專利名稱:用于網(wǎng)絡(luò)偵查流識別的方法、計算機程序產(chǎn)品和設(shè)備的制作方法
用于網(wǎng)絡(luò)偵查流識別的方法��、計算機程序產(chǎn)品和設(shè)備背景技術(shù)網(wǎng)絡(luò)系統(tǒng)上的攻擊可以從試圖干預(yù)或終止網(wǎng)絡(luò)系統(tǒng)的操作能力到 未授權(quán)地使用或訪問網(wǎng)絡(luò)資源或在網(wǎng)絡(luò)系統(tǒng)中所存儲的或由網(wǎng)絡(luò)系統(tǒng) 所處理的數(shù)據(jù)而有所不同�。不考慮攻擊的性質(zhì),為了確定攻擊該網(wǎng)絡(luò) 系統(tǒng)的潛在的方法和途徑����,攻擊者經(jīng)常探查該網(wǎng)絡(luò)系統(tǒng),以便于盡可 能多的獲悉有關(guān)網(wǎng)絡(luò)系統(tǒng)及其資源����。作為收集有關(guān)網(wǎng)絡(luò)系統(tǒng)的信息的途徑,探查網(wǎng)絡(luò)系統(tǒng)通常被稱為"網(wǎng)絡(luò)偵查(network reconnaissance)"�。因為網(wǎng)絡(luò)偵查經(jīng)常是網(wǎng)絡(luò)攻擊的先兆,所以已經(jīng)開發(fā)了 "入侵檢 測系統(tǒng)"和其它網(wǎng)絡(luò)安全設(shè)備來嘗試檢測網(wǎng)絡(luò)偵査�。 一些常規(guī)的檢測 系統(tǒng)和安全設(shè)備依賴于探查簽名來識別與網(wǎng)絡(luò)偵査相關(guān)聯(lián)的探査。然 而����,有能力的攻擊者能夠用許多途徑來擊敗大多數(shù)的常規(guī)檢測系統(tǒng)和 安全設(shè)備���,該途徑包括偽裝探查,使得該探查不在與探查簽名匹配����, 或者使用"低速和緩慢"技術(shù)來利用大多數(shù)常規(guī)檢測系統(tǒng)的限時査看��。
圖l圖示了本發(fā)明實施例的框圖��;以及 圖2圖示了根據(jù)本發(fā)明另一個實施例的方法的流程圖��。
具體實施方式
現(xiàn)在���,下文中將參考附圖更充分地描述本發(fā)明�,在附圖中示出了 本發(fā)明的一些但不是所有的實施例�。實際上,本發(fā)明可以以很多不同 的形式來實施�,并且不應(yīng)該被解釋為限制于這里所闡述的實施例;恰恰相反��,提供這些實施例以便本公開將滿足可適用的法律要求���。相同 的數(shù)字始終指的是相同的元件��。本發(fā)明的一個或多個實施例可以被實現(xiàn)為一種方法�����、 一種設(shè)備或 一種計算機程序產(chǎn)品�。因此,實施例可以釆取完全硬件實施例、完全 軟件實施例�����,或結(jié)合軟件方面和硬件方面的實施例的形式����。此外����,實 施例的實現(xiàn)可以采取包括計算機可讀存儲介質(zhì)的計算機程序產(chǎn)品的形 式,該計算機可讀存儲介質(zhì)使計算機可讀程序指令(例如����,計算機軟 件)在存儲介質(zhì)中實施。更具體地��,優(yōu)選實施例的實現(xiàn)可以采取網(wǎng)絡(luò) 實現(xiàn)的計算機軟件的形式���?����?梢岳萌我膺m當?shù)挠嬎銠C可讀存儲介質(zhì)��, 包括硬盤�����、CD-ROM���、光存儲設(shè)備或磁存儲設(shè)備。
以下參考方法�����、設(shè)備���、系統(tǒng)和計算機程序產(chǎn)品的框圖和流程 示來描述本發(fā)明的實施例�����。要理解的是�����,框圖和流程示的每個框 以及框圖和流程示中框的組合能夠被分別地實現(xiàn)為計算機程序產(chǎn) 品��,或更特定地由計算機程序產(chǎn)品的一個或多個可執(zhí)行部分來實現(xiàn)�����。 計算機程序產(chǎn)品可以被裝載到通用計算機����、專用計算機或其它可編程 數(shù)據(jù)處理裝置上以產(chǎn)生一種機器,使得在計算機或其它可編程數(shù)據(jù)處 理裝置上執(zhí)行計算機程序產(chǎn)品的可執(zhí)行部分�,并且創(chuàng)建一種用于實現(xiàn) 流程圖框或多個框中所特定的功能的手段。
