TW200828919A - Intelligent network interface controller - Google Patents

Description

200828919 二 九、發明說明： ： 【發明所屬之技術領域】 本發明涉及計算系統和網路之M的通信，更具體地說，涉 及一種智慧型網路介面控制器。 【先前技術】 聯網電腦系統通常包括在網路中連接一起的多個用戶端 電月f ’通過網路可交換大量資料。在中心位置連接到網路中的 • —組電腦可稱爲局域網（LAN)，-組位置分佈很廣的電腦或 局域網可在廣域網（侧）中連接到一起，例如英特網。一 將資料分組打包爲資料包’並通過網路交換給其他客戶 機’可μ現客戶機之間的相互通信。資料包通常包括有效载荷 和報頭，有賴荷中包括將要通過網路傳遞的資料，報項用於 描述該資料包發送目的地的位置#訊。在網路中每—個客戶機 岭配有-個唯—的地址，該地址用於唯—標識轉中的客戶 • 機和其他設備。該唯一位址可以是，例如英特網協定㈣位 址或媒體訪問控制（MAC)位址。當資料包通過網路從源客 戶機傳遞到目的客戶機時’該資料包可通過網路中的許多節點 j例如.集線器、路由器、交換機和網路服務器），這些網路 節點接收資料包並將該資料包轉發到目的地或通往目❸也沿 途的其他節點。 h 儘管聯網電腦系統由於實現了多個客戶機之間的互連而 得到許多益處’然而也可能會使網路中的互連客戶機受到攻擊 5 200828919 和才貝告。例如，在理相的細山 M H猶中’資料可以安全地;^6 二：Γ機。然而未授權的客戶可能會在網路節：: 資:路，並複製和/或感染通過網：： ’、、蛉致機岔貧料失竊或在網路 ^、 外，源客戶機上的惡意資料（例如，病毒 另 過網路從該客戶機細—_個_戶易地通 資料可能會對目的客戶機造成損害。）各戶機，而钱惡意 取，1了ΓΓ過網路傳遞的機密資料遭到非授權訪問和竊 2戶機在傳遞資料前可先對轉進行加密， 枓後由目的客戶機進行解密。然而在這種方案 ^貝 貢料内容是盲目無知的，因此當傳播的謝包含貝4對 ‘…处貝枓(例如病毒)時，容易受到攻擊。 旦 =如峰娜咖4)— 旦^的雜上進行，或者在網路節點或目的地已經對網路流 為松之後進行，然、而在從源客戶機到目的客戶機的路途中解 _網路流量將極大地破壞在源端和目的端使用加 行通信的目的。 " ,爲了防範惡意資料的傳播，可以對通過網路傳播的資料進 描，查看是否爲病毒、蠕蟲或其他惡意資料。可在將資料 從客戶機傳遞到網路之前或在剛剛從網路接收到資料時，通過 駐存在客續上的反病毒或反帛、錄n財對其餘掃描。遺 200828919 腦系統上之瓣—動作常常是破 =種反“和反騎細啤，使其無法運行，導致惡意軟 體和貧料無法被客戶機檢測到且可能傳播給與網路相連的1 =戶機。也可通触封網料財的反病毒和反惡意軟體 =、對鹏帽遞的轉進行掃插，_這種財的操作通常 至^訪問清晰、未加密的資料，因此獅式-般無法檢測

到加密的惡意麵。轉，連接相目客戶機時，要求 網路對其傳細嶋咖，嫩蝴料料，將加 重網路的運行負擔。 【發明内容】 敬在S面’網路周邊設備包括安全資料庫和安全服務引 擎。安全資解祕射續事先確定的惡意倾麵應的樣 本。Jic全服務弓丨擎用於將即將通過網路傳遞的資料與存儲在安 全貧料庫巾的樣本進行比較，安全㈣庫還能触 1 新樣本。 又 具體實施時可包括如下的一個或多個特徵。例如，可對該 網路周邊設舰行設置’使魏過加骑敬網财接收更新 的樣本。該安全服務引擎可包括以下中的至少一種··入侵檢測 服務入^防範服務或反病毒掃描服務。該網路肖邊設備可進 一步包括基於硬體的辨認標識(池_咖011她如），用以識別 在該網路巾_關邊設備。_關邊設可包括主機匯 流排，用於從系統的中央處理單元接收即將通過所述網路傳遞 200828919 ::在：全服務擎對資料進行的掃描獨立於從系統中央處 央::」文=指令:可對安全資料庫進行設置，使系統的中 、处早7〇热去對其進行訪問。樣本可包括惡意軟體代碼的特 徵碼(哪㈣或正則運算式扣响啊―。 』在另方面’計算系統包括巾央處理單元（CPU)、CPU 可访問的隨機闕記憶_於存儲可由CPU執行的指外用 2中央處理器和網路之間路由資料的網路周邊設備。網路周 盘叹備包齡全資料庫和安全服務引擎。安全資料庫用於存儲 二事先確定的惡意軟體蝴應的樣本。安全服務引擎用於將所 相路和系統之間所交換的資料與存儲在安全資料庫中的樣 本進行比較’該安全雜庫關從網路接收更新樣本。 —具體實施時可包括以下一個或多個特徵。該計算系統可進 <步包括基於硬體的辨認標識’用以識別該網路中的網路周邊 :備。_算系統可進—步包括主機匯流排，用於在網路周邊 備H先的中央處理單元之間交換資料。該網路周邊設備可 V Ο括力σ以I擎’用於對與所述樣本比較後的資料進行力口 *違文全服務引擎可將資料與樣本進行比較，且獨立於從中 央處理單元接收到的指令。可對安全資料庫進行設置，使系統 的中央處理單元無法對其進行糊。樣本可包括惡意軟體代碼 的特徵碼或常規表達。該網路周邊設備可進一步包括隔離引 200828919 二 擎’用於當資料與樣本比較結果出現匹配時，將計算系統與網 ； 路隔離開。網路周邊設備還可以依據從網路周邊設備傳遞到網 路管理站的基於硬體的辨認標識來建立通往網路管理站的安 全通道，該安全通道可用于將更新樣本從網路傳遞到安全資料 庫。忒網路周邊設備可進一步包括加密引擎，用於在與樣本比 較後對資料進行加密。 ^ 在另一方面，一種方法可包括從計算系統的中央處理單元 向網路周邊設備傳遞資料，以便從所述網路周邊設備向網路傳 遞所述資料；並將所述資料與事先確定的惡意軟體相對應的樣 本進行比較’其中所述樣本存儲在所述網路周邊設備的安全資 料庫中，所述中央處理單元不能訪問所述安全資料庫。 根據本發明的一方面，提供一種網路周邊設備，包括…. 安全資料庫’用於存儲與事先確定的惡意軟體相對备 _ 的樣本； 安全服務引擎，用於將即將通過網路傳遞的資料與存 儲在安全資料庫中的樣本進行比較； 其中，所述安全資料庫能夠從網路接收更新樣本。 、在本發明所述的網路周邊設備中，所述網路周邊設備是通 過加密通道從網路接收更新樣本。 *在本發明所述的網路周邊設備+，所述安全服務引擎包括 入侵檢測服務、人侵随服務或反病毒掃描服務中的至少一 200828919

在本發明所述的網路周邊設備中，還包括基於硬體的辨認二 標識，用於在所述網路中識麵述網關邊設備。： _在本發明所述的網路周邊設備中，包括主機®流排，用於 7系、摘巾央處理單元接收即將通過所述網路傳遞的資料。 在本發明所述的網路周邊設備中，還包括加密引擎，用於 對與所述樣本比較後的資料進行加密。 、，在本發明所述的網路周邊設備中，所述安全服務弓i擎對資 · 料的掃為獨立於從系統巾央處理單元接收的指令。 在本發明所述的網路周邊設備中，所述系統中央處理單元 不能訪問安全資料庫。 、在本發明所述的網路周邊設備中，所述樣本包括惡意軟體 代碼的特徵碼或正則運算式。 根據本發明的一個方面，提供一種計算系統，包括·· 中央處理單元（CPU) ; · 隨機訪問記憶體，其能夠由所述CPU訪問，用於存 儲所述CPU能夠執行的指令； 網路周邊設備，用於在所述中央處理單元和網路之間 路由資料，其中所述網路周邊設備包括: 安全資料庫，用於存儲與事先確定的惡意軟體相對應 的樣本； 20 200828919 安王服^丨革’帛於觸述鱗和彡狀間所交換的 魏與辆1链錢料料柄行比較； ，、中，所述安全資料庫能夠從網路接收更新樣本。 在本兔明所述的計算系統中，所述網路設備還包括基於硬 體的辨認標識，在所述鹏中識酬_關邊設備。 在本發明所述的計算系統中，還包括主機匯流排 ，用於在 _ 所述稱周邊设備和所述系統的中央處理單元之間&換資料。 在本lx明所述的叶异系統中，所述網路周邊設備還包括加 役引擎，用於對與所述樣本比較後的資料進行加密。 在本發明所述的計算系統中，所述安全服務引擎對資料的 掃描獨立於從系統中央處理單元接收的指令。 在本發明所述的計算系統中，所述系統中央處理單元不能 訪問安全資料庫。 '，- • 在本發明所述的計算系統中，所述樣本包括惡意軟體代碼 的特徵碼或正則運算式。 在本發明所述的計算系統中，所述網路周邊設備還包括隔 離引擎’用於當比較結果顯示資料與樣本匹配時將所述計算系 統與網路隔離。 在本發明所述的計算系統中，根據從網路周邊設備向網路 官理站傳遞的基於硬體的辨認標識，所述網路周邊設備可建立 到網路管理站的安全通道，其中所述安全通道用於從網路向安 11 200828919 全資料庫路由更新資訊。 種在計算系統和網路之間傳 根據本發明的一方面，提供一 遞資料的方法，包括·· 攸4贫系統的令央處理單元向網路周邊設備傳遞資 料以便攸所述網路周邊設備向網路傳遞所述資料； —將所述麵與事先確定的惡意軟體減應的樣本進 行比車乂其中所述樣本存儲在所述網路周邊設備的安全資

料庫中，所述中央處理單元不能訪問所述安全資料庫。、 【實施方式】 圖1是本發明第一實施例的與網路1〇進行通信的計管系 統=的結構方框圖。該計算系統⑽可以是，例如個人電: 伺I個人數位助手（pDA)、移動電話、智慧型電話或者是 可以通過鹏與其他計#設備相連的計算設備。計算系統100 可包括處理器（例如中央處理單元⑽））⑽、固定存儲設

備（例如硬碟、非易失（例如快閃記憶體）記舰或可移動的 «•己錄媒體（例如’ CD)) 1G3、和隨機訪問記憶體（RAM) 1〇4， 它們可連接在H通過匯流排⑽（例如，週邊設備互聯 (PCI)匯流排或其他_電腦擴展隨排）交歸訊。記憶 體設備103可以是非易失記憶體設備，其能夠存儲電腦可讀指 令（例如軟體）’該指令可傳遞到RAM 104，由CPU 102執行。 例如’存儲設備103可存儲作業系統和/或一個或多個可被計 算系統100的CPU 1〇2執行的應用程式。例如網路1〇可以是 12 200828919 局域網、廣域網、英特網或企業内部互聯網。網路w可連接 到系統刚’例如’通過物理媒介（例如銅線）傳播納虎、 通過规(例如玻顧維)傳播絲號、通過無線通信通道_ 電磁信號、_過不同通信通道的組合傳播信號。 /計算系、统100還包括網路周邊設備（励）11〇，其將計算 系統100連接到網路(例如分組交換網路）1〇。該_刖包 括協定處理模組以使系統i⑽能夠與電腦網路1G交換資料。 財現支援這些應用程式所需的資料包的傳遞，採用傳輪控制 協定(TCP)或其他相目技術對資料包進行適#的袼式化處理。 對於連接到計算系統⑽的遠驗備，這種格式域理有助於 其通過網路10接收資料包。例如，英特網協定⑽/⑻ 適用於電腦網路’例如英翻，對需要傳遞的資料包進行格式 化。每些協定通常在計算系、统100内由稱爲網路協定機（例^ 主機TCP棧)的軟體模組處理，並在傳遞資料前添加到資料 中。 ' NID 110可通過主機匯流排適配器116、主機匯流排 和橋接器114連接到CPU 102和記憶體104。NID n〇可是一 個獨立部件’例如一塊可插人計算系統謂内部擴充槽中的 卡’或者NID 110可以集成在計算系統1〇〇的其他部件中。例 如NID 11〇可以集成到計算系統的主板上。 NID 110可包括一個或多個處理器12〇和一個或多個記憶 13 200828919 =心其爾_⑽翻輯路则的一部 刀处理120可在_内執行資料處理操 作涉及到準嶋糊__包、彳概中接收= :及保證網㈣和系統刚的安全，更詳細的將在下面介紹。 们或夕個義體5又備122可包括唯讀記憶體（職）和隨機 §己憶體_’用於存儲可由-個或多個處理器_行、引 用或用於其他用處的指令。

D 110可包括有關媒體訪問控制⑽〇層電路1以和 物理層介面⑽）電路126，#從___包到網 路1 〇或t _接收來自網路的龍包時，通過這些電路。廳 層m是位於0SI網路模型資料連結層的邏輯層，用於控制 對NID 110的PHY層電路126的訪問。

，連制網路的客戶機要進行通信，這些客戶機必須能互相 識別□此在Λ知例中，連接到網路中的每一個腳 都具有-個唯-的相細如4δ時數位），树稱爲_ 地址’用於棚路1G巾以及連接_路巾的其側戶端中n 地域_ 110。因此’在該實施辦，當系統刚將資1 傳遞到連接在網路中的另—目的客戶機時，該資訊可被路如 目的客戶機的MAC地址，確保資訊正破送達。NID 11〇的似 位址存儲在丽中，_可位於例如_ 11〇中的記憶體122 上’可以分配唯一的MAC地址給NID (例如麵標準體系，如 14 200828919 腿），這樣兩個不同的_決不會擁有相同的MAC地址。在 另-實施财（有時㈣混雜模式通信），動對每個傳遞的資 科包都接收、讀取和處理，無論這些資料包的目的地址是否是 T。在非混雜模式中，當該_〇收到資料包後，將檢 …、中的MAC位址以驗證該資料包是否是分配給該_邯

^果不是，職棄該資料包。當在混雜模式中操作時，即 j貧料包的位址與該㈣的MAC位址不一致，励也不會丢 菜貝枓包’因此使得膽讀取從網路巾接收到的所有資料包。 酿層126定義NID 11G的電氣和物理性能（例如引腳佈 置1屋和·性能）。在操作中，ρΗγ層電路丨沈建立和終 止系統100和網路10之間的連接。MAC層電路124綠定和控 考寸定^•刻允才連接在網路10中的哪些客戶機與励110 的PHY層126通信。MAC層電路124還將資料包轉換成網路幢， 卿110包括加松/解密模組128，用於加密即將從系統 00傳遞到網路10的資料流程量，或解密系統從網路接收到 ^資料流程量。因此，該_1〇可通過主機匯流排H2接收 :自CPU 102的非加㈣料，然後在將該f料從系統向網路傳 送之前在加密/解密模組128中對該資料進行加密。當系統⑽ 7目的客戶機時’可從網路1G接收加密資料，並在加密/ 解山k組中進行解密，然後將清晰(cl咖)資料發送給CPU 102。通過協商採用相同的加密演算法在系統1〇〇和其他客戶 200828919 進行f膽讀丨 :端機之間建立安全連接(例如安全套接層(ssl)、= 次1p文全（IPSEC)連接）。浐择沾— 建接 如公給六 〇 接）取的岔碼演算法可以基於，例 、料、對稱密碼和單向哈希(hash)函數。一旦 垃 被建立，資料可被打包並 王連接 換。 序、、、先100和其他客戶機之間進行交 在—實施例中，NID 11〇可 次 服務元件132，可一起用於對、隹纟王貝科庫⑽和安全 查看是否是病毒、姑姐絲或出去的資料包進行掃插， 和__路1_統體」還可用於檢測 可存儲在記憶體122中，㈣仏^认知。*全資料庫⑽ ^ 134 , 2 J ^ 134 ^ 體200可包括目的在於％ 、寸徵。如圖2所示的惡意軟 軟#㈣ 、入和破壞_系統⑽或網路10的 =腳本、可執行代瑪和資料(毒J〇: 的是在系統㈣_1G^°伽繼_的目 从丄 U千弓丨發一個或多個事件，妒；潘丄么 、、充或網路帶來有害操作或安全 心而對系 現系統⑽或網路1()的、抑^。而且，惡意軟體可發 f斗、" 相’從而干擾系統或網路安全策略， 局系統或網路用戶帶來不 女王朿略 後’包含惡意撕的代频或比特;==被發現 惡意軟體200的指紋。 7可作爲識別 16 200828919 1 如®1所示，安全服務元件132可包括反病毒掃描⑽) • 引擎14°、入侵防範服務（IPS)引擎⑷和入侵檢測服務⑽) 引擎144，其可對系統1〇〇和網路1〇之間交換的或將要交換 的貧料流程量進行各種安全服務。各種引擎14〇、和 可基於存儲在記憶體設備122中代碼由處理器12〇執行，並需 要依賴存儲在資料庫130中的資訊來執行這些服務。 而 # 在一例子中’ AVS引擎140可利用存儲在安全資料庫130 中樣本134的目錄來檢測、隔離祕除已知的惡意軟體，例如 病毒、螺蟲、特洛依木馬、間課程核廣告程式。者娜14〇 檢測到正在通過励110的資料流程量（例如，構成向網路傳 域触來自網路的部分文件的資料流程量）時，該娜將該 資料流程量與已知病毒(經AVS的作者確定）的樣本軸行2 較。如果資料流程量中的媽片與資料庫13〇中的樣本134匹醢， • 找在將文件通過主機匯流排⑽傳送到系統⑽的咖 102之前殺除病毒以修復資料_量構成的文件。作爲另一選 擇·40可調用隔離引擎150，在將文件傳送到系統cpu二 之别將該文件加上表示已感麵標簽。紐，基於隔離標簽， cpu 102可立即將該文件發送到存儲設備⑽或_綱的隔 離區’以使裝载在簡1G4上的其他程式無法訪f f咖無法執行受絲文件。從而可終止或防止病 讀播給連接在網路中的其他客戶機。可選擇地，當燃引擎 17 200828919 140確認通過NID 110的資料流程量中的碼片與存儲在安全資 ： 料庫130中的樣本134相匹配時，AVS引擎可簡單地刪除包 〜 含這種碼片的文件，使該文件不能傳送至系統1〇〇的CPU。 在安全資料庫130中的樣本134可包括用於識別已知或疑 似惡意軟體的特徵碼(s i gnat ures )136和正則運算式(regu丄ar expressions)^。特徵碼134可包括帶有惡意軟體或惡意軟 體族特徵的區別位元組樣本(byte-patterns)，且當惡意軟體 通過NID 110時能被AVS引擎140識別。當資料流程量中的這 ❿ 種位元組樣本通過NID 110被AVS引擎14〇識別出時，avs 引擎能夠採取行動以保護系統100和網路。有些病毒採用的技 術可以阻撓精艇配檢測方式（即通過查找與病毒特徵碼精癌 匹配的位元組樣本來檢測病毒）。例如，病毒可包括與存儲在 資料庫130巾的特徵碼136相似但不相同的位元組樣本，或病 毒可自動修改部分代碼因而不總是有相同的特徵碼。在這種情 況下’可採用存儲在資料庫130中的正則運算式138來寬鬆地⑩ 描述病毒，使該病毒仍然能夠區別於其他網路流量。因此，與 唯-地識別特定位元組樣本這種方式不同，正則運算式138能 夠描述-組表徵惡意軟體的相似或相關的位元組樣本，該惡意 軟體可由AVS 140檢測到，但是該組位元組樣本中的所有成分 不必全部列在資料庫13〇中。 正則運算式可叫㈣綠言職㈤福language 18 200828919 theory)來表達’可包括分於描述字串集合和對字串集合 進行操作的常量和操作符。因此，例如該集合包括三個字串 Schaefer、Sdmfer 和 Schafer，可用樣本“触（雖e ?) fe=描述，其中操作符“丨”表示該操作符之前和之後出現 的二凡、/’和V’均爲有效；操作符“？，，表示出現在該操 作付之_字元可以存在也可省略；嶋號标常量 對常量進行操作。 ’、乍付

則運算式138通常比特徵碼136描述了更多的、、既 在資料集合’但是正則運算式比特徵碼可導致更多的誤 細如）匹配。所以，相比使用精確的特徵碼來說， =使用正則運算式138定義較爲寬鬆的惡意軟體能夠識別 〇的惡意軟體，特概當已知物增存在許多硕的變里 或_，或當該惡意軟體能夠自動改變自身（例如 徵 碼匹配仍可逃脫檢測)的情況下。 儀 另外除了可_將倾触量與射雜資料料的特徵 綠正則運算式進行比較來檢測惡意軟體外，還可通過 ::方法檢測惡意軟體。例如，安全服们… !!4、:辦 142和_擎__^^ ’藤監視和分__，檢_ 不存在惡讀_異常縣。在_iDi : 測到異常意味著計算系統1。”有惡意軟體存在。 19 200828919 實施例中’可以對資料流程量通過NID 110的流量率進行監 ’ i 測’如果在一足狗長的時間段内出現反常的高資料流程量率，: 則表不系統100正在遭受拒絕月艮務(DOS)攻擊。在另一實施例 中’連接在網路中的單個或一組主機之間的交互可用於監視異 常。因此’當某一個通常安靜的主機突然增加了很大的活動量 (例如每秒連接到幾百台其他主機），則表示該通常安靜的主機 正在向其他主機傳播蠕蟲。 可在資料庫130中存儲網路流量的樣本，用於與即時網路 ❿ 流里進行比較’以確定即時網路流量是否異常，從而檢測到惡 =體。存儲的樣本可分別表示正常流量、非異常流量或異常 流量。通過在—段時間内對通過_ 110的流量進行監測可以 量樣本，將其預定鱗異常，可採用不同的演算法來確 疋流置是否爲異常。例如’這些演算法將考慮到在正常運行過 釭中對通過NID 110的貧料流程量大小産生影響的因素，諸如 系統100何時啓動、系統100上有多少應用程式在運行、有多· 少用戶在使用系統10 〇、—天中的時段、系统1 〇 〇連接有多少 其他外部系統。通過励110的非異常流量樣本可依賴於這些 因素和其他因素，因此由這些因素引發的變異不會觸發有關惡 意軟體的誤確認報警（false pQsitive al_)。 在-些實施例中，可對安全資料庫13〇進行設定，使得系 統⑽的CHJ H12不能對其進行訪問。也就是說，主機介面 20 200828919 Z可t止將通過主顧流排112接收的指令、位址和/或資 健二:：:的安全資料庫中。因此’如果當系統綱的存 或嶋…毒^^體時， 安全雜130來破壞或 祕η9 、攸而折衷了（COfflPr⑽ise)安全服務

J旦擎的功能。另外’對__路接收的資料 1置進行掃描的操作可以獨立於系統⑽的mi搬的指 =由安全服務套件132中㈣擎執行，這樣可 護跳、存儲在嶋4和/或存儲設備⑽和 應用程式不受感染且可正常翻。 锋糸、赫 100、曹Ί Γ丨手144進仃設定，使其能夠檢測崎算系統 U的非期望或非授權的修改（例如，拒絕服務攻擊 demal of service咐咖）、可以對系統安全產生 腳本）。__㈣通獅则麵程量= 將二與已知的惡意資顧程量樣本或翻資料進行比較。^ 惡思貧料流程《本和麵龍㈣徵碼136和首— =可她安靖_3Q巾，絲_场== =因此’ UID11G中的一個或多個資料包中的資料與安 全貧料庫130中的樣本134匹配時，⑽引擎144可確_亞 Ά體2GG存在或惡意軟體試圖訪問計算系統。 可對1PS引擎142進行設定’使其能夠控制從網路1〇到 21 200828919 計算系統100的訪問，以防止系統接收到的來自網路的非授權 : I月王的代瑪對糸統的開發利用。IPS引擎142可與ids引擎 _ 144通信，因此當IDS引擎檢測到入侵企圖時，丨⑺引擎可收 . 到警報。-旦收到已檢測出可能出現入侵事件的報警通知（例 如檢測出通過NID 11〇的資料流程量與安全資料庫13〇中的樣 本134相匹配），IPS引擎144可阻止網路1〇和計算系統⑽ 之間的相互通信。例如，IPS引擎可拒絕來自與惡意軟體（由 肪引擎144檢測到的）資料包報頭中的IP或MAC位址相同或 · 相關的IP位址或mac位址的其餘資料包。 、另方S ’如果惡意軟體通過主機匯流排112從cpu 102 衣载到NID 11〇，並欲傳遞到網路，那麼在傳遞之前娜引擎 或IDS引擎144會檢測到惡意軟體。—旦檢測到胃m IPS引擎142就能夠立即發送資訊給網路1〇，向網路報警系統 已雙到感染或遭遇人侵企圖，並需要採取取(贿啦⑽ 行動。接著’ IPS引擎可阻止系統1〇〇進一步向外傳播資料包鲁 的任何嘗試’從而防止系統給網路帶來危害。在採取糾正行動 排除或翻了惡意軟體之後，勵11()可重新重紛⑽）， 重新允許從系統Η)◦向網路傳遞資料。因此_ ιι〇的耶引 擎142可通過將計算系統1〇〇與網路隔離，來防止惡意軟體從 系統10G傳播到網路1G和其他網路用戶端機。 勵110此通過各種通信通道與網路通信，例如安全 22 200828919 通這⑽、加麵細㈣域通糊。私全通道⑽ 可包括在計异糸統100和網路10的一個或 路10的特殊節點中的-個之外的任何其他實體的訪γ罔 如’安全通道160可以錄請和網路1Q的節社的舰 官理站（_ H)5之咖，射霞嶋請 信以支援運行在動110上的安全服務132。 安全通道⑽可以通過系統1〇〇和聰15〇之間的密输交 換來建立。系統的根密餘(咖key)被存儲在例如臓脱 中，臓152中包含一個用於唯—地識別難m的唯一辨認 標識。在励的製造過程巾該辨認標識爾細（b隨d㈣ 在™的半導體材料中，這種基於硬體的密輸比基於軟體的密. 錄安全得多。 -系統則和麵S 150之間建立起安全連接跡_ 11〇 可直接從NMS處接收對其安全資料庫13〇的更新。因此，益需 經過系統的CPU 1〇2或RAM 104，就可以得到安全資料庫中用 於識別惡意軟體的特徵碼136和正則運算式138的更新資訊。 _ 可從廳15〇處接收更新演算法，用以確定網路流 量是否異常。 除了系統100和NMS 150之間的安全通道之外，在系統和 連接到網路ίο的其他客戶機之間還可建立加密通道162。例 23 200828919 如，加密通道162可以是如上描述的SSL或IPSEC連接。非加 、:. 在通道164可a又疋爲用於在計算系統1⑻和網路之間路由 : 清晰(clear)、非加密的資訊資料包。 因此，如圖3所示，系統100和網路10聯網系統的一部 分300由網路上的一個或多個NMS15〇控制，但是通常系統的 CPU 102不能訪問這部分3〇〇。例如，安全資料庫132中的特 徵碼和正則運算式可直接蝴路1()的部件對其進行更新，更 新貧訊不必經過系統CPU。因此，對於可通過與⑽ι〇2接觸 φ 而感染系統的惡意軟體攻擊，安全資料庫具有报強免疫力。另 外通過將掃描資料流程量檢測惡意軟體的任務分配到網路用 戶端機例如系統100，網路節點不再會因爲必須掃描大量的資 料而成爲資料傳輪的瓶頸。這樣獲得-種可升級的解決方案 而且’ _110可使用一個或多個安全服務引擎140、142和 144對通過主機匯流排112接收到的來自系統⑽_⑽⑽ 的清晰、未加密的資料進行掃描，然後在向網路H)傳遞這些 φ 資料之前對資料進行加密。因此，在系統⑽和其他網路用= 端機之間可建立起-條端對端加密通道，但可以使用對入侵和 破壞有很強免疫力的安全資料庫，在清晰的、未加密的資料上 對惡意軟體進行掃描。 圖4是防止網路入錢示範性處理流程侧的流程圖。在 網路用戶端機和網路節點之間建立安全連接（步驟侧），其 24 200828919 中該客戶機包括網路周邊賴。這種安全連接可在系統啓動時 或網路周ϋ設備建立與網路的連接時_鍵立。—旦建立起 安全連接’可類點触—個❹健新f訊並賴到安 全資料庫（步驟)中，以便對存儲在網路周邊設備中且客 戶機CPU無法訪問的安全資料庫進行更新。該更新資訊可包括 與已知或旋似惡意軟體的樣本相對應的一個或多個特徵碼和/ 或正則運算式。

以間佼叹术目糸統CPU的資料流程量（步驟 430 )，然後觀_資繼歸與存财安全轉庫中的至, -個樣本概，_周邊設備㈣料流程量進行触檢測以 否包含惡意軟體（步驟権）。如果檢測到惡意軟體（決策步 驟，〇)，_、統與網路隔離（步驟侧）；如果沒有檢咖 體’ T將該赠糾£量從纟祕翻魄。 $ 17¾¾的各種技術方案可以採用數位電路實施，或^ =電::體、固件、軟體及其組合來實施。也可通過電腦, 來貝施°這些電腦程式嵌人在資訊载體中（例如機哭〒 5買存餘設備或者傳播的信號），其可由資料處理裝置執行^ 麟控㈣料處戦運行，所述資料處理裝置是例如可^ 程處理器 '、電腦、或者_腦。電腦程式，如上所述的電月 ，11、彳铜Μ的編程語言編g，包括料或轉語 言，且可以以任何形式使用，包括例如獨立程式，或者模組 25 200828919 兀件、副程式或適於在計算環境中使用的其他單元。電腦程式 可被用於在-個電腦或者多個電腦上運行，所述多個電腦可以 位於同-魅或者分佈在多她點錢過猶觀互連。 方法步驟可以由-個或多個可編程處理器執行，該可雜 处理盗運彳了制財，對輸人龍進行操作並生出資料， 以執行其魏。方法步驟也可以由專用邏輯電路來執行事置 =用邏輯電路實施，例如職現場顺 AWC (專用積體電路）。 哭K執行«程式的處理器包括，例如通用和專用购 二，以及任何種類的數位電腦的任何—個或多個處理器。通 二處 =可從唯讀記憶體或隨機存取記憶體或兩者t接收名 =、、鴣腦部件包括用於執行指令的至少一個處理器似 =儲指令和資料的一個或多個存儲設備。通常，她 個衫_财爾_大錢存物f，或者可制 接收接=、個或多_於存儲資料的大容量存儲設備，以從中 =:或向其發射資料，所述大容量存儲設備是例如，磁 載體包括者終適於包含__令柯料的資訊 开>式的非易失記憶體’包括例如EPROM、EEPR0M := 己憶體之類的半導體存館裝置、磁月例如内置硬碟或可 #/、磁光碟、以及㈣⑽和卿-職光碟。處理器和 可叫翻韻電路來實施，或者結合解用邏輯電路 26 200828919 中ο Μ本發明還可以通過電腦系統來實施，這種電腦系統包括後 彳如健資料伺服器、或包括中間部件例如作爲細司 益、或包括前端部件例如具有圖形用戶介面或Web 哭的 用戶端電腦(通賴介面或觀翻戶可岐動參與實施本發 明），或包括上述後端部件、中間部件或前端部制任意組合。

所逑部件可通魏讀·信的⑽形式麵介(例如通信網 路)互聯。通信網路的例子包括局域網（LAN)和廣域網（觀）， 例如英特網。 、雖然在此已經描述了所述實施例的某些特徵，但本技術領 域的人員也可以做出很多修改、替換、更改和等同。因此，可 、解權利要求用於覆盍洛入本發明的實施例的實質範圍内 的所有這些修改和更改。 【圖式簡單說明】 圖1是本發明第一實施例的與網路進行通信的計算系統 的結構方框圖； 圖2是惡意軟體的方框圖； 圖3是本發明第二實施例的與網路進行通信的計算系統 的結構方框圖； 圖4是用於處理網路入侵防範的流程圖。 【主要元件符號說明】 網路10 計算系統1〇〇 27 200828919 中央處理單元（CPU) 102 固定存儲設備103 隨機訪問記憶體（RAM) 104 網路管理站（NMS) 105 匯流排106 網路周邊設備（NID) 110 主機匯流排112 橋接器114 主機匯流排適配器116 處理器120 記憶體設備122 媒體訪問控制（MAC)層電路124 物理層介面（PHY)電路126 加密/解密模組128 安全資料庫130 安全服務元件132 樣本134 用於識別已知或疑似惡意軟體的特徵碼(signatures) 136 正則運算式(regular expressions) 138 反病毒掃描（AVS)引擎140 入侵防範服務（IPS)引擎142 入侵檢測服務（IDS)引擎144 ROM 152 加密通道162 惡意軟體200 210 隔離引擎150 安全通道160 非加密通道164 惡意軟體中的代碼塊或比特串 聯網系統的一部分3〇〇 28

Claims (1)

1. 200828919 十、申請專利範圍： 1、 一種網路周邊設備，其特徵在於，包括： 安全貧料庫，用於存儲與事先確定的惡意軟體相對應的 樣本； ^ 女王服矛力引擎，用於將即將通過網路傳遞的資料與存儲 在安全資料庫中的樣本進行比較； 其中，所述安全資料庫能夠從網路接收更新樣本。 2、 如申請專利範圍第1項所述的網路周邊設備，其巾，所述網 路周邊設備是通過域通道從網路接蚊新樣本。 3、 如申請專利範圍第丨項所述的網路周邊設備，其巾，所述安 全服務引擎包括人侵檢測服務、人侵防範服務或反病毒掃描 服務中的至少一種。 4、 如申請專利範圍第i項所述的網路周邊設備，其中，還包括 基於硬體的觸標識，祕在職麟巾識獅述網路周邊 設備。 5、 如申請專利範圍第丨項所述的網路周邊設備，其中，包括主 4[机排肖於從系統的中央處理單元接收即將通過所述網 路傳遞的資料。 6、 如:請專利範圍第！項所述的網路周邊設備，其中，還包括 加密引擎，祕對與所職本比概的資料進行加密。 7、 一種計算系統，其特徵在於，包括： 中央處理單元（CPlJ); 29 200828919 隨機訪問記蠢’其關由_咖綱，用於存儲所 述CPU能夠執行的指令； 網路周邊設備，用於在所述中央處理單元和網路之間路 由資料，其中所述網路周邊設備包括： 安全資料庫，用於存儲與事先確定的惡意軟體相對應的 樣本； 安全服務引擎，用於將所述網路和系統之間所交換的資 料與存儲在安全資料庫中的樣本進行比較；、 其中’所述安全資料庫能夠從網路接蚊新樣本。 8、 如申請專利範圍第7項所述的計算系統，其中，所述網路設 備還包括基於硬體的辨認標識，用於在所述網路中識別所述 網路周邊設備。 9、 如申請專利範圍第7項所述的計算系統，其中，還包括主機 匯流排，用於在所述網路周邊設備和所述系統的中央處理單 元之間交換資料。 10、 -種在計算祕和網路之間傳着料的綠，其特徵在於， 包括Z 從計算系統的巾央處理單元向鹏周邊賴傳遞資料， 以便從所述網路周邊設備向網路傳遞所述資料； 將所述資料與事先確定的惡意軟體相對應的樣本進行比 較，其中所述樣本存儲在所述網路周邊設備的安全資料庫 30 200828919 中，所述中央處理單元不能訪問所述安全資料庫。

   31