專利名稱:基于訂戶感知應(yīng)用代理的網(wǎng)絡(luò)保護(hù)技術(shù)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及利用訂戶感知的應(yīng)用代理(例如用于管制應(yīng)用活動的服務(wù)
網(wǎng)關(guān))來保護(hù)通信網(wǎng)絡(luò)不受攻擊和欺詐����;并且尤其涉及對發(fā)動攻擊或欺詐 的用戶的、除網(wǎng)絡(luò)地址之外的用戶標(biāo)識符進(jìn)行辨別以結(jié)束侵入(例如掃描 攻擊���,其在短時間內(nèi)向大量目的地發(fā)起分組流)����。
背景技術(shù):
由外部通信鏈路連接的通用計算機(jī)系統(tǒng)和其他設(shè)備的網(wǎng)絡(luò)是公知的�。 這些網(wǎng)絡(luò)通常包括幫助在計算機(jī)系統(tǒng)之間傳送信息的一個或多個網(wǎng)絡(luò)設(shè) 備�����。網(wǎng)絡(luò)節(jié)點是由通信鏈路連接的網(wǎng)絡(luò)設(shè)備或計算機(jī)系統(tǒng)��。這里所使用的 端節(jié)點是配置為發(fā)起或終結(jié)網(wǎng)絡(luò)上的通信的網(wǎng)絡(luò)節(jié)點��。相比之下,中間網(wǎng) 絡(luò)節(jié)點幫助在端節(jié)點之間傳送數(shù)據(jù)���。
在網(wǎng)絡(luò)節(jié)點之間�,根據(jù)許多公知的���、新的或者仍在開發(fā)中的協(xié)議中的 一個或多個來交換信息��。在此上下文中�����,"協(xié)議"由限定節(jié)點如何基于經(jīng) 由通信鏈路發(fā)送的信息來與彼此交互的一組規(guī)則構(gòu)成����。協(xié)議在每個節(jié)點內(nèi) 的不同操作層生效�����,從生成和接收各種類型的物理信號���,到選擇用于傳送 這些信號的鏈路���,到這些信號所指示的信息的格式�,到識別由在計算機(jī)系 統(tǒng)上運行的哪個軟件應(yīng)用發(fā)送或接收信息���。用于經(jīng)由網(wǎng)絡(luò)交換信息的協(xié)議 的概念上不同的層在開放系統(tǒng)互連(OSI)參考模型中描述�����。OSI參考模 型一般在1999年9月出版的Radia Perlman所著的題為"/"terco""ecrio"s SecoW^Won"的參考書的第1.1節(jié)中有更詳細(xì)描述���,特此通過引用將該 書結(jié)合進(jìn)來,就好像在這里完全闡述了一樣����。
節(jié)點之間的通信一般通過交換分立的數(shù)據(jù)分組來實現(xiàn)。每個分組一般 包括l]與特定協(xié)議相關(guān)聯(lián)的頭部信息�,以及2]跟在頭部信息之后、包含可 獨立于該特定協(xié)議來處理的信息的有效載荷信息��。在一些協(xié)議中��,分組包
括3]跟在有效載荷之后��、指示出有效載荷信息的結(jié)束的尾部信息����。頭部包 括諸如分組的源、其目的地�����、有效載荷的長度以及協(xié)議所使用的其他屬性 之類的信息��。通常�,針對特定協(xié)議的有效載荷中的數(shù)據(jù)包括針對與OSI參 考模型的不同的、通常更高的層相關(guān)聯(lián)的不同協(xié)議的頭部和有效載荷�。針 對特定協(xié)議的頭部一般指示出其有效載荷中包含的下一協(xié)議的類型。更高 層協(xié)議被認(rèn)為是封裝在更低層協(xié)議中的���。穿越多個異構(gòu)網(wǎng)絡(luò)
(heterogeneous network)(例如因特網(wǎng))的分組中所包括的頭部一般包括 如開放系統(tǒng)互連(OSI)參考模型所定義的物理(第1層)頭部��、數(shù)據(jù)鏈 路(第2層)頭部��、互聯(lián)網(wǎng)(第3層)頭部�����,以及傳輸(第4層)頭部�、 會話(第5層)頭部���、表現(xiàn)(第6層)頭部和應(yīng)用(第7層)頭部的某種 組合��。用網(wǎng)絡(luò)的用語來說���,數(shù)據(jù)隧道只是封裝該數(shù)據(jù)的協(xié)議���。
訂戶通過網(wǎng)絡(luò)接入服務(wù)器(NAS)可以訪問因特網(wǎng)服務(wù)提供商
(ISP)的分組交換網(wǎng)(PSN)。訂戶經(jīng)常使用鏈路層協(xié)議在訂戶的設(shè)備與 NAS之間形成臨時隧道����。在確定路徑時不涉及隧道協(xié)議有效載荷的內(nèi)容。 NAS通過與認(rèn)證��、授權(quán)和記帳(AAA)服務(wù)器交換分組來確定試圖進(jìn)行訪 問的實體是否實際上是經(jīng)授權(quán)可以訪問網(wǎng)絡(luò)的訂戶����。示例性的公知AAA 服務(wù)器包括遠(yuǎn)程認(rèn)證撥入用戶服務(wù)(RADIUS)服務(wù)器、終端訪問控制器 訪問控制系統(tǒng)(TACACS)服務(wù)器和DIAMETER服務(wù)器����。 一旦實體被認(rèn) 證為經(jīng)授權(quán)的訂戶,則其被準(zhǔn)予訪問ISP網(wǎng)絡(luò)�,訂戶被指定網(wǎng)絡(luò)層地址
(例如因特網(wǎng)協(xié)議(IP)地址),并且互聯(lián)網(wǎng)層有效載荷基于互聯(lián)網(wǎng)和更 高層的頭部信息而被路由��。
現(xiàn)代ISP可以向不同的訂戶提慎不同的服務(wù),包括以第4至7層協(xié)議 傳送的服務(wù)���。例如,通過在傳送前壓縮網(wǎng)頁并在訂戶自己的設(shè)備上的進(jìn)程 處解壓縮網(wǎng)頁��,可以增加向某些訂戶傳送大型網(wǎng)頁的數(shù)據(jù)速率����。如在本領(lǐng) 域中公知的,網(wǎng)頁是利用作為應(yīng)用層(第7層)協(xié)議的超文本傳輸協(xié)議
(HTTP)通過網(wǎng)絡(luò)來傳送的�����?����?梢岳镁W(wǎng)絡(luò)過濾服務(wù)來封鎖某些網(wǎng)頁��。 提供網(wǎng)頁的壓縮�、過濾和本地緩存的某種組合的服務(wù)被稱為網(wǎng)絡(luò)優(yōu)化。某 些訂戶使用諸如蜂窩電話之類的移動設(shè)備�,這些移動設(shè)備具有比其他網(wǎng)絡(luò) 設(shè)備更小的存儲和顯示能力。利用特殊協(xié)議(例如作為應(yīng)用層協(xié)議的無線
應(yīng)用協(xié)議(WAP))向這種移動設(shè)備傳送網(wǎng)頁��。在向這些訂戶進(jìn)行傳送之
前,將HTTP有效載荷轉(zhuǎn)換為WAP有效載荷��。
為了提供這些特殊服務(wù)����,服務(wù)網(wǎng)關(guān)被包括在ISP分組交換網(wǎng)絡(luò)中。服
務(wù)網(wǎng)關(guān)是在數(shù)據(jù)分組的源和目的地之間的中間網(wǎng)絡(luò)設(shè)備上工作的進(jìn)程��。服 務(wù)網(wǎng)關(guān)為了提供網(wǎng)絡(luò)服務(wù)而檢查分組有效載荷���。示例性的服務(wù)包括剛才描 述的有效載荷轉(zhuǎn)換以及其他有效載荷改變�����,并且還包括特殊記賬�、排名�、 過濾服務(wù)以及其他不修改有效載荷內(nèi)容的服務(wù)。例如����,網(wǎng)絡(luò)壓縮網(wǎng)關(guān)對去
往訂戶設(shè)備的數(shù)據(jù)分組的HTTP有效載荷進(jìn)行壓縮,并且對源自訂戶設(shè)備 的數(shù)據(jù)分組的HTTP有效載荷進(jìn)行解壓縮����。WAP 1.x網(wǎng)關(guān)將去往訂戶設(shè)備 的數(shù)據(jù)分組的HTTP有效載荷轉(zhuǎn)換為WAP l.x有效載荷��,并且將源自訂戶 設(shè)備的數(shù)據(jù)分組的WAP l.x有效載荷轉(zhuǎn)換為HTTP有效載荷��。某些ISP向 不同的訂戶提供不同的服務(wù)��。這些是訂戶感知服務(wù)。
為了確保針對ISP所提供的服務(wù)的服務(wù)網(wǎng)關(guān)被包括在從訂戶到ISP網(wǎng) 絡(luò)所訪問的網(wǎng)絡(luò)上的任何目的地的分組交換路徑中�,服務(wù)網(wǎng)關(guān)被包括作為 針對用于在網(wǎng)絡(luò)上建立訂戶會話的實際目的地的代理。例如����,NAS的 AAA服務(wù)器流量被引導(dǎo)至服務(wù)網(wǎng)關(guān),該服務(wù)網(wǎng)關(guān)充當(dāng)AAA服務(wù)器的代 理����。訂戶感知服務(wù)網(wǎng)關(guān)監(jiān)視AAA服務(wù)器流量,以確定遠(yuǎn)程用戶的網(wǎng)絡(luò)標(biāo) 識符并確定該遠(yuǎn)程用戶是否已經(jīng)訂閱網(wǎng)關(guān)所提供的服務(wù)���。例如��,服務(wù)網(wǎng)關(guān) 監(jiān)視RADIUS以確定從訂戶ID到當(dāng)前指定的網(wǎng)絡(luò)ID的映射�;另外���, RADIUS用于將關(guān)于用戶的已訂閱服務(wù)資料的信息從通常位于RADIUS服 務(wù)器之后的后端數(shù)據(jù)庫中繼到網(wǎng)絡(luò)元件�����。
ISP常包括一組服務(wù)網(wǎng)關(guān)�����,使得服務(wù)可以適應(yīng)訂戶的數(shù)目���。為了在該 組中的服務(wù)網(wǎng)關(guān)之間分布流量����,負(fù)載均衡進(jìn)程被包括在NAS (或其他端節(jié) 點)和該組服務(wù)網(wǎng)關(guān)之間的路徑中�����。
ISP還常在NAS和服務(wù)網(wǎng)關(guān)(或其負(fù)載均衡進(jìn)程)之間的路徑中包括 防火墻服務(wù)器���。防火墻確定數(shù)據(jù)分組是否是接收自不希望的源或是去往接 入網(wǎng)上的不希望的目的地�,并且防火墻不轉(zhuǎn)發(fā)這種數(shù)據(jù)分組�����。不希望的源 和目的地是通過其IP地址來識別的�。不希望的源和目的地的IP地址是由 防火墻處的策略數(shù)據(jù)所指示的策略來確定的��。策略可以基于IP地址的靜態(tài)
列表��,或基于根據(jù)數(shù)據(jù)分組流的一種或多種特性而動態(tài)確定的IP地址��。
