专利名称:基于源/目的地操作系统类型的ids虚拟化的制作方法
背景技术:
典型的计算机联网系统可包括被配置为监视网络流量和阻挡对受保护网络空间的攻击或入侵企图的入侵检测系统(IDS)等等。这种入侵检测系统可包括各种类型的防火墙、分组监视器和一般包括入侵传感功能的其他设备(例如高级路由器),或者与这些设备并存。这些系统包括主动和被动设备,并被统称为“传感器”。
IDS可包括用于接收分组的网络接口、用于确定是否接受传入分组的分组过滤机制、用于存储威胁签名(threat signature)的存储器,以及用于把分组发送(或转发)到受保护网络中的网络接口,等等。IDS的上述元件可以被实现在硬件、软件或二者的某种组合中。
IDS传感器还可以被虚拟化。本领域中使用的“虚拟化的”一词是指虚拟化(virtualization),即在多个过程或逻辑元件之间划分IDS功能,所述多个过程或逻辑元件中的每一个都被配置为与其他几个并行操作。这些过程可以运行在独立处理器上(即在各个独立硬件上),或者可以运行在单个处理器上的多个线程中。在这个意义上,虚拟化可被理解为另一种形式的分布式处理所需过程的功能性或逻辑性元件可以在多个位置实现,其中“位置”被理解为既指物理分离又指逻辑分离。本领域的普通技术人员还将认识到,虚拟化不一定要求将IDS功能划分到多个独立线程中;所需要的只是在单个物理设备内提供多个逻辑功能的“感觉”。
IDS虚拟化的一种传统手段是基于用户配置的选择标准(例如分组IP前缀、域名、VLAN、输入接口等)来使用独立功能(或进行“虚拟化”)。但是,为了在每个虚拟IDS(或虚拟IDS过程)中提供相同水平的威胁保护,必须对照无保护网络上已知存在的所有操作系统的弱点签名(signature of vulnerabilities)检查预定要被给定虚拟IDS传感器处理的分组。对于无保护网络由公众因特网构成这种典型情况而言,操作系统的总体(universe)就是所有已知操作系统的总体。类似地,当受保护网络足够大和多样化时,目的地主机中的弱点必须也包括所有已知操作系统的弱点。
在典型IDS系统中,已知的弱点作为威胁签名被存储在IDS存储器中,所述威胁签名也就是经过格式编排的描述性信息,从而IDS可以迅速将威胁签名与分组内容相比较,以便直接确定分组中是否存在各个特定威胁。随着威胁数量增加,威胁签名的集合或总体也必须增加。每当识别出一个新威胁时,该威胁不同于先前已知的威胁签名的任何方面或表现都导致有必要定义一个新的威胁签名。
发明内容
上述传统方法存在几个明显缺点。例如,当威胁签名的数量不断增加时,现有技术系统一般不能很好地升级。此外,对照威胁签名的总体比较(或“审查(vet)”)每个进入分组而引入的分组延迟导致性能严重恶化。一般地,与现代高速、高吞吐量分组处理IDS传感器所需的相比,对照签名总体中的每个威胁签名审查每个分组的操作较慢而且低效。
与上述传统手段不同,本发明的实施例涉及基于每个分组的源和/或目的地主机计算机的操作系统(OS)特性来虚拟化IDS功能的系统和方法。该虚拟化是通过以下操作实现的对每个分组进行指纹识别以确定该分组的目标OS,然后对照适于该目标OS的缩小的威胁签名集合来执行快速分组审查。“目标OS”可以是分组的源主机的操作系统,也可以是分组的目的地主机的操作系统。在一些实施例中,关于两个OS之一或二者的信息可被用来选择缩小的威胁签名集合。
通过将每个分组的各个方面与适于每个特定分组的目标OS的缩小的威胁签名集合相比较来进行对每个分组的审查过程,所述分组的各个方面例如但不限于分组数据有效载荷、头部标志、选项、源IP地址、目的地IP地址、源端口和/或目的地端口。
因此,每个IDS过程不论是在独立的机器(计算机)上操作、作为在单个计算机或处理器上运行的独特线程进行操作,还是仅在功能方面具有逻辑独特性,都能与其他虚拟IDS过程并行操作,但是并行操作不一定实现本发明。在这种实施例中,每个VIDS过程都使用适于由每个分组的内容确定的目标OS的缩小的威胁签名集合来执行分组审查操作。由于威胁签名总体的小得多的子集被用于每个分组威胁审查操作,因此IDS处理效率显著提高。此外,随着威胁签名总体无限制地增加(目前来看会是这样),IDS效率将不会受到严重影响,因为不受新弱点影响的分组将不必被对照这些新威胁进行审查。事实上,由于本发明实施例能够显著缩小针对每个分组需要搜索的威胁签名集合,所以处理效率可被显著提高。例如,本领域已知苹果电脑的OS X操作系统不易受绝大多数当前被视为“无节制的”(即已知为不受约束的)攻击的影响。因此,针对该OS的分组不需要被对照例如对Microsoft Windows OS的威胁进行审查。由于威胁签名的数量是如此之小,因此对针对OS X的分组的处理(包括威胁审查)速度显著提高。
从下面对本发明特定实施例的描述中,本发明的上述和其他目的、特征和优点将变得很明显,附图示出了本发明的特定实施例,其中在各个不同图中,相似的标号指示相同部件。附图不一定是按比例绘制的,而是将重点放在了说明本发明的原理上。
图1是根据本发明一个实施例配置的入侵检测系统的高级框图。
图2是根据本发明一个实施例的IDS虚拟化过程的高级流程图。
具体实施例方式
本发明的实施例涉及基于分组目标操作系统(OS)特性和将分组审查调整到缩小的威胁签名集合的入侵检测系统(IDS)虚拟化的技术。调整和相伴随的IDS虚拟化又基于使用被动和/或主动分组指纹识别(fingerprinting)来确定分组的目标操作系统。在一些实施例中,目标OS可以是由分组的源主机和分组的目的地主机的操作系统构成的元组。
图1示出了根据本发明一个实施例配置的虚拟化的入侵检测系统100。在较高级别上看,系统100由到无保护网络101的接口、审查/处理系统组件和到受保护网络102的第二接口构成。此外,操作者接口120允许操作者加载威胁签名的总体。
在系统100的审查/处理组件内,分组由指纹识别器处理,指纹识别器又将经指纹识别的分组提供给定向器(director),以便交换或路由到一个或多个虚拟IDS(VIDS)过程(如上所述,所述过程可以是以几种方式中的任何一种在逻辑上独特的)。当在合适的VIDS过程(或VIDS过程集合)中进行审查(在缩小的威胁签名集合140的帮助下)之后,分组经由第二网络接口离开系统100,并进入受保护网络102。
在本发明的一个实施例中,具体而言,来自无保护网络(例如但不限于公共因特网)的分组流105经由第一网络接口(未示出)在指纹识别器155处进入系统100。指纹识别器155查看每个分组,以便确定发送该分组的主机操作系统和该分组针对的主机计算机的操作系统。对分组流105中的每个分组执行的该指纹识别过程是使用本领域常用和公知的被动或主动指纹识别方法和技术来实现的。Toby Miller的可在http//www.sans.org/rr/-special/passiveos.php(最近查看时间4/13/04)处获得的Passive OS FingerprintingDetails and Techniques和可在http//www.sans.org/rr/special/passiveos2.php(最近查看时间4/13/04)处获得的Passive OS FingerprintingDetails and Techniques(Part 2)中详细讨论了被动指纹识别技术,这两篇文档都通过引用而被完全结合于此。(例如)Fyodor的可在http//www.insecure.org/nmap/nmap-fingerprinting-article.html(最近查看时间4/13/04)处获得的Remote OS detection via TCP/IP StackFingerprinting和Ofir Arkin的可在http//www.sys-security.com/archive/papers/ICMP_Scanning_v3.0.pdf(最近查看时间4/13/04)处获得的ICMP Usage In Scanning,Version 3.0中详细讨论了主动指纹识别技术,这两篇文档都通过引用而被完全结合于此。由于普通技术人员很容易实现执行被动或主动指纹识别(或它们二者)所必需的硬件和/或软件的设计和配置,因此这里不进一步讨论对具体指纹识别技术的实现。
当每个分组被指纹识别时,标示源和目的地操作系统的信息被与分组相关联。该信息可以被存储在例如临时或中间结果暂存存储器中,以供定向器160使用。或者,目标操作系统数据可以在分组被传递到定向器160时被附加或联接到分组。
在很多实现中,目的地操作系统(即目的地主机的操作系统)主要用于评估分组所施加的威胁,“目标OS”是目的地主机OS,因为最常见的威胁是对分组目的地的威胁。但是,在一些情形下,某些威胁签名是根据源操作系统定义的,即“目标OS”是发送分组的主机的操作系统。例如,如果源操作系统可通过指纹识别而被识别为UNIX,则分组包含Microsoft Windows远程过程调用(RPC)这一事实指示UNIX盒子(box)可能正在试图渗透Window系统。由于Windows RPC调用一般不会来自UNIX机器,因此它应被标识为威胁。因此,一些签名可以以源主机OS作为目标操作系统。
离开指纹识别器155的分组进入定向器160,在定向器160中,基于由指纹识别器155识别出的目标OS,它们被发送(即重定向、交换或路由,就是本领域已知的那些术语)到合适的虚拟IDS(VIDS)过程150。
虽然指纹识别器155和定向器160在图1中被示为独立的功能元件,但是本领域的技术人员将理解,这些功能可以实现在一个或多个设备和/或一个或多个软件过程中。因此,虚拟化的IDS 100的实现不限于硬件和/或软件功能和物理实施例之间的特定区分或布置。
为了清楚起见,图1仅示出了两个VIDS过程150-1和150-2,但是在典型实现中,可以有多个VIDS过程或单元,每个都对应于不同的目标操作系统。此外,虽然每个VIDS 50都被描述为在处理器电路上的软件中执行的过程,但是本领域的技术人员将理解,VIDS过程的功能也可在硬件中(即在处理器或其他计算机单元中)、在单个软件过程中或在硬件和软件的组合中实现。因此,本发明不限于VIDS功能的任何特定实现。
示例性而非限制性地,VIDS 150-1可被配置为(在本发明的某些实施例中)将个体分组162与对应于以(例如)Windows XP为目标的威胁的特定的缩小的威胁签名集合140-1相比较。第二VIDS 150-2可被配置为将分组164(其被定向到VIDS 150-2,因为它们所共享的操作系统不同于分组162所共享的目标操作系统)与第二缩小的威胁签名集合140-2相比较。缩小的威胁签名集合140-2可列出以(例如)Windows 98为目标的威胁。本领域的普通技术人员将理解,可采用多个VIDS单元150,每个都包含缩小的威胁签名集合140,所述缩小的威胁签名集合140包含适于不同目标操作系统的威胁签名。因此,本发明不限于特定数量的VIDS 150和/或缩小的威胁签名集合140。
缩小的威胁签名集合140是由分类器130从包含所有已知威胁签名的总体的数据库或其他存储器或存储设备110形成的。威胁签名的总体可以由操作者使用传统的工作站或计算机120在激活虚拟化IDS 100之前加载到数据库110中。或者,虽然未示出,但是威胁签名110的总体可由文件传输、扫描、网络流量的自发现或监视,或本领域已知的传统的或将会发现的用于创建和维护威胁签名数据库的任何手段来加载。
通过根据目标操作系统利用传统分类方法和技术选择签名来完成从威胁签名110的总体形成离散的缩小的威胁签名集合140的过程。威胁签名本身是本领域已知的用于基于分组的威胁审查的传统文本和/或数字数据串。例如,Kyle Haugsness的可在http//www.sans.org/rr/papers/23/835.pdf(最近查看时间4/13/04)处获得的Intrusion Detection In DepthGCIAPractical Assignment Version 3.0(2001年12月2日)Syed Yasir Abbas的可在http//www.cs.fsu.edu/-research/reports/TR-021204.pdf(最近查看时间4/14/04)处获得的Introducing Multi Threaded Solution to Enhance theEfficiency of Snort(2002年12月7日);以及可在http//www.snort.org/docs/snort_manual/(最近查看时间4/23/04)处获得的Snort Users Manual,v.2.1.2中描述了这种威胁签名的使用和组织,这三份文献通过引用而被完全结合于此。
加载威胁总体数据库110和选择或形成各个缩小的威胁签名集合140所需的操作者120和OS分类器130的动作可以在激活虚拟化的IDS 100之前的任何时刻或者甚至在操作期间完成,例如当某些威胁签名必须在不中断虚拟化的IDS 100中的分组处理的情况下被更新时。因此,虽然缩小的威胁签名集合140必须在最初被定义,但是那些定义不必是静态的,而且本发明并不限于此。
已知某些威胁对于多个目标OS或平台来说是共同的。因此,代表这些共同威胁的威胁签名被分组为必须被应用(在另一VIDS 150中)到所有分组105的独立的缩小的威胁签名集合140(未示出)。通过提供同时(或基本同时地)将分组定向到多个VIDS 150的能力,可以在定向器160中实现(在本发明的一些实施例中)这种并行处理能力。这种由多个VIDS 150并行(接近同时地)处理分组的能力显著提高了虚拟化的IDS100中的速度和吞吐量。
与威胁签名匹配的分组162或164(在图1的实施例的两个VIDS 150中)在VIDS 150内被阻挡,并且不被允许进入受保护网络102。阻挡操作可采取任何传统形式,例如但不限于删除、路由到/dev/null、分组标记和路由到用于警告/报告的特殊过程,或防止威胁分组离开虚拟化的IDS 100的某些其他手段。反之,不与任何威胁签名匹配的分组形成经审查的(或被接受的)分组流157,分组流157随后被传递(通过传统手段)到受保护网络102中。受保护网络102例如但不限于由受虚拟化的IDS 100保卫和保护的内联网、LAN、MAN或其他相对封闭的网络空间所构成。
图2示出了过程200的一个示例性实施例,通过该过程虚拟化的IDS接收分组、执行指纹识别和到操作系统合适的VIDS过程的分组重定向、将每个分组与特定的缩小的威胁签名集合相比较,并相应地传递或拒绝分组。
过程200在步骤210中利用加载威胁签名进行虚拟化的IDS分组处理操作之前开始。步骤210定义(或收集)数据库或其他存储器或存储元件中的相关威胁签名的总体。在本发明的一些实施例中,可以利用本领域公知的传统技术和过程来执行签名定义和/或收集过程(包括根据需要进行编辑和/或修改)。接下来,在步骤220,过程200基于目标操作系统从威胁签名总体形成若干个缩小的威胁签名集合。如上所述,每个威胁签名都特定于一个目标操作系统,即威胁本身一般是仅以单个操作系统为目标的。对于应用到多个操作系统的威胁签名来说(例如存在于多个操作系统中的弱点),缩小的威胁签名集合是针对两个或多个操作系统共有的威胁而形成的。每个缩小的威胁签名集合都使用传统过程被存储在数据库或其他存储器结构中。
然后,在步骤230,因操作系统而定的缩小的威胁签名的每个数据库(或集合)被用来形成虚拟化的IDS,其被配置为比较或审查被提供给它的每个分组。一旦虚拟化的IDS开始在步骤250处理进入分组,这些分组就开始到达比较步骤280。
在步骤260,虚拟化的IDS接收分组250并对每个分组进行指纹识别。指纹识别260可以是例如通过查询DHCP服务器或本领域已知的其他主动指纹识别方法而进行的主动过程。或者,可以通过被动手段来完成指纹识别260,所述被动手段例如(但不限于)分析分组头部的ACK、标志、和/或选项字段以及将其值与一组因OS而定的指示符相比较。这些指示符(或规则)允许从TCP和/或IP分组头部字段值推导出分组源主机和/或分组目的地主机的操作系统。
在指纹识别步骤260确定每个分组的目标OS的身份之后,根据分组的目标OS,分组被定向(在步骤270中)到几个VIDS过程中的特定的一个。如上所述,可以创建多个VIDS过程(在步骤230),以匹配在步骤220形成的若干个不同的缩小的威胁签名集合。
在一些实现中(未在图2中示出),过程200通过进一步将分组定向(在步骤270)到第二VIDS过程以便评估源OS,来检查每个分组携带的协议是否能被源OS官方地“诉说(talk)”(使用、传输、发送)。如下面进一步描述的那样,源OS VIDS仅在协议对于源OS来说有效的情况下才进行检查。有效协议通过源OS的VIDS比较。
在每个VIDS过程275中,在步骤280,将每个输入分组与针对该分组的目标OS的相应缩小的威胁签名集合相比较。如果分组通过了比较测试,即分组不与缩小的威胁签名集合中的任何威胁签名相匹配,则在步骤290,它被接受以供进一步处理和/或转发出VIDS过程275。然后,VIDS过程275继续到或循环回比较步骤280,以便处理下一个被提供的分组。
另一方面,如果分组与缩小的威胁签名集合中的威胁签名之一相匹配,则分组在步骤299被丢弃。在本上下文中,“丢弃”是指在入侵检测上下文中可处理坏分组的各种方式中的任何一个系统可以设置警报、标志、拒绝或空路由(null-route)分组,或以其他方式抑制其从虚拟化的IDS的进一步传输。
必须注意,虽然为了附图的清楚和简明起见而未在图2中示出,但是在本发明的一些实施例中,多个VIDS过程275(如步骤280、290和299所示)可以并行操作,从而基本同时地处理多个分组。此外,多个VIDS275可以处理同一个分组,例如当要应用因OS而定的威胁签名集合和共同的威胁签名集合时。但是,不论是否采用并行处理,应用到每个分组的威胁签名集合的缩小都提供了显著的性能益处。
替换实施例执行本方法的步骤的顺序在本质上完全是示例性的。事实上,这些步骤可以任何顺序执行或被并行执行,除非在本公开中另行指明。
本发明的方法可在硬件、软件或其任何组合中实现,这些术语在本领域是已知的。具体而言,本方法可由软件、固件或在任何类型的一个或多个计算机上操作的微代码执行。此外,实现本发明的软件可以包括存储在任何计算机可读介质(例如ROM、RAM、磁介质、打孔带或卡、任何形式的致密盘(CD)、DVD等)中的任何形式的计算机指令(例如源代码、目标代码、经解释的代码,等等)。此外,这种软件还可以是实现在载波中的计算机数据信号的形式,例如在连接到因特网的设备之间传送的公知网页内找到的那些。因此,本发明不限于任何特定平台、除非本公开中另有特别规定。
虽然已参考本发明的实施例具体示出和描述了本发明,但是本领域的技术人员应当理解,在不脱离由所附权利要求限定的本发明的精神和范围的情况下,可以在形式和细节方面作出各种改变。
权利要求
1.一种入侵检测系统虚拟化的方法,包括接收分组流;对所述流中的每个分组进行指纹识别,以便识别至少一个目标操作系统(OS)类型;将每个所述分组定向到与每个所述识别出的目标OS类型相对应的虚拟IDS过程;在所述虚拟IDS过程中,将每个所述分组与对应于每个所述识别出的目标OS类型的威胁签名集合相比较;以及基于所述比较,接受每个所述分组。
2.如权利要求1所述的方法,其中所述指纹识别包括主动指纹识别。
3.如权利要求1所述的方法,其中所述指纹识别包括被动指纹识别。
4.如权利要求1所述的方法,其中所述目标OS类型是分组源主机OS。
5.如权利要求1所述的方法,其中所述目标OS类型是分组目的地主机OS。
6.如权利要求1所述的方法,其中所述目标OS类型是分组源主机OS和分组目的地主机OS二者。
7.如权利要求1所述的方法,其中所述指纹识别识别多个目标OS类型,所述定向基本在同时发生。
8.一种使用操作系统类型信息的入侵检测系统虚拟化的方法,包括基于操作系统类型,从签名总体形成多个缩小的威胁签名集合;将入侵检测系统(IDS)虚拟化为与所述多个缩小的威胁签名集合相对应的多个虚拟IDS过程;接收分组流;对所述流中的每个分组进行指纹识别,以便识别至少一个目标操作系统类型;将每个所述分组定向到与每个所述目标操作系统类型相对应的虚拟IDS过程;在所述虚拟IDS过程中,将每个所述分组与所述缩小的威胁签名集合相比较;以及基于所述比较,接受每个所述分组。
9.如权利要求8所述的方法,其中所述多个缩小的威胁签名集合包括对于多个操作系统类型来说是共同的签名的集合。
10.如权利要求8所述的方法,其中所述指纹识别包括主动指纹识别。
11.如权利要求8所述的方法,其中所述指纹识别包括被动指纹识别。
12.如权利要求8所述的方法,其中所述目标操作系统类型是分组源主机操作系统。
13.如权利要求8所述的方法,其中所述目标操作系统类型是分组目的地主机操作系统。
14.如权利要求8所述的方法,其中所述目标OS是分组源主机OS和分组目的地主机OS二者。
15.如权利要求8所述的方法,其中所述指纹识别识别多个目标操作系统类型,所述定向到与每个所述目标操作系统类型相对应的虚拟IDS过程基本在同时发生。
16.一种用于入侵检测系统(IDS)虚拟化的装置,包括连接到无保护网络的第一网络接口;指纹识别器,所述指纹识别器可操作地连接到所述第一网络接口以便接收多个分组,并被配置为针对每个所述分组确定至少一个相应的目标操作系统(OS);定向器,所述定向器连接到所述指纹识别器,并被配置为接收所述多个分组和所述相应的目标OS指纹,其中所述定向器根据所述至少一个相应的OS指纹,将每个所述分组定向到一个或多个虚拟IDS单元;以及第二网络接口,所述第二网络接口将所述一个或多个虚拟IDS单元连接到受保护网络;其中,至少一个所述虚拟IDS单元包括至少一个因操作系统而定的威胁签名,并且被配置为仅接受不与任何所述威胁签名相匹配的分组。
17.如权利要求16所述的装置,其中所述指纹识别器采用被动指纹识别算法。
18.如权利要求16所述的装置,其中所述指纹识别器采用主动指纹识别算法。
19.如权利要求16所述的装置,其中所述指纹识别器识别多个目标OS指纹,所述定向器基本在同时将每个所述分组定向到所述虚拟IDS单元。
20.一种用于入侵检测系统虚拟化的装置,包括用于接收分组流的装置;用于对所述流中的每个分组进行指纹识别,以便识别至少一个目标操作系统(OS)类型的装置;用于将每个所述分组定向到与每个所述识别出的目标OS类型相对应的虚拟IDS过程的装置;用于在所述虚拟IDS过程中,将每个所述分组与对应于每个所述识别出的目标OS类型的威胁签名集合相比较的装置;以及用于基于所述比较,接受每个所述分组的装置。
21.如权利要求20所述的装置,其中所述用于指纹识别的装置包括用于主动指纹识别的装置。
22.如权利要求20所述的装置,其中所述用于指纹识别的装置包括用于被动指纹识别的装置。
23.如权利要求20所述的装置,其中所述目标OS类型是分组源主机OS。
24.如权利要求20所述的装置,其中所述目标OS类型是分组目的地主机OS。
25.如权利要求20所述的装置,其中所述目标OS类型是分组源主机OS和分组目的地主机OS二者。
26.如权利要求20所述的装置,其中所述用于指纹识别的装置识别多个目标OS类型,所述用于定向的装置基本在同时进行操作。
27.一种用于入侵检测系统虚拟化中的计算机系统,包括用于执行以下操作的计算机指令接收分组流;对所述流中的每个分组进行指纹识别,以便识别至少一个目标操作系统(OS)类型;将每个所述分组定向到与每个所述识别出的目标OS类型相对应的虚拟IDS过程;在所述虚拟IDS过程中,将每个所述分组与对应于每个所述识别出的目标OS类型的威胁签名集合相比较;以及基于所述比较,接受每个所述分组。
28.如权利要求27所述的计算机系统,其中所述用于指纹识别的计算机指令包括用于主动指纹识别的计算机指令。
29.如权利要求27所述的计算机系统,其中所述用于指纹识别的计算机指令包括用于被动指纹识别的计算机指令。
30.一种计算机可读介质,存储有可由多个服务器计算机执行的计算机程序,所述计算机程序包括用于执行以下操作的计算机指令接收分组流;对所述流中的每个分组进行指纹识别,以便识别至少一个目标操作系统(OS)类型;将每个所述分组定向到与每个所述识别出的目标OS类型相对应的虚拟IDS过程;在所述虚拟IDS过程中,将每个所述分组与对应于每个所述识别出的目标OS类型的威胁签名集合相比较;以及基于所述比较,接受每个所述分组。
31.如权利要求30所述的计算机可读介质,其中所述用于指纹识别的计算机指令包括用于主动指纹识别的计算机指令。
32.如权利要求30所述的计算机可读介质,其中所述用于指纹识别的计算机指令包括用于被动指纹识别的计算机指令。
33.一种实现在载波中的计算机数据,包括用于执行以下操作的计算机指令接收分组流;对所述流中的每个分组进行指纹识别,以便识别至少一个目标操作系统(OS)类型;将每个所述分组定向到与每个所述识别出的目标OS类型相对应的虚拟IDS过程;在所述虚拟IDS过程中,将每个所述分组与对应于每个所述识别出的目标OS类型的威胁签名集合相比较;以及基于所述比较,接受每个所述分组。
34.如权利要求33所述的计算机数据信号,其中所述用于指纹识别的计算机指令包括用于主动指纹识别的计算机指令。
35.如权利要求33所述的计算机数据信号,其中所述用于指纹识别的计算机指令包括用于被动指纹识别的计算机指令。
全文摘要
描述了基于每个分组的源和/或目的地主机计算机操作系统(OS)类型和特性来虚拟化网络入侵检测系统(IDS)功能的系统和方法。通过对每个分组进行指纹识别来确定分组的目标OS,然后在虚拟IDS中对照因目标OS而定的缩小的威胁签名集合审查每个分组,来完成虚拟化。每个虚拟IDS不论是在独立的计算机上操作还是作为逻辑上不同的过程或在单个计算机处理器上运行的独立的线程进行操作,都能够与其他虚拟IDS过程并行操作。由于小得多的威胁签名总体子集被用于每个因OS而定的分组威胁审查操作,因此IDS处理效率和速度显著提高。
文档编号H04L29/06GK1943210SQ200580011926
公开日2007年4月4日 申请日期2005年4月5日 优先权日2004年4月27日
发明者拉维杉卡·干纳施·伊特霍 申请人:思科技术公司