專利名稱:網(wǎng)絡接口設備�����、計算系統(tǒng)及傳遞數(shù)據(jù)的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及計算系統(tǒng)和網(wǎng)絡之間的通信�,更具體地說,涉及一種智能網(wǎng)絡 接口控制器�。
背景技術(shù):
聯(lián)網(wǎng)計算機系統(tǒng)通常包括在網(wǎng)絡中連接一起的多個客戶端計算機,通過網(wǎng) 絡可交換大量數(shù)據(jù)�。在中心位置連接到網(wǎng)絡中的一組計算機可稱為局域網(wǎng)(LAN), 一組位置分布很廣的計算機或局域網(wǎng)可在廣域網(wǎng)(WAN)中連接到一 起���,例如英特網(wǎng)�����。將數(shù)據(jù)分組打包為數(shù)據(jù)包���,并通過網(wǎng)絡交換給其它客戶機,可實現(xiàn)客戶機 之間的相互通信�����。數(shù)據(jù)包通常包括有效載荷和報頭����,有效載荷中包括將要通過 網(wǎng)絡傳遞的數(shù)據(jù),報頭用于描述該數(shù)據(jù)包發(fā)送目的地的位置信息����。在網(wǎng)絡中每 一個客戶機都分配有一個唯一的地址�����,該地址用于唯一標識網(wǎng)絡中的客戶機和 其它設備�����。該唯一地址可以是����,例如英特網(wǎng)協(xié)議(IP)地址或媒體訪問控制(MAC) 地址���。當數(shù)據(jù)包通過網(wǎng)絡從源客戶機傳遞到目的客戶機時,該數(shù)據(jù)包可通過網(wǎng) 絡中的許多節(jié)點(例如集線器��、路由器�、交換機和網(wǎng)絡服務器),這些網(wǎng)絡 節(jié)點接收數(shù)據(jù)包并將該數(shù)據(jù)包轉(zhuǎn)發(fā)到目的地或通往目的地沿途的其它節(jié)點�。盡管聯(lián)網(wǎng)計算機系統(tǒng)由于實現(xiàn)了多個客戶機之間的互連而得到許多益處, 然而也可能會使網(wǎng)絡中的互連客戶機受到攻擊和損害���。例如�,在理想的網(wǎng)絡中�, 數(shù)據(jù)可以安全地從源客戶機傳遞到目的客戶機���。然而未授權(quán)的客戶可能會在網(wǎng) 絡節(jié)點或節(jié)點之間的連接點入侵網(wǎng)絡,并復制和/或感染通過網(wǎng)絡傳遞的數(shù)據(jù)�����, 導致機密數(shù)據(jù)失竊或在網(wǎng)絡中傳播受感染的數(shù)據(jù)����。另外,源客戶機上的惡意數(shù) 據(jù)(例如��,病毒和蠕蟲)可輕易地通過網(wǎng)絡從該客戶機傳遞到一個或多個目的 客戶機�����,而這些惡意數(shù)據(jù)可能會對目的客戶機造成損害��。
為了防范通過網(wǎng)絡傳遞的機密數(shù)據(jù)遭到非授權(quán)訪問和竊取����,源客戶機在傳 遞數(shù)據(jù)前可先對數(shù)據(jù)進行加密,并在收到數(shù)據(jù)后由目的客戶機進行解密�����。然而 在這種方案中網(wǎng)絡本質(zhì)上對數(shù)據(jù)內(nèi)容是盲目無知的,因此當傳播的數(shù)據(jù)中包含 其不能識別的惡意數(shù)據(jù)(例如病毒)時�����,容易受到攻擊��。對網(wǎng)絡流量的有效分析(例如用于檢測和防范惡意數(shù)據(jù)) 一般只能在清晰(clear)�、未加密的數(shù)據(jù)上 進行,或者在網(wǎng)絡節(jié)點或目的地己經(jīng)對網(wǎng)絡流量解密之后進行���,然而在從源客 戶機到目的客戶機的路途中解密該網(wǎng)絡流量將極大地破壞在源端和目的端使 用加密數(shù)據(jù)進行通信的目的�����。為了防范惡意數(shù)據(jù)的傳播�,可以對通過網(wǎng)絡傳播的數(shù)據(jù)進行掃描��,査看是 否為病毒����、蠕蟲或其它惡意數(shù)據(jù)��?����?稍趯?shù)據(jù)從客戶機傳遞到網(wǎng)絡之前或在剛 剛從網(wǎng)絡接收到數(shù)據(jù)時,通過駐存在客戶機上的反病毒或反惡意軟件程序?qū)ζ?進行掃描�����。遺憾的是���,惡意軟件裝載到計算機系統(tǒng)上之后的第一動作常常是破 壞這種反病毒和反惡意軟件程序��,使其無法運行�����,導致惡意軟件和數(shù)據(jù)無法被 客戶機檢測到且可能傳播給與網(wǎng)絡相連的其它客戶機���。也可通過駐存在網(wǎng)絡節(jié) 點中的反病毒和反惡意軟件程序?qū)W(wǎng)絡中傳遞的數(shù)據(jù)進行掃描,然而這種程序 的操作通常依賴于訪問清晰�����、未加密的數(shù)據(jù)�,因此這種程序一般無法檢測到加 密的惡意數(shù)據(jù)。此外,當網(wǎng)絡連接有多個客戶機時�,要求網(wǎng)絡對其傳遞的數(shù)據(jù) 包進行掃描,查看是否為惡意數(shù)據(jù)����,將加重網(wǎng)絡的運行負擔。發(fā)明內(nèi)容在一方面����,網(wǎng)絡接口設備包括安全數(shù)據(jù)庫和安全服務引擎。安全數(shù)據(jù)庫用 于存儲與事先確定的惡意軟件相對應的樣本�。安全服務引擎用于將即將通過網(wǎng) 絡傳遞的數(shù)據(jù)與存儲在安全數(shù)據(jù)庫中的樣本進行比較,安全數(shù)據(jù)庫還能夠從網(wǎng) 絡接收更新樣本����。具體實施時可包括如下的一個或多個特征。例如�����,可對該網(wǎng)絡接口設備進 行設置�,使其通過加密信道從網(wǎng)絡中接收更新的樣本。該安全服務引擎可包括 以下中的至少一種入侵檢測服務�����、入侵防范服務或反病毒掃描服務����。該網(wǎng)絡 接口設備可進一步包括基于硬件的辨認標識(identification token),用以識
