專利名稱:用于集成多個(gè)威脅安全服務(wù)的方法及其設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明一般地涉及網(wǎng)絡(luò)威脅安全服務(wù),更具體地��,本發(fā)明涉及用
于集成多個(gè)威脅(multi-threat)安全服務(wù)的方法及其設(shè)備。
背景技術(shù):
隨著對(duì)通信網(wǎng)絡(luò)的廣泛使用����,人們?cè)絹碓街匾曂ㄐ啪W(wǎng)絡(luò)的安全性和防護(hù)性。為此�����,當(dāng)前在通信網(wǎng)絡(luò)的網(wǎng)關(guān)處設(shè)置了可以被激活的一系列威脅安全服務(wù)���,參見圖1中所示出的入侵檢測(cè)/保護(hù)系統(tǒng)(IntrusionDetection/Protection System ),反病毒/反ii;及由lH牛(anti virus/antispam )�、內(nèi)容過濾(content filter,即CF )����、蠕蟲過濾(Worm Filter,即WF)等。然而���, 一個(gè)單個(gè)設(shè)備中一個(gè)單個(gè)威脅安全服務(wù)不是有效的解決方案,因?yàn)檫@將造成無法控制的現(xiàn)場(chǎng)管理和故障查找的開銷��。出于這種原因��,許多平臺(tái)在一個(gè)統(tǒng)一威脅管理(UTM)設(shè)備中提供多個(gè)安全服務(wù)���,該設(shè)備將上述的安全服務(wù)與防火墻進(jìn)行組合���。企業(yè)和服務(wù)提供商使用該設(shè)備以增強(qiáng)他們的安全���,同時(shí)又減小了總的運(yùn)行成本。
其自身的協(xié)議棧�,并且它們總是自己來解析分組數(shù)據(jù)以獲得相應(yīng)的應(yīng)用數(shù)據(jù),即它們各自都需要針對(duì)其相應(yīng)的應(yīng)用數(shù)據(jù)來掃描整個(gè)分組數(shù)據(jù)���。以圖2中示出的現(xiàn)有技術(shù)的處理作為例子來說明�,當(dāng)IP分組進(jìn)入到網(wǎng)關(guān)時(shí)��,首先進(jìn)入到防火墻(Firewall)威脅安全服務(wù)���,該服務(wù)對(duì)進(jìn)入的IP分組進(jìn)行解析����,以確定是否對(duì)其應(yīng)用相應(yīng)的安全服務(wù)��,如果無需提供該安全服務(wù)�����,則分組進(jìn)入到入侵檢測(cè)/保護(hù)威脅安全服務(wù),在該威脅安全服務(wù)處�����,依然對(duì)分組進(jìn)行包括前面的防火墻威脅安全服務(wù)解析操作的解析處理����,以便最終獲得入侵檢測(cè)/保護(hù)威脅安全服務(wù)所需的應(yīng)用數(shù)據(jù),從而確定是否應(yīng)對(duì)該進(jìn)入的分組4丸行入侵:;險(xiǎn)測(cè)/保護(hù)威脅安全服務(wù)�,以類似上述的步驟執(zhí)行直到完成預(yù)先設(shè)置的多個(gè)威脅安全服務(wù)。隨著集成的威脅安全服務(wù)的數(shù)目的增加以及由此帶來的計(jì)算的復(fù)雜度的增大���,上述的協(xié)議解析已經(jīng)成為強(qiáng)度最大的計(jì)算操作之一���。這
種情況成為UTM持續(xù)增長(zhǎng)的嚴(yán)重障礙。
針對(duì)這種情況���,當(dāng)前的機(jī)制關(guān)注于硬件加速器以改善UTM性能���,例如是ASIC加速多威脅安全系統(tǒng)的Fortinet的FortiGate。但即使這樣��,也僅一部分安全服務(wù)可集成進(jìn)它們的UTM設(shè)備中�����。
