专利名称:应对计算机入侵的方法及系统的制作方法
技术领域:
本发明总体上涉及数据处理领域,特别是涉及一种使用入侵后果的图形表示来应对恶意入侵的改进的数据处理系统及方法。
背景技术:
大多数现代企业网络都包括允许远程用户访问的方法,典型的是通过互联网进行访问。这种网络访问的设计可使得授权用户和网络之间交互,从而实现电子商务、内容共享以及其他电子活动等。由于这些网络的设计是为了便于授权用户的访问,因此也很容易被未经授权的用户访问,特别是那些恶意访问网络的用户。此处的恶意的表现形式为用户对网络的“入侵”。“入侵”被定义为通过电子方法恶意访问网络或网络中的计算机。入侵实例包括病毒、未经授权的数据挖掘(有时称为“文件窃取(hacking)”)及分布式拒绝服务(DDOS)攻击,在这种攻击中,入侵造成计算机系统的负荷过大,以致于不能继续进行实际工作。
入侵事件被定义为入侵的结果(后果)。入侵事件的实例包括数据文件被破坏或被非法复制,系统/计算机崩溃,以及系统/计算机的运行速度减慢。
反入侵通常是作为信息技术专家的安全管理员的工作,在风险管理软件的帮助下,安全管理员负责监视对电脑系统的入侵。尽管已有许多方法可用来检测入侵和入侵事件,但如何管理对入侵的响应仍然是极其复杂的。也就是说,尽管人们对入侵事件的检测非常了解,而且还可以进行自动检测,但管理和响应行为通常仍是手动进行的。由于入侵的复杂性,对安全管理员来说,评估哪种入侵正在发生以及如何正确应对是非常困难的。
因此,安全管理员需要一种方法及系统来帮助应对检测到的入侵,最好是自动式或半自动式的。
发明内容
本发明是针对计算机入侵管理的一种方法及系统,其首先以图形方式表示已知的某种过去入侵的入侵模式,然后将其与当前某种入侵的入侵模式相比较。如果二者之间的结果(指入侵事件或共同受到入侵影响的硬件)存在共同之处或完全相同,则安全管理员可以执行脚本化的响应补救当前入侵造成的损害,或至少防止当前入侵造成进一步的损害。
入侵模式既可以是基于入侵事件,即提供入侵类型的特征(signature)的入侵后果或行为,也可以是基于受到入侵影响的硬件拓扑。
入侵模式以图形形式展示给安全管理员,之后安全管理员可以通过执行脚本化的响应进行处理,这种响应在优选实施例中呈现在与入侵模式中每个节点相关的弹出式窗口中。此外,对入侵的响应可以是自动的,并基于预先确定的、已知过去入侵的和当前入侵的入侵模式之间的共同特征的百分比。
本发明的上述以及其他目的、特征和优势在下面的详细书面说明中变得更清楚起来。
本发明的优选实施例将通过参考下列附图作为示例予以详细说明图1描述了本发明的一个优选实施例中的数据处理系统的方框图;图2a描述了在本发明的优选实施例中基于多种不同入侵包括一已知过去入侵的入侵事件的入侵模式;图2b描述了在本发明优选实施例中基于某种未知当前入侵的入侵事件的入侵模式,该入侵模式与一已知过去入侵的入侵模式匹配;图3是本发明的一个优选实施例的流程图,该实施例用于在本发明的一优选实施例中当遇到某种未知当前入侵时自动运行脚本化响应;
图4a描述了在本发明的优选实施例中基于多种不同入侵包括一已知过去入侵的受影响的硬件拓扑的入侵模式;以及图4b描述了在本发明的优选实施例中基于某种未知当前入侵的受影响的硬件拓扑的入侵模式,该模式与一已知过去入侵的入侵模式相匹配。
具体实施例方式
参照以上各图尤其是图1,按照本发明的优选实施例描述了数据处理系统100,该数据处理系统可以与网络(图中未显示)进行通信。举例来说,数据处理系统100可能是位于纽约Armonk的国际商业机器公司制造的个人计算机或服务器中的一种型号。数据处理系统100可以仅包括单个处理器,也可以是包括多个处理器的多处理器(MP)系统。单处理器系统如图所示。该所示系统还可以增加第二个处理器(图中未显示),该处理器具有单独的L2高速缓存或者与处理器102共享L2高级缓存108。处理器102可以是超标量精简指令集计算(RISC)处理器,其中包括单独的一级(L1)指令和数据高速缓存104和106。
处理器102与二级(L2)高速缓存108相连。而L2高速缓存和数据处理系统100的系统总线110相连。系统存储器112也和系统总线112相连,输入/输入(I/O)总线桥114也是如此。输入/输出总线桥112将输入/输出总线118和系统总线110连接起来,从而把数据事务从一条总线传递并/或转换到另一条总线上。其他设备也可能与系统总线110相连,例如,向显示器124提供用户界面信息的存储器映射图形适配器116。
输入/输出总线桥114与输入/输出总线118相连,而输入/输出总线可与其他各种设备如输入设备126以及非易失存储设备122等相连,该输入设备可以是传统鼠标、跟踪球、键盘或其他类似设备,该非易失存储设备122例如有硬盘驱动器、只读光盘存储器(CD-ROM)驱动器、数字视盘(DVD)驱动器或类似的存储设备。
网络适配器120也与输入/输出总线118相连,该网络适配器提供了与网络的逻辑接口,该网络可以是局域网(LAN)、广域网(WAN)、互联网或其他提供数据处理系统100与网络中的其他计算机的通信的网络。
提供的图1所示实例仅仅旨在说明本发明的优选实施例,本领域的技术人员可以看出不论在形式上还是功能上都可以有很多变化。例如,数据处理系统100可包括声卡、音频扬声器、其他输入/输出设备、通信端口以及众多其他组件。
图2a说明了众多不同的入侵可能造成的入侵事件。入侵事件被定义为入侵造成的后果或者行为。图中以树的方式对入侵事件进行了说明,实际上,认识到所示入侵事件之间相互关联,这样会最好地理解入侵事件。以一条入侵路径200为例,该路径描述了入侵A造成的入侵事件(图中以实线圆圈表示)。作为示例,本例中入侵A可被认为是某种如“红色代码”之类的病毒。通过在计算机主机206中创建分布式拒绝服务攻击204,入侵A将会影响到多个主机202。图中,Snort208检测到入侵A,此处Snort是一种示例入侵检测系统,能够对IP网络执行实时流量分析和包日志记录。Snort208可以执行协议分析、内容搜索/匹配,也可以用来检测各种不同的攻击和探测,如缓冲器溢出、隐蔽性端口扫描(stealth port scan)、公共网关接口(CGI)攻击、服务器消息块(SMB)探测、操作系统(OS)指纹识别企图等。
入侵A也能引起入侵检测系统(IDS)210的响应,该系统检测所有进出的网络活动,并辨别可以表明来自企图闯入系统或损害系统的某人的网络或系统攻击的可疑模式。IDS210检测网络事件212,该事件在本示例中是入侵A,入侵A是由整个系统识别并影响整个系统的入侵事件214的一种类型。
应注意,入侵A还影响计算机系统的其他部分,如入侵路径200所示。也就是说,入侵A也生成主机事件216,从而在系统层次218上同时影响存储器事件220和权限事件222。而且,入侵A生成外围设备事件224,该外围设备事件被防火墙226检测为扫描事件228并同时具有坏数据包230。坏数据包230是一个传输控制协议(TCP)畸形协议包232,如图所示。
因此,由具有黑粗边缘的入侵路径200显示的模式是入侵A的一种独特的特征入侵模式。现在参考图2b,该图描述了基于当前未知入侵的入侵事件的入侵路径201。起初不知道当前入侵的原因。但是由于该入侵模式与图2a中的入侵A的模式相同,因此遭到入侵的计算机网络或计算机的安全管理员能够确定当前的入侵与入侵A相同或至少与入侵A的行为方式相同。
在本发明的一个优选实施例中,每个节点都有一个与之相联系的脚本化响应,例如与拒绝服务攻击事件204相联系的脚本化响应204a。脚本化响应是预先编制用来处理入侵事件的代码。例如,脚本化响应204a可以是一个程序,该程序被设计用来隔离攻击计算机系统的入侵,然后禁止该入侵。脚本化响应被显示为与每个描述节点的事件相联系,并且最好在活动窗口如弹出式窗口中,只要用鼠标或类似指点设备点击活动窗口即可启动该脚本化响应。尽管脚本化响应被显示为单个项目,但是在其他的优选实施例中,入侵路径201的单个或所有节点中给出了多个建议的脚本化响应的列表,并且这些脚本化响应都可被激活。最好给出的该多个脚本化响应具有等级,其中一个脚本化响应具有最高等级,这种最高等级是基于使用该脚本化响应的以往的成功、入侵的危险程度,或由安全管理员在开发用以评估入侵的风险管理器程序时确定的其他因素。例如,风险管理器程序可能决定必须确保隔离任何对使命关键数据进行攻击的任何入侵,即使这种隔离会停止计算机系统中未受入侵影响的部分。这种情况下,等级最高的建议响应将是停止计算机系统中的许多区域,并将被推荐为等级最高的建议响应。
请注意,为了向安全管理员提供有关如何应对入侵的信息,入侵路径并不需要完全相同。也就是说,如果已知和未知的入侵在入侵路径上有某些共性,则安全管理员就可以启动某种响应,这种响应将消除当前未知的入侵造成的大部分(若非全部)有害影响。
