专利名称:数据中心环境中的入侵检测的制作方法
数据中心环境中的入侵检测
相关申请的交叉引用
本申请要求2004年10月28日由Mauricio Arregoces禾卩Maurizio Portolani递交的题为 "Data Center Network Design And Infrastructure Architecture"的申请号为60/623,810的临时专利申请的优先权,这里通过 引用将该申请的整体公开结合于此。
背景技术:
成功的因特网存在(presence)要求公司具有可用于处理来自顾客和 雇员两者的大量命中(hit)的网站和计算机资源。现在一般认可电子商务 作为执行交易的有效方式,并且电子商务越来越多地虑及世界范围内商业 的绝大部分。同时,成功的因特网存在意味着该公司必须对顾客记录(例 如信用卡号以及他自己的私人信息)提供足够的安全性。但是, 一旦建立 了因特网存在,计算机资源就暴露给一个一般被称为黑客(hacker)的群 组,黑客的唯一目的是获得对公司的计算机资源的未经授权的访问。黑客 可能尝试获得金融值的信息或者可能为了智力或政治挑战而尝试潜入公司 的计算机资源。其他黑客的简单目的就是要制造麻烦。
无论黑客的动机是什么,都有责任识别和防止对敏感机构的计算机资 源进行未经授权的访问。但是在实践中,这不是一个简单任务,因为必须 对公司的雇员和顾客提供对完全相同的资源的访问,并且不是所有雇员和 顾客都能被立即识别出的。识别入侵这一任务依然是维护在线存在的基本 部分。
为了检测入侵,具有一个数据中心的多个商业机构共同包括一个入侵 检测系统或IDS。 IDS通过分析网络分组并寻找其他恶意或可疑异常物的 迹象来监视数据中心网络,所述恶意或可疑异常物的迹象是由可能指示黑 客正在尝试入侵的不适当的、不正确的或异常的行为来指示的。
IDS可以是基于网络的IDS或者基于主机的入侵防范系统实现方式。
基于网络的IDS监视流过交换机或路由器的网络流量。基于主机的IDS监 视系统级事件以检测该主机上的恶意行为。IDS等同于向IDS管理系统报 告可疑行为的监督工具。举例来说, 一个IDS (例如由Cisco Systems公司 投入市场的Cisco IDS-4250)采用复杂的检测技术,所述检测技术包括状 态模式识别、协议解析、启发式检测和异常性检测。这些检测技术全面地 防范各种已知和未知的威胁。
在网络环境中,IDS被部署得遍布网络各处,但是,将IDS放置在最 可能面临攻击的网段是尤其重要的。基于网络的IDS保护在设备所在网段 上可访问的所有设备并识别恶意行为。在具有多个子网的数据中心环境 中,希望IDS传感器监视每个子网。因此,如果数据中心有三个子网,则 第一子网上的流量应该由第一 IDS监视,第二子网上的流量应该由第二 IDS监视。不幸的是,在某些网络中,由于流量捕获技术而对IDS传感器 可以监视的会话数目存在实际限制。因此,没有能力利用第三IDS来监视 第三子网。在此情况下,两个或更多个子网可能被结合在一起并由单个 IDS监视。在其他情况下,希望有选择地监视子网上的流量,例如HTTP 客户端-服务器流量应该由一个IDS传感器监视,SMTP客户端-服务器流 量应该由另一传感器监视,DNS流量由再另一传感器监视,同时过滤在同 一子网上发起和终止的所有其它流量。
根据本发明,提供了用于利用相应的多个IDS来监视多个子网和协议 的系统和方法。有利的是,本发明减少了网络攻击的错误肯定(false positive),消除了子网中的流量噪声,并通过选择监视流量而在监视每个 子网上的网络流量方面提供了更大粒度,从而优化了性能。
从以下结合附图的详细描述中,本发明的前述和附加特征和优点将变 得清楚。
图1是示出根据本发明一个实施例具有与每个流量源相关联的入侵检 测系统的网段的简化框图。
图2是示出根据图l所示的实施例,用于在网段上操作入侵检测系统 的方法的框图。
图3是示出根据本发明另一实施例具有与每个流量源相关联的入侵检 测系统的网段的另 一 简化框图。
图4是示出图3所示本发明的实施例的操作的框图。
图5是示出根据图3和4所示的实施例,用于在网段上操作入侵检测 系统的方法的框图。
具体实施例方式
在这里对本发明实施例的描述中,提供了大量具体细节(例如组件和 /或方法的示例),以对本发明的实施例提供全面理解。但是,本领域技 术人员将意识到,无需一个或多个所述具体细节或者利用其他装置、系 统、装配、方法、组件、部件等等也可以实现本发明的实施例。在其他实 例中,公知的结构、材料或操作没有具体示出或详细描述,以免模糊本发 明的实施例的各个方面。
现在利用标号更具体的参考附图,图1中示出网络环境的网段10。 网段10是网络环境中通常用于数据中心或大机构或企业网络的部分的示 例。网络环境IO包括将网络环境划分成逻辑分段的路由器或交换机11以 及子网12、 13和14。虽然图1中只示出三个子网,但是将会意识到,在 一个网段中可能存在任意数目的这样的子网。此外,IDS在这里被任意描 述为分离的系统,但是将会意识到,IDS可以用软件实现,并且由与交换 机11相关联的处理器来执行。可替换地,IDS可以是与一个或多个其他 网络设备(例如交换机、路由器、防火墙、网桥、集中器、扫描仪、负载 平衡器或内容引擎)共享同一机架的刀片插件(blade)。
在该网络环境中,交换机ll充当到每个子网的网关。每个子网12-14 包括节点17,该节点17定义多个服务器(例如web服务器)或其他受保 护的网络可访问资源。网段IO可由客户端15通过核心网络(例如因特网 16)访问。应该意识到,客户端可以从各种不同网络连接到该网段,并且 所示出的因特网仅仅用于举例说明外部核心网络。在该实施例中,每个子
网被入侵检测系统或IDS监视。具体而言,IDS 22-24监视子网上的流
基于网络的传感器是连接到网段并检查流量以检测入侵和可疑行为的 系统。这些传感器可以软件方式实现在路由器和防火墙上,或者实现为独 立设备或硬件模块。基于网络的传感器通常使用两个网络接口, 一个连接 到正被监视的网络,另一个连接到提供对管理系统的访问的安全分段。监 视接口不具有MAC地址,因此无法发送流量。连接有IDS的交换机端口 查看所有通过交换机被镜像的流量。管理接口优选地具有MAC地址和IP 地址,以与被监视的网络设备通信。基于网络的传感器应该被部署在更可 能面临攻击的网段上(即因特网边缘处)以及设置有关键业务(皿ssum-critical)服务器的网段上。
图2示出监视过程。对每个子网的监视开始于在交换机11处接收目 的地为节点17之一的流量。如步骤27所示,对流量进行拷贝。拷贝的流 量随后被过滤以除去不感兴趣的流量,如步骤28所示。经拷贝和过滤的 流量被重定向到专用IDS,如步骤29所示。其余流量被IDS通过应用各 种检测技术进行分析,以防止连接到节点17的设备受到可感知的威胁, 如步骤30所示。
检测技术可以包括状态模式识别、协议解析、启发式检测、异常性 (anomaly)检测或其它技术。为了对子网或协议执行更具体的监视,优 选地,选择一个特定的签名集合,其紧密匹配每个子网的流量监视的意 图,但是也包含基于异常性的系统。基于异常性的系统定义网络流量和系 统资源占用方面的正常行为,从而使得在任意时刻相对统计值存在重大偏 离时生成警报,之后任意相对定义的基准线的偏离都被看作攻击。
基于签名的系统明确定义哪种行为被看作恶意的。特定签名标识该恶 意行为,并且IDS将流量和资源利用与该签名相比较。如果比较结果匹 配,则指示存在恶意事件。在比较过程中,每个分组且所有分组都被与签 名比较。应该注意,签名模式可被分散在多个分组中,因此基于网络的系 统必须重组会话并最终执行协议分析。
签名是根据它们尝试匹配的攻击的类型来分组的。例如,IDS可以包
括嵌入式签名或连接签名,嵌入式签名是与IDS—起出现的特定已知攻击
签名,而连接签名是特定于协议的签名。例如,协议定义(TCP/UDP)可 以包括端口号。IDS还可以包括字符串匹配签名或ACL签名,字符串匹 配签名是基于分组中的有效载荷部分的攻击签名,而ACL签名是由网络 设备记录的策略违背(policy-violation)签名。
针对每个子网中的各种服务器类型指定的用于检测攻击的签名的示例 包括HTTP签名3455 _ Java Web Server Cmd Exec; 5087 — WWW Sim Java Server Access; 5312 - .jsp/.jhtml Java Execution; 5375 — Apache mod—dav Over.ow; 5103 - WWW SuSE Apache CGI Source Access;以及 5160 - Apache indexing.le disclosure bug。基于RPC的应用签名包括 6101 — RPC Port Unregistration; 6102 — RPC Dump; 6103 — Proxied RPC Request; 6104 — RPC Set Spoof; 6105 - RPC Unset Spoof; 6110 — RPC RSTATD Sweep; 6111 - RPC RUSERSD Sweep; 6112 - RPC NFS Sweep; 6113 — RPC MOUNTD Sweep;以及6114 — RPC YPPASSWDD Sweep。 Windows/NetBIOS签名包括3300 — NetBIOS OOB Data; 3301 — NETBIOS Stat; 3302 — NETBIOS Session Setup Faiiure; 3303 - Windows Guest Login; 3304 — Windows Null Account Name; 3305 — Windows Password File Access; 3306 - Windows Registry Access; 以及3327 — Windows RPC DCOM Over.ow 。
在网络环境中使用的签名属于签名组(例如HTTP组),因为黑客使 用HTTP来获得对大多数应用的访问。其他签名组包括对于服务器-服务 器通信广泛使用的RPC组和特定于某些操作系统(例如 Windows/NetBIOS)的组。
如果IDS被部署在因特网边缘处,则用于保护服务器和应用的公共签 名包括以下这些签名DNS签名示例包括6050 - DNS HINFO Request; 6051 - DNS Zone Transfer; 6052 - DNS Zone Transfer from High Port; 6053 -DNS Request for All Records; 6054 - DNS Version Request; 6055 - DNS Inverse Query Buffer Overflow以及6056 - DNS NXT Buffer Overflow。 HTTP签名示例包括5188 - HTTP Tunneling; 5055 - HTTP Basic
Authentication Overflow; 3200 - WWW Phf Attack; 3202 - WWW .url File Requested; 3203 - WWW .Ink File Requested; 3204 - WWW .bat File Requested; 3212 - WWW NPH-TEST隱CGI Attack;以及3213 - WWW TEST-CGI Attack。 FTP签名示例包括3150 - FTP Remote Command Execution; 3151 -FTP SYST Command Attempt; 3152 - FTP CWD —root; 3153 - FTP Improper Address Specified ; 3154 - FTP Improper Port Specified; 3155 - FTP RETR Pipe Filename Command Execution; 3156 -FTP STOR Pipe Filename Command Execution; 3157 - FTP PASV Port Spoof; 3158-FTP SITE EXEC Format String; 3159 - FTP PASS Suspicious Length;以及3160 - Cesar FTP Buffer Overflow。 E-mail签名示例包括 3100 - Smail Attack; 3101 - Sendmail Invalid Recipient; 3102 - Sendmail Invalid Sender; 3103 - Sendmail Reconnaissance; 3104 - Archaic Sendmail Attacks; 3105 - Sendmail Decode Alias; 3106 - Mail Spam;以及3107 -Majordomo Execute Attack 。
