專利名稱:在檢測(cè)安全漏洞的基礎(chǔ)上保護(hù)網(wǎng)絡(luò)服務(wù)質(zhì)量的系統(tǒng)和方法
技術(shù)領(lǐng)域:
本發(fā)明涉及保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)免于安全漏洞,例如入侵攻擊的技術(shù)�。更具體地,本發(fā)明涉及一種通過對(duì)計(jì)算機(jī)網(wǎng)絡(luò)上的入侵攻擊作出響應(yīng)來保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)的服務(wù)質(zhì)量的機(jī)構(gòu)����。
背景技術(shù):
入侵攻擊是對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的幾種最常見的攻擊。這些攻擊可以分成幾種類別����,例如特殊應(yīng)用程序攻擊(application specific attack)、后門攻擊���、拒絕服務(wù)(DoS)攻擊和分布式拒絕服務(wù)(DDoS)攻擊���。特殊應(yīng)用程序攻擊利用應(yīng)用程序運(yùn)行的弱點(diǎn)來獲得對(duì)原本拒絕攻擊者訪問的信息或數(shù)據(jù)的訪問權(quán)��。后門嘗試一旦破壞網(wǎng)絡(luò)或主機(jī)的安全防護(hù)就會(huì)留下特洛伊木馬���,攻擊者可以使用這些特洛伊木馬來隨意地獲得未經(jīng)授權(quán)的訪問權(quán)。DoS攻擊試圖使網(wǎng)絡(luò)上的計(jì)算機(jī)所提供的服務(wù)癱瘓或無法使用�����,從而拒絕授權(quán)用戶訪問此服務(wù)�。在通常的DoS攻擊中,網(wǎng)絡(luò)上的特殊計(jì)算機(jī)試圖使服務(wù)癱瘓����。一種更危險(xiǎn)的DoS攻擊是DDoS攻擊。在此類攻擊中����,實(shí)施攻擊的計(jì)算機(jī)通常控制著網(wǎng)絡(luò)上的大量計(jì)算機(jī)����,并且通過這些計(jì)算機(jī)來攻擊主計(jì)算機(jī)。因此,合法用戶仿佛是攻擊者���,而真正的攻擊者卻難以檢測(cè)到��。
近年來���,互聯(lián)網(wǎng)上的流量巨大地增加�����。同時(shí)���,互聯(lián)網(wǎng)上的黑客行為也隨之增加����。由此增加了計(jì)算機(jī)網(wǎng)絡(luò)上的入侵攻擊威脅��。
計(jì)算機(jī)網(wǎng)絡(luò)上日益增加的入侵攻擊威脅導(dǎo)致了對(duì)保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)免受這些攻擊的機(jī)構(gòu)的強(qiáng)烈需求����。通過這些機(jī)構(gòu),互聯(lián)網(wǎng)服務(wù)提供商(ISP)可以向用戶提供更加安全的互聯(lián)網(wǎng)訪問�����,而不會(huì)中斷網(wǎng)絡(luò)的操作。ISP需要一種能夠檢測(cè)���、防止并對(duì)任一部分網(wǎng)絡(luò)中的未授權(quán)行為作出反應(yīng)的入侵保護(hù)方案���。如果沒有這類有效的入侵攻擊保護(hù)機(jī)構(gòu),ISP就無法使用戶相信他們可以提供安全的網(wǎng)絡(luò)基礎(chǔ)架構(gòu)�。
由于企業(yè)網(wǎng)絡(luò)、政府網(wǎng)絡(luò)和軍用網(wǎng)絡(luò)上日益增加的入侵攻擊和網(wǎng)絡(luò)恐怖主義威脅����,所以他們有著同樣強(qiáng)烈(如果不是更強(qiáng)烈)的需求。因此�����,越來越迫切地需要這些網(wǎng)絡(luò)的安全管理員適當(dāng)?shù)貙?shí)施有效的機(jī)構(gòu)來保護(hù)他們的網(wǎng)絡(luò)免受這些攻擊���。然而�����,目前的網(wǎng)絡(luò)架構(gòu)經(jīng)證明不足以完全保護(hù)這些網(wǎng)絡(luò)免受這類攻擊��。
在過去����,已經(jīng)針對(duì)互聯(lián)網(wǎng)等網(wǎng)絡(luò)開發(fā)了多種入侵檢測(cè)系統(tǒng)。到目前為止���,已經(jīng)開發(fā)了兩種主要的入侵檢測(cè)裝置�����。它們是基于主機(jī)的入侵檢測(cè)系統(tǒng)和基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)。
基于主機(jī)的入侵檢測(cè)系統(tǒng)通常在它們所保護(hù)的主機(jī)系統(tǒng)上運(yùn)行�����。代理軟件安裝在將要監(jiān)控的主機(jī)服務(wù)器上�����。這個(gè)代理軟件追蹤主機(jī)服務(wù)器上的未授權(quán)訪問嘗試或其它未授權(quán)行為����。
基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)通常在網(wǎng)絡(luò)本身上運(yùn)行。通常����,代理程序安裝在局域網(wǎng)(LAN)網(wǎng)段上或防火墻后��,以便監(jiān)控并分析網(wǎng)絡(luò)流量��。這些基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)通常是在網(wǎng)絡(luò)上以混雜模式運(yùn)行時(shí)進(jìn)行入侵檢測(cè)�。這些系統(tǒng)觀測(cè)網(wǎng)絡(luò)流量�����,并且將它與之前所識(shí)別的入侵攻擊簽名進(jìn)行比較���。
然而�����,僅僅依靠檢測(cè)入侵攻擊還不能防止這些攻擊���。而需要能夠?qū)@些攻擊作出響應(yīng)以便保護(hù)網(wǎng)絡(luò)免受這些攻擊的機(jī)構(gòu)。同樣地���,對(duì)DDoS攻擊作出有效響應(yīng)存在一定的挑戰(zhàn)��。
因此����,需要能夠?qū)@些攻擊作出有效且適當(dāng)?shù)捻憫?yīng)以便保護(hù)ISP、企業(yè)和其它網(wǎng)絡(luò)的機(jī)構(gòu)���。另外��,需要能夠?qū)Π―DoS攻擊在內(nèi)的各種入侵攻擊作出有效響應(yīng)以便保護(hù)網(wǎng)絡(luò)免受這些入侵攻擊的機(jī)構(gòu)���。此外,需要即使在面臨入侵攻擊時(shí)也能保持所保護(hù)的計(jì)算機(jī)網(wǎng)絡(luò)的服務(wù)質(zhì)量等級(jí)的機(jī)構(gòu)�����。
發(fā)明內(nèi)容
本發(fā)明涉及用于對(duì)數(shù)據(jù)包采取安全服務(wù)質(zhì)量(secure Quality of Service���,sQoS)操作的系統(tǒng)、方法和計(jì)算機(jī)程序產(chǎn)品���,所述數(shù)據(jù)包傳輸至受保護(hù)的計(jì)算機(jī)網(wǎng)絡(luò)�,采取這些操作后即使在面臨入侵攻擊時(shí)也能確保服務(wù)質(zhì)量���。
根據(jù)一個(gè)方面����,本發(fā)明提供通過對(duì)入侵攻擊作出sQoS響應(yīng)而對(duì)試圖降低計(jì)算機(jī)網(wǎng)路的服務(wù)質(zhì)量的嘗試作出反攻擊的系統(tǒng)、方法和計(jì)算機(jī)程序產(chǎn)品���。
根據(jù)另一個(gè)方面����,本發(fā)明提供用于保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)上的計(jì)算機(jī)免受入侵攻擊的系統(tǒng)��、方法和計(jì)算機(jī)程序產(chǎn)品�����,其中通過利用計(jì)算機(jī)上的入侵攻擊歷史來提供所述保護(hù)����。
根據(jù)另一個(gè)方面,本發(fā)明提供用于存儲(chǔ)關(guān)于計(jì)算機(jī)網(wǎng)絡(luò)中的計(jì)算機(jī)上的入侵攻擊的歷史信息的系統(tǒng)����、方法和計(jì)算機(jī)程序產(chǎn)品。
