[发明专利]用于过滤和分析基于分组的通信流量的方法和装置

说明书

本申请是国家申请号为02824700.0(国际申请号为PCT/IL02/00996)、国际申请日为2002年12月10日、题为“防御恶意流量”的专利申请的分案申请。

技术领域

本发明一般地涉及计算机网络，具体涉及用于在计算机网络中防御恶意流量的方法和系统。

背景技术

本申请要求2001年12月10日提出的题为“Methods and Apparatus forProtecting Against Malicious Traffic in the Internet”的美国临时专利申请60/339,900的优先权。本申请是同时待审的美国专利申请09/929,877的部分继续，该申请的申请日是2001年8月14日，题为“Methods andApparatus for Protecting Against Overload Conditions on Nodes of aDistributed Network”，并被公开为美国专利申请公开20020083 175。这两个相关申请都被转让给本专利申请的受让人，其公开内容在此通过引用而包含进来。

在服务拒绝(DoS)攻击中，攻击者用大量消息流量冲击受害的网络或服务器。这一流量过载消耗了受害者的可用带宽、CPU能力或其它关键的系统资源，最终使受害者陷入无法对其合法用户提供服务的状况当中。分布式DoS(DDoS)攻击甚至可能更具破坏性，因为这些攻击涉及同时从多个源创建人为的网络流量。在“传统的”海量带宽攻击(massive-bandwidth attack)中，可以在对进入的分组的源因特网协议(IP)地址进行的统计分析的帮助下，对攻击源进行跟踪。受害者随后可以滤去从受怀疑的IP地址发起的任何流量，并可以使用这一证据对攻击者采取法律行动。然而，现在许多攻击使用“地址盗用”(spoofed)IP分组——包含伪造的IP源地址的分组——这使得受害网络更难以防御其自身免遭攻击。

为了启动有效的DDoS攻击，攻击者一般试图控制因特网上的大量服务器。获得这种控制的一种方法是使用“蠕虫”(worm)，“蠕虫”是利用广泛使用的服务中的安全漏洞而在因特网上自我复制的程序。在取得对服务器的控制之后，蠕虫通常使用该服务器来参与DDoS攻击。最近的著名蠕虫包括红码(Code Red)(I和II)和Nimba。例如，红码I在2001年夏季期间利用MicrosoftIIS网络服务器(Web server)的安全漏洞而传播。一旦它感染了服务器，该蠕虫就通过启动99个线程而传播，其中每个线程都生成随机的IP地址并试图危害处于这些地址的服务器。除了这种自我复制之外，红码I还在受感染的服务器上同时自我激活，以启动对www.whitehouse.gov域的协同DDoS攻击。

除了对受害于蠕虫启动的DDoS攻击的域所造成的破坏以外，被蠕虫感染的服务器和网络还常常遭遇性能的下降。这种下降部分地是由于被感染的服务器在其试图发现并感染处于随机IP地址的服务器(称为“扫描”)时所生成和接收的分组、以及被感染的服务器在其参与DDoS攻击时所生成的分组所造成的。例如，被感染的服务器可能将大量SYN请求分组发送到随机IP地址，其中每个地址可能都用SYN-ACK响应分组来应答。这种流量可能消耗被感染的网络与因特网之间的连接的大部分带宽。此外，SYN请求一般会被发送服务器缓冲一段时间，这占用了服务器资源。

发明内容

在本发明的实施例中，网络防护系统检测并封堵(block)蠕虫所生成的进入和/或外出分组。一般而言，防护系统通过(a)检查分组是否包含已知的蠕虫特征，和/或(b)监视分组的源以发现对应于与蠕虫所生成的流量相关联的模式的异常流量模式，来检测这种受感染的分组。一旦防护系统检测到可疑的分组或流量模式，它就可以将来自同一源的分组的全部或部分封堵一段时间，或者采取其它预防性行动。未被感染的分组被转发到其预期目的地。