專利名稱:數(shù)據(jù)中心環(huán)境中的入侵檢測(cè)的制作方法
數(shù)據(jù)中心環(huán)境中的入侵檢測(cè)
相關(guān)申請(qǐng)的交叉引用
本申請(qǐng)要求2004年10月28日由Mauricio Arregoces禾卩Maurizio Portolani遞交的題為 "Data Center Network Design And Infrastructure Architecture"的申請(qǐng)?zhí)枮?0/623,810的臨時(shí)專利申請(qǐng)的優(yōu)先權(quán),這里通過 引用將該申請(qǐng)的整體公開結(jié)合于此����。
背景技術(shù):
成功的因特網(wǎng)存在(presence)要求公司具有可用于處理來自顧客和 雇員兩者的大量命中(hit)的網(wǎng)站和計(jì)算機(jī)資源。現(xiàn)在一般認(rèn)可電子商務(wù) 作為執(zhí)行交易的有效方式����,并且電子商務(wù)越來越多地慮及世界范圍內(nèi)商業(yè) 的絕大部分�����。同時(shí)����,成功的因特網(wǎng)存在意味著該公司必須對(duì)顧客記錄(例 如信用卡號(hào)以及他自己的私人信息)提供足夠的安全性����。但是, 一旦建立 了因特網(wǎng)存在��,計(jì)算機(jī)資源就暴露給一個(gè)一般被稱為黑客(hacker)的群 組�����,黑客的唯一目的是獲得對(duì)公司的計(jì)算機(jī)資源的未經(jīng)授權(quán)的訪問�。黑客 可能嘗試獲得金融值的信息或者可能為了智力或政治挑戰(zhàn)而嘗試潛入公司 的計(jì)算機(jī)資源。其他黑客的簡(jiǎn)單目的就是要制造麻煩��。
無論黑客的動(dòng)機(jī)是什么�����,都有責(zé)任識(shí)別和防止對(duì)敏感機(jī)構(gòu)的計(jì)算機(jī)資 源進(jìn)行未經(jīng)授權(quán)的訪問���。但是在實(shí)踐中���,這不是一個(gè)簡(jiǎn)單任務(wù),因?yàn)楸仨?對(duì)公司的雇員和顧客提供對(duì)完全相同的資源的訪問���,并且不是所有雇員和 顧客都能被立即識(shí)別出的����。識(shí)別入侵這一任務(wù)依然是維護(hù)在線存在的基本 部分�����。
為了檢測(cè)入侵�,具有一個(gè)數(shù)據(jù)中心的多個(gè)商業(yè)機(jī)構(gòu)共同包括一個(gè)入侵 檢測(cè)系統(tǒng)或IDS。 IDS通過分析網(wǎng)絡(luò)分組并尋找其他惡意或可疑異常物的 跡象來監(jiān)視數(shù)據(jù)中心網(wǎng)絡(luò)�,所述惡意或可疑異常物的跡象是由可能指示黑 客正在嘗試入侵的不適當(dāng)?shù)摹⒉徽_的或異常的行為來指示的�����。
IDS可以是基于網(wǎng)絡(luò)的IDS或者基于主機(jī)的入侵防范系統(tǒng)實(shí)現(xiàn)方式����。
基于網(wǎng)絡(luò)的IDS監(jiān)視流過交換機(jī)或路由器的網(wǎng)絡(luò)流量�?���;谥鳈C(jī)的IDS監(jiān) 視系統(tǒng)級(jí)事件以檢測(cè)該主機(jī)上的惡意行為。IDS等同于向IDS管理系統(tǒng)報(bào) 告可疑行為的監(jiān)督工具��。舉例來說�����, 一個(gè)IDS (例如由Cisco Systems公司 投入市場(chǎng)的Cisco IDS-4250)采用復(fù)雜的檢測(cè)技術(shù)����,所述檢測(cè)技術(shù)包括狀 態(tài)模式識(shí)別、協(xié)議解析��、啟發(fā)式檢測(cè)和異常性檢測(cè)�。這些檢測(cè)技術(shù)全面地 防范各種已知和未知的威脅。
在網(wǎng)絡(luò)環(huán)境中���,IDS被部署得遍布網(wǎng)絡(luò)各處���,但是����,將IDS放置在最 可能面臨攻擊的網(wǎng)段是尤其重要的����?�;诰W(wǎng)絡(luò)的IDS保護(hù)在設(shè)備所在網(wǎng)段 上可訪問的所有設(shè)備并識(shí)別惡意行為��。在具有多個(gè)子網(wǎng)的數(shù)據(jù)中心環(huán)境 中����,希望IDS傳感器監(jiān)視每個(gè)子網(wǎng)。因此����,如果數(shù)據(jù)中心有三個(gè)子網(wǎng),則 第一子網(wǎng)上的流量應(yīng)該由第一 IDS監(jiān)視�,第二子網(wǎng)上的流量應(yīng)該由第二 IDS監(jiān)視。不幸的是�����,在某些網(wǎng)絡(luò)中����,由于流量捕獲技術(shù)而對(duì)IDS傳感器 可以監(jiān)視的會(huì)話數(shù)目存在實(shí)際限制���。因此,沒有能力利用第三IDS來監(jiān)視 第三子網(wǎng)��。在此情況下�,兩個(gè)或更多個(gè)子網(wǎng)可能被結(jié)合在一起并由單個(gè) IDS監(jiān)視。在其他情況下�����,希望有選擇地監(jiān)視子網(wǎng)上的流量�,例如HTTP 客戶端-服務(wù)器流量應(yīng)該由一個(gè)IDS傳感器監(jiān)視,SMTP客戶端-服務(wù)器流 量應(yīng)該由另一傳感器監(jiān)視����,DNS流量由再另一傳感器監(jiān)視,同時(shí)過濾在同 一子網(wǎng)上發(fā)起和終止的所有其它流量����。
根據(jù)本發(fā)明,提供了用于利用相應(yīng)的多個(gè)IDS來監(jiān)視多個(gè)子網(wǎng)和協(xié)議 的系統(tǒng)和方法��。有利的是,本發(fā)明減少了網(wǎng)絡(luò)攻擊的錯(cuò)誤肯定(false positive)����,消除了子網(wǎng)中的流量噪聲,并通過選擇監(jiān)視流量而在監(jiān)視每個(gè) 子網(wǎng)上的網(wǎng)絡(luò)流量方面提供了更大粒度��,從而優(yōu)化了性能��。
從以下結(jié)合附圖的詳細(xì)描述中����,本發(fā)明的前述和附加特征和優(yōu)點(diǎn)將變 得清楚�����。
圖1是示出根據(jù)本發(fā)明一個(gè)實(shí)施例具有與每個(gè)流量源相關(guān)聯(lián)的入侵檢 測(cè)系統(tǒng)的網(wǎng)段的簡(jiǎn)化框圖���。
圖2是示出根據(jù)圖l所示的實(shí)施例�,用于在網(wǎng)段上操作入侵檢測(cè)系統(tǒng) 的方法的框圖�����。
圖3是示出根據(jù)本發(fā)明另一實(shí)施例具有與每個(gè)流量源相關(guān)聯(lián)的入侵檢 測(cè)系統(tǒng)的網(wǎng)段的另 一 簡(jiǎn)化框圖���。
圖4是示出圖3所示本發(fā)明的實(shí)施例的操作的框圖��。
圖5是示出根據(jù)圖3和4所示的實(shí)施例��,用于在網(wǎng)段上操作入侵檢測(cè) 系統(tǒng)的方法的框圖����。
具體實(shí)施例方式
在這里對(duì)本發(fā)明實(shí)施例的描述中,提供了大量具體細(xì)節(jié)(例如組件和 /或方法的示例)���,以對(duì)本發(fā)明的實(shí)施例提供全面理解��。但是�����,本領(lǐng)域技 術(shù)人員將意識(shí)到�����,無需一個(gè)或多個(gè)所述具體細(xì)節(jié)或者利用其他裝置���、系 統(tǒng)、裝配��、方法、組件��、部件等等也可以實(shí)現(xiàn)本發(fā)明的實(shí)施例���。在其他實(shí) 例中�����,公知的結(jié)構(gòu)�、材料或操作沒有具體示出或詳細(xì)描述�����,以免模糊本發(fā) 明的實(shí)施例的各個(gè)方面��。
現(xiàn)在利用標(biāo)號(hào)更具體的參考附圖�,圖1中示出網(wǎng)絡(luò)環(huán)境的網(wǎng)段10�����。 網(wǎng)段10是網(wǎng)絡(luò)環(huán)境中通常用于數(shù)據(jù)中心或大機(jī)構(gòu)或企業(yè)網(wǎng)絡(luò)的部分的示 例�。網(wǎng)絡(luò)環(huán)境IO包括將網(wǎng)絡(luò)環(huán)境劃分成邏輯分段的路由器或交換機(jī)11以 及子網(wǎng)12、 13和14����。雖然圖1中只示出三個(gè)子網(wǎng)����,但是將會(huì)意識(shí)到�����,在 一個(gè)網(wǎng)段中可能存在任意數(shù)目的這樣的子網(wǎng)�����。此外�����,IDS在這里被任意描 述為分離的系統(tǒng)����,但是將會(huì)意識(shí)到,IDS可以用軟件實(shí)現(xiàn)����,并且由與交換 機(jī)11相關(guān)聯(lián)的處理器來執(zhí)行?��?商鎿Q地���,IDS可以是與一個(gè)或多個(gè)其他 網(wǎng)絡(luò)設(shè)備(例如交換機(jī)����、路由器����、防火墻、網(wǎng)橋���、集中器�、掃描儀���、負(fù)載 平衡器或內(nèi)容引擎)共享同一機(jī)架的刀片插件(blade)�。
在該網(wǎng)絡(luò)環(huán)境中�����,交換機(jī)ll充當(dāng)?shù)矫總€(gè)子網(wǎng)的網(wǎng)關(guān)�。每個(gè)子網(wǎng)12-14 包括節(jié)點(diǎn)17�,該節(jié)點(diǎn)17定義多個(gè)服務(wù)器(例如web服務(wù)器)或其他受保 護(hù)的網(wǎng)絡(luò)可訪問資源��。網(wǎng)段IO可由客戶端15通過核心網(wǎng)絡(luò)(例如因特網(wǎng) 16)訪問���。應(yīng)該意識(shí)到,客戶端可以從各種不同網(wǎng)絡(luò)連接到該網(wǎng)段�,并且 所示出的因特網(wǎng)僅僅用于舉例說明外部核心網(wǎng)絡(luò)。在該實(shí)施例中�����,每個(gè)子
網(wǎng)被入侵檢測(cè)系統(tǒng)或IDS監(jiān)視���。具體而言����,IDS 22-24監(jiān)視子網(wǎng)上的流
基于網(wǎng)絡(luò)的傳感器是連接到網(wǎng)段并檢查流量以檢測(cè)入侵和可疑行為的 系統(tǒng)�����。這些傳感器可以軟件方式實(shí)現(xiàn)在路由器和防火墻上����,或者實(shí)現(xiàn)為獨(dú) 立設(shè)備或硬件模塊?��;诰W(wǎng)絡(luò)的傳感器通常使用兩個(gè)網(wǎng)絡(luò)接口��, 一個(gè)連接 到正被監(jiān)視的網(wǎng)絡(luò)��,另一個(gè)連接到提供對(duì)管理系統(tǒng)的訪問的安全分段���。監(jiān) 視接口不具有MAC地址���,因此無法發(fā)送流量。連接有IDS的交換機(jī)端口 查看所有通過交換機(jī)被鏡像的流量�����。管理接口優(yōu)選地具有MAC地址和IP 地址�,以與被監(jiān)視的網(wǎng)絡(luò)設(shè)備通信?;诰W(wǎng)絡(luò)的傳感器應(yīng)該被部署在更可 能面臨攻擊的網(wǎng)段上(即因特網(wǎng)邊緣處)以及設(shè)置有關(guān)鍵業(yè)務(wù)(皿ssum-critical)服務(wù)器的網(wǎng)段上。
