專利名稱：Ip連接安全系統(tǒng)中的入侵檢測設(shè)備的制作方法
技術(shù)領(lǐng)域：
本發(fā)明涉及家用或商用安全系統(tǒng)，更具體的涉及IP連接的安全系統(tǒng)中的入侵檢測。
背景技術(shù)：
許多現(xiàn)代家用或商用安全系統(tǒng)可通過互聯(lián)網(wǎng)絡(luò)或企業(yè)內(nèi)聯(lián)網(wǎng)被連接至中央監(jiān)控站。這種設(shè)置方式具有多種優(yōu)點。采用互聯(lián)網(wǎng)絡(luò)協(xié)議(IP)分組數(shù)據(jù)將狀態(tài)和更新發(fā)送至安全系統(tǒng)，或接收來自安全系統(tǒng)的狀態(tài)和更新，允許該系統(tǒng)的日常更新。此外，全數(shù)字傳感器能夠以增加的方式被添加至該系統(tǒng)中而無需危及現(xiàn)有基礎(chǔ)設(shè)施。操作人員還能夠?qū)⒍鄠€有線和無線組件匹配至該系統(tǒng)而無需危及該系統(tǒng)的完整性。
然而，具有優(yōu)點的IP連接的安全系統(tǒng)也存在很多缺點。一些缺點源自于使得安全系統(tǒng)占用互聯(lián)網(wǎng)上的一個節(jié)點。為了接收和發(fā)送IP分組，該安全系統(tǒng)需具備一IP地址和一個與該地址相關(guān)聯(lián)的網(wǎng)關(guān)路由器。采用大量的進攻很容易找到一IP地址并對其進行攻擊使得關(guān)閉該IP地址。這些進攻可被希望危及到該安全系統(tǒng)的罪犯如不滿的職員，電腦黑客和競爭者策劃。因為安全系統(tǒng)擴大為承擔(dān)更多的責(zé)任(包括監(jiān)視，設(shè)備接入控制，等等)，該安全系統(tǒng)由于互聯(lián)網(wǎng)攻擊產(chǎn)生的停用會產(chǎn)生可怕的結(jié)果。此外，因為安全系統(tǒng)IP地址的IP攻擊在該設(shè)備會經(jīng)常被忽略，該攻擊能夠?qū)ΡＷo物理建筑(physical premise)的安全系統(tǒng)產(chǎn)生更大的威脅。

發(fā)明內(nèi)容
本發(fā)明提供一種用于在安全系統(tǒng)中對IP入侵進行檢測和響應(yīng)的設(shè)備和方法。入侵檢測設(shè)備被耦合至安全系統(tǒng)的主要和輔助通信設(shè)備，使得當(dāng)互聯(lián)網(wǎng)攻擊被檢測到時，安全系統(tǒng)和中央監(jiān)控站之間的通信在輔助通信設(shè)備上而不是在主要通信設(shè)備上進行。甚至當(dāng)發(fā)生拒絕服務(wù)類型的攻擊的時候，本發(fā)明對安全系統(tǒng)與中央監(jiān)控站之間的通信進行保護使得其不危及物理建筑安全。
一方面本發(fā)明為一安全系統(tǒng)，包括控制面板；電耦合至所述控制面板的傳感器；用于傳送和接收數(shù)據(jù)的主要通信設(shè)備；用于傳送和接收數(shù)據(jù)的輔助通信設(shè)備；耦合至所述控制面板的入侵檢測設(shè)備；其中所述入侵檢測設(shè)備一旦檢測到入侵嘗試，將通信切換至所述輔助通信設(shè)備。
另一方面，本發(fā)明為一在安全系統(tǒng)中檢測入侵的方法，所述安全系統(tǒng)包括控制面板；電耦合至所述控制面板的傳感器；耦合至所述控制面板用于傳送和接收數(shù)據(jù)的主要通信設(shè)備；用于傳送和接收數(shù)據(jù)的輔助通信設(shè)備；耦合至所述控制面板的入侵檢測設(shè)備；所述方法包含以下步驟在入侵檢測設(shè)備處，檢測入侵嘗試；在所述控制面板上產(chǎn)生一本地告警；并將通信切換至所述輔助通信設(shè)備。


參考以下結(jié)合附圖對本發(fā)明若干實施例的詳細描述，用于POE分優(yōu)先級的激活分離器的本發(fā)明的以上和其它目的和優(yōu)點對于本領(lǐng)域技術(shù)人員將是易于理解的，在附圖中 圖1為現(xiàn)有技術(shù)中安全系統(tǒng)的示意圖 圖2為依據(jù)本發(fā)明其一實施例的安全系統(tǒng)的示意圖 圖3為在安全系統(tǒng)中用于檢測入侵的步驟的流程圖
具體實施例方式這里將詳細參考本發(fā)明的實施例，其實例在附圖中圖示說明。雖然是結(jié)合這些實施例對本發(fā)明進行描述，但需指出本發(fā)明并非僅限于這些實施例。相反，本發(fā)明旨在覆蓋所附權(quán)利要求定義的本發(fā)明的精神和范圍內(nèi)的替換，改進和同等方案。此外，在本發(fā)明的以下詳細說明中，將提出眾多具體細節(jié)來提供本發(fā)明的全面理解。但是，本發(fā)明可以在沒有這些具體細節(jié)的情況下實施。在其他的情況下，熟知的方法、過程、組件和電路沒有被詳細進行闡述，以便不至不必要地使本發(fā)明的一些方面變得晦澀。
參考圖1，示出一典型的現(xiàn)有技術(shù)中家用或商用安全系統(tǒng)100的示意圖。安全系統(tǒng)100可以包括控制面板110，該控制面板可使用建筑物中專有總線和獨立布線和電纜與多個傳感器125和127進行通信。該傳感器125，127可以是例如射頻移動傳感器，照相機，告警報告設(shè)備等等，其通常能夠向控制面板報告建筑物內(nèi)的入侵或緊急情況或?qū)λM行感測。該控制面板110典型的設(shè)有顯示裝置來顯示多個傳感器的狀態(tài)并用于當(dāng)物理安全破壞或緊急情況發(fā)生時向本地設(shè)備管理者或居民發(fā)送告警。該控制面板還可包含用于重置傳感器和在傳感器上運行診斷程序的裝置。
控制面板耦合至IP通信設(shè)備115，該設(shè)備將安全系統(tǒng)連接至中央監(jiān)控站150。這里理解IP通信設(shè)備可以是使得能夠通過符合互聯(lián)網(wǎng)協(xié)議的消息進行通信的集線器，交換機或路由器。該IP通信設(shè)備115通過互聯(lián)網(wǎng)120與中央監(jiān)控站150進行通信。該中央監(jiān)控站150可保持與控制面板110進行聯(lián)系使得該系統(tǒng)的狀態(tài)在中央監(jiān)控站臺保持更新。
該安全系統(tǒng)100可包括一輔助通信設(shè)備125，用于當(dāng)主要通信方法不可用時，提供與中央監(jiān)控站150的通信。該輔助通信設(shè)備125例如可以是被配置用于與中央監(jiān)控站進行無線通信的GSM撥號器。該備用通信設(shè)備125可以是被配置用于通過簡易老式電話業(yè)務(wù)(POTS)線路與中央監(jiān)控站150進行通信的電話調(diào)制解調(diào)器。雖然該備用通信設(shè)備125作為一獨立元件被說明，它也可集成于控制面板110中。
通常，在不同計算機網(wǎng)絡(luò)之間的連接增長和相應(yīng)的對網(wǎng)絡(luò)信息系統(tǒng)依賴的增長的同時，對強健安全系統(tǒng)的需求也在顯著增長，以加強對安全系統(tǒng)的接入控制并阻止對其系統(tǒng)的入侵?；ヂ?lián)網(wǎng)絡(luò)的拓撲結(jié)構(gòu)也變得更為復(fù)雜，并且經(jīng)常涉及諸如互聯(lián)網(wǎng)絡(luò)或企業(yè)內(nèi)聯(lián)網(wǎng)之類暴露安全系統(tǒng)的開放網(wǎng)絡(luò)，從而也增加了攻擊的威脅。目前還未提出一個單獨的解決方案來解決當(dāng)前對用于安全系統(tǒng)的入侵檢測和響應(yīng)的需求。此外，安全系統(tǒng)的該入侵檢測和響應(yīng)必須認識到對安全系統(tǒng)的特殊需求。
