專利名稱:響應(yīng)入侵的方法和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明一般涉及計(jì)算機(jī)安全,特別涉及響應(yīng)違反計(jì)算機(jī)安全策略的計(jì)算機(jī)入侵。
背景技術(shù):
在計(jì)算機(jī)安全領(lǐng)域���,“入侵”是一個(gè)包括很多不良活動(dòng)的廣義術(shù)語(yǔ)�����。入侵的目的可能是獲得個(gè)人未被授權(quán)擁有的信息(稱作“信息偷竊”)��,它可能是通過(guò)使網(wǎng)絡(luò)、系統(tǒng)或應(yīng)用不可用來(lái)造成商業(yè)損害(稱作“拒絕服務(wù)”)��,并且/或者�����,它可能是獲得系統(tǒng)的非授權(quán)使用以作為用于在它處作進(jìn)一步入侵的踏腳石�����。入侵會(huì)遵循信息收集���、嘗試訪問(wèn)然后是破壞性攻擊的模式�。
一些入侵可以被目標(biāo)系統(tǒng)檢測(cè)和化解(neutralize)����,不過(guò)經(jīng)常不是實(shí)時(shí)的�。其他入侵不能被目標(biāo)系統(tǒng)有效化解�。入侵還可能利用使得不容易對(duì)它們的真實(shí)來(lái)源進(jìn)行追蹤的“欺騙”分組。很多入侵現(xiàn)在利用不知情的同伙-也就是����,未授權(quán)使用以隱藏入侵者身份的機(jī)器或網(wǎng)絡(luò)。由于這些原因���,檢測(cè)信息收集嘗試���、訪問(wèn)嘗試和入侵同伙行為可以是入侵檢測(cè)的一個(gè)重要部分。
如圖1所示�����,入侵可以由例如位于外部網(wǎng)135(例如��,因特網(wǎng))上的入侵者130或者從位于內(nèi)部網(wǎng)115上的入侵者110向內(nèi)部網(wǎng)115上的主機(jī)100發(fā)起��。防火墻120可以提供一些保護(hù)來(lái)防止來(lái)自外部網(wǎng)的入侵����。然而,一旦防火墻“認(rèn)可”了進(jìn)入到內(nèi)部網(wǎng)115中,它就不能防止入侵���,并且當(dāng)入侵從內(nèi)部網(wǎng)115內(nèi)部(例如���,入侵者110)發(fā)起時(shí),它不能提供保護(hù)��。另外����,端到端加密會(huì)限制可以被諸如防火墻120的中間設(shè)備檢測(cè)的入侵類型,因?yàn)橹虚g設(shè)備可能不能評(píng)估(evaluate)未加密形式的分組以獲得入侵的證據(jù)。
入侵檢測(cè)系統(tǒng)(以下為“IDS”)可以提供多種類型入侵的檢測(cè)。參照?qǐng)D2�����,IDS可以包括檢查網(wǎng)絡(luò)通信信息(traffic)的嗅探器��。嗅探器可以置于網(wǎng)絡(luò)中的關(guān)鍵點(diǎn)�,如防火墻220前面的嗅探器210;防火墻220后面的嗅探器230���;內(nèi)部網(wǎng)115上的嗅探器240��;和/或主機(jī)260與內(nèi)部網(wǎng)115之間的嗅探器250所示���。嗅探器可以使用“模式匹配”來(lái)試圖將通信信息與已知的入侵簽名進(jìn)行匹配���。對(duì)所有網(wǎng)絡(luò)通信信息執(zhí)行模式匹配可能需要相當(dāng)多的處理時(shí)間,并且可能導(dǎo)致所要分析的通信信息的積壓�����,從而造成識(shí)別入侵的延遲�。已知入侵簽名數(shù)目的增長(zhǎng)可能增加識(shí)別入侵的處理時(shí)間和相關(guān)延遲。
一檢測(cè)到入侵�����,嗅探器就可以向IDS管理系統(tǒng)270報(bào)警�����,IDS管理系統(tǒng)270可以采取行動(dòng)來(lái)停止入侵�����。例如���,嗅探器230和250被示出為將“告警”通知給IDS管理系統(tǒng)270���。IDS管理系統(tǒng)270可以是例如IBM的Tivoli Risk Manager system(Tivoli風(fēng)險(xiǎn)管理器系統(tǒng))�。IDS管理系統(tǒng)270可以相互關(guān)聯(lián)來(lái)自若干嗅探器的入侵通知以判定是否發(fā)生了入侵����,并且如果是,確定入侵的特征�����。IDS管理系統(tǒng)270可以響應(yīng)入侵而將通信過(guò)濾規(guī)則下載到防火墻220�。
嗅探器還可以或者可以替代地通知提供由IDS組件檢測(cè)的安全告警的日志記錄和分析的服務(wù)如IBM的Emergency Response Service(應(yīng)急響應(yīng)服務(wù),ERS)單元200����。在所示例子中�,防火墻220之前的嗅探器210將告警發(fā)送到應(yīng)急響應(yīng)服務(wù)單元200。
發(fā)明內(nèi)容
在本發(fā)明的一些實(shí)施例中�,計(jì)算機(jī)通過(guò)根據(jù)包括與計(jì)算機(jī)相關(guān)的信息的局部IDS策略評(píng)估通知來(lái)選擇性地響應(yīng)來(lái)自網(wǎng)絡(luò)可訪問(wèn)入侵檢測(cè)服務(wù)(IDS)管理器的至少一條入侵通知。與計(jì)算機(jī)相關(guān)的信息可以例如基于計(jì)算機(jī)是否是用于計(jì)算機(jī)系統(tǒng)中的其他計(jì)算機(jī)的信息服務(wù)器���、計(jì)算機(jī)是否受到防火墻的保護(hù)以隔離入侵源���、計(jì)算機(jī)與入侵源的鄰近性�、計(jì)算機(jī)中的存儲(chǔ)器利用����、和/或計(jì)算機(jī)中的處理器利用。
局部IDS策略可以從網(wǎng)絡(luò)可訪問(wèn)倉(cāng)庫(kù)下載到計(jì)算機(jī)��。IDS策略可以包括根據(jù)來(lái)自IDS管理器的入侵通知所要采取的一個(gè)或多個(gè)響應(yīng)行動(dòng)�����。計(jì)算機(jī)的響應(yīng)行動(dòng)可以包括終止作為入侵目標(biāo)的應(yīng)用�、丟棄通信中的信息和/或中止與通信源的通信。
從而��,IDS管理器可以向計(jì)算機(jī)通知檢測(cè)到入侵���。然后�����,計(jì)算機(jī)可以根據(jù)局部策略和與計(jì)算機(jī)相關(guān)的信息決定是否和/或如何它將響應(yīng)通知����。因此,在具有眾多計(jì)算機(jī)的計(jì)算機(jī)系統(tǒng)中�,每臺(tái)計(jì)算機(jī)可以根據(jù)對(duì)于每臺(tái)計(jì)算機(jī)已知的局部信息不同地響應(yīng)入侵通知。這樣��,局部計(jì)算機(jī)如何響應(yīng)入侵可以是單獨(dú)定制的����。這種響應(yīng)局部定制可以使得能夠改善計(jì)算機(jī)如何響應(yīng)入侵的自動(dòng)化。
圖1是遭到安全入侵的根據(jù)現(xiàn)有技術(shù)的計(jì)算機(jī)連網(wǎng)系統(tǒng)的方框圖�。
圖2是根據(jù)現(xiàn)有技術(shù)的具有入侵檢測(cè)組件的計(jì)算機(jī)連網(wǎng)系統(tǒng)的方框圖。
圖3是根據(jù)本發(fā)明各個(gè)實(shí)施例的具有入侵檢測(cè)組件的計(jì)算機(jī)連網(wǎng)系統(tǒng)的方框圖�。
圖4是根據(jù)本發(fā)明各個(gè)實(shí)施例的具有入侵檢測(cè)服務(wù)激活(enabled)應(yīng)用的主計(jì)算機(jī)的方框圖。
圖5是示出根據(jù)本發(fā)明各個(gè)實(shí)施例的用于選擇性地響應(yīng)入侵的操作的流程圖����。
圖6是根據(jù)本發(fā)明實(shí)施例的計(jì)算機(jī)系統(tǒng)的方框圖。
具體實(shí)施例方式
下面將參照附圖對(duì)本發(fā)明進(jìn)行更全面的描述�,其中示出本發(fā)明的示例性實(shí)施例。然而���,本發(fā)明可以以多種不同形式實(shí)施,并且不應(yīng)解釋為受限于在此所述的實(shí)施例���;而是���,提供這些實(shí)施例是為了使本公開(kāi)內(nèi)容透徹和完整并且向本領(lǐng)域的技術(shù)人員全面?zhèn)鬟_(dá)本發(fā)明的范圍���。相同的標(biāo)號(hào)在全文范圍內(nèi)表示相同的單元。
本領(lǐng)域的技術(shù)人員應(yīng)該理解����,本發(fā)明可以作為方法、系統(tǒng)和/或計(jì)算機(jī)程序產(chǎn)品實(shí)施����。因此,本發(fā)明可以采取全都統(tǒng)稱作“電路”或“模塊”的完全硬件實(shí)施例�����、完全軟件實(shí)施例或者組合軟件和硬件方面的實(shí)施例的形式���。而且���,本發(fā)明可以采取其中實(shí)施有計(jì)算機(jī)可用程序代碼的計(jì)算機(jī)可用存儲(chǔ)介質(zhì)上的計(jì)算機(jī)程序產(chǎn)品的形式?����?梢岳萌魏芜m當(dāng)計(jì)算機(jī)可讀介質(zhì)包括硬盤(pán)、CD-ROM���、光學(xué)存儲(chǔ)設(shè)備����、傳輸介質(zhì)如支持因特網(wǎng)或內(nèi)部網(wǎng)的傳輸介質(zhì)或者磁性存儲(chǔ)設(shè)備����。
用于執(zhí)行本發(fā)明操作的計(jì)算機(jī)程序代碼可以采用面向?qū)ο蟮木幊陶Z(yǔ)言如Java、Smalltalk或者C++來(lái)編寫(xiě)�����。然而�,用于執(zhí)行本發(fā)明操作的計(jì)算機(jī)程序代碼也可以采用傳統(tǒng)過(guò)程編程語(yǔ)言如“C”編程語(yǔ)言來(lái)編寫(xiě)。該程序代碼可以完全在用戶計(jì)算機(jī)上�、部分在用戶計(jì)算機(jī)上、作為單獨(dú)軟件包�、部分在用戶計(jì)算機(jī)上且部分在遠(yuǎn)程計(jì)算機(jī)上、或者完全在遠(yuǎn)程計(jì)算機(jī)上執(zhí)行�����。在后一場(chǎng)景中,遠(yuǎn)程計(jì)算機(jī)可以通過(guò)例如局域網(wǎng)(LAN)或廣域網(wǎng)(WAN)連接到用戶計(jì)算機(jī)����,或者可以通過(guò)外部計(jì)算機(jī)(例如���,使用因特網(wǎng)服務(wù)提供商通過(guò)因特網(wǎng))進(jìn)行連接����。
下面將參照根據(jù)本發(fā)明實(shí)施例的方法����、設(shè)備(系統(tǒng))和計(jì)算機(jī)程序產(chǎn)品的流程圖和/或方框圖描述本發(fā)明。應(yīng)該理解�,流程圖和/或方框圖的每塊以及流程圖和/或方框圖的塊組合可以通過(guò)計(jì)算機(jī)程序指令實(shí)現(xiàn)。這些計(jì)算機(jī)程序指令可以提供給通用計(jì)算機(jī)����、專用計(jì)算機(jī)或者其他可編程數(shù)據(jù)處理設(shè)備的處理器以產(chǎn)生通過(guò)計(jì)算機(jī)或者其他可編程數(shù)據(jù)處理設(shè)備執(zhí)行的機(jī)器指令創(chuàng)建裝置,用于實(shí)現(xiàn)在流程圖和/或方框圖的一個(gè)或多個(gè)塊中指定的功能/行為�����。
這些計(jì)算機(jī)程序產(chǎn)品還可以存儲(chǔ)在可以引導(dǎo)計(jì)算機(jī)或者其他可編程數(shù)據(jù)處理設(shè)備以特定方式操作的計(jì)算機(jī)可讀存儲(chǔ)器中�,從而使存儲(chǔ)在計(jì)算機(jī)可讀存儲(chǔ)器中的指令產(chǎn)生包括實(shí)現(xiàn)在流程圖和/或方框圖的一個(gè)或多個(gè)塊中指定的功能/行為的指令裝置的制造品。
計(jì)算機(jī)程序指令還可以裝載到計(jì)算機(jī)或其他可編程數(shù)據(jù)處理設(shè)備上以使一系列操作步驟在計(jì)算機(jī)或其他編程設(shè)備上執(zhí)行以產(chǎn)生計(jì)算機(jī)實(shí)現(xiàn)過(guò)程,從而使在計(jì)算機(jī)或其他編程設(shè)備上執(zhí)行的指令提供用于實(shí)現(xiàn)在流程圖和/或方框圖的一個(gè)或多個(gè)塊中指定的功能/行為的步驟�����。
圖3示出根據(jù)本發(fā)明各個(gè)實(shí)施例的具有入侵檢測(cè)組件的計(jì)算機(jī)連網(wǎng)系統(tǒng)302�����。計(jì)算機(jī)連網(wǎng)系統(tǒng)302包括通過(guò)內(nèi)部網(wǎng)320連接的至少一臺(tái)主計(jì)算機(jī)300和IDS管理器310�����。計(jì)算機(jī)連網(wǎng)系統(tǒng)302還可以包括一個(gè)或多個(gè)檢測(cè)器(sensor)322�����,配置成檢測(cè)可能表示計(jì)算機(jī)連網(wǎng)系統(tǒng)302中的一個(gè)或多個(gè)可能入侵的事件并且將事件報(bào)告給IDS管理器310���。內(nèi)部網(wǎng)320通過(guò)防火墻340連接到外部網(wǎng)330(如因特網(wǎng))���。計(jì)算機(jī)連網(wǎng)系統(tǒng)302可以包括其他組件例如附加主計(jì)算機(jī)和/或附加IDS組件。
IDS管理器310維護(hù)系統(tǒng)的IDS策略�����,從而形成IDS策略倉(cāng)庫(kù)(repository)。局部IDS策略可以從IDS策略倉(cāng)庫(kù)下載到主計(jì)算機(jī)300��。局部IDS策略可以包括根據(jù)來(lái)自IDS管理器310的入侵通知以及對(duì)于主計(jì)算機(jī)300已知的信息可以采取的一個(gè)或多個(gè)響應(yīng)行動(dòng)�����。主計(jì)算機(jī)300的響應(yīng)可以包括終止作為入侵目標(biāo)的應(yīng)用�����,丟棄通信中的信息����,并且/或者中止與通信源的通信����。
IDS管理器310判定是否發(fā)生了對(duì)計(jì)算機(jī)連網(wǎng)系統(tǒng)302的一個(gè)或多個(gè)組件的入侵。例如�����,IDS管理器310可以使用模式匹配來(lái)匹配通過(guò)內(nèi)部網(wǎng)320傳送的信息與已知的入侵簽名�����,并且/或者可以相互關(guān)聯(lián)從檢測(cè)器322和/或計(jì)算機(jī)連網(wǎng)系統(tǒng)302中的其他組件報(bào)告的事件以判定是否發(fā)生了入侵。當(dāng)判定發(fā)生了入侵時(shí)�����,IDS管理器310通知主計(jì)算機(jī)300�,并且可以通知計(jì)算機(jī)連網(wǎng)系統(tǒng)302中的其他主計(jì)算機(jī)和/或其他組件。然后�����,主計(jì)算機(jī)300根據(jù)包括與計(jì)算機(jī)相關(guān)的信息的局部IDS策略決定是否和/或如何它將響應(yīng)來(lái)自IDS管理器310的入侵通知�����。
與主計(jì)算機(jī)300相關(guān)的信息可以基于主計(jì)算機(jī)300是否是用于計(jì)算機(jī)連網(wǎng)系統(tǒng)302中的其他組件的信息服務(wù)器��、主計(jì)算機(jī)300是否受到防火墻340的保護(hù)以隔離入侵源���、主計(jì)算機(jī)300與入侵源的鄰近性���、主計(jì)算機(jī)300中的存儲(chǔ)器利用、和/或主計(jì)算機(jī)300中的處理器利用���。
從而����,主計(jì)算機(jī)300根據(jù)包括與計(jì)算機(jī)相關(guān)的信息的局部策略決定是否和/或如何它將響應(yīng)入侵通知。因此����,在具有眾多主計(jì)算機(jī)300的計(jì)算機(jī)連網(wǎng)系統(tǒng)302中,每臺(tái)主計(jì)算機(jī)300可以根據(jù)對(duì)于該主計(jì)算機(jī)300已知的局部信息不同地響應(yīng)入侵通知�����。這樣�����,主計(jì)算機(jī)300如何響應(yīng)入侵可以是單獨(dú)定制的���。這種響應(yīng)局部定制可以使得能夠改善主計(jì)算機(jī)300響應(yīng)入侵的自動(dòng)化。
主計(jì)算機(jī)300可以包括至少一個(gè)配置成根據(jù)來(lái)自IDS管理器310的入侵通知而響應(yīng)的IDS激活應(yīng)用350��。參照?qǐng)D4�,主計(jì)算機(jī)300可以執(zhí)行一個(gè)或多個(gè)IDS激活應(yīng)用350、IDS代理360���、IDS策略傳輸代理370�����、網(wǎng)絡(luò)程序如TCP/IP棧380以及管理應(yīng)用����、網(wǎng)絡(luò)程序和代理之間的通信的操作系統(tǒng)390。IDS激活應(yīng)用350可以包括應(yīng)用程序����、IDS模塊和局部IDS策略,在應(yīng)用程序執(zhí)行期間�,其中的一個(gè)或多個(gè)可以分配給相同或不同邏輯存儲(chǔ)器空間。應(yīng)用程序也可以向例如主機(jī)操作員提供與入侵檢測(cè)無(wú)關(guān)的應(yīng)用功能�,并且如下所述,應(yīng)用程序還可以使用局部IDS策略以根據(jù)入侵通知和對(duì)于主計(jì)算機(jī)300已知的信息采取行動(dòng)�����。
IDS激活應(yīng)用350中的局部IDS策略可以從IDS管理器310下載���,這可以允許系統(tǒng)中的主機(jī)之間更統(tǒng)一的入侵檢測(cè)處理�����。例如�,IDS激活應(yīng)用350可以通過(guò)應(yīng)用程序以初始化請(qǐng)求調(diào)用IDS模塊來(lái)采用局部IDS策略進(jìn)行初始化。IDS模塊可以使IDS策略傳輸代理370從IDS管理器310讀取可以針對(duì)IDS激活應(yīng)用350特定配置的IDS策略�,并且將所檢索的IDS策略分配到應(yīng)用程序的局部存儲(chǔ)器空間。由于諸如安全性的各種原因�,應(yīng)當(dāng)僅向應(yīng)用程序提供被授權(quán)接收的相關(guān)IDS策略。IDS策略傳輸代理370可以檢查應(yīng)用的授權(quán)以在將所檢索的IDS策略置于應(yīng)用的存儲(chǔ)器空間中之前查看IDS策略����。然后,IDS策略傳輸代理370可以向IDS激活應(yīng)用350提供應(yīng)用存儲(chǔ)器空間和/或IDS代理360內(nèi)所檢索IDS策略的句柄(或指針)���。
根據(jù)來(lái)自IDS管理器310的入侵通知�,應(yīng)用程序可以使用IDS模塊來(lái)從局部IDS策略檢索可以由應(yīng)用和/或IDS代理360采取以停止和可能補(bǔ)救入侵影響的適當(dāng)行動(dòng)����。圖5示出可以被執(zhí)行以評(píng)估和響應(yīng)入侵通知的操作�。在塊500,IDS代理360從IDS管理器310接收入侵通知�����。在塊510��,IDS代理360根據(jù)局部IDS策略和與主計(jì)算機(jī)300相關(guān)的信息評(píng)估入侵通知�����。評(píng)估可以包括評(píng)估主計(jì)算機(jī)300是否是用于計(jì)算機(jī)連網(wǎng)系統(tǒng)302中的其他組件的信息服務(wù)器(例如,網(wǎng)絡(luò)(web)服務(wù)器�、內(nèi)部網(wǎng)應(yīng)用服務(wù)器、后端服務(wù)器)�����、主計(jì)算機(jī)300是否是用于計(jì)算機(jī)連網(wǎng)系統(tǒng)302中的其他組件的防火墻��、主計(jì)算機(jī)300是否受到防火墻340的保護(hù)以隔離入侵源��、主計(jì)算機(jī)300與入侵源的鄰近性��、主計(jì)算機(jī)300中的存儲(chǔ)器利用和/或主計(jì)算機(jī)300中的處理器利用����。
在塊520,決定IDS代理360和/或IDS激活應(yīng)用350是否要響應(yīng)入侵通知而采取行動(dòng)���。當(dāng)要采取響應(yīng)行動(dòng)時(shí)��,則在塊530���,可以由IDS代理360和/或IDS激活應(yīng)用350采取的響應(yīng)行動(dòng)可以包括但不限于終止作為入侵目標(biāo)的應(yīng)用�、丟棄通信中的信息和/或中止與通信源的通信(例如�,中斷與源的連接和/或關(guān)閉接口套接字)。
圖6示出適于執(zhí)行根據(jù)本發(fā)明一些實(shí)施例的例如圖4所示的一個(gè)或多個(gè)IDS激活應(yīng)用�、IDS代理、IDS策略傳輸代理����、網(wǎng)絡(luò)程序和操作系統(tǒng)的主計(jì)算機(jī)系統(tǒng)600的示例性實(shí)施例。計(jì)算機(jī)系統(tǒng)600典型地包括與存儲(chǔ)器620通信的處理器610����。計(jì)算機(jī)系統(tǒng)600可以可選地包括諸如鍵盤(pán)或小鍵盤(pán)(keypad)的輸入設(shè)備630以及也與處理器610通信的顯示器640(以虛線示出)。計(jì)算機(jī)系統(tǒng)600還可以包括諸如揚(yáng)聲器650的可選設(shè)備以及也與處理器610通信的I/O數(shù)據(jù)端口660����。I/O數(shù)據(jù)端口660可以用來(lái)在計(jì)算機(jī)系統(tǒng)600與另一個(gè)計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)之間傳輸信息。這些組件可以是諸如用于很多傳統(tǒng)計(jì)算機(jī)系統(tǒng)中的傳統(tǒng)組件�,它們可以配置成如在此所述操作���。
處理器610可以是任何可以買到或者定制的微處理器���。存儲(chǔ)器620代表包含用來(lái)實(shí)現(xiàn)計(jì)算機(jī)系統(tǒng)600的功能的軟件和數(shù)據(jù)的存儲(chǔ)器設(shè)備的總體分級(jí)結(jié)構(gòu)(overall hierarchy)。存儲(chǔ)器620可以包括但不限于下列類型的設(shè)備高速緩沖存儲(chǔ)器���、ROM��、PROM��、EPROM�、EEPROM、閃存�、SRAM和DRAM。存儲(chǔ)器620可以包括用于計(jì)算機(jī)系統(tǒng)600中的軟件和數(shù)據(jù)的若干類別操作系統(tǒng)���;應(yīng)用程序�;輸入/輸出(I/O)設(shè)備驅(qū)動(dòng)程序����;以及數(shù)據(jù)。本領(lǐng)域的技術(shù)人員應(yīng)該理解���,操作系統(tǒng)可以是適于與計(jì)算機(jī)系統(tǒng)一起使用的任何操作系統(tǒng)�����,如來(lái)自國(guó)際商業(yè)機(jī)器公司�,Armonk,紐約的OS/2����、AIX或System390,來(lái)自微軟公司��,雷蒙德��,華盛頓的Windows 95���、Windows 98�、Windows 2000����、Windows NT、Windows ME�����、Windows XP�����,UNIX或Linux�����。I/O設(shè)備驅(qū)動(dòng)程序典型地包括由應(yīng)用程序通過(guò)操作系統(tǒng)訪問(wèn)以與諸如I/O數(shù)據(jù)端口660的設(shè)備和特定存儲(chǔ)器620組件通信的軟件例程��。應(yīng)用程序代表實(shí)現(xiàn)計(jì)算機(jī)系統(tǒng)600的各種特性的程序并且最好包括至少一個(gè)支持根據(jù)本發(fā)明實(shí)施例的操作的應(yīng)用���。最后��,數(shù)據(jù)代表由應(yīng)用程序����、操作系統(tǒng)����、I/O設(shè)備驅(qū)動(dòng)程序660以及可以駐留在存儲(chǔ)器620中的其他軟件程序使用的靜態(tài)和動(dòng)態(tài)數(shù)據(jù)。
在附圖和說(shuō)明書(shū)中�����,公開(kāi)了本發(fā)明的實(shí)施例���,并且雖然采用了特定術(shù)語(yǔ)�����,但是它們僅以一般性和描述性意義使用����,并且不用于限制的目的,本發(fā)明的范圍在所附權(quán)利要求中限定���。
權(quán)利要求
1.一種響應(yīng)入侵的方法��,該方法包括通過(guò)計(jì)算機(jī)根據(jù)包括與入侵通知相關(guān)的信息和與計(jì)算機(jī)相關(guān)的信息的局部IDS策略評(píng)估通知�����,選擇性地響應(yīng)來(lái)自網(wǎng)絡(luò)可訪問(wèn)入侵檢測(cè)服務(wù)(IDS)管理器的至少一條入侵通知���。
2.如權(quán)利要求1所述的方法,其中���,與計(jì)算機(jī)相關(guān)的信息基于計(jì)算機(jī)是否是用于計(jì)算機(jī)系統(tǒng)中的其他計(jì)算機(jī)的防火墻�。
3.如權(quán)利要求1所述的方法�,其中,與計(jì)算機(jī)相關(guān)的信息基于計(jì)算機(jī)是否是用于計(jì)算機(jī)系統(tǒng)中的其他計(jì)算機(jī)的信息服務(wù)器���。
4.如權(quán)利要求3所述的方法����,還包括評(píng)估計(jì)算機(jī)是否擔(dān)當(dāng)網(wǎng)絡(luò)服務(wù)器��、內(nèi)部網(wǎng)應(yīng)用服務(wù)器以及后端服務(wù)器的至少之一�����。
5.如權(quán)利要求1所述的方法���,其中��,與計(jì)算機(jī)相關(guān)的信息基于計(jì)算機(jī)是否受到防火墻的保護(hù)以隔離入侵源�。
6.如權(quán)利要求1所述的方法����,其中,與計(jì)算機(jī)相關(guān)的信息基于計(jì)算機(jī)中的存儲(chǔ)器利用����。
7.如權(quán)利要求1所述的方法,其中�����,與計(jì)算機(jī)相關(guān)的信息基于計(jì)算機(jī)中的處理器利用。
8.如權(quán)利要求1所述的方法��,其中�,與計(jì)算機(jī)相關(guān)的信息基于表示入侵到計(jì)算機(jī)中的來(lái)自IDS管理器以外的信息。
9.如權(quán)利要求1所述的方法�,其中,與計(jì)算機(jī)相關(guān)的信息基于計(jì)算機(jī)與入侵源的鄰近性�����。
10.如權(quán)利要求1所述的方法���,還包括將局部IDS策略從網(wǎng)絡(luò)可訪問(wèn)倉(cāng)庫(kù)下載到計(jì)算機(jī)�。
11.如權(quán)利要求1所述的方法��,其中�,局部IDS策略包括根據(jù)來(lái)自網(wǎng)絡(luò)可訪問(wèn)IDS管理器的入侵通知所要采取的一個(gè)或多個(gè)響應(yīng)行動(dòng)。
12.如權(quán)利要求11所述的方法�����,其中����,響應(yīng)行動(dòng)包括終止作為攻擊目標(biāo)的應(yīng)用�����。
13.如權(quán)利要求11所述的方法���,其中����,響應(yīng)行動(dòng)包括丟棄與計(jì)算機(jī)的通信中的信息。
14.如權(quán)利要求11所述的方法���,其中�,響應(yīng)行動(dòng)包括中止與通信源的通信����。
15.一種響應(yīng)入侵的計(jì)算機(jī)系統(tǒng),該計(jì)算機(jī)系統(tǒng)包括多臺(tái)計(jì)算機(jī)����,各自包括局部IDS策略;入侵檢測(cè)服務(wù)(IDS)管理器�����,配置成為計(jì)算機(jī)生成至少一條入侵通知,并且其中計(jì)算機(jī)中的每一臺(tái)配置成根據(jù)局部IDS策略和與計(jì)算機(jī)相關(guān)的信息來(lái)選擇性地響應(yīng)通知���。
16.如權(quán)利要求15所述的計(jì)算機(jī)系統(tǒng)�,其中�����,IDS管理器配置成判定在計(jì)算機(jī)系統(tǒng)中發(fā)生了入侵���,并且配置成根據(jù)判定發(fā)生了入侵來(lái)生成通知�。
17.如權(quán)利要求16所述的計(jì)算機(jī)系統(tǒng)����,其中,計(jì)算機(jī)中的至少兩臺(tái)不同地響應(yīng)來(lái)自IDS管理器的相同入侵通知�����。
18.如權(quán)利要求16所述的計(jì)算機(jī)系統(tǒng)�����,其中��,計(jì)算機(jī)中的至少一臺(tái)不同地響應(yīng)在時(shí)間上重復(fù)至少一次的相同入侵通知。
19.如權(quán)利要求15所述的計(jì)算機(jī)系統(tǒng)����,還包括多個(gè)檢測(cè)器,配置成檢測(cè)可能表示對(duì)計(jì)算機(jī)系統(tǒng)的一個(gè)或多個(gè)可能入侵的事件�����,并且配置成向IDS管理器通知這些事件�,并且其中IDS管理器配置成通過(guò)相互關(guān)聯(lián)來(lái)自檢測(cè)器的事件來(lái)判定在計(jì)算機(jī)系統(tǒng)中發(fā)生了入侵����。
20.如權(quán)利要求15所述的計(jì)算機(jī)系統(tǒng),其中�����,計(jì)算機(jī)配置成從策略倉(cāng)庫(kù)下載局部IDS策略�����。
21.如權(quán)利要求15所述的計(jì)算機(jī)系統(tǒng)����,其中�,計(jì)算機(jī)中的至少一臺(tái)配置成根據(jù)局部IDS策略以及計(jì)算機(jī)是否是計(jì)算機(jī)系統(tǒng)中的其他計(jì)算機(jī)的信息服務(wù)器來(lái)選擇性地響應(yīng)通知��。
22.如權(quán)利要求15所述的計(jì)算機(jī)系統(tǒng)����,其中,計(jì)算機(jī)中的至少一臺(tái)配置成根據(jù)局部IDS策略以及計(jì)算機(jī)是否受到防火墻的保護(hù)以隔離入侵源來(lái)選擇性地響應(yīng)通知���。
23.如權(quán)利要求15所述的計(jì)算機(jī)系統(tǒng)���,其中,計(jì)算機(jī)中的至少一臺(tái)配置成根據(jù)局部IDS策略以及計(jì)算機(jī)中的存儲(chǔ)器利用和計(jì)算機(jī)中的處理器利用的至少之一來(lái)選擇性地響應(yīng)通知�����。
24.如權(quán)利要求15所述的計(jì)算機(jī)系統(tǒng)����,其中,計(jì)算機(jī)中的至少一臺(tái)配置成根據(jù)局部IDS策略以及與對(duì)計(jì)算機(jī)的可能入侵相關(guān)的信息來(lái)選擇性地響應(yīng)通知����。
25.如權(quán)利要求15所述的計(jì)算機(jī)系統(tǒng),其中,計(jì)算機(jī)中的至少一臺(tái)配置成根據(jù)局部IDS策略以及與計(jì)算機(jī)與入侵源的鄰近性相關(guān)的信息來(lái)選擇性地響應(yīng)通知����。
26.一種用于響應(yīng)入侵的計(jì)算機(jī)程序產(chǎn)品,該計(jì)算機(jī)程序產(chǎn)品包括在計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)中實(shí)施的程序代碼�����,該計(jì)算機(jī)程序代碼包括配置成根據(jù)局部IDS策略和與計(jì)算機(jī)相關(guān)的信息來(lái)選擇性地響應(yīng)來(lái)自網(wǎng)絡(luò)可訪問(wèn)入侵檢測(cè)服務(wù)(IDS)管理器的至少一條入侵通知的程序代碼����。
27.根據(jù)權(quán)利要求26所述的計(jì)算機(jī)程序產(chǎn)品,還包括配置成將局部IDS策略從網(wǎng)絡(luò)可訪問(wèn)倉(cāng)庫(kù)下載到計(jì)算機(jī)的程序代碼��。
28.根據(jù)權(quán)利要求26所述的計(jì)算機(jī)程序產(chǎn)品��,還包括配置成根據(jù)通知��、局部IDS策略和與計(jì)算機(jī)相關(guān)的信息執(zhí)行一個(gè)或多個(gè)響應(yīng)行動(dòng)的程序代碼��。
29.根據(jù)權(quán)利要求26所述的計(jì)算機(jī)程序產(chǎn)品���,還包括配置成根據(jù)計(jì)算機(jī)是否是用于計(jì)算機(jī)系統(tǒng)中的其他計(jì)算機(jī)的信息服務(wù)器來(lái)選擇性地響應(yīng)通知的程序代碼。
30.根據(jù)權(quán)利要求26所述的計(jì)算機(jī)程序產(chǎn)品��,還包括配置成根據(jù)計(jì)算機(jī)是否受到防火墻的保護(hù)以隔離入侵源以及計(jì)算機(jī)與入侵源的鄰近性的至少之一來(lái)選擇性地響應(yīng)通知的程序代碼。
31.根據(jù)權(quán)利要求26所述的計(jì)算機(jī)程序產(chǎn)品����,還包括配置成根據(jù)計(jì)算機(jī)中的存儲(chǔ)器利用和計(jì)算機(jī)中的處理器利用的至少之一來(lái)選擇性地響應(yīng)通知的程序代碼。
全文摘要
計(jì)算機(jī)選擇性地響應(yīng)來(lái)自網(wǎng)絡(luò)可訪問(wèn)入侵檢測(cè)服務(wù)(IDS)管理器的至少一條入侵通知����。計(jì)算機(jī)根據(jù)包括與計(jì)算機(jī)相關(guān)的信息的局部IDS策略來(lái)選擇性地響應(yīng)入侵通知。與計(jì)算機(jī)相關(guān)的信息可以基于計(jì)算機(jī)是否是用于計(jì)算機(jī)系統(tǒng)中的其他計(jì)算機(jī)的信息服務(wù)器�����、計(jì)算機(jī)是否受到防火墻的保護(hù)以隔離入侵源�����、計(jì)算機(jī)與入侵源的鄰近性�����、計(jì)算機(jī)中的存儲(chǔ)器利用��、和/或計(jì)算機(jī)中的處理器利用�����。
文檔編號(hào)H04L12/24GK1601973SQ20041007975
公開(kāi)日2005年3月30日 申請(qǐng)日期2004年9月16日 優(yōu)先權(quán)日2003年9月22日
發(fā)明者小林伍德·修·歐弗爾拜 申請(qǐng)人:國(guó)際商業(yè)機(jī)器公司