[发明专利]名誉阈值的自动调整

说明书

技术领域

本公开大体涉及一种网络装置，例如但不限于，一种防火墙或一种实施防火墙功能的装置。

背景技术

为了向新兴技术发展并满足消费者日益增长的需求，通信行业正在迅速改变。消费者对新应用和现有应用性能提升的需求驱使着通信网络和系统提供商利用速度更快且容量更高(例如，带宽更大)的网络和系统。在试图实现这些目标时，许多通信提供商所采用的一种常见方法是使用数据包交换技术。

互联网常受到的攻击是协调分布式服务拒绝(DDoS)攻击，在这种情况下，全球许多计算机同时尝试向一台服务器发出看似合法的请求，阻断了普通客户端的访问。发动攻击的计算机常常是僵尸网络的成员，即已经不知不觉地受到恶意软件的危害的普通计算机。由于这些计算机是实际客户端，还没有一种简单的方法能将来自广阔网络的无害请求与有害请求分类。通常唯一的选择就是手动地阻断全部地址带，即便是很多合法流量也包括在这些带中，也只能这么做。一个极端的实例是，对爱沙尼亚发起的DDoS攻击，当时服务提供商最终阻断了所有非爱沙尼亚境内的IP地址-实质上，他们断开了爱沙尼亚与世界上其他地区的网络连接。

发明内容

除了其他内容，本发明还公开了与自动调整名誉阈值以改变某些数据包(例如但不限于，数据包源的对应名誉分数比新名誉阈值更低的数据包)的处理相关联的方法、设备、计算机存储介质、机制和手段。上述处理通常包括一种速率限制形式，例如但不限于(不一定不发生重叠)以下可扩充组：数据包的流程控制、服务质量(Qos)标记、丢弃、监管、额外检查(可能包括深度数据包检查)以及反应性处理等。

在一个实施例中，一防火墙、入侵防护或其他装置基于与数据包源相关联的名誉等级来自动且动态地调整受到某种速率限制的数据包。当测量的流量增大直至超出期望量时，致使与名誉分数相关联的数据包受到速率限制的名誉分数的范围被加以调整，以使测量的流量节流，降至期望限度之内。以这种方式，可在流量增大期间挑出名誉较差的数据包流量，以对其进行速率限制。当测量的流量减退时，名誉分数的范围可相应地改变，以允许更多的测量的流量。

一个实施例包括一种由具体机器来执行的方法，例如但不限于，一防火墙或入侵防护系统(IPS)。在一个实施例中，该方法包括以下步骤：由具体联网机器来对较多个数据包中的第一多个数据包进行速率限制，其中在具体联网机器所接收的数据包的数据包源的名誉分数低于预定名誉分数阈值时，这些数据包被识别为在第一多个数据包中；且其中在具体联网机器所接收的数据包的数据包源的名誉分数高于该预定名誉分数阈值时，这些数据包不会被识别为在第一多个数据包中。响应于测量的较多个数据包的流量等于或超过一个或多个预定流量测量阈值：由具体联网机器将名誉分数阈值自动地调整到较高的名誉分数，从而扩大第一多个数据包，使其现在包括速率受具体联网机器限制、与较高名誉分数相关联的数据包。

在一个实施例中，该测量的流量是基于由下列因素组成的因素组中的一个或多个因素：较多个数据包中的若干数据包的速率，较多个数据包的连接尝试的速率；以及较多个数据包的数据速率。一个实施例包括基于具体数据包的源地址，为第一多个数据包中的一个具体数据包确定一个具体名誉分数。一个实施例包括基于具体数据包的源地址和具体数据包的操作系统指纹，为第一多个数据包中的一个具体数据包确定一个具体名誉分数。一个实施例包括基于与具体数据包的源地址相关联的域，为第一多个数据包中的一个具体数据包确定一个具体名誉分数。在一个实施例中，所述基于与具体数据包的源地址相关联的域来为第一多个数据包中的具体数据包确定具体名誉分数的步骤包括：对具体数据包的源地址执行反向域名服务查找操作。在一个实施例中，具体联网机器是防火墙。在一个实施例中，由具体联网机器对一已识别数据包执行该速率限制包括由下列速率限制操作组成的速率限制操作组中的一个或多个速率限制操作：丢弃已识别数据包，转移已识别数据包以进行进一步处理进而确定怎样进行速率限制，基于已识别数据包的服务类型对已识别数据包执行服务质量(QoS)速率限制。在一个实施例中，在对第一多个数据包进行速率限制之后，测量较多个数据包的流量，使得在流量测量之前被丢弃的较多个数据包中的数据包不包括在测量的流量内。在一个实施例中，响应于测量的较多个数据包的流量等于第二预定流量测量阈值或降至第二预定流量测量阈值以下：由具体联网机器将名誉分数阈值自动地调整成较低的名誉分数，从而使速率受具体联网机器限制的第一多个数据包收缩。

附图说明