[发明专利]网络攻击检测

说明书

技术领域

本发明涉及检测网络攻击的领域，并且特别涉及检测在攻击始发用户系统本地的数据通信网络上的攻击。

背景技术

因特网是由多个互连的数据网络所形成的广域数据通信网络。在操作中，因特网促进了一系列位于远程的数据处理系统之间的数据通信。通常，连接至因特网的终端用户数据处理系统被称为客户机数据处理系统或简称为客户机。类似地，对网站以及用于由终端用户通过因特网访问的服务进行托管(hosting)的数据处理系统被称为服务器数据处理系统或简称为服务器。存在一种通过终端用户数据处理系统与托管数据处理系统之间的因特网而完成的客户机-服务器关系。

因特网已经成为用于促进消费者、零售商以及服务提供商之间的电子实现的商业交互的重要通信网络。通常通过因特网服务提供商(ISP)向这样的实体提供对因特网的访问。每个ISP通常运营客户机预定的开放式网络。每个客户机均具备网络上唯一的因特网协议(IP)地址。类似地，网络上的每个服务器均具备唯一的IP地址。由ISP运营的网络通过通常被称为路由器的专用数据处理系统而连接至因特网。在操作中，路由器将来自因特网的入站(inbound)通信业务量导向网络上指定的IP地址。类似地，路由器将来自网络的出站(outbound)通信业务量导向因特网上指定IP地址的方向上。

很多人和商务所面临的问题是对他们使用的网络的电子攻击日益增长的频率。这样的攻击包括计算机病毒攻击以及所谓的“蠕虫”攻击。这类攻击在网络中引起显著的性能降低。连接至网络的受感染系统通常试图在该网络内传播感染。很多用户并没有意识到其系统受到感染。

已知的入侵检测传感器欺骗(spoof)与潜在攻击者的服务交互。传感器通过欺骗在另外未使用的IP地址处存在机器和服务而发挥作用。由于没有另外使用这些地址，因此指定到这些地址的所有通信量都是先验可疑的(a priori suspicious)。传感器欺骗服务以确定通信量背后的意图。传感器本身提供这样的虚拟化基础设施，即该虚拟化基础设施允许写入单独的传感器，就好像这些传感器正运行在单个主机上一样。

WO2004/107706公开了一种用于检测数据通信网络上的攻击的入侵检测传感器(IDS)。IDS标识起始于任何分派的地址并且寻址于任何未分派的地址的、该网络上的数据业务量，针对表示攻击的数据而检查如此标识的数据业务量，并且如果需要的话，生成报警信号。

该上下文中使用术语“未分派的”作为对没有被分派给除了用于检测入侵或生成攻击签名的装置之外的物理设备的地址的涵盖。为了执行WO2004/107706中所公开的方法而设计的装置是这样的设备，即那些“未分派的”地址实际被分派给了该设备以便利用该方法。那些地址在一定范围内未分派，是因为没有将它们分派给除了签名生成或入侵检测之外还具有另外的功能性的任何设备。

在上述IDS中，一块未分派的地址被指定给IDS，从而使得IDS可以欺骗对于到这些未分派地址的任何数据业务量的响应。此外，IDS可能在地理上远离数据业务量的始发用户系统而使其难于针对始发用户系统采取措施。

发明内容

本发明的目的是提供一种用于检测对未使用或不可访问的地址的攻击的系统。进一步的目的是提供本地问题的本地报告。另外，可以对攻击实体透明实现所述检测。

根据本发明的第一方面，提供了一种用于检测数据通信网络上的攻击的方法，该方法包括：监控寻址于始发用户系统的返回消息；标识指定种类(specified nature)的返回消息；以及将来自所述始发用户系统的后续消息临时路由至入侵检测传感器。将术语“指定种类”理解为具有特定特性或属于预定类型的消息。也被称为消息检验器的监控装置充当检查所述返回消息是否具有所述特定特性的滤波器。如果识别出所述返回消息具有所述消息检验器正在寻找的特性，则所述返回消息受到重新路由。所述消息检验器因此可以被看作返回消息类型操作的开关。与此同时所述消息检验器可以检查不同的特定特性，并且如果发现存在那些特性中的一个或多个，则进行所述重新路由。