专利名称:基于及早通知检测异常业务的系统和方法
技术领域:
本发明涉及通信网络,并且具体涉及一种基于及早通知检测异常业务的方法和系统。
背景技术:
诸如因特网的全球化通信网络已经从初期基于研究的、访问受限的系统发展为真正的具有数百万用户的全球范围网络。初期的网络协议即TCP/IP的设计是基于这样的认识,即系统用户出于完全合法的目的连接至网络。因此,没有专门考虑安全性问题。然而,近年来,在因特网上蓄意攻击的发生已经增长到令人担忧的比例。由于它的匿名性质,如果源端想要保持未知,网际协议(IP)很难准确识别任何指定数据报以及指定流的真正来源。这些攻击呈现各种方式,并且常常导致作为目标的受害者的服务完全中断。
在分布式网络中恶意软件(malware,专门设计以损坏系统的软件,例如洪水,蠕虫和病毒)的传播会是极具破坏性的。尽管蠕虫或者病毒对任何给定设备(例如计算机、服务器、路由器)的影响经常是温和的,数以万计的被感染设备的累积效应会是损失惨重的,其中所述受感染设备尽可能快地将恶意软件传播给其他设备。在此情况下,由于拥塞,网络可能停止向其用户有效地提供其服务。
一种这样的攻击基于这样的理念,即用大量业务对受害者进行洪水攻击以使受害者的服务器不能处理,或者灌入较低速率的非常显著的恶意分组业务。拒绝对网络用户服务的其它方法是病毒。计算机病毒是程序或者程序代码,其以多种方式在网络上对自身进行复制。病毒可以被看作DoS(拒绝服务)攻击,其中受害者通常不是特定目标,而只是非常不顺、正好染上病毒的主机。取决于具体的病毒,拒绝服务在破坏的整个过程中都不会引起注意。
通过将自身作为电子邮件附件或者网络消息的一部分进行重发来复制自己的病毒被称为蠕虫;通常只有当它们不受控制的复制耗费系统资源、降低其它任务的速度或者停止其它任务时才会被注意到。蠕虫通过利用应用和系统软件中的已知的和先前未知的软件脆弱性进行操作并且迅速地在网络传播。通过劫持一般以许多全球许可的方式运行的受托应用,如网络服务器、邮件传送代理和注册服务器,蠕虫能获得对系统资源的充分访问,并且使整个系统受损。
对于网络运营商来说,为了保护网络基础结构,尽可能快地检测恶意软件的传播并且对在网络之内正在进行的攻击有效地反应的能力正在成为实际的、亟待解决的问题。这尤其关联到大型分布式网络。在这样的网络中,组成基础结构的网络设备(路由器、交换机)必须在限制恶意软件传播中起重要作用。现在,为了保护它们的网络和系统,企业采用分层防御模式,其包括防火墙、防病毒系统、访问管理和侵入检测系统(IDS)。防御模式已经存在好几年,可是迄今为止没能实现用极少的连带成本和麻烦对所有攻击提供完全防御的最终目标。
例如,Rebecca Bace和Peter Mell的论文“Intrusion DetectionSystem”描述了IDS的现状,该论文的时间是2001年11月,并且在NISTSpecial Publication网址上由SP-800-31可以找到。在这个论文中描述的一些技术已经设计为专门用于检测电信网络基础结构中的恶意软件传播。它们可以被分成两个主要类别基于流的分析和深度分组分析(deep-packetanalysis)。基于流的分析包括通过分析电信基础结构中的业务流来跟踪IP分组的恶意连续流以检测寻常模式的方法。它通常依赖于Netflow、IPFix和在路由器中执行的RTFM技术。这种技术的例子在由C.Abad等人于2004年4月在Workshop on Link Analysis,Counter-terrorism,and Privacy上发表的题目是“Correlation Between NetFlow System and NetworkViews for Intrusion Detection”的论文中作了描述。深度分组分析方法包括通过分析每个分组反向跟踪单个恶意IP分组以检测已知特征或者经常见到的模式的方法。这种技术的例子在由S.Dharmapurikar等人于2004年1月在IEEE Micro发表的题目是“Deep Packet Inspection Using ParallelBloom Filters”的论文中进行了描述。用于跟踪连续流的一些方法可以用于反向跟踪单个分组,例如上面提到的iTrace方法。然而,要支付的价钱是非常昂贵的。
