專利名稱:信息安全防護主機的制作方法
技術領域:
本發(fā)明是關于一種信息安全防護主機���。具體而言�,本發(fā)明的信息安全防護主機可根據(jù)本身運行的一個或多個操作系統(tǒng)及各操作系統(tǒng)所提供的網絡服務�����,自多個驗證規(guī)則中篩選出相對應不同操作系統(tǒng)或其提供的網絡服務的驗證規(guī)則集合�����,以驗證接收到的分組��, 藉此避免與不同操作系統(tǒng)相關的分組皆采用全部相同的驗證規(guī)則驗證���。
背景技術:
因網際網絡的快速發(fā)展�,越來越多的企業(yè)通過架設主機來提供各種多元化的網絡服務���,例如網頁服務���、電子郵件服務以及文件傳輸協(xié)議服務等。然而��,網際網絡雖提供人們傳遞信息的便利���,但亦讓有心人通過入侵主機的方式竊取或修改儲存于主機內的數(shù)據(jù)�。因此,為保護主機內數(shù)據(jù)的安全�,近年來大多企業(yè)皆為主機安裝一入侵檢測系統(tǒng)(Intrusion Detection System, 1此),以通過入侵檢測系統(tǒng)檢測各種入侵行為�����。傳統(tǒng)的入侵檢測系統(tǒng)對于接收到的分組加載過多的驗證規(guī)則驗證分組的內容����,即使該分組對于運行于主機上的操作系統(tǒng)未帶有威脅的可能性�,也同樣加載全部的驗證規(guī)則進行驗證。然而���,加載過多的驗證規(guī)則會耗費大量系統(tǒng)效能�����,且亦容易產生誤判的情形�。此外�����,由于目前部份企業(yè)的主機采用虛擬機器管理員(virtual machine monitor ;VMM)裝置運行多個不同操作系統(tǒng)�����,因此若虛擬機器管理員還運行傳統(tǒng)的入侵檢測系統(tǒng)以驗證每個與不同操作系統(tǒng)相關的分組����,勢必會更加因為加載過多的驗證規(guī)則而導致檢測效能不高,且耗費過多系統(tǒng)效能的窘態(tài)�。綜上所述,如何提高入侵檢測系統(tǒng)的檢測效能�����,特別是在主機采用虛擬機器管理員裝置運行多個不同操作系統(tǒng)的情況下���,這是現(xiàn)今業(yè)界仍需努力解決的問題��。
發(fā)明內容
本發(fā)明的一目的在于提供一信息安全防護主機�����。該信息安全防護主機運行一個或多個操作系統(tǒng)以提供一個或多個網絡服務����。該信息安全防護主機根據(jù)所運行的操作系統(tǒng)及其提供的服務,判斷接收到與各操作系統(tǒng)相關分組的安全性���。為達上述目的�����,本發(fā)明揭露一種信息安全防護主機���,一網絡接口及虛擬機器管理員裝置���。該網絡接口連接至一計算機網絡�,且用以接收一第一分組��。該虛擬機器管理員裝置連接至該網絡接口�����,且用以運行一第一操作系統(tǒng)��。該第一操作系統(tǒng)提供一第一網絡服務��, 該虛擬機器管理員裝置還用以實時提供該第一操作系統(tǒng)的一第一操作系統(tǒng)信息以及該第一網絡服務的一第一網絡服務信息���。該第一網絡服務信息包含一第一服務通訊端口號碼 (port number) 0當該網絡接口通過一通訊端口接收該第一分組時����,該虛擬機器管理員裝置還根據(jù)第一操作系統(tǒng)信息及該第一網絡服務信息,判斷該第一分組與該第一操作系統(tǒng)相關����,且該通訊端口的通訊端口號碼不等于該第一服務通訊端口號碼,以濾除該第一分組�����。本發(fā)明的另一目的在于提供一信息安全防護主機�。該信息安全防護主機運行一個或多個操作系統(tǒng),以提供一個或多個網絡服務���。該信息安全防護主機還運行一安全系統(tǒng)���,以提供多個驗證規(guī)則。該安全系統(tǒng)根據(jù)該信息安全防護主機所運行的操作系統(tǒng)及其提供的服務�,自多個驗證規(guī)則中篩選符合不同操作系統(tǒng)的驗證規(guī)則集合。如此一來�����,當該信息安全防護主機接收到與各操作系統(tǒng)相關分組時,則該安全系統(tǒng)采用篩選后的驗證規(guī)則集合分析分組內容��,以避免使用全部的驗證規(guī)則驗證分組��,進而提升檢測效能�。為達上述目的,本發(fā)明更揭露一種信息安全防護主機�,其包含一網絡接口以及一虛擬機器管理員裝置。該網絡接口連接至一計算機網絡��,且用以接收一第一分組����。該虛擬機器管理員裝置��,連接至該網絡接口�����,且用以運行一第一操作系統(tǒng)以及一安全系統(tǒng)�。該第一操作系統(tǒng)提供一第一網絡服務。該安全系統(tǒng)用以提供多個驗證規(guī)則���。該虛擬機器管理員裝置還實時提供該第一操作系統(tǒng)的一第一操作系統(tǒng)信息以及該第一網絡服務的一第一網絡服務信息至該安全系統(tǒng)�,以便該安全系統(tǒng)根據(jù)該第一操作系統(tǒng)信息及該第一網絡服務信息,自這些驗證規(guī)則篩選一第一驗證規(guī)則集合����,并判斷該第一分組與該第一操作系統(tǒng)相關, 以套用該第一驗證規(guī)則集合���,驗證該第一分組����。本發(fā)明的另一目的在于提供一信息安全防護主機����。該信息安全防護主機運行一個或多個操作系統(tǒng),以提供一個或多個網絡服務��。該信息安全防護主機還運行一安全系統(tǒng)�����,以提供多個驗證規(guī)則���,并根據(jù)這些驗證規(guī)則驗證接收到與各操作系統(tǒng)相關的分組����。