CN108429731B - 防攻击方法、装置及电子设备 - Google Patents
防攻击方法、装置及电子设备 Download PDFInfo
- Publication number
- CN108429731B CN108429731B CN201810061341.8A CN201810061341A CN108429731B CN 108429731 B CN108429731 B CN 108429731B CN 201810061341 A CN201810061341 A CN 201810061341A CN 108429731 B CN108429731 B CN 108429731B
- Authority
- CN
- China
- Prior art keywords
- message
- attack
- vbras
- resource pool
- packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0876—Network utilisation, e.g. volume of load or congestion level
- H04L43/0894—Packet rate
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/16—Threshold monitoring
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Abstract
本发明实施例提供了一种防攻击方法、装置及电子设备,该方法包括:接收报文;确定所述报文是否命中存储的防攻击策略中的任意一个;若命中,则根据命中的防攻击策略对所述报文进行防攻击处理;若未命中,则将接收到的报文发送至目标设备,以使所述目标设备对所述报文进行识别以判定所述报文是否为攻击报文;接收并存储所述目标设备在判定所述报文为攻击报文后所返回的防攻击策略。本发明实施例提供的防攻击方案,通过结合前置设备对vBRAS网元进行防攻击保护,减小了vBRAS网元被攻击的风险,且减小了vBRAS网元的CPU消耗。
Description
技术领域
本发明涉及通信技术领域,具体而言,涉及一种防攻击方法、装置及电子设备。
背景技术
BRAS(Broadband Remote Access Server,宽带远程接入服务器)是面向宽带网络应用的接入网关,位于骨干网的边缘层。vBRAS(virtual BRAS)是虚拟化的BRAS,将BRAS以虚拟机的方式部署在物理服务器中。经发明人研究发现,随着虚拟化的不断发展,虚拟机的安全性问题日益暴露。以虚拟机形式部署在物理服务器中的vBRAS网元其防攻击能力有限,在面对大量攻击报文时,可能会导致CPU耗尽。
发明内容
为了克服现有技术中的上述不足,本发明的目的在于提供一种防攻击方法、装置及电子设备,以减小vBRAS网元被攻击的风险和vBRAS网元的CPU消耗。
为了实现上述目的,本发明实施例采用的技术方案如下:
本发明实施例提供了一种防攻击方法,应用于vBRAS资源池的前置设备,所述方法包括:
接收报文;
确定所述报文是否命中存储的防攻击策略中的任意一个;
若命中,则根据命中的防攻击策略对所述报文进行防攻击处理;
若未命中,则将接收到的报文发送至目标设备,以使所述目标设备对所述报文进行识别以判定所述报文是否为攻击报文;
接收并存储所述目标设备在判定所述报文为攻击报文后所返回的防攻击策略。
本发明实施例的另一目的在于提供一种防攻击方法,应用于vBRAS资源池中的vBRAS网元,所述vBRAS网元与所述vBRAS资源池的前置设备连接,所述方法包括:
接收所述前置设备转发的报文;
对所述报文进行识别以判断所述报文是否为攻击报文,若所述报文为攻击报文,则向所述前置设备返回防攻击策略,以使所述前置设备根据所述防攻击策略对接收到的报文进行防攻击处理。
本发明实施例的另一目的在于提供一种防攻击装置,应用于vBRAS资源池的前置设备,所述防攻击装置包括:
第一报文接收模块,用于接收报文;
检测模块,用于确定所述报文是否命中存储的防攻击策略中的任意一个;
防攻击模块,用于在所述报文命中存储的防攻击策略中的任意一个时,根据命中的防攻击策略对所述报文进行防攻击处理;
报文发送模块,用于在所述报文未命中存储的防攻击策略中的任意一个时,将接收到的报文发送至目标设备,以使所述目标设备对所述报文进行识别以判定所述报文是否为攻击报文;
防攻击策略接收模块,用于接收并存储所述目标设备在判定所述报文为攻击报文后所返回的防攻击策略。
本发明实施例的另一目的在于提供一种防攻击装置,应用于vBRAS资源池中的vBRAS网元,所述vBRAS网元与所述vBRAS资源池的前置设备连接,所述防攻击装置包括:
第二报文接收模块,用于接收所述前置设备转发的报文;
识别模块,用于对所述报文进行识别以判断所述报文是否为攻击报文;
防攻击策略发送模块,用于在所述报文为攻击报文时,向所述前置设备返回防攻击策略,以使所述前置设备根据所述防攻击策略对接收到的报文进行防攻击处理。
本发明实施例的另一目的在于提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现上述的方法步骤。
本发明实施例的另一目的在于提供一种计算机可读存储介质,所述计算机可读存储介质存储有指令,当所述指令被执行时,实现上述的防攻击方法。
本发明实施例提供的防攻击方法、装置及电子设备,结合使用vBRAS资源池的前置设备对vBRAS资源池中的vBRAS网元进行防攻击保护,通过vBRAS资源池中的目标设备对接收到的报文进行分析识别,并在判定报文为攻击报文后返回对应的防攻击策略。前置设备根据存储的防攻击策略或接收到的防攻击策略对接收到的报文进行防攻击处理,以避免vBRAS网元受到攻击报文所攻击。如此,减小了vBRAS网元被攻击的风险,且减小了vBRAS网元的CPU消耗。
为使本发明的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本发明的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本发明较佳实施例提供的防攻击方法的应用场景示意图。
图2为本发明较佳实施例提供的应用于前置设备的防攻击方法的流程图。
图3为图2中步骤S105的子步骤的流程图。
图4为本发明较佳实施例提供的应用于vBRAS网元的防攻击方法的流程图。
图5为本发明较佳实施例提供的电子设备的示意性结构框图。
图6为本发明较佳实施例提供的应用于前置设备的防攻击装置的功能模块框图。
图7为本发明较佳实施例提供的防攻击模块的功能模块框图。
图8为本发明较佳实施例提供的限速单元的功能模块框图。
图9为本发明较佳实施例提供的应用于承载vBRAS网元的物理服务器的防攻击装置的功能模块框图。
图标:100-前置设备;110-防攻击装置;111-第一报文接收模块;112-检测模块;113-防攻击模块;1131-限速单元;11311-检测子单元;11312-选择子单元;11313-限速处理子单元;1132-丢弃单元;114-报文发送模块;115-防攻击策略接收模块;116-第二报文接收模块;117-识别模块;118-存储模块;119-防攻击策略发送模块;120-存储器;130-处理器;140-通信单元;200-vBRAS网元;300-资源池控制器。
具体实施方式
BRAS(Broadband Remote Access Server,宽带远程接入服务器)是面向宽带网络应用的接入网关,位于骨干网的边缘层,可以完成用户带宽的IP/ATM网的数据接入(目前接入手段主要基于PON/xDSL/Cable Modem/高速以太网技术(LAN)/无线宽带数据接入(WLAN)等),实现商业楼宇及小区住户的宽带上网。vBRAS(virtual BRAS)是虚拟化的BRAS,将BRAS以虚拟机的方式部署在物理服务器中。
运营商的城域网中有宽带上网、语音、视频、专线等各种业务,相关业务都需要经过BRAS进行处理,基于vBRAS网元组成的vBRAS资源池面临着来自网络的各种攻击。
vBRAS网元一般为部署在X86服务器中的虚拟机,理论上vBRAS也可以实现BRAS的防攻击功能。但发明人研究发现,由于X86服务器一般没有专门的防攻击硬件芯片,从外部网络所接收到的所有业务报文和攻击报文都需要由vBRAS通过CPU来实现,因此防攻击能力较弱。尤其是面对大量攻击报文时,可能会导致CPU耗尽或报文收发队列拥塞,从而影响正常业务报文的处理。
基于上述研究,本发明实施例在上述网络架构的基础上,新增vBRAS网元的前置设备,通过该前置设备实现对vBRAS网元的防攻击保护。由于该前置设备具有专门的防攻击硬件芯片,可以增强防攻击能力,加强对vBRAS网元的保护。并且由该前置设备进行防攻击处理工作,可减少vBRAS网元一端服务器的CPU消耗。
下面将结合本发明实施例中附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。因此,以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围,而是仅仅表示本发明的选定实施例。基于本发明的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。同时,在本发明的描述中,除非另有明确的规定和限定,术语“安装”、“设置”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。
请参阅图1,图1为本发明实施例提供的防攻击方法的应用场景示意图。该场景中包括前置设备100、资源池控制器300以及由多个vBRAS网元200构成的vBRAS资源池。
所述前置设备100、资源池控制器300以及vBRAS网元200分别通信连接,可实现数据报文转发及交互。其中,vBRAS网元200与前置设备100之间可以通过VXLAN隧道传输数据。所述前置设备100与外部网络连接,接收从外部网络传入的报文,并将其转发至对应的vBRAS网元200。所述资源池控制器300可实现对vBRAS资源池的业务调度管理、隧道资源管理以及用户资源管理等功能。在本实施例中,vBRAS网元200可以为部署在X86服务器中的虚拟机。所述前置设备100可以为前置交换机或其他具有防攻击芯片的硬件设备。
请参照图2,图2为应用于图1所示的前置设备100的一种防攻击方法的流程图,以下将对所述方法包括的各个步骤进行详细阐述。
步骤S101,接收报文。
步骤S103,确定所述报文是否命中存储的防攻击策略中的任意一个。
步骤S105,在所述报文命中存储的防攻击策略中的任意一个时,根据命中的防攻击策略对所述报文进行防攻击处理。
步骤S107,在所述报文未命中存储的防攻击策略中的任意一个时,将接收到的报文发送至目标设备,以使所述目标设备对所述报文进行识别以判定所述报文是否为攻击报文。
在本实施例中,所述前置设备100可与核心路由器及汇聚交换机连接,所述前置设备100接收所述核心路由器或所述汇聚交换机所发送的报文。其中,所述报文可为所述核心路由器所发送的从互联网或承载网所接收到的互联网报文,也可以是所述汇聚交换机发送的从光线路终端(OLT)所接收到的用户报文。
所述前置设备100在接收到报文后,对报文进行识别,获得报文包含的报文信息,该报文信息可为五元组信息,例如报文的源IP地址、源端口、目的IP地址、目的端口和传输层协议等。而所述前置设备100中存储有多个防攻击策略,所述防攻击策略包含报文信息以及对应的应对信息。所述前置设备100根据所述报文的报文信息检测所述报文是否命中当前存储的防攻击策略中的任意一个。所述前置设备100可检测是否存储有包含与接收到的报文的报文信息一致的报文信息的防攻击策略。若存储有,即所述报文命中存储的防攻击策略中的其中一个时,则根据命中的防攻击策略对所述报文进行防攻击处理。若未存储有,即所述报文未命中存储的防攻击策略中的任意一个,则可将接收到的报文转发至所述vBRAS资源池中的目标设备,以使所述目标设备对所述报文进行识别以判定所述报文是否为攻击报文。可选地,在本实施例中,所述目标设备可以为所述vBRAS资源池中地址和所述报文的目的地址一致的vBRAS网元200或所述vBRAS资源池的资源池控制器300。本实施例中,可根据实际情况预先进行设置以确定用于识别报文的目标设备。
在所述报文未命中所述前置设备100中存储的防攻击策略中的任意一个,且所述目标设备为所述vBRAS网元200时,所述前置设备100接收到报文后,获得该报文指向的目的地址,查询出vBRAS资源池中包含的多个vBRAS网元200中地址与该目的地址一致的vBRAS网元200。将接收到的报文通过数据通道转发至该vBRAS网元200。该vBRAS网元200对所述报文进行识别,分析所述报文为攻击报文还是正常报文。
在所述报文未命中所述前置设备100中存储的防攻击策略中的任意一个,且所述目标设备为所述资源池控制器300时,所述前置设备100将接收到的报文转发至所述资源池控制器300。所述资源池控制器300对所述报文进行识别,以判定该报文是否为攻击报文。或者,所述前置设备100将接收到的报文转发至其地址与该报文的目的地址一致的vBRAS网元200。该vBRAS网元200将所述报文转发至所述资源池控制器300。资源池控制器300在接收到报文后,对所述报文进行识别以判定所述报文是否为攻击报文。
在本实施例中,可根据实际情况选择上述任意一种途径实现攻击报文识别,对此在本实施例中不作具体限制。
步骤S109,接收并存储所述目标设备在判定所述报文为攻击报文后所返回的防攻击策略。
可选地,在本实施例中,所述目标设备接收到所述前置设备100转发的报文后对所述报文进行识别,以判定所述报文是否为攻击报文,若所述报文为正常报文,则所述vBRAS网元200对该报文进行正常的业务处理,若判定所述报文为攻击报文,则向所述前置设备100返回防攻击策略。可选地,所述目标设备可通过控制通道向所述前置设备100返回防攻击策略。在本实施例中,所述数据通道和所述控制通道底层可以是同一个物理链路也可以是不同的物理链路,对此并不作限制。所述前置设备100在接收到所述目标设备返回的防攻击策略后,存储所述防攻击策略。
可选地,在本实施例中,所述目标设备在判定接收到的报文并非攻击报文后,可提取出该报文的报文信息,即上述的五元组信息,并将提取出的报文信息进行存储。所述目标设备后续在接收到报文时,可将接收到的报文的报文信息与存储的报文信息进行比对,若存储的非攻击报文的报文信息包括该报文的报文信息,表明该报文可确定为非攻击报文,可直接接收该报文,并进行后续正常处理。若存储的非攻击报文的报文信息不包括该报文的报文信息,则再进行报文的识别过程。如此,可减少目标设备一端的处理量,提高处理效率。
在本实施例中,所述防攻击策略包括限速流表或用于指示丢弃所述报文的流表。所述目标设备对所述报文的识别可通过以下过程实现。
所述目标设备接收到前置设备100转发的报文后,对所述报文进行识别,检测所述报文是否包含特定攻击特征。例如,检测接收到的报文是否为带有攻击目的的可能导致系统出错或崩溃的IP报文,如分片重叠的IP报文、TCP标志位非法的报文等。或者检测接收到的报文是否为干扰网络连接或探测网络结构的如ICMP、特殊类型的IP option报文等。此外,还可以包括其他多种攻击特征识别,在本实施例中不作一一赘述。
若所述目标设备检测到接收到的报文中包含如上述的特定攻击特征,则发送包含与所述特定攻击特征相对应的指示丢弃所述报文的流表以及报文的报文信息的防攻击策略至所述前置设备100,并提取出该报文包含的报文信息以存储。
此外,所述目标设备还可以检测所述报文所属的流量速率是否超过预设门限值。若超过所述预设门限值,所述目标设备则发送包含对应的限速流表以及报文信息的防攻击策略至所述前置设备100。通过对接收到的报文所属的流量速率进行检测,以避免攻击者在短时间内发送大量无用报文,以导致系统疲于应付无用信息,从而无法为合法用户提供正常服务,发生拒绝服务的事件。
由上述可知,所述前置设备100在存储有包含与接收到的报文的报文信息一致的报文信息的防攻击策略时,可根据该防攻击策略中包含的限速流表或用于指示丢弃所述报文的流表对接收到的报文进行防攻击处理,或者是在接收到目标设备在判定所述报文为攻击报文后所返回的对应的防攻击策略时,根据该防攻击策略对所述报文进行防攻击处理。并将经过防攻击处理后的报文转发至vBRAS网元200,以避免vBRAS网元200继续受到攻击报文的攻击。
在本实施例中,前置设备100根据所述防攻击策略对所述报文进行防攻击处理的步骤可通过以下过程实现:
根据所述限速流表对所述报文所属的流量进行限速处理。
所述前置设备100若接收到所述目标设备所返回的限速流表,则根据所述限速流表对所述报文所属的流量进行限速处理。以避免大量报文对vBRAS网元200造成干扰,影响到vBRAS网元200为合法用户提供正常服务的功能。
根据所述用于指示丢弃所述报文的流表丢弃所述报文所属的流量。
所述前置设备100若接收到所述目标设备返回的用于指示丢弃所述报文的流表,则根据该流表对所述报文所属的流量进行丢弃处理。可选地,可对接收到的报文所属的流量中的攻击内容进行丢弃处理,将经过丢弃处理后的正常报文发送至vBRAS网元200。以避免vBRAS网元200被该类攻击报文所攻击,造成系统出错或崩溃。
可选地,在本实施例中,所述限速流表中存储有多个限速带宽,以及各限速带宽与报文流量之间的对应关系。请参阅图3,在本实施例中,在执行根据所述限速流表对所述报文所属的流量进行限速处理时可通过以下过程实现。
步骤S1051,检测所述报文所属的流量的速率,根据各所述限速带宽与报文流量的对应关系选择出与所述流量的速率相匹配的限速带宽。
步骤S1053,基于选择出的所述限速带宽对接收到的所述报文所属的流量进行限速处理。
在本实施例中,所述目标设备可向所述前置设备100返回基于Openflow协议的限速流表。在限速流表中,存储有各限速带宽与报文流量之间的对应关系,如此则可以根据报文所属流量的速率,选择出适配的限速带宽,以对报文进行精准的限速处理。
可选地,在本实施例中,所述前置设备100在接收到所述目标设备所发送的限速流表后,可以将限速流表保存在本地。并检测所述报文所属的流量的速率。根据接收到的限速流表中存储的各限速带宽与报文流量的对应关系选择出与检测到的流量速率相匹配的限速带宽。再基于选择出的限速带宽对接收到的所述报文所属的流量进行限速处理。
本发明的另一较佳实施例还提供一种应用于上述vBRAS网元200的防攻击方法。请参阅图4,所述防攻击方法包括以下步骤:
步骤S201,接收所述前置设备100转发的报文。
步骤S203,对所述报文进行识别以判断所述报文是否为攻击报文,若所述报文并非攻击报文,则执行以下步骤S205,若所述报文为攻击报文,则执行以下步骤S207。
步骤S205,对所述报文的报文信息进行存储。
步骤S207,向所述前置设备100返回防攻击策略,以使所述前置设备100根据所述防攻击策略对接收到的报文进行防攻击处理。
在本实施例中,所述vBRAS网元200在接收到前置设备100所发送的报文后,可自行对所述报文进行识别以判定该报文是否为攻击报文,并在判定为攻击报文后,发送对应的防攻击策略至所述前置设备100。也可以是vBRAS网元200接收到前置设备100发送的报文后,将该报文转发至资源池控制器300,以使资源池控制器300对所述报文进行识别,以判定该报文是否为攻击报文。所述资源池控制器300在判定所述报文为攻击报文后,向所述前置设备100返回对应的防攻击策略。在本实施例中,可根据实际情况任意选择上述一种方式进行防攻击识别处理,对此本实施例并不作具体限制。
在本实施例中,可选地,所述vBRAS网元200在判断得出接收到的报文并非攻击报文时,可提取出该非攻击报文的报文信息,并进行存储。如此,后续在接收到报文时,可将该报文的报文信息与存储的报文信息进行比对,以判定是否与存储的报文信息中的其中一项一致。若存储的非攻击报文的报文信息中包括所述报文的报文信息,则可直接判定该报文为非攻击报文,可正常接收并处理。若存储的非攻击报文的报文信息中不包括所述报文的报文信息,则再对所述报文进行识别分析以判断该报文是否为攻击报文。
所述vBRAS网元200在对接收到的报文进行识别时,可检测报文是否包含特定攻击特征,例如,检测所述报文是否为带有攻击目的的可能导致系统出错或崩溃的IP报文,如分片重叠的IP报文、TCP标志位非法的报文等。或者检测接收到的报文是否为干扰网络连接或探测网络结构的如ICMP、特殊类型的IP option报文等。若包含上述特定攻击特征,可判定接收到的报文为攻击报文。
或者检测接收到的报文所属的流量速率是否超过预设门限值,若检测到所述报文所属的流量速率超过所述预设门限值,可判定接收到的报文为攻击报文。
所述vBRAS网元200在判定接收到的报文为攻击报文后,可向前置设备100返回对应的防攻击策略,该防攻击策略中可包含所述报文的报文信息以及对该攻击报文的应对信息。该应对信息可以为上述用于指示丢弃所述报文的流表,或者是限速流表。
请参阅图5,为本发明另一较佳实施例提供的电子设备的方框示意图。所述电子设备可以为上述的前置设备100,也可以为承载vBRAS网元200的物理服务器。所述电子设备包括防攻击装置110、存储器120、处理器130以及通信单元140。
所述存储器120、处理器130以及通信单元140各元件相互之间直接或间接地电性连接,以实现业务流量的传输或交互。例如,这些元件相互之间可通过一条或多条通讯总线或信号线实现电性连接。存储器120中存储有以软件或固件(Firmware)的形式存储于所述存储器120中的软件功能模块,所述处理器130通过运行存储在存储器120内的软件程序以及模块,如本发明实施例中的防攻击装置110,从而执行各种功能应用以及数据处理,即实现本发明实施例中的防攻击方法。
其中,所述存储器120可以是,但不限于,随机存取存储器(Random AccessMemory,RAM),只读存储器(Read Only Memory,ROM),可编程只读存储器(ProgrammableRead-Only Memory,PROM),可擦除只读存储器(Erasable Programmable Read-OnlyMemory,EPROM),电可擦除只读存储器(Electric Erasable Programmable Read-OnlyMemory,EEPROM)等。其中,存储器120用于存储程序,所述处理器130在接收到执行指令后,执行所述程序。所述通信单元140用于建立所述前置设备100、所述vBRAS网元200以及所述资源池控制器300之间的通信。
所述处理器130可能是一种集成电路芯片,具有信号的处理能力。上述的处理器130可以是通用处理器,包括中央处理器(Central Processing Unit,CPU)、网络处理器(Network Processor,NP)等。还可以是数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器130也可以是任何常规处理器等。
请参阅图6,为所述电子设备为上述的前置设备100时,防攻击装置110的功能模块框图,所述防攻击装置110包括第一报文接收模块111、检测模块112、防攻击模块113、报文发送模块114以及防攻击策略接收模块115。
所述第一报文接收模块111用于接收报文。所述第一报文接收模块111可用于执行图2中所示的步骤S101,具体的操作方法可参考步骤S101的详细描述。
所述检测模块112用于确定所述报文是否命中存储的防攻击策略中的任意一个。所述检测模块112可用于执行图2中所示的步骤S103,具体的操作方法可参考步骤S103的详细描述。
所述防攻击模块113用于在所述报文命中存储的防攻击策略中的任意一个时,根据命中的防攻击策略对所述报文进行防攻击处理。所述防攻击模块113可用于执行图2中所示的步骤S105,具体的操作方法可参考步骤S105的详细描述。
所述报文发送模块114用于在所述报文未命中存储的防攻击策略中的任意一个时,将接收到的报文发送至目标设备,以使所述目标设备对所述报文进行识别以判定所述报文是否为攻击报文。所述报文发送模块114可用于执行图2中所示的步骤S107,具体的操作方法可参考步骤S107的详细描述。
所述防攻击策略接收模块115用于接收并存储所述目标设备在判定所述报文为攻击报文后所返回的防攻击策略。所述防攻击策略接收模块115可用于执行图2中所示的步骤S109,具体的操作方法可参考步骤S109的详细描述。
可选地,所述命中的防攻击策略包括:限速流表或用于指示丢弃所述报文的流表。请参阅图7,在本实施例中,所述防攻击模块113可以包括限速单元1131以及丢弃单元1132。
所述限速单元1131用于根据所述限速流表对所述报文所属的流量进行限速处理。所述丢弃单元1132用于根据所述用于指示丢弃所述报文的流表丢弃所述报文所属的流量。
可选地,在本实施例中,所述限速流表中存储有各限速带宽与报文流量的对应关系。请参阅图8,所述限速单元1131可以包括检测子单元11311、选择子单元11312以及限速处理子单元11313。
所述检测子单元11311用于检测所述报文所属流量的速率。所述选择子单元11312用于根据各所述限速带宽与报文流量的对应关系选择出与所述流量的速率相匹配的限速带宽。所述检测子单元11311和所述选择子单元11312可共同用于执行图3中所示的步骤S1051,具体的操作方法可参考步骤S1051的详细描述。
所述限速处理子单元11313用于基于选择出的所述限速带宽对接收到的所述报文所属的流量进行限速处理。所述限速处理子单元11313可用于执行图3中所示的步骤S1053,具体的操作方法可参考步骤S1053的详细描述。
请参阅图9,为所述电子设备为上述的承载vBRAS网元200的物理服务器时,防攻击装置110的功能模块框图,所述防攻击装置110包括第二报文接收模块116、识别模块117、存储模块118以及防攻击策略发送模块119。
所述第二报文接收模块116用于接收所述前置设备100转发的报文。所述第二报文接收模块116可用于执行图4中所示的步骤S201,具体的操作方法可参考步骤S201的详细描述。
所述识别模块117用于对所述报文进行识别以判断所述报文是否为攻击报文。所述识别模块117可用于执行图4中所示的步骤S203,具体的操作方法可参考步骤S203的详细描述。
所述存储模块118用于在所述报文并非攻击报文时,对所述报文的报文信息进行存储。所述存储模块118可用于执行图4中所示的步骤S205,具体的操作方法可参考步骤S205的详细描述。
所述防攻击策略发送模块119用于在所述报文为攻击报文时,向所述前置设备100返回防攻击策略,以使所述前置设备100根据所述防攻击策略对接收到的报文进行防攻击处理。所述防攻击策略发送模块119可用于执行图4中所示的步骤S207,具体的操作方法可参考步骤S207的详细描述。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明实施例可以通过硬件实现,也可以借助软件加必要通用硬件平台的方式来实现。基于这样的理解,本发明实施例的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中,包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器或者网络设备等)执行本发明各个实施场景所述的方法。
综上所述,本发明实施例提供的防攻击方法、装置及电子设备,结合vBRAS资源池的前置设备100对vBRAS资源池中的vBRAS网元200进行防攻击保护,通过vBRAS资源池中的目标设备对接收到的报文进行分析识别,并在判定报文为攻击报文后返回对应的防攻击策略。前置设备100根据存储的防攻击策略或接收到的防攻击策略对接收到的报文进行防攻击处理,以避免vBRAS网元200受到攻击报文所攻击。如此,减小了vBRAS网元200被攻击的风险,且减小了vBRAS网元200的CPU消耗。
在本申请所提供的实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本发明的实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。
Claims (15)
1.一种防攻击方法,其特征在于,应用于vBRAS资源池的前置设备,所述vBRAS资源池包括多个vBRAS网元,所述vBRAS网元为部署在不具备防攻击硬件芯片的服务器中的虚拟机,所述前置设备具有防攻击硬件芯片,所述方法包括:
接收报文;
确定所述报文是否命中存储的防攻击策略中的任意一个;
若命中,则根据命中的防攻击策略对所述报文进行防攻击处理;
若未命中,则将接收到的报文发送至目标设备,以使所述目标设备对所述报文进行识别以判定所述报文是否为攻击报文;
接收并存储所述目标设备在判定所述报文为攻击报文后所返回的防攻击策略;所述目标设备为地址和所述报文的目的地址一致的所述vBRAS资源池中的vBRAS网元或所述目标设备为所述vBRAS资源池的资源池控制器,所述目标设备中存储有非攻击报文的报文信息,所述非攻击报文的报文信息用于与后续接收到的报文的报文信息进行比对。
2.根据权利要求1所述的防攻击方法,其特征在于,在所述目标设备为所述vBRAS资源池的资源池控制器时,所述将接收到的报文发送至目标设备,以使所述目标设备对所述报文进行识别以判定所述报文是否为攻击报文的步骤,包括:
通过所述vBRAS资源池中的vBRAS网元将所述报文转发至所述资源池控制器,以使所述资源池控制器对所述报文进行识别以判定所述报文是否为攻击报文。
3.根据权利要求1所述的防攻击方法,其特征在于,所述命中的防攻击策略包括:限速流表或用于指示丢弃所述报文的流表,所述根据命中的防攻击策略对所述报文进行防攻击处理的步骤,包括:
根据所述限速流表对所述报文所属的流量进行限速处理;或
根据所述用于指示丢弃所述报文的流表丢弃所述报文所属的流量。
4.根据权利要求3所述的防攻击方法,其特征在于,所述限速流表中存储有各限速带宽与报文流量的对应关系,所述根据所述限速流表对所述报文所属的流量进行限速处理的步骤,包括:
检测所述报文所属的流量的速率,根据各所述限速带宽与报文流量的对应关系选择出与所述流量的速率相匹配的限速带宽;
基于选择出的所述限速带宽对接收到的所述报文所属的流量进行限速处理。
5.根据权利要求1所述的防攻击方法,其特征在于,所述前置设备还与核心路由器及汇聚交换机连接,所述报文为所述核心路由器所发送的从互联网或承载网所接收到的互联网报文;或者
所述报文为所述汇聚交换机发送的从光线路终端所接收到的用户报文。
6.一种防攻击方法,其特征在于,应用于vBRAS资源池中的vBRAS网元,所述vBRAS网元与所述vBRAS资源池的前置设备连接,所述vBRAS网元为部署在不具备防攻击硬件芯片的服务器中的虚拟机,所述前置设备具有防攻击硬件芯片,所述方法包括:
接收所述前置设备转发的报文,该报文为所述前置设备在判断所述报文未命中存储的防攻击策略中的任意一个的情况下所转发的报文;
对所述报文进行识别以判断所述报文是否为攻击报文,若所述报文为攻击报文,则向所述前置设备返回防攻击策略,以使所述前置设备根据所述防攻击策略对接收到的报文进行防攻击处理;
若所述报文为非攻击报文,对所述非攻击报文的报文信息进行存储,所述非攻击报文的报文信息用于与后续接收到的报文的报文信息进行比对。
7.根据权利要求6所述的防攻击方法,其特征在于,所述对所述报文进行识别以判断所述报文是否为攻击报文的步骤,包括:
若存储的非攻击报文的报文信息中不包括所述报文的报文信息,则对所述报文进行识别以判断所述报文是否为攻击报文。
8.一种防攻击装置,其特征在于,应用于vBRAS资源池的前置设备,所述vBRAS资源池包括多个vBRAS网元,所述vBRAS网元为部署在不具备防攻击硬件芯片的服务器中的虚拟机,所述前置设备具有防攻击硬件芯片,所述防攻击装置包括:
第一报文接收模块,用于接收报文;
检测模块,用于确定所述报文是否命中存储的防攻击策略中的任意一个;
防攻击模块,用于在所述报文命中存储的防攻击策略中的任意一个时,根据命中的防攻击策略对所述报文进行防攻击处理;
报文发送模块,用于在所述报文未命中存储的防攻击策略中的任意一个时,将接收到的报文发送至目标设备,以使所述目标设备对所述报文进行识别以判定所述报文是否为攻击报文;
防攻击策略接收模块,用于接收并存储所述目标设备在判定所述报文为攻击报文后所返回的防攻击策略;
所述目标设备为地址和所述报文的目的地址一致的所述vBRAS资源池中的vBRAS网元或所述目标设备为所述vBRAS资源池的资源池控制器,所述目标设备中存储有非攻击报文的报文信息,所述非攻击报文的报文信息用于与后续接收到的报文的报文信息进行比对。
9.根据权利要求8所述的防攻击装置,其特征在于,在所述目标设备为所述vBRAS资源池的资源池控制器时,所述报文发送模块用于通过所述vBRAS资源池中的vBRAS网元将所述报文转发至所述资源池控制器,以使所述资源池控制器对所述报文进行识别以判定所述报文是否为攻击报文。
10.根据权利要求8所述的防攻击装置,其特征在于,所述命中的防攻击策略包括:限速流表或用于指示丢弃所述报文的流表,所述防攻击模块包括限速单元以及丢弃单元;
所述限速单元用于根据所述限速流表对所述报文所属的流量进行限速处理;
所述丢弃单元用于根据所述用于指示丢弃所述报文的流表丢弃所述报文所属的流量。
11.根据权利要求10所述的防攻击装置,其特征在于,所述限速流表中存储有各限速带宽与报文流量的对应关系,所述限速单元包括检测子单元、选择子单元以及限速处理子单元;
所述检测子单元用于检测所述报文所属的流量的速率;
所述选择子单元用于根据各所述限速带宽与报文流量的对应关系选择出与所述流量的速率相匹配的限速带宽;
所述限速处理子单元用于基于选择出的所述限速带宽对接收到的所述报文所属的流量进行限速处理。
12.一种防攻击装置,其特征在于,应用于vBRAS资源池中的vBRAS网元,所述vBRAS网元与所述vBRAS资源池的前置设备连接,所述vBRAS网元为部署在不具备防攻击硬件芯片的服务器中的虚拟机,所述前置设备具有防攻击硬件芯片,所述防攻击装置包括:
第二报文接收模块,用于接收所述前置设备转发的报文,该报文为所述前置设备在判断所述报文未命中存储的防攻击策略中的任意一个的情况下所转发的报文;
识别模块,用于对所述报文进行识别以判断所述报文是否为攻击报文;
防攻击策略发送模块,用于在所述报文为攻击报文时,向所述前置设备返回防攻击策略,以使所述前置设备根据所述防攻击策略对接收到的报文进行防攻击处理;
存储模块,用于在判定所述报文为非攻击报文时,对所述非攻击报文的报文信息进行存储,所述非攻击报文的报文信息用于与后续接收到的报文的报文信息进行比对。
13.根据权利要求12所述的防攻击装置,其特征在于,所述识别模块用于在存储的非攻击报文的报文信息不包括所述报文的报文信息时,对所述报文进行识别以判断所述报文是否为攻击报文。
14.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现权利要求1-7任意一项所述的方法步骤。
15.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有指令,当所述指令被执行时,实现权利要求1-7中任意一项所述的防攻击方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810061341.8A CN108429731B (zh) | 2018-01-22 | 2018-01-22 | 防攻击方法、装置及电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810061341.8A CN108429731B (zh) | 2018-01-22 | 2018-01-22 | 防攻击方法、装置及电子设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108429731A CN108429731A (zh) | 2018-08-21 |
| CN108429731B true CN108429731B (zh) | 2021-10-12 |
Family
ID=63156077
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810061341.8A Active CN108429731B (zh) | 2018-01-22 | 2018-01-22 | 防攻击方法、装置及电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108429731B (zh) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110392034B (zh) * | 2018-09-28 | 2020-10-13 | 新华三信息安全技术有限公司 | 一种报文处理方法及装置 |
| CN111092840B (zh) * | 2018-10-23 | 2022-06-21 | 中兴通讯股份有限公司 | 处理策略的生成方法、系统及存储介质 |
| CN109302401B (zh) * | 2018-10-25 | 2021-07-09 | 国家电网有限公司 | 信息安全防护方法及装置 |
| CN112448929A (zh) * | 2019-09-02 | 2021-03-05 | 中国电力科学研究院有限公司 | 一种通讯网络动态方防护方法及平台 |
| CN110768976B (zh) * | 2019-10-21 | 2022-05-24 | 新华三信息安全技术有限公司 | 一种报文处理方法、装置及网络设备 |
| CN112861132A (zh) * | 2021-02-08 | 2021-05-28 | 杭州迪普科技股份有限公司 | 一种协同防护方法和装置 |
| CN114172738B (zh) * | 2021-12-15 | 2022-12-13 | 广州市苏纳米实业有限公司 | 基于智能安全箱的抗DDoS攻击方法、装置及智能安全箱 |
| CN114866355B (zh) * | 2022-07-06 | 2023-04-28 | 浙江国利网安科技有限公司 | 一种报文流转发方法、装置、计算机设备 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104468313A (zh) * | 2014-12-05 | 2015-03-25 | 华为技术有限公司 | 一种报文处理方法、网络服务器及虚拟专用网络系统 |
| CN106656864A (zh) * | 2017-02-21 | 2017-05-10 | 中国联合网络通信集团有限公司 | 一种报文转发调度方法及装置 |
| CN106789864A (zh) * | 2016-04-29 | 2017-05-31 | 新华三技术有限公司 | 一种报文防攻击方法及装置 |
| CN107547567A (zh) * | 2017-09-29 | 2018-01-05 | 新华三技术有限公司 | 一种防攻击方法和装置 |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100461732C (zh) * | 2006-06-16 | 2009-02-11 | 华为技术有限公司 | 一种以太技术交换和转发的方法、系统和设备 |
| US7697558B2 (en) * | 2007-03-13 | 2010-04-13 | Alcatel Lucent | Emergency alert system enhancement using alert server and metro ATM network for DSL deployment |
| CN101079746A (zh) * | 2007-06-22 | 2007-11-28 | 中兴通讯股份有限公司 | 宽带接入设备安全实现方法和装置 |
| CN104702560A (zh) * | 2013-12-04 | 2015-06-10 | 华为技术有限公司 | 一种防止报文攻击方法及装置 |
| CA2946351C (en) * | 2014-05-22 | 2023-03-07 | Nestec S.A. | Helical movement device |
| CN104506531B (zh) * | 2014-12-19 | 2018-05-01 | 上海斐讯数据通信技术有限公司 | 针对流量攻击的安全防御系统及方法 |
| CN105592047B (zh) * | 2015-08-26 | 2019-01-25 | 新华三技术有限公司 | 一种业务报文的传输方法和装置 |
| CN106131046B (zh) * | 2016-08-12 | 2019-12-06 | 新华三技术有限公司 | 一种防攻击处理方法及装置 |
| CN107509128B (zh) * | 2017-08-16 | 2020-04-07 | 中国联合网络通信集团有限公司 | 一种接入核心网的方法及系统 |
-
2018
- 2018-01-22 CN CN201810061341.8A patent/CN108429731B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104468313A (zh) * | 2014-12-05 | 2015-03-25 | 华为技术有限公司 | 一种报文处理方法、网络服务器及虚拟专用网络系统 |
| CN106789864A (zh) * | 2016-04-29 | 2017-05-31 | 新华三技术有限公司 | 一种报文防攻击方法及装置 |
| CN106656864A (zh) * | 2017-02-21 | 2017-05-10 | 中国联合网络通信集团有限公司 | 一种报文转发调度方法及装置 |
| CN107547567A (zh) * | 2017-09-29 | 2018-01-05 | 新华三技术有限公司 | 一种防攻击方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108429731A (zh) | 2018-08-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108429731B (zh) | 防攻击方法、装置及电子设备 | |
| US7937761B1 (en) | Differential threat detection processing | |
| JP4545647B2 (ja) | 攻撃検知・防御システム | |
| US20110138463A1 (en) | Method and system for ddos traffic detection and traffic mitigation using flow statistics | |
| US8732832B2 (en) | Routing apparatus and method for detecting server attack and network using the same | |
| US20100095351A1 (en) | Method, device for identifying service flows and method, system for protecting against deny of service attack | |
| CN108134748B (zh) | 一种基于快速转发表项的丢包方法和装置 | |
| CN108737447B (zh) | 用户数据报协议流量过滤方法、装置、服务器及存储介质 | |
| US7818795B1 (en) | Per-port protection against denial-of-service and distributed denial-of-service attacks | |
| US20190297017A1 (en) | Managing network congestion using segment routing | |
| US8339971B2 (en) | Network protection via embedded controls | |
| CN108234473B (zh) | 一种报文防攻击方法及装置 | |
| KR20150037940A (ko) | 네트워크 트래픽 처리 시스템 | |
| CN109922072B (zh) | 一种分布式拒绝服务攻击检测方法及装置 | |
| US20110026529A1 (en) | Method And Apparatus For Option-based Marking Of A DHCP Packet | |
| CN109905361A (zh) | 物联网DDoS攻击防御方法、装置、系统及存储介质 | |
| CN107612890B (zh) | 一种网络监测方法及系统 | |
| CN105991617B (zh) | 使用网络评分来选择安全路径的计算机实施系统及方法 | |
| CN111756713B (zh) | 网络攻击识别方法、装置、计算机设备及介质 | |
| US20070157316A1 (en) | Managing rogue IP traffic in a global enterprise | |
| CN106656975B (zh) | 一种攻击防御方法及装置 | |
| CN107690004B (zh) | 地址解析协议报文的处理方法及装置 | |
| WO2019096104A1 (zh) | 攻击防范 | |
| US8286244B2 (en) | Method and system for protecting a computer network against packet floods | |
| CN106059939B (zh) | 一种报文转发方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |