抵抗各種網絡攻擊的自適應防禦的製作方法
2023-05-22 18:45:01
專利名稱:抵抗各種網絡攻擊的自適應防禦的製作方法
技術領域:
本實施例通常涉及在動態業務條件下自動調整網絡攻擊檢測系統的靈敏度。
背景技術:
在拒絕服務(DoS)攻擊中,攻擊者用大量業務轟擊受害者網絡或者伺服器。超負荷的業務消耗了受害者的可用帶寬、CPU能力、或其它關鍵的系統資源,並且最終使網絡或伺服器處於不能服務其合法客戶的情形。分布式DoS(DDoS)攻擊甚至能更具破壞性,因為它們涉及同時從多個來源中創建假的網絡業務。在「傳統的」大規模帶寬攻擊中,可以在輸入分組的源網際協議(IP)地址的統計分析的幫助下追蹤攻擊源。受害者隨後能過濾掉從可疑的IP位址發起的任何業務,並且能利用該證據採取合法行動來對抗攻擊者。然而,現在許多攻擊用「被騙的」IP分組-包含假IP源地址的分組-使受害者網絡更難防禦自身免遭攻擊。
即使隨著攻擊檢測系統的最近發展,也需要完美地分類網絡業務的系統。攻擊檢測系統都彈出好的業務(假肯定),或者接受不好的業務(假否定)。這些算法共有普遍的問題如何調整算法的「靈敏度」以打破拒絕好的業務和接受不好的業務的邪惡雙生子(twin evils)之間的平衡。本發明的實施例對這個問題提供了一個解決方案。該方法涉及把成本歸因於不好的業務識別,然後最小化總成本。需要檢測系統在短的時標下自動調整靈敏度,而不是需要操作員幹涉,這需要更長一些的時標。
本實施例迎合了這些需要。
發明內容一個實施例可以是用於在數據網上基於被檢測的攻擊優化過濾器的裝置。所述裝置能包括估計裝置和優化裝置。該估計裝置能在檢測器檢測到攻擊和檢測器發送不正確的攻擊嚴重性時工作。該估計裝置確定正確的攻擊嚴重性。該優化裝置調整一個或多個參數。所述參數是對過濾器的輸入。
在一個實施例中,所述裝置是在數據網上基於檢測的攻擊優化過濾器的設備,包括數據接口、處理器、過濾器、估計裝置和優化裝置。所述處理器能連接到數據接口以接收分組。所述分組能包含一個或多個參數。
所述過濾器能包含阻塞裝置和檢測器。該阻塞裝置阻止攻擊分組進入數據網。該分組基於一個參數而被阻止。該檢測器能檢測攻擊分組。
所述估計裝置能在檢測器檢測到攻擊並且從檢測器發送的攻擊嚴重性不準確時工作。估計裝置確定精確的攻擊嚴重性。所述優化裝置能調整該參數,並且該參數能作為對過濾器的輸入。
結合下列附圖,可以更好地理解該詳細說明。
圖1描述了過濾器的操作的實施例。
圖2描述了自適應優化裝置的實施例。
圖3描述了表示最佳操作點的曲線圖。
圖4描述了表示在一定時間內[k]被允許通過數據網的大量正常分組的曲線圖。
下面參考所列附圖詳細描述本實施例。
具體實施方式在詳細說明本實施例之前,應當理解本實施例並不局限於這些特定的實施例並且可以以各種方式實施或執行。
本實施例通常涉及在動態業務條件下自動調整網絡攻擊檢測系統的靈敏度。
所述實施例通過在嚴重攻擊期間阻止更大比例的攻擊分組和在輕微攻擊期間允許更多的正常分組來為網絡供應商節省成本。所述成本可以體現在網絡損耗、所需的網絡升級、或非授權接入數據網方面。
所述實施例可以是用於優化過濾器的設備。該優化能夠基於在數據網上被檢測到的攻擊。該設備可以包括估計裝置和優化裝置。該估計裝置能在檢測器檢測到攻擊和從檢測器發送的攻擊嚴重性不正確時工作。該估計裝置在從檢測器發送的攻擊嚴重性不正確時確定正確的攻擊嚴重性。該自適應防禦設備可以應用於各種網絡攻擊,包括DoS攻擊、病毒或蠕蟲感染、垃圾郵件等等。一個可根據這些實施例使用的過濾器的例子是由Chen Jin、Haining Wang、和Kang G Shin在一篇標題為「跳躍計數過濾一種抵抗欺騙的DDoS業務的有效防禦(Hop-Count FilteringA n Effective Deference Against SpoofedDDoS Traffic)」的論文中提出的「跳躍計數過濾器」(HCF),該論文發表於美國計算機學會(ACM)會議關於計算機和通信安全的第10期會議錄上。
該估計裝置能夠持續地更新參數,或者該估計裝置能夠只在過濾器的設置需要改變時更新參數。
該優化裝置根據成本函數確定。該成本函數涉及基於假否定和假肯定採取的行動。例如,如果服務供應商必須持續提供服務,該成本可以依據貨幣量。另外,如果伺服器斷線或者如果由於DDoS攻擊使提供的服務降到預置的限制之下,服務供應商必須繳納罰款;因此,服務供應商對正確地過濾DDoS攻擊有直接的金錢利益。預置限制的例子可以是服務供應商必須提供不小於進入的正常用戶服務請求的百分之九十。
檢測器確定攻擊分組,該攻擊信息由於假肯定和假否定也許不正確。例如,檢測器可能檢測到的分組的50%是攻擊分組,50%的分組是正常分組。估計裝置利用來自檢測器的這個信息並對來自檢測器的數據進行計算,以產生更準確的攻擊分組的百分比表示。該估計裝置以特定於檢測器檢測到的攻擊類型的準則作為估計的基礎,該估計能夠導致比檢測器所確定的更大或更小的百分比的攻擊分組。
攻擊嚴重性可以通過攻擊數據對正常數據的百分比來測量。
分組可以是8位字節、網際協議(IP)分組、幀中繼分組、異步傳送模式(ATM)單元或它們的組合。
優化裝置可以調整參數,並且所述參數對過濾器而言是輸入。該過濾器使用該參數調整靈敏度。如果該參數顯示有攻擊發生,過濾器就變得更靈敏並阻塞更多的攻擊分組。如果檢測器顯示沒有攻擊發生,過濾器的靈敏度變小,以允許更多的正常分組。
該參數可以是分組數的閾值。該參數還可以是每個給定時間內的分組數。術語「參數」對於不同的檢測器可以有不同的含義。例如,在用於SYN擴散(flood)DDoS攻擊的跳躍計數過濾中,該參數是異常容限值。當觀測到的進入SYN分組的跳躍長度與真實值不同並大於閾值時,就確定SYN分組為攻擊分組。當初始化一個新的連接以在兩個連接的計算機上同步序號時,術語「SYN」是指由傳輸控制協議(TCP)使用的分組的類型。
檢測器設置得更靈敏,那麼檢測器就將更有可能檢測到攻擊分組。然而,隨著檢測器的靈敏度增大,檢測器就更可能檢測到假肯定。本發明的實施例根據來自檢測器的數據,優化檢測器的靈敏度。通過有攻擊時防止更多的攻擊分組和沒有攻擊時允許更多的正常分組,調整檢測器的靈敏度,給數據網產生了更低的總成本。
該參數能存儲在優化裝置中。當參數存儲在優化裝置中時,優化裝置將新計算的參數與存儲的參數進行比較。如果新參數與存儲的參數不同,那麼該新參數能送入到過濾器以調整過濾器的攻擊靈敏度。例如,如果來自估計裝置或檢測器的參數從未改變,優化裝置就沒有理由發送一個新參數給過濾器。
在一個可選實施例中,每次從估計裝置中輸出一個估計時參數就可被更新。
過濾器能包括檢測器和分組阻塞裝置。過濾器能確定假否定Pn和假肯定Pp以產生可調參數δ。該估計裝置用過濾器的參數設置能確定攻擊嚴重性。過濾器將檢測到的主機的IP位址列為黑名單,或者防禦系統依靠蠕蟲遏制策略。蠕蟲遏制策略意味著迅速隔離受感染的計算機,以防止感染的業務感染其他易受攻擊的計算機。
阻塞裝置能基於特性阻塞分組。該特性可以是分組首標、分組體、多個分組體、多個分組首標或它們的組合。
檢測器能被動地掃描分組以找到攻擊特性。檢測器能直接使用這些參數或用第三方裝置來解釋輸入到估計裝置的參數。檢測器可以是獨立的裝置或者可以合併到路由器軟體中。估計和優化裝置,可以是獨立裝置、合併到檢測器中或者合併到路由器軟體中。路由器軟體可以擴展成路由器的或者通用計算機的軟體。
攻擊能包含SYN擴散分布式拒絕服務攻擊(DDoS),網際網路蠕蟲感染、沒有源欺騙的分布式拒絕服務攻擊、埠掃描、電子郵件病毒、和垃圾郵件攻擊、它們的組合和網絡攻擊的其它類型。電子郵件病毒可以通過電子郵件的內容檢測,而DDoS可以通過分組檢測。
該裝置能進一步包括緩衝器意識功能(buffer aware function)。該緩衝器意識功能基於連接數量或特定性能連接,優化伺服器能夠接受的正常請求的最大數量。數據網的伺服器中的該緩衝器能填滿攻擊分組並且將再也不能接受正常分組。該緩衝器可以位於過濾器之後。如果該緩衝器填滿了攻擊分組,估計裝置必須調整過濾器以阻止更多的攻擊分組。
該緩衝器可以擁有大小[K],其中B是緩衝的大小要求。當B<K時調整過濾器的參數,因為過濾器阻塞了太多的分組,而當B>K時調整過濾器的參數,因為過濾器沒有阻塞足夠的分組。最小化下面的公式可以得出正確的參數用以調整過濾器f=min(k+1)|B-K|.]]>在用於在數據網上基於被檢測的攻擊優化過濾器的設備的一個可選實施例中,該設備包含數據接口、處理器,以及為接收分組而與該數據接口相連的處理器,其中分組包括參數、過濾器、估計裝置和優化裝置。
該過濾器能包含阻塞裝置和檢測器。阻塞裝置能防止攻擊分組進入數據網。該分組能基於參數而被阻止,而該檢測器能檢測攻擊分組。
估計裝置能在檢測器檢測到攻擊而且從檢測器發送的攻擊嚴重性不正確時工作。估計裝置確定正確的攻擊嚴重性。
優化裝置能調整參數,該參數可以是對過濾器的輸入。
參考附圖,圖1描述了過濾器16的工作。過濾器16包括輸入數據10、丟棄數據12和通過數據14。輸入數據10包含正常分組20和攻擊分組18。丟棄數據12是被過濾器確定為攻擊分組的數據;然而以正常分組20的形式的假肯定能包含在丟棄數據中。通過數據14隻能包含正常分組20;然而假否定能以攻擊分組18的形式出現。
攻擊嚴重性依據變量[π],變量[π′]代表檢測到的攻擊業務的一小部分並且能依據由輸入業務[n]除丟棄數據[m]。改寫後成為m=π′·n。對公式的優化得到m=(1-Pn)·π·n+Pp·(1-π)·n,其中Pp是阻塞正常業務的假肯定概率,而Pn是錯過攻擊業務的假否定概率。
圖2描述了自適應優化裝置22,以及與過濾器16通信的攻擊估計裝置24。過濾器16接收輸入數據10,該輸入數據10包含攻擊分組18和正常分組20。估計裝置24和優化裝置22可用於調整過濾器16,以最小化丟棄正常業務cp的成本和最小化發送攻擊業務cn的成本。當經過的時間間隔從k到k+1時,估計裝置24接收Pn(k)、Pp(k)和π′(k)。估計裝置24確定
變量
可以表示為,^(k)=(k)-Pp(k)1-Pn(k)-Pp(k)]]>攻擊嚴重性的估計的統計特性是E[^]=.]]>即使π的真實值不變該參數也能改變,因為該參數的改變是基於
隨時間的改變。
優化裝置22接收已被優化的
並且產生輸出Pn(k+1)和Pp(k+1)。優化公式是minPn,Pp{cp[1-^(k)]Pp+cn^(k)Pn}.]]>圖3描述了表示最佳工作點的曲線圖。隨著檢測靈敏度36在方向34上的增加,假否定32[Pp]的數量增加,而假肯定30[Pn]的數量減少。自適應防禦系統能調整檢測靈敏度到曲線圖上的任何一點。曲線圖上的所有點都能是最佳點,這取決於在給定時間間隔內的攻擊嚴重性。如果出現嚴重攻擊26,可以使用阻塞少量正常分組的更高的檢測靈敏度36;而如果出現輕微攻擊28,可以使用允許少量攻擊分組的更低的檢測靈敏度36。
圖4描述了表示在時間[k]內允許通過數據網的正常分組數量的曲線圖。如圖所示,自適應過濾能比固定參數過濾允許更多正常分組經過過濾器。如圖4所示,自適應防禦系統能比固定參數防禦系統獲得更好的性能,例如在少量攻擊(例如,從時間0到時間300)或者嚴重攻擊(例如,從時間400到600)時。產生圖4中的該結果的實驗在具有24位、28位或二元聚合樹體系結構的過濾器上進行了實施。
雖然通過強調這些實施例已經描述了這些實施例,應當理解的是,在所附權利要求
書的範圍內,可以不像在此具體描述地那樣實施這些實施例。
權利要求
1.一種用於在數據網上基於被檢測的攻擊優化過濾器的設備,包括估計裝置,其中所述估計裝置在檢測器檢測到攻擊並且所述檢測器發送不正確的攻擊嚴重性時工作,並且所述估計裝置確定正確的攻擊嚴重性;優化裝置,其中所述優化裝置調整參數,並且所述參數是對過濾器的輸入;所述過濾器包括檢測器和分組阻塞裝置;以及緩衝器意識功能,其中所述緩衝器意識功能基於連接數量或特定性能連接,優化伺服器能夠接受的正常請求的最大數量。
2.根據權利要求
1所述的設備,其中所述估計裝置是攻擊嚴重性監視器。
3.根據權利要求
1所述的設備,其中所述估計裝置使用所述過濾器的參數設置確定攻擊嚴重性。
4.根據權利要求
1所述的設備,其中所述估計裝置持續更新所述參數。
5.根據權利要求
1所述的設備,其中所述估計裝置根據成本函數確定。
6.根據權利要求
5所述的設備,其中所述成本函數涉及將基於假否定和假肯定採取的行動。
7.根據權利要求
1所述的設備,其中所述檢測器被動地掃描分組以找到攻擊特性。
8.根據權利要求
1所述的設備,其中所述正確的攻擊嚴重性通過攻擊數據對正常數據的百分比測量。
9.根據權利要求
1所述的設備,其中所述參數是分組數的閾值。
10.根據權利要求
1所述的設備,其中所述參數是每個給定時間內的分組數。
11.根據權利要求
1所述的設備,其中所述參數存儲在所述優化裝置中。
12.根據權利要求
1所述的設備,其中所述參數在每次從所述估計裝置輸出估計時被更新。
13.根據權利要求
1所述的設備,其中所述分組阻塞裝置適用於基於特性而阻塞分組。
14.根據權利要求
13所述的設備,其中所述特性是SYN分散分布式拒絕服務攻擊、網際網路蠕蟲感染、沒有源欺騙的分布式拒絕服務攻擊、埠掃描、電子郵件病毒、垃圾郵件攻擊、或者它們的組合。
15.根據權利要求
1所述的設備,其中所述過濾器確定假否定Pn和假肯定Pp以產生一個可調參數δ。
16.根據權利要求
15所述的設備,其中所述過濾器隔離所述被檢測主機的IP位址,或者所述防禦系統依靠蠕蟲遏制策略。
17.根據權利要求
1所述的設備,其中所述分組是從包含以下的組中選擇的8位字節、網際協議(IP)分組、幀中繼分組、異步傳送模式(ATM)單元或它們的組合。
18.一種用於在數據網上基於被檢測的攻擊優化過濾器的設備,包括數據接口;為接收分組而連接到所述數據接口的處理器,其中所述分組包含參數;過濾器,其中所述過濾器包括阻塞裝置,其中所述阻塞裝置防止攻擊分組進入所述數據網,並且所述分組基於參數而被阻塞;和檢測攻擊分組的檢測器;估計裝置,其中所述估計裝置確定正確的攻擊嚴重性,以及所述估計裝置在檢測器檢測所述攻擊分組並且從所述檢測器發送的攻擊嚴重性不正確時工作,以及優化裝置,其中所述優化裝置調整所述參數,並且所述參數是對所述過濾器的輸入。
專利摘要
一種用於在數據網上基於被檢測的攻擊優化過濾器的設備,包括估計裝置和優化裝置。所述估計裝置在檢測器檢測到所述攻擊並且所述檢測器發送不正確的攻擊嚴重性時工作。所述估計裝置確定正確的攻擊嚴重性。所述優化裝置調整參數並且所述參數是對過濾器的輸入。
文檔編號H04L9/00GK1992720SQ200610091687
公開日2007年7月4日 申請日期2006年6月9日
發明者尼古拉斯·杜菲爾德, 龔維博, 唐·湯斯雷, 鄒長春 申請人:美國電報電話公司導出引文BiBTeX, EndNote, RefMan