CN106411828A - 量化防御结果的方法、装置及系统 - Google Patents

量化防御结果的方法、装置及系统 Download PDF

Info

Publication number
CN106411828A
CN106411828A CN201510479361.3A CN201510479361A CN106411828A CN 106411828 A CN106411828 A CN 106411828A CN 201510479361 A CN201510479361 A CN 201510479361A CN 106411828 A CN106411828 A CN 106411828A
Authority
CN
China
Prior art keywords
data flow
defence
suspicious
destination end
traffic
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201510479361.3A
Other languages
English (en)
Other versions
CN106411828B (zh
Inventor
马乐乐
祝建跃
朱家睿
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Alibaba Group Holding Ltd
Original Assignee
Alibaba Group Holding Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Alibaba Group Holding Ltd filed Critical Alibaba Group Holding Ltd
Priority to CN201510479361.3A priority Critical patent/CN106411828B/zh
Priority to PCT/CN2016/090812 priority patent/WO2017020712A1/zh
Priority to EP16832200.6A priority patent/EP3334117B1/en
Publication of CN106411828A publication Critical patent/CN106411828A/zh
Priority to US15/887,796 priority patent/US11159561B2/en
Application granted granted Critical
Publication of CN106411828B publication Critical patent/CN106411828B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • H04L47/2425Traffic characterised by specific attributes, e.g. priority or QoS for supporting services specification, e.g. SLA
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • H04L69/163In-band adaptation of TCP data exchange; In-band control procedures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请实施例提供量化防御结果的方法及系统,其中方法包括:获取可疑数据流量集合,可疑数据流量集合为位于云平台的防御端由所述原始数据流量所包含的可疑IP地址集合中每个可疑IP地址对应的数据流量所组成的;获取正常数据流量,正常数据流量为所述防御端对所述可疑数据流量集合按预设防御策略清洗后剩余的数据流量;获权主机性能参数,主机性能参数为所述防御端在将所述正常数据流量发送至目标端后,在所述目标端上提取得到的参数的集合;基于目标参数集合来量化防御结果;所述目标参数集合至少包括:可疑数据流量集合、正常数据流量和主机性能参数。由于本申请计算防御结果的评价角度和指标较为全面,从而使得防御结果较为准确。

