TWI453624B - 資訊安全防護主機 - Google Patents

資訊安全防護主機 Download PDF

Info

Publication number
TWI453624B
TWI453624B TW099138462A TW99138462A TWI453624B TW I453624 B TWI453624 B TW I453624B TW 099138462 A TW099138462 A TW 099138462A TW 99138462 A TW99138462 A TW 99138462A TW I453624 B TWI453624 B TW I453624B
Authority
TW
Taiwan
Prior art keywords
operating system
information
packet
network service
virtual machine
Prior art date
Application number
TW099138462A
Other languages
English (en)
Other versions
TW201220116A (en
Inventor
Chih Hung Lin
Chin Wei Tien
sheng hao Wang
Original Assignee
Inst Information Industry
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Inst Information Industry filed Critical Inst Information Industry
Priority to TW099138462A priority Critical patent/TWI453624B/zh
Priority to US12/960,056 priority patent/US8458785B2/en
Priority to JP2010273505A priority patent/JP5374485B2/ja
Publication of TW201220116A publication Critical patent/TW201220116A/zh
Application granted granted Critical
Publication of TWI453624B publication Critical patent/TWI453624B/zh

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/53Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

資訊安全防護主機
本發明係關於一種資訊安全防護主機。具體而言,本發明之資訊安全防護主機可根據本身運行的一個或多個作業系統及各作業系統所提供的網路服務,自複數個驗證規則中篩選出相對應不同作業系統或其提供的網路服務的驗證規則集合,以驗證接收到的封包,藉此避免與不同作業系統相關的封包皆採用全部相同的驗證規則驗證。
因網際網路的快速發展,越來越多的企業透過架設主機來提供各種多元化的網路服務,例如:網頁服務、電子郵件服務以及檔案傳輸協定服務等。然而,網際網路雖提供人們傳遞資訊之便利,但亦讓有心人透過入侵主機的方式竊取或修改儲存於主機內的資料。因此,為保護主機內資料的安全,近年來大多企業皆為主機安裝一入侵偵測系統(Intrusion Detection System,IDS),以透過入侵偵測系統偵測各種入侵行為。
傳統的入侵偵測系統對於接收到的封包載入過多的驗證規則驗證封包的內容,即使該封包對於運行於主機上的作業系統未帶有威脅的可能性,也同樣載入全部的驗證規則進行驗證。然而,載入過多的驗證規則會耗費大量系統效能,且亦容易產生誤判的情形。
此外,由於目前部份企業之主機採用虛擬機器管理員(virtual machine monitor;VMM)裝置運行多個不同作業系統,因此若虛擬機器管理員更運行傳統的入侵偵測系統以驗證每個與不同作業系統相關的封包,勢必會更加因為載入過多的驗證規則而導致偵測效能不高,且耗費過多系統效能的窘態。
綜上所述,如何提高入侵偵測系統的偵測效能,特別是在主機採用虛擬機器管理員裝置運行多個不同作業系統的情況下,乃是現今業界仍需努力解決的問題。
本發明之一目的在於提供一資訊安全防護主機。該資訊安全防護主機運行一個或多個作業系統以提供一個或多個網路服務。該資訊安全防護主機根據所運行的作業系統及其提供的服務,判斷接收到與各作業系統相關封包的安全性。
為達上述目的,本發明揭露一種資訊安全防護主機,一網路介面及虛擬機器管理員裝置。該網路介面連接至一電腦網路,且用以接收一第一封包。該虛擬機器管理員裝置連接至該網路介面,且用以運行一第一作業系統。該第一作業系統提供一第一網路服務,該虛擬機器管理員裝置更用以即時提供該第一作業系統之一第一作業系統資訊以及該第一網路服務之一第一網路服務資訊。該第一網路服務資訊包含一第一服務通訊埠號碼(port number)。當該網路介面經由一通訊埠接收該第一封包時,該虛擬機器管理員裝置更根據第一作業系統資訊及該第一網路服務資訊,判斷該第一封包與該第一作業系統相關,且該通訊埠之通訊埠號碼不等於該第一服務通訊埠號碼,以濾除該第一封包。
本發明之另一目的在於提供一資訊安全防護主機。該資訊安全防護主機運行一個或多個作業系統,以提供一個或多個網路服務。該資訊安全防護主機更運行一安全系統,以提供複數個驗證規則。該安全系統根據該資訊安全防護主機所運行的作業系統及其提供的服務,自複數個驗證規則中篩選符合不同作業系統的驗證規則集合。如此一來,當該資訊安全防護主機接收到與各作業系統相關封包時,則該安全系統採用篩選後的驗證規則集合分析封包內容,以避免使用全部的驗證規則驗證封包,進而提升偵測效能。
為達上述目的,本發明更揭露一種資訊安全防護主機,其包含一網路介面以及一虛擬機器管理員裝置。該網路介面連接至一電腦網路,且用以接收一第一封包。該虛擬機器管理員裝置,連接至該網路介面,且用以運行一第一作業系統以及一安全系統。該第一作業系統提供一第一網路服務。該安全系統用以提供複數個驗證規則。該虛擬機器管理員裝置更即時提供該第一作業系統之一第一作業系統資訊以及該第一網路服務之一第一網路服務資訊至該安全系統,俾該安全系統根據該第一作業系統資訊及該第一網路服務資訊,自該等驗證規則篩選一第一驗證規則集合,並判斷該第一封包與該第一作業系統相關,以套用該第一驗證規則集合,驗證該第一封包。
本發明之另一目的在於提供一資訊安全防護主機。該資訊安全防護主機運行一個或多個作業系統,以提供一個或多個網路服務。該資訊安全防護主機更運行一安全系統,以提供複數個驗證規則,並根據該等驗證規則驗證接收到與各作業系統相關的封包。當一封包無法通過該等驗證規則之一規則時,該資訊安全防護主機更判斷該封包與一作業系統是否相關,且該規則與該作業系統是否相關,以決定該封包是否會對該作業系統造成威脅。如此一來,透過上述機制可避免使用該安全系統根據該等驗證規則,驗證該封包時,產生誤判的情形。
為達上述目的,本發明更揭露一種資訊安全防護主機,其包含一網路介面以及一虛擬機器管理員裝置。該網路介面連接至一電腦網路且用以接收一第一封包。該虛擬機器管理員裝置連接至該網路介面,且用以運行一第一作業系統以及一安全系統。該第一作業系統提供一第一網路服務。該虛擬機器管理員裝置更用以即時提供該第一作業系統之一第一作業系統資訊以及該第一網路服務之一第一網路服務資訊。該安全系統用以提供複數個驗證規則,以根據該等驗證規則,驗證該第一封包。當該第一封包無法通過該等驗證規則之一規則時,該虛擬機器管理員裝置更根據第一作業系統資訊或該第一網路服務資訊,判斷該第一封包與該第一作業系統相關且該規則與該第一作業系統不相關,以避免使用該安全系統於根據該等驗證規則,驗證該第一封包時,產生一錯誤判斷。
在參閱圖式及隨後描述之實施方式後,所屬技術領域具有通常知識者便可瞭解本發明之其它目的、優點以及本發明之技術手段及實施態樣。
本發明係提供一資訊安全防護主機。本發明之資訊安全防護主機運行一個或多個作業系統。各作業系統提供一個或多個網路服務。當接收到與一作業系統相關的封包時,資訊安全防護主機係根據該作業系統之一作業系統資訊及該作業系統所提供的網路服務之一網路服務資訊,判斷封包的安全性。以下之實施例係用以舉例說明本發明之技術內容,並非用以限制本發明之範圍。需說明者,以下實施例及圖式中,與本發明無關之元件已省略而未繪示,且圖式中各元件間之尺寸關係僅為求容易瞭解,非用以限制實際比例。
本發明第一實施例之一資訊安全防護主機1係如第1圖所示。資訊安全防護主機1包含一網路介面11以及一虛擬機器管理員(virtual machine monitor;VMM)裝置13。資訊安全防護主機1係透過網路介面11以一有線方式或一無線方式連接至一電腦網路2。電腦網路2可為一私人網路、一公有網路、一網際網路(Internet)及其他網路的任何組合。
虛擬機器管理員裝置13具有一記憶體13a,且用以運行一第一作業系統131。第一作業系統131係提供一第一網路服務,例如:包含一網頁(Web Page)服務、一檔案傳輸協定(File Transfer Protocol;FTP)、一電子郵件服務以及其他網路服務的任何組合。需說明者,第一作業系統131可為一微軟作業系統、一類Unix(Unix-like)作業系統或其他可提供網路服務的作業系統,而虛擬機器管理員裝置13可由一般的電腦主機硬體(例如:由中央處理器、記憶體、硬碟、主機板等)所構成,或其他具有同時運行一個或多個作業系統能力之裝置。
於本實施例中,當虛擬機器管理員裝置13運行第一作業系統131時,由於虛擬機器管理員裝置13運行第一作業系統131會使用記憶體13a,因此記憶體13a將會儲存與第一作業系統131相關的資訊,例如:第一作業系統131之第一作業系統資訊以及所提供之第一網路服務的第一網路服務資訊。第一作業系統資訊可用以表示該第一作業系統為一微軟作業系統、一類Unix作業系統或其他作業系統,而第一網路服務資訊可用以表示該第一服務可能包含一網頁服務、一檔案傳輸協定服務、一電子郵件服務或其他網路服務的任何組合。
舉例而言,以微軟作業系統作為說明,微軟作業系統在運行時,其核心(Kernel)會建立一程序環境區塊(Process Environment Block;PEB)資料結構儲存於在記憶體中,以存放相關參數。PEB資料結構中的OSMajorVersion及OSMinorVersion欄位係存放代表微軟作業系統版本參數,例如:當OSMajorVersion欄位之參數為「7」且OSMinorVersion欄位之參數為「0」時,代表微軟作業系統為Windows 7;當OSMajorVersion欄位之參數為「6」且OSMinorVersion欄位之參數為「0」時,代表微軟作業系統為Windows Vista或Server 2008;當OSMajorVersion欄位之參數為「5」且OSMinorVersion欄位之參數為「2」時,代表微軟作業系統為Windows Server 2003;以及當OSMajorVersion欄位之參數為「5」且OSMinorVersion欄位之參數為「1」時,代表微軟作業系統為Windows XP。由於PEB資料結構屬習知技術內容,所屬技術領域中具有通常知識者可輕易依現有技術文獻得知PEB資料結構的細節內容,故在此則不再加以贅述。
此外,微軟作業系統在運行時,其核心亦會建立一EPROCESS資料結構及一MIB_TCPROW_OWNER_MODULE資料結構,並儲存於記憶體中。EPROCESS資料結構記錄著目前執行中的程序(即包含提供第一網路服務的程序),而MIB_TCPROW_OWNER_MODULE資料結構記錄目前執行中的程序的相關資訊。據此,從EPROCESS資料結構可取得程序列表(Process List),再根據程序列表中的程序識別碼(Process Identification;PID)自MIB_TCPROW_OWNER_MODULE資料結構取得執行中的程序的相關資訊。另外,當第一作業系統131更新所提供之第一網路服務時(即新開啟另一網路服務,或關閉一現有之網路服務時),第一作業系統便會自動產生一分頁錯誤(Page Fault)訊息,此時虛擬機器管理員裝置13可因應分頁錯誤訊息,取得新開啟或關閉網路服務的相關訊息,以更新第一網路服務資訊。
依據上述之舉例說明,虛擬機器管理員裝置13係自其記憶體13a讀取第一作業系統131之第一作業系統資訊以及所提供之第一網路服務的第一網路服務資訊。需注意者,雖本發明僅以微軟作業系統作為舉例說明,但所屬技術領域中具有通常知識者可輕易依各作業系統之技術規格得知如何自記憶體中取得作業系統資訊以及所提供之網路服務的網路服務資訊,因此作業系統及其提供服務之種類並非用以限制本發明之範圍,且在此不加以詳述其他作業系統的作法。
隨後,當網路介面11接收第一封包102時,虛擬機器管理員裝置13可根據第一網路服務資訊中記錄的第一網路服務所使用的第一服務通訊埠號碼(例如:807),對第一封包102進行過濾。舉例而言,當網路介面11經由一通訊埠(例如:544)接收第一封包102時,虛擬機器管理員裝置13可根據判斷第一封包102與第一作業系統131相關(即第一封包102傳送之目的地為第一作業系統131),且接收第一封包102之通訊埠不等於第一服務通訊埠號碼,以濾除第一封包102。
本發明第二實施例之資訊安全防護主機1係如第2圖所示。不同於第一實施例,在第二實施例中,網路介面11更自電腦網路2皆接收第二封包104,且資訊安全防護主機1之虛擬機器管理員裝置13更用以運行第二作業系統133。第二作業系統133亦提供一第二網路服務,例如:包含一網頁服務、一檔案傳輸協定、一電子郵件服務以及其他網路服務的任何組合。類似地,第二作業系統133可為一微軟作業系統、一類Unix作業系統或其他可提供網路服務的作業系統。
當虛擬機器管理員裝置13運行第二作業系統133時,由於虛擬機器管理員裝置13運行第二作業系統133亦會使用記憶體13a,因此記憶體13a將會儲存與第二作業系統133相關的資訊,例如:第二作業系統133之第二作業系統資訊以及所提供之第二網路服務的第二網路服務資訊。第二作業系統資訊則可用以表示第二作業系統133為一微軟作業系統、一類Unix作業系統或其他作業系統,而第二網路服務資訊則可用以表示該第二服務可能包含一網頁服務、一檔案傳輸協定、一電子郵件服務或其他網路服務的任何組合。
當網路介面11接收第二封包104時,虛擬機器管理員裝置13可根據第二網路服務資訊中記錄的第二網路服務所使用的第二服務通訊埠號碼(例如:707),對第二封包104進行過濾。舉例而言,當網路介面11經由一通訊埠(例如:474)接收第二封包104時,虛擬機器管理員裝置13可根據判斷第二封包104與第二作業系統133相關(即第二封包104傳送之目的地為第二作業系統131),且接收第二封包104之通訊埠不等於第二服務通訊埠號碼,以濾除第二封包104。
本發明第三實施例之資訊安全防護主機1係如第3圖所示。不同於第一實施例,在第三實施例中,資訊安全防護主機1之虛擬機器管理員裝置13更用以運行一安全系統135,且虛擬機器管理員裝置13無需根據第一網路服務資訊中記錄的第一網路服務所使用的第一服務通訊埠號碼,對第一封包102進行過濾。安全系統135用以提供複數個驗證規則。安全系統135可以為一入侵偵測系統(Intrusion Detection System,IDS)、一網路型入侵偵測系統(Network intrusion detection system,NIDS)、一網路型入侵防禦系統(Network Intrusion Prevention System,NIPS)、一Web防火牆(Web App Firewall)、一防火牆(Firewall)或其他具防護功能的系統。
虛擬機器管理員裝置13將自其記憶體13a讀取第一作業系統131之第一作業系統資訊以及所提供之第一網路服務的第一網路服務資訊,提供給安全系統135使用。安全系統135根據第一作業系統資訊或第一網路服務資訊,自該等驗證規則篩選一第一驗證規則集合。舉例而言,當第一作業系統資訊顯示第一作業系統為微軟作業系統(Windows Server 2003),且第一網路服務資訊顯示該第一網路服務包含電子郵件服務時,安全系統135係自該等驗證規則篩選關於微軟作業系統(Windows Server 2003)且進一步關於電子郵件服務的驗證規則作為第一驗證規則集合。據此,當自網路介面11接收第一封包102時,虛擬機器管理員裝置13會使用安全系統135先驗第一封包102。當安全系統135判斷第一封包102與第一作業系統131相關(即第一封包102傳送之目的地為第一作業系統131)時,則套用第一驗證規則集合驗證第一封包102,而非套用全部的驗證規則。具體而言,若第一封包102通過第一驗證規則集合的驗證,則虛擬機器管理員裝置13即將第一封包102供第一作業系統131使用;另一方面,若第一封包102未通過第一驗證規則集合的驗證時,則濾除第一封包102,避免第一封包102對第一作業系統131造成威脅。
此外,於其他實施例中,虛擬機器管理員裝置13亦可先根據第一網路服務資訊中記錄的第一網路服務所使用的第一服務通訊埠號碼,對第一封包102進行過濾。當虛擬機器管理員裝置13判斷第一封包102與第一作業系統131相關(即第一封包102傳送之目的地為第一作業系統131),且接收第一封包102之通訊埠等於第一服務通訊埠號碼時,再使用安全系統135驗證第一封包102。換言之,本發明之虛擬機器管理員裝置13可單獨使用安全系統135對封包進行驗證,或先透過通訊埠號碼對封包進行過濾,再使用安全系統135對封包進行驗證。
本發明第四實施例之資訊安全防護主機1係如第4圖所示。不同於第三實施例,在第四實施例中,網路介面11更自電腦網路2皆接收第二封包104,且資訊安全防護主機1之虛擬機器管理員裝置13更用以運行第二作業系統133。第二作業系統133亦提供一第二網路服務,例如:包含一網頁服務,一檔案傳輸協定、一電子郵件服務以及其他網路服務的任何組合。類似地,第二作業系統133可為一微軟作業系統、一類Unix作業系統或其他可提供網路服務的作業系統。於第四實施例中,虛擬機器管理員裝置13亦無需根據第二網路服務資訊中記錄的第二網路服務所使用的第二服務通訊埠號碼,對第二封包104進行過濾。
當虛擬機器管理員裝置13運行第二作業系統133時,由於虛擬機器管理員裝置13運行第二作業系統133亦會使用記憶體13a,因此記憶體13a將會儲存與第二作業系統133相關的資訊,例如:第二作業系統133之第二作業系統資訊以及所提供之第二網路服務的第二網路服務資訊。第二作業系統資訊則可用以表示第二作業系統133為一微軟作業系統、一類Unix作業系統或其他作業系統,而第二網路服務資訊則可用以表示該第二服務可能包含一網頁服務、一檔案傳輸協定、一電子郵件服務或其他網路服務的任何組合。
虛擬機器管理員裝置13將自其記憶體13a讀取第二作業系統131之第二作業系統資訊以及所提供之第二網路服務的第二網路服務資訊,提供給安全系統135使用。安全系統135根據第二作業系統資訊或第二網路服務資訊,自該等驗證規則篩選一第二驗證規則集合。舉例而言,當第二作業系統資訊顯示第二作業系統為類Unix作業系統,且第二網路服務資訊顯示該第二網路服務包含網頁服務及檔案傳輸協定服務時,安全系統135係自該等驗證規則篩選關於類Unix作業系統且進一步關於網頁服務及檔案傳輸協定服務的驗證規則作為第二驗證規則集合。據此,當網路介面11接收第二封包104時,虛擬機器管理員裝置13會使用安全系統135驗證第二封包104。當安全系統135判斷第二封包104與第二作業系統133相關(即第二封包104傳送之目的地為第二作業系統133)時,則套用第二驗證規則集合驗證第二封包104,而非套用全部的驗證規則。具體而言,若第二封包104通過第二驗證規則集合的驗證,則虛擬機器管理員裝置13即將第二封包104供第二作業系統133使用;另一方面,若第二封包104未通過第二驗證規則集合的驗證時,則濾除第二封包104,避免第二封包104對第二作業系統133造成威脅。
此外,於其他實施例中,虛擬機器管理員裝置13亦可先根據第二網路服務資訊中記錄的第二網路服務所使用的第二服務通訊埠號碼,對第二封包104進行過濾。當虛擬機器管理員裝置13判斷第二封包104與第二作業系統133相關(即第二封包104傳送之目的地為第二作業系統133),且接收第二封包104之通訊埠等於第二服務通訊埠號碼時,再使用安全系統135驗證第二封包104。
本發明第五實施例之資訊安全防護主機1係如第3圖所示。不同於第一實施例,在第五實施例中,資訊安全防護主機1之虛擬機器管理員裝置13更用以運行一安全系統135。安全系統135用以提供複數個驗證規則。安全系統135可以為一入侵偵測系統、一網路型入侵偵測系統、一網路型入侵防禦系統、一Web防火牆、一防火牆或其他具防護功能的系統。
於接收第一封包102後,虛擬機器管理員裝置13使用安全系統135驗證第一封包102。安全系統135套用全部的驗證規則驗證第一封包102。當第一封包102無法通過該等驗證規則之一規則時,虛擬機器管理員裝置13更根據第一作業系統資訊或該第一網路服務資訊,判斷第一封包102與第一作業系統131相關且該規則與第一作業系統131不相關,以決定安全系統135套用全部的驗證規則驗證第一封包102時,是否產生誤判的情況。具體而言,若安全系統135判斷第一封包102不符合該等驗證規則之該規則時,即發出一警告。虛擬機器管理員裝置13因應該警告,判斷該封包與第一作業系統131相關(即第一封包102傳送之目的地為第二作業系統131)且該規則與第一作業系統131不相關,例如:當第一作業系統131為Windows Server 2003作業系統,但該規則不適用於Windows Server 2003作業系統,如此一來,虛擬機器管理員裝置13即可判斷安全系統135對第一封包102所為之驗證為誤判。藉此,可避免安全系統135套用全部驗證規則,驗證第一封包102時,產生一錯誤判斷。
本發明第六實施例之資訊安全防護主機1亦如第4圖所示。不同於第五實施例,在第六實施例中,網路介面11更自電腦網路2皆接收第二封包104,且資訊安全防護主機1之虛擬機器管理員裝置13更用以運行第二作業系統133。第二作業系統133亦提供一第二網路服務,例如:包含一網頁服務、一檔案傳輸協定、一電子郵件服務以及其他網路服務的任何組合。類似地,第二作業系統133可為一微軟作業系統、一類Unix作業系統或其他可提供網路服務的作業系統。
當虛擬機器管理員裝置13運行第二作業系統133時,由於虛擬機器管理員裝置13運行第二作業系統133亦會使用記憶體13a,因此記憶體13a將會儲存與第二作業系統133相關的資訊,例如:第二作業系統133之第二作業系統資訊以及所提供之第二網路服務的第二網路服務資訊。第二作業系統資訊則可用以表示第二作業系統133為一微軟作業系統、一類Unix作業系統或其他作業系統,而第二網路服務資訊則可用以表示該第二服務可能包含一網頁服務、一檔案傳輸協定、一電子郵件服務或其他網路服務的任何組合。
於接收第二封包104後,虛擬機器管理員裝置13使用安全系統135驗證第二封包104。安全系統135套用全部的驗證規則驗證第二封包104。當第二封包104無法通過該等驗證規則之一規則時,虛擬機器管理員裝置13更根據第二作業系統資訊或該第二網路服務資訊,判斷第二封包104與第二作業系統133相關且該規則與第二作業系統133不相關,以決定安全系統135使用全部的驗證規則驗證第二封包104時,產生一錯誤判斷。具體而言,若安全系統135判斷第二封包104不符合該等驗證規則之該規則時,即發出一警告。虛擬機器管理員裝置13因應該警告,判斷該封包與第二作業系統135相關(即第二封包104傳送之目的地為第二作業系統135)且該規則與第二作業系統131不相關,例如:當第二作業系統135為類Unix作業系統,但該規則不適用於類Unix作業系統,如此一來,虛擬機器管理員裝置13即可判斷安全系統135對第二封包104所為之驗證為誤判。藉此,可避免安全系統135使用全部驗證規則,驗證第二封包104時,產生一錯誤判斷。
在此需特別說明,本實施例中係「第一」及「第二」說明虛擬機器管理員裝置13運行二個的作業系統且二個作業系統提供之各自的網路服務,而於其他的實施例中,虛擬機器管理員裝置13更可以運行二個以上的作業系統,且各作業系統亦各自提供各種網路服務。換言之,當虛擬機器管理員裝置13運行二個以上的作業系統時,亦能執行本發明之技術手段。
承上所述,本發明係透過主機之虛擬機器管理員裝置自本身記憶體取得所運行多個不同作業系統的資訊,並藉由這些資訊使得虛擬機器管理員裝置本身可根據不同的作業系統或其所提供之網路服務,過濾主機所接收的封包。此外,藉由這些資訊,亦可使虛擬機器管理員裝置運行之安全系統自原先大量的驗證規則中分別篩選出適合不同作業系統或其提供的網路服務的驗證規則集合。如此一來,即可根據封包所對應之作業系統,使用篩選出的驗證規則集合驗證封包,以避免使用全部的驗證規則驗證封包。另外,當安全系統根據全部的驗證規則驗證封包時,藉由這些資訊,亦可避免驗證封包時產生一錯誤判斷。據此,本發明之資訊安全防護主機可有效地提升偵測效能,並減少產生誤判的情形。
上述之實施例僅用來例舉本發明之實施態樣,以及闡釋本發明之技術特徵,並非用來限制本發明之保護範疇。任何熟悉此技術者可輕易完成之改變或均等性之安排均屬於本發明所主張之範圍,本發明之權利保護範圍應以申請專利範圍為準。
1...資訊安全防護主機
2...電腦網路
11...網路介面
13...虛擬機器管理員裝置
13a...記憶體
131...第一作業系統
133...第二作業系統
135...安全系統
102...第一封包
104...第二封包
第1圖係本發明第一實施例之資訊安全防護主機1之示意圖;
第2圖係本發明第二實施例之資訊安全防護主機1之示意圖;
第3圖係本發明第三實施例及第五實施例中之資訊安全防護主機1之示意圖;以及
第4圖係本發明第四實施例及第六實施例中之資訊安全防護主機1之示意圖。
1...資訊安全防護主機
2...電腦網路
11...網路介面
13...虛擬機器管理員裝置
13a...記憶體
131...第一作業系統

Claims (20)

  1. 一種資訊安全防護主機,包含:一網路介面,連接至一電腦網路,用以接收一第一封包以及一第二封包;以及一虛擬機器管理員(Virtual Machine Monitor;VMM)裝置,連接至該網路介面,用以運行一第一作業系統、一第二作業系統以及一安全系統,該第一作業系統提供一第一網路服務,該第二作業系統提供一第二網路服務,該安全系統用以提供複數個驗證規則,該虛擬機器管理員裝置更用以即時提供該第一作業系統之一第一作業系統資訊以及該第一網路服務之一第一網路服務資訊,並且用以即時提供該第二作業系統之一第二作業系統資訊以及該第二網路服務之一第二網路服務資訊;其中,該第一網路服務資訊包含一第一服務通訊埠號碼(port number),當該網路介面經由一通訊埠接收該第一封包時,該虛擬機器管理員裝置更根據第一作業系統資訊或該第一網路服務資訊,判斷該第一封包與該第一作業系統相關,且該通訊埠之通訊埠號碼不等於該第一服務通訊埠號碼,以濾除該第一封包;其中,該第二網路服務資訊包含一第二服務通訊埠號碼,當該網路介面經由另一通訊埠接收該第二封包時,該虛擬機器管理員裝置更根據第二作業系統資訊或該第二網路服務資訊,判斷該第二封包與該第二作業系統相關,且該另一通訊埠之通訊埠號碼不等於該第二服務通訊埠號碼,以濾除 該第二封包;其中,該虛擬機器管理員裝置更即時提供該第一作業系統資訊以及該第一網路服務資訊至該安全系統,俾該安全系統根據該第一作業系統資訊或該第一網路服務資訊,自該等驗證規則篩選一第一驗證規則集合,當該虛擬機器管理員裝置根據該第一作業系統資訊或該第一網路服務資訊,判斷該第一封包與該第一作業系統相關,且該通訊埠之通訊埠號碼等於該第一服務通訊埠號碼時,該安全系統判斷該第一封包與該第一作業系統相關,以套用該第一驗證規則集合,驗證該第一封包;其中,該虛擬機器管理員裝置更即時提供該第二作業系統資訊以及該第二網路服務資訊至該安全系統,俾該安全系統根據該第二作業系統資訊或該第二網路服務資訊,自該等驗證規則篩選一第二驗證規則集合,當該虛擬機器管理員裝置根據該第二作業系統資訊或該第二網路服務資訊,判斷該第二封包與該第二作業系統相關,且該另一通訊埠之通訊埠號碼等於該第二服務通訊埠號碼時,該安全系統判斷該第二封包與該第二作業系統相關,以套用該第二驗證規則集合,驗證該第二封包。
  2. 如請求項1所述之資訊安全防護主機,其中該虛擬機器管理員裝置更包含一記憶體,當該虛擬機器管理員裝置運行該第一作業系統時,該記憶體儲存該第一作業系統資訊及該第一網路服務資訊。
  3. 如請求項1所述之資訊安全防護主機,其中該第一作業系統 資訊用以表示該第一作業系統為一微軟作業系統以及一類Unix(Unix-like)作業系統其中之一。
  4. 如請求項1所述之資訊安全防護主機,其中該第一網路服務係選自於下列群組:一網頁(Web Page)服務、一檔案傳輸協定(File Transfer Protocol;FTP)以及一電子郵件服務。
  5. 如請求項1所述之資訊安全防護主機,其中該虛擬機器管理員裝置更包含一記憶體,當該虛擬機器管理員裝置運行該第二作業系統時,該記憶體儲存該第二作業系統資訊及該第二網路服務資訊。
  6. 如請求項1所述之資訊安全防護主機,其中該第二作業系統資訊用以表示該第二作業系統為一微軟作業系統以及一類Unix作業系統其中之一。
  7. 如請求項1所述之資訊安全防護主機,其中該第二網路服務係選自於下列群組:一網頁服務、一檔案傳輸協定以及一電子郵件服務。
  8. 一種資訊安全防護主機,包含:一網路介面,連接至一電腦網路,用以接收一第一封包以及一第二封包;以及一虛擬機器管理員裝置,連接至該網路介面,用以運行一第一作業系統、一第二作業系統以及一安全系統,該第一作業系統提供一第一網路服務,該第二作業系統提供一第二網路服務,該安全系統用以提供複數個驗證規則;其中,該虛擬機器管理員裝置更即時提供該第一作業系統之一第一作業系統資訊以及該第一網路服務之一第一網路 服務資訊至該安全系統,俾該安全系統根據該第一作業系統資訊或該第一網路服務資訊,自該等驗證規則篩選一第一驗證規則集合,並判斷該第一封包與該第一作業系統相關,以套用該第一驗證規則集合,驗證該第一封包;其中,該虛擬機器管理員裝置更用以即時提供該第二作業系統之一第二作業系統資訊以及該第二網路服務之一第二網路服務資訊至該安全系統,俾該安全系統根據該第二作業系統資訊或該第二網路服務資訊,自該等驗證規則篩選一第二驗證規則集合,並判斷該第二封包與該第二作業系統相關,以套用該第二驗證規則集合,驗證該第二封包。
  9. 如請求項8所述之資訊安全防護主機,其中該虛擬機器管理員裝置更包含一記憶體,當虛擬機器管理員裝置運行該第一作業系統時,該記憶體儲存該第一作業系統資訊及該第一網路服務資訊。
  10. 如請求項8所述之資訊安全防護主機,其中該第一作業系統資訊用以表示該第一作業系統為一微軟作業系統以及一類Unix作業系統其中之一。
  11. 如請求項8所述之資訊安全防護主機,其中該第一網路及該第二網路服務係分別選自於下列群組:一網頁服務、一檔案傳輸協定以及一電子郵件服務。
  12. 如請求項8所述之資訊安全防護主機,其中該虛擬機器管理員裝置更包含一記憶體,當該虛擬機器管理員裝置運行該第二作業系統時,該記憶體儲存該第二作業系統資訊及該第二網路服務資訊。
  13. 如請求項8所述之資訊安全防護主機,其中該第二作業系統資訊用以表示該第二作業系統為一微軟作業系統以及一類Unix作業系統其中之一。
  14. 一種資訊安全防護主機,包含:一網路介面,連接至一電腦網路,用以接收一第一封包以及一第二封包;以及一虛擬機器管理員裝置,連接至該網路介面,用以運行一第一作業系統、一第二作業系統以及一安全系統,該第一作業系統提供一第一網路服務,該第二作業系統提供一第二網路服務,該安全系統用以提供複數個驗證規則,以根據該等驗證規則,驗證該第一封包以及該第二封包,該虛擬機器管理員裝置更用以即時提供該第一作業系統之一第一作業系統資訊以及該第一網路服務之一第一網路服務資訊,並且用以即時提供該第二作業系統之一第二作業系統資訊以及該第二網路服務之一第二網路服務資訊;其中,當該第一封包無法通過該等驗證規則之一規則時,該虛擬機器管理員裝置更根據該第一作業系統資訊或該第一網路服務資訊,判斷該第一封包與該第一作業系統相關且該規則與該第一作業系統不相關,以避免使用該安全系統根據該等驗證規則,驗證該第一封包時,產生一錯誤判斷;其中,當該第二封包無法通過該等驗證規則之另一規則時,該虛擬機器管理員裝置更根據該第二作業系統資訊或該第二網路服務資訊,判斷該第二封包與該第二作業系統相關且該規則與該第二作業系統不相關,以避免使用該安全系統 於根據該等驗證規則,驗證該第二封包時,產生另一錯誤判斷。
  15. 如請求項14所述之資訊安全防護主機,其中該虛擬機器管理員裝置更包含一記憶體,當該虛擬機器管理員裝置運行該第一作業系統時,該記憶體儲存該第一作業系統資訊及該第一網路服務資訊。
  16. 如請求項14所述之資訊安全防護主機,其中該第一作業系統資訊用以表示該第一作業系統為一微軟作業系統以及一類Unix作業系統其中之一。
  17. 如請求項14所述之資訊安全防護主機,其中該第一網路服務係選自於下列群組:一網頁服務、一檔案傳輸協定以及一電子郵件服務。
  18. 如請求項14所述之資訊安全防護主機,其中該虛擬機器管理員裝置更包含一記憶體,當該虛擬機器管理員裝置運行該第二作業系統時,該記憶體儲存該第二作業系統資訊及該第二網路服務資訊。
  19. 如請求項14所述之資訊安全防護主機,其中該第二作業系統資訊係用以表示該第二作業系統為一微軟作業系統以及一類Unix作業系統其中之一。
  20. 如請求項14所述之資訊安全防護主機,其中該第二網路服務係選自於下列群組:一網頁服務、一檔案傳輸協定以及一電子郵件服務。
TW099138462A 2010-11-09 2010-11-09 資訊安全防護主機 TWI453624B (zh)

Priority Applications (3)

Application Number Priority Date Filing Date Title
TW099138462A TWI453624B (zh) 2010-11-09 2010-11-09 資訊安全防護主機
US12/960,056 US8458785B2 (en) 2010-11-09 2010-12-03 Information security protection host
JP2010273505A JP5374485B2 (ja) 2010-11-09 2010-12-08 情報セキュリティ保護ホスト

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
TW099138462A TWI453624B (zh) 2010-11-09 2010-11-09 資訊安全防護主機

Publications (2)

Publication Number Publication Date
TW201220116A TW201220116A (en) 2012-05-16
TWI453624B true TWI453624B (zh) 2014-09-21

Family

ID=46020917

Family Applications (1)

Application Number Title Priority Date Filing Date
TW099138462A TWI453624B (zh) 2010-11-09 2010-11-09 資訊安全防護主機

Country Status (3)

Country Link
US (1) US8458785B2 (zh)
JP (1) JP5374485B2 (zh)
TW (1) TWI453624B (zh)

Families Citing this family (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20130030132A (ko) * 2011-09-16 2013-03-26 한국전자통신연구원 컴퓨팅 시스템의 보안기능 제공장치 및 제공방법
US10374904B2 (en) 2015-05-15 2019-08-06 Cisco Technology, Inc. Diagnostic network visualization
US10536357B2 (en) 2015-06-05 2020-01-14 Cisco Technology, Inc. Late data detection in data center
US10142353B2 (en) 2015-06-05 2018-11-27 Cisco Technology, Inc. System for monitoring and managing datacenters
US9967158B2 (en) 2015-06-05 2018-05-08 Cisco Technology, Inc. Interactive hierarchical network chord diagram for application dependency mapping
US20170180308A1 (en) * 2015-12-18 2017-06-22 Bluedata Software, Inc. Allocation of port addresses in a large-scale processing environment
US10708183B2 (en) 2016-07-21 2020-07-07 Cisco Technology, Inc. System and method of providing segment routing as a service
US10972388B2 (en) 2016-11-22 2021-04-06 Cisco Technology, Inc. Federated microburst detection
US10708152B2 (en) 2017-03-23 2020-07-07 Cisco Technology, Inc. Predicting application and network performance
US10523512B2 (en) 2017-03-24 2019-12-31 Cisco Technology, Inc. Network agent for generating platform specific network policies
US10764141B2 (en) 2017-03-27 2020-09-01 Cisco Technology, Inc. Network agent for reporting to a network policy system
US10594560B2 (en) 2017-03-27 2020-03-17 Cisco Technology, Inc. Intent driven network policy platform
US10873794B2 (en) 2017-03-28 2020-12-22 Cisco Technology, Inc. Flowlet resolution for application performance monitoring and management
US10680887B2 (en) 2017-07-21 2020-06-09 Cisco Technology, Inc. Remote device status audit and recovery
US10554501B2 (en) 2017-10-23 2020-02-04 Cisco Technology, Inc. Network migration assistant
US10523541B2 (en) 2017-10-25 2019-12-31 Cisco Technology, Inc. Federated network and application data analytics platform
US10594542B2 (en) 2017-10-27 2020-03-17 Cisco Technology, Inc. System and method for network root cause analysis
US11233821B2 (en) 2018-01-04 2022-01-25 Cisco Technology, Inc. Network intrusion counter-intelligence
US10999149B2 (en) 2018-01-25 2021-05-04 Cisco Technology, Inc. Automatic configuration discovery based on traffic flow data
US10826803B2 (en) 2018-01-25 2020-11-03 Cisco Technology, Inc. Mechanism for facilitating efficient policy updates
US10798015B2 (en) 2018-01-25 2020-10-06 Cisco Technology, Inc. Discovery of middleboxes using traffic flow stitching
US10574575B2 (en) 2018-01-25 2020-02-25 Cisco Technology, Inc. Network flow stitching using middle box flow stitching
US11128700B2 (en) 2018-01-26 2021-09-21 Cisco Technology, Inc. Load balancing configuration based on traffic flow telemetry
CN108427733B (zh) * 2018-02-28 2021-08-10 网易(杭州)网络有限公司 审核规则的设置方法、装置和系统、设备、存储介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040015728A1 (en) * 2002-01-15 2004-01-22 Cole David M. System and method for network vulnerability detection and reporting
US7496961B2 (en) * 2003-10-15 2009-02-24 Intel Corporation Methods and apparatus to provide network traffic support and physical security support
US20090249438A1 (en) * 2008-03-27 2009-10-01 Moshe Litvin Moving security for virtual machines
TW201023047A (en) * 2008-12-09 2010-06-16 Nvidia Corp Method and apparatus for the secure processing of confidential content within a virtual machine of a processor

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1503286B1 (en) 2003-07-30 2014-09-03 Jaluna SA Multiple operating system networking
JP4044553B2 (ja) 2004-12-08 2008-02-06 三菱電機インフォメーションシステムズ株式会社 通信ドライバ装置及び通信制御方法
US20070083924A1 (en) * 2005-10-08 2007-04-12 Lu Hongqian K System and method for multi-stage packet filtering on a networked-enabled device
JP2010033100A (ja) 2006-10-26 2010-02-12 Nec Corp 通信装置およびネットワークへの不正侵入検知装置
US8010990B2 (en) * 2006-10-26 2011-08-30 Intel Corporation Acceleration of packet flow classification in a virtualized system
JP2010066931A (ja) 2008-09-09 2010-03-25 Fujitsu Ltd 負荷分散機能を有した情報処理装置

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040015728A1 (en) * 2002-01-15 2004-01-22 Cole David M. System and method for network vulnerability detection and reporting
US7496961B2 (en) * 2003-10-15 2009-02-24 Intel Corporation Methods and apparatus to provide network traffic support and physical security support
US20090249438A1 (en) * 2008-03-27 2009-10-01 Moshe Litvin Moving security for virtual machines
TW201023047A (en) * 2008-12-09 2010-06-16 Nvidia Corp Method and apparatus for the secure processing of confidential content within a virtual machine of a processor

Also Published As

Publication number Publication date
JP5374485B2 (ja) 2013-12-25
JP2012104088A (ja) 2012-05-31
US20120117642A1 (en) 2012-05-10
US8458785B2 (en) 2013-06-04
TW201220116A (en) 2012-05-16

Similar Documents

Publication Publication Date Title
TWI453624B (zh) 資訊安全防護主機
US11902120B2 (en) Synthetic data for determining health of a network security system
US10587647B1 (en) Technique for malware detection capability comparison of network security devices
US20120005724A1 (en) Method and system for protecting private enterprise resources in a cloud computing environment
US8154987B2 (en) Self-isolating and self-healing networked devices
US8806629B1 (en) Automatic generation of policy-driven anti-malware signatures and mitigation of DoS (denial-of-service) attacks
US7941854B2 (en) Method and system for responding to a computer intrusion
CA3021285C (en) Methods and systems for network security
US20100175108A1 (en) Method and system for securing virtual machines by restricting access in connection with a vulnerability audit
CN102663274B (zh) 一种检测远程入侵计算机行为的方法及系统
US10387672B1 (en) Secure message handling
EP2506180A1 (en) Automatic analysis of software license usage in a computer network
JPH09218837A (ja) ネットワークセキュリティシステム
CN103077345B (zh) 基于虚拟机的软件授权方法及系统
US11689576B2 (en) Cloud native discovery and protection
US9633199B2 (en) Using a declaration of security requirements to determine whether to permit application operations
US20220217148A1 (en) Techniques for protecting cloud native environments based on cloud resource access
US20140195793A1 (en) Remotely Establishing Device Platform Integrity
CN109766694A (zh) 一种工控主机的程序协议白名单联动方法及装置
WO2021139308A1 (zh) 云服务器监控方法、装置、设备及存储介质
KR102407136B1 (ko) 컨트롤러 기반 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
CN102469098B (zh) 信息安全防护主机
JP5898024B2 (ja) マルウェア検出装置および方法
JP5814138B2 (ja) セキュリティ設定システム、セキュリティ設定方法およびプログラム
US20240354405A1 (en) Organizational machine learning for alert processing