[发明专利]控制客户端和具有私有网络地址的服务器之间的应用消息的方法和设备

说明书

技术领域

本发明涉及控制通信网络中的流量，尤其是控制恶意流量的存在 的方法和系统。本发明的方法和系统目的在于防止恶意流量被连接到 通信网络连接的服务器接收，同时，允许合法流量对服务器的传输。

背景技术

在计算机安全中，使计算机资源，例如服务器的预定用户不能使 用所述计算机资源的尝试众所周知。这种恶意通信，或者说攻击通常 被称为“拒绝服务攻击”(DoS攻击)，或者“分布式DoS”(DDoS)， 其中服务器被迫关闭，或者至少降低其性能。

这可通过用大量的虚假流量淹没攻击中的受害者，以消耗服务器 资源来实现。攻击者计划进行DoS，以阻止系统正常工作，从而阻塞 合法网络流量。通常，应用服务器，比如Web和SIP(会话发起协议) 服务器面对公开的、不安全的因特网。从而，应用服务器潜在地是DoS 的受害者。

通常，即使在内部网情况中，服务器也可能是例如由病毒或误配 置的客户端产生的大量流量的目标。特别地，SIP服务器产生大量潜 在的DoS攻击机会，电信运营商必须认识和解决这些潜在的DoS攻击 机会，以提供服务的连续性。

在不同的DoS类攻击中，应用层攻击通常非常难以被识别出来。

在下一代网络(NGN)中，大量使用诸如SIP、HTTP和Web 服务之类的协议。不过，NGN应用，和电信运营商提供的大多数增值 服务易发生应用层DoS。

对用户来说，这些攻击可能具有严重的后果，用户不能获得感兴 趣的服务，常常导致财务损失和生产力损失。

近年来，为了保护单个服务器或者私有子网络不受DoS/DDoS攻 击，提出了几种方法。

US 2001/0039623公开了一种识别和根除网络上的欺诈请求的检 测系统、方法和设备。该检测系统的实施例包括至少一个路由器、服 务器和活动监视系统，所述活动监视系统包括路由器仲裁器和流量分 析器，其中路由器仲裁器监视路由器上的活动。路由器仲裁器持续监 视路由器和防火墙装置，以确定是否出现异常活动或流量模式。如果 确定存在异常活动或异常流量模式，那么活动监视系统通过阻止该活 动或者重定向流量来进行响应。合法或不合法的流量从而都被定向到 “黑洞”，即，接受网络流量但是不作出响应的计算机。

以Riverhead Networks，Inc.名义的美国专利申请n.2006/0050719 描述一种通信方法，该方法包括耦接层3分组路由器的第一端口，以 接收来自网络的通信流量，所述流量包括前往目标地址的分组，所述 目标地址可通过路由器的第二端口访问。在路由器处，前往目标地址 的分组经路由器的第三端口被转移给流量处理器。转移的分组在流量 处理器中被处理，把处理后的分组经第三端口返回给路由器。在路由 器处，处理后的分组从第三端口被传给第二端口，以便传送给目标地 址。

这种方法需要几个网络部件的存在和所有流量分组的处理。

以Agency for Science，Technology and Research名义的国际专 利申请WO 2006/004556公开一种过滤网络中的数据传输，以避免恶 意通信的方法和系统。该方法包括确定通过第一路径向第一电子地址 发送通信的一个或多个表观起始地址；指令确定的表观起始地址把预 定给第一电子地址的未来通信重定向到第二路径；并且滤出通过第一 路径从确定的表观起始地址发给第一电子地址的通信。

在以Riverhead Networks，Inc.名义的美国专利申请 n.2005/0044352中，描述了一种鉴别通信流量的方法，该方法包括接 收通过网络从源地址发送的第一请求，比如DNS请求，以提供关于指 定域名的网络信息。答复第一请求向源地址发送响应。当答复该响应， 从源地址发送第二请求时，根据第二请求评估第一请求的真实性。

为了验证第一请求的合法性，保护系统向源地址返回包含称为 “cookie”的编码信息的DNS响应。合法的客户端会提交新的DNS请 求，所述新的DNS请求本身包含该cookie。保护系统截取该请求，并 且检查该请求是否包含正确的cookie。如果是，那么保护系统把客户 端的IP地址视为合法，并且允许该客户端访问该DNS服务器。

提出的支持IP电话的协议是会话发起协议(SIP)。SIP是一种 基于ASCII的应用层对等协议，它可被用于建立、保持和结束两个或 更多终端之间的呼叫。