CN113452692A - 一种防御网络攻击的方法 - Google Patents
一种防御网络攻击的方法 Download PDFInfo
- Publication number
- CN113452692A CN113452692A CN202110707346.5A CN202110707346A CN113452692A CN 113452692 A CN113452692 A CN 113452692A CN 202110707346 A CN202110707346 A CN 202110707346A CN 113452692 A CN113452692 A CN 113452692A
- Authority
- CN
- China
- Prior art keywords
- network element
- response
- network
- sources
- target
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
一种防御网络攻击的方法,包括:中间网络元件,所述中间网络元件包括控制从多个网络源对目标网络元件的访问的处理器,所述中间网络元件确定所述目标网络元件正受到网络攻击;响应于确定目标网络元件受到攻击,中间网络元件将一部分带宽保留给目标资源,用于仅服务于多个来源中的受信任的资源;响应于网络攻击的指示;响应于从多个来源中不受信任的来源接收消息,中间网络元件管理对来源中不受信任的来源的各自挑战,其中根据中间网络元件已知的源的相应网络地址的函数来验证对挑战的响应;响应于从不受信任的来源之一接收对所管理的挑战之一的正确感知响应,中间网络元件将不受信任的来源之一指定为受信任的。该方法限制了可疑源的使用。
Description
技术领域
本发明涉及计算机领域。更具体地,本发明涉及一种防御网络攻击的方法。
背景技术
分布式拒绝服务攻击包括实体直接或通过传播在大量机器(例如100-1万台机器)上安装恶意代码,通过请求淹没目标网络元件。大量的请求消耗了受害网源的大量资源。因此,受害网源无法响应合法请求。
一些现有的防御机制试图验证传入数据包的网络地址的合法性。尽管此类机制可以消除具有欺骗性网络地址的数据包,但它们无法抵御其他分布式拒绝服务攻击传递方式。例如,由于受感染机器使用的是真实网络地址,因此无法防御通过受感染机器传递的分布式拒绝服务攻击。
发明内容
已经发现,通过对试图访问被攻击的网络元件的源进行图灵测试,可以动态生成一组规则或权限以防御网络攻击。通过要求对挑战做出有意识的响应,这种防御机制可以消除来自受感染机器的非法流量。未对管理的测试做出正确响应的源将被拒绝访问受害网络元件,而是向其发出质询(即测试)。在等待对发出的质询的有效响应时,可以以不同方式处理来自未知来源的流量。例如,可能会捕获发往受害网络元件的协议数据单元,直到它们的源响应管理的图灵测试,即对发往受害网络元件的所有流量应用一般拒绝,但某些源除外默认信任。
本发明的实现可能不会在管理图灵测试时捕获或拒绝访问,而是限制可用于可疑源的带宽,假设源是可疑的,直到它们响应其所管理的测试。只要不超过受害网络元件的给定带宽配额,来自未知来源的流量也可以继续转发。
附图说明
图1为发起针对网络攻击的防御的示例性网络。
图2为动态更新许可的示例性中间网络元件。
图3为用于处理在网络攻击的指示之后接收的协议数据单元的示例性流程图。
具体实施例方式
图1-2描绘了具有针对网络攻击的动态防御的示例性网络。如图1所示,其描绘了发起针对网络攻击的防御的示例性网络。网络包括中间网络元件101、目标网络元件105和网络云103。网络云103包括在从中间网络元件101到目标网络元件105的路径中的附加网络元件。
中间网络元件可以是防火墙、网关、路由器、网桥、交换机等。
目标网络元件可以是服务器。
这些附加网络元件可以在局域网内,例如大学网络、城域网、至少主干的一部分等。此外,中间网络元件101可以直接耦合到目标网络元件105。
不管中间网络元件101和目标网络元件105之间是否存在任何中间网络元件,针对目标网络元件105的网络攻击都会传送到中间网络元件101。网络攻击可以是拒绝服务攻击、分布式拒绝服务攻击等。此外,网络攻击可以由目标网络元件105指示,目标网络元件105上游的网络元件,由中间网络元件101检测,由一个报告的网络元件检测到对目标网络元件105等的攻击。如图1所示,目标网络元件105向中间网络元件101指示网络攻击。响应于该指示,中间网络元件101拒绝对目标网络元件105的接入。例如,中间网络元件101生成一组规则或访问目标网络元件105的诈可,其指示为空,即没有网络元件被标识为具有访问目标网络元件105的许可。初始防御权限不一定必须完全拒绝访问目标网络元件105。初始权限集可以指示允许某些源地址访问目标网络元件105。例如,中间网络元件可以允许访问从与数据库服务器位于同一网络内的源地址发送到数据库服务器。在另一示例中,中间网络元件101可以拒绝对网络服务器的访问,除了来自被标识为属于系统管理员的一个或多个源地址的访问请求。
如图2所示,描绘了动态更新许可的示例性中间网络元件。中间网络元件101对由请求中的源地址标识的机器进行图灵测试,在下文中称为源元件,在网络攻击的指示之后接收。图灵测试是需要感知响应的测试,即需要感知能力来回答和/或机器无法轻易回答的测试。根据对所管理的测试的回答或响应来更新该组权限。那些响应错误的源元素被拒绝访问目标网络元件。那些正确响应的源元素被允许访问目标网络元件。当然,本领域的普通技术人员会理解,除了允许和拒绝之外,还可以设置其他权限,例如允许读取、允许写入等。
需要有知觉的响应可以抵御受损的网络元件和脚本化的答案。响应于网络攻击的指示而限制对受害网络元件的访问防止受害网络元件被削弱并减少针对该网络元件的附加恶意活动的机会。此外,通过测试挑战请求可防止干扰对受害网络元件的合法访问,并通过挑战用户的感知响应来保持与用户的交互。因此,用户在防御攻击期间参与回答测试,而不是等待延迟响应;例如,在带宽被征税的同时中间网络元件尝试整理合法请求时,而不是他们的机器空闲。此外,通过图灵测试对来自上游网络元件的请求产生挑战,允许更强大的上游机器过滤请求,而不是被攻击的机器消耗掉资源。
如图3所示,描绘了用于处理在网络攻击的指示之后接收的协议数据单元的示例性流程图。在步骤301,接收协议数据单元(PDU)。协议数据单元是按照协议结构化的数据单元,如网际协议、传输控制协议、ATM、SONET、以太网等。协议数据单元可以是信元、帧、包等。步骤302,判断接收协议数据单元的目的地是否为受害网络元件。如果判断是受害网络元件,则控制流向步骤307。如果目的地不是受害网络元件,则控制流向步骤305。
在步骤305,相应地处理接收协议数据单元。例如,接收协议数据单元被转发到它的目的地,进一步封装、解封装等。
在步骤307,确定接收协议数据单元是否是对测试的响应。如果接收协议数据单元是对测试的响应,则控制流向步骤309。如果接收协议数据单元不是对测试的响应,则控制流向步骤319。
在步骤309,确定响应是否正确(即,响应是否正确或有效)。如果响应正确,则控制流向步骤311。如果响应不正确,则控制流向步骤320。在步骤320,丢弃接收到的接收协议数据单元。尽管该示例性流程图描述了丢弃接收协议数据单元,但所描述的发明的实现可以出于各种目的和/或取决于通信协议(例如,接收协议数据单元的调查、更高级别的有保证的流量传递等)而将一些流量排队。
在步骤311,规则被更新以反映对接收协议数据单元源的允许(规则可以被更新以反映多于允许,包括各种读和写许可)。
在步骤319,确定接收到的接收协议数据单元的来源是否被允许。如果源被允许,则控制流向步骤325。如果源不被允许(因为它没有响应质询或响应不正确),则控制流向步骤321。
在步骤325,接收到的接收协议数据单元被转发到目的地。
从步骤321,控制流向步骤327。在步骤327,对接收到的接收协议数据单元的源进行图灵测试。为防止规避感知响应要求,可以通过多种不同方式进行测试。例如,可以从测试池中随机选择测试,可以以循环方式从池中选择测试,可以定期更换测试集等。可以利用各种技术来验证响应,例如记录有关已发出质询的信息,以验证对已发出质询的后续响应,或实施无需记录此类信息即可验证的测试。记录有关挑战的信息的技术可能会限制维护此类信息的时间量(例如,在记录的信息上实施计时器)。例如,可以维护将特定挑战与答案相关联的信息。当发出质询时,质询还包含质询的指示(例如,标识符)。响应质询的接收协议数据单元将包括质询指示,允许管理机器定位适当的答案以进行验证。在另一个示例中,管理机器可以记录关于质询和被质询机器的信息(例如,被质询机器的网络地址)。在给定的时间后,如果没有从被挑战的机器收到对发出的挑战的响应,那么记录的信息将被删除。也可以使用其他技术。发出的质询可以使得质询和答案之间不需要关联。例如,中间网络元件可以向源发出测验,该测验可以用作为至少中间网络元件已知的秘密和源的网络地址的函数的值来验证。因此,答案是来源无法预测的,而是特定于来源的。
可以利用不同的技术来验证源机器的身份。例如,源的身份可以仅基于IP地址,或者IP地址和端口的组合,或者IP地址和中间节点从分组中可用的任何其他信息。
尽管图3示出了访问规则中的允许或拒绝权限的设置,但是可以使用其他机制来控制对被攻击的网络元件的访问。例如,响应于网络攻击的指示,可以调整到受害网络元件的带宽。将流量传送到受害网络元件的有限带宽部分可以分配给流量,而不管接收协议数据单元的源是否已经响应测试。带宽的其余部分继续将流量传送到受害网络元件,但仅从已正确响应管理测试的源(或默认情况下是可信的)的源的流量。限制未经验证的流量可用带宽,允许合法用户在攻击期间继续访问受害网络元件,尽管带宽大大减少,可能会防止会话超时,避免任何不便,甚至短时间的不便,不允许绝对拒绝访问。
虽然流程图显示了由本发明的某些实现执行的特定操作顺序,但应当理解,该顺序是示例性的(例如,替代实现可以以不同的顺序执行操作、组合某些操作、重叠某些操作、并行执行某些操作,等等)。例如,在图3中,步骤321可以在步骤327之后执行,或者与步骤327并行执行。
所述发明可作为计算机程序产品或软件提供,其可包括存储在其上的指令的机器可读介质,该介质可用于编程计算机系统(或其他电子设备)以执行根据本发明的处理。机器可读介质包括用于以机器(例如计算机)可读的形式(例如软件、处理应用程序)存储或发送信息的任何机制。机器可读介质可包括但不限于磁性存储介质(例如软盘);光存储介质(例如CD-ROM);磁光存储介质;只读存储器(ROM);随机存取存储器(RAM);可擦除可编程存储器(例如EPROM和EEPROM);闪存;传播信号的电气、光学、声学或其他形式(例如载波、红外信号、数字信号等);或其他适合存储电子指令的介质。
计算机系统包括处理器单元,其包括多个处理器、单线程处理器、多线程处理器、多核处理器等。计算机系统还包括系统存储器、系统总线(例如LDT、PCI、ISA等)、网络接口(例如ATM接口、以太网接口、帧中继接口等)、存储设备(例如光存储,磁存储等)和附加组件(例如,视频卡、音频卡、附加网络接口、外围设备等)。
系统存储器为缓存、SRAM、RDRAM、EDO RAM、DDR RAM、EEPROM等的一个或多个。
处理器单元、存储设备、网络接口和系统存储器耦合到系统总线。系统存储器中的一个或多个包含动态防御防火墙,该防火墙管理测试,需要有感知响应,并根据对受管理测试的响应更新一组规则,以管理访问受害者网络元件。动态防御防火墙可以是系统存储器中体现的单个应用程序,部分或完全体现在系统存储器中的组件化应用程序,等等,动态防御防火墙的功能可以部分实现为系统存储器中体现的代码,并且部分地在系统内的处理器单元和/或协处理器单元上使用硬件实现。
虽然参照各种实现来描述本发明,但将理解这些实现是说明性的,并且本发明的范同不限于这些实现。许多变化、修改、添加和改进都是可能的。更一般地,在特定实现的上下文中描述了根据本发明的实现。例如,描述中标识的步骤和逻辑单元用于理解所述发明,而不是用于限制所述发明。功能可以在本发明的各种实现中以不同的步骤分开或组合,或用不同的术语描述。这些实现是指说明性的,而不是限制性的。
因此,可以为本文描述为单个实例的组件提供多个实例。不同组件、操作和数据存储之间的边界有点随意,并且在特定的说明性配置的上下文中说明了特定操作。其他功能分配是设想的,可能属于随后的索赔范围。最后,作为示例性配置中的离散组件呈现的结构和功能可以实现为组合结构或组件。这些和其他变化、修改、添加和改进可以属于下文权利要求中定义的本发明的范围。
Claims (6)
1.一种防御网络攻击的方法,包括:
中间网络元件,所述中间网络元件包括控制从多个网络源对目标网络元件的访问的处理器,所述中间网络元件确定所述目标网络元件正受到网络攻击;
响应于确定目标网络元件受到攻击,中间网络元件将一部分带宽保留给目标资源,用于仅服务于多个来源中的受信任的资源;
响应于网络攻击的指示,为目标网络元件生成一组权限,其中该组权限包括默认权限组或空权限组;
响应于从多个来源中不受信任的来源接收消息,中间网络元件管理对来源中不受信任的来源的各自挑战,其中每个挑战需要正确的特定来源的有知觉响应,其中根据中间网络元件已知的源的相应网络地址的函数来验证对挑战的响应;
响应于从不受信任的来源之一接收对所管理的挑战之一的正确感知响应,中间网络元件将不受信任的来源之一指定为受信任的。
2.一种如权利要求1所述的防御网络攻击的方法,其特征在于,所述中间网络元件包括路由器、网关、防火墙、交换机或网桥。
3.一种如权利要求1所述的防御网络攻击的方法,其特征在于,所述处理器还被编程为用它们各自的网络地址和端口标识符来验证源的身份。
4.一种用于如权利要求1-3任一所述防御网络攻击的方法的装置,包括:
至少部分以硬件实现的多个网络接口,处理器和耦合到处理器的存储器;
所述处理器还被编程为用它们各自的网络地址和端口标识符来验证源的身份;
所述存储器存储可执行用于以下目的的程序指令:
至少部分地基于对尝试与目标网络元件通信的网络元件的图灵测试的管理,动态地生成一组管理对目标网络元件的访问的规则;其中由给定的网络元件之一发送到目标元件的多个消息被传递到目标元件,以响应确定该网络元件已向由以下设备管理的图灵测试提供了正确的特定于源的感知响应装置,其中根据图灵测试已知的秘密的函数来验证对图灵测试的响应;设备和网络元件的相应网络地址;和至少部分地基于管理访问的规则集向尝试通信的网络元件分配带宽给目标网络元件。
5.一种如权利要求4所述的装置,其特征是:还包括用于验证对图灵测试的响应的装置。
6.一种如权利要求5所述的装置,其特征是:还包括用于验证尝试与所述目标网络元件通信的所述网络元件的身份的装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110707346.5A CN113452692A (zh) | 2021-06-24 | 2021-06-24 | 一种防御网络攻击的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110707346.5A CN113452692A (zh) | 2021-06-24 | 2021-06-24 | 一种防御网络攻击的方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113452692A true CN113452692A (zh) | 2021-09-28 |
Family
ID=77812601
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110707346.5A Pending CN113452692A (zh) | 2021-06-24 | 2021-06-24 | 一种防御网络攻击的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113452692A (zh) |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101213812A (zh) * | 2005-08-05 | 2008-07-02 | 朗迅科技公司 | 借助目标受害者的自识别和控制,防御ip网络中服务拒绝攻击的方法 |
| US8006285B1 (en) * | 2005-06-13 | 2011-08-23 | Oracle America, Inc. | Dynamic defense of network attacks |
| CN103314562A (zh) * | 2011-01-10 | 2013-09-18 | 阿尔卡特朗讯公司 | 用于ip 多媒体子系统(ims)核心以防御基于sip 注册的dos/odds 攻击的会话初始化协议(sip)防火墙 |
| CN107135187A (zh) * | 2016-02-29 | 2017-09-05 | 阿里巴巴集团控股有限公司 | 网络攻击的防控方法、装置及系统 |
| CN109274637A (zh) * | 2017-07-17 | 2019-01-25 | 卡巴斯基实验室股份制公司 | 确定分布式拒绝服务攻击的系统和方法 |
| CN112769734A (zh) * | 2019-11-05 | 2021-05-07 | 中国电信股份有限公司 | 网络攻击的检测方法、装置和计算机可读存储介质 |
-
2021
- 2021-06-24 CN CN202110707346.5A patent/CN113452692A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8006285B1 (en) * | 2005-06-13 | 2011-08-23 | Oracle America, Inc. | Dynamic defense of network attacks |
| CN101213812A (zh) * | 2005-08-05 | 2008-07-02 | 朗迅科技公司 | 借助目标受害者的自识别和控制,防御ip网络中服务拒绝攻击的方法 |
| CN103314562A (zh) * | 2011-01-10 | 2013-09-18 | 阿尔卡特朗讯公司 | 用于ip 多媒体子系统(ims)核心以防御基于sip 注册的dos/odds 攻击的会话初始化协议(sip)防火墙 |
| CN107135187A (zh) * | 2016-02-29 | 2017-09-05 | 阿里巴巴集团控股有限公司 | 网络攻击的防控方法、装置及系统 |
| CN109274637A (zh) * | 2017-07-17 | 2019-01-25 | 卡巴斯基实验室股份制公司 | 确定分布式拒绝服务攻击的系统和方法 |
| CN112769734A (zh) * | 2019-11-05 | 2021-05-07 | 中国电信股份有限公司 | 网络攻击的检测方法、装置和计算机可读存储介质 |
Non-Patent Citations (2)
| Title |
|---|
| 韩钰: "校园网DDoS攻击的防御研究", 《福建电脑》 * |
| 韩钰: "校园网DDoS攻击的防御研究", 《福建电脑》, no. 08, 1 August 2008 (2008-08-01), pages 48 - 49 * |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11604861B2 (en) | Systems and methods for providing real time security and access monitoring of a removable media device | |
| US11652829B2 (en) | System and method for providing data and device security between external and host devices | |
| US10904293B2 (en) | System and method for providing network and computer firewall protection with dynamic address isolation to a device | |
| US8806572B2 (en) | Authentication via monitoring | |
| US7313618B2 (en) | Network architecture using firewalls | |
| CN111770090B (zh) | 一种单包授权方法及系统 | |
| EP2132643B1 (en) | System and method for providing data and device security between external and host devices | |
| US11606372B2 (en) | Mitigating against malicious login attempts | |
| US20140020067A1 (en) | Apparatus and method for controlling traffic based on captcha | |
| US20070294759A1 (en) | Wireless network control and protection system | |
| US20210160217A1 (en) | Secure Controlled Access To Protected Resources | |
| WO2007069245A2 (en) | System and method for providing network security to mobile devices | |
| EP1756992A2 (en) | Ip for switch based acl's | |
| CN114553540B (zh) | 基于零信任的物联网系统、数据访问方法、装置及介质 | |
| CN116319024B (zh) | 零信任系统的访问控制方法、装置及零信任系统 | |
| US8006285B1 (en) | Dynamic defense of network attacks | |
| WO2022052972A1 (zh) | 一种网络终端认证的方法及装置 | |
| US20110023088A1 (en) | Flow-based dynamic access control system and method | |
| CN113452692A (zh) | 一种防御网络攻击的方法 | |
| US20240333731A1 (en) | Systems and methods for applying unfair throttling to security service requests | |
| Watson | Network protocol design with Machiavellian robustness | |
| CN116015918A (zh) | 基于nat环境的终端网络准入控制方法、装置、电子设备和存储介质 | |
| Egidi et al. | Decentralized rate-limiting of outbound e-mail |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210928 |
|
| RJ01 | Rejection of invention patent application after publication |