專利名稱:網(wǎng)絡(luò)攻擊緩解方法,網(wǎng)絡(luò)攻擊緩解設(shè)備��,和網(wǎng)絡(luò)攻擊緩解程序的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)攻擊緩解方法和網(wǎng)絡(luò)攻擊緩解設(shè)備����,該網(wǎng)絡(luò)攻擊緩解設(shè)備抵抗使用不利于網(wǎng)絡(luò)上或關(guān)于網(wǎng)絡(luò)上的設(shè)備的非必需包的攻擊,并且網(wǎng)絡(luò)攻擊緩解程序被用以識別網(wǎng)絡(luò)攻擊緩解方法��。
更明確地��,本發(fā)明涉及一種技術(shù)����,通過該技術(shù),當緩解措施抵抗由一個或多個連接到網(wǎng)絡(luò)的終端通過發(fā)送非必需包至一個或多個其他終端或服務(wù)器做出的網(wǎng)絡(luò)攻擊時�,可用于阻斷由連接網(wǎng)絡(luò)的包的發(fā)送者的終端提供的服務(wù),并且針對攻擊的緩解措施可由多個設(shè)備執(zhí)行���,各個設(shè)備自行終止緩解措施并會聚緩解范圍�。
背景技術(shù):
在包括大量發(fā)送非必需包的網(wǎng)絡(luò)攻擊(DDoS攻擊)的情況下�����,由于惡意包從多個網(wǎng)絡(luò)上的點發(fā)出�,網(wǎng)絡(luò)可通過在網(wǎng)絡(luò)上的多個點采取針對攻擊的緩解措施來被有效地保護。
諸如Arvor Networks的PeakFlow以及NTT公司的MovingFirewall的網(wǎng)絡(luò)攻擊緩解系統(tǒng)使用以上的技術(shù)���。
通過使用Arbor Networks的PeakFlow(例如�����,參見非專利文獻1)�,在多個點上的通信被監(jiān)控以檢測網(wǎng)絡(luò)攻擊。緩解措施通過網(wǎng)絡(luò)內(nèi)提供的路由器��、防御設(shè)備或類似設(shè)備來抵抗攻擊����。
然而,在PeakFlow中����,當攻擊被解決時,系統(tǒng)的管理器需要終止緩解措施����。
另一方面,通過使用NTT公司的MovingFirewall�,攻擊在防御目標附近被檢測以把防火墻功能轉(zhuǎn)移到多個攻擊主機,從而擴大防御的網(wǎng)絡(luò)����。
在MovingFirewall中�����,網(wǎng)絡(luò)內(nèi)各個設(shè)備各自確定攻擊的終止以終止緩解措施。通過這樣的做法��,攻擊信息被保留以對攻擊的恢復(fù)做準備����。當所有的設(shè)備最終確定攻擊被終止時,能獲取所有設(shè)備信息的管理器設(shè)備初始化各個設(shè)備并且攻擊信息被刪除�。
如此,通過MovingFirewall���,當攻擊平定下來時�����,各個設(shè)備被初始化而不取決于系統(tǒng)管理器��。系統(tǒng)管理器也可以發(fā)出初始化所有設(shè)備的命令��。非專利文獻1PEAKFLOW SP���,網(wǎng)址http//www.arbometworks.com發(fā)明描述本發(fā)明要解決的問題NTT公司的MovingFirewall構(gòu)建了抵抗DDoS攻擊的有效的緩解系統(tǒng)��;然而�����,它需要管理設(shè)備���。
另一方面,在某些網(wǎng)絡(luò)攻擊緩解設(shè)備中����,系統(tǒng)確定攻擊的終止,并自動地返回正常狀態(tài)�����。
在這樣的系統(tǒng)中�,存在一種方法,通過該方法����,當各個設(shè)備分別終止針對攻擊的緩解措施時,各個設(shè)備一經(jīng)確定的攻擊終止后��,攻擊信息被立即刪除。
然而�,當使用該方法時,存在以下的問題����。也就是說,如果其他設(shè)備繼續(xù)采取緩解措施抵抗攻擊�,由于存在攻擊恢復(fù)的可能,那么不具有攻擊信息的設(shè)備在攻擊恢復(fù)的時候不能立即抵抗攻擊���。因此,這變成了系統(tǒng)的一個弱點�,并且應(yīng)該被阻止的攻擊通信流進保護的網(wǎng)絡(luò)(之后稱為“問題1”)。
為了在攻擊恢復(fù)的時候立即抵抗攻擊��,因此存在一種繼續(xù)保留以往信息的方法���。
然而��,如果關(guān)于攻擊的信息被保留�,那么以往攻擊信息將飽和從而壓制檢測處理和緩解處理�����。因此,在某點及時刪除這些信息是必要的�����。然而�,如果刪除過程被單獨地執(zhí)行,那么存在一個問題�,即不能確定刪除的適當機會(以下稱為“問題2”)。
此外�����,存在一種方法�,該方法為管理系統(tǒng)被安裝以確定緩解措施已經(jīng)在所有設(shè)備內(nèi)終止,從而執(zhí)行緩解措施的最后終止���。
然而��,通過這種方法���,存在需要管理設(shè)備的問題(以下稱為“問題3”)。此外�����,當攻擊在緩解措施通過各個設(shè)備已經(jīng)被終止后恢復(fù)時,用于立即抵抗攻擊的信息被刪除直到所有設(shè)備終止緩解措施�����。因此�,這不足以成為問題2的解決方案。
本發(fā)明已經(jīng)實現(xiàn)解決以上的問題��。本發(fā)明的目的是要提供新的網(wǎng)絡(luò)攻擊緩解技術(shù)��,該技術(shù)能實現(xiàn)針對攻擊的緩解措施的終止處理����,當解決這些問題的同時�����,當本發(fā)明被應(yīng)用到多個網(wǎng)絡(luò)攻擊緩解設(shè)備時通過由每個設(shè)備的自主確定來終止針對攻擊的緩解措施���。
用于解決問題的方法為了解決以上的問題以及實現(xiàn)以上的目標����,根據(jù)本發(fā)明的權(quán)利要求1���,一種連接多個網(wǎng)絡(luò)攻擊緩解設(shè)備合作而進行防御來自攻擊者設(shè)備的對于網(wǎng)絡(luò)攻擊緩解設(shè)備的攻擊的網(wǎng)絡(luò)攻擊緩解方法�,其中,該攻擊者設(shè)備使用發(fā)送非必需包對網(wǎng)絡(luò)上的設(shè)備或網(wǎng)絡(luò)進行攻擊����,包括基于比所述網(wǎng)絡(luò)攻擊緩解設(shè)備更靠近攻擊者設(shè)備的第一網(wǎng)絡(luò)攻擊緩解設(shè)備是否正在執(zhí)行針對攻擊的緩解措施、或正在對攻擊的恢復(fù)做準備的�、或已經(jīng)終止針對攻擊的緩解措施并返回正常狀態(tài)來確定是否當針對攻擊的緩解措施響應(yīng)于攻擊的終止而被終止時,對攻擊的恢復(fù)做準備是否是必要的�;當在確定處確定對攻擊的恢復(fù)做準備是不必要時,刪除與攻擊有關(guān)的信息并導(dǎo)致網(wǎng)絡(luò)攻擊緩解設(shè)備返回正常狀態(tài)�;以及當在確定處確定對攻擊的恢復(fù)做準備是必要時,在不刪除與攻擊有關(guān)的信息的情況下對攻擊的恢復(fù)做準備��。
根據(jù)本發(fā)明的權(quán)利要求2��,確定包括根據(jù)是否存在位于比網(wǎng)絡(luò)攻擊緩解設(shè)備更靠近攻擊者設(shè)備的第一網(wǎng)絡(luò)攻擊緩解設(shè)備確定對攻擊的恢復(fù)做準備是否是必要的��。
根據(jù)本發(fā)明的權(quán)利要求3����,方法進一步包括通知與攻擊有關(guān)的信息至比網(wǎng)絡(luò)攻擊緩解設(shè)備更靠近攻擊者設(shè)備的其他網(wǎng)絡(luò)攻擊緩解設(shè)備作為針對攻擊的緩解措施。此外�,確定包括基于如攻擊信息的目的的其他網(wǎng)絡(luò)攻擊緩解設(shè)備是否已經(jīng)返回正常狀態(tài)來確定對攻擊的恢復(fù)做準備是否是必要的。
根據(jù)本發(fā)明的權(quán)利要求4����,確定包括確定當所有其他如攻擊信息目的的網(wǎng)絡(luò)攻擊緩解設(shè)備已經(jīng)返回正常狀態(tài)時���,對攻擊的恢復(fù)做準備是不必要的。
根據(jù)本發(fā)明的權(quán)利要求5�,方法進一步包括當網(wǎng)絡(luò)攻擊緩解設(shè)備刪除攻擊信息并返回正常狀態(tài)時,通知返回正常狀態(tài)至其他如與攻擊有關(guān)的信息的目的的網(wǎng)絡(luò)攻擊緩解設(shè)備����。此外,在從所有其他如攻擊信息的目的的網(wǎng)絡(luò)攻擊緩解設(shè)備中接收表明網(wǎng)絡(luò)攻擊緩解設(shè)備已經(jīng)返回正常狀態(tài)的通知后���,確定包括確定對攻擊的恢復(fù)做準備是不必要的�����。
根據(jù)本發(fā)明的權(quán)利要求6,一種連接多個網(wǎng)絡(luò)攻擊緩解設(shè)備合作而進行防御來自攻擊者設(shè)備的對于網(wǎng)絡(luò)攻擊緩解設(shè)備的攻擊的網(wǎng)絡(luò)攻擊緩解設(shè)備���,其中�,所述攻擊者設(shè)備使用發(fā)送非必需包對網(wǎng)絡(luò)上的設(shè)備或網(wǎng)絡(luò)進行攻擊��,包括確定單元���,該確定單元基于比所述網(wǎng)絡(luò)攻擊緩解設(shè)備更靠近攻擊者設(shè)備的第一網(wǎng)絡(luò)攻擊緩解設(shè)備是否正在執(zhí)行針對攻擊的緩解措施�、或正在對攻擊的恢復(fù)做準備的、或已經(jīng)終止針對攻擊的緩解措施并返回正常狀態(tài)來確定是否當針對攻擊的緩解措施響應(yīng)于攻擊的終止而被終止時�����,對攻擊的恢復(fù)做準備是否是必要的�����;返回單元�,該返回單元當確定單元確定對攻擊的恢復(fù)做準備是不必要時,刪除與攻擊有關(guān)的信息并導(dǎo)致網(wǎng)絡(luò)攻擊緩解設(shè)備返回正常狀態(tài)����;以及恢復(fù)準備單元,該恢復(fù)準備單元當確定單元確定對攻擊的恢復(fù)做準備是必要時�����,在不刪除與攻擊有關(guān)的信息的情況下對攻擊的恢復(fù)做準備��。
根據(jù)本發(fā)明的權(quán)利要求7�����,在網(wǎng)絡(luò)攻擊緩解設(shè)備內(nèi),確定單元根據(jù)是否存在位于比網(wǎng)絡(luò)攻擊緩解設(shè)備更靠近攻擊者設(shè)備的第一網(wǎng)絡(luò)攻擊緩解設(shè)備確定對攻擊的恢復(fù)做準備是否是必要的�。
根據(jù)本發(fā)明的權(quán)利要求8,網(wǎng)絡(luò)攻擊緩解設(shè)備包括攻擊通知單元��,該攻擊通知單元通知與攻擊有關(guān)的信息至比網(wǎng)絡(luò)攻擊緩解設(shè)備更靠近攻擊者設(shè)備的其他網(wǎng)絡(luò)攻擊緩解設(shè)備作為針對攻擊的緩解措施��。此外�����,確定單元基于如攻擊信息的目的的其他網(wǎng)絡(luò)攻擊緩解設(shè)備是否已經(jīng)返回正常狀態(tài)來確定對攻擊的恢復(fù)做準備是否是必要的�。
根據(jù)本發(fā)明的權(quán)利要求9,在網(wǎng)絡(luò)攻擊緩解設(shè)備中����,確定單元確定當所有其他如攻擊信息目的的網(wǎng)絡(luò)攻擊緩解設(shè)備已經(jīng)返回正常狀態(tài)時,對攻擊的恢復(fù)做準備是不必要的�����。
根據(jù)本發(fā)明的權(quán)利要求10�,網(wǎng)絡(luò)攻擊緩解設(shè)備包括返回通知單元�����,該返回通知單元當網(wǎng)絡(luò)攻擊緩解設(shè)備刪除攻擊信息并返回正常狀態(tài)時,通知返回正常狀態(tài)至其他如與攻擊有關(guān)的信息的目的的網(wǎng)絡(luò)攻擊緩解設(shè)備�。此外,在從所有其他如攻擊信息的目的的網(wǎng)絡(luò)攻擊緩解設(shè)備中接收表明網(wǎng)絡(luò)攻擊緩解設(shè)備已經(jīng)返回正常狀態(tài)的通知后��,確定單元確定對攻擊的恢復(fù)做準備是不必要的��。
根據(jù)本發(fā)明的權(quán)利要求11�,一網(wǎng)絡(luò)攻擊緩解程序,該網(wǎng)絡(luò)攻擊緩解程序執(zhí)行一種連接多個網(wǎng)絡(luò)攻擊緩解設(shè)備合作而進行防御來自攻擊者設(shè)備的對于網(wǎng)絡(luò)攻擊緩解設(shè)備的攻擊的網(wǎng)絡(luò)攻擊緩解方法�,其中,所述攻擊者設(shè)備使用發(fā)送非必需包對網(wǎng)絡(luò)上的設(shè)備或網(wǎng)絡(luò)進行攻擊��,包括基于比所述網(wǎng)絡(luò)攻擊緩解設(shè)備更靠近攻擊者設(shè)備的第一網(wǎng)絡(luò)攻擊緩解設(shè)備是否正在執(zhí)行針對攻擊的緩解措施���、或正在對攻擊的恢復(fù)做準備的����、或已經(jīng)終止針對攻擊的緩解措施并返回正常狀態(tài)來確定是否當針對攻擊的緩解措施響應(yīng)于攻擊的終止而被終止時�,對攻擊的恢復(fù)做準備是否是必要的;當在確定處確定對攻擊的恢復(fù)做準備是不必要時��,刪除與攻擊有關(guān)的信息并導(dǎo)致網(wǎng)絡(luò)攻擊緩解設(shè)備返回正常狀態(tài)�����;以及當在確定處確定對攻擊的恢復(fù)做準備是必要時,在不刪除與攻擊有關(guān)的信息的情況下對攻擊的恢復(fù)做準備����。
根據(jù)本發(fā)明的權(quán)利要求12,在網(wǎng)絡(luò)攻擊緩解程序內(nèi)�,確定包括根據(jù)是否存在位于比網(wǎng)絡(luò)攻擊緩解設(shè)備更靠近攻擊者設(shè)備的第一網(wǎng)絡(luò)攻擊緩解設(shè)備確定對攻擊的恢復(fù)做準備是否是必要的。
根據(jù)本發(fā)明的權(quán)利要求13���,網(wǎng)絡(luò)攻擊緩解程序進一步導(dǎo)致網(wǎng)絡(luò)攻擊緩解設(shè)備執(zhí)行通知與攻擊有關(guān)的信息至比網(wǎng)絡(luò)攻擊緩解設(shè)備更靠近攻擊者設(shè)備的其他網(wǎng)絡(luò)攻擊緩解設(shè)備作為針對攻擊的緩解措施����。此外�,確定包括基于如攻擊信息的目的的其他網(wǎng)絡(luò)攻擊緩解設(shè)備是否已經(jīng)返回正常狀態(tài)來確定對攻擊的恢復(fù)做準備是否是必要的。
根據(jù)本發(fā)明的權(quán)利要求14�����,在網(wǎng)絡(luò)攻擊緩解程序內(nèi)����,確定包括確定當所有其他如攻擊信息目的的網(wǎng)絡(luò)攻擊緩解設(shè)備已經(jīng)返回正常狀態(tài)時,對攻擊的恢復(fù)做準備是不必要的��。
根據(jù)本發(fā)明的權(quán)利要求15,網(wǎng)絡(luò)攻擊緩解程序進一步導(dǎo)致當網(wǎng)絡(luò)攻擊緩解設(shè)備刪除攻擊信息并返回正常狀態(tài)時���,網(wǎng)絡(luò)攻擊緩解設(shè)備執(zhí)行通知返回正常狀態(tài)至其他如與攻擊有關(guān)的信息的目的的網(wǎng)絡(luò)攻擊緩解設(shè)備。此外��,在從所有其他如攻擊信息的目的的網(wǎng)絡(luò)攻擊緩解設(shè)備中接收表明網(wǎng)絡(luò)攻擊緩解設(shè)備已經(jīng)返回正常狀態(tài)的通知后��,確定包括確定對攻擊的恢復(fù)做準備是不必要的��。
發(fā)明效果根據(jù)權(quán)利要求1��、6�����、或11的發(fā)明��,當針對攻擊的緩解措施被響應(yīng)于攻擊的終止而終止時��,根據(jù)網(wǎng)絡(luò)攻擊緩解設(shè)備是否比現(xiàn)在正在執(zhí)行針對攻擊的緩解措施�、或正在對攻擊的恢復(fù)做準備的、或已經(jīng)終止針對攻擊的緩解措施并返回正常狀態(tài)的自己的設(shè)備更靠近攻擊者設(shè)備的情況�,確定對攻擊的恢復(fù)做準備是否是必要的。當確定對攻擊的恢復(fù)做準備是不必要時��,與攻擊有關(guān)的信息被刪除并且恢復(fù)正常狀態(tài)。相應(yīng)地����,在通過使用多個網(wǎng)絡(luò)攻擊緩解設(shè)備用于保護網(wǎng)絡(luò)的系統(tǒng)中,即使各個設(shè)備在沒有使用管理設(shè)備的情況下分別確定攻擊的終止并緩解措施的終止�,當對攻擊的恢復(fù)做準備時,緩解范圍可被有效地會聚�����。
根據(jù)權(quán)利要求2����、7、或12的發(fā)明���,根據(jù)比自己的設(shè)備更靠近攻擊者設(shè)備的網(wǎng)絡(luò)攻擊緩解設(shè)備的存在來確定對攻擊的恢復(fù)做準備是否是必要的�。相應(yīng)地�����,即使當沒有比自己的設(shè)備更靠近攻擊者設(shè)備的網(wǎng)絡(luò)攻擊緩解設(shè)備存在時�����,當對攻擊的恢復(fù)做準備時,緩解范圍可被有效地會聚�。
根據(jù)權(quán)利要求3、8����、或13的發(fā)明����,攻擊消息被通知到另一個比自己的設(shè)備更靠近攻擊者設(shè)備的網(wǎng)絡(luò)攻擊緩解設(shè)備作為針對攻擊的緩解措施,并且根據(jù)如攻擊信息的目的的其他網(wǎng)絡(luò)攻擊緩解設(shè)備是否返回正常狀態(tài)來確定對攻擊的恢復(fù)做準備是否是必要的���。因此�,基于其他攻擊的通知從自己的設(shè)備被發(fā)送至的網(wǎng)絡(luò)攻擊緩解設(shè)備是否已經(jīng)返回正常狀態(tài)��,通過確定是否由自己的設(shè)備繼續(xù)針對攻擊的緩解措施��,可有效地確定是否繼續(xù)針對攻擊的緩解措施�。相應(yīng)地,當對攻擊的恢復(fù)做準備時����,緩解范圍可被有效地會聚。
根據(jù)權(quán)利要求4���、9�、或14的發(fā)明,當所有其他如攻擊信息的目的的網(wǎng)絡(luò)攻擊緩解設(shè)備返回正常狀態(tài)時�,確定對攻擊的恢復(fù)做準備是不必要的。因此�,當所有其他已經(jīng)被已由自己的設(shè)備通知攻擊的網(wǎng)絡(luò)攻擊緩解設(shè)備已經(jīng)返回正常狀態(tài)時,也就是說�,當被檢測到自己的設(shè)備是最靠近攻擊者設(shè)備的最前節(jié)點時,終止針對攻擊的緩解措施�。相應(yīng)地,緩解范圍可被有效地會聚���。
根據(jù)權(quán)利要求5��、10�����、或15的發(fā)明�,當攻擊信息被刪除并且正常狀態(tài)被恢復(fù)時��,該事件被通知到其他網(wǎng)絡(luò)攻擊緩解設(shè)備�,這是攻擊信息的通知器。當從所有其他如攻擊信息的目的的網(wǎng)絡(luò)攻擊緩解設(shè)備被通知設(shè)備已經(jīng)返回正常狀態(tài)時��,確定對攻擊的恢復(fù)做準備是不必要的。因此���,通過使用返回通知�,可可靠地確認所有其他已由自己的設(shè)備通知攻擊的網(wǎng)絡(luò)攻擊緩解設(shè)備已經(jīng)返回正常狀態(tài)����。相應(yīng)地,緩解范圍可被有效地會聚�。
附圖簡要
圖1是結(jié)合DDoS防御設(shè)備的受害的防御的例子�����;圖2是根據(jù)本發(fā)明的DDoS防御設(shè)備的配置的例子��;圖3是惡意包信息數(shù)據(jù)庫的數(shù)據(jù)結(jié)構(gòu)的例子���;圖4是結(jié)合控制數(shù)據(jù)庫的設(shè)備的數(shù)據(jù)結(jié)構(gòu)的例子��;圖5是由包調(diào)度器執(zhí)行的處理流程的例子����;圖6是由攻擊檢測模塊執(zhí)行的處理流程的例子����;圖7是由攻擊緩解模塊執(zhí)行的處理流程的例子����;圖8是由終止/恢復(fù)控制執(zhí)行的處理流程的例子�;圖9是由設(shè)備合作控制執(zhí)行的處理流程的例子;圖10是由設(shè)備合作控制執(zhí)行的處理流程的另一個例子��。
字母或數(shù)字的解釋101 網(wǎng)絡(luò)接口102 包調(diào)度器103 攻擊檢測模塊
104 惡意包信息數(shù)據(jù)庫105 攻擊緩解模塊106 終止/恢復(fù)控制107 設(shè)備合作控制108 結(jié)合控制數(shù)據(jù)庫的設(shè)備實現(xiàn)本發(fā)明的最佳模式將解釋當本發(fā)明被應(yīng)用到網(wǎng)絡(luò)攻擊緩解設(shè)備時的處理�。給出了以下條件的解釋,抵抗具體攻擊的緩解措施被終止��,根據(jù)網(wǎng)絡(luò)攻擊緩解設(shè)備的狀態(tài)是否是“正常狀態(tài)”來確定是否對攻擊的恢復(fù)做準備是必要的���,在“正常狀態(tài)”中網(wǎng)絡(luò)攻擊緩解設(shè)備已經(jīng)終止針對攻擊的緩解措施并已經(jīng)返回到正常狀態(tài)��。然而����,本發(fā)明不是要限制于此�,可根據(jù)緩解狀態(tài)是否是“在緩解的中間狀態(tài)”或“恢復(fù)準備狀態(tài)”來確定是否對攻擊的恢復(fù)做準備是必要的,在“在緩解的中間狀態(tài)”中攻擊緩解正在被執(zhí)行��,在“恢復(fù)準備狀態(tài)”中雖然攻擊緩解被終止,但是與攻擊有關(guān)的信息被保留����。
本發(fā)明的網(wǎng)絡(luò)攻擊緩解設(shè)備與其他設(shè)備(網(wǎng)絡(luò)攻擊緩解設(shè)備)合作以使網(wǎng)絡(luò)抵抗來自網(wǎng)絡(luò)的攻擊。如果攻擊信息從另一設(shè)備被通知�����,那么網(wǎng)絡(luò)攻擊緩解設(shè)備存儲設(shè)備的信息��。當檢測到來自自己的設(shè)備的攻擊時��,網(wǎng)絡(luò)攻擊緩解設(shè)備存儲自己的設(shè)備已經(jīng)檢測到攻擊��。在通知攻擊信息到另一設(shè)備的時候��,網(wǎng)絡(luò)攻擊緩解設(shè)備存儲通知被發(fā)送至哪一設(shè)備���。
當確定在采取攻擊緩解措施期間的監(jiān)控的網(wǎng)絡(luò)內(nèi)的攻擊通信已經(jīng)穩(wěn)定時,本發(fā)明的網(wǎng)絡(luò)攻擊緩解設(shè)備終止攻擊緩解�。
此時,當表明攻擊通信已經(jīng)穩(wěn)定的攻擊信息被通知到另一設(shè)備時����,網(wǎng)絡(luò)攻擊緩解設(shè)備保持攻擊信息而不刪除它以對攻擊的恢復(fù)做準備。
另一方面���,如果表明攻擊通信已經(jīng)穩(wěn)定的攻擊信息沒有被通知到另一設(shè)備����,那么網(wǎng)絡(luò)攻擊緩解設(shè)備刪除攻擊信息并返回到正常狀態(tài)。
此時�,當被刪除的攻擊信息是從另一設(shè)備通知的信息,那么網(wǎng)絡(luò)攻擊緩解設(shè)備通知其他設(shè)備攻擊已經(jīng)穩(wěn)定并且攻擊信息已經(jīng)被刪除(返回通知到正常狀態(tài))�����。當被刪除的攻擊信息已經(jīng)由自己的設(shè)備檢測到時����,網(wǎng)絡(luò)攻擊緩解設(shè)備不需要通知攻擊信息的刪除,并返回到正常狀態(tài)���。
在接收到來自另一設(shè)備的攻擊信息的刪除通知后���,本發(fā)明的網(wǎng)絡(luò)攻擊緩解設(shè)備存儲已經(jīng)通知刪除的設(shè)備信息。此時�����,網(wǎng)絡(luò)攻擊緩解設(shè)備檢測攻擊緩解措施是否在自己的設(shè)備內(nèi)已經(jīng)被終止,以及攻擊信息刪除通知是否已經(jīng)從所有其他自己的設(shè)備已經(jīng)通知攻擊信息至其的設(shè)備中所接收����。
作為檢測的結(jié)果,如果確定攻擊緩解措施沒有在自己的設(shè)備中被終止���,那么緩解措施繼續(xù)�����。另一方面���,雖然攻擊緩解措施已經(jīng)在自己的設(shè)備內(nèi)終止,如果有任一還沒有發(fā)送攻擊信息刪除通知的設(shè)備存在�,那么網(wǎng)絡(luò)攻擊緩解設(shè)備對攻擊的恢復(fù)做準備。
如果攻擊緩解措施已經(jīng)在自己的設(shè)備內(nèi)被終止�,并且攻擊信息刪除通知已經(jīng)從所有其他攻擊信息已經(jīng)從自己的設(shè)備被發(fā)送至其的設(shè)備中被接收,那么網(wǎng)絡(luò)攻擊緩解設(shè)備也刪除攻擊信息���,并返回到正常狀態(tài)。
此時�����,當被刪除的攻擊信息是來自另一設(shè)備的通知的信息時,網(wǎng)絡(luò)攻擊緩解設(shè)備通知設(shè)備攻擊已經(jīng)穩(wěn)定并且攻擊信息已經(jīng)被刪除�。當被刪除的攻擊信息由自己的設(shè)備所檢測到時,通知攻擊信息已經(jīng)被刪除是不必要的�����,此后網(wǎng)絡(luò)攻擊緩解設(shè)備返回到正常狀態(tài)���。
根據(jù)該規(guī)則�,即使本發(fā)明的各個網(wǎng)絡(luò)攻擊緩解設(shè)備分別執(zhí)行確定以通過執(zhí)行攻擊緩解措施的終止處理來終止攻擊緩解措施����,在不形成在被保護的網(wǎng)絡(luò)內(nèi)的弱點的情況下,在其中設(shè)備執(zhí)行攻擊緩解措施和設(shè)備對攻擊的恢復(fù)做準備的出現(xiàn)的范圍可被會聚����。當攻擊恢復(fù)時,在會聚期間的設(shè)備可立即執(zhí)行針對攻擊的緩解措施���,并且設(shè)備再次通知攻擊信息到其他設(shè)備�,從而擴大防御范圍����。
因此�����,根據(jù)本發(fā)明�,由于在其內(nèi)設(shè)備執(zhí)行攻擊緩解以及設(shè)備為當前攻擊的恢復(fù)做準備的范圍可響應(yīng)于攻擊被靈活地更改�,各個設(shè)備的處理由攻擊信息的飽和壓制的可能性比在傳統(tǒng)技術(shù)內(nèi)的低。由于各個設(shè)備可執(zhí)行各自確定以終止攻擊緩解措施并返回到正常狀態(tài)�,為實現(xiàn)處理而提供管理設(shè)備是不必要的。
實施例圖1是用于在發(fā)生DDoS攻擊的時候與多個DDoS防御設(shè)備合作防御受害者的連接的例子����,作為本發(fā)明的實施例。
在圖1中�,DDoS攻擊主機31至35發(fā)送惡意包到受害者11和12。多個DDoS防御設(shè)備21到27在各個DDoS攻擊主機31到35和受害者11和12之間連接��,并且這些DDoS防御設(shè)備21到27相互之間合作以防御受害者11和12不受來自DDoS攻擊�。
當?shù)挚故芎φ?1和12的DDoS攻擊發(fā)生時,尤其�����,這些DDoS防御設(shè)備21到27組織抵抗攻擊的防御����,從接近受害者11和12的DDoS防御設(shè)備21和22開始通過以下的方式把防御線向DDoS攻擊主機31到35延伸DDoS防御設(shè)備21和22->DDoS防御設(shè)備23->DDoS防御設(shè)備24->DDoS防御設(shè)備25和26->DDoS防御設(shè)備27。
當DDoS攻擊結(jié)束時��,抵抗攻擊的防御從遠離受害者11和12的DDoS防御設(shè)備25到27中被終止�,并且防御線以以下的方式所會聚DDoS防御設(shè)備25和26->DDoS防御設(shè)備24->DDoS防御設(shè)備23DDoS防御設(shè)備27->DDoS防御設(shè)備23->DDoS防御設(shè)備21和22。
圖2中顯示了結(jié)合本發(fā)明的DDoS防御設(shè)備21到27的配置的例子�。
實施例中的DDoS防御設(shè)備21到27包括網(wǎng)絡(luò)接口101、包調(diào)度器102�、攻擊檢測模塊103、惡意包信息數(shù)據(jù)庫104����、攻擊緩解模塊105、終止/恢復(fù)控制106�、設(shè)備合作控制107、以及設(shè)備合作控制數(shù)據(jù)庫108�����。
當不發(fā)生DDoS攻擊時���,在由網(wǎng)絡(luò)接口101接收包后�����,DDoS防御設(shè)備21到27通過包調(diào)度器102傳送包至網(wǎng)絡(luò)接口101���。
另一方面�,在DDoS攻擊的狀態(tài)�,由網(wǎng)絡(luò)接口101接收惡意包之后,DDoS防御設(shè)備21到27通過終止/恢復(fù)控制106和攻擊檢測模塊103傳送包與通過攻擊緩解模塊105從屬于攻擊緩解處理的包至網(wǎng)絡(luò)接口101�。相應(yīng)地,受害者11和12可被保護以免受來自DDoS的攻擊���。
圖3顯示了惡意包信息數(shù)據(jù)庫104的數(shù)據(jù)結(jié)構(gòu)的例子�,并且圖4顯示了設(shè)備合作控制數(shù)據(jù)庫108的數(shù)據(jù)結(jié)構(gòu)的例子���。
惡意包信息數(shù)據(jù)庫104用于控制惡意包信息����。如圖3所示的�����,抵抗惡意包的緩解方法��、用于終止緩解方法的條件����、用于緩解方法的恢復(fù)的條件����、以及表明緩解方式是活動還是暫停(暫停等同于終止)的狀態(tài)信息被與惡意包的流信息關(guān)聯(lián)所控制�����。
設(shè)備合作控制數(shù)據(jù)庫108控制相互合作執(zhí)行針對攻擊的緩解措施的設(shè)備的合作信息�����。如圖4所示的���,發(fā)送惡意包信息(發(fā)送者設(shè)備的信息)的設(shè)備信息、接收到惡意包信息(目的設(shè)備的信息)的設(shè)備信息��、以及目的設(shè)備的狀態(tài)信息被控制�����。目的設(shè)備包括自己的設(shè)備����,并且自己的設(shè)備的狀態(tài)信息根據(jù)目的設(shè)備的狀態(tài)信息所被控制。
例如���,顯示在圖4的設(shè)備合作控制數(shù)據(jù)庫108時包括在設(shè)備“3”內(nèi)的設(shè)備合作控制數(shù)據(jù)庫108的一個例子��,其中控制了惡意包信息從DDoS防御設(shè)備����,設(shè)備“1”發(fā)送到自己的設(shè)備、惡意包信息被發(fā)送到DDoS防御設(shè)備���,設(shè)備“4”(當前狀態(tài)是“活動”)�、以及自己的設(shè)備在“終止的(被暫停)”狀態(tài)����。惡意包信息表明IP地址是“1.1.1.1”,協(xié)議是“UDP”��,端口號是“1434”���,緩解方法是“阻塞”�,終止條件是“當每秒10兆位(Mbps)通信保持3秒時終止緩解措施”���,恢復(fù)條件是“當20Mbps通信持續(xù)1秒時恢復(fù)緩解方法”���。
圖5顯示了通過包調(diào)度器102執(zhí)行的處理流程的例子���,圖6顯示了通過攻擊檢測模塊103執(zhí)行的處理流程的例子,圖7顯示了通過攻擊緩解模塊105執(zhí)行的處理流程的例子����,圖9和10顯示了由終止/恢復(fù)控制106執(zhí)行的處理流程的例子以及通過設(shè)備合作控制107執(zhí)行的處理流程的例子��。
由具有這樣配置的DDoS防御設(shè)備21到27執(zhí)行的處理將根據(jù)這些處理流程所解釋�����。
首先根據(jù)圖5的處理流程解釋由包調(diào)度器執(zhí)行的處理�。
如在圖5的處理流程中顯示的,在步驟10從網(wǎng)絡(luò)接口101接收包之后��,包調(diào)度器102繼續(xù)到步驟11以備份接收到的包以及把備份的包傳送到攻擊檢測模塊103�。
繼續(xù)到步驟12,包調(diào)度器102確定接收到的包的信息是否已經(jīng)在惡意包信息數(shù)據(jù)庫104內(nèi)登記�。
當根據(jù)確定處理確定接收到的包已經(jīng)在惡意包信息數(shù)據(jù)庫104中被登記時,包調(diào)度器102繼續(xù)到步驟13以備份接收到的包并把備份的包傳送到終止/恢復(fù)控制106���。
繼續(xù)到步驟14�,包調(diào)度器102確定存儲在被在惡意包信息數(shù)據(jù)庫104內(nèi)登記的登錄信息(適合于接收到的包的登錄信息)內(nèi)的狀態(tài)信息是否表明“活動”。
當確定在適用于接收到的包的登錄信息內(nèi)的登記的狀態(tài)信息表明“活動”時�,包調(diào)度器102繼續(xù)到步驟15以傳送接收到的包至攻擊緩解模塊105,然后返回到步驟10����。
另一方面,當確定接收到的包的信息沒有在步驟12被登記在惡意包信息數(shù)據(jù)庫104內(nèi)時���,包調(diào)度器102繼續(xù)到步驟16以傳送接收到的包至網(wǎng)絡(luò)接口101����,然后返回步驟10��。
當在步驟14確定在適合于接收到的包的登錄信息內(nèi)登記的狀態(tài)信息不表明“活動”時��,也就是說�,狀態(tài)信息表明“暫停”時���,包調(diào)度器102繼續(xù)到步驟16以傳送接收到的包至網(wǎng)絡(luò)接口101����,然后返回步驟10��。
因此,在從網(wǎng)絡(luò)接口101接收包之后���,基于接收到的包是否是存儲在惡意包信息數(shù)據(jù)庫104內(nèi)的惡意包或攻擊緩解措施是否正在被執(zhí)行���,包調(diào)度器102傳送接收到的包的備份至攻擊檢測模塊103,并且傳送接收到的包的備份至終止/恢復(fù)控制106����,傳送接收到的包至攻擊緩解模塊105,或傳送接收到的包至網(wǎng)絡(luò)接口101��。
根據(jù)圖6的處理流程���,解釋由攻擊檢測模塊103執(zhí)行的處理。
如圖6的處理流程所示的��,在從包調(diào)度器102接收包之后�,攻擊檢測模塊103繼續(xù)到步驟21以確定接收到的包是否在惡意包信息數(shù)據(jù)庫104內(nèi)被登記。
當根據(jù)確定處理確定接收到的包已經(jīng)在惡意包信息數(shù)據(jù)庫104內(nèi)登記時���,攻擊檢測模塊103繼續(xù)到步驟22以確定是否傳送登記的信息到另一設(shè)備�。當?shù)怯浀男畔]有被傳送時�����,攻擊檢測模塊103確定“傳送”,并且當?shù)怯浀男畔⒁呀?jīng)被傳送時����,攻擊檢測模塊103確定“不傳送”。當已經(jīng)確定把信息傳送到另一設(shè)備時�,攻擊檢測模塊103繼續(xù)到步驟23以通知包括登記的信息的合作消息至設(shè)備合作控制107,然后返回步驟20���。
另一方面��,當已經(jīng)確定登記的信息沒有被發(fā)送到另一設(shè)備時�,攻擊檢測模塊103立即返回到步驟20而不執(zhí)行在步驟23的處理�。
當在步驟21確定接收到的包沒有在惡意包信息數(shù)據(jù)庫104內(nèi)登記時,攻擊檢測模塊103繼續(xù)到步驟24以確定接收到的包是否是惡意包�。
當根據(jù)確定處理確定接收到的包是惡意包時,攻擊檢測模塊103繼續(xù)到步驟25��,在此攻擊檢測模塊103生成惡意包信息�����,并把生成的惡意包信息登記到惡意包信息數(shù)據(jù)庫104內(nèi)����。繼續(xù)到步驟26��,攻擊檢測模塊103通知設(shè)備合作控制107包括惡意包信息的登記消息�����,然后返回步驟20�。
另一方面�,當在步驟24確定接收到的包不是惡意包時,攻擊檢測模塊103返回步驟20而不執(zhí)行步驟25和26的處理�。
在從包調(diào)度器102接收包之后,如果接收到的包被登記在惡意包信息數(shù)據(jù)庫104內(nèi)并且傳送惡意包信息到另一設(shè)備是必要的�����,那么攻擊檢測模塊108通知設(shè)備合作控制107合作消息���。如果接收到的包沒有在惡意包信息數(shù)據(jù)庫104內(nèi)登記并且接收到的包是惡意包,那么攻擊檢測模塊103生成惡意包信息并且把它登記到惡意包信息數(shù)據(jù)庫104中����,然后通知設(shè)備合作控制107登記消息。
根據(jù)圖7的處理流程解釋由攻擊緩解模塊執(zhí)行的處理�。
如圖7顯示的處理流程���,在步驟30從包調(diào)度器102接收包之后,攻擊緩解模塊105繼續(xù)到步驟31以指定被存儲在惡意包信息數(shù)據(jù)庫104中的適合于接收到的包的登錄信息�。
接著,在步驟32把記錄在指定的登錄信息內(nèi)的緩解方法應(yīng)用到接收到的包之后�����,在步驟33攻擊緩解模塊105確定傳送包是否是必要的����。當傳送包是必要時,攻擊緩解模塊105繼續(xù)到步驟34以傳送從屬緩解方法的接收到的包至網(wǎng)絡(luò)接口101�。
因此,當從包調(diào)度器102接收到包時��,攻擊緩解模塊105把攻擊緩解方法應(yīng)用到接收到的包并把包傳送到網(wǎng)絡(luò)接口101���。
根據(jù)圖8解釋由終止/恢復(fù)控制106執(zhí)行的處理��。
如圖8所示的處理流程�,在從包調(diào)度器102接收包(登記在惡意包信息數(shù)據(jù)庫104內(nèi)的惡意包)之后���,終止/恢復(fù)控制106繼續(xù)到步驟41以指定存儲在惡意包信息數(shù)據(jù)庫104內(nèi)的適合于接收到的包的登錄信息�����。繼續(xù)到步驟42����,終止/恢復(fù)控制106確定記錄在指定的登錄信息內(nèi)的狀態(tài)信息是否是活動。
根據(jù)確定處理����,當確定記錄在適合于接收到的包的指定的登錄信息的狀態(tài)信息是活動時,終止/恢復(fù)控制106繼續(xù)到步驟43以確定存儲在登錄信息內(nèi)的終止條件是否被滿足���。如果終止條件被滿足�����,那么終止/恢復(fù)控制106繼續(xù)到步驟44以通知終止消息至設(shè)備合作控制107��。
繼續(xù)到步驟45�,終止/恢復(fù)控制106把記錄在指定的登錄信息內(nèi)的狀態(tài)信息從“活動”更轉(zhuǎn)為“終止的”以更新惡意包信息數(shù)據(jù)庫104并結(jié)束處理����。
另一方面��,當在步驟43確定存儲在適合于接收到的包的登錄信息內(nèi)的終止條件沒有被滿足時,終止/恢復(fù)控制106立即結(jié)束處理而不執(zhí)行步驟44和45的處理����。
在步驟42,當確定記錄在適合于接收到的包的指定的登錄信息內(nèi)的狀態(tài)信息不是活動時����,也就是說,被終止時����,終止/恢復(fù)控制106繼續(xù)到步驟46以確定存儲在登錄信息內(nèi)的恢復(fù)條件是否被滿足。當恢復(fù)條件被滿足時����,終止/恢復(fù)控制106繼續(xù)到步驟47以通知恢復(fù)消息至設(shè)備合作控制107。
繼續(xù)到步驟48��。終止/恢復(fù)控制106把記錄在指定的登錄信息內(nèi)的狀態(tài)信息從“終止的”更轉(zhuǎn)為“活動”以更新惡意包信息數(shù)據(jù)庫104�����,然后接觸處理���。
另一方面���,當在步驟41確定存儲在適合于接收到的包的登錄信息內(nèi)的恢復(fù)條件不被滿足時���,終止/恢復(fù)控制106立即結(jié)束處理而不執(zhí)行步驟47和48的處理。
因此����,在從包調(diào)度器102接收在惡意包信息數(shù)據(jù)庫104內(nèi)登記的惡意包之后,當緩解方法是活動的(正在被執(zhí)行)時候���,終止/恢復(fù)控制106確定終止條件是否被滿足��。當終止條件被滿足時�����,終止/恢復(fù)106通知終止信息到設(shè)備合作控制107����。另一方面����,當緩解方法被終止時,終止/恢復(fù)控制106確定恢復(fù)條件是否被滿足����。當恢復(fù)條件被滿足時,終止/恢復(fù)控制106通知恢復(fù)消息至設(shè)備合作控制107�����。
根據(jù)圖9和圖10的處理流程解釋由設(shè)備合作控制107執(zhí)行的處理��。
如圖9和圖10顯示的處理流程�����,當在步驟50確定終止消息被從另一設(shè)備發(fā)送(通過由包括在其他設(shè)備內(nèi)的設(shè)備合作控制107執(zhí)行在步驟54的處理)時����,在步驟51設(shè)備合作控制107通過使用包括在接收到的終止消息內(nèi)的惡意包信息作為搜索關(guān)鍵字搜索設(shè)備合作控制數(shù)據(jù)庫108以指定存儲在設(shè)備合作控制數(shù)據(jù)庫108內(nèi)的相關(guān)登錄信息,并把記錄在指定的登錄信息內(nèi)的目的(具有發(fā)送的終止消息的設(shè)備)狀態(tài)從“活動”更轉(zhuǎn)為“結(jié)束”(等同于終止)���。
繼續(xù)到步驟52�����,設(shè)備合作控制107確定記錄在指定的登錄信息內(nèi)的目的狀態(tài)(包括自己的設(shè)備狀態(tài))是否全部轉(zhuǎn)變?yōu)椤敖Y(jié)束”�����。當確定所有狀態(tài)都是“結(jié)束”時����,設(shè)備合作控制107繼續(xù)到步驟53以確定目的信息是否已經(jīng)在指定的登錄信息內(nèi)所登記。
根據(jù)在步驟52和53的確定處理���,當記錄在指定的登錄信息內(nèi)的目的狀態(tài)(包括自己設(shè)備的狀態(tài))都被轉(zhuǎn)為“結(jié)束”并且發(fā)送者信息被存儲在登錄信息內(nèi)時�����,設(shè)備合作控制107繼續(xù)到步驟54以重新創(chuàng)建包括存儲在登錄信息內(nèi)的惡意包信息的結(jié)束消息�����,并把創(chuàng)建的結(jié)束消息傳送到登記在發(fā)送者信息的設(shè)備����。
當完成結(jié)束消息的傳送時�,在步驟55,設(shè)備合作控制107從設(shè)備合作控制數(shù)據(jù)庫108中刪除登錄信息���。
因此���,當從另一設(shè)備接收結(jié)束消息時�,設(shè)備合作控制107執(zhí)行從步驟50到55的處理����。因此�����,當結(jié)束消息從所有設(shè)備中接收時���,自己的設(shè)備發(fā)送惡意包信息至設(shè)備(位于比自己的設(shè)備更靠近防御邊最前方的設(shè)備)���,以及自己的設(shè)備結(jié)束緩解措施,設(shè)備合作控制107發(fā)送結(jié)束消息到發(fā)送惡意包信息至自己的設(shè)備的設(shè)備(發(fā)送者設(shè)備)���,以及從設(shè)備合作控制數(shù)據(jù)庫108中刪除關(guān)于惡意包信息的登錄信息����。
另一方面�����,當在步驟56確定是否從終止/恢復(fù)控制106中發(fā)送終止消息時,設(shè)備合作控制107使用包括在接收到的終止消息內(nèi)的惡意包信息作為在步驟57的搜索關(guān)鍵字搜索惡意包信息數(shù)據(jù)庫104以指定相關(guān)登錄信息�,并從惡意包信息數(shù)據(jù)庫104中刪除指定的登錄信息。通過該刪除處理��,緩解措施被終止(結(jié)束)�����。
繼續(xù)到步驟58�,設(shè)備合作控制107通過使用被包括在接收到的終止消息內(nèi)的惡意包信息作為搜索關(guān)鍵字搜索設(shè)備合作控制數(shù)據(jù)庫108以指定存儲在設(shè)備合作控制數(shù)據(jù)庫108內(nèi)的相關(guān)登錄信息,并把記錄在指定的登錄信息內(nèi)的相應(yīng)目的(當該程序被使用時為自己的設(shè)備)的狀態(tài)從“活動”更轉(zhuǎn)為“結(jié)束”�����。
繼續(xù)到步驟52����,設(shè)備合作控制107確定記錄在指定的登錄信息內(nèi)的目的狀態(tài)(包括自己設(shè)備的狀態(tài))是否全部變?yōu)椤敖Y(jié)束”。當確定目的的狀態(tài)全部變?yōu)椤敖Y(jié)束”時�����,設(shè)備合作控制107繼續(xù)到步驟53以確定發(fā)送者信息已經(jīng)在指定的登錄信息內(nèi)登記���。
根據(jù)在步驟52和53的確定處理�,當記錄在指定的登錄信息內(nèi)的目的狀態(tài)(包括自己的設(shè)備的狀態(tài))被全部轉(zhuǎn)為“結(jié)束”,并且發(fā)送者信息已經(jīng)在指定的登錄信息內(nèi)被登記時����,設(shè)備合作控制107繼續(xù)到步驟54,在此設(shè)備合作控制107重新生成包括存儲在登錄信息內(nèi)的惡意包信息的結(jié)束消息����,并且發(fā)送生成的結(jié)束消息至在發(fā)送者信息內(nèi)登記的設(shè)備����。
當已經(jīng)發(fā)送結(jié)束消息時,在步驟55設(shè)備合作控制107從設(shè)備合作控制數(shù)據(jù)庫108中刪除登錄信息����。
因此,設(shè)備合作控制107執(zhí)行在步驟56到58的處理并且當從自己的設(shè)備的終止/恢復(fù)控制106中接收終止消息時執(zhí)行步驟52到55的處理�����。相應(yīng)地�����,當已經(jīng)從所有設(shè)備中接收結(jié)束消息時����,自己的設(shè)備發(fā)送惡意包信息至設(shè)備(位于比自己的設(shè)備更靠近防御邊最前方的設(shè)備)���,以及自己的設(shè)備結(jié)束緩解措施,設(shè)備合作控制107發(fā)送結(jié)束消息到發(fā)送惡意包信息至自己的設(shè)備的設(shè)備(發(fā)送者設(shè)備)����,以及從設(shè)備合作控制數(shù)據(jù)庫108中刪除關(guān)于惡意包信息的登錄信息。
另一方面����,當在步驟59確定合作消息是否從另一設(shè)備被發(fā)送(通過由包括在另一設(shè)備內(nèi)的設(shè)備合作控制107在步驟65執(zhí)行的處理)時,在步驟60設(shè)備合作控制107把包括在接收到的合作消息內(nèi)的惡意包信息以及在其內(nèi)把接收到的合作消息的發(fā)送者設(shè)置為發(fā)送者信息的信息登記到設(shè)備合作控制數(shù)據(jù)庫108中�����。
繼續(xù)到步驟61�,設(shè)備合作控制107把惡意包信息登記到惡意包信息數(shù)據(jù)庫104中。
因此����,設(shè)備合作控制107執(zhí)行從步驟59到61的處理,從而基于從其他設(shè)備發(fā)送的合作消息把新的設(shè)備合作信息登記到設(shè)備合作控制數(shù)據(jù)庫108中���,以及把新的惡意包信息登記到惡意包信息數(shù)據(jù)庫104中�。
另一方面,在步驟62�����,當確定登記消息從攻擊檢測模塊103中發(fā)送時����,在步驟63,設(shè)備合作控制107把包括在接收到的登記消息內(nèi)的惡意包信息登記到設(shè)備合作控制數(shù)據(jù)庫108中����。
因此,設(shè)備合作控制107執(zhí)行在步驟62到63的處理���,從而基于從攻擊檢測模塊103發(fā)送的登記消息把新的惡意包信息登記到設(shè)備合作控制數(shù)據(jù)庫108中。
另一方面��,在步驟64���,當確定從攻擊檢測模塊103發(fā)送合作消息時����,設(shè)備合作控制107把接收到的合作消息傳送給另一設(shè)備�。
繼續(xù)到步驟66����,設(shè)備合作控制107通過使用包括在接收到的合作消息內(nèi)的惡意包信息作為搜索關(guān)鍵字搜索設(shè)備合作控制數(shù)據(jù)庫108以指定相關(guān)的登錄信息���,并通過寫在被記錄在指定的登錄信息內(nèi)的發(fā)送者信息中的其他額外發(fā)送合作消息的設(shè)備的信息來更新設(shè)備合作控制數(shù)據(jù)庫108��。
因此��,設(shè)備合作控制107執(zhí)行步驟64到66的處理�,從而把從攻擊檢測模塊103發(fā)送的合作消息發(fā)送到另一設(shè)備����,以及基于合作消息更新存儲在設(shè)備合作控制數(shù)據(jù)庫108內(nèi)的設(shè)備合作信息。
另一方面�,當在步驟67確定恢復(fù)消息從終止/恢復(fù)控制106發(fā)送時,設(shè)備合作控制107通過使用包括在接收到的恢復(fù)消息內(nèi)的惡意包信息作為搜索關(guān)鍵字搜索設(shè)備合作控制數(shù)據(jù)庫108以指定相關(guān)登錄信息��,以及把在登記在指定的登錄信息內(nèi)的發(fā)送者信息內(nèi)的自己的設(shè)備狀態(tài)從“結(jié)束”更轉(zhuǎn)為“活動”���。
繼續(xù)到步驟69��,設(shè)備合作控制107把包括在接收到的恢復(fù)消息內(nèi)的惡意包信息登記到惡意包信息數(shù)據(jù)庫104中�����。
因此�,設(shè)備合作控制107執(zhí)行步驟67到69的處理,從而執(zhí)行針對攻擊的緩解措施的重新執(zhí)行�。
因此,根據(jù)本發(fā)明�,即使本發(fā)明的各個網(wǎng)絡(luò)攻擊緩解設(shè)備分別執(zhí)行確定以通過執(zhí)行攻擊緩解措施的終止處理來終止攻擊緩解措施,在不形成在被保護的網(wǎng)絡(luò)內(nèi)的弱點的情況下����,在其中設(shè)備執(zhí)行攻擊緩解措施和設(shè)備對攻擊的恢復(fù)做準備的出現(xiàn)的范圍可被會聚。當攻擊恢復(fù)時�����,在會聚期間的設(shè)備可立即執(zhí)行針對攻擊的緩解措施���,并且設(shè)備再次通知攻擊信息到其他設(shè)備,從而擴大防御范圍�。
通過各個處理器的操作而實現(xiàn)的本發(fā)明的網(wǎng)絡(luò)攻擊緩解方法也可由計算機程序來實現(xiàn)。計算機程序由在適當?shù)挠涗浗橘|(zhì)上記錄或通過網(wǎng)絡(luò)所提供��,并在執(zhí)行本發(fā)明的時候在諸如CPU的控制器上安裝運行�,從而實現(xiàn)本發(fā)明。
權(quán)利要求
1.一種連接多個網(wǎng)絡(luò)攻擊緩解設(shè)備合作而進行防御來自攻擊者設(shè)備的對于網(wǎng)絡(luò)攻擊緩解設(shè)備的攻擊的網(wǎng)絡(luò)攻擊緩解方法��,其中,所述攻擊者設(shè)備使用發(fā)送非必需包對網(wǎng)絡(luò)上的設(shè)備或網(wǎng)絡(luò)進行攻擊��,所述方法包括基于比所述網(wǎng)絡(luò)攻擊緩解設(shè)備更靠近攻擊者設(shè)備的第一網(wǎng)絡(luò)攻擊緩解設(shè)備是否正在執(zhí)行針對攻擊的緩解措施����、或正在對攻擊的恢復(fù)做準備的、或已經(jīng)終止針對攻擊的緩解措施并返回正常狀態(tài)來確定是否當針對攻擊的緩解措施響應(yīng)于攻擊的終止而被終止時����,對攻擊的恢復(fù)做準備是否是必要的;當在確定處確定對攻擊的恢復(fù)做準備是不必要時�,刪除與攻擊有關(guān)的信息并導(dǎo)致網(wǎng)絡(luò)攻擊緩解設(shè)備返回正常狀態(tài);以及當在確定處確定對攻擊的恢復(fù)做準備是必要時�,在不刪除與攻擊有關(guān)的信息的情況下對攻擊的恢復(fù)做準備。
2.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)攻擊緩解方法�����,其特征在于���,所述確定包括根據(jù)是否存在位于比網(wǎng)絡(luò)攻擊緩解設(shè)備更靠近攻擊者設(shè)備的第一網(wǎng)絡(luò)攻擊緩解設(shè)備確定對攻擊的恢復(fù)做準備是否是必要的�����。
3.根據(jù)權(quán)利要求1或2所述的網(wǎng)絡(luò)攻擊緩解方法���,其特征在于���,進一步包括通知與攻擊有關(guān)的信息至比網(wǎng)絡(luò)攻擊緩解設(shè)備更靠近攻擊者設(shè)備的其他網(wǎng)絡(luò)攻擊緩解設(shè)備作為針對攻擊的緩解措施,其中確定包括基于如攻擊信息的目的的其他網(wǎng)絡(luò)攻擊緩解設(shè)備是否已經(jīng)返回正常狀態(tài)來確定對攻擊的恢復(fù)做準備是否是必要的�����。
4.根據(jù)權(quán)利要求3所述的網(wǎng)絡(luò)攻擊緩解方法�����,其特征在于�,所述確定包括確定當所有其他如攻擊信息目的的網(wǎng)絡(luò)攻擊緩解設(shè)備已經(jīng)返回正常狀態(tài)時,對攻擊的恢復(fù)做準備是不必要的��。
5.根據(jù)權(quán)利要求3或4所述的網(wǎng)絡(luò)攻擊緩解方法�,其特征在于,進一步包括當網(wǎng)絡(luò)攻擊緩解設(shè)備刪除攻擊信息并返回正常狀態(tài)時�����,通知返回正常狀態(tài)至其他如與攻擊有關(guān)的信息的目的的網(wǎng)絡(luò)攻擊緩解設(shè)備��,其中在從所有其他如攻擊信息的目的的網(wǎng)絡(luò)攻擊緩解設(shè)備中接收表明網(wǎng)絡(luò)攻擊緩解設(shè)備已經(jīng)返回正常狀態(tài)的通知后�,確定包括確定對攻擊的恢復(fù)做準備是不必要的。
6.一種連接多個網(wǎng)絡(luò)攻擊緩解設(shè)備合作而進行防御來自攻擊者設(shè)備的對于網(wǎng)絡(luò)攻擊緩解設(shè)備的攻擊的網(wǎng)絡(luò)攻擊緩解設(shè)備�,其中,所述攻擊者設(shè)備使用發(fā)送非必需包對網(wǎng)絡(luò)上的設(shè)備或網(wǎng)絡(luò)進行攻擊��,包括確定單元��,所述確定單元基于比所述網(wǎng)絡(luò)攻擊緩解設(shè)備更靠近攻擊者設(shè)備的第一網(wǎng)絡(luò)攻擊緩解設(shè)備是否正在執(zhí)行針對攻擊的緩解措施���、或正在對攻擊的恢復(fù)做準備的���、或已經(jīng)終止針對攻擊的緩解措施并返回正常狀態(tài)來確定是否當針對攻擊的緩解措施響應(yīng)于攻擊的終止而被終止時,對攻擊的恢復(fù)做準備是否是必要的�;返回單元,所述返回單元當確定單元確定對攻擊的恢復(fù)做準備是不必要時�����,刪除與攻擊有關(guān)的信息并導(dǎo)致網(wǎng)絡(luò)攻擊緩解設(shè)備返回正常狀態(tài)���;以及恢復(fù)準備單元�����,所述恢復(fù)準備單元當確定單元確定對攻擊的恢復(fù)做準備是必要時����,在不刪除與攻擊有關(guān)的信息的情況下對攻擊的恢復(fù)做準備。
7.根據(jù)權(quán)利要求6所述的網(wǎng)絡(luò)攻擊緩解設(shè)備����,其特征在于,所述確定單元根據(jù)是否存在位于比網(wǎng)絡(luò)攻擊緩解設(shè)備更靠近攻擊者設(shè)備的第一網(wǎng)絡(luò)攻擊緩解設(shè)備確定對攻擊的恢復(fù)做準備是否是必要的�。
8.根據(jù)權(quán)利要求6或7所述的網(wǎng)絡(luò)攻擊緩解設(shè)備,其特征在于����,進一步包括攻擊通知單元,所述攻擊通知單元通知與攻擊有關(guān)的信息至比網(wǎng)絡(luò)攻擊緩解設(shè)備更靠近攻擊者設(shè)備的其他網(wǎng)絡(luò)攻擊緩解設(shè)備作為針對攻擊的緩解措施��,其中確定單元基于如攻擊信息的目的的其他網(wǎng)絡(luò)攻擊緩解設(shè)備是否已經(jīng)返回正常狀態(tài)來確定對攻擊的恢復(fù)做準備是否是必要的�����。
9.根據(jù)權(quán)利要求8所述的網(wǎng)絡(luò)攻擊緩解設(shè)備��,其特征在于�,所述確定單元確定當所有其他如攻擊信息目的的網(wǎng)絡(luò)攻擊緩解設(shè)備已經(jīng)返回正常狀態(tài)時,對攻擊的恢復(fù)做準備是不必要的���。
10.根據(jù)權(quán)利要求8或9所述的網(wǎng)絡(luò)攻擊緩解設(shè)備��,其特征在于�����,進一步包括返回通知單元��,所述返回通知單元當網(wǎng)絡(luò)攻擊緩解設(shè)備刪除攻擊信息并返回正常狀態(tài)時���,通知返回正常狀態(tài)至其他如與攻擊有關(guān)的信息的目的的網(wǎng)絡(luò)攻擊緩解設(shè)備,其中在從所有其他如攻擊信息的目的的網(wǎng)絡(luò)攻擊緩解設(shè)備中接收表明網(wǎng)絡(luò)攻擊緩解設(shè)備已經(jīng)返回正常狀態(tài)的通知后��,確定單元確定對攻擊的恢復(fù)做準備是不必要的����。
11.一網(wǎng)絡(luò)攻擊緩解程序,所述網(wǎng)絡(luò)攻擊緩解程序執(zhí)行一種連接多個網(wǎng)絡(luò)攻擊緩解設(shè)備合作而進行防御來自攻擊者設(shè)備的對于網(wǎng)絡(luò)攻擊緩解設(shè)備的攻擊的網(wǎng)絡(luò)攻擊緩解設(shè)備�����,其中�,所述攻擊者設(shè)備使用發(fā)送非必需包對網(wǎng)絡(luò)上的設(shè)備或網(wǎng)絡(luò)進行攻擊,所述計算機程序?qū)е戮W(wǎng)絡(luò)攻擊緩解設(shè)備執(zhí)行基于比所述網(wǎng)絡(luò)攻擊緩解設(shè)備更靠近攻擊者設(shè)備的第一網(wǎng)絡(luò)攻擊緩解設(shè)備是否正在執(zhí)行針對攻擊的緩解措施����、或正在對攻擊的恢復(fù)做準備的�、或已經(jīng)終止針對攻擊的緩解措施并返回正常狀態(tài)來確定是否當針對攻擊的緩解措施響應(yīng)于攻擊的終止而被終止時�,對攻擊的恢復(fù)做準備是否是必要的;當在確定處確定對攻擊的恢復(fù)做準備是不必要時����,刪除與攻擊有關(guān)的信息并導(dǎo)致網(wǎng)絡(luò)攻擊緩解設(shè)備返回正常狀態(tài);以及當在確定處確定對攻擊的恢復(fù)做準備是必要時����,在不刪除與攻擊有關(guān)的信息的情況下對攻擊的恢復(fù)做準備。
12.根據(jù)權(quán)利要求11所述的網(wǎng)絡(luò)攻擊緩解程序���,其特征在于��,所述確定包括根據(jù)是否存在位于比網(wǎng)絡(luò)攻擊緩解設(shè)備更靠近攻擊者設(shè)備的第一網(wǎng)絡(luò)攻擊緩解設(shè)備確定對攻擊的恢復(fù)做準備是否是必要的����。
13.根據(jù)權(quán)利要求11或12所述的網(wǎng)絡(luò)攻擊緩解程序�����,其特征在于���,進一步導(dǎo)致網(wǎng)絡(luò)攻擊緩解設(shè)備執(zhí)行通知與攻擊有關(guān)的信息至比網(wǎng)絡(luò)攻擊緩解設(shè)備更靠近攻擊者設(shè)備的其他網(wǎng)絡(luò)攻擊緩解設(shè)備作為針對攻擊的緩解措施�,其中確定包括基于如攻擊信息的目的的其他網(wǎng)絡(luò)攻擊緩解設(shè)備是否已經(jīng)返回正常狀態(tài)來確定對攻擊的恢復(fù)做準備是否是必要的。
14.根據(jù)權(quán)利要求13所述的網(wǎng)絡(luò)攻擊緩解程序�����,其特征在于�����,所述確定包括確定當所有其他如攻擊信息目的的網(wǎng)絡(luò)攻擊緩解設(shè)備已經(jīng)返回正常狀態(tài)時�,對攻擊的恢復(fù)做準備是不必要的��。
15.根據(jù)權(quán)利要求13或14所述的網(wǎng)絡(luò)攻擊緩解程序��,其特征在于���,進一步導(dǎo)致當網(wǎng)絡(luò)攻擊緩解設(shè)備刪除攻擊信息并返回正常狀態(tài)時����,網(wǎng)絡(luò)攻擊緩解設(shè)備執(zhí)行通知返回正常狀態(tài)至其他如與攻擊有關(guān)的信息的目的的網(wǎng)絡(luò)攻擊緩解設(shè)備���,其中在從所有其他如攻擊信息的目的的網(wǎng)絡(luò)攻擊緩解設(shè)備中接收表明網(wǎng)絡(luò)攻擊緩解設(shè)備已經(jīng)返回正常狀態(tài)的通知后���,確定包括確定對攻擊的恢復(fù)做準備是不必要的�����。
全文摘要
當攻擊終止時���,針對攻擊的緩解措施終止。此時��,網(wǎng)絡(luò)攻擊緩解設(shè)備確定是否存在位于比自己的設(shè)備更靠近攻擊者設(shè)備以及與自己的設(shè)備合作執(zhí)行針對攻擊的緩解措施�、或?qū)舻幕謴?fù)做準備的網(wǎng)絡(luò)攻擊緩解設(shè)備,從而確定對攻擊的恢復(fù)做準備是否是必要的�。根據(jù)這個確定功能,當確定對攻擊的恢復(fù)做準備是不必要時�����,網(wǎng)絡(luò)攻擊緩解設(shè)備刪除關(guān)于攻擊的信息并返回正常狀態(tài)��。另一方面��,當確定對攻擊的恢復(fù)做準備是必要時��,網(wǎng)絡(luò)攻擊緩解設(shè)備對攻擊的恢復(fù)做準備而不刪除關(guān)于攻擊的信息。
文檔編號H04L29/06GK1788475SQ20058000035
公開日2006年6月14日 申請日期2005年5月12日 優(yōu)先權(quán)日2004年5月12日
發(fā)明者副島裕司, 大西真樹, 冨士仁 申請人:日本電信電話株式會社