亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

惡意攻擊檢測(cè)系統(tǒng)和相關(guān)的使用方法

文檔序號(hào):6732191閱讀:192來源:國(guó)知局
專利名稱:惡意攻擊檢測(cè)系統(tǒng)和相關(guān)的使用方法
技術(shù)領(lǐng)域
本發(fā)明涉及服務(wù)器保護(hù),特別是一種用于檢測(cè)并且防止對(duì)利用全 局計(jì)算機(jī)網(wǎng)絡(luò)的服務(wù)器進(jìn)行惡意攻擊的改進(jìn)技術(shù),所述惡意攻擊例如
是拒絕服務(wù)("DoS")和端口掃描,所述計(jì)算機(jī)網(wǎng)絡(luò)例如是優(yōu)選但非 必須地以網(wǎng)速發(fā)生的互聯(lián)網(wǎng)。
背景技術(shù)
許多諸如公司之類的機(jī)構(gòu)把他們的計(jì)算機(jī)聯(lián)網(wǎng)以便共享信息。另 外,這些機(jī)構(gòu)常常希望通過使用全局計(jì)算機(jī)網(wǎng)絡(luò)(例如,互聯(lián)網(wǎng))、 經(jīng)由網(wǎng)站與位于其網(wǎng)絡(luò)外部的計(jì)算機(jī)共享至少某些信息。對(duì)網(wǎng)絡(luò)外部 信息的這種共享是使用計(jì)算機(jī)服務(wù)器來實(shí)現(xiàn)的,所述計(jì)算機(jī)服務(wù)器用 于向外部計(jì)算機(jī)提供連接以便與例如互聯(lián)網(wǎng)的全局計(jì)算機(jī)網(wǎng)絡(luò)聯(lián)K。
使人遺憾的是,惡意的計(jì)算機(jī)用戶能夠使用互聯(lián)網(wǎng)連接來中斷互 聯(lián)網(wǎng)之上的網(wǎng)絡(luò)通信、訪問機(jī)密數(shù)據(jù)或者擦除數(shù)據(jù)。這種攻擊的一個(gè) 示例是拒絕服務(wù)("DoS")攻擊,在此,攻擊者試圖拒絕受害者對(duì)某 些資源的訪問。拒絕服務(wù)("DoS,,)攻擊能夠通過各種各樣的方法來 實(shí)現(xiàn),所述方法包括消耗并且用盡服務(wù)器的處理器(例如,CPU)、 存儲(chǔ)器和網(wǎng)絡(luò)連接。
為了建立網(wǎng)絡(luò)連接,在外部計(jì)算機(jī)和服務(wù)器之間一定具備雙向通 信或者信號(hào)交換過程。網(wǎng)絡(luò)的基礎(chǔ)示意圖通常用在圖1中示出的數(shù)字 l表示。例如,外部(客戶端)計(jì)算機(jī)2往往經(jīng)由網(wǎng)絡(luò)6 (例如,全局 計(jì)算機(jī)網(wǎng)絡(luò))向服務(wù)器發(fā)送服務(wù)請(qǐng)求。響應(yīng)于這些請(qǐng)求,服務(wù)器分配 存儲(chǔ)空間和處理時(shí)間,把響應(yīng)發(fā)送回到計(jì)算機(jī)并且等待計(jì)算機(jī)應(yīng)答。 惡意的外部計(jì)算機(jī)4 (即,攻擊者)可以向服務(wù)器3發(fā)送大量服務(wù)請(qǐng) 求但是從不向服務(wù)器應(yīng)答。外部計(jì)算機(jī)釆用被稱為"IP地址欺騙"9的通用技術(shù)來插入IP地址,所述IP地址看起來是合法的或者看上去來
自可信賴的來源(計(jì)算機(jī))。IP地址欺騙9令服務(wù)器3相信很多(多 個(gè))連接被請(qǐng)求建立。然后,服務(wù)器3等待它將永遠(yuǎn)無法接收到的應(yīng) 答,同時(shí)保留并且消耗存儲(chǔ)器和處理時(shí)間。在等待并且仍在接收額外 的數(shù)據(jù)分組的同時(shí),服務(wù)器3的存儲(chǔ)器、處理空間或者與網(wǎng)絡(luò)的連接 就會(huì)用盡。因?yàn)楹馁M(fèi)太多的存儲(chǔ)器,服務(wù)器3將拒絕服務(wù)于來自任何 其它合法外部計(jì)算機(jī)2的任何其它合法請(qǐng)求11。最終,請(qǐng)求會(huì)非常的 多,以至于服務(wù)器3不僅無法提供與合法用戶的連接,而且還可能溢 出并堵塞整個(gè)網(wǎng)絡(luò),并且經(jīng)由互聯(lián)網(wǎng)的服務(wù)器通信將基本上關(guān)閉8。 這會(huì)造成電子郵件、互聯(lián)網(wǎng)訪問和/或網(wǎng)絡(luò)服務(wù)器功能的損失。
當(dāng)惡意的攻擊者假裝充當(dāng)(合法的)服務(wù)器5時(shí),會(huì)進(jìn)一步出現(xiàn) 其它復(fù)雜的情況,即,因耗盡(并且繁忙)而不再作出響應(yīng)來服務(wù)于 合法的外部計(jì)算機(jī)或者用戶2。攻擊者7因此能從其它合法的計(jì)算機(jī) 或者用戶2那里請(qǐng)求機(jī)密數(shù)據(jù)12,并且合法的計(jì)算機(jī)或者用戶2未必 覺察到正被冒牌服務(wù)器5攻擊7,如圖1所示。
這些攻擊的其它示例包括利用大量的數(shù)據(jù)分組來使服務(wù)器溢出, 以便耗費(fèi)網(wǎng)絡(luò)的所有可利用帶寬,由此拒絕合法用戶訪問網(wǎng)絡(luò),或者 通過令服務(wù)器執(zhí)行很多程序或者腳本來耗費(fèi)可利用磁盤空間。
另外,惡意的計(jì)算機(jī)用戶能夠使用端口掃描來獲得與網(wǎng)絡(luò)通信端 口有關(guān)的信息,諸如檢查端口是開啟還是關(guān)閉,或者什么樣的服務(wù)或 者程序正在使用端口。攻擊者能夠檢查出使用端口的服務(wù)中的薄弱環(huán) 節(jié),并且利用它們進(jìn)入系統(tǒng),此時(shí),攻擊者能夠擦除數(shù)據(jù)或者執(zhí)行其 它惡意的動(dòng)作。
在高速網(wǎng)絡(luò)業(yè)務(wù)的情況下,對(duì)于企業(yè)來講,檢測(cè)惡意攻擊并且及 時(shí)防止系統(tǒng)受到攻擊被證明是至關(guān)重要的。網(wǎng)速攻擊檢測(cè)不僅對(duì)在適 當(dāng)?shù)臅r(shí)候檢測(cè)攻擊非常有幫助,而且對(duì)在盡可能早的檢測(cè)時(shí)間阻止攻 擊也很有幫助。如果沒有在適當(dāng)?shù)臅r(shí)候進(jìn)行正確的檢測(cè),則攻擊不僅 可以滲透系統(tǒng)并且創(chuàng)建大部分的拒絕服務(wù)("DoS")攻擊,而且能夠 造成永久性數(shù)據(jù)丟失。本發(fā)明致力于克服上文提出的一個(gè)或多個(gè)問題。

發(fā)明內(nèi)容
依照本發(fā)明的一個(gè)方面,本發(fā)明包括一種拒絕服務(wù)攻擊和/或端
口掃描檢測(cè)系統(tǒng),其用于接收互聯(lián)網(wǎng)數(shù)據(jù)分組("TCP/IP"或者"IP"), 并且如果確定所述分組企圖進(jìn)行拒絕服務(wù)攻擊或者端口掃描,則從服 務(wù)器中丟棄所述分組。所述分組優(yōu)選但非必須的是以網(wǎng)速被丟棄。把 網(wǎng)速定義為("TCP/IP"或者"IP")數(shù)據(jù)分組的處理速度,需要它以便 檢測(cè)拒絕服務(wù)("DoS,,)或者端口掃描攻擊,其少于或等于從單個(gè) ("TCP/IP"或者"IP")數(shù)據(jù)分組進(jìn)入系統(tǒng)到下一("TCP/IP,,或者"IP,,) 數(shù)據(jù)分組進(jìn)入系統(tǒng)為止所需的時(shí)間。換言之,到下一(相鄰)("TCP/IP" 或者"IP")數(shù)據(jù)分組到達(dá)時(shí),對(duì)先前("TCP/IP"或者"IP")數(shù)據(jù)分組 進(jìn)行的拒絕服務(wù)("DoS")和/或端口掃描的檢測(cè)過程必須在當(dāng)前網(wǎng)速 條件下被成功完成,此外,優(yōu)選的是,這種攻擊的檢測(cè)包括系統(tǒng)檢 查進(jìn)來的互聯(lián)網(wǎng)分組的源和目的地地址是否與先前存儲(chǔ)的分組的源和 目的地地址相匹配。系統(tǒng)在規(guī)定的時(shí)間閾值期間對(duì)來自相同源或目的 地IP地址的分組數(shù)目進(jìn)行計(jì)數(shù),并且如果計(jì)數(shù)超出特定閾值,則通過 從系統(tǒng)中丟棄該分組來防止受到攻擊。
優(yōu)選但非必須的是,具有網(wǎng)速拒絕服務(wù)("DoS")和/或端口掃描 檢測(cè)器,其中服務(wù)器被部署用來服務(wù)于高帶寬和高吞吐量環(huán)境,諸如 "服務(wù)器農(nóng)場(chǎng),,配置。缺少網(wǎng)速檢測(cè)會(huì)讓許多攻擊者避開(通用的并且 傳統(tǒng)的)檢測(cè)技術(shù),因?yàn)楣粽哌€可以使檢測(cè)系統(tǒng)本身耗盡,或者檢 測(cè)系統(tǒng)被迫丟棄進(jìn)來的("TCP/IP,,或者"IP")數(shù)據(jù)分組,令重要分組 丟失并延遲。
依照本發(fā)明的另一方面,公開了一種惡意攻擊檢測(cè)系統(tǒng)。所述系 統(tǒng)包括用于接收并將數(shù)據(jù)分組的首部幀解析為首部信息和網(wǎng)際協(xié)議 ("IP")地址的首部解析功能;用于對(duì)首部信息檢查潛在的惡意攻擊 條件的約束過濾功能,其中,如果潛在的惡意攻擊條件存在,則產(chǎn)生 約束過濾結(jié)果;然后,比較功能比較網(wǎng)際協(xié)議("IP")地址以便確定 網(wǎng)際協(xié)議("IP")地址是否先前已經(jīng)被接收;檢測(cè)功能,用于確定如果比較功能已經(jīng)確定出網(wǎng)際協(xié)議("IP")地址先前已經(jīng)被接收,則約 束過濾結(jié)果增加計(jì)數(shù),然后確定計(jì)數(shù)在預(yù)定的閾值時(shí)間段內(nèi)是否超出
預(yù)定閾值;控制功能,用于提供控制信號(hào)以便基于檢測(cè)功能確定出在 預(yù)定的閾值時(shí)間段內(nèi)所述計(jì)數(shù)超出預(yù)定閾值,從系統(tǒng)中丟棄至少一個(gè) 數(shù)據(jù)分組;以及至少一個(gè)處理器,用于提供首部解析功能、約束過濾 功能、檢測(cè)功能和控制功能。
依照本發(fā)明的又一方面,公開了一種惡意攻擊檢測(cè)系統(tǒng)。所述系 統(tǒng)包括首部解析功能,用于以網(wǎng)速接收并將數(shù)據(jù)分組的首部幀解析為 首部信息和網(wǎng)際協(xié)議("IP")地址;約束過濾功能,用于以網(wǎng)速對(duì)首 部信息檢查潛在的惡意攻擊條件,其中如果潛在的惡意攻擊條件存在, 則產(chǎn)生約束過濾結(jié)果,其中,從包含拒絕服務(wù)("DoS")攻擊或者端 口掃描的組中選擇潛在的惡意攻擊條件,其中,所述約束過濾功能包 括能夠被有選擇地激活的多個(gè)約束條件;比較功能以網(wǎng)速比較所述網(wǎng) 際協(xié)議("IP")地址,以便確定網(wǎng)際協(xié)議("IP")地址是否先前已經(jīng) 被接收;以網(wǎng)速操作的檢測(cè)功能,用于確定如果比較功能已確定網(wǎng)際 協(xié)議("IP")地址先前被接收,那么約束過濾結(jié)果增加計(jì)數(shù),然后確 定計(jì)數(shù)在預(yù)定的閾值時(shí)間段內(nèi)是否超出預(yù)定閾值,其中,所述檢測(cè)功 能包括多個(gè)計(jì)數(shù)器以及相應(yīng)的多個(gè)閾值計(jì)數(shù)器值比較,以及相關(guān)時(shí)間 間隔過濾功能具有多個(gè)時(shí)間間隔和相應(yīng)的多個(gè)閾值時(shí)間間隔值;以網(wǎng) 速操作的控制功能,用于提供控制信號(hào)以便基于檢測(cè)功能確定出計(jì)數(shù) 在預(yù)定的閾值時(shí)間段內(nèi)超出預(yù)定閾值,從系統(tǒng)中丟棄至少一個(gè)數(shù)據(jù)分 組;至少一個(gè)處理器,用于提供首部解析功能、約束過濾功能、檢測(cè) 功能和控制功能,以及與至少一個(gè)處理器相關(guān)聯(lián)的接口,用于提供對(duì) 約束過濾功能和控制功能的控制。
依照本發(fā)明的又一方面,公開了一種用于采用至少一個(gè)處理器檢 測(cè)惡意攻擊的方法。所述方法包括接收并將數(shù)據(jù)分組的首部幀解析 為首部信息和網(wǎng)際協(xié)議("IP")地址;對(duì)首部信息檢查潛在的惡意攻 擊條件,其中,如果潛在的惡意攻擊條件存在,則產(chǎn)生約束過濾結(jié)果; 比較所述網(wǎng)際協(xié)議("IP")地址以便確定網(wǎng)際協(xié)議("IP")地址是否先前已經(jīng)被接收,確定在比較網(wǎng)際協(xié)議("IP")地址的步驟期間,網(wǎng)
際協(xié)議("IP,,)地址是否先前已經(jīng)被接收;確定約束過濾結(jié)果的數(shù)目, 以便確定增加的計(jì)數(shù)在預(yù)定的閾值時(shí)間段內(nèi)是否超出預(yù)定閾值;以及
閾值,從系統(tǒng)中丟棄至少一個(gè)數(shù)據(jù)分組。
依照本發(fā)明的再一方面,公開了一種用于采用至少一個(gè)處理器來 檢測(cè)惡意攻擊的方法。所述方法包括以網(wǎng)速接收并將數(shù)據(jù)分組的首 部幀解析為首部信息和網(wǎng)際協(xié)議("IP")地址;以網(wǎng)速對(duì)首部信息檢 查潛在的惡意攻擊條件,其中,如果潛在的惡意攻擊條件存在,則通 過有選擇性地激活多個(gè)約束條件來產(chǎn)生約束過濾結(jié)果,并且從包含拒 絕服務(wù)("DoS,,)攻擊或者端口掃描的組中選擇潛在的惡意攻擊條件; 比較網(wǎng)際協(xié)議("IP")地址,以便確定網(wǎng)際協(xié)議("IP")地址先前是 否已經(jīng)以網(wǎng)速被接收;確定在比較網(wǎng)際協(xié)議("IP")地址的步驟期間, 網(wǎng)際協(xié)議("IP")地址先前是否已經(jīng)以網(wǎng)速被接收;確定約束過濾結(jié) 果的數(shù)目,以便確定所增加的計(jì)數(shù)在預(yù)定的閾值時(shí)間段內(nèi)是否超出預(yù) 定閾值;以及采用多個(gè)計(jì)數(shù)器和相應(yīng)的多個(gè)閾值計(jì)數(shù)器值比較以及多 個(gè)時(shí)間間隔和相應(yīng)的多個(gè)閾值時(shí)間間隔值,根據(jù)所述檢測(cè)功能確定出 計(jì)數(shù)在預(yù)定的閾值時(shí)間段內(nèi)超出預(yù)定閾值,從系統(tǒng)中以網(wǎng)速丟棄至少 一個(gè)數(shù)據(jù)分組。
這些僅僅是本發(fā)明無數(shù)方面的某些,并且不應(yīng)該被認(rèn)為是包羅萬 象地列出了與本發(fā)明相關(guān)聯(lián)的無數(shù)方面。對(duì)于本領(lǐng)域技術(shù)人員而言, 考慮到隨后的公開內(nèi)容和附圖,這些以及其它方面將變得顯而易見。


為了更透徹地理解本發(fā)明,可以對(duì)附圖進(jìn)行參考,其中
圖1舉例說明了用于圖示DoS攻擊、("IP")互聯(lián)網(wǎng)協(xié)議地址
欺騙、冒牌服務(wù)器以及現(xiàn)有技術(shù)中已知的其它類型的惡意攻擊的概念
的計(jì)算機(jī)網(wǎng)絡(luò)的總體示意圖2舉例說明了依照本發(fā)明的檢測(cè)系統(tǒng)在即將出現(xiàn)惡意攻擊時(shí)的示意圖,所述惡意攻擊即拒絕服務(wù)和端口掃描;并且
圖3舉例說明了依照本發(fā)明的檢測(cè)系統(tǒng)的與即將出現(xiàn)惡意攻擊相 關(guān)聯(lián)的過程的流程圖,所述惡意攻擊即拒絕服務(wù)和端口掃描。
具體實(shí)施例方式
在隨后的詳細(xì)描述中,提出了很多具體細(xì)節(jié),以便提供以便本發(fā) 明的徹底理解。然而,本領(lǐng)域技術(shù)人員將理解的是,本發(fā)明可以在沒 有這些具體細(xì)節(jié)的情況下實(shí)施。在其它情況下,沒有詳細(xì)說明眾所周 知的方法、程序和組件,以免模糊本發(fā)明。
參考附圖,圖l舉例說明了依照本發(fā)明的惡意攻擊檢測(cè)系統(tǒng)的示
意圖,所述惡意攻擊例如是拒絕服務(wù)("DoS")和端口掃描,所述惡 意攻擊檢測(cè)系統(tǒng)一般用數(shù)字IO來表示。在本發(fā)明中,首部幀被接收, 例如通常與以太網(wǎng)幀相關(guān)聯(lián)的"L2"幀,如數(shù)字15所表示的那樣,然 后將其傳遞給先進(jìn)先出("FIFO")存儲(chǔ)緩沖器,其一般用數(shù)字104來
表示o
此首部幀還同時(shí)被載入解析塊20,所述解析塊20用于接收首部 幀。所述首部幀在解析塊20內(nèi)被解析,以便標(biāo)識(shí)首部幀的類型,例如 L2,并且定位其它首部幀的第一字節(jié)(它與"TCP/IP"數(shù)據(jù)分組是同義 詞),所述其它首部例如是與網(wǎng)際協(xié)議("IP")首部相關(guān)聯(lián)的"L3"首 部以及與傳輸控制協(xié)議("TCP")首部相關(guān)聯(lián)的"L4"首部。所述解析 塊20還定位其它首部信息,諸如傳輸控制協(xié)議("TCP")標(biāo)志和定時(shí) 信息。把目的地網(wǎng)際協(xié)議地址("DIP")和源網(wǎng)際協(xié)+義地址("SIP") 52發(fā)送給檢測(cè)塊,所述檢測(cè)塊一般由數(shù)字50表示。在檢測(cè)塊50中, 把目的地網(wǎng)際協(xié)議地址("DIP")和源網(wǎng)際協(xié)議地址("SIP") 52發(fā) 送給網(wǎng)際協(xié)議("IP")地址存儲(chǔ)塊54。
把其余首部信息22,例如L2和/或L3和/或L4首部幀,以及傳 輸控制協(xié)議("TCP")標(biāo)志和定時(shí)信息發(fā)送給約束過濾塊,由數(shù)字30 表示。所述約束過濾塊30對(duì)其余首部信息22檢查潛在的惡意攻擊, 例如拒絕服務(wù)("DoS")和端口掃描。約束過濾塊30能夠包括多個(gè)約束,例如,由數(shù)字32表示的例證性約束1,由數(shù)字34表示的例證性 約束2,直到由數(shù)字36表示的例證性約束N。在第一約束過濾塊30 中,過濾條件是通過由數(shù)字40表示的處理器接口塊按每個(gè)檢測(cè)類型來 激活和無效的。當(dāng)檢測(cè)到一個(gè)或多個(gè)條件時(shí),產(chǎn)生約束過濾結(jié)果66, 將其發(fā)送給狀態(tài)機(jī)控制塊68以及計(jì)數(shù)累積器比較塊(一般由數(shù)字72 表示)。
所述過濾條件用來檢查每種即將出現(xiàn)的惡意攻擊,即,拒絕服務(wù) ("DoS")和端口掃描。所述處理器接口塊40與約束過濾塊30電氣 連接,并且按檢測(cè)類型來激活和無效所述過濾條件。檢測(cè)塊50與首部 解析塊20、約束過濾塊30和處理器接口塊40電氣連接。檢測(cè)塊50 接收并且存儲(chǔ)從首部解析塊20接收的源和目的地網(wǎng)際協(xié)議("IP")地 址。所述檢測(cè)塊50還從約束過濾塊30接收約束過濾結(jié)果,并且確定 閾值攻擊計(jì)數(shù)是否超出或者攻擊之間的閾值時(shí)間間隔是否超出。
優(yōu)選的是,所述檢測(cè)塊50包括按內(nèi)容尋址存儲(chǔ)器("CAM, content-addressable memory")查找塊64。所述CAM查找塊64與首 部解析塊20電氣連接并且接收所述源和目的地網(wǎng)際協(xié)議("IP")地址 52,并且查找它們以便查看它們是否早已被存儲(chǔ)在CAM查找塊64的 存儲(chǔ)器中。按內(nèi)容尋址存儲(chǔ)器("CAM")是能夠以高速搜索列表來提 供對(duì)應(yīng)結(jié)果的集成電路。按內(nèi)容尋址存儲(chǔ)器("CAM")擁有非常密集 的集成數(shù)字電路的唯一存儲(chǔ)器體系結(jié)構(gòu),其能夠在由其內(nèi)容索引的位 置處存儲(chǔ)信息。檢索內(nèi)容時(shí),人們需要的僅僅是內(nèi)容而已。因此,當(dāng) 與諸如鏈表、散列表等的任何傳統(tǒng)檢索技術(shù)相比時(shí),如果實(shí)現(xiàn)為邏輯 數(shù)組,那么內(nèi)容的檢索只需要兩個(gè)周期。因其特性,CAM對(duì)于加速 信息檢索過程提供了重要的幫助,并且由此可用于以高速(例如,網(wǎng) 速)發(fā)現(xiàn)拒絕服務(wù)("DoS")和端口掃描攻擊。所述CAM查找塊64 被配置有選擇器條目的列表。這些選擇器條目與承載信息的內(nèi)容相關(guān) 聯(lián)。每一選擇器條目具有相應(yīng)的結(jié)果。當(dāng)CAM查找塊64接收輸入選 擇器時(shí),它搜索選擇器條目的列表以進(jìn)行匹配。通過并行地把每一選 擇器條目與輸入選擇器進(jìn)行比較,所述搜索是以高速實(shí)現(xiàn)的。如果查找過程的結(jié)果是否定的,那么網(wǎng)際協(xié)議("IP")地址先前 未被接收。如果查找過程的結(jié)果是肯定的,那么存在匹配,并且網(wǎng)際
協(xié)議("IP")地址先前被接收。不論是哪種情況,都把匹配結(jié)果70 發(fā)送給網(wǎng)際協(xié)議("IP")存儲(chǔ)控制塊56以及計(jì)數(shù)累積/比較塊72。
所述匹配結(jié)果70以及約束過濾結(jié)果66是由計(jì)數(shù)累積/比較塊72 接收的。存在多個(gè)計(jì)數(shù)器,例如由數(shù)字74表示的例證性計(jì)數(shù)器1,由 數(shù)字78表示的例證性計(jì)數(shù)器2,直到由數(shù)字82表示的例證性計(jì)數(shù)器 N,在此,每一計(jì)數(shù)器與閾值比較值相關(guān)聯(lián),例如,由數(shù)字76表示的 例證性閾值比較l,由數(shù)字80表示的例證性閾值比較2,直到由數(shù)字 84表示的例證性閾值比較N。此閾值攻擊計(jì)數(shù)值是由接口塊40設(shè)置 的。所述計(jì)數(shù)累積/比較塊72被電氣控制并且被連接至位于處理器接 口塊40中的按攻擊/企圖類型的計(jì)數(shù)閾值控制44。
還有由數(shù)字90表示的時(shí)間間隔過濾塊,其包括多個(gè)時(shí)間間隔值, 例如,由數(shù)字92表示的例證性時(shí)間間隔值1、由數(shù)字96表示的例證 性時(shí)間間隔值2,直到由數(shù)字100表示的例證性時(shí)間間隔N。時(shí)間間 隔值92、 96和100的每一個(gè)與閾值比較值相關(guān)聯(lián),例如,由數(shù)字94 表示的例證性閾值比較l,由數(shù)字98表示的例證性閾值比較2,直到 由數(shù)字102表示的例證性閾值比較N。所述時(shí)間間隔過濾塊90被電氣 控制并且被連接至位于處理器接口塊40中的按攻擊/企圖類型的時(shí)間 間隔閾值控制46。
第 一約束過濾結(jié)果66依照時(shí)間間隔過濾塊90中的約束類型開始 遞增計(jì)數(shù)累積/比較塊72中的計(jì)數(shù),以便查看所遞增的計(jì)數(shù)是否超出 所限定的時(shí)間間隔的計(jì)數(shù)閾值。如果所遞增的計(jì)數(shù)超出閾值,那么產(chǎn) 生比較結(jié)果和檢測(cè)類型86,并且發(fā)送給幀(例如,首部幀"L2")讀出 控制塊88以及檢測(cè)類型報(bào)告生成器48。
所述幀(例如,首部幀"L2")讀出控制88產(chǎn)生讀出控制功能89 , 其用于丟棄位于幀丟棄塊106中、也就是從先前提及的先進(jìn)先出 (FIFO)存儲(chǔ)緩沖器104接收的相關(guān)數(shù)據(jù)分組。當(dāng)具有相關(guān)聯(lián)的首 部幀(例如"L2")的數(shù)據(jù)分組被丟棄時(shí),檢測(cè)幀報(bào)告生成器49被激活,并且讀出數(shù)據(jù)表明具有特殊首部幀(例如,"L2")的數(shù)據(jù)分組已 經(jīng)#皮丟棄108。
先前提及的網(wǎng)際協(xié)議("IP")地址存儲(chǔ)塊56從CAM查找塊64 接收匹配結(jié)果70。所述網(wǎng)際協(xié)議("IP")地址存儲(chǔ)塊56控制以共享 預(yù)定的并且可能數(shù)目有限的bin文件,以便存儲(chǔ)網(wǎng)際協(xié)議("IP")地 址,它們根據(jù)預(yù)定的算法(例如,鏈表)存在于檢測(cè)塊50中。所述網(wǎng) 際協(xié)議("IP")地址存儲(chǔ)塊56產(chǎn)生分配的網(wǎng)際協(xié)議("IP")地址57, 其在檢測(cè)塊50內(nèi)被檢查。當(dāng)來自CAM查找塊64的匹配結(jié)果70為肯 定時(shí),意味著所述網(wǎng)際協(xié)議("IP")地址先前被接收,那么分配的網(wǎng) 際協(xié)議("IP")地址57保持相同,而如果來自CAM查找塊64的匹 配結(jié)果70為否定,則意味著網(wǎng)際協(xié)議("IP")地址先前未被接收,那 么分配的地址57的值被遞增以便包括此新值。
所述網(wǎng)際協(xié)議("IP")地址存儲(chǔ)塊56在由分配的網(wǎng)際協(xié)議("IP") 地址57提供的地址位置存儲(chǔ)接收到的網(wǎng)際協(xié)議("IP")地址。這種分 配的網(wǎng)際協(xié)議("IP")地址57被提供給先前提及的網(wǎng)際協(xié)議("IP") 地址存儲(chǔ)塊54。在最后一半狀態(tài)期間,更新/重置地址生成塊58生成 地址,以便采用擦除網(wǎng)際協(xié)議("IP")地址60或者更新網(wǎng)際協(xié)議("IP") 地址62的命令來重置和更新CAM查找塊64的內(nèi)容。
所述狀態(tài)機(jī)控制塊68被電氣連接至約束過濾塊30并且接收約束 過濾結(jié)果66。所述狀態(tài)機(jī)控制塊68還電氣連接至CAM查找塊64、 IP地址存儲(chǔ)控制塊56、網(wǎng)際協(xié)議("IP")地址存儲(chǔ)塊54、更新/重置 地址生成塊58、計(jì)數(shù)累積/比較塊72、時(shí)間間隔過濾塊90和幀讀出控 制塊88,并且產(chǎn)生預(yù)定的狀態(tài)以便運(yùn)行這些塊。
所述檢測(cè)塊50檢查接收到的源和目的地網(wǎng)際協(xié)議("IP")地址 之間的匹配性,并且根據(jù)約束過濾結(jié)果66來增加計(jì)數(shù)。當(dāng)計(jì)數(shù)閾值超 過時(shí)間間隔閾值時(shí),檢測(cè)塊50生成信號(hào)以便從服務(wù)器網(wǎng)絡(luò)中丟棄二聯(lián) 網(wǎng)幀。
當(dāng)首部解析塊20正在接收互聯(lián)網(wǎng)數(shù)據(jù)分組時(shí),此數(shù)據(jù)分組還由 幀接收塊104接收。所述幀接收塊104作為先進(jìn)先出存儲(chǔ)緩沖器來操作,以便在檢測(cè)過程期間存儲(chǔ)互聯(lián)網(wǎng)幀。所述幀接收塊104電氣連接 至幀丟棄控制塊106。所述幀丟棄控制塊106從幀接收塊104接收互 聯(lián)網(wǎng)數(shù)據(jù)分組。所述幀丟棄控制塊106還經(jīng)由幀(例如,首部幀"L2") 讀出控制塊88電氣連接至檢測(cè)塊50,并且接收讀出控制信號(hào)89。根 據(jù)是否檢測(cè)到拒絕服務(wù)("DoS,,)或者端口掃描攻擊,所述檢測(cè)塊50 通知所述幀丟棄控制塊106應(yīng)該丟棄還是向全局計(jì)算機(jī)網(wǎng)絡(luò)上的計(jì)算 機(jī)網(wǎng)絡(luò)(例如,服務(wù)器網(wǎng)絡(luò))傳輸互聯(lián)網(wǎng)幀,由此防止攻擊。
現(xiàn)在參考圖3,其是以網(wǎng)速(優(yōu)選但非必須)進(jìn)行拒絕服務(wù) ("DoS")攻擊或者端口掃描檢測(cè)過程的示意圖,并且所述過程一般 由數(shù)字200表示。在流程圖的描述過程中,以尖括號(hào)中的數(shù)字標(biāo)記的 功能性解釋涉及承栽該數(shù)字的流程塊。
一般操作從步驟<202>開始。還如圖2所示,所迷首部幀在解析 塊20內(nèi)被解析,如步驟<204>所示,以便標(biāo)識(shí)首部幀的類型,例如L2, 并且定位其它首部幀的第一字節(jié)(它與"TCP/IP,,數(shù)據(jù)分組是同義詞), 所述其它首部例如是與網(wǎng)際協(xié)議("IP")首部相關(guān)聯(lián)的"L3"首部以及 與傳輸控制協(xié)議("TCP")首部相關(guān)聯(lián)的"L4"首部。所述解析塊20 還定位其它首部信息,諸如傳輸控制協(xié)議("TCP")標(biāo)志和定時(shí)信息。 這種首部信息22 (例如,L2和/或L3和/或L4首部幀)以及傳輸控制 協(xié)議("TCP")標(biāo)志以及定時(shí)信息都被解析,由處理步驟<206>表示, 并且被發(fā)送到由數(shù)字30表示的約束過濾塊,其在圖2中示出,在圖3 中示出的是處理步驟<208>。
然后,做出是否檢測(cè)到惡意攻擊的確定,例如,端口掃描或者拒 絕服務(wù)("DoS,,)攻擊,如數(shù)字<212>所示那樣。如果此確定是否定的, 那么過程返回到由處理步驟<202>表示的開始過程。
如果確定是肯定的,檢測(cè)到一個(gè)或多個(gè)條件,那么如圖2所示, 生成約束過濾結(jié)果66,將其發(fā)送給狀態(tài)機(jī)控制塊68<216>,在圖3中 示出的是處理步驟<216>。然后把這些約束過濾結(jié)果發(fā)送至圖2中示 出的計(jì)數(shù)累積器比較塊72,并且在圖3中示出的是處理步驟<220>。
同時(shí),從處理步驟<206>,把已解析的目的地網(wǎng)際協(xié)i義地址("DIP")和源網(wǎng)際協(xié)議地址("SIP") 52發(fā)送給圖2中一般由數(shù)字 50表示的檢測(cè)塊,并且在圖3上示出的是處理步驟<210>。在檢測(cè)塊 50中,把目的地網(wǎng)際協(xié)議地址("DIP")和源網(wǎng)際協(xié)議地址("SIP") 52發(fā)送給網(wǎng)際協(xié)議("IP")地址存儲(chǔ)塊54。優(yōu)選的是,所述檢測(cè)塊 50包括按內(nèi)容尋址存儲(chǔ)器("CAM")查找塊64。所述CAM查找塊 64接收所述源和目的地網(wǎng)際協(xié)議("IP")地址52,并且查找它們以便 查看它們是否早已被存儲(chǔ)在CAM查找塊64的存儲(chǔ)器中,如圖2所示。 如果CAM查找結(jié)果是否定的,那么過程返回到由處理步驟<202>表示 的開始過程,如圖3所示。如果CAM查找結(jié)果是肯定的,那么網(wǎng)際 協(xié)議("IP")地址存儲(chǔ)塊56在由分配的網(wǎng)際協(xié)議("IP")地址57提 供的地址位置處存儲(chǔ)接收到的網(wǎng)際協(xié)議("IP")地址,如圖2所示。 把這種分配的網(wǎng)際協(xié)議("IP")地址57提供給先前提及的網(wǎng)際協(xié)議
("IP,,)地址存儲(chǔ)塊54。在最后一半狀態(tài)期間,更新/重置地址生成塊 58生成地址,以便采用擦除網(wǎng)際協(xié)議("IP")地址60或者更新網(wǎng)際 協(xié)議("IP")地址62的命令來重置并且更新CAM查找塊64的內(nèi)容。 此處理步驟在圖3中由<218>示出。然后把這些CAM查找結(jié)果發(fā)送至 圖2中示出的計(jì)數(shù)累積器比較塊72,并且在圖3中示出的是處理步驟 <220>。
因此,約束過濾結(jié)果然后被發(fā)送至圖2中示出的計(jì)數(shù)累積器比較 塊72,并且CAM查找結(jié)果然后被發(fā)送至圖2中示出的計(jì)數(shù)累積器比 較塊72,這兩個(gè)過程在圖3中都由處理步驟<220>示出。
確定,并且確定圖2中所示的是否超出閾值攻擊計(jì)數(shù)或者是否超出攻 擊之間的閾值時(shí)間間隔,并且在圖3中示出的是處理步驟<222>。如 果此確定是否定的,那么過程返回到由處理步驟<202>表示的開始過 程。如果此確定是肯定的,那么使用檢測(cè)類型報(bào)告生成器48和/或檢 測(cè)幀報(bào)告生成器49或者經(jīng)由處理器接口塊40來激活報(bào)告功能,這些 塊在圖2中示出,圖3中示出的是處理步驟<224>。
幀接收塊104作為先進(jìn)先出存儲(chǔ)緩沖器來操作,以便在檢測(cè)過程期間存儲(chǔ)互聯(lián)網(wǎng)幀,如圖2所示。所述幀接收塊104電氣連接至幀丟 棄控制塊106。所述幀丟棄控制塊106從幀接收塊104接收互聯(lián)網(wǎng)數(shù) 據(jù)分組。所述幀丟棄控制塊106還經(jīng)由幀(例如,首部幀"L2,,)讀出 控制塊88電氣連接至檢測(cè)塊50,并且接收讀出控制信號(hào)89。根據(jù)是 否檢測(cè)到拒絕服務(wù)("DoS")或者端口掃描,所述檢測(cè)塊50通知幀丟 棄控制塊106應(yīng)該丟棄還是向計(jì)算機(jī)網(wǎng)絡(luò)(例如,全局計(jì)算機(jī)網(wǎng)絡(luò)上 的服務(wù)器網(wǎng)絡(luò))傳輸互聯(lián)網(wǎng)幀,由此防止攻擊,這些在圖2中示出了, 在<224>,所述幀要么被傳遞要么被丟棄,然后,新的"L2"首部幀,皮 接收并且過程返回到開始過程,如圖3所示的處理步驟<202>。優(yōu)選 但非必須的是,這些是以網(wǎng)速實(shí)現(xiàn)的。
由此,已有示出并且描述了新穎的發(fā)明的多個(gè)實(shí)施例。根據(jù)先前 描述明顯可以看出,本發(fā)明的某些方面不由此處舉例說明的例子的特 殊細(xì)節(jié)所限制,并且因此可以預(yù)期,本領(lǐng)域技術(shù)人員將能想到其他修 改和應(yīng)用或其等效物。術(shù)語"具有"、"將具有"、"包括"、"將包括,,以 及與先前說明書中使用的術(shù)語相類似的術(shù)語是在"可選,,或"可以包括" 的意義上使用的,而不是"必需"的。然而,鑒于說明書和其他附圖, 本申請(qǐng)的許多變化、修改、變更以及其他用途和應(yīng)用對(duì)于本領(lǐng)域技術(shù) 人員將變得顯而易見。不脫離本發(fā)明的精神和范圍的所有這些變化、 修改、變更及用途和應(yīng)用均由本發(fā)明涵蓋了,本發(fā)明的范圍僅由隨后 的權(quán)利要求書限制。
權(quán)利要求
1. 一種惡意攻擊檢測(cè)系統(tǒng),包括首部解析功能,用于接收并將數(shù)據(jù)分組的首部幀解析為首部信息和網(wǎng)際協(xié)議(“IP”)地址;約束過濾功能,用于對(duì)首部信息檢查潛在的惡意攻擊條件,其中,如果潛在的惡意攻擊條件存在,則生成約束過濾結(jié)果;比較功能,比較所述網(wǎng)際協(xié)議(“IP”)地址,以便確定網(wǎng)際協(xié)議(“IP”)地址是否先前已經(jīng)被接收;檢測(cè)功能,用于確定如果所述比較功能已經(jīng)確定出網(wǎng)際協(xié)議(“IP”)地址先前已經(jīng)被接收,那么約束過濾結(jié)果增加計(jì)數(shù),然后確定所述計(jì)數(shù)在預(yù)定閾值時(shí)間段內(nèi)是否超出預(yù)定閾值;控制功能,用于根據(jù)檢測(cè)功能確定出所述計(jì)數(shù)在預(yù)定閾值時(shí)間段內(nèi)超出預(yù)定閾值而提供控制信號(hào),以便從系統(tǒng)中丟棄至少一個(gè)數(shù)據(jù)分組;以及至少一個(gè)處理器,用于提供所述首部解析功能、約束過濾功能、檢測(cè)功能和控制功能。
2. 如權(quán)利要求1所述的惡意攻擊檢測(cè)系統(tǒng),其中,所述潛在的 惡意攻擊條件包括拒絕服務(wù)("DoS,,)攻擊。
3. 如權(quán)利要求1所述的惡意攻擊檢測(cè)系統(tǒng),其中,所述潛在的 惡意攻擊條件包括端口掃描。
4. 如權(quán)利要求1所述的惡意攻擊檢測(cè)系統(tǒng),其中,所述首部解 析功能、約束過濾功能、檢測(cè)功能和控制功能中的至少一個(gè)是以網(wǎng)速 進(jìn)行的。
5. 如權(quán)利要求1所述的惡意攻擊檢測(cè)系統(tǒng),其中,所述約束過 濾功能包括多個(gè)約束條件,所述約束條件能夠被有選擇地激活。
6. 如權(quán)利要求1所述的惡意攻擊檢測(cè)系統(tǒng),其中,所述檢測(cè)功 能包括多個(gè)計(jì)數(shù)器和相應(yīng)的多個(gè)閾值計(jì)數(shù)器值比較,以及具有多個(gè)時(shí) 間間隔和相應(yīng)的多個(gè)閾值時(shí)間間隔值的相關(guān)時(shí)間間隔過濾功能。
7. 如權(quán)利要求1所述的惡意攻擊檢測(cè)系統(tǒng),其中,所述首部信 息是由至少一個(gè)先進(jìn)先出存儲(chǔ)緩沖器接收的。
8. 如權(quán)利要求1所述的惡意攻擊檢測(cè)系統(tǒng),還包括由至少一個(gè) 處理器提供的更新和存儲(chǔ)功能,用于修訂由比較功能使用的網(wǎng)際協(xié)議("IP")地址的列表。
9. 如權(quán)利要求1所述的惡意攻擊檢測(cè)系統(tǒng),其中,所述比較功 能^f吏用至少一個(gè)按內(nèi)容尋址存儲(chǔ)器("CAM")。
10. 如權(quán)利要求1所述的惡意攻擊檢測(cè)系統(tǒng),還包括由至少一個(gè) 處理器提供的報(bào)告功能,用于在從系統(tǒng)丟棄至少一個(gè)數(shù)據(jù)分組之前, 提供即將出現(xiàn)的惡意攻擊的類型的報(bào)告,其中,惡意攻擊的類型是從 包含拒絕服務(wù)("DoS")攻擊或者端口掃描的組中選擇的。
11. 如權(quán)利要求1所述的惡意攻擊檢測(cè)系統(tǒng),還包括由至少一個(gè) 處理器提供的報(bào)告功能,可被用來表明從系統(tǒng)丟棄的至少一個(gè)數(shù)據(jù)分 組。
12. 如權(quán)利要求1所述的惡意攻擊檢測(cè)系統(tǒng),還包括由至少一個(gè) 處理器提供的輸出功能,用于提供從系統(tǒng)丟棄的至少一個(gè)數(shù)據(jù)分組的 指示。
13. 如權(quán)利要求1所述的惡意攻擊檢測(cè)系統(tǒng),還包括與至少一個(gè) 處理器相關(guān)聯(lián)的接口 ,用于對(duì)約束過濾功能和檢測(cè)功能提供控制。
14. 如權(quán)利要求1所述的惡意攻擊檢測(cè)系統(tǒng),還包括與至少一個(gè) 處理器相關(guān)聯(lián)的接口,用于對(duì)約束過濾功能、控制功能提供控制,并 且還包括第一報(bào)告功能,所述第一報(bào)告功能用于在從系統(tǒng)丟棄至少一 個(gè)數(shù)據(jù)分組之前,提供即將出現(xiàn)的惡意攻擊的類型的第一報(bào)告功能, 其中,惡意攻擊的類型是從包含拒絕服務(wù)("DoS")攻擊或者端口掃 描的組中選擇的,并且還包括第二報(bào)告功能,能夠用于表明從系統(tǒng)丟 棄的至少一個(gè)數(shù)據(jù)分組,其中第一報(bào)告功能和第二報(bào)告功能可由至少 一個(gè)處理器來提供。
15. —種惡意攻擊檢測(cè)系統(tǒng),包括首部解析功能,用于以網(wǎng)速接收并將數(shù)據(jù)分組的首部幀解析為首部信息和網(wǎng)際協(xié)議("ip")地址;約束過濾功能,用于以網(wǎng)速對(duì)首部信息檢查潛在的惡意攻擊條 件,其中,如果潛在的惡意攻擊條件存在,則產(chǎn)生約束過濾結(jié)果,其 中,從包含拒絕服務(wù)("DoS")攻擊或者端口掃描的組中選擇潛在的 惡意攻擊條件,其中,所述約束過濾功能包括可被有選擇地激活的多 個(gè)約束條件;比較功能,以網(wǎng)速比較所述網(wǎng)際協(xié)議("ip")地址,以便確定網(wǎng) 際協(xié)議("ip")地址是否先前已經(jīng)被接收;以網(wǎng)速操作的檢測(cè)功能,用于確定如果比較功能已確定網(wǎng)際協(xié)議 ("ip")地址先前被接收,則約束過濾結(jié)果增加計(jì)數(shù),然后確定計(jì)數(shù) 在預(yù)定閾值時(shí)間段內(nèi)是否超出預(yù)定閾值,其中,所述檢測(cè)功能包括多 個(gè)計(jì)數(shù)器和相應(yīng)的多個(gè)閾值計(jì)數(shù)器值比較,以及具有多個(gè)時(shí)間間隔和 相應(yīng)的多個(gè)閾值時(shí)間間隔值的相關(guān)時(shí)間間隔過濾功能;以網(wǎng)速操作的控制功能,用于根據(jù)檢測(cè)功能確定出所述計(jì)數(shù)在預(yù) 定閾值時(shí)間段內(nèi)超出預(yù)定閾值,提供控制信號(hào)以便從系統(tǒng)中丟棄至少 一個(gè)數(shù)據(jù)分組;至少一個(gè)處理器,用于提供所述首部解析功能、約束過濾功能、 檢測(cè)功能和控制功能;以及與至少一個(gè)處理器相關(guān)聯(lián)的接口 ,用于提供對(duì)約束過濾功能和控 制功能的控制。
16. —種采用至少一個(gè)處理器來檢測(cè)惡意攻擊的方法,包括 接收并將數(shù)據(jù)分組的首部幀解析為首部信息和網(wǎng)際協(xié)議("ip")地址;對(duì)首部信息檢查潛在的惡意攻擊條件,其中,如果潛在的惡意攻擊條件存在,則生成約束過濾結(jié)果;比較網(wǎng)際協(xié)議("ip")地址,以便確定網(wǎng)際協(xié)議("ip,,)地址先前是否已經(jīng)被接收;確定在比較網(wǎng)際協(xié)議("ip")地址的步驟期間,網(wǎng)際協(xié)議("ip") 地址先前是否已經(jīng)被接收;確定約束過濾結(jié)果的數(shù)目,以便確定增加的計(jì)數(shù)在預(yù)定閾值時(shí)間段內(nèi)是否超出預(yù)定閾值;以及值,從所述系統(tǒng)中丟棄至少一個(gè)數(shù)據(jù)分組。
17. 如權(quán)利要求16所述的采用至少一個(gè)處理器來檢測(cè)惡意攻擊 的方法,其中,所述潛在的惡意攻擊條件包括拒絕服務(wù)("DoS")攻擊。
18. 如權(quán)利要求16所述的采用至少一個(gè)處理器來檢測(cè)惡意攻擊 的方法,其中,所述潛在的惡意攻擊條件包括端口掃描。
19. 如權(quán)利要求16所述的采用至少一個(gè)處理器來檢測(cè)惡意攻擊 的方法,其中,采用至少一個(gè)處理器來檢測(cè)惡意攻擊以網(wǎng)速進(jìn)行。
20. 如權(quán)利要求16所述的采用至少一個(gè)處理器來檢測(cè)惡意攻擊 的方法,還包括在確定約束過濾結(jié)果的數(shù)目之后,有選擇地激活多個(gè) 約束條件。
21. 如權(quán)利要求16所述的采用至少一個(gè)處理器來檢測(cè)惡意攻擊 的方法,其中,確定約束過濾結(jié)果的數(shù)目以便確定增加的計(jì)數(shù)在預(yù)定 閾值時(shí)間段內(nèi)是否超出預(yù)定閾值包括利用多個(gè)計(jì)數(shù)器和相應(yīng)的多個(gè)閾 值計(jì)數(shù)器值比較以及多個(gè)時(shí)間間隔和相應(yīng)的多個(gè)閾值時(shí)間間隔值。
22. 如權(quán)利要求16所述的采用至少一個(gè)處理器來檢測(cè)惡意攻擊 的方法,還包括釆用至少一個(gè)先進(jìn)先出存儲(chǔ)緩沖器來接收首部信息。
23. 如權(quán)利要求16所述的采用至少一個(gè)處理器來檢測(cè)惡意攻擊 的方法,還包括更新并且存儲(chǔ)網(wǎng)際協(xié)議("IP")地址的列表。
24. 如權(quán)利要求16所述的釆用至少一個(gè)處理器來檢測(cè)惡意攻擊 的方法,其中比較網(wǎng)際協(xié)議("IP")地址以便確定網(wǎng)際協(xié)議("IP") 地址是否先前已經(jīng)被接收包括利用至少一個(gè)按內(nèi)容尋址存儲(chǔ)器("CAM")。
25. 如權(quán)利要求15所述的采用至少一個(gè)處理器來檢測(cè)惡意攻擊 的方法,還包括下列步驟中的至少一個(gè)在從系統(tǒng)中丟棄至少一個(gè)數(shù) 據(jù)分組之前生成惡意攻擊的類型的第一報(bào)告、生成表明從系統(tǒng)中丟棄的至少一個(gè)數(shù)據(jù)分組的第二報(bào)告、以及生成表明從系統(tǒng)中丟棄的至少 一個(gè)數(shù)據(jù)分組的輸出。
26. —種釆用至少一個(gè)處理器來檢測(cè)惡意攻擊的方法,包括 以網(wǎng)速接收并將數(shù)據(jù)分組的首部幀解析為首部信息和網(wǎng)際協(xié)議 ("IP")地址;以網(wǎng)速對(duì)首部信息檢查潛在的惡意攻擊條件,其中,如果潛在的 惡意攻擊條件存在,則通過有選擇性地激活多個(gè)約束條件來產(chǎn)生約束 過濾結(jié)果,并且從包含拒絕服務(wù)("DoS")攻擊或者端口掃描的組中 選擇潛在的惡意攻擊條件;以網(wǎng)速比較網(wǎng)際協(xié)議("IP")地址,以便確定網(wǎng)際協(xié)議("IP") 地址先前是否已經(jīng)被接收;以網(wǎng)速確定在比較網(wǎng)際協(xié)議("IP")地址的步驟期間,網(wǎng)際協(xié)議 ("IP")地址先前是否已經(jīng)被接收;以網(wǎng)速確定約束過濾結(jié)果的數(shù)目,以便確定遞增的計(jì)數(shù)在預(yù)定閾 值時(shí)間段內(nèi)是否超出預(yù)定閾值;以及采用多個(gè)計(jì)數(shù)器和相應(yīng)的多個(gè)閾值計(jì)數(shù)器值比較以及多個(gè)時(shí)間 間隔和相應(yīng)的多個(gè)閾值時(shí)間間隔值,根據(jù)所述檢測(cè)功能確定出計(jì)數(shù)在 預(yù)定閾值時(shí)間段內(nèi)超出預(yù)定閾值,以網(wǎng)速從系統(tǒng)中丟棄至少一個(gè)數(shù)據(jù) 分組。
全文摘要
公開了一種惡意攻擊檢測(cè)系統(tǒng)和相關(guān)使用方法。這包括接收并將數(shù)據(jù)分組的首部幀解析為首部信息和網(wǎng)際協(xié)議(“IP”或者“TCP/IP”)地址,對(duì)所述首部信息檢查潛在的惡意攻擊條件,并且如果存在,則生成約束過濾結(jié)果,比較網(wǎng)際協(xié)議(“IP”)地址,以便確定網(wǎng)際協(xié)議(“IP”)地址先前是否已經(jīng)被接收,確定約束過濾結(jié)果的數(shù)目,以便確定遞增加的計(jì)數(shù)在預(yù)定閾值時(shí)間段內(nèi)是否超出預(yù)定閾值,并且基于確定來丟棄至少一個(gè)數(shù)據(jù)分組。優(yōu)選但非必須的是,當(dāng)新數(shù)據(jù)分組到達(dá)時(shí),所述過程是以網(wǎng)速平均值進(jìn)行的,所有上述處理是針對(duì)先前的數(shù)據(jù)分組完成的。
文檔編號(hào)G08B23/00GK101460983SQ200780017168
公開日2009年6月17日 申請(qǐng)日期2007年4月13日 優(yōu)先權(quán)日2006年4月17日
發(fā)明者因德拉·古納萬·哈里喬諾, 尹雨熱, 普魯達(dá)維·納達(dá)·努奈伊, 李浩宰 申請(qǐng)人:恒接信息科技公司
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
1