[发明专利]在与至少一个域相关联的保护服务之间进行协作和请求协作的方法、相应的代理和计算机程序

说明书

本发明涉及与一个或多个域相关联的保护服务之间进行协作的方法。根据本发明，这种方法包括：‑使得由第一保护服务使用的第一代理识别(221)对由所述第一保护服务保护的域所管理的至少一个资源的攻击，‑向由第二保护服务使用的至少一个第二代理传送(222)与由所述第一代理识别的所述攻击相关的至少一条信息，该至少一个第二代理已对由所述第一保护服务提供的至少一个信息共享服务进行了订阅。

技术领域

本发明的领域是通信网络(例如IP网络)内的通信的领域，并且具体地，是增值IP(added-value)服务的领域。

更具体地，本发明提供了一种允许保护一个或多个域的不同保护服务进行协作的解决方案。这种保护服务例如是属于DPS(DDoS保护服务)类型，其实施例如但不限于DOTS类型(DDoS开放威胁信令)的架构。保护服务和被部署为提供这种服务的基础设施在以下被无差别地(indifferently)称为“保护服务”。

具体地，本发明提供了一种在识别到拒绝服务攻击时协调缓解(mitigation)行动的解决方案。

在使用可能遭受病毒、SPAM、SPIT(通过IP电话的SPAM)、DDoS等攻击的计算机网络的任何领域，本发明都有特别地应用。

背景技术

将在本文档的剩余部分中更具体地描述在缓解DDoS攻击领域中存在的问题。当然，本发明不限于此特定的应用领域，而是对缓解所有类型的攻击均有益处(interest)。

作为提醒，DDoS攻击是试图使资源(例如网络或计算资源)对其用户不可用。通过危害大量主机并使用这些主机来放大攻击，这种攻击可以被大规模部署。

为了缓解这些DDoS攻击，一些接入或服务提供商向其客户端提供检测和缓解服务。这种保护服务或DPS(DDoS保护服务)可以被托管在由接入提供商运营的基础设施内或云中。具体地，它们使得可能区分“合法(legitimate)”业务(即经用户同意的数据)与“可疑”业务。

当DPS类型的服务被托管在云中时，难以预先检测到DDoS攻击，因为这种服务不一定存在于用于到达受DDoS攻击的网络的路由路径上(默认情况下)。

为了解决这个问题，已特别地提出了建立隧道，以迫使业务(入站(inbound)或出站(outbound))进入将由DPS服务检查的站点或网络。然而，这种方法大大增加了用户观察到的延迟，并对DPS服务的大小(sizing)施加了限制，以使得DPS服务能够处理来自网络中的所有用户的所有入站或出站业务，而不会损害向客户端提供的服务的性能或质量水平。此外，这种隧道被认为是潜在的攻击载体(vector)。

当DPS服务被托管在由接入提供商运营的基础设施内时，即使DPS服务存在于网络的入站或出站业务的路由路径中，在识别可疑业务时也可能出现困难。具体地，随着加密业务的增加(尤其是UDP上承载的业务(例如QUIC业务“快速UDP互联网连接”))，难以区分合法业务与可疑业务。难以接入纯文本控制消息(诸如TCP协议中规定的“SYN/SYN-ACK/ACK”消息)是与验证网络节点是否同意接收业务相关联的复杂性的另一示例。

为了帮助识别可疑业务，IETF已经标准化了特定的基础设施。这种基础设施(称为DOTS)特别允许客户端节点(称为DOTS客户端)通知服务器(称为DOTS服务器)该客户端节点检测到DDoS攻击并且需要适当的行动。

因此，如果客户端域是DDoS攻击的目标，作为该客户端域的一部分的DOTS客户端可以向DOTS服务器发送请求协助的消息。DOTS服务器与缓解器协调，以确保与拒绝服务攻击相关联的可疑业务不再被路由到客户端域，而合法业务继续被正常地路由到客户端域。缓解器具体可以与DOTS服务器共址(co-located)。

DOTS基础设施基于DOTS客户端和DOTS服务器之间的两个通信通道的使用：

-DOTS信号通道，以及