技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)關(guān)系統(tǒng)領(lǐng)域，具體是防止網(wǎng)關(guān)系統(tǒng)會(huì)話資源被惡意耗盡的方法及裝置。

背景技術(shù)

互聯(lián)網(wǎng)中，客戶端和服務(wù)器端之間的連接簡(jiǎn)稱會(huì)話，一般而言，靠五元組(即源地址/目標(biāo)地址/源端口/目標(biāo)端口/協(xié)議類型)區(qū)分一個(gè)會(huì)話。

網(wǎng)關(guān)設(shè)備是部署在某個(gè)企業(yè)或其他組織網(wǎng)絡(luò)出口的網(wǎng)絡(luò)設(shè)備，一般具備路由轉(zhuǎn)發(fā)、防火墻、ACL(Access?Control?List，訪問(wèn)控制列表)控制、流量整形功能。傳統(tǒng)網(wǎng)關(guān)是非狀態(tài)的防火墻或路由器，它們不需要記錄會(huì)話信息；但隨著企業(yè)或其他組織對(duì)網(wǎng)絡(luò)行為控制需求的增多，新型的主流網(wǎng)關(guān)設(shè)備基本上已經(jīng)演變成了具備記錄會(huì)話狀態(tài)功能的網(wǎng)絡(luò)設(shè)備，除了具備傳統(tǒng)網(wǎng)關(guān)設(shè)備的功能外，還需要記錄和跟蹤經(jīng)過(guò)設(shè)備的網(wǎng)絡(luò)數(shù)據(jù)會(huì)話。

主機(jī)感染病毒之后，不但會(huì)以主機(jī)正常的IP地址發(fā)起攻擊，而且還會(huì)偽造源IP地址和端口發(fā)起攻擊數(shù)據(jù)包，其行為一般呈散射狀，即是只存在少量的目的地址和端口，而存在大量的隨機(jī)源地址和端口。防止類似攻擊的方案有很多，但傳統(tǒng)的思路都是在保護(hù)服務(wù)器，而忽略了作為網(wǎng)絡(luò)接口設(shè)備的網(wǎng)關(guān)本身。當(dāng)前述攻擊數(shù)據(jù)包通過(guò)網(wǎng)關(guān)設(shè)備時(shí)，就會(huì)產(chǎn)生大量的新建會(huì)話請(qǐng)求，由于目前新型的主流網(wǎng)關(guān)設(shè)備會(huì)話跟蹤機(jī)制的限制，短時(shí)間內(nèi)出現(xiàn)大量的新建請(qǐng)求時(shí)，很容易導(dǎo)致網(wǎng)關(guān)設(shè)備的會(huì)話資源耗盡，使得正常的新建會(huì)話請(qǐng)求無(wú)法處理，從而導(dǎo)致正常的主機(jī)通信無(wú)法完成。

一般而言，主機(jī)規(guī)模在10000臺(tái)左右的企業(yè)或組織，其出口網(wǎng)關(guān)上需要百萬(wàn)級(jí)的會(huì)話支持，才能保證正常情況下的數(shù)據(jù)交互處理。然而，當(dāng)存在異常主機(jī)(如感染病毒或執(zhí)行惡意代碼)，數(shù)臺(tái)異常主機(jī)即可導(dǎo)致網(wǎng)關(guān)系統(tǒng)的會(huì)話資源耗盡，從而影響正常主機(jī)起的會(huì)話建立請(qǐng)求，進(jìn)而影響企業(yè)網(wǎng)絡(luò)的正常運(yùn)行。

發(fā)明內(nèi)容

本發(fā)明的主要目的是提供一種防止網(wǎng)關(guān)系統(tǒng)會(huì)話資源被惡意耗盡的方法，旨在當(dāng)存在惡意攻擊的情形下，保證網(wǎng)關(guān)系統(tǒng)正常的連接請(qǐng)求不受影響。

本發(fā)明提出一種防止網(wǎng)關(guān)系統(tǒng)會(huì)話資源被惡意耗盡的方法，具體包括步驟：

接收主機(jī)發(fā)送的會(huì)話請(qǐng)求；

跟蹤并檢測(cè)所述會(huì)話請(qǐng)求是否有后續(xù)的數(shù)據(jù)交互，若有則判定所述會(huì)話請(qǐng)求為正常會(huì)話請(qǐng)求并將所述正常會(huì)話請(qǐng)求的源IP地址添加至已知IP地址列表，否則判定所述會(huì)話請(qǐng)求為異常會(huì)話請(qǐng)求并統(tǒng)計(jì)所述異常會(huì)話請(qǐng)求的數(shù)量；

當(dāng)所述異常會(huì)話請(qǐng)求的數(shù)量超過(guò)安全閾值時(shí)，使網(wǎng)關(guān)系統(tǒng)進(jìn)入異常工作模式并放棄所述異常會(huì)話請(qǐng)求，或是限制每秒所述異常會(huì)話請(qǐng)求的通過(guò)數(shù)。

優(yōu)選地，當(dāng)網(wǎng)關(guān)系統(tǒng)處于所述異常工作模式時(shí)，判斷發(fā)送會(huì)話請(qǐng)求的IP地址是否處于已知IP地址列表中，若是，則完成會(huì)話，否則，丟棄所述會(huì)話請(qǐng)求。

優(yōu)選地，當(dāng)系統(tǒng)進(jìn)入異常工作模式后，判斷異常會(huì)話請(qǐng)求減少到安全閾值以內(nèi)并持續(xù)一段時(shí)間后，將網(wǎng)關(guān)系統(tǒng)切換回正常狀態(tài)。

優(yōu)選地，當(dāng)已知IP地址列表中某一IP地址超時(shí)未刷新時(shí)，將所述超時(shí)未刷新的IP地址從已知IP地址列表中刪除。

優(yōu)選地，所述網(wǎng)關(guān)系統(tǒng)接受用戶的輸入設(shè)置所述安全閾值。

本發(fā)明還提出一種防止網(wǎng)關(guān)系統(tǒng)會(huì)話資源被惡意耗盡的裝置，具體包括：

接收模塊，用于接收主機(jī)發(fā)送的會(huì)話請(qǐng)求；

第一判斷模塊，用于跟蹤并檢測(cè)所述會(huì)話請(qǐng)求是否有后續(xù)的數(shù)據(jù)交互，若有則判定所述會(huì)話請(qǐng)求為正常會(huì)話請(qǐng)求并將所述正常會(huì)話請(qǐng)求的源IP地址添加至已知IP地址列表，否則判定所述會(huì)話請(qǐng)求為異常會(huì)話請(qǐng)求并統(tǒng)計(jì)所述異常會(huì)話請(qǐng)求的數(shù)量；

第一切換模塊，用于當(dāng)所述異常會(huì)話請(qǐng)求的數(shù)量超過(guò)安全閾值時(shí)，使網(wǎng)關(guān)系統(tǒng)進(jìn)入異常工作模式并放棄所述異常會(huì)話請(qǐng)求，或是限制每秒所述異常會(huì)話請(qǐng)求的通過(guò)數(shù)。

優(yōu)選地，所述裝置還包括第二判斷模塊，所述第二判斷模塊用于當(dāng)網(wǎng)關(guān)系統(tǒng)處于所述異常工作模式時(shí)，判斷發(fā)送會(huì)話請(qǐng)求的IP地址是否處于已知IP地址列表中，若是，則完成所述會(huì)話請(qǐng)求，否則，丟棄所述會(huì)話請(qǐng)求。

優(yōu)選地，所述裝置還包括第二切換模塊，所述第二切換模塊還用于當(dāng)系統(tǒng)進(jìn)入異常工作模式后，判斷所述異常會(huì)話請(qǐng)求減少到安全閾值以內(nèi)并持續(xù)一段時(shí)間后，將網(wǎng)關(guān)系統(tǒng)切換回正常狀態(tài)。

優(yōu)選地，所述裝置還包括IP地址刷新模塊，用于當(dāng)已知IP地址列表中某一IP地址超時(shí)未刷新時(shí)，將所述IP地址從已知IP地址列表中刪除。

優(yōu)選地，所述裝置還包括閾值設(shè)置模塊，所述閾值設(shè)置模塊用于接受用戶的輸入設(shè)置安全閾值。