网络安全系统的制作方法
【技术领域】
[0001]本发明涉及网络安全领域,具体地说,本发明涉及用于检测数据处理网络中的安全漏洞的系统、方法和计算机程序。
【背景技术】
[0002]Web代理服务器是充当请求媒介的服务器,这些请求来自从网络中的服务器请求资源的客户机设备。客户机设备通常通过网络发送资源请求,并且通过连接到Web代理服务器而开始。Web代理服务器评估请求,执行多个功能,并且取回被请求资源并将其发回发出请求的客户机。Web代理服务器可以执行多个功能,例如,能够使代理服务器的下游客户机设备保持匿名,使用诸如缓存之类的技术加快对资源的访问以便防止多次下载相同内容,审计对因特网资源的访问,在传送到发出请求的客户机之前扫描所传输的内容以便防止恶意软件,并且扫描出站内容以便实现数据丢失防护以及其它访问和管理任务。
[0003]代理服务器(具体地说Web代理服务器)易受攻击。通常攻击者在执行已经提及的某些功能的组件的设计和源代码中寻找漏洞。漏洞可以被利用以便改变软件组件的行为,并且可能威胁代理服务器本身或代理服务器作为其一部分的较大网络系统中的数据的机密性、完整性和/或可用性。
[0004]通常通过使用一个或多个专业组件保护Web代理服务器,减少这种类型的漏洞利用攻击。这些组件能够包括防火墙、入侵检测系统、Web应用防火墙和病毒扫描器。Web代理服务器中的典型漏洞允许攻击者将精心制作的消息发送到组件,这可以导致攻击者能够控制Web代理服务器,并且使用Web代理服务器作为“跳板”以便攻击网络系统的“下游”组件。此类攻击的影响可以是降低整体系统中的信息的机密性、完整性或可用性。
[0005]Web代理软件的供应商竭尽全力以便避免将漏洞引入其产品中,并且通常通过发布软件“补丁”而迅速行动以便补救所标识的任何问题,这些软件补丁取代或补充有缺陷的代码。但是,已发现这种方法并不令人满意,数个原因如下:
[0006]?漏洞的被利用通常快于制造商可以创建和分发补丁 ;
[0007]?用于利用已知漏洞的手段经常被发布(在因特网上),并且因此本身具有很少技能或知识的攻击者可以实施广泛传播的攻击;以及
[0008]?在打补丁的Web代理副本被测试期间,应用补丁的过程经常被延迟。这使该过程增加额外成本和复杂性,并且许多大规模商业系统在相当长的时间内保持“未打补丁”。据负责信息保障的英国政府机构(CESG)估算,如果所有组件都被正确打补丁,则可以避免对公共部门中的IT系统的大多数(70%到80% )成功攻击。
[0009]尽管多年来在此类专业组件的设计方面取得了技术进步,但对Web代理服务器的成功攻击仍然继续,并且是大型商业信息处理系统中的主要风险源之一。
【发明内容】
[0010]从第一方面看,本发明提供一种用于响应于在数据处理网络内的代理服务器中检测到安全漏洞而生成警报的网络安全系统,所述系统包括:分配器组件,其包括:拦截器组件,其用于拦截来自客户机设备的对资源的请求;以及复制器组件,其用于创建所拦截的请求的副本并将所拦截的请求转发到第一类型的代理服务器,并且将所拦截的请求的副本转发到第二类型的代理服务器,其中所述第一类型的代理服务器和所述第二类型的代理服务器是不同代理服务器类型;比较器组件,其包括:拦截器组件,其用于拦截来自所述第一类型的代理服务器和所述第二类型的代理服务器的输出;比较组件,其用于将所述第一类型的代理服务器的输出与所述第二类型的代理服务器的输出相比较;判定组件,其响应于比较所述输出,判定所述第一类型的代理服务器的输出与所述第二类型的代理服务器的输出是否不同;以及警报生成器组件,其用于响应于判定所述输出中的差异而生成警报。
[0011]优选地,本发明提供一种系统,所述系统进一步包括所述比较器组件的输出阻止器,其检测已生成警报并且阻止来自所述第一类型的代理服务器和所述第二类型的代理服务器之一或两者的输出。
[0012]优选地,本发明提供一种系统,所述系统进一步包括判定器组件和路由组件,所述判定器组件判定来自所述第一类型的代理服务器和所述第二类型的代理服务器的输出并非不同,所述路由组件用于将来自所述第一类型的代理服务器或所述第二类型的代理服务器之一的输出路由到用于取回被请求资源的服务器。
[0013]优选地,本发明提供一种系统,所述系统进一步包括判定器组件,其检测要在每个所述输出中执行的操作,并且进一步判定要执行的操作之一或两者是不同操作。
[0014]优选地,本发明提供一种系统,所述系统进一步包括所述判定器组件,其判定要执行的操作之一将在所述第一类型和第二类型的Web代理服务器之一或两者或所述服务器中导致处理错误。
[0015]优选地,本发明提供一种系统,所述系统进一步包括所述判定器组件,其判定所述处理错误是安全漏洞。
[0016]从第二方面看,本发明提供用于响应于在数据处理网络内的代理服务器中检测到安全漏洞而生成警报的网络安全系统,所述系统包括:分配器组件,其包括:拦截器组件,其用于拦截来自服务器的被请求资源;以及复制器组件,其用于创建所拦截的被请求资源的副本并将所拦截的被请求资源转发到第一类型的代理服务器,并且将所拦截的被请求资源的副本转发到第二类型的代理服务器,其中所述第一类型的代理服务器和所述第二类型的代理服务器是不同代理服务器;比较器组件,其包括:拦截器组件,其用于拦截来自所述第一类型的代理服务器和所述第二类型的代理服务器的输出;比较组件,其用于将所述第一类型的代理服务器的输出与所述第二类型的代理服务器的输出相比较;判定组件,其用于响应于比较所述输出,判定所述第一类型的代理服务器的输出与所述第二类型的代理服务器的输出是否不同;以及警报生成器组件,其用于响应于判定所述输出中的差异而生成警报。
[0017]优选地,本发明提供一种系统,所述系统进一步包括所述比较器组件的输出阻止器,其检测已生成警报并且阻止来自所述第一类型的代理服务器和所述第二类型的代理服务器之一或两者的输出。
[0018]优选地,本发明提供一种系统,所述系统进一步包括判定器组件,其判定来自所述第一类型的代理服务器和所述第二类型的代理服务器的输出并非不同,并且将来自所述第一类型的代理服务器或所述第二类型的代理服务器之一的输出路由到所述客户机设备。
[0019]优选地,本发明提供一种系统,所述系统进一步包括所述判定器组件,其检测要在每个所述输出中执行的操作,并且进一步判定要执行的操作之一或两者是不同操作。
[0020]优选地,本发明提供一种系统,所述系统进一步包括所述判定器组件,其判定要执行的操作之一将在所述第一类型和第二类型的Web代理服务器之一或两者或所述客户机设备中导致处理错误。
[0021]优选地,本发明提供一种系统,所述系统进一步包括所述判定器组件,其判定所述处理错误是安全漏洞。
[0022]从第三方面看,本发明提供一种用于响应于在数据处理网络内的代理服务器中检测到安全漏洞而生成警报的方法,所述方法包括:拦截来自客户机设备的对资源的请求;创建所拦截的请求的副本并将所拦截的请求转发到第一类型的代理服务器,并且将所拦截的请求的副本转发到第二类型的代理服务器,其中所述第一类型的代理服务器和所述第二类型的代理服务器是不同代理服务器类型;拦截来自所述第一类型的代理服务器和所述第二类型的代理服务器的输出;将所述第一类型的代理服务器的输出与所述第二类型的代理服务器的输出相比较;响应于比较所述输出,判定所述第一类型的代理服务器的输出与所述第二类型的代理服务器的输出是否不同;以及响应于判定所述输出中的差异而生成警报。
[0023]从第四方面看,本发明提供一种用于响应于在数据处理网络内的代理服务器中检测到安全漏洞而生成警报的方法,所述系统包括:拦截来自服务器的被请求资源;以及创建所拦截的被请求资源的副本并将所拦截的被请求资源转发到第一类型的代理服务器,并且将所拦截的被请求资源的副本转发到第二类型的代理服务器,其中所述第一类型的代理服务器和所述第二类型的代理服务器是不同代理服务器;拦截来自所述第一类型的代理服务器和所述第二类型的代理服务器的输出;将所述第一类型的代理服务器的输出与所述第二类型的代理服务器的输出相比较;响应于比较所述输出,判定所述第一类型的代理服务器的输出与所述第二类型的代理服务器的输出是否不同;以及响应于判定所述输出中的差异而生成警报。
[0024]从第五方面看,本发明提供一种包括计算机程序代码的计算机程序,当所述计算机程序代码被加载到计算机系统中并被执行时,所述计算机程序执行如上所述的方法的所有步骤。
【附图说明】
[0025]现在仅通过实例的方式参考附图描述本发明的优选实施例,这些附图是:
[0026]图1是示出根据本发明的优选实施例的其中可以实现本发明的网络安全系统的框图;
[0027]图2是示出本领域公知的代理服务器的组件的框图;
[0028]图3是示出根据本发明的优选实施例的从多个客户机设备到分配器组件和比较器组件的资源请求的处理流程的框图;
[0029]图4是示出根据本发明的优选实施例的由服务器满足并且传送到分配器组件和比较器组件的图4的资源请求的处理流程的框图;
[0030]图5a和5b是示出图3和4的比较器和分配器组件的子组件的框图;
[0031]图6是示出根据本发明的优选实施例的通过分配器组件和比较器组件的HTTP请求的处理流程的流程图;以及
[0032]图7是示出根据本发明的优选实施例的通过分配器组件和比较器组件的被取回请求的处理流程的流程图。
【具体实施方式】
[0033]下面参考根据本发明实施例的方法、系统和计算机程序产品的流程图和/或框图描述本发明的各个方面。应当理解,流程图和/或框图的每个方框以及流程图和/或框图中各方框的组合,都可以由计算机程序指令实现。这些计算机程序指令可以提供给通用计算机、专用计算机或其它可编程数据处理装置的处理器,从而生产出一种机器,使得这些指令在通过计算机或其它可编程数据处理装置的处理器执行时,产生了实现流程图和/或框图中的一个或多个方框中规定的功能/动作的装置。
[0034]也可以把这些计算机程序指令存储在计算机可读介质中,这些指令使得计