提供了一种用于检测数据通信网络上的攻击的方法和装置。所述装置包括路由器,所述路由器具有用于监控寻址于在所述路由器本地的始发用户系统的返回消息的机制。所述机制包括用于标识指定种类的返回消息的消息检验器,以及用于将来自所述始发用户系统的后续消息临时路由至入侵检测传感器的重选路由器。
【技术实现步骤摘要】
【国外来华专利技术】
本专利技术涉及检测网络攻击的领域,并且特别涉及检测在攻击始发用户 系统本地的数据通信网络上的攻击。
技术介绍
因特网是由多个互连的数据网络所形成的广域数据通信网络。在操作 中,因特网促进了一系列位于远程的数据处理系统之间的数据通信。通常,为客户机。类似地,对网站以及用于由终端用户通过因特网访问的服务进行托管(hosting)的数据处理系统被称为服务器数据处理系统或简称为服 务器。存在一种通过终端用户数据处理系统与托管数据处理系统之间的因 特网而完成的客户机-服务器关系。因特网已经成为用于促进消费者、零售商以;sj良务提供商之间的电子实现的商业交互的重要通信网络。通常通过因特网服务提供商(ISP)向这 样的实体提供对因特网的访问。每个ISP通常运营客户机预定的开放式网 络。每个客户机均具备网络上唯一的因特网协议(IP)地址。类似地,网 络上的每个服务器均具备唯一的IP地址。由ISP运营的网络通过通常,皮称 为路由器的专用数据处理系统而连接至因特网。在操作中,路由器将来自 因特网的入站(inbound)通信业务量导向网络上指定的IP地址。类似地, 路由器将来自网络的出站(outbound)通信业务量导向因特网上指定IP 地址的方向上。很多人和商务所面临的问题是对他们使用的网络的电子攻击日益增长 的频率。这样的攻击包括计算机病毒攻击以及所谓的"蠕虫"攻击。这类 攻击在网络中引起显著的性能降低。连接至网络的受感染系统通常试图在 该网络内传播感染。很多用户并没有意识到其系统受到感染。已知的入侵检测传感器欺骗(spoof)与潜在攻击者的服务交互。传感器通过欺骗在另外未使用的IP地址处存在机器和服务而发挥作用。由于没 有另外4吏用这些地址,因此指定到这些地址的所有通信量都是先验可疑的(a priori suspicious )。传感器欺骗服务以确定通信量背后的意图。传感 器本身提供这样的虛拟化基础设施,即该虚拟化基础设施允许写入单独的 传感器,就好《象这些传感器正运行在单个主机上一样。WO 2004/107706公开了一种用于检测数据通信网络上的攻击的入侵 检测传感器(IDS) 。 IDS标识起始于任何分派的地址并且寻址于任何未分 派的地址的、该网络上的数据业务量,针对表示攻击的数据而检查如此标 识的数据业务量,并且如果需要的话,生成报警信号。该上下文中使用术语"未分派的"作为对没有被分派给除了用于检测 入侵或生成攻击签名的装置之外的物理设备的地址的涵盖。为了执行WO 2004/107706中所公开的方法而设计的装置是这样的设备,即那些"未分派 的"地址实际被分派给了该设备以便利用该方法。那些地址在一定范围内 未分派,是因为没有将它们分派给除了签名生成或入侵检测之外还具有另 外的功能性的任何设备。在上述IDS中, 一块未分派的地址被指定给IDS,从而使得IDS可以 欺骗对于到这些未分派地址的任何数据业务量的响应。此外,IDS可能在 地理上远离数据业务量的始发用户系统而使其难于针对始发用户系统采取 措施。
技术实现思路
本专利技术的目的是提供一种用于检测对未使用或不可访问的地址的攻击 的系统。进一步的目的是提供本地问题的本地净艮告。另外,可以对攻击实 体透明实现所述检测。根据本专利技术的第一方面,提供了 一种用于检测数据通信网络上的攻击 的方法,该方法包括监控寻址于始发用户系统的返回消息;标识指定种类(specified nature)的返回消息;以及将来自所述始发用户系统的后续 消息临时路由至入侵检测传感器。将术语"指定种类"理解为具有特定特 性或属于预定类型的消息。也被称为消息检验器的监控装置充当检查所述 返回消息是否具有所述特定特性的滤波器。如果识别出所述返回消息具有 所述消息检验器正在寻找的特性,则所述返回消息受到重新路由。所述消 息检验器因此可以被看作返回消息类型操作的开关。与此同时所述消息检 验器可以检查不同的特定特性,并且如果发现存在那些特性中的一个或多 个,则进行所述重新路由。优选地,所述入侵检测传感器在所述始发用户系统的本地,即,所述 入侵检测传感器连接至与所述始发系统相同的网络。术语"网络"在文中 被理解为网络单元的集合,所述网络的边界由边界路由器或边缘路由器表 示。这些路由器处理通往其它网络的连通性。网络可以是子网络或更大的 网络。所^U曼检测传感器可以欺骗与所述始发用户系统的交换。以这样 的方式,在发送至不可访问的地址的消息的始发用户系统本地的入4曼检测传感器可以确定所述始发用户系统的意图的种类。换句话说,本专利技术允许 检测和报告较为靠近攻击实体的攻击。所述返回消息可以与由所述始发用户系统发送至目的地址的消息有 关,并且所述临时路由的步骤可以将从所述始发用户系统导向所述目的地 址的所有后续消息重新路由至所述入侵检测传感器。所述返回消息的指定种类可以指示目的地址是不可访问的。例如,所 述返回消息的指定种类可以是指示失败连接的因特网控制消息协议消息。可以在预定的时间周期应用所述临时路由,此后重新开始正常的路由。 所述方法还可以包括如果已被标识为寻址于始发用户系统的指定种类的 返回消息的数目超过了预定阈值,则触发所述临时路由。然后该阈值将可 用于区分无害通信量与诸如垃圾邮件的有害通信量。根据本专利技术的第二方面,提供了 一种用于检测数据通信网络上的攻击 的装置,所述装置包括路由器,所述路由器包括用于监控寻址于在所述 路由器本地的始发用户系统的返回消息的机制;以;5Uvf曼检测传感器;其中所述机制包括用于标识指定种类的返回消息的消息跟踪器;以及用于 将来自所述始发用户系统的后续消息临时路由至所i^侵检测传感器的装 置。优选地,所述入侵检测传感器在所述路由器的本地。所述入侵检测传 感器可以包括用于欺骗与所述始发用户系统的交换的装置。所述入侵检测 传感器可以包括虚拟化基础设施,所述虛拟化l^fe设施具有各自欺骗服务 的多个虛拟传感器。根据本专利技术的第三方面,提供了一种路由器,其包括用于监控寻址 于在所述路由器本地的始发用户系统的返回消息的机制;用于标识指定种 类的返回消息的装置;以及用于将来自所述始发用户系统的后续消息临时 路由至入侵检测传感器的装置。根据本专利技术的第四方面,提供了一种数据通信系统,其包括网络中 的多个数据处理系统;在所述数据处理系统本地的路由器,用于将消息路 由至所述数据处理系统或者路由来自所述数据处理系统的消息;所述路由 器包括一种机制,所述机制用于监控寻址于作为在所述路由器本地的数据 处理系统之一的始发用户系统的返回消息;以;5U^侵检测传感器;其中所 述机制包括用于标识指定种类的返回消息的装置;以及用于将来自所述 始发用户系统的后续消息临时路由至所^侵检测传感器的装置。根据本专利技术的第五方面,提供了一种计算机程序元件,其包括计算机 程序代码装置,当加栽到数据处理系统的处理器中时,所述计算机程序代 码装置配置所述处理器以实现包括以下步骤的方法监控寻址于始发用户 系统的返回消息;标识指定种类的返回消息;以及将来自所述始发用户系 统的后续消息临时路由至入侵检测传感器。当来自始发用户系统的过程尝试联系未使用或不可访问的地址(例如, 防火墙后面的地址)时,ICMP (因特网控制消息协议)消息被返回给在 本文档来自技高网...
【技术保护点】
一种用于检测数据通信网络上的攻击的方法,所述方法包括:监控(610)寻址于始发用户系统(420)的返回消息(511);标识(620)指定种类的返回消息(511);以及将来自相同的始发用户系统(420)的后续消息临时路 由(630)至入侵检测传感器(160)。
【技术特征摘要】
【国外来华专利技术】...
【专利技术属性】
技术研发人员:JF赖尔登,DM赞波尼,Y杜邦彻,R里斯曼,
申请(专利权)人:国际商业机器公司,
类型:发明
国别省市:US[美国]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。