专利名称:在计算机网络中检测不良企图的数据的终端机与相关方法
技术领域:
本发明涉及一种用来检测信息包的终端机与相关方法,特别是涉及一种用来检测信息包的较为简易且信息包传输量较小的终端机与相关方法。
现有技术随着计算机工业的快速发展,计算机网络的用途也变的多元化,并使得计算机之间可以互相联系。而因特网(Internet),亦即全球信息网(WorldWide Web),已经成为最为广泛使用的数据传输媒介。而现在使用因特网来存取信息,散播信息,进行多人在线交谈对于一般的使用者来说已经变成习以为常的行为,这些使用者包含小至一般私人网络的使用者,大至以大型国际组织为单位的使用者。
然而带有不良意图的数据已使得许多的计算机和接口设备不堪其扰,且计算机网络的盛行亦使得这种现象变的更加严重。这些带有不良意图的数据通常包含摧毁或删除计算机内数据的软件,瘫痪计算机系统本身的防御能力,甚而使得计算机系统被未经授权的使用者掌握控制权或直接窃取数据。这些摧毁或删除计算机内数据的软件包含病毒,计算机病虫,特洛伊木马程序,以及计算机侧录程序等。带有不良意图的数据亦包含假数据,以假身分蒙骗计算机的数据,或是可在计算机内迅速并大量的自我复制以瘫痪计算机机能的数据,网络钓鱼(Internet Fishing),垃圾邮件(Spam),以及垃圾网络电话(Spam over internet telephony,SPIT)即属于此类。
某些个体使用者已研发出带有不良意图的数据并进而妨碍其它计算机的运作。不管这些带有不良意图的数据或是病毒只是这些使用者无心的玩笑或是恶意的攻击,这些数据都会造成大量的伤害与损失。在这些带有不良意图的数据中,计算机病毒是藉由更改其它可执行的程序以扰乱计算机运作的程序。计算机病毒亦会删除或毁坏重要的系统文件,使用者的数据文件,或是应用程序。此外,带有不良意图的数据亦会以自我复制的方式分散至位于同一通讯网路的其它计算机,并损害这些位于不同位置的计算机。
现有技术已试图运用各种的病毒检测程序来防止病毒的繁殖。在美国专利第5,623,600号中已披露了一种此类型的病毒检测方法。该方法利用设置有代理服务器的网关以检测进出网络的每一个文件。请参阅图1,其为该现有技术所披露的网关包含的存储器的方块图。在图1中,存储器10为一网关,藉由一总线11耦合至网络。存储器10包含一文件传输协议代理(FileTransfer protocol)服务器12,一操作系统13,一简易信件传输协议(SimpleMail Transfer protocol,SMTP)代理服务器15,以及应用程序16。操作系统13包含一核心14。应用程序16包含绘图程序,字体处理程序等程序,但并不限于此类的程序。当一文件进入或离开该网关节点,核心14先接收该文件,接着运送该文件的信息包的目标地址被改变以使得该信息包根据该文件的型态被传送至代理服务器12或15其中之一。假设该文件为一文件传输协议型态的文件,则该信息包将被传送至文件传输协议代理服务器12。接着,若该文件的种类为可能包含病毒的类型,则文件传输协议代理服务器12负责检查该文件是否包含病毒。若文件传输协议代理服务器12检查后发现该文件为一安全且不包含病毒的文件,则传输该文件的信息包的目标地址将会再改变,以将该文件再次传回该网关的存储器10所包含的核心14。同样的,当进出该网关节点的信息包所包含的讯息为可能包含病毒的种类,简易信件传输协议代理服务器15负责检查该信息包是否包含病毒。
该现有技术的方法将代理服务器安装于网关节点的存储器中以检查进出给定的网络内的受到保护的网域的数据是否包含有病毒。然而,事先将包含需要被检查的文件的信息包整个传送至一特定的代理服务器需要花费额外的成本与时间。
另外一种用来检查带有不良意图的数据的方法被称为特征扫描(signature scanning),该方法个别扫描每一个被传送的信息包以找出信息包内的程序代码是否包含与带有不良意图的数据相符合的特征。然而,特征扫描极可能将并未包含病毒的信息包误判为带有病毒的信息包而使得误判率偏高。
由于此类现有技术的效能问题与限制,因此极需要找出一种较佳的病毒检测方法,一种较佳的移除带有不良意图的数据的方法,以及一种较佳的响应机制,以在计算机网络中解决伴随现有技术的问题。
发明内容本发明提供一种检测信息包的方法,包含一来源计算机将信息包传送至一终端机,其中该来源计算机位于一第一地址,且该终端机位于一第二地址,该终端机接收信息包,该终端机将所接收的信息包重新组合,该终端机实施相关于已重新组合的信息包的程序,及该终端机实施该程序后,将已重新组合的信息包传送至一目标计算机,其中该目标计算机位于与该第一地址不同位置的一第三地址,且在该终端机传送已重新组合的信息包至该目标计算机的过程中,未将已重新组合的信息包传送至位于其它中继地址的计算机。
本发明提供一种用来检测计算机网络中的信息包的终端机,包含一重组模块,用来重新组合输入的信息包,一处理模块,耦合于该重组模块,用来处理属于一第一协议的信息包,及一调整模块,耦合于该处理模块,用来调整信息包。
图1为现有技术所披露的网关包含的存储器的方块图。
图2为一加载本发明提供的病毒检测方法的网关节点的示意图。
图3为本发明的检测带有不良意图的数据的方法的流程图。
图4为图1所示的简易信件传输协议处理模块的方块图。
附图符号说明10 存储器11、21 总线12 文件传输协议代理服务器13 操作系统14、23 核心15 简易信件传输协议代理服务器16 应用程序20 网关节点231 重组模块232 简易信件传输协议处理模块
233 超文件传输协议处理模块234 文件传输协议处理模块235 调整模块300-370 步骤2321 应用状态机2322 队列管理单元2323 重传控制单元具体实施方式
本发明提供一种以计算机来实现的方法以检测存在于计算机网络中带有不良意图的数据。不似现有技术中将信息包传送至代理服务器以搜寻出带有不良意图的数据的各种病毒检测方法,本发明直接在终端机的核心中直接实现检测病毒的方法,例如以网关节点或绕路器来实现该方法。
请参阅图2,其为一加载本发明提供的病毒检测方法的网关节点的示意图。网关节点20藉由一总线21耦合于该计算机网络。网关节点20包含一核心23,且核心23包含一重组模块231,三个应用于不同协议的处理模块232、233、234,以及一调整模块235。当信息包通过网关节点20,重组模块231重新组合输入的信息包,并根据这些信息包所隶属的协议将这些信息包传送至处理模块232、233、234其中之一。举例来说,若这些重组的信息包属于简易信件传输协议SMTP,则这些重组的信息包将被传送至应用简易信件传输协议SMTP的处理模块232。同样的,若这些重组的信息包属于超文件传输协议(hypertext transmission protocol,HTTP),则这些重组的信息包将被传送至应用超文件传输协议的处理模块233,若这些重组的信息包属于文件传输协议FTP,则这些重组的信息包将被传送至应用文件传输协议FTP的处理模块234。
由于重组模块231重组了输入的信息包,处理模块232、233、234可检测到重组的信息包中包含的病毒,并对于重组的信息包执行某些预定的程序。各个处理模块在完整收集隶属于同一文件的所有信息包前,会先将已收集的重组信息包排列至队列。当检测到病毒时所实施的程序可根据使用者的选择加以设计。本发明的一实施例是在检测到病毒时,将原先的文件加上一提示指标以表示该文件被检测到带有病毒。本发明的另一实施例是将文件中的带有病毒的区段直接移除,并直接将移除了病毒的文件输出。本发明尚有一实施例,其做法是直接删除包含带有病毒的信息包的文件。相反,若处理模块并未检测到带有不良意图的数据,则处理模块将直接输出未受病毒感染的原始信息包,或是将未受病毒感染的原始信息包附加上一提示指标并加以输出,该提示指标用来表示该原始信息包并未受病毒的感染。调整模块235用来接收由处理模块232、233、234其中之一输出的信息包,并可同时接收与该信息包相关的信息。因此调整模块235的存在对于本发明的各个实施例来说是不可或缺的。在大部分的情况下,调整模块235接收信息包以后会将所接收的信息包加以调整,并特别针对了信息包在处理模块中所做的更改来对信息包包含的标头加以调整,这些调整包含信息包长度的改变或是传输控制协议窗口的大小的改变。接着,调整模块235将这些已调整的信息包输出,并藉由总线21传送这些信息包到原本预定到达的地方。
根据本发明中之前所述,显然地,所有检测带有不良意图的数据的程序以及其它相关的程序皆在本发明的网关节点包含的核心空间内加以整合并实施。这代表了信息包并不会在网络中各个终端机之间传输,亦不会在终端机本身包含的其它使用者空间程序间传输。每一处理模块是在一终端机包含的核心空间内实施,例如一网关节点或是计算机网络中的一路由器。与现有技术相比,本发明并不需要改变信息包的目标地址。因此在现有技术中伴随而来的操作及额外的信息包流量亦不会出现于本发明中。加载本发明的检测带有不良意图的数据的方法的装置可为一网关节点、一路由器、或是任何种类的终端机。
请参阅图3,其为本发明的检测带有不良意图的数据的方法的流程图。在接下来的说明中,每一个步骤皆以一终端机来实施,且该终端机是用来表示加载本发明的方法的装置。
步骤300步骤开始;步骤310由一来源计算机直接接收信息包;步骤320重新组合所接收的信息包,并找出所接收的信息包所隶属的协议;步骤330根据重新组合的信息包所隶属的协议,检测重新组合的信息包中是否包含有病毒;若包含有病毒,则执行步骤340,若未包含病毒,则执行步骤360;
步骤340移除重新组合的信息包中带有病毒的区段,并附加一提示指针至已移除病毒的信息包,以将该信息包连带该提示指标同时输出;步骤350根据之前对信息包做出的处置来调整已处理的信息包,并将已调整的信息包传送至来源计算机以外的一目标计算机;步骤360直接将未受病毒感染的信息包输出至该信息包的目标地址;步骤370步骤结束。
步骤320中,本发明的方法先找出信息包所隶属的协议,亦即文件传输协议、简易信件传输协议、或是超文件传输协议。并根据所找出的协议将信息包传送至对应的处理模块。步骤340可以本发明的其它实施例来替换,例如将包含被病毒感染的信息包的文件直接删除,或是附加提示讯息于信息包以表示该信息包包含有病毒。
本发明提供的方法亦可用来检查并过滤带有特殊样式的信息包。举例来说,本发明提供的方法可用来过滤某些带有禁语或是不良意图的信件。本发明提供的方法亦可用来过滤某些大小过大的文件或是控制某些特定地址的流量。以前者来说,图3所示的步骤330可替换成“检测已重新组合的信息包是否带有一特定的样式”,而步骤340可替换成“将该特定样式由已重新组合的信息包中移除,并附加一提示指针至已重新组合的信息包,接着将已重新组合的信息包连带该提示指标一起输出”。以后者来说,本发明提供的各个处理模块可用来加载静态的函式以执行所需的功能。
加载本发明提供的方法的终端机可耦合于一外部装置以获取额外的资源。当检测到带有恶意的数据时,处理模块可用来实施初步的处理,并在必要的情况下将带有恶意数据的信息包直接传送至该外部装置来处理。举例来说,加载了本发明的方法的路由器可事先隔离感染了病毒的信件,并由一耦合至该路由器的辅助装置来掌控并处理感染了病毒的信件,例如将该信件的寄件者直接加以封锁。加载了本发明提供的方法的终端机。其功能亦可使用此种方式来扩增。再者,除了以上所述的多种协议外,亦可扩增专门用来处理其它以上未提及的协议的处理模块,以处理更多种类的协议的信息包。
加载本发明提供的方法的终端机包含的处理模块可视为包含了处理多个不同工作的复数个单元。请参阅图4,其为图1所示的简易信件传输协议处理模块232的方块图。如图4所示,简易信件传输处理模块232包含一应用状态机2321,一队列管理单元2322,以及一重传控制单元2323。应用状态机2321接收并处理由重组模块231传送的信息包。队列管理单元2322耦合于应用状态机2321,并用来将应用状态机2321传送来的信息包重新排序,且重新排序的动作是根据应用状态机2321的指示执行。重传控制单元2323用来在发生信息包漏失的状况下控制信息包的重新传送。然而,图4所示的方块图仅为本发明的一实施例,且本发明的应用并不受图4所示的方块图所限制。无疑的,本发明提供的方法可使用软件或硬件来实现,且本发明的方法包含的不同功能或程序可使用不同的电路或程序,再加以配合不同的方法来实现。
本发明在终端机的核心中整合了使用于常见的病毒检测方法的各种代理服务器的功能,例如一路由器或一网关节点。本发明最大的好处是再也不需要将信息包传送至包含不同通讯端口或不同地址的不同代理服务器。当病毒检测程序结束后,本发明亦不需要再将信息包回传至网关节点的核心。因此,本发明在执行的操作量与网络的流量方面皆较现有技术大为减少。本发明所提供的检测病毒的方法亦可应用于其它不同种类的信息包检测程序,例如控制网络的流量或是过滤需要被封锁的样式等程序。如以上所述,本发明可达成应用终端机以及相关方法以检测计算机网络中的信息包是否包含病毒的目的。
以上所述仅为本发明的较佳实施例,凡依本发明是权利要求
所做的均等变化与修饰,皆应属本发明的涵盖范围。
权利要求
1.一种检测信息包的方法,包含一来源计算机将信息包传送至一终端机,其中该来源计算机位于一第一地址,该终端机位于一第二地址,且在该来源计算机将信息包传送至该终端机的过程中,未将信息包传送至位于其它中继地址的计算机;该终端机接收信息包;该终端机将所接收的信息包重新组合;该终端机实施相关于已重新组合的信息包的程序;及该终端机实施该程序后,将已重新组合的信息包传送至一目标计算机,其中该目标计算机位于与该第一地址不同位置的一第三地址,且在该终端机传送已重新组合的信息包至该目标计算机的过程中,未将已重新组合的信息包传送至位于其它中继地址的计算机。
2.如权利要求
1所述的方法,其中该终端机实施相关于已重新组合的信息包的程序包含该终端机检测已重新组合的信息包是否包含带有不良意图的数据。
3.如权利要求
2所述的方法,其中该终端机实施相关于已重新组合的信息包的程序还包含当已重新组合的信息包中被检测到包含带有不良意图的数据时,该终端机加入一段程序代码至已重新组合的信息包中,且该段程序代码用来表示已重新组合的信息包包含带有不良意图的数据。
4.如权利要求
2所述的方法,其中该终端机实施相关于已重新组合的信息包的程序还包含该终端机将被检测出带有不良意图的数据由已重新组合的信息包中移除。
5.如权利要求
4所述的方法,其中该终端机实施相关于已重新组合的信息包的程序还包含该终端机产生一提示指针,且该提示指标用来表示被检测到带有不良意图的数据已由已重新组合的信息包中移除。
6.如权利要求
2所述的方法,其中该终端机实施相关于已重新组合的信息包的程序还包含该终端机将已重新组合的信息包移除,其中被移除的信息包带有不良意图的数据。
7.如权利要求
2所述的方法,其中该终端机实施相关于已重新组合的信息包的程序还包含该终端机传送包含带有不良意图的数据的信息包至另一终端机以做进一步处理。
8.如权利要求
1所述的方法,其中该终端机实施相关于已重新组合的信息包的程序包含该终端机检测已重新组合的信息包是否与一预定的样式相吻合。
9.如权利要求
8所述的方法,其中该终端机实施相关于已重新组合的信息包的程序还包含当已重新组合的信息包被检测出是与该预定的样式相吻合时,该终端机加入一段程序代码至已重新组合的信息包,且该段程序代码用来表示已重新组合的信息包是与该预定的样式相吻合。
10.如权利要求
8所述的方法,其中该终端机实施相关于已重新组合的信息包的程序还包含该终端机从已重新组合的信息包中移除与该预定样式吻合的样式。
11.如权利要求
10所述的方法,其中该终端机实施相关于已重新组合的信息包的程序还包含该终端机产生一提示指针,且该提示指标用来表示已重新组合的信息包中与该预定样式吻合的样式已被移除。
12.如权利要求
1所述的方法,其中该终端机实施相关于已重新组合的信息包的程序包含该终端机由已重新组合的信息包中收集一统计值。
13.如权利要求
1所述的方法,其中该终端机实施相关于已重新组合的信息包的程序包含该终端机将已重新组合的信息包排序。
14.一种用来检测计算机网络中的信息包的终端机,包含一重组模块,用来重新组合输入的信息包;一处理模块,耦合于该重组模块,用来处理属于一第一协议的信息包;及一调整模块,耦合于该处理模块,用来调整信息包。
15.如权利要求
14所述的终端机,其中该处理模块包含一状态机,耦合于该重组模块,用来处理输入的信息包;及一排序管理单元,耦合于该状态机,用来将由该状态机输入的信息包排序。
16.如权利要求
15所述的终端机,其中该处理模块包含一重新传送控制单元,耦合于该状态机,用来控制重新传送信息包的程序。
17.如权利要求
14所述的终端机,其中该处理模块用来检测信息包是否包含带有恶意的数据。
18.如权利要求
17所述的终端机,其中该处理模块还用来将被检测出带有恶意的数据由信息包中移除。
19.如权利要求
17所述的终端机,其中该处理模块还用来移除包含带有恶意的数据的信息包。
20.如权利要求
17所述的终端机,其中该处理模块还用来产生一提示指标,且该提示指标用来表示是否检测到带有恶意的数据。
21.如权利要求
14所述的终端机,其中该处理模块用来检测信息包是否包含一预定的样式。
22.如权利要求
21所述的终端机,其中该处理模块还用来从信息包中移除该预定的样式。
23.如权利要求
21所述的终端机,其中该处理模块还用来移除包含该预定的样式的信息包。
24.如权利要求
21所述的终端机,其中该处理模块还用来产生一提示指标,且该提示指标用来表示是否检测到该预定样式。
25.如权利要求
21所述的终端机,还包含另一处理模块,耦合于该重组模块,用来处理属于一第二协议的信息包。
26.如权利要求
25所述的终端机,其中该重组模块根据所输出的信息包所属于的协议来传送信息包至该二处理模块其中之一;当该重组模块输出的信息包属于该第一协议,则该重组模块将信息包输出至处理属于该第一协议的信息包的处理模块,且当该重组模块输出的信息包属于该第二协议,则该重组模块将信息包输出至处理属于该第二协议的信息包的处理模块。
专利摘要
应用计算机来实现的信息包检测方法包含一位于一第一地址的来源传送信息包至一位于一第二地址的终端机,该终端机接收信息包,该终端机重组所接收的信息包,该终端机执行一相关于重组的信息包的程序,以及该终端机将已调整的信息包传送至一位于一与第一地址不同的第三地址的目标,其中该来源传送信息包至该终端机的途中未将信息包传送至其它中继地址,且该终端机传送已调整的信息包至该目标的途中未将信息包传送至其它中继地址。在没有额外的操作与流量的状况下,该信息包检测方法可应用于检测病毒以及带有不良意图的数据,或是用来统计数据。
文档编号H04L29/06GK1992595SQ200610103072
公开日2007年7月4日 申请日期2006年7月11日
发明者吴俊德, 何德威, 王士竑 申请人:合勤科技股份有限公司导出引文BiBTeX, EndNote, RefMan