专利名称:用于监控通信网络中的恶意流量的方法和装置的制作方法
技术领域:
本发明涉及用于监控通信网络中的流量以检测恶意流量的方法和装置,并且特别涉及(但不限于)检测路由IP网络中的恶意流量。
背景技术:
通信网络及相关服务的建设者和供应商所面临的一个问题是提供网络安全性,其能够在预定的接收方感受到恶意流量的影响之前有效地检测并隔离网络中的恶意流量。恶意流量的形式可以是对服务供应商的网络设备的攻击或者对外部节点的攻击,但其经过服务供应商的网络。服务供应商需要检测并消除这种流量,以保护他们的路由器和与他们的网络相连的节点,其通常属于他们的用户。由于存在许多各种不同的恶意流量并且在路由器只有有限资源可用于监控流量这一事实,存在检测这些攻击的困难。另一个困难是攻击的类型是不断变化的,并且通常无法通过简单的过滤器来隔离。
目前,存在两种主要的提供网络安全性的手段,其重点在于对一般攻击检测的监控(1)使用例如图1所示的专用联机(in-line)设备,以及(2)使用现有路由器的监控能力来生成统计,该统计由节点外的工具来解释,如图2所示。
参考图1,通信网络1包括核心路由网络3和其他通信网络的边缘路由器5,每个边缘路由器都通过联机安全设备7连接到核心路由网络3。联机安全设备监控边缘路由器5与核心网络3之间所传送的流量,以发现恶意流量。如果检测到恶意流量,则该联机安全设备就会尝试隔离该流量以防止它从一个网络移至另一个网络。
用于攻击检测的专用网络设备在企业局域网(LAN)中很普遍。联机入侵检测系统的例子包括Checkpoint Software Technologies和Juniper NetworksNetScreen Appliance Line的产品。然而这些设备在大型网络即服务供应商广域网(WAN)中很少采用。广域网中接口的数量和速度导致每比特的成本相测较高,并且联机设备不能经济地解决问题。
在图2的例子中,通过路由器9的数据流被采样,并且数据被收集到流表11中。指定的分组信息从该流表中被选出并被输出给称为“收集器”的外部服务器13以进行解释。所解释的结果通常被传送给一个或多个应用服务器15以进一步使用,诸如由操作者来监控。Arbor Networks提供了收集器和附带的操作支持系统(OSS)软件包,其针对恶意流量而分析在网络节点所收集的数据。还有其他的脱机软件工具,其也分析流量的流记录,例如它提供用户选择的聚集组的可视化的“Ntop”,以及自动从所观察统计中提取“重要事件”的“AutoFocus”。
在使用网络节点处采样的输出流数据的系统中,从节点的采样器至流表的输入数据流是通过配置路由器处的流统计收集系统来被确定的,其由网络操作者手动提供。用于创建要输出的流统计的分组信息(即报头字段)也是在提供该数据收集系统时被确定的。所收集统计的粒度在监控过程中是不变的,它既是指要提取什么流信息,也是指以什么采样率来检查分组。
这种方法的缺点是为了检测恶意威胁,必须收集大量的数据并向外部收集器输出该数据用于分析。这要求在路由器处使用大量的内存以及处理周期以监控、收集并输出需要的数据量,从而实现对恶意流量的检测。这种技术还消耗了网络资源,并且特别是在要求路由器将大量流数据输出给外部服务器时消耗了可用带宽。而且,这种解决方案通常要求在整个网络中采用许多收集器,以处理由路由器产生的大量流数据。
发明内容
根据本发明,提供了一种监控通信网络中的数据流量的方法,该方法包括在连接到该通信网络的路由器接收数据流量;提取接收的数据流量中包含的信息;以及基于该信息,在所述路由器确定该流量中的数据是否指示了对连接到该通信网络的一个或多个的资源存在恶意威胁。
在这个安排中,路由器能够采样流量并根据采样的流量确定该流量中的数据(例如数据分组)是否指示了恶意威胁。有利地,这消除了在检测到恶意威胁之前将数据从路由器传送到诸如收集器的外部设备这一需要。
在一些实施例中,该方法包括利用第一标准执行所述监控,并且如果所述确定步骤确定流量中的数据指示了恶意威胁,则按照不同于所述第一标准的第二标准来执行该监控。所述第一和第二标准可以包括第一和第二比率,其中所接收的数据流量以该比率被采样以产生信息,所述第二采样率高于所述第一采样率。因此,在一种实现中,所述路由器被配置用于以相对低的采样率采样数据流量,假定网络处于稳定状态条件并且该网络没有遭受到恶意威胁。可以通过将从被采样流量中获得的信息与门限进行比较,来监控关于是否存在恶意威胁的指示,如果超过所述门限,则指示存在恶意威胁。有利地,使所述路由器能够以相对低的采样率操作降低了对路由器资源的需求,诸如用于安全监控的存储空间和处理周期,以便监控级别匹配于大部分时间处于稳定状态的网络条件所需要的级别。这还有助于减少要从路由器输出的数据量。(在其他实施例中,采样率对于所述第一和第二标准的采样率可能是相同的,或者该第二标准的采样率可以低于该第一标准的采样率。)这种安排与现有技术的网络安全系统有显著的区别,为了有效地检测恶意流量,必须在假设网络一直受到恶意攻击的情况下配置现有技术系统,并且路由器处的数据采样率因而被设为恒定的、最大的值,以尽可能多地收集数据。
在一些实施例中,当所述路由器检测到关于存在恶意威胁的指示时,例如当超过预定门限,所述路由器被配置用于从它的以第一比率采样数据的初始监控状态,转换到以更高比率采样数据的第二监控状态。这使得当由于超过第一门限而怀疑有恶意攻击时,可以收集更多的数据。
在一些实施例中,该方法还包括按照所述第二标准执行所述监控;以及根据按照第二标准进行监控所获得的信息,确定所接收流量中的数据是否指示了恶意威胁。可以通过将来自所接收数据流量的信息与第二门限相比较来进行确定。该第二门限被设定为超过该门限就意味着检测到恶意威胁。
在一些实施例中,该方法还包括如果根据按照所述第二标准所监控的信息确定该数据指示了恶意威胁,则按照不同于所述第一和第二标准的第三标准来监控所接收的数据。因此,例如在这个实施例中,如果检测到出现恶意威胁,例如在按照所述第二标准监控数据时超过第二门限,则所述路由器被配置为转换到第三监控状态,在该第三监控状态可以以更高的采样率来监控数据,从而收集关于该恶意威胁的更多信息,这在接下来可以被用于阻止该恶意流量。
因此,在一些实施例中,所述路由器能够将其网络安全监控适配于网络条件,以便采取合适的监控级别。在正常的网络条件下可以使用相对低的监控级别。当怀疑出现恶意威胁时,可以使用较高的监控级别,并且如果在该监控级别检测到恶意攻击,则可以使用更高的监控级别以收集关于特定类型攻击的更多信息。这样,只需要根据网络条件的需要来使用的路由器资源。
在一些实施例中,该方法还包括识别与所述流量中指示恶意威胁的数据相关联的参数;以及基于所述参数来控制对流量中的数据的选择以进行监控。在一些实施例中,控制选择可以包括使要监控的数据的选择偏向于与该参数相关联的数据。
在一些实施例中,该参数可以指示通信网络的特定部分,例如子网,并且所述监控可以被控制以便其更加集中于检测去往该网络的这个部分的或者传送自这个部分的流量。在一些实施例中,可以通过一个或多个流量过滤器来实现这个选择过程。
所述参数可以指示特定类型的威胁,并且所述监控可以被控制以便其更集中于检测一种特定形式的威胁而不是其他威胁。这可以通过对路由器处接收的数据流量进行过滤来实现。例如,可以在采样数据流时应用过滤,或者在采样之后对收集的数据应用过滤,或者二者的结合。在一些实施例中,可以通过采用一个或多个聚集方案来执行该过滤。
在一些实施例中,第一监控标准可以包括针对多个不同的恶意威胁监控数据流量。与每个威胁相关的数据可以与各自的门限进行比较,如果超过该门限则指示存在威胁,但这只能提出对存在特定威胁的怀凝,而不是确定它的存在。在检测这种指示时,所述路由器可以基于来自指示该特定威胁的数据流的信息来配置它的监控。在这种情况下,对其他类型威胁的监控可能减少或停止,并且对所选威胁的监控增加。有利地,将对要监控的数据的选择转换到或偏向到与所怀疑的威胁相关联的数据,能够增强对特定威胁的监控,而无须使用更多的路由器资源,诸如存储空间和处理周期。
还根据本发明,提供了一种网络单元用于接收并路由通信网络中的数据流量,该网络单元包括接口,用于从通信网络接收流量;监控器,用于监控所接收数据流量中包含的信息;以及模块,用于根据所监控的信息确定所述流量中的数据是否指示对连接到该通信网络的一个或多个资源存在恶意威胁。
根据本发明,还提供了一种网络单元用于接收并路由通信网络中的数据流量,该网络单元包括接口,用于从通信网络接收数据流量;监控器,用于监控所述数据流量,其中,该监控器可以按照多个不同的标准监控数据流量,并且响应于检测器检测到该流量中的数据指示对连接到该通信网络的一个或多个资源存在恶意威胁,将监控从当前的监控标准转换到另一个监控标准。
所述网络单元的实施例可以包括任何合适的路由模块或路由装置,用于控制对接收的数据流量的路由。
所述网络单元的实施例可以包括上面描述或这里公开的任何一个或多个特征。
现在参考附图描述本发明实施例的例子,其中图1是使用联机安全设备的现有技术安全方案的示意图;图2是另一现有技术安全监控方案的示意图,其中在路由器采样的数据被传送到外部收集器以进行解释和分析;图3是根据本发明实施例的路由器的框图;图4示出了用在本发明实施例中的门限定义表的例子;图5示出了用在本发明实施例中的监控标准表的例子;图6是根据本发明另一实施例的路由器的示意图;图7示出了根据本发明实施例的状态机的例子;图8是根据本发明实施例的通信流量监控系统的框图;图9是根据本发明另一实施例的通信流量监控系统的框图。
具体实施例方式
参见图3,根据本发明实施例的路由器101包括第一和第二接口103、105,用于接收和发送来自和去往通信网络的数据流量;以及监控器107,用于监控从该网络接收的数据流量。监控器107包括连接到每个接口103、105的采样器109,用于采样从该网络接收的数据;数据收集器111,例如流表,用于收集来自采样器109的数据;以及数据分析器113,用于分析来自该数据收集器的数据。在该实施例中,所述数据分析器包括门限检测器115,用于检测从该数据收集器获得的信息是否超过一个或多个预定门限;以及编译器117,用于编译信息以从所述路由器输出。所述路由器还包括控制器119,用于控制监控器107的操作。在该实施例中,也称作管理器或流监控状态管理器(FMSM)的控制器119,适于控制采样器109、数据收集器111、门限检测器115和编译器117。在其他实施例中,控制器119适于控制所述监控器的任一个或多个单元,或者其任何其他的功能或部件。
由控制器119控制的监控器107的仪表参数可以包括以下参数中的任一个或多个(1)流量过滤器;(2)采样率;(3)聚集方案;(4)流表管理;以及(5)流数据解释和输出。
流量过滤器是用于选择要监控的接口上的部分用户流量的过滤器。例如,流量过滤器可以被用于选择仅监控通信网络的指定部分,例如指定的IP子网。
采样率通常是所采样的被接收分组的百分比。采样率可以是流量过滤器指定的,在这种情况下,该采样率是在给定的流量过滤器中的分组的百分比,这些分组由仪表或监控器检查以生成流统计。
聚集方案是选择用于区分各个流的分组报头(或主体)字段,以及选择要忽略的字段,也就是流定义中所不包括的那些字段,因此它们是隐含聚集的。
流表管理是指这样的能力当关联的流定义改变时,从该流表中冲掉当前被监控的数据流以创建用于记录产生自新定义的新数据流的空间。
流数据解释和输出是指对所收集的流统计所进行的操作的控制。例如,它们可以被输出到外部设备,诸如收集器,该外部设备用于生成概要统计,和/或用于评估是否已经超过特定门限,这种超过指示了潜在的恶意行为。
在操作中,采样器109被配置用于检测来自所接收数据分组的信息,并且将该信息传送到数据收集器111。这个信息可以包括数据分组的报头或主体中包含的信息,诸如源和/或目的地址。确定采样器操作的参数以及特别是为传送到数据收集器所选择的信息和/或采样率,是由控制器119控制的。可用于控制从去往数据收集器的流量中选择信息的采样器参数,可以包括流量过滤器和/或聚集方案,或者任何其他合适的参数。
所述控制器适于控制将什么信息存储在数据收集器中,以及将什么数据从数据收集器中删除。例如,所述控制器可以删除与正监控的特定威胁或攻击不相关的信息,以创建用于每储与该攻击相关的信息的空间。这样,该控制器就可以有效地使用嵌入式存储器。
所述控制器还可以控制所述编译器,该编译器编译来自数据收集器的信息以从路由器输出。所述控制器可以控制输出什么信息和/或输出的定时。这样,所述控制器可以将输出的数据限制为与特定监控任务相关的数据,诸如监控特定类型的攻击。所述编译器可以被控制以生成仅与被监控的特定攻击相关的信息的概要,由此有可能减少输出数据从而减小网络的负担。
所述控制器还可以控制门限检测器,以响应于网络状态而改变门限标准,如下面详细描述的那样。
通常,控制器119适于基于它监控的用户流量的当前状态来调整仪表参数。
在一个实施例中,所述控制器具有多个不同的状态,每个都定义了一种特定的监控标准。该不同的状态可以包括“正常”状态,其反映了不怀疑存在攻击这一情况。在正常状态下,控制器119指示所述监控器(特别是采样器109)对所有用户流量实施较低的采样率。在这种模式下,所述控制器还指示该监控器频繁地比较所生成的流统计与特定门限,以评估是否出现了攻击。可以这样定义门限,即特定的门限指示了特定类型的攻击和/或对网络特定部分的攻击。
如果门限检测器115检测到超过(或达到)特定门限这一条件,则这指示了可能存在特定类型的攻击。控制器119通过改变其状态而对这个条件作出反应,以反映已检测到的特定攻击。例如,这可以是检测到针对特定子网的拒绝服务(DoS)攻击。控制器状态的改变使得仪表(或监控器)参数被改变,以便促进对攻击特性的隔离。这可能包括仅对于包含所怀疑的攻击的流量部分实施更精细的流粒度和/或更高的采样率。所述控制器可以转换成的潜在状态的数目是由系统能检测的攻击数目来确定的。
另外,可以根据不同级别来对不同的状态分组。第一级别可以包括一个或多个不怀疑存在攻击的监控状态,第二级别可以包括一个或多个怀疑存在攻击的监控状态,并且第三级别可以包括一个或多个检测到攻击的监控状态。如上所述,不怀疑存在攻击的级别可以包括正常状态。如果特定攻击的初始门限已被超出并且怀疑存在攻击,则第二级别中的状态每个都可以包括不同的流量过滤器,其每个都实现了对通信网络的特定部分的监控。第二级别中的每个状态都可以包括特定的采样率,并且该采样率可以大于(或等于)“正常”状态的采样率。第二级别的每个状态都可以包括关联的聚集方案,该聚集方案根据分组报头(或主体)信息来选择那些数据流要被忽略,这反过来使得所述采样器能够将其采样更好地限制为指示了所怀疑的攻击的那些数据流。第二级别中的每个状态都可以具有关联的门限,如果超过该门限则指示实际发生攻击这一情形。由所述控制器来选择或采用的监控器的特定的第二级别状态,可能取决于超出第一级别(或正常状态)的哪个门限。这样,所超出的前一级别的门限控制该监控器对与攻击相关联的流量中的数据进行“放大”。
指示已检测到攻击的第三级别也可以包括若干不同的状态,所述控制器可以从第二级别的状态转换到这些状态。由所述控制器假定的第三级别的特定状态可以通过已经超出的第二级别的特定门限来被管理。再次,第三级别的每个状态可以包括一个或多个流量过滤器,以允许只监控其中检测到受怀疑的攻击的通信网络的指定部分;采样率,其可以大于(或等于)第二级别的关联状态的采样率;以及聚集方案,其可以进一步增加不同类型分组报头(主体)字段的数目,为进行监控而忽略这些字段。这使得所述监控器能够将其采样集中于来自其分组报头(或主体)信息与检测到的攻击相关的数据分组的信息,以允许收集更多关于实际攻击的信息以进行分析,而不必使用更多的处理周期或存储空间。第三级别可以包括上述状态中的任一个或多个和/或任何其他状态。
在图3的实施例中,门限检测器115所使用的不同门限级别可以被本地存储在路由器中。不同的门限可以与不同的恶意威胁相关联,并可以根据控制器操作的级别而被分组,如上所述,第一级是低级别或正常监控级别,第二级是怀疑存在恶意攻击的级别,并且第三级是已检测到恶意攻击的操作级别。各种不同的门限可以被存储在门限定义表中,如图4所示。参见图4,最左边的列指示了威胁(或攻击)类型(威胁1、威胁2、威胁3等等)。第二列包括对于第一级别的每个不同威胁的门限值,即当所述监控器处于最低或者正常监控状态时。第三列包括对于第二级状态的每个威胁的门限值,即在由于超出第一级门限而怀疑存在特定威胁的情况下。每个第二级门限被设定为如果它被超过,则指示特定威胁出现并已经被检测到。如果第二级门限被超出,则所述监控器转换到第三级别以更严密地监控流量,这些流量代表特定的威胁或攻击或者与其关联。门限定义表包括可选的第三级门限值的第三列。这些门限中的每一个都与特定的威胁相关联,并且可以被用于确定攻击的严重性或任何其他与之关联的参数,这可以解析出关于该攻击的附加信息。
如前面提到的,可以配置每个不同的门限,以便在它被超出时代表特定类型的恶意攻击或威胁。响应于门限被超出,所述控制器为所述监控器选择新的状态,其中每个状态包括控制监控器如何操作的参数。每个级别的每个状态都代表了监控标准,并且这些状态可以被本地存储在路由器中,用于由控制器使用以在门限级别被超出时重新配置该监控器。图5中示出了可由控制器使用的监控标准表的例子。参考图5,左边的列包括针对所述监控器被配置为要检测的每个类型的威胁或攻击的第一级门限值。第二列包括与每个门限级别及其相关威胁(如第一列中指示的)相对应的监控标准(MC1T1、MC1T2、MC1T3等等),其中如果各自的第一级门限被超出则所述控制器使用该监控标准来配置所述监控器。因此,当怀疑存在特定的攻击时,第二列中的监控标准被用于第二级监控。第三列包括针对每个威胁的第二级门限值。第四列包括与每个第二级门限和相关威胁相对应的监控标准(MC2T1、MC2T2、MC2T3等等),其定义了在超出各自的第二级门限时的监控器的状态,并且被所述控制器使用以在已检测到恶意攻击时配置所述监控器。所述监控标准可以包括针对一个或多个仪表参数的值,该参数可以包括流量过滤器、采样率以及聚集方案和/或其他参数中的任一个或多个。
所述监控器适于检测任意数目的不同类型的恶意威胁或攻击,其可能包括病毒、端口扫描和服务拒绝攻击以及其他。存在病毒表现为针对少量端口的流量的显著增加。端口扫描表现为对于每个源地址的大量目的端口。服务拒绝攻击表现为针对特定目的地址或子网的不同流的异常增加。
下面参考图6和7描述监控器检测不同恶意威胁的操作的例子,其说明了监控器的不同状态和单独的转换标准,以及与每个状态相关联的关联动作集合。图6是监控系统的实施例的示意图,它与图3所示的相似,并且相同的部分用同样的附图标记来表示。图6还包括标签,其对应于图7中的标签。图7示出了用于监控器控制器(或管理器)的状态机的例子。下面的例子代表了可编程状态机响应于经过网络的DoS攻击的一系列转换和动作。
(1)所述监控器控制器处于正常状态,不怀疑存在攻击,并且以恒定的低采样率来监控所有用户流量。
(2)对照针对“怀疑有病毒传播”状态的门限标准来测试流数据。这可以通过与对于该流量所期望的端口数目相比较、监控总流量以及观测期间不同目的端口的数目来被监控。针对少数端口的流量的显著增加可能指示有病毒在传播。在进行这个确定的过程中所用的数据是从流表获得的(由箭头A指示),并且与门限标准相比较。在这个例子中,测试没有被超出,并且所述监控器控制器状态停留在正常状态。
(3)对照针对“怀疑有端口扫描”状态的门限标准来测试流数据。这可以通过与预期数目相比较、监控每个源地址的不同目的端口数来被监控。目的端口的数目较大可能指示正进行端口扫描。在进行这个确定的过程中所用的数据是从流表获得的(用箭头B指示),并且与门限标准相比较。在这个例子中,测试没有被超出,并且所述监控器控制器状态停留在正常状态。
(4)对照针对“怀疑有DoS攻击”状态的门限标准来测试流数据。这可以例如通过与预期流数目相比较、在观测期间监控目的地址子网内的不同流的数目来被监控。在针对特定目的地址或子网的不同流的显著增加,可能指示DoS攻击正在进行。在进行这个确定的过程中所用的数据是从流表获得的(用箭头C指示),并且与门限标准相比较。在这个例子中,门限测试被超出,并且所述监控器控制器状态转换至怀疑有DoS攻击的状态。
(5)所述监控器控制器更改监控器以提高其采样率,但利用仅对来自可能受攻击的目的子网内的分细进行采样的过滤器。流粒度也被更改以不聚集这个流数据,以便能够确定该攻击的全部特征。
(6)对照针对检测到DoS攻击的状态的门限标准来测试在更改的仪表参数下所观测的新的流数据,其与怀疑有DoS攻击的测试相似,但是门限被调整以反映新的监控参数。在这个例子中,门限测试被超出,并且所述监控器控制器的状态转换到“检测到DoS攻击”。
(7)所述监控器控制器向应用服务器发出关于已经检测到DoS攻击的通知。用于进行这个确定的信息被输出给所述服务器,并且可以包括流数据和/或监控参数。
(8)所述监控器控制器更改所述监控器以进一步隔离该攻击,有效地“放大”恶意流量以提供更多的信息,并且优选地提供尽可能多的信息,以便采取适当的动作来减轻该攻击。
由于监控器资源使用仅被调整为在已识别特定的怀疑攻击时隔离恶意流量,该系统可以容易地扩展为包括更多数目的状态,并且因此包括比该例子中示出的更多的、可被检测的攻击。
在一些实施例中,在隔离攻击的本质和来源时在递归的步骤上所采取的控制完全包含于路由器的控制平面中,并且这可能是最优的配置。在其他实施例中,在递归的步骤上的控制可以至少部分地或整个地在外部设备中被实现,诸如外部应用服务器或其他设备。如果是从所述路由器外部提供这种控制,则仍然可以通过现有技术解决方案来实现实质上的优点。在一些实施例中,所述路由器向外部设备输出流数据,而无需解释。输出的数据由该外部设备来解释,然后如果必要的话,该外部设备生成控制消息并发送该控制消息给所述路由器以更改监控参数。在其他实施例中,所述路由器适于提供对收集的流数据的部分或全部的解释,并将结果输出给外部设备。作为响应,该外部设备可以完成分析,并且如果必要,向所述路由器发送合适的控制消息以更新它的监控参数。即使由外部设备来生成所述控制消息,在大多数情况下,对用于监控流量的流规范的动态更新也显著地减少了对路由器和网络资源的使用,这是因为对照现有技术系统,操作者不必提供对“最坏情况”的监控,其中采样率被设定为恒定的最大值以获得尽可能多的信息。
图8和9示出了在路由器和外部设备之间分布监控系统的功能的实施例。在图8的实施例中,路由器201包括通信接口203、205,用于连接到通信网络;采样器209,用于采样来自所述网络的数据;和数据收集器211,用于收集并存储由所述采样器发送的数据。系统200还包括外部设备214,它通过通信网络216连接到该路由器,并且包括监控器218和控制器220。所述监控器包括数据分析器222和门限检测器224。在该实施例中,所述外部设备的监控器和控制器具有与图3实施例的监控器和控制器相同或相似的功能。所述路由器向该外部设备传送为监控恶意攻击的存在而收集的流数据,用于进行分析。如果所述门限检测器检测到已经超出门限,则在需要的情况下,控制器220通过向所述路由器发送合适的控制消息以更改采样参数而作出响应。这可以包括更改以下内容中的任一个或多个流量过滤器、采样率和聚集方案,或者可改变的采样器的任何其他参数。可以通过外部设备214与检测到的网络状态相对应地来控制采样状态,以便有力地控制所述采样器采样相关数据,例如关于特定的受怀疑的或检测到的威胁的数据,由此减少了当网络处于“正常”、静止状态时采样的数据量以及发送给所述外部设备的数据量。
图9示出了监控系统的另一个实施例,它与图8所示的相以,并且相同的部分用同样的附图标记来表示。图8和图9的实施例之间的主要区别在于,在图9的实施例中,监控器207驻留于路由器201中,并且监控器控制器220驻留于外部设备214中。在该实施例中,在路由器监控从所述采样器获得并在所述数据收集器中收集的流数据。所述监控器包括门限检测器224用于监控是否超出特定门限,并且如果超出,则向外部设备214非现场地(off-site)传送指示这一事实的消息。作为回应,在需要的情况下,所述控制器向路由器201发送控制消息以使得采样器209能够调整采样参数。再次,这些可以包括流量过滤器、采样速率和聚集方案中的任一个或多个。在适用的情况下,该控制消息(或来自所述控制器的另一消息)还包括用于配置门限检测器以使用不同门限标准的信息。
在该实施例中,所述监控器还包括编译器217,用于编译来自流统计的信息以从所述路由器输出。该编译器适于选择要输出的信息,这些信息仅仅或主要与由所述监控器确定的特定的受怀疑的或检测到的攻击有关。这样,与现有技术监控系统相比,由所述路由器输出的信息量显著地减少了,由此降低了网络资源的负载。
尽管这里参考图6和7所描述的实施例具有三个状态级别,即“正常”、“怀疑存在攻击”和“检测到攻击”,然而其他实施例可以具有更少的级别或比三个更多的级别。
本发明的其他方面和实施例包括在此公开的任一个或多个特征,它们的等价物或变型,其对于本领域的技术人员是显而易见的。
对上述实施例的许多修改和改变对于本领域的技术人员是显而易见的。
权利要求
1.一种监控通信网络中的数据流量的方法,该方法包括在连接到所述通信网络的路由器接收数据流量,在所述路由器监控所接收的数据流量中包含的信息,以及基于所述信息,在所述路由器确定所述流量中的数据是否指示了对连接到所述通信网络的一个或多个的资源存在恶意威胁。
2.根据权利要求1的方法,其中,所述确定步骤包括将来自所接收的数据流量的信息与指示所述通信网络中存在恶意威胁的预定信息相比较。
3.根据权利要求1的方法,该方法包括利用第一标准执行所述监控,以及如果所述确定步骤确定所述流量中的数据指示了恶意威胁,则按照不同于所述第一标准的第二标准来执行所述监控。
4.根据权利要求3的方法,其中,所述第一和第二标准包括第一和第二比率,其中所接收的数据流量以所述比率被采样以产生所述信息,并且所述第二采样率是以下比率之一大于、等于或小于所述第一采样率。
5.根据权利要求3的方法,该方法还包括按照所述第二标准来执行所述监控,并且根据按照所述第二标准进行监控所获得的信息来确定所接收流量中的数据是否指示了恶意威胁。
6.根据权利要求5的方法,该方法包括如果根据按照所述第二标准进行监控所获得的信息而确定所述数据指示了恶意威胁,则按照不同于所述第一和第二标准的第三标准来监控所接收的数据。
7.根据权利要求6的方法,其中,所述第二和第三标准包括采样所接收的数据的第二和第三比率,其中,所述第三采样率是以下比率之一大于、等于或小于所述第二采样率。
8.根据权利要求1-7中任一个的方法,该方法还包括识别与所述流量中指示了恶意威胁的数据相关联的参数;以及基于所述参数,控制对所述流量中的数据的选择以进行监控。
9.根据权利要求8的方法,其中,所述控制包括使得对要监控的数据的选择偏向于与所述参数相关联的数据。
10.根据权利要求1-7中任一个的方法,该方法还包括响应于对所接收的数据指示了恶意威胁的确定,从所述路由器发送通过所述监控而收集的信息。
11.根据权利要求1-7中任一个的方法,该方法还包括选择与数据相关的信息,其中通过所述确定步骤来确定所述数据指示了恶意威胁,并且从所述路由器发送所述数据。
12.一种用于接收并路由通信网络中的流量的网络单元,其包括接口,用于从通信网络接收流量;监控器,用于监控所接收的数据流量中包含的信息;以及模块,用于根据所述监控信息来确定所述流量中的数据是否指示了对连接到所述通信网络的一个或多个资源存在恶意威胁。
13.根据权利要求12的网络单元,其中,所述模块包括比较器,用于将基于所监控的信息的信息与指示了在所述通信网络中存在恶意威胁的预定信息相比较。
14.根据权利要求12或13的网络单元,其中,所述监控器用于按照多个不同的标准来监控数据流量,所述标准包括第一标准和第二标准,并且所述监控器适于响应于控制信号而从所述第一标准改变为所述第二标准。
15.根据权利要求14的网络单元,其中,所述模块适于在所述模块确定所述流量中的数据指示了恶意威胁的情况下生成所述控制信号。
16.一种用于接收并路由通信网络中的数据流量的网络单元,其包括接口,用于从通信网络接收数据流量,监控器,用于监控所述数据流量,其中,所述监控器用于按照多个不同的标准来监控所述数据流量,并且响应于检测器检测到所述流量中的数据指示了对连接到所述通信网络的一个或多个资源存在恶意威胁,将监控从预定的监控标准改变为另一个监控标准。
17.根据权利要求16的网络单元,其还包括所述检测器。
18.根据权利要求16或17的网络单元,其还包括用于确定指示所述恶意威胁的参数的模块,并且其中,所述另一个监控标准使得所述监控器偏向于监控与所述参数相关联的数据流量。
19.根据权利要求18的网络单元,其中,所述模块包括比较器,用于将来自所监控的流量的信息与一个或多个门限标准相比较,并且适于基于所述比较的结果来确定所述参数。
20.根据权利要求16或17的网络单元,其中,所述监控器包括采样器用于采样所述数据流量,所述采样器能够以不同的采样率来采样所述数据流量,并且其中,所述预定的监控标准和所述另一个监控标准每个都包括采样率,其中该预定的监控标准的采样率不同于该另一个监控标准的采样率。
21.根据权利要求16或17的网络单元,其中,所述监控器包括采样器用于采样所述数据流量,并且所述采样器能够被配置为按照多个不同的采样标准来采样所述数据流量。
22.根据权利要求21的网络单元,其中,每个不同的采样标准定义了用于控制对来自所述流量的信息的选择的选择标准,其中每个选择标准都不同于另一个选择标准。
全文摘要
提供了一种用于监控通信网络中的数据流量的方法和装置。连接到通信网络的路由器监控数据流量中包含的信息,并且基于该信息确定该流量中的数据是否指示了对连接到网络的一个或多个资源存在恶意威胁。控制路由器处的流量监控的参数是按照网络条件而变化的,所述参数例如是采样率和从该数据中提取什么信息,以便监控能够集中于与特定的受怀疑的或检测到的威胁有关的流量。
文档编号H04L29/06GK101026505SQ20061013094
公开日2007年8月29日 申请日期2006年12月29日 优先权日2006年1月3日
发明者L·斯特鲁布, A·戈拉, B·S·布-迪亚布 申请人:阿尔卡特朗讯公司