检测和防止特定网络协议的非法使用而不改变其合法使用的方法

专利名称：检测和防止特定网络协议的非法使用而不改变其合法使用的方法
技术领域：
本发明涉及一种检测和防止特定网络协议的非法使用而不降低其合法使用的方法。

发明内容
本发明在IP网络安全方面找到一个特别的应用，其中它提供对以有漏洞协议的比特率突然上升为特征的各种类型的攻击、尤其是拒绝服务攻击和隐藏信道攻击(hidden channel attack)的有效屏障。它对于付费接入公共无线网络(称为“热点”网络)特别有效。
本发明具有两个方面，特别是从有关协议的比特率构成检测攻击的准则以及根除攻击的手段的意义而言。本发明的第二方面基于延迟函数(delayfunction)的使用，从而当没有正在进行的攻击时以可以忽略的延迟转发系统所接收的任何分组，而如果检测到攻击时以提高到使攻击者无法使用网络的程度的延迟，转发系统所接收的任何分组。
本发明的方法与IP网络所基于的技术，以太网IEEE 802.11、GPRS等无关。
本发明的方法提供一种对于被称为防火墙穿透或隐藏信道攻击的欺诈形式的有效解决方案。
这些欺诈技术通过将被禁止的流封装在被授权的流中，使得正常情况下被禁止的流能通过用于过滤信息的设备。本发明在迄今为止还没有解决方案的困难情形下解决了该问题。
本发明的方法具有如下优点在对网络的合法使用没有任何明显负面影响的情况下防止了欺诈。
更一般地说，假若任何基于与局域网的不正常数据交换的攻击或欺诈引起关于比特率的显著上升，所述比特率是由已被侵害的协议正常使用的比特率，那么本发明就能容易地处理所述攻击或欺诈。
因此，特别是在热点网络中，也可以处理特定的拒绝服务攻击(纯粹恶意地使服务无法被其它用户使用)，热点是无线电覆盖区域，其中适当配置的终端在被诸如用户的GSM网络之类的、对通信网络的接入的提供商收取预付费或收费的情况下、可以登录到因特网并获得对因特网的接入。当热点连接到移动网络运营商以便使用GSM鉴别时出现这种情形。
在该情形下，另一可能形式的、来自热点的对管理用户鉴别的机器的攻击是很严重的，原因在于该机器是GSM网络鉴别服务器。由于这种类型的拒绝服务攻击可以危及GSM网络鉴别服务器并通过边界效应而危及GSM网络自身，所以移动网络运营商害怕这种类型的拒绝服务攻击。
本发明使得能够自动检测和限制异常大量的请求。
在商业网络上常常使用被称为“防火墙穿透”的技术来传输被禁止的协议。本发明优选地应用于诸如DNS、ICMP或EAP(其传输鉴别方法)之类的信令协议，即，仅仅被因特网上的其它协议使用而不直接传输用户数据的协议。这些信令协议与数据传输协议的非常不同之处在于，它们以通常低且已知的比特率工作。如果它们曾经在攻击期间被用作传输协议，那么这将导致异常大量的请求和应答。
然而，本发明还应用于传输协议。特别地，它应用来提供对低比特率传输协议的全面或部分保护。
特别地，本发明处理诸如DNS之类的信令协议。例如，在公共热点处这样的情况很常见，即，缺省地禁止除了启动用户连接所必需的信令协议(传输鉴别数据、收集关于网络配置的信息、解析名字)之外的所有流。因此，想要不付费使用热点的欺诈者可能利用这些信令协议自身以便构建隐藏信道。相反，诸如HTTP或Telnet之类的“有用的”协议无法被盗用为隐藏信道，原因在于它们被防火墙阻断，直到该用户被授权登录为止。
本发明的另一方面处理像HTTP和FTP这样的协议。通常，HTTP具有高的非对称比特率从终端到服务器的低比特率(其对应于请求)，和反方向上的高比特率(其对应于响应于请求而提供的HTML页面)。如果在HTTP上的隐藏信道攻击违反HTTP连接的这个比特率特性，即，如果上行比特率突然变得异常高，则本发明将能够阻断该通信量(traffic)。
为了实现这些目标，本发明提供一种检测和防止网络协议的非法使用而不妨碍其合法使用的方法，其中，对于到来的数据分组流，该方法在于对每个分组施加延迟函数，从而施加不足以妨碍合法使用、但却足以妨碍非法使用的延迟。
特别地，在信令协议中，本发明施加随所监视的流的比特率而增加的延迟函数，使得如果用于传输专用数据(private data)的协议的非法使用超过标准速率，则延迟无限地增加，从而实际上阻断了正被非法使用的信道，而不妨碍其它流。


通过下面描述和附图，本发明的其他特征和优点将变得更加清楚，其中图1表示根据要被保护的协议的次序；图2是在攻击未被阻断的情况下以及在攻击被本发明方法阻断的情况下符合要被保护的另一协议的被监视的流的比特率的时间矢量图；图3是按照本发明方法处理被监视的流的设备的方框图；图4是本发明方法的一个特定实施例的流程图；图5是说明本发明应用的第一示例中的各种情形的图；以及图6是说明本发明应用的第二示例中的情形的时间矢量图。
具体实施例方式
下面描述两种攻击技术。第一种攻击技术可以用在IP网络上，IP网络可以是商用网络、因特网或热点网络。第二种攻击技术专用于热点网络，并且特别针对与热点网络相连的鉴别服务器。
一般而言，连接到由企业、电信运营商或因特网接入提供商运营的IP网络的终端，不管进行哪种类型的连接都不是免费的。这主要有三个原因。
第一个原因在于，网络是产品网络，并且要求用户不能将其非法用于娱乐、个人利益或者给他人带来麻烦。
第二个原因在于，需要为使用网络付费，并且有必要只授权用户为之付费的流。
第三个原因在于，授权比网络所有者组织的正常运营所需的连接多的连接只能表示非法使用。
进入和离开网络的流通常在诸如过滤路由器或防火墙(下面统称为“防火墙”)之类的网络边界处的设备中被过滤。此外，为了授权的协议正确工作，这些设备必须允许诸如ICMP(RFC 792)或DNS(RFC 1034)之类的其他必要协议不受限制地通过。
存在使得防火墙授权的这些协议能够被用来传送被禁止的协议的软件工具。这些技术称为“隐藏信道攻击”或“防火墙穿透”，它们都是基于同一方案，这将在图5的帮助下进行描述，图5示出在使用DNS将数据传输通过防火墙的情况下的这种类型的攻击a)侵权者在终端所连接的网络外部的、因特网上的某处留下自由接入的服务器。该服务器具有两个功能i.封装/解封装来自侵权者机器的分组；和ii.将提取的分组转发到最终目的地并且从该目的地接收分组以将其转发给侵权者(这是中继功能)。
b)侵权者的终端将被禁止协议的数据分组复制到被授权协议的分组的空闲区域，并且将其发送到自由接入的服务器，该服务器对其进行处理。
这样，侵权者通过将正常被禁止的通信量封装到被授权协议的分组中而成功注入和提取通信量。这种欺诈由于两个原因而值得担心·实际上所有协议都允许封装；以及·防火墙有必要必须允许已知具有这种封装能力的这些协议通过它们，如DNS和ICMP；仅仅阻断这些协议将意味着网络不符合关于良好工作和互操作性的建议，并会阻碍合法用户的正常使用。
使用SIM卡鉴别方法的热点网络基于被称为EAP-SIM的通信协议，该协议在公布的标准中被定义，并且允许热点服务客户端与GSM移动电话运营商之间的GSM鉴别。GSM鉴别要求少量资源(低系统负荷)。大量的鉴别请求可能使标准GSM服务的用户和Wi-Fi网络服务的用户的服务质量下降。
图1是通过EAP-SIM方法进行鉴别的图。通信网络上的询问者1向鉴别资源3发送符合802.11协议的鉴别请求2。
鉴别资源执行鉴别操作并且将符合协议AAA的鉴别响应4提供给鉴别服务器5，后者作为响应产生根据SS7协议发送到鉴别中心7的鉴别消息6。
在攻击的情况下应用EAP-SIM方案，做法如下攻击者用信号通知接入点它准备好被鉴别(EAPOL-Start)；接入点然后请求攻击者识别它自己(EAP-Request/Identity)；攻击者于是用身份进行响应EAP-Response/Identity中包含的网络接入标识符NAI(REC 2486)；接入点将攻击者的响应中继到Proxy-RADIUS；Proxy-RADIUS分析NAI的内容并且使用(在@符号后面的)NAI的内容将该响应转发到运营商的RADIUS服务器；运营商的RADIUS服务器分析包含该NAI(尤其是IMSI码)的请求；运营商的RADIUS服务器然后通过所访问的热点的Proxy-RADIUS请求攻击者用GSM鉴别来鉴别它自己(EAP-Request/SIM/Start)；攻击者用EAP-Response/SIM/Start(Nonce)进行响应；Proxy-RADIUS然后将该响应转发到运营商的RADIUS服务器；运营商的RADIUS服务器然后询问GSM鉴别数据库(authentication base)来重新获得n个GSM三元字节(triplet)(n＝2或3)。
上述阶段的最后一个阶段是高代价的，因为它使得攻击者能够让其计算n个GSM三元字节。
因此，攻击在于通过发送用于启动鉴别阶段的分组类型(EAPOL-Start分组)来最大重放前述做法。于是有可能通过使鉴别中心7的资源饱和而实现拒绝服务攻击，其危害热点网络，并且更重要的是危害GSM网络。
有三种解决与通信协议攻击相关的问题的现有技术方法·使用防火墙的方法；·使用比特率监视系统的方法；以及·使用入侵检测和防止系统的方法。
防火墙通常被用来监视网络上的流，并且一般被放在两个子网络之间的交界处以便分析通过它们的分组。它们能够应用各种级别的过滤·IP/ICMP系统分析报头字段的内容(源/目的IP地址、类型和ICMP码)；·IP/TCP UDP系统分析报头字段的内容(源/目的IP地址、TCP UDP端口)；·会话系统对使用特定协议建立呼叫的会话初始化进行全面分析，从而确保到来的分组事实上与离去的分组对应；·分析应用协议中交换的数据的内容来禁止特定内容(例如色情站点URL)。
然而，防火墙不能阻断由隐藏信道攻击产生的流，原因在于它们使用“孤注一掷(all or nothing)”过滤如果流被声明是合法的，则其全部通过，而如果流被声明是非法的，则没有分组通过。因为隐藏信道攻击使用授权的流(或者甚至使用诸如DNS流之类的必要流)，所以它们更狡猾。因此，唯一使这种攻击能够被识别的因素是当这些合法协议被用于隐藏信道攻击时这些合法协议产生的异常高的比特率。没有防火墙提供这种过滤准则。
更甚者，本发明方法提供对可疑通信量的“自适应”过滤·迅速阻断可疑的流；·一旦情形恢复正常，则自动解除阻断；·在阻断速度、比特率限制、解除阻断的速度方面提供适合每种攻击的响应，如下面函数f()所述；以及·通过仅仅降低合法的流的速度，避免了完全阻断合法的流(即使它很大)，如下面“亚正常”操作模式所述。
因此，即使服务稍有降低，但通信量继续通过。常规的防火墙将完全阻断通信量。
比特率监视系统将全部可用带宽的一部分分配给一种类型的流，尤其是为了避免拥塞状况。它们形成服务质量管理系统的部分。它们在一定程度上防止了网络带宽的盗用。例如，它们限制DNS请求的总比特率，从而减少DNS隐藏信道攻击的范围。诸如开放源代码ipfilter软件之类的软件，通过其“限制”模块，提供了这种比特率限制功能。
然而，由于攻击者仍然可以以系统授权的最大比特率发送数据，因此这并没有完全遏制攻击者。
图2示出对DNS隐藏信道攻击的比特率方面的反应。
图2在同一时序图上示出了·当发生攻击时由本发明方法保护的协议的比特率12特性；·在同一攻击期间由比特率监视系统保护的协议的比特率8特性；和·在同一攻击期间没有保护的协议的比特率9特性。
在攻击的情况下，比特率沿着斜线10相对快速地增加，之后通信量基本保持恒定，并在稳态的比特率值附近随机振荡。
通过利用现有技术的比特率监视系统应用比特率监视，攻击的比特率比上述情况中上升地慢，然后保持恒定，锁定在至少与为比特率的最高需求的、信令协议的比特率8相对应的阈值上。
当应用了本发明方法时，攻击的比特率经过最大值13，然后或多或少地快速降低到比特率消失的程度，这将在下面说明。
很明显在图2中，比特率监视系统最多是限制了攻击可用的带宽。相反，本发明方法使比特率以通过参数设置的收敛速率趋向于0。从这点上说，本发明在防止隐藏信道攻击方面比流监视系统有效得多。
入侵检测系统(IDS)通过利用探测器分析在主路径上流通的流来工作，探测器将收集的数据反馈到“智能”系统，后者解释数据并且如果出现某些可疑情况就发出警报。如果必要的话，系统也可以命令防火墙切断通信量。
这些系统称为主动入侵检测系统。这些系统的另外发展包括入侵防止系统(IPS)。
在这种情况下，IDS直接连接到防火墙，经分析的流通过该设备。这提供了与主动入侵检测系统类似的通信量切断可能性，但是反应时间更短。检测原理仍然相同，并且分析所基于的有关数据通常包括称为攻击签名的已知发送消息的序列。
已知IDS具有严重缺陷·它们由于探测器技术而非常昂贵，探测器必须能够分析大量的通信量；·它们不是非常可靠，原因在于与任何自动识别系统一样，它们发出不正确的警报(错误的肯定)，以及相反地，它们允许攻击通过(错误的否定)；·它们目的在于仅检测已知攻击。
它们对攻击的响应不令人满意。在IDS的情况下，警报被发送给操作员，操作员必须相应地做出反应。在小型网络的情况下操作员的永远存在是无法接受的。在IPS情况下的响应并不比防火墙的好(见下面)。
本发明方法可以在专用设备中实现，或者实现作为现有流处理设备(例如，路由器、防火墙或DNS服务器)的附加功能。在所有情况下，要监视的所有通信量基本上通过该设备。如图3所示，这种流处理设备包括输入接口15和输出接口17，并且到达输入接口的通信量按照本发明方法所定义的逻辑被转发到输出接口。
本发明基于在流处理设备的处理器16上执行的以下原理流Fie被作为具有较大或较小延迟的流Fjs转发到输出接口，延迟既不能太长，以便保持为“诚实”用户可接受的，也不能太短，使得不诚实用户能够传递未授权的数据。
从物理角度来说，两个接口可以在同一网卡上实现。
输入与输出之间的区别对于一个方向上的通信量是有效的。如果本发明也处理反方向上的通信量，则互换接口的角色。
在本发明方法中，首先指定被监视的流的类别。
如在配置IPsec网关(RFC 2401)或防火墙时，基于IP分组的特定字段的值指定被监视的流的类别。
例如，可以采用通过下列值的组合来指定流的类别源IP地址或源IP地址的范围、目的IP地址或目的IP地址的范围、高层协议(UDP、TCP、ICMP等)、端口号、高层协议部分中的字段的值。
一般而言，任何可被设备读取和解释的协议字段，不管其在协议栈中的级别如何，都可以保留为选择准则。
特别地，在本发明仅仅作为特定服务的附加物进行工作的情况下，并不总是需要实现完整的流类别指定系统。例如，如果出于防止DNS协议上的隐藏信道攻击的目的而将本发明方法添加到DNS名字解析服务器上，则仅对DNS流类别进行监视(见下面)。因此，没有用在提供指定其它流类别的能力方面。
在本发明的一个实施例中，准备好用于钳制(clamp)被监视的流的机制。
当在流处理设备的输入接口15检测到来自特定机器并且属于被监视的流类别的流Fie时，动态创建与该流相关联的计数。对于流N，相关联的计数表示为CPTN。
在本发明的一个实施例中，流处理器16使用未授权流钳制机制。
每当在步骤21中数据分组到达输入接口15时在步骤22中，执行监视测试；如果该分组不属于被监视的流，则在步骤23中将其立即转发到输出接口17。
在步骤24中，检验到达的分组是否属于被监视的流。
如果它属于被监视的流，即，如果计数CPTN已经与其相关联，则在步骤25中，将计数CPTN递增一个步长，如递增单位1，并且在步骤23中，将该分组在延迟DN＝f(CPTN)之后转发到输出接口17，该延迟依赖于计数CPTN的当前值的预定函数f()。
函数f()被称为延迟函数。
在一个实施例中，在步骤26中，对于每个被转发到输出接口17的分组，计数CPTN递减一个步长，如递减单位1。
本发明方法的一个实施例包括用于解除对流的监视的机制。
计数CPTN达到足够低的值指示不再有任何发送非法通信量的尝试。计数CPTN然后可以被消除，并且不再监视该通信量。然而这不是必要的，也可以无限地监视该通信量。
如果在测试24之后该分组没有被识别为属于被监视的流类别，则为其流分配新的计数CPTN并执行步骤25。
延迟函数f对于所有流类别不一定都是相同的。因此，可以用函数f1延迟DNS流，而用函数f2延迟ICMP流。
延迟函数f必须至少是递增函数，从而攻击者发送的通信量越多，攻击者的通信量被延迟得越多。
具有正的二阶导数的延迟函数f将很快阻断来自攻击者的流，例如f(CPTN)＝exp(α*CPTN+β)，α＞0。
计数CPTMAXN也可以用在尝试使监视设备饱和的情况下；如果等待传输的分组数量超过管理员设置的参数值CPTMAXN，则根据要选择的算法摧毁等待的分组。该功能的目的是防止本发明的资源饱和。
这里描述在要保护的网络近处的DNS服务器中实现的本发明方法的实施例。
下面描述在没有本发明方法干预的情况下进行的攻击。
常常根据图5所示的方案构建具有流监视的局域网30。局域网包括终端(例如终端34)、被称为本地DNS的DNS服务器31和连接局域网30和诸如因特网之类的其它网络33的路由器/防火墙32。
路由器/防火墙32被配置成禁止特定流，例如FTP流。为了绕过禁止36，终端34在DNS流路径37上将传输FTP流的IP分组封装在DNS分组中，例如，将编码信息封装在该分组的特定字段中。通过仔细挑选该请求的域名，它还可以确保该DNS请求仅能被在局域网之外的侵权者的控制下的侵权者DNS服务器38处理。侵权者DNS服务器38然后可以将分组传送到终端所请求的FTP服务器39。反方向上的通信量采用完全相反的路径。
通过在本地DNS服务器上实现本发明，完全阻断了隐藏信道DNS攻击。
1)在图5所示的具体情形下，不需要实现被监视的流和流类别的管理。实际上，只有DNS流通过该机器。
2)此外，通过将要被置于监视下的流与计数相关联，即，为每个终端创建计数CPT并永不消除它，来将所有DNS流置于监视之下。CPT的最大值CPTMAX是固定的，例如CPTMAX＝2000。
3)任意确定例如在服务(如HTTP服务)在局域网上被授权之前，由DNS请求的最大数量表示的阈值比特率是可接受的，例如每个终端每秒30个。
4)假设由终端进行的隐藏信道攻击导致每秒100个等级上的、DNS请求的数量的突然上升。
5)选择f(CPT)＝exp(CPT/15)作为延迟函数(用毫秒表示)。
可以区分DNS系统的三种操作模式·正常操作用户不是恶意的，并且以预期的方式使用系统；·异常操作用户是恶意的，并且可能处于进行对系统的攻击的过程中；和·亚正常操作用户不是恶意的，但暂时操作系统稍微超过预期的限制。
下面的分析示出了系统自动适应上述三种情形来使得用户能够在“正常”和“亚正常”情形下正确地使用DNS服务，尽管这样会有小的服务质量损失，并使得用户能够在“异常”情形下阻断通信量。下面的分析并不严格，但却用数值示出了本方法的一个实现，示出作为时间的函数的、每秒钟内变化的请求数量的时序6紧跟其后。
图6示出作为时间的函数的、每秒钟内变化的DNS请求数量。由于DNS服务器的结构，分配给被监视的流的计数沿着直线41增加。曲线42指示在攻击期间到达的请求，而曲线40指示DNS服务器中可接受的请求数量。最后，曲线43指示转发到应用本发明的保护方法的DNS流处理设备的输出接口的、变化的请求数量。
1)“正常”情形如果系统没有受到攻击，它以每秒30个等级上的频率接收要处理的DNS请求(水平线40，图6)。施加到每个分组的延迟则为exp(30/15)＝7.39ms。该值显示分组将被最多延迟7.39ms。这意味着实际上在一秒周期内到达的所有分组将在同一秒内被转发。事实上，以最大7.39ms阻断的30个分组表示总共221.7ms的总持续时间，这大大小于1秒。因此，计数CPT保持接近0的值。
2)“异常”情形如果系统正在经历对DNS服务器的攻击，本发明方法为攻击者的流分配计数CPT，并且该计数如曲线41所绘出的那样改变。例如，平均每秒发送100个请求。分组被放慢了exp(100/15)＝785.77ms。因此，在该周期上将计数CPT提高了大致从50到100的量δCPT，这是由于很少到达的分组将被转发。之后对一秒后到达的分组施加的延迟将是exp((100+δCPT)/15)＝exp(δCPT)*785.77ms＞＞20s。
因此显然，所施加的延迟很快变为完全阻断(20s)，并且继续增加直至由CPT的最大值确定的界限。
3)“亚正常”情形即使系统没有受到攻击，其也可能经历请求数量的突然和瞬时增加。这发生在用户浏览包含许多URL(例如40个URL)的HTML页面时。CPT于是将暂时离开“正确操作”区域。将施加exp(40/15)＝14.39ms的最大延迟，这对于在浏览器中显示HTML页面的用户来说是难以察觉的。此外，该值不允许CPT无节制地增加，这是由于已到达的40个分组即使被延迟14.39ms，也可以在它们到达的那秒期间离开。由于通信量偏离了正确操作区域(CPT＜30)，所以“孤注一掷”系统将完全阻断该通信量。相反，本发明仅引入了稍许服务质量的损失(14.39ms的延迟)，而这在系统回复到“正常”操作模式时被消除。
下面通过第二示例描述如何在要被保护的网络本地(local)的Proxy-RADIUS服务器中实现本发明的方法。
总的来说，该处理与用于DNS服务中的实现的上述处理类似。事实上，在限制攻击对GSM鉴别的影响的情况中，基本思路是使用本发明来打断GSM鉴别传输。因此，下面的描述更简洁，并且专门集中在特定于GSM鉴别的主题上。
监视机制最简单的位置是在Proxy-RADIUS中，出于不止一个原因不管目标GSM运营商(漫游)如何，鉴别都经过Proxy-RADIUS；对运营商的GSM网络的修改代价很高，并且可能对GSM用户有很大影响。
将在EAP-SIM鉴别机制的数据中包含用于监视机制的字段。事实上，可以辨别向哪个运营商请求EAP-SIM鉴别(以users@operatorGSM的形式)。因此可以在热点的级别上实现本发明，以保护所有GSM运营商免遭这种类型的拒绝服务攻击。
然后在本发明的正常情形下执行监视机制(见图3)，它通过分析鉴别传输的行为来限制鉴别请求的数量。
注意，本发明还包括非法使用的检测。事实上，在本发明的一个实施例中，协议还包括检测与非法使用的被监视的流特性相关联的比特率的改变的步骤。这尤其适用于与被监视的流相关联的计数通过最大值然后朝着0比特率迅速下降的情况。在这种情况下，本发明的方法产生关于该非法使用的警报。这种警报信号被发送给网络管理员，网络管理员可以采取适当措施，尤其是通过保持事件的记录、寻找该非法使用者的身份、并且应用任何后继手段来降低该使用者的接入。
缩写DNS域名服务EAP可扩展鉴别协议EAP-SIMEAP-用户标识模块GSM全球移动通信系统ICMP因特网控制报文协议IP因特网协议NAI网络接入标识符RADIUS远程接入拨号使用者服务TCP传输控制协议UDP用户数据报协议IDS入侵检测系统IPS入侵防护系统RFC请求注解HTTP超文本传输协议FTP文件传送协议HTML超文本标记语言
权利要求
1.一种检测和防止特定网络协议的非法使用而不妨碍其合法使用的方法，该方法特征在于对于到来的数据分组流，它在于向每个分组施加延迟函数f()，从而施加不足以妨碍合法使用、但却足以妨碍非法使用的延迟。
2.如权利要求1所述的方法，尤其在信令协议中，该方法特征在于它在于选择随所监视的流的比特率而增加的延迟函数，使得如果用于传输专用数据的协议的非法使用超过标准速率，则延迟无限增加，从而实际上阻断正被非法使用的信道，而不妨碍其它流。
3.如任一前述权利要求所述的方法，特征在于，一旦检测到(21)数据分组的到达，它在于确定(22)该分组是否属于被监视的流，如果不属于，则给其分配计数(CPT)。
4.如权利要求3所述的方法，特征在于，在检测到(21)数据分组的到达之后，它在于将与被监视的流相关联的计数(CPTN)递增(25)预定步长，并且在将该数据分组释放在离去的流中之前，将该计数的当前值应用作为延迟函数的变量。
5.如权利要求4所述的方法，特征在于，它在于选择具有正的二阶导数的延迟函数。
6.如权利要求5所述的方法，特征在于，在应用具有如下形式的关系式时，该延迟函数是依赖于与被监视的流相关联的计数的指数f(CPTN)＝exp(α*CPTN+β)，其中α＞0。
7.如权利要求3到6中的任一权利要求所述的方法，特征在于它在于为被监视的流确定最大允许的比特率CPTMAXN，然后确定等待被发送的分组数量是否超过值CPTMAXN，如果是的话，摧毁该等待分组。
8.如任一前述权利要求所述的方法，特征在于对于DNS系统，它在于自动适应·在正常操作中用户不是恶意的，并且如预期的那样使用系统，相关联的计数CPT保持接近0的值；·在异常操作中用户是恶意的，并且可能尝试攻击系统，对DNS分组施加的延迟增加，并且相关联的计数CPT增加；或者·在亚正常操作中用户不是恶意的，但暂时使用系统超过预期的限制，计数CPT保持在适度的级别。
9.如权利要求1到7中的任一权利要求所述的方法，特征在于，它在要被保护的GSM网络本地的proxy-RADIUS服务器中实现，并且它在于确定EAP-SIM鉴别机制的数据中包含的、用于控制机制的字段，然后通过分析鉴别传输行为来执行该控制机制以便限制鉴别请求的数量。
10.如权利要求3到9中的任一权利要求所述的方法，特征在于，它还包括步骤检测与被监视的流相关联的比特率是否以如下方式变化其为非法使用的特性，并且在这种非法使用的情况下产生警报。
全文摘要
本发明涉及一种检测和防止特定网络协议的非法使用而不改变其合法使用的方法。根据本发明，给每个新的流分配计数CPT(27)。对每个接收到的数据分组施加延迟函数(25)，以降低非法数据流而不影响合法使用。该延迟函数尤其随着利用计数CPT监视的流的速率的函数而增加。
文档编号H04L29/06GK1906911SQ200480040499
公开日2007年1月31日 申请日期2004年11月8日 优先权日2003年11月28日
发明者奥利维尔·查尔斯, 劳伦特·巴蒂, 弗兰克·维塞特 申请人:法国电信公司