CN108696498B - 检测和防范对计算机存储阵列的拒绝服务攻击的系统 - Google Patents

检测和防范对计算机存储阵列的拒绝服务攻击的系统 Download PDF

Info

Publication number
CN108696498B
CN108696498B CN201810232621.0A CN201810232621A CN108696498B CN 108696498 B CN108696498 B CN 108696498B CN 201810232621 A CN201810232621 A CN 201810232621A CN 108696498 B CN108696498 B CN 108696498B
Authority
CN
China
Prior art keywords
computer storage
address
storage array
network
computer
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201810232621.0A
Other languages
English (en)
Other versions
CN108696498A (zh
Inventor
颂蓬·保罗·奥拉里希
松·T·彭
杰森·马蒂诺
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Samsung Electronics Co Ltd
Original Assignee
Samsung Electronics Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Samsung Electronics Co Ltd filed Critical Samsung Electronics Co Ltd
Publication of CN108696498A publication Critical patent/CN108696498A/zh
Application granted granted Critical
Publication of CN108696498B publication Critical patent/CN108696498B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F13/00Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
    • G06F13/38Information transfer, e.g. on bus
    • G06F13/40Bus structure
    • G06F13/4004Coupling between buses
    • G06F13/4022Coupling between buses using switching circuits, e.g. switching matrix, connection or expansion network
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F13/00Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
    • G06F13/38Information transfer, e.g. on bus
    • G06F13/42Bus transfer protocol, e.g. handshake; Synchronisation
    • G06F13/4282Bus transfer protocol, e.g. handshake; Synchronisation on a serial bus, e.g. I2C bus, SPI bus
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2213/00Indexing scheme relating to interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
    • G06F2213/0026PCI express

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Mathematical Physics (AREA)
  • Virology (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本文公开了一种检测和防范拒绝服务攻击的计算机存储阵列,该计算机存储阵列为一个或多个远程发起者提供对连接至计算机存储阵列的一个或多个存储装置的访问。根据示例实施例,所述计算机存储阵列包括:计算机处理器,其被构造为运行管理网络协议的操作系统;网络装置,其被构造为监视和路由相对于存储装置进出的分组级别的网络流量;基板管理控制器,其被构造为基于网络装置对网络流量的统计信息的监视来检测拒绝服务攻击;PCIe交换机,其通过PCIe总线将基板管理控制器与各存储装置连接;以及计算机主板,计算机处理器、网络装置、基板管理控制器和PCIe交换机安装于该计算机主板上。

Description

检测和防范对计算机存储阵列的拒绝服务攻击的系统
相关申请的交叉引用
本申请要求于2017年3月31日提交的标题为“Method of Improving Security ofNVMe-oF-based Systems from Denial-of-Service(DoS)Attacks(提高基于NVMe-oF的系统对拒绝服务(DoS)攻击的安全性的方法)”的美国临时专利申请No.62/479,954的优先权和利益,该申请的全部内容以引用方式并入本文中。
技术领域
本公开涉及计算机存储阵列。具体地说,本公开涉及一种检测和防范对计算机存储阵列的拒绝服务(DoS)攻击的系统。
背景技术
计算机存储阵列(还称作磁盘阵列)通常是连接有诸如硬盘驱动器(HDD)和固态盘驱动器(SSD)的多个数据存储装置的数据存储系统。计算机存储阵列被设计为高度可扩展并且为多个发起者提供共享数据访问,所述发起者可为端点客户机、计算机服务器和/或其它数据用户。
支持网上高速非易失性存储器(Non-Volatile Memory Express over Fabrics,NVMe-oF)规范的存储装置(为了方便起见,下文中“NVMe-oF装置”)由于它们的高性能和可扩展性正变得更受欢迎,尤其用于计算机存储阵列中。NVMe-oF是一种技术规范,其被设计为在诸如以太网、光纤通道和无限带宽技术(InfiniBand)之类的网络上使得基于NVMe消息的命令能够在诸如主机计算机的发起者与NVMe-oF装置或系统之间传递数据。因此,NVMe-oF装置通常包括网络装置(例如,具有以太网控制器)和存储装置(例如,具有SSD)二者的功能。
作为网络装置,NVMe-oF装置易受诸如拒绝服务(DoS)攻击的网络攻击。DoS攻击是一种网络攻击,其中,行为人试图通过暂时或不停地中断连接到互联网上的主机服务,以使其预期用户无法使用机器或网络资源。通常,DoS攻击通过在攻击中利用冗余请求使目标机器或资源泛洪来实现,从而使系统过载并阻止满足一些或所有的合法请求。当泛洪来自多个源时,该DoS攻击被认为是分布式DoS(DDoS)攻击。
DoS攻击类似于一群人朝着商店或办公楼的门或大门拥挤,不让合法的当事方进入商店或办公楼,扰乱正常运营。因此,典型的DoS攻击本身的目的不是窃取或暴露存储在计算机服务器或存储阵列上的机密数据,而是简单地用伪造的流量压垮它。然而,已知DoS攻击被用作分散对其它更恶毒的网络攻击的注意力的手段。
在一些情况下,其固件或软件已感染或破坏的NVMe-oF装置会成为对其它系统的DoS攻击不知情的参与者。不管这种情况如何,检测和防范DoS攻击常常需要公司耗费宝贵的资源。此外,DoS攻击时间越长,受DoS攻击影响的公司的成本就越高。
发明内容
本文公开了一种计算机存储阵列,用于检测和防范拒绝服务(DoS)攻击,该计算机存储阵列为一个或多个远程发起者提供对连接至计算机存储阵列的一个或多个存储装置的访问。根据示例实施例,计算机存储阵列包括:计算机处理器,其被构造为运行管理网络协议的操作系统;网络装置,其被构造为监视和路由相对于存储装置进出的分组级别的网络流量;基板管理控制器(BMC),其被构造为基于网络装置对网络流量的统计信息的监视来检测DoS攻击;PCIe交换机,其通过PCIe总线将BMC与各存储装置连接;以及计算机主板,计算机处理器、网络装置、BMC和PCIe交换机安装于该计算机主板上。
本文还公开了一种检测和防范针对计算机存储阵列的流入的拒绝服务(DoS)攻击的计算机实现的方法,该计算机存储阵列包括计算机处理器、网络装置、基板管理控制器(BMC)和通过PCIe总线将BMC与多个存储装置连接的PCIe交换机。根据示例实施例,所述方法包括以下步骤:通过网络装置从计算机存储阵列外部的一个或多个源接收网络流量;通过网络装置监视和路由相对于存储装置进出的分组级别的网络流量;通过BMC基于网络装置对网络流量的统计信息的监视来检测DoS攻击;以及响应于检测到DoS攻击,通过BMC将遭受攻击的一个或多个存储装置的当前公共IP地址改变为不同的公共IP地址。
本文还公开了一种检测和防范来自于计算机存储阵列的流出的拒绝服务(DoS)攻击的计算机实现的方法,该计算机存储阵列包括计算机处理器、网络装置、基板管理控制器(BMC)和通过PCIe总线将BMC与多个存储装置连接的PCIe交换机。根据示例实施例,所述方法包括以下步骤:通过网络装置从一个或多个存储装置接收网络流量;通过网络装置监视和路由分组级别的网络流量;通过BMC基于网络装置对网络流量的统计信息的监视来检测流出的DoS攻击;以及响应于检测到DoS攻击,通过BMC禁用或隔离存储装置。
附图说明
作为本公开的一部分所包括的附图示出了各个实施例,并且与上面提供的一般性描述以及下面提供的各个实施例的详细描述一起用于解释和教导本文描述的原理。
图1示出了根据当前系统和方法的实施例的利用BMC来检测和防范针对NVMe-oF装置的流入的DoS攻击或来自于NVMe-oF装置的流出的DoS攻击的示例计算机存储阵列。
图2示出了根据当前系统和方法的实施例的利用BMC来检测和防范来自于外部源的流入的DoS攻击的示例计算机实现的方法。
图3示出了根据当前系统和方法的实施例的利用BMC来检测和防止被操纵的NVMe-oF装置参与流出的DoS攻击的示例计算机实现的方法。
附图中的特征不一定按比例绘制,并且为了说明目的在整个附图中一般用类似的附图标记表示类似结构或功能的元件。这些特征只是为了便于本文所述的各个实施例的描述,并且不描述本文公开的教导的每个方面,并且不限制权利要求的范围。
具体实施方式
本文公开的各个特征和教导可单独使用或与其它特征和教导结合使用,以提供当前系统和方法。参照附图描述了单独和结合地利用这些特征和教导的代表性示例。虽然本文的详细描述为本领域普通技术人员示出了用于实践本教导的各方面的进一步的细节,但并不限制权利要求的范围。因此,具体实施方式中公开的特征的组合是当前教导的代表性示例,并且可不需要按照最广义的含义进行实践。
根据当前系统和方法的实施例,基板管理控制器(BMC)可用于检测和防范针对计算机存储阵列的NVMe-oF装置的流入的DoS攻击,以及由一个或多个受波及的NVMe-oF装置参与的流出的DoS攻击。BMC是嵌入在计算机存储阵列、服务器、交换机等中的低功耗控制器,并连接到机箱传感器(例如温度传感器、电源电压传感器和湿度传感器),以读取环境条件和控制各种装置。BMC还通过诸如高速外围组件互连(PCIe)总线和系统管理总线(SMBus)的本地系统总线访问和控制NVMe-oF装置。因此,BMC处于禁用和/或恢复任何受感染或被操纵的NVMe-oF装置的独特地位。
根据常规实施,BMC作为对BMC单向控制的CPU的从装置进行操作。换句话说,常规实施的BMC从CPU接收指令,并且不独立于CPU操作。相反,根据当前系统和方法的示例实施例,BMC可实现为使得BMC独立于计算机存储阵列的CPU操作而不受其干预。换句话说,BMC可以作为复杂性增大的主装置进行操作。通过使用BMC而不使用第三方服务器来检测和防范DoS攻击,能够更快地对流入和流出的DoS攻击进行检测并恢复计算机存储阵列。
根据当前系统和方法的实施例,BMC可检测来自外部源的DoS或DDoS攻击,并通过改变计算机存储阵列的上行链路端口的公共IP地址来使所述攻击无效。BMC还可以向系统管理员以及受所述改变影响的主机发起者通知公共IP地址的改变。
根据当前系统和方法的实施例,BMC还可通过检测目的地IP地址对于本地网络交换机而言不是“已知的”或“已注册的”来检测NVMe-oF装置和/或主板或机箱已被恶意代码操纵。在检测后,BMC可以关断或以其它方式禁用被操纵的NVMe-oF装置和/或主板,并且随后通知系统管理员扫描系统。在一些情况下,由于扫描仅可在病毒特征码已知的情况下检测到病毒感染,所以BMC可擦除安装在NVMe-oF装置和/或主板上的现有固件或软件,将新固件或软件下载并安装至NVMe-oF装置和/或主板上,并且重新启动被影响的计算机存储装置。
图1示出了根据当前系统和方法的实施例的利用BMC来检测和防范针对NVMe-oF装置的流入的DoS攻击或来自于NVMe-oF装置的流出的DoS攻击的示例计算机存储阵列。计算机存储阵列100包括计算机主板101、本地CPU 102、BMC 103、PCIe交换机104、网络装置105以及多个NVMe-oF装置106。在这种情况下,NVMe-oF装置106可为包括以太网端口、PCIe端口和SMBus端口的以太网SSD(Ethernet-enabled SSD,eSSD),并且网络装置105可为网络地址转换(NAT)路由器、网络交换机(例如,层3交换机)等。计算机存储阵列100为一个或多个远程发起者107提供对连接至计算机存储阵列100的NVMe-oF装置106中的一个或多个的访问。
根据示例实施例,本地CPU 102、BMC 103、PCIe交换机104和网络装置105可集成或内置在计算机主板101中,或者可作为分立组件安装至计算机主板101上。可利用硬件组件、软件组件、或硬件组件和软件组件的组合来实现这些组件。尽管图1将这些组件示为单独的组件,但这些组件中的一个或多个可以组合。计算机主板101至少包括以太网总线、PCIE总线和SMBus。本地CPU 102被构造为运行用于管理网络协议的操作系统。网络装置105被构造为监视和路由相对于NVMe-oF装置106进出的分组级别的网络流量。网络装置105访问已知源/目的地地址的列表,例如网络地址转换表。可增加任何连接至NVMe-oF装置的新的发起者作为所述列表或表中的一个条目。
BMC 103通过与经由以太网总线建立的带内连接(in-band connection)分开的带外连接(out-of-band connection)与管理服务器108通信。BMC 103可使用智能平台管理接口(IPMI)与管理服务器108通信。IPMI是一套用于计算机子系统(诸如BMC 103)的计算机接口规范,其提供独立于系统的本地CPU、固件和操作系统的管理和监视功能。
BMC 103和本地CPU 102经本地总线在本地连接至NVMe-oF装置106。例如,PCIe交换机104经单独的PCIe总线将BMC 103和本地CPU 102与NVMe-oF装置106中的每一个连接。BMC 103和本地CPU 102各自能够对NVMe-oF装置106的网络设置进行配置。BMC 103还被构造为基于网络装置105对相对于NVMe-oF装置106进出的网络流量的监视(例如,监视其统计信息)来检测DoS攻击。
图2示出了根据当前系统和方法的实施例的利用BMC来检测和防范来自于外部源的流入的DoS攻击的示例计算机实现的方法。尽管将BMC 103和网络装置105描述为执行下面的操作,但是当前系统和方法不限于此。例如,可通过诸如CPU的其它组件执行这些操作的一部分。
网络装置105从计算机存储阵列外部的一个或多个源接收网络流量(201)。网络装置105监视和路由分组级别的网络流量。具体地说,网络装置105监视网络流量以确定流入的数据分组的源地址是已知源地址(例如,在已知源地址列表上)还是未知源地址(例如,不在已知源地址列表上)(202)。
如果流入的数据分组的源地址是已知源地址(203),则网络装置105将流入的数据分组路由至目标NVMe-oF装置106(204)。如果流入的数据分组的源地址是未知源地址(203),则网络装置105丢弃流入的数据分组(205)。
BMC 103基于网络装置105对网络流量的监视来检测DoS攻击。例如,如果BMC 103确定在短时内许多流入的数据分组都被丢弃,则BMC 103可确定NVMe-oF装置106受到DoS攻击。换句话说,BMC 103计算流入的数据分组的源地址对应于未知源地址的速率(在这种情况下即为流入的数据分组被丢弃的速率)(206)。
如果BMC 103确定所述速率超过预定阈值(207),则BMC 103将受攻击的一个或多个NVMe-oF装置的当前公共IP地址改变为不同的公共IP地址(208)。BMC 103可基于丢弃的流入的数据分组的目的地地址来确定哪些NVMe-oF装置受到攻击。例如,公共IP地址可对应于发起者107用来找到NVMe-oF装置106的地址的NAT公共IP地址。可从保留的IP地址的范围中选择不同的公共IP地址,或者可基于模式或算法来确定不同的公共IP地址。BMC 103经LAN管理端口向访问NVMe-oF装置106的发起者107中的一个或多个发送通知,该通知指示公共IP地址的改变(209)。例如,该通知可包括不同的公共IP地址,或者可通过提供新的索引指针通知发起者107使用保留的IP地址的范围内的下一IP地址来访问改变了公共IP地址的NVMe-oF装置106。
因此,图2的计算机实现的方法允许BMC 103快速检测DoS攻击,通过将受到攻击的NVMe-oF装置106的当前公共IP地址改变为不同的公共IP地址来防范所述攻击,并通知将受到IP地址改变影响的发起者在后续访问NVMe-oF装置106中使用所述不同的IP地址。根据另一实施例,BMC 103可通过禁用受到攻击的NVMe-oF装置106的当前公共IP地址来防范DoS攻击。
图3示出了根据当前系统和方法的实施例的利用BMC来检测和防止被操纵的NVMe-oF装置参与流出的DoS攻击的示例计算机实现的方法。尽管将BMC 103和网络装置105描述为执行下面的操作,但是当前系统和方法不限于此。例如,可通过诸如CPU的其它组件来执行这些操作的一部分。
网络装置105从NVMe-oF装置中的一个或多个接收网络流量(301)。网络装置105监视和路由分组级别的网络流量。具体地说,网络装置105监视网络流量以确定通过NVMe-oF装置发送的流出的数据分组的目的地地址是已知目的地地址(例如,在已知目的地地址的列表上)还是未知目的地地址(例如,不在已知目的地地址的列表上)(302)。
如果流出的数据分组的目的地地址是已知目的地地址(303),则网络装置105将流出的数据分组路由至目的地地址(304)。如果流出的数据分组的目的地地址是未知目的地地址(303),则网络装置105丢弃流出的数据分组(305)。
BMC 103基于网络装置105对网络流量的监视来检测流出的DoS攻击。例如,如果BMC 103确定在短时内丢弃了NVMe-oF装置发送的许多流出的数据分组,则BMC 103可确定该NVMe-oF装置被操纵并且参与了流出的DoS攻击。换句话说,BMC计算由NVMe-oF装置发送的流出的数据分组的目的地地址对应于未知目的地地址的速率(在这种情况下即为流出的数据分组被丢弃的速率)(306)。
如果BMC确定所述速率超过预定阈值(307),这可表示,NVMe-oF装置被操纵并且参与了流出的DoS攻击,则BMC 103例如在系统管理员确定进一步的适当推荐行为之前保持复位信号有效来禁用或隔离NVMe-oF装置(308)。BMC 103向计算机存储阵列的系统管理员发送通知,以通知系统管理员NVMe-oF装置受到波及(309)。根据其它实施例,如果BMC确定NVMe-oF已被操纵或以其它方式受波及,则BMC 103可擦除安装在NVMe-oF装置上的现有的固件或软件,并且将新的固件或软件下载并安装至NVMe-oF装置上。
因此,图3的计算机实现的方法允许BMC 103快速检测一个或多个NVMe-oF装置是否已被操纵和成为流出的DoS攻击的参与者,通过禁用或隔离被操纵的NVMe-oF装置来防范攻击,并通知系统管理员NVMe-oF装置已受波及。
可以使用硬件元件、软件元件或两者的组合来实现当前系统和方法的各个实施例。硬件元件的示例可包括处理器、微处理器、电路、电路元件(例如,晶体管、电阻器、电容器、电感器等)、集成电路、专用集成电路(ASIC)、可编程逻辑器件(PLD)、数字信号处理器(DSP)和现场可编程门阵列(FPGA)、逻辑门、寄存器、半导体器件、芯片、微芯片、芯片集等。软件的示例可包括软件组件、程序、应用、计算机程序、应用程序、系统程序、机器程序、操作系统软件、中间件、固件、软件模块、例行程序、子例行程序、函数、方法、过程、软件界面、应用程序接口(API)、指令集、计算代码、计算机代码、代码段、计算机代码段、词、值、符号或它们的任意组合。确定是利用硬件元件和/或软件元件来实施实施例可根据任何数量的因素变化,诸如要求的计算速率、功率水平、耐热性、处理周期预算、输入数据速率、输出数据速率、存储器资源、数据总线速度和其它设计或性能约束。
至少一个实施例的一个或多个方面可由存储在机器可读介质(代表处理器内的各种逻辑)上的代表性指令来实现,当机器读取所述指令时,机器将生成逻辑来执行本文描述的技术。称为“IP核”的这些代表可存储在有形的、机器可读介质上,并被提供给各个客户或制造设施,以载入实际制造逻辑或处理器的制造机器中。
虽然已经参照各种实施方式描述了本文阐述的某些特性,但该描述不旨在具有限制性含义。因此,认为本文所述的实施方式的各种修改形式以及对于本公开技术所属领域的技术人员显而易见的其它实施方式落入本公开的精神和范围内。
为了解释,已经参照具体实施例描述了先前的说明。然而,以上示出性讨论并非旨在是全面的或将权利要求的范围限于公开的确切形式。鉴于上述教导,许多修改和变更都是可能的。选择实施例以便最好地解释权利要求的原理及其实际应用,从而使本领域其它技术人员能够最好地使用所述实施例以及适于预期的特定用途的各种修改形式。

Claims (10)

1.一种检测和防范拒绝服务攻击的计算机存储阵列,所述计算机存储阵列为一个或多个远程发起者提供对连接至所述计算机存储阵列的一个或多个存储装置的访问,所述计算机存储阵列包括:
计算机处理器,其被构造为运行管理网络协议的操作系统;
网络装置,其被构造为监视和路由相对于所述存储装置进出的分组级别的网络流量;
基板管理控制器,其被构造为基于所述网络装置对所述网络流量的统计信息的监视来检测拒绝服务攻击;
PCIe交换机,其通过PCIe总线将所述基板管理控制器与各所述存储装置连接;以及
计算机主板,所述计算机处理器、所述网络装置、所述基板管理控制器和所述PCIe交换机安装于该计算机主板上。
2.根据权利要求1所述的计算机存储阵列,其中,所述网络装置是网络地址转换路由器或者网络交换机。
3.根据权利要求2所述的计算机存储阵列,
其中,所述网络装置访问已知源地址的列表,并且
其中,监视所述网络流量包括:
确定流入的数据分组的源地址与所述已知源地址匹配,或者流入的数据分组的源地址为不在所述已知源地址的列表上的未知源地址。
4.根据权利要求3所述的计算机存储阵列,其中,检测所述拒绝服务攻击包括:
计算流入的数据分组的源地址对应于未知源地址的速率,以及
确定所述速率是否超过预定阈值。
5.根据权利要求4所述的计算机存储阵列,其中,所述基板管理控制器进一步被构造为:
如果所述速率超过所述预定阈值,则将受到攻击的一个或多个所述存储装置的当前公共IP地址改变为不同的公共IP地址。
6.根据权利要求5所述的计算机存储阵列,其中,所述基板管理控制器进一步被构造为:
向访问所述存储装置的发起者中的一个或多个发送通知,所述通知指示公共IP地址改变。
7.根据权利要求6所述的计算机存储阵列,其中,所述网络装置被构造为:
如果所述流入的数据分组的源地址与所述已知源地址匹配,则将所述流入的数据分组路由至目标存储装置,以及
如果所述流入的数据分组的源地址对应于未知源地址,则丢弃所述流入的数据分组。
8.根据权利要求2所述的计算机存储阵列,
其中,所述网络装置访问已知目的地地址的列表,并且
其中,监视所述网络流量包括:
确定通过所述存储装置发送的流出的数据分组的目的地地址与所述已知目的地地址匹配,或者所述流出的数据分组的目的地地址为不在所述已知目的地地址的列表上的未知目的地地址。
9.根据权利要求8所述的计算机存储阵列,其中,检测所述拒绝服务攻击包括:
计算通过所述存储装置发送的流出的数据分组的目的地地址对应于未知目的地地址的速率,以及
确定所述速率是否超过预定阈值。
10.根据权利要求9所述的计算机存储阵列,其中,所述基板管理控制器被构造为:
在所述速率超过所述预定阈值的情况下禁用或隔离所述存储装置。
CN201810232621.0A 2017-03-31 2018-03-20 检测和防范对计算机存储阵列的拒绝服务攻击的系统 Active CN108696498B (zh)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
US201762479954P 2017-03-31 2017-03-31
US62/479,954 2017-03-31
US15/489,401 2017-04-17
US15/489,401 US10686833B2 (en) 2017-03-31 2017-04-17 System and method of detecting and countering denial-of-service (DoS) attacks on an NVMe-of-based computer storage array

Publications (2)

Publication Number Publication Date
CN108696498A CN108696498A (zh) 2018-10-23
CN108696498B true CN108696498B (zh) 2022-11-15

Family

ID=63671152

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810232621.0A Active CN108696498B (zh) 2017-03-31 2018-03-20 检测和防范对计算机存储阵列的拒绝服务攻击的系统

Country Status (3)

Country Link
US (2) US10686833B2 (zh)
KR (1) KR102332345B1 (zh)
CN (1) CN108696498B (zh)

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10545664B2 (en) * 2017-04-11 2020-01-28 Samsung Electronics Co., Ltd. System and method for identifying SSDs with lowest tail latencies
US11102294B2 (en) * 2017-06-09 2021-08-24 Samsung Electronics Co., Ltd. System and method for supporting energy and time efficient content distribution and delivery
JP6739685B2 (ja) * 2018-03-20 2020-08-12 三菱電機株式会社 監視制御システム
TWI679532B (zh) * 2018-10-05 2019-12-11 緯穎科技服務股份有限公司 監測系統與方法
CN109743319B (zh) * 2019-01-03 2021-02-05 北京工业大学 一种联网式专用服务器的可信启动和安全运行方法
CN110661809B (zh) * 2019-09-29 2021-07-30 新华三信息安全技术有限公司 一种攻击防御方法及装置
CN111459863B (zh) * 2020-03-08 2021-09-28 苏州浪潮智能科技有限公司 一种基于nvme-mi的机箱管理系统及方法
US11652831B2 (en) * 2020-04-14 2023-05-16 Hewlett Packard Enterprise Development Lp Process health information to determine whether an anomaly occurred
US11470071B2 (en) * 2020-04-20 2022-10-11 Vmware, Inc. Authentication for logical overlay network traffic
US11831674B2 (en) 2020-10-16 2023-11-28 Cisco Technology, Inc. Detecting man-in-the-middle attacks in management component transport protocol network server systems
CN113835770B (zh) * 2021-11-30 2022-02-18 四川华鲲振宇智能科技有限责任公司 一种服务器管理模块在线更换方法及系统

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1905553A (zh) * 2005-07-28 2007-01-31 易星 在dos攻击或者设备过载时保障所选用户访问的方法
CN101004770A (zh) * 2006-01-18 2007-07-25 国际商业机器公司 用于对安全威胁提供实时响应的方法和系统
CN101106518A (zh) * 2006-07-10 2008-01-16 中兴通讯股份有限公司 为中央处理器提供负载保护的拒绝服务方法
CN102821081A (zh) * 2011-06-10 2012-12-12 中国电信股份有限公司 监测小流量ddos攻击的方法和系统
CN102932330A (zh) * 2012-09-28 2013-02-13 北京百度网讯科技有限公司 一种检测分布式拒绝服务攻击的方法和装置
CN103248607A (zh) * 2012-02-02 2013-08-14 哈尔滨安天科技股份有限公司 基于IPv4和IPv6的拒绝服务攻击检测方法及系统

Family Cites Families (32)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7707305B2 (en) * 2000-10-17 2010-04-27 Cisco Technology, Inc. Methods and apparatus for protecting against overload conditions on nodes of a distributed network
US7743415B2 (en) * 2002-01-31 2010-06-22 Riverbed Technology, Inc. Denial of service attacks characterization
US8631483B2 (en) * 2005-06-14 2014-01-14 Texas Instruments Incorporated Packet processors and packet filter processes, circuits, devices, and systems
US7584507B1 (en) * 2005-07-29 2009-09-01 Narus, Inc. Architecture, systems and methods to detect efficiently DoS and DDoS attacks for large scale internet
US8397284B2 (en) * 2006-01-17 2013-03-12 University Of Maryland Detection of distributed denial of service attacks in autonomous system domains
US8706914B2 (en) * 2007-04-23 2014-04-22 David D. Duchesneau Computing infrastructure
US8732829B2 (en) * 2008-04-14 2014-05-20 Tdi Technologies, Inc. System and method for monitoring and securing a baseboard management controller
WO2010054471A1 (en) * 2008-11-17 2010-05-20 Sierra Wireless, Inc. Method and apparatus for network port and network address translation
US8228848B2 (en) * 2008-11-17 2012-07-24 Sierra Wireless, Inc. Method and apparatus for facilitating push communication across a network boundary
US8180891B1 (en) * 2008-11-26 2012-05-15 Free Stream Media Corp. Discovery, access control, and communication with networked services from within a security sandbox
KR100900491B1 (ko) * 2008-12-02 2009-06-03 (주)씨디네트웍스 분산 서비스 거부 공격의 차단 방법 및 장치
US8725946B2 (en) * 2009-03-23 2014-05-13 Ocz Storage Solutions, Inc. Mass storage system and method of using hard disk, solid-state media, PCIe edge connector, and raid controller
EP2497234B1 (en) * 2009-11-02 2018-09-19 Marvell World Trade Ltd. Network device and method based on virtual interfaces
JP4960436B2 (ja) * 2009-12-25 2012-06-27 株式会社東芝 パケット誤配信対処方法及びサーバ装置
US9112710B2 (en) * 2010-10-05 2015-08-18 Cisco Technology, Inc. System and method for providing smart grid communications and management
US8695095B2 (en) * 2011-03-11 2014-04-08 At&T Intellectual Property I, L.P. Mobile malicious software mitigation
US8848741B2 (en) * 2012-06-21 2014-09-30 Breakingpoint Systems, Inc. High-speed CLD-based TCP segmentation offload
US20140157405A1 (en) * 2012-12-04 2014-06-05 Bill Joll Cyber Behavior Analysis and Detection Method, System and Architecture
US9027127B1 (en) * 2012-12-04 2015-05-05 Google Inc. Methods for detecting machine-generated attacks based on the IP address size
US10164913B2 (en) * 2013-01-16 2018-12-25 Cfph, Llc Router for performing NAT and/or PAT translations
US9197666B2 (en) * 2013-08-26 2015-11-24 Verizon Patent And Licensing Inc. Method and apparatus for mitigating distributed denial of service attacks
US20160036837A1 (en) * 2014-08-04 2016-02-04 Microsoft Corporation Detecting attacks on data centers
US9479479B1 (en) * 2014-09-25 2016-10-25 Juniper Networks, Inc. Detector tree for detecting rule anomalies in a firewall policy
CN105893293B (zh) * 2014-12-18 2019-10-29 伊姆西公司 用于管理外部组件快速互连设备热插拔的系统和方法
JP6528448B2 (ja) * 2015-02-19 2019-06-12 富士通株式会社 ネットワーク攻撃監視装置、ネットワーク攻撃監視方法、及びプログラム
US9985820B2 (en) * 2015-02-22 2018-05-29 Mellanox Technologies, Ltd. Differentiating among multiple management control instances using addresses
US10257268B2 (en) * 2015-03-09 2019-04-09 Vapor IO Inc. Distributed peer-to-peer data center management
US9800547B2 (en) * 2015-04-16 2017-10-24 International Business Machines Corporation Preventing network attacks on baseboard management controllers
US10972500B2 (en) * 2015-06-05 2021-04-06 Nippon Telegraph And Telephone Corporation Detection system, detection apparatus, detection method, and detection program
US10069859B2 (en) * 2015-12-16 2018-09-04 Verizon Digital Media Services Inc. Distributed rate limiting
US10491611B2 (en) * 2016-01-08 2019-11-26 Belden, Inc. Method and protection apparatus to prevent malicious information communication in IP networks by exploiting benign networking protocols
US10146527B2 (en) * 2016-10-12 2018-12-04 Samsung Electronics Co., Ltd. Method and apparatus for using BMC as proxy for NVME over fabrics device firmware upgrade

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1905553A (zh) * 2005-07-28 2007-01-31 易星 在dos攻击或者设备过载时保障所选用户访问的方法
CN101004770A (zh) * 2006-01-18 2007-07-25 国际商业机器公司 用于对安全威胁提供实时响应的方法和系统
CN101106518A (zh) * 2006-07-10 2008-01-16 中兴通讯股份有限公司 为中央处理器提供负载保护的拒绝服务方法
CN102821081A (zh) * 2011-06-10 2012-12-12 中国电信股份有限公司 监测小流量ddos攻击的方法和系统
CN103248607A (zh) * 2012-02-02 2013-08-14 哈尔滨安天科技股份有限公司 基于IPv4和IPv6的拒绝服务攻击检测方法及系统
CN102932330A (zh) * 2012-09-28 2013-02-13 北京百度网讯科技有限公司 一种检测分布式拒绝服务攻击的方法和装置

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
基于包标记的DDoS攻击防御技术的研究;黄旭;《中国优秀硕士学位论文全文数据库 信息科技辑》;20111215;I139-118页 *

Also Published As

Publication number Publication date
KR102332345B1 (ko) 2021-11-30
KR20180111499A (ko) 2018-10-11
CN108696498A (zh) 2018-10-23
US20200280581A1 (en) 2020-09-03
US10686833B2 (en) 2020-06-16
US20180288090A1 (en) 2018-10-04
US11140198B2 (en) 2021-10-05

Similar Documents

Publication Publication Date Title
CN108696498B (zh) 检测和防范对计算机存储阵列的拒绝服务攻击的系统
US10701103B2 (en) Securing devices using network traffic analysis and software-defined networking (SDN)
US10187422B2 (en) Mitigation of computer network attacks
US8154987B2 (en) Self-isolating and self-healing networked devices
CN108259226B (zh) 网络接口设备管理方法与装置
US8881259B2 (en) Network security system with customizable rule-based analytics engine for identifying application layer violations
US9319426B2 (en) System and method for operating malicious marker detection software on management controller of protected system
CN110099040B (zh) 一种基于大量部署诱饵主机探测拦截内网攻击源的防御方法
CN110690985A (zh) 具有设备隔离的网络功能虚拟化架构
US20100257599A1 (en) Dynamic authenticated perimeter defense
US9065799B2 (en) Method and apparatus for cyber security
US20220159019A1 (en) Blockchain-based network security system and processing method
CA3021285C (en) Methods and systems for network security
WO2017095513A1 (en) Systems and methods for detecting malware infections via domain name service traffic analysis
JP2006074760A (ja) セキュリティの脅威に起因してネットワークの通信が制限されている間に仮想ネットワーク内のネットワークデバイスが通信することを可能にすること
US10277625B1 (en) Systems and methods for securing computing systems on private networks
KR101042291B1 (ko) 디도스 공격에 대한 디도스 탐지/차단 시스템 및 그 방법
US20170142072A1 (en) Safe security proxy
US9847970B1 (en) Dynamic traffic regulation
US9774611B1 (en) Dynamically deploying a network traffic filter
JP6834768B2 (ja) 攻撃検知方法、攻撃検知プログラムおよび中継装置
US10171492B2 (en) Denial-of-service (DoS) mitigation based on health of protected network device
US11159533B2 (en) Relay apparatus
US20230146644A1 (en) Security mode enhancement for Connectivity Fault Management (CFM)
AU2018304187B2 (en) Systems and methods for mitigating and/or preventing distributed denial-of-service attacks

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant