專利名稱:針對與高風(fēng)險相關(guān)聯(lián)的網(wǎng)絡(luò)用戶的隔離手段的制作方法
技術(shù)領(lǐng)域:
本發(fā)明總地涉及計算機網(wǎng)絡(luò)。本發(fā)明更具體而言涉及用于提高網(wǎng)絡(luò)安全性的手段�����。
背景技術(shù):
這一部分中描述的手段可以實現(xiàn)��,但是并不一定是先前已察覺或已實現(xiàn)的手段�����。因此��,除非這里另有指明�,否則這一部分中描述的手段并不是本申請中權(quán)利要求的現(xiàn)有技術(shù)�����,也不應(yīng)當(dāng)因為被包括在這一部分中而被當(dāng)作現(xiàn)有技術(shù)���。
2003年10月16日遞交的Mark Ammar Rayes等人(Rayes等人的申請)的題為“Policy-based network security management”的美國專利申請10/688,051描述了一種基于策略的安全性管理控制器,其利用網(wǎng)絡(luò)警戒狀態(tài)�����、風(fēng)險級別和網(wǎng)絡(luò)健康狀態(tài)信息來確定響應(yīng)于網(wǎng)絡(luò)安全性攻擊應(yīng)當(dāng)采取什么動作���。在一個實施例中���,控制器利用歷史警報或事件識別潛在的入侵者。
控制器還允許服務(wù)提供商針對可能的入侵者采取動作����。為了防止惡意用戶通過諸如IP地址欺騙、在動態(tài)主機控制協(xié)議(DHCP)下對網(wǎng)絡(luò)地址的外來請求以及MAC地址欺騙來實現(xiàn)拒絕服務(wù)(DoS)����,可能需要采取動作,在網(wǎng)絡(luò)警戒級別較高時尤其如此。為了保持網(wǎng)絡(luò)的完整性和穩(wěn)定性��,在網(wǎng)絡(luò)性能降低之前防止攻擊者造成進一步損害是很重要的���。
安全性控制器是捕捉可能的入侵者并采取服務(wù)提供商所定義的適當(dāng)動作的第一應(yīng)用�����。但是,可能希望對潛在惡意用戶采取比起完全禁止用戶的網(wǎng)絡(luò)訪問來不那么嚴(yán)厲的動作���。例如�����,在設(shè)置期間過多次地改變設(shè)備的IP地址的不熟練用戶可能被不適當(dāng)?shù)刈R別為發(fā)起DoS攻擊的惡意用戶�����。由于安全性控制器不適當(dāng)?shù)貙⑦@類無辜用戶分類為惡意用戶而對該用戶拒絕服務(wù)可能會導(dǎo)致用戶選擇另一個服務(wù)提供商�����。
另一方面�,控制器負(fù)責(zé)防止災(zāi)害性巨大網(wǎng)絡(luò)故障,尤其是在網(wǎng)絡(luò)性能較壞期間���。在服務(wù)提供商能夠確定可疑用戶是否真的是惡意用戶之前需要對可疑用戶行為進行詳細(xì)分析�,而這種分析是花時間的���?�?刂破骺赡茉诓坏却@種分析的情況下判決禁止用戶訪問以確保不能造成進一步的損害�����,盡管這種判決可能是錯誤的����。
因此�,需要這樣一種方式,這種方式允許服務(wù)提供商在不完成阻止網(wǎng)絡(luò)訪問的情況下防止對網(wǎng)絡(luò)的損害��,同時允許有時間來對可疑用戶的流量行為應(yīng)用進一步的診斷和分析��,而不會使非惡意用戶那部分感到受挫��。
在附圖中以示例方式而非以限制方式圖示了本發(fā)明��,在附圖中,相似的標(biāo)號指代類似的元件��,在附圖中圖1A是可用于實現(xiàn)實施例的示例性網(wǎng)絡(luò)上下文的框圖����;圖1B是可使用的替換網(wǎng)絡(luò)上下文的框圖;圖2是示出針對與高風(fēng)險相關(guān)聯(lián)的網(wǎng)絡(luò)用戶的隔離手段的一個實施例的高級別概況的流程圖�;圖3A是配置安全性限制的過程的流程圖;圖3B是將用戶置于高風(fēng)險用戶群組中的過程的流程圖���;圖4是將用戶從高風(fēng)險用戶群組中去除的過程的流程圖�;以及圖5是示出可以用來實現(xiàn)實施例的計算機系統(tǒng)的框圖�。
具體實施例方式
描述了提供針對與高風(fēng)險相關(guān)聯(lián)的網(wǎng)絡(luò)用戶的隔離手段的方法和裝置�����。在下面的描述中��,出于說明目的����,給出了大量具體細(xì)節(jié)以便完全理解本發(fā)明。但是��,本領(lǐng)域技術(shù)人員將會清楚,沒有這些具體細(xì)節(jié)也可以實施本發(fā)明����。在其他實例中,公知的結(jié)構(gòu)和設(shè)備以框圖形式示出��,以避免不必要地模糊本發(fā)明����。
這里根據(jù)下面的大綱描述實施例
1.0概述2.0針對與高風(fēng)險相關(guān)聯(lián)的網(wǎng)絡(luò)用戶的隔離手段2.1將用戶置于高風(fēng)險用戶群組中2.2配置安全性限制2.3將用戶從高風(fēng)險用戶群組中去除2.4與安全性控制器交互2.5其他實施例3.0實現(xiàn)機構(gòu)—硬件概述4.0擴展和替換1.0概述在本發(fā)明中實現(xiàn)了在前述背景技術(shù)部分中提出的需要、以及將從下面的描述中變清楚的其他需要和目的���,本發(fā)明包括一種針對與高風(fēng)險相關(guān)聯(lián)的網(wǎng)絡(luò)用戶的隔離手段����。根據(jù)一種手段�����,一種方法包括以下用計算機實現(xiàn)的步驟確定與導(dǎo)致網(wǎng)絡(luò)中的安全性事件的網(wǎng)絡(luò)設(shè)備相關(guān)聯(lián)的用戶標(biāo)識符�;使所述網(wǎng)絡(luò)設(shè)備接收從與可疑惡意網(wǎng)絡(luò)用戶相關(guān)聯(lián)的指定池內(nèi)的地址子集中選擇出來的網(wǎng)絡(luò)地址;以及針對選定的網(wǎng)絡(luò)地址配置一個或多個安全性限制�����。
在第二方面中,一種方法包括以下用計算機實現(xiàn)的步驟接收標(biāo)識網(wǎng)絡(luò)中的安全性事件的信息����;將所述安全性事件信息與網(wǎng)絡(luò)用戶信息相互聯(lián)系起來以便確定與所述網(wǎng)絡(luò)設(shè)備相關(guān)聯(lián)的網(wǎng)絡(luò)用戶;將所述用戶置于高風(fēng)險安全性群組中�����;針對選定的網(wǎng)絡(luò)地址配置一個或多個安全性限制���;確定是否惡意行為導(dǎo)致了所述安全性事件����;如果惡意行為導(dǎo)致了所述安全性事件�����,則將關(guān)于所述安全性事件或惡意行為的信息提供給安全性判決控制器�����;并且如果惡意行為未曾導(dǎo)致所述安全性事件���,則將所述用戶從所述高風(fēng)險群組中去除�����。
前述的方面可能包括許多其他特征����、替換和變化�,這些特征、替換和變化將從下面的描述和權(quán)利要求中顯現(xiàn)出來����。此外,在其他方面中��,本發(fā)明包括被配置為執(zhí)行前述步驟的計算機裝置和計算機可讀介質(zhì)�����。
這里的公開引入了“高警戒”網(wǎng)絡(luò)用戶群組���。被懷疑對網(wǎng)絡(luò)執(zhí)行諸如任何類型的欺騙攻擊����、拒絕服務(wù)攻擊等惡意行為的網(wǎng)絡(luò)用戶被強制進入高警戒用戶群組����。高警戒用戶群組中的用戶的流量被路由經(jīng)過監(jiān)視服務(wù)器�����,在該監(jiān)視服務(wù)器處執(zhí)行詳細(xì)的流量分析��,以確定用戶是否確實在執(zhí)行惡意行為�����,以便采取適當(dāng)?shù)膭幼?����。關(guān)于適當(dāng)動作的判決可以在安全性控制器的幫助下作出����。在安全性控制器作出判決之前�,在執(zhí)行監(jiān)視的同時,高警戒用戶群組中的用戶繼續(xù)接收受限的網(wǎng)絡(luò)服務(wù)����。結(jié)果�,用戶服務(wù)并未被完全中斷��。在某些情況下���,這確保了用戶和服務(wù)提供商之間的任何服務(wù)協(xié)議不會遭到破壞。
在一個特定實施例中�,檢測安全性事件并使之與用戶相互聯(lián)系起來。通過改變用戶所使用的末端站的網(wǎng)絡(luò)地址�,將用戶置于高警戒用戶群組中。通過將可疑惡意用戶的所有流量路由經(jīng)過監(jiān)視服務(wù)器��,來密切監(jiān)視可疑用戶在網(wǎng)絡(luò)中的動作�����??梢捎脩舻木W(wǎng)絡(luò)訪問受到限定或限制,以便用戶不能損害網(wǎng)絡(luò)��。例如���,高警戒用戶群組中的可疑用戶不能改變網(wǎng)絡(luò)針對用戶末端站所識別的MAC地址��,用戶需要接收來自為高警戒用戶群組預(yù)留的特殊地址池的網(wǎng)絡(luò)地址�,等等��。只有在管理員確定用戶確實在進行安全性侵害之后才執(zhí)行更重大的動作,例如終止用戶的網(wǎng)絡(luò)訪問或?qū)⒂脩舴呕夭皇芟抻脩羧航M中�。此外,在一個實施例中�����,可以向高警戒用戶群組中的所有可疑用戶應(yīng)用單個動作��。例如�,在緊急情況下,這種集體動作可能是適當(dāng)?shù)?���。集體動作的示例是臨時暫停對高警戒用戶群組的所有成員的服務(wù)并提供說明性消息。
在特定實施例中����,應(yīng)用DHCP動態(tài)地址分布、IP地址子網(wǎng)����、交換機ARP表和網(wǎng)絡(luò)管理技術(shù)來將可疑用戶放到高警戒群組中,用戶的流量在其下被網(wǎng)絡(luò)密切監(jiān)視����,同時服務(wù)合同中指定的用戶服務(wù)不受影響或者只是部分受影響。
2.0針對與高風(fēng)險相關(guān)聯(lián)的網(wǎng)絡(luò)用戶的隔離手段圖1A是可以用于實現(xiàn)實施例的示例性網(wǎng)絡(luò)上下文的框圖���。圖1A意圖是示出一個示例性上下文��;但是��,這里描述的手段可以在任何網(wǎng)絡(luò)上下文中實現(xiàn)��。在圖1A中�,網(wǎng)絡(luò)操作中心100由管理被管理網(wǎng)絡(luò)106的網(wǎng)絡(luò)服務(wù)提供商所擁有或操作�����。一般來說��,私有企業(yè)使用被管理網(wǎng)絡(luò)106�,并且是網(wǎng)絡(luò)服務(wù)提供商的顧客。
一個或多個經(jīng)授權(quán)的用戶110A�、110B利用網(wǎng)絡(luò)元件108來發(fā)送或接收數(shù)據(jù)或多媒體通信,以與服務(wù)器資源130交互�。網(wǎng)絡(luò)元件108可以包括路由器、交換機或其他基礎(chǔ)設(shè)施元件�����,而被管理網(wǎng)絡(luò)106可以包括以任何有用或合乎需要的拓?fù)漶詈系娜魏螖?shù)目的網(wǎng)絡(luò)元件。此外�,除服務(wù)器資源130之外,被管理網(wǎng)絡(luò)106還可以包括任何數(shù)目的末端站或資源���,例如其他服務(wù)器��、工作站���,或者個人計算機、打印機�、存儲裝置和其他外圍設(shè)備。
惡意用戶120也可能嘗試?yán)帽还芾砭W(wǎng)絡(luò)106發(fā)送或接收未經(jīng)授權(quán)的數(shù)據(jù)或命令����。惡意用戶120可以是嘗試危害被管理網(wǎng)絡(luò)106或致使服務(wù)器資源130或網(wǎng)絡(luò)元件108對他人不可用的用戶,或者未經(jīng)授權(quán)的用戶可以是無意地執(zhí)行未經(jīng)授權(quán)的行為或者多次嘗試執(zhí)行根據(jù)指定訪問策略被視為過度的動作的無辜個體��。
如圖1A所示的經(jīng)授權(quán)的用戶110A���、110B和惡意用戶120廣泛地代表諸如個人計算機�、工作站等任何末端站設(shè)備�,單獨或共同使用諸如路由器����、集線器等網(wǎng)絡(luò)基礎(chǔ)設(shè)施元件�����,以及單獨或共同具有使用�����、擁有或操作這種設(shè)備的相關(guān)用戶���。
網(wǎng)絡(luò)操作中心包括網(wǎng)絡(luò)管理站(NMS)102、監(jiān)視服務(wù)器104和判決控制器105��。網(wǎng)絡(luò)管理站102包括容宿著提供諸如網(wǎng)絡(luò)元件108的配置這樣的功能的網(wǎng)絡(luò)管理軟件的工作站或計算機����。監(jiān)視服務(wù)器104可以針對網(wǎng)絡(luò)元件108執(zhí)行流量分析或詳細(xì)監(jiān)視功能。判決控制器105可以接收來自NMS 102和監(jiān)視服務(wù)器104的輸入���,并且可以確定在被管理網(wǎng)絡(luò)106中應(yīng)當(dāng)采取什么動作來防止被管理網(wǎng)絡(luò)遭到未經(jīng)授權(quán)的用戶的攻擊或危害����。
圖1B是可以使用的替換網(wǎng)絡(luò)上下文的框圖。圖1B具體指示NOC 100可以包括用于動態(tài)地向經(jīng)授權(quán)的用戶110A�����、110B和惡意用戶120提供網(wǎng)絡(luò)地址的DHCP服務(wù)器124�。如下文進一步描述的,DHCP服務(wù)器124可以在適當(dāng)?shù)呐袥Q邏輯的控制下選擇來自正常地址池124A或來自高警戒地址池124B的地址�����。經(jīng)授權(quán)的用戶110A�����、110B和惡意用戶120分別容宿著DHCP客戶端122A����、122B、122C�����,這些DHCP客戶端利用DHCP消息來與DHCP服務(wù)器124交互����,如這里進一步描述的��。
經(jīng)授權(quán)的用戶110A����、110B和惡意用戶120可通信地耦合到交換機108A�����,該交換機維護著地址解析協(xié)議(ARP)表126�����。在一個實施例中�����,ARP表126除了其他信息以外還維護著經(jīng)授權(quán)的用戶110A����、110B和惡意用戶120的MAC地址與已由DHCP服務(wù)器124分配給經(jīng)授權(quán)的用戶110A�����、110B和惡意用戶120的IP地址的關(guān)聯(lián)���。ARP表126與DHCP服務(wù)器124的交互在下文進一步描述����。
圖2是示出針對與高風(fēng)險相關(guān)聯(lián)的網(wǎng)絡(luò)用戶的隔離手段的一個實施例的高級別概況的流程圖。在步驟202中����,接收標(biāo)識安全性事件的信息。在步驟204中�,將安全性事件信息相互聯(lián)系起來,從而識別導(dǎo)致安全性事件或與安全性事件相關(guān)聯(lián)的用戶���。相關(guān)可以包括諸如在用戶信息數(shù)據(jù)庫中查找安全性事件信息中攜帶的網(wǎng)絡(luò)地址這樣的動作�。
在步驟206中���,將用戶置于高風(fēng)險用戶群組中����。用于將用戶置于高風(fēng)險用戶群組中的特定手段在后面的部分中描述�。
在步驟207中,為用戶配置一個或多個安全性限制���。安全性限制限定用戶在被管理網(wǎng)絡(luò)中能夠執(zhí)行的動作�。一般來說,配置安全性限制的目的是隔離網(wǎng)絡(luò)中的惡意用戶����,以便檢疫可疑惡意用戶,從而避免對網(wǎng)絡(luò)造成進一步損害�。用于將用戶置于高風(fēng)險用戶群組中的特定手段在后面的部分中描述。
在步驟207之后的不確定長的時間之后����,如虛線208所示,在步驟210處執(zhí)行測試�,以確定是否惡意行為導(dǎo)致了在步驟202中接收到其有關(guān)信息的安全性事件。步驟210例如可以包括網(wǎng)絡(luò)管理人員詳細(xì)審查安全性事件��,針對識別出的用戶或用戶使用的網(wǎng)絡(luò)元件執(zhí)行流量分析�����,等等�����。在一個實施例中����,如果發(fā)覺用戶在執(zhí)行可疑的網(wǎng)絡(luò)動作,就將用戶分類為惡意用戶���,所述可疑的網(wǎng)絡(luò)動作例如是污染交換機108A的ARP表126(圖1B)����、IP欺騙等等�。這種動作可由執(zhí)行指定的軟件應(yīng)用的網(wǎng)絡(luò)硬件檢測到,例如來自Cisco System�,Inc.的Cisco Catalyst 6500系列交換機中的ARP檢查特征或動態(tài)ARP檢查特征。這種動作也可以由Rayes等人的申請中描述的安全性控制器來確定��。
在步驟212中��,如果步驟210的測試為真����,則向判決控制器提供報告。在步驟214中���,如果步驟210的測試為假��,則將用戶從高風(fēng)險用戶群組中去除�。用于將用戶從高風(fēng)險用戶群組中去除的特定手段在后面的部分中描述。
利用前述手段����,在對用戶、安全性事件或其他信息進行詳細(xì)審查的同時����,有效地限制或檢疫與安全性事件相關(guān)聯(lián)的用戶。并不完全切斷用戶對被管理網(wǎng)絡(luò)的訪問����,而是限制用戶的動作。結(jié)果�,可在評估惡意用戶的動作的同時檢疫惡意用戶,而無辜用戶不會遭受連接斷開或與缺乏網(wǎng)絡(luò)訪問相關(guān)聯(lián)的受挫感��。
2.1將用戶置于高風(fēng)險用戶群組中圖3B示出將用戶置于高風(fēng)險用戶群組中的過程的流程圖�。為了示出清楚的示例,圖3B和下文隨后描述的剩余附圖是在圖1B的示例性上下文中描述的��。但是�,這里描述的技術(shù)也適用于其他上下文中�。
