[发明专利]防止网关系统会话资源被恶意耗尽的方法及装置

说明书

技术领域

本发明涉及网关系统领域，具体是防止网关系统会话资源被恶意耗尽的方法及装置。

背景技术

互联网中，客户端和服务器端之间的连接简称会话，一般而言，靠五元组(即源地址/目标地址/源端口/目标端口/协议类型)区分一个会话。

网关设备是部署在某个企业或其他组织网络出口的网络设备，一般具备路由转发、防火墙、ACL(Access Control List，访问控制列表)控制、流量整形功能。传统网关是非状态的防火墙或路由器，它们不需要记录会话信息；但随着企业或其他组织对网络行为控制需求的增多，新型的主流网关设备基本上已经演变成了具备记录会话状态功能的网络设备，除了具备传统网关设备的功能外，还需要记录和跟踪经过设备的网络数据会话。

主机感染病毒之后，不但会以主机正常的IP地址发起攻击，而且还会伪造源IP地址和端口发起攻击数据包，其行为一般呈散射状，即是只存在少量的目的地址和端口，而存在大量的随机源地址和端口。防止类似攻击的方案有很多，但传统的思路都是在保护服务器，而忽略了作为网络接口设备的网关本身。当前述攻击数据包通过网关设备时，就会产生大量的新建会话请求，由于目前新型的主流网关设备会话跟踪机制的限制，短时间内出现大量的新建请求时，很容易导致网关设备的会话资源耗尽，使得正常的新建会话请求无法处理，从而导致正常的主机通信无法完成。

一般而言，主机规模在10000台左右的企业或组织，其出口网关上需要百万级的会话支持，才能保证正常情况下的数据交互处理。然而，当存在异常主机(如感染病毒或执行恶意代码)，数台异常主机即可导致网关系统的会话资源耗尽，从而影响正常主机起的会话建立请求，进而影响企业网络的正常运行。

发明内容

本发明的主要目的是提供一种防止网关系统会话资源被恶意耗尽的方法，旨在当存在恶意攻击的情形下，保证网关系统正常的连接请求不受影响。

本发明提出一种防止网关系统会话资源被恶意耗尽的方法，具体包括步骤：

接收主机发送的会话请求；

跟踪并检测所述会话请求是否有后续的数据交互，若有则判定所述会话请求为正常会话请求并将所述正常会话请求的源IP地址添加至已知IP地址列表，否则判定所述会话请求为异常会话请求并统计所述异常会话请求的数量；

当所述异常会话请求的数量超过安全阈值时，使网关系统进入异常工作模式并放弃所述异常会话请求，或是限制每秒所述异常会话请求的通过数。

优选地，当网关系统处于所述异常工作模式时，判断发送会话请求的IP地址是否处于已知IP地址列表中，若是，则完成会话，否则，丢弃所述会话请求。

优选地，当系统进入异常工作模式后，判断异常会话请求减少到安全阈值以内并持续一段时间后，将网关系统切换回正常状态。

优选地，当已知IP地址列表中某一IP地址超时未刷新时，将所述超时未刷新的IP地址从已知IP地址列表中删除。

优选地，所述网关系统接受用户的输入设置所述安全阈值。

本发明还提出一种防止网关系统会话资源被恶意耗尽的装置，具体包括：

接收模块，用于接收主机发送的会话请求；

第一判断模块，用于跟踪并检测所述会话请求是否有后续的数据交互，若有则判定所述会话请求为正常会话请求并将所述正常会话请求的源IP地址添加至已知IP地址列表，否则判定所述会话请求为异常会话请求并统计所述异常会话请求的数量；

第一切换模块，用于当所述异常会话请求的数量超过安全阈值时，使网关系统进入异常工作模式并放弃所述异常会话请求，或是限制每秒所述异常会话请求的通过数。

优选地，所述装置还包括第二判断模块，所述第二判断模块用于当网关系统处于所述异常工作模式时，判断发送会话请求的IP地址是否处于已知IP地址列表中，若是，则完成所述会话请求，否则，丢弃所述会话请求。

优选地，所述装置还包括第二切换模块，所述第二切换模块还用于当系统进入异常工作模式后，判断所述异常会话请求减少到安全阈值以内并持续一段时间后，将网关系统切换回正常状态。

优选地，所述装置还包括IP地址刷新模块，用于当已知IP地址列表中某一IP地址超时未刷新时，将所述IP地址从已知IP地址列表中删除。

优选地，所述装置还包括阈值设置模块，所述阈值设置模块用于接受用户的输入设置安全阈值。