国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

  • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>
      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>

      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>

      應(yīng)用層入口過濾的制作方法

      文檔序號(hào):7969093閱讀:302來源:國知局
      專利名稱:應(yīng)用層入口過濾的制作方法
      技術(shù)領(lǐng)域
      本申請(qǐng)涉及通信網(wǎng)絡(luò),并且特別涉及應(yīng)用層入口過濾。
      背景技術(shù)
      在以計(jì)算機(jī)網(wǎng)絡(luò)作為實(shí)體內(nèi)部和實(shí)體之間通信與業(yè)務(wù)的關(guān)鍵單元的世界中,IP網(wǎng)絡(luò)的可靠性和安全性是必不可少的。最初的互聯(lián)網(wǎng)協(xié)議是在系統(tǒng)用戶為了嚴(yán)格合法的目的連接到網(wǎng)絡(luò)的基礎(chǔ)上設(shè)計(jì)的,結(jié)果,那時(shí)沒有對(duì)安全問題給予特別的考慮。然而近年來,通信網(wǎng)絡(luò)上惡意攻擊的發(fā)生頻率已經(jīng)增長到令人擔(dān)憂的比例。
      在目前已知的各種惡意攻擊中,拒絕服務(wù)(DoS)攻擊經(jīng)常導(dǎo)致目標(biāo)服務(wù)的完全中斷。DoS攻擊會(huì)通過拒絕電子商務(wù)提供商對(duì)其客戶服務(wù)的能力特別危害到電子商務(wù)提供商,這導(dǎo)致銷售量以及廣告收入的損失;顧客可能還會(huì)尋求有競爭力的可選提供商(Amazon、E*Trade和eBay就在最近的受害者之中)。DoS攻擊可以采取多種形式。有些涉及使用被設(shè)計(jì)為利用軟件中漏洞的特別構(gòu)造的數(shù)據(jù)包。其它類型的DoS攻擊則以占用設(shè)備內(nèi)的資源為目的而設(shè)計(jì)。因此,攻擊者可以用大量的流量來對(duì)受害網(wǎng)絡(luò)或服務(wù)器進(jìn)行洪水式攻擊,從而消耗如帶寬、CPU容量等的重要系統(tǒng)資源。例如,廣泛傳播的傳輸控制協(xié)議(TCP)層軟件使用緩存器來處理用于建立通信會(huì)話的消息的握手交換。每個(gè)連接請(qǐng)求都消耗分配給這些緩存器的有限存儲(chǔ)空間的一部分。在短時(shí)間內(nèi)收到的大量連接請(qǐng)求將消耗掉所分配的存儲(chǔ)空間,從而使得系統(tǒng)不能對(duì)合法的請(qǐng)求做出響應(yīng),并且可能導(dǎo)致系統(tǒng)由于緩存器過載而崩潰。
      分布式DoS(DdoS)攻擊甚至可能更具破壞性,由于其涉及制造同時(shí)來自多個(gè)源的虛假網(wǎng)絡(luò)流量。所述惡意流量可以從來自被攻擊者“挾持”或暗中破壞了的終端的網(wǎng)絡(luò)上的多個(gè)點(diǎn)同時(shí)產(chǎn)生。DDoS的一種顯著形式是接入鏈路洪水式攻擊,其當(dāng)惡意方在將企業(yè)的邊緣網(wǎng)絡(luò)連接公共互聯(lián)網(wǎng)的接入鏈路上引導(dǎo)虛假分組流量時(shí)發(fā)生。當(dāng)對(duì)準(zhǔn)受害邊緣網(wǎng)絡(luò)時(shí),該洪水式流量會(huì)淹沒接入鏈路,并從運(yùn)行在該接入鏈路上的VPN隧道侵占接入鏈路帶寬。同樣地,所述攻擊會(huì)導(dǎo)致VPN服務(wù)的部分或全部拒絕,并中斷依賴于該服務(wù)的任意關(guān)鍵任務(wù)應(yīng)用的運(yùn)行。
      運(yùn)行在OSI傳輸層(L4)上的傳輸控制協(xié)議(TCP)處理基礎(chǔ)級(jí)的可靠性和數(shù)據(jù)傳輸,包括流控制、差錯(cuò)處理,以及與分組的傳輸和接收相關(guān)的問題。傳輸分組包括來自用戶的數(shù)據(jù)和網(wǎng)絡(luò)為將該數(shù)據(jù)從源傳輸?shù)侥康牡匦枰乃行畔?;同樣地,分組包括發(fā)起者(IP源地址)以及預(yù)期的接收者的地址(IP目標(biāo)地址)。為了隱藏攻擊的來源,或者為了使得攻擊顯著有效,攻擊者一般通過偽造具有虛假源身份的惡意分組來隱藏(欺騙)該惡意分組的真實(shí)來源。這常常會(huì)使得攻擊緩解技術(shù)失效。
      所述IP源地址并不是攻擊者的唯一源信息。發(fā)送者的真實(shí)身份和給定數(shù)據(jù)流的源(這里稱為“源身份”)都在應(yīng)用層上IP分組的有效載荷中傳輸。典型地,這些第5/7層協(xié)議使用網(wǎng)絡(luò)身份(IP地址或域名)加上一些本地唯一前綴作為實(shí)體標(biāo)識(shí)符,例如aaln/2@rgw2.whatever.net或sipjohndoe@192.168.0.1。該信息被合法地用于選路目的、NAT穿越、用戶或請(qǐng)求發(fā)起者的身份鑒定等。然而,攻擊者還可以同時(shí)欺騙應(yīng)用層分組的IP地址和域名,這里用術(shù)語稱為“身份欺騙”,或者“應(yīng)用層攻擊”。
      現(xiàn)有的第2/3層上過濾惡意分組和幀的安全機(jī)制對(duì)第5/7層上僅影響協(xié)議感知應(yīng)用的身份欺騙是無效的。為防止或檢測身份欺騙的傳統(tǒng)方法包括應(yīng)用級(jí)端點(diǎn)認(rèn)證(IETF RFC 3015中Megaco協(xié)議中的AH,或IETFRFC 3261中會(huì)話發(fā)起協(xié)議中的摘要認(rèn)證);在靠近源的地方使用IP反欺騙機(jī)制,例如具有入口/出口過濾的DHCP監(jiān)聽(IETF RFC 2827);以及對(duì)第3層與第5/7層身份認(rèn)證信息之間的對(duì)應(yīng)關(guān)系的鑒定。
      然而,當(dāng)前可用的解決方案是不完善,原因是它們使用專用的解決方案,并且這些解決方案通常是具有特定威脅的。上面確定的解決方案的每一個(gè)在適用性、性能或其可以緩解或檢測到攻擊類型方面都各有其局限性。此外,可能產(chǎn)生虛假的肯定作為對(duì)第3層與第5/7層身份間的身份對(duì)應(yīng)關(guān)系鑒定的結(jié)果;僅僅L3與L5/7數(shù)據(jù)之間具有差異性的事實(shí),并不總能夠作為惡意欺騙的標(biāo)記。這是因?yàn)椋捎谥虚g網(wǎng)絡(luò)實(shí)體干擾或用戶的移動(dòng)性支持,L3身份間的映射可以合理地不同于L5/7身份。
      一種更一般的方法是驗(yàn)證預(yù)期的協(xié)議行為,該方法通常被稱為“協(xié)議異常檢測”。通過該方法,對(duì)于協(xié)議規(guī)范的依從和使用該協(xié)議的方法都受到控制。一旦檢測到與預(yù)期行為的背離,則發(fā)出警報(bào)。這些能力被集成到了Check Point FW-1 NG、Juniper NetScreen-IDP和一些其它侵入檢測系統(tǒng)中。然而,對(duì)非預(yù)期行為的檢測意味著對(duì)獨(dú)立流的協(xié)議消息交換的監(jiān)控和/或收集統(tǒng)計(jì)信息。在第一種情況下,每個(gè)流的第一個(gè)偽造分組不管怎樣都必須到達(dá)接收方,并且由此攻擊者達(dá)到他/她的目標(biāo)。在第二種情況下,基于統(tǒng)計(jì)的判決并不識(shí)別獨(dú)立的惡意流,而是簡單地檢測給定的時(shí)間段內(nèi)的異常行為,其中所述異常行為并不總是指示惡意攻擊。
      同樣已知可以使用應(yīng)用級(jí)認(rèn)證。例如,Wi-Fi保護(hù)接入(WPA)標(biāo)準(zhǔn)是為改進(jìn)有線等價(jià)協(xié)議(WEP)的安全特性而設(shè)計(jì)的,其中所述有線等價(jià)協(xié)議(WEP)的安全機(jī)制由802.11標(biāo)準(zhǔn)規(guī)范。因此,WPA包括兩個(gè)基于WEP的改進(jìn),即使用臨時(shí)密鑰完整性協(xié)議(TKIP)的數(shù)據(jù)加密,以及使用可擴(kuò)展認(rèn)證協(xié)議(EAP)的用戶認(rèn)證。然而,由于性能的影響和認(rèn)證密鑰管理的負(fù)擔(dān),運(yùn)營商一般不愿意使用該類認(rèn)證,或者不愿意將其用于每個(gè)協(xié)議消息類型。此外,所述認(rèn)證機(jī)制不是諸如MGCP的某些協(xié)議的固有部分。
      需要提供這樣一種應(yīng)用級(jí)安全機(jī)制,該機(jī)制實(shí)現(xiàn)了對(duì)一類DoS攻擊的緩解,所述DoS攻擊通過使用在應(yīng)用層將其偽造成來自各個(gè)網(wǎng)絡(luò)中的合法主機(jī)的分組把給定服務(wù)提供商的網(wǎng)絡(luò)基礎(chǔ)設(shè)施作為目標(biāo)。
      還需要提供一種用于緩解DoS攻擊的應(yīng)用層安全機(jī)制,該機(jī)制不依賴于由其他服務(wù)提供商提供的反欺騙解決方案的部署。

      發(fā)明內(nèi)容
      本發(fā)明的目的是提供一種應(yīng)用層安全機(jī)制,該機(jī)制全部或部分地緩解當(dāng)前使用的這些機(jī)制的缺陷。
      相應(yīng)地,本發(fā)明提供一種用于緩解拒絕服務(wù)(DoS)攻擊的方法,所述拒絕服務(wù)(DoS)攻擊針對(duì)通信網(wǎng)絡(luò)的服務(wù)提供商(SP)域內(nèi)的實(shí)體,該方法包括維護(hù)具有所述SP域中每個(gè)合法實(shí)體的身份數(shù)據(jù)的列表,其中,所述身份數(shù)據(jù)包括各個(gè)實(shí)體的L5/7身份;識(shí)別由入口協(xié)議數(shù)據(jù)單元(PDU)使用的協(xié)議,所述入口協(xié)議數(shù)據(jù)單元(PDU)是在所述SP域邊界單元處從所述SP域外部的源的接收的;檢查所述PDU的應(yīng)用層有效載荷,以提取出所述源的源身份數(shù)據(jù),其中,所述源身份數(shù)據(jù)包括所述源的L5/7身份;以及,對(duì)照所述列表中的所有身份數(shù)據(jù)驗(yàn)證所述源身份數(shù)據(jù)。
      本發(fā)明還提供一種用于緩解拒絕服務(wù)(DoS)攻擊的系統(tǒng),所述拒絕服務(wù)(DoS)攻擊針對(duì)通信網(wǎng)絡(luò)的服務(wù)提供商(SP)域內(nèi)的實(shí)體,該系統(tǒng)包括連接在所述SP域邊緣的邊界單元,用于識(shí)別由入口協(xié)議數(shù)據(jù)單元(PDU)使用的協(xié)議,所述入口協(xié)議數(shù)據(jù)單元(PDU)是在所述SP域邊界單元處從所述SP域外部的源的接收的,并且驗(yàn)證所述源的源身份數(shù)據(jù);以及協(xié)議/代理控制功能單元(PPCF),如果所述源身份數(shù)據(jù)識(shí)別所述源為不合法的,則該單元基于所述源身份數(shù)據(jù),對(duì)所述PDU應(yīng)用安全策略,其中,所述身份數(shù)據(jù)在應(yīng)用層有效載荷中被傳輸,所述應(yīng)用層有效載荷是根據(jù)由所述入口PDU使用的協(xié)議形成的。
      檢測和緩解對(duì)網(wǎng)絡(luò)基礎(chǔ)設(shè)施的DoS攻擊的能力對(duì)運(yùn)營商和網(wǎng)絡(luò)服務(wù)提供商具有重大價(jià)值。有利地,本發(fā)明的解決方案實(shí)現(xiàn)了對(duì)這樣一類DoS攻擊的緩解,所述DoS攻擊通過使用在應(yīng)用層將其偽造成是來自服務(wù)提供商網(wǎng)絡(luò)中的網(wǎng)絡(luò)節(jié)點(diǎn)的分組把給定服務(wù)提供商的網(wǎng)絡(luò)基礎(chǔ)設(shè)施作為目標(biāo)。由于服務(wù)提供商網(wǎng)絡(luò)節(jié)點(diǎn)的節(jié)點(diǎn)身份是已知的,并且其數(shù)量有限,因此所述驗(yàn)證是快速的,并且不會(huì)影響網(wǎng)絡(luò)性能。
      本發(fā)明的另一優(yōu)點(diǎn)在于,其不依賴于由其他服務(wù)提供商提供的IP反欺騙機(jī)制的部署。
      此外,由本發(fā)明提出的解決方案不考慮第2/3層數(shù)據(jù)(例如VLAN標(biāo)簽或源IP地址),并且因此其要在具有網(wǎng)絡(luò)地址解析(NAT)或者各個(gè)網(wǎng)絡(luò)提供商域外的代理服務(wù)器的情況下工作。


      從下面對(duì)如附圖中所示的優(yōu)選實(shí)施例的更詳細(xì)描述中,本發(fā)明的前述和其它目的、特征和優(yōu)點(diǎn)將變得顯而易見,其中-圖1示出了L5/7DoS攻擊場景中的主要實(shí)體;-圖2示出了根據(jù)本發(fā)明的應(yīng)用層入口過濾解決方案;具體實(shí)施方式
      本發(fā)明涉及到對(duì)進(jìn)入指定域的流的應(yīng)用層入口過濾,其擴(kuò)展了如IETFRFC 2827的“Network Ingress FilteringDefeating Denial of ServiceAttacks which employ IP Source Address Spoofing”所定義的僅基于IP報(bào)頭的普通入口過濾。
      圖1描述了針對(duì)可能的攻擊場景的主要實(shí)體和通信鏈路,其中,攻擊者在服務(wù)提供商(SP)網(wǎng)絡(luò)/域外部。本例中,服務(wù)提供商域B中一個(gè)或更多節(jié)點(diǎn)11、13被位于域A中的攻擊者22設(shè)為目標(biāo),域B一般代表用于從各自的SP獲得特定通信服務(wù)的域B中的任意網(wǎng)絡(luò)/實(shí)體。域A一般代表域B外部的數(shù)據(jù)分組的任何其它合法和/或不合法的源。更寬泛地說,域A是指可能向SP發(fā)起服務(wù)請(qǐng)求的除域B之外的通信環(huán)境。還應(yīng)當(dāng)指出,本發(fā)明可以用于任何類型的協(xié)議數(shù)據(jù)單元(PDU)或數(shù)據(jù)報(bào),在一般意義上使用本說明書中的術(shù)語“分組”。
      如上面所討論的,攻擊者的目標(biāo)可以不同。例如,攻擊者可以試圖通過用不相關(guān)的流量對(duì)網(wǎng)絡(luò)基礎(chǔ)設(shè)施或者終端用戶進(jìn)行洪水式攻擊來完成DoS。其還可以試圖通過成功偽裝成合法的終端用戶來從SP處非法獲得服務(wù)(盜取服務(wù))。其它類型的攻擊可能以獲悉注冊的終端用戶(SP網(wǎng)絡(luò)的合法用戶)的身份為目標(biāo)來進(jìn)行。應(yīng)用級(jí)攻擊的目標(biāo)可能是遞送目標(biāo)服務(wù)的協(xié)議/代理控制功能單元(PPCF)自身,或者任意其它網(wǎng)絡(luò)節(jié)點(diǎn)11、13。
      根據(jù)本發(fā)明,協(xié)議感知邊界單元5連接在SP域B的邊緣。域A中的例如合法用戶21和惡意攻擊者22的任何實(shí)體,都必須通過協(xié)議感知邊界單元5接入到B域中,以請(qǐng)求使用或獲得由SP提供的服務(wù)。邊界單元5裝備有協(xié)議檢測單元10和身份檢測與驗(yàn)證單元15。協(xié)議檢測單元10維護(hù)具有被SP認(rèn)可的所有L5/7協(xié)議的列表的數(shù)據(jù)庫20,其被用于確定到來的分組的協(xié)議類型。所述協(xié)議列表通過添加各個(gè)SP感興趣的任何L5/7協(xié)議和各個(gè)協(xié)議更新而被更新。協(xié)議檢測單元10能同時(shí)考慮多個(gè)協(xié)議,因此協(xié)議檢測非??臁?br> ID檢測與驗(yàn)證單元15根據(jù)由單元10檢測到的各個(gè)協(xié)議,從到來的分組中提取出包含在分組應(yīng)用有效載荷(也就是所述IP分組的有效載荷)中的身份。ID檢測與驗(yàn)證單元15維護(hù)具有可以向域B中的實(shí)體傳輸分組的所有合法實(shí)體的數(shù)據(jù)庫30,其使用該數(shù)據(jù)庫來驗(yàn)證到來分組的源身份是否合法。如果各個(gè)分組包含不遵從PPCF策略的源身份(例如,沒有注冊為漫游節(jié)點(diǎn)的B域節(jié)點(diǎn)的節(jié)點(diǎn)身份),則單元15將到來的分組識(shí)別為惡意的。
      從服務(wù)提供商的角度來看,攻擊者可能使用不僅來自域B而還來自其它任何域的欺騙身份。在后一種情況下,服務(wù)提供商不得不與其它提供商以及域所有者建立信任關(guān)系,并依靠他們的努力來收集并維護(hù)數(shù)據(jù)庫30中的身份是最新的,以實(shí)現(xiàn)對(duì)發(fā)送者的真實(shí)性的驗(yàn)證。因此,如果數(shù)據(jù)庫30支持該功能,則單元15可以還識(shí)別源標(biāo)識(shí)符屬于域A的合法實(shí)體的、來自域A的合法分組。此外,單元15可以還被實(shí)現(xiàn)為識(shí)別被允許漫游的B域的實(shí)體,因此它將把來自所述移動(dòng)實(shí)體的分組認(rèn)為是合法的。
      數(shù)據(jù)庫30存儲(chǔ)合法的源地址以及由SP服務(wù)的所有節(jié)點(diǎn)的IP地址。它還可以包含通常與域B中實(shí)體通信的域B外合法端點(diǎn)的源身份,和/或關(guān)于哪些節(jié)點(diǎn)被允許在域B外漫游的信息。假設(shè)包含在數(shù)據(jù)庫30中的列表被保持為最新,并且可以被信賴。
      此外,PPCF 25保護(hù)網(wǎng)絡(luò)免受由單元15檢測到的未授權(quán)的(非法的)使用。PPCF 25可以例如是專用服務(wù)器、信令網(wǎng)關(guān)、媒體網(wǎng)關(guān)等等。還應(yīng)當(dāng)指出,邊界單元5、PPCF 25以及所述網(wǎng)絡(luò)節(jié)點(diǎn)的一些可以位于同一平臺(tái)上。然而,它們代表不同的功能實(shí)體。
      圖2示出了屬于作為所提出的解決方案的核心的驗(yàn)證過程和數(shù)據(jù)。在本例中,到來的分組是從圖1中的實(shí)體21接收到的P21,以及從實(shí)體22接收到的P22。當(dāng)?shù)絹淼姆纸M被識(shí)別為與感興趣的應(yīng)用協(xié)議相關(guān)之后,邊界單元5確定哪個(gè)域?qū)S眯畔⒈桓鱾€(gè)應(yīng)用使用以形成源身份。接下來,與特定應(yīng)用相關(guān)的身份被從所述分組應(yīng)用有效載荷中提取出來,并對(duì)照存儲(chǔ)在數(shù)據(jù)庫30中的合法身份對(duì)其進(jìn)行驗(yàn)證。假設(shè)來自分組P21的源身份為k.l.m.n,并且IP源地址和IP目的地址分別為a.b.c.d源端口和x.y.x.0目的端口,而從分組P22提取出的源身份為x.y.z.2,并且IP源地址和IP目的地址分別為e.f.g.h源端口和x.y.x.0目的端口。
      邊界單元5然后驗(yàn)證域B中的實(shí)體的任一個(gè)是否具有源身份k.l.m.n或x.y.z.2,并確定節(jié)點(diǎn)13使用所述身份x.y.z.2。這意味著來自實(shí)體22的分組是惡意分組,并且將由PPCF 25對(duì)其進(jìn)行指定安全策略的處理(可能的動(dòng)作拒絕、速率限制、延遲等)。另一方面,分組P21被認(rèn)為是合法的,因?yàn)樵礃?biāo)識(shí)符k.l.m.n不在數(shù)據(jù)庫30中。如果一些域B實(shí)體被允許漫游,則從應(yīng)用有效載荷中提取出的源身份將與被允許漫游的服務(wù)B域中的所有注冊網(wǎng)絡(luò)節(jié)點(diǎn)作比較。
      這里所提出的方法并不是通用的,并且其僅對(duì)特定范圍的DoS攻擊有效。當(dāng)分組的有效載荷并不聲稱是來自某服務(wù)域的時(shí)候,其不能阻止對(duì)該服務(wù)的攻擊。
      權(quán)利要求
      1.一種用于緩解拒絕服務(wù)攻擊的方法,所述拒絕服務(wù)攻擊針對(duì)通信網(wǎng)絡(luò)中服務(wù)提供商域內(nèi)的實(shí)體,該方法包括維護(hù)具有所述服務(wù)提供商域中每個(gè)合法實(shí)體的身份數(shù)據(jù)的列表,其中,所述身份數(shù)據(jù)包括各個(gè)實(shí)體的L5/7身份;識(shí)別由入口協(xié)議數(shù)據(jù)單元使用的協(xié)議,所述入口協(xié)議數(shù)據(jù)單元是在所述服務(wù)提供商域的邊界單元處從所述服務(wù)提供商域外部的源接收到的;檢查所述協(xié)議數(shù)據(jù)單元的應(yīng)用層有效載荷,以提取所述源的源身份數(shù)據(jù),其中所述源身份數(shù)據(jù)包括所述源的L5/7身份;以及對(duì)照所述列表中的所有身份數(shù)據(jù)驗(yàn)證所述源身份數(shù)據(jù)。
      2.根據(jù)權(quán)利要求1的方法,其中,所述識(shí)別步驟包括確定哪個(gè)域特定信息被相應(yīng)協(xié)議使用以形成所述源身份數(shù)據(jù)。
      3.根據(jù)權(quán)利要求1的方法,還包括,如果所述源身份數(shù)據(jù)在所述列表中被找到,則對(duì)所述協(xié)議數(shù)據(jù)單元應(yīng)用安全策略。
      4.根據(jù)權(quán)利要求1的方法,其中,所述列表還包括在所述服務(wù)提供商域外部并且通常與所述服務(wù)提供商域中的實(shí)體通信的任意合法源的身份數(shù)據(jù)。
      5.根據(jù)權(quán)利要求1的方法,其中,所述列表識(shí)別被允許在所述域外漫游的所述服務(wù)提供商域中的實(shí)體。
      6.根據(jù)權(quán)利要求5的方法,進(jìn)一步包括,如果所述源身份在所述列表中被找到,并且如果所述源身份不對(duì)應(yīng)于被允許在所述域外漫游的所述服務(wù)提供商域內(nèi)的實(shí)體,則對(duì)所述協(xié)議數(shù)據(jù)單元使用安全策略。
      7.根據(jù)權(quán)利要求1的方法,其中,所述身份數(shù)據(jù)在所述應(yīng)用層有效載荷中被傳輸,所述應(yīng)用層有效載荷是根據(jù)由所述入口協(xié)議數(shù)據(jù)單元使用的協(xié)議形成的。
      8.根據(jù)權(quán)利要求1的方法,其中,所述邊界單元還維護(hù)具有所述服務(wù)提供商中可用的所有L5/7協(xié)議的協(xié)議數(shù)據(jù)庫,所述協(xié)議數(shù)據(jù)庫用于確定所述協(xié)議數(shù)據(jù)單元的協(xié)議類型。
      9.根據(jù)權(quán)利要求8的方法,還包括通過將感興趣的任意新L5/7協(xié)議添加到所述服務(wù)提供商域的合法實(shí)體中來更新所述協(xié)議數(shù)據(jù)庫。
      10.根據(jù)權(quán)利要求1的方法,其中,所述邊界單元通過同時(shí)考慮同時(shí)來自所述協(xié)議數(shù)據(jù)庫中的多個(gè)協(xié)議來識(shí)別由所述協(xié)議數(shù)據(jù)單元使用的協(xié)議。
      11.一種用于緩解拒絕服務(wù)攻擊的系統(tǒng),所述拒絕服務(wù)攻擊針對(duì)通信網(wǎng)絡(luò)中服務(wù)提供商域內(nèi)的實(shí)體,該系統(tǒng)包括連接在所述服務(wù)提供商域的邊緣的邊界單元,用于識(shí)別由入口協(xié)議數(shù)據(jù)單元使用的協(xié)議,所述入口協(xié)議數(shù)據(jù)單元是從所述服務(wù)提供商域外部的源接收到的,并且用于驗(yàn)證所述源的源身份數(shù)據(jù);以及協(xié)議/代理控制功能單元(PPCF),如果所述源身份數(shù)據(jù)識(shí)別所述源為不合法的,則該功能單元基于所述源身份數(shù)據(jù),對(duì)所述協(xié)議數(shù)據(jù)單元應(yīng)用安全策略,其中,所述身份數(shù)據(jù)在應(yīng)用層有效載荷中被傳輸,所述應(yīng)用層有效載荷是根據(jù)由所述入口協(xié)議數(shù)據(jù)單元使用的協(xié)議形成的。
      12.根據(jù)權(quán)利要求11的系統(tǒng),其中,所述邊界單元包括用于維護(hù)列表的第一數(shù)據(jù)庫,所述列表具有所述服務(wù)提供商域中的所有合法實(shí)體的身份數(shù)據(jù),其中,所述身份數(shù)據(jù)包括各個(gè)實(shí)體的L5/7身份;具有所述服務(wù)提供商域中可用的所有L5/7協(xié)議的第二數(shù)據(jù)庫;協(xié)議檢測單元,用于通過使用所述第二數(shù)據(jù)庫來識(shí)別由所述入口協(xié)議數(shù)據(jù)單元使用的協(xié)議;以及身份識(shí)別與驗(yàn)證單元,用于檢查所述協(xié)議數(shù)據(jù)單元的應(yīng)用層有效載荷,以確定產(chǎn)生所述協(xié)議數(shù)據(jù)單元的所述源的源身份數(shù)據(jù),并對(duì)照所述列表驗(yàn)證所述源身份數(shù)據(jù),其中,所述源身份數(shù)據(jù)包括所述源的L5/7身份。
      13.根據(jù)權(quán)利要求12的系統(tǒng),其中,如果所述源身份數(shù)據(jù)出現(xiàn)在所述列表中,則所述身份識(shí)別與驗(yàn)證單元斷言所述源是非法的。
      14.根據(jù)權(quán)利要求11中的系統(tǒng),其中,所述列表還包括在所述服務(wù)提供商域外的并且通常與所述服務(wù)提供商域中實(shí)體通信的任意合法源的身份數(shù)據(jù)。
      15.根據(jù)權(quán)利要求1的方法,其中,所述列表識(shí)別被允許在所述域外漫游的所述服務(wù)提供商域中的實(shí)體。
      全文摘要
      本發(fā)明提供了一種方法和系統(tǒng),用于過濾在服務(wù)提供商(SP)域邊緣接收到的惡意分組。協(xié)議感知邊界單元識(shí)別由任何入口分組使用的協(xié)議,并且然后確定哪個(gè)域?qū)S眯畔⒈挥迷谒龇纸M的應(yīng)用有效載荷中來形成源身份。如果該分組假裝來自所述SP域,并且不允許任何域?qū)嶓w漫游,則所述分組被識(shí)別為非法的,并且由指定的安全策略處理。所述邊界單元還將被允許漫游的所述SP域?qū)嶓w以及通常與所述SP域中實(shí)體通信的所述SP域之外的合法源識(shí)別為合法的。
      文檔編號(hào)H04L29/10GK1968272SQ20061013632
      公開日2007年5月23日 申請(qǐng)日期2006年10月16日 優(yōu)先權(quán)日2005年10月17日
      發(fā)明者J-M·羅伯特, D·維諾庫羅夫 申請(qǐng)人:阿爾卡特公司
      網(wǎng)友詢問留言 已有0條留言
      • 還沒有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
      1