CN1820452A - 检测并防止网络上的蠕虫流量 - Google Patents
检测并防止网络上的蠕虫流量 Download PDFInfo
- Publication number
- CN1820452A CN1820452A CN 200480008507 CN200480008507A CN1820452A CN 1820452 A CN1820452 A CN 1820452A CN 200480008507 CN200480008507 CN 200480008507 CN 200480008507 A CN200480008507 A CN 200480008507A CN 1820452 A CN1820452 A CN 1820452A
- Authority
- CN
- China
- Prior art keywords
- communication flows
- address
- computer
- communication
- grouping
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/146—Tracing the source of attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种用于处理通信流量的方法。该方法包括监控被导向网络上的一组地址(30)的通信流量,并确定被导向该组中每个地址的通信流量的各基线特性。检测对被导向该组中至少一个地址的通信流量的各基线特性的偏差,该偏差表明至少某些通信流量可能是恶意的。响应于检测到该偏差,过滤被导向该组中所有地址的通信流量,以去除至少一些具有恶意的通信流量。
Description
相关申请的交叉引用
本申请要求2003年2月6日提交的美国临时专利申请60/445,605的优先权。本申请是作为2001年8月14日提交的美国专利申请09/929,877的部分继续的提交于2002年12月10日的PCT专利申请PCT/IL02/00996的部分继续。本申请还涉及2002年8月29日提交的美国专利申请10/232,993。所有上述相关申请都已被转让给本专利申请的受让人,并且其公开内容通过引用而被包含于此。
技术领域
本发明一般地涉及计算机网络,具体地说,涉及用于防止计算机网络中的恶意流量的方法和系统。
背景技术
“蠕虫”是一种恶意程序,其一般通过利用被广泛使用的服务中的安全缺陷来在网络上自我复制。本专利申请上下文中和权利要求中使用的术语“恶意”,是指由某个(或多个)计算机用户为了干扰其他计算机和网络元件的良序操作而发起的程序和网络通信流量。其上运行蠕虫程序的计算机被称为“感染”,该术语也用来指计算机在蠕虫的控制下生成的恶意流量。
蠕虫感染对被感染的计算机的用户通常是可见的,而且蠕虫可将自身复制到其他计算机,不论该计算机用户采取什么动作。在感染计算机后,蠕虫程序一般开始扫描网络以获得其他要感染的计算机。为了使能该扫描,例如,蠕虫可使得被感染的计算机通过发送大量传输控制协议(TCP)SYN请求分组到随机的因特网协议(IP)目的地地址来尝试到达其他计算机,以期建立与其他计算机的连接并感染它们。这些目的地地址中的每一个都可能发送回SYN-ACK响应分组(或表明拒绝建立连接的RST分组)。蠕虫生成扫描于是可生成大量流入流出消息流量,其可消耗受害者的可用带宽和其他关键系统资源。于是,被蠕虫感染的服务器和网络的性能通常会恶化。
近来公知的蠕虫包括Code Red、Nimba和Slammer/SQL。例如,CodeRed在2001年夏天通过利用微软IISWeb服务器的安全缺陷进行传播。一旦它感染了服务器,该蠕虫就通过发动多线程来进行传播,其中每个线程都会生成随机IP地址并尝试危害这些地址的服务器。除了这种自我复制以外,Code Red I同时在被感染的服务器上自激活,从而对www.whitehouse.gov域发动联合的拒绝服务(Dos)攻击。
发明内容
在本发明的实施例中,网络警卫设备(guard device)检测并阻止由例如蠕虫等恶意源生成的流入和/或流出分组。一般地,警卫设备通过识别代表与蠕虫生成的流量相关的已知模式的异常流量模式来检测蠕虫攻击。一旦警卫设备检测到可疑流量模式,它就可采取保护动作,以阻止感染的传播并减小由于蠕虫生成的流量而造成的其他网络资源上的负担。
一般地,网络中任意给定计算机都具有一贯的有特点的流量模式,即,它将与某些有规律的网络地址集合处的、使用某些协议和目的地端口的其他计算机进行通信。因此,例如,Web服务器将接收很多TCP端口80上的流入SYN请求分组,而数据库服务器将接收用户数据报协议(UDP)端口1434上的结构化查询语言(SQL)查询。另一方面,客户机计算机一般几乎不接收(如果有的话)TCP SYN请求或定址为UDP端口1434的分组。但是,蠕虫扫描可能生成大量这种异常流量。
因此,在本发明的某些实施例中,警卫设备监控被导向由警卫设备保护的网络区域中的选定的一组网络地址,或被导向受保护区域内所有网络地址的流入流量的特性。例如,警卫设备可选择监控属于几乎不接收流入流量的客户机的IP地址集合。警卫设备获知被导向所监控的集合中每个IP地址的流量的正常模式的特性,例如进入分组的最大速率、源IP地址分布、所使用的协议和端口以及其他参数。然后,警卫设备一般可通过在给定期间内(例如一分钟)对被导向每个被监控地址的异常分组的数量进行计数来检测从该正常模式的偏差。当计数超过预定门限标准时,警卫设备确定蠕虫攻击可能已开始,并启动保护动作。
在本发明的某些实施例中,如上所述,警卫设备还检测可能表明受保护的组内一个(或多个)计算机已被蠕虫感染的流量模式。当检测到这种感染时,警卫设备追踪通过受保护区域内的交换机(例如路由器和网桥),以找出蠕虫生成的流量的源。然后,警卫设备将感染通知系统管理员,并可同时指示距离源最近的交换机阻止服务于被感染的计算机的端口,直到系统管理员将该计算机离线并清除感染。
虽然本专利申请中描述的实施例主要针对检测和阻止与蠕虫有关的流量,但是本发明的原理可类似地应用于防止其他类型的恶意网络流量。此处所述的技术可单独使用,也可与用于检测和防止恶意流量的其他补充技术组合使用。这些技术例如在上述美国和PCT专利申请中有所描述。
因此,根据本发明实施例,这里提供了用于处理通信流量的方法,包括:
监控被导向网络上的一组地址的通信流量;
确定被导向该组中每个地址的通信流量的各基线特性(baselinecharacteristic);
检测对被导向该组中至少一个地址的通信流量的各基线特性的偏差,该偏差表明至少某些通信流量可能是恶意的;以及
响应于检测到该偏差,过滤被导向该组中所有地址的通信流量,以去除至少一些具有恶意的通信流量。
一般地,监控通信流量包括针对基线特性选择一组地址的子集来进行监控。在所公开的实施例中,确定各基线特性的操作包括确定被导向组中地址的通信流量的各个数量,并且选择子集的操作包括选择子集中的地址,以使得该子集中的地址与该组中的其他地址相比接收相对较少数量的通信流量。
一般地,基线特性包括下述一个或多个:在生成通信流量中使用的通信协议的分布;通信流量被导向的端口的分布;通信流量的源地址的分布;以及被发送往组中地址的数据分组的大小分布。
在所公开的实施例中,基线特性表明已发送通信流量的计算机上运行的操作系统的分布。因此,检测偏差的操作包括读取被发送往组中地址的数据分组的头部中的存活时间(TTL)字段,并且检测相对于基线特性TTL字段的值的改变。此外或可替换地,检测偏差的操作包括检测表明组中地址之一处的第一计算机和网络中另一位置处的第二计算机之间的通信故障的事件。例如,检测事件的操作包括检测建立传输控制协议(TCP)连接的失败。
在一些实施例中,所述方法包括接收表明作为蠕虫感染特性的网络中的通信故障的分组,并且过滤通信流量的操作包括响应于接收分组来决定过滤通信流量。在这些实施例之一中,接收分组的操作包括接收因特网控制消息协议(ICMP)不可到达分组。
在所公开的实施例中,监控通信流量的操作包括确定通过网络传输的一个或多个分组是病态(ill-formed)的,并且过滤通信流量的操作包括响应于病态分组来决定过滤通信流量。
在一些实施例中,检测偏差包括增加表明通信流量的恶意的事件的计数,并响应于该计数来决定是否过滤通信流量。一般地,检测偏差包括接收可能具有恶意的数据分组,每个数据分组具有各自的源地址和目的地地址,并且增加计数包括确定响应于数据分组中的每个要对计数增加的量,所述确定响应于数据分组中的前一个是否具有相同的源地址和相同的目的地中的至少一个。在一个实施例中,确定要对计数增加的量的操作包括仅当先前接收到的数据分组中没有数据分组具有相同的源地址和相同的目的地地址中的至少一个时才增加该计数。
在一些实施例中,检测偏差的操作包括检测显得具有恶意的通信流量的类型,并且过滤通信流量的操作包括拦截所检测出类型的通信流量。一般地,检测类型包括确定作为通信流量特性的至少一种通信协议和一个端口。此外或可替换地,检测类型包括确定显得具有恶意的通信流量的一个或多个源地址,并拦截从这一个或多个源地址发送的通信流量。
此外或可替换地,检测偏差的操作包括检测显得具有恶意的通信流量的类型,并且监控通信流量的操作包括收集与所检测出的类型的流量有关的特定信息。一般地,收集特定信息包括确定所检测出的类型的流量的一个或多个源地址。
监控并过滤通信流量一般包括监控并过滤被发送到包含地址组的网络的受保护区域的通信流量,以排除来自该区域的通信流量。此外或可替换地,该方法还包括监控由受保护区域中的计算机发送的通信流量,以检测恶意程序对一个或多个计算机的感染。
根据本发明的实施例,还提供了一种用于处理通信流量的方法,包括:
监控源自一组地址并穿过网络上选定节点的通信流量;
检测源自地址中至少一个的流量的下述模式,该模式表明这些地址中至少一个处的计算机上正在运行恶意的程序;以及
从选定节点往回追踪流量的路由到该地址中至少一个,以识别恶意程序正在其上运行的计算机的位置。
一般地,追踪路由的操作包括识别计算机连接到的网络上的交换机端口,还包括禁用所识别出的端口。
检测模式的操作一般包括确定计算机已向大量不同的目的地地址发送了分组。此外或可替换地,检测模式的操作包括检测由计算机向特定端口发送的大量分组。
根据本发明的实施例,还提供了一种用于处理通信流量的方法,包括:
监控网络上的通信流量,以检测表明作为蠕虫感染特性的网络中的通信故障的分组;
检测表明通信故障的分组的到达率的增加;以及
响应于该增加,过滤通信流量,以去除至少一些由蠕虫感染生成的通信流量。
在所公开的实施例中,监控通信流量包括检测因特网控制消息协议(ICMP)不可到达分组。此外或可替换地,监控通信流量包括检测建立传输控制协议(TCP)连接失败。
根据本发明的实施例,还提供了一种用于处理通信流量的方法,包括:
监控网络上的通信流量以检测病态分组;
响应于该病态分组,确定至少一些通信流量已由蠕虫感染生成;以及
响应于该确定过滤通信流量,以去除至少一些由蠕虫感染生成的通信流量。
一般地,分组包括指定通信协议的头部,并且监控通信流量的操作包括确定分组包含与所指定的通信协议不符的数据。此外或可替换地,分组包括指定分组长度的头部,其中监控通信流量的操作包括确定分组包含与所指定的分组长度不符的数据量。
根据本发明的实施例,还提供了一种用于处理通信流量的装置,包括警卫设备,其适于:监控被导向网络上的一组地址的通信流量;确定被导向该组中每个地址的通信流量的各基线特性;检测对被导向该组中至少一个地址的通信流量的各基线特性的偏差,该偏差表明至少某些通信流量可能是恶意的;以及响应于检测到该偏差,过滤被导向该组中所有地址的通信流量,以去除至少一些具有恶意的通信流量。
根据本发明的实施例,还提供了一种用于处理通信流量的装置,包括警卫设备,其适于:监控网络上的通信流量,以检测表明作为蠕虫感染特性的网络中的通信故障的分组;检测表明通信故障的分组的到达率的增加;以及响应于该增加,过滤通信流量,以去除至少一些由蠕虫感染生成的通信流量。
根据本发明的实施例,还提供了一种用于处理通信流量的装置,包括警卫设备,其适于:监控网络上的通信流量以检测病态分组;响应于该病态分组,确定至少一些通信流量已由蠕虫感染生成;以及响应于该确定过滤通信流量,以去除至少一些由蠕虫感染生成的通信流量。
根据本发明的实施例,还提供了一种用于处理通信流量的装置,包括警卫设备,其适于:监控源自一组地址并穿过网络上选定节点的通信流量;检测源自这些地址中至少一个的流量的下述模式,该模式表明该地址中至少一个处的计算机上正在运行的恶意程序;以及从该选定节点往回追踪流量的路由到地址中至少一个,以识别恶意程序正在其上运行的计算机的位置。
根据本发明的实施例,还提供了一种计算机软件产品,包括其上存储有程序指令的计算机可读介质,当指令被计算机读取时,使得该计算机:监控被导向网络上的一组地址的通信流量;确定被导向该组中每个地址的通信流量的各基线特性;检测对被导向该组中至少一个地址的通信流量的各基线特性的偏差,该偏差表明至少某些通信流量可能是恶意的;以及响应于检测到该偏差,过滤被导向该组中所有地址的通信流量,以去除至少一些具有恶意的通信流量。
根据本发明实施例,还提供了一种计算机软件产品,包括其中存储有程序指令的计算机可读介质,当该指令被计算机读取时,使得该计算机:监控源自一组地址并穿过网络上选定节点的通信流量;检测源自这些地址中至少一个的流量的下述模式,该模式表明该地址中至少一个处的计算机上正在运行恶意程序;以及从该选定节点往回追踪流量的路由到地址中至少一个,以识别恶意程序正在其上运行的计算机的位置。
根据本发明实施例,还提供了一种计算机软件产品,包括其中存储有程序指令的计算机可读介质,当该指令被计算机读取时,使得计算机:监控网络上的通信流量,以检测表明作为蠕虫感染特性的网络中的通信故障的分组;检测表明通信故障的分组的到达率的增加;以及响应于该增加,过滤通信流量,以去除至少一些由蠕虫感染生成的通信流量。
根据本发明的实施例,还提供了一种计算机软件产品,包括其中存储有程序指令的计算机可读介质,当该指令被计算机读取时,使得计算机:监控网络上的通信流量以检测病态分组;响应于该病态分组,确定至少一些通信流量是由蠕虫感染生成的;以及响应于该确定过滤通信流量,以去除至少一些由蠕虫感染生成的通信流量。
结合附图,从下面对本发明实施例的详细描述,将更全面地理解本发明,其中:
附图说明
图1是根据本发明实施例概要地示出由警卫系统保护的计算机网络的框图;
图2是根据本发明实施例概要地示出用于检测蠕虫所生成的流量的方法的流程图;
图3是根据本发明实施例概要地示出用于对可能由蠕虫所生成的流量导致的可疑事件进行计数的方法的流程图;以及
图4是根据本发明实施例概要地示出用于定位被蠕虫感染的计算机的方法的流程图。
具体实施方式
图1的框图根据本发明实施例概要地示出了网络警卫系统20。网络的受保护区域30与广域网(WAN)36(一般是因特网)通过一个或多个路由器22进行通信。因此,区域30一般包括因特网的某个子网。受保护区域30包括各种网络元件26,例如服务器24、客户计算机34和交换机(包括内部路由器38和网桥40),它们通常通过一个或多个局域网(LAN)32互连。一般地但并非必须地,受保护区域30包括专用网络例如企业或校园网,或者由因特网服务提供商(ISP)运行的网络。
警卫系统20包括一个或多个警卫设备28。为了防止蠕虫感染例如服务器24和客户机34等计算机,每个警卫设备都监控从WAN 36进入并定址为区域30中的网络元件26的流入分组。警卫设备28分析这些流入分组以检测可能表明蠕虫攻击的流量模式,如下所述。一旦检测到可疑流量模式,警卫设备28就拦截正在进入(也可能正在离开)受保护区域30的分组的全部或部分,并过滤该流量,以阻止蠕虫生成的分组。未被感染的分组被转发到它们想去的目的地。
或者,警卫设备28监控从服务器24和/或客户机34向受保护区域30外部的网络元件发送的流出分组。通过检测并阻止蠕虫生成的流出分组,警卫设备28防止区域30中的被感染的计算机与该受保护区域外部的其他计算机建立连接。阻止这种被感染的流量也减轻了路由器22和WAN 36之间的链路上的压力,从而正常流量不会被恶意活动妨碍。
一般地,警卫设备28包括通用计算机,其被软件编程为执行此处所述的功能。该软件可例如以电子形式通过网络下载到计算机,或在有形介质例如CD-ROM或DVD上被提供给计算机。或者,警卫设备28可以在专用硬件逻辑中实现,或者使用硬件和软件元件的组合来实现。优选地,警卫设备具有足够的处理能力,以使得它们自身不会成为蠕虫攻击情形下的瓶颈。
在实际应用中,警卫系统可被用来保护一簇服务器24,或用来保护其流量被转向警卫设备的整个LAN、内部网,或服务器和客户机的集合。警卫功能可分布在受保护区域30的一个或多个接入点处的多个警卫设备28中。此外,警卫系统20的监控并过滤功能可由物理上分离的单元执行,而不是由集成的警卫设备28来执行这两种功能。在使用多个而非一个的应用中,警卫设备可共享一个或多个公共的数据仓库,或者彼此通信,例如以执行集成的统计分析和/或维护对恶意分组的疑似源的公共记录。虽然下述实施例参考了单个的集成警卫设备的功能,但是本领域的技术人员将很清楚,该警卫设备所使用的技术可类似地在分布式警卫系统中实现。
每个警卫设备28都可以是独立单元或与其他通信或计算装备例如路由器22、防火墙或入侵检测系统(未示出)集成。警卫系统20的元件可以被部署在与本领域公知的防火墙类似的配置中。在本专利申请所示和所描述的实施例中,警卫设备28也与路由器22相关联。这些路由器一般包括本领域公知的标准IP路由器,但是也可包括其他类型的第3层交换机,并且可根据其他网络协议进行操作。一般地,每个警卫设备都以“棒棒糖”形式连接到对应路由器的一个或多个端口。或者,在警卫设备和路由器之间不需要有一一对应关系,而是警卫设备和路由器之间的流量可通过其他交换机或其他网络节点进行传递。警卫设备28的进一步部署细节和可替换部署配置在上述美国和PCT专利申请中有描述。
图2的流程图根据本发明实施例概要地示出了用于检测传入受保护区域30的蠕虫生成的流量的方法。该方法基于在目标组选择步骤50选择区域30中要被警卫设备28监控的IP地址的目标组。如果警卫设备具有足够的资源(在存储和处理能力方面),则被监控的组可包括被路由到区域30的所有地址,包括未分配的IP地址。
或者,在步骤50可选择地址的子集。一般地,所选子集包括区域30中被发现接收最少的来自WAN 36的流量的IP地址。例如,在此情形下的子集可包括客户机34,而排除经常从区域30外部的其他计算机接收请求、查询或大量数据的服务器24。这种低活动性子集可由空闲的警卫设备28基于对一段时间内流入流量的平均水平的基线测量来选择和修改。
或者,要被监控的地址组可由系统管理员设置。这个组还可包括未指定的“陷阱(trap)”地址,如上述PCT专利申请中所述。由于陷阱地址不被区域30中的任何实际计算机使用,因此,目的地为任何陷阱地址的流入流量都是异常的,并且可能表明WAN 36上的计算机的恶意IP地址扫描。
在流量监控步骤52,警卫设备28接收通过所关联的路由器22的流量拷贝。通过例如光或铜分路器(splitter),警卫设备可在物理级别上拷贝流量。或者,路由器可将它的输入端口上的流入流量的拷贝中继到警卫设备。拷贝流量到警卫设备的其他方法对本领域的技术人员来说将是很明显的。
在目的地检查步骤58,警卫设备28检查每个进入分组的IP目的地地址。如果目的地地址不在步骤50所建立的监控列表上,则警卫设备通常忽略该分组,并且在分组传递步骤60,路由器22简单地将该分组转发到其目的地。另一方面,如果目的地地址包括在列表中,则在分组记录步骤62,警卫设备28读取并记录所选分组参数。(如上所述,监控列表可包括区域30中的所有IP地址或被路由到区域30的IP地址。)或者,警卫设备28可读取并组装与被发送到监控列表上的IP地址的分组有关的完整的监控数据(见下),而记录与区域30中其余地址有关的较为有限的数据组。例如,警卫设备可记录定址为区域30中每个IP地址的流入分组的数量,以测量区域中每个网络元件26的活动性的总水平。警卫设备然后可使用该活动性水平信息来识别要被包括在用于监控的目标组中的低活动性元件。
或者,警卫设备28可使用其他标准来选择要被分析的分组。例如,警卫设备可监控“ICMP不可到达”分组。当路由器接收到目的地地址不在其路由列表中的分组时,路由器就根据因特网控制消息协议(ICMP)来生成这种分组。因此,被发送往随机IP目的地地址的蠕虫生成的扫描分组将会引发大量这种ICMP不可到达分组。每个ICMP不可到达分组都包含与造成ICMP不可到达分组被生成的原始分组有关的信息。因此,警卫设备28检测到ICMP不可到达分组的到达率增加可能表明有蠕虫攻击。假设例如从其处发起扫描分组的特定子网等攻击源的IP地址未被伪装,则警卫设备还可分析ICMP不可到达分组来确定攻击源。
或者,警卫设备28可对对应路由器所接收的一些或全部分组应用其他监控和检测标准。例如,警卫设备28可监控分组内容,以判定分组“合式(well formed)”,即该分组内容遵守可应用协议的规定。病态分组的大量出现可能表明蠕虫攻击正在进行。这一方面可应用的标准的示例包括:
·测试分组中的实际字节数与分组头部的分组长度字段所表明的数目是否一致。异常的分组长度是某些蠕虫的特征迹象。
·测试分组有效载荷的内容是否与分组头部所指定的流量类型一致。
例如,如果头部表明特定TCP/IP分组包含超文本传输协议(HTTP)消息,则合法的有效载荷仅包含ASCII字符。如果有效载荷包含非ASCII二进制数据,则分组可能被感染了。
当确定攻击正在进行时,这些检测标准还可用来滤除和阻止被感染的分组。攻击检测阶段还可应用的其他合适的分组过滤标准在上述美国和PCT专利申请中有所描述。
现在返回图2,在记录步骤62,警卫设备28针对目标组中的每个目的地地址记录每个流入分组的协议和端口。以此方式,警卫设备可为目标组中的每个地址或地址组维护一个表,在该表中,警卫设备记录了在TCP端口80、8000、8080等上接收的分组数量,和类似地在各UDP端口以及其他协议使用的端口上接收的分组数量。发送流量到每个目的地的源地址的分布也被记录。表中收集的数字是在没有蠕虫攻击正在进行的时期收集的,从而为每个目的地地址和作为整体的目标组提供了流入流量分布的统计基线。
其他分组参数也可在步骤62被记录。例如,每个分组的IP头部中的存活时间(TTL)字段的值可被记录,以生成TTL直方图。当计算机发送分组时,它将TTL值初始设置为某个起始值,该值在沿分组路由的每一跳处减小。初始TTL值由发送计算机的操作系统确定,而不同操作系统可能将它们创建的IP分组的TTL字段初始化为不同的值。标准初始值是256,但是已知的其他初始值还有128(Windows)、64(Unix)、60和30。于是,TTL直方图的突然改变可能表明特定操作系统已被蠕虫感染,造成大量计算机发送具有该操作系统的TTL值特征的被感染的分组。其他分组统计量例如流入分组大小分布的变化也可能表明攻击。
在事件计数步骤64,警卫设备28检查分组参数,以确定它们是否构成可疑事件。一种类型的可疑事件是接收到定址为被监控的目的地地址之一的分组,其中所述分组类型超出了为该目的地地址建立的统计基线。例如,如果给定的被监控地址属于客户机34之一,则不会预期该地址会接收TCP SYN分组(端口80)。警卫设备28检测到这样的分组可能表明被感染的计算机正在扫描随机IP地址,以找出它可传播感染的服务器。因此,对于被监控的组中的任意给定目的地地址,警卫设备28对在端口、协议和其他参数方面偏差所建立的基线概要(profile)的类型的分组作为可疑事件进行计数。(同一分组可能作为在两个或更多被监控参数方面的异常而被计数)一般地,警卫设备基于流入分组来连续更新基线概要,以考虑到合理的长期的概要改变。
警卫设备28可能作为可疑事件计数的另一种事件是表明通信故障的分组的传输。例如,对建立TCP连接的不成功尝试可能被认为是可疑事件,尤其是当该尝试被导向很多不同的目的地地址时(表明蠕虫可能在扫描IP地址,如上所述)。因此,警卫设备28还可接收和监控从受保护区域30内的地址发送的流出TCP SYN、SYN-ACK或RST分组。当受保护区域中的计算机之一尝试与很多不同IP地址建立TCP连接时,警卫设备就可将发送计算机识别为可能被感染,并可采取保护步骤,如下所述。其他类型的异常传输事件(涉及流入和流出分组)可类似地由警卫设备28定义和监控。
另一方面,并非所有异常事件都表明恶意流量,希望警卫设备28仅生成最小数量的假警报。例如,如果区域30中的服务器24之一出现故障,则可能出现很多次WAN 36上的不同客户机与该服务器建立TCP连接的尝试失败,或接收对其HTTP或SQL查询的响应的尝试失败。下面参照图3描述用于避免这种事件造成的假警报的方法。
在增加对可疑事件的计数后,警卫设备28在门限检查步骤66将其事件计数与可应用门限进行比较。当事件计数超出该门限时,在警报步骤68,警卫设备确定蠕虫攻击可能正在进行。取决于警卫设备所监控的因素的组合,门限可以是预先固定的,或者可以是变化的。例如,可以基于可疑事件计数和其他因素的相互关系来决定设置警报,所述其他因素例如上述警卫设备检测到的ICMP分组数或病态分组数,或者是TTL分布的变化,如上所述。警卫设备可使用不同分组计数的加权和,或使用人工智能和机器学习的方法(例如决策树或模糊逻辑)来测试该相互关系。
当在步骤68检测到可能的蠕虫攻击后,警卫设备28一般会通知负责受保护区域30中的网络的系统管理员。此外,在过滤步骤70,警卫设备激活它的分组过滤功能。因此,警卫设备通知路由器22,某些分组(或所有分组)应当被转向警卫设备,以在被传送到它们的实际目的地地址之前进行清理。可用于这种分组转向的方法在上述专利申请中有所描述,并且包括例如使用思科系统(San Jose,California)发布的Web缓存协作协议(WCCP)或基于策略的路由(PBR)。警卫设备可应用的过滤方法也类似地在上述专利申请中有所描述。注意,在过滤可能被感染的分组时,还可使用已做过必要修正的上述很多检测标准。
一般地,考虑到处理效率,警卫设备28在步骤70指定应当被路由器22转向警卫设备的某一组源地址的流量和/或某种类型的流量。例如,PBR允许使用访问控制列表(ACL)来定义这些标准,ACL可指定目的地端口、分组类型(例如SYN请求)或接收流量的接口。警卫设备对这些标准的选择一般基于所监控的流量的使得警卫设备断定攻击可能正在进行的特性。例如,如果在步骤68,由于TCP端口80上异常大量的流入分组而导致警报,则警卫设备可能指示路由器仅将该端口上的流量转向。
此外或可替换地,警卫设备28可基于它所检测到的异常流量的参数来动态设置转向标准。例如,如果警卫设备检测到某个端口上的流量异常增加,则警卫设备可对该特定端口上的流入流量的IP源地址模式进行分析。然后,它可选择在某个时期内对从这些可疑IP源地址接收的所有流量进行转向或阻止,所述时期可以是攻击的持续期间。另一个示例是,如果警卫设备检测到某个端口上流入流量的异常增加,则它也可指示路由器将同一端口或相关端口上的流出流量转向到警卫设备。以此方式,警卫设备可检测并阻止区域30中已被感染的计算机所发送的分组。
图3的流程图根据本发明实施例概要地示出了事件计数步骤64的细节。该方法一般分别应用于每个目的地端口。警卫设备28可应用此方法来避免由于恶意攻击以外的原因而发生的异常事件所引起的假警报。因此,警卫设备28维护下述源地址的源列表S,所述源地址最近曾发送具有给定目的地端口号的分组进入受保护区域30,警卫设备28还维护有关这些分组的目的地地址的接收者列表D。
当在步骤80接收到可疑分组时,警卫设备在源检查步骤82检查分组的源地址。如果分组的源地址不在S中,则警卫设备在目的地检查步骤86检查分组的目的地地址。然后,仅在确定目的地地址不在D中时,警卫设备在计数增加步骤88增加它的可疑事件计数。换句话说,要使得事件计数器增加,则可疑分组的源地址和目的地地址必须都没有被预先记录。然后,警卫设备在记录步骤90将分组的目的地地址添加到D,将源地址添加到S。
于是,来自同一源或被导向同一目的地的多个可疑分组仅使得事件计数器增加一次。或者,警卫设备可连续对具有相同源或目的地地址的多个分组进行计数,但是使用连续递减的权值,于是任意源/目的地地址对的第一分组与具有同一源或目的地地址的后来分组相比,在计数中被强调。
图4的流程图根据本发明的实施例概要地示出了用于检测受保护区域30内被感染的计算机的方法。如前所述,虽然上面主要参考避免被感染的分组进入区域30来描述分组监控并过滤的某些方法,但是类似的方法也可应用于检测从WAN 36发送的被感染的分组,以及检测这些分组的源。阻止这些被感染的分组不但有助于抑制蠕虫传播,而且减轻了路由器22和WAN 36之间的链路上由于大量被感染的流量的传输发生的流量瓶颈。上述PCT专利申请更详细地描述了警卫设备28的这一特征。
在检测步骤100,当警卫设备28检测到路由器22上的可疑流出流量时,图4的方法被启动。除了上述检测参数以外,警卫设备可应用其他标准来识别流出流量是否可疑,例如:
·当区域30中的给定源地址开始向WAN 36上的很多不同目的地地址发送分组时。(基于先前建立的统计基线,警卫设备28可区分服务器24和客户机34,其中前者频繁地向很多不同的目的地地址发送分组,而后者通常仅在被感染时才呈现这种流出流量模式。)
·当给定源地址开始在同一端口上发送很多分组(一般发往很多不同的目的地地址),该行为与该源地址的基线行为不符时。
·当给定端口上的流出分组(一般去往很多不同目的地地址)的总数或速率增加,即使这些分组的源地址不同时。例如使用UDP,蠕虫可使得被感染的计算机发送具有很多不同的假IP源地址的分组。
·当某种指定类型的分组(例如利用地址解析协议ARP所生成的分组)数量增加时。ARP请求分组由以太网交换机生成,以获知用于给定IP目的地地址的媒体访问控制(MAC)地址。区域30中被感染的计算机对随机IP地址的扫描可能会导致服务于特定计算机的网桥生成很多ARP请求。
其他以及可替换的标准对于本领域的技术人员来说将是很清楚的。
一旦警卫设备28检测到可疑模式的流出流量,在源定位步骤102,它就尝试定位该流量的源。本领域中已知多种用于对给定源IP地址所属的计算机进行定位的方法。例如,警卫设备28可使用动态主机配置协议(DHCP)来执行IP源地址的反查,其中DHCP通常被网络管理员用来管理网络中的IP地址分配。可替换地或另外,警卫设备可使用“路由追踪(traceroute)”工具来记录路由器22和可疑分组的源地址之间穿过受保护区域30中的网络的路由。即使当被感染的计算机在它所生成的分组中使用假IP地址时,MAC级别的追踪仍可用来定位分组的实际源。
警卫设备28使用这些技术来定位区域30中的下述路由器链,该路由器链回溯至距离被感染的计算机最近的内部路由器38,然后警卫设备28找出被感染的计算机连接到的特定网桥40和网桥端口。然后,在源阻止步骤104,警卫设备可使用标准网络管理协议,指示网桥禁用服务于被感染的计算机的端口。警卫设备向区域30的系统管理员报告被感染的计算机的位置,然后系统管理员可采取必要的纠正动作。
虽然上述实施例主要针对检测和阻止与蠕虫有关的流量,但是本发明的原理可类似地应用于防止其他类型的恶意网络流量。因此应当理解,上述实施例是示例性的,并且本发明并不限于上文具体示出和描述的内容。相反,本发明的范围包括上述各种特征的组合和子组合,以及本领域的技术人员在阅读上面的描述后将很清楚的、并未在现有技术中公开的其变型和修改。
Claims (102)
1.一种用于处理通信流量的方法,包括:
监控被导向网络上的一组地址的通信流量;
确定被导向所述组中每个地址的通信流量的各基线特性;
检测对被导向所述组中至少一个地址的通信流量的各基线特性的偏差,所述偏差表明至少某些通信流量可能是恶意的;以及
响应于检测到所述偏差,过滤被导向所述组中所有地址的通信流量,以去除至少一些恶意的通信流量。
2.如权利要求1所述的方法,其中监控所述通信流量包括响应于所述基线特性选择所述一组地址的子集来进行监控。
3.如权利要求2所述的方法,其中所述确定各基线特性的操作包括确定被导向所述组中地址的所述通信流量的各个数量,其中所述选择子集的操作包括选择所述子集中的地址,以使得所述子集中的地址与所述组中的其他地址相比接收相对较少数量的所述通信流量。
4.如权利要求1所述的方法,其中所述基线特性包括在生成所述通信流量中使用的通信协议的分布。
5.如权利要求1所述的方法,其中所述基线特性包括所述通信流量被导向的端口的分布。
6.如权利要求1所述的方法,其中所述基线特性包括所述通信流量的源地址的分布。
7.如权利要求1所述的方法,其中所述基线特性包括被发送往所述组中地址的数据分组的大小分布。
8.如权利要求1所述的方法,其中所述基线特性表明已发送所述通信流量的计算机上运行的操作系统的分布。
9.如权利要求8所述的方法,其中检测所述偏差的操作包括读取被发送往所述组中地址的数据分组的头部中的存活时间(TTL)字段,并且检测相对于所述基线特性所述TTL字段的值的改变。
10.如权利要求1所述的方法,其中检测所述偏差的操作包括检测表明所述组中地址之一处的第一计算机和所述网络中另一位置处的第二计算机之间的通信故障的事件。
11.如权利要求10所述的方法,其中检测所述事件的操作包括检测建立传输控制协议(TCP)连接的失败。
12.如权利要求1-11中任一个所述的方法,并且包括接收表明作为蠕虫感染特性的所述网络中的通信故障的分组,并且其中所述过滤通信流量的操作包括响应于接收所述分组来决定过滤所述通信流量。
13.如权利要求12所述的方法,其中接收所述分组的操作包括接收因特网控制消息协议(ICMP)不可到达分组。
14.如权利要求1-11中任一个所述的方法,其中所述监控通信流量的操作包括确定通过所述网络传输的一个或多个分组是病态的,并且其中所述过滤通信流量的操作包括响应于所述病态分组来决定过滤所述通信流量。
15.如权利要求1-11中任一个所述的方法,其中所述检测偏差包括增加表明所述通信流量的恶意的事件的计数,并响应于该计数来决定是否过滤所述通信流量。
16.如权利要求15所述的方法,其中所述检测偏差包括接收可能具有恶意的数据分组,每个数据分组具有各自的源地址和目的地地址,其中增加所述计数包括确定要响应于每个数据分组对所述计数增加的量,所述确定响应于在已响应于其而增加了所述计数的先前接收到的数据分组中是否具有至少一个具有相同源地址的数据分组和和至少一个具有相同目的地地址的数据分组。
17.如权利要求16所述的方法,其中所述确定要对计数增加的量的操作包括仅当已响应于其而增加了所述计数的先前接收到的数据分组中没有数据分组具有相同的源地址和相同的目的地地址中的至少一个时才增加所述计数。
18.如权利要求1-11中任一个所述的方法,其中所述检测偏差的操作包括检测显得具有恶意的通信流量的类型,其中过滤所述通信流量的操作包括拦截所检测出的类型的通信流量。
19.如权利要求18所述的方法,其中检测所述类型包括确定作为所述通信流量的特性的至少一种通信协议和一个端口。
20.如权利要求18所述的方法,其中检测所述类型包括确定所述显得具有恶意的通信流量的一个或多个源地址,并拦截从所述一个或多个源地址发送的通信流量。
21.如权利要求1-11中任一个所述的方法,其中检测所述偏差的操作包括检测显得具有恶意的通信流量的类型,其中监控所述通信流量的操作包括收集与所检测出的类型的流量有关的特定信息。
22.如权利要求21所述的方法,其中收集所述特定信息包括确定所检测出的类型的流量的一个或多个源地址。
23.如权利要求1-11中任一个所述的方法,其中监控并过滤所述通信流量包括监控并过滤被发送到包含所述地址组的网络的受保护区域的通信流量,以排除来自该区域的通信流量。
24.如权利要求23所述的方法,还包括监控由所述受保护区域中的计算机发送的通信流量,以检测恶意程序对一个或多个所述计算机的感染。
25.一种处理通信流量的方法,包括:
监控源自一组地址并穿过网络上选定节点的通信流量;
检测源自所述地址中至少一个的流量的下述模式,该模式表明所述地址中至少一个处的计算机上正在运行的恶意程序;以及
从所述选定节点往回追踪所述流量的路由到所述地址中至少一个,以识别所述恶意程序正在其上运行的计算机的位置。
26.如权利要求25所述的方法,其中追踪所述路由的操作包括识别所述计算机连接到的所述网络上的交换机端口,还包括禁用所识别出的端口。
27.如权利要求25或26所述的方法,其中检测所述模式的操作包括确定所述计算机已向大量不同的目的地地址发送了分组。
28.如权利要求25或26所述的方法,其中检测所述模式的操作包括检测由所述计算机向特定端口发送的大量分组。
29.一种用于处理通信流量的方法,包括:
监控网络上的通信流量,以检测表明作为蠕虫感染特性的所述网络中的通信故障的分组;
检测所述表明通信故障的分组的到达率的增加;以及
响应于所述增加,过滤所述通信流量,以去除至少一些由蠕虫感染生成的通信流量。
30.如权利要求29所述的方法,其中监控所述通信流量包括检测因特网控制消息协议(ICMP)不可到达分组。
31.如权利要求29或30所述的方法,其中监控所述通信流量包括检测建立传输控制协议(TCP)连接失败。
32.一种用于处理通信流量的方法,包括:
监控网络上的通信流量以检测病态分组;
响应于所述病态分组,确定至少一些通信流量是由蠕虫感染生成的;以及
响应于所述确定,过滤所述通信流量,以去除至少一些由蠕虫感染而生成的通信流量。
33.如权利要求32所述的方法,其中所述分组包括指定通信协议的头部,其中监控所述通信流量的操作包括确定所述分组包含与所指定的通信协议不符的数据。
34.如权利要求32或33所述的方法,其中所述分组包括指定分组长度的头部,其中监控所述通信流量的操作包括确定所述分组包含与所指定的分组长度不符的数据量。
35.一种用于处理通信流量的装置,包括警卫设备,适用于:监控被导向网络上的一组地址的通信流量;确定被导向所述组中每个地址的通信流量的各基线特性;检测对被导向所述组中至少一个地址的通信流量的各基线特性的偏差,所述偏差表明至少某些通信流量可能是恶意的;以及响应于检测到所述偏差,过滤被导向所述组中所有地址的通信流量,以去除至少一些具有恶意的通信流量。
36.如权利要求35所述的装置,其中所述警卫设备适用于响应于所述基线特性选择所述一组地址的子集来进行监控。
37.如权利要求36所述的装置,其中所述各基线特性表明被导向所述组中地址的所述通信流量的各个数量,其中所述警卫设备适用于选择所述子集中的地址,以使得所述子集中的地址与所述组中的其他地址相比接收相对较少数量的所述通信流量。
38.如权利要求35所述的装置,其中所述基线特性包括在生成所述通信流量中使用的通信协议的分布。
39.如权利要求35所述的装置,其中所述基线特性包括所述通信流量被导向的端口的分布。
40.如权利要求35所述的装置,其中所述基线特性包括所述通信流量的源地址的分布。
41.如权利要求35所述的装置,其中所述基线特性包括被发送往所述组中地址的数据分组的大小分布。
42.如权利要求35所述的装置,其中所述基线特性表明已发送所述通信流量的计算机上运行的操作系统的分布。
43.如权利要求42所述的装置,其中所述警卫设备适于读取被发送往所述组中地址的数据分组的头部中的存活时间(TTL)字段,并且检测由于所述操作系统的分布所导致的相对于所述基线特性所述TTL字段的值的改变。
44.如权利要求35所述的装置,其中所述警卫设备适用于检测表明所述组中地址之一处的第一计算机和所述网络中另一位置处的第二计算机之间的通信故障的事件。
45.如权利要求44所述的装置,其中所述事件包括建立传输控制协议(TCP)连接的失败。
46.如权利要求35-45中任一个所述的装置,其中所述警卫设备适于接收表明作为蠕虫感染特性的所述网络中的通信故障的分组,并且响应于接收所述分组来决定过滤所述通信流量。
47.如权利要求46所述的装置,其中所述分组包括因特网控制消息协议(ICMP)不可到达分组。
48.如权利要求35-45中任一个所述的装置,其中所述警卫设备适于确定通过网络传输的一个或多个分组是病态的,并且响应于所述病态分组来决定过滤所述通信流量。
49.如权利要求35-45中任一个所述的装置,其中所述警卫设备适于增加表明所述通信流量的恶意的事件计数,并响应于该计数来决定是否过滤所述通信流量。
50.如权利要求49所述的装置,其中所述警卫设备耦合为接收可能具有恶意的数据分组,每个数据分组具有各自的源地址和目的地地址,并且所述警卫设备适于确定要响应于每个数据分组对所述计数增加的量,所述确定响应于在已响应于其而增加了所述计数的先前接收到的数据分组中是否具有至少一个具有相同源地址的数据分组和和至少一个具有相同目的地地址的数据分组。
51.如权利要求40所述的装置,其中所述警卫设备适于仅当已响应于其而增加了所述计数的先前接收到的数据分组中没有数据分组具有相同的源地址和相同的目的地地址中的至少一个时才增加所述计数。
52.如权利要求35-45中任一个所述的装置,其中所述警卫设备适于检测显得具有恶意的通信流量的类型,并且通过拦截所检测出类型的通信流量来过滤所述通信流量。
53.如权利要求52所述的装置,其中所述显得具有恶意的通信流量的类型由通信协议和端口中至少一个来表征。
54.如权利要求52所述的装置,其中所述警卫设备适于确定所述显得具有恶意的通信流量的一个或多个源地址,并拦截从所述一个或多个源地址发送的通信流量。
55.如权利要求35-45所述的装置,其中所述警卫设备适于检测显得具有恶意的通信流量的类型,并且监控所述通信流量,以收集与所检测出的类型的流量有关的特定信息。
56.如权利要求55所述的装置,其中所述特定信息包括所检测出的类型的流量的一个或多个源地址。
57.如权利要求35-45中任一个所述的装置,其中所述警卫设备适于监控并过滤被发送到包含所述地址组的网络的受保护区域的通信流量,以排除来自该区域的通信流量。
58.如权利要求57所述的装置,其中所述警卫设备适于监控由所述受保护区域中的计算机发送的通信流量,以检测恶意程序对一个或多个所述计算机的感染。
59.一种用于处理通信流量的装置,包括警卫设备,其适于:监控源自一组地址并穿过网络上选定节点的通信流量;检测源自所述地址中至少一个的流量的下述模式,该模式表明所述地址中至少一个处的计算机上正在运行的恶意程序;以及从所述选定节点往回追踪所述流量的路由到所述地址中至少一个,以识别所述恶意程序正在其上运行的计算机的位置。
60.如权利要求59所述的装置,其中所述警卫设备适于识别所述计算机连接到的所述网络上的交换机端口,并且指示所述交换机禁用所识别出的端口。
61.如权利要求59或60所述的装置,其中所述警卫设备适于通过确定所述计算机已向大量不同的目的地地址发送了分组来检测所述模式。
62.如权利要求59或60所述的装置,其中所述警卫设备适于通过检测由所述计算机向特定端口发送的大量分组来检测所述模式。
63.一种用于处理通信流量的装置,包括警卫设备,其适于:监控网络上的通信流量,以检测表明作为蠕虫感染特性的所述网络中的通信故障的分组;检测表明所述通信故障的分组的到达率的增加;以及响应于所述增加过滤所述通信流量,以去除至少一些由蠕虫感染生成的通信流量。
64.如权利要求63所述的装置,其中所述警卫设备适于检测作为通信故障的指示的因特网控制消息协议(ICMP)不可到达分组。
65.如权利要求63或64所述的装置,其中所述警卫设备适于检测建立传输控制协议(TCP)连接失败。
66.一种用于处理通信流量的装置,包括警卫设备,其适于:监控网络上的通信流量以检测病态分组;响应于所述病态分组,确定至少一些通信流量已由蠕虫感染生成;以及响应于所述确定过滤所述通信流量,以去除至少一些由蠕虫感染生成的通信流量。
67.如权利要求66所述的装置,其中所述分组包括指定通信协议的头部,其中所述警卫设备适于检测所述分组包含与所指定的通信协议不符的数据。
68.如权利要求66或67所述的装置,其中所述分组包括指定分组长度的头部,其中所述警卫设备适于检测所述分组包含与所指定的分组长度不符的数据量。
69.一种计算机软件产品,包括其上存储有程序指令的计算机可读介质,当所述指令被计算机读取时,所述指令使得所述计算机:监控被导向网络上的一组地址的通信流量;确定被导向所述组中每个地址的通信流量的各基线特性;检测对被导向所述组中至少一个地址的通信流量的各基线特性的偏差,所述偏差表明至少某些通信流量可能是恶意的;以及响应于检测到该偏差,过滤被导向所述组中所有地址的通信流量,以去除至少一些具有恶意的通信流量。
70.如权利要求69所述的产品,其中所述指令使得所述计算机响应于所述基线特性选择所述一组地址的子集来进行监控。
71.如权利要求70所述的产品,其中所述各基线特性表明被导向所述组中地址的所述通信流量的各个数量,其中所述指令使得所述计算机选择所述子集中的地址,以使得所述子集中的地址与所述组中的其他地址相比接收相对较少数量的所述通信流量。
72.如权利要求69所述的产品,其中所述基线特性包括在生成所述通信流量中使用的通信协议的分布。
73.如权利要求69所述的产品,其中所述基线特性包括所述通信流量被导向的端口的分布。
74.如权利要求69所述的产品,其中所述基线特性包括所述通信流量的源地址的分布。
75.如权利要求69所述的产品,其中所述基线特性包括被发送往所述组中地址的数据分组的大小分布。
76.如权利要求69所述的产品,其中所述基线特性表明已发送所述通信流量的计算机上运行的操作系统的分布。
77.如权利要求76所述的产品,其中所述指令使得所述计算机读取被发送往所述组中地址的数据分组的头部中的存活时间(TTL)字段,并且检测由于所述操作系统的分布所导致的相对于所述基线特性所述TTL字段的值的改变。
78.如权利要求69所述的产品,其中所述指令使得所述计算机检测表明所述组中地址之一处的第一计算机和所述网络中另一位置处的第二计算机之间的通信故障的事件。
79.如权利要求78所述的产品,其中所述事件包括建立传输控制协议(TCP)连接的失败。
80.如权利要求69-79中任一个所述的产品,其中所述指令使得所述计算机接收表明作为蠕虫感染特性的所述网络中的通信故障的分组,并且响应于接收所述分组来决定过滤所述通信流量。
81.如权利要求80所述的产品,其中所述分组包括因特网控制消息协议(ICMP)不可到达分组。
82.如权利要求69-79中任一个所述的产品,其中所述指令使得所述计算机确定通过所述网络传输的一个或多个分组是病态的,并且响应于所述病态分组来决定过滤所述通信流量。
83.如权利要求69-79中任一个所述的产品,其中所述指令使得所述计算机增加表明所述通信流量的恶意的事件的计数,并响应于该计数来决定是否过滤所述通信流量。
84.如权利要求83所述的产品,其中,当所述计算机耦合为接收可能具有恶意的数据分组,并且每个数据分组具有各自的源地址和目的地地址时,所述指令使所述计算机确定要响应于每个数据分组对所述计数增加的量,所述确定响应于在已响应于其而增加了所述计数的先前接收到的数据分组中是否具有至少一个具有相同源地址的数据分组和和至少一个具有相同目的地地址的数据分组。
85.如权利要求84所述的产品,其中所述指令使得所述计算机仅当已响应于其而增加了所述计数的先前接收到的数据分组中没有数据分组具有相同的源地址和相同的目的地地址中的至少一个时才增加所述计数。
86.如权利要求69-79中任一个所述的产品,其中所述指令使得所述计算机检测显得具有恶意的通信流量的类型,并且通过拦截所检测出类型的通信流量来过滤所述通信流量。
87.如权利要求86所述的产品,其中所述显得具有恶意的通信流量的类型由通信协议和端口中至少一个来表征。
88.如权利要求86所述的产品,其中所述指令使得所述计算机确定所述显得具有恶意的通信流量的一个或多个源地址,并拦截从所述一个或多个源地址发送的通信流量。
89.如权利要求69-79所述的产品,其中所述指令使得所述计算机检测显得具有恶意的通信流量的类型,并且监控所述通信流量,以收集与所检测出的类型的流量有关的特定信息。
90.如权利要求89所述的产品,其中所述特定信息包括所检测出的类型的流量的一个或多个源地址。
91.如权利要求69-79中任一个所述的产品,其中所述指令使得所述计算机监控并过滤被发送到包含所述地址组的网络的受保护区域的通信流量,以排除来自该区域的通信流量。
92.如权利要求91所述的产品,其中所述指令使得所述计算机监控由所述受保护区域中的计算机发送的通信流量,以检测恶意程序对一个或多个所述计算机的感染。
93.一种计算机软件产品,包括其中存储有程序指令的计算机可读介质,当该指令被计算机读取时,所述指令使得所述计算机:监控源自一组地址并穿过网络上选定节点的通信流量;检测源自所述地址中至少一个的流量的下述模式,该模式表明所述地址中至少一个处的计算机上正在运行的恶意程序;以及从所述选定节点往回追踪所述流量的路由到所述地址中至少一个,以识别所述恶意程序正在其上运行的计算机的位置。
94.如权利要求93所述的产品,其中所述指令使得所述计算机识别所述计算机连接到的所述网络上的交换机端口,并且指示所述交换机禁用所识别出的端口。
95.如权利要求93或94所述的产品,其中所述指令使得所述计算机通过确定所述计算机已向大量不同的目的地地址发送了分组来检测所述模式。
96.如权利要求93或94所述的产品,其中所述指令使得所述计算机通过检测由所述计算机向特定端口发送的大量分组来检测所述模式。
97.一种计算机软件产品,包括其中存储有程序指令的计算机可读介质,当该指令被计算机读取时,所述指令使得所述计算机:监控网络上的通信流量,以检测表明作为蠕虫感染特性的所述网络中的通信故障的分组;检测表明所述通信故障的分组的到达率的增加;以及响应于所述增加过滤所述通信流量,以去除至少一些由蠕虫感染生成的通信流量。
98.如权利要求97所述的产品,其中所述指令使得所述计算机检测作为通信故障的指示的因特网控制消息协议(ICMP)不可到达分组。
99.如权利要求97或98所述的产品,其中所述指令使得所述计算机检测建立传输控制协议(TCP)连接失败。
100.一种计算机软件产品,包括其中存储有程序指令的计算机可读介质,当该指令被计算机读取时,所述指令使得所述计算机:监控网络上的通信流量,以检测病态分组;响应于所述病态分组,确定至少一些通信流量已由蠕虫感染生成;以及响应于所述确定过滤所述通信流量,以去除至少一些由蠕虫感染生成的通信流量。
101.如权利要求100所述的产品,其中所述分组包括指定通信协议的头部,其中所述指令使得所述计算机检测所述分组包含与所指定的通信协议不符的数据。
102.如权利要求100或101所述的产品,其中所述分组包括指定分组长度的头部,其中所述指令使得所述计算机检测所述分组包含与所指定的分组长度不符的数据量。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US09/929,877 US7707305B2 (en) | 2000-10-17 | 2001-08-14 | Methods and apparatus for protecting against overload conditions on nodes of a distributed network |
| US44560503P | 2003-02-06 | 2003-02-06 | |
| US60/445,605 | 2003-02-06 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN1820452A true CN1820452A (zh) | 2006-08-16 |
Family
ID=34082957
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 200480008507 Pending CN1820452A (zh) | 2001-08-14 | 2004-02-05 | 检测并防止网络上的蠕虫流量 |
Country Status (3)
| Country | Link |
|---|---|
| EP (1) | EP1595193B1 (zh) |
| CN (1) | CN1820452A (zh) |
| WO (1) | WO2004070509A2 (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101257416B (zh) * | 2008-03-11 | 2010-08-18 | 南京邮电大学 | 基于网络与基于主机相结合的联网式异常流量防御方法 |
| CN101399709B (zh) * | 2007-09-28 | 2011-06-29 | 福建星网锐捷网络有限公司 | 一种网络监控方法、装置和系统 |
| CN101316268B (zh) * | 2008-07-04 | 2011-12-14 | 中国科学院计算技术研究所 | 一种异常流的检测方法及系统 |
| CN105103603A (zh) * | 2012-12-05 | 2015-11-25 | 诺基亚通信公司 | 用于流量导向的方法和网络元件 |
| CN102577240B (zh) * | 2009-10-28 | 2015-11-25 | 惠普发展公司,有限责任合伙企业 | 用于采用速率限制进行病毒扼制的方法和装置 |
| CN106506630A (zh) * | 2016-10-27 | 2017-03-15 | 中国科学院信息工程研究所 | 一种基于http内容一致性的恶意网络行为发现方法 |
| CN112219381A (zh) * | 2018-06-01 | 2021-01-12 | 诺基亚技术有限公司 | 用于边缘节点中基于数据分析的消息过滤的方法 |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB2418563A (en) * | 2004-09-23 | 2006-03-29 | Agilent Technologies Inc | Monitoring for malicious attacks in a communications network |
| CN1988541A (zh) | 2005-12-19 | 2007-06-27 | 国际商业机器公司 | 确定恶意工作负荷模式的方法和装置 |
| US7987173B2 (en) | 2009-08-25 | 2011-07-26 | Vizibility Inc. | Systems and methods of handling internet spiders |
| WO2014196978A1 (en) | 2013-06-06 | 2014-12-11 | Empire Technology Development, Llc | Preventing network tomography in software defined datacenter networks |
| US9369477B2 (en) | 2014-05-29 | 2016-06-14 | Empire Technology Development Llc | Mitigation of path-based convergence attacks |
| CN106549820A (zh) | 2015-09-23 | 2017-03-29 | 阿里巴巴集团控股有限公司 | 识别网络环路的方法、装置、流量清洗设备及系统 |
| JP6898846B2 (ja) * | 2017-12-28 | 2021-07-07 | 株式会社日立製作所 | 異常原因特定支援システムおよび異常原因特定支援方法 |
| CN110769007B (zh) * | 2019-12-26 | 2020-11-24 | 国网电子商务有限公司 | 一种基于异常流量检测的网络安全态势感知方法及装置 |
| CN111245855B (zh) | 2020-01-17 | 2022-04-26 | 杭州迪普科技股份有限公司 | 一种抑制病毒在局域网中传播的方法及装置 |
| CN113727350A (zh) * | 2021-09-26 | 2021-11-30 | 北京恒安嘉新安全技术有限公司 | 恶意网址处理方法、装置、计算机设备及存储介质 |
| CN115017181B (zh) * | 2022-06-23 | 2023-03-24 | 北京市燃气集团有限责任公司 | 一种基于机器学习的数据库基线确定方法及装置 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7707305B2 (en) | 2000-10-17 | 2010-04-27 | Cisco Technology, Inc. | Methods and apparatus for protecting against overload conditions on nodes of a distributed network |
| WO2003050644A2 (en) * | 2001-08-14 | 2003-06-19 | Riverhead Networks Inc. | Protecting against malicious traffic |
| US20020107953A1 (en) * | 2001-01-16 | 2002-08-08 | Mark Ontiveros | Method and device for monitoring data traffic and preventing unauthorized access to a network |
| US7681235B2 (en) * | 2003-05-19 | 2010-03-16 | Radware Ltd. | Dynamic network protection |
-
2004
- 2004-02-05 WO PCT/IL2004/000114 patent/WO2004070509A2/en active Application Filing
- 2004-02-05 EP EP04708430A patent/EP1595193B1/en not_active Expired - Lifetime
- 2004-02-05 CN CN 200480008507 patent/CN1820452A/zh active Pending
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101399709B (zh) * | 2007-09-28 | 2011-06-29 | 福建星网锐捷网络有限公司 | 一种网络监控方法、装置和系统 |
| CN101257416B (zh) * | 2008-03-11 | 2010-08-18 | 南京邮电大学 | 基于网络与基于主机相结合的联网式异常流量防御方法 |
| CN101316268B (zh) * | 2008-07-04 | 2011-12-14 | 中国科学院计算技术研究所 | 一种异常流的检测方法及系统 |
| CN102577240B (zh) * | 2009-10-28 | 2015-11-25 | 惠普发展公司,有限责任合伙企业 | 用于采用速率限制进行病毒扼制的方法和装置 |
| CN105103603A (zh) * | 2012-12-05 | 2015-11-25 | 诺基亚通信公司 | 用于流量导向的方法和网络元件 |
| US10390276B2 (en) | 2012-12-05 | 2019-08-20 | Nokia Solutions And Networks Oy | Method for traffic steering and network element |
| CN106506630A (zh) * | 2016-10-27 | 2017-03-15 | 中国科学院信息工程研究所 | 一种基于http内容一致性的恶意网络行为发现方法 |
| CN112219381A (zh) * | 2018-06-01 | 2021-01-12 | 诺基亚技术有限公司 | 用于边缘节点中基于数据分析的消息过滤的方法 |
| CN112219381B (zh) * | 2018-06-01 | 2023-09-05 | 诺基亚技术有限公司 | 用于基于数据分析的消息过滤的方法和装置 |
| US11985111B2 (en) | 2018-06-01 | 2024-05-14 | Nokia Technologies Oy | Method for message filtering in an edge node based on data analytics |
Also Published As
| Publication number | Publication date |
|---|---|
| EP1595193A2 (en) | 2005-11-16 |
| WO2004070509A2 (en) | 2004-08-19 |
| EP1595193A4 (en) | 2011-01-12 |
| EP1595193B1 (en) | 2012-11-21 |
| WO2004070509A3 (en) | 2005-11-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10097578B2 (en) | Anti-cyber hacking defense system | |
| US10009361B2 (en) | Detecting malicious resources in a network based upon active client reputation monitoring | |
| US10326777B2 (en) | Integrated data traffic monitoring system | |
| KR100800370B1 (ko) | 어택 서명 생성 방법, 서명 생성 애플리케이션 적용 방법, 컴퓨터 판독 가능 기록 매체 및 어택 서명 생성 장치 | |
| CN1820452A (zh) | 检测并防止网络上的蠕虫流量 | |
| US7624447B1 (en) | Using threshold lists for worm detection | |
| US8438241B2 (en) | Detecting and protecting against worm traffic on a network | |
| US20170257339A1 (en) | Logical / physical address state lifecycle management | |
| US20050108415A1 (en) | System and method for traffic analysis | |
| US20070180107A1 (en) | Security incident manager | |
| US9253153B2 (en) | Anti-cyber hacking defense system | |
| CN1656731A (zh) | 基于多方法网关的网络安全系统和方法 | |
| CN1968271A (zh) | 通信网络中识别和禁止蠕虫的方法和装置 | |
| US11552929B2 (en) | Cooperative adaptive network security protection | |
| CN1871571A (zh) | 分布式网络中通过病毒/蠕虫监视器进行的网络业务管理 | |
| RU2679219C1 (ru) | СПОСОБ ЗАЩИТЫ СЕРВЕРА УСЛУГ ОТ DDoS АТАК | |
| CN1602470A (zh) | 防御恶意流量 | |
| JP2004266483A (ja) | 不正アクセス防止方法、装置、プログラム | |
| JP4753264B2 (ja) | ネットワーク攻撃を検出するための方法、装置、およびコンピュータ・プログラム(ネットワーク攻撃の検出) | |
| CN115396314B (zh) | 获得防护策略集合、报文检测的方法、装置、系统及介质 | |
| Panmand et al. | IP Traceback Using Path Backscatter Message | |
| CN1509003A (zh) | 一种局域网络未授权拨号接入监测的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 1095938 Country of ref document: HK |
|
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20060816 |