[发明专利]网络入侵防护系统

说明书

技术领域

本发明涉及一种网络入侵防护系统，且特别涉及一种网络卡上建置有微处理器来加速执行入侵防护功能的网络入侵防护系统。

背景技术

随着网络科技发展与普及化，网络已成为生活不可或缺的部分，人们由网络快速交换所需信息。然而，使用因特网却不如想象中安全。例如，计算机系统可能被黑客入侵而被窃取数据或破坏计算机系统。目前，多数使用者由防毒软件及防火墙来保护计算机免于感染计算机病毒或遭受人为入侵破坏。一种名为网络入侵侦测系统(Intrusion Detection System，IDS)的技术可用以监控网络活动，避免网络内部的计算机遭受恶意攻击、破坏。网络入侵侦测系统属于被动式的网络安全系统。其通过分析网络封包，发现异常网络活动，并实时发出警报告知网络管理人员处理/防护异常网络活动。为立即抵挡网络上的恶意入侵攻击，网络入侵防护系统(Intrusion Protection System，IPS)遂发展作为提供主动性防护的网络安全技术。所有网络封包皆须流经网络入侵防护系统，并加以判断网络封包不含异常活动或可疑内容后，才予以传送到内部欲保护的局域网络(或网络区段)。相较于网络入侵侦测系统，网络入侵防护系统更在发生恶意入侵前，立即阻绝网络攻击行为，避免网络内部的计算机系统受破坏。

然而，随着网络技术提升以及交换数据量的增加，繁重的网络流量逐渐成为网络入侵防护系统的负担。由于网络入侵防护系统需拦截分析每一个网络封包，判断网络封包中并不包含恶意内容后才予以放行。若网络入侵防护系统的响应能力无法跟上网络传输速度，则会影响内部网络存取数据的流畅度，使内部网络效能大打折扣。

发明内容

鉴于目前网络入侵防护系统(Intrusion Protection System，IPS)响应能力不足，而造成封包传递延迟等问题，本发明的目的在于提出新的网络入侵防护系统(以下简称为系统)的架构，由微处理器与中央处理器的分工处理，过滤流经局域网络的有害或是恶意网络封包，达到加速系统过滤网络封包的功效。

为实现上述的目的，本发明的系统至少包含一张具有微处理器的网络卡及中央处理器。网络卡接收局域网络外的网络封包。此网络卡更内建有两韧体程序：其一为网络封包剖析程序，通过前述微处理器执行此网络封包剖析程序，以剖析网络封包的通讯协议、来源地址、以及连接端口号；另一为恶意封包的滤除程序，亦通过前述微处理器执行，并依据网络封包剖析程序的剖析结果及入侵封包定义文件，来判断网络封包是否可能为恶意网络封包，并加以滤除。剩余未被过滤的网络封包，再交由中央处理器处理。中央处理器执行下列程序：首先，剖析剩余网络封包的封包内容；接着，根据前述入侵封包定义文件及由剩余网络封包所剖析出的封包内容，判断是否为恶意网络封包；然后，再过滤掉恶意网络封包，并通过网络卡将剩余的正常网络封包传送至内部局域网络的计算机。

依照本发明的较佳实施例所述的网络入侵防护系统，上述的网络卡更包括用来暂存网络封包的内存。另外，系统内部的主要内存，则是用来存放网络封包解析后的封包内容。

依照本发明的较佳实施例所述的网络入侵防护系统，上述的入侵封包定义文件，包括多条预先定义的入侵行为规则，以及这些规则所对应的预设通讯协议、来源地址以及连接端口号。网络管理人员更可通过一个使用者接口来修改入侵封包定义文件的入侵行为规则及对应的预设通讯协议、来源地址、及连接端口号。

依照本发明的较佳实施例所述的网络入侵防护系统，更包括依据滤除恶意入侵的网络封包中的通讯协议、来源地址、以及连接端口号，自动新增对应的入侵行为规则于入侵封包定义档。另外，前述网络封包剖析程序是通过多个结构指针(Hook Structure)指向接收的网络封包的数据段，以快速剖析网络封包中的通讯协议、来源地址、以及连接端口号。

依照本发明的较佳实施例所述的网络入侵防护系统，上述的微处理器更包括以多条执行绪(Thread)来处理入侵封包定义文件定义的预设通讯协议、来源地址或连接端口号。另外，中央处理器亦通过执行绪个别处理入侵封包定义文件所定义的其它入侵行为。

由上所述，本发明的系统先以网络卡的微处理器快速滤除可能为恶意入侵的网络封包，再以中央处理器滤除剩余网络封包中恶意入侵的网络封包。因为，网络卡的微处理器与系统的中央处理器可分工并同时处理简单过滤网络封包及深层剖析封包内容的动作，因此可加速系统处理网络封包的速度，进而解决目前系统存在的影响网络传输速度及封包传输延迟的现象。