專利名稱:網(wǎng)絡(luò)攻擊特征標(biāo)記的產(chǎn)生的制作方法
技術(shù)領(lǐng)域:
本發(fā)明一般地涉及用于檢測網(wǎng)絡(luò)攻擊的攻擊特征標(biāo)記的產(chǎn)生��,并且更具體地涉及用于產(chǎn)生數(shù)據(jù)網(wǎng)絡(luò)上的攻擊特征標(biāo)記的方法����、裝置和計算機程序元素。
背景技術(shù):
因特網(wǎng)是由多個互連的數(shù)據(jù)網(wǎng)絡(luò)形成的廣域數(shù)據(jù)網(wǎng)�����。在操作中�,因特網(wǎng)使得一系列位于遠(yuǎn)程的數(shù)據(jù)處理系統(tǒng)之間的數(shù)據(jù)通信易于進(jìn)行�����。每個這種數(shù)據(jù)處理系統(tǒng)通常包括中央處理單元(CPU)�、存儲器子系統(tǒng)和輸入/輸出(I/O)子系統(tǒng)�,以及存儲在存儲器子系統(tǒng)內(nèi)以便由CPU執(zhí)行的計算機程序代碼。典型地�����,被連接到因特網(wǎng)的終端用戶數(shù)據(jù)處理系統(tǒng)被稱為客戶機數(shù)據(jù)處理系統(tǒng)或簡稱為客戶機��。類似地���,提供Web站點和服務(wù)以便由客戶機通過因特網(wǎng)訪問的數(shù)據(jù)處理系統(tǒng)被稱為服務(wù)器數(shù)據(jù)處理系統(tǒng)或簡稱為服務(wù)器�����。通過因特網(wǎng)在終端用戶數(shù)據(jù)處理系統(tǒng)和主機數(shù)據(jù)處理系統(tǒng)之間建立了客戶機-服務(wù)器關(guān)系����。
因特網(wǎng)已經(jīng)成為推動客戶機和服務(wù)器之間電子地實現(xiàn)的商務(wù)交互的重要的通信網(wǎng)絡(luò)����。通常通過因特網(wǎng)服務(wù)提供者(ISP)為這些實體提供對因特網(wǎng)的訪問����。每個ISP通常運行一個網(wǎng)絡(luò)����,客戶機或服務(wù)器訂購該網(wǎng)絡(luò)的服務(wù)。為每個客戶機提供一個所述網(wǎng)絡(luò)上的地址���。類似地,為該網(wǎng)絡(luò)上的每個服務(wù)器提供一個地址����。由ISP操作的網(wǎng)絡(luò)通過通常被稱為路由器的專用數(shù)據(jù)處理系統(tǒng)連接到因特網(wǎng)。在操作中����,路由器將進(jìn)入的通信業(yè)務(wù)從因特網(wǎng)定向到特定的地址,諸如所述網(wǎng)絡(luò)上的IP地址�,蜂窩電話地址(電話號碼)。類似地���,路由器將外出的通信業(yè)務(wù)從該網(wǎng)絡(luò)定向到因特網(wǎng)上特定地址的方向����。
許多數(shù)據(jù)網(wǎng)絡(luò)的用戶面對的問題是對他們運行的網(wǎng)絡(luò)的頻次日益增多的電子攻擊。這種攻擊包括計算機病毒攻擊�,“蠕蟲”攻擊和拒絕服務(wù)攻擊(DOS攻擊)。蠕蟲和DOS攻擊通常帶來網(wǎng)絡(luò)中明顯的性能下降�。連接到所述網(wǎng)絡(luò)的受感染的系統(tǒng)通常試圖在網(wǎng)絡(luò)中傳播感染。許多用戶不知道他們的系統(tǒng)被感染了�����。對于被感染的系統(tǒng)�,為了增加網(wǎng)絡(luò)性能可以執(zhí)行入侵檢測,隨后執(zhí)行后續(xù)的殺毒��。為了檢測入侵���,入侵檢測系統(tǒng)可以使用所謂的攻擊特征標(biāo)記����,攻擊特征標(biāo)記得自于對已知攻擊的分析���,并且體現(xiàn)出這些攻擊的特征�。某些入侵檢測系統(tǒng)使用包含若干攻擊特征標(biāo)記的數(shù)據(jù)庫�����,并且將數(shù)據(jù)通信業(yè)務(wù)與這種攻擊特征標(biāo)記進(jìn)行比較,以便確定數(shù)據(jù)通信業(yè)務(wù)是否可能與攻擊有關(guān)�。
US2002/0143963 A1描述了一種用于增強Web服務(wù)器針對HTTP請求形式的入侵攻擊的安全性的裝置。這是通過對進(jìn)入請求與預(yù)先定義的攻擊特征標(biāo)記列表進(jìn)行比較實現(xiàn)的��,所述列表至少包括文件��、文件種類和已知黑客的地址�����。然后�����,采取行動以便拒絕被確定了肯定比較的請求����。此外�,將根據(jù)潛在的危害的嚴(yán)重性和來自給定請求者的被拒絕的請求的頻次提供的與對潛在的未來行動的被拒絕的請求有關(guān)的相關(guān)數(shù)據(jù)通知給Web服務(wù)器。
產(chǎn)生攻擊特征標(biāo)記的一種廣泛使用的解決方案是監(jiān)視黑客郵件列表��,并且根據(jù)希望檢測的攻擊手工制作攻擊特征標(biāo)記�。Wenke Lee和SalvatoreJ.Stolfo在“A Framework for Constructing Features and Models forIntrusion Detection Systems”in ACM Transactions on Information andSystem Security(TISSEC),3(4)227-162,2000中描述了一種從攻擊例子中學(xué)習(xí)攻擊特征標(biāo)記的方法���。然而����,該研究通常假設(shè)存在攻擊例子�,從而可以學(xué)習(xí)它們的特征。一般地���,情況不是這樣�����,并且仍然希望獲得適合的攻擊例子����。
發(fā)明內(nèi)容
根據(jù)本發(fā)明�,現(xiàn)在提供一種用于從第一數(shù)據(jù)網(wǎng)絡(luò)上的請求中產(chǎn)生攻擊特征標(biāo)記以便用于第二數(shù)據(jù)網(wǎng)絡(luò)的方法,該方法包括接收步驟���,用于接收來自第一數(shù)據(jù)網(wǎng)絡(luò)以第三數(shù)據(jù)網(wǎng)絡(luò)中若干未被分配的地址為地址的數(shù)據(jù)通信業(yè)務(wù)����;檢查步驟,用于檢查前面的步驟中接收到的數(shù)據(jù)通信業(yè)務(wù)的若干出現(xiàn)事件(incident)以便發(fā)現(xiàn)公共數(shù)據(jù)模式�����,并且在發(fā)現(xiàn)所述數(shù)據(jù)模式之后�,確定步驟,用于從相應(yīng)的數(shù)據(jù)通信業(yè)務(wù)中確定攻擊特征標(biāo)記����,以便用于在第二數(shù)據(jù)網(wǎng)絡(luò)中檢測攻擊。這種攻擊特征標(biāo)記產(chǎn)生方法采用這樣的觀念�,即,被定向到未被分配的地址的網(wǎng)絡(luò)通信業(yè)務(wù)是優(yōu)先可疑的����,并且提供了是實際攻擊的較高的可能性。利用這種較高的可能性��,以便產(chǎn)生被認(rèn)為將導(dǎo)致更準(zhǔn)確的攻擊檢測的一個或多個攻擊特征標(biāo)記��。
此處的術(shù)語“未被分配”的含義是占據(jù)這樣一個地址����,其沒有被分配給除了用于檢測入侵或產(chǎn)生攻擊特征標(biāo)記的裝置之外的物理設(shè)備���。被設(shè)計為執(zhí)行根據(jù)本發(fā)明的方法的裝置是這樣的設(shè)備����,那些“未被分配”的地址被實際地分配給它們以便使用本發(fā)明。這些地址在未被分配的范圍內(nèi)��,因為它們沒有被分配給具有除了特征標(biāo)記產(chǎn)生或入侵檢測之外的其它功能的任意設(shè)備���。從而以這種未被分配的地址為地址的數(shù)據(jù)通信業(yè)務(wù)將被所述裝置接收���,并且經(jīng)受所提出的方法的處理。
在本發(fā)明的優(yōu)選實施例中����,該方法包括回答步驟,用于對發(fā)送被包含在所述接收到的數(shù)據(jù)通信業(yè)務(wù)內(nèi)的請求的源進(jìn)行欺騙回答��。從而可以從該請求的源獲得更多的信息�����。
使用取決于接收到的數(shù)據(jù)通信業(yè)務(wù)所使用的協(xié)議類型的選擇標(biāo)準(zhǔn)�����,上面的回答步驟可以被選擇性地執(zhí)行。在某些協(xié)議中��,接收到的請求已經(jīng)包含了足夠的信息���,從而能夠執(zhí)行對公共數(shù)據(jù)模式的檢查����。在這種情況下���,不需要向源發(fā)送欺騙回答�����。
如果僅從答復(fù)所述欺騙回答的源以及那些沒有經(jīng)受所述回答步驟的源中選擇數(shù)據(jù)通信業(yè)務(wù)的所述出現(xiàn)事件����,可以實現(xiàn)用于產(chǎn)生攻擊特征標(biāo)記的數(shù)據(jù)的縮減��。這種縮減是有用的����,因為其被認(rèn)為是將數(shù)據(jù)集中于具有是真實攻擊的較高可能性的那些出現(xiàn)事件�,而不是第一眼看上去像攻擊(也被稱為假肯定)的數(shù)據(jù)通信業(yè)務(wù)的無害的出現(xiàn)事件��。該選擇是減少特征標(biāo)記產(chǎn)生方法中假肯定數(shù)量的一種方法��。
在本發(fā)明的優(yōu)選實施例中���,所述檢查步驟包括根據(jù)連接屬性對所述出現(xiàn)事件分類,所述連接屬性可以是數(shù)據(jù)通信業(yè)務(wù)的源地址�����、源端口�、協(xié)議類型和目的地端口中的一個。這種根據(jù)連接屬性值劃分群組是將數(shù)據(jù)通信業(yè)務(wù)識別為攻擊的一種方法�,因為有越多的出現(xiàn)事件屬于一個群組,該數(shù)據(jù)通信業(yè)務(wù)越可能是實際的攻擊�。
在本發(fā)明的優(yōu)選實施例中,所述確定步驟包括對具有公共數(shù)據(jù)子串的出現(xiàn)事件數(shù)進(jìn)行計數(shù)�,并且將其數(shù)目超過了預(yù)先確定的數(shù)目的那些數(shù)據(jù)子串定義為攻擊特征標(biāo)記。因此�����,表示最頻繁出現(xiàn)的數(shù)據(jù)子串的最大群組被用于產(chǎn)生攻擊特征標(biāo)記��。此處�����,數(shù)據(jù)子串的頻次被用作攻擊是真實攻擊而不是假肯定的可能性的另一種指示器。同時�,最大的群組的確代表著所述的攻擊,因為它們的頻次對系統(tǒng)用戶來說的確代表著較高的風(fēng)險���。
在本發(fā)明的優(yōu)選實施例中����,將攻擊特征標(biāo)記發(fā)送到被分配到第二數(shù)據(jù)網(wǎng)絡(luò)的入侵檢測系統(tǒng)��,此處也被稱為入侵檢測器��。然后這種入侵檢測器可以將攻擊特征標(biāo)記集成到它的特征標(biāo)記庫中���,并且使用所述特征標(biāo)記���,將所述特征標(biāo)記與數(shù)據(jù)通信業(yè)務(wù)進(jìn)行比較以便進(jìn)行攻擊識別和處理。
在本發(fā)明的優(yōu)選實施例���,第一數(shù)據(jù)網(wǎng)絡(luò)和第二數(shù)據(jù)網(wǎng)絡(luò)被選擇為彼此連接����,從而用于產(chǎn)生攻擊特征標(biāo)記的數(shù)據(jù)通信業(yè)務(wù)是到第二數(shù)據(jù)網(wǎng)絡(luò)的數(shù)據(jù)通信業(yè)務(wù)的至少一部分。在本發(fā)明的優(yōu)選實施例中��,這兩個網(wǎng)絡(luò)可以是一整體構(gòu)造����,或甚至是同一個���。同樣��,第三數(shù)據(jù)網(wǎng)絡(luò)可以被連接到第二數(shù)據(jù)網(wǎng)絡(luò)�����,或它可以與第二數(shù)據(jù)網(wǎng)絡(luò)是同一個�����。第一數(shù)據(jù)網(wǎng)絡(luò)被以這樣的方式連接到第三數(shù)據(jù)網(wǎng)絡(luò)��,其中通信業(yè)務(wù)可以被從第一數(shù)據(jù)網(wǎng)絡(luò)定向到第三數(shù)據(jù)網(wǎng)絡(luò)上的地址���。任何上述的數(shù)據(jù)網(wǎng)絡(luò)都可以是其它網(wǎng)絡(luò)的上層網(wǎng)絡(luò)或子網(wǎng)絡(luò)。
在本發(fā)明的優(yōu)選實施例中�,該方法被與攻擊識別程序結(jié)合在一起�,并且還包括接收第二數(shù)據(jù)網(wǎng)絡(luò)上的并且以未被分配的地址為地址的數(shù)據(jù)通信業(yè)務(wù)�����;檢查接收到的數(shù)據(jù)通信業(yè)務(wù)以便獲得指示攻擊的數(shù)據(jù)���;并且在檢測到指示攻擊的數(shù)據(jù)后����,產(chǎn)生報警信號�����。從而產(chǎn)生的攻擊特征標(biāo)記被用于識別攻擊��,其中被定向到未被分配的地址的數(shù)據(jù)通信業(yè)務(wù)優(yōu)先被看成是可疑的���,并且經(jīng)受與所產(chǎn)生的攻擊特征標(biāo)記的匹配測試�。因此出于攻擊識別的最終目的�,利用被定向到未被分配的地址的數(shù)據(jù)通信業(yè)務(wù)的過程可以被使用兩次。
在本發(fā)明的優(yōu)選實施例中����,在產(chǎn)生所述的報警信號后����,從被分配給產(chǎn)生所述指示攻擊的數(shù)據(jù)的數(shù)據(jù)處理系統(tǒng)的地址發(fā)起的數(shù)據(jù)通信業(yè)務(wù)被路由到所述網(wǎng)絡(luò)上的一個殺毒地址����。因此�����,所述攻擊的源被標(biāo)記為一類攻擊的源�,并且從該源到達(dá)的通信業(yè)務(wù)被重新路由到所述殺毒服務(wù)器。被該通信業(yè)務(wù)最初定為目標(biāo)的系統(tǒng)被與該通信業(yè)務(wù)分離開��,并且從而受到保護(hù)��。
在本發(fā)明的優(yōu)選實施例中���,在產(chǎn)生所述報警信號后��,向所述殺毒地址發(fā)送一個報警信號�,并且所述報警信號優(yōu)選地包括檢測到的指示攻擊的數(shù)據(jù)����。該報警信號是有利的���,因為可以包含用于所述殺毒服務(wù)器的其它信息,諸如攻擊的類型�����,如何處理這種類型的攻擊的指示��。該報警信號還可以包括用于處理所述攻擊����,或?qū)ψ鳛樗龉舻脑吹南到y(tǒng)進(jìn)行殺毒的計算機程序代碼。
從另一個方面看本發(fā)明��,現(xiàn)在提供一種裝置���,其用于從來自第一數(shù)據(jù)網(wǎng)絡(luò)的請求中產(chǎn)生攻擊特征標(biāo)記�����,以便在具有多個被分配給數(shù)據(jù)處理系統(tǒng)的地址的第二數(shù)據(jù)網(wǎng)絡(luò)中使用�。所述裝置包括特征標(biāo)記產(chǎn)生器�����,用于接收來自第一數(shù)據(jù)網(wǎng)絡(luò)、以第三數(shù)據(jù)網(wǎng)絡(luò)中若干未被分配的地址為地址���、并且在一個輸入接口到達(dá)的數(shù)據(jù)通信業(yè)務(wù)�����,檢查接收到的數(shù)據(jù)通信業(yè)務(wù)的若干出現(xiàn)事件以便發(fā)現(xiàn)公共數(shù)據(jù)模式�����,并且在發(fā)現(xiàn)這種數(shù)據(jù)模式之后,從相應(yīng)的數(shù)據(jù)通信業(yè)務(wù)中確定攻擊特征標(biāo)記���,以便用于為第二數(shù)據(jù)網(wǎng)絡(luò)檢測攻擊�����。
在本發(fā)明的優(yōu)選實施例中�����,所述裝置包括存儲器���,其被用于至少暫時地在其內(nèi)存儲攻擊特征標(biāo)記��。該裝置優(yōu)選地被設(shè)計為對發(fā)送被包含在接收到的數(shù)據(jù)通信業(yè)務(wù)內(nèi)的請求的源進(jìn)行欺騙答復(fù)�。所述答復(fù)可以被通過第一輸出接口發(fā)送到第一數(shù)據(jù)網(wǎng)絡(luò)�。所述第一輸出接口優(yōu)選地可以與被連接到所述網(wǎng)絡(luò)的輸入接口組合在一起。
在優(yōu)選的方法中����,所述裝置僅從答復(fù)所述欺騙回答的那些源和沒有經(jīng)受所述欺騙回答的那些源中選擇數(shù)據(jù)通信業(yè)務(wù)的出現(xiàn)事件。在本發(fā)明的優(yōu)選實施例中���,該裝置被設(shè)計為根據(jù)連接屬性諸如數(shù)據(jù)通信業(yè)務(wù)的源地址��、源端口�、協(xié)議類型和目的地端口對所述出現(xiàn)事件分類�����。在本發(fā)明的更優(yōu)選的實施例中����,可以由該裝置確定所述攻擊特征標(biāo)記,該裝置包括對具有公共數(shù)據(jù)子串的出現(xiàn)事件數(shù)進(jìn)行計數(shù)的計數(shù)器���,并且將其數(shù)目超過預(yù)先確定的數(shù)目的那些數(shù)據(jù)子串定義為攻擊特征標(biāo)記�。該裝置優(yōu)選地可以具有第二輸出接口,用于將所述攻擊特征標(biāo)記發(fā)送到被分配到第二數(shù)據(jù)網(wǎng)絡(luò)的入侵檢測系統(tǒng)���。
在本發(fā)明的優(yōu)選實施例中�,該裝置還包括入侵檢測傳感器���,也被稱為入侵檢測器����,用于接收來自第一數(shù)據(jù)網(wǎng)絡(luò)的以第三數(shù)據(jù)網(wǎng)絡(luò)上未被分配的地址為地址的數(shù)據(jù)通信業(yè)務(wù)���,檢查接收到的數(shù)據(jù)通信業(yè)務(wù)以便獲得指示攻擊的數(shù)據(jù)��,并且在檢測到指示攻擊的數(shù)據(jù)后,產(chǎn)生報警信號�����。
在本發(fā)明的優(yōu)選實施例中��,該裝置還包括被連接到所述入侵檢測器的路由器�,用于將從被分配給產(chǎn)生所述指示攻擊的數(shù)據(jù)的數(shù)據(jù)處理系統(tǒng)的地址發(fā)起的數(shù)據(jù)通信業(yè)務(wù)重新路由到所述數(shù)據(jù)網(wǎng)絡(luò)中的一個數(shù)據(jù)網(wǎng)絡(luò)上的殺毒地址�����。
在本發(fā)明的優(yōu)選實施例中���,該裝置還包括被分配到所述殺毒地址的殺毒服務(wù)器。該殺毒服務(wù)器被設(shè)計為在接收到所述報警信號后�,向被分配給產(chǎn)生所述指示攻擊的數(shù)據(jù)的數(shù)據(jù)處理系統(tǒng)的地址發(fā)送警告消息。
本發(fā)明還延伸至一種包括計算機程序代碼手段的計算機程序元素�,當(dāng)被裝入數(shù)據(jù)處理系統(tǒng)的處理器后,配置所述處理器執(zhí)行如本文上面所述的用于檢測數(shù)據(jù)網(wǎng)絡(luò)上的攻擊的方法�����。
本發(fā)明還延伸至一種方法�,該方法通過提供用于輔助執(zhí)行殺毒程序代碼的指令或執(zhí)行殺毒程序代碼,在對檢測到的攻擊進(jìn)行處理時給予實體支持����。因為網(wǎng)絡(luò)所有者可能不具有專門知識和能力,以便為他們自己提供保護(hù)他們連接到第二通信網(wǎng)絡(luò)的資源不受攻擊的服務(wù)�,該方法使得這種實體可以從外部(優(yōu)選地,通過網(wǎng)絡(luò)連接遠(yuǎn)程地)接收需要的功能���。因此該支持步驟可以通過這種連接被執(zhí)行����,并且在優(yōu)選實施例中由攻擊識別裝置或包括這種功能的特征標(biāo)記產(chǎn)生裝置執(zhí)行。
本發(fā)明還延伸至一種方法�����,該方法用于向?qū)嶓w提供報告��,所述報告包括與報警���、殺毒�����、重新路由����、記錄��、丟棄檢測到的攻擊的上下文中的數(shù)據(jù)通信業(yè)務(wù)中的一個有關(guān)的信息���。同樣,在優(yōu)選實施例中����,這種報告可以通過網(wǎng)絡(luò)連接由入侵檢測器或特征標(biāo)記產(chǎn)生裝置發(fā)出和傳輸�����。
本發(fā)明還延伸至一種方法�����,該方法將攻擊特征標(biāo)記的產(chǎn)生與按照產(chǎn)生的攻擊特征標(biāo)記為實體記賬組合在一起�����。在優(yōu)選實施例中�,使用輸入技術(shù)參數(shù)���,諸如被檢查的數(shù)據(jù)通信業(yè)務(wù)量�、用于特征標(biāo)記產(chǎn)生的群組的大小���、被監(jiān)視的地址數(shù)目或指示攻擊特征標(biāo)記產(chǎn)生的復(fù)雜性的其它參數(shù)�,電子地計算記賬的數(shù)額����。
本發(fā)明還延伸至一種方法��,該方法將攻擊特征標(biāo)記的產(chǎn)生和/或攻擊識別與針對攻擊特征標(biāo)記產(chǎn)生或處理中的至少一個步驟的執(zhí)行為實體記賬組合在一起��,優(yōu)選地根據(jù)網(wǎng)絡(luò)大小����、所監(jiān)視的未被分配的地址的數(shù)目��、所監(jiān)視的已分配的地址的數(shù)目�、被檢查的數(shù)據(jù)通信業(yè)務(wù)量、識別出的攻擊的數(shù)量��、產(chǎn)生的報警的數(shù)量�����、識別出的攻擊的特征標(biāo)記����、被重新路由的數(shù)據(jù)通信業(yè)務(wù)量、實現(xiàn)的網(wǎng)絡(luò)安全程度��、或?qū)嶓w的營業(yè)額(turnover)中的一個確定記賬的數(shù)額���。
為若干實體提供特征標(biāo)記產(chǎn)生���,特征標(biāo)記的轉(zhuǎn)發(fā),以及攻擊識別�,并且使用從為所述實體中的一個實體對該方法的執(zhí)行中得出的技術(shù)數(shù)據(jù),為所述實體中的其它實體執(zhí)行同一方法是特別有利的����。如果不僅為特定實體(諸如第二網(wǎng)絡(luò)的所有者)的使用產(chǎn)生所述特征標(biāo)記,而是為多個實體�,尤其是如果這些實體的網(wǎng)絡(luò)被連接到第一,第二或第三數(shù)據(jù)網(wǎng)絡(luò)中的同一個或大體上相同的部分���,可以期望顯著的資源節(jié)省�����。在優(yōu)選實施例中���,特征標(biāo)記產(chǎn)生方法可以包括選擇步驟,其根據(jù)一種選擇標(biāo)準(zhǔn)選擇實體�,優(yōu)選地從使用產(chǎn)生的特征標(biāo)記的類似程度得出所述的選擇標(biāo)準(zhǔn)。若干實體的基礎(chǔ)設(shè)施的易受攻擊性越類似���,這些實體越易于遭受同一類型的攻擊�,并且越類似需要接收同一類型的攻擊特征標(biāo)記。
本發(fā)明還延伸至一種用于給實體部署特征標(biāo)記產(chǎn)生應(yīng)用的方法����,包括將特征標(biāo)記產(chǎn)生器連接到第三數(shù)據(jù)網(wǎng)絡(luò),以便從來自連接到其上的第一數(shù)據(jù)網(wǎng)絡(luò)的請求中產(chǎn)生攻擊特征標(biāo)記�����,以便在由該實體使用的并且具有被分配給數(shù)據(jù)處理系統(tǒng)的多個地址的第二網(wǎng)絡(luò)中使用的步驟����,設(shè)置所述特征標(biāo)記產(chǎn)生器以便使用所說明的特征標(biāo)記產(chǎn)生方法產(chǎn)生攻擊特征標(biāo)記的步驟,和設(shè)置所述特征標(biāo)記產(chǎn)生器以便將產(chǎn)生的攻擊特征標(biāo)記發(fā)送到連接到所述第二數(shù)據(jù)網(wǎng)絡(luò)的攻擊識別設(shè)備的步驟�。
在給定的網(wǎng)絡(luò)中可以有大量未被分配的地址。在本發(fā)明的特別優(yōu)選的實施例中�����,特征標(biāo)記產(chǎn)生器在網(wǎng)絡(luò)上監(jiān)聽被定向到未被分配的地址的通信業(yè)務(wù)�����。應(yīng)當(dāng)沒有這種通信業(yè)務(wù)存在��,因為這些地址是未被告知或未被公布的。在檢測到被發(fā)送到未被分配的地址中的一個地址的請求的情況下�����,特征標(biāo)記產(chǎn)生器可以對該請求進(jìn)行欺騙回答��,除非該請求使用了已經(jīng)傳遞了檢查所必需的信息的預(yù)先確定的協(xié)議類型���。未被分配的地址沒有被具有除了特征標(biāo)記產(chǎn)生或入侵檢測之外的其它功能的設(shè)備使用。因此�����,試圖連接(例如)位于這種地址處的服務(wù)器是優(yōu)先可疑的�����。然后特征標(biāo)記產(chǎn)生器監(jiān)聽對所述欺騙回答的答復(fù)�����,并且將該答復(fù)用于特征標(biāo)記產(chǎn)生處理����。
現(xiàn)在將參考附圖�,僅以示例的方式說明本發(fā)明的優(yōu)選實施例�����,其中圖1是數(shù)據(jù)處理系統(tǒng)的方框圖�;圖2是數(shù)據(jù)處理網(wǎng)絡(luò)的方框圖;圖3是入侵檢測器的方框圖�����;圖4是與所述入侵檢測器相關(guān)的流程圖�;圖5是特征標(biāo)記產(chǎn)生器的方框圖;圖6是與所述特征標(biāo)記產(chǎn)生器相關(guān)的流程圖���;和圖7是為入侵檢測器工作的特征標(biāo)記產(chǎn)生器的方框圖���。
具體實施例方式
首先參考圖1,數(shù)據(jù)處理系統(tǒng)包括CPU10�,I/O子系統(tǒng)20和存儲器子系統(tǒng)40,它們?nèi)坑煽偩€子系統(tǒng)30互連在一起����。存儲器子系統(tǒng)40可以包括隨機訪問存儲器(RAM),只讀存儲器(ROM)和一個或多個存儲設(shè)備諸如硬盤驅(qū)動器�,光盤驅(qū)動器等等�����。I/O子系統(tǒng)20可以包括顯示器����,鍵盤��;指點設(shè)備諸如鼠標(biāo)�����,軌跡球等���;以及允許通過數(shù)據(jù)網(wǎng)絡(luò)在數(shù)據(jù)處理系統(tǒng)和一個或多個類似系統(tǒng)和/或外部設(shè)備之間進(jìn)行通信的一個或多個網(wǎng)絡(luò)連接。由這種網(wǎng)絡(luò)互連的這種系統(tǒng)和設(shè)備的組合本身可以構(gòu)成分布式數(shù)據(jù)處理系統(tǒng)����。這種分布式系統(tǒng)本身可以由另外的數(shù)據(jù)網(wǎng)絡(luò)互連。
在存儲器子系統(tǒng)40中的是被存儲的數(shù)據(jù)60和可由CPU10執(zhí)行的計算機程序代碼50���。程序代碼50包括操作系統(tǒng)軟件90和應(yīng)用軟件80���。當(dāng)被CPU10執(zhí)行時操作系統(tǒng)軟件90提供了一個平臺�,應(yīng)用軟件80可以在其上執(zhí)行���。
現(xiàn)在參考圖2�����,在本發(fā)明的優(yōu)選實施例中��,提供了數(shù)據(jù)網(wǎng)絡(luò)100�����,也被稱為第三數(shù)據(jù)網(wǎng)絡(luò)100���,其具有用于分配給該網(wǎng)絡(luò)中的數(shù)據(jù)處理系統(tǒng)的多個地址110。第三數(shù)據(jù)網(wǎng)絡(luò)100具有多個可分配的網(wǎng)際(IP)地址110����。第三數(shù)據(jù)網(wǎng)絡(luò)100被通過路由器130連接到因特網(wǎng)120,也被稱為第一數(shù)據(jù)網(wǎng)絡(luò)120���?���?梢员疚那懊鎱⒖紙D1說明的數(shù)據(jù)處理系統(tǒng)的形式實現(xiàn)路由器130,其被適當(dāng)?shù)鼐幊虨閷S糜诨跀?shù)據(jù)包中指出的地址數(shù)據(jù)在因特網(wǎng)120和第三數(shù)據(jù)網(wǎng)絡(luò)100之間對數(shù)據(jù)包形式的通信業(yè)務(wù)進(jìn)行路由的任務(wù)�。第三數(shù)據(jù)網(wǎng)絡(luò)100上的地址110的第一組140被分配給屬于因特網(wǎng)服務(wù)的用戶的系統(tǒng)150。每個系統(tǒng)150可以是此處前面參考圖1說明的數(shù)據(jù)處理系統(tǒng)�。第三數(shù)據(jù)網(wǎng)絡(luò)100上的地址110的第二組160是空閑的,即未被分配的�。更具體地,地址110的第二組160沒有被分配給用戶系統(tǒng)150�����,諸如服務(wù)器或客戶機�。入侵檢測系統(tǒng)(IDS)170也被連接到第三數(shù)據(jù)網(wǎng)絡(luò)100。IDS170還被連接到路由器130��。下面將進(jìn)一步提供IDS170的細(xì)節(jié)��。路由器130被連接到殺毒服務(wù)器180�?��?梢杂纱颂幥懊鎱⒖紙D1說明的數(shù)據(jù)處理系統(tǒng)實現(xiàn)殺毒服務(wù)器180�。特征標(biāo)記產(chǎn)生器190被布置為與路由器130和因特網(wǎng)120相連接�����,它還被連接到入侵檢測器170。
參考圖3����,在本發(fā)明的特別優(yōu)選實施例中,IDS170包括此處前面參考圖1說明的數(shù)據(jù)處理系統(tǒng)����。IDS170的應(yīng)用軟件80包括入侵檢測代碼200。存儲在IDS170的存儲器子系統(tǒng)40中的數(shù)據(jù)60包括攻擊識別數(shù)據(jù)210和殺毒數(shù)據(jù)220�����。數(shù)據(jù)60還包括第三數(shù)據(jù)網(wǎng)絡(luò)100上哪些地址未被分配并且屬于第二組160�����,以及第三數(shù)據(jù)網(wǎng)絡(luò)100上哪些地址110被分配給數(shù)據(jù)處理系統(tǒng)150并且屬于第一組140的記錄�。每次另一個地址被分配或已有地址分配被刪除時,對該記錄進(jìn)行更新�����。攻擊識別數(shù)據(jù)210包含指示標(biāo)識已知攻擊的特征標(biāo)記的數(shù)據(jù)��。殺毒數(shù)據(jù)220包含指示以下內(nèi)容的數(shù)據(jù)每個攻擊的屬性;如何對受每個攻擊感染的系統(tǒng)殺毒�;和如何恢復(fù)正常的網(wǎng)絡(luò)連接。攻擊識別數(shù)據(jù)210和殺毒數(shù)據(jù)220是交叉引用的���。當(dāng)被CPU10執(zhí)行時����,入侵檢測代碼200配置IDS170�����,以便根據(jù)圖4所示的流程圖操作���。
現(xiàn)在參考圖4中給出的示例實施例����,在操作中�����,IDS170接收第三數(shù)據(jù)網(wǎng)絡(luò)100上從已分配的地址140發(fā)起并且以未被分配的地址160為地址的數(shù)據(jù)通信業(yè)務(wù)���。IDS170檢查接收到的數(shù)據(jù)通信業(yè)務(wù)以便獲得指示攻擊的數(shù)據(jù)。當(dāng)檢測到指示攻擊的數(shù)據(jù)后,IDS170產(chǎn)生報警信號�����。在本發(fā)明的優(yōu)選實施例中��,當(dāng)所述報警信號產(chǎn)生之后�����,從被分配給產(chǎn)生該指示攻擊的數(shù)據(jù)的數(shù)據(jù)處理系統(tǒng)150的地址140發(fā)起的數(shù)據(jù)通信業(yè)務(wù)被重新路由到第三數(shù)據(jù)網(wǎng)絡(luò)100上的殺毒地址����。在本發(fā)明的特別優(yōu)選實施例中,IDS170在第三數(shù)據(jù)網(wǎng)絡(luò)100上監(jiān)聽�,并且接收被定向到未被分配的地址160的通信業(yè)務(wù)。具體地����,在方框300,IDS170檢查從第三數(shù)據(jù)網(wǎng)絡(luò)100上的地址140發(fā)送的請求�����,以便在方框310確定該請求是否指出未被分配的地址160中的一個地址作為目的地地址�。如果該請求沒有指出未被分配的地址160中的一個地址,則在方框320,IDS170等待檢查下一個請求�����。然而���,如果該請求指出了至少一個未被分配的地址160���,則在方框330,IDS170對該請求進(jìn)行欺騙回答��。
還可以通過將未被分配的地址分配給IDS170����,從而任意被定向到未被分配的地址的通信業(yè)務(wù)自動地到達(dá)IDS170來實現(xiàn)所述識別。
所述回答被發(fā)送到第三數(shù)據(jù)網(wǎng)絡(luò)100上的所述源地址��。除了檢查攻擊之外未被分配的地址160沒有被使用����。因此,試圖連接(例如)這種地址處的系統(tǒng)是優(yōu)先可疑的�。在方框340���,IDS170監(jiān)聽對所述欺騙回答的答復(fù)���。如果在預(yù)先確定的時間段內(nèi)沒有接收到答復(fù)��,IDS170可以超時���,在該情況下,在方框320�,IDS170等待檢查下一個請求。然而如果在方框350接收到答復(fù)�����,IDS170對懷疑的請求和答復(fù)與被存儲在存儲器子系統(tǒng)40中的攻擊識別數(shù)據(jù)210進(jìn)行比較�����。如果在方框350����,比較沒有識別出攻擊,則在方框320����,IDS170等待檢查下一個請求����。然而��,如果比較在方框350檢測到所述答復(fù)中可診斷的攻擊���,則IDS170確定源系統(tǒng)150被感染了����。因此�,在方框360,IDS170產(chǎn)生報警信號���。該報警信號被發(fā)送到路由器130�。該報警信號指示路由器130使得來自受感染系統(tǒng)150的所有通信業(yè)務(wù)轉(zhuǎn)向到所述殺毒地址�。這是重新路由步驟,用于將從被分配給產(chǎn)生該指示攻擊的數(shù)據(jù)的數(shù)據(jù)處理系統(tǒng)的地址發(fā)起的數(shù)據(jù)通信業(yè)務(wù)重新路由到第三數(shù)據(jù)網(wǎng)絡(luò)100上的殺毒地址���。
參考前面的圖1�,在本發(fā)明的特別優(yōu)選實施例中��,殺毒服務(wù)器180位于所述殺毒地址處��。在本發(fā)明的優(yōu)選實施例中,在產(chǎn)生所述報警信號之后�����,IDS170向所述殺毒地址發(fā)送一個報警信號�����。優(yōu)選地�,該報警信號包括檢測到的指示攻擊的數(shù)據(jù)�。因此,在產(chǎn)生所述報警信號之后�����,執(zhí)行報警步驟���,以便將該報警信號發(fā)送到所述殺毒地址�,所述報警信號優(yōu)選地包括檢測到的指示攻擊的數(shù)據(jù)���。
因此�����,在本發(fā)明的特別優(yōu)選實施例中��,IDS170從存儲器子系統(tǒng)40中檢索相應(yīng)于檢測到的攻擊的殺毒數(shù)據(jù)220��。在方框370���,IDS170將包含檢索到的殺毒數(shù)據(jù)的報警信號發(fā)送到所述殺毒地址�,殺毒服務(wù)器180位于該殺毒地址處��。然后在方框320��,IDS170等待檢查下一個請求��。每個請求���、回答和答復(fù)可以包含在第三數(shù)據(jù)網(wǎng)絡(luò)100上的數(shù)據(jù)通信業(yè)務(wù)的一個或多個包中����。因此���,每個攻擊的特征標(biāo)記可以跨過多于一個的包�。
在本發(fā)明的優(yōu)選實施例中�����,發(fā)送到殺毒服務(wù)器180的殺毒數(shù)據(jù)220包含指示以下內(nèi)容的數(shù)據(jù)檢測到的攻擊的屬性;如何對受該攻擊感染的系統(tǒng)150殺毒���;和如何恢復(fù)正常的網(wǎng)絡(luò)連接。在從IDS170接收到殺毒數(shù)據(jù)220后��,殺毒服務(wù)器180開始治療受感染的系統(tǒng)150���,并且恢復(fù)第三數(shù)據(jù)網(wǎng)絡(luò)100���。在本發(fā)明的另一個優(yōu)選實施例中,殺毒數(shù)據(jù)220僅包含指示所述攻擊的屬性的數(shù)據(jù)��。然后殺毒服務(wù)器基于所述攻擊的屬性選擇多個預(yù)先存儲的技術(shù)中的一個�,以便對受感染的系統(tǒng)150進(jìn)行殺毒和/或恢復(fù)第三數(shù)據(jù)網(wǎng)絡(luò)100,并且執(zhí)行所選擇的技術(shù)�����。攻擊可以是許多不同的形式����。因此����,用于殺毒和網(wǎng)絡(luò)恢復(fù)的相應(yīng)技術(shù)可以從一種攻擊到另一種攻擊很大地改變����。
在本發(fā)明的優(yōu)選實施例中,在接收到殺毒數(shù)據(jù)之后����,殺毒服務(wù)器180向受感染的系統(tǒng)150發(fā)送警告消息。該警告消息通知受感染的系統(tǒng)150的用戶他們的系統(tǒng)150被感染了���。該警告消息可以指示用戶運行預(yù)先存儲在受感染的系統(tǒng)150內(nèi)的殺毒軟件��,以便消除或隔離該感染��?���?商鎿Q地�,警告消息可以包含用于從受感染的系統(tǒng)150中消除該攻擊的殺毒程序代碼,以及幫助用戶在受感染的系統(tǒng)150上執(zhí)行所述殺毒代碼的指令�����。在另一個可供選擇的方案中,警告消息可以將用戶定向到另一個Web站點��,在該站點處提供了適當(dāng)?shù)臍⒍境绦虼a�����。在本發(fā)明的另一個優(yōu)選實施例中�����,該警告消息包含殺毒程序代碼�,當(dāng)被裝入受感染的系統(tǒng)時���,其自動地執(zhí)行����,從而以對用戶透明的方式消除或隔離感染��。其它的殺毒方案也是可行的�����。
在此處前面所述的本發(fā)明的實施例中,殺毒服務(wù)器180被實現(xiàn)在如此處前面參考圖1說明的單個數(shù)據(jù)處理系統(tǒng)內(nèi)�����。然而��,在本發(fā)明的其它實施例中���,殺毒服務(wù)器180可以由多個互連的數(shù)據(jù)處理系統(tǒng)實現(xiàn)���。這種數(shù)據(jù)處理可以是分布式的或可以一起位于一個“場地”內(nèi)。殺毒服務(wù)器內(nèi)的每個數(shù)據(jù)處理系統(tǒng)可以專用于處理不同的攻擊����。IDS170還可以由多個集成的數(shù)據(jù)處理系統(tǒng)實現(xiàn)?�?商鎿Q地���,IDS170和殺毒服務(wù)器180可以被集成在單個數(shù)據(jù)處理系統(tǒng)內(nèi)��。
從受感染的系統(tǒng)150發(fā)送的并且被路由器130轉(zhuǎn)向到殺毒服務(wù)器180的第三數(shù)據(jù)網(wǎng)絡(luò)100上的通信業(yè)務(wù)可以被殺毒服務(wù)器180記錄和/或丟棄�。在此處前面說明的本發(fā)明的實施例中����,IDS170將殺毒數(shù)據(jù)發(fā)送到殺毒服務(wù)器220���。然而,在本發(fā)明的其它實施例中����,一旦檢測到了感染,IDS170可以簡單地指示路由器130將來自受感染的系統(tǒng)150的數(shù)據(jù)通信業(yè)務(wù)轉(zhuǎn)向到殺毒服務(wù)器180����,而不用IDS170附加地為殺毒服務(wù)器180提供殺毒數(shù)據(jù)220。然后殺毒服務(wù)器180可以僅起從受感染的系統(tǒng)150發(fā)起的通信業(yè)務(wù)的庫的作用���,記錄和/或丟棄它從受感染的系統(tǒng)150接收的通信業(yè)務(wù)??梢杂蓺⒍痉?wù)器180向第三數(shù)據(jù)網(wǎng)絡(luò)100的管理員報告所述的記錄和丟棄。這種報告可以被周期地或?qū)崟r地傳遞��。所述報告可以通過�,例如,管理控制臺被執(zhí)行����。然而����,其它報告技術(shù)���,諸如例如打印的輸出也是可行的����。在收到這種報告后���,管理員可以采取適當(dāng)?shù)男袆酉蚨糁频谌龜?shù)據(jù)網(wǎng)絡(luò)100的感染��。
參考圖5����,特征標(biāo)記產(chǎn)生器190具有在某個程度上類似于IDS170的結(jié)構(gòu)���。特征標(biāo)記產(chǎn)生器190包括如此前參考圖1所述的數(shù)據(jù)處理系統(tǒng)��。特征標(biāo)記產(chǎn)生器190的應(yīng)用軟件80包括特征標(biāo)記產(chǎn)生代碼230����。
被存儲在特征標(biāo)記產(chǎn)生器190的存儲器子系統(tǒng)40內(nèi)的數(shù)據(jù)60包括-請求數(shù)據(jù)�,IDS捕捉到的請求數(shù)據(jù)����,即�,隨請求到達(dá)的數(shù)據(jù)-答復(fù)數(shù)據(jù),即��,指出對于哪種類型的請求可以進(jìn)行哪種類型的欺騙答復(fù)-響應(yīng)數(shù)據(jù)�,即,響應(yīng)所述欺騙答復(fù)而到達(dá)的數(shù)據(jù)數(shù)據(jù)60還包括第三數(shù)據(jù)網(wǎng)絡(luò)100上的哪些地址未被分配并且屬于第二組160��,以及第三數(shù)據(jù)網(wǎng)絡(luò)100上的哪些地址110被分配給數(shù)據(jù)處理系統(tǒng)150并且屬于第一組140的記錄����。每次另一個地址被分配或現(xiàn)有的地址分配被刪除時,對所述記錄進(jìn)行更新����。
當(dāng)被CPU10執(zhí)行時,特征標(biāo)記產(chǎn)生代碼230配置特征標(biāo)記產(chǎn)生器190�,以便根據(jù)圖6中所示的流程圖操作�。
現(xiàn)在參考圖6,在操作中�,特征標(biāo)記產(chǎn)生器190識別從第一網(wǎng)絡(luò)120發(fā)起的以第三網(wǎng)絡(luò)100的未被分配的地址160為地址的數(shù)據(jù)通信業(yè)務(wù)。具體地���,在方框400�,特征標(biāo)記產(chǎn)生器190檢查從因特網(wǎng)120接收的請求,以便在方框410確定該請求是否指出了一個或多個未被分配的地址160作為目的地地址��。如果該請求沒有指出至少一個未被分配的地址����,則在方框420,特征標(biāo)記產(chǎn)生器190等待檢查下一個請求����。該請求經(jīng)過特征標(biāo)記產(chǎn)生器190到達(dá)路由器130。上述步驟序列在圖6中被以400.1標(biāo)注為路徑����。換言之,執(zhí)行接收和識別步驟��,其接收并且識別第一網(wǎng)絡(luò)120上的以第三數(shù)據(jù)網(wǎng)絡(luò)100內(nèi)若干未被分配的地址為地址的數(shù)據(jù)通信業(yè)務(wù)��。
作為方框410中上述的接收和識別步驟的一種可供選擇的方案�,如果特征標(biāo)記產(chǎn)生器190被按照默認(rèn)分配到所述未被分配的地址160,則特征標(biāo)記產(chǎn)生器190可以跳過該步驟�。在這種情況下,到達(dá)特征標(biāo)記產(chǎn)生器190的數(shù)據(jù)通信業(yè)務(wù)按照定義被定向到一個未被分配的地址160��,并且處理直接從方框400跳到方框430,在圖6中被以400.2標(biāo)注為路徑����。這是用于接收來自第一數(shù)據(jù)網(wǎng)絡(luò)120以第三數(shù)據(jù)網(wǎng)絡(luò)100內(nèi)若干未被分配的地址為地址的數(shù)據(jù)通信業(yè)務(wù)的接收步驟。
如果該請求指出了一個或多個未被分配的地址160�,則在方框430,特征標(biāo)記產(chǎn)生器190對該請求進(jìn)行欺騙回答����。該回答被發(fā)送到因特網(wǎng)120上的所述源地址。因此���,執(zhí)行回答步驟以便對發(fā)送被包含在接收到的數(shù)據(jù)通信業(yè)務(wù)內(nèi)的請求的源進(jìn)行欺騙回答����。未被分配的地址160沒有被除了特征標(biāo)記產(chǎn)生器190之外的設(shè)備使用����。因此,試圖連接(例如)位于這種地址處的系統(tǒng)是優(yōu)先可疑的�����。在方框440�����,特征標(biāo)記產(chǎn)生器190監(jiān)聽對所述欺騙回答的答復(fù)��。如果在預(yù)先確定的時間段內(nèi)沒有收到答復(fù)��,特征標(biāo)記產(chǎn)生器190可以超時�,在該情況下,在方框420�,特征標(biāo)記產(chǎn)生器190等待檢查下一個請求。然而�����,如果接收到了答復(fù)�,則在方框450特征標(biāo)記產(chǎn)生器190執(zhí)行特征標(biāo)記產(chǎn)生算法。
根據(jù)請求使用的協(xié)議���,可能不需要進(jìn)行欺騙回答���。在這種情況下,特征標(biāo)記產(chǎn)生器190可以跳過方框430中的欺騙回答步驟和方框440中的監(jiān)聽答復(fù)步驟���。對于這些請求��,初始響應(yīng)被用作替代對所述欺騙回答的答復(fù)����。因此在該情況下,基于一種選擇標(biāo)準(zhǔn)選擇性地執(zhí)行所述回答步驟�����,所述標(biāo)準(zhǔn)取決于接收到的數(shù)據(jù)通信業(yè)務(wù)的協(xié)議類型����。除了協(xié)議類型外,選擇步驟可以包括附加的標(biāo)準(zhǔn)��,例如重復(fù)標(biāo)準(zhǔn)�����,即����,接收到的數(shù)據(jù)通信業(yè)務(wù)是否被識別為與以前接收到的數(shù)據(jù)通信業(yè)務(wù)相同。
特征標(biāo)記產(chǎn)生算法包括檢查步驟��,其中檢查以第三數(shù)據(jù)網(wǎng)絡(luò)內(nèi)若干未被分配的地址為地址的數(shù)據(jù)通信業(yè)務(wù)的若干出現(xiàn)事件以便發(fā)現(xiàn)公共數(shù)據(jù)模式的出現(xiàn)。
在優(yōu)選實施例中���,僅從答復(fù)所述欺騙回答的源以及沒有經(jīng)受所述回答步驟的源的數(shù)據(jù)通信業(yè)務(wù)中選擇數(shù)據(jù)通信業(yè)務(wù)的出現(xiàn)事件。換言之���,來自非答復(fù)源的請求不被用于特征標(biāo)記產(chǎn)生���。這減少了用于檢查步驟的數(shù)據(jù)。
檢查步驟可以包括根據(jù)連接屬性���,諸如數(shù)據(jù)通信業(yè)務(wù)的源地址�����、源端口����、協(xié)議類型和目的地端口中的一個�,對所述出現(xiàn)事件分類。
此后是確定步驟���,用于在發(fā)現(xiàn)這種公共數(shù)據(jù)模式之后�����,從相應(yīng)的數(shù)據(jù)通信業(yè)務(wù)中確定攻擊特征標(biāo)記以便用于為第二數(shù)據(jù)網(wǎng)絡(luò)檢測攻擊��。在優(yōu)選實施例中��,確定步驟包括對所述數(shù)據(jù)通信業(yè)務(wù)具有公共數(shù)據(jù)子串的出現(xiàn)事件數(shù)進(jìn)行計數(shù)��,并且將其數(shù)目超過一個預(yù)先確定的數(shù)目的那些數(shù)據(jù)子串定義為攻擊特征標(biāo)記�����。因此����,以包含相應(yīng)數(shù)據(jù)子串的出現(xiàn)事件的數(shù)目為群組大小建立子串群組。一旦群組大小超過了所述預(yù)先確定的數(shù)目�,該群組的子串就被定義為攻擊特征標(biāo)記。
在下面的段落中���,解釋了優(yōu)選實施例的這種特征標(biāo)記產(chǎn)生算法�����。
接收到的答復(fù)被定義為輸入�����,其中多元組的集合S={I<srci�����,dsti�,dpti�,requesti>iεI},并且其中srci為源地址�����,dsti為目的地地址����,dpti為目的地端口,其通常與一個特定的服務(wù)相關(guān)聯(lián)����,并且requesti是所述源發(fā)送到一個未被分配的地址但是最終到達(dá)了特征標(biāo)記產(chǎn)生器190的請求。目的地端口也被稱為服務(wù)類型dpti�。在特征標(biāo)記產(chǎn)生器190中執(zhí)行具有如下兩個功能的方法1按服務(wù)尋找特征標(biāo)記1.1將S中的多元組按照目的地端口分組,并且將每個目的地端口P與被發(fā)向這個端口P的請求的集合R(p)={requestj|<*���,*�,p,requestj>inS}相關(guān)聯(lián)�。
1.2對于每個端口P,在R(p)中尋找所有經(jīng)常出現(xiàn)的具有預(yù)先確定的最小長度的子串���。這些頻繁出現(xiàn)的子串是針對運行在端口P的服務(wù)的按服務(wù)確定的特征標(biāo)記���。
按服務(wù)尋找特征標(biāo)記算法監(jiān)視出現(xiàn)并被定向到特定端口的請求,并且分析它們中具有預(yù)先確定的最小長度的頻繁出現(xiàn)的公共子串��。所述子串是所述請求的一部分��,是該請求是攻擊的特征��。具有公共子串的請求被認(rèn)為代表著同一類型的攻擊��。特定于端口的處理利用這樣的事實���,即�����,通常被定向到不同端口的攻擊很難被以同一特征標(biāo)記捕捉��。因此出現(xiàn)在被定向到不同端口的請求中的公共子串很可能是巧合����,并且因此具有不是攻擊的一部分的較高的可能性。因此特定于端口的處理導(dǎo)致了減少了假肯定的可能性的特征標(biāo)記�,即,錯誤的識別和將請求處理為攻擊�����,而該請求實際上是無害的��。
在優(yōu)選實施例中��,上面的用于按服務(wù)尋找特征標(biāo)記的算法可以被第二算法補充2尋找攻擊-工具特征標(biāo)記2.1將S中的多元組按源分組����,并且將每個源與其做出的請求的集合R’(s)={requestj |<s��,*�,*,request j>in S}相關(guān)聯(lián)��。
2.2對于每個R’(s)�,以它們與之匹配的按服務(wù)確定的特征標(biāo)記(見1)替換R’(s)中的所有請求����。得到的按服務(wù)確定的特征標(biāo)記的集合R*(s)是攻擊-工具特征標(biāo)記��。
該算法的尋找攻擊-工具特征標(biāo)記部分使用按源分組��,并且分析從所述源而來的請求���,而不論它們被定向到什么端口�����。這種方法利用這樣的事實���,即,某些攻擊表現(xiàn)出改變的端口模式以便比入侵檢測器更為聰明���。在這種情況下����,攻擊特征標(biāo)記將以它的源與某個子串一起提供對該攻擊的識別�。
在優(yōu)選實施例中,可以修改該算法�,采用根據(jù)所接觸的不同目的地地址的數(shù)目動態(tài)地給所述源加權(quán)�����。
例如����,可以調(diào)整數(shù)據(jù)子串的所述預(yù)先確定的數(shù)目�,當(dāng)超過該數(shù)目時將那些數(shù)據(jù)子串定義為攻擊特征標(biāo)記。對于將數(shù)據(jù)通信業(yè)務(wù)定向到多于一個目的地地址的源�����,該數(shù)目可以選得較低���。具體地���,該數(shù)目可以被根據(jù)目的地地址的數(shù)目相反地選擇�����。這考慮了這樣的事實�����,即,數(shù)據(jù)通信業(yè)務(wù)被定向到越多的地址�����,該源越可疑�����,并且該數(shù)據(jù)通信業(yè)務(wù)越可能是實際的攻擊�����。
再有���,根據(jù)源的有關(guān)已知屬性動態(tài)地給特征標(biāo)記的準(zhǔn)確性加權(quán)是可行的�。具體地�,如果基于其它以前已知的特征標(biāo)記,已知給定的源被是攻擊者�����,則來自同一源的相符的但是未知的活動可能也是攻擊���。
此外�,可以包括定時信息。通常以打包的黑客工具執(zhí)行攻擊�。這種工具一般不會隨機化攻擊順序,從而時間順序分析不僅可以確定攻擊�,而且還可以確定運行攻擊的工具。
特征標(biāo)記產(chǎn)生算法的輸出是攻擊特征標(biāo)記��,其可以被入侵檢測器170使用�����,以便將請求識別為攻擊�。因此,使用接收到的對定向到未被分配的地址160的請求的欺騙答復(fù)的響應(yīng)��,特征標(biāo)記產(chǎn)生器190得出了這樣的模式���,這些模式被轉(zhuǎn)換為攻擊特征標(biāo)記���。在方框460中��,這些攻擊特征標(biāo)記被轉(zhuǎn)發(fā)到入侵檢測器170�����,在入侵檢測器170,該攻擊特征標(biāo)記被集成到攻擊識別數(shù)據(jù)210內(nèi)�。因此,通過將攻擊特征標(biāo)記發(fā)送到分配到第二數(shù)據(jù)網(wǎng)絡(luò)的入侵檢測器170�����,特征標(biāo)記產(chǎn)生器190對由IDS170使用的攻擊識別數(shù)據(jù)210進(jìn)行更新���。上述方法不僅可用于改進(jìn)第三數(shù)據(jù)網(wǎng)絡(luò)100內(nèi)的攻擊識別���,而且可以被更一般地應(yīng)用于第二網(wǎng)絡(luò)。這意味著雖然通過監(jiān)聽來自第一數(shù)據(jù)網(wǎng)絡(luò)并且被定向到第三數(shù)據(jù)網(wǎng)絡(luò)內(nèi)的未被分配的地址的請求產(chǎn)生所述攻擊特征標(biāo)記��,同樣的攻擊特征標(biāo)記可以被發(fā)送到第二數(shù)據(jù)網(wǎng)絡(luò)���,以便在其中的入侵檢測方法中使用��。盡管所有三個網(wǎng)絡(luò)可以是不同的��,所述的方法可以工作于它們的任意組合���,諸如是被無縫地連接到一個或多個其它網(wǎng)絡(luò)、被集成在一個或多個其它網(wǎng)絡(luò)、連接到一個或多個其它網(wǎng)絡(luò)�����、是一個或多個其它網(wǎng)絡(luò)的一部分���、是一個或多個其它網(wǎng)絡(luò)的子網(wǎng)�����、是一個或多個其它網(wǎng)絡(luò)的高層網(wǎng)絡(luò)�、與一個或多個其它網(wǎng)絡(luò)部分地相同的�����、與一個或多個其它網(wǎng)絡(luò)整體構(gòu)造的、部分地連接到一個或多個其它網(wǎng)絡(luò)的、或部分地集成到一個或多個其它網(wǎng)絡(luò)的網(wǎng)絡(luò)中的任意一個���。在圖2示出的實施例中�,第二網(wǎng)絡(luò)和第三網(wǎng)絡(luò)100是一致的�����。
以一種優(yōu)選的方式�,基于多個接收到的請求和/或?qū)ζ垓_回答的答復(fù)在方框450中執(zhí)行特征標(biāo)記產(chǎn)生����。對于不需要一系列欺騙回答和監(jiān)聽答復(fù)的請求,在方框400為多個請求執(zhí)行對這些請求的接收���,在圖6中以循環(huán)401標(biāo)注�����。對于要經(jīng)受一系列欺騙回答(方框430)和監(jiān)聽答復(fù)(方框440)的請求����,為多個請求執(zhí)行一系列方框400�,430����,440,在圖6中以循環(huán)441標(biāo)注�。
另一個優(yōu)選實施例包括在方框450執(zhí)行特征標(biāo)記產(chǎn)生算法,并且其后使用所檢查的請求和/或答復(fù)的附加的輸入再次執(zhí)行該算法����。從而隨時間更新特征標(biāo)記產(chǎn)生算法的輸出��。
在特征標(biāo)記產(chǎn)生器的優(yōu)選部署中�,它被放置在到因特網(wǎng)的直接鏈路上���。以這種方式��,它經(jīng)受最大量的敵人的攻擊活動����,并且上述算法可以得出較大數(shù)量的攻擊特征標(biāo)記��。一旦得出,攻擊特征標(biāo)記可以被部署到IDS�。這種IDS也可以存在于不同的網(wǎng)絡(luò)配置中,諸如在防火墻之后����。
在本發(fā)明的優(yōu)選實施例中,還提供了一種數(shù)據(jù)網(wǎng)絡(luò)�����,包括用于將多個數(shù)據(jù)處理系統(tǒng)連接到因特網(wǎng)的路由器���;被連接到該路由器并且被連接到特征標(biāo)記產(chǎn)生器的入侵檢測系統(tǒng)(IDS)����;以及也被連接到該路由器的殺毒服務(wù)器�。響應(yīng)IDS使用由特征標(biāo)記產(chǎn)生器產(chǎn)生的攻擊特征標(biāo)記檢測出所述數(shù)據(jù)處理系統(tǒng)中的一個數(shù)據(jù)處理系統(tǒng)受攻擊感染了,IDS指示路由器將來自該攻擊的所有網(wǎng)絡(luò)通信業(yè)務(wù)轉(zhuǎn)向到殺毒服務(wù)器�。另外IDS給殺毒服務(wù)器提供殺毒數(shù)據(jù)。所述殺毒數(shù)據(jù)是對感染的性質(zhì)��,如何對感染系統(tǒng)殺毒����,以及如何恢復(fù)正常的網(wǎng)絡(luò)連接的指示����。
在圖7中�,示出了三種網(wǎng)絡(luò)布置。第一數(shù)據(jù)網(wǎng)絡(luò)120被連接到第三數(shù)據(jù)網(wǎng)絡(luò)100�,并且通過路由器130被連接到第二數(shù)據(jù)網(wǎng)絡(luò)70。第三數(shù)據(jù)網(wǎng)絡(luò)包括已分配的地址140�����,和被分配到未被分配的地址的特征標(biāo)記產(chǎn)生器190���,特征標(biāo)記產(chǎn)生器190被連接到入侵檢測器170�。路由器130被連接到入侵檢測器170和殺毒服務(wù)器180���。入侵檢測器170分配有第二數(shù)據(jù)網(wǎng)絡(luò)70的未被分配的地址�,第二數(shù)據(jù)網(wǎng)絡(luò)70還具有已分配地址71。任意上述的連接可以被直接地或間接地實現(xiàn)�����,例如���,通過可使用的任何網(wǎng)絡(luò)連接���。
在該實施例中,第三數(shù)據(jù)網(wǎng)絡(luò)內(nèi)被定向到未被分配的地址160的數(shù)據(jù)通信業(yè)務(wù)自動地到達(dá)特征標(biāo)記產(chǎn)生器190,特征標(biāo)記產(chǎn)生器190使用其特征標(biāo)記產(chǎn)生算法產(chǎn)生攻擊特征標(biāo)記���。到達(dá)特征標(biāo)記產(chǎn)生器190的數(shù)據(jù)通信業(yè)務(wù)可以發(fā)起自第一網(wǎng)絡(luò)120���,但是還可以來從第三數(shù)據(jù)網(wǎng)絡(luò)100內(nèi)��。
產(chǎn)生的攻擊特征標(biāo)記被特征標(biāo)記產(chǎn)生器190發(fā)送到IDS170,IDS170可以使用該攻擊特征標(biāo)記將到達(dá)的數(shù)據(jù)通信業(yè)務(wù)的出現(xiàn)事件識別為攻擊�����。同樣,由于特征標(biāo)記產(chǎn)生器170被分配有第二網(wǎng)絡(luò)70中的未被分配的地址����,被定向到第二網(wǎng)絡(luò)70內(nèi)的未被分配的地址的數(shù)據(jù)通信業(yè)務(wù)自動地經(jīng)受由IDS170使用接收到的攻擊特征標(biāo)記進(jìn)行的攻擊識別處理�����。同樣此處到達(dá)IDS170的數(shù)據(jù)通信業(yè)務(wù)可以發(fā)起自第一網(wǎng)絡(luò)120,但是也可以來自第二數(shù)據(jù)網(wǎng)絡(luò)100內(nèi)�����。
一旦這樣識別出了攻擊�,入侵檢測器170向路由器130報警攻擊的存在�。然后路由器130可以將從識別出的該攻擊的源到達(dá)的數(shù)據(jù)通信業(yè)務(wù)重定向到殺毒服務(wù)器180�����。如果攻擊源存在于第三數(shù)據(jù)網(wǎng)絡(luò)170內(nèi)�,可以對其進(jìn)行殺毒處理。
還可以將特征標(biāo)記產(chǎn)生應(yīng)用部署到實體�����,包括如下步驟將特征標(biāo)記產(chǎn)生器連接到第一數(shù)據(jù)網(wǎng)絡(luò)以便從來自其上的請求中產(chǎn)生攻擊特征標(biāo)記���,以便在由所述實體使用并且具有多個被分配給數(shù)據(jù)處理系統(tǒng)的地址的第二數(shù)據(jù)網(wǎng)絡(luò)中使用�,設(shè)置特征標(biāo)記產(chǎn)生器使用上述的方法產(chǎn)生攻擊特征標(biāo)記�,并且設(shè)置特征標(biāo)記產(chǎn)生器將產(chǎn)生的攻擊特征標(biāo)記發(fā)送到被連接到第二數(shù)據(jù)網(wǎng)絡(luò)的入侵檢測器�����。
在優(yōu)選實施例中特征標(biāo)記產(chǎn)生器是“沒有服務(wù)的服務(wù)器”。更準(zhǔn)確地,它以兩個屬性為特征首先它是安全嚴(yán)格(security-hardened)的主機����,雖然沒有提供真正的服務(wù),它監(jiān)聽所有與安全有關(guān)的端口���,并且記錄所有進(jìn)入的請求�。第二它沒有被以任何方式告知,即����,沒有DNS項����,Web鏈接或到它的其它指針���。因為它沒有被告知��,聯(lián)系特征標(biāo)記產(chǎn)生器的機器幾乎毫無疑問是尋找利用目標(biāo)的黑客或蠕蟲。由于特征標(biāo)記產(chǎn)生器記錄所有進(jìn)入的請求�����,它會抓住所述黑客或蠕蟲正在使用的攻擊���。因此��,特征標(biāo)記產(chǎn)生器是實際攻擊的有利的來源�,然后從所述實際攻擊自動地得出攻擊特征標(biāo)記�。
在優(yōu)選實施例中,針對特征標(biāo)記產(chǎn)生器190所說明的功能還可以被集成到IDS170內(nèi),從而IDS170從對它的欺騙回答的答復(fù)中得出攻擊特征標(biāo)記��,這些攻擊特征標(biāo)記被添加到它的攻擊識別數(shù)據(jù)210。在此處上面所述的本發(fā)明的實施例中���,由以適當(dāng)?shù)某绦虼a編程的數(shù)據(jù)處理系統(tǒng)實現(xiàn)IDS170、路由器130和殺毒服務(wù)器180�����。然而��,應(yīng)當(dāng)理解,在本發(fā)明的其它實施例中����,此處說明的以軟件實現(xiàn)的一個或多個功能可以至少部分地以硬件邏輯電路實現(xiàn)����。
還應(yīng)當(dāng)理解��,此處說明的攻擊檢測方法可以被由負(fù)責(zé)第三數(shù)據(jù)網(wǎng)絡(luò)100的服務(wù)提供者實施�,或至少部分地由第三方以提供給該服務(wù)提供者的服務(wù)的形式實施�。這種服務(wù)可以區(qū)別由所述服務(wù)提供者提供的服務(wù)和由其競爭者提供的服務(wù)。這種有區(qū)別的服務(wù)可被可選擇地提供給所述網(wǎng)絡(luò)服務(wù)的終端用戶以便換取附加的費用��。
通過給實體提供報告可以實現(xiàn)所述的方法���,其中所述報告包括與報警�����、殺毒����、重新路由、記錄�、丟棄檢測到的攻擊的上下文中的數(shù)據(jù)通信業(yè)務(wù)中的一個有關(guān)的信息。
在優(yōu)選實施例中,為由實體而不是所述服務(wù)提供者使用的網(wǎng)絡(luò)產(chǎn)生攻擊特征標(biāo)記的服務(wù)包括為提供的服務(wù)記賬�����。其中可以根據(jù)若干因素中的一個或多個確定記賬的費用�����,所述因素通常是對復(fù)雜性或服務(wù)提供者經(jīng)受的工作負(fù)載的指示����。指示提供的服務(wù)的數(shù)量和時間消耗的這種因素可以包括第三數(shù)據(jù)網(wǎng)絡(luò)的大小���、其中未被分配的地址的數(shù)目�����、其中已分配的地址的數(shù)目����、被檢查的數(shù)據(jù)通信業(yè)務(wù)量���、識別出的攻擊的數(shù)目�����、使用所述攻擊特征標(biāo)記產(chǎn)生的警報的數(shù)目�、被重新路由的數(shù)據(jù)通信業(yè)務(wù)量。識別增加的復(fù)雜性的程度的因素可以是識別出的攻擊的特征標(biāo)記���、實現(xiàn)的網(wǎng)絡(luò)安全的等級�。還可以使用諸如實體的營業(yè)額、實體的業(yè)務(wù)領(lǐng)域等因素識別提供給被服務(wù)的實體的服務(wù)的價值�。因此一般地該方法可以包括為給實體執(zhí)行的至少一個步驟給該實體記賬,優(yōu)選地根據(jù)網(wǎng)絡(luò)的大小���、被監(jiān)視的未被分配的地址的數(shù)目����、被監(jiān)視的已被分配的地址的數(shù)目、被檢查的數(shù)據(jù)通信業(yè)務(wù)量��、識別出的攻擊的數(shù)目����、產(chǎn)生的報警的數(shù)目、識別出的攻擊的特征標(biāo)記�、被重新路由的數(shù)據(jù)通信業(yè)務(wù)量���、實現(xiàn)的網(wǎng)絡(luò)安全等級���、實體的營業(yè)額來確定記賬的費用。
當(dāng)然���,上述因素的任意組合也是可行的�����,特別是被不同地加權(quán)以便確定最終的費用�。通過將所述費用與警告消息或攻擊檢測處理中發(fā)送的任何其它信息一起發(fā)送,可以實現(xiàn)自動記賬���。這有利地將出于攻擊處理目的而發(fā)送消息的運用與其出于記賬目的的運用組合在一起�����。警告消息或其它信息消息的雙重運用提供了減少攻擊檢測和記賬處理中產(chǎn)生的通信業(yè)務(wù)流的技術(shù)優(yōu)勢��。同時����,該方法可以用于保證僅對確實被提供的服務(wù)給被服務(wù)的實體記賬�����。
另一種用于記賬的優(yōu)選的解決方案是給實體提供攻擊特征標(biāo)記產(chǎn)生和/或攻擊檢測服務(wù)的訂購服務(wù)�����,其允許被服務(wù)的實體從預(yù)先確定的時間���、通信業(yè)務(wù)量�、系統(tǒng)數(shù)量等的處理中受益�。
服務(wù)提供者可以將他所擁有的殺毒服務(wù)器提供為與被服務(wù)的實體所使用的網(wǎng)絡(luò)被結(jié)合在一起使用的主機單元,但是所述殺毒服務(wù)器由被服務(wù)的實體持有���、維護(hù)�����、托管或租用也是可行的���。
該方法還被用于通過提供用于輔助執(zhí)行以及用于執(zhí)行殺毒程序代碼的指令中的一個,在對檢測到的攻擊進(jìn)行處理時給予實體支持���。
在另一個優(yōu)選實施例中�����,通過給若干實體提供攻擊特征標(biāo)記產(chǎn)生和/或攻擊檢測服務(wù)��,并且在所述若干服務(wù)之間共享資源�,諸如特征標(biāo)記產(chǎn)生器190、路由器130�����、入侵檢測器170或殺毒服務(wù)器180����,服務(wù)提供者可以利用協(xié)同增效的效果。從而不僅可以獲得對所使用的資源的更有效的使用���,而且與攻擊有關(guān)的信息可以在不同網(wǎng)絡(luò)之間被共享��,并且可以用于提高被服務(wù)的網(wǎng)絡(luò)上的檢測質(zhì)量。例如�,在一個網(wǎng)絡(luò)上對一種攻擊的檢測可以導(dǎo)致在另一個網(wǎng)絡(luò)上的更快的檢測,因為確定攻擊特征標(biāo)記的處理可以被縮短或甚至被消除���。同樣可以在被服務(wù)的實體之間共享殺毒機制�����,從而減少他們與更新和維護(hù)殺毒機制有關(guān)的努力和花費����。共享從對一個實體的網(wǎng)絡(luò)的攻擊處理中得出的技術(shù)數(shù)據(jù)�,以便改進(jìn)其它被服務(wù)的實體的攻擊處理的技術(shù)優(yōu)點將鼓勵實體加入由同一入侵檢測服務(wù)提供者服務(wù)的若干實體的池。在優(yōu)選實施例中可以調(diào)整所述記賬模型��,以便激勵實體加入共享特征標(biāo)記產(chǎn)生或攻擊檢測資源的實體組����,并且雇用相同的服務(wù)提供者。因此提供一種用于若干實體的方法�,并且將從為所述實體中的一個實體的攻擊處理中得出的技術(shù)數(shù)據(jù)用于所述實體中的其它實體的攻擊處理是有益的。
上述的方法可以被編碼為包括計算機程序代碼手段的計算機程序元素的形式�,當(dāng)被裝入數(shù)據(jù)處理系統(tǒng)的處理器內(nèi)時,配置所述處理器執(zhí)行用于產(chǎn)生攻擊特征標(biāo)記的方法����。
此外,本發(fā)明可以被實現(xiàn)在硬件����、軟件或硬件和軟件的組合中����。根據(jù)本發(fā)明的方法可以被以集中的方式實現(xiàn)在一個計算機系統(tǒng)內(nèi)��,或以分布式的方式實現(xiàn)����,其中不同的元件被散布在若干個互連的計算機系統(tǒng)上。任何類型的計算機系統(tǒng)或適用于執(zhí)行此處說明的方法的其它裝置都是適合的����。硬件和軟件的典型的組合是具有計算機程序的通用計算機系統(tǒng),當(dāng)所述計算機程序被裝入并被執(zhí)行時�,控制該計算機系統(tǒng)從而它執(zhí)行此處說明的方法。本發(fā)明還可以被嵌入計算機程序產(chǎn)品����,所述計算機程序產(chǎn)品包括能夠?qū)崿F(xiàn)此處說明的方法的所有特征,并且當(dāng)被裝入計算機系統(tǒng)時��,能夠執(zhí)行這些方法���。
本上下文中的計算機程序或計算機程序手段是指采用任意語言�、代碼或符號的一組指令的任意表示,旨在使得具有信息處理能力的設(shè)備或是直接地���、或是在a)轉(zhuǎn)換到另一種語言、代碼或符號���;b)以不同的材料形式復(fù)制中的一個或兩者之后執(zhí)行特定的功能�。
權(quán)利要求
1.一種用于從來自第一數(shù)據(jù)網(wǎng)絡(luò)的請求中產(chǎn)生攻擊特征標(biāo)記的方法���,所述攻擊特征標(biāo)記可以用于第二數(shù)據(jù)網(wǎng)絡(luò)�����,該方法包括-接收步驟����,用于接收來自所述第一數(shù)據(jù)網(wǎng)絡(luò)以第三數(shù)據(jù)網(wǎng)絡(luò)中若干未被分配的地址為地址的數(shù)據(jù)通信業(yè)務(wù)�;-檢查步驟,用于檢查所述接收到的數(shù)據(jù)通信業(yè)務(wù)的若干出現(xiàn)事件以便發(fā)現(xiàn)公共數(shù)據(jù)模式�����,-確定步驟��,用于在發(fā)現(xiàn)了所述公共數(shù)據(jù)模式之后,從相應(yīng)的數(shù)據(jù)通信業(yè)務(wù)中確定所述攻擊特征標(biāo)記��,以便用于為所述第二數(shù)據(jù)網(wǎng)絡(luò)檢測攻擊���。
2.如權(quán)利要求1的方法�,其中所述檢查步驟之前是回答步驟��,用于對發(fā)送被包含在所述接收到的數(shù)據(jù)通信業(yè)務(wù)中的請求的所述源進(jìn)行欺騙回答�����。
3.如權(quán)利要求2的方法���,其中基于一個選擇標(biāo)準(zhǔn)選擇性地執(zhí)行所述回答步驟���,所述選擇標(biāo)準(zhǔn)取決于所述接收到的數(shù)據(jù)通信業(yè)務(wù)的協(xié)議類型。
4.如權(quán)利要求2或3的方法��,其中對于所述的檢查步驟����,僅從答復(fù)了所述欺騙回答的源和沒有經(jīng)受所述回答步驟的源處選擇數(shù)據(jù)通信業(yè)務(wù)的所述出現(xiàn)事件。
5.如權(quán)利要求1到4中任意一個的方法��,其中所述檢查步驟包括根據(jù)連接屬性諸如數(shù)據(jù)通信業(yè)務(wù)的源地址、源端口���、協(xié)議類型和目的地端口中的一個對所述出現(xiàn)事件分類���。
6.如權(quán)利要求1到5中任意一個的方法,其中所述確定步驟包括對具有公共數(shù)據(jù)子串的出現(xiàn)事件的數(shù)目進(jìn)行計數(shù)���,所述公共數(shù)據(jù)子串具有預(yù)先確定的最小長度,并且將其數(shù)目超過了一個預(yù)先確定的數(shù)目的那些數(shù)據(jù)子串定義為所述攻擊特征標(biāo)記����。
7.如權(quán)利要求1到6中任意一個的方法,還包括將所述攻擊特征標(biāo)記發(fā)送到被分配到所述第二數(shù)據(jù)網(wǎng)絡(luò)的入侵檢測器��。
8.如權(quán)利要求1到7中任意一個的方法���,其中所述第一數(shù)據(jù)網(wǎng)絡(luò)��、第二數(shù)據(jù)網(wǎng)絡(luò)和第三數(shù)據(jù)網(wǎng)絡(luò)中的兩個或全部被選擇為是相同的�、部分相同的����、彼此連接的或被整體構(gòu)造的�。
9.如權(quán)利要求1到8中任意一個的方法�,還包括接收步驟,用于接收所述第二數(shù)據(jù)網(wǎng)絡(luò)上以其上的未被分配的地址為地址的數(shù)據(jù)通信業(yè)務(wù)����;使用所述的攻擊特征標(biāo)記,檢查接收到的數(shù)據(jù)通信業(yè)務(wù)以便獲得指示攻擊的數(shù)據(jù)����;和當(dāng)檢測到指示攻擊的數(shù)據(jù)后,產(chǎn)生報警信號����。
10.如權(quán)利要求9的方法,包括重新路由步驟�,用于在產(chǎn)生所述報警信號后,將從被分配給產(chǎn)生所述指示攻擊的數(shù)據(jù)的數(shù)據(jù)處理系統(tǒng)的地址發(fā)起的數(shù)據(jù)通信業(yè)務(wù)重新路由到殺毒地址����。
11.如權(quán)利要求9或10的方法,包括報警步驟����,用于在產(chǎn)生所述報警信號后,將報警信號發(fā)送到所述殺毒地址��,所述報警信號優(yōu)選地包括檢測到的指示攻擊的數(shù)據(jù)。
12.如權(quán)利要求9到11中任意一個的方法���,還包括通過提供用于輔助執(zhí)行殺毒程序代碼的指令和執(zhí)行殺毒程序代碼中的一個����,在對檢測到的攻擊進(jìn)行處理時給予實體支持���。
13.如權(quán)利要求9到12中任意一個的方法��,還包括給所述實體提供報告,所述報告包括與報警�、殺毒、重新路由�、記錄、丟棄檢測到的攻擊的上下文中的數(shù)據(jù)通信業(yè)務(wù)中的一個有關(guān)的信息����。
14.如權(quán)利要求1到13中任意一個的方法,還包括為所述步驟中的至少一個步驟的執(zhí)行給所述實體記賬�,優(yōu)選地根據(jù)網(wǎng)絡(luò)大小、所監(jiān)視的未被分配的地址的數(shù)目���、所監(jiān)視的已分配的地址的數(shù)目����、被檢查的數(shù)據(jù)通信業(yè)務(wù)量、識別出的攻擊的數(shù)量��、產(chǎn)生的報警的數(shù)量�����、識別出的攻擊的特征標(biāo)記����、被重新路由的數(shù)據(jù)通信業(yè)務(wù)量、實現(xiàn)的網(wǎng)絡(luò)安全程度����、所述實體的營業(yè)額中的一個確定記賬的數(shù)額。
15.如權(quán)利要求1到14中任意一個的方法�����,還包括為若干實體提供所述方法�,并且將從所述實體中的一個實體的攻擊處理中得出的技術(shù)數(shù)據(jù)用于所述實體中的其它實體的攻擊處理。
16.一種用于給實體部署特征標(biāo)記產(chǎn)生應(yīng)用的方法�����,包括-將特征標(biāo)記產(chǎn)生器連接到第一數(shù)據(jù)網(wǎng)絡(luò),用于從其上的請求中產(chǎn)生攻擊特征標(biāo)記��,以便在所述實體使用的并且具有被分配給數(shù)據(jù)處理系統(tǒng)的多個地址的第二數(shù)據(jù)網(wǎng)絡(luò)中使用�����,-設(shè)置所述特征標(biāo)記產(chǎn)生器��,以便使用如權(quán)利要求1到14中任意一個的方法產(chǎn)生攻擊特征標(biāo)記���,-設(shè)置所述特征標(biāo)記產(chǎn)生器�����,以便將產(chǎn)生的攻擊特征標(biāo)記發(fā)送到被連接到所述第二數(shù)據(jù)網(wǎng)絡(luò)的入侵檢測器�����。
17.一種包括計算機程序代碼手段的計算機程序元素,當(dāng)被裝入數(shù)據(jù)處理系統(tǒng)的處理器內(nèi)時��,配置所述處理器執(zhí)行如權(quán)利要求1到15中任意一個的用于產(chǎn)生攻擊特征標(biāo)記的方法�。
18.一種用于從第一數(shù)據(jù)網(wǎng)絡(luò)上的請求中產(chǎn)生攻擊特征標(biāo)記的裝置,所述攻擊特征標(biāo)記可以用于第二數(shù)據(jù)網(wǎng)絡(luò)中,該裝置包括-特征標(biāo)記產(chǎn)生器��,用于接收所述第一數(shù)據(jù)網(wǎng)絡(luò)上的以第三數(shù)據(jù)網(wǎng)絡(luò)中若干未被分配的地址為地址的數(shù)據(jù)通信業(yè)務(wù)�����,檢查所述接收到的數(shù)據(jù)通信業(yè)務(wù)的若干出現(xiàn)事件以便發(fā)現(xiàn)公共數(shù)據(jù)模式����,在發(fā)現(xiàn)了所述數(shù)據(jù)模式之后,從相應(yīng)的數(shù)據(jù)通信業(yè)務(wù)中確定所述攻擊特征標(biāo)記����,以便用于為所述第二數(shù)據(jù)網(wǎng)絡(luò)檢測攻擊。
19.如權(quán)利要求18的裝置�,其中所述特征標(biāo)記產(chǎn)生器被設(shè)計為通過對發(fā)送被包含在所述接收到的數(shù)據(jù)通信業(yè)務(wù)中的所述請求的所述源進(jìn)行欺騙回答,檢查接收到的數(shù)據(jù)通信業(yè)務(wù)�。
20.如權(quán)利要求19的裝置,其中所述特征標(biāo)記產(chǎn)生器被設(shè)計為僅從答復(fù)了所述欺騙回答的那些源和沒有經(jīng)受所述欺騙回答的那些源選擇數(shù)據(jù)通信業(yè)務(wù)的所述出現(xiàn)事件����。
21.如權(quán)利要求18到20中任意一個的裝置,其中所述特征標(biāo)記產(chǎn)生器被設(shè)計為根據(jù)連接屬性諸如數(shù)據(jù)通信業(yè)務(wù)的源地址����、源端口、協(xié)議類型和目的地端口中的一個對所述出現(xiàn)事件分類。
22.如權(quán)利要求18到21中任意一個的裝置��,其中所述特征標(biāo)記產(chǎn)生器被設(shè)計為通過對具有公共數(shù)據(jù)子串的出現(xiàn)事件的數(shù)目進(jìn)行計數(shù)��,并且將其數(shù)目超過了一個預(yù)先確定的數(shù)目的那些數(shù)據(jù)子串定義為所述攻擊特征標(biāo)記�����,確定所述攻擊特征標(biāo)記��。
23.如權(quán)利要求18到22中任意一個的裝置��,其中所述特征標(biāo)記產(chǎn)生器被設(shè)計為將所述攻擊特征標(biāo)記發(fā)送到被分配到所述第二數(shù)據(jù)網(wǎng)絡(luò)的入侵檢測器�����。
24.如權(quán)利要求18到23中任意一個的裝置��,還包括入侵檢測器��,用于接收所述第一數(shù)據(jù)網(wǎng)絡(luò)上以所述第二數(shù)據(jù)網(wǎng)絡(luò)內(nèi)若干未被分配的地址為地址的數(shù)據(jù)通信業(yè)務(wù)�����,使用所述的攻擊特征標(biāo)記��,檢查接收到的數(shù)據(jù)通信業(yè)務(wù)以便獲得指示攻擊的數(shù)據(jù)��,和當(dāng)檢測到指示攻擊的數(shù)據(jù)后�,產(chǎn)生報警信號。
25.如權(quán)利要求18到24中任意一個的裝置���,還包括被連接到所述入侵檢測器的路由器��,用于將從被分配給產(chǎn)生所述指示攻擊的數(shù)據(jù)的數(shù)據(jù)處理系統(tǒng)的地址發(fā)起的數(shù)據(jù)通信業(yè)務(wù)重新路由到所述第三數(shù)據(jù)網(wǎng)絡(luò)上的殺毒地址���。
26.如權(quán)利要求24的裝置,還包括被分配到所述殺毒地址的殺毒服務(wù)器���,所述殺毒服務(wù)器被配備為在接收到所述報警信號后���,向被分配給產(chǎn)生所述指示攻擊的數(shù)據(jù)的數(shù)據(jù)處理系統(tǒng)的地址發(fā)送警告消息。
全文摘要
本發(fā)明提供了一種用于從來自第一數(shù)據(jù)網(wǎng)絡(luò)的請求中產(chǎn)生攻擊特征標(biāo)記����,以便在具有被分配給數(shù)據(jù)處理系統(tǒng)的多個地址的第二數(shù)據(jù)網(wǎng)絡(luò)中使用的方法,該方法包括接收來自第一數(shù)據(jù)網(wǎng)絡(luò)以第三數(shù)據(jù)網(wǎng)絡(luò)中若干未被分配的地址為地址的數(shù)據(jù)通信業(yè)務(wù)��;檢查接收到的數(shù)據(jù)通信業(yè)務(wù)的若干出現(xiàn)事件以便發(fā)現(xiàn)公共數(shù)據(jù)模式�����,在發(fā)現(xiàn)所述數(shù)據(jù)模式之后,從相應(yīng)的數(shù)據(jù)通信業(yè)務(wù)中確定攻擊特征標(biāo)記�����,以便用于為第二數(shù)據(jù)網(wǎng)絡(luò)檢測攻擊�。本發(fā)明還提供了一種裝置,用于從第一數(shù)據(jù)網(wǎng)絡(luò)上的請求中產(chǎn)生攻擊特征標(biāo)記�����,以便在具有被分配給數(shù)據(jù)處理系統(tǒng)的多個地址的第二數(shù)據(jù)網(wǎng)絡(luò)中使用����。本發(fā)明還延伸至一種包括計算機程序代碼手段的計算機程序元素,當(dāng)被裝入數(shù)據(jù)處理系統(tǒng)的處理器時�,配置所述處理器執(zhí)行此處前面所述的用于檢測數(shù)據(jù)網(wǎng)絡(luò)上的攻擊的方法。本發(fā)明還延伸至一種在處理檢測到的攻擊時給予實體支持的方法�。
文檔編號H04L12/14GK1771709SQ200380110301
公開日2006年5月10日 申請日期2003年11月24日 優(yōu)先權(quán)日2003年5月30日
發(fā)明者K·尤利什, J·F·賴爾登 申請人:國際商業(yè)機器公司