迄今为止,可用的解决方案不能足够快速地检测并且停止DoS攻击,并且价格昂贵。反应性受到这一事实的影响,即当前的IDS基于许多部件路由器、防火墙、侵入/异常检测系统。在危急状态下,这些系统可能很难传递并且协调需要的对策。采用现有技术在不引入分组时延和损耗的情况下监视并且分析通过高端路由器的全部分组是不可能的,影响各IDS的有效性。监视并且分析通过高端路由器的全部分组需要专门的硬件或者与路由器耦合的附加设备,增加了基础结构的复杂性和成本。尽管如此,它可能仍然存在有效性问题。
一般的在线侵入防御系统(IPS)也依靠特征和流量测定以检测并且拦阻网络中的恶意活动,因此它们的性能在阻挡零日蠕虫过程中受到限制。此外,如果它们的检测算法基于统计观测值(例如流的带宽、每主机的有效端口数,等等),它可能在IPS系统能开始拦阻蠕虫之前花费一些时间。由于这个时间窗口,企业对于蠕虫的传播可能是负有责任的。并且,特征和性能监视技术在新的蠕虫第一次在因特网上传播时是无效的,因为它直到攻击发生才可能建立识别恶意软件的策略。特征和策略可以周期性地更新,但只是在蠕虫或者其它恶意软件被识别和研究以后。特征监视技术在新的蠕虫第一次跨越因特网传播时是无效的。并且区别“好”和“坏”代码的相同性或者性能是非常困难的。这产生大量“假肯定”,其限制许多防御系统检测事件而不是防御它们的目的。
此外,特征和性能监视技术都允许在攻击发动和对其检测之间存在时间间隔,因此到监视正在运行的应用的性能时、到破坏性能被检测到时,该应用已经被损害并且恶意代码已经运行。对于在受攻击的访问链路上运行的网络来说,这个时间间隔代表了脆弱性窗口。
另外,防火墙不能阻止一切;它们被设置为允许某些类别或者类型的数据通过受保护的网络。每个利用允许通过防火墙的服务的恶意活动将成功地传播。因此,防火墙可能已不足以保护公司网络免于遭受利用防火墙允许的协议中的脆弱性的病毒、系统渗透、欺骗、数据和网络破坏以及拒绝服务攻击。
在计算机网络是在实体内和实体间通信和事务处理中的关键元素的世界范围内,IP网络的可靠性和安全性是绝对必要的。实际的IDS技术没有给出高端路由器所需的适当的性能级别。为了解决这个问题,现在正在设计新技术。对于电信产业这是关键难题,并且迄今为止已经提出了许多部分解决方案。因此,存在这样的需要,即提供一种在网络中用于限制并且检测恶意活动(例如网际蠕虫)的系统。
发明内容
本发明的目的是提供一种基于及早通知检测异常业务的方法和系统。
相应地,本发明提供一种在配备有IDS/IPS的通信网络节点上检测异常业务的方法,该方法包括步骤通过仅查看业务流中的数据业务的重要子集,监视输入到节点的业务流的状态,以确定业务流是否携带可疑数据业务;以及一旦业务流的状态可疑则触发及早通知,并且将业务流标记为可疑业务流。
更具体地,本发明旨在提供一种在配备有侵入检测/防御系统(IDS/IPS)的通信网络的网络节点上检测异常业务的方法。该方法包括步骤a)保持服务状态表,该表具有输入到网络节点的每个业务流的服务状态;b)基于分配给各业务流的危险等级将业务流的状态评估为“可疑”或者“非可疑”;c)只要业务流状态由“非可疑”状态改变为“可疑”状态,就更新服务状态表并且将业务流标记为可疑业务流;d)进一步评估可疑业务流状态以鉴别“受到攻击”状态或者“未受到攻击”状态;e)进一步将可疑业务流状态更新为“受到攻击”状态,并且将可疑业务流标记为受到攻击的业务流;以及f)将受到攻击的业务流传送到IDS/IPS。
根据另一的方面,本发明提供一种利用及早通知进行异常业务检测(ATDEN)的系统,该系统包括服务状态装置,用于保持服务状态表,该表具有输入到通信节点的每个业务流的服务状态;监视器,用于评估业务流的状态,并且只要业务流状态改变就更新服务状态表;业务鉴别器(18),用于将业务流路由选择到系统的输出端,如果业务流具有“可疑”状态,则送至监视器,而如果业务流具有“受到攻击”的状态,则送至侵入检测/防御系统(IDS/IPS)。
如上所述,IDS技术是电信业的关键难题。有利地,本发明的方法对业务分析和攻击减轻作用采用了目标明确的途径,因此提高了网络的性能。
本发明的另一个优点是它显著地减少了用于恶意软件检测要处理的业务量,因此与现有系统相比,发现受到攻击的特定业务更快速。当结合现有的IDS/IPS时,对多种攻击的检测和有效反应的能力显著增加。
另外,因为根据本发明的系统只分析业务的片段,本发明的系统的硬件和运算时间使用起来比早先的解决方案更有效。
如附图中所示意的,根据以下对优选实施例的详细说明,本发明的上述及其它目的、特征和优点将变得明显,其中图1是根据本发明的实施例,利用及早通知进行异常业务检测(ATDEN)的系统框图;图2是ATDEN系统的操作方法流程图,该图示出了仅仅一小部分业务如何经历侵入检测/防御处理;以及图3a和3b是分别说明用于评估业务的服务状态的第一和第二阶段的流程图。
具体实施例方式
本发明的系统是在配备有传统的侵入检测系统(IDS)或者侵入防御系统(IPS)技术的节点上设置的;本系统在客户设备(CE)和边界路由器应用中尤其有效。然而,任何路由器都可以不同程度地从该方法获益。
本发明提出一种及早通知机制,该机制实现了使用恶意软件攻击的已知特性快速识别“可疑”业务。另外,本发明的系统只对通过网络节点的一小部分业务触发IDS/IPS的高成本操作,目的是易于将IDS/IPS技术集成在高端路由器中。
图1说明了根据本发明的基于及早通知进行异常业务检测(ATDEN)的系统框图,用附图标记5表示。ATDEN系统5包括保持状态服务表的服务状态单元14,该表具有每个输入到主机节点(路由器、CE)的业务流(服务)状态;监视器25,用于建立每个业务流的服务状态并且相应地更新状态服务表;以及业务鉴别器18,用于将输入业务流路由选择到输出端、到监视器25,或者到侵入检测/防御模块20。鉴别器基于服务状态执行路由选择具有“可疑”状态的业务受到进一步监视,并且具有“受到攻击”状态的业务,在模块20进行减轻操作。
系统5还使用装置15,该装置基于对于各业务流使用的协议所识别的软件脆弱性,将服务分类(TCP/UDP端口)成服务等级。优选地,识别两个服务等级,即“在危险中”和“不在危险中”等级。
单元14的服务状态表包括用于感兴趣的端口/服务的服务信息,在启动时使用由单元15提供的信息对所述服务信息进行初始化。该表最少包括端口标识、由业务使用的各协议、服务等级(在或不在危险中)和各服务的当前状态。应当注意,在端口支持多于一个服务的情况下,每个相应服务的状态列在表上。该表当然可以包括在ATDEN系统5操作期间收集的附加信息,例如用于每当服务/端口受到攻击或携带可疑业务时的条目、在服务状态中日期与时间的相应变化等等。也可以使用动态表,在这样情况下如果溢出其对自己进行更新。同时,散列表可以用于更复杂的系统。
在两个不同的阶段作出对于受到攻击的业务的检测。在第一阶段,监视器25通过只对每个服务查看业务的重要子集来检测恶意软件传播的第一迹象。然后,如果检测到恶意软件传播的迹象,将每个业务流的状态更新或不更新为“可疑”。一旦业务流接收到“可疑”状态,及早通知13被触发到服务状态单元14,从而服务状态单元14控制了业务鉴别器18将“可疑”业务发送回监视器25,用于进一步评估服务状态。因为在这个阶段仅仅一部分业务被监视,和业务流中的所有分组都被监视的情况相比及早通知13触发得更快。
