用于通信网络的防入侵方法和系统.pdf

摘要
申请专利号：	CN200910151715.6	申请日：	2009.07.06
公开号：	CN101621427A	公开日：	2010.01.06
当前法律状态：	授权	有效性：	有权
法律详情：	授权\|\|\|实质审查的生效\|\|\|公开
IPC分类号：	H04L12/26; H04L12/24; H04L29/06; H04L29/08	主分类号：	H04L12/26
申请人：	阿尔卡特朗讯
发明人：	P·多纳戴奥; A·帕帕雷拉; R·里格利蒂
地址：	法国巴黎
优先权：	2008.7.4 EP 08425464.8
专利代理机构：	北京市金杜律师事务所	代理人：	王茂华;刘静
PDF下载：	PDF下载

内容摘要

本发明公开了一种用于包括多个网元的通信网络的防入侵方法。该方法包括以下步骤：a)提供与通信网络协作的被动监视组件、决策组件和动作组件；b)在被动监视组件处，检测表明对至少一个网元的攻击的管理信息，处理该管理信息从而生成感染数据，并且将该感染数据发送到决策组件；c)在决策组件处，接收感染数据，做出与为了阻止攻击而将进行的动作有关的决策，并且将该决策发送到动作组件；并且d)在动作组件处，基于决策来指示该至少一个网元执行动作。

权利要求书

1.  一种用于通信网络(CN)的防入侵方法，所述通信网络(CN)包括多个网元(NE1，NE2，NE3′，NE4；NE1′，NE2′，NE3′，NE4′；NE1，NE2″，NE3″，NE4；NE1，NE2″，NE3″，NE4″)，所述方法包括以下步骤：
a)提供与所述通信网络(CN)协作的被动监视组件(PMC)、决策组件(DMC)和动作组件(AMC)；
b)在所述被动监视组件(PMC)处，检测表明对所述多个网元中的至少一个网元(NE4)的攻击的管理信息，处理所述管理信息从而生成感染数据，并且将所述感染数据发送到所述决策组件(DMC)；
c)在所述决策组件(DMC)处，接收所述感染数据，做出与为了阻止所述攻击而将进行的动作有关的决策，并且将所述决策发送到所述动作组件(AMC)；以及
d)在所述动作组件(AMC)处，基于所述决策来指示所述至少一个网元(NE4)执行所述动作，
所述方法的特征在于所述步骤a)包括在所述多个网元中的每个网元处提供所述被动监视组件(PMC)。

2.  根据权利要求1所述的方法，其中所述步骤a)还包括在所述多个网元中的一个网元(NE3′)处提供所述决策组件(DMC)和所述动作组件(AMC)。

3.  根据权利要求1所述的方法，其中所述步骤a)还包括在所述多个网元中的每个网元(NE1′，NE2′，NE3′，NE4′)处提供所述决策组件(DMC)和所述动作组件(AMC)。

4.  根据权利要求1所述的方法，其中所述步骤a)包括在所述多个网元中的一个网元(NE2″)处提供所述决策组件(DMC)而在所述多个网元中的另一网元(NE3″)处提供所述动作组件(AMC)。

5.  根据权利要求1所述的方法，其中所述步骤a)还包括以下步骤中的至少一个步骤：
-在所述多个网元中的至少两个网元处提供所述决策组件(DMC)，从而形成决策集群；以及
-在所述多个网元中的另外至少两个网元(NE3″，NE4″)处提供所述动作组件(AMC)，从而形成动作集群(AC)。

6.  根据前述权利要求中任一项所述的方法，其中所述步骤c)还包括通过使用静态关联表和动态关联表中的至少一种关联表来进行所述决策，所述静态关联表和所述动态关联表各自均包括多行，所述多行中的每一行均包括安全阈值和与所述安全阈值关联的可能动作。

7.  一种用于通信网络(CN)的防入侵系统，所述通信网络(CN)包括多个网元(NE1，NE2，NE3′，NE4；NE1′，NE2′，NE3′，NE4′；NE 1，NE2″，NE3″，NE4；NE1，NE2″，NE3″，NE4″)，所述系统包括与所述通信网络(CN)协作的被动监视组件(PMC)、决策组件(DMC)和动作组件(AMC)，其中：
-所述被动监视组件(PMC)适合于检测表明对所述多个网元中的至少一个网元(NE4)的攻击的管理信息、处理所述管理信息从而生成感染数据并且将所述感染数据发送到所述决策组件(DMC)；
-所述决策组件(DMC)适合于接收所述感染数据、做出与为了阻止所述攻击而将进行的动作有关的决策并且将所述决策发送到所述动作组件(AMC)；以及
-所述动作组件(AMC)适合于基于所述决策来指示所述至少一个网元(NE4)执行所述动作，
所述系统的特征在于在所述多个网元中的每个网元处提供所述被动监视组件(PMC)。

8.  根据权利要求7所述的系统，其中在所述多个网元中的一个网元(NE3′)处提供所述决策组件(DMC)和所述动作组件(AMC)。

9.  根据权利要求7所述的系统，其中包括在所述多个网元中的各网元(NE1′，NE2′，NE3′，NE4′)处提供所述决策组件(DMC)和所述动作组件(AMC)。

10.  根据权利要求7所述的系统，其中在所述多个网元中的一个网元(NE2″)处提供所述决策组件(DMC)而在所述多个网元中的另一网元(NE3″)处提供所述动作组件(AMC)。

11.  根据权利要求7所述的系统，其中：
-在所述多个网元中的至少两个网元处提供所述决策组件(DMC)，从而形成决策集群；和/或
-在所述多个网元中的另外至少两个网元(NE3″，NE4″)处提供所述动作组件(AMC)，从而形成动作集群(AC)。

12.  根据权利要求7-11中任一项所述的系统，其中所述系统还包括静态关联表和动态关联表中的至少一种关联表，所述静态关联表和所述动态关联表各自均包括多行，所述多行中的每一行均包括安全阈值和与所述安全阈值关联的可能动作，所述决策组件(DMC)适合于通过使用所述静态关联表和所述动态关联表中的所述至少一种关联表来进行所述决策。

说明书

用于通信网络的防入侵方法和系统
技术领域
本发明涉及通信系统领域。具体而言，本发明涉及一种用于通信网络的防入侵方法和系统。
背景技术
正如所知，通信网络包括三个逻辑主平面，即：数据平面，该平面是适合于发送用户数据的平面；控制平面，该平面是适合于执行控制操作的平面；以及管理平面，该平面是适合于执行管理操作的平面。
对通信网络进行管理，提供对诸多操作的执行，这些操作例如：
-监视网络性能；
-配置网元及其资源(板卡、端口、交叉连接等)；
-对网络中出现的错误进行管理；等等。
通常，管理操作由连接到待管理的网络的各网元的称为“网络管理站或者系统”(或者简称为NMS)的装置来执行。
具体而言，NMS具有称为“管理器”的软件应用，该软件应用能够与位于网元处的称为“代理”的软件应用交换信息。管理器和代理通过使用在管理平面中执行并且视通信网络类型而定的管理协议来相互交换管理信息。管理协议的例子有SNMP(简单网络管理协议)、CMIP(公共管理信息协议)、Q3和TL1。
由于控制平面和管理平面所具有的功能，它们特别容易受到所谓“黑客”的攻击。在以下描述中和在权利要求书中，术语“攻击”将表示黑客在通信网络中引入未授权软件和/或以未授权方式操控对通信网络进行管理和控制的管理和控制软件的尝试。可能的攻击类型有：
-DOS(服务拒绝)攻击，这些攻击基本上以导致低效率为目的，这可能造成网元的故障；
-恶意软件复制，这些复制以在网元中打开所谓的“后门”由此有利于未授权访问为目的；以及
-木马、蠕虫、Key Logger和病毒的扩散。
广而言之，数据平面非常安全，因为它不以任何方式与网元的软件应用交互。换而言之，用户数据在数据平面中以透明方式传送，即网元的软件应用并不处理用户数据。
在以下描述中和在权利要求书中，“防入侵机制-系统-方法”这一表述将表示在通信网络中实施并且适合于将受到攻击的一个或者多个网元与网络的其它网元隔离的机制-系统-方法。受到攻击的网元又称为“受感染网元”。
在本领域中已知诸多防入侵机制，例如不对称密码、单向散列函数等。这些已知的防入侵机制通常提供编码/解码密钥，比如通常是人尽皆知的公用编码/解码密钥和保密的私用编码/解码密钥。公用和私用编码/解码密钥彼此相关。具体而言，由公用编码密钥编码的信息只能由对应的私用解码密钥解码，并且反之亦然，由私用编码密钥编码的信息只能由对应的公用解码密钥解码。
发明内容
申请人已经注意到在通信网络领域中希望提供基于web技术的管理系统。这主要归因于如下事实：以这一方式操作的管理系统有利地使得可以使用与诸如Mozilla、Internet Explorer等用于浏览网络的当前计算机程序的图形接口(普遍称为“web浏览器”)相似的管理图形接口。
申请人已经注意到管理系统由此可以通过由NMS执行并且能够支持web式管理图形接口的浏览器来实施，其中将管理信息显示为web接口特有的图形对象，即窗口、图标等。
基于web技术的网络管理系统的使用与“开放源代码”软件的广泛运用一起造成网元脆弱性的增加。因此，基于web技术的管理系统的发展一方面带来通信网络可访问性方面的优点，另一方面又不利地使通信网络并且特别是上文提到的控制平面和管理平面更容易受到“黑客”的攻击。
申请人已经注意到已知的防入侵机制在应用于上述通信网络的管理系统时存在诸多弊端。
首先，从决策的观点来看，它们是被动机制。换而言之，这些机制检测网络内的异常业务(异常业务一般表明通信网络正在受到攻击)，并且它们向操作者发送可视的和/或声音的报警信号。接着，操作者例如通过关闭异常业务中转经过的端口来隔离受感染网元从而停止该业务，并且分析网络从而检测异常的原因。因此，这些机制引起在检测到攻击的时间与通过操作者的干预来隔离受感染网元的时间之间的延迟。然后，不利的是，操作者可能会在损害已经明显扩大时才进行干预。
其次，已知的防入侵机制会占用大量计算资源。
另外，如果例如黑客进入通信网络的管理平面，则他可以改变网元的管理配置。不利的是，现有防入侵机制通过停止全部网元从而也停止用户数据处理来操作。
因此，申请人已经针对提供一种能够克服至少一个上文提到的弊端的用于通信网络的防入侵方法和系统这一问题进行了研究。
具体而言，申请人已经针对提供用于通信网络的如下防入侵方法和系统这一问题进行了研究，该防入侵方法和系统使得在检测到攻击的时间与将受感染网元与其它网元隔离的时间之间的延迟明显减少。
根据第一方面，本发明提供一种用于通信网络的防入侵方法，该通信网络包括多个网元，该方法包括以下步骤：
a)提供与通信网络协作的被动监视组件、决策组件和动作组件；
b)在被动监视组件处，检测表明对多个网元中的至少一个网元的攻击的管理信息，处理该管理信息从而生成感染数据，并且将该感染数据发送到决策组件；
c)在决策组件处，接收感染数据，做出与为了阻止攻击而将进行的动作有关的决策，并且将该决策发送到动作组件；并且
d)在动作组件处，基于该决策来指示至少一个网元执行动作。
优选地，步骤a)包括在多个网元中的各网元处提供被动监视组件。
优选地，步骤a)还包括在多个网元中的一个网元处提供决策组件和动作组件。
取而代之，步骤a)还包括在多个网元中的各网元处提供决策组件和动作组件。
取而代之，步骤a)包括在多个网元中的一个网元处提供决策组件而在多个网元中的另一网元处提供动作组件。
取而代之，步骤a)还包括以下步骤中的至少一个步骤：
-在多个网元中的至少两个网元处提供决策组件，从而形成决策集群；并且
-在多个网元中的另外至少两个网元处提供动作组件，从而形成动作集群。
优选地，步骤c)还包括通过使用静态关联表和动态关联表中的至少一种关联表来进行决策，静态关联表和动态关联表各自均包括多行，多行中的各行包括安全阈值和与安全阈值关联的可能动作。
根据第二方面，本发明提供一种用于通信网络的防入侵系统，该通信网络包括多个网元，该系统包括与通信网络协作的被动监视组件、决策组件和动作组件，其中：
-被动监视组件适合于检测表明对多个网元中的至少一个网元的攻击的管理信息、处理该管理信息从而生成感染数据并且将该感染数据发送到决策组件；
-决策组件适合于接收感染数据、做出与为了阻止攻击而将进行的动作有关的决策并且将该决策发送到动作组件；以及
-动作组件适合于基于该决策来指示至少一个网元执行动作。
优选地，在多个网元中的各网元处提供被动监视组件。
优选地，在多个网元中的一个网元处提供决策组件和动作组件。
取而代之，在多个网元中的各网元处提供决策组件和动作组件。
取而代之，在多个网元中的一个网元处提供决策组件而在多个网元中的另一网元提供动作组件。
取而代之，在多个网元中的至少两个网元处提供决策组件，从而形成决策集群；和/或在多个网元中的另外至少两个网元处提供动作组件，从而形成动作集群。
优选地，该系统还包括静态关联表和动态关联表中的至少一种关联表，静态关联表和动态关联表各自均包括多行，多行中的各行包括安全阈值和与安全阈值关联的可能动作，决策组件适合于通过使用静态关联表和动态关联表中的至少一种关联表来进行决策。
附图说明
通过参照以下附图来阅读下文以举例而非限制的方式给出的具体描述，将更好地理解本发明：
-图1示意地示出了具有根据本发明第一实施例的防入侵系统的通信网络；
-图2和图3分别更具体地示出了图1的通信网络的第一和第二网元的结构；
-图4示意地示出了具有根据本发明第二实施例的防入侵系统的通信网络；
-图5示意地示出了具有根据本发明第三实施例的防入侵系统的通信网络；
-图6和图7分别更具体地示出了图5的通信网络的第一和第二网元的结构；并且
-图8示意地示出了具有根据本发明第四实施例的防入侵系统的通信网络。
具体实施方式
图1示意地示出了具有根据本发明第一实施例的防入侵系统的通信网络CN。
为简单起见，假设通信网络CN包括仅四个网元NE1、NE2、NE3′和NE4。显然，这只是示例性的，因为通信网络CN可以包括任何数目的网元。各网元NE1、NE2、NE3′和NE4包括用于相应数据业务的一个或者多个输入/输出端口。为简单起见，在图1中没有示出输入/输出端口。
优选地，网元NE1、NE2、NE3′和NE4形成同一计算网格G的一部分。正如所知，计算网格使得可以执行分布式应用，即它使得可以在形成网格的所有计算机之间共享对给定应用的执行。换而言之，在形成网格的所有计算机之间共享该应用。优选地，形成网格的计算机借助于称为“中间件”的应用经由网络相互通信。示例计算网格是由Globus Alliance提出的使用中间件Globus的网格。
根据这一实施例，通信网络CN的网元NE1、NE2、NE3′和NE4借助于中间件经由网络相互连接。申请人已经通过使用上文提到的中间件Globus执行了一些有效测试。
优选地，通信网络CN还连接到管理终端MT，该MT被配置成执行浏览模块B并且连接到网格G的任一网元，例如网元NE1。浏览模块B能够支持web式管理图形接口(为简单起见在图中没有示出)。
web式管理图形接口适合于显示图形对象(比如窗口和图标)、与通信网络CN的管理有关的管理信息(即网元NE1、NE2、NE3′和NE4的资源配置参数、网元NE1、NE2、NE3′和NE4的资源性能参数以及由网元NE1、NE2、NE3′和NE4生成的任何报警)。
根据本发明的实施例，计算网格G与防入侵模块AIM和防入侵监视模块AIMM协作。
根据本发明的第一实施例并且参照图2，防入侵模块AIM安装于通信网络CN的一个网元如网元NE3′中。
优选地，防入侵模块AIM包括：被动监视组件PMC、通信组件CC、决策组件DMC和动作组件AMC。
被动监视组件PMC优选地适合于：
-以持续方式本地监视通过网元NE3′的端口的管理信息业务；
-处理这些管理信息以生成可能的感染数据；并且
-将可能的感染数据提供给决策组件DMC。
决策组件DMC优选地适合于：
-接收来自被动监视组件PMC以及通过通信组件CC来自其它网元的可能的感染数据；
-做出(优选实时地做出)与为了阻止可能的攻击而将进行的可能动作有关的决策；并且
-将这样的决策发送到动作组件AMC。
动作组件AMC被配置成基于从决策组件DMC接收的决策来激活最佳阻止动作以保护通信网络。
优选地，决策组件DMC基于一对关联表，即静态关联表和动态关联表来进行决策。
静态关联表由操作者在防入侵模块AIM的配置步骤期间编译，并且它包括多行，每行包括一个安全阈值。优选地，一个安全阈值与防入侵模块AIM的一个相应行为关联。表1提供了静态关联表的例子。
表1

安全阈值 AIM行为 1 DMC决定从通信网络排除受感染网元。 AMC进行对通过关闭受感染网元的各端口而从通信网络排除受感染网元的决策。 CC进行持续监视，从而实时地确定任何攻击发展。

2 DMC决定在受感染网元处执行“良性”代码，从而消除任何感染。 AMC进行对通过限定为临时(ad hoc)的端口将 “良性”代码发送到受感染网元的决策。 CC进行定期监视，从而确定任何攻击发展。例如，每10分钟监视网元一次，并且如果检测到感染扩散则激活更多入侵干预。 3 DMC决定监视受感染网元并且仅在检测到危险发展(例如感染开始在网元的配置文件上传播或者异常开始出现在存储器操作中)时才进行干预。 AMC进行对监视受感染网元的决策。 CC进行定期监视，从而确定任何攻击发展。例如，每小时监视网元一次，并且如果检测到感染扩散则激活更多入侵干预。

反言之，通过使用已知的自动学习技术，基于通信网络CN的先前行为来动态地编辑动态关联表。优选地，将静态关联表和动态关联表实施为一个表，其中以静态方式编辑一些行而动态地编辑其它行。
根据第一实施例，网元NE1、NE2和NE4具有相应的防入侵监视模块AIMM。图3具体地示出了网元NE1、NE2和NE4之一的结构。
如图3中所示，通用网元NEi(i＝1、2、4)的防入侵监视模块AIMM包括级联连接的被动监视组件PMC和通信组件CC。被动监视组件PMC适合于：
-以持续方式本地监视流过网元NEi(i＝1、2、4)的端口的管理信息业务；
-处理这些管理信息以生成可能的感染数据；并且
-借助于通信组件CC将可能的感染数据发送到网元NE3′的决策组件DMC。
因此，通信组件CC适合于使网元NEi(i＝1、2、4)可能地通过计算网格G的其它网元与网元NE3′通信。
现在将参照图1、图2和图3具体地描述根据第一实施例的防入侵系统及其组件的操作。
例如假设网元NE4受到黑客攻击(例如DOS型攻击)。在这一情况下，受感染网元NE4往往例如通过复制管理信息并且在通信网络CN中广播它们以便使网元之间的链路超负荷来攻击通信网络CN的其它网元。
可能出现两种情况。在第一种情况下，网元NE4借助于它的被动监视组件PMC来自主地检测到它已经受到攻击，并且它将此传达到其它网元、特别是网元NE3′。在第二种情况下，网元NE4没有意识到已经受感染。在后一种情况下，通信网络CN的其它网元通过借助于它们相应的被动监视组件PMC监视在网格G上交换的管理信息来检测网元NE4的感染。
在这两种情形中，已经检测到网元NE4处的管理信息业务异常的网元的被动监视组件PMC生成感染数据并且将它们发送到网元NE3′的决策组件DMC。具体而言，如果网元NE3′的被动监视组件PMC检测到感染，则它将感染数据直接地发送到决策组件DMC。反言之，如果任何其它网元的被动监视组件PMC检测到感染，则它通过它的通信组件CC将感染数据发送到决策组件DMC。
基于所接收的感染数据，决策组件DMC做出决策。具体而言，决策组件DMC具有存储于其中的安全阈值，该安全阈值是从上文在表1中列举的安全阈值之中选择。优选地，负责管理通信网络CN的操作者可以基于使用通信网络的客户的需要来设置安全阈值。当决策组件DMC接收到表明网元NE4受到感染的感染数据时，它优选地确定是否已经超过安全阈值并且如果已经超过则选择静态关联表内的先前存储的对应动作。
取而代之，决策组件DMC确定新的安全阈值和新的对应动作并且更新动态关联表。例如，决策组件DMC可以决定关闭管理信息业务所流经的网元NE4的端口并从而对动作模块AMC发出命令。结果是动作模块AMC借助于它的通信组件CC命令端口关闭，从而将受感染网元NE与网络CN隔离。
因此，从决策的观点来看，有利的是，上述防入侵系统是主动的。这有利地使得可以在检测到影响一个或者多个网元的任何感染时基本上实时地作出回应，从而消化攻击对通信网络CN造成的破坏。
因此，上述防入侵系统有利地使在检测到攻击的时间与隔离受感染网元的时间之间的延迟明显减少，因为通信网络CN本身会自动地回应外部攻击而无需操作者的干预。
另外，在通信网络的网元处实施上述防入侵系统。这有利地形成防入侵机制的分散，从而使得可以减少专用于在管理终端MT处实施防入侵机制的计算资源的数量。
根据图4中所示本发明的第二实施例，各网元NE1′、NE2′、NE3′和NE4′具有相应的防入侵模块AIM。具体而言，网元NE1′、NE2′、NE3′和NE4′都具有与图2中所示网元NE3′的结构相似的结构。
然后，根据此第二实施例，各网元NE1′、NE2′、NE3′和NE4′能够独立地管理可能的攻击。换而言之，在有攻击企图的情况下，各网元能够：
-独立并且基本上实时地决定将进行的动作(决策组件DMC)；并且
-进行所决定的动作(动作组件AMC)。
因此，在一个网元的防入侵模块AIM停止运转的情况下，通信网络CN的其它网元有利地继续适合于执行从上述防入侵系统提供的所有操作(监视、决策、动作)。
根据图5至图7中所示本发明的第三实施例，决策功能和动作功能单独地实施于通信网络CN的相应网元中。
例如，各网元NE1、NE4包括与图3中所示防入侵监视模块AIMM相似的相应防入侵监视模块AIMM。
另外，例如网元NE2″包括具有被动监视组件PMC、通信组件CC和决策组件DMC的模块AIM′。
被动监视组件PMC优选地适合于：
-以持续方式本地监视流过网元NE2″的端口的管理信息；
-处理这些管理信息，从而生成可能的感染数据；并且
-将可能的感染数据发送到决策组件DMC。
决策组件DMC优选地适合于：
-接收来自被动监视组件PMC以及借助于通信组件CC来自其它网元的感染数据；
-优选地，实时地做出与为了阻止任何攻击而将进行的可能动作有关的决策；并且
-通过通信组件CC将这样的决策发送到网元NE3″。
另外，例如网元NE3″包括具有被动监视组件PMC、通信组件CC和动作组件AMC的模块AIM″。
被动监视组件PMC优选地适合于：
-以持续方式本地监视流过网元NE3″的端口的管理信息业务；
-处理这些管理信息，从而生成可能的感染数据；并且
-借助于通信组件CC将可能的感染数据发送到网元NE2″。
动作组件AMC优选地适合于：
-从网元NE2″接收决策；并且
-通过通信组件CC将对应的指令发送到其它网元。
因此，根据诸如通信网络CN的拓扑结构、一个或者多个受感染网元的位置等各种标准，决策功能和动作功能有利地可以单独地位于通信网络CN内。
根据本发明的第四实施例，在通信网络CN的下文称为“决策集群”的第一组网元中实施决策功能。除此之外或者取而代之，在下文称为“动作集群”的第二组网元中实施动作功能。
例如，在图8中所示实施例中，在其结构优选地与图6中所示结构相似的网元NE2″实施决策功能。另一方面，在由网元NE3″和NE4″形成的动作集群AC中实施动作功能。网元NE3″和NE4″的结构优选地与图7中所示结构相似。最后，网元NE1仅执行监视功能，因此它具有优选地与图3中所示结构相似的结构。
操作者或者通信网络CN本身可以根据不同标准确定决策集群和/或动作集群的组成，这些标准例如是可用计算资源(网元NE3″和NE4″可以是可用计算资源数量最大的网元)、通信网络CN的拓扑结构、在受感染网元与实施决策功能和动作功能的网元之间的跳数。
另外，在通信网络CN内复制决策功能和/或动作功能使得可以有利地保证即使属于该组的网元之一变得失效仍然继续实施这样的功能。
虽然上述防入侵系统特别地适合于保护通信网络CN免受对控制平面和管理平面的攻击，但是它还可以有利地用来应对对数据平面的攻击。例如，如果黑客不仅成功地访问了流过网元的管理信息而且还将错误值应用于网元的配置参数，则这涉及到在数据平面发生感染，即付费业务发生感染的可能风险。由于这一情形将对通信网络管理器造成的经济性破坏，因此应当对其加以避免。
为了避开这一弊端，本发明的防入侵系统优选地提供如下方案，即在管理平面受到感染的网元通过中断付费业务的发送来对故障进行仿真。以这一方式，通信网络CN的其它网元激活恢复机制，该恢复机制沿着不包括受感染网元的替代路径对付费业务进行重新路由。
因此，同样根据本发明的第二、第三和第四实施例，从决策的观点来看，有利的是，防入侵系统是主动的。这有利地使得可以在检测到对一个或者多个网元的攻击时基本上实时地作出回应，从而防止一个或者多个受感染网元将“感染”发送到其它网元。
因此，上述防入侵系统有利地使在检测到攻击的时间与隔离受感染网元的时间之间的延迟明显减少，因为通信网络CN本身会自动地回应外部攻击而无需操作者的干预。