計算機程序產(chǎn)品也可以被存儲在計算機可讀存儲器中��,該計算機 可讀存儲器能夠指引計算機或其它可編程數(shù)據(jù)處理裝置來以特定的方 式起作用�����,使得計算機可讀存儲器中所存儲的計算機程序產(chǎn)品產(chǎn)生包 括計算機程序產(chǎn)品的可執(zhí)行部分的制造品��,用于實現(xiàn)流程圖的一個或 多個框中所特定的一個或多個功能���。計算機程序產(chǎn)品也可以被裝載到 計算機或其它可編程數(shù)據(jù)處理裝置上���,用以使一系列操作在計算機或 其它可編程裝置上被執(zhí)行來產(chǎn)生計算機實現(xiàn)的處理��,使得可執(zhí)行部分 在計算機或其它可編程裝置上執(zhí)行��,用于實現(xiàn)流程圖的一個或多個框 中所特定的功能���。
因此,框圖和流程示的框支持用于執(zhí)行特定功能的手段和用 于執(zhí)行特定功能的程序指令手段的組合���。也要理解的是����,框圖和流程示的每個框以及框圖和流程示中框的組合���,能夠由執(zhí)行特定 功能的專用基于硬件的計算機系統(tǒng)或?qū)S糜布陀嬎銠C指令的組合來 實現(xiàn)。在這里所引用的優(yōu)選實施例中����,可以引用"計算機"或"計算機 設(shè)備"。例如��,這種計算機可以是大型機��、服務(wù)器、臺式計算機����、膝 上型計算機或諸如數(shù)據(jù)獲取和存儲設(shè)備之類的手持設(shè)備,或者它可以 是在另一個裝置內(nèi)被實施的處理設(shè)備�����,諸如�����,例如�����,用于電視系統(tǒng)的 機頂盒或無線電話�。在一些實例中,計算機可以是通過網(wǎng)絡(luò)訪問數(shù)據(jù) 或處理器的"啞(dumb)"終端�����。在這里所引用的優(yōu)選實施例中���,可以引用"網(wǎng)絡(luò)"或"網(wǎng)絡(luò)系統(tǒng)"�����。例如��,這種網(wǎng)絡(luò)可以被認為是個人區(qū)域網(wǎng)絡(luò)(PAN)����、局域網(wǎng)(LAN) 或廣域網(wǎng)(WAN)。該網(wǎng)絡(luò)包括一個或多個設(shè)備�����,諸如計算機和外圍 設(shè)備����。該網(wǎng)絡(luò)被配置為通過一個或多個接口與一個或多個外部設(shè)備、 系統(tǒng)或其它源進行通信�����。更具體地�����, 一個或多個計算機或外圍設(shè)備被 配置為向或通過外部設(shè)備�����、系統(tǒng)或其它外部源來接收和/或傳送信息���。例如并且如圖1中所示��,網(wǎng)絡(luò)IO可以包括第一計算機設(shè)備12�����,該 第一計算機設(shè)備12被連接到一個或多個外部設(shè)備或其它外部源�,并且 被配置為起一個或多個外部源和網(wǎng)絡(luò)的其它計算機設(shè)備14�����、 16之間的 網(wǎng)關(guān)的作用�。第一計算機設(shè)備12可以包括至少第一輸入/輸出控制器 18、處理元件20以及第二輸入/輸出控制器22�����。通常����,第一輸入/輸出 控制器18被配置為通過至少一個接口 24從至少一個外部源接收信 息����,并且將該信息發(fā)送到處理元件20和第二輸入/輸出控制器22��。例 如��,第一輸入/輸出控制器18可以通過電纜或電話調(diào)制解調(diào)器或無線接 口被連接到因特網(wǎng)�,或者通過LAN或WAN接口被連接到第二網(wǎng)絡(luò)。 處理元件20被配置為對第二輸入/輸出控制器22提供指令����,該指令與 通過第一輸入/輸出控制器18所接收到的信息的處理有關(guān)。第二輸入/ 輸出控制器22根據(jù)處理元件20所提供的指令�,將信息路由到網(wǎng)絡(luò)的計算機設(shè)備14、 16���。該第二輸入/輸出控制器22也被配置為從網(wǎng)絡(luò)
的其它計算機設(shè)備14�����、 16接收信息��,并且將該信息發(fā)送到第一輸入/ 輸出控制器18和處理處理元件20����,用于傳送到至少一個外部源�����。
第一計算機設(shè)備12可以是服務(wù)器����,并且包括至少一個存儲元件
24,用于存儲與應(yīng)用或網(wǎng)絡(luò)IO的操作能力相關(guān)的數(shù)據(jù)和計算機指令�;
以及處理元件20,可以被配置為控制或至少管理網(wǎng)絡(luò)的至少一些操
作方面��。如另一個示例���,第一計算機設(shè)備可以被認為是智能路由器
(smartrouter)�����,或者在又一個示例中���,第一計算機設(shè)備可以是啞路由 器,其通常是部分地從屬于第二計算機設(shè)備用于操作方面的路由器��。
并且,雖然這里通常作為網(wǎng)絡(luò)來描述�,但是應(yīng)該理解的是,根據(jù) 本發(fā)明的一些實施例����,網(wǎng)絡(luò)可以僅包括第一計算機設(shè)備。例如���,第一 計算機設(shè)備可以是通過電纜調(diào)制解調(diào)器或其它接口被連接到因特網(wǎng)的 家庭個人計算機����。
如這里所使用的�����,"接口"是網(wǎng)絡(luò)和任意外部源之間的任意點����, 起網(wǎng)絡(luò)和外部源之間管道的作用,用于二者之間信息的傳送�。例如, 接口可以在服務(wù)器����、防火墻����、網(wǎng)絡(luò)路由器��、VoIP訪問設(shè)備或類似的網(wǎng) 絡(luò)元件或設(shè)備處��。
本發(fā)明的實施例涉及一種方法��,該方法通過對從網(wǎng)絡(luò)流到外部源 的信息的識別來檢測網(wǎng)絡(luò)的偵查�,這里被稱為"網(wǎng)絡(luò)偵查流識別"�����。 一般說來��,該方法包括監(jiān)視從網(wǎng)絡(luò)流出的信息����,用以確定可能已經(jīng)向 潛在的攻擊者泄露了什么屬性。
更具體地說�����,該方法可以包括監(jiān)視網(wǎng)絡(luò)和外部源之間所傳送的信 息��,即,業(yè)務(wù)�。在操作中,網(wǎng)絡(luò)從外部源接收信息并且向外部源傳送 信息����。該信息可以被格式化為字節(jié)的分組或塊,或者該信息可以作為 一連串的字節(jié)���、字符或只是比特來被傳送�����。由網(wǎng)絡(luò)通過接口從外部源所接收到的傳送可以被稱為"詢問"�。詢問可以是例程(routine)和被 授權(quán)的操作的一部分����,諸如某人將電子郵件消息發(fā)送到網(wǎng)絡(luò)內(nèi)的IP地 址或被授權(quán)的用戶從網(wǎng)絡(luò)的遠程客戶設(shè)備登錄?����;蛘?���,詢問可以是潛 在的攻擊者的探査�,該攻擊者嘗試獲取關(guān)于網(wǎng)絡(luò)和關(guān)聯(lián)計算機設(shè)備的 信息��,以便想出用于攻擊該網(wǎng)絡(luò)的途徑�����。 一類通過接口從網(wǎng)絡(luò)到外部 源的傳送是用于對具體詢問進行響應(yīng)的"響應(yīng)信號"�����。然而�����,根據(jù)詢 問���,網(wǎng)絡(luò)可以不用響應(yīng)信號來對詢問進行響應(yīng)。換言之���,網(wǎng)絡(luò)可以通 過缺少響應(yīng)信號對具體詢問進行響應(yīng)����。這里所使用的"事件"被認為 是特定詢問和對該詢問的網(wǎng)絡(luò)的響應(yīng)的組合(它是以響應(yīng)信號或缺少 該響應(yīng)信號的形式)。根據(jù)圖2中所示的實施例�,提供了一種用于指示網(wǎng)絡(luò)的潛在偵查 的方法。該方法可以包括從外部源接收詢問100;監(jiān)視對詢問的網(wǎng)絡(luò)的 響應(yīng)200;以及確定由響應(yīng)所泄露300的網(wǎng)絡(luò)的一個或多個屬性����。如前所述,網(wǎng)絡(luò)可以通過網(wǎng)絡(luò)的一個或多個接口從各種外部源接 收詢問�����。該外部源可以通過諸如因特網(wǎng)之類的公共系統(tǒng)或通過個人網(wǎng) 絡(luò)被連接到網(wǎng)絡(luò)��。此外����,詢問可以包括關(guān)于詢問的外部源的信息,諸 如IP地址���,這允許網(wǎng)絡(luò)識別發(fā)送詢問的外部源的位置和類型���。可以由傳感器來執(zhí)行響應(yīng)的監(jiān)視����。 一般說來�����,傳感器可以被配置 為檢測網(wǎng)絡(luò)的至少每個響應(yīng)�����。傳感器可以采取完全硬件實施例�����、完全 軟件實施例���,或結(jié)合軟件方面和硬件方面的實施例的形式����。例如,傳 感器可以是被添加到或被插入網(wǎng)絡(luò)中的一個或多個接口的軟件元件����, 或者是被連接到一個或多個接口的獨立硬件設(shè)備。對于更具體的示例 并且如圖1中所示���,傳感器或傳感元件26可以是第一計算機設(shè)備12 內(nèi)的獨立硬件�,或者另外是與第一計算機設(shè)備12通信的獨立硬件。所 圖示的實施例的傳感元件26與第一輸入/輸出控制器18通信���,用于監(jiān) 視網(wǎng)絡(luò)IO和外部源之間的業(yè)務(wù)����。此外���,第一計算機設(shè)備的處理元件20 可以提供指令��,用于由傳感元件26所檢測的信息或傳感元件26的其它操作方面的處理�。
由傳感元件監(jiān)視響應(yīng)���,用以確定從響應(yīng)所泄露的關(guān)于網(wǎng)絡(luò)的信息 的類型或數(shù)量�����。更具體地說�,每個響應(yīng)信號都承載了一組信息元素��。 該信息元素的內(nèi)容可是二進制的����、文本的��、整數(shù)或任意其它的數(shù)據(jù)形 式����,并且可以屬于任意數(shù)目的不同類別�����。至少一些信息元素可能無關(guān) 于網(wǎng)絡(luò)的任何特性或?qū)傩?����。例如���,響?yīng)信號可以包括報頭����、凈荷和報 尾����。凈荷可以對應(yīng)于電子郵件消息的文本���,這將不會幫助攻擊者獲悉 關(guān)于該網(wǎng)絡(luò)���。然而��, 一些信息元素可以有關(guān)于該網(wǎng)絡(luò)的特性或?qū)傩浴?例如��,響應(yīng)信號可以包括與下述內(nèi)容有關(guān)的信息元素該網(wǎng)絡(luò)的操作 系統(tǒng)并且更具體地關(guān)于操作系統(tǒng)的版本���;用于該網(wǎng)絡(luò)的特定服務(wù)的端 口地址;該網(wǎng)絡(luò)的相關(guān)聯(lián)的協(xié)議����;以及該網(wǎng)絡(luò)的資產(chǎn),包括用于所述 資產(chǎn)的地址和所述資產(chǎn)的狀態(tài)���。這種信息對于攻擊者獲悉關(guān)于網(wǎng)絡(luò)的 屬性以便于想出攻擊該網(wǎng)絡(luò)的方法來說是有用的��。
為了確定什么信息元素可能與網(wǎng)絡(luò)的特性或?qū)傩杂嘘P(guān)�����,可以由傳 感元件和/或處理元件來將響應(yīng)信號與一個或多個信息模板作比較�����。信 息模板通常是用于使響應(yīng)信號的一個或多個信息元素與從信息元素所 推斷的網(wǎng)絡(luò)的屬性相互關(guān)聯(lián)的映射���。例如�,信息模板可以包括一組信 息元素���,如果響應(yīng)信號中存在信息元素�����,則表示潛在的攻擊者可能能 夠從響應(yīng)信號推斷網(wǎng)絡(luò)的特定屬性�����。信息模板和響應(yīng)信號中特定的一 組信息元素的共同存在可以基于信息模板和響應(yīng)信號二者中基本上相 同類型的數(shù)據(jù)而不考慮數(shù)據(jù)的值�,或者共同存在可以基于信息模板和 響應(yīng)信號二者中具有相同值的基本上相同類型的數(shù)據(jù)�����。如另一個示例���, 信息模板可以包括一組信息元素,該組信息元素與用于該信息元素的 具體層級或多個層級相結(jié)合�����。例如,層級可以包括信息元素的分類��, 諸如有關(guān)網(wǎng)絡(luò)拓撲信息或操作簡檔信息的元素����。層級也可以包括信號 的類型和生成該信號的源或端口的表示。如更特定的示例����,響應(yīng)可以 是來自網(wǎng)絡(luò)的Web服務(wù)器的TCP分組。該分組可能通過作為來自端口 80的分組而與一個層級中的具體等級匹配���,通過作為TCP分組而與其它層級中的其它等級匹配�,并且還通過作為IP數(shù)據(jù)報而與其它層級中 的其它等級匹配����。為了匹配特定的信息模板,在該實施例中�,響應(yīng)信 號需要將信息元素和信息模板的層級或多個層級的相同等級一起包括 在信息模板中。如又一個示例�����,信息模板的基本格式可以是用于確定潛在信息元 素的存在和值的一組規(guī)則���。規(guī)則可以是檢查具體條件的存在的至少一 個條件語句以及緊接該條件語句的賦值語句�����,所述賦值語句為給定了 特定一組參數(shù)的那個特定值設(shè)置事件比特���。例如�,響應(yīng)信號可以是數(shù)據(jù)報(currentj3acket)�����,并且傳感元件可以針對數(shù)據(jù)報的值運行一組 規(guī)則��。函數(shù)����、(y,z)'可以被解釋為對于參數(shù)y和z的信息元素x的值, 使得可以將'up(10.0.0.1����, 192.168.0.15)'解釋為地址10.0.0.1處的設(shè)備 已經(jīng)對地址192.168.0.15處的設(shè)備泄露了地址10.0.0.1處的設(shè)備是開啟 的并且正在運行。為了提供更具體的示例的目的�����,下面可以是根據(jù)本發(fā)明的實施例 的信息元素#規(guī)則如果主機在用任意數(shù)據(jù)報進行響應(yīng)則表明主機是開啟的 U' eurreill—packeUs一ip thmi!p(eurrent_packd,source����, current_paGket.destma"on) - 1;#規(guī)則對被泄露的Web服務(wù)器的存在迸行識別 if ci3rren〖_pack'et,prokKol = TCP AND current_packd.sre_port = SO then web—server(curreni一packd, source, cummi』ackd.desEinalion) - 1;#規(guī)則査看當前消息的生存時間(TTL)值和先前所設(shè)置的值#二者,用以確定是否已經(jīng)泄露了能夠被用于#操作系統(tǒng)指紋標記(fingerprinting)的額外信息���。注意��,該#規(guī)則將現(xiàn)有狀態(tài)解釋為其函數(shù)的 一 部分���。 if currentjwket.ttl > 64 ANDwindows(curren。acket,scnjrce���, current_packet.destination)then
windows—2000(currem_packet.source���, current_padtet,destinaUon) = 1;
如另一個示例,以下可以是具有用于缺少響應(yīng)信號的格式的信息
元素
#査看先前的消息是否具有導(dǎo)致目的地將其丟棄的
弁錯誤報頭校驗和�。如果其具有錯誤報頭校驗和,則探查
存器己經(jīng)確定它是用于操作系統(tǒng)指紋標記目的的3級機器��。 if previous(current_packe:),bad—xsum AND
time—since_previous(currefU_packet) > 300 ms
then os—dass—3(currentjacfcet.i:festinatioTU cun'entj)acket.source);
在以上的示例中����,"previous "指的是訪問來自給定源/目標對的最 后的響應(yīng)信號��,并且"time—since_previous"指的是從先前分組到達開 始已經(jīng)流逝的時間量��。如以上一些規(guī)則所指示的�����, 一些規(guī)則可以隨査 看至少一些存儲的狀態(tài)或值而定���,這可以實時地或作為后處理操作來 被完成。
可以由操作者(即�����,人類開發(fā)人員)基于歷史數(shù)據(jù)�、實驗和/或操 作者的教育和經(jīng)驗來開發(fā)信息模板?����;蛘?,根據(jù)本發(fā)明的實施例,可 以由網(wǎng)絡(luò)�����、計算機程序產(chǎn)品或設(shè)備來自動地開發(fā)信息模板。
一般說來�����,可以通過傳感元件和/或處理元件來發(fā)現(xiàn)特定的響應(yīng)信 號���,用以匹配一個或多個信息模板?�?梢哉J為該響應(yīng)信號泄露了與每 個匹配的信息模板相關(guān)聯(lián)的網(wǎng)絡(luò)的每個屬性�。并且�����,從響應(yīng)信號所泄 露的屬性的集合可以被表征為該響應(yīng)信號的信息簡檔。由傳感元件和/ 或處理元件針對每個響應(yīng)信號所開發(fā)的信息簡檔可以被存儲到數(shù)據(jù)存 儲庫中�����。更具體地說,根據(jù)圖2中所示的實施例�����,該方法可以進一步 包括將由響應(yīng)所泄露的網(wǎng)絡(luò)的屬性,gp����,響應(yīng)的信息簡檔����,存儲在數(shù) 據(jù)存儲庫中400�����。例如����,數(shù)據(jù)存儲庫可以是如圖1中所示的網(wǎng)絡(luò)的第一 計算機設(shè)備的存儲元件24���。此外,計算機設(shè)備的處理元件20可以提供用于確定什么信息被存儲到 存儲元件24中的指令�。此外�,在一些實施例中,詢問或關(guān)于生成了響應(yīng)的詢問的信息也 可以被存儲到數(shù)據(jù)存儲庫中�����。換言之,代替僅存儲響應(yīng)信號���,可以存 儲事件��,即,詢問和關(guān)聯(lián)的響應(yīng)�����。將信息簡檔存儲到數(shù)據(jù)存儲庫中可以允許自動化系統(tǒng)或操作者來 檢查并且分析所有的信息簡檔�����,用以確定可能已經(jīng)被泄露給攻擊者的 信息總量或網(wǎng)絡(luò)的所有屬性�。或者��,可以分析信息簡檔的子集來采樣 可能己經(jīng)被透漏給攻擊者的網(wǎng)絡(luò)的屬性��。更具體地說���,根據(jù)圖2中所 示的實施例�����,該方法可以進一步包括基于數(shù)據(jù)存儲庫中所存儲的屬性來確定網(wǎng)絡(luò)的可能偵査500。在一些實施例中����,可以通過圖形用戶界面來訪問數(shù)據(jù)存儲庫,通常由處理元件所支持����,用以允許操作者查看所 存儲的信息簡檔��。處理元件20可以被配置為通過向網(wǎng)絡(luò)內(nèi)的另一個元件或向操作者發(fā)送網(wǎng)絡(luò)的可能偵查的警報或指示來對數(shù)據(jù)存儲庫達到所存儲的信息的預(yù)定閾值水平進行響應(yīng)。例如���,處理元件20可以在網(wǎng)絡(luò)的一個或多個監(jiān)視器上生成彈出式警報消息����,或者向預(yù)定的地址或設(shè)備發(fā)送警 報郵件或其它消息���。閾值水平可以基于數(shù)據(jù)存儲庫中所存儲的信息簡 檔的數(shù)目?�;蛘?���,由傳感元件和/或處理元件基于所泄露的屬性的類型 來分類信息簡檔���,并且閾值水平可以基于所泄露的和被存儲在數(shù)據(jù)存 儲庫中的潛在屬性的數(shù)目����。除了或取代提供可能偵查的警報或指示�,處理元件20也可以被配置為響應(yīng)于數(shù)據(jù)存儲庫達到預(yù)定閾值水平��,采取防御性措施,諸如終止對一個或多個外部源的進一步通信。根據(jù)本發(fā)明的實施例,主要監(jiān)視可能被泄露的網(wǎng)絡(luò)的屬性而不是 導(dǎo)致一個或多個屬性被泄露的實際詢問或事件���。因此����,在一些實施例中并且如圖2中所示��,該方法可以進一步包括將重復(fù)性的事件折疊為單一的事件350����。例如,如果用戶的郵件代理每5分鐘查詢郵件服務(wù)器��,則這些事件的每一個都將生成相同的信息簡檔���。換言之��,郵件服務(wù)器 的額外查詢和郵件服務(wù)器的響應(yīng)將不會泄露除了第一次査詢和響應(yīng)中 所泄露的之外的額外信息或?qū)傩?����。因此�,可以折疊重復(fù)性的事件���,這 可以節(jié)省數(shù)據(jù)存儲庫中的空間并且使得更多的"異常"事件變得明顯���。例如�����,根據(jù)一些實施例,數(shù)據(jù)存儲庫中被存儲的信息簡檔可以表 示網(wǎng)絡(luò)屬性的列表���。每個屬性的狀態(tài)����,g卩����,屬性是否可能被泄露,可 以是雙態(tài)的�。如果屬性有可能被泄露,則表示屬性狀態(tài)的數(shù)據(jù)比特可 以被設(shè)置為1�,并且如果屬性沒有可能被泄露,則數(shù)據(jù)比特可以被設(shè)置為0���。因此�����,如果傳感元件幾千次地査看相同的事件�����,則表示對應(yīng)的一 個或多個屬性的狀態(tài)的數(shù)據(jù)比特可以被幾千次地設(shè)置為i���,而不需要除 了單一數(shù)據(jù)比特以外的額外存儲���。在這種實施例中,通過重新設(shè)置相 同的數(shù)據(jù)比特或字節(jié)而不是存儲額外值用以表示多個事件�����,重復(fù)性的 事件的折疊自動地發(fā)生����。較之常規(guī)入侵檢測系統(tǒng),某事件的折疊和信息簡檔的緊湊性質(zhì)允 許相對更長時間段的數(shù)據(jù)的存儲�。存儲數(shù)據(jù)的較大時間方面使得本發(fā) 明的實施例較少受攻擊者的"低速和緩慢"技術(shù)的影響,即長時間段 地故意探查網(wǎng)絡(luò)試圖要避開檢測的偵查��。并且���,由于依賴于潛在被泄露的網(wǎng)絡(luò)屬性而不是詢問���,所以本發(fā) 明的實施例可以具有工具獨立性的方面����。具體地�,偵査的檢測基于所 泄露的信息而不是基于由攻擊者用以獲取信息的詢問或工具。例如��, 經(jīng)常使用網(wǎng)絡(luò)控制消息協(xié)議(ICMP)回送請求(經(jīng)常被稱為"ping") 來執(zhí)行對活動主機的掃描�����。但是����,生成響應(yīng)的任意其它IP數(shù)據(jù)報不能 被攻擊者用于相同的目的是沒有理由的�����。本發(fā)明的實施例允許對活動 主機的潛在掃描的檢測���,而不考慮什么工具被用以誘發(fā)響應(yīng)�����。此外�, 集中于響應(yīng)使得本發(fā)明的實施例不易受到由攻擊者通過許多不同的源 所發(fā)送的探査的影響。如上所述�����,本發(fā)明的實施例也可以監(jiān)視并且存儲對網(wǎng)絡(luò)的詢問���。 如上所述��,事件是詢問和對詢問的響應(yīng)��。響應(yīng)可以是響應(yīng)信號或響應(yīng) 信號的欠缺��。實施例可以對事件而不僅是如上所述的響應(yīng)信號進行監(jiān) 視�。這種實施例允許對"響應(yīng)信號的欠缺"的響應(yīng)的檢測���,"響應(yīng)信 號的欠缺"的響應(yīng)在一些應(yīng)用中可能泄露網(wǎng)絡(luò)的屬性��。并且����,即使本 發(fā)明的實施例可以是獨立于工具的,并且不集中于特定的外部源���,本 發(fā)明的實施例仍然可以存儲這種用于分析的信息�。監(jiān)視并且存儲事件允許出入網(wǎng)絡(luò)的信息流的更完整的映射�����。通過 使用攻擊者的潛在探查來識別并且修復(fù)安全性中的潛在缺陷��,信息流 的映射可以允許對網(wǎng)絡(luò)安全性的更好評估���。此外�����,為了突出異常事件 或潛在的探查,可以按照類別�����,諸如按照外部源�����、web會話、容量和日 期/時間�,來分析和聚合通過映射所收集的數(shù)據(jù),以便于開發(fā)所預(yù)期的 或所期望的未來映射�����。這里所闡述的本發(fā)明的很多修改和其它實施例對于本發(fā)明所涉及 的領(lǐng)域中的技術(shù)人員是容易想到的�����,這些發(fā)明具有前面的描述和附圖 中所出現(xiàn)的教導(dǎo)的權(quán)益����。因此,要理解的是本發(fā)明不限于所公開的特 定實施例�,并且修改和其它實施例旨在被包括在所附權(quán)利要求的范圍 內(nèi)。雖然�,這里使用了特定的術(shù)語,但是它們僅僅被用于一般性的和 描述性的意思����,而不是用于限制的目的。
權(quán)利要求
1. 一種方法�����,包括接收從外部源到網(wǎng)絡(luò)的詢問;監(jiān)視對所述詢問的所述網(wǎng)絡(luò)的響應(yīng)��;以及確定可能從所述響應(yīng)所泄露的所述網(wǎng)絡(luò)的一個或多個屬性���。
2. 根據(jù)權(quán)利要求l所述的方法��,其中確定可能從所述響應(yīng)所泄露 的所述網(wǎng)絡(luò)的所述屬性包括將響應(yīng)與一個或多個信息模板作比較�, 其中每個信息模板與所述網(wǎng)絡(luò)的至少一個屬性相關(guān)聯(lián)�。
3. 根據(jù)權(quán)利要求l所述的方法,進一步包括將可能從所述響應(yīng) 所泄露的所述網(wǎng)絡(luò)的所述屬性存儲到數(shù)據(jù)存儲庫中����。
4. 根據(jù)權(quán)利要求3所述的方法,其中將可能從所述響應(yīng)所泄露的 所述網(wǎng)絡(luò)的所述屬性存儲到所述數(shù)據(jù)存儲庫中包括基于至少一個先 前的響應(yīng)�����,將非重復(fù)性的所述網(wǎng)絡(luò)的屬性存儲在所述數(shù)據(jù)存儲庫中���; 并且基于至少一個先前的響應(yīng),不將重復(fù)性的所述網(wǎng)絡(luò)的屬性存儲在 所述數(shù)據(jù)存儲庫中�����。
5. 根據(jù)權(quán)利要求3所述的方法,進一步包括將生成所述響應(yīng)的 所述詢問的至少一部分存儲在所述數(shù)據(jù)存儲庫中���。
6. 根據(jù)權(quán)利要求3所述的方法���,進一步包括基于所述數(shù)據(jù)存儲 庫中所存儲的所述屬性來確定所述網(wǎng)絡(luò)的可能的偵查。
7. 根據(jù)權(quán)利要求6所述的方法��,其中確定可能從所述響應(yīng)泄露的 所述網(wǎng)絡(luò)的所述屬性包括將響應(yīng)與一個或多個信息模板作比較����,其 中每個信息模板與所述網(wǎng)絡(luò)的至少一個屬性相關(guān)聯(lián),并且其中確定所 述可能的偵查包括確定所述數(shù)據(jù)存儲庫中所存儲的所述屬性是否滿足預(yù)定義的閾值���。
8. —種計算機可讀存儲介質(zhì)上所存儲的計算機程序產(chǎn)品�����,包括 第一可執(zhí)行部分��,用于監(jiān)視對從所述網(wǎng)絡(luò)所接收到的來自外部源的詢問的所述網(wǎng)絡(luò)的響應(yīng)�;以及第二可執(zhí)行部分�,用于確定可能從所述響應(yīng)所泄露的所述網(wǎng)絡(luò)的 一個或多個屬性。
9. 根據(jù)權(quán)利要求8所述的計算機程序產(chǎn)品���,其中所述第二可執(zhí)行 部分被配置為通過將所述響應(yīng)與一個或多個信息模板作比較���,確定 可能從所述響應(yīng)所泄露的所述網(wǎng)絡(luò)的所述屬性����,其中每個信息模板與 所述網(wǎng)絡(luò)的至少一個屬性相關(guān)聯(lián)�����。
10. 根據(jù)權(quán)利要求9所述的計算機程序產(chǎn)品��,進一步包括第三可 執(zhí)行部分�,用于將可能從所述響應(yīng)所泄露的所述網(wǎng)絡(luò)的所述屬性存儲 到數(shù)據(jù)存儲庫中。
11. 根據(jù)權(quán)利要求10所述的計算機程序產(chǎn)品�����,其中所述第三可執(zhí) 行部分進一步被配置為基于所述屬性對于所述數(shù)據(jù)存儲庫是否是重 復(fù)性的����,將可能從所述響應(yīng)所泄露的所述網(wǎng)絡(luò)的所述屬性存儲到所述 數(shù)據(jù)存儲庫中。
12. 根據(jù)權(quán)利要求10所述的計算機程序產(chǎn)品��,進一步包括第四 可執(zhí)行部分�,用于將生成所述響應(yīng)的所述詢問的至少一部分存儲在所 述數(shù)據(jù)存儲庫中。
13. 根據(jù)權(quán)利要求10所述的計算機程序產(chǎn)品��,進一步包括第四 可執(zhí)行部分���,用于基于所述數(shù)據(jù)存儲庫中所存儲的所述屬性���,確定所 述網(wǎng)絡(luò)的可能的偵查。
14. 根據(jù)權(quán)利要求13所述的計算機程序產(chǎn)品���,其中所述第四可執(zhí) 行部分基于確定所述數(shù)據(jù)存儲庫中所存儲的所述屬性是否滿足預(yù)定義 的閾值來確定所述可能的偵查�。
15. —種設(shè)備�,包括傳感元件,用于監(jiān)視從網(wǎng)絡(luò)到一個或多個外部源的一個或多個響應(yīng)�����;處理元件�,用于確定可能從所述響應(yīng)所泄露的所述網(wǎng)絡(luò)的一個或 多個屬性;以及存儲元件����,用于存儲可能從所述響應(yīng)所泄露的所述網(wǎng)絡(luò)的所述屬性。
16. 根據(jù)權(quán)利要求15所述的系統(tǒng)��,其中所述傳感元件進一步被配 置為監(jiān)視對應(yīng)于所述響應(yīng)的從所述外部源到所述網(wǎng)絡(luò)的一個或多個 詢問,并且所述存儲元件進一步被配置為存儲所述詢問的至少一部 分����。
17. 根據(jù)權(quán)利要求15所述的系統(tǒng),其中所述處理元件通過將所述 響應(yīng)與一個或多個信息模板作比較來確定可能由所述響應(yīng)所泄露的所 述網(wǎng)絡(luò)的所述一個或多個屬性���,其中每個信息模板與所述網(wǎng)絡(luò)的至少 一個屬性相關(guān)聯(lián)�����。
18. 根據(jù)權(quán)利要求15所述的系統(tǒng)���,其中所述處理元件被配置為 提供指令,用于基于所述屬性是否是重復(fù)性的來將可能從所述響應(yīng)所 泄露的所述網(wǎng)絡(luò)的所述屬性存儲到所述數(shù)據(jù)存儲庫中����。
19. 根據(jù)權(quán)利要求15所述的系統(tǒng),其中所述處理元件也被配置為 基于存儲在所述存儲元件中的所述網(wǎng)絡(luò)的所述屬性來確定所述網(wǎng)絡(luò)的 可能的偵查����。
20.根據(jù)權(quán)利要求19所述的系統(tǒng),其中所述處理元件基于確定所 述數(shù)據(jù)存儲庫中所存儲的所述屬性是否滿足預(yù)定義的閾值來確定所述 可能的偵查��。
全文摘要
提供了一種方法、一種計算機程序產(chǎn)品和一種設(shè)備�����,用于通過從網(wǎng)絡(luò)流到外部源的信息的識別來檢測網(wǎng)絡(luò)的偵查�����。該方法可以包括監(jiān)視從網(wǎng)絡(luò)流到外部源的信息����,以便于識別可能已經(jīng)向潛在的攻擊者泄露了什么屬性���。該方法可以包括監(jiān)視對來自外部源的詢問的網(wǎng)絡(luò)的響應(yīng)�;確定可能已經(jīng)從該響應(yīng)所泄露的潛在的網(wǎng)絡(luò)屬性����;將潛在的屬性存儲在數(shù)據(jù)存儲庫中;以及基于數(shù)據(jù)存儲庫中所存儲的屬性來確定網(wǎng)絡(luò)的可能偵查�。確定由響應(yīng)所泄露的潛在的網(wǎng)絡(luò)屬性可以包括將響應(yīng)與一個或多個信息模板作比較。每個信息模板可以與網(wǎng)絡(luò)的一個或多個屬性相關(guān)聯(lián)�����。
文檔編號G06F11/00GK101548269SQ200780045252
公開日2009年9月30日 申請日期2007年10月16日 優(yōu)先權(quán)日2006年10月20日
發(fā)明者卡爾·馬歇爾·艾略特·鮑威爾 申請人:韋里佐內(nèi)服務(wù)公司