因此當(dāng)前需要一種能夠提供更為全面而又減小計(jì)算開銷的集成多個(gè)威脅安全服務(wù)的手段�����。
發(fā)明內(nèi)容
本發(fā)明的目的是克服現(xiàn)有技術(shù)中存在的缺陷����,提供一種集成多個(gè)威脅安全服務(wù)的方法,從而能夠高效地針對(duì)多個(gè)威脅安全服務(wù)過濾進(jìn)入的^t據(jù)分組�����。
為了本發(fā)明的上述目的����,根據(jù)本發(fā)明的一個(gè)方面,提供一種用于集成多個(gè)威脅安全服務(wù)的方法��,該方法包括對(duì)進(jìn)入的分組逐層地進(jìn)行解析�,針對(duì)多個(gè)威脅安全服務(wù)分析在當(dāng)前層解析的分組,從而確定該分組所需的威脅安全服務(wù)���。
根據(jù)本發(fā)明的另 一方面�����,提供了 一種用于集成多個(gè)威脅安全服務(wù)的設(shè)備�,該設(shè)備包括解析器,用于對(duì)進(jìn)入的分組逐層地進(jìn)行解析����;分析器,用于針對(duì)多個(gè)威脅安全服務(wù)分析在當(dāng)前層解析的分組,從而確定該分組所需的威脅安全服務(wù)����。
根據(jù)本發(fā)明的方法和設(shè)備,集成的多個(gè)威脅安全服務(wù)可以過濾應(yīng)用數(shù)據(jù)���,而同時(shí)只需對(duì)網(wǎng)絡(luò)分組數(shù)據(jù)執(zhí)行一次解析��,從而提高了過濾應(yīng)用數(shù)據(jù)的效率并且減小了計(jì)算開銷����。
通過以下結(jié)合附圖的說明�,并且隨著對(duì)本發(fā)明的更全面了解,本發(fā)明的其他目的和效果將變得更加清楚和易于理解����,其中
5圖1示出現(xiàn)有技術(shù)的網(wǎng)絡(luò)中多個(gè)威脅安全服務(wù)的布置�����;圖2示出根據(jù)現(xiàn)有技術(shù)進(jìn)行多個(gè)威脅安全服務(wù)的處理過程;圖3是示出可實(shí)施本發(fā)明的典型的網(wǎng)絡(luò)安全服務(wù)環(huán)境的示圖�;圖4是示出本發(fā)明原理的簡(jiǎn)化示圖;圖5是示出根據(jù)本發(fā)明原理的處理流程圖��;圖6是其中可實(shí)施本發(fā)明的集成安全服務(wù)棧的架構(gòu)圖����;圖7是示出根據(jù)本發(fā)明實(shí)施方式的事件分析器的操作的示圖;圖8示出根據(jù)本發(fā)明實(shí)施方式的事件分析器管理模塊的工作過程���;以及
圖9示出根據(jù)本發(fā)明實(shí)施方式的事件分析器調(diào)度模塊的工作過程���。
在所有的上述附圖中,相同的標(biāo)號(hào)表示具有相同���、相似或相應(yīng)的特征或功能�。
具體實(shí)施例方式
以下���,將結(jié)合附圖來描述本發(fā)明的實(shí)施方式�����。
圖3示出了可實(shí)施本發(fā)明的典型的網(wǎng)絡(luò)安全服務(wù)環(huán)境����。在該環(huán)境中,集成多個(gè)威脅安全服務(wù)的設(shè)備可以串聯(lián)模式和路由模式兩種方式連接在局域網(wǎng)和因特網(wǎng)之間的鏈路上�,即所有出/入局域網(wǎng)的數(shù)據(jù)(例如SMTP、 POP3����、 HTTP等)均需要經(jīng)過集成的網(wǎng)絡(luò)安全服務(wù)設(shè)備。
如果集成多個(gè)威脅安全服務(wù)的設(shè)備以串聯(lián)模式的工作方式連接在網(wǎng)絡(luò)中���,其將在數(shù)據(jù)鏈路層把兩個(gè)網(wǎng)絡(luò)連接起來�����,根據(jù)網(wǎng)卡物理地址
轉(zhuǎn)發(fā)數(shù)據(jù)幀���。其中包括有集成多個(gè)威脅安全服務(wù)的設(shè)備的網(wǎng)橋的作用在于在局域網(wǎng)和因特網(wǎng)之間形成一條透明的通道,在不改變網(wǎng)絡(luò)配置以及不讓客戶端知曉的情況下���,讓集成多個(gè)威脅安全服務(wù)的設(shè)備對(duì)客戶端和服務(wù)器之間的通信進(jìn)行監(jiān)控和過濾�����。
如果集成多個(gè)威脅安全服務(wù)的設(shè)備以路由模式的工作方式連接在網(wǎng)絡(luò)中�,則局域網(wǎng)和因特網(wǎng)均將其視為網(wǎng)絡(luò)中的一個(gè)節(jié)點(diǎn),必須正確配置路由才能通過集成多個(gè)威脅安全服務(wù)的設(shè)備����。通過設(shè)備的數(shù)據(jù)報(bào)文將被監(jiān)控和過濾����。
集成多個(gè)威脅安全服務(wù)的設(shè)備需要確保到達(dá)因特網(wǎng)的通路,如果 發(fā)生系統(tǒng)故障���,則該設(shè)備支持直接短路局域網(wǎng)和因特網(wǎng)的連接���,從而 保障網(wǎng)絡(luò)的服務(wù)。集成多個(gè)威脅安全服務(wù)的設(shè)備通過網(wǎng)絡(luò)(可以是通 過另外的鏈路���,或者復(fù)用)與數(shù)據(jù)庫(kù)及控制節(jié)點(diǎn)互聯(lián)�����。
數(shù)據(jù)庫(kù)具有兩個(gè)主要的功能�����, 一個(gè)功能是存儲(chǔ)集成多個(gè)威脅安全 服務(wù)的系統(tǒng)的配置����、匹配模式等信息,以供集成多個(gè)威脅安全服務(wù)的 設(shè)備初始化及運(yùn)行過程中使用��,其另一個(gè)主要功能是可將集成多個(gè)威 脅安全服務(wù)的設(shè)備在其工作過程中發(fā)現(xiàn)的非法行為模式存儲(chǔ)到威脅安 全服務(wù)中�。控制節(jié)點(diǎn)的主要功能包括向數(shù)據(jù)庫(kù)添加關(guān)鍵字���,控制集成 多個(gè)威脅安全服務(wù)的集成信息以及查看檢測(cè)的結(jié)果��。
圖4是示出本發(fā)明原理的簡(jiǎn)化示圖���。在該圖的左半部分是以柱狀 圖形式并結(jié)合協(xié)議分層結(jié)構(gòu)示出的多個(gè)威脅安全服務(wù),以及以點(diǎn)畫線 示出的與其分別相對(duì)應(yīng)的各種解析器(稍后將詳細(xì)描述)��,例如防火墻 安全服務(wù)可以使用IP解析器��,而內(nèi)容/蠕蟲過濾安全服務(wù)可以使用IP
解析器�����、TCP解析器和應(yīng)用解析器。在該圖的右半部分涉及到本發(fā)明 的集成安全服務(wù)棧����,在該服務(wù)棧中的上述多個(gè)解析器在執(zhí)行相應(yīng)的逐 層解析后將解析后的分組數(shù)據(jù)送入到事件分析器,由事件分析器來完 成本發(fā)明的針對(duì)多個(gè)威脅安全服務(wù)的操作��,從而確定所需執(zhí)行的威脅 安全服務(wù)��。
圖5是示出本發(fā)明執(zhí)行集成多個(gè)安全威脅服務(wù)的簡(jiǎn)化操作流程 圖��。在步驟501,對(duì)進(jìn)入網(wǎng)絡(luò)的分組逐層地進(jìn)行解析����,即����,按照上述 的集成安全服務(wù)棧的分層架構(gòu)來進(jìn)行解析,然后在步驟502���,針對(duì)多 個(gè)威脅安全服務(wù)分析當(dāng)前層解析的分組��。接著在步驟503,通過匹配 算法來確定該分組所需的威脅安全服務(wù)��。下文將針對(duì)圖5中所示的步 驟結(jié)合附圖進(jìn)行詳細(xì)描述���。
