CN1985473A - 利用单个物理端口的在线入侵检测 - Google Patents

Abstract

根据本发明一个实施例，一种用于在线入侵检测的方法包括在入侵检测系统(102)的物理接口处接收分组。该分组被加有与外部网络相关联的第一VLAN标识符的标签(118)。该方法还包括在物理接口处缓冲分组，传输分组的一个拷贝到处理器，在该处理器处对该分组的拷贝进行分析来确定该分组是否包括攻击签名。该方法还包括从处理器传输答复消息到接口，其中该答复消息指示分组是否包括攻击签名。如果分组不包含攻击签名，则重新给分组的缓冲拷贝加上与受保护网络相关联的第二VLAN标识符的标签(118)，并且将重新加标签的分组传输到受保护网络。

Description

利用单个物理端口的在线入侵检测

技术领域

本发明一般地涉及网络安全领域，更具体地说，涉及利用单个物理端口的在线入侵检测(inline intrusion detection)。

背景技术

入侵检测系统(IDS)一般工作于两种模式之一中。在“混杂(promiscuous)”模式中，IDS对进入网络流量进行监控来确定是否可能观察到入侵的特定模式特征。在“在线”模式中，IDS对网络流量进行扫描来确定网络流量是否包含恶意签名。如果检测到恶意签名，则IDS阻止网络接收该流量。一般而言，在线IDS有两个物理端口，一个耦合到外部网络，另一个耦合到受保护网络。相反，工作于混杂模式中的IDS仅需一个物理端口来接收网络流量。

发明内容

根据本发明一个实施例，一种用于在线入侵检测的方法包括在入侵检测系统的物理接口处接收分组。该分组被加有与外部网络相关联的第一VLAN标识符的标签。该方法还包括在物理接口处缓冲分组，传输该分组的一个拷贝到处理器，在处理器处对该分组的拷贝进行分析来确定该分组是否包括攻击签名。该方法还包括从处理器传输答复消息给接口，其中该答复消息指示分组是否包括攻击签名。如果分组不包含攻击签名，则重新给该分组的缓冲拷贝加上与受保护网络相关联的第二VLAN标识符的标签，并且将重新加标签的分组传输到受保护网络。

根据本发明另一个实施例，一种入侵检测系统包括可操作来接收分组的接口，其中分组被加有与外部网络相关联的第一VLAN标识符的标签。该接口还可操作来在接口处缓冲分组，传输该分组的一个拷贝到处理器，重新给该分组加与受保护网络相关联的第二VLAN标识符的标签。该入侵检测系统还可操作来将分组传输到受保护网络。处理器可操作来对分组的拷贝进行分析来确定该分组是否包括攻击签名，并且传输答复消息给接口，其中该答复消息指示该分组是否包括攻击签名。仅在答复消息指示出分组不包括攻击签名时接口才给该分组重新加上标签并且传输该分组。

本发明的某些实施例的重要技术优点包括利用单个端口的在线入侵检测。这允许可能已被用于监控的单端口入侵检测系统适用于在线系统。此外，其可以提供对用于在线入侵检测的多端口设备的低成本替换。

本发明的某些实施例的其他重要技术优点包括更有效地利用在线系统中的存储器和总线资源。给分组重新加上VLAN标识符的标签可以在物理接口处执行。因此，与在更高层工作的系统(例如防火墙)相反，本发明的某些实施例允许在不必由处理器处理并返回的情况下缓冲分组并重新给分组加上标签。这减少了接口和处理器之间的分组通信量。

从下面的附图、说明和权利要求书，本领域技术人员将清楚本发明的其他技术优点。此外，尽管上面列举了具体的优点，但是各个实施例可以包括全部或某些优点，或者不包括所列举的优点。

附图说明

为了更完整地理解本发明及其优点，现在结合附图参考下面的描述，在附图中：

图1示出了利用单个物理端口的在线入侵检测系统；以及

图2示出了用于图1的在线入侵检测系统的操作方法的示例的流程图。

具体实施方式

图1示出了计算机系统100，其包括在外部网络104和受保护网络106之间的在线入侵检测系统(IDS)102。一般而言，IDS 102接收来自外部网络104的信息，并对该信息进行分析来确定该信息是否包括具有网络攻击或者其他恶意动作的特征的签名。如果检测到攻击，则IDS 102不将该信息发送到受保护网络106。否则，IDS 102将该信息传输到受保护网络106。

外部网络104可包括交换信息的连网通信设备的任何集合。连网通信设备可以包括集线器、路由器、交换机、网关、个人计算机、电话或者可以交换信息的任何其他设备。外部网络104中的设备可以分组、信元、帧、段或者数据的其他部分(总地称作“分组”)的形式交换信息。外部网络104可以使用任何合适的一种或多种传输介质，包括有线、无线或光连接。外部网络104中的设备可以利用任何数量的合适的协议彼此通信，所述协议例如异步传输模式(ATM)、传输控制协议/因特网协议(TCP/IP)、同步光网络(SONET)或者以太网。外部网络104也可以包括因特网。

受保护网络106代表按照任何合适方式通信的任何通信设备集合。具体而言，受保护网络106可以包括结合外部网络104讨论的任何设备和通信介质。受保护网络106也可以使用一种或多种合适的通信协议，例如上述通信协议。具体而言，受保护网络106支持使用虚拟局域网(VLAN)。VLAN是在共享物理网络的设备之间创建的逻辑隔离，以使得除了通过合适的网络桥接硬件和/或软件之外，一个VLAN上的设备不能利用这些设备之间的现有物理连接彼此通信。在IEEE规范802.1q中描述了VLAN。

网关105代表将从外部网络104接收到的流量传输到受保护网络106和IDS 102的任何合适的硬件和/或软件。从外部网络104接收到的流量被自动加上第一VLAN的标识符的标签。受保护网络106被配置为在第二VLAN上，所以其不能识别出加有第一VLAN的标识符的标签的流量。因此，尽管网关105可以将信息复制到其所有端口(例如在网络集线器中可能发生的)，但是除非加有正确VLAN标识符的标签，否则该流量将不能被受保护网络106识别。网关105包括监控端口，该监控端口为IDS 102复制进入网络流量的内容。

IDS 102是一种在线安全系统，其接收来自外部网络104的流量，对该流量进行分析来确定该流量是否包含攻击签名或者恶意动作的其他指示，并且阻止恶意信息到达受保护网络106。在所示实施例中，IDS 102包括接口108、处理器112和存储器114。处理器112可以是适于处理信息的任何硬件和/或软件组件，例如，微处理器、微控制器或者数字信号处理器(DSP)。

存储器114是任何适当形式的信息存储设备，其可以包括磁介质、光介质、可移动介质、本地存储设备、远程存储设备，或者其他合适的组件。在所示实施例中，存储器114存储代码116、VLAN标签118和攻击签名120。代码116由处理器112执行来执行与IDS 102相关联的任何合适的任务。VLAN标签118是存储的分别与外部网络104和受保护网络106相关联的标识符。攻击签名120是识别出的指示进入分组代表针对受保护网络106的恶意动作的进入分组的信息模式(pattern)。处理器112将信息与攻击签名120相比较来检测攻击。

接口108代表允许在IDS 102和受保护网络106和外部网络104上的设备之间通信的物理连接。利用接口108进行的通信发生在开放系统互连(OSI)模型的第2层。接口108支持VLAN中继。VLAN中继允许接口108识别多个VLAN并与其通信，其中每个VLAN由特定的VLAN标签标识。因此，接口108在效果上包括多个逻辑端口，每个端口与特定的VLAN相关联。接口108可以给分组加上标签并适当地改变现有标签，从而使得分组被传输到特定的VLAN。

在所示实施例中，接口108建立用于外部网络104的第一VLAN和用于受保护网络106的第二VLAN。因此，接口108具有两个逻辑端口110A和110B。从外部网络104接收到的信息被加上与第一VLAN网络相关联的VLAN标签，所以该信息不能被受保护网络106识别出。一旦确定出该信息对受保护网络106是安全的，接口108就可以给信息重新加上第二VLAN的标签。这样利用逻辑端口110B有效地将信息传输到受保护网络106，即使接口108仅包括一个物理连接也是如此。

接口108还包括缓冲器122。缓冲器122代表在接口108处的本地信息存储设备。缓冲器122可以包括任何合适形式的信息存储设备，例如，磁介质、闪存、光介质、或者其他类型的信息存储介质。缓冲器122在来自外部网络104的进入信息被IDS 102的组件处理的同时存储该信息。在特定实施例中，缓冲器122保留进入流量的拷贝，同时由处理器112对该信息进行分析来确定该进入信息是否是恶意的。

在操作模式的一种示例中，网关105接收来自网络的流量，并且给该流量加上第一VLAN标识符的标签。网关105然后可以将该流量广播到其所有端口，或者可以仅将其传输到IDS 102。受保护网络106被配置为仅识别第二VLAN上的信息，所以即使分组被广播到受保护网络106，该分组也不被识别出。IDS 102在接口108处接收到流量并且将该流量缓冲到缓冲器122中。IDS 102将分组的一个拷贝传输到处理器112，处理器112对流量进行分析来确定其是否包括攻击签名。处理器112然后返回指示分组是否包括攻击签名的消息到IDS 102。如果分组包括攻击签名，则IDS102从缓冲器122中丢弃该分组。否则，IDS 102可以重新给分组加上第二VLAN标识符的标签，并将该分组传输回网关105，网关105继而将该分组传输到受保护网络106。

本发明的某些实施例的一个技术优点是节省IDS 102中的存储器和总线资源。由于VLAN重新加标签可以在接口108处执行，所以接口108不需要额外的处理资源来将分组从一个VLAN移动到另一个VLAN。相反，在更高层工作的网络保护系统(例如防火墙)一般要求网络地址翻译或者对分组头部信息的其他类似调整。这种系统必须利用内部总线将分组转发到适当的处理资源，然后接收被适当地修改以传输到受这些系统保护的网络的返回分组。与这些传统系统相反，接口108可以接收指示出分组是否应当被传输到受保护网络106的答复消息，该答复消息可能只有一位长。因此，IDS 102可以使用非常少的内部总线资源，从而也减少了缓冲器122的载荷，缓冲器122无需同时存储进入分组和由处理器112返回的分组。

图2是示出了用于IDS 102的操作的示例方法的流程图200。在步骤202中，IDS 102接收到加有第一VLAN的标签的分组。在步骤204中，IDS 102在接口108处缓冲该分组。在步骤206中，接口108将分组的拷贝传输到处理器112，

在步骤208中，处理器112通过将分组与攻击签名120进行比较来对该分组进行分析。如果在判决步骤210中检测到攻击签名，则处理器112在步骤212中发送警报到接口108。然后在步骤214中，接口108从缓冲器122中丢弃该分组。如果未检测到攻击签名，则处理器112在步骤216中发送OK消息到接口108。在步骤218中，接口108重新给分组加上与受保护网络106相关联的第二VLAN标识符的标签。然后接口108在步骤220中将该分组传输到受保护网络106。只要有进入分组该就可以重复该方法，如判决步骤220所示。

尽管已利用若干实施例描述了本发明，但是可以向本领域技术人员建议许多改变、变动、变更、转换和修改，本发明是要包括落入所附权利要求书的范围内的这些改变、变动、变更、转换和修改。

Claims (17)

1.一种用于在线入侵检测的方法，包括：

在入侵检测系统的物理接口处接收分组，其中所述分组被加有与外部网络相关联的第一VLAN标识符的标签；

在所述物理接口处缓冲所述分组；

传输所述分组的一个拷贝到处理器；

在所述处理器处对所述分组的拷贝进行分析来确定所述分组是否包括攻击签名；

从所述处理器传输答复消息给所述接口，其中所述答复消息指示所述分组是否包括攻击签名；以及

如果所述分组不包含攻击签名，则：

重新给所述分组的缓冲拷贝加上与受保护网络相关联的第二VLAN标识符的标签；并且

将所述重新加标签的分组传输到所述受保护网络。

2.如权利要求1所述的方法，还包括：

在网关处接收来自所述外部网络的所述分组；

在所述网关处给所述分组加上所述第一VLAN标识符的标签；以及将所述分组传输到所述接口。

3.如权利要求2所述的方法，其中，将所述重新加标签的分组传输到所述受保护网络的步骤包括：

将所述重新加标签的分组传输到所述网关的第一端口；以及利用所述网关的第二端口将所述重新加标签的分组传输到所述受保护网络。

4.如权利要求2所述的方法，其中，将所述分组传输到所述接口的步骤包括：

为所述网关的多个端口中的每个端口生成所述分组的拷贝，其中所述端口之一被耦合到所述接口；以及

从所述端口中的每个端口传输所述分组的一个拷贝。

5.如权利要求1所述的方法，其中，所述答复消息的大小小于所述分组的大小。

6.一种包含在计算机可读介质中的可操作来执行以下步骤的逻辑：

在入侵检测系统的物理接口处接收分组，其中所述分组被加有与外部网络相关联的第一VLAN标识符的标签；

在所述物理接口处缓冲所述分组；

传输所述分组的一个拷贝到处理器；

在所述处理器处对所述分组的拷贝进行分析来确定所述分组是否包括攻击签名；

从所述处理器传输答复消息给所述接口，其中所述答复消息指示所述分组是否包括攻击签名；以及

如果所述分组不包含攻击签名，则：

重新给所述分组的缓冲拷贝加上与受保护网络相关联的第二VLAN标识符的标签；并且

将所述重新加标签的分组传输到所述受保护网络。

7.如权利要求6所述的逻辑，还可操作来执行以下步骤：

在网关处接收来自所述外部网络的所述分组；

在所述网关处给所述分组加上所述第一VLAN标识符的标签；以及将所述分组传输到所述接口。

8.如权利要求7所述的逻辑，其中，将所述重新加标签的分组传输到所述受保护网络的步骤包括：

将所述重新加标签的分组传输到所述网关的第一端口；以及利用所述网关的第二端口将所述重新加标签的分组传输到所述受保护网络。

9.如权利要求7所述的逻辑，其中，将所述分组传输到所述接口的步骤包括：

为所述网关的多个端口中的每个端口生成所述分组的拷贝，其中所述端口之一被耦合到所述接口；以及

从所述端口中的每个端口传输所述分组的一个拷贝。

10.如权利要求6所述的逻辑，其中，所述答复消息的大小小于所述分组的大小。

11.一种系统，包括：

用于在入侵检测系统的物理接口处接收分组的装置，其中所述分组被加有与外部网络相关联的第一VLAN标识符的标签；

用于在所述物理接口处缓冲所述分组的装置；

用于传输所述分组的一个拷贝到处理器的装置，其中所述处理器可操作来在所述处理器处对所述分组的拷贝进行分析来确定所述分组是否包括攻击签名；

用于从所述处理器传输答复消息给所述接口的装置，其中所述答复消息指示所述分组是否包括攻击签名；

用于在所述分组不包含攻击签名的情况下重新给所述分组的缓冲拷贝加上与受保护网络相关联的第二VLAN标识符的标签的装置；以及

用于将所述重新加标签的分组传输到所述受保护网络的装置。

12.如权利要求11所述的系统，还包括：

用于在网关处接收来自所述外部网络的所述分组的装置；

用于在所述网关处给所述分组加上所述第一VLAN标识符的标签的装置；以及

用于将所述分组传输到所述接口的装置。

13.一种入侵检测系统，包括：

接口，可操作来：

接收分组，其中所述分组被加有与外部网络相关联的第一VLAN标识符的标签；

在所述接口处缓冲所述分组；

传输所述分组的一个拷贝到处理器；

重新给所述分组加上与受保护网络相关联的第二VLAN标识符的标签；以及

将所述分组传输到所述受保护网络；以及

所述处理器，可操作来：

对所述分组的拷贝进行分析来确定所述分组是否包括攻击签名；以及

传输答复消息给所述接口，所述答复消息指示所述分组是否包括攻击签名，其中仅在所述答复消息指示出所述分组不包括攻击签名时所述接口才给所述分组重新加上标签并且传输所述分组。

14.如权利要求13所述的系统，还包括网关，所述网关可操作来：

接收来自所述外部网络的所述分组；

在所述网关处给所述分组加上所述第一VLAN标识符的标签；以及将所述分组传输到所述接口。

15.如权利要求14所述的系统，其中：

所述接口还可操作来将所述重新加标签的分组传输到所述网关的第一端口；并且

所述网关还可操作来利用所述网关的第二端口将所述重新加标签的分组传输到所述受保护网络。

16.如权利要求14所述的系统，其中，所述网关还可操作来：

为所述网关的多个端口中的每个端口生成所述分组的拷贝，其中所述端口之一被耦合到所述接口；以及

从所述端口中的每个端口传输所述分组的一个拷贝。

17.如权利要求13所述的系统，其中，所述答复消息的大小小于所述分组的大小。

Images