別在該網(wǎng)絡中的網(wǎng)絡接口設備�����。該網(wǎng)絡接口設備還可包括主機總線��,用于從系統(tǒng)的中央處理單元接收即將通過所述網(wǎng)絡傳遞的數(shù)據(jù)����;和/或加密引擎,用于 對與所述樣本比較后的數(shù)據(jù)進行加密����。安全服務弓I擎對數(shù)據(jù)進行的掃描獨立于 從系統(tǒng)中央處理單元接收到的指令?��?蓪Π踩珨?shù)據(jù)庫進行設置�����,使系統(tǒng)的中央 處理單元無法對其進行訪問����。樣本可包括惡意軟件代碼的特征碼(signature) 或正貝據(jù)達式(regular expression)。在另一方面��,計算系統(tǒng)包括中央處理單元(CPU)�、 CPU可訪問的隨機訪問 存儲器(用于存儲可由CPU執(zhí)行的指令)、用于在中央處理器和網(wǎng)絡之間路由數(shù) 據(jù)的網(wǎng)絡接口設備���。網(wǎng)絡接口設備包括安全數(shù)據(jù)庫和安全服務引擎����。安全數(shù)據(jù) 庫用于存儲與事先確定的惡意軟件相對應的樣本����。安全服務引擎用于將所述網(wǎng) 絡和系統(tǒng)之間所交換的數(shù)據(jù)與存儲在安全數(shù)據(jù)庫中的樣本進行比較,該安全數(shù) 據(jù)庫能夠從網(wǎng)絡接收更新樣本����。具體實施時可包括以下一個或多個特征。該計算系統(tǒng)可進一步包括基于硬 件的辨認標識���,用以識別該網(wǎng)絡中的網(wǎng)絡接口設備�����。該計算系統(tǒng)可進一步包括 主機總線�����,用于在網(wǎng)絡接口設備和系統(tǒng)的中央處理單元之間交換數(shù)據(jù)�。該網(wǎng)絡 接口設備可進一步包括加密引擎���,用于對與所述樣本比較后的數(shù)據(jù)進行加密�。 該安全服務引擎可將數(shù)據(jù)與樣本進行比較����,且獨立于從中央處理單元接收到的 指令?����?蓪Π踩珨?shù)據(jù)庫進行設置���,使系統(tǒng)的中央處理單元無法對其進行訪問�。 樣本可包括惡意軟件代碼的特征碼或常規(guī)表達�。該網(wǎng)絡接口設備可進一步包括 隔離引擎,用于當數(shù)據(jù)與樣本比較結(jié)果出現(xiàn)匹配時����,將計算系統(tǒng)與網(wǎng)絡隔離開�����。 網(wǎng)絡接口設備還可以依據(jù)從網(wǎng)絡接口設備傳遞到網(wǎng)絡管理站的基于硬件的辨 認標識來建立通往網(wǎng)絡管理站的安全信道����,該安全信道可用于將更新樣本從網(wǎng) 絡傳遞到安全數(shù)據(jù)庫��。該網(wǎng)絡接口設備可進一步包括加密引擎��,用于在與樣本 比較后對數(shù)據(jù)進行加密���。在另 一方面���, 一種方法可包括從計算系統(tǒng)的中央處理單元向網(wǎng)絡接口設備 傳遞數(shù)據(jù),以便從所述網(wǎng)絡接口設備向網(wǎng)絡傳遞所述數(shù)據(jù)�;并將所述數(shù)據(jù)與事 先確定的惡意軟件相對應的樣本進行比較,其中所述樣本存儲在所述網(wǎng)絡接口 設備的安全數(shù)據(jù)庫中����,所述中央處理單元不能訪問所述安全數(shù)據(jù)庫P
根據(jù)本發(fā)明的一方面,提供一種網(wǎng)絡接口設備�,包括 安全數(shù)據(jù)庫�,用于存儲與事先確定的惡意軟件相對應的樣本����; 安全服務引擎�����,用于將即將通過網(wǎng)絡傳遞的數(shù)據(jù)與存儲在安全數(shù)據(jù)庫中的 樣本進行比較���;其中���,所述安全數(shù)據(jù)庫能夠從網(wǎng)絡接收更新樣本。在本發(fā)明所述的網(wǎng)絡接口設備中���,所述網(wǎng)絡接口設備是通過加密信道從網(wǎng) 絡接收更新樣本�。在本發(fā)明所述的網(wǎng)絡接口設備中����,所述安全服務引擎包括入侵檢測服務、 入侵防范服務或反病毒掃描服務中的至少一種���。在本發(fā)明所述的網(wǎng)絡接口設備中�,還包括基于硬件的辨認標識,用于在所 述網(wǎng)絡中識別所述網(wǎng)絡接口設備���。在本發(fā)明所述的網(wǎng)絡接口設備中��,包括主機總線��,用于從系統(tǒng)的中央處理 單元接收即將通過所述網(wǎng)絡傳遞的數(shù)據(jù)�。在本發(fā)明所述的網(wǎng)絡接口設備中��,還包括加密引擎���,用于對與所述樣本比 較后的數(shù)據(jù)進行加密����。在本發(fā)明所述的網(wǎng)絡接口設備中�����,所述安全服務弓I擎對數(shù)據(jù)的掃描獨立于 從系統(tǒng)中央處理單元接收的指令���。在本發(fā)明所述的網(wǎng)絡接口設備中�,所述系統(tǒng)中央處理單元不能訪問安全數(shù) 據(jù)庫�。在本發(fā)明所述的網(wǎng)絡接口設備中����,所述樣本包括惡意軟件代碼的特征碼或 正則表達式��。根據(jù)本發(fā)明的一個方面��,提供一種計算系統(tǒng)���,包括 中央處理單元(CPU);隨機訪問存儲器,其能夠由所述CPU訪問��,用于存儲所述CPU能夠執(zhí)行的 指令���;網(wǎng)絡接口設備��,用于在所述中央處理單元和網(wǎng)絡之間路由數(shù)據(jù)����,其中所述
網(wǎng)絡接口設備包括安全數(shù)據(jù)庫��,用于存儲與事先確定的惡意軟件相對應的樣本�����; 安全服務引擎,用于將所述網(wǎng)絡和系統(tǒng)之間所交換的數(shù)據(jù)與存儲在安全數(shù)據(jù)庫中的樣本進行比較����;其中,所述安全數(shù)據(jù)庫能夠從網(wǎng)絡接收更新樣本����。在本發(fā)明所述的計算系統(tǒng)中,所述網(wǎng)絡設備還包括基于硬件的辨認標識����, 用于在所述網(wǎng)絡中識別所述網(wǎng)絡接口設備。在本發(fā)明所述的計算系統(tǒng)中��,還包括主機總線����,用于在所述網(wǎng)絡接口設備 和所述系統(tǒng)的中央處理單元之間交換數(shù)據(jù)。在本發(fā)明所述的計算系統(tǒng)中�����,所述網(wǎng)絡接口設備還包括加密引擎���,用于對 與所述樣本比較后的數(shù)據(jù)進行加密�����。在本發(fā)明所述的計算系統(tǒng)中����,所述安全服務引擎對數(shù)據(jù)的掃描獨立于從系 統(tǒng)中央處理單元接收的指令。在本發(fā)明所述的計算系統(tǒng)中�,所述系統(tǒng)中央處理單元不能訪問安全數(shù)據(jù)庫。在本發(fā)明所述的計算系統(tǒng)中�,所述樣本包括惡意軟件代碼的特征碼或正則 表達式。在本發(fā)明所述的計算系統(tǒng)中�,所述網(wǎng)絡接口設備還包括隔離引擎,用于當 比較結(jié)果顯示數(shù)據(jù)與樣本匹配時將所述計算系統(tǒng)與網(wǎng)絡隔離�����。在本發(fā)明所述的計算系統(tǒng)中����,根據(jù)從網(wǎng)絡接口設備向網(wǎng)絡管理站傳遞的基 于硬件的辨認標識�����,所述網(wǎng)絡接口設備可建立到網(wǎng)絡管理站的安全信道,其中 所述安全信道用于從網(wǎng)絡向安全數(shù)據(jù)庫路由更新信息�����。根據(jù)本發(fā)明的一方面���,提供一種在計算系統(tǒng)和網(wǎng)絡之間傳遞數(shù)據(jù)的方法����,包括從計算系統(tǒng)的中央處理單元向網(wǎng)絡接口設備傳遞數(shù)據(jù)����,以便從所述網(wǎng)絡接 口設備向網(wǎng)絡傳遞所述數(shù)據(jù);將所述數(shù)據(jù)與事先確定的惡意軟件相對應的樣本進行比較�,其中所述樣本 存儲在所述網(wǎng)絡接口設備的安全數(shù)據(jù)庫中,所述中央處理單元不能訪問所述安
全數(shù)據(jù)庫�����。
下面將結(jié)合附圖及實施例對本發(fā)明作進一步說明����,附圖中
圖1是本發(fā)明第一實施例的與網(wǎng)絡進行通信的計算系統(tǒng)的結(jié)構(gòu)方框圖;
圖2是惡意軟件的方框圖3是本發(fā)明第二實施例的與網(wǎng)絡進行通信的計算系統(tǒng)的結(jié)構(gòu)方框圖; 圖4是用于處理網(wǎng)絡入侵防范的流程圖。
具體實施例方式
圖1是本發(fā)明第一實施例的與網(wǎng)絡10進行通信的計算系統(tǒng)100的結(jié)構(gòu)方 框圖����。該計算系統(tǒng)100可以是�,例如個人計算機����、服務器、個人數(shù)字助手(PDA)�、 移動電話、智能電話或者是可以通過網(wǎng)絡與其它計算設備相連的計算設備����。計 算系統(tǒng)100可包括處理器(例如中央處理單元(CPU)) 102、固定存儲設備(例 如硬盤�����、非易失(例如閃存)存儲器或可移動的記錄媒體(例如��,CD)) 103���、 和隨機訪問存儲器(RAM) 104,它們可連接在一起��,并通過總線106 (例如�����, 外圍設備互聯(lián)(PCI)總線或其它類型計算機擴展總線)交換信息。存儲器設 備103可以是非易失存儲器設備���,其能夠存儲計算機可讀指令(例如軟件)��, 該指令可傳遞到RAM 104�,由CPU 102執(zhí)行��。例如��,存儲設備103可存儲操作 系統(tǒng)和/或一個或多個可被計算系統(tǒng)100的CPU 102執(zhí)行的應用程序��。例如網(wǎng) 絡10可以是局域網(wǎng)����、廣域網(wǎng)、英特網(wǎng)或企業(yè)內(nèi)部互聯(lián)網(wǎng)�����。網(wǎng)絡10可連接到系 統(tǒng)100�,例如,通過物理媒介(例如銅線)傳播電信號�、通過光纜(例如玻璃 纖維)傳播光信號����、通過無線通信信道傳播電磁信號�����、或通過不同通信信道的 組合傳播信號���。
計算系統(tǒng)100還包括網(wǎng)絡接口設備(NID) 110�����,其將計算系統(tǒng)100連接到 網(wǎng)絡(例如分組交換網(wǎng)絡)10��。該NID 110包括協(xié)議處理模塊以使系統(tǒng)100 能夠與計算機網(wǎng)絡10交換數(shù)據(jù)。為實現(xiàn)支持這些應用程序所需的數(shù)據(jù)包的傳 遞����,采用傳輸控制協(xié)議(TCP)或其它相關(guān)技術(shù)對數(shù)據(jù)包進行適當?shù)母袷交幚怼?br>
對于連接到計算系統(tǒng)100的遠端設備,這種格式化處理有助于其通過網(wǎng)絡10 接收數(shù)據(jù)包�。例如,TCP英特網(wǎng)協(xié)議(TCP/IP)適用于計算機網(wǎng)絡�����,例如英特 網(wǎng)��,對需要傳遞的數(shù)據(jù)包進行格式化�����。這些協(xié)議通常在計算系統(tǒng)100內(nèi)由稱為 網(wǎng)絡協(xié)議棧(例如主機TCP棧)的軟件模塊處理���,并在傳遞數(shù)據(jù)前添加到數(shù)據(jù) 包中���。
NID 110可通過主機總線適配器116、主機總線112和橋接器114連接到 CPU 102和存儲器104�����。 NID 110可是一個獨立部件�����,例如一塊可插入計算系 統(tǒng)100內(nèi)部擴充槽中的卡��,或者NID 110可以集成在計算系統(tǒng)100的其它部件 中��。例如NID IIO可以集成到計算系統(tǒng)的主板上���。
NID 110可包括一個或多個處理器120和一個或多個存儲器設備122�,其 可以是NID內(nèi)的專用集成電路(ASIC)的一部分。處理器120可在NID內(nèi)執(zhí)行 數(shù)據(jù)處理操作����,例如,這些操作涉及到準備需要傳遞到網(wǎng)絡的數(shù)據(jù)包���、從網(wǎng)絡 中接收數(shù)據(jù)包以及保證網(wǎng)絡10和系統(tǒng)100的安全����,更詳細的將在下面介紹���。 一個或多個存儲器設備122可包括只讀存儲器(ROM)和隨機存儲器(RAM)����, 用于存儲可由一個或多個處理器120執(zhí)行��、引用或用于其它用處的指令���。
NID 110可包括有關(guān)媒體訪問控制(MAC)層電路124和物理層接口 (PHY) 電路126,當從NID IIO傳遞數(shù)據(jù)包到網(wǎng)絡IO或當NID接收來自網(wǎng)絡的數(shù)據(jù) 包時,通過這些電路���。MAC層124是位于0SI網(wǎng)絡模型數(shù)據(jù)鏈路層的邏輯層, 用于控制對NID 110的PHY層電路126的訪問�。
連接到網(wǎng)絡的客戶機要進行通信,這些客戶機必須能互相識別��。因此��,在 一實施例中����,連接到網(wǎng)絡中的每一個NID IIO都具有一個唯一的序列號(例如 48比特數(shù)字)�,有時稱為MAC地址����,用于在網(wǎng)絡10中以及連接到網(wǎng)絡中的其 它客戶端中唯一地標識NID 110。因此����,在該實施例中��,當系統(tǒng)100將信息傳 遞到連接在網(wǎng)絡中的另一目的客戶機時�,該信息可被路由到目的客戶機的MAC 地址����,確保信息正確送達�����。NID IIO的MAC地址存儲在ROM中����,ROM可位于例 如NID 110中的存儲器122上��,可以分配唯一的MAC地址給NID (例如通過標 準體系��,如IEEE)�����,這樣兩個不同的NID決不會擁有相同的MAC地址�����。在另一 實施例中(有時稱為混雜模式通信)�����,NID對每個傳遞的數(shù)據(jù)包都接收�、讀取和
處理,無論這些數(shù)據(jù)包的目的地址是否是該NID����。在非混雜模式中����,當該NID 110 收到數(shù)據(jù)包后,將檢查其中的MAC地址以驗證該數(shù)據(jù)包是否是分配給該NID 110的�����,如果不是��,則丟棄該數(shù)據(jù)包��。當在混雜模式中操作時����,即使該數(shù)據(jù)包 的地址與該NID的MAC地址不一致,NID也不會丟棄數(shù)據(jù)包�����,因此使得NID讀 取從網(wǎng)絡中接收到的所有數(shù)據(jù)包。
PHY層126定義NID 110的電氣和物理性能(例如引腳布置���、電壓和電纜 性能)��。在操作中,PHY層電路126建立和終止系統(tǒng)100和網(wǎng)絡10之間的連接�����。 MAC層電路124確定和控制在特定時刻允許連接在網(wǎng)絡10中的哪些客戶機與 NID 110的PHY層126通信�。MAC層電路124還將數(shù)據(jù)包轉(zhuǎn)換成網(wǎng)絡幀。
NID 110包括加密/解密模塊128�,用于加密即將從系統(tǒng)100傳遞到網(wǎng)絡 10的數(shù)據(jù)流量,或解密系統(tǒng)從網(wǎng)絡接收到的數(shù)據(jù)流量�。因此,該NID 110可 通過主機總線112接收來自CPU 102的非加密數(shù)據(jù)�,然后在將該數(shù)據(jù)從系統(tǒng)向 網(wǎng)絡傳送之前在加密/解密模塊128中對該數(shù)據(jù)進行加密。當系統(tǒng)100作為目 的客戶機時���,可從網(wǎng)絡10接收加密數(shù)據(jù)��,并在加密/解密模塊中進行解密�,然 后將清晰(clear)數(shù)據(jù)發(fā)送給CPU 102。通過協(xié)商采用相同的加密算法在系統(tǒng) 100和其它客戶機之間進行數(shù)據(jù)通信�����,加密/解密模塊128可在系統(tǒng)和其它網(wǎng) 絡客戶機之間建立安全連接(例如安全套接層(SSL)連接或IP安全(IPSEC) 連接)�。這樣的密碼算法可以基于,例如公鑰密碼���、對稱密碼和單向哈希(hash) 函數(shù)����。 一旦安全連接被建立����,數(shù)據(jù)可被打包并在系統(tǒng)100和其它客戶機之間進 行交換��。
在一實施例中��,NID110可包括安全數(shù)據(jù)庫130和安全服務組件132��,可 一起用于對進來或出去的數(shù)據(jù)包進行掃描���,查看是否是病毒���、蠕蟲或其它類型 的惡意軟件����,還可用于檢測和防范對網(wǎng)絡10或系統(tǒng)100的非授權(quán)入侵��。安全 數(shù)據(jù)庫130可存儲在存儲器122中�,用于存儲與樣本134相對應的數(shù)據(jù),樣本 134具有特定惡意軟件200的特征�����。如圖2所示的惡意軟件200可包括目的在 于潛入和破壞計算機系統(tǒng)100或網(wǎng)絡10的軟件����、腳本、可執(zhí)行代碼和數(shù)據(jù)(例 如�,計算機病毒、蠕蟲�����、特洛依木馬��、間諜程序或廣告軟件)����。例如��,惡意軟 件200的目的是在系統(tǒng)100或網(wǎng)絡10中引發(fā)一個或多個事件���,從而對系統(tǒng)或
網(wǎng)絡帶來有害操作或安全問題。而且�����,惡意軟件200可發(fā)現(xiàn)系統(tǒng)100或網(wǎng)絡 10的漏洞��,從而干擾系統(tǒng)或網(wǎng)絡安全策略����,為系統(tǒng)或網(wǎng)絡用戶帶來不利的結(jié) 果���。當特定的惡意軟件被發(fā)現(xiàn)后�����,包含惡意軟件中的代碼塊或比特串210的樣 本可作為識別惡意軟件200的指紋�����。
如圖1所示���,安全服務組件132可包括反病毒掃描(AVS)引擎140�、入 侵防范服務(IPS)引擎142和入侵檢測服務(IDS)引擎144��,其可對系統(tǒng)100 和網(wǎng)絡10之間交換的或?qū)⒁粨Q的數(shù)據(jù)流量進行各種安全服務�����。各種引擎 140����、 142和144可基于存儲在存儲器設備122中代碼由處理器120執(zhí)行,并 需要依賴存儲在數(shù)據(jù)庫130中的信息來執(zhí)行這些服務�。
在一例子中,AVS引擎140可利用存儲在安全數(shù)據(jù)庫130中樣本134的 目錄來檢測����、隔離和殺除已知的惡意軟件,例如病毒��、蠕蟲�、特洛依木馬、間 諜程序或廣告程序�����。當AVS 140檢測到正在通過NID 110的數(shù)據(jù)流量(例如, 構(gòu)成向網(wǎng)絡傳送或接收來自網(wǎng)絡的部分文件的數(shù)據(jù)流量)時���,該AVS將該數(shù)據(jù) 流量與已知病毒(經(jīng)AVS的作者確定)的樣本134進行比較�。如果數(shù)據(jù)流量中的 碼片與數(shù)據(jù)庫130中的樣本134匹配����,AVS嘗試在將文件通過主機總線112 傳送到系統(tǒng)100的CPU 102之前殺除病毒以修復數(shù)據(jù)流量構(gòu)成的文件。作為另 一選擇���,AVS 140可調(diào)用隔離引擎150���,在將文件傳送到系統(tǒng)CPU 102之前將 該文件加上表示已感染的標簽。然后���,基于隔離標簽,CPU102可立即將該文 件發(fā)送到存儲設備103或RAM 104的隔離區(qū)���,以使裝載在RAM 104上的其它程 序無法訪問受感染文件���,且使CPU102無法執(zhí)行受感染文件�����。從而可終止或防 止病毒傳播給連接在網(wǎng)絡中的其它客戶機�����?��?蛇x擇地,當AVS引擎140確認通 過NID 110的數(shù)據(jù)流量中的碼片與存儲在安全數(shù)據(jù)庫130中的樣本134相匹配 時�����,AVS引擎可簡單地刪除包含這種碼片的文件�����,使該文件不能傳送至系統(tǒng) 100的CPU���。
在安全數(shù)據(jù)庫130中的樣本134可包括用于識別已知或疑似惡意軟件的特 征碼(signatures) 136和正則表達式(regular expressions) 138��。 f寺征碼134 可包括帶有惡意軟件或惡意軟件族特征的區(qū)別字節(jié)樣本(byte-patterns)���,且 當惡意軟件通過NID 110時能被AVS引擎140識別�����。當數(shù)據(jù)流量中的這種字節(jié)
樣本通過NID 110被AVS引擎140識別出時����,AVS引擎能夠采取行動以保護 系統(tǒng)IOO和網(wǎng)絡����。有些病毒采用的技術(shù)可以阻撓精確匹配檢測方式(即通過査 找與病毒特征碼精確匹配的字節(jié)樣本來檢測病毒)。例如�,病毒可包括與存儲 在數(shù)據(jù)庫130中的特征碼136相似但不相同的字節(jié)樣本,或病毒可自動修改部 分代碼因而不總是有相同的特征碼��。在這種情況下���,可采用存儲在數(shù)據(jù)庫130 中的正則表達式138來寬松地描述病毒���,使該病毒仍然能夠區(qū)別于其它網(wǎng)絡流 量。因此��,與唯一地識別特定字節(jié)樣本這種方式不同�����,正則表達式138能夠描 述一組表征惡意軟件的相似或相關(guān)的字節(jié)樣本��,該惡意軟件可由AVS 140檢測 到�����,但是該組字節(jié)樣本中的所有成分不必全部列在數(shù)據(jù)庫130中�����。
正則表達式可以采用形式語言理論(formal language theory)來表達����,
可包括分別用于描述字符串集合和對字符串集合進行操作的常量和操作符。 因此��,例如該集合包括三個字符串Schaefer���、 Sch^fer和Schafer����,可用樣 本"Sch (S|ae ) fer����,"描述�����,其中操作符"I"表示該操作符之前和之后出 現(xiàn)的字符"&"和"a"均為有效����;操作符"���?"表示出現(xiàn)在該操作符之前的字 符可以存在也可省略�����;圓括號表示常量�����,操作符對常量進行操作����。
因此��,正則表達式138通常比特征碼136描述了更多的潛在數(shù)據(jù)集合�����,但 是正則表達式比特征碼可導致更多的誤確認(false positive)匹配。所以�����,相 比使用精確的特征碼來說�����,通過使用正則表達式138定義較為寬松的惡意軟件 能夠識別更多的惡意軟件���,特別是當已知惡意軟件存在許多不同的變異或變 形,或當該惡意軟件能夠自動改變自身(例如盡管與特征碼匹配仍可逃脫檢測) 的情況下�。
另外除了可采用將數(shù)據(jù)流量與存儲在數(shù)據(jù)庫中的特征碼和正則表達式進 行比較來檢測惡意軟件外,還可通過其它技術(shù)和方法檢測惡意軟件��。例如����,安 全服務132可在IDS引擎144、 IPS引擎142和AVS引擎140中的任意個或全 部中設置常規(guī)檢測程序��,用于監(jiān)視和分析網(wǎng)絡行為�,檢測流量樣本中暗示存在 惡意軟件的異?����,F(xiàn)象���。在通過NID 110的網(wǎng)絡流量中檢測到異常意味著計算系 統(tǒng)100中有惡意軟件存在。例如��,在一實施例中�����,可以對數(shù)據(jù)流量通過NID 110 的流量率進行監(jiān)測��,如果在一足夠長的時間段內(nèi)出現(xiàn)反常的高數(shù)據(jù)流量率���,則
表示系統(tǒng)100正在遭受拒絕服務(D0S)攻擊�����。在另一實施例中����,連接在網(wǎng)絡中 的單個或一組主機之間的交互可用于監(jiān)視異常��。因此,當某一個通常安靜的主 機突然增加了很大的活動量(例如每秒連接到幾百臺其它主機)�,則表示該通常 安靜的主機正在向其它主機傳播蠕蟲。
可在數(shù)據(jù)庫130中存儲網(wǎng)絡流量的樣本�����,用于與實時網(wǎng)絡流量進行比較����, 以確定實時網(wǎng)絡流量是否異常�,從而檢測到惡意軟件。存儲的樣本可分別表示 正常流量��、非異常流量或異常流量���。通過在一段時間內(nèi)對通過NID110的流量 進行監(jiān)測可以生成流量樣本�,將其預定為非異常����,可采用不同的算法來確定流 量是否為異常。例如����,這些算法將考慮到在正常運行過程中對通過NID 110 的數(shù)據(jù)流量大小產(chǎn)生影響的因素�,諸如系統(tǒng)100何時啟動�����、系統(tǒng)100上有多少 應用程序在運行��、有多少用戶在使用系統(tǒng)100���、 一天中的時段����、系統(tǒng)100連接 有多少其它外部系統(tǒng)�����。通過NID 110的非異常流量樣本可依賴于這些因素和其 它因素���,因此由這些因素引發(fā)的變異不會觸發(fā)有關(guān)惡意軟件的誤確認報警 (false positive alarms)���。
在一些實施例中,可對安全數(shù)據(jù)庫130進行設定����,使得系統(tǒng)100的CPU 102 不能對其進行訪問�����。也就是說�,主機接口 116可禁止將通過主機總線112接收 的指令��、地址和/或數(shù)據(jù)寫入NID110的安全數(shù)據(jù)庫中����。因此,如果當系統(tǒng)100 的存儲設備103���、 RAM 104或CPU 102中有病毒或其它惡意軟件時,這些病毒 或惡意軟件無法通過訪問安全數(shù)據(jù)庫130來破壞或修改數(shù)據(jù)庫中的樣本134��, 從而折衷了 (compromise)安全服務套件132中引擎的功能����。另外,對NID110 從網(wǎng)絡接收的數(shù)據(jù)流量進行掃描的操作可以獨立于系統(tǒng)100的CPU 102的指 令����,并由安全服務套件132中的引擎執(zhí)行,這樣可以進一步保護BI0S�����、存儲 在RAM 104和/或存儲設備130中的操作系統(tǒng)和應用程序不受感染且可正常啟 用。
可對IDS引擎144進行設定�,使其能夠檢測出計算系統(tǒng)100遭受的非期望 或非授權(quán)的修改(例如,拒絕服務攻擊(denial of service attacks)��、可以 對系統(tǒng)安全產(chǎn)生危害的腳本)�。IDS引擎144可監(jiān)測通過NID 110的數(shù)據(jù)流量、 并將其與已知的惡意數(shù)據(jù)流量樣本或應用數(shù)據(jù)進行比較����。這些惡意數(shù)據(jù)流量樣
本和應用數(shù)據(jù)的特征碼136和正則表達式138可存儲在安全數(shù)據(jù)庫130中,用 來比較進入或流出網(wǎng)絡的流量����。因此,當NID110中的一個或多個數(shù)據(jù)包中的 數(shù)據(jù)與安全數(shù)據(jù)庫130中的樣本134匹配時��,IDS引擎144可確定有惡意軟件 200存在或惡意軟件試圖訪問計算系統(tǒng)����。可對IPS引擎142進行設定��,使其能夠控制從網(wǎng)絡10到計算系統(tǒng)100的 訪問,以防止系統(tǒng)接收到的來自網(wǎng)絡的非授權(quán)非期望的代碼對系統(tǒng)的開發(fā)利 用��。IPS引擎142可與IDS引擎144通信����,因此當IDS引擎檢測到入侵企圖時, IPS引擎可收到警報��。 一旦收到已檢測出可能出現(xiàn)入侵事件的報警通知(例如 檢測出通過NID 110的數(shù)據(jù)流量與安全數(shù)據(jù)庫130中的樣本134相匹配)��,IPS 引擎144可阻止網(wǎng)絡10和計算系統(tǒng)100之間的相互通信��。例如��,IPS引擎可 拒絕來自與惡意軟件(由IDS引擎144檢測到的)數(shù)據(jù)包報頭中的IP或MAC地 址相同或相關(guān)的IP地址或MAC地址的其余數(shù)據(jù)包���。另一方面����,如果惡意軟件通過主機總線112從CPU 102裝載到NID 110�, 并欲傳遞到網(wǎng)絡��,那么在傳遞之前AVS引擎140或IDS引擎144會檢測到惡意 軟件��。 一旦檢測到惡意軟件,IPS引擎142就能夠立即發(fā)送信息給網(wǎng)絡10���,向 網(wǎng)絡報警系統(tǒng)已受到感染或遭遇入侵企圖��,并需要采取糾正(corrective)行 動�����。接著�,IPS引擎可阻止系統(tǒng)100進一步向外傳播數(shù)據(jù)包的任何嘗試�,從而 防止系統(tǒng)給網(wǎng)絡帶來危害。在采取糾正行動排除或壓制了惡意軟件之后��,NID 110可重新復位(reset),重新允許從系統(tǒng)100向網(wǎng)絡傳遞數(shù)據(jù)���。因此NIDllO 的IPS引擎142可通過將計算系統(tǒng)100與網(wǎng)絡隔離����,來防止惡意軟件從系統(tǒng) 100傳播到網(wǎng)絡10和其它網(wǎng)絡客戶機�����。NID 110能通過各種通信信道與網(wǎng)絡10通信���,例如安全信道160���、加密信 道162和非加密信道164����。該安全信道160可包括在計算系統(tǒng)100和網(wǎng)絡10 的一個或多個特定節(jié)點之間路由數(shù)據(jù)包的安全連接�����,且可設定為防止除計算系 統(tǒng)100或網(wǎng)絡10的特殊節(jié)點中的一個之外的任何其它實體的訪問����。例如,安 全信道160可以在系統(tǒng)100和網(wǎng)絡10的節(jié)點上的網(wǎng)絡管理站(麗S) 105之間 建立���,其中該麗S與系統(tǒng)100進行通信以支持運行在NID 110上的安全服務 132����。
安全信道160可以通過系統(tǒng)100和NMS 150之間的密鑰交換來建立����。系統(tǒng) 的根密鑰(root key)被存儲在例如ROM 152中�,ROM 152中包含一個用于唯一 地識別NID 110的唯一辨認標識。在NID的制造過程中該辨認標識可以燒制 (burned into)在NID的半導體材料中,這種基于硬件的密鑰比基于軟件的密 鑰安全得多�。一旦系統(tǒng)100和麗S 150之間建立起安全連接160, NID 110可直接從NMS 處接收對其安全數(shù)據(jù)庫130的更新�����。因此����,無需經(jīng)過系統(tǒng)的CPU 102或RAM 104, 就可以得到安全數(shù)據(jù)庫中用于識別惡意軟件的特征碼136和正則表達式138 的更新信息��。NID 110還可從NMS 150處接收更新算法�,用以確定網(wǎng)絡流量是 否異常。除了系統(tǒng)100和麗S 150之間的安全信道之外�,在系統(tǒng)和連接到網(wǎng)絡10 的其它客戶機之間還可建立加密信道162。例如����,加密信道162可以是如上描 述的SSL或IPSEC連接。非加密信道164可設定為用于在計算系統(tǒng)100和網(wǎng)絡 10之間路由清晰(clear)�、非加密的信息數(shù)據(jù)包。因此�����,如圖3所示,系統(tǒng)100和網(wǎng)絡10聯(lián)網(wǎng)系統(tǒng)的一部分300由網(wǎng)絡上 的一個或多個麗S 150控制�,但是通常系統(tǒng)的CPU 102不能訪問這部分300。 例如����,安全數(shù)據(jù)庫132中的特征碼和正則表達式可直接由網(wǎng)絡10的部件對其 進行更新,更新信息不必經(jīng)過系統(tǒng)CPU����。因此,對于可通過與CPU 102接觸而 感染系統(tǒng)的惡意軟件攻擊��,安全數(shù)據(jù)庫具有很強免疫力�����。另外�����,通過將掃描數(shù) 據(jù)流量檢測惡意軟件的任務分配到網(wǎng)絡客戶機例如系統(tǒng)100�����,網(wǎng)絡節(jié)點不再會 因為必須掃描大量的數(shù)據(jù)而成為數(shù)據(jù)傳輸?shù)钠款i��。這樣獲得一種可升級的解決 方案��。而且���,NID 110可使用一個或多個安全服務引擎140�����、 142和144對通 過主機總線112接收到的來自系統(tǒng)100的CPU 102的清晰���、未加密的數(shù)據(jù)進行 掃描,然后在向網(wǎng)絡10傳遞這些數(shù)據(jù)之前對數(shù)據(jù)進行加密�。因此,在系統(tǒng)100 和其它網(wǎng)絡客戶機之間可建立起一條端對端加密信道��,但可以使用對入侵和破 壞有很強免疫力的安全數(shù)據(jù)庫��,在清晰的�、未加密的數(shù)據(jù)上對惡意軟件進行掃 描0圖4是防止網(wǎng)絡入侵的示范性處理流程400的流程圖。在網(wǎng)絡客戶機和網(wǎng)
絡節(jié)點之間建立安全連接(步驟410)��,其中該客戶機包括網(wǎng)絡接口設備��。這 種安全連接可在系統(tǒng)啟動時或網(wǎng)絡接口設備建立與網(wǎng)絡的連接時自動地建立�����。 一旦建立起安全連接,可從網(wǎng)絡節(jié)點接收一個或多個更新信息并裝載到安全數(shù) 據(jù)庫(步驟420)中���,以便對存儲在網(wǎng)絡接口設備中且客戶機CPU無法訪問的 安全數(shù)據(jù)庫進行更新�。該更新信息可包括與已知或疑似惡意軟件的樣本相對應 的一個或多個特征碼和/或正則表達式����。網(wǎng)絡接口設備接收來自系統(tǒng)CPU的數(shù)據(jù)流量(步驟430),然后通過將該 數(shù)據(jù)流量與存儲在安全數(shù)據(jù)庫中的至少一個樣本相比���,網(wǎng)絡接口設備對數(shù)據(jù)流 量進行掃描檢測其是否包含惡意軟件(步驟440)�����。如果檢測到惡意軟件(決 策步驟450)�,則將系統(tǒng)與網(wǎng)絡隔離(步驟460);如果沒有檢測到惡意軟件���, 可將該數(shù)據(jù)流量從系統(tǒng)傳遞到網(wǎng)絡�。本文中描述的各種技術(shù)方案可以采用數(shù)字電路實施�,或者采用計算機硬 件、固件�、軟件及其組合來實施�����。也可通過計算機程序產(chǎn)品來實施���。這些計算 機程序嵌入在信息載體中(例如機器可讀存儲設備或者傳播的信號)����,其可由 數(shù)據(jù)處理裝置執(zhí)行或者用于控制數(shù)據(jù)處理裝置的運行,所述數(shù)據(jù)處理裝置是例 如可編程處理器�、計算機、或者多個計算機��。計算機程序�����,如上所述的計算機 程序�����,可以用任何形式的編程語言編寫�,包括匯編或解釋語言,且可以以任何 形式使用����,包括例如獨立程序����,或者模塊����、組件、子程序或適于在計算環(huán)境中 使用的其它單元�����。計算機程序可被用于在一個計算機或者多個計算機上運行����, 所述多個計算機可以位于同一地點或者分布在多個地點并通過通信網(wǎng)絡互連。方法步驟可以由 一個或多個可編程處理器執(zhí)行�����,該可編程處理器運行計算 機程序����,對輸入數(shù)據(jù)進行操作并生成輸出數(shù)據(jù),以執(zhí)行其功能。方法步驟也可 以由專用邏輯電路來執(zhí)行�,裝置也可由專用邏輯電路實施,例如FPGA(現(xiàn)場可 編程門陣列)或者ASIC (專用集成電路)����。適于執(zhí)行計算機程序的處理器包括,例如通用和專用微處理器�����,以及任何 種類的數(shù)字計算機的任何一個或多個處理器���。通常,處理器可從只讀存儲器或 隨機存取存儲器或兩者中接收指令和數(shù)據(jù)����。計算機部件包括用于執(zhí)行指令的至 少一個處理器以及用于存儲指令和數(shù)據(jù)的一個或多個存儲設備。通常����,計算機
也可包括一個或多個用于存儲數(shù)據(jù)的大容量存儲設備,或者可操作地連接到一 個或多個用于存儲數(shù)據(jù)的大容量存儲設備����,以從中接收數(shù)據(jù)或向其發(fā)射數(shù)據(jù), 所述大容量存儲設備是例如,磁盤�����、磁光盤���、或者光盤���。適于包含計算機程序指令和數(shù)據(jù)的信息載體包括所有形式的非易失存儲器,包括例如EPR0M�����、 EEPR0M和閃存之類的半導體存儲裝置����、磁盤例如內(nèi)置硬盤或可移動磁盤、磁 光盤����、以及CD-ROM和DVD-R0M光盤。處理器和存儲器可以由專用邏輯電路來 實施���,或者結(jié)合到專用邏輯電路中��。本發(fā)明還可以通過計算機系統(tǒng)來實施����,這種計算機系統(tǒng)包括后端部件例如 作為數(shù)據(jù)服務器、或包括中間部件例如作為應用服務器�����、或包括前端部件例如 具有圖形用戶界面或Web瀏覽器的客戶端計算機(通過該界面或瀏覽器用戶可 以互動參與實施本發(fā)明)����,或包括上述后端部件、中間部件或前端部件的任意 組合���。所述部件可通過數(shù)字數(shù)據(jù)通信的任意形式或媒介(例如通信網(wǎng)絡)互聯(lián)。 通信網(wǎng)絡的例子包括局域網(wǎng)(LAN)和廣域網(wǎng)(WAN),例如英特網(wǎng)����。雖然在此己經(jīng)描述了所述實施例的某些特征,但本技術(shù)領(lǐng)域的人員也可 以做出很多修改���、替換��、更改和等同�����。因此�����,可以理解���,權(quán)利要求用于覆蓋落 入本發(fā)明的實施例的實質(zhì)范圍內(nèi)的所有這些修改和更改�����。
權(quán)利要求
1�����、 一種網(wǎng)絡接口設備�����,其特征在于���,包括 安全數(shù)據(jù)庫,用于存儲與事先確定的惡意軟件相對應的樣本�;安全服務引擎���,用于將即將通過網(wǎng)絡傳遞的數(shù)據(jù)與存儲在安全數(shù)據(jù)庫中的樣本進行比較;其中����,所述安全數(shù)據(jù)庫能夠從網(wǎng)絡接收更新樣本。
2����、 根據(jù)權(quán)利要求l所述的網(wǎng)絡接口設備,其特征在于���,所述網(wǎng)絡接口設 備是通過加密信道從網(wǎng)絡接收更新樣本��。
3�����、 根據(jù)權(quán)利要求l所述的網(wǎng)絡接口設備,其特征在于�����,所述安全服務引 擎包括入侵檢測服務��、入侵防范服務或反病毒掃描服務中的至少一種。
4�、 根據(jù)權(quán)利要求l所述的網(wǎng)絡接口設備,其特征在于�,還包括基于硬件 的辨認標識,用于在所述網(wǎng)絡中識別所述網(wǎng)絡接口設備�����。
5���、 根據(jù)權(quán)利要求l所述的網(wǎng)絡接口設備�����,其特征在于�����,包括主機總線��, 用于從系統(tǒng)的中央處理單元接收即將通過所述網(wǎng)絡傳遞的數(shù)據(jù)��。
6���、 根據(jù)權(quán)利要求l所述的網(wǎng)絡接口設備����,其特征在于����,還包括加密引擎, 用于對與所述樣本比較后的數(shù)據(jù)進行加密�。
7、 一種計算系統(tǒng)�����,其特征在于�,包括-中央處理單元(CPU);隨機訪問存儲器,其能夠由所述CPU訪問�����,用于存儲所述CPU能夠執(zhí)行的 指令����;網(wǎng)絡接口設備,用于在所述中央處理單元和網(wǎng)絡之間路由數(shù)據(jù)��,其中所述網(wǎng)絡接口設備包括安全數(shù)據(jù)庫���,用于存儲與事先確定的惡意軟件相對應的樣本�; 安全服務引擎��,用于將所述網(wǎng)絡和系統(tǒng)之間所交換的數(shù)據(jù)與存儲在安全數(shù)據(jù)庫中的樣本進行比較����;其中,所述安全數(shù)據(jù)庫能夠從網(wǎng)絡接收更新樣本�����。
8����、 根據(jù)權(quán)利要求7所述的計算系統(tǒng),其特征在于����,所述網(wǎng)絡設備還包括基于硬件的辨認標識,用于在所述網(wǎng)絡中識別所述網(wǎng)絡接口設備��。
9���、 根據(jù)權(quán)利要求7所述的計算系統(tǒng)�,其特征在于,還包括主機總線�����,用 于在所述網(wǎng)絡接口設備和所述系統(tǒng)的中央處理單元之間交換數(shù)據(jù)���。
10����、 一種在計算系統(tǒng)和網(wǎng)絡之間傳遞數(shù)據(jù)的方法���,其特征在于�,包括 從計算系統(tǒng)的中央處理單元向網(wǎng)絡接口設備傳遞數(shù)據(jù)�,以便從所述網(wǎng)絡接口設備向網(wǎng)絡傳遞所述數(shù)據(jù);將所述數(shù)據(jù)與事先確定的惡意軟件相對應的樣本進行比較��,其中所述樣本 存儲在所述網(wǎng)絡接口設備的安全數(shù)據(jù)庫中��,所述中央處理單元不能訪問所述安 全數(shù)據(jù)庫�����。
全文摘要
本發(fā)明涉及一種網(wǎng)絡接口設備、計算系統(tǒng)及傳遞數(shù)據(jù)的方法���。其中網(wǎng)絡接口設備包括安全數(shù)據(jù)庫和安全服務引擎。該安全數(shù)據(jù)庫用于存儲與事先確定的惡意軟件相對應的樣本�����。該安全服務引擎用于將即將通過網(wǎng)絡傳遞的數(shù)據(jù)與存儲在安全數(shù)據(jù)庫中的樣本進行比較�����,該安全數(shù)據(jù)庫還可從網(wǎng)絡接收更新樣本�����。
文檔編號H04L12/66GK101146066SQ20071014822
公開日2008年3月19日 申請日期2007年8月24日 優(yōu)先權(quán)日2006年8月31日
發(fā)明者博拉·阿克約爾, 普尼特·阿加瓦爾 申請人:美國博通公司