CN107710680B - 网络攻击防御策略发送、网络攻击防御的方法和装置 - Google Patents

网络攻击防御策略发送、网络攻击防御的方法和装置 Download PDF

Info

Publication number
CN107710680B
CN107710680B CN201680034646.9A CN201680034646A CN107710680B CN 107710680 B CN107710680 B CN 107710680B CN 201680034646 A CN201680034646 A CN 201680034646A CN 107710680 B CN107710680 B CN 107710680B
Authority
CN
China
Prior art keywords
network
address
edge
network device
target
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201680034646.9A
Other languages
English (en)
Other versions
CN107710680A (zh
Inventor
余舟毅
杨莉
付天福
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Publication of CN107710680A publication Critical patent/CN107710680A/zh
Application granted granted Critical
Publication of CN107710680B publication Critical patent/CN107710680B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0893Assignment of logical groups to network elements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0894Policy-based network configuration management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0895Configuration of virtualised networks or elements, e.g. virtualised network function or OpenFlow elements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/32Flow control; Congestion control by discarding or delaying data units, e.g. packets or frames
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请实施例公开了一种网络攻击防御策略的发送方法和装置,以及网络攻击防御方法和装置,其中,网络攻击防御策略的发送方法可包括:接收攻击信息,所述攻击信息包括目标网际协议IP地址,所述攻击信息用于指示第一网络中存在目的地址为所述目标IP地址的网络攻击报文;确定所述网络攻击报文通过第一边缘网络设备进入所述第一网络,所述第一边缘网络设备为所述第一网络中的边缘设备;向所述第一边缘网络设备发送防御策略,所述防御策略用于指示所述第一边缘网络设备根据所述防御策略处理目的地址为所述目标IP地址的报文。本申请可以降低网络攻击报文对网络资源的占用,改善对网络攻击报文的防御效果。

Description

网络攻击防御策略发送、网络攻击防御的方法和装置
技术领域
本申请涉及通信领域,尤其涉及网络攻击防御策略发送、网络攻击防御的方法和装置。
背景技术
网络攻击一直是当今网络中重要安全问题,例如:拒绝服务(denial of service,DoS)攻击是一种网络攻击。DoS攻击是指通过对受害主机漏洞的攻击,使受害主机网络协议栈失效、资源耗尽、主机挂起和系统崩溃,从而造成受害主机拒绝服务。在DoS攻击中,分布式拒绝服务(distributed DoS,DDoS)攻击是较为常见的一种DoS攻击,通过网络上多个主机一同对目标主机发起DoS攻击。
在目前对网络攻击的防御方法,通常是在网络中部署专门的清洗设备。在检测到网络设备传输的报文中包括网络攻击报文时,网络设备将接收到的报文发送到清洗设备,该清洗设备根据网络攻击报文特征,识别出网络攻击报文并丢弃该网络攻击报文,即对网络设备接收的报文进行清洗,然后再将清洗后的报文发送回该网络设备。
然而,部署清洗设备的成本较高,且所述网络攻击报文进入清洗设备之前,已经在网络中的各个网络设备中传输,占用了大量的网络资源,在网络设备检测到网络攻击并将报文发送给清洗设备的过程中,网络攻击报文还在网络设备和清洗设备之间传输,也会占用网络资源。因此,该方案对网络攻击报文的防御成本高,防御效果较差。
发明内容
本申请实施例提供了一种网络攻击防御策略的发送方法和装置,以及网络攻击防御方法和装置,可以降低网络攻击报文对网络资源的占用,改善对网络攻击报文的防御效果。
第一方面,本申请实施例提供一种网络攻击防御策略的发送方法,该方法包括:
接收攻击信息,所述攻击信息包括目标网际协议(Internet Protocol,IP)地址,所述攻击信息用于指示第一网络中存在目的地址为所述目标IP地址的网络攻击报文;
确定所述网络攻击报文通过第一边缘网络设备进入所述第一网络,所述第一边缘网络设备为所述第一网络中的边缘设备;
向所述第一边缘网络设备发送防御策略,所述防御策略用于指示所述第一边缘网络设备根据所述防御策略处理目的地址为所述目标IP地址的报文。
该实现方式中,由于所述网络攻击报文通过第一边缘网络设备进入所述第一网络,通过向第一边缘网络设备发送防御策略,指示所述第一边缘网络设备对所述网络攻击进行防御,减少了网络攻击报文在所述第一网络中的传输,节约了所述第一网络的传输资源,改善了对网络攻击报文的防御效果。
在一种可能的实现方式中,所述攻击信息还包括所述网络攻击报文的源IP地址,所述确定所述网络攻击报文通过第一边缘网络设备进入所述第一网络,包括:从所述攻击信息中获取所述源IP地址;根据所述源IP地址到所述第一边缘网络设备的对应关系确定所述第一边缘网络设备。该实现方式中,根据所述对应关系确定所述第一边缘网络设备,从而可以快速确定作为网络攻击报文来源的所述第一边缘网络设备,以及时对网络攻击报文进行防御。
在一种可能的实现方式中,所述确定所述网络攻击报文通过第一边缘网络设备进入所述第一网络,包括:获取所述第一网络中多个边缘网络设备中的每个边缘网络设备在预设时间段内接收的目的地址为所述目标IP地址的报文的数据流量,所述多个边缘网络设备中包括所述第一边缘网络设备;确定所述第一边缘网络设备在所述预设时间段内接收的所述数据流量满足第一预设条件。该实现方式中,通过获取边缘网络设备中特定目的IP地址的报文的数据流量,并且将数据流量作为判断网络攻击的一个重要指标,可以快速确定网络攻击报文的来源,从而及时对网络攻击作出防御,进一步改善对网络攻击报文的防御效果。
在一种可能的实现方式,根据所述源IP地址到所述第一边缘网络设备的对应关系确定所述第一边缘网络设备之前,该方法还包括:从软件定义网络(Software DefineNetwork,SDN)控制器获取所述源IP地址到所述第一边缘网络设备的对应关系。该实现方式中,从SDN控制器获取其已经存储的IP地址和边缘网络设备的对应关系,可以充分利用SDN的网络架构中的已有信息,快速确定网络攻击报文的来源,从而提高网络攻击的防御效率。
在一种可能的实现方式中,所述第一预设条件为所述数据流量超过预设值,所述防御策略为丢弃目的地址为所述目标IP地址的报文。该实现方式中,通过当数据流量超过预设值时采取丢弃目的地址为所述目标IP地址的报文的防御策略,避免了网络攻击的攻击流量对第一网络带宽造成严重威胁。
在一种可能的实现方式中,所述防御策略包括:丢弃目的地址为所述目标IP地址的报文。采用丢弃目的地址为所述目标IP地址的报文的防御策略,所述第一边缘网络设备只需要提取接收的报文中的目的IP地址并判断该目的IP地址与所述目标IP地址是否匹配。所述策略在实现防御网络攻击的同时,无需占用过多所述第一边缘网络设备的运算资源。此外,该防御策略还可以快速降低网络中网络攻击报文对整个网络造成的传输资源的占用,从而降低所述网络攻击报文对网络的伤害。
在一种可能的实现方式中,所述防御策略包括:丢弃目的地址为所述目标IP地址并且满足第二预设条件的报文。采用该防御策略,所述第一边缘网络设备可以由针对性的丢弃网络攻击报文,并继续为正常的报文提供转发,从而提高了网络攻击的防御效果。
第二方面,本申请实施提供一种网络攻击防御方法,该方法包括:
第一边缘网络设备接收防御策略,所述防御策略包括目标IP地址,所述防御策略用于指示所述第一边缘网络设备根据所述防御策略处理目的地址为所述目标IP地址的报文,所述第一边缘网络设备为第一网络中的边缘网络设备,所述第一网络中存在目的地址为所述目标IP地址的网络攻击报文,所述网络攻击报文通过所述第一边缘网络设备进入所述第一网络;
所述第一边缘网络设备根据所述防御策略,处理目的地址为所述目标IP地址的报文。
该实现方式中,由于所述网络攻击报文通过第一边缘网络设备进入所述第一网络,通过在第一边缘网络设备上执行防御策略,可以减少网络攻击报文在所述第一网络中的传输,节约了所述第一网络的传输资源,改善了对网络攻击报文的防御效果。此外,由于第一网络中不需要设置专门的清洗设备,降低了网络攻击防御的成本。
在一种可能的实现方式中,所述第一边缘网络设备在预设的时间段内接收的目的地址为所述目标IP地址的报文的数据流量超过预设值,所述防御策略为丢弃所述目的地址为所述目标IP地址的报文。
在一种可能的实现方式中,所述防御策略包括:丢弃目的地址为所述目标IP地址的报文。在一种可能的实现方式中,所述防御策略包括丢弃目的地址为所述目标IP地址并且满足第二预设条件的报文。
第三方面,本申请实施例提供一种防御策略发送装置,包括:接收单元、确定单元和发送单元,其中:
所述接收单元,用于接收攻击信息,所述攻击信息包括目标网际协议IP地址,所述攻击信息用于指示第一网络中存在目的地址为所述目标IP地址的网络攻击报文;
所述确定单元,用于根据所述接收单元接收的所述攻击信息确定所述网络攻击报文通过第一边缘网络设备进入所述第一网络,所述第一边缘网络设备为所述第一网络中的边缘设备;
所述发送单元,用于向所述第一边缘网络设备发送防御策略,所述防御策略用于指示所述第一边缘网络设备根据所述防御策略处理目的地址为所述目标IP地址的报文。
在一种可能的实现方式中,所述攻击信息还包括所述网络攻击报文的源IP地址,所述确定单元还用于从所述攻击信息中获取所述源IP地址,以及用于根据所述源IP地址到所述第一边缘网络设备的对应关系确定所述第一边缘网络设备。
在一种可能的实现方式中,所述确定单元还用于获取所述第一网络中多个边缘网络设备中的每个边缘网络设备在预设时间段内接收的目的地址为所述目标IP地址的报文的数据流量,所述多个边缘网络设备中包括所述第一边缘网络设备,以及用于确定所述第一边缘网络设备在所述预设时间段内接收的所述数据流量满足第一预设条件。
在一种可能的实现方式中,所述接收单元还用于从SDN控制器获取所述源IP地址到所述第一边缘网络设备的对应关系。
在一种可能的实现方式中,所述第一预设条件为所述数据流量超过预设值,所述防御策略为丢弃目的地址为所述目标IP地址的报文。
在一种可能的实现方式中,向所述第一边缘网络设备发送的防御策略包括:丢弃目的地址为所述目标IP地址的报文;或者丢弃目的地址为所述目标IP地址并且满足第二预设条件的报文。
第四方面,本申请实施例提供一种第一边缘网络设备,包括接收单元和处理单元,其中:
所述接收单元,用于接收防御策略,所述防御策略包括目标IP地址,所述防御策略用于指示所述第一边缘网络设备根据所述防御策略处理目的地址为所述目标IP地址的报文,所述第一边缘网络设备为第一网络中的边缘网络设备,所述第一网络中存在目的地址为所述目标IP地址的网络攻击报文,所述网络攻击报文通过所述第一边缘网络设备进入所述第一网络;
所述处理单元,用于根据所述接收单元接收的所述防御策略,处理目的地址为所述目标IP地址的报文。
在一种可能的实现方式中,所述第一边缘网络设备在预设的时间段内接收的目的地址为所述目标IP地址的报文的数据流量超过预设值,所述防御策略为丢弃所述目的地址为所述目标IP地址的报文。
在一种可能的实现方式中,所述接收单元接收的防御策略包括:丢弃目的地址为所述目标IP地址的报文;或者丢弃目的地址为所述目标IP地址并且满足第二预设条件的报文。
第五方面,本申请实施例提供一种防御策略发送装置,包括:处理器、网络接口和存储器,其中,所述处理器用于读取所述存储器中存储的程序执行以下操作:
通过所述网络接口接收攻击信息,所述攻击信息包括目标网际协议IP地址,所述攻击信息用于指示第一网络中存在目的地址为所述目标IP地址的网络攻击报文;
确定所述网络攻击报文通过第一边缘网络设备进入所述第一网络,所述第一边缘网络设备为所述第一网络中的边缘设备;
通过所述网络接口向所述第一边缘网络设备发送防御策略,所述防御策略用于指示所述第一边缘网络设备根据所述防御策略处理目的地址为所述目标IP地址的报文。
在一种可能的实现方式中,所述攻击信息还包括所述网络攻击报文的源IP地址,所述确定所述网络攻击报文通过第一边缘网络设备进入所述第一网络,包括:从所述攻击信息中获取所述源IP地址;根据所述源IP地址到所述第一边缘网络设备的对应关系确定所述第一边缘网络设备。
在一种可能的实现方式中,所述确定所述网络攻击报文通过第一边缘网络设备进入所述第一网络,包括:获取所述第一网络中多个边缘网络设备中的每个边缘网络设备在预设时间段内接收的目的地址为所述目标IP地址的报文的数据流量,所述多个边缘网络设备中包括所述第一边缘网络设备;确定所述第一边缘网络设备在所述预设时间段内的所述数据流量满足第一预设条件。
在一种可能的实现方式中,根据所述源IP地址到所述第一边缘网络设备的对应关系确定所述第一边缘网络设备之前,所述处理器还用于执行:从SDN控制器获取所述源IP地址到所述第一边缘网络设备的对应关系。
在一种可能的实现方式中,所述第一预设条件为所述数据流量超过预设值,所述防御策略为丢弃目的地址为所述目标IP地址的报文。
在一种可能的实现方式中,向所述第一边缘网络设备发送的防御策略包括:丢弃目的地址为所述目标IP地址的报文;或者丢弃目的地址为所述目标IP地址并且满足第二预设条件的报文。
第六方面,本申请实施例提供一种第一边缘网络设备,包括:处理器、网络接口和存储器,其中,所述处理器用于读取所述存储器中存储的程序执行以下操作:
通过所述网络接口接收防御策略,所述防御策略包括目标IP地址,所述防御策略用于指示所述第一边缘网络设备根据所述防御策略处理目的地址为所述目标IP地址的报文,所述第一边缘网络设备为第一网络中的边缘网络设备,所述第一网络中存在目的地址为所述目标IP地址的网络攻击报文,所述网络攻击报文通过所述第一边缘网络设备进入所述第一网络;
根据所述防御策略,处理目的地址为所述目标IP地址的报文。
在一种可能的实现方式中,所述第一边缘网络设备在预设的时间段内接收的目的地址为所述目标IP地址的报文的数据流量超过预设值,所述防御策略为丢弃所述目的地址为所述目标IP地址的报文。
在一种可能的实现方式中,所述装置接收的防御策略包括:丢弃目的地址为所述目标IP地址的报文;或者丢弃目的地址为所述目标IP地址并且满足第二预设条件的报文。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本申请实施例提供的一种可应用的系统构架图;
图2是本申请实施例提供的一种可应用的另一系统构架图;
图3是本申请实施例提供的一种网络攻击防御策略发送以及网络攻击防御的方法的示意图;
图4是本申请实施例提供的另一种网络攻击防御策略的发送以及网络攻击防御方法的示意图;
图5是本申请实施例提供的另一种网络攻击防御策略的发送以及网络攻击防御方法的示意图;
图6是本申请实施例提供的一种防御策略发送装置的结构示意图;
图7是本申请实施例提供的一种第一边缘网络设备的结构示意图;
图8是本申请实施例提供的另一种防御策略发送装置的结构示意图;
图9是本申请实施例提供的另一种第一边缘网络设备的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
图1是本申请实施例提供的一种可应用的系统构架图,如图1所示,包括:网络101中包括多个边缘网络设备,例如边缘网络设备11、边缘网络设备12以及边缘网络设备13。举例来说,边缘网络设备11、边缘网络设备12以及边缘网络设备13中的每个,均可以是路由器、交换机、防火墙、分组传送网设备、波分复用设备、光传送网设备、基站或者基站控制器。
网络101中的边缘网络设备11与网络102中的边缘网络设备连接,接收来自网络102的报文,或向网络102发送报文;网络101中的边缘网络设备12与网络103中的边缘网络设备连接,接收来自网络103的报文,或向网络103发送报文;网络101中的边缘网络设备13与网络104中的边缘网络设备连接,接收来自网络104的报文,或向网络104发送报文。举例来说,所述网络101、网络102、网络103以及网络104中的每个网络均可以是运营商网络(provider network),也可以是局域网。例如,假设网络101为运营商网络,则边缘网络设备11、边缘网络设备12以及边缘网络设备13可以是运营商边缘(provider edge,PE)网络设备。
举例来说,边缘网络设备12从网络103中的边缘网络设备接收来自网络103的报文,该报文的目的IP地址对应的主机为位于网络102中的主机。边缘网络设备12通过网络101中的一跳或多跳网络设备,将所述报文发送给边缘网络设备11,并由边缘网络设备11将所述报文发送到网络102中与边缘网络设备11相连的网络设备,从而使得该报文进入网络102中。
用于检测网络攻击报文的检测设备22,与网络中的某个网络设备耦合,并检测该网络设备接收的报文中是否存在网络攻击报文。例如,检测设备22与网络101中的边缘网络设备13耦合,该检测设备22用于检测边缘网络设备13接收到的报文中是否具有网络攻击报文,该网络攻击报文针对的主机,可以是网络101当中的主机,也可以是其他网络中的主机,例如网络102中的主机。
检测设备22在检测到该网络攻击报文时,将该检测结果发送给防御策略发送装置21。本申请实施例中,防御策略发送装置21可以是独立的物理设备,例如服务器。防御策略发送装置21还可以是部署在物理设备上的功能模块。防御策略发送装置21可以是位于网络101内部或者外部的设备或功能模块。
防御策略发送装置21可以与网络101中的各个边缘网络设备通信,并向网络101中需要防御网络攻击的边缘网络设备发送防御策略。
在一种可能的示例中,网络101中的各个边缘网络设备可以通过简单网络管理协议(Simple Network Management Protocol,SNMP)与防御策略发送装置21进行通信。
在另一种可能的示例中,如图2所示,网络101中的各个网络设备与软件定义网络(software-defined networking,SDN)控制器23通信,SDN控制器23与防御策略发送装置21通信。SDN控制器23收集网络设备要向防御策略发送装置21发送的信息,并发送给防御策略发送装置21;或者SDN控制器23通过与各个网络设备预先建立的连接将防御策略发送装置21要向各个网络设备发送的防御策略发送给各个网络设备。例如,网络101中的网络设备通过内部边界网关协议(internal Border Gateway Protocol,iBGP)与SDN控制器23进行通信。其中,SDN控制器23可以是独立的物理设备,例如服务器。SDN控制器23也可以是与防御策略发送装置21部署在同一物理设备上的功能模块。当然,在图2所示的系统架构中各边缘网络设备同样也可以与防御策略发送装置21进行通信。
举例来说,图1或图2的系统架构中,所述网络攻击报文可以是DoS攻击报文,例如具体可以是DDoS攻击报文。
举例来说,所述网络攻击报文可以是泛洪攻击报文、畸形报文攻击报文或者扫描探测类攻击报文。其中,所述泛洪攻击报文是攻击者在短时间内向目标系统发送大量的虚假请求,导致目标系统疲于应付无用信息,而无法为合法用户提供正常服务。例如:所述泛洪攻击报文可以是同步洪水(synchronous Flood,SYN Flood)报文、超文本传输协议获取洪水(HyperText Transfer Protocol Get Flood)报文、用户数据报协议洪水(UserDatagram Protocol Flood,UDP Flood)报文、域名系统查询洪水(Domain Name SystemQuery Flood,DNS Query Flood)报文、确认字符洪水(Acknowledgement Flood,ACKFlood)报文、因特网控制报文协议洪水(Internet Control Message Protocol Flood,ICMP Flood)报文、字符发生器协议(Character Generator Protocol,Chargen)反射攻击(Chargen reflection attack)报文和网络时间协议反射攻击(Network Time ProtocolReflection Attack,NTP Reflection Attack)报文中的一种或多种。
