專利名稱:拒絕服務攻擊保護方法���、拒絕服務攻擊保護系統(tǒng)���、拒絕服務攻擊保護設備、中繼器�����、拒絕服 ...的制作方法
技術領域:
本發(fā)明涉及一種拒絕服務攻擊保護方法�����,該方法用門設備或中繼器設備來保護通信設備使其免受拒絕服務攻擊��,其中門設備插放在構成網絡一部分的中繼器設備與作為拒絕服務攻擊目標的通信設備之間��;本發(fā)明也涉及拒絕服務攻擊保護系統(tǒng)�����、拒絕服務攻擊保護設備、中繼器設備���、拒絕服務攻擊保護程序以及用于該中繼器設備的程序。更具體地講���,本發(fā)明涉及一種拒絕服務攻擊保護方法,該方法能夠很容易在作為保護目標的通信設備上管理正常的條件信息��,該信息表示并不攻擊的非攻擊性分組所對應的條件�;本發(fā)明還涉及拒絕服務攻擊保護系統(tǒng)、拒絕服務攻擊保護設備��、中繼器設備��、拒絕服務攻擊保護程序以及用于該中繼器設備的程序��。
背景技術:
已知在網絡上存在各種攻擊�����,比如拒絕服務攻擊和分布式拒絕服務攻擊(在下文中稱為“DDos攻擊”)�。在用來保護通信設備免受這種DDos攻擊的分布式拒絕服務攻擊保護系統(tǒng)中�,用網關設備或構成網絡的路由器來限制這些分組���,其中網關設備位于作為攻擊目標的通信設備與網絡之間�。更具體地講�,通過網絡被發(fā)送至通信設備的分組分成正常分組和可疑分組或惡意分組,以限制這些分組被發(fā)送至通信設備(例如�,可參看專利文檔1)。
在這種常規(guī)的分布式拒絕服務攻擊保護系統(tǒng)中�����,當網關設備基于之前注冊過的攻擊檢測條件來檢測攻擊時���,產生了可疑的表示分組特征的簽名����,該可疑簽名是作為已經攻擊的一個簽名而被檢測出來的�,并且所產生的可疑簽名被報道至中繼器設備,比如構成網絡的路由器���。
另一方面���,在應用于可疑簽名的諸多分組中���,網關設備基于之前注冊過的正常條件信息來產生正常的用于表示分組特征的簽名,在通信設備上該正常簽名并不被視為進行攻擊的一個簽名���。所產生的正常簽名被報告給中繼器設備��,比如構成網絡的路由器。
基于可疑簽名和正常簽名�,要被中繼器設備和網關設備中繼的分組經歷整形和濾波,其中可疑簽名和正常簽名都報告給該中繼設備���。
這樣����,通過將攻擊性分組的傳遞限制在盡可能靠近攻擊源的位置���,常規(guī)的分布式拒絕服務攻擊保護系統(tǒng)便可盡可能地減小因要攻擊的分組(在下文中稱為“攻擊性分組”)而產生的壞影響���。
專利文檔1日本專利申請?zhí)卦S公開號2003-283554。
發(fā)明內容
本發(fā)明將要解決的問題在常規(guī)的分布式拒絕服務攻擊保護系統(tǒng)中����,在作為保護目標使其免受攻擊的通信設備上表示非攻擊性分組條件的正常條件信息的添加和改變都是受網關設備的操作人員管理的���。因此,正常條件信息的管理變得復雜����。
本發(fā)明已實現(xiàn)基于常規(guī)技術來解決上述問題,并且本發(fā)明的目的在于提供一種拒絕服務攻擊方法�����,該方法能夠很容易在作為保護對象的通信設備上管理正常條件信息�,該信息表示并不攻擊的非攻擊性分組所對應的條件;本發(fā)明的目的還在于提供拒絕服務攻擊保護系統(tǒng)����、拒絕服務攻擊保護設備、中繼器設備�、拒絕服務攻擊保護程序、以及用于該中繼器設備的程序�����。
解決問題的方式為解決上述問題并實現(xiàn)上述目的,用門設備或中繼器設備(該門設備插放在構成網絡一部分的中繼器設備與作為拒絕服務攻擊對象的通信設備之間)保護通信設備免受拒絕服務攻擊的拒絕服務攻擊保護方法包括發(fā)布步驟,其中在網絡上授權設備發(fā)布用于表示非攻擊性分組源地址的授權地址信息;以及限制步驟��,其中門設備基于由授權設備發(fā)布的授權地址信息來限制可能在通信設備上進行攻擊的分組的傳遞。
根據(jù)本發(fā)明�,在網絡上授權設備發(fā)布用于表示非攻擊性分組源地址的授權地址信息,并且門設備基于由授權設備發(fā)布的授權地址信息來限制可能在通信設備上進行攻擊的分組的傳遞��。因此��,可以有效地保護通信設備使其免受拒絕服務攻擊����。
此外,用門設備或中繼器設備(該門設備插放在構成網絡一部分的中繼器設備與作為拒絕服務攻擊對象的通信設備之間)來保護通信設備使其免受拒絕服務攻擊的拒絕服務攻擊保護方法包括授權地址信息獲取步驟�����,其中門設備獲取授權地址信息�,該信息表示由網絡上授權設備發(fā)送過來的非攻擊性分組的源地址�;正常條件信息產生步驟,其中門設備基于在授權地址信息獲取步驟中所獲取的授權地址信息來產生用于表示非攻擊性分組條件的正常條件信息���;以及分組限制步驟�����,其中在從網絡中接收到的分組中門設備會限制可能在通信設備上進行攻擊的分組的傳遞�����,同時允許傳遞與在正常條件信息產生步驟中產生的正常條件信息所表示的條件相匹配的分組����。
根據(jù)本發(fā)明,門設備要求用于表示由網絡上授權設備發(fā)送過來的非攻擊性分組的源地址的授權地址信息����,基于所獲取的授權地址信息來產生用于表示非攻擊性分組條件的正常條件信息,并且在從網絡中接收到的分組中限制可能在通信設備上進行攻擊的分組的傳遞����,同時允許傳遞與在所產生的正常條件信息中所表示的條件相匹配的分組。因此�,可以有效地產生正常條件信息,由此減小了門設備的操作人員管理正常條件信息的負擔���。
此外��,在上述的拒絕服務攻擊保護方法中�,授權地址信息獲取步驟包括地址信息報告步驟�,其中門設備將其自身設備的地址信息報告給中繼器設備��;授權地址信息中繼步驟���,其中當從授權設備中接收授權地址信息時,中繼器設備基于在地址信息報告步驟中所報告的地址信息將授權地址信息轉發(fā)給門設備�����;以及接收步驟����,其中門設備接收授權地址信息。
根據(jù)本發(fā)明�,門設備將其自身設備的地址信息報告給中繼器設備。當從授權設備中接收授權地址信息時�����,中繼器設備基于所報告的地址信息將授權地址信息轉發(fā)給門設備��,并且門設備接收該授權地址信息��。因此����,門設備僅將其自身設備的地址信息報告給中繼器設備,由此獲取授權設備通過中繼器設備發(fā)送過來的授權地址信息�����。
此外���,在上述拒絕服務攻擊保護方法中�,在地址信息報告步驟中�����,向其報告門設備地址信息的中繼器設備將門設備地址信息轉發(fā)給與該中繼器設備相鄰的另一個中繼器設備�;并且在授權地址信息轉發(fā)步驟中,當正在從授權設備中接收授權地址信息時���,另一個中繼器設備基于門設備的地址信息將授權地址信息轉發(fā)給相鄰的中繼器設備或門設備����。
根據(jù)本發(fā)明����,向其報告門設備地址信息的中繼器設備將門設備地址信息轉發(fā)給與該中繼器設備相鄰的另一個中繼器。當正在從授權設備中接收授權地址信息時����,另一個中繼器設備基于門設備的地址信息將授權地址信息轉發(fā)給相鄰的中繼器設備或門設備��。因此���,在通過必要的中繼器設備的同時,可以有效地將授權地址信息轉發(fā)給門設備�。
此外,在上述的拒絕服務攻擊保護方法中�����,授權地址信息獲取步驟包括授權地址信息存儲步驟��,其中綜合性地管理著授權地址信息的授權地址信息提供設備從各個授權設備中接收授權地址信息�,并將其存儲;授權地址信息報告步驟���,其中當從門設備中接收授權地址信息的傳輸請求時��,授權地址信息提供設備將被請求傳輸?shù)氖跈嗟刂沸畔蟾娼o門設備�����;以及接收步驟��,其中門設備接收授權地址信息���。
根據(jù)本發(fā)明,用來綜合性地管理授權地址信息的授權地址信息提供設備先前從各個授權設備中接收授權地址信息���,并將其存儲�。當正在從門設備中接收授權地址信息的傳輸請求時����,授權地址信息提供設備將請求傳輸?shù)氖跈嗟刂沸畔蟾娼o門設備,并且該門設備接收授權地址信息���。因此����,無論何時只要需要�,該門設備都可以從授權地址信息提供設備中獲取授權地址信息,而無需之前先報告自身設備的地址信息����。
此外,在上述拒絕服務攻擊保護方法中��,在授權地址信息獲取步驟中,門設備獲取由發(fā)布地址的地址發(fā)布設備或被授權的通信設備發(fā)送過來的授權地址信息���。
根據(jù)本發(fā)明�����,用來發(fā)布地址的地址發(fā)布設備或經授權過的通信設備都被視為在網絡上提供的授權設備�����,并且該門設備獲取從授權設備之一中發(fā)送過來的授權地址信息�。因此�����,基于從授權設備中接收到的正確的授權地址信息可以產生正常的條件信息����,由此免受惡意攻擊。
此外�,上述拒絕服務攻擊保護方法還包括攻擊檢測步驟,其中門設備檢測從網絡中接收到的分組所執(zhí)行的攻擊��;可疑簽名產生步驟,其中門設備產生用于表示分組特征的可疑簽名�����,以作為已經攻擊的一個簽名��,該可疑簽名是在攻擊檢測步驟中檢測的��;正常條件信息存儲步驟���,其中門設備將在正常條件信息產生步驟中產生的正常條件信息存儲在正常條件信息存儲單元中;以及正常簽名產生步驟�,其中門設備在應用于可疑簽名產生步驟中產生的可疑簽名的諸多分組中,產生用于表示分組特征的正常簽名��,該正常簽名與正常條件信息所表示的條件相匹配���,其中在分組限制步驟中�,基于在可疑簽名產生步驟中產生的可疑簽名以及在正常簽名產生步驟中產生的正常簽名��,門設備限制傳遞從網絡中接收到的分組���。
根據(jù)本發(fā)明����,門設備檢測由從網絡中接收到的分組執(zhí)行的攻擊;產生可疑簽名���,該可疑簽名表示作為已經攻擊的一個分組而被檢測出的那個分組的特征��;將正常條件信息存儲在正常條件信息存儲單元中�����;在應用于可疑簽名的諸多分組中產生正常簽名�,該正常簽名表示與正常條件信息中所示的條件相匹配的分組的特征�����;并且基于所產生的可疑簽名和正常簽名來限制從網絡中接收到的分組的傳遞�。因此,在使用像可疑簽名和正常簽名這樣的常規(guī)指示符的同時還可以有效地限制攻擊性分組的傳遞��。
此外���,上述拒絕服務攻擊保護方法還包括簽名報告步驟���,其中門設備向中繼器設備報告在可疑簽名產生步驟中產生的可疑簽名以及在正常簽名產生步驟中產生的正常簽名�����;以及分組限制控制步驟�����,其中中繼器設備基于在簽名報告步驟中所報告的可疑簽名和正常簽名控制著對分組傳輸?shù)南拗啤?br>
根據(jù)本發(fā)明,門設備向中繼器設備報告可疑簽名和正常簽名�����,并且中繼器設備基于所報告的可疑簽名和正常簽名控制著對分組傳輸?shù)目刂?�。因此�����,中繼器設備也可以有效地限制攻擊性分組的傳輸�����。
此外�,使用門設備或中繼器設備(該門設備插放在構成網絡一部分的中繼器設備與作為拒絕服務攻擊對象的通信設備之間)來保護通信設備使其免受拒絕服務攻擊的拒絕服務攻擊保護方法包括攻擊檢測步驟,其中門設備檢測由從網絡中接收到的分組執(zhí)行的攻擊���;授權地址信息獲取步驟���,其中����,當在攻擊檢測步驟中檢測到通信設備上的攻擊時�����,門設備從中繼器設備中獲取授權地址信息��,授權地址信息表示從網絡上的授權設備中接收到的非攻擊性分組的源地址����;以及傳遞控制步驟,其中門設備基于表示非攻擊性分組條件的正常條件信息控制著分組的傳遞�����,該正常條件信息是從中繼器設備中接收到的授權地址信息里產生的�����。
根據(jù)本發(fā)明���,門設備檢測由從網絡中接收到的分組執(zhí)行的攻擊�����。當確認對通信設備上的攻擊時���,門設備從中繼器設備中獲取授權地址信息����,該授權地址信息表示從網絡上授權設備中接收到的非攻擊性分組的源地址���;并且基于表示非攻擊性分組條件的正常條件信息控制分組的傳遞,該正常條件信息產生于從中繼器設備中接收到的授權地址信息�����。因此�,各個中繼器設備所持有的授權地址信息可以自動被發(fā)送到已檢測到攻擊的門設備。此外���,當添加或更新并不通過網絡進行攻擊的非攻擊性分組的源地址時�����,正常條件信息可以僅被注冊到所要求的門設備中而無需浪費�。此外,當門設備被添加到網絡上時�����,必要的正常條件信息量可以被注冊到所添加的門設備中而無需任何浪費�。
此外,上述拒絕服務攻擊保護方法還包括可疑簽名產生步驟����,其中門設備產生可疑簽名,該可疑簽名表示作為已攻擊的一個分組的那個分組的特征并在攻擊檢測步驟中被檢測��,其中在授權地址信息獲取步驟中�,門設備向中繼器設備傳輸在可疑簽名產生步驟中產生的可疑簽名,并獲取作為該傳輸?shù)捻憫匕l(fā)送的授權地址信息��。
根據(jù)本發(fā)明���,門設備產生可疑簽名���,該可疑簽名表示作為已經攻擊的一個分組而被檢測到的那個分組的特征;將所產生的可疑簽名傳輸?shù)街欣^器設備��;并且獲取作為對該傳輸?shù)捻憫匕l(fā)送的授權地址信息。因此�,所要求的門設備可以在傳輸可疑簽名的同時有效地獲取授權地址信息。
此外���,在上述拒絕服務攻擊保護方法中��,傳遞控制步驟包括正常條件信息產生步驟����,該步驟基于在授權地址信息獲取步驟中獲取的授權地址信息來產生用于表示非攻擊性分組條件的正常條件信息�����;以及分組限制步驟�����,該步驟在從網絡中接收到的諸多分組中限制可能在通信設備上進行攻擊的分組的傳遞����,同時允許傳遞與在正常條件信息產生步驟中產生的正常條件信息所示的條件相匹配的分組�。
根據(jù)本發(fā)明,表示非攻擊性分組條件的正常條件信息是基于所獲取的授權地址信息而產生的����;并且在從網絡中接收到的諸多分組中限制傳遞可能在通信設備上進行攻擊的分組�,同時允許傳遞與所產生的正常條件信息所示的條件相匹配的分組��。因此���,可以基于從授權地址信息中產生的正常條件信息來執(zhí)行正常分組的傳遞控制�����。
此外�,上述拒絕服務攻擊保護方法還包括產生正常簽名的正常簽名產生步驟��,該正常簽名表示與正常條件信息產生步驟中產生的正常條件信息所示的條件相匹配的分組的特征����,其中在分組限制步驟中,基于在可疑簽名產生步驟中產生的可疑簽名以及在正常簽名產生步驟中產生的正常簽名來限制從網絡中接收到的分組的傳遞����。
根據(jù)本發(fā)明,在應用于可疑簽名的諸多分組中����,產生了正常簽名���,該正常簽名表示與所產生的正常條件信息所示的條件相匹配的分組的特征;并且基于所產生的可疑簽名和正常簽名來限制從網絡中接收到的分組的傳遞�����。因此�����,使用像可疑簽名和正常簽名這樣的指示符便可以有效地控制分組的傳遞�����。
此外�����,上述拒絕服務攻擊保護方法還包括簽名轉發(fā)步驟�,其中門設備將在正常簽名產生步驟中產生的正常簽名轉發(fā)給中繼器設備�。
根據(jù)本發(fā)明,門設備將所產生的正常簽名轉移給中繼器設備��。因此��,不僅在門設備中而且在中繼器設備中都可以有效地控制分組的傳遞。
此外�,拒絕服務攻擊保護系統(tǒng)用門設備或中繼器設備來保護通信設備使其免受拒絕服務攻擊,該門設備插放在構成網絡一部分的中繼器設備與作為拒絕服務攻擊對象的通信設備之間�。門設備包括用來獲取授權地址信息的授權地址信息獲取單元,該授權地址信息表示由網絡上授權設備發(fā)送過來的非攻擊性分組的源地址�;正常條件信息產生單元,該單元基于授權地址信息獲取單元所獲取的授權地址信息來產生用于表示非攻擊性分組的條件的正常條件信息�;以及分組限制單元,該單元在從網絡中接收到諸多分組中限制可能在通信設備上進行攻擊的分組的傳遞��,同時允許傳遞與由正常條件信息產生單元產生的正常條件信息所示的條件相匹配的分組����。
根據(jù)本發(fā)明,門設備獲取授權地址信息�����,該信息表示非攻擊性分組的源地址并從網絡上授權設備中發(fā)送過來�。然后�,門設備基于所獲取的授權地址信息來產生用于表示非攻擊性分組的條件的正常條件信息,并且在從網絡中接收到的諸多分組中限制傳遞可能在通信設備上進行攻擊的分組��,同時允許傳遞與所產生的正常條件信息中所示的條件相匹配的分組。因此�,可以有效地產生正常條件信息。
此外���,拒絕服務攻擊保護系統(tǒng)用門設備或中繼器設備來保護通信設備使其免受拒絕服務攻擊���,門設備插放在構成網絡一部分的中繼器設備與作為拒絕服務攻擊對象的通信設備之間。該門設備包括攻擊檢測單元����,該單元檢測由從網絡中接收到的分組執(zhí)行的攻擊;授權地址信息獲取單元���,當通信設備上的攻擊被攻擊檢測單元檢測時����,該單元從中繼器設備中獲取授權地址信息�,該授權地址信息表示從網絡上授權設備中接收到的非攻擊性分組的源地址;以及傳遞控制單元�����,該單元基于表示非攻擊性分組的條件的正常條件信息來控制分組的傳遞����,該正常條件信息是從中繼器設備中接收到的授權地址信息中產生出來的。
根據(jù)本發(fā)明�����,門設備檢測由從網絡中接收到的分組執(zhí)行的攻擊����。當攻擊被校驗時,門設備從中繼器設備中獲取授權地址信息�����,授權地址信息表示從網絡上授權設備中接收到的非攻擊性分組的源地址��;并且基于表示非攻擊性分組條件的正常條件信息控制著分組的傳遞�����,該正常條件信息產生于從中繼器設備中接收到的授權地址信息���。因此��,由中繼器設備所持有的授權地址信息可疑自動地被發(fā)送到已檢測到攻擊的門設備����。此外,當添加或更新并不通過網絡進行攻擊的分組的源地址時��,正常條件信息可以只被注冊到所要求的門設備中而無需任何浪費�����。此外�����,當門設備被添加到網絡上時�����,必要的正常條件信息量可以被注冊到所添加的門設備中而無需任何浪費��。
此外�����,用來保護通信設備使其免受拒絕服務攻擊的門設備插放在構成網絡一部分的中繼器設備與作為拒絕服務攻擊對象的通信設備之間����,該門設備包括攻擊檢測單元�����,該單元檢測由從網絡上接收到的分組執(zhí)行的攻擊;授權地址信息獲取單元�����,該單元在當通信設備上的攻擊被攻擊檢測單元檢測到時便從中繼器設備中獲取授權地址信息�,該授權地址信息表明從網絡上授權設備中接收到的非攻擊性分組的源地址;以及傳遞控制單元���,該單元基于表示非攻擊性分組條件的正常條件信息來控制分組的傳遞���,該正常條件信息是從中繼器設備中接收到的授權地址信息中產生的。
根據(jù)本發(fā)明���,門設備獲取授權地址信息�����,該信息表示非攻擊性分組的源地址并且是從網絡上授權設備中發(fā)送過來的���。然后�,門設備基于所獲取的授權地址信息來產生表示非攻擊性分組條件的正常條件信息���,并且在從網絡中接收到的諸多分組中限制可能在通信設備上進行攻擊的分組的傳遞�����,同時允許傳遞與所產生的正常條件信息中所示的條件相匹配的分組�����。因此�,可以有效地產生正常條件信息���。
此外���,在上述門設備中,授權地址信息獲取單元包括地址信息報告單元���,該單元向中繼器設備報告其自身設備的地址信息��;以及接收單元��,該單元接收來自于授權設備的授權地址信息���,該信息是由中繼器設備往回發(fā)送的���,以作為對地址信息報告單元所報告的自身設備的地址信息的響應。
根據(jù)本發(fā)明�,門設備向中繼器設備報告其自身設備的地址信息,并從授權設備中接收授權地址信息����,該信息是從中繼器設備中返回的���,以作為對所報告的自身設備的地址信息的響應�。因此���,門設備僅向中繼器設備報告其自身設備的地址信息��,由此獲取授權設備通過中繼器設備發(fā)送過來的授權地址信息���。
此外,在上述門設備中�,授權地址信息獲取單元包括授權地址信息傳輸請求單元,該單元將授權地址信息的傳輸請求發(fā)送到用來綜合性地管理授權地址信息的授權地址信息提供設備�����,以及接收單元,該單元接收往回發(fā)送的授權地址信息����,以作為對授權地址信息的傳輸請求的響應。
根據(jù)本發(fā)明��,門設備將授權地址信息的傳輸請求發(fā)布給用來綜合性地管理授權地址信息的授權地址信息提供設備��,并接收為響應于授權地址信息的傳輸請求而返回的授權地址信息��。因此���,無論何時需要��,門設備都可以從授權地址信息提供設備中獲取授權地址信息����,而無需之前向其報告自身設備的地址信息��。
此外��,用來保護通信設備使其免受拒絕服務攻擊的門設備插放在構成無論一部分的中繼器設備與作為拒絕服務攻擊對象的通信設備之間,該門設備包括攻擊檢測單元��,該單元檢測由從網絡上接收到的分組執(zhí)行的攻擊�����;授權地址信息獲取單元�,該單元在當通信設備上的攻擊被攻擊檢測單元檢測時便從中繼器設備中獲取授權地址信息,該授權地址信息表示從網絡上授權設備中接收到的非攻擊性分組的源地址���;以及傳遞控制單元��,該單元基于表示非攻擊性分組條件的正常條件信息來控制分組的傳遞,該正常條件信息產生于從中繼器設備中接收到的授權地址信息�����。
根據(jù)本發(fā)明�����,門設備檢測由從網絡中接收到的分組執(zhí)行的攻擊�����。當通信設備上的攻擊被校驗時����,門設備從中繼器設備中獲取授權地址信息�����,授權地址信息表示從網絡上授權設備中接收到的非攻擊性分組的源地址����;并基于表示非攻擊性分組條件的正常條件信息來控制分組的傳遞��,該正常條件信息產生于從中繼器設備中接收到的授權地址信息�����。因此��,門設備可以自動地獲取各個中繼器設備所持有的授權地址信息以響應于該攻擊的檢測���。因此����,當添加或更新并不通過網絡進行攻擊的非攻擊性分組的源地址時�����,正常條件信息可以只被注冊到所要求的門設備中而無需任何浪費。此外�,當門設備被添加到網絡時,必要的正常條件信息量可以被注冊到所添加的門設備中而無需任何浪費��。
此外��,上述門設備還包括可疑簽名產生單元����,該單元產生可疑簽名,可疑簽名表示作為已攻擊的一個分組的那個分組的特征�,該可疑簽名是由攻擊檢測單元來檢測的。授權地址信息獲取單元將可疑簽名產生單元所產生的可疑簽名傳輸?shù)街欣^器設備��,并獲取響應于該傳輸而往回發(fā)送的授權地址信息�。
根據(jù)本發(fā)明���,門設備產生可疑簽名����,該可疑簽名表示作為已攻擊的一個分組而被檢測的那個分組的特征�;將所產生的可疑簽名發(fā)送到中繼器設備;并獲取響應于該傳輸而往回發(fā)送的授權地址信息。因此�����,所要求的門設備在傳輸可疑簽名的同時可以有效地獲取授權地址信息���。
此外�����,在上述門設備中�����,傳遞控制單元包括正常條件信息產生單元�,該單元基于授權地址信息獲取單元所獲取的授權地址信息來產生表示非攻擊性分組條件的正常條件信息�����;以及分組限制單元���,該單元在從網絡中接收到的諸多分組中限制可能在通信設備上進行攻擊的分組的傳遞���,同時允許傳遞與正常條件信息產生單元所產生的正常條件信息中所示的條件相匹配的分組�����。
根據(jù)本發(fā)明����,基于所獲取的授權地址信息來產生表示非攻擊性分組條件的正常條件信息����,并且在從網絡中接收到的諸多分組中限制可能在通信設備上進行攻擊的分組的傳遞,同時允許傳遞與所產生的正常條件信息中所示的條件相匹配的分組�����。因此�����,基于授權地址信息中所產生的正常條件信息便可以執(zhí)行正常分組的傳遞控制����。
此外��,連接到用來保護作為拒絕服務攻擊對象的通信設備的門設備和/或連接到用來構成網絡的一個或多個中繼器設備的中繼器設備包括地址信息獲取單元�����,該單元獲取門設備的地址信息;以及授權地址信息中繼單元�,當正在接收用于表示由網絡上授權設備發(fā)送過來的非攻擊性分組的源地址的授權地址信息時,該單元基于地址信息獲取單元所獲取的地址信息來將授權地址信息轉發(fā)至門設備或另一個相鄰的中繼器設備�。根據(jù)本發(fā)明,中繼器設備之前獲取了門設備的地址信息�。當正在接收用于表示由網絡上授權設備發(fā)送過來的非攻擊性分組的源地址的授權地址信息時,中繼器設備基于所獲取的地址信息將授權地址信息報告給門設備或另一個相鄰的中繼器設備�。因此,可以有效地將授權地址信息報告給門設備�����。
此外��,連接到用來保護作為拒絕服務攻擊對象的通信設備的門設備��、和/或連接到構成網絡的一個或多個中繼器設備的中繼器設備包括授權地址信息存儲單元���,該單元存儲授權地址信息�,該信息表示從網絡上授權設備中接收到的非攻擊性分組的源地址��;以及轉移單元�����,當門設備檢測通信設備上的攻擊時,該單元會轉移存儲在授權地址信息存儲單元中的授權地址信息���。
根據(jù)本發(fā)明�,用于表示從網絡上授權設備中接收到的非攻擊性分組的源地址的授權地址信息被存儲�。當通信設備上的攻擊被門設備檢測時,所存儲的授權地址信息被轉移至已檢測到攻擊的門設備���。因此�,由各個中繼器設備所持有的授權地址信息可以自動地被發(fā)送到已檢測到攻擊的門設備�。此外,當添加或更新并不通過網絡進行攻擊的非攻擊性分組的源地址時����,正常條件信息可以只被注冊到所要求的門設備中而無需任何浪費。此外����,當門設備被添加到網絡時,必要的正常條件信息量可以被注冊到所添加的門設備中而無需任何浪費����。
一種計算機程序使門設備保護通信設備免受拒絕服務攻擊,該門設備插放在構成網絡一部分的中繼器設備與作為拒絕服務攻擊對象的通信設備之間�����,該計算機程序使門設備執(zhí)行攻擊檢測步驟�,該步驟檢測由從網絡中接收到的分組執(zhí)行的攻擊;授權地址信息獲取步驟����,該步驟在當通信設備上的攻擊在攻擊檢測步驟中被檢測時從中繼器設備中獲取授權地址信息,授權地址信息表示從網絡上授權設備中接收到的非攻擊性分組的源地址�����;以及傳遞控制步驟���,該步驟基于表示非攻擊性分組條件的正常條件信息來控制分組的傳遞��,該正常條件信息產生于從中繼器設備中接收到的授權地址信息���。
根據(jù)本發(fā)明,門設備獲取授權地址信息���,該信息表示非攻擊性分組的源地址并從網絡上授權設備中發(fā)送過來�。然后,門設備基于所獲取的授權地址信息來產生用于表示非攻擊性分組條件的正常條件信息���,并且在從網絡中接收到的諸多分組中限制可能在通信設備上進行攻擊的分組的傳遞����,同時允許傳遞與所產生的正常條件信息中所示的條件相匹配的分組���。因此���,可以有效地產生正常條件信息。
在上述計算機可讀記錄媒體中����,授權地址信息獲取步驟包括地址信息報告步驟,該步驟向中繼器設備報告其自身設備的地址信息���;以及接收步驟����,該步驟接收為響應于在地址信息報告步驟中所報告的自身設備的地址信息而由中繼器設備往回發(fā)送的����、來自于授權設備的授權地址信息����。
根據(jù)本發(fā)明�����,門設備向中繼器設備報告其自身設備的地址信息����,并接收來自于授權設備的����、為響應于所報告的自身設備的地址信息而從中繼器設備中返回的授權地址信息。因此��,門設備僅向中繼器設備報告其自身設備的地址信息�����,由此獲取授權設備通過中繼器設備而發(fā)送過來的授權地址信息�。
在上述計算機程序中,授權地址信息獲取步驟包括授權地址信息傳輸請求步驟��,該步驟將授權地址信息的傳輸請求發(fā)送到用來綜合性地管理授權地址信息的授權地址信息提供設備;以及接收步驟����,該步驟接收為響應于授權地址信息傳輸請求而往回發(fā)送的授權地址信息。
根據(jù)本發(fā)明����,門設備將授權地址信息傳輸請求發(fā)布給用來綜合性地管理授權地址信息的授權地址信息提供設備,并接收為響應于授權地址信息的傳輸請求而返回的授權地址信息����。由此,無論何時需要�,門設備都可以從授權地址信息提供設備中獲取授權地址信息,而無需之前向其報告自身設備的地址信息�。
