专利名称:计算机网络安全数据筛的制作方法
技术领域:
本发明涉及计算机技术,特别涉及一种用于计算机网络的数据安全装置。
为了防卫黑客的数据窃取,大多数网站采取安装防火墙的对策,对于各类计算机病毒,近年来国内外均开发了大量查毒、杀毒软件,但对于黑客攻击,由于发起攻击者一般具有很高的网络技术水平,攻击手段及表现形式不同,因此至今仍没有成熟的商品化解决方案。
黑客攻击网站的类型大致分为资源耗尽型一耗尽网站服务器的可用资源;阻塞型——造成网站线路阻塞;推毁型——彻底催毁网站服务器的软件资源。下面简单介绍三种类型的攻击原理。
(1)资源耗尽型这是一种黑客攻击网络的常见的有效攻击手段。其原理是在信息的前端加带一逻辑炸弹,由于个人所用的逻辑炸弹各不相同,而且逻辑炸弹可自编,所以很难防御。逻辑炸弹把自身携带的信息直接送入服务器数据库,数据库不断对该信息进行处理,进一步是服务器中的可用信息缓存被大量占用,使服务器的可用资源减少,造成大量数据堆积,最后使服务器挂机。
(2)阻塞型这是一种黑客攻击网站的又一常见的攻击手段。其原理是在同一极短的时间周期内集中地向同一地址发送大量信息,使网站的调制解调器停止工作,造成大量用户信息无法读取。
(3)摧毁型这是一种技术极高,效果明显且后果严重的攻击手段。其原理是黑客在线工作,直接攻击系统的漏洞,破坏系统使其无法工作。
如
图1所示,目前的网站,虽然安装了防火墙,但对于以程序/数据形态传来的黑客程序,在防火墙上合法通过,攻击程序穿过防火墙,直接进入网站服务器,自行安装,发作,致使网站瘫患。
为实现上述目的,计算机网络安全数据筛包括路由器、交换机和服务器,其特征在于数据筛接在交换机和服务器之间,所述的数据筛通过存储在系统中的各种攻击手段的相对特征,在系统验证过程中屏蔽掉对应的攻击。
本发明过滤在计算机网络上传输的数据信息,使来自黑客针对计算机网站的攻击信息被过滤掉,使这些信息无法达到被攻击的网站服务器,从而保证计算机网站免受黑客攻击,保障计算机网络安全运行。
发明的实施方式下面首先描述本发明的系统。本发明由中央处理器CPU、协议处理器PPU(通过掩膜可与CPU一体)、高速缓冲存储器、程序/数据存储器、高速输入/输出接口以及相应控制程序组成,用于防范黑客对于计算机网站攻击的数据安全装置——数据筛。使用的CPU为高性能数据处理器,它是整个数据筛的信息处理和控制中心。PPU为固化的TCP/IP协议处理功能的数据处理器,它负责解释协议和对所传输的数据进行协议标准的加工,产品化时可将PPU掩膜于CPU一体。高速缓冲存储器,是标准的RAM,用于暂存网络通讯的数据,以使CPU和PPU对其进行合法性检查。程序/数据存储器由BPROM和闪存器组成,用于存储控制程序、报警信息等。高速输入/输出接口,包括串行接口和并行接口,用于连接数据筛与前后的数据设备或在多片数据筛之间进行级联。控制程序用于引导CPU、PPU执行数据筛内部的数据处理和数据筛与其相关设备的数据传输。
图2为增加了数据筛的计算机网站,数据筛负责对网上传来的所有数据进行“筛选”,当发现被筛选的数据中出现黑客攻击程序的特征时,数据筛自动屏蔽数据上传(至网站服务器),并以特定的报警信息替代原攻击程序的数据上送服务器。可见数据筛阻断了黑客攻击程序进入服务器的通道,起到网站的屏蔽作用。网站的服务器通过收集和统计报警信息,可以掌握黑客对本网站攻击的类型、时间、发生攻击点的活动IP地址,便于配合进行人为防范或寻求法律保护。
图3中,RD1、RD2为串行数据接收端,XD1、XD2为串行数据发送端,CH1-4为接口控制信号,PD0-7、P'D0-7为两个并行输入输出口。图中DBus、ABas、CBus分别表示数据总线,地址总线和控制总线。
以下介绍数据筛对三种常见的黑客攻击防范机理。
防范耗尽型攻击其攻击程序中包含一个固定的字符串,当网站收到用户访问时,数据从公网传至路由器,穿过防火墙,至数据筛的RD1端,高速串行口1对其进行串/并变换,CPU将数据存入高速缓冲存储器,PPU根据TCP/IP协议格式,对当前收到数据包进行处理后,由CPU检查当前数据包中是否含有耗尽型攻击程序特有的字符串,如果没有,则认为当前的访问为合法访问,数据筛将当前数据包上传至网站服务器或下一级联的数据筛。如果经过滤发现当前数据包中含有特定的字符串,则认为该访问为一次“攻击”,CPU用程序/数据存储器中的报警信息(长度为一个数据包)替换攻击程序的数据包,将经过处理的数据包送服务器或下一级联数据筛。同时CPU根据攻击数据包中的信息判断用于攻击的其它数据包,将这些数据包屏蔽掉,直到数据筛收到上传数据传来的标志时,数据筛向发出攻击的黑客发出传输结束标志。
防卫阻塞型攻击阻塞型攻击的特征为在某一短暂的时间内网站收到大量有固定上传码和垃圾信息的数据,至使网络(网站)的带宽资源被占尽,当网站收到用户访问时,数据从公网传至路由器,穿过防火墙,至数据筛RD1端,经串/并交换后,CPU将其存入高速缓冲存储,PPU根据TCP/IP协议对当前数据包进行处理后,CPU判断当前数据包中是否含有阻塞攻击特有的上传码,如果没有,则认为该访问合法,按前述方式上串数据。如果有特定的上传码,CPU将自动记录上传码、用户的浮动IP地址、本次传输的数据包个数和本数据包的校验和,并将这四个信息组成的特征数据存入高速缓冲存储器,并对后续数据包进行检测,当发现在预定的时间,被记录的特征数据出现超过三次时,确认为这组数据为黑客攻击,此时数据筛屏蔽攻击程序上传,将预置的报警信息送服务器或下一级联数据筛,当判断攻击程序传输结束后,送传输结束标志给攻击的黑客。
防范摧毁型攻击目前各种服务的操作系统均存在不同数量的系统漏洞,摧毁型攻击的黑客就是利用这些漏洞达到窃取服务器控制权,摧毁服务器软件系统和数据库系统的目的。目前人们已经掌握的软件系统漏洞的位置是相对固定的,防范这类攻击的方法,就是根据判断用户访问的数据包中是否含有固定的漏洞信息。数据进入数据筛后,PPU对收到的数据包作协议处理,CPU判断此包中是否包含漏洞信息,如果有则认为是一次黑客攻击,这时数据筛用预定的报警信息上传服务器或其它级联数据筛,当判断攻击程序传送完毕时,数据筛向发出攻击的黑客送传输结束标志。随着软件系统的不断完善,系统的漏洞不断被发现。黑客的攻击点可能增加,本装置可以在程序/数据存储器中添加新的漏洞数据,提高对此类攻击防范能力。
本文中所述的报警信息包括攻击的类型、攻击点的浮动IP地址、攻击的时间以及攻击的密度等信息。
由于网络传输是一个连续的实时性过程,因此每一片数据筛的处理负载不宜过大,一般一片数据筛用于防范一类攻击较好。本实用新型设计成可级联的方式,且级联可以通过并行数据传输,经过多层数据筛的协同处理二,最大限度地抑制黑客攻击。
实施例某黑客将含有耗尽型攻击的程序上送网站,数据上网后传至数据筛,经串/并变换后存入高速缓冲存储器,经CPU判断,该传输的数据包含耗尽型攻击所特有的字符串,因此认为是一次黑客攻击。数据筛用固定的报警信息上送服务器同时禁止该传输的后续数据包上传,当判断到传输结束时,数据筛向攻击的黑客发传输结束标志,经此处理后有效地防止了一次黑客攻击。
权利要求
1.-种计算机网络安全数据筛,包括路由器、交换机和服务器,其特征在于数据筛接在交换机和服务器之间,所述的数据筛通过存储在系统中的各种攻击手段的相对特征,在系统验证过程中屏蔽掉对应的攻击。
2.按权利要求1所述的数据筛,其特征在于所述的数据筛包括中央处理器CPU,控制和处理数据筛的信息;协议处理器PPU,负责解释协议和对所传输的数据进行协议标准加工;高速缓冲存储器,用于暂存网络通讯的数据,以使CPU和PPU对其进行合法性检查;程序/数据存储器,用于存储控制程序、报警信息;高速输入/输出接口,用于连接数据筛与前后的数据设备;相应的控制程序,用于引导CPU、PPU执行数据筛内部的数据处理和数据筛与其相关设备的数据传输。
3.按权利要求2所述的数据筛,其特征在于PPU与CPU成为一体。
4.按权利要求2所述的数据筛,其特征在于所述的高速缓冲存储器是RAM。
5.按权利要求2所述的数据筛,其特征在于所述的程序/数据存储器由BPROM和闪存器构成。
6.按权利要求2所述的数据筛,其特征在于所述的高速输入/输出接口包括串行接口和并行接口。
7.按权利要求1所述的数据筛,其特征在于所述的数据筛至少为一片。
8.按权利要求1或7所述的数据筛,其特征在于一片数据筛对应防范一类攻击。
9.按权利要求1或7所述的数据筛,其特征在于多片数据筛级连在一起。
全文摘要
一种计算机网络安全数据筛,包括路由器、交换机和服务器,数据筛接在交换机和服务器之间,所述的数据筛通过存储在系统中的各种攻击手段的相对特征,在系统验证过程中屏蔽掉对应的攻击。本发明过滤在计算机网络上传输的数据信息,使来自黑客针对计算机网站的攻击信息被过滤掉,使这些信息无法达到被攻击的网站服务器,从而保证计算机网站免受黑客攻击,保障计算机网络安全运行。
文档编号G06F12/14GK1421787SQ01139800
公开日2003年6月4日 申请日期2001年11月27日 优先权日2001年11月27日
发明者张弘, 于喆 申请人:张弘, 于喆