利用动态选择性过滤标准的多级信息包筛选的装置和方法制造方法及图纸

本发明专利技术公开了一种执行分级技术的信息包过滤操作。收到的信息包首先以第一级过滤标准过滤。这个第一级过滤从收到的信息包通信产生第一部分通过的通信和一部分不能通过的通信。然后该不能通过的通信部分以第二级过滤标准进行第二级过滤。这个第二级过滤产生第二部分通过的通信和一部分被拒绝的通信。第一级过滤标准提供高通过量、低精确度的处理，而第二级过滤标准提供低通过量、高精确度的处理。对该第一和第二级过滤标准可以进行动态调节，以提供整个信息包过滤的性能。例如，负载被测定，然后调整过滤标准以更好地平衡分级过滤操作之间的负载。（*该技术在2023年保护过期，可自由使用*）

【技术实现步骤摘要】

本专利技术涉及信息包通信的多级筛选，特别是涉及一种分级筛选技术，其中，每一级的过滤筛选标准可以基于例如每一级的处理能力和/或信息包通信量的变化进行动态地选择。
技术介绍
在很多公认的情形下都需要对信息包通信进行筛选。一种这样的情形是在应用网络入侵探测系统(IDS)的情况下，需要对通过的信息包通信进行威胁性或危险性内容的检查。当检测到这种威胁时，在有机会进入到一个受保护的网络前，该可疑信息包通信将会被识别，并被捕获或丢弃(也许使用防火墙)。众所周知，对信息包通信的检查筛选操作需要消耗很多时间，并且因此可能造成信息包通信通过量的延误。特别是在需要检查的通信量增加、而入侵探测系统出现信息包通信通过量的瓶颈时，这种延误显得尤为突出。如果使用了更全面(更费时间)的筛选操作，则有可能造成通过时间的进一步延误。因此，需要开发一种更为有效的途径来进行信息包的筛选。
技术实现思路
本专利技术的一个方面，信息包过滤是通过使用第一个过滤标准对信息包通信进行第一级过滤，以形成第一部分通过的通信以及一部分不能通过的通信，这部分不能通过的通信再以第二个过滤标准进行第二级过滤，从而形成第二部分通过的通信和一部分被拒绝的通信。在一个具体的实施例中，第一级过滤检测出可疑的信息包通信，作为不能通过的通信部分输出，而第二级过滤检测出该可疑信息包通信中具有威胁性的信息包通信，作为被拒绝的通信部分。在一个相关的实施例中，第一级过滤会触发对信息包通信中危险性信息包的怀疑，并将可疑信息包作为不能通过的通信部分；而第二级过滤则确认该不能通过的通信部分中危险的信息包通信的存在，并选出危险信息包作为被拒绝的通信部分。在进一步的实施例中，负载量被测定，并根据测得的负载量动态地选择和改变第一和第二级过滤标准。选择的第一和第二级过滤标准的变化是基于测得的负载量的变化。在一个特定的实施例中，负载量的测定检测出第一和第二级过滤操作中负载量的不平衡。然后启动动态选择以改变第一和第二级过滤标准，从而更好地平衡过滤负载量。在另一个实施例中，第一组过滤标准的特征为较高的通过量、较低的过滤标准精确度；而第二组过滤标准的特点为较低的通过量和较高的过滤标准精确度。进行动态选择可以调整第一和第二组过滤标准中的相对的通过量和精确度。在一个相关的实施例中，这种调整改变了第一和第二级过滤标准的复杂性，并同时改变了其相对通过量和精确度。这通过一个动态的适应过程来实现，该过程响应于一个或多个特性和/或因子。在另一个相关的实施例中，这种调整改变了第一和第二级过滤标准的全面性，并同时改变了其相对通过量和精确度。这同样通过一个响应于一个或多个特性和/或因子的、动态的适应过程来实现。附图说明结合所附的附图，通过参考以下的详细描述，本专利技术的方法和装置将被更为全面的了解。图1为一个框图，显示了根据本专利技术的一个实施例的、用于信息包通信筛选的一种分级的方法。图2为一个框图，显示了根据本专利技术的另一个实施例的、用于信息包通信筛选的一种分级的方法。图3为一个框图，显示了根据本专利技术的又一个实施例的、用于信息包通信筛选的一种分级的方法。具体实施例方式首先参考图1，其是一个框图，根据本专利技术的一个实施例，它显示了一个对信息包通信进行筛选的方法。一个筛选引擎10(可以应用于多种应用中，例如网络保护、入侵探测、防火墙、防病毒内容的过滤以及其他类似应用)执行了一项多级处理技术。在第一级12(也被称为触发级或检测级)上，对应的第一级过滤器14收到信息包通信16，并利用第一组过滤标准18对该收到的通信进行筛选。收到的通信16中通过该第一组过滤标准18的部分20被从筛选引擎10输出。但是，收到的通信16中没有通过第一组过滤标准18的部分22将被继续传递给筛选引擎10中第二级24进行进一步的检查。而第二级24(也被称为确认级或捕获级)执行对应的第二级过滤26，接收信息包通信16中未通过的部分22，并以第二组过滤标准28对接收的通信进行筛选。接收的通信(未通过部分)22中的一部分30通过了第二组过滤标准28，并被从筛选引擎10输出，与信息包部分20一起作为通过的信息包通信输出。接收的通信22(未通过部分)中不能通过第二组过滤标准28的部分32则被拒绝。然后被拒绝的信息包被输出并根据需要进行处理(例如记录、丢弃、发出警告或者其他类似操作)。虽然图1举例说明了两级的分级处理过程，但本领域的技术人员很容易明白，这实际上只是一个范例。如果需要，图1中描述的本专利技术的实施例可以包括三级或者更多级的处理，每个随后的和/或附加的层级的构建都与第一和/或第二级过滤的构建方法类似。一般而言，每一个层级的增加，意味着使用逐级递增的过滤标准对信息包中可疑或危险的通信的更为准确的检测。另外，虽然图1中主要说明了所有无法通过第一级过滤检查的通信(也就是未通过部分22)都被传递给第二级过滤处理，容易理解，根据第一级过滤器14所使用的过滤标准18，第一级过滤也可能识别部分22中的某些明显具有威胁性或危险性的通信。这些明确确定为危险通信的部分22′无需在第二级过滤器26中进一步处理确认，而是直接被传递给被拒绝部分32(如虚线所示)，从而形成拒绝信息包输出，并根据需要进行进一步的处理。通过这种方式配置的引擎10的优点在于相对于第二级24的处理提高了通过量。为了提高筛选引擎10在通过量方面的性能(速度和精确度)，需要在第一级过滤器14和第二级过滤器26所执行的过滤标准之间确定可靠的关系。第一组过滤标准18作为一种触发机制执行，以允许对接收的信息包通信16进行相对速度较快的检查，在这里，所使用的过滤设计成具有有限的处理能力，以捕获事实上所有的可疑通信，应当理解，过滤器14将不可避免地在捕捉危险通信的同时错误地捕捉一些无危险的通信(也就是精确度相对比较低而误检的几率较大)。比如，第一级12的筛选涉及到标题字段的比较并触发内容搜索(例如短字符的比较)，这可以利用相对较简单的算法以较快的速度完成，而对于筛选输出的处理将更容易出错。另一方面，第二组过滤标准28作为一种确认机制执行，以允许对信息包通信16中的通信部分22进行较慢速度的检查，在这里，所使用的过滤设计成具有更为复杂的处理能力，以更仔细地检测可疑通信(由第一级过滤器14识别)，并确定最可能具有威胁或危险性的通信。同样的，容易理解，过滤器26可能错误地捕获一些无危险的通信(也就是准确性相对较高，尽管误检的几率非常低)。但是发生这种情况的可能性要比采用第一级过滤器14时出现的几率显著降低。举例来说，这个第二层级24的筛选涉及到协议解码和常规的表达式匹配(也就是长字符比较)，由于使用了更为复杂的算法，运行速度较低，但筛选输出更不容易出错。可以理解，通过增加额外的层级(超过二级过滤)能提高系统的准确性，同时还能在更多的过滤器上分摊处理负载。但是，得到这种好处的代价是增加了过滤作业量，并可能进一步造成信息包通信的延迟。举一个例子可以更好地理解精确度/通过量与第一组过滤标准18(用于触发怀疑)和第二组过滤标准28(用于确认存在)之间的相互关系。在一个典型的实施例中，第一组过滤标准18可以包括一个筛选，该筛选设计为快速检查通过的信息包并撒下大网来捕捉任何、甚至是很细微的可疑通信(比如根据标题字段的比较或者短字符串的比较)。由于这本文档来自技高网...

