专利名称:网络信息安全区域联合侦防系统的制作方法
技术领域:
本发明是有关一种网络信息安全机制,尤指在一网络系统中,当一网络侦测设备发现任一使用者计算机发生网络异常行为时,可以在网络最边缘端(edge),实时中断使用者计算机的网络联机服务,以避免造成该异常行为的病毒持续肆疟,扩散至相同或其它网络区段的网络信息安全区域联合侦防系统。
背景技术:
近年来,由于网际网络的快速成长,加上电子商务的掘起,使得人们对网络所可能带来的商机,存在无限美好的憧景,然而,在仰赖信息科技的同时,仍存在许多潜在的网络安全威胁与骇客攻击。举例来说,有些骇客攻击的目的,并非在入侵业者的计算机系统盗取或窜改网页资料,而是利用网际网略开放系统与传输便利的特性,采取一种所谓“分布式阻断服务攻击”(distributed denial of service attacks,简称DDoS攻击),利用分散于不同地方的多部计算机,发送大量伪造来源地址(spoofedsource IP addresses)的封包,瘫痪受害者所在的网络服务器,使得正常的接通率降到1%以下,导致无法提供正常的服务。
按,DDoS攻击是透过网络分散来源的技巧来完成,其攻击方式是从网络上的许多台计算机同时发动类似所谓阻断服务(Denial-of-Service,简称DoS)的攻击行为,遭受攻击的网络服务器需同时面对的敌人数目,将是来自不同网域的数百台计算机,其独特之处是在,DDoS攻击无意终止掉遭攻击的网络服务器的系统程序,而是同时送出远超过网络负荷或远超过遭攻击计算机所能允许的最大联机数量的资料,以达瘫痪目标网站的目的。因此,DDoS攻击必需以一定数量的计算机,作为发动攻击的攻击服务器(Daemon),待骇客发出攻击命令时,才可透过该等攻击服务器,同时锁定目标,进行瘫痪性攻击。一般言,骇客为了隐密地发动DDoS攻击,会先以盗取、监听方式,获取不法的帐号,取得某些发起计算机(Master),并将入侵的后门程序放置在该等发起计算机上,然后,透过该等发起计算机上的后门程序,开始尝试入侵为数众多的网络计算机,以取得足够数量的计算机,作为攻击服务器。最后,骇客会在该等发起计算机上放置攻击发起程序,用以通知该等攻击服务器,发动DDoS攻击,且在该等攻击服务器上放置攻击程序,实际执行瘫痪攻击的任务。
一般言,DDoS攻击方式主要是利用TCP/IP通讯协议中要求(request)及响应(response)模式上的漏洞,进行攻击。按,在网络系统中,通讯双方为了确保彼此的连结沟通,通常会由一方发出一要求封包予另一方,并等候对方回复一正确的响应封包,若对方能回复一正确的响应封包,即确保双方可正常连结,送收信息。举例而言,在TCP/IP通讯协议中,甲端跟乙端的连结沟通,会先由甲端送出一个SYN的封包予乙端,当乙端收到该要求封包后,会回复一个SYN-ACK的封包予甲端,最后,甲端会再送出一个ACK的封包予乙端,作为确认,在完成该等程序后,甲端与乙端便能确认彼此的连结,进而开始送收资料。针对该种沟通模式,骇客在网络上试图产生大量的SYN封包给特定计算机,却不回送ACK的封包给该计算机,使受攻击的目标计算机或网络因无法处理由骇客所发出或伪造的大量垃圾封包,而导致系统停滞或当机。
因此,为有效防制DDoS攻击,系统管理者必需找出已经被放置该等常驻攻击程序的网络计算机,始能解决被DDoS攻击的威胁。目前,已有许多侦测攻击常驻程序的工具,如在Windows系统中,可利用IIS的Internet Scanner 6.01程序与RealSecure 3.2.1程序来进行扫描,其中前者能有效地扫描出TribeFlood Network的常驻攻击程序,并协助找出网站漏洞,以避免该网站成为骇客进行DDoS攻击的帮凶,后者则能侦测出DDoS的发起计算机与攻击服务器间的通讯,进而有效地阻止骇客激活DDoS攻击。此外,英国NIPC亦针对DDoS攻击,发展出一种用以发现DDoS攻击的程序,该程序能令系统管理者针对自己的系统进行侦测,以确定是否曾被安装了DDoS之类的攻击程序。最后,系统管理者也可监控计算机或路由器(Router),把怪异的伪造来源IP封包过滤掉,如10.0.0.0/8、172.16.0.0/12、192.168.0.0/16,或把网络计算机不需要的服务端口(service port)关掉,同时,也可在网络计算机或路由器(Router)上设定可登录之对象等等…,来防止入侵。然而,现行的网络攻击行为,大多是经由内部发动攻击,实令系统管理者防不胜防,且仅能在问题发生后,加以防治,但往往为时已晚。事实上,网络安全机制的建立是环环相扣的,为有效且实时地避免恶意攻击行为造成网络严重瘫痪,必须能在发现网络异常行为时,透过一些自动的机制,立即加以阻止。一般言,针对使用者使用系统管理者所制定不允许的网络存取与服务,现有许多网络设备(如交换机)及网络安全设备(如防火墙(firewall))等,都提供有可进行网络流量监控及网络存取控管的机制,可惜的是!这些安全监控设备间缺少互动机制,致未能实时串连,无法有效扼止网络被恶意攻击。
目前,网络联机控管技术只能针对违反网络政策的异常封包或联机,在该网络流量通过该网络安全设备时进行阻断,但对于未通过该网络安全设备的流量,并无法查觉或有效阻绝使用者计算机的网络联机,因此,若遭遇持续性或大量的网络攻击行为,或异常的网络存取,网络管理者会一直为了处理该等不允许的网络存取与服务,变得非常忙碌,无暇有效且实时地处理网络被恶意攻击的问题,故,必须透过一网络管理计算机,联机到网络交换器,以手动方式变更设定,中断使用者计算机的网络联机,此一作法,不仅无法达到有效且实时的主动防护功能,且往往使得损失变的非常严重。兹列举一实例,参阅图1所示,传统的网际网络可以包含了一网络管理计算机11、网络侦测设备20、若干不同网络区段A、B、C的网络交换器30、31、40、41及若干服务器50连接至网络侦测设备20及复数台使用者计算机10、12连接至网络交换器31。扼要说明网络系统遭病毒攻击的过程及所使用的应变方法如下(1)一使用者计算机10(其IP地址为192.168.1.2)已感染到一种疾风蠕虫型病毒(WORM_MSBLAST.A),并开始发送出大量的TCPSYN(DST port135)封包,并且在网络上扫描(scan)所有安装Windows操作系统的计算机,以透过Windows操作系统中RPC DCOM Overflow的漏洞,同时对该等计算机传播病毒;(2)当该等TCP SYN(DST port135)封包经过一网络侦测设备20时,若网络管理者已在该网络侦测设备20上完成安全性的设定,将可成功地阻档下该等TCP SYN(DST port135)封包,令其不致散布到网络区段(subnet)B及C,另,若网络管理者已在该网络侦测设备20上激活适当的警告及纪录设定,则网络管理者必需再登入到该网络侦测设备20,查看Log纪录,进而分析出是否有任何使用者计算机发生大量发送TCP SYN(DST port135)封包的异常行为;(3)由于,图1所示的网络交换器30、31均属于同一网络区段A,该网络侦测设备20并无法对同一网络区段中,由该计算机10发出的TCP SYN(DST port135)封包,进行阻挡,故在网络区段A中,与该等网络交换器30、31相联机,且具有同样漏洞的其它使用者计算机12,便均会遭受病毒感染及DDoS攻击;(4)因此,网络管理者必需透过一网络管理计算机11,完成步骤(2)所述的分析警告及纪录的程序,以确认攻击计算机10是透过该网络交换器31连结上网络,再令该网络管理计算机11联机到该网络交换器31,设定阻断该计算机10的网络服务。然而,在完成整个阻断设定所需的冗长时间内,该病毒可能早已扩散至该网络区段A、B及C上的其它计算机。