Description

量化防御结果的方法、装置及系统
技术领域
本申请涉及网络技术领域,尤其涉及量化防御结果的方法、装置及系统。
背景技术
随着网络技术的不断进步,网络领域中的网络攻击也越来越多。目前,在众多网络攻击中分布式拒绝服务攻击(Distributed Denial of Service,DDoS)已经成为较为严重的攻击手段。为此,在原有系统架构中加入防御端来阻挡DDoS攻击。
如图1所示,为现有网络系统架构的一种示意图。由图示可知,系统架构包含业务端、路由设备、防御端和目标端。其中,业务端包含正常业务端和攻击端。攻击端发送多种形式的攻击数据流量,防御端依据自身内部的防御策略阻挡攻击数据流量。
防御端中的防御策略过松,则会导致大量的攻击流量攻击目标端;但是防御策略过紧,则会影响正常业务端向目标端发送正常的数据流量。因此,需要评估防御端防御策略的防御结果,并根据防御结果来确定适当的防御策略。
目前,由于评估防御结果过程中使用方法不完善、参数指标不全面以及数据流量不完整,所以导致评估防御结果的结果不准确。
发明内容
本申请提供了量化防御结果的方法、装置及系统,通过改进评估方法,提高评估防御结果的准确性。另外,结合云平台更进一步提高数据流量的完整性。
为了实现上述目的,本申请采用以下技术手段:
一种量化防御结果的方法,包括:
获取可疑数据流量集合,所述可疑数据流量集合为位于云平台的防御端经核心路由牵引业务端访问目标端的原始数据流量后,由所述原始数据流量所包含的可疑IP地址集合中每个可疑IP地址对应的数据流量所组成的,所述可疑IP地址集合为依据预设检测规则在所述原始数据流量中确定的;
获取正常数据流量,所述正常数据流量为所述防御端对所述可疑数据流量集合按预设防御策略清洗后剩余的数据流量;
获权主机性能参数,所述主机性能参数为所述防御端在将所述正常数据流量发送至目标端后,在所述目标端上提取得到的参数的集合;
基于目标参数集合来量化防御结果;其中,所述目标参数集合至少包括:所述可疑数据流量集合、正常数据流量和主机性能参数。
优选的,所述目标参数集合还包括:
与所述防御端相连的业务监控装置发送的访问成功率;其中,所述访问成功率为所述业务监控装置在控制多个位于不同地理位置的业务端访问所述目标端后,依据所述目标端反馈的请求成功率和请求时延计算得到的。
优选的,所述目标参数集合还包括网络服务质量;其中,所述网络服务质量为所述防御端依据可疑数据流量集合和所述正常数据流量计算得到的。
优选的,所述可疑流量清洗装置中的所述预设防御策略对应期望SLA等级;则所述基于目标参数集合来量化防御结果包括:
利用所述目标参数集合以及预设参数集合确定所述各个参数的变化值集合;其中,所述预设参数集合为预先存储的、无攻击数据流量的情况下各个参数的集合;
将所述各个参数的变化值集合与所述期望SLA等级中的各个参数范围进行匹配;
若匹配成功,则确定所述防御端的防御效果达到所述期望SLA等级;
若匹配不成功,则确定所述防御端的防御效果未达到所述期望SLA等级。
优选的,还包括:
若匹配不成功,则将当前的防御策略的前一防御策略,确定为所述预设防御策略;
其中,所述防御端中存储有按顺序排列的多个SLA等级,以及,与每个SLA等级对应的一个防御策略,SLA等级越小表示目标端所享受的服务等级越高,并且,前一SLA等级的对应的防御策略优于后一SLA等级对应的防御策略。
优选的,所述利用所述目标参数集合以及预设参数集合确定所述各个参数的变化值集合,包括:
依据所述可疑数据流量集合和所述正常数据流量,计算输入协议报文和输出协议报文变化率的变化量集合;其中,所述输入协议报文从所述可疑数据流量集合中提取得到的,所述输出协议报文从所述正常数据流量中提取得到;和,
计算所述正常数据流量的核心数据集与所述预设参数集合中的预设核心数据集之间的标准差集合;其中,所述核心数据集包括请求应答率、业务成功率、30x状态码的占比、40x状态码的占比、50x状态码的占比和正常用户请求的时延;和,
计算所述主机性能参数和所述预设参数集合中的预设主机性能参数之间的第二变化值集合;和/或,
计算所述访问成功率与所述预设参数集合中预设访问成功率的第三变化值集合;和/或,
计算所述网络服务质量与所述预设参数集合中预设网络服务质量的第四变化值集合。
优选的,依据所述可疑数据流量集合和所述正常数据流量,计算输入协议报文和输出协议报文变化率的变化量集合,包括:
计算输入方向的syn报文与输出方向的syn报文的差值,将该差值与所述输入方向的syn报文的比值作为syn报文的增加率;
计算输入方向的syn-ack报文与输出方向的syn-ack报文的差值,将该差值与所述输入方向的syn-ack报文比值作为的syn-ack报文的增加率;
将所述syn报文的增加率与所述syn-ack报文的增加率的差值,确定为所述变化量集合。
优选的,所述计算所述正常数据流量的核心数据集与所述预设参数集合中的预设核心数据集之间的标准差集合,包括:
计算所述核心数据集与预设核心数据集中,针对请求应答率的第一标准差、针对业务成功率的第二标准差、针对30x状态码的占比的第三标准差、针对40x状态码的占比的第四标准差、针对50x状态码的占比的第五标准差和针对正常用户请求的时延的第六标准差;
将所述第一标准差、所述第二标准差、所述第三标准差、所述第四标准差、所述第五标准差和所述第六标准差的集合,确定为所述标准差集合。
优选的,所述访问成功率包括请求成功率和请求时延;则所述计算所述访问成功率与所述预设参数集合中预设访问成功率的第三变化值集合,包括:
计算所述访问成功率中请求成功率与预设访问成功率中请求成功率的变化率;
计算所述访问成功率中请求时延与预设访问成功率中请求时延的变化量;
将所述变化率和所述变化量,确定为所述第三变化值集合。
优选的,所述主机性能参数包括:
所述目标端的主机在接收到第一个syn包之后半开链接的数量;
所述目标端的主机CPU;
所述目标端的主机内存;
所述目标端的连接表;
所述目标端的主机输入输出次数;以及,
所述目标端的主机的进出流量占比。
优选的,所述网络服务质量包括:
在清洗所述原始数据流量过程中带来的网络延时;
在清洗所述原始数据流量过程中带来的网络丢包率;
在清洗所述原始数据流量过程中带来的TCP可用性;
在清洗所述原始数据流量过程中带来的UDP可用性;以及,
在清洗所述原始数据流量过程中带来的抖动。
一种量化防御结果的系统,包括:
业务端、位于云平台的防御端、目标端以及与所述业务端、所述防御端和所述目标端相连的核心路由;
所述核心路由,用于复制业务端访问目标端的原始数据流量,获得副本数据流量;
所述防御端,用于获取可疑数据流量集合,所述可疑数据流量集合为位于云平台的防御端经核心路由牵引业务端访问目标端的原始数据流量后,由所述原始数据流量所包含的可疑IP地址集合中每个可疑IP地址对应的数据流量所组成的,所述可疑IP地址集合为依据预设检测规则在所述原始数据流量中确定的;获取正常数据流量,所述正常数据流量为所述防御端对所述可疑数据流量集合按预设防御策略清洗后剩余的数据流量;获权主机性能参数,所述主机性能参数为所述防御端在将所述正常数据流量发送至目标端后,在所述目标端上提取得到的参数的集合;基于目标参数集合来量化防御结果;其中,所述目标参数集合至少包括:所述可疑数据流量集合、正常数据流量和主机性能参数。
优选的,所述防御端包括:
与所述核心路由相连的可疑流量检测装置,用于依据预设检测规则分析所述副本数据流量,获得所述副本数据流量中包含的可疑IP地址集合,并发送所述可疑IP地址集合;
与所述核心路由和所述可疑流量检测装置相连的可疑流量清洗装置,用于获取所述可疑IP地址集合,在所述核心路由的原始数据流量中牵引可疑数据流量集合,其中,按预设防御策略清洗所述可疑数据流量集合,并将所述可疑数据流量集合在清洗后剩余的正常数据流量,转发至所述目标端;
与所述可疑流量检测装置、所述可疑流量清洗装置和所述目标端相连的云主机,用于在所述可疑流量检测装置上获取所述可疑数据流量集合,所述可疑数据流量集合中包含与每个可疑IP地址对应的可疑数据流量;在所述可疑流量清洗装置上获取正常数据流量,在将所述正常数据流量发送至目标端后,在所述目标端上获取表示目标端性能的主机性能参数。
优选的,所述系统还包括:
与所述云主机相连的业务监控装置,用于控制多个位于不同地理位置的业务主机访问所述目标端,依据所述目标端反馈的访问成功率和请求时延,计算访问成功率;将所述访问成功率发送至所述云主机;
相应的,所述目标参数集合还包括所述访问成功率。
优选的,所述云主机还用于,依据所述可疑数据流量集合和所述正常数据流量,计算网络服务质量;
相应的,所述目标参数集合还包括所述网络服务质量。
优选的,所述核心路由还用于,将可疑流量清洗装置在原始数据流量中牵引可疑数据流量集合之后剩余的数据流量,转发至所述目标端。
优选的,所述云主机具体用于,利用所述目标参数集合以及预设参数集合确定所述各个参数的变化值集合;将所述各个参数的变化值集合与所述期望SLA等级中的各个参数范围进行匹配;若匹配成功,则确定防御端的防御效果达到所述期望SLA等级;若匹配不成功,确定所述防御端的防御效果未达到所述期望SLA等级。
优选的,所述云主机还用于,在匹配不成功的情况下,将当前的防御策略的前一防御策略,确定为所述预设防御策略;
其中,所述预设参数集合为预先存储的、无攻击数据流量的情况下各个参数的集合;所述防御端中存储有按顺序排列的多个SLA等级,以及,与每个SLA等级对应的一个防御策略,SLA等级越小表示目标端所享受的服务等级越高,并且,前一SLA等级的对应的防御策略优于后一SLA等级对应的防御策略。
优选的,所述主机性能参数,包括:
所述目标端的主机在接收到第一个syn包之后半开链接的数量;
所述目标端的主机CPU;
所述目标端的主机内存;
所述目标端的连接表;
所述目标端的主机输入输出次数;以及,
所述目标端的主机的进出流量占比。
优选的,所述网络服务质量包括:
在清洗所述原始数据流量过程中带来的网络延时;
在清洗所述原始数据流量过程中带来的网络丢包率;
在清洗所述原始数据流量过程中带来的TCP可用性;
在清洗所述原始数据流量过程中带来的UDP可用性;以及,
在清洗所述原始数据流量过程中带来的抖动。
由以上技术内容可以看出本申请具有以下有益效果:
本申请实施例将防御端设置于云平台,在云平台防御端可以将业务端的原始数据流量牵引到自身,目标端的业务一般都是在云平台上运行,所以防御端可以在云平台上获得目标端的数据流量,同时,防御端还可以获得自身的数据流量。所以,在云平台下可以将业务端、目标端和防御端三者的数据流量统一集中,从而可以获得三端的数据流量。由于,本申请中可以将业务端、防御端和目标端三部分的数据流量进行统一分析,从而使得评估防御结果的评价角度和指标较为全面,进而使得防御结果较为准确。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为现有网络系统架构的一种示意图;
图2为本申请实施例公开的量化防御结果的系统的结构示意图;
图3为本申请实施例公开的又一量化防御结果的系统的结构示意图;
图4为本申请实施例公开的又一量化防御结果的系统的结构示意图;
图5为本申请实施例公开的又一量化防御结果的系统的结构示意图;
图6为本申请实施例公开的量化防御结果的方法的流程图;
图7为本申请实施例公开的量化防御结果的方法中计算防御结果的流程图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
现有技术中在量化防御结果过程中的评价角度和评价指标不全面的根本原因在于:无法将业务端、防御端和目标端三者的数据流量进行统一集中。三者的数据流量无法统一集中的原因为:攻击端的数据流量来自网络的外部,防御端的数据流量一般是在网络的边界或者出口,目标端的数据流量一般是归属用户自己管理,即三者的数据流量不在同一系统中;并且,业务端、目标端和防御端三者之间无接口,即三者之间数据流量无法通过接口进行数据共享;所以三者数据流量难以统一集中。
为此,本申请提供的一种量化防御结果的系统。如图2所示,量化防御结果的系统包括:业务端100,位于云平台的防御端200,目标端300,以及,与所述业务端100、防御端200和目标端300相连的核心路由400。本实施例中防御端200旁路设置在核心路由400的一侧。
下面详细介绍量化防御结果的系统中各部分的作用:
(1)业务端100
本申请中业务端100可以包含有多个业务主机,每个业务主机均有唯一的源地址(IP地址),每个业务主机均可以向目标端300发送数据流量。因此,业务端100向目标端300发送的原始数据流量中包含有多个业务主机发送的数据流量,每个数据流量中均包含业务主机的源地址,即原始数据流量中包含有多个业务主机的源地址(IP地址)。
由于一部分业务主机是正常业务主机,一部分业务主机是攻击业务主机,所以原始数据流量中一部分是由正常业务主机发送的正常数据流量,一部分是由攻击业务主机发送的攻击数据流量。
业务端100可以将旨在发送至目标端300的原始数据流量发送至核心路由400。
(2)核心路由400
核心路由400,用于复制业务端访问目标端的原始数据流量,获得副本数据流量。
核心路由400可以采用分光器分光方式或者软件程序复制的方式,将业务端100访问目标端300的原始数据流量进行复制,从而得到与原始数据流量一致的副本数据流量。这可以方便后续防御端200可以对副本数据流量进行检测,以查看副本数据流量中是否有具有攻击数据流量。
(3)防御端200
如图3所示,所述防御端200具体包括:
(a)可疑流量检测装置201。
可疑流量检测装置201与所述核心路由400相连,用于依据预设检测规则分析所述副本数据流量,获得所述副本数据流量中包含的可疑IP地址集合,并发送所述可疑IP地址集合。
可疑流量检测装置201中的预设检测规则可以为具有攻击性的多个异常IP地址。由可疑IP地址发送而来的数据流量为可能具有攻击性的可疑数据流量。
可疑流量检测装置201在获得副本数据流量后,可以提取其中所有IP地址,然后可以将所有IP地址与预设检测规则中的异常IP地址进行对比。当副本数据流量中所有IP地址包含有异常IP地址时,则说明副本数据流量中包含有可疑数据流量。
将副本数据流量中所包含的所有异常IP地址作为可疑IP地址,将所有可疑IP地址的集合称为可疑IP地址集合,将可疑IP地址集合发送至可疑流量清洗装置202。
在确定可疑IP地址集合后,在副本数据流量中提取与每个可疑IP地址对应的可疑数据流量,将所有可疑数据流量的集合称为可疑数据流量集合;并将可疑数据流量集合发送至云主机203,供云主机203计算防御结果使用。
(b)可疑流量清洗装置202。
与所述核心路由400和所述可疑流量检测装置201相连的可疑流量清洗装置202,用于获取所述可疑IP地址集合,在所述核心路由400的原始数据流量中牵引可疑数据流量集合,其中,按预设防御策略清洗所述可疑数据流量集合,并将所述可疑数据流量集合在清洗后剩余的正常数据流量,转发至所述目标端300。
可疑流量清洗装置202在获得可疑IP地址集合之后,便在核心路由400的原始数据流量中牵引与每个可疑IP地址对应的可疑数据流量,并将所有可疑数据流量的集合组成可疑数据流量集合。
在原始数据流量中去除可疑数据流量集合后剩余数量,为不具有攻击性IP地址对应的数据流量,所以这部分数据流量可以不用牵引至可疑流量清洗装置202中进行清洗,直接由核心路由400转发至目标端300即可。
可疑数据流量集合为从可疑IP地址传输而来的数据流量,所以可疑数据流量集合中可疑数据流量可能是正常数据流量,可能是攻击数据流量。因此,可疑流量清洗装置202在获得可疑数据流量集合后,需要依据预设防御策略清洗可疑数据流量集合中的攻击数据流量。
可见,本申请中可疑流量清洗装置203仅需对原始数据流量中可疑数据流量集合进行清洗即可,而无需全部的原始数据流量进行清洗。由于减少了可疑流量清洗装置203的数据流量,所以,可以提高可疑流量清洗装置203的清洗效率。
理论上,经过可疑流量清洗装置202清洗之后输出的数据流量为不具有攻击性的正常数据流量。所以,可以将正常数据流量转发至目标端300,以便业务端100访问目标端300的正常数据流量可以转发至目标端300。
现实情况下,可疑流量清洗装置202中的预设防御策略并一定是最适用于目标端的防御策略。即按预设防御策略清洗可疑数据流量集合后得到的数据流量中仍然有攻击数据流量(此时说明防御策略过松);或者,清洗后得到的数据流量中原本正常的数据流量被清洗掉(此时说明防御策略过紧)。
因此,可疑流量清洗装置202可以将可疑数据流量集合在清洗后剩余的正常数据流量,发送至云主机203,以便供云主机203计算防御结果,从而根据防御结果来改善预设防御策略。
(c)云主机203。
与所述可疑流量检测装置201、所述可疑流量清洗装置202和所述目标端300相连的云主机203,用于在所述可疑流量检测装置201上获取所述可疑数据流量集合,所述可疑数据流量集合中包含与每个可疑IP地址对应的可疑数据流量;在所述可疑流量清洗装置202上获取正常数据流量,在将所述正常数据流量发送至目标端300后,在所述目标端300上获取表示目标端300性能的主机性能参数;将目标参数集合确定为量化防御结果的基础;其中,所述目标参数集合至少包括:所述可疑数据流量集合、所述正常数据流量和所述主机性能参数。
云主机203在可疑流量检测装置201上获取可疑数据流量集合,在可疑流量清洗装置202上获取按预设防御策略清洗后的正常数据流量,利用这两部分数据计算清洗前和清洗后的数据流量的变化率;并将变化率作为量化防御结果的一个依据。
由于清洗后的正常数据流量发送至目标端300,所以,正常数据流量会对目标端产生直接的影响,即目标端300的性能状态最先产生变化,例如,CPU占用过多、无法响应等等。因此,在将清洗后得到的正常数据流量发送至目标端300后,可以提取目标端的主机性能参数,将主机性能参数作为量化防御结果的一个依据。
其中,所述主机性能参数,包括:
所述目标端的主机在接收到第一个syn包之后半开链接的数量;所述目标端的主机CPU;所述目标端的主机内存;所述目标端的连接表;所述目标端的主机输入输出次数;以及,所述目标端的主机的进出流量占比。
在本申请提供的量化防御结果的系统下,位于云平台的防御端200可以在核心路由上通过路由调度策略将业务端100的原始数据流量牵引至自身;目标端300的业务一般都是在云平台上运行,所以,防御端200可以在云平台上获得目标端300的数据流量;同时,位于云平台的防御端200还可以在云平台获得自身的数据流量。所以,在云平台上可以将业务端100、目标端300和防御端200三者的数据流量进行统一集中。
此外,由于业务端100、目标端300和防御端200三者的数据流量均经过云平台下,云平台具有统一数据格式的作用。因此,云平台上可以将三者的数据格式统一,从而可以方便对三者的数据流量进行统一分析。因此,在云平台上防御端200可以通过大数据分析的能力,同时对业务端100、目标端300和防御端200三者数据流量进行统一分析,由于量化防御结果的评估角度和指标较为全面,所以可以得到准确的防御效果。
为了使云主机203计算得到的防御结果更加准确,如图4所示,本申请提供的量化防御结果的系统还包括:
与所述云主机相连的业务监控装置500。
业务监控装置500用于控制多个位于不同地理位置的业务主机访问所述目标端300,依据所述目标端300反馈的请求成功率和请求时延,计算访问成功率;将所述访问成功率发送至所述云主机203。将访问成功率作为目标参数集合的一员,以便供云主机203计算防御结果。
在可疑流量清洗装置202将清洗后的正常数据流量发送至目标端300之后,正常数据流量(若清洗效果不好则可能携带有攻击数据流量)可能会目标端造成正常运行造成影响。例如,假设目标端为“淘宝网”,在正常数据流量发送至目标端之后,可能造成用户无法正常打开“淘宝网”页面的情况。
所以,业务监控装置500可以控制位于不同地址位置的多个业务主机访问目标端300,来计算目标端300的访问成功率,从访问成功率上查看清洗后的正常数据流量是否对目标端的正常业务造成影响。
例如,控制地理位置为深圳、北京、上海和广州等多个业务主机访问“淘宝网”,根据“淘宝网”是否能够打开页面以及打开页面的速度,来计算多个业务主机的访问成功率。然后,将多个业务主机的平均访问成功率作为“淘宝网”的访问成功率。
在得到目标端300的访问成功率之后,将访问成功率作为目标参数集合的一员,以便供云主机203计算防御结果。
此外,量化防御结果的目标参数集合中还可以包括:网络服务质量。
防御端200对可疑数据流量集合进行清洗的过程中,可能会引起整体网络的抖动,造成网络服务质量下降、目标端300的访问成功率下降和主机性能参数下降,进而影响防御结果的计算。所以,所述云主机203还用于,依据所述可疑数据流量集合和所述正常数据流量,计算网络服务质量;并将所述网络服务质量作为目标参数集合的一员。这使得云主机203在计算防御结果时可以考虑网络服务质量,从而得出合理的防御效果。
其中,网络服务质量包括:所述网络服务质量包括:
在清洗所述原始数据流量过程中带来的网络延时;
在清洗所述原始数据流量过程中带来的网络丢包率;
在清洗所述原始数据流量过程中带来的TCP可用性;
在清洗所述原始数据流量过程中带来的UDP可用性;以及,
在清洗所述原始数据流量过程中带来的抖动。
上述图2-图4所示的量化防御结果的系统即适用于光纤网络又适用于非光纤网络。在光纤网络中数据流量较大,所以利用核心路由对原始流量进行复制的速率较慢。为了加快对原始数据流量的复制过程,本申请提供了一种适用于光线网络的量化防御结果的系统。
如图5所示,本申请的量化防御结果的系统,包括:
业务端100,与所述业务端100相连的分光器600,位于云平台的防御端200,目标端300,以及,与所述分光器600、防御端200和目标端300相连的核心路由400。本实施例中防御端200旁路设置在核心路由400的一侧。
本实施例中由分光器600来实现对业务端100发送至目标端300的原始流量进行复制得到副本数据流量的过程,并将副本数据流量和原始数据流量发送至核心路由400。本实施例中其它内容与图2-图4所示的内容一致,在此不再赘述。
在上述图2-图5所示的量化防御结果的系统的基础上,下面介绍本申请的量化防御结果的方法的实施例,本实施例应用于量化防御结果的系统的防御端的云主机。如图6所示,所述方法具体包括以下步骤S601~S602:
步骤S601:获取可疑数据流量集合;其中,所述可疑数据流量集合为位于云平台的防御端经核心路由牵引业务端访问目标端的原始数据流量后,由所述原始数据流量所包含的可疑IP地址集合中每个可疑IP地址对应的数据流量所组成的,所述可疑IP地址集合为依据预设检测规则在所述原始数据流量中确定的。
步骤S602:获取正常数据流量;其中,所述正常数据流量为所述防御端对所述可疑数据流量集合按预设防御策略清洗后剩余的数据流量。
步骤S603:获权主机性能参数;其中,所述主机性能参数为所述防御端在将所述正常数据流量发送至目标端后,在所述目标端上提取得到的参数的集合。
步骤S604:基于目标参数集合来量化防御结果;其中,所述目标参数集合至少包括:所述可疑数据流量集合、正常数据流量和主机性能参数。
此外,所述目标参数集合还包括:
与所述防御端相连的业务监控装置发送的访问成功率;其中,所述访问成功率为所述业务监控装置在控制多个位于不同地理位置的业务端访问所述目标端后,依据所述目标端反馈的请求成功率和请求时延计算得到的。
网络服务质量;其中,所述网络服务质量为所述防御端依据可疑数据流量集合和所述正常数据流量计算得到的。
防御端的云主机获取目标参数集合的过程,已在图2-图5所示的量化防御结果的系统实施例中进行清楚说明,此处不再赘述。
由此可以看出,本申请具有以下有益效果:
本申请实施例将防御端设置于云平台,在云平台防御端可以将业务端的原始数据流量牵引到自身,目标端的业务一般都是在云平台上运行,所以防御端可以在云平台上获得目标端的数据流量,同时,防御端还可以获得自身的数据流量。所以,在云平台下可以将业务端、目标端和防御端三者的数据流量统一集中,从而可以获得三端的数据流量。由于,本申请中可以将业务端、防御端和目标端三部分的数据流量进行统一分析,从而使得评估防御结果的评价角度和指标较为全面,进而使得防御结果较为准确。
在得到目标参数集合后可以计算防御结果。在介绍计算防御结果的内容之前,首先说明防御端中可疑流量清洗装置所使用的防御策略和SLA等级。其中,SLA为Service-Level Agreement的缩写,意思是服务等级协议。SLA为关于网络服务供应商和客户间的一份合同,其中定义了服务类型、服务质量和客户付款等术语。
在防御端中预先存储有多个防御策略,一个防御策略对应一个理论上应达到的SLA等级。比如,第一SLA等级对应第一防御策略,第二SLA等级对应第二防御策略,第三SLA等级对应第三防御策略,依次类推。并且,第一SLA等级、第二SLA等级和第三SLA等级的对用户而言,服务质量逐渐降低,同理,第一防御策略、第二防御策略和第三防御策略对于攻击流量而言逐渐变松。即,防御策略越紧对应的防御结果越好,使得目标端的SLA等级越高。
在使用防御端清洗原始流量之前,目标端300的用户与网络服务提供商之间协商,并设定目标端300所希望达到的期望SLA等级。网络服务提供商会依据与期望SLA等级对应的防御策略作为预设防御策略,采用预设防御策略阻挡攻击目标端的攻击数据流量,并使得最终的防御结果达到用户所希望的期望SLA等级。
为了使得目标端达到的期望SLA等级,在图2所示的可疑流量清洗装置中预先设定有与期望SLA等级对应的预设防御策略。理论上,该防御策略能够使得防御结果达到对应的期望SLA等级。但是,随着攻击数据流量的不断变化,攻击数据流量可能会突破防御策略而攻击目标端,进而使得目标端上的SLA等级低于期望SLA等级。
所以,可以计算目标端所得到防御效果是否达到期望SLA等级。如图7所示,包括以下步骤:
步骤S701:利用所述目标参数集合以及预设参数集合确定所述各个参数的变化值集合;其中,所述预设参数集合为预先存储的、无攻击数据流量的情况下各个参数的集合。
详细的计算过程,将在本实施例之后进行详细说明。
步骤S702:判断是否匹配成功,即将所述各个参数的变化值集合与所述期望SLA等级中的各个参数范围进行匹配,并判断是否匹配成功。
在云主机中存储有每个SLA等级的各个参数的范围。将按目标参数集合计算得到的各个参数变化值与期望SLA等级的参数范围进行对比。
步骤S703:若匹配成功,则确定防御端的防御效果达到所述期望SLA等级。
若各个参数的变化值集合在期望SLA等级规定的范围内,则表示目前的防御效果达到期望的防御效果;可以按照继续按照可疑流量清洗装置中预设防御策略继续对访问目标端的数据流量进行清洗。
步骤S704:若匹配不成功,则将当前的防御策略的前一防御策略,确定为所述预设防御策略;重新进入步骤S701。其中,所述防御端中存储有按顺序排列的多个SLA等级,以及,与每个SLA等级对应的一个防御策略,SLA等级越小表示目标端所享受的服务等级越高,并且,前一SLA等级的对应的防御策略优于后一SLA等级对应的防御策略。
若匹配不成功,则确定防御端的防御效果未达到所述期望SLA等级。即:若各个参数的变化值集合未在期望SLA等级规定的范围内,则表示目前的防御效果未达到期望的防御效果,即表示可疑流量清洗装置中预设防御策略过松,不能达到期望SLA等级。所以,需要收紧防御策略,以便经过防御策略清洗后的防御效果达到期望SLA等级。
因此,选择当前防御策略的前一防御策略,确定为预设防御策略。然后,按最新的预设防御策略继续对访问目标端的数据流量进行清洗,并按本申请的方法计算防御结果(各个参数的变化值集合),并判断防御结果(各个参数的变化值集合)是否达到期望SLA等级(期望SLA等级各个参数范围)。若仍防御结果未达到期望SLA等级,在继续收紧防御策略,重复执行计算防御结果的过程,直接判定防御结果达到期望SLA等级。
下面结合具体的应用场景,来对步骤S701:利用所述目标参数集合以及预设参数集合确定所述各个参数的变化值集合的步骤,进行详细说明。
(1)流量性能参数
即依据所述可疑数据流量集合和所述正常数据流量,计算输入协议报文和输出协议报文变化率的变化量集合。其中,所述输入协议报文从所述可疑数据流量集合中提取得到的,所述输出协议报文从所述正常数据流量中提取得到。
业务端和目标端的传输方式为一对一的,例如:业务端向目标端发送建立连接请求,则目标端向业务端与建立连接确认指令。所以,业务端向目标端发送的报文,与目标端向业务端发送的报文数量理应为一致的。当输出的报文数量或输入的报文数量突然增大时,则说明防御端的清洗效果不好。
下面以具体三种流量型攻击为例,对本步骤进行详细说明:
(a)目标端受到syn flood攻击
在正常情况下,业务端向目标端发送syn(可以建立连接?)请求报文,目标端会反馈syn-ack(可以+请确认)报文,业务端再次向目标端发送ack(确认)报文,从而建立两者连接。
在目标端受到syn flood攻击(即攻击端向目标端发送大量syn请求报文)的情况下,如果防御策略的清洗效果不好,输出方向的syn-ack报文将会增多;但是,业务端发出的第三个ack报文会减少。
因此,计算syn报文清洗前和清洗后的增加比率Psyn,以及,syn-ack报文清洗前和清洗后的增加比率Psyn-ack
Psyn=(ppssyn–pps`syn)/pps syn
Psyn-ack=(ppssyn-ack–pps`syn-ack)/pps syn-ack
P1=Psyn-Psyn-ack
其中,ppssyn为按预设防御策略清洗前的syn报文数量,pps`syn为按预设防御策略清洗后的syn报文数量;ppssyn-ack为按预设防御策略清洗前的syn-ack报文数量,pps`syn为按预设防御策略清洗后的syn-ack报文数量,P1代表防御端的防御结果。
理想情况下,输入方向的syn包和输出方向的syn-ack报文是1:1,即P1=0。所以P1的值越大的时候,代表了输入方向的syn报文大部分没有得到响应,此时,表示防御结果越差。
(b)目标端受到ack flood攻击
在正常情况下,业务端向目标端发送ack(确认)请求报文,目标端在确认未与业务端建立连接时,业务端向目标端发送rst(复位)报文。即,如果目标端收到的一个明显不属于自己的一个连接,则向业务端发送一个复位包。
在目标端受到ack flood攻击的情况下,如果防御端的清洗效果不好,则rst报文将会增多。因此,计算ack报文清洗前和清洗后的增加比率Pack,计算rst报文清洗前和清洗后的增加比率Prst
Pack=(ppsack–pps`ack)/ppsack
Prst=(ppsrst–pps`rst)/ppsrst
P2=Pack-Prst
其中,ppsack为按预设防御策略清洗前的rst报文数量,pps`ack为按预设防御策略清洗后的rst报文数量,ppsrst为按预设防御策略清洗前的rst报文数量,pps`rst为按预设防御策略清洗后的rst报文数量,P2代表防御端的防御结果。
理想情况下,输入方向的ack报文和输出方向的rst报文是1:1,即P2=0。所以P2的值越大的时候,代表了输入方向的ack报文大部分没有得到响应,此时,表示防御结果越差。
(c)目标端受到icmp flood攻击
在目标端受到icmp flood攻击的情况下,如果防御端的清洗效果不好,icmp response报文将会增多。因此,计算icmp报文清洗前和清洗后的增加比率Picmp,计算icmp response报文清洗前和清洗后的增加比率Picmp response
Picmp=(ppsicmp–pps`icmp)/ppsicmp
Picmp-reponse=(ppsicmp-reponse–pps`icmp-reponse)/ppsicmp-reponse
P3=Picmp-Picmp-reponse
其中,ppsicmp为清洗前的icmp报文数量,pps`icmp为清洗后icmp报文数量,ppsicmp-reponse为清洗前的icmp response报文数量,pps`icmp-reponse为清洗后icmpresponse报文数量,P3代表防御端的防御结果。
理想情况下,输入方向的icmp报文和输出方向的icmp response报文是1:1,即P3=0。所以P3的值越大的时候,代表输入方向的icmp报文大部分没有得到响应,此时,表示防御结果较差。
以上列举了计算输入协议报文和输出协议报文的占比的三个实例。可以理解的是,还可以计算其它表征防御结果的流量类型的占比,来评估防御结果。在此不再一一列举。
本步骤主要用于评估流量型攻击的防御结果。其中,syn flood攻击、ackflood攻击和icmp flood攻击均为流量型攻击。因此,在获得所有用于评估防御结果的比率后(P1、P2和P3),计算多个防御结果比率的平均值,作为针对评估流量型攻击的防御结果。
由于,本步骤主要用于评估流量型攻击的防御结果,syn flood攻击是流量型攻击中的典型代表,所以,也可以直接采用P1作为对流量型攻击的防御结果。
流量性能参数的另一表现形式为:计算所述正常数据流量的核心数据集与所述预设参数集合中的预设核心数据集之间的标准差集合。
本步骤的主要目的在于,通过实时获取请求报文和相应的响应报文的占比以及分析http的状态码的变化,来评估正常请求报文和异常请求报文的占比是否符合预期。
在具体使用过程中,可以计算表征正常数据流量的核心数据集;其中,核心数据集包括请求应答率、业务成功率、30x状态码的占比、40x状态码的占比、50x状态码的占比和正常用户请求的时延。
下面对核心数据集中各个参数进行详细说明:
(a)站点的请求应答率Prequest
目标端的请求报文和响应报文比值是在不断变化的。以统计周期t为例,比如t1到t2时间段内突然开始有攻击,则http的请求报文和响应报文都会增多。当防御端的防御结果不好时,正常的请求报文得到响应报文则会特别少。所以,统计请求报文和响应报文的占比,如果防御端的清洗效果不好,那么请求报文和响应报文的比值将会低于某一个极限值。
Prequest=Chave_response/Crequest_total*100%
其中,Prequest为站点的请求应答率,Chave_response为响应报文的数量,Crequest_total为总的请求报文的数量。
(b)200ok报文的占比
200ok报文是表示业务请求成功的报文,则P200ok表示业务成功率。请求响应的比例Prequest仅可以衡量当前网络http流量情况。而P200ok能反映业务端得到的响应的概率。
P200ok=Chave_200ok/Chave_response*100%
其中,Chave_200ok表示业务请求成功的报文,Chave_response为响应报文的数量。
(c)30x、40x、50x等状态码的占比
在正常数据流量中出现误丢包的时候会出现30x、40x和50x等状态码。大量的GET包得不到响应,一般会返回40x和50x错误的状态码。因此,状态码的占比可以衡量防御出现误杀正常数据流量的情况。
值得注意的是,某些防护系统会使用人机识别机制来判断访问者是否是真实的浏览器。如业界常用的url redirect算法,即是通过返回一个302(30x)状态码来判断访问者是程序还是真实的浏览器,所以网络中302(30x)状态码的剧增,也可以作为评估防御结果的指标。
以上三种指标可以综合衡量CC攻击的清洗率
P30x=Chave_30x/Chave_response*100%
P40x=Chave_40x/Chave_response*100%
P50x=Chave_500/Chave_response*100%
其中,P30x表示30x的状态码在响应报文中的占比,Chave_30x表示30x的报文数量;P40x表示40x的状态码在响应报文中的占比,Chave_40x表示40x的报文数量;P50x表示50x的状态码在响应报文中的占比,Chave_50x x表示50x的报文数量。
(d)正常用户的请求的RTT(请求时延),假设用户在攻击时间内共发起了n次请求,则评估本次攻击事件的时候,以用户的平均时延作为参考。
(e)确定核心数据集
将经过(a)、(b)、(c)和(d)得到的Prequest,P200ok,P30x,P40x,P50x,T0构建核心数据集M,M定义了攻击时刻核心流量指标的数据。
为了更加准确的确定防御结果,因此可以计算多个核心数据集的数组M。例如,统计n个核心数据集形成数组M,则M={M1,M2,…Mi…Mn};其中,Mi={Prequest,P200ok,P30x,P40x,P50x,T0},i=1、2……n。
针对云环境下的服务基于历史的大数据分析,得出另外一组核心数据集N。即N={P`request,P`200ok,P`30x,P`40x,P`50x,T`0}。N表示在没有攻击时的各个指标的占比,即标准的核心数据集。
理想情况下,这些指标的变化不会出现明显的波动。但是,当防御策略不够理想时,可能会导致个别指标出现急剧变化。如,在某一次的攻击事件中出现了200ok状态码和历史同期相比巨大的变化曲线时,则表示防御结果较差从而导致正常请求报文的响应减少。
因此,本申请用标准差来评估攻击时防御策略对业务指标造成的影响,将核心数据集N作为平均值,然后针对每个参数计算标准差。以指标Prequest为例,对计算标准差的公式进行详细说明:
其中,σrequst为表示Prequest的标准差,Prequesti为第i个Prequest的值,n为数组M中核心数据集的个数。P`request在此处代表平均值,核心数据集N中的P`request
按上述方式计算数组M={M1,M2,…Mi…Mn}与N中每个参数的标准差,从而得到多个标准差σ={σrequst200ok30x40x50x0}。当标准差越小时,则表示防御结果越好,当标准差越大时,则表示防御结果越差。
(2)主机性能参数
即计算所述主机性能参数和所述预设参数集合中的预设主机性能参数之间的第二变化值集合。
在可疑流量清洗装置按预设防御策略清洗后的正常数据流量传输至所述目标端后,获取目标端的主机性能参数。因为,DDos攻击时受害主机最先产生状态的变化,获取受害主机的性能参数,可以直接量化出攻击流量对主机产生的影响。主机性能参数在某些情况下,比监测网络流量变化更为方便。
例如,一个典型的例子就是tcp慢连接发生时,可能网络流量并无异常。但是,观察目标端主机的连接表可以发现有大量残余的连接。因此,通过评估主机性能参数,作为衡量防御端的一个重要因素。
参见表1,所述主机性能参数包括:所述目标端的主机在接收到第一个syn包之后半开链接的数量,所述目标端的主机CPU,所述目标端的主机内存,所述目标端的连接表,所述目标端的主机输入输出次数,以及,所述目标端的主机的进出流量占比。
表1
(3)访问成功率
即计算所述访问成功率与所述预设参数集合中预设访问成功率的第三变化值集合。
访问成功率可以包含请求成功率和请求时延,然后计算请求成功率与预设访问成功率之间的变化率,以及,计算请求时延与预设请求时延之间的变化量,并将该变化率和变化量作为第三变化值集合。
由于攻击流量会对目标端造成影响,进而影响目标端的业务性能。为了确定目标端目前的业务性能(能够正常响应正常业务请求),本申请实施例控制正常业务端访问目标端。然后通过计算请求成功率的变化率和请求时延的变化量,来确定攻击数据流量对目标端的影响,这可以从侧面反映防御结果的好坏。
(4)网络服务质量。
即计算所述网络服务质量与所述预设参数集合中预设网络服务质量的第四变化值集合。
基于分布式环境下,针对被攻击主机的防御策略可能影响整体的网络状态。因此,带来的后果是其它未被攻击的主机也会受到影响。所以,在评估防御成功率的时候还需要整体的网络性能参数作为评估标准。
参见表2,所述网络环境参数包括:在清洗原始数据流量过程中带来的网络延时,在清洗原始数据流量过程中带来的网络丢包率,在清洗原始数据流量过程中带来的TCP可用性,在清洗原始数据流量过程中带来的UDP可用性,以及,在清洗原始数据流量过程中带来的抖动。
表2
下面介绍依据目标参数集合计算得到各个参数的变化值集合与期望SLA等级有的各个参数范围进行匹配的具体过程。以此来评估防御结果是否满足用户的最终期望SLA等级。
第一:流量性能参数
DDoS在遭受不同的攻击时,网络流量的变化也不同。为了从流量层面上量化DDoS防御端的影响。参见表3本申请定义出网络中关键协议报文的SLA指标。如,TCP重传率的上限,当高于某一上限时,则表示防御结果未达到期望SLA等级。
表3
第二,访问成功率(请求成功率和请求时延)
一套应用服务器需要满足的业务性能指标。因此,在评估ddos防御结果是否达到用户的SLA目标时,参见表4,可以通过是否符合下表中的业务性能指标来考核。
表4
类别 单向时延 请求响应时延 丢包率
WEB N/A RTT<4s <3%
FTP N/A RTT<10s <3%
FPS games <150ms N/A <3%
RTS games <500ms N/A <3%
telnet N/A RTT<250ms N/A
e-mail N/A 总时间<4h N/A
Usenet N/A 总时间<4h N/A
Chat <30s N/A N/A
ICMP N/A RTT<4s N/A
DNS N/A 总时间<4s N/A
Audio,conv <150ms RTT<4s <3%
Audio,messg <2s RTT<4s <3%
Audio,stream <10s RTT<4s <1%
Videophone <150ms RTT<4s <3%
video,stream <10s RTT<4s <1%
第三,主机性能参数
通过对主机状态的反馈,根据不同的攻击类型,判断是否符合当前主机SLA的指标。参见表5为表征主机状态的参数。
表5
监测指标 范围
主机状态-syn recvice变化 半开连接增长<5%
主机状态cpu cpu增长<5%
主机状态-内存 内存增长<5%
主机状态-连接表 主机的连接表增加<5%
主机状态-io 主机的Io次数<5%
主机状态-流量占比 <max(主机带宽)
第四,网络服务质量
基于分布式环境下针对被攻击主机的防御策略可能影响整体的网络状态,因此带来的后果是其他未被攻击的主机也会受到影响。所以在评估防御成功率的时候还需要整体的网络服务质量作为评估依据,参见表6,定义如下关键核心指标来表征这一维度的SLA参数。
表6
通过以上期望SLA等级的各个参数指标设定的范围,来确定各个参数的变化值集合是否在期望SLA等级的各个参数范围内。若各个参数的变化值集合是否在期望SLA等级的各个参数范围内,则判定防御策略的防御效果达到期望SLA等级,否则表示防御策略的防御效果未达到期望SLA等级。
以上为本申请所提供的全部内容,从以上技术内容可以得出:
本申请实施例将防御端设置于云平台,在云平台防御端可以将业务端的原始数据流量牵引到自身,目标端的业务一般都是在云平台上运行,所以防御端可以在云平台上获得目标端的数据流量,同时,防御端还可以获得自身的数据流量。所以,在云平台下可以将业务端、目标端和防御端三者的数据流量统一集中,从而可以获得三端的数据流量。由于,本申请中可以将业务端、防御端和目标端三部分的数据流量进行统一分析,从而使得评估防御结果的评价角度和指标较为全面,进而使得防御结果较为准确。
本实施例方法所述的功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算设备可读取存储介质中。基于这样的理解,本申请实施例对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该软件产品存储在一个存储介质中,包括若干指令用以使得一台计算设备(可以是个人计算机,服务器,移动计算设备或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似部分互相参见即可。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本申请。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下,在其它实施例中实现。因此,本申请将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

Claims (20)

1.一种量化防御结果的方法,其特征在于,包括:
获取可疑数据流量集合,所述可疑数据流量集合为位于云平台的防御端经核心路由牵引业务端访问目标端的原始数据流量后,由所述原始数据流量所包含的可疑IP地址集合中每个可疑IP地址对应的数据流量所组成的,所述可疑IP地址集合为依据预设检测规则在所述原始数据流量中确定的;
获取正常数据流量,所述正常数据流量为所述防御端对所述可疑数据流量集合按预设防御策略清洗后剩余的数据流量;
获权主机性能参数,所述主机性能参数为所述防御端在将所述正常数据流量发送至目标端后,在所述目标端上提取得到的参数的集合;
基于目标参数集合来量化防御结果;其中,所述目标参数集合至少包括:所述可疑数据流量集合、正常数据流量和主机性能参数。
2.如权利要求1所述的方法,其特征在于,所述目标参数集合还包括:
与所述防御端相连的业务监控装置发送的访问成功率;其中,所述访问成功率为所述业务监控装置在控制多个位于不同地理位置的业务端访问所述目标端后,依据所述目标端反馈的请求成功率和请求时延计算得到的。
3.如权利要求2所述的方法,其特征在于,所述目标参数集合还包括网络服务质量;其中,所述网络服务质量为所述防御端依据可疑数据流量集合和所述正常数据流量计算得到的。
4.如权利要求1-3中任一项所述的方法,其特征在于,所述可疑流量清洗装置中的所述预设防御策略对应期望SLA等级;则所述基于目标参数集合来量化防御结果包括:
利用所述目标参数集合以及预设参数集合确定所述各个参数的变化值集合;其中,所述预设参数集合为预先存储的、无攻击数据流量的情况下各个参数的集合;
将所述各个参数的变化值集合与所述期望SLA等级中的各个参数范围进行匹配;
若匹配成功,则确定所述防御端的防御效果达到所述期望SLA等级;
若匹配不成功,则确定所述防御端的防御效果未达到所述期望SLA等级。
5.如权利要求4所述的方法,其特征在于,还包括:
若匹配不成功,则将当前的防御策略的前一防御策略,确定为所述预设防御策略;
其中,所述防御端中存储有按顺序排列的多个SLA等级,以及,与每个SLA等级对应的一个防御策略,SLA等级越小表示目标端所享受的服务等级越高,并且,前一SLA等级的对应的防御策略优于后一SLA等级对应的防御策略。
6.如权利要求4所述的方法,其特征在于,所述利用所述目标参数集合以及预设参数集合确定所述各个参数的变化值集合,包括:
依据所述可疑数据流量集合和所述正常数据流量,计算输入协议报文和输出协议报文变化率的变化量集合;其中,所述输入协议报文从所述可疑数据流量集合中提取得到的,所述输出协议报文从所述正常数据流量中提取得到;和,
计算所述正常数据流量的核心数据集与所述预设参数集合中的预设核心数据集之间的标准差集合;其中,所述核心数据集包括请求应答率、业务成功率、30x状态码的占比、40x状态码的占比、50x状态码的占比和正常用户请求的时延;和,
计算所述主机性能参数和所述预设参数集合中的预设主机性能参数之间的第二变化值集合;和/或,
计算所述访问成功率与所述预设参数集合中预设访问成功率的第三变化值集合;和/或,
计算所述网络服务质量与所述预设参数集合中预设网络服务质量的第四变化值集合。
7.如权利要求6所述的方法,其特征在于,依据所述可疑数据流量集合和所述正常数据流量,计算输入协议报文和输出协议报文变化率的变化量集合,包括:
计算输入方向的syn报文与输出方向的syn报文的差值,将该差值与所述输入方向的syn报文的比值作为syn报文的增加率;
计算输入方向的syn-ack报文与输出方向的syn-ack报文的差值,将该差值与所述输入方向的syn-ack报文比值作为的syn-ack报文的增加率;
将所述syn报文的增加率与所述syn-ack报文的增加率的差值,确定为所述变化量集合。
8.如权利要求6所述的方法,其特征在于,所述计算所述正常数据流量的核心数据集与所述预设参数集合中的预设核心数据集之间的标准差集合,包括:
计算所述核心数据集与预设核心数据集中,针对请求应答率的第一标准差、针对业务成功率的第二标准差、针对30x状态码的占比的第三标准差、针对40x状态码的占比的第四标准差、针对50x状态码的占比的第五标准差和针对正常用户请求的时延的第六标准差;
将所述第一标准差、所述第二标准差、所述第三标准差、所述第四标准差、所述第五标准差和所述第六标准差的集合,确定为所述标准差集合。
9.如权利要求6所述的方法,其特征在于,所述访问成功率包括请求成功率和请求时延;则所述计算所述访问成功率与所述预设参数集合中预设访问成功率的第三变化值集合,包括:
计算所述访问成功率中请求成功率与预设访问成功率中请求成功率的变化率;
计算所述访问成功率中请求时延与预设访问成功率中请求时延的变化量;
将所述变化率和所述变化量,确定为所述第三变化值集合。
10.如权利要求1或6所述的方法,其特征在于,所述主机性能参数包括:
所述目标端的主机在接收到第一个syn包之后半开链接的数量;
所述目标端的主机CPU;
所述目标端的主机内存;
所述目标端的连接表;
所述目标端的主机输入输出次数;以及,
所述目标端的主机的进出流量占比。
11.如权利要求3或6所述的方法,其特征在于,所述网络服务质量包括:
在清洗所述原始数据流量过程中带来的网络延时;
在清洗所述原始数据流量过程中带来的网络丢包率;
在清洗所述原始数据流量过程中带来的TCP可用性;
在清洗所述原始数据流量过程中带来的UDP可用性;以及,
在清洗所述原始数据流量过程中带来的抖动。
12.一种量化防御结果的系统,其特征在于,包括:
业务端、位于云平台的防御端、目标端以及与所述业务端、所述防御端和所述目标端相连的核心路由;
所述核心路由,用于复制业务端访问目标端的原始数据流量,获得副本数据流量;
所述防御端,用于获取可疑数据流量集合,所述可疑数据流量集合为位于云平台的防御端经核心路由牵引业务端访问目标端的原始数据流量后,由所述原始数据流量所包含的可疑IP地址集合中每个可疑IP地址对应的数据流量所组成的,所述可疑IP地址集合为依据预设检测规则在所述原始数据流量中确定的;获取正常数据流量,所述正常数据流量为所述防御端对所述可疑数据流量集合按预设防御策略清洗后剩余的数据流量;获权主机性能参数,所述主机性能参数为所述防御端在将所述正常数据流量发送至目标端后,在所述目标端上提取得到的参数的集合;基于目标参数集合来量化防御结果;其中,所述目标参数集合至少包括:所述可疑数据流量集合、正常数据流量和主机性能参数。
13.如权利要求12所述的系统,其特征在于,所述防御端包括:
与所述核心路由相连的可疑流量检测装置,用于依据预设检测规则分析所述副本数据流量,获得所述副本数据流量中包含的可疑IP地址集合,并发送所述可疑IP地址集合;
与所述核心路由和所述可疑流量检测装置相连的可疑流量清洗装置,用于获取所述可疑IP地址集合,在所述核心路由的原始数据流量中牵引可疑数据流量集合,其中,按预设防御策略清洗所述可疑数据流量集合,并将所述可疑数据流量集合在清洗后剩余的正常数据流量,转发至所述目标端;
与所述可疑流量检测装置、所述可疑流量清洗装置和所述目标端相连的云主机,用于在所述可疑流量检测装置上获取所述可疑数据流量集合,所述可疑数据流量集合中包含与每个可疑IP地址对应的可疑数据流量;在所述可疑流量清洗装置上获取正常数据流量,在将所述正常数据流量发送至目标端后,在所述目标端上获取表示目标端性能的主机性能参数。
14.如权利要求13所述的系统,其特征在于,所述系统还包括:
与所述云主机相连的业务监控装置,用于控制多个位于不同地理位置的业务主机访问所述目标端,依据所述目标端反馈的访问成功率和请求时延,计算访问成功率;将所述访问成功率发送至所述云主机;
相应的,所述目标参数集合还包括所述访问成功率。
15.如权利要求13所述的系统,其特征在于,
所述云主机还用于,依据所述可疑数据流量集合和所述正常数据流量,计算网络服务质量;
相应的,所述目标参数集合还包括所述网络服务质量。
16.如权利要求13所述的系统,其特征在于,
所述核心路由还用于,将可疑流量清洗装置在原始数据流量中牵引可疑数据流量集合之后剩余的数据流量,转发至所述目标端。
17.如权利要求13-15任一项所述系统,其特征在于,
所述云主机具体用于,利用所述目标参数集合以及预设参数集合确定所述各个参数的变化值集合;将所述各个参数的变化值集合与所述期望SLA等级中的各个参数范围进行匹配;若匹配成功,则确定防御端的防御效果达到所述期望SLA等级;若匹配不成功,确定所述防御端的防御效果未达到所述期望SLA等级。
18.如权利要求17所述的系统,其特征在于,
所述云主机还用于,在匹配不成功的情况下,将当前的防御策略的前一防御策略,确定为所述预设防御策略;
其中,所述预设参数集合为预先存储的、无攻击数据流量的情况下各个参数的集合;所述防御端中存储有按顺序排列的多个SLA等级,以及,与每个SLA等级对应的一个防御策略,SLA等级越小表示目标端所享受的服务等级越高,并且,前一SLA等级的对应的防御策略优于后一SLA等级对应的防御策略。
19.如权利要求12所述的系统,其特征在于,所述主机性能参数,包括:
所述目标端的主机在接收到第一个syn包之后半开链接的数量;
所述目标端的主机CPU;
所述目标端的主机内存;
所述目标端的连接表;
所述目标端的主机输入输出次数;以及,
所述目标端的主机的进出流量占比。
20.如权利要求15所述的系统,其特征在于,所述网络服务质量包括:
在清洗所述原始数据流量过程中带来的网络延时;
在清洗所述原始数据流量过程中带来的网络丢包率;
在清洗所述原始数据流量过程中带来的TCP可用性;
在清洗所述原始数据流量过程中带来的UDP可用性;以及,
在清洗所述原始数据流量过程中带来的抖动。
CN201510479361.3A 2015-08-03 2015-08-03 量化防御结果的方法、装置及系统 Active CN106411828B (zh)

Priority Applications (4)

Application Number Priority Date Filing Date Title
CN201510479361.3A CN106411828B (zh) 2015-08-03 2015-08-03 量化防御结果的方法、装置及系统
PCT/CN2016/090812 WO2017020712A1 (zh) 2015-08-03 2016-07-21 量化防御结果的方法、装置及系统
EP16832200.6A EP3334117B1 (en) 2015-08-03 2016-07-21 Method, apparatus and system for quantizing defence result
US15/887,796 US11159561B2 (en) 2015-08-03 2018-02-02 Method, apparatus and system for quantifying defense result

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510479361.3A CN106411828B (zh) 2015-08-03 2015-08-03 量化防御结果的方法、装置及系统

Publications (2)

Publication Number Publication Date
CN106411828A true CN106411828A (zh) 2017-02-15
CN106411828B CN106411828B (zh) 2019-06-28

Family

ID=57943779

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510479361.3A Active CN106411828B (zh) 2015-08-03 2015-08-03 量化防御结果的方法、装置及系统

Country Status (4)

Country Link
US (1) US11159561B2 (zh)
EP (1) EP3334117B1 (zh)
CN (1) CN106411828B (zh)
WO (1) WO2017020712A1 (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110365693A (zh) * 2019-07-23 2019-10-22 光通天下网络科技股份有限公司 基于多方位监测的DoS攻击测试方法、装置和电子设备
CN111131295A (zh) * 2019-12-30 2020-05-08 北京天融信网络安全技术有限公司 流量防御方法、装置及电子设备

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6712938B2 (ja) * 2015-12-14 2020-06-24 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 評価装置、評価システム及び評価方法
JP6897233B2 (ja) * 2017-03-30 2021-06-30 富士通株式会社 診断プログラム、診断方法及び診断装置
US10938696B2 (en) * 2017-12-21 2021-03-02 Apple Inc. Health status monitoring for services provided by computing devices
US11323473B2 (en) * 2020-01-31 2022-05-03 Bank Of America Corporation Network threat prevention and information security using machine learning
CN112637132B (zh) * 2020-12-01 2022-03-11 北京邮电大学 一种网络异常检测方法、装置、电子设备和存储介质
CN113839935B (zh) * 2021-09-14 2024-01-23 上海纽盾科技股份有限公司 网络态势感知方法、装置及系统

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101127649A (zh) * 2007-09-30 2008-02-20 华为技术有限公司 一种防御网络攻击的方法和系统
CN101299724A (zh) * 2008-07-04 2008-11-05 杭州华三通信技术有限公司 流量清洗的方法、系统和设备
CN101383694A (zh) * 2007-09-03 2009-03-11 电子科技大学 基于数据挖掘技术的拒绝服务攻击防御方法和系统
US20110107412A1 (en) * 2009-11-02 2011-05-05 Tai Jin Lee Apparatus for detecting and filtering ddos attack based on request uri type

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7331060B1 (en) * 2001-09-10 2008-02-12 Xangati, Inc. Dynamic DoS flooding protection
US7743415B2 (en) * 2002-01-31 2010-06-22 Riverbed Technology, Inc. Denial of service attacks characterization
US9088605B2 (en) * 2007-09-19 2015-07-21 Intel Corporation Proactive network attack demand management
US9450981B2 (en) * 2013-03-14 2016-09-20 Radware, Ltd. System and method thereof for mitigating denial of service attacks in virtual networks
CN103324519A (zh) * 2013-06-17 2013-09-25 华为技术有限公司 一种恶意耗电应用的清理方法、装置及用户终端
US10509909B2 (en) * 2014-09-06 2019-12-17 Mazebolt Technologies Ltd. Non-disruptive DDoS testing

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101383694A (zh) * 2007-09-03 2009-03-11 电子科技大学 基于数据挖掘技术的拒绝服务攻击防御方法和系统
CN101127649A (zh) * 2007-09-30 2008-02-20 华为技术有限公司 一种防御网络攻击的方法和系统
CN101299724A (zh) * 2008-07-04 2008-11-05 杭州华三通信技术有限公司 流量清洗的方法、系统和设备
US20110107412A1 (en) * 2009-11-02 2011-05-05 Tai Jin Lee Apparatus for detecting and filtering ddos attack based on request uri type

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110365693A (zh) * 2019-07-23 2019-10-22 光通天下网络科技股份有限公司 基于多方位监测的DoS攻击测试方法、装置和电子设备
CN110365693B (zh) * 2019-07-23 2021-10-08 光通天下网络科技股份有限公司 基于多方位监测的DoS攻击测试方法、装置和电子设备
CN111131295A (zh) * 2019-12-30 2020-05-08 北京天融信网络安全技术有限公司 流量防御方法、装置及电子设备
CN111131295B (zh) * 2019-12-30 2022-03-11 北京天融信网络安全技术有限公司 流量防御方法、装置及电子设备

Also Published As

Publication number Publication date
EP3334117A1 (en) 2018-06-13
EP3334117A4 (en) 2019-01-02
CN106411828B (zh) 2019-06-28
WO2017020712A1 (zh) 2017-02-09
US20180159895A1 (en) 2018-06-07
US11159561B2 (en) 2021-10-26
EP3334117B1 (en) 2021-03-24

Similar Documents

Publication Publication Date Title
CN106411828A (zh) 量化防御结果的方法、装置及系统
US11122067B2 (en) Methods for detecting and mitigating malicious network behavior and devices thereof
Dhamdhere et al. Inferring persistent interdomain congestion
DE60317588T2 (de) Verfahren zur Ermittlung der peer-to-peer Servicequalität (QOS)
CN108234524A (zh) 网络数据异常检测的方法、装置、设备及存储介质
CN108650218A (zh) 网络流量监测方法、装置、计算机设备及存储介质
US7974214B2 (en) Method and apparatus for classifying traffic at transport layer
Clark et al. Measurement and analysis of Internet interconnection and congestion
CN107623685A (zh) 快速检测SYN Flood攻击的方法及装置
CN107517200B (zh) 一种Web服务器的恶意爬虫防御策略选择方法
CN109561051A (zh) 内容分发网络安全检测方法及系统
Nechaev et al. A Preliminary Analysis of TCP Performance in an Enterprise Network.
Singh et al. Simulation study of application layer DDoS attack
Genin et al. Where in the Internet is congestion?
CN113630398A (zh) 网络安全中的联合防攻击方法、客户端及系统
Kamath et al. Generation of high bandwidth network traffic traces
TW201828660A (zh) 量化防禦結果的方法、裝置及系統
Bhatia Detecting distributed denial-of-service attacks and flash events
TWI389504B (zh) IP network traffic error detection and analysis system
CN113542044A (zh) 网络质量监测方法、装置及计算设备
Wilailux et al. Novel Bi-directional Flow-based Traffic Generation Framework for IDS Evaluation and Exploratory Data Analysis
Nugraha et al. A Novel Impact Analysis Approach for SDN-based Networks
CN110162969A (zh) 一种流量的分析方法和装置
Mikians et al. ITMgen—A first-principles approach to generating synthetic interdomain traffic matrices
CN113992424B (zh) 一种攻击测试的pcap包发送方法及相关装置

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant