在与至少一个域相关联的保护服务之间进行协作和请求协作的方法、相应的代理和计算机程序

摘要

本发明涉及与一个或多个域相关联的保护服务之间进行协作的方法。根据本发明，这种方法包括：‑使得由第一保护服务使用的第一代理识别(221)对由所述第一保护服务保护的域所管理的至少一个资源的攻击，‑向由第二保护服务使用的至少一个第二代理传送(222)与由所述第一代理识别的所述攻击相关的至少一条信息，该至少一个第二代理已对由所述第一保护服务提供的至少一个信息共享服务进行了订阅。

说明书

技术领域

本发明的领域是通信网络(例如IP网络)内的通信的领域，并且具体地，是增值IP(added-value)服务的领域。

更具体地，本发明提供了一种允许保护一个或多个域的不同保护服务进行协作的解决方案。这种保护服务例如是属于DPS(DDoS保护服务)类型，其实施例如但不限于DOTS类型(DDoS开放威胁信令)的架构。保护服务和被部署为提供这种服务的基础设施在以下被无差别地(indifferently)称为“保护服务”。

具体地，本发明提供了一种在识别到拒绝服务攻击时协调缓解(mitigation)行动的解决方案。

在使用可能遭受病毒、SPAM、SPIT(通过IP电话的SPAM)、DDoS等攻击的计算机网络的任何领域，本发明都有特别地应用。

背景技术

将在本文档的剩余部分中更具体地描述在缓解DDoS攻击领域中存在的问题。当然，本发明不限于此特定的应用领域，而是对缓解所有类型的攻击均有益处(interest)。

作为提醒，DDoS攻击是试图使资源(例如网络或计算资源)对其用户不可用。通过危害大量主机并使用这些主机来放大攻击，这种攻击可以被大规模部署。

为了缓解这些DDoS攻击，一些接入或服务提供商向其客户端提供检测和缓解服务。这种保护服务或DPS(DDoS保护服务)可以被托管在由接入提供商运营的基础设施内或云中。具体地，它们使得可能区分“合法(legitimate)”业务(即经用户同意的数据)与“可疑”业务。

当DPS类型的服务被托管在云中时，难以预先检测到DDoS攻击，因为这种服务不一定存在于用于到达受DDoS攻击的网络的路由路径上(默认情况下)。

为了解决这个问题，已特别地提出了建立隧道，以迫使业务(入站(inbound)或出站(outbound))进入将由DPS服务检查的站点或网络。然而，这种方法大大增加了用户观察到的延迟，并对DPS服务的大小(sizing)施加了限制，以使得DPS服务能够处理来自网络中的所有用户的所有入站或出站业务，而不会损害向客户端提供的服务的性能或质量水平。此外，这种隧道被认为是潜在的攻击载体(vector)。

当DPS服务被托管在由接入提供商运营的基础设施内时，即使DPS服务存在于网络的入站或出站业务的路由路径中，在识别可疑业务时也可能出现困难。具体地，随着加密业务的增加(尤其是UDP上承载的业务(例如QUIC业务“快速UDP互联网连接”))，难以区分合法业务与可疑业务。难以接入纯文本控制消息(诸如TCP协议中规定的“SYN/SYN-ACK/ACK”消息)是与验证网络节点是否同意接收业务相关联的复杂性的另一示例。

为了帮助识别可疑业务，IETF已经标准化了特定的基础设施。这种基础设施(称为DOTS)特别允许客户端节点(称为DOTS客户端)通知服务器(称为DOTS服务器)该客户端节点检测到DDoS攻击并且需要适当的行动。

因此，如果客户端域是DDoS攻击的目标，作为该客户端域的一部分的DOTS客户端可以向DOTS服务器发送请求协助的消息。DOTS服务器与缓解器协调，以确保与拒绝服务攻击相关联的可疑业务不再被路由到客户端域，而合法业务继续被正常地路由到客户端域。缓解器具体可以与DOTS服务器共址(co-located)。

DOTS基础设施基于DOTS客户端和DOTS服务器之间的两个通信通道的使用：

-DOTS信号通道，以及

-DOTS数据通道。

DOTS信号通道仅在DDoS攻击正在进行时使用。因此，DOTS客户端可以使用此通道向DOTS服务器请求协助。例如，DOTS客户端使用此信号通道向服务器发送请求，向其通知前缀“1.2.3.0/24”受到DDoS攻击，使得服务器可以采取行动来应对攻击。

在文件“分布式拒绝服务开放威胁信令(DOTS)信号通道规范”(draft-ietf-dots-signal-channel，Reddy,T等人，2018年1月)中，这种信号通道有特别地描述。

DOTS数据通道在没有进行DDoS攻击时使用。例如，DOTS客户端可以使用此通道来建立过滤规则，诸如过滤从特定地址接收的业务或去往给定节点的业务。例如，DOTS客户端可以使用此DOTS数据通道来要求服务器阻止到前缀“1.2.3.0/24”的所有业务或去往端口号443的所有UDP业务。

在文件“分布式拒绝服务开放威胁信令(DOTS)数据通道”(draft-ietf-dots-data-channel，Boucadair,M等人，2017年12月)中，这种数据通道有特别地描述。

DOTS基础设施仅涵盖DOTS客户端与其DOTS服务器之间的关系，以在DOTS客户端检测到攻击时请求协助。换句话说，属于其他DPS基础设施的DOTS客户端/服务器不知道该攻击。

因此，需要一种新技术来特别向其他DPS基础设施通知大规模攻击(例如拒绝服务攻击)，从而协调多个DPS之间的行动(例如缓解行动)。

发明内容

本发明基于一种与一个或多个域相关联的保护服务之间进行协作的新方法，该新方法由第一保护服务使用的第一代理实施，其包括：

-由第一代理识别对由第一保护服务保护的域所管理的至少一个资源的攻击，

-向第二保护服务所使用的至少一个第二代理传送与由所述第一代理识别的攻击相关的至少一条信息，该至少一个第二代理已对由第一保护服务提供的至少一个信息共享服务进行了订阅。

通常，保护服务所使用的代理属于提供该保护服务的域/基础设施。

以这种方式，当客户端域受到攻击时，与该客户端域相关联的保护服务可以将与该攻击相关的信息传播到与该客户端域或其他客户端域相关联的保护服务，使得那些其他保护服务可以预测所述攻击或类似攻击，并因此保护那些客户端域。此外，协调使得实施涉及多个DPS或接入网络的分布式缓解计划成为可能，从而限制某些攻击的传播。

