[发明专利]利用字符串分析来检测一个或更多分组网路中的有害业务量的方法和装置

说明书

相关申请的交叉引用

本发明涉及均于2005年8月5日提交的美国专利申请序列号No.11/197,842，名称为“Method and Apparatus for Defending Against Denialof Service Attacks in IP Networks by Target Victim Self-Identificationand Control”，以及美国专利申请序列号No.11/197,841，名称为“Method and Apparatus for Defending Against Denial of Service Attacksin IP Networks Based on Specified Source/Destination IP Address Pairs”，上述申请已转让给本发明的受让人并且以引用的方式并入本文中。

技术领域

本发明涉及针对基于分组的通信网络的计算机安全技术，更具体的，涉及用于在这种基于分组的网络中检测并且通告如拒绝服务攻击和其它恶意攻击之类的有害业务量。

背景技术

如拒绝服务(DoS)攻击之类的恶意攻击尝试使计算机资源对其预期用户不可用。例如，对web服务器的DoS攻击常常导致所容纳的网页不可用。当需要将有限的资源分配给攻击者而不是合法用户时，DoS攻击可以导致显著的服务中断。攻击机器通常通过因特网向攻击的目标受害者发送大量的因特网协议(IP)分组以造成损害。例如，DoS攻击可以包括尝试“洪泛(flood)”网络以阻止合法的网络业务量，或通过发送比服务器所能处理请求的更多的请求以中断服务器，从而阻止对一个或更多服务的访问。

已经提出或建议了多种用于抵御这种恶意攻击的技术。例如，美国专利申请序列号No.11/197,842，名称为“Method and Apparatus forDefending Against Denial of Service Attacks in IP Networks by TargetVictim Self-Identification and Control”，以及美国专利申请序列号No.11/197,841，名称为“Method and Apparatus for Defending Against Denialof Service Attacks in IP Networks Based on Specified Source/DestinationIP Address Pairs”，公开了用于检测和通告DoS攻击的技术。

抵御这种恶意攻击的系统通常使用与用户网络相关联的检测器以及服务提供商的网络中的中央过滤器来保护用户网络免遭恶意攻击。通常，检测器会检测对用户网络的恶意攻击，并且发送一个或更多通告或通知消息给中央过滤器。通常，通过检查目标受害者处接收到的分组中是否有一个或更多预定义字符串来检测恶意攻击。然而，预定义字符串常常可以与对目标受害者的合法访问尝试相匹配。因此，检测器可能必须检测许多访问和响应，同时保存关于进行访问的源端点的信息。另外，这种分组检测技术并不适用于加密链路，并通常被通过向要访问的路径添加额外元件所欺骗。

因此，需要改进的方法和装置，利用字符串分析来检测一个或更多分组网路中的有害业务量。

发明内容

一般而言，本发明提供了利用字符串分析来检测一个或更多分组网络中的有害业务量的方法和装置。根据本发明的一个方面，通过下列步骤来检测目标受害者接收到的有害业务量(如恶意攻击)：维护标识一个或更多字符串表达式的规则库；分析日志文件中的一个或更多错误条目，所述日志文件包括目标受害者接收到的一个或更多请求；确定所述一个或更多请求是否包括与规则库中的一个或更多字符串表达式相匹配的字符串；以及如果所述一个或更多请求包括与规则库中的一个或更多字符串表达式相匹配的字符串，则向中央过滤器发送通告消息。

所述字符串表达式可以包括例如字符串或正则表达式。所述字符串表达式可以表示攻击者可能尝试访问的一个或更多资源。错误条目通常与攻击者对由目标受害者维护的一个或更多资源的存储位置进行的探测尝试相对应。规则库可选地标识针对每个字符串表达式的对应动作。

对本发明更完整的理解以及本发明的其他特征和优点将通过参考以下详细描述以及附图来获得。

附图说明

图1示出了本发明可以在其中操作的网络环境；