CN104519016B - 防火墙自动防御分布式拒绝服务攻击的方法和装置 - Google Patents
防火墙自动防御分布式拒绝服务攻击的方法和装置 Download PDFInfo
- Publication number
- CN104519016B CN104519016B CN201310453267.1A CN201310453267A CN104519016B CN 104519016 B CN104519016 B CN 104519016B CN 201310453267 A CN201310453267 A CN 201310453267A CN 104519016 B CN104519016 B CN 104519016B
- Authority
- CN
- China
- Prior art keywords
- attack
- interface
- data traffic
- flow
- ddos
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
- H04L63/0218—Distributed architectures, e.g. distributed firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Abstract
本发明实施例公开了一种防火墙自动防御分布式拒绝服务攻击的方法和装置,其中,方法包括:对穿越和到达防火墙设备的数据流量进行流FLOW分析;根据FLOW分析的结果,若检测出符合某种分布式拒绝服务DDOS攻击类型的攻击特征,符合该攻击特征的数据流量为DDOS攻击流量,根据预先设置的DDOS攻击类型与防护安全策略之间的对应关系,自动生成拦截DDOS攻击流量的防护安全策略,并将生成的防护安全策略配置在防火墙设备上;响应于检测出符合某种DDOS攻击类型的攻击特征消失,从防火墙设备上删除拦截DDOS攻击流量的防护安全策略。本发明实施例无需在防火墙设备的安全规则库中提前配置防护安全策略,即可在通用防火墙设备上实现对DDOS攻击的自动防御。
Description
技术领域
本发明涉及网络与信息安全技术,尤其是一种防火墙自动防御分布式拒绝服务(Distributed Denial of Service,DDOS)攻击的方法和装置。
背景技术
目前,防火墙设备安全规则通常都是由熟悉网络环境和设备的管理员下发的,当防火墙处于允许放行流量的状态,并且DDOS攻击发生时而安全规则库中没有匹配条目来阻止该DDOS攻击时,DDOS攻击就能成功穿越防火墙设备。目前防火墙设备对常见的DDOS攻击具有一定的防护能力,但是需要在防火墙设备的安全规则库中提前配置安全策略和规则,配置的策略和规则越多,则对防火墙设备的资源占用率会越高。DDOS攻击的防御也可以通过异常流量清洗中心完成,但是该技术成本较高。
流(FLOW)技术已经在通信业界广泛应用于流量监控、流量计费等领域,通过FLOW技术可以检测出多种DDOS攻击及蠕虫病毒。
发明内容
本发明实施例所要解决的技术问题是:提供一种防火墙自动防御分布式拒绝服务攻击的方法和装置,无需在防火墙设备的安全规则库中提前配置防护安全策略,即可在通用防火墙设备上实现对DDOS攻击的自动防御。
本发明实施例提供的一种防火墙自动防御分布式拒绝服务攻击的方法,包括:
对穿越和到达防火墙设备的数据流量进行流FLOW分析,所述FLOW分析包括对所述数据流量进行协议类型、数据流量大小与FLOW技术信息分析;所述FLOW技术信息包括:源IP地址、目的IP地址、源端口号、目的端口号、三层协议类型与服务类型TOS;
根据FLOW分析的结果,若检测出符合某种分布式拒绝服务DDOS攻击类型的攻击特征,符合该攻击特征的数据流量为DDOS攻击流量,根据预先设置的DDOS攻击类型与防护安全策略之间的对应关系,自动生成拦截所述DDOS攻击流量的防护安全策略,并将生成的防护安全策略配置在防火墙设备上;
响应于检测出符合所述某种DDOS攻击类型的攻击特征消失,从所述防火墙设备上删除拦截所述DDOS攻击流量的防护安全策略。
上述方法的一个具体实施例中,所述FLOW技术信息还包括入接口属性,所述入接口属性包括所述数据流量区源于内部接口、外部接口或者非军事区DMZ接口的属性信息;
所述将生成的防护安全策略配置在防火墙设备上包括:
根据对所述数据流量的入接口属性分析结果,若检测出符合攻击特征的数据流量源于内部接口、外部接口与DMZ中的全部,则将生成的防护安全策略作为全局安全策略配置在防火墙设备上;
若检测出符合攻击特征的数据流量不是源于内部接口、外部接口与DMZ中的全部,则将生成的防护安全策略配置在防火墙设备的相应接口上。
上述方法的一个具体实施例中,所述FLOW技术信息还包括入接口属性,所述入接口属性包括所述数据流量区源于信任接口、非信任接口或者非军事区DMZ接口的属性信息;
所述将生成的防护安全策略配置在防火墙设备上包括:
根据对所述数据流量的入接口属性分析结果,若检测出符合攻击特征的数据流量源于信任接口、非信任接口与DMZ中的全部,则将生成的防护安全策略作为全局安全策略配置在防火墙设备上;
若检测出符合攻击特征的数据流量不是源于信任接口、非信任接口与DMZ中的全部,则将生成的防护安全策略配置在防火墙设备的相应接口上。
上述方法的一个具体实施例中,对穿越和到达防火墙设备的数据流量进行流FLOW分析包括:
分别针对防火墙设备上的各接口,按照单位周期对穿越和到达防火墙设备的数据流量进行流FLOW进行循环检测分析,判断该接口上的数据流量是否大于预设阈值;
所述检测出符合某种DDOS攻击类型的攻击特征包括:该接口上的数据流量大于预设阈值。
上述方法的一个具体实施例中,所述检测出符合所述某种DDOS攻击类型的攻击特征消失包括:
配置防护安全策略的接口上在单位周期内的DDOS攻击流量不大于所述预设阈值。
本发明实施例提供的一种防火墙自动防御分布式拒绝服务攻击的装置,包括:
FLOW分析单元,用于对穿越和到达防火墙设备的数据流量进行流FLOW分析,所述FLOW分析包括对所述数据流量进行协议类型、数据流量大小与FLOW技术信息分析;所述FLOW技术信息包括:源IP地址、目的IP地址、源端口号、目的端口号、三层协议类型与TOS;
攻击分析单元,用于根据FLOW分析的结果,若检测出符合某种分布式拒绝服务DDOS攻击类型的攻击特征,符合该攻击特征的数据流量为DDOS攻击流量,根据预先设置的DDOS攻击类型与防护安全策略之间的对应关系,自动生成拦截所述DDOS攻击流量的防护安全策略,并指示策略推送单元将生成的防护安全策略配置在防火墙设备上;以及响应于检测出符合所述某种分布式拒绝服务DDOS攻击类型的攻击特征消失,指示策略推送单元从所述防火墙设备上删除拦截所述DDOS攻击流量的防护安全策略;
策略配置单元,用于将攻击分析单元生成的防护安全策略配置在防火墙设备上。
上述系统的一个具体实施例中,所述FLOW技术信息还包括入接口属性,所述入接口属性包括所述数据流量区源于内部接口、外部接口或者非军事区DMZ接口的属性信息;
所述攻击分析单元,具体根据对所述数据流量的入接口属性分析结果,若检测出符合攻击特征的数据流量源于内部接口、外部接口与DMZ中的全部,则指示策略推送单元将生成的防护安全策略作为全局安全策略配置在防火墙设备上;若检测出符合攻击特征的数据流量不是源于内部接口、外部接口与DMZ中的全部,则指示策略推送单元将生成的防护安全策略配置在防火墙设备的相应接口上。
上述系统的一个具体实施例中,所述FLOW技术信息还包括入接口属性,所述入接口属性包括所述数据流量区源于信任接口、非信任接口或者非军事区DMZ接口的属性信息;
所述攻击分析单元,具体根据对所述数据流量的入接口属性分析结果,若检测出符合攻击特征的数据流量源于信任接口、非信任接口与DMZ中的全部,则指示策略推送单元将生成的防护安全策略作为全局安全策略配置在防火墙设备上;若检测出符合攻击特征的数据流量不是源于信任接口、非信任接口与DMZ中的全部,则指示策略推送单元将生成的防护安全策略配置在防火墙设备的相应接口上。
上述系统的一个具体实施例中,所述FLOW分析单元具体分别针对防火墙设备上的各接口,按照单位周期对穿越和到达防火墙设备的数据流量进行流FLOW进行循环检测分析,判断该接口上的数据流量是否大于预设阈值;
所述攻击分析单元具体在该接口上的数据流量大于预设阈值时,认为检测出符合某种分布式拒绝服务DDOS攻击类型的攻击特征。
上述系统的一个具体实施例中,所述攻击分析单元具体在配置防护安全策略的接口上在单位周期内的DDOS攻击流量不大于所述预设阈值时,认为检测出符合所述某种DDOS攻击类型的攻击特征消失。
基于本发明上述实施例提供的防火墙自动防御分布式拒绝服务攻击的方法和装置,对穿越和到达防火墙设备的数据流量进行FLOW分析,包括对数据流量进行协议类型、数据流量大小与FLOW技术信息分析,根据FLOW分析的结果,若检测出符合某种DDOS攻击类型的攻击特征,符合该攻击特征的数据流量为DDOS攻击流量,根据预先设置的DDOS攻击类型与防护安全策略之间的对应关系,自动生成拦截所述DDOS攻击流量的防护安全策略,并将生成的防护安全策略配置在防火墙设备上;响应于检测出DDOS攻击流量消失,从防火墙设备上删除拦截该DDOS攻击流量的防护安全策略。本发明实施例可以利用防火墙发送的FLOW分析到达和穿越防火墙的流量特征、事件特征,从而发现DDOS攻击流量,根据分析结果自动完成防护安全策略的构造,并添加到原防火墙的安全规则库中,从而实现了自动对DDOS攻击的防御,当攻击消失时能自动把防护安全策略从安全规则库中删除。本发明实施例无需在防火墙设备的安全规则库中提前配置防护安全策略,即可在通用防火墙设备上实现对DDOS攻击的自动防御,实现安全可靠,并且降低了防护安全策略对防火墙设备的资源占用率,也提高了防火墙的工作效率。
下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。
附图说明
构成说明书的一部分的附图描述了本发明的实施例,并且连同描述一起用于解释本发明的原理。
参照附图,根据下面的详细描述,可以更加清楚地理解本发明,其中:
图1为本发明防火墙自动防御DDOS攻击的方法一个实施例的流程图。
图2为本发明防火墙自动防御DDOS攻击的方法另一个实施例的流程图。
图3为本发明防火墙自动防御DDOS攻击的装置一个实施例的结构示意图。
具体实施方式
现在将参照附图来详细描述本发明的各种示例性实施例。应注意到:除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本发明的范围。
同时,应当明白,为了便于描述,附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。
以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本发明及其应用或使用的任何限制。
对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,所述技术、方法和设备应当被视为说明书的一部分。
在这里示出和讨论的所有示例中,任何具体值应被解释为仅仅是示例性的,而不是作为限制。因此,示例性实施例的其它示例可以具有不同的值。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步讨论。
图1为本发明防火墙自动防御DDOS攻击的方法一个实施例的流程图。如图1所示,该实施例防火墙自动防御分布式拒绝服务攻击的方法包括:
110,对穿越和到达防火墙设备的数据流量进行FLOW分析,包括对数据流量进行协议类型、数据流量大小与FLOW技术信息分析。
其中的FLOW技术信息包括:源互联网协议(IP)地址、目的IP地址、源端口号、目的端口号、三层协议类型与服务类型(TOS)。
120,根据FLOW分析的结果,若检测出符合某种DDOS攻击类型的攻击特征,则符合该攻击特征的数据流量为DDOS攻击流量,根据预先设置的DDOS攻击类型与防护安全策略之间的对应关系,自动生成拦截DDOS攻击流量的防护安全策略,并将生成的防护安全策略配置在防火墙设备上。
DDOS攻击都有一定的攻击特征,例如,特征是数据包协议类型为6(即:传输控制协议TCP),数据流大小为40--60字节,通常为TCP同步(SYN)Flood攻击。如果检测出DDOS攻击是TCP SYN Flood攻击,则自动生成拦截TCP SYN Flood的防护安全策略。如果根据攻击特征检测出是其他DDOS攻击,如用户数据报(UDP)Flood攻击、超文本传输协议读取(HTTPGet)Flood攻击等,则同样道理,生成拦截相应攻击的防护安全策略。
130,响应于检测出符合某种DDOS攻击类型的攻击特征消失,从防火墙设备上删除拦截DDOS攻击流量的防护安全策略。
本发明上述实施例提供的防火墙自动防御分布式拒绝服务攻击的方法,对穿越和到达防火墙设备的数据流量进行FLOW分析,包括对数据流量进行协议类型、数据流量大小与FLOW技术信息分析,根据FLOW分析的结果,若检测出符合某种DDOS攻击类型的攻击特征,符合该攻击特征的数据流量为DDOS攻击流量,根据预先设置的DDOS攻击类型与防护安全策略之间的对应关系,自动生成拦截所述DDOS攻击流量的防护安全策略,并将生成的防护安全策略配置在防火墙设备上;响应于检测出DDOS攻击流量消失,从防火墙设备上删除拦截该DDOS攻击流量的防护安全策略。本发明实施例可以利用防火墙发送的FLOW分析到达和穿越防火墙的流量特征、事件特征,从而发现DDOS攻击流量,根据分析结果自动完成防护安全策略的构造,并添加到原防火墙的安全规则库中,从而实现了自动对DDOS攻击的防御,当攻击消失时能自动把防护安全策略从安全规则库中删除。本发明实施例无需在防火墙设备的安全规则库中提前配置防护安全策略,即可在通用防火墙设备上实现对DDOS攻击的自动防御,实现安全可靠,并且降低了防护安全策略对防火墙设备的资源占用率,也提高了防火墙的工作效率。
在本发明的一个实施例中,FLOW信息是各主流网络设备厂商所提供的防火墙日志信息,例如,cisco公司的netflow,Juniper公司的cflow等信息,这种流技术信息可以包括但不限于:源IP地址、目的IP地址、源端口号、目的端口号、三层协议类型、TOS和入接口属性等字段,而到达和穿越防火墙的数据流量可以按照入接口属性进行区分,可以将数据流量区分成源于内部(inside)接口、外部(outside)接口、非军事区(即:隔离区,DMZ)接口的数据流量,或者将数据流量区分为源于信任(trust)接口、非信任(untrust)接口、非军事区接口的数据流量。其中的DMZ接口与军事区(也即:非信任区)和信任区相对应,作用是实现内外网分离。
在本发明防火墙自动防御DDOS攻击的方法另一个实施例中,FLOW技术信息还可以包括入接口属性,该入接口属性包括数据流量区源于内部接口、外部接口或者非军事区(DMZ)接口的属性信息。相应地,该实施例在操作120中,将生成的防护安全策略配置在防火墙设备上具体可以是:根据对数据流量的入接口属性分析结果,若检测出符合攻击特征的数据流量源于内部接口、外部接口与DMZ中的全部,则将生成的防护安全策略作为全局安全策略配置在防火墙设备上;否则,若检测出符合攻击特征的数据流量不是源于内部接口、外部接口与DMZ中的全部,则将生成的防护安全策略配置在防火墙设备的相应接口上。
在本发明防火墙自动防御DDOS攻击的方法又一个实施例中,FLOW技术信息还可以包括入接口属性,该入接口属性包括数据流量区源于信任接口、非信任接口或者非军事区(DMZ)接口的属性信息。相应地,该实施例在操作120中,将生成的防护安全策略配置在防火墙设备上具体可以是:根据对数据流量的入接口属性分析结果,若检测出符合攻击特征的数据流量源于内部接口、外部接口与DMZ中的全部,则将生成的防护安全策略作为全局安全策略配置在防火墙设备上;否则,若检测出符合攻击特征的数据流量不是源于信任接口、非信任接口与DMZ中的全部,则将生成的防护安全策略配置在防火墙设备的相应接口上。
根据本发明防火墙自动防御DDOS攻击的方法实施例的一个示例而非限制,对穿越和到达防火墙设备的数据流量进行流FLOW分析具体可以是:分别针对防火墙设备上的各接口,按照单位周期对穿越和到达防火墙设备的数据流量进行流FLOW进行循环检测分析,判断该接口上的数据流量是否大于预设阈值。相应地,若该接口上的数据流量大于预设阈值,则认为检测出符合某种DDOS攻击类型的攻击特征。
根据本发明防火墙自动防御DDOS攻击的方法实施例的另一个示例而非限制,若配置防护安全策略的接口上在单位周期内的DDOS攻击流量不大于预设阈值,则认为检测出符合某种DDOS攻击类型的攻击特征消失。
图2为本发明防火墙自动防御DDOS攻击的方法另一个实施例的流程图。如图2所示,该实施例防火墙自动防御分布式拒绝服务攻击的方法包括:
210,防火墙设备将穿越和到达该防火墙设备的数据流量(FLOW)发送到自动防御DDOS攻击的装置,其中一条FLOW包括源IP地址、目的IP地址、源端口号、目的端口号、三层协议的类型、TOS、入接口属性等字段。
220,自动防御DDOS攻击的装置以FLOW中的入接口属性作为分类依据,将数据流量区分为源于不同接口(内部接口/外部接口/非军事区接口,或者信任接口/非信任接口/非军事区接口)。这样做的目的是某些防护安全策略是配置在防火墙设备接口上的,某些防护安全策略是针对防火墙设备全局生效的。
230,循环检测单位周期时间内源于某个接口的数据流量,判断某种DDOS攻击流量是否大于预设阈值。
若某接口上的数据流量大于预设阈值,执行240的操作。否则,不执行本实施例的后续流程。
240,根据DDOS攻击流量大于预设阈值的接口范围,自动生成拦截该DDOS攻击流量的防护安全策略应于防火墙设备全局或者防火墙设备的相应接口上。
将防护安全策略应于防火墙设备全局,便可以过滤掉所有穿越该防火墙设备的相应DDOS攻击流量,而不需要考虑这种DDOS攻击流量从哪个接口进入防火墙设备。
250,循环检测单位周期时间内源于防护安全策略防护范围内某个接口的数据流量,判断该防护安全策略拦截的DDOS攻击流量是否大于预设阈值。
若某接口上的数据流量不大于预设阈值,执行260的操作。否则,若某接口上的数据流量大于预设阈值,不执行本实施例的后续流程。
260,从防火墙设备或其相应接口上删除该防护安全策略。
例如,对穿越和到达防火墙设备的数据流量进行FLOW分析获得的FLOW信息的部分字段如下表所示:
| 源IP | 目的IP | 源端口 | 目的端口 | 协议 | 入接口 | 流量大小 |
| 202.168.1.1 | 172.16.1.1 | 35555 | 53 | UDP | outside | 100MB |
| 202.168.1.2 | 172.16.1.2 | 35556 | 53 | UDP | outside | 200MB |
| 202.168.2.1 | 172.16.2.1 | 35557 | 80 | TCP | DMZ | 100MB |
| 202.168.2.2 | 172.16.2.2 | 35558 | 80 | TCP | DMZ | 100MB |
其中,第1、2条记录是多条FLOW的统计结果,根据攻击特征检测出是域名解析服务(DNS)FLOOD攻击;第3、4条记录检测结果是正常的HTTP访问,所以该类型的流量会继续放通。
假设预先设定的DNS FLOOD攻击的阈值是250MB,时间为5分钟。即在五分钟内当攻击流量大于250MB时,自动防御DDOS攻击的装置就认为应该阻断该攻击,自动在防火墙设备上添加过滤DNS FLOOD攻击的防护安全策略,如果在随后的五分钟内攻击流量小于250MB,则自动将过滤DNS FLOOD的攻击的防护安全策略删除。
图3为本发明防火墙自动防御DDOS攻击的装置一个实施例的结构示意图。该实施例防火墙自动防御DDOS攻击的装置可用于实现本发明上述各防火墙自动防御DDOS攻击的方法实施例。如图3所示,其包括FLOW分析单元、攻击分析单元与策略配置单元。其中:
FLOW分析单元,用于对穿越和到达防火墙设备的数据流量进行流FLOW分析,包括对数据流量进行协议类型、数据流量大小与FLOW技术信息分析。其中,FLOW技术信息包括:源IP地址、目的IP地址、源端口号、目的端口号、三层协议类型与TOS。
攻击分析单元,用于根据FLOW分析的结果,若检测出符合某种DDOS攻击类型的攻击特征,符合该攻击特征的数据流量为DDOS攻击流量,根据预先设置的DDOS攻击类型与防护安全策略之间的对应关系,自动生成拦截DDOS攻击流量的防护安全策略,并指示策略推送单元将生成的防护安全策略配置在防火墙设备上;以及响应于检测出符合某种分布式拒绝服务DDOS攻击类型的攻击特征消失,指示策略推送单元从防火墙设备上删除拦截DDOS攻击流量的防护安全策略。
策略配置单元,用于将攻击分析单元生成的防护安全策略配置在防火墙设备上。
本发明上述实施例提供的防火墙自动防御分布式拒绝服务攻击的装置,对穿越和到达防火墙设备的数据流量进行FLOW分析,包括对数据流量进行协议类型、数据流量大小与FLOW技术信息分析,根据FLOW分析的结果,若检测出符合某种DDOS攻击类型的攻击特征,符合该攻击特征的数据流量为DDOS攻击流量,根据预先设置的DDOS攻击类型与防护安全策略之间的对应关系,自动生成拦截所述DDOS攻击流量的防护安全策略,并将生成的防护安全策略配置在防火墙设备上;响应于检测出DDOS攻击流量消失,从防火墙设备上删除拦截该DDOS攻击流量的防护安全策略。本发明实施例可以利用防火墙发送的FLOW分析到达和穿越防火墙的流量特征、事件特征,从而发现DDOS攻击流量,根据分析结果自动完成防护安全策略的构造,并添加到原防火墙的安全规则库中,从而实现了自动对DDOS攻击的防御,当攻击消失时能自动把防护安全策略从安全规则库中删除。本发明实施例无需在防火墙设备的安全规则库中提前配置防护安全策略,即可在通用防火墙设备上实现对DDOS攻击的自动防御,实现安全可靠,并且降低了防护安全策略对防火墙设备的资源占用率,也提高了防火墙的工作效率。
在本发明防火墙自动防御DDOS攻击的装置一个实施例中,FLOW技术信息还可以包括入接口属性,该入接口属性包括数据流量区源于内部接口、外部接口或者非军事区DMZ接口的属性信息。相应地,该实施例中,攻击分析单元具体可以根据对数据流量的入接口属性分析结果,若检测出符合攻击特征的数据流量源于内部接口、外部接口与DMZ中的全部,则指示策略推送单元将生成的防护安全策略作为全局安全策略配置在防火墙设备上;若检测出符合攻击特征的数据流量不是源于内部接口、外部接口与DMZ中的全部,则指示策略推送单元将生成的防护安全策略配置在防火墙设备的相应接口上。
在本发明防火墙自动防御DDOS攻击的装置一个实施例中,FLOW技术信息还可以包括入接口属性,该入接口属性包括数据流量区源于信任接口、非信任接口或者非军事区DMZ接口的属性信息。相应地,该实施例中,攻击分析单元具体可以根据对数据流量的入接口属性分析结果,若检测出符合攻击特征的数据流量源于信任接口、非信任接口与DMZ中的全部,则指示策略推送单元将生成的防护安全策略作为全局安全策略配置在防火墙设备上;若检测出符合攻击特征的数据流量不是源于信任接口、非信任接口与DMZ中的全部,则指示策略推送单元将生成的防护安全策略配置在防火墙设备的相应接口上。
根据本发明防火墙自动防御DDOS攻击的装置实施例的一个示例而非限制,FLOW分析单元具体可以分别针对防火墙设备上的各接口,按照单位周期对穿越和到达防火墙设备的数据流量进行流FLOW进行循环检测分析,判断该接口上的数据流量是否大于预设阈值。相应地,攻击分析单元具体在该接口上的数据流量大于预设阈值时,认为检测出符合某种分布式拒绝服务DDOS攻击类型的攻击特征。
根据本发明防火墙自动防御DDOS攻击的装置实施例的另一个示例而非限制,攻击分析单元具体可以在配置防护安全策略的接口上在单位周期内的DDOS攻击流量不大于预设阈值时,认为检测出符合某种DDOS攻击类型的攻击特征消失。
本说明书中各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似的部分相互参见即可。对于装置实施例而言,由于其与方法实施例基本对应,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
可能以许多方式来实现本发明的方法、装置。例如,可通过软件、硬件、固件或者软件、硬件、固件的任何组合来实现本发明的方法和装置。用于所述方法的步骤的上述顺序仅是为了进行说明,本发明的方法的步骤不限于以上具体描述的顺序,除非以其它方式特别说明。此外,在一些实施例中,还可将本发明实施为记录在记录介质中的程序,这些程序包括用于实现根据本发明的方法的机器可读指令。因而,本发明还覆盖存储用于执行根据本发明的方法的程序的记录介质。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
本发明的描述是为了示例和描述起见而给出的,而并不是无遗漏的或者将本发明限于所公开的形式。很多修改和变化对于本领域的普通技术人员而言是显然的。选择和描述实施例是为了更好说明本发明的原理和实际应用,并且使本领域的普通技术人员能够理解本发明从而设计适于特定用途的带有各种修改的各种实施例。
Claims (4)
1.一种防火墙自动防御分布式拒绝服务攻击的方法,其特征在于,包括:
对穿越和到达防火墙设备的数据流量进行流FLOW分析,所述FLOW分析包括对所述数据流量进行数据流量大小与FLOW技术信息分析;所述FLOW技术信息包括:源IP地址、目的IP地址、源端口号、目的端口号、三层协议类型、服务类型TOS和入接口属性,其中,所述入接口属性包括所述数据流量源于内部接口、外部接口或者非军事区DMZ接口的属性信息,或者,包括所述数据流量区源于信任接口、非信任接口或者非军事区DMZ接口的属性信息;
根据FLOW分析的结果,若检测出符合某种分布式拒绝服务DDOS攻击类型的攻击特征,符合该攻击特征的数据流量为DDOS攻击流量,根据预先设置的DDOS攻击类型与防护安全策略之间的对应关系,自动生成拦截所述DDOS攻击流量的防护安全策略,并将生成的防护安全策略配置在防火墙设备上,其中,根据对所述数据流量的入接口属性分析结果,若检测出符合攻击特征的数据流量源于内部接口、外部接口与DMZ中的全部,或者,检测出符合攻击特征的数据流量源于信任接口、非信任接口与DMZ中的全部,则将生成的防护安全策略作为全局安全策略配置在防火墙设备上;若检测出符合攻击特征的数据流量不是源于内部接口、外部接口与DMZ中的全部,或者,检测出符合攻击特征的数据流量不是源于信任接口、非信任接口与DMZ中的全部,则将生成的防护安全策略配置在防火墙设备的相应接口上;
响应于检测出符合所述某种DDOS攻击类型的攻击特征消失,从所述防火墙设备上删除拦截所述DDOS攻击流量的防护安全策略;其中,配置防护安全策略的接口上在单位周期内的DDOS攻击流量不大于预设阈值,则认为检测出符合所述某种DDOS攻击类型的攻击特征消失。
2.根据权利要求1所述的方法,其特征在于,对穿越和到达防火墙设备的数据流量进行流FLOW分析包括:
分别针对防火墙设备上的各接口,按照单位周期对穿越和到达防火墙设备的数据流量进行流FLOW进行循环检测分析,判断该接口上的数据流量是否大于预设阈值;
所述检测出符合某种DDOS攻击类型的攻击特征包括:该接口上的数据流量大于预设阈值。
3.一种防火墙自动防御分布式拒绝服务攻击的装置,其特征在于,包括:
FLOW分析单元,用于对穿越和到达防火墙设备的数据流量进行流FLOW分析,所述FLOW分析包括对所述数据流量进行数据流量大小与FLOW技术信息分析;所述FLOW技术信息包括:源IP地址、目的IP地址、源端口号、目的端口号、三层协议类型、服务类型TOS和入接口属性,其中,所述入接口属性包括所述数据流量源于内部接口、外部接口或者非军事区DMZ接口的属性信息,或者,包括所述数据流量区源于信任接口、非信任接口或者非军事区DMZ接口的属性信息;
攻击分析单元,用于根据FLOW分析的结果,若检测出符合某种分布式拒绝服务DDOS攻击类型的攻击特征,符合该攻击特征的数据流量为DDOS攻击流量,根据预先设置的DDOS攻击类型与防护安全策略之间的对应关系,自动生成拦截所述DDOS攻击流量的防护安全策略,并指示策略推送单元将生成的防护安全策略配置在防火墙设备上;以及响应于检测出符合所述某种分布式拒绝服务DDOS攻击类型的攻击特征消失,指示策略推送单元从所述防火墙设备上删除拦截所述DDOS攻击流量的防护安全策略,其中,所述攻击分析单元,具体根据对所述数据流量的入接口属性分析结果,若检测出符合攻击特征的数据流量源于内部接口、外部接口与DMZ中的全部,或者,检测出符合攻击特征的数据流量源于信任接口、非信任接口与DMZ中的全部,则将生成的防护安全策略作为全局安全策略配置在防火墙设备上;若检测出符合攻击特征的数据流量不是源于内部接口、外部接口与DMZ中的全部,或者,检测出符合攻击特征的数据流量不是源于信任接口、非信任接口与DMZ中的全部,则将生成的防护安全策略配置在防火墙设备的相应接口上,所述攻击分析单元具体在配置防护安全策略的接口上在单位周期内的DDOS攻击流量不大于预设阈值时,认为检测出符合所述某种DDOS攻击类型的攻击特征消失;
策略配置单元,用于将攻击分析单元生成的防护安全策略配置在防火墙设备上。
4.根据权利要求3所述的装置,其特征在于,所述FLOW分析单元具体分别针对防火墙设备上的各接口,按照单位周期对穿越和到达防火墙设备的数据流量进行流FLOW进行循环检测分析,判断该接口上的数据流量是否大于预设阈值;
所述攻击分析单元具体在该接口上的数据流量大于预设阈值时,认为检测出符合某种分布式拒绝服务DDOS攻击类型的攻击特征。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310453267.1A CN104519016B (zh) | 2013-09-29 | 2013-09-29 | 防火墙自动防御分布式拒绝服务攻击的方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310453267.1A CN104519016B (zh) | 2013-09-29 | 2013-09-29 | 防火墙自动防御分布式拒绝服务攻击的方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104519016A CN104519016A (zh) | 2015-04-15 |
| CN104519016B true CN104519016B (zh) | 2018-09-14 |
Family
ID=52793757
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310453267.1A Active CN104519016B (zh) | 2013-09-29 | 2013-09-29 | 防火墙自动防御分布式拒绝服务攻击的方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104519016B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107360194A (zh) * | 2017-09-07 | 2017-11-17 | 北京邮电大学 | 网络攻击的处理方法和装置 |
Families Citing this family (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105471618A (zh) * | 2015-08-03 | 2016-04-06 | 汉柏科技有限公司 | 一种基于防火墙的网络安全的管理方法和系统 |
| CN106357685A (zh) * | 2016-10-28 | 2017-01-25 | 北京神州绿盟信息安全科技股份有限公司 | 一种防御分布式拒绝服务攻击的方法及装置 |
| CN108234404B (zh) | 2016-12-15 | 2020-08-25 | 腾讯科技(深圳)有限公司 | 一种DDoS攻击的防御方法、系统及相关设备 |
| CN106506547B (zh) * | 2016-12-23 | 2020-07-10 | 北京奇虎科技有限公司 | 针对拒绝服务攻击的处理方法、waf、路由器及系统 |
| CN106713358A (zh) * | 2017-02-04 | 2017-05-24 | 国家电网公司信息通信分公司 | 一种攻击性检测方法及装置 |
| CN108737351B (zh) * | 2017-04-25 | 2021-03-16 | 中国移动通信有限公司研究院 | 一种分布式拒绝服务攻击防御控制方法和调度设备 |
| CN109104399A (zh) * | 2017-11-23 | 2018-12-28 | 新华三信息安全技术有限公司 | 一种安全策略规则配置方法及装置 |
| CN108768935A (zh) * | 2018-04-12 | 2018-11-06 | 国家计算机网络与信息安全管理中心 | 支持三层环路流量检测以及抗ddos攻击的分流系统及方法 |
| CN109639674A (zh) * | 2018-12-11 | 2019-04-16 | 广州猎萌网络科技有限公司 | 一种访问安全控制方法 |
| CN111800408B (zh) * | 2020-06-30 | 2022-09-30 | 深信服科技股份有限公司 | 策略配置装置、终端的安全策略配置方法和可读存储介质 |
| CN111935145B (zh) * | 2020-08-10 | 2021-05-25 | 武汉思普崚技术有限公司 | 一种实现网络流量安全分析的硬件无关化方法及系统 |
| CN112491906B (zh) * | 2020-12-01 | 2022-07-15 | 中山职业技术学院 | 一种并行网络入侵检测系统及其控制方法 |
| CN112822211B (zh) * | 2021-02-06 | 2023-03-24 | 西安热工研究院有限公司 | 电力工控便携式自学习工业防火墙系统、装置及使用方法 |
| CN112929369B (zh) * | 2021-02-07 | 2023-04-07 | 辽宁科技大学 | 一种分布式实时DDoS攻击检测方法 |
| CN112866281B (zh) * | 2021-02-07 | 2023-04-07 | 辽宁科技大学 | 一种分布式实时DDoS攻击防护系统及方法 |
| CN113364797B (zh) * | 2021-06-18 | 2023-02-03 | 广东省新一代通信与网络创新研究院 | 一种防ddos攻击的网络系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102045320A (zh) * | 2009-10-19 | 2011-05-04 | 中兴通讯股份有限公司 | 安全策略的老化方法及装置 |
| CN103023924A (zh) * | 2012-12-31 | 2013-04-03 | 网宿科技股份有限公司 | 基于内容分发网络的云分发平台的DDoS攻击防护方法和系统 |
| CN103139184A (zh) * | 2011-12-02 | 2013-06-05 | 中国电信股份有限公司 | 智能网络防火墙设备及网络攻击防护方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20110138463A1 (en) * | 2009-12-07 | 2011-06-09 | Electronics And Telecommunications Research Institute | Method and system for ddos traffic detection and traffic mitigation using flow statistics |
-
2013
- 2013-09-29 CN CN201310453267.1A patent/CN104519016B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102045320A (zh) * | 2009-10-19 | 2011-05-04 | 中兴通讯股份有限公司 | 安全策略的老化方法及装置 |
| CN103139184A (zh) * | 2011-12-02 | 2013-06-05 | 中国电信股份有限公司 | 智能网络防火墙设备及网络攻击防护方法 |
| CN103023924A (zh) * | 2012-12-31 | 2013-04-03 | 网宿科技股份有限公司 | 基于内容分发网络的云分发平台的DDoS攻击防护方法和系统 |
Non-Patent Citations (1)
| Title |
|---|
| 基于抗DDoS的网络攻击检测与防御;谢峰;《中国优秀硕士学位论文全文数据库信息科技辑》;20090415;论文正文第27、36-39、46-47、54-57页 * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107360194A (zh) * | 2017-09-07 | 2017-11-17 | 北京邮电大学 | 网络攻击的处理方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104519016A (zh) | 2015-04-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104519016B (zh) | 防火墙自动防御分布式拒绝服务攻击的方法和装置 | |
| CN108289088A (zh) | 基于业务模型的异常流量检测系统及方法 | |
| CN101958883B (zh) | 一种基于Bloom Filter和开源内核防御SYN Flood攻击的方法 | |
| Hussein et al. | SDN security plane: An architecture for resilient security services | |
| Uribe et al. | Automatic analysis of firewall and network intrusion detection system configurations | |
| CN109347847A (zh) | 一种智慧城市信息安全保障系统 | |
| Naik et al. | Augmented windows fuzzy firewall for preventing denial of service attack | |
| Mubarakali et al. | A survey: Security threats and countermeasures in software defined networking | |
| Suthar et al. | A signature-based botnet (emotet) detection mechanism | |
| Ma et al. | A design of firewall based on feedback of intrusion detection system in cloud environment | |
| CN108040075B (zh) | 一种apt攻击检测系统 | |
| Feraudo et al. | Mitigating IoT Botnet DDoS Attacks through MUD and eBPF based Traffic Filtering | |
| Almutairi et al. | Survey of high interaction honeypot tools: Merits and shortcomings | |
| KR100770354B1 (ko) | IPv6 네트워크에서 공격자 호스트의 IP를 역추적하는방법 | |
| Homoliak et al. | Characteristics of buffer overflow attacks tunneled in HTTP traffic | |
| Ahmad et al. | Containment of fast scanning computer network worms | |
| CN109688136A (zh) | 一种伪造ip攻击行为的检测方法、系统及相关组件 | |
| Raj et al. | Security implementation through pcre signature over cloud network | |
| Nahar et al. | An improved Linux firewall using a hybrid frame of netfilter | |
| Sourour et al. | Ensuring security in depth based on heterogeneous network security technologies | |
| Gil | MULTOPS: A data structure for denial-of-service attack detection | |
| KR101072984B1 (ko) | 분산 서비스 거부 공격에 대한 공격 트래픽 방어 시스템 및 그 방법 | |
| Hendriks et al. | Flow-based detection of ipv6-specific network layer attacks | |
| KR20090118202A (ko) | 네트워크 계층별 검사를 통한 웹 보안 시스템 및 방법 | |
| Agrawal et al. | Proposed multi-layers intrusion detection system (MLIDS) model |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |