CN102263788A - 一种用于防御指向多业务系统的DDoS攻击的方法与设备 - Google Patents
一种用于防御指向多业务系统的DDoS攻击的方法与设备 Download PDFInfo
- Publication number
- CN102263788A CN102263788A CN201110197639XA CN201110197639A CN102263788A CN 102263788 A CN102263788 A CN 102263788A CN 201110197639X A CN201110197639X A CN 201110197639XA CN 201110197639 A CN201110197639 A CN 201110197639A CN 102263788 A CN102263788 A CN 102263788A
- Authority
- CN
- China
- Prior art keywords
- ddos attack
- target service
- access
- information
- attack
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明旨在提供一种防御指向多业务系统的DDoS攻击的方法与设备。其中,网络安全设备根据预置的DDoS攻击触发条件,检测与多业务系统相对应的网络访问流量中是否存在DDoS攻击;当存在所述DDoS攻击时,根据所述DDoS攻击所对应的所述DDoS攻击触发条件,确定所述DDoS攻击所指向的目标业务;根据所述目标业务的业务相关信息,对与所述多业务系统相对应的网络访问流量中与所述目标业务相对应的网络访问流量进行防御处理。与现有技术相比,本发明通过检测DDoS攻击所针对的目标业务,并根据该目标业务的业务相关信息进行相应的防御处理,不仅限制了该DDoS对整个多业务系统的不良影响,也有效支持了面向该多业务系统中的其他业务的访问请求,从而有效提高了整个多业务系统抵御DDoS的信息安全能力。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种用于防御指向多业务系统的DDoS攻击的技术。
背景技术
随着互联网技术的发展与应用普及,网络上的多业务系统面临着更多、更复杂的网络攻击行为,其中,DDoS(Distributed Denial ofService,分布式拒绝服务)便是一种较为严重的网络攻击行为,它利用大量的傀儡机对某个系统同时发起攻击,使得受攻击的该系统因带宽拥塞或服务器资源耗尽等原因而无法支持正常的业务访问。
在现有技术中,多业务系统往往通过在网络层面引入串联式或旁路式的清洗设备,以抵御DDoS的攻击活动。这虽然在一定程度上改善了该多业务系统的抗DDoS攻击的能力,但也存在因个别业务遭受DDoS攻击而影响整个多业务系统的正常服务的问题,例如,当某个业务遭受DDoS攻击时,指向该多业务系统的所有访问请求,包括DDoS攻击行为与面向该多业务系统中的其他业务的访问请求,往往都会被牵引至清洗设备进行清洗,从而影响了该业务系统对于这些面向其他业务的访问请求的响应。
因此,如何改善多业务系统抗DDoS攻击的能力,以降低受攻击业务对其他业务的访问请求的影响,成为目前亟须解决的技术问题之一。
发明内容
本发明的目的是提供一种用于防御指向多业务系统的DDoS攻击的方法与设备。
根据本发明的一个方面,提供了一种由计算机实现的用于防御指向多业务系统的DDoS攻击的方法,其中,该方法包括以下步骤:
a根据预置的DDoS攻击触发条件,检测与多业务系统相对应的网络访问流量中是否存在DDoS攻击;
b当存在所述DDoS攻击时,根据所述DDoS攻击所对应的所述DDoS攻击触发条件,确定所述DDoS攻击所指向的目标业务;
c根据所述目标业务的业务相关信息,对与所述多业务系统相对应的网络访问流量中与所述目标业务相对应的网络访问流量进行防御处理。
根据本发明的另一方面,还提供了一种用于防御指向多业务系统的DDoS攻击的网络安全设备,其中,该设备包括:
攻击检测装置,用于根据预置的DDoS攻击触发条件,检测与多业务系统相对应的网络访问流量中是否存在DDoS攻击;
目标确定装置,用于当存在所述DDoS攻击时,根据所述DDoS攻击所对应的所述DDoS攻击触发条件,确定所述DDoS攻击所指向的目标业务;
防御处理装置,用于根据所述目标业务的业务相关信息,对与所述多业务系统相对应的网络访问流量中与所述目标业务相对应的网络访问流量进行防御处理。
与现有技术相比,本发明通过检测DDoS攻击所针对的目标业务,并根据该目标业务的业务相关信息进行相应的防御处理,不仅限制了该DDoS对整个多业务系统的不良影响,也有效支持了面向该多业务系统中的其他业务的访问请求,从而有效提高了整个多业务系统抵御DDoS的信息安全能力。
附图说明
通过阅读参照以下附图所作的对非限制性实施例所作的详细描述,本发明的其它特征、目的和优点将会变得更明显:
图1示出根据本发明一个方面的用于防御指向多业务系统的DDoS攻击的设备示意图;
图2示出根据本发明一个优选实施例的用于防御指向多业务系统的DDoS攻击的设备示意图;
图3示出根据本发明另一个方面的用于防御指向多业务系统的DDoS攻击的方法流程图;
图4示出根据本发明一个优选实施例的用于防御指向多业务系统的DDoS攻击的方法流程图。
附图中相同或相似的附图标记代表相同或相似的部件。
-
具体实施方式
下面结合附图对本发明作进一步详细描述。
图1示出根据本发明一个方面的用于防御指向多业务系统的DDoS攻击的设备示意图;其中,网络安全设备1包括攻击检测装置11、目标确定装置12和防御处理装置13;多业务系统用于提供两种或两种以上类型的业务访问,其包括但不限于网站、主机托管中心、IDC(Internet Data Center,互联网数据中心)等。网络安全设备1与多业务系统通过网络相连接,通过检测DDoS攻击所针对的目标业务,并根据该目标业务的业务相关信息进行相应的防御处理,不仅限制了该DDoS对整个多业务系统的不良影响,也有效支持了面向该多业务系统中的其他业务的访问请求,从而有效提高了整个多业务系统抵御DDoS的信息安全能力。在此,网络安全设备1、多业务系统包括但不限于网络主机、单个网络服务器、多个网络服务器集或多个服务器构成的云。在此,云由基于云计算(Cloud Computing)的大量计算机或网络服务器构成,其中,云计算是分布式计算的一种,由一群松散耦合的计算机集组成的一个超级虚拟计算机。在此,所述网络包括但不限于互联网、广域网、城域网、局域网、VPN网络、无线自组织网络(Ad Hoc网络)等;网络安全设备1与多业务系统之间的通信方式包括但不限于基于诸如TCP/IP协议、UDP协议等的分组数据传输。本领域技术人员应能理解上述网络安全设备1、多业务系统以及连接其间的网络、通信方式仅为举例,其他现有的或今后可能出现的网络安全设备、多业务系统或网络、通信方式如可适用于本发明,也应包含在本发明保护范围以内,并在此以引用方式包含于此。
攻击检测装置11根据预置的DDoS攻击触发条件,检测与多业务系统相对应的网络访问流量中是否存在DDoS攻击。具体地,攻击检测装置11根据预置的DDoS攻击触发条件,如与所述多业务系统相对应的网络访问流量中存在符合DDoS攻击特征的数据包、与所述多业务系统中一个或多个业务相对应的网络访问流量中存在符合DDoS攻击特征的数据包、所述多业务系统中一个或多个业务存在与DDoS攻击行为相关的性能变化信息,检测对应于该多业务系统的网络访问流量中是否存在DDoS攻击。例如,攻击检测装置11检测到该多业务系统的网络访问流量中存在符合DDoS攻击特征的数据包,如超过一定数量预置的SYN数据包或UDP数据包,则确定对应于该多业务系统的网络访问流量中是否存在DDoS攻击。又如,攻击检测装置11检测到该多业务系统中一个或多个业务相对应的网络访问流量中存在符合DDoS攻击特征的数据包,如超过一定数量预置的SYN数据包或UDP数据包,则确定对应于该多业务系统的网络访问流量中是否存在DDoS攻击。再如,攻击检测装置11检测到该多业务系统中一个或多个业务存在与DDoS攻击行为相关的性能变化信息,如超过一定数量预置的访问请求超时或服务器可用资源低于资源阈值,则确定对应于该多业务系统的网络访问流量中是否存在DDoS攻击。本领域技术人员应能理解上述检测DDoS攻击的方式仅为举例,其他现有的或今后可能出现的检测DDoS攻击的方式如可适用于本发明,也应包含在本发明保护范围以内,并在此以引用方式包含于此。优选地,所述攻击检测装置11不仅可以针对该多业务系统集中部署,也可以针对该多业务系统中的各个业务子系统分别部署攻击检测前端,其中,这些分别部署的攻击检测前端通过网络与攻击检测装置11相连接,并由攻击检测装置11汇总这些攻击检测前端所报告的针对不同业务子系统的DDoS攻击检测结果,以确定该多业务系统的网络访问流量中是否存在DDoS攻击。在此,这些攻击检测前端的实现方式与前述攻击检测装置11基本相同,为简便起见,不再赘述,并引用的方式包含于此。本领域技术人员应能理解上述部署攻击检测装置的方式仅为举例,其他现有的或今后可能出现的部署攻击检测装置的方式如可适用于本发明,也应包含在本发明保护范围以内,并在此以引用方式包含于此。
当存在所述DDoS攻击时,目标确定装置12根据所述DDoS攻击所对应的所述DDoS攻击触发条件,确定所述DDoS攻击所指向的目标业务。具体地,当攻击检测装置11确定存在DDoS攻击时,目标确定装置12根据攻击检测装置11所确定的DDoS攻击触发条件,如与所述多业务系统相对应的网络访问流量中存在符合DDoS攻击特征的数据包、与所述多业务系统中一个或多个业务相对应的网络访问流量中存在符合DDoS攻击特征的数据包、所述多业务系统中一个或多个业务存在与DDoS攻击行为相关的性能变化信息,确定该DDoS攻击所指向的目标业务。例如,当攻击检测装置11所确定的DDoS攻击触发条件为与所述多业务系统相对应的网络访问流量中存在符合DDoS攻击特征的数据包时,目标确定装置12通过诸如对这些符合DDoS攻击特征的数据包进行深度包检测(Deep Packet Inspection,DPI),获取这些数据包所指向的业务,从而确定该DDoS攻击所指向的目标业务。又如,当攻击检测装置11所确定的DDoS攻击触发条件为与所述多业务系统中一个或多个业务相对应的网络访问流量中存在符合DDoS攻击特征的数据包时,目标确定装置12确定所述一个或多个业务为该DDoS攻击所指向的目标业务。再如,当攻击检测装置11所确定的DDoS攻击触发条件为所述多业务系统中一个或多个业务存在与DDoS攻击行为相关的性能变化信息时,目标确定装置12确定所述一个或多个业务为该DDoS攻击所指向的目标业务。在此,所述目标业务包括所述多业务系统中该DDoS所指向的一个或多个业务,即该一个或多个业务遭受该DDoS攻击。本领域技术人员应能理解上述确定DDoS攻击所指向的目标业务的方式仅为举例,其他现有的或今后可能出现的确定DDoS攻击所指向的目标业务的方式如可适用于本发明,也应包含在本发明保护范围以内,并在此以引用方式包含于此。
防御处理装置13根据所述目标业务的业务相关信息,对与所述多业务系统相对应的网络访问流量中与所述目标业务相对应的网络访问流量进行防御处理。具体地,防御处理装置13根据所述目标业务的业务相关信息,如所述目标业务的访问标识信息、与所述目标业务相对应的超链接的主机域信息、与所述目标业务相对应的标识序列信息,通过所述多业务系统的入口网络设备,如所述多业务系统内部的防火墙设备或其外部的路由器设备,在与所述多业务系统相对应的网络访问流量中识别与所述目标业务相对应的网络访问流量,并对所识别的网络访问流量进行防御处理,如直接丢弃所识别的网络访问流量,或者通过旁路路由将其牵引并经清洗后回注至该多业务系统。例如,防御处理装置13根据目标业务相对应的超链接的主机域(HOST)信息,通过所述多业务系统的入口网络设备,如所述多业务系统内部的防火墙设备或其外部的路由器设备,从与所述多业务系统相对应的网络访问流量中,提取与所述主机域信息相匹配的网络访问流量,以作为与所述目标业务相对应的网络访问流量,并通过旁路路由将其牵引并经清洗后回注至该多业务系统。在此,所述业务相关信息可由网络安全设备1通过该多业务系统中的相关设备等第三方设备所提供的应用程序接口(API)或其他约定的通信方式,从第三方设备直接获取,或者由网络安全设备1通过对该多业务系统的网络访问流量进行统计分析获取。优选地,所述业务相关信息包括但不限于,以下至少任一项:所述目标业务的访问标识信息、与所述目标业务相对应的超链接的主机域信息、与所述目标业务相对应的标识序列信息。例如,所述访问标识信息包括用于唯一标识所述目标业务的描述信息,如邮件服务器的外网地址;当网络访问流量中包含该外网地址作为目的地址时,则确定该网络访问流量指向该邮件服务器。又如,所述标识序列信息是由不同业务在访问请求的头部插入的字符序列,如COOKIE-ID,以防止请求欺骗;当网络访问流量的头部包含该COOKIE-ID时,则确定该网络访问流量指向该邮件服务器。本领域技术人员应能理解上述业务相关信息及其获取方式仅为举例,其他现有的或今后可能出现的业务相关信息或其获取方式如可适用于本发明,也应包含在本发明保护范围以内,并在此以引用方式包含于此。本领域技术人员应能理解上述防御处理的方式仅为举例,其他现有的或今后可能出现的防御处理的方式如可适用于本发明,也应包含在本发明保护范围以内,并在此以引用方式包含于此。
优选地,攻击检测装置11、目标确定装置12和防御处理装置13是持续不断工作的。具体地,攻击检测装置11根据预置的DDoS攻击触发条件,检测与多业务系统相对应的网络访问流量中是否存在DDoS攻击;当存在所述DDoS攻击时,目标确定装置12根据所述DDoS攻击所对应的所述DDoS攻击触发条件,确定所述DDoS攻击所指向的目标业务;防御处理装置13根据所述目标业务的业务相关信息,对与所述多业务系统相对应的网络访问流量中与所述目标业务相对应的网络访问流量进行防御处理。在此,本领域技术人员应理解“持续”是指网络安全设备1的各装置分别按照设定的或实时调整的工作模式要求进行DDoS攻击的检测、目标业务的确定和DDoS防御处理,直至该攻击检测装置在较长时间内停止DDoS攻击的检测。
本领域技术人员应能理解,在此,攻击检测装置、目标确定装置和防御处理装置仅为示例,在具体的实施例中,它们既可以是同一个网络设备,也可以是通过网络连接的不同的网络设备;当它们是不同网络设备时,这些不同网络设备间的网络连接与通信方式相互独立。在此,所述网络设备包括但不限于网络主机、单个网络服务器、多个网络服务器集或多个服务器构成的云。在此,云由基于云计算(CloudComputing)的大量计算机或网络服务器构成,其中,云计算是分布式计算的一种,由一群松散耦合的计算机集组成的一个超级虚拟计算机。在此,所述网络包括但不限于互联网、广域网、城域网、局域网、VPN网络、无线自组织网络(Ad Hoc网络)等;网络设备间的通信方式包括但不限于基于诸如TCP/IP协议、UDP协议等的分组数据传输。
优选地,所述DDoS攻击触发条件包括以下至少任一项:
-与所述多业务系统相对应的网络访问流量中存在符合DDoS攻击特征的数据包;
-与所述多业务系统中一个或多个业务相对应的网络访问流量中存在符合DDoS攻击特征的数据包;
-所述多业务系统中一个或多个业务存在与DDoS攻击行为相关的性能变化信息。
具体地,当DDoS攻击触发条件包括与所述多业务系统相对应的网络访问流量中存在符合DDoS攻击特征的数据包,攻击检测装置11检测到该多业务系统的网络访问流量中存在符合DDoS攻击特征的数据包,如超过一定数量预置的SYN数据包或UDP数据包,则确定对应于该多业务系统的网络访问流量中是否存在DDoS攻击。当DDoS攻击触发条件包括与所述多业务系统中一个或多个业务相对应的网络访问流量中存在符合DDoS攻击特征的数据包,攻击检测装置11检测到该多业务系统中一个或多个业务相对应的网络访问流量中存在符合DDoS攻击特征的数据包,如超过一定数量预置的SYN数据包或UDP数据包,则确定对应于该多业务系统的网络访问流量中是否存在DDoS攻击。当DDoS攻击触发条件包括所述多业务系统中一个或多个业务存在与DDoS攻击行为相关的性能变化信息,攻击检测装置11检测到该多业务系统中一个或多个业务存在与DDoS攻击行为相关的性能变化信息,如超过一定数量预置的访问请求超时或服务器可用资源低于资源阈值,则确定对应于该多业务系统的网络访问流量中是否存在DDoS攻击。优选地,攻击检测装置11根据上述DDoS攻击触发条件的任意组合,检测与多业务系统相对应的网络访问流量中是否存在DDoS攻击。本领域技术人员应能理解上述DDoS攻击触发条件仅为举例,其他现有的或今后可能出现的DDoS攻击触发条件如可适用于本发明,也应包含在本发明保护范围以内,并在此以引用方式包含于此。
图2示出根据本发明一个优选实施例的用于防御指向多业务系统的DDoS攻击的设备示意图;其中,所述防御处理装置13包括牵引单元131’、清洗单元132’和转发单元133’。
牵引单元131’根据所述目标业务的业务相关信息,对与所述多业务系统相对应的网络访问流量中与所述目标业务相对应的网络访问流量进行转发处理,以获得待清洗的原始访问流量。具体地,牵引单元131’根据所述目标业务的业务相关信息,如所述目标业务的访问标识信息、与所述目标业务相对应的超链接的主机域信息、与所述目标业务相对应的标识序列信息,通过所述多业务系统的入口网络设备,如所述多业务系统内部的防火墙设备或其外部的路由器设备,在与所述多业务系统相对应的网络访问流量中识别与所述目标业务相对应的网络访问流量,并对所识别的网络访问流量进行转发处理,以获得待清洗的原始访问流量。
清洗单元132’根据所述DDoS攻击的攻击相关信息,对所述原始访问流量进行清洗处理,以获得与所述原始访问流量相对应的清洁访问流量。具体地,清洗单元132’根据所述DDoS攻击的攻击相关信息,如所述DDoS攻击的流量信息、所述DDoS攻击的状态信息、所述DDoS攻击的种类信息,对所述原始访问流量进行清洗处理,如保留所述原始访问流量中正常数据包、丢弃所述原始访问流量中符合DDoS攻击特征的数据包、将所述原始访问流量中符合DDoS攻击特征的数据包转发至攻击数据包数据库、对所述原始访问流量中符合DDoS攻击特征的访问链接进行复位处理,以获得与所述原始访问流量相对应的清洁访问流量。在此,所述攻击相关信息可由网络安全设备1通过诸如对所述原始访问流量进行深度包检测和/或统计分析获得。例如,所述DDoS攻击的状态信息包括但不限于开始、持续、结束等状态;所述DDoS攻击的种类信息包括但不限于ICMP洪泛攻击、UDP洪泛攻击、SYN洪泛攻击等种类。本领域技术人员应能理解上述攻击相关信息及其获取方式仅为举例,其他现有的或今后可能出现的攻击相关信息或其获取方式如可适用于本发明,也应包含在本发明保护范围以内,并在此以引用方式包含于此。本领域技术人员应能理解上述清洗处理的方式仅为举例,其他现有的或今后可能出现的清洗处理的方式如可适用于本发明,也应包含在本发明保护范围以内,并在此以引用方式包含于此。
转发单元133’将所述清洁访问流量转发至所述多业务系统,以访问所述目标业务。具体地,转发单元133’通过诸如一条或多条物理链路,或多层转发等方式,将所述清洁访问流量转发至所述多业务系统,以访问所述目标业务。本领域技术人员应能理解上述将清洁访问流量转发至多业务系统的方式仅为举例,其他现有的或今后可能出现的将清洁访问流量转发至多业务系统的方式如可适用于本发明,也应包含在本发明保护范围以内,并在此以引用方式包含于此。
本领域技术人员应能理解,在此,牵引单元、清洗单元和转发单元仅为示例,在具体的实施例中,它们既可以是同一个网络设备,也可以是通过网络连接的不同的网络设备;当它们是不同网络设备时,这些不同网络设备间的网络连接与通信方式相互独立。在此,所述网络设备包括但不限于网络主机、单个网络服务器、多个网络服务器集或多个服务器构成的云。在此,云由基于云计算(Cloud Computing)的大量计算机或网络服务器构成,其中,云计算是分布式计算的一种,由一群松散耦合的计算机集组成的一个超级虚拟计算机。在此,所述网络包括但不限于互联网、广域网、城域网、局域网、VPN网络、无线自组织网络(Ad Hoc网络)等;网络设备间的通信方式包括但不限于基于诸如TCP/IP协议、UDP协议等的分组数据传输。
优选地,所述牵引单元131’还根据所述目标业务的业务相关信息,确定与所述目标业务相对应的牵引策略信息;将所述牵引策略信息发送至入口网络设备;接收自所述入口网络设备基于所述牵引策略所转发的与所述目标业务相对应的网络访问流量,以获得所述原始访问流量。具体地,所述牵引单元131’还根据所述目标业务的业务相关信息,如所述目标业务的访问标识信息、与所述目标业务相对应的超链接的主机域信息、与所述目标业务相对应的标识序列信息,确定与所述目标业务相对应的牵引策略信息,如基于所述标识序列信息的应用层选路策略;将所述牵引策略信息发送至入口网络设备,如所述多业务系统内部的防火墙设备或其外部的路由器设备;接收自所述入口网络设备基于所述牵引策略所转发的与所述目标业务相对应的网络访问流量,以获得所述原始访问流量。例如,所述牵引单元131’根据与所述目标业务相对应的超链接的主机域信息,确定基于主机域信息的传输层选路策略作为牵引策略,并将该牵引策略发送至所述多业务系统外部的路由器设备;接收自该路由器设备根据该牵引策略转发的网络访问流量,以获得所述原始访问流量,其中,所述原始访问流量均具有与目标业务相对应的主机域信息。在此,所述牵引策略包括但不限于基于各种业务相关信息的网络层选路策略、传输层选路策略、应用层选路策略等。本领域技术人员应能理解上述牵引策略及其获取方式仅为举例,其他现有的或今后可能出现的牵引策略或其获取方式如可适用于本发明,也应包含在本发明保护范围以内,并在此以引用方式包含于此。
优选地,所述清洗单元132’还根据所述攻击相关信息,确定与所述原始访问流量相关的清洗策略信息;根据所述清洗策略信息,对所述原始访问流量进行清洗处理,以获得所述清洁访问流量。具体地,所述清洗单元132’还根据所述攻击相关信息,如所述DDoS攻击的流量信息、所述DDoS攻击的状态信息、所述DDoS攻击的种类信息,确定与所述原始访问流量相关的清洗策略信息,如串行清洗策略信息、并行清洗策略信息、集群清洗策略信息、基于负载均衡的清洗策略信息;根据所述清洗策略信息,对所述原始访问流量进行清洗处理,以获得所述清洁访问流量。例如,当所述DDoS攻击的流量信息低于一定的流量阈值时,所述清洗单元132’确定串行清洗策略信息;随着所述DDoS攻击的流量信息逐步增大,超过该流量阈值时,所述清洗单元132’改用并行清洗策略信息;随着所述DDoS攻击的流量信息进一步增大,超过更高的流量阈值时,所述清洗单元132’启用集群清洗策略信息。优选地,当所述清洗单元132’确定并行清洗策略信息或集群清洗策略信息时,还可以同时采用基于负载均衡的清洗策略信息。类似地,根据所述DDoS攻击的状态信息或种类信息的不同,所述清洗单元132’也可以使用不同的清洗策略信息,例如白名单、黑名单、灰名单的并行清洗策略信息。本领域技术人员应能理解上述清洗策略及其获取方式仅为举例,其他现有的或今后可能出现的清洗策略或其获取方式如可适用于本发明,也应包含在本发明保护范围以内,并在此以引用方式包含于此。
优选地,该设备还包括回注装置(未示出),该回注装置根据所述目标业务的业务相关信息,确定与所述目标业务相对应的回注策略,并将所述回注策略发送至与所述目标业务相对应的回注网络设备;其中,所述转发单元133’还将所述清洁访问流量转发至所述回注网络设备。具体地,该回注装置根据所述目标业务的业务相关信息,如所述目标业务的访问标识信息、与所述目标业务相对应的超链接的主机域信息、与所述目标业务相对应的标识序列信息,确定与所述目标业务相对应的回注策略,如基于所述标识序列信息的应用层回注策略,并将所述回注策略发送至与所述目标业务相对应的回注网络设备;其中,所述转发单元133’还将所述清洁访问流量转发至所述回注网络设备,以供所述回注网络设备根据所述回注策略将所述清洁访问流量提供给所述目标业务。例如,所述回注装置根据与所述目标业务相对应的超链接的主机域信息,确定基于主机域信息的传输层回注策略作为回注策略,并将所述回注策略发送至与所述目标业务相对应的回注网络设备;其中,所述转发单元133’还将所述清洁访问流量转发至所述回注网络设备,以供所述回注网络设备根据所述回注策略将所述清洁访问流量提供给所述目标业务。在此,所述回注策略包括但不限于基于各种业务相关信息的网络层回注策略、传输层回注策略、应用层回注策略等。本领域技术人员应能理解上述回注策略及其获取方式仅为举例,其他现有的或今后可能出现的回注策略或其获取方式如可适用于本发明,也应包含在本发明保护范围以内,并在此以引用方式包含于此。
图3示出根据本发明另一个方面的用于防御指向多业务系统的DDoS攻击的方法流程图。
在步骤S1中,网络安全设备1根据预置的DDoS攻击触发条件,检测与多业务系统相对应的网络访问流量中是否存在DDoS攻击。具体地,在步骤S1中,网络安全设备1根据预置的DDoS攻击触发条件,如与所述多业务系统相对应的网络访问流量中存在符合DDoS攻击特征的数据包、与所述多业务系统中一个或多个业务相对应的网络访问流量中存在符合DDoS攻击特征的数据包、所述多业务系统中一个或多个业务存在与DDoS攻击行为相关的性能变化信息,检测对应于该多业务系统的网络访问流量中是否存在DDoS攻击。例如,在步骤S1中,网络安全设备1检测到该多业务系统的网络访问流量中存在符合DDoS攻击特征的数据包,如超过一定数量预置的SYN数据包或UDP数据包,则确定对应于该多业务系统的网络访问流量中是否存在DDoS攻击。又如,在步骤S1中,网络安全设备1检测到该多业务系统中一个或多个业务相对应的网络访问流量中存在符合DDoS攻击特征的数据包,如超过一定数量预置的SYN数据包或UDP数据包,则确定对应于该多业务系统的网络访问流量中是否存在DDoS攻击。再如,在步骤S1中,网络安全设备1检测到该多业务系统中一个或多个业务存在与DDoS攻击行为相关的性能变化信息,如超过一定数量预置的访问请求超时或服务器可用资源低于资源阈值,则确定对应于该多业务系统的网络访问流量中是否存在DDoS攻击。本领域技术人员应能理解上述检测DDoS攻击的方式仅为举例,其他现有的或今后可能出现的检测DDoS攻击的方式如可适用于本发明,也应包含在本发明保护范围以内,并在此以引用方式包含于此。优选地,在步骤S1中,网络安全设备1不仅可以针对该多业务系统集中执行攻击检测步骤,也可以针对该多业务系统中的各个业务子系统分别执行攻击检测子步骤,其中,网络安全设备1在步骤S1中汇总这些攻击检测子步骤所报告的针对不同业务子系统的DDoS攻击检测结果,以确定该多业务系统的网络访问流量中是否存在DDoS攻击。在此,这些攻击检测子步骤的实现方式与前述步骤S1的实现方式基本相同,为简便起见,不再赘述,并引用的方式包含于此。本领域技术人员应能理解上述部署攻击检测装置的方式仅为举例,其他现有的或今后可能出现的部署攻击检测装置的方式如可适用于本发明,也应包含在本发明保护范围以内,并在此以引用方式包含于此。
当存在所述DDoS攻击时,在步骤S2中,网络安全设备1根据所述DDoS攻击所对应的所述DDoS攻击触发条件,确定所述DDoS攻击所指向的目标业务。具体地,当在步骤S1中,网络安全设备1确定存在DDoS攻击时,在步骤S2中,网络安全设备1根据在步骤S1中所确定的DDoS攻击触发条件,如与所述多业务系统相对应的网络访问流量中存在符合DDoS攻击特征的数据包、与所述多业务系统中一个或多个业务相对应的网络访问流量中存在符合DDoS攻击特征的数据包、所述多业务系统中一个或多个业务存在与DDoS攻击行为相关的性能变化信息,确定该DDoS攻击所指向的目标业务。例如,当在步骤S1中,网络安全设备1所确定的DDoS攻击触发条件为与所述多业务系统相对应的网络访问流量中存在符合DDoS攻击特征的数据包时,在步骤S2中,网络安全设备1通过诸如对这些符合DDoS攻击特征的数据包进行深度包检测(Deep Packet Inspection,DPI),获取这些数据包所指向的业务,从而确定该DDoS攻击所指向的目标业务。又如,当在步骤S1中,网络安全设备1所确定的DDoS攻击触发条件为与所述多业务系统中一个或多个业务相对应的网络访问流量中存在符合DDoS攻击特征的数据包时,在步骤S2中,网络安全设备1确定所述一个或多个业务为该DDoS攻击所指向的目标业务。再如,当在步骤S1中,网络安全设备1所确定的DDoS攻击触发条件为所述多业务系统中一个或多个业务存在与DDoS攻击行为相关的性能变化信息时,在步骤S2中,网络安全设备1确定所述一个或多个业务为该DDoS攻击所指向的目标业务。在此,所述目标业务包括所述多业务系统中该DDoS所指向的一个或多个业务,即该一个或多个业务遭受该DDoS攻击。本领域技术人员应能理解上述确定DDoS攻击所指向的目标业务的方式仅为举例,其他现有的或今后可能出现的确定DDoS攻击所指向的目标业务的方式如可适用于本发明,也应包含在本发明保护范围以内,并在此以引用方式包含于此。
在步骤S3中,网络安全设备1根据所述目标业务的业务相关信息,对与所述多业务系统相对应的网络访问流量中与所述目标业务相对应的网络访问流量进行防御处理。具体地,在步骤S3中,网络安全设备1根据所述目标业务的业务相关信息,如所述目标业务的访问标识信息、与所述目标业务相对应的超链接的主机域信息、与所述目标业务相对应的标识序列信息,通过所述多业务系统的入口网络设备,如所述多业务系统内部的防火墙设备或其外部的路由器设备,在与所述多业务系统相对应的网络访问流量中识别与所述目标业务相对应的网络访问流量,并对所识别的网络访问流量进行防御处理,如直接丢弃所识别的网络访问流量,或者通过旁路路由将其牵引并经清洗后回注至该多业务系统。例如,在步骤S3中,网络安全设备1根据目标业务相对应的超链接的主机域(HOST)信息,通过所述多业务系统的入口网络设备,如所述多业务系统内部的防火墙设备或其外部的路由器设备,从与所述多业务系统相对应的网络访问流量中,提取与所述主机域信息相匹配的网络访问流量,以作为与所述目标业务相对应的网络访问流量,并通过旁路路由将其牵引并经清洗后回注至该多业务系统。在此,所述业务相关信息可由网络安全设备1通过该多业务系统中的相关设备等第三方设备所提供的应用程序接口(API)或其他约定的通信方式,从第三方设备直接获取,或者由网络安全设备1通过对该多业务系统的网络访问流量进行统计分析获取。优选地,所述业务相关信息包括但不限于,以下至少任一项:所述目标业务的访问标识信息、与所述目标业务相对应的超链接的主机域信息、与所述目标业务相对应的标识序列信息。例如,所述访问标识信息包括用于唯一标识所述目标业务的描述信息,如邮件服务器的外网地址;当网络访问流量中包含该外网地址作为目的地址时,则确定该网络访问流量指向该邮件服务器。又如,所述标识序列信息是由不同业务在访问请求的头部插入的字符序列,如COOKIE-ID,以防止请求欺骗;当网络访问流量的头部包含该COOKIE-ID时,则确定该网络访问流量指向该邮件服务器。本领域技术人员应能理解上述业务相关信息及其获取方式仅为举例,其他现有的或今后可能出现的业务相关信息或其获取方式如可适用于本发明,也应包含在本发明保护范围以内,并在此以引用方式包含于此。本领域技术人员应能理解上述防御处理的方式仅为举例,其他现有的或今后可能出现的防御处理的方式如可适用于本发明,也应包含在本发明保护范围以内,并在此以引用方式包含于此。
优选地,网络安全设备1中的各个步骤是持续不断工作的。具体地,在步骤S1中,网络安全设备1根据预置的DDoS攻击触发条件,检测与多业务系统相对应的网络访问流量中是否存在DDoS攻击;当存在所述DDoS攻击时,在步骤S2中,网络安全设备1根据所述DDoS攻击所对应的所述DDoS攻击触发条件,确定所述DDoS攻击所指向的目标业务;在步骤S3中,网络安全设备1根据所述目标业务的业务相关信息,对与所述多业务系统相对应的网络访问流量中与所述目标业务相对应的网络访问流量进行防御处理。在此,本领域技术人员应理解“持续”是指网络安全设备1的各步骤分别按照设定的或实时调整的工作模式要求进行DDoS攻击的检测、目标业务的确定和DDoS防御处理,直至该网络安全设备1在较长时间内停止DDoS攻击的检测。
优选地,所述DDoS攻击触发条件包括以下至少任一项:
-与所述多业务系统相对应的网络访问流量中存在符合DDoS攻击特征的数据包;
-与所述多业务系统中一个或多个业务相对应的网络访问流量中存在符合DDoS攻击特征的数据包;
-所述多业务系统中一个或多个业务存在与DDoS攻击行为相关的性能变化信息。
具体地,当DDoS攻击触发条件包括与所述多业务系统相对应的网络访问流量中存在符合DDoS攻击特征的数据包,在步骤S1中,网络安全设备1检测到该多业务系统的网络访问流量中存在符合DDoS攻击特征的数据包,如超过一定数量预置的SYN数据包或UDP数据包,则确定对应于该多业务系统的网络访问流量中是否存在DDoS攻击。当DDoS攻击触发条件包括与所述多业务系统中一个或多个业务相对应的网络访问流量中存在符合DDoS攻击特征的数据包,在步骤S1中,网络安全设备1检测到该多业务系统中一个或多个业务相对应的网络访问流量中存在符合DDoS攻击特征的数据包,如超过一定数量预置的SYN数据包或UDP数据包,则确定对应于该多业务系统的网络访问流量中是否存在DDoS攻击。当DDoS攻击触发条件包括所述多业务系统中一个或多个业务存在与DDoS攻击行为相关的性能变化信息,在步骤S1中,网络安全设备1检测到该多业务系统中一个或多个业务存在与DDoS攻击行为相关的性能变化信息,如超过一定数量预置的访问请求超时或服务器可用资源低于资源阈值,则确定对应于该多业务系统的网络访问流量中是否存在DDoS攻击。优选地,在步骤S1中,网络安全设备1根据上述DDoS攻击触发条件的任意组合,检测与多业务系统相对应的网络访问流量中是否存在DDoS攻击。本领域技术人员应能理解上述DDoS攻击触发条件仅为举例,其他现有的或今后可能出现的DDoS攻击触发条件如可适用于本发明,也应包含在本发明保护范围以内,并在此以引用方式包含于此。
图4示出根据本发明一个优选实施例的用于防御指向多业务系统的DDoS攻击的方法流程图。
在步骤S31’中,网络安全设备1根据所述目标业务的业务相关信息,对与所述多业务系统相对应的网络访问流量中与所述目标业务相对应的网络访问流量进行转发处理,以获得待清洗的原始访问流量。具体地,在步骤S31’中,网络安全设备1根据所述目标业务的业务相关信息,如所述目标业务的访问标识信息、与所述目标业务相对应的超链接的主机域信息、与所述目标业务相对应的标识序列信息,通过所述多业务系统的入口网络设备,如所述多业务系统内部的防火墙设备或其外部的路由器设备,在与所述多业务系统相对应的网络访问流量中识别与所述目标业务相对应的网络访问流量,并对所识别的网络访问流量进行转发处理,以获得待清洗的原始访问流量。
在步骤S32’中,网络安全设备1根据所述DDoS攻击的攻击相关信息,对所述原始访问流量进行清洗处理,以获得与所述原始访问流量相对应的清洁访问流量。具体地,在步骤S32’中,网络安全设备1根据所述DDoS攻击的攻击相关信息,如所述DDoS攻击的流量信息、所述DDoS攻击的状态信息、所述DDoS攻击的种类信息,对所述原始访问流量进行清洗处理,如保留所述原始访问流量中正常数据包、丢弃所述原始访问流量中符合DDoS攻击特征的数据包、将所述原始访问流量中符合DDoS攻击特征的数据包转发至攻击数据包数据库、对所述原始访问流量中符合DDoS攻击特征的访问链接进行复位处理,以获得与所述原始访问流量相对应的清洁访问流量。在此,所述攻击相关信息可由网络安全设备1通过诸如对所述原始访问流量进行深度包检测和/或统计分析获得。例如,所述DDoS攻击的状态信息包括但不限于开始、持续、结束等状态;所述DDoS攻击的种类信息包括但不限于ICMP洪泛攻击、UDP洪泛攻击、SYN洪泛攻击等种类。本领域技术人员应能理解上述攻击相关信息及其获取方式仅为举例,其他现有的或今后可能出现的攻击相关信息或其获取方式如可适用于本发明,也应包含在本发明保护范围以内,并在此以引用方式包含于此。本领域技术人员应能理解上述清洗处理的方式仅为举例,其他现有的或今后可能出现的清洗处理的方式如可适用于本发明,也应包含在本发明保护范围以内,并在此以引用方式包含于此。
在步骤S33’中,网络安全设备1将所述清洁访问流量转发至所述多业务系统,以访问所述目标业务。具体地,在步骤S33’中,网络安全设备1通过诸如一条或多条物理链路,或多层转发等方式,将所述清洁访问流量转发至所述多业务系统,以访问所述目标业务。本领域技术人员应能理解上述将清洁访问流量转发至多业务系统的方式仅为举例,其他现有的或今后可能出现的将清洁访问流量转发至多业务系统的方式如可适用于本发明,也应包含在本发明保护范围以内,并在此以引用方式包含于此。
优选地,在步骤S31’中,网络安全设备1还根据所述目标业务的业务相关信息,确定与所述目标业务相对应的牵引策略信息;将所述牵引策略信息发送至入口网络设备;接收自所述入口网络设备基于所述牵引策略所转发的与所述目标业务相对应的网络访问流量,以获得所述原始访问流量。具体地,在步骤S31’中,网络安全设备1还根据所述目标业务的业务相关信息,如所述目标业务的访问标识信息、与所述目标业务相对应的超链接的主机域信息、与所述目标业务相对应的标识序列信息,确定与所述目标业务相对应的牵引策略信息,如基于所述标识序列信息的应用层选路策略;将所述牵引策略信息发送至入口网络设备,如所述多业务系统内部的防火墙设备或其外部的路由器设备;接收自所述入口网络设备基于所述牵引策略所转发的与所述目标业务相对应的网络访问流量,以获得所述原始访问流量。例如,在步骤S31’中,网络安全设备1根据与所述目标业务相对应的超链接的主机域信息,确定基于主机域信息的传输层选路策略作为牵引策略,并将该牵引策略发送至所述多业务系统外部的路由器设备;接收自该路由器设备根据该牵引策略转发的网络访问流量,以获得所述原始访问流量,其中,所述原始访问流量均具有与目标业务相对应的主机域信息。在此,所述牵引策略包括但不限于基于各种业务相关信息的网络层选路策略、传输层选路策略、应用层选路策略等。本领域技术人员应能理解上述牵引策略及其获取方式仅为举例,其他现有的或今后可能出现的牵引策略或其获取方式如可适用于本发明,也应包含在本发明保护范围以内,并在此以引用方式包含于此。
优选地,在步骤S32’中,网络安全设备1还根据所述攻击相关信息,确定与所述原始访问流量相关的清洗策略信息;根据所述清洗策略信息,对所述原始访问流量进行清洗处理,以获得所述清洁访问流量。具体地,在步骤S32’中,网络安全设备1还根据所述攻击相关信息,如所述DDoS攻击的流量信息、所述DDoS攻击的状态信息、所述DDoS攻击的种类信息,确定与所述原始访问流量相关的清洗策略信息,如串行清洗策略信息、并行清洗策略信息、集群清洗策略信息、基于负载均衡的清洗策略信息;根据所述清洗策略信息,对所述原始访问流量进行清洗处理,以获得所述清洁访问流量。例如,当所述DDoS攻击的流量信息低于一定的流量阈值时,在步骤S32’中,网络安全设备1确定串行清洗策略信息;随着所述DDoS攻击的流量信息逐步增大,超过该流量阈值时,在步骤S32’中,网络安全设备1改用并行清洗策略信息;随着所述DDoS攻击的流量信息进一步增大,超过更高的流量阈值时,在步骤S32’中,网络安全设备1启用集群清洗策略信息。优选地,在步骤S32’中,当网络安全设备1确定并行清洗策略信息或集群清洗策略信息时,还可以同时采用基于负载均衡的清洗策略信息。类似地,根据所述DDoS攻击的状态信息或种类信息的不同,在步骤S32’中,网络安全设备1也可以使用不同的清洗策略信息,例如白名单、黑名单、灰名单的并行清洗策略信息。本领域技术人员应能理解上述清洗策略及其获取方式仅为举例,其他现有的或今后可能出现的清洗策略或其获取方式如可适用于本发明,也应包含在本发明保护范围以内,并在此以引用方式包含于此。
优选地,在步骤S4’中(未示出),网络安全设备1还根据所述目标业务的业务相关信息,确定与所述目标业务相对应的回注策略,并将所述回注策略发送至与所述目标业务相对应的回注网络设备;随后,在步骤S33’中,网络安全设备1还将所述清洁访问流量转发至所述回注网络设备。具体地,在步骤S4’中,网络安全设备1根据所述目标业务的业务相关信息,如所述目标业务的访问标识信息、与所述目标业务相对应的超链接的主机域信息、与所述目标业务相对应的标识序列信息,确定与所述目标业务相对应的回注策略,如基于所述标识序列信息的应用层回注策略,并将所述回注策略发送至与所述目标业务相对应的回注网络设备;随后,在步骤S33’中,网络安全设备1还将所述清洁访问流量转发至所述回注网络设备,以供所述回注网络设备根据所述回注策略将所述清洁访问流量提供给所述目标业务。例如,在步骤S4’中,网络安全设备1根据与所述目标业务相对应的超链接的主机域信息,确定基于主机域信息的传输层回注策略作为回注策略,并将所述回注策略发送至与所述目标业务相对应的回注网络设备;随后,在步骤S33’中,网络安全设备1还将所述清洁访问流量转发至所述回注网络设备,以供所述回注网络设备根据所述回注策略将所述清洁访问流量提供给所述目标业务。在此,所述回注策略包括但不限于基于各种业务相关信息的网络层回注策略、传输层回注策略、应用层回注策略等。本领域技术人员应能理解上述回注策略及其获取方式仅为举例,其他现有的或今后可能出现的回注策略或其获取方式如可适用于本发明,也应包含在本发明保护范围以内,并在此以引用方式包含于此。
对于本领域技术人员而言,显然本发明不限于上述示范性实施例的细节,而且在不背离本发明的精神或基本特征的情况下,能够以其他的具体形式实现本发明。因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本发明的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化涵括在本发明内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。此外,显然“包括”一词不排除其他单元或步骤,单数不排除复数。装置权利要求中陈述的多个单元或装置也可以由一个单元或装置通过软件或者硬件来实现。第一,第二等词语用来表示名称,而并不表示任何特定的顺序。
Claims (20)
1.一种由计算机实现的用于防御指向多业务系统的DDoS攻击的方法,其中,该方法包括以下步骤:
a根据预置的DDoS攻击触发条件,检测与多业务系统相对应的网络访问流量中是否存在DDoS攻击;
b当存在所述DDoS攻击时,根据所述DDoS攻击所对应的所述DDoS攻击触发条件,确定所述DDoS攻击所指向的目标业务;
c根据所述目标业务的业务相关信息,对与所述多业务系统相对应的网络访问流量中与所述目标业务相对应的网络访问流量进行防御处理。
2.根据权利要求1所述的方法,其中,所述步骤c包括:
c1根据所述目标业务的业务相关信息,对与所述多业务系统相对应的网络访问流量中与所述目标业务相对应的网络访问流量进行转发处理,以获得待清洗的原始访问流量;
c2根据所述DDoS攻击的攻击相关信息,对所述原始访问流量进行清洗处理,以获得与所述原始访问流量相对应的清洁访问流量;
c3将所述清洁访问流量转发至所述多业务系统,以访问所述目标业务。
3.据权利要求2所述的方法,其中,所述步骤c1包括:
-根据所述目标业务的业务相关信息,确定与所述目标业务相对应的牵引策略信息;
-将所述牵引策略信息发送至入口网络设备;
-接收自所述入口网络设备基于所述牵引策略所转发的与所述目标业务相对应的网络访问流量,以获得所述原始访问流量。
4.根据权利要求2或3所述的方法,其中,所述步骤c2中所述清洗处理操作包括以下至少任一项:
-保留所述原始访问流量中正常数据包;
-丢弃所述原始访问流量中符合DDoS攻击特征的数据包;
-将所述原始访问流量中符合DDoS攻击特征的数据包转发至攻击数据包数据库;
-对所述原始访问流量中符合DDoS攻击特征的访问链接进行复位处理。
5.根据权利要求2至4中任一项所述的方法,其中,所述步骤c2包括:
-根据所述攻击相关信息,确定与所述原始访问流量相关的清洗策略信息;
-根据所述清洗策略信息,对所述原始访问流量进行清洗处理,以获得所述清洁访问流量。
6.根据权利要求5所述的方法,其中,所述清洗策略信息包括以下至少任一项:
-串行清洗策略信息;
-并行清洗策略信息;
-集群清洗策略信息;
-基于负载均衡的清洗策略信息。
7.根据权利要求2至6中任一项所述的方法,其中,所述攻击相关信息包括以下至少任一项:
-所述DDoS攻击的流量信息;
-所述DDoS攻击的状态信息;
-所述DDoS攻击的种类信息。
8.据权利要求2至7中任一项所述的方法,其中,该方法还包括:
-根据所述目标业务的业务相关信息,确定与所述目标业务相对应的回注策略;
-将所述回注策略发送至与所述目标业务相对应的回注网络设备;
其中,所述步骤c3包括:
-将所述清洁访问流量转发至所述回注网络设备。
9.根据权利要求1至8中任一项所述的方法,其中,所述业务相关信息包括以下至少任一项:
-所述目标业务的访问标识信息;
-与所述目标业务相对应的超链接的主机域信息;
-与所述目标业务相对应的标识序列信息。
10.根据权利要求1至9中任一项所述的方法,其中,所述DDoS攻击触发条件包括以下至少任一项:
-与所述多业务系统相对应的网络访问流量中存在符合DDoS攻击特征的数据包;
-与所述多业务系统中一个或多个业务相对应的网络访问流量中存在符合DDoS攻击特征的数据包;
-所述多业务系统中一个或多个业务存在与DDoS攻击行为相关的性能变化信息。
11.一种用于防御指向多业务系统的DDoS攻击的网络安全设备,其中,该设备包括:
攻击检测装置,用于根据预置的DDoS攻击触发条件,检测与多业务系统相对应的网络访问流量中是否存在DDoS攻击;
目标确定装置,用于当存在所述DDoS攻击时,根据所述DDoS攻击所对应的所述DDoS攻击触发条件,确定所述DDoS攻击所指向的目标业务;
防御处理装置,用于根据所述目标业务的业务相关信息,对与所述多业务系统相对应的网络访问流量中与所述目标业务相对应的网络访问流量进行防御处理。
12.根据权利要求11所述的设备,其中,所述防御处理装置包括:
牵引单元,用于根据所述目标业务的业务相关信息,对与所述多业务系统相对应的网络访问流量中与所述目标业务相对应的网络访问流量进行转发处理,以获得待清洗的原始访问流量;
清洗单元,用于根据所述DDoS攻击的攻击相关信息,对所述原始访问流量进行清洗处理,以获得与所述原始访问流量相对应的清洁访问流量;
转发单元,用于将所述清洁访问流量转发至所述多业务系统,以访问所述目标业务。
13.据权利要求12所述的设备,其中,所述牵引单元用于:
-根据所述目标业务的业务相关信息,确定与所述目标业务相对应的牵引策略信息;
-将所述牵引策略信息发送至入口网络设备;
-接收自所述入口网络设备基于所述牵引策略所转发的与所述目标业务相对应的网络访问流量,以获得所述原始访问流量。
14.根据权利要求12或13所述的设备,其中,所述清洗单元中所述清洗处理操作包括以下至少任一项:
-保留所述原始访问流量中正常数据包;
-丢弃所述原始访问流量中符合DDoS攻击特征的数据包;
-将所述原始访问流量中符合DDoS攻击特征的数据包转发至攻击数据包数据库;
-对所述原始访问流量中符合DDoS攻击特征的访问链接进行复位处理。
15.根据权利要求12至14中任一项所述的设备,其中,所述清洗单元用于:
-根据所述攻击相关信息,确定与所述原始访问流量相关的清洗策略信息;
-根据所述清洗策略信息,对所述原始访问流量进行清洗处理,以获得所述清洁访问流量。
16.根据权利要求15所述的设备,其中,所述清洗策略信息包括以下至少任一项:
-串行清洗策略信息;
-并行清洗策略信息;
-集群清洗策略信息;
-基于负载均衡的清洗策略信息。
17.根据权利要求12至16中任一项所述的设备,其中,所述攻击相关信息包括以下至少任一项:
-所述DDoS攻击的流量信息;
-所述DDoS攻击的状态信息;
-所述DDoS攻击的种类信息。
18.据权利要求12至17中任一项所述的设备,其中,该设备还包括回注装置,该回注装置用于:
-根据所述目标业务的业务相关信息,确定与所述目标业务相对应的回注策略;
-将所述回注策略发送至与所述目标业务相对应的回注网络设备;
其中,所述转发单元用于:
-将所述清洁访问流量转发至所述回注网络设备。
19.根据权利要求11至18中任一项所述的设备,其中,所述业务相关信息包括以下至少任一项:
-所述目标业务的访问标识信息;
-与所述目标业务相对应的超链接的主机域信息;
-与所述目标业务相对应的标识序列信息。
20.根据权利要求11至19中任一项所述的设备,其中,所述DDoS攻击触发条件包括以下至少任一项:
-与所述多业务系统相对应的网络访问流量中存在符合DDoS攻击特征的数据包;
-与所述多业务系统中一个或多个业务相对应的网络访问流量中存在符合DDoS攻击特征的数据包;
-所述多业务系统中一个或多个业务存在与DDoS攻击行为相关的性能变化信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110197639.XA CN102263788B (zh) | 2011-07-14 | 2011-07-14 | 一种用于防御指向多业务系统的DDoS攻击的方法与设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110197639.XA CN102263788B (zh) | 2011-07-14 | 2011-07-14 | 一种用于防御指向多业务系统的DDoS攻击的方法与设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102263788A true CN102263788A (zh) | 2011-11-30 |
| CN102263788B CN102263788B (zh) | 2014-06-04 |
Family
ID=45010242
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110197639.XA Active CN102263788B (zh) | 2011-07-14 | 2011-07-14 | 一种用于防御指向多业务系统的DDoS攻击的方法与设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102263788B (zh) |
Cited By (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103401796A (zh) * | 2013-07-09 | 2013-11-20 | 北京百度网讯科技有限公司 | 网络流量清洗系统及方法 |
| CN103442076A (zh) * | 2013-09-04 | 2013-12-11 | 上海海事大学 | 一种云存储系统的可用性保障方法 |
| WO2014094254A1 (zh) * | 2012-12-19 | 2014-06-26 | 华为技术有限公司 | 监控网络的方法、装置及网络设备 |
| CN104158803A (zh) * | 2014-08-01 | 2014-11-19 | 国家电网公司 | 一种针对DDoS攻击的模块化防护检测方法及系统 |
| CN104767762A (zh) * | 2015-04-28 | 2015-07-08 | 亚信科技(南京)有限公司 | 一种安全防护系统 |
| CN105743921A (zh) * | 2016-04-08 | 2016-07-06 | 安徽电信规划设计有限责任公司 | 一种idc机房网站信息管理方法 |
| WO2017016454A1 (zh) * | 2015-07-24 | 2017-02-02 | 中兴通讯股份有限公司 | 防范ddos攻击的方法和装置 |
| CN106888181A (zh) * | 2015-12-15 | 2017-06-23 | 精硕科技(北京)股份有限公司 | 一种能防御DDoS的数据采集方法和系统 |
| CN106888182A (zh) * | 2015-12-15 | 2017-06-23 | 精硕科技(北京)股份有限公司 | 一种能防御DDoS的数据采集方法和系统 |
| CN108737351A (zh) * | 2017-04-25 | 2018-11-02 | 中国移动通信有限公司研究院 | 一种分布式拒绝服务攻击防御控制方法和调度设备 |
| CN109194692A (zh) * | 2018-10-30 | 2019-01-11 | 扬州凤凰网络安全设备制造有限责任公司 | 防止网络被攻击的方法 |
| CN109995714A (zh) * | 2017-12-29 | 2019-07-09 | 中移(杭州)信息技术有限公司 | 一种处置流量的方法、装置和系统 |
| CN110213214A (zh) * | 2018-06-06 | 2019-09-06 | 腾讯科技(深圳)有限公司 | 一种攻击防护方法、系统、装置和存储介质 |
| CN110611673A (zh) * | 2019-09-18 | 2019-12-24 | 赛尔网络有限公司 | Ip信用计算方法、装置、电子设备及介质 |
| CN110933111A (zh) * | 2019-12-18 | 2020-03-27 | 北京浩瀚深度信息技术股份有限公司 | 一种基于DPI的DDoS攻击识别方法及装置 |
| CN111355649A (zh) * | 2018-12-20 | 2020-06-30 | 阿里巴巴集团控股有限公司 | 流量回注方法、装置和系统 |
| CN112073409A (zh) * | 2020-09-04 | 2020-12-11 | 杭州安恒信息技术股份有限公司 | 攻击流量清洗方法、装置、设备及计算机可读存储介质 |
| WO2021057225A1 (zh) * | 2019-09-24 | 2021-04-01 | 国网河北省电力有限公司信息通信分公司 | 一种基于电网信息系统异常流量的防护方法 |
| CN113703325A (zh) * | 2020-10-30 | 2021-11-26 | 天翼智慧家庭科技有限公司 | 一种智能家居终端失陷的检测方法和系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101039326A (zh) * | 2007-04-28 | 2007-09-19 | 华为技术有限公司 | 业务流识别方法、装置及分布式拒绝服务攻击防御方法、系统 |
| CN101136922A (zh) * | 2007-04-28 | 2008-03-05 | 华为技术有限公司 | 业务流识别方法、装置及分布式拒绝服务攻击防御方法、系统 |
| CN101150581A (zh) * | 2007-10-19 | 2008-03-26 | 华为技术有限公司 | 分布式拒绝服务攻击检测方法及装置 |
| CN101588246A (zh) * | 2008-05-23 | 2009-11-25 | 成都市华为赛门铁克科技有限公司 | 防范分布式阻断服务DDoS攻击的方法、网络设备和网络系统 |
-
2011
- 2011-07-14 CN CN201110197639.XA patent/CN102263788B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101039326A (zh) * | 2007-04-28 | 2007-09-19 | 华为技术有限公司 | 业务流识别方法、装置及分布式拒绝服务攻击防御方法、系统 |
| CN101136922A (zh) * | 2007-04-28 | 2008-03-05 | 华为技术有限公司 | 业务流识别方法、装置及分布式拒绝服务攻击防御方法、系统 |
| CN101150581A (zh) * | 2007-10-19 | 2008-03-26 | 华为技术有限公司 | 分布式拒绝服务攻击检测方法及装置 |
| CN101588246A (zh) * | 2008-05-23 | 2009-11-25 | 成都市华为赛门铁克科技有限公司 | 防范分布式阻断服务DDoS攻击的方法、网络设备和网络系统 |
Cited By (26)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2014094254A1 (zh) * | 2012-12-19 | 2014-06-26 | 华为技术有限公司 | 监控网络的方法、装置及网络设备 |
| CN103401796B (zh) * | 2013-07-09 | 2016-05-25 | 北京百度网讯科技有限公司 | 网络流量清洗系统及方法 |
| CN103401796A (zh) * | 2013-07-09 | 2013-11-20 | 北京百度网讯科技有限公司 | 网络流量清洗系统及方法 |
| CN103442076B (zh) * | 2013-09-04 | 2016-09-07 | 上海海事大学 | 一种云存储系统的可用性保障方法 |
| CN103442076A (zh) * | 2013-09-04 | 2013-12-11 | 上海海事大学 | 一种云存储系统的可用性保障方法 |
| CN104158803A (zh) * | 2014-08-01 | 2014-11-19 | 国家电网公司 | 一种针对DDoS攻击的模块化防护检测方法及系统 |
| CN104767762A (zh) * | 2015-04-28 | 2015-07-08 | 亚信科技(南京)有限公司 | 一种安全防护系统 |
| CN106713220A (zh) * | 2015-07-24 | 2017-05-24 | 中兴通讯股份有限公司 | 基于ddos攻击防范方法和装置 |
| WO2017016454A1 (zh) * | 2015-07-24 | 2017-02-02 | 中兴通讯股份有限公司 | 防范ddos攻击的方法和装置 |
| CN106888182B (zh) * | 2015-12-15 | 2020-02-04 | 精硕科技(北京)股份有限公司 | 一种能防御DDoS的数据采集方法和系统 |
| CN106888181A (zh) * | 2015-12-15 | 2017-06-23 | 精硕科技(北京)股份有限公司 | 一种能防御DDoS的数据采集方法和系统 |
| CN106888182A (zh) * | 2015-12-15 | 2017-06-23 | 精硕科技(北京)股份有限公司 | 一种能防御DDoS的数据采集方法和系统 |
| CN105743921A (zh) * | 2016-04-08 | 2016-07-06 | 安徽电信规划设计有限责任公司 | 一种idc机房网站信息管理方法 |
| CN108737351A (zh) * | 2017-04-25 | 2018-11-02 | 中国移动通信有限公司研究院 | 一种分布式拒绝服务攻击防御控制方法和调度设备 |
| CN109995714A (zh) * | 2017-12-29 | 2019-07-09 | 中移(杭州)信息技术有限公司 | 一种处置流量的方法、装置和系统 |
| CN109995714B (zh) * | 2017-12-29 | 2021-10-29 | 中移(杭州)信息技术有限公司 | 一种处置流量的方法、装置和系统 |
| CN110213214A (zh) * | 2018-06-06 | 2019-09-06 | 腾讯科技(深圳)有限公司 | 一种攻击防护方法、系统、装置和存储介质 |
| CN109194692A (zh) * | 2018-10-30 | 2019-01-11 | 扬州凤凰网络安全设备制造有限责任公司 | 防止网络被攻击的方法 |
| CN111355649A (zh) * | 2018-12-20 | 2020-06-30 | 阿里巴巴集团控股有限公司 | 流量回注方法、装置和系统 |
| CN110611673A (zh) * | 2019-09-18 | 2019-12-24 | 赛尔网络有限公司 | Ip信用计算方法、装置、电子设备及介质 |
| CN110611673B (zh) * | 2019-09-18 | 2021-08-31 | 赛尔网络有限公司 | Ip信用计算方法、装置、电子设备及介质 |
| WO2021057225A1 (zh) * | 2019-09-24 | 2021-04-01 | 国网河北省电力有限公司信息通信分公司 | 一种基于电网信息系统异常流量的防护方法 |
| CN110933111A (zh) * | 2019-12-18 | 2020-03-27 | 北京浩瀚深度信息技术股份有限公司 | 一种基于DPI的DDoS攻击识别方法及装置 |
| CN112073409A (zh) * | 2020-09-04 | 2020-12-11 | 杭州安恒信息技术股份有限公司 | 攻击流量清洗方法、装置、设备及计算机可读存储介质 |
| CN113703325A (zh) * | 2020-10-30 | 2021-11-26 | 天翼智慧家庭科技有限公司 | 一种智能家居终端失陷的检测方法和系统 |
| CN113703325B (zh) * | 2020-10-30 | 2024-02-13 | 天翼数字生活科技有限公司 | 一种智能家居终端失陷的检测方法和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102263788B (zh) | 2014-06-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102263788B (zh) | 一种用于防御指向多业务系统的DDoS攻击的方法与设备 | |
| CN108040057B (zh) | 适于保障网络安全、网络通信质量的sdn系统的工作方法 | |
| US10798060B2 (en) | Network attack defense policy sending method and apparatus, and network attack defending method and apparatus | |
| US9455995B2 (en) | Identifying source of malicious network messages | |
| WO2016150253A1 (zh) | 基于sdn的ddos攻击防护方法、装置及系统 | |
| CN104660582B (zh) | DDoS识别、防护和路径优化的软件定义的网络架构 | |
| Choi | Implementation of content-oriented networking architecture (CONA): a focus on DDoS countermeasure | |
| Mittal et al. | A review of DDOS attack and its countermeasures in TCP based networks | |
| CN107888618A (zh) | 解决网络安全的DDoS威胁过滤SDN系统的工作方法 | |
| CA2915533A1 (en) | Data center redundancy in a network | |
| Bogdanoski et al. | Wireless network behavior under icmp ping flooddos attack and mitigation techniques | |
| CN106487790A (zh) | 一种ack flood攻击的清洗方法及系统 | |
| JP5178573B2 (ja) | 通信システムおよび通信方法 | |
| JP2006191433A (ja) | 踏み台パケット・進入中継装置特定装置 | |
| Kashiwa et al. | Active shaping: a countermeasure against DDoS attacks | |
| David et al. | Router based approach to mitigate DOS attacks on the wireless networks | |
| CN103428295A (zh) | 一种对等网络应用的监控方法与系统 | |
| Kotenko et al. | Packet level simulation of cooperative distributed defense against Internet attacks | |
| Huang et al. | An efficient scheme to defend data-to-control-plane saturation attacks in software-defined networking | |
| CN106060045B (zh) | 面向带宽消耗型攻击的过滤位置选择方法 | |
| He et al. | An efficient and practical defense method against DDoS attack at the source-end | |
| Lv et al. | Towards spoofing prevention based on hierarchical coordination model | |
| Priescu et al. | Design of traceback methods for tracking DoS attacks | |
| Wan | An infrastructure to defend against distributed denial-of-service attack | |
| Jin et al. | Resisting Network DDoS Attacks by Packet Asymmetry Path Marking |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |