专利名称:网络入侵防护系统的制作方法
技术领域:
本发明涉及一种网络入侵防护系统,且特别涉及一种网络卡上建置有微处 理器来加速执行入侵防护功能的网络入侵防护系统。
背景技术:
随着网络科技发展与普及化,网络已成为生活不可或缺的部分,人们由网 络快速交换所需信息。然而,使用因特网却不如想象中安全。例如,计算机系 统可能被黑客入侵而被窃取数据或破坏计算机系统。目前,多数使用者由防毒 软件及防火墙来保护计算机免于感染计算机病毒或遭受人为入侵破坏。一种名
为网络入侵侦测系统(Intrusion Detection System, IDS)的技术可用以监控网络 活动,避免网络内部的计算机遭受恶意攻击、破坏。网络入侵侦测系统属于被 动式的网络安全系统。其通过分析网络封包,发现异常网络活动,并实时发出 警报告知网络管理人员处理/防护异常网络活动。为立即抵挡网络上的恶意入 侵攻击,网络入侵防护系统(Intrusion Protection System, IPS)遂发展作为提供主 动性防护的网络安全技术。所有网络封包皆须流经网络入侵防护系统,并加以 判断网络封包不含异常活动或可疑内容后,才予以传送到内部欲保护的局域网 络(或网络区段)。相较于网络入侵侦测系统,网络入侵防护系统更在发生恶意 入侵前,立即阻绝网络攻击行为,避免网络内部的计算机系统受破坏。
然而,随着网络技术提升以及交换数据量的增加,繁重的网络流量逐渐成 为网络入侵防护系统的负担。由于网络入侵防护系统需拦截分析每一个网络封 包,判断网络封包中并不包含恶意内容后才予以放行。若网络入侵防护系统的 响应能力无法跟上网络传输速度,则会影响内部网络存取数据的流畅度,使内 部网络效能大打折扣。
发明内容
鉴于目前网络入侵防护系统(Intrusion Protection System, IPS)响应能力不足,而造成封包传递延迟等问题,本发明的目的在于提出新的网络入侵防护系 统(以下简称为系统)的架构,由微处理器与中央处理器的分工处理,过滤流经 局域网络的有害或是恶意网络封包,达到加速系统过滤网络封包的功效。
为实现上述的目的,本发明的系统至少包含一张具有微处理器的网络卡及 中央处理器。网络卡接收局域网络外的网络封包。此网络卡更内建有两韧体程 序其一为网络封包剖析程序,通过前述微处理器执行此网络封包剖析程序, 以剖析网络封包的通讯协议、来源地址、以及连接端口号;另一为恶意封包的 滤除程序,亦通过前述微处理器执行,并依据网络封包剖析程序的剖析结果及 入侵封包定义文件,来判断网络封包是否可能为恶意网络封包,并加以滤除。 剩余未被过滤的网络封包,再交由中央处理器处理。中央处理器执行下列程序 首先,剖析剩余网络封包的封包内容;接着,根据前述入侵封包定义文件及由 剩余网络封包所剖析出的封包内容,判断是否为恶意网络封包;然后,再过滤 掉恶意网络封包,并通过网络卡将剩余的正常网络封包传送至内部局域网络的 计算机。
依照本发明的较佳实施例所述的网络入侵防护系统,上述的网络卡更包括 用来暂存网络封包的内存。另外,系统内部的主要内存,则是用来存放网络封 包解析后的封包内容。
依照本发明的较佳实施例所述的网络入侵防护系统,上述的入侵封包定义 文件,包括多条预先定义的入侵行为规则,以及这些规则所对应的预设通讯协 议、来源地址以及连接端口号。网络管理人员更可通过一个使用者接口来修改 入侵封包定义文件的入侵行为规则及对应的预设通讯协议、来源地址、及连接 端口号。
依照本发明的较佳实施例所述的网络入侵防护系统,更包括依据滤除恶意 入侵的网络封包中的通讯协议、来源地址、以及连接端口号,自动新增对应的 入侵行为规则于入侵封包定义档。另外,前述网络封包剖析程序是通过多个结
构指针(Hook Structure)指向接收的网络封包的数据段,以快速剖析网络封包中 的通讯协议、来源地址、以及连接端口号。
依照本发明的较佳实施例所述的网络入侵防护系统,上述的微处理器更包 括以多条执行绪(Thread)来处理入侵封包定义文件定义的预设通讯协议、来源 地址或连接端口号。另外,中央处理器亦通过执行绪个别处理入侵封包定义文件所定义的其它入侵行为。
由上所述,本发明的系统先以网络卡的微处理器快速滤除可能为恶意入侵 的网络封包,再以中央处理器滤除剩余网络封包中恶意入侵的网络封包。因为, 网络卡的微处理器与系统的中央处理器可分工并同时处理简单过滤网络封包 及深层剖析封包内容的动作,因此可加速系统处理网络封包的速度,进而解决 目前系统存在的影响网络传输速度及封包传输延迟的现象。
以下结合附图和具体实施例对本发明进行详细描述,但不作为对本发明的 限定。
图1为本发明较佳实施例的网络入侵防护系统的网络拓扑示意图2为本发明较佳实施例的网络入侵防护系统的系统架构示意图。
其中,附图标记
110 网络入侵防护系统
120 局域网络
121 126 计算机主机
130 因特网
210 中央处理器
220 主要内存
230 网络卡
232 微处理器
233a 网络封包剖析程序
233b 恶意封包的滤除程序
234 内存
236、 238 连接端口
240、 242、 244 网络封包
具体实施例方式
本发明的目的及提出的在下列较佳实施例中详细说明的。然而本发明的概 念亦可用于其它范围。以下列举的实施例仅用于说明本发明的目的与执行方法,并非用以限制其范围。
图1为本发明较佳实施例的网络入侵防护系统的网络拓扑示意图。请参照 图l,在本实施例中,所有网络封包皆会流经边界节点,因此将网络入侵防护 系统110 (以下简称为系统110)架设于例如局域网络120的边界节点(或边界路 由器)将带有恶意入侵/攻击行为内容的网络封包(以下称为恶意封包)加以滤
除,以保护局域网络120内部的计算机主机(121 126)免于来自因特网130 的恶意封包侵袭。
本发明的系统与目前的系统最大的差异在于本发明系统内部的网络卡具 有微处理器。此微处理器执行预先烧录于网络卡记忆区块(例如只读存储器 ROM)的韧体,用以在收到网络封包时,剖析网络封包的标头文件(Header)信息, 并由标头文件信息快速滤除可能为恶意封包的网络封包。举例说明本发明较佳 实施例所述的系统的架构如下。
图2为本发明较佳实施例的网络入侵防护系统的系统架构图。请参照图2, 系统110内具有中央处理器210以及网络卡230。网络卡230包括微处理器232、 及网络封包剖析程序233a、恶意封包的滤除程序233b、内存234、以及两个 连接端口(236、 238)。其中的网络封包剖析程序233a以及恶意封包的滤除程 序233b可预先储存于系统110的储存空间,例如硬盘,并于系统110运行时, 加载内存234。
网络卡230通过连接端口 236接收多个网络封包240,同时间微处理器232 执行网络封包剖析程序233a来剖析这些网络封包240的通讯协议、来源地址、 及连接端口号。前述的通讯协议、来源地址、及连接端口号等信息,可由解析 这些网络封包240的标头文件(Header)数据段得知。之后,再以微处理器执行 恶意封包的滤除程序233b将网络封包剖析程序233a解析出的通讯协议、来源 地址、以及连接端口号依据入侵封包定义文件(未显示)判断网络封包240是否 可能为恶意封包,并在第一时间加以滤除。
接着,再将剩余的多个网络封包(亦即网络封包242)交由中央处理器210 进行深层的封包内容解析。中央处理器210执行以下程序首先,剖析网络封 包242的封包内容;接着,根据预先设定的一个入侵封包定义文件所载规则来 分析这些网络封包242的封包内容,以判断这些网络封包242是否为恶意封包。 若这些网络封包242为恶意封包,则直接过滤掉这些网络封包;若这些网络封包242为正常的网络封包(亦即封包的内容不包含入侵封包定义文件所定义的
恶意封包规则),则通过网络卡230将正常的网络封包(亦即网络封包244)通 过连接端口 238传送到内部局域网络的计算机。
系统110的网络卡230更包括内存234,用来暂存接收的多个网络封包 240,避免因系统110处理网络封包速度过慢造成丢包现象(Packet Lose)。处 理完成的网络封包242亦可先暂存于内存234,再由中央处理器210存取;或 直接搬运到系统110内的主要内存220或其它储存空间(例如硬盘)。需转发送 局域网络的正常网络封包244,亦可先暂存于内存234,避免网络阻塞时发生 丢包(Packet Lose)的现象。另外,主要内存220则可暂存中央处理器210深 层解析过后的网络封包242的封包内容,以利中央处理器210分析统计封包内 容的入侵行为分布(例如,分析入侵攻击的网络封包中,各种入侵行为所占网 络封包总量的百分比)。
在本实施例中,所述的网络封包解析程序可通过定义一些结构指针指向网 络封包的数据段,以快速剖析网络封包的通讯协议、来源地址、以及连接端口 号。举例而言,利用挂勾函数(Hook Function)指到网络封包文件头中的通讯 协议字段所属位的位置,并取出通讯协议字段宽度的数据段即可得知网络封包 釆用的通讯协议为何。事实上,此等步骤可由网络过滤器(Netfilter)取得。 通过网络过滤器,可先阻断每一个流经系统]10的网络封包240,并加以取出 网络封包240中的通讯协议、来源地址、以及连接端口号等信息。
承上,前述的入侵封包定义文件包括预先定义的多条入侵行为规则,以及 入侵行为规则所对应的预设通讯协议、来源地址、以及连接端口号。例如,已 知网络黑客会以阻断式攻击(DOS)方式,通过网页浏览器对服务器的特定连接 端口(例如端口号80)传送大量的NOP指令。则可在入侵封包定义文件预先写 入一条入侵行为规则,若符合以TCP通讯协议存取连接端口 (端口号80)传送 NOP指令大于默认值(Threshold)时,即判断为入侵攻击行为。另外,网络管 理人员亦可通过一个使用者接口来修改记录于入侵封包定义文件的入侵行为 规则,或新增入侵行为规则。同样地,这些入侵行为规则亦包含对应的预设通 讯协议、来源地址、以及连接端口号。
在一些实施例中,前述中央处理器210更于过滤掉恶意封包之前(亦即将 判断为恶意封包的网络封包242滤除前),依据这些恶意封包的通讯协议、来源地址、以及连接端口号产生一条入侵行为规则,而自动新增到入侵封包定义 文件中。另外,为加快处理网络封包的速度,微处理器232可通过多条执行绪
(Thread)处理单一种类的通讯协议(例如TCP、 UDP通讯协议),并依据来源地 址、连接端口号来判断该网络封包是否为恶意封包。同样地,中央处理器亦可 设定多条执行绪来个别处理不同的入侵行为项目(亦即入侵封包定义文件所预 先定义的判别项目),以方便计算分析每种入侵行为的分布。
当然,本发明还可有其它多种实施例,在不背离本发明精神及其实质的情 况下,熟悉本领域的技术人员当可根据本发明作出各种相应的改变和变形,但 这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。
权利要求
1、一种网络入侵防护系统,架设在局域网络的重要节点处,用以滤除包含恶意入侵/攻击行为内容的网络封包,其特征在于,该网络入侵防护系统,至少包括一网络卡,接收数个网络封包,该网络卡包括一微处理器;一网络封包剖析程序,通过该微处理器执行该网络封包剖析程序,以剖析该些网络封包的通讯协议、来源地址、以及连接端口号;一恶意封包的滤除程序,通过该微处理器执行,并依据该网络封包剖析程序的剖析结果及一入侵封包定义文件判断该些网络封包是否可能为恶意网络封包,并加以滤除;以及一中央处理器,用以处理下列程序剖析剩余的该些网络封包的封包内容;根据该入侵封包定义文件及剩余该些网络封包的封包内容,判断是否为恶意网络封包;以及滤除该些恶意网络封包,并通过该网络卡将剩余正常的网络封包传送至内部局域网络的计算机。
2、 根据权利要求1所述的网络入侵防护系统,其特征在于,该网络卡更 包括一内存,用以暂存该些网络封包。
3、 根据权利要求1所述的网络入侵防护系统,其特征在于,该网络入侵 防护系统更包括一主要内存,用以暂存该些网络封包解析后的封包内容。
4、 根据权利要求1所述的网络入侵防护系统,其特征在于,该入侵封包 定义文件包括数条入侵行为规则及对应该些入侵行为规则的预设通讯协议、来 源地址、以及连接端口号。
5、 根据权利要求1所述的网络入侵防护系统,其特征在于,该中央处理 器更包括依据滤除恶意入侵的该些网络封包中的通讯协议、来源地址、以及连 接端口号,自动新增对应的该入侵行为规则于该入侵封包定义文件。
6、 根据权利要求1所述的网络入侵防护系统,其特征在于,该网络封包 剖析程序通过数个结构指针指向该些网络封包的数据段,以快速剖析该些网络封包的通讯协议、来源地址、以及连接端口号。
7、 根据权利要求1所述的网络入侵防护系统,其特征在于,更包括通过 一使用者接口修改该入侵封包定义文件的该些入侵行为规则及对应的预设通 讯协议、来源地址、以及连接端口号。
8、 根据权利要求1所述的网络入侵防护系统,其特征在于,该微处理器 更包括通过数条执行绪个别处理该入侵封包定义文件定义的预设通讯协议、来 源地址或连接端口号。
9、 根据权利要求1所述的网络入侵防护系统,其特征在于,该中央处理 器更包括通过该些执行绪个别处理该入侵封包定义文件定义的该些入侵行为 规则。
全文摘要
一种网络入侵防护系统。网络入侵防护系统架设于重要网络节点,例如设置在边界路由器,用以滤除包含恶意入侵/攻击行为内容的网络封包。网络入侵防护系统内的网络卡设置有微处理器、网络封包剖析程序,及过滤掉恶意入侵封包程序,用以依据网络封包的标头文件信息,预先滤除恶意网络封包。之后,再由网络入侵防护系统的中央处理器剖析剩余网络封包的封包内容,并依据入侵行为定义文件来判断这些网络封包是否为恶意封包。若是恶意封包,则加以丢弃;若不是恶意封包,则将网络封包传送给内部局域网络的计算机。
文档编号H04L12/24GK101453365SQ20071019494
公开日2009年6月10日 申请日期2007年12月5日 优先权日2007年12月5日
发明者刘文涵, 怡 陈, 陈玄同 申请人:英业达股份有限公司