多层网络拓扑中的攻击流的标识制造技术

实施例可以提供一种在包括处理器和存储器的数据处理系统中的计算机实现的方法，所述存储器包括指令，所述指令由所述处理器执行以使所述处理器实现用于网络保护的系统，所述方法包括由所述分析单元确定包括一个或多个分组的传入连接是否具有大于触发延迟的伪延迟；如果所述传入连接延迟大于所述触发延迟，则由所述分析单元将所述传入连接报告为可疑连接；由所述分析单元确定攻击当前是否在进行中；以及如果攻击在进行中，则由分析单元用伪延迟注入传入连接的一个或多个分组或者传出连接的一个或多个分组中的至少一个分组。

Identification of attack flow in multi-layer network topology

【技术实现步骤摘要】
【国外来华专利技术】多层网络拓扑中的攻击流的标识
本申请一般涉及可用于标识涉及多个连接的攻击流的系统和方法，尤其涉及多层网络拓扑。
技术介绍
在多层网络拓扑中，对于安全管理员来说，标识其中涉及多个连接的攻击流是一个两难的选择。对攻击的典型响应(其可以包括丢弃分组或重置连接)不能帮助管理员将攻击追溯回穿透源，而是只能在其最后阶段阻止攻击。安全信息和事件管理(SIEM)产品可以帮助基于连接的时间戳来使连接相关，但是这需要管理员记录环境内的所有业务，然后过滤大量的后台业务以找到连接之间的关系，这是一种最终不可持续的消耗资源的过程。图1示出了经典的不能标识东-西攻击的整个情况。如图所示，黑客可以经由TLS协议向网站发送具有SQL注入的恶意有效载荷。由于业务被加密，因此攻击将不能被找到并被阻止，直到应用服务器(APPServer)试图查询数据库服务器(DBServer)。现有技术的安全系统会提示事件，并错误地标识从内部应用服务器到另一数据库服务器产生的攻击。然而，系统管理员将不知道攻击源自何处，并且将不能够追溯到穿透的源。现有解决方案或者在L3/L4报头中添本文档来自技高网...

【技术保护点】
1.一种在包括处理器和存储器的数据处理系统中的计算机实现的方法，所述存储器包括指令，所述指令由所述处理器执行以使所述处理器实现用于网络保护的系统，所述方法包括：/n由所述分析单元确定包括一个或多个分组的传入连接是否具有大于触发延迟的伪延迟；/n如果传入连接延迟大于所述触发延迟，则由所述分析单元将所述传入连接报告为可疑连接；/n由所述分析单元确定攻击当前是否在进行中；以及/n如果所述攻击在进行中，则由分析单元用伪延迟注入所述传入连接的所述一个或多个分组或者传出连接的一个或多个分组中的至少一个分组。/n

【技术特征摘要】
【国外来华专利技术】20171018 US 15/787,5051.一种在包括处理器和存储器的数据处理系统中的计算机实现的方法，所述存储器包括指令，所述指令由所述处理器执行以使所述处理器实现用于网络保护的系统，所述方法包括：
由所述分析单元确定包括一个或多个分组的传入连接是否具有大于触发延迟的伪延迟；
如果传入连接延迟大于所述触发延迟，则由所述分析单元将所述传入连接报告为可疑连接；
由所述分析单元确定攻击当前是否在进行中；以及
如果所述攻击在进行中，则由分析单元用伪延迟注入所述传入连接的所述一个或多个分组或者传出连接的一个或多个分组中的至少一个分组。


2.根据权利要求1所述的方法，还包括：
由分析单元计算到网络中的每个IP地址的一个或多个连接的延迟分布；以及
由所述分析单元基于所述延迟分布来指定所述触发延迟。


3.根据权利要求2所述的方法，还包括：
由所述分析单元列出最大延迟；
由所述分析单元基于一个或多个报告的可疑连接来更新所述最大延迟；以及
由所述分析单元将所述触发延迟指定为大于所述最大延迟。


4.根据权利要求3所述的方法，还包括：
由所述分析单元用大于所述最大延迟的伪延迟注入所述传入连接的所述一个或多个分组或传出连接的所述一个或多个分组中的所述至少一个分组。


5.根据权利要求1所述的方法，还包括：
由保护单元检测具有异常延迟的外部连接遭遇；以及
由所述保护单元执行以下项中的至少一项：隔离外部连接、重置异常连接、将所述异常连接重定向到蜜罐或将进一步的信息提供到事件收集器。


6.根据权利要求1所述的方法，还包括：
由DDOS保护模块确定是否将一个或多个连接中的每个连接传播到所述网络中；
由所述DDOS保护模块确定所述系统是否能够传播所述一个或多个连接中的每个连接，包括：
由所述DDOS保护模块确定先前连接传播的最后时间；
由所述DDOS保护模块将所述先前连接被传播的最后时间与预定延迟时间进行比较；
如果所述先前连接被传播的最后时间超过所述预定延迟时间，则所述DDOS保护模块允许所述连接传播到所述网络中。


7.根据权利要求6所述的方法，还包括：
由所述DDOS保护模块基于所述预定延迟时间来调整所述伪延迟。


8.一种用于提供网络保护的计算机程序产品，所述计算机程序产品包括计算机可读存储介质，所述计算机可读存储介质具有随其体现的程序指令，所述程序指令由处理器可执行以使所述处理器：
由所述分析单元确定包括一个或多个分组的传入连接是否具有大于触发延迟的伪延迟；
如果所述传入连接延迟大于所述触发延迟，则由所述分析单元将所述传入连接报告为可疑连接；
由所述分析单元确定攻击当前是否在进行中；以及
如果攻击在进行中，则由分析单元用伪延迟注入所述传入连接的所述一个或多个分组或者传出连接的一个或多个分组中的至少一个分组。


9.根据权利要求8所述的计算机程序产品，所述处理器还被配置为：
由分析单元计算到网络中的每个IP地址的一个或多个连接的延迟分布；以及
由所述分析单元指定所述触发延迟。


10.根据权利要求9所述的计算机程序产品，所述处理器还被配置为：
由所述分析单元列出最大延迟；
由所述分析单元基于一个或多个报告的可疑连接来更新所述最大延迟；以及...

【专利技术属性】
技术研发人员：林俊硕，李承达，李殷，邹志鸿，
申请(专利权)人：国际商业机器公司，
类型：发明
国别省市：美国;US