基于及早通知检测异常业务的系统和方法技术方案

本发明专利技术的方法和系统用于在通信网络中检测异常业务，该方法和系统基于对处于危险中的业务和状况类别进行分级并且保持服务状态表，该表具有各节点上的这些信息。危险类别最初针对各服务所识别的已知软件脆弱性来确定。及早通知程序能够对怀疑受到恶意软件传播的业务进行进一步处理。状态类别能够将具有“受到攻击状态”的业务从“未受到攻击”状态的业务分离出来，因此各节点上的侵入检测系统只处理“受到攻击”的业务。这样，由侵入检测系统执行的处理过程的时间和数量大大减少。

【技术实现步骤摘要】

本专利技术涉及通信网络，并且具体涉及一种基于及早通知检测异常业务的方法和系统。
技术介绍
诸如因特网的全球化通信网络已经从初期基于研究的、访问受限的系统发展为真正的具有数百万用户的全球范围网络。初期的网络协议即TCP/IP的设计是基于这样的认识，即系统用户出于完全合法的目的连接至网络。因此，没有专门考虑安全性问题。然而，近年来，在因特网上蓄意攻击的发生已经增长到令人担忧的比例。由于它的匿名性质，如果源端想要保持未知，网际协议(IP)很难准确识别任何指定数据报以及指定流的真正来源。这些攻击呈现各种方式，并且常常导致作为目标的受害者的服务完全中断。在分布式网络中恶意软件(malware，专门设计以损坏系统的软件，例如洪水，蠕虫和病毒)的传播会是极具破坏性的。尽管蠕虫或者病毒对任何给定设备(例如计算机、服务器、路由器)的影响经常是温和的，数以万计的被感染设备的累积效应会是损失惨重的，其中所述受感染设备尽可能快地将恶意软件传播给其他设备。在此情况下，由于拥塞，网络可能停止向其用户有效地提供其服务。一种这样的攻击基于这样的理念，即用大量业务对受害者进行洪水攻击以使受害者的服务器不能处理，或本文档来自技高网...

【技术保护点】
一种在配备有侵入检测系统／侵入防御系统（ＩＤＳ／ＩＰＳ）的通信网络节点上检测异常业务的方法，该方法包括以下步骤：通过仅查看所述业务流中的数据业务的重要子集，监视输入到所述节点的业务流的状态，以确定所述业务流是否携带可疑数据业务；以及一旦所述业务流的状态可疑，则触发及早通知，并且将所述业务流标记为可疑业务流。

【技术特征摘要】
...

【专利技术属性】
技术研发人员：JM罗伯特，FJN科斯凯，
申请(专利权)人：阿尔卡特公司，
类型：发明
国别省市：FR[法国]