CN101453365A - 网络入侵防护系统 - Google Patents
网络入侵防护系统 Download PDFInfo
- Publication number
- CN101453365A CN101453365A CNA2007101949428A CN200710194942A CN101453365A CN 101453365 A CN101453365 A CN 101453365A CN A2007101949428 A CNA2007101949428 A CN A2007101949428A CN 200710194942 A CN200710194942 A CN 200710194942A CN 101453365 A CN101453365 A CN 101453365A
- Authority
- CN
- China
- Prior art keywords
- network
- package
- protection system
- those
- intrusion
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
一种网络入侵防护系统。网络入侵防护系统架设于重要网络节点,例如设置在边界路由器,用以滤除包含恶意入侵/攻击行为内容的网络封包。网络入侵防护系统内的网络卡设置有微处理器、网络封包剖析程序,及过滤掉恶意入侵封包程序,用以依据网络封包的标头文件信息,预先滤除恶意网络封包。之后,再由网络入侵防护系统的中央处理器剖析剩余网络封包的封包内容,并依据入侵行为定义文件来判断这些网络封包是否为恶意封包。若是恶意封包,则加以丢弃;若不是恶意封包,则将网络封包传送给内部局域网络的计算机。
Description
技术领域
本发明涉及一种网络入侵防护系统,且特别涉及一种网络卡上建置有微处理器来加速执行入侵防护功能的网络入侵防护系统。
背景技术
随着网络科技发展与普及化,网络已成为生活不可或缺的部分,人们由网络快速交换所需信息。然而,使用因特网却不如想象中安全。例如,计算机系统可能被黑客入侵而被窃取数据或破坏计算机系统。目前,多数使用者由防毒软件及防火墙来保护计算机免于感染计算机病毒或遭受人为入侵破坏。一种名为网络入侵侦测系统(Intrusion Detection System,IDS)的技术可用以监控网络活动,避免网络内部的计算机遭受恶意攻击、破坏。网络入侵侦测系统属于被动式的网络安全系统。其通过分析网络封包,发现异常网络活动,并实时发出警报告知网络管理人员处理/防护异常网络活动。为立即抵挡网络上的恶意入侵攻击,网络入侵防护系统(Intrusion Protection System,IPS)遂发展作为提供主动性防护的网络安全技术。所有网络封包皆须流经网络入侵防护系统,并加以判断网络封包不含异常活动或可疑内容后,才予以传送到内部欲保护的局域网络(或网络区段)。相较于网络入侵侦测系统,网络入侵防护系统更在发生恶意入侵前,立即阻绝网络攻击行为,避免网络内部的计算机系统受破坏。
然而,随着网络技术提升以及交换数据量的增加,繁重的网络流量逐渐成为网络入侵防护系统的负担。由于网络入侵防护系统需拦截分析每一个网络封包,判断网络封包中并不包含恶意内容后才予以放行。若网络入侵防护系统的响应能力无法跟上网络传输速度,则会影响内部网络存取数据的流畅度,使内部网络效能大打折扣。
发明内容
鉴于目前网络入侵防护系统(Intrusion Protection System,IPS)响应能力不足,而造成封包传递延迟等问题,本发明的目的在于提出新的网络入侵防护系统(以下简称为系统)的架构,由微处理器与中央处理器的分工处理,过滤流经局域网络的有害或是恶意网络封包,达到加速系统过滤网络封包的功效。
为实现上述的目的,本发明的系统至少包含一张具有微处理器的网络卡及中央处理器。网络卡接收局域网络外的网络封包。此网络卡更内建有两韧体程序:其一为网络封包剖析程序,通过前述微处理器执行此网络封包剖析程序,以剖析网络封包的通讯协议、来源地址、以及连接端口号;另一为恶意封包的滤除程序,亦通过前述微处理器执行,并依据网络封包剖析程序的剖析结果及入侵封包定义文件,来判断网络封包是否可能为恶意网络封包,并加以滤除。剩余未被过滤的网络封包,再交由中央处理器处理。中央处理器执行下列程序:首先,剖析剩余网络封包的封包内容;接着,根据前述入侵封包定义文件及由剩余网络封包所剖析出的封包内容,判断是否为恶意网络封包;然后,再过滤掉恶意网络封包,并通过网络卡将剩余的正常网络封包传送至内部局域网络的计算机。
依照本发明的较佳实施例所述的网络入侵防护系统,上述的网络卡更包括用来暂存网络封包的内存。另外,系统内部的主要内存,则是用来存放网络封包解析后的封包内容。
依照本发明的较佳实施例所述的网络入侵防护系统,上述的入侵封包定义文件,包括多条预先定义的入侵行为规则,以及这些规则所对应的预设通讯协议、来源地址以及连接端口号。网络管理人员更可通过一个使用者接口来修改入侵封包定义文件的入侵行为规则及对应的预设通讯协议、来源地址、及连接端口号。
依照本发明的较佳实施例所述的网络入侵防护系统,更包括依据滤除恶意入侵的网络封包中的通讯协议、来源地址、以及连接端口号,自动新增对应的入侵行为规则于入侵封包定义档。另外,前述网络封包剖析程序是通过多个结构指针(Hook Structure)指向接收的网络封包的数据段,以快速剖析网络封包中的通讯协议、来源地址、以及连接端口号。
依照本发明的较佳实施例所述的网络入侵防护系统,上述的微处理器更包括以多条执行绪(Thread)来处理入侵封包定义文件定义的预设通讯协议、来源地址或连接端口号。另外,中央处理器亦通过执行绪个别处理入侵封包定义文件所定义的其它入侵行为。
由上所述,本发明的系统先以网络卡的微处理器快速滤除可能为恶意入侵的网络封包,再以中央处理器滤除剩余网络封包中恶意入侵的网络封包。因为,网络卡的微处理器与系统的中央处理器可分工并同时处理简单过滤网络封包及深层剖析封包内容的动作,因此可加速系统处理网络封包的速度,进而解决目前系统存在的影响网络传输速度及封包传输延迟的现象。
以下结合附图和具体实施例对本发明进行详细描述,但不作为对本发明的限定。
附图说明
图1为本发明较佳实施例的网络入侵防护系统的网络拓扑示意图;
图2为本发明较佳实施例的网络入侵防护系统的系统架构示意图。
其中,附图标记
110 网络入侵防护系统
120 局域网络
121~126 计算机主机
130 因特网
210 中央处理器
220 主要内存
230 网络卡
232 微处理器
233a 网络封包剖析程序
233b 恶意封包的滤除程序
234 内存
236、238 连接端口
240、242、244 网络封包
具体实施方式
本发明的目的及提出的在下列较佳实施例中详细说明的。然而本发明的概念亦可用于其它范围。以下列举的实施例仅用于说明本发明的目的与执行方法,并非用以限制其范围。
图1为本发明较佳实施例的网络入侵防护系统的网络拓扑示意图。请参照图1,在本实施例中,所有网络封包皆会流经边界节点,因此将网络入侵防护系统110(以下简称为系统110)架设于例如局域网络120的边界节点(或边界路由器)将带有恶意入侵/攻击行为内容的网络封包(以下称为恶意封包)加以滤除,以保护局域网络120内部的计算机主机(121~126)免于来自因特网130的恶意封包侵袭。
本发明的系统与目前的系统最大的差异在于本发明系统内部的网络卡具有微处理器。此微处理器执行预先烧录于网络卡记忆区块(例如只读存储器ROM)的韧体,用以在收到网络封包时,剖析网络封包的标头文件(Header)信息,并由标头文件信息快速滤除可能为恶意封包的网络封包。举例说明本发明较佳实施例所述的系统的架构如下。
图2为本发明较佳实施例的网络入侵防护系统的系统架构图。请参照图2,系统110内具有中央处理器210以及网络卡230。网络卡230包括微处理器232、及网络封包剖析程序233a、恶意封包的滤除程序233b、内存234、以及两个连接端口(236、238)。其中的网络封包剖析程序233a以及恶意封包的滤除程序233b可预先储存于系统110的储存空间,例如硬盘,并于系统110运行时,加载内存234。
网络卡230通过连接端口236接收多个网络封包240,同时间微处理器232执行网络封包剖析程序233a来剖析这些网络封包240的通讯协议、来源地址、及连接端口号。前述的通讯协议、来源地址、及连接端口号等信息,可由解析这些网络封包240的标头文件(Header)数据段得知。之后,再以微处理器执行恶意封包的滤除程序233b将网络封包剖析程序233a解析出的通讯协议、来源地址、以及连接端口号依据入侵封包定义文件(未显示)判断网络封包240是否可能为恶意封包,并在第一时间加以滤除。
接着,再将剩余的多个网络封包(亦即网络封包242)交由中央处理器210进行深层的封包内容解析。中央处理器210执行以下程序:首先,剖析网络封包242的封包内容;接着,根据预先设定的一个入侵封包定义文件所载规则来分析这些网络封包242的封包内容,以判断这些网络封包242是否为恶意封包。若这些网络封包242为恶意封包,则直接过滤掉这些网络封包;若这些网络封包242为正常的网络封包(亦即封包的内容不包含入侵封包定义文件所定义的恶意封包规则),则通过网络卡230将正常的网络封包(亦即网络封包244)通过连接端口238传送到内部局域网络的计算机。
系统110的网络卡230更包括内存234,用来暂存接收的多个网络封包240,避免因系统110处理网络封包速度过慢造成丢包现象(Packet Lose)。处理完成的网络封包242亦可先暂存于内存234,再由中央处理器210存取;或直接搬运到系统110内的主要内存220或其它储存空间(例如硬盘)。需转发送局域网络的正常网络封包244,亦可先暂存于内存234,避免网络阻塞时发生丢包(Packet Lose)的现象。另外,主要内存220则可暂存中央处理器210深层解析过后的网络封包242的封包内容,以利中央处理器210分析统计封包内容的入侵行为分布(例如,分析入侵攻击的网络封包中,各种入侵行为所占网络封包总量的百分比)。
在本实施例中,所述的网络封包解析程序可通过定义一些结构指针指向网络封包的数据段,以快速剖析网络封包的通讯协议、来源地址、以及连接端口号。举例而言,利用挂勾函数(Hook Funct ion)指到网络封包文件头中的通讯协议字段所属位的位置,并取出通讯协议字段宽度的数据段即可得知网络封包采用的通讯协议为何。事实上,此等步骤可由网络过滤器(Netfilter)取得。通过网络过滤器,可先阻断每一个流经系统110的网络封包240,并加以取出网络封包240中的通讯协议、来源地址、以及连接端口号等信息。
承上,前述的入侵封包定义文件包括预先定义的多条入侵行为规则,以及入侵行为规则所对应的预设通讯协议、来源地址、以及连接端口号。例如,已知网络黑客会以阻断式攻击(DOS)方式,通过网页浏览器对服务器的特定连接端口(例如端口号80)传送大量的NOP指令。则可在入侵封包定义文件预先写入一条入侵行为规则,若符合以TCP通讯协议存取连接端口(端口号80)传送NOP指令大于默认值(Threshold)时,即判断为入侵攻击行为。另外,网络管理人员亦可通过一个使用者接口来修改记录于入侵封包定义文件的入侵行为规则,或新增入侵行为规则。同样地,这些入侵行为规则亦包含对应的预设通讯协议、来源地址、以及连接端口号。
在一些实施例中,前述中央处理器210更于过滤掉恶意封包之前(亦即将判断为恶意封包的网络封包242滤除前),依据这些恶意封包的通讯协议、来源地址、以及连接端口号产生一条入侵行为规则,而自动新增到入侵封包定义文件中。另外,为加快处理网络封包的速度,微处理器232可通过多条执行绪(Thread)处理单一种类的通讯协议(例如TCP、UDP通讯协议),并依据来源地址、连接端口号来判断该网络封包是否为恶意封包。同样地,中央处理器亦可设定多条执行绪来个别处理不同的入侵行为项目(亦即入侵封包定义文件所预先定义的判别项目),以方便计算分析每种入侵行为的分布。
当然,本发明还可有其它多种实施例,在不背离本发明精神及其实质的情况下,熟悉本领域的技术人员当可根据本发明作出各种相应的改变和变形,但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。
Claims (9)
1、一种网络入侵防护系统,架设在局域网络的重要节点处,用以滤除包含恶意入侵/攻击行为内容的网络封包,其特征在于,该网络入侵防护系统,至少包括:
一网络卡,接收数个网络封包,该网络卡包括:
一微处理器;
一网络封包剖析程序,通过该微处理器执行该网络封包剖析程序,以剖析该些网络封包的通讯协议、来源地址、以及连接端口号;
一恶意封包的滤除程序,通过该微处理器执行,并依据该网络封包剖析程序的剖析结果及一入侵封包定义文件判断该些网络封包是否可能为恶意网络封包,并加以滤除;以及
一中央处理器,用以处理下列程序:
剖析剩余的该些网络封包的封包内容;
根据该入侵封包定义文件及剩余该些网络封包的封包内容,判断是否为恶意网络封包;以及
滤除该些恶意网络封包,并通过该网络卡将剩余正常的网络封包传送至内部局域网络的计算机。
2、根据权利要求1所述的网络入侵防护系统,其特征在于,该网络卡更包括一内存,用以暂存该些网络封包。
3、根据权利要求1所述的网络入侵防护系统,其特征在于,该网络入侵防护系统更包括一主要内存,用以暂存该些网络封包解析后的封包内容。
4、根据权利要求1所述的网络入侵防护系统,其特征在于,该入侵封包定义文件包括数条入侵行为规则及对应该些入侵行为规则的预设通讯协议、来源地址、以及连接端口号。
5、根据权利要求1所述的网络入侵防护系统,其特征在于,该中央处理器更包括依据滤除恶意入侵的该些网络封包中的通讯协议、来源地址、以及连接端口号,自动新增对应的该入侵行为规则于该入侵封包定义文件。
6、根据权利要求1所述的网络入侵防护系统,其特征在于,该网络封包剖析程序通过数个结构指针指向该些网络封包的数据段,以快速剖析该些网络封包的通讯协议、来源地址、以及连接端口号。
7、根据权利要求1所述的网络入侵防护系统,其特征在于,更包括通过一使用者接口修改该入侵封包定义文件的该些入侵行为规则及对应的预设通讯协议、来源地址、以及连接端口号。
8、根据权利要求1所述的网络入侵防护系统,其特征在于,该微处理器更包括通过数条执行绪个别处理该入侵封包定义文件定义的预设通讯协议、来源地址或连接端口号。
9、根据权利要求1所述的网络入侵防护系统,其特征在于,该中央处理器更包括通过该些执行绪个别处理该入侵封包定义文件定义的该些入侵行为规则。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2007101949428A CN101453365A (zh) | 2007-12-05 | 2007-12-05 | 网络入侵防护系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2007101949428A CN101453365A (zh) | 2007-12-05 | 2007-12-05 | 网络入侵防护系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101453365A true CN101453365A (zh) | 2009-06-10 |
Family
ID=40735400
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2007101949428A Pending CN101453365A (zh) | 2007-12-05 | 2007-12-05 | 网络入侵防护系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101453365A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101963902A (zh) * | 2009-07-21 | 2011-02-02 | 宏达国际电子股份有限公司 | 移动装置及数据联机方法 |
| CN102104565A (zh) * | 2009-12-17 | 2011-06-22 | 深圳富泰宏精密工业有限公司 | 调制解调器及电源节省方法 |
| CN102378166A (zh) * | 2011-09-09 | 2012-03-14 | 周伯生 | 基于无线防火墙的网络安全方法 |
| CN112583763A (zh) * | 2019-09-27 | 2021-03-30 | 财团法人资讯工业策进会 | 入侵侦测装置以及入侵侦测方法 |
| CN114205105A (zh) * | 2020-09-01 | 2022-03-18 | 威联通科技股份有限公司 | 网络恶意行为检测方法与利用其的交换系统 |
-
2007
- 2007-12-05 CN CNA2007101949428A patent/CN101453365A/zh active Pending
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101963902A (zh) * | 2009-07-21 | 2011-02-02 | 宏达国际电子股份有限公司 | 移动装置及数据联机方法 |
| US8842590B2 (en) | 2009-07-21 | 2014-09-23 | Htc Corporation | Mobile device and data connection method thereof |
| CN101963902B (zh) * | 2009-07-21 | 2014-11-05 | 宏达国际电子股份有限公司 | 移动装置及数据联机方法 |
| CN102104565A (zh) * | 2009-12-17 | 2011-06-22 | 深圳富泰宏精密工业有限公司 | 调制解调器及电源节省方法 |
| CN102378166A (zh) * | 2011-09-09 | 2012-03-14 | 周伯生 | 基于无线防火墙的网络安全方法 |
| CN102378166B (zh) * | 2011-09-09 | 2014-04-23 | 周伯生 | 基于无线防火墙的网络安全方法 |
| CN112583763A (zh) * | 2019-09-27 | 2021-03-30 | 财团法人资讯工业策进会 | 入侵侦测装置以及入侵侦测方法 |
| CN112583763B (zh) * | 2019-09-27 | 2022-09-09 | 财团法人资讯工业策进会 | 入侵侦测装置以及入侵侦测方法 |
| CN114205105A (zh) * | 2020-09-01 | 2022-03-18 | 威联通科技股份有限公司 | 网络恶意行为检测方法与利用其的交换系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7832009B2 (en) | Techniques for preventing attacks on computer systems and networks | |
| JP3568850B2 (ja) | データパケットフィルタの動作方法 | |
| CN101116068B (zh) | 数据中心环境中的入侵检测 | |
| Maeda et al. | A botnet detection method on SDN using deep learning | |
| RU2480937C2 (ru) | Система и способ уменьшения ложных срабатываний при определении сетевой атаки | |
| EP3952240A1 (en) | Blockchain-based network security system and processing method | |
| US7710887B2 (en) | Network protection via embedded controls | |
| JP2009500936A (ja) | 早期通知に基づいて異常なトラフィックを検出するためのシステム及び方法 | |
| CN110798482B (zh) | 基于linux网络过滤器的系统级蜜罐网络隔离系统 | |
| KR100479202B1 (ko) | 분산서비스거부 공격 대응 시스템 및 방법과 그프로그램을 기록한 기록매체 | |
| CN105282169A (zh) | 基于SDN控制器阈值的DDoS攻击预警方法及其系统 | |
| US20090235355A1 (en) | Network intrusion protection system | |
| CN101453365A (zh) | 网络入侵防护系统 | |
| JP2004302538A (ja) | ネットワークセキュリティシステム及びネットワークセキュリティ管理方法 | |
| CN108810008A (zh) | 传输控制协议流量过滤方法、装置、服务器及存储介质 | |
| Gautam et al. | Experimental security analysis of SDN network by using packet sniffing and spoofing technique on POX and Ryu controller | |
| CN114172718A (zh) | 安全策略配置方法、装置、电子设备及存储介质 | |
| Ahmed et al. | A Linux-based IDPS using Snort | |
| CN101453363A (zh) | 网络入侵检测系统 | |
| KR20020072618A (ko) | 네트워크 기반 침입탐지 시스템 | |
| US20080178279A1 (en) | Method and system for protecting a computer network against packet floods | |
| CN106953830A (zh) | Dns安全防护方法、装置及dns | |
| CN105827630B (zh) | 僵尸网络属性识别方法、防御方法及装置 | |
| CN116743406A (zh) | 一种网络安全预警方法、装置、存储介质和计算机设备 | |
| EP4145785A1 (en) | Device protection method, and devices |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Open date: 20090610 |