專利名稱:防止網(wǎng)關(guān)系統(tǒng)會(huì)話資源被惡意耗盡的方法及裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)關(guān)系統(tǒng)領(lǐng)域,具體是防止網(wǎng)關(guān)系統(tǒng)會(huì)話資源被惡意耗盡的方法及裝置�。
背景技術(shù):
互聯(lián)網(wǎng)中,客戶端和服務(wù)器端之間的連接簡(jiǎn)稱會(huì)話��,一般而言����,靠五元組(即源地址/目標(biāo)地址/源端口/目標(biāo)端口/協(xié)議類型)區(qū)分一個(gè)會(huì)話。網(wǎng)關(guān)設(shè)備是部署在某個(gè)企業(yè)或其他組織網(wǎng)絡(luò)出口的網(wǎng)絡(luò)設(shè)備��,一般具備路由轉(zhuǎn)發(fā)�����、防火墻�、ACL(Access Control List,訪問控制列表)控制、流量整形功能��。傳統(tǒng)網(wǎng)關(guān)是非狀態(tài)的防火墻或路由器�,它們不需要記錄會(huì)話信息;但隨著企業(yè)或其他組織對(duì)網(wǎng)絡(luò)行為控制需求的增多��,新型的主流網(wǎng)關(guān)設(shè)備基本上已經(jīng)演變成了具備記錄會(huì)話狀態(tài)功能的網(wǎng)絡(luò)設(shè)備���,除了具備傳統(tǒng)網(wǎng)關(guān)設(shè)備的功能外��,還需要記錄和跟蹤經(jīng)過設(shè)備的網(wǎng)絡(luò)數(shù)據(jù)會(huì)話�。主機(jī)感染病毒之后,不但會(huì)以主機(jī)正常的IP地址發(fā)起攻擊����,而且還會(huì)偽造源IP地址和端口發(fā)起攻擊數(shù)據(jù)包,其行為一般呈散射狀�,即是只存在少量的目的地址和端口,而存在大量的隨機(jī)源地址和端口���。防止類似攻擊的方案有很多���,但傳統(tǒng)的思路都是在保護(hù)服務(wù)器,而忽略了作為網(wǎng)絡(luò)接口設(shè)備的網(wǎng)關(guān)本身�。當(dāng)前述攻擊數(shù)據(jù)包通過網(wǎng)關(guān)設(shè)備時(shí),就會(huì)產(chǎn)生大量的新建會(huì)話請(qǐng)求���,由于目前新型的主流網(wǎng)關(guān)設(shè)備會(huì)話跟蹤機(jī)制的限制����,短時(shí)間內(nèi)出現(xiàn)大量的新建請(qǐng)求時(shí)�,很容易導(dǎo)致網(wǎng)關(guān)設(shè)備的會(huì)話資源耗盡,使得正常的新建會(huì)話請(qǐng)求無法處理����,從而導(dǎo)致正常的主機(jī)通信無法完成。一般而言���,主機(jī)規(guī)模在10000臺(tái)左右的企業(yè)或組織��,其出口網(wǎng)關(guān)上需要百萬級(jí)的會(huì)話支持�����,才能保證正常情況下的數(shù)據(jù)交互處理�����。然而��,當(dāng)存在異常主機(jī)(如感染病毒或執(zhí)行惡意代碼)�,數(shù)臺(tái)異常主機(jī)即可導(dǎo)致網(wǎng)關(guān)系統(tǒng)的會(huì)話資源耗盡�����,從而影響正常主機(jī)起的會(huì)話建立請(qǐng)求����,進(jìn)而影響企業(yè)網(wǎng)絡(luò)的正常運(yùn)行�。
發(fā)明內(nèi)容
本發(fā)明的主要目的是提供一種防止網(wǎng)關(guān)系統(tǒng)會(huì)話資源被惡意耗盡的方法�,旨在當(dāng)存在惡意攻擊的情形下,保證網(wǎng)關(guān)系統(tǒng)正常的連接請(qǐng)求不受影響���。