CN106357685A - 一种防御分布式拒绝服务攻击的方法及装置 - Google Patents

一种防御分布式拒绝服务攻击的方法及装置 Download PDF

Info

Publication number
CN106357685A
CN106357685A CN201610967129.9A CN201610967129A CN106357685A CN 106357685 A CN106357685 A CN 106357685A CN 201610967129 A CN201610967129 A CN 201610967129A CN 106357685 A CN106357685 A CN 106357685A
Authority
CN
China
Prior art keywords
cleaning device
flow
message
flow cleaning
security service
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201610967129.9A
Other languages
English (en)
Inventor
周士钦
叶晓虎
何坤
张磊
陈俊
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NSFOCUS Information Technology Co Ltd
Beijing NSFocus Information Security Technology Co Ltd
Original Assignee
NSFOCUS Information Technology Co Ltd
Beijing NSFocus Information Security Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NSFOCUS Information Technology Co Ltd, Beijing NSFocus Information Security Technology Co Ltd filed Critical NSFOCUS Information Technology Co Ltd
Priority to CN201610967129.9A priority Critical patent/CN106357685A/zh
Publication of CN106357685A publication Critical patent/CN106357685A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请涉及网络安全技术领域,尤其涉及一种防御DDOS攻击的方法及装置,用以解决现有技术中流量清洗装置在遇到DDOS攻击时,无法对受保护端进行实时有效地防护的问题;本申请实施例提供的方法包括:云端安全服务中心在检测到受保护端的状态满足预设的故障条件时,根据受保护端对应的流量清洗装置上报的流量统计数据,判断流量清洗装置是否正在接受DDOS攻击;在确定流量清洗装置正在接受DDOS攻击后,向流量清洗装置发送抓取报文的指令;接收流量清洗装置发送的报文,通过分析接收的报文的攻击特征,为流量清洗装置生成更新的防护策略;将生成的更新的防护策略发送给流量清洗装置,以便流量清洗装置对DDOS攻击进行防御。

Description

一种防御分布式拒绝服务攻击的方法及装置
技术领域
本申请涉及网络安全技术领域,尤其涉及一种防御分布式拒绝服务(DistributedDenial ofService,DDOS)攻击的方法及装置。
背景技术
目前,网络安全问题日益突出,而DDOS攻击已经成为互联网上最常见的攻击方式之一。
现有技术中,对网络上发起的DDOS攻击主要使用流量清洗装置进行防护,流量清洗装置的运作模式如下。
攻防人员预先根据客户的业务特点和网络环境,手动配置流量清洗装置的防护策略,其中,预先配置的防护策略直接影响流量清洗装置的防护效果,但由于DDOS攻击特征复杂多变,很难保证预先配置的防护策略的完善性。
在配置好防护策略以后,流量清洗装置可以有效防护一些简单攻击,比如不符合预先选定的传输协议规则的单报文攻击、syn攻击等,但往往不能有效防护一些复杂攻击,比如符合预先选定的传输协议规则的攻击报文,此时会出现两种不良后果:一是攻击报文透过流量清洗装置到达受保护端使其发生故障;二是流量清洗装置将正常客户端的报文当成攻击报文而将其误杀,导致正常客户端无法访问受保护端。
此外,现有技术中,只有当受保护端发生故障以后,攻防人员才知道发生了DDOS攻击,才开始后续的抓取报文、分析攻击特征等操作来调整防护策略。而实际上一次DDOS攻击持续的时间都比较短,攻防人员可能来不及抓取报文,只能等到下一波DDOS攻击出现,才可以顺利地调整防护策略。然而,攻防人员并不能预料下一波DDOS攻击何时出现,因此,只能被动的等待,这样,不仅会浪费人力,而且会延长更新防护策略的过程,无法满足使用流量清洗装置的客户所期望的实时防护受保护端的要求。
可见,现有技术中流量清洗装置在遇到DDOS攻击时,不能及时更新防护策略、无法对受保护端进行实时有效地防护。
发明内容
本申请实施例提供一种防御DDOS攻击的方法及装置,用以解决现有技术中流量清洗装置在遇到DDOS攻击时,不能及时更新防护策略、无法对受保护端进行实时有效地防护的问题。
本申请实施例提供的一种防御DDOS攻击的方法,包括:
云端安全服务中心在检测到受保护端的状态满足预设的故障条件时,根据受保护端对应的流量清洗装置上报的流量统计数据,判断流量清洗装置是否正在接受DDOS攻击;
在确定流量清洗装置正在接受DDOS攻击后,向该流量清洗装置发送抓取报文的指令;
接收流量清洗装置发送的报文,通过分析接收的报文的攻击特征,为流量清洗装置生成更新的防护策略;
将生成的更新的防护策略发送给流量清洗装置,以便流量清洗装置对DDOS攻击进行防御。
可选地,判断流量清洗装置是否正在接受DDOS攻击,包括:
当流量清洗装置在最近N个上报周期的每个上报周期内上报给云端安全服务中心的流量统计数据中,流量清洗装置传输的报文流量大小都大于云端安全服务中心对流量清洗装置的监控流量阈值时,确定流量清洗装置正在接受DDOS攻击;
其中,流量清洗装置传输的报文流量大小是流量清洗装置发送给受保护端的报文流量大小,或者,是流量清洗装置接收的客户端指示发送给受保护端的报文流量大小;N为正整数。
可选地,当在最近N个上报周期的至少一个上报周期内的流量统计数据中,流量清洗装置传输的报文流量大小小于监控流量阈值时,所述方法还包括:
根据最近预设时长内流量清洗装置传输的报文流量大小,确定目标流量阈值;
如果流量清洗装置在最近N个上报周期的每个上报周期内上报的流量统计数据中,流量清洗装置传输的报文流量大小都大于目标流量阈值,则确定流量清洗装置正在接受DDOS攻击;否则,确定流量清洗装未在接受DDOS攻击。
可选地,如果流量清洗装置在最近N个上报周期的每个上报周期内上报的流量统计数据中,流量清洗装置传输的报文流量大小都大于目标流量阈值,所述方法还包括:
将监控流量阈值替换为目标流量阈值。
可选地,向流量清洗装置发送抓取报文的指令,包括:
向流量清洗装置发送周期性抓取报文的指令;
接收流量清洗装置发送的报文,通过分析接收的报文的攻击特征,为流量清洗装置生成更新的防护策略,包括:
基于流量清洗装置周期性获取的报文,持续为流量清洗装置生成更新的防护策略;
将更新的防护策略发送给流量清洗装置之后,还包括:
在检测到受保护端的状态不满足预设的故障条件后,向流量清洗装置发送停止抓取报文的指令。
可选地,所述方法还包括:
云端安全服务中心在检测到受保护端的状态不满足预设的故障条件时,如果确定流量清洗装置在最近N个上报周期的每个上报周期内上报给云端安全服务中心的流量统计数据中,流量清洗装置传输的报文流量大小都大于云端安全服务中心对流量清洗装置的监控流量阈值,则将监控流量阈值替换为在所述N个上报周期内上报的流量统计数据中,流量清洗装置传输的报文流量大小的平均值;
其中,流量清洗装置传输的报文流量大小是流量清洗装置发送给受保护端的报文流量大小,或者,是流量清洗装置接收的客户端指示发送给受保护端的报文流量大小。
本申请实施例还提供一种防御DDOS攻击的方法,包括:
向云端安全服务中心发送流量统计数据,以使所述云端安全服务中心基于该流量统计数据判断流量清洗装置是否正在接受DDOS攻击;
接收云端安全服务中心在确定流量清洗装置正在接受DDOS攻击后发送的抓取报文的指令;
基于接收的所述抓取报文的指令,抓取自身处理的报文,并将报文发送给所述云端安全服务中心;
接收云端安全服务中心基于报文生成的更新后的防护策略;
基于更新后的防护策略,对DDOS攻击进行防御。
本申请实施例提供一种云端安全服务中心,包括:
判断模块,用于在检测到受保护端的状态满足预设的故障条件时,根据受保护端对应的流量清洗装置上报的流量统计数据,判断流量清洗装置是否正在接受DDOS攻击;
第一发送模块,用于在确定流量清洗装置正在接受DDOS攻击后,向流量清洗装置发送抓取报文的指令;
防护策略生成模块,用于接收流量清洗装置发送的报文,通过分析接收的报文的攻击特征,为流量清洗装置生成更新的防护策略;
第二发送模块,用于将生成的更新的防护策略发送给流量清洗装置,以便流量清洗装置对DDOS攻击进行防御。
可选地,判断模块具体用于:
当流量清洗装置在最近N个上报周期的每个上报周期内上报给云端安全服务中心的流量统计数据中,流量清洗装置传输的报文流量大小都大于云端安全服务中心对流量清洗装置的监控流量阈值时,确定流量清洗装置正在接受DDOS攻击;
其中,流量清洗装置传输的报文流量大小是流量清洗装置发送给受保护端的报文流量大小,或者,是流量清洗装置接收的客户端指示发送给受保护端的报文流量大小;N为正整数。
可选地,判断模块具体用于:
根据最近预设时长内所述流量清洗装置传输的报文流量大小,确定目标流量阈值;
如果流量清洗装置在最近N个上报周期的每个上报周期内上报的流量统计数据中,流量清洗装置传输的报文流量大小都大于目标流量阈值,则确定流量清洗装置正在接受DDOS攻击;否则,确定流量清洗装未在接受DDOS攻击。
可选地,判断模块还用于:
将监控流量阈值替换为目标流量阈值。
可选地,第一发送模块具体用于:
向流量清洗装置发送周期性抓取报文的指令;
防护策略生成模块具体用于:
基于流量清洗装置周期性获取的报文,持续为流量清洗装置生成更新的防护策略;
第一发送模块还用于:
在检测到受保护端的状态不满足预设的故障条件后,向流量清洗装置发送停止抓取报文的指令。
可选地,判断模块还用于:
在检测到受保护端的状态不满足预设的故障条件时,如果确定流量清洗装置在最近N个上报周期的每个上报周期内上报给云端安全服务中心的流量统计数据中,流量清洗装置传输的报文流量大小都大于云端安全服务中心对所述流量清洗装置的监控流量阈值,则将监控流量阈值替换为在所述N个上报周期内上报的流量统计数据中,流量清洗装置传输的报文流量大小的平均值;
其中,流量清洗装置传输的报文流量大小是流量清洗装置发送给受保护端的报文流量大小,或者,是流量清洗装置接收的客户端指示发送给受保护端的报文流量大小。
本申请实施例还提供一种流量清洗装置,包括:
数据发送模块,用于向云端安全服务中心发送流量统计数据,以使云端安全服务中心基于该流量统计数据判断流量清洗装置是否正在接受DDOS攻击;
第一接收模块,用于接收云端安全服务中心在确定流量清洗装置正在接受DDOS攻击后发送的抓取报文的指令;
处理模块,用于基于接收的抓取报文的指令,抓取自身处理的报文,并将所述报文发送给云端安全服务中心;
第二接收模块,用于接收云端安全服务中心基于所述报文生成的更新后的防护策略;
防御模块,用于基于更新后的防护策略,对DDOS攻击进行防御。
本申请实施例中,云端安全服务中心可以根据实时检测的受保护端的状态、以及流量清洗装置上报的流量统计数据,判断流量清洗装置是否正在接受DDOS攻击;在确定流量清洗装置正在接受DDOS攻击后,指示流量清洗装置在被攻击的过程中抓取报文并发送给自己,进而,在接收到报文之后可以根据这些报文的攻击特征,为流量清洗装置生成更新的防护策略,本申请实施例中,云端安全服务中心在流量清洗装置接受DDOS攻击的过程中,就可以智能地为流量清洗装置更新防护参数,因此,可以进行实时有效地保护受保护端。此外,在本申请优选实施方式中,云端安全服务中心可以向流量清洗装置发送周期性抓取报文的指令,并且可以基于流量清洗装置周期性获取的报文,持续为流量清洗装置生成更新的防护策略,当检测到受保护端的状态不满足预设的故障条件后,向流量清洗装置发送停止抓取报文的指令,此时,在流量清洗装置接受DDOS攻击的整个过程中,云端安全服务中心就可以针对不断变化的DDOS攻击手法,智能地对流量清洗装置的防护策略进行实时动态地调整,这样,不仅可以减少人工干预,而且可以更好地实时提高流量清洗装置防御DDOS攻击的能力,对受保护端进行实时有效地的防护。
附图说明
图1为本申请实施例提供的云端安全服务中心、流量清洗装置、受保护端以及客户端之间的架构关系示意图;
图2为本申请实施例提供的防御DDOS攻击方法流程图;
图3为本申请实施例提供的判断流量清洗装置是否正在接受DDOS攻击的流程图;
图4为本申请实施例提供的云安全服务中心更新流量清洗装置的流量防护策略阈值的流程图;
图5为本申请实施例提供的云安全服务中心更新流量清洗装置报文发送速率的流程图;
图6为本申请实施例提供的云安全服务中心更新对流量清洗装置监控流量阈值的流程图;
图7为本申请实施例提供的一种云端安全服务中心结构图;
图8为本申请实施例提供的一种流量清洗装置结构图。
具体实施方式
本申请实施例中,云端安全服务中心可以根据实时检测的受保护端的状态、以及流量清洗装置上报的流量统计数据,判断流量清洗装置是否正在接受DDOS攻击;在确定流量清洗装置正在接受DDOS攻击后,指示流量清洗装置在被攻击的过程中抓取报文并发送给自己,进而,在接收到报文之后可以根据这些报文的攻击特征,为流量清洗装置生成更新的防护策略,本申请实施例中,云端安全服务中心在流量清洗装置接受DDOS攻击的过程中,就可以智能地为流量清洗装置更新防护参数,因此,可以进行实时有效地保护受保护端。此外,在本申请优选实施方式中,云端安全服务中心可以向流量清洗装置发送周期性抓取报文的指令,并且可以基于流量清洗装置周期性获取的报文,持续为流量清洗装置生成更新的防护策略,当检测到受保护端的状态不满足预设的故障条件后,向流量清洗装置发送停止抓取报文的指令,此时,在流量清洗装置接受DDOS攻击的整个过程中,云端安全服务中心就可以针对不断变化的DDOS攻击手法,智能地对流量清洗装置的防护策略进行实时动态地调整,这样,不仅可以减少人工干预,而且可以更好地实时提高流量清洗装置防御DDOS攻击的能力,对受保护端进行实时有效地的防护。
如图1所示,为本申请实施例中云端安全服务中心、流量清洗装置、受保护端以及客户端之间的架构关系示意图。本申请实施例中,客户端通过广域网(Wide Area Network,WAN)发送给受保护端的报文会先经过流量清洗装置,流量清洗装置基于对受保护端配置的防护策略,对客户端发送给受保护端的报文进行安全性检查,之后,再将通过安全性检查的报文利用局域网(Local Area Network,LAN)发送给受保护端。在此过程中,流量清洗装置还可以将自身处理的流量统计数据周期性地上报给云端安全服务中心,进一步地,云端安全服务中心根据这些流量统计数据,再结合实时检测的各个受保护端的状态,判断流量清洗装置是否能够有效抵御DDOS攻击,并进行相应的处理。
在具体实施过程中,云端安全服务中心可以先注册流量清洗装置的设备信息和受保护端的信息;其中,流量清洗装置的设备信息至少包括设备编号;受保护端的信息至少包括受保护端的网络互连协议(Internet Protocol,IP)地址、受保护端提供的服务类型,比如http请求服务、dns查询服务等,以及提供所述服务时使用的端口号。此外,因为流量清洗装置和受保护端之间可以是一对一的关系,也可以是一对多的关系,所以,云端安全服务中心还可以注册流量清洗装置的设备编号与受保护端的IP地址之间的对应关系。
进一步地,云端安全服务中心完成上述信息的注册以后,流量清洗装置可以将对受保护端配置的防护策略上传给云端安全服务中心,以便云端安全服务中心后续可以对这些防护策略进行更新。在具体实施过程中,防护策略包括多种防护参数,因此需要根据受保护端的业务特点和网络环境来配置具体的防护策略。其中,业务特点包括客户的受保护端类型,如网游服务器、网页等;网络环境包括服务器支持的带宽、高峰时段的客户端连接数、最大连接客户端数等。因此,云端安全服务中心可为流量清洗装置更新的防护策略也很多,下面仅列举几种进行说明。
1)更新对报文的访问控制策略。
在实际应用中,对某些源IP地址、目的IP地址、源端口号、目的端口号,发送/接收的报文,云端安全服务中心可以确定放行、或丢弃两种不同的访问控制策略。
2)更新对syn、ack、http、udp等攻击设置的防护参数阈值,其中,防护参数阈值的单位可以是比特每秒(bit per second,bps),也可以是包每秒(package per second,pps)。
3)更新对源IP地址发送的udp、ack、http get、dns、syn、icmp等报文发送速率设置的限速参数。
4)更新对协议字段的控制策略。
在具体实施过程中,针对某些协议,比如dns协议,可以配置其交易识别码的范围,或者,匹配其查询名的正则表达式,进一步地,可以针对匹配的报文确定不同的访问控制策略(放行、或丢弃)。
5)更新对报文特征字符的匹配规则。
在具体实施过程中,针对udp、ack、icmp、http报文的特征字符,可以通过正则表达式配置匹配规则,如果报文特征字符与所述正则表达式相匹配,可以确定不同的访问控制策略(放行、或丢弃)。
这里,云端安全服务中心对流量清洗装置设置有流量监控阈值,流量监控阈值不但对判断是否发生DDOS攻击有重要影响,而且也是判断当前防护策略的设置是否合理的重要依据。在具体实施过程中,如果流量监控阈值改变,则会影响对下一次对DDOS攻击的判断,因此,设置合适的流量监控阈值十分重要。
上述实施过程中,云端安全服务中心检测的受保护端状态可以反映出当前实际的防护效果,而流量清洗装置周期性上报的流量统计数据可以反映出流量清洗装置是否在接受DDOS攻击,因此,可以根据所述受保护端状态和流量统计数据,调整所述流量监控阈值。具体地,如果云端安全服务中心确定当前的防护策略无法抵御攻击,则可以指示流量清洗装置收集攻击报文样本,进一步地,根据这些攻击报文样本的攻击特征,利用更新防护策略的方法调整当前的防护策略,并且可以在适当地时候降低所述流量监控阈值;如果云端安全服务中心确定当前的防护策略可以成功抵御攻击,则不用触发调整当前防护策略的操作,并且可以适当地提高所述流量监控阈值。这里,无论流量监控阈值提高还是降低,其动态调整的整个过程都是自动完成的,是不需要人工干预的智能化行为。
下面结合说明书附图对本申请实施例作进一步详细描述。
如图2所示,为本申请实施例提供的防御分布式拒绝服务DDOS攻击方法流程图,包括以下步骤:
S201:云端安全服务中心在检测到受保护端的状态满足预设的故障条件时,根据受保护端对应的流量清洗装置上报的流量统计数据,判断流量清洗装置是否正在接受DDOS攻击。
这里,云端安全服务中心实时检测受保护端的状态,并实时接收流量清洗装置周期性上报的流量统计数据。
在具体实施过程中,云端安全服务中心可以根据受保护端的类型,确定检测其状态时使用的具体参数。比如,受保护端是web服务器,则可以发起一次http get请求,确定其响应时间,然后,将响应时间作为确定检测web服务器状态时使用的参数。具体地,可以周期性(比如1分钟)地向web服务器发起http get请求,统计最近一周内非攻击时段web服务器对http get请求的响应时间,计算其平均值T1,并确定出这些响应时间中时长较长的前10个值,计算其平均值T2,之后,可以根据以下公式计算对受保护端进行监控的响应时间阈值T:
T=max{min(T1×3,T2×1.5),T1}。
其中,云端安全服务中心对受保护端的监控方式不限于周期性地发起http请求,其它方式同样可行,如周期性进行ping、dns查询,或者,周期性发起tcp连接请求。采用这些方式进行监控时,仍然可以采用上述公式确定监控响应时间阈值T。
进一步地,云端安全服务中心对受保护端的状态进行实时监控的过程中,如果受保护端的响应时间突然连续N次超过上述响应时间阈值T,或者连续N次不可访问,则需要进一步判断受保护端是否正在接受DDOS的攻击。
在具体实施过程中,流量清洗装置可以按照受保护端的ip和通信协议对自身处理的报文流量大小进行统计,统计单位可以是pps,也可以是bps(与设置防护参数阈值时使用的统计单位相匹配)。
具体地,流量清洗装置在一个周期内上报的流量统计数据至少包括以下3种:接收的客户端指示发送给受保护端的报文流量大小、发送给受保护端的报文流量大小、以及丢弃的报文流量大小。这里,流量清洗装置接收的客户端指示发送给受保护端的报文流量大小,或发送给受保护端的报文流量大小都可以称为流量清洗装置传输的报文流量大小。
在具体实施过程中,可以根据上述流量清洗装置传输的报文流量大小,确定云端安全服务中心对受保护端的监控流量阈值。
具体地,统计最近一周非攻击时段流量清洗装置传输的报文流量大小,计算其平均值V1,并在这些报文流量大小中选出较大的前10个值,计算其平均值V2,之后,根据以下公式计算云端安全服务中心对受保护端的监控流量阈值V:
V=min(V1×2,V2×1.2)。
进一步地,云端安全服务中心可以根据对受保护端周期性检测的响应时间阈值T和对受保护端的监控流量阈值V,判断受保护端是否正在接受DDOS攻击。
具体地,当流量清洗装置在最近N个上报周期的每个上报周期内上报给云端安全服务中心的流量统计数据中,流量清洗装置传输的报文流量大小都大于云端安全服务中心对流量清洗装置的监控流量阈值时,确定流量清洗装置正在接受DDOS攻击;否则,确定流量清洗装置未在接受DDOS攻击;其中,N为正整数。
作为一种优选的实施方式,如果在最近N个上报周期的至少一个上报周期内的流量统计数据中,流量清洗装置传输的报文流量大小小于监控流量阈值时,还可以根据最近预设时长内流量清洗装置传输的报文流量大小,确定目标流量阈值;如果流量清洗装置在最近N个上报周期的每个上报周期内上报的流量统计数据中,流量清洗装置传输的报文流量大小都大于该目标流量阈值,则确定流量清洗装置正在接受DDOS攻击;否则,确定流量清洗装未在接受DDOS攻击。
进一步地,当流量清洗装置在最近N个上报周期的每个上报周期内上报的流量统计数据中,流量清洗装置传输的报文流量大小都大于目标流量阈值时,可以将监控流量阈值替换为目标流量阈值。
在具体实施过程中,上述过程可以按照如图3所示的流程进行判断。
S301a:云端安全服务中心在检测到受保护端的状态满足预设的故障条件时,判断最近N个上报周期内流量清洗装置上报的流量统计数据中,流量清洗装置传输的报文流量大小是否在每个周期内都大于监控流量阈值,如果是,则进入S303a,否则,进入S302a。较佳的,N可以取3。
S302a:判断最近N个上报周期内流量清洗装置上报的流量统计数据中,流量清洗装置传输的报文流量大小是否在每个周期内都大于目标流量阈值,如果是,则进入S303a,否则,进入S304a。
较佳地,为保证目标流量阈值小于所述监控流量阈值,目标流量阈值可以取最近一周内非攻击时段流量清洗装置传输的报文流量大小的平均值的1.5倍。
S303a:流量清洗装置正在接受DDOS攻击。
此时,流量清洗装置原有的防护策略不能有效防护DDOS攻击,需要云安全服务中心为其更新防护策略,因此,可以适当地调低监控流量阈值。具体地,可以将监控流量阈值替换为目标流量阈值。
S304a:流量清洗装置当前没有受到DDOS攻击。
此时,可以通知受保护端的值守人员该流量清洗装置当前没有受到DDOS攻击,以便其排查是否是受保护端自身的原因导致其发生故障。
S202:在确定流量清洗装置正在接受DDOS攻击后,向流量清洗装置发送抓取报文的指令。这里,向流量清洗装置发送的是周期性抓取报文的指令。
这里,云端安全服务中心在确定流量清洗装置正在接受DDOS攻击后,除了向流量清洗装置发送抓取报文的指令,还可以向受保护端的值守人员推送告警,告知现在正发生DDOS攻击。
在具体实施过程中,流量清洗装置接收云端安全服务中心发送的周期性抓取报文指令之后,可以周期性(60s,或者30s)地对自身接收、发送、丢弃的报文分类进行抓取。流量清洗装置可以集中抓取一个时间段内的所有报文,还可以设置多种抓取参数,例如,可以设置抓取报文的源IP地址、目的IP地址、或者是抓取符合某种通信协议的报文等。此外,流量清洗装置在抓取报文时还可以跟踪其所抓取的报文,将这些报文的最终处理结果记录下来,一并上传给云端安全服务中心,上传的格式可以采用表一所示的形式。
表一:
序号 报文内容 报文处理结果 原因
1 XXXXXX 放行 源IP地址访问控制策略为放行
2 XXXXXX 丢弃 限制源IP地址发送报文的速率
…… …… …… ……
S203:接收流量清洗装置发送的报文,通过分析接收的报文的攻击特征,为流量清洗装置生成更新的防护策略。
在具体实施过程中,云端安全服务中心在不需要人为干预的情况下,即可以根据DDOS攻击的实时变化来动态调整防护参数,进而改善流量清洗装置的防护策略。即,防护策略的调整实际上是由云端安全服务中心改变防护参数来实现的,其中,在更新防护策略的过程中涉及的防护参数类型比较多,而针对不同类型的防护参数所采用的判断其防护参数是否需要更新的方法不同,在此不能穷举,下面仅列举几种进行说明。
1)、判断防护参数阈值是否需要更新的方法。
在具体实施过程中,针对syn、ack、http、udp等报文的流量防护参数阈值,可以根据流量清洗装置上报的流量统计数据中,当前上报周期内流量清洗装置传输的对应类型报文的流量大小,判断该类型报文的流量防护参数阈值设置是否合理。
具体地,可以按照图4所示的流程进行判断。
S401a:判断当前上报周期内流量清洗装置传输的D报文的流量大小,是否小于云安全服务中心存储的D报文的流量防护参数阈值,如果是,则进入S403a,否则进入S402a。
S402a:将D报文的流量防护参数阈值调整为,当前上报周期内流量清洗装置传输D报文的流量大小的0.9。
S403a:保持当前D报文的流量防护参数阈值不变。
2)、判断报文发送速率是否需要调整的方法。
这里,可以通过流量清洗装置抓取的报文,确定出其放行的报文数目最多的源IP地址,进而判断是否需要对这个源IP地址的报文发送速率进行限制。
在具体实施过程中,可以按照图5所示的流程进行判断。
S501a:判断当前上报周期内流量清洗装置传输的源IP地址的报文发送速率,是否大于第一设定阈值,如果是,则进入S502a,否则进入S503a。
比如,第一设定阈值可以取云安全服务中心所存储的报文发送速率的20%。
S502a:将流量清洗装置传输的该源IP地址的报文发送速率限制为所述第一设定阈值。
S503a:判断抓取的报文中,从源IP地址发送的报文在所有抓取的报文中的比率,是否大于第二设定阈值,如果是,则进入S504a,否则,进入S505a。
比如,第二设定阈值可以取50%。
S504a:将流量清洗装置传输的该源IP地址的报文发送速率限制为,云安全服务中心存储的报文发送速率×第二设定阈值。
S505a:保持当前云安全服务中心存储的报文发送速率不变。
3)、对报文的头字段进行分析的方法。
实际应用中,一些通信协议对报文头若干字段的值进行了相应规定,因此,可以根据这些协议规定来确定某个源IP地址发送的报文是否是攻击报文。以DNS查询报文的交易识别码为例,如果发现某个源IP地址发送的所有DNS查询的交易识别码始终为一个值,或者特定的几个值,那么可确定该源IP地址发送的DNS查询报文为攻击报文,进一步地,可以设置对该IP地址的访问控制策略,丢弃该源IP地址发送的所有DNS查询报文。其它通信协议的报文头字段也可以按照协议规范进行类似的检查,在此不再赘述。
4)、针对报文内容进行分析的方法。
在具体实施过程中,可以通过以下方面对报文内容进行分析。
1)、检查报文长度是否合法,若不合法,则添加对发送该报文的源IP地址的访问控制策略,丢弃其发送的相应类型的报文。
2)、针对http、dns查询报文,可以检查其携带的url是否满足url规范,如果不满足,可以添加对发送这些报文的源IP地址的访问控制策略,丢弃其发送的相应类型的报文。
3)、针对dns查询报文,云安全服务中心还可以对dns查询报文中携带的url进行采样,并进行ping操作,如果某个源IP发送的dns查询报文所携带的url连续若干个都无法ping通,可以添加对发送该dns查询报文的源IP地址的访问控制策略,丢弃其发送的所有的dns查询报文。
4)、针对udp、ack报文,可以分析这些报文的内容,当其内容满足以下条件时,可以确定发送这些报文的源IP地址所发送的相应类型的报文为攻击报文:
a、报文内容为单一字符,例如:aaaaaaaaaaaaa、1111111111等。
b、连续发送的若干报文内容都一模一样。
c、连续发送的若干报文内容提取出相同的重复字符串。
具体地,比如aaabbbaaabbbaaabbb和aaabbbaaabbb,虽然报文长度不一样,但是可以提取出相同的重复字符串aaabbb。
在具体实施过程中,云安全服务中心可以在流量清洗装置抓取的报文满足一定数量、或者抓取报文的时间达到设定时长时,分析一次报文的攻击特征,为流量清洗装置生成的更新的防护策略。在流量清洗装置成功防御DDOS攻击之前,流量清洗装置抓取报文、云安全服务中心分析报文攻击特征、生成更新的防护策略都会一直进行,因此,云安全服务中心可以在减少人工干预的情况下,动态地为流量清洗装置生成更新的防护策略。
S204:将生成的更新的防护策略发送给流量清洗装置,以便流量清洗装置对DDOS攻击进行防御。
在具体实施过程中,流量清洗装置可以基于接收的云安全服务中心动态发送的更新后的防护策略,实时地更新自身的防护策略,从而逐渐提高防御DDOS攻击的能力。当流量清洗装置的防护策略可以成功抵御DDOS攻击之后,受保护端的状态就不再满足预设的故障条件,云安全服务中心在检测到受保护端的状态恢复正常以后,可以向流量清洗装置发送停止抓取报文的指令。这里,云安全服务中心还可以记录整个DDOS攻击过程,以便攻防人员事后进行查询、分析。
在具体实施过程中,如果云端安全服务中心确定流量清洗装置可以有效防御DDOS攻击,也可以根据流量清洗装置在最近N个上报周期上报的流量统计数据,适当地提高云端安全服务中心对流量清洗装置的监控流量阈值。
具体地,当云端安全服务中心在检测到受保护端的状态不满足预设的故障条件时,如果确定流量清洗装置在最近N个上报周期的每个上报周期内上报给云端安全服务中心的流量统计数据中,流量清洗装置传输的报文流量大小都大于云端安全服务中心对流量清洗装置的监控流量阈值,可以将监控流量阈值替换为在所述N个上报周期内上报的流量统计数据中,流量清洗装置传输的报文流量大小的平均值。
上述过程可以按照图6所示的流程进行。
S601a:当云端安全服务中心在检测到受保护端的状态不满足预设的故障条件时,判断流量清洗装置在最近N个上报周期的每个上报周期内上报给云端安全服务中心的流量统计数据中,流量清洗装置传输的报文流量大小是否都大于云端安全服务中心对流量清洗装置的监控流量阈值,如果是,则进入S602a,否则,进入S603a。优选地,N可以取3。
S602a:将监控流量阈值替换为在所述N个上报周期内上报的流量统计数据中,流量清洗装置传输的报文流量大小的平均值。
这里,因为当前流量清洗装置的防护策略已经可以成功防御DDSO攻击,不再需要云安全服务中心为其更新防护策略,所以可以将监控流量阈值适当提高。
S603a:保持当前的监控流量阈值不变。
在具体实施过程中,如果流量清洗装置在最近N个上报周期的每个上报周期内上报给云端安全服务中心的流量统计数据中,流量清洗装置接收的客户端指示发送给受保护端的报文流量大小,与流量清洗装置发送给受保护端的报文流量大小的比值都大于1.5,可以记录一次流量清洗装置的当前防护策略成功抵御DDOS攻击的事件,以便后续攻放人员查询、分析DDOS攻击时机。较佳的,N为3。
本申请实施例中,云端安全服务中心可以根据实时检测的受保护端的状态、以及流量清洗装置上报的流量统计数据,判断流量清洗装置是否正在接受DDOS攻击;在确定流量清洗装置正在接受DDOS攻击后,指示流量清洗装置在被攻击的过程中抓取报文并发送给自己,进而,在接收到报文之后可以根据这些报文的攻击特征,为流量清洗装置生成更新的防护策略,本申请实施例中,云端安全服务中心在流量清洗装置接受DDOS攻击的过程中,就可以智能地为流量清洗装置更新防护参数,因此,可以进行实时有效地保护受保护端。此外,在本申请优选实施方式中,云端安全服务中心可以向流量清洗装置发送周期性抓取报文的指令,并且可以基于流量清洗装置周期性获取的报文,持续为流量清洗装置生成更新的防护策略,当检测到受保护端的状态不满足预设的故障条件后,向流量清洗装置发送停止抓取报文的指令,此时,在流量清洗装置接受DDOS攻击的整个过程中,云端安全服务中心就可以针对不断变化的DDOS攻击手法,智能地对流量清洗装置的防护策略进行实时动态地调整,这样,不仅可以减少人工干预,而且可以更好地实时提高流量清洗装置防御DDOS攻击的能力,对受保护端进行实时有效地的防护。
此外,本申请实施例中,云端安全服务中心以云平台的方式搭建,具有良好的扩展服务能力,因此不受流量清洗装置接入数量的限制,以这种基于云平台的方式更新流量清洗装置的防护策略,可以降低使用流量清洗装置的技术成本和人为失误概率。
基于同一发明构思,本申请实施例中还提供了一种与防御DDOS攻击方法对应的云端安全服务中心、以及流量清洗装置,由于他们解决问题的原理与本申请实施例防御DDOS攻击方法相似,因此这些装置的实施可以参见方法的实施,重复之处不再赘述。
如图7所示,为本申请实施例提供的一种云端安全服务中心70结构图,包括:
判断模块701,用于在检测到受保护端的状态满足预设的故障条件时,根据受保护端对应的流量清洗装置上报的流量统计数据,判断流量清洗装置是否正在接受DDOS攻击;
第一发送模块702,用于在确定流量清洗装置正在接受DDOS攻击后,向流量清洗装置发送抓取报文的指令;
防护策略生成模块703,用于接收流量清洗装置发送的报文,通过分析接收的报文的攻击特征,为流量清洗装置生成更新的防护策略;
第二发送模块704,用于将生成的所述更新的防护策略发送给流量清洗装置,以便流量清洗装置对DDOS攻击进行防御。
可选地,判断模块701具体用于:
当流量清洗装置在最近N个上报周期的每个上报周期内上报给云端安全服务中心的流量统计数据中,流量清洗装置传输的报文流量大小都大于云端安全服务中心对流量清洗装置的监控流量阈值时,确定流量清洗装置正在接受DDOS攻击;
其中,流量清洗装置传输的报文流量大小是流量清洗装置发送给受保护端的报文流量大小,或者,是流量清洗装置接收的客户端指示发送给受保护端的报文流量大小;N为正整数。
可选地,判断模块701具体用于:
根据最近预设时长内流量清洗装置传输的报文流量大小,确定目标流量阈值;
如果流量清洗装置在最近N个上报周期的每个上报周期内上报的流量统计数据中,流量清洗装置传输的报文流量大小都大于目标流量阈值,则确定流量清洗装置正在接受DDOS攻击;否则,确定流量清洗装未在接受DDOS攻击。
可选地,判断模块701还用于:
将监控流量阈值替换为目标流量阈值。
可选地,第一发送模块702具体用于:
向流量清洗装置发送周期性抓取报文的指令;
防护策略生成模块703具体用于:
基于流量清洗装置周期性获取的报文,持续为流量清洗装置生成更新的防护策略;
第一发送模块702还用于:
在检测到受保护端的状态不满足预设的故障条件后,向流量清洗装置发送停止抓取报文的指令。
可选地,判断模块701还用于:
在检测到受保护端的状态不满足预设的故障条件时,如果确定流量清洗装置在最近N个上报周期的每个上报周期内上报给云端安全服务中心的流量统计数据中,流量清洗装置传输的报文流量大小都大于云端安全服务中心对流量清洗装置的监控流量阈值,则将监控流量阈值替换为在所述N个上报周期内上报的流量统计数据中,流量清洗装置传输的报文流量大小的平均值;
其中,流量清洗装置传输的报文流量大小是流量清洗装置发送给受保护端的报文流量大小,或者,是流量清洗装置接收的客户端指示发送给受保护端的报文流量大小。
如图8所示,为本申请实施例提供的一种流量清洗装置80结构图,包括:
数据发送模块801,用于向云端安全服务中心发送流量统计数据,以使云端安全服务中心基于该流量统计数据判断流量清洗装置是否正在接受DDOS攻击;
第一接收模块802,用于接收云端安全服务中心在确定流量清洗装置正在接受DDOS攻击后发送的抓取报文的指令;
处理模块803,用于基于接收的抓取报文的指令,抓取自身处理的报文,并将报文发送给所述云端安全服务中心;
第二接收模块804,用于接收云端安全服务中心基于所述报文生成的更新后的防护策略;
防御模块805,用于基于更新后的防护策略,对DDOS攻击进行防御。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、装置(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本申请的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。

Claims (14)

1.一种防御分布式拒绝服务DDOS攻击的方法,其特征在于,该方法包括:
云端安全服务中心在检测到受保护端的状态满足预设的故障条件时,根据所述受保护端对应的流量清洗装置上报的流量统计数据,判断所述流量清洗装置是否正在接受DDOS攻击;
在确定所述流量清洗装置正在接受DDOS攻击后,向所述流量清洗装置发送抓取报文的指令;
接收所述流量清洗装置发送的报文,通过分析接收的报文的攻击特征,为所述流量清洗装置生成更新的防护策略;
将生成的所述更新的防护策略发送给所述流量清洗装置,以便所述流量清洗装置对DDOS攻击进行防御。
2.如权利要求1所述的方法,其特征在于,判断所述流量清洗装置是否正在接受DDOS攻击,包括:
当所述流量清洗装置在最近N个上报周期的每个上报周期内上报给所述云端安全服务中心的流量统计数据中,所述流量清洗装置传输的报文流量大小都大于所述云端安全服务中心对所述流量清洗装置的监控流量阈值时,确定所述流量清洗装置正在接受DDOS攻击;
其中,所述流量清洗装置传输的报文流量大小是所述流量清洗装置发送给所述受保护端的报文流量大小,或者,是所述流量清洗装置接收的客户端指示发送给所述受保护端的报文流量大小;N为正整数。
3.如权利要求2所述的方法,其特征在于,当在最近N个上报周期的至少一个上报周期内的流量统计数据中,所述流量清洗装置传输的报文流量大小小于所述监控流量阈值时,所述方法还包括:
根据最近预设时长内所述流量清洗装置传输的报文流量大小,确定目标流量阈值;
如果所述流量清洗装置在最近N个上报周期的每个上报周期内上报的流量统计数据中,所述流量清洗装置传输的报文流量大小都大于所述目标流量阈值,则确定所述流量清洗装置正在接受DDOS攻击;否则,确定所述流量清洗装未在接受DDOS攻击。
4.如权利要求3所述的方法,其特征在于,如果所述流量清洗装置在最近N个上报周期的每个上报周期内上报的流量统计数据中,所述流量清洗装置传输的报文流量大小都大于所述目标流量阈值,所述方法还包括:
将所述监控流量阈值替换为所述目标流量阈值。
5.如权利要求1所述的方法,其特征在于,向所述流量清洗装置发送抓取报文的指令,包括:
向所述流量清洗装置发送周期性抓取报文的指令;
接收所述流量清洗装置发送的报文,通过分析接收的报文的攻击特征,为所述流量清洗装置生成更新的防护策略,包括:
基于所述流量清洗装置周期性获取的报文,持续为所述流量清洗装置生成更新的防护策略;
将所述更新的防护策略发送给所述流量清洗装置之后,还包括:
在检测到受保护端的状态不满足预设的故障条件后,向所述流量清洗装置发送停止抓取报文的指令。
6.如权利要求1所述的方法,其特征在于,所述方法还包括:
云端安全服务中心在检测到受保护端的状态不满足预设的故障条件时,如果确定所述流量清洗装置在最近N个上报周期的每个上报周期内上报给所述云端安全服务中心的流量统计数据中,流量清洗装置传输的报文流量大小都大于云端安全服务中心对所述流量清洗装置的监控流量阈值,则将所述监控流量阈值替换为在所述N个上报周期内上报的流量统计数据中,所述流量清洗装置传输的报文流量大小的平均值;
其中,流量清洗装置传输的报文流量大小是所述流量清洗装置发送给所述受保护端的报文流量大小,或者,是所述流量清洗装置接收的客户端指示发送给所述受保护端的报文流量大小。
7.一种防御分布式拒绝服务DDOS攻击的方法,其特征在于,该方法包括:
向云端安全服务中心发送流量统计数据,以使所述云端安全服务中心基于该流量统计数据判断流量清洗装置是否正在接受DDOS攻击;
接收所述云端安全服务中心在确定所述流量清洗装置正在接受DDOS攻击后发送的抓取报文的指令;
基于接收的所述抓取报文的指令,抓取自身处理的报文,并将所述报文发送给所述云端安全服务中心;
接收所述云端安全服务中心基于所述报文生成的更新后的防护策略;
基于更新后的防护策略,对DDOS攻击进行防御。
8.一种云端安全服务中心,其特征在于,该云端安全服务中心包括:
判断模块,用于在检测到受保护端的状态满足预设的故障条件时,根据所述受保护端对应的流量清洗装置上报的流量统计数据,判断所述流量清洗装置是否正在接受DDOS攻击;
第一发送模块,用于在确定所述流量清洗装置正在接受DDOS攻击后,向所述流量清洗装置发送抓取报文的指令;
防护策略生成模块,用于接收所述流量清洗装置发送的报文,通过分析接收的报文的攻击特征,为所述流量清洗装置生成更新的防护策略;
第二发送模块,用于将生成的所述更新的防护策略发送给所述流量清洗装置,以便所述流量清洗装置对DDOS攻击进行防御。
9.如权利要求8所述的云端安全服务中心,其特征在于,所述判断模块具体用于:
当所述流量清洗装置在最近N个上报周期的每个上报周期内上报给所述云端安全服务中心的流量统计数据中,所述流量清洗装置传输的报文流量大小都大于所述云端安全服务中心对所述流量清洗装置的监控流量阈值时,确定所述流量清洗装置正在接受DDOS攻击;
其中,所述流量清洗装置传输的报文流量大小是所述流量清洗装置发送给所述受保护端的报文流量大小,或者,是所述流量清洗装置接收的客户端指示发送给所述受保护端的报文流量大小;N为正整数。
10.如权利要求9所述的云端安全服务中心,其特征在于,所述判断模块具体用于:
根据最近预设时长内所述流量清洗装置传输的报文流量大小,确定目标流量阈值;
如果所述流量清洗装置在最近N个上报周期的每个上报周期内上报的流量统计数据中,所述流量清洗装置传输的报文流量大小都大于所述目标流量阈值,则确定所述流量清洗装置正在接受DDOS攻击;否则,确定所述流量清洗装未在接受DDOS攻击。
11.如权利要求10所述的云端安全服务中心,其特征在于,所述判断模块还用于:
将所述监控流量阈值替换为所述目标流量阈值。
12.如权利要求8所述的云端安全服务中心,其特征在于,所述第一发送模块具体用于:
向所述流量清洗装置发送周期性抓取报文的指令;
所述防护策略生成模块具体用于:
基于所述流量清洗装置周期性获取的报文,持续为所述流量清洗装置生成更新的防护策略;
所述第一发送模块还用于:
在检测到受保护端的状态不满足预设的故障条件后,向所述流量清洗装置发送停止抓取报文的指令。
13.如权利要求8所述的云端安全服务中心,其特征在于,所述判断模块还用于:
在检测到受保护端的状态不满足预设的故障条件时,如果确定所述流量清洗装置在最近N个上报周期的每个上报周期内上报给所述云端安全服务中心的流量统计数据中,流量清洗装置传输的报文流量大小都大于云端安全服务中心对所述流量清洗装置的监控流量阈值,则将所述监控流量阈值替换为在所述N个上报周期内上报的流量统计数据中,所述流量清洗装置传输的报文流量大小的平均值;
其中,流量清洗装置传输的报文流量大小是所述流量清洗装置发送给所述受保护端的报文流量大小,或者,是所述流量清洗装置接收的客户端指示发送给所述受保护端的报文流量大小。
14.一种流量清洗装置,其特征在于,该流量清洗装置包括:
数据发送模块,用于向云端安全服务中心发送流量统计数据,以使所述云端安全服务中心基于该流量统计数据判断流量清洗装置是否正在接受DDOS攻击;
第一接收模块,用于接收所述云端安全服务中心在确定所述流量清洗装置正在接受DDOS攻击后发送的抓取报文的指令;
处理模块,用于基于接收的所述抓取报文的指令,抓取自身处理的报文,并将所述报文发送给所述云端安全服务中心;
第二接收模块,用于接收所述云端安全服务中心基于所述报文生成的更新后的防护策略;
防御模块,用于基于更新后的防护策略,对DDOS攻击进行防御。
CN201610967129.9A 2016-10-28 2016-10-28 一种防御分布式拒绝服务攻击的方法及装置 Pending CN106357685A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610967129.9A CN106357685A (zh) 2016-10-28 2016-10-28 一种防御分布式拒绝服务攻击的方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610967129.9A CN106357685A (zh) 2016-10-28 2016-10-28 一种防御分布式拒绝服务攻击的方法及装置

Publications (1)

Publication Number Publication Date
CN106357685A true CN106357685A (zh) 2017-01-25

Family

ID=57864930

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610967129.9A Pending CN106357685A (zh) 2016-10-28 2016-10-28 一种防御分布式拒绝服务攻击的方法及装置

Country Status (1)

Country Link
CN (1) CN106357685A (zh)

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106792712A (zh) * 2017-02-26 2017-05-31 上海交通大学 针对VoLTE设备的SIP协议的自动监测框架系统
CN108737351A (zh) * 2017-04-25 2018-11-02 中国移动通信有限公司研究院 一种分布式拒绝服务攻击防御控制方法和调度设备
CN108810008A (zh) * 2018-06-28 2018-11-13 腾讯科技(深圳)有限公司 传输控制协议流量过滤方法、装置、服务器及存储介质
CN109831455A (zh) * 2019-03-14 2019-05-31 东南大学 一种缓解命名数据网络中隐蔽兴趣包泛洪攻击的方法
CN109889470A (zh) * 2017-12-06 2019-06-14 中国科学院声学研究所 一种基于路由器防御DDoS攻击的方法和系统
CN110336801A (zh) * 2019-06-20 2019-10-15 杭州安恒信息技术股份有限公司 一种抗DDoS设备选择的方法
CN111131199A (zh) * 2019-12-11 2020-05-08 中移(杭州)信息技术有限公司 业务攻击流量清洗控制方法、装置、服务器及存储介质
CN111181910A (zh) * 2019-08-12 2020-05-19 腾讯科技(深圳)有限公司 一种分布式拒绝服务攻击的防护方法和相关装置
CN111224960A (zh) * 2019-12-27 2020-06-02 北京天融信网络安全技术有限公司 信息处理方法、装置、电子设备及存储介质
CN111431930A (zh) * 2020-04-10 2020-07-17 武汉光迅信息技术有限公司 流量清洗方法及相关设备
WO2022084625A1 (fr) * 2020-10-22 2022-04-28 Orange Procédés et dispositifs de protection de flux de paquets
CN114448685A (zh) * 2022-01-13 2022-05-06 绿盟科技集团股份有限公司 一种生成网络协议报文防护策略的方法及装置

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101299724A (zh) * 2008-07-04 2008-11-05 杭州华三通信技术有限公司 流量清洗的方法、系统和设备
CN101938459A (zh) * 2010-06-22 2011-01-05 北京豪讯美通科技有限公司 全程全网安全协同防御系统
CN101938460A (zh) * 2010-06-22 2011-01-05 北京豪讯美通科技有限公司 全程全网安全协同防御系统的协同防御方法
US8117657B1 (en) * 2007-06-20 2012-02-14 Extreme Networks, Inc. Detection and mitigation of rapidly propagating threats from P2P, IRC and gaming
CN104519016A (zh) * 2013-09-29 2015-04-15 中国电信股份有限公司 防火墙自动防御分布式拒绝服务攻击的方法和装置

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8117657B1 (en) * 2007-06-20 2012-02-14 Extreme Networks, Inc. Detection and mitigation of rapidly propagating threats from P2P, IRC and gaming
CN101299724A (zh) * 2008-07-04 2008-11-05 杭州华三通信技术有限公司 流量清洗的方法、系统和设备
CN101938459A (zh) * 2010-06-22 2011-01-05 北京豪讯美通科技有限公司 全程全网安全协同防御系统
CN101938460A (zh) * 2010-06-22 2011-01-05 北京豪讯美通科技有限公司 全程全网安全协同防御系统的协同防御方法
CN104519016A (zh) * 2013-09-29 2015-04-15 中国电信股份有限公司 防火墙自动防御分布式拒绝服务攻击的方法和装置

Cited By (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106792712A (zh) * 2017-02-26 2017-05-31 上海交通大学 针对VoLTE设备的SIP协议的自动监测框架系统
CN106792712B (zh) * 2017-02-26 2020-04-03 上海交通大学 针对VoLTE设备的SIP协议的自动监测框架系统
CN108737351A (zh) * 2017-04-25 2018-11-02 中国移动通信有限公司研究院 一种分布式拒绝服务攻击防御控制方法和调度设备
CN109889470B (zh) * 2017-12-06 2020-06-26 中国科学院声学研究所 一种基于路由器防御DDoS攻击的方法和系统
CN109889470A (zh) * 2017-12-06 2019-06-14 中国科学院声学研究所 一种基于路由器防御DDoS攻击的方法和系统
CN108810008A (zh) * 2018-06-28 2018-11-13 腾讯科技(深圳)有限公司 传输控制协议流量过滤方法、装置、服务器及存储介质
CN108810008B (zh) * 2018-06-28 2020-06-30 腾讯科技(深圳)有限公司 传输控制协议流量过滤方法、装置、服务器及存储介质
CN109831455A (zh) * 2019-03-14 2019-05-31 东南大学 一种缓解命名数据网络中隐蔽兴趣包泛洪攻击的方法
CN109831455B (zh) * 2019-03-14 2021-04-20 东南大学 一种缓解命名数据网络中隐蔽兴趣包泛洪攻击的方法
CN110336801A (zh) * 2019-06-20 2019-10-15 杭州安恒信息技术股份有限公司 一种抗DDoS设备选择的方法
CN110336801B (zh) * 2019-06-20 2021-07-06 杭州安恒信息技术股份有限公司 一种抗DDoS设备选择的方法
CN111181910A (zh) * 2019-08-12 2020-05-19 腾讯科技(深圳)有限公司 一种分布式拒绝服务攻击的防护方法和相关装置
CN111181910B (zh) * 2019-08-12 2021-10-08 腾讯科技(深圳)有限公司 一种分布式拒绝服务攻击的防护方法和相关装置
CN111131199A (zh) * 2019-12-11 2020-05-08 中移(杭州)信息技术有限公司 业务攻击流量清洗控制方法、装置、服务器及存储介质
CN111131199B (zh) * 2019-12-11 2022-06-03 中移(杭州)信息技术有限公司 业务攻击流量清洗控制方法、装置、服务器及存储介质
CN111224960A (zh) * 2019-12-27 2020-06-02 北京天融信网络安全技术有限公司 信息处理方法、装置、电子设备及存储介质
CN111431930A (zh) * 2020-04-10 2020-07-17 武汉光迅信息技术有限公司 流量清洗方法及相关设备
WO2022084625A1 (fr) * 2020-10-22 2022-04-28 Orange Procédés et dispositifs de protection de flux de paquets
FR3115648A1 (fr) * 2020-10-22 2022-04-29 Orange Procédés et dispositifs de protection de flux de paquets
CN114448685A (zh) * 2022-01-13 2022-05-06 绿盟科技集团股份有限公司 一种生成网络协议报文防护策略的方法及装置
CN114448685B (zh) * 2022-01-13 2023-11-03 绿盟科技集团股份有限公司 一种生成网络协议报文防护策略的方法及装置

Similar Documents

Publication Publication Date Title
CN106357685A (zh) 一种防御分布式拒绝服务攻击的方法及装置
Zheng et al. Realtime DDoS defense using COTS SDN switches via adaptive correlation analysis
CN107454109B (zh) 一种基于http流量分析的网络窃密行为检测方法
CN104539594B (zh) 融合DDoS威胁过滤与路由优化的SDN架构、系统及工作方法
KR100800370B1 (ko) 어택 서명 생성 방법, 서명 생성 애플리케이션 적용 방법, 컴퓨터 판독 가능 기록 매체 및 어택 서명 생성 장치
CN109951500A (zh) 网络攻击检测方法及装置
KR100942456B1 (ko) 클라우드 컴퓨팅을 이용한 DDoS 공격 탐지 및 차단 방법 및 서버
CN104660582B (zh) DDoS识别、防护和路径优化的软件定义的网络架构
DE60307581T2 (de) Verbessertes geheimes Hashen der TCP SYN/FIN-Korrespondenz
CN102263788B (zh) 一种用于防御指向多业务系统的DDoS攻击的方法与设备
CN102801738B (zh) 基于概要矩阵的分布式拒绝服务攻击检测方法及系统
Shamsolmoali et al. Statistical-based filtering system against DDOS attacks in cloud computing
US20090288156A1 (en) System and method for detecting and eliminating ip spoofing in a data transmission network
CN104539595B (zh) 一种集威胁处理和路由优化于一体的sdn架构及工作方法
CN101505219B (zh) 一种防御拒绝服务攻击的方法和防护装置
CN103561004A (zh) 基于蜜网的协同式主动防御系统
CN109327426A (zh) 一种防火墙攻击防御方法
CN106992955A (zh) Apt防火墙
CN103297433A (zh) 基于网络数据流的http僵尸网络检测方法及系统
CN109561051A (zh) 内容分发网络安全检测方法及系统
CN107911244A (zh) 一种云网结合的多用户蜜罐终端系统及其实现方法
CN107623685A (zh) 快速检测SYN Flood攻击的方法及装置
CN102130920A (zh) 一种僵尸网络的发现方法及其系统
CN106302450A (zh) 一种基于ddos攻击中恶意地址的检测方法及装置
Saad et al. ICMPv6 flood attack detection using DENFIS algorithms

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20170125