在本发明的一个实施例中,安全管理员为入侵路径201的每个节点手动选择每个脚本化响应。另一种选择是,可以选择一设置以便响应于入侵为所有节点自动启动最级等级的建议响应,如图3流程图所示。方框302显示检测到一个当前入侵,最好是由一个能够根据入侵的特征对入侵进行检测的风险管理器来检测的。这些特征可能包括有害报头信息或者收到的其他数据的已知包、计算机系统的软件或硬件作出的带有入侵特性的行为,例如扫描网络中所有计算机的互联网协议(IP)地址、突然的计算机性能降低或中央处理器(CPU)使用率、以及类似事件或情况。将当前入侵的入侵事件同已知入侵的入侵事件相比较,如方框304中所述。确定在未知当前入侵和已知历史入侵中是否发现预先确定的、共同事件节点的百分比,如询问方框306所示。也就是说,将已知入侵和当前入侵的入侵路径进行比较。如果已知过去入侵和未知当前入侵之间存在大量的共同事件节点,则所有节点的脚本化响应将自动运行,如方框310中所述。如果已知入侵和未知入侵之间没有足够的共同事件节点,则会提示安全管理员为每个事件节点手动选择一个脚本化响应。
此外还可以由计算机系统中的风险管理程序来确定是否需要自动运行所有脚本化响应,该风险管理程序对入侵进行分类,以确定是否需要激活自动响应。例如,如果风险管理程序确定当前入侵属于已知分类类型或者已知其严重程度可导致整个系统崩溃,则可启动自动脚本化响应。在优选实施例中,将入侵的严重程度与脚本化响应的结果的严重程度相匹配。也就是说,将严重的入侵与可能对系统有严重影响的脚本化响应相匹配,这样的脚本化响应例如会抢先地停止系统的某个部分,但是,考虑到入侵的严重性以及入侵可能造成的潜在危害,脚本化响应对系统造成的严重影响可能是合理的。
类似地,如果风险管理程序被设计为能考虑到安全管理员对入侵做出响应的预期响应时间可能太长,以致在安全管理员对入侵做出响应之前已造成系统的严重损害,则可以启动自动脚本化响应。同样地,如果某个特定的入侵路径以往曾导致多次(或仅一次)执行某种特定的脚本化响应,则风险管理程序会基于该历史记录自动执行此种脚本化响应。
除图2a及图2b中所说明的共同事件模式以外,入侵还具有关于硬件拓扑中何种硬件受到影响的特征。现在参考图4a,描述了可能受入侵影响的硬件。入侵路径400(在图中用粗边缘框表示)标识出受到以上在图2a中描述的入侵A影响的计算机系统的硬件拓扑。因此,入侵A造成某个企业计算机系统的内部网402的异常,该内部网络402受到内部网络402中的局域网(LAN)A404的影响。在局域网A404中有受到影响的服务器406、个人计算机(PC)408以及入侵检测系统(IDS)硬件410。服务器406中有一个受到影响的web服务器416,该web服务器的端口B418也受到入侵A的影响。类似地,所有运行基于Windows操作系统的个人计算机均受到影响,并显示为基于Windows414个人计算机。同样,运行支持Snort的硬件412的IDS硬件410记录已检测到入侵A这一事件。因此,该硬件以类似于以上参照图2a及图2b描述的入侵事件入侵模式的方式显示某种特征入侵模式。
现在参考图4b,硬件拓扑入侵路径401描述了入侵A引起的模式。当具有与硬件拓扑入侵路径401所示的模式相同或相似模式的某种当前未知入侵发生时,安全管理员以类似于为以上入侵事件入侵模式描述的方式做出响应。因此,硬件拓扑入侵路径401中的每个事件节点都包括一个含有脚本化响应的相联系的活动窗口,这些脚本化响应类似于上文描述图2a及图2b时的那些脚本化响应。如同对入侵事件的脚本化响应一样,硬件拓扑入侵路径401中所描述的脚本化响应可以是单个的(如图所示),也可以是建议的脚本化响应的一个列表,最好对列表中的各脚本化响应进行评级以提出等级最高的脚本化响应。该些脚本化响应可以按照类似于以上为入侵事件入侵路径描述的方式手动或自动启动。
如同以上参照图2a及图2b描述和说明的入侵事件的图形显示一样,已知入侵和未知入侵的入侵路径并不需要完全相同以向安全管理员提供有关如何对入侵做出响应的信息。也就是说,如果已知入侵和未知入侵在入侵路径上具有一些共性,则安全管理员可以启动某种响应,该响应将消除当前未知入侵的大部分(若非全部)有害影响。
安全管理员可以在收到通知后,在本地或以远程方式启动针对入侵的脚本化响应。例如,安全管理员可以在手机或个人数字助手(PDA)上接收有关入侵事件的通知。然后安全管理员可通过点击PDA中的交互式窗口以电子方式激活某些或所有脚本化响应,这样该输入就由计算机系统中风险管理程序识别,从而启动请求的脚本化响应。
上述优选实施例介绍了某种用以创建并以图形方式表示某种已知入侵的入侵模式以便与当前入侵进行比较的方式和装置,计算机系统中的风险管理程序可能了解该当前入侵,也可能不了解。在根据图形表示的其特征入侵路径识别出当前入侵之后,脚本化响应将被启动以对入侵做出响应对并将其控制。脚本化响应可以基于已知入侵的历史数据。已知入侵与当前入侵可能相同,也可能不同,并且建议的脚本化响应是联系受当前入侵影响的入侵路径上某些或全部事件或者硬件节点以图形方式给出的。脚本化响应可以是用于入侵路径上每一事件/硬件节点的唯一选择,也可以从经过排列等级的建议的脚本化响应的列表中挑选。
定义本优选实施例的功能的程序可以通过多种信号承载媒介提供给数据存储系统或计算机系统,该信号存储媒介包括但不限于只读存储媒介(如CD-ROM)、可写存储媒介(如软盘、硬盘、读/写CD-ROM、光盘)及通信媒介如计算机和电话网络(包括以太网)等。当携带或编码指导本发明的方法功能的计算机可读指令时,这种信号承载媒介代表本发明的其他实施例。
权利要求
1.一种管理对计算机的入侵的方法,这种方法包括以图形方式表示已知入侵的入侵路径,该图形表示包括该入侵路径中节点处的脚本化响应;根据已知入侵和当前入侵的入侵路径的至少一个共同特征,将对该计算机的当前入侵与已知入侵的图形表示相匹配;以及响应于已知入侵和当前入侵的匹配,启动该脚本化响应,该脚本化响应能够应对当前入侵。
2.权利要求1的方法,其中,入侵模式基于入侵事件。
3.权利要求1的方法,其中,入侵模式基于受到已知入侵影响的硬件拓扑。
4.权利要求1的方法,其中,对当前入侵的脚本化响应基于已知入侵的历史数据。
5.权利要求1的方法,其进一步包括根据下列因素之一,自动执行权利要求1描述的方法用于手动启动脚本化响应的预期响应时间;当前入侵的严重程度,其中脚本化响应的严重程度与当前入侵的严重程度相适合;以及当前入侵的类型分类。
6.一种用于管理对计算机的入侵的系统,该系统包括用于以图形方式表示已知入侵的入侵模式的装置,该图形表示包括入侵路径中节点处的脚本化响应;用于根据已知入侵和当前入侵的入侵路径中的至少一个共同特征,将对计算机的当前入侵与已知入侵的图形表示相匹配的装置;以及用于根据已知入侵和当前入侵的匹配,启动针对当前入侵的脚本化响应的装置。
7.权利要求6的系统,其中,入侵模式基于受到已知入侵影响的硬件拓扑。
8.权利要求6的系统,其中,对当前入侵的脚本化响应基于已知入侵的历史数据。
9.权利要求6的系统,其进一步包括用于根据下列因素之一,自动执行权利要求6描述的方法的装置手动启动脚本化响应的预期响应时间;当前入侵的严重程度,其中脚本化响应的严重程度与当前入侵的严重程度相适合;以及当前入侵的类型分类。
10.一种用于管理对计算机的入侵的计算机可用媒介,其包括用于以图形方式表示已知入侵的入侵模式的计算机程序代码,该图形表示包括入侵路径中节点处的脚本化响应;用于根据已知入侵和当前入侵的入侵路径的至少一个共同特征,将对计算机的当前入侵与已知入侵的图形表示相匹配的计算机程序代码;以及用于根据已知入侵和当前入侵的匹配,启动针对当前入侵的脚本化响应的计算机程序代码。
全文摘要
一种用于管理对计算机的入侵的方法及系统,其首先以图形方式表示已知的过去入侵的入侵模式,然后该已知入侵的入侵模式与当前入侵相比较。入侵模式既可以是基于入侵事件(即提供了入侵的类型的特征的入侵的后果或行为),也可以是基于受到入侵影响的硬件拓扑。入侵模式以图形方式显示,同时给出脚本化响应。在优选实施例中,该脚本化响应呈现在与入侵模式中的每个节点相联系的弹出式窗口中。此外,基于预先确定的已知过去入侵的和当前入侵的入侵模式之间的共同特征的百分比,可以自动对入侵做出响应。
文档编号H04L12/24GK1695365SQ200380100745
公开日2005年11月9日 申请日期2003年11月28日 优先权日2002年12月5日
发明者P·T·巴费斯, M·吉尔费克斯, J·M·加里森, A·许, T·J·斯塔丁 申请人:国际商业机器公司