CN108696498B - 检测和防范对计算机存储阵列的拒绝服务攻击的系统 - Google Patents
检测和防范对计算机存储阵列的拒绝服务攻击的系统 Download PDFInfo
- Publication number
- CN108696498B CN108696498B CN201810232621.0A CN201810232621A CN108696498B CN 108696498 B CN108696498 B CN 108696498B CN 201810232621 A CN201810232621 A CN 201810232621A CN 108696498 B CN108696498 B CN 108696498B
- Authority
- CN
- China
- Prior art keywords
- computer storage
- address
- storage array
- network
- computer
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F13/00—Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
- G06F13/38—Information transfer, e.g. on bus
- G06F13/40—Bus structure
- G06F13/4004—Coupling between buses
- G06F13/4022—Coupling between buses using switching circuits, e.g. switching matrix, connection or expansion network
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F13/00—Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
- G06F13/38—Information transfer, e.g. on bus
- G06F13/42—Bus transfer protocol, e.g. handshake; Synchronisation
- G06F13/4282—Bus transfer protocol, e.g. handshake; Synchronisation on a serial bus, e.g. I2C bus, SPI bus
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2213/00—Indexing scheme relating to interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
- G06F2213/0026—PCI express
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Mathematical Physics (AREA)
- Virology (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本文公开了一种检测和防范拒绝服务攻击的计算机存储阵列,该计算机存储阵列为一个或多个远程发起者提供对连接至计算机存储阵列的一个或多个存储装置的访问。根据示例实施例,所述计算机存储阵列包括:计算机处理器,其被构造为运行管理网络协议的操作系统;网络装置,其被构造为监视和路由相对于存储装置进出的分组级别的网络流量;基板管理控制器,其被构造为基于网络装置对网络流量的统计信息的监视来检测拒绝服务攻击;PCIe交换机,其通过PCIe总线将基板管理控制器与各存储装置连接;以及计算机主板,计算机处理器、网络装置、基板管理控制器和PCIe交换机安装于该计算机主板上。
Description
相关申请的交叉引用
本申请要求于2017年3月31日提交的标题为“Method of Improving Security ofNVMe-oF-based Systems from Denial-of-Service(DoS)Attacks(提高基于NVMe-oF的系统对拒绝服务(DoS)攻击的安全性的方法)”的美国临时专利申请No.62/479,954的优先权和利益,该申请的全部内容以引用方式并入本文中。
技术领域
本公开涉及计算机存储阵列。具体地说,本公开涉及一种检测和防范对计算机存储阵列的拒绝服务(DoS)攻击的系统。
背景技术
计算机存储阵列(还称作磁盘阵列)通常是连接有诸如硬盘驱动器(HDD)和固态盘驱动器(SSD)的多个数据存储装置的数据存储系统。计算机存储阵列被设计为高度可扩展并且为多个发起者提供共享数据访问,所述发起者可为端点客户机、计算机服务器和/或其它数据用户。
支持网上高速非易失性存储器(Non-Volatile Memory Express over Fabrics,NVMe-oF)规范的存储装置(为了方便起见,下文中“NVMe-oF装置”)由于它们的高性能和可扩展性正变得更受欢迎,尤其用于计算机存储阵列中。NVMe-oF是一种技术规范,其被设计为在诸如以太网、光纤通道和无限带宽技术(InfiniBand)之类的网络上使得基于NVMe消息的命令能够在诸如主机计算机的发起者与NVMe-oF装置或系统之间传递数据。因此,NVMe-oF装置通常包括网络装置(例如,具有以太网控制器)和存储装置(例如,具有SSD)二者的功能。
作为网络装置,NVMe-oF装置易受诸如拒绝服务(DoS)攻击的网络攻击。DoS攻击是一种网络攻击,其中,行为人试图通过暂时或不停地中断连接到互联网上的主机服务,以使其预期用户无法使用机器或网络资源。通常,DoS攻击通过在攻击中利用冗余请求使目标机器或资源泛洪来实现,从而使系统过载并阻止满足一些或所有的合法请求。当泛洪来自多个源时,该DoS攻击被认为是分布式DoS(DDoS)攻击。
DoS攻击类似于一群人朝着商店或办公楼的门或大门拥挤,不让合法的当事方进入商店或办公楼,扰乱正常运营。因此,典型的DoS攻击本身的目的不是窃取或暴露存储在计算机服务器或存储阵列上的机密数据,而是简单地用伪造的流量压垮它。然而,已知DoS攻击被用作分散对其它更恶毒的网络攻击的注意力的手段。
在一些情况下,其固件或软件已感染或破坏的NVMe-oF装置会成为对其它系统的DoS攻击不知情的参与者。不管这种情况如何,检测和防范DoS攻击常常需要公司耗费宝贵的资源。此外,DoS攻击时间越长,受DoS攻击影响的公司的成本就越高。
发明内容
本文公开了一种计算机存储阵列,用于检测和防范拒绝服务(DoS)攻击,该计算机存储阵列为一个或多个远程发起者提供对连接至计算机存储阵列的一个或多个存储装置的访问。根据示例实施例,计算机存储阵列包括:计算机处理器,其被构造为运行管理网络协议的操作系统;网络装置,其被构造为监视和路由相对于存储装置进出的分组级别的网络流量;基板管理控制器(BMC),其被构造为基于网络装置对网络流量的统计信息的监视来检测DoS攻击;PCIe交换机,其通过PCIe总线将BMC与各存储装置连接;以及计算机主板,计算机处理器、网络装置、BMC和PCIe交换机安装于该计算机主板上。
本文还公开了一种检测和防范针对计算机存储阵列的流入的拒绝服务(DoS)攻击的计算机实现的方法,该计算机存储阵列包括计算机处理器、网络装置、基板管理控制器(BMC)和通过PCIe总线将BMC与多个存储装置连接的PCIe交换机。根据示例实施例,所述方法包括以下步骤:通过网络装置从计算机存储阵列外部的一个或多个源接收网络流量;通过网络装置监视和路由相对于存储装置进出的分组级别的网络流量;通过BMC基于网络装置对网络流量的统计信息的监视来检测DoS攻击;以及响应于检测到DoS攻击,通过BMC将遭受攻击的一个或多个存储装置的当前公共IP地址改变为不同的公共IP地址。
本文还公开了一种检测和防范来自于计算机存储阵列的流出的拒绝服务(DoS)攻击的计算机实现的方法,该计算机存储阵列包括计算机处理器、网络装置、基板管理控制器(BMC)和通过PCIe总线将BMC与多个存储装置连接的PCIe交换机。根据示例实施例,所述方法包括以下步骤:通过网络装置从一个或多个存储装置接收网络流量;通过网络装置监视和路由分组级别的网络流量;通过BMC基于网络装置对网络流量的统计信息的监视来检测流出的DoS攻击;以及响应于检测到DoS攻击,通过BMC禁用或隔离存储装置。
附图说明
作为本公开的一部分所包括的附图示出了各个实施例,并且与上面提供的一般性描述以及下面提供的各个实施例的详细描述一起用于解释和教导本文描述的原理。
图1示出了根据当前系统和方法的实施例的利用BMC来检测和防范针对NVMe-oF装置的流入的DoS攻击或来自于NVMe-oF装置的流出的DoS攻击的示例计算机存储阵列。
图2示出了根据当前系统和方法的实施例的利用BMC来检测和防范来自于外部源的流入的DoS攻击的示例计算机实现的方法。
图3示出了根据当前系统和方法的实施例的利用BMC来检测和防止被操纵的NVMe-oF装置参与流出的DoS攻击的示例计算机实现的方法。
附图中的特征不一定按比例绘制,并且为了说明目的在整个附图中一般用类似的附图标记表示类似结构或功能的元件。这些特征只是为了便于本文所述的各个实施例的描述,并且不描述本文公开的教导的每个方面,并且不限制权利要求的范围。
具体实施方式
本文公开的各个特征和教导可单独使用或与其它特征和教导结合使用,以提供当前系统和方法。参照附图描述了单独和结合地利用这些特征和教导的代表性示例。虽然本文的详细描述为本领域普通技术人员示出了用于实践本教导的各方面的进一步的细节,但并不限制权利要求的范围。因此,具体实施方式中公开的特征的组合是当前教导的代表性示例,并且可不需要按照最广义的含义进行实践。
根据当前系统和方法的实施例,基板管理控制器(BMC)可用于检测和防范针对计算机存储阵列的NVMe-oF装置的流入的DoS攻击,以及由一个或多个受波及的NVMe-oF装置参与的流出的DoS攻击。BMC是嵌入在计算机存储阵列、服务器、交换机等中的低功耗控制器,并连接到机箱传感器(例如温度传感器、电源电压传感器和湿度传感器),以读取环境条件和控制各种装置。BMC还通过诸如高速外围组件互连(PCIe)总线和系统管理总线(SMBus)的本地系统总线访问和控制NVMe-oF装置。因此,BMC处于禁用和/或恢复任何受感染或被操纵的NVMe-oF装置的独特地位。
根据常规实施,BMC作为对BMC单向控制的CPU的从装置进行操作。换句话说,常规实施的BMC从CPU接收指令,并且不独立于CPU操作。相反,根据当前系统和方法的示例实施例,BMC可实现为使得BMC独立于计算机存储阵列的CPU操作而不受其干预。换句话说,BMC可以作为复杂性增大的主装置进行操作。通过使用BMC而不使用第三方服务器来检测和防范DoS攻击,能够更快地对流入和流出的DoS攻击进行检测并恢复计算机存储阵列。
根据当前系统和方法的实施例,BMC可检测来自外部源的DoS或DDoS攻击,并通过改变计算机存储阵列的上行链路端口的公共IP地址来使所述攻击无效。BMC还可以向系统管理员以及受所述改变影响的主机发起者通知公共IP地址的改变。
根据当前系统和方法的实施例,BMC还可通过检测目的地IP地址对于本地网络交换机而言不是“已知的”或“已注册的”来检测NVMe-oF装置和/或主板或机箱已被恶意代码操纵。在检测后,BMC可以关断或以其它方式禁用被操纵的NVMe-oF装置和/或主板,并且随后通知系统管理员扫描系统。在一些情况下,由于扫描仅可在病毒特征码已知的情况下检测到病毒感染,所以BMC可擦除安装在NVMe-oF装置和/或主板上的现有固件或软件,将新固件或软件下载并安装至NVMe-oF装置和/或主板上,并且重新启动被影响的计算机存储装置。
图1示出了根据当前系统和方法的实施例的利用BMC来检测和防范针对NVMe-oF装置的流入的DoS攻击或来自于NVMe-oF装置的流出的DoS攻击的示例计算机存储阵列。计算机存储阵列100包括计算机主板101、本地CPU 102、BMC 103、PCIe交换机104、网络装置105以及多个NVMe-oF装置106。在这种情况下,NVMe-oF装置106可为包括以太网端口、PCIe端口和SMBus端口的以太网SSD(Ethernet-enabled SSD,eSSD),并且网络装置105可为网络地址转换(NAT)路由器、网络交换机(例如,层3交换机)等。计算机存储阵列100为一个或多个远程发起者107提供对连接至计算机存储阵列100的NVMe-oF装置106中的一个或多个的访问。
根据示例实施例,本地CPU 102、BMC 103、PCIe交换机104和网络装置105可集成或内置在计算机主板101中,或者可作为分立组件安装至计算机主板101上。可利用硬件组件、软件组件、或硬件组件和软件组件的组合来实现这些组件。尽管图1将这些组件示为单独的组件,但这些组件中的一个或多个可以组合。计算机主板101至少包括以太网总线、PCIE总线和SMBus。本地CPU 102被构造为运行用于管理网络协议的操作系统。网络装置105被构造为监视和路由相对于NVMe-oF装置106进出的分组级别的网络流量。网络装置105访问已知源/目的地地址的列表,例如网络地址转换表。可增加任何连接至NVMe-oF装置的新的发起者作为所述列表或表中的一个条目。
BMC 103通过与经由以太网总线建立的带内连接(in-band connection)分开的带外连接(out-of-band connection)与管理服务器108通信。BMC 103可使用智能平台管理接口(IPMI)与管理服务器108通信。IPMI是一套用于计算机子系统(诸如BMC 103)的计算机接口规范,其提供独立于系统的本地CPU、固件和操作系统的管理和监视功能。
BMC 103和本地CPU 102经本地总线在本地连接至NVMe-oF装置106。例如,PCIe交换机104经单独的PCIe总线将BMC 103和本地CPU 102与NVMe-oF装置106中的每一个连接。BMC 103和本地CPU 102各自能够对NVMe-oF装置106的网络设置进行配置。BMC 103还被构造为基于网络装置105对相对于NVMe-oF装置106进出的网络流量的监视(例如,监视其统计信息)来检测DoS攻击。
图2示出了根据当前系统和方法的实施例的利用BMC来检测和防范来自于外部源的流入的DoS攻击的示例计算机实现的方法。尽管将BMC 103和网络装置105描述为执行下面的操作,但是当前系统和方法不限于此。例如,可通过诸如CPU的其它组件执行这些操作的一部分。
网络装置105从计算机存储阵列外部的一个或多个源接收网络流量(201)。网络装置105监视和路由分组级别的网络流量。具体地说,网络装置105监视网络流量以确定流入的数据分组的源地址是已知源地址(例如,在已知源地址列表上)还是未知源地址(例如,不在已知源地址列表上)(202)。
如果流入的数据分组的源地址是已知源地址(203),则网络装置105将流入的数据分组路由至目标NVMe-oF装置106(204)。如果流入的数据分组的源地址是未知源地址(203),则网络装置105丢弃流入的数据分组(205)。
BMC 103基于网络装置105对网络流量的监视来检测DoS攻击。例如,如果BMC 103确定在短时内许多流入的数据分组都被丢弃,则BMC 103可确定NVMe-oF装置106受到DoS攻击。换句话说,BMC 103计算流入的数据分组的源地址对应于未知源地址的速率(在这种情况下即为流入的数据分组被丢弃的速率)(206)。
如果BMC 103确定所述速率超过预定阈值(207),则BMC 103将受攻击的一个或多个NVMe-oF装置的当前公共IP地址改变为不同的公共IP地址(208)。BMC 103可基于丢弃的流入的数据分组的目的地地址来确定哪些NVMe-oF装置受到攻击。例如,公共IP地址可对应于发起者107用来找到NVMe-oF装置106的地址的NAT公共IP地址。可从保留的IP地址的范围中选择不同的公共IP地址,或者可基于模式或算法来确定不同的公共IP地址。BMC 103经LAN管理端口向访问NVMe-oF装置106的发起者107中的一个或多个发送通知,该通知指示公共IP地址的改变(209)。例如,该通知可包括不同的公共IP地址,或者可通过提供新的索引指针通知发起者107使用保留的IP地址的范围内的下一IP地址来访问改变了公共IP地址的NVMe-oF装置106。
因此,图2的计算机实现的方法允许BMC 103快速检测DoS攻击,通过将受到攻击的NVMe-oF装置106的当前公共IP地址改变为不同的公共IP地址来防范所述攻击,并通知将受到IP地址改变影响的发起者在后续访问NVMe-oF装置106中使用所述不同的IP地址。根据另一实施例,BMC 103可通过禁用受到攻击的NVMe-oF装置106的当前公共IP地址来防范DoS攻击。
图3示出了根据当前系统和方法的实施例的利用BMC来检测和防止被操纵的NVMe-oF装置参与流出的DoS攻击的示例计算机实现的方法。尽管将BMC 103和网络装置105描述为执行下面的操作,但是当前系统和方法不限于此。例如,可通过诸如CPU的其它组件来执行这些操作的一部分。
网络装置105从NVMe-oF装置中的一个或多个接收网络流量(301)。网络装置105监视和路由分组级别的网络流量。具体地说,网络装置105监视网络流量以确定通过NVMe-oF装置发送的流出的数据分组的目的地地址是已知目的地地址(例如,在已知目的地地址的列表上)还是未知目的地地址(例如,不在已知目的地地址的列表上)(302)。
如果流出的数据分组的目的地地址是已知目的地地址(303),则网络装置105将流出的数据分组路由至目的地地址(304)。如果流出的数据分组的目的地地址是未知目的地地址(303),则网络装置105丢弃流出的数据分组(305)。
BMC 103基于网络装置105对网络流量的监视来检测流出的DoS攻击。例如,如果BMC 103确定在短时内丢弃了NVMe-oF装置发送的许多流出的数据分组,则BMC 103可确定该NVMe-oF装置被操纵并且参与了流出的DoS攻击。换句话说,BMC计算由NVMe-oF装置发送的流出的数据分组的目的地地址对应于未知目的地地址的速率(在这种情况下即为流出的数据分组被丢弃的速率)(306)。
如果BMC确定所述速率超过预定阈值(307),这可表示,NVMe-oF装置被操纵并且参与了流出的DoS攻击,则BMC 103例如在系统管理员确定进一步的适当推荐行为之前保持复位信号有效来禁用或隔离NVMe-oF装置(308)。BMC 103向计算机存储阵列的系统管理员发送通知,以通知系统管理员NVMe-oF装置受到波及(309)。根据其它实施例,如果BMC确定NVMe-oF已被操纵或以其它方式受波及,则BMC 103可擦除安装在NVMe-oF装置上的现有的固件或软件,并且将新的固件或软件下载并安装至NVMe-oF装置上。
因此,图3的计算机实现的方法允许BMC 103快速检测一个或多个NVMe-oF装置是否已被操纵和成为流出的DoS攻击的参与者,通过禁用或隔离被操纵的NVMe-oF装置来防范攻击,并通知系统管理员NVMe-oF装置已受波及。
可以使用硬件元件、软件元件或两者的组合来实现当前系统和方法的各个实施例。硬件元件的示例可包括处理器、微处理器、电路、电路元件(例如,晶体管、电阻器、电容器、电感器等)、集成电路、专用集成电路(ASIC)、可编程逻辑器件(PLD)、数字信号处理器(DSP)和现场可编程门阵列(FPGA)、逻辑门、寄存器、半导体器件、芯片、微芯片、芯片集等。软件的示例可包括软件组件、程序、应用、计算机程序、应用程序、系统程序、机器程序、操作系统软件、中间件、固件、软件模块、例行程序、子例行程序、函数、方法、过程、软件界面、应用程序接口(API)、指令集、计算代码、计算机代码、代码段、计算机代码段、词、值、符号或它们的任意组合。确定是利用硬件元件和/或软件元件来实施实施例可根据任何数量的因素变化,诸如要求的计算速率、功率水平、耐热性、处理周期预算、输入数据速率、输出数据速率、存储器资源、数据总线速度和其它设计或性能约束。
至少一个实施例的一个或多个方面可由存储在机器可读介质(代表处理器内的各种逻辑)上的代表性指令来实现,当机器读取所述指令时,机器将生成逻辑来执行本文描述的技术。称为“IP核”的这些代表可存储在有形的、机器可读介质上,并被提供给各个客户或制造设施,以载入实际制造逻辑或处理器的制造机器中。
虽然已经参照各种实施方式描述了本文阐述的某些特性,但该描述不旨在具有限制性含义。因此,认为本文所述的实施方式的各种修改形式以及对于本公开技术所属领域的技术人员显而易见的其它实施方式落入本公开的精神和范围内。
为了解释,已经参照具体实施例描述了先前的说明。然而,以上示出性讨论并非旨在是全面的或将权利要求的范围限于公开的确切形式。鉴于上述教导,许多修改和变更都是可能的。选择实施例以便最好地解释权利要求的原理及其实际应用,从而使本领域其它技术人员能够最好地使用所述实施例以及适于预期的特定用途的各种修改形式。
Claims (10)
1.一种检测和防范拒绝服务攻击的计算机存储阵列,所述计算机存储阵列为一个或多个远程发起者提供对连接至所述计算机存储阵列的一个或多个存储装置的访问,所述计算机存储阵列包括:
计算机处理器,其被构造为运行管理网络协议的操作系统;
网络装置,其被构造为监视和路由相对于所述存储装置进出的分组级别的网络流量;
基板管理控制器,其被构造为基于所述网络装置对所述网络流量的统计信息的监视来检测拒绝服务攻击;
PCIe交换机,其通过PCIe总线将所述基板管理控制器与各所述存储装置连接;以及
计算机主板,所述计算机处理器、所述网络装置、所述基板管理控制器和所述PCIe交换机安装于该计算机主板上。
2.根据权利要求1所述的计算机存储阵列,其中,所述网络装置是网络地址转换路由器或者网络交换机。
3.根据权利要求2所述的计算机存储阵列,
其中,所述网络装置访问已知源地址的列表,并且
其中,监视所述网络流量包括:
确定流入的数据分组的源地址与所述已知源地址匹配,或者流入的数据分组的源地址为不在所述已知源地址的列表上的未知源地址。
4.根据权利要求3所述的计算机存储阵列,其中,检测所述拒绝服务攻击包括:
计算流入的数据分组的源地址对应于未知源地址的速率,以及
确定所述速率是否超过预定阈值。
5.根据权利要求4所述的计算机存储阵列,其中,所述基板管理控制器进一步被构造为:
如果所述速率超过所述预定阈值,则将受到攻击的一个或多个所述存储装置的当前公共IP地址改变为不同的公共IP地址。
6.根据权利要求5所述的计算机存储阵列,其中,所述基板管理控制器进一步被构造为:
向访问所述存储装置的发起者中的一个或多个发送通知,所述通知指示公共IP地址改变。
7.根据权利要求6所述的计算机存储阵列,其中,所述网络装置被构造为:
如果所述流入的数据分组的源地址与所述已知源地址匹配,则将所述流入的数据分组路由至目标存储装置,以及
如果所述流入的数据分组的源地址对应于未知源地址,则丢弃所述流入的数据分组。
8.根据权利要求2所述的计算机存储阵列,
其中,所述网络装置访问已知目的地地址的列表,并且
其中,监视所述网络流量包括:
确定通过所述存储装置发送的流出的数据分组的目的地地址与所述已知目的地地址匹配,或者所述流出的数据分组的目的地地址为不在所述已知目的地地址的列表上的未知目的地地址。
9.根据权利要求8所述的计算机存储阵列,其中,检测所述拒绝服务攻击包括:
计算通过所述存储装置发送的流出的数据分组的目的地地址对应于未知目的地地址的速率,以及
确定所述速率是否超过预定阈值。
10.根据权利要求9所述的计算机存储阵列,其中,所述基板管理控制器被构造为:
在所述速率超过所述预定阈值的情况下禁用或隔离所述存储装置。
Applications Claiming Priority (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US201762479954P | 2017-03-31 | 2017-03-31 | |
US62/479,954 | 2017-03-31 | ||
US15/489,401 | 2017-04-17 | ||
US15/489,401 US10686833B2 (en) | 2017-03-31 | 2017-04-17 | System and method of detecting and countering denial-of-service (DoS) attacks on an NVMe-of-based computer storage array |
Publications (2)
Publication Number | Publication Date |
---|---|
CN108696498A CN108696498A (zh) | 2018-10-23 |
CN108696498B true CN108696498B (zh) | 2022-11-15 |
Family
ID=63671152
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810232621.0A Active CN108696498B (zh) | 2017-03-31 | 2018-03-20 | 检测和防范对计算机存储阵列的拒绝服务攻击的系统 |
Country Status (3)
Country | Link |
---|---|
US (2) | US10686833B2 (zh) |
KR (1) | KR102332345B1 (zh) |
CN (1) | CN108696498B (zh) |
Families Citing this family (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10545664B2 (en) * | 2017-04-11 | 2020-01-28 | Samsung Electronics Co., Ltd. | System and method for identifying SSDs with lowest tail latencies |
US11102294B2 (en) * | 2017-06-09 | 2021-08-24 | Samsung Electronics Co., Ltd. | System and method for supporting energy and time efficient content distribution and delivery |
JP6739685B2 (ja) * | 2018-03-20 | 2020-08-12 | 三菱電機株式会社 | 監視制御システム |
TWI679532B (zh) * | 2018-10-05 | 2019-12-11 | 緯穎科技服務股份有限公司 | 監測系統與方法 |
CN109743319B (zh) * | 2019-01-03 | 2021-02-05 | 北京工业大学 | 一种联网式专用服务器的可信启动和安全运行方法 |
CN110661809B (zh) * | 2019-09-29 | 2021-07-30 | 新华三信息安全技术有限公司 | 一种攻击防御方法及装置 |
CN111459863B (zh) * | 2020-03-08 | 2021-09-28 | 苏州浪潮智能科技有限公司 | 一种基于nvme-mi的机箱管理系统及方法 |
US11652831B2 (en) * | 2020-04-14 | 2023-05-16 | Hewlett Packard Enterprise Development Lp | Process health information to determine whether an anomaly occurred |
US11470071B2 (en) * | 2020-04-20 | 2022-10-11 | Vmware, Inc. | Authentication for logical overlay network traffic |
US11831674B2 (en) | 2020-10-16 | 2023-11-28 | Cisco Technology, Inc. | Detecting man-in-the-middle attacks in management component transport protocol network server systems |
CN113835770B (zh) * | 2021-11-30 | 2022-02-18 | 四川华鲲振宇智能科技有限责任公司 | 一种服务器管理模块在线更换方法及系统 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1905553A (zh) * | 2005-07-28 | 2007-01-31 | 易星 | 在dos攻击或者设备过载时保障所选用户访问的方法 |
CN101004770A (zh) * | 2006-01-18 | 2007-07-25 | 国际商业机器公司 | 用于对安全威胁提供实时响应的方法和系统 |
CN101106518A (zh) * | 2006-07-10 | 2008-01-16 | 中兴通讯股份有限公司 | 为中央处理器提供负载保护的拒绝服务方法 |
CN102821081A (zh) * | 2011-06-10 | 2012-12-12 | 中国电信股份有限公司 | 监测小流量ddos攻击的方法和系统 |
CN102932330A (zh) * | 2012-09-28 | 2013-02-13 | 北京百度网讯科技有限公司 | 一种检测分布式拒绝服务攻击的方法和装置 |
CN103248607A (zh) * | 2012-02-02 | 2013-08-14 | 哈尔滨安天科技股份有限公司 | 基于IPv4和IPv6的拒绝服务攻击检测方法及系统 |
Family Cites Families (32)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7707305B2 (en) * | 2000-10-17 | 2010-04-27 | Cisco Technology, Inc. | Methods and apparatus for protecting against overload conditions on nodes of a distributed network |
US7743415B2 (en) * | 2002-01-31 | 2010-06-22 | Riverbed Technology, Inc. | Denial of service attacks characterization |
US8631483B2 (en) * | 2005-06-14 | 2014-01-14 | Texas Instruments Incorporated | Packet processors and packet filter processes, circuits, devices, and systems |
US7584507B1 (en) * | 2005-07-29 | 2009-09-01 | Narus, Inc. | Architecture, systems and methods to detect efficiently DoS and DDoS attacks for large scale internet |
US8397284B2 (en) * | 2006-01-17 | 2013-03-12 | University Of Maryland | Detection of distributed denial of service attacks in autonomous system domains |
US8706914B2 (en) * | 2007-04-23 | 2014-04-22 | David D. Duchesneau | Computing infrastructure |
US8732829B2 (en) * | 2008-04-14 | 2014-05-20 | Tdi Technologies, Inc. | System and method for monitoring and securing a baseboard management controller |
WO2010054471A1 (en) * | 2008-11-17 | 2010-05-20 | Sierra Wireless, Inc. | Method and apparatus for network port and network address translation |
US8228848B2 (en) * | 2008-11-17 | 2012-07-24 | Sierra Wireless, Inc. | Method and apparatus for facilitating push communication across a network boundary |
US8180891B1 (en) * | 2008-11-26 | 2012-05-15 | Free Stream Media Corp. | Discovery, access control, and communication with networked services from within a security sandbox |
KR100900491B1 (ko) * | 2008-12-02 | 2009-06-03 | (주)씨디네트웍스 | 분산 서비스 거부 공격의 차단 방법 및 장치 |
US8725946B2 (en) * | 2009-03-23 | 2014-05-13 | Ocz Storage Solutions, Inc. | Mass storage system and method of using hard disk, solid-state media, PCIe edge connector, and raid controller |
EP2497234B1 (en) * | 2009-11-02 | 2018-09-19 | Marvell World Trade Ltd. | Network device and method based on virtual interfaces |
JP4960436B2 (ja) * | 2009-12-25 | 2012-06-27 | 株式会社東芝 | パケット誤配信対処方法及びサーバ装置 |
US9112710B2 (en) * | 2010-10-05 | 2015-08-18 | Cisco Technology, Inc. | System and method for providing smart grid communications and management |
US8695095B2 (en) * | 2011-03-11 | 2014-04-08 | At&T Intellectual Property I, L.P. | Mobile malicious software mitigation |
US8848741B2 (en) * | 2012-06-21 | 2014-09-30 | Breakingpoint Systems, Inc. | High-speed CLD-based TCP segmentation offload |
US20140157405A1 (en) * | 2012-12-04 | 2014-06-05 | Bill Joll | Cyber Behavior Analysis and Detection Method, System and Architecture |
US9027127B1 (en) * | 2012-12-04 | 2015-05-05 | Google Inc. | Methods for detecting machine-generated attacks based on the IP address size |
US10164913B2 (en) * | 2013-01-16 | 2018-12-25 | Cfph, Llc | Router for performing NAT and/or PAT translations |
US9197666B2 (en) * | 2013-08-26 | 2015-11-24 | Verizon Patent And Licensing Inc. | Method and apparatus for mitigating distributed denial of service attacks |
US20160036837A1 (en) * | 2014-08-04 | 2016-02-04 | Microsoft Corporation | Detecting attacks on data centers |
US9479479B1 (en) * | 2014-09-25 | 2016-10-25 | Juniper Networks, Inc. | Detector tree for detecting rule anomalies in a firewall policy |
CN105893293B (zh) * | 2014-12-18 | 2019-10-29 | 伊姆西公司 | 用于管理外部组件快速互连设备热插拔的系统和方法 |
JP6528448B2 (ja) * | 2015-02-19 | 2019-06-12 | 富士通株式会社 | ネットワーク攻撃監視装置、ネットワーク攻撃監視方法、及びプログラム |
US9985820B2 (en) * | 2015-02-22 | 2018-05-29 | Mellanox Technologies, Ltd. | Differentiating among multiple management control instances using addresses |
US10257268B2 (en) * | 2015-03-09 | 2019-04-09 | Vapor IO Inc. | Distributed peer-to-peer data center management |
US9800547B2 (en) * | 2015-04-16 | 2017-10-24 | International Business Machines Corporation | Preventing network attacks on baseboard management controllers |
US10972500B2 (en) * | 2015-06-05 | 2021-04-06 | Nippon Telegraph And Telephone Corporation | Detection system, detection apparatus, detection method, and detection program |
US10069859B2 (en) * | 2015-12-16 | 2018-09-04 | Verizon Digital Media Services Inc. | Distributed rate limiting |
US10491611B2 (en) * | 2016-01-08 | 2019-11-26 | Belden, Inc. | Method and protection apparatus to prevent malicious information communication in IP networks by exploiting benign networking protocols |
US10146527B2 (en) * | 2016-10-12 | 2018-12-04 | Samsung Electronics Co., Ltd. | Method and apparatus for using BMC as proxy for NVME over fabrics device firmware upgrade |
-
2017
- 2017-04-17 US US15/489,401 patent/US10686833B2/en active Active
-
2018
- 2018-02-05 KR KR1020180013953A patent/KR102332345B1/ko active IP Right Grant
- 2018-03-20 CN CN201810232621.0A patent/CN108696498B/zh active Active
-
2020
- 2020-05-18 US US16/876,622 patent/US11140198B2/en active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1905553A (zh) * | 2005-07-28 | 2007-01-31 | 易星 | 在dos攻击或者设备过载时保障所选用户访问的方法 |
CN101004770A (zh) * | 2006-01-18 | 2007-07-25 | 国际商业机器公司 | 用于对安全威胁提供实时响应的方法和系统 |
CN101106518A (zh) * | 2006-07-10 | 2008-01-16 | 中兴通讯股份有限公司 | 为中央处理器提供负载保护的拒绝服务方法 |
CN102821081A (zh) * | 2011-06-10 | 2012-12-12 | 中国电信股份有限公司 | 监测小流量ddos攻击的方法和系统 |
CN103248607A (zh) * | 2012-02-02 | 2013-08-14 | 哈尔滨安天科技股份有限公司 | 基于IPv4和IPv6的拒绝服务攻击检测方法及系统 |
CN102932330A (zh) * | 2012-09-28 | 2013-02-13 | 北京百度网讯科技有限公司 | 一种检测分布式拒绝服务攻击的方法和装置 |
Non-Patent Citations (1)
Title |
---|
基于包标记的DDoS攻击防御技术的研究;黄旭;《中国优秀硕士学位论文全文数据库 信息科技辑》;20111215;I139-118页 * |
Also Published As
Publication number | Publication date |
---|---|
KR102332345B1 (ko) | 2021-11-30 |
KR20180111499A (ko) | 2018-10-11 |
CN108696498A (zh) | 2018-10-23 |
US20200280581A1 (en) | 2020-09-03 |
US10686833B2 (en) | 2020-06-16 |
US20180288090A1 (en) | 2018-10-04 |
US11140198B2 (en) | 2021-10-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108696498B (zh) | 检测和防范对计算机存储阵列的拒绝服务攻击的系统 | |
US10701103B2 (en) | Securing devices using network traffic analysis and software-defined networking (SDN) | |
US10187422B2 (en) | Mitigation of computer network attacks | |
US8154987B2 (en) | Self-isolating and self-healing networked devices | |
CN108259226B (zh) | 网络接口设备管理方法与装置 | |
US8881259B2 (en) | Network security system with customizable rule-based analytics engine for identifying application layer violations | |
US9319426B2 (en) | System and method for operating malicious marker detection software on management controller of protected system | |
CN110099040B (zh) | 一种基于大量部署诱饵主机探测拦截内网攻击源的防御方法 | |
CN110690985A (zh) | 具有设备隔离的网络功能虚拟化架构 | |
US20100257599A1 (en) | Dynamic authenticated perimeter defense | |
US9065799B2 (en) | Method and apparatus for cyber security | |
US20220159019A1 (en) | Blockchain-based network security system and processing method | |
CA3021285C (en) | Methods and systems for network security | |
WO2017095513A1 (en) | Systems and methods for detecting malware infections via domain name service traffic analysis | |
JP2006074760A (ja) | セキュリティの脅威に起因してネットワークの通信が制限されている間に仮想ネットワーク内のネットワークデバイスが通信することを可能にすること | |
US10277625B1 (en) | Systems and methods for securing computing systems on private networks | |
KR101042291B1 (ko) | 디도스 공격에 대한 디도스 탐지/차단 시스템 및 그 방법 | |
US20170142072A1 (en) | Safe security proxy | |
US9847970B1 (en) | Dynamic traffic regulation | |
US9774611B1 (en) | Dynamically deploying a network traffic filter | |
JP6834768B2 (ja) | 攻撃検知方法、攻撃検知プログラムおよび中継装置 | |
US10171492B2 (en) | Denial-of-service (DoS) mitigation based on health of protected network device | |
US11159533B2 (en) | Relay apparatus | |
US20230146644A1 (en) | Security mode enhancement for Connectivity Fault Management (CFM) | |
AU2018304187B2 (en) | Systems and methods for mitigating and/or preventing distributed denial-of-service attacks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |