TWI387281B - 通信架構中的中間網路節點及其執行的方法 - Google Patents

通信架構中的中間網路節點及其執行的方法 Download PDF

Info

Publication number
TWI387281B
TWI387281B TW096115272A TW96115272A TWI387281B TW I387281 B TWI387281 B TW I387281B TW 096115272 A TW096115272 A TW 096115272A TW 96115272 A TW96115272 A TW 96115272A TW I387281 B TWI387281 B TW I387281B
Authority
TW
Taiwan
Prior art keywords
virus
data packet
template
packet
terminal device
Prior art date
Application number
TW096115272A
Other languages
English (en)
Other versions
TW200812318A (en
Inventor
James D Bennett
Original Assignee
Broadcom Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from US11/429,477 external-priority patent/US7948977B2/en
Priority claimed from US11/429,478 external-priority patent/US7596137B2/en
Priority claimed from US11/474,033 external-priority patent/US20070258468A1/en
Application filed by Broadcom Corp filed Critical Broadcom Corp
Publication of TW200812318A publication Critical patent/TW200812318A/zh
Application granted granted Critical
Publication of TWI387281B publication Critical patent/TWI387281B/zh

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2115Third party

Description

通信架構中的中間網路節點及其執行的方法
本發明涉及通信架構領域,更具體地說,涉及分組交換通信網路中交換節點的操作。
今天的互聯網可以在終端設備之間傳送音頻、視頻以及資料包,這些資料包可能來自加密的文件,或者是加密的資料包。互聯網架構通常包括網路節點如路由器、交換機、分組交換機、接入點、互聯網服務提供商網路(ISPN)、互聯網通信路徑和終端設備。終端設備可包括個人或攜帶型電腦、伺服器、機頂盒、手持資料/通信設備和例如其他用戶端設備。互聯網中通過節點進行的互聯網通信中充斥著不受限制的資料包通信流,其中可能包含破壞性的、未經授權的、不想要的和不適當的內容。破壞性的內容包括包含有病毒代碼的資料包,破壞終端設備的功能。
然而,終端設備通常無法清除這些資料包或者資料包流。為達到清除的目的,終端設備用戶通常會安裝病毒檢測、隔離和/或刪除套裝軟體(下文簡稱為“病毒處理包”)。由於當前的病毒處理包往往無法處理不斷增多的病毒,用戶往往需要購買多個病毒處理包。儘管偶爾是免費的,但多數病毒處理包都很貴,尤其是想到需要使用多個這種病毒處理包的時候。
為消除日益嚴重的病毒威脅,病毒處理過程變得越來越複雜。在執行病毒處理服務時,這些套裝軟體往往會減緩或中斷其他用戶和終端設備操作。在這種減緩和中斷過程中,還伴隨有對正在使用的病毒處理包進行更新和續展的過程。
儘管用戶做出了努力,但終端設備有時還是會感染病毒。這常常是由於出現了新病毒或者出現了當前正在使用的病毒處理包無法處理的病毒。此外,用戶常常忘記更新或者續展已經安裝的病毒處理包,這也會導致感染新病毒。病毒的傳播經常會很成功,儘管多數用戶堅持使用並不斷更新病毒處理包。病毒處理包往往在被感染一段時間後執行操作。因此,忘記升級或續展,或者單純的定期檢測都可能使病毒獲得對終端設備的控制權。一旦獲得了控制權,這些病毒會立即嘗試感染局域網內的其他終端設備,繼而傳播到互聯網上。
病毒可通過多種方式進入終端設備。它們經常隱藏在移動媒介中,隨著移動媒介在終端設備之間交換,一個接著一個的感染終端設備。其他方式還包括通過通信鏈路進入。例如,許多病毒通過互聯網找到入口。終端設備在使用網頁瀏覽器或電子郵件應用程式時,交換獲得並執行病毒代碼。一些電子郵件服務提供商會將包含這些病毒的電子郵件附件過濾掉,以此嘗試阻止病毒的傳播。某些網頁瀏覽器也內置有一些服務,可暫停當前的操作,並警告正在進行的下載或可執行代碼是感染病毒的傳播手段,並允許用戶終止這些操作。
比較本發明後續將要結合附圖介紹的系統,現有技術的其他局限性和弊端對於本領域的普通技術人員來說是顯而易見的。
本發明介紹了一種裝置和操作方法,下面的附圖說明、具體實施方式和權利要求將對其進行詳細的描述。
根據本發明,提供了一種數位通信架構,用於從第一終端設備向第二終端設備傳送多個資料包,其中每個資料包包含載荷內容,所述數位通信架構包括通信路徑、多個服務功能塊、多個預先定義的病毒模板以及處理電路。該通信路徑將這些資料包從第一終端設備發往第二終端設備。在沿至少部分該通信路徑傳送上述多個資料包時,所述處理電路將這些資料包中的每個資料包與上述預先定義的病毒模板進行無重復地比較,並且至少部分基於比較結果,選擇上述多個服務功能塊中的一個。
根據本發明,提供了一種互聯網架構中的分組交換機(PSE),其位於通信路徑上,支援將資料包從源終端設備發往目的端終端設備。該PSE包括多台交換機、包含第一線路卡的多個線路卡以及通信連接到上述多台交換機的主處理電路。該第一線路卡通信連接到上述多台交換機,包括第一網路介面和第一輔助處理電路。該第一線路卡判斷是否需要對該資料包進行載荷分析。此外,若需要進行載荷分析,則該第一線路卡將該資料包的載荷內容與多個預先定義的病毒模板進行比較,根據該資料包載荷內容的比較結果,第一線路卡將該資料包和補充資訊發往上述主處理電路。該主處理電路將該資料包與預先定義的補充病毒模板進行比較,並根據比較結果,將該資料包發往多個服務模組中的第一服務模組進行處理。
本發明還提出一種互聯網架構中的網路節點,其接收從源終端設備發往目的端終端設備的第一組多個資料包,所述網路節點包括用於接收所述多個資料包的介面電路、連接到該介面電路的記憶體和處理電路。該處理電路檢查是否需要進行載荷分析,若是,則將所述第一組多個資料包與至少一個病毒模板進行比較。隨後,根據比較結果,該處理電路對該資料包交執行服務模組的處理。
根據本發明的一個方面,提供了一種通信架構,用於提供分組交換通信路徑以便交換資料包,所述通信架構包括:源終端設備;具有目的地址的目的終端設備;骨幹網,包括用於組建至少一條從所述源設備到所述目的設備的通信路徑的多台交換設備;所述源設備將包含有所述目的地址和病毒特徵的資料包發往所述多台交換設備中的第一交換設備;所述多台交換設備中的所述第一交換設備在收到所述資料包後,檢測所述病毒特徵,並觸發病毒服務功能;所述多台交換設備中的所述第一交換設備中止將所述資料包發往由所述目的地址所指的所述目的設備。
在本發明所述的通信架構中,所述多台交換設備中的所述第一交換設備通過將所述資料包與多個病毒模板進行比較來檢測所述病毒特徵。
在本發明所述的通信架構中,所述病毒服務功能是從多個病毒服務模組中選出的,其中每個病毒服務模組對應多個病毒模板中的至少一個。
在本發明所述的通信架構中,所述多個病毒模板中的第一病毒模板與資料包載荷進行比較。
在本發明所述的通信架構中,所述多個病毒模板中的第一病毒模板與補充資料包資訊進行比較。
在本發明所述的通信架構中,所述病毒服務功能包括發送與所述檢測有關的消息。
在本發明所述的通信架構中,所述消息包括對用戶的挑戰機制。
在本發明所述的通信架構中,所述多台交換設備中的所述第一交換設備在進行所述比較之前先執行解密操作。
在本發明所述的通信架構中,還包括通信連接到所述多台交換設備中的所述第一交換設備的伺服器,所述病毒服務功能至少部分在所述伺服器上執行。
在本發明所述的通信架構中,所述多台交換設備儘量降低對病毒的重復檢測。
在本發明所述的通信架構中,所述病毒服務功能包括通過修改所述資料包的內容來使所述病毒失效。
在本發明所述的通信架構中,所述病毒特徵的檢測證實所述資料包的至少一部分中存在病毒。
在本發明所述的通信架構中,所述病毒特徵的檢測顯示所述資料包的至少一部分中可能存在病毒。
根據本發明的一個方面,提供了一種應用在通信架構中的中間網路節點電路,用於提供分組交換通信路徑,以便在第一終端設備和第二終端設備之間交換資料包,其中所述第二終端設備具有網路位址,所述中間網路節點電路包括:第一介面電路,用於接收所述第一終端設備發起的第一資料包,所述第一資料包包括有所述第二終端設備的網路位址和病毒特徵;第二介面電路,與所述第二終端設備的網路位址相關聯;交換電路,在所述第一接電路和所述第二介面電路之間選擇性的提供通信路徑;處理電路,比較至少一個模板與所述資料包以檢測所述病毒特徵;所述處理電路在檢測到所述病毒特徵後觸發病毒服務功能。
在本發明所述的中間網路節點電路中,所述病毒服務功能包括發送與所述檢測有關的消息。
在本發明所述的中間網路節點電路中,所述消息包括對用戶的挑戰方式(challenge mechanism)。
在本發明所述的中間網路節點電路中,所述處理電路在進行所述比較之前先執行解密操作。
在本發明所述的中間網路節點電路中,所述處理電路通過執行本地存儲的程式碼來觸發所述病毒服務功能。
在本發明所述的中間網路節點電路中,所述處理電路通過外部系統來觸發至少一部分所述病毒服務功能。
在本發明所述的中間網路節點電路中,所述病毒服務功能包括修改所述資料包的內容。
在本發明所述的中間網路節點電路中,檢測到所述病毒特徵說明所述資料包的至少一部分中存在病毒。
在本發明所述的中間網路節點電路中,檢測到所述病毒特徵顯示所述資料包的至少一部分中可能存在病毒。
在本發明所述的中間網路節點電路中,所述中間網路節點電路位於接入點設備中。
在本發明所述的中間網路節點電路中,所述中間網路節點電路位於互聯網骨幹節點中。
根據本發明的一個方面,提供了一種由分組交換通信路徑上支援源終端設備的中間網路節點執行的方法,包括:接收由所述源終端設備發起的第一資料包;將所述第一資料包與多個病毒模板進行比較,其中每個病毒模板與多個病毒服務功能中的至少一個相關聯;當所述第一資料包與任一病毒模板匹配失敗後發送所述第一資料包;接收由所述源終端設備發起的具有病毒特徵的第二資料包;將所述第二資料包與所述多個病毒模板進行比較;當所述第二資料包與至少一個病毒模板匹配成功時,觸發所述多個病毒服務功能中所選擇的一個。
在本發明所述的方法中,還包括定期更新所述多個病毒模板。
在本發明所述的方法中,還包括發送與匹配成功有關的消息。
在本發明所述的方法中,所述消息包括人為的挑戰。
在本發明所述的方法中,所述多種病毒服務功能中所選病毒功能的至少一部分位於遠端。
以下將參考附圖對本發明的實施例進行詳細說明,通過這些說明,本發明的特徵和優勢將變得更加明顯。
圖1a是本發明病毒處理架構一實施例的結構示意圖,其中由交換節點來檢測並觸發對包含病毒代碼的資料包的處理。在該病毒處理架構中,多個終端設備如伺服器101、電話機103和電腦105由分組路由架構中的設備提供保護,防止受到病毒感染。
當終端設備嘗試交換資料包時,互聯網109中的多個中間分組路徑節點107接收來自源端的資料包並轉發給目的端。在收到資料包後,中間分組路徑節點109攔截這些資料包檢查其中是否包含病毒。攔截檢查過程包括將資料包中的欄位和/或資料包中的載荷與多個提供商的病毒模板和相關邏輯111進行比較。由病毒服務模組管理器113來執行這種比較。若檢測到病毒或疑似病毒(下文中若資料包中包含“病毒特徵”,則認為是病毒或疑似病毒),病毒服務模組管理器113分別將該資料包發往至少一個內部和外部的病毒服務模組115和117。例如,病毒特徵可能包括一個或多個載荷位元組序列,若資料包中存在這種序列,則說明資料包載荷中存在某種病毒的至少一部分。病毒特徵還可能包括與不斷嘗試擴散病毒的已知終端設備的位址相匹配的源位址。同樣,病毒特徵還可能包括至少表明可能存在病毒的檔案名文本序列或其他載荷或補充資料包欄位。
病毒服務模組115和117進行進一步的處理,以確認存在病毒。無論是否執行這種進一步的操作,病毒服務模組115和117都會針對相關聯的病毒施加特定的操作。例如,病毒服務模組115或117可向交換通信中的一方或者雙方終端設備發送警告資訊,但仍然傳送該資料包。或者,也可丟棄該資料包,並發出也可不發出警告。除了丟棄資料包,病毒服務模組115和117還可修改資料包以使該病毒失效,並且不影響或影響通信交換的整個過程。服務模組的特定操作由病毒軟體發展商提供,其目的是發出警告、限制或阻止病毒的傳播。
儘管可能只用到僅僅一個提供商本地存儲的服務模組和相關聯的模板和邏輯,但病毒處理架構支援使用多個提供商針對特定病毒或病毒家族設定的多個服務模組。這些服務模組可存儲在中間分組路徑節點107或外部伺服器和伺服器群119上,也就是病毒服務模組115和117。內部病毒服務模組115以及模板和相關聯的邏輯111可從存儲在外部伺服器和群集119上剛剛發佈的病毒庫進行自動或手動的更新。例如,由一個提供商最新發佈的病毒庫可存儲在病毒模板和邏輯121中,並且可以複製到多個提供商模板和邏輯111中。病毒服務模組115也可進行類似地更新或添加操作。
為避免其他中間分組路徑節點121重復進行病毒處理,每個中間分組路徑節點121會在已經檢查過的資料包中添加一個標記。或者,多個中間分組路徑節點121還可共同選出路徑中的一個節點121來執行分析操作。
當路徑中載入防病毒保護後,各個終端設備可以無需運行防病毒保護軟體,除非為防止可移動媒介帶來病毒而安裝。由於終端設備及其用戶不負責更新,圖中所示的防病毒架構需要保持為最新的,但這很容易實現。
圖1b是圖1a中病毒處理架構實施例的結構示意圖,其中詳細描述了中間分組路徑節點107(圖1a)。具體來說,兩台終端設備,源設備121和目的設備123通過互聯網架構交換一系列資料包。源設備121使用資料段、目的設備123的互聯網地址以及其他資訊構建資料包。源設備121隨後將該資料包發往互聯網架構中,並指向目的設備123。互聯網架構提供路由路徑,以供該資料包從源設備121發往目的設備123。在該路由路徑中,將對該資料包應用如圖1a中描述的病毒處理。若在對該資料包的分析過程中顯示存在病毒或疑似病毒,則將中止傳送該資料包,發出終端設備警告,並可以修改資料包的內容,和/或調用服務功能針對特定潛在病毒定義的其他功能。
終端設備之間的路由路徑包括個人接入點125和127、服務提供商接入點129和132、其他的服務提供商設備133和135,以及多個骨幹節點如骨幹交換-路由器137和139。節點125到139包括前文提到的“中間路徑節點”。該中間路徑節點還可包括將資料包從源設備121發往目的設備123途中涉及的任何設備。通常,如圖所示,這些設備包括互聯網109骨幹網中的路由器和交換機,還可包括例如但不限於個人接入點設備、服務提供商設備(包括接入點設備、路由器、交換機、閘道、計算設備等)和骨幹網設備(路由器、網橋和交換機)。
如圖所示,每個中間分組節點125、129、133、137、139、135、131和121具有對應的病毒資料包處理功能塊141a-h。每個病毒資料包處理功能塊141a-h包括攔截資料包內容以檢查是否存在病毒,並支援對檢測到病毒的本地或源端處理。儘管從源設備121到目的設備123的路徑中每個中間節點都可以對進行病毒資料包處理,但可採用多種配置來避免重復檢查。
例如,在其中一種配置中,執行病毒資料包處理的第一中間節點在該資料包中補充一個欄位,用於標示已經進行過攔截檢查。該欄位中的實際內容為所使用的病毒模板的版本。路徑中使用相同或較舊版本病毒模板的其他節點不會調用病毒處理過程。然而,檢查出欄位中病毒版本為較舊版本的後續中間節點使用比該舊版本更新的和修訂後(更新後)的病毒模板來進行攔截檢查。在應用了更新後的模板後,後續的中間節點使用剛剛應用的最新模板的版本替代欄位中的內容,然後繼續轉發該資料包。除此之外,還可使用多個欄位或更為複雜的欄位來避免重復檢查。
在另外一種配置中,路徑中的中間節點彼此之間或通過承擔病毒資料包處理任務的控制中心通過指定埠交換其他額外的資料包。例如,儘管骨幹網交換-路由器137也可以承擔這個任務,但可指配骨幹網交換-路由器139來攔截檢查來自骨幹網交換-路由器137的所有通信流。而由骨幹網交換-路由器139轉發給骨幹網交換-路由器137的所有流量的攔截檢查任務則由交換-路由器137來承擔。除此之外,還可在整個網路架構中協商、強制執行其他類似的配置。
與圖中所示不同,病毒資料包處理功能塊也可不必安裝在路徑中的每個中間節點上,只要保證在至少一個上安裝、啟動並執行對應的操作即可。例如,可以只在位於網路邊緣或者網路核心上的中間分組路徑節點安裝或啟用該功能塊。也可在網路中其他部分安裝此功能塊。
圖1c是圖1a中病毒處理架構另一實施例的結構示意圖,其中由使用代理功能的中間互聯網骨幹節點來對包含有加密或編碼後的病毒資訊的資料包進行檢測和處理。具體來說,在病毒處理架構151中,中間互聯網骨幹節點將發自源終端設備如伺服器159的資料包路由至目的終端設備如個人電腦(PC)161。如圖所示,圖中虛線部分展示了一條包含中間互聯網骨幹節點、用於路由資料包的可能通信路徑,即經由互聯網骨幹網163中的交換或路由節點153、155和157。儘管在本實施例中並不直接支援病毒處理,但接入點(AP)165和167以及互聯網服務提供商網路(ISPN)169和171中的其他設備提供到互聯網骨幹網163的連接。除了提供路由功能,中間節點153-157還與外部提供商伺服器群173合作,將資料包載荷與病毒模板進行比較,檢測包含病毒代碼的資料包並處理檢測到的資料包。這種合作可包括:a)在中間節點內將病毒模板與資料包進行比較,在匹配成功後將該資料包發往內部或外部進行處理;或b)將資料包的副本發往外部伺服器或伺服器群173與病毒模板進行比較,在匹配成功後由外部伺服器或伺服器群173將該資料包發往中間節點進行處理。
互聯網骨幹網163還包含更多其他的交換節點,如節點179至187,這些節點也對收到的資料包執行上述功能。如果中間骨幹節點153-157或179-187遇到加密或編碼後的資料包或包含在加密或編碼後的文件中的資料包,則將對這些資料包和/或文件的對應部分進行對應的解密和解碼,然後對其應用病毒檢測和處理功能。在一個實施例中,為進行這種解密和解碼操作,代理流控制191、192和193可針對處理中的中間節點進行階梯式加密和編碼操作。源終端設備使用中間骨幹節點的公共密鑰而不是目的終端設備的公共密鑰。在收到資料包後,中間骨幹節點使用其私有密鑰來解密該資料包。在解密後,將進行病毒攔截檢查和處理。若未檢測到病毒,則中間節點使用目的設備的公共密鑰來加密該資料包(即加密該資料包載荷),再將加密後的資料包轉發到目的設備。解碼過程也將以類似的階梯方式進行。
通過支援臨時存儲、文件重建,代理流控制191-193還支援文件加密和編碼操作以及隨後的病毒處理。不同於將構成文件的多個資料包發往目的終端設備,源終端設備將這些資料包發往中間骨幹節點,中間骨幹節點對這些資料包進行重新組合,然後應用上述病毒攔截檢查操作。若收到的文件中未包含病毒,則中間骨幹節點將這些資料包發往目的設備。
圖2是依據本發明一實施例的通信架構205的結構示意圖,其中網路範圍內病毒模板和服務模組的更新可手動或自動進行;一個或多個中間網路節點與外部提供商伺服器群一同檢測帶有病毒內容的資料包且處理過程不會重復進行,並且還會向終端設備發送消息。網路215中的中間網路節點如節點221、222和223可以式接入點、路由器、交換機、ISPN或可將資料包從伺服器(通常為源終端設備)207路由到PC(通常為目的終端設備)209的任意其他節點。
可以使用多個外部提供商的伺服器群如伺服器群251、261和271,它們通信連接到中間網路節點,其內具有外部病毒模板253、263和273以及外部服務模組(SM)255、265和275。此外,中間節點221、222和223內也可為外部提供商病毒模板和SM如模板和SM 231、232和233提供存儲空間。這些模板和SM 231、232和233可降低處理資料包所需要的時間,並可由各自的提供商進行不斷更新。這樣一來,中間節點221、222和223可頻繁自動或手動更新其病毒檢測性能,其過程可由外部提供商伺服器群251、261和271協助進行,也可無需這些伺服器群的參與。
上述病毒檢測和處理功能包括將進站資料包載荷與節點中可用的病毒模板進行比較,並應用模板邏輯中對應的服務模組(服務模組處理)。通過編程,服務模組處理包括在檢測到病毒時向雙方終端設備207和209或者其中的一方發送消息,通知檢測到病毒或檢測到疑似病毒但尚未確認。該消息還可要求使用人為挑戰機制,以防止病毒刪除該消息,使用戶無法收到通知。方框211和213中展示了這種人為挑戰消息,其中還可加入其他一些資訊,如發送方和接收方的IP地址、發送方的電子郵件地址或其他聯繫資訊、病毒類型、詳細資訊、清除病毒的方法、清除病毒的可執行代碼或清除病毒的網站或下載的鏈結(例如超文本)。
如圖所示,該消息可以是顯示在個人電腦209和/或伺服器207上的彈出消息。為了刪除該彈出消息,人為挑戰機制要求輸入圖片中病毒軟體很難識別的數位或標識。除此之外,還可使用指紋或其他生物挑戰或密碼輸入方式。在存在病毒的情況下,若病毒可被抑制,則在通過人為挑戰後,用戶可繼續下載該資料包。同理,若尚未確認病毒,但攔截檢查顯示存在疑似病毒,則在確認後可繼續傳送該資料包。這種方式允許傳送那些包含類似檔案名或文件內容但實際上並非病毒的資料包。但是,若中間網路節點221、222和223可以肯定資料包中包含病毒代碼,則會攔截這些資料包,並向伺服器和個人電腦發送對應的消息。包含病毒的資料包將被丟棄,中間節點221、222和223還會將發送方IP地址存儲一段時間,並在檢測到其試圖再次發送病毒時,採取必要的措施,例如隔離。
對真正的病毒、疑似病毒和可能的病毒(總稱為病毒特徵)的檢測過程包括匹配(全部或部分的)過程,例如:1)熟知的惡意源IP地址;2)病毒代碼(包括可執行代碼或代表文本或資料的代碼如檔案名);3)特殊文件或下載類型。為抑制病毒,將對整個資料包或資料包中的有害部分進行替換。在目的端用戶仍然需要使用正在傳送的這些資料或資訊時,抑制方式非常有利。
圖3是圖2中通信架構的部分結構示意圖305,其中根據本發明詳細的描述了其中一個中間網路節點的功能模組。源終端設備即伺服器341通過中間網路節點343、307和345向目的終端設備即個人電腦347發送資料包,該資料包可能經過加密且含有病毒。在其他實施例中,源終端設備341或目的終端設備347可以是伺服器、個人電腦、筆記本電腦、手持電腦、電話機或通過網路發送或者接收資料包或文件的其他用戶設備。網路節點343、307和345可以是分組交換機(PSE)、路由器/交換機、接入點(AP)或互聯網服務提供商設備。
圖中所示的中間網路節點307包括處理電路309、與其通信連接的加密管(encryption pipe)311和解密管(decryption pipe)313。加密管311和解密管313可以是硬體,用於加快對收到的資料包的加密和解密。此外,中間網路節點307包括有本地記憶體315和多個網路介面333。本地記憶體315進一步包括有檢驗管理器317,用於確保僅由數位通信架構305中參與到資料包路由過程中的一個中間網路節點如節點307進行載荷內容分析和服務模組應用,以實現病毒檢測和處理。本地記憶體315中還包含用於對資料包進行包頭和載荷分析以及應用服務功能的其他必要功能模組,如加密/解密和/或編碼/解碼(ENC/DEC/ENCR/DECR)管理器319、服務模組管理器323、觸發器邏輯325、病毒模板327和本地服務模組329。網路節點307通過代理流電路和緩存(proxy flow circuitry and cache)321來臨時存儲病毒資料包,並分析資料包載荷中是否包含病毒特徵。此外,代理流電路和緩存321中還可存儲病毒文件發送方的IP位址。路由規則331幫助將資料包路由到目的終端設備。
中間網路節點307可為外部提供商病毒模板和SM提供存儲空間,將它們與病毒模板327和本地服務模組329一起存儲。這些模板和SM可降低處理資料包所需要的時間。中間網路節點307允許外部提供商經常更新這些模板和SM。這樣一來,中間節點307便可經常更新其病毒檢測性能,其過程可由外部提供商協助進行,也可無需它們的參與。但是,源終端設備和目的終端設備之間通信路徑上不同節點的性能不必相同,由檢驗管理器317來確保病毒檢測和處理過程不會重復進行。
在本發明的一個實施例中,若網路節點307受到攻擊或出現病毒,觸發器邏輯325會將該資料包發往一個或多個本地服務模組329。本地服務模組329中可同時包含外部提供商服務模組和本地安裝的服務模組。若服務模組無法在本地運行,則將使用遠端或外部服務模組,如圖2中提到的外部提供商伺服器群上的服務模組。
服務模組可指示不要將資料包路由到目的終端設備,並進一步指示代理流電路321存儲該資料包以及發送方IP位址,以便進行進一步操作。若從同一IP位址(例如源終端設備341)收到更多其他資料包,則代理流電路321會將存儲的資料包重新組合,然後將生成的文件發往服務模組管理器323進行分析。此後,若分析確認生成的文件包含病毒,則將應用預先確定的動作。若再次嘗試發送病毒文件,源終端設備341將被隔離。
病毒檢測功能自身可識別病毒檔案名或病毒比特序列。或者,病毒檢測包括代碼段分析,也就是分析想要執行某種操作的代碼。例如,一些病毒可能會影響個人電腦347的註冊表。但是,僅僅分析一個或幾個資料包,網路節點通常可能無法確定是否正在傳送病毒文件。在這種情況下,服務模組處理過程可以包括向源終端設備和目的終端設備341和347發送帶有人為挑戰的消息。該消息將以彈出消息的形式顯示在顯示器上,並要求自然人用戶做出回應(人為挑戰)。
該消息包括有標題如“病毒警告”,以及一些簡要描述,包括病毒類型、發送方和接收方IP地址、風險指數和一些其他詳細資訊。此外,該消息還可以給出有關節點307所處狀態的簡要描述,如在緩存資料包過程中提示“我們正在處理該文件,請稍等”;或者在檢測病毒資料包過程中提示“對不起,無法發送病毒文件”或者“正在發送的文件包含病毒序列”。此外,該消息還可包括有與風險指數和病毒動作有關的資訊,如“這個病毒<病毒名和代碼號>風險很高,會影響您的PC的註冊表,並破壞<一個或多個應用程式的相關功能>”。或者,該消息還可表示“該病毒<病毒名和代碼號>風險很低,會在您的PC中不斷複製,然後發送給其他PC”。該消息可分為幾個層次,其中包含有關該病毒如何破壞電腦的其他資訊。
人為挑戰可包括方向不同於電腦通常顯示的字母數位的幾個數位或字母,由自然人用戶鍵入這些字母數位,以確認可以發送資料包。該過程允許傳送那些並非病毒、但具有類似檔案名或者內容的資料包。但是,若中間網路節點307非常肯定資料包中包含病毒,則會阻止發送過程,並如上文所述向伺服器和個人電腦發送對應的消息。
檢驗管理器317用於檢驗比較表版本代碼,以確保病毒檢測不會重復進行。對比表版本代碼中包含與前一節點用於與資料包進行比較的病毒模板以及對該資料包應用的服務功能相關的資訊。包含在比較表版本代碼中的資訊可包括病毒模板版本、觸發器邏輯版本、本地服務模組版本和本地或遠端應用的服務模組。若通信路徑上的任一節點包含有例如更新後的或最新版本的病毒模板,則該節點確定只需使用更新後的病毒模板進行比較。對於觸發器邏輯和本地服務模組而言也同樣如此。每個節點在處理完資料包之後都會插入這樣的代碼,用於通知參與到該資料包路由過程中的其他節點不要重復進行已經完成的處理。相反,若比較表版本代碼不存在,則檢驗管理器317可確定尚未對該資料包進行過任何分析操作。
若到達網路節點307的資料包已經過加密,且檢驗管理器317確定需要對其進行進一步的分析,則加密/解密管理器319將對這些資料包進行解密。加密/解密管理器319向個人電腦347請求對應的私有密鑰。該私有密鑰將通過另一公共密鑰加密會話以安全方式接收,或者以其他安全方式接收。
服務模組管理器(SMM)323分析該資料包,然後應用一種或多種服務模組(SM)處理。SMM 323包含多種病毒模板327例如包頭觸發模板和載荷觸發模板,此外還包含觸發器邏輯325。通常來說,病毒模板327隨資料包的格式而變化。在分析該資料包過程中,服務模組管理器323將該資料包內容與病毒模板進行比較,若出現完全匹配或者部分匹配,則執行與此次匹配相關聯的觸發器邏輯。病毒模板327可包含典型的病毒檔案名或病毒比特序列。隨後,SMM 323應用觸發器邏輯中指示的一種或多種服務模組處理。由觸發器邏輯來為特定的資料包選擇特定的服務模組處理,模板中指示的處理過程可包括上述處理過程之中的一種。
病毒模板323還可包括有空間相關觸發器模板。空間相關載荷模板是分割為兩個或者多個觸發器模板的載荷觸發器模板。一組空間相關載荷模板可包括多個比特序列,從一個相關模板到下一模板的比特序列是連續的。例如,一組空間相關載荷模板可包括由目標病毒代碼分割而成的兩個或多個連續比特序列。也就是說,一組空間相關載荷模板中的第一模板可包括從目標資料中取出的128個比特,第二模板可包括由從目標資料中取出的相鄰的128個比特組成的另一序列。通過將較大的載荷觸發模板分割為較小的空間相關模板,服務模組管理器323嘗試將識別過程變得更為準確。這是因為由於事先並不知道資料包的載荷部分的大小,所以在將較大的載荷觸發模板與資料包中較小的載荷部分進行比較時,觸發器將不會工作。因此,通過將資料包的載荷部分與較小的空間相關載荷模板中的第一模板進行比較,觸發器便可以工作。當第一模板觸發觸發器時,服務模組管理器323將序列的載荷部分與空間相關載荷模板中的第二模板進行比較,依此類推。在其他實施例中,對病毒的處理還可使用許多其他操作序列。
儘管上述實施例中的描述和展示過程是以假設個人電腦正在下載文件的方式進行的,通常來說,這些文件可代表任意資料包的傳輸,如網頁、軟體或帶有或不帶附件的電子郵件。該文件還可代表任意資料包的安全傳輸,例如銀行交易過程中的加密資料包。同理,儘管圖1a-圖1c、圖2和圖3中展示的源終端設備和目的終端設備分別為一台伺服器和一台個人電腦,但這些終端設備並非僅限於伺服器和個人電腦,也可以是任意其他類型的設備,例如但不限於兩台伺服器或兩台用戶端設備。同理,終端設備之間資料流程的方向也可以按相反方向傳送或者在兩個方向上同時傳送。因此,還存在其他一些可能的方案。
圖4是根據本發明圖1a-c和圖2所示實施例構建的網路節點407(交換機/路由器/ISPN/AP)的結構示意圖405。網路節點電路407可以是路由資料包的任意互聯網節點電路,並可部分的或者全部安裝在網路設備如交換機、路由器和ISPN內,或接入點內。網路節點電路407通常包括處理電路409、本地記憶體415、管理器介面449和網路介面441。這些元件通過系統匯流排、專用通信路徑或其他直接或間接通信路徑中的一個或多個在彼此之間通信互連。在不同實施例中,處理電路409可以是微處理器、數位信號處理器、狀態機、專用積體電路、現場可編程閘陣列或其他處理電路。處理電路409通信連接到加密管411和解密管413。加密管411和解密管413可以通過硬體實現,以加快加密和解密處理速度。
本地記憶體415可以是隨機訪問記憶體、唯讀記憶體、快閃記憶體、磁碟機、光碟驅動器或可存儲電腦指令和資料的其他類型記憶體。本地記憶體415中包含檢驗管理器417,該管理器會判斷是否已經進行過分析和服務模板處理,並通過檢驗比較表版本代碼來跳過已執行過的步驟,以此來確保不會對資料包進行重復處理。此外,本地記憶體415還包括加密/解密和/或編碼/解碼(ENC/DEC/ENCR/DECR)管理器419,用於對通過介面441收到的加密資料包進行解密或者再次加密。本地記憶體415還包含代理流電路和緩存421,用於臨時存儲並處理包含病毒的多種資料包及其對應的IP位址,同時還可存儲收到的加密文件的資料包。
本地記憶體415還包含服務模組管理器(SMM)423,用於將進站資料包的包頭內容和載荷內容與適當的病毒模板427進行比較,以此來對進站資料包進行分析。此後,若在比較過程中出現匹配結果,觸發器邏輯425會將這些資料包發往適當的本地服務模組429或遠端服務模組,以應用對應的服務功能。本地記憶體415還包含路由規則421,用於管理資料包流的傳送。
此外,網路介面441包括有線和無線分組交換介面445、有線和無線電路交換介面447,除此之外,網路介面441還可包含內置的或獨立的介面處理電路443。網路介面441允許網路設備與其他網路設備通信,允許處理電路409收發可能包含病毒代碼序列和/或經過加密的資料包,以及獲取用於對這些資料包進行解密以便進行分析的密鑰。此外,當本地記憶體中的服務模組不可用時,網路介面441還允許使用外部服務模組(SM)進行分析和處理。管理器介面449可包含顯示器和鍵盤介面。這些管理器介面449允許網路交換機用戶對本發明技術方案如檢驗管理器417、加密/解密管理器419和服務模組管理器423的特性進行控制。
與圖中所示相比,在其他實施例中,本發明的網路節點407包括有更多或更少的元件,以及更多或更少的功能。換句話說,圖中展示的網路設備僅僅給出本發明技術方案可能的功能和架構的一個實施例。在下文中將分別結合圖5和圖7,參照PSE和AP來描述網路節點的其他實施例。
網路節點407通過網路485通信連接到外部網路設備如相鄰節點(未示出)或外部提供商伺服器群491。外部提供商伺服器群491還可包含本發明的元件如病毒模板493和外部服務模組495。此外,外部提供商伺服器群491還可包含本發明的硬體和軟體元件如加密管、解密管、加密/解密管理器、檢驗伺服器和服務模組管理器(未示出)。
檢驗管理器417用於確保為查找病毒內容而對包頭和載荷內容進行的分析和服務模組的應用僅由數位通信架構中參與資料包路由過程的一個中間網路節點如節點407來執行,而不會重復的執行。這是通過對處理過的資料包進行標記來實現的,該標記將向節點傳達先前已經執行的處理過程。標記過程是通過插入比較表版本代碼來實現的,其中包含有關前一節點應用到該資料包上的觸發模板和服務功能的資訊。檢驗管理器417在收到的每個資料包包頭中搜索比較表版本代碼。若資料包中不存在比較表版本代碼,則說明尚未對該資料包進行病毒內容處理。相反,若存在比較表版本代碼,則檢驗管理器417對該代碼進行解碼,以確定在該資料包上已經進行過的包頭、載荷分析,以及已應用過的服務功能。借助這些資訊,檢驗管理器417能夠確定是否還需要進行進一步的病毒檢測和處理。一方面,若還需要進行病毒檢測和處理,則將該資料包發往加密/解密管理器419,若該資料包未進行加密,則直接發往服務模組管理器423進行進一步的分析。
圖5是根據本發明圖1a-c和圖2的實施例構建的分組交換機507的結構示意圖505。例如,分組交換機(PSE)電路507可以是圖1c互聯網骨幹網163中或者圖2網路215中的任意網路節點。PSE電路507通常包括路由器575,其包括通用主處理卡555、交換機509和多個線路卡515和581。此外,分組交換機507還包括外部設備571,例如存儲單元或用戶介面(未示出)。線路卡515和581在不同方案中可以不相同。
第一線路卡515包括網路介面525,用於連接有線和無線網路如10Mbit、1000Mbit乙太網、5Gbit DWDM(密集波分複用)光纖網路。第一線路卡515還包括有交換機介面545,用於將其自身連接到互聯交換機509。此外,第一線路卡515還包括輔助處理電路535,用於在互聯交換機509路由資料包之前對這些資料包進行預處理。輔助處理電路535包括轉發引擎537和轉發緩存。除了對資料包進行預處理以外,輔助處理電路還包含檢驗管理器539,用於檢驗對進站分組已經做過的病毒內容檢測和處理。該檢驗過程是通過解碼比較表版本代碼並解讀與已完成處理有關的資訊來實現的。若分組交換機507中所有可用的分析和服務模組功能早已由前面的一個或多個節點執行過,則檢驗管理器539將會不做任何延遲而允許路由該資料包。
通用主處理卡555還包括核心主處理電路557,其通信連接到加密管559和解密管561。加密管559和解密管561可以通過硬體實現,以加快加密和解密處理的速度。通用主處理卡555還包含加密/解密管理器563、服務模組管理器(SMM)565、病毒模板567和本地服務模組569。若檢驗管理器539指示需要進行分析並應用服務模組,則服務模組管理器565與病毒模板567、本地服務模組569,以及遠端服務模組(未示出)合作進行資料包載荷分析和服務功能的應用。若分組交換機507執行資料包載荷分析並應用服務功能,則服務模組管理器565將在資料包包頭中插入比較表版本代碼。
服務模組管理器通過比較進站資料包載荷和病毒模板567,以及應用模板邏輯中指示的對應服務模組(服務模組處理)569來執行病毒檢測和處理功能。服務模組的處理包括在檢測到病毒時,向對應的終端設備發送帶有人為挑戰的消息。該消息可以是顯示在終端設備如圖2中展示的個人電腦209和/或伺服器207顯示器上的彈出消息。該消息的標題可以是例如“病毒警告”,並包含一段簡要描述,其中包括病毒類型、發送方和接收方IP地址、風險指數和其他一些詳細資訊。此外,病毒模板567和本地服務模組569還可為外部提供商病毒模板和服務模組提供存儲空間。
圖6是根據本發明圖1a-c和圖2的實施例構建的終端設備(伺服器和/或用戶端)607的結構示意圖605。該伺服器/用戶端電路607可以是發起和/或接收資料包的任意設備電路,這些資料包可以是加密過的也可以是未加密過的,且其中可能含有部分病毒代碼,該電路可以部分或全部安裝在圖1a-c和圖2中描述的任意終端設備上。伺服器/用戶端電路607通常包括處理電路609、本地記憶體615、用戶介面631和網路介面655。這些元件通過系統匯流排、專用通信路徑或其他直接或間接通信路徑中的一個或多個在彼此之間通信互連。在不同實施例中,處理電路609可以是微處理器、數位信號處理器、狀態機、專用積體電路、現場可編程閘陣列或其他處理電路。通過硬體實現的加密管611和解密管613通信連接到處理電路609,儘管在伺服器端和用戶端如個人電腦的實施例中,這些元件可以通過軟體來實現。
網路介面655可包含有線和無線分組交換介面669、有線和無線電路交換介面671,以及內置或獨立的介面處理電路667。網路介面655使得終端設備可與其他終端設備通信。用戶介面631可包含顯示器和鍵盤介面。
本地記憶體615可以是隨機訪問記憶體、唯讀記憶體、快閃記憶體、磁碟機、光碟驅動器或可存儲電腦指令和資料的其他類型記憶體。本地記憶體615中包含簡化形式的檢驗管理器617,用於協助驗證目的端中的比較表版本代碼。此外,本地記憶體615還包括簡化形式的加密/解密管理器619。簡化的服務模組管理器623、觸發器邏輯625、病毒模板627和本地服務模組629用於協助在源終端設備上對資料包進行預處理(即病毒檢測和預處理功能)。
與圖中所示相比,在其他實施例中,本發明的網路設備607可包括更多或更少的元件,以及更多或更少的功能,用於進行資料包交換,而不是語音包交換。換句話說,圖中展示的終端設備僅僅給出本發明技術方案可能的功能和架構的一個實施例。
終端設備607通過網路685通信連接到外部網路設備如設備691。外部網路設備691可包括有本發明的元件如處理電路693和本地記憶體695,該記憶體中存儲有服務模組管理器和病毒模板697、檢驗管理器(未示出)以及本發明的其他功能模組。在載入了安全性措施時,伺服器或用戶端設備通常通過發送和接收加密資料包來與對方通信。這些資料包在終端設備處使用密鑰進行解密。當網路節點如遠端設備691請求公共或私有密鑰以便進行資料包分析時,加密/解密管理器619通過確認設備691發送的數位簽名來驗證遠端設備691的身份。一旦得到確認,加密/解密管理器619便使用安全會話來發送所請求的密鑰。但是,若源終端設備未對資料包進行加密,則無需進行此過程。終端設備常常被用作病毒伺服器,其對病毒進行複製,然後將這些病毒發往其他設備,通過使用圖中描述的元件,這些病毒中的一部分可由對應的終端設備檢測出來並進行處理。
圖7是根據本發明圖1a-c和圖2的實施例構建的接入點775的結構示意圖705。該接入點電路775可以是圖1b-c中或圖2中網路215中任意接入點中的電路。接入點電路775通常包括多個通信路徑電路715-781、核心主處理電路755和交換機709。在不同方案中,通信路徑電路715-781均可以不同。第一通信路徑電路715包括用於連接有線和無線網路的有線和/或無線網路介面725,用於連接互聯交換機709的交換機介面745,以及輔助處理電路735。輔助處理電路735用於在互聯交換機709路由資料包前,對該資料包進行預處理。
核心主處理電路755通信連接到加密管757和解密管759,這兩個元件可使用硬體實現,以便更快的加密和解密資料包。此外,接入點電路775包括有加密/解密管理器761和密鑰註冊表。接入點電路775還包括有服務模組管理器765和本地服務模組767。接入點電路775的作用在某種程度上類似於圖5中展示的分組交換機507,只不過接入點電路775內包含的是更為簡化的元件。
圖8是描述圖3、4、5和7中網路設備功能一般流程的流程圖805。該流程圖開始於步驟811,網路節點通過其本地或遠端服務分析收到資料包。收到的資料包可能已由前面的節點進行過處理,也可能經過加密或包含有加密文件的分割部分,或者包含有病毒檔案名或代碼序列。
在下一步驟813,網路節點根據獨立的請求、病毒模板匹配結果或觸發邏輯的指示來選擇服務模組(SM)。若無匹配記錄,則將不會對資料包做進一步處理,也就是說不會應用服務模組,將繼續轉發該資料包。
隨後,在下一步驟815,網路節點應用選中的服務模組處理服務。這種使用服務模組進行的病毒處理過程包括向各自終端設備發送消息,以從終端設備獲得是傳送這些資料包還是簡單的將其丟棄的確認。隨後,在下一步驟817,若確定傳送該資料包,則網路節點繼續路由該資料包。
圖9是圖3、4、5和7中網路節點功能的詳細流程圖905。該網路節點的功能開始於開始步驟907。檢測並處理資料包中的病毒代碼序列的功能從整體上包括:檢驗先前是否進行過分析,解密,檢測病毒代碼,應用服務模組,加密,插入比較表版本代碼,以及繼續路由資料包。在下一步驟911,網路節點通過網路介面收到資料包,然後將其發往檢驗管理器。
隨後,在下一判斷步驟913,網路節點中的檢驗管理器判斷是否需要進一步分析。若不需要,也就是說網路節點中的所有病毒檢測和處理性能與前一節點相同,則在步驟929將資料包向個人電腦轉發。網路節點的功能結束於下一步驟931。
或者,若檢驗管理器在判斷步驟913判斷需要進行進一步的分析,則在下一步驟915,將資料包發送到網路節點加密/解密管理器。隨後,在下一判斷步驟917,加密/解密管理器判斷進站資料包是否經過了加密。若是,則在下一步驟919,加密/解密管理器從個人電腦處接收私有密鑰,並使用收到的私有密鑰解密該資料包。在另一方面,若資料包載荷中包含加密文件段,則代理流管理器將該資料包與其他資料包一同緩存,以便進行圖11流程圖中將要描述的進一步處理。若資料包未曾加密,則將跳過步驟919。
隨後,在下一步驟921,該資料包將發送到服務模組管理器。網路節點此後的功能即下一步驟A之後的部分將在圖10所示的流程圖中進行詳細的描述。隨後,在下一步驟923,網路節點判斷在將資料包載荷與病毒模板進行比較過程中是否找到匹配結果。若否,則在步驟929將該資料包向個人電腦路由。網路節點的功能結束於下一步驟931。
另一方面,若找到匹配結果,則將在下一步驟925應用本地服務模組。本地服務模組也可包含有外部提供商的服務模組。若本地服務模組不可用,則將資料包發往外部提供商的伺服器。隨後,在下一步驟927,網路節點向伺服器和個人電腦發送消息,並接收來自一方或者雙方終端設備(也就是伺服器和個人電腦)的回應。隨後對該資料包採取適當的動作。在下一步驟929,若得到指示,則將該資料包路由到PC,網路節點功能結束於下一步驟931。
圖10是接續圖9中的流程圖描述圖3、4、5和7中網路節點功能的流程圖1005。檢測並處理資料包中的病毒代碼序列的功能已經結合圖9描述了步驟A之前的部分,即檢驗之前是否對資料包進行過分析、解密、發送該資料包到服務模組管理器。隨後,在判斷步驟1007,網路節點判斷在與病毒模板進行比較的過程中是否找到精確的匹配結果。若否,則在下一判斷步驟1009,網路節點判斷是否找到部分匹配結果。若否,則在下一步驟1025,網路節點執行路由過程,網路節點功能結束於下一結束步驟1027。
若在步驟1007或者1009找到精確匹配結果或者部分匹配結果,則在下一步驟1011,網路節點的服務模組管理器運行一個或多個服務模組,以此對資料包執行一個或多個動作。對資料包執行的這些動作之一是在不採取任何動作的情況下在步驟1025中執行資料包路由。這種情況出現在例如應用服務模組確定部分匹配的該資料包內容中未包含任何病毒代碼或檔案名時。可能採取的另一動作是在步驟1015將資料包發往外部提供商伺服器群。外部提供商伺服器會對資料包進行病毒檢測和處理,然後將其發送回網路節點。
可能採取的另一動作是在下一步驟1013向個人電腦和伺服器發送消息,該消息中帶有人為挑戰並請求雙方終端設備回應。在下一判斷步驟1017,網路節點檢查是否從雙方終端設備收到回應資訊。若未能收到雙方或者其中一方終端設備的回應,則在下一步驟1019,網路節點丟棄該資料包。隨後,網路節點在下一判斷步驟1021檢查從雙方終端設備收到的是否都是回應“是”。若雙方回應均為“是”,則網路節點在下一步驟1023執行路由過程,隨後網路節點的功能結束於步驟1027。若有終端設備發送回應“否”,則在下一步驟1019,網路節點丟棄該資料包。或者,也可由外部提供商伺服器執行步驟1013、1017、1019、1021,以及將資料包發送回網路節點以便進行路由。
圖11是描述圖3、4、5和7中網路節點功能一般流程的流程圖1105,其中該網路節點臨時緩存包含病毒內容的資料包,確定發出該病毒的惡意終端設備然後採取適當的措施。在本發明的該實施例中,網路節點使用代理流電路和緩存來存儲並跟蹤含有病毒內容的資料包以及發送方終端設備的IP位址。網路節點的功能開始於開始步驟1107。在下一步驟1109,網路節點從源終端設備或相鄰的網路設備收到資料包,該資料包可能已經過加密。
在下一步驟1111,網路節點存儲加密文件中所有到達的資料包,直到收到足夠多的內容可以執行分析過程。在下一步驟1113,網路節點對加密資料包進行解密。隨後,在下一步驟1115,網路節點對資料包載荷進行分析,並應用本地服務模組,或將資料包發往另一設備以應用外部服務模組。
隨後,在下一步驟1117,若發現病毒代碼,則網路節點向個人電腦和伺服器發送帶有人為挑戰的消息,並接收回應資訊。在下一步驟1119,若得到個人電腦和伺服器的確認,則網路節點將資料包發往個人電腦。否則,若發現有再次嘗試發送感染的病毒,則網路節點將隔離該伺服器。除上述實施例介紹的方法外,在分析過程完成後,代理流電路還可存儲包含病毒代碼的資料包,然後應用服務模組,或繼續進行上述步驟中的一些步驟。網路節點的功能結束於下一結束步驟1121。
本領域普通技術人員可知,本申請中所使用的短語“通信連接”包括有線的和無線的、直接的連接和通過其他元件、元件或模組的間接連接。本領域普通技術人員還可知,推定連接(即推定一個部件與另一個部件連接)包括兩個部件之間與“通信連接”方式相同的無線的和有線的、直接的和間接的連接。
本發明通過借助方法步驟展示了本發明的特定功能及其關係。所述方法步驟的範圍和順序是為了便於描述任意定義的。只要能夠執行特定的功能和順序,也可應用其他界限和順序。任何所述或選的界限或順序因此落入本發明的範圍和精神實質。
本發明還借助功能模組對某些重要的功能進行了描述。所述功能模組的界限和各種功能模組的關係是為了便於描述任意定義的。只要能夠執行特定的功能,也可應用其他的界限或關係。所述其他的界限或關係也因此落入本發明的範圍和精神實質。
本領域普通技術人員還可知,本申請中的功能模組和其他展示性模組和元件可實現為離散元件、專用積體電路、執行恰當軟體的處理器和前述的任意組合。
此外,儘管以上是通過一些實施例對本發明進行的描述,本領域技術人員知悉,本發明不局限於這些實施例,在不脫離本發明的精神和範圍的情況下,可以對這些特徵和實施例進行各種改變或等效替換。本發明的保護範圍僅由本申請的權利要求書來限定。
伺服器...101
電話機...103
電腦...105
中間分組路徑節點...107
互聯網...109
提供商的病毒範本和相關邏輯...111
病毒服務模組管理器...113
內部病毒服務模組...115
外部病毒服務模組...117
外部伺服器和群集...119
病毒範本和邏輯...121
目的設備...123
個人接入點...125、127
服務提供商接入點...129、132
服務提供商設備...133、135
骨幹交換-路由器...137、139
病毒資料包處理功能塊...141a-h
病毒處理架構...151
交換或路由節點...153、155、157
伺服器...159
個人電腦(PC)...161
互聯網骨幹網...163
但接入點(AP)...165、167
互聯網服務提供商網路(ISPN)...169、171
外部提供商伺服器群...173
節點...179-187
代理流控制...191、192、193
通信架構...205
伺服器(通常為源終端設備)...207
個人電腦...209
方框...211、213
網路...215
中間網路節點如節點...221、222、223
外部提供商病毒範本和SM...231、232、233
外部提供商伺服器群...251、261、271
外部病毒範本...253、263、273
外部服務模組(SM)...255、265、275
通信架構...305
中間網路節點...307
處理電路...309
加密管(encryption pipe)...311
解密管(decryption pipe)...313
本地記憶體...315
檢驗管理器...317
加密/解密和/或編碼/解碼(ENC/DEC/ENCR/DECR)管理器...319
代理流電路和緩存(proxy flow circuitry and cache)...321
服務模組管理器...323
觸發器邏輯...325
病毒範本...327
本地服務模組...329
路由規則...331
網路介面...333
源終端設備...341
中間網路節點...343、345
個人電腦...347
結構示意圖...405
網路節點電路...407
處理電路...409
加密管...411
解密管...413
本地記憶體...415
檢驗管理器...417
加密/解密和/或編碼/解碼(ENC/DEC/ENCR/DECR)管理器...419
代理流電路和緩存...421
服務模組管理器(SMM)...423
觸發器邏輯...425
病毒範本...427
本地服務模組...429
網路介面...441
內置的或獨立的介面處理電路...443
有線和無線分組交換介面...445
有線和無線電路交換介面...447
管理器介面...449
外部提供商伺服器群...491
病毒範本...493
外部服務模組...495
結構示意圖...505
分組交換機(PSE)電路...507
交換機...509
第一線路卡...515
網路介面...525
輔助處理電路...535
轉發引擎...537
檢驗管理器...539
交換機介面...545
通用主處理卡...555
核心主處理電路...557
加密管...559
解密管...561
加密/解密管理器...563
服務模組管理器(SMM)...565
病毒範本...567
本地服務模組...569
外部設備...571
路由器...575
線路卡...581
結構示意圖...605
伺服器/用戶端電路...607
處理電路...609
加密管...611
解密管...613
本地記憶體...615
檢驗管理器...617
加密/解密管理器...619
服務模組管理器...623
觸發器邏輯...625
病毒範本...627
本地服務模組...629
用戶介面...631
網路介面...655
內置或獨立的介面處理電路...667
有線和無線分組交換介面...669
有線和無線電路交換介面...671
網路...685
外部網路設備如設備...691
處理電路...693
本地記憶體...695
服務模組管理器和病毒範本...697
結構示意圖...705
交換機...709
接入點電路...775
通信路徑電路...715-781
有線和/或無線網路介面...725
輔助處理電路...735
交換機介面...745
核心主處理電路...755
加密管...757
解密管...759
加密/解密管理器...761
服務模組管理器...765
本地服務模組...767
圖1a是本發明病毒處理架構一實施例的結構示意圖,其中由交換節點來檢測並觸發對包含病毒代碼的資料包的處理;圖1b是圖1a中病毒處理架構實施例的結構示意圖,其中詳細描述了中間分組路徑節點107;圖1c是圖1a中病毒處理架構另一實施例的結構示意圖,其中由使用代理功能的中間互聯網骨幹節點來對包含有加密或編碼後的病毒資訊的資料包進行檢測和處理;圖2是依據本發明一實施例的通信架構205的結構示意圖,其中網路範圍內病毒模板和服務模組的更新可手動或自動進行,一個或多個中間網路節點與外部提供商伺服器群一同檢測帶有病毒內容的資料包並無重復地處理該資料,並向終端設備發送消息;圖3是圖2中通信架構的部分結構示意圖,其中根據本發明詳細的描述了其中一個中間網路節點的功能模組;圖4是根據本發明圖1a-c和圖2的實施例構建的網路節點(交換機/路由器/ISPN/AP)的結構示意圖;圖5是根據本發明圖1a-c和圖2的實施例構建的分組交換機的結構示意圖;圖6是根據本發明圖1a-c和圖2的實施例構建的終端設備(伺服器和/或用戶端)的結構示意圖;圖7是根據本發明圖1a-c和圖2的實施例構建的接入點的結構示意圖;圖8是描述圖3、4、5和7中網路設備功能的一般流程的流程圖;圖9是繼續描述圖8中圖3、4、5和7所示的網路設備功能的流程圖;圖10是描述圖3、4、5和7所示網路節點中如圖9所示的服務模組管理器的詳細流程的流程圖;圖11是描述圖3、4、5和7中網路節點功能的一般流程的流程圖,其中該網路節點臨時緩存包含病毒內容的資料包,確定發出該病毒的終端設備然後做出適當的回應。
伺服器...101
電話機...103
電腦...105
中間分組路徑節點...107
互聯網...109
提供商的病毒範本和相關邏輯...111
病毒服務模組管理器...113
內部病毒服務模組...115
外部病毒服務模組...117
外部伺服器和群集...119
病毒範本和邏輯...121

Claims (7)

  1. 一種通信架構,用於提供分組交換通信路徑以便交換資料包,其特徵在於,所述通信架構包括:源終端設備;具有目的地址的目的終端設備;骨幹網,包括用於組建至少一條從所述源設備到所述目的設備的通信路徑的多台交換設備;所述源設備將包含有所述目的地址和病毒特徵的資料包發往所述多台交換設備中的第一交換設備;所述多台交換設備中的所述第一交換設備在收到所述資料包後,檢測所述病毒特徵,並觸發病毒服務功能,所述病毒服務功能包括發送與所述檢測有關的消息,所述消息包括對用戶的挑戰機制;所述多個病毒範本中的一個為載荷觸發器範本,所述載荷觸發器範本包括多個空間相關觸發器範本,所述多個空間相關觸發器範本依次與所述資料包中序列的載荷部分比較以識別所述病毒特徵;所述多台交換設備中的所述第一交換設備中止將所述資料包發往由所述目的地址所指的所述目的設備。
  2. 如申請專利範圍第1項所述的通信架構,其中,所述病毒服務功能是從多個病毒服務模組中選出的,其中每個病毒服務模組對應多個病毒模板中的至少一個。
  3. 如申請專利範圍第1項所述的通信架構,其中,所述多個病毒模板中的第一病毒模板與資料包載荷進行比較。
  4. 如申請專利範圍第2項所述的通信架構,其中,所述多個病毒模板中的第一病毒模板與補充資料包資訊進行比較。
  5. 一種應用在通信架構中的中間網路節點電路,用於提供分組交換通信路徑,以便在第一終端設備和第二終端設備之間交換資料包,其中所述第二終端設備具有網路位址,其特徵在於,所述中間網路節點電路包括:第一介面電路,用於接收所述第一終端設備發起的第一資料包,所述第一資料包包括有所述第二終端設備的網路位址和病毒特徵;第二介面電路,與所述第二終端設備的網路位址相關聯;交換電路,在所述第一接電路和所述第二介面電路之間選擇性的提供通信路徑;處理電路,比較至少一個模板與所述資料包以檢測所述病毒特徵;所述處理電路在檢測到所述病毒特徵後觸發病毒服務功能,所述病毒服務功能包括發送與所述檢測有關的消息,所述消息包括對用戶的挑戰機制;其中,至少一個病毒範本為載荷觸發器範本,所述載荷觸發器範本包括多個空間相關觸發器範本,所述多個空間相關觸發器範本依次與所述資料包中序列的載荷部分比較以識 別所述病毒特徵。
  6. 一種由分組交換通信路徑上支援源終端設備的中間網路節點執行的方法,其特徵在於,所述方法包括:接收由所述源終端設備發起的第一資料包;將所述第一資料包與多個病毒模板進行比較,其中每個病毒模板與多個病毒服務功能中的至少一個相關聯;當所述第一資料包與任一病毒模板匹配失敗後發送所述第一資料包;接收由所述源終端設備發起的具有病毒特徵的第二資料包;將所述第二資料包與所述多個病毒模板進行比較;當所述第二資料包與至少一個病毒模板匹配成功時,觸發所述多個病毒服務功能中所選擇的一個,所述病毒服務功能包括發送與所述檢測有關的消息,所述消息包括對用戶的挑戰機制;其中,所述多個病毒範本中的至少一個為載荷觸發器範本,所述載荷觸發器範本包括多個空間相關觸發器範本,所述多個空間相關觸發器範本依次與所述資料包中序列的載荷部分比較以識別所述病毒特徵。
  7. 如申請專利範圍第6項所述的方法,其中,所述方法還包括定期更新所述多個病毒模板。
TW096115272A 2006-05-05 2007-04-30 通信架構中的中間網路節點及其執行的方法 TWI387281B (zh)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
US11/429,477 US7948977B2 (en) 2006-05-05 2006-05-05 Packet routing with payload analysis, encapsulation and service module vectoring
US11/429,478 US7596137B2 (en) 2006-05-05 2006-05-05 Packet routing and vectoring based on payload comparison with spatially related templates
US11/474,033 US20070258468A1 (en) 2006-05-05 2006-06-23 Intermediate network node supporting packet analysis of encrypted payload
US11/491,052 US7895657B2 (en) 2006-05-05 2006-07-20 Switching network employing virus detection

Publications (2)

Publication Number Publication Date
TW200812318A TW200812318A (en) 2008-03-01
TWI387281B true TWI387281B (zh) 2013-02-21

Family

ID=38511825

Family Applications (1)

Application Number Title Priority Date Filing Date
TW096115272A TWI387281B (zh) 2006-05-05 2007-04-30 通信架構中的中間網路節點及其執行的方法

Country Status (3)

Country Link
US (1) US7895657B2 (zh)
EP (1) EP1853022B1 (zh)
TW (1) TWI387281B (zh)

Families Citing this family (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7626994B2 (en) * 2005-11-14 2009-12-01 Broadcom Corporation Multiple node applications cooperatively managing a plurality of packet switched network pathways
US9125130B2 (en) * 2006-09-25 2015-09-01 Hewlett-Packard Development Company, L.P. Blacklisting based on a traffic rule violation
US8726347B2 (en) 2007-04-27 2014-05-13 International Business Machines Corporation Authentication based on previous authentications
US8327430B2 (en) 2007-06-19 2012-12-04 International Business Machines Corporation Firewall control via remote system information
US8272041B2 (en) * 2007-06-21 2012-09-18 International Business Machines Corporation Firewall control via process interrogation
US8272043B2 (en) * 2007-06-21 2012-09-18 International Business Machines Corporation Firewall control system
US9069960B1 (en) * 2007-08-31 2015-06-30 Mcafee, Inc. System, method, and computer program product for avoiding an on-access scan of data accessible by a collaborative portal application after an on-demand scan
US9892417B2 (en) * 2008-10-29 2018-02-13 Liveperson, Inc. System and method for applying tracing tools for network locations
US11418580B2 (en) * 2011-04-01 2022-08-16 Pure Storage, Inc. Selective generation of secure signatures in a distributed storage network
US8661522B2 (en) * 2011-07-28 2014-02-25 Arbor Networks, Inc. Method and apparatus for probabilistic matching to authenticate hosts during distributed denial of service attack
CA2796540A1 (en) * 2011-11-28 2013-05-28 Pika Technologies Inc. Transparent bridge device
US9419985B1 (en) * 2012-09-25 2016-08-16 Morta Security Inc Interrogating malware
US9094450B2 (en) 2013-11-01 2015-07-28 Xerox Corporation Method and apparatus for a centrally managed network virus detection and outbreak protection
US9363280B1 (en) * 2014-08-22 2016-06-07 Fireeye, Inc. System and method of detecting delivery of malware using cross-customer data

Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1063833A2 (en) * 1999-06-23 2000-12-27 Hitachi, Ltd. System for filtering data utilizing electronic watermark
WO2002019639A1 (en) * 2000-08-29 2002-03-07 Netrake Corporation Content processor
US6393568B1 (en) * 1997-10-23 2002-05-21 Entrust Technologies Limited Encryption and decryption system and method with content analysis provision
EP1335559A2 (en) * 2002-01-31 2003-08-13 Nokia Corporation System and method of providing virus protection at a gateway
US6678272B1 (en) * 2000-05-24 2004-01-13 Advanced Micro Devices, Inc. Apparatus and method using a register scheme for efficient evaluation of equations in a network switch
WO2005017708A2 (en) * 2003-08-14 2005-02-24 Washington University Method and apparatus for detecting predefined signatures in packet payload using bloom filters
WO2005064498A1 (en) * 2003-12-23 2005-07-14 Trust Digital, Llc System and method for enforcing a security policy on mobile devices using dynamically generated security profiles
EP1560398A2 (en) * 2004-01-21 2005-08-03 Alcatel Metering packet flows for limiting effects of denial of service attacks
US20050278784A1 (en) * 2004-06-15 2005-12-15 International Business Machines Corporation System for dynamic network reconfiguration and quarantine in response to threat conditions
US20060075494A1 (en) * 2004-10-01 2006-04-06 Bertman Justin R Method and system for analyzing data for potential malware
US20060085528A1 (en) * 2004-10-01 2006-04-20 Steve Thomas System and method for monitoring network communications for pestware

Family Cites Families (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5623600A (en) 1995-09-26 1997-04-22 Trend Micro, Incorporated Virus detection and removal apparatus for computer networks
US6195698B1 (en) 1998-04-13 2001-02-27 Compaq Computer Corporation Method for selectively restricting access to computer systems
US20020007453A1 (en) 2000-05-23 2002-01-17 Nemovicher C. Kerry Secured electronic mail system and method
US20020069370A1 (en) 2000-08-31 2002-06-06 Infoseer, Inc. System and method for tracking and preventing illegal distribution of proprietary material over computer networks
US7124440B2 (en) 2000-09-07 2006-10-17 Mazu Networks, Inc. Monitoring network traffic denial of service attacks
US7627897B2 (en) 2001-01-03 2009-12-01 Portauthority Technologies Inc. Method and apparatus for a reactive defense against illegal distribution of multimedia content in file sharing networks
US7404212B2 (en) 2001-03-06 2008-07-22 Cybersoft, Inc. Apparatus and methods for intercepting, examining and controlling code, data and files and their transfer
US7681032B2 (en) 2001-03-12 2010-03-16 Portauthority Technologies Inc. System and method for monitoring unauthorized transport of digital content
US7543334B2 (en) * 2001-08-27 2009-06-02 Mcafee, Inc. Update status alerting for a malware scanner
US7512980B2 (en) 2001-11-30 2009-03-31 Lancope, Inc. Packet sampling flow-based detection of network intrusions
US7693285B2 (en) 2002-03-06 2010-04-06 Entrust, Inc. Secure communication apparatus and method
KR20050118305A (ko) 2003-04-10 2005-12-16 코닌클리케 필립스 일렉트로닉스 엔.브이. 멀티미디어 메시징 방법 및 시스템
KR100534057B1 (ko) 2003-05-30 2005-12-07 주식회사 마크애니 멀티미디어 콘텐츠의 불법유통 방지를 위한 방법 및 이를이용한 장치
US7769994B2 (en) 2003-08-13 2010-08-03 Radware Ltd. Content inspection in secure networks
US20050050337A1 (en) 2003-08-29 2005-03-03 Trend Micro Incorporated, A Japanese Corporation Anti-virus security policy enforcement
JP4365672B2 (ja) 2003-12-04 2009-11-18 株式会社日立製作所 パケット通信ノード装置
US20050251486A1 (en) 2004-02-03 2005-11-10 Mark Nair System and methods for protecting digital works using a watermark gateway
US7533415B2 (en) 2004-04-21 2009-05-12 Trend Micro Incorporated Method and apparatus for controlling traffic in a computer network
US7933208B2 (en) 2004-09-27 2011-04-26 Polytechnic Institute Of New York University Facilitating storage and querying of payload attribution information
US10043008B2 (en) 2004-10-29 2018-08-07 Microsoft Technology Licensing, Llc Efficient white listing of user-modifiable files
US20060174345A1 (en) 2004-11-30 2006-08-03 Sensory Networks, Inc. Apparatus and method for acceleration of malware security applications through pre-filtering
US20070180227A1 (en) 2005-03-01 2007-08-02 Matsushita Electric Works, Ltd. Decryption apparatus for use in encrypted communications
US20060248575A1 (en) 2005-05-02 2006-11-02 Zachary Levow Divided encryption connections to provide network traffic security

Patent Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6393568B1 (en) * 1997-10-23 2002-05-21 Entrust Technologies Limited Encryption and decryption system and method with content analysis provision
EP1063833A2 (en) * 1999-06-23 2000-12-27 Hitachi, Ltd. System for filtering data utilizing electronic watermark
US6678272B1 (en) * 2000-05-24 2004-01-13 Advanced Micro Devices, Inc. Apparatus and method using a register scheme for efficient evaluation of equations in a network switch
WO2002019639A1 (en) * 2000-08-29 2002-03-07 Netrake Corporation Content processor
EP1335559A2 (en) * 2002-01-31 2003-08-13 Nokia Corporation System and method of providing virus protection at a gateway
WO2005017708A2 (en) * 2003-08-14 2005-02-24 Washington University Method and apparatus for detecting predefined signatures in packet payload using bloom filters
WO2005064498A1 (en) * 2003-12-23 2005-07-14 Trust Digital, Llc System and method for enforcing a security policy on mobile devices using dynamically generated security profiles
EP1560398A2 (en) * 2004-01-21 2005-08-03 Alcatel Metering packet flows for limiting effects of denial of service attacks
US20050278784A1 (en) * 2004-06-15 2005-12-15 International Business Machines Corporation System for dynamic network reconfiguration and quarantine in response to threat conditions
US20060075494A1 (en) * 2004-10-01 2006-04-06 Bertman Justin R Method and system for analyzing data for potential malware
US20060085528A1 (en) * 2004-10-01 2006-04-20 Steve Thomas System and method for monitoring network communications for pestware

Also Published As

Publication number Publication date
TW200812318A (en) 2008-03-01
US7895657B2 (en) 2011-02-22
EP1853022A1 (en) 2007-11-07
EP1853022B1 (en) 2012-10-24
US20080019352A1 (en) 2008-01-24

Similar Documents

Publication Publication Date Title
TWI387281B (zh) 通信架構中的中間網路節點及其執行的方法
CN101068204B (zh) 通信架构中的中间网络节点及其执行的方法
JP6188832B2 (ja) データベース・クライアント要求を処理するための方法、コンピュータ・プログラム製品、データ処理システム、およびデータベース・システム
US8495739B2 (en) System and method for ensuring scanning of files without caching the files to network device
US9954873B2 (en) Mobile device-based intrusion prevention system
US10069809B2 (en) System and method for secure transmission of web pages using encryption of their content
US8843750B1 (en) Monitoring content transmitted through secured communication channels
US20210286876A1 (en) Method for preventing computer attacks in two-phase filtering and apparatuses using the same
US8543808B2 (en) Trusted intermediary for network data processing
US20070258437A1 (en) Switching network employing server quarantine functionality
EP1853023A1 (en) Intermediate network node supporting packet analysis of encrypted payload
JP2007535017A (ja) アプリケーション層セキュリティ方式およびアプリケーション層セキュリティシステム
CN110362992B (zh) 在基于云端环境中阻挡或侦测计算机攻击的方法和设备
Ellard et al. Rebound: Decoy routing on asymmetric routes via error messages
Singh et al. Practical end-to-end web content integrity
US11038844B2 (en) System and method of analyzing the content of encrypted network traffic
JP6635029B2 (ja) 情報処理装置、情報処理システム及び通信履歴解析方法
US20200389435A1 (en) Auditing smart bits
EP3588900B1 (en) System and method of analyzing the content of encrypted network traffic
Aziz Applying Covert Channel in TCP Fast Open (TFO)
Mohamed Azran Applying covert channel in TCP Fast Open (TFO)/Mohamed Azran Aziz
Cardwell Extractions of Forensics Data with Wireshark
CN114268499A (zh) 数据传输方法、装置、系统、设备和存储介质
CN115987645A (zh) 一种基于Gateway的安全网关
Alarcos et al. Performance analysis of a security architecture for active networks in Java

Legal Events

Date Code Title Description
MM4A Annulment or lapse of patent due to non-payment of fees