專利名稱：利用單個物理端口的在線入侵檢測的制作方法
技術(shù)領(lǐng)域：
本發(fā)明一般地涉及網(wǎng)絡(luò)安全領(lǐng)域，更具體地說，涉及利用單個物理端口的在線入侵檢測(inline intrusion detection)。
背景技術(shù)：
入侵檢測系統(tǒng)(IDS)一般工作于兩種模式之一中。在“混雜(promiscuous)”模式中，IDS對進入網(wǎng)絡(luò)流量進行監(jiān)控來確定是否可能觀察到入侵的特定模式特征。在“在線”模式中，IDS對網(wǎng)絡(luò)流量進行掃描來確定網(wǎng)絡(luò)流量是否包含惡意簽名。如果檢測到惡意簽名，則IDS阻止網(wǎng)絡(luò)接收該流量。一般而言，在線IDS有兩個物理端口，一個耦合到外部網(wǎng)絡(luò)，另一個耦合到受保護網(wǎng)絡(luò)。相反，工作于混雜模式中的IDS僅需一個物理端口來接收網(wǎng)絡(luò)流量。

發(fā)明內(nèi)容
根據(jù)本發(fā)明一個實施例，一種用于在線入侵檢測的方法包括在入侵檢測系統(tǒng)的物理接口處接收分組。該分組被加有與外部網(wǎng)絡(luò)相關(guān)聯(lián)的第一VLAN標(biāo)識符的標(biāo)簽。該方法還包括在物理接口處緩沖分組，傳輸該分組的一個拷貝到處理器，在處理器處對該分組的拷貝進行分析來確定該分組是否包括攻擊簽名。該方法還包括從處理器傳輸答復(fù)消息給接口，其中該答復(fù)消息指示分組是否包括攻擊簽名。如果分組不包含攻擊簽名，則重新給該分組的緩沖拷貝加上與受保護網(wǎng)絡(luò)相關(guān)聯(lián)的第二VLAN標(biāo)識符的標(biāo)簽，并且將重新加標(biāo)簽的分組傳輸?shù)绞鼙Ｗo網(wǎng)絡(luò)。
根據(jù)本發(fā)明另一個實施例，一種入侵檢測系統(tǒng)包括可操作來接收分組的接口，其中分組被加有與外部網(wǎng)絡(luò)相關(guān)聯(lián)的第一VLAN標(biāo)識符的標(biāo)簽。該接口還可操作來在接口處緩沖分組，傳輸該分組的一個拷貝到處理器，重新給該分組加與受保護網(wǎng)絡(luò)相關(guān)聯(lián)的第二VLAN標(biāo)識符的標(biāo)簽。該入侵檢測系統(tǒng)還可操作來將分組傳輸?shù)绞鼙Ｗo網(wǎng)絡(luò)。處理器可操作來對分組的拷貝進行分析來確定該分組是否包括攻擊簽名，并且傳輸答復(fù)消息給接口，其中該答復(fù)消息指示該分組是否包括攻擊簽名。僅在答復(fù)消息指示出分組不包括攻擊簽名時接口才給該分組重新加上標(biāo)簽并且傳輸該分組。
本發(fā)明的某些實施例的重要技術(shù)優(yōu)點包括利用單個端口的在線入侵檢測。這允許可能已被用于監(jiān)控的單端口入侵檢測系統(tǒng)適用于在線系統(tǒng)。此外，其可以提供對用于在線入侵檢測的多端口設(shè)備的低成本替換。
本發(fā)明的某些實施例的其他重要技術(shù)優(yōu)點包括更有效地利用在線系統(tǒng)中的存儲器和總線資源。給分組重新加上VLAN標(biāo)識符的標(biāo)簽可以在物理接口處執(zhí)行。因此，與在更高層工作的系統(tǒng)(例如防火墻)相反，本發(fā)明的某些實施例允許在不必由處理器處理并返回的情況下緩沖分組并重新給分組加上標(biāo)簽。這減少了接口和處理器之間的分組通信量。
從下面的附圖、說明和權(quán)利要求書，本領(lǐng)域技術(shù)人員將清楚本發(fā)明的其他技術(shù)優(yōu)點。此外，盡管上面列舉了具體的優(yōu)點，但是各個實施例可以包括全部或某些優(yōu)點，或者不包括所列舉的優(yōu)點。


為了更完整地理解本發(fā)明及其優(yōu)點，現(xiàn)在結(jié)合附圖參考下面的描述，在附圖中圖1示出了利用單個物理端口的在線入侵檢測系統(tǒng)；以及圖2示出了用于圖1的在線入侵檢測系統(tǒng)的操作方法的示例的流程圖。
具體實施例方式
圖1示出了計算機系統(tǒng)100，其包括在外部網(wǎng)絡(luò)104和受保護網(wǎng)絡(luò)106之間的在線入侵檢測系統(tǒng)(IDS)102。一般而言，IDS 102接收來自外部網(wǎng)絡(luò)104的信息，并對該信息進行分析來確定該信息是否包括具有網(wǎng)絡(luò)攻擊或者其他惡意動作的特征的簽名。如果檢測到攻擊，則IDS 102不將該信息發(fā)送到受保護網(wǎng)絡(luò)106。否則，IDS 102將該信息傳輸?shù)绞鼙Ｗo網(wǎng)絡(luò)106。
外部網(wǎng)絡(luò)104可包括交換信息的連網(wǎng)通信設(shè)備的任何集合。連網(wǎng)通信設(shè)備可以包括集線器、路由器、交換機、網(wǎng)關(guān)、個人計算機、電話或者可以交換信息的任何其他設(shè)備。外部網(wǎng)絡(luò)104中的設(shè)備可以分組、信元、幀、段或者數(shù)據(jù)的其他部分(總地稱作“分組”)的形式交換信息。外部網(wǎng)絡(luò)104可以使用任何合適的一種或多種傳輸介質(zhì)，包括有線、無線或光連接。外部網(wǎng)絡(luò)104中的設(shè)備可以利用任何數(shù)量的合適的協(xié)議彼此通信，所述協(xié)議例如異步傳輸模式(ATM)、傳輸控制協(xié)議/因特網(wǎng)協(xié)議(TCP/IP)、同步光網(wǎng)絡(luò)(SONET)或者以太網(wǎng)。外部網(wǎng)絡(luò)104也可以包括因特網(wǎng)。
受保護網(wǎng)絡(luò)106代表按照任何合適方式通信的任何通信設(shè)備集合。具體而言，受保護網(wǎng)絡(luò)106可以包括結(jié)合外部網(wǎng)絡(luò)104討論的任何設(shè)備和通信介質(zhì)。受保護網(wǎng)絡(luò)106也可以使用一種或多種合適的通信協(xié)議，例如上述通信協(xié)議。具體而言，受保護網(wǎng)絡(luò)106支持使用虛擬局域網(wǎng)(VLAN)。VLAN是在共享物理網(wǎng)絡(luò)的設(shè)備之間創(chuàng)建的邏輯隔離，以使得除了通過合適的網(wǎng)絡(luò)橋接硬件和/或軟件之外，一個VLAN上的設(shè)備不能利用這些設(shè)備之間的現(xiàn)有物理連接彼此通信。在IEEE規(guī)范802.1q中描述了VLAN。
網(wǎng)關(guān)105代表將從外部網(wǎng)絡(luò)104接收到的流量傳輸?shù)绞鼙Ｗo網(wǎng)絡(luò)106和IDS 102的任何合適的硬件和/或軟件。從外部網(wǎng)絡(luò)104接收到的流量被自動加上第一VLAN的標(biāo)識符的標(biāo)簽。受保護網(wǎng)絡(luò)106被配置為在第二VLAN上，所以其不能識別出加有第一VLAN的標(biāo)識符的標(biāo)簽的流量。因此，盡管網(wǎng)關(guān)105可以將信息復(fù)制到其所有端口(例如在網(wǎng)絡(luò)集線器中可能發(fā)生的)，但是除非加有正確VLAN標(biāo)識符的標(biāo)簽，否則該流量將不能被受保護網(wǎng)絡(luò)106識別。網(wǎng)關(guān)105包括監(jiān)控端口，該監(jiān)控端口為IDS 102復(fù)制進入網(wǎng)絡(luò)流量的內(nèi)容。
IDS 102是一種在線安全系統(tǒng)，其接收來自外部網(wǎng)絡(luò)104的流量，對該流量進行分析來確定該流量是否包含攻擊簽名或者惡意動作的其他指示，并且阻止惡意信息到達受保護網(wǎng)絡(luò)106。在所示實施例中，IDS 102包括接口108、處理器112和存儲器114。處理器112可以是適于處理信息的任何硬件和/或軟件組件，例如，微處理器、微控制器或者數(shù)字信號處理器(DSP)。
存儲器114是任何適當(dāng)形式的信息存儲設(shè)備，其可以包括磁介質(zhì)、光介質(zhì)、可移動介質(zhì)、本地存儲設(shè)備、遠程存儲設(shè)備，或者其他合適的組件。在所示實施例中，存儲器114存儲代碼116、VLAN標(biāo)簽118和攻擊簽名120。代碼116由處理器112執(zhí)行來執(zhí)行與IDS 102相關(guān)聯(lián)的任何合適的任務(wù)。VLAN標(biāo)簽118是存儲的分別與外部網(wǎng)絡(luò)104和受保護網(wǎng)絡(luò)106相關(guān)聯(lián)的標(biāo)識符。攻擊簽名120是識別出的指示進入分組代表針對受保護網(wǎng)絡(luò)106的惡意動作的進入分組的信息模式(pattern)。處理器112將信息與攻擊簽名120相比較來檢測攻擊。
接口108代表允許在IDS 102和受保護網(wǎng)絡(luò)106和外部網(wǎng)絡(luò)104上的設(shè)備之間通信的物理連接。利用接口108進行的通信發(fā)生在開放系統(tǒng)互連(OSI)模型的第2層。接口108支持VLAN中繼。VLAN中繼允許接口108識別多個VLAN并與其通信，其中每個VLAN由特定的VLAN標(biāo)簽標(biāo)識。因此，接口108在效果上包括多個邏輯端口，每個端口與特定的VLAN相關(guān)聯(lián)。接口108可以給分組加上標(biāo)簽并適當(dāng)?shù)馗淖儸F(xiàn)有標(biāo)簽，從而使得分組被傳輸?shù)教囟ǖ腣LAN。
在所示實施例中，接口108建立用于外部網(wǎng)絡(luò)104的第一VLAN和用于受保護網(wǎng)絡(luò)106的第二VLAN。因此，接口108具有兩個邏輯端口110A和110B。從外部網(wǎng)絡(luò)104接收到的信息被加上與第一VLAN網(wǎng)絡(luò)相關(guān)聯(lián)的VLAN標(biāo)簽，所以該信息不能被受保護網(wǎng)絡(luò)106識別出。一旦確定出該信息對受保護網(wǎng)絡(luò)106是安全的，接口108就可以給信息重新加上第二VLAN的標(biāo)簽。這樣利用邏輯端口110B有效地將信息傳輸?shù)绞鼙Ｗo網(wǎng)絡(luò)106，即使接口108僅包括一個物理連接也是如此。
接口108還包括緩沖器122。緩沖器122代表在接口108處的本地信息存儲設(shè)備。緩沖器122可以包括任何合適形式的信息存儲設(shè)備，例如，磁介質(zhì)、閃存、光介質(zhì)、或者其他類型的信息存儲介質(zhì)。緩沖器122在來自外部網(wǎng)絡(luò)104的進入信息被IDS 102的組件處理的同時存儲該信息。在特定實施例中，緩沖器122保留進入流量的拷貝，同時由處理器112對該信息進行分析來確定該進入信息是否是惡意的。
在操作模式的一種示例中，網(wǎng)關(guān)105接收來自網(wǎng)絡(luò)的流量，并且給該流量加上第一VLAN標(biāo)識符的標(biāo)簽。網(wǎng)關(guān)105然后可以將該流量廣播到其所有端口，或者可以僅將其傳輸?shù)絀DS 102。受保護網(wǎng)絡(luò)106被配置為僅識別第二VLAN上的信息，所以即使分組被廣播到受保護網(wǎng)絡(luò)106，該分組也不被識別出。IDS 102在接口108處接收到流量并且將該流量緩沖到緩沖器122中。IDS 102將分組的一個拷貝傳輸?shù)教幚砥?12，處理器112對流量進行分析來確定其是否包括攻擊簽名。處理器112然后返回指示分組是否包括攻擊簽名的消息到IDS 102。如果分組包括攻擊簽名，則IDS102從緩沖器122中丟棄該分組。否則，IDS 102可以重新給分組加上第二VLAN標(biāo)識符的標(biāo)簽，并將該分組傳輸回網(wǎng)關(guān)105，網(wǎng)關(guān)105繼而將該分組傳輸?shù)绞鼙Ｗo網(wǎng)絡(luò)106。
本發(fā)明的某些實施例的一個技術(shù)優(yōu)點是節(jié)省IDS 102中的存儲器和總線資源。由于VLAN重新加標(biāo)簽可以在接口108處執(zhí)行，所以接口108不需要額外的處理資源來將分組從一個VLAN移動到另一個VLAN。相反，在更高層工作的網(wǎng)絡(luò)保護系統(tǒng)(例如防火墻)一般要求網(wǎng)絡(luò)地址翻譯或者對分組頭部信息的其他類似調(diào)整。這種系統(tǒng)必須利用內(nèi)部總線將分組轉(zhuǎn)發(fā)到適當(dāng)?shù)奶幚碣Y源，然后接收被適當(dāng)?shù)匦薷囊詡鬏數(shù)绞苓@些系統(tǒng)保護的網(wǎng)絡(luò)的返回分組。與這些傳統(tǒng)系統(tǒng)相反，接口108可以接收指示出分組是否應(yīng)當(dāng)被傳輸?shù)绞鼙Ｗo網(wǎng)絡(luò)106的答復(fù)消息，該答復(fù)消息可能只有一位長。因此，IDS 102可以使用非常少的內(nèi)部總線資源，從而也減少了緩沖器122的載荷，緩沖器122無需同時存儲進入分組和由處理器112返回的分組。
圖2是示出了用于IDS 102的操作的示例方法的流程圖200。在步驟202中，IDS 102接收到加有第一VLAN的標(biāo)簽的分組。在步驟204中，IDS 102在接口108處緩沖該分組。在步驟206中，接口108將分組的拷貝傳輸?shù)教幚砥?12，在步驟208中，處理器112通過將分組與攻擊簽名120進行比較來對該分組進行分析。如果在判決步驟210中檢測到攻擊簽名，則處理器112在步驟212中發(fā)送警報到接口108。然后在步驟214中，接口108從緩沖器122中丟棄該分組。如果未檢測到攻擊簽名，則處理器112在步驟216中發(fā)送OK消息到接口108。在步驟218中，接口108重新給分組加上與受保護網(wǎng)絡(luò)106相關(guān)聯(lián)的第二VLAN標(biāo)識符的標(biāo)簽。然后接口108在步驟220中將該分組傳輸?shù)绞鼙Ｗo網(wǎng)絡(luò)106。只要有進入分組該就可以重復(fù)該方法，如判決步驟220所示。
盡管已利用若干實施例描述了本發(fā)明，但是可以向本領(lǐng)域技術(shù)人員建議許多改變、變動、變更、轉(zhuǎn)換和修改，本發(fā)明是要包括落入所附權(quán)利要求書的范圍內(nèi)的這些改變、變動、變更、轉(zhuǎn)換和修改。
權(quán)利要求
1.一種用于在線入侵檢測的方法，包括在入侵檢測系統(tǒng)的物理接口處接收分組，其中所述分組被加有與外部網(wǎng)絡(luò)相關(guān)聯(lián)的第一VLAN標(biāo)識符的標(biāo)簽；在所述物理接口處緩沖所述分組；傳輸所述分組的一個拷貝到處理器；在所述處理器處對所述分組的拷貝進行分析來確定所述分組是否包括攻擊簽名；從所述處理器傳輸答復(fù)消息給所述接口，其中所述答復(fù)消息指示所述分組是否包括攻擊簽名；以及如果所述分組不包含攻擊簽名，則重新給所述分組的緩沖拷貝加上與受保護網(wǎng)絡(luò)相關(guān)聯(lián)的第二VLAN標(biāo)識符的標(biāo)簽；并且將所述重新加標(biāo)簽的分組傳輸?shù)剿鍪鼙Ｗo網(wǎng)絡(luò)。
2.如權(quán)利要求1所述的方法，還包括在網(wǎng)關(guān)處接收來自所述外部網(wǎng)絡(luò)的所述分組；在所述網(wǎng)關(guān)處給所述分組加上所述第一VLAN標(biāo)識符的標(biāo)簽；以及將所述分組傳輸?shù)剿鼋涌凇?br> 3.如權(quán)利要求2所述的方法，其中，將所述重新加標(biāo)簽的分組傳輸?shù)剿鍪鼙Ｗo網(wǎng)絡(luò)的步驟包括將所述重新加標(biāo)簽的分組傳輸?shù)剿鼍W(wǎng)關(guān)的第一端口；以及利用所述網(wǎng)關(guān)的第二端口將所述重新加標(biāo)簽的分組傳輸?shù)剿鍪鼙Ｗo網(wǎng)絡(luò)。
4.如權(quán)利要求2所述的方法，其中，將所述分組傳輸?shù)剿鼋涌诘牟襟E包括為所述網(wǎng)關(guān)的多個端口中的每個端口生成所述分組的拷貝，其中所述端口之一被耦合到所述接口；以及從所述端口中的每個端口傳輸所述分組的一個拷貝。
5.如權(quán)利要求1所述的方法，其中，所述答復(fù)消息的大小小于所述分組的大小。
6.一種包含在計算機可讀介質(zhì)中的可操作來執(zhí)行以下步驟的邏輯在入侵檢測系統(tǒng)的物理接口處接收分組，其中所述分組被加有與外部網(wǎng)絡(luò)相關(guān)聯(lián)的第一VLAN標(biāo)識符的標(biāo)簽；在所述物理接口處緩沖所述分組；傳輸所述分組的一個拷貝到處理器；在所述處理器處對所述分組的拷貝進行分析來確定所述分組是否包括攻擊簽名；從所述處理器傳輸答復(fù)消息給所述接口，其中所述答復(fù)消息指示所述分組是否包括攻擊簽名；以及如果所述分組不包含攻擊簽名，則重新給所述分組的緩沖拷貝加上與受保護網(wǎng)絡(luò)相關(guān)聯(lián)的第二VLAN標(biāo)識符的標(biāo)簽；并且將所述重新加標(biāo)簽的分組傳輸?shù)剿鍪鼙Ｗo網(wǎng)絡(luò)。
7.如權(quán)利要求6所述的邏輯，還可操作來執(zhí)行以下步驟在網(wǎng)關(guān)處接收來自所述外部網(wǎng)絡(luò)的所述分組；在所述網(wǎng)關(guān)處給所述分組加上所述第一VLAN標(biāo)識符的標(biāo)簽；以及將所述分組傳輸?shù)剿鼋涌凇?br> 8.如權(quán)利要求7所述的邏輯，其中，將所述重新加標(biāo)簽的分組傳輸?shù)剿鍪鼙Ｗo網(wǎng)絡(luò)的步驟包括將所述重新加標(biāo)簽的分組傳輸?shù)剿鼍W(wǎng)關(guān)的第一端口；以及利用所述網(wǎng)關(guān)的第二端口將所述重新加標(biāo)簽的分組傳輸?shù)剿鍪鼙Ｗo網(wǎng)絡(luò)。
9.如權(quán)利要求7所述的邏輯，其中，將所述分組傳輸?shù)剿鼋涌诘牟襟E包括為所述網(wǎng)關(guān)的多個端口中的每個端口生成所述分組的拷貝，其中所述端口之一被耦合到所述接口；以及從所述端口中的每個端口傳輸所述分組的一個拷貝。
10.如權(quán)利要求6所述的邏輯，其中，所述答復(fù)消息的大小小于所述分組的大小。
11.一種系統(tǒng)，包括用于在入侵檢測系統(tǒng)的物理接口處接收分組的裝置，其中所述分組被加有與外部網(wǎng)絡(luò)相關(guān)聯(lián)的第一VLAN標(biāo)識符的標(biāo)簽；用于在所述物理接口處緩沖所述分組的裝置；用于傳輸所述分組的一個拷貝到處理器的裝置，其中所述處理器可操作來在所述處理器處對所述分組的拷貝進行分析來確定所述分組是否包括攻擊簽名；用于從所述處理器傳輸答復(fù)消息給所述接口的裝置，其中所述答復(fù)消息指示所述分組是否包括攻擊簽名；用于在所述分組不包含攻擊簽名的情況下重新給所述分組的緩沖拷貝加上與受保護網(wǎng)絡(luò)相關(guān)聯(lián)的第二VLAN標(biāo)識符的標(biāo)簽的裝置；以及用于將所述重新加標(biāo)簽的分組傳輸?shù)剿鍪鼙Ｗo網(wǎng)絡(luò)的裝置。
12.如權(quán)利要求11所述的系統(tǒng)，還包括用于在網(wǎng)關(guān)處接收來自所述外部網(wǎng)絡(luò)的所述分組的裝置；用于在所述網(wǎng)關(guān)處給所述分組加上所述第一VLAN標(biāo)識符的標(biāo)簽的裝置；以及用于將所述分組傳輸?shù)剿鼋涌诘难b置。
13.一種入侵檢測系統(tǒng)，包括接口，可操作來接收分組，其中所述分組被加有與外部網(wǎng)絡(luò)相關(guān)聯(lián)的第一VLAN標(biāo)識符的標(biāo)簽；在所述接口處緩沖所述分組；傳輸所述分組的一個拷貝到處理器；重新給所述分組加上與受保護網(wǎng)絡(luò)相關(guān)聯(lián)的第二VLAN標(biāo)識符的標(biāo)簽；以及將所述分組傳輸?shù)剿鍪鼙Ｗo網(wǎng)絡(luò)；以及所述處理器，可操作來對所述分組的拷貝進行分析來確定所述分組是否包括攻擊簽名；以及傳輸答復(fù)消息給所述接口，所述答復(fù)消息指示所述分組是否包括攻擊簽名，其中僅在所述答復(fù)消息指示出所述分組不包括攻擊簽名時所述接口才給所述分組重新加上標(biāo)簽并且傳輸所述分組。
14.如權(quán)利要求13所述的系統(tǒng)，還包括網(wǎng)關(guān)，所述網(wǎng)關(guān)可操作來接收來自所述外部網(wǎng)絡(luò)的所述分組；在所述網(wǎng)關(guān)處給所述分組加上所述第一VLAN標(biāo)識符的標(biāo)簽；以及將所述分組傳輸?shù)剿鼋涌凇?br> 15.如權(quán)利要求14所述的系統(tǒng)，其中所述接口還可操作來將所述重新加標(biāo)簽的分組傳輸?shù)剿鼍W(wǎng)關(guān)的第一端口；并且所述網(wǎng)關(guān)還可操作來利用所述網(wǎng)關(guān)的第二端口將所述重新加標(biāo)簽的分組傳輸?shù)剿鍪鼙Ｗo網(wǎng)絡(luò)。
16.如權(quán)利要求14所述的系統(tǒng)，其中，所述網(wǎng)關(guān)還可操作來為所述網(wǎng)關(guān)的多個端口中的每個端口生成所述分組的拷貝，其中所述端口之一被耦合到所述接口；以及從所述端口中的每個端口傳輸所述分組的一個拷貝。
17.如權(quán)利要求13所述的系統(tǒng)，其中，所述答復(fù)消息的大小小于所述分組的大小。
全文摘要
根據(jù)本發(fā)明一個實施例，一種用于在線入侵檢測的方法包括在入侵檢測系統(tǒng)(102)的物理接口處接收分組。該分組被加有與外部網(wǎng)絡(luò)相關(guān)聯(lián)的第一VLAN標(biāo)識符的標(biāo)簽(118)。該方法還包括在物理接口處緩沖分組，傳輸分組的一個拷貝到處理器，在該處理器處對該分組的拷貝進行分析來確定該分組是否包括攻擊簽名。該方法還包括從處理器傳輸答復(fù)消息到接口，其中該答復(fù)消息指示分組是否包括攻擊簽名。如果分組不包含攻擊簽名，則重新給分組的緩沖拷貝加上與受保護網(wǎng)絡(luò)相關(guān)聯(lián)的第二VLAN標(biāo)識符的標(biāo)簽(118)，并且將重新加標(biāo)簽的分組傳輸?shù)绞鼙Ｗo網(wǎng)絡(luò)。
文檔編號H04L12/56GK1985473SQ200580023142
公開日2007年6月20日 申請日期2005年7月12日 優(yōu)先權(quán)日2004年8月2日
發(fā)明者邁克爾·李·小霍爾, 凱文·L·威利, 木那沃·浩斯塞, 約瑟夫·M·西拉恩尼 申請人:思科技術(shù)公司