[发明专利]用于在一个或多个分组网络中恶意攻击期间递送控制消息的方法和设备

说明书

相关申请的交叉引用

本申请涉及名称为“Method and Apparatus for Defending Against Denial of Service Attacks in IP Networks by Target Victim Self-Identification and Control”的美国专利申请11/197,842以及名称为 “Method and Apparatus for Defending Against Denial of Service Attacks in IP Networks Based on Specified Source/Destination IP Address Pairs” 的美国专利申请11/197,841，这两个专利申请均于2005年8月5日提交， 均被转让给本发明的受让人且并入此处以供参考。

技术领域

本发明涉及针对基于分组的通信网络的计算机安全技术，更具体 地涉及用于在这种基于分组的网络中检测并通告废除不期望的业务 量，例如拒绝服务攻击或另一恶意攻击。

背景技术

诸如拒绝服务(DoS)攻击之类的恶意攻击试图使得计算机资源 对于其预期用户不可用。例如，对web服务器的DoS攻击常常导致所主 持的网页不可用。当需要将有限的资源分配给攻击者而不是合法用户 时，DoS攻击可以导致显著的服务中断。发起攻击的机器通常通过在 互联网上发送大量的互联网协议(IP)分组，来造成针对攻击目标受 害者的损害。例如，DoS攻击可以包括：试图“泛滥”网络，从而阻 止合法网络业务量；或试图通过发送比服务器能够处理的更多的请求 来中断服务器，从而阻止对一个或多个服务的访问。

已提出或建议了多种用于防御这种恶意攻击的技术。例如，名称 为“Method and Apparatus for Defending Against Denial of Service Attacks in IP Networks by Target Victim Self-Identification and Control” 的美国专利申请11/197,842以及名称为“Method and Apparatus for Defending Against Denial of Service Attacks in IP Networks Based on Specified Source/Destination IP Address Pairs”的美国专利申请 11/197,841公开了用于检测并通告废除DoS攻击的技术。

防御这种恶意攻击的系统通常采用与客户网络相关联的检测器 以及服务提供者的网络中的中央过滤器，以保护客户网络免于恶意攻 击。通常，检测器将检测对客户网络的恶意攻击并向中央过滤器发送 一个或多个通告废除或通知消息。例如，在确定了恶意攻击正在进犯 客户网络时，检测器可以向中央过滤器发送一个或多个源/目的地IP地 址对，该中央过滤器使服务提供者限制源IP地址和目的地IP地址与任 意所发送的源/目的地IP地址对的源IP地址和目的地IP地址相匹配的那 些IP分组的发送，从而限制(或消除)恶意攻击。检测器通常位于靠 近客户网络的位置。

然而，恶意攻击通常导致大量分组丢失，使得很可能丢失或长时 间延迟从中央过滤器到检测器的控制消息。此外，在恶意攻击期间， 检测器很可能繁忙并处于沉重的负担下。防御这种恶意攻击的现有系 统通常采用传输层安全(TLS)、安全套接字层(SSL)、安全命令解释 程序(SSH)或其他基于传输控制协议(TCP)的协议，它们要求针 对向中央过滤器发送控制消息的肯定应答。除了在恶意攻击期间以外， 这样的信道通常是足够的。在恶意攻击期间，检测器可能无法收到来 自中央过滤器的肯定应答，或者该肯定应答可能在检测器的输入缓冲 器超载时到达检测器。通常，检测器不能继续处理，直到中央过滤器 适当地肯定应答了所有在前的通告废除消息。

因此，需要如下的方法和设备：用于在一个或多个分组网络中恶 意攻击期间向中央过滤器可靠地递送控制消息，而不需要中央过滤器 对检测器进行响应。

发明内容