當一分組無法通過這些驗證規(guī)則的一規(guī)則時,該信息安全防護主機還判斷該分組與一操作系統(tǒng)是否相關���,且該規(guī)則與該操作系統(tǒng)是否相關�,以決定該分組是否會對該操作系統(tǒng)造成威脅����。如此一來,通過上述機制可避免使用該安全系統(tǒng)根據(jù)這些驗證規(guī)則�����,驗證該分組時���,產生誤判的情形���。為達上述目的�����,本發(fā)明還揭露一種信息安全防護主機����,其包含一網絡接口以及一虛擬機器管理員裝置����。該網絡接口連接至一計算機網絡且用以接收一第一分組��。該虛擬機器管理員裝置連接至該網絡接口��,且用以運行一第一操作系統(tǒng)以及一安全系統(tǒng)�。該第一操作系統(tǒng)提供一第一網絡服務。該虛擬機器管理員裝置還用以實時提供該第一操作系統(tǒng)的一第一操作系統(tǒng)信息以及該第一網絡服務的一第一網絡服務信息���。該安全系統(tǒng)用以提供多個驗證規(guī)則��,以根據(jù)這些驗證規(guī)則�,驗證該第一分組��。當該第一分組無法通過這些驗證規(guī)則的一規(guī)則時�,該虛擬機器管理員裝置還根據(jù)第一操作系統(tǒng)信息或該第一網絡服務信息,判斷該第一分組與該第一操作系統(tǒng)相關且該規(guī)則與該第一操作系統(tǒng)不相關�����,以避免使用該安全系統(tǒng)于根據(jù)這些驗證規(guī)則�����,驗證該第一分組時,產生一錯誤判斷���。本發(fā)明的有益技術效果是本發(fā)明通過主機的虛擬機器管理員裝置自本身存儲器取得所運行多個不同操作系統(tǒng)的信息��,并通過這些信息使得虛擬機器管理員裝置本身可根據(jù)不同的操作系統(tǒng)或其所提供的網絡服務�,過濾主機所接收的分組��。此外���,借助這些信息���, 亦可使虛擬機器管理員裝置運行的安全系統(tǒng)自原先大量的驗證規(guī)則中分別篩選出適合不同操作系統(tǒng)或其提供的網絡服務的驗證規(guī)則集合。如此一來����,即可根據(jù)分組所對應的操作系統(tǒng),使用篩選出的驗證規(guī)則集合驗證分組���,以避免使用全部的驗證規(guī)則驗證分組��。另外�����, 當安全系統(tǒng)根據(jù)全部的驗證規(guī)則驗證分組時���,借助這些信息,亦可避免驗證分組時產生一錯誤判斷��。據(jù)此�,本發(fā)明的信息安全防護主機可有效地提升檢測效能,并減少產生誤判的情形����。在參閱附圖及隨后描述的實施方式后,所屬技術領域具有通常知識者便可了解本發(fā)明的其它目的����、優(yōu)點以及本發(fā)明的技術手段及實施態(tài)樣。
圖1是本發(fā)明第一實施例的信息安全防護主機1的示意圖�����;圖2是本發(fā)明第二實施例的信息安全防護主機1的示意圖��;圖3是本發(fā)明第三實施例及第五實施例中的信息安全防護主機1的示意圖���;以及圖4是本發(fā)明第四實施例及第六實施例中的信息安全防護主機1的示意圖���。
具體實施例方式本發(fā)明提供一信息安全防護主機��。本發(fā)明的信息安全防護主機運行一個或多個操作系統(tǒng)����。各操作系統(tǒng)提供一個或多個網絡服務�����。當接收到與一操作系統(tǒng)相關的分組時�,信息安全防護主機根據(jù)該操作系統(tǒng)的一操作系統(tǒng)信息及該操作系統(tǒng)所提供的網絡服務的一網絡服務信息,判斷分組的安全性��。以下的實施例用以舉例說明本發(fā)明的技術內容����,并非用以限制本發(fā)明的范圍。需說明的是����,以下實施例及附圖中,與本發(fā)明無關的元件已省略而未繪示,且附圖中各元件間的尺寸關系僅為求容易了解����,非用以限制實際比例���。本發(fā)明第一實施例的一信息安全防護主機1是如圖1所示�����。信息安全防護主機1 包含一網絡接口 11以及一虛擬機器管理員(virtual machine monitor ��;VMM)裝置13����。信息安全防護主機1通過網絡接口 11以一有線方式或一無線方式連接至一計算機網絡2��。計算機網絡2可為一私人網絡�、一公有網絡、一網際網絡(Internet)及其它網絡的任何組合�。虛擬機器管理員裝置13具有一存儲器13a,且用以運行一第一操作系統(tǒng)131����。第一操作系統(tǒng)131提供一第一網絡服務,例如包含一網頁(Web Page)服務���、一文件傳輸協(xié)議 (File Transfer ftOtocol ;FTP)���、一電子郵件服務以及其它網絡服務的任何組合����。需說明的是���,第一操作系統(tǒng)131可為一微軟操作系統(tǒng)���、一類Unix (Unix-like)操作系統(tǒng)或其它可提供網絡服務的操作系統(tǒng),而虛擬機器管理員裝置13可由一般的計算機主機硬件(例如由中央處理器�����、存儲器����、硬盤、主機板等)所構成����,或其它具有同時運行一個或多個操作系統(tǒng)能力的裝置。于本實施例中,當虛擬機器管理員裝置13運行第一操作系統(tǒng)131時����,由于虛擬機器管理員裝置13運行第一操作系統(tǒng)131會使用存儲器13a,因此存儲器13a將會儲存與第一操作系統(tǒng)131相關的信息�,例如第一操作系統(tǒng)131的第一操作系統(tǒng)信息以及所提供的第一網絡服務的第一網絡服務信息。第一操作系統(tǒng)信息可用以表示該第一操作系統(tǒng)為一微軟操作系統(tǒng)����、一類Unix操作系統(tǒng)或其它操作系統(tǒng)���,而第一網絡服務信息可用以表示該第一服務可能包含一網頁服務��、一文件傳輸協(xié)議服務���、一電子郵件服務或其它網絡服務的任何組
I=I O舉例而言,以微軟操作系統(tǒng)作為說明�,微軟操作系統(tǒng)在運行時,其核心(Kernel) 會建立一程序環(huán)境區(qū)塊(Process Environment Block �;PEB)數(shù)據(jù)結構儲存于在存儲器中, 以存放相關參數(shù)����。PEB數(shù)據(jù)結構中的OSMajorVersion及OSMinorVersion字段存放代表微軟操作系統(tǒng)版本參數(shù),例如當OSMajorVersion字段的參數(shù)為“7”且OSMinorVersion字段的參數(shù)為“O”時,代表微軟操作系統(tǒng)為Windows 7 ����;當OSMajorVersion字段的參數(shù)為“6” 且OSMinorVersion字段的參數(shù)為“O”時,代表微軟操作系統(tǒng)為Windows Vista或krver 2008 �;當OSMajorVersion字段的參數(shù)為“5”且OSMinorVersion字段的參數(shù)為“2”時,代表微軟操作系統(tǒng)為Windows Server2003 �;以及當OSMajorVersion字段的參數(shù)為“5”且OSMinorVersion字段的參數(shù)為“1”時,代表微軟操作系統(tǒng)為Windows XP�����。由于PEB數(shù)據(jù)結構屬現(xiàn)有技術內容���,所屬技術領域中具有通常知識者可輕易依現(xiàn)有技術文獻得知PEB數(shù)據(jù)結構的細節(jié)內容�����,故在此則不再加以贅述����。此外���,微軟操作系統(tǒng)在運行時��,其核心亦會建立一 EPROCESS數(shù)據(jù)結構及一 MIB_ TCPR0ff_0WNER_M0DULE數(shù)據(jù)結構��,并儲存于存儲器中���。EPROCESS數(shù)據(jù)結構記錄著目前執(zhí)行中的程序(即包含提供第一網絡服務的程序)�,而MIB_TCPR0W_0WNER_M0DULE數(shù)據(jù)結構記錄目前執(zhí)行中的程序的相關信息�。據(jù)此,從EPROCESS數(shù)據(jù)結構可取得程序列表(Process List)�����,再根據(jù)程序列表中的程序識別碼(Process Identification ��;PID)自MIB_TCPR0W_ 0WNER_M0DULE數(shù)據(jù)結構取得執(zhí)行中的程序的相關信息���。另外,當?shù)谝徊僮飨到y(tǒng)131更新所提供的第一網絡服務時(即新開啟另一網絡服務���,或關閉一現(xiàn)有的網絡服務時)���,第一操作系統(tǒng)便會自動產生一分頁錯誤(Page Fault)訊息,此時虛擬機器管理員裝置13可因應分頁錯誤訊息����,取得新開啟或關閉網絡服務的相關訊息���,以更新第一網絡服務信息。依據(jù)上述的舉例說明��,虛擬機器管理員裝置13的自其存儲器13a讀取第一操作系統(tǒng)131的第一操作系統(tǒng)信息以及所提供的第一網絡服務的第一網絡服務信息��。需注意的是�����,雖本發(fā)明僅以微軟操作系統(tǒng)作為舉例說明���,但所屬技術領域中具有通常知識者可輕易依各操作系統(tǒng)的技術規(guī)格得知如何自存儲器中取得操作系統(tǒng)信息以及所提供的網絡服務的網絡服務信息�,因此操作系統(tǒng)及其提供服務的種類并非用以限制本發(fā)明的范圍����,且在此不加以詳述其它操作系統(tǒng)的作法。隨后����,當網絡接口 11接收第一分組102時,虛擬機器管理員裝置13可根據(jù)第一網絡服務信息中記錄的第一網絡服務所使用的第一服務通訊端口號碼(例如807)��,對第一分組102進行過濾。舉例而言��,當網絡接口 11通過一通訊端口(例如544)接收第一分組 102時����,虛擬機器管理員裝置13可根據(jù)判斷第一分組102與第一操作系統(tǒng)131相關(即第一分組102傳送的目的地為第一操作系統(tǒng)131),且接收第一分組102的通訊端口不等于第一服務通訊端口號碼��,以濾除第一分組102�����。本發(fā)明第二實施例的信息安全防護主機1是如圖2所示����。不同于第一實施例,在第二實施例中���,網絡接口 11還自計算機網絡2皆接收第二分組104,且信息安全防護主機1 的虛擬機器管理員裝置13還用以運行第二操作系統(tǒng)133�。第二操作系統(tǒng)133亦提供一第二網絡服務,例如包含一網頁服務�����、一文件傳輸協(xié)議、一電子郵件服務以及其它網絡服務的任何組合��。類似地���,第二操作系統(tǒng)133可為一微軟操作系統(tǒng)����、一類Unix操作系統(tǒng)或其它可提供網絡服務的操作系統(tǒng)���。當虛擬機器管理員裝置13運行第二操作系統(tǒng)133時����,由于虛擬機器管理員裝置 13運行第二操作系統(tǒng)133亦會使用存儲器13a�,因此存儲器13a將會儲存與第二操作系統(tǒng) 133相關的信息,例如第二操作系統(tǒng)133的第二操作系統(tǒng)信息以及所提供的第二網絡服務的第二網絡服務信息���。