CN1685657A - 在分组网络的路由器中提供节点安全的方法和装置 - Google Patents

Abstract

本发明公开一种路由器(200)，监控(302)从发信方(102)经路由器发送或寻址到除路由器之外的目的设备(112，116)的数据分组，确定(304)数据分组是否可能对目的设备存在危害。如果确定数据分组可能对目的设备有害的话，路由器就中断(306)数据分组的传输，包括与第二路由器通信(307)以使第二路由器中断其后的数据分组传输；如果确定数据分组不会对目的设备有害的话，就发送(308)该数据分组。

Description

在分组网络的路由器中提供节点安全的方法和装置

技术领域

本发明一般涉及数据通信系统，更具体涉及用于在分组数据网络的路由器中提供节点安全的方法和装置。

背景技术

公众可访问的分组数据通信网络容易受到诸如黑客的掠夺元素(predatory elements)的侵扰和破坏。通过以破坏性的病毒或蠕虫瞄准少数几个关键的节点，就有可能摧垮整个网络。现有技术的路由器除了阅读报头信息和将每个数据分组转发到相关报头中指定的目标之外几乎没做什么。这样就没有对目的设备提供任何保护，这些目的设备包括可能受到这些数据分组所携带的用户数据危害的计算机或其他路由器。

因此，需要一种用于在分组网络的路由器中提供节点安全的方法和装置。优选地，该方法和装置能够在潜在有害数据进入网络之后、到达它们能够产生普遍危害的目标之前，迅速检测和消除这些潜在的有害数据分组。

附图说明

图1是根据本发明的示例分组数据通信网络的电连接框图。

图2是根据本发明的示例路由器的电连接框图。

图3是示出示例路由器根据本发明的操作的流程图。

具体实施方式

参看图1，根据本发明的示例分组数据通信网络的电连接方框图100包括通过网络发送数据分组的发信方102。发信方可以使用例如工作站、个人计算机或者便携式或无线多媒体设备来发送数据分组。网络可包括入口路由器104以及有线或无线局域网(LAN)106、中间路由器108、110、112、广域网(WAN)114和一个或多个服务器116的多种不同组合。数据分组的典型目标例如是服务器116。当发信方具有恶意并且想要危害所有或部分网络时，目标可能是服务器116或者一个或多个路由器104、108、110、112。

本发明的一个方面包括比现有技术更有效的网络路由器，用以在有害数据分组进入网络之后、多数网络可能受到感染之前尽可能最早地检测和截断有害数据分组，诸如病毒、蠕虫和特洛伊木马。另一相关方面为网络或网络内的组件提供了一种“治愈”方法。例如，当发信方102试图发送有害数据分组到网络中时，入口路由器104是阻挡有害数据分组的优选的选择。在一个实施例中，一个或多个下游路由器(例如路由器112)可被指定为“改善安全”的路由器，因为可以通过多个比上游路由器更复杂的检测机制来对其编程从而定位有害数据分组，然后它将与上游路由器合作来调整和控制操作以根除有害数据分组，从而促进上述的治愈效果。这将允许做出某些经济的折衷。在此后还将描述用于提供在根据本发明的网络路由器之间的合作以在接近进入点的时间或甚至更接近、就在此进入点时间上成功检测和截断有害数据分组的多种不同的技术。

参看图2，根据本发明的示例路由器200的电连接方框图包括多个输入/输出(I/O)端口(1-N)202，用于与网络中其他节点通信。具体地说，I/O端口用于接受从发信方经路由器200发送并寻址到除路由器200之外的目的设备的数据分组，并用于将数据分组发送到目的设备。I/O端口202连接到处理器208，处理器208用于根据本发明处理数据分组。

处理器208优选地包括存储器210，存储器210包含用于对处理器208编程的软件和操作参数。存储器210包括路由控制程序和数据库212，用于通过公知的技术控制数据分组的路由。应该认识到，对于附加速度，路由器200还可包括专用硬件，用于发送大批数据分组。存储器210还包括节点安全程序214，用于根据本发明对处理器208编程。节点安全程序214对处理器208编程以在所选数据分组进入路由器200时对其进行监控，并很快地(on the fly)或者接近实时地确定数据分组是否可能对目的设备存在危害(或者，可替换地，是否对路由器200本身存在危害)。优选地，监控开始于仔细检查数据分组的控制报头的性质是否有恶意。

根据路由器200所控制的通信业务以及近来遇到过的有害数据分组的历史，可以以几种不同的方法完成监控。这些方法包括：对数据分组子集的随机采样；监控具有预定源地址的数据分组；监控具有预定目的地址的数据分组；或监控具有预定源和目的地址的组合的数据分组。应该认识到，要被监控的数据分组的选取可以考虑源或目标所使用的端口号。有利地，数据分组的随机采样减少了路由器上的处理负担，采样速率可以根据通信业务和攻击的频率而做出调整。有利地，特定地址监控允许集中于已知的可疑发信方和/或瞄准的目标。

节点安全程序214进一步对处理器208编程，如果确定数据分组可能对目的设备有害，就中断数据分组的传输，其中包括与第二路由器通信以使第二路由器中断其后数据分组的传输；如果确定数据分组不会对目的设备有害，就发送该数据分组。一旦做出中断数据分组传输的决定，也可对处理器208编程以中断或丢弃其后来自相同发信方的数据分组。

节点安全程序214可使用几种技术来检测有害数据分组。一种已知的技术是检查可指出已知病毒、蠕虫、特洛伊木马等的潜在存在性的签名或数据模式。而且，因为在只检验单一的数据分组之后通常不可能做出决定性的结论，所以当处理器208确定第一数据分组可疑，例如该数据分组类似有害数据，但还需要对其他数据分组进行确认时，处理器208优选地决定监控具有第一数据分组的源地址和目的地址中至少一个的其后数据分组，直到可以做出决定性结论为止。此外，处理器208优选地检验数据分组的报头，如公知的那样，寻找恶意和/或可执行代码的存在性，尤其是在这样的恶意和/或代码发自单一的源时。此外，可以通过已知的方法来分析数据分组中的用户数据，以确定其是否包括可执行代码。还可以执行诊断软件来检查网络中可疑的或采样抽取的硬件或软件是否受到了篡改。

存储器210还包括上/下游合作程序216，用于对处理器208编程，以同其他路由器合作来阻止有害数据分组。例如，处理器可以使用已知的技术发送寻址到有害数据发信方的命令，请求参与到命令的控制中的路由器的地址信息。例子有IP Ping和IP Traceroute命令。从响应中，处理器208可以知道发信方曾经使用作为网络入口点的至少一个上游路由器的地址。优选地，处理器208随后与这至少一个上游路由器合作来截断发信方的传输。这可以通过各种不同的技术来完成。例如，处理器208可以发送命令到该上游路由器以截断其后来自于发信方的数据分组。可替换地，处理器208可以转发代理程序(例如代理程序220)到上游路由器，其中该代理程序用于通过已知技术截取其后来自发信方的数据分组。处理器的另一选择是使上游路由器更新其性能(例如，更新病毒数据库)以检测可能有害的数据分组。应该认识到，为了使上游路由器阻挡来自发信方的传输，上游路由器不需要是请求路由器的相邻路由器。也就是说，上游路由器可以通过其他路由器、LAN和WAN远程地连接到请求路由器。

此外，存储器210包括学习程序218，用于对处理器208编程以通过已知技术从掺杂的报头和可疑的用户数据中学习到新的有害签名以便筛选。优选地，随后将新的有害签名传送到网络中的上游合作路由器。有利地，这可以产生动态、迭代、检测/警告/拦截(contain)过程，用于截断有害数据分组，从而提供网络治愈效果。因此，应该理解，根据本发明的方法和装置有利地提供了一种简单有效地在网络的入口点或接近其入口点处截断有害数据分组的方法。

参看图3，流程图300示出了示例路由器200根据本发明的操作。流程开始于路由器200监控302所选的数据分组，如上所述。路由器200随后使用如上所提出的技术中的至少一种来确定304该数据分组是否有害。如果有害，路由器200就中断306该数据分组的传输，并且与至少第二路由器通信307以使该第二路由器中断其后的数据分组，如上所述。如果反过来，在步骤304，路由器200确定该数据分组是无害的，路由器200就发送308该数据分组到所要送往的目标。

通过前面的公开，应该明白，本发明公开了一种用于在分组网络的路由器中提供节点安全的方法和装置。有利地，本方法和装置能够在可能有害的数据分组进入网络之后、到达其能够产生广泛危害的目标之前很快检测并消除可能有害的数据分组。在允许有害数据进入的情况下，这提供了对于网络的治愈效果。

根据上述教导，本发明可能有着许多的修改和变化。因此，应该理解，在所附权利要求的范围内，本发明也可以通过不同于如上所述的方法而实现。

权利要求书

(按照条约第19条的修改)

1.一种用于在分组网络的路由器中提供节点安全的方法，包括如下步骤：

监控从发信方经所述路由器发送并寻址到除所述路由器之外的目的设备的数据分组；

在所述路由器中确定所述数据分组是否可能对所述目的设备有害；

如果确定所述数据分组可能对所述目的设备有害的话，就中断所述数据分组的传输，包括与第二路由器通信以使所述第二路由器中断其后的数据分组的传输的步骤；和

如果确定所述数据分组不可能对所述目的设备有害的话，就发送所述数据分组。

2.如权利要求1所述的方法，其中，所述中断步骤包括丢弃来自所述发信方的稍后数据分组的步骤。

3.如权利要求1所述的方法，其中，所述中断步骤包括发送命令到上游路由器以截断其后来自所述发信方的数据分组的步骤。

4.如权利要求1所述的方法，其中，所述中断步骤包括转发代理程序到上游路由器的步骤，所述代理程序用于截断其后来自所述发信方的数据分组。

5.如权利要求1所述的方法，其中，所述确定步骤包括检查蠕虫、病毒和特洛伊木马中至少一种的潜在存在的步骤。

6.如权利要求1所述的方法，其中，所述监控步骤包括以下步骤中的至少一个：

对数据分组的子集进行随机采样；

监控具有预定源地址的数据分组；

监控具有预定目的地址的数据分组；和

监控具有预定源和目的地址组合的数据分组。

7.如权利要求1所述的方法，其中，所述确定步骤包括如下步骤：

确定第一数据分组是可疑的；和

响应于确定所述第一数据分组是可疑的，决定监控具有分别匹配所述第一数据分组的源地址和目的地址的源地址和目的地址中至少一个的其后的数据分组。

8.如权利要求1所述的方法，其中，所述中断步骤包括与上游路由器合作来使所述上游路由器更新其性能以检测可能的有害数据分组的步骤。

9.如权利要求1所述的方法，其中，所述中断步骤包括与和所述路由器不相邻的上游路由器合作来使所述上游路由器阻挡来自所述发信方的传输的步骤。

10.如权利要求9所述的方法，其中，所述中断步骤还包括通过发送命令到所述发信方来识别所述上游路由器的步骤，所述命令请求来自参与路由器的地址信息。

11.一种用于在分组网络中提供节点安全的路由器，包括：

多个I/O端口，用于接受从发信方经所述路由器发送并寻址到除所述路由器之外的目的设备的数据分组，并且用于发送所述数据分组到所述目的设备；和

处理器，其连接到所述多个I/O端口，用于处理所述数据分组；

其中，对所述处理器编程，以：

监控所述数据分组；

确定所述数据分组是否可能对所述目的设备有害；

如果确定所述数据分组可能对所述目的设备有害的话，就中断所述数据分组的传输，包括与第二路由器通信以使所述第二路由器中断其后数据分组的传输；和

如果确定所述数据分组不可能对所述目的设备有害的话，就发送所述数据分组。

Claims (20)

1.一种用于在分组网络的路由器中提供节点安全的方法，包括如下步骤：

监控从发信方经所述路由器发送并寻址到除所述路由器之外的目的设备的数据分组；

在所述路由器中确定所述数据分组是否可能对所述目的设备有害；

如果确定所述数据分组可能对所述目的设备有害的话，就中断所述数据分组的传输，包括与第二路由器通信以使所述第二路由器中断其后的数据分组的传输的步骤；和

如果确定所述数据分组不可能对所述目的设备有害的话，就发送所述数据分组。

2.如权利要求1所述的方法，其中，所述中断步骤包括丢弃来自所述发信方的稍后数据分组的步骤。

3.如权利要求1所述的方法，其中，所述中断步骤包括发送命令到上游路由器以截断其后来自所述发信方的数据分组的步骤。

4.如权利要求1所述的方法，其中，所述中断步骤包括转发代理程序到上游路由器的步骤，所述代理程序用于截断其后来自所述发信方的数据分组。

5.如权利要求1所述的方法，其中，所述确定步骤包括检查蠕虫、病毒和特洛伊木马中至少一种的潜在存在的步骤。

6.如权利要求1所述的方法，其中，所述监控步骤包括以下步骤中的至少一个：

对数据分组的子集进行随机采样；

监控具有预定源地址的数据分组；

监控具有预定目的地址的数据分组；和

监控具有预定源和目的地址组合的数据分组。

7.如权利要求1所述的方法，其中，所述确定步骤包括如下步骤：

确定第一数据分组是可疑的；和

响应于确定所述第一数据分组是可疑的，决定监控具有分别匹配所述第一数据分组的源地址和目的地址的源地址和目的地址中至少一个的其后的数据分组。

8.如权利要求1所述的方法，其中，所述中断步骤包括与上游路由器合作来使所述上游路由器更新其性能以检测可能的有害数据分组的步骤。

9.如权利要求1所述的方法，其中，所述中断步骤包括与和所述路由器不相邻的上游路由器合作来使所述上游路由器阻挡来自所述发信方的传输的步骤。

10.如权利要求9所述的方法，其中，所述中断步骤还包括通过发送命令到所述发信方来识别所述上游路由器的步骤，所述命令请求来自参与路由器的地址信息。

11.一种用于在分组网络中提供节点安全的路由器，包括：

多个I/O端口，用于接受从发信方经所述路由器发送并寻址到除所述路由器之外的目的设备的数据分组，并且用于发送所述数据分组到所述目的设备；和

处理器，其连接到所述多个I/O端口，用于处理所述数据分组；其中，对所述处理器编程，以：

监控所述数据分组；

确定所述数据分组是否可能对所述目的设备有害；

如果确定所述数据分组可能对所述目的设备有害的话，就中断所述数据分组的传输，包括与第二路由器通信以使所述第二路由器中断其后数据分组的传输；和

如果确定所述数据分组不可能对所述目的设备有害的话，就发送所述数据分组。

12.如权利要求11所述的路由器，其中，响应于中断所述数据分组，进一步对所述处理器编程，丢弃来自所述发信方的稍后数据分组。

13.如权利要求11所述的路由器，其中，响应于中断所述数据分组，进一步对所述处理器编程，发送命令到上游路由器以截断其后来自所述发信方的数据分组。

14.如权利要求11所述的路由器，其中，响应于中断所述数据分组，进一步对所述处理器编程，转发代理程序到上游路由器，所述代理程序用于截断其后来自所述发信方的数据分组。

15.如权利要求11所述的路由器，其中，进一步对所述处理器编程，以检查蠕虫、病毒和特洛伊木马中至少一种的潜在存在。

16.如权利要求11所述的路由器，其中，进一步对所述处理器编程，以进行以下操作中的至少一个：

对数据分组的子集进行随机采样；

监控具有预定源地址的数据分组；

监控具有预定目的地址的数据分组；和

监控具有预定源和目的地址组合的数据分组。

17.如权利要求11所述的方法，其中，进一步对所述处理器编程，如果确定第一数据分组是可疑的，就决定监控具有分别匹配所述第一数据分组的源地址和目的地址的源地址和目的地址中至少一个的其后的数据分组。

18.如权利要求11所述的路由器，其中，进一步对所述处理器编程，以与上游路由器合作来使所述上游路由器更新其性能从而检测可能的有害数据分组。

19.如权利要求11所述的路由器，其中，进一步对所述处理器编程，以与和所述路由器不相邻的上游路由器合作来使所述上游路由器阻挡来自所述发信方的传输。

20.如权利要求19所述的路由器，其中，进一步对所述处理器编程，以通过发送命令到所述发信方来识别所述上游路由器，所述命令请求来自参与路由器的地址信息。

Images