TWI414166B - An asynchronous scanning method and device for a network device - Google Patents
An asynchronous scanning method and device for a network device Download PDFInfo
- Publication number
- TWI414166B TWI414166B TW99127875A TW99127875A TWI414166B TW I414166 B TWI414166 B TW I414166B TW 99127875 A TW99127875 A TW 99127875A TW 99127875 A TW99127875 A TW 99127875A TW I414166 B TWI414166 B TW I414166B
- Authority
- TW
- Taiwan
- Prior art keywords
- packet
- network
- scanning
- resident
- scan
- Prior art date
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
本發明係關於一種網路裝置之非同步掃描方法及其裝置,尤指一種高效率且可防止駭客攻擊之網路裝置非同步掃描方法及其裝置。
由於資訊產業的高度發展,資訊產品越來越普及,以及網路速度與頻寬不斷提高,現代家庭對網路的依賴性日益提高,網路已經成為家家戶戶的重要資訊來源。
一般而言,在設置多台電腦的環境中,大多會以一路由器或閘道器等網路裝置連接網際網路與內部的區域網路。由於病毒多藉由網際網路傳播,且部分有心人士會藉由網際網路侵入個人電腦竊取個人資訊,因此,網路安全的重要性也日益提升。此外,大量的垃圾郵件(spam-mail)亦成為多數人使用電腦電子郵件上的一大困擾。
部分廠商藉由在路由器或閘道器等網路裝置中設置掃毒軟體,藉以增加網路裝置之附加價值。目前大多數之解決方案為安裝用戶層(user-space)之掃毒及垃圾郵件應用程式,藉以逐一分析過濾病毒與垃圾郵件。
然而,由於網路裝置之資源有限,不如個人電腦擁有大容量的資料儲存裝置,且在用戶層應用程式中進行掃描網路封包的工作,會使必須掃描的封包傳遞效率降到很低的程度,對於重視封包傳遞速率的網路裝置而言,實為一無法忽視的缺失。此一缺失或可藉由提高網路裝置之硬體
規格來改善,然而提升硬體規格將會造生產成本的增加。
此外,用戶層環境之應用程式,常會因自身漏洞或權限的問題,淪為第三方惡意偵測、攻擊的目標,可能反而遭到利用或被奪取系統的控制權,造成掃描防毒的任務無法完成。
本發明之主要目的,在於提供一種網路裝置之非同步掃描方法及其裝置,尤指一種高效率且可防止駭客攻擊之網路裝置非同步掃描方法及其裝置。
本發明之另一目的,在於提供一種網路裝置之非同步掃描方法,其主要係於作業系統之核心排程中產生一常駐描掃行程,可在核心層執行掃描,防止駭客偵測及攻擊者。
本發明之又一目的,在於提供一種網路裝置之非同步掃描方法,其主要係於網路封包接收作業中進行封包類型之判斷,將不需掃描的封包直接傳送至目地位址,可加快不需掃描封包之傳遞速率者。
本發明之又一目的,在於提供一種網路裝置之非同步掃描方法,於網路封包接收作業中進行封包類型之判斷,將需掃描的封包儲存,並產生一喚醒事件,交由常駐掃描行程掃描,可防止系統陷入等待狀態而延誤後續封包之接收作業者。
本發明之又一目的,在於提供一種可進行非同步掃描之網路裝置,其主要係於唯讀記憶體中儲存一作業系統及一核心執行緒,藉由核心執行緒於作業系統核心排程中產生一常駐掃描行程可在核心層執行掃描,防止駭客偵測及攻擊者。
本發明之又一目的,在於提供一種可進行非同步掃描之網路裝置,其核心執行緒於網路介面接收網路封包時進行封包類型之判斷,將需掃描的封包儲存,並產生一喚醒事件,交由常駐掃描行程掃描,可防止系統陷入等待狀態而延誤後續封包之接收作業者。
本發明之又一目的,在於提供一種可進行非同步掃描之網路裝置,將病毒碼及垃圾郵件類型儲存於唯讀記憶體中,可快速讀取而進行掃描者。
本發明之又一目的,在於提供一種可進行非同步掃描之網路裝置,將病毒碼及垃圾郵件類型儲存於資料儲存器中,可利於更新作業者。
為達成上述目的,本發明提供一種網路裝置之非同步掃描方法,包含有:於作業系統核心排程中產生一常駐掃描行程;設定該常駐掃描行程為可中斷模式;於網路封包接收作業中進行封包類型之判斷;當網路封包為不需掃描類型封包時,直接將該網路封包傳送至目地位址;當網路封包為需掃描類型封包時,向作業系統核心發出一喚醒事件;當作業系統核心收到該喚醒事件時,令該常駐掃描行程進入執行模式;由該常駐掃描行程進行網路封包之掃描;依掃描結果對該網路封包進行處置;及令該常駐掃描行程回復可中斷模式,並形成一循環。
本發明尚提供一種可進行非同步掃描之網路裝置,包含有:一處理器;一網路介面,連接該處理器,用以進行網路封包之接收及傳送;一隨機存取記憶體,連接該處理器,用以儲存該處理器作業所需之資料;及一唯讀記憶體,連接該處理器,用以儲存一作業系統及一核心執行緒;其中,該核心執行緒可於作業系統核心排程中產生一常駐掃描行程,並可於網路介面接收網路封包時進行封包類型之判斷,將需掃描之網路封包儲存於該隨機存取記憶體中,交由該常駐掃描行程進行網路封包之掃描。
請參閱第1圖,係本發明網路裝置一較佳實施例之構造示意圖。如圖所示,本發明之網路裝置10包含有一處理器14、一網路介面(NIC/MAC)12、一隨機存取記憶體(RAM)16及一唯讀記憶體(ROM) 18。
其中,唯讀記憶體18儲存有一作業系統181及一核心執行緒183。處理器14分別連接網路介面12、隨機存取記憶體16及唯讀記憶體18。藉由處理器14執行作業系統181而進行網路裝置10之各項作業。
網路介面12係用以進行網路封包接收與傳送,隨機存取記憶體16則用以儲存處理器14作業所需之資料。
電源啟動時,處理器14首先載入該作業系統181,並執行該核心執行緒183在作業系統核心排程(kernel schedule)中產生一常駐掃描行程(process)。且於該網路介面12接收網路封包時進行封包類型之判斷,將不需掃描的網路封包直接傳送到目地位址,而需掃描之網路封包則儲存於隨機存取記憶體16中,交由該常駐掃描行程依作業系統的核心排程進行掃描。
其中,需掃描的網路封包類型例如超文件傳輸協定(Hypertext Transfer Protocol,HTTP)封包、郵局協定3版(Post Office Protocol version 3,POP3)封包、簡易郵件傳輸協定(Simple Mail Transfer Protocol,SMTP)封包及檔案傳輸協定(File Transfer Protocol,FTP)封包等等。不需掃描的網路封包類型則為網際網路群組管理協定(Internet Group Management Protocol,IGMP)封包、IP電話協定(Voice over Internet Protocol,VoIP)封包及影音資料串流(streaming media)封包等等。
掃描病毒所需之病毒碼185與比對垃圾郵件(spam-mail)所需之垃圾郵件類型(pattern)187可儲存於唯讀記憶體18中,可於常駐掃描行程掃描時快速讀取。亦可增設一資料儲存器19,連接至該處理器14,用以儲存病毒碼191與垃圾郵件類型193,可利於更新或儲存擴充及延伸之病毒碼191與垃圾郵件類型193。其中,該資料儲存器19係可以一快閃記憶體實施。
請參閱第2圖及第3圖,係分別為本發明網路封包接收作業及背景掃描一較佳實施例之流程圖。本發明之非同步掃描方法包含網路介面封包接收作業及背景掃描兩個部分。其中封包接收作業之流程圖係如第2圖所示,首先為判斷是否接收到網路封包,如步驟201;若未接收到網路封包,則持續等待。若接收到網路封包,則依網路封包之標頭(header)判斷該網路封包是否需要掃描,如步驟203。
當封包標頭顯示該網路封包為不需掃描的網路封包類型,例如IGMP封包、VoIP封包及影音資料串流封包等等時,將該網路封包直接傳送至目地位址,如步驟207。若封包標頭顯示該網路封包為需要掃描的網路封包類型,例如HTTP封包、POP3封包、SMTP封包及FTP封包等等時,則將該網路封包儲存於隨機存取記憶體中,並產生一喚醒事件(wake up event),如步驟205。完成步驟201或步驟205之後,回到步驟201並形成一循環。
其中,該喚醒事件將會喚醒系統核心之一常駐掃描行程,藉由該常駐掃描行程在作業系統的核心排程中對該網路封包進行病毒之過濾或垃圾郵件之比對,如步驟209。掃描完畢後,再將可允許之網路封包交由網路介面傳送至目地位址,如步驟207。
由於網路介面在儲存需掃描之網路封包後,即結束該網路封包之接收作業,故不會耽誤到後續網路封包之接收與轉發作業而令系統陷入冗長的等待狀態(busy waiting)中或產生CPU整體運算量被佔用住的狀況,可提升不需掃描封包之傳遞效率。需掃描之網路封包,則依核心排程由該常駐掃描行程進行掃描作業,可在不破壞排程方針(schedule policy)的前提下,以非同步的方式進行病毒及垃圾郵件的掃描。
其中,背景掃描之流程圖係如第3圖所示,首先在載入作業系統後,即執行核心執行緒於作業系統之核心排程中產生一常駐掃描行程,如步驟301。將該常駐掃描行程之狀態設定為可中斷模式(interruptible mode),如步驟303。判斷是否接收到喚醒事件,如步驟305。若無喚醒事件,則持續等待並形成一迴圈。
若接收到喚醒事件,則令該常駐掃描行程進入執行模式(running mode),並開始對儲存於隨機存取記憶體中之網路封包進行病毒之過濾與垃圾郵件之比對等掃描作業,如步驟307及步驟308。
掃描完畢後,依掃描之結果處置該網路封包,若網路封包不包含病毒亦非垃圾郵件,則允許該封包;若網路封包中包含有病毒或為垃圾郵件,則依設定丟棄該網路封包或向用戶層發出警示,如步驟309。其中,被允許的網路封包將交由網路介面傳送至目地位址。
利用本發明網路裝置之非同步掃描方法及裝置,可大幅提高網路裝置之封包傳遞效率,且網路封包之掃描作業系由核心層之常駐描行程執行,可避免成為駭客攻擊的目標。
以上所述者,僅為本發明之實施例而已,並非用來限定本發明實施之範圍,即凡依本發明申請專利範圍所述之形狀、構造、特徵、方法及精神所為之均等變化與修飾,均應包括於本發明之申請專利範圍內。
10...網路裝置
12...網路介面
14...處理器
16...隨機存取記憶體
18...唯讀記憶體
181...作業系統
183...核心執行緒
185...病毒碼
187...垃圾郵件類型
19...資料儲存器
191...病毒碼
193...垃圾郵件類型
201至209...步驟
301至309...步驟
第1圖:係本發明網路裝置一較佳實施例之構造示意圖。
第2圖:係本發明網路封包接收作業一較佳實施例之流程圖。
第3圖:係本發明背景掃描一較佳實施例之流程圖。
201至209...步驟
Claims (10)
- 一種網路裝置之非同步掃描方法,包含有:於作業系統核心排程中產生一常駐掃描行程;設定該常駐掃描行程為可中斷模式;於網路封包接收作業中進行封包類型之判斷;當網路封包為不需掃描類型封包時,直接將該網路封包傳送至目地位址;當網路封包為需掃描類型封包時,向作業系統核心發出一喚醒事件;當作業系統核心收到該喚醒事件時,令該常駐掃描行程進入執行模式;由該常駐掃描行程進行網路封包之掃描;依掃描結果對該網路封包進行處置;及令該常駐掃描行程回復可中斷模式,並形成一循環。
- 如申請專利範圍第1項所述之非同步掃描方法,其中該需掃描類型封包係可選擇為一HTTP封包、一POP3封包、一SMTP封包或一FTP封包之其中之一者。
- 如申請專利範圍第1項所述之非同步掃描方法,其中當網路封包為需掃描類型封包時,尚包含有一儲存該網路封包之步驟。
- 如申請專利範圍第3項所述之非同步掃描方法,其中該網路封包係儲存於該網路裝置之一隨機存取記憶體中。
- 如申請專利範圍第1項所述之非同步掃描方法,其中 該常駐掃描行程進行網路封包掃描之步驟,包含有一過濾病毒之步驟及一比對垃圾郵件之步驟。
- 如申請專利範圍第1項所述之非同步掃描方法,其中該依掃描結果對該網路封包進行處置之步驟係可選擇為一允許該網路封包之步驟、一丟棄該網路封包之步驟或一向用戶層發出警示之步驟之其中之一。
- 一種可進行非同步掃描之網路裝置,包含有:一處理器;一網路介面,連接該處理器,用以進行網路封包之接收及傳送;一隨機存取記憶體,連接該處理器,用以儲存該處理器作業所需之資料;及一唯讀記憶體,連接該處理器,用以儲存一作業系統及一核心執行緒;其中,該核心執行緒可於作業系統核心排程中產生一常駐掃描行程,並可於網路介面接收網路封包時進行封包類型之判斷,將需掃描之網路封包儲存於該隨機存取記憶體中,交由該常駐掃描行程進行網路封包之掃描。
- 如申請專利範圍第7項所述之網路裝置,其中該唯讀記憶體儲存有病毒碼及垃圾郵件類型。
- 如申請專利範圍第7項所述之網路裝置,尚包含有一資料儲存器,連接該處理器,用以儲存病毒碼及垃圾郵件類型。
- 如申請專利範圍第9項所述之網路裝置,其中該資料儲存器係可選擇為一快閃記憶體。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
TW99127875A TWI414166B (zh) | 2010-08-20 | 2010-08-20 | An asynchronous scanning method and device for a network device |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
TW99127875A TWI414166B (zh) | 2010-08-20 | 2010-08-20 | An asynchronous scanning method and device for a network device |
Publications (2)
Publication Number | Publication Date |
---|---|
TW201210279A TW201210279A (en) | 2012-03-01 |
TWI414166B true TWI414166B (zh) | 2013-11-01 |
Family
ID=46763932
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
TW99127875A TWI414166B (zh) | 2010-08-20 | 2010-08-20 | An asynchronous scanning method and device for a network device |
Country Status (1)
Country | Link |
---|---|
TW (1) | TWI414166B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106788411B (zh) * | 2016-11-15 | 2020-08-11 | 中国电子科技集团公司第四十一研究所 | 一种提高信号接收分析仪器线性扫描速率的方法 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
TW200518521A (en) * | 2003-08-29 | 2005-06-01 | Trend Micro Inc | Network isolation techniques suitable for virus protection |
EP1137226B1 (en) * | 2000-03-22 | 2008-11-05 | Texas Instruments Incorporated | Improved packet scheduling of real time information over a packet network |
TW201019670A (en) * | 2008-11-07 | 2010-05-16 | Univ Nat Cheng Kung | Transmitting method of open standard internet protocol security (IPSec) |
-
2010
- 2010-08-20 TW TW99127875A patent/TWI414166B/zh not_active IP Right Cessation
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1137226B1 (en) * | 2000-03-22 | 2008-11-05 | Texas Instruments Incorporated | Improved packet scheduling of real time information over a packet network |
TW200518521A (en) * | 2003-08-29 | 2005-06-01 | Trend Micro Inc | Network isolation techniques suitable for virus protection |
TW200529621A (en) * | 2003-08-29 | 2005-09-01 | Trend Micro Inc | Network traffic management by a virus/worm monitor in a distributed network |
TW201019670A (en) * | 2008-11-07 | 2010-05-16 | Univ Nat Cheng Kung | Transmitting method of open standard internet protocol security (IPSec) |
Also Published As
Publication number | Publication date |
---|---|
TW201210279A (en) | 2012-03-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10171475B2 (en) | Cloud email message scanning with local policy application in a network environment | |
US9043909B2 (en) | System and method for incorporating quality-of-service and reputation in an intrusion detection and prevention system | |
US8577968B2 (en) | Method and system for handling unwanted email messages | |
US20090307776A1 (en) | Method and apparatus for providing network security by scanning for viruses | |
US8752169B2 (en) | Botnet spam detection and filtration on the source machine | |
Cambiaso et al. | Slowcomm: Design, development and performance evaluation of a new slow DoS attack | |
US20060080733A1 (en) | Offline analysis of packets | |
US9294487B2 (en) | Method and apparatus for providing network security | |
US20120039336A1 (en) | High Performance, High Bandwidth Network Operating System | |
JP2008011537A (ja) | ネットワークセキュリティデバイスにおけるパケット分類 | |
WO2013097475A1 (zh) | 防火墙的数据检测方法及装置 | |
WO2020037781A1 (zh) | 一种实现服务器防攻击方法及装置 | |
WO2007104988A1 (en) | A method and apparatus for providing network security | |
US11757912B2 (en) | Deep packet analysis | |
Atre et al. | SurgeProtector: Mitigating temporal algorithmic complexity attacks using adversarial scheduling | |
US20060075099A1 (en) | Automatic elimination of viruses and spam | |
US10721148B2 (en) | System and method for botnet identification | |
JP2007179523A (ja) | 悪意データを検出する端末装置及び関連方法 | |
TWI414166B (zh) | An asynchronous scanning method and device for a network device | |
Sharma | An analytical survey of recent worm attacks | |
US9270686B1 (en) | Zero copy packet buffering using shadow sends | |
CN101938482B (zh) | 网络装置的异步扫描方法及其装置 | |
Shi et al. | An SDN-based Sampling System for Cloud P2P Bots Detection. | |
CN117857092A (zh) | 一种网络资产端口扫描方法 | |
EP2211518A2 (en) | A technical system located in the firmware / OS-kernel of an e-mail gateway or firewall to protect the infrastructure or operating system against DDoS attacks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
MM4A | Annulment or lapse of patent due to non-payment of fees |