CN110191104A - 一种安全防护的方法及装置 - Google Patents
一种安全防护的方法及装置 Download PDFInfo
- Publication number
- CN110191104A CN110191104A CN201910388658.7A CN201910388658A CN110191104A CN 110191104 A CN110191104 A CN 110191104A CN 201910388658 A CN201910388658 A CN 201910388658A CN 110191104 A CN110191104 A CN 110191104A
- Authority
- CN
- China
- Prior art keywords
- attack
- edge
- quantitative value
- block chain
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/29—Flow control; Congestion control using a combination of thresholds
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供了一种安全防护的方法及装置,应用于信息安全技术领域,用以解决安全设备接收到大量的攻击报文导致的影响内网与外网之间的通信的问题。本申请的方案包括当检测到网络攻击时,判断接收到的攻击报文的第一数量值是否大于攻击阈值,若确定接收到的攻击报文的第一数量值大于攻击阈值,则通过已建立的区块链连接,向边缘网络中除安全设备之外的其他边缘设备转发第二数量值的攻击报文,第二数量值为第一数量值与攻击阈值的差值。
Description
技术领域
本申请涉及信息安全技术领域,特别是涉及一种安全防护的方法及装置。
背景技术
边缘网络可以理解为公共电信网络的边缘,其包括汇聚层网络和接入层网络的一部分或全部。通俗来讲,边缘网络为接入用户的最后一段网络。边缘网络中通常包括网关设备、路由器、交换机等设备。
随着人们对网络安全的重视,目前在网络部署时,可在边缘网络中部署安全设备,例如防火墙等具有安全防护功能的设备。安全设备可以防御网络攻击,对攻击报文进行处理。且安全设备具有报文转发功能,即实现内网与外网之间正常的数据报文转发。
然而,若安全设备遭到网络攻击时,例如分布式拒绝服务(Distributed Denialof Service,DDOS)攻击,将会使其接收到大量的攻击报文。安全设备处理这些攻击报文会消耗大部分资源,导致用于传输正常数据报文的资源不足,严重时还会导致安全设备宕机,影响内网与外网之间的通信。
发明内容
有鉴于此,本申请提供一种安全防护的方法及装置,以解决安全设备接收到大量的攻击报文导致的影响内网与外网之间的通信的问题。具体技术方案如下:
第一方面,本申请提供一种安全防护的方法,该方法应用于边缘网络中的安全设备,边缘网络包括的各设备之间已建立区块链连接,该方法包括:
当检测到网络攻击时,判断接收到的攻击报文的第一数量值是否大于攻击阈值;
若确定接收到的攻击报文的第一数量值大于攻击阈值,则通过已建立的区块链连接,向边缘网络中除安全设备之外的其他边缘设备转发第二数量值的攻击报文,第二数量值为第一数量值与攻击阈值的差值。
在一种可能的实现方式中,在通过已建立的区块链连接,向边缘网络中除安全设备之外的其他边缘设备转发第二数量值的攻击报文之前,该方法还包括:
若确定接收到的攻击报文的第一数量值大于攻击阈值,则通过已建立的区块链连接,向其他边缘设备发送防御请求消息,防御请求消息用于请求其他边缘设备协助防御攻击报文;
通过已建立的区块链连接,接收其他边缘设备发送的防御请求响应消息,防御请求响应消息中包括边缘设备的剩余资源量。
在一种可能的实现方式中,通过已建立的区块链连接,向边缘网络中除安全设备之外的其他边缘设备转发超出攻击阈值的攻击报文,包括:
按各边缘设备的剩余资源量占其他边缘设备的总剩余资源量的比例,通过已建立的区块链连接,向各边缘设备转发第二数量值的攻击报文。
在一种可能的实现方式中,通过已建立的区块链连接,向边缘网络中除安全设备之外的其他边缘设备转发超出攻击阈值的攻击报文,包括:
根据其他边缘设备的剩余资源量,通过已建立的区块链连接,向剩余资源量最大的第一边缘设备转发第二数量值的攻击报文,以使第一边缘设备处理接收到的第二数量值的攻击报文。
在一种可能的实现方式中,该方法还包括:
当确定待处理的攻击报文的第一数量值小于攻击阈值时,通过已建立的区块链连接,向其他边缘设备发送取消防御消息。
第二方面,本申请提供一种安全防护的装置,该装置应用于边缘网络中的安全设备,边缘网络包括的各设备之间已建立区块链连接,该装置包括:
判断模块,用于当检测到网络攻击时,判断接收到的攻击报文的第一数量值是否大于攻击阈值;
发送模块,用于若确定接收到的攻击报文的第一数量值大于攻击阈值,则通过已建立的区块链连接,向边缘网络中除安全设备之外的其他边缘设备转发第二数量值的攻击报文,第二数量值为第一数量值与攻击阈值的差值。
在一种可能的实现方式中,该装置还包括:接收模块;
发送模块,还用于若确定接收到的攻击报文的第一数量值大于攻击阈值,则通过已建立的区块链连接,向其他边缘设备发送防御请求消息,防御请求消息用于请求其他边缘设备协助防御攻击报文;
接收模块,用于通过已建立的区块链连接,接收其他边缘设备发送的防御请求响应消息,防御请求响应消息中包括边缘设备的剩余资源量。
在一种可能的实现方式中,发送模块,具体用于按各边缘设备的剩余资源量占其他边缘设备的总剩余资源量的比例,通过已建立的区块链连接,向各边缘设备转发第二数量值的攻击报文。
在一种可能的实现方式中,发送模块,具体用于根据其他边缘设备的剩余资源量,通过已建立的区块链连接,向剩余资源量最大的第一边缘设备转发第二数量值的攻击报文,以使第一边缘设备处理接收到的第二数量值的攻击报文。
在一种可能的实现方式中,发送模块,还用于当确定待处理的攻击报文的第一数量值小于攻击阈值时,通过已建立的区块链连接,向其他边缘设备发送取消防御消息。
第三方面,本申请提供一种安全设备,该安全设备包括:处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器被所述机器可执行指令促使:实现第一方面中所述的安全防护的方法。
第四方面,本申请还提供了一种计算机可读存储介质,该计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现第一方面中所述的安全防护的方法。
第五方面,本申请还提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述第一方面中所述的安全防护的方法。
因此,采用本申请提供的安全防护的方法,当安全设备检测到网络攻击时,可判断接收到的攻击报文的第一数量值是否大于攻击阈值,若确定接收到的攻击报文的第一数量值大于攻击阈值,则通过已建立的区块链连接,向边缘网络中除安全设备之外的其他边缘设备转发第二数量值的攻击报文,第二数量值为第一数量值与攻击阈值的差值。由于其他边缘设备可为安全设备分担攻击报文,所以可以避免安全设备处理攻击报文消耗过多资源,使得安全设备可以进行正常的数据报文传输,避免了安全设备宕机,影响内网与外网之间的通信。
当然,实施本申请的任一产品或方法并不一定需要同时达到以上所述的所有优点。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的一种边缘网络的架构图;
图2为本申请实施例提供的一种安全防护方法的流程图;
图3为本申请实施例提供的一种安全防护装置的结构示意图;
图4为本申请实施例提供的一种安全设备的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
为方便理解,首先对本申请实施例所应用的网络架构进行描述。本申请实施例可以应用在如图1所示的边缘网络中的安全设备,该边缘网络包括边缘设备,边缘设备可以为安全设备,例如防火墙、应用控制网关、态势感知设备和应用流量限速设备等。边缘设备还可以为路由器、交换机、网关设备等设备。
边缘网络中的各边缘设备通过区块链技术相连,即边缘网络包括的各边缘设备之间已建立区块链连接。图1中示例性地示出了边缘网络中的防火墙、应用控制网关、应用流量限速设备以及态势感知设备。
其中,区块链是分布式数据存储、点对点传输、共识机制、加密算法等计算机技术的新型应用模式,已建立区块链连接的各设备之间可实现数据交互通信、共享。具体各设备之间建立区块链连接为现有实现过程,在此不再复述。
结合图1所示的边缘网络,本申请实施例提供一种安全防护的方法,该方法应用于边缘网络中的安全设备,例如图1中的防火墙,且边缘网络包括的各设备之间已建立区块链连接,如图2所示,该方法包括:
S201、当检测到网络攻击时,判断接收到的攻击报文的第一数量值是否大于攻击阈值。
例如,网络攻击可以为DDOS攻击,当安全设备检测到DDOS攻击时,可以实时判断接收到的攻击报文第一数量值是否大于攻击阈值。
其中,攻击阈值可以预先配置,或者安全设备可根据当前的剩余资源量确定攻击阈值,即判断剩余的资源量可以用于处理攻击报文的数量值,将该数量值确定为攻击阈值。
S202、若确定接收到的攻击报文的第一数量值大于攻击阈值,则通过已建立的区块链连接,向边缘网络中除安全设备之外的其他边缘设备转发第二数量值的攻击报文。
其中,第二数量值为第一数量值与攻击阈值的差值。
可以理解的是,安全设备分别与边缘网络中,除安全设备之外的其他各个边缘设备之间存在已建立的区块链连接,若安全设备确定接收到的攻击报文的第一数量值大于攻击阈值,可通过上述已建立的区块链连接,向边缘网络中的其他边缘设备发送防御请求消息,防御请求消息用于请求其他边缘设备协助防御攻击报文。
例如,结合图1,若防火墙确定接收到的攻击报文数量大于攻击阈值,则可通过与应用控制网关之间的已建立的区块链连接,向应用控制网关发送防御请求消息、通过与应用流量限速设备之间的已建立的区块链连接,向应用流量限速设备发送防御请求消息以及通过与态势感知设备之间的已建立的区块链连接,向态势感知设备发送防御请求消息。
各边缘设备接收防御请求消息后,可确定自身的剩余资源量,并通过已建立的区块链连接,向安全设备发送防御请求响应消息,防御请求响应消息包括剩余资源量。可选地,防御请求响应消息还包括安全设备的地址信息,例如安全设备的互联网协议(InternetProtocol,IP)地址。
相应地,安全设备接收各边缘设备发送的防御请求响应消息。进而安全设备根据其他边缘设备的剩余资源量,向其他边缘设备转发第二数量值的攻击报文。其中,作为示例而非限定,剩余资源量由中央处理器(Central Processing Unit,CPU)占用率表示。
可选地,安全设备可判断边缘网络中除安全设备之外的其他边缘设备的剩余资源量之和是否大于等于处理第二数量值的攻击报文所需的资源量。
若其他边缘设备的剩余资源量之和大于等于处理第二数量值的攻击报文所需的资源量,则向其他边缘设备转发第二数量值的攻击报文;或者,
若其他边缘设备的剩余资源量之和小于处理第二数量值的攻击报文所需的资源量,则不向其他边缘设备转发第二数量值的攻击报文。
在一种可能的实现方式中,安全设备按各边缘设备的剩余资源量占其他边缘设备的总剩余资源量的比例,通过已建立的区块链连接,向各边缘设备转发第二数量值的攻击报文。
例如,若防火墙接收到200个攻击报文,攻击阈值为100,则确定需要向其他边缘设备转发100个攻击报文。若确定应用控制网关、应用流量限速设备、态势感知设备的剩余资源量之间的比值为1:4:5,则向应用控制网关转发10个攻击报文,向应用流量限速设备转发40个攻击报文,向态势感知设备转发50个报文。
在另一种可能的实现方式中,安全设备根据其他边缘设备的剩余资源量,通过已建立的区块链连接,向剩余资源量最大的第一边缘设备转发第二数量值的攻击报文。
第一边缘设备接收到第二数量值的攻击报文后,可判断第二数量值是否大于自身的攻击阈值,若大于,则向剩余资源量次大的第二边缘设备转发第三数量值的攻击阈值的攻击报文。第三数量值为第二数量值与第一边缘设备的攻击阈值的差值。
需要说明的是,由于本申请实施例中各边缘设备之间通过区块链技术连接,所以各边缘设备之间发送的消息可以被边缘网络中的各边缘设备共享。例如,若图1中的态势感知设备通过已建立的区块链连接向安全设备发送防御请求消息,防御请求消息包括态势感知设备的剩余资源量,则应用流量限速设备、应用控制网关也可收到态势感知设备发送的防御请求响应消息,所以边缘网络中的每个边缘设备可获取其他边缘设备的剩余资源量。
例如,若防火墙接收到200个攻击报文,攻击阈值为100,则确定需要向其他边缘设备转发100个攻击报文。若确定应用控制网关、应用流量限速设备、态势感知设备这三个设备中,态势感知设备的剩余资源量最大,则向态势感知设备转发100个攻击报文。
态势感知设备若确定自身可以处理100个攻击报文,则处理接收到的攻击报文;或者,若确定自身只能处理50个攻击报文,则向应用流量限速设备转发50个攻击报文。若应用流量限速设备只能处理30个攻击报文,则向应用控制网关转发20个攻击报文。
可以理解的是,当安全设备确定剩余待处理的攻击报文的第一数量值小于攻击阈值时,可向其他边缘设备发送取消防御消息。
因此,采用本申请提供的安全防护的方法,当安全设备检测到网络攻击时,可判断接收到的攻击报文的第一数量值是否大于攻击阈值,若确定接收到的攻击报文的第一数量值大于攻击阈值,则通过区块链技术,向边缘网络中除安全设备之外的其他边缘设备转发第二数量值的攻击报文,第二数量值为第一数量值与攻击阈值的差值。由于其他边缘设备可为安全设备分担攻击报文,所以可以避免安全设备处理攻击报文消耗过多资源,使得安全设备可以进行正常的数据报文传输,避免了安全设备宕机,影响内网与外网之间的通信。
对应于上述方法实施例,本申请实施例还一种安全防护的装置,该装置应用于边缘网络中的安全设备,边缘网络包括的各设备之间已建立区块链连接,如图3所示,该装置包括:判断模块301和发送模块302。
判断模块301,用于当检测到网络攻击时,判断接收到的攻击报文的第一数量值是否大于攻击阈值;
发送模块302,用于若确定接收到的攻击报文的第一数量值大于攻击阈值,则通过已建立的区块链连接,向边缘网络中除安全设备之外的其他边缘设备转发第二数量值的攻击报文,第二数量值为第一数量值与攻击阈值的差值。
在一种可能的实现方式中,该装置还包括:接收模块;
发送模块302,还用于若确定接收到的攻击报文的第一数量值大于攻击阈值,则通过已建立的区块链连接,向其他边缘设备发送防御请求消息,防御请求消息用于请求其他边缘设备协助防御攻击报文;
接收模块,用于通过已建立的区块链连接,接收其他边缘设备发送的防御请求响应消息,防御请求响应消息中包括边缘设备的剩余资源量。
在一种可能的实现方式中,发送模块302,具体用于按各边缘设备的剩余资源量占其他边缘设备的总剩余资源量的比例,通过已建立的区块链连接,向各边缘设备转发第二数量值的攻击报文。
在另一种可能的实现方式中,发送模块302,具体用于根据其他边缘设备的剩余资源量,通过已建立的区块链连接,向剩余资源量最大的第一边缘设备转发第二数量值的攻击报文,以使第一边缘设备处理接收到的第二数量值的攻击报文。
在一种可能的实现方式中,发送模块,还用于当确定待处理的攻击报文的第一数量值小于攻击阈值时,通过已建立的区块链连接,向其他边缘设备发送取消防御消息。
本申请实施例还提供了一种安全设备,如图4所示,包括处理器401、通信接口402、存储器403和通信总线404,其中,处理器401,通信接口402,存储器403通过通信总线404完成相互间的通信,
存储器403,用于存放计算机程序;
处理器401,用于执行存储器403上所存放的程序时,实现上述方法实施例中由安全设备执行的步骤。
上述安全设备提到的通信总线可以是外设部件互连标准(Peripheral ComponentInterconnect,PCI)总线或扩展工业标准结构(Extended Industry StandardArchitecture,EISA)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示,图中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
通信接口用于上述安全设备与其他设备之间的通信。
存储器可以包括随机存取存储器(Random Access Memory,RAM),也可以包括非易失性存储器(Non-Volatile Memory,NVM),例如至少一个磁盘存储器。可选的,存储器还可以是至少一个位于远离前述处理器的存储装置。
上述的处理器可以是通用处理器,包括中央处理器(Central Processing Unit,CPU)、网络处理器(Network Processor,NP)等;还可以是数字信号处理器(Digital SignalProcessing,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
在本申请提供的又一实施例中,还提供了一种计算机可读存储介质,该计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现上述任一安全防护的方法的步骤。
在本申请提供的又一实施例中,还提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述实施例中任一安全防护的方法。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘Solid State Disk(SSD))等。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上所述仅为本申请的较佳实施例而已,并非用于限定本申请的保护范围。凡在本申请的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本申请的保护范围内。
Claims (10)
1.一种安全防护的方法,其特征在于,所述方法应用于边缘网络中的安全设备,所述边缘网络包括的各设备之间已建立区块链连接,所述方法包括:
当检测到网络攻击时,判断接收到的攻击报文的第一数量值是否大于攻击阈值;
若确定接收到的攻击报文的第一数量值大于所述攻击阈值,则通过已建立的区块链连接,向所述边缘网络中除所述安全设备之外的其他边缘设备转发第二数量值的攻击报文,所述第二数量值为所述第一数量值与所述攻击阈值的差值。
2.根据权利要求1所述的方法,其特征在于,所述通过已建立的区块链连接,向所述边缘网络中除所述安全设备之外的其他边缘设备转发第二数量值的攻击报文之前,所述方法还包括:
若确定接收到的攻击报文的第一数量值大于所述攻击阈值,则通过已建立的区块链连接,向所述其他边缘设备发送防御请求消息,所述防御请求消息用于请求所述其他边缘设备协助防御攻击报文;
通过已建立的区块链连接,接收所述其他边缘设备发送的防御请求响应消息,所述防御请求响应消息中包括边缘设备的剩余资源量。
3.根据权利要求2所述的方法,其特征在于,所述通过已建立的区块链连接,向所述边缘网络中除所述安全设备之外的其他边缘设备转发第二数量值的攻击报文,包括:
按各边缘设备的剩余资源量占所述其他边缘设备的总剩余资源量的比例,通过已建立的区块链连接,向各边缘设备转发所述第二数量值的攻击报文。
4.根据权利要求2所述的方法,其特征在于,所述通过已建立的区块链连接,向所述边缘网络中除所述安全设备之外的其他边缘设备转发超出所述攻击阈值的攻击报文,包括:
根据所述其他边缘设备的剩余资源量,通过已建立的区块链连接,向剩余资源量最大的第一边缘设备转发所述第二数量值的攻击报文,以使所述第一边缘设备处理接收到的所述第二数量值的攻击报文。
5.根据权利要求1-4任一项所述的方法,其特征在于,所述方法还包括:
当确定待处理的攻击报文的第一数量值小于所述攻击阈值时,通过已建立的区块链连接,向所述其他边缘设备发送取消防御消息。
6.一种安全防护的装置,其特征在于,所述装置应用于边缘网络中的安全设备,所述边缘网络包括的各设备之间已建立区块链连接,所述装置包括:
判断模块,用于当检测到网络攻击时,判断接收到的攻击报文的第一数量值是否大于攻击阈值;
发送模块,用于若确定接收到的攻击报文的第一数量值大于所述攻击阈值,则通过已建立的区块链连接,向所述边缘网络中除所述安全设备之外的的其他边缘设备转发第二数量值的攻击报文,所述第二数量值为所述第一数量值与所述攻击阈值的差值。
7.根据权利要求6所述的装置,其特征在于,所述装置还包括:接收模块;
所述发送模块,还用于若确定接收到的攻击报文的第一数量值大于所述攻击阈值,则通过已建立的区块链连接,向所述其他边缘设备发送防御请求消息,所述防御请求消息用于请求所述其他边缘设备协助防御攻击报文;
所述接收模块,用于通过已建立的区块链连接,接收所述其他边缘设备发送的防御请求响应消息,所述防御请求响应消息中包括边缘设备的剩余资源量。
8.根据权利要求7所述的装置,其特征在于,
所述发送模块,具体用于按各边缘设备的剩余资源量占所述其他边缘设备的总剩余资源量的比例,通过已建立的区块链连接,向各边缘设备转发所述第二数量值的攻击报文。
9.根据权利要求7所述的装置,其特征在于,
所述发送模块,具体用于根据所述其他边缘设备的剩余资源量,通过已建立的区块链连接,向剩余资源量最大的第一边缘设备转发所述第二数量值的攻击报文,以使所述第一边缘设备处理接收到的所述第二数量值的攻击报文。
10.根据权利要求6-9任一项所述的装置,其特征在于,
所述发送模块,还用于当确定待处理的攻击报文的第一数量值小于所述攻击阈值时,通过已建立的区块链连接,向所述其他边缘设备发送取消防御消息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910388658.7A CN110191104A (zh) | 2019-05-10 | 2019-05-10 | 一种安全防护的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910388658.7A CN110191104A (zh) | 2019-05-10 | 2019-05-10 | 一种安全防护的方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110191104A true CN110191104A (zh) | 2019-08-30 |
Family
ID=67716006
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910388658.7A Pending CN110191104A (zh) | 2019-05-10 | 2019-05-10 | 一种安全防护的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110191104A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110912912A (zh) * | 2019-11-29 | 2020-03-24 | 杭州迪普科技股份有限公司 | 一种切换ip信誉检测模式的方法及装置 |
| CN112468508A (zh) * | 2020-12-07 | 2021-03-09 | 中国科学院上海高等研究院 | 多重主动安全隔离方法、系统以及终端 |
| CN113630422A (zh) * | 2021-08-27 | 2021-11-09 | 北京航空航天大学杭州创新研究院 | 一种基于边缘节点的网络安全数据处理方法和系统 |
| CN113783857A (zh) * | 2021-08-31 | 2021-12-10 | 新华三信息安全技术有限公司 | 一种防攻击方法、装置、设备及机器可读存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101483515A (zh) * | 2009-02-26 | 2009-07-15 | 杭州华三通信技术有限公司 | Dhcp攻击防护方法和客户端设备 |
| US20160028762A1 (en) * | 2014-07-23 | 2016-01-28 | Cisco Technology, Inc. | Distributed supervised architecture for traffic segregation under attack |
| CN106301992A (zh) * | 2015-06-12 | 2017-01-04 | 阿里巴巴集团控股有限公司 | 一种攻击报文检测方法及设备 |
| CN106656975A (zh) * | 2016-10-18 | 2017-05-10 | 新华三技术有限公司 | 一种攻击防御方法及装置 |
| CN107172085A (zh) * | 2017-06-30 | 2017-09-15 | 江苏华信区块链产业研究院有限公司 | 基于区块链智能合约的主动防御方法及节点 |
| CN108600206A (zh) * | 2018-04-12 | 2018-09-28 | 国家计算机网络与信息安全管理中心 | 一种基于网络处理器实现抗dns攻击的系统及方法 |
-
2019
- 2019-05-10 CN CN201910388658.7A patent/CN110191104A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101483515A (zh) * | 2009-02-26 | 2009-07-15 | 杭州华三通信技术有限公司 | Dhcp攻击防护方法和客户端设备 |
| US20160028762A1 (en) * | 2014-07-23 | 2016-01-28 | Cisco Technology, Inc. | Distributed supervised architecture for traffic segregation under attack |
| CN106301992A (zh) * | 2015-06-12 | 2017-01-04 | 阿里巴巴集团控股有限公司 | 一种攻击报文检测方法及设备 |
| CN106656975A (zh) * | 2016-10-18 | 2017-05-10 | 新华三技术有限公司 | 一种攻击防御方法及装置 |
| CN107172085A (zh) * | 2017-06-30 | 2017-09-15 | 江苏华信区块链产业研究院有限公司 | 基于区块链智能合约的主动防御方法及节点 |
| CN108600206A (zh) * | 2018-04-12 | 2018-09-28 | 国家计算机网络与信息安全管理中心 | 一种基于网络处理器实现抗dns攻击的系统及方法 |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110912912A (zh) * | 2019-11-29 | 2020-03-24 | 杭州迪普科技股份有限公司 | 一种切换ip信誉检测模式的方法及装置 |
| CN112468508A (zh) * | 2020-12-07 | 2021-03-09 | 中国科学院上海高等研究院 | 多重主动安全隔离方法、系统以及终端 |
| CN112468508B (zh) * | 2020-12-07 | 2022-11-29 | 中国科学院上海高等研究院 | 多重主动安全隔离方法、系统以及终端 |
| CN113630422A (zh) * | 2021-08-27 | 2021-11-09 | 北京航空航天大学杭州创新研究院 | 一种基于边缘节点的网络安全数据处理方法和系统 |
| CN113783857A (zh) * | 2021-08-31 | 2021-12-10 | 新华三信息安全技术有限公司 | 一种防攻击方法、装置、设备及机器可读存储介质 |
| CN113783857B (zh) * | 2021-08-31 | 2023-11-07 | 新华三信息安全技术有限公司 | 一种防攻击方法、装置、设备及机器可读存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110191104A (zh) | 一种安全防护的方法及装置 | |
| US10630645B1 (en) | Private network request forwarding | |
| Walfish et al. | DDoS defense by offense | |
| US10567427B2 (en) | Unobtrusive and dynamic DDoS mitigation | |
| US9497211B2 (en) | Systems, methods, and devices for defending a network | |
| Wang et al. | Mitigating bandwidth-exhaustion attacks using congestion puzzles | |
| US8667585B2 (en) | Transmission control protocol flooding attack prevention method and apparatus | |
| CN107623661A (zh) | 阻断访问请求的系统、方法及装置,服务器 | |
| Mirkovic et al. | Towards user-centric metrics for denial-of-service measurement | |
| JP2019532600A (ja) | 輻輳イベント中にメッセージを廃棄するための方法、システム、およびコンピュータ読取可能媒体 | |
| RU2480937C2 (ru) | Система и способ уменьшения ложных срабатываний при определении сетевой атаки | |
| CN105812318B (zh) | 用于在网络中防止攻击的方法、控制器和系统 | |
| Khanna et al. | Adaptive selective verification: An efficient adaptive countermeasure to thwart dos attacks | |
| CN103931162B (zh) | 处理业务的方法和网络设备 | |
| US20120324573A1 (en) | Method for determining whether or not specific network session is under denial-of-service attack and method for the same | |
| CN110213214B (zh) | 一种攻击防护方法、系统、装置和存储介质 | |
| CN107666473A (zh) | 一种攻击检测的方法及控制器 | |
| CN109587167A (zh) | 一种报文处理的方法和装置 | |
| Ahmed et al. | Filtration model for the detection of malicious traffic in large-scale networks | |
| CN107547559A (zh) | 一种报文处理方法及装置 | |
| CN108234516B (zh) | 一种网络泛洪攻击的检测方法及装置 | |
| TW201616386A (zh) | 雲端虛擬網路安全之防護方法與系統 | |
| CN107135185A (zh) | 一种攻击处理方法、设备及系统 | |
| CN107835145A (zh) | 一种防重放攻击的方法及分布式系统 | |
| JP4602158B2 (ja) | サーバ装置保護システム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190830 |