CN109088895B - 一种定位分散式网络安全攻击防御系统的工作方法 - Google Patents
一种定位分散式网络安全攻击防御系统的工作方法 Download PDFInfo
- Publication number
- CN109088895B CN109088895B CN201811253527.XA CN201811253527A CN109088895B CN 109088895 B CN109088895 B CN 109088895B CN 201811253527 A CN201811253527 A CN 201811253527A CN 109088895 B CN109088895 B CN 109088895B
- Authority
- CN
- China
- Prior art keywords
- equipment
- area
- positioning
- wide
- topology information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明涉及一种定位分散式网络安全攻击防御系统的工作方法,用于针对攻击区域以及受攻击区域进行定向防御,包括以下步骤:广域控制器通过信息流收集模块获取全网拓扑信息;广域控制器通过流量分析模块计算拓扑信息的报文更新速率;广域控制器判断报文更新速率是否超出了自身的处理速率,若是,则广域控制器通过定位模块反向追踪该部分的拓扑信息的信息源的定位;广域控制器根据信息源定位通过配置模块获取一定范围内的网络配置;GPS定位装置认证各台设备;终端连接装置将各台设备暂时连接于任意信号站点;区域设备配置机根据报文更新速率与各台设备的处理速率进行匹配;区域设备配置机将具有相应报文更新速率的拓扑信息传输至对应的设备中。
Description
技术领域
本发明涉及网络安全领域,尤其涉及一种定位分散式网络安全攻击防御系统的工作方法。
背景技术
随着计算机科学技术的迅猛发展和深度应用,网络空间中的变革正在不断改变和影响着人们的生活方式。由于人们对互联网的依赖性越来越高,在互联网上涉及到许多关于企业、个人、甚至国家的保密信息,因此网络安全性问题一直是技术发展过程中的重要课题。目前在互联网存在的诸多网络攻击方法中,分布式拒绝服务攻击(Distributed Denialof Service Attack,简称DDoS)是最常见、破坏力很强的攻击方法。分布式拒绝服务攻击大多来自僵尸网络,彼此协同对一个或多个目标发动拒绝服务攻击。由于DDoS攻击方法简单,隐蔽性强,使得到目前为止,还没有任何手段可以完全防御这种攻击。现有技术中,对于DDoS的攻击,同一个IP地址下的主机往往只能采用单独对于DDoS攻击的防御,这样在分布较广的DDoS的攻击下无法及时的对攻击做出有效的防御和反击。
发明内容
发明目的:
针对由于DDoS攻击方法简单,隐蔽性强,使得到目前为止,还没有任何手段可以完全防御这种攻击;现有技术中,对于DDoS的攻击,同一个IP地址下的主机往往只能采用单独对于DDoS攻击的防御,这样在分布较广的DDoS的攻击下无法及时的对攻击做出有效的防御和反击的问题,本发明提供一种基于移位的计算机防盗信息系统的工作方法。
技术方案:
一种定位分散式网络安全攻击防御系统的工作方法,用于针对攻击区域以及受攻击区域进行定向防御,所述防御系统包括:包含有信息流收集模块、流量分析模块、定位模块以及配置模块的广域控制器、区域网络交换机、区域设备配置机、终端连接装置和GPS定位装置,所述工作方法包括以下步骤:
S01:所述广域控制器通过所述信息流收集模块获取全网拓扑信息;
S02:所述广域控制器通过所述流量分析模块计算所述拓扑信息的报文更新速率;
S03:所述广域控制器判断报文更新速率是否超出了自身的处理速率,若是,则进入步骤S04;
S04:所述广域控制器通过所述定位模块反向追踪报文更新速率超出自身处理速率的拓扑信息的信息源的定位;
S05:所述广域控制器根据所述信息源定位通过所述配置模块获取以定位为中心的一定范围内的网络配置;
S06:所述GPS定位装置基于各设备的定位认证各台设备;
S07:所述终端连接装置将各台设备暂时连接于当前攻击区域内的任意信号站点;
S08:所述区域设备配置机根据所述报文更新速率与各台设备的处理速率进行匹配;
S09:所述区域设备配置机将具有相应报文更新速率的拓扑信息传输至对应的设备中。
作为本发明的一种优选方式,所述终端连接装置通过若干种现有的非接触式连接方式对信号站点与设备进行单方向的连接。
作为本发明的一种优选方式,所述设备用于对拓扑信息进行最终疏导以及处理。
作为本发明的一种优选方式,当所述终端连接装置在所述信号站点与所述设备之间建立一对多的连接时,所述区域网络交换机通过各个一对多连接中采用的信息传输方式获取连接方式。
作为本发明的一种优选方式,所述S09后还包括以下步骤:
S10:所述区域网络交换机以所述终端连接装置对信号站点与各个设备的连接方式进行对应连接方式的获取;
S11:所述区域设备配置机根据所述区域网络交换机获取的对应连接方式对其余连接方式的拓扑信息进行转化;
S12:所述区域网络交换机进行拓扑信息的交换。
作为本发明的一种优选方式,所述区域设备配置机包括信号源转换模块,所述信号源转换模块用于在所述步骤S11中对所述拓扑信息进行转换。
作为本发明的一种优选方式,所述防御系统还包括设备刷新仪,所述设备刷新仪用于实时在区域内刷新存在的设备,并利用所述GPS定位装置对设备进行追踪。
作为本发明的一种优选方式,所述S12后还包括以下步骤:
S13:所述设备刷新仪刷新区域内存在的设备,并转至步骤S06。
本发明实现以下有益效果:
通过利用如移动手机等设备对目标攻击区域的主机所接收的攻击拓扑信息进行分散,并利用区域内往来人流量多的特点将少量拓扑信息传输至实时刷新出的处理速率与报文更新速率相匹配的新的设备,使得主机能够疏通攻击,有效的防止了分布较广的DDoS攻击。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并于说明书一起用于解释本公开的原理。
图1为本分发明工作步骤图;
图2为本发明框架图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。
实施例一:
参考图为图1、图2。一种定位分散式网络安全攻击防御系统的工作方法,用于针对攻击区域以及受攻击区域进行定向防御,所述防御系统包括:包含有信息流收集模块101、流量分析模块102、定位模块103以及配置模块104的广域控制器1、区域网络交换机2、区域设备配置机3、终端连接装置4和GPS定位装置5,所述工作方法包括以下步骤:
S01:所述广域控制器1通过所述信息流收集模块101获取全网拓扑信息;
S02:所述广域控制器1通过所述流量分析模块102计算所述拓扑信息的报文更新速率;
S03:所述广域控制器1判断报文更新速率是否超出了自身的处理速率,若是,则进入步骤S04;
S04:所述广域控制器1通过所述定位模块103反向追踪报文更新速率超出自身处理速率的拓扑信息的信息源的定位;
S05:所述广域控制器1根据所述信息源定位通过所述配置模块104获取以定位为中心的一定范围内的网络配置;
S06:所述GPS定位装置5基于各设备的定位认证各台设备;
S07:所述终端连接装置4将各台设备暂时连接于当前攻击区域内的任意信号站点;
S08:所述区域设备配置机3根据所述报文更新速率与各台设备的处理速率进行匹配;
S09:所述区域设备配置机3将具有相应报文更新速率的拓扑信息传输至对应的设备中。
作为本发明的一种优选方式,所述终端连接装置4通过若干种现有的非接触式连接方式对信号站点与设备进行单方向的连接。
作为本发明的一种优选方式,所述设备用于对拓扑信息进行最终疏导以及处理。
作为本发明的一种优选方式,当所述终端连接装置4在所述信号站点与所述设备之间建立一对多的连接时,所述区域网络交换机2通过各个一对多连接中采用的信息传输方式获取连接方式。
作为本发明的一种优选方式,所述S09后还包括以下步骤:
S10:所述区域网络交换机2以所述终端连接装置4对信号站点与各个设备的连接方式进行对应连接方式的获取;
S11:所述区域设备配置机3根据所述区域网络交换机2获取的对应连接方式对其余连接方式的拓扑信息进行转化;
S12:所述区域网络交换机2进行拓扑信息的交换。
作为本发明的一种优选方式,所述区域设备配置机3包括信号源转换模块301,所述信号源转换模块301用于在所述步骤S11中对所述拓扑信息进行转换。
作为本发明的一种优选方式,所述防御系统还包括设备刷新仪6,所述设备刷新仪6用于实时在区域内刷新存在的设备,并利用所述GPS定位装置5对设备进行追踪。
作为本发明的一种优选方式,所述S12后还包括以下步骤:
S13:所述设备刷新仪6刷新区域内存在的设备,并转至步骤S06。
在具体实施过程中,在黑客对区域网络进行攻击时,广域控制器1通过信息流收集模块101获取全网对区域内网络发送的任意拓扑信息,此时,黑客用于对区域网络进行DDoS攻击的拓扑信息也同时被获取,广域控制器1获取拓扑信息与拓扑信息传输至区域网络同时,广域控制器1获取拓扑信息后通过流量分析模块102计算出实时拓扑信息的报文更新速率,并根据报文更新速率对拓扑信息进行进一步的筛选,往往DDoS攻击所采用的报文更新速率极快,因此在广域控制器1设定对于报文更新速率的自身处理速率,比如设定为R,则广域控制器1实时判断各个拓扑信息的实时报文更新速率是否大于自身处理速率R,当该拓扑信息的实时报文更新速率一旦在某一时刻超过自身处理速率R,则广域控制器1判断此时所传输的拓扑信息为DDoS攻击信息。对于被确认为攻击信息的拓扑信息,定位模块103对拓扑信息的信息源头进行反追踪,通过拓扑信息的源信息IP地址对发动攻击的地址进行确认,并对发动攻击的地址进行定位。由于攻击地址可能有多个,因此将多个供给地址的定位联结,并对联结的位置进行一定程度上的扩张,从而形成最终的发动攻击的区域。进而,区域设备配置机3对进入该区域的设备或已经存在于该区域的设备进行搜索并确认,将确认的设备IP交于GPS定位装置5,GPS定位装置5基于设备IP进行定位,并认证被定位的设备,终端连接装置4根据GPS定位装置5对设备的定位将设备与任意最邻近的信号站点进行连接,连接方式有WiFi连入、蓝牙、RFID等等,在建立连接后,终端连接装置4获取各个设备对于报文更新的处理速率。进而,设备配置机3将信号源转换模块301将攻击信息通过上述连接方式进行转化,从而保证信号与对应的设备与信号站点的连接方式一致。值得一提的是,对于设备的处理速率,由于传输至设备中的攻击信息为整体攻击信息中的一小部分,因此将设备的处理速率放大,由此,区域设备配置机3根据报文更新速率与个台设备的处理速率将双方匹配,并根据连接方式选择对应的转化或未转化的信息源进行对应部分的拓扑信息,即攻击信息传输至设备中。
在传输过程中,由于有移动设备的存在,在移动设备不断的进出时,设备刷新仪6不断对当前存在在区域内的移动设备进行识别,在识别出新设备时,根据上述的工作步骤再次进行信息的疏导。
上述实施例只为说明本发明的技术构思及特点,其目的是让熟悉该技术领域的技术人员能够了解本发明的内容并据以实施,并不能以此来限制本发明的保护范围。凡根据本发明精神实质所作出的等同变换或修饰,都应涵盖在本发明的保护范围之内。
Claims (7)
1.一种定位分散式网络安全攻击防御系统的工作方法,用于针对攻击区域以及受攻击区域进行定向防御,所述防御系统包括:包含有信息流收集模块、流量分析模块、定位模块以及配置模块的广域控制器、区域网络交换机、区域设备配置机、终端连接装置和GPS定位装置,其特征在于:所述工作方法包括以下步骤:
S01:所述广域控制器通过所述信息流收集模块获取全网拓扑信息;
S02:所述广域控制器通过所述流量分析模块计算所述拓扑信息的报文更新速率;
S03:所述广域控制器判断报文更新速率是否超出了自身的处理速率,若是,则进入步骤S04;
S04:所述广域控制器通过所述定位模块反向追踪报文更新速率超出自身处理速率的拓扑信息的信息源的定位;
S05:所述广域控制器根据所述信息源定位通过所述配置模块获取以定位为中心的一定范围内的网络配置;
S06:区域设备配置机对进入该区域的设备或已经存在于该区域的设备进行搜索并确认,所述GPS定位装置基于各设备的定位认证各台设备;
S07:所述终端连接装置将各台设备暂时连接于当前攻击区域内的任意信号站点;
S08:所述区域设备配置机根据所述报文更新速率与各台设备的处理速率进行匹配;
S09:所述区域设备配置机将具有相应报文更新速率的拓扑信息传输至对应的设备中。
2.根据权利要求1所述的一种定位分散式网络安全攻击防御系统的工作方法,其特征在于:所述设备用于对拓扑信息进行最终疏导以及处理。
3.根据权利要求1所述的一种定位分散式网络安全攻击防御系统的工作方法,其特征在于:当所述终端连接装置在所述信号站点与所述设备之间建立一对多的连接时,所述区域网络交换机通过各个一对多连接中采用的信息传输方式获取连接方式。
4.根据权利要求3所述的一种定位分散式网络安全攻击防御系统的工作方法,其特征在于:所述S09后还包括以下步骤:
S10:所述区域网络交换机以所述终端连接装置对信号站点与各个设备的连接方式进行对应连接方式的获取;
S11:所述区域设备配置机根据所述区域网络交换机获取的对应连接方式对其余连接方式的拓扑信息进行转化;
S12:所述区域网络交换机进行拓扑信息的交换。
5.根据权利要求4所述的一种定位分散式网络安全攻击防御系统的工作方法,其特征在于:所述区域设备配置机包括信号源转换模块,所述信号源转换模块用于在所述步骤S11中对所述拓扑信息进行转换。
6.根据权利要求5所述的一种定位分散式网络安全攻击防御系统的工作方法,其特征在于:所述防御系统还包括设备刷新仪,所述设备刷新仪用于实时在区域内刷新存在的设备,并利用所述GPS定位装置对设备进行追踪。
7.根据权利要求6所述的一种定位分散式网络安全攻击防御系统的工作方法,其特征在于:所述S12后还包括以下步骤:
S13:所述设备刷新仪刷新区域内存在的设备,并转至步骤S06。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811253527.XA CN109088895B (zh) | 2018-10-25 | 2018-10-25 | 一种定位分散式网络安全攻击防御系统的工作方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811253527.XA CN109088895B (zh) | 2018-10-25 | 2018-10-25 | 一种定位分散式网络安全攻击防御系统的工作方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109088895A CN109088895A (zh) | 2018-12-25 |
| CN109088895B true CN109088895B (zh) | 2021-04-09 |
Family
ID=64844162
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811253527.XA Active CN109088895B (zh) | 2018-10-25 | 2018-10-25 | 一种定位分散式网络安全攻击防御系统的工作方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109088895B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113992384B (zh) * | 2021-10-22 | 2023-10-20 | 延安大学 | 一种基于分数阶傅里叶变换阶次复用的保密通信方法 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100525253C (zh) * | 2007-05-09 | 2009-08-05 | 东南大学 | 资源可控制的网络流监测方法 |
| CN101997830B (zh) * | 2009-08-17 | 2013-12-18 | 华为技术有限公司 | 一种分布式入侵检测方法、装置和系统 |
| US9172721B2 (en) * | 2013-07-16 | 2015-10-27 | Fortinet, Inc. | Scalable inline behavioral DDOS attack mitigation |
| CN108234473B (zh) * | 2017-12-28 | 2021-02-09 | 新华三技术有限公司 | 一种报文防攻击方法及装置 |
-
2018
- 2018-10-25 CN CN201811253527.XA patent/CN109088895B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN109088895A (zh) | 2018-12-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10117094B2 (en) | Systems and methods for identifying rogue base stations | |
| Rasmussen et al. | Implications of radio fingerprinting on the security of sensor networks | |
| Memon | A secure and efficient communication scheme with authenticated key establishment protocol for road networks | |
| CN104838681A (zh) | 利用核心网络支持的伪基站检测 | |
| CN105095451A (zh) | 警用无人机大数据采集系统及犯罪空间数据库构建方法 | |
| Sun et al. | Securefind: Secure and privacy-preserving object finding via mobile crowdsourcing | |
| CN107181717B (zh) | 一种风险终端检测方法及装置 | |
| CN103891259B (zh) | 用于在群呼叫中执行预认知合法截取的装置和方法 | |
| CN109088895B (zh) | 一种定位分散式网络安全攻击防御系统的工作方法 | |
| CN104618853A (zh) | 一种消息推送方法、装置及系统 | |
| CN110290156B (zh) | 一种基于大数据的针对分布式攻击的防御及网络安全装置 | |
| WO2022233443A1 (en) | Detection of false base stations | |
| Pait | Find My Suspect: Tracking People in the Age of Cell Phones | |
| Vaidya et al. | A review paper on spoofing detection methods in wireless LAN | |
| CN112087758A (zh) | 一种基于终端位置信息来识别伪基站的检测系统及方法 | |
| Lu | A position self-adaptive method to detect fake access points | |
| Kumar et al. | Novel Scheme for Mutual Authentication to Isolate Sinkhole Attack in Wireless Sensor Networks | |
| CN111355807A (zh) | 一种电子围栏系统 | |
| Yadav et al. | A review on black hole attack in MANETs | |
| Sharma et al. | Selfish nodes detection in delay tolerant networks | |
| US11900358B2 (en) | Smart card with integrated low power secondary communication network | |
| Saracino et al. | Practical location validation in participatory sensing through mobile wifi hotspots | |
| Jamil et al. | Intelligent transportation systems for IoT-based UAV networks | |
| Ahammad et al. | Neighbor position discovery and verification in MANETs | |
| CN102685737B (zh) | 合法监听的方法和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20210317 Address after: 518051 2101-2104, block C, building 1, Chuangzhi Yuncheng bid section 1, Liuxian Avenue, Xili community, Xili street, Nanshan District, Shenzhen City, Guangdong Province Applicant after: Shenzhen Lingxing Network Technology Co.,Ltd. Address before: 518, West building, No. 6, Beijing West Road, Taicang Economic Development Zone, Suzhou City, Jiangsu Province Applicant before: SUZHOU GEMU SOFTWARE TECHNOLOGY Co.,Ltd. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |