公开了一种检测对计算机的入侵的方法。通过应用程序访问入侵检测服务系统来评估至少一个与该应用程序的通信,选择性地评估该通信。
【技术实现步骤摘要】
本专利技术涉及计算机安全领域,更具体地,本专利技术涉及检测破坏计算机安全策略的计算机入侵。
技术介绍
在计算机安全领域,入侵是包含很多不期望行为的广义术语。入侵的目的通常是为了获取人们(信息窃贼)越权拥有的信息,它会使网络、系统或应用软件瘫痪(被称为“拒绝服务”)而造成利益伤害,或者,它可以是获得对系统的未授权使用作为垫脚石而进一步去入侵其他地方。入侵往往遵循信息收集、蓄意进入、破坏攻击的模式。虽然常常并不是实时的,有一些入侵还是可以被目标系统检测到并被遏制。而对于其他的一些入侵,目标系统则不能有效地进行遏制。入侵也会利用一些不易被追寻真实来源的“哄骗”包。当今,许多入侵借助一些不知情的帮手,即那些被越权使用的机器或网络,来隐藏入侵者的身份。基于这些原因,检测信息收集、蓄意访问和入侵帮手行为的意图会成为入侵检测的一个重要部分。如图1所示,通过位于外部网135(如互联网)上的入侵者130或位于内部网115上的入侵者110,入侵可以针对内部网115上的主机100发起。防火墙120可以阻断一些来自外部网的入侵。可是,不能阻止防火墙已经“允许”进入内部网115的入侵,而且当从内部网115内发起入侵(如入侵者110)时,也不能提供任何的保护。另外,端到端加密会限制那些能被中间设备(如防火墙120)检测到的入侵的类型,因为中间设备不能把未加密的包当作是入侵的证据。入侵检测服务系统(以下简称“IDS”)能够对许多入侵类型进行检测。如图2所示,IDS可以包含检测网络通信的检测器(sniffer)。检测器一般安放在网络的关键位置(strategic point),如图2中防火墙220之前的检测器210;防火墙220后面的检测器230;内部网115中的检测器240;和/或位于主机260与内部网之间的检测器250。检测器使用“模式匹配”来尝试使传输的信息与已知入侵信号的特征匹配。在所有的网络通信中执行模式匹配需要相当多的处理时间,这会引起待分析的网络通信的堆积,从而延误了入侵的识别。随着用于模式匹配的已知入侵特征数量的增长,识别入侵时的处理时间和相关延误会相应增加。检测到入侵后,检测器会警告IDS管理系统270,该系统会采取行动来阻止入侵。例如,图2中的检测器230和250向IDS管理系统270发送“警报”。检测器也会,或选择性地,通知服务,如IBM的紧急情况响应服务(ERS)单元200,该系统提供对IDS部件检测到的安全警报的记录和分析。在图示的例子中,防火墙220之前的检测器210发送警报给紧急情况响应服务单元200。然而,破坏性的入侵在检测器识别该入侵并且IDS管理系统采取行动去阻止之前往往已经发生。进一步的有关入侵检测服务系统的背景讨论可参考美国专利申请10/058,870,2002年1月28日,“综合入侵检测服务系统”。
技术实现思路
本专利技术的一些实施例给出了检测对计算机的入侵的方法。通过访问入侵检测服务的应用程序来选择性地评估至少一个与应用程序的通信,以对该通信进行评估。因此,该应用程序可检测到针对它本身的入侵,也能够更迅速地检测入侵并且对检测到的入侵作出反应。而且,在解密后和/或加密前,该应用程序会检查该通信,这将使入侵检测更加准确。本专利技术的其他一些实施例包含向相同的逻辑存储空间分配应用程序和入侵检测服务。入侵检测服务通过比较通信和入侵检测服务策略,可以检测到入侵,应用程序也可以根据检测到的入侵作出响应动作。附图说明图1示出了现有技术下易受安全入侵影响的计算机网络系统的模块图;图2示出了现有技术下含入侵检测部件的计算机网络系统的模块图;图3示出了具有基于本专利技术各种实施例的入侵检测部件的计算机网络系统的模块图;图4示出了具有基于本专利技术各种实施例的支持入侵检测服务的应用的主机的模块图;图5示出了基于本专利技术各种实施例的检测入侵的操作的流程图;图6示出了基于本专利技术实施例的计算机系统的模块图。具体实施例方式下文中将参照示出了本专利技术的图解实施例的附图更加全面地描述本专利技术。本专利技术还可以通过其他许多方式得以实施,不应该只是限于这里已经提及的这些实施例;这里提及的具体实施例只是为了使公开更加彻底和完整,以便本领域技术人员充分了解本专利技术的范围。图中用类似的数字代表类似的要件。本领域技术人员可以理解,本专利技术可实施为方法、系统和/或计算机程序产品。相应地,本专利技术可采取以下形式全硬件实施例、全软件实施例或硬件软件的组合实施例,这里将最后一种情况通称为“电路”或“模块”。再者,本专利技术也可采取计算机可用存储介质上的计算机程序产品的形式,计算机程序代码在该介质中体现。任何合适的计算机可读介质都可以利用,包括硬盘、CD-ROM,光存储设备,诸如那些支持互联网或企业内部互联网的介质的传输介质,或磁性存储设备。用来执行本专利技术操作的计算机程序代码可以用面向对象的编程语言编写,诸如JAVA、Smalltalk或C++。然而,这些用来执行本专利技术操作的计算机程序代码也可以用常规过程编程语言编写,诸如C语言。程序代码可以作为一个单独软件包可以全部在用户计算机上执行,部分在用户计算机上执行,程序代码也可以一部分在用户计算机上执行,一部分在远程计算机上执行,或全部都在远程计算机上执行。在后面这种情况下,远程计算机通过例如局域网(LAN)或广域网(WAN)与用户计算机连接,或与外部计算机连接(例如,通过使用互联网服务提供商的互联网)。下面,我们参照根据本专利技术实施例的方法、设备(系统)和计算机程序产品的流程示意图和/或模块图来描述本专利技术。应当理解,在流程示意图和/或模块图中的每个块或块的组合均可通过计算机程序指令来实现。这些计算机程序指令可提供给通用或专用计算机的处理器,或其他的可编程数据处理设备以产生机器,使得通过计算机处理器或其他的可编程数据处理设备来运行的指令产生用于实现流程图和/或模块图的一或多个块所规定的功能/动作的步骤。这些计算机程序指令也可以存储在计算机可读存储器里,可控制计算机或其他可编程数据处理设备按特定方式工作,使得存储在计算机可读存储器中的指令产生一产品,包括用来执行流程图和/或模块图中规定的功能/动作的指令装置。这些计算机程序指令也可以装载在计算机或其他可编程数据处理设备上,导致一系列的操作步骤在该计算机或其他可编程数据处理设备上执行,从而产生一个计算机执行的过程。这些在计算机或其他可编程数据处理设备上执行的指令提供一系列步骤来实现流程图和/或模块图中规定的功能/动作。图3示出了具有根据本专利技术各种实施例的入侵检测部件的计算机网络系统。该系统包含通过内部网320相连的主机300和IDS管理系统310。内部网320通过防火墙340与外部网330连接。IDS管理系统310维护系统的IDS策略,从而形成IDS策略库。与图2所示的现有技术计算机系统相比,图3所示的主机300至少部分负责检测对其自身的入侵。主机300包含至少一个支持IDS的应用350,它被构造成检测对其自身的入侵。系统还可以包含另外的主机和/或另外的IDS部件,例如,位于内部网320和/或外部网310上的检测器,还可以包含警报监视系统,例如图2中的ERS 200。IDS管理系统310和/或主机300内的IDS策略可以包含一个或多个特征文件和/或策略规则。通过比较特征文件与网络传输本文档来自技高网...
【技术保护点】
一种检测对计算机的入侵的方法,该方法包含:通过由应用程序访问入侵检测服务模块以评估至少一个与该应用程序的通信,选择性地评估该通信。
【技术特征摘要】
...
【专利技术属性】
技术研发人员:莱普T许恩赫,小林伍德H欧维尔柏,
申请(专利权)人:国际商业机器公司,
类型:发明
国别省市:US[美国]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。