本發(fā)明提出一種防止網(wǎng)關(guān)系統(tǒng)會(huì)話資源被惡意耗盡的方法����,具體包括步驟接收主機(jī)發(fā)送的會(huì)話請(qǐng)求�����;跟蹤并檢測(cè)所述會(huì)話請(qǐng)求是否有后續(xù)的數(shù)據(jù)交互����,若有則判定所述會(huì)話請(qǐng)求為正常會(huì)話請(qǐng)求并將所述正常會(huì)話請(qǐng)求的源IP地址添加至已知IP地址列表,否則判定所述會(huì)話請(qǐng)求為異常會(huì)話請(qǐng)求并統(tǒng)計(jì)所述異常會(huì)話請(qǐng)求的數(shù)量��;當(dāng)所述異常會(huì)話請(qǐng)求的數(shù)量超過安全閾值時(shí)�,使網(wǎng)關(guān)系統(tǒng)進(jìn)入異常工作模式并放棄所述異常會(huì)話請(qǐng)求,或是限制每秒所述異常會(huì)話請(qǐng)求的通過數(shù)�����。優(yōu)選地,當(dāng)網(wǎng)關(guān)系統(tǒng)處于所述異常工作模式時(shí)��,判斷發(fā)送會(huì)話請(qǐng)求的IP地址是否處于已知IP地址列表中�����,若是��,則完成會(huì)話����,否則���,丟棄所述會(huì)話請(qǐng)求����。
優(yōu)選地�����,當(dāng)系統(tǒng)進(jìn)入異常工作模式后����,判斷異常會(huì)話請(qǐng)求減少到安全閾值以內(nèi)并持續(xù)一段時(shí)間后���,將網(wǎng)關(guān)系統(tǒng)切換回正常狀態(tài)。優(yōu)選地�����,當(dāng)已知IP地址列表中某一 IP地址超時(shí)未刷新時(shí)����,將所述超時(shí)未刷新的IP 地址從已知IP地址列表中刪除。優(yōu)選地��,所述網(wǎng)關(guān)系統(tǒng)接受用戶的輸入設(shè)置所述安全閾值����。本發(fā)明還提出一種防止網(wǎng)關(guān)系統(tǒng)會(huì)話資源被惡意耗盡的裝置,具體包括接收模塊����,用于接收主機(jī)發(fā)送的會(huì)話請(qǐng)求;第一判斷模塊���,用于跟蹤并檢測(cè)所述會(huì)話請(qǐng)求是否有后續(xù)的數(shù)據(jù)交互�,若有則判定所述會(huì)話請(qǐng)求為正常會(huì)話請(qǐng)求并將所述正常會(huì)話請(qǐng)求的源IP地址添加至已知IP地址列表,否則判定所述會(huì)話請(qǐng)求為異常會(huì)話請(qǐng)求并統(tǒng)計(jì)所述異常會(huì)話請(qǐng)求的數(shù)量���;第一切換模塊�,用于當(dāng)所述異常會(huì)話請(qǐng)求的數(shù)量超過安全閾值時(shí)�����,使網(wǎng)關(guān)系統(tǒng)進(jìn)入異常工作模式并放棄所述異常會(huì)話請(qǐng)求���,或是限制每秒所述異常會(huì)話請(qǐng)求的通過數(shù)。優(yōu)選地����,所述裝置還包括第二判斷模塊,所述第二判斷模塊用于當(dāng)網(wǎng)關(guān)系統(tǒng)處于所述異常工作模式時(shí)�����,判斷發(fā)送會(huì)話請(qǐng)求的IP地址是否處于已知IP地址列表中��,若是�����,則完成所述會(huì)話請(qǐng)求,否則�,丟棄所述會(huì)話請(qǐng)求。優(yōu)選地����,所述裝置還包括第二切換模塊,所述第二切換模塊還用于當(dāng)系統(tǒng)進(jìn)入異常工作模式后��,判斷所述異常會(huì)話請(qǐng)求減少到安全閾值以內(nèi)并持續(xù)一段時(shí)間后�����,將網(wǎng)關(guān)系統(tǒng)切換回正常狀態(tài)��。優(yōu)選地����,所述裝置還包括IP地址刷新模塊,用于當(dāng)已知IP地址列表中某一 IP地址超時(shí)未刷新時(shí)�����,將所述IP地址從已知IP地址列表中刪除����。優(yōu)選地���,所述裝置還包括閾值設(shè)置模塊,所述閾值設(shè)置模塊用于接受用戶的輸入設(shè)置安全閾值��。本發(fā)明提出的防止網(wǎng)關(guān)系統(tǒng)會(huì)話資源被惡意耗盡的方法�����,記錄存在正常數(shù)據(jù)交互的IP地址����,當(dāng)網(wǎng)關(guān)系統(tǒng)統(tǒng)計(jì)到某一主機(jī)感染病毒發(fā)起大量異常會(huì)話請(qǐng)求時(shí),限制異常會(huì)話請(qǐng)求�����,以使正常會(huì)話請(qǐng)求不被影響�����,從而保證了網(wǎng)關(guān)系統(tǒng)的正常通信�����。
圖I為本發(fā)明實(shí)施例提供的防止網(wǎng)關(guān)系統(tǒng)會(huì)話資源被惡意耗盡的方法的步驟流程 閱圖2為本發(fā)明防止網(wǎng)關(guān)系統(tǒng)會(huì)話資源被惡意耗盡的裝置一實(shí)施例中的結(jié)構(gòu)示意圖;
圖3為本發(fā)明防止網(wǎng)關(guān)系統(tǒng)會(huì)話資源被惡意耗盡的裝置另一實(shí)施例中的結(jié)構(gòu)示意圖4為本發(fā)明防止網(wǎng)關(guān)系統(tǒng)會(huì)話資源被惡意耗盡的裝置另一實(shí)施例中的結(jié)構(gòu)示意圖5為本發(fā)明防止網(wǎng)關(guān)系統(tǒng)會(huì)話資源被惡意耗盡的裝置另一實(shí)施例中的結(jié)構(gòu)示意圖�。
本發(fā)明目的的實(shí)現(xiàn)、功能特點(diǎn)及優(yōu)點(diǎn)將結(jié)合實(shí)施例���,參照附圖做進(jìn)一步說明�����。
具體實(shí)施例方式為了使本發(fā)明的目的�����、技術(shù)方案及優(yōu)點(diǎn)更加清楚明白��,以下結(jié)合附圖及實(shí)施例�,對(duì)本發(fā)明進(jìn)行進(jìn)一步詳細(xì)說明�����。應(yīng)當(dāng)理解���,此處所描述的具體實(shí)施例僅僅用以解釋本發(fā)明�,并不用于限定本發(fā)明。本發(fā)明提出防止網(wǎng)關(guān)系統(tǒng)會(huì)話資源被惡意耗盡的方法及裝置,為了能更好的說明本發(fā)明的實(shí)施例����,這里先對(duì)一些本發(fā)明采用的定義進(jìn)行描述正常會(huì)話請(qǐng)求某一主機(jī)發(fā)送的會(huì)話請(qǐng)求具有實(shí)質(zhì)的數(shù)據(jù)交互�����,該類會(huì)話請(qǐng)求為正常會(huì)話請(qǐng)求��。異常會(huì)話請(qǐng)求主機(jī)感染病毒以后�����,不但會(huì)以自己正常的IP地址通過網(wǎng)關(guān)系統(tǒng)向服務(wù)器發(fā)出請(qǐng)求��,而且會(huì)偽造源地址和端口發(fā)起攻擊數(shù)據(jù)流��,其行為一般呈散射狀���,即只有少量的目的地址和端口,大量的隨機(jī)源地址和端口���,該類會(huì)話請(qǐng)求為異常會(huì)話請(qǐng)求����。參照?qǐng)D1���,圖I為本實(shí)施例提供的防止網(wǎng)關(guān)系統(tǒng)會(huì)話資源被惡意耗盡的方法的步驟流程圖����,本方法具體包括步驟SllO :接收主機(jī)發(fā)送的會(huì)話請(qǐng)求;在正常工作模式下����,網(wǎng)關(guān)系統(tǒng)接收主機(jī)發(fā)送的會(huì)話請(qǐng)求。S120:跟蹤并檢測(cè)該會(huì)話請(qǐng)求是否有后續(xù)的數(shù)據(jù)交互���,若是�,則判定該會(huì)話請(qǐng)求為正常會(huì)話請(qǐng)求��,并執(zhí)行步驟S121�����,若否�,則判定該會(huì)話請(qǐng)求為異常會(huì)話請(qǐng)求,并執(zhí)行步驟 S122 ���;S121 :將正常會(huì)話請(qǐng)求的源IP地址添加至已知IP地址列表��;S122 :統(tǒng)計(jì)異常會(huì)話請(qǐng)求的數(shù)量���;在網(wǎng)關(guān)系統(tǒng)中建立已知IP地址列表����,該已知IP地址列表可以采用布隆過濾器的數(shù)據(jù)結(jié)構(gòu)���,也可以采用哈希表結(jié)構(gòu)及其他數(shù)據(jù)結(jié)構(gòu)����。網(wǎng)關(guān)系統(tǒng)接收會(huì)話請(qǐng)求后����,根據(jù)該會(huì)話請(qǐng)求的源地址、目標(biāo)地址�、源端口、目標(biāo)端口以及協(xié)議類型建立會(huì)話��。網(wǎng)關(guān)系統(tǒng)記錄每一個(gè)會(huì)話過程��,并跟蹤該會(huì)話請(qǐng)求是否有后續(xù)的數(shù)據(jù)交互�,當(dāng)存在后續(xù)的數(shù)據(jù)交互時(shí)�,則判定該會(huì)話請(qǐng)求為正常會(huì)話請(qǐng)求完成正常的數(shù)據(jù)交互,同時(shí)將該會(huì)話的源IP地址添加至已知IP 地址列表中�,其中��,該源IP地址可以為內(nèi)網(wǎng)的IP地址����,也可以是外網(wǎng)的IP地址��,對(duì)連接發(fā)起源所處的具體部署位置不做限制�����,記錄來自內(nèi)網(wǎng)或者外網(wǎng)的IP地址�����,可以同時(shí)防護(hù)來自內(nèi)網(wǎng)或者外網(wǎng)的攻擊����。當(dāng)網(wǎng)關(guān)系統(tǒng)未跟蹤到后續(xù)的數(shù)據(jù)交互時(shí),則判定該會(huì)話請(qǐng)求為異常會(huì)話請(qǐng)求并統(tǒng)計(jì)每秒異常會(huì)話請(qǐng)求的數(shù)量����。S130:當(dāng)異常會(huì)話請(qǐng)求的數(shù)量超過安全閾值時(shí),使網(wǎng)關(guān)系統(tǒng)進(jìn)入異常工作模式并放棄該異常會(huì)話請(qǐng)求�����,或是限制每秒異常會(huì)話請(qǐng)求的通過數(shù);當(dāng)統(tǒng)計(jì)到的每秒異常會(huì)話請(qǐng)求的數(shù)量超過預(yù)置的安全閾值時(shí)�,網(wǎng)關(guān)系統(tǒng)進(jìn)入異常工作模式并放棄異常會(huì)話請(qǐng)求。在其他的實(shí)施例中���,網(wǎng)關(guān)系統(tǒng)可接受用戶的輸入配置安全閾值的大小����,該安全閾值的大小可以由用戶根據(jù)實(shí)際的網(wǎng)絡(luò)環(huán)境確定�。在異常工作模式下, 網(wǎng)關(guān)系統(tǒng)還可以采用限制每秒異常會(huì)話請(qǐng)求的通過數(shù)來防止網(wǎng)關(guān)系統(tǒng)會(huì)話資源被惡意耗盡�����,該通過數(shù)可以由用戶根據(jù)網(wǎng)絡(luò)狀況以及硬件配置進(jìn)行設(shè)置���。例如�����,對(duì)于一個(gè)主機(jī)數(shù)量在 1000個(gè)的企業(yè)網(wǎng)絡(luò)中�����,正常情況下��,每秒的新建會(huì)話請(qǐng)求數(shù)量為10000個(gè)���,當(dāng)該企業(yè)網(wǎng)絡(luò)中有主機(jī)發(fā)送大量異常會(huì)話請(qǐng)求時(shí),網(wǎng)關(guān)系統(tǒng)進(jìn)入到異常會(huì)話模式�,用戶設(shè)置此時(shí)允許通過的異常會(huì)話請(qǐng)求數(shù)量為30000個(gè),此時(shí)網(wǎng)關(guān)系統(tǒng)限制每秒異常會(huì)話請(qǐng)求的通過數(shù)為30000個(gè)���,超過該通過數(shù)的異常會(huì)話請(qǐng)求將會(huì)被限制�。當(dāng)網(wǎng)關(guān)系統(tǒng)處于所述異常工作模式時(shí)�����,判斷發(fā)送會(huì)話請(qǐng)求的IP地址是否處于已知IP地址列表中����,若是,則完成會(huì)話����,否則,丟棄所述會(huì)話請(qǐng)求����。在異常工作模式下���,當(dāng)主機(jī)發(fā)送會(huì)話請(qǐng)求時(shí),網(wǎng)關(guān)系統(tǒng)查找已知IP地址列表中是否存在該IP地址�����,當(dāng)查找到該IP地址時(shí)����,則為該會(huì)話請(qǐng)求建立會(huì)話通道,當(dāng)無法查找到該IP地址時(shí)�����,則丟棄該會(huì)話請(qǐng)求�����。當(dāng)系統(tǒng)進(jìn)入異常工作模式后��,判斷異常會(huì)話請(qǐng)求減少到安全閾值以內(nèi)并持續(xù)一段時(shí)間后���,將網(wǎng)關(guān)系統(tǒng)切換回正常工作模式�,不再對(duì)未知主機(jī)的新建請(qǐng)求做限制。本發(fā)明提供的防止網(wǎng)關(guān)系統(tǒng)會(huì)話資源被惡意耗盡的方法��,為網(wǎng)關(guān)系統(tǒng)設(shè)置異常工作模式�,在異常工作模式下,對(duì)來自未知IP地址的會(huì)話請(qǐng)求進(jìn)行限制�����,保證已知IP地址列表中正常的會(huì)話請(qǐng)求不受影響�����,從而防止了網(wǎng)關(guān)系統(tǒng)中有限的會(huì)話資源被惡意耗盡����,保證了網(wǎng)關(guān)系統(tǒng)的正常通信�。在前述實(shí)施例的基礎(chǔ)上,本實(shí)施例中���,網(wǎng)關(guān)系統(tǒng)在記錄正常會(huì)話記錄源IP地址的同時(shí)��,還記錄該正常會(huì)話記錄會(huì)話的時(shí)間點(diǎn)����。當(dāng)某個(gè)源IP地址超時(shí)未刷新時(shí),網(wǎng)關(guān)系統(tǒng)將 IP地址從已知IP地址列表中刪除����。網(wǎng)關(guān)系統(tǒng)對(duì)于IP地址的記錄具備一定的時(shí)效性,防止了已知IP地址列表中IP地址的冗余���,加快了網(wǎng)關(guān)系統(tǒng)的處理速度��。參照?qǐng)D2��,圖2為本發(fā)明實(shí)施例提供的防止網(wǎng)關(guān)系統(tǒng)會(huì)話資源被惡意耗盡的裝置����, 該裝置可以作為被保護(hù)網(wǎng)關(guān)系統(tǒng)內(nèi)部的一個(gè)裝置����,也可以作為獨(dú)立設(shè)備而串接至網(wǎng)關(guān)鏈路上,該裝置具體包括接收模塊210��,用于接收主機(jī)發(fā)送的會(huì)話請(qǐng)求��;判斷模塊211��,用于跟蹤并檢測(cè)所述會(huì)話請(qǐng)求是否有后續(xù)的數(shù)據(jù)交互�����,若有則判斷所述會(huì)話請(qǐng)求為正常會(huì)話請(qǐng)求并將所述正常會(huì)話請(qǐng)求的源IP地址添加至已知IP地址列表,否則判斷所述會(huì)話請(qǐng)求為異常會(huì)話請(qǐng)求并統(tǒng)計(jì)所述異常會(huì)話請(qǐng)求的數(shù)量���;第一切換模塊212���,用于當(dāng)所述異常會(huì)話請(qǐng)求的數(shù)量超過安全閾值時(shí),使系統(tǒng)進(jìn)入異常工作模式并放棄所述異常會(huì)話請(qǐng)求�,或是限制每秒異常會(huì)話請(qǐng)求的通過數(shù)�。在正常工作模式下,接受模塊210接收主機(jī)發(fā)送的會(huì)話請(qǐng)求���。在網(wǎng)關(guān)系統(tǒng)中建立已知IP地址列表�,該已知IP地址列表可以采用布隆過濾器的數(shù)據(jù)結(jié)構(gòu)�����,也可以采用哈希表結(jié)構(gòu)及其他數(shù)據(jù)結(jié)構(gòu)��。接收模塊210接收會(huì)話請(qǐng)求后���,根據(jù)該會(huì)話請(qǐng)求的源地址����、目標(biāo)地址、源端口��、目標(biāo)端口以及協(xié)議類型建立會(huì)話���。網(wǎng)關(guān)系統(tǒng)記錄每一個(gè)會(huì)話過程����,并跟蹤該會(huì)話請(qǐng)求是否有后續(xù)的數(shù)據(jù)交互���,當(dāng)存在后續(xù)的數(shù)據(jù)交互時(shí)���,判斷模塊210判斷該會(huì)話請(qǐng)求為正常會(huì)話請(qǐng)求完成正常的數(shù)據(jù)交互,同時(shí)將該會(huì)話的源IP地址添加至已知IP地址列表中����,其中,該源IP地址可以為內(nèi)網(wǎng)的IP地址��,也可以是外網(wǎng)的IP 地址���,對(duì)連接發(fā)起源所處的具體部署位置不做限制�,記錄來自內(nèi)網(wǎng)或者外網(wǎng)的IP地址,可以同時(shí)防護(hù)來自內(nèi)網(wǎng)或者外網(wǎng)的攻擊�����。當(dāng)網(wǎng)關(guān)系統(tǒng)未跟蹤到后續(xù)的數(shù)據(jù)交互時(shí)�,判斷模塊 210判斷該會(huì)話請(qǐng)求為異常會(huì)話請(qǐng)求并統(tǒng)計(jì)每秒異常會(huì)話請(qǐng)求的數(shù)量。當(dāng)統(tǒng)計(jì)到的每秒異常會(huì)話請(qǐng)求的數(shù)量超過預(yù)置的安全閾值時(shí)�,第一切換模塊212 使網(wǎng)關(guān)系統(tǒng)進(jìn)入異常工作模式并放棄異常會(huì)話請(qǐng)求。在其他的實(shí)施例中�,網(wǎng)關(guān)系統(tǒng)還包括閾值設(shè)置模塊,用于接受用戶的輸入配置安全閾值的大小���,該安全閾值的大小可以由用戶根據(jù)實(shí)際的網(wǎng)絡(luò)環(huán)境確定。在異常工作模式下����,第一切換模塊212還可以采用限制每秒異常會(huì)話請(qǐng)求的通過數(shù)來防止網(wǎng)關(guān)系統(tǒng)會(huì)話資源被惡意耗盡,該通過數(shù)可以由用戶根據(jù)網(wǎng)絡(luò)狀況以及硬件配置進(jìn)行設(shè)置����。例如,對(duì)于一個(gè)主機(jī)數(shù)量在1000個(gè)的企業(yè)網(wǎng)絡(luò)中����,正常情況下��,每秒的新建會(huì)話請(qǐng)求數(shù)量為10000個(gè)�����,當(dāng)該企業(yè)網(wǎng)絡(luò)中有主機(jī)發(fā)送大量異常會(huì)話請(qǐng)求時(shí)�,網(wǎng)關(guān)系統(tǒng)進(jìn)入到異常會(huì)話模式����,用戶設(shè)置此時(shí)允許通過的異常會(huì)話請(qǐng)求數(shù)量為30000 個(gè),此時(shí)第一切換模塊212限制每秒異常會(huì)話請(qǐng)求的通過數(shù)為30000個(gè)�,超過該通過數(shù)的異常會(huì)話請(qǐng)求將會(huì)被限制。參照?qǐng)D3�����,圖3為本發(fā)明實(shí)施例提供的防止網(wǎng)關(guān)系統(tǒng)會(huì)話資源被惡意耗盡的裝置���, 該裝置還包括第二判斷模塊213���,用于當(dāng)網(wǎng)關(guān)系統(tǒng)處于所述異常工作模式時(shí),判斷發(fā)送會(huì)話請(qǐng)求的IP地址是否處于已知IP地址列表中��,若是,則完成會(huì)話���,否則����,丟棄所述會(huì)話請(qǐng)求����。 在異常工作模式下,當(dāng)主機(jī)發(fā)送會(huì)話請(qǐng)求時(shí)�,第二判斷模塊213查找已知IP地址列表中是否存在該IP地址,當(dāng)查找到該IP地址時(shí)����,則第二判斷模塊213為該會(huì)話請(qǐng)求建立會(huì)話通道,當(dāng)無法查找到該IP地址時(shí)��,則第二判斷模塊213丟棄該會(huì)話請(qǐng)求��。參照?qǐng)D4�,圖4為本發(fā)明實(shí)施例提供的防止網(wǎng)關(guān)系統(tǒng)會(huì)話資源被惡意耗盡的裝置的結(jié)構(gòu)示意圖����,還包括第二切換模塊214,用于當(dāng)網(wǎng)關(guān)系統(tǒng)進(jìn)入異常工作模式后,判斷所述異常會(huì)話請(qǐng)求減少到安全閾值以內(nèi)并持續(xù)一段時(shí)間后���,將網(wǎng)關(guān)系統(tǒng)切換回正常狀態(tài)���。當(dāng)系統(tǒng)進(jìn)入異常工作模式后,第二切換模塊214判斷異常會(huì)話請(qǐng)求減少到安全閾值以內(nèi)并持續(xù)一段時(shí)間后����,將網(wǎng)關(guān)系統(tǒng)切換回正常工作模式,不再對(duì)未知主機(jī)的新建請(qǐng)求做限制�����。本發(fā)明提供的防止網(wǎng)關(guān)系統(tǒng)會(huì)話資源被惡意耗盡的裝置�,為網(wǎng)關(guān)系統(tǒng)設(shè)置異常工作模式,在異常工作模式下���,對(duì)來自未知IP地址的會(huì)話請(qǐng)求進(jìn)行限制�,保證已知IP地址列表中正常的會(huì)話請(qǐng)求不受影響�����,從而防止了網(wǎng)關(guān)系統(tǒng)中有限的會(huì)話資源被惡意耗盡��,保證了網(wǎng)關(guān)系統(tǒng)的正常通信。參照?qǐng)D5��,圖5為本發(fā)明實(shí)施例提供的防止網(wǎng)關(guān)系統(tǒng)的會(huì)話資源被惡意耗盡的裝置的結(jié)構(gòu)示意圖��,在前述實(shí)施例的基礎(chǔ)上��,本實(shí)施例中����,該裝置還包括IP地址刷新模塊 215,用于當(dāng)已知IP地址列表中某一 IP地址超時(shí)未刷新時(shí)����,將所述IP地址從已知IP地址列表中刪除。網(wǎng)關(guān)系統(tǒng)在記錄正常會(huì)話記錄源IP地址的同時(shí)�����,還記錄該正常會(huì)話記錄會(huì)話的時(shí)間點(diǎn)�����。當(dāng)某個(gè)源IP地址超時(shí)未刷新時(shí)���,IP地址刷新模塊215將IP地址從已知IP地址列表中刪除。網(wǎng)關(guān)系統(tǒng)對(duì)于IP地址的記錄具備一定的時(shí)效性,防止了已知IP地址列表中IP地址的冗余,加快了網(wǎng)關(guān)系統(tǒng)的處理速度��。以上僅為本發(fā)明的較佳實(shí)施例而已���,并不用以限制本發(fā)明����,凡在本發(fā)明的精神和原則之內(nèi)所作的任何修改�����、等同替換和改進(jìn)等���,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)�。
權(quán)利要求
1.一種防止網(wǎng)關(guān)系統(tǒng)會(huì)話資源被惡意耗盡的方法��,其特征在于����,具體包括步驟接收主機(jī)發(fā)送的會(huì)話請(qǐng)求;跟蹤并檢測(cè)所述會(huì)話請(qǐng)求是否有后續(xù)的數(shù)據(jù)交互��,若有則判定所述會(huì)話請(qǐng)求為正常會(huì)話請(qǐng)求并將所述正常會(huì)話請(qǐng)求的源ip地址添加至已知ip地址列表�,否則判定所述會(huì)話請(qǐng)求為異常會(huì)話請(qǐng)求并統(tǒng)計(jì)所述異常會(huì)話請(qǐng)求數(shù)量���;當(dāng)所述異常會(huì)話請(qǐng)求的數(shù)量超過安全閾值時(shí),使網(wǎng)關(guān)系統(tǒng)進(jìn)入異常工作模式并放棄所述異常會(huì)話請(qǐng)求��,或是限制每秒所述異常會(huì)話請(qǐng)求的通過數(shù)���。
2.如權(quán)利要求I所述的防止網(wǎng)關(guān)系統(tǒng)會(huì)話資源被惡意耗盡的方法��,其特征在于��,當(dāng)網(wǎng)關(guān)系統(tǒng)處于所述異常工作模式時(shí)�����,判斷發(fā)送會(huì)話請(qǐng)求的IP地址是否處于已知IP地址列表中���,若是,則完成會(huì)話��,否則��,丟棄所述會(huì)話請(qǐng)求���。
3.如權(quán)利要求I所述的防止網(wǎng)關(guān)系統(tǒng)會(huì)話資源被惡意耗盡的方法��,其特征在于�,當(dāng)系統(tǒng)進(jìn)入異常工作模式后�,判斷異常會(huì)話請(qǐng)求減少到安全閾值以內(nèi)并持續(xù)一段時(shí)間后,將網(wǎng)關(guān)系統(tǒng)切換回正常狀態(tài)�����。
4.如權(quán)利要求I所述的防止網(wǎng)關(guān)系統(tǒng)會(huì)話資源被惡意耗盡的方法����,其特征在于,當(dāng)已知IP地址列表中某一 IP地址超時(shí)未刷新時(shí)��,將所述超時(shí)未刷新的IP地址從已知IP地址列表中刪除���。
5.如權(quán)利要求I所述的防止網(wǎng)關(guān)系統(tǒng)會(huì)話資源被惡意耗盡的方法�����,其特征在于���,所述網(wǎng)關(guān)系統(tǒng)接受用戶的輸入設(shè)置所述安全閾值。
6.一種防止網(wǎng)關(guān)系統(tǒng)會(huì)話資源被惡意耗盡的裝置�����,其特征在于,具體包括接收模塊���,用于接收主機(jī)發(fā)送的會(huì)話請(qǐng)求�����;第一判斷模塊��,用于跟蹤并檢測(cè)所述會(huì)話請(qǐng)求是否有后續(xù)的數(shù)據(jù)交互�����,若有則判定所述會(huì)話請(qǐng)求為正常會(huì)話請(qǐng)求并將所述正常會(huì)話請(qǐng)求的源IP地址添加至已知IP地址列表���, 否則判定所述會(huì)話請(qǐng)求為異常會(huì)話請(qǐng)求并統(tǒng)計(jì)所述異常會(huì)話請(qǐng)求的數(shù)量;第一切換模塊�����,用于當(dāng)所述異常會(huì)話請(qǐng)求的數(shù)量超過安全閾值時(shí)����,使網(wǎng)關(guān)系統(tǒng)進(jìn)入異常工作模式并放棄所述異常會(huì)話請(qǐng)求�,或是限制每秒所述異常會(huì)話請(qǐng)求的通過數(shù)���。
7.如權(quán)利要求6所述的防止網(wǎng)關(guān)系統(tǒng)會(huì)話資源被惡意耗盡的裝置���,其特征在于��,所述裝置還包括第二判斷模塊�����,所述第二判斷模塊用于當(dāng)網(wǎng)關(guān)系統(tǒng)處于所述異常工作模式時(shí)���, 判斷發(fā)送會(huì)話請(qǐng)求的IP地址是否處于已知IP地址列表中��,若是���,則完成所述會(huì)話請(qǐng)求,否則�����,丟棄所述會(huì)話請(qǐng)求����。
8.如權(quán)利要求6所述的防止網(wǎng)關(guān)系統(tǒng)會(huì)話資源被惡意耗盡的裝置��,其特征在于�,所述裝置還包括第二切換模塊��,所述第二切換模塊還用于當(dāng)系統(tǒng)進(jìn)入異常工作模式后���,判斷所述異常會(huì)話請(qǐng)求減少到安全閾值以內(nèi)并持續(xù)一段時(shí)間后���,將網(wǎng)關(guān)系統(tǒng)切換回正常狀態(tài)。
9.如權(quán)利要求6所述的防止網(wǎng)關(guān)系統(tǒng)會(huì)話資源被惡意耗盡的裝置�,其特征在于,所述裝置還包括IP地址刷新模塊����,用于當(dāng)已知IP地址列表中某一 IP地址超時(shí)未刷新時(shí),將所述IP地址從已知IP地址列表中刪除�。
10.如權(quán)利要求6所述的防止網(wǎng)關(guān)系統(tǒng)會(huì)話資源被惡意耗盡的裝置,其特征在于�����,所述裝置還包括閾值設(shè)置模塊,所述閾值設(shè)置模塊用于接受用戶的輸入設(shè)置安全閾值���。
全文摘要
本發(fā)明涉及一種防止網(wǎng)關(guān)系統(tǒng)會(huì)話資源被惡意耗盡的方法����,該方法包括步驟接收主機(jī)發(fā)送的會(huì)話請(qǐng)求����;跟蹤并檢測(cè)會(huì)話請(qǐng)求是否有后續(xù)的數(shù)據(jù)交互,若有則判定該會(huì)話請(qǐng)求為正常會(huì)話請(qǐng)求并將正常會(huì)話請(qǐng)求的源IP地址添加至已知IP地址列表��,否則判定該會(huì)話請(qǐng)求為異常會(huì)話請(qǐng)求并統(tǒng)計(jì)異常會(huì)話請(qǐng)求的數(shù)量�;當(dāng)異常會(huì)話請(qǐng)求的數(shù)量超過安全閾值時(shí)����,使系統(tǒng)進(jìn)入異常工作模式并放棄異常會(huì)話請(qǐng)求,或是限制每秒異常會(huì)話請(qǐng)求的通過數(shù)����。本發(fā)明提出的防止網(wǎng)關(guān)系統(tǒng)會(huì)話資源被惡意耗盡的方法,記錄存在正常數(shù)據(jù)交互的IP地址�����,當(dāng)網(wǎng)關(guān)系統(tǒng)統(tǒng)計(jì)到某一主機(jī)感染病毒發(fā)起大量異常會(huì)話請(qǐng)求時(shí),限制異常會(huì)話請(qǐng)求���,以使正常會(huì)話請(qǐng)求不被影響�,從而保證了網(wǎng)關(guān)系統(tǒng)的正常通信���。
文檔編號(hào)H04L29/12GK102546587SQ201110363719
公開日2012年7月4日 申請(qǐng)日期2011年11月16日 優(yōu)先權(quán)日2011年11月16日
發(fā)明者陳毅 申請(qǐng)人:深信服網(wǎng)絡(luò)科技(深圳)有限公司