數(shù)據(jù)分組流是在合理時間段內(nèi)從網(wǎng)絡(luò)上的相同源進(jìn)程到相同目的地進(jìn) 程的一系列的一個或多個數(shù)據(jù)分組�����。源和目的地進(jìn)程通常是基于其第3層 IP地址和第4層傳輸端口的某種組合來識別的��。不希望的IP地址可以按照 任何方式來定義,包括一個或多個IP地址的靜態(tài)列表�,以及基于具有該 IP地址的一個或多個流的特性來動態(tài)確定一個或多個不希望的IP地址的 方法。中間網(wǎng)絡(luò)節(jié)點的操作系統(tǒng)(例如加利福尼亞州圣何塞市的思科系統(tǒng) 公司的互聯(lián)網(wǎng)操作系統(tǒng)(IOS))定義了用于識別和過濾不希望的IP地址
的訪問控制列表(ACL)��。
雖然適用于多種目的��,但是利用防火墻來排除不希望的流量的現(xiàn)有方 法存在某些缺陷�����。 一種缺陷在于��,防火墻有時不被客戶部署�����,因為防火墻 增加了網(wǎng)絡(luò)成本并且可使感知到的性能降低。因此防火墻有時不被部署��,
使得服務(wù)網(wǎng)關(guān)容易受到第4至第7應(yīng)用層的攻擊�。例如,在掃描攻擊中����, 在端節(jié)點上運行的惡意進(jìn)程可以在短時間內(nèi)發(fā)起向目標(biāo)網(wǎng)絡(luò)上的大量IP地 址(第3層)和端口 (第4層)的目的地組合的流量。在處理每個這種流 內(nèi)的各個事務(wù)以使正確的服務(wù)器與相對應(yīng)的訂戶連接時�����,服務(wù)網(wǎng)關(guān)等處的 資源被消耗����。如果足夠數(shù)目的這種流被發(fā)起,則服務(wù)網(wǎng)關(guān)或其組可變得如 此受拖累�,使得合法的流得不到及時處理,或在某些情況下完全得不到處 理�����。
另一種缺陷在于�����,注意到這種惡意端節(jié)點的IP地址的防火墻僅保護(hù)免 受來自相同IP地址的流量。使用具有不希望的IP地址的設(shè)備的實際訂戶 未被識別出���。因此�����,如果同一訂戶改為從具有不同IP地址的另一設(shè)備發(fā)起 攻擊(例如通過攜帶蜂窩電話移動到接入網(wǎng)中的不同點或移動到不同的接 入網(wǎng))�����,則防火墻需要重新發(fā)現(xiàn)新的不希望的IP地址���。同時�����,服務(wù)網(wǎng)關(guān)和 接入網(wǎng)皆將資源浪費在來自新IP地址處的同一惡意訂戶的數(shù)據(jù)流上��。
另一種缺陷在于��,注意到這種惡意端節(jié)點的IP地址的防火墻僅保護(hù)位 于該防火墻下游的目標(biāo)網(wǎng)絡(luò)����。因此���,目標(biāo)網(wǎng)絡(luò)上的防火墻檢測到來自接入 網(wǎng)上的用戶的惡意流量,從而保護(hù)目標(biāo)網(wǎng)絡(luò)而非接入網(wǎng)�����。位于防火墻上游 的相當(dāng)多的接入網(wǎng)資源被攻擊消耗����,僅是將被防火墻在保護(hù)目標(biāo)網(wǎng)絡(luò)時丟棄。
另一缺點在于��,防火墻不檢測欺詐����。攻擊通常旨在公開地降低ISP的 設(shè)備的性能;而欺詐通常旨在在未經(jīng)授權(quán)的情況下不被檢測到地在網(wǎng)絡(luò)上 運行不允許使用的協(xié)議/應(yīng)用����。防火墻經(jīng)常無法確定合理數(shù)量的流量是否表 示對專用或受限的協(xié)議或應(yīng)用的未經(jīng)授權(quán)的使用。
基于前面的描述�����,顯然需要保護(hù)消耗服務(wù)網(wǎng)關(guān)進(jìn)程的大量網(wǎng)絡(luò)資源的 免受攻擊和欺詐(在下文中稱為"侵入"),該保護(hù)沒有現(xiàn)有技術(shù)方法的
所有缺陷�����。具體而言�,需要在第4至第7層協(xié)議中檢測侵入并且通過名字
來識別惡意端節(jié)點的用戶并且/或者使這種惡意端節(jié)點脫離接入網(wǎng)以釋放接 入網(wǎng)中的資源的技術(shù)。
在附圖中以示例方式而非限制方式圖示了本發(fā)明�����,附圖中相似的標(biāo)號
指代類似的元件��,其中
圖1是根據(jù)一個實施例��,圖示出包括服務(wù)網(wǎng)關(guān)服務(wù)器的遠(yuǎn)程接入網(wǎng)的 框圖2是根據(jù)一個實施例���,圖示出服務(wù)網(wǎng)關(guān)服務(wù)器上的訂戶信息表的框
圖3是根據(jù)一個實施例�����,圖示出高級別的用于在服務(wù)網(wǎng)關(guān)處保護(hù)免受 攻擊的方法的框圖4是根據(jù)一個實施例,圖示出高級別的用于在記賬代理處保護(hù)免受 攻擊的方法的框圖��;以及
圖5是圖示出本發(fā)明實施例所可以實現(xiàn)于的計算機(jī)系統(tǒng)(例如路由 器)的框圖�����。
具體實施例方式
描述了用于在服務(wù)網(wǎng)關(guān)服務(wù)器處保護(hù)免受入侵(包括欺詐和/或攻擊) 的技術(shù)。在以下描述中����,為了說明而陳述了許多具體細(xì)節(jié),以便提供對本 發(fā)明的透徹理解����。然而對本領(lǐng)域技術(shù)人員顯而易見的是,可以在沒有這些具體細(xì)節(jié)的情況下實現(xiàn)本發(fā)明����。在其他實例中,公知的結(jié)構(gòu)和設(shè)備以框圖 形式示出�����,以避免不必要地使本發(fā)明模糊�。
本發(fā)明的實施例利用NAS網(wǎng)關(guān)環(huán)境下的許多示例得到說明,但是本 發(fā)明不限于該環(huán)境����。在其他實施例中,其他服務(wù)網(wǎng)關(guān)(例如WAP網(wǎng)關(guān)和 其他訂戶感知網(wǎng)關(guān))用于提供對網(wǎng)絡(luò)入侵的保護(hù)。
1.0網(wǎng)絡(luò)概述
圖1是根據(jù)實施例�����,圖示包括網(wǎng)絡(luò)接入服務(wù)器(NAS) 125和服務(wù)網(wǎng) 關(guān)服務(wù)器160的遠(yuǎn)程接入網(wǎng)100的框圖��。計算機(jī)網(wǎng)絡(luò)是用于在節(jié)點(例如 計算機(jī)����、個人數(shù)字助理(PDA)和蜂窩電話)之間傳送數(shù)據(jù)的互連子網(wǎng) (例如,子網(wǎng)110a��、 110b�,在下文中總稱為子網(wǎng)110)的地理分布式集 合。每個子網(wǎng)本身可由一個或多個子網(wǎng)組成����。局域網(wǎng)(LAN)是子網(wǎng)的一 個示例。網(wǎng)絡(luò)的拓?fù)涫怯杀舜酥g通常通過一個或多個中間網(wǎng)絡(luò)節(jié)點進(jìn)行 通信的端節(jié)點(例如�,端節(jié)點120a、 120b�����,在下文中總稱為端節(jié)點120) 的排列來定義的�����,其中所述一個或多個中間網(wǎng)絡(luò)節(jié)點例如是路由器或交換 機(jī)��,用于幫助在不同子網(wǎng)上的端節(jié)點120之間路由數(shù)據(jù)��。圖1中示出在遠(yuǎn) 程訪問中所通常涉及的兩個子網(wǎng)110���。每個子網(wǎng)110可以包括零個或更多 的中間網(wǎng)絡(luò)節(jié)點��。因特網(wǎng)協(xié)議(IP)分組交換網(wǎng)(PSN) 110b是一個或多 個遠(yuǎn)程地點處的端節(jié)點120a�、 120b的用戶進(jìn)行遠(yuǎn)程訪問的目標(biāo)��。遠(yuǎn)程地點 通過接入網(wǎng)110a連接到PSN110b�。
在各種實施例中,接入子網(wǎng)110a至少部分地基于電話雙絞線����、同軸銅 線、光纜或無線基礎(chǔ)設(shè)施���。在各種實施例中����,接入網(wǎng)110a包括用于一組低 帶寬調(diào)制解調(diào)器、數(shù)字訂戶線(DSL)接入模塊(DSLAM)或其他同軸電 纜或光學(xué)接入模塊的控制器�����。雖然示出了兩個端節(jié)點120a��、 120b連接到接 入網(wǎng)110a���,但在其他實施例中有更多或更少的端節(jié)點連接到接入網(wǎng)110a����。 對于移動設(shè)備��,接入網(wǎng)110a包括用于在移動設(shè)備從一個無線接入點移動到 另一個無線接入點時保持通信的電路和邏輯�。
子網(wǎng)110a上的來自端節(jié)點120a、 120b的通信在一個或多個主機(jī)上執(zhí) 行的網(wǎng)絡(luò)接入服務(wù)器(NAS) 125a處終止���。利用其他接入網(wǎng)的其他端節(jié)點在另外的一個或多個主機(jī)上的其他NAS (例如NAS 125b)處終止���。雖然 示出了兩個NAS 125a、 125b連接到PSN 110b�����,但是在其他實施例中更多 或更少的NAS連接到PSN 110b。在各種實施例中�,NAS是寬帶遠(yuǎn)程接入 服務(wù)器(BRAS)����、無線接入服務(wù)器,或者某種其他服務(wù)器���。
計算機(jī)進(jìn)程交互的客戶端一服務(wù)器模型廣為人知并且用于商業(yè)��。根據(jù) 客戶端一服務(wù)器模型���,客戶端進(jìn)程向服務(wù)器進(jìn)程發(fā)送包括請求的消息,并 且服務(wù)器進(jìn)程以提供服務(wù)進(jìn)行響應(yīng)�����。服務(wù)器進(jìn)程也可以向客戶端進(jìn)程返回 具有響應(yīng)的消息�����??蛻舳诉M(jìn)程和服務(wù)器進(jìn)程經(jīng)常在不同的計算機(jī)或其他通 信設(shè)備(稱為主機(jī))上執(zhí)行,并且利用一種或多種用于網(wǎng)絡(luò)通信的協(xié)議經(jīng) 由網(wǎng)絡(luò)進(jìn)行通信����。術(shù)語"服務(wù)器"習(xí)慣上用于指提供服務(wù)的進(jìn)程����,或者該 進(jìn)程所工作于的主計算機(jī)��。類似地�����,術(shù)語"客戶端"習(xí)慣上用于指發(fā)出請 求的進(jìn)程����,或者該進(jìn)程所工作于的主計算機(jī)。除非在上下文中另有指明�, 否則這里所使用的術(shù)語"客戶端"和"服務(wù)器"是指進(jìn)程而非主計算機(jī)。 另外���,出于包括可靠性����、可擴(kuò)展性和冗余性在內(nèi)的原因(但不限于這些原 因)��,由服務(wù)器執(zhí)行的進(jìn)程可被分解成作為多個服務(wù)器在多個主機(jī)(有時 稱為層級(tier))上運行����。
PSN 110b被遠(yuǎn)程地點處的端節(jié)點120a��、 120b用于與諸如服務(wù)器 170a�、 170b����、 170c (在下文中總稱為服務(wù)器170)之類的服務(wù)器進(jìn)行通 信�。PSN 110b包括AAA服務(wù)器114,用于對試圖通過任何NAS 125訪問 PSN 110b的��、端節(jié)點120的用戶進(jìn)行認(rèn)證�����。只有向ISP登記過并被列在 AAA服務(wù)器114中的訂戶才可以訪問PSN 110b��。 PSN llOb還包括記賬代 理服務(wù)器116�����,用于收集關(guān)于特定訂戶對網(wǎng)絡(luò)llOb進(jìn)行使用的信息以便從 該訂戶獲得支付�。在圖示的實施例中,記賬代理116確定訂戶何時以及是 否將被列在AAA服務(wù)器114中��。示例性的記賬代理服務(wù)器是記賬中介代 理(BMA)。在某些實施例中���,記賬代理116被省略并且在下面歸于記賬 代理116的功能是在其他服務(wù)器(例如AAA服務(wù)器114)之間進(jìn)行分配 的��。
為了提供特殊的訂戶感知服務(wù)����,PSN 110b包括服務(wù)網(wǎng)關(guān)160�����。在某些 實施例中����,服務(wù)網(wǎng)關(guān)160包括一組多個服務(wù)網(wǎng)關(guān)和負(fù)載均衡器(未示
出)。雖然為了說明而在圖1中示出一個服務(wù)網(wǎng)關(guān)160�����,但是在其他實施
例中PSN 110b包括更多的服務(wù)網(wǎng)關(guān)160���。
為了提供訂戶感知服務(wù)����,服務(wù)網(wǎng)關(guān)160被安插在從NAS 125到AAA 服務(wù)器114的路徑中,以確定與網(wǎng)絡(luò)110b上的特定地址相關(guān)聯(lián)的訂戶�����。 就是說����,服務(wù)網(wǎng)關(guān)服務(wù)器160自己通告解析去往AAA服務(wù)器114的流 量。服務(wù)網(wǎng)關(guān)160通過在NAS 125和AAA服務(wù)器114之間交換的消息進(jìn) 行嗅探(snoop)���,以便確定一 IP地址是否與服務(wù)網(wǎng)關(guān)服務(wù)器160所提供 的服務(wù)的訂戶相關(guān)聯(lián)。服務(wù)網(wǎng)關(guān)160還被安插在從NAS 125到網(wǎng)絡(luò)110b 上的另一個服務(wù)器的路徑中����,例如,在到服務(wù)器170a�、 170b、 170c的路徑 中�。例如,所有去往NAS的流量被路由到服務(wù)網(wǎng)關(guān)160����。
2.0訂戶信息表
圖2是根據(jù)一種實施例,圖示服務(wù)網(wǎng)關(guān)服務(wù)器上的訂戶信息的表的框 圖。雖然為了說明而在圖2A中以整體數(shù)據(jù)結(jié)構(gòu)顯示用于保存表260中的 數(shù)據(jù)的數(shù)據(jù)字段�����,但是在其他實施例中�, 一個或多個字段或部分的字段被 以一個或多個不同的數(shù)據(jù)結(jié)構(gòu)按照任何順序保存在相同或不同主機(jī)中的易 失性或非易失性的存儲器中,并且受零個或更多個不同的數(shù)據(jù)服務(wù)器(例 如一個或多個數(shù)據(jù)庫服務(wù)器)控制�。
表260包括訂戶記錄字段270a、 270b以及由省略號290指示的其他訂 戶記錄字段(在下文中總稱為訂戶記錄270)�。每個訂戶記錄270包括當(dāng) 前服務(wù)網(wǎng)關(guān)服務(wù)器一般具有的訂戶標(biāo)識符、網(wǎng)絡(luò)地址�、網(wǎng)絡(luò)接入服務(wù)器 (NAS)信息、訂戶資料信息���、開放流列表的字段�。根據(jù)本發(fā)明的圖示實 施例�����,表260還包括基于開放流的可疑活動的量度��,如下面所更詳細(xì)描述 的��。這些訂戶記錄將特定訂戶與一個或多個開放數(shù)據(jù)流中的可疑活動相關(guān) 聯(lián)�。
開放數(shù)據(jù)流是以初始數(shù)據(jù)分組(例如根據(jù)第4層或更高層協(xié)議的同步 (SYN)消息)開始并且不包括相應(yīng)的終止數(shù)據(jù)分組(例如根據(jù)該協(xié)議的 完成(FIN)消息)的一連串的一個或多個數(shù)據(jù)分組。在各種實施例中, 具有或者沒有第4層源或目的地地址(例如源和目的地的TCP端口 )的第
3層源和目的地地址或者第3至第7層頭部中的其他數(shù)據(jù)字段用于在服務(wù) 網(wǎng)關(guān)服務(wù)器處將一個數(shù)據(jù)分組與另一個數(shù)據(jù)分組區(qū)別開��。
訂戶記錄270a��、 270b分別包括訂戶ID字段272a�����、 272b (在下文中總 稱為訂戶ID字段272)����,訂戶ID字段272保存用于向目標(biāo)網(wǎng)絡(luò)(例如 PSN 110b)上的網(wǎng)絡(luò)服務(wù)唯一地指出至少具有一個開放數(shù)據(jù)流的特定訂 戶。在某些實施例中����,當(dāng)訂戶不再保存至少一個開放流時,從表260刪除 訂戶記錄270���。本領(lǐng)域中已知的任何用于訂戶的標(biāo)識符可被用作訂戶ID字 段272中的標(biāo)識符。例如����,由網(wǎng)絡(luò)接入標(biāo)識符(NAI)確定的訂戶標(biāo)識符 用于某些實施例(見RFC2486,特此通過引用將其全部內(nèi)容結(jié)合進(jìn)來�����,就 好像在這里完全闡述了一樣)。例如��,訂戶ID字段272a保存指示 Alice@companyA.com的數(shù)據(jù)�。
訂戶記錄270a、 270b還分別包括網(wǎng)絡(luò)地址字段274a����、 274b (在下文 中總稱為網(wǎng)絡(luò)地址字段274),網(wǎng)絡(luò)地址字段274保存指示如下網(wǎng)絡(luò)節(jié)點
(例如端節(jié)點120b)的網(wǎng)絡(luò)地址的數(shù)據(jù)����,來自由訂戶ID字段指示的特定 訂戶的流量源自所述網(wǎng)絡(luò)節(jié)點。例如���,在某些實施例中����,網(wǎng)絡(luò)地址字段 274包括TCP端口 (第4層的源)���、IP地址(第3層的源)��、虛擬專用網(wǎng)
(VPN)標(biāo)識符(源的第3層或第2層子網(wǎng))���,或者以太網(wǎng)虛擬局域網(wǎng)
(VLAN)標(biāo)簽(源的第2層子網(wǎng))�����,或者某種組合���。
訂戶記錄270a、 270b還分別包括NAS信息字段276a����、 276b (在下文 中總稱為NAS信息字段276) , NAS信息字段276保存指示關(guān)于特定 NAS (例如����,NAS 125a)的信息,來自特定訂戶的流量通過該特定NAS 進(jìn)入目標(biāo)網(wǎng)絡(luò)(例如PSN 110b)���。例如�,在某些實施例中�����,NAS信息字 段276保存指示NAS的IP地址的數(shù)據(jù)�。在某些實施例中,NAS信息字段 276保存指示根據(jù)NAI或某個其他域名服務(wù)器(DNS)而指定的NAS標(biāo)識 符��。
訂戶記錄270a��、 270b還分別包括訂戶資料信息字段278a�����、 278b (在 下文中總稱為訂戶資料信息字段278)��,訂戶資料信息字段278保存指示 關(guān)于特定用戶對目標(biāo)網(wǎng)絡(luò)的訪問的信息的數(shù)據(jù)����。例如,在某些實施例中�����, 訂戶資料信息字段278保存指示用于傳送或封鎖來自特定訂戶的流量的策
略����、網(wǎng)絡(luò)的使用配額、訂戶是否付清或預(yù)付一個或多個服務(wù)��、或某種組合 的數(shù)據(jù)��。
訂戶記錄270a、 270b還分別包括開放流字段280a����、 280b的列表(在 下文中總稱為開放流列表274),開放流列表274保存指示多個流并且為 每個流指示數(shù)據(jù)分組流的唯一標(biāo)識符的數(shù)據(jù)����。數(shù)據(jù)分組流的唯一標(biāo)識符可 以按照本領(lǐng)域中的任何已知方式來定義。在示例性的實施例中�����,流的標(biāo)識 符是根據(jù)如上述的網(wǎng)絡(luò)地址字段274a的內(nèi)容所指示的��、來自特定用戶的網(wǎng) 絡(luò)地址的流的目的地的網(wǎng)絡(luò)地址來構(gòu)造的�����。例如�����,在某些實施例中,開放 流列表280中的每個流的唯一標(biāo)識符包括TCP端口 (第4層的目的地)、 IP地址(第3層的目的地)�、虛擬專用網(wǎng)(VPN)標(biāo)識符(目的地的第3 層或第�����,2層子網(wǎng))�����,或者以太網(wǎng)虛擬局域網(wǎng)(VLAN)標(biāo)簽(目的地的第 2層子網(wǎng))���,或者某種組合。
根據(jù)圖示實施例�,訂戶記錄270a、 270b還分別包括可疑活動度量字段 282a��、 282b的度量(在下文中總稱為可疑活動字段282)����,可疑活動字段 282保存指示至少部分基于開放流列表280所指示的數(shù)據(jù)流的可疑活動的 度量的數(shù)據(jù)。本領(lǐng)域中的用于檢測用戶進(jìn)行的敵意活動的任何已知方法可 被用于確定存儲在字段282中的可疑活動的度量����,如下面參考圖3進(jìn)一步 描述的。例如���,在某些實施例中�,存儲在字段282中的可疑活動的度量是 在特定時間段內(nèi)建立的開放流的數(shù)目,例如等于該特定時間段的最新時間 間隔���。如在下面更詳細(xì)描述的�,在特定時間段內(nèi)建立的開放流的過多數(shù)目 被確定為掃描攻擊�����。
3.0服務(wù)網(wǎng)關(guān)服務(wù)器處的方法
圖3是圖示高級別的用于在服務(wù)網(wǎng)關(guān)服務(wù)器處保護(hù)免受入侵的方法 300的框圖�����。雖然為了說明而在圖3和后續(xù)流程圖中以特定順序示出步 驟�����,但是在其他實施例中�����,以不同的順序或在時間上交疊的方式執(zhí)行一個 或多個步驟��,或者省略一個或多個步驟�����,或者以某種組合方式改變步驟。
在步驟310中�,訂戶數(shù)據(jù)被接收到。訂戶數(shù)據(jù)向特定訂戶指示出所有 與該訂戶相關(guān)聯(lián)的開放數(shù)據(jù)流以及作為可疑活動的度量的�����、這些開放數(shù)據(jù)
流的特定屬性�����。例如��,在步驟310期間接收到表260的數(shù)據(jù)���。本領(lǐng)域中的 用于接收該信息的任何已知方法可被使用。例如���,可以響應(yīng)于一個或多個 查詢或未經(jīng)請求地從由網(wǎng)關(guān)服務(wù)器直接控制或由一個或多個數(shù)據(jù)庫或其他 服務(wù)器間接控制的本地或遠(yuǎn)程的易失性或永久性的存儲器接收數(shù)據(jù)�����。
當(dāng)前的服務(wù)網(wǎng)關(guān)服務(wù)器已經(jīng)為訂戶ID字段272����、網(wǎng)絡(luò)地址字段274、 NAS信息字段276����、訂戶資料信息字段278和開放流列表280接收并存儲 數(shù)據(jù)。根據(jù)本發(fā)明的圖示實施例�����,也為可疑活動度量字段282接收數(shù)據(jù)�。
在圖示的實施例中,可疑活動的度量是在特定時間段內(nèi)建立的開放流 的數(shù)目���。例如�,在建立第一開放流時初始化計數(shù)器并且隨著在第一流的一 秒內(nèi)建立的每個新開放流而使計數(shù)器加一 �����。
在掃描攻擊中���,與訂戶相關(guān)聯(lián)的進(jìn)程在短時間內(nèi)打開許多流�����,以消耗 服務(wù)網(wǎng)關(guān)服務(wù)器處的資源并降低服務(wù)網(wǎng)關(guān)服務(wù)器處理來自特定NAS的所 有流量的能力��,從而對一個或多個其他訂戶拒絕服務(wù)�����。這種攻擊的特征在 于每秒建立的大量開放流�。在本文寫作時可用的膝上型計算機(jī)估計每秒可 以生成大約200,000條用于打開新數(shù)據(jù)流的SYN消息并且自己可以發(fā)起破 壞性的掃描攻擊。這種攻擊可以通過對每秒打開的數(shù)據(jù)流的數(shù)目進(jìn)行計數(shù)
本領(lǐng)域中所己知的與網(wǎng)絡(luò)資源上的入侵相關(guān)聯(lián)的可疑活動的任何指示 可被用作可疑活動的度量�����,包括在防火墻進(jìn)程中使用的可疑活動的度量�����。 在某些實施例中����,可疑活動的度量是可疑開放數(shù)據(jù)流的數(shù)目或百分比����。
在某些實施例中,如果初始的SYN消息未跟有來自目標(biāo)服務(wù)器的 SYN/ACK消息形式的確認(rèn)����,則開放數(shù)據(jù)流被認(rèn)為可疑�。這之所以是可疑 活動的度量�����,是因為在某些掃描攻擊中SYN消息的目的地是不存在的服 務(wù)器或是隨機(jī)的IP��,并且對于其端口地址不存在回復(fù)以SYN/ACK消息的 服務(wù)器�。因此,對其未收到SYN/ACK的開放流的數(shù)目是可疑活動的度
在某些實施例中��,如果跟有來自目標(biāo)服務(wù)器的SYN/ACK消息形式的 確認(rèn)的初始SYN消息隨后未跟有來自訂戶的ACK消息形式的確認(rèn)�,則開 放數(shù)據(jù)流被認(rèn)為可疑。這之所以是可疑活動的度量�����,是因為在某些掃描攻 擊中�,SYN消息的目的地經(jīng)常是產(chǎn)生SYN/ACK消息的真實服務(wù)器;但是
攻擊者僅對建立新流以消耗網(wǎng)關(guān)服務(wù)器資源感興趣而對繼續(xù)進(jìn)行與服務(wù)器
的對話不感興趣�����。因此特定訂戶的攻擊節(jié)點不回復(fù)以ACK消息����。
可疑活動的其他度量被用于其他實施例����,例如其他攻擊和欺詐�����。例
如�,為了檢測被禁止的應(yīng)用的使用,第7層服務(wù)網(wǎng)關(guān)檢測針對來自被禁止 的應(yīng)用的服務(wù)的請求并且將其注為欺詐��。這種實施例中的對被禁止的應(yīng)用 的調(diào)用數(shù)目是可疑活動的度量�。最惡劣的用戶將是任何響應(yīng)的目標(biāo)���。在另 一個示例中����,用戶在特定時間間隔期間消耗的總帶寬是可疑活動的度量���。 通常��,用戶訂購帶寬的最大數(shù)量����,例如每月101()比特(IO千兆比特)。高 于該數(shù)量的帶寬使用被注為欺詐����。在具有訂戶感知的情況下,服務(wù)網(wǎng)關(guān)服 務(wù)器(例如服務(wù)器160)可以計算同一訂戶跨越多次登錄所使用的總帶 寬��。這種活動不被防火墻檢測到���。
在步驟330中����,基于可疑活動的度量來確定是否存在入侵條件��。例 如���,在某些實施例中�,如果存儲在可疑活動度量字段282中的每秒打開的 數(shù)據(jù)流的數(shù)目超過100�����,則確定存在入侵條件����。在某些實施例中�,如果存 儲在可疑活動度量字段282中的可疑開放數(shù)據(jù)流的數(shù)目超過75�����,則確定存 在入侵條件�。在某些實施例中,如果存儲在可疑活動度量字段282中的可 疑開放數(shù)據(jù)流的數(shù)目除以被存儲在開放流列表字段280中的開放流的數(shù)目 超過50%����,則確定存在入侵條件。在某些實施例中����,如果對被禁止或限制 的應(yīng)用的請求數(shù)目超過1,則確定存在入侵條件���。在某些實施例中,如果 每月使用的帶寬超過l(T比特�����,則確定存在入侵條件����。在其他實施例中����, 在步驟330期間使用和檢驗其他入侵條件�����。
如果基于可疑活動的度量在步驟330中確定不存在入侵條件�,則控制 傳遞回步驟310,以繼續(xù)接收關(guān)于訂戶和其開放流或所請求的應(yīng)用或總帶 寬或某種組合的數(shù)據(jù)����。
如果基于可疑活動的度量在步驟330中確定存在入侵條件,則控制傳 遞到步驟350以基于與滿足入侵條件的可疑活動度量相關(guān)聯(lián)的特定訂戶而 響應(yīng)該入侵�。可以執(zhí)行住何利用該訂戶信息的響應(yīng)�。在其他實施例中,執(zhí) 行防火墻所不執(zhí)行的任何響應(yīng)��,例如基于除攻擊者的IP地址之外的任何訂
戶數(shù)據(jù)的響應(yīng)�。
在圖示的實施例中,響應(yīng)包括步驟352�����、 354、 356��。在其他實施例 中�����,這些步驟中的一個或多個被省略���, 一個或多個其他步驟被包括��,或者 被省略和另外添加的步驟的某種組合被使用��。
在步驟352中���,用于標(biāo)識用戶的消息被發(fā)送到記賬代理以處罰用戶。 例如���,具有基于訂戶ID字段272的內(nèi)容的訂戶標(biāo)識符的消息被發(fā)送到記 賬代理��。記賬代理然后使訂戶得到處罰,如在下面參考圖4描述的��?��?赡?的處罰包括刪除允許訂戶訪問網(wǎng)絡(luò)的授權(quán)�����,向訂戶收取超限費�,以及向數(shù) 據(jù)網(wǎng)絡(luò)110b之外的訂戶發(fā)送帶外(out-of-band)消息。帶外消息包括對蜂 窩電話或其他電話的文本消息或語音呼叫����,或者對電子郵件地址的電子郵 件,或者通過郵寄的信件�。帶外消息向訂戶警告入侵并且請求訂戶停止入 侵。通過步驟352���,發(fā)起攻擊或欺詐的訂戶以更多方式受到處罰��,而非僅 僅丟棄源自訂戶的IP地址的數(shù)據(jù)分組��。因此�����,步驟352所提供的保護(hù)勝過 防火墻所提供的保護(hù)�。
在步驟354中,消息被發(fā)送到與訂戶相關(guān)聯(lián)的NAS���,以終止與訂戶進(jìn) 行的通信�?�?梢允褂萌魏畏椒▉硎筃AS終止通信��。在圖示的實施例中�, RADIUS斷開分組(POD)消息被發(fā)送到通過ID禾卩/或IP地址來識別訂戶 的NAS。 RADIUS斷開分組在RFC 3576中有描述��,特此通過引用將其全 部內(nèi)容結(jié)合進(jìn)來����,就好像在這里完全闡述了一樣。根據(jù)RFC 3576���,[支持] "從RADIUS服務(wù)器發(fā)送到NAS的未經(jīng)請求的消息�。這些擴(kuò)展命令為斷 開和授權(quán)變化(CoA)消息提供支持�。斷開消息使用戶會話立即終止,而 CoA消息修改諸如數(shù)據(jù)過濾器之類的會話授權(quán)屬性�����。"NAS在收到POD 時斷開從端節(jié)點通過接入網(wǎng)到NAS的呼叫,從而釋放接入網(wǎng)中的網(wǎng)絡(luò)資 源�����。通過步驟354�,在去往目標(biāo)網(wǎng)絡(luò)的通信中���,服務(wù)網(wǎng)關(guān)的接入網(wǎng)上游也 被保護(hù)免受攻擊��。因此����,步驟354所提供的保護(hù)勝過防火墻所提供的保 護(hù)����。
在步驟356中,在特定的處罰時間段內(nèi)阻止訂戶登錄目標(biāo)網(wǎng)絡(luò)���。在其 他實施例中�����,無限期地阻止訂戶登錄目標(biāo)網(wǎng)絡(luò)�,直到網(wǎng)絡(luò)管理員介入以恢 復(fù)訂戶的網(wǎng)絡(luò)權(quán)限為止。任何方法可被用于阻止登錄���。例如��,網(wǎng)關(guān)服務(wù)器
160對所有去往AAA服務(wù)器114的登錄消息進(jìn)行嗅探并且丟棄那些指示與
可疑活動相關(guān)聯(lián)的訂戶的消息���,或者發(fā)送指示登錄失敗的返回消息。在某
些實施例中��,消息被發(fā)送到AAA服務(wù)器114或記賬代理服務(wù)器116以刪 除對訂戶的授權(quán)����。在某些實施例中,在處罰期到期之后���,消息被發(fā)送到 AAA服務(wù)器114或記賬代理服務(wù)器116以恢復(fù)對訂戶的授權(quán)�����。通過步驟 356��,訂戶無法從另一設(shè)備發(fā)起攻擊�����。因此��,步驟356所提供的保護(hù)勝過 防火墻所提供的保護(hù)�����。
在某些實施例中��,在步驟356期間�����,登錄請求被發(fā)送到特殊修復(fù)服務(wù) 器�����,該特殊修復(fù)服務(wù)器通知訂戶由訂戶的設(shè)備發(fā)起的攻擊或欺詐而進(jìn)行響 應(yīng)并且主動提出修復(fù)訂戶的設(shè)備以使之不會再次發(fā)起入侵��。如果訂戶同 意��,則將在訂戶的設(shè)備上執(zhí)行的軟件被發(fā)出��,以尋找并刪除使訂戶的設(shè)備 發(fā)起入侵的軟件��。這樣���,由如下病毒在訂戶不知情的情況下發(fā)起的攻擊不 會使訂戶被不適當(dāng)?shù)靥幜P��,所述病毒在信任的訂戶的設(shè)備上安裝軟件�����。
服務(wù)網(wǎng)關(guān)服務(wù)器是高級網(wǎng)絡(luò)節(jié)點��,用于保護(hù)網(wǎng)絡(luò)100免受對第4到第 7層網(wǎng)絡(luò)資源的攻擊�����。服務(wù)網(wǎng)關(guān)服務(wù)器(例如網(wǎng)關(guān)160)是圖示實施例中 的對第4至第7層的活動進(jìn)行跟蹤同時保存當(dāng)前被指定一 IP地址的用戶和 相對應(yīng)的訂戶名稱(例如���,"用戶名")之間的映射的唯一網(wǎng)絡(luò)節(jié)點。這 使得服務(wù)網(wǎng)關(guān)服務(wù)器(例如網(wǎng)關(guān)服務(wù)器160)可以生成惡意活動的詳細(xì)記 錄��,該記錄包括網(wǎng)絡(luò)ID和用戶名����。
4.0記賬代理服務(wù)器處的方法
圖4是根據(jù)一種實施例,圖示高級別處的用于在記賬代理處保護(hù)免受 入侵的方法400的框圖����。在其他實施例中��,方法400中的一個或多個步驟 被省略����。
在步驟410中�����,惡意訂戶數(shù)據(jù)被接收到��。該數(shù)據(jù)指示出與服務(wù)網(wǎng)關(guān)服 務(wù)器所檢測到的入侵相關(guān)聯(lián)的特定訂戶�����。在圖示實施例中����,消息包括指示 訂戶ID (例如�,"用戶名")的數(shù)據(jù)和指示入侵與該訂戶相關(guān)聯(lián)的數(shù)據(jù)。 在某些實施例中��,'數(shù)據(jù)還指示關(guān)于特定入侵的一項或多項特定細(xì)節(jié)�。在圖 示實施例中,在記賬代理116處接收到來自服務(wù)網(wǎng)關(guān)服務(wù)器160的未經(jīng)請
求的消息中的數(shù)據(jù)�����。在其他實施例中,以其他方式接收數(shù)據(jù)���,例如通過查 詢本地或遠(yuǎn)程地存儲在易失性或永久性存儲器中的����、經(jīng)由數(shù)據(jù)庫服務(wù)器直 接或間接訪問的數(shù)據(jù)�。例如,在工作周期的過程期間或者在接收到警告 時�,記賬代理從存儲器中取回指示特定訂戶的訂戶ID的數(shù)據(jù)以及對與之 相關(guān)的入侵的指示。
在步驟420中�����,消息被發(fā)送到AAA服務(wù)器�����,以將特定訂戶從目標(biāo)網(wǎng) 絡(luò)(例如PSN 110b)的授權(quán)用戶列表中刪除����。在圖示實施例中,訂戶ID 被包括在發(fā)送到AAA服務(wù)器的消息中。
在步驟424中���,指示訂戶應(yīng)當(dāng)停止攻擊的帶外消息被發(fā)送到特定訂戶�。
在步驟426中����,向特定訂戶的帳戶收取超限費,作為攻擊的處罰�。 在步驟430中,確定處罰期是否到期����。處罰期是訂戶被刪除目標(biāo)網(wǎng)絡(luò) 的訪問授權(quán)的時刻和訂戶被再次授權(quán)可以訪問目標(biāo)網(wǎng)絡(luò)的時刻之間的持續(xù) 時間。如果確定處罰期尚未到期����,則控制傳遞到步驟436���。在步驟436 中�,記賬代理繼續(xù)進(jìn)行其正常處理并且周期性地返回步驟430以確定處罰 期是否已經(jīng)到期����。
如果在步驟430期間確定處罰期已經(jīng)過期,則控制傳遞到步驟440�����。 在步驟440中,消息被發(fā)送到AAA服務(wù)器���,以將特定訂戶恢復(fù)至目標(biāo)網(wǎng) 絡(luò)(例如PSN 110b)的授權(quán)用戶列表中�。在圖示實施例中�����,訂戶ID被包 括在發(fā)送到AAA服務(wù)器的消息中�。
在其中無限期地阻止惡意訂戶訪問網(wǎng)絡(luò)的實施例中,步驟430和440 被省略����。
5.0實現(xiàn)機(jī)構(gòu)-硬件概述
圖5是示出本發(fā)明的一個實施例可實現(xiàn)于的計算機(jī)系統(tǒng)500的框圖。 優(yōu)選實施例是利用運行在諸如路由器設(shè)備之類的網(wǎng)絡(luò)元件上的一個或多個 計算機(jī)程序來實現(xiàn)的��。因此�����,在此實施例中����,計算機(jī)系統(tǒng)500是路由器����。
計算機(jī)系統(tǒng)500包括用于在計算機(jī)系統(tǒng)500的其他內(nèi)部和外部組件之 間傳遞信息的通信機(jī)構(gòu)�����,例如總線510��。信息被表示為可測量現(xiàn)象的物理
信號�����,所述可測量現(xiàn)象通常是電壓����,但在其他實施例中包括諸如磁、電 磁���、壓力、化學(xué)���、分子原子和量子交互之類的現(xiàn)象���。例如���,北磁場和南磁 場或者零電壓和非零電壓代表二進(jìn)制數(shù)字(比特)的兩個狀態(tài)(0, 1)����。 二進(jìn)制數(shù)字的序列構(gòu)成用于表示數(shù)字或字符代碼的數(shù)字?jǐn)?shù)據(jù)?����?偩€510包 括許多并行的信息導(dǎo)體�����,以便信息在耦合到總線510的設(shè)備之間被迅速傳
送����。用于處理信息的一個或多個處理器502與總線510相耦合。處理器 502對信息執(zhí)行一組操作����。該組操作包括從總線510接收信息或?qū)⑿畔⒅?于總線510上。該組操作一般還包括比較兩個或更多個信息單元����、移動信 息單元的位置以及例如通過加法或乘法來組合兩個或更多個信息單元�����。將 由處理器502執(zhí)行的操作序列構(gòu)成計算機(jī)指令��。
計算機(jī)系統(tǒng)500還包括耦合到總線510的存儲器504�����。諸如隨機(jī)訪問 存儲器(RAM)或其他動態(tài)存儲設(shè)備之類的存儲器504存儲包括計算機(jī)指 令在內(nèi)的信息���。動態(tài)存儲器允許存儲在其中的信息被計算機(jī)系統(tǒng)500改 變。RAM允許存儲在被稱為存儲器地址的位置處的信息單元以獨立于相 鄰地址處的信息的方式被存儲和取得���。存儲器504還被處理器502用來在 計算機(jī)指令執(zhí)行期間存儲臨時值��。計算機(jī)系統(tǒng)500還包括耦合到總線510 的只讀存儲器(ROM) 506或其他靜態(tài)存儲設(shè)備����,其用于存儲不被計算機(jī) 系統(tǒng)500改變的靜態(tài)信息�����,包括指令����。同樣耦合到總線510的是非易失性 (持續(xù)性)存儲設(shè)備508,例如磁盤或光盤���,其用于存儲即使在計算機(jī)系 統(tǒng)500被關(guān)斷或者由于其他原因掉電時也會持續(xù)下來的信息���,包括指令。
術(shù)語計算機(jī)可讀介質(zhì)在這里用來指任何參與向處理器502提供包括用 于執(zhí)行的指令在內(nèi)的信息的介質(zhì)��。這種介質(zhì)可采取許多形式��,包括但不限 于非易失性介質(zhì)��、易失性介質(zhì)和傳輸介質(zhì)�。非易失性介質(zhì)例如包括光盤或 磁盤,例如存儲設(shè)備508�。易失性介質(zhì)例如包括動態(tài)存儲器504。傳輸介 質(zhì)例如包括同軸電纜���、銅線���、光纜和在無需導(dǎo)線或線纜的情況下通過空間 傳播的波�,例如聲波和電磁波����,包括無線電波、光波和紅外波����。經(jīng)由傳輸 介質(zhì)傳輸?shù)男盘栐谶@里被稱為載波。
計算機(jī)'可讀介質(zhì)的常見形式例如包括軟盤���、柔性盤���、硬盤、磁帶或任 何其他磁介質(zhì)��,致密盤ROM (CD-ROM)���、數(shù)字視頻盤(DVD)或任何
其他光介質(zhì)�����,穿孔卡����、紙帶、或任何其他具有孔圖案的物理介質(zhì)��,RAM��、
可編程ROM (PROM)���、可擦除PROM (EPROM) 、 FLASH-EPROM����、
任何其他存儲器芯片或卡盤、載波或者計算機(jī)可以讀取的任何其他介質(zhì)���。
包括指令在內(nèi)的信息被從外部終端512提供到總線510以供處理器使 用��,所述外部終端512例如是具有包含由人類用戶操作的數(shù)字字母鍵的鍵 盤的終端或者是傳感器�。傳感器檢測其附近的狀況��,并將這些檢測變換成 與計算機(jī)系統(tǒng)500中用于表示信息的信號相兼容的信號����。耦合到總線510 的終端512的主要用于與人類交互的其他外部組件包括用于呈現(xiàn)圖像的顯 示設(shè)備(例如陰極射線管(CRT)或液晶顯示器(LCD)或等離子屏幕) 和用于控制在顯示器上呈現(xiàn)的小光標(biāo)圖像的位置并發(fā)出與在終端612的顯 示器上呈現(xiàn)的圖形元素相關(guān)聯(lián)的命令的定點設(shè)備(例如鼠標(biāo)或跟蹤球或光 標(biāo)方向鍵)。在一些實施例中�,終端512被省略��。
計算機(jī)系統(tǒng)500還包括耦合到總線510的通信接口 570的一個或多個 實例����。通信接口 570提供到利用其自己的處理器來工作的多種外部設(shè)備的 雙向通信耦合�����,所述外部設(shè)備例如是打印機(jī)���、掃描儀���、外部盤和終端 512。在計算機(jī)系統(tǒng)500中運行的固件或軟件提供終端接口或者基于字符 的命令接口����,以便外部命令能夠被提供給計算機(jī)系統(tǒng)。例如�,通信接口 570可以是并行端口或串行端口,例如RS-232或RS-422接口��,或者是個 人計算機(jī)上的通用串行總線(USB)端口����。在一些實施例中��,通信接口 570是綜合服務(wù)數(shù)字網(wǎng)(ISDN)卡或數(shù)字訂戶線(DSL)卡或提供到相應(yīng) 類型的電話線的信息通信連接的電話調(diào)制解調(diào)器���。在一些實施例中,通信 接口 570是將總線510上的信號轉(zhuǎn)換成用于經(jīng)由同軸電纜的通信連接的信 號或者用于經(jīng)由光纜的通信連接的光信號的線纜調(diào)制解調(diào)器�����。作為另一示 例�����,通信接口 570可以是用于提供到兼容的LAN (例如以太網(wǎng))的數(shù)據(jù)通 信連接的局域網(wǎng)(LAN)卡���。也可實現(xiàn)無線鏈路。對于無線鏈路��,通信接 口 570發(fā)送和接收攜帶信息流(例如數(shù)字?jǐn)?shù)據(jù))的電信號����、聲信號或電磁 信號,包括紅外信號和光信號�����。這種信號是載波的示例。
在圖示實施例中��,諸如專用集成電路(IC) 520之類的專用硬件耦合 到總線510����。專用硬件被配置為為了特殊的目的而足夠迅速地執(zhí)行不由處
理器502執(zhí)行的操作。專用IC的示例包括用于生成圖像以便顯示的圖形 加速器卡��、用于對經(jīng)由網(wǎng)絡(luò)發(fā)送的消息進(jìn)行加密和解密的密碼板�����、語音識 別���、以及到特殊外部設(shè)備的接口���,所述特殊外部設(shè)備例如是重復(fù)執(zhí)行在硬 件中更高效實現(xiàn)的某個復(fù)雜操作序列的機(jī)械臂和醫(yī)學(xué)掃描裝備。
在用作路由器的圖示計算機(jī)中���,計算機(jī)系統(tǒng)500包括交換系統(tǒng)530�, 作為用于切換信息以便在網(wǎng)絡(luò)上流動的專用硬件�����。交換系統(tǒng)530 —般包括 多個通信接口,例如通信接口 570�,用于耦合到多個其他設(shè)備。 一般來 說�,每個耦合都具有與網(wǎng)絡(luò)中的或附接到網(wǎng)絡(luò)的另一設(shè)備相連接的網(wǎng)絡(luò)鏈 路532,所述網(wǎng)絡(luò)例如是圖示實施例中的本地網(wǎng)絡(luò)580�����,具有其自己的處 理器的多種外部設(shè)備與該網(wǎng)絡(luò)相連接��。在一些實施例中�,輸入接口或輸出 接口或兩者被鏈接到一個或多個外部網(wǎng)絡(luò)元件中的每一個���。雖然在圖示實 施例中網(wǎng)絡(luò)鏈路532包括三個網(wǎng)絡(luò)鏈路532a���、 532b、 532c����,但在其他實施 例中,更多或更少的鏈路被連接到交換系統(tǒng)530�。網(wǎng)絡(luò)鏈路532 —般通過 一個或多個網(wǎng)絡(luò)來提供到使用或處理信息的其他設(shè)備的信息通信。例如, 網(wǎng)絡(luò)鏈路532b可通過本地網(wǎng)絡(luò)580來提供到主機(jī)計算機(jī)582或由因特網(wǎng)服 務(wù)提供者(ISP)操作的裝備584的連接��。ISP裝備584進(jìn)而又通過現(xiàn)在通 常被稱為因特網(wǎng)590的網(wǎng)絡(luò)的公共的世界范圍的分組交換通信網(wǎng)絡(luò)來提供 數(shù)據(jù)通信服務(wù)���。被稱為服務(wù)器592的連接到因特網(wǎng)的計算機(jī)響應(yīng)于經(jīng)由因 特網(wǎng)接收的信息而提供服務(wù)�����。例如���,服務(wù)器592提供用于交換系統(tǒng)530的 路由信息。
交換系統(tǒng)530包括被配置為執(zhí)行與在網(wǎng)絡(luò)580的元件之間傳遞信息相 關(guān)聯(lián)的交換功能的邏輯和電路�,所述傳遞信息包括傳遞沿一條網(wǎng)絡(luò)鏈路 (例如532a)接收的信息以作為相同或不同網(wǎng)絡(luò)鏈路(例如532c)上的輸 出。交換系統(tǒng)530根據(jù)公知的預(yù)定協(xié)議和慣例將到達(dá)輸入接口的信息流量 切換到輸出接口�。在一些實施例中,交換系統(tǒng)530包括其自己的處理器和 存儲器����,以便利用軟件來執(zhí)行一些交換功能。在一些實施例中���,交換系統(tǒng) 530依賴于處理器502��、存儲器504����、 ROM 506、存儲設(shè)備508或某種組合 來利用軟件執(zhí)行一個或多個交換功能���。例如����,交換系統(tǒng)530與實施特定協(xié) 議的處理器502合作����,可確定在鏈路532a上到達(dá)輸入接口的數(shù)據(jù)分組的目
的地,并利用輸出接口在鏈路532c上將它發(fā)送到正確的目的地�����。目的地可 包括主機(jī)582��、服務(wù)器592���、連接到本地網(wǎng)絡(luò)580或因特網(wǎng)590的其他終 端設(shè)備,或者本地網(wǎng)絡(luò)580或因特網(wǎng)590中的其他路由和交換設(shè)備��。
本發(fā)明涉及使用計算機(jī)系統(tǒng)500來實現(xiàn)這里描述的技術(shù)����。根據(jù)本發(fā)明 的一個實施例�,這些技術(shù)是由計算機(jī)系統(tǒng)500響應(yīng)于處理器502執(zhí)行包含 在存儲器504中的一個或多個指令的一個或多個序列來執(zhí)行的����。這種指令 也被稱為軟件和程序代碼,它們可被從另一計算機(jī)可讀介質(zhì)(例如存儲設(shè) 備508)讀取到存儲器504中����。對包含在存儲器504中的指令序列的執(zhí)行 致使處理器502執(zhí)行這里描述的方法步驟。在替換實施例中���,諸如專用集 成電路520和交換系統(tǒng)530中的電路之類的硬件可取代軟件或與軟件結(jié)合 來實現(xiàn)本發(fā)明��。從而����,本發(fā)明的實施例不局限于硬件和軟件的任何特定組 合�。
通過通信接口 (例如接口 570)經(jīng)由網(wǎng)絡(luò)鏈路532和其他網(wǎng)絡(luò)來傳輸 的信號(該信號攜帶去往和來自計算機(jī)系統(tǒng)500的信息)是載波的示例性 形式。計算機(jī)系統(tǒng)500可通過網(wǎng)絡(luò)580�����、 590等等�����,通過網(wǎng)絡(luò)鏈路532和通 信接口 (例如接口 570)來發(fā)送和接收信息,包括程序代碼����。在使用因特 網(wǎng)590的示例中,服務(wù)器592通過交換系統(tǒng)530中的通信接口�,通過因特 網(wǎng)590、 ISP裝備584���、本地網(wǎng)絡(luò)580和網(wǎng)絡(luò)鏈路532b來發(fā)送從計算機(jī)500 發(fā)送來的消息所請求的用于特定應(yīng)用的程序代碼�。接收到的代碼可在其被 接收時被處理器502或交換系統(tǒng)530執(zhí)行�,或者可被存儲在存儲設(shè)備508 或其他非易失性設(shè)備中以便以后執(zhí)行,或者兩種情況兼有����。這樣,計算機(jī) 系統(tǒng)500可以以載波形式獲得應(yīng)用程序代碼�。
各種形式的計算機(jī)可讀介質(zhì)可用于將指令或數(shù)據(jù)或兩者的一個或多個 序列運送到處理器502以便執(zhí)行。例如��,指令和數(shù)據(jù)可以首先承載在遠(yuǎn)程 計算機(jī)(例如主機(jī)582)的磁盤上����。遠(yuǎn)程計算機(jī)可以將指令和數(shù)據(jù)加載到 其動態(tài)存儲器中,并利用調(diào)制解調(diào)器經(jīng)由電話線來發(fā)送指令和數(shù)據(jù)��。計算 機(jī)系統(tǒng)500的本地調(diào)制解調(diào)器接收電話線上的指令和數(shù)據(jù)��,并使用紅外發(fā) 射器來將指令和數(shù)據(jù)轉(zhuǎn)換為紅外信號����,該紅外信號就是充當(dāng)網(wǎng)絡(luò)鏈路532b 的載波。充當(dāng)交換系統(tǒng)530中的通信接口的紅外檢測器接收在紅外信號中
攜帶的指令和數(shù)據(jù)����,并且將代表該指令和數(shù)據(jù)的信息置于總線510上???br>
線510將信息運送到存儲器504,處理器502利用與指令一起發(fā)送的一些 數(shù)據(jù)來從存儲器504中取得指令并執(zhí)行指令。在存儲器504中接收的指令 和數(shù)據(jù)可以可選地在被處理器502或交換系統(tǒng)530執(zhí)行之前或之后存儲在 存儲設(shè)備508上�����。
6.0擴(kuò)展和替換
在以上說明中�,已參考特定實施例描述了本發(fā)明。但是�����,應(yīng)當(dāng)清楚�����, 在不脫離本發(fā)明更寬廣的精神和范圍的前提下,可以進(jìn)行各種修改和變 化��。因此��,說明書和附圖都應(yīng)當(dāng)被認(rèn)為是示例性的�����,而非限制性的��。
權(quán)利要求
1. 一種用于在服務(wù)網(wǎng)關(guān)處保護(hù)分組交換網(wǎng)的方法�,包括以下步驟在網(wǎng)絡(luò)接入服務(wù)器和內(nèi)容服務(wù)器之間的分組交換網(wǎng)上的通信路徑中的網(wǎng)關(guān)服務(wù)器處接收用戶數(shù)據(jù),其中所述用戶數(shù)據(jù)包括訂戶標(biāo)識符數(shù)據(jù)����,其指示特定用戶的唯一標(biāo)識符,網(wǎng)絡(luò)地址數(shù)據(jù)����,其指示所述特定用戶所使用的主機(jī)的網(wǎng)絡(luò)地址,NAS數(shù)據(jù)��,其指示所述網(wǎng)絡(luò)接入服務(wù)器的標(biāo)識符����,流列表數(shù)據(jù),其指示一個或多個開放數(shù)據(jù)分組流��,其中開放數(shù)據(jù)分組流包括指示穿過所述網(wǎng)關(guān)服務(wù)器以在所述用戶和所述內(nèi)容服務(wù)器之間進(jìn)行通信的一系列數(shù)據(jù)分組的開始的數(shù)據(jù)分組��,而沒有所述用戶和所述內(nèi)容服務(wù)器之間的所述一系列數(shù)據(jù)分組的相對應(yīng)的終止�����,以及可疑活動數(shù)據(jù)���,其指示所述開放數(shù)據(jù)分組流的指示可疑活動的屬性的值�����;基于所述可疑活動數(shù)據(jù)來確定是否滿足入侵條件�;并且如果確定滿足所述入侵條件����,則至少部分地基于除所述網(wǎng)絡(luò)地址數(shù)據(jù)之外的用戶數(shù)據(jù)來響應(yīng)所述入侵。
2. 如權(quán)利要求l所述的方法���,其中所述指示可疑活動的屬性是在特定時間段內(nèi)開始的所述開放數(shù)據(jù)分組流的數(shù)目���;并且所述確定是否滿足入侵條件的步驟包括確定在特定時間段內(nèi)開始的所述開放數(shù)據(jù)分組流的數(shù)目是否超過閾值比率����。
3. 如權(quán)利要求l所述的方法�,其中所述指示可疑活動的屬性是對其沒有來自所述用戶的確認(rèn)消息的所述開放數(shù)據(jù)分組流的數(shù)目;并且所述確定是否滿足入侵條件的步驟包括確定對其沒有來自所述用戶的確認(rèn)消息的所述開放數(shù)據(jù)分組流的數(shù)目 是否超過閾值數(shù)目和開放數(shù)據(jù)分組流的總數(shù)目的閾值百分比中的至少一 個�。
4. 如權(quán)利要求l所述的方法,其中所述指示可疑活動的屬性是對其沒有來自所述內(nèi)容服務(wù)器的確認(rèn)消息 的所述開放數(shù)據(jù)分組流的數(shù)目�;并且所述確定是否滿足入侵條件的步驟包括確定對其沒有來自所述內(nèi)容服務(wù)器的確認(rèn)消息的所述開放數(shù)據(jù)分組流 的數(shù)目是否超過閾值數(shù)目和開放數(shù)據(jù)分組流的總數(shù)目的閾值百分比中的至 少一個。
5. 如權(quán)利要求1所述的方法�,所述響應(yīng)所述入侵的步驟還包括基于 所述NAS數(shù)據(jù)向所述網(wǎng)絡(luò)接入服務(wù)器發(fā)送消息以終止來自特定用戶的通 信的步驟。
6. 如權(quán)利要求5所述的方法�����,所述向所述網(wǎng)絡(luò)接入服務(wù)器發(fā)送消息 的步驟還使所述網(wǎng)絡(luò)接入服務(wù)器釋放在所述用戶和所述網(wǎng)絡(luò)接入服務(wù)器之 間的接入網(wǎng)中分配給所述用戶的資源�。
7. 如權(quán)利要求6所述的方法,所述向所述網(wǎng)絡(luò)接入服務(wù)器發(fā)送消息 的步驟包括向所述網(wǎng)絡(luò)接入服務(wù)器發(fā)送遠(yuǎn)程接入撥入用戶服務(wù)(RADIUS)斷開分組(POD)的步驟����,所述網(wǎng)絡(luò)接入服務(wù)器由此斷開所 述接入網(wǎng)中的通信路徑并且釋放所述接入網(wǎng)中分配給所述用戶的資源。
8. 如權(quán)利要求1所述的方法�,所述響應(yīng)所述入侵的步驟還包括向在 確定對特定用戶收費時所涉及的記賬代理發(fā)送基于所述訂戶標(biāo)識符數(shù)據(jù)的 消息�,以使所述記賬代理處罰所述特定用戶的步驟���。
9. 如權(quán)利要求8所述的方法�,其中���,所述記賬代理使用于請求所述 特定用戶停止不期望活動的消息被發(fā)送到所述分組交換網(wǎng)之外的所述特定 用戶。
10. 如權(quán)利要求8所述的方法���,其中�����,所述記賬代理使所述特定用戶 失去對一組一個或多個內(nèi)容服務(wù)器'的訪問授權(quán)�。
11. 如權(quán)利要求8所述的方法�����,其中����,所述記賬使得向所述特定用戶 收取超限費。
12. 如權(quán)利要求1所述的方法�����,其中,所述響應(yīng)所述入侵的步驟還包 括以下步驟確定是否接收到用于授權(quán)對所述分組交換網(wǎng)的訪問的登錄消息�,該登 錄消息包括所述訂戶標(biāo)識符數(shù)據(jù);并且如果接收到包括所述訂戶標(biāo)識符數(shù)據(jù)的所述登錄消息�,則不準(zhǔn)訪問所 述分組交換網(wǎng)。
13. 如權(quán)利要求12所述的方法�,所述不準(zhǔn)訪問所述分組交換網(wǎng)的步 驟還包括在特定處罰時間段期間不準(zhǔn)訪問所述分組交換網(wǎng)的步驟。
14. 如權(quán)利要求1所述的方法����,其中,所述響應(yīng)所述入侵的歩驟還包 括以下步驟確定是否接收到用于授權(quán)對所述分組交換網(wǎng)的訪問的登錄消息����,該登 錄消息包括所述訂戶標(biāo)識符數(shù)據(jù);并且如果接收到包括所述訂戶標(biāo)識符數(shù)據(jù)的所述登錄消息����,則將該消息轉(zhuǎn) 發(fā)到特定服務(wù)器以生成對所述特定用戶的特殊響應(yīng)。
15. 如權(quán)利要求1所述的方法���,其中����,所述響應(yīng)所述入侵的歩驟還包 括將所有與同一訂戶標(biāo)識符相關(guān)聯(lián)的數(shù)據(jù)流刪除的步驟。
16. —種用于響應(yīng)對分組交換網(wǎng)的入侵的方法��,包括以下步驟 在記賬代理服務(wù)器處接收惡意訂戶數(shù)據(jù)��,其中所述記賬代理服務(wù)器為從訂戶感知服務(wù)網(wǎng)關(guān)服務(wù)器訪問目標(biāo)網(wǎng)絡(luò)的遠(yuǎn)程用戶提供費用信息�,所述 惡意訂戶數(shù)據(jù)包括指示特定用戶的唯一標(biāo)識符的訂戶標(biāo)識符數(shù)據(jù)和指示所 述特定用戶與對所述目標(biāo)網(wǎng)絡(luò)的入侵相關(guān)聯(lián)的入侵?jǐn)?shù)據(jù);以及響應(yīng)于接收到所述惡意訂戶數(shù)據(jù)�����,通過執(zhí)行以下步驟中的至少一個來 處罰所述特定用戶使所述特定用戶被從所述目標(biāo)網(wǎng)絡(luò)的授權(quán)用戶列表中刪除���; 向所述特定用戶發(fā)送帶外消息,以警告所述特定用戶停止對所述 目標(biāo)網(wǎng)絡(luò)的入侵�;以及使對與所述特定用戶相關(guān)聯(lián)的帳戶收取處罰費。
17. 如權(quán)利要求16所述的方法�,還包括 確定處罰期是否已經(jīng)到期;以及如果確定處罰期已經(jīng)到期�����,則使所述特定用戶恢復(fù)到所述目標(biāo)網(wǎng)絡(luò)的 授權(quán)用戶列表中����。
18. —種用于在服務(wù)網(wǎng)關(guān)處保護(hù)分組交換網(wǎng)的設(shè)備����,包括用于在網(wǎng)絡(luò)接入服務(wù)器和內(nèi)容服務(wù)器之間的分組交換網(wǎng)上的通信路徑 中的網(wǎng)關(guān)服務(wù)器處接收用戶數(shù)據(jù)的裝置����, 其中所述用戶數(shù)據(jù)包括訂戶標(biāo)識符數(shù)據(jù),其指示特定用戶的唯一標(biāo)識符���,網(wǎng)絡(luò)地址數(shù)據(jù)�����,其指示所述特定用戶所使用的主機(jī)的網(wǎng)絡(luò)地址�����,NAS數(shù)據(jù)�,其指示所述網(wǎng)絡(luò)接入服務(wù)器的標(biāo)識符���,流列表數(shù)據(jù)���,其指示一個或多個開放數(shù)據(jù)分組流,其中開放數(shù)據(jù)分組流包括指示穿過所述網(wǎng)關(guān)服務(wù)器以在所述用 戶和所述內(nèi)容服務(wù)器之間進(jìn)行通信的一系列數(shù)據(jù)分組的開始的數(shù) 據(jù)分組���,而沒有所述用戶和所述內(nèi)容服務(wù)器之間的所述一系列數(shù) 據(jù)分組的相對應(yīng)的終止��,以及可疑活動數(shù)據(jù)�,其指示所述開放數(shù)據(jù)分組流的指示可疑活動的屬性的值;用于基于所述可疑活動數(shù)據(jù)來確定是否滿足入侵條件的裝置�;并且 用于如果確定滿足所述入侵條件則至少部分地基于除所述網(wǎng)絡(luò)地址數(shù) 據(jù)之外的用戶數(shù)據(jù)來響應(yīng)所述入侵的裝置。
19. 一種用于響應(yīng)對分組交換網(wǎng)的入侵的裝置����,包括用于在記賬代理服務(wù)器處接收惡意訂戶數(shù)據(jù)的裝置,其中所述記賬代 理服務(wù)器為從訂戶感知服務(wù)網(wǎng)關(guān)服務(wù)器訪問目標(biāo)網(wǎng)絡(luò)的遠(yuǎn)程用戶提供費用 信息��,所述惡意訂戶數(shù)據(jù)包括指示特定用戶的唯一標(biāo)識符的訂戶標(biāo)識符數(shù)據(jù)和指示所述特定用戶與對所述目標(biāo)網(wǎng)絡(luò)的入侵相關(guān)聯(lián)的入侵?jǐn)?shù)據(jù)�;以及 用于響應(yīng)于接收到所述惡意訂戶數(shù)據(jù)而通過提供以下裝置中的至少一個來處罰所述特定用戶的裝置用于使所述特定用戶從所述目標(biāo)網(wǎng)絡(luò)的授權(quán)用戶列表中刪除的裝置���;用于向所述特定用戶發(fā)送帶外消息以警告所述特定用戶停止對所 述目標(biāo)網(wǎng)絡(luò)的入侵的裝置�����;以及用于使對與所述特定用戶相關(guān)聯(lián)的帳戶收取處罰費的裝置�����。
20. —種用于在分組交換網(wǎng)絡(luò)上的網(wǎng)絡(luò)接入服務(wù)器和內(nèi)容服務(wù)器之間 的所述分組交換網(wǎng)上的通信路徑中的服務(wù)網(wǎng)關(guān)服務(wù)器處保護(hù)所述分組交換 網(wǎng)絡(luò)的設(shè)備����,包括耦合到所述分組交換網(wǎng)以與所述分組交換網(wǎng)絡(luò)傳輸數(shù)據(jù)分組的網(wǎng)絡(luò)接□;一個或多個處理器; 計算機(jī)可讀介質(zhì)�;以及存儲在所述計算機(jī)可讀介質(zhì)中的一個或多個指令序列,當(dāng)被所述一個 或多個處理器執(zhí)行時使所述一個或多個處理器執(zhí)行以下步驟接收包括訂戶標(biāo)識符數(shù)據(jù)���、網(wǎng)絡(luò)地址數(shù)據(jù)�����、NAS數(shù)據(jù)����、流列表數(shù)據(jù)和可疑活動數(shù)據(jù)的用戶數(shù)據(jù)�,基于所述可疑活動數(shù)據(jù),確定是否滿足入侵條件��;以及 如果確定滿足所述入侵條件�����,則至少部分地基于除所述網(wǎng)絡(luò)地址數(shù)據(jù)之外的用戶數(shù)據(jù)來響應(yīng)所述入侵��,其中所述訂戶標(biāo)識符數(shù)據(jù)指示特定用戶的唯一標(biāo)識符, 所述網(wǎng)絡(luò)地址數(shù)據(jù)指示所述特定用戶所使用的主機(jī)的網(wǎng)絡(luò)地址�, 所述NAS數(shù)據(jù)指示所述網(wǎng)絡(luò)接入服務(wù)器的標(biāo)識符, 所述流列表數(shù)據(jù)指示一個或多個開放數(shù)據(jù)分組流�,其中開放數(shù)據(jù)分組流包括指示穿過所述網(wǎng)關(guān)服務(wù)器以在所述用 戶和所述內(nèi)容服務(wù)器之間進(jìn)行通信的一系列數(shù)據(jù)分組的開始的數(shù) 據(jù)分組,而沒有所述用戶和所述內(nèi)容服務(wù)器之間的所述一系列數(shù) 據(jù)分組的相對應(yīng)的終止����,并且所述可疑活動數(shù)據(jù)指示所述開放數(shù)據(jù)分組流的指示可疑活動的屬 性的值。
21. 如權(quán)利要求20所述的設(shè)備���,其中所述指示可疑活動的屬性是在特定時間段內(nèi)開始的所述開放數(shù)據(jù)分組 流的數(shù)目��;并且所述確定是否滿足入侵條件的步驟包括確定在特定時間段內(nèi)開始的所述開放數(shù)據(jù)分組流的數(shù)目是否超過閾值 比率�����。
22. 如權(quán)利要求20所述的設(shè)備�,其中所述指示可疑活動的屬性是對其沒有來自所述用戶的確認(rèn)消息的所述開放數(shù)據(jù)分組流的數(shù)目����;并且所述確定是否滿足入侵條件的步驟包括 確定對其沒有來自所述用戶的確認(rèn)消息的所述開放數(shù)據(jù)分組流的數(shù)目 是否超過閾值數(shù)目和開放數(shù)據(jù)分組流的總數(shù)目的閾值百分比中的至少一個�����。
23. 如權(quán)利要求20所述的設(shè)備��,其中所述指示可疑活動的屬性是對其沒有來自所述內(nèi)容服務(wù)器的確認(rèn)消息 的所述開放數(shù)據(jù)分組流的數(shù)目;并且所述確定是否滿足入侵條件的步驟包括確定對其沒有來自所述內(nèi)容服務(wù)器的確認(rèn)消息的所述開放數(shù)據(jù)分組流 的數(shù)目是否超過閾值數(shù)目和開放數(shù)據(jù)分組流的總數(shù)目的閾值百分比中的至 少一個�。
24. 如權(quán)利要求20所述的設(shè)備,所述響應(yīng)所述入侵的步驟還包括基 于所述NAS數(shù)據(jù)向所述網(wǎng)絡(luò)接入服務(wù)器發(fā)送消息以終止來自所述特定用 戶的通信的步驟�。
25. 如權(quán)利要求24所述的設(shè)備,所述向所述網(wǎng)絡(luò)接入服務(wù)器發(fā)送消 息的步驟還使所述網(wǎng)絡(luò)接入服務(wù)器釋放在所述用戶和所述網(wǎng)絡(luò)接入服務(wù)器 之間的接入網(wǎng)中分配給所述用戶的資源���。
26. 如權(quán)利要求25所述的設(shè)備��,所述向所述網(wǎng)絡(luò)接入服務(wù)器發(fā)送消 息的步驟包括向所述網(wǎng)絡(luò)接入服務(wù)器發(fā)送遠(yuǎn)程接入撥入用戶服務(wù)(RADIUS)斷開分組(POD)的步驟�,所述網(wǎng)絡(luò)接入服務(wù)器由此斷開所 述接入網(wǎng)中的通信路徑并且釋放所述接入網(wǎng)中分配給所述用戶的資源���。
27. 如權(quán)利要求20所述的設(shè)備����,所述響應(yīng)所述入侵的步驟還包括向在確定對特定用戶收費時所涉及的記賬代理發(fā)送基于所述訂戶標(biāo)識符數(shù)據(jù)的消息�,以使所述記賬代理處罰所述特定用戶的步驟。
28. 如權(quán)利要求27所述的設(shè)備�,其中,所述記賬代理使用于請求所 述特定用戶停止不期望活動的消息被發(fā)送到所述分組交換網(wǎng)之外的所述特定用戶�����。
29. 如權(quán)利要求27所述的設(shè)備,其中���,所述記賬代理使所述特定用戶失去對一組一個或多個內(nèi)容服務(wù)器的訪問授權(quán)��。
30. 如權(quán)利要求27所述的設(shè)備��,其中���,所述記賬使得向所述特定用戶收取超限費。
31. 如權(quán)利要求20所述的設(shè)備�,其中,所述響應(yīng)所述入侵的步驟還包括以下步驟確定是否接收到用于授權(quán)對所述分組交換網(wǎng)的訪問的登錄消息���,該登錄消息包括所述訂戶標(biāo)識符數(shù)據(jù)�;并且如果接收到包括所述訂戶標(biāo)識符數(shù)據(jù)的所述登錄消息����,則不準(zhǔn)訪問所述分組交換網(wǎng)。
32. 如權(quán)利要求31所述的設(shè)備����,所述不準(zhǔn)訪問所述分組交換網(wǎng)的歩驟還包括在特定處罰時間段期間不準(zhǔn)訪問所述分組交換網(wǎng)的步驟����。
33. 如權(quán)利要求20所述的設(shè)備���,其中,所述響應(yīng)所述入侵的歩驟還包括以下步驟確定是否接收到用于授權(quán)對所述分組交換網(wǎng)的訪問的登錄消息�����,該登錄消息包括所述訂戶標(biāo)識符數(shù)據(jù)�;并且如果接收到包括所述訂戶標(biāo)識符數(shù)據(jù)的所述登錄消息,則將該消息轉(zhuǎn)發(fā)到特定服務(wù)器以生成對所述特定用戶的特殊響應(yīng)����。
34. 如權(quán)利要求20所述的設(shè)備,其中��,所述響應(yīng)所述入侵的步驟還包括將所有與同一訂戶標(biāo)識符相關(guān)聯(lián)的數(shù)據(jù)流刪除的步驟��。
35. —種用于在記賬代理服務(wù)器處響應(yīng)對分組交換網(wǎng)的入侵的設(shè)備�,所述記賬代理服務(wù)器為訪問所述分組交換網(wǎng)的遠(yuǎn)程用戶提供費用信息,所述設(shè)備包括耦合到所述分組交換網(wǎng)以與所述分組交換網(wǎng)絡(luò)傳輸數(shù)據(jù)分組的網(wǎng)絡(luò)接一個或多個處理器�����; 計算機(jī)可讀介質(zhì)����;以及存儲在所述計算機(jī)可讀介質(zhì)中的一個或多個指令序列���,當(dāng)被所述一個 或多個處理器執(zhí)行時使所述一個或多個處理器執(zhí)行以下步驟從訂戶感知服務(wù)網(wǎng)關(guān)服務(wù)器接收惡意訂戶數(shù)據(jù),所述惡意訂戶數(shù) 據(jù)包括指示特定用戶的唯一標(biāo)識符的訂戶標(biāo)識符數(shù)據(jù)和指示所述特定 用戶與對所述目標(biāo)網(wǎng)絡(luò)的入侵相關(guān)聯(lián)的入侵?jǐn)?shù)據(jù)�;以及響應(yīng)于收到所述惡意訂^數(shù)據(jù),通過執(zhí)行以下步驟中的至少一個 來處罰所述特定用戶使所述特定用戶從所述目標(biāo)網(wǎng)絡(luò)的授權(quán)用戶列表中刪除����;向所述特定用戶發(fā)送帶外消息,以警告所述特定用戶停止對所述 目標(biāo)網(wǎng)絡(luò)的入侵����;以及使得對與所述特定用戶相關(guān)聯(lián)的帳戶收取處罰費。
36. 如權(quán)利要求35所述的設(shè)備��,其中所述一個或多個指令序列的執(zhí) 行還使所述一個或多個處理器執(zhí)行以下步驟確定處罰期是否已經(jīng)到期���;以及如果確定處罰期已經(jīng)到期��,則使所述特定用戶恢復(fù)到所述目標(biāo)網(wǎng)絡(luò)的 授權(quán)用戶列表中��。
37. —種計算機(jī)可讀介質(zhì)�,其承載用于在服務(wù)網(wǎng)關(guān)處保護(hù)分組交換網(wǎng) 的一個或多個指令序列�����,其中所述一個或多個指令序列被一個或多個處理 器執(zhí)行使所述一個或多個處理器執(zhí)行以下步驟在網(wǎng)絡(luò)接入服務(wù)器和內(nèi)容服務(wù)器之間的分組交換網(wǎng)上的通信路徑中的 網(wǎng)關(guān)服務(wù)器處接收用戶數(shù)據(jù)���,其中所述用戶數(shù)據(jù)包括訂戶標(biāo)識符數(shù)據(jù)�,其指示特定用戶的唯一標(biāo)識符���,網(wǎng)絡(luò)地址數(shù)據(jù)�����,其指示所述特定用戶所使用的主機(jī)的網(wǎng)絡(luò)地址����,NAS數(shù)據(jù)�����,其指示所述網(wǎng)絡(luò)接入服務(wù)器的標(biāo)識符���,流列表數(shù)據(jù)��,其指示一個或多個開放數(shù)據(jù)分組流��,其中開放數(shù)據(jù)分組流包括指示穿過所述網(wǎng)關(guān)服務(wù)器以在所述用 戶和所述內(nèi)容服務(wù)器之間進(jìn)行通信的一系列數(shù)據(jù)分組的開始的數(shù) 據(jù)分組����,而沒有所述用戶和所述內(nèi)容服務(wù)器之間的所述一系列數(shù) 據(jù)分組的相對應(yīng)的終止,以及可疑活動數(shù)據(jù)��,其指示所述開放數(shù)據(jù)分組流的指示可疑活動的屬 性的值��;基于所述可疑活動數(shù)據(jù)來確定是否滿足入侵條件�����;并且 如果確定滿足所述入侵條件����,則至少部分地基于除所述網(wǎng)絡(luò)地址數(shù)據(jù) 之外的用戶數(shù)據(jù)來響應(yīng)所述入侵。
38. —種計算機(jī)可讀介質(zhì)����,其承載用于響應(yīng)對分組交換網(wǎng)的入侵的一 個或多個指令序列,其中所述一個或多個指令序列被一個或多個處理器執(zhí) 行使所述一個或多個處理器執(zhí)行以下步驟在記賬代理服務(wù)器處接收惡意訂戶數(shù)據(jù)����,其中所述記賬代理服務(wù)器為 從訂戶感知服務(wù)網(wǎng)關(guān)服務(wù)器訪問目標(biāo)網(wǎng)絡(luò)的遠(yuǎn)程用戶提供費用信息,所述 惡意訂戶數(shù)據(jù)包括指示特定用戶的唯一標(biāo)識符的訂戶標(biāo)識符數(shù)據(jù)和指示所 述特定用戶與對所述目標(biāo)網(wǎng)絡(luò)的入侵相關(guān)聯(lián)的入侵?jǐn)?shù)據(jù)�����;以及響應(yīng)于收到所述惡意訂戶數(shù)據(jù),通過執(zhí)行以下步驟中的至少一個來處 罰所述特定用戶使所述特定用戶從所述目標(biāo)網(wǎng)絡(luò)的授權(quán)用戶列表中刪除�;向所述特定用戶發(fā)送帶外消息,以警告所述特定用戶停止對所述目標(biāo)網(wǎng)絡(luò)的入侵����;以及使得對與所述特定用戶相關(guān)聯(lián)的帳戶收取處罰費�。
39. 如權(quán)利要求38所述的計算機(jī)可讀介質(zhì),其中所述一個或多個指 令序列的執(zhí)行還使所述一個或多個處理器執(zhí)行以下步驟確定處罰期是否己經(jīng)到期���;以及如果確定處罰期已經(jīng)到期�,則使所述特定用戶恢復(fù)到所述目標(biāo)網(wǎng)絡(luò)的 授權(quán)用戶列表中���。 '
全文摘要
用于響應(yīng)對分組交換網(wǎng)的入侵的技術(shù)包括在網(wǎng)絡(luò)接入服務(wù)器和內(nèi)容服務(wù)器之間的訂戶感知網(wǎng)關(guān)服務(wù)器處接收用戶數(shù)據(jù)��。用戶數(shù)據(jù)包括用于指示特定用戶的唯一標(biāo)識符的訂戶標(biāo)識符數(shù)據(jù)��,用于指示特定用戶所使用的主機(jī)的網(wǎng)絡(luò)地址的網(wǎng)絡(luò)地址數(shù)據(jù)��,用于指示網(wǎng)絡(luò)接入服務(wù)器的標(biāo)識符的NAS數(shù)據(jù)�����,用于指示一個或多個開放數(shù)據(jù)分組流的流列表數(shù)據(jù)���,以及可疑活動數(shù)據(jù)�����?���?梢苫顒訑?shù)據(jù)指示開放數(shù)據(jù)分組流的指示可疑活動的屬性的值�。基于可疑活動數(shù)據(jù)來確定是否滿足入侵條件�����。如果確定滿足入侵條件�����,則網(wǎng)關(guān)至少部分地基于除網(wǎng)絡(luò)地址數(shù)據(jù)之外的用戶數(shù)據(jù)來作出響應(yīng)�。
文檔編號H04L12/28GK101390342SQ200680042551
公開日2009年3月18日 申請日期2006年11月8日 優(yōu)先權(quán)日2005年11月14日
發(fā)明者克里斯托弗·C·奧'魯爾克, 弗蘭克·杰勒德·波爾多納羅, 羅伯特·巴茨, 路易斯·門迪托 申請人:思科技術(shù)公司