一种用于检测数据通信网络上的攻击的方法,所述数据通信网络具有用于分配给该网络内的数据处理系统的多个地址,该方法包括: 识别所述网络上从任意已分配的地址发起并且以任意未被分配的地址为地址的数据通信业务; 检查被这样识别出的任意数据通信业务以得到指示攻击的数据;和在检测到指示攻击的数据后,产生报警信号。(*该技术在2023年保护过期,可自由使用*)
【技术实现步骤摘要】
【国外来华专利技术】
本专利技术一般地涉及检测网络攻击,并且更具体地涉及用于检测数据通信网络上的攻击的方法、装置和计算机程序元素。
技术介绍
因特网是由多个互连的数据网络形成的广域数据通信网。在操作中,因特网使得一系列位于远程的数据处理系统之间的数据通信易于进行。每个这种数据处理系统通常包括中央处理单元(CPU)、存储器子系统和输入/输出(I/O)子系统,以及存储在存储器子系统内以便由CPU执行的计算机程序代码。典型地,被连接到因特网的终端用户数据处理系统被称为客户机数据处理系统或简称为客户机。类似地,提供Web站点和服务以便由终端用户通过因特网访问的数据处理系统被称为服务器数据处理系统或简称为服务器。通过因特网在终端用户数据处理系统和主机数据处理系统之间完成了客户机-服务器关系。因特网已经成为推动顾客、零售商和服务提供者之间的电子地实现的商务交互的重要的通信网络。通常通过因特网服务提供者(ISP)为这些实体提供对因特网的访问。每个ISP通常运行一个开放的网络,客户机订购该网络的服务。为每个客户机提供所述网络上的一个唯一的网际协议(IP)地址。类似地,为网络上的每个服务器提供一个唯一的IP地址。由ISP操作的网络通过通常被称为路由器的专用数据处理系统连接到因特网。在操作中,路由器将进入的通信业务从因特网定向到所述网络上特定的IP地址。类似地,路由器将外出的通信业务从该网络定向到因特网上的特定的IP地址的方向。许多ISP面对的问题是对他们运行的网络的频次日益增多的电子攻击。这种攻击包括计算机病毒攻击和被称为“蠕虫”的攻击。这种性质的攻击给ISP运行的网络带来了明显的性能下降。连接到所述网络的受感染的系统通常试图在网络中传播感染。许多用户不知道他们的系统被感染了。希望提供为了提高网络性能,触发这种系统内的杀毒的技术。
技术实现思路
根据本专利技术,现在提供一种用于检测数据通信网络上的攻击的方法,所述数据通信网络具有多个用于分配给网络内的数据处理系统的地址,该方法包括识别所述网络上从任意已分配的地址发起并且以任意未被分配的地址为地址的数据通信业务;检查被这样识别出的任意数据通信业务以得到指示攻击的数据;并且在检测到指示攻击的数据后,产生报警信号。此处的术语“未被分配”的含义是占据这样一个地址,其没有被分配给除了用于检测入侵或产生攻击特征标记的装置之外的物理设备。被设计为执行根据本专利技术的方法的装置是这样的设备,那些“未被分配”的地址被实际地分配给它们以便使用本专利技术。这些地址在未被分配的范围内,因为它们没有被分配给具有除了特征标记产生或入侵检测之外的其它功能的任意设备。从而以这种未被分配的地址为地址的数据通信业务将被所述装置接收,并且经受所提出的方法的处理。所述检查优选地包括对被包含在所识别出的数据通信业务内的请求进行欺骗回答。本专利技术的优选实施例包括在产生报警信号后,将从被分配给产生指示攻击的数据的数据处理系统的地址发起的任意数据通信业务重新路由到该网络上的一个杀毒地址。在产生所述报警信号后,可以向所述杀毒地址发送一个报警消息。所述报警消息可以包括检测到的指示攻击的数据。在收到所述报警消息之后,可以从所述杀毒地址向被分配给产生所述指示攻击的数据的数据处理系统的地址发送一个警告消息。所述警告消息可以包括用于当被产生所述指示攻击的数据的数据处理系统执行时消除所述攻击的程序代码。从另一个方面看本专利技术,现在提供一种装置,用于检测数据通信网络上的攻击,所述数据通信网络具有多个用于分配给网络内的数据处理系统的地址,该装置包括入侵检测传感器(IDS),用于识别所述网络上从任意已分配的地址发起并且以任意未被分配的地址为地址的数据通信业务,检查被这样识别出的任意数据通信业务以得到指示攻击的数据,并且在检测到指示攻击的数据后,产生报警信号。所使用的IDS优选地通过对被包含在所识别出的数据通信业务内的请求进行欺骗回答检查所识别出的数据通信业务。该装置还包括被连接到所述入侵检测传感器的路由器,用于响应所述报警信号的产生,将从被分配给产生所述指示攻击的数据的数据处理系统的地址发起的任意数据通信业务重新路由到该网络上的一个杀毒地址。优选地,在产生所述报警信号后,IDS向所述杀毒地址发送一个报警消息。优选地所述报警消息包括检测到的指示入侵的数据。本专利技术的优选实施例还包括被分配到所述杀毒地址的杀毒服务器,在接收到所述报警消息后,杀毒服务器向被分配给产生所述指示攻击的数据的数据处理系统的地址发送警告消息。本专利技术还还延伸至一种数据通信网络,包括多个用于分配给该网络内的数据处理系统的地址;和用于如此处前面所述检测该网络上的攻击的装置。本专利技术还延伸至一种包括计算机程序代码手段的计算机程序元素,当被装入数据处理系统的处理器后,配置所述处理器执行如本文上面所述的用于检测数据网络上的攻击的方法。在本专利技术的优选实施例中,提供了一种数据通信网络,包括用于将多个数据处理系统连接到因特网的路由器;被连接到所述路由器的IDS;和也被连接到所述路由器的杀毒服务器。响应IDS检测到所述数据处理系统中的一个数据处理系统已被攻击感染,IDS指示路由器将来自所述攻击的所有网络通信业务转向到所述杀毒服务器。同时IDS给所述杀毒服务器提供杀毒数据。所述杀毒数据指示以下内容所述感染的属性;如何对感染系统进行杀毒;以及如何恢复正常的网络连接。在给定的网络中一般有大量空闲的IP地址。在本专利技术的特别优选的实施例中,IDS在网络上监听被定向到这些空闲IP地址的通信业务。应当没有这种通信业务存在。在检测到被发送到这些空闲IP地址中的一个IP地址的请求的情况下,IDS对该请求进行欺骗回答。空闲IP地址没有被使用。因此,任意试图连接(例如)位于这种地址处的服务器是优先可疑的。然后IDS监听对所述欺骗回答的答复。如果IDS在所述答复中检测到了可诊断的攻击,它向所述路由器发送信号以便将来自被感染的系统的所有通信业务转向到所述杀毒服务器。因为IDS对被感染的系统进行交互地欺骗响应,它具有每个攻击的准确的概念(view)。因此,最小化了假的肯定。附图说明现在将参考附图,仅以示例的方式说明本专利技术的优选实施例,其中图1是数据处理系统的方框图;图2是包含本专利技术的数据处理网络的方框图;图3是包含本专利技术的入侵检测传感器的方框图;和图4是与所述入侵检测传感器相关的流程图。具体实施例方式首先参考图1,数据处理系统包括CPU10,I/O子系统20和存储器子系统40,它们全部由总线子系统30互连在一起。存储器子系统40可以包括随机访问存储器(RAM),只读存储器(ROM),和一个或多个存储设备诸如硬盘驱动器,光盘驱动器等等。I/O子系统20可以包括显示器,键盘;指点设备诸如鼠标,轨迹球等;以及允许通过数据通信网络在数据处理系统和一个或多个类似的系统和/或外部设备之间进行通信的一个或多个网络连接。由这种网络互连的这种系统和设备的组合本身可以构成分布式数据处理系统。这种分布式系统本身可以由另外的数据通信网络互连。在存储器子系统40中的是被存储的数据60和可由CPU10执行的计算机程序代码50。程序代码50包括操作系统软件90和应用软件80。当被CPU10执行时操作系统软件90提供了一个平台,应用软件80可以在其上执行。现在参考图2,在本专利技术本文档来自技高网...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】
【专利技术属性】
技术研发人员:J·F·赖尔登,
申请(专利权)人:国际商业机器公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。