CN108737351B - 一种分布式拒绝服务攻击防御控制方法和调度设备 - Google Patents
一种分布式拒绝服务攻击防御控制方法和调度设备 Download PDFInfo
- Publication number
- CN108737351B CN108737351B CN201710275034.5A CN201710275034A CN108737351B CN 108737351 B CN108737351 B CN 108737351B CN 201710275034 A CN201710275034 A CN 201710275034A CN 108737351 B CN108737351 B CN 108737351B
- Authority
- CN
- China
- Prior art keywords
- policy
- parameter
- threshold
- execution
- ddos attack
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
- H04L63/0218—Distributed architectures, e.g. distributed firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例公开了一种分布式拒绝服务(DDoS)攻击防御控制方法和调度设备。所述方法包括:基于检测到的特定事件更新第一参数;所述第一参数表征接收到DDoS攻击的概率;更新后的所述第一参数表征接收到DDoS攻击的概率增加;当更新后的所述第一参数表明接收到DDoS攻击的概率增加时,触发检测DDoS攻击事件,获得检测结果;当所述检测结果表明检测到DDoS攻击事件时,更新所述第一参数为第一阈值;基于所述第一阈值查询预先配置的策略集合,获得所述第一阈值对应的第一执行策略,基于所述第一执行策略调度实例。
Description
技术领域
本发明涉及网络完全技术,具体涉及一种分布式拒绝服务(DDoS,DistributedDenial of Service)攻击防御控制方法和调度设备。
背景技术
自动调度功能用于根据动态需求或定义的条件自动升级或降低云容量,以保持应用程序可用性。例如在高峰期驱动和增加集群容器数目以提高工作性能。DDoS攻击通过大量合法或伪造的请求占用大量网络以及系统资源,以达到瘫痪网络及系统的目的。当前的云群集调度器中发现的自动缩放服务必须将DDoS攻击考虑到保护系统,否则将升级DDoS攻击并使系统更快地下降。当执行自动缩放服务时,云集群调度程序无法有效地检测DDoS攻击。并且集群调度器需要咨询指示器或直接与DDoS检查引擎进行协商,以响应诸如横向扩展事件的请求来决定增加系统资源。基于此,如何在集群自动调度中建立一种DDoS攻击的防御控制方案,现有技术中并无有效解决方案。
发明内容
为解决现有存在的技术问题,本发明实施例提供一种DDoS攻击防御控制方法和调度设备。
为达到上述目的,本发明实施例的技术方案是这样实现的:
一种DDoS攻击防御控制方法,其特征在于,所述方法包括:
基于检测到的特定事件更新第一参数;所述第一参数表征接收到DDoS攻击的概率;更新后的所述第一参数表征接收到DDoS攻击的概率增加;
当更新后的所述第一参数表明接收到DDoS攻击的概率增加时,触发检测DDoS攻击事件,获得检测结果;
当所述检测结果表明检测到DDoS攻击事件时,更新所述第一参数为第一阈值;
基于所述第一阈值查询预先配置的策略集合,获得所述第一阈值对应的第一执行策略,基于所述第一执行策略调度实例。
上述方案中,所述基于所述第一阈值查询预先配置的策略集合,获得所述第一阈值对应的第一执行策略,包括:
基于所述第一阈值查询预先配置的策略集合,获得所述第一阈值所在的第一阈值范围,以及获得所述第一阈值范围对应的第一执行策略;
其中,所述策略集合中包括至少两组阈值范围与执行策略的映射关系。
上述方案中,所述基于所述第一执行策略调度实例,包括:
基于所述第一执行策略删除集群中的实例;或者,基于所述第一执行策略保持集群中的实例状态。
上述方案中,当所述检测结果表明未检测到DDoS攻击事件、或者所述DDoS攻击事件被清除后,所述方法还包括:
更新所述第一参数为第二阈值;
基于所述第二阈值查询预先配置的策略集合,获得所述第二阈值对应的第二执行策略,基于所述第二执行策略调度实例。
上述方案中,所述基于所述第二执行策略调度实例,包括:
基于所述第一执行策略在集群中添加实例;或者,
基于所述第一执行策略保持集群中的实例状态。
本发明实施例还提供了一种调度设备,所述调度设备包括:检测单元、更新单元、策略确定单元和调度执行单元;其中,
所述检测单元,用于检测特定事件;
所述更新单元,用于基于所述检测单元检测到的特定事件更新第一参数;所述第一参数表征接收到DDoS攻击的概率;更新后的所述第一参数表征接收到DDoS攻击的概率增加;
所述检测单元,还用于当更新后的所述第一参数表明接收到DDoS攻击的概率增加时,触发检测DDoS攻击事件,获得检测结果;
所述更新单元,还用于当所述检测单元获得的检测结果表明检测到DDoS攻击事件时,更新所述第一参数为第一阈值;
所述策略确定单元,用于基于所述第一阈值查询预先配置的策略集合,获得所述第一阈值对应的第一执行策略;
所述调度执行单元,用于基于所述策略确定单元获得的所述第一执行策略调度实例。
上述方案中,所述策略确定单元,用于基于所述第一阈值查询预先配置的策略集合,获得所述第一阈值所在的第一阈值范围,以及获得所述第一阈值范围对应的第一执行策略;其中,所述策略集合中包括至少一组阈值范围与执行策略的映射关系。
上述方案中,所述调度执行单元,用于基于所述第一执行策略删除集群中的实例;或者,基于所述第一执行策略保持集群中的实例状态。
上述方案中,所述更新单元,还用于当所述检测单元获得的检测结果表明未检测到DDoS攻击事件、或者所述DDoS攻击事件被清除后,更新所述第一参数为第二阈值;
所述策略确定单元,还用于基于所述第二阈值查询预先配置的策略集合,获得所述第二阈值对应的第二执行策略;
所述调度执行单元,还用于基于所述第二执行策略调度实例。
上述方案中,所述调度执行单元,用于基于所述第一执行策略在集群中添加实例;或者,基于所述第一执行策略保持集群中的实例状态。
本发明实施例提供的DDoS攻击防御控制方法和调度设备,所述方法包括:基于检测到的特定事件更新第一参数;所述第一参数表征接收到DDoS攻击的概率;更新后的所述第一参数表征接收到DDoS攻击的概率增加;当更新后的所述第一参数表明接收到DDoS攻击的概率增加时,触发检测DDoS攻击事件,获得检测结果;当所述检测结果表明检测到DDoS攻击事件时,更新所述第一参数为第一阈值;基于所述第一阈值查询预先配置的策略集合,获得所述第一阈值对应的第一执行策略,基于所述第一执行策略调度实例。采用本发明实施例的技术方案,容易与集群调度程序集成,以检测集群的DDoS攻击。同时还提供了极大的灵活性,可自定义执行策略,以减轻不同级别的风险状态以及集群资源的不同事件。
附图说明
图1为本发明实施例的DDoS攻击防御控制方法的一种流程示意图;
图2为本发明实施例的DDoS攻击防御控制方法的应用架构示意图;
图3为本发明实施例的DDoS攻击防御控制方法的另一种流程示意图;
图4为本发明实施例的DDoS攻击防御控制方法中的策略集合的映射关系一种示意图;
图5为本发明实施例的调度设备的组成结构示意图。
具体实施方式
下面结合附图及具体实施例对本发明作进一步详细的说明。
实施例一
本发明实施例提供了一种DDoS攻击防御控制方法。图1为本发明实施例的DDoS攻击防御控制方法的一种流程示意图;如图1所示,所述方法包括:
步骤101:基于检测到的特定事件更新第一参数;所述第一参数表征接收到DDoS攻击的概率;更新后的所述第一参数表征接收到DDoS攻击的概率增加。
步骤102:当更新后的所述第一参数表明接收到DDoS攻击的概率增加时,触发检测DDoS攻击事件,获得检测结果。
步骤103:当所述检测结果表明检测到DDoS攻击事件时,更新所述第一参数为第一阈值。
步骤104:基于所述第一阈值查询预先配置的策略集合,获得所述第一阈值对应的第一执行策略,基于所述第一执行策略调度实例。
本发明实施例的DDoS攻击防御控制方法应用在调度设备中,本发明实施例所述的调度设备一方面可对特定事件以及DDoS攻击进行检测,基于检测结果更新表征的接收到DDoS攻击的概率的第一参数;另一方面可基于更新的第一参数对云服务器或云服务器集群的资源进行调度,从而在云服务器或云服务器集群中建立防御DDoS攻击的控制方案,以保护集群的工作性能。
本实施例中,所述第一参数能够表征接收到DDoS攻击的概率;作为一种实施方式,所述第一参数越大,则表明接收到DDoS攻击的概率越高;相应的,所述第一参数越小,则表明接收到DDoS攻击的概率越低。当然,还存在另一种实施方式,则所述第一参数越小,则表明接收到DDoS攻击的概率越高;所述第一参数越大,则表明接收到DDoS攻击的概率越低。在本发明各实施例中,均与第一种实施方式为例进行说明。
本实施例中,所述特定事件具体可以是向外扩展事件,所述向外扩展事件具体可作为容量扩容的一种场景;则检测到所述向外扩展事件后,增加所述第一参数的数值,增加后的所述第一参数表明接收到DDoS攻击的概率增加。在具体实施过程中,每检测到一次向外扩展事件,则可按照预设步长数值增加所述第一参数,直至所述第一参数增加至预设最大值。
本实施例中,当检测到更新后的所述第一参数表明接收到DDoS攻击的概率增加,也即检测到所述第一参数增加时,触发检测DDoS攻击事件,以分析警报。在具体实施过程中,可通过配置的单独的分析引擎实现警报分析功能。其中,确定更新后的所述第一参数表明接收到DDoS攻击的概率增加,具体可判断所述更新后的所述第一参数是否高于某一预设阈值;当所述更新好的所述第一参数高于某一预设阈值时,可判定更新后的所述第一参数表明接收到DDoS攻击的概率增加。
本实施例中,当检测到DDoS攻击事件时,则更新所述第一参数为第一阈值;作为一种实施方式,所述第一阈值可以为所述第一参数对应的预设数值范围中的最大值,也即通过所述第一阈值表征的所述第一参数表明接收到DDoS攻击的概率最高。
本实施例中,所述调度设备中预先配置策略集合,所述策略集合中包括至少两组阈值范围与执行策略的映射关系,则所述基于所述第一阈值查询预先配置的策略集合,获得所述第一阈值对应的第一执行策略,包括:基于所述第一阈值查询预先配置的策略集合,获得所述第一阈值所在的第一阈值范围,以及获得所述第一阈值范围对应的第一执行策略。
具体的,对于所述第一参数,在其预先配置的最小值和最大值之间配置至少一个中间值,以配置一个中间值为例,则所述最小值和所述中间值之间、所述中间值和所述最大值之间形成两个阈值范围;当配置至少两个中间值时,以此类推,形成两个以上阈值范围。进一步地,对于每个阈值范围配置一执行策略,所述执行策略与其相对应的阈值范围中的阈值所表示的接收到DDoS攻击的概率相适应。
本实施例中,所述基于所述第一执行策略调度实例,包括:基于所述第一执行策略删除集群中的实例;或者,基于所述第一执行策略保持集群中的实例状态。
本实施例中,作为一种实施方式,执行所述第一执行策略用于删除集群中的实例,触发集群缩小到最小实例。作为另一种实施方式,执行所述第一执行策略用于维持集群的现状,即不执行任何操作,保持集群中的当前实例。
图2为本发明实施例的DDoS攻击防御控制方法的应用架构示意图;如图2所示,通过事件1作为向外扩展事件,而代替直接增加集群容量;调度设备获得第一参数,若需要添加集群实例,可通过事件2与集群交互;调度设备通过事件3检测DDoS攻击事件,以及通过事件4获得DDoS攻击事件的检测结果并更新所述第一参数;事件5可用于缩放请求以从集群中删除实例,可用户减少所述第一参数的数值以降低DDoS攻击风险,或者将所述第一参数的数值设置在正常数值范围内。
实施例二
本发明实施例还提供了一种DDoS攻击防御控制方法。图3为本发明实施例的DDoS攻击防御控制方法的另一种流程示意图;如图3所示,所述方法包括:
步骤201:基于检测到的特定事件更新第一参数;所述第一参数表征接收到DDoS攻击的概率;更新后的所述第一参数表征接收到DDoS攻击的概率增加。
步骤202:当更新后的所述第一参数表明接收到DDoS攻击的概率增加时,触发检测DDoS攻击事件,获得检测结果。
步骤203:当所述检测结果表明检测到DDoS攻击事件时,更新所述第一参数为第一阈值。
步骤204:基于所述第一阈值查询预先配置的策略集合,获得所述第一阈值对应的第一执行策略,基于所述第一执行策略调度实例。
步骤205:当所述检测结果表明未检测到DDoS攻击事件、或者所述DDoS攻击事件被清除后,更新所述第一参数为第二阈值。
步骤206:基于所述第二阈值查询预先配置的策略集合,获得所述第二阈值对应的第二执行策略,基于所述第二执行策略调度实例。
区别于实施例一,本实施例中,当所述检测结果表明未检测到DDoS攻击事件、或者所述DDoS攻击事件被清除后,更新所述第一参数为第二阈值,所述第二阈值具体可以为所述第一参数对应的取值范围中的最小值;例如,所述第一参数对应的取值范围中的最小值记为Min,最大值记为Max,则可将所述第二阈值确定为Min。另一种实施方式中,所述第一参数对应的取值范围中可包括对应于正常状态的阈值或者阈值范围;则可将所述第二阈值确定为所述正常状态对应的阈值或阈值范围内的任意数值。
所述基于所述第二执行策略调度实例,包括:基于所述第二执行策略在集群中添加实例;或者,基于所述第二执行策略保持集群中的实例状态。
具体的,作为一种实施方式,执行所述第二执行策略用于在集群中添加实例。作为另一种实施方式,执行所述第二执行策略用于维持集群的现状,即不执行任何操作,保持集群中的当前实例。
图4为本发明实施例的DDoS攻击防御控制方法中的策略集合的映射关系一种示意图;如图4所示,第一参数是记录DDoS攻击状态的关键。所述第一参数具有两种更新方式。一种是缩放请求本身,因为缩放事件很可能是DDoS攻击的受害者,而所述第一参数可由是否检测到DDoS攻击事件而更新。作为一种实施方式,可通过一个具有指示状态的索引,通过该索引的离散值范围表示出现DDoS攻击事件的可能性。例如,数值越高,表示集群受到DDoS攻击的概率越高。若数值处在正常状态对应的数值范围内,可将所述第一参数的数值设置为所述正常状态对应的数值范围的最小值。根据应用要求,所述正常范围的最大值可设置为小于所述第一参数对应的最大值(Max)的任意数值;所述正常范围的最小值可设置为大于所述第一参数对应的最小值(Min)的任意数值。所述第一参数的数值可用于构造调节潜在攻击所需的一组不同执行策略。可以设置一个动作策略,使最大攻击核心总是可以触发群集缩小到最小实例。当所述第一参数的数值达到最大值(即Max)时,所对应的执行策略可以设置为使得调度设备仅保持集群中的当前实例(不做任何操作),或者删除集群中的实例以触发集群缩小到最小实例,直到所述第一参数更新为正常状态。而当第一参数的数值降低到最小值(即Min)时,所对应的执行策略可以设置为使得调度设备维持集群中的当前实例(不做任何操作),或者添加集群中的实例,直到第一参数更新为正常状态。当第一参数在正常范围内时,可适当增加实例,以对集群进行扩容。其中,DDoS检测还可以将攻击得分设置为中间级别,例如,在所述正常范围内预先设置至少一个数值,以反映估计风险级别。
本实施例中,针对检测所述特定事件和/或触发检测DDoS攻击事件可预先配置超时机制,即检测所述特定事件时,在预设时间范围内未获得所述特定时间的检测结果时,则不触发更新第一参数;和/或,检测DDoS攻击事件时,在预设时间范围内未获得DDoS攻击事件的检测结果时,则不触发更新所述第一参数为第一阈值。超时机制可以用于减少攻击得分,以保护群集中资源池的正常扩展使用的失控情况。
实施例三
本发明实施例还提供了一种调度设备。图5为本发明实施例的调度设备的组成结构示意图;如图5所示,所述调度设备包括:检测单元31、更新单元32、策略确定单元33和调度执行单元34;其中,
所述检测单元31,用于检测特定事件;
所述更新单元32,用于基于所述检测单元31检测到的特定事件更新第一参数;所述第一参数表征接收到DDoS攻击的概率;更新后的所述第一参数表征接收到DDoS攻击的概率增加;
所述检测单元31,还用于当更新后的所述第一参数表明接收到DDoS攻击的概率增加时,触发检测DDoS攻击事件,获得检测结果;
所述更新单元32,还用于当所述检测单元31获得的检测结果表明检测到DDoS攻击事件时,更新所述第一参数为第一阈值;
所述策略确定单元33,用于基于所述第一阈值查询预先配置的策略集合,获得所述第一阈值对应的第一执行策略;
所述调度执行单元34,用于基于所述策略确定单元33获得的所述第一执行策略调度实例。
本实施例中,所述第一参数能够表征接收到DDoS攻击的概率;作为一种实施方式,所述第一参数越大,则表明接收到DDoS攻击的概率越高;相应的,所述第一参数越小,则表明接收到DDoS攻击的概率越低。当然,还存在另一种实施方式,则所述第一参数越小,则表明接收到DDoS攻击的概率越高;所述第一参数越大,则表明接收到DDoS攻击的概率越低。在本发明各实施例中,均与第一种实施方式为例进行说明。
本实施例中,所述特定事件具体可以是向外扩展事件,所述向外扩展事件具体可作为容量扩容的一种场景;则所述检测单元31检测到所述向外扩展事件后,所述更新单元32增加所述第一参数的数值,增加后的所述第一参数表明接收到DDoS攻击的概率增加。在具体实施过程中,所述检测单元31每检测到一次向外扩展事件,则所述更新单元32可按照预设步长数值增加所述第一参数,直至所述第一参数增加至预设最大值。
本实施例中,当所述检测单元31检测到更新后的所述第一参数表明接收到DDoS攻击的概率增加,也即检测到所述第一参数增加时,触发检测DDoS攻击事件,以分析警报。在具体实施过程中,可通过配置的单独的分析引擎实现警报分析功能。其中,确定更新后的所述第一参数表明接收到DDoS攻击的概率增加,具体可判断所述更新后的所述第一参数是否高于某一预设阈值;当所述更新好的所述第一参数高于某一预设阈值时,可判定更新后的所述第一参数表明接收到DDoS攻击的概率增加。
本实施例中,当所述检测单元31检测到DDoS攻击事件时,则所述更新单元32更新所述第一参数为第一阈值;作为一种实施方式,所述第一阈值可以为所述第一参数对应的预设数值范围中的最大值,也即通过所述第一阈值表征的所述第一参数表明接收到DDoS攻击的概率最高。
本实施例中,所述策略确定单元33中预先配置策略集合,所述策略集合中包括至少两组阈值范围与执行策略的映射关系,则所述策略确定单元33,用于基于所述第一阈值查询预先配置的策略集合,获得所述第一阈值所在的第一阈值范围,以及获得所述第一阈值范围对应的第一执行策略;其中,所述策略集合中包括至少一组阈值范围与执行策略的映射关系。
具体的,对于所述第一参数,在其预先配置的最小值和最大值之间配置至少一个中间值,以配置一个中间值为例,则所述最小值和所述中间值之间、所述中间值和所述最大值之间形成两个阈值范围;当配置至少两个中间值时,以此类推,形成两个以上阈值范围。进一步地,对于每个阈值范围配置一执行策略,所述执行策略与其相对应的阈值范围中的阈值所表示的接收到DDoS攻击的概率相适应。
本实施例中,所述调度执行单元34,用于基于所述第一执行策略删除集群中的实例;或者,基于所述第一执行策略保持集群中的实例状态。
本实施例中,作为一种实施方式,所述调度执行单元34执行所述第一执行策略用于删除集群中的实例,触发集群缩小到最小实例。作为另一种实施方式,所述调度执行单元34执行所述第一执行策略用于维持集群的现状,即不执行任何操作,保持集群中的当前实例。
如图2所示,通过事件1作为向外扩展事件,而代替直接增加集群容量;调度设备获得第一参数,若需要添加集群实例,可通过事件2与集群交互;调度设备通过事件3检测DDoS攻击事件,以及通过事件4获得DDoS攻击事件的检测结果并更新所述第一参数;事件5可用于缩放请求以从集群中删除实例,可用户减少所述第一参数的数值以降低DDoS攻击风险,或者将所述第一参数的数值设置在正常数值范围内。
作为一种实施方式,所述更新单元32,还用于当所述检测单元31获得的检测结果表明未检测到DDoS攻击事件、或者所述DDoS攻击事件被清除后,更新所述第一参数为第二阈值;
所述策略确定单元33,还用于基于所述第二阈值查询预先配置的策略集合,获得所述第二阈值对应的第二执行策略;
所述调度执行单元34,还用于基于所述第二执行策略调度实例。
本实施例中,当所述检测单元31获得的所述检测结果表明未检测到DDoS攻击事件、或者所述DDoS攻击事件被清除后,所述更新单元32更新所述第一参数为第二阈值,所述第二阈值具体可以为所述第一参数对应的取值范围中的最小值;例如,所述第一参数对应的取值范围中的最小值记为Min,最大值记为Max,则可将所述第二阈值确定为Min。另一种实施方式中,所述第一参数对应的取值范围中可包括对应于正常状态的阈值或者阈值范围;则可将所述第二阈值确定为所述正常状态对应的阈值或阈值范围内的任意数值。
作为一种实施方式,所述调度执行单元34,用于基于所述第一执行策略在集群中添加实例;或者,基于所述第一执行策略保持集群中的实例状态。
具体的,作为一种实施方式,所述调度执行单元34执行所述第二执行策略用于在集群中添加实例。作为另一种实施方式,所述调度执行单元34执行所述第二执行策略用于维持集群的现状,即不执行任何操作,保持集群中的当前实例。
如图4所示,第一参数是记录DDoS攻击状态的关键。所述第一参数具有两种更新方式。一种是缩放请求本身,因为缩放事件很可能是DDoS攻击的受害者,而所述第一参数可由是否检测到DDoS攻击事件而更新。作为一种实施方式,可通过一个具有指示状态的索引,通过该索引的离散值范围表示出现DDoS攻击事件的可能性。例如,数值越高,表示集群受到DDoS攻击的概率越高。若数值处在正常状态对应的数值范围内,可将所述第一参数的数值设置为所述正常状态对应的数值范围的最小值。根据应用要求,所述正常范围的最大值可设置为小于所述第一参数对应的最大值(Max)的任意数值;所述正常范围的最小值可设置为大于所述第一参数对应的最小值(Min)的任意数值。所述第一参数的数值可用于构造调节潜在攻击所需的一组不同执行策略。可以设置一个动作策略,使最大攻击核心总是可以触发群集缩小到最小实例。当所述第一参数的数值达到最大值(即Max)时,所对应的执行策略可以设置为使得调度设备仅保持集群中的当前实例(不做任何操作),或者删除集群中的实例以触发集群缩小到最小实例,直到所述第一参数更新为正常状态。而当第一参数的数值降低到最小值(即Min)时,所对应的执行策略可以设置为使得调度设备维持集群中的当前实例(不做任何操作),或者添加集群中的实例,直到第一参数更新为正常状态。当第一参数在正常范围内时,可适当增加实例,以对集群进行扩容。其中,DDoS检测还可以将攻击得分设置为中间级别,例如,在所述正常范围内预先设置至少一个数值,以反映估计风险级别。
本领域技术人员应当理解,本发明实施例的调度设备中各处理单元的功能,可参照前述DDoS攻击防御控制方法的相关描述而理解,本发明实施例的调度设备中各处理单元,可通过实现本发明实施例所述的功能的模拟电路而实现,也可以通过执行本发明实施例所述的功能的软件在智能终端上的运行而实现。
在本发明实施例中,所述调度设备中的检测单元31、更新单元32、策略确定单元33和调度执行单元34,在实际应用中均可由所述调度设备中的中央处理器(CPU,CentralProcessing Unit)、数字信号处理器(DSP,Digital Signal Processor)或可编程门阵列(FPGA,Field-Programmable Gate Array)实现。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用硬件实施例、软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。
Claims (10)
1.一种分布式拒绝服务DDoS攻击防御控制方法,其特征在于,所述方法包括:
基于检测到的特定事件更新第一参数;所述第一参数表征接收到DDoS攻击的概率;更新后的所述第一参数表征接收到DDoS攻击的概率增加;所述特定事件包括向外扩展事件;
当更新后的所述第一参数表明接收到DDoS攻击的概率增加时,触发检测DDoS攻击事件,获得检测结果;
当所述检测结果表明检测到DDoS攻击事件时,更新所述第一参数为第一阈值;
基于所述第一阈值查询预先配置的策略集合,获得所述第一阈值对应的第一执行策略,基于所述第一执行策略调度实例;所述策略集合中包括至少两组阈值范围与执行策略的映射关系;所述第一阈值在第一阈值范围。
2.根据权利要求1所述的方法,其特征在于,所述基于所述第一阈值查询预先配置的策略集合,获得所述第一阈值对应的第一执行策略,包括:
基于所述第一阈值查询预先配置的策略集合,获得所述第一阈值所在的第一阈值范围,以及获得所述第一阈值范围对应的第一执行策略。
3.根据权利要求2所述的方法,其特征在于,所述基于所述第一执行策略调度实例,包括:
基于所述第一执行策略删除集群中的实例;或者,基于所述第一执行策略保持集群中的实例状态。
4.根据权利要求1所述的方法,其特征在于,当所述检测结果表明未检测到DDoS攻击事件、或者所述DDoS攻击事件被清除后,所述方法还包括:
更新所述第一参数为第二阈值;
基于所述第二阈值查询预先配置的策略集合,获得所述第二阈值对应的第二执行策略,基于所述第二执行策略调度实例。
5.根据权利要求4所述的方法,其特征在于,所述基于所述第二执行策略调度实例,包括:
基于所述第二执行策略在集群中添加实例;或者,
基于所述第二执行策略保持集群中的实例状态。
6.一种调度设备,其特征在于,所述调度设备包括:检测单元、更新单元、策略确定单元和调度执行单元;其中,
所述检测单元,用于检测特定事件;所述特定事件包括向外扩展事件;
所述更新单元,用于基于所述检测单元检测到的特定事件更新第一参数;所述第一参数表征接收到DDoS攻击的概率;更新后的所述第一参数表征接收到DDoS攻击的概率增加;
所述检测单元,还用于当更新后的所述第一参数表明接收到DDoS攻击的概率增加时,触发检测DDoS攻击事件,获得检测结果;
所述更新单元,还用于当所述检测单元获得的检测结果表明检测到DDoS攻击事件时,更新所述第一参数为第一阈值;
所述策略确定单元,用于基于所述第一阈值查询预先配置的策略集合,获得所述第一阈值对应的第一执行策略;所述策略集合中包括至少两组阈值范围与执行策略的映射关系;所述第一阈值在第一阈值范围;
所述调度执行单元,用于基于所述策略确定单元获得的所述第一执行策略调度实例。
7.根据权利要求6所述的调度设备,其特征在于,所述策略确定单元,用于基于所述第一阈值查询预先配置的策略集合,获得所述第一阈值所在的第一阈值范围,以及获得所述第一阈值范围对应的第一执行策略。
8.根据权利要求7所述的调度设备,其特征在于,所述调度执行单元,用于基于所述第一执行策略删除集群中的实例;或者,基于所述第一执行策略保持集群中的实例状态。
9.根据权利要求6所述的调度设备,其特征在于,所述更新单元,还用于当所述检测单元获得的检测结果表明未检测到DDoS攻击事件、或者所述DDoS攻击事件被清除后,更新所述第一参数为第二阈值;
所述策略确定单元,还用于基于所述第二阈值查询预先配置的策略集合,获得所述第二阈值对应的第二执行策略;
所述调度执行单元,还用于基于所述第二执行策略调度实例。
10.根据权利要求9所述的调度设备,其特征在于,所述调度执行单元,用于基于所述第二执行策略在集群中添加实例;或者,基于所述第二执行策略保持集群中的实例状态。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710275034.5A CN108737351B (zh) | 2017-04-25 | 2017-04-25 | 一种分布式拒绝服务攻击防御控制方法和调度设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710275034.5A CN108737351B (zh) | 2017-04-25 | 2017-04-25 | 一种分布式拒绝服务攻击防御控制方法和调度设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN108737351A CN108737351A (zh) | 2018-11-02 |
CN108737351B true CN108737351B (zh) | 2021-03-16 |
Family
ID=63934270
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710275034.5A Active CN108737351B (zh) | 2017-04-25 | 2017-04-25 | 一种分布式拒绝服务攻击防御控制方法和调度设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108737351B (zh) |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101309150A (zh) * | 2008-06-30 | 2008-11-19 | 华为技术有限公司 | 分布式拒绝服务攻击的防御方法、装置和系统 |
Family Cites Families (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7389537B1 (en) * | 2001-10-09 | 2008-06-17 | Juniper Networks, Inc. | Rate limiting data traffic in a network |
CN102263788B (zh) * | 2011-07-14 | 2014-06-04 | 百度在线网络技术(北京)有限公司 | 一种用于防御指向多业务系统的DDoS攻击的方法与设备 |
CN104519016B (zh) * | 2013-09-29 | 2018-09-14 | 中国电信股份有限公司 | 防火墙自动防御分布式拒绝服务攻击的方法和装置 |
CN103746987B (zh) * | 2013-12-31 | 2017-02-01 | 东软集团股份有限公司 | 语义Web应用中检测DoS攻击的方法与系统 |
CN103957195B (zh) * | 2014-04-04 | 2017-11-03 | 北京奇虎科技有限公司 | Dns系统以及dns攻击的防御方法和防御装置 |
CN104125213A (zh) * | 2014-06-18 | 2014-10-29 | 汉柏科技有限公司 | 一种防火墙抗分布式拒绝服务ddos攻击的方法和装置 |
CN106357685A (zh) * | 2016-10-28 | 2017-01-25 | 北京神州绿盟信息安全科技股份有限公司 | 一种防御分布式拒绝服务攻击的方法及装置 |
-
2017
- 2017-04-25 CN CN201710275034.5A patent/CN108737351B/zh active Active
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101309150A (zh) * | 2008-06-30 | 2008-11-19 | 华为技术有限公司 | 分布式拒绝服务攻击的防御方法、装置和系统 |
Also Published As
Publication number | Publication date |
---|---|
CN108737351A (zh) | 2018-11-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8904526B2 (en) | Enhanced network security | |
EP3068095B1 (en) | Monitoring apparatus and method | |
EP3076325B1 (en) | Detecting suspicious files resident on a network | |
RU2477929C2 (ru) | Система и способ предотвращения инцидентов безопасности на основании рейтингов опасности пользователей | |
US8161475B2 (en) | Automatic load and balancing for virtual machines to meet resource requirements | |
EP3386161B1 (en) | Tracking and mitigation of an infected host device | |
CN103500305A (zh) | 一种基于云计算的恶意代码分析系统和方法 | |
JP2011233125A (ja) | 偽装仮想マシン情報を利用したインテリジェントボット対応方法及び装置 | |
RU2012142156A (ru) | Способ защиты компьютерной системы от вредоносного программного обеспечения | |
CN108572898B (zh) | 一种控制接口的方法、装置、设备、以及存储介质 | |
CN102081722A (zh) | 一种保护指定应用程序的方法及装置 | |
CN103379099A (zh) | 恶意攻击识别方法及系统 | |
CN104021141B (zh) | 数据处理和云服务的方法、装置及系统 | |
CN102609309A (zh) | 一种用于云计算的策略调度系统和方法 | |
EP3264310A1 (en) | Computer attack model management | |
WO2018017498A1 (en) | Inferential exploit attempt detection | |
CN109800085B (zh) | 资源配置的检测方法、装置、存储介质和电子设备 | |
CN107911229B (zh) | 运行状态改变的提醒方法、装置、电子设备及存储介质 | |
CN108737351B (zh) | 一种分布式拒绝服务攻击防御控制方法和调度设备 | |
WO2016122448A1 (en) | Resource allocation | |
CN117076042A (zh) | 工作负载调度方法、装置、设备、存储介质和程序产品 | |
CN112989323B (zh) | 进程检测方法、装置、终端及存储介质 | |
CN110266719A (zh) | 安全策略下发方法、装置、设备及介质 | |
CN106855824B (zh) | 一种任务停止方法、装置及电子设备 | |
CN110225019B (zh) | 一种网络安全处理方法和装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |