网络业务处理系统的制作方法
【专利摘要】一种用于处理网络业务的系统,包括用以在硬件加速检查模式下处理网络业务的硬件加速检查单元,以及用以在软件检查模式下处理网络业务的软件检查单元。该软件检查单元在软件检查模式下处理连接至少达到连接的连续预定字节数。如果连接被确定为是干净的,则连接可过渡至硬件加速检查模式。
【专利说明】网络业务处理系统
【背景技术】
[0001]已经提出因特网业务到2015年预期成为四倍。此外,报告已经显示全球平均连接率已逐年增加43%且全球平均峰值率已逐年增加67%。因此,以一切种类的病毒、蠕虫和恶意软件形式的内部和外部网络攻击的复杂化已显著增加。
[0002]网络管理员继续承担提供网络安全的任务且其常常依赖于用于网络安全的各种系统。例如,入侵检测系统(IDS)检测网络攻击,但是某些作为不提供远远超过事后攻击通知的被动式系统进行操作。相反地,已经开发了入侵预防系统(IPS)以通过主动地通过扫描输入和输出业务来分析网络业务流而补充诸如防火墙之类的传统安全产品。然而,由IPS进行的深度分组检查通常利用大量的资源且如果其性能跟不上增加的连接率和吞吐量带宽,则可能变成网络瓶颈。
【专利附图】
【附图说明】
[0003]参考在以下各图中所示的示例来详细地描述实施例:
图1图示出网络业务处理系统;
图2A-B图示出不同网络环境中的网络业务处理系统;以及图3和4图示出处理网络业务。
【具体实施方式】
[0004]出于简化和说明性目的,通过主要参考其示例来描述实施例的原理。在以下描述中,阐述了许多特定细节以便提供实施例的透彻理解。显而易见的是,可在不限于所有特定细节的情况下实施该实施例。并且,可以各种组合一起使用实施例。
[0005]根据实施例,一种用于处理网络业务的系统检查网络业务以识别潜在签名匹配。进一步检查被认为具有潜在签名匹配的网络业务以确定其是否具有签名匹配。如果检测到签名匹配,则可对网络业务进行阻止、报告、速率限制或者可采取其他补救措施。
[0006]该系统包括硬件加速检查单元(诸如现场可编程门阵列(FPGA),专用集成电路(ASIC)或另一类型的可自定义集成电路或处理器),其执行分组的硬件加速检查,并且该系统包括软件检查单元,其包括由处理器或某个类型的处理电路执行以执行分组的软件检查的机器可读指令。硬件加速检查单元在执行其检查时比软件检查单元更快,并且该系统利用硬件加速检查单元以改善检查处理速度。例如,在连接开始时,由软件检查单元来执行分组检查。连接包括具有相同属性的分组。属性的示例可包括源因特网协议(IP)地址、目的地IP地址、源IP端口、目的地IP端口、IP协议等。在一个示例中,连接是传输控制协议(TCP)流。在另一示例中,连接是包括具有相同属性的分组的伪流。例如,连接可以是用户数据报协议(UDP)或者不要求在先通信以建立传输信道或数据路径的另一协议中的伪流。如果到连接到达阈值位数(例如8千字节(KB))的时间未检测到攻击,则软件检查单元命令硬件加速检查单元将流置于硬件加速检查模式以改善性能。
[0007]在硬件加速检查模式下,由硬件加速检查单元以比用软件检查单元可能的更快的速率来检查连接。由硬件加速检查单元执行的处理的速度可以是由软件检查单元执行的处理的两倍或三倍。在硬件加速检查模式下,如果连接是干净的,诸如被确定为不具有潜在签名匹配,则在不对分组执行软件检查的情况下发射用于连接的分组。在硬件加速检查模式下,由硬件加速检查单元来处理用于连接的分组,但是不被软件检查单元处理以使处理时间最小化。然而,如果硬件加速检查单元在连接中检测到潜在签名匹配,则将连接传输至软件检查模式以便由软件检查单元进一步处理以确定是否存在签名匹配。在软件检查模式下,连接被软件检查单元处理,并且还被硬件加速检查单元处理。通过使连接的检查在硬件加速检查模式与软件检查模式之间过渡,在保持安全的同时增加吞吐量。
[0008]软件检查单元执行分组检查,其可包括比在硬件检查模式下执行的更详细的分组检查和过滤。因此,由硬件减速检查单元执行的分组处理可不同于由软件检查单元执行的分组检查。例如,由软件检查单元执行的分组处理包括深度分组检查。深度分组检查包括检查连接中的分组的有效负荷以及报头。深度分组检查可包括在所有的七个开放系统互连
(OSI)层中检查来自连接的数据。由硬件加速检查单元执行的分组处理可不包括来自全部七个OSI层的数据。例如,分组检查可局限于报头。
[0009]具有潜在签名匹配的连接是被确定为具有特定预定义属性的连接。例如,连接可包括具有表示安全威胁的属性的分组或多个分组。例如,由硬件加速检查单元来检查连接中的分组以确定其是否不按顺序或者被分段或者其在其有效负荷中是否具有某个字节式样。
[0010]连接还可具有潜在签名匹配,如果其包括基于策略或规则而被确定为令人感兴趣的数据。例如,规则指定监视用于特定应用程序的分组。如果连接包括来自那些应用程序中的任何一个的分组,则基于该规则而将其视为签名匹配。例如,监视来自即时通讯应用程序的分组且可由系统阻止其离开局域网(LAN)。
[0011]类似于潜在签名匹配,可将连接确定为具有签名匹配,如果其具有预定属性,然而,该属性被软件检查单元而不是硬件加速检查单元识别。用于签名匹配的属性可不同于用于潜在签名匹配的属性。可由深度分组检查来识别用于签名匹配的属性。签名匹配可包括由正则表达式匹配和/或其他过滤和分组签名检测技术确定的匹配以检测关于分组及其数据的附加信息,该附加信息可指示其是恶意的还是以其他方式令人感兴趣的。恶意属性可表示钓鱼式攻击、尝试的间谍软件安装、可能消耗网络带宽或服务器资源从而促使合法分组被丢弃的分组泛洪等。
[0012]用于处理网络业务的系统可包括连接到网络的IPS。IPS检查连接且如果发现其具有签名匹配,则可对连接进行标志、阻止和/或丢弃。保持日志并生成警报或其他通知,并且可由于签名匹配而将其发送给系统管理员。如果连接是干净的,则IPS输出要发射到其目的地的连接。
[0013]图1图示出用于处理网络业务的系统100。系统100可包括阻止被确定为具有签名匹配的网络业务的IPS。系统100包括包含端口 102的接口 101。接口 101是将系统100连接到网络的网络接口。在接口 101的端口 102上发送和接收分组。
[0014]系统100包括硬件加速检查单元110和软件检查单元120。可经由总线130来连接系统100的部件。软件检查单元120可包括一个或多个处理器121a-n,其包括数据储存器122a-n,该数据储存器122a_n包括可操作用于存储机器可读指令和数据的计算机可读存储介质。机器可读指令可包括用以执行本文所述的连接处理功能的代码。硬件加速单元110包括处理电路111,诸如FPGA、ASIC或另一类型的可自定义的集成电路或硬件,其也执行连接处理但是在与软件检查单元120相比时以加速的速率。硬件加速单元110还可包括数据储存器112。
[0015]硬件加速检查单元110和软件检查单元120处理从网络接收到的连接以确定连接是否具有潜在签名匹配。这称为检查。如果连接被确定为具有签名匹配,则可阻止该连接被发送到其目的地。可由系统100对该连接进行标志和丢弃。被确定为干净的连接经由接口 101而被发射到其目的地。干净的连接是不具有潜在签名匹配和/或签名匹配的连接。
[0016]可针对在线处理来配置硬件加速检查单元110和软件检查单元120。例如,由接口101接收到的连接首先被硬件加速检查单元110处理且然后可被软件检查单元120处理。如果连接被确定为是干净的,则经由接口 101将其发送到其目的地。
[0017]系统内100可在其中由硬件加速检查单元来检查连接但未由软件检查单元120处理的硬件加速检查模式与其中由软件检查单元来处理连接且还可由硬件加速检查单元来处理(诸如以其中首先由硬件加速检查单元110来处理连接且然后可由软件检查单元120来处理的在线配置)的软件检查模式之间进行切换。
[0018]系统100可以是独立网络设备,其可连接到路由器或防火墙或一般地网络以接收和检查分组并发送出干净的分组。可将系统100结合在现有网络设备中,诸如路由器、防火墙或另一类型的交换机。系统100可在多功能会聚安全设备中,诸如单个设备中的IPS和防火墙。系统100可在刀片机架中或另一类型的设备中。
[0019]图2A-B示出了连接在不同网络环境中的系统100,其可以是IPS 200。图2A示出了以“导线中凸块”配置连接的IPS 200。用户‘1’ 202至用户‘η’ 204被连接到被连接到IPS 200的交换机206,该IPS 200又被连接到因特网213或网络骨干。IPS 200 —般地在交换机与网络之间实现以防止从因特网213或网络骨干接收到或向其发射安全威胁。
[0020]图2B示出了在另一网络环境中实现的IPS 200a_c。在此图中,内部子网络‘A’210包括客户端个人计算机(PC) ‘1’ 212至客户端PC ‘η’ 214,其被连接到又被连接到IPS‘1’ 200a的交换机‘1’ 216。内部子网络‘B’ 220包括服务器‘1’ 222至服务器‘η’ 224,其被连接到又被连接到IPS ‘2’ 200b的交换机‘2’ 226。内部子网络‘A’ 210和内部子网络‘B’ 220被连接到路由器230,其被连接到又被连接到外部网络234的IPS ‘3’ 200c。一般地实现IPS ‘3’ 200c以防止安全威胁从外部网络234到内部子网络‘A’ 210和内部子网络‘B,220的入侵。
[0021]IPS ‘1’ 200a通过防止源自于内部子网络‘A’ 210的安全威胁的入侵来提供附加入侵保护。同样地,IPS ‘2’ 200b通过防止源自于内部子网络‘B’ 220的安全威胁的入侵来提供附加入侵保护。如对于本领域的技术人员而言将显而易见的,IPS ‘1’ 200a的实现隔离了到内部子网络210的入侵问题,包括一个或多个客户端PC 212至214和相应交换机‘1’216。同样地,IPS ‘2’ 200b的实现隔离了到内部子网络220的入侵问题,包括一个或多个服务器222至224和相应交换机‘1’ 226。
[0022]图3示出了随时间推移的硬件加速检查模式与软件检查模式之间的连接处理切换的示例。在连接开始时,由图1中所示的软件检查单元120在软件检查模式下处理该连接。在软件检查模式下处理连接达到至少预定字节数直至点B为止。如果连接被确定为具有潜在签名匹配,则继续在软件检查模式下处理连接超过阈值(例如,8KB)。本示例示出了8KB,但阈值可更大或更小。
[0023]如果连接是“干净的”直至点B,则连接的处理从点B至C从软件检查模式过渡至硬件加速检查模式并保持在硬件加速检查模式,其中以比软件检查模式快得多的速率处理分组直至连接被硬件加速检查单元110确定为具有潜在签名匹配为止,诸如在点D处。然后,连接的处理过渡至软件检查模式以用于附加检查,其可包括从点D至E的深度分组检查并保持在软件检查模式直至连接被确定为“干净”为止。如果连接是“干净的”,则处理可再次从点F到G过渡至硬件加速检查模式以用于最大性能。连接处理过渡可在连接的寿命内继续发生。连接被单独地处理,因此不同的连接可根据是否和何时在连接中检测到潜在签名匹配或签名匹配而具有不同的连接处理过渡。
[0024]图4示出了用于处理网络业务的方法400的示例。以示例而非限制的方式相对于系统100来描述方法400。可在其他系统中实施该方法。
[0025]在401处,系统接收新的连接。可用定义连接的属性来识别新的连接,并且可在存储于图1中所示的硬件加速检查单元110和/或软件检查单元120处的连接表中创建条目,其包括连接ID和连接属性及用于连接的当前模式的指示。当前模式是硬件加速模式或软件检查模式。新的连接作为在软件检查模式下被处理而开始。
[0026]在402处,在软件检查模式下处理连接达到至少预定字节数。例如,由硬件加速检查单元110来处理连接并从硬件加速检查单元110将连接发送到软件检查单元120以用于进一步处理至少直至达到阈值字节数为止。硬件加速检查单元110可在其连接表中指示该连接处于软件检查模式。
[0027]在403处,在正在软件检查模式下处理连接达到至少预定字节的同时,由软件检查单元120进行关于该连接是否具有潜在签名匹配的确定。如果是,则在404处用于连接的分组处理在软件检查模式下继续。在405处连接处理在软件检查模式下继续直至连接被确定为干净为止。如果连接是干净的,则在407处连接处理过渡至硬件加速检查模式。如果连接处理不是干净的,则在404处继续软件检查模式下的连接处理。例如,如果检测到签名匹配,则在404处继续软件检查模式下的连接处理。例如,如果通过签名匹配检测到恶意分组且连接被阻止,则继续软件检查模式下的连接处理。连接处理过渡至软件加速模式直至连接是干净的为止。如果在406处连接是干净的且其干净达到预定的字节数,则在407处连接处理过渡至硬件加速检查模式。例如,软件检查单元120命令硬件加速检查单元110将连接置于硬件加速检查模式。例如,硬件加速检查单元110更新其连接表以指示连接现在处于硬件加速检查模式。
[0028]在408处,例如由硬件加速检查模式110在硬件加速检查模式下处理连接,直至连接终止为止或者直至连接被硬件加速检查单元110确定为具有潜在签名匹配为止。如果连接被确定为具有潜在签名匹配,则处理过渡至软件检查模式且在409处在软件检查模式下处理连接,并且在404处理可继续。硬件加速检查单元110然后可更新其连接表以指示连接处于软件检查模式,因此如果在接口 101上接收到任何分组以用于连接,则硬件加速检查单元110知道将处理之后的分组发送到软件检查单元110。
[0029]如果硬件加速检查单元110中的连接表指示连接处于硬件加速检查模式,则硬件加速检查单元知道不将分组发送到软件检查单元120,如果硬件加速检查单元110确定连接是干净的。如果基于策略规则将连接确定为是无兴趣的,则可将其确定为是干净的。替代地,经由接口 110而发送出分组。并且,如果由硬件加速检查单元110识别分组可疑的信息,诸如分组是否不按顺序,具有可疑字节式样或指示其为恶意或令人感兴趣的某个其他属性,则可将该信息发送到软件检查单元120以帮助由软件检查单元120执行的分组检查。可在软件检查单元120与硬件加速检查单元110之间传送其他信息,诸如处理模式的指示或过渡至不同模式的指令。
[0030]并且,如果分组被软件检查单元120确定为是恶意的或令人感兴趣的,则系统100可阻止连接并不发送用于该连接的可疑分组或任何其他分组。如果软件检查单元120确定用于连接的分组或分组集合是恶意的或令人感兴趣的,则系统100可丢弃分组。并且,可更新关于事件和关于事件发送的通知的日志文件。
[0031]可将本文所述的步骤和功能中的一个或多个体现为可由处理器或可操作用于执行机器可读指令的另一类型的处理电路执行的机器可读指令。可将该机器可读指令存储在非临时存储介质中,其可包括图1中所示的存储器件中的一个或多个。
[0032]虽然已参考示例描述了实施例,但在不脱离要求保护的实施例的范围的情况下可对所述实施例进行各种修改。
【权利要求】
1.一种用于处理网络业务的系统,包括: 硬件加速检查单元,用以在硬件加速检查模式下处理网络业务;以及软件检查单元,用以在软件检查模式下处理网络业务,其中,软件检查单元在软件检查模式下处理网络业务中的连接以检测签名匹配,并且如果连接被软件检查单元确定为是干净的达到至少连接的连续预定字节数,贝1J连接过渡至硬件加速检查模式以便由硬件加速检查进行处理。
2.权利要求1的系统,其中,如果硬件加速检查单元检测到潜在签名匹配,则连接过渡回到软件检查单元以对连接执行深度分组检查。
3.权利要求2的系统,其中,如果软件检查单元确定该连接具有签名匹配,则基于签名匹配而采取动作。
4.权利要求1的系统,其中,所述硬件加速检查单元以比软件检查单元更快的速率来处理连接。
5.权利要求1的系统,其中,在软件检查模式下,由硬件加速检查单元和软件检查单元来处理该连接。
6.权利要求1的系统,其中,在硬件加速检查模式下,仅仅由硬件加速检查单元来处理连接。
7.权利要求1的系统,其中,由系统接收到的所有网络业务至少由硬件加速检查单元处理。
8.权利要求1的系统,其中,所述系统在独立网络设备中。
9.权利要求1的系统,其中,所述系统被结合到网络交换机、防火墙网络设备、会聚安全设备或刀片机架中。
10.一种入侵预防系统(IPS),包括: 接口,用以接收网络业务并朝着其目的地输出网络业务,如果其被IPS确定为是干净的; 硬件加速检查单元,用以在硬件加速检查模式下处理网络业务中的连接以确定该连接是否具有潜在签名匹配;以及 软件检查单元,用以在软件检查模式下处理连接以确定该连接是否具有签名匹配;其中,所述软件检查单元在软件检查模式下处理连接,并且如果连接被确定为是干净的达到连接的连续预定字节数,则连接过渡至硬件加速检查模式以供硬件加速检查单元处理。
11.权利要求10的IPS,其中,如果所述硬件加速检查单元确定该连接具有潜在签名匹配,则连接过渡回到软件检查单元以对连接执行附加检查。
12.权利要求11的IPS,其中,如果所述软件检查单元确定连接具有签名匹配,则阻止连接被从接口发送出。
13.权利要求10的IPS,其中,所述硬件加速检查单元以比软件检查单元更快的速率来处理连接。
14.一种处理网络业务的方法,包括: 在网络处理系统的接口上接收连接; 在软件检查模式下处理连接达到连接的预定字节数以确定该连接是否具有签名匹配;以及 如果该连接被确定为是干净的达到预定字节数,则使连接的处理过渡至硬件加速检查模式,其中,硬件加速检查模式下的连接处理比在软件检查模式下更快。
15.权利要求14的方法,包括: 如果硬件加速检查模式下的处理确定连接具有潜在签名匹配,则连接处理过渡回到软件检查模式。
【文档编号】H04L12/26GK104488229SQ201280075018
【公开日】2015年4月1日 申请日期:2012年7月31日 优先权日:2012年7月31日
【发明者】E. 弗勒里 D., 罗勒特 J. 申请人:惠普发展公司,有限责任合伙企业