据上所述可知,传统网络侦测设备间因缺少互动机制,致未能实时串连以有效扼止网络被恶意攻击。故如何将网络侦测设备加以整合,以在发现使用者计算机的异常网络行为时,得实时在源头就中断使用者计算机的网络联机服务,以避免病毒持续肆疟扩散至相同或其它网络区段,进而防止发动DDoS攻击瘫痪网络服务器,即成为网络业者极为重视,且亟待解决的一重要课题。
发明内容
有鉴于前述传统网络联机控管技术,只能针对通过自身的网络流量中违反网络政策的异常封包或联机进行阻断设定,而无法自动且实时地从源头中断该异常网络联机,发明人乃根据多年来从事网络设备及系统开发的技术经验,及所累积的专业知识,针对病毒扩散及瘫痪网站的特性及方式,悉心研究各种解决方案,并经不断研究、实验与改良后,终于开发设计出本发明的一种网络信息安全区域联合侦防系统。
本发明的一目的,是透过一网络侦测设备监控网络联机状态,当该网络侦测设备侦测到网络中任一使用者计算机有违反网络存取服务规则的异常行为时,除了可以立即在自身设备阻断该异常联机,更可以进而自动地联机到提供使用者计算机网络联机的网络交换器,令该网络交换器中断对该使用者计算机提供网络联机,迅速将发起恶意封包或违反网络存取政策的计算机,阻隔在正常网络联机之外,以有效避免病毒或骇客持续肆疟扩散至相同或其它网络区段,进而防止病毒发动DDoS攻击,瘫痪网络服务器,大幅减少了其对网络系统所造成的伤害及损失。
本发明的另一目的,是提供一种网络侦测设备,以临界条件决定是否发出中断网络的指令,网络管理者无需再耗费时间寻找受感染的计算机,且在发现受感染的计算机后,亦无需以手动方式,将受感染计算机的中断网络服务指令,加入与其相联机的网络交换器中,大幅缩减了网络管理所需付出的人力及时间。
本发明的又一目的,是利用SNMP(Simple Network ManagementProtocol)网络管理协议,在该网络侦测设备上新增一功能,定义网络管理者所需激活网络区域联合侦防动作的条件。一旦使用者计算机发出触发该条件的流量时,该网络侦测设备可利用SNMP对网络交换器下达中断网络服务的指令,令网络交换器在收到该中断网络服务指令后,立即完成该中断网络服务指令的设定,以中断该使用者计算机的网络存取服务,并回复一响应封包至该网络侦测设备,确认已成功完成中断该使用者计算机在该网络交换器上的网络存取服务。
本发明一种网络信息安全区域联合侦防系统,其特征在于,该系统是透过一网络侦测设备监控一网络系统的联机状态,当该网络侦测设备侦测到该网络系统中任一使用者计算机触发网络区域联合侦防动作的条件时,该网络侦测设备会立即且自动地联机到指定的网络交换器,令该网络交换器中断对该使用者计算机提供网络存取服务。
其中该网络侦测设备是一防火墙、频宽管理器、入侵侦测系统或流量分析仪。
其中该网络侦测设备上设有一用以定义网络管理者所允许的该网络存取服务规则的机制以及触发网络区域连合侦防动作的条件。
其中还包含该网络侦测设备侦测到该网络系统中任一使用者计算机有违反一网络存取服务规则的异常行为时,该网络侦测设备会立即且自动地联机到指定的网络交换器,令该网络交换器中断对该使用者计算机提供网络存取服务。
其中该网络侦测设备是利用该简易网络管理协议对指定的网络交换器下达一中断网络服务指令,以中断对该使用者计算机所提供网络存取服务。
其中该网络交换器在收到该中断网络服务指令后,将立即完成该中断网络服务指令的设定,始能中断对该使用者计算机所提供的网络存取服务。
为便审查员能对本发明的构造、设计原理及其功效,有更进一步的认识与了解,以下列举若干实施例,并配合附图,详细说明如下,其中图1是传统网络系统的联机架构示意图;图2是本发明的一实施例中网络侦测设备的处理流程示意图;图3是本发明的一实施例中网络系统的联机架构示意图。
具体实施例方式
本发明是一种网络信息安全区域联合侦防系统,该系统是利用一简易网络管理协议(Simple Network Management Protocol,以下简称SNMP),在用以监控网络联机状态的主要网络侦测设备上,如防火墙、频宽管理器、入侵侦测系统或流量分析仪等网络侦测设备上,新增一功能,定义网络管理者所需激活网络区域连合侦防动作的条件,以在使用者计算机发出触发该条件的流量时,该网络侦测设备会立即自动地联机到网络交换器,并利用SNMP对网络交换器下达中断网络服务的指令,令网络交换器在收到该中断网络服务指令后,立即完成对该使用者计算机的网络存取服务的中断设定,以中断该使用者计算机的网络存取服务,有效避免病毒持续肆疟扩散至其它网络区段,并进一步防止病毒发动DDoS攻击,瘫痪网络服务器,令可能对网络系统造成的伤害及损失降至最低,同时,网络交换器将回复一响应封包至该网络侦测设备,确认已成功中断该使用者计算机在该网络交换器上的网络存取服务。
在此需特别注意的是,乃本发明利用SNMP定义网络管理者所允许的网络存取服务规则及对网络交换器下达中断网络服务指令的主要原因,是因SNMP属于一种TCP/IP(Transmission Control Protocol/InternetProtocol)的网络管理协议,已被广泛地使用于现有的各种网络系统中,如防火墙、频宽管理器、入侵侦测系统或流量分析仪等,且所有的网络设备几乎都支持SNMP,故利用SNMP实现本发明,将令本发明的网络信息安全区域联合侦防系统更易于被应用至各种网络系统及设备中,除无需进行硬件的变更设计外,亦不致发生任何兼容性的问题。故,利用SNMP定义网络管理者所允许的网络存取服务规则及对网络交换器下达中断网络服务指令,仅是本发明的一较佳实施例,凡是熟悉网络技术的人士,在知悉本发明的技术理念后,以其它网络管理协议替代SNMP,根据本发明揭露的内容,所为的其它等效变化,应均属本发明在此所欲主张及保护的范畴。
再者,造成本发明中终端使用者(end user),例如上述使用者计算机发出异常行为的原因,泛指任何使用者未察觉、未允许的利用使用者计算机、威胁、瘫痪网络通讯正常运作的攻击原因,例如各式各样的骇客或病毒,但本发明精神不限于此。此外,攻击与威胁的型态亦可以为各式各样,例如冲区溢位(Buffer Overflow)攻击、通讯端口扫瞄(PortScan)攻击、木马程序(Trojan Horse)攻击、碎片封包(IP Fragmentation)攻击、蠕虫(Worm)攻击、系统与应用程序漏洞(System & AppLIcationVulnerabilities)攻击,而不限于上述的DDoS攻击方式。
本发明在实现该系统时,在网络系统的一网络侦测设备上,新增一功能,定义网络管理者所需激活网络区域联合侦防动作的条件,并令该网络侦测设备可依下列处理程序,参阅图2所示,侦测出违反该网络存取服务规则或触发网络区域联合侦防动作条件的使用者计算机,并中断对其提供的网络存取服务(50)侦测流经该网络侦测设备的封包资料;(51)分析所侦测到的封包资料,判断是否任一使用者计算机有触发网络区域联合侦防动作的条件,例如到达一预设临界条件,其可以是封包数量、使用频宽等,但不限于此;若是,继续下列步骤;否则,返回步骤(50);(52)读取触发网络区域联合侦防动作或违反该网络存取服务规则的使用者计算机的IP地址;(53)利用SNMP对网络交换器下达中断网络服务的指令,令网络交换器在收到该中断网络服务指令后,立即完成对该使用者计算机的网络存取服务的中断设定,中断该网络交换器对该使用者计算机所提供的网络存取服务,有效避免病毒持续肆疟扩散至其它网络区段。
为更能清楚表达本发明的设计理念及所达成的功效,特列举一实施例,参阅图3所示,并扼要说明其网络系统遭病毒感染后,本发明的网络信息安全区域联合侦防系统所采用的处理方法如下(1)在一网络系统中,一IP地址为192.168.1.2的使用者计算机60已感染到一种疾风蠕虫型病毒(WORM_MSBLAST.A),并开始发送出大量的TCP SYN(DST port135)封包,且在网络上扫描(scan)安装有Windows操作系统的其它计算机后,再透过其上Windows操作系统中RPC DCOM Overflow的漏洞,对该等计算机进行病毒散播及DDoS攻击;(2)当该等TCP SYN(DST port135)封包流经一网络侦测设备70时,若网络管理者已在该网络侦测设备70上,新增了一定义需激活网络区域联合侦防动作的条件,如防止IDS攻击、Http/Ftp地址或流量限制、使用者网络联机数量限制、等网络存取服务规则,且已完成设定,则该网络侦测设备70将持续监看网络封包流量,进而分析出是否有使用者计算机进行大量TCP SYN(DST port135)封包的异常发送行为;(3)当该网络侦测设备70发现有大量TCP SYN(DST port135)封包的异常发送行为时,即读取违反该网络存取服务规则的使用者计算机60的IP地址,再透过SNMP自动联机到与该网络侦测设备70相联机的网络交换器80或网管者定义或指定的其它交换机,并根据该使用者计算机60的IP地址,将一中断网络服务指令(如deny(192.168.1.2)any TCP 137)设定到该网络交换器80中或网管者定义的其它交换机;(4)该网络交换器80接收到该中断网络服务指令,即完成该指令的设定,中断该使用者计算机60在该网络交换器80上的网络存取服务,在最短的时间内,完成对IP地址为192.168.1.2的使用者计算机60的封锁,阻断其所产生的网络封包进入整个网络,有效率地阻止病毒扩散同一网络区段的其它使用者计算机(图上未示)、同一区段其它交换设备上的使用者计算机或其它网络区段的使用者计算机(图上未示)。
在前述实施例中,若该网络侦测设备70的IP地址为192.168.1.1,该网络交换器80的IP地址为192.168.1.250,当该网络侦测设备70发现该使用者计算机60大量发送TCP SYN(DST port135)的异常封包时,即根据该使用者计算机60的IP地址,透过SNMP,发送出内含下列内容的要求封包(Set request),告知该网络交换器80,对IP地址为192.168.1.2的该使用者计算机60,中断其网络的存取服务IPSource address=[192.168.1.1]IPDestination address=[192.168.1.250]SNMPCommand=Set requestSNMPObject={1.3.6.1.4.1.171.12.9.2.2.1.4.2.1}
SNMPValue=[192.168.1.2]-,其中该网络交换器80是以D-Link公司生产的交换器为例,加以说明,其MIB对象171.12.9.2.2.1.4.2.1为该设备接受存取控制(ACL)变量(这个MIB参数会因交换机机种及不同厂牌差异而有差异)系统编号为9.2.2.1.4.2.1,该网络侦测设备70是透过SNMP,将中断IP地址为192.168.1.2的该使用者计算机60的网络存取服务的指令,下达到D-Link公司生产的交换器中的MIB地址里。
俟该网络交换器80接收到该中断网络服务指令,并完成设定后,该网络交换器80将回复一包含下列内容的响应封包(Get response)予该网络侦测设备70,告知该网络侦测设备70,IP地址为192.168.1.2的该使用者计算机60已在该网络交换器80中被成功地阻断了网络存取的服务IPSource address=[192.168.1.250]IPDestination address=[192.168.1.1]SNMPCommand=Get responseSNMPObject={1.3.6.1.4.1.171.12.9.2.2.1.4.2.1}SNMPValue=[192.168.1.2]据上所述,本发明可令网络系统中的一网络侦测设备自动对网络封包进行侦测,并在侦测到一使用者计算机发出触发网络区域联合侦防动作的流量时,自动将一中断网络服务指令设定到指定的网络交换器,立即中断该使用者计算机的网络联机,迅速将其阻隔在正常网络联机之外,以大幅减少该等异常行为对网络系统造成的伤害及损失,进而有效增加网络的使用效能。如此,对网络管理者而言,即无需耗费时间寻找受感染的计算机,且在发现受感染的计算机后,亦无需以手动方式,将受感染计算机的中断网络服务指令,加入与其相联机的网络交换器中,可以在网络最边缘端(edge),也就是最接近感染的联机源头中断网络服务,大幅缩减了在网络管理上所需付出的人力及时间。
以上所述,仅是本发明的较佳实施例,惟,本发明所主张的权利范围,并不局限于此,凡是熟悉该项技术的人士,依据本发明所揭露的技术内容,可轻易思及的等效变化,均应属本发明的保护范畴。
权利要求
1.一种网络信息安全区域联合侦防系统,其特征在于,该系统是透过一网络侦测设备监控一网络系统的联机状态,当该网络侦测设备侦测到该网络系统中任一使用者计算机触发网络区域联合侦防动作的条件时,该网络侦测设备会立即且自动地联机到指定的网络交换器,令该网络交换器中断对该使用者计算机提供网络存取服务。
2.如权利要求1所述的网络信息安全区域联合侦防系统,其特征在于,其中该网络侦测设备是一防火墙、频宽管理器、入侵侦测系统或流量分析仪。
3.如权利要求2所述的网络信息安全区域联合侦防系统,其特征在于,其中该网络侦测设备上设有一用以定义网络管理者所允许的该网络存取服务规则的机制以及触发网络区域连合侦防动作的条件。
4.如权利要求1所述的网络信息安全区域联合侦防系统,其特征在于,其中还包含该网络侦测设备侦测到该网络系统中任一使用者计算机有违反一网络存取服务规则的异常行为时,该网络侦测设备会立即且自动地联机到指定的网络交换器,令该网络交换器中断对该使用者计算机提供网络存取服务。
5.如权利要求1所述的网络信息安全区域联合侦防系统,其特征在于,其中该网络侦测设备是利用该简易网络管理协议对指定的网络交换器下达一中断网络服务指令,以中断对该使用者计算机所提供网络存取服务。
6.如权利要求5所述的网络信息安全区域联合侦防系统,其特征在于,其中该网络交换器在收到该中断网络服务指令后,将立即完成该中断网络服务指令的设定,始能中断对该使用者计算机所提供的网络存取服务。
全文摘要
一种网络信息安全区域联合侦防系统,是透过一网络侦测设备(如防火墙、频宽管理器、入侵侦测系统或流量分析仪等),监控网络系统的联机状态,当该网络侦测设备侦测到网络中任一使用者计算机有违反网络政策的异常行为时,会立即自动联机到提供计算机网络联机的网络交换器,令网络交换器中断该使用者计算机的网络联机服务,以有效避免造成该异常行为的病毒持续肆疟扩散至其它网络区段,并进一步防止病毒发动分布式阻断服务攻击,瘫痪网络服务器,令可能对网络系统造成的伤害及损失降至最低。
文档编号H04L12/24GK1889458SQ20051008147
公开日2007年1月3日 申请日期2005年6月29日 优先权日2005年6月29日
发明者吴维铭, 叶俊育, 邵泽恩, 柯弼富 申请人:友讯科技股份有限公司