[发明专利]用于在网络节点处更新白名单的方法和系统

说明书

一种用于在网络节点处更新第一白名单的方法和系统。网络节点从物联网(IoT)设备接收数据包，并确定IoT设备的预定标识符。然后，网络节点确定预定标识符是否在第一白名单中。当预定标识符不在第一白名单中时，网络节点开始第一时段。当预定标识在第一白名单上时，网络节点确定是否在第一时段内接收到数据包。当在第一时段内接收到数据包时，网络节点识别数据包的目的地址，并基于目的地址和预定标识符更新第一白名单。将更新后的第一白名单存储在网络节点中的非暂时性计算机可读存储介质中。

技术领域

本发明总体而言涉及在网络节点处更新白名单的领域。更具体地，本发明涉及利用被允许从物联网(IoT)设备接收数据的目的地址来更新白名单。

背景技术

已知分布式拒绝服务(DDoS)攻击导致对合法互联网活动的广泛破坏。大量的商业活动正被破坏，并且正在遭受巨大的经济损失。感染了恶意代码的物联网(IoT)设备可用于登陆DDoS攻击。由于网络中可能存在许多IoT设备，受感染的IoT设备可能会从网络发起DDoS攻击。这对于网络运营商来说是不希望的。

此外受感染或未受感染的IoT设备可以将数据发送到网络运营商不希望的目的地。这种数据传输不仅消耗网络资源、机密信息、隐私，商业机密也可能受到损害。网络管理员可能具有有限的配置大多数IoT设备的能力，因为IoT设备可能是不可配置的或受IoT设备供应商的控制。网络中存在的物联网设备可能存在安全风险。

发明内容

本发明公开了用于在网络节点处更新白名单的方法和系统。当网络节点从IoT设备接收数据包时，网络节点然后确定IoT设备的预定标识符。网络节点确定预定标识符是否在第一白名单中。如果预定标识符不在第一白名单中，则网络节点开始第一时段。如果预定标识符在第一白名单上，则网络节点确定是否在第一时段内接收到数据包。如果在第一时段内接收到数据包，则网络节点识别数据包的目的地址，并基于目的地址和预定标识符更新第一白名单。将更新的第一白名单存储在网络节点中的非暂时性计算机可读存储介质中。在第一时段到期之后，网络节点基于更新的第一白名单来限制数据包传输。第一段时间不到一小时。

根据本发明的一个实施例，预定标识符是IoT设备的媒体访问控制(MAC)地址。目的地址包括互联网协议(IP)地址和/或统一资源定位符(URL)。

根据本发明的一个实施例，网络节点识别IoT设备的最大数据包传输速率，并用IoT设备的最大数据包传输速率更新第一白名单。网络确定IoT设备到第一白名单上的目的地址的数据包传输速率；其中，IoT设备的最大数据包传输速率用于限制IoT设备到第一白名单上的目的地址的数据传输速率；并且其中不允许来自IoT设备的数据包被传输到不在第一白名单上的目的地址。

根据本发明的一个实施例，网络节点在接收到来自网络节点的管理员的指令之后重置第一时段。为管理员提供用于网络节点的用户界面，以发送重置第一时段的指令。

根据本发明的一个实施例，网络节点从服务器检索IoT设备的目的地址，并基于从服务器检索的目的地址更新第一白名单。

附图说明

图1示出了根据本发明的一个实施例的网络配置；

图2是根据本发明的一个实施例的网络节点的框图。

图3A示出了根据本发明的一个实施例的基于在第一时段内所识别的数据包的目的地址来更新网络节点白名单的工作流程；

图3B示出了根据本发明的一个实施例的图3A的替代工作流程，其基于在第一时段内在网络节点处识别出的数据包的目的地址和从网络节点的服务器检索的目的地址来更新网络节点白名单；

图3C示出了根据本发明的一个实施例的图3B的替代工作流程，其基于在第一时段内所识别的数据包的目的地址和每个目的地址的最大数据包传输速率、以及IoT设备的目的地址和从服务器检索的每个目的地址的最大数据包传输速率来更新网络节点白名单；