一种保护计算机网络避免数据洪水攻击的方法及系统的制作方法
【专利摘要】本发明是一种保护计算机网络避免数据洪水攻击的方法及系统。该方法包括如何指导数据包通过速率限制系统传输到到计算机设备或计算机网络中去。该速率限制系统是一个适合于解析数据包的系统。方法给计算机设备或计算机网络提供至少一个阀值参数,用于判断和识别数据洪水条件。该阀值可以作用于一个或多个的计算机设备和计算机网络。通过速率限制系统传入并且破坏了阀值参数的数据包将产生相应的数据事件。此时,计算机和计算机设备会做出响应,根据事件数据产生回馈数据,并且将反馈数据传送到速率限制系统。速率限制系统将根据回馈数据做出相应的控制行为。
【专利说明】一种保护计算机网络避免数据洪水攻击的方法及系统
【技术领域】
[0001]本发明涉及计算机网络领域,具体涉及一种保护计算机网络避免数据洪水攻击的方法及系统。
【背景技术】
[0002]在计算中,防火墙通常用于提供外围防御。它们通常位于一个网络(例如公共网络,如互联网)与另一个网络(例如:一个私有网络(例如企业内部网))之间,用于过滤传输在它们间的数据包。另外一种是防火墙系统是在一台单独的计算机上,当外部的网络受到攻击时,用于保护这台计算机主机。
[0003]但是,这两种防火墙都是有局限性的。当遇到大量无用的数据包(如SYNfloods)攻击时,外围的防火墙和本机上的防火墙系统都不能很有效的过滤这些数据。外围的防火墙无法确定主机的处理能力和运行状况。外围防火墙不让这些数据包通过,许多数据将会被过滤掉,所以这种方法不是完全有效。假如这些数据包通过了外围的防火墙,由本地的防火墙系统来过滤这些数据包,这样会导致主机资源的浪费,也可能导致局域网被大量数据包淹没。外围防火墙不能一直有效的限制数据包的流量在主机可以处理的水平上。假如大量的数据到达了主机,主机将花费大量的资源去处理这些数据包。假如没有很好的方法去控制这些外围的数据包,这将造成大量主机资源的浪费。
[0004]此外,这种大量数据包类型的攻击(例如,SYN攻击)主要的目标是第四协议层。如,TCP模块堆栈。目前,大多数基于主机或周边防火墙的过滤器都不能有效的在IP层次上进行检测,也没有合适的方法计算SYN数据包到达外围端口速率。
[0005]针对这种大量数据包洪水攻击所导致的DoS攻击(拒绝服务)或DDoS (分布式拒绝服务)问题,已经提出了一种控制器和代理模式。就是使用标记技术,在最近的路由器对攻击的数据包进行拦截。
[0006]另外一种处理的方法是使用入侵检测系统(IDS)和质量服务(QoS)结合起来限制数据包流量,以达到控制数据包洪水攻击的目的。它首先由IDS分析网络流量,然后将分析的信息传送到速系统控制器(RLS-控制器)。RLS控制器的通过分析改信息,并且适当的指示RLS代理进行速率限制。
[0007]系统同时也提供了一个用于警告或防止网络流量异常的评价装置。该评价装置包括一个用于接收网络流量和网络流量特征的接口。数据接口根据特定的特征检测这些网络数据,然后由网络设备根据检测的结果来转发或阻断这些网络数据流量。
【发明内容】
[0008]本发明将提供一种保护计算机设备或计算机网络免受大量数据包攻击的方法。
[0009]在下文中,提及到一个“速率限制系统(RLS) ”,它驻留在企业内部网或互联网的外部,并且它有能力控制网络数据包的流量和类型。
[0010]RLS可以是一个现有的操作系统上运行的软件或者是在单独硬件上运行的程序或者是防火墙的基本功能的一个扩展。
[0011]本发明包括检测收到数据包的计算机设备、网络的通过率系统。该系统适合解析数据包通过速率,并且提供至少一个阈值给计算机、网络设备来判定是否遭受数据洪水冲击。阈值是计算机、网络设备的一个或多个可计算的资源。当计算机、网络设备通过的流量高于阈值时,会触发一个事件。该事件消息回传到速率限制系统中,速率限制系统通过相应的机制来处理这些事件。
[0012]本发明也提供了 一个计算系统。在实例中,该计算系统包括:一个计算装置和一个位于拦截数据包装置的计算电子通信设备的速率限制系统。提供至少一个阈值给计算机、网络设备来判定是否遭受数据洪水冲击。阈值是计算机、网络设备的一个或多个可计算的资源。当计算机、网络设备通过的流量高于阈值时,会触发一个事件。该事件消息回传到速率限制系统中,速率限制系统通过相应的机制来处理这些事件。
【专利附图】
【附图说明】
[0013]为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
[0014]图1是本地计算机网络原理介绍图。
[0015]图2是图1中主机系统的原理介绍图。
[0016]图3A和图3B是图2原理的流程图。
【具体实施方式】
[0017]下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
[0018]图1是本地计算机网络100的的一个原理示意图。计算机网络100中包括多个分别来自102、104、106的主机,一个流量控制系统108 (—下称节点108),开关110连接节点108和102、104、106主机系统。在网络100中开关110起到局域网分时工作的作用。节点108包括过滤规则,用与过滤收到的数据包。
[0019]本地网络100还包括一个中央的开关控制器(或CSC) 112,并连接到开关110。主机系统102、104、106通过局域网发送反馈到03(:112。03(:112作为一个唯一的代理从主机系统102、104、106上收集反馈信息在局域网中共享并以安全的方式发送RLS节点108 XSC112先验证相应的主机系统的反馈、整理收到的所有反馈,然后使用安全连接发送到RLS节点108。在实例中,网络100包含了一个可以控制CSC112的控制台114.。在网络110中还包含了连接控制台114和RLS节点108的安全通信通道116,用于安全通信。在控制台114和CSCl 12和RLS节点108之间省略了以太网连接进行通信。一旦RLS节点108收到了反馈信息,它将会根据反馈的信息更新过滤规则。网络100中的这种反馈将在图1、图2、图3A和图3B中进行描述。[0020]图2是系统200(代表的任何一个主机系统102、104、106)的操作示意图。系统200逻辑划分为连个空间,用户空间202和内核空间204。
[0021]在步骤302中(图3A),主机系统200(图2)启动。在步骤304,系统200中用于识别数据洪水攻击的阈值将被初始化。到了这里,系统200已将做好了响应传入的数据包的准备。
[0022]在步骤306中,已经通过RLS节点108来到系统200。在步骤308中,判断出入的数据包是否超过了数据包洪水攻击的阈值。若不是,则进行步骤310,解析数据包,然后在步骤312中,将数据包发送给下一个模块或用户。在步骤318进行判断,如果数据包不会造成洪水攻击,着继续往下处理。如果在步骤308中,判断的结果是肯定的。在步骤314中桩代码产生事件206,在步骤316中将桩代码放入队列214中。
[0023]在步骤318中判断是否进行应该处理事件队列214。该决定可以基于任何适合的标准。如在队列214中的事件的数目是否已经达到了预定的阈值或否已经超过了预定时间段内处理队列事件214的次数。这两个判断标准,最早发生的事件为先。
[0024]在步骤318中,如果判断该事件队列214不应该被处理。主机系统200恢复到等待数据包传输的状态。如果判断事件队列214应该处理,继续走到步骤320处理,消息队列214传入用户空间202中的守护进程216处理。接着到步骤322,守护进程216产生回馈信息,接着在步骤324中,守护进程216将反馈信息发送到SCSI 12中。
[0025]在步骤326 (图3B),CSC112对从主机系统200收到的回馈信息进行身份验证。如果验证通过,步骤328将接受回馈信息。如果不通过,则不能接受。需要指出的是,CSC112所接收到反馈信息可以是主机系统200或其他子网主机系统的信息。上述的步骤306至328,一般会多次发生在主机系统200或其他子网主机系统启动之后。处理进行到步骤330时,CSC112校验所有接收到的回馈信息,到步骤332,通过安全连接通道发送校验过得回馈?目息到RLS中去。
[0026]在步骤334的RLS节点108根据反馈信息做出适当的响应处理。如,限定特定数据类型的速率,对应其产生一个事件210并转发到主机系统200中。这种方式的主机系统(或节点)可以共同存在,并且可以根据独自的资源和能力来处理数据洪水。这样,数据洪水攻击通过主机系统的反馈机制在外围进行控制。将带有过滤数量和过滤类型的反馈消息提供给RLS节点108,它将会根据当前主机系统200的处理能力和当前负载自动调节数据包通过的速率。这样可以节省主机系统的资源,让网络洪水到达子网之前就已经减少或停止。
[0027]在步骤336中,当系统条件发生变化时,用户空间中的守护进程216决定阈值是否需要更新。用户空间的守护进程216通过可以资源是否发生重大变化来进行决定是否要更新阈值。如果发生重大变化,着重新计算阈值,如果不是,结束该处理方法。
[0028]需要指出的是,主机系统200包括一个系统管理工具224,以便管理员可以在有需要的情况下手动设置226的阈值。
[0029]此外,在主机系统200中加入监听TCP/IP协议网络洪水的功能。该功能可以在主机系统的模块中单独实现。这功能可以自由的选择开启或`禁用。
[0030]以上对本发明实施例所提供的一种保护计算机网络避免数据洪水攻击的方法及系统进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在【具体实施方式】及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
【权利要求】
1.计算机设备包括:.资源中至少包括一个CPU,计算装置是通过网络与速率限制系统进行通信,速率限制系统中至少配置一条过滤规则,用于拦截和控制数据包从资源流向计算机设备。在该模块中至少使用一个用于识别数据洪水的阈值参数。所述的阀值参数作用于计算机的资源,当通过速率限制系统的数据破坏了阀值参数时,该模块对事件作出回应,并产生基于该事件的数据反馈信息,并且将反馈数据发送到速率控制系统。速率限制系统通过接收到的反馈信息对至少一条以上的过滤规则进行更改。
2.根据权利要求1所述的,从计算机设备返回到流量控制系统的反馈数据,中间经过一个中央控制开关。
3.根据权利要求1所述,计算机设备至少配置生成一个阈值。
4.根据权利要求1所述,计算机设备设置了多个阈值,用于识别数据洪水。
5.根据权利要求1所述,计算机设备被设置,以检测资源是否已经改变。假如有,将更新至少一个阈值。
6.根据权利要求1所述,计算机具有一个TCP/IP堆栈模块。
7.根据权利要求1所述,当一个过滤规则改变了之后,速率限制系统将随之控制传入数据包的速率。
8.根据权利要求1所述,当一个过滤规则发生变化了之后,将导致计算机设备从速率控制系统中接收到的流量数据分组速率和数据类型发生变化。
9.根据权利要求1所述,进一步包括:一个事件队列,该队列用于存储超出阈值而触发的事件。事件处理模块做出判断是否处理事件队列中的事件。如果对事件队列进行处理,将根据这些事件中的数据产生回馈信息,并发送到速率限制系统。
10.根据权利要求9所·述,事件处理模块是否应该处理事件队列中的事件,通过两个条件判断,(I)事件队列中的事件是否超出了预定的时间周期(2)事件队列中的事件超出预定的数量。
11.一个计算机设备保护控制的方法包括:传入的数据包通过速率限制系统进行处理后再传入计算机设备,其中速率限制系统至少包含一条过滤规则。速率限制系统接收来自计算机设备的反馈信息。反馈信息中包含用于识别数据洪水的判断条件参数。速率控制系统根据反馈信息的内容对计算机设备的数据流量的速率进行控制。
12.速率控制系统包括:硬件和过滤模块。从第一网络接收数据包,向不同第二网络中的计算机设备转发。至少根据一个过滤规则来,控制允许进入第二网络的数据包的速率。计算机设备接收过滤后的数据,并将检测到的违反阈值的反馈信息发送到速率控制系统。
13.根据权利要求12所述,过滤规则发生了变化,过滤模块也随之变化。允许进入第二网络的数据包速率也随之改变。
14.方法包括:通过一个计算机设备进行接收,来自速率控制系统的数据。允许通过速率控制系统传入到计算机设备的数据包,至少使用一个过滤规则。通过阈值来监控网络是否出现了数据包洪水攻击。如果发生了数据洪水攻击,计算机设备将信息反馈给速率限制系统,速率限制系统将针对反馈数据使用一定的过滤规则对数据流量进行控制。
15.根据权利要求14所述,提供多了阈值,用于判断数据洪水攻击。
16.根据权利要求14所述,该方法可以对所述的资源进行检测,如果发生了改变,至少会更新一个阈值。
17.根据权利要求14所述,计算机设备中还包含一个TCP/IP堆栈的模块,可以对其进行检 测。
【文档编号】H04L29/06GK103856455SQ201210512239
【公开日】2014年6月11日 申请日期:2012年12月4日 优先权日:2012年12月4日
【发明者】吴超如, 罗笑南, 杨艾琳, 刘海亮, 汤武惊, 郭江波, 李圳龙 申请人:中山大学深圳研究院