參考圖6�,其進(jìn)一步示出圖4中的集成安全服務(wù)協(xié)議棧和按層分 布的各種解析器�����,以及執(zhí)行本發(fā)明的相應(yīng)各個(gè)步驟�����。如圖中所示����,當(dāng) 集成的多個(gè)威脅安全服務(wù)設(shè)備接收到數(shù)據(jù)報(bào)文后,首先將數(shù)據(jù)報(bào)文交給TCP/IP解析器����。在步驟601中,TCP/IP解析器對(duì)進(jìn)入到TCP/IP層 的數(shù)據(jù)分組進(jìn)行還原����,根據(jù)不同協(xié)議分類,調(diào)用相應(yīng)的插件對(duì)數(shù)據(jù)分 組進(jìn)行還原���。比如當(dāng)捕獲到TCP4艮文時(shí)����,TCP/IP解析器首先建立一個(gè) 連接信息,并將這個(gè)連接建立的信息提交給TCP協(xié)議處理插件進(jìn)行處 理��。在完成步驟601后��,TCP協(xié)議處理插件會(huì)在步驟602中將還原后 的信息(例如IP源地址����、源端口號(hào)、目標(biāo)地址�����、目標(biāo)端口號(hào)���、報(bào)文長(zhǎng) 度等)傳遞給事件分析器進(jìn)行進(jìn)一步分析過濾(稍后將詳細(xì)描述事件 分析器的操作)。
接著在步驟603中�����,所示出的TCP/IP解析器將傳輸層中生成的分 組發(fā)送到相應(yīng)的應(yīng)用層協(xié)議解析器(比如HTTP協(xié)議解析器���、SMTP 協(xié)議解析器����、P0P3協(xié)議解析器、FTP協(xié)議解析器����、Telnet協(xié)議解析器)。 一般的協(xié)議類型識(shí)別方法是利用RFC規(guī)定的協(xié)議默認(rèn)端口來判斷協(xié)議 的類型�,然而這種方法的準(zhǔn)確性并不高。目前���,除了少數(shù)的協(xié)議(如 DNS和SMTP協(xié)議)可以通過TCP連接的目的端口判定以外���,其他的 協(xié)議均可以變換連接的端口 。例如HTTP協(xié)議��,雖然RFC規(guī)定默認(rèn)情 況下使用80端口�,但是實(shí)際應(yīng)用中,可以見到大量的HTTP服務(wù)采用 其他端口�����,比如說1080、 8080等��。除了可以利用RFC規(guī)定的協(xié)議默 認(rèn)端口來判斷協(xié)議的類型之外�,可以通過增加對(duì)數(shù)據(jù)報(bào)文內(nèi)容的分析 來智能地判斷協(xié)議類型。
在調(diào)用相應(yīng)的應(yīng)用層協(xié)議分析插件之后���,在步驟604中�,應(yīng)用層 協(xié)議解析器對(duì)上傳的內(nèi)容進(jìn)行還原����,并且同樣將還原出來的數(shù)據(jù)信息 送入到事件分析器以便進(jìn)行分析過濾。
如果需要恢復(fù)來自應(yīng)用數(shù)據(jù)流的文件��,例如郵件的附件�,則在步 驟605中,應(yīng)用協(xié)議解析器將數(shù)據(jù)發(fā)送到文件解析器���。類似地�����,在步 驟606中,文件解析器也將對(duì)接收到的文件進(jìn)行解析�,并且在對(duì)數(shù)據(jù) 進(jìn)行還原后,將其發(fā)送到事件分析器進(jìn)行過濾。
應(yīng)該理解本發(fā)明的解析器不限于這里所描述的TCP/IP解析器����、應(yīng) 用層協(xié)議層解析器和文件解析器,可以針對(duì)各種安全服務(wù)協(xié)議棧的分 層結(jié)構(gòu)構(gòu)建解析器而沒有脫離本發(fā)明的精神和范圍����。下面將參考圖7詳細(xì)描述根據(jù)本發(fā)明實(shí)施方式的事件分析器的操 作過程。該圖中示出事件分析器和模式(pattern)數(shù)據(jù)庫(kù)����,其中事件 分析器主要包括管理模塊701、串匹配算法702以及調(diào)度模塊703����,而 模式數(shù)據(jù)庫(kù)存儲(chǔ)了所有威脅安全服務(wù)的模式,其中每種威脅安全服務(wù) 的模式數(shù)據(jù)庫(kù)中包括其針對(duì)集成安全服務(wù)棧中不同層的模式����。事件分 析器的管理模塊701負(fù)責(zé)對(duì)所有串匹配算法702進(jìn)行初始化。而事件 分析器的核心是串匹配算法702�����,該串匹配算法702的匹配過程主要 分成三個(gè)階段模式輸入階段����,模式編譯階段�����,串匹配階段����。第一階 段(模式輸入階段)�����,由管理模塊701從不同的模式數(shù)據(jù)庫(kù)中提取模式��, 并統(tǒng)一編成同一組數(shù)據(jù)���;第二階段(模式編譯階段)�,在準(zhǔn)備好所有模 式后開始執(zhí)行該第二階段�,根據(jù)采用不同的匹配算法,編譯方法也各 不相同�����,這部分工作主要由管理模塊701完成����;第三階段(串匹配階 段)用在系統(tǒng)服務(wù)運(yùn)行時(shí),當(dāng)來自解析器(例如TCP/IP解析器���、應(yīng)用 層協(xié)議解析器和文件解析器中的至少一個(gè))的數(shù)據(jù)被發(fā)送進(jìn)事件分析 器后��,調(diào)度模塊703將基于該輸入的數(shù)據(jù)分組的類型選擇與其對(duì)應(yīng)的 串匹配算法702���。
如圖8中具體示出的,首先�,管理模塊701將從各模式數(shù)據(jù)庫(kù)讀 取針對(duì)同一層的多個(gè)威脅安全服務(wù)的模式,比如讀取針對(duì)IP層的所有 安全服務(wù)的模式(如模式l.l丄l����,模式10.10.10.10:80)。然后對(duì)讀取 的多個(gè)安全服務(wù)模式添加標(biāo)簽�����,以標(biāo)識(shí)該模式屬于哪個(gè)威脅安全服務(wù)����。 如圖中將標(biāo)簽l賦予來自Virus模式數(shù)據(jù)庫(kù)中的多個(gè)模式,將標(biāo)簽2 賦予來自IPS模式數(shù)據(jù)庫(kù)的多個(gè)模式����,將標(biāo)簽3賦予來自WF模式數(shù) 據(jù)庫(kù)的多個(gè)模式���,以及類似地將標(biāo)簽n賦予來自CF模式數(shù)據(jù)庫(kù)的多 個(gè)模式。最后��,管理模塊701將利用這些添加有標(biāo)簽的模式生成(編 譯)針對(duì)該層的串匹配算法702�����,其中關(guān)注于集成安全服務(wù)棧中同一 個(gè)層的所有模式將形成一個(gè)模式集合以用于該串匹配算法702的初始 化�。根據(jù)假設(shè)的模式集合,將生成例如TCP/IP串匹配算法1和應(yīng)用層 串匹配算法2等����,從而針對(duì)不同層的串匹配算法形成串匹配算法池, 如圖8中所示的串匹配算法1�����、 2�、 ...n。即���,根據(jù)已有的模式生成一個(gè)或多個(gè)狀態(tài)機(jī)����,從而可以通過狀態(tài)機(jī)對(duì)某一段輸入文本進(jìn)行查找,這 一過程被稱為串搜索�����。高效的串匹配算法可以提高程序的響應(yīng)性能�。
這里對(duì)本發(fā)明所利用到的串匹配算法做簡(jiǎn)要說明�����,其是用來判斷 一個(gè)文本��,例如Text-t!... tn是否包含另外一個(gè)或多個(gè)字符串P =Pl... pm的方法�,比如有限狀態(tài)機(jī)算法的原理就是針對(duì)匹配字符串, 所有可能的輸入在每一步都會(huì)有一個(gè)狀態(tài)值�����,如果這個(gè)狀態(tài)值等同于 匹配字符串的長(zhǎng)度了���,那么就證明匹配成功���。
根據(jù)實(shí)現(xiàn)的方式��,可以將匹配算法分為軟件模式匹配�、TCAM模 式匹配和ASCI模式匹配��。在串匹配算法中�,匹配一個(gè)字符串的算法 稱為單模匹配算法,而同時(shí)匹配多個(gè)字符串的算法則稱為多模匹配算 法��。TCAM模式匹配是一種用于查表操作的專用芯片��,其特點(diǎn)是一次 命中�����,查找速度與表的大小無關(guān)����。這種方式要求匹配字符串的位置必 須相對(duì)固定。ASCI模式匹配需要先將待檢測(cè)的字符串通過正則表達(dá)式 編譯后�,加載到芯片中,然后才可以進(jìn)行匹配���。應(yīng)該理解這里所提到 的串匹配算法僅僅是示例性的��,本領(lǐng)域技術(shù)人員在不脫離本發(fā)明的精 神和范圍下可選擇任意合適的匹配算法來實(shí)施本發(fā)明����。
圖9是示出根據(jù)本發(fā)明實(shí)施方式的事件分析器調(diào)度模塊的工作過 程。當(dāng)有數(shù)據(jù)從解析器傳送來之后����,調(diào)度模塊703選擇相應(yīng)的串匹配 算法進(jìn)行過濾,即進(jìn)行匹配�,并返回帶有標(biāo)簽i(標(biāo)簽i為標(biāo)簽1�����、 2..., n中的一個(gè))的結(jié)果��。通過該標(biāo)簽i����,該過濾結(jié)果的接收器(未示出)
將知道該標(biāo)簽i所標(biāo)識(shí)的模式屬于所提供的多個(gè)模式數(shù)據(jù)庫(kù)中的哪個(gè) 模式數(shù)據(jù)庫(kù),并且基于該認(rèn)識(shí)可確定對(duì)應(yīng)于進(jìn)入的分組的多個(gè)威脅安 全服務(wù)���,由該多個(gè)威脅安全服務(wù)檢測(cè)分組是否存在威脅以及在確定存 在威脅時(shí)����,進(jìn)行響應(yīng)處理�,例如纟艮警�����、阻斷等���。
為了更好的理解本發(fā)明,下面將以一個(gè)進(jìn)入的報(bào)文為例來具體闡 明根據(jù)本發(fā)明的集成多個(gè)威脅安全服務(wù)的工作過程���。假設(shè)一個(gè)用戶的 IP地址為l.l丄l�,通過本地端口 25467訪問遠(yuǎn)程Web服務(wù)器10.10.10.10 的80端口����,即發(fā)出HTTP請(qǐng)求。這種情況下�����,用戶發(fā)出的第一個(gè)才艮文 P內(nèi)容一般包含請(qǐng)求命令以及請(qǐng)求內(nèi)容�,比如GEThttp:〃news.zzz.com/20071205/12345 .shtml 。
假設(shè)WF模式數(shù)據(jù)庫(kù)中TCP/IP層有模式l丄l.l (如圖7中所示����, 賦予標(biāo)簽3), IPS模式數(shù)據(jù)庫(kù)中TCP/IP層有模式10.10.10.10:80 (如 圖7中所示,賦予標(biāo)簽2)����, WF模式數(shù)據(jù)口中應(yīng)用層有模式xxxxx(如 圖7中所示,賦予標(biāo)簽3)�����, IPS模式數(shù)據(jù)庫(kù)中應(yīng)用層有模式 news.zzz.com (如圖7中所示�����,賦予標(biāo)簽2)���。那么當(dāng)每層的解析器將 解析后的內(nèi)容送給分析器后,分析器將進(jìn)行如下的操作��。
當(dāng)TCP/IP層解析器傳遞信息(例如IP源地址1.1.1.1���、源端口號(hào) 25467�、目標(biāo)地址10.10.10.10�����、目標(biāo)端口號(hào)80、報(bào)文長(zhǎng)度等)給事件 分析器之后��,事件分析器中的調(diào)度模塊703將調(diào)用針對(duì)IP層的串匹配 算法702,之后將會(huì)發(fā)現(xiàn)此報(bào)文中包含WF威脅安全服務(wù)所關(guān)心的IP 地址l.l丄l,也包含IPS威脅安全服務(wù)所關(guān)心的IP地址和端口 10.10.10.10:80���,事件分析器根據(jù)所賦予的標(biāo)簽3和2區(qū)分出是WF威 脅安全服務(wù)和IPS威脅安全服務(wù)�,從而提供相應(yīng)的兩個(gè)威脅安全服務(wù)���, 并且如果相應(yīng)的兩個(gè)威脅安全服務(wù)檢測(cè)發(fā)現(xiàn)數(shù)據(jù)分組存在威脅時(shí)���,則 驅(qū)動(dòng)相應(yīng)的事件響應(yīng)器(未示出)做出例如報(bào)警、阻斷等處理�。同樣, 當(dāng)應(yīng)用層解析器傳遞信息GET
http:〃news.zzz.com/20071205/12345.shtml給事件解析器后��,同樣地�, 調(diào)度模塊703也將調(diào)用應(yīng)用層串匹配算法702來檢測(cè),結(jié)果會(huì)發(fā)現(xiàn)IPS 威脅安全服務(wù)關(guān)心的以標(biāo)簽2所標(biāo)識(shí)的模式���,則提供相應(yīng)的IPS威脅 安全服務(wù)���,并且如果IPS威脅安全服務(wù)檢測(cè)發(fā)現(xiàn)數(shù)據(jù)分組存在威脅時(shí), 則驅(qū)動(dòng)相應(yīng)的事件響應(yīng)器(未示出)做出例如報(bào)警��、阻斷等處理。
應(yīng)當(dāng)注意�,為了使本發(fā)明更容易理解,上面的描述省略了對(duì)于本 領(lǐng)域的技術(shù)人員來說是公知的�����、并且對(duì)于本發(fā)明的實(shí)現(xiàn)可能是必需的 更具體的一些技術(shù)細(xì)節(jié)�。
提供本發(fā)明的說明書的目的是為了說明和描述,而不是用來窮舉 或?qū)⒈景l(fā)明限制為所公開的形式����。對(duì)本領(lǐng)域的普通技術(shù)人員而言,許 多修改和變更都是顯而易見的���。
因此���,選擇并描述實(shí)施方式是為了更好地解釋本發(fā)明的原理及其實(shí)際應(yīng)用����,并使本領(lǐng)域普通技術(shù)人員明白,在不脫離本發(fā)明實(shí)質(zhì)的前 提下�����,所有修改和變更均落入由權(quán)利要求所限定的本發(fā)明的保護(hù)范圍 之內(nèi)。
權(quán)利要求
1. 一種用于集成多個(gè)威脅安全服務(wù)的方法����,該方法包括對(duì)進(jìn)入的分組逐層地進(jìn)行解析,針對(duì)多個(gè)威脅安全服務(wù)分析在當(dāng)前層解析的分組��,從而確定該分組所需的威脅安全服務(wù)���。
2. 根據(jù)權(quán)利要求1所述的方法��,其中所述層是基于多個(gè)威脅安全 服務(wù)所構(gòu)建的協(xié)議棧中的各個(gè)層���。
3. 根據(jù)權(quán)利要求1或2所述的方法,其中所述分析包括將在當(dāng)前 層解析的分組與多個(gè)威脅安全服務(wù)進(jìn)行匹配以確定在當(dāng)前層與該分組 對(duì)應(yīng)的威脅安全服務(wù)����。
4. 根據(jù)權(quán)利要求3所述的方法,其中所述匹配包括將該多個(gè)威脅 安全服務(wù)中所有針對(duì)當(dāng)前層的模式與該分組匹配�,并對(duì)該分組提供匹 配的模式所屬的威脅安全服務(wù)。
5. 根據(jù)權(quán)利要求4所述的方法�����,其中根據(jù)該多個(gè)威脅安全服務(wù)中 所有針對(duì)相同層的模式形成針對(duì)該相同層的匹配算法��,用于對(duì)在該相 同層解析的分組進(jìn)行匹配運(yùn)算。
6. 根據(jù)權(quán)利要求5所述的方法����,其中對(duì)模式添加標(biāo)簽,以標(biāo)識(shí)該 模式所屬的威脅安全服務(wù)���。
7. —種用于集成多個(gè)威脅安全服務(wù)的設(shè)備�����,該設(shè)備包括 解析器�,用于對(duì)進(jìn)入的分組逐層地進(jìn)行解析�,分析器,用于針對(duì)多個(gè)威脅安全服務(wù)分析在當(dāng)前層解析的分組�����, 從而確定該分組所需的威脅安全服務(wù)��。
8. 根據(jù)權(quán)利要求7所述的設(shè)備��,其中所述層是基于多個(gè)威脅安全 服務(wù)所構(gòu)建的協(xié)議棧中的各個(gè)層�。
9. 根據(jù)權(quán)利要求7或8所述的設(shè)備��,其中所述分析器將在當(dāng)前層 解析的分組與多個(gè)威脅安全服務(wù)進(jìn)行匹配以確定在當(dāng)前層與該分組對(duì) 應(yīng)的威脅安全服務(wù)。
10. 根據(jù)權(quán)利要求9所述的設(shè)備���,其中所述分析器將該多個(gè)威脅安全服務(wù)中所有針對(duì)當(dāng)前層的模式與該分組匹配���,并對(duì)該分組提供匹 配的模式所屬的威脅安全服務(wù)。
11. 根據(jù)權(quán)利要求IO所述的設(shè)備�,其中所述分析器根據(jù)該多個(gè)威脅安全服務(wù)中所有針對(duì)相同層的模式形成針對(duì)該相同層的匹配算法, 用于對(duì)在該相同層解析的分組進(jìn)行匹配運(yùn)算�����。
12. 根據(jù)權(quán)利要求11所述的設(shè)備�����,其中所述分析器對(duì)模式添加標(biāo) 簽����,以標(biāo)識(shí)該模式所屬的威脅安全服務(wù)。
全文摘要
一種用于集成多個(gè)威脅安全服務(wù)的方法�����,該方法包括對(duì)進(jìn)入的分組逐層地進(jìn)行解析�,針對(duì)多個(gè)威脅安全服務(wù)分析在當(dāng)前層解析的分組�,從而確定該分組所需的威脅安全服務(wù)����。通過本方法,集成的多個(gè)威脅安全服務(wù)可以過濾應(yīng)用數(shù)據(jù)���,而同時(shí)只需對(duì)網(wǎng)絡(luò)分組數(shù)據(jù)執(zhí)行一次解析�,從而提高了過濾應(yīng)用數(shù)據(jù)的效率并且減小了計(jì)算開銷���。
文檔編號(hào)H04L29/06GK101459660SQ20071019982
公開日2009年6月17日 申請(qǐng)日期2007年12月13日 優(yōu)先權(quán)日2007年12月13日
發(fā)明者王佰玲 申請(qǐng)人:國(guó)際商業(yè)機(jī)器公司