专利名称:使用端点资源的网络安全单元的制作方法
技术领域:
本发明的实施例涉及计算机安全。更具体来说,本发明的实施例涉 及使用端点资源的网络安全单元。
背景技术:
对于计算机操作,已经引入了许多网络安全单元,以便防止外人的 攻击。例如,未授权的人经常试图通过探测网络获取系统中的可访问点 来访问网络资源。在已经设计为应对未授权网络进入的网络安全单元中有暗网分析 器和蜜罐,它们组合起来将有害业务诱离操作计算机资源,并且允许系 统工作人员分析攻击者。 一般来"^兌,安全单元会认识到,未授权的人正 试图访问未用子网上的IP(因特网协议)地址,因而不应当^皮访问。 一旦 检测到该访问,就可将未授权用户定向到与操作网络分开的并且可称作 "暗网"的服务器或系统。另外,网络安全可尝试才莫拟该系统,以便设 法怂恿未授权用户泄露该用户的访问方法或者与网络有关的知识水平 (称作"蜜耀"),由此使系统管理员能够改进网络安全性。然而,常规的系统在操作上受限制,且在许多情况下保护不了网 络。如果未授权用户具有足够的知识,那么该用户就可能能够避免触发 暗网操作。例如,如果用户能够避开未分配IP地址或未用网络,就可 能检测不到该用户。另外,暗网/蜜罐的操作可能被未授权用户检测到, 使该用户可在网络管理员能够获得有关入侵者的信息前就中断联系。发明内容根据本发明的一个方面,提供一种方法,包括在端点服务器接收
访问网络的请求;检测所述访问网络的请求包含未授权请求;以及将所 述访问网络的请求定向到网络安全单元。根据本发明的另一方面,提供一种服务器,包括接口,接收访问 网络的请求;模块,检测访问网络的授权请求;以及网络安全单元,所 述服务器将检测的未授权请求定向到所述网络安全单元。根据本发明的又一方面,提供一种网络,包括以太网电缆,用于 以太网连接;端点服务器,耦合到所述以太网电缆,所述端点服务器检 测访问网络的未授权请求;网络安全单元,与所述端点服务器耦合,所 述端点服务器将检测的访问网络的未授权请求发送到所述网络安全单 元;以及安全服务器,与所述网络的操作分开,所述安全服务器从所述 网络安全单元接收有关所述未4吏权请求的数据。根据本发明的再一方面,提供一种制品,包括机器可存取介质, 包含当由机器存取时使所述机器执行包括以下步骤的操作的数据在端 点服务器接收访问网络的请求;检测所述访问网络的请求包含未授权请 求;以及将所述访问请求定向到网络安全单元。
在附图中作为实例而不是限制来说明本发明的实施例,附图中相似 的参考标号表示相似的单元图1是网络安全单元用于检测和防止未授权进入网络的图示;图2是分布式网络安全系统的实施例;图3是用于出站分组监测的过程的图示;图4是用于入站分组监测的过程的图示;以及图5是利用本发明实施例的计算机系统的图示。
具体实施方式
本发明的实施例涉及使用端点资源的网络安全单元。 如本文所用的
"暗网"是指用于引导未授^l的使用离开操作网络单元的网络服务 器或单元。在一个通用实例中,试图访问未用子网中的未分配IP地址的用户可^皮^r测到并定向到暗网。"蜜罐"是指用于模拟未授权用户的网络访问的网络单元。在一个 实例中,可将被怀疑是未授权的访问网络的一方定向到蜜罐,以便获得 与未授权访问尝试有关的信息。"网络安全单元"是指用来保护网络免于未授权访问的单元。术语 "网络安全单元"包括但不限于暗网或蜜罐。在本发明的实施例中,防止未授权用户的网络安全单元分布于整个 网络。在本发明的实施例中,通过在网络端点中使用分布式网络安全单 元来扩展网络安全的操作。在一个实例中,通过将功能分布到网络端点 来扩展被定向到暗网/蜜罐的已授权访问类型。在本发明的实施例中, 网络安全单元分析可由端点资源访问的等级上的业务,而不是限制于常 规的操作。网络安全单元诸如暗网和蜜罐是企业安全武器库中的极有用的工 具。这些安全单元通常存在于中央位置,并且通常通过导离送往未用子 网中的IP地址的业务,而具有到企业EP空间某些部分中的可见性。但 是,用这种方法一个值得注意的问题是,它没有提供任何到许多事件中 的可见性,其中送往已用IP地址或者到已用网络中未用IP地址的业务 避开安全单元。因此,常规的构造在应对在行的或熟练的攻击者方面不 太有用。了解IP空间分配的攻击者,诸如在探测之前监测网络业务或 者具有其它拓朴知识的攻击者,能够部分或完全避开这些检测系统,因 此,安全单元对于能够将访问限制于活动网络中的已分配IP地址或多 个地址的攻击者没有任何可见性。在本发明的实施例中,网络安全分布于整个网络,使得端点资源可 用于安全性。通过提供被定向到暗网的业务的较细粒度,端点资源的使 用允许在更多操作中的可见性,并允许在端点级才莫拟操作,由此改进才莫 拟质量。暗网操作的分布可操作以使安全系统更难以避开(因为有效地 址包含在系统范围内),并使安全系统更难以检测到(因为端点系统能够 更紧密地接近操作系统的操作)。在一个实例中,端点能够为分组提供与正常系统相同的TTL(生存时间-IP分组中的一个值,它告诉路由器 该分组在网络中是否过长并且应当丟弃),由此提供一种响应,该响应 由于远程系统的分组传输的必要延迟而从远程暗网中得不到。在本发明的实施例中,网络包括服务器的一个或多个模拟,这些单 元由真实主机系统模拟。例如,网络路由器可提供对一个或多个真实主 机系统以及由真实系统所模拟的 一个或多个模拟系统的访问。模拟系统 打算看起来是操作系统的一部分,但实际上是在端点级的^t拟。在本发明的实施例中,网络安全的分布可在网络中实现,而无需才殳 资重要资源。例如,对于网络安全操作的分布仅需要ME(管理引擎)中 的比较少数量的端点资源。此外,不需要巻入主机OS (操作系统),因 而使分布式安全单元的部署和使用简单。在本发明的实施例中,不需要 巻入OS,因为所有网络业务都通过ME,因此在OS甚至有机会查看恶 意分组之前就可采取安全对策。因此,没有暴露OS,并且入侵尝试处 理完全保持在ME装置内。在本发明的实施例中,端点外壳(为安全性提供的服务器模拟)操作 以向中央安全服务器(暗网/蜜罐服务器)发送看来像是未授权的某些类 型的业务(它们也可称作定义为"所关注"的任何业务)或者与这种业务 有关的统计。分布式安全单元的使用可用于增加这类构造到操作中的可 见性。在一个实施例中,分布式网络安全单元可用于避免常规操作的主 要缺失,其是通常由暗网/蜜罐服务器提供的网络空间的选择性视图。在本发明的具体实施例中,例如由英特尔公司制造的英特尔主动管 理技术(iAMT) ME (管理引擎)的资源可用于有选择地检测某些业务类 型或者创建某些统计,并将其传递到中央暗网/蜜罐。但是,本发明的 实施例不限于这种环境。在一个实施例中,用于对"所关注"网络业务 进行分类的代理可以是断路器(CB),断路器是在接收到某种信号或数据 时"脱扣"的单元。在本发明的实施例中,ME的扩展可用于执行蜜罐
型动作,或者可用于将通过它的某些业务类型复制到远程分析器。在一个实例中,如果服务器接收到指示建立TCP(传输控制协议)连接的请求 的SYN请求,但业务被送往已关闭端口,则服务器通常将发送RST(重 置)响应。在本发明的实施例中,服务器的ME可配置成,在业务被送 往已关闭端口时,发送SYNACK(或者SYN/ACK)(响应于发送到服务器 的SYN的确认和同步)响应来代替RST响应,然后向暗网/蜜罐服务器 发送后面的分组或多个分组。在本发明的实施例中,在端点代理中建立的网络安全单元的操作包 括导离所检测的未授权网络业务。用于这种导离的方法在不同实现中可 以不同,并且可包括但不限于以下步骤(1) 开启IP隧道以转发未4更权业务。可使用各种方式建立IP隧道, 包括例如IP-in-IP隧道(一般用于转发端点之间的信息,充当IP互连网 络具有不同能力的部分之间的桥;如在"IP in IP隧穿"(Internet Network Working Group RFC 1853, 1995年10月)中提供的;还参见"IP内的IP 封装"(Internet Network Working Group RFC 2003, 1996年10月);或 者其它类似的方法。(2) 用已知的DSCP(差分服务代码点,它指定在IP分组标题中为了 分组分类而提供的字段)值来标记业务。在这个实例中,允许网络基础 设施采用基于策略的路由方法将指定信息传递到暗网。在本发明的实施例中,根^^具体实现,端点代理可向中央暗网/蜜 罐控制器传递与指定标准匹配的所有分组、诸如这种业务的统计抽样等 某些分组、或者只是关于这种业务的统计。如果大量的站参与分布式端 点安全解决方案,则甚至网络业务的稀疏统计抽样就可提供到网络环境 中正在发生的情况中的足够可见性,从而允许网络管理员分析该情况。在本发明的具体实施例中,网络可利用现有端点,诸如支持iAMT 的端点,作为企业安全分析实体,而无需了解主机OS或者由主机OS 参与。这种结构是所希望的,因为它没有使端点配置变复杂,并且它使 对性能的影响减到最小。另外,分布式安全结构的实施例直接由管理团 体而不是由站管理员来控制。使用主机OS外部的受控实体简化了将实 体结合到ISP安全传感器网络的整个企业的过程,并且可行动以关闭恶 意件活动的可见性中的显著间隙。用恶意件的预期连续演进,这种能力在实现深入防御方面可能是显著的。此外,在os外部提供安全实体可 用于防止恶意件窜改os。在本发明的实施例中,提供一种过程以便增强暗网和蜜罐功能性, 并且操作以防止拓朴上知道的恶意件逃避审查的能力。在本发明的实施 例中,系统允许将域中的每个主机用作蜜罐。图1是网络安全单元用于4佥测和/或防止未授权或恶意业务进入网络的图示。在这个图示中,未授^l或有威胁用户105正试图进入可能受 到包括例如防火墙110在内的各种安全代理和装置保护的网络(网络外 部的用户105a),或者已经是这种网络的合法用户(网络内部的用户 105b)。如果用户105能够躲避开其它安全措施,则用户可能试图访问 系统上的一个或多个IP地址,或者对其形成攻击。除了可能是操作网 络125的一部分或者提供对操作网络125的访问的系统IP地址115之 外,还可能存在正常情况下不应^皮访问的某些未用IP地址120。用户 105访问未用IP地址的尝试可能导致该活动^皮检测到和/或将业务重定 向到暗网/蜜罐服务器,该暗网/蜜罐服务器可模拟操作网络以便引诱未 授权用户泄露与用户的方法或意图有关的信息。另外,其它网络单元可 用来限制用户的访问,其可基于在暗网中得到的信息。但是,未授权用户可能已获得了与IP地址分配有关的知识,因而 可避免访问上述未用IP空间,因此避免了^皮检测到或重定向到暗网 130。此外,即使用户105^皮定向到暗网,暗网的操作也可能泄露其实 际功能。具体来说,与用户105正试图到达的本地系统相反,获得来自 中央暗网服务器的响应的延迟可能导致用户注意到了该情况。如果用户 105因此得到预先警告,则用户可能尝试不同的策略来避免检测。在本发明的一个实施例中,通过使用端点操作来辅助暗网/蜜罐服 务器130的功能。在本发明的一个实施例中,暗网和蜜罐操作利用本地 化端点功能来实现改进的安全过程。图2是分布式网络安全系统的实施例。图2所示的系统只是可能的 网络结构的实例,并且本发明的实施例不限于任何特定网络结构。在这 个图示中,广域网(WAN)205包4舌分布式暗网控制器210。暗网控制器 210充当在网络端点实现的分布式安全单元的控制器。WAN 205可包 括用于校园的多个路由器,包括校园AWAN路由器215、校园BWAN 路由器220直至校园N WAN路由器225。校园A WAN路由器215可 向局域网(LAN)路由器230发送数据,其中的局域网包括真实主机A 240、真实主机B245以及实际上由主机A240模拟的主机C250。类似 地,校园B WAN路由器220可向局域网(LAN)路由器235发送数据, 其中的局域网包括真实主机X255、真实主机Y260以及实际上由主机 X255模拟的主机Z265。在本发明的实施例中,网络的暗网操作由分布式暗网控制器210 控制,并分布到模拟网络主机单元,主机C 250和主机Z 265。在本发 明的一个实施例中,通过模拟主机和真实主机系统二者提供了到不当网 络请求中的增加可见性。将业务定向到虚拟主机C250和Z265的尝试 会被转发到暗网控制器210或l良告给它。另外,送往真实主机A、 B、 X和Y上未用端口的任何业务也可被转发到暗网控制器210或净艮告给 它。重定向业务转移可通过IP隧穿、通过用已知DSCP标记业务或者 通过另一种方法来提供。另外,主机服务器还可截取规定关闭端口的任 何RST,并改为发送SYNACK以便查看进行什么连接尝试,并且可将 请求隧穿到控制器210的分布式蜜罐操作,以洞悉与所尝试未授权访问 有关的信息。图3是用于出站分组监测的过程的图示。在这个图示中,在建立出 站分组监测过程305时,确定系统是否处于蜜罐沖莫式310,即其中对于 未授权请求存在蜜罐操作的模式。如果否,则分组可通过,并且过程返 回315。如果蜜罐模式是活动的,则确定RST条件是否存在320。如果 否,则分组可通过,并且过程返回315。如果存在RST条件,则改为发
送SYNACK325,尝试引诱未授权用户泄露更多的信息。该过程还包括 调用蜜罐TCP模拟,以使未授权用户确信正在建立TCP会话。图4是用于入站分组监测的过程的图示。在本发明的实施例中,在 建立入站分组监测过程405时,来自未授权用户的入站分组通过410。 确定系统是否处于蜜罐模式415。如果否,则该过程继续进行,直至接 收到另一个分组。如果系统处于蜜罐才莫式,则计算与分组有关的统计 420,该统计然后可用于分析未4受权的网络业务。图5是使用本发明实施例的计算机系统的图示。在一个实施例中, 计算机系统可表示服务器的端点服务器,端点服务器用于网络的分布式 暗网/蜜罐操作。没有示出与本发明无关系密切的某些标准和众所周知 的组件。在本发明的一个实施例下,计算机500包括总线505或者用 于传递信息的其它通信部件;以及处理部件,诸如与总线505耦合以便 处理信息的两个或更多个处理器510(示为第一处理器515和第二处理 器520)。处理器510可包括一个或多个物理处理器以及一个或多个逻辑 处理器。此外,每一个处理器510都可包括多个处理器核心。为了简明 起见,计算机500示为具有单个总线505,但是计算机也可具有多个不 同的总线,并且到这类总线的组件连接可有所不同。图5所示的总线 505是一种抽象,它表示任何一个或多个独立物理总线、点对点连接或 者通过适当桥、适配器或控制器连接的两者。因此,总线505可包括例 如系统总线、外围部件互连(PCI)总线、超传输或工业标准体系结构(ISA) 总线、小型计算机系统接口(SCSI)总线、通用串行总线(USB)、 1IC(I2C) 总线、或者电气与电子工程师协会(IEEE)标准1394总线,有时称作"火 线"。("高性能串行总线标准"1394-1995, IEEE, 1996年8月30日 出版,以及增补)计算机500还包括随机存取存储器(RAM)或其它动态存储装置,作 为主存储器525,用于存储要由处理器510执行的信息和指令。主存储 器525还可用于在处理器510执行指令期间存储临时变量或其它中间信 息。RAM存储器包括需要刷新存储器内容的动态随机存取存储器 (DRAM)以及不需要刷新内容但成本增加的静态随机存取存储器 (SRAM)。 DRAM存储器可包括包含控制信号的时钟信号的同步动态随 机存取存储器(SDRAM)以及扩展数据输出动态随机存取存储器(EDO DRAM)。主存储器的用途可包^"存储从无线装置接收的信号。计算机 500还可包括只读存储器(ROM) 530和/或其它静态存储装置,用于存储 处理器510的静态信息和指令。数据存储装置535还可耦合到计算机500的总线505,用于存储信 息和指令。数据存储装置535可包括磁盘或光盘及其对应的驱动器、闪 存或其它非易失性存储器或者其它存储装置。这类单元可组合在一起, 或者可以是独立组件,并利用计算机500的其它单元部分。计算机500还可经由总线505耦合到显示装置540,例如阴极射线 管(CRT)显示器、液晶显示器(LCD)、等离子显示器或者任何其它显示 技术,用于向终端用户显示信息。在一些环境中,显示装置可以是触摸 屏,它还用作输入装置的至少一部分。在一些环境中,显示装置540 可以是或者可包括音频装置,诸如用于提供音频信息的扬声器。输入装 置545可耦合到总线505,用于向处理器510传递信息和/或命令选择。 在各种实现中,输入装置545可以是键盘、小键盘、触摸屏和输入笔、 语音激活系统或其它输入装置,或者这类装置的组合。可包括在内的另 一种类型用户输入装置是光标控制装置550,诸如鼠标、跟踪球或光标 方向键,用于向一个或多个处理器510传递方向信息和命令选择,并用 于控制显示装置540上的光标移动。通信装置555也可耦合到总线505。根据具体实现,通信装置555 可包括收发器、无线调制解调器、网络接口卡、母板上的LAN(局域网) 或者其它接口装置。通信装置555的用途可包括接收来自无线装置的信 号。对于无线电通信,通信装置555可包括一个或多个天线558。在一 个实施例中,通信装置555可包括防火墙,以保护计算机500免于不当 访问。计算机500可链接到诸如LAN(局域网)565的网络或使用通信装 置555的其它装置,这可包括链接到因特网、局域网或另一种环境。计 算机500还可包括电力装置或系统560,它可包括电源、电池或太阳能 电池、燃料电池或者用于提供或产生电力的其它系统或装置。由电力装 置或系统560提供的电力可根据需要分布到计算机500的单元。在本发明的一个实施例中,计算机500是包含充当一部分分布式网 络安全系统的能力的端点服务器。在一个实施例中,处理器510处理入 局数据分组,并检测看来像是未授权的分组,诸如包括访问未用地址或 端口号的请求的分组。在一个实施例中,为了控制器安全操作以及分析 检测的业务,计算机向集中暗网控制器转发一些或所有未授权数据业务 或者与数据业务有关的统计。受益于本公开的本领域技术人员会理解,在本发明的范围内可对以 上说明书和附图进行许多其它改变。实际上,本发明不限于上述细节。 而是,由以下包含其任何修改的权利要求书来定义本发明的范围。在以上说明书中,为了便于解释,阐述了大量具体细节,以便提供 本发明的全面理解。然而,本领域的技术人员要清楚,没有这些具体细 节其中的一部分也可以实施本发明。在其它情况下,以框图形式示出众 所周知的结构和装置。本发明可包括各种过程。本发明的过程可由硬件组件执行,或者可 包含在机器可执行指令中,这些指令可用于使得用这些指令编程的通用 或专用处理器或逻辑电路执行这些过程。或者,这些过程可由硬件和软 件的组合来执行。本发明各部分可提供为计算机程序产品,它可包括其上存储有指令 的机器可读介质,这些指令可用于对计算机(或其它电子装置)编程以执 行根据本发明的过程。机器可读介质可包括但不限于软盘、光盘、 CD-ROM(紧致盘只读存储器)以及磁光盘、ROM(只读存储器)、RAM(随 机存取存储器)、EPROM(可擦除可编程只读存储器)、EEPROM(电可擦 除可编程只读存储器)、磁卡或光卡、闪存或者适合于存储电子指令的 其它类型介质/机器可读介质。此外,本发明还可作为计算机程序产品 下载,其中程序可通过包含在载波或其它传播介质中的数据信号经由通
信链路(例如调制解调器或网络连接)从远程计算机传送到发出请求的 计算机。以其最基本的形式对许多方法进行了描述,^f旦可以对任何方法添加 或删除过程,并且可对任何所述消息添加或减少信息,并不背离本发明 的基本范围。本领域的技术人员要清楚,可进行其它修改和改写。提供 具体实施例不是限制本发明,而是对其进行说明。本发明的范围不是由 以上提供的具体实例确定,而是仅由以下权利要求书确定。还应理解,遍及本说明提到的"一个实施例"或"实施例"是指某 个具体特征可包含在本发明的实施中。类似地,应理解,在本发明示范 实施例的以上描述中,为了简化本公开并帮助理解各发明方面中的 一个 或多个,本发明的各种特征有时集中在单个实施例、附图或其描述中。 然而,这个公开方法不应解释为反映所要求的发明需要比各权利要求中 明确列举的更多的特征的发明。而是,如以下权利要求所反映的,发明 方面在于少于以上公开的单个实施例的所有特征。因此,权利要求书由 此明确地结合到此说明书中,其中每个权利要求本身代表本发明的独立 实施例。
权利要求
1.一种方法,包括在端点服务器接收访问网络的请求;检测所述访问网络的请求包含未授权请求;以及将所述访问网络的请求定向到网络安全单元。
2. 如权利要求1所述的方法,其中所述未授权请求包括对有放地 址的未用单元的请求。
3. 如权利要求2所述的方法,其中所述未用单元是有效IP(因特网 协议)地址的未用端口。
4. 如权利要求1所述的方法,还包括将有关所述未授权请求的数 据从所述网络安全单元定向到与所述网络的操作分开的安全控制器。
5. 如权利要求4所述的方法,其中有关所述未授权请求的所述数 据包括含有所述访问网络的请求的数据分组。
6. 如权利要求4所述的方法,其中所述数据包括描述所述访问网 络的请求的统计。
7. 如权利要求1所述的方法,还包括所述网络安全单元用所述 请求的确认来响应所述访问请求。
8. 如权利要求1所述的方法,其中所述网络安全单元是才莫拟服务器。
9. 一种服务器,包括4妄口 ,接收访问网络的请求;模块,检测访问网络的未授权请求;以及网络安全单元,所述月良务器将检测的未授权请求定向到所述网络安 全单元。
10. 如权利要求9所述的服务器,其中检测的未授权请求包括对有 效网络地址的未用单元的请求。
11. 如权利要求10所述的服务器,其中所述未用单元是有效IP(因特网协议)地址的未用端口 。
12. 如权利要求9所述的服务器,其中所述网络安全单元将有关所 述未授权请求的数据定向到暗网服务器。
13. 如权利要求12所述的服务器,其中所述网络安全单元将一个 或多个所述检测的未授权请求定向到所述暗网服务器。
14. 如权利要求12所述的;i艮务器,其中所述网络安全单元将描述 一个或多个所述检测的未授权请求的统计定向到所述暗网服务器。
15. 如权利要求9所述的服务器,其中所述网络安全单元用所述请 求的确认来响应检测的未授权请求。
16. 如权利要求9所述的服务器,其冲所述网络安全单元包括所述服务器的模拟。
17 一种网络,包括以太网电缆,用于以太网连接;端点服务器,耦合到所述以太网电缆,所述端点服务器检测访问网 络的未授权请求;网络安全单元,与所述端点服务器耦合,所述端点服务器将检测的 访问网络的未授权请求发送到所述网络安全单元;以及安全服务器,与所述网络的操作分开,所述安全服务器从所述网络 安全单元接收有关所述未授权请求的数据。
18. 如权利要求17所述的网络,其冲检测的未授权请求包括对有 效网络地址的未用单元的请求。
19. 如权利要求17所述的网络,其中所述网络安全单元用所述请 求的确认来响应检测的未授权请求。
20. 如权利要求17所述的网络,其中所述网络安全单元包括才莫拟 服务器。
21. —种制品,包括机器可存取介质,包含当由机器存取时使所述机器执行包括以下步 骤的操作的数据在端点服务器接收访问网络的请求; 检测所述访问网络的请求包含未授权请求;以及 将所述访问请求定向到网络安全单元。
22. 如权利要求21所述的制品,其中所述未授权请求包括对有效 地址的未用单元的请求。
23. 如权利要求22所述的制品,其中所述未用单元是有效IP(因特 网协议)地址的未用端口。
24. 如权利要求21所述的制品,其中所述机器可存取介质还包括 使所述机器执行包括以下步骤的操作的数据将有关所述未授权请求的数据从所述网络安全单元定向到与所述 网络的操作分开的安全控制器。
全文摘要
一种使用端点资源的网络安全单元的方法和设备。方法实施例包括在端点服务器接收访问网络的请求。该方法还包括检测访问网络的请求包括未授权请求。将访问网络的请求定向到网络安全单元。
文档编号H04L29/06GK101212482SQ200710305278
公开日2008年7月2日 申请日期2007年12月28日 优先权日2006年12月29日
发明者O·本-沙洛姆, U·布卢门塔尔 申请人:英特尔公司