專利名稱:識別惡意網(wǎng)絡消息源的系統(tǒng)與方法
技術領域:
一般地��,本發(fā)明涉及計算機與網(wǎng)絡���,更具體地��,涉及一種識別通過網(wǎng)絡發(fā)送的惡意消息源的技術。
背景技術:
現(xiàn)在大家都知道諸如內(nèi)聯(lián)網(wǎng)����、外聯(lián)網(wǎng)以及因特網(wǎng)等網(wǎng)絡。計算機與其它設備駐留在各自的網(wǎng)絡上��。(某些路由器包含在防火墻內(nèi),其執(zhí)行過濾功能和路由功能�。)當一個“源”網(wǎng)絡上的計算機發(fā)送地址為另一“目的”網(wǎng)絡上的計算機的消息時,該消息被從一個路由器轉(zhuǎn)發(fā)給下一個路由器�����,直至其到達目的網(wǎng)絡���?����?赡艽嬖谟糜谀康木W(wǎng)絡的因特網(wǎng)服務供應商(“ISP”)����,以及位于目的網(wǎng)絡的“站點”路由器�����,用來將消息轉(zhuǎn)發(fā)給目的計算機�����。由此�,不同網(wǎng)絡上的計算機與其它電子設備可以相互通信���。
根據(jù)公知的互連網(wǎng)協(xié)議(IP)標準,每個消息被分為分組��,以進行傳送與路由�。每個分組包含頭部與有效負荷。頭部包含目的主機的IP地址�,并且路由器使用該IP地址,以了解向哪里轉(zhuǎn)發(fā)該消息��。有效負荷包含諸如請求或消息等數(shù)據(jù)��。有效負荷還包含諸如提供所請求的服務的應用程序端口等信息����,并且站點路由器使用所有這些信息來確定網(wǎng)絡內(nèi)的哪個計算接收與處理該消息分組。
大部分主機具有各自的唯一IP地址��。源主機在每個消息分組的頭部內(nèi)嵌入目的主機的IP地址�。當源網(wǎng)絡發(fā)送消息分組時,到目的網(wǎng)絡的路由上的路由器將消息分組從一個路由器轉(zhuǎn)發(fā)給另一個路由器(按照“跳躍”)����,直至其到達目的主機�����。在“多聯(lián)網(wǎng)”(multi-netting)體系結(jié)構中,存在多于一個的站點網(wǎng)絡或者目的網(wǎng)絡(一般由同一公司擁有)正在廣播相同的IP地址����。每個此類站點具有不同的物理位置、不同的站點路由器以及不同的MAC地址(表示相應的站點路由器)�。多網(wǎng)絡內(nèi)每個目的網(wǎng)絡還有一或多個ISP,其在邏輯上置于目的網(wǎng)絡的站點路由器與因特網(wǎng)(及其路由器)之間�。源網(wǎng)絡在每個消息分組內(nèi)嵌入多網(wǎng)絡的IP地址(可能不知道目的為多網(wǎng)絡)。當源網(wǎng)絡發(fā)送消息分組時����,到多站點(muti-site)的路由上的路由器將消息發(fā)送給沿路徑具有最少跳躍數(shù)的、多網(wǎng)絡的(多個)ISP中的一個���,如下所述��。
經(jīng)常在源網(wǎng)絡與目的網(wǎng)絡(或者站點路由器)之間有多個可能的路徑或者路由�。根據(jù)在路由器之間不斷進行的路由器與網(wǎng)絡“拓撲”信息交換���,路由器知道各種路徑��。一般地�����,每個路由器將確定消息分組達到其目的網(wǎng)絡的最短(可用)路徑����,然后將消息分組轉(zhuǎn)發(fā)給該路徑中下一個(下游)路由器/跳躍點。有幾種不同的標準/協(xié)議可供每個路由器用來識別到目的網(wǎng)絡的最短路徑��,例如路由信息協(xié)議(“RIP”)���、開放最短路徑領先(“OSPF”)以及邊界網(wǎng)關協(xié)議(“BGP”)��。在BGP協(xié)議中����,每個路由器向其它路由器廣播其用來借助其它路由器或“節(jié)點”達到目的網(wǎng)絡的路徑��。例如����,路由器B可以廣播其使用路由器C來到達網(wǎng)絡D,路由器G可以廣播其使用路由器C來到達網(wǎng)絡D����,路由器I可以廣播其使用路由器F、G��、與C來到達網(wǎng)絡D�����,路由器E可以廣播其使用路由器E���、F��、G與C來到達網(wǎng)絡D�。根據(jù)這些廣播�����,路由器F可以確定其到網(wǎng)絡D的最短路徑為經(jīng)過路由器G與C���,并且將地址為網(wǎng)絡D的消息分組轉(zhuǎn)發(fā)給路由器G���。然后,路由器G將這些消息分組轉(zhuǎn)發(fā)給路由器C���,而路由器C將把這些消息轉(zhuǎn)發(fā)給網(wǎng)絡D���。在OSPF協(xié)議中�,“相鄰”路由器交換拓撲信息��。一般地���,每個LAN上的一個路由器與鄰近路由器交換拓撲信息��。OSPF協(xié)議規(guī)定每個路徑將把消息發(fā)送給其“相鄰”路由器�����,以提供其狀態(tài)以及網(wǎng)絡路由“成本”����。然后���,相鄰路由器向所有鄰近路由器廣播完整的路由拓撲結(jié)構����。鄰近路由器使用該信息以確定發(fā)送網(wǎng)絡業(yè)務數(shù)據(jù)哪條路徑最好�����。
不幸的是,許多由“駭客”操縱的計算機一般通過因特網(wǎng)向其它計算機發(fā)送“惡意”消息�����。一種類型的惡意消息可以形成“拒絕服務”攻擊����。在拒絕服務攻擊中����,單獨的消息可能向目的計算機請求普通服務,但是消息數(shù)目眾多����,從而其吞沒了目的計算機或轉(zhuǎn)接網(wǎng)絡的資源。這使目的計算機或網(wǎng)絡對合法用戶/客戶的性能/響應時間退化����,并且在極端的情況下,可以干脆使目的計算機關機��。
當發(fā)生拒絕服務攻擊時����,已知可以跟蹤回溯懷疑為惡意的消息源網(wǎng)絡�����。通過在所接收的消息頭部中查找源網(wǎng)絡地址��,來進行該跟蹤回溯����。在對消息跟蹤回溯到源網(wǎng)絡之后�,已知可以在防火墻或站點路由器中應用過濾器,以阻止來自該源網(wǎng)絡的IP地址的隨后的消息��。但是�,不容易識別惡意的消息。另外�,為了隱瞞其身份,某些駭客在其發(fā)送的消息分組中嵌入虛假的源IP地址����。一般將這稱為源IP地址“偽裝(spoofing)”。相應地�����,當目的網(wǎng)絡收到這些消息分組時,目的網(wǎng)絡(及其管理員)無法識別惡意消息的真實源���,即使當識別出惡意消息�、并且檢查其頭部時也如此��。
另一種公知的解決方案是為遭受拒絕服務攻擊的網(wǎng)絡在防火墻或站點路由器上依次應用過濾器�。每個過濾器阻止不同的單獨或成群的源IP地址,并且檢查是否阻止惡意業(yè)務數(shù)據(jù)�����。不幸的是��,這個過程較費時����,這是因為一般要阻止許多源IP地址。另外,在測試過程中����,某些善意消息可能會被阻止、丟棄�����、或者延遲得無法接受��。
本發(fā)明的目的是促進識別發(fā)送到多網(wǎng)絡的惡意消息源�。
本發(fā)明的目的是當消息分組中所列出的惡意消息源IP地址是“偽裝”的時,促進識別發(fā)送到多網(wǎng)絡環(huán)境的惡意消息源��。
本發(fā)明的目的是在惡意消息構成服務拒絕攻擊的情況下�,促進識別發(fā)送到多網(wǎng)絡環(huán)境的惡意消息源。
發(fā)明內(nèi)容
本發(fā)明在于識別多個源網(wǎng)絡中的一子集的系統(tǒng)�、方法以及程序。該子集包含向具有相同IP地址的多個目的位置中的一個發(fā)送了消息的一或多個源網(wǎng)絡���。對于所述多個源網(wǎng)絡中的每一個��,確定從源網(wǎng)絡到一個目的位置是否有比從源網(wǎng)絡到所述多個目的位置中其它位置少的中間跳躍點��。如果少的話���,則將該源網(wǎng)絡包含在所述子集中。否則�����,不將該源網(wǎng)絡包含在所述子集中�����。本發(fā)明的一種應用是識別拒絕服務攻擊的源。
根據(jù)本發(fā)明的特征���,在識別了所述子集之后����,依次應用過濾器以阻止來自所述子集中各個源網(wǎng)絡的消息�,從而確定所述子集中哪個源網(wǎng)絡正在發(fā)送消息。
