专利名称:用于超驰一个或多个分组网络中不期望业务量的通告废除的方法和设备的制作方法
技术领域:
本发明涉及针对基于分组的通信网络的计算机安全技术,更具体 地涉及用于在这种基于分组的网络中检测并通告废除不期望的业务 量,例如拒绝服务攻击和其他恶意攻击。
背景技术:
拒绝服务(DoS)攻击试图使得计算机资源对于其预期用户不可 用。例如,对web服务器的DoS攻击常常导致所主持的网页不可用。当 需要将有限的资源分配给攻击者而不是合法用户时,DoS攻击可以导 致显著的服务中断。发起攻击的机器通常通过在互联网上发送大量的 互联网协议(IP)分组,来造成针对攻击目标受害者的损害。例如, DoS攻击可以包括试图"泛滥"网络,从而阻止合法网络业务量; 或试图通过发送比服务器能够处理的更多的请求来中断服务器,从而 阻止对一个或多个服务的访问。
已提出或建议了多种用于防御这种拒绝服务攻击的技术。例如, 名称为"Method and Apparatus for Defending Against Denial of ServiceAttacks in IP Networks by Target Victim Self-Identification and Control" 的美国专利申请11/197,842以及名称为"Method and Apparatus for Defending Against Denial of Service Attacks in IP Networks Based on Specified Source/Destination IP Address Pairs "的美国专禾U申请 11/197,841公开了用于检测并通告废除DoS攻击的技术。
防御这种拒绝服务攻击的系统通常工作于两种模式中的一种。当 区域处于"缺省丢弃"模式时,缺省的行为是对除了在缺省丢弃中明 确列出的业务量以外的所有指定该区域的业务量进行过滤。通常,在 缺省丢弃模式下,除了被明确授权(例如,与预定义的允许过滤器相 匹配)的情况以外,过滤器都将自动丢弃所有业务量。另一方面,当 区域处于缺省允许模式时,除了与预定义的丢弃过滤器明确匹配的业 务量以外,过滤器使所有去往该订户的业务量通过。
基于自动检测算法来阻止客户端的操作问题之一是其可能阻止 值得重视的业务量或应免于阻止的业务量。例如,企业可能不想阻止 来自特定用户或特定第三方服务(例如,变址机器人)的、值得重视 且应免于阻止的任何业务量。然而,已经发现,维护所有这样的客户 端的IP地址列表是不可行的,这是因为该列表可能根据检测器处不可 知的事件(例如,网络提供者改变)而改变。因此,需要用于选择性 地超驰由于自动检测算法而对业务量的阻止的方法和设备。
发明内容
总体上,提供了用于选择性地超驰由于自动检测算法而对业务量 的阻止的方法和设备。根据本发明的一个方面,目标受害者可以通过
如下方式来抵御诸如恶意攻击或拒绝服务攻击之类的不期望业务量 维护用于识别至少一个源计算设备的源地址的中央过滤器,其中,该 至少一个源计算设备向目标受害者的分组发送将要经受以下一个或多 个限制、丢弃、或允许;维护列出了至少一个正则表达式的超驰过 滤器,该至少一个正则表达式用于识别一个或多个源计算设备,其中, 该一个或多个源计算设备向目标受害者的分组发送应当是与中央过滤 器中的项无关地向目标受害者发送的;如果中央过滤器指示接收到的至少一个分组是从该至少一个源计算设备接收到的,则将源地址转换 成以域名服务格式表示的地址;以及如果该域名服务格式满足在超驰
过滤器中出现的正则表达式,则将该至少一个分组发送到目标受害者。
例如,通过执行反向DNS查找,可以将源地址转换成以域名服务 格式表示的地址。例如,正则表达式可以是包含一个或多个通配符字 段的域名服务格式掩码。
通过参考以下详细说明以及附图,将会对本发明以及本发明的其 他特征和优点有更完整的理解。
图l示出了本发明可操作的网络环境; 图2是图1所示的中央过滤器系统的示意框图; 图3是来自图2所示的拒绝服务过滤器规则库的样本表; 图4是来自图2所示的过滤器超驰数据库的样本表;以及 图5是描述了并入本发明特征的拒绝服务过滤过程的示例性实现 方式的流程图。
具体实施例方式
本发明提供了用于超驰(override) —个或多个分组网络中的恶意 攻击(如拒绝服务攻击)的通告废除的方法和设备。通常,在检测器 将要进行通告废除时,执行对源地址的反向DNS查找以查看该名称是 否匹配于特定的预配置正则表达式,例如,proxy气isp.com或 *.searchenginebot.com。采用这种方式,不需要对检测器正在分析的日 志的每一个地址进行DNS查找。 '
图1示出了本发明可操作的两络环境100。如图1所示,企业网150 使用检测器140来保护自身免于恶意攻击。企业网150允许企业用户通 过服务提供者网络120访问互联网或另一网络。服务提供者网络120向 企业网150的用户提供服务,并通过入口端口115接收来自各个源的分 组,以及将接收到的分组发送到企业网150中所指示的目的地。在一个示例性实施例中,检测器140与以下结合图2进一步讨论的 中央过滤器200协作,以保护自身免于恶意攻击。通常,如以下进一步 讨论的,检测器140将检测对企业网150的恶意攻击(如拒绝服务攻击), 并将通知由服务提供者维护的中央过滤器200 。
中央过滤器200用于通过服务提供者网络120来限制到达企业网 150的业务量。检测器140通常位于企业网150中的防火墙之后,而且检 测器140通常向ISP的中央过滤器200发送通告废除消息。基于名称为 "Method and Apparatus for Defending Against Denial of Service Attacks in IP Networks by Target Victim Self-Identification and Control"的美国 专利申请11/197,842以及名称为"Method and Apparatus for Defending Against Denial of Service Attacks in IP Networks Based on Specified Source/Destination IP Address Pairs"的美国专利申请l 1/197,841 ,可以 实现检测器140和中央过滤器200,此处对这两个专利申请进行修改以
提供本发明的特征和功能。
在确定了拒绝服务攻击正在进犯企业网150时,检测器140将一个 或多个源/目的地IP地址对发送到中央过滤器200,中央过滤器200使服 务提供者网络120限制(例如,阻止或速率限制)源IP地址和目的地IP 地址与任意所发送的源/目的地IP地址的源IP地址和目的地IP地址相匹 配的那些IP分组的发送,从而限制(或消除) 一个或多个源设备iio 对企业网150内的攻击受害者的拒绝服务攻击。可选地,检测器140使 用冗余连接135或主连接130来发送源/目的地IP地址对。
因而,所公开的系统通过向其菔务提供者通告废除攻击者,来允 许拒绝服务攻击的受害者"后推(push back)",作为响应,该服务 提供者将更新要被阻止的源/目的地IP地址对的表。更具体地,在认识 到发生攻击时,受害者(企业网150)将识别被认为是攻击的一部分的 分组中所指定的一对或多对源/目的地IP地址,并将这些IP地址对传达 给服务提供者以由中央过滤器加O进行阻止。
如图1所示,将指定了订户(企业网150)的分组分成通常与"好" 和"差"业务量相对应的类。例如,分别递送(允许)来自类别A105-A 的好业务量并速率限制或丢弃来自类别B 105-B和类别N 105-N的差业务量。将源计算设备110分到N个示例性分类中的一个中,其中,源计 算设备110将业务量发送到与企业网150相关联的目的地地址。通告废 除对好业务量与差业务量之间的边界进行移位。
注意,根据特定的示意性实施例,无需将攻击者(即,识别出的 一个或多个源IP地址)从网络完全切断,而可以只是禁止该攻击者向 受害者(即,识别出的一个或多个目的地IP地址)发送分组。特别是 在识别出的一个或多个源IP地址表示针对对受害者的给定攻击已被接 管的合法用户(例如,僵尸)的情况下,这是有利的。因此,被接管 的机器的拥有者可以继续出于合法目的使用该系统,然而同时,有利 地挫败了正在向受害者(很可能不为合法用户所知)进犯的攻击。此 外要注意,根据这些示意性实施例的技术还有利地提供了保护以避免 给定的受害者过分热心地识别攻击者。根据本发明的原理,由于对攻 击的识别由明显受害者的判断进行处理,因此,明显有利地,只有去 往给定受害者的业务量被切断或被限制。
受害者可以通过具有变化的简单或复杂程度的一个或多个算法 来辨别恶意攻击,该一个或多个算法在本发明的范围之外,但是对于 本领域技术人员而言,其中多个算法是明显的。例如,根据本发明的 一个示意性实施例,可以检查应用日志,并且可以仅基于来自单个识 别出的源或多个识别出的源的非常高的业务量水平(例如,高分组速 率)的存在来识别攻击。要注意,这是一种识别拒绝服务攻击的存在 的传统方法,并将为本领域普通技术人员所熟知。
然而,在其他实现方式中,可以执行基于应用的、对分组内容的
分析,以识别具有可疑性质的分组或分组序列,例如辨别已有对不 存在的数据库元素的频繁数据库搜索;辨别己有明显由人发出的多个 请求,其发生的速率高于人能发起它们的速率;识别句法上无效的请 求;以及识别正常发生的活动的操作中特别敏感时刻的可疑业务量。 例如,如果股票交易网站注意到在即将到来的股票交易期间的敏感时 刻的特别具有破坏性的业务量,则可能识别较后一类可疑分组的示例。 在此外的变体中,有利地,可以在更复杂的分析中组合可能的攻击的多个不同标记(例如,其可包括一个或多个的上述情况),以识别攻击 的存在。 .
图2是图1中可实现本发明的过程的中央过滤器系统200的示意框 图。如图2所示,存储器230配置处理器220以实现此处所公开的拒绝服 务过滤方法、步骤和功能。存储器230可以是分布式的或本地的,并且 处理器220可以是分布式的或单一的。可以将存储器230实现为电存储 器、磁存储器、光存储器或者这些或其他类型的存储设备的任意组合。 应当注意,构成处理器220的每一个分布式处理器通常包含其自身的可 寻址存储空间。还应当注意,可以将计算机系统200的一些或全部并入 专用或通用的集成电路中。
如图2所示,示例性存储器230包括以下分别结合图3到5进一步讨 论的拒绝服务过滤器规则库300、过滤器超驰数据库400、和一个或多 个拒绝服务过滤过程500。通常,拒绝服务过滤器规则库300是包含与 应由中央过滤器200所限制或允许的业务量相关联的源/目的地地址对 的传统过滤器库。过滤器超驰数据库400包含一个或多个预配置的正则 表达式,如proxy承,isp.com或515.searchenginebot.com,该正贝U表达式允许 超驰拒绝服务过滤器规则库300中的一个或多个通告废除。拒绝服务过 滤过程500是根据本发明通告废除超驰特征的、用于防御拒绝服务或其 他攻击的示例性方法。
可以将中央过滤器200实现为服务提供者网络120中包括的单机 盒,或备选地,实现为被并入已存在于网络120中的其他传统网元中的 线卡(linecard)。此外,根据特定的示意性实施例,有利地,网络120 内相对靠近攻击原点的位置处的承载者布置中央过滤器200,或者可以 首先放置中央过滤器200以有利地使高级客户防御攻击。
图3是来自图2所示的拒绝服务过滤器规则库300的样本表。如上 所示,通常将拒绝服务过滤器规则库300实现为传统过滤器库,该传统 过滤器库包含与应由中央过滤器2(J0所限制或允许的业务量相关联的 源/目的地地址对。
如上所示,防御拒绝服务攻击的系统通常工作于两种模式中的一 种。在"缺省丢弃"模式下,缺省行为过滤除了在拒绝服务过滤器规则库300中明确列出的业务量以外的、指定该区域的所有业务量。另一 方面,在缺省允许模式下,除了与拒绝服务过滤器规则库300中的预定 义丢弃过滤器明确匹配的业务量以外,过滤器200使所有去往该订户的 业务量通过。因此,如图3所示,示例性拒绝服务过滤器规则库300包 括可选按钮选择310,允许用户指定缺省模式是丢弃还是允许业务量。 在图3所示的示例性实现方式中,拒绝服务过滤器规则库300被配置为 示例性的"缺省允许"模式,以使得除了与拒绝服务过滤器规则库300 中的预定义丢弃过滤器明确匹配的业务量以外,过滤器200使去往该订 户的业务量通过。
在图3所示的示例性实现方式中,拒绝服务过滤器规则库300由源 /目的地地址对和可选的所示动作组成,其中,应当针对每个列出的源 /目的地地址对之间的所有业务量执行该可选的所示动作。
要注意,中央过滤器200的过滤机制的操作与传统防火墙的过滤 机制的操作类似,只是中央过滤器200的过滤机制基于可能的大量(例 如,上百万个)非常简单的规则进行操作。特别地,可以以"如果给 定分组的源IP地址是a.b.c.d而该分组的目的地IP地址是w.x.y.z,则阻止 (即,丢弃)该分组"的形式来表达该规则。
不需要禁止具有给定源和目的地IP地址的分组的发送,中央过滤 器200可以对这些分组去优先级。也就是说,过滤机制可以给这些分组 分配低路由优先级或对这些分组强制执行分组速率限制。在任一种情 况下,具有给定源和目的地IP地址的分组将不能对业务量有显著的影 响并因而不再产生对受害者的成功的拒绝服务攻击。
图4是来自图2所示的过滤器超驰数据库400的样本表。过滤器超 驰数据库400包含一个或多个预配置的正则表达式,如proxy"sp.com 或气searchenginebot.com,该正则表达式允许超驰拒绝服务过滤器规则 库300中的一个或多个通告废除。在图4所示的示例性实现方式中,针 对示例性的"缺省允许"模式配置过滤器超驰数据库400,以使得过滤 器超驰数据库400中列出的一个或多个掩码可以超驰拒绝服务过滤器 规则库300中列出的示例性的丢弃过滤器。以下结合图4对使用了图4 所示的正则表达式的方式作进一步讨i仑。图5是描述了并入本发明特征的拒绝服务过滤过程的示例性实现 方式的流程图。要注意,针对"缺省允许"模式实现示例性的拒绝服
务过滤过程500。对于本领域普通技术人员而言,针对"缺省丢弃"模 式的实现方式将会是显而易见的。通常,拒绝服务过滤过程500是用于 防御拒绝服务或其他攻击的示例性方法,并实现了本发明的通告废除 超驰特征。示意性的拒绝服务过滤过程500在中央过滤器200处执行并 在步骤510期间开始,从检测器140接收拒绝服务攻击正在进犯企业网 150中的给定目标受害者的指示。
此后,在步骤520期间,网络承载者从检测器140接收表示为了挫 败拒绝服务攻击而应被阻止的IP分组的一个或多个源/目的地IP地址 对。示意性地,源IP地址是发起攻击的(例如,"僵尸")计算设备 IIO的IP地址,而目的地IP地址是与目标受害者自身相关联的IP地址。
然后,在步骤530期间,网络承载者监控IP分组业务量,以识别源 和目的地IP地址与接收到的源/目的地IP地址对中的一个相匹配的那 些IP分组。在步骤540期间执行测试,以确定是否一个或多个分组与拒 绝服务过滤器规则库300中的地址对相匹配。
如果在步骤540期间确定了一个或多个分组与拒绝服务过滤器规 则库300中的地址对相匹配,则在步骤545期间执行对源IP地址的反向 DNS查找。反向DNS查找将返回与该源IP地址相关联的、通常以已知 的域名服务(DNS)格式表示的完整地址。如此处所使用的,域名服 务格式应包括IP地址或其他分组地址的任何域名表示。
在步骤550期间执行另一测试,以确定DNS项是否满足超驰数据 库400中的掩码。如果在步骤550期间确定了DNS项满足超驰数据库400 中的掩码,则不应丢弃或限制该分组(尽管在拒绝服务过滤器规则库 300中出现),并且程序控制进行到以下讨论的步骤570。然而,如果在 步骤550期间确定了DNS项不满足超驰数据库400中的掩码,则网络承 载者的中央过滤器200阻止所识别出的IP分组,从而挫败对目标受害者 的拒绝服务攻击。如果在步骤540期间确定了一个或多个分组与拒绝服务过滤器规 则库300中的地址对不相匹配,或如果在步骤550期间确定了DNS项不 满足超驰数据库400中的掩码,则允许将该分组发送到企业网150。
在拒绝服务过滤过程500的"缺省丢弃"实现方式中,.中央过滤 器200可能传递来自在过滤器超驰数据库400中列出的任何源设备的分 组,即便所列出的源设备没有在拒绝服务过滤器规则库300中明确出现 也是如此。
还要注意,虽然在示意性实施例中被示出为由中央过滤器200执 行,但本发明的通告废除超驰特征同样可以由检测器140执行,这对本 领域普通技术人员而言是显而易见的。
本发明可以结合一个或多个的辅助工具进行工作。例如,这样的 工具可能包括用于辨别所施加的拒绝服务攻击的互联网服务器插件程 序(plug-in)、向各种IDS系统(侵入检测系统)的链接、用于网络诊 断的数据库(如上所讨论的)、以及用于针对在给定的承载者的基础结 构内放置清除器(Zapper)功能提供向导的方法。根据此处的公开, 提供这些辅助工具中各种辅助工具的本发明的示意性实施例对于本领 域技术人员而言是显而易见的。
系统和制造品的细节
如本领域公知的,此处讨论的方法和设备可以被分发为本身包括 计算机可读介质的制造品,在该计算机可读介质上实现有计算机可读 代码装置。与计算机系统相结合,计算机可读程序代码装置可操作为 执行全部或一些步骤,以执行此处讨论的方法或创建此处讨论的设备。 计算机可读介质可以是可记录介质(例如,软盘、硬驱动器、压縮盘、 存储卡、半导体器件、芯片、专用集成电路(ASIC)),或可以是传送 介质(例如,网络,包括光纤、万维网、电缆、或者使用时分多址、 码分多址或其他射频信道的无线信道)。可以使用适合与计算机系统一 起使用的、能够存储信息的己知或已开发的任何介质。计算机可读代 码装置是允许计算机读取指令和数据(如磁介质上的磁变化或压縮盘 表面上的高度变化)的任何机制。此处所述的计算机系统和服务器均包含存储器,该存储器将配置 关联的处理器以实现此处所公开的方法、步骤和功能。存储器可以是 分布式的或本地的,并且处理器可以是分布式的或单一的。可以将存 储器实现为电存储器、磁存储器、光存储器或者这些或其他类型的存 储设备的任何组合。此外,术语"存储器"应当被足够宽泛地解释为 包括能够从由关联处理器访问的可寻址空间中的地址读取或能够写入 该地址的任何信息。使用该定义,网络上的信息仍处于存储器内,这 是因为关联处理器可以从网络取得该信息。
应当理解,此处所示和所述的实施例和变体仅仅用于说明本发明 的原理,在不背离本发明的范围和精神的情况下,本领域技术人员可 以实现各种修改。
权利要求
1、一种用于防御由目标受害者接收到的不期望业务量的方法,所述目标受害者具有一个或多个目的地地址,所述方法包括以下步骤维护用于识别至少一个源计算设备的源地址的中央过滤器,其中,所述至少一个源计算设备向所述目标受害者的分组发送将要经受以下一个或多个限制、丢弃、或允许;维护列出了至少一个正则表达式的超驰过滤器,所述至少一个正则表达式用于识别一个或多个源计算设备,其中,所述一个或多个源计算设备向所述目标受害者的分组发送应当是与所述中央过滤器中的项无关地向所述目标受害者发送的;如果所述中央过滤器指示至少一个接收到的分组是从所述至少一个源计算设备接收到的,则将所述源地址转换成以域名服务格式表示的地址;以及如果所述域名服务格式满足在所述超驰过滤器中出现的正则表达式,则将所述至少一个接收到的分组发送到所述目标受害者。
2、 根据权利要求1所述的方法,其中,所述中央过滤器中的所 述源地址是在所述中央过滤器的配置期间从一个或多个检测器接收 的、或者从所述目标受害者接收的,其中所述一个或多个检测器与所 述目标受害者相关联,并指示正在接收不期望业务量。
3、 根据权利要求1所述的方法,其中,所述转换步骤包括执 行反向DNS査找的步骤。
4、 根据权利要求1所述的方法,其中,所述正则表达式是包含 一个或多个通配符字段的域名服务掩码。
5、 根据权利要求1所述的方法,其中,所述不期望业务量包括 恶意攻击或拒绝服务攻击。
6、 一种用于防御由目标受害者接收到的不期望业务量的设备, 所述目标受害者具有一个或多个目的地地址,所述设备包括存储器;以及至少一个处理器,耦合至存储器,所述至少一个处理器用于维护用于识别至少一个源计算设备的源地址的中央过滤器,其 中,所述至少一个源计算设备向所述目标受害者的分组发送将要经受 以下一个或多个限制、丢弃、或允许;维护列出了至少一个正则表达式的超驰过滤器,所述至少一个正 则表达式用于识别一个或多个源计算设备,其中,所述一个或多个源 计算设备向所述目标受害者的分组发送应当是与所述中央过滤器中的 项无关地向所述目标受害者发送的.;如果所述中央过滤器指示至少一个接收到的分组是从所述至少 一个源计算设备接收到的,则将所述源地址转换成以域名服务格式表示的地址;以及如果所述域名服务格式满足在所述超驰过滤器中出现的正则表 达式,则将所述至少一个接收到的分组发送到所述目标受害者。
7、 根据权利要求6所述的设备,其中,所述中央过滤器中的所 述源地址是在所述中央过滤器的配置期间从一个或多个检测器接收 的、或者从所述目标受害者接收的,其中所述一个或多个检测器与所 述目标受害者相关联,并指示正在接收不期望业务量。
8、 根据权利要求6所述的设备,其中,通过执行反向DNS查找, 将所述源地址转换成以域名服务格式表示的地址。
9、 根据权利要求6所述的设备,其中,所述正则表达式是包含 一个或多个通配符字段的域名服务格式掩码。
10、 根据权利要求6所述的设备,其中,所述不期望业务量包括 恶意攻击或拒绝服务攻击。
全文摘要
提供了用于有选择地超驰由于自动检测算法而对业务量的阻止的方法和设备。目标受害者可以通过如下方式来抵御不期望的业务量维护用于识别至少一个源计算设备的源地址的中央过滤器,其中,该至少一个源计算设备向目标受害者的分组发送应当被限制;维护列出了至少一个正则表达式的超驰过滤器,该至少一个正则表达式用于识别一个或多个源计算设备,其中,该一个或多个源计算设备向目标受害者的分组发送应当是向目标受害者发送的;如果中央过滤器指示接收到的至少一个分组是从该至少一个源计算设备接收到的,则将源地址转换成以域名服务格式表示的地址;以及如果该域名服务格式满足在超驰过滤器中出现的正则表达式,则将该至少一个分组发送到目标受害者。
文档编号H04L29/06GK101536456SQ200780040707
公开日2009年9月16日 申请日期2007年10月23日 优先权日2006年11月3日
发明者克里福德·E·马丁, 埃里克·亨利·格罗塞 申请人:朗讯科技公司