第二操作系統(tǒng)信息則可用以表示第二操作系統(tǒng)133為一微軟操作系統(tǒng)���、一類Unix操作系統(tǒng)或其它操作系統(tǒng),而第二網絡服務信息則可用以表示該第二服務可能包含一網頁服務����、一文件傳輸協(xié)議�����、一電子郵件服務或其它網絡服務的任何組合���。當網絡接口 11接收第二分組104時,虛擬機器管理員裝置13可根據(jù)第二網絡服務信息中記錄的第二網絡服務所使用的第二服務通訊端口號碼(例如707)�����,對第二分組 104進行過濾����。舉例而言,當網絡接口 11通過一通訊端口(例如474)接收第二分組104時����,虛擬機器管理員裝置13可根據(jù)判斷第二分組104與第二操作系統(tǒng)133相關(即第二分組104傳送的目的地為第二操作系統(tǒng)131),且接收第二分組104的通訊端口不等于第二服務通訊端口號碼����,以濾除第二分組104�。本發(fā)明第三實施例的信息安全防護主機1是如圖3所示。不同于第一實施例����, 在第三實施例中���,信息安全防護主機1的虛擬機器管理員裝置13還用以運行一安全系統(tǒng) 135,且虛擬機器管理員裝置13無需根據(jù)第一網絡服務信息中記錄的第一網絡服務所使用的第一服務通訊端口號碼���,對第一分組102進行過濾��。安全系統(tǒng)135用以提供多個驗證規(guī)貝丨J���。安全系統(tǒng)Π5可以為一入侵檢測系統(tǒng)antrusion Detection System, IDS)、一網絡型入侵檢測系統(tǒng)(Network intrusion detection system, NIDS)����、一網絡型入侵防御系統(tǒng) (Network Intrusion Prevention System, NIPS)、一Web 防火墻(Web App Firewall) >一防火墻(Firewall)或其它具防護功能的系統(tǒng)��。虛擬機器管理員裝置13將自其存儲器13a讀取第一操作系統(tǒng)131的第一操作系統(tǒng)信息以及所提供的第一網絡服務的第一網絡服務信息���,提供給安全系統(tǒng)135使用����。安全系統(tǒng)135根據(jù)第一操作系統(tǒng)信息或第一網絡服務信息,自這些驗證規(guī)則篩選一第一驗證規(guī)則集合�����。舉例而言���,當?shù)谝徊僮飨到y(tǒng)信息顯示第一操作系統(tǒng)為微軟操作系統(tǒng)(Windows Server 2003)�,且第一網絡服務信息顯示該第一網絡服務包含電子郵件服務時��,安全系統(tǒng) 135自這些驗證規(guī)則篩選關于微軟操作系統(tǒng)(Windows Server 2003)且進一步關于電子郵件服務的驗證規(guī)則作為第一驗證規(guī)則集合�。據(jù)此,當自網絡接口 11接收第一分組102時�,虛擬機器管理員裝置13會使用安全系統(tǒng)135先驗第一分組102。當安全系統(tǒng)135判斷第一分組102與第一操作系統(tǒng)131相關(即第一分組102傳送的目的地為第一操作系統(tǒng)131)時��, 則套用第一驗證規(guī)則集合驗證第一分組102�����,而非套用全部的驗證規(guī)則����。具體而言,若第一分組102通過第一驗證規(guī)則集合的驗證�����,則虛擬機器管理員裝置13即將第一分組102供第一操作系統(tǒng)131使用�;另一方面,若第一分組102未通過第一驗證規(guī)則集合的驗證時�����,則濾除第一分組102�,避免第一分組102對第一操作系統(tǒng)131造成威脅。此外�,于其它實施例中,虛擬機器管理員裝置13亦可先根據(jù)第一網絡服務信息中記錄的第一網絡服務所使用的第一服務通訊端口號碼����,對第一分組102進行過濾。當虛擬機器管理員裝置13判斷第一分組102與第一操作系統(tǒng)131相關(即第一分組102傳送的目的地為第一操作系統(tǒng)131)�,且接收第一分組102的通訊端口等于第一服務通訊端口號碼時,再使用安全系統(tǒng)135驗證第一分組102���。換言之��,本發(fā)明的虛擬機器管理員裝置13可單獨使用安全系統(tǒng)135對分組進行驗證��,或先通過通訊端口號碼對分組進行過濾�����,再使用安全系統(tǒng)135對分組進行驗證�����。本發(fā)明第四實施例的信息安全防護主機1系如圖4所示���。不同于第三實施例���,在第四實施例中,網絡接口 11還自計算機網絡2皆接收第二分組104��,且信息安全防護主機1 的虛擬機器管理員裝置13還用以運行第二操作系統(tǒng)133�。第二操作系統(tǒng)133亦提供一第二網絡服務,例如包含一網頁服務���、一文件傳輸協(xié)議�����、一電子郵件服務以及其它網絡服務的任何組合����。類似地,第二操作系統(tǒng)133可為一微軟操作系統(tǒng)��、一類Unix操作系統(tǒng)或其它可提供網絡服務的操作系統(tǒng)�。于第四實施例中,虛擬機器管理員裝置13亦無需根據(jù)第二網絡服務信息中記錄的第二網絡服務所使用的第二服務通訊端口號碼��,對第二分組104進行過濾ο
當虛擬機器管理員裝置13運行第二操作系統(tǒng)133時�,由于虛擬機器管理員裝置 13運行第二操作系統(tǒng)133亦會使用存儲器13a���,因此存儲器13a將會儲存與第二操作系統(tǒng) 133相關的信息��,例如第二操作系統(tǒng)133的第二操作系統(tǒng)信息以及所提供的第二網絡服務的第二網絡服務信息��。第二操作系統(tǒng)信息則可用以表示第二操作系統(tǒng)133為一微軟操作系統(tǒng)�、一類Unix操作系統(tǒng)或其它操作系統(tǒng)�,而第二網絡服務信息則可用以表示該第二服務可能包含一網頁服務、一文件傳輸協(xié)議�、一電子郵件服務或其它網絡服務的任何組合。虛擬機器管理員裝置13將自其存儲器13a讀取第二操作系統(tǒng)131的第二操作系統(tǒng)信息以及所提供的第二網絡服務的第二網絡服務信息��,提供給安全系統(tǒng)135使用�。安全系統(tǒng)135根據(jù)第二操作系統(tǒng)信息或第二網絡服務信息,自這些驗證規(guī)則篩選一第二驗證規(guī)則集合����。舉例而言��,當?shù)诙僮飨到y(tǒng)信息顯示第二操作系統(tǒng)為類Unix操作系統(tǒng)���,且第二網絡服務信息顯示該第二網絡服務包含網頁服務及文件傳輸協(xié)議服務時,安全系統(tǒng)135系自這些驗證規(guī)則篩選關于類Unix操作系統(tǒng)且進一步關于網頁服務及文件傳輸協(xié)議服務的驗證規(guī)則作為第二驗證規(guī)則集合�。據(jù)此,當網絡接口 11接收第二分組104時�,虛擬機器管理員裝置13會使用安全系統(tǒng)135驗證第二分組104。當安全系統(tǒng)135判斷第二分組104與第二操作系統(tǒng)133相關(即第二分組104傳送的目的地為第二操作系統(tǒng)133)時���,則套用第二驗證規(guī)則集合驗證第二分組104�,而非套用全部的驗證規(guī)則����。具體而言,若第二分組104 通過第二驗證規(guī)則集合的驗證���,則虛擬機器管理員裝置13即將第二分組104供第二操作系統(tǒng)133使用�����;另一方面�����,若第二分組104未通過第二驗證規(guī)則集合的驗證時����,則濾除第二分組104,避免第二分組104對第二操作系統(tǒng)133造成威脅��。此外���,于其它實施例中,虛擬機器管理員裝置13亦可先根據(jù)第二網絡服務信息中記錄的第二網絡服務所使用的第二服務通訊端口號碼���,對第二分組104進行過濾����。當虛擬機器管理員裝置13判斷第二分組104與第二操作系統(tǒng)133相關(即第二分組104傳送的目的地為第二操作系統(tǒng)133)�,且接收第二分組104的通訊端口等于第二服務通訊端口號碼時,再使用安全系統(tǒng)135驗證第二分組104���。本發(fā)明第五實施例的信息安全防護主機1是如圖3所示��。不同于第一實施例����,在第五實施例中,信息安全防護主機1的虛擬機器管理員裝置13還用以運行一安全系統(tǒng)135���。 安全系統(tǒng)135用以提供多個驗證規(guī)則�����。安全系統(tǒng)135可以為一入侵檢測系統(tǒng)����、一網絡型入侵檢測系統(tǒng)���、一網絡型入侵防御系統(tǒng)��、一 Web防火墻��、一防火墻或其它具防護功能的系統(tǒng)�。于接收第一分組102后�����,虛擬機器管理員裝置13使用安全系統(tǒng)135驗證第一分組 102��。安全系統(tǒng)135套用全部的驗證規(guī)則驗證第一分組102。當?shù)谝环纸M102無法通過這些驗證規(guī)則的一規(guī)則時�����,虛擬機器管理員裝置13還根據(jù)第一操作系統(tǒng)信息或該第一網絡服務信息��,判斷第一分組102與第一操作系統(tǒng)131相關且該規(guī)則與第一操作系統(tǒng)131不相關����,以決定安全系統(tǒng)135套用全部的驗證規(guī)則驗證第一分組102時,是否產生誤判的情況���。 具體而言,若安全系統(tǒng)135判斷第一分組102不符合這些驗證規(guī)則的該規(guī)則時�����,即發(fā)出一警告����。虛擬機器管理員裝置13因應該警告,判斷該分組與第一操作系統(tǒng)131相關(即第一分組102傳送的目的地為第二操作系統(tǒng)131)且該規(guī)則與第一操作系統(tǒng)131不相關����,例如當?shù)谝徊僮飨到y(tǒng)131為Windows Server 2003操作系統(tǒng)��,但該規(guī)則不適用于Windows Server 2003操作系統(tǒng)��,如此一來��,虛擬機器管理員裝置13即可判斷安全系統(tǒng)135對第一分組102 所為的驗證為誤判�。藉此��,可避免安全系統(tǒng)135套用全部驗證規(guī)則���,驗證第一分組102時��,產生一錯誤判斷�����。本發(fā)明第六實施例的信息安全防護主機1亦如圖4所示��。不同于第五實施例�,在第六實施例中�����,網絡接口 11還自計算機網絡2皆接收第二分組104,且信息安全防護主機1 的虛擬機器管理員裝置13還用以運行第二操作系統(tǒng)133���。第二操作系統(tǒng)133亦提供一第二網絡服務�,例如包含一網頁服務�����、一文件傳輸協(xié)議��、一電子郵件服務以及其它網絡服務的任何組合��。類似地���,第二操作系統(tǒng)133可為一微軟操作系統(tǒng)��、一類Unix操作系統(tǒng)或其它可提供網絡服務的操作系統(tǒng)�。當虛擬機器管理員裝置13運行第二操作系統(tǒng)133時�����,由于虛擬機器管理員裝置 13運行第二操作系統(tǒng)133亦會使用存儲器13a���,因此存儲器13a將會儲存與第二操作系統(tǒng) 133相關的信息,例如第二操作系統(tǒng)133的第二操作系統(tǒng)信息以及所提供的第二網絡服務的第二網絡服務信息。第二操作系統(tǒng)信息則可用以表示第二操作系統(tǒng)133為一微軟操作系統(tǒng)����、一類Unix操作系統(tǒng)或其它操作系統(tǒng),而第二網絡服務信息則可用以表示該第二服務可能包含一網頁服務�����、一文件傳輸協(xié)議���、一電子郵件服務或其它網絡服務的任何組合�。于接收第二分組104后�,虛擬機器管理員裝置13使用安全系統(tǒng)135驗證第二分組 104。安全系統(tǒng)135套用全部的驗證規(guī)則驗證第二分組104�����。當?shù)诙纸M104無法通過這些驗證規(guī)則的一規(guī)則時���,虛擬機器管理員裝置13還根據(jù)第二操作系統(tǒng)信息或該第二網絡服務信息�,判斷第二分組104與第二操作系統(tǒng)133相關且該規(guī)則與第二操作系統(tǒng)133不相關�, 以決定安全系統(tǒng)135使用全部的驗證規(guī)則驗證第二分組104時,產生一錯誤判斷��。具體而言,若安全系統(tǒng)135判斷第二分組104不符合這些驗證規(guī)則的該規(guī)則時����,即發(fā)出一警告。虛擬機器管理員裝置13因應該警告�����,判斷該分組與第二操作系統(tǒng)135相關(即第二分組104 傳送的目的地為第二操作系統(tǒng)135)且該規(guī)則與第二操作系統(tǒng)131不相關�����,例如當?shù)诙僮飨到y(tǒng)135為類Unix操作系統(tǒng)��,但該規(guī)則不適用于類Unix操作系統(tǒng)����,如此一來,虛擬機器管理員裝置13即可判斷安全系統(tǒng)135對第二分組104所為的驗證為誤判�。藉此,可避免安全系統(tǒng)135使用全部驗證規(guī)則�����,驗證第二分組104時��,產生一錯誤判斷���。在此需特別說明����,本實施例中是以“第一”及“第二”說明虛擬機器管理員裝置13 運行二個的操作系統(tǒng)且二個操作系統(tǒng)提供的各自的網絡服務�����,而于其它的實施例中�����,虛擬機器管理員裝置13還可以運行二個以上的操作系統(tǒng)��,且各操作系統(tǒng)亦各自提供各種網絡服務�。換言之,當虛擬機器管理員裝置13運行二個以上的操作系統(tǒng)時����,亦能執(zhí)行本發(fā)明的技術手段。承上所述�����,本發(fā)明系通過主機的虛擬機器管理員裝置自本身存儲器取得所運行多個不同操作系統(tǒng)的信息,并借助這些信息使得虛擬機器管理員裝置本身可根據(jù)不同的操作系統(tǒng)或其所提供的網絡服務�����,過濾主機所接收的分組�。此外,借助這些信息�����,亦可使虛擬機器管理員裝置運行的安全系統(tǒng)自原先大量的驗證規(guī)則中分別篩選出適合不同操作系統(tǒng)或其提供的網絡服務的驗證規(guī)則集合���。如此一來����,即可根據(jù)分組所對應的操作系統(tǒng)��,使用篩選出的驗證規(guī)則集合驗證分組�����,以避免使用全部的驗證規(guī)則驗證分組�����。另外,當安全系統(tǒng)根據(jù)全部的驗證規(guī)則驗證分組時�,借助這些信息�����,亦可避免驗證分組時產生一錯誤判斷���。據(jù)此��, 本發(fā)明的信息安全防護主機可有效地提升檢測效能�,并減少產生誤判的情形�。上述的實施例僅用來例舉本發(fā)明的實施態(tài)樣,以及闡釋本發(fā)明的技術特征����,并非用來限制本發(fā)明的保護范疇。任何熟悉此技術者可輕易完成的改變或均等性的安排均屬于本發(fā)明所主張的范圍��,本發(fā)明的權利保護范圍應以申請專利范圍為準��。
權利要求
1.一種信息安全防護主機�����,其特征在于,包含一網絡接口����,連接至一計算機網絡,用以接收一第一分組�����;以及一虛擬機器管理員裝置��,連接至該網絡接口��,用以運行一第一操作系統(tǒng)�����,該第一操作系統(tǒng)提供一第一網絡服務����,該虛擬機器管理員裝置還用以實時提供該第一操作系統(tǒng)的一第一操作系統(tǒng)信息以及該第一網絡服務的一第一網絡服務信息;其中�,該第一網絡服務信息包含一第一服務通訊端口號碼,當該網絡接口通過一通訊端口接收該第一分組時�,該虛擬機器管理員裝置更根據(jù)第一操作系統(tǒng)信息或該第一網絡服務信息,判斷該第一分組與該第一操作系統(tǒng)相關��,且該通訊端口的通訊端口號碼不等于該第一服務通訊端口號碼,以濾除該第一分組����。
2.根據(jù)權利要求1所述的信息安全防護主機,其特征在于�,該虛擬機器管理員裝置還運行一安全系統(tǒng)���,該安全系統(tǒng)用以提供多個驗證規(guī)則�����,該虛擬機器管理員裝置還實時提供該第一操作系統(tǒng)信息以及該第一網絡服務信息至該安全系統(tǒng)���,以便該安全系統(tǒng)根據(jù)該第一操作系統(tǒng)信息或該第一網絡服務信息,自這些驗證規(guī)則篩選一第一驗證規(guī)則集合���,當該虛擬機器管理員裝置根據(jù)第一操作系統(tǒng)信息或該第一網絡服務信息����,判斷該第一分組與該第一操作系統(tǒng)相關�,且該通訊端口的通訊端口號碼等于該第一服務通訊端口號碼時,該安全系統(tǒng)判斷該第一分組與該第一操作系統(tǒng)相關�,以套用該第一驗證規(guī)則集合���,驗證該第一分組。
3.根據(jù)權利要求1所述的信息安全防護主機���,其特征在于�����,該虛擬機器管理員裝置還包含一存儲器�,當該虛擬機器管理員裝置運行該第一操作系統(tǒng)時����,該存儲器儲存該第一操作系統(tǒng)信息及該第一網絡服務信息。
4.根據(jù)權利要求1所述的信息安全防護主機���,其特征在于�����,該第一操作系統(tǒng)信息用以表示該第一操作系統(tǒng)為一微軟操作系統(tǒng)以及一類Unix操作系統(tǒng)其中之一��。
5.根據(jù)權利要求1所述的信息安全防護主機����,其特征在于,該第一網絡服務是選自于下列群組一網頁服務��、一文件傳輸協(xié)議以及一電子郵件服務�。
6.根據(jù)權利要求1所述的信息安全防護主機,其特征在于�,該網絡接口還用以接收一第二分組,該虛擬機器管理員裝置還運行一第二操作系統(tǒng)�,該第二操作系統(tǒng)提供一第二網絡服務,該虛擬機器管理員裝置還用以實時提供該第二操作系統(tǒng)的一第二操作系統(tǒng)信息以及該第二網絡服務的一第二網絡服務信息����,其中��,該第二網絡服務信息包含一第二服務通訊端口號碼��,當該網絡接口通過另一通訊端口接收該第二分組時�����,該虛擬機器管理員裝置還根據(jù)第二操作系統(tǒng)信息或該第二網絡服務信息��,判斷該第二分組與該第二操作系統(tǒng)相關�����,且該另一通訊端口的通訊端口號碼不等于該第二服務通訊端口號碼,以濾除該第二分組�。
7.根據(jù)權利要求6所述的信息安全防護主機,其特征在于�,該虛擬機器管理員裝置還運行一安全系統(tǒng),該安全系統(tǒng)用以提供多個驗證規(guī)則�,該虛擬機器管理員裝置還實時提供該第二操作系統(tǒng)信息以及該第二網絡服務信息至該安全系統(tǒng),以便該安全系統(tǒng)根據(jù)該第二操作系統(tǒng)信息或該第二網絡服務信息��,自這些驗證規(guī)則篩選一第二驗證規(guī)則集合�����,當該虛擬機器管理員裝置根據(jù)第二操作系統(tǒng)信息或該第二網絡服務信息�����,判斷該第二分組與該第二操作系統(tǒng)相關���,且該另一通訊端口的通訊端口號碼等于該第二服務通訊端口號碼時�����,該安全系統(tǒng)判斷該第二分組與該第二操作系統(tǒng)相關���,以套用該第二驗證規(guī)則集合��,驗證該第二分組�。
8.根據(jù)權利要求6所述的信息安全防護主機�,其特征在于,該虛擬機器管理員裝置還包含一存儲器�����,當該虛擬機器管理員裝置運行該第二操作系統(tǒng)時�����,該存儲器儲存該第二操作系統(tǒng)信息及該第二網絡服務信息�����。
9.根據(jù)權利要求6所述的信息安全防護主機�,其特征在于�,該第二操作系統(tǒng)信息用以表示該第二操作系統(tǒng)為一微軟操作系統(tǒng)以及一類Unix操作系統(tǒng)其中之一。
10.根據(jù)權利要求6所述的信息安全防護主機�����,其特征在于,該第二網絡服務是選自于下列群組一網頁服務�、一文件傳輸協(xié)議以及一電子郵件服務。
11.一種信息安全防護主機�����,其特征在于���,包含一網絡接口��,連接至一計算機網絡�,用以接收一第一分組���;以及一虛擬機器管理員裝置����,連接至該網絡接口��,用以運行一第一操作系統(tǒng)以及一安全系統(tǒng)��,該第一操作系統(tǒng)提供一第一網絡服務���,該安全系統(tǒng)用以提供多個驗證規(guī)則�;其中,該虛擬機器管理員裝置還實時提供該第一操作系統(tǒng)的一第一操作系統(tǒng)信息以及該第一網絡服務的一第一網絡服務信息至該安全系統(tǒng)����,以便該安全系統(tǒng)根據(jù)該第一操作系統(tǒng)信息或該第一網絡服務信息,自這些驗證規(guī)則篩選一第一驗證規(guī)則集合��,并判斷該第一分組與該第一操作系統(tǒng)相關�,以套用該第一驗證規(guī)則集合,驗證該第一分組�。
12.根據(jù)權利要求11所述的信息安全防護主機,其特征在于�����,該虛擬機器管理員裝置還包含一存儲器�����,當虛擬機器管理員裝置運行該第一操作系統(tǒng)時����,該存儲器儲存該第一操作系統(tǒng)信息及該第一網絡服務信息�����。
13.根據(jù)權利要求11所述的信息安全防護主機,其特征在于�����,該第一操作系統(tǒng)信息用以表示該第一操作系統(tǒng)為一微軟操作系統(tǒng)以及一類Unix操作系統(tǒng)其中之一�。
14.根據(jù)權利要求11所述的信息安全防護主機,其特征在于��,該第二網絡服務是選自于下列群組一網頁服務���、一文件傳輸協(xié)議以及一電子郵件服務�。
15.根據(jù)權利要求11所述的信息安全防護主機�,其特征在于,該網絡接口還用以接收一第二分組���,該虛擬機器管理員裝置還運行一第二操作系統(tǒng)����,該第二操作系統(tǒng)提供一第二網絡服務�����,該虛擬機器管理員裝置還用以實時提供該第二操作系統(tǒng)的一第二操作系統(tǒng)信息以及該第二網絡服務的一第二網絡服務信息至該安全系統(tǒng)��,以便該安全系統(tǒng)根據(jù)該第二操作系統(tǒng)信息或該第二網絡服務信息,自這些驗證規(guī)則篩選一第二驗證規(guī)則集合���,并判斷該第二分組與該第二操作系統(tǒng)相關�����,以套用該第二驗證規(guī)則集合�����,驗證該第二分組�。
16.根據(jù)權利要求15所述的信息安全防護主機�,其特征在于,該虛擬機器管理員裝置還包含一存儲器��,當虛擬機器管理員裝置運行該第二操作系統(tǒng)時�����,該存儲器儲存該第二操作系統(tǒng)信息及該第二網絡服務信息�。
17.根據(jù)權利要求15所述的信息安全防護主機,其特征在于����,該虛擬機器管理員裝置還包含一存儲器,當該虛擬機器管理員裝置運行該第二操作系統(tǒng)時��,該存儲器儲存該第二操作系統(tǒng)信息及該第二網絡服務信息��。
18.根據(jù)權利要求15所述的信息安全防護主機�����,其特征在于��,該第二操作系統(tǒng)信息用以表示該第二操作系統(tǒng)為一微軟操作系統(tǒng)以及一類Unix操作系統(tǒng)其中之一����。
19.一種信息安全防護主機,其特征在于��,包含一網絡接口���,連接至一計算機網絡�����,用以接收一第一分組����;以及一虛擬機器管理員裝置,連接至該網絡接口��,用以運行一第一操作系統(tǒng)以及一安全系統(tǒng)����,該第一操作系統(tǒng)提供一第一網絡服務,該安全系統(tǒng)用以提供多個驗證規(guī)則�,以根據(jù)這些驗證規(guī)則,驗證該第一分組�����,該虛擬機器管理員裝置還用以實時提供該第一操作系統(tǒng)的一第一操作系統(tǒng)信息以及該第一網絡服務的一第一網絡服務信息�;其中,當該第一分組無法通過這些驗證規(guī)則的一規(guī)則時�,該虛擬機器管理員裝置還根據(jù)第一操作系統(tǒng)信息或該第一網絡服務信息,判斷該第一分組與該第一操作系統(tǒng)相關且該規(guī)則與該第一操作系統(tǒng)不相關�,以避免使用該安全系統(tǒng)根據(jù)這些驗證規(guī)則,驗證該第一分組時���,產生一錯誤判斷�����。
20.根據(jù)權利要求19所述的信息安全防護主機����,其特征在于��,該虛擬機器管理員裝置還包含一存儲器��,當該虛擬機器管理員裝置運行該第一操作系統(tǒng)時����,該存儲器儲存該第一操作系統(tǒng)信息及該第一網絡服務信息。
21.根據(jù)權利要求19所述的信息安全防護主機���,其特征在于�����,該第一操作系統(tǒng)信息用以表示該第一操作系統(tǒng)為一微軟操作系統(tǒng)以及一類Unix操作系統(tǒng)其中之一����。
22.根據(jù)權利要求19所述的信息安全防護主機���,其特征在于����,該第一網絡服務是選自于下列群組一網頁服務、一文件傳輸協(xié)議以及一電子郵件服務��。
23.根據(jù)權利要求22所述的信息安全防護主機����,其特征在于,該網絡接口還用以接收一第二分組�,該虛擬機器管理員裝置還運行一第二操作系統(tǒng),該第二操作系統(tǒng)提供一第二網絡服務�,該安全系統(tǒng)還根據(jù)這些驗證規(guī)則,驗證該第二分組��,當該第二分組無法通過這些驗證規(guī)則的一規(guī)則時�,該虛擬機器管理員裝置還根據(jù)第二操作系統(tǒng)信息或該第二網絡服務信息,判斷該第二分組與該第二操作系統(tǒng)相關且該規(guī)則與該第二操作系統(tǒng)不相關�����,以避免使用該安全系統(tǒng)于根據(jù)這些驗證規(guī)則�����,驗證該第二分組時�,產生一錯誤判斷��。
24.根據(jù)權利要求23所述的信息安全防護主機����,其特征在于�,該虛擬機器管理員裝置還包含一存儲器,當虛擬機器管理員裝置運行該第二操作系統(tǒng)時���,該存儲器儲存該第二操作系統(tǒng)信息及該第二網絡服務信息。
25.根據(jù)權利要求23所述的信息安全防護主機���,其特征在于�����,該第二操作系統(tǒng)信息用以表示該第二操作系統(tǒng)為一微軟操作系統(tǒng)以及一類Unix操作系統(tǒng)其中之一���。
26.根據(jù)權利要求23所述的信息安全防護主機,其特征在于���,該第二網絡服務是選自于下列群組一網頁服務�、一文件傳輸協(xié)議以及一電子郵件服務��。
全文摘要
本發(fā)明是一種信息安全防護主機。該信息安全防護主機包含一網絡接口以及一虛擬機器管理員裝置����。該網絡接口連接至一計算機網絡,且用以接收一第一分組��。該虛擬機器管理員裝置用以運行一第一操作系統(tǒng)��,其中該第一操作系統(tǒng)提供一第一網絡服務�����。該虛擬機器管理員裝置還用以實時提供該第一操作系統(tǒng)的一第一操作系統(tǒng)信息以及該第一網絡服務的一第一網絡服務信息���,以根據(jù)該第一操作系統(tǒng)信息或該第一網絡服務信息判斷該第一分組的安全性�。
文檔編號H04L29/06GK102469098SQ20101055424
公開日2012年5月23日 申請日期2010年11月11日 優(yōu)先權日2010年11月11日
發(fā)明者林志鴻, 王聲浩, 田謹維 申請人:財團法人資訊工業(yè)策進會