根據(jù)本發(fā)明的另一特征�,所述確定從源網(wǎng)絡到一個目的位置是否有比從源網(wǎng)絡到所述多個目的位置中其它位置少的中間跳躍點的步驟部分地通過以下進行從路由器收集指示從所述多個源網(wǎng)絡中每一個到所述多個目的位置中每一個的路由路徑的信息。根據(jù)路由器路徑����,確定從所述多個源網(wǎng)絡中每一個到所述多個目的位置中每一個的跳躍數(shù)����。
圖1為包含其中包含本發(fā)明的因特網(wǎng)與多網(wǎng)絡環(huán)境的不同網(wǎng)絡的方框圖。
圖2為圖1的多網(wǎng)絡環(huán)境的更詳細的方框圖����。
圖3為本發(fā)明使用的多網(wǎng)絡聚合器程序的流程圖。
圖4為實現(xiàn)本發(fā)明的源網(wǎng)絡候選識別程序的流程圖��。
具體實施例方式
現(xiàn)在參照附圖詳細描述本發(fā)明。圖1顯示物理位置或者站點71處的網(wǎng)絡11上的服務器計算機9與10���,物理位置或者站點74處的網(wǎng)絡14上的服務器計算機12與13����,以及物理位置或者站點77處的網(wǎng)絡17上的服務器計算機15與16�。在該例子中,每個網(wǎng)絡11�、14、17都具有各自的站點路由器41�、44、47���,這些路由器連接到因特網(wǎng)20�。在該例子中���,因特網(wǎng)服務供應商(“ISP”)50與51在邏輯上置于站點路由器41與因特網(wǎng)之間�,ISP 50與52在邏輯上置于站點路由器44與因特網(wǎng)之間��,ISP 51與52在邏輯上置于站點路由器47與因特網(wǎng)之間��。在該例子中,兩個ISP為每個網(wǎng)絡13��、15����、17提供服務,以分擔工作負荷�,并且預防一個ISP出故障的情況。在以下情況中�,對于所有計算機9、10����、12、13��、15以及16的網(wǎng)絡11�����、14��、17具有相同IP地址(即“多聯(lián)網(wǎng)”)���,該IP地址在其它情況下在因特網(wǎng)中是唯一的。對于不同的站點路由器有不同的物理地址,并且不同IP地址表示各自的站點路由器�。當源網(wǎng)絡向多網(wǎng)絡的公共IP地址發(fā)送消息分組時,因特網(wǎng)內(nèi)在至站點路由器的路由上的路由器“R”根據(jù)諸如BGP或OSPF等公知的路由協(xié)議中的一種��,選擇多網(wǎng)絡11���、14����、17的最近的站點路由器�,以向其發(fā)送消息分組。
圖1還顯示網(wǎng)絡23上的計算機22����,網(wǎng)絡25上的計算機24,以及網(wǎng)絡27上的計算機26�����。網(wǎng)絡23�、25以及27連接到因特網(wǎng)20,并且為以下情況中的源網(wǎng)絡���。每個網(wǎng)絡23�����、25�����、27都具有單一的唯一IP地址���。在以下情況中��,計算機22是惡意的����,并且向網(wǎng)絡11����、14、17的公共IP地址發(fā)送大量消息���,例如數(shù)據(jù)請求���、回應請求、時間戳請求或者源結(jié)束(source quench)����。計算機22的目的在于利用大量消息作為“拒絕服務”攻擊,以控制網(wǎng)絡11�、14、17內(nèi)的一或多個計算機9����、10、12��、13���、15��、和/或16����,因特網(wǎng)中的路由器或網(wǎng)絡����,或者路徑中的任何其它網(wǎng)絡設備,并且由此降低對于合法或者“善意”請求者(例如計算機24與26)的性能����。計算機24與26正在向應用程序30發(fā)送量小得多的消息��,并且來自計算機24與26的消息是善意的�����。
因特網(wǎng)包含每個源計算機22���、24、26與每個目的服務器9��、10�����、12�、13、15�����、16之間的路由器(在圖1中標記為“R”)�。路由器是多方向的,即其可以在任何對計算機9�、10、12�����、13���、15���、16、22�����、24和26之間在兩個方向上路由消息��,但是在以下情況中�,消息從計算機22、24和26流向計算機9��、10����、12、13���、15和16�����。
當任意計算機22�����、24��、或26希望發(fā)送消息時�����,其根據(jù)公知的互連網(wǎng)協(xié)議(例如UDP�、ICMP、TCP)����,將該消息分為分組。每個分組都包含具有源IP地址與目的IP地址的頭部�,以及包含諸如請求或者信息等數(shù)據(jù)的有效負荷。有效負荷還包含諸如提供所請求的服務的應用程序的端口等信息�,并且站點路由器使用該信息來確定網(wǎng)絡內(nèi)哪個計算機接收和處理該消息分組。在理想情況下�,源IP地址為消息源網(wǎng)絡的真實源IP地址。但是,某些駭客將對其源計算機編程���,以將不同的IP地址嵌入其消息頭部中�����,從而試圖隱藏其源網(wǎng)絡以及挫敗某些反制措施����,例如設置針對惡意消息中的源IP地址的IP過濾器�����。源計算機向其ISP���、網(wǎng)關路由器、或者源計算機所在的網(wǎng)絡的站點路由器(其可能包含在防火墻中)發(fā)送每個消息分組�。根據(jù)其所實現(xiàn)的路由協(xié)議,ISP��、站點路由器以及因特網(wǎng)內(nèi)其它路由器“R”具有關于至目的網(wǎng)絡路由上的其它路由器的拓撲結(jié)構的信息�。例如,在公知的OSPF協(xié)議中�,路由器向其它路由器以及ISP廣播其存在(并且以隱含形式廣播其自身及相關鏈接的有效性),以及關于其所連接到的其它路由器與到目的網(wǎng)絡的路由器路徑的信息����。利用由每個ISP以及路由器從其它路由器收集的信息���,每個路由器編輯鄰近路由器、網(wǎng)絡以及到網(wǎng)絡的路由器路徑的拓撲結(jié)構���。利用該信息���,每個路由器與ISP可以至少確定到目的服務器的最短路徑的下一跳躍點。關于OSPF的其它細節(jié)可以在RFC 2328中找到��,該文件由此通過引用作為本公開的一部分融入��。在公知的BGP協(xié)議中�����,每個路由器還向ISP與其它路由器廣播其用來到達各個網(wǎng)絡的路由器路徑�。例如,路由器B可以廣播其使用路由器C來到達網(wǎng)絡D����,路由器G可以廣播其使用路由器C來到達網(wǎng)絡D,路由器I可以廣播其使用路由器F、G�、與C來到達網(wǎng)絡D,路由器E可以廣播其使用路由器E��、F�、G與C來到達網(wǎng)絡D。根據(jù)這些廣播�����,路由器F將確定其到網(wǎng)絡D的最短路徑為經(jīng)過路由器G與C�,并且將地址為網(wǎng)絡D的消息分組轉(zhuǎn)發(fā)給路由器G。然后����,路由器G將這些消息分組轉(zhuǎn)發(fā)給路由器C��,而路由器C將把這些消息轉(zhuǎn)發(fā)給網(wǎng)絡D���。利用從其它路由器獲得的拓撲結(jié)構信息�,每個ISP與路由器至少可以確定到目的服務器的最短路徑的下一跳躍點���。由每個路由器與ISP從其它路由器收到的��、指示目的網(wǎng)絡的路由路徑的信息形成了路由表中的項����。關于BGP的其它細節(jié)可以在RFC 1771中找到,該文件由此通過引用作為本公開的一部分融入����。不管使用哪種路由協(xié)議,每種路由協(xié)議的目的與效果是利用最短路由路徑�����,一般為到目的網(wǎng)絡具有最少中間路由器或者“跳躍”數(shù)的路徑�����。由此����,在這些公知協(xié)議中,當源計算機22�、24、或26發(fā)送地址為(多網(wǎng)絡)網(wǎng)絡11�、14、與17的公共IP地址消息時���,該消息被從一個路由器轉(zhuǎn)發(fā)給下一個路由器����,直至其到達多網(wǎng)絡的最近的(即跳躍數(shù)最少)站點路由器41、44�、或47的ISP。然后��,該ISP將分組轉(zhuǎn)發(fā)給相應的站點路由器����,并且該站點路由器將消息轉(zhuǎn)發(fā)給目的計算機。
圖2顯示各個目的網(wǎng)絡11���、14�、17的ISP 50��、51��、50��、52以及51���、52處的BGP(或者其它此類的)路由表的接收與聚合�����。在ISP 50與51收到來自因特網(wǎng)路由器“R”的路由表之后�,ISP 50與51將路由表轉(zhuǎn)發(fā)給網(wǎng)關路由器41內(nèi)的路由表收集器程序61�。類似地,在ISP 50與52收到來自因特網(wǎng)路由器“R”的路由表之后��,ISP 50與52將路由表轉(zhuǎn)發(fā)給網(wǎng)關路由器44內(nèi)的路由表收集器程序64����。類似地,在ISP 51與52收到來自因特網(wǎng)路由器“R”的路由表之后��,ISP 51與52將路由表轉(zhuǎn)發(fā)給網(wǎng)關路由器47內(nèi)的路由表收集器程序67�����。周期性地�����,每個路由表收集器程序61�����、64、與67將其路由表轉(zhuǎn)發(fā)給多站點路由器表聚合器程序70����。如圖3進一步所示,當程序70收到來自路由表收集器程序61�、64、與67的路由器表(步驟80)時����,程序70將每個收到的路由器表與轉(zhuǎn)發(fā)路由器表的ISP、路由器41�、44與47的物理位置以及與路由表中每個路由路徑相關的目的網(wǎng)絡相關聯(lián)(步驟82)。然后���,程序70聚合在步驟82生成的信息�,并且還計數(shù)并且記錄從每個源網(wǎng)絡到多網(wǎng)絡內(nèi)每個目的網(wǎng)絡11�、14、17的路由器跳躍數(shù)目(步驟84)�。以下表1為路由表的例子。
表1
以下表2為從路由表生成的�����、從每個源網(wǎng)絡到多網(wǎng)絡內(nèi)每個目的網(wǎng)絡的跳躍數(shù)目記錄的例子�����,但是在實際中��,在該表中會通常會表示多得多的源網(wǎng)絡����。
表2
(請注意粗體的數(shù)目為從每個源網(wǎng)絡到目的網(wǎng)絡的最小的跳躍數(shù)目/最短路徑。)當管理員懷疑有惡意攻擊(例如拒絕服務攻擊)時�,管理員啟動源網(wǎng)絡候選識別程序100,以部分地根據(jù)由程序70編輯的路由表(例如表1)以及跳躍數(shù)目表(例如表2)�����,確定從其發(fā)送了惡意消息的可能源網(wǎng)絡子集�。在表2的例子中,第一列具有用于向多網(wǎng)絡發(fā)送了消息的每個源網(wǎng)絡23���、25����、27的行/項(但是一般地要有多得多的�、甚至成千上萬的源網(wǎng)絡)。第二列表示目的位置71�����,并且具有用于從每個源網(wǎng)絡到目的位置71的跳躍數(shù)目的行/項。第三列表示目的位置74�����,并且具有用于從每個源網(wǎng)絡到目的位置74的跳躍數(shù)目的行/項���。第四列表示目的位置77�,并且具有用于從每個源網(wǎng)絡到目的位置77的跳躍數(shù)目的行/項����。
作為例子,位置77收到了作為拒絕服務攻擊的大量的惡意消息��。管理員啟動程序100����,該程序檢查表2,以確定哪個源網(wǎng)絡23��、25�����、或27(以及任意其它源網(wǎng)絡)到位置77的跳躍數(shù)目比到位置71或74(或任意其它源網(wǎng)絡)的跳躍數(shù)目少����。在表2的例子中,網(wǎng)絡23到位置77(即4)比到網(wǎng)絡14(即3)有更多的跳躍數(shù)目�;網(wǎng)絡25到位置77(即2)比到位置71(即6)或者位置74(即3)有更少的跳躍數(shù)目;網(wǎng)絡27到位置77(即3)比到位置71(即2)有更多的跳躍數(shù)目�。由此,到位置77的惡意消息的可能源來自源網(wǎng)絡25��。推理如下���。所有位置71�����、74�����、77都具有相同的IP地址����,并且因特網(wǎng)路由器“R”的路由協(xié)議試圖使從源網(wǎng)絡到目的網(wǎng)絡的跳躍數(shù)目的最小化。如果源網(wǎng)絡23(而不是源網(wǎng)絡25)發(fā)送了惡意消息�,則惡意消息將到達位置74,因為其具有最少的中間路由器跳躍數(shù)�。如果源網(wǎng)絡27(而不是源網(wǎng)絡25)發(fā)送了惡意消息,則惡意消息將到達位置71����,因為其具有最少的中間路由器跳躍數(shù)。
圖4為更詳細地顯示源網(wǎng)絡候選識別程序100的用途與功能的流程圖��。在步驟200���,程序100等待公司的系統(tǒng)管理員啟動程序100���,例如在系統(tǒng)管理員檢測到惡意的拒絕服務攻擊之后。當啟動程序100時����,管理員向程序100指出從網(wǎng)絡11、14����、17廣告的目的地址,以及被攻擊的物理地址�����。對于這個例子,假定位置77被攻擊�。當被啟動時,程序100對于位置77處的ISP 51與52創(chuàng)建空白“可能源網(wǎng)絡候選列表”201�。接著��,程序100確定從表2中第一源網(wǎng)絡行(即網(wǎng)絡23)到位置77的跳躍數(shù)目(步驟204)�。接著,程序100確定從網(wǎng)絡23到位置71(在表1的第一源網(wǎng)絡行中)的跳躍數(shù)目(步驟206)���。接著�����,程序100確定從網(wǎng)絡23到位置74(在表1的第一源網(wǎng)絡行中)的跳躍數(shù)目(步驟206)��。接著�����,程序100確定從源網(wǎng)絡23到位置77的跳躍數(shù)目是否小于從源網(wǎng)絡23到位置71以及從源網(wǎng)絡23到位置74的跳躍數(shù)目(判定208)��。如果小(判定208����,“是”分支),則程序100記錄源網(wǎng)絡23為“可能源網(wǎng)絡候選列表”上的候選(步驟210)���。在所示例子中�,從源網(wǎng)絡23到位置74的跳躍數(shù)目小于從源網(wǎng)絡23到位置77的跳躍數(shù)目(判定208�,“否”分支),因此程序100不將源網(wǎng)絡23記錄為可能源網(wǎng)絡候選列表上的候選��。接著��,程序100確定表2中是否有其它行����,即其它源網(wǎng)絡要考慮為至位置77的惡意消息的可能源(判定200,“是”分支)�。因此,程序100對于表2中的下一行(即源網(wǎng)絡25的項)疊代步驟204�����、206��、與208����。在本次疊代步驟204時���,程序100確定從源網(wǎng)絡25到目的位置77具有兩個跳躍。在本次疊代步驟206時���,程序100還確定從源網(wǎng)絡25到目的位置71具有6個跳躍���,從源網(wǎng)絡25到目的位置74具有7個跳躍���。然后�����,在本次疊代判定208時�,程序確定源網(wǎng)絡25到目的位置77的跳躍數(shù)目比到目的位置71或74更少�����。因此�����,在本次疊代判定208與210時,程序100將源網(wǎng)絡25輸入到可能源網(wǎng)絡候選列表中����。接著,程序100確定表2中是否有其它行��,即其它源網(wǎng)絡要考慮為惡意消息的可能源(判定200����,“是”分支)。因此����,程序100對于表2中的下一行(即源網(wǎng)絡27的項)疊代步驟204、206�、與208。在本次最后一次疊代步驟204時�����,程序100確定從源網(wǎng)絡27到目的位置77具有3個跳躍����。在本次最后一次疊代步驟206時,程序100還確定從源網(wǎng)絡27到目的位置71具有2個跳躍���,從源網(wǎng)絡27到目的位置74具有5個跳躍��。然后��,在本次最后一次疊代判定208時��,程序確定源網(wǎng)絡27到目的位置71的跳躍數(shù)目比到目的位置77少��。因此��,在本次最后一次疊代判定208時�,程序100不將源網(wǎng)絡27輸入到“可能源網(wǎng)絡候選列表”中。在最后一次疊代步驟204-210之后�,在可能源網(wǎng)絡候選列表中只有一項��,因此程序100通知系統(tǒng)管理員源網(wǎng)絡25為惡意消息的可能源(步驟230)���。作為響應�����,ISP 51或52的系統(tǒng)管理員可以在其連接到源網(wǎng)絡25的路由器接口上安裝對于惡意業(yè)務數(shù)據(jù)類型的速度限制過濾器(步驟240)��。通過只對連接到網(wǎng)絡25的接口應用速度限制過濾器����,不會阻止善意業(yè)務數(shù)據(jù),同時會阻止惡意業(yè)務數(shù)據(jù)��。因為程序100不是將其對可能源網(wǎng)絡候選的識別基于在位置77收到的消息中包含的IP地址���,所以其不會被此類消息中不正確(或者“偽裝”)的源IP地址欺騙���。
在典型網(wǎng)絡環(huán)境下,表2具有成千上萬的�、甚至成十萬的行表示連接到位置77的成千上萬的、甚至成十萬的源網(wǎng)絡����。在完成步驟204-210的所有疊代(對于表2中的所有行)之后,在可能源網(wǎng)絡候選列表中平均有X/N個候選��,其中“X”等于連接到位置77的源網(wǎng)絡的總數(shù)���,“N”表示通過ISP中轉(zhuǎn)的目的網(wǎng)絡的總數(shù)����。在所示例子中����,有三個這樣的目的網(wǎng)絡���,因此程序100平均排除2/3的源網(wǎng)絡而不進行進一步的考慮;它們不是惡意消息源�。然后,在步驟240中�,ISP系統(tǒng)管理員或者自動程序功能將在連接到可能源網(wǎng)絡候選列表上的源網(wǎng)絡的ISP路由器中安裝速度限制過濾器(一次一個接口)。在這種情況下�,雖然程序100沒有識別單個的源網(wǎng)絡作為惡意消息源,但是程序100大大減少了候選的數(shù)目���。這大大減少了要安裝來試圖識別然后阻止惡意消息的過濾器的數(shù)目����。
根據(jù)上述�,公開了一種確定從其發(fā)送惡意消息源網(wǎng)絡列表的系統(tǒng)��、方法以及程序��。但是��,在不偏離本發(fā)明的范圍的前提下��,可以進行許多修改與替換。因此����,本發(fā)明的公開是作為說明,而不是要限制����,應該參照權利要求來確定本發(fā)明的范圍。
權利要求
1.一種計算機實現(xiàn)的方法�����,用來識別多個源網(wǎng)絡中的一子集���,該子集包含已經(jīng)向具有相同IP地址的多個目的位置中的一個目的位置發(fā)送了消息的一或多個源網(wǎng)絡���,所述方法包含以下步驟對于所述多個源網(wǎng)絡中的每一個,確定從所述每個源網(wǎng)絡到所述一個目的位置是否有比從所述每個源網(wǎng)絡到所述多個目的位置中其它位置更少的中間跳躍點��,以及如果更少的話�����,則將所述每個源網(wǎng)絡識別為包含在所述子集中,以及否則�����,不將所述每個源網(wǎng)絡識別為包含在所述子集中����。
2.如權利要求1所述的方法,其中所述子集中的所述源網(wǎng)絡中的一個源網(wǎng)絡已經(jīng)向所述一個目的位置發(fā)送了所述消息�,并且所述消息是惡意的。
3.如權利要求1所述的方法��,其中一或多個源網(wǎng)絡正在繼續(xù)向所述一個目的位置發(fā)送消息�,并且該方法還包含以下步驟依次應用過濾器以阻止來自所述子集中各個源網(wǎng)絡的消息,從而確定所述子集中的哪個源網(wǎng)絡正在發(fā)送所述消息�。
4.如權利要求1所述的方法,其中所述一個目的位置收到了來自所述子集中的源網(wǎng)絡的許多消息���,其作為拒絕服務攻擊的一部分�。
5.如權利要求1所述的方法����,其中所述確定步驟包含以下步驟從路由器收集指示從所述多個源網(wǎng)絡中的每一個到所述多個目的位置中的每一個的路由路徑的信息��。
6.如權利要求5所述的方法,其中所述確定步驟還包含以下步驟根據(jù)所述路由器路徑�,確定從所述多個源網(wǎng)絡中的每一個到所述多個目的位置中的每一個的跳躍數(shù)目。
7.一種用來識別多個源網(wǎng)絡中的一子集的系統(tǒng)���,該子集包含已經(jīng)向具有相同IP地址的多個目的位置中的一個目的位置發(fā)送了消息的一或多個源網(wǎng)絡�����,所述系統(tǒng)包含用于以下的部件對于所述多個源網(wǎng)絡中的每一個����,確定從所述每個源網(wǎng)絡到所述一個目的位置是否有比從所述每個源網(wǎng)絡到所述多個目的位置中其它位置少的中間跳躍點�����,以及用于以下的部件響應于從所述每個源網(wǎng)絡到所述一個目的位置存在比從所述每個源網(wǎng)絡到所述多個目的位置中其它位置更少的中間跳躍點的確定結(jié)果���,將所述每個源網(wǎng)絡識別為包含在所述子集中�,而響應于從所述每個源網(wǎng)絡到所述一個目的位置不存在比從所述每個源網(wǎng)絡到所述多個目的位置中其它位置更少的中間跳躍點的確定結(jié)果�����,不將所述每個源網(wǎng)絡識別為包含在所述子集中����。
8.如權利要求7所述的系統(tǒng)���,其中所述子集中的所述源網(wǎng)絡中的一個源網(wǎng)絡已經(jīng)向所述一個目的位置發(fā)送了所述消息,并且所述消息是惡意的��。
9.如權利要求7所述的系統(tǒng)����,其中一或多個源網(wǎng)絡正在繼續(xù)向所述一個目的位置發(fā)送消息,并且該系統(tǒng)還包含用于以下的部件依次應用過濾器以阻止來自所述子集中各個源網(wǎng)絡的消息����,從而確定所述子集中的哪個源網(wǎng)絡正在發(fā)送所述消息。
10.如權利要求7所述的系統(tǒng)����,其中所述一個目的位置收到了來自所述子集中的源網(wǎng)絡的許多消息,其作為拒絕服務攻擊的一部分��。
11.如權利要求7所述的系統(tǒng)���,其中所述用于確定的部件包含用于以下的部件從路由器收集指示從所述多個源網(wǎng)絡中的每一個到所述多個目的位置中的每一個的路由路徑的信息�。
12.如權利要求11所述的系統(tǒng)��,其中所述用于確定的部件包含用于以下的部件根據(jù)所述路由器路徑,確定從所述多個源網(wǎng)絡中的每一個到所述多個目的位置中的每一個的跳躍數(shù)目���。
13.一種計算機程序產(chǎn)品,用來識別多個源網(wǎng)絡中的一子集��,該子集包含已經(jīng)向具有相同IP地址的多個目的位置中的一個目的位置發(fā)送了消息的一或多個源網(wǎng)絡�����,所述計算機程序產(chǎn)品包含計算機可讀介質(zhì)��,在其上存儲了程序指令用于執(zhí)行如權利要求1至6中任一項所述的方法��。
全文摘要
一種識別多個源網(wǎng)絡中的一子集的系統(tǒng)���、方法以及程序����。該子集包含向具有相同IP地址的多個目的位置中的一個發(fā)送了消息的一或多個源網(wǎng)絡�。對于所述多個源網(wǎng)絡中的每一個,確定從源網(wǎng)絡到一個目的位置是否有比從源網(wǎng)絡到所述多個目的位置中其它位置少的中間跳躍點�����。如果少的話,則將該源網(wǎng)絡包含在所述子集中�����。否則�����,不將該源網(wǎng)絡包含在所述子集中�。本發(fā)明的一種應用是識別拒絕服務攻擊的源。在識別了所述子集之后��,依次應用過濾器以阻止來自所述子集中各個源網(wǎng)絡的消息�����,從而確定所述子集中哪個源網(wǎng)絡正在發(fā)送消息��。
文檔編號H04L29/06GK1929404SQ20061011011
公開日2007年3月14日 申請日期2006年8月8日 優(yōu)先權日2005年9月8日
發(fā)明者布賴恩·M·奧康奈爾, 赫伯特·D·皮爾思里, 理查德·E·內(nèi)斯比特, 凱文·E·沃恩 申請人:國際商業(yè)機器公司