CN101309150A - 分布式拒绝服务攻击的防御方法、装置和系统 - Google Patents
分布式拒绝服务攻击的防御方法、装置和系统 Download PDFInfo
- Publication number
- CN101309150A CN101309150A CNA2008101291494A CN200810129149A CN101309150A CN 101309150 A CN101309150 A CN 101309150A CN A2008101291494 A CNA2008101291494 A CN A2008101291494A CN 200810129149 A CN200810129149 A CN 200810129149A CN 101309150 A CN101309150 A CN 101309150A
- Authority
- CN
- China
- Prior art keywords
- attack
- data flow
- protected host
- data
- networking
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 39
- 230000007123 defense Effects 0.000 title claims abstract description 14
- 238000011144 upstream manufacturing Methods 0.000 claims abstract description 77
- 238000004140 cleaning Methods 0.000 claims abstract description 74
- 238000001514 detection method Methods 0.000 claims abstract description 16
- 230000006855 networking Effects 0.000 claims description 74
- 238000004458 analytical method Methods 0.000 claims description 15
- 238000013481 data capture Methods 0.000 claims description 14
- 238000001914 filtration Methods 0.000 claims description 12
- 238000005070 sampling Methods 0.000 claims description 7
- 238000002347 injection Methods 0.000 claims description 6
- 239000007924 injection Substances 0.000 claims description 6
- 238000005206 flow analysis Methods 0.000 claims description 5
- 230000005540 biological transmission Effects 0.000 claims description 2
- 238000005516 engineering process Methods 0.000 abstract description 11
- 239000013589 supplement Substances 0.000 abstract 1
- 230000002457 bidirectional effect Effects 0.000 description 11
- 238000010586 diagram Methods 0.000 description 6
- 230000000694 effects Effects 0.000 description 3
- 230000003139 buffering effect Effects 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 230000009977 dual effect Effects 0.000 description 1
- 238000010926 purge Methods 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例公开了一种分布式拒绝服务攻击的防御方法、装置和系统,涉及网络技术。为了解决现有的网络清洗装置只能获得单向数据流进行清洗而造成的清洗准确度较低的问题,本发明实施例分布式拒绝服务攻击的防御方法,包括:获取并检测网路中的数据流,获得攻击信息;获取并过滤网路中的上行数据流,获得来自被保护主机的上行数据信息;根据所述攻击信息和所述来自被保护主机的上行数据信息,对所述网路中目标为被保护主机的下行数据流进行引流、补偿和清洗处理。本发明实施例还提供一种分布式拒绝服务攻击的测控装置、清洗装置和防御系统。本发明适用于网络技术中的分布式拒绝服务攻击的检测和防御。
Description
技术领域
本发明涉及网络技术,尤其涉及分布式拒绝服务(DDoS:DistributedDenial of Service)攻击的防御。
背景技术
DDOS攻击是指攻击者利用主控主机(可能多级多层)控制大量受感染而被控制的主机组成攻击网络来对受害主机进行大规模的拒绝服务攻击。这种攻击往往能把单个攻击者的攻击以级数形式进行放大。在高速数据包的攻击下,受害者主机的关键资源,如带宽、缓冲区和CPU资源等迅速耗尽,受害主机或者崩溃,或者花大量时间处理攻击包而不能正常服务,给受害者和用户造成严重经济损失,因此有效地检测和防御DDoS攻击是构建安全网络的重要组成部分。
现有技术中对DDoS攻击主要采取单向流量清洗的方法进行检测和防御,也就是把流量中异常的攻击流量进行清洗,从而达到防御的目的,主要有如下两种方式:
1、单向引流清洗方式,如图1所示。整个检测和清洗系统主要包括数据流获取中心300、检测中心400、安全管理中心500和清洗中心600。由数据流获取中心通过流量镜像对网路200中的数据流进行实时监控,并由检测中心识别攻击源地址、被保护主机和攻击特征等攻击信息上报到安全管理中心,安全管理中心再根据配置策略,向清洗中心通告攻击信息,清洗中心通过BGP(边界网关协议)发布攻击源的主机地址,通过路由器100把攻击数据流引到清洗中心进行清洗,最后将清洗后的数据流回注到网路中并向安全管理中心上报攻击流清洗结果和各种攻击日志。
2、采样单向引流清洗方式,与所述单向引流清洗方式不同的是,在数据流获取中不采用流量镜像方式,而通过网络流量技术采样采集对网路中的网络数据流进行实时监控。
在实现上述对DDoS攻击的检测和防御的过程中,发明人发现现有技术中至少存在如下问题:
两种单向引流清洗方式都只能获得单向数据流进行分析和清洗,对攻击数据流清洗的准确度不高。
发明内容
本发明实施例提供一种分布式拒绝服务攻击的防御方法、装置和系统,能够解决网络清洗装置只能获得单向网路数据流进行清洗而造成的清洗准确度较低的问题。
本发明的一个实施例提供一种分布式拒绝服务攻击的防御方法,包括:
获取并检测网路中的数据流,获得攻击信息;
获取并过滤网路中的上行数据流,获得来自被保护主机的上行数据信息;
根据所述攻击信息和所述来自被保护主机的上行数据信息,对所述网路中目标为被保护主机的下行数据流进行引流、补偿和清洗处理。
本发明的另一个实施例提供一种分布式拒绝服务攻击的测控装置,包括:
数据获取设备,用于获取网路中的数据流;
检测设备,用于检测所述数据流,获得攻击信息和来自被保护主机的上行数据信息,将所述攻击信息发送到清洗装置,并将所述来自被保护主机的上行数据信息补偿到双向会话表。
本发明的另一个实施例提供一种分布式拒绝服务攻击的清洗装置,包括:
引流单元,用于将测控装置得到的攻击源地址通知网路中相应网络转发设备并由所述网络转发设备更改路由信息,将网路中目标为被保护主机的下行数据流从所述网络转发设备中引出并发送到攻击类型识别单元;
双向会话建立单元,用于建立由来自被保护主机的上行数据信息配合得到的双向会话表;
攻击类型识别单元,用于通过算法分析和策略匹配,识别正在进行的攻击类型;
清洗单元,用于分析攻击类型和所述双向会话表并清洗所述目标为被保护主机的下行数据流,滤除攻击数据流;
回注单元,用于将所述清洗单元清洗后的所述下行数据流回注到所述被保护主机的上游网路。
本发明的另一个实施例提供一种分布式拒绝服务攻击的防御系统,包括:
数据获取设备,用于获取网路中的数据流;
检测设备,用于检测所述数据流,获得攻击信息和来自被保护主机的上行数据信息,将所述攻击信息发送到清洗装置,并将所述来自被保护主机的上行数据信息补偿到双向会话表;
清洗装置,用于对网路中目标为被保护主机的下行数据流进行引流和清洗处理。
本发明实施例分布式拒绝服务攻击的防御方法、装置和系统通过获取网路中的数据流进行检测得到攻击信息,并获取和过滤网路中的上行数据流,获得来自被保护主机的上行数据信息,根据攻击信息和所述来自被保护主机的上行数据信息,对网路中目标为被保护主机的下行数据流进行引流、补偿和清洗处理,能够得到双向数据流进行攻击信息分析,从而提高对攻击数据流的清洗准确率。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为现有技术单向引流清洗方式一的示意图;
图2为本发明实施例分布式拒绝服务攻击的防御方法的流程图;
图3为本发明实施例分布式拒绝服务攻击的测控装置的示意图;
图4为本发明实施例数据获取设备的示意图;
图5为本发明实施例检测设备的示意图;
图6为本发明实施例分布式拒绝服务攻击的清洗装置的示意图;
图7为本发明实施例分布式拒绝服务攻击的防御系统的示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整的描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例旨在提供一种分布式拒绝服务攻击的防御方法、装置和系统,能够解决网络清洗装置只能获得单向网路数据流进行清洗而造成的清洗准确度较低的问题。下面结合附图对本发明实施例分布式拒绝服务攻击的防御方法、装置和系统进行详细描述。
如图2所示,本发明实施例分布式拒绝服务攻击的防御方法,包括如下步骤:
S1、获取并检测网路中的数据流,获得攻击信息;
S2、获取并过滤网路中的上行数据流,获得来自被保护主机的上行数据信息;
S3、根据所述攻击信息和所述来自被保护主机的上行数据信息,对所述网路中目标为被保护主机的下行数据流进行引流、补偿和清洗处理。
本发明实施例分布式拒绝服务攻击的防御方法通过获取和检测网路中的数据流得到攻击信息,获取并过滤网路中的上行数据流得到来自被保护主机的上行数据信息,并根据攻击信息和所述来自被保护主机的上行数据信息对网路中目标为被保护主机的下行数据流进行引流、补偿和清洗处理,能够通过补偿方法得到双向数据流进行攻击信息分析,从而提高对攻击数据流的清洗准确率。
在本发明一较佳实施例步骤S1中,获取数据流的方法为通过分光或镜像获取网路中的数据流,检测所述数据流的方法为通过算法分析和策略匹配检测所述数据流来获得攻击信息。所获得的攻击信息包括攻击源地址、被保护主机和攻击特征。但本发明并不局限于此,所述网路数据流的获取还可以通过网络流量技术如NETFLOW或其他XFLOW等方式采样采集网路中所述被保护主机上游的相应路由器上通过的数据流,检测所述路由器上通过的数据流可以采用流量分析检测的方法以获得攻击信息。
步骤S2中获取并过滤网路中的上行数据流具体为通过分光或镜像获取网路中的上行数据流并过滤得到来自被保护主机的上行数据信息。所述来自被保护主机的上行数据信息具体为来自被保护主机的上行数据包头,包括:数据链路层包头、网络层包头和传输层包头以及可能需要用到的其他层数据包头。
步骤S3的具体操作过程如下:
根据检测到的所述攻击信息,得到攻击数据流的攻击源地址,通过BGP更新更改网路中所述被保护主机上游的相应路由器的路由信息,将来自攻击源而目标为被保护主机的下行数据流从所述路由器中引出以备清洗。
将所述来自被保护对象的上行数据包头补偿到网络双向会话表,以便获得双向数据流进行分析。
建立网络双向会话表后,通过算法分析和策略匹配,识别攻击类型。再根据攻击类型和所述双向会话表,对所述目标为被保护主机的下行数据流进行清洗,具体可以为:通过识别伪造源地址、过滤非法数据包和速率限制滤除来自所述攻击源的攻击数据流。上述为一种常用网络攻击流的清洗方法,但本发明并不局限于此。
最后把清洗后的所述下行数据流回注到所述网路,回注地址可以是所述被保护主机上游的相应路由器或该路由器下游的其他层中的路由器。
本发明实施例分布式拒绝服务攻击的防御方法通过获取网路中的数据流进行检测得到攻击信息,获取并过滤网路中的上行数据流得到来自被保护主机的上行数据包头,并根据攻击信息对网路中目标为被保护主机的下行数据流进行引流,将来自被保护对象的上行数据包头补偿到双向会话表,维护了完整的流量记录,因而能够实现双向数据流的DDoS分析和清洗,从而提高对攻击数据流的清洗准确率。另外,本发明实施例可以采用分光或镜像获取网络数据流或通过不同的网络流量技术采样采集网络流量,因而无论对流量洪水型或非流量洪水型DDoS都能达到较好的防御效果。
本发明的另一个实施提供了一种分布式拒绝服务攻击的测控装置,能够解决网络清洗装置只能获得单向网路数据流进行清洗而造成的清洗准确度较低的问题。
如图3所示,本发明实施例分布式拒绝服务攻击系统包括测控装置和清洗装置,其中测控装置包括:
数据获取设备1000,用于获取网路中的数据流;
检测设备2000,用于检测所述数据流,获得攻击信息和来自被保护主机的上行数据信息,将所述攻击信息发送到清洗装置,并将所述来自被保护主机的上行数据信息补偿到双向会话表。
本发明实施例分布式拒绝服务攻击的测控装置能够通过将所述来自被保护主机的上行数据信息补偿到双向会话表,使得清洗装置获得双向数据流进行攻击信息分析,从而提高对攻击数据流的清洗准确率。
如图4所示,在本发明一较佳实施例中,数据获取设备1000包括第一数据获取单元1100,用于通过分光或镜像获取网路中的数据流。在本发明另一较佳实施例中所述数据获取设备1000还可以包括第二数据获取单元1200,用于通过网络流量技术如NETFLOW技术或其他XFLOW技术采样采集网路中所述被保护主机上游的相应路由器上通过的数据流。在实际应用中可以根据具体的设备状况决定是否需要第二数据获取单元1200。
如图5所示,检测设备2000包括如下几个部分:
第一数据检测单元2100,用于检测数据获取设备1000获取的数据流,获取攻击信息。所述数据检测单元2100用于通过算法分析和策略匹配检测所述第一数据获取单元2100获取的数据流并获得攻击信息。但本发明并不局限于此,在本发明另一较佳实施例中,数据检测单元2100用于通过流量分析所述第二数据获取单元1200采集的所述路由器上通过的数据流并获得攻击信息。实际应用中可以根据具体的设备是否包括第二数据获取单元1200来决定采用哪一种数据流检测方法。所述攻击信息包括攻击源地址、被保护主机和攻击特征。
第二数据检测单元2200,用于检测过滤来自所述第一数据获取单元2100获取的网路中的上行数据流,并得到来自被保护主机的上行数据信息。所述来自被保护主机的上行数据信息具体为来自被保护主机的上行数据包头,包括:数据链路层包头、网络层包头和传输层包头以及可能需要用到的其他层数据包头。
数据发送单元2300,用于将所述攻击信息发送到清洗装置和将来自被保护主机的上行数据包头补偿到网络双向会话表,从而清洗装置能够得到双向数据流进行分析和清洗。
本发明实施例分布式拒绝服务攻击的测控装置通过第一数据获取设备1100采用分光或镜像方法获取网路中的数据流,或通过第二数据获取设备1200通过网络流量技术采样采集网路中的数据流,再由第一数据检测单元2100检测得到所述数据流中的攻击信息,并由第二数据检测单元2200对网路中的上行数据流进行过滤得到来自被保护主机的上行数据包头补偿到双向会话表,使得网络清洗装置能够得到双向数据流进行DDoS分析,提高清洗装置对攻击数据流的清洗准确率。本发明可以通过第一或第二数据获取单元获取网路中的数据流,还可以通过第一或第二数据检测单元对所述数据流进行分析得到攻击信息,因此本发明无论对流量洪水型还是非流量洪水型DDoS攻击的清洗效果都比较好。
本发明的再一个实施例提供一种分布式拒绝服务攻击的清洗装置,能够解决网络清洗装置只能获得单向网路流量进行清洗而造成的清洗准确度较低的问题。
本发明的实施例采用如下技术方案:
如图6所示,一种分布式拒绝服务攻击的清洗装置,包括:
引流单元3100,用于通过BGP更新将测控装置得到的攻击源地址通知网路中被保护主机上游的相应路由器并由所述路由器更改路由信息,将网路中目标为被保护主机的下行数据流从所述路由器中引出并发送到攻击类型识别单元;
双向会话建立单元3200,用于建立由来自被保护主机的上行数据信息配合得到的双向会话表;
攻击类型识别单元3300,用于通过算法分析和策略匹配,识别正在进行的攻击类型;
清洗单元3400,用于分析所述攻击类型和所述双向会话表并清洗所述目标为被保护主机的下行数据流并滤除攻击数据流,具体为通过识别伪造源地址、过滤非法数据包和速率限制滤除来自攻击源的攻击数据流,上述为一种常用的网络攻击数据流清洗方法,但本发明并不局限于此。
回注单元3500,用于将所述清洗单元清洗后的所述下行数据流回注到所述网路,具体回注地址可以是所述被保护主机上游的相应路由器或该路由器下游的其他层的路由器。
本发明实施例分布式拒绝服务攻击的清洗装置通过引流单元3100将网路中目标为被保护主机的下行流量进行引流,通过双向会话建立单元3200建立双向会话表来帮助清洗单元3400对网路中的攻击数据流进行分析和清洗处理,并由回注单元3500将清洗后的所述下行数据流回注到网路中,能够通过补偿双向会话表的方法使清洗单元3400得到双向数据流进行流量DDoS分析,从而提高了清洗中心3400对攻击数据流的清洗准确率。本发明无论对流量洪水型或非流量洪水型DDoS都能达到较好的防御效果。另外,本发明实施例的设备较为简单,节省了成本。
本发明的另一个实施例提供了一种分布式拒绝服务攻击的防御系统,能够解决网络清洗装置只能获得单向网路数据流进行清洗而造成的清洗准确度较低的问题。
如图7所示,本发明实施例分布式拒绝服务攻击的防御系统包括:
数据获取设备1000,用于获取网路中的数据流;
检测设备2000,用于检测所述数据流,获得攻击信息和来自被保护主机的上行数据信息,将所述攻击信息发送到清洗装置,并将所述来自被保护主机的上行数据信息补偿到双向会话表;
清洗装置3000,用于对网路中目标为被保护主机的下行数据流进行引流和清洗处理。
本发明实施例分布式拒绝服务攻击的防御系统可以采用上述实施例分布式拒绝服务攻击的测控装置中的所采用的数据获取设备与检测设备,也可以采用上述分布式拒绝服务攻击的清洗装置。所述来自被保护主机的上行数据信息,包括来自被保护主机的上行数据包头,包括:数据链路层包头、网络层包头和传输层包头以及可能用到的其他层数据包头。
本发明实施例分布式拒绝服务攻击的防御系统通过数据获取设备1000获取网路中的数据流,再由检测设备2000进行检测获得攻击信息和来自被保护主机的上行数据包头,将攻击信息发送到清洗装置,并将所述来自被保护主机的上行数据包头补偿到双向会话表,最后由清洗装置对网路中目标为被保护主机的下行数据流进行引流和清洗处理,能够通过补偿双向会话表的方法使清洗装置得到双向数据流进行流量DDoS分析,从而提高了清洗装置对攻击数据流的清洗准确率。本发明无论对流量洪水型或非流量洪水型DDoS都能达到较好的防御效果。另外,本发明实施例的设备较为简单,节省了成本。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random Access Memory,RAM)等。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。
Claims (22)
1、一种分布式拒绝服务攻击的防御方法,其特征在于,
获取并检测网路中的数据流,获得攻击信息;
获取并过滤网路中的上行数据流,获得来自被保护主机的上行数据信息;
根据所述攻击信息和所述来自被保护主机的上行数据信息,对所述网路中目标为被保护主机的下行数据流进行引流、补偿和清洗处理。
2、如权利要求1所述的分布式拒绝服务攻击的防御方法,其特征在于,所述获取并检测网路中的数据流,获得攻击信息包括:
通过分光或镜像获取网路中的数据流并通过算法分析和策略匹配检测所述数据流,获得攻击信息;
或通过网络流量采样采集网路中网络转发设备上通过的数据流,进行流量分析检测所述网络转发设备上通过的数据流,获得攻击信息。
3、如权利要求1所述的分布式拒绝服务攻击的防御方法,其特征在于,所述攻击信息包括攻击源地址、被保护主机和攻击特征。
4、如权利要求1所述的分布式拒绝服务攻击的防御方法,其特征在于,所述获取并检测网路中的上行数据流包括:
通过分光或镜像获取网路中的上行数据流并进行检测。
5、如权利要求4所述的分布式拒绝服务攻击的防御方法,其特征在于,所述来自被保护主机的上行数据信息包括来自被保护主机的上行数据包头,包括:
数据链路层包头、网络层包头和传输层包头。
6、如权利要求1至5任一项所述的分布式拒绝服务攻击的防御方法,其特征在于,所述对所述网路中目标为被保护主机的下行数据流进行引流、补偿和清洗处理包括:
将所述网路中目标为被保护主机的下行数据流进行引流;
建立会话表,将所述来自被保护主机的上行数据信息补偿到所述会话表形成双向会话表;
对网路中目标为被保护主机的下行数据流进行清洗处理。
7、如权利要求6所述的分布式拒绝服务攻击的防御方法,其特征在于,所述将网路中目标为被保护主机的下行数据流进行引流包括:
通过边界网关协议更改相应网络转发设备的路由信息,将目标为被保护主机的下行数据流从所述网络转发设备中引出。
8、如权利要求7所述的分布式拒绝服务攻击的防御方法,其特征在于,所述将网路中目标为被保护主机的下行数据流进行清洗处理包括:
通过算法分析和策略匹配,识别攻击类型;
分析攻击类型和所述双向会话表,对所述目标为被保护主机的下行数据流进行清洗;
把清洗后的所述下行数据流回注到所述被保护主机的上游网路。
9、如权利要求8所述的分布式拒绝服务攻击的防御方法,其特征在于,所述对所述目标为被保护主机的下行数据流进行清洗包括:
通过识别伪造源地址、过滤非法数据包和速率限制滤除来自所述攻击源的攻击数据流。
10、一种分布式拒绝服务攻击的测控装置,其特征在于,包括:
数据获取设备,用于获取网路中的数据流;
检测设备,用于检测所述数据流,获得攻击信息和来自被保护主机的上行数据信息,将所述攻击信息发送到清洗装置,并将所述来自被保护主机的上行数据信息补偿到双向会话表。
11、如权利要求10所述的分布式拒绝服务攻击的测控装置,其特征在于,所述数据获取设备包括:
第一数据获取单元,用于通过分光或镜像获取所述网路中的数据流。
12、如权利要求11所述的分布式拒绝服务攻击的测控装置,其特征在于,所述数据获取设备还包括:
第二数据获取单元,用于通过网络流量采样采集网路中网络转发设备上通过的数据流。
13、如权利要求12所述的分布式拒绝服务攻击的测控装置,其特征在于,所述检测设备包括:
第一数据检测单元,用于检测所述第一或第二数据获取单元获取的所述网路中的数据流,获取攻击信息;
第二数据检测单元,用于检测所述第一数据获取单元获取的所述网路中的上行数据流,获取来自被保护主机的上行数据信息;
数据发送单元,用于将所述攻击信息发送到清洗装置,并将所述来自被保护主机的上行数据信息补偿到双向会话表。
14、如权利要求13所述的分布式拒绝服务攻击的测控装置,其特征在于,所述第一数据检测单元用于通过算法分析和策略匹配检测所述第一数据获取单元获取的数据流并获得攻击信息。
15、如权利要求13所述的分布式拒绝服务攻击的测控装置,其特征在于,所述第一数据检测单元用于通过流量分析所述第二数据获取单元采集的网络转发设备上通过的数据流并获得攻击信息。
16、如权利要求10至15任一项所述的分布式拒绝服务攻击的测控装置,其特征在于,所述攻击信息包括攻击源地址、被保护主机和攻击特征。
17、如权利要求16所述的分布式拒绝服务攻击的测控装置,其特征在于,所述来自被保护主机的上行数据信息,包括来自被保护主机的上行数据包头,包括:
数据链路层包头、网络层包头和传输层包头。
18、一种分布式拒绝服务攻击的清洗装置,其特征在于,包括:
引流单元,用于将测控装置得到的攻击源地址通知网路中相应网络转发设备并由所述网络转发设备更改路由信息,将网路中目标为被保护主机的下行数据流从所述网络转发设备中引出并发送到攻击类型识别单元;
双向会话建立单元,用于建立由来自被保护主机的上行数据信息配合得到的双向会话表;
攻击类型识别单元,用于通过算法分析和策略匹配,识别正在进行的攻击类型;
清洗单元,用于分析所述攻击类型和双向会话表并清洗所述目标为被保护主机的下行数据流,滤除攻击数据流;
回注单元,用于将所述清洗单元清洗后的所述下行数据流回注到所述被保护主机的上游网路。
19、如权利要求18所述的分布式拒绝服务攻击的清洗装置,其特征在于,所述清洗所述目标为被保护主机的下行数据流并滤除攻击数据流包括:
通过识别伪造源地址、过滤非法数据包和速率限制滤除来自攻击源的攻击数据流。
20、如权利要求18或19所述的分布式拒绝服务攻击的清洗装置,其特征在于,所述来自被保护主机的上行数据信息具体为来自被保护主机的上行数据包头,包括:
数据链路层包头、网络层包头和传输层包头。
21、一种分布式拒绝服务攻击的防御系统,其特征在于,包括:
数据获取设备,用于获取网路中的数据流;
检测设备,用于检测所述数据流,获得攻击信息和来自被保护主机的上行数据信息,将所述攻击信息发送到清洗装置,并将所述来自被保护主机的上行数据信息补偿到双向会话表;
清洗装置,用于对网路中目标为被保护主机的下行数据流进行引流和清洗处理。
22、如权利要求21所述的分布式拒绝服务攻击的防御系统,其特征在于,所述来自被保护主机的上行数据信息,包括来自被保护主机的上行数据包头,包括:
数据链路层包头、网络层包头和传输层包头。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008101291494A CN101309150B (zh) | 2008-06-30 | 2008-06-30 | 分布式拒绝服务攻击的防御方法、装置和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008101291494A CN101309150B (zh) | 2008-06-30 | 2008-06-30 | 分布式拒绝服务攻击的防御方法、装置和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101309150A true CN101309150A (zh) | 2008-11-19 |
| CN101309150B CN101309150B (zh) | 2012-06-27 |
Family
ID=40125386
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2008101291494A Active CN101309150B (zh) | 2008-06-30 | 2008-06-30 | 分布式拒绝服务攻击的防御方法、装置和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101309150B (zh) |
Cited By (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101834875A (zh) * | 2010-05-27 | 2010-09-15 | 华为技术有限公司 | 防御DDoS攻击的方法、装置和系统 |
| CN101924764A (zh) * | 2010-08-09 | 2010-12-22 | 中国电信股份有限公司 | 基于二级联动机制的大规模DDoS攻击防御系统及方法 |
| CN102111394A (zh) * | 2009-12-28 | 2011-06-29 | 成都市华为赛门铁克科技有限公司 | 网络攻击防护方法、设备及系统 |
| WO2012075866A1 (zh) * | 2010-12-07 | 2012-06-14 | 成都市华为赛门铁克科技有限公司 | 云系统分布式拒绝服务攻击防护方法以及装置和系统 |
| CN105991637A (zh) * | 2015-06-15 | 2016-10-05 | 杭州迪普科技有限公司 | 网络攻击的防护方法和装置 |
| CN106453350A (zh) * | 2016-10-31 | 2017-02-22 | 杭州华三通信技术有限公司 | 一种防攻击的方法及装置 |
| CN106534209A (zh) * | 2016-12-29 | 2017-03-22 | 广东睿江云计算股份有限公司 | 一种分流反射型ddos流量的方法及系统 |
| CN106685823A (zh) * | 2016-12-16 | 2017-05-17 | 杭州迪普科技股份有限公司 | 一种流量清洗方法及装置 |
| CN106789865A (zh) * | 2016-07-14 | 2017-05-31 | 深圳市永达电子信息股份有限公司 | 一种基于gre网络结合sdn技术和蜜罐技术的网络安全防护方法 |
| WO2017114200A1 (zh) * | 2015-12-31 | 2017-07-06 | 阿里巴巴集团控股有限公司 | 报文清洗方法及装置 |
| CN107483472A (zh) * | 2017-09-05 | 2017-12-15 | 中国科学院计算机网络信息中心 | 一种网络安全监控的方法、装置、存储介质及服务器 |
| CN107800668A (zh) * | 2016-09-05 | 2018-03-13 | 华为技术有限公司 | 一种分布式拒绝服务攻击防御方法、装置及系统 |
| CN108270776A (zh) * | 2017-12-28 | 2018-07-10 | 贵阳忆联网络有限公司 | 一种网络攻击防护系统及方法 |
| CN108737351A (zh) * | 2017-04-25 | 2018-11-02 | 中国移动通信有限公司研究院 | 一种分布式拒绝服务攻击防御控制方法和调度设备 |
| CN109167767A (zh) * | 2018-08-17 | 2019-01-08 | 苏州亮磊知识产权运营有限公司 | 一种对于DHCP架构的DDoS攻击防御系统的工作方法 |
| CN109995714A (zh) * | 2017-12-29 | 2019-07-09 | 中移(杭州)信息技术有限公司 | 一种处置流量的方法、装置和系统 |
| CN111556068A (zh) * | 2020-05-12 | 2020-08-18 | 上海有孚智数云创数字科技有限公司 | 基于流量特征识别的分布式拒绝服务的监控和防控方法 |
| CN112804200A (zh) * | 2020-12-30 | 2021-05-14 | 北京天融信网络安全技术有限公司 | 反射攻击防御方法、装置、电子设备及存储介质 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7028179B2 (en) * | 2001-07-03 | 2006-04-11 | Intel Corporation | Apparatus and method for secure, automated response to distributed denial of service attacks |
-
2008
- 2008-06-30 CN CN2008101291494A patent/CN101309150B/zh active Active
Cited By (34)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102111394B (zh) * | 2009-12-28 | 2015-03-11 | 华为数字技术(成都)有限公司 | 网络攻击防护方法、设备及系统 |
| CN102111394A (zh) * | 2009-12-28 | 2011-06-29 | 成都市华为赛门铁克科技有限公司 | 网络攻击防护方法、设备及系统 |
| US9088607B2 (en) | 2009-12-28 | 2015-07-21 | Huawei Digital Technologies (Cheng Du) Co., Limited | Method, device, and system for network attack protection |
| CN101834875A (zh) * | 2010-05-27 | 2010-09-15 | 华为技术有限公司 | 防御DDoS攻击的方法、装置和系统 |
| CN101834875B (zh) * | 2010-05-27 | 2012-08-22 | 华为技术有限公司 | 防御DDoS攻击的方法、装置和系统 |
| CN101924764A (zh) * | 2010-08-09 | 2010-12-22 | 中国电信股份有限公司 | 基于二级联动机制的大规模DDoS攻击防御系统及方法 |
| CN101924764B (zh) * | 2010-08-09 | 2013-04-10 | 中国电信股份有限公司 | 基于二级联动机制的大规模DDoS攻击防御系统及方法 |
| US8886927B2 (en) | 2010-12-07 | 2014-11-11 | Huawei Technologies Co., Ltd. | Method, apparatus and system for preventing DDoS attacks in cloud system |
| WO2012075866A1 (zh) * | 2010-12-07 | 2012-06-14 | 成都市华为赛门铁克科技有限公司 | 云系统分布式拒绝服务攻击防护方法以及装置和系统 |
| CN105991637A (zh) * | 2015-06-15 | 2016-10-05 | 杭州迪普科技有限公司 | 网络攻击的防护方法和装置 |
| CN106936799A (zh) * | 2015-12-31 | 2017-07-07 | 阿里巴巴集团控股有限公司 | 报文清洗方法及装置 |
| CN106936799B (zh) * | 2015-12-31 | 2021-05-04 | 阿里巴巴集团控股有限公司 | 报文清洗方法及装置 |
| US10924457B2 (en) | 2015-12-31 | 2021-02-16 | Alibaba Group Holding Limited | Packet cleaning method and apparatus |
| WO2017114200A1 (zh) * | 2015-12-31 | 2017-07-06 | 阿里巴巴集团控股有限公司 | 报文清洗方法及装置 |
| CN106789865A (zh) * | 2016-07-14 | 2017-05-31 | 深圳市永达电子信息股份有限公司 | 一种基于gre网络结合sdn技术和蜜罐技术的网络安全防护方法 |
| CN107800668B (zh) * | 2016-09-05 | 2020-09-08 | 华为技术有限公司 | 一种分布式拒绝服务攻击防御方法、装置及系统 |
| CN107800668A (zh) * | 2016-09-05 | 2018-03-13 | 华为技术有限公司 | 一种分布式拒绝服务攻击防御方法、装置及系统 |
| CN106453350B (zh) * | 2016-10-31 | 2021-06-11 | 新华三技术有限公司 | 一种防攻击的方法及装置 |
| CN106453350A (zh) * | 2016-10-31 | 2017-02-22 | 杭州华三通信技术有限公司 | 一种防攻击的方法及装置 |
| CN106685823A (zh) * | 2016-12-16 | 2017-05-17 | 杭州迪普科技股份有限公司 | 一种流量清洗方法及装置 |
| CN106534209B (zh) * | 2016-12-29 | 2017-12-19 | 广东睿江云计算股份有限公司 | 一种分流反射型ddos流量的方法及系统 |
| CN106534209A (zh) * | 2016-12-29 | 2017-03-22 | 广东睿江云计算股份有限公司 | 一种分流反射型ddos流量的方法及系统 |
| CN108737351A (zh) * | 2017-04-25 | 2018-11-02 | 中国移动通信有限公司研究院 | 一种分布式拒绝服务攻击防御控制方法和调度设备 |
| CN108737351B (zh) * | 2017-04-25 | 2021-03-16 | 中国移动通信有限公司研究院 | 一种分布式拒绝服务攻击防御控制方法和调度设备 |
| CN107483472B (zh) * | 2017-09-05 | 2020-12-08 | 中国科学院计算机网络信息中心 | 一种网络安全监控的方法、装置、存储介质及服务器 |
| CN107483472A (zh) * | 2017-09-05 | 2017-12-15 | 中国科学院计算机网络信息中心 | 一种网络安全监控的方法、装置、存储介质及服务器 |
| CN108270776A (zh) * | 2017-12-28 | 2018-07-10 | 贵阳忆联网络有限公司 | 一种网络攻击防护系统及方法 |
| CN109995714A (zh) * | 2017-12-29 | 2019-07-09 | 中移(杭州)信息技术有限公司 | 一种处置流量的方法、装置和系统 |
| CN109995714B (zh) * | 2017-12-29 | 2021-10-29 | 中移(杭州)信息技术有限公司 | 一种处置流量的方法、装置和系统 |
| CN109167767A (zh) * | 2018-08-17 | 2019-01-08 | 苏州亮磊知识产权运营有限公司 | 一种对于DHCP架构的DDoS攻击防御系统的工作方法 |
| CN111556068A (zh) * | 2020-05-12 | 2020-08-18 | 上海有孚智数云创数字科技有限公司 | 基于流量特征识别的分布式拒绝服务的监控和防控方法 |
| CN111556068B (zh) * | 2020-05-12 | 2020-12-22 | 上海有孚智数云创数字科技有限公司 | 基于流量特征识别的分布式拒绝服务的监控和防控方法 |
| CN112804200A (zh) * | 2020-12-30 | 2021-05-14 | 北京天融信网络安全技术有限公司 | 反射攻击防御方法、装置、电子设备及存储介质 |
| CN112804200B (zh) * | 2020-12-30 | 2022-06-24 | 北京天融信网络安全技术有限公司 | 反射攻击防御方法、装置、电子设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101309150B (zh) | 2012-06-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101309150B (zh) | 分布式拒绝服务攻击的防御方法、装置和系统 | |
| CN108063765B (zh) | 适于解决网络安全的sdn系统 | |
| CN108282497B (zh) | 针对SDN控制平面的DDoS攻击检测方法 | |
| CN101447996B (zh) | 分布式拒绝服务攻击防护方法、系统及设备 | |
| EP2257024B1 (en) | Method, network apparatus and network system for defending distributed denial of service ddos attack | |
| CN101282340B (zh) | 网络攻击处理方法及处理装置 | |
| CN102263788B (zh) | 一种用于防御指向多业务系统的DDoS攻击的方法与设备 | |
| CN101431449B (zh) | 一种网络流量清洗系统 | |
| CN101616129B (zh) | 防网络攻击流量过载保护的方法、装置和系统 | |
| US7843827B2 (en) | Method and device for configuring a network device | |
| US8634717B2 (en) | DDoS attack detection and defense apparatus and method using packet data | |
| RU2480937C2 (ru) | Система и способ уменьшения ложных срабатываний при определении сетевой атаки | |
| CN104954367B (zh) | 一种互联网全向跨域DDoS攻击防护方法 | |
| US20020032871A1 (en) | Method and system for detecting, tracking and blocking denial of service attacks over a computer network | |
| Gao et al. | A dos resilient flow-level intrusion detection approach for high-speed networks | |
| CN101631026A (zh) | 一种防御拒绝服务攻击的方法及装置 | |
| CN102111394A (zh) | 网络攻击防护方法、设备及系统 | |
| US20090240804A1 (en) | Method and apparatus for preventing igmp packet attack | |
| CN106657126B (zh) | 检测及防御DDoS攻击的装置及方法 | |
| JP2009088936A (ja) | ネットワーク監視装置及びネットワーク監視方法 | |
| CN105991637A (zh) | 网络攻击的防护方法和装置 | |
| CN102387151A (zh) | 一种p2p网络中基于块的病毒检测方法 | |
| CN104104669A (zh) | 适用于因特网数据中心领域的抗DDoS攻击防护系统 | |
| CN100502356C (zh) | 一种基于多级聚集的异常流量控制方法与系统 | |
| CN102075535A (zh) | 一种应用层分布式拒绝服务攻击过滤方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| ASS | Succession or assignment of patent right |
Owner name: CHENGDU CITY HUAWEI SAIMENTEKE SCIENCE CO., LTD. Free format text: FORMER OWNER: HUAWEI TECHNOLOGY CO., LTD. Effective date: 20090424 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20090424 Address after: Qingshui River District, Chengdu high tech Zone, Sichuan Province, China: 611731 Applicant after: CHENGDU HUAWEI SYMANTEC TECHNOLOGIES Co.,Ltd. Address before: Headquarters office building, Bantian HUAWEI base, Longgang District, Guangdong, Shenzhen Province, China: 518129 Applicant before: HUAWEI TECHNOLOGIES Co.,Ltd. |
|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C56 | Change in the name or address of the patentee |
Owner name: HUAWEI DIGITAL TECHNOLOGY (CHENGDU) CO., LTD. Free format text: FORMER NAME: CHENGDU HUAWEI SYMANTEC TECHNOLOGIES CO., LTD. |
|
| CP01 | Change in the name or title of a patent holder |
Address after: 611731 Chengdu high tech Zone, Sichuan, West Park, Qingshui River Patentee after: HUAWEI DIGITAL TECHNOLOGIES (CHENG DU) Co.,Ltd. Address before: 611731 Chengdu high tech Zone, Sichuan, West Park, Qingshui River Patentee before: CHENGDU HUAWEI SYMANTEC TECHNOLOGIES Co.,Ltd. |
|
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20220916 Address after: No. 1899 Xiyuan Avenue, high tech Zone (West District), Chengdu, Sichuan 610041 Patentee after: Chengdu Huawei Technologies Co.,Ltd. Address before: 611731 Qingshui River District, Chengdu hi tech Zone, Sichuan, China Patentee before: HUAWEI DIGITAL TECHNOLOGIES (CHENG DU) Co.,Ltd. |