专利名称:用于保护服务器场免受入侵的方法以及服务器场的制作方法
技术领域:
本发明一般涉及数据处理领域,而特别地,本发明涉及一种用于保护服务器场(server farm)免受恶意入侵的改进的数据处理系统和方法。
背景技术:
服务器场是由通常被称作“机器”的数据处理系统群集构成的用于提供服务的实体。每个机器典型地具有相同的软件和硬件配置,并且因此,这些机器通常被称作“克隆”。客户的服务请求在位于“机器池”中的机器之间进行分配,因而在机器池中间分配请求负载。
服务器场通常用于为高端企业事务提供任务敏感的服务,其中信息安全和系统完整性是极度受关注的。但是,服务器场本身是不安全的,因为在服务器场中的所有机器共用完全相同的配置,因而使得它们对相同的攻击是敏感的。即,由于这些机器都是一样的,因此,它们每一个都具有相同的弱点,使得每个机器能够被一入侵软件,例如一黑客程序或病毒所损害。因此,一旦场中的一个机器被损害,则场中的所有其它的机器会很快地被损害。
目前有多种形式入侵软件。但是,在通过一非安全端口,典型地为一互联网协议(IP)端口连接访问服务器场之后,大多数入侵软件遵循七个基本步骤。
第一,扫描服务器场,以便识别任何操作系统(OS)和/或正在运行的应用程序。这样就可以将入侵软件配置成攻击操作系统和其它程序的已知弱点。
第二,入侵软件查点服务器场。该查点包括查明其网络拓扑,包括机器及其外设的硬件配置细节,以及该机器与另一个机器及机器场外部之间如何接口。查点还包括查明什么用户/组使用服务器场,以及什么是服务器场的总体目的。
第三,入侵软件突破服务器场的防护。即,利用在第一和第二步骤中获得的信息,入侵软件通过猜测、嗅闻(sniffing)和非法闯入(cracking)而俘获口令,其中的口令包括用户及管理员的口令。正如这些术语所暗示的,“猜测”包括使用普通口令(当前日期,通用名称,等等)随机尝试,“嗅闻”包括监视软件通信业务并且俘获标题中的口令,而“非法闯入”包括采用各种解密技术解密口令。
第四,通过利用步骤三中获得的被盗口令而提供的访问,攻击操作系统和命名的路径,入侵软件逐步增强攻击。系统的控制被入侵软件夺取,从而入侵软件可以实施损害。
第五,现在已经具有对操作系统、相关应用程序和路径的控制的入侵软件开始掠夺服务器场。该掠夺包括获取任何对其能力而言是入侵软件所需的内容。掠夺包括获得较深层的安全信息,例如系统解密密钥,注册密码等,寻找较深层的隐藏口令,检查所有可获得的文件,例如工资单信息和其它专有的信息,破坏日志,分发对服务的拒绝,等等。
第六,入侵软件变成交互的,夺取远程接口和外壳的控制,给予入侵软件进一步入侵和/或破坏其它远程连接的系统的能力。
第七,除了传播病毒,检查其它安全的网络/服务器场之外,入侵软件利用在步骤六中获得的交互能力扩大其影响。
隔离入侵的通常做法是尽可能地隔离攻击。系统管理员重新配置防火墙,以便阻挡源自攻击者的互联网协议(IP)地址的未来消息,从而防止来自该地址的未来攻击。被攻击的机器假定已被损害,并且因而被隔离,因为一个被损害的(被黑客攻击的)机器可能具有灾难性的后果,因此,如果不处理的话,单个机器的安全的破坏能够击垮整个服务器场。
为了隔离被损害的机器并且避免击垮整个服务器场,通过禁止被损害的机器的IP地址,被损害的机器与服务器场中的其它机器以及外面的网络在通信上被断开。但是,该方法警告黑客恶意的入侵已被检测到,并且通过保持黑客在线并获知其更多的信息(例如他的源IP地址)的任何俘获黑客的尝试,都会由于黑客很可能断开与被损害机器的连接而受挫。另外,黑客通常具有由其任意支配的其它的用于服务器场的IP地址,并且可以简单地通过使用该服务器场中其它一台机器IP地址来攻击服务器场。
现有技术中已知的另一种用于对抗入侵的做法涉及“蜜罐”(honeypot)的应用。“蜜罐”是一个包含一般是假的,被设计成吸引启动入侵的程序或人的注意的数据的服务器。这种数据可以包括假的口令列表、工资单信息、安全协议、商业秘密和其它的对黑客有吸引力的信息。但是,现有技术中采用的“蜜罐”有两个主要缺点。首先,现有技术中采用的“蜜罐”是与服务器场隔离的专用服务器。即,“蜜罐”从来不处理真实的工作,因为真实的工作将可能被入侵者检测到和受到损害。因此,当等待入侵发生时,“蜜罐”服务器是非生产性的,而入侵可能永远不会发生。如果入侵从未被检测到,则因为购买和维护“蜜罐”而使资源浪费。第二,大多数“蜜罐”被设计成不仅直接处理入侵,而且还接收已经被服务器场中的非“蜜罐”机器接收的入侵。当这种至“蜜罐”的转接发生时,黑客能够检测到入侵的路由重选,因而提示他新的服务器很可能是一个“蜜罐”。
因此,需要一种方法和系统,用于在不需要采用专职的用于直接地或者间接地接收入侵的专用服务器的情况下,处理对服务器场的入侵。最好是,该方法和系统不通过真实和有价值的数据警告黑客,入侵已被检测到或者正在被黑客攻击的服务器含有的任何内容。
发明内容
本发明涉及一种用于处理对一组计算机中的机器的恶意入侵的系统和方法。恶意入侵是一种对机器,例如服务器场中的服务器的非授权访问。当检测到入侵时,将该机器与服务器场的其余部分隔离开来,并且将该机器重构(reprovision)为一诱饵(decoy)系统,该诱饵系统仅能访问假的或者至少是非敏感的数据。如果确定入侵是非恶意的,则将该机器在功能上重新连接至服务器场,并且将该机器重构至在重构该机器为诱饵机器之前所保持的状态。
在下面的详细描述中,本发明的上述的,以及其它的目的,性能和优点将变得明白。
相信是本发明特征的新特点被描述在后附的权利要求中。但是,通过参照下面的示例性实施例的详细描述并结合附图,发明本身、采用的最佳模式、以及其它的目的和优点将会最好地被理解,其中图1为一方框图,其中描述了根据本发明的示例性实施例采用的服务器场;图2a-b示出了根据本发明的优选模式实现的软件;以及图3是一根据本发明的优选实施例采用的优选步骤的流程图。
具体实施例方式
现参照图1,其中描述了根据本发明采用的服务器场100的方框图。服务器场100包括多个机器102,它们是组成服务器场100的服务器。最好是,在服务器场100中,每个机器102是每个其它的机器102的克隆。即,机器102a、102b和102n中的每一个都被配置相同的硬件和软件。
每个机器102包括至少一个处理器104。在描述的优选实施例中,每个机器102是一多处理器(MP)的机器,其在图1中被描述为具有至少两个处理器104的对称多处理器机器(SMP),其中的至少两个处理器104被描述为处理器104a和处理器104b。每个处理器104具有相关联的专用存储器106,该存储器106包括系统存储器和高速缓存的分层结构(未示出)。如图所示,处理器104a与存储器106a相关联,而处理器104b与存储器106b相关联。
处理器104经由SMP系统总线108连接至输入/输出(I/O)桥110,后者又连接至夹层(mezzanine)总线112。连接到夹层总线112的有网络通道控制器114,控制器114经由网络116连接处理器102。即,处理器102a经由网络116连接至服务器场100中的处理器102b-102n。最好是,网络116是以太网或计算机网络领域的技术人员已知的类似的网络系统。
连接到夹层总线112的还有光纤控制器118,该控制器118允许经由光纤网络120的在处理器102与存储区域网络(SAN)122之间的数据通信。最好是,光纤网络120是同步光纤网(SONET)或光纤网络领域的技术人员已知的设计为在光缆上经由相对长距离传送大流量业务的类似的物理层网络技术。SAN 122最好是共享SAN存储驱动器124a-124x的高速子网。每个SAN存储驱动器124对任一机器102来说是可用的,使得SAN存储驱动器124相互之间同步连接并且异步连接至服务器场100中的机器102。
在每个机器102中,本地驱动控制器126连接夹层总线112至本地存储驱动器128。本地存储驱动器128可以是硬盘驱动器、软盘驱动器、光盘驱动器或辅助存储驱动器领域的技术人员已知的任何其它的本地驱动器系统。
网络通道控制器114允许在机器102之间进行本地存储驱动器128中的数据交换。即,处理器102a能够访问存储在机器102b的本地存储驱动器128b中的数据,而同样地,处理器102b能够访问存储在机器102a的本地存储驱动器128a中的数据。因此,任一处理器102能够自任一SAN存储驱动器124和任一本地存储驱动器128中访问数据。
现参照图2a,其中描述了根据本发明的优选模式实现的软件的示意图。来自例如因特网(未示出)等外部源的网络业务202由负载平衡器214接收。在网络业务202中可能包括有入侵206,入侵206是未授权进入服务器场100的软件包。如果入侵206被设计成执行损害,则入侵206被称作恶意入侵。恶意入侵的一个例子是偷窃数据,例如商业秘密、口令、保密代码、管理员信息等等。恶意入侵的另一个例子是被设计成损害服务器场100的操作的蠕虫、病毒或特洛伊。病毒依靠其自身之外的一种手段来进行传播。例如,病毒可以附着至电子邮件中,并且在该电子邮件被发送至另一系统时传播。蠕虫除了能够在没有另一程序帮助的情况下传播外,与病毒类似。特洛伊(特洛伊木马)是一种感染系统的恶意入侵,然后并不是由其自身进行损害活动。但是,一旦在系统中,它就打开进入系统的“后门”,允许例如病毒或蠕虫等其它恶意入侵进入系统。特洛伊通常被链接至分布式拒绝服务(DDOS)攻击,它用数据包淹没负载平衡器214,从而耗尽服务器场100的有限资源,使得合法的网络业务不能访问服务器场100。
另一种类型的恶意入侵是扫描器,该扫描器对系统进行扫描并且从中挖掘未授权数据。这种未授权数据的其它细节将在下面对“蜜罐”的讨论中描述。
再回到图2a,在入侵206被负载平衡器214接收后,入侵206被发送至服务器场100的机器102的其中之一。选择哪台机器接收仍被负载平衡器感觉为正常的网络业务数据包的入侵206,将依赖于机器102的负载要求,例如,哪个机器空闲能够处理数据包。当入侵206被机器102的其中之一接收时,它首先被与每个机器102相关联的入侵检测器208扫描。
入侵检测器208可以是网络安全领域的技术人员已知的任何网络入侵检测系统。这样的入侵检测系统一般对输入数据包进行规则匹配。例如,具有为了机器的IP地址而扫描服务器场100的所有机器102的入侵的数据包是足够值得怀疑的,从而使得入侵检测器208识别该数据包为潜在的恶意入侵。类似地,含有已知黑客的IP源地址的数据包,或者含有已知病毒链的代码,被入侵检测器208识别为某些恶意入侵。
一旦入侵206被识别为是一种入侵,则入侵管理器210向响应调整器212通知该入侵,最好通知时附有建议的响应做法。响应调整器212指示供应管理器216利用响应数据库214中的数据重构接收到入侵206的机器102。利用与接收入侵206的机器102相关联的供应系统218执行该重构,而这最好是在供应管理器216的控制之下。
例如,假定机器102b自负载平衡器214接收了入侵206。入侵检测器208通知入侵管理器210机器102b已经接收了一个可能的入侵。响应调整器212指示供应管理器216,以便通过禁止在机器102b与服务器场100中的任何其它机器102之间的任何数据通信,从而将机器102b与服务器场100的其它部分隔离,而这最好是以不会提醒入侵206或发送入侵206的黑客,机器120b正在被隔离的方式进行。在本发明的优选实施例中,该隔离通过允许机器102b保持其身份而实现,而不管其身份是机器102b的IP地址的形式,媒体访问控制(MAC)地址的形式或任何其它的机器102b的识别符。
然后,响应调整器操纵机器102b可访问的数据。响应调整器212改变机器102b可访问的数据,最好是以不告戒入侵206或发送入侵206的黑客正在移送数据以重构机器102b的方式进行。正被移动的机器102b可访问的数据来自响应数据库214,该数据库214可以来自如图1所示的SAN 122或者另一个机器102的本地存储驱动器128。被移动的数据是服务器场100的管理员或其它授权的操作者不希望保持专用的非敏感的数据。最好是,这种数据是被设计成对黑客有吸引力的非关键性的数据。在本发明的优选实施例中,所述有吸引力的数据是假数据,该假数据被设计成看来像真的敏感数据,例如,工资单信息、口令、管理员安全文件、银行事务信息、商业秘密和对黑客有吸引力的其它信息。通过利用这种有吸引力的数据重构机器102b,黑客就很可能保持长时间地连接至机器102b,从而允许服务器场100的管理员有时间执行防范措施,例如跟踪入侵206的源IP地址,存储和/或研究入侵206的内容以及根据网络安全领域的技术人员已知的技术执行其它的对入侵206的讨论分析。
现参照图2b,其中描述了在机器102b已经被隔离并且重构为诱饵机器后的服务器场100。自发送源入侵206的IP地址接收的所有数据包被负载平衡器214送到机器102b,这些数据包被假定为另外的入侵206。在供应管理器216的供应控制下,网络业务202中的其它合法数据包220被负载平衡器204送到干净的机器102a和102n,该供应管理器216调整在机器102a和102n之间的数据通信和交互作用。因此,机器102b已经被动态地重构为被隔离的诱饵机器。
现参照图3,其中描述了根据本发明的优选实施例采用的优选步骤的流程图。一旦检测到入侵(方框302),则将已接收该入侵数据包的被损害的机器就被与服务器场的其余部分相隔离(方框304)。然后,利用对黑客有吸引力的非敏感数据重构该被隔离的机器(方框306),其中的数据最好是假的,其中的重构最好是重构为“蜜罐”。如判断框308中所述,然后执行进一步的入侵估计,以确定入侵实际上是否为非授权的入侵。如果入侵是非授权的,则其被假定为恶意入侵,并且,除了来自该入侵源的IP地址的数据包之外的所有输入数据包,被负载平衡至服务器场中的其它机器(方框310)。可选择地,可以改变防火墙规则(方框312),以防止接收来自发送原始入侵的IP地址的任何未来数据包。作为一另外的选择,执行讨论研究(方框314),以研究入侵的特性、入侵的IP源和服务器场的系统管理员能够分析的入侵或者其发送者的任何其它方面。
如果对入侵的进一步分析显示其实际上不是一个未授权的入侵,则该机器不可访问的非敏感数据(包括假数据)被删除(方框316),并且该机器被重构为在被重构为“蜜罐”之前所保持的状态(318)。即,已接收被证明为授权的数据包的机器返回到其在服务器场中的原始状态,从而被允许访问最初对该机器授权的所有数据,并且与被怀疑的入侵之前一样能够与服务器场中的其它机器交互作用。
注意,响应调整器212能够利用各种方法交替地处理入侵206,例如,代替重构服务器场100中的(多个)机器102为(多个)“蜜罐”,响应调整器212能够重构(多个)机器102为不同层次的“诱饵”。即,为了避免特别谨慎的对黑客的过度猜疑,根据服务器场100的剩余部分可访问的敏感数据的情况,被入侵的机器102可以选择允许机器102保持部分地连接至服务器场100的剩余部分。
因此,本发明提供了一种用于根据入侵将被入侵的机器转换成诱饵机器的方法和系统。即,机器正常地操作而完成实际的工作直至其接收一个入侵为止,然后该机器被动态地重构而变成诱饵机器,其中的诱饵机器访问用于入侵读取的伪造品或至少受限制的数据。该动态重构允许资源的有效利用,因为被入侵的机器不被重构为诱饵直到入侵的时刻为止,从而允许机器完成正常工作直至入侵发生。另外,通过动态地重构被入侵的机器,入侵者认识到该机器为诱饵的机会较少,因为在从正常的机器至诱饵的重构之前和之后,该机器的身份是相同的。
虽然本发明的一些方面已经相对于数据处理系统和服务器场进行了描述,但是应该理解的是,至少本发明的某些方面可以替换地被实现为一种用于与数据存储系统或计算机系统一起使用的程序产品。定义本发明功能的程序可以通过各种信号载体传送到数据存储系统或计算机系统,其中的信号载体包括但不限于,不可写存储介质(例如CD-ROM),可写存储介质(例如软盘、硬盘驱动器、读/写CD-ROM、光介质),以及通信介质,例如包括以太网在内的计算机和电话网络。因此,应该理解的是,当承载或编码操纵本发明的方法功能的计算机可读指令时,这种信号载体就相当于本发明的替换实施例。另外,应该理解的是,通过具有硬件、软件或者硬件与软件结合形式的装置的系统,本发明可以被实现为与这里描述的一样或其等同物。
在本发明已经参照优选实施例而特别地示出和描述的同时,本领域的技术人员可以理解的是,在不脱离本发明的精神和范围的情况下,可以做出形式和细节上的各种改变。例如,虽然本发明已经相对于具有等同的克隆机器的服务器场进行了描述,但是,本发明也可以利用任何多个数据处理器的集合来实现,其中的每个数据处理系统或处理器具有相同或不同的硬件和/或软件配置。
权利要求
1.一种用于保护服务器场免受入侵的方法,该服务器场包括多个机器,该方法包括检测对服务器场中的机器的入侵;将该机器与服务器场隔离;以及重构该机器为一仅能访问非敏感数据的诱饵系统。
2.如权利要求1的方法,还包括当确定该入侵为非恶意的入侵时,在功能上重新连接该机器至服务器场,以及重构该机器至在其被重构为诱饵机器之前所保持的状态。
3.如权利要求1的方法,还包括在入侵后保持该机器的身份。
4.如权利要求3的方法,其中的身份是基于该机器的网络地址。
5.如权利要求1的方法,其中的服务器场包括一具有至少一个存储设备的存储区域网络,其中,通过从存储区域网络至该机器移动非敏感数据而使该机器变成诱饵系统来实现所述的重构。
6.如权利要求1的方法,其中,通过从连接至该机器的本地存储驱动器至该机器移动非敏感数据来实现所述的重构。
7.如权利要求1的方法,其中,通过从连接至服务器场的另一机器的本地存储驱动器移动非敏感数据来实现所述的重构。
8.如权利要求1的方法,其中的非敏感数据被设计成对入侵是有吸引力的,由此,该机器被重构成“蜜罐”机器。
9.如权利要求1的方法,还包括在对服务器场的另一个机器的入侵之前,重新分配运行该机器上的进程。
10.一种能够自己防止非法入侵的服务器场,该服务器场包括用于检测对服务器场中的机器的入侵的装置;用于将该机器与服务器场隔离的装置;以及用于重构该机器为一仅能访问非敏感数据的诱饵系统的装置。
11.如权利要求10的服务器场,还包括一装置,用于在确定该入侵为非恶意的入侵时,在功能上重新连接该机器至服务器场,以及重构该机器至在其被重构为诱饵机器之前所保持的状态。
12.如权利要求10的服务器场,还包括用于在入侵后保持该机器的身份的装置。
13.如权利要求12的服务器场,其中的身份基于该机器的网络地址。
14.如权利要求10的服务器场,其中的服务器场包括一具有至少一个存储设备的存储区域网络,其中,通过从存储区域网络至该机器移动非敏感数据而使该机器变成诱饵系统来实现所述的重构。
15.如权利要求10的服务器场,其中,通过从连接至该机器的本地存储驱动器至该机器移动非敏感数据来实现所述的重构。
16.如权利要求10的服务器场,其中,通过从连接至服务器场的另一机器的本地存储驱动器移动非敏感数据来实现所述的重构。
17.如权利要求10的服务器场,其中的非敏感数据被设计成对入侵是有吸引力的,由此,该机器被重构成“蜜罐”机器。
18.如权利要求10的服务器场,还包括用于在对服务器场的另一个机器的入侵之前,重新分配运行在该机器上的进程的装置。
19.一种用于保护服务器场免受入侵的计算机可用的介质,该计算机可用的介质包括用于检测对服务器场中的机器的入侵的计算机程序代码;用于将该机器与服务器场隔离的计算机程序代码;用于重构该机器为一仅能访问非敏感数据的诱饵系统的计算机程序代码;以及用于在入侵后保持该机器的身份的计算机程序代码。
20.如权利要求19的计算机可用的介质,还包括计算机程序代码,用于在确定该入侵为非恶意的入侵时,在功能上重新连接该机器至服务器场,以及重构该机器至在其被重构为诱饵机器之前所保持的状态。
全文摘要
本发明涉及一种用于处理对一组计算机中的机器的恶意入侵的系统和方法。恶意入侵是一种对一机器,例如服务器场中的服务器的非授权访问。当检测到入侵时,将该机器与服务器场的其余部分隔离,并且将该机器重构为一诱饵系统,该诱饵系统仅能访问假的或者至少是非敏感数据。如果入侵被确定为非恶意的,则将该机器在功能上重新连接至服务器场,并且重构该机器至在其被重构为诱饵机器之前所保持的状态。
文档编号G06F21/00GK1509013SQ200310118879
公开日2004年6月30日 申请日期2003年12月4日 优先权日2002年12月5日
发明者P·T·巴弗斯, J·M·加里森, M·吉尔费克斯, A·许, T·J·斯塔丁, R·S·沃恩, J·D·沃尔彼特, S·L·扬, P T 巴弗斯, 加里森, 扬, 斯塔丁, 沃尔彼特, 沃恩, 芽怂 申请人:国际商业机器公司