CN100443910C

CN100443910C - 主动网络防护系统与方法

Info

Publication number: CN100443910C
Application number: CNB2003801047096A
Authority: CN
Inventors: 克雷格·坎特雷尔; 马克·威尔比克-勒迈尔; 丹尼斯·考克斯; 约翰·麦克黑尔; 布赖恩·史密斯; 多诺万·科尔比莱
Original assignee: TippingPoint Technologies Inc
Current assignee: Hewlett Packard Development Co LP
Priority date: 2002-11-07
Filing date: 2003-11-07
Publication date: 2008-12-17
Anticipated expiration: 2023-11-07
Also published as: AU2003290674A1; AU2003290674A8; EP1558937B1; US7454499B2; US7454792B2; CN1720459A; KR20050086441A; JP2006506853A; KR20100132079A; WO2004045126A2; KR101111433B1; KR101045362B1; EP1558937A4; US20050044422A1; AR042020A1; US20050028013A1; JP2010268483A; WO2004045126A3; EP1558937A2; US7451489B2

Abstract

提供了一种主动网络防护系统，其用于以自动的方式监视和阻止业务流。该主动网络防护系统与该包业务数据流在线布置，并作为网络基础结构中的一部分。通过该配置可以实现对每一个经过的包的检查和控制。一算法过滤操作对该数据流应用统计阈值过滤，以识别经过多个会话存在的威胁。一触发过滤操作对该数据流应用头和内容匹配过滤，以识别各个会话中存在的威胁。存在威胁的包业务流被阻止并且存在威胁的会话被终止。从该数据流中提取可疑业务流以进行进一步的检查，该检查包括更全面的内容匹配和资源危险分析。提供一流控制机制，以用于控制经过该数据流的包的流速。

Description

主动网络防护系统与方法

交叉参考

本申请涉及2002年4月30日提交的审查中的美国申请号10/136,889，题目为网络安全系统集成，其公开内容在此处被引用作为参考。

本申请涉及2002年8月12日提交的审查中的美国专利申请号10/217,862，题目为使用动态选择过滤标准的多层包屏蔽，其公开内容在此处被引用作为参考。

技术领域

本发明涉及网络入侵的检测与抑制。

背景技术

随着企业越来越多地使用互联网来管理业务，通过互联网传送和访问机密的且敏感的信息的数量也逐渐增加。与私人专用的通信网络不同，由于连接到企业的互联网和网络具有开放性且易于访问，使其容易受到安全威胁和恶意窃听，而该私人专用的通信网络已被企业使用了几十年，并且对于外部入侵相对安全。近年来，试探网络安全漏洞或黑客攻击的频率增加，其目的是访问机密信息或者干扰网络通信。

网络攻击变得不仅更普遍而且更加复杂和严重，其部分地是由于关于如何进行该攻击的工具和信息的可用性，包括黑客技术的发展、易受攻击的网络访问点数目的增加以及通过互联网访问和传送的机密信息总量的增加。这些攻击包括分布式拒绝服务攻击，其中黑客用大量的包或连接请求冲击网站，从而淹没该网站并阻止合法用户的接入。其他类型的攻击不仅被设计用来阻止接入到网站，而且穿透其安全措施并允许黑客控制服务器、破坏该网站或者窃取敏感信息。另一种攻击包括恶意窃听，其允许黑客盗用通过互联网传送的机密通信。如果机密通信落入坏人手中，就会引起对该企业的业务的破坏，或者至少破坏其声誉。从拒绝服务攻击还会导致大量费用和负面宣传。在一种抵御所有这些类型的攻击的尝试中，企业已经增加了它们的安全预算来解决有关提升的网络易受攻击性。

入侵检测系统通常被用来作为一种网络防护的方法。这种系统通常是无源系统，其用于监视业务流，识别出业务流中的可疑部分，并且当检测出该业务流时发出警告或报警。无论该入侵检测系统多么智能或准确，其通常不会采取任何有效的措施以作为对可疑攻击的响应。可以在每一次出现可疑活动的情况时产生警告，但是这对网络安全管理员来说并没有多大用处。其原因是，在许多情况下，当警告产生并被识别时，已经太迟而无法提供任何有意义的响应。破坏已经产生了。简单的说，知道安全漏洞或潜在的漏洞并不等同于阻止该漏洞引起的破坏的发生。

从背景技术中可以知道，入侵检测系统在提供某些有益的服务的同时，并不是能够足以抵制网络攻击的防护机制。设计者进一步意识到对可疑入侵提供自动响应的方法的必要性。该响应机制用来扩展入侵检测系统的功能，使其从传统的无源检测模式转变为先进的攻击抑制模式。例如，有两种已知的由入侵检测系统执行的主动(active)响应机制：(a)会话中断(向TCP会话端点发送TCP重置请求)；以及(b)防火墙升级(向防火墙或路由器发送策略配置请求)。然而，这些主动机制通常是没有效果的，并且很容易被任何具有TCP/IP工作原理的基本知识的黑客所避开。事实上，通过对在攻击中地址被淹没的无辜服务器启动拒绝服务响应攻击，或者通过错误的拒绝合法机器的接入，而使该响应机制可能与受害网络为敌。

关于提供该网络保护的前述背景技术的当前状态，使用一基于软件的入侵检测系统，该系统在一通用处理器上执行。该执行的困难是，软件在执行时不能足够快地进行充分保护网络所需的包的检查、比较与分析。此外，由于该基于软件的解决方案太慢，其不能以一种能够有效阻止危险业务流进入受保护网络的方式执行。

从而可以知道，传统入侵检测系统即使配备了响应机制，也会由于其无源监听的结构而无法提供充分的网络防护策略。还可以知道，增强的、主动响应的入侵检测系统并未提供一种具有足够的主动防护能力的方法。从而需要一种具有改进性能的主动网络防护系统和方法，以保护网络抵制更复杂的而且更危险的网络攻击。

发明内容

基于本发明的一个实施例，一种网络防护系统包括一状态管理器功能组件，其与包的数据流在线(in-line)连接。该状态管理器功能组件用于跟踪该数据流上当前存在的会话，并保存历史包的相关数据。该系统还包括一算法过滤器，其用于对该跟踪的会话和历史包的相关数据执行统计分析，以确定是否经过多个会话的该数据流中的包对受保护网络造成威胁。

该系统还包括一包处理器，其也与该包的数据流在线连接。该包处理器用于阻止危险的包，以此作为对出现威胁的响应。

该系统还包括一触发过滤器，也与该包的数据流在线连接。该触发过滤器用于根据为检测各个会话中的危险包而设计的标准，过滤出该数据流中的包。该触发过滤器还用于根据为检测经过多个会话的危险包而设计的标准，响应于该算法过滤器的可疑确认，过滤出该数据流中的可疑包。

该系统还包括一流(flow)控制器，其也与包的数据流在线连接。该流控制器用于管制沿着该数据流的包的通过率。

在事件包被识别为可疑的情况下，该系统还包括一威胁校验器。从该数据流中提取可疑包，然后该威胁校验器使用比在线触发过滤器所使用的更全面的过滤标准来进行过滤。该更全面的分析被设计用于确定该可疑的提取包是否真正危险。

可疑包也可由一危险评估器分析。该危险评估器用于检查可疑的提取包，并且确定是否可疑的提取包对网络中出现的可识别资源造成某种危险。

由于该发明能够以线速执行对可疑/危险内容的深度包检查，所以其能够比在先技术基于软件的入侵检测系统有利地提供显著的改善。快速路径模式匹配的性能是在提供网络保护防止攻击的同时加速包处理的关键。为了支持模式匹配的必要速率，并且达到深度包检查，优选的使用多个并行模式匹配操作执行该模式匹配操作。通过以该方式执行，该系统变得容易升级以适应未来需求。

此外，可以知道一些包需要更仔细的检查。因此，本发明有利地执行一初始筛选以识别出哪些包需要进一步的分析。从该数据流中提取出这些包，然后在单独的处理流中进行更仔细的筛选。

在本发明的一优选实施例中，该系统有利地使用一混合了硬件/软件的方案，以在维持包的吞吐率的同时提供合适的包筛选水平。优选的，在线组件在硬件中执行。例如，使用硬件设计执行模式匹配操作，这些操作比在先技术基于软件的入侵检测方案法快的多。控制和结构可在软件中处理，以提供给系统灵活性水平。此外，优选的，对于从该数据流中提取的包的线外处理在软件中执行，以允许该系统对这些包造成的任何威胁进行更仔细的检查。该结构还允许该系统随着数据速率的增加而升级。

附图说明

当结合附图一起参考下面的详细说明时，可获得对本发明的方法和装置的更完整的理解。其中：

图1是基于本发明的主动网络防护系统的框图。

图2是图1所示系统的更详细的框图。

具体实施方式

本发明提供一主动网络防护系统，其用于以自动的方式监视和阻止业务流。优选的将该主动网络防护系统在线布置(即在包业务数据流中)，并作为网络基础结构的一部分，以检查和尽可能控制每一个通过的包。该网络防护解决方案构成了一个从基于前述背景技术的无源入侵检测系统的显著的技术转移。

重要的是，该主动网络防护系统必须能够可靠的以线速执行。当它检测出恶意包时，立即采取措施丢弃该包并由此阻止其进入可能会受到破坏的网络。从而，通过丢弃该包，可立即阻止该攻击，并且具有额外的好处，即没有需要修复的破坏也没有需要处理的报警。

该主动网络防护系统还提供一些其他的好处。除了阻止包外，该主动网络防护系统还具有修改包的能力。标准化的概念是具有一定重要性的一个包修改的概念。标准化是强制遵守一协议或标准的特定实现的过程。例如，常用的入侵检测系统规避技术采用许多种方式的变化，以使目标系统能够处理分段。一些系统重组具有第一个重叠包的数据的重叠分段，另一些系统则重组最后一个包的数据。入侵检测系统需要猜测该目标怎样重组或者考虑所有的选项。如果未能预测出目标怎样运行，则或者检测不到攻击或者产生错误的报警。与此相对照，通过在线设置并且侦听所有的包，本发明的主动网络防护系统能够通过使用一组算法重组分段以及传送被重组的包而实现标准化。将流标准化消除了猜测包或流在不同的目标系统如何被处理的必要，而且越过了常用的检测规避技术。

该主动网络防护系统还具有有效管理包流量(吞吐量)的能力。调节流速的概念允许主动网络防护系统使已知的“好的”业务流优先或减缓可疑业务流的通过。从上下文中可知，许多拒绝服务的攻击产生与合法业务流没有明显区别的业务流。通过对被检测出的具有某些属性的业务流的调速，至少能够阻碍(并可能进一步停止)拒绝服务的攻击淹没目标源。作为附加的好处，当调速控制可用时，通过为重要业务流设置更高的通过主动网络防护系统的优先级，而使该重要业务流的吞吐量增加，从而提高网络生产率。

为使该主动网络防护系统能够成功应用，其应该能够以线速和较低的等待时间来执行对包业务流的状态监视。例如，WAN/LAN接入速度在几个G比特的范围，从而主动网络防护系统应该具有G比特速率，并且具有交换机和路由器的典型的毫秒级等待时间的硬件能力。此时的目标是具有深度模式匹配的性能。该主动网络防护系统应该具有避免丢弃有用业务流的可靠方法。同样，由于主动网络防护系统被应用为网络基础结构的一部分，其应该具有高可靠性的传送能力。

参考背景技术，现在给出基于本发明的主动网络防护系统和方法的更详细的解释。

现在参考图1和图2，其中示出了基于本发明的主动网络防护系统10的框图。系统10被配置为企业的网络基础结构12的一部分。该配置有利地允许系统10与被监视的该数据流14在线设置。该在线设置有利于检查并尽可能控制数据流14中的每一个包16。同样的，有必要使该系统以接近(如果不优选为超出的话)数据流14的线速的速率运行。通过在线处理，该系统对每一个经过的包执行深度包检查。

系统10提供大量的在线功能组件。这些功能组件中的第一个包括一状态管理器功能20组件。该状态管理器20执行两个主要的、与数据流14的主动监视相关的操作。首先，状态管理器20执行会话管理操作22。该会话管理操作22监视和管理与数据流14承载的包业务流相关的每一会话的状态。特别的，该会话管理操作22可能利用表或其他机制跟踪数据流14上当前存在的会话，并保存历史包的相关数据以用于检测。例如，连接表可以被用来维持关于每一连接(例如，TCP SYN，SYN ACK等)的状态的数据。可能被保留的历史包的相关数据类型实例包括：

分段的包的重组；

TCP会话流的重组；

协商的临时端口的维持(例如，FTP建立一个动态端口以交换数据)；

连接建立状态(在通信的主机间正确的交换，例如，在TCP建立连接中的明确定义的交换)；以及

协议和应用层状态信息(确保应用或协议转移到明确定义的状态，而不违背这些应用或协议的定义或者使用这些应用或协议中的已知的弱点)。

会话管理操作22在线检查数据流14中的每一个包16，以确保各个包都与一个已识别的会话关联。如果包16被检查出与会话不关联，该异常包16可能被视为可疑的或者危险的，并被系统10阻止。此外，包与会话间的关系的记录被保留，以便当发现危险的或可疑的包时，系统10能够选择相似的处理(通过丢弃或进一步检查)包含被检测到的包的会话中的所有包。此概念被称为“会话重定向”。

其次，状态管理器20执行包和流的重组的操作24。与此操作相联系，可以知道对该网络的攻击可在多个包上被分割。这样，攻击者就会用多个包隐藏其攻击，其中每一个包看起来都是没有危险的。为了提防这种攻击，包和流的重组的操作24对于已建立起连接的数据流14进行监视，并随着时间的流逝检查多个包及其内容(利用上述参照的历史数据)，以便考察和检测攻击的存在。这样，包流和重组的操作跟踪包和其有效载荷，识别包之间的关系，并将包的有效载荷重组在一起，以分析重组的包数据是否具有潜在的危胁。如果检查了一组普通流的包16，并且当该重组的包被确定为造成了威胁时，则这些包(以及同一个流或会话中的相关的包)可能被系统10阻止，而且/或者与这些危险的包相关联的流/会话可能被系统10终止。从而，该功能组件允许穿过包边界的模式匹配的跟踪。

标准化处理可能包括多种不同的包处理程序，其被设计用来增强与特定标准的一致性。由于状态管理器“接触”每一个沿数据流传递的包，所以在本发明中可以实现该标准化过程。例如，标准化允许系统定义某一关于被保护网络的重组策略。通过识别分段包的威胁，该策略可规定任何到达时次序颠倒的包都要被无条件的阻止，从而在受保护网络接收包之前迫使发送方以正确的顺序重发。标准化也允许系统10执行关于IP选项的特定的解释规则。此外，标准化也要求所有的编码(例如十六进制或统一码)包在传送到受保护网络之前先被解码。从而这些操作加强了与特定规则或标准化约束的结合，并更好的保护网络不受攻击。

优选的，状态管理器被实施为定制了硬件模块的应用，以便确保其能以最大可能的速度(优选的，超过数据流的线速)执行必要任务的能力。

为了协助状态管理器20的操作，状态管理器20搜集涉及了通过的包业务流的性质的数据。例如，该数据可在上面参考的连接表中编辑或搜集。该数据包括在各个会话中的包业务流的信息以及多个不同会话中的包业务流的信息。

在状态管理器和算法过滤操作之间的数据关系可能有两项应用。在第一应用中，状态管理器仅搜集数据并报告给算法过滤操作。在第二应用中，状态管理器搜集和总结数据，然后将该总结报告给算法过滤操作。第二应用是优选的，因为其使过滤器在执行过滤操作之前不必进行总结，从而达到了加快处理速度的目的。然而，该第二应用需要更为复杂的硬件状态管理器应用，其增加了设计成本。

收集的数据被报告26给算法过滤操作28。该算法过滤操作28对报告的数据执行统计分析，以确定该数据是否指示着潜在的问题(即，它是可疑的)或威胁。由算法过滤操作28执行的统计分析被设计用来捕捉地址搜索攻击、端口扫描攻击和拒绝服务攻击的情况，这些情况由涉及了穿过多个不同会话的数据流的包业务流性质的数据所揭示。为了达到该目标，设计和制造了一组算法过滤器30以用于识别、检测和抑制在多个会话中发生的识别出的网络威胁。然后为这些算法过滤器30提供一组检测引擎32，每一引擎被实现用于多个识别出的会话攻击情形(例如，地址搜索、端口扫描和拒绝服务)之一。每个检测引擎32也接收由数据管理器20搜集的关于各个会话中的包业务流和经过多个不同会话的包业务流的信息的报告26的数据(或其子集)。通过基于算法过滤器30的统计方式评测报告26的数据，每个检测引擎32可以得出是否网络正受到多会话攻击的结论。然后，算法过滤操作28中的管理功能34根据检测引擎32的结论向状态管理器20提供正确的反馈36。在检测出存在来自于数据流的多个会话包业务流的威胁的情况下，系统10可能阻止危险的包并且/或者系统10可能终止与这些包关联的会话。

优选的，算法过滤操作被应用为一可定制的软件应用(其与硬件状态管理器相接)以便确保其对于安全危险的持续的适应性和被设计或被调整的能力。这样，威胁检测能力也可随需要被调整。此外，通过限制由算法过滤操作执行的功能，并将尽可能多的功能(除威胁检测操作外)推向状态管理器，在该状态管理器中这些功能能够在硬件中被有效而快速的执行，从而能够保持高的总的包处理速度，并允许以线速执行操作。

系统10提供的第二在线功能组件包括一触发过滤器功能组件50，其应用为有利于深度包检查的状态模式匹配的形式。触发过滤器50执行两种关于数据流14的主动监视的过滤操作。首先，包头匹配操作52查看每个包，并确定是否其包头字段值会引起对危险业务流的怀疑。该操作包括检查固定头字段(例如，目的和源IP地址、目的和源端口等)是否存在表示攻击的信息。例如，可以基于头信息对包进行分类。然后，该分类只被过滤器所使用，或者当如下文所述执行其他过滤操作时，该分类被用来提供参考。其次，包内容匹配操作54查看每个包，并确定是否其内容(字符)串和/或正则表达式值引起对危险业务流的怀疑。该操作包括将包的有效载荷单元与被识别出与攻击关联的字符串和表达相匹配。可以知道，基于被检测的头字段值和内容串/正则表达式值的组合，包头匹配操作52和包内容匹配操作54可以有利地相互结合操作，以检测可疑包业务流。在检测出威胁的情况下，系统10可能阻止危险的包并且/或者系统10可能终止与这些包关联的会话。

尽管上述说明集中于用于寻找危险的或可疑业务流的触发操作(然后阻止该业务流)，在某些情况下，也可以将触发器应用为，或者将过滤器设计为用于寻找“好的”业务流的品质和特性。这种情况下，系统10将阻止所有没有被识别为符合“好的”标准的包，而识别出的好的包则被允许通过。

优选的，触发器过滤功能组件被应用为定制硬件模块的应用，以便确保其以最大可能速度(优选的，超过数据流的线速)执行必要任务的能力。特别的，通过使用并行处理结构中的多个、硬件执行的模式匹配组件，来执行快速路径模式匹配的处理。该配置允许系统以线速操作，并且还可提供未来的升级。

为了协助触发过滤器功能组件50的操作，向包头部匹配操作52和包内容匹配操作54提供过滤标准(或规则)54。这些规则54包括检测触发器56和检测异常58。检测触发器56识别单一的或互相联合的一个或多个头字段值、内容字符串和/或正则表达式值，其在单一会话中的包的有效载荷单元内匹配的存在表示着对网络的威胁。检测异常58是单一的或互相联合的一个或多个头字段值、内容字符串和/或正则表达式值的识别，尽管其在单一会话中的包的有效载荷单元内的存在可能是关心的内容，也不能将其视为表示对网络的威胁。转换功能组件60用来将检测触发器56和检测异常58转换为过滤标准(或规则)54，将其提供给并应用于触发过滤功能组件50的包头匹配操作52和包内容匹配操作54。该转换可能，例如包括数据向较低层机器码的转换，其由包头匹配操作52和包内容匹配操作54所执行。

检测触发器56和检测异常58来源于一组检测签名62，其被专门设计或制作以用于识别、检测和抑制已识别的单一会话类型的网络威胁。例如，检测签名62(包括，例如安全规则、策略和算法)可能被设计用来从检测出的脆弱环节减轻或转移网络破坏。这些检测签名62可能从许多众所周知的资源得到，包括，例如机器(主机)制造商、服务供应商、互联网等。此外，签名62可以由受保护网络的管理员创建。而且，签名62可由提供签名创建业务的实体提供，其中该实体用于从周围环境中搜集威胁信息(例如，蠕虫、病毒、特洛伊、拒绝服务、存取、故障、侦察，其他可疑业务流等)、分析该信息并设计检测签名62，该检测签名62能被其他实体用于从搜集到的威胁中减轻或转移网络破坏。

通常，该检测签名62包括一定义了标准(例如，TCP、HTTP和URI相关的标准)的客体，一项或多项提取的包特征必须满足该标准，以便检测由该检查的业务流引起的对网络的潜在威胁。作为实例，每一个检测签名可能包括下面客体：

元数据：描述签名的名字、身份、分类和级别；

行动设置：如果检测到威胁时，系统10执行的一个或多个行动(允许、拒绝、登陆、阻止、终止等)的定义；

询问：签名所应用于的并且受到威胁的特定网络组件(机器设置)的定义(或身份)；

签名定义：一组必须被匹配的标准，并连同其他必须被考虑的关联参数一起用于识别威胁。

优选的，上述关于过滤器标准管理的操作被应用为一定制的软件应用(其与硬件触发过滤功能组件相接)以便确保其对于安全危险的持续的适应性和被设计或被调整的能力。这样，系统的威胁检测能力可被随需要调整。

优选的，由触发过滤器功能组件50执行的过滤比较操作被应用到包层和/或会话层中的一层或两层。在包层，当应用检测签名的规则时，检查和过滤操作单独针对每一个包。在会话层，当应用检测签名的规则时，检查和过滤操作一起针对多个相关包。为了协助会话层的比较，系统10可能依据关于存储的历史包的相关数据的状态信息。对于会话层的比较，该比较和过滤不仅针对所提取的当前检查包的包特征(头和有效载荷)，而且包括历史包的相关数据。如果在签名62的标准和提取的包特征与历史包的相关数据的结合体之间存在匹配，则就检测出了对网络14的潜在威胁。

系统10提供的第三在线功能组件包括包处理器功能组件70。作为对由状态管理器功能组件20和触发过滤器功能组件50得出的评估和结论的响应，包处理器功能组件70作为一守门器(gatekeeper)操作并确定怎样处理包和/或会话。特别的，包处理器功能组件编辑状态管理器20和触发过滤器功能组件50的分析和检查结果，以确定某一包是否是感兴趣的，然后对该包执行正确的操作。有三种可用的处理选择以用于确定包是否是感兴趣的。第一，在状态管理器功能组件20以及触发过滤器功能组件50都未检测出任何关于某一包或会话的威胁、危险或可疑处的情况下，允许该包业务流通过72并且继续沿数据流14传送。第二，在状态管理器功能组件20或者触发过滤器功能组件50检测出关于某包或会话的明显的威胁或危险的情况下，在数据流14中阻止并抛弃74该包业务流。第三，在状态管理器功能组件20或者触发过滤器功能组件50检测出关于某包或会话的威胁或危险的可疑处的情况下，从数据流14中提取出76该包业务流以进行下一步的更仔细的检查，该检查会在下文中具体讨论。

优选的，该包处理器功能组件在硬件上应用，以便保持其快速做出关于数据流中通过的包的分类决定的能力。

系统10提供的第四在线功能组件包括流控制功能组件80。流控制功能组件80基于某些可编程的或可配置的优先权而进行操作，以定制沿数据路径14输出的业务流。业务流定制(shaping)主要通过调高(或者，相反地，调低)速率而实现，其中允许某包业务流以该速率沿数据路径14传递。例如，已知的并证实的良性业务流，其在数据路径14上的传送可能被优先。类似的，关于已知的重要业务应用的包业务流相比比其他次要业务流可能被给予优先权。通常，某种类型的业务流可能被调速，以使其不会超出某一阈值。这用于阻止下游资源的超运作或者妨碍较高优先级的业务流。

优选的，该流控制功能组件应用于硬件上，以便保持其快速做出关于数据流中通过的包的处理决定的能力。

对于被包处理器功能组件70识别为可疑并且之后从数据流14中被提取76的包业务流，在做出最终处理决定之前对该业务流进行更仔细的和彻底的检查。使用一线外(out-of-line)威胁校验功能组件100执行该进一步的检查。“线外”的意思是包业务流在主数据流14外被处理。该威胁校验功能组件100以与前面详细讨论的在线触发过滤器功能组件50组件相似的方式运行。然而，在执行具体检查的层面上存在主要的运行差异。因为触发过滤器功能组件50必须在线运行，所以过滤标准(或规则)54必须被设计用于基本上以线速执行(优选的使用上述定制的硬件解决方案)。该设计标准基本上迫使触发过滤器功能组件50将其检测努力集中于不彻底的检查和评估(其被设计用于快速识别可疑的和明显的危险或有威胁的包业务流)。该检查的性质将会不可避免的将一定数量的通过进一步详细分析可被确定为良性业务流的包识别为可疑的。然而，线外威胁校验功能组件100的目标是更彻底的评估该可疑业务流，以便从可疑业务流中区分出良性部分并将其返回102到数据流14里。至此，其能被有利地应用为可定制的软件应用，以便确保其对于安全危险的持续的适应性和被设计或被调整的能力。

部分的由于基于软件的实现，威胁校验功能组件100实现与触发过滤器功能组件50略有不同的评估处理。特别的，该威胁校验功能组件100使用协议解码器和正则表达式匹配执行详细的威胁分析。这比触发过滤评估花费更多的时间和资源，但是它能带来准确的多的威胁确认。为执行该操作，提供给威胁校验功能组件100的过滤标准(或规则)108比提供给在线触发过滤器功能组件50的规则54更加全面且有更强的识别能力。由于对提取出76的可疑业务流的评估在线外执行，并且被检查的业务流的总量被相当多的减少，因此在威胁校验功能组件100中可以提供额外的时间以便更仔细地考虑是否每一个包真的预示着对网络的威胁或危险。提供了关于感兴趣的协议和正则表达式的检测校验110组件。然后，转换功能组件112将检测校验组件110转换为过滤器标准(或规则)108，以提供给并在威胁校验功能组件100上执行。检测校验组件110来自于与上述相同的一组检测签名62，这些检测签名被专门设计或制作以用于识别、检测和抑制所识别的单一会话类型的网络威胁。

该威胁校验功能组件100利用三种处理选项之一的选择，而响应于对可疑业务流的更仔细的分析。第一，在确认包业务流是良性的情况下，将其返回102到数据流104。第二，在确认一明显的威胁或危险的情况下，包业务流被阻止和丢弃114。第三，在无法做出明确决定(良性或者威胁)的情况下，包业务流被返回102到数据流，但是该业务流的备份被传递116以进行进一步的确认和处理，从而确定是否需要产生警告。

通过如下的考虑可以更好的理解触发过滤器功能组件50执行的分析和威胁校验功能组件100执行的分析之间的区别。由触发过滤器功能组件50使用的过滤标准被实现为基于硬件的触发机制，以允许对接收到的包业务流进行相对较高速度的检查，该机制使用限制了处理能力的过滤器，该过滤器被设计用来捕获实际上所有可疑的业务流，可以知道该过滤器将不可避免的、与危险业务流一起错误的额外捕获一些良性业务流(即，精确性较低并且会有大量的错误确认)。作为实例，该层过滤包含头字段比较和触发器内容搜索(即，短字符串比较)，其能够用较低复杂度的算法以更快的速度执行，并处理具有较高包含错误的怀疑度的过滤后输出。另一方面，由威胁校验功能组件100使用的过滤标准被应用为基于软件的确认机制，以允许对包业务流的可疑部分进行较低速度的检查，在该机制中，使用更复杂的处理能力过滤器，其被设计用来更仔细的检查可疑的业务流，并识别出更可能的威胁或危险的业务流，可以知道该威胁校验功能组件100可能错误的捕获一些良性的业务流(即，精确性相对较高，尽管也有少量的错误确认)，但是这发生的可能性比触发过滤器功能组件50要小得多。作为实例，该第二层过滤包含使用较复杂的算法以较慢的速度执行的协议解码器和正则表达式匹配(即，长字符串匹配)，并处理具有较低包含错误的怀疑度的过滤后输出。

关于由威胁校验功能组件100传递116的包业务流的备份(仍然可疑)，可以采取多种可能的行动。例如，产生警告120并将可疑的包业务流的备份传送给网络管理员以进行进一步的检查。可选地，可以由线外危险评估功能组件130对可疑的包业务流进行评估。危险评估功能组件130的操作用于评估是否可疑包业务流预示着对网络中的机器和设备存在可以确认的、具体的威胁。为了协助该确认，由系统10维护一资源数据库132，其中包含受保护网络中出现的每一台机器和设备的信息及其互连和彼此间的运行关系。例如，优选的，资源数据库132包含识别网络中的机器(主机)的企业(即受保护网络)特有的数据、主机提供的服务以及与该网络结构环境中的机器和服务关联的潜在的计算机系统和网络设备的弱点。可以使用多种众所周知的方法之一搜集该数据，这些方法包括，例如独立的、可能的在先技术的、弱点评估扫描器设备的使用，该设备用于以传统的方法评估该受保护的网络。然后，该危险评估功能组件对于网络中的资源环境评估已经触发怀疑的检测签名(特别的，该受到威胁的网络组件(机器设置)的签名信息)，以通过该检测签名的应用而确定受到被检测为可疑的包业务流威胁的网络资源的类型。如果由包含在数据库132中的信息确定，该受保护的网络没有任何受到威胁的机器或设备，则该可疑业务流与该网络关系很小或没有，并将其忽略。然而，如果该受保护的网络包含可能受到怀疑业务流威胁的资源，则该业务流随后或者被阻止并丢弃，或者产生通知网络/安全管理员的潜在威胁警告，以减少或消除该破坏危险。这种情况下，可能产生警告120并且该可疑包业务流被传送到网络管理员以进行进一步的检查。

再一次参考该算法过滤操作28。特别的，该检测引擎32以一种依据该算法过滤器30的统计方式来评估该报告的26的数据，并得出是否该网络正受到多个会话的攻击的结论。也可能该评估不能确切的判断是否存在攻击。这种情况下，就产生了攻击的怀疑。为了解决该怀疑，检测引擎被配置为能够产生一个怀疑警告170，该警告被传送到转换功能组件60。作为响应，该转换功能组件60可能改变或调整其转换操作，其中该转换操作将检测触发器56和检测异常58转换为过滤标准(或规则)54，从而该触发过滤器功能组件50的包头匹配操作52和/或包内容匹配操作54变得对可能存在的多会话攻击很敏感。这样，就在包头匹配操作52和/或包内容匹配操作54上执行一些控制以便尝试和找到该多会话攻击，基于由算法过滤操作28执行的统计分析而怀疑该多会话攻击的存在。

优选的，该系统10被设置为受保护网络中的一个网络单元。从而该系统10可能包括大量外部物理接口以允许连接到外部环境(即，受保护网络外面的不信任环境)。作为实例，该不信任环境可能包括下述的一种或几种：广域网(WAN)、虚拟专用网(VPN)服务器、本地局域网(LAN)客户机、无线或远程接入服务器以及不信任网络(例如互联网)。系统10中也可能包含大量内部的物理接口，以允许连接到受保护(信任的)网络的单元。例如，受保护网络的单元可能包括：路由器、特殊服务器类型(例如，HTTP、SMTP、FTP、DNA等)、内联网、个人计算机以及网络区域。可以知道，当需要配置信任网络和不信任网络的互连时，可以将内部和外部的物理接口相连接。

优选的，系统10在一支持其操作的适当的物理平台上应用。该平台包括向系统提供合适的执行环境以进行安全应用所需的基础硬件、操作系统和核心基础结构设备。该执行环境包括操作、管理、维持和提供设备、一个支持安全应用的执行的嵌入式操作系统以及硬件(例如底盘、电源、扩展能力、电路插件支持等)。尽管上面已经讨论了优选实施例，系统10的功能也可被应用于仅有硬件、仅有软件或两者都有的平台上。

对于由系统在触发过滤器功能组件50或者威胁校验功能组件100上执行的比较和过滤操作，有多种处理功能可以被考虑和被评估，以用于过滤标准或者与其相关联。在OSI第一层，可以考虑使用用于包通信的物理硬件接口。在OSI第二层，可以考虑使用下述涉及编码、寻址和传送信息的数据链路：以太网源/目标地址、VLAN PRI/CFI、VLAN识别符和以太网类型，以及MPLS标签。在OSI第三层，可以考虑使用下述涉及传输路由、消息处理和转移信息的网络：IP域(例如，源/目标地址、有效载荷长度、分段比特(fragbits)、头长度、ID字段、偏移字段、选项、协议字段、服务类型字段、生命周期字段和版本字段)、和ARP字段(发送端和目的端MAC或协议地址、协议或硬件类型或大小)。此外，在OSI第4层，可以考虑使用下述的关于传递服务和质量信息的传输：TCP域(源/目标端口、数据长度、头长度、应答号、标志、序列号、紧急指针、窗口及检查和)、ICMP(类型、编码、序列、ID、数据长度、检查和、icmp码)以及UDP(源/目标端口)。处理功能可附加地评估协议解码信息，如下：HTTP(所有的头字段包括请求行、方法、URI、协议、主机、内容长度、体)、DNS、SMTP、SNMP、SMP、FTP等。此外，处理功能可能评估：固定的常量字符串偏移、固定的变量字符串偏移、规则的常量表达式的偏移、规则的变量表达式的偏移、事件搜集、事件序列、分段、连接状态、流重组、标准化技术(检测和消除重叠分段、规避技术)以及十六进制或统一码解码。

尽管本发明的方法和装置的优选实施例已在附图中示出并在前面的详细说明中说明，可以理解本发明并未限制于公开的实施例，而是如同在后面的权利要求中提出和定义的，可以在不偏离本发明的精神的前提下进行多种重排、修改和替换。

Claims

1.一种网络防护系统，包括：

一状态管理器功能组件，其与包的数据流在线连接，该状态管理器功能组件用于跟踪该数据流上当前存在的会话，并保存历史包的相关数据；

一算法过滤器，用于对跟踪的会话和历史包的相关数据执行统计分析，以确定经过多个会话的数据流中的包是否对受保护网络造成威胁；以及

一包处理器，其也与包的数据流在线连接，并用于响应于威胁的存在而阻止存在威胁的包。

2.如权利要求1所述的网络防护系统，其中该包处理器还用于响应于威胁的存在而终止存在威胁的会话。

3.如权利要求1所述的网络防护系统，其中对受保护网络的威胁包括对于多个会话的威胁，该多个会话的威胁来自于地址搜索攻击、端口扫描攻击和拒绝服务攻击组成的集合。

4.如权利要求1所述的网络防护系统，其中用于对跟踪的会话和历史包的相关数据执行统计分析的算法过滤器，还用于确定经过多个会话的数据流中的包是否是可疑的。

5.如权利要求4所述的网络防护系统，还包括：

一触发过滤器，也与包的数据流在线连接，并且用于响应于算法过滤器的可疑确定，根据为检测经过多个会话的威胁包而设计的标准，过滤出该数据流中的可疑包；以及

一包处理器，也与包的数据流在线连接，并且用于响应于检测到的威胁来阻止存在威胁的包。

6.如权利要求5所述的网络防护系统，其中该触发过滤器还用于根据为检测各个会话中的威胁包而设计的标准，过滤该数据流中的包。

7.如权利要求6所述的网络防护系统，其中该触发过滤器还用于确定各个会话的数据流中的包是否可疑，该包处理器还用于从该数据流中提取可疑包以用于进一步的检测。

8.如权利要求7所述的网络防护系统，还包括：

一威胁校验器，其接收所提取的包并对其执行过滤操作，该操作比由在线的触发过滤器执行的操作更全面，以确定可疑的提取包是否存在威胁。

9.如权利要求8所述的网络防护系统，其中该威胁校验器还用于当可疑的提取包被确认为不存在威胁时，将其返回到该数据流中。

10.如权利要求8所述的网络防护系统，还包括：

一危险评估器，其用于检查可疑的提取包，并且确定可疑的提取包对网络中出现的可识别资源是否造成某种危险。

11.如权利要求1所述的网络防护系统，还包括一流控制器，其也与包的数据流在线连接，并且用于管制沿着该数据流的包的经过。

12.如权利要求1所述的网络防护系统，其中：

该状态管理器功能组件以硬件来实现；并且

该算法过滤器以软件来实现。

13.一种网络防护的方法，包括如下步骤：

跟踪包的数据流上当前存在的会话；

收集关于所述会话的历史包的相关数据；

基于算法地过滤所跟踪的会话和收集的历史包的相关数据，以便根据统计分析而确定是否经过多个会话的数据流中的包引起对网络的威胁；以及

通过响应于所确定威胁的存在而阻止存在威胁的包来处理这些包的数据流中的包。

14.如权利要求13所述的方法，其中处理步骤还包括响应于所确定威胁的存在而终止存在威胁的会话的步骤。

15.如权利要求13所述的方法，其中对受保护网络的威胁包括对于多个会话的威胁，该多个会话的威胁来自于地址搜索攻击、端口扫描攻击和拒绝服务攻击组成的集合。

16.如权利要求13所述的方法，还包括根据统计分析确定是否经过多个会话的数据流中的包引起对网络产生威胁的怀疑的步骤。

17.如权利要求16所述的方法，还包括如下步骤：

根据为检测经过多个会话的存在威胁的包而设计的标准，响应于对威胁的怀疑而过滤这些包的数据流中的包；以及

通过响应于所检测威胁的存在而阻止存在威胁的包，处理这些包的数据流中的包。

18.如权利要求17所述的方法，其过滤包的步骤还包括根据为检测各个会话中存在威胁的包而设计的标准过滤数据流中的包的步骤。

19.如权利要求18所述的方法，其中过滤包的步骤还包括确定各个会话中的数据流的包是否可疑的步骤，处理步骤还包括从该数据流中提取可疑包以用于进一步的检测的步骤。

20.如权利要求19所述的方法，还包括如下步骤：

通过对提取的包执行过滤操作，而校验与其有关的威胁，该操作比用于确定可疑的提取包是否存在威胁的过滤包的步骤更全面。

21.如权利要求20所述的方法，其中校验该威胁的步骤还包括如果可疑的提取包被确认为没有危险，则将其返回到该数据流中的步骤。

22.如权利要求20所述的方法，还包括如下步骤：

通过确定是否可疑的提取包对网络中存在的可识别资源造成某种危险，而对可疑的提取包评估危险。

23.如权利要求13所述的方法，还包括通过管制沿着数据流的包的经过而控制该数据流的步骤。

24.一种防护网络的系统，包括：

一状态管理器功能组件，其与包的数据流在线连接，该状态管理器功能组件用于跟踪关于该数据流中当前存在的多个会话的信息；

一算法过滤器，其用于对该信息执行统计分析，以确定经过多个会话的该数据流中的包是否对网络造成威胁；

一触发过滤器，其也与包的数据流在线连接，并且用于根据为检测各个会话中存在威胁的包而设计的标准，过滤该数据流中的包；以及

一包处理器，其也与包的数据流在线连接，并且用于响应于算法过滤器和触发过滤器检测出的威胁来阻止存在威胁的包。

25.如权利要求24所述的系统，还包括流控制器，其也与该数据流在线连接，并且用于管制沿着该数据流的包的经过。

26.如权利要求24所述的系统，其中该算法过滤器还用于根据该统计分析确定经过多个会话的数据流中的包是否引起对网络构成威胁的怀疑，以及其中该触发过滤器还用于响应于可疑的确定，根据为检测经过多个会话的存在威胁的包而设计的标准，过滤该数据流中的可疑包。

27.如权利要求24所述的系统，其中该包处理器还用于响应于威胁的存在而终止存在威胁的会话。

28.如权利要求24所述的系统，其中对受保护网络的威胁包括关于多个会话的威胁，该多个会话的威胁来自于地址搜索攻击、端口扫描攻击和拒绝服务攻击组成的集合。

29.如权利要求24所述的系统，其中该触发过滤器还用于如果该触发过滤器确定该数据流的包可疑时，从该数据流中提取包。

30.如权利要求29所述的系统，还包括：

31.如权利要求30所述的系统，其中该威胁校验器还用于当可疑的提取包被确认为没有危险时，将其返回到该数据流中。

32.如权利要求31所述的系统，还包括：

一危险评估器，其用于检查可疑的提取包，并且确定可疑的提取包是否对网络中出现的可识别资源造成某种危险。

33.如权利要求24所述的系统，其中由算法过滤器分析的信息包括关于包与已建立的某些会话的关联的会话跟踪数据。

34.如权利要求24所述的系统，其中由该算法过滤器分析的信息包括经过多个会话的历史包的相关数据。

35.如权利要求24所述的系统，其中该标准包括头和内容匹配标准。

36.如权利要求24所述的系统，其中该标准包括多包内容匹配标准。

37.如权利要求24所述系统，其中该算法过滤器执行统计阈值过滤。