在所述警告消息中包括用于当被产生所述指示攻击的数据的数据处理系统执行时,消除所述攻击的程序代码。
8.一种用于检测数据通信网络上的攻击的装置,所述数据通信网络具有用于分配给该网络内的数据处理系统的多个地址,该装置包括入侵检测传感器,用于识别所述网络上从任意已分配的地址发起并且以任意未被分配的地址为地址的数据通信业务,检查被这样识别出的任意数据通信业务以得到指示攻击的数据,和在检测到指示攻击的数据后,产生报警信号。
9.如权利要求8的装置,其中所使用的入侵检测传感器通过对被包含在所识别出的数据通信业务中的请求进行欺骗回答,检查识别出的数据通信业务。
10.如权利要求8的装置,还包括被连接到所述入侵检测传感器的路由器,用于响应所述报警信号的产生,将从被分配给产生所述指示攻击的数据的数据处理系统的地址发起的任意数据通信业务重新路由到所述网络上的杀毒地址。
11.如权利要求8的装置,其中在产生所述报警信号后,所述的入侵检测传感器向所述杀毒地址发送报警消息。
12.如权利要求11的装置,其中所述报警消息包括检测到的指示攻击的数据。
13.如权利要求12的装置,还包括被分配到所述杀毒地址的杀毒服务器,在接收到所述报警消息后,所述杀毒服务器向被分配给产生所述指示攻击的数据的数据处理系统的地址发送警告消息。
14.如权利要求13的装置,其中所述警告消息包括用于当被产生所述指示攻击的数据的数据处理系统执行时,消除所述攻击的程序代码。
15.一种数据通信网络,包括用于分配给所述网络内的数据处理系统的多个地址;以及,用于如权利要求8到14中任意一个检测所述网络上的攻击的装置。
16.一种包括计算机程序代码手段的计算机程序元素,当被装入数据处理系统的处理器后,配置所述处理器执行如权利要求1到7中任意一个的用于检测数据通信网络上的攻击的方法。
17.如权利要求1的方法,还包括通过提供用于辅助执行杀毒程序代码的指令和执行杀毒程序代码中的一个,在对检测到的攻击进行处理时给予实体支持。
18.如权利要求1的方法,还包括给所述实体提供报告,所述报告包括与报警、杀毒、重新路由、记录、丢弃检测到的攻击的上下文中的数据通信业务中的一个有关的信息。
19.如权利要求1的方法,还包括为权利要求1到7中包含的步骤中的至少一个步骤的执行给所述实体记账,优选地根据网络大小、所监视的未被分配的地址的数目、所监视的已分配的地址的数目、被检查的数据通信业务量、识别出的攻击的数量、产生的报警的数量、识别出的攻击的特征标记、被重新路由的数据通信业务量、实现的网络安全程度、所述实体的营业额中的一个确定记账的数额。
20.如权利要求1的方法,还包括为若干实体提供所述方法,并且将从所述实体中的一个实体的攻击处理中得出的技术数据用于所述实体中的其它实体的攻击处理。
21.一种用于给实体部署入侵检测应用的方法,包括-将入侵检测传感器连接到所述实体使用的网络,用于识别所述网络上从任意已分配的地址发起并且以任意未被分配的地址为地址的数据通信业务,并且用于检查被这样识别出的任意数据通信业务以得到指示攻击的数据,以及用于在检测到指示攻击的数据后,产生报警信号,-将路由器连接到所述网络,用于响应所述报警信号的产生,将从被分配给产生所述指示攻击的数据的数据处理系统的地址发起的任意数据通信业务重新路由到所述网络上的杀毒地址。
22.如权利要求21的方法,还包括-将被分配到所述杀毒地址的杀毒服务器连接到所述网络,所述杀毒服务器适用于在接收到所述报警消息后,向被分配给产生所述指示攻击的数据的数据处理系统的地址发送警告消息。
全文摘要
说明了一种用于检测数据通信网络上的攻击的方法,所述数据通信网络具有用于分配给该网络内的数据处理系统的多个地址,该技术涉及识别所述网络上从任意已分配的地址发起并且以任意未被分配的地址为地址的数据通信业务。检查被这样识别出的任意数据通信业务以得到指示攻击的数据。在检测到指示攻击的数据后,产生报警信号。
文档编号G06F1/00GK1771708SQ200380110300
公开日2006年5月10日 申请日期2003年11月20日 优先权日2003年5月30日
发明者J·F·赖尔登 申请人:国际商业机器公司