用于确定安全性攻击的装置和安全性节点的制作方法

专利名称：用于确定安全性攻击的装置和安全性节点的制作方法
技术领域：
本发明涉及用于确定安全性攻击的装置和安全性节点。
背景技术：
通信系统是支持两个或更多实体(诸如用户终端设备和/或网络 实体)以及与通信系统相关联的其他节点之间的通信的设施。通信
例如可以包括语音通信、电子邮件(email)、文本消息、数据、多 媒体等。该通信可以由固定线路和/或无线通信接口提供。
无线通信系统的特征在于，它们为其用户提供移动性。提供无 线通信的通信系统的示例是公共陆地移动网络(PLMN)。另一示例 是无线局域网(WLAN)。固定线路系统的示例是公共交换电话网 路(PSTN )。
用户设备，不论是经由有线连接连接到有线网路还是经由无线 连接连接到接入点的无线设备，都日益成为计算机安全性相关攻击 的目标。例如，病毒和蠕虫可以以用户备为目标。其他潜在威胁 是所谓的"后门程序"，特洛伊木马和入侵攻击。为了解决该问题， 用户设备通常配备保护机制，诸如接入控制和授权系统。然而，这 不可能总是保证用户设备的安全。之所以这样是因为客户不准备支 付与使得用户设备完全安全相关联的费用或因为攻击性质的改变。 实际上，因此很难使用户设备不遭受恶意软件或实际攻击者的影响。
参考M. Benattou和K. Tamine的论文，题目为"Intelligent Agents for Distributed Intrusion Detection System", Transactions on Engineering, Computing and Technology, V6，2005年6月，第190-193
侵检测系统。专用本地代理用于划分监视任务。代理的群体是专用代理的组，其被创建用于收集和分析来自于预定网络节点的所有数 据。专用本地代理能够执行预定的动作，并且使用移动代理环境来 调查相同群体的其他网络节点。代理的群体合作并且协作以确认预 定网络中的入侵。
就此，只要在至少一个网络节点中检测到可疑事物，就向网络 节点发送查询代理。提供一种控制结构，以协调包括这些查询代理 的系统并且分析和相互关联这些代理。这是基于预定义规则的反应 方法。
还参考P. Inverardi等人的 "Synthesis of Correct and Distributed Adaptors for Component-Systems: An Automatic Approach", 其讨论
使用分布式入侵的检测系统过滤器。其是在架构级的用来检测入侵 的基于规范的方法。其是分布式的，其中给出针对整个系统的全局 性策略，则其自动生成针对查看感兴趣的本地信息的每个组件的监 视过滤器。过滤器继而合适地进行通信，从而以全局策略的实施来 对异常行为进行协作检测。
该文件提出了 一种将全局规则集合解释为多个本地规则集合的 系统，本地规则通过本地动作来维持全局完整性。为了达到该目的， 需要指定所有动作(即，通信模式和参与其中的节点)。基于这些 规范，全局自动机可以被译为本地自动机集合，本地自动机的组合 等于全局自动机。这些定义非常难于定义和维持。它们的完整性和 正确性都很难确保。

发明内容
本发明的一些实施方式的目的是解决上述问题。 根据本发明的一个方面，提供一种装置，包括数据收集器，
配置用于从多个设备接收数据；以及功能体，配置用于根据所述接
收的数据确定安全性攻击。
根据本发明的第二方面，提供一种方法，包括从多个设备接
收数据；以及根据所述接收的数据确定安全性攻击。根据另一方面，提供一种装置，包括功能体，配置用于就安
全性攻击而监视所述装置；以及报告器，配置用于向安全性节点发
送数据，其中发送到所述安全性节点的数据取决于所述装置的安全 性级别。
根据另一方面，提供一种装置，包括数据收集器，配置用于 从多个设备接收数据；相关器，配置用于相关所述接收的数据以过 滤所述接收的数据；以及功能体，配置用于根据所述接收的数据来 确定安全性攻击。
根据另一方面，提供一种方法，包括收集安全性相关数据； 向安全性节点发送至少一些所述安全性相关数据，发送的数据量取 决于安全性级别。
根据另一方面，提供一种方法，包括从多个设备接收数据； 相关所述接收的数据以过滤所述接收的数据；以及根据所述接收的 数据来确定安全性攻击。
根据另一方面，提供一种系统，包括设备，包括配置用于就 安全性攻击来监视所述设备的功能体，以及配置用于向安全性节点 发送数据的报告器；以及安全性节点，配置用于从所述设备接收数 据，所述安全性节点包括配置用于根据所述接收的数据来确定安全 性攻击的功能体。
根据另一方面，提供一种计算机可读介质，包括用于收集安 全性相关数据的程序代码；以及用于向安全性节点发送至少 一些所 述安全性相关数据的程序代码，发送的数据量取决于安全性级别。
根据另一方面，提供一种计算机可读介质，包括用于从多个 设备接收数据的程序代码；用于相关所述接收的数据以过滤所述接 收的数据的程序代码；以及用于根据所述接收的数据来确定安全性 攻击的程序代码。
根据另一方面，提供一种装置，包括数据收集单元，用于从 多个设备接收数据；相关单元，用于相关所述接收的数据以过滤所 述接收的数据；以及用于根据所述接收的数据来确定安全性攻击的
7单元。
根据另一方面，提供一种装置，包括用于就安全性攻击来监 视所述设备的单元；以及报告单元，用于向安全性节点发送数据， 其中发送到所述安全性节点的数据取决于所述装置的安全性级别。


为了更好地理解本发明以及本发明可以如何有效的执行，将通 过示例的方式仅参考附图，附图中
图1示意性地示出了可以实现本发明实施方式的网络环境； 图2示意性地示出了实现本发明的用户设备；以及 图3示意性地示出了实现本发明的安全性节点。
具体实施例方式
首先参考图1,图1示意性地示出了可以实现本发明实施方式的
网络环境。
网络包括用户设备2。在本发明的优选实施方式中，用户设备是 无线的，即用户设备例如使用无线频率与接入点进行无线通信。用 户设备可以采用任何合适的形式并且例如可以是便携式计算机、移 动电话、个人数字助理、组织器等。
在本发明的备选实施方式中，用户设备可以是有线的，即其经 由物理线路或导线连接至接入点。在该情况中，用户设备可以采用 任何合适的形式并且例如可以是计算机、电话、个人数字助理、组 织器等。
虽然在本发明的优选实施方式中，用户设备包括通信设备，但 是应该理解，在本发明的备选实施方式中，用户i殳备例如可以是例 如收集数据的节点等以及需要其向一个或多个节点传送数据。
用户设备2连接至网络4。网络可以是局域网，诸如无线局域网 以及例如可以是/>司的内部网络。可3齐才奐i也，网络4例如可以是用 户已经订制的移动网络。安全性设备6连接至网络。在本发明的一些实施方式中，安全 性设备6可以被认为是网络的一部分。应该理解，在本发明的一些 实施方式中，安全性设备可以是分立节点，但在本发明的其他实施 方式中，其功能可以与另一网元合并。
在图1示出的配置中，示出了单个安全性设备6。在本发明的备 选实施方式中，可以提供不止一个安全性设备6。在提供不止一个安 全性设备6的情况中，不同的设备可以配置用于直接或经由网络彼
本发明的实施方式配置用于提供一种用于在众多移动设备中执 行入侵检测的方法。在本文档的上下文中，词语"入侵"用于覆盖 任何类型的安全性相关攻击、未授权访问、任何类型的安全性事件 或对安全性策略的违反。这可以不论"入侵"是否是故意的。如上 所述，本发明的实施方式特别地应用于移动网络中的移动设备，但 是还可以应用于组织内部网络中的设备。
在本发明的实施方式中，在用户设备上提供本地入侵检测功能 体，并且另一方面，由安全性设备提供网络级入侵检测和警报相关， 从而改进入侵检测的灵敏度和有效性。
现在参考图2,图2示意性地示出了实现本发明的用户设备的元 素。在本发明的实施方式中，并不是所有由用户设备监视以及记录 的安全性事件的细节都被传输到提供网络级安全性监视的安全性设 备。这例如从而避免了对带宽和效率约束的不利影响。收集由用户 设备获取的所有数据并且将其发送到安全性设备将是低效的，因为 在很多环境中，数据量将消耗太多带宽，特别是当待监视的移动设 备数量巨大的时候。然而，在其他环境中，可能不存在此类带宽和 效率约束，因而，在此类环境中可以采用不同的策略。
用户设备包括入侵检测功能体10，其可以是基于规则的，以提 供滥用4全测，和/或可以是基于行为简档(behaviour profile-based ) 的，以提供异常检测。入侵检测功能体IO配置用于确保用户设备的 行为的关键特征和安全性状态受到监视。入侵检测功能体IO配置用于维持安全性级别的测量。特别地，入侵检测功能体确定安全性级 别功能体16的安全性级别。入侵检测功能体10因此基于设备的简 档和/或本地监一见用户设备的纟企测失见则。
安全性级别功能体16配置用于存储合适的安全性级别。该安全 性级别是自适应的并且由入侵检测功能体IO控制，入侵检测功能体 10自己能够对合适的安全性级别进行评估和/或从影响安全性级别 的安全性设备接收输入。
用户设备具有本地事件日志库12,其具有对事件的完全细节级 别记录功能。日志库12可以是环形文件(ring file)，即在该文件中， 在达到指定的最大文件大小时，利用新数据覆盖存在的最旧条目。 可替换地，该库可以是緩冲器或任何其他合适的存储器设备。
提供报告器14。这具有来自于安全性级别功能体16的输入。安 全性级别设置影响报告器14的行为。报告器14被配置用于在日志 库12中选择至少一些数据并且将其转发至安全性设备6。由报告器 14选择的日志数据的量和类型受安全性级别的影响。例如，如果安 全性级别是"正常，，，则没有日志数据或仅一些日志数据被发送到 安全性设备。另一方面，如果安全性级别高于正常，则将本地库中 的更多量的数据或所有数据发送到安全性设备。在可能是最高或另 一安全性级别的一个安全性级别中，可以不发送数据。
应该理解，在本发明的一个实施方式中，可以仅存在两个不同 的安全性级别。那些安全性级别可以是正常以及更高的安全性级别。 然而，在本发明的备选实施方式中，可以存在不止两个的不同安全 性级别。
安全性级别可以影响发回安全性设备的数据量和/或报告器向设 备端发送的频率。因此，移动设备向安全性设备6发送细节的可变 级别的安全性日志数据。在一个实施方式中，如果指示安全性设备 为正常，那么可以以相对长的间隔中仅发送短的摘要报告。在更高 的安全性级别中，增加细节的量和报告频率，直到将所有日志数据 发送到安全性设备的点。可以包括在安全性日志数据中的数据的示例可以包括以下一个
或多个
状态指示符，诸如蓝牙状态-是否连接；电池条-"条"的数量 指示电池中的电量；背光状态-开还是关，等等…
时间序列接收的呼叫(h(小时数)、计数(接收的数据数量))
5)…(24 0))，进行的呼叫等
系统日志事件07:45:21接收的呼叫(长度=3: 14) ; 07:48:35 电池耗尽；07:51:43启动；等
应用日志事件07:52:06 GPS (全球定位系统)模块启动(参数 1 =...参数2=...);
在本发明的一个实施方式中，将由用户设备检测到的本地安全 性警报发送到安全性设备。在本发明的实施方式中，入侵检测功能 体可以是检测潜在安全性事件以及将警报发送到安全性设备的实 体。
在一个实施方式中，附加地或可替换地，安全性设备可能向用 户设备发送针对数据的请求。那些请求通常由报告器14接收，该报 告器14使用存储在本地事件日志库中的数据制定以及发送对该请求 的响应。安全性设备将请求安全性相关的信息。
在一个实施方式中，可选地，记录级别的增加可以包4舌回溯 (backtracking)性质。即，当安全性级别增大到更高的级别，增加 的报告不仅应用于来自于实现更高级别的特定时间点的数据，还可 以包括安全性级别增大点之前的数据。该数据可以发送到安全性设 备。有优势地，这使得安全性设备能够分析潜在引起安全性级别增 大的事件。
还可以针对给定的安全性级别发生回溯。在本发明的一些实施 方式中，为了进行回溯，不必改变级别。
现在参考图3，图3示意性地示出了安全性设备的元件。该安全 性设备包括日志数据收集器30、日志数据相关器32、入侵检测功能
ii体34和日志数据存储装置36。该安全性设备配置用于提供作为整体
的移动设备池的安全性的网络级视角。通过移动设备池，意味着用 户设备在给定网络中或网络的 一 部分中操作。
日志数据收集器30配置用于收集从多个不同用户设备接收的日 志数据。将该从用户设备接收的数据存储在日志数据存储装置36中。 日志数据收集器30还配置用于记录发送到不同用户设备的数据请求。
日志数据相关器32相关由各种用户设备发送的安全性警报和/ 或安全性日志数据，以识别普通警报模式或引起警报的根。将相关 结果用于过滤掉无关警报和/或提供作为对入侵检测功能体34的输 入。
入侵检测功能体34监视去往以及来自不同用户设备的业务，来 自不同用户设备的安全性警报以及相关功能的结果。因此，入侵检 测功能体配置用于从用户设备接收安全性警报以及从日志数据相关 器接收相关结果。关于警报指示的信息由入侵检测功能体输出到日 志数据相关器，该日志数据相关器使用该信息制定将发送到用户设 备的数据请求。则入侵检测功能体还接收来自于旧有(legacy)入侵 检测系统和传感器的传感器数据/警报(如果存在的话)。最后，入 侵检测功能体还从网络接收业务数据。
因此，可以存在从不同用户设备向安全性设备传递安全性相关 数据的推送模式。还可以存在拉挽(pull)类型的信息收集，使得能 够提供彻底的安全性分析。在拉挽操作模式中，假设安全性设备具 有入侵检测功能体，该入侵检测功能体监视去往以及来自移动设备 的业务以及从用户设备接收的的安全性报告和/或警报。基于监视的 数据，如果入侵检测功能体在一些用户设备或一组用户设备中确定 了可疑活动，则其可以发布安全性警报。基于这些警报，安全性设 备可以向由安全性警报潜在影响的用户设备发布日志数据请求。如 上所述，用户设备通过提供所请求细节级别的所请求日志数据来响 应该请求。基于从用户设备接收的更详细的数据，安全性设备可以执行进一步分析并且发出高级警报或取消原始警报。
可以将警报指示发送到用户设备，该用户设备使用该信息设置 安全性级别。可替换地，安全性设备可以配置用于向用户设备发送 信息，该信息定义了用户设备操作的安全性级别。
本发明的实施方式具有以下优势，可以减少必须传送到安全性 设备的安全性相关数据的量，但仍旧提供针对安全性事件提供全部 详细数据分析的可能性。通过仅针对那些被看作具有奇怪行为或被 认为处于被攻击的风险中的用户设备来执行全部详细数据传送，可 以将分析集中于那些最可能涉及安全性事件的设备。还存在两个安 全性级别监视-用户设备中的本地安全性监视以及由安全性设备执行 的更高级别安全监视。
因此，本发明的实施方式将从用户设备到安全性设备的安全性 数据收集集中于潜在特别感兴趣的数条数据。
在本发明的实施方式中，图2和图3中示出的功能体可以主要
由软件实现、主要由硬件实现或由其组合实现。例如，在本发明的
一个实施方式中，安全性级别功能体16、入侵检测功能体、报告器 14和本地事件日志库的一部分由微处理器中的软件实现。本地事件 日志库还可以包括上述类型的数据存储装置部分。
图3的日志数据收集器、日志数据相关器和入侵检测功能体也 可以全部由软件来实现，其中日志数据存储装置由合适的存储器来 实现。
因而，本发明的实施方式可以由计算机程序实现。 应该理解，本发明的实施方式可以根据任何合适的标准在网络 中实现。例如，本发明的实施方式可以用在根据GSM (全球移动通 信系统)、3GPP (第三代合作伙伴标准)、CDMA2000 (码分多址) 或相关的任何其他标准操作的移动通信网络的环境中。本发明的实 施方式还可以在诸如902标准的WLAN标准或任何其他合适的标准 的环境中操作。
尽管在特定实施方式的环境中进行了描述，但是本领域的技术人员应该理解，对于那些教导可以出现多个修改和各种改变。因此, 虽然本发明已经相对于其一个或多个优选实施方式进行了特别地示 出以及描述，但是本领域的技术人员将理解，在不脱离本发明的范 围和精神的情况下，可以在其中做出形式和形状方面的 一些修改或改变。
权利要求
1. 一种装置，包括功能体，配置用于针对安全性攻击而监视所述装置；以及报告器，配置用于向安全性节点发送数据，其中发送到所述安全性节点的数据取决于所述装置的安全性级别。
2. 根据权利要求1所述的装置，其中所述安全性级别取决于从 所述安全性节点接收的信息。
3. 根据权利要求1所述的装置，其中所述安全性级别取决于所 述功能体的输出。
4. 根据权利要求1所述的装置，其中在存在较高安全性级别时， 向所述安全性节点发送比存在较低安全性级别时更多的数据。
5. 根据权利要求1所述的装置，其中针对一个安全性级别将所 有数据发送到所述安全性节点。
6. 根据权利要求1所述的装置，其中所述装置配置用于从所述 安全性节点接收针对数据的请求，并且所述报告器配置用于向所述 安全性节点发送所请求的数据。
7. 根据权利要求1所述的装置，包括配置为存储安全性数据的 存储器。
8. 根据权利要求7所述的装置，其中所述发送的数据包括至少 一些所述安全性数据。
9. 根据权利要求7所述的装置，其中所述存储器配置使得最旧 的安全性数据由最新的安全性数据覆盖。
10. 根据权利要求1所述的装置，其中所述功能体配置用于检测 潜在的安全性攻击，并且响应于所述检测使得向所述安全性节点传 输信息。
11. 根据权利要求1所述的装置，其中所述功能体配置用于检测 潜在的安全性攻击，并且响应于所述检测使得改变安全性级别。
12. 根据权利要求1所述的装置，其中所述装置配置用于具有至少两个安全性级别。
13. 根据权利要求1所述的装置，其中响应于安全性级别的改变， 所述报告器配置用于向所述安全性节点发送数据，所述数据包括在 安全性级别改变之前发生的数据。
14. 根据权利要求1所述的装置，其中所述功能体是基于规则和 基于行为筒档中的至少 一个。
15. 根据权利要求1所述的装置，其中所述装置是移动设备。
16. —种装置，包括数据收集器，配置用于从多个设备接收数据； 相关器，配置用于相关所述接收的数据以过滤所述接收的数据； 以及功能体，配置用于根据所述接收的数据来确定安全性攻击。
17. 根据权利要求16所述的装置，其中所述功能体配置用于向 至少一个设备发送针对安全性数据的请求。
18. 根据权利要求17所述的装置，其中所述功能体配置用于如 果怀疑至少一个设备具有安全性攻击，则向所述设备发送针对安全 性数据的请求。
19. 根据权利要求17所述的装置，其中所述功能体配置用于监 视去往和/或来自所述设备的业务。
20. 根据权利要求16所述的装置，其中所述相关器配置为向所 述功能体提供输出。
21. 根据权利要求17所述的装置，其中所述功能体配置用于向 至少一个设备发送信息，所述信息定义用于所述设备的安全性级別。
22. —种方法，包括 收集安全性相关数据；向安全性节点发送至少一些所述安全性相关数据，发送的数据量 取决于安全性级别。
23. —种方法，包括 从多个设备接收数据；相关所述接收的数据以过滤所述接收的数据；以及 根据所述接收的数据来确定安全性攻击。
24. —种系统，包括 设备，包括配置用于针对安全性攻击监视所述设备的功能体，以 及配置用于向安全性节点发送数据的报告器；以及安全性节点，配置用于从所述设备接收数据，所述安全性节点包 括配置用于根据所述接收的数据确定安全性攻击的功能体。
25. —种计算机可读介质，包括 用于收集安全性相关数据的程序代码；以及用于向安全性节点发送至少 一些所述安全性相关数据的程序代 码，发送的数据量取决于安全性级别。
26. —种计算机可读介质，包括用于从多个设备接收数据的程序代码；用于相关所述接收的数据以过滤所述接收的数据的程序代码；以及用于根据所述接收的数据来确定安全性攻击的程序代码。
27. —种装置，包括 数据收集单元，用于从多个设备接收数据；相关单元，用于相关所述接收的数据以过滤所述接收的数据；以及用于根据所述接收的数据来确定安全性攻击的单元。
28. —种装置，包括用于针对安全性攻击监视所述设备的单元；以及 报告单元，用于向安全性节点发送数据，其中发送到所述安全性 节点的所述数据取决于所述装置的安全性级别。
全文摘要
一种装置，包括功能体，配置用于针对安全性攻击而监视所述装置；以及报告器，配置用于向安全性节点发送数据，其中发送到所述安全性节点的数据取决于所述装置的安全性级别。
文档编号H04L12/26GK101548506SQ200780044546
公开日2009年9月30日 申请日期2007年10月15日 优先权日2006年10月20日
发明者K·阿托南, M·米耶蒂南 申请人:诺基亚公司