CN101390342A - 基于订户感知应用代理的网络保护技术 - Google Patents
基于订户感知应用代理的网络保护技术 Download PDFInfo
- Publication number
- CN101390342A CN101390342A CNA2006800425518A CN200680042551A CN101390342A CN 101390342 A CN101390342 A CN 101390342A CN A2006800425518 A CNA2006800425518 A CN A2006800425518A CN 200680042551 A CN200680042551 A CN 200680042551A CN 101390342 A CN101390342 A CN 101390342A
- Authority
- CN
- China
- Prior art keywords
- data
- network
- specific user
- subscriber
- invasion
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Abstract
用于响应对分组交换网的入侵的技术包括在网络接入服务器和内容服务器之间的订户感知网关服务器处接收用户数据。用户数据包括用于指示特定用户的唯一标识符的订户标识符数据,用于指示特定用户所使用的主机的网络地址的网络地址数据,用于指示网络接入服务器的标识符的NAS数据,用于指示一个或多个开放数据分组流的流列表数据,以及可疑活动数据。可疑活动数据指示开放数据分组流的指示可疑活动的属性的值。基于可疑活动数据来确定是否满足入侵条件。如果确定满足入侵条件,则网关至少部分地基于除网络地址数据之外的用户数据来作出响应。
Description
技术领域
本发明涉及利用订户感知的应用代理(例如用于管制应用活动的服务网关)来保护通信网络不受攻击和欺诈;并且尤其涉及对发动攻击或欺诈的用户的、除网络地址之外的用户标识符进行辨别以结束侵入(例如扫描攻击,其在短时间内向大量目的地发起分组流)。
背景技术
由外部通信链路连接的通用计算机系统和其他设备的网络是公知的。这些网络通常包括帮助在计算机系统之间传送信息的一个或多个网络设备。网络节点是由通信链路连接的网络设备或计算机系统。这里所使用的端节点是配置为发起或终结网络上的通信的网络节点。相比之下,中间网络节点帮助在端节点之间传送数据。
在网络节点之间,根据许多公知的、新的或者仍在开发中的协议中的一个或多个来交换信息。在此上下文中,“协议”由限定节点如何基于经由通信链路发送的信息来与彼此交互的一组规则构成。协议在每个节点内的不同操作层生效,从生成和接收各种类型的物理信号,到选择用于传送这些信号的链路,到这些信号所指示的信息的格式,到识别由在计算机系统上运行的哪个软件应用发送或接收信息。用于经由网络交换信息的协议的概念上不同的层在开放系统互连(OSI)参考模型中描述。OSI参考模型一般在1999年9月出版的Radia Perlman所著的题为“InterconnectionsSecond Edition”的参考书的第1.1节中有更详细描述,特此通过引用将该书结合进来,就好像在这里完全阐述了一样。
节点之间的通信一般通过交换分立的数据分组来实现。每个分组一般包括1]与特定协议相关联的头部信息,以及2]跟在头部信息之后、包含可独立于该特定协议来处理的信息的有效载荷信息。在一些协议中,分组包括3]跟在有效载荷之后、指示出有效载荷信息的结束的尾部信息。头部包括诸如分组的源、其目的地、有效载荷的长度以及协议所使用的其他属性之类的信息。通常,针对特定协议的有效载荷中的数据包括针对与OSI参考模型的不同的、通常更高的层相关联的不同协议的头部和有效载荷。针对特定协议的头部一般指示出其有效载荷中包含的下一协议的类型。更高层协议被认为是封装在更低层协议中的。穿越多个异构网络(heterogeneous network)(例如因特网)的分组中所包括的头部一般包括如开放系统互连(OSI)参考模型所定义的物理(第1层)头部、数据链路(第2层)头部、互联网(第3层)头部,以及传输(第4层)头部、会话(第5层)头部、表现(第6层)头部和应用(第7层)头部的某种组合。用网络的用语来说,数据隧道只是封装该数据的协议。
订户通过网络接入服务器(NAS)可以访问因特网服务提供商(ISP)的分组交换网(PSN)。订户经常使用链路层协议在订户的设备与NAS之间形成临时隧道。在确定路径时不涉及隧道协议有效载荷的内容。NAS通过与认证、授权和记帐(AAA)服务器交换分组来确定试图进行访问的实体是否实际上是经授权可以访问网络的订户。示例性的公知AAA服务器包括远程认证拨入用户服务(RADIUS)服务器、终端访问控制器访问控制系统(TACACS)服务器和DIAMETER服务器。一旦实体被认证为经授权的订户,则其被准予访问ISP网络,订户被指定网络层地址(例如因特网协议(IP)地址),并且互联网层有效载荷基于互联网和更高层的头部信息而被路由。
现代ISP可以向不同的订户提供不同的服务,包括以第4至7层协议传送的服务。例如,通过在传送前压缩网页并在订户自己的设备上的进程处解压缩网页,可以增加向某些订户传送大型网页的数据速率。如在本领域中公知的,网页是利用作为应用层(第7层)协议的超文本传输协议(HTTP)通过网络来传送的。可以利用网络过滤服务来封锁某些网页。提供网页的压缩、过滤和本地缓存的某种组合的服务被称为网络优化。某些订户使用诸如蜂窝电话之类的移动设备,这些移动设备具有比其他网络设备更小的存储和显示能力。利用特殊协议(例如作为应用层协议的无线应用协议(WAP))向这种移动设备传送网页。在向这些订户进行传送之前,将HTTP有效载荷转换为WAP有效载荷。
为了提供这些特殊服务,服务网关被包括在ISP分组交换网络中。服务网关是在数据分组的源和目的地之间的中间网络设备上工作的进程。服务网关为了提供网络服务而检查分组有效载荷。示例性的服务包括刚才描述的有效载荷转换以及其他有效载荷改变,并且还包括特殊记账、排名、过滤服务以及其他不修改有效载荷内容的服务。例如,网络压缩网关对去往订户设备的数据分组的HTTP有效载荷进行压缩,并且对源自订户设备的数据分组的HTTP有效载荷进行解压缩。WAP 1.x网关将去往订户设备的数据分组的HTTP有效载荷转换为WAP 1.x有效载荷,并且将源自订户设备的数据分组的WAP 1.x有效载荷转换为HTTP有效载荷。某些ISP向不同的订户提供不同的服务。这些是订户感知服务。
为了确保针对ISP所提供的服务的服务网关被包括在从订户到ISP网络所访问的网络上的任何目的地的分组交换路径中,服务网关被包括作为针对用于在网络上建立订户会话的实际目的地的代理。例如,NAS的AAA服务器流量被引导至服务网关,该服务网关充当AAA服务器的代理。订户感知服务网关监视AAA服务器流量,以确定远程用户的网络标识符并确定该远程用户是否已经订阅网关所提供的服务。例如,服务网关监视RADIUS以确定从订户ID到当前指定的网络ID的映射;另外,RADIUS用于将关于用户的已订阅服务资料的信息从通常位于RADIUS服务器之后的后端数据库中继到网络元件。
ISP常包括一组服务网关,使得服务可以适应订户的数目。为了在该组中的服务网关之间分布流量,负载均衡进程被包括在NAS(或其他端节点)和该组服务网关之间的路径中。
ISP还常在NAS和服务网关(或其负载均衡进程)之间的路径中包括防火墙服务器。防火墙确定数据分组是否是接收自不希望的源或是去往接入网上的不希望的目的地,并且防火墙不转发这种数据分组。不希望的源和目的地是通过其IP地址来识别的。不希望的源和目的地的IP地址是由防火墙处的策略数据所指示的策略来确定的。策略可以基于IP地址的静态列表,或基于根据数据分组流的一种或多种特性而动态确定的IP地址。
数据分组流是在合理时间段内从网络上的相同源进程到相同目的地进程的一系列的一个或多个数据分组。源和目的地进程通常是基于其第3层IP地址和第4层传输端口的某种组合来识别的。不希望的IP地址可以按照任何方式来定义,包括一个或多个IP地址的静态列表,以及基于具有该IP地址的一个或多个流的特性来动态确定一个或多个不希望的IP地址的方法。中间网络节点的操作系统(例如加利福尼亚州圣何塞市的思科系统公司的互联网操作系统(IOS))定义了用于识别和过滤不希望的IP地址的访问控制列表(ACL)。
虽然适用于多种目的,但是利用防火墙来排除不希望的流量的现有方法存在某些缺陷。一种缺陷在于,防火墙有时不被客户部署,因为防火墙增加了网络成本并且可使感知到的性能降低。因此防火墙有时不被部署,使得服务网关容易受到第4至第7应用层的攻击。例如,在扫描攻击中,在端节点上运行的恶意进程可以在短时间内发起向目标网络上的大量IP地址(第3层)和端口(第4层)的目的地组合的流量。在处理每个这种流内的各个事务以使正确的服务器与相对应的订户连接时,服务网关等处的资源被消耗。如果足够数目的这种流被发起,则服务网关或其组可变得如此受拖累,使得合法的流得不到及时处理,或在某些情况下完全得不到处理。
另一种缺陷在于,注意到这种恶意端节点的IP地址的防火墙仅保护免受来自相同IP地址的流量。使用具有不希望的IP地址的设备的实际订户未被识别出。因此,如果同一订户改为从具有不同IP地址的另一设备发起攻击(例如通过携带蜂窝电话移动到接入网中的不同点或移动到不同的接入网),则防火墙需要重新发现新的不希望的IP地址。同时,服务网关和接入网皆将资源浪费在来自新IP地址处的同一恶意订户的数据流上。
另一种缺陷在于,注意到这种恶意端节点的IP地址的防火墙仅保护位于该防火墙下游的目标网络。因此,目标网络上的防火墙检测到来自接入网上的用户的恶意流量,从而保护目标网络而非接入网。位于防火墙上游的相当多的接入网资源被攻击消耗,仅是将被防火墙在保护目标网络时丢弃。
另一缺点在于,防火墙不检测欺诈。攻击通常旨在公开地降低ISP的设备的性能;而欺诈通常旨在在未经授权的情况下不被检测到地在网络上运行不允许使用的协议/应用。防火墙经常无法确定合理数量的流量是否表示对专用或受限的协议或应用的未经授权的使用。
基于前面的描述,显然需要保护消耗服务网关进程的大量网络资源的免受攻击和欺诈(在下文中称为“侵入”),该保护没有现有技术方法的所有缺陷。具体而言,需要在第4至第7层协议中检测侵入并且通过名字来识别恶意端节点的用户并且/或者使这种恶意端节点脱离接入网以释放接入网中的资源的技术。
附图说明
在附图中以示例方式而非限制方式图示了本发明,附图中相似的标号指代类似的元件,其中:
图1是根据一个实施例,图示出包括服务网关服务器的远程接入网的框图;
图2是根据一个实施例,图示出服务网关服务器上的订户信息表的框图;
图3是根据一个实施例,图示出高级别的用于在服务网关处保护免受攻击的方法的框图;
图4是根据一个实施例,图示出高级别的用于在记账代理处保护免受攻击的方法的框图;以及
图5是图示出本发明实施例所可以实现于的计算机系统(例如路由器)的框图。
具体实施方式
描述了用于在服务网关服务器处保护免受入侵(包括欺诈和/或攻击)的技术。在以下描述中,为了说明而陈述了许多具体细节,以便提供对本发明的透彻理解。然而对本领域技术人员显而易见的是,可以在没有这些具体细节的情况下实现本发明。在其他实例中,公知的结构和设备以框图形式示出,以避免不必要地使本发明模糊。
本发明的实施例利用NAS网关环境下的许多示例得到说明,但是本发明不限于该环境。在其他实施例中,其他服务网关(例如WAP网关和其他订户感知网关)用于提供对网络入侵的保护。
1.0 网络概述
图1是根据实施例,图示包括网络接入服务器(NAS)125和服务网关服务器160的远程接入网100的框图。计算机网络是用于在节点(例如计算机、个人数字助理(PDA)和蜂窝电话)之间传送数据的互连子网(例如,子网110a、110b,在下文中总称为子网110)的地理分布式集合。每个子网本身可由一个或多个子网组成。局域网(LAN)是子网的一个示例。网络的拓扑是由彼此之间通常通过一个或多个中间网络节点进行通信的端节点(例如,端节点120a、120b,在下文中总称为端节点120)的排列来定义的,其中所述一个或多个中间网络节点例如是路由器或交换机,用于帮助在不同子网上的端节点120之间路由数据。图1中示出在远程访问中所通常涉及的两个子网110。每个子网110可以包括零个或更多的中间网络节点。因特网协议(IP)分组交换网(PSN)110b是一个或多个远程地点处的端节点120a、120b的用户进行远程访问的目标。远程地点通过接入网110a连接到PSN110b。
在各种实施例中,接入子网110a至少部分地基于电话双绞线、同轴铜线、光缆或无线基础设施。在各种实施例中,接入网110a包括用于一组低带宽调制解调器、数字订户线(DSL)接入模块(DSLAM)或其他同轴电缆或光学接入模块的控制器。虽然示出了两个端节点120a、120b连接到接入网110a,但在其他实施例中有更多或更少的端节点连接到接入网110a。对于移动设备,接入网110a包括用于在移动设备从一个无线接入点移动到另一个无线接入点时保持通信的电路和逻辑。
子网110a上的来自端节点120a、120b的通信在一个或多个主机上执行的网络接入服务器(NAS)125a处终止。利用其他接入网的其他端节点在另外的一个或多个主机上的其他NAS(例如NAS 125b)处终止。虽然示出了两个NAS 125a、125b连接到PSN 110b,但是在其他实施例中更多或更少的NAS连接到PSN 110b。在各种实施例中,NAS是宽带远程接入服务器(BRAS)、无线接入服务器,或者某种其他服务器。
计算机进程交互的客户端—服务器模型广为人知并且用于商业。根据客户端—服务器模型,客户端进程向服务器进程发送包括请求的消息,并且服务器进程以提供服务进行响应。服务器进程也可以向客户端进程返回具有响应的消息。客户端进程和服务器进程经常在不同的计算机或其他通信设备(称为主机)上执行,并且利用一种或多种用于网络通信的协议经由网络进行通信。术语“服务器”习惯上用于指提供服务的进程,或者该进程所工作于的主计算机。类似地,术语“客户端”习惯上用于指发出请求的进程,或者该进程所工作于的主计算机。除非在上下文中另有指明,否则这里所使用的术语“客户端”和“服务器”是指进程而非主计算机。另外,出于包括可靠性、可扩展性和冗余性在内的原因(但不限于这些原因),由服务器执行的进程可被分解成作为多个服务器在多个主机(有时称为层级(tier))上运行。
PSN 110b被远程地点处的端节点120a、120b用于与诸如服务器170a、170b、170c(在下文中总称为服务器170)之类的服务器进行通信。PSN 110b包括AAA服务器114,用于对试图通过任何NAS 125访问PSN 110b的、端节点120的用户进行认证。只有向ISP登记过并被列在AAA服务器114中的订户才可以访问PSN 110b。PSN 110b还包括记账代理服务器116,用于收集关于特定订户对网络110b进行使用的信息以便从该订户获得支付。在图示的实施例中,记账代理116确定订户何时以及是否将被列在AAA服务器114中。示例性的记账代理服务器是记账中介代理(BMA)。在某些实施例中,记账代理116被省略并且在下面归于记账代理116的功能是在其他服务器(例如AAA服务器114)之间进行分配的。
为了提供特殊的订户感知服务,PSN 110b包括服务网关160。在某些实施例中,服务网关160包括一组多个服务网关和负载均衡器(未示出)。虽然为了说明而在图1中示出一个服务网关160,但是在其他实施例中PSN 110b包括更多的服务网关160。
为了提供订户感知服务,服务网关160被安插在从NAS 125到AAA服务器114的路径中,以确定与网络110b上的特定地址相关联的订户。就是说,服务网关服务器160自己通告解析去往AAA服务器114的流量。服务网关160通过在NAS 125和AAA服务器114之间交换的消息进行嗅探(snoop),以便确定一IP地址是否与服务网关服务器160所提供的服务的订户相关联。服务网关160还被安插在从NAS 125到网络110b上的另一个服务器的路径中,例如,在到服务器170a、170b、170c的路径中。例如,所有去往NAS的流量被路由到服务网关160。
2.0 订户信息表
图2是根据一种实施例,图示服务网关服务器上的订户信息的表的框图。虽然为了说明而在图2A中以整体数据结构显示用于保存表260中的数据的数据字段,但是在其他实施例中,一个或多个字段或部分的字段被以一个或多个不同的数据结构按照任何顺序保存在相同或不同主机中的易失性或非易失性的存储器中,并且受零个或更多个不同的数据服务器(例如一个或多个数据库服务器)控制。
表260包括订户记录字段270a、270b以及由省略号290指示的其他订户记录字段(在下文中总称为订户记录270)。每个订户记录270包括当前服务网关服务器一般具有的订户标识符、网络地址、网络接入服务器(NAS)信息、订户资料信息、开放流列表的字段。根据本发明的图示实施例,表260还包括基于开放流的可疑活动的量度,如下面所更详细描述的。这些订户记录将特定订户与一个或多个开放数据流中的可疑活动相关联。
开放数据流是以初始数据分组(例如根据第4层或更高层协议的同步(SYN)消息)开始并且不包括相应的终止数据分组(例如根据该协议的完成(FIN)消息)的一连串的一个或多个数据分组。在各种实施例中,具有或者没有第4层源或目的地地址(例如源和目的地的TCP端口)的第3层源和目的地地址或者第3至第7层头部中的其他数据字段用于在服务网关服务器处将一个数据分组与另一个数据分组区别开。
订户记录270a、270b分别包括订户ID字段272a、272b(在下文中总称为订户ID字段272),订户ID字段272保存用于向目标网络(例如PSN 110b)上的网络服务唯一地指出至少具有一个开放数据流的特定订户。在某些实施例中,当订户不再保存至少一个开放流时,从表260删除订户记录270。本领域中已知的任何用于订户的标识符可被用作订户ID字段272中的标识符。例如,由网络接入标识符(NAI)确定的订户标识符用于某些实施例(见RFC2486,特此通过引用将其全部内容结合进来,就好像在这里完全阐述了一样)。例如,订户ID字段272a保存指示Alice@companyA.com的数据。
订户记录270a、270b还分别包括网络地址字段274a、274b(在下文中总称为网络地址字段274),网络地址字段274保存指示如下网络节点(例如端节点120b)的网络地址的数据,来自由订户ID字段指示的特定订户的流量源自所述网络节点。例如,在某些实施例中,网络地址字段274包括TCP端口(第4层的源)、IP地址(第3层的源)、虚拟专用网(VPN)标识符(源的第3层或第2层子网),或者以太网虚拟局域网(VLAN)标签(源的第2层子网),或者某种组合。
订户记录270a、270b还分别包括NAS信息字段276a、276b(在下文中总称为NAS信息字段276),NAS信息字段276保存指示关于特定NAS(例如,NAS 125a)的信息,来自特定订户的流量通过该特定NAS进入目标网络(例如PSN 110b)。例如,在某些实施例中,NAS信息字段276保存指示NAS的IP地址的数据。在某些实施例中,NAS信息字段276保存指示根据NAI或某个其他域名服务器(DNS)而指定的NAS标识符。
订户记录270a、270b还分别包括订户资料信息字段278a、278b(在下文中总称为订户资料信息字段278),订户资料信息字段278保存指示关于特定用户对目标网络的访问的信息的数据。例如,在某些实施例中,订户资料信息字段278保存指示用于传送或封锁来自特定订户的流量的策略、网络的使用配额、订户是否付清或预付一个或多个服务、或某种组合的数据。
订户记录270a、270b还分别包括开放流字段280a、280b的列表(在下文中总称为开放流列表274),开放流列表274保存指示多个流并且为每个流指示数据分组流的唯一标识符的数据。数据分组流的唯一标识符可以按照本领域中的任何已知方式来定义。在示例性的实施例中,流的标识符是根据如上述的网络地址字段274a的内容所指示的、来自特定用户的网络地址的流的目的地的网络地址来构造的。例如,在某些实施例中,开放流列表280中的每个流的唯一标识符包括TCP端口(第4层的目的地)、IP地址(第3层的目的地)、虚拟专用网(VPN)标识符(目的地的第3层或第2层子网),或者以太网虚拟局域网(VLAN)标签(目的地的第2层子网),或者某种组合。
根据图示实施例,订户记录270a、270b还分别包括可疑活动度量字段282a、282b的度量(在下文中总称为可疑活动字段282),可疑活动字段282保存指示至少部分基于开放流列表280所指示的数据流的可疑活动的度量的数据。本领域中的用于检测用户进行的敌意活动的任何已知方法可被用于确定存储在字段282中的可疑活动的度量,如下面参考图3进一步描述的。例如,在某些实施例中,存储在字段282中的可疑活动的度量是在特定时间段内建立的开放流的数目,例如等于该特定时间段的最新时间间隔。如在下面更详细描述的,在特定时间段内建立的开放流的过多数目被确定为扫描攻击。
3.0 服务网关服务器处的方法
图3是图示高级别的用于在服务网关服务器处保护免受入侵的方法300的框图。虽然为了说明而在图3和后续流程图中以特定顺序示出步骤,但是在其他实施例中,以不同的顺序或在时间上交叠的方式执行一个或多个步骤,或者省略一个或多个步骤,或者以某种组合方式改变步骤。
在步骤310中,订户数据被接收到。订户数据向特定订户指示出所有与该订户相关联的开放数据流以及作为可疑活动的度量的、这些开放数据流的特定属性。例如,在步骤310期间接收到表260的数据。本领域中的用于接收该信息的任何已知方法可被使用。例如,可以响应于一个或多个查询或未经请求地从由网关服务器直接控制或由一个或多个数据库或其他服务器间接控制的本地或远程的易失性或永久性的存储器接收数据。
当前的服务网关服务器已经为订户ID字段272、网络地址字段274、NAS信息字段276、订户资料信息字段278和开放流列表280接收并存储数据。根据本发明的图示实施例,也为可疑活动度量字段282接收数据。
在图示的实施例中,可疑活动的度量是在特定时间段内建立的开放流的数目。例如,在建立第一开放流时初始化计数器并且随着在第一流的一秒内建立的每个新开放流而使计数器加一。
在扫描攻击中,与订户相关联的进程在短时间内打开许多流,以消耗服务网关服务器处的资源并降低服务网关服务器处理来自特定NAS的所有流量的能力,从而对一个或多个其他订户拒绝服务。这种攻击的特征在于每秒建立的大量开放流。在本文写作时可用的膝上型计算机估计每秒可以生成大约200,000条用于打开新数据流的SYN消息并且自己可以发起破坏性的扫描攻击。这种攻击可以通过对每秒打开的数据流的数目进行计数来检测。
本领域中所已知的与网络资源上的入侵相关联的可疑活动的任何指示可被用作可疑活动的度量,包括在防火墙进程中使用的可疑活动的度量。在某些实施例中,可疑活动的度量是可疑开放数据流的数目或百分比。
在某些实施例中,如果初始的SYN消息未跟有来自目标服务器的SYN/ACK消息形式的确认,则开放数据流被认为可疑。这之所以是可疑活动的度量,是因为在某些扫描攻击中SYN消息的目的地是不存在的服务器或是随机的IP,并且对于其端口地址不存在回复以SYN/ACK消息的服务器。因此,对其未收到SYN/ACK的开放流的数目是可疑活动的度量。
在某些实施例中,如果跟有来自目标服务器的SYN/ACK消息形式的确认的初始SYN消息随后未跟有来自订户的ACK消息形式的确认,则开放数据流被认为可疑。这之所以是可疑活动的度量,是因为在某些扫描攻击中,SYN消息的目的地经常是产生SYN/ACK消息的真实服务器;但是攻击者仅对建立新流以消耗网关服务器资源感兴趣而对继续进行与服务器的对话不感兴趣。因此特定订户的攻击节点不回复以ACK消息。
可疑活动的其他度量被用于其他实施例,例如其他攻击和欺诈。例如,为了检测被禁止的应用的使用,第7层服务网关检测针对来自被禁止的应用的服务的请求并且将其注为欺诈。这种实施例中的对被禁止的应用的调用数目是可疑活动的度量。最恶劣的用户将是任何响应的目标。在另一个示例中,用户在特定时间间隔期间消耗的总带宽是可疑活动的度量。通常,用户订购带宽的最大数量,例如每月1010比特(10千兆比特)。高于该数量的带宽使用被注为欺诈。在具有订户感知的情况下,服务网关服务器(例如服务器160)可以计算同一订户跨越多次登录所使用的总带宽。这种活动不被防火墙检测到。
在步骤330中,基于可疑活动的度量来确定是否存在入侵条件。例如,在某些实施例中,如果存储在可疑活动度量字段282中的每秒打开的数据流的数目超过100,则确定存在入侵条件。在某些实施例中,如果存储在可疑活动度量字段282中的可疑开放数据流的数目超过75,则确定存在入侵条件。在某些实施例中,如果存储在可疑活动度量字段282中的可疑开放数据流的数目除以被存储在开放流列表字段280中的开放流的数目超过50%,则确定存在入侵条件。在某些实施例中,如果对被禁止或限制的应用的请求数目超过1,则确定存在入侵条件。在某些实施例中,如果每月使用的带宽超过1010比特,则确定存在入侵条件。在其他实施例中,在步骤330期间使用和检验其他入侵条件。
如果基于可疑活动的度量在步骤330中确定不存在入侵条件,则控制传递回步骤310,以继续接收关于订户和其开放流或所请求的应用或总带宽或某种组合的数据。
如果基于可疑活动的度量在步骤330中确定存在入侵条件,则控制传递到步骤350以基于与满足入侵条件的可疑活动度量相关联的特定订户而响应该入侵。可以执行任何利用该订户信息的响应。在其他实施例中,执行防火墙所不执行的任何响应,例如基于除攻击者的IP地址之外的任何订户数据的响应。
在图示的实施例中,响应包括步骤352、354、356。在其他实施例中,这些步骤中的一个或多个被省略,一个或多个其他步骤被包括,或者被省略和另外添加的步骤的某种组合被使用。
在步骤352中,用于标识用户的消息被发送到记账代理以处罚用户。例如,具有基于订户ID字段272的内容的订户标识符的消息被发送到记账代理。记账代理然后使订户得到处罚,如在下面参考图4描述的。可能的处罚包括删除允许订户访问网络的授权,向订户收取超限费,以及向数据网络110b之外的订户发送带外(out-of-band)消息。带外消息包括对蜂窝电话或其他电话的文本消息或语音呼叫,或者对电子邮件地址的电子邮件,或者通过邮寄的信件。带外消息向订户警告入侵并且请求订户停止入侵。通过步骤352,发起攻击或欺诈的订户以更多方式受到处罚,而非仅仅丢弃源自订户的IP地址的数据分组。因此,步骤352所提供的保护胜过防火墙所提供的保护。
在步骤354中,消息被发送到与订户相关联的NAS,以终止与订户进行的通信。可以使用任何方法来使NAS终止通信。在图示的实施例中,RADIUS断开分组(POD)消息被发送到通过ID和/或IP地址来识别订户的NAS。RADIUS断开分组在RFC 3576中有描述,特此通过引用将其全部内容结合进来,就好像在这里完全阐述了一样。根据RFC 3576,[支持]“从RADIUS服务器发送到NAS的未经请求的消息。这些扩展命令为断开和授权变化(CoA)消息提供支持。断开消息使用户会话立即终止,而CoA消息修改诸如数据过滤器之类的会话授权属性。”NAS在收到POD时断开从端节点通过接入网到NAS的呼叫,从而释放接入网中的网络资源。通过步骤354,在去往目标网络的通信中,服务网关的接入网上游也被保护免受攻击。因此,步骤354所提供的保护胜过防火墙所提供的保护。
在步骤356中,在特定的处罚时间段内阻止订户登录目标网络。在其他实施例中,无限期地阻止订户登录目标网络,直到网络管理员介入以恢复订户的网络权限为止。任何方法可被用于阻止登录。例如,网关服务器160对所有去往AAA服务器114的登录消息进行嗅探并且丢弃那些指示与可疑活动相关联的订户的消息,或者发送指示登录失败的返回消息。在某些实施例中,消息被发送到AAA服务器114或记账代理服务器116以删除对订户的授权。在某些实施例中,在处罚期到期之后,消息被发送到AAA服务器114或记账代理服务器116以恢复对订户的授权。通过步骤356,订户无法从另一设备发起攻击。因此,步骤356所提供的保护胜过防火墙所提供的保护。
在某些实施例中,在步骤356期间,登录请求被发送到特殊修复服务器,该特殊修复服务器通知订户由订户的设备发起的攻击或欺诈而进行响应并且主动提出修复订户的设备以使之不会再次发起入侵。如果订户同意,则将在订户的设备上执行的软件被发出,以寻找并删除使订户的设备发起入侵的软件。这样,由如下病毒在订户不知情的情况下发起的攻击不会使订户被不适当地处罚,所述病毒在信任的订户的设备上安装软件。
服务网关服务器是高级网络节点,用于保护网络100免受对第4到第7层网络资源的攻击。服务网关服务器(例如网关160)是图示实施例中的对第4至第7层的活动进行跟踪同时保存当前被指定一IP地址的用户和相对应的订户名称(例如,“用户名”)之间的映射的唯一网络节点。这使得服务网关服务器(例如网关服务器160)可以生成恶意活动的详细记录,该记录包括网络ID和用户名。
4.0记账代理服务器处的方法
图4是根据一种实施例,图示高级别处的用于在记账代理处保护免受入侵的方法400的框图。在其他实施例中,方法400中的一个或多个步骤被省略。
在步骤410中,恶意订户数据被接收到。该数据指示出与服务网关服务器所检测到的入侵相关联的特定订户。在图示实施例中,消息包括指示订户ID(例如,“用户名”)的数据和指示入侵与该订户相关联的数据。在某些实施例中,数据还指示关于特定入侵的一项或多项特定细节。在图示实施例中,在记账代理116处接收到来自服务网关服务器160的未经请求的消息中的数据。在其他实施例中,以其他方式接收数据,例如通过查询本地或远程地存储在易失性或永久性存储器中的、经由数据库服务器直接或间接访问的数据。例如,在工作周期的过程期间或者在接收到警告时,记账代理从存储器中取回指示特定订户的订户ID的数据以及对与之相关的入侵的指示。
在步骤420中,消息被发送到AAA服务器,以将特定订户从目标网络(例如PSN 110b)的授权用户列表中删除。在图示实施例中,订户ID被包括在发送到AAA服务器的消息中。
在步骤424中,指示订户应当停止攻击的带外消息被发送到特定订户。
在步骤426中,向特定订户的帐户收取超限费,作为攻击的处罚。
在步骤430中,确定处罚期是否到期。处罚期是订户被删除目标网络的访问授权的时刻和订户被再次授权可以访问目标网络的时刻之间的持续时间。如果确定处罚期尚未到期,则控制传递到步骤436。在步骤436中,记账代理继续进行其正常处理并且周期性地返回步骤430以确定处罚期是否已经到期。
如果在步骤430期间确定处罚期已经过期,则控制传递到步骤440。在步骤440中,消息被发送到AAA服务器,以将特定订户恢复至目标网络(例如PSN 110b)的授权用户列表中。在图示实施例中,订户ID被包括在发送到AAA服务器的消息中。
在其中无限期地阻止恶意订户访问网络的实施例中,步骤430和440被省略。
5.0 实现机构-硬件概述
图5是示出本发明的一个实施例可实现于的计算机系统500的框图。优选实施例是利用运行在诸如路由器设备之类的网络元件上的一个或多个计算机程序来实现的。因此,在此实施例中,计算机系统500是路由器。
计算机系统500包括用于在计算机系统500的其他内部和外部组件之间传递信息的通信机构,例如总线510。信息被表示为可测量现象的物理信号,所述可测量现象通常是电压,但在其他实施例中包括诸如磁、电磁、压力、化学、分子原子和量子交互之类的现象。例如,北磁场和南磁场或者零电压和非零电压代表二进制数字(比特)的两个状态(0,1)。二进制数字的序列构成用于表示数字或字符代码的数字数据。总线510包括许多并行的信息导体,以便信息在耦合到总线510的设备之间被迅速传送。用于处理信息的一个或多个处理器502与总线510相耦合。处理器502对信息执行一组操作。该组操作包括从总线510接收信息或将信息置于总线510上。该组操作一般还包括比较两个或更多个信息单元、移动信息单元的位置以及例如通过加法或乘法来组合两个或更多个信息单元。将由处理器502执行的操作序列构成计算机指令。
计算机系统500还包括耦合到总线510的存储器504。诸如随机访问存储器(RAM)或其他动态存储设备之类的存储器504存储包括计算机指令在内的信息。动态存储器允许存储在其中的信息被计算机系统500改变。RAM允许存储在被称为存储器地址的位置处的信息单元以独立于相邻地址处的信息的方式被存储和取得。存储器504还被处理器502用来在计算机指令执行期间存储临时值。计算机系统500还包括耦合到总线510的只读存储器(ROM)506或其他静态存储设备,其用于存储不被计算机系统500改变的静态信息,包括指令。同样耦合到总线510的是非易失性(持续性)存储设备508,例如磁盘或光盘,其用于存储即使在计算机系统500被关断或者由于其他原因掉电时也会持续下来的信息,包括指令。
术语计算机可读介质在这里用来指任何参与向处理器502提供包括用于执行的指令在内的信息的介质。这种介质可采取许多形式,包括但不限于非易失性介质、易失性介质和传输介质。非易失性介质例如包括光盘或磁盘,例如存储设备508。易失性介质例如包括动态存储器504。传输介质例如包括同轴电缆、铜线、光缆和在无需导线或线缆的情况下通过空间传播的波,例如声波和电磁波,包括无线电波、光波和红外波。经由传输介质传输的信号在这里被称为载波。
计算机可读介质的常见形式例如包括软盘、柔性盘、硬盘、磁带或任何其他磁介质,致密盘ROM(CD-ROM)、数字视频盘(DVD)或任何其他光介质,穿孔卡、纸带、或任何其他具有孔图案的物理介质,RAM、可编程ROM(PROM)、可擦除PROM(EPROM)、FLASH-EPROM、任何其他存储器芯片或卡盘、载波或者计算机可以读取的任何其他介质。
包括指令在内的信息被从外部终端512提供到总线510以供处理器使用,所述外部终端512例如是具有包含由人类用户操作的数字字母键的键盘的终端或者是传感器。传感器检测其附近的状况,并将这些检测变换成与计算机系统500中用于表示信息的信号相兼容的信号。耦合到总线510的终端512的主要用于与人类交互的其他外部组件包括用于呈现图像的显示设备(例如阴极射线管(CRT)或液晶显示器(LCD)或等离子屏幕)和用于控制在显示器上呈现的小光标图像的位置并发出与在终端612的显示器上呈现的图形元素相关联的命令的定点设备(例如鼠标或跟踪球或光标方向键)。在一些实施例中,终端512被省略。
计算机系统500还包括耦合到总线510的通信接口570的一个或多个实例。通信接口570提供到利用其自己的处理器来工作的多种外部设备的双向通信耦合,所述外部设备例如是打印机、扫描仪、外部盘和终端512。在计算机系统500中运行的固件或软件提供终端接口或者基于字符的命令接口,以便外部命令能够被提供给计算机系统。例如,通信接口570可以是并行端口或串行端口,例如RS-232或RS-422接口,或者是个人计算机上的通用串行总线(USB)端口。在一些实施例中,通信接口570是综合服务数字网(ISDN)卡或数字订户线(DSL)卡或提供到相应类型的电话线的信息通信连接的电话调制解调器。在一些实施例中,通信接口570是将总线510上的信号转换成用于经由同轴电缆的通信连接的信号或者用于经由光缆的通信连接的光信号的线缆调制解调器。作为另一示例,通信接口570可以是用于提供到兼容的LAN(例如以太网)的数据通信连接的局域网(LAN)卡。也可实现无线链路。对于无线链路,通信接口570发送和接收携带信息流(例如数字数据)的电信号、声信号或电磁信号,包括红外信号和光信号。这种信号是载波的示例。
在图示实施例中,诸如专用集成电路(IC)520之类的专用硬件耦合到总线510。专用硬件被配置为为了特殊的目的而足够迅速地执行不由处理器502执行的操作。专用IC的示例包括用于生成图像以便显示的图形加速器卡、用于对经由网络发送的消息进行加密和解密的密码板、语音识别、以及到特殊外部设备的接口,所述特殊外部设备例如是重复执行在硬件中更高效实现的某个复杂操作序列的机械臂和医学扫描装备。
在用作路由器的图示计算机中,计算机系统500包括交换系统530,作为用于切换信息以便在网络上流动的专用硬件。交换系统530一般包括多个通信接口,例如通信接口570,用于耦合到多个其他设备。一般来说,每个耦合都具有与网络中的或附接到网络的另一设备相连接的网络链路532,所述网络例如是图示实施例中的本地网络580,具有其自己的处理器的多种外部设备与该网络相连接。在一些实施例中,输入接口或输出接口或两者被链接到一个或多个外部网络元件中的每一个。虽然在图示实施例中网络链路532包括三个网络链路532a、532b、532c,但在其他实施例中,更多或更少的链路被连接到交换系统530。网络链路532一般通过一个或多个网络来提供到使用或处理信息的其他设备的信息通信。例如,网络链路532b可通过本地网络580来提供到主机计算机582或由因特网服务提供者(ISP)操作的装备584的连接。ISP装备584进而又通过现在通常被称为因特网590的网络的公共的世界范围的分组交换通信网络来提供数据通信服务。被称为服务器592的连接到因特网的计算机响应于经由因特网接收的信息而提供服务。例如,服务器592提供用于交换系统530的路由信息。
交换系统530包括被配置为执行与在网络580的元件之间传递信息相关联的交换功能的逻辑和电路,所述传递信息包括传递沿一条网络链路(例如532a)接收的信息以作为相同或不同网络链路(例如532c)上的输出。交换系统530根据公知的预定协议和惯例将到达输入接口的信息流量切换到输出接口。在一些实施例中,交换系统530包括其自己的处理器和存储器,以便利用软件来执行一些交换功能。在一些实施例中,交换系统530依赖于处理器502、存储器504、ROM 506、存储设备508或某种组合来利用软件执行一个或多个交换功能。例如,交换系统530与实施特定协议的处理器502合作,可确定在链路532a上到达输入接口的数据分组的目的地,并利用输出接口在链路532c上将它发送到正确的目的地。目的地可包括主机582、服务器592、连接到本地网络580或因特网590的其他终端设备,或者本地网络580或因特网590中的其他路由和交换设备。
本发明涉及使用计算机系统500来实现这里描述的技术。根据本发明的一个实施例,这些技术是由计算机系统500响应于处理器502执行包含在存储器504中的一个或多个指令的一个或多个序列来执行的。这种指令也被称为软件和程序代码,它们可被从另一计算机可读介质(例如存储设备508)读取到存储器504中。对包含在存储器504中的指令序列的执行致使处理器502执行这里描述的方法步骤。在替换实施例中,诸如专用集成电路520和交换系统530中的电路之类的硬件可取代软件或与软件结合来实现本发明。从而,本发明的实施例不局限于硬件和软件的任何特定组合。
通过通信接口(例如接口570)经由网络链路532和其他网络来传输的信号(该信号携带去往和来自计算机系统500的信息)是载波的示例性形式。计算机系统500可通过网络580、590等等,通过网络链路532和通信接口(例如接口570)来发送和接收信息,包括程序代码。在使用因特网590的示例中,服务器592通过交换系统530中的通信接口,通过因特网590、ISP装备584、本地网络580和网络链路532b来发送从计算机500发送来的消息所请求的用于特定应用的程序代码。接收到的代码可在其被接收时被处理器502或交换系统530执行,或者可被存储在存储设备508或其他非易失性设备中以便以后执行,或者两种情况兼有。这样,计算机系统500可以以载波形式获得应用程序代码。
各种形式的计算机可读介质可用于将指令或数据或两者的一个或多个序列运送到处理器502以便执行。例如,指令和数据可以首先承载在远程计算机(例如主机582)的磁盘上。远程计算机可以将指令和数据加载到其动态存储器中,并利用调制解调器经由电话线来发送指令和数据。计算机系统500的本地调制解调器接收电话线上的指令和数据,并使用红外发射器来将指令和数据转换为红外信号,该红外信号就是充当网络链路532b的载波。充当交换系统530中的通信接口的红外检测器接收在红外信号中携带的指令和数据,并且将代表该指令和数据的信息置于总线510上。总线510将信息运送到存储器504,处理器502利用与指令一起发送的一些数据来从存储器504中取得指令并执行指令。在存储器504中接收的指令和数据可以可选地在被处理器502或交换系统530执行之前或之后存储在存储设备508上。
6.0 扩展和替换
在以上说明中,已参考特定实施例描述了本发明。但是,应当清楚,在不脱离本发明更宽广的精神和范围的前提下,可以进行各种修改和变化。因此,说明书和附图都应当被认为是示例性的,而非限制性的。
Claims (39)
1.一种用于在服务网关处保护分组交换网的方法,包括以下步骤:
在网络接入服务器和内容服务器之间的分组交换网上的通信路径中的网关服务器处接收用户数据,
其中所述用户数据包括
订户标识符数据,其指示特定用户的唯一标识符,
网络地址数据,其指示所述特定用户所使用的主机的网络地址,
NAS数据,其指示所述网络接入服务器的标识符,
流列表数据,其指示一个或多个开放数据分组流,其中
开放数据分组流包括指示穿过所述网关服务器以在所述用户和所述内容服务器之间进行通信的一系列数据分组的开始的数据分组,而没有所述用户和所述内容服务器之间的所述一系列数据分组的相对应的终止,以及
可疑活动数据,其指示所述开放数据分组流的指示可疑活动的属性的值;
基于所述可疑活动数据来确定是否满足入侵条件;并且
如果确定满足所述入侵条件,则至少部分地基于除所述网络地址数据之外的用户数据来响应所述入侵。
2.如权利要求1所述的方法,其中:
所述指示可疑活动的属性是在特定时间段内开始的所述开放数据分组流的数目;并且
所述确定是否满足入侵条件的步骤包括
确定在特定时间段内开始的所述开放数据分组流的数目是否超过阈值比率。
3.如权利要求1所述的方法,其中
所述指示可疑活动的属性是对其没有来自所述用户的确认消息的所述开放数据分组流的数目;并且
所述确定是否满足入侵条件的步骤包括
确定对其没有来自所述用户的确认消息的所述开放数据分组流的数目是否超过阈值数目和开放数据分组流的总数目的阈值百分比中的至少一个。
4.如权利要求1所述的方法,其中
所述指示可疑活动的属性是对其没有来自所述内容服务器的确认消息的所述开放数据分组流的数目;并且
所述确定是否满足入侵条件的步骤包括
确定对其没有来自所述内容服务器的确认消息的所述开放数据分组流的数目是否超过阈值数目和开放数据分组流的总数目的阈值百分比中的至少一个。
5.如权利要求1所述的方法,所述响应所述入侵的步骤还包括基于所述NAS数据向所述网络接入服务器发送消息以终止来自特定用户的通信的步骤。
6.如权利要求5所述的方法,所述向所述网络接入服务器发送消息的步骤还使所述网络接入服务器释放在所述用户和所述网络接入服务器之间的接入网中分配给所述用户的资源。
7.如权利要求6所述的方法,所述向所述网络接入服务器发送消息的步骤包括向所述网络接入服务器发送远程接入拨入用户服务(RADIUS)断开分组(POD)的步骤,所述网络接入服务器由此断开所述接入网中的通信路径并且释放所述接入网中分配给所述用户的资源。
8.如权利要求1所述的方法,所述响应所述入侵的步骤还包括向在确定对特定用户收费时所涉及的记账代理发送基于所述订户标识符数据的消息,以使所述记账代理处罚所述特定用户的步骤。
9.如权利要求8所述的方法,其中,所述记账代理使用于请求所述特定用户停止不期望活动的消息被发送到所述分组交换网之外的所述特定用户。
10.如权利要求8所述的方法,其中,所述记账代理使所述特定用户失去对一组一个或多个内容服务器的访问授权。
11.如权利要求8所述的方法,其中,所述记账使得向所述特定用户收取超限费。
12.如权利要求1所述的方法,其中,所述响应所述入侵的步骤还包括以下步骤:
确定是否接收到用于授权对所述分组交换网的访问的登录消息,该登录消息包括所述订户标识符数据;并且
如果接收到包括所述订户标识符数据的所述登录消息,则不准访问所述分组交换网。
13.如权利要求12所述的方法,所述不准访问所述分组交换网的步骤还包括在特定处罚时间段期间不准访问所述分组交换网的步骤。
14.如权利要求1所述的方法,其中,所述响应所述入侵的步骤还包括以下步骤:
确定是否接收到用于授权对所述分组交换网的访问的登录消息,该登录消息包括所述订户标识符数据;并且
如果接收到包括所述订户标识符数据的所述登录消息,则将该消息转发到特定服务器以生成对所述特定用户的特殊响应。
15.如权利要求1所述的方法,其中,所述响应所述入侵的步骤还包括将所有与同一订户标识符相关联的数据流删除的步骤。
16.一种用于响应对分组交换网的入侵的方法,包括以下步骤:
在记账代理服务器处接收恶意订户数据,其中所述记账代理服务器为从订户感知服务网关服务器访问目标网络的远程用户提供费用信息,所述恶意订户数据包括指示特定用户的唯一标识符的订户标识符数据和指示所述特定用户与对所述目标网络的入侵相关联的入侵数据;以及
响应于接收到所述恶意订户数据,通过执行以下步骤中的至少一个来处罚所述特定用户:
使所述特定用户被从所述目标网络的授权用户列表中删除;
向所述特定用户发送带外消息,以警告所述特定用户停止对所述目标网络的入侵;以及
使对与所述特定用户相关联的帐户收取处罚费。
17.如权利要求16所述的方法,还包括:
确定处罚期是否已经到期;以及
如果确定处罚期已经到期,则使所述特定用户恢复到所述目标网络的授权用户列表中。
18.一种用于在服务网关处保护分组交换网的设备,包括:
用于在网络接入服务器和内容服务器之间的分组交换网上的通信路径中的网关服务器处接收用户数据的装置,
其中所述用户数据包括
订户标识符数据,其指示特定用户的唯一标识符,
网络地址数据,其指示所述特定用户所使用的主机的网络地址,
NAS数据,其指示所述网络接入服务器的标识符,
流列表数据,其指示一个或多个开放数据分组流,其中
开放数据分组流包括指示穿过所述网关服务器以在所述用户和所述内容服务器之间进行通信的一系列数据分组的开始的数据分组,而没有所述用户和所述内容服务器之间的所述一系列数据分组的相对应的终止,以及
可疑活动数据,其指示所述开放数据分组流的指示可疑活动的属性的值;
用于基于所述可疑活动数据来确定是否满足入侵条件的装置;并且
用于如果确定满足所述入侵条件则至少部分地基于除所述网络地址数据之外的用户数据来响应所述入侵的装置。
19.一种用于响应对分组交换网的入侵的装置,包括:
用于在记账代理服务器处接收恶意订户数据的装置,其中所述记账代理服务器为从订户感知服务网关服务器访问目标网络的远程用户提供费用信息,所述恶意订户数据包括指示特定用户的唯一标识符的订户标识符数据和指示所述特定用户与对所述目标网络的入侵相关联的入侵数据;以及
用于响应于接收到所述恶意订户数据而通过提供以下装置中的至少一个来处罚所述特定用户的装置:
用于使所述特定用户从所述目标网络的授权用户列表中删除的装置;
用于向所述特定用户发送带外消息以警告所述特定用户停止对所述目标网络的入侵的装置;以及
用于使对与所述特定用户相关联的帐户收取处罚费的装置。
20.一种用于在分组交换网络上的网络接入服务器和内容服务器之间的所述分组交换网上的通信路径中的服务网关服务器处保护所述分组交换网络的设备,包括:
耦合到所述分组交换网以与所述分组交换网络传输数据分组的网络接口;
一个或多个处理器;
计算机可读介质;以及
存储在所述计算机可读介质中的一个或多个指令序列,当被所述一个或多个处理器执行时使所述一个或多个处理器执行以下步骤:
接收包括订户标识符数据、网络地址数据、NAS数据、流列表数据和可疑活动数据的用户数据,
基于所述可疑活动数据,确定是否满足入侵条件;以及
如果确定满足所述入侵条件,则至少部分地基于除所述网络地址数据之外的用户数据来响应所述入侵,
其中
所述订户标识符数据指示特定用户的唯一标识符,
所述网络地址数据指示所述特定用户所使用的主机的网络地址,
所述NAS数据指示所述网络接入服务器的标识符,
所述流列表数据指示一个或多个开放数据分组流,其中
开放数据分组流包括指示穿过所述网关服务器以在所述用户和所述内容服务器之间进行通信的一系列数据分组的开始的数据分组,而没有所述用户和所述内容服务器之间的所述一系列数据分组的相对应的终止,并且
所述可疑活动数据指示所述开放数据分组流的指示可疑活动的属性的值。
21.如权利要求20所述的设备,其中:
所述指示可疑活动的属性是在特定时间段内开始的所述开放数据分组流的数目;并且
所述确定是否满足入侵条件的步骤包括
确定在特定时间段内开始的所述开放数据分组流的数目是否超过阈值比率。
22.如权利要求20所述的设备,其中
所述指示可疑活动的属性是对其没有来自所述用户的确认消息的所述开放数据分组流的数目;并且
所述确定是否满足入侵条件的步骤包括
确定对其没有来自所述用户的确认消息的所述开放数据分组流的数目是否超过阈值数目和开放数据分组流的总数目的阈值百分比中的至少一个。
23.如权利要求20所述的设备,其中
所述指示可疑活动的属性是对其没有来自所述内容服务器的确认消息的所述开放数据分组流的数目;并且
所述确定是否满足入侵条件的步骤包括
确定对其没有来自所述内容服务器的确认消息的所述开放数据分组流的数目是否超过阈值数目和开放数据分组流的总数目的阈值百分比中的至少一个。
24.如权利要求20所述的设备,所述响应所述入侵的步骤还包括基于所述NAS数据向所述网络接入服务器发送消息以终止来自所述特定用户的通信的步骤。
25.如权利要求24所述的设备,所述向所述网络接入服务器发送消息的步骤还使所述网络接入服务器释放在所述用户和所述网络接入服务器之间的接入网中分配给所述用户的资源。
26.如权利要求25所述的设备,所述向所述网络接入服务器发送消息的步骤包括向所述网络接入服务器发送远程接入拨入用户服务(RADIUS)断开分组(POD)的步骤,所述网络接入服务器由此断开所述接入网中的通信路径并且释放所述接入网中分配给所述用户的资源。
27.如权利要求20所述的设备,所述响应所述入侵的步骤还包括向在确定对特定用户收费时所涉及的记账代理发送基于所述订户标识符数据的消息,以使所述记账代理处罚所述特定用户的步骤。
28.如权利要求27所述的设备,其中,所述记账代理使用于请求所述特定用户停止不期望活动的消息被发送到所述分组交换网之外的所述特定用户。
29.如权利要求27所述的设备,其中,所述记账代理使所述特定用户失去对一组一个或多个内容服务器的访问授权。
30.如权利要求27所述的设备,其中,所述记账使得向所述特定用户收取超限费。
31.如权利要求20所述的设备,其中,所述响应所述入侵的步骤还包括以下步骤:
确定是否接收到用于授权对所述分组交换网的访问的登录消息,该登录消息包括所述订户标识符数据;并且
如果接收到包括所述订户标识符数据的所述登录消息,则不准访问所述分组交换网。
32.如权利要求31所述的设备,所述不准访问所述分组交换网的步骤还包括在特定处罚时间段期间不准访问所述分组交换网的步骤。
33.如权利要求20所述的设备,其中,所述响应所述入侵的步骤还包括以下步骤:
确定是否接收到用于授权对所述分组交换网的访问的登录消息,该登录消息包括所述订户标识符数据;并且
如果接收到包括所述订户标识符数据的所述登录消息,则将该消息转发到特定服务器以生成对所述特定用户的特殊响应。
34.如权利要求20所述的设备,其中,所述响应所述入侵的步骤还包括将所有与同一订户标识符相关联的数据流删除的步骤。
35.一种用于在记账代理服务器处响应对分组交换网的入侵的设备,所述记账代理服务器为访问所述分组交换网的远程用户提供费用信息,所述设备包括:
耦合到所述分组交换网以与所述分组交换网络传输数据分组的网络接口;
一个或多个处理器;
计算机可读介质;以及
存储在所述计算机可读介质中的一个或多个指令序列,当被所述一个或多个处理器执行时使所述一个或多个处理器执行以下步骤:
从订户感知服务网关服务器接收恶意订户数据,所述恶意订户数据包括指示特定用户的唯一标识符的订户标识符数据和指示所述特定用户与对所述目标网络的入侵相关联的入侵数据;以及
响应于收到所述恶意订户数据,通过执行以下步骤中的至少一个来处罚所述特定用户:
使所述特定用户从所述目标网络的授权用户列表中删除;
向所述特定用户发送带外消息,以警告所述特定用户停止对所述目标网络的入侵;以及
使得对与所述特定用户相关联的帐户收取处罚费。
36.如权利要求35所述的设备,其中所述一个或多个指令序列的执行还使所述一个或多个处理器执行以下步骤
确定处罚期是否已经到期;以及
如果确定处罚期已经到期,则使所述特定用户恢复到所述目标网络的授权用户列表中。
37.一种计算机可读介质,其承载用于在服务网关处保护分组交换网的一个或多个指令序列,其中所述一个或多个指令序列被一个或多个处理器执行使所述一个或多个处理器执行以下步骤:
在网络接入服务器和内容服务器之间的分组交换网上的通信路径中的网关服务器处接收用户数据,
其中所述用户数据包括
订户标识符数据,其指示特定用户的唯一标识符,
网络地址数据,其指示所述特定用户所使用的主机的网络地址,
NAS数据,其指示所述网络接入服务器的标识符,
流列表数据,其指示一个或多个开放数据分组流,其中
开放数据分组流包括指示穿过所述网关服务器以在所述用户和所述内容服务器之间进行通信的一系列数据分组的开始的数据分组,而没有所述用户和所述内容服务器之间的所述一系列数据分组的相对应的终止,以及
可疑活动数据,其指示所述开放数据分组流的指示可疑活动的属性的值;
基于所述可疑活动数据来确定是否满足入侵条件;并且
如果确定满足所述入侵条件,则至少部分地基于除所述网络地址数据之外的用户数据来响应所述入侵。
38.一种计算机可读介质,其承载用于响应对分组交换网的入侵的一个或多个指令序列,其中所述一个或多个指令序列被一个或多个处理器执行使所述一个或多个处理器执行以下步骤:
在记账代理服务器处接收恶意订户数据,其中所述记账代理服务器为从订户感知服务网关服务器访问目标网络的远程用户提供费用信息,所述恶意订户数据包括指示特定用户的唯一标识符的订户标识符数据和指示所述特定用户与对所述目标网络的入侵相关联的入侵数据;以及
响应于收到所述恶意订户数据,通过执行以下步骤中的至少一个来处罚所述特定用户:
使所述特定用户从所述目标网络的授权用户列表中删除;
向所述特定用户发送带外消息,以警告所述特定用户停止对所述目标网络的入侵;以及
使得对与所述特定用户相关联的帐户收取处罚费。
39.如权利要求38所述的计算机可读介质,其中所述一个或多个指令序列的执行还使所述一个或多个处理器执行以下步骤
确定处罚期是否已经到期;以及
如果确定处罚期已经到期,则使所述特定用户恢复到所述目标网络的授权用户列表中。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US11/273,112 | 2005-11-14 | ||
US11/273,112 US8266696B2 (en) | 2005-11-14 | 2005-11-14 | Techniques for network protection based on subscriber-aware application proxies |
PCT/US2006/060657 WO2007100388A2 (en) | 2005-11-14 | 2006-11-08 | Techniques for network protection based on subscriber-aware application proxies |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101390342A true CN101390342A (zh) | 2009-03-18 |
CN101390342B CN101390342B (zh) | 2012-05-30 |
Family
ID=38042454
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2006800425518A Active CN101390342B (zh) | 2005-11-14 | 2006-11-08 | 基于订户感知应用代理的网络保护技术 |
Country Status (4)
Country | Link |
---|---|
US (2) | US8266696B2 (zh) |
EP (1) | EP1977561B1 (zh) |
CN (1) | CN101390342B (zh) |
WO (1) | WO2007100388A2 (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8266696B2 (en) | 2005-11-14 | 2012-09-11 | Cisco Technology, Inc. | Techniques for network protection based on subscriber-aware application proxies |
WO2013078685A1 (zh) * | 2011-12-02 | 2013-06-06 | 华为技术有限公司 | 发送消息的方法、接收消息方法、开放流控制器及第一开放流交换机 |
CN103621028A (zh) * | 2011-04-15 | 2014-03-05 | 日本电气株式会社 | 控制网络访问策略的计算机系统、控制器和方法 |
Families Citing this family (19)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8397284B2 (en) * | 2006-01-17 | 2013-03-12 | University Of Maryland | Detection of distributed denial of service attacks in autonomous system domains |
JP4267633B2 (ja) * | 2006-02-27 | 2009-05-27 | 株式会社日立製作所 | ネットワークシステム及びトラヒック情報集約装置 |
US9148437B1 (en) * | 2007-03-27 | 2015-09-29 | Amazon Technologies, Inc. | Detecting adverse network conditions for a third-party network site |
US7930750B1 (en) * | 2007-04-20 | 2011-04-19 | Symantec Corporation | Method to trickle and repair resources scanned using anti-virus technologies on a security gateway |
US7778956B2 (en) * | 2007-06-21 | 2010-08-17 | Microsoft Corporation | Portal and key management service database schemas |
US9137316B2 (en) * | 2007-09-26 | 2015-09-15 | Cisco Technology, Inc. | Controlling receipt of electronic advertising |
US7855982B2 (en) * | 2007-11-19 | 2010-12-21 | Rajesh Ramankutty | Providing services to packet flows in a network |
US8589974B2 (en) * | 2008-01-16 | 2013-11-19 | Cisco Technology, Inc. | Electronic advertising using distributed demographics |
US8341279B2 (en) * | 2008-11-17 | 2012-12-25 | Cisco Technology, Inc. | Dynamically activating buffered data publishers in sensor networks |
KR20120060655A (ko) * | 2010-12-02 | 2012-06-12 | 한국전자통신연구원 | 서버 공격을 탐지할 수 있는 라우팅 장치와 라우팅 방법 및 이를 이용한 네트워크 |
US8499348B1 (en) * | 2010-12-28 | 2013-07-30 | Amazon Technologies, Inc. | Detection of and responses to network attacks |
US9137325B2 (en) * | 2011-02-11 | 2015-09-15 | Microsoft Technology Licensing, Llc | Efficiently isolating malicious data requests |
US20140101761A1 (en) * | 2012-10-09 | 2014-04-10 | James Harlacher | Systems and methods for capturing, replaying, or analyzing time-series data |
KR101371902B1 (ko) * | 2012-12-12 | 2014-03-10 | 현대자동차주식회사 | 차량 네트워크 공격 탐지 장치 및 그 방법 |
US10057850B2 (en) * | 2014-03-24 | 2018-08-21 | Acer Incorporated | Methods for deferring communications between a mobile communication device and a service network |
US10171494B2 (en) * | 2016-02-16 | 2019-01-01 | International Business Machines Corporation | Scarecrow for data security |
US11063940B2 (en) * | 2018-04-27 | 2021-07-13 | Hewlett Packard Enterprise Development Lp | Switch authentication |
US11539682B2 (en) * | 2020-03-31 | 2022-12-27 | Lenovo Enterprise Solutions (Singapore) Pte. Ltd. | Connection parameter awareness in an authenticated link-layer network session |
CN112989427B (zh) * | 2021-05-06 | 2021-08-20 | 武汉深之度科技有限公司 | 一种文件保护方法、计算设备及存储介质 |
Family Cites Families (60)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5345595A (en) * | 1992-11-12 | 1994-09-06 | Coral Systems, Inc. | Apparatus and method for detecting fraudulent telecommunication activity |
US5898830A (en) * | 1996-10-17 | 1999-04-27 | Network Engineering Software | Firewall providing enhanced network security and user transparency |
US6542497B1 (en) * | 1997-03-11 | 2003-04-01 | Verizon Services Corp. | Public wireless/cordless internet gateway |
US6615358B1 (en) * | 1998-08-07 | 2003-09-02 | Patrick W. Dowd | Firewall for processing connection-oriented and connectionless datagrams over a connection-oriented network |
DE60013588T2 (de) * | 1999-05-03 | 2005-07-21 | Nokia Corp. | Sim authentifizierungsmechanismus für dhcrv4/v6 nachrichten |
US6463468B1 (en) * | 1999-06-01 | 2002-10-08 | Netzero, Inc. | Targeted network video download interface |
EP1143662B1 (en) | 1999-06-10 | 2006-05-17 | Alcatel Internetworking, Inc. | Virtual private network having automatic updating of client reachability information |
US6751677B1 (en) * | 1999-08-24 | 2004-06-15 | Hewlett-Packard Development Company, L.P. | Method and apparatus for allowing a secure and transparent communication between a user device and servers of a data access network system via a firewall and a gateway |
US6832321B1 (en) * | 1999-11-02 | 2004-12-14 | America Online, Inc. | Public network access server having a user-configurable firewall |
US8032409B1 (en) * | 1999-11-22 | 2011-10-04 | Accenture Global Services Limited | Enhanced visibility during installation management in a network-based supply chain environment |
US6925572B1 (en) * | 2000-02-28 | 2005-08-02 | Microsoft Corporation | Firewall with two-phase filtering |
US7124440B2 (en) * | 2000-09-07 | 2006-10-17 | Mazu Networks, Inc. | Monitoring network traffic denial of service attacks |
US7278159B2 (en) * | 2000-09-07 | 2007-10-02 | Mazu Networks, Inc. | Coordinated thwarting of denial of service attacks |
US7836498B2 (en) * | 2000-09-07 | 2010-11-16 | Riverbed Technology, Inc. | Device to protect victim sites during denial of service attacks |
US7743134B2 (en) * | 2000-09-07 | 2010-06-22 | Riverbed Technology, Inc. | Thwarting source address spoofing-based denial of service attacks |
US7702806B2 (en) * | 2000-09-07 | 2010-04-20 | Riverbed Technology, Inc. | Statistics collection for network traffic |
US7043759B2 (en) * | 2000-09-07 | 2006-05-09 | Mazu Networks, Inc. | Architecture to thwart denial of service attacks |
US7398317B2 (en) * | 2000-09-07 | 2008-07-08 | Mazu Networks, Inc. | Thwarting connection-based denial of service attacks |
US7389354B1 (en) * | 2000-12-11 | 2008-06-17 | Cisco Technology, Inc. | Preventing HTTP server attacks |
US6823378B2 (en) * | 2000-12-18 | 2004-11-23 | International Business Machines Corporation | Method and apparatus in network management system for performance-based network protocol layer firewall |
US6941474B2 (en) * | 2001-02-20 | 2005-09-06 | International Business Machines Corporation | Firewall subscription service system and method |
US7469341B2 (en) * | 2001-04-18 | 2008-12-23 | Ipass Inc. | Method and system for associating a plurality of transaction data records generated in a service access system |
US7921290B2 (en) * | 2001-04-18 | 2011-04-05 | Ipass Inc. | Method and system for securely authenticating network access credentials for users |
US7433943B1 (en) * | 2001-12-20 | 2008-10-07 | Packeteer, Inc. | Volume-based network management scheme |
US7657934B2 (en) * | 2002-01-31 | 2010-02-02 | Riverbed Technology, Inc. | Architecture to thwart denial of service attacks |
US7743415B2 (en) * | 2002-01-31 | 2010-06-22 | Riverbed Technology, Inc. | Denial of service attacks characterization |
US7213264B2 (en) * | 2002-01-31 | 2007-05-01 | Mazu Networks, Inc. | Architecture to thwart denial of service attacks |
CN1175621C (zh) * | 2002-03-29 | 2004-11-10 | 华为技术有限公司 | 一种检测并监控恶意用户主机攻击的方法 |
US7961884B2 (en) * | 2002-08-13 | 2011-06-14 | Ipass Inc. | Method and system for changing security information in a computer network |
US7581023B2 (en) * | 2002-04-30 | 2009-08-25 | Riverbed Technology, Inc. | Architecture to thwart denial of service attacks |
US7277963B2 (en) * | 2002-06-26 | 2007-10-02 | Sandvine Incorporated | TCP proxy providing application layer modifications |
US7254133B2 (en) * | 2002-07-15 | 2007-08-07 | Intel Corporation | Prevention of denial of service attacks |
US7224678B2 (en) * | 2002-08-12 | 2007-05-29 | Harris Corporation | Wireless local or metropolitan area network with intrusion detection features and related methods |
US7082117B2 (en) * | 2002-08-12 | 2006-07-25 | Harris Corporation | Mobile ad-hoc network with intrusion detection features and related methods |
US7337470B2 (en) * | 2002-08-23 | 2008-02-26 | International Business Machines Corporation | Method for minimizing denial of service attacks on network servers |
US7313092B2 (en) * | 2002-09-30 | 2007-12-25 | Lucent Technologies Inc. | Apparatus and method for an overload control procedure against denial of service attack |
US7296288B1 (en) * | 2002-11-15 | 2007-11-13 | Packeteer, Inc. | Methods, apparatuses, and systems allowing for bandwidth management schemes responsive to utilization characteristics associated with individual users |
US7386889B2 (en) * | 2002-11-18 | 2008-06-10 | Trusted Network Technologies, Inc. | System and method for intrusion prevention in a communications network |
US7720960B2 (en) * | 2003-03-04 | 2010-05-18 | Cisco Technology, Inc. | Method and apparatus providing prepaid billing for network services using explicit service authorization in an access server |
US7379423B1 (en) * | 2003-03-20 | 2008-05-27 | Occam Networks, Inc. | Filtering subscriber traffic to prevent denial-of-service attacks |
JP4520703B2 (ja) * | 2003-03-31 | 2010-08-11 | 富士通株式会社 | 不正アクセス対処システム、及び不正アクセス対処処理プログラム |
US7463590B2 (en) * | 2003-07-25 | 2008-12-09 | Reflex Security, Inc. | System and method for threat detection and response |
US7266754B2 (en) * | 2003-08-14 | 2007-09-04 | Cisco Technology, Inc. | Detecting network denial of service attacks |
US7299354B2 (en) * | 2003-09-30 | 2007-11-20 | Intel Corporation | Method to authenticate clients and hosts to provide secure network boot |
JP2005197823A (ja) | 2003-12-26 | 2005-07-21 | Fujitsu Ltd | ファイアウォールとルータ間での不正アクセス制御装置 |
US8214481B2 (en) | 2004-02-10 | 2012-07-03 | Seagate Technology Llc | Firewall permitting access to network based on accessing party identity |
US20050234920A1 (en) * | 2004-04-05 | 2005-10-20 | Lee Rhodes | System, computer-usable medium and method for monitoring network activity |
US20080276000A1 (en) * | 2004-06-22 | 2008-11-06 | Koninklijke Philips Electronics, N.V. | System and Method for Distributing Content via a Shared Network |
US8312530B2 (en) * | 2004-07-12 | 2012-11-13 | Cisco Technology, Inc. | System and method for providing security in a network environment using accounting information |
US7587751B2 (en) * | 2004-08-02 | 2009-09-08 | Cisco Technology, Inc. | Method and apparatus for automatically re-validating multiple clients of an authentication system |
US7639802B2 (en) * | 2004-09-27 | 2009-12-29 | Cisco Technology, Inc. | Methods and apparatus for bootstrapping Mobile-Foreign and Foreign-Home authentication keys in Mobile IP |
WO2006040910A1 (ja) * | 2004-10-12 | 2006-04-20 | Nippon Telegraph And Telephone Corporation | 中継装置、中継方法、中継プログラム並びにネットワーク攻撃防御システム |
US7916685B2 (en) * | 2004-12-17 | 2011-03-29 | Tekelec | Methods, systems, and computer program products for supporting database access in an internet protocol multimedia subsystem (IMS) network environment |
US20060174001A1 (en) * | 2005-01-31 | 2006-08-03 | Shouyu Zhu | Responding to malicious traffic using separate detection and notification methods |
US7676217B2 (en) * | 2005-01-31 | 2010-03-09 | Theta Networks, Inc. | Method for malicious traffic recognition in IP networks with subscriber identification and notification |
US20070220252A1 (en) * | 2005-06-06 | 2007-09-20 | Sinko Michael J | Interactive network access controller |
US8266696B2 (en) * | 2005-11-14 | 2012-09-11 | Cisco Technology, Inc. | Techniques for network protection based on subscriber-aware application proxies |
US8149725B2 (en) * | 2006-07-31 | 2012-04-03 | Tekelec | Methods, systems, and computer program products for a hierarchical, redundant OAM&P architecture for use in an IP multimedia subsystem (IMS) network |
EP2007111A1 (fr) * | 2007-06-22 | 2008-12-24 | France Telecom | Procédé de filtrage de paquets en provenance d'un réseau de communication |
KR101088852B1 (ko) * | 2009-12-09 | 2011-12-06 | 한국인터넷진흥원 | 인터넷 전화 과금우회 공격 탐지 시스템 및 그 탐지 방법 |
-
2005
- 2005-11-14 US US11/273,112 patent/US8266696B2/en active Active
-
2006
- 2006-11-08 CN CN2006800425518A patent/CN101390342B/zh active Active
- 2006-11-08 WO PCT/US2006/060657 patent/WO2007100388A2/en active Application Filing
- 2006-11-08 EP EP06850119.6A patent/EP1977561B1/en not_active Not-in-force
-
2012
- 2012-02-09 US US13/369,498 patent/US8844035B2/en active Active
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8266696B2 (en) | 2005-11-14 | 2012-09-11 | Cisco Technology, Inc. | Techniques for network protection based on subscriber-aware application proxies |
CN103621028A (zh) * | 2011-04-15 | 2014-03-05 | 日本电气株式会社 | 控制网络访问策略的计算机系统、控制器和方法 |
CN103621028B (zh) * | 2011-04-15 | 2016-05-11 | 日本电气株式会社 | 控制网络访问策略的计算机系统、控制器和方法 |
WO2013078685A1 (zh) * | 2011-12-02 | 2013-06-06 | 华为技术有限公司 | 发送消息的方法、接收消息方法、开放流控制器及第一开放流交换机 |
US9641421B2 (en) | 2011-12-02 | 2017-05-02 | Huawei Technologies Co., Ltd. | Message transmitting method, message receiving method, openflow controller and first openflow switch |
Also Published As
Publication number | Publication date |
---|---|
US8844035B2 (en) | 2014-09-23 |
WO2007100388A2 (en) | 2007-09-07 |
WO2007100388A3 (en) | 2008-07-31 |
EP1977561B1 (en) | 2018-09-12 |
US8266696B2 (en) | 2012-09-11 |
CN101390342B (zh) | 2012-05-30 |
US20120137366A1 (en) | 2012-05-31 |
EP1977561A2 (en) | 2008-10-08 |
US20070113284A1 (en) | 2007-05-17 |
EP1977561A4 (en) | 2009-08-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101390342B (zh) | 基于订户感知应用代理的网络保护技术 | |
Lad et al. | PHAS: A Prefix Hijack Alert System. | |
CN1965309B (zh) | 中继设备确定方法和系统 | |
CN101443750B (zh) | 用于订户知晓应用服务器集群上的负载平衡的技术 | |
US7894359B2 (en) | System and method for distributing information in a network environment | |
US7738452B1 (en) | Techniques for load balancing subscriber-aware application proxies | |
US8320242B2 (en) | Active response communications network tap | |
US6247054B1 (en) | Method and apparatus for redirecting packets using encapsulation | |
US20020112076A1 (en) | Internet protocol-based computer network service | |
CN1938982B (zh) | 通过认证因特网控制消息协议分组来防止网络攻击的方法和装置 | |
CN101674307A (zh) | 计算机网络内的安全服务的分级应用程序 | |
CN103036733A (zh) | 非常规网络接入行为的监测系统及监测方法 | |
JPH0281539A (ja) | デジタル通信回路網およびその操作方法並びにデジタル通信回路網に用いるルータ | |
US7464410B1 (en) | Protection against flooding of a server | |
EP1493246A1 (en) | Monitoring of information in a network environment | |
CN101141396B (zh) | 报文处理方法和网络设备 | |
CN104618491B (zh) | 一种代理服务器及数据转发方法 | |
Simon et al. | AS-based accountability as a cost-effective DDoS defense | |
Cisco | Access and Communication Servers Command Reference Internetwork Operating System Release 10 Chapters 1 to 13 | |
Cisco | X.25 Configuration and Management | |
EP1114546B1 (en) | Transmission system adapted for ip data packets | |
US8010641B2 (en) | Method for coupling online and internet services | |
JP2002312261A (ja) | ネットワークサービス中継方法及び中継装置 | |
AU2003262120B2 (en) | Monitoring of information in a network environment | |
KR20030089922A (ko) | 가상사설망을 이용한 통신처리시스템에서의 온라인 과금송수신장치 및 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |