CN102043917B - 云系统分布式拒绝服务攻击防护方法以及装置和系统 - Google Patents
云系统分布式拒绝服务攻击防护方法以及装置和系统 Download PDFInfo
- Publication number
- CN102043917B CN102043917B CN 201010577221 CN201010577221A CN102043917B CN 102043917 B CN102043917 B CN 102043917B CN 201010577221 CN201010577221 CN 201010577221 CN 201010577221 A CN201010577221 A CN 201010577221A CN 102043917 B CN102043917 B CN 102043917B
- Authority
- CN
- China
- Prior art keywords
- virtual machine
- cloud computing
- computing system
- flow cleaning
- data stream
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45587—Isolation or security of virtual machine instances
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/142—Denial of service attacks against network infrastructure
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明实施例公开了一种云系统分布式拒绝服务攻击防护方法以及装置和系统,其中,一种云系统分布式拒绝服务攻击防护方法,包括:云计算系统内的防护节点监测注入虚拟机的数据流量,其中,该云计算系统包括防护节点和多个虚拟机,各个虚拟机之间交互的数据流经过防护节点;若监测到注入该虚拟机的数据流量发生异常,提取待注入该虚拟机的数据流;将提取的数据流发送给流量清洗装置进行流量清洗;接收该流量清洗装置进行流量清洗后的数据流;向上述虚拟机注入清洗后的数据流。本发明实施例提供的方案,能够有效的防护云系统内各个虚拟机间的分布式拒绝服务攻击。
Description
技术领域
本发明涉及计算机技术领域,具体涉及云系统分布式拒绝服务攻击防护方法、云计算系统内防护节点和云计算系统内防护系统。
背景技术
分布式拒绝服务(DDOS,Distributed Denial of Service)攻击主要是指攻击者利用主控主机做跳板(可能多级多层),控制大量受感染而被控制的主机组成攻击网络来对受害主机进行大规模的拒绝服务攻击。
DDOS攻击可以利用攻击网络对受害主机发起互联网(Internet)控制报文协议(ICMP,Internet Control Message Protocol)洪水(Flood)、用户数据包协议(UDP,User Datagram Protocol)flood、同步(SYN,Synchronize)flood等攻击,DDOS攻击往往能把单个攻击者的攻击以级数形式进行放大,从而对用户主机造成重大影响,甚至造成瘫痪,对网络也会造成严重拥塞。
目前通过虚拟机软件,可以在一台物理计算机上模拟出一台或多台虚拟的计算机,而这些虚拟机就像真正的计算机那样进行工作,虚拟机上可安装操作系统、安装应用程序、访问网络资源等等。对于在虚拟机中运行的应用程序而言,虚拟机就像是在真正的计算机中进行工作。
云计算系统(可简称云系统)可看成是在通用硬件上进行分布式计算、存储及管理的一种集群系统,云系统可提供高吞吐量的数据访问,能够应用于大规模数据计算和存储。
随着云系统技术的发展,一个云系统可能包括成千上万个虚拟机,使得云系统内的各虚拟机的安全防护也日渐受到关注,有效防护云系统内各个虚拟机间的DDOS攻击的显得尤为重要,但现有的DDOS防护机制主要针对不同云系统之间,云系统与云系统外的主机之间、非云系统的各主机之间的DDOS攻击进行防护,并不适用于防护云系统内各个虚拟机间的DDOS攻击。
发明内容
本发明实施例提供一种云系统分布式拒绝服务攻击防护方法以及装置和系统,以有效的防护云系统内各个虚拟机间的DDOS攻击。
为解决上述技术问题,本发明实施例提供以下技术方案:
一种云系统分布式拒绝服务攻击防护方法,包括:
云计算系统内的防护节点监测注入虚拟机的数据流量,其中,所述云计算系统包括防护节点和多个虚拟机,各个虚拟机之间交互的数据流经过防护节点;
若监测到注入所述虚拟机的数据流量发生异常,提取待注入所述虚拟机的数据流;
将提取的数据流发送给流量清洗装置进行流量清洗;
接收所述流量清洗装置进行流量清洗后的数据流;
向所述虚拟机注入清洗后的数据流。
一种云计算系统内的防护节点,云计算系统包括防护节点和多个虚拟机,各个虚拟机之间交互的数据流经过防护节点,所述防护节点包括:
监测模块,用于监测注入虚拟机的数据流量;
提取发送模块,用于在所述监测模块监测到注入所述虚拟机的数据流量发生异常时,提取待注入所述虚拟机的数据流,将提取的数据流发送给流量清洗装置进行流量清洗;
接收模块,用于接收所述流量清洗装置进行流量清洗后的数据流;
注入模块,用于向所述虚拟机注入所述接收模块接收的清洗后的数据流。
一种云计算系统的防护系统,云计算系统包括防护节点和多个虚拟机,各个虚拟机之间交互的数据流经过防护节点,所述防护系统包括:
云计算系统内防护节点,用于监测注入虚拟机的数据流量;若监测到注入所述虚拟机的数据流量发生异常,提取待注入所述虚拟机的数据流,将提取的数据流发送给流量清洗装置进行流量清洗;接收所述流量清洗装置进行流量清洗后的数据流;向所述虚拟机注入清洗后的数据流。
流量清洗装置,用于对来自云计算系统内防护节点的待注入虚拟机的数据流进行流量清洗,向所述云计算系统内防护节点发送进行流量清洗后的数据流。
由上可见,本发明实施例中在云计算系统内部署防护节点,由云计算系统内防护节点来监测注入虚拟机的数据流量;若监测到注入该虚拟机的数据流量发生异常,提取待注入该虚拟机的数据流发送给流量清洗装置进行流量清洗;并将流量清洗装置进行流量清洗后的数据流回注到该虚拟机。由于是利用部署在云计算系统内的防护节点进行DDOS防护,因而不仅可以防护外网对云计算系统内虚拟机的DDOS攻击,更可有效的防护云计算系统内的各个虚拟机间的DDOS攻击,进而可全面提升云系统的安全性和可靠性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1-a是本发明实施例提供的一种Xen虚拟化环境示意图;
图1-b是本发明实施例提供的一种Domain 0驱动结构示意图;
图1-c是本发明实施例提供的一种Domain U驱动结构示意图;
图1-d是本发明实施例提供的一种Domain 0进程守护Domain U示意图;
图2是本发明实施例提供的一种DDOS攻击示意图;
图3是本发明实施例一提供的一种云系统DDOS攻击防护方法流程图;
图4是本发明实施例二提供的一种云系统DDOS攻击防护方法流程图;
图5-a是本发明实施例三提供的一种云计算系统内的防护节点示意图;
图5-b是本发明实施例三提供的另一种云计算系统内的防护节点示意图;
图6是本发明实施例四提供的一种云计算系统内的防护系统示意图。
具体实施方式
本发明实施例提供一种云系统分布式拒绝服务攻击防护方法以及装置和云系统,以有效的防护云系统内各个虚拟机间的DDOS攻击。
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
为便于理解,下面先简单介绍一种虚拟系统运行模式。
参见图1-a,一个Xen虚拟化环境可包括如下相互配合的元素:
Xen Hypervisor
Domain 0
Domain U PV客户系统
Domain U HVM客户系统
其中,Xen Hypervisor是一个介于硬件和操作系统之间的软件层,主要负责在各虚拟机之间进行中央处理器(CPU,central processing unit)调度和内存分配(partitioning)。Xen Hypervisor不仅抽象出硬件层,同时控制各虚拟机的运行,因为这些虚拟机共享同一个处理环境。Xen Hypervisor一般不会处理网络、存储设备、视频以及其它输入/输出(I/O,Input/Output)请求。
Domain 0通常是一个修改过的Linux kernel(或其它内核),Domain 0可看成是其它虚拟机的管理节点,Domain 0通常是唯一运行在Xen Hypervisor之上的虚拟机,通常拥有访问物理I/O资源的权限,同时和虚拟系统上运行的其它虚拟机进行交互。Domain 0需要在其它Domain启动之前启动。其中,Domain 0中通常包含两个驱动(如图1-b所示):网络支持驱动(Network Backend Driver)和块支持驱动(Block Backend Driver),分别负责处理来自Domain U的网络和本地磁盘请求。Network Backend Driver可直接和本地网络硬件进行通信,以处理所有来自Domain U上客户操作系统的网络请求。Block Backend Driver可和本地存储设备进行通信,以处理来自Domain U的读写请求等。
Domain U是运行在Xen Hypervisor上虚拟机,其中,全虚拟化虚拟机被称为“Domain U HVM Guests”,其上运行着不用修改内核的操作系统,如Windows等;半虚拟化(paravirtualized)虚拟机被称之为“Domain U PV Guests”,其上运行着被修改过内核的操作系统,例如Linux、Solaris、FreeBSD或其它操作系统等。
Domain U PV Guests也可包含两个驱动(如图1-c所示):半虚拟化网络驱动(PV Network Driver)和半虚拟化块驱动(PV Block Driver)。
Domain U HVM Guests虚拟机内没有半虚拟化驱动(PV Driver),而是在Domain 0里为每一个全虚拟化客户端(HVM Guest)启动一个特殊的守护进程Qemu-dm,由Qemu-dm负责客户操作系统的网络和磁盘请求。
常见图1-d,Domain U HVM Guests可初始化为某类机器,并在Domain U上附加Xen虚拟固件来模拟BIOS。
对云系统的网络攻击可如图2所示,主要包括三种:
云计算系统外外网攻击,主要是外部网络发起的攻击流量;
云计算系统内不同物理主机间的攻击,其主要是云计算系统内的不同物理主机间发起的攻击流量;
云计算系统内同一物理主机的不同虚拟机间的攻击,主要是云计算系统内的相同物理不同虚拟主机间发起的攻击。
本发明实施例主要针对云计算系统内同一物理主机以及不同物理主机的不同虚拟机间的DDOS攻击的防护进行研究。
下面通过具体实施例进行详细介绍。
实施例一
本发明云系统分布式拒绝服务攻击防护方法的一个实施例,可包括:云计算系统内防护节点监测注入虚拟机的数据流量;若监测到注入该虚拟机的数据流量发生异常,提取待注入该虚拟机的数据流,将提取的数据流发送给流量清洗装置进行流量清洗;接收该流量清洗装置进行流量清洗后的数据流;向上述虚拟机注入该清洗后的数据流。
参见图3,具体步骤可以包括:
310、云计算系统内防护节点监测注入虚拟机的数据流量;
其中,云计算系统包括防护节点和多个虚拟机,各个虚拟机之间交互的数据流经过防护节点。
在一种应用场景下,云计算系统内的防护节点可为云计算系统内的虚拟机管理节点(该云计算系统内虚拟机管理节点可管理一台或多台位于相同或不同云计算系统内物理主机上的虚拟机),也可以是部署在云计算系统内虚拟机管理节点和云计算系统内各个虚拟机之间的装置。外网与云计算系统内各虚拟机间交互的数据流,以及云计算系统内各个虚拟机间交互的数据流都经过该云计算系统内的防护节点,云计算系统内的防护节点可以监测注入各个虚拟机的数据流。其中,注入某虚拟机的数据流可能来自外网,也可能来自云计算系统内的其它虚拟机。
在实际应用中,云计算系统内防护节点例如可统计在预定时长(例如30秒、一分钟或其它值)内注入虚拟机的数据流量大小;若统计出的在预定时长内注入某一虚拟机的数据流量大小超过设定阈值(例如50MB、100MB或其它值),则可确定注入该虚拟机的数据流量发生异常。
320、云计算系统内防护节点若监测到注入上述虚拟机的数据流量发生异常,则提取待注入该虚拟机的数据流,将提取的数据流发送给流量清洗装置进行流量清洗;
在一种应用场景,云计算系统内防护节点若监测到注入上述虚拟机的数据流量发生异常,云计算系统内防护节点可直接提取待注入该虚拟机的数据流,并直接将提取的数据流发送给流量清洗装置进行流量清洗。或者,云计算系统内防护节点在监测到注入上述虚拟机的数据流量发生异常后,可先向流量清洗装置发送指示请求流量清洗的流量清洗请求;若接收来自该流量清洗装置的指示允许流量清洗的流量清洗响应(说明流量清洗装置有足够的清洗资源,清洗资源可指空闲处理能力),再提取待注入该虚拟机的数据流,并将提取的数据流发送给流量清洗装置进行流量清洗;此外,若接收来自该流量清洗装置的指示不允许流量清洗的流量清洗响应(说明流量清洗装置可能暂时没有足够的清洗资源),则云计算系统内防护节点可再等待一定时长(例如2秒、5秒或其它值)后,再向流量清洗装置发送指示请求流量清洗的流量清洗请求,并以此重复,直至流量清洗装置完成流量清洗。特别的,如果有多台流量清洗装置可以供选择,则若当前请求流量清洗的流量清洗装置暂无足够的清洗资源,云计算系统内防护节点可请求其它流量清洗装置来进行流量清洗。
在实际应用中,数据流量异常可能由UDP fiood、SYN flood、ICMP Flood或其它DDOS攻击引起的,而发起该DDOS攻击的可能是外网,也可能是云计算系统内的其它虚拟机。
流量清洗装置可以是独立设置的流量清洗板,亦可是其它部署架构,流量清洗装置可选用SYN反弹、TCP代理、UDP限流、空连接检测、DNS TC反弹和/或现有的其它一种或多种技术进行流量清洗。
330、云计算系统内防护节点接收上述流量清洗装置进行流量清洗后的数据流;
340、云计算系统内防护节点向上述虚拟机注入清洗后的数据流。
可以理解,云计算系统内防护节点将流量清洗装置进行流量清洗后的干净的数据流回注到对应虚拟机中,因此该虚拟机可接收到干净的数据流,也就可以进行正常的响应和处理。
由上可见,本实施例中在云计算系统内部署防护节点,由云计算系统内防护节点来监测注入虚拟机的数据流量;若监测到注入该虚拟机的数据流量发生异常,提取待注入该虚拟机的数据流发送给流量清洗装置进行流量清洗;并将流量清洗装置进行流量清洗后的干净的数据流回注到该虚拟机。由于是利用部署在云计算系统内的防护节点进行DDOS防护,因而不仅可防护外网对云计算系统内虚拟机的DDOS攻击,更可有效的防护云计算系统内的各个虚拟机间的DDOS攻击,进而可全面提升云系统的安全性和可靠性。
实施例二
为便于更好的理解本发明实施例的技术方案,下面以云计算系统内虚拟机管理节点对云计算系统内的某虚拟机Ai的DDOS攻击防护的过程为例,进行更详细的描述。
参见图4,具体可以包括:
401、云计算系统内虚拟机管理节点监测注入虚拟机Ai的数据流量;
在一种应用场景,云计算系统内虚拟机管理节点可管理一台或多台位于相同或不同云计算系统内物理主机上的虚拟机(其中包括虚拟机Ai)。
外网与云计算系统内各虚拟机间交互的数据流量,以及云计算系统内各个虚拟机间交互的数据流量都经过该云计算系统内虚拟机管理节点,云计算系统内虚拟机管理节点可监测注入各个虚拟机的数据流量。其中,注入某虚拟机的数据流量可能来自外网,也可能来自云计算系统内的其它虚拟机。
其中,可如图1-a所示,若将Domain 0看作是云计算系统内虚拟机管理节点,Domain U则是其所管理的虚拟机。
在实际应用中,云系统内的虚拟机管理节点例如可以统计在预定时长(例如30秒、1分钟或其它值)内注入虚拟机Ai的数据流量大小;若虚拟机Ai有网际协议地址(IP,Internet Protocol)、媒体访问控制(MAC,Media Access Control)地址或其它对外地址,则云计算系统内虚拟机管理节点可基于数量流量的目的地址,生成监控表,对注入虚拟机Ai的数据流量进行监测,可利用监控表来记录统计信息。
402、云计算系统内虚拟机管理节点若监测到注入虚拟机Ai的数据流量异常,向流量清洗装置发送指示请求流量清洗的流量清洗请求;
具体的,云计算系统内虚拟机管理节点若统计出在预定时长内注入虚拟机Ai的数据流量超过设定阈值(例如50MB、100MB或其它值),则可确定注入虚拟机Ai的数据流量发生异常,此时启动流量清洗机制。其中,流量清洗请求中还可以携带虚拟机Ai的标识,流量清洗装置可据此获知注入虚拟机Ai的数据流量异常。
403、流量清洗装置向云计算系统内虚拟机管理节点发送流量清洗响应;
在实际应用中,流量清洗装置可检测当前是否有足够的清洗资源(清洗资源可值可指空闲处理能力),若当前有足够的清洗资源,则可向云计算系统内虚拟机管理节点发送指示允许流量清洗的流量清洗响应(其中仍可携带虚拟机Ai的标识)。
当然,若流量清洗装置检测到当前没有足够的清洗资源,则可向云计算系统内虚拟机管理节点发送指示暂时不允许流量清洗的流量清洗响应(其中仍可携带虚拟机Ai的标识),则云计算系统内虚拟机管理节点可再等待一定时长(例如2秒、5秒或其它值)后,再向流量清洗装置发送指示请求流量清洗的流量清洗请求,以此重复,直至流量清洗装置完成流量清洗。特别的,如果有多台流量清洗装置可供选择,则若当前请求流量清洗的流量清洗装置暂无足够的清洗资源,云计算系统内虚拟机管理节点可请求其它流量清洗装置来进行流量清洗。
此处,以流量清洗装置当前有足够的清洗资源为虚拟机Ai提供流量清洗服务的场景为例。
404、云计算系统内虚拟机管理节点接收来自流量清洗装置的指示允许流量清洗的流量清洗响应,并提取待注入该虚拟机Ai的数据流,将提取的数据流发送给流量清洗装置进行流量清洗;
在实际应用中,数据流量异常可能由UDP flood、SYN flood、ICMP Flood或其它DDOS攻击引起的,而发起该DDOS攻击的可能是外网,也可能是云计算系统内的其它虚拟机。
流量清洗装置可以是独立设置的流量清洗板,亦可是其它部署架构,流量清洗装置可选用SYN反弹、TCP代理、UDP限流、空连接检测、DNS TC反弹和/或现有的其它一种或多种技术对虚拟机Ai的异常流量进行流量清洗,以除去可疑流量。
举例来说,若流量清洗装置基于SYN反弹机制来进行流量清洗,则收到客户端到目的服务器的SYN包,流量清洗装置可伪造其为目的服务器,和客户端进行通信,回应一个特殊构造的确认序列号的SYN-ACK包,如果SYN包内的客户端源IP是真实的,则该客户端会收到流量清洗装置发送过来的特殊的SYN-ACK包,同时其会构造一个原确认序列号的相同的序列号的RST包,流量清洗装置根据包的信息进行判断,如果该序列号和初试构造的SYN-ACK包的序列号相同,则认为是真实的,并把该IP加入白名单。然后该客户端会自动重新发SYN包,流量清洗装置收到后查询到白名单,则可以直接转发。
若流量清洗装置基于TCP代理机制来进行流量清洗,则当客户端SYN包到达流量清洗装置时,其SYN代理并不转发SYN包,而是以服务器的名义主动回复客户端SYN-ACK包给客户,如果收到客户端的ACK包,表明这是正常的访问,此时流量清洗装置向服务器发送SYN包并完成三次握手,然后流量清洗装置代表客户端和服务端分别进行与服务端和客户端进行通信,完成转发。
若流量清洗装置基于UDP限流机制来进行流量清洗,则当流量超过阈值时,流量清洗装置对其流量进行限制,从而达到防护的目的。
若流量清洗装置基于空连接检测进行流量清洗,流量清洗装置可定时对防御防护IP的TCP连接数目进行统计,一旦发现该统计数值超过阈值,则判断发生空连接攻击,则可以对发起连接过多的源IP进行限制。
若流量清洗装置基于DNS TC反弹机制进行流量清洗,流量清洗装置可通过把DNS的UDP通信方式转化为TCP通信方式来解决DNS的安全防范问题,大幅增强DNS安全防护能力。DNS有一个特性,就是当客户端发出请求,如果DNS服务器准备应答时,发现数据量过大,超过512字节,就会把DNS的报头的Flag字段中的TC标记至1,然后把512个截断的数据返回给客户端,客户端的域名解析器收到这个报文后首先读取TC字段,知道该报文是截断的,则采用TCP连接的方式主动向DNS的TCP端口进行连接,重新发出请求,进行信息交换。
可以理解,本实施例流量清洗装置不限于使用上述流量清洗机制,当然还可以根据需要采用其它流量清洗方式进行流量清洗,此处不再赘述。
405、流量清洗装置向云计算系统内虚拟机管理节点发送进行流量清洗后的数据流量;
406、云计算系统内虚拟机管理节点接收来自流量清洗装置的进行流量清洗后的数据流,向虚拟机Ai注入该清洗后的数据流量。
可以理解,云计算系统内虚拟机管理节点将流量清洗装置进行流量清洗后的数据流回注到虚拟机Ai中,因此虚拟机Ai可接收到清洗后的数据流,也就可以进行正常的响应和处理,有效的防护了外网或云计算系统内其它虚拟机对虚拟机Ai的DDOS攻击。
由上可见,本实施例中由云计算系统内虚拟机管理节点来监测注入虚拟机的数据流量;若监测到注入该虚拟机的数据流量发生异常,提取待注入该虚拟机的数据流发送给流量清洗装置进行流量清洗;并将流量清洗装置进行流量清洗后的数据流回注到该虚拟机。由于是利用部署在云计算系统内的防护节点进行DDOS防护,因而不仅可防护外网对云计算系统内虚拟机的DDOS攻击,更可有效的防护云计算系统内的各个虚拟机间的DDOS攻击,进而可全面提升云系统的安全性和可靠性。
为便于更好的实施本发明实施例的上述技术方案,下面还提供用于实施上述技术方案的装置和系统。
实施例三
参见图5,本发明实施例提供的一种云计算系统内的防护节点500,其中云计算系统包括防护节点和多个虚拟机,各个虚拟机之间交互的数据流经过防护节点,云计算系统内防护节点500具体可以包括:监测模块510、提取发送模块520、接收模块530和注入模块540。
其中,监测模块510,用于监测注入虚拟机的数据流量;
在一种应用场景下,云计算系统内防护节点500可以是云计算系统内虚拟机管理节点(该云计算系统内虚拟机管理节点可管理一台或多台位于相同或不同云计算系统内物理主机上的虚拟机),也可以是部署在云计算系统内虚拟机管理节点和云计算系统内各个虚拟机之间的装置。外网与云计算系统内各虚拟机间交互的数据流,以及云计算系统内各个虚拟机间交互的数据流都经过该云计算系统内防护节点500,云计算系统内防护节点500可监测注入各个虚拟机的数据流。其中,注入某虚拟机的数据流可能来自外网,也可能来自云计算系统内的其它虚拟机。
其中,监测模块510可具体用于,统计在预定时长(例如30秒、一分钟或其它值)内注入上述虚拟机的数据流量大小;若统计出的预定时长内注入上述虚拟机的数据流量大小超过设定阈值(例如50MB、100MB或其它值),则确定注入上述虚拟机的数据流量发生异常。
提取发送模块520,用于在监测模块510监测到注入上述虚拟机的数据流量发生异常时,提取待注入上述虚拟机的数据流,将提取的数据流发送给流量清洗装置进行流量清洗;
接收模块530,用于接收上述流量清洗装置进行流量清洗后的数据流;
注入模块540,用于向上述虚拟机注入接收模块530接收的清洗后的数据流。
参见图5-b,在一种应用场景下,云计算系统内防护节点500还可包括:
请求模块550,用于在提取发送模块520提取待注入上述虚拟机的数据流之前,向流量清洗装置发送指示请求流量清洗的流量清洗请求;
响应模块560,用于接收来自上述流量清洗装置的指示允许流量清洗的流量清洗响应。
需要说明的是,本实施例的云计算系统内防护节点500可如上述方法实施例中的云计算系统内虚拟机管理节点,可以用于配合实现上述方法实施例中的全部技术方案,其各个功能模块的功能可以根据上述方法实施例中的方法具体实现,其具体实现过程可参照上述实施例中的相关描述,此处不再赘述。
由上可见,本实施例中在云计算系统内部署防护节点,由云计算系统内防护节点500来监测注入虚拟机的数据流量;若监测到注入该虚拟机的数据流量发生异常,提取待注入该虚拟机的数据流发送给流量清洗装置进行流量清洗;并将流量清洗装置进行流量清洗后的数据流回注到该虚拟机。由于是利用部署在云计算系统内的防护节点进行DDOS防护,因而不仅可防护外网对云计算系统内虚拟机的DDOS攻击,更可有效的防护云计算系统内的各个虚拟机间的DDOS攻击,进而可全面提升云系统的安全性和可靠性。
实施例四
参见图6,本发明实施例提供的一种云计算系统的防护系统,其中,云计算系统包括防护节点和多个虚拟机,各个虚拟机之间交互的数据流经过防护节点,防护系统可包括:云计算系统内防护节点610和流量清洗装置620
其中,云计算系统内防护节点610,用于监测注入虚拟机的数据流量;若监测到注入上述虚拟机的数据流量发生异常,提取待注入上述虚拟机的数据流,将提取的数据流发送给流量清洗装置620进行流量清洗;接收流量清洗装置620进行流量清洗后的数据流;向上述虚拟机注入流量清洗装置620进行流量清洗后的数据流。
流量清洗装置620,用于对来自云计算系统内防护节点610的待注入虚拟机的数据流进行流量清洗,向云计算系统内防护节点610发送进行流量清洗后的数据流。
在一种应用场景下,云计算系统内防护节点610可为云计算系统内虚拟机管理节点(该云计算系统内虚拟机管理节点可管理一台或多台位于相同或不同云计算系统内物理主机上的虚拟机),也可以是部署在云计算系统内虚拟机管理节点和云计算系统内各个虚拟机之间的装置。外网与云计算系统内各虚拟机间交互的数据流,以及云计算系统内各个虚拟机间交互的数据流都经过云计算系统内防护节点610,云计算系统内防护节点610可监测注入各个虚拟机的数据流。其中,注入某虚拟机的数据流可能来自外网,也可能来自云计算系统内的其它虚拟机。
在实际应用中,云计算系统内防护节点610例如可统计在预定时长(例如30秒、一分钟或其它值)内注入虚拟机的数据流量大小;若统计出的在预定时长内注入某一虚拟机的数据流量大小超过设定阈值(例如50MB、100MB或其它值),则可确定注入该虚拟机的数据流量发生异常。
在一种应用场景,云计算系统内防护节点610若监测到注入上述虚拟机的数据流量发生异常,云计算系统内防护节点610可直接提取待注入该虚拟机的数据流,并直接将提取的数据流量发送给流量清洗装置620进行流量清洗。或者,云计算系统内防护节点610在监测到注入上述虚拟机的数据流量发生异常后,可先向流量清洗装置620发送指示请求流量清洗的流量清洗请求;若接收来自该流量清洗装置620的指示允许流量清洗的流量清洗响应(说明流量清洗装置620有足够的清洗资源),再提取待注入该虚拟机的数据流,并将提取的数据流发送给流量清洗装置620进行流量清洗;此外,若接收来自该流量清洗装置620的指示不允许流量清洗的流量清洗响应(说明流量清洗装置620可能暂时没有足够的清洗资源),则云计算系统内防护节点610可再等待一定时长(例如2秒、5秒或其它值)后,再向流量清洗装置620发送指示请求流量清洗的流量清洗请求,以此重复,直至流量清洗装置620完成流量清洗。
特别的,如果有多台流量清洗装置可供选择,则若当前请求流量清洗的流量清洗装置620暂无足够的清洗资源,云计算系统内防护节点610可请求其它流量清洗装置来进行流量清洗。
在实际应用中,数据流量异常可能由UDP flood、SYN flood、ICMP Flood或其它DDOS攻击引起的,而发起该DDOS攻击的可能是外网,也可能是云计算系统内的其它虚拟机。
流量清洗装置620可为独立设置的流量清洗板,亦可是其它部署架构,流量清洗装置620可选用SYN反弹、TCP代理、UDP限流、空连接检测、DNS TC反弹和/或现有的其它一种或多种技术进行流量清洗。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明并不受所描述的动作顺序的限制,因为依据本发明,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本发明所必须的。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
综上,本发明实施例中在云计算系统内部署防护节点,由云计算系统内防护节点来监测注入虚拟机的数据流量;若监测到注入该虚拟机的数据流量发生异常,提取待注入该虚拟机的数据流发送给流量清洗装置进行流量清洗;并将流量清洗装置进行流量清洗后的数据流回注到该虚拟机。由于是利用部署在云计算系统内的防护节点进行DDOS防护,因而不仅可防护外网对云计算系统内虚拟机的DDOS攻击,更可有效的防护云计算系统内的各个虚拟机间的DDOS攻击,进而可全面提升云系统的安全性和可靠性。
本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,该程序可以存储于一计算机可读存储介质中,存储介质可以包括:只读存储器、随机存储器、磁盘或光盘等。
以上对本发明实施例所提供的云系统分布式拒绝服务攻击防护方法以及装置和系统进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上,本说明书内容不应理解为对本发明的限制。
Claims (7)
1.一种云系统分布式拒绝服务攻击防护方法,其特征在于,包括:
云计算系统内的防护节点监测注入虚拟机的数据流量,其中,所述云计算系统包括防护节点和多个虚拟机,各个虚拟机之间交互的数据流经过防护节点,其中,所述防护节点是部署在云计算系统内虚拟机管理节点和云计算系统内各个虚拟机之间的装置,或者所述云计算系统内防护节点包括云计算系统内虚拟机管理节点;
若监测到注入所述虚拟机的数据流量发生异常,提取待注入所述虚拟机的数据流;
将提取的数据流发送给流量清洗装置进行流量清洗;
接收所述流量清洗装置进行流量清洗后的数据流;
向所述虚拟机注入清洗后的数据流。
2.根据权利要求1所述的方法,其特征在于,
所述监测注入虚拟机的数据流量,包括:
统计在预定时长内注入所述虚拟机的数据流量大小;
若统计出的预定时长内注入所述虚拟机的数据流量大小超过设定阈值,则确定注入所述虚拟机的数据流量发生异常。
3.根据权利要求1所述的方法,其特征在于,所述提取待注入所述虚拟机的数据流量,之前还包括:
向流量清洗装置发送指示请求流量清洗的流量清洗请求;
接收来自所述流量清洗装置的指示允许流量清洗的流量清洗响应。
4.一种云计算系统内的防护节点,其特征在于,云计算系统包括防护节点和多个虚拟机,各个虚拟机之间交互的数据流经过防护节点,其中,所述防护节点是部署在云计算系统内虚拟机管理节点和云计算系统内各个虚拟机之间的装置,或者所述云计算系统内防护节点包括云计算系统内虚拟机管理节点,所述防护节点包括:
监测模块,用于监测注入虚拟机的数据流量;
提取发送模块,用于在所述监测模块监测到注入所述虚拟机的数据流量发生异常时,提取待注入所述虚拟机的数据流,将提取的数据流发送给流量清洗装置进行流量清洗;
接收模块,用于接收所述流量清洗装置进行流量清洗后的数据流;
注入模块,用于向所述虚拟机注入所述接收模块接收的清洗后的数据流。
5.根据权利要求4所述的防护节点,其特征在于,
所述监测模块具体用于,统计在预定时长内注入所述虚拟机的数据流量大小;若统计出的预定时长内注入所述虚拟机的数据流量大小超过设定阈值,则确定注入所述虚拟机的数据流量发生异常。
6.根据权利要求4所述的防护节点,其特征在于,还包括:
发送模块,用于在所述提取发送模块提取待注入所述虚拟机的数据流量之前,向流量清洗装置发送指示请求流量清洗的流量清洗请求;
接收模块,用于接收来自所述流量清洗装置的指示允许流量清洗的流量清洗响应。
7.一种云计算系统的防护系统,其特征在于,云计算系统包括防护节点和多个虚拟机,各个虚拟机之间交互的数据流经过防护节点,其中,所述防护节点是部署在云计算系统内虚拟机管理节点和云计算系统内各个虚拟机之间的装置,或者所述云计算系统内防护节点包括云计算系统内虚拟机管理节点,所述防护系统包括:
云计算系统内防护节点,用于监测注入虚拟机的数据流量;若监测到注入所述虚拟机的数据流量发生异常,提取待注入所述虚拟机的数据流,将提取的数据流发送给流量清洗装置进行流量清洗;接收所述流量清洗装置进行流量清洗后的数据流;向所述虚拟机注入清洗后的数据流;
流量清洗装置,用于对来自云计算系统内防护节点的待注入虚拟机的数据流进行流量清洗,向所述云计算系统内防护节点发送进行流量清洗后的数据流。
Priority Applications (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 201010577221 CN102043917B (zh) | 2010-12-07 | 2010-12-07 | 云系统分布式拒绝服务攻击防护方法以及装置和系统 |
| ES11846297T ES2571336T3 (es) | 2010-12-07 | 2011-11-01 | Método, dispositivo y sistema para prevenir un ataque de denegación de servicio distribuido en un sistema en la nube |
| PCT/CN2011/081615 WO2012075866A1 (zh) | 2010-12-07 | 2011-11-01 | 云系统分布式拒绝服务攻击防护方法以及装置和系统 |
| EP11846297.7A EP2570954B1 (en) | 2010-12-07 | 2011-11-01 | Method, device and system for preventing distributed denial of service attack in cloud system |
| US13/740,519 US8886927B2 (en) | 2010-12-07 | 2013-01-14 | Method, apparatus and system for preventing DDoS attacks in cloud system |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 201010577221 CN102043917B (zh) | 2010-12-07 | 2010-12-07 | 云系统分布式拒绝服务攻击防护方法以及装置和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102043917A CN102043917A (zh) | 2011-05-04 |
| CN102043917B true CN102043917B (zh) | 2012-10-17 |
Family
ID=43910049
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 201010577221 Active CN102043917B (zh) | 2010-12-07 | 2010-12-07 | 云系统分布式拒绝服务攻击防护方法以及装置和系统 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US8886927B2 (zh) |
| EP (1) | EP2570954B1 (zh) |
| CN (1) | CN102043917B (zh) |
| ES (1) | ES2571336T3 (zh) |
| WO (1) | WO2012075866A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8886927B2 (en) | 2010-12-07 | 2014-11-11 | Huawei Technologies Co., Ltd. | Method, apparatus and system for preventing DDoS attacks in cloud system |
Families Citing this family (31)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102291390B (zh) * | 2011-07-14 | 2014-06-04 | 南京邮电大学 | 一种基于云计算平台的防御拒绝服务攻击的方法 |
| KR101314514B1 (ko) * | 2011-09-29 | 2013-11-21 | 이청종 | 보안이 강화된 클라우드 시스템 및 그에 의한 보안 관리 방법 |
| US8924581B1 (en) * | 2012-03-14 | 2014-12-30 | Amazon Technologies, Inc. | Managing data transfer using streaming protocols |
| US9197653B2 (en) * | 2012-06-05 | 2015-11-24 | Empire Technology Development Llc | Cross-user correlation for detecting server-side multi-target intrusion |
| US9288227B2 (en) | 2012-11-28 | 2016-03-15 | Verisign, Inc. | Systems and methods for transparently monitoring network traffic for denial of service attacks |
| US9172721B2 (en) * | 2013-07-16 | 2015-10-27 | Fortinet, Inc. | Scalable inline behavioral DDOS attack mitigation |
| US9160761B2 (en) | 2013-07-31 | 2015-10-13 | Hewlett-Packard Development Company, L.P. | Selection of a countermeasure |
| CN104184717A (zh) * | 2014-02-20 | 2014-12-03 | 西安未来国际信息股份有限公司 | 一种虚拟主机安全防护系统的设计 |
| US10205648B1 (en) * | 2014-05-30 | 2019-02-12 | EMC IP Holding Company LLC | Network monitoring using traffic mirroring and encapsulated tunnel in virtualized information processing system |
| US20160139945A1 (en) * | 2014-11-17 | 2016-05-19 | International Business Machines Corporation | Techniques for constructing virtual images for interdependent applications |
| CN104392175B (zh) | 2014-11-26 | 2018-05-29 | 华为技术有限公司 | 一种云计算系统中云应用攻击行为处理方法、装置及系统 |
| CN104601542A (zh) * | 2014-12-05 | 2015-05-06 | 国云科技股份有限公司 | 一种适用于虚拟机的ddos主动防护方法 |
| US9485273B2 (en) | 2014-12-09 | 2016-11-01 | At&T Intellectual Property I, L.P. | System and method to diffuse denial-of-service attacks using virtual machines |
| CN105592088A (zh) * | 2015-12-24 | 2016-05-18 | 北京奇虎科技有限公司 | 一种虚拟机流量的监控方法及装置、终端 |
| CN106936799B (zh) * | 2015-12-31 | 2021-05-04 | 阿里巴巴集团控股有限公司 | 报文清洗方法及装置 |
| US10491611B2 (en) * | 2016-01-08 | 2019-11-26 | Belden, Inc. | Method and protection apparatus to prevent malicious information communication in IP networks by exploiting benign networking protocols |
| US20170279826A1 (en) * | 2016-03-22 | 2017-09-28 | Symantec Corporation | Protecting dynamic and short-lived virtual machine instances in cloud environments |
| CN105743913B (zh) * | 2016-03-31 | 2019-07-09 | 广州华多网络科技有限公司 | 检测网络攻击的方法和装置 |
| CN106131031B (zh) * | 2016-07-19 | 2020-03-10 | 北京兰云科技有限公司 | 一种DDoS流量清洗处理的方法及装置 |
| CN107135234A (zh) * | 2017-07-03 | 2017-09-05 | 福建六壬网安股份有限公司 | 一种数据流量监听控制的方法和装置 |
| US10516695B1 (en) * | 2017-09-26 | 2019-12-24 | Amazon Technologies, Inc. | Distributed denial of service attack mitigation in service provider systems |
| US10735459B2 (en) * | 2017-11-02 | 2020-08-04 | International Business Machines Corporation | Service overload attack protection based on selective packet transmission |
| CN109962891B (zh) * | 2017-12-25 | 2021-10-22 | 中国移动通信集团安徽有限公司 | 监测云安全的方法、装置、设备和计算机存储介质 |
| CN108958884B (zh) * | 2018-06-22 | 2022-02-18 | 郑州云海信息技术有限公司 | 一种虚拟机管理的方法及相关装置 |
| CN108833418B (zh) * | 2018-06-22 | 2021-05-25 | 京东数字科技控股有限公司 | 用于防御攻击的方法、装置和系统 |
| CN109040064A (zh) * | 2018-08-01 | 2018-12-18 | 郑州市景安网络科技股份有限公司 | 一种服务器封停方法、装置、设备及可读存储介质 |
| CN109413062A (zh) * | 2018-10-22 | 2019-03-01 | 江苏满运软件科技有限公司 | 虚拟主机被恶意攻击的监控处理方法及系统、节点服务器 |
| CN110633131B (zh) * | 2019-09-16 | 2022-05-31 | 东软集团股份有限公司 | 一种对固件进行虚拟化的方法、装置、设备及系统 |
| US11405418B2 (en) | 2020-06-16 | 2022-08-02 | Bank Of America Corporation | Automated distributed denial of service attack detection and prevention |
| CN114070572B (zh) * | 2020-07-30 | 2024-09-27 | 北京威努特技术有限公司 | 一种非法tcp数据流的检测方法、装置及计算机设备 |
| CN112165495B (zh) * | 2020-10-13 | 2023-05-09 | 北京计算机技术及应用研究所 | 一种基于超融合架构防DDoS攻击方法、装置及超融合集群 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101383694A (zh) * | 2007-09-03 | 2009-03-11 | 电子科技大学 | 基于数据挖掘技术的拒绝服务攻击防御方法和系统 |
| CN101399835A (zh) * | 2007-09-17 | 2009-04-01 | 英特尔公司 | 用于虚拟系统上动态切换和实时安全性控制的方法和设备 |
Family Cites Families (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7587760B1 (en) | 2004-07-26 | 2009-09-08 | Cisco Technology, Inc. | System and methods for preventing denial of service attacks |
| US8220049B2 (en) * | 2006-12-28 | 2012-07-10 | Intel Corporation | Hardware-based detection and containment of an infected host computing device |
| US8276208B2 (en) * | 2007-12-31 | 2012-09-25 | Intel Corporation | Security-level enforcement in virtual-machine fail-over |
| US8443440B2 (en) * | 2008-04-05 | 2013-05-14 | Trend Micro Incorporated | System and method for intelligent coordination of host and guest intrusion prevention in virtualized environment |
| CN101572609A (zh) * | 2008-04-29 | 2009-11-04 | 成都市华为赛门铁克科技有限公司 | 检测拒绝服务攻击的方法及其装置 |
| CN101588246B (zh) * | 2008-05-23 | 2012-01-04 | 成都市华为赛门铁克科技有限公司 | 防范分布式阻断服务DDoS攻击的方法、网络设备和网络系统 |
| CN101309150B (zh) * | 2008-06-30 | 2012-06-27 | 成都市华为赛门铁克科技有限公司 | 分布式拒绝服务攻击的防御方法、装置和系统 |
| US20100100718A1 (en) * | 2008-10-20 | 2010-04-22 | Novell, Inc. | In-the-flow security services for guested virtual machines |
| CN101465770B (zh) * | 2009-01-06 | 2011-04-06 | 北京航空航天大学 | 入侵检测系统部署方法 |
| US20120005724A1 (en) * | 2009-02-09 | 2012-01-05 | Imera Systems, Inc. | Method and system for protecting private enterprise resources in a cloud computing environment |
| US9672189B2 (en) * | 2009-04-20 | 2017-06-06 | Check Point Software Technologies, Ltd. | Methods for effective network-security inspection in virtualized environments |
| US8613085B2 (en) * | 2009-07-22 | 2013-12-17 | Broadcom Corporation | Method and system for traffic management via virtual machine migration |
| CN102043917B (zh) * | 2010-12-07 | 2012-10-17 | 成都市华为赛门铁克科技有限公司 | 云系统分布式拒绝服务攻击防护方法以及装置和系统 |
-
2010
- 2010-12-07 CN CN 201010577221 patent/CN102043917B/zh active Active
-
2011
- 2011-11-01 ES ES11846297T patent/ES2571336T3/es active Active
- 2011-11-01 EP EP11846297.7A patent/EP2570954B1/en active Active
- 2011-11-01 WO PCT/CN2011/081615 patent/WO2012075866A1/zh active Application Filing
-
2013
- 2013-01-14 US US13/740,519 patent/US8886927B2/en active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101383694A (zh) * | 2007-09-03 | 2009-03-11 | 电子科技大学 | 基于数据挖掘技术的拒绝服务攻击防御方法和系统 |
| CN101399835A (zh) * | 2007-09-17 | 2009-04-01 | 英特尔公司 | 用于虚拟系统上动态切换和实时安全性控制的方法和设备 |
Non-Patent Citations (1)
| Title |
|---|
| 附图1. |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8886927B2 (en) | 2010-12-07 | 2014-11-11 | Huawei Technologies Co., Ltd. | Method, apparatus and system for preventing DDoS attacks in cloud system |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2570954A1 (en) | 2013-03-20 |
| WO2012075866A1 (zh) | 2012-06-14 |
| US20130133068A1 (en) | 2013-05-23 |
| ES2571336T3 (es) | 2016-05-24 |
| EP2570954B1 (en) | 2016-03-02 |
| EP2570954A4 (en) | 2013-04-03 |
| US8886927B2 (en) | 2014-11-11 |
| CN102043917A (zh) | 2011-05-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102043917B (zh) | 云系统分布式拒绝服务攻击防护方法以及装置和系统 | |
| EP2106085B1 (en) | System and method for securing a network from zero-day vulnerability exploits | |
| CN102291441B (zh) | 一种防范SYN Flood攻击的方法及安全代理装置 | |
| CN105049412B (zh) | 一种不同网络间数据安全交换方法、装置及设备 | |
| CN110071929B (zh) | 一种基于虚拟化平台的海量诱饵捕获攻击源的防御方法 | |
| US10277717B2 (en) | Network introspection in an operating system | |
| CN103607399A (zh) | 基于暗网的专用ip网络安全监测系统及方法 | |
| CN104378387A (zh) | 一种虚拟化平台下保护信息安全的方法 | |
| CN103354530A (zh) | 虚拟化网络边界数据流汇聚方法及装置 | |
| US9749354B1 (en) | Establishing and transferring connections | |
| TW201600997A (zh) | 於一集中式管理環境中動態產生一策略實施點之封包檢視策略的方法、資訊設備及電腦程式產品 | |
| CN105100026A (zh) | 一种报文安全转发方法及装置 | |
| CN105743878A (zh) | 使用蜜罐的动态服务处理 | |
| EP3862879B1 (en) | Container network interface monitoring | |
| CN103269284A (zh) | 实时网络数据的捕获方法 | |
| Khalaf et al. | A simulation study of syn flood attack in cloud computing environment | |
| KR102088308B1 (ko) | 네트워크 보안 기능 가상화 기반의 클라우드 보안 분석 장치, 보안 정책 관리 장치 및 보안 정책 관리 방법 | |
| CN105516189A (zh) | 基于大数据平台的网络安全实施系统及方法 | |
| CN105429975A (zh) | 一种基于云终端的数据安全防御系统、方法及云终端安全系统 | |
| CN106528267B (zh) | 基于Xen特权域的网络通信监控系统及方法 | |
| Wang et al. | From high-availability to collapse: quantitative analysis of “cloud-droplet-freezing” attack threats to virtual machine migration in cloud computing | |
| CN107046546A (zh) | 一种网络安全控制方法及装置 | |
| WO2015018200A1 (zh) | 防火墙设备中检测引擎的升级方法及装置 | |
| CN109981606A (zh) | 通用串行总线的硬件防火墙检测装置 | |
| CN102986194B (zh) | 网络安全处理方法、系统和网卡 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| ASS | Succession or assignment of patent right |
Owner name: HUAWEI TECHNOLOGIES CO., LTD. Free format text: FORMER OWNER: HUAWEI DIGITAL TECHNOLOGY (CHENGDU) CO., LTD. Effective date: 20121128 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| C56 | Change in the name or address of the patentee |
Owner name: HUAWEI DIGITAL TECHNOLOGY (CHENGDU) CO., LTD. Free format text: FORMER NAME: CHENGDU HUAWEI SYMANTEC TECHNOLOGIES CO., LTD. |
|
| COR | Change of bibliographic data |
Free format text: CORRECT: ADDRESS; FROM: 611731 CHENGDU, SICHUAN PROVINCE TO: 518129 SHENZHEN, GUANGDONG PROVINCE |
|
| CP01 | Change in the name or title of a patent holder |
Address after: 611731 Chengdu high tech Zone, Sichuan, West Park, Qingshui River Patentee after: HUAWEI DIGITAL TECHNOLOGIES (CHENG DU) Co.,Ltd. Address before: 611731 Chengdu high tech Zone, Sichuan, West Park, Qingshui River Patentee before: CHENGDU HUAWEI SYMANTEC TECHNOLOGIES Co.,Ltd. |
|
| TR01 | Transfer of patent right |
Effective date of registration: 20121128 Address after: 518129 Bantian HUAWEI headquarters office building, Longgang District, Guangdong, Shenzhen Patentee after: HUAWEI TECHNOLOGIES Co.,Ltd. Address before: 611731 Chengdu high tech Zone, Sichuan, West Park, Qingshui River Patentee before: HUAWEI DIGITAL TECHNOLOGIES (CHENG DU) Co.,Ltd. |