例如，通常情況下家用或商用設(shè)施的安全系統(tǒng)不被設(shè)施人員監(jiān)測。由于大多數(shù)控制面板數(shù)據(jù)在中央監(jiān)控站進行發(fā)送和接收，設(shè)施人員可不用積極的管理控制面板，而僅僅是當(dāng)安全系統(tǒng)發(fā)出本地報警或告警時才去留意。此外，與當(dāng)網(wǎng)站被協(xié)同互聯(lián)網(wǎng)攻擊時該網(wǎng)站的經(jīng)營者選擇中斷網(wǎng)站直到攻擊結(jié)束不同，安全系統(tǒng)的互聯(lián)網(wǎng)攻擊可以是結(jié)合對設(shè)施進行物理攻擊的協(xié)同攻擊的一部分。因此，在互聯(lián)網(wǎng)攻擊的過程中保持與中央監(jiān)控站的通信尤為重要。
本發(fā)明提出一入侵檢測設(shè)備，用于監(jiān)測互聯(lián)網(wǎng)絡(luò)通信量并當(dāng)遇到特定情況時中斷至中央監(jiān)控站的主要連接從而建立輔助通信。
緊隨著安全技術(shù)的發(fā)展，入侵者用于獲得非法接入計算機網(wǎng)絡(luò)的方法發(fā)展得復(fù)雜。然而很典型的是，對網(wǎng)絡(luò)系統(tǒng)成功的攻擊通常開始于攻擊目標(biāo)網(wǎng)絡(luò)的安全子系統(tǒng)，該子系統(tǒng)負責(zé)檢測普通入侵特征標(biāo)，屏蔽那些系統(tǒng)并搗毀入侵證據(jù)。這種攻擊包括“拒絕服務(wù)”攻擊，其為在計算機系統(tǒng)或網(wǎng)絡(luò)上的一種攻擊，使得用戶丟失服務(wù)，以通過消耗受害網(wǎng)絡(luò)帶寬或使得受害系統(tǒng)的計算資源過載使其失去網(wǎng)絡(luò)連接和服務(wù)最為典型?！癝murf”攻擊為一拒絕服務(wù)攻擊，它采用欺騙廣播IP消息來淹沒目標(biāo)系統(tǒng)?！癰anana”攻擊涉及將來自網(wǎng)絡(luò)的流出消息重定向為返回該網(wǎng)絡(luò)，用發(fā)送的分組淹沒客戶端，阻止外界接入。
獲取對計算機網(wǎng)絡(luò)的非法訪問的企圖利用在網(wǎng)絡(luò)安全拓撲中的固有的漏洞。已知例如單個的安全組件的弱點經(jīng)常被搜出并被成功利用。新技術(shù)的快速引入加劇該問題，產(chǎn)生或揭露額外的即使在安全系統(tǒng)中的破壞已發(fā)生之后可能也不會被得知的弱點。一些目前可用的入侵工具允許入侵者能夠逃避入侵檢測系統(tǒng)的檢測。
現(xiàn)在參考圖2，示出了依據(jù)本發(fā)明一實施例的安全系統(tǒng)200的示意圖。安全系統(tǒng)200包括控制面板210，該控制面板可使用建筑物中專有總線和獨立布線和電纜與多個傳感器225和227進行通信。該傳感器225，227可以是例如射頻運動傳感器，照相機，告警報告設(shè)備等等，其通常能夠向控制面板報告建筑物內(nèi)的入侵或感測緊急情況。該控制面板210設(shè)有顯示裝置(未示出)來顯示多個傳感器的狀態(tài)并用于如果發(fā)生物理安全破壞或緊急情況向本地設(shè)備管理者和居民發(fā)送告警。該控制面板還可包含用于重置傳感器和在傳感器上運行診斷程序的裝置。
該控制面板耦合到進一步耦合至IP通信設(shè)備215的入侵檢測設(shè)備240。該IP通信設(shè)備可以是使得能夠通過符合互聯(lián)網(wǎng)協(xié)議的消息進行通信的集線器，交換機或路由器。在一個實施例中，該IP通信設(shè)備215是網(wǎng)關(guān)路由器，用于引導(dǎo)往返互聯(lián)網(wǎng)的數(shù)據(jù)通信量。IP通信設(shè)備215通過互聯(lián)網(wǎng)220與中央監(jiān)控站150通信。該中央監(jiān)控站250可與控制面板210保持聯(lián)系使得該系統(tǒng)的狀態(tài)在中央監(jiān)控站保持更新。
該安全系統(tǒng)200包括輔助通信設(shè)備225，用于當(dāng)主要通信方法不可用時，提供與中央監(jiān)控站250的通信。該輔助通信設(shè)備還耦合至入侵檢測設(shè)備240。這種輔助通信設(shè)備225可以是例如被配置用于與中央監(jiān)控站進行無線通信的GSM撥號器。這種備用通信設(shè)備225可以是被配置用于通過簡易老式電話業(yè)務(wù)(POTS)線路與中央監(jiān)控站250進行通信的電話調(diào)制解調(diào)器。雖然該備用通信設(shè)備225作為一獨立元件被說明，它也可集成于控制面板210中。
入侵檢測設(shè)備240可包括用于控制對安全系統(tǒng)的接入的防火墻。該防火墻是可配制的并服務(wù)用于控制互聯(lián)網(wǎng)上的主機對網(wǎng)絡(luò)中資源的接入。這就通過基本上過濾掉互聯(lián)網(wǎng)上傳送的信息分組從而保護安全系統(tǒng)不被在防火墻之外的入侵者入侵。該入侵檢測設(shè)備240進一步包括讀取經(jīng)過防火墻的分組并查找互聯(lián)網(wǎng)攻擊的內(nèi)部特征標(biāo)的分組傳感器。
優(yōu)選地，該入侵檢測設(shè)備作為軟件包被嵌入至控制面板并在包含至少一主系統(tǒng)和安全子系統(tǒng)的計算機中實現(xiàn)。在另一實施例中，該入侵檢測設(shè)備在固件中實現(xiàn)并被裝載至與控制面板相關(guān)聯(lián)的處理單元。這就允許當(dāng)新類型攻擊的特征標(biāo)被發(fā)現(xiàn)時中央監(jiān)控站的更新。
在工作期間，入侵檢測設(shè)備240監(jiān)測安全系統(tǒng)中的消息活動性。所有的流出和流入消息分組都在入侵檢測設(shè)備處被檢查。該入侵檢測設(shè)備檢查個別的分組并聚集與每一消息的源IP地址相關(guān)的數(shù)據(jù)。如果，例如，來自于一特定IP地址的數(shù)據(jù)消息的突發(fā)被指向該安全系統(tǒng)，則可能發(fā)生拒絕服務(wù)類型的攻擊。再例如，如果突發(fā)數(shù)據(jù)通信量在安全系統(tǒng)正常數(shù)據(jù)通信量統(tǒng)計范圍之外，可能發(fā)生來自于欺騙IP地址的拒絕服務(wù)攻擊。
與安全系統(tǒng)相關(guān)的一系列因素，包括脆弱性，目標(biāo)可見性，數(shù)據(jù)通信量容量，時間，以及其他因素可用于描繪該入侵檢測設(shè)備如何處理在安全系統(tǒng)中的模擬數(shù)據(jù)消息活動性。該因素能被編碼至入侵檢測設(shè)備的軟件或固件實現(xiàn)中使得可以修改用于產(chǎn)生警報或告警的觸發(fā)等級。
參考圖3，這里示出安全系統(tǒng)入侵檢測方法中涉及的步驟。在步驟310，入侵嘗試在入侵檢測設(shè)備中被檢測到。例如，如果該入侵檢測設(shè)備檢測到超過預(yù)定的觸發(fā)數(shù)目的一定量數(shù)據(jù)通信量，該入侵檢測設(shè)備將該事件記錄為入侵嘗試。在步驟320，該入侵檢測設(shè)備在控制面板上產(chǎn)生本地告警?？刂泼姘寰哂幸伙@示裝置用于向本地設(shè)施人員產(chǎn)生入侵嘗試告警。這可通過在控制面板的顯示裝置上顯示警告來完成。在步驟330，該入侵檢測設(shè)備使得輔助通信設(shè)備能夠與中央監(jiān)控站通信。該入侵檢測設(shè)備還可以停用主要通信設(shè)備使得在主要通信設(shè)備上的數(shù)據(jù)消息通信量被忽略。
這里已對本發(fā)明優(yōu)選的實施例，用于安全系統(tǒng)中的受監(jiān)控的電壓逆變器進行描述。盡管已經(jīng)以特定實施例描述了本發(fā)明，但是，應(yīng)當(dāng)理解，本發(fā)明不應(yīng)當(dāng)解釋為由這些實施例來限制，而是要根據(jù)后面的權(quán)利要求書進行解釋。
權(quán)利要求
1.一種安全系統(tǒng)，包括控制面板；電耦合至所述控制面板的傳感器；用于傳送和接收數(shù)據(jù)的主要通信設(shè)備；用于傳送和接收數(shù)據(jù)的輔助通信設(shè)備；以及耦合至所述控制面板的入侵檢測設(shè)備，其中，所述入侵檢測設(shè)備一旦檢測到入侵，將通信切換至所述輔助通信設(shè)備。
2.根據(jù)權(quán)利要求1所述的安全系統(tǒng)，其中所述入侵檢測設(shè)備包括防火墻。
3.根據(jù)權(quán)利要求1所述的安全系統(tǒng)，其中所述主要通信設(shè)備是網(wǎng)關(guān)路由器。
4.根據(jù)權(quán)利要求1所述的安全系統(tǒng)，其中所述主要通信設(shè)備是集線器。
5.根據(jù)權(quán)利要求1所述的安全系統(tǒng)，其中所述主要通信設(shè)備是交換機。
6.根據(jù)權(quán)利要求1所述的安全系統(tǒng)，其中所述控制面板包括顯示裝置。
7.根據(jù)權(quán)利要求6所述的安全系統(tǒng)，其中所述顯示裝置包括用于顯示本地告警的裝置。
8.根據(jù)權(quán)利要求1所述的安全系統(tǒng)，其中所述輔助通信設(shè)備是無線撥號器。
9.根據(jù)權(quán)利要求1所述的安全系統(tǒng)，其中所述輔助通信設(shè)備是電話調(diào)制解調(diào)器。
10.根據(jù)權(quán)利要求1所述的安全系統(tǒng)，其中所述入侵檢測設(shè)備被配制用于檢測對所述安全系統(tǒng)的分組入侵。
11.一種檢測安全系統(tǒng)中入侵的方法，所述安全系統(tǒng)包括控制面板；電耦合至所述控制面板的傳感器；耦合至所述控制面板用于傳送和接收數(shù)據(jù)的主要通信設(shè)備；用于傳送和接收數(shù)據(jù)的輔助通信設(shè)備；以及耦合至所述控制面板的入侵檢測設(shè)備，所述方法包括以下步驟在入侵檢測設(shè)備處，檢測入侵嘗試，在所述控制面板上產(chǎn)生本地告警，并且將通信切換至所述輔助通信設(shè)備。
12.根據(jù)權(quán)利要求11所述的方法，進一步包括禁止與所述主要通信設(shè)備通信的步驟。
13.根據(jù)權(quán)利要求11所述的方法，其中所述入侵檢測設(shè)備包括防火墻。
14.根據(jù)權(quán)利要求11所述的方法，其中所述主要通信設(shè)備是網(wǎng)關(guān)路由器。
15.根據(jù)權(quán)利要求11所述的方法，其中所述主要通信設(shè)備是集線器。
16.根據(jù)權(quán)利要求11所述的方法，其中所述主要通信設(shè)備是交換機。
17.根據(jù)權(quán)利要求11所述的方法，其中所述控制面板包括顯示裝置。
18.根據(jù)權(quán)利要求17所述的方法，其中在所述顯示裝置顯示本地告警。
19.根據(jù)權(quán)利要求11所述的方法，其中所述輔助通信設(shè)備是無線撥號器。
20.根據(jù)權(quán)利要求11所述的方法，其中所述輔助通信設(shè)備是電話調(diào)制解調(diào)器。
21.根據(jù)權(quán)利要求11所述的方法，其中所述入侵檢測設(shè)備被配制用于檢測對所述安全系統(tǒng)的分組入侵。
全文摘要
這里公開一種用于在IP連接的安全系統(tǒng)中的入侵檢測設(shè)備及方法。入侵檢測設(shè)備耦合至安全系統(tǒng)的主要和輔助通信設(shè)備使得當(dāng)檢測到互聯(lián)網(wǎng)入侵時，在安全系統(tǒng)與中央監(jiān)控站之間的通信在輔助通信設(shè)備上而不是在主要通信設(shè)備上進行。甚至當(dāng)發(fā)生拒絕服務(wù)攻擊的時候，本發(fā)明對安全系統(tǒng)與中央監(jiān)控站之間的通信進行保護使得其不危及物理建筑安全。
文檔編號H04L29/06GK101034976SQ200710086268
公開日2007年9月12日 申請日期2007年3月9日 優(yōu)先權(quán)日2006年3月9日
發(fā)明者K·L·阿迪 申請人:霍尼韋爾國際公司