Método de proteger sistemas de ordenadores de ataques sobre una red a la cual está conectado el sistema de ordenadores,

comprendiendo el método las etapas de:

a. establecer, durante una operación libre de ataques del sistema de ordenadores, una base de datos en forma de un histograma de IPs de fuente que almacena todas las solicitudes recibidas de todos los emisores del sistema de ordenadores;

b. calcular y almacenar un histograma de IPs de fuente suavizado a partir del histograma de IPs de fuente obtenido en la etapa a), representando el histograma de IPs suavizado la probabilidad de que un emisor particular sea un emisor legítimo;

c. aplicar un umbral sobre el histograma de IPs de fuente suavizado para diferenciar entre un emisor aceptable y un emisor que debe ser rechazado;

d. monitorizar las solicitudes al sistema de ordenadores;

e. aceptar un nuevo emisor para el cual no había ninguna entrada en el histograma de IPs de fuente antes del suavizado si el valor de probabilidad asumido para la dirección de fuente del nuevo emisor derivada del histograma de IPs suavizado excede el umbral

Método y sistema para mitigar ataques de la denegación de servicio distribuida, basado en la estimación de densidad de vecindad de IP.

Campo de la invención

La invención se refiere generalmente a la mitigación de los ataques de Distributed Denial of Service (DDoS - Denegación de Servicio Distribuida). Ejemplos de tales servicios incluyen sitios web, Telefonía por Internet (VolP - Voz sobre IP), servidor de FTP, DNS, etc.

Antecedentes de la invención

En la Internet, los ataques de Distributed Denial of Service (DDoS - Denegación de Servicio Distribuida) se han convertido en una amenaza importante. Las redes a gran escala de PCs infectados (bots o zombies) combinan su ancho de banda y potencia de cálculo con el fin de sobrecargar un servicio disponible públicamente y denegarlo para los usuarios legales. Todos los servidores públicos son básicamente vulnerables a los ataques de DDoS debido a la estructura abierta de Internet. Los bots son adquiridos normalmente de manera automática por los hackers que utilizan herramientas de software para rastrear a través de la red, detectando las vulnerabilidades y explotando la máquina de objetivo.

El número de tales incidentes de DDoS está aumentando constantemente. Por ejemplo, los ataques contra los grandes sitios de comercio electrónico en Febrero de 2000 y los ataques contra los servidores de DNS de raíz en 2003 y 2007 han atraído la atención pública hacia el problema de los ataques de DDoS. Hoy, principalmente sitios web de tamaño medio son atacados por criminales con el fin de extorsionar a sus propietarios sin atraer demasiado la atención pública. Además de ello, también los Internet Service Providers (ISP - Suministradores de Servicios de Internet) tienen que tratar con el problema de que el tráfico de DDoS está congestionando sus anchos de banda de enlace.

El software de bot ha evolucionado también de manera alarmante a largo del tiempo. Herramientas iniciales como TFN, Stacheldraht, Trinoo o Mstream utilizaban estructuras de comunicación sin encriptar y organizadas jerárquicamente. La mayoría de estas herramientas utilizaban flujos de TCP-SYN, UDP o ICMP con parámetros posiblemente identificables. Puesto que algunos de estos ataques han sido mitigados con éxito, apareció una nueva generación de bots. -SDBot, Agobot o el muy mejorado Phatbot son representantes conocidos que utilizan IRC como comunicación robusta y segura. Estas herramientas contienen también métodos para extenderse y tienen algoritmos de ataque más sofisticados, que podrían ser actualizados en Internet. El tráfico de ataque de esas herramientas parece tráfico legal en la capa de transporte, lo que hace casi imposible filtrarlo de manera efectiva con cortafuegos estándar.

Mitigar ataques de DDoS en el origen o dentro el núcleo de la Internet parece una tarea imposible debido a la naturaleza distribuida y sin autorización de la red basada en IP. Los planteamientos para lograr este objetivo típicamente se basan en protocolos de Internet actuales cambiantes y no son por lo tanto fácilmente aplicables. El filtrado de ingreso como se describe en el documento RFC 2827 (P. Ferguson y D. Senie, "Network ingress filtering: Defeating denial of service attacks which employ IP source address spoofing". Estados Unidos, 2000, disponible en: http://rfc.net/rfc2827.html) también ayuda a mitigar los ataques de DDoS con falsas direcciones de IP de fuente (IP spoofing - Falsificación de IP) y debería ser aplicado por cada ISP. Puesto que el filtrado de ingreso sólo ayuda a otros ISPs en la Internet y no al que actualmente lo está aplicando, pasó mucho tiempo hasta que fue implantado en muchos sitios. Además, Savage et al. (S. Savage, D. Wetherall, A. R. Karlin y T. Anderson, "Practical network support for IP traceback", en SIGCOMM, 2000, pp. 295-306) sugirieron Rastreo de IP para encontrar la fuente de las direcciones de IP falsificadas marcando paquetes de manera probabilística. Hoy en día, la falsificación de IP ya no es tan común en los ataques de DDoS, excepto para el último octeto de una dirección de IP.

Peng et al. (T. Peng, C. Leckie y K. Ramamohanarao, "Protection from Distributed Denial of Service Attack using history-based IP filtering" en Proceedings of the IEEE International Conference on Communications (ICC 2003). Anchorage. AL, USA: IEEE, 2003) sugieren un sistema que monitoriza fuentes durante una operación normal (sin experimentar ataques) para aprender o establecer una base de datos de direcciones de fuente. En caso de un ataque esta información se usa para bloquear nuevas fuentes nunca antes monitorizadas. Este planteamiento se basa en la asunción de que durante un ataque ninguna fuente nueva o desconocida solicita acceso a un servidor - de otro modo podrían ser bloqueados.

Así, hoy, hay una enorme necesidad de mitigar los ataques de DDoS cerca del objetivo, lo que parece ser la única solución al problema en la infraestructura de Internet actual. El objetivo de tal sistema de protección es limitar su efecto desestabilizador en el servidor mediante identificación de solicitudes malintencionadas.

Así, los ataques de Distributed Denial of Service (DDoS - Denegación de Servicio Distribuida) son hoy el factor más desestabilizante en la Internet global y hay una gran necesidad de soluciones sofisticadas.

El documento US-A-2005/249214 describe un sistema y método de acuerdo con el preámbulo de la reivindicación 1. Se hace otra referencia a GARY PACK ET AL: "On Filtering of DDoS Attacks Based on Source Address Prefixes" TECHNICAL REPORT 1547, UNIVERSITY OF WISCONSIN-MADISON, DEPARTMENT OF COMPUTER SCIENCES, December 2005.

Resumen de la invención

De acuerdo con un primer aspecto, la invención proporciona un método de proteger sistemas de ordenadores de ataques sobre una red a la cual el sistema de ordenadores está conectado, comprendiendo el método las etapas de: (a) establecer, durante una operación libre de ataques del sistema de ordenadores, una base de datos en forma de un histograma de IPs de fuente que almacena todas las solicitudes recibidas de todos los emisores en el sistema de ordenadores; (b) calcular y almacenar un histograma de IPs de fuente suavizado a partir del histograma de IPs de fuente obtenido en la etapa (a); (c) aplicar un umbral de probabilidad en el histograma de IPs de fuente suavizado para diferenciar entre un emisor aceptable y un emisor que se debe rechazar; (d) monitorizar solicitudes al sistema de ordenadores; (e) aceptar un nuevo emisor para el cual no había entrada en el histograma de IPs de fuente antes del suavizado si el valor de probabilidad asumido derivado del histograma de IPs de fuente suavizado excede el umbral. El histograma de IPs de fuente suavizado representa la probabilidad de que un emisor particular sea un emisor legítimo. Preferiblemente, el cálculo del histograma de IPs de fuente suavizado en la etapa b) se hace considerando las relaciones de vecindad del emisor. Además, el método comprende preferiblemente la etapa de normalizar el histograma de IPs suavizado.

Preferiblemente, la etapa b) de calcular y almacenar un histograma suavizado se lleva a cabo repetidamente en intervalos de tiempo predeterminados.

De acuerdo con una realización preferida de la invención, el suavizado se lleva a cabo estimando una función de densidad de fuente. Por ejemplo, una estimación de densidad de kernel, o convolución se usa para el suavizado.

El suavizado del histograma se basa en el hecho de que la probabilidad de que aparezca una nueva fuente en la vecindad de fuentes ya observadas, es mayor comparada con las áreas en las que sólo se han observado unas pocas solicitudes o fuentes.

Se prefiere además que la distancia entre dos fuentes se defina como el bit de mayor orden de dos direcciones de IP que son diferentes sumado a su distancia Euclidiana. Por ejemplo, las dos direcciones de IP 365 (110110101) y 346 (101011010) tienen el bit diferente de mayor orden de 000100000 = 32. Su distancia Euclidiana es 365-346 = 19. Entonces, la distancia es la suma 32+19 = 51. En caso de que las redes se usen como fuentes, se usa la dirección de IP numéricamente menor para el cálculo.

El método de la invención comprende también las etapas de establecer un umbral para el histograma de IPs de fuente suavizado para diferenciar entre un emisor aceptable y un emisor que se sebe rechazar; y aceptar a un emisor o rechazar a un emisor dependiendo de si el emisor está por encima o por debajo del umbral. El umbral puede ser un umbral dinámico, dependiendo de la carga del servidor o del uso de ancho de...

1. Método de proteger sistemas de ordenadores de ataques sobre una red a la cual está conectado el sistema de ordenadores, comprendiendo el método las etapas de:

a. establecer, durante una operación libre de ataques del sistema de ordenadores, una base de datos en forma de un histograma de IPs de fuente que almacena todas las solicitudes recibidas de todos los emisores del sistema de ordenadores;

b. calcular y almacenar un histograma de IPs de fuente suavizado a partir del histograma de IPs de fuente obtenido en la etapa a), representando el histograma de IPs suavizado la probabilidad de que un emisor particular sea un emisor legítimo;

c. aplicar un umbral sobre el histograma de IPs de fuente suavizado para diferenciar entre un emisor aceptable y un emisor que debe ser rechazado;

d. monitorizar las solicitudes al sistema de ordenadores;

e. aceptar un nuevo emisor para el cual no había ninguna entrada en el histograma de IPs de fuente antes del suavizado si el valor de probabilidad asumido para la dirección de fuente del nuevo emisor derivada del histograma de IPs suavizado excede el umbral.

2. El método de la reivindicación 1, en el que el cálculo del histograma de IPs de fuente suavizado de la etapa b) está hecho considerando las realizaciones de vecindad de la solicitud.

3. El método de cualquiera de las reivindicaciones precedentes, en el que la etapa b) de calcular y almacenar un histograma suavizado se lleva a cabo repetidamente en intervalos de tiempo predefinidos.

4. El método de cualquiera de las reivindicaciones precedentes, en el que el suavizado se lleva a cabo estimando una función de densidad de fuente.

5. El método de cualquiera de las reivindicaciones 2 a 4, en el que la distancia entre dos fuentes se define como el bit de mayor orden de dos direcciones de IP que son diferentes sumadas a su distancia Euclidiana.

6. El método de cualquiera de las reivindicaciones precedentes, en el que el umbral es un umbral dinámico, que depende de la carga del servidor o del uso del ancho de banda del sistema de ordenadores.

7. El método de cualquiera de las reivindicaciones precedentes, en el que el histograma de IPs de fuente suavizado representa la probabilidad de que un emisor particular sea un emisor legítimo.

8. El método de cualquiera de las reivindicaciones precedentes, en el que la etapa b) comprende la etapa de normalizar el histograma de IPs suavizado.

9. El método de cualquiera de las reivindicaciones 1 a 4, que comprende también la etapa de estrangular a un emisor particular.

10. El método de la reivindicación 9, en el que el número de paquetes de IP de un emisor que debe ser rechazado depende del valor de la función de densidad estimada para este emisor.

11. El método de cualquiera de las reivindicaciones precedentes, en el que una solicitud es un paquete de IP, un correo electrónico, una solicitud de DNS, una descarga de FTP, una llamada de VoIP o una solicitud de HTTP.

12. Sistema para proteger a un sistema de ordenadores de ataques sobre una red a la cual el sistema de ordenadores está conectado, comprendiendo el sistema:

medios para monitorizar solicitudes al sistema de ordenadores;

medios para establecer, durante una operación libre de ataques de un sistema de ordenadores, una base de datos en forma de un histograma de IPs de fuente que almacena todas las solicitudes recibidas de todos los emisores del sistema de ordenadores;

caracterizado por

medios para calcular y almacenar un histograma de IPs de fuente suavizado a partir de un histograma de IPs de fuente, representando el histograma de IPs de fuente suavizado la probabilidad de que un emisor particular sea un sistema de ordenadores legítimo;

medios para aplicar un umbral de probabilidad en el histograma de IPs de fuente suavizado para diferenciar entre un emisor aceptable y un emisor que debe ser rechazado;

y

medios para aceptar un nuevo emisor para el cual no había ninguna entrada en el histograma de IPs de fuente antes del suavizado si el valor de probabilidad asumido para la dirección de fuente del nuevo emisor derivado del histograma de IPs de fuente suavizado excede el umbral.