国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

  • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>
      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>

      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>

      用于過濾和分析基于分組的通信流量的方法和裝置的制作方法

      文檔序號(hào):6461199閱讀:121來源:國知局
      專利名稱:用于過濾和分析基于分組的通信流量的方法和裝置的制作方法
      技術(shù)領(lǐng)域
      本發(fā)明一般地涉及計(jì)算機(jī)網(wǎng)絡(luò),具體涉及用于在計(jì)算機(jī)網(wǎng)絡(luò)中防御惡 意流量的方法和系統(tǒng)。
      背景技術(shù)
      本申請要求2001年12月10日提出的題為"Methods and Apparatus for Protecting Against Malicious Traffic in the Internet"的美國臨時(shí)專利申i青 60/339,900的優(yōu)先權(quán)。本申請是同時(shí)待審的美國專利申請09/929,877的部 分繼續(xù),該申請的申請日是2001年8月14日,題為"Methods and Apparatus for Protecting Against Overload Conditions on Nodes of a Distributed Network",并被公開為美國專利申請公開20020083175。這兩 個(gè)相關(guān)申請都被轉(zhuǎn)讓給本專利申請的受讓人,其公開內(nèi)容在此通過引用而 包含進(jìn)來。在服務(wù)拒絕(DoS)攻擊中,攻擊者用大量消息流量沖擊受害的網(wǎng)絡(luò) 或服務(wù)器。這一流量過載消耗了受害者的可用帶寬、CPU能力或其它關(guān)鍵 的系統(tǒng)資源,最終使受害者陷入無法對其合法用戶提供服務(wù)的狀況當(dāng)中。 分布式DoS (DDoS)攻擊甚至可能更具破壞性,因?yàn)檫@些攻擊涉及同時(shí) 從多個(gè)源創(chuàng)建人為的網(wǎng)絡(luò)流量。在"傳統(tǒng)的"海量帶寬攻擊(massive-bandwidth attack) 中,可以在對進(jìn)入的分組的源因特網(wǎng)協(xié)議(IP)地址進(jìn) 行的統(tǒng)計(jì)分析的幫助下,對攻擊源進(jìn)行跟蹤。受害者隨后可以濾去從受懷 疑的IP地址發(fā)起的任何流量,并可以使用這一證據(jù)對攻擊者采取法律行動(dòng)。然而,現(xiàn)在許多攻擊使用"地址盜用"(spoofed) IP分組——包含偽造的IP源地址的分組——這使得受害網(wǎng)絡(luò)更難以防御其自身免遭攻擊。為了啟動(dòng)有效的DDoS攻擊,攻擊者一般試圖控制因特網(wǎng)上的大量服 務(wù)器。獲得這種控制的一種方法是使用"蠕蟲"(worm),"蠕蟲"是利 用廣泛使用的服務(wù)中的安全漏洞而在因特網(wǎng)上自我復(fù)制的程序。在取得對 服務(wù)器的控制之后,蠕蟲通常使用該服務(wù)器來參與DDoS攻擊。最近的著 名蠕蟲包括紅碼(Code Red) (I和II)和Nimba。例如,紅碼I在2001 年夏季期間利用Microsoft IIS網(wǎng)絡(luò)服務(wù)器(Web server)的安全漏洞而傳 播。 一旦它感染了服務(wù)器,該蠕蟲就通過啟動(dòng)99個(gè)線程而傳播,其中每 個(gè)線程都生成隨機(jī)的IP地址并試圖危害處于這些地址的服務(wù)器。除了這種 自我復(fù)制之外,紅碼I還在受感染的服務(wù)器上同時(shí)自我激活,以啟動(dòng)對 www.whitehouse.gov 土或的叻、同DDoS攻擊。除了對受害于蠕蟲啟動(dòng)的DDoS攻擊的域所造成的破壞以外,被蠕蟲 感染的服務(wù)器和網(wǎng)絡(luò)還常常遭遇性能的下降。這種下降部分地是由于被感 染的服務(wù)器在其試圖發(fā)現(xiàn)并感染處于隨機(jī)IP地址的服務(wù)器(稱為"掃 描")時(shí)所生成和接收的分組、以及被感染的服務(wù)器在其參與DDoS攻擊 時(shí)所生成的分組所造成的。例如,被感染的服務(wù)器可能將大量SYN請求 分組發(fā)送到隨機(jī)IP地址,其中每個(gè)地址可能都用SYN-ACK響應(yīng)分組來應(yīng) 答。這種流量可能消耗被感染的網(wǎng)絡(luò)與因特網(wǎng)之間的連接的大部分帶寬。 此外,SYN請求一般會(huì)被發(fā)送服務(wù)器緩沖一段時(shí)間,這占用了服務(wù)器資 源。發(fā)明內(nèi)容在本發(fā)明的實(shí)施例中,網(wǎng)絡(luò)防護(hù)系統(tǒng)檢測并封堵(block)蠕蟲所生成 的進(jìn)入和/或外出分組。 一般而言,防護(hù)系統(tǒng)通過(a)檢查分組是否包含 已知的蠕蟲特征,和/或(b)監(jiān)視分組的源以發(fā)現(xiàn)對應(yīng)于與蠕蟲所生成的 流量相關(guān)聯(lián)的模式的異常流量模式,來檢測這種受感染的分組。 一旦防護(hù) 系統(tǒng)檢測到可疑的分組或流量模式,它就可以將來自同一源的分組的全部 或部分封堵一段時(shí)間,或者采取其它預(yù)防性行動(dòng)。未被感染的分組被轉(zhuǎn)發(fā)到其預(yù)期目的地。對于某些應(yīng)用,網(wǎng)絡(luò)防護(hù)系統(tǒng)監(jiān)視進(jìn)入分組,以防止惡意源與網(wǎng)絡(luò)的 受保護(hù)區(qū)域內(nèi)的服務(wù)器建立連接。在本發(fā)明的一些這種實(shí)施例中,用網(wǎng)絡(luò) 防護(hù)系統(tǒng)來保護(hù)的網(wǎng)絡(luò)將分配給該網(wǎng)絡(luò)的一組網(wǎng)絡(luò)地址(例如IP地址)指^定為"陷阱"(trap)地址。這些陷阱地址被分配給一個(gè)或多個(gè)防護(hù)設(shè)備,但未被網(wǎng)絡(luò)的其它元件所使用。當(dāng)尋址到這種陷阱地址的分組進(jìn)入受 保護(hù)的網(wǎng)絡(luò)時(shí),該分組被轉(zhuǎn)發(fā)到所分配的防護(hù)設(shè)備,該防護(hù)設(shè)備對流量進(jìn) 行分析。防護(hù)設(shè)備例如可以基于流量的內(nèi)容或統(tǒng)計(jì)特性,確定來自給定源 地址的流量是可疑的。然后,防護(hù)設(shè)備可以封堵或以其它方式過濾來自受 懷疑的源地址的進(jìn)入流量,以降低網(wǎng)絡(luò)的受保護(hù)區(qū)域內(nèi)的服務(wù)器被蠕蟲感 染的可能性。代替性地或附加性地,防護(hù)設(shè)備然后可以開始對進(jìn)入網(wǎng)絡(luò)受 保護(hù)區(qū)域的所有分組進(jìn)行監(jiān)視。