[发明专利]用于潜在被污染端系统的牵制机制

说明书

技术领域

本发明涉及通信网络上的安全传输，并且特别地，涉及用于通信网络 的潜在被污染端系统的牵制机制。

背景技术

安全性是现代通信网络中的关键特征；提供安全解决方案要求了解可 能的威胁场景和它们的相关要求。网络安全系统还需要是灵活的，以促进 跨管理域的互操作和协作。

随着通信网络扩展并且汇聚为集成的全球系统，正在开发并采用开放 协议标准，目的是使得能够灵活地和广泛地使用信息的收集和交换。不幸 地是，这些开放标准倾向于使网络更容易遭受与安全相关的攻击；TCP(传 输控制协议)是在系统用户将连接网络用于严格合法的目的的基础上被设 计的，所以没有对安全问题给予特别的考虑。由于很多路由协议依赖TCP (例如，边界网关协议BGP使用TCP作为它的传输协议)，这使得它们 易受TCP协议本身的所有安全弱点的攻击。

在网络中有很多种必须要考虑的安全顾虑。本发明涉及检测感染了蠕 虫的系统。蠕虫是一种以各种方式跨网络复制自身的程序，受害者通常不 是被作为特定目的，而只是一个不幸的主机。蠕虫通过利用已知的和先前 未知的软件脆弱性操作，并且快速跨网络繁殖。通过劫持通常以被提高的 特权运行的受信任应用，诸如网络服务器、邮件传送代理、登录服务器， 蠕虫可以得以完全使用系统资源，并造成完整系统受损。即使蠕虫对网络 装备的任何给定块的影响经常是良性的，数万个受感染网络单元向其它网 络单元尽快扩散恶意软件的累积效应却可以是灾难性的。蠕虫，尤其是快 速扩散的“flash蠕虫”，曾给互联网带来严重破坏；例如，Code Red(红 色代码)和Nimda(尼姆达)曾造成互联网中的大拥塞，很多情况下要求 关闭很多企业的整个网络。

在计算机网络是实体内和实体间通信和交易的关键要素的世界中，IP 网络的可靠性和安全性是根本的。尽管当前的防御模型已有多年经验，迄 今还没有能够提供一个模型，它的最终目的是以很少的关联成本和干扰提 供针对所有攻击的完全保护。实际入侵检测技术没有给出高端路由器所要 求的适当的性能级别。为了解决这个问题，当前正在设计新的技术。对于 电信行业，这是个关键挑战，并且迄今为止已提出了很多部分解决方案。 尽快检测蠕虫的繁殖并且有效地反作用于正在进行的攻击以便保护网络基 础设施的能力正变成网络运营商的真实挑战，特别是在大的分布式网络的 情况中。

攻击检测方法学可以被划分成两个主要种类：基于流的分析和深度分 组分析。基于流的分析是基于监控电信基础设施中的流量来检测不寻常的 流量模式。它通常依赖于在网络路由器中实现的像Netflow、IPFix和实时 业务流监控(RTFM：http://www.auckland.ac.nz/net/Internet/rtfm/)的技 术。深度分组分析方法学是基于通过分析每个分组来检测已知的特征或经 常看到的模式来来追溯单个恶意IP分组。追踪连续流的方法还可以被用来 追溯单个分组，诸如iTrace。

多数基于流的分析方法是基于对异常流量模式的统计检测。例如， ConSentry Networks使用复杂ASIC来处理对流量的统计分析。Cetasea Networks的Orcaflow产品使用从标准MIB中采集的统计来发现与基线的 偏差，HP的ProCurve Swithe实现连接速率极限等。

所提出的用于检测攻击的其它统计技术是“顺序假设测试”。尽管该 方法有快速的反应时间，它要求确定每个连接请求是否成功。其它技术提 出监控蠕虫的不同特征，诸如识别同样的(重复的)分组，或者基于DNS (域名服务器)查找的缺乏识别恶意分组，或者基于像对等体列表、ARP (地址解析协议)速率、互联网暗区等向分组分配分数。

理想地，网络运营商致力于快速识别受感染机器并尽快隔离它；否则， 在产生任何报警前，感染会充分扩散。然而，为检测和预防安全攻击所付 出的价格是巨大的。今天，企业部署分层防御模型，包括防火墙、防病毒 系统、接入管理和入侵检测系统(IDS)。除了昂贵外，迄今可用的解决 方案没有足够快地检测和结束蠕虫繁殖跨网络扩散。响应度受当前的解决 方案是基于多个部件的事实的影响，所述多个部件可能在沟通和协调所要 求的对策上有问题。