【技术保护点】
一种信息包过滤装置，其特征在于包括：第一级过滤器，该过滤器对信息包通信采用第一级过滤标准，以产生第一部分通过的通信以及一部分不能通过的通信；和第二级过滤器，该过滤器对该部分不能通过的通信采用第二级过滤标准，以产生第二部分通过 的通信和一部分被拒绝的通信。

【技术特征摘要】
US 2002-8-12 10/217,8621.一种信息包过滤装置，其特征在于包括第一级过滤器，该过滤器对信息包通信采用第一级过滤标准，以产生第一部分通过的通信以及一部分不能通过的通信；和第二级过滤器，该过滤器对该部分不能通过的通信采用第二级过滤标准，以产生第二部分通过的通信和一部分被拒绝的通信。2.如权利要求1所述的装置，其特征在于，所述第一和第二部分通过的通信合并组成一个通过的过滤信息包通信输出，而所述被拒绝的通信部分组成一个被拒绝的过滤信息包通信输出。3.如权利要求1所述的装置，其特征在于，所述第一级过滤标准设计成检测出可疑信息包通信以作为所述不能通过的通信部分输出，而第二级过滤标准则设计成检测出所述可疑信息包通信中具有威胁的信息包通信以作为所述被拒绝的通信部分输出。4.如权利要求1所述的装置，其特征在于，所述第一级过滤标准设计成触发对所述信息包通信中危险信息包的怀疑，并生成可疑信息包作为所述不能通过的通信部分；而第二级过滤标准设计成确认所述不能通过的通信部分中危险信息包通信的存在，并生成危险信息包作为所述被拒绝的通信部分。5.如权利要求1所述的装置，其特征在于，所述第一和第二级过滤标准是由用户选择的。6.如权利要求1所述的装置，其特征在于，所述第一和第二级过滤标准是动态选择的。7.一种信息包过滤装置，其特征在于包括第一级过滤器，该过滤器对信息包通信采用第一级过滤标准，以产生第一部分通过的通信，一部分不能通过的通信以及第一部分被拒绝的通信；和第二级过滤器，该过滤器对该部分不能通过的通信采用第二级过滤标准，以产生第二部分通过的通信和第二部分被拒绝的通信。8.如权利要求7所述的装置，其特征在于，所述第一和第二部分通过的通信合并组成一个通过的过滤信息包通信输出，而所述第一和第二部分被拒绝的通信合并组成一个被拒绝的过滤信息包通信输出。9.如权利要求8所述的装置，其特征在于，所述第一级过滤标准设计成检测出可疑信息包通信作为所述不能通过的通信部分输出，以及检测出危险信息包通信作为所述第一部分被拒绝的通信输出；而第二级过滤标准则设计成检测出所述可疑信息包通信中有威胁的信息包通信作为所述第二部分被拒绝的通信输出。10.如权利要求8所述的装置，其特征在于，所述第一级过滤标准设计成触发对所述信息包通信中危险信息包的怀疑，并生成可疑信息包作为所述不能通过的通信部分；而第二级过滤标准设计成确认所述不能通过的通信部分中危险信息包通信的存在，并生成危险信息包作为所述第二部分被拒绝的通信。11.如权利要求10所述的装置，其特征在于，所述第一级过滤标准进一步设计成触发对所述信息包通信中危险信息包的检测，并生成危险信息包作为所述第一部分被拒绝的通信。12.如权利要求7所述的装置，其特征在于，所述第一和第二级过滤标准是由用户选择的。13.如权利要求7所述的装置，其特征在于，所述第一和第二级过滤标准是动态选择的。14.一种信息包过滤装置，其特征在于包括第一级过滤器，该过滤器对信息包通信采用第一级过滤标准，以产生第一部分通过的通信以及一部分不能通过的通信；第二级过滤器，该过滤器对该部分不能通过的通信采用第二级过滤标准，以产生第二部分通过的通信和一部分被拒绝的通信；和一个负载检测器，根据测得的负载进行操作以动态地选择所述第一和第二级过滤标准。15.如权利要求14所述的装置，其特征在于，所述负载检测器包括一个用于测量信息包通信量负载的通信量监视器，根据测得的信息包通信量负载，该负载检测器动态地选择所述第一和第二级过滤标准。16.如权利要求15所述的装置，其特征在于，所述测得的信息包通信量负载包括信息包通信的数量。17.如权利要求16所述的装置，其特征在于，所述信息包通信的数量包括一种特定类型的信息包通信的数量。18.如权利要求16所述的装置，其特征在于，所述信息包通信的数量包括一种特定来源的信息包通信的数量。19.如权利要求15所述的装置，其特征在于，进一步包括一个负载滞后，该滞后由所述负载检测器进行估算，并且，在所述第一和第二级过滤标准发生变化前，该滞后必须由测得的信息包通信量负载的变化所克服。20.如权利要求14所述的装置，其特征在于，所述负载检测器包括一个过滤器负载监视器，该监视器用于测量所述第一和第二级过滤器上的负载，根据测得的过滤器负载，该负载检测器动态地选择所述第一和第二级过滤标准。21.如权利要求20所述的装置，其特征在于，所述测得的过滤器负载包括对所述第一和第二级过滤器中所丢弃的信息包的确认。22.如权利要求20所述的装置，其特征在于，所述测得的过滤器负载包括对用于所述第一和第二级过滤器中过滤器负载能力的百分比的确认。23.如权利要求14所述的装置，其特征在于，所述负载检测器用于检测出所述第一和第二级过滤器之间负载的不平衡，所述负载检测器改变所述第一和第二级过滤标准以更好地平衡所述第一和第二级过滤器之间的负载。24.如权利要求23所述的装置，其特征在于，所述不平衡由所述不能通过的通信部分中误检信息包数量的增加来指示。25.如权利要求14所述的装置，其特征在于，应用针对所述信息包通信的所述第一级过滤标准还产生一部分额外的被拒绝通信，该部分通信饶过在所述第二级过滤器中的过滤。26.如权利要求25所述的装置，其特征在于，所述第一和第二部分通过的通信合并组成一个通过的过滤信息包通信输出，而所述被拒绝的通信部分和额外的被拒绝通信部分合并组成一个被拒绝的过滤信息包通信输出。27.如权利要求14所述的装置，其特征在于，所述第一级过滤标准设计成检测出可疑信息包通信作为不能通过的通信部分输出；而第二级过滤标准则设计成检测出所述可疑信息包通信中有威胁的信息包通信作为所述被拒绝的通信部分输出。28.如权利要求14所述的装置，其特征在于，所述第一级过滤标准设计成触发对所述信息包通信中危险信息包的怀疑，并生成可疑信息包作为不能通过的通信部分；而第二级过滤标准则设计成确认所述不能通过的通信部分中危险信息包通信的存在，并生成危险信息包作为被拒绝的通信部分。29.如权利要求28所述的装置，其特征在于，所述第一级过滤标准进一步设计成触发对所述信息包通信中危险信息包的检测，并生成危险信息包作为额外的被拒绝通信部分。30.如权利要求14所述的装置，其特征在于，所述第一和第二级过滤标准的动态选择通过用户输入来进行。31.一种信息包过滤装置，其特征在于包括第一级过滤器，该过滤器对信息包通信采用较高通过量、较低精确度的过滤标准，以产生第一部分通过的通信以及一部分可疑的通信；和第二级过滤器，该过滤器对该部分可疑的通信采用较低通过量、较高精确度的过滤标准，以产生第二部分通过的通信和一部分被拒绝的通信。32.如权利要求31所述的装置，其特征在于，还包括一个负载平衡器，用于调节所述第一和第二级过滤标准的相对通过量和精确度，从而平衡相互之间的负载。33.如权利要求32所述的装置，其特征在于，所述负载平衡器响应测得的负载进行动态地调节。34.如权利要求33所述的装置，其特征在于，所述测得的负载为第一和第二级过滤器的处理负载。35.如权利要求34所述的装置，其特征在于，所述处理负载是通过与第一和第二级过滤器的负载能力相比较进行估算的。36.如权利要求33所述的装置，其特征在于，所述测得的负载包括信息包通信的数量。37.如权利要求36所述的装置，其特征在于，所述信息包通信的数量包括一种特定类型的信息包通信的数量。38.如权利要求36所述的装置，其特征在于，所述信息包通信的数量包括一种特定来源的信息包通信的数量。39.如权利要求31所述的装置，其特征在于，还包括一个函数，用于调...

【专利技术属性】
技术研发人员：克雷格坎特雷尔，马克勒迈尔维勒比克，丹尼斯考克斯，多诺万科尔伯利，布赖恩史密斯，
申请(专利权)人：倾点科技公司，
类型：发明
国别省市：US[美国]