优选地,监视器25在第一阶段使用ICMP分组作为业务的子集。ICMP代表网际控制消息协议,并且用来在路由器和主机之间发送控制消息。例如,当路由器经历拥塞或者当目标主机无法使用时,ICMP分组可以被发送。ICMP分组和数据分组(具有信息的分组)相比,结构稍有不同,因为ICMP报头跟随IP报头,但不认为它是第4层报头。ICMP消息提供在类型和代码字段中,其数值表示特定的ICMP消息。每个供应商实现IP都要求包括ICMP。
监视器25包括ICMP速率监视器12,该监视器从数据业务接收在单元10分离的ICMP分组。ICMP速率监视器12使用两个不同的阈值,以根据服务等级将业务流分类为是否“可疑”。举例来说,用于“在危险中”业务的阈值可以是Th1,而用于“不在危险中”业务的阈值可以是Th2。优选地,Th1比Th2低,因为“在危险中”业务的安全性要求比“不在危险中”业务的安全性要求更高。同时要注意,如果必需评定多于两级的“可疑”业务状态,则可以使用更多的阈值,并且根据各传输协议,不同的阈值可以用于不同业务流。一旦各业务流中的ICMP速率违反了任何阈值,ICMP速率监视器发布指示相应业务流是可疑的“及早业务状态通知程序”13。正如在11所看到的,ICMP业务被重插入数据业务。
第一阶段的结果是服务状态单元14更新服务状态表中的端口服务状态,并且通知业务鉴别器18哪个端口的传送“可疑业务”。如图1所示,业务鉴别器18将非可疑业务(没有被ICMP监视器12标记为“可疑业务”的“在危险中”和“不在危险中”业务)从系统5的输入端传送到输出端。
在第二阶段,监视指定的业务参数,以便进一步识别相应业务受到攻击与否。优选地,该参数是业务速率,但在这个阶段可以使用其它类型的监视。在图1的实施例中,业务鉴别器18将由服务状态单元14标记为“可疑”的业务传送至业务速率监视器16。业务速率监视器16测量可疑服务的业务速率,以便检测其是否超过第三阈值Th3,并且将“可疑”业务重发至输出端。可选地,可疑业务可以被回送到业务鉴别器18的输入(图1的虚线示出);这个可选实施例将保证在时间间隔内没有恶意分组到达输出端,直到相应业务流量的状态最终从“可疑”变化到“受到攻击”。
如果业务速率超过Th3,业务速率监视器16产生“受到攻击业务通知程序”17至服务状态单元14,单元14更新服务状态表中的这个信息。反过来,单元14通知业务鉴别器18监视的可疑业务实际上受到了攻击。有利地,因为在这个阶段只监视可疑业务,确定业务是否受到攻击与否需要的时间相对较快,并且非可疑服务上的业务根本不受影响。
然后,将“受到攻击”的业务从业务鉴别器18传送到侵入检测/防御模块20。模块20包括侵入检测系统(IDS)和/或侵入防御系统(IPS)21,其基于从已知的蠕虫、病毒收集的攻击特征22,或者基于异常行为特征等确定攻击的类型。一旦攻击被确定,模块20通过使用传统的过滤机制23试图减轻它的影响。用这种方法,系统5只对通过路由器的一小部分业务触发高成本的IDS/IPS技术,由此显著地减少了模块20的处理资源和操作时间。
图2说明ATDEN系统的操作方法框图,该图示出了仅仅一小部分输入业务经历侵入检测/防御模块20。在步骤S1,服务状态表基于每个服务的已知恶意软件(SW)的脆弱性被初始化。在这个阶段,端口/服务被区分为“在危险中”等级和“不在危险中”等级。然后,在步骤S2,一旦业务在各主机路由器或者CE的输入被接收,监视器25确定各业务流的服务状态,如步骤S3所示。根据该业务等级,在上面描述的两个阶段完成该操作。
然后,如步骤S4所示,监视器25更新每个业务流的状态以反映当前状态。如由判定模块85的分支“是”所示,基于来自服务状态单元14的状态信息,鉴别器18隔离“受到攻击”的业务并且将它传送到侵入检测/防御模块20用于处理。如判定模块S5的分支“否”所示,具有“未受到攻击”状态的业务被传送到输出端。在步骤S6,侵入检测/防御模块20对照不同的攻击特征22确定攻击,并且使用过滤机制23试图减轻攻击的影响。然后业务被传送到输出端,或者被丢弃,纠正是没有可能的。概括地说,图2说明了系统5怎样只对选择的通过路由器的业务的一部分触发模块20的操作。
图3a和3b是说明了用于评估业务流的服务状态的两个阶段的流程图。图3a说明了第一阶段,其中在步骤S11,监视器25将每个服务描述为“可疑”或者“非可疑”。如果业务是可疑的,S11,即判定模块的分支“是”,则监视器触发及早通知13至服务状态单元14,如步骤S12。如上所述,在这个阶段,因为业务的完整特性与服务类型和危险等级不一致,监视器25对每个业务等级使用不同的阈值。相应地,然后如步骤S13所示,服务状态单元14更新状态表。接着,可疑业务以及业务余部通过鉴别器18传送至输出端,即图2流程图中的步骤S7。
图3b说明了第二阶段,其中监视系统通过监视各服务的速率只将可疑服务描述为受到攻击或者未受到攻击。如S16,判定模块的分支“否”所示,“可疑”业务流中比阈值高的业务速率表示相应服务实际上受到攻击。在这种情况下,在步骤S17,服务状态单元14相应地更新状态表。在业务速率监视器16的输出端上的业务返回到鉴别器18的输入端,鉴别器根据业务服务状态执行路由选择,即图2的流程图的步骤S5。如果可疑业务速率低于该阈值,即S16、判定模块的分支“是”,则相应服务被路由选择至输出端,如图2中的步骤S7所示。
权利要求
1.一种在配备有侵入检测系统/侵入防御系统(IDS/IPS)的通信网络节点上检测异常业务的方法,该方法包括以下步骤通过仅查看所述业务流中的数据业务的重要子集,监视输入到所述节点的业务流的状态,以确定所述业务流是否携带可疑数据业务;以及一旦所述业务流的状态可疑,则触发及早通知,并且将所述业务流标记为可疑业务流。
2.根据权利要求1的方法,进一步包括通过查看所述可疑业务流的指定参数,进一步监视所述可疑业务流的状态,以确定所述业务流量是否受到攻击,并且相应地将所述业务流的状态从可疑更新为受到攻击,以及将所述可疑业务流标记为受到攻击的业务流;以及在所述侵入检测系统/侵入防御系统上只对所述受到攻击的业务流执行减轻操作。
3.根据权利要求1的方法,其中所述业务数据的重要子集包括所述业务流中的网际控制消息协议分组。
4.根据权利要求3的方法,其中所述监视步骤包括为所述业务流分配危险等级;测量所述业务流中的所述网际控制消息协议分组的速率;以及对照根据所述危险等级建立的各个阈值,比较所述网际控制消息协议分组的速率。
5.根据权利要求1的方法,其中使用多个根据所述业务流的危险等级的阈值来执行所述监视步骤。
6.根据权利要求5的方法,其中第一和第二阈值根据由所述业务流使用的传输协议进行选择。
7.根据权利要求2的方法,其中所述指定参数是所述可疑业务流的速率。
8.根据权利要求7的方法,其中所述进一步监视的步骤包括测量所述可疑业务流的速率;以及将所述可疑业务流的速率与另一个阈值进行比较,用于确定所述可疑业务流的状态是否实际上“受到攻击”。
9.一种对配备有侵入检测/侵入防御系统(IDS/IPS)的通信网络的网络节点检测异常业务的方法,该方法包括以下步骤a)保持服务状态表,该表具有输入到所述网络节点的每个业务流的状态;b)基于分配给所述各业务流的危险等级,将业务流的状态评估为“可疑”或者“非可疑”;c)只要所述业务流状态由“非可疑”状态改变为“可疑”状态,更新所述服务状态表并且将所述业务流标记为可疑业务流;d)进一步评估所述可疑业务流状态以鉴别“受到攻击”状态或者“未受到攻击”状态;e)进一步将所述可疑业务流状态更新为“受到攻击”状态,并且将所述可疑业务流标记为受到攻击的业务流;以及f)将所述受到攻击的业务流传送到所述侵入检测/侵入防御系统。
10.根据权利要求9的方法,其中步骤a)包括基于针对所述业务流使用的协议所识别的软件脆弱性,将每个业务流分类成“在危险中”等级和“不在危险中”等级。
11.根据权利要求9的方法,其中步骤b)包括b1)分离所述各业务流的所有网际控制消息协议(ICMP)分组;b2)基于所述各业务流的服务等级,对所述网际控制消息协议分组进行速率监视;b3)如果所述业务流状态改变成“可疑”,产生及早业务状态通知程序;以及b4)将所述网际控制消息协议分组反向合并到所述业务流。
12.根据权利要求11的方法,其中步骤b2)包括如果所述业务流属于“在危险中”等级,则将所述网际控制消息协议分组的速率与第一阈值比较;以及如果所述业务流属于“不在危险中”等级,则将所述网际控制消息协议分组的速率与第二阈值比较。
13.根据权利要求12的方法,其中步骤b3)包括,只要所述网际控制消息协议速率违反所述第一和第二阈值的相应一个时,产生所述及早业务状态通知程序。
14.根据权利要求9的方法,其中步骤d)包括d1)测量所述可疑业务流的速率;d2)对照第三阈值比较所述可疑业务流的速率;以及d3)只要所述可疑业务流的速率违反所述第三阈值,就产生受到攻击业务通知程序。
15.根据权利要求14的方法,其中根据由所述业务流使用的传输协议选择所述第三阈值。
16.根据权利要求9的方法,其中所述步骤f)包括识别攻击类型,并且基于所述攻击类型,在所述业务流上执行相应的减轻操作。
17.根据权利要求16的方法,其中所述减轻操作是下列之一i)完全丢弃所述业务流,ii)对所述业务流进行速率限制,iii)对与攻击特征相匹配的所述业务流中的分组进行速率限制,iv)对经由分组检查发现的分组进行速率限制。
18.一种利用及早通知进行异常业务检测(ATDEN)的系统,该系统包括服务状态装置,用于保持服务状态表,该表具有输入到通信节点的每个业务流的服务状态;监视器,用于只要所述业务流状态改变就评估业务流的状态并且更新所述服务状态表;业务鉴别器,用于将所述业务流路由选择到所述系统的输出端,如果所述业务流具有“可疑”状态,则送至所述监视器,而如果所述业务流具有“受到攻击”的状态,则送至侵入检测/防御系统(IDS/IPS)。
19.根据权利要求18的系统,进一步包括,基于针对由所述业务流使用的协议所识别的软件脆弱性,将所述业务流至少分类成“在危险中”等级和“不在危险中”等级的装置。
20.根据权利要求19的系统,其中所述监视器包括用于从所述业务流分离所有网际控制消息协议(ICMP)分组的装置;网际控制消息协议(ICMP)速率监视器,用于基于所述等级确定所述业务流的状态,并且将改变为“可疑”的状态通知给所述服务状态装置;和用于将所述网际控制消息协议分组反向合并到所述业务流的装置。
21.根据权利要求20的系统,其中所述网际控制消息协议速率监视器测量从所述装置接收的所述网际控制消息协议分组的速率,用于对照所述“在危险中”等级的第一阈值并且对照所述“不在危险中”等级的第二阈值进行分离。
22.根据权利要求19的系统,其中只要所述网际控制消息协议分组的速率超过所述第一和所述第二阈值的任何一个,所述网际控制消息协议速率监视器产生及早业务状态通知程序至所述服务状态装置。
23.根据权利要求22的系统,其中所述监视器进一步包括业务速率监视器,用于对照第三阈值测量所述业务流的速率,并且只要所述业务流速率超过所述第三阈值,就产生“受到攻击”通知程序至所述服务状态装置。
全文摘要
本发明的方法和系统用于在通信网络中检测异常业务,该方法和系统基于对处于危险中的业务和状况类别进行分级并且保持服务状态表,该表具有各节点上的这些信息。危险类别最初针对各服务所识别的已知软件脆弱性来确定。及早通知程序能够对怀疑受到恶意软件传播的业务进行进一步处理。状态类别能够将具有“受到攻击状态”的业务从“未受到攻击”状态的业务分离出来,因此各节点上的侵入检测系统只处理“受到攻击”的业务。这样,由侵入检测系统执行的处理过程的时间和数量大大减少。
文档编号G06F1/00GK1946077SQ20061011089
公开日2007年4月11日 申请日期2006年7月7日 优先权日2005年7月8日
发明者J-M·罗伯特, F·J·N·科斯凯 申请人:阿尔卡特公司