專利名稱:網(wǎng)絡(luò)信息安全區(qū)域聯(lián)合偵防系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明是有關(guān)一種網(wǎng)絡(luò)信息安全機(jī)制��,尤指在一網(wǎng)絡(luò)系統(tǒng)中�����,當(dāng)一網(wǎng)絡(luò)偵測(cè)設(shè)備發(fā)現(xiàn)任一使用者計(jì)算機(jī)發(fā)生網(wǎng)絡(luò)異常行為時(shí)���,可以在網(wǎng)絡(luò)最邊緣端(edge),實(shí)時(shí)中斷使用者計(jì)算機(jī)的網(wǎng)絡(luò)聯(lián)機(jī)服務(wù)�����,以避免造成該異常行為的病毒持續(xù)肆瘧�,擴(kuò)散至相同或其它網(wǎng)絡(luò)區(qū)段的網(wǎng)絡(luò)信息安全區(qū)域聯(lián)合偵防系統(tǒng)����。
背景技術(shù):
近年來(lái),由于網(wǎng)際網(wǎng)絡(luò)的快速成長(zhǎng)�����,加上電子商務(wù)的掘起,使得人們對(duì)網(wǎng)絡(luò)所可能帶來(lái)的商機(jī)����,存在無(wú)限美好的憧景,然而�����,在仰賴信息科技的同時(shí)��,仍存在許多潛在的網(wǎng)絡(luò)安全威脅與駭客攻擊����。舉例來(lái)說(shuō),有些駭客攻擊的目的�����,并非在入侵業(yè)者的計(jì)算機(jī)系統(tǒng)盜取或竄改網(wǎng)頁(yè)資料����,而是利用網(wǎng)際網(wǎng)略開(kāi)放系統(tǒng)與傳輸便利的特性,采取一種所謂“分布式阻斷服務(wù)攻擊”(distributed denial of service attacks��,簡(jiǎn)稱DDoS攻擊),利用分散于不同地方的多部計(jì)算機(jī)�����,發(fā)送大量偽造來(lái)源地址(spoofedsource IP addresses)的封包���,癱瘓受害者所在的網(wǎng)絡(luò)服務(wù)器�,使得正常的接通率降到1%以下���,導(dǎo)致無(wú)法提供正常的服務(wù)��。
按�����,DDoS攻擊是透過(guò)網(wǎng)絡(luò)分散來(lái)源的技巧來(lái)完成��,其攻擊方式是從網(wǎng)絡(luò)上的許多臺(tái)計(jì)算機(jī)同時(shí)發(fā)動(dòng)類似所謂阻斷服務(wù)(Denial-of-Service�����,簡(jiǎn)稱DoS)的攻擊行為�����,遭受攻擊的網(wǎng)絡(luò)服務(wù)器需同時(shí)面對(duì)的敵人數(shù)目��,將是來(lái)自不同網(wǎng)域的數(shù)百臺(tái)計(jì)算機(jī)����,其獨(dú)特之處是在�����,DDoS攻擊無(wú)意終止掉遭攻擊的網(wǎng)絡(luò)服務(wù)器的系統(tǒng)程序�����,而是同時(shí)送出遠(yuǎn)超過(guò)網(wǎng)絡(luò)負(fù)荷或遠(yuǎn)超過(guò)遭攻擊計(jì)算機(jī)所能允許的最大聯(lián)機(jī)數(shù)量的資料��,以達(dá)癱瘓目標(biāo)網(wǎng)站的目的�����。因此����,DDoS攻擊必需以一定數(shù)量的計(jì)算機(jī),作為發(fā)動(dòng)攻擊的攻擊服務(wù)器(Daemon),待駭客發(fā)出攻擊命令時(shí)���,才可透過(guò)該等攻擊服務(wù)器�����,同時(shí)鎖定目標(biāo)���,進(jìn)行癱瘓性攻擊。一般言��,駭客為了隱密地發(fā)動(dòng)DDoS攻擊���,會(huì)先以盜取��、監(jiān)聽(tīng)方式�,獲取不法的帳號(hào)���,取得某些發(fā)起計(jì)算機(jī)(Master)����,并將入侵的后門程序放置在該等發(fā)起計(jì)算機(jī)上���,然后����,透過(guò)該等發(fā)起計(jì)算機(jī)上的后門程序��,開(kāi)始嘗試入侵為數(shù)眾多的網(wǎng)絡(luò)計(jì)算機(jī)��,以取得足夠數(shù)量的計(jì)算機(jī)���,作為攻擊服務(wù)器����。最后�,駭客會(huì)在該等發(fā)起計(jì)算機(jī)上放置攻擊發(fā)起程序,用以通知該等攻擊服務(wù)器�,發(fā)動(dòng)DDoS攻擊,且在該等攻擊服務(wù)器上放置攻擊程序����,實(shí)際執(zhí)行癱瘓攻擊的任務(wù)。
一般言����,DDoS攻擊方式主要是利用TCP/IP通訊協(xié)議中要求(request)及響應(yīng)(response)模式上的漏洞,進(jìn)行攻擊。按�,在網(wǎng)絡(luò)系統(tǒng)中,通訊雙方為了確保彼此的連結(jié)溝通�,通常會(huì)由一方發(fā)出一要求封包予另一方,并等候?qū)Ψ交貜?fù)一正確的響應(yīng)封包�����,若對(duì)方能回復(fù)一正確的響應(yīng)封包��,即確保雙方可正常連結(jié)����,送收信息。舉例而言�,在TCP/IP通訊協(xié)議中,甲端跟乙端的連結(jié)溝通�����,會(huì)先由甲端送出一個(gè)SYN的封包予乙端�����,當(dāng)乙端收到該要求封包后����,會(huì)回復(fù)一個(gè)SYN-ACK的封包予甲端�,最后���,甲端會(huì)再送出一個(gè)ACK的封包予乙端���,作為確認(rèn)����,在完成該等程序后,甲端與乙端便能確認(rèn)彼此的連結(jié)�,進(jìn)而開(kāi)始送收資料。針對(duì)該種溝通模式��,駭客在網(wǎng)絡(luò)上試圖產(chǎn)生大量的SYN封包給特定計(jì)算機(jī)�����,卻不回送ACK的封包給該計(jì)算機(jī)�,使受攻擊的目標(biāo)計(jì)算機(jī)或網(wǎng)絡(luò)因無(wú)法處理由駭客所發(fā)出或偽造的大量垃圾封包,而導(dǎo)致系統(tǒng)停滯或當(dāng)機(jī)����。
因此�,為有效防制DDoS攻擊����,系統(tǒng)管理者必需找出已經(jīng)被放置該等常駐攻擊程序的網(wǎng)絡(luò)計(jì)算機(jī),始能解決被DDoS攻擊的威脅���。目前���,已有許多偵測(cè)攻擊常駐程序的工具,如在Windows系統(tǒng)中����,可利用IIS的Internet Scanner 6.01程序與RealSecure 3.2.1程序來(lái)進(jìn)行掃描,其中前者能有效地掃描出TribeFlood Network的常駐攻擊程序����,并協(xié)助找出網(wǎng)站漏洞,以避免該網(wǎng)站成為駭客進(jìn)行DDoS攻擊的幫兇�,后者則能偵測(cè)出DDoS的發(fā)起計(jì)算機(jī)與攻擊服務(wù)器間的通訊,進(jìn)而有效地阻止駭客激活DDoS攻擊��。此外�,英國(guó)NIPC亦針對(duì)DDoS攻擊,發(fā)展出一種用以發(fā)現(xiàn)DDoS攻擊的程序�,該程序能令系統(tǒng)管理者針對(duì)自己的系統(tǒng)進(jìn)行偵測(cè)��,以確定是否曾被安裝了DDoS之類的攻擊程序���。最后,系統(tǒng)管理者也可監(jiān)控計(jì)算機(jī)或路由器(Router)���,把怪異的偽造來(lái)源IP封包過(guò)濾掉����,如10.0.0.0/8����、172.16.0.0/12�、192.168.0.0/16,或把網(wǎng)絡(luò)計(jì)算機(jī)不需要的服務(wù)端口(service port)關(guān)掉����,同時(shí),也可在網(wǎng)絡(luò)計(jì)算機(jī)或路由器(Router)上設(shè)定可登錄之對(duì)象等等…��,來(lái)防止入侵���。然而�����,現(xiàn)行的網(wǎng)絡(luò)攻擊行為�����,大多是經(jīng)由內(nèi)部發(fā)動(dòng)攻擊��,實(shí)令系統(tǒng)管理者防不勝防�����,且僅能在問(wèn)題發(fā)生后��,加以防治��,但往往為時(shí)已晚���。事實(shí)上�����,網(wǎng)絡(luò)安全機(jī)制的建立是環(huán)環(huán)相扣的����,為有效且實(shí)時(shí)地避免惡意攻擊行為造成網(wǎng)絡(luò)嚴(yán)重癱瘓,必須能在發(fā)現(xiàn)網(wǎng)絡(luò)異常行為時(shí)���,透過(guò)一些自動(dòng)的機(jī)制���,立即加以阻止。一般言�,針對(duì)使用者使用系統(tǒng)管理者所制定不允許的網(wǎng)絡(luò)存取與服務(wù),現(xiàn)有許多網(wǎng)絡(luò)設(shè)備(如交換機(jī))及網(wǎng)絡(luò)安全設(shè)備(如防火墻(firewall))等�,都提供有可進(jìn)行網(wǎng)絡(luò)流量監(jiān)控及網(wǎng)絡(luò)存取控管的機(jī)制,可惜的是����!這些安全監(jiān)控設(shè)備間缺少互動(dòng)機(jī)制,致未能實(shí)時(shí)串連���,無(wú)法有效扼止網(wǎng)絡(luò)被惡意攻擊。
目前���,網(wǎng)絡(luò)聯(lián)機(jī)控管技術(shù)只能針對(duì)違反網(wǎng)絡(luò)政策的異常封包或聯(lián)機(jī)�����,在該網(wǎng)絡(luò)流量通過(guò)該網(wǎng)絡(luò)安全設(shè)備時(shí)進(jìn)行阻斷��,但對(duì)于未通過(guò)該網(wǎng)絡(luò)安全設(shè)備的流量����,并無(wú)法查覺(jué)或有效阻絕使用者計(jì)算機(jī)的網(wǎng)絡(luò)聯(lián)機(jī),因此�����,若遭遇持續(xù)性或大量的網(wǎng)絡(luò)攻擊行為�����,或異常的網(wǎng)絡(luò)存取����,網(wǎng)絡(luò)管理者會(huì)一直為了處理該等不允許的網(wǎng)絡(luò)存取與服務(wù),變得非常忙碌�����,無(wú)暇有效且實(shí)時(shí)地處理網(wǎng)絡(luò)被惡意攻擊的問(wèn)題����,故,必須透過(guò)一網(wǎng)絡(luò)管理計(jì)算機(jī),聯(lián)機(jī)到網(wǎng)絡(luò)交換器����,以手動(dòng)方式變更設(shè)定,中斷使用者計(jì)算機(jī)的網(wǎng)絡(luò)聯(lián)機(jī)����,此一作法,不僅無(wú)法達(dá)到有效且實(shí)時(shí)的主動(dòng)防護(hù)功能���,且往往使得損失變的非常嚴(yán)重�。茲列舉一實(shí)例�,參閱圖1所示,傳統(tǒng)的網(wǎng)際網(wǎng)絡(luò)可以包含了一網(wǎng)絡(luò)管理計(jì)算機(jī)11�、網(wǎng)絡(luò)偵測(cè)設(shè)備20、若干不同網(wǎng)絡(luò)區(qū)段A����、B、C的網(wǎng)絡(luò)交換器30�、31�����、40、41及若干服務(wù)器50連接至網(wǎng)絡(luò)偵測(cè)設(shè)備20及復(fù)數(shù)臺(tái)使用者計(jì)算機(jī)10���、12連接至網(wǎng)絡(luò)交換器31�。扼要說(shuō)明網(wǎng)絡(luò)系統(tǒng)遭病毒攻擊的過(guò)程及所使用的應(yīng)變方法如下(1)一使用者計(jì)算機(jī)10(其IP地址為192.168.1.2)已感染到一種疾風(fēng)蠕蟲(chóng)型病毒(WORM_MSBLAST.A)�����,并開(kāi)始發(fā)送出大量的TCPSYN(DST port135)封包����,并且在網(wǎng)絡(luò)上掃描(scan)所有安裝Windows操作系統(tǒng)的計(jì)算機(jī),以透過(guò)Windows操作系統(tǒng)中RPC DCOM Overflow的漏洞�����,同時(shí)對(duì)該等計(jì)算機(jī)傳播病毒�����;(2)當(dāng)該等TCP SYN(DST port135)封包經(jīng)過(guò)一網(wǎng)絡(luò)偵測(cè)設(shè)備20時(shí)���,若網(wǎng)絡(luò)管理者已在該網(wǎng)絡(luò)偵測(cè)設(shè)備20上完成安全性的設(shè)定��,將可成功地阻檔下該等TCP SYN(DST port135)封包�����,令其不致散布到網(wǎng)絡(luò)區(qū)段(subnet)B及C����,另,若網(wǎng)絡(luò)管理者已在該網(wǎng)絡(luò)偵測(cè)設(shè)備20上激活適當(dāng)?shù)木婕凹o(jì)錄設(shè)定�����,則網(wǎng)絡(luò)管理者必需再登入到該網(wǎng)絡(luò)偵測(cè)設(shè)備20�,查看Log紀(jì)錄,進(jìn)而分析出是否有任何使用者計(jì)算機(jī)發(fā)生大量發(fā)送TCP SYN(DST port135)封包的異常行為����;(3)由于,圖1所示的網(wǎng)絡(luò)交換器30����、31均屬于同一網(wǎng)絡(luò)區(qū)段A,該網(wǎng)絡(luò)偵測(cè)設(shè)備20并無(wú)法對(duì)同一網(wǎng)絡(luò)區(qū)段中�����,由該計(jì)算機(jī)10發(fā)出的TCP SYN(DST port135)封包���,進(jìn)行阻擋�,故在網(wǎng)絡(luò)區(qū)段A中�����,與該等網(wǎng)絡(luò)交換器30����、31相聯(lián)機(jī),且具有同樣漏洞的其它使用者計(jì)算機(jī)12����,便均會(huì)遭受病毒感染及DDoS攻擊;(4)因此��,網(wǎng)絡(luò)管理者必需透過(guò)一網(wǎng)絡(luò)管理計(jì)算機(jī)11�,完成步驟(2)所述的分析警告及紀(jì)錄的程序,以確認(rèn)攻擊計(jì)算機(jī)10是透過(guò)該網(wǎng)絡(luò)交換器31連結(jié)上網(wǎng)絡(luò)����,再令該網(wǎng)絡(luò)管理計(jì)算機(jī)11聯(lián)機(jī)到該網(wǎng)絡(luò)交換器31,設(shè)定阻斷該計(jì)算機(jī)10的網(wǎng)絡(luò)服務(wù)���。然而��,在完成整個(gè)阻斷設(shè)定所需的冗長(zhǎng)時(shí)間內(nèi)����,該病毒可能早已擴(kuò)散至該網(wǎng)絡(luò)區(qū)段A、B及C上的其它計(jì)算機(jī)�����。
據(jù)上所述可知�,傳統(tǒng)網(wǎng)絡(luò)偵測(cè)設(shè)備間因缺少互動(dòng)機(jī)制,致未能實(shí)時(shí)串連以有效扼止網(wǎng)絡(luò)被惡意攻擊�����。故如何將網(wǎng)絡(luò)偵測(cè)設(shè)備加以整合�,以在發(fā)現(xiàn)使用者計(jì)算機(jī)的異常網(wǎng)絡(luò)行為時(shí),得實(shí)時(shí)在源頭就中斷使用者計(jì)算機(jī)的網(wǎng)絡(luò)聯(lián)機(jī)服務(wù)�,以避免病毒持續(xù)肆瘧擴(kuò)散至相同或其它網(wǎng)絡(luò)區(qū)段,進(jìn)而防止發(fā)動(dòng)DDoS攻擊癱瘓網(wǎng)絡(luò)服務(wù)器�,即成為網(wǎng)絡(luò)業(yè)者極為重視,且亟待解決的一重要課題�。
發(fā)明內(nèi)容
有鑒于前述傳統(tǒng)網(wǎng)絡(luò)聯(lián)機(jī)控管技術(shù),只能針對(duì)通過(guò)自身的網(wǎng)絡(luò)流量中違反網(wǎng)絡(luò)政策的異常封包或聯(lián)機(jī)進(jìn)行阻斷設(shè)定�,而無(wú)法自動(dòng)且實(shí)時(shí)地從源頭中斷該異常網(wǎng)絡(luò)聯(lián)機(jī),發(fā)明人乃根據(jù)多年來(lái)從事網(wǎng)絡(luò)設(shè)備及系統(tǒng)開(kāi)發(fā)的技術(shù)經(jīng)驗(yàn)���,及所累積的專業(yè)知識(shí)��,針對(duì)病毒擴(kuò)散及癱瘓網(wǎng)站的特性及方式�����,悉心研究各種解決方案�����,并經(jīng)不斷研究�、實(shí)驗(yàn)與改良后�����,終于開(kāi)發(fā)設(shè)計(jì)出本發(fā)明的一種網(wǎng)絡(luò)信息安全區(qū)域聯(lián)合偵防系統(tǒng)��。
本發(fā)明的一目的��,是透過(guò)一網(wǎng)絡(luò)偵測(cè)設(shè)備監(jiān)控網(wǎng)絡(luò)聯(lián)機(jī)狀態(tài)����,當(dāng)該網(wǎng)絡(luò)偵測(cè)設(shè)備偵測(cè)到網(wǎng)絡(luò)中任一使用者計(jì)算機(jī)有違反網(wǎng)絡(luò)存取服務(wù)規(guī)則的異常行為時(shí),除了可以立即在自身設(shè)備阻斷該異常聯(lián)機(jī)�����,更可以進(jìn)而自動(dòng)地聯(lián)機(jī)到提供使用者計(jì)算機(jī)網(wǎng)絡(luò)聯(lián)機(jī)的網(wǎng)絡(luò)交換器,令該網(wǎng)絡(luò)交換器中斷對(duì)該使用者計(jì)算機(jī)提供網(wǎng)絡(luò)聯(lián)機(jī)�,迅速將發(fā)起惡意封包或違反網(wǎng)絡(luò)存取政策的計(jì)算機(jī),阻隔在正常網(wǎng)絡(luò)聯(lián)機(jī)之外���,以有效避免病毒或駭客持續(xù)肆瘧擴(kuò)散至相同或其它網(wǎng)絡(luò)區(qū)段�,進(jìn)而防止病毒發(fā)動(dòng)DDoS攻擊�,癱瘓網(wǎng)絡(luò)服務(wù)器,大幅減少了其對(duì)網(wǎng)絡(luò)系統(tǒng)所造成的傷害及損失�����。
本發(fā)明的另一目的����,是提供一種網(wǎng)絡(luò)偵測(cè)設(shè)備,以臨界條件決定是否發(fā)出中斷網(wǎng)絡(luò)的指令�,網(wǎng)絡(luò)管理者無(wú)需再耗費(fèi)時(shí)間尋找受感染的計(jì)算機(jī),且在發(fā)現(xiàn)受感染的計(jì)算機(jī)后��,亦無(wú)需以手動(dòng)方式����,將受感染計(jì)算機(jī)的中斷網(wǎng)絡(luò)服務(wù)指令����,加入與其相聯(lián)機(jī)的網(wǎng)絡(luò)交換器中���,大幅縮減了網(wǎng)絡(luò)管理所需付出的人力及時(shí)間�����。
本發(fā)明的又一目的,是利用SNMP(Simple Network ManagementProtocol)網(wǎng)絡(luò)管理協(xié)議�,在該網(wǎng)絡(luò)偵測(cè)設(shè)備上新增一功能,定義網(wǎng)絡(luò)管理者所需激活網(wǎng)絡(luò)區(qū)域聯(lián)合偵防動(dòng)作的條件��。一旦使用者計(jì)算機(jī)發(fā)出觸發(fā)該條件的流量時(shí)�����,該網(wǎng)絡(luò)偵測(cè)設(shè)備可利用SNMP對(duì)網(wǎng)絡(luò)交換器下達(dá)中斷網(wǎng)絡(luò)服務(wù)的指令����,令網(wǎng)絡(luò)交換器在收到該中斷網(wǎng)絡(luò)服務(wù)指令后,立即完成該中斷網(wǎng)絡(luò)服務(wù)指令的設(shè)定���,以中斷該使用者計(jì)算機(jī)的網(wǎng)絡(luò)存取服務(wù)�����,并回復(fù)一響應(yīng)封包至該網(wǎng)絡(luò)偵測(cè)設(shè)備���,確認(rèn)已成功完成中斷該使用者計(jì)算機(jī)在該網(wǎng)絡(luò)交換器上的網(wǎng)絡(luò)存取服務(wù)�。
本發(fā)明一種網(wǎng)絡(luò)信息安全區(qū)域聯(lián)合偵防系統(tǒng)����,其特征在于,該系統(tǒng)是透過(guò)一網(wǎng)絡(luò)偵測(cè)設(shè)備監(jiān)控一網(wǎng)絡(luò)系統(tǒng)的聯(lián)機(jī)狀態(tài)�����,當(dāng)該網(wǎng)絡(luò)偵測(cè)設(shè)備偵測(cè)到該網(wǎng)絡(luò)系統(tǒng)中任一使用者計(jì)算機(jī)觸發(fā)網(wǎng)絡(luò)區(qū)域聯(lián)合偵防動(dòng)作的條件時(shí)���,該網(wǎng)絡(luò)偵測(cè)設(shè)備會(huì)立即且自動(dòng)地聯(lián)機(jī)到指定的網(wǎng)絡(luò)交換器��,令該網(wǎng)絡(luò)交換器中斷對(duì)該使用者計(jì)算機(jī)提供網(wǎng)絡(luò)存取服務(wù)�。
其中該網(wǎng)絡(luò)偵測(cè)設(shè)備是一防火墻����、頻寬管理器、入侵偵測(cè)系統(tǒng)或流量分析儀。
其中該網(wǎng)絡(luò)偵測(cè)設(shè)備上設(shè)有一用以定義網(wǎng)絡(luò)管理者所允許的該網(wǎng)絡(luò)存取服務(wù)規(guī)則的機(jī)制以及觸發(fā)網(wǎng)絡(luò)區(qū)域連合偵防動(dòng)作的條件�。
其中還包含該網(wǎng)絡(luò)偵測(cè)設(shè)備偵測(cè)到該網(wǎng)絡(luò)系統(tǒng)中任一使用者計(jì)算機(jī)有違反一網(wǎng)絡(luò)存取服務(wù)規(guī)則的異常行為時(shí),該網(wǎng)絡(luò)偵測(cè)設(shè)備會(huì)立即且自動(dòng)地聯(lián)機(jī)到指定的網(wǎng)絡(luò)交換器�,令該網(wǎng)絡(luò)交換器中斷對(duì)該使用者計(jì)算機(jī)提供網(wǎng)絡(luò)存取服務(wù)。
其中該網(wǎng)絡(luò)偵測(cè)設(shè)備是利用該簡(jiǎn)易網(wǎng)絡(luò)管理協(xié)議對(duì)指定的網(wǎng)絡(luò)交換器下達(dá)一中斷網(wǎng)絡(luò)服務(wù)指令����,以中斷對(duì)該使用者計(jì)算機(jī)所提供網(wǎng)絡(luò)存取服務(wù)。
其中該網(wǎng)絡(luò)交換器在收到該中斷網(wǎng)絡(luò)服務(wù)指令后����,將立即完成該中斷網(wǎng)絡(luò)服務(wù)指令的設(shè)定,始能中斷對(duì)該使用者計(jì)算機(jī)所提供的網(wǎng)絡(luò)存取服務(wù)���。
為便審查員能對(duì)本發(fā)明的構(gòu)造、設(shè)計(jì)原理及其功效�����,有更進(jìn)一步的認(rèn)識(shí)與了解���,以下列舉若干實(shí)施例��,并配合附圖��,詳細(xì)說(shuō)明如下��,其中圖1是傳統(tǒng)網(wǎng)絡(luò)系統(tǒng)的聯(lián)機(jī)架構(gòu)示意圖���;圖2是本發(fā)明的一實(shí)施例中網(wǎng)絡(luò)偵測(cè)設(shè)備的處理流程示意圖����;圖3是本發(fā)明的一實(shí)施例中網(wǎng)絡(luò)系統(tǒng)的聯(lián)機(jī)架構(gòu)示意圖��。
具體實(shí)施例方式
本發(fā)明是一種網(wǎng)絡(luò)信息安全區(qū)域聯(lián)合偵防系統(tǒng)����,該系統(tǒng)是利用一簡(jiǎn)易網(wǎng)絡(luò)管理協(xié)議(Simple Network Management Protocol,以下簡(jiǎn)稱SNMP)�����,在用以監(jiān)控網(wǎng)絡(luò)聯(lián)機(jī)狀態(tài)的主要網(wǎng)絡(luò)偵測(cè)設(shè)備上��,如防火墻��、頻寬管理器����、入侵偵測(cè)系統(tǒng)或流量分析儀等網(wǎng)絡(luò)偵測(cè)設(shè)備上��,新增一功能�����,定義網(wǎng)絡(luò)管理者所需激活網(wǎng)絡(luò)區(qū)域連合偵防動(dòng)作的條件�����,以在使用者計(jì)算機(jī)發(fā)出觸發(fā)該條件的流量時(shí)���,該網(wǎng)絡(luò)偵測(cè)設(shè)備會(huì)立即自動(dòng)地聯(lián)機(jī)到網(wǎng)絡(luò)交換器,并利用SNMP對(duì)網(wǎng)絡(luò)交換器下達(dá)中斷網(wǎng)絡(luò)服務(wù)的指令��,令網(wǎng)絡(luò)交換器在收到該中斷網(wǎng)絡(luò)服務(wù)指令后��,立即完成對(duì)該使用者計(jì)算機(jī)的網(wǎng)絡(luò)存取服務(wù)的中斷設(shè)定��,以中斷該使用者計(jì)算機(jī)的網(wǎng)絡(luò)存取服務(wù)���,有效避免病毒持續(xù)肆瘧擴(kuò)散至其它網(wǎng)絡(luò)區(qū)段,并進(jìn)一步防止病毒發(fā)動(dòng)DDoS攻擊���,癱瘓網(wǎng)絡(luò)服務(wù)器�����,令可能對(duì)網(wǎng)絡(luò)系統(tǒng)造成的傷害及損失降至最低�����,同時(shí)��,網(wǎng)絡(luò)交換器將回復(fù)一響應(yīng)封包至該網(wǎng)絡(luò)偵測(cè)設(shè)備��,確認(rèn)已成功中斷該使用者計(jì)算機(jī)在該網(wǎng)絡(luò)交換器上的網(wǎng)絡(luò)存取服務(wù)�。
在此需特別注意的是,乃本發(fā)明利用SNMP定義網(wǎng)絡(luò)管理者所允許的網(wǎng)絡(luò)存取服務(wù)規(guī)則及對(duì)網(wǎng)絡(luò)交換器下達(dá)中斷網(wǎng)絡(luò)服務(wù)指令的主要原因�,是因SNMP屬于一種TCP/IP(Transmission Control Protocol/InternetProtocol)的網(wǎng)絡(luò)管理協(xié)議,已被廣泛地使用于現(xiàn)有的各種網(wǎng)絡(luò)系統(tǒng)中��,如防火墻�、頻寬管理器、入侵偵測(cè)系統(tǒng)或流量分析儀等�,且所有的網(wǎng)絡(luò)設(shè)備幾乎都支持SNMP,故利用SNMP實(shí)現(xiàn)本發(fā)明��,將令本發(fā)明的網(wǎng)絡(luò)信息安全區(qū)域聯(lián)合偵防系統(tǒng)更易于被應(yīng)用至各種網(wǎng)絡(luò)系統(tǒng)及設(shè)備中�����,除無(wú)需進(jìn)行硬件的變更設(shè)計(jì)外,亦不致發(fā)生任何兼容性的問(wèn)題���。故��,利用SNMP定義網(wǎng)絡(luò)管理者所允許的網(wǎng)絡(luò)存取服務(wù)規(guī)則及對(duì)網(wǎng)絡(luò)交換器下達(dá)中斷網(wǎng)絡(luò)服務(wù)指令��,僅是本發(fā)明的一較佳實(shí)施例����,凡是熟悉網(wǎng)絡(luò)技術(shù)的人士���,在知悉本發(fā)明的技術(shù)理念后��,以其它網(wǎng)絡(luò)管理協(xié)議替代SNMP�,根據(jù)本發(fā)明揭露的內(nèi)容����,所為的其它等效變化,應(yīng)均屬本發(fā)明在此所欲主張及保護(hù)的范疇�����。
再者���,造成本發(fā)明中終端使用者(end user)���,例如上述使用者計(jì)算機(jī)發(fā)出異常行為的原因,泛指任何使用者未察覺(jué)�、未允許的利用使用者計(jì)算機(jī)、威脅�����、癱瘓網(wǎng)絡(luò)通訊正常運(yùn)作的攻擊原因�,例如各式各樣的駭客或病毒,但本發(fā)明精神不限于此���。此外����,攻擊與威脅的型態(tài)亦可以為各式各樣�����,例如沖區(qū)溢位(Buffer Overflow)攻擊�、通訊端口掃瞄(PortScan)攻擊、木馬程序(Trojan Horse)攻擊�����、碎片封包(IP Fragmentation)攻擊、蠕蟲(chóng)(Worm)攻擊�、系統(tǒng)與應(yīng)用程序漏洞(System & AppLIcationVulnerabilities)攻擊,而不限于上述的DDoS攻擊方式����。
本發(fā)明在實(shí)現(xiàn)該系統(tǒng)時(shí),在網(wǎng)絡(luò)系統(tǒng)的一網(wǎng)絡(luò)偵測(cè)設(shè)備上��,新增一功能�����,定義網(wǎng)絡(luò)管理者所需激活網(wǎng)絡(luò)區(qū)域聯(lián)合偵防動(dòng)作的條件�����,并令該網(wǎng)絡(luò)偵測(cè)設(shè)備可依下列處理程序���,參閱圖2所示�����,偵測(cè)出違反該網(wǎng)絡(luò)存取服務(wù)規(guī)則或觸發(fā)網(wǎng)絡(luò)區(qū)域聯(lián)合偵防動(dòng)作條件的使用者計(jì)算機(jī)��,并中斷對(duì)其提供的網(wǎng)絡(luò)存取服務(wù)(50)偵測(cè)流經(jīng)該網(wǎng)絡(luò)偵測(cè)設(shè)備的封包資料�;(51)分析所偵測(cè)到的封包資料����,判斷是否任一使用者計(jì)算機(jī)有觸發(fā)網(wǎng)絡(luò)區(qū)域聯(lián)合偵防動(dòng)作的條件,例如到達(dá)一預(yù)設(shè)臨界條件��,其可以是封包數(shù)量����、使用頻寬等,但不限于此�;若是,繼續(xù)下列步驟�;否則,返回步驟(50)�;(52)讀取觸發(fā)網(wǎng)絡(luò)區(qū)域聯(lián)合偵防動(dòng)作或違反該網(wǎng)絡(luò)存取服務(wù)規(guī)則的使用者計(jì)算機(jī)的IP地址;(53)利用SNMP對(duì)網(wǎng)絡(luò)交換器下達(dá)中斷網(wǎng)絡(luò)服務(wù)的指令�,令網(wǎng)絡(luò)交換器在收到該中斷網(wǎng)絡(luò)服務(wù)指令后,立即完成對(duì)該使用者計(jì)算機(jī)的網(wǎng)絡(luò)存取服務(wù)的中斷設(shè)定���,中斷該網(wǎng)絡(luò)交換器對(duì)該使用者計(jì)算機(jī)所提供的網(wǎng)絡(luò)存取服務(wù)�����,有效避免病毒持續(xù)肆瘧擴(kuò)散至其它網(wǎng)絡(luò)區(qū)段�。
為更能清楚表達(dá)本發(fā)明的設(shè)計(jì)理念及所達(dá)成的功效,特列舉一實(shí)施例��,參閱圖3所示���,并扼要說(shuō)明其網(wǎng)絡(luò)系統(tǒng)遭病毒感染后�,本發(fā)明的網(wǎng)絡(luò)信息安全區(qū)域聯(lián)合偵防系統(tǒng)所采用的處理方法如下(1)在一網(wǎng)絡(luò)系統(tǒng)中�,一IP地址為192.168.1.2的使用者計(jì)算機(jī)60已感染到一種疾風(fēng)蠕蟲(chóng)型病毒(WORM_MSBLAST.A),并開(kāi)始發(fā)送出大量的TCP SYN(DST port135)封包�����,且在網(wǎng)絡(luò)上掃描(scan)安裝有Windows操作系統(tǒng)的其它計(jì)算機(jī)后�,再透過(guò)其上Windows操作系統(tǒng)中RPC DCOM Overflow的漏洞,對(duì)該等計(jì)算機(jī)進(jìn)行病毒散播及DDoS攻擊����;(2)當(dāng)該等TCP SYN(DST port135)封包流經(jīng)一網(wǎng)絡(luò)偵測(cè)設(shè)備70時(shí),若網(wǎng)絡(luò)管理者已在該網(wǎng)絡(luò)偵測(cè)設(shè)備70上�,新增了一定義需激活網(wǎng)絡(luò)區(qū)域聯(lián)合偵防動(dòng)作的條件,如防止IDS攻擊���、Http/Ftp地址或流量限制����、使用者網(wǎng)絡(luò)聯(lián)機(jī)數(shù)量限制、等網(wǎng)絡(luò)存取服務(wù)規(guī)則�����,且已完成設(shè)定�,則該網(wǎng)絡(luò)偵測(cè)設(shè)備70將持續(xù)監(jiān)看網(wǎng)絡(luò)封包流量�,進(jìn)而分析出是否有使用者計(jì)算機(jī)進(jìn)行大量TCP SYN(DST port135)封包的異常發(fā)送行為;(3)當(dāng)該網(wǎng)絡(luò)偵測(cè)設(shè)備70發(fā)現(xiàn)有大量TCP SYN(DST port135)封包的異常發(fā)送行為時(shí)���,即讀取違反該網(wǎng)絡(luò)存取服務(wù)規(guī)則的使用者計(jì)算機(jī)60的IP地址�����,再透過(guò)SNMP自動(dòng)聯(lián)機(jī)到與該網(wǎng)絡(luò)偵測(cè)設(shè)備70相聯(lián)機(jī)的網(wǎng)絡(luò)交換器80或網(wǎng)管者定義或指定的其它交換機(jī)��,并根據(jù)該使用者計(jì)算機(jī)60的IP地址�����,將一中斷網(wǎng)絡(luò)服務(wù)指令(如deny(192.168.1.2)any TCP 137)設(shè)定到該網(wǎng)絡(luò)交換器80中或網(wǎng)管者定義的其它交換機(jī)����;(4)該網(wǎng)絡(luò)交換器80接收到該中斷網(wǎng)絡(luò)服務(wù)指令,即完成該指令的設(shè)定����,中斷該使用者計(jì)算機(jī)60在該網(wǎng)絡(luò)交換器80上的網(wǎng)絡(luò)存取服務(wù),在最短的時(shí)間內(nèi)�,完成對(duì)IP地址為192.168.1.2的使用者計(jì)算機(jī)60的封鎖,阻斷其所產(chǎn)生的網(wǎng)絡(luò)封包進(jìn)入整個(gè)網(wǎng)絡(luò)�,有效率地阻止病毒擴(kuò)散同一網(wǎng)絡(luò)區(qū)段的其它使用者計(jì)算機(jī)(圖上未示)、同一區(qū)段其它交換設(shè)備上的使用者計(jì)算機(jī)或其它網(wǎng)絡(luò)區(qū)段的使用者計(jì)算機(jī)(圖上未示)�。
在前述實(shí)施例中,若該網(wǎng)絡(luò)偵測(cè)設(shè)備70的IP地址為192.168.1.1����,該網(wǎng)絡(luò)交換器80的IP地址為192.168.1.250,當(dāng)該網(wǎng)絡(luò)偵測(cè)設(shè)備70發(fā)現(xiàn)該使用者計(jì)算機(jī)60大量發(fā)送TCP SYN(DST port135)的異常封包時(shí)��,即根據(jù)該使用者計(jì)算機(jī)60的IP地址���,透過(guò)SNMP��,發(fā)送出內(nèi)含下列內(nèi)容的要求封包(Set request)����,告知該網(wǎng)絡(luò)交換器80,對(duì)IP地址為192.168.1.2的該使用者計(jì)算機(jī)60����,中斷其網(wǎng)絡(luò)的存取服務(wù)IPSource address=[192.168.1.1]IPDestination address=[192.168.1.250]SNMPCommand=Set requestSNMPObject={1.3.6.1.4.1.171.12.9.2.2.1.4.2.1}
SNMPValue=[192.168.1.2]-,其中該網(wǎng)絡(luò)交換器80是以D-Link公司生產(chǎn)的交換器為例���,加以說(shuō)明�����,其MIB對(duì)象171.12.9.2.2.1.4.2.1為該設(shè)備接受存取控制(ACL)變量(這個(gè)MIB參數(shù)會(huì)因交換機(jī)機(jī)種及不同廠牌差異而有差異)系統(tǒng)編號(hào)為9.2.2.1.4.2.1,該網(wǎng)絡(luò)偵測(cè)設(shè)備70是透過(guò)SNMP���,將中斷IP地址為192.168.1.2的該使用者計(jì)算機(jī)60的網(wǎng)絡(luò)存取服務(wù)的指令��,下達(dá)到D-Link公司生產(chǎn)的交換器中的MIB地址里����。
俟該網(wǎng)絡(luò)交換器80接收到該中斷網(wǎng)絡(luò)服務(wù)指令����,并完成設(shè)定后,該網(wǎng)絡(luò)交換器80將回復(fù)一包含下列內(nèi)容的響應(yīng)封包(Get response)予該網(wǎng)絡(luò)偵測(cè)設(shè)備70�,告知該網(wǎng)絡(luò)偵測(cè)設(shè)備70���,IP地址為192.168.1.2的該使用者計(jì)算機(jī)60已在該網(wǎng)絡(luò)交換器80中被成功地阻斷了網(wǎng)絡(luò)存取的服務(wù)IPSource address=[192.168.1.250]IPDestination address=[192.168.1.1]SNMPCommand=Get responseSNMPObject={1.3.6.1.4.1.171.12.9.2.2.1.4.2.1}SNMPValue=[192.168.1.2]據(jù)上所述,本發(fā)明可令網(wǎng)絡(luò)系統(tǒng)中的一網(wǎng)絡(luò)偵測(cè)設(shè)備自動(dòng)對(duì)網(wǎng)絡(luò)封包進(jìn)行偵測(cè)�����,并在偵測(cè)到一使用者計(jì)算機(jī)發(fā)出觸發(fā)網(wǎng)絡(luò)區(qū)域聯(lián)合偵防動(dòng)作的流量時(shí)�����,自動(dòng)將一中斷網(wǎng)絡(luò)服務(wù)指令設(shè)定到指定的網(wǎng)絡(luò)交換器�����,立即中斷該使用者計(jì)算機(jī)的網(wǎng)絡(luò)聯(lián)機(jī)�,迅速將其阻隔在正常網(wǎng)絡(luò)聯(lián)機(jī)之外,以大幅減少該等異常行為對(duì)網(wǎng)絡(luò)系統(tǒng)造成的傷害及損失���,進(jìn)而有效增加網(wǎng)絡(luò)的使用效能�。如此�����,對(duì)網(wǎng)絡(luò)管理者而言����,即無(wú)需耗費(fèi)時(shí)間尋找受感染的計(jì)算機(jī)���,且在發(fā)現(xiàn)受感染的計(jì)算機(jī)后,亦無(wú)需以手動(dòng)方式���,將受感染計(jì)算機(jī)的中斷網(wǎng)絡(luò)服務(wù)指令���,加入與其相聯(lián)機(jī)的網(wǎng)絡(luò)交換器中,可以在網(wǎng)絡(luò)最邊緣端(edge)�����,也就是最接近感染的聯(lián)機(jī)源頭中斷網(wǎng)絡(luò)服務(wù)�����,大幅縮減了在網(wǎng)絡(luò)管理上所需付出的人力及時(shí)間�。
以上所述�,僅是本發(fā)明的較佳實(shí)施例,惟���,本發(fā)明所主張的權(quán)利范圍�,并不局限于此,凡是熟悉該項(xiàng)技術(shù)的人士�,依據(jù)本發(fā)明所揭露的技術(shù)內(nèi)容,可輕易思及的等效變化�,均應(yīng)屬本發(fā)明的保護(hù)范疇。
權(quán)利要求
1.一種網(wǎng)絡(luò)信息安全區(qū)域聯(lián)合偵防系統(tǒng)�,其特征在于,該系統(tǒng)是透過(guò)一網(wǎng)絡(luò)偵測(cè)設(shè)備監(jiān)控一網(wǎng)絡(luò)系統(tǒng)的聯(lián)機(jī)狀態(tài)��,當(dāng)該網(wǎng)絡(luò)偵測(cè)設(shè)備偵測(cè)到該網(wǎng)絡(luò)系統(tǒng)中任一使用者計(jì)算機(jī)觸發(fā)網(wǎng)絡(luò)區(qū)域聯(lián)合偵防動(dòng)作的條件時(shí)�,該網(wǎng)絡(luò)偵測(cè)設(shè)備會(huì)立即且自動(dòng)地聯(lián)機(jī)到指定的網(wǎng)絡(luò)交換器,令該網(wǎng)絡(luò)交換器中斷對(duì)該使用者計(jì)算機(jī)提供網(wǎng)絡(luò)存取服務(wù)���。
2.如權(quán)利要求1所述的網(wǎng)絡(luò)信息安全區(qū)域聯(lián)合偵防系統(tǒng)����,其特征在于�����,其中該網(wǎng)絡(luò)偵測(cè)設(shè)備是一防火墻����、頻寬管理器、入侵偵測(cè)系統(tǒng)或流量分析儀����。
3.如權(quán)利要求2所述的網(wǎng)絡(luò)信息安全區(qū)域聯(lián)合偵防系統(tǒng)�����,其特征在于�����,其中該網(wǎng)絡(luò)偵測(cè)設(shè)備上設(shè)有一用以定義網(wǎng)絡(luò)管理者所允許的該網(wǎng)絡(luò)存取服務(wù)規(guī)則的機(jī)制以及觸發(fā)網(wǎng)絡(luò)區(qū)域連合偵防動(dòng)作的條件�����。
4.如權(quán)利要求1所述的網(wǎng)絡(luò)信息安全區(qū)域聯(lián)合偵防系統(tǒng)�����,其特征在于��,其中還包含該網(wǎng)絡(luò)偵測(cè)設(shè)備偵測(cè)到該網(wǎng)絡(luò)系統(tǒng)中任一使用者計(jì)算機(jī)有違反一網(wǎng)絡(luò)存取服務(wù)規(guī)則的異常行為時(shí),該網(wǎng)絡(luò)偵測(cè)設(shè)備會(huì)立即且自動(dòng)地聯(lián)機(jī)到指定的網(wǎng)絡(luò)交換器��,令該網(wǎng)絡(luò)交換器中斷對(duì)該使用者計(jì)算機(jī)提供網(wǎng)絡(luò)存取服務(wù)��。
5.如權(quán)利要求1所述的網(wǎng)絡(luò)信息安全區(qū)域聯(lián)合偵防系統(tǒng)��,其特征在于,其中該網(wǎng)絡(luò)偵測(cè)設(shè)備是利用該簡(jiǎn)易網(wǎng)絡(luò)管理協(xié)議對(duì)指定的網(wǎng)絡(luò)交換器下達(dá)一中斷網(wǎng)絡(luò)服務(wù)指令����,以中斷對(duì)該使用者計(jì)算機(jī)所提供網(wǎng)絡(luò)存取服務(wù)。
6.如權(quán)利要求5所述的網(wǎng)絡(luò)信息安全區(qū)域聯(lián)合偵防系統(tǒng)���,其特征在于��,其中該網(wǎng)絡(luò)交換器在收到該中斷網(wǎng)絡(luò)服務(wù)指令后��,將立即完成該中斷網(wǎng)絡(luò)服務(wù)指令的設(shè)定�,始能中斷對(duì)該使用者計(jì)算機(jī)所提供的網(wǎng)絡(luò)存取服務(wù)�。
全文摘要
一種網(wǎng)絡(luò)信息安全區(qū)域聯(lián)合偵防系統(tǒng),是透過(guò)一網(wǎng)絡(luò)偵測(cè)設(shè)備(如防火墻�、頻寬管理器、入侵偵測(cè)系統(tǒng)或流量分析儀等)�,監(jiān)控網(wǎng)絡(luò)系統(tǒng)的聯(lián)機(jī)狀態(tài),當(dāng)該網(wǎng)絡(luò)偵測(cè)設(shè)備偵測(cè)到網(wǎng)絡(luò)中任一使用者計(jì)算機(jī)有違反網(wǎng)絡(luò)政策的異常行為時(shí)�����,會(huì)立即自動(dòng)聯(lián)機(jī)到提供計(jì)算機(jī)網(wǎng)絡(luò)聯(lián)機(jī)的網(wǎng)絡(luò)交換器����,令網(wǎng)絡(luò)交換器中斷該使用者計(jì)算機(jī)的網(wǎng)絡(luò)聯(lián)機(jī)服務(wù)����,以有效避免造成該異常行為的病毒持續(xù)肆瘧擴(kuò)散至其它網(wǎng)絡(luò)區(qū)段��,并進(jìn)一步防止病毒發(fā)動(dòng)分布式阻斷服務(wù)攻擊����,癱瘓網(wǎng)絡(luò)服務(wù)器,令可能對(duì)網(wǎng)絡(luò)系統(tǒng)造成的傷害及損失降至最低�����。
文檔編號(hào)H04L12/24GK1889458SQ20051008147
公開(kāi)日2007年1月3日 申請(qǐng)日期2005年6月29日 優(yōu)先權(quán)日2005年6月29日
發(fā)明者吳維銘, 葉俊育, 邵澤恩, 柯弼富 申請(qǐng)人:友訊科技股份有限公司