本地端口管理方法和設(shè)備、面向分組的數(shù)據(jù)網(wǎng)絡(luò)�����、數(shù)字存儲(chǔ)介質(zhì)以及計(jì)算機(jī)程序產(chǎn)品的制作方法
【專利摘要】提出了用于管理面向分組的數(shù)據(jù)網(wǎng)絡(luò)中的本地端口的方法���,其中分組被分配給所選本地端口,并且基于對(duì)網(wǎng)絡(luò)上的傳輸?shù)挠^察來(lái)控制本地端口的分配���。本發(fā)明還涉及本地端口管理設(shè)備�����、面向分組的數(shù)據(jù)網(wǎng)絡(luò)��、數(shù)字存儲(chǔ)介質(zhì)以及計(jì)算機(jī)程序產(chǎn)品���。
【專利說(shuō)明】本地端口管理方法和設(shè)備、面向分組的數(shù)據(jù)網(wǎng)絡(luò)�����、數(shù)字存儲(chǔ) 介質(zhì)以及計(jì)算機(jī)程序產(chǎn)品
[0001] 本發(fā)明涉及根據(jù)權(quán)利要求1的前序部分的在面向分組的數(shù)據(jù)網(wǎng)絡(luò)中管理本地端 口的方法。本發(fā)明還涉及相關(guān)本地端口管理設(shè)備��、相關(guān)面向分組的數(shù)據(jù)網(wǎng)絡(luò)���、相關(guān)數(shù)字存儲(chǔ) 介質(zhì)以及相關(guān)計(jì)算機(jī)程序產(chǎn)品�����。
[0002] 在實(shí)時(shí)通信中最小的延遲和流暢的數(shù)據(jù)傳輸是關(guān)鍵因素��。延遲和通信功率在其中 開放端口被加載不想要的網(wǎng)絡(luò)業(yè)務(wù)(traffic)的情況下不期望地增加��。不想要的數(shù)據(jù)分組 可錯(cuò)誤地或由于故意攻擊而被發(fā)送��?��;谶h(yuǎn)程IP地址和遠(yuǎn)程端口的業(yè)務(wù)過(guò)濾并非在所有 情況下都是可能的。
[0003] 先前����,在不考慮動(dòng)態(tài)方面的情況下從預(yù)定義池(pool)分配本地端口。在數(shù)據(jù)接收 之后進(jìn)行針對(duì)合理數(shù)據(jù)的過(guò)濾��。其基于關(guān)于伙伴(partner)的某些知識(shí)����,S卩��,例如IP地址���、 端口、SSRC (會(huì)話SouRCe或同步SouRCe)標(biāo)識(shí)符等����。此外��,分組過(guò)濾總是與某些性能損耗 以及與想要和不想要的數(shù)據(jù)之間的不正確判定的一定風(fēng)險(xiǎn)相關(guān)�����。
[0004] 已知出現(xiàn)的另一問(wèn)題是在不正確地關(guān)閉會(huì)話之后有效載荷(playload)可能空懸 (hanging)����。此類空懸有效載荷也可引起不期望的分組泛洪(flooding)。在下文中����,分組泛 洪可用作任何不想要的數(shù)據(jù)業(yè)務(wù)的同義詞。
[0005] 因此�����,本發(fā)明的目的是緩解如上所述的在常規(guī)技術(shù)中發(fā)現(xiàn)的問(wèn)題。特定目的是提 供允許即使在已發(fā)生由故意或非故意分組泛洪引起的干擾的情況下也能可靠地使用本地 端口的方法����、設(shè)備和網(wǎng)絡(luò)、數(shù)據(jù)存儲(chǔ)介質(zhì)和計(jì)算機(jī)程序產(chǎn)品�。其他目的是降低接收到不想要 的數(shù)據(jù)的概率、使媒體傳輸?shù)母蓴_風(fēng)險(xiǎn)最小化���、避免使用受到不想要的業(yè)務(wù)的威脅的端口 以及使實(shí)時(shí)通信中的延遲最小化���。
[0006] 上述目的的至少部分通過(guò)如隨附獨(dú)立權(quán)利要求限定的本發(fā)明的特征來(lái)解決。本發(fā) 明的其他展開和有利實(shí)施例在從屬權(quán)利要求中被闡述�。
[0007] 本發(fā)明是基于根據(jù)對(duì)網(wǎng)絡(luò)上的傳輸?shù)挠^察來(lái)控制本地端口分配這一思想。由此���, 能使用于在其中向所選本地端口分配分組的面向分組的數(shù)據(jù)網(wǎng)絡(luò)中管理本地端口的方法 在能夠避免或至少減小分組泛洪的意義上是自適應(yīng)的(adaptive)���。
[0008] 在本發(fā)明的優(yōu)選實(shí)施例中,使在被使用之后的本地端口或已被檢測(cè)到被不想要的 數(shù)據(jù)分組作為目標(biāo)的本地端口對(duì)于選擇和分配而言是不利的���。這可通過(guò)針對(duì)選擇和分配而 忽視此類端口以使得它們根本不被使用(即����,如果資源池足夠大)或只有當(dāng)不存在更好選擇 時(shí)才被使用來(lái)實(shí)現(xiàn)。在后一情況下�,可持續(xù)地或在預(yù)定時(shí)間段內(nèi)或者在檢測(cè)到不想要的數(shù) 據(jù)分組被尋址到不利的本地端口情況下針對(duì)選擇和分配忽視所述不利的本地端口。通過(guò)上 述選項(xiàng)中的任一個(gè)�,接收到不想要的數(shù)據(jù)的概率相應(yīng)地降低。
[0009] 在優(yōu)選的又一展開中�,定義包括用于選擇和分配的本地端口的隊(duì)列,所述本地端 口被從所述隊(duì)列自上而下選擇和分配��,其中所述不利的本地端口被放入所述隊(duì)列的底端����。 這意味著創(chuàng)建用于選擇和分配端口的預(yù)定或適應(yīng)性地定義的順序���。該順序可被用于通過(guò)簡(jiǎn) 單地定義端口在隊(duì)列內(nèi)的位置來(lái)使所述端口處于優(yōu)選或使其處于不利����。因此�,將不利的本 地端口放入所述隊(duì)列的底端使得所述端口不太可能接收到不想要的分組。在該語(yǔ)境中�����,隊(duì) 列的頂部意指首先要選擇的位置。
[0010] 備選地����,可通過(guò)對(duì)端口設(shè)置標(biāo)記從而促使該端口針對(duì)選擇和分配被擱置來(lái)實(shí)現(xiàn)使 端口不利。這意味著該端口實(shí)際上被從隊(duì)列帶出��??墒褂貌煌N類的標(biāo)記,取決于是由于 會(huì)話在端口上已結(jié)束或端口被不想要的業(yè)務(wù)作為目標(biāo)而使該端口不利�。
[0011] 為了使曾經(jīng)受不期望業(yè)務(wù)影響的端口有可能能夠在一定時(shí)間量之后再次被使用, 允許所述不利的本地端口經(jīng)過(guò)一定的時(shí)間漫游通過(guò)所述隊(duì)列到所述隊(duì)列的頂部�����。每次端口 到達(dá)隊(duì)列的頂端時(shí)��,假定不想要的分組已變得不太可能仍被尋址到該端口�����,使得降低了再 次地經(jīng)由該端口接收不想要的分組的風(fēng)險(xiǎn)���。
[0012] 可發(fā)生的是�,在隊(duì)列中間的本地端口由于偏好或猜測(cè)或偶然性而被不想要的分組 直接地尋址。如果檢測(cè)到此類嘗試��,可將該本地端口移位至所述隊(duì)列的所述底端�,以便降低 該端口實(shí)際上被激活并接收此類不想要的分組的可能性。在此環(huán)境中��,曾經(jīng)被檢測(cè)到被不 想要的數(shù)據(jù)分組尋址的本地端口可被區(qū)分優(yōu)先次序以便針對(duì)不想要的數(shù)據(jù)分組進(jìn)行監(jiān)視��, 使得能夠?qū)崿F(xiàn)對(duì)曾經(jīng)受影響的端口的偏離(biasing)����。由于被不想要的數(shù)據(jù)尋址的概率通 常在一定時(shí)間之后下降,所以經(jīng)過(guò)一定時(shí)間可減輕所述區(qū)分優(yōu)先次序��,從而允許在攻擊已 減少的情況下自動(dòng)地將此類偏離撤走���。
[0013] 本發(fā)明還針對(duì)被設(shè)計(jì)成并適合于執(zhí)行上述方法的本地端口管理設(shè)備����。因此����,可創(chuàng) 建自適應(yīng)性本地端口管理器���。
[0014] 根據(jù)本發(fā)明的另一方面���,提出包括此類本地端口管理設(shè)備的面向分組的數(shù)據(jù)網(wǎng) 絡(luò)��。由此���,能使網(wǎng)絡(luò)中的業(yè)務(wù)更快并使得連接更可靠。
[0015] 其他方面還涉及具有電可讀控制信號(hào)的數(shù)字存儲(chǔ)介質(zhì)���,其能夠用可編程計(jì)算機(jī)系 統(tǒng)進(jìn)行操作以便管理面向分組的數(shù)據(jù)網(wǎng)絡(luò)中的本地端口�,所述控制信號(hào)被設(shè)計(jì)成并適合于 促使所述計(jì)算機(jī)系統(tǒng)執(zhí)行上述方法���,并涉及包括存儲(chǔ)在機(jī)器可讀載體上的程序代碼的計(jì)算 機(jī)程序產(chǎn)品��,用于管理面向分組的數(shù)據(jù)網(wǎng)絡(luò)中的本地端口���,所述程序代碼被設(shè)計(jì)成并適合 于在計(jì)算機(jī)程序產(chǎn)品在計(jì)算機(jī)上運(yùn)行的情況下執(zhí)行上述方法。
[0016] 通過(guò)研究本發(fā)明的優(yōu)選實(shí)施例的以下描述和附圖��,本發(fā)明的上述及其他特征�����、目 的、優(yōu)點(diǎn)和細(xì)節(jié)對(duì)本領(lǐng)域的技術(shù)人員而言將變得更加明白�����。其中���,所述或所示的任何實(shí)施例 的任何特征���、目的、優(yōu)點(diǎn)或細(xì)節(jié)將適用于任何其他實(shí)施例并且反之亦然�,除非另外明確地描 述或者由于技術(shù)或物理原因而明顯不可能?���?蓪?shí)施例相互組合,并且還可將任何組合理 解為本發(fā)明的實(shí)施例��。
[0017] 下面�����,將借助于目前優(yōu)選實(shí)施例并且在考慮附圖的情況下描述本發(fā)明����。在附圖中, 圖1是根據(jù)本發(fā)明的網(wǎng)絡(luò)的示意圖���; 圖2是被RTP流尋址的本地端口隊(duì)列的情況的示意圖�����; 圖3是被另一 RTP流尋址的本地端口隊(duì)列的情況的示意圖����; 圖4是被分組洪流(flood)尋址的本地端口隊(duì)列的情況的示意圖����;以及 圖5是被又一 RTP流尋址的本地端口隊(duì)列的情況的示意圖。
[0018] 將注意的是�,附圖是絕對(duì)示意性的且不需要按比例。應(yīng)將任何用圖形表示的例示 和描述理解成是示例性的�,并且意圖例示本發(fā)明的原理而不是對(duì)其進(jìn)行限制。
[0019] 下面作為本發(fā)明的優(yōu)選實(shí)施例對(duì)管理本地端口的方法進(jìn)行描述����。
[0020] 圖1示意性地例示根據(jù)本發(fā)明的網(wǎng)絡(luò)100。網(wǎng)絡(luò)100適合于傳輸面向分組的數(shù)據(jù)��, 并且因此在本發(fā)明的意義上是面向分組的數(shù)據(jù)網(wǎng)絡(luò)��。然而,不排除網(wǎng)絡(luò)100或其部分也能 夠傳輸非分組數(shù)據(jù)���。
[0021] 在所示情況中���,外部實(shí)例(instance) 102嘗試經(jīng)由作為網(wǎng)絡(luò)100的一部分的廣域 網(wǎng)104來(lái)將數(shù)據(jù)流106尋址到也是網(wǎng)絡(luò)100的一部分的局域網(wǎng)108的實(shí)例。在這里���,廣域網(wǎng) 104在不限制一般性的情況下是因特網(wǎng)�。局域網(wǎng)108通過(guò)也充當(dāng)開關(guān)的路由器110連接到 廣域網(wǎng)104�。可在服務(wù)器中或者作為獨(dú)立設(shè)備來(lái)實(shí)現(xiàn)路由器110��。路由器110適合于將數(shù) 據(jù)流路由并切換至局域網(wǎng)108的本地實(shí)例���,所述本地實(shí)例被舉例為工作站112��、IP電話114 以及打印機(jī)116,其可但不需要也包括傳真機(jī)�、掃描儀和/或復(fù)印機(jī)的功能�。將注意的是,所 描繪的本地實(shí)例112�����、114、116代表可與LAN 108連接的相同或另一種的預(yù)備(deliberate) 數(shù)目的實(shí)例��。
[0022] 每個(gè)本地實(shí)例可被由路由器110定義和管理的一個(gè)或多個(gè)本地端口尋址���。將注意 的是,本地端口的管理可分布在LAN 108中��,或者可在位于LAN 108中的某個(gè)地方的諸如專 用服務(wù)器����、又一開關(guān)等之類的另一設(shè)備中實(shí)現(xiàn),或者任何本地設(shè)備112�、114、116可具有管 理其自己的本地端口的能力�����。在本文中��,在不失一般性的情況下�,應(yīng)假定路由器110管理 LAN 108的本地端口列表���,如下面將更詳細(xì)地描述的�。
[0023] 圖2示意性地描述其中RTP流210被指引到LAN 108的情況�。由路由器110實(shí)現(xiàn) 的本地端口管理器(參見圖1)通過(guò)管理包括UDP端口 #29100��、#29102��、......�����、#29900的本 地端口隊(duì)列290來(lái)控制數(shù)據(jù)分組流到LAN的本地端口的分配����。
[0024] 如在本領(lǐng)域中通常已知的,RTP代表實(shí)時(shí)傳輸協(xié)議�,其是最初在RFC 1889中定義 且自2003年以來(lái)被RFC 3550取代的應(yīng)用層上的因特網(wǎng)協(xié)議,而UDP代表用戶數(shù)據(jù)報(bào)協(xié)議����, 其為傳輸層上的因特網(wǎng)協(xié)議,在RFC 768中正式定義���。根據(jù)定義����,在偶數(shù)端口號(hào)上發(fā)起和接 收RTP數(shù)據(jù)分組,并且經(jīng)由相應(yīng)的下一更高的奇數(shù)端口號(hào)來(lái)傳送關(guān)聯(lián)RTP控制協(xié)議(RTCP) 數(shù)據(jù)�。
[0025] 由于UDP端口 #29100是隊(duì)列290中的最高未使用的本地端口,所以由端口管理器 為RTP流210分配UDP端口 #29100�����。在這里��,"高"意指在隊(duì)列290中按選擇順序的高位置�����, 其中�����,較小的端口 #號(hào)描述在該意義上的較高位置���。
[0026] 圖3示意性地描述其中另一 RTP流310被指引到端口管理器的情況。如在圖3中 所示���,UDP端口 #29100不再是開放的����,這意味著RTP流210 (圖2)已結(jié)束,并且已分配的會(huì) 話關(guān)閉����。因此,UDP端口 #29100已被端口管理器立即標(biāo)記為不利的本地端口�,這意味著UDP 端口 #29100將不會(huì)被用于進(jìn)一步調(diào)用,以便防止對(duì)可能仍在行進(jìn)中的其余分組的接收�。
[0027] UDP端口 #29102現(xiàn)在是隊(duì)列290中的最高未使用的可選擇本地端口,所以為RTP 流310分配和開放UDP端口 #29102��。
[0028] 圖4示意性地描述其中已被檢測(cè)到是不想要的數(shù)據(jù)分組的RTP流被指引到用分組 洪流410符號(hào)化的端口管理器的情況��。假定UDP端口 #29104可因?yàn)槔缭摱丝谙惹氨婚_ 放用于非可疑數(shù)據(jù)通信并且仍是開放的而被分組洪流410尋址�。(然而,還可設(shè)想不想要的 分組洪流被直接地尋址到目前關(guān)閉的本地端口�����,因?yàn)槔鐝南惹暗耐ㄐ呕蛴捎谄渌蛞?知其標(biāo)識(shí)符)��。
[0029] 如在圖4中所示���,UDP端口 #29102不再是開放的��,這意味著RTP流310 (圖3)已 結(jié)束�,并且已分配的會(huì)話結(jié)束。因此��,UDP端口 #29102已被標(biāo)記為不利的本地端口����,這意味 著其不會(huì)被選擇為用于分配。此外���,m)P端口 #29100仍被標(biāo)記為不利的本地端口��。
[0030] 由于UDP端口 #29104目前未被阻擋��,所以任何輸入數(shù)據(jù)流將正常地被分配給 UDP端口 #29104。然而����,由于分組洪流410被檢測(cè)為是不想要的,所以當(dāng)前經(jīng)由UDP端口 #29104運(yùn)行的任何會(huì)話將立即被端口管理器關(guān)閉�,并且UDP端口 #29104被其標(biāo)記為"臟的 (dirty)"。這意味著不僅將防止UDP端口 #29104接收可能仍在行進(jìn)中以用于已關(guān)閉會(huì)話 的其余分組���,而且再次地用不想要的數(shù)據(jù)分組來(lái)使UDP端口 #29104泛洪的任何嘗試將找不 到目標(biāo)��,只要保持UDP端口 #29104被標(biāo)記為"臟的"�。
[0031] 圖5示意性地描述其中又一 RTP流510被指引到端口管理器的情況。如圖5中所 示��,UDP端口 #29100和#29102仍被標(biāo)記為不利的��,并且UDP端口 #29104仍被標(biāo)記為臟的�����。
[0032] 由于UDP端口 #29106現(xiàn)在是隊(duì)列290中的最高未使用的可選擇本地端口����,所以為 RTP流510分配和開放UDP端口 #29106。
[0033] 即使在圖中未示出����,在預(yù)定時(shí)間段之后,或者在到達(dá)UDP端口 #29900之后�����,先前標(biāo) 記的本地端口可被取消標(biāo)記����,使得其能夠被再次選擇和分配用于通信。
[0034] 應(yīng)注意的是��,雖然可能存在對(duì)剛剛已關(guān)閉其會(huì)話的端口而言處于不利的第一階 段,但可將"臟的"標(biāo)記理解為對(duì)于已經(jīng)歷某些分組泛洪的端口而言處于不利的另一階段�。 可不同地對(duì)待處于不利的兩個(gè)階段。例如���,當(dāng)將像在本示例中的UDP端口 #29104 -樣被標(biāo) 記為"臟的"的本地端口保持為被標(biāo)記達(dá)比僅被標(biāo)記為"不利的"的本地端口更長(zhǎng)的時(shí)段可 能是有利的�����。
[0035] 在作為上述實(shí)施例的變型的優(yōu)選實(shí)施例中�����,在隊(duì)列290中動(dòng)態(tài)地改變對(duì)端口的編 號(hào)����。即��,在上述示例中��,在RTP流210 (圖2)已結(jié)束之后���,UDP端口 #29102、#29104�、......��、 #29900 被編號(hào)而變成 UDP 端口 #29100����、#29102�、......、#29898,并且被列為 UDP 端口 #29100 的端口被重新編號(hào)為UDP端口 #29900�。同樣地,如果任何UDP端口 #29xxx已經(jīng)停止會(huì) 話����,則 UDP 端口 #29xxx+2、#29xxx+4���、......�����、#29900 被重新編號(hào)而變成 UDP 端口 #29xxx��、 #29xxx+2�、......�����、#29898,并且以前的UDP端口 #29xxx被重新編號(hào)為UDP端口 #29900。如 果UDP端口 #29XXX具有被檢測(cè)到被尋址到那里的任何不想要的數(shù)據(jù)分組�����,則可執(zhí)行相同的 編號(hào)����。可將此類重新編號(hào)理解為不利的第一階段����。此外,在后一種情況下�����,可將"臟的"標(biāo) 記分配給此類端口作為不利的第二階段�����,從而命令端口管理器讓此類端口在隊(duì)列290的底 端����,直至出現(xiàn)另一"臟的"端口��,該另一"臟的"端口然后被分類為UDP端口 #29900,而僅因 為非可疑通信已結(jié)束而被禁用的端口被分類到隊(duì)列290中,位于任何"臟的"端口前面的位 置處�����。將注意的是����,無(wú)論是否已被標(biāo)記為"臟的",如果不想要的數(shù)據(jù)分組再次地被檢測(cè)到被 尋址到那里�,則都可將端口分類到隊(duì)列290的末端。
[0036] 在本實(shí)施例中�����,端口管理器為任何新的RTP流選擇和分配最高的未使用端口�。通 過(guò)如所述的將隊(duì)列分類����,具有被檢測(cè)到被尋址到那里的最近不想要的業(yè)務(wù)的端口將始終是 最后的新近被選來(lái)用于分配的端口���。
[0037] "臟的"標(biāo)記還可命令端口管理器或通信管理器針對(duì)不想要的數(shù)據(jù)業(yè)務(wù)監(jiān)視任何 這樣標(biāo)記的端口����,其中所述端口具有比其他端口更高的優(yōu)先級(jí)���。
[0038] 只有在端口被再次選擇和分配時(shí)���,才可清除該端口的"臟的"標(biāo)記。備選地�,在預(yù) 定時(shí)間段之后可清除端口的"臟的"標(biāo)記���。
[0039] 在本發(fā)明的自適應(yīng)性端口管理中�����,從隊(duì)列的頂端獲取端口以便建立新會(huì)話���,并且 當(dāng)會(huì)話被關(guān)閉時(shí)將該端口分類到隊(duì)列的底端��。到達(dá)關(guān)閉端口的分組由IP堆棧利用諸如"目 的地端口不可到達(dá)"之類的消息進(jìn)行響應(yīng)���。通過(guò)某個(gè)鉤子(hook)機(jī)制,還可將其告知監(jiān)視 器��。如果超過(guò)了預(yù)定限制(例如,在三個(gè)分組之后)�,相應(yīng)端口再次地被移位至隊(duì)列的末端�, 并且程序再次開始。一旦再?zèng)]有其他分組到達(dá)關(guān)閉端口�,該端口就可經(jīng)過(guò)一定的時(shí)間移位 到隊(duì)列的頂端,并且再次地可用于會(huì)話����。受干擾端口被重復(fù)地移位至隊(duì)列的末端���,并且最有 可能被拒絕使用。
[0040] 端口管理器不需要在關(guān)閉會(huì)話之后監(jiān)視端口���,因?yàn)槠浔籌P堆棧主動(dòng)地告知�����。業(yè)務(wù) 本身被端口管理器獨(dú)立地檢測(cè)�����。然而�����,可由網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)(例如�,SNORT)來(lái)輔助端口管 理器��。
[0041] 在本發(fā)明的意義上����,可將對(duì)不想要的數(shù)據(jù)分組的監(jiān)視和/或檢測(cè)理解為對(duì)網(wǎng)絡(luò)上 的傳輸?shù)挠^察�����。路由器/開關(guān)110在本發(fā)明的意義上是本地端口管理設(shè)備���,而在網(wǎng)絡(luò)100 中的任何地方單獨(dú)提供的任何其他設(shè)備、諸如LAN 108中的另一交換設(shè)備等在本發(fā)明的意 義上還可以是本地端口管理設(shè)備�,并且網(wǎng)絡(luò)100、廣域網(wǎng)104和局域網(wǎng)108在本發(fā)明的意義 上是面向分組的數(shù)據(jù)網(wǎng)絡(luò)��。可由存儲(chǔ)于在路由器110或?yàn)楣芾碓诰W(wǎng)絡(luò)110或其任何子網(wǎng)內(nèi) 的本地端口而提供的任何其他設(shè)備中安裝的存儲(chǔ)器裝置上的程序步驟來(lái)結(jié)合上述方法的 功能���。還可在類似于磁帶或盤��、記憶棒�、半導(dǎo)體存儲(chǔ)器等的存儲(chǔ)介質(zhì)上在線或離線地提供此 類程序步驟。
[0042] 已通過(guò)上述實(shí)施例及其變型來(lái)示范和例示了本發(fā)明��。然而���,將注意的是�����,在不脫離 通過(guò)隨附權(quán)利要求的最寬泛闡釋所限定的本發(fā)明的范圍的情況下可由本領(lǐng)域技術(shù)人員進(jìn) 一步改變和開發(fā)那些實(shí)施例和變型�����。
[0043] 例如,雖然一旦被定義之后可保持端口編號(hào)�����,但可管理一組指針或占位符隊(duì)列以 定義端口的選擇順序���。
[0044] 盡管被示為和描述為星形布局����,但LAN 108也可以是總線或環(huán)形布局,或者是混 合式形式�。
[0045] 將注意的是���,本發(fā)明不僅適用于從外部調(diào)用,而且還適用于來(lái)自LAN 108內(nèi)部的 諸如由已滲透入LAN 108的特洛伊之類的分組泛洪攻擊。
[0046] <附圖標(biāo)記和符號(hào)列表> 以下列表是本描述的組成部分。
[0047] 100 網(wǎng)絡(luò) 102 外部實(shí)例 104 廣域網(wǎng) 106 數(shù)據(jù)流 108 局域網(wǎng) 110 路由器/開關(guān) 112 工作站 114 IP電話 116 打印機(jī) 210 RTP 流 290 本地端口隊(duì)列 310 RTP 流 410 分組洪流 510 RTP 流 UDP端口 #29100 本地端口 UDP端口 #29102 本地端口 UDP端口 #29104 本地端口 UDP端口 #29106 本地端口 UDP端口 #29108 本地端口 UDP端口 #29110 本地端口 UDP端口 #29900 本地端口
【權(quán)利要求】
1. 一種用于管理面向分組的數(shù)據(jù)網(wǎng)絡(luò)中的本地端口的方法�����, 其中分組被分配給所選本地端口, 其特征在于���, 基于對(duì)所述網(wǎng)絡(luò)上的傳輸?shù)挠^察來(lái)控制本地端口的分配����。
2. 根據(jù)權(quán)利要求1所述的方法���, 其特征在于���, 使在被使用之后的本地端口或已被檢測(cè)到被不想要的數(shù)據(jù)分組作為目標(biāo)的本地端口 對(duì)于選擇和分配而言是不利的�。
3. 根據(jù)權(quán)利要求2所述的方法�, 其特征在于����, 針對(duì)選擇和分配持續(xù)地忽視所述不利的本地端口�����。
4. 根據(jù)權(quán)利要求2所述的方法���, 其特征在于����, 在預(yù)定時(shí)間段內(nèi)針對(duì)選擇和分配忽視所述不利的本地端口。
5. 根據(jù)權(quán)利要求2所述的方法�����, 其特征在于�, 只要不想要的數(shù)據(jù)分組被檢測(cè)到被尋址到所述不利的本地端口,就針對(duì)選擇和分配忽 視所述不利的本地端口��。
6. 根據(jù)權(quán)利要求2至5中的任一項(xiàng)所述的方法, 其特征在于�, 定義包括用于選擇和分配的本地端口的隊(duì)列,從所述隊(duì)列自上而下地選擇和分配所述 本地端口�����,其中將所述不利的本地端口放入所述隊(duì)列的底端�。
7. 根據(jù)權(quán)利要求6所述的方法, 其特征在于����, 允許所述不利的本地端口經(jīng)過(guò)一定的時(shí)間漫游通過(guò)所述隊(duì)列到達(dá)所述隊(duì)列的頂部。
8. 根據(jù)權(quán)利要求6或7所述的方法�, 其特征在于���, 在任何不想要的數(shù)據(jù)分組被檢測(cè)到被尋址到本地端口的情況下,所述隊(duì)列中的所述本 地端口被移位至所述隊(duì)列的所述底端��。
9. 根據(jù)權(quán)利要求6至8中的任一項(xiàng)所述的方法����, 其特征在于�, 曾經(jīng)被檢測(cè)到被不想要的數(shù)據(jù)分組尋址的本地端口被區(qū)分優(yōu)先次序以便針對(duì)不想要 的數(shù)據(jù)分組進(jìn)行監(jiān)視。
10. 根據(jù)權(quán)利要求9所述的方法�����, 其特征在于�, 經(jīng)過(guò)一定的時(shí)間減輕所述區(qū)分優(yōu)先次序。
11. 根據(jù)前述權(quán)利要求中的任一項(xiàng)所述的方法�, 其特征在于, 所述不利的本地端口被給予標(biāo)記����,其中優(yōu)選地第一類型的標(biāo)記被給予已經(jīng)結(jié)束非可疑 會(huì)話的本地端口,而第二類型的標(biāo)記被給予已經(jīng)被任何不想要的數(shù)據(jù)分組作為目標(biāo)的本地 端口�����。
12. -種在面向分組的數(shù)據(jù)網(wǎng)絡(luò)中的本地端口管理設(shè)備, 其特征在于��, 所述本地端口管理設(shè)備被設(shè)計(jì)成并且適合于執(zhí)行前述權(quán)利要求中的任一項(xiàng)的方法���。
13. -種面向分組的數(shù)據(jù)網(wǎng)絡(luò)�, 其特征在于����, 所述網(wǎng)絡(luò)包括權(quán)利要求12的本地端口管理設(shè)備。
14. 具有電可讀控制信號(hào)的數(shù)字存儲(chǔ)介質(zhì)���,所述電可讀控制信號(hào)能夠利用可編程計(jì)算 機(jī)系統(tǒng)進(jìn)行操作�,以便管理面向分組的數(shù)據(jù)網(wǎng)絡(luò)中的本地端口�����, 其特征在于��, 所述控制信號(hào)被設(shè)計(jì)成并且適合于促使所述計(jì)算機(jī)系統(tǒng)執(zhí)行任何權(quán)利要求1至11的 方法����。
15. -種包括存儲(chǔ)在機(jī)器可讀載體上的程序代碼的計(jì)算機(jī)程序產(chǎn)品��,用于管理面向分 組的數(shù)據(jù)網(wǎng)絡(luò)中的本地端口,其特征在于����, 所述程序代碼被設(shè)計(jì)成并且適合于在計(jì)算機(jī)程序產(chǎn)品在計(jì)算機(jī)上運(yùn)行的情況下執(zhí)行 任何權(quán)利要求1至11的方法。
【文檔編號(hào)】H04L29/06GK104106248SQ201280069305
【公開日】2014年10月15日 申請(qǐng)日期:2012年11月21日 優(yōu)先權(quán)日:2012年11月21日
【發(fā)明者】T.馬萊切克, P.諾沃特尼, M.普爾塞克 申請(qǐng)人:統(tǒng)一有限責(zé)任兩合公司