[发明专利]用于潜在被污染端系统的牵制机制

权利要求书

1.一种用于在通信网络的边缘处连接的网络单元的恶意软件检测和响 应系统，所述系统包括：

头部数据处理单元，用于检查在所述网络单元的端口上看到的每个协 议数据单元PDU的头部数据，并且识别PDU类型；

计数器单元，用于基于所述PDU类型提供每个流量方向的多个计数 值，其中所述计数器单元包括：

多个简单计数器，用于维护独立计数值的每个简单计数器为各自流量 方向提供在所述端口上看到的指定PDU类型的PDU的数量，

复杂计数器单元，用于确定经过所述端口交换PDU的远端主机的数 量；

用于存储极限表和规则集的装置，所述极限表为每个所述计数值设置 对应的极限，所述规则集为所述端口定义攻击模式和牵制动作；以及

攻击识别和牵制单元，其基于所述计数值、极限表和规则集识别攻击 的类型，并且发起用于牵制所述攻击类型的防御动作。

2.根据权利要求1所述的系统，其中，对于每个PDU类型，所述复 杂计数器单元包括输出复杂计数器和输入复杂计数器，所述输出复杂计数 器用于计数从所述端口接收所述各自PDU类型的PDU的远端主机的数 量，所述输入复杂计数器用于计数向所述端口传输所述各自PDU类型的 PDU的远端主机的数量。

3.根据权利要求1所述的系统，其中，所述复杂计数器单元包括：

多个桶的桶阵列，每个桶与至少一个远端主机的地址相关联；

桶选择器，用于识别在所述端口上看到的PDU的地址数据，识别对应 所述地址数据的桶，并且仅在所述桶之前未被设置时设置所述桶；以及

桶计数器，用于提供指示经过预置时间段设置的桶的数量的所述计数 值。

4.根据权利要求1所述的系统，进一步包括将时间窗口关联到每个所 述计数器的计时单元。

5.根据权利要求1所述的系统，其中，所述计数器单元包括ARP计 数器、TCP计数器、DNS计数器、UDP计数器和ICMP计数器的一个或 多个。

6.根据权利要求1所述的系统，其中，所述攻击识别和牵制单元包括：

攻击识别单元，用于使用所述极限表和所述规则集识别所述攻击类型； 以及

攻击牵制单元，用于基于由所述攻击识别单元识别的攻击类型执行防 御动作。

7.根据权利要求6所述的系统，其中，所述攻击识别单元包括：

用于从用于指定PDU类型的所述计数值中确定合成计数值的装置；

通过将每个计数值和每个合成计数值与所述极限表中的所述对应极限 进行比较来检测所有越过的极限的装置；

基于越过的极限和所述规则集识别所述攻击类型的装置。

8.根据权利要求3所述的系统，其中，所述桶选择器包括用于随机化 所述地址数据来获得索引值的装置和通过使用所述索引值来识别对应于所 述桶阵列中的所述地址数据的所述桶的装置。

9.根据权利要求8所述的系统，其中，用于随机化所述地址数据来获 得索引值的装置包括对所述地址数据应用散列函数的散列装置。

10.根据权利要求9所述的系统，其中，用于随机化所述地址数据来 获得索引值的装置进一步在所述散列装置前包括用于处理所述地址数据的 附加随机化装置。