專利名稱:利用字符串分析來(lái)檢測(cè)一個(gè)或更多分組網(wǎng)路中的有害業(yè)務(wù)量的方法和裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及針對(duì)基于分組的通信網(wǎng)絡(luò)的計(jì)算機(jī)安全技術(shù)�,更具體 的,涉及用于在這種基于分組的網(wǎng)絡(luò)中檢測(cè)并且通告如拒絕服務(wù)攻擊 和其它惡意攻擊之類的有害業(yè)務(wù)量�。
背景技術(shù):
如拒絕服務(wù)(DoS)攻擊之類的惡意攻擊嘗試使計(jì)算機(jī)資源對(duì)其 預(yù)期用戶不可用。例如�,對(duì)web服務(wù)器的DoS攻擊常常導(dǎo)致所容納的 網(wǎng)頁(yè)不可用。當(dāng)需要將有限的資源分配給攻擊者而不是合法用戶時(shí)��, DoS攻擊可以導(dǎo)致顯著的服務(wù)中斷��。攻擊機(jī)器通常通過(guò)因特網(wǎng)向攻擊 的目標(biāo)受害者發(fā)送大量的因特網(wǎng)協(xié)議(IP)分組以造成損害。例如���, DoS攻擊可以包括嘗試"洪泛(flood)"網(wǎng)絡(luò)以阻止合法的網(wǎng)絡(luò)業(yè)務(wù) 量�����,或通過(guò)發(fā)送比服務(wù)器所能處理請(qǐng)求的更多的請(qǐng)求以中斷服務(wù)器�����, 從而阻止對(duì)一個(gè)或更多服務(wù)的訪問(wèn)�����。
已經(jīng)提出或建議了多種用于抵御這種惡意攻擊的技術(shù)���。例如,美 國(guó)專利申請(qǐng)序列號(hào)No. 11/197,842�����,名稱為"Method and Apparatus forDefending Against Denial of Service Attacks in IP Networks by Target Victim Self-Identification and Control",以及美國(guó)專利申請(qǐng)序列號(hào)No. 11/197,841 �,名稱為"Method and Apparatus for Defending Against Denial of Service Attacks in IP Networks Based on Specified Source/Destination IP Address Pairs",公開(kāi)了用于檢測(cè)和通告DoS攻擊的技術(shù)。
抵御這種惡意攻擊的系統(tǒng)通常使用與用戶網(wǎng)絡(luò)相關(guān)聯(lián)的檢測(cè)器以 及服務(wù)提供商的網(wǎng)絡(luò)中的中央過(guò)濾器來(lái)保護(hù)用戶網(wǎng)絡(luò)免遭惡意攻擊�����。 通常,檢測(cè)器會(huì)檢測(cè)對(duì)用戶網(wǎng)絡(luò)的惡意攻擊��,并且發(fā)送一個(gè)或更多通 告或通知消息給中央過(guò)濾器���。通常���,通過(guò)檢查目標(biāo)受害者處接收到的 分組中是否有一個(gè)或更多預(yù)定義字符串來(lái)檢測(cè)惡意攻擊�。然而,預(yù)定 義字符串常?���?梢耘c對(duì)目標(biāo)受害者的合法訪問(wèn)嘗試相匹配。因此�����,檢 測(cè)器可能必須檢測(cè)許多訪問(wèn)和響應(yīng)�����,同時(shí)保存關(guān)于進(jìn)行訪問(wèn)的源端點(diǎn) 的信息�。另外����,這種分組檢測(cè)技術(shù)并不適用于加密鏈路�����,并通常被通 過(guò)向要訪問(wèn)的路徑添加額外元件所欺騙��。
因此�����,需要改進(jìn)的方法和裝置'����,利用字符串分析來(lái)檢測(cè)一個(gè)或更 多分組網(wǎng)路中的有害業(yè)務(wù)量。
發(fā)明內(nèi)容
一般而言�����,本發(fā)明提供了利用字符串分析來(lái)檢測(cè)一個(gè)或更多分組 網(wǎng)絡(luò)中的有害業(yè)務(wù)量的方法和裝置����。根據(jù)本發(fā)明的一個(gè)方面,通過(guò)下
列步驟來(lái)檢測(cè)目標(biāo)受害者接收到的有害業(yè)務(wù)量(如惡意攻擊)維護(hù)標(biāo)
識(shí)一個(gè)或更多字符串表達(dá)式的規(guī)則庫(kù);分析日志文件中的一個(gè)或更多 錯(cuò)誤條目���,所述日志文件包括目標(biāo)受害者接收到的一個(gè)或更多請(qǐng)求�����; 確定所述一個(gè)或更多請(qǐng)求是否包括與規(guī)則庫(kù)中的一個(gè)或更多字符串表 達(dá)式相匹配的字符串��;以及如果所述一個(gè)或更多請(qǐng)求包括與規(guī)則庫(kù)中 的一個(gè)或更多字符串表達(dá)式相匹配的字符串��,則向中央過(guò)濾器發(fā)送通 告消息����。
所述字符串表達(dá)式可以包括例如字符串或正則表達(dá)式�。所述字符
串表達(dá)式可以表示攻擊者可能嘗試訪問(wèn)的一個(gè)或更多資源�。錯(cuò)誤條目 通常與攻擊者對(duì)由目標(biāo)受害者維護(hù)的一個(gè)或更多資源的存儲(chǔ)位置進(jìn)行的探測(cè)嘗試相對(duì)應(yīng)。規(guī)則庫(kù)可選地標(biāo)識(shí)針對(duì)每個(gè)字符串表達(dá)式的對(duì)應(yīng) 動(dòng)作��。
對(duì)本發(fā)明更完整的理解以及本發(fā)明的其他特征和優(yōu)點(diǎn)將通過(guò)參 考以下詳細(xì)描述以及附圖來(lái)獲得����。
圖1示出了本發(fā)明可以在其中操作的網(wǎng)絡(luò)環(huán)境; 圖2是圖1中的中央過(guò)濾器系統(tǒng)的示意框圖�����; 圖3是圖1中的檢測(cè)器的示意框圖4和5是描述采用本發(fā)明特征的拒絕服務(wù)過(guò)程的示例實(shí)現(xiàn)的流 程圖,-
圖6是描述采用本發(fā)明特征的檢測(cè)器規(guī)則庫(kù)的示例實(shí)現(xiàn)的樣本表 格���;以及
圖7是描述采用本發(fā)明特征的字符串匹配檢測(cè)過(guò)程的示例實(shí)現(xiàn)的 流程圖���。
具體實(shí)施例方式
本發(fā)明提供了利用字符串分析來(lái)檢測(cè)一個(gè)或更多分組網(wǎng)絡(luò)中的 有害業(yè)務(wù)量的改進(jìn)方法和裝置。根據(jù)本發(fā)明的一個(gè)方面���,通過(guò)分析一 個(gè)或更多日志文件(如web服務(wù)器日志文件)來(lái)檢測(cè)在目標(biāo)受害者處 接收到的有害業(yè)務(wù)量(拒絕服務(wù)或其他惡意攻擊)��。攻擊者通常嘗試?yán)?用目標(biāo)系統(tǒng)中的弱點(diǎn)來(lái)危害系統(tǒng)�����。例如����,通過(guò)訪問(wèn)目標(biāo)系統(tǒng)上的文件 可以利用一個(gè)或更多弱點(diǎn)����。典型地,攻擊者并不知道目標(biāo)文件存儲(chǔ)在 或來(lái)源于目標(biāo)系統(tǒng)中的準(zhǔn)確位置����,因此通常需要進(jìn)行多次嘗試以訪問(wèn) 目標(biāo)文件��,通常稱之為"探測(cè)"�。
因此�����,本發(fā)明的示例實(shí)施例分析一個(gè)或更多日志文件以確定每個(gè) 對(duì)目標(biāo)系統(tǒng)的嘗試訪問(wèn)是否成功����。如果訪問(wèn)成功(例如,對(duì)文件在其 正確位置上的訪問(wèn)嘗試)���,則假定這是合法訪問(wèn)����,并允許該端點(diǎn)的其它 訪問(wèn)(然而�,本發(fā)明的實(shí)施例允許對(duì)成功的訪問(wèn)進(jìn)行記錄以供進(jìn)一步 分析����,并且可能在晚些時(shí)候?qū)⑵渥柚埂?。對(duì)不成功的訪問(wèn)進(jìn)行進(jìn)一步分析以確定所嘗試的路徑是否匹配與目標(biāo)系統(tǒng)希望保護(hù)的文件相關(guān)聯(lián) 的一個(gè)或更多預(yù)定義字符串��。與一個(gè)或更多預(yù)定義字符串相匹配的不 成功嘗試被視為惡意攻擊,并將通告消息發(fā)送至中央過(guò)濾器���。因此�����, 本發(fā)明將檢測(cè)到第一個(gè)不成功的探測(cè)并阻止發(fā)送者發(fā)送其他探測(cè)��。
圖1示出了本發(fā)明可以在其中操作的網(wǎng)絡(luò)環(huán)境100��。如圖1所示����,
企業(yè)網(wǎng)絡(luò)150使用檢測(cè)器300保護(hù)自身以抵御有害業(yè)務(wù)量(如垃圾郵件 或惡意攻擊)�,下文中將結(jié)合圖3進(jìn)行進(jìn)一步討論。企業(yè)網(wǎng)絡(luò)150允許企 業(yè)用戶通過(guò)服務(wù)提供商網(wǎng)絡(luò)120訪問(wèn)因特網(wǎng)或其他網(wǎng)絡(luò)��。服務(wù)提供商網(wǎng) 絡(luò)120向企業(yè)網(wǎng)絡(luò)150的用戶提供服務(wù)���,通過(guò)入口端口115接收來(lái)自各種 源的分組���,并將其傳送至企業(yè)網(wǎng)絡(luò)150中的指定目的地。
在一個(gè)示例實(shí)施例中���,如以下將結(jié)合圖2進(jìn)一步討論的����,檢測(cè)器 300與中央過(guò)濾器200協(xié)作,以保護(hù)其自身免遭惡意攻擊�����。 一般而言�, 如下面將進(jìn)一步討論的,檢測(cè)器300將檢測(cè)到對(duì)企業(yè)網(wǎng)絡(luò)150的惡意攻 擊(如拒絕服務(wù)攻擊)�����,并通知由服務(wù)提供商維護(hù)的中央過(guò)濾器200��。
中央過(guò)濾器200用于限制通過(guò)服務(wù)提供商網(wǎng)絡(luò)120到達(dá)企業(yè)網(wǎng)絡(luò) 150的業(yè)務(wù)量����。檢測(cè)器300通常位于企業(yè)網(wǎng)絡(luò)150中的防火墻后方,檢測(cè) 器300通常向ISP的中央過(guò)濾器200發(fā)送通告消息�����?�?梢曰谙铝形墨I(xiàn)的 教導(dǎo)來(lái)實(shí)現(xiàn)檢測(cè)器300和中央過(guò)濾器200:美國(guó)專利申請(qǐng)序列號(hào)No. 11/197,842,名稱為"Method and Apparatus for Defending Against Denial of Service Attacks in IP Networks by Target Victim Self-Identification and Control",以及美國(guó)專利申請(qǐng)序列號(hào)No. 11/197,841�����,名稱為 "Method and Apparatus for Defending Against Denial of Service Attacks in IP Networks Based on Specified Source/Destination IP Address Pairs", 在這里對(duì)上述方案進(jìn)行修改以結(jié)合本發(fā)明的特征和功能�。
一旦確定拒絕服務(wù)攻擊正在對(duì)企業(yè)網(wǎng)絡(luò)150迸行侵害,檢測(cè)器300 向中央過(guò)濾器200發(fā)送一個(gè)或更多源/目的IP地址對(duì)����,使服務(wù)提供商網(wǎng) 絡(luò)120限制(例如,阻止或速率限制)源IP地址和目的IP地址與所發(fā)送 的源/目的IP地址對(duì)中的任一地址對(duì)相匹配的IP分組的傳送���,從而限制 (或消除)從一個(gè)或更多源設(shè)備110對(duì)企業(yè)網(wǎng)絡(luò)150內(nèi)的攻擊受害者的 拒絕服務(wù)攻擊��?��?蛇x地,檢測(cè)器300使用冗余連接135或主連接130來(lái)傳送源/目的IP地址對(duì)�。根據(jù)本發(fā)明的一個(gè)方面,提供了通告協(xié)議
(Denunciation Protocol)用于檢測(cè)器300和中央過(guò)濾器200之間的通信����。
因此,拒絕服務(wù)攻擊的受害者可以通過(guò)向其服務(wù)提供商通告攻擊 者來(lái)進(jìn)行"回推(pushback)"���,作為響應(yīng)���,服務(wù)提供商對(duì)要阻止的源 /目的IP地址對(duì)表進(jìn)行更新���。更具體地, 一旦識(shí)別出攻擊正在進(jìn)行���,受 害者(企業(yè)網(wǎng)絡(luò)150)將標(biāo)識(shí)出被視為是攻擊的一部分的分組中指定的 一個(gè)或更多源和目的IP地址��,并且將這些IP地址對(duì)傳送給服務(wù)提供商�����, 以由中央過(guò)濾器200將其阻止��。
如圖1所示��,對(duì)以用戶(企業(yè)網(wǎng)絡(luò)150)為目的地的分組進(jìn)行分類����, 總體上對(duì)應(yīng)于"好"和"壞"的業(yè)務(wù)量�����。例如,傳送(允許)來(lái)自類 別A的好的業(yè)務(wù)量105-A��,而對(duì)來(lái)自類別B的105-B以及類別N的105-N 的壞業(yè)務(wù)量分別進(jìn)行速率限制或丟棄����。發(fā)送業(yè)務(wù)量至與企業(yè)網(wǎng)絡(luò)150 相關(guān)聯(lián)的目的地址的源計(jì)算設(shè)備110被歸類為N種示例分類中的一種���。 通告對(duì)好與壞業(yè)務(wù)量之間的界線進(jìn)行改變���。
注意,根據(jù)特定示意性實(shí)施例����,不需要將攻擊者(即所標(biāo)識(shí)的源 IP地址)徹底從網(wǎng)絡(luò)中切斷,而是僅僅禁止其向受害者(即所標(biāo)識(shí)的 目的IP地址)發(fā)送分組����。尤其是在所標(biāo)識(shí)的源IP地址表示被接管來(lái)對(duì) 受害者迸行給定攻擊的合法用戶(例如僵尸(zombie))的情況下,這 可能是有利的�。因此被接管的機(jī)器的所有者可以繼續(xù)將系統(tǒng)用于合法 用途,而有利地挫敗了對(duì)受害者進(jìn)行的攻擊(可能該合法用戶不知道 該攻擊)�����。此外,注意��,根據(jù)這樣的示意性實(shí)施例的技術(shù)還有利地提供 保護(hù)以防止給定受害者對(duì)攻擊者過(guò)度積極的標(biāo)識(shí)����。根據(jù)本發(fā)明的原理, 由于將對(duì)攻擊的標(biāo)識(shí)留給明顯受害者來(lái)進(jìn)行判斷�,因此明顯的好處在 于,只有至給定受害者的業(yè)務(wù)量將被切斷或限制�����。
本發(fā)明提供了一種字符串匹配檢測(cè)過(guò)程700����,下文中將結(jié)合圖7進(jìn) 行進(jìn)一步討論,該過(guò)程通過(guò)分析一個(gè)或更多日志文件來(lái)檢測(cè)如惡意攻 擊之類的有害業(yè)務(wù)量��。受害者還可以通過(guò)在本發(fā)明范圍之外的一個(gè)或 更多其他算法(其簡(jiǎn)單或復(fù)雜程度不同)來(lái)識(shí)別惡意攻擊�����,但是其中 很多算法對(duì)于本領(lǐng)域技術(shù)人員來(lái)說(shuō)都是顯而易見(jiàn)的���。例如�,根據(jù)本發(fā)明的一個(gè)示意性實(shí)施例,可以檢驗(yàn)應(yīng)用日志����,并可以僅基于來(lái)自單個(gè) 標(biāo)識(shí)的源或多個(gè)標(biāo)識(shí)的源的非常高的業(yè)務(wù)量水平(例如高分組速率) 的存在來(lái)標(biāo)識(shí)攻擊。注意�����,這是標(biāo)識(shí)拒絕服務(wù)攻擊存在的一種傳統(tǒng)方 法��,并且對(duì)于本領(lǐng)域技術(shù)人員來(lái)說(shuō)是熟知的�����。
然而�����,在其它實(shí)現(xiàn)中����,可以對(duì)分組內(nèi)容執(zhí)行基于應(yīng)用的分析����,以 標(biāo)識(shí)具有可疑特性的分組或分組序列����,例如識(shí)別對(duì)不存在的數(shù)據(jù)庫(kù) 元素的頻繁數(shù)據(jù)庫(kù)搜索����;識(shí)別明顯是來(lái)自人類、卻以高出人類能夠發(fā) 起的速率發(fā)起的多個(gè)請(qǐng)求�;標(biāo)識(shí)語(yǔ)法無(wú)效的請(qǐng)求;以及標(biāo)識(shí)在正常進(jìn) 行的活動(dòng)操作中的尤為敏感的時(shí)刻出現(xiàn)的可疑業(yè)務(wù)量數(shù)量�。例如,如 果股票交易網(wǎng)站注意到在即將來(lái)臨的股票交易期間的敏感時(shí)刻出現(xiàn)尤 為破壞性的業(yè)務(wù)量�����,則可以標(biāo)識(shí)后一類型可疑分組的示例���。在其他變 化中����,在更復(fù)雜的分析中����,可以有利地將可能的攻擊的多個(gè)不同標(biāo)記 進(jìn)行組合�����,以標(biāo)識(shí)攻擊的存在�,其中所述標(biāo)記可以包括例如一種或更 多上述情況��。
示例性檢測(cè)系統(tǒng)可以在兩種模式之一下操作�����。當(dāng)區(qū)域處于"默認(rèn) 丟棄"模式下�,默認(rèn)行為是除了明確列在默認(rèn)丟棄上的業(yè)務(wù)量之外�, 過(guò)濾全部以該區(qū)域?yàn)槟康牡氐臉I(yè)務(wù)量。 一般而言�����,在默認(rèn)丟棄模式下���, 除非明確授權(quán)(例如���,與預(yù)定義的允許過(guò)濾器相匹配),否則過(guò)濾器將 自動(dòng)丟棄所有業(yè)務(wù)量��。另一方面,當(dāng)該區(qū)域處于默認(rèn)允許模式下��,除 了明確與預(yù)定義丟棄過(guò)濾器相匹配的業(yè)務(wù)量以外��,所有至用戶的業(yè)務(wù) 量都通過(guò)過(guò)濾器�����。
圖2示出了圖1中的中央過(guò)濾器系統(tǒng)200的示意框圖���,該系統(tǒng)可以 實(shí)現(xiàn)了本發(fā)明的過(guò)程�。如圖2所示����,存儲(chǔ)器230將處理器220配置為實(shí)現(xiàn) 這里公開(kāi)的拒絕服務(wù)過(guò)濾方法、步驟以及功能����。存儲(chǔ)器230可以是分布 式的或本地的,處理器220可以是分布式的或單一的����。存儲(chǔ)器230可以 被實(shí)現(xiàn)為電、磁或光存儲(chǔ)器���,或這些或其它類型存儲(chǔ)設(shè)備的任意組合����。 應(yīng)該注意,組成處理器220的每個(gè)分布式處理器通常包含其自己可尋址 的存儲(chǔ)器空間���。還應(yīng)該注意���,計(jì)算機(jī)系統(tǒng)200的一些或全部可以被并入 專用或通用集成電路中。
如圖2所示����,示例性存儲(chǔ)器230包括拒絕服務(wù)過(guò)濾器規(guī)則庫(kù)260以及一個(gè)或更多拒絕服務(wù)過(guò)濾過(guò)程400,下文中將結(jié)合圖4進(jìn)行進(jìn)一步討 論���。 一般而言,示例性拒絕服務(wù)過(guò)濾器規(guī)則庫(kù)260是一種傳統(tǒng)過(guò)濾器規(guī) 則庫(kù)����,包括與中央過(guò)濾器200應(yīng)限制或允許的業(yè)務(wù)量相關(guān)聯(lián)的源/目的 地址對(duì)。拒絕服務(wù)過(guò)濾過(guò)程400是根據(jù)本發(fā)明的用于抵御拒絕服務(wù)或其 它攻擊的示例性方法�。
中央過(guò)濾器200可以被實(shí)現(xiàn)為服務(wù)提供商網(wǎng)絡(luò)120中包括的獨(dú)立 箱,或可選地����,被實(shí)現(xiàn)為并入已經(jīng)存在于網(wǎng)絡(luò)120中的其它傳統(tǒng)網(wǎng)絡(luò)單 元中的線路卡���。此外,根據(jù)特定示意性實(shí)施例����,運(yùn)營(yíng)商可以有利地將 中央過(guò)濾器200部署在網(wǎng)絡(luò)120中相對(duì)靠近攻擊起源的位置,或可以將 其放置為有利地保護(hù)高級(jí)用戶免遭攻擊�����。
圖3示出了圖1中的檢測(cè)器300的示意框圖��,檢測(cè)器300可以實(shí)現(xiàn)本 發(fā)明的過(guò)程�����。如圖3所示�����,存儲(chǔ)器330將處理器320配置為實(shí)現(xiàn)這里公開(kāi) 的拒絕服務(wù)過(guò)濾方法����、步驟以及功能�����。存儲(chǔ)器330可以是分布式的或本 地的��,處理器320可以是分布式的或單一的���。存儲(chǔ)器330可以被實(shí)現(xiàn)為 電、磁或光存儲(chǔ)器��,或這些或其它類型存儲(chǔ)設(shè)備的任意組合�。應(yīng)該注 意,組成處理器320的每個(gè)分布式處理器通常包含其自己可尋址的存儲(chǔ) 器空間���。還應(yīng)該注意���,計(jì)算機(jī)系統(tǒng)300的一些或全部可以被并入專用或 通用集成電路中。
如圖3所示�����,示例存儲(chǔ)器330包括一個(gè)或更多拒絕服務(wù)檢測(cè)過(guò)程 500�、檢測(cè)器規(guī)則庫(kù)600以及字符串匹配檢測(cè)過(guò)程700�����,下文中將結(jié)合圖 5至7來(lái)對(duì)上述每一項(xiàng)分別進(jìn)行進(jìn)一步討論。拒絕服務(wù)檢測(cè)過(guò)程500是根 據(jù)本發(fā)明的用于檢測(cè)和抵御拒絕服務(wù)或其它攻擊的示例方法�。檢測(cè)器 規(guī)則庫(kù)600記錄與目標(biāo)系統(tǒng)希望保護(hù)的文件相關(guān)聯(lián)的字符串。字符串匹 配檢測(cè)過(guò)程700分析一個(gè)或更多日志文件�,以標(biāo)識(shí)與來(lái)自檢測(cè)器規(guī)則庫(kù) 600的一個(gè)或更多預(yù)定義字符串相匹配的對(duì)目標(biāo)系統(tǒng)的一個(gè)或更多文 件的不成功的訪問(wèn)嘗試。
圖4是描述采用本發(fā)明特征的拒絕服務(wù)過(guò)濾過(guò)程400的示例實(shí)現(xiàn) 的流程圖��。注意���,示例性拒絕服務(wù)過(guò)濾過(guò)程400被實(shí)現(xiàn)為"默認(rèn)允許" 模式�。針對(duì)"默認(rèn)丟棄"模式的實(shí)現(xiàn)對(duì)本領(lǐng)域普通技術(shù)人員而言是顯 而易見(jiàn)的����。 一般而言,拒絕服務(wù)過(guò)濾過(guò)程400是根據(jù)本發(fā)明的用于抵御拒絕服務(wù)或其它攻擊的示例性方法�����。在中央過(guò)濾器200中執(zhí)行示意性拒
絕服務(wù)過(guò)濾過(guò)程400�,該過(guò)程從步驟410開(kāi)始,在步驟410期間����,接收來(lái) 自檢測(cè)器300的指示���,該指示表明拒絕服務(wù)或另一種惡意攻擊正在對(duì)企 業(yè)網(wǎng)絡(luò)150中的給定目標(biāo)受害者進(jìn)行侵害。
此后���,在步驟420期間�����,為了挫敗拒絕服務(wù)攻擊�����,網(wǎng)絡(luò)運(yùn)營(yíng)商接 收來(lái)自檢測(cè)器300的一個(gè)或更多源/目的IP地址對(duì)��,這些源/目的IP地址 對(duì)表示應(yīng)當(dāng)要阻止的IP分組���。示意性地,源IP地址是攻擊(例如"僵 尸")計(jì)算設(shè)備110的IP地址����,目的IP地址是與目標(biāo)受害者自身相關(guān)聯(lián) 的IP地址。如下文將討論的�����,根據(jù)通告協(xié)議DP來(lái)傳送來(lái)自檢測(cè)器300 的消息�����。
然后���,在步驟430期間�����,網(wǎng)絡(luò)運(yùn)營(yíng)商監(jiān)控IP分組業(yè)務(wù)量�,以標(biāo)識(shí)源 和目的IP地址與接收到的一個(gè)或更多源/目的IP地址對(duì)相匹配的IP分 組�����。在步驟440期間���,執(zhí)行測(cè)試以確定一個(gè)或更多分組是否與拒絕服務(wù) 過(guò)濾器規(guī)則庫(kù)260中的地址對(duì)相匹配�����。
如果在步驟440期間確定一個(gè)或更多分組與拒絕服務(wù)過(guò)濾器規(guī)則 數(shù)據(jù)庫(kù)260中的地址對(duì)相匹配���,則在步驟460期間�,應(yīng)當(dāng)將該分組丟棄 或?qū)ζ溥M(jìn)行限制��。
如果在步驟440期間確定一個(gè)或更多分組與拒絕服務(wù)過(guò)濾器規(guī)則 數(shù)據(jù)庫(kù)260中的地址對(duì)不相匹配�����,則在步驟470期間����,應(yīng)當(dāng)允許該分組 應(yīng)該傳送至企業(yè)網(wǎng)絡(luò)150。
圖5是描述采用本發(fā)明特征的拒絕服務(wù)檢測(cè)過(guò)程500的示例實(shí)現(xiàn) 的流程圖�。 一般而言,拒絕服務(wù)檢測(cè)過(guò)程500是根據(jù)本發(fā)明的用于抵御 拒絕服務(wù)或其它攻擊的示例性方法��。示意性拒絕服務(wù)檢測(cè)過(guò)程500由目 標(biāo)受害者處的檢測(cè)器300執(zhí)行��,過(guò)程500從步驟510開(kāi)始��,在步驟510期
間�,基于對(duì)接收到的IP分組和/或服務(wù)器日志的分析來(lái)確定拒絕服務(wù)攻 擊或其他惡意攻擊是否正在對(duì)其進(jìn)行侵害。如下文中將結(jié)合圖7進(jìn)行進(jìn) 一步討論的���,本發(fā)明提供了示例性字符串匹配檢測(cè)過(guò)程700����,該過(guò)程通 過(guò)對(duì)服務(wù)器日志文件執(zhí)行字符串匹配操作來(lái)檢測(cè)攻擊。
在步驟520期間����,為了挫敗拒絕服務(wù)攻擊�,將一個(gè)或更多源/目的 IP地址對(duì)標(biāo)識(shí)為表示應(yīng)當(dāng)要阻止的IP分組。(示意性地��,源IP地址是攻擊(僵尸)計(jì)算設(shè)備110的IP地址�,目的IP地址是與目標(biāo)受害者自身相 關(guān)聯(lián)的IP地址。)最后����,在步驟530期間,將所標(biāo)識(shí)的源/目的IP地址對(duì) 傳送至受害者的運(yùn)營(yíng)商網(wǎng)絡(luò)的中央過(guò)濾器200�,以使得運(yùn)營(yíng)商網(wǎng)絡(luò)能阻
止具有匹配的源和目的IP地址的分組的傳送。
圖6是描述采用本發(fā)明特征的檢測(cè)器規(guī)則庫(kù)600的示例實(shí)現(xiàn)的樣 本表格����。 一般而言,檢測(cè)器規(guī)則庫(kù)600記錄與目標(biāo)系統(tǒng)希望保護(hù)的文 件相關(guān)聯(lián)的字符串����。如圖6所示��,示例檢測(cè)器規(guī)則庫(kù)600記錄了多個(gè) 不同的字符串以及當(dāng)檢測(cè)到該字符串時(shí)要執(zhí)行的對(duì)應(yīng)動(dòng)作(例如��,丟 棄或限制)�����。例如��, 一種巳知的惡意攻擊針對(duì)"command.exe"進(jìn)行探 測(cè)�����,以獲取對(duì)遠(yuǎn)程計(jì)算機(jī)上的命令解釋程序的訪問(wèn)��。因此�,示例性檢 測(cè)器規(guī)則庫(kù)600包括查找字符串"command.exe"的規(guī)則��。
圖7是描述采用本發(fā)明特征的字符串匹配檢測(cè)過(guò)程700的示例實(shí) 現(xiàn)的流程圖����。如圖7所示,示例性字符串匹配檢測(cè)過(guò)程700從步驟710 開(kāi)始��,在步驟710期間讀取應(yīng)用日志����,所述應(yīng)用日志包含針對(duì)每次嘗 試訪問(wèn)目標(biāo)系統(tǒng)的條目��,以及針對(duì)目標(biāo)系統(tǒng)做出的每個(gè)響應(yīng)的條目���。
在步驟720期間,對(duì)應(yīng)用日志中每個(gè)條目中的請(qǐng)求進(jìn)行解析��。在 步驟730期間執(zhí)行測(cè)試以確定正在處理的當(dāng)前條目是否是錯(cuò)誤條目����。 如上所述����,成功訪問(wèn)(例如,對(duì)文件在其正確位置上的訪問(wèn)嘗試)被 假定為合法訪問(wèn)�����,并允許該端點(diǎn)的其它訪問(wèn)���。
如果在步驟730期間確定正在處理的當(dāng)前條目不是錯(cuò)誤條目����,則 程序控制返回步驟720以解析應(yīng)用日志中的下一個(gè)條目。如下面將進(jìn) 一步討論的���,在一個(gè)示例實(shí)現(xiàn)中����,如果當(dāng)前條目不是錯(cuò)誤條目��,則在 步驟770期間可以可選地保存該記錄以供進(jìn)一步分析(可以在晚些時(shí) 候?qū)⑵渥柚?�����。然而���,如果在步驟730期間確定正在處理的當(dāng)前條目是 錯(cuò)誤條目��,則在步驟740期間執(zhí)行另一測(cè)試����,以確定該請(qǐng)求是否包括 與規(guī)則庫(kù)600相匹配的字符串�����。
如果在步驟740期間確定該請(qǐng)求包括與規(guī)則庫(kù)600相匹配的字符 串��,則在步驟750期間將通告消息發(fā)送至中央過(guò)濾器200。然而��,如 果在步驟740期間確定該請(qǐng)求不包括與規(guī)則庫(kù)600相匹配的字符串����, 則在步驟760期間執(zhí)行另一測(cè)試,以確定該請(qǐng)求是否包括與正則表達(dá)式相匹配的字符串���。
如果在步驟760期間確定該請(qǐng)求包括與正則表達(dá)式相匹配的字符
串����,則在步驟750期間將通告消息發(fā)送至中央過(guò)濾器200�。然而���,如 果在步驟760期間確定該請(qǐng)求不包括與正則表達(dá)式相匹配的字符串����, 則在步驟770期間可選地保存該記錄以供進(jìn)一步分析�����。
本發(fā)明可以與一個(gè)或更多輔助工具結(jié)合工作����。例如�,這種工具可 以包括用于識(shí)別所施加的拒絕服務(wù)攻擊的因特網(wǎng)服務(wù)器插件�、對(duì)各種 IDS系統(tǒng)(侵入檢測(cè)系統(tǒng))的鏈接、用于網(wǎng)絡(luò)診斷的數(shù)據(jù)庫(kù)(如上所 述)���、以及用于對(duì)在給定運(yùn)營(yíng)商的基礎(chǔ)結(jié)構(gòu)放置Zapper (清除器)功 能提供指導(dǎo)的方法���。在這里所公開(kāi)內(nèi)容的教導(dǎo)下,提供各種上述輔助 工具的本發(fā)明的示意性實(shí)施例對(duì)于本領(lǐng)域技術(shù)人員來(lái)說(shuō)是顯而易見(jiàn) 的����。
系統(tǒng)和制造品的細(xì)節(jié)
如在本領(lǐng)域所知的,本文討論的方法和裝置可以作為制造品來(lái)分 發(fā)����,其本身包括其上實(shí)現(xiàn)有計(jì)算機(jī)可讀代碼裝置的計(jì)算機(jī)可讀介質(zhì)。 與計(jì)算機(jī)系統(tǒng)相結(jié)合����,計(jì)算機(jī)可讀程序代碼裝置可操作為執(zhí)行全部或 一些步驟來(lái)執(zhí)行這里討論的方法或創(chuàng)建這里討論的裝置。計(jì)算機(jī)可讀 介質(zhì)可以是可記錄介質(zhì)(例如��,軟盤,硬盤驅(qū)動(dòng)器��,光盤���,存儲(chǔ)卡���, 半導(dǎo)體器件,芯片�����,專用集成電路(ASIC))或可以是傳送介質(zhì)(例 如網(wǎng)絡(luò)����,包括光纖、萬(wàn)維網(wǎng)���、線纜、使用時(shí)分多址接入�、碼分多址 接入或其它射頻信道的無(wú)線信道)??梢允褂眠m合與計(jì)算機(jī)系統(tǒng)一起使 用的、能夠存儲(chǔ)信息的己知或己開(kāi)發(fā)的任何介質(zhì)�����。計(jì)算機(jī)可讀代碼裝 置是允許計(jì)算機(jī)讀取指令和數(shù)據(jù)任何機(jī)制,如磁介質(zhì)上的磁變化或光 盤表面上的高度變化�。
本文所述的計(jì)算機(jī)系統(tǒng)和服務(wù)器均包括存儲(chǔ)器,該存儲(chǔ)器將相關(guān) 聯(lián)的處理器配置為實(shí)現(xiàn)本文所公開(kāi)的方法���、步驟以及功能���。存儲(chǔ)器可 以是分布式的或本地的,處理器可以是分布式的或單一的���。存儲(chǔ)器可 以被實(shí)現(xiàn)為電�、磁或光存儲(chǔ)器�,或這些或其它類型存儲(chǔ)設(shè)備的任意組 合。此外�����,術(shù)語(yǔ)"存儲(chǔ)器"應(yīng)當(dāng)被寬泛地解釋為包括任何信息�����,只要可以從中讀取或向其寫(xiě)入由相關(guān)聯(lián)的處理器訪問(wèn)的可尋址空間中的地 址�。使用這個(gè)定義,網(wǎng)絡(luò)上的信息依然在存儲(chǔ)器的范圍內(nèi),這是因?yàn)?相關(guān)聯(lián)的處理器可以從網(wǎng)絡(luò)中檢索信息�����。
應(yīng)當(dāng)理解�����,本文所示和所述的實(shí)施例和變化僅僅用于說(shuō)明本發(fā)明 的原理��,在不背離本發(fā)明的范圍和精神的情況下��,本領(lǐng)域技術(shù)人員可 以實(shí)現(xiàn)各種修改�。
權(quán)利要求
1、一種用于檢測(cè)由目標(biāo)受害者接收到的有害業(yè)務(wù)量的方法��,所述目標(biāo)受害者具有一個(gè)或更多目的地址�,所述方法包括以下步驟維護(hù)標(biāo)識(shí)一個(gè)或更多字符串表達(dá)式的規(guī)則庫(kù);分析日志文件中的一個(gè)或更多錯(cuò)誤條目���,所述日志文件包括所述目標(biāo)受害者接收到的一個(gè)或更多請(qǐng)求����;確定所述一個(gè)或更多請(qǐng)求是否包括與所述規(guī)則庫(kù)中的一個(gè)或更多字符串表達(dá)式相匹配的字符串�;以及如果所述一個(gè)或更多請(qǐng)求包括與所述規(guī)則庫(kù)中的所述一個(gè)或更多字符串表達(dá)式相匹配的字符串,則向中央過(guò)濾器發(fā)送通告消息���。
2��、 根據(jù)權(quán)利要求l所述的方法���,其中,所述有害業(yè)務(wù)量包括惡意 攻擊���。
3����、 根據(jù)權(quán)利要求l所述的方法�����,其中�,所述一個(gè)或更多字符串表 達(dá)式包括一個(gè)或更多的字符串和正則表達(dá)式。
4��、 根據(jù)權(quán)利要求l所述的方法��,其中��,所述一個(gè)或更多字符串表 達(dá)式表示攻擊者可能嘗試訪問(wèn)的一個(gè)或更多資源。
5�、 根據(jù)權(quán)利要求l所述的方法,其中���,所述一個(gè)或更多錯(cuò)誤條目 與攻擊者對(duì)由所述目標(biāo)受害者維護(hù)的一個(gè)或更多資源的存儲(chǔ)位置進(jìn)行 的探測(cè)嘗試相對(duì)應(yīng)���。
6、 根據(jù)權(quán)利要求l所述的方法�����,其中���,所述規(guī)則庫(kù)標(biāo)識(shí)針對(duì)每個(gè) 所述字符串表達(dá)式的對(duì)應(yīng)動(dòng)作�。
7���、 根據(jù)權(quán)利要求l所述的方法���,還包括以下步驟記錄來(lái)自所述 日志文件的一個(gè)或更多成功訪問(wèn)以用于進(jìn)一步分析。
8��、 一種用于檢測(cè)由目標(biāo)受害者接收到的有害業(yè)務(wù)量的裝置�,所 述裝置包括存儲(chǔ)器��;以及至少一個(gè)處理器,與存儲(chǔ)器耦合�,所述處理器操作為維護(hù)標(biāo)識(shí)一個(gè)或更多字符串表達(dá)式的規(guī)則庫(kù);分析日志文件中的一個(gè)或更多錯(cuò)誤條目���,所述日志文件包括所述目標(biāo)受害者接收到的一個(gè)或更多請(qǐng)求�����;確定所述一個(gè)或更多請(qǐng)求是否包括與所述規(guī)則庫(kù)中的一個(gè)或更 多字符串表達(dá)式相匹配的字符串���;以及如果所述一個(gè)或更多請(qǐng)求包括與所述規(guī)則庫(kù)中的所述一個(gè)或更 多字符串表達(dá)式相匹配的字符串,則向中央過(guò)濾器發(fā)送通告消息�。
9、 根據(jù)權(quán)利要求8所述的裝置�,其中,所述一個(gè)或更多字符串表達(dá)式包括一個(gè)或更多的字符串和正則表達(dá)式�����。
10���、 根據(jù)權(quán)利要求8所述的裝置�����,其中�,所述一個(gè)或更多錯(cuò)誤條 目與攻擊者對(duì)由所述目標(biāo)受害者維護(hù)的一個(gè)或更多資源的存儲(chǔ)位置進(jìn) 行的探測(cè)嘗試相對(duì)應(yīng)。
全文摘要
本發(fā)明提供了利用字符串分析來(lái)檢測(cè)一個(gè)或更多分組網(wǎng)絡(luò)中的有害業(yè)務(wù)量的方法和裝置�。通過(guò)下列步驟來(lái)檢測(cè)目標(biāo)受害者接收到的如惡意攻擊之類的有害業(yè)務(wù)量維護(hù)標(biāo)識(shí)一個(gè)或更多字符串表達(dá)式的規(guī)則庫(kù);分析日志文件中的一個(gè)或更多錯(cuò)誤條目���,所述日志文件包括目標(biāo)受害者接收到的一個(gè)或更多請(qǐng)求�;確定所述一個(gè)或更多請(qǐng)求是否包括與規(guī)則庫(kù)中的一個(gè)或更多字符串表達(dá)式相匹配的字符串��;以及如果所述一個(gè)或更多請(qǐng)求包括與規(guī)則庫(kù)中的一個(gè)或更多字符串表達(dá)式相匹配的字符串����,則向中央過(guò)濾器發(fā)送通告消息。所述字符串表達(dá)式可以包括例如字符串或正則表達(dá)式����,所述字符串表達(dá)式可以表示攻擊者可能嘗試訪問(wèn)的一個(gè)或更多資源。
文檔編號(hào)H04L29/06GK101529862SQ200780040168
公開(kāi)日2009年9月9日 申請(qǐng)日期2007年10月23日 優(yōu)先權(quán)日2006年11月3日
發(fā)明者克里福德·E·馬丁, 埃里克·亨利·格羅塞 申請(qǐng)人:朗訊科技公司