识别过程可能需要通过监视警报并在检测到威胁时确定什么是正常的 什么是异常的来调节(tune)签名,但是,优选地,IDS被配置为具体针 对保护子网的任意防火墙所允许的协议发出警告。当检测到威胁时,生成 可疑流量警报,并且优选地,威胁被IDS阻挡,如步骤31所示。
IDS能够利用特定机制对识别出的安全性事件作出响应。例如,与检 测出的入侵相对应的完整IP会话可被记入日志。日志通常被用于法庭 (forensic)分析,以确定事件的细节并识别安全性缝隙在何处以及如何 纠正它。该信息还可以在需要法律实施的情况下被用作证据。可替换地, IDS可被配置用于代表受害系统执行TCP重置。在该配置中,IDS发送利 用受害方的源IP地址生成的TCP重置和一个随机MAC地址,以避免与 第2层交换机和受害方的MAC地址发生冲突。IDS还可以指导网络设备 (例如路由器、交换机或防火墙)动态应用ACL来阻挡来自攻击者的流 量。该响应是最具攻击性的响应,在其意外地阻挡了有效流量时,可能导 致自己引发的DoS问题。在此情况下,IDS可以利用各种协议(例如 Telnet和Secure Shell (SSH))与该避开的设备通信。
在操作中,交换机11基于不同的接收到的分组的源MAC地址建立
第2层转发表。该转发表或访问控制列表被交换机11用于将以某个MAC 地址为目的地的分组直接转发到相应的VLAN。该特征通常被称为单播转 发,因为分组仅被从源发送到目的地。在支持单播转发的交换机中,针对 被监视的VLAN指定的流量被交换机11拷贝,并通过配置VACL特征 (远程或RSPAN VLAN)被发送到VLAN。 VACL配置定义了要被监视 的流量类型。具体而言,如图3所示,针对VLAN 12指定的流量被交换 机11拷贝,并且该拷贝被发送到VLAN35。 RSPAN特征的使用不同于其 预期使用,但提供了基于所选参数重定向流量的能力。VLAN35优选地 是本地VLAN并且甚至可以是交换机11的一部分,如虚线39所示。如果 VLAN 12-14被配置用于捕获,则来自每个这样的VLAN的指定流量被拷 贝到VLAN 35。为了使每个专用IDS都能查看所有流量,操作软件或硬 件将来自VLAN 35的流量重定向到适当的专用IDS。因此,VLAN 12上 的流量被交换机11拷贝并被发送到VLAN35,在VLAN35,流量可被重 定向到IDS 37。类似地,VLAN 13和14上的流量被拷贝到VLAN 35,然 后可被分别重定向到IDS 38和39。在替换实施例中,流量可基于协议被 重定向。在另一实施例中,流量基于源和协议被重定向。 一般而言,重定 向可按特定应用所需的粒度来执行。
图3的实施例的监视过程在图4中示出。流量的重定向发生在交换机 11处,其被配置为指定哪些VLAN的流量将被拷贝,如歩骤42所示。如 果交换机11是Cisco交换机,则重定向是通过配置交换机以使每个 VLAN或链路SPAN (跨越)到另一其中的流量将被拷贝的VLAN来实现 的。SPAN将流量拷贝到一个VLAN,该VLAN还可被运载到不同于交换 机11的交换机。
拷贝的流量随后被发送到VLAN 35,如步骤43所示。 一旦拷贝的流 量在VLAN 35处被接收,流量类型和源VLAN就被确定,如步骤44所 示。流量类型可以通过检查分组头部来确定。基于流量类型和源,VLAN 35过滤流量并重定向流量到特定IDS,如步骤45所示。该操作优选地是 通过在VLAN 35上应用VACL REDIRECT判决来执行的。VACL
REDIRECT由操作系统执行并应用于路由入或路由出VLAN 35的所有分 组。VACL REDIRECT严格地用于分组过滤和基于配置重定向流量到特定 物理交换机端口。
更具体而言,VACL REDURECT被用来基于信息(例如子网、协议 和第4层端口)判断流量将在哪个端口上流出。因此,如果接收到某种流 量模式,则VLAN 35识别出该流量的源、目的地、协议和第4层端口并 将流量重定向到若干指定IDS之一。
IDS使用签名或模板(template)来检测网络上被认为是安全性违背 的异常行为,所述检测是通过将模板与流量模式或特定流量会话相比较以 寻找匹配来执行的。匹配暗示已经检测到异常性并且需要某种动作。该动 作可以是仅仅发送警报,或者是发送警报并应用被设计用于停止该异常性 的措施。
图5示出用于拷贝流量,然后重定向流量到指定IDS的方法。具体而 言,在交换机11处的进入流量利用SPAN命令被有选择地拷贝,所述 SPAN命令由在交换机11上活动的操作系统执行。因此,多个进入流中 的一个或多个在离开交换机11之前被拷贝到VLAN 35。 VLAN 35利用由 活动的操作系统执行的VACL REDIRECT命令来监视进入流。VACL REDIRECT用于确定流量类型(例如MAC、 RPC或HTTP),然后将其 路由到特定IDS 。例如,对于从VLAN 12拷贝的流量,VACL REDIRECT命令识别出源是VLAN 12,该VLAN 12选择第一组IDS传感 器47。然后,基于流量的类型,VACL REDIRECT将具有特定类型的流 量重定向到相应的IDS。例如,如果VLAN 12上的流量包括RPC和 HTTP流量,贝U RPC流量被发送到IDS传感器48,而HTTP流量被发送 到IDS传感器49。进行类似的两级分级判断以路由流量到指定的IDS。 VLAN 13上的流量如果是RPC流量则被路由到IDS传感器50,如果是 HTTP流量则被路由到IDS传感器51。 IDS传感器50禾Q 51处于第二组 IDS 52中。类似地,VLAN 14上的流量如果是RPC或HTTP流量,则被 路由到IDS组53。与所述多个流量源中的每一个相关联的入侵检测传感 器可以包括单个虚拟的IDS传感器。
一般而言,如果识别出不同的流量协议、模式或源,则定向到不同的
专用IDS。利用该配置,可以定义很多不同的IDS传感器,其中每个IDS
传感器监视不同的流量协议或模式。传感器可以具有协议号所允许的粒
度。VACL对流量是否将被拷贝或重定向进行所有分析。访问控制列表被 配置用于定义用于特定流量源的子网。实际上,对于交换机11中的第4 层协议和第4层端口 ,关于每个IDS将接收哪种类型的流量可能是非常特 定的。此外,通过使来自子网的不感兴趣的流量对IDS而言不可见,可以 过滤掉无关警报。该过滤功能意味着已知安全流量不经过IDS,并且只有 可疑或高危险性的流量需要被IDS查看。
本发明通过提供多于一个或两个IDS监视来自多个子网的流量,从而 实现了重要里程碑。此外,本发明通过限制提供给每个IDS的流量的类型 而使得IDS能够更有效地工作,从而减少了将报告的错误肯定的数目。通 过识别和过滤安全流量,实现了效率的进一歩提高。该过滤步骤提高了等 待时间并减少了错误警报的的发生。因此,利用本发明,只有流量的一个 子集被每个IDS所监视,同时同一子集中的安全流量无需被监视。虽然在 这里描述的实施例中可以使用IP工业熟悉的机制,但是将会理解,任意 能够执行访问控制列表功能和重定向功能的设备都可被用于实现本发明。 利用本发明,用于防止由恶意黑客导致的网络问题的成本立即被大大降 低。
因此,本发明提供了一种新型入侵检测系统,该系统能够识别流量 源,过滤流量以分类其是安全的还是可疑的,然后应用复杂的检测技术, 例如状态模式识别、协议解析、启发式检测和异常性检测。这些技术可以 单独应用也可以与IDS传感器组合应用,所述IDS传感器专用于监视来自 特定流量源的特定类型的流量。由于流量被过滤以除去不感兴趣的流量并 且不同传感器监视流量的不同部分,因此由于较少流量被路由到用于监视 的IDS而使效率大大提高。因此,每个IDS传感器采用的检测技术可被具 体限定和细化,以确保全面地防范多种己知和未知的威胁,同时减少等待 时间。
虽然已经参考特定实施例描述了本发明,但是这些实施例仅仅是示例
性的而非限制性的。例如,网络可以包括不同的路由器、交换机、服务器 以及在这样的网路中常见的其他组件或设备。此外,这些组件可以包括以 不同于这里所述的方式实现网络设备和其他设备之间的连接功能的软件算 法。
这里描述的可执行代码可以以任意合适的编程语言来实现以实现本发
明的例程,包括C、 C++、 Java、汇编语言等等。可以采用不同的编程技
术,例如程序性的或面向对象的。例程可以在操作系统环境中工作,或者 作为占用系统处理的全部或绝大部分的独立例程工作。
在这里的描述中,提供了具体细节(例如组件和/或方法的示例), 以对本发明的实施例提供全面理解。但是,本领域技术人员将意识到,没 有这些具体细节中的一个或多个或者利用其他装置、系统、装备、方法、 组件、材料、部件等等也可以实现本发明的实施例。在其他情况下,没有 具体示出或描述公知的结构、材料或操作,以免模糊本发明的实施例的各 个方面。
这里使用的各种数据库、应用软件或网络工具可能位于一个或多个服 务器计算机中,更具体而言,位于这种服务器计算机的存储器中。出于本 发明实施例的目的,这里使用的"存储器"可以是任意包含、存储、传 输、传播或运送程序以用于指令执行系统、装置、系统或设备或与指令执 行系统、装置、系统或设备结合使用的介质。存储器例如(但不局限于) 可以是电子的、磁的、光的、电磁的、红外的或半导体系统、装置、系 统、设备、传播介质或计算机存储器。
贯穿整个说明书,提到的"一个实施例"、"实施例"或"特定实施 例"意味着结合该实施例所述的特定特征、结构或特性被包括在本发明的 至少一个实施例中并且不一定包括在所有实施例中。因此,在说明书中各 个位置上分别出现的短语"在一个实施例中"、"在实施例中"或"在特 定实施例中"不一定指的是同一实施例。此外,本发明的任意特定实施例 的特定特征、结构或特性可以按任意合适的方式被与一个或多个其他实施 例组合在一起。将会理解,对这里描述和示出的本发明的实施例的其他变 化和修改根据这里的教导是可能的,并且将被认为是本发明的精神和范围
的一部分。
本发明的实施例可以通过使用经编程的通用数字计算机、专用集成电 路、可编程逻辑器件、现场可编程门阵列来实现,可以使用光的、化学
的、生物的、量子的或纳米工程(nanoengineered)系统、组件和机构。 一般而言,本发明的功能可以利用本领域已知的任何装置来实现。分布式 的或联网的系统、组件和电路可被使用。数据的通信或传输可以是有线 的、无线的或利用任何其他装置。
还将意识到,附图中示出的一个或多个元件也可以用更加分离或集成 的方式来实现,或者在某些情况下甚至被去除或使之不工作以用于特定应 用。实现可被存储在机器可读介质中以允许计算机执行任意上述方法的程 序或代码也包括在本发明的精神和范围中。
另外,附图中的任意信号箭头应被视为示例性的而非限制性的,除非 另外特别注明。此外,除非另外指明,否则这里使用的术语"或" 一般希 望指的是"和/或"。组件或步骤的组合也将被视为显著的,其中术语被 预见为能够对不清楚之处进行分离或组合。
在这里的描述和所附权利要求中使用的"一个"和"这个"包括复数 情况,除非上下文另外明确指示。而且,这里的描述和所附权利要求中使 用的"在...中"的意思包括"在...中"和"在...上",除非上下文另外明 确指示。
前面对本发明所示实施例的描述(包括摘要的描述)不希望被视为穷 尽的或将本发明限制在这里公开的精确形式。虽然这里描述的本发明的特 定实施例和示例出于举例说明的目的,但是本领域技术人员将会意识到, 在本发明的精神和范围内可以进行各种等同修改。如上所述,根据前面对 本发明所示实施例的描述,可以对本发明进行各种修改,并且这些修改将 被包括在本发明的精神和范围内。
因此,虽然已经参考本发明的特定实施例描述了本发明,但是在前述 公开中将想到各种修改、变化和替换,并且将意识到,在某些情况下,无 需相应地使用其它特征,本发明的实施例的某些特征就将被采用,并且不 会脱离本发明的精神和范围。因此,可以执行很多修改,以使得特定情况
或材料适应于本发明的本质范围和精神。希望本发明不局限于所附权利要 求书中的使用的特定术语和/或作为为了实现本发明而设想的最佳实施方 式而公开的特定实施例,而是希望本发明包括落在所附权利要求书的范围 中的所有修改和等同物。
权利要求
1.一种在具有多个流量源的网络环境中用于监视所述多个流量源中的至少一部分上的流量的系统,包括用于拷贝来自所述多个流量源中的每个流量源的流量的装置;多个入侵检测系统,其中所述多个流量源中的每个流量源与至少一个所述入侵检测系统相关联;以及用于将来自所述多个流量源中的每个流量源的经拷贝的流量重定向到所述多个入侵检测系统中的所述相关联的一个入侵检测系统的装置。
2. 如权利要求1所述的系统,还包括用于过滤所述经拷贝的流量的装置。
3. 如权利要求2所述的系统,其中所述用于过滤的装置包括访问控制列表,该访问控制列表将所选流量转发到所述相关联的入侵检测系统。
4. 如权利要求3所述的系统,其中所述过滤包括区分流量类型的访问 控制列表。
5. 如权利要求4所述的系统,其中所述重定向装置包括用于基于流量 类型将流量发送到所述多个入侵检测系统之一的装置。
6. 如权利要求1所述的系统,其中所述流量源包括大于两个的多个 VLAN和协议,并且所述多个入侵检测系统包括用于所述多个VLAN和协 议中的每一个的至少一个入侵检测系统。
7. 如权利要求1所述的系统,还包括用于将至少一个入侵检测系统与 每个流量源相关联并且用于基于流量类型将所述经拷贝的流量重定向到所 述入侵检测系统之一的装置。
8. 如权利要求7所述的系统,其中所述入侵检测系统还包括用于向所 选类型的流量应用各种检测技术的装置。
9. 如权利要求8所述的系统,其中与流量源相关联的所述多个入侵检 测系统包括用于监视至少两种类型流量的多个入侵检测传感器。
10. 如权利要求9所述的系统,其中所述多个入侵检测传感器中的每 一个适合于监视具有以下流量类型之一的流量RPC、 HTTP、 DNS、 MAC或SMTP 。
11. 如权利要求IO所述的系统,其中与所述多个流量源中的每个流量 源相关联的所述入侵检测传感器包括单个虚拟的IDS传感器。
12. —种在具有至少三个子网的网络中用于有选择地监视每个所述子 网上的流量的系统,包括多个入侵检测系统; 适合于识别要被拷贝的流量的交换机; 适合于接收所述经拷贝的流量的VLAN;以及与所述VLAN相关联的交换机,其适合于对流量源和流量类型执行分 级判决,并且适合于基于所述流量源和流量类型将所述流量有选择地发送 到所述入侵检测系统中的一个所选入侵检测系统。
13. 如权利要求12所述的系统,还包括用于从所述经拷贝的流量中过 滤出安全流量的装置。
14. 如权利要求13所述的系统,其中所述过滤装置包括被配置用于对 所述流量执行VACL REDIRECT命令的网络交换机。
15. 如权利要求14所述的系统,其中所述过滤装置包括访问控制列 表,该访问控制列表将所选流量重定向到所述相关联的入侵检测系统。
16. —种在具有至少三个子网的网络中用于有选择地监视每个所述子 网上的流量的方法,包括配置用于拷贝来自每个所述子网的流量的第一交换机;将所述经拷贝的流量的拷贝发送到虚拟局域网;确定所述流量的源和目的地;确定流量类型(第4层协议和第4层端口);基于所述确定步骤,过滤所述流量以去除安全流量;以及将经过滤的流量重定向到入侵检测系统。
17. 如权利要求16所述的方法,其中所述重定向步骤还包括将每个流量源与至少一个入侵检测系统相关联的步骤。
18. 如权利要求17所述的方法,其中所述重定向歩骤还包括针对对于所选流量源监视的每种类型的流量关联至少一个入侵检测系统的步骤。
19. 如权利要求16所述的方法,其中所述配置步骤包括针对要被监视的每个流量源利用VACL命令配置交换机。
20. 如权利要求16所述的方法,其中所述确定步骤和所述过滤步骤包 括利用VACL REDIRECT命令配置第二交换机。
全文摘要
本发明提供了一种入侵检测系统(1)(IDS),其能够识别流量源,过滤流量(28)以将其分类为安全的或可疑的,然后基于流量类型来单独地或组合地应用复杂的检测技术,例如状态模式识别、协议解析、启发式检测和异常性检测。在网络环境中,每个流量源(12)具有至少一个IDS传感器(22-24),该IDS传感器专用于监视特定类型的流量,例如RPC、HTTP、SMTP、DNS等等。来自每个流量源(12)的流量被过滤以去除已知的安全流量,从而通过使每个IDS传感器(22-24)集中针对一种特定流量类型来提高效率和增大精确性。
文档编号G06F15/173GK101116068SQ200580031064
公开日2008年1月30日 申请日期2005年10月11日 优先权日2004年10月28日
发明者毛里西奥·波尔托拉尼, 毛里西奥·阿雷格赛斯, 蒂莫西·W·史蒂文森 申请人:思科技术公司