CN111294365A - 攻击流量防护系统、方法、装置、电子设备和存储介质 - Google Patents
攻击流量防护系统、方法、装置、电子设备和存储介质 Download PDFInfo
- Publication number
- CN111294365A CN111294365A CN202010394862.2A CN202010394862A CN111294365A CN 111294365 A CN111294365 A CN 111294365A CN 202010394862 A CN202010394862 A CN 202010394862A CN 111294365 A CN111294365 A CN 111294365A
- Authority
- CN
- China
- Prior art keywords
- attack
- traffic
- protection
- flow
- processed
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Abstract
本申请涉及网络安全技术领域,尤其涉及一种攻击流量防护系统、方法、装置、电子设备和存储介质,用以提供一种自动分层防护方法,提高防护效率,其中,系统包括:核心路由器集群,用于将接收到的待处理流量的镜像流量转发给攻击检测模块;攻击检测模块,用于对镜像流量进行检测;在检测到攻击流量后生成告警信息,并将告警信息上报中央集中控制模块;中央集中控制模块,用于根据告警信息中的流量特征信息确定攻击流量的攻击类型;若攻击类型包括带宽消耗型攻击,则使核心路由器集群对待处理流量进行防护;若攻击类型包括资源消耗型攻击,则使清洗模块对待处理流量进行防护。由于本申请根据攻击流量的流量特征信息进行自动分层防护,提高防护效率。
Description
技术领域
本申请涉及网络安全技术领域,尤其涉及一种攻击流量防护系统、方法、装置、电子设备和存储介质。
背景技术
随着DDoS(Distributed Denial-Of-Service,分布式拒绝服务攻击)攻击越来越频繁的威胁到基础业务系统和数据安全。相关技术中的DDoS防护系统的设计方式通常是基于Netflow(网络流)进行网络攻击流量监控,发现攻击后通过串联部署或者旁路部署专用清洗设备进行DDoS攻击缓解。
然而,在大型网络中面对攻击场景复杂的DDoS威胁,由于攻击手法复杂多变,业务场景多种多样,因此难以有效防护和快速适配,难以用一种防护手法或单一的防护方案覆盖进阶的越演越烈的DDoS攻击,无法满足业务时效性和自动化的需求。
发明内容
本申请实施例提供一种攻击流量防护系统、方法、装置、电子设备和存储介质,用以提供一种自动化、集中化的DDoS攻击防护方法,提高防护效率。
本申请实施例提供的一种攻击流量防护系统,包括:
攻击检测模块、中央集中控制模块、核心路由器集群和清洗模块,其中所述核心路由器集群包含至少一个核心路由器;
所述核心路由器集群,用于将接收到的待处理流量的镜像流量转发给所述攻击检测模块;
所述攻击检测模块,用于对所述镜像流量进行检测;在检测到所述镜像流量中包含攻击流量后生成告警信息,并将所述告警信息上报给所述中央集中控制模块,所述告警信息中包含所述攻击流量的流量特征信息;
所述中央集中控制模块,用于根据所述告警信息中的流量特征信息,确定所述攻击流量的攻击类型;若所述攻击类型包括带宽消耗型攻击,则使所述核心路由器集群中的核心路由器对所述待处理流量进行防护处理;若所述攻击类型包括资源消耗型攻击,则使所述清洗模块对所述待处理流量进行防护处理。
本申请实施例提供的一种用于攻击流量防护系统的攻击流量防护方法,包括:
接收攻击检测模块上报的告警信息,其中所述告警信息是所述攻击检测模块检测到核心路由器集群转发的待处理流量的镜像流量包含攻击流量后生成的,所述核心路由器集群包含至少一个核心路由器,所述告警信息中包含所述攻击流量的流量特征信息;
根据所述告警信息中的流量特征信息,确定所述攻击流量的攻击类型;若所述攻击类型包括带宽消耗型攻击,则使所述核心路由器集群中的核心路由器对所述待处理流量进行防护处理;若所述攻击类型包括资源消耗型攻击,则使清洗模块对所述待处理流量进行防护处理。
本申请实施例提供的一种攻击流量防护装置,包括:
告警单元,用于接收攻击检测模块上报的告警信息,其中所述告警信息是所述攻击检测模块检测到核心路由器集群转发的待处理流量的镜像流量包含攻击流量后生成的,所述核心路由器集群包含至少一个核心路由器,所述告警信息中包含所述攻击流量的流量特征信息;
防护单元,用于根据所述告警信息中的流量特征信息,确定所述攻击流量的攻击类型;若所述攻击类型包括带宽消耗型攻击,则使所述核心路由器集群中的核心路由器对所述待处理流量进行防护处理;若所述攻击类型包括资源消耗型攻击,则使清洗模块对所述待处理流量进行防护处理。
可选的,所述攻击类型包括带宽消耗型攻击,所述防护单元具体用于:
在确定所述攻击流量的攻击类型为带宽消耗型攻击后,通过调用路由策略下发控制模块,将第一防护策略下发至所述核心路由器集群,以使所述核心路由器集群中的核心路由器根据所述第一防护策略对所述待处理流量进行防护处理。
可选的,所述第一防护策略是所述路由策略下发控制模块根据预先配置的边界网关协议流规则确定的,与所述攻击流量匹配的第一防护策略。
可选的,所述攻击类型包括资源消耗型攻击,所述防护单元具体用于:
在确定所述攻击流量的攻击类型为资源消耗型攻击后,通过边界路由器集群中的边界路由器与所述清洗模块建立BGP邻居,将所述待处理流量牵引至所述清洗模块,以使所述清洗模块根据第二防护策略对所述待处理流量进行防护处理。
可选的,所述第二防护策略是所述清洗模块确定出所述待处理流量中的攻击流量后,根据确定出的攻击流量的业务属性,从预设防护策略集合中获取的与所述攻击流量的业务属性匹配的所述第二防护策略,其中所述攻击流量的业务属性为所述攻击流量的目的地址与所述攻击流量对应的业务所属业务群组中的一种或多种。
可选的,所述装置还包括业务检测单元:
所述业务检测单元,用于对目标业务的网络状态进行检测;
若检测到所述目标业务的网络状态发生异常,则通过所述边界路由器集群与所述清洗模块建立的BGP邻居,将目的地址与所述目标业务的网络地址相同的流量牵引至所述清洗模块,通过所述清洗模块对目的地址与所述目标业务的网络地址相同的流量进行防护处理。
可选的,所述装置还包括展示单元:
所述展示单元,用于收集对所述待处理流量进行防护处理后生成的清洗流量日志;根据所述清洗流量日志生成清洗流量报表,并通过展示界面展示所述清洗流量报表。
本申请实施例提供的一种电子设备,包括处理器和存储器,其中,所述存储器存储有程序代码,当所述程序代码被所述处理器执行时,使得所述处理器执行上述任意一种攻击流量防护方法的步骤。
本申请实施例提供一种计算机可读存储介质,其包括程序代码,当所述程序产品在电子设备上运行时,所述程序代码用于使所述电子设备执行上述任意一种攻击流量防护方法的步骤。
本申请实施例提供的攻击流量防护系统、方法、装置、电子设备和存储介质,由于本申请实施例基于攻击类型的预设,自动根据流量特征信息将多种类型的DDoS攻击进行分层牵引防护,通过中央集中控制模块进行统一管理,对带宽消耗型攻击启动上层防护处理流程,使临近攻击源的核心路由器对待处理流量进行防护,可以充分利用已有的路由器设备资源;对于攻击对抗难度大的资源消耗型攻击启动下层防护处理进行防护,利用系统中的清洗模块对待处理流量进行防护,使得资源合理利用,从而灵活地、高效地满足网络各种各样的DDoS防护场景需求,提高了DDoS对抗的效率和防护效果。
本申请的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本申请而了解。本申请的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1为背景技术中的一种串联防护方案的一个可选的示意图;
图2为背景技术中的一种旁路防护方案的一个可选的示意图;
图3为本申请实施例的应用场景示意图;
图4为本申请实施例中一种攻击流量防护系统的一个可选的示意图;
图5为本申请实施例中的一种攻击流量防护系统的整体架构示意图;
图6为本申请实施例中的一种上层防护示意图;
图7为本申请实施例中的一种BGP Flowspec控制流程图;
图8为本申请实施例中的一种DDoS攻击前访问流的示意图;
图9为本申请实施例中的一种DDoS攻击时访问流的示意图;
图10为本申请实施例中的一种通过BGP Flowspec下发DDoS防护的示意图;
图11为本申请实施例中的一种下层防护示意图;
图12为本申请实施例中的一种上下层联动防护示意图;
图13为本申请实施例中的一种中央集中控制模块的整体架构示意图;
图14为本申请实施例中的一种攻击流量防护的完整方法流程图;
图15为本申请实施例中的一种攻击流量防护方法的流程图;
图16为本申请实施例中的一种攻击流量防护装置的组成结构示意图;
图17为本申请实施例中的一种电子设备的组成结构示意图;
图18为应用本申请实施例的一种计算装置的一个硬件组成结构示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请技术方案的一部分实施例,而不是全部的实施例。基于本申请文件中记载的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请技术方案保护的范围。
下面对本申请实施例中涉及的部分概念进行介绍。
拒绝服务攻击(denial-of-service attack,简称DoS攻击):亦称洪水攻击,是一种网络攻击手法,其目的在于使目标电脑的网络或系统资源耗尽,使服务暂时中断或停止,导致其正常用户无法访问。当黑客使用网络上两个或以上被攻陷的电脑作为僵尸向特定的目标发动拒绝服务式攻击时,称为分布式拒绝服务攻击,简称DDoS攻击。DDoS攻击是影响企业网络正常运行最常见的方式,攻击带来的最大危害是因服务不可达而导致业务丢失,而且危害带来的影响在攻击结束后的很长一段时间内都无法消失,使得企业和组织损失惨重。
攻击类型:在本申请实施例中,攻击类型可基于攻击流量的攻击特征信息来进行区分。通常DDoS攻击可以分为带宽消耗型攻击和资源消耗型攻击两大类。其中,带宽消耗型攻击是指使得受害主机的网络接入带宽被耗尽的攻击,而资源消耗型攻击是指使得受害主机的系统资源(存储资源和计算资源)被大量占用的攻击。
CC(Challenge Collapsar,挑战黑洞):利用大量的肉鸡(免费代理服务器)向目标服务器发送大量看似合法的请求,从而不断利用被攻击服务器的资源进行重来这边请求,让其资源不断被消耗,当服务器的资源被消耗殆尽用户就无法正常访问服务器获取服务器的响应,在CC攻击过程中,能够感觉到服务器的稳定性在不断的变差直至服务器瘫痪。
UDP(User Datagram Protocol floods,用户数据包协议):一种无连接协议,主要是通过信息交换过程中的握手原则来实现攻击,当通过UDP发送数据时,三次的数据握手验证无法正常进行,导致大量数据包发送给目标系统时无法进行正常的握手验证,从而导致带宽被占满而无法让正常用户进行访问,导致服务器瘫痪或者崩溃。
TCP(Transmission Control Protocol,传输控制协议):是一种面向连接的、可靠的、基于字节流的传输层通信协议。TCP旨在适应支持多网络应用的分层协议层次结构。连接到不同但互连的计算机通信网络的主计算机中的成对进程之间依靠TCP提供可靠的通信服务。TCP假设它可以从较低级别的协议获得简单的,可能不可靠的数据报服务。原则上,TCP应该能够在从硬线连接到分组交换或电路交换网络的各种通信系统之上操作。
流量特征信息:指用于表征流量特性的数据或者信息,例如流量的大小、流量的协议类型等信息都可用于表征流量的特性,因此这些信息都可作为流量特征信息。在本申请实施例中,流量特征信息包括但不限于流量大小和流量协议类型。
拨测:是一种网络链路质量的测试手段。拨测,非常类似于爬虫,更准确地讲,非常类似于黑客控制肉鸡发起DDoS攻击。这里的肉鸡就是某个互联网服务的客户端,比如PC(Personal Computer,个人计算机)端、手机端。在本申请实施例中,通过拨测子模块周期性探测目标业务的状态,目标业务IP(Internet Protocol,网际互连协议)的通畅性,并在检测到异常后,将目标业务加入防护业务群组中,对目标业务进行实时防护和攻击流量的清洗,实现基于业务状态的自动清洗。
NetFlow:是一种网络监测功能/流量采集方式,可以收集进入及离开网络界面的IP封包的数量及资讯,应用于路由器及交换器等。经由分析Netflow收集到的资讯,网络管理人员可以知道封包的来源及目的地,网络服务的种类,以及造成网络壅塞的原因。
分光镜像:是一种流量采集方式,采用分光器进行分光然后再进行分流。通过这种方式,对进出口的流量做镜像拷贝。由于该方式不是抽样流量信息,因此能提供更深层的防护。
Resful(Representational State Transfer,表述性状态转移):一种软件架构风格、设计风格,而不是标准,只是提供了一组设计原则和约束条件。它主要用于客户端和服务器交互类的软件。基于这个风格设计的软件可以更简洁,更有层次,更易于实现缓存等机制。在本申请实施例中,提供基于Resful的API I(Application Programming Interface,应用程序接口)进行通信对接,使得接口Resful标准化,根据整体方案可按需接入,提升效能以及健壮性。
黑洞路由:指将所有无关路由吸入其中,使它们有来无回的路由。黑洞路由最大的好处是充分利用了路由器的包转发能力,对系统负载影响非常小。如果同样的功能用ACL(Access Control Lists,访问控制列表)实现,则流量增大时CPU利用率会明显增加。所以,一直是解决固定DoS攻击的最好办法。相当于洪水来临时,在洪水途经的路上附近挖一个不见底的巨大深坑,然后将洪水引入其中。在路由器中配置路由黑洞完全是出于安全因素,设有黑洞的路器会默默地抛弃掉数据包而不指明原因。一个黑洞路由器是指一个不支持PMTU(Path Maximum Transmission Unit,路径最大传输单元)且被配置为不发送DestinationUnreachable(目的不可达)回应消息的路由器。在本申请实施例中,通过黑洞路由和上层防护、下层防护均相关,黑洞路由可通过BGP协议实现将去往特定的目标IP流量全部丢弃(包括去往被攻击目标IP的正常流量、攻击流量)。
VRF(Virtual Routing Forwarding,虚拟路由和转发):是一项基于物理路由器的工作原理的技术。与单个路由器不同,虚拟路由器(VR)可以作为多个实例同时运行。这些实例中的每一个都使用其自己的路由和转发表。因为每个虚拟路由器实例(VRI)都是自主运行的,所以分配的接口上的网络流量与其他虚拟路由器管理的流量是分开的。网络的这种特殊分离提高了网络安全性,而不必像在普通网络上那样使用VPN(Virtual PrivateNetwork,虚拟专用网络)。由于可以在多个虚拟路由器上使用相同的IP地址或IP范围,它们甚至可以重叠而不会互相冲突,因此虚拟路由器也可以用于在防火墙上同时管理具有相同网络配置的多个网络的网络流量。
分片攻击:原理为在IP的分片包中,所有的分片包用一个分片偏移字段标志分片包的顺序,但是,只有第一个分片包含有TCP端口号的信息。当IP分片包通过分组过滤防火墙时,防火墙只根据第一个分片包的TCP信息判断是否允许通过,而其他后续的分片不作防火墙检测,直接让它们通过。这样,攻击者就可以通过先发送第一个合法的IP分片,骗过防火墙的检测,接着封装了恶意数据的后续分片包就可以直接穿透防火墙,直接到达内部网络主机,从而威胁网络和主机的安全。
SYN(synchronous,建立联机)洪水:依据TCP建立连接的三次握手。此攻击以多个随机的源主机地址向目的主机发送SYN包,而在收到目的主机的SYN+ACK(Acknowledgecharacter,确认字符)包后并不回应,目的主机就为这些源主机建立大量的连接队列,由于没有收到ACK一直维护这些连接队列,造成资源的大量消耗而不能向正常的请求提供服务。与之类似的攻击方式还有、FIN(finish,结束)洪水、ACK洪水、RST(reset,重置)洪水等。
云技术(Cloud technology)是指在广域网或局域网内将硬件、软件、网络等系列资源统一起来,实现数据的计算、储存、处理和共享的一种托管技术。
云技术(Cloud technology)基于云计算商业模式应用的网络技术、信息技术、整合技术、管理平台技术、应用技术等的总称,可以组成资源池,按需所用,灵活便利。云计算技术将变成重要支撑。技术网络系统的后台服务需要大量的计算、存储资源,如视频网站、图片类网站和更多的门户网站。伴随着互联网行业的高度发展和应用,将来每个物品都有可能存在自己的识别标志,都需要传输到后台系统进行逻辑处理,不同程度级别的数据将会分开处理,各类行业数据皆需要强大的系统后盾支撑,只能通过云计算来实现。
其中,云技术中还包括云安全(Cloud Security)技术领域,云安全是指基于云计算商业模式应用的安全软件、硬件、用户、机构、安全云平台的总称。云安全主要研究如何保障云自身及云上各种应用的安全,包括云计算机系统安全、用户数据的安全存储与隔离、用户接入认证、信息传输安全、网络攻击防护、合规审计等,而本申请主要涉及其中的网络攻击防护。随着伴随万物互联而来不止有智能化的生活,背后的安全性同样不容忽视,DDoS与物联网的关系越来越紧密,物联网设备已经成为大规模DDoS攻击中的一个常见目标,随着物联网的爆发,也为攻击者提供了入侵易受攻击连网设备的绝佳机会,尤其是构建僵尸网络(恶意软件感染的连网设备网络,可用于向目标服务器发送大量请求)等对网络安全造成了严重影响。本申请实施例则新提出了一种攻击流量防护系统,用以根据攻击流量的特性对网络中的攻击流量进行自动分层防护处理,进而提高网络数据传输和保存的安全性。
下面对本申请实施例的设计思想进行简要介绍:
如图1和图2所示,为相关技术中常见的DDoS防护方案的流程图。
其中,图1为背景技术中提到的串联防护方案的流程图,通过串联部署专用清洗设备进行DDoS攻击缓解,具体可分为三个步骤,首先通过流量牵引将Internet(因特网)入口原本要去往受害IP的流量牵引至旁路DDOS(分布式拒绝服务)防护设备,例如牵引至ADS(Anti-DDoS System,DDoS防御系统),之后,ADS通过多层次的垃圾流量识别与净化功能,将拒绝服务攻击的流量从混合流量中分离、过滤,最后将经过ADS净化之后的正常流量通过Router(路由器)和Switch(交换机)被重新注入回网络,即图1中的Intranet(内部网),到达目的IP。
图2为背景技术中提到的旁路防护方案,通过并联部署专用清洗设备进行DDoS攻击缓解,具体的,Network Traffic Analyzer(网络流量分析仪)对Internet(因特网入口)的Flow Data(流量数据)进行Attack Detection(攻击检测),在检测到攻击流量后,Anti-DDoS System(DDoS防御系统)通过BGP Advertisement(BGP广告)通知路由器,路由器将攻击流量牵引至Anti-DDoS System,经过清洗后,将正常流量回注至原始网络,即图2中的Protected Network(保护网络)。其中Anti-DDoS System Manager(DDoS防御系统管理器)可收集Attack Filtering Logs(攻击过滤日志)和Attack Logs(攻击日志)。相较于串联部署,旁路部署保证了原有组网不被破坏。但同时引入了流量流向改变技术,通过引流,回注等一系列手段来控制流量的走向,实现对异常流量的处理。
在相关防护方案中,虽然上述两种防护方案都可以进行一定的防护,但是相关技术中大都是基于netflow来进行收集原始数据源,且会根据设置的采样比上报数据至攻击检测模块,因路由器在生成netflow原始数据以及上报数据均需要一定时间,导致原始数据会按照采样比率上报,故存在攻击检测实时性延迟和数据全面性欠缺的问题;此外,通常DDoS攻击的带宽消耗型攻击和资源消耗型攻击具备同步的特性和特点,然而传统防护方案只能用单一的防护设备和手段进行攻击缓解,无法根据攻击流量特性自动选择防护资源进行流量分层防护,自动化完成防护闭环。
通过对监测到的DDoS攻击数据分析可知,随着互联网技术的飞速发展,DDoS攻击的流量也越来越大,攻击流量超过Tbps的情况已不鲜见;随着很多开源的DDoS攻击工具在互联网上流转,攻击手法亦越来越复杂,对抗的强度亦越来越高,在面对网络复杂多变的攻击手法和多种多样的业务场景时,难以用一种防护手法或单一的防护方案覆盖进阶的越演越烈的DDoS攻击,难以有效防护和快速适配,无法满足业务时效性,经济性,自动化的需求。
有鉴于此,本申请实施例提出了一种攻击流量防护系统、方法、装置、电子设备和存储介质,通过自动化识别攻击特点和自定义路由策略下发,集中化、全面化地管理DDoS攻击。具体地,基于分光流量镜像,完成攻击流量的实时检测,并通过引入BGP Flowspec(边界网关协议流规则)的特性进行自动化流量分层清洗,通过中央控制平台进行统一调度、管理、监控,以实现自定义路由策略下发,上下层资源防护联动,从而灵活地、高效地满足网络中各种各样的DDoS防护场景需求,提高了DDoS对抗的效率、提升了防护效果,减少了开发、运维的投入,并节省了建设成本。此外,本申请实施例通过将攻击流量防护系统上的各个部件进行分类和模块化,每个部件功能可单独解耦使用,并且核心部件,攻击检测模块,清洗模块等可进行云化支持,检测能力和防护能力可根据实际需要进行动态扩容,减少人工接入,提升效率,可做到按需调配和使用,并且与DDoS业务相关的网管平台能力充分融合,再通过云平台为客户提供融合后的DDoS监测与防护云服务,可以实现每个客户独立在使用一套流量监测、流量清洗、拨测系统,满足了高强度对抗、自动化自适应分层实时防护的需求,使网络的DDoS防护更加有效便捷,适用于ISP(Internet Service Provider,互联网服务提供商)层级用户以及具有大型基建网络(具有自由AS(Autonomous System,自治系统)、IP网段、支持BGP Flowspec特性)的用户。
以下结合说明书附图对本申请的优选实施例进行说明,应当理解,此处所描述的优选实施例仅用于说明和解释本申请,并不用于限定本申请,并且在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
如图3所示,其为本申请实施例的应用场景示意图。该应用场景图中包括两个终端设备310和一个服务器330,用户A、用户B可通过终端设备310登录目标业务相关界面320,访问目标业务的服务器330,此时终端设备310与服务器330之间就可以通过通信网络进行通信。
例如某篇文章内容质量较好,在搜索引擎排名较高,用户A通过终端设备310在网站A搜索该文章时,终端设备310与网站A的服务器330之间就需要进行网络通信。然而,黑客可以向网站A的服务器330发起DDoS攻击,造成网络拥塞,从而使得服务不可达导致业务丢失。因此在网站A的服务器330受到DDoS攻击的情况下,用户A则无法正常搜索该文章。此外,如果因为DDoS导致网站A长时间无法访问,搜索引擎则会将这篇文章从索引中删除,网站的权重也会降低,由此达到了下线文章的目的,对网络安全也会产生影响。
在一种可选的实施方式中,通信网络是有线网络或无线网络。
在本申请实施例中,终端设备310为用户使用的电子设备,该电子设备可以是个人计算机、手机、平板电脑、笔记本、电子书阅读器等具有一定计算能力并且运行有即时通讯类软件及网站或者社交类软件及网站的计算机设备。各终端设备310通过无线网络与服务器330连接,服务器330可以是独立的物理服务器,也可以是多个物理服务器构成的服务器集群或者分布式系统,还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、CDN(Content Delivery Network,内容分发网络)、以及大数据和人工智能平台等基础云计算服务的云服务器。终端可以是智能手机、平板电脑、笔记本电脑、台式计算机、智能音箱、智能手表等,但并不局限于此。终端以及服务器可以通过有线或无线通信方式进行直接或间接地连接,本申请在此不做限制。
需要说明的是,上述两个终端设备只是举例说明,在本公开实施例中实际一般可涉及若干终端设备。
如图4所示为本申请实施例提供的攻击流量防护系统示意图,该系统包括、核心路由器集群401、攻击检测模块402、中央集中控制模块403,路由策略下发控制模块404、清洗模块406、边界路由器集群405,其中核心路由器集群401包含至少一个核心路由器,即位于骨干网络的路由器;边界路由器集群405包含至少一个边界路由器;
核心路由器集群401,用于将接收到的待处理流量的镜像流量转发给攻击检测模块402;
在本申请实施例中,核心路由器集群401中的核心路由器通过分光,将接收到的待处理流量的镜像流量转发至攻击检测模块402,进行DDoS攻击的实时检测。其中,镜像流量是对核心路由器集群接收到的流量进行镜像拷贝得到的。由于在对待处理流量进行镜像拷贝时,不需要抽样流量信息,无需设置采样比进行采样,因此能提供更深层的防护,并且路由器上报流量数据时无需耗费一定的时间,有效减少了攻击检测实时性延迟,提高了数据全面性。
攻击检测模块402,用于对核心路由器集群401转发的镜像流量进行检测;在检测到镜像流量中包含攻击流量后生成告警信息,并将告警信息上报给中央集中控制模块403,告警信息中包含攻击流量的流量特征信息;
其中,流量特征信息包括但不限于攻击流量的协议类型、攻击流量的大小。
中央集中控制模块403,用于根据告警信息中的流量特征信息,确定攻击流量的攻击类型;若攻击类型包括带宽消耗型攻击,则对待处理流量执行上层防护处理流程,使核心路由器集群中的核心路由器对待处理流量进行防护处理;若攻击类型包括资源消耗型攻击,则对待处理流量执行下层防护处理流程,使清洗模块对待处理流量进行防护处理。
在本申请实施例中,攻击类型主要分为带宽消耗型攻击和资源消耗型攻击,根据攻击流量的攻击类型,可实现对核心路由器接收到的流量进行自动分层防护。
在根据流量特征信息来确定攻击流量的攻击类型时,可依据预设特征条件进行判断,若攻击流量的流量特征信息满足预设特征条件,则确定攻击流量为带宽消耗型攻击,否则,确定攻击流量为资源消耗型攻击。
其中,预设特征条件可由用户自定义,例如设置流量阈值,若攻击流量的大小高于该流量阈值,则确定攻击流量的流量特征信息满足预设特征条件,此时攻击流量为带宽消耗型攻击,否则,则确定攻击流量为资源消耗型攻击。
或者,设置指定协议集合,其中包含多种指定的协议类型,若攻击流量的协议类型为指定协议集合中的任意一种指定的协议类型,则确定攻击流量的流量特征信息满足预设特征条件,攻击流量为带宽消耗型攻击等等。
例如,常见的带宽消耗型攻击主要包括反射攻击和UDP攻击,其中UDP攻击包括UDP分片、有特征UDP、无特征UDP等,常见的反射攻击有SSDP(Simple Service DiscoveryProtocol,简单服务发现协议)反射、NTP(Network Time Protocol,网络时间协议)反射、TFTP(Trivial File Transfer Protocol,简单文件传输协议)反射、SNMP(Simple NetworkManagement Protocol,简单网络管理协议)反射、mencached(分布式的高速缓存系统)反射等。
常见的资源消耗型攻击有TCP攻击,包括TCP洪水攻击、TCP分片、空连接、TCP反射、TCP四层CC等,其中洪水攻击包括SYN洪水、FIN洪水、ACK洪水、RST洪水等。
表1
在本申请实施例中,划分攻击类型时主要是依据流量特征信息,其中流量特征信息指协议类型或流量大小等,参阅表1所示的Protocol和Traffic size。而在确定攻击类型之后,中央集中控制模块则可确定是采用上层防护还是下层防护对本次攻击进行防护,在上层或者下层进行防护时,具体是根据攻击流量的目的IP地址(IP Address)或目的IP地址所属业务群组(Protection Group)等信息来确定详细的防护策略,在下文中会对上层防护、下层防护以及防护策略的确定过程进行详细介绍。
需要说明的是,上述列举的几种根据告警信息中的流量特征信息确定攻击流量的攻击类型的方式只是举例说明,任何一种根据攻击流量的流量特征信息来确定攻击流量所属的攻击类型的方式都适用于本申请实施例。此外,需要说明的是,本申请实施例中可自定义牵引路由位数,32位或者是24位,灵活度可以得到有效提升。
参图5所示,为本申请实施例提供的一种攻击流量防护系统的整体架构图,其中位于BackBone(骨干-核心层)的路由器即核心路由器集群401中的核心路由器,RealtimeTraffic Analyzer(实时流量分析仪)即攻击检测模块402,Centralized ManagementCenter(集中管理中心)即中央集中控制模块403,Flowspec Controller(路由策略下发控制器)即路由策略下发控制模块404,Border Router即边界路由器集群405中的边界路由器,Cleaning center(清洗中心)即清洗模块406;此外图5所示的架构图中还包括目标业务网络:TargetA和TargetB,即需要防护的业务。其中,核心路由器集群401接收到的待处理流量指图中Internet(因特网)入口的访问流量,这些访问流量经由核心路由器集群401中的核心路由器最终转发至目标业务网络。下面结合图5对上述过程进行详细介绍:
S51、核心路由器(和边界路由器)通过分光,将接收到的待处理流量的镜像流量转发至攻击检测模块Realtime Traffic Analyzer;
S52、Realtime Traffic Analyzer判断是否存在流量攻击,在监控到攻击异常后,生成告警信息,并上报给中央集中控制模块Centralized Management Center;
S53、Centralized Management Center根据告警信息中攻击流量的大小和/或攻击流量的协议类型判断攻击流量的攻击类型,并根据攻击类型,将带宽消耗型攻击和资源消耗型攻击的攻击流量进行自动分层防护。
其中,攻击检测模块402采用旁路部署的方式,实际流量不会经过,主要用于实时感知镜像流量中的攻击流量,可以实时发现异常,具有较高的及时性。
在上述实施方式中,提出了一种功能模块化的DDoS防护系统,基于攻击流量的特征信息进行上下层联动自动分层、精细化防护,可以解决传统防护系统逻辑固定、功能无法自定义调用的缺点。通过功能模块化和策略自定义调用,可以使防护系统的防护功能最大化,满足网络千变万化的业务场景和攻击场景,有效、高效、灵活地实现各种特定的DDoS防护策略需求。也避免了防护系统的过度开发、运维投入,合理利用了现有资源,极大的节省了成本,显著提升效益。
在本申请实施例中,自动分层防护可分为上层防护和下层防护。下面对上层防护的过程进行详细介绍:
可选的,若中央集中控制模块403确定攻击流量的攻击类型包括带宽消耗型攻击,则对待处理流量执行上层防护处理流程,即调用核心路由器集群对攻击流量进行实时近源清洗。具体的上层防护处理流程为:
中央集中控制模块403在确定攻击流量的攻击类型为带宽消耗型攻击后,通过调用路由策略下发控制模块404,将第一防护策略下发至核心路由器集群401,以使核心路由器集群401中的核心路由器根据第一防护策略对待处理流量进行防护处理。
其中,中央集中控制模块403通过AP调度调用路由策略下发控制模块404。下面结合图6对上层防护过程进行详细介绍:
S61:中央集中控制模块Centralized Management Center在确定攻击流量的攻击类型为带宽消耗型攻击后,通过API实时通知路由策略下发控制模块Flowspec Controller;
S62:Flowspec Controller将对应的第一防护策略下发至核心路由器集群中的各个核心路由器Backbone Router;
S63:核心路由器根据Flowspec Controller下发的第一防护策略,对待处理流量中的攻击流量进行实时近源清洗。
相比于相关技术中攻击流量需要抵达用户网络侧的边界路由器才可启动防护流的方式,本申请实施例可以在核心骨干网层进行近源的DDoS攻击。考虑到DDoS对抗一定程度上是攻、防双方的资源对抗,上述上层防护方式能够极大的利用好现有的基建投入进行DDoS的实时近源防护,减少带宽资源的浪费。此外,在应对大流量反射攻击,强特征类攻击等都可以通过核心路由器直接近源清洗,无需流量牵引绕路ADS,且经核心路由器的流量可管控,实现了内到内DDoS攻击缓解,几乎无需额外成本,大大降低了清洗模块的防护设备的成本,提升了经济效益和资源利用率,减少牵引、回注带来的延迟。
可选的,路由策略下发控制模块404具体用于:
根据预先配置的边界网关协议流规则确定与攻击流量匹配的第一防护策略;并将第一防护策略下发至核心路由器集群401。
其中,边界网关协议流规则是基于BGP Flowspec特性以及策略规则进行配置的,下面对BGP Flowspec特性以及策略规则进行详细介绍:
BGP Flowspec是基于RFC 5575(Request For Comments,一系列以编号排定的文件)中定义了解码Flowspecification(简称Flowspec)的标准程序,使BGP路由具备更为丰富的属性并可执行限速、过滤和重定向等行为。
具体的,Flowspec定义了BGP路由中的五元组(源目IP、源目端口和协议)等12个属性,使其可以满足多种场景下对流的控制和处理,为使用者提供了一种灵活高效的防DDoS攻击方法。通过利用Flowspec,路由转发表可以实现类似ACL和防火墙的功能,对DDoS攻击进行快速过滤。与单一的路由相比,BGP Flowspec对路由条目进行了更加详细的定义,并基于已有的数据信息进行有效延伸,并同时支持IPv4(Internet Protocol version 4,网际协议版本4)和IPv6(网际协议版本6)协议。
可选的,路由策略下发控制模块根据预先配置的边界网关协议流规则确定与攻击流量匹配的第一防护策略时,首先需要获取攻击流量对应的匹配字段,其中匹配字段是用于表示边界网关协议BGP路由属性的字段;进而基于边界网关协议流规则,将与匹配字段匹配的策略作为第一防护策略,其中边界网关协议流规则中定义有不同匹配字段对应的策略,
以下是BGP Flowspec支持的一些匹配字段:
目的地址、来源地址、IP协议、源端口、目的端口、ICMP代码、TCP标志位等。
BGP Flowspec将扩展社区定义为要对匹配字段执行的操作(策略),例如:
交通率(下降/警察,即限速/丢弃)、下一跳重定向、VRF重定向、DSCP(DifferentiatedServices Code Point,差分服务代码点)标记等。
对于网络中的待处理流量,都可获取这些待处理流量对应的匹配字段,例如流量的目标地址、来源地址、所支持的IP协议类型、源端口、目的端口等,这些都属于表示BGP路由属性的字段,不同流量可能支持的IP协议类型不同,或者源端口、目的端口等不同,因此通过将一个或多个不同的匹配字段进行组合可设置出不同的条件,用Match X表示,并预先配置出不同条件对应的需要执行的操作(策略),用Action Y表示。因而将不同的Match X与不同的Action Y进行组合,设置不同的Match X相对应的Action Y,基于[Match X,ActionY]即可定义用于防护攻击流量的第一防护策略。
在本申请实施例中,当网络遭遇到DDoS攻击时,经攻击检测模块检测,实时同步到中央集中控制模块后,可通过BGP Flowspec controller,基于上述匹配字段和可执行的操作进行常见DDoS攻击的拦截,比如SYN大包攻击,SSDP反射,NTP反射,Chargen(CharacterGenerator Service,字符生成器服务)反射,分片攻击等。也就是分析攻击流量对应的这些匹配字段所命中的Match X,确定出Match X对应的操作Action Y。例如分析攻击流量的IP协议是不是TCP、SSDP或是NTP等,分析攻击流量的数据包长度等,是不是属于大包等等,在满足上述条件时,即可对攻击流量进行拦截,具体的拦截方式即直接丢弃或是实施重定向、降速等操作。比如将SYN大包攻击直接丢弃。
其中,在BGP Flowspec controller的命中策略流程如图7所示,用于描述Flowspec Controller如何将第一防护策略下发至核心路由器。
在图7中,首先路由策略下发控制模块Flowspec Controller基于[Match X,Action Y]即可确定与攻击流量匹配的第一防护策略,通过BGP Flowspec建立邻居可按需进行第一防护策略下发之后,基于图7右侧矩形框中的各个部分,将第一防护策略下发至核心路由器时。
其中,CLI(Command-line Interface,命令行界面),指通过命令行完成设备策略配置,可用于配置第一防护策略,XML(Extensible Markup Language,可扩展标记语言),指标准化API接口语言,可通过标准化语言实现与外部通信。Flowspec Manager(流规则管理器),Policy Infrastructure(政策基础设施)和Platform Hardware(平台硬件)是路由器软、硬件的子部件;其中Flowspec Manager和Policy Infrastructure用于进行控制平面的数据通信和下发,Platform Hardware用于实现数据平面流量转发。
在通过路由策略下发控制模块下发第一防护策略至核心路由器时,需要判断攻击流量命中的[Match X,Action Y],进而即可确定出需要对攻击流量执行的第一防护策略,之后通过BGP Flowspec建立邻居可按需进行第一防护策略下发,进而基于FlowspecManager和Policy Infrastructure,进行控制平面的第一防护策略的下发,再基于Platform Hardware实现数据平面的第一防护策略转发,将第一防护策略转发至核心路由器集群中的核心路由器。
基于上述BGP Flowspec控制流程,即可实现第一防护策略的下发,将与攻击流量匹配的第一防护策略下发至核心路由器,进而核心路由器接收到路由策略下发控制模块下发的第一防护策略后,根据第一防护策略对攻击流量进行实时近源清洗。
下面依据表2对Match X和Action Y进行简要介绍:
表2
其中,Match X具体是指攻击流量的匹配字段,可以是上述列举的12个匹配字段中的任意一个或多个的组合,而Action Y是指策略规则,即对攻击流量应该执行的操作,一般为上述列举的限速、重定向、丢弃等,可根据上述列举的4种操作规则类型进行定义。在本申请实施例中不同的Match X与Action Y的组合形成不同的[Match X,Action Y],根据攻击流量命中的[Match X,Action Y],则可确定出与攻击流量匹配的第一防护策略,即根据攻击流量的目的IP、源IP、源端口、目的端口等属性(可以是上述列举的12个属性的任意组合)与Action Rule的对应关系来确定,例如:Match X为SYN大包特征(即根据协议类型和数据包长度定义),Action Y为Drop(丢包),则当检测到流量命中预置的带有SYN大包的特征时,对该流量实行Drop动作,即第一防护策略为丢弃具有SYN大包特征的流量(丢弃攻击报文),即被攻击者发送的所有具有SYN大包特征的报文都会被丢弃。
其中,DSCP标记可用于标记头部业务(重要业务),基于此可优先保证头部业务的流量安全到达相应服务器等,保证服务可达。本申请实施例通过支持DSCP等高级特征,可以优先保障头部业务。
需要说明的是,上述列举的预先配置边界网关协议流规则的方式只是举例说明,在本申请实施例中,任何一种基于路由策略下发控制模块的BGP Flowspec特性实现路由策略下发的方式都适用于本申请实施例。
下面结合DDoS攻击防护场景,对BGP Flowspec防护策略下发的工作流图进行介绍,具体参阅图8、图9和图10所示:
其中,图8为本申请实施例提供的一种DDoS攻击前的正常访问过程的示意图。在图8中,ISP network(ISP网络)的路由器包括本申请实施例中的核心路由器,在核心路由器接收到Internet入口的用户访问流量之后,需要将访问流量转发至Customer(客户,每个客户是一个独立的主体,在图8中只画了一个Customer作为代表),Customer将访问流量发送至Resources(资源,表述该Customer的互联网资产,比如业务服务器等在互联网提供服务的设备,也可称作目标服务器),在该过程中进行转发的流量都为Useful traffic(有用流量,即正常流量)。
图9为本申请实施例提供的一种遭遇到DDoS攻击时的访问场景示意图。在图9中,一共分为两种流量:Useful traffic和Flood/Amplification(洪水攻击,即异常流量/攻击流量)。其中攻击流量与正常流量一样,都需要经过ISP network中的核心路由器转发至目标服务器。在ISP网络中的核心路由器接收到Internet入口的攻击流量之后,需要将攻击流量转发至Customer,Customer将攻击流量发送至Resources,显然,攻击流量在转发过程中会占用网络资源,影响正常流量的转发。在本申请实施例中,可通过攻击检测模块即可实时检测攻击流量,进而生成告警信息上报给中央集中控制模块,由中央集中控制模块分析攻击流量的攻击类型,进行自动分层防护,具体实现过程可参见上述实施例。
由于攻击流量的存在,在访问过程中,可能存在的问题有:
1)Overload uplinks connections(tier1/peerings):上行链路连接过载(第1层/对等)。因为大量攻击流量的存在,攻击流量由Internet入口到ISP网络的过程中占用了上行链路资源,使得目标服务器的上行链路饱和,造成上行链路连接过载;
2)Overload backbone:骨干网过载。因为大量攻击流量进入骨干网,攻击流量在ISP网络中转发的过程中,容易造成骨干网过载,以干扰甚至阻断正常的网络通讯;
3)Overload client connection:客户端连接重载。攻击流量由ISP网络中的路由器转发至Customer的过程中,客户端可能需要多次连接重载;
4)Overload link to attacked resource:攻击资源的过载链接。同样由于攻击流量的存在,占用了Resources,造成攻击资源的过载链接。
在本申请实施例中,由于上述问题的存在容易造成服务不可达而导致业务丢失,对网络安全造成影响。
图10为本申请实施例提供的一种通过BGP Flowspec在核心路由器上对DDoS攻击进行实时近源清洗场景的示意图。核心路由器根据路由策略下发控制模块下发的第一防护策略对攻击流量(Flood/Amplification)进行近源清洗。其中,攻击检测模块对镜像流量进行检测,并在检测到攻击流量后,生成告警信息发送给中央集中控制模块,中央集中控制模块分析攻击流量的攻击类型,确定需要进行上层防护时,通知路由策略下发控制模块将针对攻击流量的第一防护策略下发给核心路由器,这些模块在图10中没有直接体现,图10主要是从流量路径的角度进行介绍的,主要体现的是正常流量的路径和攻击流量的路径。
由图10可知,路由策略下发控制模块下发给核心路由器的第一防护策略为:DropUDP dst port 80,即丢弃来自源端口号80的流量,在该场景下,核心路由器在接收到第一防护策略后,直接将流量中对应的源端口号为80的攻击流量直接丢弃,将其他剩余的流量正常转发至Resources即可。由于在将攻击流量由ISP网络中的核心路由器转发至Customer的过程中,核心路由器直接丢弃了攻击流量,因此这部分攻击流量不会进入Customer,因此不会出现Overload backbone 、Overload client connection这两个问题,进一步的,由于攻击流量并不会进入Customer,因此也不会到达Resources,进而可以避免Overload linkto attacked resource这一问题的发生,因此通过BGP Flowspec在核心路由器上对DDoS攻击进行实时近源清洗之后,还可能存在的问题为:1)Overload uplinks connections(tier1/peerings),即在攻击流量进入ISP网络的过程中可能会造成上行链路连接过载。
很显然,与图9相比,通过BGP Flowspec在核心路由器上对DDoS攻击进行实时近源清洗,可以利用已有资源对DDoS攻击进行有效防护,减少攻击流量对网络安全造成的影响。
在上述实施方式中,基于路由器BGP Flowspec的新特性下发防护策略时,由于BGPFlowspec中支持五元组等12种属性,策略更精细,避免了空路由策略造成的大范围误伤。例如,将到达目的IP 10.10.10.1,源端口为5534的TCP流量进行丢弃,其他流量正常转发。通过这种方法最大限度保障了清洗过程对正常流量的影响,确保业务的延续性。
下面对下层防护的过程进行详细介绍:
可选的,若中央集中控制模块403攻击流量的攻击类型为资源消耗型攻击,则对待处理流量执行下层防护处理流程,即通过调用清洗模块406对攻击流量进行防护,具体防护过程为:
中央集中控制模块403在确定攻击流量的攻击类型为资源消耗型攻击后,通过边界路由器集群405中的边界路由器与清洗模块406建立BGP邻居,将待处理流量牵引至清洗模块406,以使清洗模块406根据第二防护策略对待处理流量进行防护处理。
在本申请实施例中,清洗模块406可以由很多自研防护设备或第三方防护设备组成,即清洗模块406包含多个ADS防护设备。在本申请实施例中,边界路由器集群405中的边界路由器与清洗模块的防护设备建立BGP邻居,以便进行流量牵引。
其中,中央集中控制模块403在确定攻击流量的攻击类型为资源消耗型攻击后,会下发路由牵引通告给清洗模块406,由清洗模块406通知边界路由器集群405中的边界路由器,以对待处理流量进行牵引。
在上述实施方式中,由于清洗模块可以由自研防护设备或第三方防护设备组成,由此可以实现和自研防护设备或第三方防护设备的联动,且管理上也可管理单一品牌设备,在多种防护品牌、防护手法并行时可以做到统一运营,监控,管理一体化。
可选的,清洗模块406具体用于:
接收到中央集中控制模块403下发的路由牵引通告后,通过BGP协议发送的牵引路由至边界服务器集群405中的边界路由器,其中路由牵引通告是中央集中控制模块在确定攻击流量的攻击类型为资源消耗型攻击后发送给清洗模块的;在接收到边界路由器根据牵引路由牵引的流量后,基于自身防护能力对待处理流量进行分析,确定待处理流量中的攻击流量;根据第二防护策略对确定出的攻击流量进行防护处理后,将待处理流量中除确定出的攻击流量以外的剩余流量回注至原始网络。
在本申请实施例中,在攻击检测模块402采用旁路部署时,实际流量不会经过攻击检测模块402,因此该模块只能用作攻击感知,无法对攻击流量进行过滤,因此在将流量牵引至清洗模块时,是将所有流量牵引至清洗模块406,清洗模块406基于自身的防护能力,对待处理流量进行分析和过滤,将攻击流量进行清洗,将正常流量进行回注。此外,检测和防护的注重点不一样。检测主要是要实时发现异常,及时性要求高。防护侧重攻击防护,准确性要求高。
下面结合图11对下层防护过程进行详细介绍:
S111:中央集中控制模块Centralized Management Center在确定攻击流量的攻击类型为资源消耗型攻击后,下发路由牵引通告至清洗模块Cleaning Center中的防护设备;
S112:防护设备通过BGP协议发送被攻击目标IP的牵引路由至边界路由器集群中的边界路由器Border Router;
S113:Border Router将目的IP为该被攻击目标IP的待处理流量牵引至CleaningCenter;
S114:Cleaning Center中的防护设备基于自身防护能力对待处理流量进行分析,确定出待处理流量中的攻击流量,并根据第二防护策略对确定出的攻击流量进行防护处理,将除Cleaning Center确定出的攻击流量以外的剩余流量(即正常流量)回注至原始网络,回注后的正常流量即可到达目标服务器,即图11中的目标业务A或是目标业务B。
需要说明的是,图11中的Border Router与Cleaning Center中的防护设备建立了BGP邻居,这里不涉及API调度的过程,Border Router与Cleaning Center中的防护设备通过标准的路由协议实现通信。
在上述实施方式中,对于资源消耗型攻击,例如强对抗类的流量攻击,直接调度至清洗模块,由清洗模块中的ADS防护设备进行攻击防护,基于自身防护能力对待处理流量做分析和过滤,将攻击流量进行清洗,最后把正常流量回注至生产网络,实现闭环。此外,本申请实施例中的下层防护设备不需要逐个与BGP路由器建立邻居,减少每台专用防护设备需要和路由器建立BGP邻居的资源,以及邻居抖动带来的隐患。
具体的,清洗模块406在根据第二防护策略对确定出的攻击流量进行清洗时,这里的第二防护策略与路由策略下发控制模块404下发的第一防护策略不同,不是根据边界网络协议流规则确定的,而是基于攻击流量的业务属性从预设防护策略集合中选取的,预设防护策略集合中包含预先根据不同的攻击流量业务属性配置好的不同的第二防护策略。
可选的,清洗模块406具体用于:
根据确定出的攻击流量的业务属性,从预设防护策略集合中获取与攻击流量的业务属性匹配的第二防护策略;根据获取的第二防护策略对攻击流量进行防护处理。
其中,攻击流量的业务属性为攻击流量的目的地址与攻击流量对应的业务所属业务群组中的一种或多种,即攻击流量的业务属性包括目的IP和/或业务群组。
在根据确定出的业务属性从预设防护策略集合中获取与攻击流量的业务属性匹配的第二防护策略时,具体可参照表3执行:
表3
其中,不同目的IP地址或者是不同业务群组对应预设防护策略集合中不同的第二防护策略。假设某预设防护策略集合中有6个第二防护策略,分别为:预设防护策略A、预设防护策略B、预设防护策略C、预设防护策略D、预设防护策略E、预设防护策略F。
例如目的IP为IP1,对应预设防护策略A;目的IP为IP2,对应预设防护策略B;或者是根据目的IP将业务进行群组划分,例如IP1所属业务群组为业务群组1,业务群组1对应预设防护策略C,IP2所属业务群组为业务群组2,业务群组2对应预设防护策略D等。
假设用户B被攻击时,对应目的IP为IP2,则在根据目的IP来确定第二防护策略,可选取预设防护策略B;假设根据业务群组来确定第二防护策略,由于IP2属于业务群组B,则可确定与本次攻击用户B的攻击流量匹配的第二防护策略为预设防护策略D,等等。
可选的,本申请实施例中的预设防护策略还可与防护群组相对应,比如将清洗模块中的防护设备划分为多个防护群组,其中防护群组A(对应预设防护策略E)用于防护业务群组A,防护群组B(对应预设防护策略F)用于防护业务群组B。
当用户B被攻击时,用户B的IP为IP2,所属业务群组为业务群组2,用于防护业务群组2的防护群组为防护群组B,此时,匹配的第二防护策略为预设防护策略F,等等。
在本申请实施例中,还可根据攻击情况设置不同的防护等级,实现不同力度的防护,在选取防护等级时也可根据攻击流量的业务属性选取,此外还可根据攻击流量的大小或者是攻击流量的DSCP标记等特征确定防护等级,比如攻击流量越大,防护等级越高等。其中,防护等级一共划分为3种,分别为:
Strict(严格):对当前正在发生的攻击行为具有最强防御效果,但可能存在一定误杀。
Normal(正常):对来自带有明显攻击特征的恶意IP和疑似恶意IP的流量进行自动清洗。该等级默认启用,能够充分平衡防护效果和误杀率。
Loose(宽松):对来自带有明显攻击特征的恶意IP的流量进行自动清洗。该等级可能无法拦截所有流量攻击,但误杀率低。
需要说明的是,上述列举的几种防护等级只是举例说明,除此之外还可由用户自定义,设置更多级别的防护等级等,在此不做具体限定。
此外,还可以根据防护设备的防护能力进行划分,不同防护等级,对应的不同防护能力的服务器。防护等级越高的服务器,能够抵御的流量攻击量级就越大。
在上述实施方式中,第二防护策略是基于攻击流量的业务属性自定义调用,的可根据业务属性,以IP/Protection Group维度进行防护策略模板选择和自定义策略设定和防护微调,能够根据业务流量特性进行差异化、精细化防护,提高防护有效性。此外,还可通过算法自主学习接入业务的历史流量,自适应调整流量清洗策略,提供最佳防御效果。
可选的,当下层的防护设备资源不足时,还可以通过API的方式同步至上层防护系统进行清洗,合理化利用资源,减少成本投入并提升效率。该情况下,清洗模块406还用于:
根据自身防护能力确定无法对待处理流量进行防护处理时,通知中央集中控制模块403,以使中央集中控制模块403调用路由策略下发控制模块404下发第三防护策略至核心路由器集群401,由核心路由器集群401中的核心路由器根据第三防护策略对牵引至核心路由器集群401的待处理流量进行防护处理。
在本申请实施例中,下层的清洗模块Cleaning Center会对自身的已使用防护性能水位进行监控,超过设定阈值时则可认为自身防护能力不足,此时即可触发进行上层防护流程,进行上下层防护联动,其中上下层联动的触发阈值可根据实际情况自定义。
其中,清洗模块确定自身防护能力不足而触发上下层防护联动的时间有可能会发生在一次下层防护的过程中,例如设定阈值为80GB,清洗模块的清洗容量为100GB。假设在一次下层防护开始时,当前清洗模块已使用的清洗容量为50GB,此时还未达到设定阈值,待处理流量中攻击流量大小为50GB,在本次清洗过程中的某一时刻,检测到清洗模块的清洗容量的使用达到设定阈值,此时则可将剩余未清洗的攻击流量牵引至上层进行防护。
需要说明的是,上述过程也有可能发生在一次下层防护的开始时刻,比如设定阈值为80GB,清洗模块的清洗容量为100GB,而牵引至清洗模块的攻击流量大小为30GB,此时,则可将一部分攻击流量牵引至上层进行防护,剩余一部分攻击流量在下层进行防护,也可将30GB攻击流量全部牵引至上层进行防护等,在此不做具体限定。
此外,本申请实施例中列举的第三防护策略是指清洗模块触发上下层防护联动后,由路由策略下发控制模块下发的防护策略,具体的确定方式同第一防护策略类似,也是依据预先配置的边界网关协议流规则确定与牵引至核心路由器的流量匹配的防护策略,即基于[Match X,Action Y]确定与攻击流量匹配的第三防护策略,例如Match X为SYN大包特征,Action Y为Drop,则当检测到流量命中预置的带有SYN大包的特征时,对该流量实行Drop动作,即第三防护策略为丢弃具有SYN大包特征的流量等,在此不再重复限定。
如图12所示,为本申请实施例提供的一种上下层防护联动的示意图,其中将攻击流量牵引至上层进行防护时,具体过程为:
S121:清洗模块Cleaning Center确定自身防护能力不足,无法对待处理流量进行防护处理时,通知中央集中控制模块Centralized Management Center;
S122:由Centralized Management Center通过API调度调用路由策略下发控制模块BGP Flowspec Controller;
S123:由 BGP Flowspec Controller对被攻击目标IP进行流量牵引和防护策略下发,实现上层调度防护。
由图12可知,被牵引至核心路由器集群的流量由核心路由器进行清洗,实现上层防护,被牵引至清洗模块的流量,由清洗模块中的防护设备进行清洗,实现下层防护,进而实现了上下层防护的联动。
在上述实施方式中,当下层的防护设备资源不足时,可以主动请求上层的防护资源进行联动防护攻击,充分利用了已有路由器的性能和特性进行DDoS攻击的联动防护,合理化利用资源,减少成本投入并提升效率提升经济效益。并且,通过上下层资源防护联动可以灵活地、高效地满足网络中各种各样的DDoS防护场景需求。由于上层防护和下层防护可以联动实现攻击压制,无需根据配备的出口带宽进行防护容量满配,可以适应性部署防护设备所需防护容量,降低建设成本。
此外,需要说明的是,本申请实施例中的上层防护和下层防护均支持自动黑洞路由,可作为封堵兜底和联动,通过将所有无关路由吸入其中,使它们有来无回的路由,黑洞路由可通过BGP协议实现将去往特定的目标IP流量全部丢弃,不过一般在极端情况才使用,通常用于保持平台稳定。
可选的,中央集中控制模块403还用于:
对目标业务的网络状态进行检测;若检测到目标业务的网络状态发生异常,则通过边界路由器集群405与清洗模块406建立的BGP邻居,将目的地址与目标业务的网络地址相同的流量牵引至清洗模块406,通过清洗模块406对目的地址与目标业务的网络地址相同的流量进行防护处理。
具体的,在检测目标业务的网络状态时,可基于中央集中控制模块403中的拨测子模块来实现。例如通过拨测子模块每隔10分钟对目标IP为X.X.X.X的目标业务进行拨测,实时感知目标服务器的状态是否能够正常服务,当检测到异常时则可确定该业务可能被攻击,此时则可对该业务的流量进行自动清洗。
在上述实施方式中,中央集中控制模块中还包括用于拨测的子模块,通过拨测子模块周期性感知目标业务的状态以及目标业务IP的通畅性,在检测到异常时,自动将目标业务IP加入防护。通过Border Router与清洗模块建立的BGP邻居,将需要防护的目的IP为该目标业务IP的流量进行牵引,通过清洗模块对目标业务进行实时防护。
其中,拨测时可基于PING(Packet Internet Groper,因特网包探索器),或者向web服务器发送Http请求等方式等进行拨测,探测需要保护的目标业务的IP是否可达(是不是可以提供服务),例如一段时间内PING无结果,或者请求无响应等,则可确定目标业务的网络状态发生异常。如下拨测实例:
事件名称:BGP PING拨测N/A 49.51.135.25 PING成功率60.00%,延时223.00ms,此时可认为目标业务的网络状态发生异常,关联到保护攻击,将目的IP为49.51.135.25的流量牵引至清洗中心进行自动清洗。
在上述实施方式中,基于客户业务的状态可以实现攻击流量的自动清洗,实现对目标业务的实时防护,有效提高网络安全性。
可选的,中央集中控制模块403还用于:
收集对待处理流量进行防护处理后生成的清洗流量日志;根据清洗流量日志生成清洗流量报表,并通过展示界面展示清洗流量报表。
其中,中央集中控制模块403收集的清洗流量日志可以是清洗模块406中的防护设备上报的,还可以是核心路由器集群401中的核心路由器上报的。在中央集中控制模块403通过展示界面展示清洗流量报表时,可通过图5中Operator(操作人员)处的电脑进行展示,由操作人员进行统计,还可由中央即可控制模块与客户运营进行对接,向客户进行展示。除此之外,还可将告警信息等向操作人员或者客户进行展示,在此不做具体限定。
在本申请实施例中,攻击流量防护系统是由多个模块组成的,各个模块(部件)间可进行联动通信,模块间解耦,可相互独立运行各自本身的功能;其中,中央集中控制模块作为中心节点与攻击检测模块、清洗模块、路由策略控制下发进行级联以及相互通信控制,单独解耦亦可执行本身固有功能,对本申请整体方法的可扩展性和适应性提供了很好的支持,接口Resful标准化,根据整体方法可按需接入,提升效能以及健壮性。
其中,中央集中控制模块亦可划分为多个子模块,参阅图13所示,为本申请实施例提供的一种中央集中控制模块的整体架构示意图,
其中,图13所示的中央控制模块中又可划分为很多子模块,实现各功能的模块化,解耦合。具体包括如下几个子模块:
平台对接子模块:经由标准化API接口与外部对接,比如第三方的DDoS防护设备,按需进行模块扩展。该子模块中的API接口有对接支付接口、对接客户业务系统的接口、对接运维平台的接口和安全产品接口等,实现与外部平台的对接。
客户运营子模块:用于业务开通、客户管理、营收统计、系统配置、日志分析和账户管理等。用户可登陆WEB(World Wide Web,全球广域网)界面查看其对应资产的攻击防护信息,比如流量大小,被攻击事件时间,报表查看等。
清洗平台子模块:用于对上下层的DDoS设备进行管理;此外,还用于服务模块化、自主服务、策略下发(例如防护策略的下发)、服务调用(例如上下层服务通信调度)、服务查询、统计分析和结果展示等,在收集清洗流量日志后,进行日志统计分析,并生成报表进行结果展示,基于这些功能统一管控其他模块,实现从攻击监控,防护牵引,策略下发,报表呈现等一系列的日常生产管理工作。
具体的,清洗平台子模块中还包括资源池控制器,用于控制能力资源池,其中能力资源池分为网络流量检测池和异常流量清洗池。
其中,网络流量检测池可以调配每个网络入口的攻击流量监测布置,具体可实现:业务流量拨测、异常流量检测、异常行为分析、异常流量告警和异常流量报表等几个方面的功能管理和调配。异常流量清洗池则用于管理下层防护设备,具体可实现:清洗设备(又称防护设备)调度、异常流量牵引、清洗流量回注、清洗流量日志和清洗流量报表等几个方面功能的管理和调配。
此外,中央控制模块还包括抗DDoS能力输出子模块,可用于调配关于对抗DDoS能力的输出信息,具体分为可感知输出以及可决策输出,其中可感知输出包括:网络流量检测状态、网络流量分析结果、异常流量告警和异常流量清洗效果;可决策输出包括:异常流量自助检测、异常流量自动清洗和流量清洗自助报表。
在上述实施方式中,中央集中控制模块通过对各个子模块/部件进行集成,提供基于Resful的API进行通信对接、检测信息收集、防护log(日志)收集、设备状态监控、客户业务状态拨测、BGP Flowspec策略下发、运营报表呈现等,对用户提供极简的DDoS防护体验。用户通过中央集中控制模块即可完成从攻击监控,防护牵引,策略下发,报表呈现等一系列的日常生产管理工作,简单易用,降低使用者对专业知识的要求门槛,提升整体效率和用户体验。
参阅图14所示,为一种攻击流量防护的完整流程时序图。该方法的具体实施流程如下:
步骤S141:核心路由器通过分光,将接收到的待处理流量的镜像流量转发至攻击检测模块;
步骤S142:攻击检测模块对DDoS攻击进行实时检测,判断镜像流量中是否存在攻击流量,如果是,则执行步骤143,否则,结束本流程;
步骤S143:攻击检测模块生成告警信息,并将告警信息上传给中央集中控制模块;
步骤S144:中央集中控制模块根据告警信息中的攻击流量的流量特征信息判断攻击流量的攻击类型,若攻击类型为带宽消耗型攻击,则执行步骤S145,若攻击类型为资源消耗型攻击,则执行步骤S146;
步骤S145:中央集中控制模块使核心路由器集群中的核心路由器对待处理流量进行防护处理,实现上层防护;
步骤S146:中央集中控制模块使清洗模块对待处理流量进行防护处理,实现下层防护;
步骤S147:中央集中控制模块收集上报的数据,生成报表并进行展示。
需要说明的是,在下层防护过程中,若检测到下层清洗容量不足时,可进行上下层防护联动,具体实施方式参见上述实施例。此外,在上述防护过程中,当检测到攻击停止时,防护可自动删除,即自动停止防护。
基于同一发明构思,本申请实施例中还提供了攻击流量防护方法,由于该方法对应本申请实施例攻击流量防护系统中的中央集中控制模块,且方法解决问题的原理与系统相似,因此该方法的实施可以参见系统的实施,重复之处不再赘述。
参阅图15所示,为本申请实施例提供的一种攻击流量防护方法的实施流程图,该方法的具体实施流程如下:
S151:接收攻击检测模块上报的告警信息,其中告警信息是攻击检测模块检测到核心路由器集群转发的待处理流量的镜像流量包含攻击流量后生成的,核心路由器集群包含至少一个核心路由器,告警信息中包含攻击流量的流量特征信息;
S152:根据告警信息中的流量特征信息,确定攻击流量的攻击类型;若攻击类型包括带宽消耗型攻击,则使核心路由器集群中的核心路由器对待处理流量进行防护处理;若攻击类型包括资源消耗型攻击,则使清洗模块对待处理流量进行防护处理。
可选的,攻击类型包括带宽消耗型攻击,使核心路由器集群中的核心路由器对待处理流量进行防护处理,具体包括:
在确定攻击流量的攻击类型为带宽消耗型攻击后,通过调用路由策略下发控制模块,将第一防护策略下发至核心路由器集群,以使核心路由器集群中的核心路由器根据第一防护策略对待处理流量进行防护处理。
可选的,第一防护策略是路由策略下发控制模块根据预先配置的边界网关协议流规则确定的,与攻击流量匹配的第一防护策略。
可选的,攻击类型包括资源消耗型攻击,使清洗模块对待处理流量进行防护处理,具体包括:
在确定攻击流量的攻击类型为资源消耗型攻击后,通过边界路由器集群中的边界路由器与清洗模块建立BGP邻居,将待处理流量牵引至清洗模块,以使清洗模块根据第二防护策略对待处理流量进行防护处理。
可选的,第二防护策略是清洗模块确定出待处理流量中的攻击流量后,根据确定出的攻击流量的业务属性,从预设防护策略集合中获取的与攻击流量的业务属性匹配的第二防护策略,其中攻击流量的业务属性为攻击流量的目的地址与攻击流量对应的业务所属业务群组中的一种或多种。
可选的,该方法还包括:
对目标业务的网络状态进行检测;
若检测到目标业务的网络状态发生异常,则通过边界路由器集群与清洗模块建立的BGP邻居,将目的地址与目标业务的网络地址相同的流量牵引至清洗模块,通过清洗模块对目的地址与目标业务的网络地址相同的流量进行防护处理。
可选的,该方法还包括:
收集对待处理流量进行防护处理后生成的清洗流量日志;
根据清洗流量日志生成清洗流量报表,并通过展示界面展示清洗流量报表。
基于同一发明构思,本申请实施例中还提供了攻击流量防护装置,如图16所示攻击流量防护装置160结构示意图,该攻击流量防护装置可以应用于攻击流量防护系统中的中央集中控制模块,包括:
告警单元161,用于接收攻击检测模块上报的告警信息,其中告警信息是攻击检测模块检测到核心路由器集群转发的待处理流量的镜像流量包含攻击流量后生成的,核心路由器集群包含至少一个核心路由器,告警信息中包含攻击流量的流量特征信息;
防护单元162,用于根据告警信息中的流量特征信息,确定攻击流量的攻击类型;若攻击类型包括带宽消耗型攻击,则使核心路由器集群中的核心路由器对待处理流量进行防护处理;若攻击类型包括资源消耗型攻击,则使清洗模块对待处理流量进行防护处理。
可选的,攻击类型包括带宽消耗型攻击,防护单元162具体用于:
在确定攻击流量的攻击类型为带宽消耗型攻击后,通过调用路由策略下发控制模块,将第一防护策略下发至核心路由器集群,以使核心路由器集群中的核心路由器根据第一防护策略对待处理流量进行防护处理。
可选的,第一防护策略是路由策略下发控制模块根据预先配置的边界网关协议流规则确定的,与攻击流量匹配的第一防护策略。
可选的,攻击类型包括资源消耗型攻击,防护单元162具体用于:
在确定攻击流量的攻击类型为资源消耗型攻击后,通过边界路由器集群中的边界路由器与清洗模块建立BGP邻居,将待处理流量牵引至清洗模块,以使清洗模块根据第二防护策略对待处理流量进行防护处理。
可选的,第二防护策略是清洗模块确定出待处理流量中的攻击流量后,根据确定出的攻击流量的业务属性,从预设防护策略集合中获取的与攻击流量的业务属性匹配的第二防护策略,其中攻击流量的业务属性为攻击流量的目的地址与攻击流量对应的业务所属业务群组中的一种或多种。
可选的,装置还包括业务检测单元163:
业务检测单元163,用于对目标业务的网络状态进行检测;
若检测到目标业务的网络状态发生异常,则通过边界路由器集群与清洗模块建立的BGP邻居,将目的地址与目标业务的网络地址相同的流量牵引至清洗模块,通过清洗模块对目的地址与目标业务的网络地址相同的流量进行防护处理。
可选的,装置还包括展示单元164:
展示单元164,用于收集对待处理流量进行防护处理后生成的清洗流量日志;根据清洗流量日志生成清洗流量报表,并通过展示界面展示清洗流量报表。
为了描述的方便,以上各部分按照功能划分为各模块(或单元)分别描述。当然,在实施本申请时可以把各模块(或单元)的功能在同一个或多个软件或硬件中实现。
所属技术领域的技术人员能够理解,本申请的各个方面可以实现为系统、方法或程序产品。因此,本申请的各个方面可以具体实现为以下形式,即:完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等),或硬件和软件方面结合的实施方式,这里可以统称为“电路”、“模块”或“系统”。
如图17所示,为本申请实施例提供的一种电子设备1700的示意图。在一些可能的实施方式中,本申请实施例中的电子设备可以至少包括处理器1701和存储器1702。其中,存储器1702存储有程序代码,当程序代码被处理器1701执行时,使得处理器1701执行本说明书中描述的根据本申请各种示例性实施方式的攻击流量防护方法中的步骤。例如,处理器可以执行如图15中所示的步骤。
在一些可能的实施方式中,根据本申请的计算装置可以至少包括至少一个处理器、以及至少一个存储器。其中,存储器存储有程序代码,当程序代码被处理器执行时,使得处理器执行本说明书上述描述的根据本申请各种示例性实施方式的攻击流量防护方法中的步骤。例如,处理器可以执行如图15中所示的步骤。
下面参照图18来描述根据本申请的这种实施方式的计算装置180。图18的计算装置180仅仅是一个示例,不应对本申请实施例的功能和使用范围带来任何限制。
如图18,计算装置180以通用计算装置的形式表现。计算装置180的组件可以包括但不限于:上述至少一个处理单元181、上述至少一个存储单元182、连接不同系统组件(包括存储单元182和处理单元181)的总线183。
总线183表示几类总线结构中的一种或多种,包括存储器总线或者存储器控制模块、外围总线、处理器或者使用多种总线结构中的任意总线结构的局域总线。
存储单元182可以包括易失性存储器形式的可读介质,例如随机存取存储器(RAM)1821和/或高速缓存存储单元1822,还可以进一步包括只读存储器(ROM)1823。
存储单元182还可以包括具有一组(至少一个)程序模块1824的程序/实用工具1825,这样的程序模块1824包括但不限于:操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。
计算装置180也可以与一个或多个外部设备184(例如键盘、指向设备等)通信,还可与一个或者多个使得用户能与计算装置180交互的设备通信,和/或与使得该计算装置180能与一个或多个其它计算装置进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口185进行。并且,计算装置180还可以通过网络适配器186与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。如图所示,网络适配器186通过总线183与用于计算装置180的其它模块通信。应当理解,尽管图中未示出,可以结合计算装置180使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理器、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
在一些可能的实施方式中,本申请提供的攻击流量防护方法的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当程序产品在计算机设备上运行时,程序代码用于使计算机设备执行本说明书上述描述的根据本申请各种示例性实施方式的攻击流量防护方法中的步骤,例如,计算机设备可以执行如图15中所示的步骤。
程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以是但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
本申请的实施方式的程序产品可以采用便携式紧凑盘只读存储器(CD-ROM)并包括程序代码,并可以在计算装置上运行。然而,本申请的程序产品不限于此,在本文件中,可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被命令执行系统、装置或者器件使用或者与其结合使用。
尽管已描述了本申请的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。
Claims (20)
1.一种攻击流量防护系统,其特征在于,该系统包括攻击检测模块、中央集中控制模块、核心路由器集群和清洗模块,其中所述核心路由器集群包含至少一个核心路由器;
所述核心路由器集群,用于将接收到的待处理流量的镜像流量转发给所述攻击检测模块;
所述攻击检测模块,用于对所述镜像流量进行检测;在检测到所述镜像流量中包含攻击流量后生成告警信息,并将所述告警信息上报给所述中央集中控制模块,所述告警信息中包含所述攻击流量的流量特征信息;
所述中央集中控制模块,用于根据所述告警信息中的流量特征信息,确定所述攻击流量的攻击类型;若所述攻击类型包括带宽消耗型攻击,则使所述核心路由器集群中的核心路由器对所述待处理流量进行防护处理;若所述攻击类型包括资源消耗型攻击,则使所述清洗模块对所述待处理流量进行防护处理。
2.如权利要求1所述的系统,其特征在于,所述攻击类型包括带宽消耗型攻击,所述系统还包括路由策略下发控制模块;所述中央集中控制模块,具体用于:
在确定所述攻击流量的攻击类型为带宽消耗型攻击后,通过调用所述路由策略下发控制模块,将第一防护策略下发至所述核心路由器集群,以使所述核心路由器集群中的核心路由器根据所述第一防护策略对所述待处理流量进行防护处理。
3.如权利要求2所述的系统,其特征在于,所述路由策略下发控制模块具体用于:
根据预先配置的边界网关协议流规则确定与所述攻击流量匹配的第一防护策略;并将所述第一防护策略下发至所述核心路由器集群。
4.如权利要求3所述的系统,其特征在于,所述路由策略下发控制模块具体用于:
获取所述攻击流量对应的匹配字段,其中所述匹配字段是用于表示边界网关协议BGP路由属性的字段;
基于所述边界网关协议流规则,将与所述匹配字段对应的策略作为所述第一防护策略,其中所述边界网关协议流规则中定义有不同匹配字段对应的策略。
5.如权利要求1所述的系统,其特征在于,所述攻击类型包括资源消耗型攻击,所述系统还包括边界路由器集群,其中所述边界路由器集群包含至少一个边界路由器;所述中央集中控制模块,具体用于:
在确定所述攻击流量的攻击类型为资源消耗型攻击后,通过所述边界路由器集群中的边界路由器与所述清洗模块建立BGP邻居,将所述待处理流量牵引至所述清洗模块,以使所述清洗模块根据第二防护策略对所述待处理流量进行防护处理。
6.如权利要求5所述的系统,其特征在于,所述清洗模块具体用于:
接收到所述中央集中控制模块下发的路由牵引通告后,通过BGP协议发送牵引路由至边界服务器集群中的边界路由器,其中所述路由牵引通告是所述中央集中控制模块在确定所述攻击流量的攻击类型为资源消耗型攻击后发送给所述清洗模块的;
在接收到所述边界路由器根据所述牵引路由牵引的所述待处理流量后,基于自身防护能力对所述待处理流量进行分析,确定所述待处理流量中的攻击流量;
根据所述第二防护策略对确定出的攻击流量进行防护处理后,将所述待处理流量中除攻击流量以外的剩余流量进行回注。
7.如权利要求6所述的系统,其特征在于,所述清洗模块具体用于:
根据确定出的攻击流量的业务属性,从预设防护策略集合中获取与所述攻击流量的业务属性匹配的所述第二防护策略,其中所述攻击流量的业务属性为所述攻击流量的目的地址与所述攻击流量对应的业务所属业务群组中的一种或多种。
8.如权利要求7所述的系统,其特征在于,所述清洗模块还用于:
根据自身防护能力确定无法对所述待处理流量进行防护处理时,通知所述中央集中控制模块,以使所述中央集中控制模块调用所述路由策略下发控制模块下发第三防护策略至所述核心路由器集群,由所述核心路由器集群中的核心路由器根据所述第三防护策略对牵引至所述核心路由器集群的所述待处理流量进行防护处理。
9.如权利要求5所述的系统,其特征在于,所述中央集中控制模块还用于:
对目标业务的网络状态进行检测;
若检测到所述目标业务的网络状态发生异常,则通过所述边界路由器集群与所述清洗模块建立的BGP邻居,将目的地址与所述目标业务的网络地址相同的流量牵引至所述清洗模块,通过所述清洗模块对目的地址与所述目标业务的网络地址相同的流量进行防护处理。
10.如权利要求1~9任一项所述的系统,其特征在于,所述中央集中控制模块还用于:
收集对所述待处理流量进行防护处理后生成的清洗流量日志;
根据所述清洗流量日志生成清洗流量报表,并通过展示界面展示所述清洗流量报表。
11.一种攻击流量防护方法,其特征在于,该方法包括:
接收攻击检测模块上报的告警信息,其中所述告警信息是所述攻击检测模块检测到核心路由器集群转发的待处理流量的镜像流量包含攻击流量后生成的,所述核心路由器集群包含至少一个核心路由器,所述告警信息中包含所述攻击流量的流量特征信息;
根据所述告警信息中的流量特征信息,确定所述攻击流量的攻击类型;若所述攻击类型包括带宽消耗型攻击,则使所述核心路由器集群中的核心路由器对所述待处理流量进行防护处理;若所述攻击类型包括资源消耗型攻击,则使清洗模块对所述待处理流量进行防护处理。
12.如权利要求11所述的方法,其特征在于,所述攻击类型包括带宽消耗型攻击,所述使所述核心路由器集群中的核心路由器对所述待处理流量进行防护处理,具体包括:
在确定所述攻击流量的攻击类型为带宽消耗型攻击后,通过调用路由策略下发控制模块,将第一防护策略下发至所述核心路由器集群,以使所述核心路由器集群中的核心路由器根据所述第一防护策略对所述待处理流量进行防护处理。
13.如权利要求12所述的方法,其特征在于,所述第一防护策略是所述路由策略下发控制模块根据预先配置的边界网关协议流规则确定的,与所述攻击流量匹配的第一防护策略。
14.如权利要求11所述的方法,其特征在于,所述攻击类型包括资源消耗型攻击,所述使清洗模块对所述待处理流量进行防护处理,具体包括:
在确定所述攻击流量的攻击类型为资源消耗型攻击后,通过边界路由器集群中的边界路由器与所述清洗模块建立BGP邻居,将所述待处理流量牵引至所述清洗模块,以使所述清洗模块根据第二防护策略对所述待处理流量进行防护处理。
15.如权利要求14所述的方法,其特征在于,所述第二防护策略是所述清洗模块确定出所述待处理流量中的攻击流量后,根据确定出的攻击流量的业务属性,从预设防护策略集合中获取的与所述攻击流量的业务属性匹配的所述第二防护策略,其中所述攻击流量的业务属性为所述攻击流量的目的地址与所述攻击流量对应的业务所属业务群组中的一种或多种。
16.如权利要求14所述的方法,其特征在于,所述方法还包括:
对目标业务的网络状态进行检测;
若检测到所述目标业务的网络状态发生异常,则通过所述边界路由器集群与所述清洗模块建立的BGP邻居,将目的地址与所述目标业务的网络地址相同的流量牵引至所述清洗模块,通过所述清洗模块对目的地址与所述目标业务的网络地址相同的流量进行防护处理。
17.如权利要求11~16任一项所述的方法,其特征在于,所述方法还包括:
收集对所述待处理流量进行防护处理后生成的清洗流量日志;
根据所述清洗流量日志生成清洗流量报表,并通过展示界面展示所述清洗流量报表。
18.一种攻击流量防护装置,其特征在于,包括:
告警单元,用于接收攻击检测模块上报的告警信息,其中所述告警信息是所述攻击检测模块检测到核心路由器集群转发的待处理流量的镜像流量包含攻击流量后生成的,所述核心路由器集群包含至少一个核心路由器,所述告警信息中包含所述攻击流量的流量特征信息;
防护单元,用于根据所述告警信息中的流量特征信息,确定所述攻击流量的攻击类型;若所述攻击类型包括带宽消耗型攻击,则使所述核心路由器集群中的核心路由器对所述待处理流量进行防护处理;若所述攻击类型包括资源消耗型攻击,则使清洗模块对所述待处理流量进行防护处理。
19.一种电子设备,其特征在于,其包括处理器和存储器,其中,所述存储器存储有程序代码,当所述程序代码被所述处理器执行时,使得所述处理器执行权利要求11~17中任一所述方法的步骤。
20.一种计算机可读存储介质,其特征在于,其包括程序代码,当所述程序产品在电子设备上运行时,所述程序代码用于使所述电子设备执行权利要求11~17中任一所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010394862.2A CN111294365B (zh) | 2020-05-12 | 2020-05-12 | 攻击流量防护系统、方法、装置、电子设备和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010394862.2A CN111294365B (zh) | 2020-05-12 | 2020-05-12 | 攻击流量防护系统、方法、装置、电子设备和存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111294365A true CN111294365A (zh) | 2020-06-16 |
| CN111294365B CN111294365B (zh) | 2020-08-18 |
Family
ID=71019525
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010394862.2A Active CN111294365B (zh) | 2020-05-12 | 2020-05-12 | 攻击流量防护系统、方法、装置、电子设备和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111294365B (zh) |
Cited By (24)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112351012A (zh) * | 2020-10-28 | 2021-02-09 | 杭州安恒信息技术股份有限公司 | 一种网络安全防护方法、装置及系统 |
| CN112350939A (zh) * | 2020-10-29 | 2021-02-09 | 腾讯科技(深圳)有限公司 | 旁路阻断方法、系统、装置、计算机设备及存储介质 |
| CN112532621A (zh) * | 2020-11-26 | 2021-03-19 | 杭州迪普科技股份有限公司 | 一种流量清洗方法、装置、电子设备及存储介质 |
| CN112583850A (zh) * | 2020-12-27 | 2021-03-30 | 杭州迪普科技股份有限公司 | 网络攻击防护方法、装置及系统 |
| CN112769790A (zh) * | 2020-12-30 | 2021-05-07 | 杭州迪普科技股份有限公司 | 流量处理方法、装置、设备及存储介质 |
| CN112769857A (zh) * | 2021-01-22 | 2021-05-07 | 华迪计算机集团有限公司 | 一种用于电子政务外网的异常流量管控系统 |
| TWI727891B (zh) * | 2020-09-21 | 2021-05-11 | 台灣物聯網股份有限公司 | 網路安全防護方法及裝置 |
| CN112788044A (zh) * | 2021-01-20 | 2021-05-11 | 苏州浪潮智能科技有限公司 | 一种分布式集群的旁路检测方法、装置及设备 |
| CN113037716A (zh) * | 2021-02-07 | 2021-06-25 | 杭州又拍云科技有限公司 | 一种基于内容分发网络的攻击防御方法 |
| CN113194091A (zh) * | 2021-04-28 | 2021-07-30 | 顶象科技有限公司 | 恶意流量入侵检测系统和硬件平台 |
| CN113364804A (zh) * | 2021-06-29 | 2021-09-07 | 北京天空卫士网络安全技术有限公司 | 一种流量数据的处理方法和装置 |
| CN113411351A (zh) * | 2021-06-07 | 2021-09-17 | 中国人民解放军空军工程大学 | 基于NFV和深度学习的DDoS攻击弹性防御方法 |
| CN113727350A (zh) * | 2021-09-26 | 2021-11-30 | 北京恒安嘉新安全技术有限公司 | 恶意网址处理方法、装置、计算机设备及存储介质 |
| CN113965394A (zh) * | 2021-10-27 | 2022-01-21 | 北京天融信网络安全技术有限公司 | 网络攻击信息获取方法、装置、计算机设备和介质 |
| CN113992347A (zh) * | 2021-09-17 | 2022-01-28 | 新华三信息安全技术有限公司 | 一种报文处理方法及装置 |
| CN114124474A (zh) * | 2021-11-03 | 2022-03-01 | 中盈优创资讯科技有限公司 | 一种基于BGP flowspec的DDOS攻击源处置方法及装置 |
| CN114115068A (zh) * | 2021-12-03 | 2022-03-01 | 东南大学 | 一种内生安全交换机的异构冗余防御策略下发方法 |
| CN114584491A (zh) * | 2022-04-21 | 2022-06-03 | 腾讯科技(深圳)有限公司 | 检测方法、装置、存储介质、设备及程序产品 |
| CN114745142A (zh) * | 2020-12-23 | 2022-07-12 | 腾讯科技(深圳)有限公司 | 一种异常流量处理方法、装置、计算机设备及存储介质 |
| CN115776406A (zh) * | 2022-12-01 | 2023-03-10 | 广西壮族自治区信息中心 | 安全防护方法、装置、电子设备及存储介质 |
| WO2023045865A1 (zh) * | 2021-09-26 | 2023-03-30 | 中兴通讯股份有限公司 | Bgp flowspec路由下发方法及装置、存储介质、电子设备 |
| CN116015785A (zh) * | 2022-12-14 | 2023-04-25 | 中国联合网络通信集团有限公司 | 信息安全防护方法及电子设备、存储介质 |
| CN116582362A (zh) * | 2023-07-11 | 2023-08-11 | 建信金融科技有限责任公司 | 网络访问的控制方法、装置、电子设备及存储介质 |
| WO2023230045A1 (en) * | 2022-05-24 | 2023-11-30 | Arbor Networks, Inc. | System and method for managing flowspec mitigations |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101924764A (zh) * | 2010-08-09 | 2010-12-22 | 中国电信股份有限公司 | 基于二级联动机制的大规模DDoS攻击防御系统及方法 |
| US20150095969A1 (en) * | 2013-07-16 | 2015-04-02 | Fortinet, Inc. | System and method for software defined behavioral ddos attack mitigation |
| US20180255095A1 (en) * | 2017-03-06 | 2018-09-06 | Radware, Ltd. | Distributed denial of service (ddos) defense techniques for applications hosted in cloud computing platforms |
| CN109347792A (zh) * | 2018-09-03 | 2019-02-15 | 中新网络信息安全股份有限公司 | 一种基于云+端设备持续联动模式的抗大规模DDoS攻击防御系统及防御方法 |
| CN109450841A (zh) * | 2018-09-03 | 2019-03-08 | 中新网络信息安全股份有限公司 | 一种基于云+端设备按需联动模式的大规模DDoS攻击检测与防御系统及防御方法 |
| CN111131335A (zh) * | 2020-03-30 | 2020-05-08 | 腾讯科技(深圳)有限公司 | 基于人工智能的网络安全防护方法、装置、电子设备 |
-
2020
- 2020-05-12 CN CN202010394862.2A patent/CN111294365B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101924764A (zh) * | 2010-08-09 | 2010-12-22 | 中国电信股份有限公司 | 基于二级联动机制的大规模DDoS攻击防御系统及方法 |
| US20150095969A1 (en) * | 2013-07-16 | 2015-04-02 | Fortinet, Inc. | System and method for software defined behavioral ddos attack mitigation |
| US20180255095A1 (en) * | 2017-03-06 | 2018-09-06 | Radware, Ltd. | Distributed denial of service (ddos) defense techniques for applications hosted in cloud computing platforms |
| CN109347792A (zh) * | 2018-09-03 | 2019-02-15 | 中新网络信息安全股份有限公司 | 一种基于云+端设备持续联动模式的抗大规模DDoS攻击防御系统及防御方法 |
| CN109450841A (zh) * | 2018-09-03 | 2019-03-08 | 中新网络信息安全股份有限公司 | 一种基于云+端设备按需联动模式的大规模DDoS攻击检测与防御系统及防御方法 |
| CN111131335A (zh) * | 2020-03-30 | 2020-05-08 | 腾讯科技(深圳)有限公司 | 基于人工智能的网络安全防护方法、装置、电子设备 |
Cited By (38)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI727891B (zh) * | 2020-09-21 | 2021-05-11 | 台灣物聯網股份有限公司 | 網路安全防護方法及裝置 |
| CN112351012A (zh) * | 2020-10-28 | 2021-02-09 | 杭州安恒信息技术股份有限公司 | 一种网络安全防护方法、装置及系统 |
| CN112350939A (zh) * | 2020-10-29 | 2021-02-09 | 腾讯科技(深圳)有限公司 | 旁路阻断方法、系统、装置、计算机设备及存储介质 |
| CN112350939B (zh) * | 2020-10-29 | 2023-11-10 | 腾讯科技(深圳)有限公司 | 旁路阻断方法、系统、装置、计算机设备及存储介质 |
| CN112532621A (zh) * | 2020-11-26 | 2021-03-19 | 杭州迪普科技股份有限公司 | 一种流量清洗方法、装置、电子设备及存储介质 |
| CN114745142A (zh) * | 2020-12-23 | 2022-07-12 | 腾讯科技(深圳)有限公司 | 一种异常流量处理方法、装置、计算机设备及存储介质 |
| CN114745142B (zh) * | 2020-12-23 | 2023-11-24 | 腾讯科技(深圳)有限公司 | 一种异常流量处理方法、装置、计算机设备及存储介质 |
| CN112583850B (zh) * | 2020-12-27 | 2023-02-24 | 杭州迪普科技股份有限公司 | 网络攻击防护方法、装置及系统 |
| CN112583850A (zh) * | 2020-12-27 | 2021-03-30 | 杭州迪普科技股份有限公司 | 网络攻击防护方法、装置及系统 |
| CN112769790A (zh) * | 2020-12-30 | 2021-05-07 | 杭州迪普科技股份有限公司 | 流量处理方法、装置、设备及存储介质 |
| CN112769790B (zh) * | 2020-12-30 | 2022-06-28 | 杭州迪普科技股份有限公司 | 流量处理方法、装置、设备及存储介质 |
| CN112788044A (zh) * | 2021-01-20 | 2021-05-11 | 苏州浪潮智能科技有限公司 | 一种分布式集群的旁路检测方法、装置及设备 |
| CN112769857A (zh) * | 2021-01-22 | 2021-05-07 | 华迪计算机集团有限公司 | 一种用于电子政务外网的异常流量管控系统 |
| CN112769857B (zh) * | 2021-01-22 | 2022-09-27 | 华迪计算机集团有限公司 | 一种用于电子政务外网的异常流量管控系统 |
| CN113037716A (zh) * | 2021-02-07 | 2021-06-25 | 杭州又拍云科技有限公司 | 一种基于内容分发网络的攻击防御方法 |
| CN113194091A (zh) * | 2021-04-28 | 2021-07-30 | 顶象科技有限公司 | 恶意流量入侵检测系统和硬件平台 |
| CN113411351B (zh) * | 2021-06-07 | 2023-06-27 | 中国人民解放军空军工程大学 | 基于NFV和深度学习的DDoS攻击弹性防御方法 |
| CN113411351A (zh) * | 2021-06-07 | 2021-09-17 | 中国人民解放军空军工程大学 | 基于NFV和深度学习的DDoS攻击弹性防御方法 |
| CN113364804A (zh) * | 2021-06-29 | 2021-09-07 | 北京天空卫士网络安全技术有限公司 | 一种流量数据的处理方法和装置 |
| CN113364804B (zh) * | 2021-06-29 | 2022-11-15 | 北京天空卫士网络安全技术有限公司 | 一种流量数据的处理方法和装置 |
| CN113992347A (zh) * | 2021-09-17 | 2022-01-28 | 新华三信息安全技术有限公司 | 一种报文处理方法及装置 |
| CN113992347B (zh) * | 2021-09-17 | 2023-09-19 | 新华三信息安全技术有限公司 | 一种报文处理方法及装置 |
| CN113727350A (zh) * | 2021-09-26 | 2021-11-30 | 北京恒安嘉新安全技术有限公司 | 恶意网址处理方法、装置、计算机设备及存储介质 |
| WO2023045865A1 (zh) * | 2021-09-26 | 2023-03-30 | 中兴通讯股份有限公司 | Bgp flowspec路由下发方法及装置、存储介质、电子设备 |
| CN113965394B (zh) * | 2021-10-27 | 2024-02-02 | 北京天融信网络安全技术有限公司 | 网络攻击信息获取方法、装置、计算机设备和介质 |
| CN113965394A (zh) * | 2021-10-27 | 2022-01-21 | 北京天融信网络安全技术有限公司 | 网络攻击信息获取方法、装置、计算机设备和介质 |
| CN114124474B (zh) * | 2021-11-03 | 2023-06-23 | 中盈优创资讯科技有限公司 | 一种基于BGP flowspec的DDOS攻击源处置方法及装置 |
| CN114124474A (zh) * | 2021-11-03 | 2022-03-01 | 中盈优创资讯科技有限公司 | 一种基于BGP flowspec的DDOS攻击源处置方法及装置 |
| CN114115068A (zh) * | 2021-12-03 | 2022-03-01 | 东南大学 | 一种内生安全交换机的异构冗余防御策略下发方法 |
| CN114584491B (zh) * | 2022-04-21 | 2023-09-08 | 腾讯科技(深圳)有限公司 | 检测方法、装置、存储介质及设备 |
| CN114584491A (zh) * | 2022-04-21 | 2022-06-03 | 腾讯科技(深圳)有限公司 | 检测方法、装置、存储介质、设备及程序产品 |
| WO2023230045A1 (en) * | 2022-05-24 | 2023-11-30 | Arbor Networks, Inc. | System and method for managing flowspec mitigations |
| CN115776406B (zh) * | 2022-12-01 | 2023-10-10 | 广西壮族自治区信息中心 | 安全防护方法、装置、电子设备及存储介质 |
| CN115776406A (zh) * | 2022-12-01 | 2023-03-10 | 广西壮族自治区信息中心 | 安全防护方法、装置、电子设备及存储介质 |
| CN116015785A (zh) * | 2022-12-14 | 2023-04-25 | 中国联合网络通信集团有限公司 | 信息安全防护方法及电子设备、存储介质 |
| CN116015785B (zh) * | 2022-12-14 | 2024-04-30 | 中国联合网络通信集团有限公司 | 信息安全防护方法及电子设备、存储介质 |
| CN116582362A (zh) * | 2023-07-11 | 2023-08-11 | 建信金融科技有限责任公司 | 网络访问的控制方法、装置、电子设备及存储介质 |
| CN116582362B (zh) * | 2023-07-11 | 2023-09-26 | 建信金融科技有限责任公司 | 网络访问的控制方法、装置、电子设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111294365B (zh) | 2020-08-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111294365B (zh) | 攻击流量防护系统、方法、装置、电子设备和存储介质 | |
| US10721243B2 (en) | Apparatus, system and method for identifying and mitigating malicious network threats | |
| US11444963B1 (en) | Efficient threat context-aware packet filtering for network protection | |
| Xing et al. | Snortflow: A openflow-based intrusion prevention system in cloud environment | |
| US20210112091A1 (en) | Denial-of-service detection and mitigation solution | |
| JP2015502060A (ja) | ネットワークメタデータを処理するストリーミング方法およびシステム | |
| Rafique et al. | CFADefense: A security solution to detect and mitigate crossfire attacks in software-defined IoT-edge infrastructure | |
| Qiu et al. | Global Flow Table: A convincing mechanism for security operations in SDN | |
| Joëlle et al. | Strategies for detecting and mitigating DDoS attacks in SDN: A survey | |
| KR20020072618A (ko) | 네트워크 기반 침입탐지 시스템 | |
| Xia et al. | Effective worm detection for various scan techniques | |
| JP2004328307A (ja) | 攻撃防御システム、攻撃防御制御サーバおよび攻撃防御方法 | |
| Roponena et al. | Towards a Human-in-the-Loop Intelligent Intrusion Detection System. | |
| Khamkar et al. | Low rate DDoS Attack Identification and Defense using SDN based on Machine Learning Method | |
| Dahiya et al. | Honeynet based Defensive mechanism Against DDoS Attacks | |
| Xiong | An SDN-based IPS development framework in cloud networking environment | |
| Veena et al. | Detection and mitigation of security attacks using real time SDN analytics | |
| EP4080822B1 (en) | Methods and systems for efficient threat context-aware packet filtering for network protection | |
| Sanjeetha et al. | Botnet Forensic Analysis in Software Defined Networks using Ensemble Based Classifier | |
| Bou-Harb et al. | On detecting and clustering distributed cyber scanning | |
| Selvaraj et al. | Enhancing intrusion detection system performance using firecol protection services based honeypot system | |
| Utsai et al. | DOS attack reduction by using Web service filter | |
| Shalinie et al. | CoDe—An collaborative detection algorithm for DDoS attacks | |
| Ruf et al. | A detection and filter system for use against large-scale ddos attacks in the internet backbone | |
| Halman et al. | Threshold-Based Software-Defined Networking (SDN) Solution for Healthcare Systems against Intrusion Attacks. |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 40024073 Country of ref document: HK |