[发明专利]借助目标受害者的自识别和控制，防御IP网络中服务拒绝攻击的方法

说明书

交叉参考相关申请

本申请与共同未决美国专利申请序列No._______“MethodAnd Apparatus For Defending Against Denial Of Service Attacks InIP Networks Based On Specified Source/Destination IP AddressPairs”有关，该申请由E.Grosse与本发明一道在相同日期提交并共同转让给本发明的受让人。

技术领域

本发明一般涉及基于通信网络的，诸如互联网协议(IP)网络的分组中的计算机安全领域，尤其涉及在该网络中防御服务拒绝攻击的方法和设备，其中，目标受害者自身标识这种攻击的存在、识别攻击的源、和请求与之有关的电信公司网络(carrier network)，控制恶意分组的路由。

背景技术

每天都有好几千新的“僵尸(zombie)”加入被劫持的PC(个人计算机)联盟，向电子邮件用户发送垃圾邮件，并向电子商业站址、政府资源、及其他网络基础结构，发动服务拒绝(Denial of Service，DoS)攻击。事实上，每日估计有多达170,000僵尸机器添加到互联网。当有限的资源必须分配给攻击者而不是合法的使用时，服务拒绝(DoS)攻击尤其能导致主要服务的中断。这类攻击在日历年2004年，估计已经造成超过$26,000,000的损失。进行攻击的机器一般牵涉受远程主机控制的僵尸机器，且通常借助在互联网上发送指向攻击目标受害者的巨量IP(互联网协议)分组，进行破坏。唆使这种攻击的嫌疑犯，从意在欺骗点小钱的十几岁少年，到试图诈骗大公司钱财的国际犯罪组织。

目前，有两条通用的途径，用于防御这种服务拒绝攻击-其一是大量人工的，另一是自动的。第一途径要求终端用户(即目标受害者)人工识别攻击的存在，接着向该受害者的服务提供商(即电信公司)通过人工(如电话)报告受到的攻击，结合请求电信公司识别被报告的攻击源并怂恿建立保护壁垒，以阻止通过网络到达受害者的攻击一部分的分组。最为典型的是，这样的途径将导致电信公司识别犯法的分组的源，随后由它拒绝从该源接受任何分组(或至少来自该源指向特定的攻击受害者的任何分组，而该受害者识别并报告存在攻击)。

第二条防御这种服务拒绝攻击的途径，是提供更为自动的处理过程，该过程要求服务提供商包括复杂的“分组洗涤器”或“清洁器”的过滤器，每一或任何指向受保护的终端用户的分组，必须通过该过滤器。就是说，改变互联网的路由表，使所有给定终端用户的业务，通过这样的过滤器路由，该过滤器逐个检查每一分组，尝试决定该分组是否为恶意的。如果它不像是恶意的，则被转发到终端用户，但如果它看来是恶意的，则被滤除并作废。

但是，这些途径的每一个都有颇大的限制。第一途径基本上要求人工干预，且常常不能解决受攻击的问题，直到已经造成颇大的破坏为止。而第二途径不能启动分组的应用程序分析，因为常常只有目标能抽取分组，从而分析分组的数据内容。(例如，如果使用加密协议，通常只有分组的最终目的地，才能把编码分组的数据进行解码)。此外，在受害者应用程序上已启动的攻击，不一定只靠超大的带宽，而可以靠某种功能请求。因此，需要一种解决服务拒绝攻击问题的方案，其中的攻击被及时标识、识别、和(最好是不用人工干预)制止。

发明内容

我们已经认识到，虽然标识服务拒绝攻击的最佳地方，是在目标受害者上(它有识别并解决自身所受攻击的最终动机)，但防御攻击的最佳地方，是在网络内(即在电信公司网络内)。因此，按照本发明的原理，两条上述现有技术途径的每一条的利益，可以有利地实施而没有对应的缺点。尤其是，本发明提供一种防御服务拒绝的方法和设备，其中攻击的目标受害者标识攻击的存在、识别攻击的源、和自动地指令它的电信公司网络，限制从已标识源到目标受害者的分组的传输。

更具体地说，本发明借助基于电信公司网络的互联网协议(IP)，为被提供服务的目标受害者，提供一种防御服务拒绝的方法和设备，该方法(或设备)包括的步骤(或装置)有：根据从一个或多个源IP地址接收的IP分组的分析，确定服务拒绝攻击正在恶劣地发送；识别一对或多对IP地址对，各包括该源IP地址之一和目的地IP地址(该目的地IP地址是与目标受害者关联的IP地址之一)；和向电信公司网络发送已被识别的IP地址对，使该电信公司网络能限制(如阻断)源IP地址和目的地IP地址与所述已被识别的IP地址对之一匹配的源IP地址和目的地IP地址间IP分组的传输。

附图说明