专利名称:抵抗各种网络攻击的自适应防御的制作方法
技术领域:
本实施例通常涉及在动态业务条件下自动调整网络攻击检测系统的灵敏度。
背景技术:
在拒绝服务(DoS)攻击中,攻击者用大量业务轰击受害者网络或者服务器。超负荷的业务消耗了受害者的可用带宽、CPU能力、或其它关键的系统资源,并且最终使网络或服务器处于不能服务其合法客户的情形。分布式DoS(DDoS)攻击甚至能更具破坏性,因为它们涉及同时从多个来源中创建假的网络业务。在“传统的”大规模带宽攻击中,可以在输入分组的源网际协议(IP)地址的统计分析的帮助下追踪攻击源。受害者随后能过滤掉从可疑的IP地址发起的任何业务,并且能利用该证据采取合法行动来对抗攻击者。然而,现在许多攻击用“被骗的”IP分组-包含假IP源地址的分组-使受害者网络更难防御自身免遭攻击。
即使随着攻击检测系统的最近发展,也需要完美地分类网络业务的系统。攻击检测系统都弹出好的业务(假肯定),或者接受不好的业务(假否定)。这些算法共有普遍的问题如何调整算法的“灵敏度”以打破拒绝好的业务和接受不好的业务的邪恶双生子(twin evils)之间的平衡。本发明的实施例对这个问题提供了一个解决方案。该方法涉及把成本归因于不好的业务识别,然后最小化总成本。需要检测系统在短的时标下自动调整灵敏度,而不是需要操作员干涉,这需要更长一些的时标。
本实施例迎合了这些需要。
发明内容一个实施例可以是用于在数据网上基于被检测的攻击优化过滤器的装置。所述装置能包括估计装置和优化装置。该估计装置能在检测器检测到攻击和检测器发送不正确的攻击严重性时工作。该估计装置确定正确的攻击严重性。该优化装置调整一个或多个参数。所述参数是对过滤器的输入。
在一个实施例中,所述装置是在数据网上基于检测的攻击优化过滤器的设备,包括数据接口、处理器、过滤器、估计装置和优化装置。所述处理器能连接到数据接口以接收分组。所述分组能包含一个或多个参数。
所述过滤器能包含阻塞装置和检测器。该阻塞装置阻止攻击分组进入数据网。该分组基于一个参数而被阻止。该检测器能检测攻击分组。
所述估计装置能在检测器检测到攻击并且从检测器发送的攻击严重性不准确时工作。估计装置确定精确的攻击严重性。所述优化装置能调整该参数,并且该参数能作为对过滤器的输入。
结合下列附图,可以更好地理解该详细说明。
图1描述了过滤器的操作的实施例。
图2描述了自适应优化装置的实施例。
图3描述了表示最佳操作点的曲线图。
图4描述了表示在一定时间内[k]被允许通过数据网的大量正常分组的曲线图。
下面参考所列附图详细描述本实施例。
具体实施方式在详细说明本实施例之前,应当理解本实施例并不局限于这些特定的实施例并且可以以各种方式实施或执行。
本实施例通常涉及在动态业务条件下自动调整网络攻击检测系统的灵敏度。
所述实施例通过在严重攻击期间阻止更大比例的攻击分组和在轻微攻击期间允许更多的正常分组来为网络供应商节省成本。所述成本可以体现在网络损耗、所需的网络升级、或非授权接入数据网方面。
所述实施例可以是用于优化过滤器的设备。该优化能够基于在数据网上被检测到的攻击。该设备可以包括估计装置和优化装置。该估计装置能在检测器检测到攻击和从检测器发送的攻击严重性不正确时工作。该估计装置在从检测器发送的攻击严重性不正确时确定正确的攻击严重性。该自适应防御设备可以应用于各种网络攻击,包括DoS攻击、病毒或蠕虫感染、垃圾邮件等等。一个可根据这些实施例使用的过滤器的例子是由Chen Jin、Haining Wang、和Kang G Shin在一篇标题为“跳跃计数过滤一种抵抗欺骗的DDoS业务的有效防御(Hop-Count FilteringA n Effective Deference Against SpoofedDDoS Traffic)”的论文中提出的“跳跃计数过滤器”(HCF),该论文发表于美国计算机学会(ACM)会议关于计算机和通信安全的第10期会议录上。
该估计装置能够持续地更新参数,或者该估计装置能够只在过滤器的设置需要改变时更新参数。
该优化装置根据成本函数确定。该成本函数涉及基于假否定和假肯定采取的行动。例如,如果服务供应商必须持续提供服务,该成本可以依据货币量。另外,如果服务器断线或者如果由于DDoS攻击使提供的服务降到预置的限制之下,服务供应商必须缴纳罚款;因此,服务供应商对正确地过滤DDoS攻击有直接的金钱利益。预置限制的例子可以是服务供应商必须提供不小于进入的正常用户服务请求的百分之九十。
检测器确定攻击分组,该攻击信息由于假肯定和假否定也许不正确。例如,检测器可能检测到的分组的50%是攻击分组,50%的分组是正常分组。估计装置利用来自检测器的这个信息并对来自检测器的数据进行计算,以产生更准确的攻击分组的百分比表示。该估计装置以特定于检测器检测到的攻击类型的准则作为估计的基础,该估计能够导致比检测器所确定的更大或更小的百分比的攻击分组。
攻击严重性可以通过攻击数据对正常数据的百分比来测量。
分组可以是8位字节、网际协议(IP)分组、帧中继分组、异步传送模式(ATM)单元或它们的组合。
优化装置可以调整参数,并且所述参数对过滤器而言是输入。该过滤器使用该参数调整灵敏度。如果该参数显示有攻击发生,过滤器就变得更灵敏并阻塞更多的攻击分组。如果检测器显示没有攻击发生,过滤器的灵敏度变小,以允许更多的正常分组。
该参数可以是分组数的阈值。该参数还可以是每个给定时间内的分组数。术语“参数”对于不同的检测器可以有不同的含义。例如,在用于SYN扩散(flood)DDoS攻击的跳跃计数过滤中,该参数是异常容限值。当观测到的进入SYN分组的跳跃长度与真实值不同并大于阈值时,就确定SYN分组为攻击分组。当初始化一个新的连接以在两个连接的计算机上同步序号时,术语“SYN”是指由传输控制协议(TCP)使用的分组的类型。
检测器设置得更灵敏,那么检测器就将更有可能检测到攻击分组。然而,随着检测器的灵敏度增大,检测器就更可能检测到假肯定。本发明的实施例根据来自检测器的数据,优化检测器的灵敏度。通过有攻击时防止更多的攻击分组和没有攻击时允许更多的正常分组,调整检测器的灵敏度,给数据网产生了更低的总成本。
该参数能存储在优化装置中。当参数存储在优化装置中时,优化装置将新计算的参数与存储的参数进行比较。如果新参数与存储的参数不同,那么该新参数能送入到过滤器以调整过滤器的攻击灵敏度。例如,如果来自估计装置或检测器的参数从未改变,优化装置就没有理由发送一个新参数给过滤器。
在一个可选实施例中,每次从估计装置中输出一个估计时参数就可被更新。
过滤器能包括检测器和分组阻塞装置。过滤器能确定假否定Pn和假肯定Pp以产生可调参数δ。该估计装置用过滤器的参数设置能确定攻击严重性。过滤器将检测到的主机的IP地址列为黑名单,或者防御系统依靠蠕虫遏制策略。蠕虫遏制策略意味着迅速隔离受感染的计算机,以防止感染的业务感染其他易受攻击的计算机。
阻塞装置能基于特性阻塞分组。该特性可以是分组首标、分组体、多个分组体、多个分组首标或它们的组合。
检测器能被动地扫描分组以找到攻击特性。检测器能直接使用这些参数或用第三方装置来解释输入到估计装置的参数。检测器可以是独立的装置或者可以合并到路由器软件中。估计和优化装置,可以是独立装置、合并到检测器中或者合并到路由器软件中。路由器软件可以扩展成路由器的或者通用计算机的软件。
攻击能包含SYN扩散分布式拒绝服务攻击(DDoS),互联网蠕虫感染、没有源欺骗的分布式拒绝服务攻击、端口扫描、电子邮件病毒、和垃圾邮件攻击、它们的组合和网络攻击的其它类型。电子邮件病毒可以通过电子邮件的内容检测,而DDoS可以通过分组检测。
该装置能进一步包括缓冲器意识功能(buffer aware function)。该缓冲器意识功能基于连接数量或特定性能连接,优化服务器能够接受的正常请求的最大数量。数据网的服务器中的该缓冲器能填满攻击分组并且将再也不能接受正常分组。该缓冲器可以位于过滤器之后。如果该缓冲器填满了攻击分组,估计装置必须调整过滤器以阻止更多的攻击分组。
该缓冲器可以拥有大小[K],其中B是缓冲的大小要求。当B<K时调整过滤器的参数,因为过滤器阻塞了太多的分组,而当B>K时调整过滤器的参数,因为过滤器没有阻塞足够的分组。最小化下面的公式可以得出正确的参数用以调整过滤器f=minδ(k+1)|B-K|.]]>在用于在数据网上基于被检测的攻击优化过滤器的设备的一个可选实施例中,该设备包含数据接口、处理器,以及为接收分组而与该数据接口相连的处理器,其中分组包括参数、过滤器、估计装置和优化装置。
该过滤器能包含阻塞装置和检测器。阻塞装置能防止攻击分组进入数据网。该分组能基于参数而被阻止,而该检测器能检测攻击分组。
估计装置能在检测器检测到攻击而且从检测器发送的攻击严重性不正确时工作。估计装置确定正确的攻击严重性。
优化装置能调整参数,该参数可以是对过滤器的输入。
参考附图,图1描述了过滤器16的工作。过滤器16包括输入数据10、丢弃数据12和通过数据14。输入数据10包含正常分组20和攻击分组18。丢弃数据12是被过滤器确定为攻击分组的数据;然而以正常分组20的形式的假肯定能包含在丢弃数据中。通过数据14只能包含正常分组20;然而假否定能以攻击分组18的形式出现。
攻击严重性依据变量[π],变量[π′]代表检测到的攻击业务的一小部分并且能依据由输入业务[n]除丢弃数据[m]。改写后成为m=π′·n。对公式的优化得到m=(1-Pn)·π·n+Pp·(1-π)·n,其中Pp是阻塞正常业务的假肯定概率,而Pn是错过攻击业务的假否定概率。
图2描述了自适应优化装置22,以及与过滤器16通信的攻击估计装置24。过滤器16接收输入数据10,该输入数据10包含攻击分组18和正常分组20。估计装置24和优化装置22可用于调整过滤器16,以最小化丢弃正常业务cp的成本和最小化发送攻击业务cn的成本。当经过的时间间隔从k到k+1时,估计装置24接收Pn(k)、Pp(k)和π′(k)。估计装置24确定
变量
可以表示为,π^(k)=π′(k)-Pp(k)1-Pn(k)-Pp(k)]]>攻击严重性的估计的统计特性是E[π^]=π.]]>即使π的真实值不变该参数也能改变,因为该参数的改变是基于
随时间的改变。
优化装置22接收已被优化的
并且产生输出Pn(k+1)和Pp(k+1)。优化公式是minPn,Pp{cp[1-π^(k)]Pp+cnπ^(k)Pn}.]]>图3描述了表示最佳工作点的曲线图。随着检测灵敏度36在方向34上的增加,假否定32[Pp]的数量增加,而假肯定30[Pn]的数量减少。自适应防御系统能调整检测灵敏度到曲线图上的任何一点。曲线图上的所有点都能是最佳点,这取决于在给定时间间隔内的攻击严重性。如果出现严重攻击26,可以使用阻塞少量正常分组的更高的检测灵敏度36;而如果出现轻微攻击28,可以使用允许少量攻击分组的更低的检测灵敏度36。
图4描述了表示在时间[k]内允许通过数据网的正常分组数量的曲线图。如图所示,自适应过滤能比固定参数过滤允许更多正常分组经过过滤器。如图4所示,自适应防御系统能比固定参数防御系统获得更好的性能,例如在少量攻击(例如,从时间0到时间300)或者严重攻击(例如,从时间400到600)时。产生图4中的该结果的实验在具有24位、28位或二元聚合树体系结构的过滤器上进行了实施。
虽然通过强调这些实施例已经描述了这些实施例,应当理解的是,在所附权利要求
书的范围内,可以不像在此具体描述地那样实施这些实施例。
权利要求
1.一种用于在数据网上基于被检测的攻击优化过滤器的设备,包括估计装置,其中所述估计装置在检测器检测到攻击并且所述检测器发送不正确的攻击严重性时工作,并且所述估计装置确定正确的攻击严重性;优化装置,其中所述优化装置调整参数,并且所述参数是对过滤器的输入;所述过滤器包括检测器和分组阻塞装置;以及缓冲器意识功能,其中所述缓冲器意识功能基于连接数量或特定性能连接,优化服务器能够接受的正常请求的最大数量。
2.根据权利要求
1所述的设备,其中所述估计装置是攻击严重性监视器。
3.根据权利要求
1所述的设备,其中所述估计装置使用所述过滤器的参数设置确定攻击严重性。
4.根据权利要求
1所述的设备,其中所述估计装置持续更新所述参数。
5.根据权利要求
1所述的设备,其中所述估计装置根据成本函数确定。
6.根据权利要求
5所述的设备,其中所述成本函数涉及将基于假否定和假肯定采取的行动。
7.根据权利要求
1所述的设备,其中所述检测器被动地扫描分组以找到攻击特性。
8.根据权利要求
1所述的设备,其中所述正确的攻击严重性通过攻击数据对正常数据的百分比测量。
9.根据权利要求
1所述的设备,其中所述参数是分组数的阈值。
10.根据权利要求
1所述的设备,其中所述参数是每个给定时间内的分组数。
11.根据权利要求
1所述的设备,其中所述参数存储在所述优化装置中。
12.根据权利要求
1所述的设备,其中所述参数在每次从所述估计装置输出估计时被更新。
13.根据权利要求
1所述的设备,其中所述分组阻塞装置适用于基于特性而阻塞分组。
14.根据权利要求
13所述的设备,其中所述特性是SYN分散分布式拒绝服务攻击、互联网蠕虫感染、没有源欺骗的分布式拒绝服务攻击、端口扫描、电子邮件病毒、垃圾邮件攻击、或者它们的组合。
15.根据权利要求
1所述的设备,其中所述过滤器确定假否定Pn和假肯定Pp以产生一个可调参数δ。
16.根据权利要求
15所述的设备,其中所述过滤器隔离所述被检测主机的IP地址,或者所述防御系统依靠蠕虫遏制策略。
17.根据权利要求
1所述的设备,其中所述分组是从包含以下的组中选择的8位字节、网际协议(IP)分组、帧中继分组、异步传送模式(ATM)单元或它们的组合。
18.一种用于在数据网上基于被检测的攻击优化过滤器的设备,包括数据接口;为接收分组而连接到所述数据接口的处理器,其中所述分组包含参数;过滤器,其中所述过滤器包括阻塞装置,其中所述阻塞装置防止攻击分组进入所述数据网,并且所述分组基于参数而被阻塞;和检测攻击分组的检测器;估计装置,其中所述估计装置确定正确的攻击严重性,以及所述估计装置在检测器检测所述攻击分组并且从所述检测器发送的攻击严重性不正确时工作,以及优化装置,其中所述优化装置调整所述参数,并且所述参数是对所述过滤器的输入。
专利摘要
一种用于在数据网上基于被检测的攻击优化过滤器的设备,包括估计装置和优化装置。所述估计装置在检测器检测到所述攻击并且所述检测器发送不正确的攻击严重性时工作。所述估计装置确定正确的攻击严重性。所述优化装置调整参数并且所述参数是对过滤器的输入。
文档编号H04L9/00GK1992720SQ200610091687
公开日2007年7月4日 申请日期2006年6月9日
发明者尼古拉斯·杜菲尔德, 龚维博, 唐·汤斯雷, 邹长春 申请人:美国电报电话公司导出引文BiBTeX, EndNote, RefMan