技術領域

本公開大體涉及一種網絡裝置，例如但不限于，一種防火墻或一種實施防火墻功能的裝置。

背景技術

為了向新興技術發展并滿足消費者日益增長的需求，通信行業正在迅速改變。消費者對新應用和現有應用性能提升的需求驅使著通信網絡和系統提供商利用速度更快且容量更高(例如，帶寬更大)的網絡和系統。在試圖實現這些目標時，許多通信提供商所采用的一種常見方法是使用數據包交換技術。

互聯網常受到的攻擊是協調分布式服務拒絕(DDoS)攻擊，在這種情況下，全球許多計算機同時嘗試向一臺服務器發出看似合法的請求，阻斷了普通客戶端的訪問。發動攻擊的計算機常常是僵尸網絡的成員，即已經不知不覺地受到惡意軟件的危害的普通計算機。由于這些計算機是實際客戶端，還沒有一種簡單的方法能將來自廣闊網絡的無害請求與有害請求分類。通常唯一的選擇就是手動地阻斷全部地址帶，即便是很多合法流量也包括在這些帶中，也只能這么做。一個極端的實例是，對愛沙尼亞發起的DDoS攻擊，當時服務提供商最終阻斷了所有非愛沙尼亞境內的IP地址-實質上，他們斷開了愛沙尼亞與世界上其他地區的網絡連接。

發明內容

除了其他內容，本發明還公開了與自動調整名譽閾值以改變某些數據包(例如但不限于，數據包源的對應名譽分數比新名譽閾值更低的數據包)的處理相關聯的方法、設備、計算機存儲介質、機制和手段。上述處理通常包括一種速率限制形式，例如但不限于(不一定不發生重疊)以下可擴充組：數據包的流程控制、服務質量(Qos)標記、丟棄、監管、額外檢查(可能包括深度數據包檢查)以及反應性處理等。

在一個實施例中，一防火墻、入侵防護或其他裝置基于與數據包源相關聯的名譽等級來自動且動態地調整受到某種速率限制的數據包。當測量的流量增大直至超出期望量時，致使與名譽分數相關聯的數據包受到速率限制的名譽分數的范圍被加以調整，以使測量的流量節流，降至期望限度之內。以這種方式，可在流量增大期間挑出名譽較差的數據包流量，以對其進行速率限制。當測量的流量減退時，名譽分數的范圍可相應地改變，以允許更多的測量的流量。

一個實施例包括一種由具體機器來執行的方法，例如但不限于，一防火墻或入侵防護系統(IPS)。在一個實施例中，該方法包括以下步驟：由具體聯網機器來對較多個數據包中的第一多個數據包進行速率限制，其中在具體聯網機器所接收的數據包的數據包源的名譽分數低于預定名譽分數閾值時，這些數據包被識別為在第一多個數據包中；且其中在具體聯網機器所接收的數據包的數據包源的名譽分數高于該預定名譽分數閾值時，這些數據包不會被識別為在第一多個數據包中。響應于測量的較多個數據包的流量等于或超過一個或多個預定流量測量閾值：由具體聯網機器將名譽分數閾值自動地調整到較高的名譽分數，從而擴大第一多個數據包，使其現在包括速率受具體聯網機器限制、與較高名譽分數相關聯的數據包。

在一個實施例中，該測量的流量是基于由下列因素組成的因素組中的一個或多個因素：較多個數據包中的若干數據包的速率，較多個數據包的連接嘗試的速率；以及較多個數據包的數據速率。一個實施例包括基于具體數據包的源地址，為第一多個數據包中的一個具體數據包確定一個具體名譽分數。一個實施例包括基于具體數據包的源地址和具體數據包的操作系統指紋，為第一多個數據包中的一個具體數據包確定一個具體名譽分數。一個實施例包括基于與具體數據包的源地址相關聯的域，為第一多個數據包中的一個具體數據包確定一個具體名譽分數。在一個實施例中，所述基于與具體數據包的源地址相關聯的域來為第一多個數據包中的具體數據包確定具體名譽分數的步驟包括：對具體數據包的源地址執行反向域名服務查找操作。在一個實施例中，具體聯網機器是防火墻。在一個實施例中，由具體聯網機器對一已識別數據包執行該速率限制包括由下列速率限制操作組成的速率限制操作組中的一個或多個速率限制操作：丟棄已識別數據包，轉移已識別數據包以進行進一步處理進而確定怎樣進行速率限制，基于已識別數據包的服務類型對已識別數據包執行服務質量(QoS)速率限制。在一個實施例中，在對第一多個數據包進行速率限制之后，測量較多個數據包的流量，使得在流量測量之前被丟棄的較多個數據包中的數據包不包括在測量的流量內。在一個實施例中，響應于測量的較多個數據包的流量等于第二預定流量測量閾值或降至第二預定流量測量閾值以下：由具體聯網機器將名譽分數閾值自動地調整成較低的名譽分數，從而使速率受具體聯網機器限制的第一多個數據包收縮。

附圖說明