所述畸形报文攻击报文通常指攻击者发送大量有缺陷的报文,从而造成主机或服务器在处理这类报文时消耗大量资源或者系统崩溃。例如:所述畸形报文攻击报文可以是会话初始协议畸形(Session Initiation Protocol Freak,SIP Freak)报文、BGP畸形报文、中间系统到中间系统畸形(Intermediate system to intermediate system Freak,ISIS Freak)报文、实时流传输协议畸形(Real Time Streaming Protocol Freak,RTSPFreak)报文和传输控制协议标识错误(Transmission Control Protocol Flag Error,TCPFlag Error)报文中的一种或多种。
所述扫描探测类攻击报文可以是一种潜在的攻击行为,并不具备直接的破坏行为;所述扫描探测类攻击报文通常是攻击者发动真正攻击前的网络探测行为。
请参阅图3,图3是本申请实施例提供的一种网络攻击防御策略发送以及网络攻击防御的方法的示意图。举例来说,所述方法可以应用于图1或图2所示的应用场景中。图3所示的方法中的第一网络,可以是图1或图2所示的网络101。图3所示的方法中的第一边缘网络设备,可以是图1或图2所示的边缘网络设备12。图3所示的方法中S301,S302和S303的执行主体,可以是图1或图2所示的防御策略发送装置21。如图3所示,包括:
S301、接收攻击信息,所述攻击信息包括目标网际协议IP地址,所述攻击信息用于指示第一网络中存在目的地址为所述目标IP地址的网络攻击报文。
S301中接收的攻击信息,可以来自网络101中的网络设备,例如图1或图2中的网络101中的任何一个网络设备。所述攻击信息也可以来自与图1或图2中的网络101中的任一一个网络设备耦合的检测设备,例如图1或图2中所示的与边缘网络设备13耦合的检测设备22。当然,本领域技术可以理解的是,检测设备22也可以与网络101中的非边缘网络设备耦合。网络101中,与网络设备耦合的检测设备可以是一个,也可以是多个。
例如:检测设备22与边缘网络设备13耦合,边缘网络设备13复制接收到的报文并发送给检测设备22,检测设备22分析所述报文是否具备网络攻击报文的特征,若具备网络攻击报文的特征,则检测设备22获取该网络攻击报文的目的IP地址,将所述网络攻击报文的目的IP地址写入所述攻击信息。网络攻击报文的具体特征举例,请参见S303中的示例。
举例来说,所述攻击信息中还可以包括所述目标IP地址受到的网络攻击的攻击类型和数据流量大小。
S302、确定所述网络攻击报文通过第一边缘网络设备进入所述第一网络,所述第一边缘网络设备为所述第一网络中的边缘设备。
具体来说,所述网络攻击报文通过第一边缘网络设备进入所述第一网络是指,所述第一边缘网络设备从与所述第一边缘网络设备通信的另一个网络的边缘网络设备接收所述网络攻击报文。举例来说,如图1所示,所述第一边缘网络设备为边缘网络设备12,第一网络为网络101,边缘网络设备12与网络103通信,接收网络103中的边缘网络设备发送的报文。所述网络攻击报文从网络103中的第二边缘网络设备发送给边缘网络设备12,这样该网络攻击报文就进入到网络101。通过S302可以查找到所述第一边缘网络设备,即查找到所述网络攻击报文进入第一网络的源头。确定所述第一边缘网络设备的具体方法的示例,可以参见图4和图5的描述。
S303、向所述第一边缘网络设备发送防御策略,所述防御策略用于指示所述第一边缘网络设备根据所述防御策略处理目的地址为所述目标IP地址的报文。
例如:S303发送的防御策略可以包括:丢弃目的地址为所述目标IP地址的报文;或者丢弃目的地址为所述目标IP地址并且满足第二预设条件的报文。
其中,所述丢弃目的地址为所述目标IP地址的报文可以是丢弃目的地址为所述目标IP地址的所有报文,所述丢弃目的地址为所述目标IP地址的报文可以是丢弃特定时段内收到的、目的地址为所述目标IP地址的所有报文。在一种示例中,当第一边缘网络设备在预设时间段内接收到的目的地址为所述目标IP地址的报文的数据流量超过第一预设值时,所述防御策略发送装置21向所述第一边缘网络设备发送该丢弃目的地址为所述目标IP地址的报文的防御策略。所述数据流量可以是所述第一边缘网络设备采用图5所述的方式发送给所述防御策略发送装置21的。在另一种示例中,当与检测设备22耦合的网络设备在预设时间段内接收到的目的地址为所述目标IP地址的报文的数据流量超过第一预设值时,所述防御策略发送装置21向所述第一边缘网络设备发送该丢弃目的地址为所述目标IP地址的报文的防御策略。在所述数据流量是与检测设备22耦合的网络设备接收的数据流量的情况下,该数据流量可以携带在S301中所述的攻击信息中。采用丢弃目的地址为所述目标IP地址的报文的防御策略,所述第一边缘网络设备只需要提取接收的报文中的目的IP地址并判断该收到的报文的目的IP地址与所述目标IP地址是否相同,如果相同,则丢弃收到的报文;如果不相同,则正常转发收到的报文。所述防御策略实现防御网络攻击,无需占用过多所述第一边缘网络设备的运算资源。此外,该防御策略还可以快速降低网络中网络攻击报文对整个网络造成的传输资源的占用,从而降低所述网络攻击报文对网络的伤害。
在一种可能的示例中,所述丢弃目的地址为所述目标IP地址并且满足第二预设条件的报文的防御策略中,所述第二预设条件为报文的传输协议的类型。举例来说,所述第一边缘网络设备中预先存储了所述目标IP地址对应的主机所需接收的报文的传输类型,例如该主机只需要接收采用传输控制协议(Transmission Control Protocol,TCP)传输的业务,那么当某个报文携带的协议号不是TCP,例如当该报文携带的协议号是用户数据报协议(User Datagram Protocol,UDP)的时候,则所述报文满足所述第二预设条件。即,边缘网络设备12根据该防御策略将目的地址为所述目标IP地址的报文中协议号不是TCP协议的报文丢弃。
在另一种可能的示例中,所述丢弃目的地址为所述目标IP地址并且满足第二预设条件的报文的防御策略中,所述第二预设条件为特定类型的网络攻击报文的特征。举例来说,网络攻击报文的特征可以是收到的报文长度超过第二预设值。例如,NTP报文一般只有100多字节,而NTP攻击报文往往上千字节。因此,可以将所述第二预设值设置为超过正常NTP报文的长度值,例如设为500字节。
本申请实施例提供了一些典型的网络攻击报文类型和网络攻击报文长度的对应关系,如表1所示。
表1
Figure GPA0000250255400000151
举例来说,针对畸形报文,第二预设条件可以是畸形报文的典型特征。例如,如果收到的报文是TCP报文的情况下,在该TCP报文的TCP首部中包括6个标识:(1)URG标识,表示紧急指针字段有效;(2)ACK标识,表示确认序号字段有效;(3)PSH标识,指示接收方应该尽快将这个报文段交给应用层;(4)RST标识,指示重建连接;(5)SYN标识,表示同步序号;(6)FIN标识,表示发端没有后续的数据要发送。由于正常的TCP报文中所述标识(1)~(6)的值只会按照特定的规则出现,不按照特定规则标识的TCP报文会影响接收该TCP报文的主机的响应速度。因此,当所述标识(1)~(6)为以下组合时,可以直接被认为是畸形报文,即可以将所述第二预设条件设为在TCP首部中所述6个标识的值为以下的任一一种:
(1)所述标识(1)~(6)的值均为1;
(2)所述标识(1)~(6)的值均为0;
(3)SYN标识的值为1,且RST标识的值为1;
(4)FIN标识的值为1,且RST标识的值为1;
(5)FIN标识的值、URG标识的值或者PSH标识的值中的只有一个为1,其他5个标识的值均为0;
(6)SYN标识的值为1的报文中包括净荷。
举例来说,防御策略发送装置中预先存储了针对不同类型的网络攻击报文的防御策略,并在接收到攻击信息后从预先存储的防御策略中选择其中的一种。防御策略发送装置还可以根据攻击信息中的参数,对防御策略进行调整。
S304、第一边缘网络设备接收所述防御策略。
其中,该防御策略是S303中生成的防御策略。该防御策略包括所述目标IP地址,所述防御策略用于指示所述第一边缘网络设备根据所述防御策略处理目的地址为所述目标IP地址的报文,所述第一边缘网络设备为第一网络中的边缘网络设备,所述第一网络中存在目的地址为所述目标IP地址的网络攻击报文,所述网络攻击报文通过所述第一边缘网络设备进入所述第一网络。
S305、第一边缘网络设备根据所述防御策略,处理目的地址为所述目标IP地址的报文。
具体来说,所述第一边缘网络设备对目的地址为所述目标IP地址的报文执行所述防御策略。防御策略的具体示例可以参考S303中对防御策略的举例说明,此处不再举例。
可选的,所述方法还可以进一步包括防御策略发送装置输出防御报表。例如,所述防御报表可以包括所述第一边缘网络设备根据防御策略丢弃的目的地址为所述目标IP地址的报文的数量。所述防御报表还可以包括所述目标IP受到网络攻击的攻击类型等。通过防御报表,用户可以知道网络的安全状态。
本实施例中,通过所述步骤可以实现在第一网络的源头对网络攻击进行防御,有效的保护了第一网络,节约了第一网络中的传输资源。另外,本实施例中,通过边缘网络设备对网络攻击报文进行处理,不需要使用专门的清洗设备,从而在保证防御效果的同时有效的降低实现成本。
图4是本申请实施例提供的另一种网络攻击防御策略发送以及网络攻击的防御方法的示意图,图4所记载的方案是在图3所记载的方案的基础上做了部分修改,下面仅阐述与图3不同的部分,相同部分请参见图3的说明:
在图4所示的实施例中,所述攻击信息还包括所述网络攻击报文的源IP地址,S302具体包括S401和S402。
S401、从所述攻击信息中获取所述源IP地址。
具体来说,所述源IP地址是发送所述网络攻击报文的源IP地址,即发送该网络攻击报文的主机的IP地址。
S402、根据所述源IP地址到所述第一边缘网络设备的对应关系确定所述第一边缘网络设备。
举例来说,所述对应关系可以从所述第一边缘网络设备的路由表中获得。例如,根据所述网络攻击报文的源IP地址查找所述第一边缘网络设备的路由表中是否存在匹配的表项。如果查找到所述第一边缘设备的路由表中存在第一路由表项,所述第一路由表项中的目的IP地址为第一IP地址,所述第一路由表项中的存储的下一跳是与所述第一边缘网络设备相连的、所述第一网络之外的其他网络中的网络设备的IP地址,并且,所述第一IP地址与所述网络攻击报文的源IP地址匹配,则确定存在所述源IP地址与所述第一边缘网络设备的对应关系。例如,所述第一IP地址与所述网络攻击报文的源IP地址匹配,可以是指最长前缀匹配(英文:longest prefix match)。
假定以图1中边缘网络设备12为所述第一边缘网络设备,所述网络攻击报文的源IP地址是192.168.20.19。根据所述网络攻击报文的源IP地址查找所述第一边缘网络设备的路由表中是否存在匹配的表项。如果查找到所述边缘网络设备12的路由表中存在第一路由表项,所述第一路由表项中的目的IP地址为第一IP地址192.168.0.0/16,所述第一路由表项中的下一跳为网络103中的边缘网络设备的IP地址,则认为存在所述源IP地址与边缘网络设备12的对应关系。
举例来说,所述路由表可以理解为由外部边界网关协议(External BorderGateway Protocol,eBGP)生成的路由表。
在一种可能的示例中,防御策略发送装置从SDN控制器获取所述源IP地址到所述第一边缘网络设备的对应关系。
例如:在图2所示的系统架构中,SDN控制器23获取包括第一边缘网络设备在内的多个边缘网络设备的路由表。在一种示例中,SDN控制器23在S301之前或者S301之后,获取所述第一网络中多个边缘网络设备的路由表,并且根据所述多个路由表中的多个路由表项,生成多个对应关系,该对应关系包括IP地址与边缘网络设备之间的对应关系,并将所述对应关系发送给防御策略发送装置21,防御策略发送装置21在S301之后根据攻击信息中的网络攻击报文的源IP地址,从所述多个IP地址与边缘网络设备的对应关系中,查找到所述源IP地址与所述第一边缘网络设备的对应关系。在另一种示例中,防御策略发送装置也可以在S301之后将所述源IP地址发送给SDN控制器23,SDN控制器23查找到所述源IP地址与所述第一边缘网络设备的对应关系之后,将所述第一边缘网络设备的标识发送给所述防御策略发送装置21。
在另一种可能的示例中,所述防御策略发送装置从所述第一边缘网络设备获取所述源IP地址到所述第一边缘网络设备的对应关系。
例如,在图1或图2所示的系统架构中,网络101中的各个边缘网络设备通过SNMP向防御策略发送装置21上报各自的路由表。所述防御策略发送装置21从各个边缘网络设备发送的路由表中,获取所述对应关系。
本实施例中,根据所述对应关系确定所述第一边缘网络设备,从而可以快速确定第一网络中作为网络攻击报文来源的所述第一边缘网络设备,以及时对网络攻击报文进行防御。
图5是本申请实施例提供的另一种网络攻击防御策略发送以及网络攻击的防御方法的示意图,图5所记载的方案是在图3所记载的方案的基础上做了部分修改,下面仅阐述与图3不同的部分,相同部分请参见图3的说明。
在图5所示的实施例中,S302包括S501和S502。
S501,获取所述第一网络中多个边缘网络设备中的每个边缘网络设备在预设时间段内接收的目的地址为所述目标IP地址的报文的数据流量,所述多个边缘网络设备中包括所述第一边缘网络设备。
在一种可能的示例中,例如图1的应用场景中,防御策略发送装置21直接向各个边缘网络设备发送数据流量统计指示,当所述各个边缘网络设备接收到所述数据流量统计指示时,向防御策略发送装置上报所述数据流量。举例来说,边缘网络设备可以通过SNMP向防御策略发送装置上报所述数据流量。
在另一种可能的示例中,例如图2所示的应用场景中,防御策略发送装置21可以通过SDN控制器23发送所述数据流量的统计指示,SDN控制器23再将所述数据流量统计指示发送给各个边缘网络设备。举例来说,所述防御策略发送装置21与SDN控制器23通过表征状态转移(representational state transfer,REST)架构的接口通信。SDN控制器23与各个网络设备通过网络配置(network configuration,NETCONF)协议通信。防御策略发送装置21向SDN控制器23发送数据流量统计指示,SDN控制器23接收到该数据流量统计指示后,将其转换成网络配置协议的数据流量统计指示,再将转换后的数据流量统计指示发送给各边缘网络设备。在该示例中,边缘网络设备可以通过SNMP直接向防御策略发送装置21上报所述数据流量,或者通过SDN控制器23向防御策略发送装置21上报数据流量。
在一种可能的示例中,防御策略发送装置可以向所述第一网络的所有边缘网络设备发送所述数据流量统计指示,所述第一网络的所有边缘网络设备均将各自统计的所述数据流量发送给所述防御策略发送装置。
在另一种可能的示例中,防御策略发送装置确定所述第一网络中,存在包含所述攻击信息中的所述目标IP地址的路由表项的边缘网络设备,并向存在所述路由表项的边缘网络设备发送所述数据流量统计指示。本领域技术人员可以理解的是,防御策略发送装置可以直接获取边缘网络设备的路由表,并查找所述路由表项,也可以通过SDN控制器23确定存在所述路由表项的边缘网络设备。
S502,确定所述第一边缘网络设备在所述预设时间段内接收的所述数据流量满足第一预设条件。
在一种可能的示例中,获取所述第一网络中多个边缘网络设备中的每个边缘网络设备的所述数据流量之后,对所述多个数据流量进行排序,所述第一预设条件可以是所述多个数据流量中数据流量最大的一个或多个边缘网络设备。
在另一种可能的示例中,所述第一预设条件可以是所述数据流量超过预设值。
本实施例中,通过获取边缘网络设备中特定目的IP地址的报文的数据流量,并且将数据流量作为判断网络攻击的一个重要指标,可以快速确定网络攻击报文的来源,从而及时对网络攻击作出防御,进一步改善对网络攻击报文的防御效果。
请参阅图6,图6是本申请实施例提供的一种防御策略发送装置的结构示意图,如图6所示,所述装置包括:接收单元61、确定单元62和发送单元63。举例来说,所述防御策略发送装置可以是服务器,也可以是服务器上的软件或硬件模块。接收单元61和发送单元63可以是网络接口,例如可以是图8所示的网络接口82。确定单元62可以处理器,例如可以是图8所示的处理器81。
接收单元61,用于接收攻击信息,所述攻击信息包括目标网际协议IP地址,所述攻击信息用于指示第一网络中存在目的地址为所述目标IP地址的网络攻击报文。
确定单元62,用于根据接收单元61接收的所述攻击信息确定所述网络攻击报文通过第一边缘网络设备进入所述第一网络,所述第一边缘网络设备为所述第一网络中的边缘设备;
发送单元63,用于向所述第一边缘网络设备发送防御策略,所述防御策略用于指示所述第一边缘网络设备根据所述防御策略处理目的地址为所述目标IP地址的报文。
可选的,所述攻击信息还包括所述网络攻击报文的源IP地址,确定单元62还可以用于从所述攻击信息中获取所述源IP地址,以及用于根据所述源IP地址到所述第一边缘网络设备的对应关系确定所述第一边缘网络设备。
该实施方式中,接收单元61还用于从SDN控制器获取所述源IP地址到所述第一边缘网络设备的对应关系;或者
接收单元61还用于从所述第一边缘网络设备获取所述源IP地址到所述第一边缘网络设备的对应关系。
可选的,确定单元62还用于获取所述第一网络中多个边缘网络设备中的每个边缘网络设备在预设时间段内接收的为目的地址为所述目标IP地址的报文的数据流量,所述多个边缘网络设备中包括所述第一边缘网络设备,以及用于确定所述第一边缘网络设备在所述预设时间段内接收的所述数据流量满足第一预设条件。
可选的,所述第一预设条件为所述数据流量超过预设值,所述防御策略为丢弃目的地址为所述目标IP地址的报文。
可选的,向所述第一边缘网络设备发送的防御策略包括:
丢弃目的地址为所述目标IP地址的报文;
丢弃目的地址为所述目标IP地址并且满足第二预设条件的报文。
本实施例中的防御策略发送装置可以是图3至图5中步骤的执行主体。本实施例中的防御策略发送装置可以是图1和图2所示的系统架构中的防御策略发送装置21。
本实施例中,由于所述网络攻击报文通过第一边缘网络设备进入所述第一网络,通过向第一边缘网络设备发送防御策略,指示所述第一边缘网络设备对所述网络攻击进行防御,减少了网络攻击报文在所述第一网络中的传输,节约了所述第一网络的传输资源,改善了对网络攻击报文的防御效果。
请参阅图7,图7是本申请实施例提供的一种第一边缘网络设备的结构示意图,如图7所示,该边缘网络设备包括:接收单元71和处理单元72。举例来说,所述第一边缘网络设备可以是路由器。接收单元71可以是网络接口,例如图9所示的网络接口92;处理单元72可以是处理器,例如图9所示的处理器91。
接收单元71,用于接收防御策略,所述防御策略包括目标IP地址,所述防御策略用于指示所述第一边缘网络设备根据所述防御策略处理目的地址为所述目标IP地址的报文,所述第一边缘网络设备为第一网络中的边缘网络设备,所述第一网络中存在目的地址为所述目标IP地址的网络攻击报文,所述网络攻击报文通过所述第一边缘网络设备进入所述第一网络;
处理单元72,用于根据接收单元71接收的所述防御策略,处理目的地址为所述目标IP地址的报文。
可选的,所述第一边缘网络设备在预设的时间段内接收的目的地址为所述目标IP地址的报文的数据流量超过预设值,所述防御策略为丢弃所述目的地址为所述目标IP地址的报文。
可选的,接收单元71接收的防御策略包括:
丢弃目的地址为所述目标IP地址的报文;或者,
丢弃目的地址为所述目标IP地址并且满足第二预设条件的报文。
本实施例中的第一边缘网络设备可以是图3至图5所示的实施例中的第一边缘网络设备。本实施例中的第一边缘网络设备可以是图1和图2所示的系统架构中的边缘网络设备。
本实施例中,由于所述网络攻击报文通过第一边缘网络设备进入所述第一网络,通过在第一边缘网络设备执行防御策略,减少了网络攻击报文在所述第一网络中的传输,节约了所述第一网络的传输资源,改善了对网络攻击报文的防御效果。
请参阅图8,图8是本申请实施例提供的另一种防御策略发送装置的结构示意图,如图8所示,包括:处理器81、网络接口82和存储器83。
处理器81包括但不限于中央处理器(英文:central processing unit,简称:CPU),网络处理器(英文:network processor,简称:NP),专用集成电路(英文:application-specific integrated circuit,简称:ASIC)或者可编程逻辑器件(英文:programmable logic device,缩写:PLD)中的一个或多个。所述PLD可以是复杂可编程逻辑器件(英文:complex programmable logic device,缩写:CPLD),现场可编程逻辑门阵列(英文:field-programmable gate array,缩写:FPGA),通用阵列逻辑(英文:genericarray logic,缩写:GAL)或其任意组合。
网络接口82可以是有线接口,例如光纤分布式数据接口(英文:FiberDistributed Data Interface,简称:FDDI)、以太网(英文:Ethernet)接口。网络接口82也可以是无线接口,例如无线局域网接口。
存储器83包括但不限于是随机存取存储器(英文:random-access memory,简称:RAM)、只读存储器(英文:read only memory,简称:ROM)、可擦除可编程只读存储器(英文:erasable programmable read only memory,简称:EPROM)。
其中,处理器81用于读取存储器83中存储的程序执行以下操作:
通过网络接口82接收攻击信息,所述攻击信息包括目标网际协议IP地址,所述攻击信息用于指示第一网络中存在目的地址为所述目标IP地址的网络攻击报文;
确定所述网络攻击报文通过第一边缘网络设备进入所述第一网络,所述第一边缘网络设备为所述第一网络中的边缘设备;
通过网络接口82向所述第一边缘网络设备发送防御策略,所述防御策略用于指示所述第一边缘网络设备根据所述防御策略处理目的地址为所述目标IP地址的报文。
可选的,所述攻击信息还包括所述网络攻击报文的源IP地址,所述确定所述网络攻击报文通过第一边缘网络设备进入所述第一网络,包括:
从所述攻击信息中获取所述源IP地址;
根据所述源IP地址到所述第一边缘网络设备的对应关系确定所述第一边缘网络设备。
可选的,所述确定所述网络攻击报文通过第一边缘网络设备进入所述第一网络,包括:
获取所述第一网络中多个边缘网络设备中的每个边缘网络设备在预设时间段内接收的目的地址为所述目标IP地址的报文的数据流量,所述多个边缘网络设备中包括所述第一边缘网络设备;
确定所述第一边缘网络设备在所述预设时间段内的所述数据流量满足第一预设条件。
可选的,根据所述源IP地址到所述第一边缘网络设备的对应关系确定所述第一边缘网络设备之前,处理器81还用于执行:
从SDN控制器获取所述源IP地址到所述第一边缘网络设备的对应关系;或者
从所述第一边缘网络设备获取所述源IP地址到所述第一边缘网络设备的对应关系。
可选的,所述第一预设条件为所述数据流量超过预设值,所述防御策略为丢弃目的地址为所述目标IP地址的报文。
可选的,向所述第一边缘网络设备发送的防御策略包括:
丢弃目的地址为所述目标IP地址的报文;或者,
丢弃目的地址为所述目标IP地址并且满足第二预设条件的报文。
本实施例中的防御策略发送装置可以是图3至图5所示的实施例中的步骤的执行主体。本实施例中的防御策略发送装置可以是图1和图2所示的系统架构中的防御策略发送装置21。
本实施例中,由于所述网络攻击报文通过第一边缘网络设备进入所述第一网络,通过向第一边缘网络设备发送防御策略,指示所述第一边缘网络设备对所述网络攻击进行防御,减少了网络攻击报文在所述第一网络中的传输,节约了所述第一网络的传输资源,改善了对网络攻击报文的防御效果。
请参阅图9,图9是本申请实施例提供的一种第一边缘网络设备的结构示意图,如图9所示,包括:处理器91、网络接口92和存储器93。
处理器91包括但不限于中央处理器(英文:central processing unit,简称:CPU),网络处理器(英文:network processor,简称:NP),专用集成电路(英文:application-specific integrated circuit,简称:ASIC)或者可编程逻辑器件(英文:programmable logic device,缩写:PLD)中的一个或多个。所述PLD可以是复杂可编程逻辑器件(英文:complex programmable logic device,缩写:CPLD),现场可编程逻辑门阵列(英文:field-programmable gate array,缩写:FPGA),通用阵列逻辑(英文:genericarray logic,缩写:GAL)或其任意组合。
网络接口92可以是有线接口,例如光纤分布式数据接口(英文:FiberDistributed Data Interface,简称:FDDI)、以太网(英文:Ethernet)接口。网络接口92也可以是无线接口,例如无线局域网接口。
存储器93包括但不限于是随机存取存储器(英文:random-access memory,简称:RAM)、只读存储器(英文:read only memory,简称:ROM)、可擦除可编程只读存储器(英文:erasable programmable read only memory,简称:EPROM)。
其中,所述处理器91用于读取存储器93中存储的程序执行以下操作:
通过网络接收92接收防御策略,所述防御策略包括目标IP地址,所述防御策略用于指示所述第一边缘网络设备根据所述防御策略处理目的地址为所述目标IP地址的报文,所述第一边缘网络设备为第一网络中的边缘网络设备,所述第一网络中存在目的地址为所述目标IP地址的网络攻击报文,所述网络攻击报文通过所述第一边缘网络设备进入所述第一网络;
根据所述防御策略,处理目的地址为所述目标IP地址的报文。
可选的,所述第一边缘网络设备在预设的时间段内接收的目的地址为所述目标IP地址的报文的数据流量超过预设值,所述防御策略为丢弃所述目的地址为所述目标IP地址的报文。
可选的,所述装置接收的防御策略包括:
丢弃目的地址为所述目标IP地址的报文;或者,
丢弃目的地址为所述目标IP地址并且满足第二预设条件的报文。
本实施例中的第一边缘网络设备可以是图3至图5所示的实施例中的第一边缘网络设备。本实施例中的第一边缘网络设备可以是图1和图2所示的系统架构中的边缘网络设备。
本实施例中,由于所述网络攻击报文通过第一边缘网络设备进入所述第一网络,通过在第一边缘网络设备执行防御策略,减少了网络攻击报文在所述第一网络中的传输,节约了所述第一网络的传输资源,改善了对网络攻击报文的防御效果。
本领域普通技术人员可以理解实现所述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如所述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存取存储器(Random AccessMemory,简称RAM)等。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上所揭露的仅为本申请较佳实施例而已,当然不能以此来限定本申请之权利范围,因此依本申请权利要求所作的等同变化,仍属本申请所涵盖的范围。

Claims (25)

1.一种网络攻击防御策略的发送方法,其特征在于,包括:
防御策略发送装置从第一运营商边缘PE网络中的检测设备接收攻击信息,所述攻击信息包括目标IP地址,所述攻击信息用于指示所述第一PE网络中存在目的地址为所述目标IP地址的网络攻击报文;所述攻击信息还包括所述网络攻击报文的源IP地址,其中,所述检测设备与所述第一PE网络中的第一网络设备耦合,并且用于检测该第一网络设备接收的报文中存在所述网络攻击报文,所述第一网络设备为所述网络攻击报文的转发路径上的网络设备;
所述防御策略发送装置从所述攻击信息中获取所述源IP地址,根据所述源IP地址到第一边缘网络设备的对应关系确定所述第一边缘网络设备,确定所述网络攻击报文通过第一边缘网络设备进入所述第一PE网络,所述第一边缘网络设备为所述第一PE网络中的边缘设备;
所述防御策略发送装置向所述第一边缘网络设备发送防御策略,所述防御策略用于指示所述第一边缘网络设备根据所述防御策略处理目的地址为所述目标IP地址的报文。
2.如权利要求1所述的方法,其特征在于,根据所述源IP地址到所述第一边缘网络设备的对应关系确定所述第一边缘网络设备之前,所述方法还包括:
所述防御策略发送装置从软件定义网络SDN控制器获取所述源IP地址到所述第一边缘网络设备的对应关系;或者
所述防御策略发送装置从所述第一边缘网络设备获取所述源IP地址到所述第一边缘网络设备的对应关系。
3.如权利要求1至2任一所述的方法,其特征在于,所述确定所述网络攻击报文通过第一边缘网络设备进入所述第一PE网络,包括:
所述防御策略发送装置获取所述第一PE网络中多个边缘网络设备中的每个边缘网络设备在预设时间段内接收的目的地址为所述目标IP地址的报文的数据流量,所述多个边缘网络设备中包括所述第一边缘网络设备;
所述防御策略发送装置确定所述第一边缘网络设备在所述预设时间段内接收的所述数据流量满足第一预设条件。
4.如权利要求3所述的方法,其特征在于,所述第一预设条件为所述数据流量超过预设值,所述防御策略为丢弃目的地址为所述目标IP地址的报文。
5.如权利要求1、2或4所述的方法,其特征在于,所述防御策略包括:
丢弃目的地址为所述目标IP地址的报文;或者
丢弃目的地址为所述目标IP地址并且满足第二预设条件的报文。
6.如权利要求3所述的方法,其特征在于,所述防御策略包括:
丢弃目的地址为所述目标IP地址的报文;或者
丢弃目的地址为所述目标IP地址并且满足第二预设条件的报文。
7.一种网络攻击防御方法,其特征在于,包括:
第一边缘网络设备接收防御策略,所述防御策略包括目标IP地址,所述防御策略用于指示所述第一边缘网络设备根据所述防御策略处理目的地址为所述目标IP地址的报文,所述第一边缘网络设备为第一运营商边缘PE网络中的边缘网络设备,所述第一PE网络中存在目的地址为所述目标IP地址的网络攻击报文,所述网络攻击报文通过所述第一边缘网络设备进入所述第一PE网络;所述第一边缘网络设备由所述网络攻击报文的源IP地址到所述第一边缘网络设备的对应关系确定;其中,所述防御策略在检测设备检测到所述网络攻击报文之后发送,所述检测设备与所述第一PE网络中的第一网络设备耦合,并且用于检测该第一网络设备接收的报文中存在所述网络攻击报文,所述第一网络设备为所述网络攻击报文的转发路径上的网络设备;
所述第一边缘网络设备根据所述防御策略,处理目的地址为所述目标IP地址的报文。
8.如权利要求7所述的方法,其特征在于,所述第一边缘网络设备在预设的时间段内接收的目的地址为所述目标IP地址的报文的数据流量超过预设值,所述防御策略为丢弃所述目的地址为所述目标IP地址的报文。
9.如权利要求7或8所述的方法,其特征在于,所述防御策略包括:
丢弃目的地址为所述目标IP地址的报文;或者
丢弃目的地址为所述目标IP地址并且满足第二预设条件的报文。
10.一种防御策略发送装置,其特征在于,包括:接收单元、确定单元和发送单元,其中:
所述接收单元,用于从第一运营商边缘PE网络中的检测设备接收攻击信息,所述攻击信息包括目标IP地址,所述攻击信息用于指示所述第一PE网络中存在目的地址为所述目标IP地址的网络攻击报文;所述攻击信息还包括所述网络攻击报文的源IP地址;其中,所述检测设备与所述第一PE网络中的第一网络设备耦合,并且用于检测该第一网络设备接收的报文中存在所述网络攻击报文,所述第一网络设备为所述网络攻击报文的转发路径上的网络设备;
所述确定单元,用于从所述攻击信息中获取所述源IP地址,根据所述源IP地址到第一边缘网络设备的对应关系确定所述第一边缘网络设备,根据所述接收单元接收的所述攻击信息确定所述网络攻击报文通过第一边缘网络设备进入所述第一PE网络,所述第一边缘网络设备为所述第一PE网络中的边缘设备;
所述发送单元,用于向所述第一边缘网络设备发送防御策略,所述防御策略用于指示所述第一边缘网络设备根据所述防御策略处理目的地址为所述目标IP地址的报文。
11.如权利要求10所述的装置,其特征在于,所述确定单元还用于获取所述第一PE网络中多个边缘网络设备中的每个边缘网络设备在预设时间段内接收的目的地址为所述目标IP地址的报文的数据流量,所述多个边缘网络设备中包括所述第一边缘网络设备,以及用于确定所述第一边缘网络设备在所述预设时间段内接收的所述数据流量满足第一预设条件。
12.如权利要求10所述的装置,其特征在于,所述接收单元还用于从SDN控制器获取所述源IP地址到所述第一边缘网络设备的对应关系;或者
所述接收单元还用于从所述第一边缘网络设备获取所述源IP地址到所述第一边缘网络设备的对应关系。
13.如权利要求11所述的装置,其特征在于,所述第一预设条件为所述数据流量超过预设值,所述防御策略为丢弃目的地址为所述目标IP地址的报文。
14.如权利要求10至13中任一项所述的装置,其特征在于,所述防御策略包括:
丢弃目的地址为所述目标IP地址的报文;或者
丢弃目的地址为所述目标IP地址并且满足第二预设条件的报文。
15.一种第一边缘网络设备,其特征在于,所述第一边缘网络设备包括:接收单元和处理单元,其中:
所述接收单元,用于接收防御策略,所述防御策略包括目标IP地址,所述防御策略用于指示所述第一边缘网络设备根据所述防御策略处理目的地址为所述目标IP地址的报文,所述第一边缘网络设备为第一运营商边缘PE网络中的边缘网络设备,所述第一PE网络中存在目的地址为所述目标IP地址的网络攻击报文,所述网络攻击报文通过所述第一边缘网络设备进入所述第一PE网络;所述第一边缘网络设备由所述网络攻击报文的源IP地址到所述第一边缘网络设备的对应关系确定;其中,所述防御策略在检测设备检测到所述网络攻击报文之后发送,所述检测设备与所述第一PE网络中的第一网络设备耦合,并且用于检测该第一网络设备接收的报文中存在所述网络攻击报文,所述第一网络设备为所述网络攻击报文的转发路径上的网络设备;
所述处理单元,用于根据所述接收单元接收的所述防御策略,处理目的地址为所述目标IP地址的报文。
16.如权利要求15所述的边缘网络设备,其特征在于,所述第一边缘网络设备在预设的时间段内接收的目的地址为所述目标IP地址的报文的数据流量超过预设值,所述防御策略为丢弃所述目的地址为所述目标IP地址的报文。
17.如权利要求15或16所述的边缘网络设备,其特征在于,所述防御策略包括:
丢弃目的地址为所述目标IP地址的报文;或者
丢弃目的地址为所述目标IP地址并且满足第二预设条件的报文。
18.一种防御策略发送装置,其特征在于,包括:处理器、网络接口和存储器,其中,所述处理器用于读取所述存储器中存储的程序执行以下操作:
通过所述网络接口从第一运营商边缘PE网络中的检测设备接收攻击信息,所述攻击信息包括目标IP地址,所述攻击信息用于指示第一PE网络中存在目的地址为所述目标IP地址的网络攻击报文;所述攻击信息还包括所述网络攻击报文的源IP地址;其中,所述检测设备与所述第一PE网络中的第一网络设备耦合,并且用于检测该第一网络设备接收的报文中存在所述网络攻击报文,所述第一网络设备为所述网络攻击报文的转发路径上的网络设备;
从所述攻击信息中获取所述源IP地址,根据所述源IP地址到第一边缘网络设备的对应关系确定所述第一边缘网络设备,确定所述网络攻击报文通过第一边缘网络设备进入所述第一PE网络,所述第一边缘网络设备为所述第一PE网络中的边缘设备;
通过所述网络接口向所述第一边缘网络设备发送防御策略,所述防御策略用于指示所述第一边缘网络设备根据所述防御策略处理目的地址为所述目标IP地址的报文。
19.如权利要求18所述的装置,其特征在于,所述确定所述网络攻击报文通过第一边缘网络设备进入所述第一PE网络,包括:
获取所述第一PE网络中多个边缘网络设备中的每个边缘网络设备在预设时间段内接收的目的地址为所述目标IP地址的报文的数据流量,所述多个边缘网络设备中包括所述第一边缘网络设备;
确定所述第一边缘网络设备在所述预设时间段内的所述数据流量满足第一预设条件。
20.如权利要求18所述的装置,其特征在于,根据所述源IP地址到所述第一边缘网络设备的对应关系确定所述第一边缘网络设备之前,所述处理器还用于执行:
从SDN控制器获取所述源IP地址到所述第一边缘网络设备的对应关系;或者
从所述第一边缘网络设备获取所述源IP地址到所述第一边缘网络设备的对应关系。
21.如权利要求19所述的装置,其特征在于,所述第一预设条件为所述数据流量超过预设值,所述防御策略为丢弃目的地址为所述目标IP地址的报文。
22.如权利要求18至21中任一项所述的装置,其特征在于,所述防御策略包括:
丢弃目的地址为所述目标IP地址的报文;或者
丢弃目的地址为所述目标IP地址并且满足第二预设条件的报文。
23.一种第一边缘网络设备,其特征在于,包括:处理器、网络接口和存储器,其中,所述处理器用于读取所述存储器中存储的程序执行以下操作:
通过所述网络接口接收防御策略,所述防御策略包括目标IP地址,所述防御策略用于指示所述第一边缘网络设备根据所述防御策略处理目的地址为所述目标IP地址的报文,所述第一边缘网络设备为第一运营商边缘PE网络中的边缘网络设备,所述第一PE网络中存在目的地址为所述目标IP地址的网络攻击报文,所述网络攻击报文通过所述第一边缘网络设备进入所述第一PE网络;所述第一边缘网络设备由所述攻击报文的源IP地址到所述第一边缘网络设备的对应关系确定;其中,所述防御策略在检测设备检测到所述网络攻击报文之后发送,所述检测设备与所述第一PE网络中的第一网络设备耦合,并且用于检测该第一网络设备接收的报文中存在所述网络攻击报文,所述第一网络设备为所述网络攻击报文的转发路径上的网络设备;
根据所述防御策略,处理目的地址为所述目标IP地址的报文。
24.如权利要求23所述的设备,其特征在于,所述第一边缘网络设备在预设的时间段内接收的目的地址为所述目标IP地址的报文的数据流量超过预设值,所述防御策略为丢弃所述目的地址为所述目标IP地址的报文。
25.如权利要求23或24所述的设备,其特征在于,所述防御策略包括:
丢弃目的地址为所述目标IP地址的报文;或者
丢弃目的地址为所述目标IP地址并且满足第二预设条件的报文。
CN201680034646.9A 2016-03-29 2016-03-29 网络攻击防御策略发送、网络攻击防御的方法和装置 Active CN107710680B (zh)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/CN2016/077662 WO2017166047A1 (zh) 2016-03-29 2016-03-29 网络攻击防御策略发送、网络攻击防御的方法和装置

Publications (2)

Publication Number Publication Date
CN107710680A CN107710680A (zh) 2018-02-16
CN107710680B true CN107710680B (zh) 2021-02-09

Family

ID=59962444

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201680034646.9A Active CN107710680B (zh) 2016-03-29 2016-03-29 网络攻击防御策略发送、网络攻击防御的方法和装置

Country Status (5)

Country Link
US (1) US10798060B2 (zh)
EP (1) EP3355514B1 (zh)
CN (1) CN107710680B (zh)
IL (1) IL259132A (zh)
WO (1) WO2017166047A1 (zh)

Families Citing this family (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11411967B2 (en) * 2018-11-30 2022-08-09 Cisco Technology, Inc. Synergistic DNS security update
CN109729086B (zh) * 2018-12-28 2021-02-23 奇安信科技集团股份有限公司 策略管理方法、系统、设备及介质
JP7222260B2 (ja) * 2019-02-07 2023-02-15 日本電信電話株式会社 試験装置
CN109617932B (zh) * 2019-02-21 2021-07-06 北京百度网讯科技有限公司 用于处理数据的方法和装置
CN110519273B (zh) * 2019-08-28 2021-11-02 杭州迪普科技股份有限公司 入侵防御方法和装置
CN110620773B (zh) * 2019-09-20 2023-02-10 深圳市信锐网科技术有限公司 一种tcp流量隔离方法、装置及相关组件
CN112702300B (zh) * 2019-10-22 2023-03-28 华为技术有限公司 一种安全漏洞的防御方法和设备
CN111343176B (zh) * 2020-01-16 2022-05-27 郑州昂视信息科技有限公司 一种网络攻击的反制装置、方法、存储介质及计算机设备
CN111835729B (zh) * 2020-06-15 2022-08-02 东软集团股份有限公司 报文转发方法、系统、存储介质和电子设备
CN112953918A (zh) * 2021-01-29 2021-06-11 李阳 结合大数据服务器的网络攻击防护方法及大数据防护设备
CN112565309B (zh) * 2021-02-26 2021-05-14 腾讯科技(深圳)有限公司 报文处理方法、装置、设备以及存储介质
CN115208596B (zh) * 2021-04-09 2023-09-19 中国移动通信集团江苏有限公司 网络入侵防御方法、装置及存储介质
CN113285953B (zh) * 2021-05-31 2022-07-12 西安交通大学 可用于DDoS攻击的DNS反射器检测方法、系统、设备及可读存储介质
CN115514501B (zh) * 2021-06-03 2024-07-02 中国移动通信集团四川有限公司 一种封堵网络攻击的方法和装置
CN115987639B (zh) * 2022-12-23 2024-04-09 中国联合网络通信集团有限公司 攻击防御方法、装置、电子设备和存储介质

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105357180A (zh) * 2015-09-30 2016-02-24 华为技术有限公司 网络系统、攻击报文的拦截方法、装置和设备

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH1168789A (ja) * 1997-08-15 1999-03-09 Nec Corp サーバを用いたレイヤ3スイッチング
US7043759B2 (en) * 2000-09-07 2006-05-09 Mazu Networks, Inc. Architecture to thwart denial of service attacks
US7080129B2 (en) * 2000-12-29 2006-07-18 Intel Corporation Site selection based on Internet Protocol address
US20080127324A1 (en) * 2006-11-24 2008-05-29 Electronics And Telecommunications Research Institute DDoS FLOODING ATTACK RESPONSE APPROACH USING DETERMINISTIC PUSH BACK METHOD
US8924782B2 (en) * 2007-01-26 2014-12-30 The Trustees Of Columbia University In The City Of New York Systems, methods, and media for recovering an application from a fault or attack
CN101494639A (zh) * 2008-01-25 2009-07-29 华为技术有限公司 一种分组通信系统中防止攻击的方法及装置
US20110202685A1 (en) * 2010-02-16 2011-08-18 Narayanan Subramaniam System and Method for Communication Between an Information Handling System and Management Controller Through a Shared LOM
JP2011193189A (ja) * 2010-03-15 2011-09-29 Hitachi Ltd ネットワークシステム、エッジノード及び中継ノード
US9888028B2 (en) * 2013-05-03 2018-02-06 Centurylink Intellectual Property Llc Combination of remote triggered source and destination blackhole filtering
US9258742B1 (en) * 2013-09-30 2016-02-09 Juniper Networks, Inc. Policy-directed value-added services chaining
CN104580168B (zh) * 2014-12-22 2019-02-26 华为技术有限公司 一种攻击数据包的处理方法、装置及系统
US9935968B2 (en) * 2015-11-04 2018-04-03 Avaya, Inc. Selective traffic analysis at a communication network edge
CN105429975B (zh) * 2015-11-11 2018-07-31 上海斐讯数据通信技术有限公司 一种基于云终端的数据安全防御系统、方法及云终端安全系统

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105357180A (zh) * 2015-09-30 2016-02-24 华为技术有限公司 网络系统、攻击报文的拦截方法、装置和设备

Also Published As

Publication number Publication date
CN107710680A (zh) 2018-02-16
EP3355514A4 (en) 2018-08-01
EP3355514B1 (en) 2019-08-21
US10798060B2 (en) 2020-10-06
IL259132A (en) 2018-06-28
EP3355514A1 (en) 2018-08-01
US20180337888A1 (en) 2018-11-22
WO2017166047A1 (zh) 2017-10-05

Similar Documents

Publication Publication Date Title
CN107710680B (zh) 网络攻击防御策略发送、网络攻击防御的方法和装置
US9497208B2 (en) Distributed network protection
US7729271B2 (en) Detection method for abnormal traffic and packet relay apparatus
US8879388B2 (en) Method and system for intrusion detection and prevention based on packet type recognition in a network
EP2127313B1 (en) A containment mechanism for potentially contaminated end systems
CN108173812B (zh) 防止网络攻击的方法、装置、存储介质和设备
CN113132342B (zh) 方法、网络装置、隧道入口点装置及存储介质
US7818795B1 (en) Per-port protection against denial-of-service and distributed denial-of-service attacks
US7596097B1 (en) Methods and apparatus to prevent network mapping
CN101800707B (zh) 建立流转发表项的方法及数据通信设备
CN109768955B (zh) 基于软件定义网络防御分布式拒绝服务攻击的系统及方法
CN110198293B (zh) 服务器的攻击防护方法、装置、存储介质和电子装置
US7854000B2 (en) Method and system for addressing attacks on a computer connected to a network
Hugelshofer et al. OpenLIDS: a lightweight intrusion detection system for wireless mesh networks
CN110213204B (zh) 攻击防护方法及装置、设备及可读存储介质
Wang et al. Efficient and low‐cost defense against distributed denial‐of‐service attacks in SDN‐based networks
JP5178573B2 (ja) 通信システムおよび通信方法
CN108650237B (zh) 一种基于存活时间的报文安全检查方法及系统
WO2019096104A1 (zh) 攻击防范
Kumarasamy et al. An active defense mechanism for TCP SYN flooding attacks
US20230367875A1 (en) Method for processing traffic in protection device, and protection device
Nashat et al. Detecting syn flooding agents under any type of ip spoofing
Annamalai et al. Secured system against DDoS attack in mobile adhoc network
WO2019159989A1 (ja) 監視システム、監視方法及び監視プログラム
EP3270569B1 (en) Network protection entity and method for protecting a communication network against malformed data packets

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant