由外部通信链路连接的通用计算机系统和其他设备的网络是公知的。 这些网络通常包括帮助在计算机系统之间传送信息的一个或多个网络设 备。网络节点是由通信链路连接的网络设备或计算机系统。这里所使用的 端节点是配置为发起或终结网络上的通信的网络节点。相比之下，中间网 络节点帮助在端节点之间传送数据。
在网络节点之间，根据许多公知的、新的或者仍在开发中的协议中的 一个或多个来交换信息。在此上下文中，“协议”由限定节点如何基于经 由通信链路发送的信息来与彼此交互的一组规则构成。协议在每个节点内 的不同操作层生效，从生成和接收各种类型的物理信号，到选择用于传送 这些信号的链路，到这些信号所指示的信息的格式，到识别由在计算机系 统上运行的哪个软件应用发送或接收信息。用于经由网络交换信息的协议 的概念上不同的层在开放系统互连(OSI)参考模型中描述。OSI参考模 型一般在1999年9月出版的Radia Perlman所著的题为“Interconnections Second Edition”的参考书的第1.1节中有更详细描述，特此通过引用将该 书结合进来，就好像在这里完全阐述了一样。
节点之间的通信一般通过交换分立的数据分组来实现。每个分组一般 包括1]与特定协议相关联的头部信息，以及2]跟在头部信息之后、包含可 独立于该特定协议来处理的信息的有效载荷信息。在一些协议中，分组包 括3]跟在有效载荷之后、指示出有效载荷信息的结束的尾部信息。头部包 括诸如分组的源、其目的地、有效载荷的长度以及协议所使用的其他属性 之类的信息。通常，针对特定协议的有效载荷中的数据包括针对与OSI参 考模型的不同的、通常更高的层相关联的不同协议的头部和有效载荷。针 对特定协议的头部一般指示出其有效载荷中包含的下一协议的类型。更高 层协议被认为是封装在更低层协议中的。穿越多个异构网络 (heterogeneous network)(例如因特网)的分组中所包括的头部一般包括 如开放系统互连(OSI)参考模型所定义的物理(第1层)头部、数据链 路(第2层)头部、互联网(第3层)头部，以及传输(第4层)头部、 会话(第5层)头部、表现(第6层)头部和应用(第7层)头部的某种 组合。用网络的用语来说，数据隧道只是封装该数据的协议。
订户通过网络接入服务器(NAS)可以访问因特网服务提供商 (ISP)的分组交换网(PSN)。订户经常使用链路层协议在订户的设备与 NAS之间形成临时隧道。在确定路径时不涉及隧道协议有效载荷的内容。 NAS通过与认证、授权和记帐(AAA)服务器交换分组来确定试图进行访 问的实体是否实际上是经授权可以访问网络的订户。示例性的公知AAA 服务器包括远程认证拨入用户服务(RADIUS)服务器、终端访问控制器 访问控制系统(TACACS)服务器和DIAMETER服务器。一旦实体被认 证为经授权的订户，则其被准予访问ISP网络，订户被指定网络层地址 (例如因特网协议(IP)地址)，并且互联网层有效载荷基于互联网和更 高层的头部信息而被路由。
现代ISP可以向不同的订户提供不同的服务，包括以第4至7层协议 传送的服务。例如，通过在传送前压缩网页并在订户自己的设备上的进程 处解压缩网页，可以增加向某些订户传送大型网页的数据速率。如在本领 域中公知的，网页是利用作为应用层(第7层)协议的超文本传输协议 (HTTP)通过网络来传送的。可以利用网络过滤服务来封锁某些网页。 提供网页的压缩、过滤和本地缓存的某种组合的服务被称为网络优化。某 些订户使用诸如蜂窝电话之类的移动设备，这些移动设备具有比其他网络 设备更小的存储和显示能力。利用特殊协议(例如作为应用层协议的无线 应用协议(WAP))向这种移动设备传送网页。在向这些订户进行传送之 前，将HTTP有效载荷转换为WAP有效载荷。
为了提供这些特殊服务，服务网关被包括在ISP分组交换网络中。服 务网关是在数据分组的源和目的地之间的中间网络设备上工作的进程。服 务网关为了提供网络服务而检查分组有效载荷。示例性的服务包括刚才描 述的有效载荷转换以及其他有效载荷改变，并且还包括特殊记账、排名、 过滤服务以及其他不修改有效载荷内容的服务。例如，网络压缩网关对去 往订户设备的数据分组的HTTP有效载荷进行压缩，并且对源自订户设备 的数据分组的HTTP有效载荷进行解压缩。WAP 1.x网关将去往订户设备 的数据分组的HTTP有效载荷转换为WAP 1.x有效载荷，并且将源自订户 设备的数据分组的WAP 1.x有效载荷转换为HTTP有效载荷。某些ISP向 不同的订户提供不同的服务。这些是订户感知服务。
为了确保针对ISP所提供的服务的服务网关被包括在从订户到ISP网 络所访问的网络上的任何目的地的分组交换路径中，服务网关被包括作为 针对用于在网络上建立订户会话的实际目的地的代理。例如，NAS的 AAA服务器流量被引导至服务网关，该服务网关充当AAA服务器的代 理。订户感知服务网关监视AAA服务器流量，以确定远程用户的网络标 识符并确定该远程用户是否已经订阅网关所提供的服务。例如，服务网关 监视RADIUS以确定从订户ID到当前指定的网络ID的映射；另外， RADIUS用于将关于用户的已订阅服务资料的信息从通常位于RADIUS服 务器之后的后端数据库中继到网络元件。
ISP常包括一组服务网关，使得服务可以适应订户的数目。为了在该 组中的服务网关之间分布流量，负载均衡进程被包括在NAS(或其他端节 点)和该组服务网关之间的路径中。
ISP还常在NAS和服务网关(或其负载均衡进程)之间的路径中包括 防火墙服务器。防火墙确定数据分组是否是接收自不希望的源或是去往接 入网上的不希望的目的地，并且防火墙不转发这种数据分组。不希望的源 和目的地是通过其IP地址来识别的。不希望的源和目的地的IP地址是由 防火墙处的策略数据所指示的策略来确定的。策略可以基于IP地址的静态 列表，或基于根据数据分组流的一种或多种特性而动态确定的IP地址。
数据分组流是在合理时间段内从网络上的相同源进程到相同目的地进 程的一系列的一个或多个数据分组。源和目的地进程通常是基于其第3层 IP地址和第4层传输端口的某种组合来识别的。不希望的IP地址可以按照 任何方式来定义，包括一个或多个IP地址的静态列表，以及基于具有该 IP地址的一个或多个流的特性来动态确定一个或多个不希望的IP地址的 方法。中间网络节点的操作系统(例如加利福尼亚州圣何塞市的思科系统 公司的互联网操作系统(IOS))定义了用于识别和过滤不希望的IP地址 的访问控制列表(ACL)。
虽然适用于多种目的，但是利用防火墙来排除不希望的流量的现有方 法存在某些缺陷。一种缺陷在于，防火墙有时不被客户部署，因为防火墙 增加了网络成本并且可使感知到的性能降低。因此防火墙有时不被部署， 使得服务网关容易受到第4至第7应用层的攻击。例如，在扫描攻击中， 在端节点上运行的恶意进程可以在短时间内发起向目标网络上的大量IP地 址(第3层)和端口(第4层)的目的地组合的流量。在处理每个这种流 内的各个事务以使正确的服务器与相对应的订户连接时，服务网关等处的 资源被消耗。如果足够数目的这种流被发起，则服务网关或其组可变得如 此受拖累，使得合法的流得不到及时处理，或在某些情况下完全得不到处 理。
另一种缺陷在于，注意到这种恶意端节点的IP地址的防火墙仅保护免 受来自相同IP地址的流量。使用具有不希望的IP地址的设备的实际订户 未被识别出。因此，如果同一订户改为从具有不同IP地址的另一设备发起 攻击(例如通过携带蜂窝电话移动到接入网中的不同点或移动到不同的接 入网)，则防火墙需要重新发现新的不希望的IP地址。同时，服务网关和 接入网皆将资源浪费在来自新IP地址处的同一恶意订户的数据流上。
另一种缺陷在于，注意到这种恶意端节点的IP地址的防火墙仅保护位 于该防火墙下游的目标网络。因此，目标网络上的防火墙检测到来自接入 网上的用户的恶意流量，从而保护目标网络而非接入网。位于防火墙上游 的相当多的接入网资源被攻击消耗，仅是将被防火墙在保护目标网络时丢 弃。
另一缺点在于，防火墙不检测欺诈。攻击通常旨在公开地降低ISP的 设备的性能；而欺诈通常旨在在未经授权的情况下不被检测到地在网络上 运行不允许使用的协议/应用。防火墙经常无法确定合理数量的流量是否表 示对专用或受限的协议或应用的未经授权的使用。
基于前面的描述，显然需要保护消耗服务网关进程的大量网络资源的 免受攻击和欺诈(在下文中称为“侵入”)，该保护没有现有技术方法的 所有缺陷。具体而言，需要在第4至第7层协议中检测侵入并且通过名字 来识别恶意端节点的用户并且/或者使这种恶意端节点脱离接入网以释放接 入网中的资源的技术。
附图说明
在附图中以示例方式而非限制方式图示了本发明，附图中相似的标号 指代类似的元件，其中：
图1是根据一个实施例，图示出包括服务网关服务器的远程接入网的 框图；
图2是根据一个实施例，图示出服务网关服务器上的订户信息表的框 图；
图3是根据一个实施例，图示出高级别的用于在服务网关处保护免受 攻击的方法的框图；
图4是根据一个实施例，图示出高级别的用于在记账代理处保护免受 攻击的方法的框图；以及
图5是图示出本发明实施例所可以实现于的计算机系统(例如路由 器)的框图。

描述了用于在服务网关服务器处保护免受入侵(包括欺诈和/或攻击) 的技术。在以下描述中，为了说明而陈述了许多具体细节，以便提供对本 发明的透彻理解。然而对本领域技术人员显而易见的是，可以在没有这些 具体细节的情况下实现本发明。在其他实例中，公知的结构和设备以框图 形式示出，以避免不必要地使本发明模糊。
本发明的实施例利用NAS网关环境下的许多示例得到说明，但是本 发明不限于该环境。在其他实施例中，其他服务网关(例如WAP网关和 其他订户感知网关)用于提供对网络入侵的保护。
1.0 网络概述
图1是根据实施例，图示包括网络接入服务器(NAS)125和服务网 关服务器160的远程接入网100的框图。计算机网络是用于在节点(例如 计算机、个人数字助理(PDA)和蜂窝电话)之间传送数据的互连子网 (例如，子网110a、110b，在下文中总称为子网110)的地理分布式集 合。每个子网本身可由一个或多个子网组成。局域网(LAN)是子网的一 个示例。网络的拓扑是由彼此之间通常通过一个或多个中间网络节点进行 通信的端节点(例如，端节点120a、120b，在下文中总称为端节点120) 的排列来定义的，其中所述一个或多个中间网络节点例如是路由器或交换 机，用于帮助在不同子网上的端节点120之间路由数据。图1中示出在远 程访问中所通常涉及的两个子网110。每个子网110可以包括零个或更多 的中间网络节点。因特网协议(IP)分组交换网(PSN)110b是一个或多 个远程地点处的端节点120a、120b的用户进行远程访问的目标。远程地点 通过接入网110a连接到PSN110b。
在各种实施例中，接入子网110a至少部分地基于电话双绞线、同轴铜 线、光缆或无线基础设施。在各种实施例中，接入网110a包括用于一组低 带宽调制解调器、数字订户线(DSL)接入模块(DSLAM)或其他同轴电 缆或光学接入模块的控制器。虽然示出了两个端节点120a、120b连接到接 入网110a，但在其他实施例中有更多或更少的端节点连接到接入网110a。 对于移动设备，接入网110a包括用于在移动设备从一个无线接入点移动到 另一个无线接入点时保持通信的电路和逻辑。
子网110a上的来自端节点120a、120b的通信在一个或多个主机上执 行的网络接入服务器(NAS)125a处终止。利用其他接入网的其他端节点 在另外的一个或多个主机上的其他NAS(例如NAS 125b)处终止。虽然 示出了两个NAS 125a、125b连接到PSN 110b，但是在其他实施例中更多 或更少的NAS连接到PSN 110b。在各种实施例中，NAS是宽带远程接入 服务器(BRAS)、无线接入服务器，或者某种其他服务器。
计算机进程交互的客户端—服务器模型广为人知并且用于商业。根据 客户端—服务器模型，客户端进程向服务器进程发送包括请求的消息，并 且服务器进程以提供服务进行响应。服务器进程也可以向客户端进程返回 具有响应的消息。客户端进程和服务器进程经常在不同的计算机或其他通 信设备(称为主机)上执行，并且利用一种或多种用于网络通信的协议经 由网络进行通信。术语“服务器”习惯上用于指提供服务的进程，或者该 进程所工作于的主计算机。类似地，术语“客户端”习惯上用于指发出请 求的进程，或者该进程所工作于的主计算机。除非在上下文中另有指明， 否则这里所使用的术语“客户端”和“服务器”是指进程而非主计算机。 另外，出于包括可靠性、可扩展性和冗余性在内的原因(但不限于这些原 因)，由服务器执行的进程可被分解成作为多个服务器在多个主机(有时 称为层级(tier))上运行。
PSN 110b被远程地点处的端节点120a、120b用于与诸如服务器 170a、170b、170c(在下文中总称为服务器170)之类的服务器进行通 信。PSN 110b包括AAA服务器114，用于对试图通过任何NAS 125访问 PSN 110b的、端节点120的用户进行认证。只有向ISP登记过并被列在 AAA服务器114中的订户才可以访问PSN 110b。PSN 110b还包括记账代 理服务器116，用于收集关于特定订户对网络110b进行使用的信息以便从 该订户获得支付。在图示的实施例中，记账代理116确定订户何时以及是 否将被列在AAA服务器114中。示例性的记账代理服务器是记账中介代 理(BMA)。在某些实施例中，记账代理116被省略并且在下面归于记账 代理116的功能是在其他服务器(例如AAA服务器114)之间进行分配 的。
为了提供特殊的订户感知服务，PSN 110b包括服务网关160。在某些 实施例中，服务网关160包括一组多个服务网关和负载均衡器(未示 出)。虽然为了说明而在图1中示出一个服务网关160，但是在其他实施 例中PSN 110b包括更多的服务网关160。
为了提供订户感知服务，服务网关160被安插在从NAS 125到AAA 服务器114的路径中，以确定与网络110b上的特定地址相关联的订户。 就是说，服务网关服务器160自己通告解析去往AAA服务器114的流 量。服务网关160通过在NAS 125和AAA服务器114之间交换的消息进 行嗅探(snoop)，以便确定一IP地址是否与服务网关服务器160所提供 的服务的订户相关联。服务网关160还被安插在从NAS 125到网络110b 上的另一个服务器的路径中，例如，在到服务器170a、170b、170c的路径 中。例如，所有去往NAS的流量被路由到服务网关160。
2.0 订户信息表
图2是根据一种实施例，图示服务网关服务器上的订户信息的表的框 图。虽然为了说明而在图2A中以整体数据结构显示用于保存表260中的 数据的数据字段，但是在其他实施例中，一个或多个字段或部分的字段被 以一个或多个不同的数据结构按照任何顺序保存在相同或不同主机中的易 失性或非易失性的存储器中，并且受零个或更多个不同的数据服务器(例 如一个或多个数据库服务器)控制。
表260包括订户记录字段270a、270b以及由省略号290指示的其他订 户记录字段(在下文中总称为订户记录270)。每个订户记录270包括当 前服务网关服务器一般具有的订户标识符、网络地址、网络接入服务器 (NAS)信息、订户资料信息、开放流列表的字段。根据本发明的图示实 施例，表260还包括基于开放流的可疑活动的量度，如下面所更详细描述 的。这些订户记录将特定订户与一个或多个开放数据流中的可疑活动相关 联。
开放数据流是以初始数据分组(例如根据第4层或更高层协议的同步 (SYN)消息)开始并且不包括相应的终止数据分组(例如根据该协议的 完成(FIN)消息)的一连串的一个或多个数据分组。在各种实施例中， 具有或者没有第4层源或目的地地址(例如源和目的地的TCP端口)的第 3层源和目的地地址或者第3至第7层头部中的其他数据字段用于在服务 网关服务器处将一个数据分组与另一个数据分组区别开。
订户记录270a、270b分别包括订户ID字段272a、272b(在下文中总 称为订户ID字段272)，订户ID字段272保存用于向目标网络(例如 PSN 110b)上的网络服务唯一地指出至少具有一个开放数据流的特定订 户。在某些实施例中，当订户不再保存至少一个开放流时，从表260删除 订户记录270。本领域中已知的任何用于订户的标识符可被用作订户ID字 段272中的标识符。例如，由网络接入标识符(NAI)确定的订户标识符 用于某些实施例(见RFC2486，特此通过引用将其全部内容结合进来，就 好像在这里完全阐述了一样)。例如，订户ID字段272a保存指示 Alice＠companyA.com的数据。
订户记录270a、270b还分别包括网络地址字段274a、274b(在下文 中总称为网络地址字段274)，网络地址字段274保存指示如下网络节点 (例如端节点120b)的网络地址的数据，来自由订户ID字段指示的特定 订户的流量源自所述网络节点。例如，在某些实施例中，网络地址字段 274包括TCP端口(第4层的源)、IP地址(第3层的源)、虚拟专用网 (VPN)标识符(源的第3层或第2层子网)，或者以太网虚拟局域网 (VLAN)标签(源的第2层子网)，或者某种组合。
订户记录270a、270b还分别包括NAS信息字段276a、276b(在下文 中总称为NAS信息字段276)，NAS信息字段276保存指示关于特定 NAS(例如，NAS 125a)的信息，来自特定订户的流量通过该特定NAS 进入目标网络(例如PSN 110b)。例如，在某些实施例中，NAS信息字 段276保存指示NAS的IP地址的数据。在某些实施例中，NAS信息字段 276保存指示根据NAI或某个其他域名服务器(DNS)而指定的NAS标识 符。
订户记录270a、270b还分别包括订户资料信息字段278a、278b(在 下文中总称为订户资料信息字段278)，订户资料信息字段278保存指示 关于特定用户对目标网络的访问的信息的数据。例如，在某些实施例中， 订户资料信息字段278保存指示用于传送或封锁来自特定订户的流量的策 略、网络的使用配额、订户是否付清或预付一个或多个服务、或某种组合 的数据。
订户记录270a、270b还分别包括开放流字段280a、280b的列表(在 下文中总称为开放流列表274)，开放流列表274保存指示多个流并且为 每个流指示数据分组流的唯一标识符的数据。数据分组流的唯一标识符可 以按照本领域中的任何已知方式来定义。在示例性的实施例中，流的标识 符是根据如上述的网络地址字段274a的内容所指示的、来自特定用户的网 络地址的流的目的地的网络地址来构造的。例如，在某些实施例中，开放 流列表280中的每个流的唯一标识符包括TCP端口(第4层的目的地)、 IP地址(第3层的目的地)、虚拟专用网(VPN)标识符(目的地的第3 层或第2层子网)，或者以太网虚拟局域网(VLAN)标签(目的地的第 2层子网)，或者某种组合。
根据图示实施例，订户记录270a、270b还分别包括可疑活动度量字段 282a、282b的度量(在下文中总称为可疑活动字段282)，可疑活动字段 282保存指示至少部分基于开放流列表280所指示的数据流的可疑活动的 度量的数据。本领域中的用于检测用户进行的敌意活动的任何已知方法可 被用于确定存储在字段282中的可疑活动的度量，如下面参考图3进一步 描述的。例如，在某些实施例中，存储在字段282中的可疑活动的度量是 在特定时间段内建立的开放流的数目，例如等于该特定时间段的最新时间 间隔。如在下面更详细描述的，在特定时间段内建立的开放流的过多数目 被确定为扫描攻击。
3.0 服务网关服务器处的方法
图3是图示高级别的用于在服务网关服务器处保护免受入侵的方法 300的框图。虽然为了说明而在图3和后续流程图中以特定顺序示出步 骤，但是在其他实施例中，以不同的顺序或在时间上交叠的方式执行一个 或多个步骤，或者省略一个或多个步骤，或者以某种组合方式改变步骤。
在步骤310中，订户数据被接收到。订户数据向特定订户指示出所有 与该订户相关联的开放数据流以及作为可疑活动的度量的、这些开放数据 流的特定属性。例如，在步骤310期间接收到表260的数据。本领域中的 用于接收该信息的任何已知方法可被使用。例如，可以响应于一个或多个 查询或未经请求地从由网关服务器直接控制或由一个或多个数据库或其他 服务器间接控制的本地或远程的易失性或永久性的存储器接收数据。
当前的服务网关服务器已经为订户ID字段272、网络地址字段274、 NAS信息字段276、订户资料信息字段278和开放流列表280接收并存储 数据。根据本发明的图示实施例，也为可疑活动度量字段282接收数据。
在图示的实施例中，可疑活动的度量是在特定时间段内建立的开放流 的数目。例如，在建立第一开放流时初始化计数器并且随着在第一流的一 秒内建立的每个新开放流而使计数器加一。
在扫描攻击中，与订户相关联的进程在短时间内打开许多流，以消耗 服务网关服务器处的资源并降低服务网关服务器处理来自特定NAS的所 有流量的能力，从而对一个或多个其他订户拒绝服务。这种攻击的特征在 于每秒建立的大量开放流。在本文写作时可用的膝上型计算机估计每秒可 以生成大约200,000条用于打开新数据流的SYN消息并且自己可以发起破 坏性的扫描攻击。这种攻击可以通过对每秒打开的数据流的数目进行计数 来检测。
本领域中所已知的与网络资源上的入侵相关联的可疑活动的任何指示 可被用作可疑活动的度量，包括在防火墙进程中使用的可疑活动的度量。 在某些实施例中，可疑活动的度量是可疑开放数据流的数目或百分比。
在某些实施例中，如果初始的SYN消息未跟有来自目标服务器的 SYN/ACK消息形式的确认，则开放数据流被认为可疑。这之所以是可疑 活动的度量，是因为在某些扫描攻击中SYN消息的目的地是不存在的服 务器或是随机的IP，并且对于其端口地址不存在回复以SYN/ACK消息的 服务器。因此，对其未收到SYN/ACK的开放流的数目是可疑活动的度 量。
在某些实施例中，如果跟有来自目标服务器的SYN/ACK消息形式的 确认的初始SYN消息随后未跟有来自订户的ACK消息形式的确认，则开 放数据流被认为可疑。这之所以是可疑活动的度量，是因为在某些扫描攻 击中，SYN消息的目的地经常是产生SYN/ACK消息的真实服务器；但是 攻击者仅对建立新流以消耗网关服务器资源感兴趣而对继续进行与服务器 的对话不感兴趣。因此特定订户的攻击节点不回复以ACK消息。
可疑活动的其他度量被用于其他实施例，例如其他攻击和欺诈。例 如，为了检测被禁止的应用的使用，第7层服务网关检测针对来自被禁止 的应用的服务的请求并且将其注为欺诈。这种实施例中的对被禁止的应用 的调用数目是可疑活动的度量。最恶劣的用户将是任何响应的目标。在另 一个示例中，用户在特定时间间隔期间消耗的总带宽是可疑活动的度量。 通常，用户订购带宽的最大数量，例如每月1010比特(10千兆比特)。高 于该数量的带宽使用被注为欺诈。在具有订户感知的情况下，服务网关服 务器(例如服务器160)可以计算同一订户跨越多次登录所使用的总带 宽。这种活动不被防火墙检测到。
在步骤330中，基于可疑活动的度量来确定是否存在入侵条件。例 如，在某些实施例中，如果存储在可疑活动度量字段282中的每秒打开的 数据流的数目超过100，则确定存在入侵条件。在某些实施例中，如果存 储在可疑活动度量字段282中的可疑开放数据流的数目超过75，则确定存 在入侵条件。在某些实施例中，如果存储在可疑活动度量字段282中的可 疑开放数据流的数目除以被存储在开放流列表字段280中的开放流的数目 超过50％，则确定存在入侵条件。在某些实施例中，如果对被禁止或限制 的应用的请求数目超过1，则确定存在入侵条件。在某些实施例中，如果 每月使用的带宽超过1010比特，则确定存在入侵条件。在其他实施例中， 在步骤330期间使用和检验其他入侵条件。
如果基于可疑活动的度量在步骤330中确定不存在入侵条件，则控制 传递回步骤310，以继续接收关于订户和其开放流或所请求的应用或总带 宽或某种组合的数据。
如果基于可疑活动的度量在步骤330中确定存在入侵条件，则控制传 递到步骤350以基于与满足入侵条件的可疑活动度量相关联的特定订户而 响应该入侵。可以执行任何利用该订户信息的响应。在其他实施例中，执 行防火墙所不执行的任何响应，例如基于除攻击者的IP地址之外的任何订 户数据的响应。
在图示的实施例中，响应包括步骤352、354、356。在其他实施例 中，这些步骤中的一个或多个被省略，一个或多个其他步骤被包括，或者 被省略和另外添加的步骤的某种组合被使用。
在步骤352中，用于标识用户的消息被发送到记账代理以处罚用户。 例如，具有基于订户ID字段272的内容的订户标识符的消息被发送到记 账代理。记账代理然后使订户得到处罚，如在下面参考图4描述的。可能 的处罚包括删除允许订户访问网络的授权，向订户收取超限费，以及向数 据网络110b之外的订户发送带外(out-of-band)消息。带外消息包括对蜂 窝电话或其他电话的文本消息或语音呼叫，或者对电子邮件地址的电子邮 件，或者通过邮寄的信件。带外消息向订户警告入侵并且请求订户停止入 侵。通过步骤352，发起攻击或欺诈的订户以更多方式受到处罚，而非仅 仅丢弃源自订户的IP地址的数据分组。因此，步骤352所提供的保护胜过 防火墙所提供的保护。
在步骤354中，消息被发送到与订户相关联的NAS，以终止与订户进 行的通信。可以使用任何方法来使NAS终止通信。在图示的实施例中， RADIUS断开分组(POD)消息被发送到通过ID和/或IP地址来识别订户 的NAS。RADIUS断开分组在RFC 3576中有描述，特此通过引用将其全 部内容结合进来，就好像在这里完全阐述了一样。根据RFC 3576，[支持] “从RADIUS服务器发送到NAS的未经请求的消息。这些扩展命令为断 开和授权变化(CoA)消息提供支持。断开消息使用户会话立即终止，而 CoA消息修改诸如数据过滤器之类的会话授权属性。”NAS在收到POD 时断开从端节点通过接入网到NAS的呼叫，从而释放接入网中的网络资 源。通过步骤354，在去往目标网络的通信中，服务网关的接入网上游也 被保护免受攻击。因此，步骤354所提供的保护胜过防火墙所提供的保 护。
在步骤356中，在特定的处罚时间段内阻止订户登录目标网络。在其 他实施例中，无限期地阻止订户登录目标网络，直到网络管理员介入以恢 复订户的网络权限为止。任何方法可被用于阻止登录。例如，网关服务器 160对所有去往AAA服务器114的登录消息进行嗅探并且丢弃那些指示与 可疑活动相关联的订户的消息，或者发送指示登录失败的返回消息。在某 些实施例中，消息被发送到AAA服务器114或记账代理服务器116以删 除对订户的授权。在某些实施例中，在处罚期到期之后，消息被发送到 AAA服务器114或记账代理服务器116以恢复对订户的授权。通过步骤 356，订户无法从另一设备发起攻击。因此，步骤356所提供的保护胜过 防火墙所提供的保护。
在某些实施例中，在步骤356期间，登录请求被发送到特殊修复服务 器，该特殊修复服务器通知订户由订户的设备发起的攻击或欺诈而进行响 应并且主动提出修复订户的设备以使之不会再次发起入侵。如果订户同 意，则将在订户的设备上执行的软件被发出，以寻找并删除使订户的设备 发起入侵的软件。这样，由如下病毒在订户不知情的情况下发起的攻击不 会使订户被不适当地处罚，所述病毒在信任的订户的设备上安装软件。
服务网关服务器是高级网络节点，用于保护网络100免受对第4到第 7层网络资源的攻击。服务网关服务器(例如网关160)是图示实施例中 的对第4至第7层的活动进行跟踪同时保存当前被指定一IP地址的用户和 相对应的订户名称(例如，“用户名”)之间的映射的唯一网络节点。这 使得服务网关服务器(例如网关服务器160)可以生成恶意活动的详细记 录，该记录包括网络ID和用户名。
4.0记账代理服务器处的方法
图4是根据一种实施例，图示高级别处的用于在记账代理处保护免受 入侵的方法400的框图。在其他实施例中，方法400中的一个或多个步骤 被省略。
在步骤410中，恶意订户数据被接收到。该数据指示出与服务网关服 务器所检测到的入侵相关联的特定订户。在图示实施例中，消息包括指示 订户ID(例如，“用户名”)的数据和指示入侵与该订户相关联的数据。 在某些实施例中，数据还指示关于特定入侵的一项或多项特定细节。在图 示实施例中，在记账代理116处接收到来自服务网关服务器160的未经请 求的消息中的数据。在其他实施例中，以其他方式接收数据，例如通过查 询本地或远程地存储在易失性或永久性存储器中的、经由数据库服务器直 接或间接访问的数据。例如，在工作周期的过程期间或者在接收到警告 时，记账代理从存储器中取回指示特定订户的订户ID的数据以及对与之 相关的入侵的指示。
在步骤420中，消息被发送到AAA服务器，以将特定订户从目标网 络(例如PSN 110b)的授权用户列表中删除。在图示实施例中，订户ID 被包括在发送到AAA服务器的消息中。
在步骤424中，指示订户应当停止攻击的带外消息被发送到特定订 户。
在步骤426中，向特定订户的帐户收取超限费，作为攻击的处罚。
在步骤430中，确定处罚期是否到期。处罚期是订户被删除目标网络 的访问授权的时刻和订户被再次授权可以访问目标网络的时刻之间的持续 时间。如果确定处罚期尚未到期，则控制传递到步骤436。在步骤436 中，记账代理继续进行其正常处理并且周期性地返回步骤430以确定处罚 期是否已经到期。
如果在步骤430期间确定处罚期已经过期，则控制传递到步骤440。 在步骤440中，消息被发送到AAA服务器，以将特定订户恢复至目标网 络(例如PSN 110b)的授权用户列表中。在图示实施例中，订户ID被包 括在发送到AAA服务器的消息中。
在其中无限期地阻止恶意订户访问网络的实施例中，步骤430和440 被省略。
5.0 实现机构-硬件概述
图5是示出本发明的一个实施例可实现于的计算机系统500的框图。 优选实施例是利用运行在诸如路由器设备之类的网络元件上的一个或多个 计算机程序来实现的。因此，在此实施例中，计算机系统500是路由器。
计算机系统500包括用于在计算机系统500的其他内部和外部组件之 间传递信息的通信机构，例如总线510。信息被表示为可测量现象的物理 信号，所述可测量现象通常是电压，但在其他实施例中包括诸如磁、电 磁、压力、化学、分子原子和量子交互之类的现象。例如，北磁场和南磁 场或者零电压和非零电压代表二进制数字(比特)的两个状态(0，1)。 二进制数字的序列构成用于表示数字或字符代码的数字数据。总线510包 括许多并行的信息导体，以便信息在耦合到总线510的设备之间被迅速传 送。用于处理信息的一个或多个处理器502与总线510相耦合。处理器 502对信息执行一组操作。该组操作包括从总线510接收信息或将信息置 于总线510上。该组操作一般还包括比较两个或更多个信息单元、移动信 息单元的位置以及例如通过加法或乘法来组合两个或更多个信息单元。将 由处理器502执行的操作序列构成计算机指令。
计算机系统500还包括耦合到总线510的存储器504。诸如随机访问 存储器(RAM)或其他动态存储设备之类的存储器504存储包括计算机指 令在内的信息。动态存储器允许存储在其中的信息被计算机系统500改 变。RAM允许存储在被称为存储器地址的位置处的信息单元以独立于相 邻地址处的信息的方式被存储和取得。存储器504还被处理器502用来在 计算机指令执行期间存储临时值。计算机系统500还包括耦合到总线510 的只读存储器(ROM)506或其他静态存储设备，其用于存储不被计算机 系统500改变的静态信息，包括指令。同样耦合到总线510的是非易失性 (持续性)存储设备508，例如磁盘或光盘，其用于存储即使在计算机系 统500被关断或者由于其他原因掉电时也会持续下来的信息，包括指令。
术语计算机可读介质在这里用来指任何参与向处理器502提供包括用 于执行的指令在内的信息的介质。这种介质可采取许多形式，包括但不限 于非易失性介质、易失性介质和传输介质。非易失性介质例如包括光盘或 磁盘，例如存储设备508。易失性介质例如包括动态存储器504。传输介 质例如包括同轴电缆、铜线、光缆和在无需导线或线缆的情况下通过空间 传播的波，例如声波和电磁波，包括无线电波、光波和红外波。经由传输 介质传输的信号在这里被称为载波。
计算机可读介质的常见形式例如包括软盘、柔性盘、硬盘、磁带或任 何其他磁介质，致密盘ROM(CD-ROM)、数字视频盘(DVD)或任何 其他光介质，穿孔卡、纸带、或任何其他具有孔图案的物理介质，RAM、 可编程ROM(PROM)、可擦除PROM(EPROM)、FLASH-EPROM、 任何其他存储器芯片或卡盘、载波或者计算机可以读取的任何其他介质。
包括指令在内的信息被从外部终端512提供到总线510以供处理器使 用，所述外部终端512例如是具有包含由人类用户操作的数字字母键的键 盘的终端或者是传感器。传感器检测其附近的状况，并将这些检测变换成 与计算机系统500中用于表示信息的信号相兼容的信号。耦合到总线510 的终端512的主要用于与人类交互的其他外部组件包括用于呈现图像的显 示设备(例如阴极射线管(CRT)或液晶显示器(LCD)或等离子屏幕) 和用于控制在显示器上呈现的小光标图像的位置并发出与在终端612的显 示器上呈现的图形元素相关联的命令的定点设备(例如鼠标或跟踪球或光 标方向键)。在一些实施例中，终端512被省略。
计算机系统500还包括耦合到总线510的通信接口570的一个或多个 实例。通信接口570提供到利用其自己的处理器来工作的多种外部设备的 双向通信耦合，所述外部设备例如是打印机、扫描仪、外部盘和终端 512。在计算机系统500中运行的固件或软件提供终端接口或者基于字符 的命令接口，以便外部命令能够被提供给计算机系统。例如，通信接口 570可以是并行端口或串行端口，例如RS-232或RS-422接口，或者是个 人计算机上的通用串行总线(USB)端口。在一些实施例中，通信接口 570是综合服务数字网(ISDN)卡或数字订户线(DSL)卡或提供到相应 类型的电话线的信息通信连接的电话调制解调器。在一些实施例中，通信 接口570是将总线510上的信号转换成用于经由同轴电缆的通信连接的信 号或者用于经由光缆的通信连接的光信号的线缆调制解调器。作为另一示 例，通信接口570可以是用于提供到兼容的LAN(例如以太网)的数据通 信连接的局域网(LAN)卡。也可实现无线链路。对于无线链路，通信接 口570发送和接收携带信息流(例如数字数据)的电信号、声信号或电磁 信号，包括红外信号和光信号。这种信号是载波的示例。
在图示实施例中，诸如专用集成电路(IC)520之类的专用硬件耦合 到总线510。专用硬件被配置为为了特殊的目的而足够迅速地执行不由处 理器502执行的操作。专用IC的示例包括用于生成图像以便显示的图形 加速器卡、用于对经由网络发送的消息进行加密和解密的密码板、语音识 别、以及到特殊外部设备的接口，所述特殊外部设备例如是重复执行在硬 件中更高效实现的某个复杂操作序列的机械臂和医学扫描装备。
在用作路由器的图示计算机中，计算机系统500包括交换系统530， 作为用于切换信息以便在网络上流动的专用硬件。交换系统530一般包括 多个通信接口，例如通信接口570，用于耦合到多个其他设备。一般来 说，每个耦合都具有与网络中的或附接到网络的另一设备相连接的网络链 路532，所述网络例如是图示实施例中的本地网络580，具有其自己的处 理器的多种外部设备与该网络相连接。在一些实施例中，输入接口或输出 接口或两者被链接到一个或多个外部网络元件中的每一个。虽然在图示实 施例中网络链路532包括三个网络链路532a、532b、532c，但在其他实施 例中，更多或更少的链路被连接到交换系统530。网络链路532一般通过 一个或多个网络来提供到使用或处理信息的其他设备的信息通信。例如， 网络链路532b可通过本地网络580来提供到主机计算机582或由因特网服 务提供者(ISP)操作的装备584的连接。ISP装备584进而又通过现在通 常被称为因特网590的网络的公共的世界范围的分组交换通信网络来提供 数据通信服务。被称为服务器592的连接到因特网的计算机响应于经由因 特网接收的信息而提供服务。例如，服务器592提供用于交换系统530的 路由信息。
交换系统530包括被配置为执行与在网络580的元件之间传递信息相 关联的交换功能的逻辑和电路，所述传递信息包括传递沿一条网络链路 (例如532a)接收的信息以作为相同或不同网络链路(例如532c)上的输 出。交换系统530根据公知的预定协议和惯例将到达输入接口的信息流量 切换到输出接口。在一些实施例中，交换系统530包括其自己的处理器和 存储器，以便利用软件来执行一些交换功能。在一些实施例中，交换系统 530依赖于处理器502、存储器504、ROM 506、存储设备508或某种组合 来利用软件执行一个或多个交换功能。例如，交换系统530与实施特定协 议的处理器502合作，可确定在链路532a上到达输入接口的数据分组的目 的地，并利用输出接口在链路532c上将它发送到正确的目的地。目的地可 包括主机582、服务器592、连接到本地网络580或因特网590的其他终 端设备，或者本地网络580或因特网590中的其他路由和交换设备。
本发明涉及使用计算机系统500来实现这里描述的技术。根据本发明 的一个实施例，这些技术是由计算机系统500响应于处理器502执行包含 在存储器504中的一个或多个指令的一个或多个序列来执行的。这种指令 也被称为软件和程序代码，它们可被从另一计算机可读介质(例如存储设 备508)读取到存储器504中。对包含在存储器504中的指令序列的执行 致使处理器502执行这里描述的方法步骤。在替换实施例中，诸如专用集 成电路520和交换系统530中的电路之类的硬件可取代软件或与软件结合 来实现本发明。从而，本发明的实施例不局限于硬件和软件的任何特定组 合。
通过通信接口(例如接口570)经由网络链路532和其他网络来传输 的信号(该信号携带去往和来自计算机系统500的信息)是载波的示例性 形式。计算机系统500可通过网络580、590等等，通过网络链路532和通 信接口(例如接口570)来发送和接收信息，包括程序代码。在使用因特 网590的示例中，服务器592通过交换系统530中的通信接口，通过因特 网590、ISP装备584、本地网络580和网络链路532b来发送从计算机500 发送来的消息所请求的用于特定应用的程序代码。接收到的代码可在其被 接收时被处理器502或交换系统530执行，或者可被存储在存储设备508 或其他非易失性设备中以便以后执行，或者两种情况兼有。这样，计算机 系统500可以以载波形式获得应用程序代码。
各种形式的计算机可读介质可用于将指令或数据或两者的一个或多个 序列运送到处理器502以便执行。例如，指令和数据可以首先承载在远程 计算机(例如主机582)的磁盘上。远程计算机可以将指令和数据加载到 其动态存储器中，并利用调制解调器经由电话线来发送指令和数据。计算 机系统500的本地调制解调器接收电话线上的指令和数据，并使用红外发 射器来将指令和数据转换为红外信号，该红外信号就是充当网络链路532b 的载波。充当交换系统530中的通信接口的红外检测器接收在红外信号中 携带的指令和数据，并且将代表该指令和数据的信息置于总线510上。总 线510将信息运送到存储器504，处理器502利用与指令一起发送的一些 数据来从存储器504中取得指令并执行指令。在存储器504中接收的指令 和数据可以可选地在被处理器502或交换系统530执行之前或之后存储在 存储设备508上。
6.0 扩展和替换
在以上说明中，已参考特定实施例描述了本发明。但是，应当清楚， 在不脱离本发明更宽广的精神和范围的前提下，可以进行各种修改和变 化。因此，说明书和附图都应当被认为是示例性的，而非限制性的。