專利名稱:用于采用速率限制進行病毒扼制的方法和裝置的制作方法
用于采用速率限制進行病毒扼制的方法和裝置
背景技術:
計算機代碼的惡意形式包括計算機病毒����。計算機病毒通常能夠自我復制并且感染主機計算機。病毒可以通過網絡或其它手段從主機計算機傳播到主機計算機����。防病毒軟件通常運行在計算機主機上以便試圖保護計算機主機不變得被感染。防病毒軟件通常使用基于簽名的技術��。病毒扼制或連接速率過濾是用于抑制(contain)由快速傳播的蠕蟲和病毒引起的損害的技術�����。并不是試圖阻止計算機主機變得被感染�,而是病毒扼制檢測主機中的感染并采取行動來抑制來自被感染的機器的蠕蟲或病毒的傳播�����。因為蠕蟲或病毒能夠不是很快地傳播�����,所以這樣減少了損害。病毒扼制是基于控制被感染的機器的網絡行為的�,并且因此不依賴于特定病毒的詳情。換句話說�����,不需要病毒簽名來實現(xiàn)病毒扼制����。雖然病毒扼制不阻止最初的感染,但是它幫助通過采取行動來限制病毒的傳播來抑制損害���。采用該扼制��,病毒或蠕蟲爆發(fā)將較不迅速地發(fā)展��。此外�����,通過減慢病毒或蠕蟲的傳播��,所述扼制為基于簽名的解決方案在病毒或蠕蟲之前到達機器爭取了時間�����。不具有簽名的新病毒可以被用來發(fā)起“零日攻擊(zero day attacks ) ”�����。病毒扼制使用允許檢測這些零日攻擊的連接特性���。病毒扼制技術已經例如在可從惠普公司得到的ProCurve 交換機MOOxl中被實現(xiàn)�����。病毒扼制通常通過經由在網路層3或層2的層級處監(jiān)視連接請求來檢測被感染的主機而起作用�。當給定的主機在特定時間量內滿足某數(shù)量的獨特連接請求時�,聯(lián)網設備可以將這個主機看成是被惡意代碼(諸如病毒或蠕蟲)感染并且可以采取適當行動。
通過參考附圖�����,本公開可以被更好地理解���,并且其許多特征和優(yōu)點對于本領域的技術人員來講變得顯而易見��。圖1是根據本發(fā)明的實施例的網絡的框圖�。圖2是描繪了根據本發(fā)明的實施例的病毒扼制的方法的簡化流程圖����。圖3是描繪了根據本發(fā)明的實施例的病毒扼制的方法的另一個簡化流程圖。圖4是根據本發(fā)明的實施例的示例性交換或路由設備的框圖���。
具體實施例方式病毒扼制對于檢測和處理其中主機設備(源)被用病毒感染了并且正試圖自己傳播的情況是有用的��。在檢測到主機設備被感染之后��,可以執(zhí)行各種修復動作來使得病毒對網絡中的其它部件的影響最小化�����。通常���,這些動作包括通過阻斷來自潛在的高風險位置的可疑流量來使用(engage)阻斷方案直到網絡管理員手動接通該流量為止;通過阻斷可疑流量達限定的時間量來使用定時阻斷方案(timed-block scheme)�;或通過響應于檢測到被感染的主機而例如向網絡管理員發(fā)送通知消息來使用通知方案。這些和其它修復動作解決了病毒的一個消極方面�����,即,限制了蠕蟲或病毒到其它網絡節(jié)點的傳播�����。本文描述了用于病毒扼制的方法��,其解決了病毒的另一個消極方面�,即, 增加的流量的產生�,其可能導致用于合法流量的帶寬的不足。例如��,病毒可以發(fā)出許多自身的副本�,并且其它類型的惡意軟件(或“流氓軟件”)可以將未經請求的廣告發(fā)送到多個收件人或者可以諸如在拒絕服務(DOS)攻擊中用通信請求充滿目標網絡節(jié)點。代替定時阻斷或完全地阻斷流量�,速率限制(在檢測到被感染的主機之后)允許被感染的主機來利用減少量的帶寬。因此�����,允許被感染的主機消耗的帶寬量被減少��,但是沒有被消除��。公開了一種用于網絡中的網絡設備的流量控制的方法�����。該網絡設備確定由網絡中的主機設備進行的潛在的惡意行為。響應于確定該潛在的惡意行為����,減少通過該網絡設備的端口的來自該主機設備的流量的可容許速率��。測量通過該網絡設備的端口的流量的速率�����。將測量的流量速率與閾值速率相比較�。基于該比較調整流量的可容許速率���。在另一個實施例中���,用采用速率限制的病毒扼制來配置邊緣網絡設備。該設備包括邊緣端口和被通信地耦合到邊緣端口的修復引擎�。修復引擎可以確定網絡中的主機設備所進行的潛在的惡意行為,響應于確定該潛在的惡意行為來減少通過該邊緣端口的來自主機設備的流量的可容許速率���,測量通過該邊緣端口的流量速率��,將測量的流量速率與閾值速率相比較���,并且基于該比較調整流量的可容許速率���。圖1是根據本發(fā)明的實施例的網絡100的框圖。網絡100包括交換機101���、交換機 102����、主機設備103�、主機設備104、主機設備105�、服務器106、以及廣域網路(WAN) 108��。交換機101在工作中耦合到主機設備103-105�、服務器106、交換機102以及WAN 108���。交換機101被配置成轉發(fā)��、分析�、和/或過濾分組,并且可以進一步被配置成執(zhí)行采用速率限制的病毒扼制�����。交換機101是邊緣網絡設備��。如在本文中使用的那樣��,邊緣網絡設備是交換機�����、路由器或其它網絡設備��,其被經由邊緣端口連接到主機設備或者被經由邊緣端口連接到外部網絡����。如在本文中使用的那樣����,邊緣端口是被直接地連接到主機設備或外部網絡的邊緣網絡設備中的端口。交換機102在工作中經由交換機101的端口 11耦合到交換機101�。交換機101和交換機102之間的連接可以包括多個網絡段、傳輸技術以及部件�����。交換機102被配置成轉發(fā)、分析�、和/或過濾分組,并且可以進一步被配置成執(zhí)行采用速率限制的病毒扼制����。主機設備與網絡中的網絡設備進行對接。主機設備可以包括個人計算機���、服務器��、 手持式計算設備等��。主機設備103-105在工作中全部都耦合到交換機101���。主機設備103 在工作中耦合到交換機101的邊緣端口 2。主機設備104在工作中耦合到交換機101的邊緣端口 5�����。主機設備105在工作中耦合到交換機101的邊緣端口 7���。服務器106在工作中也耦合到交換機101�����。特別地�����,服務器106在工作中耦合到交換機101的邊緣端口 10��。根據實施例�,交換機可以監(jiān)視由主機發(fā)起的連接,其可以包括到達啟用的(一個或多個)端口的互聯(lián)網協(xié)議(IP)流�。修復引擎可以確定主機設備(即����,源地址)是被感染的主機?���?梢栽诿總€客戶端、每個端口以及入口的基礎上啟用采用速率限制的病毒扼制�。當在諸如交換機101和交換機102之類的交換機的端口(即,邊緣端口或非邊緣端口)中的一個或多個上被啟用時�����,修復引擎可以在每個客戶端的基礎上應用速率限制以提供與在不考慮源的情況下在啟用的端口處對所有流量進行速率限制相對照的更大的粒度級別。特別地���, 所允許的流量的可容許速率可能被減少或以其他方式被限制��。如在本文中使用的那樣��,流量的可容許速率是被允許的最大帶寬利用率����。例如�����,可以針對交換機101的端口 5處的入口流量啟用采用速率限制的病毒扼制���。 在檢測到主機設備104是被感染的主機時�����,在端口 5處的來自該被感染的主機的所有入口流量被限制到流量的可容許速率(即��,最大帶寬利用率)�����。該率可以是總的所分配帶寬的可配置部分�、帶寬值等。因此�,如果1 (^bps的速率被分配,則在端口 5處的入口流量的可容許速率可以被減少到21的利用�����,或20 Mbps����。在一個實施例中,通過非邊緣網絡設備來執(zhí)行如本文所描述的方法����。假若被感染的主機設備的身份(即,源地址)是已知的或能夠被確定的���,則可以執(zhí)行采用速率限制的病毒扼制。例如����,針對交換機102的端口 1處的入口流量啟用采用速率限制的病毒扼制。在檢測到主機設備104是被感染的主機時�,在端口 1處的來自該被感染的主機的所有入口流量被限制到流量的可容許速率��。圖2是描繪了根據本發(fā)明的實施例的病毒扼制的方法的簡化流程圖����。通過執(zhí)行可執(zhí)行指令的一個或多個序列來完成所描繪的處理流程200���。在另一個實施例中����,通過網絡設備的部件的執(zhí)行���、硬件邏輯(例如����,專用集成電路(ASIC)等)的布置來完成處理流程200���。 可以通過修復引擎例如在網絡設備��、中央網絡管理服務器�����、網絡中的其它節(jié)點��、或其任何組合處執(zhí)行采用速率限制的病毒扼制�����。在步驟210處�����,確定由主機設備(S卩���,被感染的主機)所進行的潛在的惡意行為����。在一個實施例中�,網絡設備可以針對表現(xiàn)出諸如指示快速傳播的病毒或蠕蟲的行為之類的類似病毒的行為的主機進行監(jiān)視和檢測?����?梢允剐迯鸵嬷辣桓腥镜闹鳈C或者修復引擎可以以其他方式確定被感染的主機���。在確定被感染的主機時,在步驟220處,速率限制可以被應用到被感染的主機的流量�。特別地,通過網絡設備的端口來自主機設備的流量的可容許速率被減少����。如前所述, 流量的可容許速率是被允許的最大帶寬利用率��?����?梢栽诿總€客戶端和每個端口的基礎上在針對其啟用病毒扼制的網絡節(jié)點的所有端口處應用速率限制��。例如��,來自被感染的客戶端的源地址的所有流量可以被速率限制可配置的量����。在一個實施例中,速率限制可以被應用到特定類型的流量�,例如,協(xié)議和/或協(xié)議端口號�����。網絡設備的網絡接口可以支持許多協(xié)議,諸如互聯(lián)網協(xié)議(IP)����、互聯(lián)網控制消息協(xié)議(ICMP)、傳輸控制協(xié)議(TCP)���、用戶數(shù)據報協(xié)議(UDP)���、簡單網絡管理協(xié)議(SNMP)、文件傳輸協(xié)議(FTP)��、超文本傳輸協(xié)議(HTTP)�����、以及其它���?����?梢灾啦《鞠矚g某些協(xié)議和/或協(xié)議端口�。某些病毒可以使用特定的用戶數(shù)據報協(xié)議(UDP)端口以用于發(fā)起攻擊���??梢栽诿總€客戶端���、每個端口以及每個流量的基礎上執(zhí)行采用速率限制的病毒扼制��,從而使得來自被感染的客戶端的流量可以在特定UDP端口處被速率限制�����?����?梢詫崿F(xiàn)用于在各種類型的流量中區(qū)分的其它方法�。對速率限制的利用的調整
圖3是描繪了根據本發(fā)明的實施例的病毒扼制的方法的另一個簡化流程圖�。通過執(zhí)行可執(zhí)行指令的一個或多個序列來完成所描繪的處理流程300。在另一個實施例中��,通過網絡設備的部件的執(zhí)行�、硬件邏輯(例如,專用集成電路(ASIC)等)的布置來完成處理流程300��。 可以由修復引擎例如在網絡中的網絡設備處執(zhí)行采用速率限制的病毒扼制��。即使在采用速率限制的病毒扼制已經被應用到被感染的主機上之后,也可以期望根據可能已經發(fā)生的帶寬利用事件來調整速率限制����。處理流程300可以例如在速率限制已經被應用到被感染的主機上之后被執(zhí)行。在步驟310處����,監(jiān)視被感染的主機的流量的速率。被感染的主機已經在先前被速率限制了��,例如如圖2中所描述的那樣��。測量通過網絡設備的端口的被感染的主機的流量的速率(即���,帶寬利用率)�。在步驟320處�,檢測帶寬利用事件。在一個實施例中����,這些事件可以包括帶寬利用閾值已經被滿足的檢測,其可以被用來確定是否保證了被感染的主機的流量的可容許速率的進一步降低或增加���。所述事件可以例如由網絡管理員來預先配置���,或可以被網絡管理服務器設置為默認配置����。在步驟310處測量的流量速率可以與一個或多個可配置的閾值速率相比較以確定是否保證了任何調整�����。高閾值速率可以被用來指示由病毒進行的“壞”行為���,S卩,該病毒正在消耗所有或幾乎所有的之前被減少的可容許的流量速率����。例如,如果可容許的流量速率(其已經在之前被減少)是處于洲的最大利用�,則該高閾值可以被設置為1.75%- 的窗口。帶寬利用事件可以被檢測���,其中在步驟310處測量的流量速率落入該高閾值窗口內�。低閾值速率可以被用來指示由病毒進行的“好”行為�,S卩,該病毒沒有正在消耗許多的流量的可容許速率���。例如���,如果可容許的流量速率(其已經在之前被減少)是處于1%的最大利用��,則該低閾值可以被設置成0. 5%-1%的窗口�。帶寬利用事件可以被檢測����,其中在步驟310處測量的流量速率落入該低閾值窗口內。此外��,低閾值速率或病毒清除閾值速率可以被用來檢測病毒的清除��。用戶流量的大幅減少可以指示來自主機的病毒的清除�。同樣地,病毒清除閾值速率可以被設置成檢測指示病毒清除的速率或檢測即由未被感染的主機或不再被感染的之前被感染的主機進行的帶寬利用的正常速率��。帶寬利用事件可以被檢測����,其中在步驟310處測量的流量速率滿足病毒清除閾值。在步驟330處����,調整被感染的主機的流量的可容許速率���。可以基于對所述一個或多個閾值速率的比較來調整通過網絡設備的端口的來自主機設備的流量的可容許速率����。調整的量可以是可配置的和/或由與所檢測到的事件相關聯(lián)的策略來確定。在高閾值速率被滿足的情況下��,流量的可容許速率可以被減少可配置的量��。例如��, 可容許的流量速率可以被從洲的最大利用減少到1%的最大利用�。在低閾值速率被滿足的情況下���,流量的可容許速率可以被增加可配置的量�����。例如����,可容許的流量速率可以被從1% 的最大利用增加一直到1. 5%的最大利用。處理可以環(huán)回到步驟310�����,其中執(zhí)行進一步的監(jiān)視���,直到確定沒有進一步的調整將被考慮為止����。在病毒清除閾值速率被滿足的情況下���,流量的可容許速率可以被增加可配置的量�。病毒可以是在本質上突發(fā)的���,或以其他方式可能通過正常速率在短時間段內在許多時刻發(fā)送數(shù)據��。突發(fā)流量可以導致增加的和減少的可容許的流量速率的重復切換�����。計數(shù)器可以被用來追蹤對流量的可容許速率的多個調整���。例如,計數(shù)器追蹤每個拐點,在所述拐點處可容許的流量速率改變了增加的量然后減少的量和/或減少的量然后增加的量�����。切換閾值可以識別對于流量速率所允許的最大數(shù)量的調整�����。由計數(shù)器追蹤的調整的數(shù)量可以與切換閾值相比較�����。在一個實施例中�,該切換閾值可以表示突發(fā)病毒的行為征兆。在一個實施例中���,流量可以被阻斷或被定時阻斷,或如果切換閾值已經被滿足則可以發(fā)送通知���。流量可以保持被阻斷直到接收到命令以接通來自主機設備的流量為止�����。圖4是根據本發(fā)明的實施例的示例性交換或路由設備的框圖�。交換或路由設備 401可以被配置成具有多個端口 402??梢酝ㄟ^一個或多個控制器ASIC (專用集成電路) 404來控制端口 402。設備401可以通過互連所述端口的常規(guī)交換機或路由器核408來在端口之間傳輸 (即�����,“交換”或“路由”)分組�����。系統(tǒng)處理器410和存儲器412可以被用來控制設備401���。例如����,修復引擎414可以被作為存儲器412中的代碼來實現(xiàn)��,所述代碼由設備401的系統(tǒng)處理器410來執(zhí)行�。將了解的是,本發(fā)明的實施例可以以硬件�、軟件或硬件和軟件的組合的形式來加以實現(xiàn)?����?梢砸砸资曰蚍且资詢Υ嫫?諸如例如,類似ROM的存儲設備(無論是否是可擦除的或可重寫的)的形式�����,或以諸如例如RAM����、存儲器芯片、設備或集成電路的存儲器的形式����,或在光學或磁可讀介質(諸如例如CD、DVD�����、磁盤或磁帶)上存儲任何此類軟件�����。將了解的是�,存儲設備和存儲介質是機器可讀的存儲介質的實施例�,所述機器可讀的存儲介質適于存儲一個或多個程序,當所述程序例如被處理器執(zhí)行時����,實現(xiàn)本發(fā)明的實施例�����。因此��,實施例提供了包括用于實現(xiàn)如在任何前述權利要求中要求保護的系統(tǒng)或方法的代碼的程序���, 和存儲這樣的程序的機器可讀的存儲介質。仍進一步的是�����,本發(fā)明的實施例可以被經由任何介質(諸如通過有線的或無線的連接攜帶的通信信號)電子地傳送�,并且實施例適當?shù)匕洹T谠撜f明書(包括任何所附的權利要求���、摘要以及附圖)中所公開的全部特征�����、和 /或如此公開的任何方法或處理的全部步驟可以被以除了其中此類特征和/或步驟中的至少某些是互相排斥的組合之外的任何組合進行組合����。在該說明書(包括任何所附的權利要求、摘要以及附圖)中所公開的每個特征可以被用于相同��、等同或相似目的的替代特征替換�,除非以其他方式明確指出。因此��,除非以其他方式明確指出���,否則所公開的每個特征僅僅是通用系列的等同或類似特征的一個示例�。本發(fā)明不被限制到任何前述實施例的細節(jié)���。本發(fā)明延伸至在該說明書(包括任何所附的權利要求��、摘要以及附圖)中公開的特征中的任何新穎的特征�,或任何新穎的組合���, 或延伸至如此公開的任何方法或處理的步驟的任何新穎的步驟或任何新穎的組合���。權利要求不應當被解釋為僅僅覆蓋前述實施例,而且應當覆蓋落入權利要求的范圍內的任何實施例�。
權利要求
1.一種用于網絡中的網絡設備的流量控制的方法�,所述方法包括通過所述網絡設備確定所述網絡中的主機設備所進行的潛在的惡意行為�; 響應于確定所述潛在的惡意行為來減少通過所述網絡設備的端口的來自所述主機設備的流量的可容許速率���;測量通過所述網絡設備的所述端口的流量的速率�; 將所述測量的流量速率與閾值速率相比較�;以及基于所述比較來調整流量的所述可容許速率。
2.根據權利要求1所述的方法���,其中����,所述網絡設備為邊緣交換機���,并且其中所述端口為所述網絡設備的邊緣端口�����。
3.根據權利要求1所述的方法�����,進一步包括 追蹤對減少的流量速率的調整的數(shù)量����;以及比較調整的所述數(shù)量與切換閾值,所述切換閾值標識所允許的調整的最大數(shù)量�。
4.根據權利要求3所述的方法,進一步包括��,如果調整的所述數(shù)量滿足所述切換閾值��, 則阻斷來自所述主機設備的流量�。
5.根據權利要求4所述的方法,其中所述流量被阻斷直到接收到命令以接通來自所述主機設備的流量為止�����。
6.根據權利要求1所述的方法����,其中調整減少的流量速率包括如果所述測量的流量速率滿足所述閾值速率,則將所述流量的可容許速率降低可配置的量�。
7.根據權利要求1所述的方法,其中調整減少的流量速率包括如果所述測量的流量速率滿足所述閾值速率����,則將所述流量的可容許速率增加可配置的量。
8.根據權利要求1所述的方法��,進一步包括響應于測量所述流量速率來檢測預配置事件。
9.一種用采用速率限制的病毒扼制配置的邊緣網絡設備�,所述設備包括 邊緣端口 ;修復引擎�,其被通信地耦合到所述邊緣端口����,其中所述修復引擎被配置成 確定網絡中的主機設備所進行的潛在的惡意行為;響應于確定所述潛在的惡意行為來減少通過所述邊緣端口的來自所述主機設備的流量的可容許速率�;測量通過所述邊緣端口的流量的速率; 將所述測量的流量速率與閾值速率相比較��;以及基于所述比較來調整流量的所述可容許速率�。
10.根據權利要求9所述的邊緣網絡設備,其中所述修復引擎被配置成 追蹤對減少的流量速率的調整的數(shù)量�����;以及比較調整的所述數(shù)量與切換閾值����,所述切換閾值標識所允許的調整的最大數(shù)量。
11.根據權利要求9所述的邊緣網絡設備���,其中所述修復引擎被配置成如果調整的所述數(shù)量滿足所述切換閾值�����,則阻斷來自所述主機設備的流量��。
12.根據權利要求9所述的邊緣網絡設備����,其中所述流量被阻斷直到接收到命令以接通來自所述主機設備的流量為止。
13.根據權利要求9所述的邊緣網絡設備�,其中所述修復引擎被配置成如果所述測量的流量速率滿足所述閾值速率,則通過將所述減少的流量速率降低可配置的量來調整流量的可容許速率���。
14.根據權利要求9所述的邊緣網絡設備�,其中所述修復引擎被配置成如果所述測量的流量速率滿足所述閾值速率��,則通過將所述減少的流量速率增加可配置的量來調整流量的可容許速率��。
15.根據權利要求9所述的邊緣網絡設備���,其中所述修復引擎被配置成響應于測量所述流量速率來檢測預配置事件�。
全文摘要
公開了一種用于網絡中的網絡設備的流量控制的方法��。網絡設備確定網絡中的主機設備所進行的潛在的惡意行為��。響應于確定潛在的惡意行為,減少通過網絡設備的端口的來自主機設備的流量的可容許速率�����。測量通過網絡設備的端口的流量的速率����。將測量的流量速率與閾值速率相比較��?�;谠摫容^來調整流量的可容許速率��。
文檔編號H04L12/22GK102577240SQ200980162192
公開日2012年7月11日 申請日期2009年10月28日 優(yōu)先權日2009年10月28日
發(fā)明者S.K.瓦庫莫托 申請人:惠普發(fā)展公司���,有限責任合伙企業(yè)