[发明专利]检测和防范对计算机存储阵列的拒绝服务攻击的系统

说明书

本文公开了一种检测和防范拒绝服务攻击的计算机存储阵列，该计算机存储阵列为一个或多个远程发起者提供对连接至计算机存储阵列的一个或多个存储装置的访问。根据示例实施例，所述计算机存储阵列包括：计算机处理器，其被构造为运行管理网络协议的操作系统；网络装置，其被构造为监视和路由相对于存储装置进出的分组级别的网络流量；基板管理控制器，其被构造为基于网络装置对网络流量的统计信息的监视来检测拒绝服务攻击；PCIe交换机，其通过PCIe总线将基板管理控制器与各存储装置连接；以及计算机主板，计算机处理器、网络装置、基板管理控制器和PCIe交换机安装于该计算机主板上。

相关申请的交叉引用

本申请要求于2017年3月31日提交的标题为“Method of Improving Security ofNVMe-oF-based Systems from Denial-of-Service(DoS)Attacks(提高基于NVMe-oF的系统对拒绝服务(DoS)攻击的安全性的方法)”的美国临时专利申请No.62/479,954的优先权和利益，该申请的全部内容以引用方式并入本文中。

技术领域

本公开涉及计算机存储阵列。具体地说，本公开涉及一种检测和防范对计算机存储阵列的拒绝服务(DoS)攻击的系统。

背景技术

计算机存储阵列(还称作磁盘阵列)通常是连接有诸如硬盘驱动器(HDD)和固态盘驱动器(SSD)的多个数据存储装置的数据存储系统。计算机存储阵列被设计为高度可扩展并且为多个发起者提供共享数据访问，所述发起者可为端点客户机、计算机服务器和/或其它数据用户。

支持网上高速非易失性存储器(Non-Volatile Memory Express over Fabrics，NVMe-oF)规范的存储装置(为了方便起见，下文中“NVMe-oF装置”)由于它们的高性能和可扩展性正变得更受欢迎，尤其用于计算机存储阵列中。NVMe-oF是一种技术规范，其被设计为在诸如以太网、光纤通道和无限带宽技术(InfiniBand)之类的网络上使得基于NVMe消息的命令能够在诸如主机计算机的发起者与NVMe-oF装置或系统之间传递数据。因此，NVMe-oF装置通常包括网络装置(例如，具有以太网控制器)和存储装置(例如，具有SSD)二者的功能。

作为网络装置，NVMe-oF装置易受诸如拒绝服务(DoS)攻击的网络攻击。DoS攻击是一种网络攻击，其中，行为人试图通过暂时或不停地中断连接到互联网上的主机服务，以使其预期用户无法使用机器或网络资源。通常，DoS攻击通过在攻击中利用冗余请求使目标机器或资源泛洪来实现，从而使系统过载并阻止满足一些或所有的合法请求。当泛洪来自多个源时，该DoS攻击被认为是分布式DoS(DDoS)攻击。

DoS攻击类似于一群人朝着商店或办公楼的门或大门拥挤，不让合法的当事方进入商店或办公楼，扰乱正常运营。因此，典型的DoS攻击本身的目的不是窃取或暴露存储在计算机服务器或存储阵列上的机密数据，而是简单地用伪造的流量压垮它。然而，已知DoS攻击被用作分散对其它更恶毒的网络攻击的注意力的手段。

在一些情况下，其固件或软件已感染或破坏的NVMe-oF装置会成为对其它系统的DoS攻击不知情的参与者。不管这种情况如何，检测和防范DoS攻击常常需要公司耗费宝贵的资源。此外，DoS攻击时间越长，受DoS攻击影响的公司的成本就越高。

发明内容

本文公开了一种计算机存储阵列，用于检测和防范拒绝服务(DoS)攻击，该计算机存储阵列为一个或多个远程发起者提供对连接至计算机存储阵列的一个或多个存储装置的访问。根据示例实施例，计算机存储阵列包括：计算机处理器，其被构造为运行管理网络协议的操作系统；网络装置，其被构造为监视和路由相对于存储装置进出的分组级别的网络流量；基板管理控制器(BMC)，其被构造为基于网络装置对网络流量的统计信息的监视来检测DoS攻击；PCIe交换机，其通过PCIe总线将BMC与各存储装置连接；以及计算机主板，计算机处理器、网络装置、BMC和PCIe交换机安装于该计算机主板上。