專利名稱：網(wǎng)絡管理器snmp陷阱抑制的制作方法
技術領域：
本發(fā)明涉及通信系統(tǒng)中的網(wǎng)絡管理，更具體地是，涉及保護網(wǎng)絡管理系統(tǒng)不會被從網(wǎng)絡節(jié)點接收的SNMP事件陷阱過載的系統(tǒng)和方法。
背景技術：
簡單網(wǎng)管協(xié)議(SNMP)以代理需要最小軟件的管理器/代理模型為基礎。1988年開發(fā)的SNMP已經成為因特網(wǎng)管理的實際標準。因為它表示了一種簡單的解決方案，其只需少量代碼就能實現(xiàn)眾多廠商能夠在他們產品上建立SNMP代理。通常，SNMP是可擴展的，因而允許廠商容易地將網(wǎng)絡管理功能添加到其現(xiàn)有產品中。SNMP還將管理功能從擴大多家廠商所支持的基礎的硬件設備體系結構中分離出來。
包含在SNMP協(xié)議中的大部分處理能力和數(shù)據(jù)存儲存在于管理系統(tǒng)中，而那些功能的補充子集存在于被管理系統(tǒng)之中。為達到其簡易的目的，SNMP包括人工命令和響應的有限集。管理系統(tǒng)發(fā)布取、取下一個和設置消息以檢索出單個或多個目標變量或建立單個變量的值。被管理的代理發(fā)送響應消息以進行取、取下一個或設置消息。被管理部件發(fā)送稱之為陷阱的事件通知到管理系統(tǒng)以識別如超出預定值的閾值的條件的發(fā)生。簡而言之，有5種基本操作，即取、取下一個、取響應、設置和陷阱。
陷阱是通知SNMP管理器在代理或節(jié)點上已發(fā)生的重大事件的異步消息。陷阱在未經請求的情況下發(fā)送到被配置來接收它們的SNMP管理器。
對本領域技術人員來說顯然，如果管理系統(tǒng)從特定節(jié)點接收到大量陷阱時，事件陷阱能夠具體地識別網(wǎng)絡節(jié)點中的潛在問題。同樣對本領域技術人員來說顯然，惡意攻擊者可以使用該陷阱來中斷網(wǎng)絡管理系統(tǒng)提供的服務。
CERT協(xié)調中心已經就SNMP協(xié)議中的潛在缺陷發(fā)布了警告，其中這些缺陷能被開發(fā)用于惡意攻擊。一種由CERT提出的用以抵御此類攻擊的解決方案包括識別犯規(guī)節(jié)點(即過量SNMP事件陷阱的生成節(jié)點)并可能的話在該節(jié)點上禁止SNMP。遺憾的是，沒有用于NMS的選擇，因為它無法再繼續(xù)管理該節(jié)點，且這不會被網(wǎng)絡提供者接受。
SNMP服務的另一個重要工業(yè)源通過關聯(lián)某些類型陷阱來解決這個問題，這樣可以防止這些類型的復制陷阱的傳播。該技術用于某些標準類型的陷阱例如鏈路建立/關閉陷阱等。遺憾的是，該方法具有局限性，因為它無法解決非標準陷阱問題，例如未知事件陷阱，導致NMS將耗盡大量的資源去分析這些非標準陷阱。
因此，希望有一種讓NMS來響應過量的SNMP事件陷阱的改進的技術。正如以上討論，現(xiàn)有技術中的解決方案存在的問題是，CERT解決方案在NMS不接受的犯規(guī)節(jié)點上禁止SNMP，而第二解決方案局限于某些標準類型陷阱，且不解決諸如未知事件陷阱的非標準陷阱的問題，該非標準陷阱可被加強分析地特殊處理。
因此，需要解決上面所述的問題。

發(fā)明內容
本發(fā)明涉及保護網(wǎng)絡管理系統(tǒng)(NMS)不會被來自網(wǎng)絡節(jié)點的過多SNMP事件陷阱過載的問題。造成過多陷阱的原因可能是網(wǎng)絡節(jié)點上的服務拒絕(DoS)攻擊，或者可能是導致過多SNMP事件消息傳遞的節(jié)點中的故障。
本發(fā)明保護NM免受任意類型的SNMP消息，而不僅是如現(xiàn)有技術中的標準消息的泛濫的影響。
本發(fā)明有效保護NM免受對網(wǎng)絡節(jié)點的惡意攻擊，例如DoS攻擊，并警告此情形下的操作員以便采取糾正措施。同樣地，本發(fā)明保護NM免受產生過量SNMP事件陷阱的故障節(jié)點的影響。本發(fā)明還將緩和當節(jié)點重啟時加載在NM上的SNMP。另外如果若干個節(jié)點同時重啟，則該加載將相當大。
根據(jù)本發(fā)明一個方面，提供了一種在網(wǎng)絡管理系統(tǒng)中抑制來自通信網(wǎng)絡中網(wǎng)絡節(jié)點的SNMP事件陷阱消息的方法，該方法包括如下步驟在網(wǎng)絡管理系統(tǒng)中計數(shù)在一段時間間隔內從每個網(wǎng)絡節(jié)點接收的事件陷阱消息；以及對超出閾值的計數(shù)作出響應，忽略所有由該網(wǎng)絡節(jié)點發(fā)送到網(wǎng)絡管理系統(tǒng)的更多的事件陷阱消息直至預定的抑制期間屆滿。
根據(jù)本發(fā)明第二方面，提供了一種用于在網(wǎng)絡管理系統(tǒng)中抑制從通信網(wǎng)絡的網(wǎng)絡節(jié)點接收的SNMP事件陷阱消息的系統(tǒng)，該系統(tǒng)包括計數(shù)器，在網(wǎng)絡管理系統(tǒng)中，用于計數(shù)在一段時間間隔內從每個網(wǎng)絡節(jié)點接收的事件陷阱消息；和對超出閾值的計數(shù)作出響應，用于忽略所有由該網(wǎng)絡節(jié)點發(fā)送到網(wǎng)絡管理系統(tǒng)的更多事件陷阱消息直至預定的抑制期間屆滿的裝置。


從以下參照附圖對優(yōu)選實施例的詳細描述中本發(fā)明的特征和優(yōu)點將變得更為明顯，其中圖1是表示本發(fā)明各部件的高層網(wǎng)絡圖；圖2是在節(jié)點處接收的事件陷阱的實例圖；圖3是第二實例圖；以及圖4是表示執(zhí)行本發(fā)明的過程步驟的流程圖。
具體實施例方式
圖1描述了一個簡化網(wǎng)絡，包括三個網(wǎng)絡節(jié)點(A、B和C)，該三個網(wǎng)絡節(jié)點互聯(lián)以形成具有到用于網(wǎng)絡和業(yè)務管理的NMS的鏈路的通信網(wǎng)絡。每個節(jié)點利用SNMP事件陷阱消息，例如鏈路建立/關閉將事件發(fā)生通知到NMS。在眾多功能中的一些是，NMS也能利用SNMP“取”消息從節(jié)點請求信息，或者利用SNMP“設置”消息在節(jié)點上配置資源。當事件陷阱為未知類型(又叫未知事件陷阱)時，NMS需要附加處理以分析超過標準、已知的事件陷阱的陷阱。因此，對于其非法目的特別有效的DoS攻擊是引起節(jié)點生成過量未知事件陷阱的攻擊。每秒鐘接收成百上千的未知事件陷阱可完全“置忙(busy-out)”NMS。
根據(jù)本發(fā)明NMS具備當來自特定節(jié)點的陷阱到達速率超過預定閾值時阻塞來自NMS上的其它處理的SNMP事件陷阱的能力。這種能力稱為陷阱抑制特性。
NMS上的文件定義了陷阱抑制所需的某些參數(shù)。第一個參數(shù)啟用或者禁止陷阱抑制特性。缺省值被啟用。下一參數(shù)是用于所有陷阱類型的每個節(jié)點的最大陷阱到達速率。該參數(shù)的缺省值為100陷阱/秒。優(yōu)選實施例對于所有節(jié)點和陷阱類型使用相同的到達速率數(shù)值。但是，有可能在其它實施例中規(guī)定每種陷阱類型和每種節(jié)點類型的分開的到達速率。下一參數(shù)是陷阱抑制等待時間，規(guī)定當該節(jié)點超過最大陷阱到達速率之后從犯規(guī)節(jié)點阻塞陷阱的時間量。該參數(shù)的缺省值是100秒。最后的參數(shù)是老化時間(aging time)，規(guī)定了節(jié)點記錄將被特性保存的時間量。對于每個節(jié)點而言，該時間是從來自該節(jié)點的最后一個陷阱的時間測量的。老化時間的缺省值為100分鐘。
在正常操作中，從任何特定節(jié)點接收到的陷阱不應該超過最大陷阱到達速率。對每個節(jié)點而言，當實際陷阱到達速率小于最大陷阱到達速率時，來自該節(jié)點的陷阱轉發(fā)給已注冊來接收陷阱的NMS中的較高層過程。這些過程的實例是自發(fā)現(xiàn)過程和告警監(jiān)視(GGP)過程。從每個節(jié)點接收到的陷阱數(shù)量由計數(shù)器在預定間隔(例如10秒)內計數(shù)以確定每個節(jié)點的陷阱到達速率。間隔的持續(xù)時間還可以由參數(shù)文件中的參數(shù)來定義，因此是可編程的。
當節(jié)點超過最大陷阱到達速率時，來自該節(jié)點的全部更多陷阱都被分出(即不轉發(fā))一段時間，該時間由陷阱抑制等待時間參數(shù)(例如100秒)規(guī)定。該發(fā)生被登記并可任選地通知到諸如告警監(jiān)視過程(GGP)的過程，以便網(wǎng)絡操作員能采取適當?shù)难a救措施(例如建立防火墻、在犯規(guī)節(jié)點上運行診斷等)。在阻塞陷阱的持續(xù)時間過后，只要它不超過最大陷阱到達速率，NMS就開始轉發(fā)從該節(jié)點接收的陷阱，否則象以前那樣阻塞陷阱并重復該過程。
圖2和圖3顯示從節(jié)點接收的事件陷阱的實例圖。在圖2中0秒時刻處從該節(jié)點接收的事件陷阱開始顯著增加，這可能是節(jié)點重新啟動的結果。在穩(wěn)定之前每秒的陷阱迅速地增加到200陷阱/秒，并保持該速率5秒鐘。因此，大約5秒之后，接收到的陷阱總數(shù)為1,000個陷阱。假定5秒鐘的陷阱抑制特性的持續(xù)時間意味著計算的陷阱到達速率為200陷阱/秒。因此，NMS會將來自該節(jié)點的全部更多事件陷阱阻塞一段持續(xù)時間，該持續(xù)時間由陷阱抑制等待時間參數(shù)所規(guī)定，例如100秒。圖2曲線下方的散列部分表示被阻塞的陷阱。這些事件陷阱稍后可以由NMS協(xié)調(從該節(jié)點恢復)。
圖3示出了陷阱到達NMS的另一實例。在這種情況下，發(fā)送陷阱的節(jié)點以重復間隔發(fā)送極大量陷阱。這可能是由導致持續(xù)重啟或來自DoS攻擊的某些故障引起的。當超過陷阱到達速率時，NMS將從節(jié)點接收的全部事件陷阱阻塞一段持續(xù)時間，該持續(xù)時間由抑制等待時間參數(shù)規(guī)定。該陷阱抑制特性向該情形下的操作員發(fā)出警告，以便采取適當措施。
以下將列出包含在實現(xiàn)根據(jù)本發(fā)明的算法中的過程的步驟。
1)網(wǎng)絡管理系統(tǒng)(NMS)啟動并讀取陷阱抑制配置狀態(tài)；2)NMS啟用陷阱抑制算法(基于陷阱抑制配置狀態(tài))。若陷阱抑制狀態(tài)是禁止的，則不進行任何陷阱抑制，然后所有陷阱都將通過；3)陷阱抑制算法讀取其配置并更新全部所需參數(shù)陷阱抑制等待時間(以秒計)、陷阱抑制老化時間(以秒計)、陷阱抑制計數(shù)器和陷阱抑制到達速率；4)抑制算法完全被配置并準備處理陷阱；5)從節(jié)點接收第一陷阱；陷阱抑制算法通知管理員并給出描述——關于發(fā)送者(發(fā)送節(jié)點)的簡短描述節(jié)點的IP地址和陷阱發(fā)送的時間；6)NMS保存發(fā)送陷阱的節(jié)點的記錄迄今為止發(fā)送陷阱的數(shù)量、第一陷阱發(fā)送的時間和最后一個陷阱發(fā)送的時間；7)陷阱抑制算法估計(計算)陷阱發(fā)送速率；
8)當陷阱發(fā)送速率高于期望的發(fā)送速率(基于閾值陷阱抑制到達速率)時，停止處理來自該節(jié)點的陷阱；9)通知管理員以便采取進一步措施；10)陷阱抑制算法為該節(jié)點啟動陷阱等待時間定時器；11)當陷阱等待時間屆滿(將該節(jié)點的當前陷阱等待時間與配置的陷阱等待時間相比較)時對該節(jié)點恢復陷阱處理；12)網(wǎng)絡管理員接收該通知；13)如果同一節(jié)點停止發(fā)送陷阱的一段時間大于或等于該節(jié)點的老化時間，則算法老化該節(jié)點。步驟7中對該節(jié)點的記錄被刪除。
圖4是描述該算法過程步驟的簡化流程圖。
該算法當根據(jù)本發(fā)明實現(xiàn)時有效地阻塞惡意節(jié)點發(fā)送不需要的業(yè)務到NMS。它還允許NMS管理員檢測哪個節(jié)點正在發(fā)送陷阱事件給NMS。在節(jié)點發(fā)送第一陷阱到NMS的時間，不論陷阱速率為多少，算法都通知NMS管理員。NMS管理員還能雙重檢驗發(fā)送陷阱的節(jié)點。當NMS不再管理該節(jié)點時，則該節(jié)點從記錄中刪除。該算法考慮到為陷阱抑制配置全部所需參數(shù)并提高NMS的效率。
可以預見，該算法將促進行業(yè)中諸如X.733實際標準告警格式的通用告警的應用。
本發(fā)明算法導致更高的系統(tǒng)效率，因為對于每個被管理節(jié)點只有一個預定參數(shù)的記錄被保存用于陷阱抑制目的。這些參數(shù)是陷阱到達速率計算值、陷阱抑制等待時間計算值和節(jié)點老化時間計算值。
根據(jù)本發(fā)明該算法在以下情形下用來通知NMS管理。
◆當節(jié)點第一次發(fā)送陷阱時；◆當陷阱接收被阻塞時；◆當陷阱接收被恢復時；◆當節(jié)點老化時。
結果是，諸如DoS的攻擊和網(wǎng)絡中斷將被檢測并采取步驟克服其中產生的問題。
這里介紹的實施例僅是示例性的，本領域技術人員能理解在不脫離本發(fā)明精神的前提下可對上述實施例進行變形。本發(fā)明的范圍只由所附的權利要求書限定。
權利要求
1.一種在網(wǎng)絡管理系統(tǒng)中抑制來自通信網(wǎng)絡中的網(wǎng)絡節(jié)點的SNMP事件陷阱消息的方法，該方法包括如下步驟在網(wǎng)絡管理系統(tǒng)中對一段時間間隔內從每個網(wǎng)絡節(jié)點接收到的事件陷阱消息進行計數(shù)；以及響應于超出閾值的計數(shù)，忽略所有由該網(wǎng)絡節(jié)點發(fā)送到網(wǎng)絡管理系統(tǒng)的更多事件陷阱消息，直至預定抑制期間屆滿。
2.如權利要求1所述的方法，其中抑制期間從超過閾值的時間開始，在該抑制期間屆滿后，網(wǎng)絡管理系統(tǒng)恢復處理由該網(wǎng)絡節(jié)點發(fā)送的消息。
3.如權利要求1所述的方法，其中所述時間間隔是預定間隔。
4.如權利要求1所述的方法，其中所述時間間隔是可編程的。
5.如權利要求1所述的方法，其中所述閾值在每個節(jié)點的基礎上規(guī)定
6.如權利要求1所述的方法，其中所述閾值是基于節(jié)點類型規(guī)定的，所述陷阱從該節(jié)點上接收。
7.如權利要求1所述的方法，其中所述閾值是根據(jù)從網(wǎng)絡節(jié)點接收的陷阱消息的類型規(guī)定的。
8.如權利要求1所述的方法，其中另外被忽略的陷阱消息經受老化特性。
9.如權利要求8所述的方法，其中所述老化特性包括記錄另外被忽略的陷阱，且為正在發(fā)送陷阱的每個節(jié)點保存記錄，以便陷阱抑制功能可被再應用于這些節(jié)點。
10.如權利要求9所述的方法，其中在基于從該節(jié)點接收的最后一個陷阱的時間的時限屆滿后而沒有接收到任何更多陷阱時，有關任何規(guī)定節(jié)點的記錄被刪除。
11.如權利要求1所述的方法，其中網(wǎng)絡管理系統(tǒng)有選擇性地登記已超出其陷阱到達速率閾值的所有節(jié)點。
12.如權利要求1所述的方法，其中網(wǎng)絡管理系統(tǒng)有選擇性地提供有關已超出其陷阱到達速率閾值的節(jié)點的通知。
13.如權利要求12所述的方法，其中所述通知為告警。
14.如權利要求12所述的方法，其中所述通知警告操作員節(jié)點已超出閾值，以便采取補救措施。
15.一種用于在網(wǎng)絡管理系統(tǒng)中抑制從通信網(wǎng)絡中的網(wǎng)絡節(jié)點接收的SNMP事件陷阱消息的系統(tǒng)，該系統(tǒng)包括計數(shù)器，在網(wǎng)絡管理系統(tǒng)中，用于對一段時間間隔內從每個網(wǎng)絡節(jié)點接收到的事件陷阱消息進行計數(shù)；以及響應于超出閾值的計數(shù)，用于忽略所有由該網(wǎng)絡節(jié)點發(fā)送到網(wǎng)絡管理系統(tǒng)的更多事件陷阱消息直至預定抑制期間屆滿的裝置。
16.如權利要求15所述的系統(tǒng)，其中所述時間間隔具有預定值。
17.如權利要求15所述的系統(tǒng)，其中所述時間間隔是可編程的。
18.如權利要求15所述的系統(tǒng)，還包括在超出所述時間間隔后登記關于在網(wǎng)絡管理系統(tǒng)中接收到的事件陷阱的信息的裝置。
19.如權利要求18所述的系統(tǒng)，包含陷阱抑制等待時間裝置，該陷阱抑制等待時間裝置在超出所述時間間隔后為阻塞陷阱設置時限。
20.如權利要求19所述的系統(tǒng)，包含老化裝置，該老化裝置設置關于登記信息保存多久的參數(shù)。
全文摘要
介紹了用于在網(wǎng)絡管理系統(tǒng)中可控地抑制從通信網(wǎng)絡中的網(wǎng)絡節(jié)點接收到的SNMP事件陷阱消息的方法和設備。從網(wǎng)絡節(jié)點接收陷阱的速率被監(jiān)視，并且如果所述速率超過閾值，所有隨后在設置的時間間隔內接收的陷阱不被處理。該速率通過對在時間間隔內接收的事件陷阱計數(shù)而計算得出，該時間間隔是預置或編程的。在所述設置的時間間隔終止后所有新接收到的陷阱都被監(jiān)視。有關在設置的時間間隔內接收的陷阱的信息可以被登記。另外，從中接收過量陷阱并指示如服務拒絕(DoS)攻擊的事件的節(jié)點被識別以便采取補救措施。
文檔編號H04M3/22GK1536827SQ20041004303
公開日2004年10月13日 申請日期2004年4月9日 優(yōu)先權日2003年4月11日
發(fā)明者M·加斯帕爾, M 加斯帕爾 申請人:阿爾卡特公司