應用層入口過濾的製作方法

2023-12-08 10:47:31

專利名稱：應用層入口過濾的製作方法
技術領域：
本申請涉及通信網絡，並且特別涉及應用層入口過濾。
背景技術：
在以計算機網絡作為實體內部和實體之間通信與業務的關鍵單元的世界中，IP網絡的可靠性和安全性是必不可少的。最初的網際網路協議是在系統用戶為了嚴格合法的目的連接到網絡的基礎上設計的，結果，那時沒有對安全問題給予特別的考慮。然而近年來，通信網絡上惡意攻擊的發生頻率已經增長到令人擔憂的比例。
在目前已知的各種惡意攻擊中，拒絕服務(DoS)攻擊經常導致目標服務的完全中斷。DoS攻擊會通過拒絕電子商務提供商對其客戶服務的能力特別危害到電子商務提供商，這導致銷售量以及廣告收入的損失；顧客可能還會尋求有競爭力的可選提供商(Amazon、E*Trade和eBay就在最近的受害者之中)。DoS攻擊可以採取多種形式。有些涉及使用被設計為利用軟體中漏洞的特別構造的數據包。其它類型的DoS攻擊則以佔用設備內的資源為目的而設計。因此，攻擊者可以用大量的流量來對受害網絡或伺服器進行洪水式攻擊，從而消耗如帶寬、CPU容量等的重要系統資源。例如，廣泛傳播的傳輸控制協議(TCP)層軟體使用緩存器來處理用於建立通信會話的消息的握手交換。每個連接請求都消耗分配給這些緩存器的有限存儲空間的一部分。在短時間內收到的大量連接請求將消耗掉所分配的存儲空間，從而使得系統不能對合法的請求做出響應，並且可能導致系統由於緩存器過載而崩潰。
分布式DoS(DdoS)攻擊甚至可能更具破壞性，由於其涉及製造同時來自多個源的虛假網絡流量。所述惡意流量可以從來自被攻擊者「挾持」或暗中破壞了的終端的網絡上的多個點同時產生。DDoS的一種顯著形式是接入鏈路洪水式攻擊，其當惡意方在將企業的邊緣網絡連接公共網際網路的接入鏈路上引導虛假分組流量時發生。當對準受害邊緣網絡時，該洪水式流量會淹沒接入鏈路，並從運行在該接入鏈路上的VPN隧道侵佔接入鏈路帶寬。同樣地，所述攻擊會導致VPN服務的部分或全部拒絕，並中斷依賴於該服務的任意關鍵任務應用的運行。
運行在OSI傳輸層(L4)上的傳輸控制協議(TCP)處理基礎級的可靠性和數據傳輸，包括流控制、差錯處理，以及與分組的傳輸和接收相關的問題。傳輸分組包括來自用戶的數據和網絡為將該數據從源傳輸到目的地需要的所有信息；同樣地，分組包括發起者(IP源地址)以及預期的接收者的地址(IP目標地址)。為了隱藏攻擊的來源，或者為了使得攻擊顯著有效，攻擊者一般通過偽造具有虛假源身份的惡意分組來隱藏(欺騙)該惡意分組的真實來源。這常常會使得攻擊緩解技術失效。
所述IP源地址並不是攻擊者的唯一源信息。發送者的真實身份和給定數據流的源(這裡稱為「源身份」)都在應用層上IP分組的有效載荷中傳輸。典型地，這些第5/7層協議使用網絡身份(IP位址或域名)加上一些本地唯一前綴作為實體標識符，例如aaln/[email protected]或[email protected]。該信息被合法地用於選路目的、NAT穿越、用戶或請求發起者的身份鑑定等。然而，攻擊者還可以同時欺騙應用層分組的IP位址和域名，這裡用術語稱為「身份欺騙」，或者「應用層攻擊」。
現有的第2/3層上過濾惡意分組和幀的安全機制對第5/7層上僅影響協議感知應用的身份欺騙是無效的。為防止或檢測身份欺騙的傳統方法包括應用級端點認證(IETF RFC 3015中Megaco協議中的AH，或IETFRFC 3261中會話發起協議中的摘要認證)；在靠近源的地方使用IP反欺騙機制，例如具有入口/出口過濾的DHCP監聽(IETF RFC 2827)；以及對第3層與第5/7層身份認證信息之間的對應關係的鑑定。
然而，當前可用的解決方案是不完善，原因是它們使用專用的解決方案，並且這些解決方案通常是具有特定威脅的。上面確定的解決方案的每一個在適用性、性能或其可以緩解或檢測到攻擊類型方面都各有其局限性。此外，可能產生虛假的肯定作為對第3層與第5/7層身份間的身份對應關係鑑定的結果；僅僅L3與L5/7數據之間具有差異性的事實，並不總能夠作為惡意欺騙的標記。這是因為，由於中間網絡實體幹擾或用戶的移動性支持，L3身份間的映射可以合理地不同於L5/7身份。
一種更一般的方法是驗證預期的協議行為，該方法通常被稱為「協議異常檢測」。通過該方法，對於協議規範的依從和使用該協議的方法都受到控制。一旦檢測到與預期行為的背離，則發出警報。這些能力被集成到了Check Point FW-1 NG、Juniper NetScreen-IDP和一些其它侵入檢測系統中。然而，對非預期行為的檢測意味著對獨立流的協議消息交換的監控和/或收集統計信息。在第一種情況下，每個流的第一個偽造分組不管怎樣都必須到達接收方，並且由此攻擊者達到他/她的目標。在第二種情況下，基於統計的判決並不識別獨立的惡意流，而是簡單地檢測給定的時間段內的異常行為，其中所述異常行為並不總是指示惡意攻擊。
同樣已知可以使用應用級認證。例如，Wi-Fi保護接入(WPA)標準是為改進有線等價協議(WEP)的安全特性而設計的，其中所述有線等價協議(WEP)的安全機制由802.11標準規範。因此，WPA包括兩個基於WEP的改進，即使用臨時密鑰完整性協議(TKIP)的數據加密，以及使用可擴展認證協議(EAP)的用戶認證。然而，由於性能的影響和認證密鑰管理的負擔，運營商一般不願意使用該類認證，或者不願意將其用於每個協議消息類型。此外，所述認證機制不是諸如MGCP的某些協議的固有部分。
需要提供這樣一種應用級安全機制，該機制實現了對一類DoS攻擊的緩解，所述DoS攻擊通過使用在應用層將其偽造成來自各個網絡中的合法主機的分組把給定服務提供商的網絡基礎設施作為目標。
還需要提供一種用於緩解DoS攻擊的應用層安全機制，該機制不依賴於由其他服務提供商提供的反欺騙解決方案的部署。

發明內容
本發明的目的是提供一種應用層安全機制，該機制全部或部分地緩解當前使用的這些機制的缺陷。
相應地，本發明提供一種用於緩解拒絕服務(DoS)攻擊的方法，所述拒絕服務(DoS)攻擊針對通信網絡的服務提供商(SP)域內的實體，該方法包括維護具有所述SP域中每個合法實體的身份數據的列表，其中，所述身份數據包括各個實體的L5/7身份；識別由入口協議數據單元(PDU)使用的協議，所述入口協議數據單元(PDU)是在所述SP域邊界單元處從所述SP域外部的源的接收的；檢查所述PDU的應用層有效載荷，以提取出所述源的源身份數據，其中，所述源身份數據包括所述源的L5/7身份；以及，對照所述列表中的所有身份數據驗證所述源身份數據。
本發明還提供一種用於緩解拒絕服務(DoS)攻擊的系統，所述拒絕服務(DoS)攻擊針對通信網絡的服務提供商(SP)域內的實體，該系統包括連接在所述SP域邊緣的邊界單元，用於識別由入口協議數據單元(PDU)使用的協議，所述入口協議數據單元(PDU)是在所述SP域邊界單元處從所述SP域外部的源的接收的，並且驗證所述源的源身份數據；以及協議/代理控制功能單元(PPCF)，如果所述源身份數據識別所述源為不合法的，則該單元基於所述源身份數據，對所述PDU應用安全策略，其中，所述身份數據在應用層有效載荷中被傳輸，所述應用層有效載荷是根據由所述入口PDU使用的協議形成的。
檢測和緩解對網絡基礎設施的DoS攻擊的能力對運營商和網絡服務提供商具有重大價值。有利地，本發明的解決方案實現了對這樣一類DoS攻擊的緩解，所述DoS攻擊通過使用在應用層將其偽造成是來自服務提供商網絡中的網絡節點的分組把給定服務提供商的網絡基礎設施作為目標。由於服務提供商網絡節點的節點身份是已知的，並且其數量有限，因此所述驗證是快速的，並且不會影響網絡性能。
本發明的另一優點在於，其不依賴於由其他服務提供商提供的IP反欺騙機制的部署。
此外，由本發明提出的解決方案不考慮第2/3層數據(例如VLAN標籤或源IP位址)，並且因此其要在具有網絡地址解析(NAT)或者各個網絡提供商域外的代理伺服器的情況下工作。


從下面對如附圖中所示的優選實施例的更詳細描述中，本發明的前述和其它目的、特徵和優點將變得顯而易見，其中-圖1示出了L5/7DoS攻擊場景中的主要實體；-圖2示出了根據本發明的應用層入口過濾解決方案；具體實施方式
本發明涉及到對進入指定域的流的應用層入口過濾，其擴展了如IETFRFC 2827的「Network Ingress FilteringDefeating Denial of ServiceAttacks which employ IP Source Address Spoofing」所定義的僅基於IP報頭的普通入口過濾。
圖1描述了針對可能的攻擊場景的主要實體和通信鏈路，其中，攻擊者在服務提供商(SP)網絡/域外部。本例中，服務提供商域B中一個或更多節點11、13被位於域A中的攻擊者22設為目標，域B一般代表用於從各自的SP獲得特定通信服務的域B中的任意網絡/實體。域A一般代表域B外部的數據分組的任何其它合法和/或不合法的源。更寬泛地說，域A是指可能向SP發起服務請求的除域B之外的通信環境。還應當指出，本發明可以用於任何類型的協議數據單元(PDU)或數據報，在一般意義上使用本說明書中的術語「分組」。
如上面所討論的，攻擊者的目標可以不同。例如，攻擊者可以試圖通過用不相關的流量對網絡基礎設施或者終端用戶進行洪水式攻擊來完成DoS。其還可以試圖通過成功偽裝成合法的終端用戶來從SP處非法獲得服務(盜取服務)。其它類型的攻擊可能以獲悉註冊的終端用戶(SP網絡的合法用戶)的身份為目標來進行。應用級攻擊的目標可能是遞送目標服務的協議/代理控制功能單元(PPCF)自身，或者任意其它網絡節點11、13。
根據本發明，協議感知邊界單元5連接在SP域B的邊緣。域A中的例如合法用戶21和惡意攻擊者22的任何實體，都必須通過協議感知邊界單元5接入到B域中，以請求使用或獲得由SP提供的服務。邊界單元5裝備有協議檢測單元10和身份檢測與驗證單元15。協議檢測單元10維護具有被SP認可的所有L5/7協議的列表的資料庫20，其被用於確定到來的分組的協議類型。所述協議列表通過添加各個SP感興趣的任何L5/7協議和各個協議更新而被更新。協議檢測單元10能同時考慮多個協議，因此協議檢測非常快。
ID檢測與驗證單元15根據由單元10檢測到的各個協議，從到來的分組中提取出包含在分組應用有效載荷(也就是所述IP分組的有效載荷)中的身份。ID檢測與驗證單元15維護具有可以向域B中的實體傳輸分組的所有合法實體的資料庫30，其使用該資料庫來驗證到來分組的源身份是否合法。如果各個分組包含不遵從PPCF策略的源身份(例如，沒有註冊為漫遊節點的B域節點的節點身份)，則單元15將到來的分組識別為惡意的。
從服務提供商的角度來看，攻擊者可能使用不僅來自域B而還來自其它任何域的欺騙身份。在後一種情況下，服務提供商不得不與其它提供商以及域所有者建立信任關係，並依靠他們的努力來收集並維護資料庫30中的身份是最新的，以實現對發送者的真實性的驗證。因此，如果資料庫30支持該功能，則單元15可以還識別源標識符屬於域A的合法實體的、來自域A的合法分組。此外，單元15可以還被實現為識別被允許漫遊的B域的實體，因此它將把來自所述移動實體的分組認為是合法的。
資料庫30存儲合法的源地址以及由SP服務的所有節點的IP位址。它還可以包含通常與域B中實體通信的域B外合法端點的源身份，和/或關於哪些節點被允許在域B外漫遊的信息。假設包含在資料庫30中的列表被保持為最新，並且可以被信賴。
此外，PPCF 25保護網絡免受由單元15檢測到的未授權的(非法的)使用。PPCF 25可以例如是專用伺服器、信令網關、媒體網關等等。還應當指出，邊界單元5、PPCF 25以及所述網絡節點的一些可以位於同一平臺上。然而，它們代表不同的功能實體。
圖2示出了屬於作為所提出的解決方案的核心的驗證過程和數據。在本例中，到來的分組是從圖1中的實體21接收到的P21，以及從實體22接收到的P22。當到來的分組被識別為與感興趣的應用協議相關之後，邊界單元5確定哪個域專用信息被各個應用使用以形成源身份。接下來，與特定應用相關的身份被從所述分組應用有效載荷中提取出來，並對照存儲在資料庫30中的合法身份對其進行驗證。假設來自分組P21的源身份為k.l.m.n，並且IP源地址和IP目的地址分別為a.b.c.d源埠和x.y.x.0目的埠，而從分組P22提取出的源身份為x.y.z.2，並且IP源地址和IP目的地址分別為e.f.g.h源埠和x.y.x.0目的埠。
邊界單元5然後驗證域B中的實體的任一個是否具有源身份k.l.m.n或x.y.z.2，並確定節點13使用所述身份x.y.z.2。這意味著來自實體22的分組是惡意分組，並且將由PPCF 25對其進行指定安全策略的處理(可能的動作拒絕、速率限制、延遲等)。另一方面，分組P21被認為是合法的，因為源標識符k.l.m.n不在資料庫30中。如果一些域B實體被允許漫遊，則從應用有效載荷中提取出的源身份將與被允許漫遊的服務B域中的所有註冊網絡節點作比較。
這裡所提出的方法並不是通用的，並且其僅對特定範圍的DoS攻擊有效。當分組的有效載荷並不聲稱是來自某服務域的時候，其不能阻止對該服務的攻擊。
權利要求
1.一種用於緩解拒絕服務攻擊的方法，所述拒絕服務攻擊針對通信網絡中服務提供商域內的實體，該方法包括維護具有所述服務提供商域中每個合法實體的身份數據的列表，其中，所述身份數據包括各個實體的L5/7身份；識別由入口協議數據單元使用的協議，所述入口協議數據單元是在所述服務提供商域的邊界單元處從所述服務提供商域外部的源接收到的；檢查所述協議數據單元的應用層有效載荷，以提取所述源的源身份數據，其中所述源身份數據包括所述源的L5/7身份；以及對照所述列表中的所有身份數據驗證所述源身份數據。
2.根據權利要求1的方法，其中，所述識別步驟包括確定哪個域特定信息被相應協議使用以形成所述源身份數據。
3.根據權利要求1的方法，還包括，如果所述源身份數據在所述列表中被找到，則對所述協議數據單元應用安全策略。
4.根據權利要求1的方法，其中，所述列表還包括在所述服務提供商域外部並且通常與所述服務提供商域中的實體通信的任意合法源的身份數據。
5.根據權利要求1的方法，其中，所述列表識別被允許在所述域外漫遊的所述服務提供商域中的實體。
6.根據權利要求5的方法，進一步包括，如果所述源身份在所述列表中被找到，並且如果所述源身份不對應於被允許在所述域外漫遊的所述服務提供商域內的實體，則對所述協議數據單元使用安全策略。
7.根據權利要求1的方法，其中，所述身份數據在所述應用層有效載荷中被傳輸，所述應用層有效載荷是根據由所述入口協議數據單元使用的協議形成的。
8.根據權利要求1的方法，其中，所述邊界單元還維護具有所述服務提供商中可用的所有L5/7協議的協議資料庫，所述協議資料庫用於確定所述協議數據單元的協議類型。
9.根據權利要求8的方法，還包括通過將感興趣的任意新L5/7協議添加到所述服務提供商域的合法實體中來更新所述協議資料庫。
10.根據權利要求1的方法，其中，所述邊界單元通過同時考慮同時來自所述協議資料庫中的多個協議來識別由所述協議數據單元使用的協議。
11.一種用於緩解拒絕服務攻擊的系統，所述拒絕服務攻擊針對通信網絡中服務提供商域內的實體，該系統包括連接在所述服務提供商域的邊緣的邊界單元，用於識別由入口協議數據單元使用的協議，所述入口協議數據單元是從所述服務提供商域外部的源接收到的，並且用於驗證所述源的源身份數據；以及協議/代理控制功能單元(PPCF)，如果所述源身份數據識別所述源為不合法的，則該功能單元基於所述源身份數據，對所述協議數據單元應用安全策略，其中，所述身份數據在應用層有效載荷中被傳輸，所述應用層有效載荷是根據由所述入口協議數據單元使用的協議形成的。
12.根據權利要求11的系統，其中，所述邊界單元包括用於維護列表的第一資料庫，所述列表具有所述服務提供商域中的所有合法實體的身份數據，其中，所述身份數據包括各個實體的L5/7身份；具有所述服務提供商域中可用的所有L5/7協議的第二資料庫；協議檢測單元，用於通過使用所述第二資料庫來識別由所述入口協議數據單元使用的協議；以及身份識別與驗證單元，用於檢查所述協議數據單元的應用層有效載荷，以確定產生所述協議數據單元的所述源的源身份數據，並對照所述列表驗證所述源身份數據，其中，所述源身份數據包括所述源的L5/7身份。
13.根據權利要求12的系統，其中，如果所述源身份數據出現在所述列表中，則所述身份識別與驗證單元斷言所述源是非法的。
14.根據權利要求11中的系統，其中，所述列表還包括在所述服務提供商域外的並且通常與所述服務提供商域中實體通信的任意合法源的身份數據。
15.根據權利要求1的方法，其中，所述列表識別被允許在所述域外漫遊的所述服務提供商域中的實體。
全文摘要
本發明提供了一種方法和系統，用於過濾在服務提供商(SP)域邊緣接收到的惡意分組。協議感知邊界單元識別由任何入口分組使用的協議，並且然後確定哪個域專用信息被用在所述分組的應用有效載荷中來形成源身份。如果該分組假裝來自所述SP域，並且不允許任何域實體漫遊，則所述分組被識別為非法的，並且由指定的安全策略處理。所述邊界單元還將被允許漫遊的所述SP域實體以及通常與所述SP域中實體通信的所述SP域之外的合法源識別為合法的。
文檔編號H04L29/10GK1968272SQ20061013632
公開日2007年5月23日 申請日期2006年10月16日 優先權日2005年10月17日
發明者J-M·羅伯特, D·維諾庫羅夫 申請人:阿爾卡特公司