专利名称:响应入侵的方法和系统的制作方法
技术领域:
本发明一般涉及计算机安全,特别涉及响应违反计算机安全策略的计算机入侵。
背景技术:
在计算机安全领域,“入侵”是一个包括很多不良活动的广义术语。入侵的目的可能是获得个人未被授权拥有的信息(称作“信息偷窃”),它可能是通过使网络、系统或应用不可用来造成商业损害(称作“拒绝服务”),并且/或者,它可能是获得系统的非授权使用以作为用于在它处作进一步入侵的踏脚石。入侵会遵循信息收集、尝试访问然后是破坏性攻击的模式。
一些入侵可以被目标系统检测和化解(neutralize),不过经常不是实时的。其他入侵不能被目标系统有效化解。入侵还可能利用使得不容易对它们的真实来源进行追踪的“欺骗”分组。很多入侵现在利用不知情的同伙-也就是,未授权使用以隐藏入侵者身份的机器或网络。由于这些原因,检测信息收集尝试、访问尝试和入侵同伙行为可以是入侵检测的一个重要部分。
如图1所示,入侵可以由例如位于外部网135(例如,因特网)上的入侵者130或者从位于内部网115上的入侵者110向内部网115上的主机100发起。防火墙120可以提供一些保护来防止来自外部网的入侵。然而,一旦防火墙“认可”了进入到内部网115中,它就不能防止入侵,并且当入侵从内部网115内部(例如,入侵者110)发起时,它不能提供保护。另外,端到端加密会限制可以被诸如防火墙120的中间设备检测的入侵类型,因为中间设备可能不能评估(evaluate)未加密形式的分组以获得入侵的证据。
入侵检测系统(以下为“IDS”)可以提供多种类型入侵的检测。参照图2,IDS可以包括检查网络通信信息(traffic)的嗅探器。嗅探器可以置于网络中的关键点,如防火墙220前面的嗅探器210;防火墙220后面的嗅探器230;内部网115上的嗅探器240;和/或主机260与内部网115之间的嗅探器250所示。嗅探器可以使用“模式匹配”来试图将通信信息与已知的入侵签名进行匹配。对所有网络通信信息执行模式匹配可能需要相当多的处理时间,并且可能导致所要分析的通信信息的积压,从而造成识别入侵的延迟。已知入侵签名数目的增长可能增加识别入侵的处理时间和相关延迟。
一检测到入侵,嗅探器就可以向IDS管理系统270报警,IDS管理系统270可以采取行动来停止入侵。例如,嗅探器230和250被示出为将“告警”通知给IDS管理系统270。IDS管理系统270可以是例如IBM的Tivoli Risk Manager system(Tivoli风险管理器系统)。IDS管理系统270可以相互关联来自若干嗅探器的入侵通知以判定是否发生了入侵,并且如果是,确定入侵的特征。IDS管理系统270可以响应入侵而将通信过滤规则下载到防火墙220。
嗅探器还可以或者可以替代地通知提供由IDS组件检测的安全告警的日志记录和分析的服务如IBM的Emergency Response Service(应急响应服务,ERS)单元200。在所示例子中,防火墙220之前的嗅探器210将告警发送到应急响应服务单元200。
发明内容
在本发明的一些实施例中,计算机通过根据包括与计算机相关的信息的局部IDS策略评估通知来选择性地响应来自网络可访问入侵检测服务(IDS)管理器的至少一条入侵通知。与计算机相关的信息可以例如基于计算机是否是用于计算机系统中的其他计算机的信息服务器、计算机是否受到防火墙的保护以隔离入侵源、计算机与入侵源的邻近性、计算机中的存储器利用、和/或计算机中的处理器利用。
局部IDS策略可以从网络可访问仓库下载到计算机。IDS策略可以包括根据来自IDS管理器的入侵通知所要采取的一个或多个响应行动。计算机的响应行动可以包括终止作为入侵目标的应用、丢弃通信中的信息和/或中止与通信源的通信。
从而,IDS管理器可以向计算机通知检测到入侵。然后,计算机可以根据局部策略和与计算机相关的信息决定是否和/或如何它将响应通知。因此,在具有众多计算机的计算机系统中,每台计算机可以根据对于每台计算机已知的局部信息不同地响应入侵通知。这样,局部计算机如何响应入侵可以是单独定制的。这种响应局部定制可以使得能够改善计算机如何响应入侵的自动化。
图1是遭到安全入侵的根据现有技术的计算机连网系统的方框图。
图2是根据现有技术的具有入侵检测组件的计算机连网系统的方框图。
图3是根据本发明各个实施例的具有入侵检测组件的计算机连网系统的方框图。
图4是根据本发明各个实施例的具有入侵检测服务激活(enabled)应用的主计算机的方框图。
图5是示出根据本发明各个实施例的用于选择性地响应入侵的操作的流程图。
图6是根据本发明实施例的计算机系统的方框图。
具体实施例方式
下面将参照附图对本发明进行更全面的描述,其中示出本发明的示例性实施例。然而,本发明可以以多种不同形式实施,并且不应解释为受限于在此所述的实施例;而是,提供这些实施例是为了使本公开内容透彻和完整并且向本领域的技术人员全面传达本发明的范围。相同的标号在全文范围内表示相同的单元。
本领域的技术人员应该理解,本发明可以作为方法、系统和/或计算机程序产品实施。因此,本发明可以采取全都统称作“电路”或“模块”的完全硬件实施例、完全软件实施例或者组合软件和硬件方面的实施例的形式。而且,本发明可以采取其中实施有计算机可用程序代码的计算机可用存储介质上的计算机程序产品的形式。可以利用任何适当计算机可读介质包括硬盘、CD-ROM、光学存储设备、传输介质如支持因特网或内部网的传输介质或者磁性存储设备。
用于执行本发明操作的计算机程序代码可以采用面向对象的编程语言如Java、Smalltalk或者C++来编写。然而,用于执行本发明操作的计算机程序代码也可以采用传统过程编程语言如“C”编程语言来编写。该程序代码可以完全在用户计算机上、部分在用户计算机上、作为单独软件包、部分在用户计算机上且部分在远程计算机上、或者完全在远程计算机上执行。在后一场景中,远程计算机可以通过例如局域网(LAN)或广域网(WAN)连接到用户计算机,或者可以通过外部计算机(例如,使用因特网服务提供商通过因特网)进行连接。
下面将参照根据本发明实施例的方法、设备(系统)和计算机程序产品的流程图和/或方框图描述本发明。应该理解,流程图和/或方框图的每块以及流程图和/或方框图的块组合可以通过计算机程序指令实现。这些计算机程序指令可以提供给通用计算机、专用计算机或者其他可编程数据处理设备的处理器以产生通过计算机或者其他可编程数据处理设备执行的机器指令创建装置,用于实现在流程图和/或方框图的一个或多个块中指定的功能/行为。
这些计算机程序产品还可以存储在可以引导计算机或者其他可编程数据处理设备以特定方式操作的计算机可读存储器中,从而使存储在计算机可读存储器中的指令产生包括实现在流程图和/或方框图的一个或多个块中指定的功能/行为的指令装置的制造品。
计算机程序指令还可以装载到计算机或其他可编程数据处理设备上以使一系列操作步骤在计算机或其他编程设备上执行以产生计算机实现过程,从而使在计算机或其他编程设备上执行的指令提供用于实现在流程图和/或方框图的一个或多个块中指定的功能/行为的步骤。
图3示出根据本发明各个实施例的具有入侵检测组件的计算机连网系统302。计算机连网系统302包括通过内部网320连接的至少一台主计算机300和IDS管理器310。计算机连网系统302还可以包括一个或多个检测器(sensor)322,配置成检测可能表示计算机连网系统302中的一个或多个可能入侵的事件并且将事件报告给IDS管理器310。内部网320通过防火墙340连接到外部网330(如因特网)。计算机连网系统302可以包括其他组件例如附加主计算机和/或附加IDS组件。
IDS管理器310维护系统的IDS策略,从而形成IDS策略仓库(repository)。局部IDS策略可以从IDS策略仓库下载到主计算机300。局部IDS策略可以包括根据来自IDS管理器310的入侵通知以及对于主计算机300已知的信息可以采取的一个或多个响应行动。主计算机300的响应可以包括终止作为入侵目标的应用,丢弃通信中的信息,并且/或者中止与通信源的通信。
IDS管理器310判定是否发生了对计算机连网系统302的一个或多个组件的入侵。例如,IDS管理器310可以使用模式匹配来匹配通过内部网320传送的信息与已知的入侵签名,并且/或者可以相互关联从检测器322和/或计算机连网系统302中的其他组件报告的事件以判定是否发生了入侵。当判定发生了入侵时,IDS管理器310通知主计算机300,并且可以通知计算机连网系统302中的其他主计算机和/或其他组件。然后,主计算机300根据包括与计算机相关的信息的局部IDS策略决定是否和/或如何它将响应来自IDS管理器310的入侵通知。
与主计算机300相关的信息可以基于主计算机300是否是用于计算机连网系统302中的其他组件的信息服务器、主计算机300是否受到防火墙340的保护以隔离入侵源、主计算机300与入侵源的邻近性、主计算机300中的存储器利用、和/或主计算机300中的处理器利用。
从而,主计算机300根据包括与计算机相关的信息的局部策略决定是否和/或如何它将响应入侵通知。因此,在具有众多主计算机300的计算机连网系统302中,每台主计算机300可以根据对于该主计算机300已知的局部信息不同地响应入侵通知。这样,主计算机300如何响应入侵可以是单独定制的。这种响应局部定制可以使得能够改善主计算机300响应入侵的自动化。
主计算机300可以包括至少一个配置成根据来自IDS管理器310的入侵通知而响应的IDS激活应用350。参照图4,主计算机300可以执行一个或多个IDS激活应用350、IDS代理360、IDS策略传输代理370、网络程序如TCP/IP栈380以及管理应用、网络程序和代理之间的通信的操作系统390。IDS激活应用350可以包括应用程序、IDS模块和局部IDS策略,在应用程序执行期间,其中的一个或多个可以分配给相同或不同逻辑存储器空间。应用程序也可以向例如主机操作员提供与入侵检测无关的应用功能,并且如下所述,应用程序还可以使用局部IDS策略以根据入侵通知和对于主计算机300已知的信息采取行动。
IDS激活应用350中的局部IDS策略可以从IDS管理器310下载,这可以允许系统中的主机之间更统一的入侵检测处理。例如,IDS激活应用350可以通过应用程序以初始化请求调用IDS模块来采用局部IDS策略进行初始化。IDS模块可以使IDS策略传输代理370从IDS管理器310读取可以针对IDS激活应用350特定配置的IDS策略,并且将所检索的IDS策略分配到应用程序的局部存储器空间。由于诸如安全性的各种原因,应当仅向应用程序提供被授权接收的相关IDS策略。IDS策略传输代理370可以检查应用的授权以在将所检索的IDS策略置于应用的存储器空间中之前查看IDS策略。然后,IDS策略传输代理370可以向IDS激活应用350提供应用存储器空间和/或IDS代理360内所检索IDS策略的句柄(或指针)。
根据来自IDS管理器310的入侵通知,应用程序可以使用IDS模块来从局部IDS策略检索可以由应用和/或IDS代理360采取以停止和可能补救入侵影响的适当行动。图5示出可以被执行以评估和响应入侵通知的操作。在块500,IDS代理360从IDS管理器310接收入侵通知。在块510,IDS代理360根据局部IDS策略和与主计算机300相关的信息评估入侵通知。评估可以包括评估主计算机300是否是用于计算机连网系统302中的其他组件的信息服务器(例如,网络(web)服务器、内部网应用服务器、后端服务器)、主计算机300是否是用于计算机连网系统302中的其他组件的防火墙、主计算机300是否受到防火墙340的保护以隔离入侵源、主计算机300与入侵源的邻近性、主计算机300中的存储器利用和/或主计算机300中的处理器利用。
在块520,决定IDS代理360和/或IDS激活应用350是否要响应入侵通知而采取行动。当要采取响应行动时,则在块530,可以由IDS代理360和/或IDS激活应用350采取的响应行动可以包括但不限于终止作为入侵目标的应用、丢弃通信中的信息和/或中止与通信源的通信(例如,中断与源的连接和/或关闭接口套接字)。
图6示出适于执行根据本发明一些实施例的例如图4所示的一个或多个IDS激活应用、IDS代理、IDS策略传输代理、网络程序和操作系统的主计算机系统600的示例性实施例。计算机系统600典型地包括与存储器620通信的处理器610。计算机系统600可以可选地包括诸如键盘或小键盘(keypad)的输入设备630以及也与处理器610通信的显示器640(以虚线示出)。计算机系统600还可以包括诸如扬声器650的可选设备以及也与处理器610通信的I/O数据端口660。I/O数据端口660可以用来在计算机系统600与另一个计算机系统或网络之间传输信息。这些组件可以是诸如用于很多传统计算机系统中的传统组件,它们可以配置成如在此所述操作。
处理器610可以是任何可以买到或者定制的微处理器。存储器620代表包含用来实现计算机系统600的功能的软件和数据的存储器设备的总体分级结构(overall hierarchy)。存储器620可以包括但不限于下列类型的设备高速缓冲存储器、ROM、PROM、EPROM、EEPROM、闪存、SRAM和DRAM。存储器620可以包括用于计算机系统600中的软件和数据的若干类别操作系统;应用程序;输入/输出(I/O)设备驱动程序;以及数据。本领域的技术人员应该理解,操作系统可以是适于与计算机系统一起使用的任何操作系统,如来自国际商业机器公司,Armonk,纽约的OS/2、AIX或System390,来自微软公司,雷蒙德,华盛顿的Windows 95、Windows 98、Windows 2000、Windows NT、Windows ME、Windows XP,UNIX或Linux。I/O设备驱动程序典型地包括由应用程序通过操作系统访问以与诸如I/O数据端口660的设备和特定存储器620组件通信的软件例程。应用程序代表实现计算机系统600的各种特性的程序并且最好包括至少一个支持根据本发明实施例的操作的应用。最后,数据代表由应用程序、操作系统、I/O设备驱动程序660以及可以驻留在存储器620中的其他软件程序使用的静态和动态数据。
在附图和说明书中,公开了本发明的实施例,并且虽然采用了特定术语,但是它们仅以一般性和描述性意义使用,并且不用于限制的目的,本发明的范围在所附权利要求中限定。
权利要求
1.一种响应入侵的方法,该方法包括通过计算机根据包括与入侵通知相关的信息和与计算机相关的信息的局部IDS策略评估通知,选择性地响应来自网络可访问入侵检测服务(IDS)管理器的至少一条入侵通知。
2.如权利要求1所述的方法,其中,与计算机相关的信息基于计算机是否是用于计算机系统中的其他计算机的防火墙。
3.如权利要求1所述的方法,其中,与计算机相关的信息基于计算机是否是用于计算机系统中的其他计算机的信息服务器。
4.如权利要求3所述的方法,还包括评估计算机是否担当网络服务器、内部网应用服务器以及后端服务器的至少之一。
5.如权利要求1所述的方法,其中,与计算机相关的信息基于计算机是否受到防火墙的保护以隔离入侵源。
6.如权利要求1所述的方法,其中,与计算机相关的信息基于计算机中的存储器利用。
7.如权利要求1所述的方法,其中,与计算机相关的信息基于计算机中的处理器利用。
8.如权利要求1所述的方法,其中,与计算机相关的信息基于表示入侵到计算机中的来自IDS管理器以外的信息。
9.如权利要求1所述的方法,其中,与计算机相关的信息基于计算机与入侵源的邻近性。
10.如权利要求1所述的方法,还包括将局部IDS策略从网络可访问仓库下载到计算机。
11.如权利要求1所述的方法,其中,局部IDS策略包括根据来自网络可访问IDS管理器的入侵通知所要采取的一个或多个响应行动。
12.如权利要求11所述的方法,其中,响应行动包括终止作为攻击目标的应用。
13.如权利要求11所述的方法,其中,响应行动包括丢弃与计算机的通信中的信息。
14.如权利要求11所述的方法,其中,响应行动包括中止与通信源的通信。
15.一种响应入侵的计算机系统,该计算机系统包括多台计算机,各自包括局部IDS策略;入侵检测服务(IDS)管理器,配置成为计算机生成至少一条入侵通知,并且其中计算机中的每一台配置成根据局部IDS策略和与计算机相关的信息来选择性地响应通知。
16.如权利要求15所述的计算机系统,其中,IDS管理器配置成判定在计算机系统中发生了入侵,并且配置成根据判定发生了入侵来生成通知。
17.如权利要求16所述的计算机系统,其中,计算机中的至少两台不同地响应来自IDS管理器的相同入侵通知。
18.如权利要求16所述的计算机系统,其中,计算机中的至少一台不同地响应在时间上重复至少一次的相同入侵通知。
19.如权利要求15所述的计算机系统,还包括多个检测器,配置成检测可能表示对计算机系统的一个或多个可能入侵的事件,并且配置成向IDS管理器通知这些事件,并且其中IDS管理器配置成通过相互关联来自检测器的事件来判定在计算机系统中发生了入侵。
20.如权利要求15所述的计算机系统,其中,计算机配置成从策略仓库下载局部IDS策略。
21.如权利要求15所述的计算机系统,其中,计算机中的至少一台配置成根据局部IDS策略以及计算机是否是计算机系统中的其他计算机的信息服务器来选择性地响应通知。
22.如权利要求15所述的计算机系统,其中,计算机中的至少一台配置成根据局部IDS策略以及计算机是否受到防火墙的保护以隔离入侵源来选择性地响应通知。
23.如权利要求15所述的计算机系统,其中,计算机中的至少一台配置成根据局部IDS策略以及计算机中的存储器利用和计算机中的处理器利用的至少之一来选择性地响应通知。
24.如权利要求15所述的计算机系统,其中,计算机中的至少一台配置成根据局部IDS策略以及与对计算机的可能入侵相关的信息来选择性地响应通知。
25.如权利要求15所述的计算机系统,其中,计算机中的至少一台配置成根据局部IDS策略以及与计算机与入侵源的邻近性相关的信息来选择性地响应通知。
26.一种用于响应入侵的计算机程序产品,该计算机程序产品包括在计算机可读存储介质中实施的程序代码,该计算机程序代码包括配置成根据局部IDS策略和与计算机相关的信息来选择性地响应来自网络可访问入侵检测服务(IDS)管理器的至少一条入侵通知的程序代码。
27.根据权利要求26所述的计算机程序产品,还包括配置成将局部IDS策略从网络可访问仓库下载到计算机的程序代码。
28.根据权利要求26所述的计算机程序产品,还包括配置成根据通知、局部IDS策略和与计算机相关的信息执行一个或多个响应行动的程序代码。
29.根据权利要求26所述的计算机程序产品,还包括配置成根据计算机是否是用于计算机系统中的其他计算机的信息服务器来选择性地响应通知的程序代码。
30.根据权利要求26所述的计算机程序产品,还包括配置成根据计算机是否受到防火墙的保护以隔离入侵源以及计算机与入侵源的邻近性的至少之一来选择性地响应通知的程序代码。
31.根据权利要求26所述的计算机程序产品,还包括配置成根据计算机中的存储器利用和计算机中的处理器利用的至少之一来选择性地响应通知的程序代码。
全文摘要
计算机选择性地响应来自网络可访问入侵检测服务(IDS)管理器的至少一条入侵通知。计算机根据包括与计算机相关的信息的局部IDS策略来选择性地响应入侵通知。与计算机相关的信息可以基于计算机是否是用于计算机系统中的其他计算机的信息服务器、计算机是否受到防火墙的保护以隔离入侵源、计算机与入侵源的邻近性、计算机中的存储器利用、和/或计算机中的处理器利用。
文档编号H04L12/24GK1601973SQ20041007975
公开日2005年3月30日 申请日期2004年9月16日 优先权日2003年9月22日
发明者小林伍德·修·欧弗尔拜 申请人:国际商业机器公司