CN112217784A - 用于在计算机网络中的攻击识别的设备和方法 - Google Patents
用于在计算机网络中的攻击识别的设备和方法 Download PDFInfo
- Publication number
- CN112217784A CN112217784A CN202010656049.8A CN202010656049A CN112217784A CN 112217784 A CN112217784 A CN 112217784A CN 202010656049 A CN202010656049 A CN 202010656049A CN 112217784 A CN112217784 A CN 112217784A
- Authority
- CN
- China
- Prior art keywords
- hardware
- value
- counter
- filter
- packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 24
- 238000004590 computer program Methods 0.000 claims 4
- 238000001514 detection method Methods 0.000 description 10
- 230000005540 biological transmission Effects 0.000 description 5
- 238000006243 chemical reaction Methods 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 238000010276 construction Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 230000006978 adaptation Effects 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
- H04L61/5014—Internet protocol [IP] addresses using dynamic host configuration protocol [DHCP] or bootstrap protocol [BOOTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/162—Implementing security features at a particular protocol layer at the data link layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0254—Stateful filtering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种用于在计算机网络中的攻击识别的设备和方法,在硬件切换装置(102)的输入端上接收(302)数据包(200),其中在比较中通过硬件过滤器(104)将来自所述数据包(200)的字段中的实际值与针对来自所述字段中的值的额定值进行比较(306、312、328、324、330、336),其中所述字段包括数据链路层数据或者网络层数据,其中提供(308、314、320、326、332、338)根据所述比较的结果所确定的所述硬件切换装置(102)的计数器的值,而且其中计算装置(106)根据在所述硬件切换装置(102)中的所述计数器的值并且与来自所述数据包(200)中的信息无关地、尤其是在没有通过所述计算装置(106)来分析来自所述数据包(200)中的信息的情况下确定所述攻击识别的结果。
Description
技术领域
本发明的出发点是一种用于在计算机网络中的攻击识别的方法和设备。
背景技术
这种“网络入侵检测与防范系统(Network Intrusion Detection andPrevention Systems)”(NIDPS)的任务是标识在分布式计算机系统的网络传输中的异常并且对在分布式计算机系统的网络传输中的异常做出反应。NIDPS是通常被用于检测并且防止对公司网络、即所谓的企业(Enterprise)网络的攻击的系统。NIDPS也可以被用在汽车网络中。汽车网络是具有“电子控制单元(Electronic Control Units)”(ECUs)作为网络节点的车辆的内网。
由于企业网络与汽车网络之间的功能上的区别,用于企业网络的NIDPS并不能有效地被用于汽车网络。
因而,值得期望的是提供一种用于汽车网络的NIDPS。
发明内容
这通过独立权利要求的主题来实现。为了提供一种用于汽车网络的NIDPS,应考虑汽车网络与企业网络的区别。这些区别例如是它们的网络结构、网络动态性以及它们的网络节点。
网络结构:
企业网络通常遵循客户端-服务器模型(Client-Server-Modell),在该客户端-服务器模型中存在数目较少的专用服务器网络节点,这些专用服务器网络节点向通常数目较多的客户端网络节点提供服务。汽车网络由ECU组成,在这些ECU上不仅实施服务器应用程序而且实施客户端应用程序。
企业网络通常比汽车网络大得多且复杂得多。整个企业网络通常细分程度更高,在物理上或在逻辑上被分成不同的区和子网。在典型的汽车网络中的ECU如果有的话通过所谓的“网关(Gateways)”只是被分成很少的子网或者在逻辑上在以太网层通过所谓的“虚拟局域网(Virtual Local Area Networks,VLANs)”来分开。
网络动态性:
企业网络和汽车网络在用来改变和运行网络的动态性方面有区别。
在企业网络中,网络节点可以任意地被更换。对于在服务器网络节点处的改变来说,通常还可以执行在防御系统、诸如NIDPS的配置方面的适配。而这种配置在客户端网络节点处是不可能的。原因在于,客户端从不断变化的位置被连接到网络并且常常被更换。此外,并不能精确地预测哪些应用程序在客户端上被实施。
在汽车网络中的ECU如果有的话很少被更换并且那么常常也只是被相同的复制品更换。因而,不太可能在网络的工作原理方面发生任何变化。在汽车网络中,网络节点是众所周知的。同样,在其上分别运行的服务器和客户端应用程序经过明确限定,并且关于网络通信的细节可以预先给定。
在企业网络中,外部节点可以建立到公司网络内部中的连接。在汽车网络中,网络的所有通信节点都是车辆内网的部分。
在企业网络中,通常不同的用户可以使用相同的客户端。在汽车网络的ECU中不存在用户,而是只有服务器和客户端应用程序在起作用。
网络节点:
就资源而言,企业网络的网络节点通常在资源方面(例如关于存储和性能方面)是汽车网络的ECU的很多倍。
就软件而言,在企业网络中,网络节点大多配备有广泛流行的标准操作系统和标准软件,安全漏洞对于这些标准操作系统和标准软件来说是已知的。因此,在企业网络中的NIDPS系统的重点在于:当尝试利用已知的安全漏洞时基于签名地识别出来。在汽车网络中的网络节点常常配备有不那么流行的软件。来自用于企业网络的NIDPS系统中的大部分签名无法使用,而且没有关于专门针对汽车网络已知的漏洞的较大数据库。
虽然,NIDPS的基本任务、也就是说检测在网络传输中的异常并且对在网络传输中的异常做出反应,在企业网络和汽车网络的情况下相同。但是,从上文提到的几点能看出:用于汽车网络的有效NIDPS的基本工作原理原则上必须不同于用于企业网络的NIDPS的基本工作原理。用于汽车网络的NIDPS必须利用已知的且静态的网络结构以及网络成员的低得多的动态性,以便可以利用有限的资源有效地检测异常。
关于这方面特别有利的用于在计算机网络中的攻击识别的方法规定:在硬件切换装置的输入端上接收数据包,其中在比较中通过硬件过滤器将来自该数据包的字段中的实际值与针对来自该字段中的值的额定值进行比较,其中该字段包括数据链路层数据或者网络层数据,其中提供根据该比较的结果所确定的该硬件切换装置的计数器的值,而且其中计算装置根据在硬件切换装置中的计数器的值并且与来自该数据包中的信息无关地、尤其是在没有通过该计算装置来分析来自该数据包中的信息的情况下确定攻击识别的结果。由此来实现NIDS,在该NIDS中,交换机CPU(Switch-CPU)只访问计数器,而不在该交换机CPU上分析整个网络传输。交换机硬件将该网络传输的每个数据包分析得至少直至OSI第2层(OSILayer 2)并且在有些系统中部分地也分析得至少直至OSI第3层(OSI Layer 3),以便实现交换(Switching)。如果在该分析中在数据包方面查明异常,则不将该数据包转发给交换机CPU,而是使计数器增加。交换机CPU不分析该数据包而是只分析计数器,并且依据分析结果来实现无状态或有状态NIDS。该两阶段NIDS非常节省资源并且特别适合于汽车网络。
优选地,当实际值与额定值之间存在偏差,尤其是该偏差达到、超过或低于阈值时,使计数器的值增加。
优选地,该计数器是在硬件切换装置的寄存器中的硬件计数器。
优选地规定:硬件过滤器包括三元内容可寻址存储器(Ternary ContentAddressable Memory),在该三元内容可寻址存储器中存储有用于额定值的掩码,其中在比较中将实际值与被存储在该三元内容可寻址存储器中的掩码进行比较。这能够实现:在NIDS的第一阶段检查数据包的可自由配置的特性。
优选地,额定值表征来自存储器中的硬件地址、尤其是媒体访问控制地址(MediumAccess Control Adresse),其中实际值根据来自在输入端或输出端上的数据包的硬件地址字段(Hardware-Adress-Feld)中的数据、尤其是媒体访问控制地址来被确定。借此,可以在NIDS的第一阶段分析关于媒体访问控制地址方面的差错。
优选地,额定值表征虚拟局域网(Virtual Local Area Network),其中额定值从存储器中被确定,实际值根据如下数据来被确定,所述数据表征在输入端或输出端上的数据包对于虚拟局域网的从属性。借此,可以在NIDS的第一阶段分析关于对于虚拟局域网的从属性方面的差错。
优选地,结果是,要么当硬件过滤器在输入端或输出端上针对经标记的虚拟局域网查明有未经标记的虚拟局域网数据包时,要么当硬件过滤器在输入端或输出端上针对未经标记的虚拟局域网查明有经标记的虚拟局域网数据包时,识别出存在偏差。这能够实现:在NIDS的第一阶段识别关于虚拟局域网方面的其它差错。
优选地,结果是,当硬件过滤器在输入端或输出端上查明有数据包具有未知的以太网类型、具有错误的校验和或者错误的包构造时,识别出存在偏差。这能够实现:在NIDS的第一阶段识别在数据包的构造或内容方面的其它差错。
优选地,结果是,当动态主机配置协议过滤器(Dynamic Host ConfigurationProtocol Filter)在输入端或输出端上查明在动态主机配置协议端口67和/或端口68的情况下用于因特网协议版本4(Internet Protocol Version 4)和/或用于因特网协议版本6(Internet Protocol Version 6)的动态主机配置协议包,用户数据报协议过滤器(UserDatagram Protocol Filter)在输入端或输出端上查明用于因特网协议版本4和/或用于因特网协议版本6的用户数据报协议广播(User Datagram Protocol Broadcast)消息,精确时间协议过滤器(Precision Time Protocol Filter)在输入端或输出端上查明精确时间协议消息时,识别出存在偏差,其中该精确时间协议消息的内容、尤其是时间戳(Timestamp)、序列号(Sequence number)、校正字段(correction field)至少部分地被存储在用于上下文信息的寄存器中。这能够实现:在NIDS的第一阶段识别关于数据包方面的协议特定的差错。
优选地规定:附加地也分析以太网数据包的内容,尤其是当基于计数器的值而识别出为此的必要性时附加地也分析以太网数据包的内容。
用于在计算机网络中的攻击识别的设备被构造为片上系统(System on a Chip),该片上系统包括用于攻击识别的硬件切换装置、硬件过滤器和微处理器,而且该片上系统被构造为实施该方法。该解决方案特别好地适合于汽车网络。
优选地,该设备包括计数装置,该计数装置被构造为:当在实际值与额定值之间存在偏差或者该偏差超过阈值时,使计数器的值增加。
优选地,该计数器是在该设备的寄存器中的硬件计数器。
优选地,三元内容可寻址存储器、地址转换单元(Address Translation Unit)、虚拟局域网转换单元(Virtual Local Area Network Translation Unit)、动态主机配置协议过滤器、用户数据报协议过滤器和/或精确时间协议过滤器作为硬件过滤器被构造为:分析数据包用于攻击识别并且确定结果从而确定计数器的值。借此,该方法的方面可以在交换机硬件中特别有效地被实施。
附图说明
其它有利的实施方式从如下的描述和附图中得到。在附图中:
图1示出了用于攻击识别的设备的示意图;
图2示出了在该设备中的数据流;
图3示出了在用于攻击识别的方法中的步骤。
具体实施方式
图1示出了用于在计算机网络中的攻击识别的设备100的示意图。设备100构造为片上系统。
设备100包括硬件切换装置102、硬件过滤器104和计算装置106。计算装置106可以是微处理器或微控制器。计算装置106被构造用于攻击识别。
在本例中,计算机网络是汽车以太网。示例性地描述的汽车以太网基于以太网标准IEEE 802.3-2018并且可以包括来自IEEE 802.1Q、100BASE-T1或1000BASE-T1中的要素。在本例中,硬件切换装置102包括以太网交换机(Ethernet Switch)。
在本例中,硬件过滤器104包括:三元内容可寻址存储器108;地址转换单元110;虚拟局域网转换单元112;和其它硬件过滤器114,例如动态主机配置协议过滤器、用户数据报协议过滤器和/或精确时间协议过滤器。
这些硬件过滤器被构造为:分析数据包,用于攻击识别。可选地,这些硬件过滤器被构造为:根据计算装置106的检查的结果来提供数据包或该数据包的副本,用于攻击识别。为此,硬件过滤器104和计算装置106与数据线116连接。在本例中,计算装置106是微控制器的包括随机存取存储器118的部分。经由数据线116,能将数据包从硬件过滤器104传输到随机存取存储器118中,用于攻击识别。
设备100包括至少一个输入端和至少一个输出端。该至少一个输入端和该至少一个输出端实现为硬件切换装置102的端口120。
硬件切换装置102包括用于计数器的存储器122。在本例中,存储器122包括寄存器122i。计数器例如是硬件计数器。存储器122例如是随机存取存储器。存储器122也可以是非易失性读写存储器。硬件切换装置102包括信号线124,该信号线被构造为:将用于确定计数器的值的信号从这些硬件过滤器中的至少一个硬件过滤器传输给存储器122。在本例中,所有硬件过滤器都经由信号线124来与存储器122连接。
硬件切换装置102包括用于计算机网络的与设备100耦合的设备的硬件地址的其它存储器126。存储器126例如是随机存取存储器。存储器126也可以是非易失性读写存储器。
硬件切换装置102被构造为:在输入端上接收数据包。硬件切换装置102被构造为:根据来自数据包中的数据链路层信息并且根据来自存储器122中的硬件地址来选择设备100的用于发送该数据包或该数据包的副本的输出端。
计算装置106被构造为:与来自数据包中的信息无关地,实施用于识别在计算机网络中的网络传输中的攻击模式的分析。计算装置106被构造为:根据在硬件切换装置102中的计数器的值并且与来自数据包中的信息无关地、尤其是在没有通过计算装置106来分析来自该数据包中的信息的情况下确定攻击识别的结果。
硬件过滤器104被构造为:在比较中将来自数据包的字段中的实际值与针对来自该字段中的值的额定值进行比较。该字段包括数据链路层数据或网络层数据。硬件过滤器104被构造为:根据该比较的结果来确定计数器的值。在本例中,当实际值与额定值之间存在偏差或者该偏差超过阈值时,使计数器增加。
在下文描述硬件过滤器104的实现形式。
例如,硬件过滤器104包括三元内容可寻址存储器108,在该三元内容可寻址存储器中存储有用于额定值的掩码。在这种情况下,硬件过滤器104被构造为:将实际值与被存储在该三元内容可寻址存储器中的掩码进行比较;并且根据该比较的结果来查明是否存在该偏差。
例如,额定值表征来自存储器中的硬件地址。硬件地址尤其是数据链路层的媒体访问控制地址。在本例中,硬件过滤器104包括地址转换单元110,该地址转换单元被构造为:根据来自在设备100的输入端或输出端上的数据包的硬件地址字段中的数据来确定实际值;在比较中将实际值与额定值进行比较;并且根据该比较的结果来查明是否存在该偏差。
地址转换单元110是在数据链路层中的单元,该单元在硬件切换装置102中选择在运行时在其上发送所接收到的数据包或其副本的输出端。
例如,额定值表征虚拟局域网。额定值例如被存储在存储器122中。硬件过滤器104包括虚拟局域网转换单元112,该虚拟局域网转换单元被构造为:根据表征在设备100的输入端或输出端上的数据包对于虚拟局域网的从属性的数据来确定实际值;在比较中将实际值与额定值进行比较;并且根据该比较的结果来查明是否存在该偏差。
虚拟局域网转换单元112是在数据链路层中的单元,该单元在硬件切换装置102中选择在运行时在其上在虚拟局域网中发送所接收到的数据包或其副本的输出端。
硬件过滤器104可以被构造为:要么当硬件过滤器104在该设备的输入端或输出端上针对经标记的虚拟局域网查明有未经标记的虚拟局域网数据包时,要么当其它硬件过滤器114在该设备的输入端或输出端上针对未经标记的虚拟局域网查明有经标记的虚拟局域网数据包时,识别出存在偏差。
硬件过滤器104可以被构造为:当其它硬件过滤器114在设备100的输入端或输出端上查明有数据包具有未知的以太网类型、具有错误的校验和或者错误的包构造时,识别出存在偏差。
硬件过滤器104可包括动态主机配置协议过滤器作为其它硬件过滤器114,该动态主机配置协议过滤器被构造为:在该设备的输入端或输出端上查明在动态主机配置协议端口67和/或端口68的情况下用于因特网协议版本4和/或用于因特网协议版本6的动态主机配置协议包。
硬件过滤器104可包括用户数据报协议过滤器作为其它硬件过滤器114,该用户数据报协议过滤器被构造为:在该设备的输入端或输出端上查明用于因特网协议版本4和/或用于因特网协议版本6的用户数据报协议广播消息。
硬件过滤器104可包括精确时间协议过滤器作为其它硬件过滤器114,该精确时间协议过滤器被构造为:在该设备的输入端或输出端上,查明精确时间协议消息并且将该精确时间协议消息的内容、尤其是时间戳、序列号、校正字段至少部分地被存储在用于上下文信息的寄存器中。
所描述的硬件过滤器104的实现形式可以并行地或者依次地布置在硬件切换装置102中。不必设置硬件过滤器104的所有实现形式。
在一个方面,硬件过滤器104被构造为:当计数器超过预先给定的值时,将其实际值已被比较的数据包提供给计算装置106用于分析。在一个方面,硬件过滤器104被构造为:当计数器不超过预先给定的值时,不将其实际值已被比较的数据包提供给计算装置106用于分析。
在一个方面,硬件过滤器104被构造为:当存在偏差时,使计数器增加。在另一方面,硬件过滤器104被构造为:将该偏差与阈值进行比较;并且当该偏差超过该阈值时,使计数器增加。
可以针对尤其是硬件过滤器104的每个实现形式的各个硬件过滤器104、尤其是针对三元内容可寻址存储器108、地址转换单元110、虚拟局域网转换单元112、其它硬件过滤器114设置各一个单独的计数器。
图2针对以太网数据包200示出了在设备100中的示例性的数据流。以太网数据包200在设备100的输入端上、也就是说在本例中在端口120之一上被接收。以太网数据包200在设备100的输出端上、也就是说在本例中在端口120之一上被发送。
在输入端与输出端之间,以太网数据包200经过第一硬件过滤器114a,该第一硬件过滤器被构造为检查包构造。第一硬件过滤器114a被构造为:当该包构造没有对应于以太网数据包200的额定构造时,使计数器的值增加;而否则不使计数器增加。第一硬件过滤器114a可以被构造为:当计数器超过预先给定的值时,将以太网数据包200经由用于计算装置106的数据线116传输到随机存取存储器118中;而否则不传输以太网数据包200。
在第一硬件过滤器114a与输出端之间,以太网数据包200经过第二硬件过滤器114b,该第二硬件过滤器被构造为:检查以太网数据包200的校验和。第二硬件过滤器114b被构造为:当该校验和没有对应于以太网数据包200的额定校验和时,使计数器的值增加;而否则不使计数器增加。第二硬件过滤器114b可以被构造为:当计数器超过预先给定的值时,将以太网数据包200经由用于计算装置106的数据线116传输到随机存取存储器118中;而否则不传输以太网数据包200。
在第二硬件过滤器114b与输出端之间,以太网数据包200经过地址转换单元110。地址转换单元110被构造为:当识别出该偏差时,使计数器的值增加;而否则不使计数器的值增加。地址转换单元110可以被构造为:当计数器超过预先给定的值时,将以太网数据包200经由用于计算装置106的数据线116传输到随机存取存储器118中;而否则不传输以太网数据包200。在本例中,地址转换单元110还规定了用于输出端的端口120。
在地址转换单元110与输出端之间,以太网数据包200经过虚拟局域网转换单元112。虚拟局域网转换单元112被构造为:当识别出该偏差时,使计数器的值增加;而否则不使计数器的值增加。虚拟局域网转换单元112可以被构造为:当计数器超过预先给定的值时,将以太网数据包200经由用于计算装置106的数据线116传输到随机存取存储器118中;而否则不传输以太网数据包200。在本例中,虚拟局域网转换单元112还规定了:以太网数据包200是否允许经由被规定为输出端的端口120根据虚拟局域网的规则来被发送。
例如当端口120不允许被用于该虚拟局域网时,停止该发送。
在本例中,在虚拟局域网转换单元112与输出端之间,以太网数据包200经过其它硬件过滤器114。当识别出该偏差时,使计数器增加。当没有识别出偏差时,不使计数器增加。在一个方面,当计数器超过预先给定的值时,以太网数据包200可以经由用于计算装置106的数据线116被传输到随机存取存储器118中。否则,在这方面不传输以太网数据包200。
在图2中,还示出了在存储器122与计算装置106、更准确地说计算装置106的处理器核204之间的可选的第一接口202。
在图2中,还示出了在硬件切换装置102的可选的第一中断控制器(InterruptController)208与在计算装置106中的可选的第二中断控制器210之间的可选的第二接口206。
第一中断控制器208被构造为:当在硬件过滤器104中已查明有偏差时,将中断经由第二接口206发送给第二中断控制器210。第二中断控制器210被构造为:操控处理器核204,当需要当前的计数器值用于攻击识别时,从计数器中读取该当前的计数器值。第二中断控制器210可以被构造为:当该中断被第二中断控制器210接收到时,从在存储器122中的寄存器中读取上下文信息。
在这种情况下,计算装置106可以被构造为:通过微处理器根据该上下文信息来执行用于识别在计算机网络中的网络传输中的攻击模式的分析。
图3描述了用于攻击识别的方法的示例性流程。
在步骤302中,在端口120上接收以太网数据包200。紧接着,实施步骤304。
在步骤304中,确定以太网数据包200的包构造。紧接着,实施步骤306。
在步骤306中,检查是否存在该包构造与额定构造的偏差。例如检查是否存在关于该包构造方面的差错。
如果存在与额定构造的偏差,则实施步骤308。如果不存在偏差,则实施步骤310。
在步骤308中,使计数器增加。可选地,当计数器超过预先给定的值时,将以太网数据包200发送给计算装置106。紧接着,实施步骤310。
在步骤310中,确定以太网数据包200的校验和。紧接着,实施步骤312。
在步骤312中,检查是否存在该校验和与额定校验和的偏差。例如检查是否存在关于该校验和方面的差错。
如果存在与额定校验和的偏差,则实施步骤314。如果不存在偏差,则实施步骤316。
在步骤314中,使计数器增加。可选地,当计数器超过预先给定的值时,将以太网数据包200发送给计算装置106。紧接着,实施步骤316。
在步骤316中,确定以太网数据包200的实际硬件地址。紧接着,实施步骤318。
在步骤318中,检查该实际硬件地址是否已知、尤其是是否与来自存储器122中的硬件地址一致。例如检查是否存在已知的媒体访问控制地址。
如果存在与尤其是每个从该存储器中已知的硬件地址的偏差,则实施步骤320。如果不存在这样的偏差,尤其是如果该实际硬件地址已知,则实施步骤322。
在步骤320中,使计数器增加。可选地,当计数器超过预先给定的值时,将以太网数据包200发送给计算装置106。紧接着,实施步骤322。
在步骤322中,确定实际值,该实际值表征虚拟局域网。紧接着,实施步骤324。
在步骤324中,检查该实际值是否对应于表征如下虚拟局域网的额定值,以太网数据包200允许在借助于该实际硬件地址来确定的端口120上被发送到该虚拟局域网中。尤其是检查与来自存储器122中的额定值的一致性。
如果实际值与额定值之间存在偏差,则实施步骤326。如果不存在这样的偏差,则实施步骤328。
在步骤326中,使计数器增加。可选地,当计数器超过预先给定的值时,将以太网数据包200发送给计算装置106。紧接着,实施步骤328。
在步骤328中,可选地确定另一实际值,用于利用所描述的其它硬件过滤器之一来进行分析。
例如,在输入端或输出端上针对经标记的虚拟局域网查明有未经标记的虚拟局域网以太网数据包200,或者针对未经标记的虚拟局域网查明有经标记的虚拟局域网以太网数据包200。
例如,在输入端或输出端上查明在动态主机配置协议端口67和/或端口68的情况下用于因特网协议版本4和/或用于因特网协议版本6的动态主机配置协议包。例如,在输入端或输出端上查明用于因特网协议版本4和/或用于因特网协议版本6的用户数据报协议广播消息。例如,在输入端或输出端上查明精确时间协议消息,其中该精确时间协议消息的内容、尤其是时间戳、序列号、校正字段至少部分地被存储在用于上下文信息的寄存器中。
紧接着,实施步骤330。
在步骤330中,检查是否存在该另一实际值与针对该另一实际值的另一额定值的偏差。如果存在偏差,则实施步骤332。否则实施步骤334。
在步骤332中,使计数器增加。可选地,当计数器超过预先给定的值时,将以太网数据包200发送给计算装置106。紧接着,实施步骤334。
在步骤334中,将针对以太网数据包200所配置的实际值与为此所配置的被存储在三元内容可寻址存储器中的掩码进行比较。紧接着,实施步骤336。
在步骤336中,根据该比较的结果来查明是否存在与该掩码的偏差。如果存在偏差,则实施步骤338。如果不存在偏差,则实施步骤340。
在步骤338中,使计数器增加。可选地,当计数器超过预先给定的值时,将以太网数据包200发送给计算装置106。紧接着,实施步骤340。
在步骤340中,在输出端上发送以太网数据包200。
在计算装置106中,与之并行地运行如下方法,在该方法中,在该方法开始之后在步骤350中检查是否应实施攻击识别。在本例中,该攻击识别与对以太网数据包200的接收无关地或者与对其它数据包的接收无关地由计算装置106来实施。该实施例如是周期性的。该实施可以在接收到以太网数据包200或其它数据包之后或者在发生事件、例如由于中断而引起的事件之后开始。
如果应实施该攻击识别,则实施步骤352。否则,实施步骤350。
在步骤352中,确定来自存储器122中的计数器的值。紧接着,实施步骤354。
在步骤354中,根据计数器的值来实施无状态入侵检测(Stateless IntrusionDetection)。当计数器超过预先给定的值时,例如根据来自以太网数据包200中的信息来实施无状态入侵检测。紧接着,实施步骤356。
在步骤356中,将无状态入侵检测的分析结果例如作为上下文信息存储在存储器122中。紧接着,实施步骤358。
在步骤358中,根据关于例如来自存储器122中的所存储的分析结果的信息来实施有状态入侵检测(Stateful Intrusion Detection)。紧接着,实施步骤360。
在步骤360中,检查以太网数据包200是否已被发送。如果以太网数据包200已被发送,则该方法结束。否则,实施步骤350。
可以规定:在该攻击识别中,附加地也分析以太网数据包200的内容,尤其是当基于计数器的值而识别出为此的必要性时,附加地也分析以太网数据包200的内容,尤其是因为该值达到、超过或低于阈值,所以附加地也分析以太网数据包200的内容。
Claims (16)
1.一种用于在计算机网络中的攻击识别的方法,其特征在于,在硬件切换装置(102)的输入端上接收(302)数据包(200),其中在比较中通过硬件过滤器(104)将来自所述数据包(200)的字段中的实际值与针对来自所述字段中的值的额定值进行比较(306、312、328、324、330、336),其中所述字段包括数据链路层数据或者网络层数据,其中提供(308、314、320、326、332、338)根据所述比较的结果所确定的所述硬件切换装置(102)的计数器的值,而且其中计算装置(106)根据在所述硬件切换装置(102)中的所述计数器的值并且与来自所述数据包(200)中的信息无关地、尤其是在没有通过所述计算装置(106)来分析来自所述数据包(200)中的信息的情况下确定所述攻击识别的结果。
2.根据权利要求1所述的方法,其特征在于,当所述实际值与所述额定值之间存在偏差,尤其是所述偏差达到、超过或低于阈值时,使所述计数器的值增加。
3.根据上述权利要求中任一项所述的方法,其特征在于,所述计数器是在所述硬件切换装置的寄存器(122i)中的硬件计数器。
4.根据上述权利要求中任一项所述的方法,其特征在于,所述硬件过滤器(104)包括三元内容可寻址存储器(108),在所述三元内容可寻址存储器中存储有用于所述额定值的掩码,其中在所述比较中将所述实际值与被存储在所述三元内容可寻址存储器(108)中的掩码进行比较(334)。
5.根据上述权利要求中任一项所述的方法,其特征在于,所述额定值表征来自存储器(122)中的硬件地址、尤其是媒体访问控制地址,其中所述实际值根据来自在输入端或输出端上的数据包(200)的硬件地址字段中的数据、尤其是媒体访问控制地址来被确定(316)。
6.根据上述权利要求中任一项所述的方法,其特征在于,所述额定值表征虚拟局域网,其中所述额定值从存储器(122)中被确定(322),所述实际值根据如下数据来被确定(322),所述数据表征在输入端或输出端上的数据包(200)对于虚拟局域网的从属性。
7.根据上述权利要求中任一项所述的方法,其特征在于,结果是,要么当所述硬件过滤器(104)在输入端或输出端上针对经标记的虚拟局域网查明(328)有未经标记的虚拟局域网数据包(200)时,要么当所述硬件过滤器(104)在所述输入端或输出端上针对未经标记的虚拟局域网查明(328)有经标记的虚拟局域网数据包(200)时,识别(330)出存在偏差。
8.根据上述权利要求中任一项所述的方法,其特征在于,结果是,当所述硬件过滤器(104)在输入端或输出端上查明(304、310)有数据包(200)具有未知的以太网类型、具有错误的校验和或者错误的包构造时,识别(304、312)出存在偏差。
9.根据上述权利要求中任一项所述的方法,其特征在于,结果是,
当动态主机配置协议过滤器在输入端或输出端上查明(328)在动态主机配置协议端口67和/或端口68的情况下用于因特网协议版本4和/或用于因特网协议版本6的动态主机配置协议包,
用户数据报协议过滤器在所述输入端或输出端上查明(328)用于因特网协议版本4和/或用于因特网协议版本6的用户数据报协议广播消息,
精确时间协议过滤器在所述输入端或输出端上查明(328)精确时间协议消息时,其中所述精确时间协议消息的内容、尤其是时间戳、序列号、校正字段至少部分地被存储在用于上下文信息的寄存器中,
识别(330)出存在偏差。
10.根据上述权利要求中任一项所述的方法,其特征在于,附加地也分析以太网数据包(200)的内容,尤其是当基于所述计数器的值而识别出为此的必要性时附加地也分析所述以太网数据包(200)的内容。
11.一种用于在计算机网络中的攻击识别的设备(100),其特征在于,所述设备(100)被构造为片上系统,所述片上系统包括:硬件切换装置(102);硬件过滤器(104);和计算装置(106)、尤其是用于所述攻击识别的微处理器或微控制器,而且所述片上系统被构造为实施根据权利要求1至10中任一项所述的方法。
12.根据权利要求11所述的设备,其特征在于,所述设备包括计数装置,所述计数装置被构造为:当在所述实际值与所述额定值之间存在偏差或者所述偏差超过阈值时,使所述计数器的值增加。
13.根据权利要求11或12所述的设备,其特征在于,所述计数器是在所述设备(100)的寄存器(122i)中的硬件计数器。
14.根据权利要求11至13中任一项所述的设备(100),其特征在于,三元内容可寻址存储器(108)、地址转换单元(110)、虚拟局域网转换单元(112)、动态主机配置协议过滤器、用户数据报协议过滤器和/或精确时间协议过滤器作为硬件过滤器(104)被构造为:分析数据包(200)用于所述攻击识别并且确定结果从而确定所述计数器的值。
15.一种计算机程序,其特征在于,所述计算机程序包括计算机可读指令,在通过计算机来实施所述计算机可读指令的情况下,根据权利要求1至10中任一项所述的方法被实施。
16.一种计算机程序产品,其特征在于,所述计算机程序产品包括计算机可读存储介质,在所述计算机可读存储介质上存储有根据权利要求15所述的计算机程序。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE102019210230.1A DE102019210230A1 (de) | 2019-07-10 | 2019-07-10 | Vorrichtung und Verfahren für Angriffserkennung in einem Rechnernetzwerk |
| DE102019210230.1 | 2019-07-10 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112217784A true CN112217784A (zh) | 2021-01-12 |
Family
ID=74059147
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010656049.8A Pending CN112217784A (zh) | 2019-07-10 | 2020-07-09 | 用于在计算机网络中的攻击识别的设备和方法 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US11729188B2 (zh) |
| CN (1) | CN112217784A (zh) |
| DE (1) | DE102019210230A1 (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20220069973A1 (en) * | 2020-09-03 | 2022-03-03 | Marvell Asia Pte Ltd | Safety Extension for Precision Time Protocol (PTP) |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060137009A1 (en) * | 2004-12-22 | 2006-06-22 | V-Secure Technologies, Inc. | Stateful attack protection |
| DE102011082237A1 (de) * | 2011-09-07 | 2013-03-07 | Deutsche Telekom Ag | Netzwerkkommunikationsgerät zur Kommunikation über ein Kommunikationsnetzwerk |
| CN107005572A (zh) * | 2014-12-18 | 2017-08-01 | 西门子公司 | 用于无反作用地检测数据的方法和装置 |
| DE102016222740A1 (de) * | 2016-11-18 | 2018-05-24 | Continental Automotive Gmbh | Verfahren für ein Kommunikationsnetzwerk und elektronische Kontrolleinheit |
| CN108702326A (zh) * | 2016-01-05 | 2018-10-23 | 瑞典爱立信有限公司 | 检测软件定义网络(sdn)中的控制平面循环的机制 |
| CN108809923A (zh) * | 2017-04-28 | 2018-11-13 | 卡巴斯基实验室股份制公司 | 在检测DDoS攻击时的流量过滤的系统和方法 |
| US20190059055A1 (en) * | 2017-08-21 | 2019-02-21 | Redpine Signals, Inc. | Quick Decision Preamble Detector with Hierarchical Processing |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8204082B2 (en) * | 2000-06-23 | 2012-06-19 | Cloudshield Technologies, Inc. | Transparent provisioning of services over a network |
| US7644080B2 (en) * | 2006-09-19 | 2010-01-05 | Netlogic Microsystems, Inc. | Method and apparatus for managing multiple data flows in a content search system |
| US8448234B2 (en) * | 2007-02-15 | 2013-05-21 | Marvell Israel (M.I.S.L) Ltd. | Method and apparatus for deep packet inspection for network intrusion detection |
| US10701002B1 (en) * | 2016-12-07 | 2020-06-30 | Marvell International Ltd. | System and method for memory deallocation |
| US20200159173A1 (en) * | 2018-11-19 | 2020-05-21 | Johnson Controls Technology Company | Building system with semantic modeling based custom logic generation |
-
2019
- 2019-07-10 DE DE102019210230.1A patent/DE102019210230A1/de active Pending
-
2020
- 2020-07-07 US US16/922,329 patent/US11729188B2/en active Active
- 2020-07-09 CN CN202010656049.8A patent/CN112217784A/zh active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060137009A1 (en) * | 2004-12-22 | 2006-06-22 | V-Secure Technologies, Inc. | Stateful attack protection |
| DE102011082237A1 (de) * | 2011-09-07 | 2013-03-07 | Deutsche Telekom Ag | Netzwerkkommunikationsgerät zur Kommunikation über ein Kommunikationsnetzwerk |
| CN107005572A (zh) * | 2014-12-18 | 2017-08-01 | 西门子公司 | 用于无反作用地检测数据的方法和装置 |
| CN108702326A (zh) * | 2016-01-05 | 2018-10-23 | 瑞典爱立信有限公司 | 检测软件定义网络(sdn)中的控制平面循环的机制 |
| DE102016222740A1 (de) * | 2016-11-18 | 2018-05-24 | Continental Automotive Gmbh | Verfahren für ein Kommunikationsnetzwerk und elektronische Kontrolleinheit |
| CN108809923A (zh) * | 2017-04-28 | 2018-11-13 | 卡巴斯基实验室股份制公司 | 在检测DDoS攻击时的流量过滤的系统和方法 |
| US20190059055A1 (en) * | 2017-08-21 | 2019-02-21 | Redpine Signals, Inc. | Quick Decision Preamble Detector with Hierarchical Processing |
Also Published As
| Publication number | Publication date |
|---|---|
| US11729188B2 (en) | 2023-08-15 |
| DE102019210230A1 (de) | 2021-01-14 |
| US20210014248A1 (en) | 2021-01-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7870603B2 (en) | Method and apparatus for automatic filter generation and maintenance | |
| US9392004B2 (en) | Method and system for dynamic protocol decoding and analysis | |
| US7596809B2 (en) | System security approaches using multiple processing units | |
| US7401145B2 (en) | In-line mode network intrusion detect and prevent system and method thereof | |
| WO2006074018A2 (en) | Template access control lists | |
| CN108881328B (zh) | 数据包过滤方法、装置、网关设备及存储介质 | |
| WO2011134739A1 (en) | Method for searching for message sequences, protocol analysis engine and protocol analyzer | |
| US20140223564A1 (en) | System and method for pattern matching in a network security device | |
| US11838318B2 (en) | Data plane with connection validation circuits | |
| US11533388B2 (en) | Method and device for analyzing service-oriented communication | |
| US20070289014A1 (en) | Network security device and method for processing packet data using the same | |
| US11522892B2 (en) | Method and device for intrusion detection in a computer network | |
| CN112217784A (zh) | 用于在计算机网络中的攻击识别的设备和方法 | |
| CN112217782B (zh) | 用于在计算机网络中识别攻击的设备和方法 | |
| US20210014253A1 (en) | Device and method for intrusion detection in a communications network | |
| Wang et al. | Rule anomalies detecting and resolving for software defined networks | |
| US11700271B2 (en) | Device and method for anomaly detection in a communications network | |
| WO2017052589A1 (en) | Pre-processing of data packets with network switch application-specific integrated circuit | |
| US11546235B2 (en) | Action based on advertisement indicator in network packet | |
| US11765256B2 (en) | Method and device for analyzing service-oriented communication | |
| JP4391455B2 (ja) | DDoS攻撃に対する不正アクセス検知システム及びプログラム | |
| CN116015876B (zh) | 访问控制方法、装置、电子设备及存储介质 | |
| CN113965343A (zh) | 一种基于局域网的终端设备隔离方法及装置 | |
| CN115380510A (zh) | 用于监测机动车的控制器之间的数据流量的方法以及相应配备的机动车 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |