CN104753863B - 一种分布式拒绝服务攻击的防御方法、设备及系统 - Google Patents

一种分布式拒绝服务攻击的防御方法、设备及系统 Download PDF

Info

Publication number
CN104753863B
CN104753863B CN201310740701.4A CN201310740701A CN104753863B CN 104753863 B CN104753863 B CN 104753863B CN 201310740701 A CN201310740701 A CN 201310740701A CN 104753863 B CN104753863 B CN 104753863B
Authority
CN
China
Prior art keywords
resource
appliance
day
business
curve
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201310740701.4A
Other languages
English (en)
Other versions
CN104753863A (zh
Inventor
李江
张峰
付俊
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Mobile Communications Group Co Ltd
Original Assignee
China Mobile Communications Group Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Mobile Communications Group Co Ltd filed Critical China Mobile Communications Group Co Ltd
Priority to CN201310740701.4A priority Critical patent/CN104753863B/zh
Publication of CN104753863A publication Critical patent/CN104753863A/zh
Application granted granted Critical
Publication of CN104753863B publication Critical patent/CN104753863B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种分布式拒绝服务攻击的防御方法、设备及系统,该方法包括:检测被保护网络中的各业务的业务流量信息以及被保护网络中的各设备的设备资源信息;若在任一时刻,确定任一业务的业务流量不小于所述任一业务在所述任一时刻的预设流量阈值和/或确定任一设备的任一设备资源不小于所述任一设备的所述任一设备资源在所述任一时刻的预设资源阈值,则对访问被保护网络的网络流量进行流量清洗,并将清洗后的网络流量回引至所述被保护网络。在本方案中,由于可从网络流量和设备资源两个维度判断被保护网络是否遭受了DDoS攻击,因而可解决目前存在的小流量DDoS攻击行为难以被及时发现的问题,提高了检测DDoS攻击的及时性和准确性。

Description

一种分布式拒绝服务攻击的防御方法、设备及系统
技术领域
本发明涉及网络安全技术领域,尤其涉及一种DDoS(Distributed Denial ofService,分布式拒绝服务攻击)的防御方法、设备及系统。
背景技术
DDoS是网络中非常流行的一种攻击方式,其攻击形式多样,攻击技巧不断地提高。它不仅严重影响用户对互联网的访问,还会严重影响运营商网络的正常运营。具体地,DDoS通常采用大量“僵尸主机”或利用专业的攻击软件向受害主机发送大量看似合法的网络包,从而造成网络阻塞或服务器资源耗尽而导致拒绝服务。随着网络中“僵尸主机”的增加和各种DDoS黑客工具的不断发布,DDoS攻击的实施越来越容易,攻击事件呈上升趋势。
目前,业界通常采用以下方式对DDoS攻击进行监测:在被保护网络的出口处部署DDoS攻击监测清洗系统,监测网络中的流量和应用层连接;若监测到网络中的流量和/或应用层连接超过设定阈值,则启动流量清洗。逻辑上,DDoS攻击监测清洗系统主要可包括异常流量监测模块、流量牵引模块以及清洗模块。其中,所述异常流量监测模块可用于根据设定采样比采集网络流量信息,并对采集到的网络流的种类、流量、流向、地址、端口等信息进行统计,当发现流量异常时,即时告警并触发流量牵引模块;所述流量牵引模块,可用于将去往被保护网络的流量指向清洗模块;所述清洗模块可用于根据内置的算法识别DDoS攻击并拦截过滤攻击流量,以及,将过滤后的正常流量回注至被保护网络。
但是,由于现有DDoS攻击监测清洗系统通常是基于网络流量来监测DDoS攻击行为的,因此,对于某些精心构造的以小搏大的、与正常流量难以区分的应用层攻击(如cc攻击)来说,由于攻击者可以仅利用少量的HTTP GET请求来使得服务器消耗大量的数据库资源、造成DDoS攻击,因此,现有DDoS攻击监测清洗系统并不能够及时地对其进行识别,导致对DDoS攻击监测的准确性和及时性均不佳;再有,针对由“僵尸网络”发起的、IP地址分散的DDoS攻击来说,由于其数据包均是合法的、与正常流量也没有区别,因此,现有DDoS攻击监测清洗系统通常也难以对其进行及时地识别。
综上所述,由于现有DDoS攻击监测清洗系统通常是基于网络流量来监测DDoS攻击行为的,因此,对于地址分散或以小搏大等与正常流量难以区分的攻击行为来说,现有DDoS攻击监测清洗系统并不能够及时地对其进行识别,从而导致无法全面地识别出DDoS攻击,降低DDoS攻击监测的准确性和及时性。
发明内容
本发明实施例提供了一种DDoS的防御方法、设备及系统,用以解决目前存在的基于网络流量无法全面识别DDoS攻击、导致DDoS攻击监测的准确性和及时性较低的问题。
本发明实施例提供了一种DDoS的防御方法,包括:
检测被保护网络中的各业务的业务流量信息以及所述被保护网络中的各设备的设备资源信息;
若在任一时刻,确定检测到的任一业务的业务流量不小于所述任一业务在所述任一时刻的预设流量阈值和/或确定检测到的任一设备的任一设备资源不小于所述任一设备的所述任一设备资源在所述任一时刻的预设资源阈值,则对访问所述被保护网络的网络流量进行流量清洗,并将清洗后的网络流量回引至所述被保护网络。
进一步地,针对任一业务,通过以下方式确定所述任一业务在任一时刻的预设流量阈值:
根据所述被保护网络处于正常运行状态时所检测到的、设定周期内的所述任一业务每一天的业务流量信息,确定所述任一业务在所述设定周期内的每一天的业务流量曲线;对所确定的所述任一业务在所述设定周期内的每一天的业务流量曲线进行训练,得到所述任一业务每一天的正常业务流量曲线模型,并根据所述正常业务流量曲线模型确定所述任一业务在每一天的任一时刻的预设流量阈值;
针对任一设备的任一设备资源,通过以下方式确定所述任一设备的所述任一设备资源在任一时刻的预设资源阈值:
根据所述任一设备处于正常运行状态时所检测到的、设定周期内的所述任一设备的所述任一设备资源每一天的设备资源信息,确定所述任一设备的所述任一设备资源在所述设定周期内的每一天的设备资源曲线;对所确定的所述任一设备的所述任一设备资源在所述设定周期内的每一天的设备资源曲线进行训练,得到所述任一设备的所述任一设备资源每一天的正常设备资源曲线模型,并根据所述正常设备资源曲线模型确定所述任一设备的所述任一设备资源在每一天的任一时刻的预设资源阈值。
进一步地,在确定检测到的任一业务的业务流量不小于预先设定的与所述任一业务相对应的流量阈值和/或确定检测到的任一设备的任一设备资源不小于预先设定的与所述任一设备资源相对应的资源阈值之后,且对访问所述被保护网络的网络流量进行流量清洗之前,所述方法还包括:
根据在业务流量异常时间段内或设备资源异常时间段内检测到的、任一业务每一天的业务流量信息,确定所述任一业务在所述业务流量异常时间段内或设备资源异常时间段内的每一天的业务流量曲线,并对所确定的所述任一业务在所述业务流量异常时间段内或设备资源异常时间段内的每一天的业务流量曲线进行训练,得到所述任一业务在所述业务流量异常时间段内或设备资源异常时间段内的每一天的异常业务流量曲线模型;以及,
根据在业务流量异常时间段内或设备资源异常时间段内检测到的、任一设备的任一设备资源每一天的设备资源信息,确定所述任一设备的所述任一设备资源在所述业务流量异常时间段内或设备资源异常时间段内的每一天的设备资源曲线,并对所确定的所述任一设备的所述任一设备资源在所述业务流量异常时间段内或设备资源异常时间段内的每一天的设备资源曲线进行训练,得到所述任一设备的所述任一设备资源在所述业务流量异常时间段内或设备资源异常时间段内的每一天的异常设备资源曲线模型;
将由各业务每一天的正常业务流量曲线模型组成的正常业务流量曲线总模型以及由设定设备的各设备资源每一天的正常设备资源曲线模型组成的正常设备资源曲线总模型进行关联,得到第一关联模型,并将所述第一关联模型与第二关联模型进行对比分析,确定业务流量异常或设备资源异常时的攻击类型;
其中,所述第二关联模型是通过对由各业务每一天的异常业务流量曲线模型组成的异常业务流量曲线总模型以及由所述设定设备的各设备资源每一天的异常设备资源曲线模型组成的异常设备资源曲线总模型进行关联后所得到的。
进一步地,对访问所述被保护网络的网络流量进行流量清洗,包括:
根据所确定的业务流量异常或设备资源异常时的攻击类型,对访问所述被保护网络的网络流量进行流量清洗。
进一步地,所述设备资源至少包括CPU(中央处理器)使用率、内存使用率以及数据库查询频率中的一种或多种。
相应地,本发明实施例还提供了一种DDoS的防御设备,包括:
检测单元,用于检测被保护网络中的各业务的业务流量信息以及所述被保护网络中的各设备的设备资源信息;
判断单元,用于在任一时刻,判断所述检测单元检测到的任一业务的业务流量是否不小于所述任一业务在所述任一时刻的预设流量阈值和/或判断所述检测单元检测到的任一设备的任一设备资源是否不小于所述任一设备的所述任一设备资源在所述任一时刻的预设资源阈值;
清洗单元,用于在所述判断单元的至少一个判断结果为是时,对访问所述被保护网络的网络流量进行流量清洗,并将清洗后的网络流量回引至所述被保护网络。
进一步地,所述设备还包括流量模型建立模块、资源模型建立模块、流量阈值确定模块以及资源阈值确定模块,其中:
所述流量模型建立模块,用于针对任一业务,根据所述被保护网络处于正常运行状态时所检测到的、设定周期内的所述任一业务每一天的业务流量信息,确定所述任一业务在所述设定周期内的每一天的业务流量曲线,并对所确定的所述任一业务在所述设定周期内的每一天的业务流量曲线进行训练,得到所述任一业务每一天的正常业务流量曲线模型;
所述流量阈值确定模块,用于根据所述流量模型建立模块得到的所述任一业务每一天的正常业务流量曲线模型,确定所述任一业务在每一天的任一时刻的预设流量阈值;
所述资源模型建立模块,用于针对任一设备的任一设备资源,根据所述任一设备处于正常运行状态时所检测到的、设定周期内的所述任一设备的所述任一设备资源每一天的设备资源信息,确定所述任一设备的所述任一设备资源在所述设定周期内的每一天的设备资源曲线,并对所确定的所述任一设备的所述任一设备资源在所述设定周期内的每一天的设备资源曲线进行训练,得到所述任一设备的所述任一设备资源每一天的正常设备资源曲线模型;
所述资源阈值确定模块,用于根据所述资源模型建立模块得到的所述任一设备的所述任一设备资源每一天的正常设备资源曲线模型,确定所述任一设备的所述任一设备资源在每一天的任一时刻的预设资源阈值。
进一步地,所述设备还包括攻击类型分析模块:
所述流量模型建立模块,还用于根据在业务流量异常时间段内或设备资源异常时间段内检测到的、任一业务每一天的业务流量信息,确定所述任一业务在所述业务流量异常时间段内或设备资源异常时间段内的每一天的业务流量曲线,并对所确定的所述任一业务在所述业务流量异常时间段内或设备资源异常时间段内的每一天的业务流量曲线进行训练,得到所述任一业务在所述业务流量异常时间段内或设备资源异常时间段内的每一天的异常业务流量曲线模型;
所述资源模型建立模块,还用于根据在业务流量异常时间段内或设备资源异常时间段内检测到的、任一设备的任一设备资源每一天的设备资源信息,确定所述任一设备的所述任一设备资源在所述业务流量异常时间段内或设备资源异常时间段内的每一天的设备资源曲线,并对所确定的所述任一设备的所述任一设备资源在所述业务流量异常时间段内或设备资源异常时间段内的每一天的设备资源曲线进行训练,得到所述任一设备的所述任一设备资源在所述业务流量异常时间段内或设备资源异常时间段内的每一天的异常设备资源曲线模型;
所述攻击类型分析模块,用于将由各业务每一天的正常业务流量曲线模型组成的正常业务流量曲线总模型以及由设定设备的各设备资源每一天的正常设备资源曲线模型组成的正常设备资源曲线总模型进行关联,得到第一关联模型,并将所述第一关联模型与第二关联模型进行对比分析,确定业务流量异常或设备资源异常时的攻击类型;其中,所述第二关联模型是通过对由各业务每一天的异常业务流量曲线模型组成的异常业务流量曲线总模型以及由所述设定设备的各设备资源每一天的异常设备资源曲线模型组成的异常设备资源曲线总模型进行关联后所得到的。
进一步地,所述清洗单元,具体用于根据所述攻击类型分析模块所确定的业务流量异常或设备资源异常时的攻击类型,对访问所述被保护网络的网络流量进行流量清洗。
进一步地,所述设备资源至少包括中央处理器CPU使用率、内存使用率以及数据库查询频率中的一种或多种。
进一步地,本发明实施例还提供了一种DDoS的防御系统,包括至少一个DDoS防御设备以及位于被保护网络中的至少一个被保护设备,其中:
所述DDoS防御设备,用于检测被保护网络中的各业务的业务流量信息以及所述被保护网络中的各被保护设备的设备资源信息,以及,若在任一时刻,确定检测到的任一业务的业务流量不小于所述任一业务在所述任一时刻的预设流量阈值和/或确定检测到的任一被保护设备的任一设备资源不小于所述任一被保护设备的所述任一设备资源在所述任一时刻的预设资源阈值,则对访问所述被保护网络的网络流量进行流量清洗,并将清洗后的网络流量回引至所述被保护网络。
本发明有益效果如下:
本发明实施例提供了一种分布式拒绝服务攻击的防御方法、设备及系统,通过检测被保护网络中的各业务的业务流量信息以及被保护网络中的各设备的设备资源信息,并在任一时刻,通过判断检测到的任一业务的业务流量是否不小于所述任一业务在所述任一时刻的预设流量阈值和/或判断检测到的任一设备的任一设备资源是否不小于所述任一设备的所述任一设备资源在所述任一时刻的预设资源阈值的方式来检测DDoS攻击,即可从网络流量和设备资源两个维度来判断被保护网络是否遭受了DDoS攻击,因而可解决目前存在的地址分散或以小搏大等小流量DDoS攻击行为难以被及时发现的问题,提高了检测DDoS攻击的及时性和准确性。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简要介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1所示为本发明实施例一中所述DDoS防御方法的流程示意图;
图2所示为本发明实施例二中所述DDoS防御设备的结构示意图;
图3所示为本发明实施例三中所述DDoS防御系统的结构示意图。
具体实施方式
目前来说,DDoS攻击可大致分为两种,一种为利用较大网络流量击垮攻击目标、以使目标网络出现流量异常的DDoS攻击(目前,绝大多数DDoS攻击均属于此种攻击类型);一种为改进后的、利用较小网络流量发动的DDoS攻击,如以小搏大的应用层攻击(如cc攻击)或由“僵尸网络”发起的IP地址分散的DDoS攻击等,此时,被攻击的目标网络并不一定能够检测到明显的异常流量,因此,现有的基于网络流量来监测DDoS攻击行为的DDoS攻击监测清洗系统并不能够及时地对其进行识别,但是,由于此时目标网络中遭到攻击的设备的资源通常会出现异常,如CPU使用率、内存使用率、或数据库查询频率等一般会出现突增现象,因此,可考虑将设备的资源信息作为判断发生DDoS攻击的一个维度,来弥补仅基于网络流量来监测DDoS攻击行为时监测结果并不及时与准确的问题。
基于上述原理,本发明实施例提供了一种新的基于网络流量和设备资源的DDoS防御方法、设备及系统,通过检测被保护网络中的各业务的业务流量信息以及被保护网络中的各设备的设备资源信息,并在任一时刻,若确定检测到的任一业务的业务流量不小于所述任一业务在所述任一时刻的预设流量阈值和/或确定检测到的任一设备的任一设备资源不小于所述任一设备的所述任一设备资源在所述任一时刻的预设资源阈值,则对访问被保护网络的网络流量进行流量清洗,并将清洗后的网络流量回引至所述被保护网络,从而在实现了从网络流量和设备资源两个维度来判断被保护网络是否遭受了DDoS攻击的基础上,解决了目前存在的地址分散或以小搏大等小流量DDoS攻击行为难以被及时发现的问题,提高了检测DDoS攻击的及时性和准确性。
为了使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作进一步地详细描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
实施例一:
如图1所示,其为本发明实施例一中所述DDoS防御方法的流程示意图。所述DDoS防御方法可用于识别各种DDoS攻击,如利用较大网络流量击垮攻击目标、以使目标网络出现流量异常的DDoS攻击或改进后的、利用较小网络流量发动的DDoS攻击,如以小搏大的应用层攻击或由“僵尸网络”发起的IP地址分散的DDoS攻击等,本发明实施例对此不作任何限定。
具体地,所述DDoS防御方法可包括以下步骤:
步骤101:检测被保护网络中的各业务的业务流量信息以及所述被保护网络中的各设备的设备资源信息。
具体地,在本发明所述实施例中,可采用现有技术中常用的检测方式来检测被保护网络中的各业务的业务流量信息以及所述被保护网络中的各设备的设备资源信息,如通过检测出口路由器针对所述被保护网络中的各业务的业务流量的镜像流量的方式,来检测所述被保护网络中的各业务的业务流量信息;或,通过主动采集或被动接收所述被保护网络中的各设备实时或定期发送过来的设备资源信息的方式,检测所述被保护网络中的各设备的设备资源信息,本发明实施例对此不作任何限定。
进一步地,在本发明所述实施例中,所述设备资源至少可以包括CPU使用率、内存使用率以及数据库查询频率中的一种或多种,本发明实施例对此也不作任何限定。
步骤102:在任一时刻,判断检测到的任一业务的业务流量是否不小于所述任一业务在所述任一时刻的预设流量阈值和/或判断检测到的任一设备的任一设备资源是否不小于所述任一设备的所述任一设备资源在所述任一时刻的预设资源阈值,并在上述至少一个判断结果为是时,执行步骤103。
具体地,由于被保护网络中的各业务的业务流量可基于时间而动态变化,且每天的变化存在一定的规律,因此,在本发明所述实施例中,针对任一业务,可通过以下方式确定所述任一业务在任一时刻的预设流量阈值:
根据所述被保护网络处于正常运行状态时所检测到的、设定周期内的所述任一业务每一天的业务流量信息,确定所述任一业务在所述设定周期内的每一天的业务流量曲线;对所确定的所述任一业务在所述设定周期内的每一天的业务流量曲线进行训练,得到所述任一业务每一天的正常业务流量曲线模型,并根据所述正常业务流量曲线模型确定所述任一业务在每一天的任一时刻的预设流量阈值。
进一步地,作为本发明的一个实施例,各业务在设定周期内的每一天的业务流量曲线的形成过程可以如下所述:
选取一个设定周期M1(该设定周期M1通常以天为单位,并且为天的若干倍数,如一个月或两个月等)为流量曲线学习周期,每一天针对每一种业务在每分钟(也可以是每五分钟或每十分钟等)的业务流量总值形成业务流量曲线,如果被保护网络中存在N种业务,那么每天将形成N条业务流量曲线;针对任一业务在所述设定周期内的每一天的业务流量曲线,可采用神经网络BP算法(或其他训练算法)对其进行训练,以得到所述任一业务每一天的正常业务流量曲线模型。
具体地,针对标号为i的任一业务来说,所述任一业务i在所述设定周期M1内的每一天的业务流量曲线可表示为:
Fij=fij(t),其中,1=<i<=N,1=<j<=M1(在上述实例中,所述M1可为30或60),0=<t<=1440(单位为min),所述i、j以及M1均为正整数。
进一步地,所训练出的所述任一业务i每一天的正常业务流量曲线模型可表示为Fi=fi(t),本发明实施例对此不作赘述。
需要说明的是,在训练得到各业务在设定周期内的每一天的正常业务流量曲线模型后,可按照设定的排列顺序(如各业务的标号从大到小的排列顺序),将各业务在设定周期内的每一天的正常业务流量曲线模型进行组合,以得到所述被保护网络所对应的正常业务流量曲线总模型F,其中,所述F可表示为{F1,F2,……,FN},本发明实施例对此不作赘述。
再有需要说明的是,在本发明所述实施例中,进行业务流量曲线学习时所涉及到的所述设定周期通常可根据实际需求进行调整,本发明实施例对此不作任何限定。较优地,由于设定周期越长,所形成的正常业务流量曲线模型越能较好地或更为真实的反映被保护网络中的各业务的正常流量,因此,通常来说,所述设定周期可被设置为相对较大的数值,本发明实施例对此不作赘述。并且,由于被保护网络中的网络流量处于实时变化当中,因此,所形成的业务流量曲线模型也并不是固定不变的,需要根据实际情况,实时或定期重新学习以保证流量模型的准确性和即时性。
进一步地,在得到所述任一业务每一天的正常业务流量曲线模型后,可根据所述任一业务每一天的正常业务流量曲线模型确定所述任一业务在每一天的任一时刻的预设流量阈值;其中,所述任一业务在每一天的任一时刻的预设流量阈值可通过对所述任一业务在每一天的所述任一时刻的业务流量的基础上乘以合适的系数(如120%等)来得到,本发明实施例对此不作赘述。
进一步地,由于被保护网络中的任一设备的设备资源可基于时间而动态变化,且每天的变化存在一定的规律,因此,在本发明所述实施例中,针对被保护网络中的任一设备的任一设备资源,可通过以下方式确定所述任一设备的所述任一设备资源在任一时刻的预设资源阈值:
根据所述任一设备处于正常运行状态时所检测到的、设定周期内的所述任一设备的所述任一设备资源每一天的设备资源信息,确定所述任一设备的所述任一设备资源在所述设定周期内的每一天的设备资源曲线;对所确定的所述任一设备的所述任一设备资源在所述设定周期内的每一天的设备资源曲线进行训练,得到所述任一设备的所述任一设备资源每一天的正常设备资源曲线模型,并根据所述正常设备资源曲线模型确定所述任一设备的所述任一设备资源在每一天的任一时刻的预设资源阈值。
进一步地,作为本发明的一个实施例,针对指定的任一设备,所述任一设备的各设备资源在设定周期内的每一天的设备资源曲线的形成过程可以如下所述:
选取一个设定周期M2(该设定周期M2通常以天为单位,并且为天的若干倍数,如一个月或两个月等)为设备资源曲线学习周期,每一天针对每一类设备资源在每分钟(也可以是每五分钟或每十分钟等)的设备资源总值形成设备资源曲线,如果所述任一设备存在Z种设备资源,那么每天将形成Z条资源设备曲线;针对所述任一设备的任一设备资源在所述设定周期M2内的每一天的设备资源曲线,可采用神经网络BP算法(或其他训练算法)对其进行训练,以得到所述任一设备的所述任一设备资源每一天的正常设备资源曲线模型。
具体地,针对标号为i的所述任一设备的任一设备资源来说,所述任一设备的所述任一设备资源i在所述设定周期M2内的每一天的设备资源曲线可表示为:
Rij=rij(t);其中,1=<i<=Z,1=<j<=M2(在上述实例中,所述M2可为30或60),0=<t<=1440(单位为min),所述i、j以及M2均为正整数。
进一步地,所训练出的所述任一设备的所述任一设备资源i每一天的正常设备资源曲线模型可表示为Ri=ri(t),本发明实施例对此不作赘述。
需要说明的是,在训练得到所述任一设备的各设备资源在设定周期内的每一天的设备资源曲线模型后,可按照设定的排列顺序(如各设备资源的标号从大到小的排列顺序),将所述任一设备的各设备资源在设定周期内的每一天的设备资源曲线模型进行组合,以得到所述任一设备所对应的正常设备资源曲线总模型R,其中,所述R可表示为{R1,R2,……,RN},本发明实施例对此不作赘述。
再有需要说明的是,在本发明所述实施例中,进行设备资源流量曲线学习时所涉及到的所述设定周期通常可根据实际需求进行调整,本发明实施例对此不作任何限定。较优地,由于设定周期越长,所形成的正常设备资源流量曲线模型越能较好地或更为真实的反映被保护网络中各设备的设备资源,因此,通常来说,所述设定周期可被设置为相对较大的数值,本发明实施例对此不作赘述。并且,由于被保护网络中的各设备的各设备资源均处于实时变化当中,因此,所形成的设备资源曲线模型也并不是固定不变的,需要根据实际情况,实时或定期重新学习以保证设备资源模型的准确性和即时性。
进一步地,在得到所述任一设备的所述任一设备资源每一天的正常设备资源曲线模型后,可根据所述任一设备的所述任一设备资源每一天的正常设备资源曲线模型确定所述任一设备的所述任一设备资源在每一天的任一时刻的预设资源阈值;其中,所述任一设备的所述任一设备资源在每一天的任一时刻的预设资源阈值可通过对所述任一设备的所述任一设备资源在每一天的任一时刻的设备资源的基础上乘以合适的系数(如120%等)来得到,本发明实施例对此不作赘述。
步骤103:对访问所述被保护网络的网络流量进行流量清洗,并将清洗后的网络流量回引至所述被保护网络。
具体地,若在任一时刻,确定检测到的任一业务的业务流量不小于所述任一业务在所述任一时刻的预设流量阈值和/或确定检测到的任一设备的任一设备资源不小于所述任一设备的所述任一设备资源在所述任一时刻的预设资源阈值,则可确定可能出现了DDoS攻击行为,因此,此时,可将访问所述被保护网络的网络流量牵引至相应地DDoS防御设备,以通过DDoS防御设备对访问所述被保护网络的网络流量进行流量清洗,并在清洗完毕后,将清洗后的正常网络流量回引至所述被保护网络。
进一步地,在本发明所述实施例中,若在任一时刻,确定检测到的任一业务的业务流量不小于所述任一业务在所述任一时刻的预设流量阈值和/或确定检测到的任一设备的任一设备资源不小于所述任一设备的所述任一设备资源在所述任一时刻的预设资源阈值,则还可进行告警,以通知网络管理员及时对访问所述被保护网络的网络流量进行流量清洗,达到提高DDoS防御的及时性的目的。
进一步地,在本发明所述实施例中,为了进一步提高异常流量清洗的精准性,在确定检测到的任一业务的业务流量不小于预先设定的与所述任一业务相对应的流量阈值和/或确定检测到的任一设备的任一设备资源不小于预先设定的与所述任一设备资源相对应的资源阈值之后,且对访问所述被保护网络的网络流量进行流量清洗之前,所述方法还可以包括:
根据在业务流量异常时间段内或设备资源异常时间段内检测到的、任一业务每一天的业务流量信息,确定所述任一业务在所述业务流量异常时间段内或设备资源异常时间段内的每一天的业务流量曲线,并对所确定的所述任一业务在所述业务流量异常时间段内或设备资源异常时间段内的每一天的业务流量曲线进行训练,得到所述任一业务在所述业务流量异常时间段内或设备资源异常时间段内的每一天的异常业务流量曲线模型;以及,
根据在业务流量异常时间段内或设备资源异常时间段内检测到的、任一设备的任一设备资源每一天的设备资源信息,确定所述任一设备的所述任一设备资源在所述业务流量异常时间段内或设备资源异常时间段内的每一天的设备资源曲线,并对所确定的所述任一设备的所述任一设备资源在所述业务流量异常时间段内或设备资源异常时间段内的每一天的设备资源曲线进行训练,得到所述任一设备的所述任一设备资源在所述业务流量异常时间段内或设备资源异常时间段内的每一天的异常设备资源曲线模型;
将由各业务每一天的正常业务流量曲线模型组成的正常业务流量曲线总模型以及由设定设备的各设备资源每一天的正常设备资源曲线模型组成的正常设备资源曲线总模型进行关联,得到第一关联模型,并将所述第一关联模型与第二关联模型进行对比分析,确定业务流量异常或设备资源异常时可能的攻击类型;其中,所述第二关联模型是通过对由各业务每一天的异常业务流量曲线模型组成的异常业务流量曲线总模型以及由所述设定设备的各设备资源每一天的异常设备资源曲线模型组成的异常设备资源曲线总模型进行关联后所得到的。
例如,cc攻击是典型的以小搏大的攻击行为,它不断地向目标服务器发送需要执行大量数据库查询的请求、因而可达到占用数据库连接池,进而达到对目标服务器进行攻击目的,其特点是IP地址分散、流量真实有效、需要大量数据库操作。因此,当检测到的HTTP业务流量小幅度高于设定阈值(可能尚未到达告警的阈值)而数据库查询率大大高过设定的告警设备资源阈值时,可确定极有可能是发生了cc攻击。
相应地,在本发明所述实施例中,对访问所述被保护网络的网络流量进行流量清洗,可以包括:
根据所确定的业务流量异常或设备资源异常时的攻击类型,对访问所述被保护网络的网络流量进行流量清洗,以进一步达到提高异常流量清洗的精准性的目的。
本发明实施例一提供了一种基于网络流量和设备资源的DDoS防御方法,通过检测被保护网络中的各业务的业务流量信息以及被保护网络中的各设备的设备资源信息,并在任一时刻,若确定检测到的任一业务的业务流量不小于所述任一业务在所述任一时刻的预设流量阈值和/或确定检测到的任一设备的任一设备资源不小于所述任一设备的所述任一设备资源在所述任一时刻的预设资源阈值,则对访问被保护网络的网络流量进行流量清洗,并将清洗后的网络流量回引至所述被保护网络,从而在实现了从网络流量和设备资源两个维度来判断被保护网络是否遭受了DDoS攻击的基础上,解决了目前存在的地址分散或以小搏大等小流量DDoS攻击行为难以被及时发现的问题,提高了检测DDoS攻击的及时性和准确性。
进一步地,由于在本发明所述实施例中,可通过对提取到的业务流量曲线模型和设备资源曲线模型进行联合分析,通过业务流量和设备资源的特征,准确判断出攻击类型,因此,还可进一步达到对DDoS攻击的及时发现和对DDoS流量的精准清洗的目的。
实施例二:
如图2所示,其为本发明实施例二中所述DDoS防御设备的结构示意图,所述DDoS防御设备可用于识别各种DDoS攻击,如利用较大网络流量击垮攻击目标、以使目标网络出现流量异常的DDoS攻击或改进后的、利用较小网络流量发动的DDoS攻击,如以小搏大的应用层攻击或由“僵尸网络”发起的IP地址分散的DDoS攻击等,本发明实施例对此不作任何限定。再有需要说明的是,所述DDoS防御设备通常可根据实际需要旁路部署在任意的被保护网络的出口处(以独立设备或集成在出口路由器等设备中的集成设备的形式表示),对进入所述被保护网络的网络流量进行监测和清洗,本发明实施例对此也不作任何限定。
具体地,所述DDoS防御设备可包括检测单元11、判断单元12以及清洗单元13,其中:
所述检测单元11可用于检测被保护网络中的各业务的业务流量信息以及所述被保护网络中的各设备的设备资源信息;其中,所述设备资源至少可以包括CPU使用率、内存使用率以及数据库查询频率中的一种或多种,本发明实施例对此不作任何限定。
所述判断单元12可用于在任一时刻,判断所述检测单元11检测到的任一业务的业务流量是否不小于所述任一业务在所述任一时刻的预设流量阈值和/或判断所述检测单元检测到的任一设备的任一设备资源是否不小于所述任一设备的所述任一设备资源在所述任一时刻的预设资源阈值;
所述清洗单元13可用于在所述判断单元12的至少一个判断结果为是时,对访问所述被保护网络的网络流量进行流量清洗,并将清洗后的网络流量回引至所述被保护网络。
进一步地,所述设备还可以包括流量模型建立模块14、资源模型建立模块15、流量阈值确定模块16以及资源阈值确定模块17,其中:
所述流量模型建立模块14可用于针对任一业务,根据所述被保护网络处于正常运行状态时所检测到的、设定周期内的所述任一业务每一天的业务流量信息,确定所述任一业务在所述设定周期内的每一天的业务流量曲线,并对所确定的所述任一业务在所述设定周期内的每一天的业务流量曲线进行训练,得到所述任一业务每一天的正常业务流量曲线模型;
所述流量阈值确定模块16可用于根据所述流量模型建立模块14得到的所述任一业务每一天的正常业务流量曲线模型,确定所述任一业务在每一天的任一时刻的预设流量阈值;具体地,所述任一业务在每一天的任一时刻的预设流量阈值可通过对所述任一业务在每一天的所述任一时刻的业务流量的基础上乘以合适的系数(如120%等)来得到,本发明实施例对此不作赘述。
所述资源模型建立模块15可用于针对任一设备的任一设备资源,根据所述任一设备处于正常运行状态时所检测到的、设定周期内的所述任一设备的所述任一设备资源每一天的设备资源信息,确定所述任一设备的所述任一设备资源在所述设定周期内的每一天的设备资源曲线,并对所确定的所述任一设备的所述任一设备资源在所述设定周期内的每一天的设备资源曲线进行训练,得到所述任一设备的所述任一设备资源每一天的正常设备资源曲线模型;
所述资源阈值确定模块17可用于根据所述资源模型建立模块16得到的所述任一设备的所述任一设备资源每一天的正常设备资源曲线模型,确定所述任一设备的所述任一设备资源在每一天的任一时刻的预设资源阈值;具体地,所述任一设备的所述任一设备资源在每一天的任一时刻的预设资源阈值可通过对所述任一设备的所述任一设备资源在每一天的任一时刻的设备资源的基础上乘以合适的系数(如120%等)来得到,本发明实施例对此不作赘述。
再有需要说明的是,在本发明所述实施例中,进行业务流量曲线学习时或进行设备资源流量曲线学习时所涉及到的设定周期通常可根据实际需求进行调整,本发明实施例对此不作任何限定。较优地,由于设定周期越长,所形成的正常业务流量曲线模型或正常设备资源流量曲线模型越能较好地或更为真实的反映被保护网络中的各业务的正常流量或被保护网络中各设备的设备资源,因此,通常来说,所述设定周期可被设置为相对较大的数值,本发明实施例对此不作赘述。并且,由于被保护网络中的网络流量或被保护网络中的各设备的各设备资源处于实时变化当中,因此,所形成的业务流量曲线模型或设备资源曲线模型也并不是固定不变的,需要根据实际情况,实时或定期重新学习以保证流量模型的准确性和即时性。
进一步地,所述设备还可以包括攻击类型分析模块18,其中:
所述流量模型建立模块14还可用于根据在业务流量异常时间段内或设备资源异常时间段内检测到的、任一业务每一天的业务流量信息,确定所述任一业务在所述业务流量异常时间段内或设备资源异常时间段内的每一天的业务流量曲线,并对所确定的所述任一业务在所述业务流量异常时间段内或设备资源异常时间段内的每一天的业务流量曲线进行训练,得到所述任一业务在所述业务流量异常时间段内或设备资源异常时间段内的每一天的异常业务流量曲线模型;
所述资源模型建立模块15还可用于根据在业务流量异常时间段内或设备资源异常时间段内检测到的、任一设备的任一设备资源每一天的设备资源信息,确定所述任一设备的所述任一设备资源在所述业务流量异常时间段内或设备资源异常时间段内的每一天的设备资源曲线,并对所确定的所述任一设备的所述任一设备资源在所述业务流量异常时间段内或设备资源异常时间段内的每一天的设备资源曲线进行训练,得到所述任一设备的所述任一设备资源在所述业务流量异常时间段内或设备资源异常时间段内的每一天的异常设备资源曲线模型;
所述攻击类型分析模块18可用于将由各业务每一天的正常业务流量曲线模型组成的正常业务流量曲线总模型以及由设定设备的各设备资源每一天的正常设备资源曲线模型组成的正常设备资源曲线总模型进行关联,得到第一关联模型,并将所述第一关联模型与第二关联模型进行对比分析,确定业务流量异常或设备资源异常时可能的攻击类型;其中,所述第二关联模型是通过对由各业务每一天的异常业务流量曲线模型组成的异常业务流量曲线总模型以及由所述设定设备的各设备资源每一天的异常设备资源曲线模型组成的异常设备资源曲线总模型进行关联后所得到的。
例如,cc攻击是典型的以小搏大的攻击行为,它不断地向目标服务器发送需要执行大量数据库查询的请求、因而可达到占用数据库连接池,进而达到对目标服务器进行攻击目的,其特点是IP地址分散、流量真实有效、需要大量数据库操作。因此,当检测到的HTTP业务流量小幅度高于设定阈值(可能尚未到达告警的阈值)而数据库查询率大大高过设定的告警设备资源阈值时,可确定极有可能是发生了cc攻击。
进一步地,所述清洗单元13具体可用于根据所述攻击类型分析模块18所确定的业务流量异常或设备资源异常时的攻击类型,对访问所述被保护网络的网络流量进行流量清洗,以进一步达到提高异常流量清洗的精准性的目的。
本发明实施例二提供了一种基于网络流量和设备资源的DDoS防御设备,通过检测被保护网络中的各业务的业务流量信息以及被保护网络中的各设备的设备资源信息,并在任一时刻,若确定检测到的任一业务的业务流量不小于所述任一业务在所述任一时刻的预设流量阈值和/或确定检测到的任一设备的任一设备资源不小于所述任一设备的所述任一设备资源在所述任一时刻的预设资源阈值,则对访问被保护网络的网络流量进行流量清洗,并将清洗后的网络流量回引至所述被保护网络,从而在实现了从网络流量和设备资源两个维度来判断被保护网络是否遭受了DDoS攻击的基础上,解决了目前存在的地址分散或以小搏大等小流量DDoS攻击行为难以被及时发现的问题,提高了检测DDoS攻击的及时性和准确性。
进一步地,由于在本发明所述实施例中,可通过对提取到的业务流量曲线模型和设备资源曲线模型进行联合分析,通过业务流量和设备资源的特征,准确判断出攻击类型,因此,还可进一步达到对DDoS攻击的及时发现和对DDoS流量的精准清洗的目的。
实施例三:
如图3所示,其为本发明实施例三中所述DDoS防御系统的结构示意图,所述DDoS防御系统可用于识别各种DDoS攻击,如利用较大网络流量击垮攻击目标、以使目标网络出现流量异常的DDoS攻击或改进后的、利用较小网络流量发动的DDoS攻击,如以小搏大的应用层攻击或由“僵尸网络”发起的IP地址分散的DDoS攻击等,本发明实施例对此不作任何限定。再有需要说明的是,所述DDoS防御系统通常可根据实际需要旁路部署在任意的被保护网络的出口处,对进入所述被保护网络的网络流量进行监测和清洗,本发明实施例对此也不作任何限定。
具体地,所述DDoS防御系统可包括至少一个DDoS防御设备21以及位于被保护网络22中的至少一个被保护设备23,其中:
所述DDoS防御设备21可用于检测被保护网络22中的各业务的业务流量信息以及所述被保护网络22中的各被保护设备23的设备资源信息,以及,若在任一时刻,确定检测到的任一业务的业务流量不小于所述任一业务在所述任一时刻的预设流量阈值和/或确定检测到的任一被保护设备23的任一设备资源不小于所述任一被保护设备23的所述任一设备资源在所述任一时刻的预设资源阈值,则对访问所述被保护网络22的网络流量进行流量清洗,并将清洗后的网络流量回引至所述被保护网络22。
具体地,在本发明所述实施例中,所述DDoS防御设备21可用于采用现有技术中常用的检测方式来检测被保护网络中的各业务的业务流量信息以及所述被保护网络中的各设备的设备资源信息,如通过检测出口路由器针对所述被保护网络中的各业务的业务流量的镜像流量的方式,来检测所述被保护网络中的各业务的业务流量信息;或,通过主动采集或被动接收所述被保护网络中的各设备实时或定期发送过来的设备资源信息的方式,检测所述被保护网络中的各设备的设备资源信息,本发明实施例对此不作任何限定。
需要说明的是,所述DDoS防御设备21通常可根据实际需要旁路部署在任意的被保护网络的出口处(以独立设备或集成在出口路由器等设备中的集成设备的形式表示),对进入所述被保护网络的网络流量进行监测和清洗,本发明实施例对此也不作任何限定。再有需要说明的是,所述DDoS防御设备21的具体结构和具体功能可分别与本发明实施例二中的所述的DDoS防御设备的具体结构和具体功能相同,本发明实施例对此不再赘述。
本发明实施例三提供了一种基于网络流量和设备资源的DDoS防御系统,通过检测被保护网络中的各业务的业务流量信息以及被保护网络中的各设备的设备资源信息,并在任一时刻,若确定检测到的任一业务的业务流量不小于所述任一业务在所述任一时刻的预设流量阈值和/或确定检测到的任一设备的任一设备资源不小于所述任一设备的所述任一设备资源在所述任一时刻的预设资源阈值,则对访问被保护网络的网络流量进行流量清洗,并将清洗后的网络流量回引至所述被保护网络,从而在实现了从网络流量和设备资源两个维度来判断被保护网络是否遭受了DDoS攻击的基础上,解决了目前存在的地址分散或以小搏大等小流量DDoS攻击行为难以被及时发现的问题,提高了检测DDoS攻击的及时性和准确性。
进一步地,由于在本发明所述实施例中,可通过对提取到的业务流量曲线模型和设备资源曲线模型进行联合分析,通过业务流量和设备资源的特征,准确判断出攻击类型,因此,还可进一步达到对DDoS攻击的及时发现和对DDoS流量的精准清洗的目的。
本领域技术人员应明白,本发明的实施例可提供为方法、装置(设备)、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、装置(设备)和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。

Claims (7)

1.一种分布式拒绝服务攻击DDoS的防御方法,其特征在于,包括:
检测被保护网络中的各业务的业务流量信息以及所述被保护网络中的各设备的设备资源信息;
若在任一时刻,确定检测到的任一业务的业务流量不小于所述任一业务在所述任一时刻的预设流量阈值和/或确定检测到的任一设备的任一设备资源不小于所述任一设备的所述任一设备资源在所述任一时刻的预设资源阈值,则对访问所述被保护网络的网络流量进行流量清洗,并将清洗后的网络流量回引至所述被保护网络;
其中,针对任一业务,通过以下方式确定所述任一业务在任一时刻的预设流量阈值:
根据所述被保护网络处于正常运行状态时所检测到的、设定周期内的所述任一业务每一天的业务流量信息,确定所述任一业务在所述设定周期内的每一天的业务流量曲线;对所确定的所述任一业务在所述设定周期内的每一天的业务流量曲线进行训练,得到所述任一业务每一天的正常业务流量曲线模型,并根据所述正常业务流量曲线模型确定所述任一业务在每一天的任一时刻的预设流量阈值;
针对任一设备的任一设备资源,通过以下方式确定所述任一设备的所述任一设备资源在任一时刻的预设资源阈值:
根据所述任一设备处于正常运行状态时所检测到的、设定周期内的所述任一设备的所述任一设备资源每一天的设备资源信息,确定所述任一设备的所述任一设备资源在所述设定周期内的每一天的设备资源曲线;对所确定的所述任一设备的所述任一设备资源在所述设定周期内的每一天的设备资源曲线进行训练,得到所述任一设备的所述任一设备资源每一天的正常设备资源曲线模型,并根据所述正常设备资源曲线模型确定所述任一设备的所述任一设备资源在每一天的任一时刻的预设资源阈值;
其中,在确定检测到的任一业务的业务流量不小于预先设定的与所述任一业务相对应的流量阈值和/或确定检测到的任一设备的任一设备资源不小于预先设定的与所述任一设备资源相对应的资源阈值之后,且对访问所述被保护网络的网络流量进行流量清洗之前,所述方法还包括:
根据在业务流量异常时间段内或设备资源异常时间段内检测到的、任一业务每一天的业务流量信息,确定所述任一业务在所述业务流量异常时间段内或设备资源异常时间段内的每一天的业务流量曲线,并对所确定的所述任一业务在所述业务流量异常时间段内或设备资源异常时间段内的每一天的业务流量曲线进行训练,得到所述任一业务在所述业务流量异常时间段内或设备资源异常时间段内的每一天的异常业务流量曲线模型;以及,
根据在业务流量异常时间段内或设备资源异常时间段内检测到的、任一设备的任一设备资源每一天的设备资源信息,确定所述任一设备的所述任一设备资源在所述业务流量异常时间段内或设备资源异常时间段内的每一天的设备资源曲线,并对所确定的所述任一设备的所述任一设备资源在所述业务流量异常时间段内或设备资源异常时间段内的每一天的设备资源曲线进行训练,得到所述任一设备的所述任一设备资源在所述业务流量异常时间段内或设备资源异常时间段内的每一天的异常设备资源曲线模型;
将由各业务每一天的正常业务流量曲线模型组成的正常业务流量曲线总模型以及由设定设备的各设备资源每一天的正常设备资源曲线模型组成的正常设备资源曲线总模型进行关联,得到第一关联模型,并将所述第一关联模型与第二关联模型进行对比分析,确定业务流量异常或设备资源异常时的攻击类型;
其中,所述第二关联模型是通过对由各业务每一天的异常业务流量曲线模型组成的异常业务流量曲线总模型以及由所述设定设备的各设备资源每一天的异常设备资源曲线模型组成的异常设备资源曲线总模型进行关联后所得到的。
2.如权利要求1所述的防御方法,其特征在于,对访问所述被保护网络的网络流量进行流量清洗,包括:
根据所确定的业务流量异常或设备资源异常时的攻击类型,对访问所述被保护网络的网络流量进行流量清洗。
3.如权利要求1~2任一所述的防御方法,其特征在于,
所述设备资源至少包括中央处理器CPU使用率、内存使用率以及数据库查询频率中的一种或多种。
4.一种分布式拒绝服务攻击DDoS的防御设备,其特征在于,包括:
检测单元,用于检测被保护网络中的各业务的业务流量信息以及所述被保护网络中的各设备的设备资源信息;
判断单元,用于在任一时刻,判断所述检测单元检测到的任一业务的业务流量是否不小于所述任一业务在所述任一时刻的预设流量阈值和/或判断所述检测单元检测到的任一设备的任一设备资源是否不小于所述任一设备的所述任一设备资源在所述任一时刻的预设资源阈值;
清洗单元,用于在所述判断单元的至少一个判断结果为是时,对访问所述被保护网络的网络流量进行流量清洗,并将清洗后的网络流量回引至所述被保护网络;
其中,所述设备还包括流量模型建立模块、资源模型建立模块、流量阈值确定模块以及资源阈值确定模块,其中:
所述流量模型建立模块,用于针对任一业务,根据所述被保护网络处于正常运行状态时所检测到的、设定周期内的所述任一业务每一天的业务流量信息,确定所述任一业务在所述设定周期内的每一天的业务流量曲线,并对所确定的所述任一业务在所述设定周期内的每一天的业务流量曲线进行训练,得到所述任一业务每一天的正常业务流量曲线模型;
所述流量阈值确定模块,用于根据所述流量模型建立模块得到的所述任一业务每一天的正常业务流量曲线模型,确定所述任一业务在每一天的任一时刻的预设流量阈值;
所述资源模型建立模块,用于针对任一设备的任一设备资源,根据所述任一设备处于正常运行状态时所检测到的、设定周期内的所述任一设备的所述任一设备资源每一天的设备资源信息,确定所述任一设备的所述任一设备资源在所述设定周期内的每一天的设备资源曲线,并对所确定的所述任一设备的所述任一设备资源在所述设定周期内的每一天的设备资源曲线进行训练,得到所述任一设备的所述任一设备资源每一天的正常设备资源曲线模型;
所述资源阈值确定模块,用于根据所述资源模型建立模块得到的所述任一设备的所述任一设备资源每一天的正常设备资源曲线模型,确定所述任一设备的所述任一设备资源在每一天的任一时刻的预设资源阈值;
其中,所述设备还包括攻击类型分析模块:
所述流量模型建立模块,还用于根据在业务流量异常时间段内或设备资源异常时间段内检测到的、任一业务每一天的业务流量信息,确定所述任一业务在所述业务流量异常时间段内或设备资源异常时间段内的每一天的业务流量曲线,并对所确定的所述任一业务在所述业务流量异常时间段内或设备资源异常时间段内的每一天的业务流量曲线进行训练,得到所述任一业务在所述业务流量异常时间段内或设备资源异常时间段内的每一天的异常业务流量曲线模型;
所述资源模型建立模块,还用于根据在业务流量异常时间段内或设备资源异常时间段内检测到的、任一设备的任一设备资源每一天的设备资源信息,确定所述任一设备的所述任一设备资源在所述业务流量异常时间段内或设备资源异常时间段内的每一天的设备资源曲线,并对所确定的所述任一设备的所述任一设备资源在所述业务流量异常时间段内或设备资源异常时间段内的每一天的设备资源曲线进行训练,得到所述任一设备的所述任一设备资源在所述业务流量异常时间段内或设备资源异常时间段内的每一天的异常设备资源曲线模型;
所述攻击类型分析模块,用于将由各业务每一天的正常业务流量曲线模型组成的正常业务流量曲线总模型以及由设定设备的各设备资源每一天的正常设备资源曲线模型组成的正常设备资源曲线总模型进行关联,得到第一关联模型,并将所述第一关联模型与第二关联模型进行对比分析,确定业务流量异常或设备资源异常时的攻击类型;其中,所述第二关联模型是通过对由各业务每一天的异常业务流量曲线模型组成的异常业务流量曲线总模型以及由所述设定设备的各设备资源每一天的异常设备资源曲线模型组成的异常设备资源曲线总模型进行关联后所得到的。
5.如权利要求4所述的防御设备,其特征在于,
所述清洗单元,具体用于根据所述攻击类型分析模块所确定的业务流量异常或设备资源异常时的攻击类型,对访问所述被保护网络的网络流量进行流量清洗。
6.如权利要求4~5任一所述的防御设备,其特征在于,
所述设备资源至少包括中央处理器CPU使用率、内存使用率以及数据库查询频率中的一种或多种。
7.一种分布式拒绝服务攻击DDoS的防御系统,其特征在于,包括至少一个DDoS防御设备以及位于被保护网络中的至少一个被保护设备,其中:
所述DDoS防御设备,用于检测被保护网络中的各业务的业务流量信息以及所述被保护网络中的各被保护设备的设备资源信息,以及,若在任一时刻,确定检测到的任一业务的业务流量不小于所述任一业务在所述任一时刻的预设流量阈值和/或确定检测到的任一被保护设备的任一设备资源不小于所述任一被保护设备的所述任一设备资源在所述任一时刻的预设资源阈值,则对访问所述被保护网络的网络流量进行流量清洗,并将清洗后的网络流量回引至所述被保护网络;
其中,针对任一业务,通过以下方式确定所述任一业务在任一时刻的预设流量阈值:
根据所述被保护网络处于正常运行状态时所检测到的、设定周期内的所述任一业务每一天的业务流量信息,确定所述任一业务在所述设定周期内的每一天的业务流量曲线;对所确定的所述任一业务在所述设定周期内的每一天的业务流量曲线进行训练,得到所述任一业务每一天的正常业务流量曲线模型,并根据所述正常业务流量曲线模型确定所述任一业务在每一天的任一时刻的预设流量阈值;
针对任一设备的任一设备资源,通过以下方式确定所述任一设备的所述任一设备资源在任一时刻的预设资源阈值:
根据所述任一设备处于正常运行状态时所检测到的、设定周期内的所述任一设备的所述任一设备资源每一天的设备资源信息,确定所述任一设备的所述任一设备资源在所述设定周期内的每一天的设备资源曲线;对所确定的所述任一设备的所述任一设备资源在所述设定周期内的每一天的设备资源曲线进行训练,得到所述任一设备的所述任一设备资源每一天的正常设备资源曲线模型,并根据所述正常设备资源曲线模型确定所述任一设备的所述任一设备资源在每一天的任一时刻的预设资源阈值;
其中,在确定检测到的任一业务的业务流量不小于预先设定的与所述任一业务相对应的流量阈值和/或确定检测到的任一设备的任一设备资源不小于预先设定的与所述任一设备资源相对应的资源阈值之后,且对访问所述被保护网络的网络流量进行流量清洗之前,还包括:
根据在业务流量异常时间段内或设备资源异常时间段内检测到的、任一业务每一天的业务流量信息,确定所述任一业务在所述业务流量异常时间段内或设备资源异常时间段内的每一天的业务流量曲线,并对所确定的所述任一业务在所述业务流量异常时间段内或设备资源异常时间段内的每一天的业务流量曲线进行训练,得到所述任一业务在所述业务流量异常时间段内或设备资源异常时间段内的每一天的异常业务流量曲线模型;以及,
根据在业务流量异常时间段内或设备资源异常时间段内检测到的、任一设备的任一设备资源每一天的设备资源信息,确定所述任一设备的所述任一设备资源在所述业务流量异常时间段内或设备资源异常时间段内的每一天的设备资源曲线,并对所确定的所述任一设备的所述任一设备资源在所述业务流量异常时间段内或设备资源异常时间段内的每一天的设备资源曲线进行训练,得到所述任一设备的所述任一设备资源在所述业务流量异常时间段内或设备资源异常时间段内的每一天的异常设备资源曲线模型;
将由各业务每一天的正常业务流量曲线模型组成的正常业务流量曲线总模型以及由设定设备的各设备资源每一天的正常设备资源曲线模型组成的正常设备资源曲线总模型进行关联,得到第一关联模型,并将所述第一关联模型与第二关联模型进行对比分析,确定业务流量异常或设备资源异常时的攻击类型;
其中,所述第二关联模型是通过对由各业务每一天的异常业务流量曲线模型组成的异常业务流量曲线总模型以及由所述设定设备的各设备资源每一天的异常设备资源曲线模型组成的异常设备资源曲线总模型进行关联后所得到的。
CN201310740701.4A 2013-12-26 2013-12-26 一种分布式拒绝服务攻击的防御方法、设备及系统 Active CN104753863B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201310740701.4A CN104753863B (zh) 2013-12-26 2013-12-26 一种分布式拒绝服务攻击的防御方法、设备及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201310740701.4A CN104753863B (zh) 2013-12-26 2013-12-26 一种分布式拒绝服务攻击的防御方法、设备及系统

Publications (2)

Publication Number Publication Date
CN104753863A CN104753863A (zh) 2015-07-01
CN104753863B true CN104753863B (zh) 2018-10-26

Family

ID=53592982

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201310740701.4A Active CN104753863B (zh) 2013-12-26 2013-12-26 一种分布式拒绝服务攻击的防御方法、设备及系统

Country Status (1)

Country Link
CN (1) CN104753863B (zh)

Families Citing this family (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106534043B (zh) * 2015-09-09 2020-04-24 阿里巴巴集团控股有限公司 一种流量处理方法,设备和系统
CN106936799B (zh) * 2015-12-31 2021-05-04 阿里巴巴集团控股有限公司 报文清洗方法及装置
CN105743913B (zh) * 2016-03-31 2019-07-09 广州华多网络科技有限公司 检测网络攻击的方法和装置
CN105763560A (zh) * 2016-04-15 2016-07-13 北京思特奇信息技术股份有限公司 一种Web Service接口流量实时监控方法和系统
CN106101066B (zh) * 2016-05-27 2019-11-26 中国联合网络通信集团有限公司 一种服务器服务的监控方法和监控系统
CN106131031B (zh) * 2016-07-19 2020-03-10 北京兰云科技有限公司 一种DDoS流量清洗处理的方法及装置
CN106411934B (zh) * 2016-11-15 2017-11-21 平安科技(深圳)有限公司 DoS/DDoS攻击检测方法和装置
CN107707601A (zh) * 2017-06-02 2018-02-16 语祯物联科技(上海)有限公司 一种实时监控连接设备的方法及装置
CN107040554B (zh) * 2017-06-22 2020-07-17 四川长虹电器股份有限公司 一种防御cc攻击的方法
CN107579981A (zh) * 2017-09-08 2018-01-12 北京神州绿盟信息安全科技股份有限公司 一种网络流量监控方法及系统
CN108322463A (zh) * 2018-01-31 2018-07-24 平安科技(深圳)有限公司 DDoS攻击检测方法、装置、计算机设备和存储介质
CN108881324B (zh) * 2018-09-21 2020-04-14 电子科技大学 一种SDN网络的DoS攻击分布式检测与防御方法
CN109347876B (zh) * 2018-11-29 2022-04-01 深圳市网心科技有限公司 一种安全防御方法及相关装置
CN109547449B (zh) * 2018-11-29 2021-09-24 深圳市网心科技有限公司 一种安全检测方法及相关装置
CN111404868B (zh) * 2019-01-02 2022-04-29 中国移动通信有限公司研究院 一种缓解DDoS攻击的方法、装置、电子设备及存储介质
CN110808967B (zh) * 2019-10-24 2022-04-08 新华三信息安全技术有限公司 挑战黑洞攻击的检测方法及相关装置
CN111431752B (zh) * 2020-04-01 2023-04-07 中核武汉核电运行技术股份有限公司 一种基于自适应流量控制的安全探测方法
CN113051583A (zh) * 2021-04-30 2021-06-29 中国银行股份有限公司 漏洞的防御方法及系统

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101060531A (zh) * 2007-05-17 2007-10-24 华为技术有限公司 网络设备攻击防范的方法和装置
CN101355463A (zh) * 2008-08-27 2009-01-28 成都市华为赛门铁克科技有限公司 网络攻击的判断方法、系统和设备
CN102821081A (zh) * 2011-06-10 2012-12-12 中国电信股份有限公司 监测小流量ddos攻击的方法和系统
CN103248607A (zh) * 2012-02-02 2013-08-14 哈尔滨安天科技股份有限公司 基于IPv4和IPv6的拒绝服务攻击检测方法及系统

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101747079B1 (ko) * 2011-02-17 2017-06-14 세이블 네트웍스 인코포레이티드 하이 레이트 분산 서비스 거부(DDoS) 공격을 검출하고 완화하는 방법 및 시스템

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101060531A (zh) * 2007-05-17 2007-10-24 华为技术有限公司 网络设备攻击防范的方法和装置
CN101355463A (zh) * 2008-08-27 2009-01-28 成都市华为赛门铁克科技有限公司 网络攻击的判断方法、系统和设备
CN102821081A (zh) * 2011-06-10 2012-12-12 中国电信股份有限公司 监测小流量ddos攻击的方法和系统
CN103248607A (zh) * 2012-02-02 2013-08-14 哈尔滨安天科技股份有限公司 基于IPv4和IPv6的拒绝服务攻击检测方法及系统

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
"一种基于资源感知的小流量DDoS攻击防御方法";李江,张峰,付俊,杨光华;《电信工程技术与标准化》;20131219(第12期);正文第2-3节及附图4 *

Also Published As

Publication number Publication date
CN104753863A (zh) 2015-07-01

Similar Documents

Publication Publication Date Title
CN104753863B (zh) 一种分布式拒绝服务攻击的防御方法、设备及系统
CN106411934B (zh) DoS/DDoS攻击检测方法和装置
KR101061375B1 (ko) Uri 타입 기반 디도스 공격 탐지 및 대응 장치
US10516697B2 (en) ISP blacklist feed
Zou et al. Monitoring and early warning for internet worms
Li Change trend of averaged Hurst parameter of traffic under DDOS flood attacks
Moothedath et al. A game-theoretic approach for dynamic information flow tracking to detect multistage advanced persistent threats
CN107528749A (zh) 基于云防护日志的网站可用性检测方法、装置及系统
EP2951753A1 (en) Targeted security alerts
CN107623685B (zh) 快速检测SYN Flood攻击的方法及装置
CN101803305A (zh) 网络监视装置、网络监视方法及网络监视程序
CN112422554B (zh) 一种检测异常流量外连的方法、装置、设备及存储介质
CN108183884B (zh) 一种网络攻击判定方法及装置
Burke et al. Misreporting attacks against load balancers in software-defined networking
CN108965318A (zh) 检测工业控制网络中未授权接入设备ip的方法及装置
Yasami et al. An arp-based anomaly detection algorithm using hidden markov model in enterprise networks
Zhang et al. A prediction-based detection algorithm against distributed denial-of-service attacks
CN109862016A (zh) 一种针对云计算自动扩容Yo-Yo攻击的对抗方法
NL2033657A (en) Active defense system and method for network intrusion based on dynamic ip blacklist
CN106817268B (zh) 一种ddos攻击的检测方法及系统
CN110162969B (zh) 一种流量的分析方法和装置
Sivabalan et al. Detecting IoT zombie attacks on web servers
Khirwadkar Defense against network attacks using game theory
KR101326804B1 (ko) 분산서비스거부 공격 탐지 방법 및 시스템
Salami et al. Efficient method for discriminating flash event from DoS attack during internet protocol traceback using shark smell optimization algorithm

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant