CN102763384B - 名誉阈值的自动调整 - Google Patents
名誉阈值的自动调整 Download PDFInfo
- Publication number
- CN102763384B CN102763384B CN201180009244.0A CN201180009244A CN102763384B CN 102763384 B CN102763384 B CN 102763384B CN 201180009244 A CN201180009244 A CN 201180009244A CN 102763384 B CN102763384 B CN 102763384B
- Authority
- CN
- China
- Prior art keywords
- packet
- concrete
- reputation score
- flow
- rate limit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/29—Flow control; Congestion control using a combination of thresholds
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0876—Network utilisation, e.g. volume of load or congestion level
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/16—Threshold monitoring
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/22—Traffic shaping
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/32—Flow control; Congestion control by discarding or delaying data units, e.g. packets or frames
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Abstract
一种防火墙、入侵防护或其他装置基于与数据包源相关联的名誉等级来自动且动态地调整受到某种速率限制的数据包。当测量的流量增大直至超出期望量时,致使与名誉分数相关联的数据包受到速率限制的名誉分数的范围被加以调整,以使测量的流量节流,降至期望限度之内。以这种方式,可在流量增大期间挑出名誉较差的数据包流量,以对其进行速率限制。当测量的流量减退时,名誉分数的范围可相应地改变,以允许更多的测量的流量。
Description
技术领域
本公开大体涉及一种网络装置,例如但不限于,一种防火墙或一种实施防火墙功能的装置。
背景技术
为了向新兴技术发展并满足消费者日益增长的需求,通信行业正在迅速改变。消费者对新应用和现有应用性能提升的需求驱使着通信网络和系统提供商利用速度更快且容量更高(例如,带宽更大)的网络和系统。在试图实现这些目标时,许多通信提供商所采用的一种常见方法是使用数据包交换技术。
互联网常受到的攻击是协调分布式服务拒绝(DDoS)攻击,在这种情况下,全球许多计算机同时尝试向一台服务器发出看似合法的请求,阻断了普通客户端的访问。发动攻击的计算机常常是僵尸网络的成员,即已经不知不觉地受到恶意软件的危害的普通计算机。由于这些计算机是实际客户端,还没有一种简单的方法能将来自广阔网络的无害请求与有害请求分类。通常唯一的选择就是手动地阻断全部地址带,即便是很多合法流量也包括在这些带中,也只能这么做。一个极端的实例是,对爱沙尼亚发起的DDoS攻击,当时服务提供商最终阻断了所有非爱沙尼亚境内的IP地址-实质上,他们断开了爱沙尼亚与世界上其他地区的网络连接。
发明内容
除了其他内容,本发明还公开了与自动调整名誉阈值以改变某些数据包(例如但不限于,数据包源的对应名誉分数比新名誉阈值更低的数据包)的处理相关联的方法、设备、计算机存储介质、机制和手段。上述处理通常包括一种速率限制形式,例如但不限于(不一定不发生重叠)以下可扩充组:数据包的流程控制、服务质量(Qos)标记、丢弃、监管、额外检查(可能包括深度数据包检查)以及反应性处理等。
在一个实施例中,一防火墙、入侵防护或其他装置基于与数据包源相关联的名誉等级来自动且动态地调整受到某种速率限制的数据包。当测量的流量增大直至超出期望量时,致使与名誉分数相关联的数据包受到速率限制的名誉分数的范围被加以调整,以使测量的流量节流,降至期望限度之内。以这种方式,可在流量增大期间挑出名誉较差的数据包流量,以对其进行速率限制。当测量的流量减退时,名誉分数的范围可相应地改变,以允许更多的测量的流量。
一个实施例包括一种由具体机器来执行的方法,例如但不限于,一防火墙或入侵防护系统(IPS)。在一个实施例中,该方法包括以下步骤:由具体联网机器来对较多个数据包中的第一多个数据包进行速率限制,其中在具体联网机器所接收的数据包的数据包源的名誉分数低于预定名誉分数阈值时,这些数据包被识别为在第一多个数据包中;且其中在具体联网机器所接收的数据包的数据包源的名誉分数高于该预定名誉分数阈值时,这些数据包不会被识别为在第一多个数据包中。响应于测量的较多个数据包的流量等于或超过一个或多个预定流量测量阈值:由具体联网机器将名誉分数阈值自动地调整到较高的名誉分数,从而扩大第一多个数据包,使其现在包括速率受具体联网机器限制、与较高名誉分数相关联的数据包。
在一个实施例中,该测量的流量是基于由下列因素组成的因素组中的一个或多个因素:较多个数据包中的若干数据包的速率,较多个数据包的连接尝试的速率;以及较多个数据包的数据速率。一个实施例包括基于具体数据包的源地址,为第一多个数据包中的一个具体数据包确定一个具体名誉分数。一个实施例包括基于具体数据包的源地址和具体数据包的操作系统指纹,为第一多个数据包中的一个具体数据包确定一个具体名誉分数。一个实施例包括基于与具体数据包的源地址相关联的域,为第一多个数据包中的一个具体数据包确定一个具体名誉分数。在一个实施例中,所述基于与具体数据包的源地址相关联的域来为第一多个数据包中的具体数据包确定具体名誉分数的步骤包括:对具体数据包的源地址执行反向域名服务查找操作。在一个实施例中,具体联网机器是防火墙。在一个实施例中,由具体联网机器对一已识别数据包执行该速率限制包括由下列速率限制操作组成的速率限制操作组中的一个或多个速率限制操作:丢弃已识别数据包,转移已识别数据包以进行进一步处理进而确定怎样进行速率限制,基于已识别数据包的服务类型对已识别数据包执行服务质量(QoS)速率限制。在一个实施例中,在对第一多个数据包进行速率限制之后,测量较多个数据包的流量,使得在流量测量之前被丢弃的较多个数据包中的数据包不包括在测量的流量内。在一个实施例中,响应于测量的较多个数据包的流量等于第二预定流量测量阈值或降至第二预定流量测量阈值以下:由具体联网机器将名誉分数阈值自动地调整成较低的名誉分数,从而使速率受具体联网机器限制的第一多个数据包收缩。
附图说明
所附权利要求描述了具有特殊性的本发明的特征。通过以下详细说明并结合附图,可以对本发明及其优点有最好的理解,其中:
图1示出了一种根据一个实施例操作的具体机器;
图2示出了一个实施例中所用的一种设备或其组件;
图3示出了一个实施例中所执行的一个进程;以及
图4示出了一个实施例中所执行的一个进程。
具体实施方式
除了其他内容,本发明还公开了与自动调整名誉(reputation)阈值以改变某些数据包(例如但不限于,数据包源的对应名誉分数比新名誉阈值更低的数据包)的处理相关联的方法、设备、计算机存储介质、机制和手段。上述处理通常包括一种速率限制形式,例如但不限于(不一定不发生重叠)以下可扩充组:数据包的流程控制、服务质量(Qos)标记、丢弃、监管、额外检查(可能包括深度数据包检查)以及反应性处理等。
本文所述实施例包括各种元件和限制,但没有一个元件或限制被视为是关键元件或限制。作为一个整体,每一个权利要求单独列举了本发明的一个方面。此外,除了其他内容,所述的一些实施例可包括,但并不限于,系统、网络、集成电路芯片、嵌入式处理器、ASIC、方法,和含有指令的计算机可读介质。一个或多个系统、装置、组件等可构成一个或多个实施例,该实施例可包括由相同或不同系统、装置、组件等来执行的权利要求的一些元件或限制。一处理元件可以是一通用处理器、特殊任务处理器,或用于执行对应处理的其他实施方式。下文中所描述的实施例包括了在本发明的范围和精神内的各种方面和配置,附图所示出为示例性且非限制性配置。注意,公开了计算机可读介质和用于执行方法及处理块操作的手段(例如,处理器和存储器或配置成执行此类操作的其他设备),并且其符合本发明的可扩展的范围及精神。注意,在本文中,“设备(apparatus)”一词的使用与其常见定义-器具(appliance)或装置(device)一致。
注意,除非使实施例不能实施,或者明示或暗示需要按某一顺序(以读取值并处理该读取值的顺序为例:必须先获得该值,然后再对其进行处理,然而,一些相关联的处理也可在读取操作之前执行,与读取操作同时执行,和/或在读取操作之后执行),否则附图中示出的步骤、连接以及信号和信息处理(包括,但并不限于,任何方块图和流程图以及消息顺序图)通常可以以相同或不同的串行或并行的顺序来执行,和/或通过不同的组件和/或进程、线程等来执行,和/或通过不同的连接且与其他实施例中的其他功能组合来执行。还需注意的是,除非明确说明,否则在此文件中描述或参照的事物不能被认为是这个申请案的现有技术。
本文中使用“一个实施例”一词是为了参照一个特定的实施例,其中每次参照“一个实施例”可能指一个不同的实施例,且在描述相关联的特征、元件和/或限制时在本文中重复使用这个词,并不表示其建立了每一个实施例必须包括的相关联特征、元件和/或限制累积而成的集合,但是,一个实施例通常可能包括所有这些特征、元件和/或限制。除此之外,本文中使用“第一”、“第二”等用词通常是为了表示不同的单元(例如,第一元件、第二元件)。在本文中使用这些词并不一定意味着某种顺序(诸如,一单元或事件出现或发生在另一单元或事件之前),而是提供一种区分特定单元的机制。此外,短语“基于x”和“响应于x”用来指示推导或促使产生某事物的“x”项目的最小集合,其中“x”是可扩展的,且并不一定描述被执行操作的项目的完整列表等。此外,短语“耦合”用来指示两个元件或装置之间某种程度的直接或间接连接,其中一个或多个耦合装置修改或不会修改耦合信号或通信信息。此外,本文中使用“或者”一词是为了表示从连续的项目中选择一个或多个项目(包括所有项目)。此外,连接用词“包含(comprising)”,以及其同义词“包括(including)”、“含有(containing)”或“特征在于”,都是包括界限的且是开放式的,并且不排除附加的、未列举出的元件或方法步骤。最后,当在用于执行步骤的一项方法权利要求中叙述“具体机器”一词时,这个词语是指35USC§101机器法定类别内的一种具体机器。
一个实施例包括一种由具体联网机器来执行的方法,该方法包含以下步骤:由具体联网机器对较多个数据包中的第一多个数据包进行速率限制,其中当具体联网机器所接收的数据包的数据包源的名誉分数低于预定名誉分数阈值时,这些数据包被识别为在第一多个数据包中;且其中当具体联网机器所接收的数据包的数据包源的名誉分数低于该预定名誉分数阈值时,这些数据包不会被识别为在第一多个数据包中;以及响应于测量的较多个数据包的流量等于或超过一个或多个预定流量测量阈值:由具体联网机器将名誉分数阈值自动地调整到较高的名誉分数,从而扩大第一多个数据包,使其现在包括速率受具体联网机器限制、与较高名誉分数相关联的数据包。
在一个实施例中,该测量的流量是基于由下列因素组成的因素组中的一个或多个因素:较多个数据包中的若干数据包的速率,较多个数据包的连接尝试的速率;以及较多个数据包的数据速率。一个实施例包括基于具体数据包的源地址,为第一多个数据包中的一个具体数据包确定一个具体名誉分数。一个实施例包括基于具体数据包的源地址和具体数据包的操作系统指纹,为第一多个数据包中的一个具体数据包确定一个具体名誉分数。一个实施例包括基于与具体数据包的源地址相关联的域,为第一多个数据包中的一个具体数据包确定一个具体名誉分数。在一个实施例中,所述基于与具体数据包的源地址相关联的域来为第一多个数据包中的具体数据包确定具体名誉分数的步骤包括:对具体数据包的源地址执行反向域名服务查找操作。
在一个实施例中,具体联网机器是防火墙。在一个实施例中,由具体联网机器对一已识别数据包执行该速率限制包括由下列速率限制操作组成的速率限制操作组中的一个或多个速率限制操作:丢弃已识别数据包,转移已识别数据包以进行进一步处理从而确定怎样进行速率限制,基于已识别数据包的服务类型对已识别数据包执行服务质量(QoS)速率限制。在一个实施例中,在对第一多个数据包进行速率限制之后,测量较多个数据包的流量,使得在流量测量之前被丢弃的较多个数据包中的数据包不包括在测量的流量内。在一个实施例中,响应于测量的较多个数据包的流量等于第二预定流量测量阈值或降至第二预定流量测量阈值以下:由具体联网机器将名誉分数阈值自动地调整成较低的名誉分数,从而使速率受具体联网机器限制的第一多个数据包收缩。
一个实施例包括一种设备,该设备包含:一速率限制器,配置成用于对较多个数据包中的第一多个数据包进行速率限制,其中当该设备所接收的数据包的数据包源的名誉分数低于一个预定名誉分数阈值时,这些数据包被识别为在第一多个数据包中;且其中当该设备所接收的数据包的数据包源的名誉分数高于该预定名誉分数阈值时,这些数据包不会被识别为在第一多个数据包中;一控制器,在测量的较多个数据包的流量等于或超过一个预定流量测量阈值时可作出响应,其中该响应包括:将名誉分数阈值自动调整较高名誉分数,从而扩大第一多个数据包,使其现在包括速率受具体联网机器限制、与较高名誉分数相关联的数据包;以及一个或多个速率监测器,配置成用于确定该测量的流量。
在一个实施例中,该测量的流量是基于由下列因素组成的因素组中的一个或多个因素:较多个数据包中的若干数据包的速率,较多个数据包的连接尝试的速率;以及较多个数据包的数据速率。在一个实施例中,该具体联网机器是防火墙。在一个实施例中,具体联网机器对一已识别数据包执行该速率限制包括由下列速率限制操作组成的速率限制操作组中的一个或多个速率限制操作:丢弃已识别数据包,转移已识别数据包以进行进一步处理从而确定怎样进行速率限制,基于已识别数据包的服务类型对已识别数据包执行服务质量(QoS)速率限制。在一个实施例中,该一个或多个速率监测器以通信方式耦合,以在数据包通过速率限制器之后对其进行接收,使得在到达该一个或多个速率监测器之前被丢弃的较多个数据包中的数据包并不包括在该测量的流量内。在一个实施例中,该控制器配置成响应于该测量的流量等于第二预定流量测量阈值或降至第二预定流量测量阈值以下,将名誉分数阈值自动调整成较低名誉分数,从而使第一多个数据包收缩。
一个实施例包括一种由具体联网机器来执行的方法,该方法包含以下步骤:重复地:接收一个具体数据包;对该接收的具体数据包应用防火墙功能,该防火墙功能包括对数据包源的名誉分数低于当前名誉分数阈值的具体数据包进行速率限制;并由具体联网机器将未被丢弃的该接收的具体数据包转发;以及重复地:测量来自具体联网机器的输出流量的至少一部分;响应于确定该测量的输出流量超过对应的预定速率阈值:将当前名誉分数阈值动态地调整到一个高于当前名誉分数阈值的名誉分数等级,以使该测量的输出流量不再超过对应的预定速率阈值。
在一个实施例中,该接收的具体数据包属于一个具体客户端;且其中该测量的输出流量是具体客户端的输出流量。在一个实施例中,该防火墙功能包括基于由下列因素组成的因素组中的一个或多个因素来识别具体数据包的名誉分数:具体数据包的源地址;具体数据包的源地址和具体数据包的操作系统指纹;以及与具体数据包的源地址相关联的域。在一个实施例中,对具体数据包执行的该速率限制包括由下列速率限制操作组成的速率限制操作组中的一个或多个速率限制操作:丢弃具体数据包,转移具体数据包以进行进一步处理从而确定怎样进行速率限制,基于具体数据包的服务类型对具体数据包执行服务质量(QoS)速率限制。
明确转参附图,图1示出了一种具体机器100,例如但不限于,防火墙、入侵防护系统,或实施防火墙功能的其他装置。注意,关于图1的一个实施例的操作,会结合图2、3和/或4来作进一步的描述。
如图所示,具体机器100包括一接口102,此接口配置成用于接收数据包。
具体机器100还包括组件104,此组件包括:一具有数据结构(例如,配置成存储流表(flow table))的数据包连接查找机制,配置成用于识别数据包是否属于当前流程(例如,基于哈希或其他查找运算);如果数据包属于当前流程,则关于该当前流程的信息包括流程来源的名誉分数(例如,分数本身或其某种表示或编码)。若该当前流程不在数据结构中,则通常会使用数据包分类系统来为数据包分类(例如,基于标准五元组,即源地址、源端口、目标地址、目标端口以及数据包类型),并识别数据包来源/流程来源的当前名誉分数。在一个实施例中,对一本地或远程名誉数据库执行查找操作,例如但不限于,基于数据包的源地址;数据包的源地址和数据包的操作系统指纹;或与具体数据包的源地址相关联的域(例如,在对数据包的源地址执行反向域名服务器(DNS)查找之后,诸如以抵消IP地址通量)。通常利用流程信息和名誉信息来更新数据结构,使得基于初始查找操作,可轻易识别出与同一流程相关联的下一个数据包,且由数据结构可轻易获取到与其相关联的状态特征和名誉分数。
具体机器100还包括一速率限制器106,此速率限制器对针对数据包所识别的名誉分数和一个或多个当前名誉分数阈值做出反应。在一个实施例中,速率限制器106配置成通过执行下列一个或多个速率限制操作(但并不限于此)来进行速率限制:丢弃具体数据包,转移具体数据包以进行进一步处理从而确定如何进行速率限制,基于具体数据包的服务类型对具体数据包执行服务质量(QoS)速率限制。在一个实施例中,速率限制器106使用一个或多个识别集合或频带的名誉等级或一个或多个受到某类型的速率限制的名誉等级。例如,当一个数据包的名誉分数(例如,与数据包源相关联的名誉分数)低于当前阈值量时,流量受到第一类型的速率限制,而名誉分数高于当前阈值量的数据包不会受到第一类型的速率限制。因此,名誉较低的流量可能受到速率限制。而且,一个实施例使用多个阈值,其中对应的名誉等级较低的数据包相应地受到更加严厉的速率限制。
具体机器100还包括速率监测器110,此速率监测器配置成用于确定一个或多个测量速率,例如但不限于:若干数据包的速率、连接尝试的速率;和/或数据包的数据速率。
具体机器100还包括控制器108,此控制器配置成用于动态地调整一个或多个名誉阈值。在一个实施例中,当测量的流量速率中的一个超过预定阈值(例如,期望的最大流量,或小于期望的最大流量以防止超过期望速率的某个值)时,一个或多个名誉阈值被调整,以致使额外的数据包受到某种速率限制,而在对该一个或多个名誉阈值进行上述调整之前,这些数据包中的一些还没有受到速率限制。换句话说,如果测量的速率超过了一个期望等级,那么就需要额外的速率限制。一个实施例动态地使此额外的速率限制至少在一定程度上聚焦于名誉分数,以便使测量的速率降到所期望等级以下。
例如,消费者可能有一通信链接,且期望此通信链接的测量的流量不能高于预定量。当低于这个量时,不对所期望的流量执行速率限制(当然,一些实施例将始终对某类型的流量,或与低于某个量的名誉等级相对应的流量进行速率限制)。然而,当测量的流量超过预定量时,具体机器需要对这个另外的期望流量进行速率限制。一个实施例基于数据包的名誉分数来自动区分这个另外的期望流量的数据包并对应地进行速率限制,以使测量的流量回到与预定量一致。这种对(一个或多个)名誉等级阈值作出的动态调整可以是一种单一调整,或可对后续测量的流量采用多种调整。而且,一旦测量的流量降至对应的一个或多个第二阈值以下,(一个或多个)名誉等级阈值就将被调整,以阻止具有对应的名誉等级的某些数据包受到速率限制,该速率限制在测量的流量增大期间动态地实施。
具体机器100还包括接口112,此接口配置成用于发出未被丢弃(例如,遗弃、部分受阻连接等)的数据包。
图2是在与自动调整名誉阈值来对数据包进行速率限制相关联的一个实施例中使用的一种设备或组件200的方块图。在一个实施例中,系统或组件200执行与本文中图示或以其他方式描述的流程图中的一个相对应的一个或多个进程。
在一个实施例中,设备或组件200包括一个或多个处理元件201、存储器202、(一个或多个)存储装置203、(一个或多个)专用组件205(例如,优化硬件,诸如,用于执行查找操作的优化硬件等),以及用于信息通信的(一个或多个)接口207(例如,发送并接收数据包的接口、用户接口、显示信息的接口等),它们通常经由一个或多个通信机构209以通信方式耦合,通信路径通常专用于满足应用的需求。在一个实施例中,设备或组件200与图1的具体机器100相对应,或是图1的具体机器100的一部分。
设备或组件200的各种实施例可包括较多或较少的元件。设备或组件200的操作通常受(一个或多个)处理元件201的控制,该(一个或多个)处理元件201使用存储器202和(一个或多个)存储装置203来执行一个或多个任务或进程。存储器202是一种计算机可读/计算机存储介质,且通常包含随机存取存储器(RAM)、只读存储器(ROM)、闪存、集成电路,和/或其他存储器组件。存储器202通常存储要由(一个或多个)处理元件201执行的计算机可执行指令和/或受(一个或多个)处理元件201操纵来实施根据一个实施例的功能的数据。(一个或多个)存储装置203是另一种的计算机可读介质,且通常包含固态存储介质、磁盘驱动器、磁盘、网络服务、磁带驱动器以及其他存储装置。(一个或多个)存储装置203通常存储要由(一个或多个)处理元件201执行的计算机可执行指令和/或由(一个或多个)处理元件201操纵来实施根据一个实施例的功能的数据。
图3示出了在一个实施例中执行的一个进程。处理从进程块300开始。在进程块302中,名誉分数阈值和最小名誉分数阈值被初始化。这些名誉分数阈值可能与客户端、接口或整个装置或其一部分相对应。视实施例及其用途而定,对于不同的客户端、接口或整个装置的部分,具体机器可能具有(一个或多个)不同的名誉等级阈值和(一个或多个)测量的流量值。
在进程块304中,测量输出流量的至少一部分(例如,与客户端、接口或整个装置或其一部分相对应),例如但不限于,测量若干数据包的速率,测量连接尝试的速率;和/或测量数据包的数据速率。如进程块305中所确定,若测量的速率超过对应的速率阈值,则在进程块306中,名誉分数阈值被调整,使得在进行所述调整之前名誉分数较高的额外数据包将受到基于名誉分数的速率限制,例如但不限于,尝试将一个或多个测量的流量速率保持在对应的速率阈值以下。否则,如进程块307中所确定,若流量等级已降至一最小阈值以下,则在进程块308中,动态名誉等级调整将回退,致使与目前受限流量相比,较少流量受到速率限制,因此,通常增大了一个或多个测量的流量值。处理返回到进程块304。
图4示出了在一个实施例中执行的一个进程。处理从进程块400开始。在进程块402中,接收数据包。在进程块404中,对数据包执行查找操作(例如,在流表中)以识别数据包是否是现有流程的一部分,若数据包是现有流程的一部分,则用于执行防火墙功能的对应信息,包括与数据包源相对应的名誉分数,将被获取出来。
如进程块405中所确定,若查找操作并不确定数据包属于先前存在的连接,则在进程块406中,对一本地或远程名誉数据库执行与数据包源相对应的名誉。在一个实施例中,此查找操作基于以下因素来执行:数据包的源地址;数据包的源地址和数据包的操作系统指纹;或与具体数据包的源地址相关联的域(例如,在对数据包的源地址执行反向域名服务器(DNS)查找之后,诸如以抵消IP地址通量)。在进程块408中,创建包括已识别名誉分数的流表项。
接下来,在进程块409中,防火墙功能被应用于所接收的数据包,这包括在与数据包相关联的名誉分数低于预定名誉分数阈值时,对数据包进行速率限制。处理返回到进程块402。
鉴于可应用本发明原理的许多可能的实施例,将了解到的是,参照附图在本文中所描述的实施例及其多个方面仅为说明性的且不应被视为限制本发明的范围。例如,且对于本领域技术人员将显而易见的是,许多进程块操作可被重新排序以在其他操作之前执行、其他操作之后执行或基本上与其他操作同时执行。而且,在各种实施例中可使用许多不同形式的数据结构。本文所描述的本发明将所有此类实施例归入后附权利要求及其等效内容的范围内。
Claims (20)
1.一种由具体联网机器执行的方法,所述方法包括:
由所述具体联网机器来对较多个数据包中的第一多个数据包进行速率限制,其中在所述具体联网机器所接收的数据包的源具有比预定名誉分数阈值差的名誉分数时,这些数据包被识别为是所述第一多个数据包中的数据包;并且其中,在所述具体联网机器所接收的数据包的源具有比所述预定名誉分数阈值好的名誉分数时,这些数据包不被识别为是所述第一多个数据包中的数据包;以及
响应于测量的所述较多个数据包的流量等于或超过一个或多个预定的流量测量阈值:由所述具体联网机器将所述名誉分数阈值自动调整成更好的名誉分数,从而扩大所述第一多个数据包的范围,使其现在包括被所述具体联网机器进行速率限制的、与更高的名誉分数相关联的数据包。
2.如权利要求1所述的方法,其中,所述测量的流量是基于由下列因素组成的组中的一个或多个:所述较多个数据包中的若干数据包的速率、所述较多个数据包的连接尝试的速率;以及所述较多个数据包的数据速率。
3.如权利要求1所述的方法,包括基于所述第一多个数据包中的具体数据包的源地址来确定所述具体数据包的具体名誉分数。
4.如权利要求1所述的方法,包括基于所述第一多个数据包中的具体数据包的源地址和所述具体数据包的操作系统指纹来确定所述具体数据包的具体名誉分数。
5.如权利要求1所述的方法,包括基于与所述第一多个数据包中的具体数据包的源地址相关联的域来确定所述具体数据包的具体名誉分数。
6.如权利要求5所述的方法,其中,基于与所述第一多个数据包中的具体数据包的源地址相关联的域来确定所述具体数据包的具体名誉分数包括:对所述具体数据包的源地址执行反向域名服务查找操作。
7.如权利要求1所述的方法,其中,所述具体联网机器是防火墙。
8.如权利要求1所述的方法,其中,由所述具体联网机器对识别的数据包执行所述速率限制包括由下列操作组成的组中的一个或多个速率限制操作:丢弃识别的数据包、转移识别的数据包以进行进一步处理从而确定怎样进行速率限制、基于识别的数据包的服务类型对识别的数据包执行服务质量QoS速率限制。
9.如权利要求1所述的方法,其中,在对所述第一多个数据包进行速率限制之后,所述测量的较多个数据包的流量被使得所述较多个数据包中的在所述流量测量之前被丢弃的数据包不包括在所述测量的流量内。
10.如权利要求1所述的方法,响应于所述测量的较多个数据包的流量等于第二预定流量测量阈值或降至所述第二预定流量测量阈值以下:由所述具体联网机器将所述名誉分数阈值自动调整成更差的名誉分数,从而使被所述具体联网机器执行所述速率限制的所述第一多个数据包收缩。
11.一种网络设备,包含:
速率限制器,配置成用于对较多个数据包中的第一多个数据包进行速率限制,其中当所述网络设备所接收的数据包的源的名誉分数具有比预定名誉分数阈值差的名誉分数时,这些数据包被识别为是所述第一多个数据包中的数据包;并且其中,当所述网络设备所接收的数据包的源的具有比所述预定名誉分数阈值好的名誉分数时,这些数据包不被识别是所述第一多个数据包中的数据包;
控制器,在测量的所述较多个数据包的流量等于或超过预定流量测量阈值时作出响应,所述响应包括:将名誉分数阈值自动调整成更好的名誉分数,从而扩大所述第一多个数据包的范围,使其现在包括被所述网络设备进行速率限制的、与更高的名誉分数相关联的数据包;以及
一个或多个速率监测器,被配置成用于确定所述测量的流量。
12.如权利要求11所述的网络设备,其中,所述测量的流量是基于由下列因素组成的组中的一个或多个:所述较多个数据包中的若干数据包的速率、所述较多个数据包的连接尝试的速率;以及所述较多个数据包的数据速率。
13.如权利要求11所述的网络设备,其中,所述网络设备是防火墙。
14.如权利要求11所述的网络设备,其中,由所述网络设备对识别的数据包执行所述速率限制包括由下列操作组成的组中的一个或多个操作:丢弃识别的数据包、转移识别的数据包以进行进一步处理从而确定怎样进行速率限制、基于识别的数据包的服务类型对识别的数据包执行服务质量QoS速率限制。
15.如权利要求11所述的网络设备,其中,所述一个或多个速率监测器以通信方式耦合,以接收经过速率限制器之后的数据包,使得所述较多个数据包中的在到达所述一个或多个速率监测器之前被丢弃的数据包并不包括在所述测量的流量内。
16.如权利要求11所述的网络设备,其中,所述控制器配置成响应于所述测量的流量等于第二预定流量测量阈值或降至所述第二预定流量测量阈值以下,将所述名誉分数阈值自动调整成更差的名誉分数,从而使所述第一多个数据包收缩。
17.一种由具体联网机器执行的方法,所述方法包含:
重复地:接收具体数据包;对所述接收的具体数据包应用防火墙功能,所述防火墙功能包括对数据包的源具有比当前名誉分数阈值差的名誉分数的具体数据包进行速率限制;从所述具体联网机器转发未被丢弃的所述接收的具体数据包;以及
重复地:测量来自所述具体联网机器的输出流量的至少一部分;响应于确定所述测量的输出流量超过对应的预定速率阈值:将所述当前名誉分数阈值动态调整成比当前名誉分数阈值更好的名誉分数等级,以使所述测量的输出流量不再超过所述对应的预定速率阈值。
18.如权利要求17所述的方法,其中,所述接收的具体数据包属于具体客户端;并且其中,所述测量的输出流量是所述具体客户端的输出流量。
19.如权利要求17所述的方法,其中,所述防火墙功能包括基于由下列因素组成的组中的一个或多个因素来识别所述具体数据包的名誉分数:具体数据包的源地址;具体数据包的源地址和具体数据包的操作系统指纹;与具体数据包的源地址相关联的域。
20.如权利要求17所述的方法,其中,对所述具体数据包执行所述速率限制包括由下列组成的组中的一个或多个速率限制操作:丢弃所述具体数据包、转移所述具体数据包以进行进一步处理从而确定怎样进行速率限制、基于所述具体数据包的服务类型对所述具体数据包执行服务质量QoS速率限制。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US12/705,564 | 2010-02-12 | ||
US12/705,564 US8797866B2 (en) | 2010-02-12 | 2010-02-12 | Automatic adjusting of reputation thresholds in order to change the processing of certain packets |
PCT/US2011/023783 WO2011100169A1 (en) | 2010-02-12 | 2011-02-04 | Automatic adjusting of reputation thresholds |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102763384A CN102763384A (zh) | 2012-10-31 |
CN102763384B true CN102763384B (zh) | 2015-06-17 |
Family
ID=43923603
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201180009244.0A Active CN102763384B (zh) | 2010-02-12 | 2011-02-04 | 名誉阈值的自动调整 |
Country Status (4)
Country | Link |
---|---|
US (2) | US8797866B2 (zh) |
EP (1) | EP2534800B1 (zh) |
CN (1) | CN102763384B (zh) |
WO (1) | WO2011100169A1 (zh) |
Families Citing this family (35)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8797866B2 (en) * | 2010-02-12 | 2014-08-05 | Cisco Technology, Inc. | Automatic adjusting of reputation thresholds in order to change the processing of certain packets |
JP5691388B2 (ja) * | 2010-10-25 | 2015-04-01 | 富士通株式会社 | 受信装置、通信装置および受信方法 |
US20120216269A1 (en) * | 2011-02-18 | 2012-08-23 | Mitel Networks Corporation | Software licensing in a virtualization environment |
US8763072B2 (en) * | 2011-05-09 | 2014-06-24 | Symantec Corporation | Preventing inappropriate data transfers based on reputation scores |
US9363278B2 (en) * | 2011-05-11 | 2016-06-07 | At&T Mobility Ii Llc | Dynamic and selective response to cyber attack for telecommunications carrier networks |
US8549612B2 (en) | 2011-11-28 | 2013-10-01 | Dell Products, Lp | System and method for incorporating quality-of-service and reputation in an intrusion detection and prevention system |
US20130291107A1 (en) * | 2012-04-27 | 2013-10-31 | The Irc Company, Inc. | System and Method for Mitigating Application Layer Distributed Denial of Service Attacks Using Human Behavior Analysis |
US9720683B2 (en) * | 2013-09-17 | 2017-08-01 | International Business Machines Corporation | Merit based inclusion of changes in a build of a software system |
US9088508B1 (en) * | 2014-04-11 | 2015-07-21 | Level 3 Communications, Llc | Incremental application of resources to network traffic flows based on heuristics and business policies |
US10462156B2 (en) * | 2014-09-24 | 2019-10-29 | Mcafee, Llc | Determining a reputation of data using a data visa |
US10083295B2 (en) * | 2014-12-23 | 2018-09-25 | Mcafee, Llc | System and method to combine multiple reputations |
US10382534B1 (en) | 2015-04-04 | 2019-08-13 | Cisco Technology, Inc. | Selective load balancing of network traffic |
WO2016175849A1 (en) | 2015-04-30 | 2016-11-03 | Hewlett Packard Enterprise Development Lp | Uplink port oversubscription determination |
US11005682B2 (en) | 2015-10-06 | 2021-05-11 | Cisco Technology, Inc. | Policy-driven switch overlay bypass in a hybrid cloud network environment |
US10523657B2 (en) | 2015-11-16 | 2019-12-31 | Cisco Technology, Inc. | Endpoint privacy preservation with cloud conferencing |
US11102238B2 (en) * | 2016-04-22 | 2021-08-24 | Sophos Limited | Detecting triggering events for distributed denial of service attacks |
US11165797B2 (en) | 2016-04-22 | 2021-11-02 | Sophos Limited | Detecting endpoint compromise based on network usage history |
US10986109B2 (en) | 2016-04-22 | 2021-04-20 | Sophos Limited | Local proxy detection |
US11277416B2 (en) * | 2016-04-22 | 2022-03-15 | Sophos Limited | Labeling network flows according to source applications |
US10938781B2 (en) | 2016-04-22 | 2021-03-02 | Sophos Limited | Secure labeling of network flows |
US20170359306A1 (en) | 2016-06-10 | 2017-12-14 | Sophos Limited | Network security |
US10659283B2 (en) | 2016-07-08 | 2020-05-19 | Cisco Technology, Inc. | Reducing ARP/ND flooding in cloud environment |
US10263898B2 (en) | 2016-07-20 | 2019-04-16 | Cisco Technology, Inc. | System and method for implementing universal cloud classification (UCC) as a service (UCCaaS) |
US10567344B2 (en) * | 2016-08-23 | 2020-02-18 | Cisco Technology, Inc. | Automatic firewall configuration based on aggregated cloud managed information |
US11044162B2 (en) | 2016-12-06 | 2021-06-22 | Cisco Technology, Inc. | Orchestration of cloud and fog interactions |
US10326817B2 (en) | 2016-12-20 | 2019-06-18 | Cisco Technology, Inc. | System and method for quality-aware recording in large scale collaborate clouds |
CN108259363B (zh) * | 2016-12-29 | 2021-08-27 | 中国移动通信集团公司 | 一种阶梯式业务流量控制的方法及装置 |
US10334029B2 (en) | 2017-01-10 | 2019-06-25 | Cisco Technology, Inc. | Forming neighborhood groups from disperse cloud providers |
US10552191B2 (en) | 2017-01-26 | 2020-02-04 | Cisco Technology, Inc. | Distributed hybrid cloud orchestration model |
US10892940B2 (en) | 2017-07-21 | 2021-01-12 | Cisco Technology, Inc. | Scalable statistics and analytics mechanisms in cloud networking |
US10581743B2 (en) * | 2018-01-15 | 2020-03-03 | Hewlett Packard Enterprise Development Lp | Group rate limiters for multicast data packets |
US11411998B2 (en) * | 2018-05-01 | 2022-08-09 | Cisco Technology, Inc. | Reputation-based policy in enterprise fabric architectures |
US11620675B2 (en) * | 2018-09-25 | 2023-04-04 | Nippon Telegraph And Telephone Corporation | Detector, detection method, and detection program |
US20210288910A1 (en) * | 2020-11-17 | 2021-09-16 | Intel Corporation | Network interface device with support for hierarchical quality of service (qos) |
US11888867B2 (en) * | 2020-12-09 | 2024-01-30 | Arbor Networks, Inc. | Priority based deep packet inspection |
Family Cites Families (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CA2287258C (en) * | 1998-10-22 | 2004-08-10 | At&T Corp. | System and method for demand-driven loading of rules in a firewall |
CA2378542A1 (en) * | 2001-11-22 | 2003-05-22 | 1432794 Ontario Ltd. | Safe net credit system |
US7583637B2 (en) * | 2003-01-31 | 2009-09-01 | Alcatel-Lucent Usa Inc. | Methods of controlling data rate in wireless communications systems |
US7463590B2 (en) * | 2003-07-25 | 2008-12-09 | Reflex Security, Inc. | System and method for threat detection and response |
US7526807B2 (en) * | 2003-11-26 | 2009-04-28 | Alcatel-Lucent Usa Inc. | Distributed architecture for statistical overload control against distributed denial of service attacks |
US7417951B2 (en) * | 2003-12-17 | 2008-08-26 | Electronics And Telecommunications Research Institute | Apparatus and method for limiting bandwidths of burst aggregate flows |
US7436770B2 (en) * | 2004-01-21 | 2008-10-14 | Alcatel Lucent | Metering packet flows for limiting effects of denial of service attacks |
JP2006121667A (ja) * | 2004-09-27 | 2006-05-11 | Matsushita Electric Ind Co Ltd | パケット受信制御装置及びパケット受信制御方法 |
US7703094B2 (en) * | 2004-12-30 | 2010-04-20 | Intel Corporation | Adaptive and dynamic filtering of threaded programs |
US20060230039A1 (en) * | 2005-01-25 | 2006-10-12 | Markmonitor, Inc. | Online identity tracking |
US7832009B2 (en) * | 2005-12-28 | 2010-11-09 | Foundry Networks, Llc | Techniques for preventing attacks on computer systems and networks |
US8248946B2 (en) * | 2006-06-06 | 2012-08-21 | Polytechnic Institute of New York Unversity | Providing a high-speed defense against distributed denial of service (DDoS) attacks |
US20080109902A1 (en) * | 2006-11-03 | 2008-05-08 | Grosse Eric H | Methods and apparatus for overriding denunciations of unwanted traffic in one or more packet networks |
US7936670B2 (en) * | 2007-04-11 | 2011-05-03 | International Business Machines Corporation | System, method and program to control access to virtual LAN via a switch |
US8006303B1 (en) * | 2007-06-07 | 2011-08-23 | International Business Machines Corporation | System, method and program product for intrusion protection of a network |
US8045458B2 (en) * | 2007-11-08 | 2011-10-25 | Mcafee, Inc. | Prioritizing network traffic |
US8677473B2 (en) * | 2008-11-18 | 2014-03-18 | International Business Machines Corporation | Network intrusion protection |
US8797866B2 (en) * | 2010-02-12 | 2014-08-05 | Cisco Technology, Inc. | Automatic adjusting of reputation thresholds in order to change the processing of certain packets |
-
2010
- 2010-02-12 US US12/705,564 patent/US8797866B2/en active Active
-
2011
- 2011-02-04 CN CN201180009244.0A patent/CN102763384B/zh active Active
- 2011-02-04 WO PCT/US2011/023783 patent/WO2011100169A1/en active Application Filing
- 2011-02-04 EP EP11704886.8A patent/EP2534800B1/en active Active
-
2014
- 2014-06-30 US US14/319,811 patent/US9832134B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
US20140313891A1 (en) | 2014-10-23 |
CN102763384A (zh) | 2012-10-31 |
WO2011100169A1 (en) | 2011-08-18 |
US9832134B2 (en) | 2017-11-28 |
EP2534800A1 (en) | 2012-12-19 |
US20110199902A1 (en) | 2011-08-18 |
EP2534800B1 (en) | 2017-12-06 |
US8797866B2 (en) | 2014-08-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102763384B (zh) | 名誉阈值的自动调整 | |
EP2266268B1 (en) | Prioritizing network traffic | |
US10084752B2 (en) | Hybrid hardware-software distributed threat analysis | |
US7724660B2 (en) | Communication traffic congestion management systems and methods | |
CN109617885B (zh) | 攻陷主机自动判定方法、装置、电子设备及存储介质 | |
US9959751B2 (en) | Filter method for adapting a computing load | |
US20070183332A1 (en) | System and method for backward congestion notification in network | |
US8387144B2 (en) | Network amplification attack mitigation | |
EP3399723B1 (en) | Performing upper layer inspection of a flow based on a sampling rate | |
KR20110089179A (ko) | 네트워크 침입 방지 | |
US20080159283A1 (en) | Communication control apparatus, communication control method and communication control program product | |
US7417951B2 (en) | Apparatus and method for limiting bandwidths of burst aggregate flows | |
CN105991617B (zh) | 使用网络评分来选择安全路径的计算机实施系统及方法 | |
JP2007180891A (ja) | 通信装置及びそれに用いるパケット送信制御方法並びにそのプログラム | |
CN108471427B (zh) | 一种防御攻击的方法及装置 | |
JP3984233B2 (ja) | ネットワーク攻撃検出方法、ネットワーク攻撃元識別方法、ネットワーク装置、ネットワーク攻撃検出プログラムおよびネットワーク攻撃元識別プログラム | |
CN113992421A (zh) | 一种报文处理方法、装置及电子设备 | |
CN107888624B (zh) | 一种防护网络安全的方法和装置 | |
US20240048587A1 (en) | Systems and methods for mitigating domain name system amplification attacks | |
CN108023866B (zh) | 一种防攻击处理方法及网络设备 | |
US9521078B2 (en) | Method and apparatus for controlling congestion of network equipment |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |