[发明专利]用于保护网络的方法和设备

说明书

技术领域

本发明涉及计算机安全领域，更具体地，涉及阻止对计算机网络 和系统的非授权入侵。

背景技术

随着藉助于与计算机结合的信息和通信技术的快速发展，信息技 术已变得越来越流行，网络环境和互联网也发生恶意的网络接入，诸 如入侵到服务器系统和传输有害的流量。许多传统的安全解决方案可 用于阻挡恶意网络接入。这些系统在传统上包括在保护网络(protected network)上使用防火墙或专用网络入侵检测系统。

通常人工地或自动地执行入侵检测。人工入侵检测典型地包括检 查登录文件系统记录或入侵签名的其它证据，包括到或来自系统或网 络的网络流量的数量。执行自动入侵检测的系统典型地称为入侵检测 系统(IDS)。IDS可以是基于主机的，如果它监视系统呼叫或登录的话， 或可以是基于网络的，如果它监视网络分组流的话。传统的IDS通常 是这两个方法的组合。当由传统的IDS发现可能的入侵时，所执行的 典型动作包括把相关的信息记录到文件或数据库，生成电子邮件报警， 或生成到寻呼机或移动电话的消息。

确定可能的入侵实际上是什么和采取某种形式的动作来停止它或 防止它再次发生通常是在入侵检测范围以外的事情。然而，通过入侵 检测系统与诸如防火墙那样的接入控制系统的交互已经实施了某些形 式的自动反应。

外泄检测(extrusion detection)(或外发的入侵检测)是入侵检测的 一个分支，其目的是开发一种机制，该机制用于识别使用计算机系统 的资源来危害其它系统的成功或不成功尝试。外泄检测技术通常集中 在分析系统活动和外发的流量，以便检测恶意的用户、网络、恶意软 件(恶意的软件)或可能给相邻的系统的安全性带来威胁的网络流量。

虽然入侵检测最关心识别进入的攻击(入侵企图)，但外泄检测系 统首先尝试阻止发起攻击。他们在保护网络的“叶子”节点处实施监视 控制--而不是把它们集中在瓶颈处，例如，路由器--以便分布检查工作 负荷和利用系统所具有的、对它自己的状态的可视性。外泄检测的最 终目标是要识别从已经受到危害的系统发起的攻击企图，以便阻止它 们到达它们的目标，由此包含对威胁的影响。

现代IDS和IPS(入侵/外泄防御)技术，在实施时，没有完全解决 与入侵或外泄攻击有关的问题。如果它们确实检测到和启动了防御， 在大多数情形下在目的地处--或者在主机处或者在主机前面的防火墙 处--实施防护。犯规的一个或多个主机可以继续发起入侵(在诸如拒绝 服务(DoS)或分布式DOS(DDoS)的情形下)--阻止包括添加分组过滤器 或动态逻辑来扔掉或忽略进入的违规分组，导致额外的防火墙或主机 处理。

所以，所需要的是用于向违规主机(offending host)通知入侵攻 击以使得在违规主机处采取适当的行动来禁止攻击的进一步传输的方 法。

发明内容

本发明的各实施例提供通过向违规主机通知攻击和根据入侵保护 策略在违规主机处采取行动而保护网络免受入侵攻击的方法。检测由 被耦合到保护网络的违规主机传送的违规分组的入侵。响应于检测到 违规分组的入侵，把阻挡指令返回到违规主机，以在违规主机上发起 入侵保护操作。阻挡指令禁止由违规主机进一步传输违规分组。在某 些实施例中，至少违规分组的一部分与阻挡指令一起被发送回到违规 主机。

在违规主机处，在某些实施例中，接收阻挡指令与该部分的违规 分组。违规主机验证违规分组起源于违规主机，以及根据入侵策略禁 止由违规主机发送以后的外发的违规分组。在某些实施例中，入侵保 护操作包括发布事件或错误消息给违规主机的操作员或访问违规主机 处的入侵策略。

在一个实施例中，把第一违规分组的一部分发送回违规主机包括： 把违规数据分组的该部分封装到UDP分组中，并把封装后的违规数据 分组的该部分作为通知分组返回到违规主机。在违规主机处，接收包 含部分违规分组的封装后的UDP分组。违规主机验证第一违规分组起 源于违规主机。在某些实施例中，违规主机可以识别在产生违规分组 的违规主机上的违规应用，以及可以终止违规应用。

在另一个实施例中，检测入侵和返还阻挡指令在操作系统的IP层 处实施。阻挡指令被实施为ICMP消息，以及在某些实施例中，ICMP 消息包含第一违规分组的拷贝。在其它实施例中，检测入侵和返还阻 挡指令在诸如防火墙、路由器或其它计算机那样的网络设备中实施。

附图说明