CN104158803A - 一种针对DDoS攻击的模块化防护检测方法及系统 - Google Patents
一种针对DDoS攻击的模块化防护检测方法及系统 Download PDFInfo
- Publication number
- CN104158803A CN104158803A CN201410375136.0A CN201410375136A CN104158803A CN 104158803 A CN104158803 A CN 104158803A CN 201410375136 A CN201410375136 A CN 201410375136A CN 104158803 A CN104158803 A CN 104158803A
- Authority
- CN
- China
- Prior art keywords
- attack
- subsystem
- ddos
- ddos attack
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Abstract
本发明涉及一种针对DDoS攻击的模块化防护检测方法及系统,解决了非专有设备检测DDoS攻击的局限性,系统清洗子系统基于DDoS算法研究,形成多层次的检测、防护算法结构,同时,检测模块支持多NP芯片的分布式算法,从而支持大容量的清洗系统组合。可以解决网络层、混合型、连接耗尽型等的拒绝服务攻击。
Description
技术领域
本发明属于计算机网络技术学科中网络安全领域,具体涉及一种针对DDoS攻击的模块化防护检测方法及系统。
背景技术
DDoS(Distributed Denial of Service)攻击,中文名为分布式拒绝服务攻击,攻击者将其控制的多个计算机和服务器肉鸡联合起来,同时对一个或多个攻击目标发动DoS攻击,从而成倍地提高DoS攻击的威力,使得被攻击设备负载过高,导致设备系统崩溃。
随着公众对Internet依赖程度的日益增加,拒绝式服务攻击和分布式拒绝服务攻击给公众所带来的危害和影响也愈加严重,受害者包括了政府、企事业单位、移动运营商等各种机构及相关的用户。通过长期分析发现,DDoS攻击有以下发展趋势:
1、攻击流量成几何倍数增长,DDoS攻击流量将占用大量网络运营商互联网出口带宽,因此将大大降低运营商网络层设备的运行效率。
2、攻击难度降低,将会有大量可轻易获得的DDoS工具用来发动DDoS攻击,DDoS攻击发生频率增大。
3、针对应用层面服务的DDoS攻击将成为主流,DDoS攻击已形成成熟的产业链,背后的经济利益成为攻击的原始驱动。
4、由于IPV4资源的问题,IPV6网络被更广泛地部署,所以针对IPV6网络的DDOS攻击将会越来越频繁。
5、DDoS攻击方式更为复杂多变,带宽型攻击夹杂应用型攻击的混合攻击增多,增加了防御的难度。
目前,对分布式拒绝服务攻击的防护有很多方法,但缺乏一种整体的解决方法,包括防火墙、入侵检测系统在内的传统网络安全边界设备,都不能有效的防御DDoS的攻击。
传统防护技术主要是靠检验数据包的真实性,其检验技术为:(1)基于数据包标记的伪造IP DDoS攻击防御;(2)基于路由器指纹的概率包标记方案。类似的研究内容和技术是DDoS防护中的一小方面,只能实现通过伪装IP地址方式发起的DDoS攻击,应用推广价值比较小,更适合将该种方法集合到DDoS攻击防护的第一个功能项。
发明内容
本发明所要解决的技术问题在于克服现有技术中DDoS攻击防护多集合于防火墙、入侵防护等安全系统中,无法根据DDoS攻击的特性进行有效的检测和防护的缺陷,提供一种独特的针对DDoS攻击的模块化防护检测方法及系统,可以解决网络层、混合型、连接耗尽型等的拒绝服务攻击。
为解决上述技术问题,本发明所采取的技术方案为:
一种针对DDoS攻击的模块化防护系统,其包括转发子系统、清洗子系统和管理子系统:
所述转发子系统即ASIC,负责数据的分检,判断网络中是否有DDoS攻击发生,并负责将原来本要去往被攻击目标IP的DDoS攻击流量牵引至清洗子系统;
所述清洗子系统,主要是由NP芯片和系统内存组成,所述清洗子系统中每个NP由多个微内核引擎组成,负责实现流量清洗算法,并根据算法的结果决定包的动作,将DDoS攻击流量从混合流量中分离、过滤;
所述管理子系统,包括控制CPU、串口管理器和ROM,实现系统的管理控制功能。
进一步的,所述转发子系统用于根据报文的IP地址对数据进行分流,将需要清洗的流量直接送到清洗子系统的NP上。
进一步的,所述管理子系统的控制CPU在整个过程中完成策略配置下发和获取数据统计信息等设备管理和监控功能,通过双向数据通道完成对其它模块的管理和控制。
本发明另一方面提供一种针对DDoS攻击的模块化防护的检测方法,其具体包括以下步骤:
步骤1 构建如权利要求1-3任一项所述的防护系统;
步骤2 数据通过物理接口进入设备后,首先由ASIC根据报文的IP地址对进行分流,正常需要清洗的流量将直接送到清洗子系统的NP上;
步骤3 每个NP的多个微引擎中按照清洗算法和防护策略,对报文进行深度解析、统计分析等攻击识别和验证,并由NP决定对每个报文采取丢弃、探测、转发或带宽限制的功能;
步骤4 经过NP处理后的数据被转发给ASIC,再由ASIC对数据进行封装并转发到相应物理端口上,或者送回入口ADS 的ASIC上,再做最终的回注。
与现有技术相比,本发明取得的有益效果为:
本发明通过建立并应用DDoS攻击防护方法,解决了非专有设备检测DDoS攻击的局限性,系统清洗子系统基于DDoS算法研究,形成多层次的检测、防护算法结构,同时,检测模块支持多NP芯片的分布式算法,从而支持大容量的清洗系统组合。
附图说明
图1 为本发明系统的示意图。
具体实施方式
下面将结合附图1对本发明进行进一步详细的说明。
如附图1所示,对DDoS攻击的模块化防护系统,其包括转发子系统、清洗子系统和管理子系统:
所述转发子系统即ASIC,负责数据的分检,所有流经清洗系统的数据包,将通过报文的IP地址来决定数据包的流向规则,并负责将包从相应的内部或外部端口转发出去。在转发处理过程中,该模块将完成转发相关的报文处理,例如包头解析、隧道封装、QoS、负载分担算法等,从而确保复杂业务下的线速转发;
所述清洗子系统,系统的抗DDoS清洗模块,主要是由NP芯片和系统内存组成。每个NP由多个微内核引擎(ME)组成,对流量进行并行处理。它负责实现流量清洗算法,并根据算法的结果决定包的动作,例如,如果算法判断需要系统主动回应,则相应的NP构造包发送给ASIC,由ASIC根据包头信息通过相应的端口转发出去;如果算法判断该数据包应该放行,则NP修改数据包头发送回ASIC,由ASIC根据包头信息通过相应的端口转发出去。
所述管理子系统,包括控制CPU、串口管理器和ROM,实现系统的管理控制功能。
对DDoS攻击的模块化防护检测方法具体如下:
1、数据通过物理接口进入设备后,首先由ASIC芯片根据报文的IP地址对进行分流,正常需要清洗的流量将直接送到清洗子系统的NP上;
2、在每个NP的多个微引擎(ME)中按照清洗算法和防护策略,对报文进行深度解析、统计分析等攻击识别和验证,并由NP决定对每个报文采取丢弃、探测、转发或带宽限制的功能;
3、经过NP处理后的数据被转发给ASIC,再由ASIC对数据进行封装并转发到相应物理端口上,或者送回入口ADS 的ASIC上,再做最终的回注;
4、控制 CPU在整个过程中完成策略配置下发和获取数据统计信息等设备管理和监控功能,通过双向数据通道完成对其它模块的管理和控制。
本发明将针对DDoS的攻击防护的原理如下:
1、攻击检测:通过流量镜像或Netflow的方式检测DDoS的异常攻击流量,判断网络中是否有DDoS攻击发生。
2、流量牵引:确定有DDoS攻击后,通过与路由技术的结合,将原来本要去往被攻击目标IP的DDoS攻击流量牵引至DDoS清洗模块。被牵引的DDoS攻击流量为攻击流量与正常流量的混合流量;
3、攻击防护/流量净化:通过多层的攻击流量识别与净化设计,将DDoS攻击流量从混合流量中分离、过滤;
4、流量注入:经过净化之后的合法流量被重新注入回网络,到达目的IP。此时从服务器看,DDoS攻击已经被抑止,服务恢复正常。
本发明根据不同的DDoS攻击原理来对应研究不同的防护算法,重点建立DDoS攻击的检测方法,从而达到针对性的DDoS攻击防护,改变了过去只通过检测数据包来源真实性的低效率防护算法。本发明解决了现有技术难点在于非法流量和合法流量在网络中相互混杂,靠退让策略和系统调优只能应付小规模攻击,对大规模DDoS攻击无论从性能还是功能上都无法防护的缺陷。可以解决网络层、混合型、连接耗尽型等的拒绝服务攻击,如SYN Flood、UDP Flood、UDP DNS Query Flood、(M)Stream Flood、ICMP Flood、 ACK Flood/ DrDoS等。
本发明在对网络报文进行统计分析的基础上,还有针对性的对各种不同的DDoS攻击采用了不同的防护算法,从而可以准确地区分出用户正常访问数据报文和DDoS攻击的报文。此外,本发明采用的DDoS攻击检测和识别的算法效率很高,可以承受各种类别的大流量DDoS攻击。
本发明可以防护各种传输层的DDoS拒绝服务攻击,如SYN Flood,UDP Flood, SYN-ACK Flood,Stream flood,ACK Flood,FIN/RST Flood,ICMP Flood,IP Fragment Flood等。可以防护HTTP get /post flood 攻击,慢速攻击,TCP连接耗尽攻击,TCP空连接攻击等来自web的安全威胁。
本发明可针对DNS服务攻击、音视频服务攻击、游戏服务攻击等危害更大的应用层拒绝服务攻击进行有效防护。能够对利用各种代理服务器如CDN,WAP网关等发起的DDoS攻击进行防护。能够有效的防护利用各种annoymous攻击工具和僵尸工具发起的DDoS攻击。
此外,本发明提供了流量限制特性,用于应对突发的流量异常变化。另外,深层包检查规则允许根据攻击包的源/目的IP,源/目的协议端口,以及协议类型或Tcp Flag/ICMP Type/ICMP Code等特征字节定义模版,进行快速防护。
以上所述实施方式仅为本发明的优选实施例,而并非本发明可行实施的穷举。对于本领域一般技术人员而言,在不背离本发明原理和精神的前提下对其所作出的任何显而易见的改动,都应当被认为包含在本发明的权利要求保护范围之内。
Claims (4)
1.一种针对DDoS攻击的模块化防护系统,其特征在于:其包括转发子系统、清洗子系统和管理子系统:
所述转发子系统即ASIC,负责数据的分检,判断网络中是否有DDoS攻击发生,并负责将原来本要去往被攻击目标IP的DDoS攻击流量牵引至清洗子系统;
所述清洗子系统,主要是由NP芯片和系统内存组成,所述清洗子系统中每个NP由多个微内核引擎组成,负责实现流量清洗算法,并根据算法的结果决定包的动作,将DDoS攻击流量从混合流量中分离、过滤;
所述管理子系统,包括控制CPU、串口管理器和ROM,实现系统的管理控制功能。
2.根据权利要求1所述的一种针对DDoS攻击的模块化防护系统,其特征在于:所述转发子系统用于根据报文的IP地址对数据进行分流,将需要清洗的流量直接送到清洗子系统的NP上。
3.根据权利要求1所述的一种针对DDoS攻击的模块化防护系统,其特征在于:所述管理子系统的控制CPU在整个过程中完成策略配置下发和获取数据统计信息等设备管理和监控功能,通过双向数据通道完成对其它模块的管理和控制。
4.一种针对DDoS攻击的模块化防护检测方法,其特征在于:其具体包括以下步骤:
步骤1 构建如权利要求1-3任一项所述的防护系统;
步骤2 数据通过物理接口进入设备后,首先由ASIC根据报文的IP地址对进行分流,正常需要清洗的流量将直接送到清洗子系统的NP上;
步骤3 每个NP的多个微引擎中按照清洗算法和防护策略,对报文进行深度解析、统计分析等攻击识别和验证,并由NP决定对每个报文采取丢弃、探测、转发或带宽限制的功能;
步骤4 经过NP处理后的数据被转发给ASIC,再由ASIC对数据进行封装并转发到相应物理端口上,或者送回入口ADS 的ASIC上,再做最终的回注。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410375136.0A CN104158803A (zh) | 2014-08-01 | 2014-08-01 | 一种针对DDoS攻击的模块化防护检测方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410375136.0A CN104158803A (zh) | 2014-08-01 | 2014-08-01 | 一种针对DDoS攻击的模块化防护检测方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN104158803A true CN104158803A (zh) | 2014-11-19 |
Family
ID=51884208
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410375136.0A Pending CN104158803A (zh) | 2014-08-01 | 2014-08-01 | 一种针对DDoS攻击的模块化防护检测方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104158803A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104468636A (zh) * | 2015-01-09 | 2015-03-25 | 李忠 | DDoS威胁过滤与链路重配的SDN架构及工作方法 |
| CN107241294A (zh) * | 2016-03-28 | 2017-10-10 | 阿里巴巴集团控股有限公司 | 网络流量的处理方法及装置、清洗设备、网络设备 |
| CN110505206A (zh) * | 2019-07-19 | 2019-11-26 | 广东电网有限责任公司信息中心 | 一种基于动态联防的互联网威胁监测防御方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101588246A (zh) * | 2008-05-23 | 2009-11-25 | 成都市华为赛门铁克科技有限公司 | 防范分布式阻断服务DDoS攻击的方法、网络设备和网络系统 |
| CN101917425A (zh) * | 2010-08-09 | 2010-12-15 | 中国电信股份有限公司 | 双向在线方式的网吧流量集中式清洗系统及方法 |
| CN101924764A (zh) * | 2010-08-09 | 2010-12-22 | 中国电信股份有限公司 | 基于二级联动机制的大规模DDoS攻击防御系统及方法 |
| CN102263788A (zh) * | 2011-07-14 | 2011-11-30 | 百度在线网络技术(北京)有限公司 | 一种用于防御指向多业务系统的DDoS攻击的方法与设备 |
-
2014
- 2014-08-01 CN CN201410375136.0A patent/CN104158803A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101588246A (zh) * | 2008-05-23 | 2009-11-25 | 成都市华为赛门铁克科技有限公司 | 防范分布式阻断服务DDoS攻击的方法、网络设备和网络系统 |
| CN101917425A (zh) * | 2010-08-09 | 2010-12-15 | 中国电信股份有限公司 | 双向在线方式的网吧流量集中式清洗系统及方法 |
| CN101924764A (zh) * | 2010-08-09 | 2010-12-22 | 中国电信股份有限公司 | 基于二级联动机制的大规模DDoS攻击防御系统及方法 |
| CN102263788A (zh) * | 2011-07-14 | 2011-11-30 | 百度在线网络技术(北京)有限公司 | 一种用于防御指向多业务系统的DDoS攻击的方法与设备 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104468636A (zh) * | 2015-01-09 | 2015-03-25 | 李忠 | DDoS威胁过滤与链路重配的SDN架构及工作方法 |
| CN107241294A (zh) * | 2016-03-28 | 2017-10-10 | 阿里巴巴集团控股有限公司 | 网络流量的处理方法及装置、清洗设备、网络设备 |
| CN107241294B (zh) * | 2016-03-28 | 2020-09-15 | 阿里巴巴集团控股有限公司 | 网络流量的处理方法及装置、清洗设备、网络设备 |
| CN110505206A (zh) * | 2019-07-19 | 2019-11-26 | 广东电网有限责任公司信息中心 | 一种基于动态联防的互联网威胁监测防御方法 |
| CN110505206B (zh) * | 2019-07-19 | 2022-06-07 | 广东电网有限责任公司信息中心 | 一种基于动态联防的互联网威胁监测防御方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| WO2022088405A1 (zh) | 一种网络安全防护方法、装置及系统 | |
| CN102263788B (zh) | 一种用于防御指向多业务系统的DDoS攻击的方法与设备 | |
| Sanmorino et al. | DDoS attack detection method and mitigation using pattern of the flow | |
| Mukaddam et al. | IP spoofing detection using modified hop count | |
| CN105282169A (zh) | 基于SDN控制器阈值的DDoS攻击预警方法及其系统 | |
| Sahu et al. | Distributed denial of service attacks: a review | |
| CN107864155A (zh) | 一种高准确率的ddos攻击检测方法 | |
| Rajashree et al. | Security with IP address assignment and spoofing for smart IOT devices | |
| CN104158803A (zh) | 一种针对DDoS攻击的模块化防护检测方法及系统 | |
| Mahale et al. | Alleviation of DDoS attack using advance technique | |
| Geneiatakis et al. | A multilayer overlay network architecture for enhancing IP services availability against DoS | |
| Ahmed et al. | A Linux-based IDPS using Snort | |
| Farhat | Protecting TCP services from denial of service attacks | |
| CN1602470A (zh) | 防御恶意流量 | |
| Pande et al. | Detection and mitigation of DDoS in SDN | |
| Durresi et al. | Fast autonomous system traceback | |
| You et al. | A distributed defense framework for flooding-based DDoS attacks | |
| Ding et al. | Network security defense model based on firewall and IPS | |
| Park et al. | An effective defense mechanism against DoS/DDoS attacks in flow-based routers | |
| CN113765858A (zh) | 一种实现高性能状态防火墙的方法及装置 | |
| Gupta et al. | Honeynettrap: Framework to detect and mitigate ddos attacks using heterogeneous honeynet | |
| Singh et al. | A novel technique to defend DDOS attack in manet | |
| Gairola et al. | A review on dos and ddos attacks in cloud environment & security solutions | |
| Yu | DDoS attacks defense mechanism based on secure routing alliance | |
| Doss et al. | Detecting IP Spoofing using Hop Count Filtering based dynamic path update approach |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20141119 |
|
| RJ01 | Rejection of invention patent application after publication |