[发明专利]网络安全设备的高可用性

说明书

技术领域

本公开涉及计算机网络，更具体地，涉及用在计算机网络内的安全设备。

背景技术

高可用性计算机网络环境的目标是向用户和其他实体提供“始终在线”服务。即，高可用性计算机网络环境应当提供可靠的、连续运行的服务。为了实现该目标，高可用性环境中的网络设备执行错误检测并执行对于检测到的错误的可恢复性。不幸的是，网络设备有时会出故障。例如，安全设备内的软件或硬件问题或电源故障会使所有的或部分的安全设备停止工作。

当网络设备故障时，通过发生故障的网络设备的所有网络通信流会停止。对于依赖于这种网络通信量的企业来说，即使这种故障仅发生短时间，这也是不可接受的。为了使引起所有网络通信量停止的故障的可能性最小化，可以安装诸如备份控制器或独立的备份网络设备的冗余硬件。因此，如果担负着用于执行安全服务的主要责任的网络设备(即，主设备)发生故障，则备份设备可以快速地替代该主设备。换句话说，故障网络设备“故障切换”到备份设备。主设备还可以“切换”到备份设备来暂时地离线，例如安装软件和/或固件更新或者进行其他例行的维护程序。通常，故障切换被认为是切换的一种形式。在故障切换或切换到备份设备之后，备份设备成为主设备。高可用性机群通常包括这种主网络设备和备份网络设备。

入侵检测与防御(IDP)设备检查应用层(即，OSI层七)数据以试图检测恶意通信量。通常，IDP设备使用应用层数据作为输入来执行一个或多个复杂的有限自动机或算法，以检测表示恶意通信量的事件序列和模式。该复杂的检测处理通常需要生成和维护描述当前应用层会话的事件和当前通信量模式的主要状态信息。主要状态信息通常阻止对于IDP设备高可用性的主动使用。

发明内容

大体上，本公开描述了用于实现计算机网络内的高可用性入侵检测与防御(IDP)设备的技术。例如，所描述的技术用于在高可用性环境中使主动IDP设备和备份IDP设备之间的应用层IDP状态信息同步。本公开还描述了用于执行从主动IDP设备到备份IDP设备的故障切换的技术。同步主动IDP设备和备份IDP设备之间的应用层IDP状态信息的发生，使得一旦进行从主动IDP设备故障切换到备份IDP设备，备份IDP设备就能够有目的地将IDP服务应用到先前被主动IDP设备检查的现有应用层通信会话。然而，这些技术避免了复制从主动IDP设备到备份IDP设备的数据包流的每个数据包，从而防止使主动IDP设备和备份IDP设备超负荷。

本公开的技术包括使诸如创建新的层七通信会话、删除现有会话、阻止现有会话和/或识别通信会话的应用(或应用层协议)的应用层事件的应用层IDP状态同步。以这种方式，主动IDP设备将已经被识别出的网络内新数据包流的应用(或应用层协议)通知备份IDP设备。当主动IDP设备故障切换到备份IDP设备时，备份IDP设备锚定(anchor)根据在故障切换之前由主动IDP设备先前识别的应用所选择的协议解码器。例如，备份IDP设备在通信会话内的新应用层事务的开始处锚定其协议解码器。通常，“事务”是指对等设备之间的一系列有界的相关应用层通信。例如，单个TCP连接可用于发送(接收)多个超文本传输协议(HTTP)请求(响应)。作为一个实施例，可以使用单个TCP连接来获得包括多个到HTML页面的链接和图像的单个网页。可以由IDP设备调用HTTP解码器，以将TCP连接内的每个请求/响应识别为不同的事务。这对于基于事务界限锚定和应用攻击定义或攻击模式来说是有用的。备份IDP设备可通过检测定界符(例如，对于基于ASCII的事务)或者基于限定长度(例如，对于基于二进制的事务或以长度编码的事务)来区分数据包流的应用层数据内的事务。

一旦进行故障切换，备份IDP设备就试图识别先前由主动IDP设备检查的数据包流的应用层数据内的新事务的开始。备份IDP设备一旦发现新事务就开始检查应用层数据。在一些实施例中，备份IDP设备扫描应用层数据以识别标识了当前应用层事务的结束和新事务的开始的定界符。例如，许多基于ASCII的应用层协议利用定界符(诸如‘/n’和‘0X0A’的换行/移行字符以及诸如‘/r’和‘0X0D’的回车字符)，以信号通知两个事务之间的转变。一些长度编码协议将特定位的模式定义为定界符。在利用这种定界符的实施例中，备份IDP设备扫描定界符，并开始主动地检查定界符之后的应用层数据。