圖2和圖3B都假定已經(jīng)創(chuàng)建了高風(fēng)險用戶群組。在被管理網(wǎng)絡(luò)106是基于IP分組的網(wǎng)絡(luò)的一個實施例中��,創(chuàng)建高風(fēng)險用戶群組包括特別為被管理網(wǎng)絡(luò)的可疑訂戶或用戶創(chuàng)建新的IP地址子網(wǎng)���。該子網(wǎng)可被稱為“高警戒IP地址池”��。從而����,高警戒地址池124B(圖1B)可以包括新IP子網(wǎng)中的地址。
創(chuàng)建高警戒IP地址池可通過請求IP地址分配機構(gòu)(例如因特網(wǎng)分配名稱和號碼組織(ICANN))創(chuàng)建特別用于可疑惡意用戶的全局可識別IP范圍來執(zhí)行�����。例如�����,可以使用子網(wǎng)34.34.x.x����。該手段在IPv6的上下文中尤其有用,其提供了可用來創(chuàng)建高警戒地址范圍的額外地址空間�。或者���,可以在ISP網(wǎng)絡(luò)內(nèi)創(chuàng)建高警戒IP地址池�����;不需要針對整個互聯(lián)網(wǎng)全局地定義池����。
或者,服務(wù)提供商可以創(chuàng)建為可疑惡意用戶預(yù)留的特殊IP地址范圍�,并且可以向其他服務(wù)提供商公開定義特殊范圍的參數(shù)。例如���,具有范圍xxx.xxx.xxx.240-250內(nèi)的主機IP地址的地址可被指定為處于高警戒地址池124B內(nèi)����。接收從高警戒地址池124B選擇出來的網(wǎng)絡(luò)地址以用于高風(fēng)險用戶設(shè)備的用戶被稱為處于高警戒用戶群組內(nèi)����。
為了將可疑用戶置于高警戒群組中,用戶的設(shè)備需要接收處于高警戒地址范圍內(nèi)的新網(wǎng)絡(luò)地址��。在一個實施例中���,在步驟206A中����,DHCP服務(wù)器124被用指令重新配置����,以使DHCP服務(wù)器僅將來自高警戒地址池124B的地址提供給用戶設(shè)備。例如��,在一個實施例中�����,操作支持系統(tǒng)(OSS)���、訂戶管理系統(tǒng)或網(wǎng)絡(luò)管理站102配置DHCP服務(wù)器124或網(wǎng)絡(luò)元件108中的DHCP服務(wù)器���,以向惡意設(shè)備分配來自高警戒地址池124B的網(wǎng)絡(luò)地址。
在步驟206B中�����,用戶末端站被強迫獲取來自高警戒地址池的新網(wǎng)絡(luò)地址�����。在DHCP實施例中���,OSS使惡意設(shè)備發(fā)送DHCPREQUEST��。如圖3B所示����,可以使用若干個不同的技術(shù)來使設(shè)備請求新地址。例如��,如方框302所示����,OSS使交換機或訪問設(shè)備,例如交換機108A���,執(zhí)行端口重置��。在一個實施例中��,方框302包括執(zhí)行2003年11月24日遞交的RalphDroms的題為“Methods and apparatus supporting configuration in anetwork”�����、代理案卷號為No.CIS03-51(7908)的共同待決的申請中描述的技術(shù)��,這里通過引用將該申請的全部內(nèi)容結(jié)合進來�,就好像在這里完全闡述了一樣。
或者�����,如方框304所示�,OSS等待惡意用戶120為其當(dāng)前網(wǎng)絡(luò)地址保持的租期(lease)期滿��。惡意用戶120的末端站設(shè)備在期滿時或期滿之前不久將會自動請求來自DHCP服務(wù)器124的新地址�����。又或者����,在方框306中,OSS或NMS 102提示惡意用戶120執(zhí)行ipconfig/release和ipconfig/renew操作����。又或者,在方框308中�����,OSS或NMS 102使交換機108A或其他訪問設(shè)備發(fā)送DHCP FORCE_RENEW消息�,如果交換機108A或訪問設(shè)備支持這種功能的話��。作為響應(yīng)�����,惡意用戶120的末端站設(shè)備自動請求來自DHCP服務(wù)器124的新地址���。
在執(zhí)行前述替換方案中的任何一種之后,在步驟206C中�����,DHCP服務(wù)器124向與惡意用戶120相關(guān)聯(lián)的客戶端設(shè)備分配來自高警戒地址池124B的地址�。在步驟206D中,可疑惡意用戶所使用的網(wǎng)絡(luò)訪問設(shè)備處的ARP表被用新地址更新�。例如,惡意用戶120所使用的交換機108A的ARP表126被更新�����。
例如�,作為交換機108A中的ARP過程的正常操作的一部分,ARP過程檢測惡意用戶120的新地址�,因為該新地址與當(dāng)前存儲在ARP表126中的在先地址不同。因此�����,在惡意用戶120接收或發(fā)送第一個數(shù)據(jù)報之后,ARP過程自動更新ARP表126�。或者�,如果在訪問設(shè)備中DHCP偵聽(snooping)或安全ARP特征是活動的���,則響應(yīng)于交換機108A檢測到DHCP服務(wù)器124和惡意用戶120之間的DHCP事務(wù)��,ARP表126被自動更新����。
2.2配置安全性限制圖3A是配置安全性限制的過程的流程圖����。在一個實施例中,圖3A的過程被用于實現(xiàn)圖2的步驟207���。
在一個實施例中����,為了確?�?梢捎脩舨荒軐W(wǎng)絡(luò)造成損害,使用了訪問控制列表(ACL)和DHCP流量標(biāo)記����。例如,在步驟207A中���,MAC訪問控制列表條目被設(shè)置�����,在步驟207B中���,IP訪問控制列表條目被設(shè)置。
例如�,在圖1A的網(wǎng)絡(luò)元件108或圖1B的交換機108A是在Cisco命令行接口(CLI)語言的控制下工作的Cisco交換機或路由器的實現(xiàn)方式中,可以使用下面的CLI命令�����。作為步驟207A的一部分���,耦合到惡意用戶120的網(wǎng)絡(luò)元件108或交換機108A處的端口的MAC ACL被用命令“permit mac<user’s MAC address>any”修改�。前述命令的作用是在相關(guān)聯(lián)的端口上只許可帶有指定用戶的MAC地址的流量。
類似地�����,用戶端口處的IP ACL可被用命令“permit ip<special IP>any”修改�����。前述命令的作用是只允許帶有新分配的特殊IP的流量進入網(wǎng)絡(luò)元件108或交換機108A的相關(guān)聯(lián)端口�����。
IP ACL和MAC ACL的配置只是步驟207中可以應(yīng)用的安全性措施的一個示例��。也可以應(yīng)用其他安全性措施��。例如��,來自可疑用戶的所有流量都可被強迫經(jīng)過監(jiān)視服務(wù)器104�。在一種實現(xiàn)方式中����,交換機108A處的策略路由選擇可被用來在將所有來自具有高警戒地址池中的地址的用戶的流量轉(zhuǎn)發(fā)到實際目的地之前,先將它們路由到監(jiān)視服務(wù)器104�����。
通過在受到密切監(jiān)視的高警戒子網(wǎng)中實施這種嚴(yán)格的安全性措施,可疑惡意用戶被檢疫�����。這種用戶還被置于密切監(jiān)視之下�,并且被防止對網(wǎng)絡(luò)造成進一步的危害。
2.3將用戶從高風(fēng)險用戶群組中去除圖4是用于將用戶從高風(fēng)險用戶群組中去除的過程的流程圖����。在一個實施例中,圖4的過程被用于實現(xiàn)圖2的步驟214����。一般來說,圖4代表圖3A�����、圖3B的逆轉(zhuǎn)��。從而���,在步驟214A中�,用戶末端站被強迫獲取來自常規(guī)網(wǎng)絡(luò)地址的指定群組的新網(wǎng)絡(luò)地址?����?梢允褂脠D3B的步驟206A���、302��、304�、306����、308和206D的技術(shù)。但是���,在圖4的情況中,分配給用戶末端站的新網(wǎng)絡(luò)地址是從常規(guī)網(wǎng)絡(luò)地址池中選擇出來的���。例如��,這些技術(shù)導(dǎo)致DHCP服務(wù)器124(圖1B)將來自正常地址池124A的地址分配給惡意用戶120��。
在步驟214B中�,MAC訪問控制列表條目被重置。在步驟214C中�,IP訪問控制列表條目被重置。步驟214B���、214C可以包括將惡意用戶120在其上與網(wǎng)絡(luò)元件108或交換機108A通信的端口的MAC ACL和IP ACL的狀態(tài)恢復(fù)到用戶被置于高警戒用戶群組之前的狀態(tài)���。或者����,步驟214B、214C可以包括發(fā)出去除先前設(shè)置的安全性限制的命令��。例如�����,在Cisco實施例中���,可以發(fā)出命令“permit mac any any”和“permit ip anyany”����。
結(jié)果�,惡意用戶120被從高警戒用戶群組去除并被置于正常用戶群組中����。與高警戒用戶群組相關(guān)聯(lián)的安全性限制被去除�,并且用戶接收不受限制的網(wǎng)絡(luò)訪問。在監(jiān)視服務(wù)器104進行監(jiān)視或判決控制器105進行判決期間��,用戶接收受限制的網(wǎng)絡(luò)訪問���,但并未與被管理網(wǎng)絡(luò)106完全切斷����。
3.0實現(xiàn)機構(gòu)—硬件概述圖5是示出可以實現(xiàn)本發(fā)明的實施例的計算機系統(tǒng)500的框圖�。計算機系統(tǒng)500包括用于傳輸信息的總線502或其他通信機構(gòu)和與總線502相耦合用于處理信息的處理器504。計算機系統(tǒng)500還包括諸如隨機存取存儲器(RAM)或其他動態(tài)存儲設(shè)備之類的主存儲器506����,其耦合到總線502,用于存儲信息和處理器504要執(zhí)行的指令�。主存儲器506還可用于存儲在處理器504執(zhí)行指令期間的臨時變量或其他中間信息。計算機系統(tǒng)500還包括只讀存儲器(ROM)508或其他靜態(tài)存儲設(shè)備���,其耦合到總線502,用于存儲靜態(tài)信息和處理器504的指令����。提供了諸如磁盤或光盤之類的存儲設(shè)備510���,其耦合到總線502,用于存儲信息和指令�����。
計算機系統(tǒng)500可以經(jīng)由總線502耦合到顯示器512�����,例如陰極射線管(“CRT”)���,用于向計算機用戶顯示信息�����。包括字母數(shù)字和其他鍵的輸入設(shè)備514被耦合到總線502��,用于向處理器504傳輸信息和命令選擇�。另一類用戶輸入設(shè)備是光標(biāo)控制裝置516�����,例如鼠標(biāo)、跟蹤球���、觸筆或光標(biāo)方向鍵���,用于向處理器504傳輸方向信息和命令選擇,并用于控制顯示器512上的光標(biāo)移動�。該輸入設(shè)備一般具有兩個軸(第一軸(例如x)和第二軸(例如y))上的兩個自由度,其允許設(shè)備指定平面中的位置�。
本發(fā)明涉及使用計算機系統(tǒng)500來實現(xiàn)針對與高風(fēng)險相關(guān)聯(lián)的網(wǎng)絡(luò)用戶的隔離手段。根據(jù)本發(fā)明的一個實施例�����,針對與高風(fēng)險相關(guān)聯(lián)的網(wǎng)絡(luò)用戶的隔離手段由計算機系統(tǒng)500響應(yīng)于處理器504執(zhí)行包含在主存儲器506中的一條或多條指令的一個或多個序列而提供�����。這種指令可以被從另一計算機可讀介質(zhì)(如存儲設(shè)備510)讀取到主存儲器506中����。包含在主存儲器506中的指令序列的執(zhí)行使得處理器504執(zhí)行這里描述的過程步驟。在替換實施例中���,可以使用硬線電路來替代軟件指令或與軟件指令相組合以實現(xiàn)本發(fā)明����。從而���,本發(fā)明的實施例并不限于硬件電路和軟件的任何特定組合��。
這里所用的術(shù)語“計算機可讀介質(zhì)”指參與向處理器504提供指令以供執(zhí)行的任何介質(zhì)�����。這種介質(zhì)可以采取許多形式����,包括但不限于非易失性介質(zhì)�����、易失性介質(zhì)和傳輸介質(zhì)���。非易失性介質(zhì)例如包括光盤或磁盤�����,如存儲設(shè)備510���。易失性介質(zhì)包括動態(tài)存儲器�,如主存儲器506�。傳輸介質(zhì)包括同軸電纜、銅線和光纖��,包括含總線502的線路����。傳輸介質(zhì)也可以采取聲波或光波的形式,例如在無線電波和紅外數(shù)據(jù)通信期間生成的聲波或光波�����。
計算機可讀介質(zhì)的常見形式例如包括軟盤��、柔性盤���、硬盤�����、磁帶或任何其他磁介質(zhì)����,CD-ROM、任何其他光介質(zhì)����,穿孔卡�、紙帶、任何其他具有孔圖案的物理介質(zhì)�,RAM、PROM和EPROM��、FLASH-EPROM����、任何其他存儲器芯片或磁帶盒(cartridge),下文中描述的載波����,或者計算機可以讀取的任何其他介質(zhì)。
計算機可讀介質(zhì)的各種形式可用于將一條或多條指令的一個或多個序列傳輸?shù)教幚砥?04以供執(zhí)行�。例如,指令可以首先承載在遠(yuǎn)程計算機的磁盤上�����。遠(yuǎn)程計算機可以將指令加載到其動態(tài)存儲器中,并利用調(diào)制解調(diào)器經(jīng)由電話線發(fā)送指令�����。計算機系統(tǒng)500本地的調(diào)制解調(diào)器可以接收電話線上的數(shù)據(jù)����,并使用紅外發(fā)送器來將數(shù)據(jù)轉(zhuǎn)換為紅外信號。紅外檢測器可以接收在紅外信號中攜帶的數(shù)據(jù)�����,并且適當(dāng)?shù)碾娐房梢詫?shù)據(jù)置于總線502上���?���?偩€502將數(shù)據(jù)傳輸?shù)街鞔鎯ζ?06�����,處理器504從主存儲器506取得指令并執(zhí)行指令�����。主存儲器506接收的指令可以可選地在處理器504執(zhí)行之前或之后存儲到存儲設(shè)備510上。
計算機系統(tǒng)500還包括耦合到總線502的通信接口518��。通信接口518提供到連接到本地網(wǎng)絡(luò)522的網(wǎng)絡(luò)鏈路520的雙向數(shù)據(jù)通信耦合��。例如����,通信接口518可以是綜合業(yè)務(wù)數(shù)字網(wǎng)絡(luò)(ISDN)卡或調(diào)制解調(diào)器,以提供到相應(yīng)類型電話線的數(shù)字通信連接�。又例如��,通信接口518可以是局域網(wǎng)(LAN)卡�����,以提供到兼容LAN的數(shù)據(jù)通信連接�。也可以實現(xiàn)無線鏈路。在任何這種實現(xiàn)方式中��,通信接口518發(fā)送并接收電的����、電磁的或光信號,這些信號攜帶了代表各種類型信息的數(shù)字?jǐn)?shù)據(jù)流�。
網(wǎng)絡(luò)鏈路520一般經(jīng)過一個或多個網(wǎng)絡(luò)提供到其他數(shù)據(jù)設(shè)備的數(shù)據(jù)通信。例如,網(wǎng)絡(luò)鏈路520可以經(jīng)過本地網(wǎng)絡(luò)522提供到主機計算機524或由因特網(wǎng)服務(wù)供應(yīng)商(ISP)526操作的數(shù)據(jù)設(shè)備的連接����。ISP 526又經(jīng)過全球分組數(shù)據(jù)通信網(wǎng)絡(luò)(現(xiàn)在通常稱為“因特網(wǎng)”528)提供數(shù)據(jù)通信服務(wù)。本地網(wǎng)絡(luò)522和因特網(wǎng)528都使用攜帶數(shù)字?jǐn)?shù)據(jù)流的電的�、電磁的或光信號。經(jīng)過各種網(wǎng)絡(luò)的信號和在網(wǎng)絡(luò)鏈路520上并經(jīng)過通信接口518的信號(這些信號攜帶去往和來自計算機系統(tǒng)500的數(shù)字?jǐn)?shù)據(jù))是傳輸信息的載波的示例性形式�����。
計算機系統(tǒng)500可以經(jīng)過網(wǎng)絡(luò)����、網(wǎng)絡(luò)鏈路520和通信接口518發(fā)送消息并接收數(shù)據(jù),包括程序代碼����。在因特網(wǎng)示例中,服務(wù)器530可以經(jīng)過因特網(wǎng)528��、ISP 526���、本地網(wǎng)絡(luò)522和通信接口518發(fā)送針對應(yīng)用程序的請求代碼���。根據(jù)本發(fā)明�����,一個這種下載的應(yīng)用程序提供了如這里所述的針對與高風(fēng)險相關(guān)聯(lián)的網(wǎng)絡(luò)用戶的隔離手段����。
接收到的代碼可以在接收時被處理器504執(zhí)行�����,和/或被存儲在存儲設(shè)備510或其他非易失性存儲介質(zhì)中以供后續(xù)執(zhí)行�。以這種方式,計算機系統(tǒng)500可以獲得載波形式的應(yīng)用代碼�����。
4.0擴展和替換在前述說明書中��,已參考特定實施例描述了本發(fā)明�。但是�,應(yīng)當(dāng)清楚,在不脫離本發(fā)明更寬廣的精神和范圍的前提下���,可以進行各種修改和改變���。因此���,說明書和附圖都應(yīng)當(dāng)認(rèn)為是示例性的,而非限制性的�����。
權(quán)利要求
1.一種提供與高網(wǎng)絡(luò)風(fēng)險相關(guān)聯(lián)的計算機網(wǎng)絡(luò)主機的隔離的計算機系統(tǒng)����,其中所述網(wǎng)絡(luò)包括一個或多個客戶端、一個或多個交換機��、一個或多個服務(wù)器資源�、網(wǎng)絡(luò)管理站以及管理正常地址池的地址服務(wù)器,所述系統(tǒng)的特征在于與所述正常地址池相分離的高警戒地址池����,其與可疑惡意網(wǎng)絡(luò)用戶相關(guān)聯(lián),并由所述地址服務(wù)器所管理�;耦合在所述網(wǎng)絡(luò)中并包括一個或多個計算機程序指令序列的判決控制器,所述指令在被一個或多個處理器執(zhí)行時���,使得所述一個或多個處理器執(zhí)行以下步驟確定與導(dǎo)致網(wǎng)絡(luò)中的安全性事件的網(wǎng)絡(luò)設(shè)備相關(guān)聯(lián)的用戶標(biāo)識符���;使所述網(wǎng)絡(luò)設(shè)備接收從所述高警戒地址池內(nèi)的地址子集中選擇出來的網(wǎng)絡(luò)地址����;以及針對選定的網(wǎng)絡(luò)地址配置一個或多個安全性限制���。
2.如權(quán)利要求1所述的計算機系統(tǒng)��,其中所述判決控制器接收標(biāo)識所述網(wǎng)絡(luò)中的安全性事件的信息�����,并且將所述安全性事件信息與網(wǎng)絡(luò)用戶信息相互聯(lián)系起來�,以便確定與所述網(wǎng)絡(luò)設(shè)備相關(guān)聯(lián)的用戶標(biāo)識符����。
3.如權(quán)利要求1所述的計算機系統(tǒng)�����,其中所述網(wǎng)絡(luò)設(shè)備使用動態(tài)主機控制協(xié)議(DHCP)來獲得所述網(wǎng)絡(luò)地址��,并且其中使所述網(wǎng)絡(luò)設(shè)備接收網(wǎng)絡(luò)地址的步驟包括重置耦合到所述網(wǎng)絡(luò)設(shè)備的端口以提示用戶命令所述網(wǎng)絡(luò)設(shè)備利用DHCP請求新的網(wǎng)絡(luò)地址����。
4.如權(quán)利要求1所述的計算機系統(tǒng)�,其中所述網(wǎng)絡(luò)設(shè)備使用動態(tài)主機控制協(xié)議(DHCP)來獲得所述網(wǎng)絡(luò)地址���,并且其中使所述網(wǎng)絡(luò)設(shè)備接收網(wǎng)絡(luò)地址的步驟包括向所述網(wǎng)絡(luò)設(shè)備發(fā)出DHCP FORCE_RENEW消息�����。
5.如權(quán)利要求1所述的計算機系統(tǒng)�����,其中所述網(wǎng)絡(luò)設(shè)備使用動態(tài)主機控制協(xié)議(DHCP)來獲得所述網(wǎng)絡(luò)地址���,并且其中使所述網(wǎng)絡(luò)設(shè)備接收網(wǎng)絡(luò)地址的步驟包括提示所述網(wǎng)絡(luò)設(shè)備利用DHCP請求新的網(wǎng)絡(luò)地址。
6.如權(quán)利要求1所述的計算機系統(tǒng)���,其中所述網(wǎng)絡(luò)設(shè)備使用動態(tài)主機控制協(xié)議(DHCP)來獲得所述網(wǎng)絡(luò)地址����,并且其中使所述網(wǎng)絡(luò)設(shè)備接收網(wǎng)絡(luò)址的步驟包括等待所述網(wǎng)絡(luò)設(shè)備對當(dāng)前網(wǎng)絡(luò)地址的租期期滿���。
7.如權(quán)利要求1所述的計算機系統(tǒng)��,其中使所述網(wǎng)絡(luò)設(shè)備接收網(wǎng)絡(luò)地址的步驟包括以下步驟向所述網(wǎng)絡(luò)設(shè)備提供從特殊IP子網(wǎng)內(nèi)的多個IP地址中選擇出來的IP地址����。
8.如權(quán)利要求7所述的計算機系統(tǒng),其中所述判決控制器向網(wǎng)絡(luò)服務(wù)提供商公布描述所述特殊IP子網(wǎng)的特性的信息�����。
9.如權(quán)利要求1所述的計算機系統(tǒng)��,其中配置安全性限制的步驟包括以下步驟修改與耦合到所述網(wǎng)絡(luò)設(shè)備的端口相關(guān)聯(lián)的互聯(lián)網(wǎng)協(xié)議(IP)訪問控制列表(ACL)以只許可來自選定網(wǎng)絡(luò)地址的IP流量進入����。
10.如權(quán)利要求1所述的計算機系統(tǒng),其中配置安全性限制的步驟包括以下步驟修改與耦合到所述網(wǎng)絡(luò)設(shè)備的端口相關(guān)聯(lián)的媒體訪問控制(MAC)ACL�,以只許可針對綁定到選定網(wǎng)絡(luò)地址的MAC地址的流量進入。
11.如權(quán)利要求1所述的計算機系統(tǒng)����,其中所述判決控制器確定是否惡意行為導(dǎo)致了所述安全性事件,如果是���,則向安全性判決控制器提供關(guān)于所述安全性事件或惡意行為的信息。
12.如權(quán)利要求1所述的計算機系統(tǒng)����,其中所述判決控制器確定是否惡意行為導(dǎo)致了所述安全性事件�,如果不是����,則將所述用戶從所述高風(fēng)險群組中去除。
13.如權(quán)利要求1所述的計算機系統(tǒng)����,其中所述判決控制器確定是否惡意行為導(dǎo)致了所述安全性事件,其中如果所述用戶與網(wǎng)絡(luò)服務(wù)提供商的可信顧客相關(guān)聯(lián)���,則所述網(wǎng)絡(luò)中的合法用戶動作不被確定為是惡意行為�����。
14.一種提供與高網(wǎng)絡(luò)風(fēng)險相關(guān)聯(lián)的計算機網(wǎng)絡(luò)主機的隔離的計算機系統(tǒng)����,其中所述網(wǎng)絡(luò)包括一個或多個客戶端��、一個或多個交換機�、一個或多個服務(wù)器資源、網(wǎng)絡(luò)管理站以及管理正常地址池的地址服務(wù)器,所述系統(tǒng)的特征在于與所述正常地址池相分離的高風(fēng)險安全性群組�,其與可疑惡意網(wǎng)絡(luò)用戶相關(guān)聯(lián),并由所述地址服務(wù)器所管理���;耦合在所述網(wǎng)絡(luò)中并包括一個或多個計算機程序指令序列的判決控制器�,所述指令在被一個或多個處理器執(zhí)行時���,使得所述一個或多個處理器執(zhí)行以下步驟接收標(biāo)識網(wǎng)絡(luò)中的安全性事件的信息�;將所述安全性事件信息與網(wǎng)絡(luò)用戶信息相互聯(lián)系起來以便確定與所述網(wǎng)絡(luò)設(shè)備相關(guān)聯(lián)的網(wǎng)絡(luò)用戶�����;將所述用戶置于所述高風(fēng)險安全性群組中�����;針對選定的網(wǎng)絡(luò)地址配置一個或多個安全性限制��;確定是否惡意行為導(dǎo)致了所述安全性事件���;如果惡意行為導(dǎo)致了所述安全性事件���,則將關(guān)于所述安全性事件或惡意行為的信息提供給安全性判決控制器���;如果惡意行為未曾導(dǎo)致所述安全性事件�����,則將所述用戶從所述高風(fēng)險群組中去除���。
15.如權(quán)利要求14所述的計算機系統(tǒng)��,其中將所述用戶標(biāo)識符置于高風(fēng)險安全性群組中還包括以下步驟強迫所述用戶獲取來自為與高用戶風(fēng)險相關(guān)聯(lián)的用戶預(yù)留的指定網(wǎng)絡(luò)地址群組的新網(wǎng)絡(luò)地址�。
16.如權(quán)利要求15所述的計算機系統(tǒng)����,其中所述判決控制器通過重新配置動態(tài)主機控制協(xié)議(DHCP)服務(wù)器以要求所述服務(wù)器只從為與高用戶風(fēng)險相關(guān)聯(lián)的用戶預(yù)留的指定網(wǎng)絡(luò)地址群組向所述網(wǎng)絡(luò)設(shè)備發(fā)出新網(wǎng)絡(luò)地址并且執(zhí)行以下步驟中的任何一個來強迫所述用戶獲取新網(wǎng)絡(luò)地址重置耦合到所述網(wǎng)絡(luò)設(shè)備的端口以觸發(fā)所述網(wǎng)絡(luò)設(shè)備利用DHCP請求新網(wǎng)絡(luò)地址;向所述網(wǎng)絡(luò)設(shè)備發(fā)出DHCP FORCE_RENEW消息��;提示所述網(wǎng)絡(luò)設(shè)備利用DHCP請求新網(wǎng)絡(luò)地址����;等待所述網(wǎng)絡(luò)設(shè)備對當(dāng)前網(wǎng)絡(luò)地址的租期期滿。
17.如權(quán)利要求14所述的計算機系統(tǒng)�,其中所述判決控制器通過以下操作來配置一個或多個安全性限制修改與耦合到所述網(wǎng)絡(luò)設(shè)備的端口相關(guān)聯(lián)的互聯(lián)網(wǎng)協(xié)議(IP)訪問控制列表(ACL)以只許可來自選定網(wǎng)絡(luò)地址的IP流量進入;并且修改與所述端口相關(guān)聯(lián)的媒體訪問控制(MAC)ACL以只許可針對綁定到所述選定網(wǎng)絡(luò)地址的MAC地址的流量進入��。
18.一種提供與高網(wǎng)絡(luò)風(fēng)險相關(guān)聯(lián)的計算機網(wǎng)絡(luò)主機的隔離的計算機系統(tǒng),其中所述網(wǎng)絡(luò)包括一個或多個客戶端����、一個或多個交換機、一個或多個服務(wù)器資源��、網(wǎng)絡(luò)管理站以及管理正常地址池的地址服務(wù)器����,所述系統(tǒng)的特征在于與所述正常地址池相分離的高警戒地址池,其與可疑惡意網(wǎng)絡(luò)用戶相關(guān)聯(lián)����,并由所述地址服務(wù)器所管理;耦合在所述網(wǎng)絡(luò)中并包括一個或多個計算機程序指令序列的判決控制器����;用于確定與導(dǎo)致網(wǎng)絡(luò)中的安全性事件的網(wǎng)絡(luò)設(shè)備相關(guān)聯(lián)的用戶標(biāo)識符的裝置;用于使所述網(wǎng)絡(luò)設(shè)備接收從與可疑惡意網(wǎng)絡(luò)用戶相關(guān)聯(lián)的指定池的地址子集中選擇出來的網(wǎng)絡(luò)地址的裝置�����;以及用于針對選定的網(wǎng)絡(luò)地址配置一個或多個安全性限制的裝置���。
全文摘要
一種提供與高網(wǎng)絡(luò)風(fēng)險相關(guān)聯(lián)的計算機網(wǎng)絡(luò)主機(110A)的隔離的計算機系統(tǒng)��,其中所述網(wǎng)絡(luò)包括一個或多個客戶端(122A)����、一個或多個交換機(108A)、一個或多個服務(wù)器資源(130)��、網(wǎng)絡(luò)管理站(102)以及管理正常地址池(124A)的地址服務(wù)器(124)����,該系統(tǒng)的特征在于高警戒地址池(124B)�����,其與可疑惡意網(wǎng)絡(luò)用戶相關(guān)聯(lián)���,并由地址服務(wù)器所管理���;以及判決控制器(105),其被配置用于確定與導(dǎo)致網(wǎng)絡(luò)中的安全性事件的網(wǎng)絡(luò)設(shè)備相關(guān)聯(lián)的用戶標(biāo)識符���;使網(wǎng)絡(luò)設(shè)備接收從高警戒地址池內(nèi)的地址子集中選擇出來的網(wǎng)絡(luò)地址�;以及針對選定的網(wǎng)絡(luò)地址配置一個或多個安全性限制��。
文檔編號H04L9/00GK1930817SQ200580007173
公開日2007年3月14日 申請日期2005年3月1日 優(yōu)先權(quán)日2004年3月9日
發(fā)明者馬克·阿馬爾·拉耶斯, 邁克爾·張, 拉爾夫·多莫斯, 彼得·迪尼 申請人:思科技術(shù)公司