传输步骤可以限于某些类型的攻击、邻近代理等。策略通常被提供至实施协作方法的代理。

换句话说，将与由保护服务(例如DPS)识别的攻击相关的信息传递到可能使用该信息的其他保护服务是可能的，而不管所识别的攻击的范围如何，从而避免或至少减缓攻击的传播。

例如，这种攻击可以是以下类型：

-拒绝服务攻击(通常是DDoS)；

-电脑病毒；

-SPAM；

-SPIT；

-等等。

尤其地，如果攻击是由保护第一域的保护服务所识别的拒绝服务攻击，则可能向保护其他域的保护服务通知所采取的缓解行动，从而允许保护这些其他域的保护服务预先采取缓解行动。这降低了攻击传播到其他域(诸如互联网网络的其他区域)的风险，或损害保护这些其他域的保护服务所提供的服务的风险。

因此，本发明不限于将信息传播到部署在邻近域内和/或位于攻击业务的路由路径上的保护服务。相反，本发明使得能够在远程保护服务之间创建互连，这些远程保护服务希望彼此协作以维持或实施更有效的安全策略来应对可能影响其所保护的底层域的攻击，例如通过共享其所实施的缓解计划。根据本发明，这些互连是通过对保护服务实施预先订阅机制(prior subscription mechanism)而建立的，该保护服务提供与其识别的所有或部分攻击相关的信息的共享。在进行该订阅时，可以执行各种安全检查，以确定这种信息是否应当被在订阅请求的源头处与保护服务共享。

通过这种共享，本发明可以有效地预测攻击，而不需要相互协作的保护服务对相同业务具有可见性或控制力，尤其是攻击的业务。本发明允许保护服务的协作，而不管攻击的性质和范围，尤其是(在攻击或被攻击的源头处)所涉及的资源。

因此，在具体实施例中，本发明基于在提供至已订阅信息共享服务的保护服务的信息中对攻击的特征描述，而不将该攻击的特征描述与保护服务可见的攻击目标显式地关联(例如，不公开识别该攻击的保护服务所看见的攻击目标的地址)。此特征对于在由保护服务所保护的域内保持通信的机密性及其性质(例如，与其相关联的(多个)应用)是重要的。

根据至少一个实施例，所提出的解决方案促进了缓解行动的协调，尤其是通过共享与攻击相关的信息。其还通过在DPS域之间共享和散播缓解行动来减少实施缓解计划所需的时间。

根据至少一个实施例，所提出的解决方案还使得可能传播先验可靠信息，因为此信息是由识别攻击的保护服务获得的。

根据至少一个实施例，所提出的解决方案还允许信息被快速传播，使得接收与攻击相关的信息的保护服务能够预测这些攻击并以最优方式作出反应，以便限制网络资源的滥用。

根据特定特征，向由第二保护服务使用的至少一个第二代理发送与由第一代理识别的攻击相关的至少一条信息，实施了向(多个)第二代理或负责重新定向消息的中间代理发送至少一个通知消息。

例如，所述至少一个通知消息包括至少一条信息，该至少一条信息属于包括以下内容的组：

-与所述至少一个第二代理对由所述第一保护服务提供的至少一个信息共享服务的订阅相关的一条信息；

-攻击标识符；

-描述攻击的一条信息；

-与攻击状态相关的一条信息；

-指示缓解行动是否由第一保护服务实施的一条信息；

-指示由第一保护服务实施的缓解行动的一条信息；

-对于协助应对攻击的请求；

-等等。

这种不同的信息可以在不同的通知消息中传送，或者被聚合在单个通知消息中。

具体地，可以在攻击改变的情况下发送新的通知消息。例如，如果攻击中涉及新的来源，则可能通过负责重新定向消息的中间代理来向(多个)第二代理发送新的通知消息。

根据具体实施例，保护服务之间进行协作的方法包括预先订阅步骤，该预先订阅步骤实施：

-在第一代理与所述至少一个第二代理之间建立会话，

-由第一代理接收对由第一保护服务提供的至少一个信息共享服务的至少一个订阅消息，

-提取并存储在所述至少一个订阅消息中传达的信息。

例如，所述至少一个订阅消息包括至少一条信息，该至少一条信息属于包括以下内容的组：

-与所请求的信息共享服务(例如，第一保护服务的所有信息共享服务、用于共享与第一保护服务的DDoS攻击相关的信息的服务、用于共享与第一保护服务的病毒检测相关的信息的服务、用于共享与第一保护服务的SPIT攻击相关的信息的服务等)的类型相关的一条信息；

-与所述至少一个第二代理相关联的警报级别(例如，仅发送与关键攻击相关的警报，或者仅发送与由保护服务使用的代理所指示的过滤器相匹配的警报)；

-与重新定向至由第二保护服务使用的另一代理相关的一条信息(例如，指定通知消息是否应被发送到由同一保护服务使用的另一代理)；

-有效期；

-等等。

这种不同的信息可以在不同的订阅消息中传送，或者被聚合在单个订阅消息中。

具体地，这种方法包括当与订阅消息相关联的有效期到期时，自动删除先前存储的订阅消息中传达的信息。

本发明还基于一种用于请求与一个或多个域相关联的保护服务之间的协作的新方法，该方法由第二保护服务所使用的至少一个第二代理来实施，该至少一个第二代理已对由第一保护服务提供的至少一个信息共享服务进行了订阅，根据该订阅，由第一保护服务使用的第一代理识别到了对由第一保护服务保护的域所管理的至少一个资源的攻击，该方法包括：

-由第二代理接收与由第一代理所识别的攻击相关的至少一条信息，

-基于与攻击相关的(一条)信息，确定要采取的至少一个行动。

具体地，该接收实施：接收如上所述的至少一个通知消息，该至少一个通知消息由所述第一代理或负责重新定向消息的中间代理传送。

根据具体实施例，该接收还实施了接收由不同于第一保护服务的保护服务所使用的代理传送的至少一个通知消息。

因此，可能将从不同代理接收的信息相关联，这可以显著确认攻击的真实性或程度。

例如，所述至少一个行动包括向负责第二保护服务的缓解的实体传送与攻击相关的(一条)信息。可能地，所述至少一个行动包括更新由第二保护服务管理的过滤器。

根据另一示例，所述至少一个行动包括向第一代理或负责重新定向消息的中间代理传送与第一保护服务的行动共享消息。例如，第二代理可以请求与第一代理共享缓解计划(即，被告知该缓解计划)。

根据具体实施例，用于请求保护服务之间的协作的方法包括预先订阅步骤，该预先订阅步骤实施：

-在第一代理和所述至少一个第二代理之间建立会话，

-由所述至少一个第二代理向由第一保护服务提供的至少一个信息共享服务传送订阅消息(如前所述)。

具体地，所述至少一个第二代理在与所述订阅消息相关联的有效期到期之前重新传送订阅消息。

根据具体实施例，由第一和/或第二代理实施的方法还包括：

-识别至少一个接入提供商，该至少一个接入提供商负责所述攻击特有的业务的传播中涉及的至少一个资源，

-向所述至少一个接入提供商传送对于过滤进入和/或离开所述至少一个资源的所述攻击特有的业务的请求。

以这种方式，保护服务可以与接入提供商协作，以过滤或者甚至阻止来自攻击所涉及的机器的上游业务，从而将攻击的传播限制到尽可能接近其来源。

还应注意，根据现有技术，当执行攻击涉及大量机器时，实施适当的过滤策略(即能够将业务与攻击所涉及的所有机器隔离开)变得更加复杂，因为这些机器可以大规模地分布在几个不同的网络上。在这种上下文中，过滤器的实施方式因大量地址或网络的识别和声明而变得复杂，还带有配置错误的风险，这可能危及合法业务的路由。此外，其上安装这种过滤器(或接入控制列表ACL)的机器的交换性能可能与配置的接入列表的数目成反比：过滤器越多，决定数据包路由所花费的时间就越长，这可能降低机器的交换性能。安装大量的ACL本身就被认为是DDoS攻击。

上面提出的实施例具体允许在几个接入提供商之间分配过滤行动，这有助于过滤器的大规模实施。

另一实施例涉及一种由保护服务使用的代理，该代理被配置为识别攻击并将与所识别的攻击相关的至少一条信息传送到另一保护服务所使用的代理，该另一保护服务所使用的代理已经对由该保护服务提供的至少一个信息共享服务进行了订阅，和/或该代理被配置为接收其已向与另一保护服务所使用的代理识别的攻击相关的至少一条信息并确定要采取为结果的至少一个行动，该代理对该另一保护服务所使用的代理订阅了信息共享服务。

例如，这种代理是用于实施保护服务的基础设施的节点，其嵌入特定功能，该特定功能允许其识别攻击/传送与攻击相关的至少一条信息和/或接收与攻击相关的至少一条信息/确定至少一个行动。

在另一实施例中，根据本发明的至少一个实施例，本发明涉及一个或多个计算机程序，其包括用于在这个或这些程序由处理器执行时实施保护服务之间的协作的方法的指令，或者请求保护服务之间的协作的指令。

在又一实施例中，根据本发明的至少一个实施例，本发明涉及一个或多个不可移动、或者部分或全部可移动、计算机可读的信息介质，并且包括来自一个或多个计算机程序的指令，用于执行保护服务之间的协作的方法的步骤，或者用于请求保护服务之间的协作。

因此，根据本发明的方法可以以各种方式实施，尤其是以有线形式和/或软件形式。

附图说明

在阅读作为简单的说明性非限制性示例而提供的具体实施例的以下描述以及附图之后，本发明的其他特征和优点将变得更加清楚，其中：

[图1]图1图示了根据本发明的实施例的实施保护服务之间进行协作或请求协作的方法的通信网络的示例；

[图2]图2示出了根据本发明的至少一个实施例的保护服务之间进行协作或请求协作的方法的主要步骤；

[图3A]

[图3B]

[图3C]图3A至3C图示了由不同保护服务使用的代理之间的不同通信模式；

[图4]

[图5]图4和5示出了在订阅阶段由本地代理和远程代理实施的主要步骤；

[图6]

[图7]图6和7图示了根据本发明的实施例的通知消息的传输和使用；

[图8]

[图9]图8和9示出了在通知阶段由本地代理和远程代理实施的主要步骤；

[图10]

[图11]图10和11图示了允许接入提供商过滤攻击特有的业务的具体实施例；

[图12]图12示出了根据具体实施例的代理的简化结构。

具体实施方式

5.1一般原理

本发明的一般原理基于与一个或多个网络域相关联的至少两个保护服务之间的协作。具体地，本发明能够在本地保护服务检测到对由本地域管理的资源的攻击时通知与远程域相关联的远程保护服务。

关于图1，给出了根据本发明的实施例的能够实施保护服务之间的协作的通信网络的不同设备。

例如，考虑与第一保护服务112(例如记为DPS#1)相关联的第一域111，以及与第二保护服务122(例如记为DPS#2)相关联的第二域121。

例如，域包含一台或多台机器(也称为节点)。这里使用术语“域”或“网络”来指代由同一实体负责的机器或节点集合。

第一保护服务112和第二保护服务122分别保护第一域111和第二域121的网络资源。第一域111和第二域121可以连接到互联网网络13。

攻击来源S1 141、S2 142、…、Sk 14k也可以经由接入提供商AP#1 151、AP#2 152、AP#n 15n连接到互联网网络13。

图2图示了为在诸如图1所示的通信网络中的保护服务之间进行协作而实施的主要步骤。

在检测阶段，由保护第一域111的第一保护服务112所使用的第一代理113识别(221)对由第一域111管理的至少一个资源的攻击。

例如，第一域111的节点(例如，DOTS客户端)或用于实施第一保护服务121的基础设施的节点(嵌入根据本发明的特定功能的第一代理113或其他节点)可以检测到攻击。因此，由第一保护服务使用的第一代理113可以检测攻击本身，或者从另一节点接收此信息。

然后，第一代理113可以决定向至少一个其他代理(例如，由保护第二域112的第二保护服务122所使用的第二代理123)传送(222)与第一代理113所识别的攻击相关的至少一条信息。这样一条信息可能可以被传送到中间代理，特别地，该中间代理将其重新传送到第二代理123。

就其而言，由第二保护服务122使用的第二代理123接收(223)与由第一保护服务112使用的第一代理113所识别的攻击相关的(一条)信息。

根据接收到的与攻击相关的(一条)信息，第二代理123可以确定(224)要采取的至少一个行动。

在检测阶段22之后，可以实施攻击的缓解阶段23。

例如，在缓解阶段23期间，可能协调在检测到攻击之后采取的若干缓解行动，尤其是在互联网级别。

在检测阶段22之前，可以实施订阅阶段21。

这种订阅阶段21实施例如由第一保护服务112使用的第一代理113与由另一保护服务使用的至少一个代理(例如由第二保护服务122使用的第二代理123)之间的会话的建立211。

为了订阅第一保护服务112的信息共享服务(以下简称为共享服务)，第二代理123向第一代理113传送(212)至少一个订阅消息。这种消息可能可以被传送到中间代理，该中间代理将会特别将其重新传送到第一代理113。

就其而言，第一代理113接收(213)(多个)订阅消息，并且在例如远程订阅数据库24中存储(214)由(多个)订阅消息传达的信息。

然后可以实施检测阶段22。

因此，所提出的解决方案使得从攻击的检测阶段到攻击的缓解阶段可能在互联网级别协调保护服务成为可能(无论攻击的来源是什么，无论载体是什么(例如，连接的对象、隧道等)，也无论受害者是什么(网络、服务终端等))。根据至少一个实施例，所提出的解决方案保证与攻击相关的信息(来源、性质、内容、目标、载体等)的全局和快速一致性以及为解决该攻击而采取的措施。

注意，在具体实施例中，几个保护服务与同一域相关联，即保护同一域。一应用示例是“多归属(multi-homing)”企业网络。在这种情况下，第一域111和第二域121是同一个域。

5.2应用示例

下面描述本发明的具有主要用于处理DDoS攻击的DPS类型保护服务的实施例。

然而，应注意，如以下特别呈现的所提出的解决方案适用于其他安全攻击，诸如病毒传播、利用操作系统漏洞等。

5.2.1代理的定义

所提出的解决方案基于将特定功能分配到用于实施保护服务的基础设施的一个或多个节点，其被称为“代理”，或者根据实施DPS类型的保护服务的具体实施例，其被称为“DIA代理”(对于“DPS IDAD代理”，其中IDAD表示“DPS间攻击散播和缓解行动共享和协助”，即，DPS之间对攻击缓解行动的协助和共享)。

保护服务可以激活一个或多个代理。保护服务的代理可以与其他保护服务的一个或多个代理进行交互。

5.2.2代理的通信

A)会话的建立

代理之间的通信会话可以使用已知的协议来建立，例如：

-DTLS(数据报传输层安全性，如文件“数据报传输层安全性版本1.2”(RFC 6347，Rescorla,E.和N.Modadugu DOI 10.17487/RFC6347，2012年1月)中所描述的)，

-DTLS 1.3(数据报传输层安全性，如文件“数据报传输层安全性(DTLS)协议版本1.3，draft-ietf-tls-dtls13-22”(Rescorla,E.，Tschofenig,H.和N.Modadugu，2017年11月)中所描述的)，

-TLS(传输层安全性，如文件“传输层安全性(TLS)协议版本1.2”(RFC 5246，Dierks,T.和E.Rescorla，DOI 10.17487/RFC5246，2008年8月)或文件“传输层安全性(TLS)协议版本1.3”(RFC8446，E.Rescorla，DOI 10.17487/RFC8446，2018年8月)中所描述的)。

DTLS或TLS交换以及与安全密钥的管理相关的交换是常规的，因此不再详细描述。

根据具体实施例，假设保护服务使用的代理相互认证。因此，从模拟合法代理的机器接收的消息可能会被另一代理拒绝。类似地，来自由第一保护服务使用的、未被授权接入由第二保护服务提供的信息共享服务的代理的请求被由第二保护服务使用的代理忽略。

例如，这种相互认证过程由保护服务的代理实施。

B)通信模式

不同保护服务使用的代理可以彼此直接通信，或者经由负责重新定向消息的中间代理进行通信。此中间代理由例如FD(联合调度器)使用。

图3A至3C图示了不同保护服务所使用的代理之间的通信的不同示例。

图3A图示了“点对点”模式通信的示例，根据该“点对点”模式通信，代理在不同的保护服务之间直接地交换消息。例如，第二DPS保护服务32的第一代理321直接与第一DPS保护服务31的第一代理311、第四DPS保护服务34的第一代理341和第五DPS保护服务35的第一代理351交换消息。第二DPS保护服务32的第二代理322直接与第三DPS保护服务33的第一代理331交换消息。第二DPS保护服务32的第一代理321和第二代理322可以彼此通信，因为其由同一保护服务所使用。

根据图3A所示的示例，第二DPS保护服务32可以向其他DPS保护服务31、33、34和35发送四次相同的消息。

图3B和3C图示了“联合”模式下的通信的示例。这种模式假设保护服务是在联合中进行组织的。代理向联合调度器发送消息，该调度器将消息从联合中的保护服务的代理转发到该联合的另一保护服务的代理或另一联合的调度器。

根据图3B所示的示例，DPS保护服务31至35的DPS是同一联合中的一部分，并因此可以通过调度器36交换消息。例如，第二DPS保护服务32的第一代理321与调度器36交换消息。调度器36的第一代理361将消息从第二DPS保护服务32的第一代理321重新定向至第一DPS保护服务31的第一代理311和第五DPS保护服务35的第一代理351。调度器36的第二代理362将消息从第二DPS保护服务32的第一代理321重新定向至第三DPS保护服务3的第一代理331和第四DPS保护服务34的第一代理341。调度器36的第一代理361和第二代理362可以彼此通信。

根据图3C所示的示例，第一DPS保护服务31和第五DPS保护服务35是使用第一调度器37的第一联合中的一部分，并且第二DPS保护服务32、第三DPS保护服务33和第四DPS保护服务34是使用第二调度器72的第二联合中的一部分。例如，第二DPS保护服务32的第一代理321与调度器36交换消息。第二调度器36的第一代理361将消息从第二DPS保护服务32的第一代理321重新定向至第一调度器37的第一代理371。第一调度器37的第一代理371将消息从第二DPS保护服务32的第一代理321重新定向至第一DPS保护服务31的第一代理311和第五DPS保护服务35的第一代理351。第二调度器36的第二代理362将消息从第二DPS保护服务32的第一代理321重新定向至第三DPS保护服务3的第一代理331和第四DPS保护服务34的第一代理341。调度器36的第一代理361和第二代理362可以彼此通信。

根据图3B和3C所示的示例，第二DPS保护服务32可以向调度器36仅发送一次相同的消息，然后调度器36将该消息重新传送至四个其他DPS保护服务31、33、34和35。因此，这种模式有助于应用或使用由保护服务执行的处理操作，例如以解决在该保护服务的责任区域(例如其所保护的网络)内正在进行的攻击，同时优化联合中的保护服务之间的交换量。

5.2.3订阅远程保护服务

为了实施保护服务之间的协作，根据至少一个实施例，由保护服务使用的代理可以订阅由远程保护服务提供的至少一个信息共享服务。

例如，认为在由保护服务使用的代理(例如根据图1的第一保护服务112的第一代理113)与想要订阅由第一保护服务提供的至少一个信息共享服务的代理(例如根据图1的第二保护服务122的第二代理123)之间建立了安全通信会话。此通信会话可以直接在两个代理之间建立，或者经由联合内至少一个调度器使用的至少一个中间代理来在代理之间建立。

一旦会话经建立，想要订阅由第一保护服务112提供的至少一个信息共享服务的第二代理123直接地或经由至少一个中间代理向第一代理113发送至少一个订阅消息。换句话说，订阅消息由第二代理123发送至第一代理113或调度器。

例如，订阅消息被记为SUBSCRIBE()，并且包括至少一个属性或参数，其携带属于以下类型的一条信息：

-“服务类型”：与所请求的信息共享服务的类型或性质相关的一条信息。例如，如果未指示值，则第一代理可以将订阅消息解释为对第一保护服务的DDoS服务的订阅请求。作为示例，该参数携带的值可以是：

i.0：由第一保护服务(订阅消息的接收者)支持的所有信息共享服务；

ii.1：第一保护服务的DDoS服务；

iii.2：第一保护服务的病毒检测服务；

iv.3：第一保护服务的SPAM服务；

v.4：第一保护服务的SPIT服务；

vi.等等。

注意，相同的订阅消息可以用于指示几种类型的服务。作为变体，可以针对每一服务发送专用的订阅消息。

-“详细模式(Verbose_Mode)”：与第二个代理相关联的警报级别。换句话说，该参数指示想要订阅由第一保护服务提供的至少一个信息共享服务的第二代理想要接收的通知的粒度级别。作为示例，该参数携带的值可以是：

i.0：仅发送与关键攻击相关的警报。例如，如果与攻击相关的业务的量超过某个阈值，或者如果攻击涉及一定数量的机器，或者如果攻击持续超过X分钟等，则该攻击被认为是关键的。默认情况下可以使用该值。

ii.1：仅发送与代理中的一个所指示的过滤器相匹配的警报。过滤器可以由诸如以下的一个或多个属性定义：

+协议：指示特定的协议，诸如UDP、TCP、NTP、DNS等；

+端口号：指示特定的端口号，诸如80、23、443等。可能地，可以指定端口号的范围(例如，80-8080)；

+攻击特有的数据包的大小；

+等等。

-N_DIA：用于重新定向至由第二保护服务使用的另一代理的一条信息。例如，此参数指定(多个)订阅消息是否应被发送至同一保护服务使用的另一代理(重新定向情况)。在这种情况下，可以提供该代理的至少一个IP地址；

-有效期：此参数将有效期与此订阅相关联。例如，缺少此参数或使用值(-1)指示订阅持续时间是无限的；

-等等。

图4和图5图示了根据至少一个实施例的由第一代理和第二代理实施的主要步骤。更具体地，图4图示了由第一保护服务112使用的第一代理113所实施的步骤，并且图5图示了想要订阅由第一保护服务112提供的至少一个信息共享服务的第二代理123实施的步骤。

一旦与第一代理的会话成功建立，第二代理123通过设置上述属性来发送一个或多个订阅消息(图5中的步骤51，类似于图2中的步骤212)。标识符可以显著地与订阅请求相关联。订阅标识符可以与订阅数据库(例如根据图2的数据库24)中的“请求进行中”状态(50)相关联。

在第一代理113接收到订阅消息后(图4中的步骤41，类似于图2中的步骤213)，其可以执行安全检查(42)，以确保第二代理123被授权订阅由第一保护服务提供的至少一个信息共享服务。注意，信息共享服务的订阅策略可能已经预先定义(40)。

在安全检查(43)失败的情况下，订阅消息被第一代理113忽略。

在安全检查(44)成功的情况下，第一代理113提取订阅消息中包括的信息，以识别发送订阅消息的代理(即第二代理123)，并且例如识别其所用于的保护服务(即第二保护服务122)，确定所请求的信息共享服务的类型(即“Service_Type”参数的值)，确定通知的性质(即“Verbose_Mode”参数的值)，确定订阅的有效期等。

此信息然后被保存在订阅数据库(例如根据图2的数据库24)中，例如带有订阅标识符。

第一代理还检查订阅消息是否涉及新的订阅(45)。

如果订阅消息涉及新的订阅(例如来自由不同的保护服务使用的代理的订阅)，则创建(46)新的订阅标识符并将其存储在订阅数据库中。

如果订阅消息涉及现有订阅，例如来自第二代理123的用于提供附加信息的第二订阅消息，则更新(47)订阅数据库。

第一代理113然后可以响应发送了(多个)订阅消息的代理。

例如，第一代理113发送ACK接受消息来确认订阅。例如，如果第二代理123请求的信息共享服务不被第一保护服务112支持，或者如果第一代理113过载等，则第一代理113可以可替代地发送错误消息。

发布(多个)订阅消息的代理收到(52)ACK接受消息指示订阅成功。

可能地，第二代理123可以通过检查订阅数据库24来检查(53)从第一代理113接收的ACK接受消息是否匹配由第二代理123发送的订阅请求。

如果确认与订阅不匹配(54)，则忽略ACK接受消息。

如果确认与订阅匹配(55)，则订阅成功，并且订阅标识符与订阅数据库24中的“已确认”状态相关联。

第二代理123然后等待(56)来自第一代理113的信息，尤其是在攻击将由第一代理113识别的情况下。

根据具体实施例，为了保持订阅有效，第二代理123在订阅消息中定义的订阅有效期到期之前发送新的订阅消息。如果在有效期到期之前未发送消息，则第一代理113可以从订阅数据库24中删除相应的订阅。

如果第一代理113想要订阅由第二保护服务122提供的至少一个信息共享服务，则上述步骤也可以通过反转消息的方向来实施。在这种情况下，第一代理113向第二代理123发送至少一个订阅消息。

不同保护服务使用的两个代理也可以相互交换“SUBSCRIBE()”订阅消息。

5.2.4使用远程保护服务

再次考虑前面关于图4和图5描述的情况，根据该情况，第二代理123向第一代理113发送一个或多个订阅消息。

当第一保护服务112的第一代理113识别到与第二代理123在订阅消息中指示的规则相匹配的攻击时，并且根据本地策略，第一代理113向第二代理123发送一个或多个通知消息，以直接地或经由至少一个调度器所使用的至少一个中间代理向该第二代理123警告该攻击。

例如，如图6所示，第一保护服务112检测对其保护的第一网络111的至少一个资源的攻击，该攻击源自源S1 141、S2 142、…、Sk 14k，通过互联网网络13经由接入提供商AP#1151和AP#m 15m连接到第一网络111。

在检测到这种大规模的DDoS攻击时，第一保护服务112的第一代理113向第二保护服务122的第二代理123发送通知消息(“NOTIFY()”)，以便其被告知攻击正在进行，并且可以采取行动来避免或减少其所保护的第二网络121的资源将接下来成为第一网络111的资源所遭受的相同攻击的受害者的风险。

例如，第二代理123可以采取必要的措施来过滤来自源S1 141、S2 142、…、Sk 14k的业务。

因此，如图7所示，来自源S1 141、S2 142、…、Sk 14k并且去往第二网络121的业务在上游被阻塞，因为在从第一保护服务112接收到通知之后，第二保护服务122已经被调动(mobilise)来采取适当的措施。

例如，通知消息被记为NOTIFY()，并且包括至少一个属性或参数，其携带属于以下类型的一条信息：

-SUBSCRIPTION_ID：与第二代理123对由第一保护服务112提供的至少一个信息共享服务的订阅相关的一条信息，诸如在订阅时定义的订阅标识符；

-ATTACK_ID：攻击标识符，例如由发送通知消息的第一代理113生成。根据具体实施例，在攻击的寿命期间使用相同的标识符；

-ATTACK_DESCRIPTOR：技术上描述攻击的一条信息。例如，该字段可以包括协议号、一个或多个端口号、攻击所涉及的机器(例如，机器的类型或型号)、业务方向(入站或出站)等、或这些的组合。应当注意，技术描述可以指示与攻击有关的一台或多台机器(例如，machine_x,_manufacturer_y,_release_z)；

-STATUS：与攻击状态相关的一条信息。作为示例，此参数可以采用以下值：

i.0：攻击仍在进行；

ii.1：攻击被成功阻止；

iii.等等。

-LOCAL_MITIGATION：指示一个或多个缓解行动是否由第一保护服务在本地实施的信息。此字段还携带对发送通知消息的代理的保护服务所实施的缓解行动的技术描述。根据特定实施例，与缓解行动相关的此信息在非正式的基础上共享，并且可以被接收通知消息的代理忽略。缓解行动可以是通用的(例如，YANG配置)或特定于制造商的(例如，特定于“machine_x,_manufacturer_y,_release_z”的配置文件)；

-SOS：请求协助应对攻击。作为示例，此字段被设置为“TRUE”，以请求来自远程保护服务的协助来使正在进行的攻击停止；

-等等。

通知消息可以具有不同的性质(例如，STATUS、LOCAL_MITIGATION、SOS等)。

例如，第一代理113可以直接或经由至少一个调度器使用的至少一个中间代理向第二代理123发送描述攻击的特征的一个或多个通知消息：NOTIFY(ATTACK_ID)、NOTIFY(ATTACK_ID,ATTACK_DESCRIPTOR)或NOTIFY(ATTACK_ID,STATUS)。

根据另一示例，第一代理113可以直接或经由至少一个调度器使用的至少一个中间代理向第二代理123发送描述本地缓解行动的一个或多个通知消息，如由发送通知消息的第一代理113的第一保护服务112所激活的：NOTIFY(ATTACK_ID,LOCAL_MITIGATION)。

根据又一示例，第一代理113可以直接或经由至少一个调度器使用的至少一个中间代理向第二代理123发送请求协助缓解攻击的一个或多个通知消息：NOTIFY(ATTACK_ID,SOS)。

请注意，对攻击的描述可能在这种攻击的寿命期间变化。例如，可以涉及新的来源，可以利用其他协议等。因此，希望能够识别攻击，例如借助于ATTACK_ID持久属性，以便跟踪其演变。

因此，可以发送几个通知消息来向已对由第一保护服务提供的信息共享服务进行了订阅的代理通知攻击描述更新。例如，NOTIFY(ATTACK_ID＝ID1,ATTACK_DESCRIPTOR＝DESC#1)、NOTIFY(ATTACK_ID＝ID1,ATTACK_DESCRIPTOR＝DESC#2)和NOTIFY(ATTACK_ID＝ID1,ATTACK_DESCRIPTOR＝DESC#s)消息被从第一代理113连续地传送到第二代理123。

已对由第一保护服务提供的信息共享服务进行了订阅的代理可以从而根据攻击的更新来更新其过滤器。

此外，根据至少一个实施例，描述攻击的ATTACK_DESCRIPTOR属性还可以用于将从不同保护服务接收的不同通知消息进行关联。

例如，如果第二保护服务122的第二代理123一方面从第一保护服务112的第一代理113接收到NOTIFY(ATTACK_ID＝ID1,ATTACK_DESCRIPTOR＝DESC#m)通知消息，并且另一方面从另一保护服务的代理接收到NOTIFY(ATTACK_ID＝ID2,ATTACK_DESCRIPTOR＝DESC#m)通知消息，则第二代理123可以由于ATTACK_DESCRIPTOR字段中包括的信息而将具有不同标识符的这两个通知与相同的攻击相关联。因此，可能将从不同代理接收的信息进行关联，这可以显著地确认攻击的真实性或程度。

可以连续发送以描述攻击的不同阶段的通知消息的示例如下所示：

-发送NOTIFY(ATTACK_ID＝ID1,ATTACK_DESCRIPTOR,STATUS＝0)以通知正在进行的攻击；

-发送NOTIFY(ATTACK_ID＝ID1,SOS＝1)以请求其他保护服务的协助；

-发送NOTIFY(ATTACK_ID＝ID1,STATUS＝1)以通知攻击已被成功阻止；

-发送NOTIFY(ATTACK_ID＝ID1,LOCAL_MITIGATION)以向其他保护服务通知在本地实施了缓解行动(即，由使用发送通知消息的代理的保护服务实施)。

不同的信息可能可以被聚合在单个通知消息中，例如：

-发送NOTIFY(ATTACK_ID＝ID2,ATTACK_DESCRIPTOR,LOCAL_MITIGATION,STATUS＝1)以通知攻击已被成功阻止(STATUS＝1)。该消息还指示在本地实施了缓解行动(LOCAL_MITIGATION)；

-发送NOTIFY(ATTACK_ID＝ID2,ATTACK_DESCRIPTOR,STATUS＝0,SOS＝1)以请求其他保护服务(SOS＝1)协助应对正在进行的攻击(STATUS＝0)。

关于图8和图9，现在描述根据至少一个实施例的由第一代理和第二代理针对通知阶段实施的主要步骤。更具体地，图8图示了由第一保护服务112使用的第一代理113所实施的识别攻击并通知第二代理123的步骤，并且图9图示了由第二代理123实施的接收攻击信息并确定要采取的行动的步骤。

如图8所示，第一代理113可以识别攻击(图8中的步骤81，类似于图2中的步骤221)。例如，该攻击可以由第一代理113、由第一保护服务112使用的另一代理所检测，或者由第一保护服务112保护的网络节点111所检测。

注意，用于识别至少一个第二代理(例如，第二代理123)针对其而对第一保护服务的至少一个信息共享服务进行了订阅的攻击的策略可能已经被预先定义(80)。在这种情况下，在步骤81期间，第一代理113识别与该策略匹配的攻击。

第一代理113然后可以使用已对第一保护服务的至少一个信息共享服务进行了订阅的代理来识别(82)至少一个保护服务(例如所有保护服务)。

为此，第一代理113可以检查订阅数据库24。

第一代理113然后可以向已对由第一保护服务提供的至少一个信息共享服务进行了订阅的代理发送通知消息(图8中的步骤83，类似于图2中的步骤222)。

根据具体实施例，第一代理113可以发送(84)几个通知消息(特别是在攻击被修改时)，以通知已对由第一保护服务提供的至少一个信息共享服务进行了订阅的代理，并允许其更新其过滤器。在被发送至同一远程代理的两个连续通知之间观察到延迟。

在接收到通知消息后(图9中的步骤91，类似于图2中的步骤223)，已对由第一保护服务提供的至少一个信息共享服务的保护服务进行了订阅的代理(例如第二代理123)执行安全检查(92)，以确保第一代理113被授权发送通知消息。

为此，第二代理123可以检查订阅数据库24。

在安全检查(93)失败的情况下，通知消息被第二代理123忽略。

在安全检查(94)成功的情况下，第二代理123提取消息中包括的信息以识别发送通知消息的代理(即，第一代理113)，并且例如识别其所属的保护服务(即，第一保护服务112)，确定通知的性质(即，SOS、STATUS、LOCAL_MITIGATION等)。根据所提取的(一条)信息(尤其是通知的性质)，第二代理123可以确定要采取的至少一个行动。

例如，如果通知消息通知第二代理123攻击正在进行中，则攻击特有的信息被从缓解消息中提取(95)，并被转发到负责缓解实施第二代理123的第二保护服务112的实体(“缓解器”)，使得该第二代理123可以采取ad hoc保护措施来预测攻击(96)。根据具体实施例，如果LOCAL_MITIGATION字段已被填满，则这些行动可以基于通知消息中所指示的那些行动。

如果通知消息包括对于应对正在进行的攻击的协助请求，则第二代理123可以检查是否可以采取第二保护服务处的本地行动(97)。第二代理123可以直接或经由至少一个调度器使用的至少一个中间代理向第一代理113发送“SHARE_ACTION()”行动共享消息，以与第一保护服务共享缓解计划并在本地实施缓解行动(98)。例如，第二代理123可以向发送通知消息的第一代理113发送至少一个SHARE_ACTION(ATTACK_ID,LOCAL_MITIGATION)行动共享消息。使用SHARE_ACTION()消息共享的缓解计划不一定由发送保护服务实施，但可以从聚合BCP(当前最佳实践)或具有类似攻击的过去经验的数据库中检索。

缓解计划可以匹配过滤行动、为流重新定向提供资源等。

缓解计划的示例如下所示：

表1

请注意，表1中给出的简化缓解计划并未描述攻击目标，而是仅描述了位于攻击源头处的可疑业务的来源的特征：因此，在此示例中，来自这种来源(1.2.3.0/24)的业务被过滤。

具体地，在“联合”传输模式中，实施至少一个调度器，则SHARE_ACTION行动共享消息可以被广播到请求协助的第一保护服务，以及作为同一联合中的一部分的其他保护服务。

例如，SHARE_ACTION(ATTACK_ID＝ID1)行动共享消息被从第二代理123传送到调度器FD，然后从调度器FD传送到第一代理113和作为同一联合中的一部分的不同保护服务的至少一个其他代理。

不管传输模式如何，第一代理113可以因此等待SHARE_ACTION共享消息(图8中的步骤85)。在接收到这种消息后，第一代理113可以提取由该消息传达的信息(86)，以与第二保护服务共享缓解计划，并在本地实施缓解行动(87)。

应注意，如果第一代理113订阅了由第二保护服务122提供的至少一个信息共享服务，则上面关于图8和图9给出的步骤也可以通过反转消息的方向来实施。在这种情况下，第二代理123向第一代理113发送至少一个通知消息。

5.2.5接入提供商信息

下面给出了由如上所述的保护服务的代理实施的具体实施例，使得识别负责涉及攻击特有的业务的传播的至少一个资源的至少一个接入提供商成为可能。

事实上，这种接入提供商的识别使得向其传送对过滤攻击特有的业务的请求成为可能。

以这种方式，保护服务可以与接入提供商协作来阻止攻击所涉及的上游机器，从而限制攻击的传播。

事实上，激活每个保护服务处的本地过滤器并不能系统地阻止互联网范围的攻击。此外，考虑到攻击中可能涉及的大量的源机器，可能需要大量的过滤器。然而，这些过滤器的应用会影响路由器和防火墙的性能。

如前所述的保护服务的代理可以与接入提供商协作，以尽可能早地阻止上游机器注入攻击特有的业务，以便限制攻击特有的业务的传播。根据具体实施例，然后这些接入提供商将能够阻止这些机器连接到(多个)接入网络，例如通过拒绝向其分配IP地址/前缀。

假设接入提供商具有用于向第三方提供诸如地址过滤的增值服务的编程接口(API)。

例如，如前所述的保护服务的代理确定负责攻击中涉及的IP资源的接入提供商的身份。为此，保护服务的代理(例如识别攻击的代理)查询由例如RIPE(Réseaux IP Européens，欧洲IP资源)地区注册维护的数据库。

下面给出了使用RIPE数据库资源来检索管理IP资源“80.12.102.157”的接入提供商的身份的请求的示例：

如上所述，此实施例假设接入提供商公开编程接口(API)以向第三方提供增值服务，例如在由这些接入提供商托管的一个或多个验证服务器中。

如果接入提供商公开了这种API，并且如果RIPE数据库被修改以指定(多个)验证服务器，则根据此示例，对此请求的响应指示IP资源“80.12.102.157”被分配到接入提供商“Orange S.A.”，并且(多个)验证服务器位于地址“80.12.102.15”和“80.12.102.16”。

对请求的响应的示例如下所示：

该响应特别指出，该地址范围“80.12.102.157”的(多个)验证服务器可以通过两个地址到达：“80.12.102.15”和“80.12.102.16”。

一旦检索到该地址，保护服务的代理就可以向接入提供商发送过滤请求，例如以ACTION_REQUEST()消息的形式。

在收到ACTION_REQUEST()消息后，接入提供商执行检查，尤其是验证发送过滤请求的代理是否是可信实体。

在检查成功的情况下，接入提供商可以向代理发送ACTION_REPLY消息。然后，代理所属的保护服务可以激活某些过滤器来阻止来自恶意机器的业务。注意，这种过滤可以立即实施，或者在观察阶段之后实施。

图10和图11图示了允许接入提供商过滤攻击特有的业务的这种解决方案的实施方式。

如图10所示，考虑保护连接到互联网网络13的第一网络111的第一保护服务112，以及通过接入提供商AP#1 151至AP#n 15n也连接到互联网网络13的源S1 141至Sk 14k。如果考虑所有接入提供商AP#1 151至AP#n 15n都实施上述解决方案，则过滤行动可以被分布在所有接入提供商中，以阻止互联网网络13上游的攻击特有的业务。

如图11所示，即使不是所有的接入提供商都实施了上述解决方案，这个解决方案也是有意义的。事实上，一旦一些接入提供商(例如接入提供商AP#1 151和AP#n 15n)实施了上述解决方案，保护服务(诸如第一保护服务122)就有有限的过滤器列表要管理。

5.3结构

最后，关于图12给出了对根据上述至少一个实施例的代理的简化结构的描述。

这种代理包括包含缓冲存储器的存储器101、配备有例如可编程计算机器或专用计算机器(例如处理器P)并由计算机程序103控制的处理单元102，该计算机程序103实施根据本发明的至少一个实施例的进行协作或请求协作的方法的步骤。

在初始化时，计算机程序103的代码指令例如在被处理单元102的处理器执行之前被加载到RAM存储器中。

根据计算机程序103的指令，处理单元102的处理器实施先前描述的进行协作或请求协作的方法的步骤，以：

-识别对由本地保护服务保护的域所管理的至少一个资源的攻击，并且向由远程保护服务使用的至少一个代理传送与所识别的攻击相关的至少一条信息，以及/或者

-接收与由远程保护服务使用的代理所识别的攻击相关的至少一条信息，并基于与所述攻击相关的(一条)信息来确定要采取的至少一个行动。

5.4变体

用于上述保护服务之间的协作的解决方案可以在不同的上下文中实施，例如：

-保护服务由要保护的网络基础设施的管理员管理；

-保护服务由不同于要保护的网络基础设施的管理员的实体管理；

-保护服务在要保护的网络基础设施内被激活；

-保护服务在要保护的网络基础设施(通常是接入提供商、运输运营商、服务运营商、云服务提供商)之外被激活；

-要保护的网络基础设施可以是运营商网络、企业网络、住宅用户网络、5G手机群等；

-要保护的网络基础设施可用于提供服务集，包括例如连接服务(通常为分组传送服务)、VPN(虚拟专用网络)服务或其他增值服务(诸如电话、电视节目广播(IPTV服务)、IoT(物联网)遥测等服务)；

-几个网络基础设施可以请求同一保护服务；

-网络基础设施可以调用一个或多个保护服务的服务；这些保护服务可以防止不同性质的攻击，或者与不同的服务相关联，例如根据网络基础设施所支持的不同服务所特有的业务简档；

-攻击的来源也可以是要保护的网络基础设施内托管的资源，这可以是例如MITM(中间人)攻击的情况；

-等等。

具体地，在本发明的上下文中，通常在路由器和防火墙上应用过滤器(或ACL接入控制列表)的网络运营商也可以被认为是保护服务提供商。

根据至少一个实施例，为保护服务之间的协作所提出的解决方案可以：

-快速启动用于缓解攻击的行动，以限制这些攻击的传播，并从而缓解其规模，以及/或者

-调动缓解这种攻击所涉及的所有行为者：保护服务，还有负责攻击源头的资源所连接的网络的服务提供商，以及/或者

-一旦检测到攻击，就将该攻击所特有的所有信息传递到通信网络的所有保护服务。这种信息的传播使得能够对通信网络的保护服务进行早期(或甚至瞬时)警告，以便促进对攻击及其缓解的全局和一致的管理，同时降低这种攻击可能造成的损害的风险和严重性，以及/或者

-实施协调且全局一致的过滤策略。这种策略使得可能在适当的位置安装过滤器，从而优化接入控制列表的分布，而不会损害安装有这些过滤器的系统(例如路由器)的性能。