圖2示出監(jiān)視過程��。對(duì)每個(gè)子網(wǎng)的監(jiān)視開始于在交換機(jī)11處接收目 的地為節(jié)點(diǎn)17之一的流量����。如步驟27所示��,對(duì)流量進(jìn)行拷貝?���?截惖牧?量隨后被過濾以除去不感興趣的流量,如步驟28所示����。經(jīng)拷貝和過濾的 流量被重定向到專用IDS,如步驟29所示��。其余流量被IDS通過應(yīng)用各 種檢測(cè)技術(shù)進(jìn)行分析���,以防止連接到節(jié)點(diǎn)17的設(shè)備受到可感知的威脅�����, 如步驟30所示�����。
檢測(cè)技術(shù)可以包括狀態(tài)模式識(shí)別�����、協(xié)議解析�、啟發(fā)式檢測(cè)、異常性 (anomaly)檢測(cè)或其它技術(shù)���。為了對(duì)子網(wǎng)或協(xié)議執(zhí)行更具體的監(jiān)視����,優(yōu) 選地���,選擇一個(gè)特定的簽名集合�����,其緊密匹配每個(gè)子網(wǎng)的流量監(jiān)視的意 圖���,但是也包含基于異常性的系統(tǒng)?��;诋惓P缘南到y(tǒng)定義網(wǎng)絡(luò)流量和系 統(tǒng)資源占用方面的正常行為����,從而使得在任意時(shí)刻相對(duì)統(tǒng)計(jì)值存在重大偏 離時(shí)生成警報(bào)�,之后任意相對(duì)定義的基準(zhǔn)線的偏離都被看作攻擊。
基于簽名的系統(tǒng)明確定義哪種行為被看作惡意的。特定簽名標(biāo)識(shí)該惡 意行為��,并且IDS將流量和資源利用與該簽名相比較�����。如果比較結(jié)果匹 配���,則指示存在惡意事件。在比較過程中���,每個(gè)分組且所有分組都被與簽 名比較�����。應(yīng)該注意��,簽名模式可被分散在多個(gè)分組中�,因此基于網(wǎng)絡(luò)的系 統(tǒng)必須重組會(huì)話并最終執(zhí)行協(xié)議分析�����。
簽名是根據(jù)它們嘗試匹配的攻擊的類型來分組的����。例如�����,IDS可以包
括嵌入式簽名或連接簽名��,嵌入式簽名是與IDS—起出現(xiàn)的特定已知攻擊
簽名�,而連接簽名是特定于協(xié)議的簽名��。例如����,協(xié)議定義(TCP/UDP)可 以包括端口號(hào)。IDS還可以包括字符串匹配簽名或ACL簽名��,字符串匹 配簽名是基于分組中的有效載荷部分的攻擊簽名��,而ACL簽名是由網(wǎng)絡(luò) 設(shè)備記錄的策略違背(policy-violation)簽名�。
針對(duì)每個(gè)子網(wǎng)中的各種服務(wù)器類型指定的用于檢測(cè)攻擊的簽名的示例 包括HTTP簽名3455 _ Java Web Server Cmd Exec; 5087 — WWW Sim Java Server Access; 5312 - .jsp/.jhtml Java Execution; 5375 — Apache mod—dav Over.ow; 5103 - WWW SuSE Apache CGI Source Access;以及 5160 - Apache indexing.le disclosure bug?�;赗PC的應(yīng)用簽名包括 6101 — RPC Port Unregistration; 6102 — RPC Dump; 6103 — Proxied RPC Request; 6104 — RPC Set Spoof; 6105 - RPC Unset Spoof; 6110 — RPC RSTATD Sweep; 6111 - RPC RUSERSD Sweep; 6112 - RPC NFS Sweep; 6113 — RPC MOUNTD Sweep;以及6114 — RPC YPPASSWDD Sweep�。 Windows/NetBIOS簽名包括3300 — NetBIOS OOB Data; 3301 — NETBIOS Stat; 3302 — NETBIOS Session Setup Faiiure; 3303 - Windows Guest Login; 3304 — Windows Null Account Name; 3305 — Windows Password File Access; 3306 - Windows Registry Access; 以及3327 — Windows RPC DCOM Over.ow 。
在網(wǎng)絡(luò)環(huán)境中使用的簽名屬于簽名組(例如HTTP組)��,因?yàn)楹诳褪?用HTTP來獲得對(duì)大多數(shù)應(yīng)用的訪問。其他簽名組包括對(duì)于服務(wù)器-服務(wù) 器通信廣泛使用的RPC組和特定于某些操作系統(tǒng)(例如 Windows/NetBIOS)的組����。
如果IDS被部署在因特網(wǎng)邊緣處,則用于保護(hù)服務(wù)器和應(yīng)用的公共簽 名包括以下這些簽名DNS簽名示例包括6050 - DNS HINFO Request; 6051 - DNS Zone Transfer; 6052 - DNS Zone Transfer from High Port; 6053 -DNS Request for All Records; 6054 - DNS Version Request; 6055 - DNS Inverse Query Buffer Overflow以及6056 - DNS NXT Buffer Overflow����。 HTTP簽名示例包括5188 - HTTP Tunneling; 5055 - HTTP Basic
Authentication Overflow; 3200 - WWW Phf Attack; 3202 - WWW .url File Requested; 3203 - WWW .Ink File Requested; 3204 - WWW .bat File Requested; 3212 - WWW NPH-TEST隱CGI Attack;以及3213 - WWW TEST-CGI Attack�。 FTP簽名示例包括3150 - FTP Remote Command Execution; 3151 -FTP SYST Command Attempt; 3152 - FTP CWD —root; 3153 - FTP Improper Address Specified ; 3154 - FTP Improper Port Specified; 3155 - FTP RETR Pipe Filename Command Execution; 3156 -FTP STOR Pipe Filename Command Execution; 3157 - FTP PASV Port Spoof; 3158-FTP SITE EXEC Format String; 3159 - FTP PASS Suspicious Length;以及3160 - Cesar FTP Buffer Overflow。 E-mail簽名示例包括 3100 - Smail Attack; 3101 - Sendmail Invalid Recipient; 3102 - Sendmail Invalid Sender; 3103 - Sendmail Reconnaissance; 3104 - Archaic Sendmail Attacks; 3105 - Sendmail Decode Alias; 3106 - Mail Spam;以及3107 -Majordomo Execute Attack ����。
識(shí)別過程可能需要通過監(jiān)視警報(bào)并在檢測(cè)到威脅時(shí)確定什么是正常的 什么是異常的來調(diào)節(jié)(tune)簽名,但是��,優(yōu)選地���,IDS被配置為具體針 對(duì)保護(hù)子網(wǎng)的任意防火墻所允許的協(xié)議發(fā)出警告�。當(dāng)檢測(cè)到威脅時(shí)����,生成 可疑流量警報(bào),并且優(yōu)選地����,威脅被IDS阻擋�,如步驟31所示�����。
IDS能夠利用特定機(jī)制對(duì)識(shí)別出的安全性事件作出響應(yīng)�。例如,與檢 測(cè)出的入侵相對(duì)應(yīng)的完整IP會(huì)話可被記入日志���。日志通常被用于法庭 (forensic)分析���,以確定事件的細(xì)節(jié)并識(shí)別安全性縫隙在何處以及如何 糾正它。該信息還可以在需要法律實(shí)施的情況下被用作證據(jù)��?�?商鎿Q地���, IDS可被配置用于代表受害系統(tǒng)執(zhí)行TCP重置����。在該配置中����,IDS發(fā)送利 用受害方的源IP地址生成的TCP重置和一個(gè)隨機(jī)MAC地址�,以避免與 第2層交換機(jī)和受害方的MAC地址發(fā)生沖突�。IDS還可以指導(dǎo)網(wǎng)絡(luò)設(shè)備 (例如路由器、交換機(jī)或防火墻)動(dòng)態(tài)應(yīng)用ACL來阻擋來自攻擊者的流 量��。該響應(yīng)是最具攻擊性的響應(yīng)�,在其意外地阻擋了有效流量時(shí),可能導(dǎo) 致自己引發(fā)的DoS問題�。在此情況下�,IDS可以利用各種協(xié)議(例如 Telnet和Secure Shell (SSH))與該避開的設(shè)備通信。
在操作中����,交換機(jī)11基于不同的接收到的分組的源MAC地址建立
第2層轉(zhuǎn)發(fā)表。該轉(zhuǎn)發(fā)表或訪問控制列表被交換機(jī)11用于將以某個(gè)MAC 地址為目的地的分組直接轉(zhuǎn)發(fā)到相應(yīng)的VLAN����。該特征通常被稱為單播轉(zhuǎn) 發(fā),因?yàn)榉纸M僅被從源發(fā)送到目的地��。在支持單播轉(zhuǎn)發(fā)的交換機(jī)中�,針對(duì) 被監(jiān)視的VLAN指定的流量被交換機(jī)11拷貝,并通過配置VACL特征 (遠(yuǎn)程或RSPAN VLAN)被發(fā)送到VLAN��。 VACL配置定義了要被監(jiān)視 的流量類型。具體而言�����,如圖3所示��,針對(duì)VLAN 12指定的流量被交換 機(jī)11拷貝���,并且該拷貝被發(fā)送到VLAN35�����。 RSPAN特征的使用不同于其 預(yù)期使用���,但提供了基于所選參數(shù)重定向流量的能力。VLAN35優(yōu)選地 是本地VLAN并且甚至可以是交換機(jī)11的一部分���,如虛線39所示���。如果 VLAN 12-14被配置用于捕獲,則來自每個(gè)這樣的VLAN的指定流量被拷 貝到VLAN 35���。為了使每個(gè)專用IDS都能查看所有流量�,操作軟件或硬 件將來自VLAN 35的流量重定向到適當(dāng)?shù)膶S肐DS。因此�,VLAN 12上 的流量被交換機(jī)11拷貝并被發(fā)送到VLAN35,在VLAN35�����,流量可被重 定向到IDS 37�。類似地,VLAN 13和14上的流量被拷貝到VLAN 35�����,然 后可被分別重定向到IDS 38和39��。在替換實(shí)施例中�����,流量可基于協(xié)議被 重定向��。在另一實(shí)施例中�����,流量基于源和協(xié)議被重定向��。 一般而言���,重定 向可按特定應(yīng)用所需的粒度來執(zhí)行��。
圖3的實(shí)施例的監(jiān)視過程在圖4中示出����。流量的重定向發(fā)生在交換機(jī) 11處�,其被配置為指定哪些VLAN的流量將被拷貝,如歩驟42所示��。如 果交換機(jī)11是Cisco交換機(jī)�����,則重定向是通過配置交換機(jī)以使每個(gè) VLAN或鏈路SPAN (跨越)到另一其中的流量將被拷貝的VLAN來實(shí)現(xiàn) 的��。SPAN將流量拷貝到一個(gè)VLAN����,該VLAN還可被運(yùn)載到不同于交換 機(jī)11的交換機(jī)。
拷貝的流量隨后被發(fā)送到VLAN 35����,如步驟43所示�����。 一旦拷貝的流 量在VLAN 35處被接收�,流量類型和源VLAN就被確定���,如步驟44所 示��。流量類型可以通過檢查分組頭部來確定��?���;诹髁款愋秃驮?��,VLAN 35過濾流量并重定向流量到特定IDS��,如步驟45所示。該操作優(yōu)選地是 通過在VLAN 35上應(yīng)用VACL REDIRECT判決來執(zhí)行的����。VACL
REDIRECT由操作系統(tǒng)執(zhí)行并應(yīng)用于路由入或路由出VLAN 35的所有分 組。VACL REDIRECT嚴(yán)格地用于分組過濾和基于配置重定向流量到特定 物理交換機(jī)端口����。
更具體而言�,VACL REDURECT被用來基于信息(例如子網(wǎng)�、協(xié)議 和第4層端口)判斷流量將在哪個(gè)端口上流出。因此�,如果接收到某種流 量模式,則VLAN 35識(shí)別出該流量的源�、目的地、協(xié)議和第4層端口并 將流量重定向到若干指定IDS之一��。
IDS使用簽名或模板(template)來檢測(cè)網(wǎng)絡(luò)上被認(rèn)為是安全性違背 的異常行為��,所述檢測(cè)是通過將模板與流量模式或特定流量會(huì)話相比較以 尋找匹配來執(zhí)行的��。匹配暗示已經(jīng)檢測(cè)到異常性并且需要某種動(dòng)作��。該動(dòng) 作可以是僅僅發(fā)送警報(bào)����,或者是發(fā)送警報(bào)并應(yīng)用被設(shè)計(jì)用于停止該異常性 的措施。
圖5示出用于拷貝流量��,然后重定向流量到指定IDS的方法�。具體而 言,在交換機(jī)11處的進(jìn)入流量利用SPAN命令被有選擇地拷貝,所述 SPAN命令由在交換機(jī)11上活動(dòng)的操作系統(tǒng)執(zhí)行���。因此��,多個(gè)進(jìn)入流中 的一個(gè)或多個(gè)在離開交換機(jī)11之前被拷貝到VLAN 35����。 VLAN 35利用由 活動(dòng)的操作系統(tǒng)執(zhí)行的VACL REDIRECT命令來監(jiān)視進(jìn)入流���。VACL REDIRECT用于確定流量類型(例如MAC��、 RPC或HTTP)����,然后將其 路由到特定IDS ���。例如���,對(duì)于從VLAN 12拷貝的流量,VACL REDIRECT命令識(shí)別出源是VLAN 12�����,該VLAN 12選擇第一組IDS傳感 器47�。然后,基于流量的類型����,VACL REDIRECT將具有特定類型的流 量重定向到相應(yīng)的IDS。例如��,如果VLAN 12上的流量包括RPC和 HTTP流量�����,貝U RPC流量被發(fā)送到IDS傳感器48���,而HTTP流量被發(fā)送 到IDS傳感器49�����。進(jìn)行類似的兩級(jí)分級(jí)判斷以路由流量到指定的IDS�����。 VLAN 13上的流量如果是RPC流量則被路由到IDS傳感器50���,如果是 HTTP流量則被路由到IDS傳感器51���。 IDS傳感器50禾Q 51處于第二組 IDS 52中。類似地�����,VLAN 14上的流量如果是RPC或HTTP流量���,則被 路由到IDS組53����。與所述多個(gè)流量源中的每一個(gè)相關(guān)聯(lián)的入侵檢測(cè)傳感 器可以包括單個(gè)虛擬的IDS傳感器�����。
一般而言�����,如果識(shí)別出不同的流量協(xié)議��、模式或源��,則定向到不同的
專用IDS����。利用該配置����,可以定義很多不同的IDS傳感器�����,其中每個(gè)IDS
傳感器監(jiān)視不同的流量協(xié)議或模式����。傳感器可以具有協(xié)議號(hào)所允許的粒
度���。VACL對(duì)流量是否將被拷貝或重定向進(jìn)行所有分析��。訪問控制列表被 配置用于定義用于特定流量源的子網(wǎng)���。實(shí)際上,對(duì)于交換機(jī)11中的第4 層協(xié)議和第4層端口 ��,關(guān)于每個(gè)IDS將接收哪種類型的流量可能是非常特 定的�����。此外,通過使來自子網(wǎng)的不感興趣的流量對(duì)IDS而言不可見���,可以 過濾掉無關(guān)警報(bào)�。該過濾功能意味著已知安全流量不經(jīng)過IDS�,并且只有 可疑或高危險(xiǎn)性的流量需要被IDS查看。
本發(fā)明通過提供多于一個(gè)或兩個(gè)IDS監(jiān)視來自多個(gè)子網(wǎng)的流量��,從而 實(shí)現(xiàn)了重要里程碑�����。此外����,本發(fā)明通過限制提供給每個(gè)IDS的流量的類型 而使得IDS能夠更有效地工作,從而減少了將報(bào)告的錯(cuò)誤肯定的數(shù)目����。通 過識(shí)別和過濾安全流量,實(shí)現(xiàn)了效率的進(jìn)一歩提高�。該過濾步驟提高了等 待時(shí)間并減少了錯(cuò)誤警報(bào)的的發(fā)生。因此��,利用本發(fā)明�,只有流量的一個(gè) 子集被每個(gè)IDS所監(jiān)視����,同時(shí)同一子集中的安全流量無需被監(jiān)視���。雖然在 這里描述的實(shí)施例中可以使用IP工業(yè)熟悉的機(jī)制��,但是將會(huì)理解,任意 能夠執(zhí)行訪問控制列表功能和重定向功能的設(shè)備都可被用于實(shí)現(xiàn)本發(fā)明��。 利用本發(fā)明����,用于防止由惡意黑客導(dǎo)致的網(wǎng)絡(luò)問題的成本立即被大大降 低。
因此���,本發(fā)明提供了一種新型入侵檢測(cè)系統(tǒng)���,該系統(tǒng)能夠識(shí)別流量 源,過濾流量以分類其是安全的還是可疑的�����,然后應(yīng)用復(fù)雜的檢測(cè)技術(shù)�, 例如狀態(tài)模式識(shí)別����、協(xié)議解析�、啟發(fā)式檢測(cè)和異常性檢測(cè)。這些技術(shù)可以 單獨(dú)應(yīng)用也可以與IDS傳感器組合應(yīng)用�����,所述IDS傳感器專用于監(jiān)視來自 特定流量源的特定類型的流量����。由于流量被過濾以除去不感興趣的流量并 且不同傳感器監(jiān)視流量的不同部分,因此由于較少流量被路由到用于監(jiān)視 的IDS而使效率大大提高��。因此����,每個(gè)IDS傳感器采用的檢測(cè)技術(shù)可被具 體限定和細(xì)化,以確保全面地防范多種己知和未知的威脅��,同時(shí)減少等待 時(shí)間���。
雖然已經(jīng)參考特定實(shí)施例描述了本發(fā)明����,但是這些實(shí)施例僅僅是示例
性的而非限制性的。例如�,網(wǎng)絡(luò)可以包括不同的路由器、交換機(jī)�����、服務(wù)器 以及在這樣的網(wǎng)路中常見的其他組件或設(shè)備���。此外���,這些組件可以包括以 不同于這里所述的方式實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備和其他設(shè)備之間的連接功能的軟件算 法���。
這里描述的可執(zhí)行代碼可以以任意合適的編程語言來實(shí)現(xiàn)以實(shí)現(xiàn)本發(fā)
明的例程���,包括C、 C++���、 Java�����、匯編語言等等����。可以采用不同的編程技
術(shù)�,例如程序性的或面向?qū)ο蟮摹@炭梢栽诓僮飨到y(tǒng)環(huán)境中工作�����,或者 作為占用系統(tǒng)處理的全部或絕大部分的獨(dú)立例程工作�。
在這里的描述中,提供了具體細(xì)節(jié)(例如組件和/或方法的示例)����, 以對(duì)本發(fā)明的實(shí)施例提供全面理解。但是����,本領(lǐng)域技術(shù)人員將意識(shí)到,沒 有這些具體細(xì)節(jié)中的一個(gè)或多個(gè)或者利用其他裝置�、系統(tǒng)、裝備�����、方法、 組件��、材料�����、部件等等也可以實(shí)現(xiàn)本發(fā)明的實(shí)施例���。在其他情況下�,沒有 具體示出或描述公知的結(jié)構(gòu)�、材料或操作,以免模糊本發(fā)明的實(shí)施例的各 個(gè)方面���。
這里使用的各種數(shù)據(jù)庫���、應(yīng)用軟件或網(wǎng)絡(luò)工具可能位于一個(gè)或多個(gè)服 務(wù)器計(jì)算機(jī)中��,更具體而言���,位于這種服務(wù)器計(jì)算機(jī)的存儲(chǔ)器中��。出于本 發(fā)明實(shí)施例的目的�����,這里使用的"存儲(chǔ)器"可以是任意包含��、存儲(chǔ)�、傳 輸、傳播或運(yùn)送程序以用于指令執(zhí)行系統(tǒng)���、裝置���、系統(tǒng)或設(shè)備或與指令執(zhí) 行系統(tǒng)、裝置�����、系統(tǒng)或設(shè)備結(jié)合使用的介質(zhì)���。存儲(chǔ)器例如(但不局限于) 可以是電子的��、磁的����、光的�、電磁的��、紅外的或半導(dǎo)體系統(tǒng)�����、裝置�����、系 統(tǒng)�����、設(shè)備��、傳播介質(zhì)或計(jì)算機(jī)存儲(chǔ)器��。
貫穿整個(gè)說明書�,提到的"一個(gè)實(shí)施例"����、"實(shí)施例"或"特定實(shí)施 例"意味著結(jié)合該實(shí)施例所述的特定特征�����、結(jié)構(gòu)或特性被包括在本發(fā)明的 至少一個(gè)實(shí)施例中并且不一定包括在所有實(shí)施例中。因此�,在說明書中各 個(gè)位置上分別出現(xiàn)的短語"在一個(gè)實(shí)施例中"、"在實(shí)施例中"或"在特 定實(shí)施例中"不一定指的是同一實(shí)施例�����。此外�����,本發(fā)明的任意特定實(shí)施例 的特定特征����、結(jié)構(gòu)或特性可以按任意合適的方式被與一個(gè)或多個(gè)其他實(shí)施 例組合在一起。將會(huì)理解�,對(duì)這里描述和示出的本發(fā)明的實(shí)施例的其他變 化和修改根據(jù)這里的教導(dǎo)是可能的,并且將被認(rèn)為是本發(fā)明的精神和范圍
的一部分����。
本發(fā)明的實(shí)施例可以通過使用經(jīng)編程的通用數(shù)字計(jì)算機(jī)、專用集成電 路�、可編程邏輯器件、現(xiàn)場(chǎng)可編程門陣列來實(shí)現(xiàn)����,可以使用光的�����、化學(xué)
的�、生物的��、量子的或納米工程(nanoengineered)系統(tǒng)���、組件和機(jī)構(gòu)��。 一般而言�����,本發(fā)明的功能可以利用本領(lǐng)域已知的任何裝置來實(shí)現(xiàn)��。分布式 的或聯(lián)網(wǎng)的系統(tǒng)���、組件和電路可被使用。數(shù)據(jù)的通信或傳輸可以是有線 的���、無線的或利用任何其他裝置�����。
還將意識(shí)到�����,附圖中示出的一個(gè)或多個(gè)元件也可以用更加分離或集成 的方式來實(shí)現(xiàn)���,或者在某些情況下甚至被去除或使之不工作以用于特定應(yīng) 用。實(shí)現(xiàn)可被存儲(chǔ)在機(jī)器可讀介質(zhì)中以允許計(jì)算機(jī)執(zhí)行任意上述方法的程 序或代碼也包括在本發(fā)明的精神和范圍中���。
另外��,附圖中的任意信號(hào)箭頭應(yīng)被視為示例性的而非限制性的��,除非 另外特別注明�。此外���,除非另外指明���,否則這里使用的術(shù)語"或" 一般希 望指的是"和/或"。組件或步驟的組合也將被視為顯著的�,其中術(shù)語被 預(yù)見為能夠?qū)Σ磺宄庍M(jìn)行分離或組合。
在這里的描述和所附權(quán)利要求中使用的"一個(gè)"和"這個(gè)"包括復(fù)數(shù) 情況�,除非上下文另外明確指示�。而且�����,這里的描述和所附權(quán)利要求中使 用的"在...中"的意思包括"在...中"和"在...上"�,除非上下文另外明 確指示。
前面對(duì)本發(fā)明所示實(shí)施例的描述(包括摘要的描述)不希望被視為窮 盡的或?qū)⒈景l(fā)明限制在這里公開的精確形式���。雖然這里描述的本發(fā)明的特 定實(shí)施例和示例出于舉例說明的目的����,但是本領(lǐng)域技術(shù)人員將會(huì)意識(shí)到�����, 在本發(fā)明的精神和范圍內(nèi)可以進(jìn)行各種等同修改�����。如上所述�,根據(jù)前面對(duì) 本發(fā)明所示實(shí)施例的描述,可以對(duì)本發(fā)明進(jìn)行各種修改��,并且這些修改將 被包括在本發(fā)明的精神和范圍內(nèi)。
因此��,雖然已經(jīng)參考本發(fā)明的特定實(shí)施例描述了本發(fā)明�,但是在前述 公開中將想到各種修改、變化和替換�����,并且將意識(shí)到����,在某些情況下�,無 需相應(yīng)地使用其它特征,本發(fā)明的實(shí)施例的某些特征就將被采用���,并且不 會(huì)脫離本發(fā)明的精神和范圍����。因此���,可以執(zhí)行很多修改���,以使得特定情況
或材料適應(yīng)于本發(fā)明的本質(zhì)范圍和精神。希望本發(fā)明不局限于所附權(quán)利要 求書中的使用的特定術(shù)語和/或作為為了實(shí)現(xiàn)本發(fā)明而設(shè)想的最佳實(shí)施方 式而公開的特定實(shí)施例,而是希望本發(fā)明包括落在所附權(quán)利要求書的范圍 中的所有修改和等同物���。
權(quán)利要求
1.一種在具有多個(gè)流量源的網(wǎng)絡(luò)環(huán)境中用于監(jiān)視所述多個(gè)流量源中的至少一部分上的流量的系統(tǒng)�,包括用于拷貝來自所述多個(gè)流量源中的每個(gè)流量源的流量的裝置���;多個(gè)入侵檢測(cè)系統(tǒng)�����,其中所述多個(gè)流量源中的每個(gè)流量源與至少一個(gè)所述入侵檢測(cè)系統(tǒng)相關(guān)聯(lián)���;以及用于將來自所述多個(gè)流量源中的每個(gè)流量源的經(jīng)拷貝的流量重定向到所述多個(gè)入侵檢測(cè)系統(tǒng)中的所述相關(guān)聯(lián)的一個(gè)入侵檢測(cè)系統(tǒng)的裝置。
2. 如權(quán)利要求1所述的系統(tǒng)��,還包括用于過濾所述經(jīng)拷貝的流量的裝置�。
3. 如權(quán)利要求2所述的系統(tǒng),其中所述用于過濾的裝置包括訪問控制列表�����,該訪問控制列表將所選流量轉(zhuǎn)發(fā)到所述相關(guān)聯(lián)的入侵檢測(cè)系統(tǒng)��。
4. 如權(quán)利要求3所述的系統(tǒng)���,其中所述過濾包括區(qū)分流量類型的訪問 控制列表����。
5. 如權(quán)利要求4所述的系統(tǒng),其中所述重定向裝置包括用于基于流量 類型將流量發(fā)送到所述多個(gè)入侵檢測(cè)系統(tǒng)之一的裝置��。
6. 如權(quán)利要求1所述的系統(tǒng)����,其中所述流量源包括大于兩個(gè)的多個(gè) VLAN和協(xié)議�����,并且所述多個(gè)入侵檢測(cè)系統(tǒng)包括用于所述多個(gè)VLAN和協(xié) 議中的每一個(gè)的至少一個(gè)入侵檢測(cè)系統(tǒng)�。
7. 如權(quán)利要求1所述的系統(tǒng),還包括用于將至少一個(gè)入侵檢測(cè)系統(tǒng)與 每個(gè)流量源相關(guān)聯(lián)并且用于基于流量類型將所述經(jīng)拷貝的流量重定向到所 述入侵檢測(cè)系統(tǒng)之一的裝置�����。
8. 如權(quán)利要求7所述的系統(tǒng)����,其中所述入侵檢測(cè)系統(tǒng)還包括用于向所 選類型的流量應(yīng)用各種檢測(cè)技術(shù)的裝置。
9. 如權(quán)利要求8所述的系統(tǒng)���,其中與流量源相關(guān)聯(lián)的所述多個(gè)入侵檢 測(cè)系統(tǒng)包括用于監(jiān)視至少兩種類型流量的多個(gè)入侵檢測(cè)傳感器����。
10. 如權(quán)利要求9所述的系統(tǒng),其中所述多個(gè)入侵檢測(cè)傳感器中的每 一個(gè)適合于監(jiān)視具有以下流量類型之一的流量RPC�����、 HTTP���、 DNS�����、 MAC或SMTP ��。
11. 如權(quán)利要求IO所述的系統(tǒng)���,其中與所述多個(gè)流量源中的每個(gè)流量 源相關(guān)聯(lián)的所述入侵檢測(cè)傳感器包括單個(gè)虛擬的IDS傳感器。
12. —種在具有至少三個(gè)子網(wǎng)的網(wǎng)絡(luò)中用于有選擇地監(jiān)視每個(gè)所述子 網(wǎng)上的流量的系統(tǒng)�����,包括多個(gè)入侵檢測(cè)系統(tǒng)���; 適合于識(shí)別要被拷貝的流量的交換機(jī)�����; 適合于接收所述經(jīng)拷貝的流量的VLAN;以及與所述VLAN相關(guān)聯(lián)的交換機(jī)����,其適合于對(duì)流量源和流量類型執(zhí)行分 級(jí)判決,并且適合于基于所述流量源和流量類型將所述流量有選擇地發(fā)送 到所述入侵檢測(cè)系統(tǒng)中的一個(gè)所選入侵檢測(cè)系統(tǒng)�。
13. 如權(quán)利要求12所述的系統(tǒng),還包括用于從所述經(jīng)拷貝的流量中過 濾出安全流量的裝置�。
14. 如權(quán)利要求13所述的系統(tǒng),其中所述過濾裝置包括被配置用于對(duì) 所述流量執(zhí)行VACL REDIRECT命令的網(wǎng)絡(luò)交換機(jī)�����。
15. 如權(quán)利要求14所述的系統(tǒng)��,其中所述過濾裝置包括訪問控制列 表���,該訪問控制列表將所選流量重定向到所述相關(guān)聯(lián)的入侵檢測(cè)系統(tǒng)。
16. —種在具有至少三個(gè)子網(wǎng)的網(wǎng)絡(luò)中用于有選擇地監(jiān)視每個(gè)所述子 網(wǎng)上的流量的方法���,包括配置用于拷貝來自每個(gè)所述子網(wǎng)的流量的第一交換機(jī)����;將所述經(jīng)拷貝的流量的拷貝發(fā)送到虛擬局域網(wǎng);確定所述流量的源和目的地�����;確定流量類型(第4層協(xié)議和第4層端口)���;基于所述確定步驟�,過濾所述流量以去除安全流量��;以及將經(jīng)過濾的流量重定向到入侵檢測(cè)系統(tǒng)����。
17. 如權(quán)利要求16所述的方法,其中所述重定向步驟還包括將每個(gè)流量源與至少一個(gè)入侵檢測(cè)系統(tǒng)相關(guān)聯(lián)的步驟���。
18. 如權(quán)利要求17所述的方法�,其中所述重定向歩驟還包括針對(duì)對(duì)于所選流量源監(jiān)視的每種類型的流量關(guān)聯(lián)至少一個(gè)入侵檢測(cè)系統(tǒng)的步驟�����。
19. 如權(quán)利要求16所述的方法��,其中所述配置步驟包括針對(duì)要被監(jiān)視的每個(gè)流量源利用VACL命令配置交換機(jī)。
20. 如權(quán)利要求16所述的方法�����,其中所述確定步驟和所述過濾步驟包 括利用VACL REDIRECT命令配置第二交換機(jī)���。
全文摘要
本發(fā)明提供了一種入侵檢測(cè)系統(tǒng)(1)(IDS)�,其能夠識(shí)別流量源��,過濾流量(28)以將其分類為安全的或可疑的�,然后基于流量類型來單獨(dú)地或組合地應(yīng)用復(fù)雜的檢測(cè)技術(shù),例如狀態(tài)模式識(shí)別���、協(xié)議解析�����、啟發(fā)式檢測(cè)和異常性檢測(cè)。在網(wǎng)絡(luò)環(huán)境中���,每個(gè)流量源(12)具有至少一個(gè)IDS傳感器(22-24)�����,該IDS傳感器專用于監(jiān)視特定類型的流量�,例如RPC、HTTP���、SMTP�、DNS等等��。來自每個(gè)流量源(12)的流量被過濾以去除已知的安全流量�����,從而通過使每個(gè)IDS傳感器(22-24)集中針對(duì)一種特定流量類型來提高效率和增大精確性�。
文檔編號(hào)G06F15/173GK101116068SQ200580031064
公開日2008年1月30日 申請(qǐng)日期2005年10月11日 優(yōu)先權(quán)日2004年10月28日
發(fā)明者毛里西奧·波爾托拉尼, 毛里西奧·阿雷格賽斯, 蒂莫西·W·史蒂文森 申請(qǐng)人:思科技術(shù)公司