专利名称::管理恶意软件感染业务流的系统和方法
技术领域:
:本发明涉及多址网络环境的管理技术,特别涉及一种在带宽受限的多址网络中对被病毒感染的用户设备的上行流带宽进行管理的方法。
背景技术:
:计算^l病毒通常为隐藏或伪装成合法文件或消息的可执行文件或附件。更准确地说,计算机病毒包括能够被可信主机存储、散布以及直接或间接执行的任意形式的可自我复制的计算机编码。病毒可以通过网络连接或被感染的媒介在机器间传播并可以造成恶意的甚至破坏性的后果。病毒可以是伪装成应用程序、函数、宏、电子邮件附件甚至JAVA小程序(applets)和超文本链接的可执行程序或宏编码。最早的计算机病毒只感染启动扇区和文件。随着时间的推移,计算机病毒进化成多种类型,包括空腔病毒、簇病毒、伴生病毒、直接作用病毒、加密病毒、分成多部分的病毒、变异病毒、多态病毒、重写病毒、自变码病毒和隐形病毒。最近,宏病毒开始流行。这些病毒用宏编程语言写在脚本中并附在文档和电子邮件的附件中。针对手机等其他硬件类型也已经发展出了许多病毒类型(任何能够发送和接收文件的复杂可编程系统都是病毒感染的目标)。历史上,反病毒解决方案已经反映了许多反病毒技巧。第一个反病毒解决方案是用来识别和屏蔽病毒的单机程序。此后,反病毒解决方案开始包括可以存储在反病毒引擎可读的数据文件中的特定目标函数和参数化变量。随着时间的推移,特定目标函数逐渐发展成用于定义包括移除和隔离操作的病毒扫描和清除的专门反病毒语言。无线通信对反病毒提出了更大的挑战。典型地,无线带宽是多个用户之间共享的多址资源。最近,通过使用美国THETA公司的GPRS网络病毒扫描产品VirusGuardMUX对多个GPRS网络的监控研究表明,病毒占据了大约30%的背景流量。这不仅浪费了宝贵的GPRS带宽资源,还会导致客户对高额计费产生不满(在基于流计费的系统中)。当前的防火墙技术和安全交换技术的应用已经可以对病毒进行监控和过滤。其采用的主要^支术包括过滤技术、访问控制列表(ACL,AccessControlList)技术和网络地址转换技术等。在IPv6中,增加了对网络层安全性的强制要求,特别设计了IPSec协议(IPSec协议也可以工作在IPv4中,但在IPv4的实现是可选的)。由于IPSec引入了认证和加密机制,实现了基于网络层的身份认证,确保了数据包的完整性和保密性,从而保证了网络层的安全。无线设备中发现的病毒类型主要是第七层应用层病毒类型(也有第三层蠕虫病毒)。这些病毒一般承载于通用隧道协议-用户面(GTP-U)协议中。传统的防火墙技术,基本解决了下行病毒流量的过滤,但不能控制上行病毒流。这样带来的后果是,在病毒被才全测到之前,在上行流中传输被病毒感染的信息流将浪费大量的上行带宽。病毒并不是唯一的恶意软件(malware)类型。随着互联网络应用的不断发展,出现的多种类型的恶意软件并不都是狭义上的病毒。但是,这些不同类型的恶意软件都能让带宽承受无用的负担。例如,病毒会发出自身的多个副本,而其他类型的恶意软件会向多个接收者发送垃圾邮件(非索要广告)或者征募电脑主机来参与分布式拒绝业务(DDOS,DistributedDenialOfServices)攻击。
发明内容本申请提出了管理信息流带宽的新方法。在多种实施例中,多址环境下,根据观测到的数据流中病毒报文的强度来调整带宽分配。该方案尤其有利于管理无线网络中的上行信息流。在其他多种实施例中,如果测试到的病毒强度比引起带宽减小的病毒强度低,分配的带宽可以在减少之后再增加。在其他多种实施例中,如果病毒强度测试发生在设定的时间延迟后,则带宽分配可以在减少之后再增加。在多种实施例中,所公开的发明至少具有下列一种或多种优点可以完全分散实现,使系统可以扩展应用于大量的用户。可以使用现有病毒检测机制。所公开的发明可以完美地集成于现有病毒检测机制中。可以独立于其他网络实体工作。由于不需要与其他网络实体交互,可以使信令开销最小化。提高了带宽使用效率。通过减少分配给受病毒感染的业务流的带宽,增加了其他用户的可用带宽。更好地管理有害上行传输占用的病毒带宽。允许重新对系统参数进行设置。制造商或业务提供商可以灵活地确定需要操作的阈值和/或调整检测到的病毒报文比例与减少或增加的带宽的关系。本发明可以结合附图来进行说明,这些了本发明的重要示例性实施例,并可作为本发明的说明书中的参考,其中图1示出了一个示例性实施例;图2示出了一个示例性实施例中,当报告跨越阈值时采取的步骤;图3示出了计算跨越阈值的一个例子;图4示出了计算跨越阈值的另一个例子,其中,根据变化方向采用不同阈值;图5示出了根据多种公开实施例的可以方便地调整组网环境的两个例子;图6A示出了UMTS的框架式架构,图6B示出了简化的UTRAN无线接口架构;图7A示出了装备有传统防火墙的WCDMA接入网中病毒感染流,图7B示出了传统防火墙的一种实现方式;图8A示出了内部防火墙的实现方式,图8B示出了UE和GGSN之间的协议栈,图8C示出了内部防火墙捕获和丢弃包含病毒感染IP包的PDCP有效载荷的过程,图8D示出了内部防火墙转发正常PDCP有效载荷的过程,图8E示出了一个内部防火墙架构的例子。具体实施例方式下面结合本文提出的优选实施例说明本发明的许多创新技术(只为举例,并不局限于此)。图1为在PDCP中实现的示例性实施例的主要^f既念图。这里1^义为举例而已,本领域技术人员可以基于此主要概念设计出多种修改和变化。在该实施例中,该过程开始于初始化计时器和两个计数器计数器1(Countl)和计数器2(Count2);即步-骤101。Countl用于对在计时器指示的预设周期中收到IP包的总数进行计数。Count2用于对在相同周期收到的全部IP包中被病毒感染的IP包的总数进行计数。PDCP每接收一个上行IP包,Countl力口l;即步骤102;然后调用现有的病毒^r测机制察看该IP包是否被感染,即步骤103;如果该IP包未被感染,则PDCP继续按正常流程传输该IP包,即步骤104;接下来,检测计时器是否到期,即步骤105;如果该计时器没有到期,返回处理下一个上行IP包,即步骤102;否则,检测阈值V,即步舉107;但是,如果该IP包被感染,即,在步骤103中检测到病毒,则丢弃该IP包并且Count2加1,即步骤106。然后,计算出Count2/Countl的比值作为强度并将之与阈值V进行比较,即步骤107;如果未^争越该阈值,则返回初始化步骤,即步骤101,重复该过程;否则,计算出感染强度并将阈值跨越通知RRC,即步骤108,然后再重复该过程。强度的量化有多种方法,其中之一为强度-Count2/Countl。设置阈值的主要目的是判断在何种病毒感染强度下需要触发调整带宽动作。图2示出了图1的步骤108中,当报告跨越阈值后,在RRC中调整带宽分配的示例性实施例。这里仅为举例说明其主要概念,本领域技术人员可以根据其主要概念进行多种修改和变化。首先,RRC根据强度信息计算新的带宽分配,即步骤210。计算新带宽可以釆用多种方法。例如新带宽=现有带宽x(1-Count2/Countl)然后启动请求分配新带宽的无线承载(RB)带宽分配过程,即步骤220。该过程的详细步骤在RRC规范中定义,不在本发明的范围之内。图3示出了跨越阈值的概念。当Count2/Countl>=V(由下向上跨越阈值),即步骤310,4企测病毒感染强度来触发减少带宽动作。当Count2/CountKV(由上向下跨越阈值),即步骤320,可以认为病毒流强度减少到足够触发恢复带宽的动作。图4示出了另一种计算跨越阈值的方法。在本例中,预先确定低阔值VL和高阈值VH来自动调整带宽,使其增加或减少。例如,每当第一次从下向上跨越阈值VH,减少带宽;每当第一次从上向下跨越阈值VL时,则增加带宽。当第一次Count2/Countl>=VH(从下向上跨越阈值),即步骤410,表明4全测到病毒流,应该减少带宽。当第一次Count2/CountK-VL(从上向下跨越阈值),即步骤420,表明病毒流强度降低,应该恢复带宽。图5示出了结合本发明的组网环境的例子。用户设备UE571可以是无线设备、客户前提设备(CPE,CustomerPremiseEquipment),如DSL或有线调制解调器等具有连网能力的i殳备。网络实体NE572可以是^^由器、交换机和复用/解复用器等。物理信道590可以为无线、电子或光领域的频率信道、时隙信道或基于码的信道(如CDMA)。这些信道可以被分成多个独立可调整带宽的逻辑信道580(或称为子信道)来实现多址接入。下面以通用移动通j言系统(UMTS,UniversalMobieTelecommunicationsSystem)为例进行说明。UMTS是一种采用宽带码分多址(WCDMA,WidebandCodeDivisionMultipleAccess)空中接口技术的第三代(3G)移动通信系统。(UMTS也可以称为WCDMA通信系统。)UMTS采用了与第二代(2G)移动通信系统的相似的结构。图6A示出了粗略的UMTS架构。用户通过移动台(MS)或用户设备(UE)610接入网络。UMTS还包括无线接入网(RAN)620和核心网(CN)630。其中,RAN620实现所有与无线接入相关的功能,且由于UMTS采用通用陆地无线4妄入网(UTRAN,UniversalTerrestrialRadioAccessNetwork),所以也可以称其为UTRAN。UTRAN的无线接口包括第一层(物理层)、第二层(数据链路层)和第三层(网络层)。图6B示出了UTRAN无线接口架构的筒图。(这里只讨i仑与本发明相关的子层。)网络层包括无线资源控制(RRC,RadioResourceControl)子层671,其只存在于控制平面中并负责控制UMTS无线接口第一层和第二层的配置。数据链路层包括无线链路控制(RLC,RadioLinkControl)子层672,媒体接入控制(MAC,MediumAccessControl)子层673和分组数据汇聚协议(PDCP,PacketDataConvergenceProtocol)子层674。RLC子层672具有三个不同的对等实体。透明传输业务和未确认业务各有一个发送实体和一个接收实体;对于确认业务则只有一个用于发送和接收的组合实体。RLC支持的功能如下分段和重组;级联;填充;传输用户数据;纠错;高层PDU的按序交付;重复4企测;流控;序列号检查;协议错误检测和恢复;力口密;和挂起/恢复功能。协议以PDU的形式发送。该PDU可以是数据PDU或控制PDU.MAC子层673提供逻辑信道上的数据传输业务。为MAC提供的不同类型的数据传输业务定义一系列逻辑信道类型。每个逻辑信道类型根据被传输的信息的类型来定义。PDCP子层674使用RLC子层672提供的业务。网络层协议应当支持来自各种各样的子网和数据链路的业务。UMTS支持多种能对业务用户提供协议透传的网络层协议(如IPv4和IPv6)。UTRAN上传l命的新的网络层协议的引入不能改变原有的UTRAN协议,因此,UTRAN网络实体以透传的方式实现所有与传输上层包(PDCPSDUs)相关的功能。这是UTRANPDCP的基本需求之一。PDCP具有以下功能在发送和接收实体上分别进行IP数据流的包头压缩和解压缩(例如TCP/IP和RTP/UDP/IP包头)。针对特定的网络层、传输层或上层协议的组合,例如TCP/IP和RTP/UDP/IP,使用特定的包头压缩方法。用户数据传输。用户数据传输指的是PDCP从NAS接收PDCPSDU并将其转发到RLC层,反之亦然。维护支持SRNS无损迁移的PDCP序列号。由于PDCP的主要功能是在发送和接收实体上实现IP数据流的包头压缩和解压缩,因此PDCP子层自然具有IP包分析的功能。因此,现在的用户"i殳备通过检测和分析所携带IP包的协议信息和寻址信息在PDCP子层实现病毒检测机制。对于基于ACL的病毒^r测技术更是如此。图7A示出了病毒感染流影响WCDMA接入网的例子。由于防火墙710通常安装在移动网络和因特网之间,从因特网服务器到终端的病毒可被防火墙710过滤掉。但是,来自终端的病毒感染流会在被防火墙过滤之前消耗掉大部分宝贵的接入网资源。图7B示出了在接入节点之间以及接入节点和因特网之间安装反病毒设备ISG2000720的实施方式。图8A示出了本发明实施例中一个新的内部防火墙的实施方式。基于本发明WCDMA网络中UE和GGSN之间的用户协议栈来描述内部防火墙的基本原理。UE和GGSN之间的IP包是PDCP协议有效载荷并能够透传到UTRAN。通常UTRAN不需要处理PDCP有敢载荷。实际上,病毒感染数据包潜藏于那些经UTRAN传输到SGSN再到GGSN的"有效载荷,,中。病毒感染数据包的传输不需要占用UE和UTRAN之间的空中接口资源、子接口资源、UTRAN和SGSN之间的接口资源以及SGSN和GGSN之间的接口资源。另一方面,在PDCP和GTP-U之间引入内部防火墙,将传统防火墙的特征引入到RNC中来处理PDCP有效载荷。随后,内部防火墙会监控PDCP有效载荷中的IP包。丢弃包括被病毒感染的EP包的PDCP有效载荷(参见图8C),将未被病毒感染的IP包的PDCP有效载荷转发给GTP-U(参见图8D)。图8E为内部防火墙实现的示例性结构。本发明的多个公开实施例提供了一种信息流的管理方法,包括检测信息流的多个子流的恶意软件感染强度;根据检测到的强度调整各个子流的带宽分配。本发明的多个公开实施例提供了一种无线通信中的带宽管理方法,包括a)当某一信道中所观测的恶意软件感染超过阈值时,减少该信道的带宽;和b)当所观测的恶意软件感染减少到至少一定程度时,增加该信道的带宽。本发明的多个公开实施例提供了一种无线通信系统,包括信道管理逻辑实体,其可以减少或增加多个无线通信信道的带宽分配;感染检测器,其用于检测至少一个信道的恶意软件感染状况并请求信道管理逻辑实体根据所检测感染状况的至少一定改变减少或增加带宽分配。本发明的多个公开实施例提供了具有监控无线网络上行信息流中恶意报文强度并根据强度来调整业务流带宽分配的系统和方法,因而防止包含大量恶意软件感染的信道给整个可用带宽增加额外负担。本领域技术人员可以理解,本发明所述的创新概念可以在^艮大的应用范围内被修改和改变,因此可以申请专利的主题范围并不局限于本发明给出的任何特定示例技术。例如,除了在PDCP子层或作为PDCP和GTP-U之间的内部防火墙实现该方法之外,还可以在GTPU子层实现该方法。再例如,可以想到,向RRC报告强度信息的示例性实施例中,也可以只报告强度变化的正负的指示,而不需要报告具体的强度信息。其他实施例中,定时器T和阈值V的值是用户可配置的,这样可以让业务提供商才艮据本地变化灵活地调整它们的值。例如,设置V-0,该方法则一直报告强度;而设置V〉100,该方法则不再报告强度。调整T值会改变检测周期的频率。可以通过其他方法来定义强度。例如,强度可为Count2的绝对值而不是Count2/Countl的比值,这样随着Count2值的增加,恶意软件攻击的强度也变大。再比如,可以将强度定义为一个周期内连续恶意软件攻击的最长字符串,则连续攻击字符串越长,恶意软件攻击的强度越大。也可以不用连续函数来定义新带宽。例如,下面是用在WCDMA中的阶跃函数例子强度<table>tableseeoriginaldocumentpage15</column></row><table>或另一个用在GPRS中的阶跃函数例子.-<table>tableseeoriginaldocumentpage15</column></row><table>再比如,当上文提到特定的病毒检测时,应该注意术语"病毒,,指的是广义范围类型的恶意软件(malware)。可以自动检测的其他恶意软件包括特洛伊木马、后门程序、按键记录器、广告软件、间谍软件和其他已出现或将要出现的类型。还有,可以使用多种不同的程序和/或软件架构来自动^^测病毒,并且可以将很多具体的病毒或恶意软件检测与上述带宽管理技术结合。在识别任何非期望恶意软件的带宽消耗(例如,通过模式匹配和/或流量分析)方面,可以方便地使用上述的程序和架构。本发明的说明书中的任何特定的特征、步骤或功能都不表示是必须包含在权利要求中的必要技术特征。专利主题的保护范围仅以准许的权利要求决定。任何权利要求都没有借助于35USC第112章的第六段的规定。提交的权利要求尽可能的全面,没有故意地丟弃、专用或废弃主题。权利要求1、一种信息流的管理方法,其特征在于,包括检测信息流中多个子流的恶意软件感染的强度;根据检测到的恶意软件感染的强度分别调整分配给所述多个子流的带宽。2、根据权利要求1所述的方法,其特征在于,当观测到信息流中某子流的恶意软件感染超过阈值时,所述调整动作为减少分配给信息流中该子流的带宽。3、根据权利要求1所述的方法,其特征在于,当观测到信息流中某子流的恶意软件感染超过第一阈值时,所述调整动作为减少分配给信息流中该子流的带宽;当^L测到信息流中该子流的恶意软件感染降到低于第二阈值时,所述调整动作为增加分配给信息流中该子流的带宽。