一種計算機程序使門設備保護通信設備使其免受拒絕服務攻擊,該門設備插放在構成網絡一部分的中繼器設備與作為拒絕服務攻擊對象的通信設備之間���,計算機程序使門設備執(zhí)行攻擊檢測步驟��,該步驟檢測由從網絡中接收到的分組執(zhí)行的攻擊����;授權地址信息獲取步驟��,該步驟在當攻擊在攻擊檢測步驟中被檢測時便獲取來自于中繼器設備的授權地址信息,該授權地址信息表示從網絡上授權設備中接收到的非攻擊性分組的源地址�����;以及傳遞控制步驟�����,該步驟基于表示非攻擊性分組條件的正常條件信息來控制分組的傳遞�����,該正常條件信息產生于從中繼器設備中接收到的授權地址信息����。
根據(jù)本發(fā)明��,門設備檢測由從網絡中接收到的分組執(zhí)行的攻擊�。當通信設備上的攻擊被校驗時,門設備從中繼器設備中獲取授權地址信息��,該授權地址信息表示從網絡上授權設備中接收到的非攻擊性分組的源地址����;并基于表示非攻擊性分組條件的正常條件信息來控制分組的傳遞,該正常條件信息產生于從中繼器設備中接收到的授權地址信息。因此���,門設備可以自動地獲取各個中繼器設備所持有的授權地址信息���,以作為對攻擊檢測的響應。因此����,當添加或更新并不通過網絡進行攻擊的非攻擊性分組的源地址時,正常條件信息可以只注冊到所要求的門設備中而無需任何浪費��。此外�����,當門設備被添加到網絡時��,必要的正常條件信息量可以被注冊到門設備中而無需任何浪費��。
在上述計算機程序中����,計算機程序還使門設備執(zhí)行可疑簽名產生步驟,該步驟產生可疑簽名,該可疑簽名表示作為已攻擊的一個分組的那個分組的特征,該可疑簽名是由攻擊檢測單元來檢測的���。授權地址信息獲取步驟包括�����;將在可疑簽名產生步驟中產生的可疑簽名傳輸?shù)街欣^器設備��,并且獲取為響應該傳輸而往回發(fā)送的授權地址信息�。
根據(jù)本發(fā)明����,門設備產生可疑簽名,該可疑簽名表示作為已攻擊的一個分組而被檢測的那個分組的特征�����;將所產生的可疑簽名傳輸?shù)街欣^器設備����;并且獲取為響應該傳輸往回發(fā)送的授權地址信息���。因此��,所要求的門設備在傳輸可疑簽名的同時還可以有效地獲取授權地址信息�。
在上述計算機程序中,傳遞控制步驟包括正常條件信息產生步驟��,該步驟基于在授權地址信息獲取步驟中獲取的授權地址信息來產生用于表示非攻擊性分組條件的正常條件信息�����;分組限制步驟�����,該步驟在從網絡中接收到的諸多分組中限制可能在通信設備上進行攻擊的分組的傳遞��,同時允許傳遞與在正常條件信息產生步驟中所產生的正常條件信息中所示的條件相匹配的分組�。
根據(jù)本發(fā)明,基于所獲取的授權地址信息來產生用于表示非攻擊性分組條件的正常條件信息��,并且在從網絡中接收到的諸多分組中限制可能在通信設備上進行攻擊的分組的傳遞����,同時允許傳遞與所產生的正常條件信息中所示的條件相匹配的分組。因此��,基于從授權地址信息中產生的正常條件信息便可以執(zhí)行正常分組的傳遞控制�。
一種計算機程序使連接到門設備的中繼器設備和/或連接到構成網絡的一個或多個中繼器設備保護作為拒絕服務攻擊對象的通信設備,該計算機程序使中繼器設備執(zhí)行地址信息獲取步驟�����,該步驟獲取門設備的地址信息;以及授權地址信息中繼步驟�����,當正在接收用于表示由網絡上授權設備發(fā)送過來的非攻擊性分組的源地址的授權地址信息時�����,該步驟基于在地址信息獲取步驟中獲取的地址信息將授權地址信息轉發(fā)至門設備或另一個相鄰的中繼器設備���。
根據(jù)本發(fā)明�����,中繼器設備之前獲取門設備的地址信息����。當正在接收用于表示由網絡上授權設備發(fā)送過來的非攻擊性分組的源地址的授權地址信息時���,中繼器設備基于所獲取的地址信息將授權地址信息報告給門設備或另一個相鄰的中繼器設備。因此����,授權地址信息可以有效地被報告給門設備�����。
一種計算機程序使連接到門設備的中繼器設備和/或連接到構成網絡的一個或多個中繼器設備保護作為拒絕服務攻擊對象的通信設備����,計算機程序使中繼器設備執(zhí)行授權地址信息存儲步驟�����,該步驟存儲用于表示從網絡上授權設備中接收到的非攻擊性分組的源地址的授權地址信息��;以及轉移步驟���,該步驟在當門設備檢測通信設備上的攻擊時將在授權地址信息存儲步驟中存儲的授權地址信息轉移���。
根據(jù)本發(fā)明,表示非攻擊性分組的源地址的���、從網絡上授權設備中接收到的授權地址信息被存儲��。當通信設備上的攻擊被門設備檢測時�����,所存儲的授權地址信息被轉移至已檢測到攻擊的門設備��。因此����,各個中繼器設備所持有的授權地址信息可以自動地被發(fā)送到已檢測到攻擊的門設備。此外����,當添加或更新并不通過網絡進行攻擊的非攻擊性分組的源地址時,正常條件信息可以僅被注冊到所要求的門設備中而無需任何浪費�����。此外�����,當門設備被添加到網絡時�����,必要的正常條件信息量可以被注冊到所添加的門設備中而無需任何浪費�。
本發(fā)明的效果根據(jù)本發(fā)明,網絡上授權設備發(fā)布表示非攻擊性分組的源地址的授權地址信息�����,并且該門設備基于授權設備所發(fā)布的授權地址信息來限制可能在通信設備上進行攻擊的分組的傳遞�����。因此���,可以有效地保護通信設備使其免受拒絕服務攻擊���。
根據(jù)本發(fā)明,門設備獲取用于表明由網絡上授權設備發(fā)送過來的非攻擊性分組的源地址的授權地址信息�����,基于所獲取的授權地址信息來產生用于表示非攻擊性分組條件的正常條件信息��,并且在從網絡中接收到的諸多分組中限制可能在通信設備上進行攻擊的分組的傳遞��,同時允許傳遞與所產生的正常條件信息中所示的條件相匹配的分組����。因此��,可以有效地產生正常條件信息��,因此減小了門設備操作人員管理正常條件信息的負擔�����。
根據(jù)本發(fā)明����,門設備向中繼器設備報告其自身設備的地址信息����。當正在從授權設備中接收授權地址信息時,中繼器設備基于所報告的地址信息將授權地址信息轉發(fā)給門設備�,并且門設備接收授權地址信息。因此�����,門設備僅向中繼器設備報告其自身設備的地址信息���,由此獲取了授權設備通過中繼器設備發(fā)送過來的授權地址信息����。
根據(jù)本發(fā)明�����,向其報告門設備的地址信息的中繼器設備將門設備的地址信息轉發(fā)給與該中繼器設備相鄰的另一個中繼器設備��。當正在從授權設備中接收授權地址信息時��,另一個中繼器設備基于門設備的地址信息將授權地址信息轉發(fā)給相鄰的中繼器設備或門設備����。因此,授權地址信息可以在通過必要的中繼器設備的同時有效地被轉發(fā)給門設備�。
根據(jù)本發(fā)明,用來綜合性地管理授權地址信息的授權地址信息提供設備之前從各個授權設備中接收授權地址信息����,并將其存儲。當正在從門設備中接收授權地址信息的傳輸請求時����,授權地址信息提供設備向門設備報告被請求將其傳輸?shù)氖跈嗟刂沸畔ⅲ⑶议T設備接收授權地址信息��。因此,無論何時需要�����,門設備都可以從授權地址信息提供設備中獲取授權地址信息����,而無需之前報告自身設備的地址信息。
根據(jù)本發(fā)明�,用來發(fā)布地址的地址發(fā)布設備或被授權的通信設備都被視為在網絡上提供的授權設備,并且門設備獲取從授權設備之一中發(fā)送過來的授權地址信息�����。因此����,基于從授權設備中接收到的正確的授權地址信息便可以產生正常條件信息,由此免受惡意攻擊�����。
根據(jù)本發(fā)明���,門設備檢測由從網絡中接收到的分組執(zhí)行的攻擊�����;產生可疑簽名�����,該可疑簽名表示作為已攻擊的一個分組而被檢測的那個分組的特征��;將正常條件信息存儲在正常條件信息存儲單元中�;在應用于可疑簽名的諸多分組中產生正常簽名����,該正常簽名表示與正常條件信息中所示的條件相匹配的分組的特征;基于所產生的可疑簽名和正常簽名限制從網絡中接收到的分組的傳遞�����。因此��,在使用像可疑簽名和正常簽名這樣的常規(guī)指示符的同時還可以有效地限制攻擊性分組的傳遞���。
根據(jù)本發(fā)明����,門設備向中繼器設備報告可疑簽名和正常簽名,并且中繼器設備基于所報告的可疑簽名和正常簽名控制著對分組傳遞的限制�。因此,中繼器設備也可以有效地限制攻擊性分組的傳遞����。
根據(jù)本發(fā)明,中繼器設備之前獲取門設備的地址信息�����。當正在接收用于表示由網絡上授權設備發(fā)送過來的非攻擊性分組的源地址的授權地址信息時��,中繼器設備基于所獲取的地址信息將授權地址信息報告給門設備或另一個相鄰的中繼器設備�。因此授權地址信息可以有效地被報告給門設備。
根據(jù)本發(fā)明�����,門設備檢測由從網絡中接收到的分組執(zhí)行的攻擊��。當通信設備上的攻擊被校驗時��,門設備從中繼器設備中獲取授權地址信息���,授權地址信息表示從網絡上授權設備中接收到的非攻擊性分組的源地址��;并且基于表示非攻擊性分組條件的正常條件信息來控制分組的傳遞����,該正常條件信息產生于從中繼器設備中接收到的授權地址信息。因此�,由各個中繼器設備所持有的授權地址信息可以自動地被發(fā)送到已檢測到攻擊的門設備。此外�����,當添加或更新并不通過無論進行攻擊的非攻擊性分組的源地址時�����,正常條件信息可以僅被注冊到所要求的門設備中而無需任何浪費�。此外�����,當門設備被添加到網絡上時�,必要的正常條件信息量可以被注冊到所添加的門設備中而無需任何浪費。
根據(jù)本發(fā)明�,門設備產生可疑簽名,該可疑簽名表示作為已攻擊的一個分組而被檢測到的那個分組的特征�����;將所產生的可疑簽名傳輸?shù)街欣^器設備;并且獲取為響應該傳輸而往回發(fā)送的授權地址信息�。因此,所要求的門設備在傳輸可疑簽名的同時還可以有效地獲取授權地址信息�����。
根據(jù)本發(fā)明���,基于所獲取的授權地址信息來產生用于表示非攻擊性分組的條件的正常條件信息�����,在從網絡中接收到的諸多分組中限制可能在通信設備上進行攻擊的分組的傳遞��,同時允許傳遞與所產生的正常條件信息中所示的條件相匹配的分組��。因此����,基于從授權地址信息中產生的正常條件信息便可以執(zhí)行正常分組的傳遞控制�。
根據(jù)本發(fā)明,在應用于可疑簽名的諸多分組中產生了正常簽名,該正常簽名表示與正常條件信息中所示的條件相匹配的分組的特征��;基于所產生的可疑簽名和正常簽名來限制從網絡中接收到的分組的傳遞���。因此���,使用像可疑簽名和正常簽名這樣的指示符可以有效地控制分組的傳遞。
根據(jù)本發(fā)明�����,門設備將所產生的正常簽名轉移至中繼器設備��。因此���,不僅在門設備中也在中繼器設備中都可以有效地控制分組的傳遞。
根據(jù)本發(fā)明���,用于表示從網絡上授權設備中接收到的非攻擊性分組的源地址的授權地址信息被存儲����。當通信設備上的攻擊被門設備檢測到時��,所存儲的授權地址信息被轉移至已檢測到攻擊的門設備��。因此,由各個中繼器設備所持有的授權地址信息可以自動地被發(fā)送到已檢測到攻擊的門設備�����。此外���,當添加或更新并不通過網絡進行攻擊的非攻擊性分組的源地址時���,正常條件信息可以僅被注冊到所要求的門設備中而無需任何浪費。此外����,當門設備被添加到網絡上時,必要的正常條件信息量可以被注冊到所添加的門設備中而無需任何浪費���。
圖1是根據(jù)本發(fā)明第一實施例的分布式拒絕服務攻擊保護系統(tǒng)的方框圖��;圖2是圖1所示的門設備的詳細方框圖���;圖3示意性地解釋了根據(jù)第一實施例的攻擊檢測條件;圖4示意性地解釋了根據(jù)第一實施例的正常條件信息�����;圖5示意性地解釋了根據(jù)第一實施例的異常條件;圖6是圖1所示的中繼器設備的詳細方框圖���;圖7是圖2所示的門設備中用于攻擊檢測的處理過程的流程��;圖8是圖6所示的中繼器設備中用于簽名接收的處理過程的流程�;圖9是圖2所示的門設備中用于分組限制的處理過程的流程�����;圖10是在根據(jù)第一實施例的分布式拒絕服務攻擊保護系統(tǒng)中用于更新正常條件信息的處理過程的時序圖����;圖11是根據(jù)本發(fā)明第二實施例的分布式拒絕服務攻擊保護系統(tǒng)的方框圖;圖12是圖11所示的門設備的詳細方框圖�;
圖13是圖11所示的中繼器設備的詳細方框圖;圖14是在根據(jù)第二實施例的分布式拒絕服務攻擊保護系統(tǒng)中用于更新正常條件信息的處理過程的時序圖�;圖15是根據(jù)本發(fā)明第三實施例的分布式拒絕服務攻擊保護系統(tǒng)的方框圖;圖16是圖15所示的門設備的詳細方框圖�;圖17示意性地解釋了根據(jù)第三實施例的攻擊檢測條件����;圖18示意性地解釋了根據(jù)第三實施例的正常條件信息;圖19示意性地解釋了根據(jù)第三實施例的異常條件;圖20是圖15所示的中繼器設備的詳細方框圖��;圖21是圖16所示的門設備中用于攻擊檢測的處理過程的流程��;圖22是圖20所示的中繼器設備中用于簽名接收的處理過程的流程����;圖23是圖16所示的門設備中用于分組限制的處理過程的流程;以及圖24是在根據(jù)第三實施例的分布式拒絕服務攻擊保護系統(tǒng)中用于更新正常條件信息的處理過程的時序圖��。
字母或數(shù)字的解釋1����、50分布式拒絕服務攻擊保護系統(tǒng)2 網絡3、4�����、5��、6����、53、54�����、55、56中繼器設備7 通信設備8����、58門設備9、LAN10�、60地址發(fā)布服務器11、邊緣路由器12�����、13�����、15��、16通信設備14 LAN20 攻擊檢測器21 可疑簽名發(fā)生器22 正常條件信息存儲單元23���、73正常條件信息發(fā)生器
24 正常簽名發(fā)生器25����、35惡意簽名發(fā)生器26���、36分組限制單元27���、77簽名報告單元37、87簽名中繼器28 網絡接口30 輸入端口31 交換機32 輸出端口38 地址信息存儲單元39 授權地址信息發(fā)射機59 授權地址信息存儲單元101 分布式拒絕服務攻擊保護系統(tǒng)102 網絡103����、104、105�����、106中繼器設備107 通信設備108 門設備109 LAN110 地址發(fā)布服務器111 邊緣路由器112����、113、115����、116通信設備114 LAN120 攻擊檢測器121 可疑簽名發(fā)生器122 正常條件信息存儲單元123 正常條件信息發(fā)生器124 正常簽名發(fā)生器125、135惡意簽名發(fā)生器126���、136分組限制單元
127����、137簽名轉移單元128 網絡接口130 輸入端口131 交換機132 輸出端口138 地址信息存儲單元139 授權地址信息發(fā)射機具體實施方式
在下文中參照附圖將解釋根據(jù)本發(fā)明的拒絕服務攻擊保護方法、拒絕服務攻擊保護設備���、中繼器設備�����、拒絕服務攻擊保護程序���、以及用于該中繼器設備的程序的示例性實施例。在下文中�����,本發(fā)明的第一實施例涉及一種情況����,其中地址發(fā)布服務器將授權地址信息轉移請求發(fā)布給中繼器設備。本發(fā)明的第二實施例涉及一種情況��,其中門設備將對于授權地址信息的授權地址信息傳輸請求發(fā)布給用來綜合性地管理授權地址信息的授權地址信息提供服務器����。本發(fā)明的第三實施例涉及一種情況,其中門設備將可疑簽名發(fā)送到中繼器設備�,并獲取授權地址信息以作為對其的響應�����。
第一實施例圖1是根據(jù)第一實施例的分布式拒絕服務攻擊保護系統(tǒng)1的方框圖。分布式拒絕服務攻擊保護系統(tǒng)1是這樣一種系統(tǒng)�,它主要用門設備8來保護通信設備7使其免受分布式拒絕服務攻擊。更具體地講���,門設備8獲取授權地址信息�,該信息表示非攻擊性分組的源地址并從網絡2上的授權設備(地址發(fā)布服務器10)中發(fā)送過來�。然后,門設備8基于所獲取的授權地址信息來產生用于表示非攻擊性分組條件的正常條件信息���,并且在從網絡中接收到的諸多分組中限制可能在通信設備7上進行攻擊的分組的傳遞��,同時允許傳遞與正常條件信息中所示的條件相匹配的分組�����。由門設備8基于正常條件信息而產生的正常簽名和可疑簽名被轉發(fā)至中繼器設備6�����,中繼器設備6允許中繼器設備過濾這些分組�。
按照慣例,添加或改變授權地址信息是由門設備8的操作人員來管理的�,并且這會使正常條件信息的管理復雜化。因此����,在第一實施例中,添加授權地址信息的負擔并沒有被放在門設備8的操作人員身上����,而是配置成從像地址發(fā)布服務器10這樣的授權終端中獲取授權地址信息。因此�����,根據(jù)第一實施例�,可以減小門設備8的操作人員的管理負擔。
門設備8以下面的方式獲取授權地址信息�����。在第一實施例中���,門設備8將其自身設備的地址信息報告給中繼器設備6(圖1中的步驟(1))�����,并且中繼器設備6存儲地址信息(圖1中的步驟(2))�����。當中繼器設備6接收從地址發(fā)布服務器10中發(fā)布的授權地址信息轉移請求(包括授權地址信息)時���,中繼器設備6基于之前存儲的地址信息將授權地址信息轉發(fā)至門設備8(圖1中的步驟(3))。然后�,門設備8基于所接收的授權地址信息自動地產生正常條件信息(圖1中的步驟(4))。
下面將解釋分布式拒絕服務攻擊保護系統(tǒng)1的系統(tǒng)結構�����。分布式拒絕服務攻擊保護系統(tǒng)1包括中繼器設備3到5以及中繼器設備6�����,它們用來轉發(fā)要通過網絡2被發(fā)送的分組�����;門設備8�,它限制傳遞要通過網絡2被發(fā)送到通信設備7的分組。分布式拒絕服務攻擊保護系統(tǒng)1的結構僅是一個示例,因此中繼器設備和門設備的數(shù)目以及構建網絡的方式并不是受限的�����。
門設備8包括網關設備����,網關設備是網絡間連接設備,并且門設備8連接到局域網(在下文中稱為“LAN”)14�����,LAN 14包括用計算機等過程的通信設備7���。中繼器設備3到6中的每一個都包括路由器��。中繼器設備3到6也可以被配置成橋接器模式��。
中繼器設備3連接到中繼器設備4和門設備8��,中繼器設備4連接到通信設備15和中繼器設備3��,中繼器設備5連接到通信設備16和中繼器設備6����,并且中繼器設備6連接到中繼器設備5、邊緣路由器11和門設備8��。
圖2是門設備8的詳細方框圖����。門設備8包括攻擊檢測器20,它檢測由從網絡2中接收到的分組執(zhí)行的攻擊�;可疑簽名發(fā)生器21,它產生可疑簽名�,該可疑簽名表示作為已攻擊的一個分組而被檢測到的那個分組的特征;正常條件信息存儲單元22��,它存儲正常條件信息���,該信息表示沒有被視為在通信設備7上進行攻擊的一個分組(非攻擊性分組)的條件;正常條件信息發(fā)生器23�,它產生要被存儲在正常條件信息存儲單元22中的正常條件信息;正常簽名發(fā)生器24���,它在應用于可疑簽名的諸多分組中產生正常簽名��,該正常簽名表示與正常條件信息中所示的條件相匹配的分組的特征���;惡意簽名發(fā)生器25,它在應用于可疑簽名的諸多分組中產生惡意簽名,該惡意簽名表示被視為在通信設備7上進行攻擊的一個分組的特征�;分組限制單元26,該單元基于可疑簽名���、正常簽名和惡意簽名來限制從網絡2中接收到的分組的傳遞�����;簽名報告單元27,該單元將可疑簽名和正常簽名報告給中繼器設備3和中繼器設備6�����,中繼器設備3和中繼器設備6都與門設備8相鄰����;以及網絡接口28����,它與連接到網絡2的設備進行通信�����。
攻擊檢測器20是處理器����,它基于預設的攻擊檢測條件來檢測攻擊�����。圖3示意性地解釋了攻擊檢測條件�。攻擊檢測條件包括三組記錄,比如檢測屬性��、檢測閾值和檢測時間。檢測屬性表示檢測的目標分組的屬性���,檢測閾值表示檢測的目標分組的傳輸速率���,并且檢測時間表示檢測的目標分組的傳輸速率連續(xù)超過檢測閾值的時間的閾值�����。
例如�����,在第一檢測條件中�����,檢測目標是如下的分組目的地地址信息是192.168.1.1(Dst=192.168.1.1/32)�,傳輸層協(xié)議是TCP(傳輸控制協(xié)議)(協(xié)議=TCP)��,TCP端口號碼是80(端口=80)��。當作為檢測目標的分組的傳輸速率已超過500kbps并持續(xù)10秒或更久時,它就會被檢測為檢測目標分組所造成的攻擊�。
同樣�����,在第二檢測條件中����,用于檢測的目標是如下分組目的地地址信息是192.168.1.2(Dst=192.168.1.2),傳輸層協(xié)議是UDP(用戶數(shù)據(jù)報協(xié)議)(協(xié)議=UDP)����。當作為檢測目標的分組的傳輸速率已超過300kbps并持續(xù)10秒或更久時,它就會被檢測為用于檢測的目標分組所造成的攻擊����。
此外�����,在第三檢測條件中,用于檢測的目標是如下的分組目的地地址信息是在192.168.1.0到192.168.1.255的范圍中(Dst=192.168.1.0/24)�。當作為檢測目標的分組的傳輸速率已超過1Mbps并持續(xù)20秒或更久時,它會被檢測為用于檢測的目標分組所造成的攻擊�。
當用于檢測的目標分組所造成的攻擊被攻擊檢測器20檢測到時,可疑簽名發(fā)生器21產生可疑簽名�����,該可疑簽名表示用于檢測的目標分組的特征���。例如���,當與圖3所示的攻擊檢測條件的第一檢測條件相匹配的攻擊被檢測時,可疑簽名發(fā)生器21產生可疑簽名�,該可疑簽名表示其目的地地址信息是192.168.1.1、傳輸層協(xié)議是TCP并且TCP端口號是80的分組�。可疑簽名也包括像對目標分組執(zhí)行的整形和濾波這樣的處理以及用于這些處理的參數(shù)����。
正常條件信息存儲單元22是用像閃存這樣的非易失性存儲介質構成的��。圖4示意性地解釋了要被存儲在正常條件信息存儲單元22中的正常條件信息���。正常條件信息包括正常條件,這些正常條件是并不被視為攻擊的條件��。
例如���,基于第一正常條件��,其源地址信息介于172.16.10.0到172.16.10.255的范圍之間的分組(Src=172.16.10.0/24)并不被視為一個攻擊�。同樣����,基于第二正常條件,其服務類型(服務的類型)是0×01(TOS=0×01)的分組并不被視為一個攻擊����。
正常條件信息發(fā)生器23是一個處理器,該處理器是第一實施例的最重要的特征����,并且自動地更新存儲在正常條件信息存儲單元22中的正常條件信息而無需由操作人員來執(zhí)行處理�����。按照常規(guī)��,正常條件信息是留給操作人員來管理的��,但是在第一實施例中�,正常條件信息是自動更新的�����。
更具體地講�����,當用于表示并不通過網絡2進行攻擊的分組的源地址的授權地址信息從中繼器設備3到6中的任何一個中發(fā)送過來并被網絡接口28接收時�,正常條件信息發(fā)生器23基于授權地址信息來產生正常條件信息����,并用所產生的正常條件信息來更新存儲在正常條件信息存儲單元22中的正常條件信息。換句話說����,以授權地址信息作為傳輸?shù)刂返姆纸M并不被視為在通信設備7上進行攻擊的一個分組��。此處��,強調正常條件信息的自動添加��,但是可以編輯存儲在正常條件信息存儲單元22中的正常條件信息���,例如,可以由門設備8的操作人員來添加��、刪除和改變�。
正常簽名發(fā)生器24是用來在應用于可疑簽名發(fā)生器21所產生的可疑簽名的諸多分組中產生正常簽名的處理器,該正常簽名表示與正常條件信息中所示的條件相匹配的分組��。
例如���,當與圖3中的第一攻擊檢測條件相匹配的攻擊被攻擊檢測器20檢測時��,正常簽名發(fā)生器24基于圖4的正常條件信息來產生一個正常簽名(在該正常簽名表示的分組中�����,目的地地址信息是192.168.1.1��,傳輸層協(xié)議是TCP�,TCP端口號是80,源地址信息介于172.16.10.0到172.16.10.255的范圍中)和另一個正常簽名(在該正常簽名表示的分組中���,目的地地址信息是192.168.1.1��,傳輸層協(xié)議是TCP����,TCP端口號是80�,并且服務類型是0×01)。
惡意簽名發(fā)生器25是用來在應用于可疑簽名發(fā)生器21所產生的可疑簽名的諸多分組中產生惡意簽名的處理器�,該惡意簽名表示與異常條件相匹配的分組的特征。
圖5示意性地解釋了異常條件���。如圖5所示,第一異常條件涉及以500kbps或更大的傳輸速率連續(xù)30秒或更久傳輸分組��。同樣�����,第二異常條件涉及以300kbps或更大的傳輸速率連續(xù)15秒或更久傳輸ICMP(互聯(lián)網控制消息協(xié)議)回波回復分組���。第三異常條件涉及以300kbps或更大的傳輸速率連續(xù)15秒或更久傳輸被分割的片段分組�����。
基于可疑簽名發(fā)生器21所產生的可疑簽名���、正常簽名發(fā)生器24所產生的正常簽名�����、以及惡意簽名發(fā)生器25所產生的惡意簽名����,分組限制單元26限制由網絡接口28接收到的分組的傳遞�。
更具體地講,基于可疑簽名所示的各種處理�����,分組限制單元26拋棄應用于惡意簽名的分組��,傳遞應用于正常簽名的分組而不加任何限制�,并且通過其傳輸帶寬受限的通路來傳遞應用于可疑簽名的分組。
簽名報告單元27是向中繼器設備3和中繼器設備6報告可疑簽名和正常簽名的處理器���,中繼器設備3和中繼器設備6鄰近門設備8����。中繼器設備3和中繼器設備6還分別將分組轉發(fā)給相鄰的中繼器設備。根據(jù)本發(fā)明�,鄰近關系表示對門設備和對各個中繼器設備而言的鄰近關系,這種鄰近關系不同于物理連接關系����。
與可疑簽名和正常簽名相似,簽名報告單元27將門設備8的地址信息報告給中繼器設備3和中繼器設備6�,中繼器設備3和中繼器設備6彼此鄰近。中繼器設備3和中繼器設備6還分別將門設備8的地址信息轉發(fā)給鄰近的中繼器設備��。門設備8的地址信息可以由簽名報告單元27來報告���,以響應于門設備8的操作人員對其的啟動�����,并且這可以周期性地執(zhí)行。
圖6是中繼器設備6的詳細方框圖��。盡管下文只解釋了中繼器設備6的結構�����,但中繼器設備3到5具有相似的結構。中繼器設備6包括輸入端口30�����;用于路由分組的交換機����;輸出端口32;用來產生惡意簽名的惡意簽名發(fā)生器35�����;分組限制單元36�����,用來基于惡意簽名以及由門設備8所報告的可疑簽名和正常簽名來限制輸入到輸入端口30的分組的傳遞��;簽名中繼器37�,用來將可疑簽名和正常簽名轉發(fā)給鄰近中繼器設備6的中繼器設備5;地址信息存儲單元38����,用來存儲門設備8的地址信息;以及授權地址信息發(fā)射機39,用來基于存儲在地址信息存儲單元38中的門設備8的地址信息來發(fā)送授權地址信息���。
惡意簽名發(fā)生器35���、分組限制單元36以及簽名中繼器37的配置方式分別與構成門設備8的惡意簽名發(fā)生器25、分組限制單元26以及簽名報告單元27的配置方式相似����,因此有關的詳細解釋略去。中繼器設備6可以以與門設備8相同的方式包括攻擊檢測器�、可疑簽名發(fā)生器、正常條件信息存儲單元����、以及正常簽名發(fā)生器。
簽名中繼器37確定在分組限制單元36限制分組的傳遞之后����,應用于超過受限傳輸速率的可疑簽名的分組是否被輸入端口30接收到。如果確定應用于超過受限傳輸速率的可疑簽名的分組被輸入端口30接收到�,則簽名中繼器37轉發(fā)可疑簽名和正常簽名。如果確定應用于超過受限傳輸速率的可疑簽名的分組沒有被輸入端口30接收到�����,則簽名中繼器37并不轉發(fā)可疑簽名和正常簽名�����。
在圖1的結構中����,因為中繼器設備4和中繼器設備5并不包括用來轉發(fā)可疑簽名和正常簽名的中繼器設備,所以可疑簽名和正常簽名并非是由簽名中繼器37來轉發(fā)的���。
當門設備8以上述方式檢測攻擊時��,產生了可疑簽名和正常簽名��,并且所產生的可疑簽名和正常簽名被報告給中繼器設備3到6�,并且在門設備8和中繼器設備3到6中分組經受像整形和濾波這樣的處理�����。因此����,在分布式拒絕服務攻擊保護系統(tǒng)1中,當通過通信設備15執(zhí)行由門設備8檢測到的攻擊時����,進行攻擊的分組的傳遞是受攻擊源附近的中繼器設備限制的�����,即由中繼器設備4來限制�����,由此減小因進行攻擊的分組的存在而產生的壞影響����。
地址信息存儲單元38是用非易失性存儲介質來構成的�,并存儲通過門設備8的簽名報告單元27和各個中繼器設備的簽名中繼器37而報告和轉發(fā)的門設備8的地址信息。不過�,在圖1中門設備8是作為一個單元而示出的,根據(jù)第一實施例的分布式拒絕服務攻擊保護系統(tǒng)1可以配置有多個門設備��。在這種情況下����,地址信息存儲單元38存儲各個門設備的地址信息。
如圖1所示�,LAN9通過邊緣路由器11連接到網絡2,并且還與通信設備12和13相連�����。通信設備12和13是普通的計算機���。假定在LAN9中沒有任何攻擊是通過網絡2來進行的��。
連接到LAN9的地址發(fā)布服務器10向中繼器設備6發(fā)送用于LAN9的地址信息或授權地址信息轉移請求�����,該請求包括用于與LAN9相連的通信設備12和13的地址信息��。地址發(fā)布服務器10可以周期性地發(fā)送授權地址信息轉移請求��,或者可以為響應于由地址發(fā)布服務器10的操作人員的啟動而發(fā)送該請求�。除了地址發(fā)布服務器10之外��,像構成LAN9的邊緣路由器11這樣的任何設備都可以將授權地址信息轉移請求發(fā)送到中繼器設備��。
參照圖6����,為響應于由地址發(fā)布服務器10發(fā)布的授權地址信息轉移請求,授權地址信息發(fā)射機39基于存儲在地址信息存儲單元38中的門設備的地址信息將地址信息(即包括在授權地址信息轉移請求中的授權地址信息)發(fā)送到各個門設備�。
在下文中參照圖7到圖10解釋以上面的方式配置的分布式拒絕服務攻擊保護系統(tǒng)的操作過程�����。圖7是用于門設備8中的攻擊檢測的處理過程的流程����。
首先�,當攻擊檢測器20基于攻擊檢測條件(步驟S1)來檢測由網絡接口28接收到的分組所執(zhí)行的攻擊時,可疑簽名發(fā)生器21產生可疑簽名��,該可疑簽名表示作為進行攻擊的一個分組而被檢測到的那個分組的特征(步驟S2)���。
然后��,在應用于可疑簽名的諸多分組中����,正常簽名發(fā)生器24產生正常簽名�����,該正常簽名表示與正常條件信息中所示的條件相匹配的分組的特征(步驟S3)�。在應用于可疑簽名的諸多分組中,惡意簽名發(fā)生器25產生惡意簽名�����,該惡意簽名表示與異常條件相匹配的分組的特征(步驟S4)。
可疑簽名�、正常簽名和惡意簽名是作為分組傳遞條件而被設置在分組限制單元26中的(步驟S5)。簽名報告單元27還將可疑簽名和正常簽名報告給中繼器設備3和中繼器設備6�,中繼器設備3和中繼器設備6都與門設備8相鄰(步驟S6)���。
圖8是在中繼器設備6中用于簽名接收的處理過程的流程�����。首先���,當可疑簽名和正常簽名被輸入端口30接收時(步驟S10),在應用于所接收到的可疑簽名的諸多分組中��,惡意簽名發(fā)生器35產生惡意簽名�,該惡意簽名表示與異常條件相匹配的分組的特征(步驟S11)。
然后�����,可疑簽名�、正常簽名和惡意簽名是作為分組傳遞條件而被設置在分組限制單元36中的(步驟S12)�。簽名中繼器37還將可疑簽名和正常簽名報告給相鄰的中繼器設備5(步驟S13)���。
圖9是在門設備8中用于分組限制的處理過程的流程���。首先,當網絡接口28接收分組時(步驟S20)���,分組限制單元26確定所接收到的分組是否應用于惡意簽名(步驟S21)�。
當確定好該分組應用于惡意簽名時�����,分組限制單元26拋棄該分組(步驟S22)����。另一方面,當確定好該分組并不應用于惡意簽名時��,分組限制單元26確定該分組是否應用于正常簽名(步驟S23)�����。
當確定好分組應用于正常簽名時,分組限制單元26準許分組通過(步驟S24)���。另一方面�,當確定好該分組并不應用于正常簽名時���,分組限制單元26確定該分組是否應用于可疑簽名(步驟S25)���。當確定好該分組應用于可疑簽名時,分組限制單元26基于可疑簽名中所示的諸多過程來準許該分組通過其傳輸帶寬受限的通路(步驟S26)���。另一方面,當確定好該分組并不應用于可疑簽名時����,分組限制單元26準許該分組通過(步驟S24)。在中繼器設備3到6中用于分組限制的操作與門設備8相同��,所以有關的解釋省略�����。
圖10是在分布式拒絕服務攻擊保護系統(tǒng)1中用于更新正常條件信息的處理過程的時序圖����。首先����,門設備8的簽名報告單元27將用于門設備8的地址信息報告給中繼器設備3和中繼器設備6(步驟S30�、S31)。中繼器設備3的簽名中繼器37將已報告給中繼器設備3的用于門設備8的地址信息報告給中繼器設備4(步驟S32)�����。
已報告給中繼器設備6的用于門設備8的地址信息又被中繼器設備6的簽名中繼器37報告給中繼器設備5(步驟S33)��,并且被存儲在地址信息存儲單元38中(步驟S34)���。注意到用于門設備8的地址信息也分別存儲在中繼器設備3到5的地址信息存儲單元38中�����,但是這些步驟并不在此處示出�����。
當LAN9的地址發(fā)布服務器10將授權地址信息轉移請求發(fā)送到中繼器設備6時(步驟S35)�,中繼器設備6基于存儲在地址信息存儲單元38中的用于門設備8的地址信息來發(fā)送被包括在授權地址信息轉移請求中的授權地址信息(步驟S36)����。
當授權地址信息被網絡接口28接收時�����,正常條件信息發(fā)生器23基于所接收的授權地址信息來產生正常條件信息(步驟S37)����,并用所產生的正常條件信息來更新存儲在正常條件信息存儲單元22中的正常條件信息(步驟S38)�����。
如上文所解釋的那樣���,在分布式拒絕服務攻擊保護系統(tǒng)1中��,用來表示并不通過網絡2進行攻擊的分組的源地址的授權地址信息被發(fā)送到門設備8。并且用來表示并不被視為在通信設備7上進行攻擊的分組所對應的條件的正常條件信息是基于被發(fā)送給門設備8的授權地址信息而更新的�,由此很容易管理正常條件信息。
第二實施例在第一實施例中�����,當門設備8要獲取授權地址信息時��,用于門設備8的地址信息被存儲在中繼器設備6中。然后�,當正在接收從地址發(fā)布服務器10中發(fā)布的授權地址信息轉移請求(包括授權地址信息)時,中繼器設備6基于之前存儲的地址信息將授權地址信息轉發(fā)至門設備8����,所以門設備8獲取授權地址信息。不過����,本發(fā)明并不限于上述情況。因此��,在本發(fā)明的第二實施例中�,下面的情況將得到解釋。在這種情況下�,提供了一種用來綜合性地管理授權地址信息的授權地址信息提供服務器,并且門設備為響應于發(fā)給授權地址信息提供服務器的請求而獲取授權地址信息�����。
圖11是根據(jù)本發(fā)明的第二實施例的分布式拒絕服務攻擊保護系統(tǒng)50的方框圖�����。與根據(jù)第一實施例的分布式拒絕服務攻擊保護系統(tǒng)1相同的組件被分配了相同的參考符號�,所以有關解釋將省略�����。
在分布式拒絕服務攻擊保護系統(tǒng)50中�����,用來綜合性地管理授權地址信息的授權地址信息提供服務器59將授權地址信息提供給門設備58��。更具體地講�����,地址發(fā)布服務器60之前將授權地址信息報告給授權地址信息提供服務器59(圖11中的步驟(1))���,以便將授權地址信息存儲在授權地址信息提供服務器59中(圖11中的步驟(2))。當門設備58將授權地址信息傳輸請求發(fā)布給授權地址信息提供服務器59時(圖11中的步驟(3))��,授權地址信息提供服務器59將授權地址信息發(fā)送到門設備58(圖11中的步驟(4))�����,并且門設備58基于所接收到的授權地址信息自動地產生正常條件信息(圖11中的步驟(5))���。此處�����,為便于解釋���,示出的情況是授權地址信息提供服務器59存儲著地址發(fā)布服務器60所發(fā)布的授權地址信息,但是授權地址信息提供服務器59也存儲著另一個地址發(fā)布服務器或作為授權終端的通信設備所發(fā)布的授權地址信息�。例如,如果已驗證圖11中的通信設備16是并不發(fā)送分組從而在通信設備17上進行攻擊的授權設備����,則授權地址信息提供服務器59也存儲著由通信設備16所發(fā)布的授權地址信息。
下面將解釋分布式拒絕服務攻擊保護系統(tǒng)50的系統(tǒng)結構���。分布式拒絕服務攻擊保護系統(tǒng)50包括多個中繼器設備53到56�,它們轉發(fā)要通過網絡2被發(fā)送的分組;門設備58�,它限制要通過網絡2被發(fā)送到通信設備7的分組的傳遞;以及授權地址信息存儲單元59����,它存儲用于表示并不通過網絡2進行攻擊的分組的源地址的授權地址信息����。分布式拒絕服務攻擊保護系統(tǒng)50的結構僅僅是一個示例���。換句話說,中繼器設備和門設備的數(shù)目以及構建網絡的方式并不限于這些圖中所示的那樣����。
門設備58包括網關設備,并且連接到LAN14�����。中繼器設備53到56中的每一個都包括路由器����。中繼器設備53到56也可以分別被配置成橋接模式。
此處�����,中繼器設備53連接到中繼器設備54和門設備58��。中繼器設備54連接到通信設備15�、中繼器設備53以及授權地址信息存儲單元59。中繼器設備55連接到通信設備16和中繼器設備56���。中繼器設備56連接到中繼器設備55���、邊緣路由器11以及門設備58。
圖12是門設備58的詳細方框圖����。門設備58包括攻擊檢測器20;可疑簽名發(fā)生器21�����;正常條件信息存儲單元22���;正常條件信息發(fā)生器73�,用來產生要被存儲在正常條件信息存儲單元22中的正常條件信息��;正常簽名發(fā)生器24���;惡意簽名發(fā)生器25���;分組限制單元26;簽名報告單元77�,用來將可疑簽名和正常簽名報告給中繼器設備3和中繼器設備6,這些設備中的每一個都與門設備58相鄰�����;以及網絡接口28。
正常條件信息發(fā)生器73將用來請求傳輸授權地址信息的授權地址信息傳輸請求發(fā)送到授權地址信息存儲單元59��。當網絡接口28接收為響應于授權地址信息傳輸請求而由授權地址信息存儲單元59發(fā)送過來的授權地址信息時����,正常條件信息發(fā)生器73基于授權地址信息來產生正常條件信息,并用所產生的正常條件信息來更新存儲在正常條件信息存儲單元22中的正常條件信息���。由正常條件信息發(fā)生器73來發(fā)送授權地址信息傳輸請求的過程可以是為響應于門設備58的操作人員的啟動而執(zhí)行的�,或者可以是周期性地執(zhí)行的��。簽名報告單元77并不將用于門設備的地址信息報告給中繼器設備���,這與在第一實施例中所解釋的用來構成門設備8的簽名報告單元27不同���。
圖13是中繼器設備56的詳細方框圖。盡管為便于解釋在下文中將解釋中繼器設備56的結構����,但其它中繼器設備53到55也以與中繼器設備56相同的方式來配置。中繼器設備56包括輸入端口30、開關31��、輸出端口35�、分組限制單元36以及用來將可疑簽名和正常簽名轉發(fā)至相鄰的中繼器設備5的簽名中繼器87���。
簽名中繼器87的配置方式與用來構成門設備58的簽名報告單元77的配置方式相同����,因此有關的詳細解釋省略�����。與門設備58相似的是����,中繼器設備56可以包括攻擊檢測器、可疑簽名發(fā)生器���、正常條件信息存儲單元以及正常簽名發(fā)生器����。
參照圖11�����,連接到LAN9的地址發(fā)布服務器60將用于LAN9的地址信息或用于與LAN9相連的通信設備12和13的地址信息(即授權地址信息)注冊到授權地址信息存儲單元59中。
地址發(fā)布服務器60可以周期性地注冊授權地址信息或可以為響應于地址發(fā)布服務器60的操作人員的啟動而注冊該信息��。除了地址發(fā)布服務器60之外��,像構成LAN9的邊緣路由器11這樣的任何設備都可以注冊該授權地址信息���。
在下文中參照圖14將解釋以上述方式配置的分布式拒絕服務攻擊保護系統(tǒng)50的操作過程��。注意到���,在門設備58中用于攻擊檢測的處理過程、在各個中繼器設備53到56中用于簽名接收的處理過程����、以及在門設備58中用于分組限制的處理過程都與參照圖7到圖9所解釋的相同,因此有關解釋略去�����。
圖14是更新用于根據(jù)第二實施例的分布式拒絕服務攻擊保護系統(tǒng)50的正常條件信息的處理過程的時序圖���。首先�,從地址發(fā)布服務器60中發(fā)送過來的授權地址信息被存儲在授權地址信息提供服務器59(步驟S41)。當門設備58的正常條件信息發(fā)生器73將授權地址信息傳輸請求發(fā)送到授權地址信息存儲單元59時(步驟S42)���,為響應于授權地址信息傳輸請求�,授權地址信息被從授權地址信息存儲單元59中發(fā)送到門設備58(步驟S43)��。
當授權地址信息被門設備58的網絡接口28接收時��,正常條件信息發(fā)生器73基于所接收到的授權地址信息來產生正常條件信息(步驟S44)���,并且用所產生的正常條件信息來更新存儲在正常條件信息存儲單元22中的正常條件信息(步驟S45)。
如上所述�����,在分布式拒絕服務攻擊保護系統(tǒng)50中�����,為響應于來自門設備58的請求�,用來表示并不通過網絡2進行攻擊的分組的源地址的授權地址信息被發(fā)送到門設備58。正常條件信息表示并沒有被視為在通信設備7上進行攻擊的一個組分所對應的條件���,基于被發(fā)送到門設備58的授權地址信息來更新該正常條件信息����,由此很容易管理正常條件信息。
根據(jù)第一實施例和第二實施例的門設備通過將程序加載到計算機中并執(zhí)行來利用它們的能力�����。更具體地講���,包括如下的例行程序的程序是之前存儲的��。該程序包括用于在計算機的ROM(只讀存儲器)中獲取授權地址信息的例行程序�����;用于基于授權地址信息來產生正常條件信息的例行程序�,該正常條件信息表示非攻擊性分組的條件�;以及用于在從網絡中接收到的諸多分組中限制要在通信設備上進行攻擊的分組的傳遞同時允許傳遞與正常條件信息中所示的條件相匹配的分組的例行程序。然后��,通過將程序加載至CPU并執(zhí)行它��,便可以構成根據(jù)本發(fā)明的門設備�����。
第三實施例在本發(fā)明的第三實施例中,解釋了這樣一種情況�,其中門設備將可疑簽名發(fā)送到中繼器設備并獲取授權地址信息以作為對該傳輸?shù)捻憫D15是根據(jù)第三實施例的分布式拒絕服務攻擊保護系統(tǒng)101的方框圖���。分布式拒絕服務攻擊保護系統(tǒng)101是主要用門設備108來保護通信設備107使其免受拒絕服務攻擊的一種系統(tǒng)���。更具體地講,門設備108獲取授權地址信息�����,該信息表示由網絡102上授權設備(地址發(fā)布服務器110)發(fā)送過來的非攻擊性分組的源地址�;基于所獲取的授權地址信息來產生用于表示非攻擊性分組條件的正常條件信息���;并且在從網絡中接收到的諸多分組中限制在通信設備7上進行攻擊的分組基于所獲取的授權地址信息來產生用于表示非攻擊性分組條件的正常條件信息�;并且在從網絡中接收到的諸多分組中限制在通信設備7上進行攻擊的分組的傳遞�����,同時允許傳遞與正常條件信息中所示的條件相匹配的分組����。由門設備108基于正常條件信息所產生的正常簽名和可疑簽名被轉移至中繼器設備106����,該中繼器設備106允許過濾這些分組��。
按照常規(guī)��,添加和改變授權地址信息是由門設備108的操作人員來管理的����,并且這會使授權地址信息的管理復雜化。因此�����,在第三實施例中�����,添加授權地址信息的負擔被放在門設備108的操作人員身上�,但是可配置成從像地址發(fā)布服務器110這樣的授權終端中獲取授權地址信息。因此����,根據(jù)第三實施例,可以減小門設備108的操作人員的管理負擔��。
在第三實施例中,門設備108以下述方式來獲取授權地址信息����。地址發(fā)布服務器110將授權地址信息發(fā)送到中繼器設備106(圖15中的步驟(1)),以便將授權地址信息存儲在中繼器設備106中(圖15中的步驟(2))�����;并且門設備108產生可疑簽名�,該可疑簽名表示作為已攻擊的一個分組而被檢測的那個分組的特征,并且門設備108將所產生的可疑簽名發(fā)送到中繼器設備106(圖15中的步驟(3))���。中繼器設備106將之前存儲的授權地址信息轉移至門設備108(圖15中的步驟(4))�,并且門設備108基于所接收的授權地址信息自動地產生正常條件信息(圖15中的步驟(5))�����。
下文將解釋分布式拒絕服務攻擊保護系統(tǒng)101的系統(tǒng)結構����。分布式拒絕服務攻擊保護系統(tǒng)101包括中繼器設備103到105以及中繼器設備106����,它們轉發(fā)要通過網絡102被發(fā)送的分組�����;以及門設備108���,它限制要通過網絡102被發(fā)送到通信設備107的分組的傳遞。分布式拒絕服務攻擊保護系統(tǒng)101的結構僅是一個示例�。換句話說,中繼器設備和門設備的數(shù)目以及構建網絡的方式并不限于這些圖所示的那樣��。
門設備108包括用作網絡間連接設備的網關設備���,并連接到局域網(在下文中稱為“LAN”)114���,LAN114包括用計算機等構成的通信設備107。中繼器設備103到106中的每個都包括路由器�。中繼器設備103到106也可以配置成橋接器模式。
此處�,中繼器設備103連接到中繼器設備104和門設備108,中繼器設備104連接到通信設備115和中繼器設備103����,中繼器設備105連接到通信設備116和中繼器設備106,并且中繼器設備106連接到中繼器設備105�、邊緣路由器111以及門設備108����。
圖16是門設備108的詳細方框圖����。門設備108包括攻擊檢測器120,它檢測由從網絡102中接收到的分組執(zhí)行的攻擊�����;可疑簽名發(fā)生器121���,它產生可疑簽名�����,該可疑簽名表示作為已攻擊的一個分組而被檢測的那個分組的特征����;用來存儲正常條件信息的正常條件信息存儲單元122���,該正常條件信息表示并未被視為在通信設備107上進行攻擊的一個分組(非攻擊性分組)所對應的條件;正常條件信息發(fā)生器123�����,它產生要被存儲在正常條件信息存儲單元122中的正常條件信息;用來在應用于可疑簽名的諸多分組中產生正常簽名的正常簽名發(fā)生器124���,該正常簽名表示與正常條件信息中所示的條件相匹配的分組的特征�;用來在應用于可疑簽名的諸多分組中產生惡意簽名的惡意簽名發(fā)生器125�����,該惡意簽名表示被視為在通信設備107上進行攻擊的分組的特征�����;分組限制單元126�����,用來基于可疑簽名�����、正常簽名和惡意簽名來限制從網絡102中接收到的分組的傳遞�����;簽名轉移單元127,用來將可疑簽名和正常簽名轉移至與門設備108相鄰的中繼器設備103和中繼器設備106���;以及網絡接口128����,用來與連接到網絡102的設備進行通信�。
攻擊檢測器120是基于預設攻擊檢測條件來檢測攻擊的處理器。圖17示意性地解釋了攻擊檢測條件����。在圖17中,攻擊檢測條件包括三組記錄���,比如檢測屬性���、檢測閾值以及檢測時間。檢測屬性表示用于檢測的目標分組的屬性�����,檢測閾值表示用于檢測的目標分組的傳輸速率的閾值�����,并且檢測時間表示用于檢測的目標分組的傳輸速率已超過檢測閾值的時間的閾值�����。
例如���,在第一檢測條件中�����,用于檢測的目標是如下的分組目的地地址信息是192.168.1.1(Dst=192.168.1.1/32)��,傳輸層協(xié)議是TCP(傳輸控制協(xié)議)(協(xié)議=TCP)�,并且TCP端口號是80(端口=80)�。當作為檢測目標的分組的傳輸速率已超過500kbps并持續(xù)10秒或更久時,它就會被檢測為檢測目標分組所造成的攻擊����。
同樣,在第二檢測條件中����,用于檢測的目標是如下分組目的地地址信息是192.168.1.2(Dst=192.168.1.2/32)����,傳輸層協(xié)議是UDP(用戶數(shù)據(jù)報協(xié)議)(協(xié)議=UDP)�。當作為檢測目標的分組的傳輸速率已超過300kbps并持續(xù)10秒或更久時,它就會被檢測為由用于檢測的目標分組所造成的攻擊�。
此外,在第三檢測條件中�����,用于檢測的目標是如下的分組目的地地址信息是在192.168.1.0到192.168.1.255的范圍中(Dst=192.168.1.0/24)���。當作為檢測目標的分組的傳輸速率已超過1Mbps并持續(xù)20秒或更久時�����,它會被檢測為由用于檢測的目標分組所造成的攻擊��。
當用于檢測的目標分組所造成的攻擊被攻擊檢測器120檢測到時��,可疑簽名發(fā)生器121產生可疑簽名�,該可疑簽名表示用于檢測的目標分組的特征����。例如�����,當與圖17所示的攻擊檢測條件的第一檢測條件相匹配的攻擊被檢測時�����,可疑簽名發(fā)生器121產生可疑簽名,該可疑簽名表示其目的地地址信息是192.168.1.1����、傳輸層協(xié)議是TCP并且TCP端口號是80的分組?����?梢珊灻舶ㄏ駥δ繕朔纸M執(zhí)行的整形和濾波這樣的處理以及用于這些處理的參數(shù)���。
正常條件信息存儲單元122是用像閃存這樣的非易失性存儲介質構成的�����。圖18示意性地解釋了存儲在正常條件信息存儲單元122中的正常條件信息���。在圖18中��,正常條件信息包括正常條件��,這些正常條件是并不被視為攻擊的條件�。
例如�����,基于第一正常條件���,其源地址信息介于172.16.10.0到172.16.10.255的范圍之間的分組(Src=172.16.10.0/24)并不被視為一個攻擊�。同樣�����,基于第二正常條件�����,其服務類型(服務的類型)是0×01的分組(TOS=0×01)并不被視為一個攻擊�。
正常條件信息發(fā)生器123是一個處理器,該處理器是第三實施例的最重要的特征��,并且自動地更新存儲在正常條件信息存儲單元22中的正常條件信息而無需由操作人員來執(zhí)行這些處理���。按照常規(guī)�,正常條件信息是留給操作人員來管理的,但是在第三實施例中���,正常條件信息是自動更新的�。
更具體地講����,當用于表示并不通過網絡2進行攻擊的分組的源地址的授權地址信息從中繼器設備103和106中的任何一個中發(fā)送過來并被網絡接口128接收時����,正常條件信息發(fā)生器123基于授權地址信息來產生正常條件信息,并用所產生的正常條件信息來更新存儲在正常條件信息存儲單元122中的正常條件信息���。換句話說����,以授權地址信息作為傳輸?shù)刂返姆纸M并不被視為在通信設備107上進行攻擊的一個分組�����。此處��,盡管強調正常條件信息的自動添加,但是可以編輯存儲在正常條件信息存儲單元22中的正常條件信息��,例如��,可以由門設備108的操作人員來添加�、刪除和改變。
正常簽名發(fā)生器124是用來在應用于可疑簽名發(fā)生器121所產生的可疑簽名的諸多分組中產生正常簽名的處理器���,該正常簽名表示與正常條件信息中所示的條件相匹配的分組�。
例如�,當與圖17中的第一攻擊檢測條件相匹配的攻擊被攻擊檢測器120檢測時,正常簽名發(fā)生器124基于圖18所示的正常條件信息來產生一個正常簽名(在該正常簽名表示的分組中�����,目的地地址信息是192.168.1.1�,傳輸層協(xié)議是TCP,TCP端口號是80���,源地址信息介于172.16.10.0到172.16.10.255的范圍中)和另一個正常簽名(在該正常簽名表示的分組中�����,目的地地址信息是192.168.1.1�,傳輸層協(xié)議是TCP,TCP端口號是80����,并且服務類型是0×01)。
惡意簽名發(fā)生器125是用來在應用于可疑簽名發(fā)生器121所產生的可疑簽名的諸多分組中產生惡意簽名的處理器���,該惡意簽名表示與異常條件相匹配的分組的特征�。
圖19示意性地解釋了異常條件�。在圖19中,第一異常條件表示以500kbps或更大的傳輸速率連續(xù)30秒或更久而傳輸?shù)姆纸M�。同樣,第二異常條件表示以300kbps或更大的傳輸速率連續(xù)15秒或更久而傳輸?shù)腎CMP(互聯(lián)網控制消息協(xié)議)回波回復分組����。第三異常條件表示以300kbps或更大的傳輸速率連續(xù)15秒或更久而傳輸?shù)谋环指畹钠畏纸M��。
基于可疑簽名發(fā)生器121所產生的可疑簽名��、正常簽名發(fā)生器124所產生的正常簽名��、以及惡意簽名發(fā)生器125所產生的惡意簽名�,分組限制單元126限制由網絡接口128接收到的分組的傳遞。
更具體地講���,基于可疑簽名所示的各種處理��,分組限制單元126拋棄應用于惡意簽名的分組��,傳遞應用于正常簽名的分組而不加任何限制����,并且通過其傳輸帶寬受限的通路來傳遞應用于可疑簽名的分組。
簽名轉移單元127是向中繼器設備103和中繼器設備106轉移可疑簽名和正常簽名的處理器�,中繼器設備103和中繼器設備106鄰近門設備108。中繼器設備103和中繼器設備106還分別將分組轉發(fā)給相鄰的中繼器設備��。根據(jù)本發(fā)明���,鄰近關系表示對門設備和對各個中繼器設備而言的鄰近關系��,這種鄰近關系不同于物理連接關系����。
圖20是中繼器設備106的詳細方框圖�����。下文只解釋了中繼器設備106的結構。中繼器設備103到105具有與中繼器設備106相似的結構�。中繼器設備106包括輸入端口130;用于路由分組的交換機131��;輸出端口132��;用來產生惡意簽名的惡意簽名發(fā)生器135����;分組限制單元36,用來基于惡意簽名以及由門設備108所轉移的可疑簽名和正常簽名來限制輸入到輸入端口130的分組的傳遞�;簽名轉移單元137,用來將可疑簽名和正常簽名轉移給鄰近中繼器設備105�����;授權地址信息存儲單元138��,用來存儲由中繼器設備106所持有的授權地址信息�����;以及授權地址信息發(fā)射機139��,用來發(fā)送存儲在授權地址信息存儲單元138中的授權地址信息��。
惡意簽名發(fā)生器135��、分組限制單元136以及簽名轉移單元137的配置方式分別與用來構成門設備108的惡意簽名發(fā)生器125����、分組限制單元126以及簽名轉移單元127的配置方式相同,因此有關的詳細解釋略去�����。中繼器設備106可以以與門設備108相同的方式包括攻擊檢測器�、可疑簽名發(fā)生器、正常條件信息存儲單元�����、以及正常簽名發(fā)生器���。
簽名轉移單元137確定在分組限制單元136限制分組的傳遞之后�,應用于超過受限傳輸速率的可疑簽名的分組是否被輸入端口130接收到����。如果確定應用于超過受限傳輸速率的可疑簽名的分組被輸入端口130接收到,則簽名轉移單元137轉移可疑簽名和正常簽名����。如果確定應用于超過受限傳輸速率的可疑簽名的分組沒有被輸入端口130接收到�����,則簽名轉移單元137并不轉移可疑簽名和正常簽名�。
在圖15的結構中����,中繼器設備104和中繼器設備105并不包括用來轉移可疑簽名和正常簽名的中繼器設備。因此���,簽名轉移單元137并不轉移可疑簽名和正常簽名����。
當門設備108以上述方式檢測攻擊時��,產生了可疑簽名和正常簽名�,并且所產生的可疑簽名和正常簽名被轉移給中繼器設備103到106,并且在門設備8和中繼器設備103到106中該分組經受像整形和濾波這樣的處理���。因此,在分布式拒絕服務攻擊保護系統(tǒng)101中�,當通過通信設備115執(zhí)行由門設備108檢測到的攻擊時���,進行攻擊的分組的傳遞是受攻擊源附近的中繼器設備限制的,即由中繼器設備104來限制�����,由此減小由進行攻擊的分組產生的壞影響����。
授權地址信息存儲單元138是用非易失性存儲介質來構成的,并存儲授權地址信息���。
參照圖15���,LAN109通過邊緣路由器111連接到網絡102,并且還與像計算機這樣的通信設備112和113相連���。假定在LAN109中沒有任何攻擊是通過網絡102來進行的����。
連接到LAN109的地址發(fā)布服務器110向中繼器設備106發(fā)送用于LAN109的地址信息或授權地址信息�,該授權地址信息包括用于與LAN109相連的通信設備112和113的地址信息。地址發(fā)布服務器110可以周期性地發(fā)送授權地址信息�����,或者可以為響應于由地址發(fā)布服務器110的操作人員的啟動而發(fā)送該信息。除了地址發(fā)布服務器110之外����,像構成LAN9的邊緣路由器111這樣的任何設備都可以發(fā)送授權地址信息。
參照圖20���,授權地址信息存儲單元138進一步將地址發(fā)布服務器110發(fā)送過來的地址信息添加到授權地址信息存儲單元138中的地址信息����。
在以上面的方式配置的分布式拒絕服務攻擊保護系統(tǒng)101中��,參照圖21到圖24將解釋操作過程����。圖21是在門設備108中用于攻擊檢測的處理過程的流程。
首先�����,當攻擊檢測器120基于攻擊檢測條件(步驟S101)來檢測由網絡接口128接收到的分組所執(zhí)行的攻擊時����,可疑簽名發(fā)生器121產生可疑簽名��,該可疑簽名表示作為已進行攻擊的一個分組而被檢測到的那個分組的特征(步驟S102)。
然后����,在應用于可疑簽名的諸多分組中,正常簽名發(fā)生器124產生正常簽名��,該正常簽名表示與正常條件信息中所示的條件相匹配的分組的特征(步驟S103)��;并且在應用于可疑簽名的諸多分組中�,惡意簽名發(fā)生器125產生惡意簽名,該惡意簽名表示與異常條件相匹配的分組的特征(步驟S104)�����。
可疑簽名�、正常簽名和惡意簽名是作為分組傳遞條件而被設置在分組限制單元126中的(步驟S105)。簽名轉移單元127還將可疑簽名和正常簽名轉移給中繼器設備103和中繼器設備106����,中繼器設備103和中繼器設備106都與門設備108相鄰(步驟S106)。
圖22是在中繼器設備106中用于簽名接收的處理過程的流程����。首先��,當可疑簽名和正常簽名被輸入端口130接收時(步驟S110)�����,在應用于所接收到的可疑簽名的諸多分組中��,惡意簽名發(fā)生器135產生惡意簽名����,該惡意簽名表示與異常條件相匹配的分組的特征(步驟S111)�。
然后,可疑簽名���、正常簽名和惡意簽名是作為分組傳遞條件而被設置在分組限制單元136中的(步驟S112)���。簽名轉移單元137還將可疑簽名和正常簽名轉移給相鄰的中繼器設備105(步驟S113)。此外�����,中繼器設備106將存儲在授權地址信息存儲單元138中的授權地址信息發(fā)送到門設備108���,該門設備108是可疑簽名的傳輸源(步驟S114)�����。
圖23是在門設備108中用于分組限制的處理過程的流程�����。首先�����,當網絡接口128接收分組時(步驟S120)��,分組限制單元126確定所接收到的分組是否應用于惡意簽名(步驟S121)��。
當確定好該分組應用于惡意簽名時�����,分組限制單元126拋棄該分組(步驟S122)���。另一方面,當確定好該分組并不應用于惡意簽名時����,分組限制單元126確定該分組是否應用于正常簽名(步驟S123)���。
當確定好該分組應用于正常簽名時,分組限制單元126準許分組通過(步驟S124)���。另一方面����,當確定好該分組并不應用于正常簽名時����,分組限制單元126確定該分組是否應用于可疑簽名(步驟S125)。
當確定好該分組應用于可疑簽名時�����,分組限制單元126基于可疑簽名中所示的諸多過程來準許該分組通過其傳輸帶寬受限的通路(步驟S126)���。另一方面���,當確定好該分組并不應用于可疑簽名時,分組限制單元26準許該分組通過(步驟S124)����。在中繼器設備103到106中用于分組限制的操作與門設備8相同��,所以有關的解釋省略�。
圖24是在分布式拒絕服務攻擊保護系統(tǒng)101中用于更新正常條件信息的處理過程的時序圖�����。LAN109中授權地址信息被從LAN109中的地址發(fā)布服務器110中發(fā)送到中繼器設備106(步驟S130)��,并且被存儲在中繼器設備106的授權地址信息存儲單元138中(步驟S131)���。同時,來自于通信設備116的授權地址信息被發(fā)送到中繼器設備105(步驟S132)����,并且被存儲在中繼器設備105的授權地址信息存儲單元138中(步驟S133)。
當檢測攻擊時(步驟S134)���,門設備108產生相應的可疑簽名(步驟S135)�����,并且將可疑簽名轉移至相鄰的中繼器設備103和中繼器設備106(步驟S136)��。為了簡單起見����,在下文中略去對將簽名轉移至中繼器設備103和中繼器設備106的描述。
當正在從門設備108中接收可疑簽名時���,中繼器設備106將存儲在授權地址信息存儲單元138中的授權地址信息往回發(fā)送到門設備108(步驟S137)����,并且還將可疑簽名轉發(fā)至中繼器設備105(步驟S141)�。注意到在步驟S137步驟S141處的諸多過程的順序是可以顛倒的。
當授權地址信息被門設備108的網絡接口128接收時�,正常條件信息發(fā)生器123基于所接收到的授權地址信息來產生正常條件信息,并且用所產生的正常條件信息來更新存儲在正常條件信息存儲單元122中的正常條件信息(步驟S138)��。然后���,正常簽名發(fā)生器124產生相應的正常簽名并將所產生的正常簽名發(fā)送到分組限制單元和中繼器設備106(步驟S139到S140)�。
另一方面�����,當正在從中繼器設備106中接收可疑簽名時��,中繼器設備105將存儲在授權地址信息存儲單元138中的授權地址信息發(fā)送到身為可疑簽名的發(fā)送源的中繼器設備(即中繼器設備106)(步驟S142)。中繼器設備106將從中繼器設備105中接收到的授權地址信息轉發(fā)至門設備108(步驟S143)�����。
當正在由門設備108的網絡接口128來接收授權地址信息時�����,正常條件信息發(fā)生器123基于所接收的授權地址信息來產生正常條件信息����,并用所產生的正常條件信息來更新存儲在正常條件信息存儲單元122中的正常條件信息(步驟S144)。然后�,正常簽名發(fā)生器124產生相應的正常簽名并將所產生的正常簽名轉移至分組限制單元和中繼器設備106(步驟S145到S146)。
根據(jù)如上所述的分布式拒絕服務攻擊保護系統(tǒng)101�����,用于表示并非通過網絡102進行攻擊的分組的源地址的授權地址信息被發(fā)送到門設備108��;并且用于表示并非被視為在通信設備107上進行攻擊的一個分組所對應的條件的正常條件信息是基于被發(fā)送給門設備108的授權地址信息來更新的����,由此很容易管理正常條件信息��。
根據(jù)第三實施例的門設備108通過將程序加載到計算機上并執(zhí)行它來利用其能力。更具體地講�,之前存儲著包括如下例行程序的程序。該程序包括用于將可疑簽名發(fā)送到計算機的ROM(只讀存儲器)并獲取授權地址信息的例行程序�;用于基于授權地址信息來產生表示非攻擊性分組條件的正常條件信息的例行程序;用于在從網絡中接收到的諸多分組中限制要在通信設備上進行攻擊的分組的傳遞同時允許傳遞與正常條件信息中所示的條件相匹配的分組的例行程序��。然后����,通過將該程序加載到CPU并執(zhí)行它,便可以構成根據(jù)本發(fā)明的門設備108���。
工業(yè)應用根據(jù)本發(fā)明的拒絕服務攻擊保護方法�����、拒絕服務攻擊保護系統(tǒng)��、拒絕服務攻擊保護設備��、中繼器設備��、拒絕服務攻擊保護程序以及用于該中繼器設備的程序適用于保護通信設備使其免受拒絕服務攻擊和分布式拒絕服務攻擊��。
權利要求
1.一種用門設備或中繼器設備來保護通信設備使其免受拒絕服務攻擊的拒絕服務攻擊保護方法����,所述門設備插放在構成網絡一部分的中繼器設備與身為所述拒絕服務攻擊對象的通信設備之間,所述方法包括發(fā)布步驟�,其中在所述網絡上的授權設備發(fā)布用于表示非攻擊性分組的源地址的授權地址信息;以及限制步驟�����,其中所述門設備基于由所述授權設備發(fā)布的授權地址信息來限制可能在所述通信設備上進行攻擊的分組的傳遞��。
2.如權利要求1所述的用門設備或中繼器設備來保護通信設備使其免受拒絕服務攻擊的拒絕服務攻擊保護方法�����,所述門設備插放在構成網絡一部分的中繼器設備與身為所述拒絕服務攻擊對象的通信設備之間�,所述方法還包括授權地址信息獲取步驟,其中所述門設備獲取用于表示由所述網絡上授權設備發(fā)送過來的非攻擊性分組的源地址的所述授權地址信息�����;正常條件信息產生步驟�����,其中所述門設備基于在所述授權地址信息獲取步驟中獲取的授權地址信息來產生用于表示非攻擊性分組所對應的條件的正常條件信息��;以及分組限制步驟����,其中所述門設備在從所述網絡中接收到的諸多分組中限制可能在所述通信設備上進行攻擊的分組的傳遞,同時允許傳遞與所述正常條件信息產生步驟中所產生的正常條件信息中所示的條件相匹配的分組���。
3.如權利要求2所述的拒絕服務攻擊保護方法�����,其特征在于����,所述授權地址信息獲取步驟包括地址信息報告步驟�,其中所述門設備將用于其自身設備的地址信息報告給所述中繼器設備,授權地址信息中繼步驟��,其中��,當正在從所述授權設備中接收授權地址信息時��,所述中繼器設備基于在所述地址信息報告步驟中所報告的地址信息將所述授權地址信息轉發(fā)至所述門設備���,以及接收步驟����,其中所述門設備接收所述授權地址信息。
4.如權利要求3所述的拒絕服務攻擊保護方法�,其特征在于,在所述地址信息報告步驟中�,向其報告用于所述門設備的所述地址信息的中繼器設備將用于所述門設備的地址信息轉發(fā)至與所述中繼器設備相鄰的另一個中繼器設備,以及在所述授權地址信息中繼步驟中����,當正在從所述授權設備中接收授權地址信息時,所述另一個中繼器設備基于用于所述門設備的地址信息將所述授權地址信息轉發(fā)至相鄰的中繼器設備或所述門設備�。
5.如權利要求2所述的拒絕服務攻擊保護方法,其特征在于�,所述授權地址信息獲取步驟包括授權地址信息存儲步驟,其中用來綜合性地管理授權地址信息的授權地址信息提供設備接收來自于各個授權設備的所述授權地址信息���,并將其存儲���,授權地址信息報告步驟,其中當正在從所述門設備中接收所述授權地址信息的傳輸請求時��,所述授權地址信息提供設備將被請求將其傳輸?shù)乃鍪跈嗟刂沸畔蟾娼o所述門設備��,以及接收步驟�����,其中所述門設備接收所述授權地址信息��。
6.如權利要求2到5中任意一條所述的拒絕服務攻擊保護方法���,其特征在于��,在所述授權地址信息獲取步驟中���,所述門設備獲取由用來發(fā)布地址的地址發(fā)布設備或由授權通信設備發(fā)送過來的授權地址信息。
7.如權利要求2所述的拒絕服務攻擊保護方法���,其特征在于�����,所述方法還包括攻擊檢測步驟���,其中所述門設備檢測由從所述網絡中接收到的分組執(zhí)行的攻擊;可疑簽名產生步驟�,其中所述門設備產生可疑簽名,所述可疑簽名表示作為已攻擊的一個分組的那個分組的特征,所述可疑簽名在所述攻擊檢測步驟中被檢測�����;正常條件信息存儲步驟��,其中所述門設備將在所述正常條件信息產生步驟中產生的所述正常條件信息存儲在正常條件信息存儲單元中��;以及正常簽名產生步驟���,其中所述門設備在應用于所述可疑簽名產生步驟中所產生的可疑簽名的諸多分組中產生正常簽名�,所述正常簽名表示與所述正常條件信息中所示的條件相匹配的分組的特征�����,其中在所述分組限制步驟中����,所述門設備基于所述可疑簽名產生步驟中產生的可疑簽名和所述正常簽名產生步驟中產生的正常簽名來限制從所述網絡中接收到的分組的傳遞。
8.如權利要求7所述的拒絕服務攻擊保護方法���,其特征在于����,所述方法還包括簽名報告步驟,其中所述門設備向所述中繼器設備報告在所述可疑簽名產生步驟中產生的可疑簽名和在所述正常簽名產生步驟中產生的正常簽名�;以及分組限制控制步驟,其中所述中繼器設備基于在所述簽名報告步驟中所報告的可疑簽名和正常簽名來控制對分組傳遞的限制��。
9.如權利要求1所述的用門設備或中繼器設備來保護通信設備使其免受拒絕服務攻擊的拒絕服務攻擊保護方法���,所述門設備插放在構成網絡一部分的中繼器設備與身為所述拒絕服務攻擊對象的通信設備之間,所述方法還包括攻擊檢測步驟����,其中所述門設備檢測由從所述網絡中接收到的分組執(zhí)行的攻擊;授權地址信息獲取步驟���,其中當在所述攻擊檢測步驟中檢測所述通信設備上的攻擊時�,所述門設備從所述中繼器設備中獲取授權地址信息���,所述授權地址信息表示從所述網絡上授權設備中接收到的非攻擊性分組的源地址����;以及傳遞控制步驟�����,其中所述門設備基于所述正常條件信息來控制分組的傳遞,所述正常條件信息表示用于所述非攻擊性分組的條件并產生于從所述中繼器設備中接收到的所述授權地址信息����。
10.如權利要求9所述的拒絕服務攻擊保護方法,其特征在于�,所述方法還包括可疑簽名產生步驟,其中所述門設備產生可疑簽名�,所述可疑簽名表示作為已攻擊的一個分組的那個分組的特征,所述可疑簽名是在所述攻擊檢測步驟中被檢測的��,其中在所述授權地址信息獲取步驟中��,所述門設備將在所述可疑簽名產生步驟中產生的可疑簽名傳輸?shù)剿鲋欣^器設備���,并獲取為響應于所述傳輸而往回發(fā)送的授權地址信息���。
11.如權利要求10所述的拒絕服務攻擊保護方法,其特征在于���,所述傳遞控制步驟包括正常條件信息產生步驟��,該步驟基于在所述授權地址信息獲取步驟中獲取的所述授權地址信息來產生用于表示非攻擊性分組所對應的條件的正常條件信息���,以及分組限制步驟����,該步驟在從所述網絡中接收到的諸多分組中限制可能在所述通信設備上進行攻擊的分組的傳遞�,同時允許傳遞與所述正常條件信息中所產生的所述正常條件信息中所示的條件相匹配的分組。
12.如權利要求11所述的拒絕服務攻擊保護方法���,其特征在于�,所述方法還包括正常簽名產生步驟�����,該步驟產生正常簽名���,所述正常簽名表示與在所述正常條件信息產生步驟中產生的所述正常條件信息中所示的條件相匹配的分組的特征,其中在所述分組限制步驟中��,基于在所述可疑簽名產生步驟中產生的可疑簽名和在所述正常簽名產生步驟中產生的正常簽名來限制從所述網絡中接收到的分組的傳遞�����。
13.如權利要求12所述的拒絕服務攻擊保護方法���,其特征在于���,所述方法還包括簽名轉發(fā)步驟��,其中所述門設備將在所述正常簽名產生步驟中產生的所述正常簽名轉發(fā)至所述中繼器設備��。
14.一種用門設備或中繼器設備來保護通信設備使其免受拒絕服務攻擊的拒絕服務攻擊保護系統(tǒng)��,所述門設備插放在用來構成網絡一部分的中繼器設備與身為所述拒絕服務攻擊對象的通信設備之間�����,其中所述門設備包括授權地址信息獲取單元��,該單元獲取授權地址信息�����,該信息表示由所述網絡上授權設備發(fā)送過來的非攻擊性分組的源地址���;正常條件信息產生單元,該單元基于由所述授權地址信息獲取單元獲取的授權地址信息來產生正常條件信息��,所述正常條件信息表示用于所述非攻擊性分組的條件�����;以及分組限制單元,該單元在從所述網絡中接收到的諸多分組中限制可能在所述通信設備上進行攻擊的分組的傳遞�,同時傳遞允許與所述正常條件信息產生單元所產生的正常條件信息中所示的條件相匹配的分組。
15.一種用門設備或中繼器設備來保護通信設備使其免受拒絕服務攻擊的拒絕服務攻擊保護系統(tǒng)��,所述門設備插放在用來構成網絡一部分的中繼器設備與身為所述拒絕服務攻擊對象的通信設備之間���,其中所述門設備包括攻擊檢測單元���,該單元檢測由從所述網絡中接收到的分組執(zhí)行的攻擊;授權地址信息獲取單元�����,該單元在當所述通信設備上的攻擊被所述攻擊檢測單元檢測時從所述中繼器設備中獲取授權地址信息����,所述授權地址信息表示從所述網絡上授權設備中接收到的非攻擊性分組的源地址��;以及傳遞控制單元�,該單元基于所述正常條件信息來控制分組的傳遞,所述正常條件信息表示用于所述非攻擊性分組的條件并產生于從所述中繼器設備中接收到的所述授權地址信息�����。
16.一種用來保護通信設備使其免受拒絕服務攻擊的門設備,所述門設備插放在用來構成網絡一部分的中繼器設備與身為所述拒絕服務攻擊對象的通信設備之間����,所述門設備包括攻擊檢測單元,該單元檢測由從所述網絡中接收到的分組執(zhí)行的攻擊�;授權地址信息獲取單元,該單元在當所述通信設備上的攻擊被所述攻擊檢測單元檢測時從所述中繼器設備中獲取授權地址信息��,所述授權地址信息表示從所述網絡上授權設備中接收到的非攻擊性分組的源地址�����;以及傳遞控制單元�,該單元基于所述正常條件信息來控制分組的傳遞,所述正常條件信息表示用于所述非攻擊性分組的條件并產生于從所述中繼器設備中接收到的授權地址信息�����。
17.如權利要求16所述的門設備����,其特征在于,所述授權地址信息獲取單元包括地址信息報告單元���,該單元將用于其自身設備的地址信息報告給所述中繼器設備���,以及接收單元�,該單元從所述授權設備中接收為響應于由所述地址信息報告單元所報告的用于其自身設備的地址信息而由所述中繼器設備往回發(fā)送的所述授權地址信息�。
18.如權利要求17所述的門設備,其特征在于�,所述授權地址信息獲取單元包括授權地址信息傳輸請求單元,該單元將所述授權地址信息的傳輸請求發(fā)布給用來綜合性地管理授權地址信息的授權地址信息提供設備�����,以及接收單元����,該單元接收為響應于所述授權地址信息的傳輸請求而往回發(fā)送的所述授權地址信息。
19.一種用來保護通信設備使其免受拒絕服務攻擊的門設備����,所述門設備插放在用來構成網絡一部分的中繼器設備與身為所述拒絕服務攻擊對象的通信設備之間��,所述門設備包括攻擊檢測單元����,該單元檢測由從所述網絡中接收到的分組執(zhí)行的攻擊;授權地址信息獲取單元���,該單元在當所述通信設備上的攻擊被所述攻擊檢測單元檢測時從所述中繼器設備中獲取授權地址信息�,所述授權地址信息表示從所述網絡上授權設備中接收到的非攻擊性分組的源地址;以及傳遞控制單元��,該單元基于所述正常條件信息來控制分組的傳遞�����,所述正常條件信息表示用于所述非攻擊性分組的條件并產生于從所述中繼器設備中接收到的所述授權地址信息�����。
20.如權利要求19所述的門設備�����,其特征在于���,所述門設備還包括可疑簽名產生單元����,該單元產生可疑簽名����,該可疑簽名表示作為已攻擊的一個分組的那個分組的特征����,所述可疑簽名被所述攻擊檢測單元檢測��,其中所述授權地址信息獲取單元將由所述可疑簽名產生單元產生的所述可疑簽名傳輸?shù)剿鲋欣^器設備��,并獲取為響應于所述傳輸而往回發(fā)送的授權地址信息���。
21.如權利要求20所述的門設備����,其特征在于�,所述傳遞控制單元包括正常條件信息產生單元,該單元基于由所述授權地址信息獲取單元所獲取的所述授權地址信息來產生正常條件信息���,所述正常條件信息表示用于非攻擊性分組的條件��,以及分組限制單元�,該單元在從所述網絡中接收到的諸多分組中限制可能在所述通信設備上進行攻擊的分組的傳遞���,同時允許傳遞與所述正常條件信息產生單元所產生的正常條件信息中所示的條件相匹配的分組。
22.一種中繼器設備,它連接到用來保護身為拒絕服務攻擊對象的通信設備的門設備和/或連接到構成網絡的一個或多個中繼器設備�,所述中繼器設備包括地址信息獲取單元,該單元獲取用于所述門設備的地址信息��;以及授權地址信息中繼單元�����,當正在接收用于表示由所述網絡上授權設備發(fā)送過來的非攻擊性分組的源地址的所述授權地址信息時���,該單元基于由所述地址信息獲取單元獲取的地址信息將授權地址信息轉發(fā)至所述門設備或另一個相鄰的中繼器設備��。
23.一種中繼器設備���,它連接到用來保護身為拒絕服務攻擊對象的通信設備的門設備,和/或連接到用來構成網絡的一個或多個中繼器設備���,所述中繼器設備包括授權地址信息存儲單元�,該單元存儲授權地址信息���,該信息表示從所述網絡上授權設備中接收到的非攻擊性分組的源地址����;以及轉移單元,當所述門設備檢測在所述通信設備上的攻擊時��,該單元轉移存儲在所述授權地址信息存儲單元中的所述授權地址信息��。
24.一種使門設備保護通信設備使其免受拒絕服務攻擊的計算機程序���,所述門設備插放在構成網絡一部分的中繼器設備與身為拒絕服務攻擊對象的通信設備之間����,所述計算機程序使所述門設備執(zhí)行攻擊檢測步驟�����,該步驟檢測由從所述網絡中接收到的分組執(zhí)行的攻擊��;授權地址信息獲取步驟����,該步驟在當所述攻擊檢測步驟中檢測所述通信設備上的攻擊時從所述中繼器設備中獲取授權地址信息,所述授權地址信息表示從所述網絡上授權設備中接收到的非攻擊性分組的源地址���;以及傳遞控制步驟�,該步驟基于所述正常條件信息來控制分組的傳遞�����,所述正常條件信息表示用于所述非攻擊性分組的條件并產生于從所述中繼器設備中接收到的所述授權地址信息中��。
25.如權利要求24所述的計算機程序��,其特征在于����,所述授權地址信息獲取步驟包括地址信息報告步驟,該步驟將用于將其自身設備的地址信息報告給所述中繼器設備���,以及接收步驟���,該步驟從所述授權設備中接收為響應于在所述地址信息報告步驟中所報告的用于其自身設備的地址信息而由所述中繼器設備往回發(fā)送的所述授權地址信息。
26.如權利要求24所述的計算機程序���,其特征在于�����,所述授權地址信息獲取步驟包括授權地址信息傳輸請求步驟�,該步驟將所述授權地址信息的傳輸請求發(fā)布給用來綜合性地管理授權地址信息的授權地址信息提供設備���,以及接收步驟�����,該步驟接收為響應于所述授權地址信息的傳輸請求而往回發(fā)送的授權地址信息��。
27.一種使門設備保護通信設備使其免受拒絕服務攻擊的計算機程序��,所述門設備插放在構成網絡一部分的中繼器設備與身為所述拒絕服務攻擊對象的通信設備之間��,所述計算機程序使所述門設備執(zhí)行攻擊檢測步驟�����,該步驟檢測由從所述網絡中接收到的分組執(zhí)行的攻擊��;授權地址信息獲取步驟���,該步驟在當所述攻擊檢測步驟中檢測攻擊時從所述中繼器設備中獲取授權地址信息�,所述授權地址信息表示從所述網絡中授權設備中接收到的非攻擊性分組的源地址���;以及傳遞控制步驟�,該步驟基于所述正常條件信息來控制分組的傳遞��,所述正常條件信息表示用于非攻擊性分組的條件并產生于從所述中繼器設備中接收到的授權地址信息中。
28.如權利要求27所述的計算機程序��,其特征在于���,所述計算機程序還使所述門設備執(zhí)行用于產生可疑簽名的可疑簽名產生步驟,所述可疑簽名表示作為已攻擊的一個分組的那個分組的特征并被所述攻擊檢測單元檢測����,其中所述授權地址信息獲取步驟包括將在所述可疑簽名產生步驟中產生的所述可疑簽名傳輸?shù)剿鲋欣^器設備,并獲取為響應于所述傳輸而往回發(fā)送的授權地址信息��。
29.如權利要求28所述的計算機程序���,其特征在于����,所述傳遞控制步驟包括正常條件信息產生步驟����,該步驟基于在所述授權地址信息獲取步驟中獲取的所述授權地址信息來產生正常條件信息,該正常條件信息表示用于非攻擊性分組的條件�,以及分組限制步驟,該步驟在從所述網絡中接收到的諸多分組中限制可能在所述通信設備上進行攻擊的分組的傳遞����,同時允許傳遞與在所述正常條件信息產生步驟中所產生的正常條件信息中所示的條件相匹配的分組�。
30.一種計算機程序�,它使連接到門設備的中繼器設備和/或被連接到用來構成網絡的一個或多個中繼器設備保護身為拒絕服務攻擊對象的通信設備,所述計算機程序使所述中繼器設備執(zhí)行地址信息獲取步驟�,該步驟獲取用于所述門設備的地址信息;以及授權地址信息中繼步驟���,當正在接收用于表示由所述網絡上授權設備發(fā)送過來的非攻擊性分組的源地址的授權地址信息時��,該步驟基于在所述地址信息獲取步驟中所獲取的地址信息將授權地址信息轉發(fā)至所述門設備或另一個相鄰的中繼器設備�����。
31.一種計算機程序���,它使連接到門設備的中繼器設備和/或被連接到用來構成網絡的一個或多個中繼器設備保護身為拒絕服務攻擊對象的通信設備,所述計算機程序使所述中繼器設備執(zhí)行授權地址信息存儲步驟�����,該步驟存儲授權地址信息���,該信息表示從所述網絡上授權設備中接收到的非攻擊性分組的源地址����;以及轉移步驟,當所述門設備檢測在所述通信設備上的攻擊時���,該步驟用于轉移在所述授權地址信息存儲步驟中存儲的授權地址信息����。
全文摘要
門設備8獲取授權地址信息���,該信息表示由網絡2上所提供的授權設備(地址發(fā)布服務器10)發(fā)送過來的非攻擊性分組的源地址。門設備8基于所獲取的授權地址信息來產生用于表示非攻擊性分組所對應的條件的正常條件信息�����,并在從網絡中接收到的諸多分組中限制在通信設備7上進行攻擊的分組的傳遞����,同時允許傳遞與正常條件信息中所示的條件相匹配的分組。
文檔編號G06F13/00GK1939015SQ20058000063
公開日2007年3月28日 申請日期2005年9月7日 優(yōu)先權日2004年10月12日
發(fā)明者佐竹康宏, 三好潤, 長島雅夫 申請人:日本電信電話株式會社