国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

  • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>
      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>

      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>

      分組的脫機(jī)分析的制作方法

      文檔序號:7948426閱讀:151來源:國知局
      專利名稱:分組的脫機(jī)分析的制作方法
      技術(shù)領(lǐng)域
      本發(fā)明的實(shí)施例總的來說涉及計算機(jī)。具體地說,本發(fā)明的實(shí)施例總的涉及用于網(wǎng)絡(luò)安全的分組的脫機(jī)(offline)分析。
      背景技術(shù)
      1948年EDVAC計算機(jī)系統(tǒng)的開發(fā)常常被引用作為計算機(jī)時代的開始。從那時起,計算機(jī)系統(tǒng)演進(jìn)成為非常復(fù)雜的設(shè)備,并且可以找到許多不同設(shè)置的計算機(jī)系統(tǒng)。計算機(jī)系統(tǒng)典型地包括硬件組件(如半導(dǎo)體、集成電路、可編程邏輯器件、可編程門陣列、電源、電子插片卡、金屬片、線纜和連接器)和軟件(又稱為計算機(jī)程序)的組合。
      多年前,各計算機(jī)是彼此不相互通信的隔離的設(shè)備。但當(dāng)今的計算機(jī)常常以網(wǎng)絡(luò)(如因特網(wǎng)或萬維網(wǎng))連接,并且在一個計算機(jī)(常被稱為客戶機(jī))上的用戶可能希望通過網(wǎng)絡(luò)訪問多個其他計算機(jī)(常被稱為服務(wù)器)上的信息。盡管這種連接性對于授權(quán)的用戶可以大有裨益,但它也給未授權(quán)者(常被稱作為入侵者、攻擊者或黑客)提供了訪問、侵入或?yàn)E用可能在幾千英里以外的計算機(jī)的機(jī)會。這種未授權(quán)的訪問可能采用各種各樣的形式,但這里將籠統(tǒng)地稱為拒絕服務(wù)(DoS)攻擊。
      在拒絕服務(wù)攻擊中,入侵者嘗試阻止合法用戶或組織訪問他們本來在正常情況下預(yù)期擁有的信息、資源或服務(wù)。典型地,服務(wù)的損失是特定網(wǎng)絡(luò)服務(wù)(如電子郵件)的不可用,或者所有網(wǎng)絡(luò)連接和服務(wù)的暫時損失。在最壞的情況下,例如,數(shù)百萬人訪問的網(wǎng)站有時候可能被迫暫時停止工作。拒絕服務(wù)攻擊還可以毀壞計算機(jī)系統(tǒng)中的程序設(shè)計(programming)和文件,可以導(dǎo)致系統(tǒng)減速或崩潰,或者可以中斷到重要在線帳戶(例如,銀行帳戶)的訪問。雖然通常是故意和惡意的,但拒絕服務(wù)攻擊有時候可能是偶然發(fā)生的,盡管破壞效果可能仍然是一樣的。拒絕服務(wù)攻擊并不是一定導(dǎo)致信息被竊取或其他安全損失。然而,這些攻擊仍可能使目標(biāo)用戶或組織花費(fèi)大量的時間和金錢。
      盡管拒絕服務(wù)攻擊可以采用許多形式,但其中最常用和明顯的一種類型發(fā)生在攻擊者用信息使網(wǎng)絡(luò)“泛濫”或過載時,這有時被稱為“廣播風(fēng)暴”。為了理解這種類型的攻擊,考慮當(dāng)用戶在瀏覽器中鍵入特定網(wǎng)站的URL(通用資源定位器)時采取的動作。這導(dǎo)致瀏覽器向該網(wǎng)站的計算機(jī)服務(wù)器發(fā)送瀏覽所標(biāo)識的頁面的請求。但是,服務(wù)器一次只能處理一定數(shù)量的請求,所以如果攻擊者用請求使服務(wù)器過載,則服務(wù)器就不能夠處理來自合法用戶的請求。
      另一種類型的拒絕服務(wù)攻擊發(fā)生在攻擊者使用垃圾(spam)電子郵件消息來發(fā)起對目標(biāo)用戶的電子郵件帳戶的攻擊時。不管用戶具有他們雇主提供的電子郵件帳戶、還是可通過諸如Yahoo或Hotmail之類的免費(fèi)服務(wù)得到的電子郵件帳戶,每個用戶都被分配了特定的限額,限制在任何給定時間該帳戶中允許該用戶擁有的數(shù)據(jù)量。通過向該帳戶發(fā)送許多或大的電子郵件消息,攻擊者可以消耗該用戶的限額,從而妨礙合法消息的接收。
      另一種類型的拒絕服務(wù)攻擊常常被稱為“緩沖區(qū)溢出攻擊”,其中攻擊者向網(wǎng)絡(luò)地址發(fā)送比設(shè)計其數(shù)據(jù)緩沖區(qū)的程序員預(yù)期某人可能發(fā)送的要多的流量。攻擊者可以知道目標(biāo)系統(tǒng)具有可以利用的缺陷,或者攻擊者可以簡單地嘗試多種類型的攻擊,直到找到有效的一個為止?;诔绦蚧蛳到y(tǒng)的緩沖特性的若干眾所周知的攻擊包括發(fā)送具有長文件名的附件的電子郵件消息、發(fā)送過大的因特網(wǎng)控制消息協(xié)議(ICMP)分組(這又被稱為無休止(death)的分組因特網(wǎng)或網(wǎng)絡(luò)間探索(查驗(yàn)(ping))),或者發(fā)送具有長的“發(fā)件人”地址的電子郵件。
      另一種類型的拒絕服務(wù)攻擊常常被稱為“SYN攻擊”。當(dāng)在網(wǎng)絡(luò)中的傳輸控制程序(TCP)客戶機(jī)與服務(wù)器之間發(fā)起會話時,存在很小的緩沖空間來處理建立會話的消息的、通常快速的“握手”交換。會話建立分組包括SYN字段,它標(biāo)識消息交換的順序。攻擊者可以非常快速地發(fā)送多個連接請求,然后不響應(yīng)應(yīng)答。這在緩沖區(qū)中留下第一個分組,從而減少了服務(wù)器可以用來容納其他合法連接請求的緩沖空間。盡管服務(wù)器在沒有應(yīng)答的情況下經(jīng)過一定時間段后丟棄緩沖區(qū)中的該分組,但許多這樣的假連接請求的效果將降低服務(wù)器可以建立合法會話請求的速度。
      另一種類型的拒絕服務(wù)攻擊常常被稱為“淚珠(teardrop)攻擊”,它利用這樣的方式,即,當(dāng)分組過大以至于下一路由器無法處理時,因特網(wǎng)協(xié)議(IP)要求分組被分成片段。片段分組標(biāo)識相對于第一個分組的開頭的偏移,能夠使整個分組被接收系統(tǒng)重組起來。在淚珠攻擊中,攻擊者的IP在第二個或后面的片段中放入令人混淆的偏移值。如果接收操作系統(tǒng)沒有應(yīng)對這種情況的措施,則它可能導(dǎo)致系統(tǒng)崩潰。
      在另一種類型的拒絕服務(wù)攻擊中,攻擊者發(fā)送報頭中具有無效標(biāo)志的TCP(傳輸控制協(xié)議)分組。目標(biāo)服務(wù)器的TCP軟件將檢測到錯誤,并且丟棄該分組,但檢查(interrogate)分組并確定它無效的動作仍消耗寶貴的資源和處理帶寬,尤其是當(dāng)服務(wù)器被許多無效分組淹沒時。
      另一種類型的拒絕服務(wù)攻擊常常被稱為“欺騙(smurf)攻擊”,其中攻擊者向目標(biāo)服務(wù)器發(fā)送IP查驗(yàn)(ping)(或者“將我的消息回應(yīng)給我”)請求。查驗(yàn)分組指令接收服務(wù)器向接收服務(wù)器的局域網(wǎng)內(nèi)的若干主機(jī)廣播該查驗(yàn)分組。該分組還指示該請求是來自另一站點(diǎn)一要接收拒絕服務(wù)的目標(biāo)站點(diǎn)。(發(fā)送其中具有別人的返回地址的分組被稱為欺騙返回地址。)結(jié)果是許多查驗(yàn)應(yīng)答被泛濫回到無辜的被騙主機(jī)。如果足夠泛濫,被騙的主機(jī)將不再能夠接收或區(qū)分真正的業(yè)務(wù)流量。
      計算機(jī)病毒、特洛伊木馬、蠕蟲或其他潛在的破壞性代碼在網(wǎng)絡(luò)上以多種方式復(fù)制,也可以被看作拒絕服務(wù)攻擊,其中受害者通常并不是特定目標(biāo),而僅僅是運(yùn)氣不夠好、感染病毒的主機(jī)。取決于具體的病毒,拒絕服務(wù)的范圍可以從幾乎一直沒有察覺到徹底的災(zāi)難。
      拒絕服務(wù)攻擊也可以是分布式的,其中攻擊者可以使用不令人生疑的用戶的計算機(jī)來攻擊另一計算機(jī)。通過利用安全脆弱性或弱點(diǎn),攻擊者可以控制屬于多個不令人生疑的用戶的計算機(jī)。攻擊者然后迫使這些計算機(jī)向網(wǎng)站發(fā)送大量數(shù)據(jù)或者向特定電子郵件地址發(fā)送垃圾郵件。該攻擊是“分布式”的,因?yàn)楣粽呤褂枚鄠€計算機(jī)來發(fā)出拒絕服務(wù)攻擊。
      計算機(jī)防御這些拒絕服務(wù)攻擊的一種方式是通過常稱為防火墻的設(shè)備。防火墻的名字取自于阻止火從一個位置向另一位置擴(kuò)散的物理建筑結(jié)構(gòu)。類似地,計算機(jī)術(shù)語中的防火墻是阻止攻擊進(jìn)入所述計算機(jī)的硬件和/或軟件。防火墻典型地檢查來自網(wǎng)絡(luò)的進(jìn)入數(shù)據(jù)分組,并且過濾惡意分組。
      當(dāng)前的防火墻使用反應(yīng)式方法(reactive approach),其中同一進(jìn)程處理惡意分組的檢測、惡意分組的過濾和無辜分組的路由。此外,過濾和路由的反應(yīng)緊跟在檢測之后進(jìn)行。簡單的反應(yīng)式防火墻的問題在于,它們通過分析進(jìn)入流來識別攻擊所花的時間直接取自執(zhí)行已有防火墻規(guī)則所需的時間。因此,檢測進(jìn)程越復(fù)雜,防火墻執(zhí)行將無辜網(wǎng)絡(luò)分組路由到目標(biāo)服務(wù)器內(nèi)的它們的目的地的正常操作所需要的時間就越長。
      一些當(dāng)前的防火墻還有其他問題,它們可能由于不完整和不準(zhǔn)確的攻擊檢測機(jī)制而產(chǎn)生假攻擊警報。許多假警報的起因在于分組分析不充分。另外,在現(xiàn)有的防火墻中,分組檢測進(jìn)程常常與網(wǎng)絡(luò)堆棧處理和分組過濾耦合過于緊密。例如,如果檢測進(jìn)程具有與過濾進(jìn)程相同的執(zhí)行優(yōu)先級,則這給攻擊檢測的復(fù)雜度施加了資源(例如,CPU、存儲器)限制。一種嘗試解決攻擊檢測和分析的問題的技術(shù)是,使用快速的硬件實(shí)現(xiàn)。不幸的是,基于硬件的解決方案通常制造起來很昂貴。
      沒有更好的方法來檢測和對付拒絕服務(wù)攻擊,用戶將繼續(xù)忍受降低的攻擊檢測效率或下降的吞吐量以及假警報。

      發(fā)明內(nèi)容
      提供了一種方法、設(shè)備、系統(tǒng)和信號承載介質(zhì),在實(shí)施例中,其基于規(guī)則過濾從網(wǎng)絡(luò)接收的分組。所述過濾基于規(guī)則丟棄各分組的一個子集,并且保留各分組剩余子集。該剩余子集被復(fù)制到目的地。通過檢測剩余子集的采樣中是否存在征狀,在較低優(yōu)先級的進(jìn)程中與所述過濾和所述復(fù)制脫機(jī)地創(chuàng)建規(guī)則。在一個實(shí)施例中,基于采樣中征狀存在的頻率,改變檢測征狀的順序。在各種實(shí)施例中,所述征狀可以包括在一段時間內(nèi)接收閾值數(shù)量的查驗(yàn)分組,在一段時間內(nèi)接收閾值數(shù)量的廣播分組,接收具有無效源地址的分組,接收具有無效報頭標(biāo)志的分組,以及在一段時間內(nèi)接收閾值數(shù)量的、包含序列標(biāo)志的分組。通過這種方式,增加了防火墻的吞吐性能。
      根據(jù)一個實(shí)施例,本發(fā)明提供編碼有指令的信號承載介質(zhì),其中當(dāng)執(zhí)行時所述指令包括基于至少一條規(guī)則過濾分組,其中所述過濾基于該規(guī)則丟棄各分組的第一子集,并保留該各分組的剩余子集;創(chuàng)建所述剩余子集的采樣;檢測該采樣中是否存在多個征狀中的每一個;基于該采樣中所述多個征狀中的每個的頻率,改變所述檢測所述多個征狀中的每一個是否存在的執(zhí)行順序;以及基于所述檢測來確定所述至少一條規(guī)則,其中所述檢測和所述確定在與所述過濾和所述創(chuàng)建不同的進(jìn)程中執(zhí)行。
      該信號承載介質(zhì)還可以包括將剩余的子集復(fù)制到目的地。
      根據(jù)另一實(shí)施例,該復(fù)制指令還包括在與所述過濾和所述創(chuàng)建相同的進(jìn)程中將剩余子集復(fù)制到目的地。
      根據(jù)另一實(shí)施例,所述征狀包括在一段時間內(nèi)接收閾值數(shù)量的查驗(yàn)分組或者在一段時間內(nèi)接收閾值數(shù)量的廣播分組。
      所述征狀還可以包括接收到具有無效源地址的分組之一。所述征狀還可以包括接收到具有無效報頭標(biāo)志的分組之一。所述征狀還可以包括在一段時間內(nèi)接收閾值數(shù)量的、包含序列標(biāo)志的分組。根據(jù)另一實(shí)施例,所述不同的進(jìn)程具有比所述過濾和所述創(chuàng)建低的優(yōu)先級。
      根據(jù)本發(fā)明另一實(shí)施例,提供一種計算機(jī)系統(tǒng),包括處理器;和網(wǎng)絡(luò)接口,該網(wǎng)絡(luò)接口包括多個分析器模塊,其中所述多個分析器模塊檢測分組中的多個相應(yīng)征狀,并且基于所述多個征狀創(chuàng)建多個相應(yīng)規(guī)則;過濾器模塊,用于基于所述多個規(guī)則過濾分組,其中所述多個分析器模塊與過濾器模塊脫機(jī)地執(zhí)行;以及采樣模塊,用于向處理器上執(zhí)行的應(yīng)用發(fā)送經(jīng)過濾的分組,并且向所述多個分析器模塊發(fā)送經(jīng)過濾的分組的采樣。根據(jù)另一實(shí)施例,所述多個分析器模塊按照順序執(zhí)行,并且其中所述多個分析器模塊之一基于所述多個征狀的存在與否,按優(yōu)先級重新排列順序。在另一實(shí)施例中,如果存在所述一個征狀,則增加所述一個分析器模塊的優(yōu)先級,并且其中該順序基于該優(yōu)先級。根據(jù)另一個實(shí)施例,如果不存在所述一個征狀,則減少所述一個分析器模塊的優(yōu)先級,并且其中該順序基于該優(yōu)先級。在另一實(shí)施例中,所述多個分析器模塊之一周期性地從過濾器模塊中移除相應(yīng)規(guī)則。根據(jù)另一實(shí)施例,所述多個分析器模塊之一基于時間閾值,周期性地從過濾器模塊中移除相應(yīng)規(guī)則。
      根據(jù)另一實(shí)施例,所述多個分析器模塊之一基于滿足相應(yīng)規(guī)則并被丟棄的分組數(shù)量,周期性地從過濾器模塊中移除相應(yīng)規(guī)則。根據(jù)另一實(shí)施例,所述采樣模塊創(chuàng)建經(jīng)過濾的分組的子集,并且其中所述分析器模塊分析該子集。
      根據(jù)另一實(shí)施例,本發(fā)明提供一種配置計算機(jī)的方法,包括配置計算機(jī)基于規(guī)則過濾分組;配置計算機(jī)為征狀分析經(jīng)過濾的分組;以及配置計算機(jī)基于該征狀創(chuàng)建規(guī)則,其中與所述分組的所述過濾脫機(jī)地分析經(jīng)過濾的分組和創(chuàng)建規(guī)則。


      現(xiàn)在將參照附圖僅僅通過示例描述本發(fā)明,其中圖1繪出了實(shí)現(xiàn)本發(fā)明實(shí)施例的示例系統(tǒng)的框圖;
      圖2繪出了根據(jù)本發(fā)明實(shí)施例的示例系統(tǒng)的選擇組件的框圖;圖3繪出了根據(jù)本發(fā)明實(shí)施例的示例系統(tǒng)中的分組流動的框圖;圖4繪出了根據(jù)本發(fā)明實(shí)施例的用于過濾器模塊的示例處理的框圖;圖5繪出了根據(jù)本發(fā)明實(shí)施例的采樣模塊的示例處理的流程圖;圖6繪出了根據(jù)本發(fā)明實(shí)施例的分析器模塊的示例處理的流程圖;以及圖7繪出了根據(jù)本發(fā)明實(shí)施例的分析器模塊的另一示例處理的流程圖。
      具體實(shí)施例方式
      參照附圖,其中在幾個圖中相同的附圖標(biāo)記代表相同的部件,圖1繪出了根據(jù)本發(fā)明實(shí)施例的、連接到網(wǎng)絡(luò)130的計算機(jī)系統(tǒng)100的高層框圖表示。計算機(jī)系統(tǒng)100的主要組件包括一個或多個處理器101、主存儲器102、終端接口111、存儲接口112、I/O(輸入/輸出)設(shè)備接口113、以及通信/網(wǎng)絡(luò)接口114(在實(shí)施例中是防火墻),它們?nèi)客ㄟ^存儲器總線103、I/O總線104和I/O總線接口單元105耦合來進(jìn)行組件間通信。
      計算機(jī)系統(tǒng)100包含一個或多個通用可編程中央處理單元(CPU)101A、101B、101C和101D,這里統(tǒng)稱為處理器101。在一個實(shí)施例中,計算機(jī)系統(tǒng)100包含多個處理器(通常是相對大的系統(tǒng)中);然而在另一實(shí)施例中,計算機(jī)系統(tǒng)100也可以是單CPU系統(tǒng)。每個處理器101執(zhí)行存儲在主存儲器102中的指令,并且可以包括一級或多級板上高速緩沖存儲器。
      每個處理器101可以實(shí)現(xiàn)為單線程處理器或者多線程處理器。在很大程度上說,駐留在計算機(jī)100中的軟件像獨(dú)立的處理器那樣對待多線程處理器中的每個硬件線程。在這點(diǎn)上,為了本公開的目的,將考慮包括單個硬件線程(即,單個獨(dú)立的執(zhí)行單元)的單線程處理器。然而應(yīng)當(dāng)理解,可以結(jié)合單線程和多線程處理器使用基于軟件的多線程或多任務(wù),以便進(jìn)一步支持計算機(jī)100中的多任務(wù)的并行執(zhí)行。
      主存儲器102是用于存儲數(shù)據(jù)和程序的隨機(jī)存取半導(dǎo)體存儲器。主存儲器102在概念上是單個的一體式實(shí)體,但在其他實(shí)施例中,主存儲器102是更復(fù)雜的配置,如高速緩沖存儲器和其他存儲器件的體系。例如,存儲器可以存在于多級高速緩沖存儲器中,并且這些高速緩沖存儲器可以進(jìn)一步按照功能劃分,從而一個高速緩沖存儲器保存指令,而另一個保存供所述(各)處理器使用的非指令數(shù)據(jù)。存儲器還可以是分布式的,并且與不同的CPU或CPU集相關(guān)聯(lián),這就是在各種所謂的非均勻存儲器存取(NUMA)計算機(jī)架構(gòu)中的任一個。
      主存儲器102包括操作系統(tǒng)150,后者是控制計算機(jī)系統(tǒng)100的硬件資源(如處理器101的處理時間、存儲器102、盤空間和外圍設(shè)備)在各種應(yīng)用、進(jìn)程或線程之間的分配和使用的軟件。操作系統(tǒng)150典型地是建立應(yīng)用的基礎(chǔ)。在各個實(shí)施例中,操作系統(tǒng)150可以由OS/400、UNIX、AIX或任何其他適合的操作系統(tǒng)實(shí)現(xiàn)。操作系統(tǒng)150包括能夠在處理器101上執(zhí)行的指令,或者能夠被處理器101上執(zhí)行的指令解釋的語句。計算機(jī)系統(tǒng)100可以使用虛擬地址機(jī)制,允許計算機(jī)系統(tǒng)100的程序操作看起來好像它們只存取大的、單個存儲實(shí)體,而不是存取多個小的存儲實(shí)體。因此,盡管操作系統(tǒng)150顯示為包含在計算機(jī)100的存儲器102中,但操作系統(tǒng)150的各部分不一定都完全同時包含在同一存儲設(shè)備中。
      主存儲器102還包括一個應(yīng)用或多個應(yīng)用152。應(yīng)用是從網(wǎng)絡(luò)130接收的數(shù)據(jù)的分組的目的地或接收者。盡管應(yīng)用152在圖1中顯示為與操作系統(tǒng)150分開,但在另一實(shí)施例中,它們被封裝在一起或者是同一個。
      存儲器總線103提供用于在處理器101、主存儲器102和I/O總線接口單元105之間傳輸數(shù)據(jù)的數(shù)據(jù)通信路徑。I/O總線接口單元105進(jìn)一步被耦合到系統(tǒng)I/O總線104,后者用于將數(shù)據(jù)向/從各個I/O單元傳輸。I/O總線接口單元105通過系統(tǒng)I/O總線104與多個I/O接口單元111、112、113和114(又稱為I/O處理器(IOP)或I/O適配器(IOA))通信。系統(tǒng)I/O總線104可以是例如,產(chǎn)業(yè)標(biāo)準(zhǔn)PCI(外圍組件互連)總線,或者任何其他適合的總線技術(shù)。I/O接口單元支持與多種存儲和I/O設(shè)備的通信。例如,終端接口單元111支持一個或多個終端121、122、123和124的附接。
      存儲接口單元112支持一個或多個直接存取存儲設(shè)備(DASD)125、126和127的附接(它們典型地是旋轉(zhuǎn)磁盤驅(qū)動存儲設(shè)備,盡管它們也可以是其他設(shè)備,包括被配置成對主機(jī)看來是單個大存儲設(shè)備的盤驅(qū)動陣列)。DASD125、126和127的內(nèi)容按照需要可以被加載并存儲到存儲器102。存儲接口單元112也可以支持其他類型的設(shè)備,如磁帶設(shè)備131、光學(xué)設(shè)備或任何其他類型的存儲設(shè)備。
      I/O和其他設(shè)備接口113提供對任何各種其他輸入/輸出設(shè)備或其他類型設(shè)備的接口。在圖1的示例性實(shí)施例中示出兩個這樣的設(shè)備—打印機(jī)128和傳真機(jī)129,但在其他實(shí)施例中,可以存在許多其他這樣的、可以是不同類型的設(shè)備。
      網(wǎng)絡(luò)接口114提供從計算機(jī)系統(tǒng)100到其他數(shù)字設(shè)備和計算機(jī)系統(tǒng)的一條或多條通信路徑;這樣的路徑可以包括例如,一個或多個網(wǎng)絡(luò)130。在各個實(shí)施例中,網(wǎng)絡(luò)接口114可以通過防火墻、路由器、調(diào)制解調(diào)器、LAN(局域網(wǎng))卡、虛擬LAN卡、因特網(wǎng)服務(wù)提供商(ISP)、個人計算機(jī)或者任何其他適合的網(wǎng)絡(luò)接口或網(wǎng)絡(luò)接口組合來實(shí)現(xiàn)。下面參照圖2進(jìn)一步描述網(wǎng)絡(luò)接口114的所選組件。
      盡管存儲器總線103在圖1中顯示為提供處理器101、主存儲器102和I/O總線接口105之間的直接通信路徑的、相對簡單的單總線結(jié)構(gòu),但實(shí)際上,存儲器總線103可以包括多個不同的總線或通信路徑,它們可以以多種形式中的任一種排列,如分層的點(diǎn)到點(diǎn)鏈路、星或網(wǎng)狀配置、多層總線、平行和冗余路徑等。此外,盡管I/O總線接口105和I/O總線104顯示為單個各自單元,但計算機(jī)系統(tǒng)100實(shí)際上可以包括多個I/O總線接口單元105和/或多個I/O總線104。盡管多個I/O接口單元顯示為將系統(tǒng)I/O總線104與前進(jìn)到各個I/O設(shè)備的各個通信路徑分開,但在其他實(shí)施例中,一些或全部I/O設(shè)備直接連接到一個或多個系統(tǒng)I/O總線。
      圖1中繪出的計算機(jī)系統(tǒng)100具有多個附接的終端121、122、123和124,可能就像典型的多用戶“大型機(jī)”計算機(jī)系統(tǒng)那樣。典型地,在這種情況下實(shí)際附接的設(shè)備數(shù)量比圖1所示的要大,盡管本發(fā)明不限于任何具體大小的系統(tǒng)。計算機(jī)系統(tǒng)100也可以是單用戶系統(tǒng),典型地包括僅單個用戶顯示器和鍵盤輸入,或者可以是具有很少或沒有直接用戶接口、而是接收來自其他計算機(jī)系統(tǒng)(客戶機(jī))的請求的服務(wù)器或類似設(shè)備。在其他實(shí)施例中,計算機(jī)系統(tǒng)100可以實(shí)現(xiàn)為防火墻、路由器、因特網(wǎng)服務(wù)提供商(ISP)、個人計算機(jī)、便攜式計算機(jī)、膝上或筆記本計算機(jī)、PDA(個人數(shù)字助理)、平板計算機(jī)、袖珍計算機(jī)、電話、尋呼機(jī)、汽車、電話會議系統(tǒng)、家電或任何其他適合類型的電子設(shè)備。
      網(wǎng)絡(luò)130可以是任何適合的網(wǎng)絡(luò)或網(wǎng)絡(luò)組合,并且可以支持任何適合向/從計算機(jī)系統(tǒng)100的數(shù)字和/或代碼通信的適當(dāng)協(xié)議。在實(shí)施例中,網(wǎng)絡(luò)130可以表示直接或間接連接到計算機(jī)系統(tǒng)100的存儲設(shè)備或存儲設(shè)備的組合。在一個實(shí)施例中,網(wǎng)絡(luò)130可以支持Infiniband(無限帶寬)。在另一實(shí)施例中,網(wǎng)絡(luò)130可以支持無線通信。在另一實(shí)施例中,網(wǎng)絡(luò)130可以支持硬連線的通信,如電話線、線纜或總線。在另一實(shí)施例中,網(wǎng)絡(luò)130可以支持以太網(wǎng)IEEE(電氣和電子工程師協(xié)會)802.3x規(guī)范。
      在另一實(shí)施例中,網(wǎng)絡(luò)130可以是因特網(wǎng)并且可以支持IP(因特網(wǎng)協(xié)議)。在另一實(shí)施例中,網(wǎng)絡(luò)130可以是局域網(wǎng)(LAN)或廣域網(wǎng)(WAN)。在另一實(shí)施例中,網(wǎng)絡(luò)130可以是熱點(diǎn)服務(wù)提供商網(wǎng)絡(luò)。在另一實(shí)施例中,網(wǎng)絡(luò)130可以是內(nèi)聯(lián)網(wǎng)。在另一實(shí)施例中,網(wǎng)絡(luò)130可以是GPRS(通用分組無線服務(wù))網(wǎng)絡(luò)。在另一實(shí)施例中,網(wǎng)絡(luò)130可以是FRS(家庭無線服務(wù))網(wǎng)絡(luò)。在另一實(shí)施例中,網(wǎng)絡(luò)130可以是任何適合的蜂窩數(shù)據(jù)網(wǎng)絡(luò)或者基于小區(qū)的無線網(wǎng)絡(luò)技術(shù)。在另一實(shí)施例中,網(wǎng)絡(luò)130可以是802.11B無線網(wǎng)絡(luò)。在再一個實(shí)施例中,網(wǎng)絡(luò)130可以是任何適合的網(wǎng)絡(luò)或網(wǎng)絡(luò)組合。盡管示出了一個網(wǎng)絡(luò)130,但在其他實(shí)施例中,可以存在任何數(shù)量(相同或不同類型)的網(wǎng)絡(luò)。
      應(yīng)當(dāng)理解,圖1意圖在高層上繪出計算機(jī)系統(tǒng)100和網(wǎng)絡(luò)130的代表性主要組件,各個組件可以具有比圖1所示更高的復(fù)雜度,可以存在圖1所示的以外的組件或者比其更少或更多的組件,并且這些組件的數(shù)量、類型和配置可以改變。這里披露了這種額外復(fù)雜度或額外變型的若干具體示例;應(yīng)當(dāng)理解,這些僅僅是通過示例的方式,而并不一定是僅有的這些變型。實(shí)際上,可以使用其他替代硬件和/或軟件環(huán)境,而不背離本發(fā)明的范圍。
      圖2繪出了根據(jù)本發(fā)明實(shí)施例的示例系統(tǒng)的所選組件的框圖。該示例系統(tǒng)包括計算機(jī)系統(tǒng)100(用作服務(wù)器)、防火墻114和網(wǎng)絡(luò)130,所有這些在上面已參照圖1被描述過。
      防火墻114的主要組件包括處理器201和主存儲器202,它們通過存儲器總線203、I/O總線204和I/O總線接口單元205連接來進(jìn)行組件間通信。處理器201執(zhí)行存儲在主存儲器102中的指令,可以包括一級或多級板上高速緩沖存儲器,并且與之前在上面參照圖1所述的處理器101類似。
      在一個實(shí)施例中,主存儲器202是隨機(jī)存取半導(dǎo)體存儲器,用于存儲數(shù)據(jù)和程序,并且與之前在上面描述的圖1中主存儲器102類似。主存儲器202可以是只讀、讀-寫、易失或非易失的。主存儲器202包括采樣模塊250、過濾器模塊252和分析器模塊254。盡管采樣模塊250、過濾器模塊252和分析器模塊254顯示為被包含在防火墻114的存儲器202內(nèi),但在其他實(shí)施例中,它們中的一些或全部可以在不同的電子設(shè)備上,并且可以被遠(yuǎn)程地存取。此外,盡管采樣模塊250、過濾器模塊252和分析器模塊254全都顯示為被包含在防火墻114的存儲器202內(nèi),但這些組件并不一定都是同時完全包含在同一存儲設(shè)備中。在各種實(shí)施例中,采樣模塊250、過濾器模塊252和分析器模塊254中的一些或全部可以被燒入存儲器202中、從服務(wù)器100中加載、經(jīng)由網(wǎng)絡(luò)130接收、或者從未示出的輔助存儲設(shè)備中加載。下面參照圖3進(jìn)一步描述采樣模塊250、過濾器模塊252和分析器模塊254的功能,以及采樣模塊250、過濾器模塊252和分析器模塊254之間的分組流動。
      存儲器總線203提供用于在處理器201、主存儲器202和I/O總線接口單元205之間傳輸數(shù)據(jù)的數(shù)據(jù)通信路徑。I/O總線接口單元205進(jìn)一步耦合到系統(tǒng)I/O總線204,后者用于將數(shù)據(jù)向/從各個I/O單元傳輸。I/O總線接口單元205通過系統(tǒng)I/O總線204與服務(wù)器100和網(wǎng)絡(luò)130通信。系統(tǒng)I/O總線204可以是例如,產(chǎn)業(yè)標(biāo)準(zhǔn)PCI(外圍組件互連)總線,或者任何其他適合的總線技術(shù)。
      應(yīng)當(dāng)理解,圖2意圖在高層上繪出防火墻114的代表性主要組件以及它與服務(wù)器100和網(wǎng)絡(luò)130的關(guān)系,各個組件可以具有比圖2所示更高的復(fù)雜度,可以存在圖2所示的以外的組件或者比其更少或更多的組件,并且這些組件的數(shù)量、類型和配置可以改變。這里披露了這種額外復(fù)雜度或額外變型的若干具體示例;應(yīng)當(dāng)理解,這些僅僅是通過示例的方式,而并不一定是僅有這些變型。
      圖2所示的各種軟件組件和本發(fā)明實(shí)施的各種實(shí)施例可以以多種方式實(shí)現(xiàn),包括使用各種計算機(jī)軟件應(yīng)用、例程、組件、程序、對象、模塊、數(shù)據(jù)結(jié)構(gòu)等,下面稱為“計算機(jī)程序”或簡稱為“程序”。計算機(jī)程序典型地包括在各個時刻駐留在防火墻114的各個存儲器和存儲設(shè)備中的一個或多個指令,當(dāng)它們被防火墻114中的一個或多個處理器201讀取并執(zhí)行時,使得防火墻114執(zhí)行必要的步驟,來運(yùn)行實(shí)現(xiàn)本發(fā)明實(shí)施例的各個方面的步驟或要素。
      此外,盡管在完全功能性的防火墻的上下文中已經(jīng)和下面即將描述本發(fā)明實(shí)施例,但本發(fā)明的各個實(shí)施例能夠以多種方式分發(fā)為程序產(chǎn)品,并且不管用來實(shí)際進(jìn)行分發(fā)的信號承載介質(zhì)的具體類型如何,本發(fā)明都同等適用。定義該實(shí)施例的功能的程序可以通過多種信號承載介質(zhì)遞送給防火墻114,包括但不限于
      (1)永久存儲在不可重寫的存儲介質(zhì)上的信息,例如,附接到計算機(jī)系統(tǒng)或計算機(jī)系統(tǒng)內(nèi)的只讀存儲設(shè)備,如CD-ROM、DVD-R或DVD+R;(2)存儲在可重寫的存儲介質(zhì)上的可改寫信息,例如,硬盤驅(qū)動器、CD-RW、DVD-RW、DVD+RW、DVD-RAM或軟盤;或者(3)通過通信介質(zhì)傳送到防火墻114的信息,如通過計算機(jī)或電話網(wǎng)絡(luò),例如包括無線通信的網(wǎng)絡(luò)130。
      這些信號承載介質(zhì)在承載指示本發(fā)明功能的機(jī)器可讀指令時,代表本發(fā)明的實(shí)施例。
      此外,下面描述的各種程序可以基于在本發(fā)明特定實(shí)施例中實(shí)現(xiàn)的應(yīng)用來標(biāo)識。但是,下面任何具體的程序命名僅僅是用于方便的目的,因此本發(fā)明的實(shí)施例不應(yīng)當(dāng)限于僅在由該命名標(biāo)識和/或暗示的任何特定應(yīng)用中使用。
      圖2所示的示例性環(huán)境并非意圖限制本發(fā)明。實(shí)際上,可以使用其他替代硬件和/或軟件環(huán)境,而不背離本發(fā)明的范圍。
      圖3繪出了示出根據(jù)本發(fā)明實(shí)施例的、連接到服務(wù)器100和網(wǎng)絡(luò)130的防火墻114的示例系統(tǒng)的分組流動的框圖。過濾器模塊252接收來自網(wǎng)絡(luò)130的分組數(shù)據(jù)流,并且基于從分析器模塊254接收的規(guī)則,過濾接收的分組數(shù)據(jù)流。如果接收的分組滿足規(guī)則之一,即,接收的分組顯示代表入侵者攻擊的征狀,則過濾器模塊252就丟棄該分組。在各個實(shí)施例中,過濾器模塊252可以通過將分組移動到虛擬回收站或日志來丟棄它,如果期望的話可以在以后詢問它,或者過濾器模塊252可以簡單地刪除該分組或用其他數(shù)據(jù)(如后面接收的另一分組)重寫該分組。如果接收的分組不滿足規(guī)則,則過濾器模塊252將接收的分組轉(zhuǎn)發(fā)到采樣模塊250。因此,過濾器模塊252基于至少一條規(guī)則過濾各分組,基于所述規(guī)則丟棄分組的子集,并且轉(zhuǎn)發(fā)剩余的分組子集。下面將參照圖4進(jìn)一步描述過濾器模塊252的功能。
      采樣模塊250從過濾器模塊252接收剩余的分組子集,然后將所述剩余的子集復(fù)制到目的地,如服務(wù)器100中的應(yīng)用152。采樣模塊250還將接收分組的該剩余子集的采樣復(fù)制到分析器模塊254??梢允褂萌魏芜m合的采樣率。因此,采樣模塊250發(fā)送到分析器模塊254的采樣分組是采樣模塊250從過濾器模塊252接收的分組的另一子集。下面參照圖5進(jìn)一步描述采樣模塊250的功能。
      分析器模塊254從采樣模塊250接收預(yù)定采樣率的采樣分組,并且對采樣分組分析入侵者攻擊的征狀。分析器模塊254與采樣模塊250和過濾器模塊252脫機(jī)地運(yùn)行,意味著分析器模塊254在不同的線程、進(jìn)程和作業(yè)中運(yùn)行。在一個實(shí)施例中,分析器模塊254在比過濾器模塊252和采樣模塊250低的優(yōu)先級上運(yùn)行,以便減少對過濾器模塊252和采樣模塊250功能的任何性能影響。下面將參照圖6和7進(jìn)一步描述分析器模塊254的功能。
      圖4繪出了根據(jù)本發(fā)明實(shí)施例的、過濾器模塊252的示例處理的流程圖??刂圃诜娇?00開始??刂迫缓罄^續(xù)到方框405,在此過濾器模塊252接收來自網(wǎng)絡(luò)130的分組??刂迫缓罄^續(xù)到方框410,在此過濾器模塊252判斷接收的分組是否滿足過濾器模塊252之前從分析器模塊254(將在下面參照圖7進(jìn)一步描述)接收的(一條或多條)規(guī)則。如果方框410處的判斷為真,則接收的分組滿足所述規(guī)則,從而控制繼續(xù)到方框415,在此過濾器模塊252拒絕并丟棄該分組,并且更新用于跟蹤滿足規(guī)則并被丟棄的分組的統(tǒng)計計數(shù)器。使用的統(tǒng)計計數(shù)器將在下面參照圖7進(jìn)一步描述??刂迫缓蠓祷氐椒娇?05來處理下一分組,如之前上面所述的那樣。
      如果在方框410處的判斷為假,則接收的分組不滿足規(guī)則,從而控制繼續(xù)到方框420,在此過濾器模塊252向采樣模塊250發(fā)送接收的分組??刂迫缓蠓祷刂吧厦嫠龅姆娇?05。
      圖5繪出了根據(jù)本發(fā)明實(shí)施例的采樣模塊250的示例處理的流程圖??刂圃诜娇?00開始??刂迫缓罄^續(xù)到方框505,在此采樣模塊250接收來自過濾器模塊252的分組??刂迫缓罄^續(xù)到方框510,在此采樣模塊250將該分組復(fù)制到服務(wù)器100上的目的地,如應(yīng)用152。控制然后繼續(xù)到方框515,在此采樣模塊250可以根據(jù)采樣率將該分組存儲在與分析器模塊254相關(guān)聯(lián)的存儲設(shè)備中。在另一實(shí)施例中,采樣模塊250可以向分析模塊254發(fā)送采樣分組??刂迫缓蠓祷刂吧厦嫠龅姆娇?05。
      圖6繪出了根據(jù)本發(fā)明實(shí)施例的、對每個采樣分組執(zhí)行一次的分析器模塊254的示例處理的流程圖。控制在方框600處開始。控制然后繼續(xù)到方框610,在此最高優(yōu)先級的分析器模塊A 254判斷是否需要對征狀A(yù)進(jìn)行動作,并且如果需要的話管理對征狀A(yù)的規(guī)則A,這將在下面參照圖7進(jìn)一步描述。
      控制然后繼續(xù)到方框620,在此第二高優(yōu)先級的分析器模塊B 254判斷是否需要對征狀B進(jìn)行動作,并且如果需要的話管理對征狀B的相應(yīng)規(guī)則B,這將在下面參照圖7進(jìn)一步描述。
      控制然后繼續(xù)到方框630,在此第三高優(yōu)先級的分析器模塊C 254判斷是否需要對征狀C進(jìn)行動作,并且如果需要的話管理對征狀C的相應(yīng)規(guī)則C,這將在下面參照圖7進(jìn)一步描述。
      控制然后繼續(xù)到方框640,在此最低優(yōu)先級的分析器模塊N 254判斷是否需要對征狀N進(jìn)行動作,并且如果需要的話管理對征狀N的相應(yīng)規(guī)則N,這將在下面參照圖7進(jìn)一步描述??刂迫缓罄^續(xù)到方框645,在此與分析器模塊254相關(guān)聯(lián)的控制邏輯基于計算的分析器模塊254的新優(yōu)先級(下面參照圖7進(jìn)一步描述),重新按優(yōu)先級排列分析器模塊A、B和N 254執(zhí)行的順序。例如,執(zhí)行圖6的下一時間邏輯,最高優(yōu)先級到最低優(yōu)先級的分析器模塊可以是不同的。以這種方式,基于采樣分組中的每個征狀的頻率,改變對是否存在每個征狀的檢測的執(zhí)行順序,這將在下面參照圖7描述。因此,首先檢查最頻繁發(fā)生的征狀,而最后檢查最不頻繁發(fā)生的征狀,等等。控制然后繼續(xù)到方框699,在此返回圖6的邏輯。
      盡管對于相應(yīng)征狀A(yù)、B、C和N及相應(yīng)規(guī)則A、B、C和N分別顯示分析器模塊A、B、C和N 254,但在其他實(shí)施例中,可以存在任意數(shù)量的分析器模塊、征狀和規(guī)則。此外,盡管分別顯示不同的模塊A、B、C和N 254檢測不同的征狀A(yù)、B、C和N,但可以通過同一分析器模塊254檢測一些或全部不同的征狀A(yù)、B、C和N。征狀A(yù)、B、C和N及相應(yīng)規(guī)則A、B、C和N將在下面參照圖7進(jìn)一步描述。
      盡管在圖6中分析器模塊A被描繪為最高優(yōu)先級的分析器模塊,分析器模塊B是第二高優(yōu)先級,分析器模塊C是第三高優(yōu)先級,而分析器模塊N是最低優(yōu)先級,但分析器模塊254的優(yōu)先級可以改變,這將在下面參照圖7進(jìn)一步描述。響應(yīng)于優(yōu)先級的改變,圖6中各個分析器模塊A、B、C和N 254的執(zhí)行順序改變。
      圖7繪出了根據(jù)本發(fā)明實(shí)施例的分析器模塊A、B、C和N 254(之前上面參照圖6描述的)中的任何和全部的示例處理的流程圖?;\統(tǒng)地,圖7將任何分析器模塊A、B、C或N稱為“分析器X”254,其中“X”是指A、B、C或N,取決于圖7的邏輯調(diào)用圖6中的哪個方框。
      控制在方框700處開始??刂迫缓罄^續(xù)到方框705,在此分析器模塊X 254判斷相關(guān)征狀X是否之前已被檢測過(通過方框720處圖7的邏輯的先前調(diào)用),以及相關(guān)規(guī)則X當(dāng)前是否在實(shí)施(通過濾波器模塊252,如之前上面參照圖4所述)。如果方框705處的判斷為真,則規(guī)則X已經(jīng)被濾波器模塊252實(shí)施,從而控制繼續(xù)到方框710,在此分析器模塊X 254通過估計引起征狀X的攻擊是否終止或失效,判斷是否到了該移除所實(shí)施的規(guī)則X的時候。在一個實(shí)施例中,分析器模塊X 254通過將從規(guī)則X被實(shí)施起所經(jīng)過的時間與閾值進(jìn)行比較來做出判斷,并且所有的規(guī)則X可以具有相同或不同的閾值。在另一實(shí)施例中,分析器模塊X 254通過分析濾波器模塊252之前保存的統(tǒng)計信息(之前上面參照圖4中的方框415所述),在方框710處做出判斷。因此,分析器模塊254基于閾值或者基于滿足規(guī)則并被丟棄的分組數(shù)量,估計規(guī)則X所檢測的征狀X是否不再發(fā)生。
      如果方框710處的判斷為真,則是移除所實(shí)施的規(guī)則的時候了,從而控制繼續(xù)到方框715,在此分析器模塊X 254將規(guī)則X從過濾器模塊252當(dāng)前執(zhí)行的規(guī)則集中移除??刂迫缓罄^續(xù)到方框799,在此圖7的邏輯返回。
      如果方框710處的判斷為假,則沒到移除所實(shí)施的規(guī)則的時候,從而控制繼續(xù)到方框799,在此圖7的邏輯返回。
      如果方框705處的判斷為假,則相關(guān)規(guī)則X當(dāng)前未被濾波器模塊252實(shí)施,從而控制繼續(xù)到方框720,在此分析器模塊X 254判斷當(dāng)前采樣分組中是否存在征狀X。
      如果方框720處的判斷為真,則當(dāng)前采樣分組中存在征狀X,從而控制繼續(xù)到方框722,在此分析器模塊X 254遞增或以其他方式增加分析器模塊X254的優(yōu)先級。分析器模塊的優(yōu)先級用來排列檢測征狀的執(zhí)行順序,如之前參照圖6所述那樣??刂迫缓罄^續(xù)到方框725,在此分析模塊X 254向過濾器模塊252發(fā)送所確定的規(guī)則X。
      控制然后繼續(xù)到方框799,在此圖7的邏輯返回。
      如果方框720處的判斷為假,則當(dāng)前采樣中不存在征狀X,從而控制繼續(xù)到方框735,在此分析器模塊X 254遞減或以其他方式減少分析器模塊X254的相關(guān)聯(lián)的優(yōu)先級。控制然后繼續(xù)到之前上面所述的方框799。
      在各個實(shí)施例中,征狀X(之前上面參照圖6所述的征狀A(yù)、B、C和N)及其各自的規(guī)則X(之前上面參照圖6所述的規(guī)則A、B、C和N)可以包括下面中的任一個、一些或全部查驗(yàn)泛濫(ping flood)如果分析器模塊254檢測到超過閾值的、送往特定目標(biāo)(例如應(yīng)用152)的多個ICMP回應(yīng)請求的征狀,則分析器模塊254創(chuàng)建一條規(guī)則,命令過濾器模塊252在一段時間內(nèi)丟棄指向該目標(biāo)的所有回應(yīng)或查驗(yàn)請求。盡管在該示例中描述了ICMP協(xié)議,但在其他實(shí)施例中,可以使用任何查驗(yàn)請求格式。
      廣播風(fēng)暴(broadcast storm)廣播分組請求目標(biāo)向多個目的地發(fā)送相同分組。在活躍的網(wǎng)絡(luò)中一定數(shù)量的廣播分組是正常的。但是當(dāng)發(fā)送過量時,網(wǎng)絡(luò)可能被淹沒于(overwhelm)轉(zhuǎn)發(fā)和處理這些分組。如果分析器模塊254檢測到在一段時間內(nèi)接收到閾值數(shù)量的廣播分組的征狀,則分析器模塊創(chuàng)建一條規(guī)則,命令過濾器模塊252在一段時間內(nèi)丟棄所有廣播分組。
      欺騙(Bogon)如果分析器模塊254檢測到接收到具有無效源地址的分組的征狀,則分析器模塊254創(chuàng)建一條規(guī)則,命令過濾器模塊252丟棄源自該無效源地址的所有分組。
      無效TCP標(biāo)志如果分析器模塊254檢測到接收到分組報頭中具有無效標(biāo)志的分組的征狀,則分析器模塊254創(chuàng)建一條規(guī)則,命令過濾器模塊252丟棄具有該無效標(biāo)志的所有分組。盡管描述了TCP標(biāo)志,但在其他實(shí)施例中可以使用任何適合的協(xié)議的標(biāo)志。
      SYN(序列)泛濫SYN泛濫攻擊以比目標(biāo)目的地(例如,應(yīng)用152)所能處理的要快的速度發(fā)送TCP連接請求。攻擊者為每個分組創(chuàng)建隨機(jī)源地址。每個分組中設(shè)置的SYN標(biāo)志是開放從該被欺騙的IP地址到服務(wù)器的新連接的請求。受害目的地對被欺騙的IP地址應(yīng)答,然后等待永遠(yuǎn)也不會到達(dá)的確認(rèn)。受害者的連接表填滿了對應(yīng)答的等待。在表被填滿之后,所有新的連接就被忽略掉。合法用戶也被忽略掉,從而無法訪問該服務(wù)器。一旦攻擊者停止泛濫該服務(wù)器,則該服務(wù)器通?;氐秸顟B(tài),因此SYN泛濫很少使服務(wù)器崩潰。SYN泛濫攻擊可以作為其他攻擊的一部分,例如在TCP攔截中使連接的一方失去能力,或者阻止服務(wù)器之間的鑒別或登陸。如果分析器模塊254檢測到在一段時間內(nèi)接收到閾值數(shù)量的、包含SYN標(biāo)志的分組的征狀,則分析器模塊254創(chuàng)建一條規(guī)則,命令過濾器模塊252在一段時間內(nèi)丟棄所有具有該SYN標(biāo)志集的分組。
      在前面對本發(fā)明示例性實(shí)施例的詳細(xì)描述中,對構(gòu)成本發(fā)明一部分的附圖做了標(biāo)記(其中相同的標(biāo)號代表相同的元件),在附圖中通過說明方式示出本發(fā)明可以實(shí)踐的特定示例性實(shí)施例。對這些實(shí)施例進(jìn)行了足夠詳細(xì)的描述,以便使本領(lǐng)域技術(shù)人員能夠?qū)嵺`本發(fā)明,但也可以利用其他實(shí)施例,并且可以做出邏輯、機(jī)械、電子和其他改變,而不背離本發(fā)明的范圍。本說明書中使用的詞“實(shí)施例”的不同實(shí)例并不一定(當(dāng)然它們可以)指的是同一實(shí)施例。前面的詳細(xì)描述因此不應(yīng)當(dāng)以限制性的含義來理解,并且本發(fā)明的范圍僅僅由權(quán)利要求書來限定。
      在描述中,闡述了許多特定細(xì)節(jié)來提供對本發(fā)明的詳盡理解。但是,可以在沒有這些特定細(xì)節(jié)的情況下實(shí)踐本發(fā)明。在其他實(shí)例中,為了不混淆本發(fā)明,沒有詳細(xì)示出公知的電路、結(jié)構(gòu)和技術(shù)。
      權(quán)利要求
      1.一種方法,包括基于規(guī)則過濾分組;為征狀分析經(jīng)過濾的分組;以及基于該征狀創(chuàng)建規(guī)則,其中所述分析和創(chuàng)建與所述過濾脫機(jī)地執(zhí)行。
      2.如權(quán)利要求1所述的方法,還包括采樣經(jīng)過濾的分組,其中所述采樣創(chuàng)建經(jīng)過濾的分組的子集,并且其中所述分析對該子集進(jìn)行分析。
      3.如權(quán)利要求1或2所述的方法,其中,所述征狀包括在一段時間內(nèi)接收到閾值數(shù)量的查驗(yàn)分組。
      4.如權(quán)利要求1或2所述的方法,其中,所述征狀包括在一段時間內(nèi)接收到閾值數(shù)量的廣播分組。
      5.如權(quán)利要求1或2所述的方法,其中,所述征狀包括接收到具有無效源地址的分組之一。
      6.如權(quán)利要求1或2所述的方法,其中,所述征狀包括接收到具有無效報頭標(biāo)志的分組之一。
      7.如權(quán)利要求1或2所述的方法,其中,所述征狀包括在一段時間內(nèi)接收到閾值數(shù)量的、包含序列標(biāo)志的分組。
      8.一種設(shè)備,包括基于至少一條規(guī)則過濾分組的裝置,其中所述用于過濾的裝置基于該規(guī)則丟棄各分組的第一子集,并保留所述各分組的剩余子集;用于創(chuàng)建所述剩余子集的采樣的裝置;用于檢測該采樣中是否存在多個征狀中的每一個的多個裝置;和用于基于所述多個用于檢測的裝置來確定所述至少一條規(guī)則的裝置,其中所述多個用于檢測的裝置和所述用于確定的裝置,在與所述用于過濾的裝置和所述用于創(chuàng)建的裝置不同的進(jìn)程中執(zhí)行。
      9.如權(quán)利要求8所述的設(shè)備,還包括用于將所述剩余子集復(fù)制到目的地的裝置。
      10.如權(quán)利要求8或9所述的設(shè)備,還包括用于基于該采樣中所述多個征狀的頻率、改變所述多個用于檢測的裝置的執(zhí)行順序的裝置。
      11.如權(quán)利要求8、9或10所述的設(shè)備,其中,所述征狀包括用于在一段時間內(nèi)接收到閾值數(shù)量的查驗(yàn)分組的裝置。
      12.如權(quán)利要求8、9或10所述的設(shè)備,其中,所述征狀包括用于在一段時間內(nèi)接收到閾值數(shù)量的廣播分組的裝置。
      13.如權(quán)利要求8、9或10所述的設(shè)備,其中,所述征狀包括用于接收到具有無效源地址的分組之一的裝置。
      14.如權(quán)利要求8、9或10所述的設(shè)備,其中,所述征狀包括用于接收到具有無效報頭標(biāo)志的分組之一的裝置。
      15.如權(quán)利要求8、9或10所述的設(shè)備,其中,所述征狀包括用于在一段時間內(nèi)接收到閾值數(shù)量的、包含序列標(biāo)志的分組的裝置。
      16.如權(quán)利要求8、9或10所述的設(shè)備,其中,所述不同的進(jìn)程具有比所述用于過濾的裝置和所述用于創(chuàng)建的裝置低的優(yōu)先級。
      17.一種包括程序代碼裝置的計算機(jī)程序,當(dāng)所述程序在計算機(jī)上運(yùn)行時,適于執(zhí)行權(quán)利要求1到7中的所有步驟。
      18.一種防火墻,包括多個分析器模塊,其中所述多個分析器模塊檢測分組中的多個相應(yīng)征狀,并且基于所述多個征狀創(chuàng)建多個相應(yīng)規(guī)則;和過濾器模塊,用于基于所述多個規(guī)則過濾分組,其中所述多個分析器模塊與過濾器模塊脫機(jī)地執(zhí)行。
      19.如權(quán)利要求18所述的防火墻,其中,所述多個分析器模塊按照順序執(zhí)行,并且其中所述多個分析器模塊之一基于所述多個征狀之一的存在與否,按優(yōu)先級重新排列順序。
      20.如權(quán)利要求18或19所述的防火墻,其中,如果存在所述一個征狀,則增加所述一個分析器模塊的優(yōu)先級,并且其中該順序基于該優(yōu)先級。
      21.如權(quán)利要求18或19所述的防火墻,其中,如果不存在所述一個征狀,則減少所述一個分析器模塊的優(yōu)先級,并且其中該順序基于該優(yōu)先級。
      22.如權(quán)利要求18所述的防火墻,其中,所述多個分析器模塊之一周期性地從過濾器模塊中移除相應(yīng)規(guī)則。
      23.如權(quán)利要求18所述的防火墻,還包括采樣模塊,用于采樣經(jīng)過濾的分組,其中所述采樣創(chuàng)建經(jīng)過濾的分組的子集,并且其中所述分析器模塊分析該子集。
      全文摘要
      一種方法、設(shè)備、系統(tǒng)和信號承載介質(zhì),在實(shí)施例中,基于規(guī)則過濾從網(wǎng)絡(luò)接收的分組。所述過濾基于規(guī)則丟棄各分組的一個子集,并且保留該各分組剩余子集。該剩余子集被復(fù)制到目的地。通過檢測剩余子集的采樣中是否存在征狀,在較低優(yōu)先級的進(jìn)程中與所述過濾和所述復(fù)制脫機(jī)地創(chuàng)建規(guī)則。在一個實(shí)施例中,基于采樣中征狀存在的頻率,改變檢測征狀的順序。在各個實(shí)施例中,所述征狀可以包括在一段時間內(nèi)接收閾值數(shù)量的查驗(yàn)分組,在一段時間內(nèi)接收閾值數(shù)量的廣播分組,接收具有無效源地址的分組,接收具有無效報頭標(biāo)志的分組,以及在一段時間內(nèi)接收閾值數(shù)量的、包含序列標(biāo)志的分組。通過這種方式,增加了防火墻的吞吐性能。
      文檔編號H04L29/06GK101036369SQ200580033978
      公開日2007年9月12日 申請日期2005年10月7日 優(yōu)先權(quán)日2004年10月8日
      發(fā)明者福阿德·庫斯穆德, 奧格珍·彼得羅維克, 杰里米·M·薩沃伊, 鄧肯·A·伍茲 申請人:國際商業(yè)機(jī)器公司
      網(wǎng)友詢問留言 已有0條留言
      • 還沒有人留言評論。精彩留言會獲得點(diǎn)贊!
      1