[发明专利]对网络入侵者的自动阻止

说明书

技术领域

本发明涉及一种用于在数据通信网络上对来自入侵者的业务进行分隔的机制。特别地，本发明涉及一种用于在多个网络节点之中分布分隔规则的系统和方法，以将来自入侵者的业务路由至专用的虚拟局域网(VLAN)中，或者将该业务隔开。

背景技术

在当今高度移动的计算环境中，移动的客户端设备可以容易地在例如家庭网和企业网之类的各种网络间迁移。在该过程中，该客户端设备更易于传输会在企业网内引入问题的文件。问题包括但不限于在企业网内引入恶意蠕虫，这可能会损坏整个网络内的计算机，并且要花费高昂的代价才能去除。限制这些问题的范围的一种当前方法是在企业网的网段间安装入侵检测系统(IDS)或入侵预防系统(IPS)从而禁止蠕虫的传播，或者直接整个地禁用网络的多个部分以预防蠕虫传播到受感染区域之外。但是，这些方法严重影响网络的运行，并且可能只是暂时针对网络的一个部分阻止了问题设备。该网络上的其他机器仍然可能被感染，例如，如果笔记本计算机或者个人数字助理(PDA)从网络的被禁用部分移动到了可操作网段，该可操作网段中易受攻击的机器又会被感染。不管付出多大努力，整个网络还是有可能被感染。

即使恶意蠕虫的传播被分隔在网络的一部分中，网络运营商仍然需要确定违规机器的位置。尽管存在一些用于在网络上定位这些设备的自动的方法，包括ALCATEL OMNIVISTA(TM)2500中的Locator应用，但是当前还没有用于响应于入侵检测而在违规设备的入口点自动拒绝访问该设备，或者更一般地拒绝访问网络的机制。因而需要一种响应于在网络中任意点的入侵检测而在网络中自动拒绝入侵者访问的系统。

发明内容

在优选实施例中，本发明的特征在于一种系统和方法，用于通过自动在有害业务可能进入网络的多个点中的每个点上将有害业务与其他业务隔开从而使整个网络能够防备入侵者，来保护网络资源。在优选实施例中，该系统包括：一个或多个网络节点；入侵检测系统，用以确定入侵者身份；以及服务器，其可操作地连接到入侵检测系统，适合于自动地：生成将已识别的入侵者与分隔动作相关联的分隔规则，并将该分隔规则安装在一个或多个网络节点中的每个网络节点上，从而该一个或多个网络节点中的每个网络节点在接到来自该已识别的入侵者的协议数据单元(PDU)后执行该分隔动作。

在优选实施例中，网络节点可以包括例如路由器、网桥、多层交换机，以及局域网中的无线接入点。这样，当IDS或IPS检测到入侵者及其源媒体访问控制(MAC)地址、网际协议(IP)地址，或者这两个地址都被确定时，根据优选实施例的系统将虚拟局域网(VLAN)规则或访问控制列表(ACL)规则发布到例如多个交换设备，从而指示这些设备将来自该入侵者的任意包路由至隔离VLAN或将该业务与其他业务分隔开来。在大型网络中，与入侵者首次进入网络时的交换设备相关联的网关路由器可以通过在整个网络上查询ARP信息而确定，接下来分隔动作可以被安装在该网关路由器下面的选定数目的交换设备上。

本领域的普通技术人员应当意识到，根据本发明，可以在网络管理器参与得更少并且成本更低的情况下，在大约几秒之内，在进入网络的每个入口点处自动拒绝违规设备对整个网络的访问。在企业交换机上安装隔离VLAN规则或ACL规则例如可以预防病毒在访问同一交换机的客户端之间以及在不同交换机的客户端之间传播，而无需中间防火墙。也就是说，例如，安装隔离规则可以预防病毒在(a)连接到同一交换设备的客户端之间传播以及在(b)相距遥远的客户端之间传播，而不管这些客户端是否被防火墙隔开。

附图说明

以示例的方式而不是限制的方式在附图的各图中示出了本发明，其中：

图1是根据本发明优选实施例的适合于自动阻止网络入侵者的网络的功能框图；

图2是根据本发明优选实施例的适合于执行入侵检测响应(IDR)的交换机的功能框图；

图3是根据本发明优选实施例的AQE服务器的功能框图；

图4是根据本发明优选实施例的用于从AQE服务器分布入侵者分隔规则的处理的流程图；

图5是根据本发明优选实施例的用于将入侵者分隔规则分布至多个IDR交换机上的处理的流程图；以及

图6是根据本发明优选实施例的AQE服务器和IDR交换机对入侵者的响应的序列图。

具体实施方式