4、根据权利要求1所述的方法,其特征在于,当观测到信息流中某子流的恶意软件感染超过第一阈值时,所述调整动作为减少分配给信息流中该子流的带宽;当观测到信息流中该子流的恶意软件感染降到低于第二阈值并经过最小延迟时,所述调整动作为增加分配给信息流中该子流的带宽。5、根据权利要求1所述的方法,其特征在于,所述检测恶意软件感染的强度是通过病毒检测过程实现的。6、才艮据权利要求1所述的方法,其特征在于,所述检测动作还包括从分组数据汇聚协议PDCP包中过滤恶意软件感染包的过滤动作。7、一种无线通信带宽的管理方法,其特征在于,包括a)当在某信道中观测的恶意软件感染超过阈值时,减少该信道的带宽;b)当所述;^见测的恶意软件感染减少一定量以上时,增加该信道的带宽。8、根据权利要求7所述的方法,其特征在于,当恶意软件感染已触发了所述动作a,并且在触发所述动作a之后恶意软件至少部分减少时,增加带宽的动作b发生。9、根据权利要求7所述的方法,其特征在于,所述当观测到的感染包的比例下降到低于阈值,且所述动作a发生超过最小延迟时,增加带宽的动作b发生。10、根据权利要求7所述的方法,其特征在于,所述阈值由感染包所占比例确定。11、根据权利要求7所述的方法,其特征在于,所述动作a使用病毒检测过程。12、根据权利要求7所述的方法,其特征在于,所述动作b以恶意软件感染强度和时延为触发条件。13、根据权利要求7所述的方法,其特征在于,所述动作a和b由恶意软件感染的不同阈值触发。14、根据权利要求7所述的方法,其特征在于,所述动作a和b中至少一个动作以感染包和未感染包的比值为触发条件。15、一种无线通信上行带宽的管理方法,其特征在于,包括a)当在某上行信道中观测的病毒感染超过阈值时,减少该上行信道的带宽;b)所述观测的恶意软件感染减少一定量以上时,增加该上行信道的带宽。16、根据权利要求15所述的方法,其特征在于,所述增加带宽的动作b发生在在恶意软件感染已触发了所述动作a并发生至少部分减少时。17、根据权利要求15所述的方法,其特征在于,所述增加带宽的动作b发生在观测到的感染包的速率下降到低于阈值水平且在所述动作a后经过了最小延迟时。18、根据权利要求15所述的方法,其特征在于,所述阈值由感染包所占比例确定。19、根据权利要求15所述的方法,其特征在于,所述动作a使用病毒检测20、根据权利要求15所述的方法,其特征在于,所述动作b以恶意软件感染强度和时延为触发条件。21、根据权利要求15所述的方法,其特征在于,所述动作a和b由恶意软件感染的不同阈值触发。22、根据权利要求15所述的方法,其特征在于,所述动作a和b中至少一个动作以感染包和未感染包的比值为触发条件。23、一种无线通信系统,包括:信道管理逻辑实体,用于减少或增加多个无线通信信道的带宽分配;和感染强度检测器,用于检测至少一个信道的恶意软件感染情况,并请求所述信道管理逻辑实体根据检测到的感染情况的变化减少或增加带宽分配。24、才艮据权利要求23所述的系统,其特征在于,所述感染强度斥企测器包括第一计数器,用于计算传输的全部包的数目;第二计数器,用于计算传输的全部感染包的数目;和比值测试器,用于通过比较给定时间间隔到期时所述第二计数器与第一计数器的比值来确定感染的情况。25、根据权利要求23所述的系统,其特征在于,所述感染强度检测器根据恶意软件强度的减少和最小时延请求增加带宽。26、根据权利要求23所述的系统,其特征在于,所述感染强度检测器在一种情况下请求增加带宽并在另一种情况下请求减少带宽。27、根据权利要求23所述的系统,其特征在于,所述感染强度检测器检查分组数据汇聚协议PDCP包中的恶意软件感染情况。28、根据权利要求23所述的系统,其特征在于,还包括感染过滤器,用于过滤至少一个信道的恶意软件感染包。29、根据权利要求23所述的系统,其特征在于,还包括感染过滤器,用于过滤至少一个信道的恶意软件感染包;一企查PDCP包中的恶意软件感染情况并丢弃被恶意软件感染的包。全文摘要监控无线网络的上行业务流中病毒感染信息所占的比例,根据病毒感染信息所占的比例调整分配给不同信道的带宽,从而防止包含大量恶意软件感染的信道对整个可用带宽增加额外负担。文档编号H04L12/24GK101366237SQ200780000039公开日2009年2月11日申请日期2007年2月6日优先权日2007年2月6日发明者唐宗全,汤正华,郭传真申请人:华为技术有限公司