根據(jù)另一個(gè)方面��,本發(fā)明提供用于控制來自源計(jì)算機(jī)網(wǎng)絡(luò)和/或流向目標(biāo)計(jì)算機(jī)網(wǎng)絡(luò)的被懷疑可能發(fā)起入侵攻擊的數(shù)據(jù)包的流動(dòng)的系統(tǒng)����、方法和計(jì)算機(jī)程序產(chǎn)品���,其中在檢測(cè)入侵攻擊的基礎(chǔ)上控制流動(dòng),并且根據(jù)可疑數(shù)據(jù)包的長度來控制流動(dòng)�����。
根據(jù)另外一個(gè)方面��,本發(fā)明提供用于控制來自源計(jì)算機(jī)網(wǎng)絡(luò)和/或流向目標(biāo)計(jì)算機(jī)網(wǎng)絡(luò)的被懷疑可能發(fā)起入侵攻擊的數(shù)據(jù)包的流動(dòng)的系統(tǒng)�����、方法和計(jì)算機(jī)程序產(chǎn)品���,其中在檢測(cè)入侵攻擊的基礎(chǔ)上控制流動(dòng)�����,并且根據(jù)新的提供服務(wù)的請(qǐng)求的到達(dá)速率來控制流動(dòng)。
根據(jù)再一個(gè)方面����,本發(fā)明提供用于控制來自源計(jì)算機(jī)網(wǎng)絡(luò)和/或流向目標(biāo)計(jì)算機(jī)網(wǎng)絡(luò)的被懷疑可能發(fā)起入侵攻擊的數(shù)據(jù)包的流動(dòng)的系統(tǒng)���、方法和計(jì)算機(jī)程序產(chǎn)品,其中在檢測(cè)入侵攻擊的基礎(chǔ)上控制流動(dòng)���,并且通過針對(duì)來自源計(jì)算機(jī)網(wǎng)絡(luò)的流量加固網(wǎng)絡(luò)上的防火墻來控制流動(dòng)�����。
下文將結(jié)合附圖描述本發(fā)明的較佳實(shí)施例�,提供附圖是為了說明而非限制本發(fā)明����,其中類似的標(biāo)號(hào)表示類似的元件,且其中圖1示出一個(gè)示范性的策略代理程序的功能模塊���;圖2示出根據(jù)本發(fā)明的一個(gè)較佳實(shí)施例的入侵攻擊者表(IAT)中的每個(gè)記錄的屬性�����;圖3示出根據(jù)本發(fā)明的一個(gè)較佳實(shí)施例的入侵計(jì)數(shù)器表(COT)中的每個(gè)記錄的屬性���;圖4A、圖4B和圖4C示出在懷疑一個(gè)數(shù)據(jù)包是可能發(fā)起攻擊的數(shù)據(jù)包之一的情況下對(duì)這個(gè)數(shù)據(jù)包采取的sQoS操作;圖5A����、圖5B和圖5C示出對(duì)一個(gè)數(shù)據(jù)包采取的sQoS操作,而不論是否懷疑這個(gè)數(shù)據(jù)包可能發(fā)起攻擊��;圖6A和圖6B示出對(duì)一個(gè)數(shù)據(jù)包采取ControlBW sQoS操作的步驟���;
圖7A和圖7B示出對(duì)一個(gè)數(shù)據(jù)包采取ConnectionLimit sQoS操作的步驟���;并且圖8示出更新入侵計(jì)數(shù)器表(COT)或入侵攻擊者表(IAT)的步驟。
具體實(shí)施例方式
本文所用的術(shù)語“數(shù)據(jù)包”廣義地指在任何包交換網(wǎng)絡(luò)或其它網(wǎng)絡(luò)上傳送的數(shù)據(jù)單元�����,包括傳輸控制協(xié)議/網(wǎng)際協(xié)議(TCP/IP)包��、用戶數(shù)據(jù)報(bào)協(xié)議(UDP)包(又稱為數(shù)據(jù)報(bào))或任何其它這類數(shù)據(jù)單元���。
下文中�����,將發(fā)出數(shù)據(jù)包的計(jì)算機(jī)稱為源計(jì)算機(jī)。同時(shí),將數(shù)據(jù)包所指向的計(jì)算機(jī)稱為目標(biāo)計(jì)算機(jī)����。源計(jì)算機(jī)和目標(biāo)計(jì)算機(jī)可以是計(jì)算機(jī)網(wǎng)絡(luò)上的多臺(tái)計(jì)算機(jī)中的任兩臺(tái)計(jì)算機(jī)。
本發(fā)明提供用于對(duì)計(jì)算機(jī)網(wǎng)絡(luò)上的一或多個(gè)數(shù)據(jù)包采取安全服務(wù)質(zhì)量(sQoS)操作的系統(tǒng)��、方法和計(jì)算機(jī)程序產(chǎn)品���。采取所述操作后可以對(duì)網(wǎng)絡(luò)上的一或多臺(tái)計(jì)算機(jī)上的安全漏洞(例如��,入侵攻擊)作出響應(yīng)�。
根據(jù)各種檢測(cè)機(jī)制�,可以將入侵攻擊分為基于包的攻擊、基于序列的攻擊和基于計(jì)數(shù)器的攻擊�。基于包的攻擊是在任何包與一個(gè)規(guī)定的入侵特性相匹配時(shí)檢測(cè)到的���?��;谛蛄械墓羰窃谝幌盗械陌c一個(gè)規(guī)定的入侵特性相匹配時(shí)檢測(cè)到的?;谟?jì)數(shù)器的攻擊是在規(guī)定時(shí)間間隔內(nèi)到達(dá)的包的數(shù)量與一個(gè)規(guī)定的入侵特性相匹配時(shí)檢測(cè)到的。
基于計(jì)數(shù)器的攻擊又可以是以下兩種攻擊中的一種���,DoS攻擊和DDoS攻擊�����。在基于計(jì)數(shù)器的DoS攻擊中��,一臺(tái)源計(jì)算機(jī)攻擊網(wǎng)絡(luò)上的一或多臺(tái)目標(biāo)計(jì)算機(jī)��。在這種情況下��,存在一個(gè)入侵攻擊源�����,可以通過對(duì)這臺(tái)源計(jì)算機(jī)采取sQoS操作而對(duì)攻擊作出響應(yīng)����。
在基于計(jì)數(shù)器的DDoS攻擊中,多臺(tái)源計(jì)算機(jī)攻擊網(wǎng)絡(luò)上的一或多臺(tái)目標(biāo)計(jì)算機(jī)��。在這種情況下����,對(duì)來自所有實(shí)施攻擊的源計(jì)算機(jī)的數(shù)據(jù)包采取操作并不可行。例如���,阻斷來自大量源計(jì)算機(jī)的數(shù)據(jù)包的通道可能并不可行�。這個(gè)問題還伴隨有這樣一個(gè)事實(shí)�,那就是實(shí)施攻擊的源計(jì)算機(jī)實(shí)際上可能受網(wǎng)絡(luò)上的另一臺(tái)計(jì)算機(jī)的控制。因此�����,為了對(duì)基于計(jì)數(shù)器的DDoS攻擊作出響應(yīng)���,要對(duì)指向受攻擊目標(biāo)計(jì)算機(jī)的被懷疑可能發(fā)起攻擊的數(shù)據(jù)包采取操作��。
根據(jù)攻擊類型的不同�,可以采取多種操作�。例如,在一種類型的操作中�����,可以限制或者甚至阻斷來自一臺(tái)特殊源計(jì)算機(jī)的數(shù)據(jù)包的通道���。為了對(duì)基于包的攻擊����、基于序列的攻擊和基于計(jì)數(shù)器的DoS攻擊作出響應(yīng)而采取的操作包括(但不限于)加固防火墻(“HardenFW”)、控制帶寬(“ControlBW”)和限制連接數(shù)(“ConnectionLimit”)�����。HardenFW操作包括加固防火墻以便阻斷來自實(shí)施攻擊的源計(jì)算機(jī)的數(shù)據(jù)包的通道����。ControlBW操作包括根據(jù)數(shù)據(jù)包的長度限制來自實(shí)施攻擊的源計(jì)算機(jī)的數(shù)據(jù)包的通道。ConnectionLimit操作包括限制實(shí)施攻擊的源計(jì)算機(jī)與被攻擊的目標(biāo)計(jì)算機(jī)之間的連接數(shù)�����。為了對(duì)基于計(jì)數(shù)器的DDoS攻擊作出響應(yīng)而采取的操作包括(但不限于)ControlBW和ConnectionLimit�。所有這些操作都將在稍后詳細(xì)論述。
設(shè)想本發(fā)明可在下文稱為策略代理程序(Policy Agent)的集成的策略實(shí)施系統(tǒng)內(nèi)運(yùn)行�����。策略代理程序可以體現(xiàn)為產(chǎn)品�����,例如由iPolicy Networks Inc.of Fremont����,CA提供的ipEnforcer 5000����。這個(gè)產(chǎn)品用于對(duì)網(wǎng)絡(luò)實(shí)施管理策略��,其放在包進(jìn)入網(wǎng)絡(luò)的位置����。另外����,策略代理程序可以用諸如C、匯編等編程語言編碼�。
策略代理程序在數(shù)據(jù)包經(jīng)過時(shí)掃描數(shù)據(jù)包,并且對(duì)這些包實(shí)施網(wǎng)絡(luò)策略���。雖然策略代理程序可以采用不同的方式提供����,但是在2002年1月17日申請(qǐng)的題為“Architecture for an Integrated Policy Enforcement System”的美國專利申請(qǐng)第10/052,745號(hào)中�,可以找到對(duì)一種此類策略代理程序的描述,這篇美國專利申請(qǐng)的全部內(nèi)容以引用的方式并入本文中�。但是,注意���,所屬技術(shù)領(lǐng)域的技術(shù)人員可以使本發(fā)明適于在其它策略代理程序中運(yùn)行��。
主要參照?qǐng)D1��,下文將詳細(xì)描述一個(gè)示范性的策略代理程序的各個(gè)功能模塊���。策略代理程序包括總擴(kuò)展名生成器102�����、會(huì)話高速緩存模塊104����、應(yīng)用程序編碼模塊106����、規(guī)則引擎模塊108和策略實(shí)體110。策略代理程序還由策略管理器112支持�。進(jìn)入策略代理程序的包經(jīng)過這些功能模塊。每個(gè)功能模塊都將它的輸出附加到包中的擴(kuò)展名��,然后供策略代理程序的后續(xù)模塊使用���。
總擴(kuò)展名生成器102處理與開放系統(tǒng)互連(OSI)的第2層和第3層相關(guān)的信息的包頭(packet header)�。
會(huì)話高速緩存模塊104處理與OSI的第4層及其以上層相關(guān)的信息的包頭。
應(yīng)用程序編碼模塊106識(shí)別產(chǎn)生包的應(yīng)用程序���,并且當(dāng)包從一個(gè)應(yīng)用程序狀態(tài)轉(zhuǎn)變?yōu)榱硪粋€(gè)應(yīng)用程序狀態(tài)時(shí)追蹤包�。
規(guī)則引擎模塊108根據(jù)從前面幾個(gè)模塊收集到的信息做出策略決定��。它識(shí)別與包匹配的規(guī)則��,并且將此信息傳給策略實(shí)體110����。
策略實(shí)體110包含多個(gè)策略處理模塊�,它們又稱為服務(wù)應(yīng)用模塊(SAM)。這些模塊根據(jù)要求進(jìn)一步分析包����,并且實(shí)施策略。SAM包括(但不限于)防火墻模塊���、入侵檢測(cè)系統(tǒng)(IDS)模塊�����、虛擬專用網(wǎng)絡(luò)(VPN)模塊和提供sQoS操作的模塊(下文稱為sQoS模塊)�。
策略管理器112包括多種策略規(guī)則,它們由策略代理程序執(zhí)行�����。
IDS模塊對(duì)在網(wǎng)絡(luò)上流動(dòng)的每個(gè)數(shù)據(jù)包應(yīng)用一組入侵檢測(cè)策略�,以便確定數(shù)據(jù)包是否對(duì)應(yīng)于攻擊。如果其中一個(gè)IDS模塊檢測(cè)到攻擊��,那么它還確定攻擊的類型��,攻擊可以是基于計(jì)數(shù)器的攻擊��,也可以是基于包的攻擊或基于序列的攻擊����。然后,IDS模塊將此信息傳給復(fù)數(shù)個(gè)sQoS模塊中的一個(gè)sQoS模塊��。然后��,這個(gè)sQoS模塊根據(jù)本發(fā)明的一個(gè)實(shí)施例對(duì)此數(shù)據(jù)包采取操作���。
雖然IDS模塊可以采用不同的方式提供����,但是在2002年1月17日申請(qǐng)的題為“System and Method for Detection of Intrusion Attacks on PacketsTransmitted on a Network”的美國專利申請(qǐng)第10/052,328號(hào)中,可以找到對(duì)一個(gè)此類IDS模塊的描述�����,這篇美國專利申請(qǐng)的全部內(nèi)容以引用的方式并入本文中���。然而���,注意,所屬技術(shù)領(lǐng)域的技術(shù)人員也可以使本發(fā)明適于結(jié)合其它IDS模塊運(yùn)行�����。還應(yīng)注意��,雖然已經(jīng)描述了關(guān)于IDS模塊的安全服務(wù)質(zhì)量操作的觸發(fā)���,但是其它SAM模塊(例如,防火墻或殺毒軟件)也可觸發(fā)安全服務(wù)質(zhì)量操作��。
由IDS模塊傳送的這個(gè)信息起到觸發(fā)sQoS模塊采取相關(guān)操作的作用�。如上所述,根據(jù)是否存在攻擊以及攻擊的類型,sQoS模塊對(duì)數(shù)據(jù)包采取適當(dāng)?shù)牟僮鳌?br>
在攻擊是基于包的攻擊��、或基于序列的攻擊�����、或基于計(jì)數(shù)器的DoS攻擊的情況下����,使用入侵攻擊者表(Intrusion Attacker Table,IAT)有助于采取適當(dāng)?shù)牟僮?。這個(gè)表中存儲(chǔ)了決定操作類型和范圍的各種屬性。IAT中還存儲(chǔ)了關(guān)于過往攻擊的歷史信息�����。例如��,此信息可以包含之前為了對(duì)來自特殊源計(jì)算機(jī)的攻擊作出響應(yīng)而采取的操作�。此信息也可包括之前那些操作生效的時(shí)間周期。此信息用于對(duì)來自已經(jīng)實(shí)施攻擊的源計(jì)算機(jī)的數(shù)據(jù)包采取適當(dāng)?shù)牟僮鳌?br>
IAT的每個(gè)記錄中所存儲(chǔ)的屬性包括(但不限于)已經(jīng)實(shí)施攻擊的源計(jì)算機(jī)的IP地址�、對(duì)發(fā)起攻擊的數(shù)據(jù)包采取的操作和此項(xiàng)操作生效的時(shí)間周期。每個(gè)記錄還可包括任何被視為是對(duì)后續(xù)數(shù)據(jù)包采取操作所必需的其它屬性�。
使用IAT還有助于即使在沒有攻擊的時(shí)候?qū)?shù)據(jù)包采取適當(dāng)?shù)牟僮鳌T谶@種情形下����,根據(jù)IAT處理數(shù)據(jù)包����。根據(jù)IAT處理數(shù)據(jù)包的過程包括搜索IAT中與源計(jì)算機(jī)的IP地址對(duì)應(yīng)的記錄���。如果存在這樣的記錄�,并且此類記錄中所存儲(chǔ)的操作的時(shí)間周期尚未期滿�,那么對(duì)數(shù)據(jù)包采取這項(xiàng)操作。更多關(guān)于根據(jù)IAT處理數(shù)據(jù)包的步驟的細(xì)節(jié)稍后將論述���。
現(xiàn)在主要參照?qǐng)D2��,下文將詳細(xì)描述根據(jù)本發(fā)明的一個(gè)較佳實(shí)施例的IAT中的每個(gè)記錄的屬性�。IAT中的記錄200包含下列屬性O(shè)utIP 202-OutIP 202表示發(fā)起入侵的源計(jì)算機(jī)的IP地址�。
IAT操作204-IAT操作204表示在存在攻擊的情況下對(duì)數(shù)據(jù)包采取的操作。此項(xiàng)操作包括(但不限于)HardenFW�、ControlBW和ConnectionLimit。
FW加固時(shí)間周期206-FW加固時(shí)間周期206表示對(duì)OutIP施加的HardenFW操作的有效時(shí)間間隔�。
BW控制時(shí)間周期208-BW控制時(shí)間周期208表示對(duì)OutIP施加的ControlBW操作的有效時(shí)間間隔���。
Conn限制時(shí)間周期210-Conn限制時(shí)間周期210表示對(duì)OutIP施加的ConnectionLimit操作的有效時(shí)間間隔�。
FW加固開始時(shí)間212-FW加固開始時(shí)間212表示對(duì)OutIP施加HardenFW操作的初始時(shí)間戳。
BW控制開始時(shí)間214-BW控制開始時(shí)間214表示對(duì)OutIP施加ControlBW操作的初始時(shí)間戳����。
Conn限制開始時(shí)間216-Conn限制開始時(shí)間216表示對(duì)OutIP施加ConnectionLimit操作的初始時(shí)間戳。
BW當(dāng)前令牌218-BW當(dāng)前令牌218表示在采取ControlBW操作的情況下為了控制帶寬而可以在數(shù)據(jù)包中傳送的數(shù)據(jù)的字節(jié)數(shù)�����。
Conn當(dāng)前令牌220-Conn當(dāng)前令牌220表示在采取ConnectionLimit操作的情況下為了控制速率而可以允許的連接數(shù)����。
BW令牌時(shí)間戳222-BW令牌時(shí)間戳222表示最后一次更新BW當(dāng)前令牌值時(shí)的時(shí)間戳。
Conn令牌時(shí)間戳224-Conn令牌時(shí)間戳224表示最后一次更新Conn當(dāng)前令牌值時(shí)的時(shí)間戳����。
Max BW 226-Max BW 226表示OutIP的BW當(dāng)前令牌值的上限。
最大連接率228-最大連接率228表示OutIP的Conn當(dāng)前令牌值的上限�����。
在攻擊是基于計(jì)數(shù)器的DDoS攻擊的情況下��,使用入侵計(jì)數(shù)器表(Intrusion Counter Table����,COT)有助于采取操作���。COT根據(jù)被攻擊的計(jì)算機(jī)的IP地址存儲(chǔ)信息。同時(shí)���,在COT中沒有與HardenFW操作相關(guān)的屬性����。
現(xiàn)在主要參照?qǐng)D3��,下文將詳細(xì)描述根據(jù)本發(fā)明的一個(gè)較佳實(shí)施例的COT中的每個(gè)記錄的屬性���。COT中的記錄300包含下列屬性InIP 302-InIP 302表示受攻擊的目標(biāo)計(jì)算機(jī)的IP地址�����。
BW/Conn當(dāng)前令牌304-在采取ConrolBW操作的情況下�,BW/Conn當(dāng)前令牌304表示為了控制帶寬而可以在數(shù)據(jù)包中傳送的數(shù)據(jù)的字節(jié)數(shù)��;在采取ConnectionLimit操作的情況下����,BW/Conn當(dāng)前令牌304表示為了控制速率而可以允許的連接數(shù)。
BW/Conn令牌時(shí)間戳306-BW/Conn令牌時(shí)間戳306表示最后一次更新BW/Conn當(dāng)前令牌值時(shí)的時(shí)間戳�����。
Max BW/連接率308-Max BW/連接率308表示InIP的BW/Conn當(dāng)前令牌值的上限�����。
下文將描述支配sQoS模塊在接收來自IDS模塊的觸發(fā)信息時(shí)作出的響應(yīng)的各種策略�。
現(xiàn)在主要參照?qǐng)D4A、圖4B和圖4C��,下文將詳細(xì)描述當(dāng)IDS所傳送的信息對(duì)應(yīng)于攻擊時(shí)的sQoS操作�����。在步驟402�,sQoS模塊取得為對(duì)攻擊作出響應(yīng)而將采取的操作。隨后在步驟404進(jìn)行檢查�����,以便確定IDS所傳送的信息是否對(duì)應(yīng)于基于計(jì)數(shù)器的DDoS攻擊����。如果這個(gè)信息不是對(duì)應(yīng)于基于計(jì)數(shù)器的DDoS攻擊,那么在步驟406進(jìn)行檢查���,以便確定操作是否是HardenFW����。如果操作是HardenFW,那么在步驟408更新IAT�����,并且在步驟410對(duì)數(shù)據(jù)包采取操作���。HardenFW操作包括將包標(biāo)記為將要丟棄���。隨后,如圖所示���,借助于連接器412��,傳送包以用于根據(jù)IAT進(jìn)行處理��。
不管攻擊的類型如何����,在步驟414進(jìn)行檢查,以便確定操作是否是ControlBW���。如果操作是ControlBW���,那么在步驟416更新COT或IAT���。根據(jù)攻擊類型選擇將要更新的表���。如果攻擊是基于計(jì)數(shù)器的DDoS攻擊,那么更新COT���,而如果攻擊是基于包的攻擊�����、或基于序列的攻擊�����、或基于計(jì)數(shù)器的DoS攻擊��,那么更新IAT����。隨后在步驟420,對(duì)數(shù)據(jù)包采取操作�。然后,如圖所示�,借助于連接器412,傳送包以用于根據(jù)IAT進(jìn)行處理���。更多關(guān)于ControlBW操作的細(xì)節(jié)稍后將論述��。
現(xiàn)在回到步驟414���,如果操作不是ControlBW,那么在步驟422進(jìn)行檢查�,以便確定操作是否是ConnectionLimit。如果操作是ConnectionLimit���,那么在步驟424�����,更新COT或IAT��。如果攻擊是基于計(jì)數(shù)器的DDoS攻擊��,那么更新COT��,而如果攻擊是基于包的攻擊����、或基于序列的攻擊、或基于計(jì)數(shù)器的DoS攻擊�,那么更新IAT。隨后在步驟428����,對(duì)數(shù)據(jù)包采取操作�。然后,如圖所示���,借助于連接器412��,傳送包以用于根據(jù)IAT進(jìn)行處理�����。更多關(guān)于ConnectionLimit操作的細(xì)節(jié)稍后將論述��。
回到步驟422�,如果操作不是ConnectionLimit,那么在步驟430進(jìn)行檢查��,以便確定操作是否是丟棄(Drop)����。如果操作是丟棄,那么在步驟432����,將數(shù)據(jù)包標(biāo)記為將要丟棄。隨后傳送包����,以用于在步驟434根據(jù)IAT進(jìn)行處理。
回到步驟430����,如果操作不是丟棄,那么在步驟436進(jìn)行檢查���,以便確定操作是否是報(bào)警(Alert)���。如果操作是報(bào)警,那么在步驟438產(chǎn)生一個(gè)警報(bào)消息�。隨后傳送包����,以用于在步驟434根據(jù)IAT進(jìn)行處理�����。
回到步驟436����,如果操作不是報(bào)警,那么在步驟440進(jìn)行檢查�����,以便確定操作是否是記錄(Log)��。如果操作是記錄����,那么在步驟442��,用關(guān)于入侵的信息更新記錄表���。隨后傳送包���,以用于在步驟434根據(jù)IAT進(jìn)行處理��。
回到步驟440�,如果操作不是記錄����,那么不采取任何操作即傳送數(shù)據(jù)包,以用于在步驟434根據(jù)IAT進(jìn)行處理���。
現(xiàn)在主要參照?qǐng)D5A�、圖5B和圖5C�����,下文將詳細(xì)描述傳送數(shù)據(jù)包以便根據(jù)IAT進(jìn)行處理時(shí)的sQoS操作����。在步驟502,sQoS模塊檢查數(shù)據(jù)包是否是IP包�����。如果數(shù)據(jù)包不是IP包��,那么如圖所示,借助于連接器504��,釋放包����。但是,如果數(shù)據(jù)包是IP包���,那么sQoS模塊查找與源計(jì)算機(jī)的IP地址(下文稱為OutIP)對(duì)應(yīng)的記錄���。如果在步驟506沒有發(fā)現(xiàn)這樣的記錄,那么如圖所示����,借助于連接器504,釋放包�����。但是����,如果在IAT中存在與OutIP對(duì)應(yīng)的記錄����,那么在步驟508�,sQoS模塊從IAT中的記錄獲取相應(yīng)操作��。
在步驟510進(jìn)行檢查���,以便確定操作是否是ControlBW���。參照步驟510,如果操作是ControlBW�,那么在步驟512,sQoS模塊利用IAT記錄的屬性BW控制開始時(shí)間和BW控制時(shí)間周期來檢查操作的生效周期是否已經(jīng)期滿����。如果這個(gè)周期尚未期滿,那么在步驟514���,對(duì)數(shù)據(jù)包采取ControlBW操作�����。隨后���,不管步驟512的結(jié)果如何��,如圖所示���,借助于連接器504,釋放包����。關(guān)于ControlBW操作的細(xì)節(jié)稍后將揭示。
回到步驟510�����,如果操作不是ControlBW�����,那么在步驟516進(jìn)行檢查��,以便確定操作是否是ConnectionLimit��。如果操作是ConnectionLimit����,那么在步驟518�,sQoS模塊利用IAT記錄的屬性Conn限制開始時(shí)間和Conn限制時(shí)間周期來檢查操作的生效周期是否已經(jīng)期滿�����。如果這個(gè)周期已經(jīng)期滿���,那么不對(duì)包采取任何操作。但是�����,如果這個(gè)周期尚未期滿�,那么在步驟520,對(duì)數(shù)據(jù)包采取ConnectionLimit操作��。隨后���,不管步驟518的結(jié)果如何�,如圖所示��,借助于連接器504��,釋放包��。關(guān)于ConnectionLimit操作的細(xì)節(jié)稍后將揭示。
回到步驟516���,如果操作不是ConnectionLimit��,那么在步驟522進(jìn)行檢查�����,以便確定操作是否是HardenFW�����。如果操作是HardenFW�����,那么在步驟524���,sQoS模塊利用IAT記錄的屬性FW加固開始時(shí)間和FW加固時(shí)間周期來檢查操作的生效周期是否已經(jīng)期滿。如果這個(gè)周期已經(jīng)期滿�,那么不對(duì)包采取任何操作。但是����,如果這個(gè)周期尚未期滿,那么在步驟526,將包標(biāo)記為將要丟棄�����。隨后�����,不管步驟524的結(jié)果如何����,在步驟528釋放包��。
如上所述�����,可以對(duì)數(shù)據(jù)包采取的操作之一是ControlBW���。這項(xiàng)操作包括根據(jù)數(shù)據(jù)包的長度來控制網(wǎng)絡(luò)上的數(shù)據(jù)包的通道?,F(xiàn)在主要參照?qǐng)D6A和圖6B��,下文將詳細(xì)描述ControlBW操作�����。在步驟602進(jìn)行檢查,以便確定攻擊是否是基于計(jì)數(shù)器的DDoS攻擊���。如果攻擊是基于計(jì)數(shù)器的DDoS攻擊���,那么在步驟604,從COT檢索與InIP對(duì)應(yīng)的記錄��。如果攻擊不是基于計(jì)數(shù)器的DDoS攻擊����,那么在步驟606,從IAT查找與OutIP對(duì)應(yīng)的記錄��。在從合適的表中檢索記錄后����,在步驟608,獲得當(dāng)前時(shí)間戳值���。
在步驟610����,將BW令牌時(shí)間戳值與當(dāng)前時(shí)間戳值進(jìn)行比較。如果當(dāng)前時(shí)間戳值比BW令牌時(shí)間戳值大至少預(yù)定的值t1�����,那么在步驟612���,在記錄中增加BW當(dāng)前令牌值。
隨后在步驟614����,用當(dāng)前時(shí)間戳值更新BW令牌時(shí)間戳值。然后���,不管步驟610的結(jié)果如何����,在步驟616��,將BW當(dāng)前令牌值與考慮中的數(shù)據(jù)包的長度進(jìn)行比較���。如果數(shù)據(jù)包的長度大于BW當(dāng)前令牌值��,那么在步驟618����,將數(shù)據(jù)包標(biāo)記為將要丟棄。否則在步驟620����,將BW當(dāng)前令牌值減去一個(gè)等于數(shù)據(jù)包長度的量。
在本發(fā)明的一個(gè)較佳實(shí)施例中����,將t1的值設(shè)為1秒。同時(shí)��,當(dāng)滿足所需條件時(shí)����,BW當(dāng)前令牌值增大為Max BW。
在本發(fā)明的一個(gè)替代實(shí)施例中�����,BW當(dāng)前令牌值的增大與當(dāng)前時(shí)間戳值與BW令牌時(shí)間戳值之間的差值成比例�。
可以對(duì)數(shù)據(jù)包采取的另一項(xiàng)操作是Connection Limit。這項(xiàng)操作包括根據(jù)新連接請(qǐng)求數(shù)據(jù)包的到達(dá)速率來控制數(shù)據(jù)包的通道?���,F(xiàn)在主要參照?qǐng)D7A和圖7B�����,下文將詳細(xì)描述Connection Limit操作����。在步驟702進(jìn)行檢查����,以便確定數(shù)據(jù)包是否是一個(gè)新的連接請(qǐng)求數(shù)據(jù)包�。如果數(shù)據(jù)包不是新的連接請(qǐng)求數(shù)據(jù)包,那么不對(duì)數(shù)據(jù)包采取任何操作�����。否則在步驟704進(jìn)行檢查��,以便確定攻擊是否是基于計(jì)數(shù)器的DDoS攻擊�。如果攻擊是基于計(jì)數(shù)器的DDoS攻擊,那么在步驟706���,從COT檢索與InIP對(duì)應(yīng)的記錄�����。如果攻擊不是基于計(jì)數(shù)器的DDoS攻擊�,那么在步驟708,從IAT查找與OutIP對(duì)應(yīng)的記錄���。在從合適的表檢索記錄后�,在步驟710�,獲得當(dāng)前時(shí)間戳值。
在步驟712�,將Conn令牌時(shí)間戳值與當(dāng)前時(shí)間戳值進(jìn)行比較。如果當(dāng)前時(shí)間戳值比Conn令牌時(shí)間戳值大至少預(yù)定的值t2��,那么在步驟714����,在記錄中增加Conn當(dāng)前令牌值。
隨后在步驟716����,用當(dāng)前時(shí)間戳值更新Conn令牌時(shí)間戳值。然后���,不管步驟712的結(jié)果如何���,在步驟718�����,將Conn當(dāng)前令牌值與考慮中的數(shù)據(jù)包的長度進(jìn)行比較���。如果數(shù)據(jù)包的長度大于Conn當(dāng)前令牌值,那么在步驟720���,將數(shù)據(jù)包標(biāo)記為將要丟棄��。否則在步驟722�,將Conn當(dāng)前令牌值減1���。
在本發(fā)明的一個(gè)較佳實(shí)施例中,將t2值設(shè)為1秒��。同時(shí)����,當(dāng)滿足所需條件時(shí),Conn當(dāng)前令牌值增大為最大連接率�。
在本發(fā)明的一個(gè)替代實(shí)施例中,Conn當(dāng)前令牌值的增大與當(dāng)前時(shí)間戳與Conn令牌時(shí)間戳之間的差值成比例�。
如上所述�����,如果存在攻擊�����,那么sQoS模塊所采取的操作可以包括更新IAT或COT���。更新方法如本文所述。現(xiàn)在主要參照?qǐng)D8���,下文將詳細(xì)描述更新IAT或COT的步驟���。
在步驟802進(jìn)行檢查,以便確定攻擊是否是基于計(jì)數(shù)器的DDoS攻擊�。如果攻擊是基于計(jì)數(shù)器的DDoS攻擊,那么在步驟804進(jìn)行檢查����,以便確定在COT中是否存在與InIP對(duì)應(yīng)的記錄。如果在COT中沒有與InIP對(duì)應(yīng)的記錄����,那么在步驟806�����,在COT中創(chuàng)建一個(gè)新記錄�����。
回到步驟802�,如果攻擊不是基于計(jì)數(shù)器的DDoS攻擊��,那么在步驟808進(jìn)行檢查�,以便確定在IAT中是否存在與OutIP對(duì)應(yīng)的記錄。如果在IAT中沒有與OutIP對(duì)應(yīng)的記錄���,那么在步驟810���,在IAT中創(chuàng)建一個(gè)新記錄��。但是�,如果存在與OutIP對(duì)應(yīng)的記錄,那么在步驟812�,檢索這個(gè)記錄。隨后,在步驟814��,更新這個(gè)記錄的兩個(gè)或兩個(gè)以上屬性�����。例如�����,如果操作是HardenFW���,那么相應(yīng)地更新IAT操作�����,同時(shí)更新FW開始時(shí)間�����。但是���,F(xiàn)W加固周期可以更新也可以不更新。如果操作是ControlBW�,那么相應(yīng)地更新IAT操作,同時(shí)更新BW開始時(shí)間。但是�����,BW控制周期可以更新也可以不更新��。如果操作是ConnectionLimit���,那么相應(yīng)地更新IAT操作��,同時(shí)更新Conn開始時(shí)間��。但是�,Conn限制周期可以更新也可以不更新����。
在本發(fā)明的一個(gè)較佳實(shí)施例中,結(jié)合多個(gè)哈希表來構(gòu)建COT和IAT��。當(dāng)其中一個(gè)哈希表含有COT中的記錄的密鑰時(shí)���,其它哈希表含有IAT中的記錄的密鑰����。當(dāng)在COT或IAT中增加一個(gè)新記錄時(shí)�,同時(shí)更新對(duì)應(yīng)的哈希表。
本發(fā)明的一個(gè)優(yōu)點(diǎn)是�,它對(duì)網(wǎng)絡(luò)上的計(jì)算機(jī)上的入侵攻擊作出響應(yīng),同時(shí)使服務(wù)質(zhì)量保持在一定的安全等級(jí)��。本發(fā)明的另一個(gè)優(yōu)點(diǎn)是�,除了傳統(tǒng)的DoS攻擊外,它還通過采取適當(dāng)?shù)牟僮鞫鴮?duì)DDoS攻擊作出響應(yīng)�。本發(fā)明的又一個(gè)優(yōu)點(diǎn)是,它通過利用入侵攻擊歷史來保護(hù)網(wǎng)絡(luò)上的計(jì)算機(jī)�,使它們免受入侵攻擊。
如上所述��,本發(fā)明是結(jié)合策略代理程序的IDS及其它模塊實(shí)現(xiàn)此目標(biāo)的�。
本發(fā)明所述的系統(tǒng)或其任一組件可以體現(xiàn)為處理機(jī)的形式。處理機(jī)的典型實(shí)例包括通用計(jì)算機(jī)��、程序化微處理器���、微控制器����、外圍集成電路元件和其它能夠?qū)嵤?gòu)成本發(fā)明的方法的步驟的裝置或裝置配置���。
處理機(jī)通過執(zhí)行存儲(chǔ)在一或多個(gè)存儲(chǔ)元件中的一組指令來處理輸入數(shù)據(jù)����。根據(jù)需要,存儲(chǔ)元件也可保存數(shù)據(jù)或其它信息���。存儲(chǔ)元件可以是存在于處理機(jī)中的數(shù)據(jù)庫或物理存儲(chǔ)元件的形式���。
這組指令可以包括各種指示處理機(jī)執(zhí)行特殊任務(wù)(例如,構(gòu)成本發(fā)明的方法的步驟)的指令����。這組指令可以是程序或軟件的形式。軟件可以是各種形式�,例如系統(tǒng)軟件或應(yīng)用軟件。另外�,軟件也可能是單獨(dú)程序的集合、具有較大程序的程序模塊或程序模塊的一部分的形式��。軟件也可能包括面向?qū)ο缶幊绦问降哪K編程���。通過處理機(jī)處理輸入數(shù)據(jù)可以對(duì)用戶命令作出響應(yīng)���,或?qū)χ暗奶幚斫Y(jié)果作出響應(yīng)���,或?qū)α硪惶幚頇C(jī)的請(qǐng)求作出響應(yīng)�。
所屬技術(shù)領(lǐng)域的技術(shù)人員應(yīng)了解,各種處理機(jī)和/或存儲(chǔ)元件并不需要在物理上位于同一地理位置����。處理機(jī)和/或存儲(chǔ)元件可以在地理上位于不同位置,并且相互連接��,以便能夠進(jìn)行通信���?�?梢允褂酶鞣N通信技術(shù)在處理機(jī)和/或存儲(chǔ)元件之間實(shí)現(xiàn)通信��。這些技術(shù)包括網(wǎng)絡(luò)形式的處理機(jī)和/或存儲(chǔ)元件之間的會(huì)話�����。網(wǎng)絡(luò)可以是內(nèi)聯(lián)網(wǎng)�����、外聯(lián)網(wǎng)�、互聯(lián)網(wǎng)或任何允許通信的客戶端服務(wù)器模型。這些通信技術(shù)可以使用各種協(xié)議����,例如TCP/IP、UDP�����、ATM或OSI����。
盡管上文說明并描述了本發(fā)明的較佳實(shí)施例,但是很明顯�,本發(fā)明不只限于這些實(shí)施例。在不脫離權(quán)利要求書中所描述的本發(fā)明的精神和范圍的前提下���,所屬技術(shù)領(lǐng)域的技術(shù)人員可以明白各種修改�����、改變���、變化、替換和等價(jià)形式����。
權(quán)利要求
1.一種確保受保護(hù)的計(jì)算機(jī)網(wǎng)絡(luò)在面臨安全漏洞時(shí)所提供的服務(wù)質(zhì)量的方法���,所述服務(wù)質(zhì)量是通過對(duì)一或多個(gè)數(shù)據(jù)包采取安全服務(wù)質(zhì)量操作來確保的,所述數(shù)據(jù)包從一或多臺(tái)源計(jì)算機(jī)指向一臺(tái)目標(biāo)計(jì)算機(jī)�,所述源計(jì)算機(jī)和所述目標(biāo)計(jì)算機(jī)是計(jì)算機(jī)網(wǎng)絡(luò)的一部分�����,采取所述安全服務(wù)質(zhì)量操作后可以對(duì)從外部系統(tǒng)接收到的觸發(fā)信息作出響應(yīng)�,所述外部系統(tǒng)確定所述數(shù)據(jù)包中的一或多個(gè)數(shù)據(jù)包是否會(huì)對(duì)所述目標(biāo)計(jì)算機(jī)發(fā)起攻擊,所述外部系統(tǒng)還確定攻擊類型��,并且所述外部系統(tǒng)傳送關(guān)于攻擊類型的信息作為所述觸發(fā)信息���,所述方法包括下列步驟a.對(duì)所述數(shù)據(jù)包中的每個(gè)數(shù)據(jù)包采取所述安全服務(wù)質(zhì)量操作�����,所述操作取決于接收到的所述觸發(fā)信息���;并且b.在采取完所述操作后釋放所述數(shù)據(jù)包。
2.如權(quán)利要求1所述的方法��,其中所述采取所述安全服務(wù)質(zhì)量操作的步驟包括在所述數(shù)據(jù)包中附加數(shù)據(jù)的步驟,所述附加數(shù)據(jù)指明處理器將要采取的操作����,所述數(shù)據(jù)包在釋放后轉(zhuǎn)向所述處理器。
3.一種確保受保護(hù)的計(jì)算機(jī)網(wǎng)絡(luò)在面臨安全漏洞時(shí)所提供的服務(wù)質(zhì)量的方法����,所述服務(wù)質(zhì)量是通過對(duì)一或多個(gè)數(shù)據(jù)包采取安全服務(wù)質(zhì)量操作來確保的,所述數(shù)據(jù)包從一或多臺(tái)源計(jì)算機(jī)指向一臺(tái)目標(biāo)計(jì)算機(jī)��,所述源計(jì)算機(jī)和所述目標(biāo)計(jì)算機(jī)是計(jì)算機(jī)網(wǎng)絡(luò)的一部分��,采取所述安全服務(wù)質(zhì)量操作后可以對(duì)從外部系統(tǒng)接收到的觸發(fā)信息作出響應(yīng)�,所述外部系統(tǒng)確定所述數(shù)據(jù)包中的一或多個(gè)數(shù)據(jù)包是否會(huì)對(duì)所述目標(biāo)計(jì)算機(jī)發(fā)起攻擊,所述外部系統(tǒng)還確定攻擊類型����,并且所述外部系統(tǒng)傳送關(guān)于攻擊類型的信息作為所述觸發(fā)信息,所述方法包括下列步驟a.對(duì)所述數(shù)據(jù)包中的每個(gè)數(shù)據(jù)包采取所述安全服務(wù)質(zhì)量操作����,所述操作取決于接收到的所述觸發(fā)信息,所述對(duì)所述數(shù)據(jù)包中的每個(gè)數(shù)據(jù)包采取所述安全服務(wù)質(zhì)量操作的步驟進(jìn)一步包括下列步驟i.確定所述觸發(fā)信息是否對(duì)應(yīng)于一攻擊��,ii.如果所述觸發(fā)信息對(duì)應(yīng)于一攻擊,那么檢查所述攻擊是否是基于計(jì)數(shù)器的DDoS攻擊����,iii.如果所述攻擊是基于計(jì)數(shù)器的DDoS攻擊,那么采取下列步驟(1)采取對(duì)應(yīng)于基于計(jì)數(shù)器的DDoS攻擊的操作����,并且(2)根據(jù)IAT處理所述包,所述IAT含有多個(gè)記錄���,這些記錄存儲(chǔ)對(duì)應(yīng)于一或多臺(tái)源計(jì)算機(jī)所發(fā)起的基于包的攻擊和基于序列的攻擊的信息��,iv.如果所述觸發(fā)信息對(duì)應(yīng)于一攻擊,并且如果所述攻擊不是基于計(jì)數(shù)器的DDoS攻擊�,那么采取下列步驟(1)采取對(duì)應(yīng)于基于包的攻擊、基于序列的攻擊或基于計(jì)數(shù)器的DoS攻擊的操作�����,并且(2)根據(jù)所述IAT處理所述包�����,并且v.如果所述觸發(fā)信息不對(duì)應(yīng)于一攻擊����,那么根據(jù)所述IAT處理所述包�����;并且b.在采取完所述操作后釋放所述數(shù)據(jù)包���。
4.如權(quán)利要求3所述的方法,其中所述采取所述安全服務(wù)質(zhì)量操作的步驟進(jìn)一步包括在所述數(shù)據(jù)包中附加數(shù)據(jù)的步驟��,所述附加數(shù)據(jù)指明處理器將要采取的操作���,所述數(shù)據(jù)包在釋放后轉(zhuǎn)向所述處理器���。
5.如權(quán)利要求3所述的方法,其中所述采取對(duì)應(yīng)于基于計(jì)數(shù)器的DDoS攻擊的操作的步驟包括下列步驟a.確定將要采取的操作是否是ControlBW�����;b.如果將要采取的操作是ControlBW�����,那么采取下列步驟i.更新COT�����,并且ii.限制所述數(shù)據(jù)包向所述目標(biāo)計(jì)算機(jī)的流動(dòng),所述流動(dòng)是根據(jù)所述數(shù)據(jù)包的長度來進(jìn)行限制的�����;c.如果將要采取的操作不是ControlBW�����,那么確定將要采取的操作是否是ConnectionLimit��;d.如果將要采取的操作是ConnectionLimit����,那么采取下列步驟i.更新所述COT,并且ii.控制到所述目標(biāo)計(jì)算機(jī)的連接數(shù)��;e.如果將要采取的操作不是ConnectionLimit�����,那么確定將要采取的操作是否是丟棄��;f.如果將要采取的操作是丟棄��,那么將所述包標(biāo)記為將要丟棄��;g.如果將要采取的操作不是丟棄�,那么檢查將要采取的操作是否是報(bào)警;h.如果將要采取的操作是報(bào)警�,那么指示一警報(bào)消息;i.如果將要采取的操作不是報(bào)警����,那么檢查將要采取的操作是否是記錄;j.如果將要采取的操作是記錄�����,那么用關(guān)于入侵的信息更新一個(gè)日志文件����;并且k.傳送所述包以用于根據(jù)所述IAT進(jìn)行處理。
6.如權(quán)利要求3所述的方法�,其中所述采取對(duì)應(yīng)于基于包的攻擊、基于序列的攻擊或基于計(jì)數(shù)器的DoS攻擊的操作的步驟包括下列步驟a.確定將要采取的操作是否是HardenFW����;b.如果將要采取的操作是HardenFW,那么采取下列步驟i.更新IAT��,所述IAT含有多個(gè)記錄,這些記錄存儲(chǔ)對(duì)應(yīng)于一或多臺(tái)源計(jì)算機(jī)所發(fā)起的基于包的攻擊和基于序列的攻擊的信息����,ii.加固防火墻,所述防火墻經(jīng)過加固后可以阻斷所述數(shù)據(jù)包的流動(dòng)��;并且c.如果將要采取的操作不是HardenFW�,那么確定將要采取的操作是否是ControlBW;d.如果將要采取的操作是ControlBW�����,那么采取下列步驟i.更新所述IAT���,并且ii.限制來自所述源計(jì)算機(jī)的所述數(shù)據(jù)包的流動(dòng)�,所述流動(dòng)是根據(jù)所述數(shù)據(jù)包的長度來進(jìn)行限制的���;e.如果將要采取的操作不是ControlBW�,那么確定將要采取的操作是否是ConnectionLimit��;f.如果將要采取的操作是ConnectionLimit����,那么采取下列步驟i.更新所述IAT,并且ii.控制來自所述源計(jì)算機(jī)的連接數(shù)���;g.如果將要采取的操作不是ConnectionLimit�����,那么確定將要采取的操作是否是丟棄����;h.如果將要采取的操作不是丟棄�����,那么檢查將要采取的操作是否是報(bào)警��;i.如果將要采取的操作是報(bào)警�����,那么指示警報(bào)消息�����;j.如果將要采取的操作不是報(bào)警����,那么檢查將要采取的操作是否是記錄���;k.如果將要采取的操作是記錄,那么用關(guān)于所述攻擊的信息更新一個(gè)日志文件����;并且l.傳送所述包以用于根據(jù)所述IAT進(jìn)行處理。
7.如權(quán)利要求3所述的方法����,其中所述根據(jù)所述IAT處理所述包的步驟包括下列步驟a.檢查所述數(shù)據(jù)包是否是一個(gè)IP包;b.如果所述數(shù)據(jù)包是一個(gè)IP包����,那么檢查在所述IAT中是否存在一個(gè)與所述源計(jì)算機(jī)的IP地址對(duì)應(yīng)的記錄;c.如果在所述IAT中存在一個(gè)與所述源計(jì)算機(jī)的所述IP地址對(duì)應(yīng)的記錄���,那么檢索這個(gè)記錄����;d.檢索將要采取的操作���,所述檢索是從所述記錄進(jìn)行�����;e.檢查將要采取的操作是否是ControlBW����;f.如果將要采取的操作是ControlBW��,那么檢查BW控制周期是否已經(jīng)期滿�����;g.如果所述BW控制周期尚未期滿�����,那么限制所述數(shù)據(jù)包的流動(dòng)����,所述流動(dòng)是根據(jù)所述數(shù)據(jù)包的長度來進(jìn)行限制的;h.如果將要采取的操作不是ControlBW����,那么檢查將要采取的操作是否是ConnectionLimit;i.如果將要采取的操作是ConnectionLimit,那么檢查Conn限制周期是否已經(jīng)期滿����;j.如果所述Conn限制周期尚未期滿,那么控制連接數(shù)�;k.如果將要采取的操作不是ConnectionLimit,那么檢查將要采取的操作是否是HardenFW�;l.如果將要采取的操作是HardenFW,那么檢查FW加固周期是否已經(jīng)期滿��;并且m.如果所述FW加固周期尚未期滿��,那么加固防火墻�����,所述防火墻經(jīng)過加固后可以阻斷所述數(shù)據(jù)包的流動(dòng)�。
8.如權(quán)利要求7所述的方法,其中所述檢查所述BW控制周期是否已經(jīng)期滿的步驟進(jìn)一步包括從BW開始時(shí)間和BW控制時(shí)間周期計(jì)算所述BW控制周期的步驟�,所述BW開始時(shí)間和所述BW控制時(shí)間周期存儲(chǔ)在所述記錄中。
9.如權(quán)利要求7所述的方法�,其中所述檢查所述Conn限制周期是否已經(jīng)期滿的步驟進(jìn)一步包括從Conn限制開始時(shí)間和Conn限制時(shí)間周期計(jì)算所述Conn限制周期的步驟,所述Conn限制開始時(shí)間和所述Conn限制時(shí)間周期存儲(chǔ)在所述記錄中���。
10.如權(quán)利要求7所述的方法��,其中所述檢查所述FW加固周期是否已經(jīng)期滿的步驟進(jìn)一步包括從FW加固開始時(shí)間和FW加固時(shí)間周期計(jì)算所述FW加固周期的步驟�,所述FW加固開始時(shí)間和所述FW加固時(shí)間周期存儲(chǔ)在所述記錄中。
11.如權(quán)利要求5����、6及7中任一權(quán)利要求所述的方法���,其中所述限制所述數(shù)據(jù)包的流動(dòng)的步驟進(jìn)一步包括下列步驟a.如果所述攻擊是基于計(jì)數(shù)器的DDoS攻擊�����,那么從所述COT檢索記錄�����,所述檢索是根據(jù)所述目標(biāo)計(jì)算機(jī)的IP地址來進(jìn)行的����;b.如果所述攻擊不是基于計(jì)數(shù)器的DDoS攻擊���,那么從所述IAT檢索記錄����,所述檢索是根據(jù)所述源計(jì)算機(jī)的IP地址來進(jìn)行的;c.從所述記錄檢索一個(gè)BW令牌時(shí)間戳值�,所述BW令牌時(shí)間戳值是在更新BW當(dāng)前令牌值時(shí)的時(shí)間戳;d.如果當(dāng)前時(shí)間比所述BW令牌時(shí)間戳值大預(yù)定間隔��,那么在所述記錄中增加所述BW當(dāng)前令牌值��;e.如果所述數(shù)據(jù)包的長度小于所述BW當(dāng)前令牌值��,那么將所述BW當(dāng)前令牌值減去數(shù)據(jù)包長度�,并且將所得值指派為BW當(dāng)前令牌值;并且f.如果所述數(shù)據(jù)包的長度大于所述BW當(dāng)前令牌值����,那么將所述數(shù)據(jù)包標(biāo)記為將要丟棄。
12.如權(quán)利要求5����、6及7中任一權(quán)利要求所述的方法,其中所述控制連接數(shù)的步驟進(jìn)一步包括下列步驟a.如果所述攻擊是基于計(jì)數(shù)器的DDoS攻擊�����,那么從所述COT檢索記錄����,所述檢索是根據(jù)所述目標(biāo)計(jì)算機(jī)的IP地址來進(jìn)行的����;b.如果所述攻擊不是基于計(jì)數(shù)器的DDoS攻擊�����,那么從所述IAT檢索記錄���,所述檢索是根據(jù)所述源計(jì)算機(jī)的IP地址來進(jìn)行的;c.從所述記錄檢索一個(gè)Conn令牌時(shí)間戳值�����,所述Conn令牌時(shí)間戳值是在更新Conn當(dāng)前令牌值時(shí)的時(shí)間戳�����;d.如果當(dāng)前時(shí)間比所述Conn令牌時(shí)間戳值大預(yù)定間隔����,那么在所述記錄中增加所述Conn當(dāng)前令牌值;e.如果所述Conn當(dāng)前令牌值大于零����,那么將所述Conn當(dāng)前令牌值減1�,并且將所得值指派為Conn當(dāng)前令牌值��;并且f.如果所述Conn當(dāng)前令牌值不大于零�,那么將所述數(shù)據(jù)包標(biāo)記為將要丟棄。
13.一種用于確保受保護(hù)的計(jì)算機(jī)網(wǎng)絡(luò)在面臨安全漏洞時(shí)所提供的服務(wù)質(zhì)量的系統(tǒng)����,所述服務(wù)質(zhì)量是通過對(duì)一或多個(gè)數(shù)據(jù)包采取安全服務(wù)質(zhì)量操作來確保的,所述數(shù)據(jù)包從一或多臺(tái)源計(jì)算機(jī)指向一臺(tái)目標(biāo)計(jì)算機(jī)��,所述源計(jì)算機(jī)和所述目標(biāo)計(jì)算機(jī)是計(jì)算機(jī)網(wǎng)絡(luò)的一部分�,采取所述安全服務(wù)質(zhì)量操作后可以對(duì)從外部系統(tǒng)接收到的觸發(fā)信息作出響應(yīng),所述外部系統(tǒng)確定所述數(shù)據(jù)包中的一或多個(gè)數(shù)據(jù)包是否會(huì)對(duì)所述目標(biāo)計(jì)算機(jī)發(fā)起攻擊�����,所述外部系統(tǒng)還確定攻擊類型����,并且所述外部系統(tǒng)傳送關(guān)于攻擊類型的信息作為所述觸發(fā)信息,所述系統(tǒng)包括a.用于對(duì)所述數(shù)據(jù)包中的每個(gè)數(shù)據(jù)包采取所述安全服務(wù)質(zhì)量操作的構(gòu)件��,所述操作取決于接收到的所述觸發(fā)信息���,所述用于對(duì)所述數(shù)據(jù)包中的每個(gè)數(shù)據(jù)包采取所述安全服務(wù)質(zhì)量操作的構(gòu)件進(jìn)一步包括i.用于確定所述觸發(fā)信息是否對(duì)應(yīng)于一攻擊的構(gòu)件�����,ii.用于檢查所述攻擊是否是基于計(jì)數(shù)器的DDoS攻擊的構(gòu)件����,iii.用于采取對(duì)應(yīng)于基于計(jì)數(shù)器的DDoS攻擊的操作的構(gòu)件,iv.用于根據(jù)IAT處理所述數(shù)據(jù)包中的每個(gè)數(shù)據(jù)包的構(gòu)件���,和v.用于在所述數(shù)據(jù)包中附加數(shù)據(jù)的構(gòu)件�;以及b.用于在采取所述操作后釋放所述數(shù)據(jù)包的構(gòu)件���。
14.一種用于確保受保護(hù)的計(jì)算機(jī)網(wǎng)絡(luò)在面臨安全漏洞時(shí)所提供的服務(wù)質(zhì)量的計(jì)算機(jī)程序產(chǎn)品,所述服務(wù)質(zhì)量是通過對(duì)一或多個(gè)數(shù)據(jù)包采取安全服務(wù)質(zhì)量操作來確保的��,所述數(shù)據(jù)包從一或多臺(tái)源計(jì)算機(jī)指向一臺(tái)目標(biāo)計(jì)算機(jī)���,所述源計(jì)算機(jī)和所述目標(biāo)計(jì)算機(jī)是計(jì)算機(jī)網(wǎng)絡(luò)的一部分�,采取所述安全服務(wù)質(zhì)量操作后可以對(duì)從外部系統(tǒng)接收到的觸發(fā)信息作出響應(yīng)�����,所述外部系統(tǒng)確定所述數(shù)據(jù)包中的一或多個(gè)數(shù)據(jù)包是否會(huì)對(duì)所述目標(biāo)計(jì)算機(jī)發(fā)起攻擊�����,所述外部系統(tǒng)還確定攻擊類型,并且所述外部系統(tǒng)傳送關(guān)于攻擊類型的信息作為所述觸發(fā)信息���,所述計(jì)算機(jī)程序產(chǎn)品包括計(jì)算機(jī)可讀媒體�����,其包括a.用于對(duì)所述數(shù)據(jù)包中的每個(gè)數(shù)據(jù)包采取所述安全服務(wù)質(zhì)量操作的第一指令構(gòu)件����,所述操作取決于接收到的所述觸發(fā)信息����,所述用于對(duì)所述數(shù)據(jù)包中的每個(gè)數(shù)據(jù)包采取所述安全服務(wù)質(zhì)量操作的第一指令構(gòu)件進(jìn)一步包括i.用于確定所述觸發(fā)信息是否對(duì)應(yīng)于一攻擊的指令構(gòu)件,ii.用于檢查所述攻擊是否是基于計(jì)數(shù)器的DDoS攻擊的指令構(gòu)件�,iii.用于采取對(duì)應(yīng)于基于計(jì)數(shù)器的DDoS攻擊的操作的指令構(gòu)件,iv.用于采取對(duì)應(yīng)于基于包的攻擊����、或基于序列的攻擊、或基于計(jì)數(shù)器的DoS攻擊的操作的指令構(gòu)件����,v.用于根據(jù)所述IAT處理所述數(shù)據(jù)包中的每個(gè)數(shù)據(jù)包的指令構(gòu)件���,和vi.用于在所述數(shù)據(jù)包中附加數(shù)據(jù)的指令構(gòu)件;以及b.用于在采取所述操作后釋放所述數(shù)據(jù)包的第二指令構(gòu)件����。
全文摘要
本發(fā)明提供用于確保受保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)在面臨安全漏洞時(shí)所提供的服務(wù)質(zhì)量的系統(tǒng)、方法和計(jì)算機(jī)程序產(chǎn)品����。通過對(duì)網(wǎng)絡(luò)上的數(shù)據(jù)包采取安全服務(wù)質(zhì)量(secure Quality of Service,sQoS)操作來確保服務(wù)質(zhì)量��。sQoS操作取決于數(shù)據(jù)包是否對(duì)應(yīng)于它們所指向的計(jì)算機(jī)(稱為目標(biāo)計(jì)算機(jī))上的攻擊�����。如果數(shù)據(jù)包對(duì)應(yīng)于攻擊�����,那么操作還取決于攻擊的類型���。如果沒有攻擊,那么操作取決于來自同一源計(jì)算機(jī)并且指向同一目標(biāo)計(jì)算機(jī)的數(shù)據(jù)包所發(fā)起的攻擊歷史�。支持操作包括HardenFW(206)��、ControlBW(208)和ConnectionLimit(210)����。
文檔編號(hào)H04L9/00GK1777874SQ200480010785
公開日2006年5月24日 申請(qǐng)日期2004年4月19日 優(yōu)先權(quán)日2003年4月21日
發(fā)明者潘卡·帕雷克, 山迪·古波塔, 威杰·曼塔尼, 沙拉伯·沙波 申請(qǐng)人:艾珀利斯網(wǎng)絡(luò)公司