這些用于防御進(jìn)入的蠕蟲生成流量的技術(shù) 可以降低受保護(hù)的網(wǎng)絡(luò)和諸如因特網(wǎng)之類的廣域網(wǎng)之間的帶寬消耗。例 如,這些技術(shù)可以降低受保護(hù)區(qū)域中的元件響應(yīng)于進(jìn)入流量而生成的外出 流量,例如內(nèi)部服務(wù)器在試圖建立與被感染的外部服務(wù)器的握手時(shí)所生成的SYN-ACK響應(yīng)。代替性地或附加性地,網(wǎng)絡(luò)防護(hù)系統(tǒng)對從受保護(hù)區(qū)域中的服務(wù)器發(fā)起 的外出分組進(jìn)行監(jiān)視。 一般而言,防護(hù)系統(tǒng)通過確定服務(wù)器正在短時(shí)間內(nèi) 試圖創(chuàng)建到不同地址的大量連接、或者創(chuàng)建與不存在的地址的連接,來檢 測被感染的服務(wù)器。通過檢測和封堵被感染的外出分組,防護(hù)系統(tǒng)防止感 染了蠕蟲的服務(wù)器與受保護(hù)區(qū)域之外的服務(wù)器建立特定類型的連接。此技 術(shù)還可以降低受保護(hù)的網(wǎng)絡(luò)和諸如因特網(wǎng)之類的廣域網(wǎng)之間的帶寬消耗, 這是通過(a)降低感染了蠕蟲的服務(wù)器在試圖傳播蠕蟲和參與DDoS攻擊這兩種情況下所生成的輸出流量,以及(b)降低響應(yīng)于惡意輸出流量而 生成的輸入流量而實(shí)現(xiàn)的,所述輸入流量例如是外部服務(wù)器在試圖建立與 被感染的內(nèi)部服務(wù)器的握手時(shí)所生成的SYN-ACK響應(yīng)。此外,當(dāng)檢測到 被感染的服務(wù)器時(shí),防護(hù)系統(tǒng)一般生成網(wǎng)絡(luò)管理員警報(bào),使得管理員可以 采取適當(dāng)?shù)男袆?dòng),例如清理被感染的服務(wù)器。在此所描述的用于檢測和轉(zhuǎn)移(divert)蠕蟲生成流量的技術(shù)可以單獨(dú)使用,或者結(jié)合其它補(bǔ)充性技術(shù)來使用,用于防止DDoS攻擊。例如,這種技術(shù)在上文中所引用的美國專利申請公開20020083175中、以及在美國 專利申請10/232,993中進(jìn)行了描述,美國專利申請10/232,993的申請?jiān)皇?2002年8月29日,題為."Protecting Against Distributed Denial of Service Attacks",該專利申請被轉(zhuǎn)讓給本專利申請的受讓人,在此通過引用而包 含了該申請。因此,根據(jù)本發(fā)明一個(gè)實(shí)施例,提供了一種用于過濾基于分組的通信流量的方法,該方法包括至少接收從源地址通過網(wǎng)絡(luò)向目的地地址發(fā)送的第一數(shù)據(jù)分組; 通過分析所述第一數(shù)據(jù)分組,確定所述第一數(shù)據(jù)分組是由蠕蟲生成的;以及響應(yīng)于所述確定,封堵從所述源地址通過所述網(wǎng)絡(luò)發(fā)送的第二數(shù)據(jù)分組。進(jìn)行所述確定可以包括將所述第一數(shù)據(jù)分組的屬性與已知的蠕蟲生成 分組的一組屬性相比較,并且當(dāng)發(fā)現(xiàn)所述第一數(shù)據(jù)分組的屬性與所述組中 的屬性之一相匹配時(shí),封堵所述第一數(shù)據(jù)分組。在一個(gè)實(shí)施例中,封堵所述第二數(shù)據(jù)分組包括在從作出所述第一數(shù)據(jù) 分組是由蠕蟲生成的這一確定開始的一段時(shí)間內(nèi)封堵所述第二數(shù)據(jù)分組, 而此后不封堵所述第二數(shù)據(jù)分組。在一個(gè)實(shí)施例中,所述目的地地址位于所述網(wǎng)絡(luò)的受保護(hù)區(qū)域內(nèi),并 且接收所述第一數(shù)據(jù)分組包括接收來自位于所述受保護(hù)區(qū)域之外的源的第 一數(shù)據(jù)分組?;蛘撸鲈吹刂穼儆谖挥谒鼍W(wǎng)絡(luò)的受保護(hù)區(qū)域內(nèi)的網(wǎng)絡(luò) 元件,所述目的地地址位于所述受保護(hù)區(qū)域之外,并且接收所述第一數(shù)據(jù) 分組包括在所述受保護(hù)區(qū)域內(nèi)接收所述第 一數(shù)據(jù)分組。進(jìn)行所述確定可以包括生成管理員警報(bào),該管理員警報(bào)表示所述第一 數(shù)據(jù)分組是由所述蠕蟲生成的。在一個(gè)實(shí)施例中,所述第一數(shù)據(jù)分組具有端口指定,并且進(jìn)行所述確 定包括確定所述端口指定不對應(yīng)于在所述目的地地址處運(yùn)行的應(yīng)用。代替 性地或附加性地,用于一個(gè)應(yīng)用的服務(wù)器駐留在所述目的地地址處,并且進(jìn)行所述確定包括確定所述第一數(shù)據(jù)分組不對應(yīng)于所述應(yīng)用。在一個(gè)實(shí)施例中,接收所述第一數(shù)據(jù)分組包括接收因特網(wǎng)協(xié)議(IP) 分組,并且進(jìn)行所述確定包括對所述IP分組的序列號(hào)的模式進(jìn)行分析。代 替性地或附加性地,接收所述第一數(shù)據(jù)分組包括接收傳輸控制協(xié)議(TCP) SYN分組。接收所述SYN分組可以包括接收分別尋址到多個(gè)目 的地地址的多個(gè)SYN分組,并且進(jìn)行所述確定包括對蠕蟲的地址掃描特 性的模式進(jìn)行檢測。在一個(gè)實(shí)施例中,進(jìn)行所述確定包括確定所述目的地地址無效。進(jìn)行 所述確定可以包括將一個(gè)或多個(gè)地址指定為陷阱地址,并且確定所述目的 地地址是所述陷阱地址之一。進(jìn)行所述確定還可以包括對從所述源地址向 所述陷阱地址中的一個(gè)或多個(gè)地址發(fā)送的數(shù)據(jù)分組的到達(dá)頻率進(jìn)行分析, 以確定所述分組是不是由蠕蟲生成的。在--個(gè)實(shí)施例中,進(jìn)行所述確定包括將所述第一數(shù)據(jù)分組的源地址存儲(chǔ)在黑名單上,并且封堵所述第二數(shù)據(jù)分組包括響應(yīng)于所述黑名單而封堵 所述第二數(shù)據(jù)分組。存儲(chǔ)在所述黑名單上可以包括當(dāng)確定出接收自所述源 地址的分組頻率已經(jīng)降低時(shí),將所述第一數(shù)據(jù)分組的源地址從黑名單上去 除。至少接收所述第一數(shù)據(jù)分組可以包括接收來自所述源地址的多個(gè)數(shù)據(jù) 分組,這些數(shù)據(jù)分組分別尋址到多個(gè)目的地地址,并且進(jìn)行所述確定包括 對發(fā)送自所述源地址的所述多個(gè)數(shù)據(jù)分組進(jìn)行分析。進(jìn)行所述確定可以包 括對所述數(shù)據(jù)分組的到達(dá)頻率進(jìn)行分析。代替性地或附加性地,進(jìn)行所述 確定包括將所述目的地地址的模式與和已知的蠕蟲生成流量相關(guān)聯(lián)的至少 一種模式相比較。接收來自所述源地址的所述數(shù)據(jù)分組可以包括接收來自 屬于一個(gè)子網(wǎng)的多個(gè)源地址的數(shù)據(jù)分組,并且封堵所述第二數(shù)據(jù)分組包括 封堵從所述子網(wǎng)通過所述網(wǎng)絡(luò)發(fā)送的另外的數(shù)據(jù)分組。在一個(gè)實(shí)施例中,接收所述第一數(shù)據(jù)分組包括在所述第一數(shù)據(jù)分組到 達(dá)所述目的地地址之前攔截所述第一數(shù)據(jù)分組,該方法還包括當(dāng)確定出所 述第一數(shù)據(jù)分組不是由所述蠕蟲生成的時(shí),將所述第一數(shù)據(jù)分組傳遞到所 述目的地地址。接收所述第一數(shù)據(jù)分組可以包括接收尋址到特定端口的因特網(wǎng)協(xié)議(IP)分組,并且攔截所述第一數(shù)據(jù)分組包括響應(yīng)于所述IP分組 所尋址到的特定端口而攔截所述第一數(shù)據(jù)分組。攔截所述第一數(shù)據(jù)分組可以包括僅當(dāng)所述第一數(shù)據(jù)分組包括傳輸控制協(xié)議(TCP) SYN分組并且所 述第一數(shù)據(jù)分組尋址到端口 80時(shí),才攔截所述第一數(shù)據(jù)分組。根據(jù)本發(fā)明一個(gè)實(shí)施例,還提供了一種用于分析基于分組的通信流量的方法,該方法包括接收從源地址通過網(wǎng)絡(luò)發(fā)送、并分別尋址到多個(gè)目的地地址的多個(gè)數(shù) 據(jù)分組;確定將所述數(shù)據(jù)分組從所述源地址向所述多個(gè)目的地地址發(fā)送的頻率;以及響應(yīng)于所述頻率,將所述源地址指出為惡意流量源。 接收所述數(shù)據(jù)分組可以包括接收傳輸控制協(xié)議(TCP) SYN分組。指 出所述源地址可以包括將所述源地址指出為蠕蟲生成流量的生成者。在一個(gè)實(shí)施例中,接收所述數(shù)據(jù)分組包括接收分別具有端口指定的因 特網(wǎng)協(xié)議(IP)分組,并且確定所述頻率包括確定下述數(shù)據(jù)分組的發(fā)送頻 率,所述數(shù)據(jù)分組各自的端口指定不對應(yīng)于在所述目的地地址處運(yùn)行的應(yīng) 用。確定所述頻率可以包括確定尋址到用于某個(gè)應(yīng)用的服務(wù)器所駐留的目 的地地址的數(shù)據(jù)分組的發(fā)送頻率,所述應(yīng)用不同于所述分組中所指明的應(yīng) 用。根據(jù)本發(fā)明一個(gè)實(shí)施例,提供了一種用于分析基于分組的通信流量的方法,該方法包括.將一個(gè)或多個(gè)網(wǎng)絡(luò)地址指定為陷阱地址;接收從源地址通過所述網(wǎng)絡(luò)向所述陷阱地址之一發(fā)送的數(shù)據(jù)分組;以及響應(yīng)于接收到所述分組,將所述源地址指出為惡意流量源。 在一個(gè)實(shí)施例中,接收所述數(shù)據(jù)分組包括接收從所述源地址通過所述 網(wǎng)絡(luò)向所述陷阱地址中的一個(gè)或多個(gè)地址發(fā)送的多個(gè)數(shù)據(jù)分組,并且指出 所述源地址包括對從所述源地址向所述陷阱地址中的所述一個(gè)或多個(gè)發(fā)送 的數(shù)據(jù)分組的到達(dá)頻率進(jìn)行分析。指出所述源地址可以包括將所述源地址指出為蠕蟲生成流量的生成者。根據(jù)本發(fā)明一個(gè)實(shí)施例,還提供了一種用于分析基于分組的通信流量 的方法,該方法包括將一個(gè)或多個(gè)網(wǎng)絡(luò)地址指定為陷阱地址;接收通過所述網(wǎng)絡(luò)向所述陷阱地址之一 發(fā)送的數(shù)據(jù)分組;以及 響應(yīng)于接收到所述分組,開始對從所述網(wǎng)絡(luò)的受保護(hù)區(qū)域之外的源通過所述網(wǎng)絡(luò)發(fā)送的另外的數(shù)據(jù)分組進(jìn)行轉(zhuǎn)移,以防止惡意流量到達(dá)所述網(wǎng)絡(luò)的受保護(hù)區(qū)域。開始所述轉(zhuǎn)移可以包括開始轉(zhuǎn)移以防止蠕蟲生成流量到達(dá)所述網(wǎng)絡(luò)的 受保護(hù)區(qū)域。在一個(gè)實(shí)施例中,開始所述轉(zhuǎn)移包括確定所述另外的數(shù)據(jù)分 組中的一個(gè)分組是由蠕蟲生成的,并且,響應(yīng)于所述確定,封堵對該分組 的傳遞。接收所述數(shù)據(jù)分組可以包括接收從源地址通過所述網(wǎng)絡(luò)向所述陷 阱地址中的一個(gè)或多個(gè)地址發(fā)送的多個(gè)數(shù)據(jù)分組,并且開始所述轉(zhuǎn)移包括 對從所述源地址向所述陷阱地址中的所述一個(gè)或多個(gè)發(fā)送的數(shù)據(jù)分組的到 達(dá)頻率進(jìn)行分析。根據(jù)本發(fā)明一個(gè)實(shí)施例,另外提供了一種用于分析基于分組的通信流 量的方法,該方法包括接收從源地址通過網(wǎng)絡(luò)向目的地地址發(fā)送的數(shù)據(jù)分組;將所述數(shù)據(jù)分組的屬性與已知的蠕蟲生成流量的一組屬性相比較;以及當(dāng)發(fā)現(xiàn)所述分組的屬性與所述組中的屬性之一相匹配時(shí),將所述源地 址指出為蠕蟲生成流量的源。所述屬性可以包括所述數(shù)據(jù)分組的長度或所述分組的簽名。 根據(jù)本發(fā)明一個(gè)實(shí)施例,另外還提供了用于過濾基于分組的通信流量的裝置,該裝置包括防護(hù)設(shè)備,該防護(hù)設(shè)備適于執(zhí)行以下操作至少接收從源地址通過網(wǎng)絡(luò)向目的地地址發(fā)送的第一數(shù)據(jù)分組;通過分析所述第一 數(shù)據(jù)分組,確定所述第一數(shù)據(jù)分組是由蠕蟲生成的;以及響應(yīng)于所述確 定,封堵從所述源地址通過所述網(wǎng)絡(luò)發(fā)送的第二數(shù)據(jù)分組。根據(jù)本發(fā)明一個(gè)實(shí)施例,還提供了用于分析基于分組的通信流量的裝置,該裝置包括防護(hù)設(shè)備,該防護(hù)設(shè)備適于執(zhí)行以下操作接收從源地址 通過網(wǎng)絡(luò)發(fā)送、并分別尋址到多個(gè)目的地地址的多個(gè)數(shù)據(jù)分組;確定將所 述數(shù)據(jù)分組從所述源地址向所述多個(gè)目的地地址發(fā)送的頻率;以及響應(yīng)于 所述頻率,將所述源地址指出為惡意流量源。根據(jù)本發(fā)明一個(gè)實(shí)施例,又提供了用于分析基于分組的通信流量的裝 置,該裝置包括防護(hù)設(shè)備,該防護(hù)設(shè)備適于執(zhí)行以下操作將一個(gè)或多個(gè) 網(wǎng)絡(luò)地址指定為陷阱地址;接收從源地址通過所述網(wǎng)絡(luò)向所述陷阱地址之 一發(fā)送的數(shù)據(jù)分組;以及響應(yīng)于接收到所述分組,將所述源地址指出為惡 意流量源。根據(jù)本發(fā)明一個(gè)實(shí)施例,還提供了用于分析基于分組的通信流量的裝 置,該裝置包括防護(hù)設(shè)備,該防護(hù)設(shè)備適于執(zhí)行以下操作將一個(gè)或多個(gè) 網(wǎng)絡(luò)地址指定為陷阱地址;接收通過所述網(wǎng)絡(luò)向所述陷阱地址之一發(fā)送的 數(shù)據(jù)分組;以及響應(yīng)于接收到所述分組,開始對從所述網(wǎng)絡(luò)的受保護(hù)區(qū)域 之外的源通過所述網(wǎng)絡(luò)發(fā)送的另外的數(shù)據(jù)分組進(jìn)行轉(zhuǎn)移,以防止惡意流量 到達(dá)所述網(wǎng)絡(luò)的所述受保護(hù)區(qū)域。根據(jù)本發(fā)明一個(gè)實(shí)施例,另外提供了用于分析基于分組的通信流量的 裝置,該裝置包括防護(hù)設(shè)備,該防護(hù)設(shè)備適于執(zhí)行以下操作接收從源地 址通過網(wǎng)絡(luò)向目的地地址發(fā)送的數(shù)據(jù)分組;將所述數(shù)據(jù)分組的屬性與已知 的蠕蟲生成分組的一組屬性相比較;以及當(dāng)發(fā)現(xiàn)所述分組的屬性與所述組 中的屬性之一相匹配時(shí),將所述源地址指出為蠕蟲生成流量的源。根據(jù)本發(fā)明一個(gè)實(shí)施例,另外還提供了一種用于過濾基于分組的通信 流量的計(jì)算機(jī)軟件產(chǎn)品,該產(chǎn)品包括計(jì)算機(jī)可讀介質(zhì),程序指令存儲(chǔ)在所 述介質(zhì)中,所述指令當(dāng)被計(jì)算機(jī)讀取時(shí),使得計(jì)算機(jī)執(zhí)行以下操作至少 接收從源地址通過網(wǎng)絡(luò)向目的地地址發(fā)送的第一數(shù)據(jù)分組;通過分析所述第一數(shù)據(jù)分組,確定所述第一數(shù)據(jù)分組是由蠕蟲生成的;以及響應(yīng)于所述確定,封堵從所述源地址通過所述網(wǎng)絡(luò)發(fā)送的第二數(shù)據(jù)分組。根據(jù)本發(fā)明一個(gè)實(shí)施例,還提供了一種用于分析基于分組的通信流量 的計(jì)算機(jī)軟件產(chǎn)品,該產(chǎn)品包括計(jì)算機(jī)可讀介質(zhì),程序指令存儲(chǔ)在所述介質(zhì)中,所述指令當(dāng)被計(jì)算機(jī)讀取時(shí),使得計(jì)算機(jī)執(zhí)行以下操作接收從源地址通過網(wǎng)絡(luò)發(fā)送、并分別尋址到多個(gè)目的地地址的多個(gè)數(shù)據(jù)分組;確定 將所述數(shù)據(jù)分組從所述源地址向所述多個(gè)目的地地址發(fā)送的頻率;以及響 應(yīng)于所述頻率,將所述源地址指出為惡意流量源。根據(jù)本發(fā)明 一個(gè)實(shí)施例,又提供了 一種用于分析基于分組的通信流量 的計(jì)算機(jī)軟件產(chǎn)品,該產(chǎn)品包括計(jì)算機(jī)可讀介質(zhì),程序指令存儲(chǔ)在所述介 質(zhì)中,所述指令當(dāng)被計(jì)算機(jī)讀取時(shí),使得計(jì)算機(jī)執(zhí)行以下操作將一個(gè)或 多個(gè)網(wǎng)絡(luò)地址指定為陷阱地址;接收從源地址通過所述網(wǎng)絡(luò)向所述陷阱地 址之一發(fā)送的數(shù)據(jù)分組;以及響應(yīng)于接收到所述分組,將所述源地址指出 為惡意流量源。根據(jù)本發(fā)明一個(gè)實(shí)施例,還提供了一種用于分析基于分組的通信流量 的計(jì)算機(jī)軟件產(chǎn)品,該產(chǎn)品包括計(jì)算機(jī)可讀介質(zhì),程序指令存儲(chǔ)在所述介 質(zhì)中,所述指令當(dāng)被計(jì)算機(jī)讀取時(shí),使得計(jì)算機(jī)執(zhí)行以下操作將一個(gè)或 多個(gè)網(wǎng)絡(luò)地址指定為陷阱地址;接收通過所述網(wǎng)絡(luò)向所述陷阱地址之-發(fā) 送的數(shù)據(jù)分組;以及響應(yīng)于接收到所述分組,開始對從所述網(wǎng)絡(luò)的受保護(hù) 區(qū)域之外的源通過所述網(wǎng)絡(luò)發(fā)送的另外的數(shù)據(jù)分組進(jìn)行轉(zhuǎn)移,以防止惡意 流量到達(dá)所述網(wǎng)絡(luò)的所述受保護(hù)區(qū)域。根據(jù)本發(fā)明一個(gè)實(shí)施例,另外提供了一種用于分析基于分組的通信流 量的計(jì)算機(jī)軟件產(chǎn)品,該產(chǎn)品包括計(jì)算機(jī)可讀介質(zhì),程序指令存儲(chǔ)在所述 介質(zhì)中,所述指令當(dāng)被計(jì)算機(jī)讀取時(shí),使得計(jì)算機(jī)執(zhí)行以下操作接收從 源地址通過網(wǎng)絡(luò)向目的地地址發(fā)送的數(shù)據(jù)分組;將所述數(shù)據(jù)分組的屬性與 已知的蠕蟲生成分組的一組屬性相比較;以及當(dāng)發(fā)現(xiàn)所述分組的屬性與所 述組中的屬性之一相匹配時(shí),將所述源地址指出為蠕蟲生成流量的源。


      根據(jù)以下對本發(fā)明實(shí)施例的詳細(xì)描述,并結(jié)合附圖,將會(huì)更充分地理 解本發(fā)明,在附圖中圖1是一個(gè)框圖,其示意性地示出了根據(jù)本發(fā)明一個(gè)實(shí)施例的網(wǎng)絡(luò)防 護(hù)系統(tǒng);圖2是一個(gè)框圖,其示意性地示出了根據(jù)本發(fā)明一個(gè)實(shí)施例,因特網(wǎng)服務(wù)提供商(ISP)所部署的網(wǎng)絡(luò)防護(hù)系統(tǒng);圖3是一個(gè)流程圖,其示意性地示出了根據(jù)本發(fā)明一個(gè)實(shí)施例,用于 檢測蠕蟲所生成的流量的方法;圖4是一個(gè)流程圖,其示意性地示出了根據(jù)本發(fā)明一個(gè)實(shí)施例,用于 過濾和封堵流量的方法;并且圖5是一個(gè)流程圖,其示意性地示出了根據(jù)本發(fā)明一個(gè)實(shí)施例,用于 檢測蠕蟲所生成的流量的另一種方法。
      具體實(shí)施方式
      圖1是一個(gè)框圖,其示意性地示出了根據(jù)本發(fā)明一個(gè)實(shí)施例的網(wǎng)絡(luò)防護(hù)系統(tǒng)20。網(wǎng)絡(luò)的受保護(hù)區(qū)域30通過一個(gè)或多個(gè)路由器22,與通常是因 特網(wǎng)的廣域網(wǎng)(WAN) 40相通信。受保護(hù)區(qū)域30包括各種網(wǎng)絡(luò)元件26, 例如服務(wù)器24、客戶端、交換器、內(nèi)部路由器和網(wǎng)橋,它們般由.個(gè)或 多個(gè)局域網(wǎng)(LAN) 32相連接。如下文所述,受保護(hù)區(qū)域30 —般(但非 必須)包括諸如企業(yè)網(wǎng)或校園網(wǎng)等的專用網(wǎng)絡(luò),或者由因特網(wǎng)服務(wù)提供商 (ISP)運(yùn)營的網(wǎng)絡(luò)。為了防止服務(wù)器24感染蠕蟲,防護(hù)設(shè)備28攔截來自WAN 40的尋址 到網(wǎng)絡(luò)元件26的進(jìn)入分組。防護(hù)設(shè)備28對這些進(jìn)入分組進(jìn)行分析,以檢 測被懷疑感染了蠕蟲的分組,這一般是使甩在下文中參照圖3和5而描述 的技術(shù)來進(jìn)行的。 一旦已檢測到被感染的分組或流量模式,防護(hù)設(shè)備28 就將來自同一源的分組的全部或一部分封堵一段時(shí)間,這一般是使用下文 中參照圖4而描述的技術(shù)來進(jìn)行的。未被感染的分組被轉(zhuǎn)發(fā)到其預(yù)期目的 地。代替性地或者附加性地,防護(hù)設(shè)備28對從服務(wù)器24經(jīng)由WAN 40發(fā) 送到受保護(hù)區(qū)域30之外的外出分組進(jìn)行監(jiān)視。通過檢測并封堵被感染的 外出分組,防護(hù)設(shè)備28防止感染了蠕蟲的服務(wù)器24與受保護(hù)區(qū)域30之外 的服務(wù)器建立連接。結(jié)果,被感染的服務(wù)器24無法危害外部服務(wù)器或參 與對受保護(hù)區(qū)域30之外的網(wǎng)絡(luò)元件的DDoS攻擊。封堵這種被感染的流 量還減輕了路由器22和WAN 40之間的鏈路上的壓力,使得合法流量不被惡意行動(dòng)所妨礙。防護(hù)設(shè)備28可以一直執(zhí)行這些分組過濾和轉(zhuǎn)移(diversion)功能,或 者其可以僅在壓力條件(stress condition)下才變?yōu)橛行?,在所述壓力條件 下,預(yù)計(jì)或懷疑會(huì)有對服務(wù)器24的攻擊或由服務(wù)器24進(jìn)行的攻擊。例 如,防護(hù)設(shè)備28可以在以下情況下變?yōu)橛行М?dāng)檢測到非同尋常的大量 進(jìn)入的SYN請求分組時(shí)、當(dāng)其它流量統(tǒng)計(jì)指示出可能有攻擊正在進(jìn)行 時(shí)、當(dāng)己經(jīng)使用"陷阱"地址而檢測到蠕蟲所生成的流量時(shí)(如在下文中 參照圖5所描述的那樣)、和/或當(dāng)網(wǎng)絡(luò)管理員知道蠕蟲正活躍在因特網(wǎng)上 時(shí)。一般而言,防護(hù)設(shè)備28包括通用計(jì)算機(jī),該計(jì)算機(jī)被以軟件編程, 以實(shí)現(xiàn)此處所描述的功能。所述軟件可以例如通過網(wǎng)絡(luò)而以電子形式下載 到所述計(jì)算機(jī)中,或者可以在諸如CD-ROM之類的有形介質(zhì)上被提供給 所述計(jì)算機(jī)。又或者,可以在專用硬件邏輯中、或使用硬件和軟件元件的 組合來實(shí)現(xiàn)防護(hù)設(shè)備28。防護(hù)設(shè)備可以是一個(gè)獨(dú)立單元,或者它可與其它 通信或計(jì)算設(shè)備集成在一起,所述設(shè)備例如是路由器22、防火墻或入侵檢 測系統(tǒng)(未示出)。在實(shí)際應(yīng)用中,可以用一個(gè)或多個(gè)防護(hù)設(shè)備28來保護(hù)服務(wù)器24的集 群,或者可以用它們來保護(hù)流量被轉(zhuǎn)移到了這些防護(hù)設(shè)備的整個(gè)LAN、內(nèi) 部網(wǎng)或服務(wù)器集合。可以將防護(hù)功能分布到設(shè)在對受保護(hù)區(qū)域30的一個(gè) 或多個(gè)訪問點(diǎn)處的多個(gè)防護(hù)設(shè)備28當(dāng)中。在使用多于一個(gè)防護(hù)設(shè)備的應(yīng) 用中,這些防護(hù)設(shè)備可以共享一個(gè)或多個(gè)公共數(shù)據(jù)存儲(chǔ)庫,或者可以用其 它方式彼此通信,例如執(zhí)行集合統(tǒng)計(jì)分析和/或維護(hù)對受懷疑的惡意分組源 的公共記錄。所述防護(hù)設(shè)備可以部署在與本領(lǐng)域內(nèi)公知的防火墻類似的配 置中。優(yōu)選地,防護(hù)設(shè)備具有足夠的處理能力,使得它們自身不會(huì)在蠕蟲 攻擊時(shí)變?yōu)槠款i。雖然在此針對過濾去往/來自服務(wù)器24的進(jìn)入和/或外出 流量而描述了某些技術(shù),但這些技術(shù)也可以被用來過濾去往/來自其它網(wǎng)絡(luò) 元件26的進(jìn)入和/或外出流量,所述網(wǎng)絡(luò)元件例如是可能被蠕蟲感染的客 戶端計(jì)算機(jī)。路由器22可以包括商業(yè)上可獲得并且普遍用在IP網(wǎng)絡(luò)上的 類型的路由器,或者能夠重定向流量并在其它方面提供路由器通常執(zhí)行的功能的其它網(wǎng)絡(luò)元件。圖2是一個(gè)框圖,其示意性地示出了根據(jù)本發(fā)明一個(gè)實(shí)施例,部署在 屬于因特網(wǎng)服務(wù)提供商(ISP)的網(wǎng)絡(luò)中的受保護(hù)區(qū)域30上的網(wǎng)絡(luò)防護(hù)系統(tǒng)20。受保護(hù)區(qū)域30 —般通過一個(gè)或多個(gè)路由器22與外部網(wǎng)絡(luò)通信,所 述外部網(wǎng)絡(luò)例如是(a)公眾廣域網(wǎng)(WAN) 40,如上所述其一般是因特 網(wǎng),又例如是(b)位于專用或公眾對等點(diǎn)處的其它ISP 42,以及(c)客 戶的網(wǎng)絡(luò)44。受保護(hù)區(qū)域30包括各種網(wǎng)絡(luò)元件26,例如路由器、交換 機(jī)、網(wǎng)橋、服務(wù)器和客戶端。 一個(gè)或多個(gè)防護(hù)設(shè)備28處理來自/去往外部 網(wǎng)絡(luò)的進(jìn)入和/或外出分組。 一般而言,每個(gè)防護(hù)設(shè)備都以"棒棒糖" (lollipop)方式連接到相應(yīng)路由器的多個(gè)端口之一。路由器基于預(yù)先編程 的路由準(zhǔn)則,將某些進(jìn)入和/或外出分組(或者在某些情況下,所有的進(jìn)入 和/或外出分組)傳遞到防護(hù)設(shè)備用于分析。防護(hù)設(shè)備28使用此處所描述 的技術(shù)來分析所述分組,以防止蠕蟲和/或蠕蟲所生成的流量在不同的外部 網(wǎng)絡(luò)間、以及在外部網(wǎng)絡(luò)與網(wǎng)絡(luò)元件26間傳播。盡管在圖1和2中,每個(gè)防護(hù)設(shè)備28都被示出為與單一鄰接路由器 22直接相連,但本領(lǐng)域技術(shù)人員在閱讀了本專利申請之后,將會(huì)很清楚代 替性的配置。例如,在防護(hù)設(shè)備與路由器之間不需要有一對一的對應(yīng)關(guān) 系,并且防護(hù)設(shè)備和路由器例如可以由交換機(jī)分開物理上或網(wǎng)絡(luò)上的距 離。圖3是一個(gè)流程圖,其示意性地示出了根據(jù)本發(fā)明一個(gè)實(shí)施例,用于 檢測蠕蟲所生成的流量的方法。該方法可以被一直執(zhí)行,或者僅在某些時(shí) 間或某些情況下執(zhí)行,這取決于所關(guān)心的防護(hù)設(shè)備和路由器的配置。例 如,所述方法可以在已手動(dòng)或自動(dòng)檢測到壓力條件時(shí)發(fā)起,或者為對流量 進(jìn)行采樣而間斷地發(fā)起。發(fā)起時(shí),在流量轉(zhuǎn)移步驟50將所有類型的流量 或所選擇的類型的流量從路由器22轉(zhuǎn)移到防護(hù)設(shè)備28。優(yōu)選地,僅轉(zhuǎn)移 可能攜帶蠕蟲的類型的流量。例如,響應(yīng)于特定的網(wǎng)絡(luò)配置和條件,可以 僅轉(zhuǎn)移去往與某些應(yīng)用相對應(yīng)的端口的流量(例如,用于HTTP應(yīng)用的端 口 80,或用于FTP的端口 21)。為了使流量的轉(zhuǎn)移最小化,對于一些應(yīng) 用可能僅轉(zhuǎn)移端口 80SYN分組就足夠了,這一轉(zhuǎn)移使得能夠阻止蠕蟲通過在HTTP上運(yùn)行的應(yīng)用的傳播。在本發(fā)明的一些實(shí)施例中,使用以下技術(shù)中的一種或多種來實(shí)現(xiàn)轉(zhuǎn)移 Web緩存控制協(xié)議(WCCP)版本1 (由加利福尼亞州圣何塞的 Cisco Systems公司發(fā)布)可用于將所有端口 80流量無縫地轉(zhuǎn)移到防護(hù)設(shè) 備28。 對于支持WCCP版本2的路由器22,在合適的情況下可以使用更專 門的選擇標(biāo)準(zhǔn)來實(shí)現(xiàn)轉(zhuǎn)移。例如,可以轉(zhuǎn)移所有SYN請求(或者所有去 往端口 80的SYN請求),或者可以僅轉(zhuǎn)移來自特定源IP地址的SYN請 求或其它流量。 Cisco的基于策略的路由(PBR)可用于基于使用訪問控制列表 (ACL)而規(guī)定的標(biāo)準(zhǔn)來改變流量的方向,所述標(biāo)準(zhǔn)例如是目的地端口、 分組類型(例如SYN分組)或接收到流量的接口。 可以通過發(fā)出邊界網(wǎng)關(guān)協(xié)議(BGP)通告,將流量重新路由以從去往 其預(yù)期接受者改為去往防護(hù)設(shè)備28,來實(shí)現(xiàn)轉(zhuǎn)移。還可以使用在上文中引用的美國專利申請公開20020083175中所描述的、 或者本領(lǐng)域內(nèi)公知的其它轉(zhuǎn)移技術(shù),例如用于防火墻的轉(zhuǎn)移技術(shù)。本發(fā)明 的轉(zhuǎn)移技術(shù)可以結(jié)合美國專利申請公開20020083175中所描述的其它轉(zhuǎn)移 技術(shù)來實(shí)現(xiàn)?,F(xiàn)在回到圖3,已經(jīng)轉(zhuǎn)移了流量之后,在分組攔截步驟52,防護(hù)設(shè)備 28攔截所有被轉(zhuǎn)移的分組。在分組分析步驟54,防護(hù)設(shè)備28逐一和/或集 合地分析所攔截的分組,以檢測被懷疑感染了蠕蟲或者是由蠕蟲生成的分 組。這種被感染的分組可能攜帶蠕蟲代碼本身,和/或它們可能是由蠕蟲所 生成、用來掃描以發(fā)現(xiàn)易受感染的服務(wù)器或準(zhǔn)備讓這些服務(wù)器接收蠕蟲代 碼的。此外,被感染的分組(一般而言,主要是外出分組)可能是由參與 DDoS攻擊的被蠕蟲感染的服務(wù)器24所生成的。一般使用以下技術(shù)中的一種或多種來分析分組,這取決于所實(shí)施的特 定警告,或由網(wǎng)絡(luò)管理員確定*對分組的目的地地址進(jìn)行分析,以檢測指示出惡意活動(dòng)的模式。根據(jù)源地址或用子網(wǎng)源地址將分組,并且防護(hù)設(shè)備28執(zhí)行以下分析中的 一種或多種■根據(jù)第一種分析方法,將從同一源或子網(wǎng)源地址去往多個(gè)目的地地址的諸如SYN分組之類的非同尋常的高頻率分組解釋為對蠕 蟲所生成的"掃描"流量的指示。該分析可以排除對諸如代理服 務(wù)器之類在正常情況下顯示出這種行為的源的懷疑,這是通過將 所述源的活動(dòng)與它們所測量到的基準(zhǔn)活動(dòng)(baseline activity)相 比較而實(shí)現(xiàn)的?!龈鶕?jù)第二種分析方法,將來自同一源或子網(wǎng)源的目的地地址的異 常模式解釋為對蠕蟲所生成的流量的指示。例如,所述異常模式 可能對應(yīng)于諸如紅碼或Nimba之類的已知蠕蟲的惡意掃描模式。 或者,所述異常模式可能與蠕蟲已知的或預(yù)料到的行為模式類,根據(jù)第三種分析方法,尋址到無效地址的分組,例如不存在的目 的地分組或沒有服務(wù)器的目的地地址,被認(rèn)為極有可能是蠕蟲所 生成的。,根據(jù)第四種分析方法,去往特定應(yīng)用或端口的非同尋常的高頻率 分組(一般是SYN分組),當(dāng)尋址到不是用于所述特定應(yīng)用或 端口的服務(wù)器的目的地時(shí),被解釋為可能的對蠕蟲所生成的流量 的指示。例如,這種SYN分組可能或者尋址到不是HTTP服務(wù) 器的設(shè)備的端口80,或者尋址到未使用的地址。 ■根據(jù)第五種分析方法,對SYN請求或請求消息的參數(shù)進(jìn)行統(tǒng)計(jì) 分析,以檢測到指示蠕蟲感染的源的行為的模式。例如,這種參 數(shù)可能包括源所使用的序列號(hào)。 ,對單獨(dú)的分組進(jìn)行分析,以檢測已知的蠕蟲的特征。優(yōu)選地,為了有 效地檢査分組,首先對照已知的承載蠕蟲的分組大小,來檢查分組的 大小。通過在消息主體內(nèi)檢查已知的蠕蟲的數(shù)字模式,進(jìn)一步過濾具 有相匹配的大小的分組。已知的蠕蟲的一次出現(xiàn)就足以確定地識(shí)別出 惡意源。,對分組的目的地地址進(jìn)行分析,以檢測無效地址,無效地址可能是對 分組是蠕蟲所生成的指示。例如,因特網(wǎng)IP地址中有許多段是眾所 周知未使用的(例如為測試或組播而預(yù)留的地址)。此外,防護(hù)設(shè)備 可以維護(hù)一個(gè)當(dāng)前未被分配的因特網(wǎng)IP地址的最新列表。而且,如 下文中參照圖5所描述的那樣,被指定為"陷阱"地址的地址已知是 無效的。這些技術(shù)對于檢測進(jìn)入和外出流量中蠕蟲所生成的或承載蠕蟲的流量一般 都是有效的。對于一些應(yīng)用,使用在上文中引用的美國專利申請公開20020083175中所描述的統(tǒng)計(jì)收集和智能學(xué)習(xí)技術(shù),實(shí)現(xiàn)了這些分析技術(shù) 中的一些或全部,并已進(jìn)行了必要的修正。繼續(xù)圖3的方法,在執(zhí)行所述分析之后,在蠕蟲發(fā)現(xiàn)檢查步驟56確 定是否已識(shí)別出感染了蠕蟲的源。如果還未發(fā)現(xiàn)蠕蟲,則在無行動(dòng)步驟 58,防護(hù)設(shè)備對所攔截的分組不采取任何行動(dòng)。另一方面,如果已經(jīng)識(shí)別 出蠕蟲,則在黑名單步驟60,可能是源地址,也可能是子網(wǎng)源地址被添加 到受懷疑的或已知的感染了蠕蟲的源的黑名單上。該黑名單被存儲(chǔ)在諸如 數(shù)據(jù)庫之類的存儲(chǔ)庫中。(或者,基本上任意合適的存儲(chǔ)器設(shè)備和數(shù)據(jù)結(jié) 構(gòu)都可以用來存儲(chǔ)黑名單,不僅僅是數(shù)據(jù)庫。)當(dāng)在區(qū)域30中部署了多 個(gè)防護(hù)設(shè)備時(shí),它們優(yōu)選地但不是必須地共享一個(gè)公共的黑名單,以使得 能夠更徹底地封堵被列入黑名單的源。在將被感染的源添加到黑名單上之后,在警報(bào)生成步驟62,防護(hù)設(shè)備 28 —般生成一個(gè)網(wǎng)絡(luò)管理員警報(bào)和/或日志條目。管理員可以使用這一信 息來采取預(yù)防性或補(bǔ)救性措施。例如,當(dāng)在外出流量中檢測到了蠕蟲 (即,感染受保護(hù)區(qū)域30內(nèi)的服務(wù)器24的蠕蟲)時(shí),管理員可以清理被 感染的服務(wù)器,并安裝適當(dāng)?shù)难a(bǔ)丁以糾正產(chǎn)生了易受感染性的安全缺陷。 在一些情況下,尤其是當(dāng)在進(jìn)入流量中檢測到了蠕蟲時(shí),管理員可能希望 配置路由器22和/或防火墻中的一個(gè)或多個(gè)來直接封堵惡意源,而不使用 防護(hù)設(shè)備28。蠕蟲掃描者(被配置為通過將分組發(fā)送到多個(gè)地址來掃描以發(fā)現(xiàn)易受 感染的服務(wù)器的蠕蟲)有時(shí)使用盜用地址的IP分組,如在上文的"背景技術(shù)"部分中所描述的那樣。結(jié)果,防護(hù)設(shè)備可能確定出某個(gè)源地址感染了 蠕蟲,但實(shí)際上該源地址只是被位于WAN上其它地方的蠕蟲盜用了地址 而已。這樣,防護(hù)設(shè)備就可能在某種情況下錯(cuò)誤地封堵了無辜的未被感染 的客戶端或服務(wù)器的源地址。在本發(fā)明一個(gè)實(shí)施例中,防護(hù)設(shè)備采用反地 址盜用機(jī)制來防止這種錯(cuò)誤的封堵,所述機(jī)制例如是在上述專利申請中所描述的反地址盜用機(jī)制,或者本領(lǐng)域中公知的其它技術(shù),例如SYN小甜 餅(cookie)或RST小甜餅。圖4是一個(gè)流程圖,其示意性地示出了根據(jù)本發(fā)明一個(gè)實(shí)施例,用于 過濾和封堵流量的方法。和參照圖3描述的方法中一樣,根據(jù)防護(hù)設(shè)備28 的配置,此方法發(fā)起于流量轉(zhuǎn)移步驟50。對于一些應(yīng)用,圖4的方法的發(fā) 起與圖3的方法的發(fā)起同時(shí)進(jìn)行?;蛘?,圖4的方法僅在黑名單包含至少 一個(gè)源地址時(shí)發(fā)起。 一般而言,當(dāng)圖3的方法和圖4的方法都已發(fā)起時(shí), 這兩個(gè)方法在并行的過程中運(yùn)行,或者在同一防護(hù)設(shè)備上,或者在不同的 防護(hù)設(shè)備上。 一般而言,在圖3和圖4的兩種方法中所轉(zhuǎn)移的是相同類型 的流量,盡管對于某些應(yīng)用,在圖4的方法中所轉(zhuǎn)移的分組集比圖3的方 法中所轉(zhuǎn)移的更大或更小。轉(zhuǎn)移一般是使用在上文中參照圖3所描述的方 法中的一種或多種來實(shí)現(xiàn)的。在轉(zhuǎn)移了流量之后,在分組攔截步驟52,防護(hù)設(shè)備28攔截所有被轉(zhuǎn) 移的分組。在黑名單查找步驟64,防護(hù)設(shè)備28在黑名單上査找每個(gè)分組 的源地址或子網(wǎng)源地址。在地址檢査步驟66,防護(hù)設(shè)備28確定分組的地 址是否在黑名單上。如果在黑名單上未找到分組地址,則在轉(zhuǎn)發(fā)分組步驟 68,防護(hù)設(shè)備將分組沿其正常路徑轉(zhuǎn)發(fā)到其預(yù)期的目的地地址。另一方面,如果在黑名單上找到了分組的地址,則在封堵步驟70,防 護(hù)設(shè)備28封堵對該分組的進(jìn)一步傳輸。 一般而言,防護(hù)設(shè)備只是丟棄所 封堵的分組,但是,防護(hù)設(shè)備或者也可以分析分組內(nèi)容(甚至可以在發(fā)現(xiàn) 該分組內(nèi)容合法的情況下,采取行動(dòng)以傳遞該分組或?qū)⑵鋸暮诿麊紊先?除)?;蛘?,在步驟70,防護(hù)設(shè)備僅封堵試圖與受保護(hù)區(qū)域之外的服務(wù)器 建立特定類型連接的那些分組。在日志步驟72,防護(hù)設(shè)備一般將對分組的 接收和封堵記成日志。在此步驟生成的日志可以由系統(tǒng)管理員用于報(bào)告或分析。在信息記錄步驟74,防護(hù)設(shè)備還將關(guān)于所封堵的分組的信息添加到 諸如數(shù)據(jù)庫之類的封堵分組存儲(chǔ)庫中。這種信息優(yōu)選地包括對從每個(gè)源地址封堵的分組的數(shù)量的計(jì)數(shù)值。當(dāng)使用多于一個(gè)的防護(hù)設(shè)備28時(shí),這些多個(gè)防護(hù)設(shè)備可以共享一個(gè)公共的封堵分組存儲(chǔ)庫,以允許對封堵模式進(jìn) 行更廣泛的統(tǒng)計(jì)分析。在存儲(chǔ)庫分析步驟76,防護(hù)設(shè)備中的至少一個(gè)連續(xù)或周期性地對封堵 分組存儲(chǔ)庫中的數(shù)據(jù)進(jìn)行分析,以確定來自一個(gè)源或子網(wǎng)源地址的攻擊是 否已終止。在流量消退檢查步驟78,防護(hù)設(shè)備一般通過檢測來自源的流量 是否已消退了一段時(shí)間,來確定出攻擊已經(jīng)終止。如果惡意流量還未消 退,則在"留在黑名單上"步驟80,防護(hù)設(shè)備將該源地址留在黑名單上。 另一方面,如果流量已經(jīng)消退了足夠長的一段時(shí)間,則在"從黑名單上去募 *除"步驟82,防#設(shè)備將所述源地址從黑名單上去除。 一般而言,在管理 員警報(bào)步驟84,當(dāng)將源地址從黑名單上去除時(shí),防護(hù)設(shè)備生成管理員警報(bào) 或日志條目。圖5是一個(gè)流程圖,其示意性地示出了根據(jù)本發(fā)明一個(gè)實(shí)施例,用于 檢測蠕蟲所生成的流量的另一種方法。此方法可被用作單獨(dú)的檢測方法, 或者可以與其它檢測方法結(jié)合使用,所述其它方法例如是在上文中參照圖3描述的檢測方法??梢杂脠D4的方法來過濾和封堵來自由圖5的方法添 加到黑名單上的源地址的流量。或者,可以使用其它方法來過濾和封堵來自由圖5的方法識(shí)別出的源的流量。在此方法中,在設(shè)置陷阱步驟90,將分配給受保護(hù)區(qū)域30 (圖1和 2)的一組網(wǎng)絡(luò)地址(例如IP地址)指定為"陷阱"地址。所述陷阱地址 是由WAN 40路由到路由器22的地址,但不被設(shè)備26中的任何設(shè)備所使 用。這樣,尋址到這些陷阱地址的任何流量都被認(rèn)為是可疑的。路由器22 被配置為在轉(zhuǎn)移步驟92將尋址到陷阱地址的流量轉(zhuǎn)移到防護(hù)設(shè)備28中的 至少一個(gè)。 一般而言,轉(zhuǎn)移是通過靜態(tài)地配置路由器以將具有這些目的地 地址的所有流量都轉(zhuǎn)移到防護(hù)設(shè)備來實(shí)現(xiàn)的。或者,也可以使用其它轉(zhuǎn)移 方法,如上文中參照圖3所描述的那樣。當(dāng)一個(gè)尋址到陷阱地址的分組進(jìn)入受保護(hù)區(qū)域30時(shí),在路由器接收步驟94,該分組被路由器22之一所接收。在轉(zhuǎn)發(fā)步驟96,該路由器將所 述分組轉(zhuǎn)發(fā)到防護(hù)設(shè)備。在分析步驟98,防護(hù)設(shè)備對所述分組進(jìn)行分析, 以確定其是否指示蠕蟲活動(dòng)。例如,防護(hù)設(shè)備可以對接收自同一源或子網(wǎng) 源地址的分組進(jìn)行統(tǒng)計(jì)分析,這一分析是使用關(guān)于剛接收到的分組的信 息、并結(jié)合關(guān)于記錄在統(tǒng)計(jì)存儲(chǔ)庫中的先前接收到的分組的信息而進(jìn)行 的,如下文參照步驟102而描述的那樣。根據(jù)一種用于檢測蠕蟲掃描者所 生成的流量的方法,將從單一源或子網(wǎng)源地址發(fā)送到陷阱地址的非同尋常 的大數(shù)量或高頻率分組解釋為對蠕蟲活動(dòng)的指示。代替性地或者附加性 地,可以使用以上參照圖3的分組分析步驟54而描述的蠕蟲檢測方法中 的一種或多種,來檢測蠕蟲掃描者和/或參與DDoS攻擊的蠕蟲所生成的流在進(jìn)行分析之后,在蠕蟲發(fā)現(xiàn)檢査步驟100確定是否己識(shí)別出感染了 蠕蟲的源。如果還未發(fā)現(xiàn)蠕蟲,則在無行動(dòng)步驟102,防護(hù)設(shè)備不對陷入 分組采取任何行動(dòng)。另一方面,如果己識(shí)別出蠕蟲,則在黑名單步驟 104,以類似于以上參照圖3中的步驟60所描述的類似的方式,可能是源 地址,也可能是子網(wǎng)源地址被添加到受懷疑的或己知的感染了蠕蟲的源的 黑名單上。對于結(jié)合利用了圖3和圖5的檢測方法的應(yīng)用,可以將被感染 的源地址存儲(chǔ)在公共黑名單上。或者,當(dāng)已識(shí)別出蠕蟲時(shí),不是將源地址添加到黑名單上,而是防護(hù) 設(shè)備開始將來自該源地址的流量轉(zhuǎn)移到一個(gè)或多個(gè)防護(hù)設(shè)備以用于過濾, 但不一定封堵。代替性地或者附加性地,當(dāng)己識(shí)別出蠕蟲時(shí),防護(hù)設(shè)備開 始將所有進(jìn)入網(wǎng)絡(luò)的受保護(hù)區(qū)域的流量(包括來自被感染的源地址以外的 地址的流量)都轉(zhuǎn)移到一個(gè)或多個(gè)防護(hù)設(shè)備,以用于過濾或者可能用于封 堵。在將被感染的源添加到黑名單上或者轉(zhuǎn)移流量之后,在警報(bào)生成步驟 106,防護(hù)設(shè)備28—般生成網(wǎng)絡(luò)管理員警報(bào)和/或日志條目。管理員可以使 用此信息來采取預(yù)防性或補(bǔ)救性步驟,例如在上文中參照圖3的步驟62 而描述的那些步驟。雖然在此描述的實(shí)施例參照了特定的通信協(xié)議和慣例,但本發(fā)明的原理可以類似地應(yīng)用于其它數(shù)據(jù)通信上下文中。例如,此處所描述的技術(shù)可 以應(yīng)用于防御通過SMTP發(fā)送的蠕蟲生成流量。從而應(yīng)該意識(shí)到,以上所描述的實(shí)施例是示例性地引用的,并且本發(fā) 明不限于在上文中具體示出和描述的那些內(nèi)容。確切地說,本發(fā)明的范圍 包括上文中所描述的各種特征的組合和子組合,以及本領(lǐng)域技術(shù)人員在閱 讀前面的描述時(shí)將會(huì)想到的、未在現(xiàn)有技術(shù)中公開的其變化和修改。
      權(quán)利要求
      1.一種用于分析基于分組的通信流量的方法,包括接收從源地址通過網(wǎng)絡(luò)發(fā)送、并分別尋址到多個(gè)目的地地址的多個(gè)數(shù)據(jù)分組;確定所述數(shù)據(jù)分組從所述源地址向所述多個(gè)目的地地址發(fā)送的頻率;以及響應(yīng)于所述頻率,將所述源地址指出為惡意流量源。
      2. 如權(quán)利要求1所述的方法,其中,接收所述數(shù)據(jù)分組包括接收傳輸控制協(xié)議SYN分組。
      3. 如權(quán)利要求1所述的方法,其中,指出所述源地址包括將所述源地址指出為蠕蟲生成流量的生成者。
      4. 如權(quán)利要求1所述的方法,其屮,接收所述數(shù)據(jù)分組包括接收分別 具有端口指定的因特網(wǎng)協(xié)議分組,并且其中,確定所述頻率包括確定下述 數(shù)據(jù)分組的發(fā)送頻率,所述數(shù)據(jù)分組各自的端口指定不對應(yīng)于在所述目的 地地址處運(yùn)行的應(yīng)用。
      5. 如權(quán)利要求1所述的方法,其中,確定所述頻率包括確定尋址到用 于某個(gè)應(yīng)用的服務(wù)器所駐留的目的地地址的數(shù)據(jù)分組的發(fā)送頻率,所述應(yīng) 用不同于所述分組中所指明的應(yīng)用。
      6. —種用于分析基于分組的通信流量的裝置,包括防護(hù)設(shè)備,該防護(hù)設(shè)備適于執(zhí)行以下操作接收從源地址通過網(wǎng)絡(luò)發(fā)送、并分別尋址到多個(gè)目的地地址的多個(gè)數(shù)據(jù)分組;確定所述數(shù)據(jù)分組從所述源地址向所述多個(gè) 目的地地址發(fā)送的頻率;以及響應(yīng)于所述頻率,將所述源地址指出為惡意流量源。
      7. 如權(quán)利要求6所述的裝置,其中,所述數(shù)據(jù)分組包括傳輸控制協(xié)議 SYN分組。
      8. 如權(quán)利要求6所述的裝置,其中,所述防護(hù)設(shè)備適于將所述源地址 指出為蠕蟲生成流量的生成者。
      9. 如權(quán)利要求6所述的裝置,其中,所述數(shù)據(jù)分組包括分別具有端口指定的因特網(wǎng)協(xié)議分組,并且其中,所述防護(hù)設(shè)備適于確定下述數(shù)據(jù)分組 的發(fā)送頻率,所述數(shù)據(jù)分組各自的端口指定不對應(yīng)于在所述目的地地址處 運(yùn)行的應(yīng)用,以確定所述數(shù)據(jù)分組是否代表惡意流量。
      10.如權(quán)利要求6所述的裝置,其中,所述防護(hù)設(shè)備適于確定尋址到 用于某個(gè)應(yīng)用的服務(wù)器所駐留的目的地地址的數(shù)據(jù)分組的發(fā)送頻率,所述 應(yīng)用不同于所述分組中所指明的應(yīng)用,以確定所述數(shù)據(jù)分組是否代表惡意
      全文摘要
      本發(fā)明公開了一種用于過濾基于分組的通信流量的方法。至少接收從源地址通過網(wǎng)絡(luò)向目的地地址發(fā)送的第一數(shù)據(jù)分組。通過對所述第一數(shù)分組進(jìn)行分析,確定所述第一數(shù)據(jù)分組是由蠕蟲生成的。響應(yīng)于所述確定,封堵從所述源地址通過所述網(wǎng)絡(luò)發(fā)送的第二數(shù)據(jù)分組。
      文檔編號(hào)G06F11/30GK101242415SQ20081008090
      公開日2008年8月13日 申請日期2002年12月10日 優(yōu)先權(quán)日2001年12月10日
      發(fā)明者丹·圖伊圖, 拉菲·扎迪卡里奧, 耶胡達(dá)·埃菲克, 阿納·布雷姆列爾巴爾 申請人:思科技術(shù)公司
      網(wǎng)友詢問留言 已有0條留言
      • 還沒有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
      1