CN108768935A - 支持三层环路流量检测以及抗ddos攻击的分流系统及方法 - Google Patents

支持三层环路流量检测以及抗ddos攻击的分流系统及方法 Download PDF

Info

Publication number
CN108768935A
CN108768935A CN201810326926.8A CN201810326926A CN108768935A CN 108768935 A CN108768935 A CN 108768935A CN 201810326926 A CN201810326926 A CN 201810326926A CN 108768935 A CN108768935 A CN 108768935A
Authority
CN
China
Prior art keywords
flow
data
information
matching
feature
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201810326926.8A
Other languages
English (en)
Inventor
邹昕
张家琦
仝国利
孙浩
翟海滨
薛春晖
王维晟
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nanjing Sinovatio Technology LLC
National Computer Network and Information Security Management Center
Original Assignee
Nanjing Sinovatio Technology LLC
National Computer Network and Information Security Management Center
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nanjing Sinovatio Technology LLC, National Computer Network and Information Security Management Center filed Critical Nanjing Sinovatio Technology LLC
Priority to CN201810326926.8A priority Critical patent/CN108768935A/zh
Publication of CN108768935A publication Critical patent/CN108768935A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/29Flow control; Congestion control using a combination of thresholds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/32Flow control; Congestion control by discarding or delaying data units, e.g. packets or frames
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Traffic Control Systems (AREA)

Abstract

本发明提供一种支持三层环路流量检测以及抗DDOS攻击的分流系统及防反,在分流系统中利用系统特性,实现三层环路流量检测和抗DDOS攻击功能。其中,引入特征库和裁决器模块,通过分流设备获取报文关键字段匹配特征库,通过设置阈值来确认流量标识内容,对于无法匹配特征库报文,增加学习模块以适应网络报文多样性,增加特征库的动态实时调整;裁决器根据标识内容,对报文做进一步处理,包括分流到特定设备或者丢弃包文等操作。

Description

支持三层环路流量检测以及抗DDOS攻击的分流系统及方法
技术领域
本发明涉及网络安全技术领域,具体涉及一种基于网络处理器实现多业务规则匹配以及流量复制的系统。
本发明同时涉及基于网络处理器实现多业务规则匹配以及流量复制的方法。
背景技术
近年来,骨干网海量数据的实时网络安全处理已经成为世界主要大国在互联网上进行战略对抗和竞争的主要焦点。在网络安全领域开展的网络攻击监测、恶意攻击防护等核心业务中系统中,三层环路流量检测和DDOS攻击分析技术层出不断。
故,需要一种新的技术方案以解决上述问题。
发明内容
本发明的目的在于:提供一种支持三层环路流量检测以及抗DDOS攻击的分流系统,用以针对三层环路流量以及DDOS攻击流量清洗,从而降低对二级处理设备的压力。
本发明同时提供支持三层环路流量检测以及抗DDOS攻击的分流方法,同样用以针对三层环路流量以及DDOS攻击流量清洗,从而降低对二级处理设备的压力。
为达到上述目的,本发明实现多业务规则匹配以及流量复制的系统可采用如下技术方案:
一种支持三层环路流量检测以及抗DDOS攻击的分流系统,包括:
特征库模块,包含设置关键字段的特征库,特征库模块用以获取流量数据的特征信息,以匹配特征库内的关键字段,记录并标识已匹配特征信息流量或者记录并标识攻击流量:
裁决器模块,用于当流量数据经过特征库模块后,根据标识内容,对流量数据相应做出动作,包括输出或丢弃,超过阈值则产生告警。
有益效果:本发明支持三层环路流量检测以及抗DDOS攻击的分流系统中通过特征库识别已匹配特征信息流量并进行标示,由裁决器决定流量动作处理,可以减轻对二级设备数据处理分析,并根据生产者需求产出相应信息“的一套分流系统解决方案。
进一步的,关键字段包括三层环路流量的关键字段及DDOS攻击报文关键字段;三层环路流量报文关键字段包括五元组信息、报文长度字段和IP的ID字段;其中DDOS攻击报文关键字段包括报文长度字段和TCP的Flags字段。
进一步的,所述特征库模块还具有学习功能,对符合特征库特征流量都会被学习,产生一条关键字段,用于标识已匹配特征信息流量。
进一步的,当接入海量数据后,对提取的报文关键字段信息匹配特征库,匹配时,记录并检测是否达到阈值,标识数据流量,用以裁决器模块进一步处理;不匹配时,特征库通过学习通道判断是否满足学习要求,若是满足则新增一条关键字段信息,后续数据匹配不再学习,若是不满足则不学习。
进一步的,裁决器模块通过API接口,修改或调整动作方式,实现动态调整。
本发明提供的支持三层环路流量检测以及抗DDOS攻击的分流方法可以采用以下技术方案,包括以下步骤:
(1)、设置特征库,获取流量数据的特征信息,以匹配特征库内的关键字段,记录并标识已匹配特征信息流量或者记录并标识攻击流量:
(2)、根据标识内容,对流量数据相应做出动作,包括输出或丢弃,超过阈值则产生告警。
有益效果:本发明提供的支持三层环路流量检测以及抗DDOS攻击的分流方法中通过特征库识别已匹配特征信息流量并进行标示,由裁决器决定流量动作处理,可以减轻对二级设备数据处理分析,并根据生产者需求产出相应信息“的一套分流系统解决方案。
进一步的,关键字段包括三层环路流量的关键字段及DDOS攻击报文关键字段;三层环路流量报文关键字段包括五元组信息、报文长度字段和IP的ID字段;其中DDOS攻击报文关键字段包括报文长度字段和TCP的Flags字段;
通过判断流量数据的特征信息与五元组信息、报文长度字段和IP的ID字段是否匹配来确定是否是三层环路流量报文;
通过判断流量的特征信息与报文长度字段和TCP的Flags字段是否匹配来确定是否是攻击报文。
本发明提供的实现多业务规则匹配以及流量复制的方法还可以采用以下技术方案,包括以下步骤:
步骤101,接入流量数据,经过分流设备提取特征库信息,用于特征库模块匹配处理;
步骤102,判断是否匹配特征库,若是匹配,则执行103步骤,否则执行105 步骤;
步骤103,匹配特征库流量被标识,用于裁决器处理依据;
步骤104,裁决器根据标识信息,对数据进行相关处理,并获取数据信息;
步骤105,对于不能匹配特征库数据,判断是否符合特征库信息,若是匹配添加到特征库;
步骤106,添加特征库报文也被标识,并送到步骤103继续处理。
有益效果:本发明提供的支持三层环路流量检测以及抗DDOS攻击的分流方法中通过特征库识别已匹配特征信息流量并进行标示,由裁决器决定流量动作处理,可以减轻对二级设备数据处理分析,并根据生产者需求产出相应信息“的一套分流系统解决方案。
附图说明
图1为本发明中的三层环路流量检测以及抗DDOS攻击系统的处理流程图。
具体实施方式
本发明提供了支持三层环路流量检测以及抗DDOS攻击的分流系统的技术方案,同时提供了支持三层环路流量检测以及抗DDOS攻击的分流的方法的技术方案。系统及方法的技术方案中均引入特征库概念,用以标识数据唯一特性或某种类型数据,依此来确认是否是三层环路报文或DDOS攻击报文。特征库不仅包括五元组信息,也包括了能够标识报文特征的其它信息。三层环路流量的关键字段包括五元组信息、报文长度字段和IP的ID字段,当匹配关键字段后通过判断TTL值确定是否产生环路,并输出五元组信息用于产生告警信息;DDOS 攻击报文关键字段包括报文载荷长度和TCP Flags,通过判断是否匹配来确定是否是攻击报文。匹配关键字段流量报文被标识,特征库可以根据不同需要灵活定义。同时,引入裁决器概念,决定了对匹配特征库流量数据后续动作处理,包括但不限于输出、丢弃等,也可产生相关告警信息,三层环路检测可以设置告警上线,当环路报文达到设置阈值就产生告警信息;DDOS攻击流量可以实现流量丢弃或输出。当海量数据进入分流系统后,提取与特征库关键字段相关信息,通过与特征库一一筛选处理,标识匹配流量,然后由裁决器对流量进一步处理。
下面结合附图对进行说明。
实施例一
可参考图1,实施例一提供一种支持三层环路流量检测以及抗DDOS攻击的分流系统,包括:
特征库模块,包含设置关键字段的特征库,特征库模块用以获取流量数据的特征信息,以匹配特征库内的关键字段,记录并标识已匹配特征信息流量或者记录并标识攻击流量:关键字段包括五元组信息、报文长度字段、IP的ID字段、 TCP的Flags字段
裁决器模块,用于当流量数据经过特征库模块后,根据标识内容,对流量数据相应做出动作,包括输出或丢弃,超过阈值则产生告警。
其中,特征库模块还具有学习功能,对符合特征库特征流量都会被学习,产生一条关键字段,用于标识已匹配特征信息流量。在特征库模块中,当接入海量数据后,对提取的报文关键字段信息匹配特征库,匹配时,记录并检测是否达到阈值,标识数据流量,用以裁决器模块进一步处理;不匹配时,特征库通过学习通道判断是否满足学习要求,若是满足则新增一条关键字段信息,后续数据匹配不再学习,若是不满足则不学习。裁决器模块通过API接口,修改或调整动作方式,实现动态调整。
实施例二
请结合图1所示,实施例二提供一种支持三层环路流量检测以及抗DDOS 攻击的分流方法,包括:
(1)、设置特征库,获取流量数据的特征信息,以匹配特征库内的关键字段,记录并标识已匹配特征信息流量或者记录并标识攻击流量:关键字段包括五元组信息、报文长度字段、IP的ID字段、TCP的Flags字段。关键字段包括三层环路流量的关键字段及DDOS攻击报文关键字段;三层环路流量报文关键字段包括五元组信息、报文长度字段和IP的ID字段;其中DDOS攻击报文关键字段包括报文长度字段和TCP的Flags字段。
(2)、根据标识内容,对流量数据相应做出动作,包括输出或丢弃,超过阈值则产生告警。
同时,步骤(1)中,对符合特征库内的特征流量都会被学习,产生一条关键字段,用于标识已匹配特征信息流量。当接入海量数据后,对提取的报文关键字段信息匹配特征库,匹配时,记录并检测是否达到阈值,标识数据流量,转到步骤(2)进一步处理;不匹配时,通过学习通道判断是否满足学习要求,若是满足则新增一条关键字段信息,后续数据匹配不再学习,若是不满足则不学习。
实施例三
请结合图1所示,本实施例提供一种支持三层环路流量检测以及抗DDOS 攻击的分流方法,包括以下步骤:
步骤101,接入流量数据,经过分流设备提取特征库信息,用于特征库模块匹配处理;
步骤102,判断是否匹配特征库,若是匹配,则执行103步骤,否则执行105 步骤;
步骤103,匹配特征库流量被标识,用于裁决器处理依据;
步骤104,裁决器根据标识信息,对数据进行相关处理,并获取数据信息;
步骤105,对于不能匹配特征库数据,判断是否符合特征库信息,若是匹配添加到特征库;
步骤106,添加特征库报文也被标识,并送到步骤103继续处理。。
本发明主要在于提出一种“通过一级分流设备和二级交换机级联的方式,实现多业务规则匹配和流量复制”的解决方案。

Claims (10)

1.一种支持三层环路流量检测以及抗DDOS攻击的分流系统,其特征在于,包括:
特征库模块,包含设置关键字段的特征库,特征库模块用以获取流量数据的特征信息,以匹配特征库内的关键字段,记录并标识已匹配特征信息流量或者记录并标识攻击流量:
裁决器模块,用于当流量数据经过特征库模块后,根据标识内容,对流量数据相应做出动作,包括输出或丢弃,超过阈值则产生告警。
2.根据权利要求1所述的系统,其特征在于:关键字段包括三层环路流量的关键字段及DDOS攻击报文关键字段;三层环路流量报文关键字段包括五元组信息、报文长度字段和IP的ID字段;其中DDOS攻击报文关键字段包括报文长度字段和TCP的Flags字段。
3.根据权利要求1或2所述的系统,其特征在于:所述特征库模块还具有学习功能,对符合特征库特征流量都会被学习,产生一条关键字段,用于标识已匹配特征信息流量。
4.根据权利要求3所述的系统,其特征在于:在特征库模块中,当接入海量数据后,对提取的报文关键字段信息匹配特征库,匹配时,记录并检测是否达到阈值,标识数据流量,用以裁决器模块进一步处理;不匹配时,特征库通过学习通道判断是否满足学习要求,若是满足则新增一条关键字段信息,后续数据匹配不再学习,若是不满足则不学习。
5.根据权利要求1所述的系统,其特征在于:裁决器模块通过API接口,修改或调整动作方式,实现动态调整。
6.一种支持三层环路流量检测以及抗DDOS攻击的分流方法,其特征在于,包括以下步骤:
(1)、设置特征库,获取流量数据的特征信息,以匹配特征库内的关键字段,记录并标识已匹配特征信息流量或者记录并标识攻击流量:
(2)、根据标识内容,对流量数据相应做出动作,包括输出或丢弃,超过阈值则产生告警。
7.根据权利要求5所述的方法,其特征在于:关键字段包括三层环路流量的关键字段及DDOS攻击报文关键字段;三层环路流量报文关键字段包括五元组信息、报文长度字段和IP的ID字段;其中DDOS攻击报文关键字段包括报文长度字段和TCP的Flags字段;
通过判断流量数据的特征信息与五元组信息、报文长度字段和IP的ID字段是否匹配来确定是否是三层环路流量报文;
通过判断流量的特征信息与报文长度字段和TCP的Flags字段是否匹配来确定是否是攻击报文。
8.根据权利要求5所述的方法,其特征在于:步骤(1)中,对符合特征库内的特征流量都会被学习,产生一条关键字段,用于标识已匹配特征信息流量。
9.根据权利要求6所述的方法,其特征在于:步骤(1)中,当接入海量数据后,对提取的报文关键字段信息匹配特征库,匹配时,记录并检测是否达到阈值,标识数据流量,转到步骤(2)进一步处理;不匹配时,通过学习通道判断是否满足学习要求,若是满足则新增一条关键字段信息,后续数据匹配不再学习,若是不满足则不学习。
10.一种支持三层环路流量检测以及抗DDOS攻击的分流方法,其特征在于,包括以下步骤:
步骤101,接入流量数据,经过分流设备提取特征库信息,用于特征库模块匹配处理;
步骤102,判断是否匹配特征库,若是匹配,则执行103步骤,否则执行105步骤;
步骤103,匹配特征库流量被标识,用于裁决器处理依据;
步骤104,裁决器根据标识信息,对数据进行相关处理,并获取数据信息;
步骤105,对于不能匹配特征库数据,判断是否符合特征库信息,若是匹配添加到特征库;
步骤106,添加特征库报文也被标识,并送到步骤103继续处理。
CN201810326926.8A 2018-04-12 2018-04-12 支持三层环路流量检测以及抗ddos攻击的分流系统及方法 Pending CN108768935A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810326926.8A CN108768935A (zh) 2018-04-12 2018-04-12 支持三层环路流量检测以及抗ddos攻击的分流系统及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810326926.8A CN108768935A (zh) 2018-04-12 2018-04-12 支持三层环路流量检测以及抗ddos攻击的分流系统及方法

Publications (1)

Publication Number Publication Date
CN108768935A true CN108768935A (zh) 2018-11-06

Family

ID=63981755

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810326926.8A Pending CN108768935A (zh) 2018-04-12 2018-04-12 支持三层环路流量检测以及抗ddos攻击的分流系统及方法

Country Status (1)

Country Link
CN (1) CN108768935A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115118493A (zh) * 2022-06-27 2022-09-27 北京天融信网络安全技术有限公司 报文查询方法、装置、电子设备及存储介质
CN115633197A (zh) * 2022-09-15 2023-01-20 海南乾唐视联信息技术有限公司 一种业务数据的分流系统、方法、装置、电子设备和介质

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102104611A (zh) * 2011-03-31 2011-06-22 中国人民解放军信息工程大学 一种基于混杂模式的DDoS攻击检测方法及装置
CN104519016A (zh) * 2013-09-29 2015-04-15 中国电信股份有限公司 防火墙自动防御分布式拒绝服务攻击的方法和装置
CN105357179A (zh) * 2015-09-29 2016-02-24 深信服网络科技(深圳)有限公司 网络攻击的处理方法及装置
CN105554016A (zh) * 2015-12-31 2016-05-04 山石网科通信技术有限公司 网络攻击的处理方法和装置
US20170048263A1 (en) * 2015-08-14 2017-02-16 Wistron Corporation Anomaly prediction method and system for heterogeneous network architecture

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102104611A (zh) * 2011-03-31 2011-06-22 中国人民解放军信息工程大学 一种基于混杂模式的DDoS攻击检测方法及装置
CN104519016A (zh) * 2013-09-29 2015-04-15 中国电信股份有限公司 防火墙自动防御分布式拒绝服务攻击的方法和装置
US20170048263A1 (en) * 2015-08-14 2017-02-16 Wistron Corporation Anomaly prediction method and system for heterogeneous network architecture
CN105357179A (zh) * 2015-09-29 2016-02-24 深信服网络科技(深圳)有限公司 网络攻击的处理方法及装置
CN105554016A (zh) * 2015-12-31 2016-05-04 山石网科通信技术有限公司 网络攻击的处理方法和装置

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115118493A (zh) * 2022-06-27 2022-09-27 北京天融信网络安全技术有限公司 报文查询方法、装置、电子设备及存储介质
CN115118493B (zh) * 2022-06-27 2023-11-10 北京天融信网络安全技术有限公司 报文查询方法、装置、电子设备及存储介质
CN115633197A (zh) * 2022-09-15 2023-01-20 海南乾唐视联信息技术有限公司 一种业务数据的分流系统、方法、装置、电子设备和介质

Similar Documents

Publication Publication Date Title
CN109714322B (zh) 一种检测网络异常流量的方法及其系统
CN105208037B (zh) 一种基于轻量级入侵检测的DoS/DDoS攻击检测和过滤方法
CN111181901B (zh) 异常流量检测装置及其异常流量检测方法
CN106357618B (zh) 一种Web异常检测方法和装置
CN113283476B (zh) 一种物联网网络入侵检测方法
CN109151880B (zh) 基于多层分类器的移动应用流量识别方法
CN103428183B (zh) 恶意网址的识别方法和装置
CN109391599A (zh) 一种基于https流量特征分析的僵尸网络通讯信号的检测系统
CN110611640A (zh) 一种基于随机森林的dns协议隐蔽通道检测方法
CN109768981B (zh) 一种在sdn架构下基于机器学习的网络攻击防御方法和系统
CN107222491A (zh) 一种基于工业控制网络变种攻击的入侵检测规则创建方法
CN112491917B (zh) 一种物联网设备未知漏洞识别方法及装置
CN112769833B (zh) 命令注入攻击的检测方法、装置、计算机设备和存储介质
CN110868404A (zh) 一种基于tcp/ip指纹的工控设备自动识别方法
Fallahi et al. Automated flow-based rule generation for network intrusion detection systems
CN108270722A (zh) 一种攻击行为检测方法和装置
CN108768935A (zh) 支持三层环路流量检测以及抗ddos攻击的分流系统及方法
CN114338064B (zh) 识别网络流量类型的方法、装置、系统、设备和存储介质
CN112769623A (zh) 边缘环境下的物联网设备识别方法
CN111404768A (zh) 一种dpi识别的实现方法及设备
CN114339767B (zh) 一种信令检测方法、装置、电子设备及存储介质
CN105516098A (zh) 一种网页脚本的识别方法及装置
CN104883362A (zh) 异常访问行为控制方法及装置
CN112866278B (zh) 一种基于大数据的计算机网络信息安全防护系统
CN101296224B (zh) 一种p2p流量识别系统和方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20181106