CN111181910B - 一种分布式拒绝服务攻击的防护方法和相关装置 - Google Patents
一种分布式拒绝服务攻击的防护方法和相关装置 Download PDFInfo
- Publication number
- CN111181910B CN111181910B CN201910743608.6A CN201910743608A CN111181910B CN 111181910 B CN111181910 B CN 111181910B CN 201910743608 A CN201910743608 A CN 201910743608A CN 111181910 B CN111181910 B CN 111181910B
- Authority
- CN
- China
- Prior art keywords
- protection
- custom expression
- expression
- custom
- network address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/2866—Architectures; Arrangements
- H04L67/30—Profiles
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种分布式拒绝服务攻击的防护方法和相关装置,用于面对复杂多变的攻击手法和多种多样的业务场景,通过自定义防护策略实现对DDoS攻击的防护。本申请方法包括:当接收到攻击告警时,若防护设备预设的配置文件中不存在自定义表达式,则读取数据库中的自定义表达式,自定义表达式动态配置有防护策略;向防护设备发送自定义表达式,使得防护设备将自定义表达式存入配置文件,自定义表达式用于指示防护设备调用与防护策略相匹配的功能模块,对流向目标网络地址的流量进行清洗,相匹配的功能模块包含于防护设备中按预置规则划分的至少两个功能模块。
Description
技术领域
本申请涉及网络安全技术领域,尤其涉及一种分布式拒绝服务攻击的防护方法和相关装置。
背景技术
分布式拒绝服务(Distributed Denial of Service,DDoS)攻击是指,黑客利用DDoS攻击器控制多台计算机同时攻击来达到“妨碍正常使用者使用服务”的目的。通常DDoS攻击可以分为网络层攻击和应用层攻击两大类,其中网络层攻击也叫流量型攻击。目前,DDoS攻击已经成为常见的高危害性安全威胁之一,而遭受DDoS攻击的主要原因有恶作剧、恶性竞争、敲诈勒索、政治因素和其他原因。DDoS攻击是影响企业网络正常运行最常见的方式,其带来的最大危害是因服务不可使用而导致业务丢失,而且危害带来的影响在DDoS攻击结束后的很长一段时间内都无法消失,使得企业和组织损失惨重。
抗拒绝服务系统(anti-DDoS Protection systems,ADS)是专门用于检测和防护DDoS攻击,以实现对攻击流量的清洗,保持服务器业务稳定的防护系统。
而现有的ADS系统的各个功能之间相对独立,在面对现网复杂多变的攻击手法和多种多样的业务场景时,不能起到有效的防护作用。
发明内容
本申请实施例提供了一种分布式拒绝服务攻击的防护方法和相关装置,用于面对复杂多变的攻击手法和多种多样的业务场景,通过自定义防护策略实现对DDoS攻击的防护。
有鉴于此,本申请实施例第一方面提供一种分布式拒绝服务攻击的防护方法,应用于控制设备,包括:
当接收到攻击告警时,若防护设备预设的配置文件中不存在自定义表达式,则读取数据库中的自定义表达式,所述自定义表达式动态配置有防护策略;
向所述防护设备发送所述自定义表达式,使得所述防护设备将所述自定义表达式存入所述配置文件,所述自定义表达式用于指示所述防护设备调用与所述防护策略相匹配的功能模块,对流向目标网络地址的流量进行清洗,所述相匹配的功能模块包含于所述防护设备中按预置规则划分的至少两个功能模块。
本申请实施例第二方面提供一种分布式拒绝服务攻击的防护方法,应用于防护设备,包括:
接收控制设备发送的自定义表达式;
将所述自定义表达式存入预设的配置文件,所述自定义表达式动态配置有防护策略,所述自定义表达式由所述控制设备在接收到攻击告警且所述配置文件中不存在自定义表达式时,从数据库中读取并发送的;
根据所述自定义表达式调用与所述防护策略相匹配的功能模块,对流向目标网络地址的流量进行清洗,所述相匹配的功能模块包含于所述防护设备中按预置规则划分的至少两个功能模块。
在本申请实施例第二方面的第一种实现方式中,所述的防护方法还包括:
接收所述控制设备发送的清除指令,所述清除指令是以清洗流向目标网络地址的流量完成时开始,经过预设一段时间后,由所述控制设备发送的;
根据所述清除指令清除所述配置文件中的自定义表达式。
本申请实施例第三方面提供一种分布式拒绝服务攻击的防护装置,应用于控制设备,包括:
读取单元,当接收到攻击告警时,若防护设备预设的配置文件中不存在自定义表达式,则读取数据库中的自定义表达式,所述自定义表达式动态配置有防护策略;
发送单元,向所述防护设备发送所述自定义表达式,使得所述防护设备将所述自定义表达式存入所述配置文件,所述自定义表达式用于指示所述防护设备调用与所述防护策略相匹配的功能模块,对流向目标网络地址的流量进行清洗,所述相匹配的功能模块包含于所述防护设备中按预置规则划分的至少两个功能模块。
在本申请实施例第三方面的第一种实现方式中,
所述读取单元,还用于当数据库中的所述自定义表达式被重新配置时,若所述配置文件中存在自定义表达式,则从所述数据库中读取重新配置后的自定义表达式;
所述发送单元,还用于向所述防护设备发送重新配置后的自定义表达式,使得所述防护设备将所述配置文件中的自定义表达式替换为重新配置后的自定义表达式,所述重新配置后的自定义表达式用于指示所述防护设备调用与所述重新配置后的自定义表达式中的所述防护策略相匹配的功能模块,对流向目标网络地址的流量进行清洗。
在本申请实施例第三方面的第二种实现方式中,
所述发送单元,还用于以清洗流向目标网络地址的流量完成时开始,经过预设一段时间后,向所述防护设备发送清除指令,所述清除指令用于指示所述防护设备清除所述配置文件中的自定义表达式。
本申请实施例第四方面提供一种分布式拒绝服务攻击的防护装置,应用于防护设备,包括:
接收单元,用于接收控制设备发送的自定义表达式;
处理单元,用于将所述自定义表达式存入预设的配置文件,所述自定义表达式动态配置有防护策略,所述自定义表达式由所述控制设备在接收到攻击告警且所述配置文件中不存在自定义表达式时,从数据库中读取并发送的;
所述处理单元,还用于根据所述自定义表达式调用与所述防护策略相匹配的功能模块,对流向目标网络地址的流量进行清洗,所述相匹配的功能模块包含于所述防护设备中按预置规则划分的至少两个功能模块。
在本申请实施例第四方面的第一种实现方式中,
所述接收单元,还用于接收所述控制设备发送的重新配置后的自定义表达式,所述重新配置后的自定义表达式是当数据库中的所述自定义表达式被重新配置且所述配置文件中存在自定义表达式时,由所述控制设备从数据库中读取并发送的;
所述处理单元,还用于将所述配置文件中的自定义表达式替换为重新配置后的自定义表达式;
所述处理单元,还用于根据所述重新配置后的自定义表达式调用与所述重新配置后的自定义表达式中的所述防护策略相匹配的功能模块,对流向目标网络地址的流量进行清洗。
在本申请实施例第四方面的第二种实现方式中,
所述接收单元,还用于接收所述控制设备发送的清除指令,所述清除指令是以清洗流向目标网络地址的流量完成时开始,经过预设一段时间后,由所述控制设备发送的;
所述处理单元,还用于根据所述清除指令清除所述配置文件中的自定义表达式。
在本申请实施例第四方面的第三种实现方式中,所述防护策略为第一防护策略;
所述处理单元用于:
调用海外网络地址模块,查询流向目标网络地址的流量中来自海外网络地址的流量;
调用海外限速模块将来自海外网络地址的流量的传输速率限制在预设第一范围内。
在本申请实施例第四方面的第四种实现方式中,所述防护策略为第二防护策略;
所述处理单元用于:
调用TCP报文包长控制模块,检测流向目标网络地址的流量中的TCP报文包长;
若源网络地址单位时间内,向所述目标网络地址发送TCP报文包长超出预设第二范围的TCP报文数量,大于预设个数,则调用黑名单模块,将所述源网络地址加入黑名单。
本申请实施例第五方面提供了一种服务器,包括:存储器、收发器、处理器以及总线系统;
其中,所述存储器用于存储程序;
所述处理器用于执行所述存储器中的程序,以实现本申请实施例第三方面或第四方面中任一项所述的装置的功能。
本申请实施例第六方面提供了一种计算机可读存储介质,包括指令,当其在计算机上运行时,使得计算机实现本申请实施例第三方面或第四方面中任一项所述的装置的功能。
本申请实施例第七方面提供了一种包括的计算机程序产品,当其在计算机上运行时使得计算机实现本申请实施例第三方面或第四方面中任一项所述的装置的功能。
本申请实施例第八方面提供了一种分布式拒绝服务攻击的防护系统,包括如本申请实施例第三方面所描述的分布式拒绝服务攻击的防护装置和如本申请实施例第四方面所描述的分布式拒绝服务攻击的防护装置。
从以上技术方案可以看出,本申请实施例具有以下优点:
随着攻击手法和业务场景的变化,通过自定义表达式在控制系统的数据库中动态配置防护策略,当接收到攻击告警时,若防护设备预设的配置文件中不存在自定义表达式,则读取数据库中的自定义表达式;然后向防护设备发送自定义表达式,使得防护设备将自定义表达式存入配置文件;而在防护设备中,按这预置规则划分了至少两个功能模块,使得防护设备中的功能变为可被灵活调用和组装的模块;这样,防护设备从配置文件中读取自定义表达式,便可以调用与防护策略相匹配的功能模块,对流向目标网络地址的流量进行清洗,因此,在复杂多变的攻击手法和多种多样的业务场景下,只需更改自定义表达式中的防护策略,便可以达到适配防护需求的目的,实现对DDoS攻击的有效防护;
另外,自定义表达式支持与、或、非等多种表达,可以更灵活地定义功能模块之间的耦合关系,从而实现各种防护需求,使得防护功能更多样,更强大。
附图说明
图1为本申请实施例中防护系统的一个架构示意图;
图2为本申请实施例中分布式拒绝服务攻击的防护方法一个实施例示意图;
图3为本申请实施例中分布式拒绝服务攻击的防护方法另一个实施例示意图;
图4为本申请实施例中分布式拒绝服务攻击的防护装置的一个实施例示意图;
图5为本申请实施例中分布式拒绝服务攻击的防护装置的另一个实施例示意图;
图6为本发明实施例提供的服务器一种结构示意图。
具体实施方式
本申请实施例提供了一种分布式拒绝服务攻击的防护方法和相关装置,用于面对复杂多变的攻击手法和多种多样的业务场景,通过自定义防护策略实现对DDoS攻击的防护。
本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例例如能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“对应于”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
应理解,本申请应用于网络安全场景,具体地,可以应用于DDoS攻击防护,当一终端设备遭受DDoS攻击时,需要对发送至该终端设备的流量进行清洗,以完成对DDoS攻击的防护。
为了便于理解,本申请提出了一种分布式拒绝服务攻击的防护方法,该方法应用于图1所示的防护系统,请参阅图1,申请实施例中防护系统的一个架构示意图,如图所示,该防护系统包括核心路由器、攻击检测设备、控制设备、防护设备和核心网关。
其中,核心路由器通过分光,会将流向目标网络地址的流量对应的镜像流量转发至攻击检测设备。攻击检测设备对镜像流量进行检测,当检测到DDoS攻击时,会发送攻击告警至控制设备。此时,控制设备会读取数据库中防护策略,并将防护策略下发至防护设备。防护设备会与核心路由器建立边界网关协议关系,并向核心路由器发送目标网络地址的牵引路由,将流向目标网络地址的流量牵引到防护设备,然后防护设备会根据控制设备下发的防护策略对流量进行清洗,清洗掉攻击流量,将正常流量发送回核心路由器。最终,核心路由器会将经过清洗后剩余的正常流量经核心网关发送至目标网络地址对饮的终端设备,以实现对DDoS攻击的防护。
具体地,请参阅图2,本申请实施例中分布式拒绝服务攻击的防护方法一个实施例示意图。如图2所示,本申请实施例提供一种分布式拒绝服务攻击的防护方法的一个实施例,包括:
101,控制设备读取数据库中的自定义表达式。
需要说明的是,当控制设备接收到攻击检测设备发送的攻击告警时,会判断防护设备的配置文件中是否存在自定义表达式,若防护设备预设的配置文件中不存在自定义表达式,则读取数据库中的自定义表达式。自定义表达式用于表征防护策略,而由于自定义表达式可以根据实际需要灵活配置,所以可以通过自定义表达式动态配置防护策略。
例如,假设在当前的业务场景下,防护策略是第一防护策略,而当前的业务场景发生变化时,第一防护策略可能已经不适用,通过重新调整自定义表达式可以配置得到适用于新业务场景的第二防护策略。
在本申请实施例中,自定义表达式支持与、或、非等多种表达。
例如,若防护策略为:将海外流量限速在5kpps;则自定义表达式可以为:dstip:1.1.1.1proto:TCP Inabroadip:1action:LIMITENABLE:1,tcplimit:5000,其中,dstip:1.1.1.1代表目的IP为1.1.1.1,proto:TCP代表协议为TCP,Inabroadip:1代表命中海外IP库,action表示命中上述条件的报文处理方法:LIMITENABLE:1表示开启限速,tcplimit表示限速tcp 5000pps。
再例如,若防护策略为:对于不在用户提供的玩家IP列表里面的访问源,由于信任度较低,所以将这些访问源对应的源IP和目的IP限速在1000pps,即1s内最多传输1000个报文,则自定义表达式可以为:dstip:1.1.1.1proto:TCP iniplistfile:test.dat,notaction:LIMITENABLE:1,tcpsrclimit:1000,其中,dstip:1.1.1.1代表目的IP为1.1.1.1,proto:TCP代表协议为TCP,iniplistfile:test.dat表示关联用户提供的玩家IP列表,not表示取反,所以TCP iniplistfile:test.dat,not表示匹配不在玩家IP列表中的访问源,action:LIMITENABLE:1,tcpsrclimit:1000表示将源IP和目的IP限速在1000pps。
102,控制设备向防护设备发送自定义表达式。
需要说明的是,本申请实施例对发送自定义表达式的方式不做具体限定,例如可以通过有线发送,也可以通过无线发送,可以直接发送,也可以间接发送。
103,防护设备接收控制设备发送的自定义表达式。
104,防护设备将自定义表达式存入预设的配置文件。
为了使得自定义表达式中的防护策略能够生效,在防护设备中,预设配置文件,用于存储接收到的自定义表达式。
105,防护设备根据自定义表达式调用与防护策略相匹配的功能模块,对流向目标网络地址的流量进行清洗,相匹配的功能模块包含于防护设备中按预置规则划分的至少两个功能模块。
需要说明的是,一个防护策略的执行可能需要调用防护设备多个方面的功能,为了配合防护策略实现功能的灵活调用,在防护设备中会按预置规则进行功能划分,得到至少两个相对独立的功能模块,各个功能模块可以随意调用。
其中,本申请实施例对功能模块的具体划分方法不做限定。例如,可以分为名单类、报文特征类和动作类三大类功能。其中,名单类功能为存储特定的源网络地址,报文特征类功能用于匹配TCP/IP协议栈从IP头到TCP/UDP头的所有字段,动作类功能用于指定报文的处理动作。
每一大类功能还可以继续划分为多个小类的功能。例如,名单类功能这一大类可以包括信誉库、海外网络地址库、黑名单、白名单和自定义名单五个小类,对应每一小类可以具体包括一个、两个或多个功能模块。
以自定义名单为例,自定义名单模块可以用于存在于特定目标网络地址关联的网络地址。
在本申请实施例中,可以通过灵活调整自定义表达式来动态配置防护策略,并且,在防护设备中,按这预置规则划分了至少两个功能模块,使得防护设备中的功能变为可被灵活调用和组装的模块;在复杂多变的攻击手法和多种多样的业务场景下,只需更改自定义表达式中的防护策略,防护设备便可以调用与防护策略相匹配的功能模块,对流向目标网络地址的流量进行清洗,达到适配防护需求的目的,并从而灵活、高效地对DDoS攻击进行防护,提高防护效率和防护效果。
另外,自定义表达式支持与、或、非等多种表达,可以更灵活地定义功能模块之间的耦合关系,从而实现各种防护需求,使得防护功能更多样,更强大。
请参阅图3,本申请实施例中分布式拒绝服务攻击的防护方法另一个实施例示意图。如图3所示,本申请实施例提供一种分布式拒绝服务攻击的防护方法的另一个实施例,包括:
201,控制设备从数据库中读取重新配置后的自定义表达式。
需要说明的是,由于自定义表达式自身的灵活性,使得工作人员可以根据攻击手法和业务场景灵活配置自定义表达式,以调整防护策略。例如,当黑客以第一种攻击手法对目标网络地址进行DDoS攻击时,防护设备根据第一防护策略对该次DDoS攻击进行了有效地防护,由于此次DDoS攻击失败,黑客可能以第二种攻击手法对目标网络地址进行第二次DDoS攻击,此时便需要重新配置自定义表达式,以调整防护策略以应对第二次DDoS攻击。
以上述场景为例,假设两次DDoS攻击的时间间隔较短,那么配置文件中的自定义表达式还存在,即防护设备还在以重新配置前的自定义表达式中防护策略进行防护,所以需要及时更新配置文件中的自定义表达式,使得防护设备可以根据重新配置后的自定义表达式中的防护策略进行防护。
假设两次DDoS攻击的时间间隔较长时,则配置文件中不存在自定义表达式,说明防护设备处于非防护状态,这种情况下,重新配置后的自定义表达式会在下次攻击告警到来时,被下发至防护系统的配置文件中。
因此,当数据库中的自定义表达式被重新配置后,若配置文件中存在自定义表达式,则控制设备会从数据库中读取重新配置后的自定义表达式。
202,控制设备向防护设备发送重新配置后的自定义表达式。
在读取重新配置后的自定义表达式后,控制设备会将重新配置后的自定义表达式发送至防护设备。
203,防护设备接收控制设备发送的重新配置后的自定义表达式。
204,防护设备将配置文件中的自定义表达式替换为重新配置后的自定义表达式。
205,防护设备根据重新配置后的自定义表达式调用与重新配置后的自定义表达式中的防护策略相匹配的功能模块,对流向目标网络地址的流量进行清洗。
在本申请实施例中,防护设备及时将自定义表达式更新为重新配置后的自定义表达式,可以完成防护策略的快速适配,以实现灵活高效地防护。
206,控制设备发送清除指令。
需要说明的是,以清洗流向目标网络地址的流量完成时开始,经过预设一段时间后,说明目标网络地址已经不存在DDoS攻击,因此可以将配置文件中的自定义表达式清除,具体地,控制设备向防护设备发送清除指令,清除指令用于指示防护设备清除配置文件中的自定义表达式。其中预设一段时间的长短可以根据实际需要进行调整。
207,防护设备接收控制设备发送的清除指令。
208,防护设备根据清除指令清除配置文件中的自定义表达式。
在本申请实施例中,防护设备根据清除指令清除配置文件中的自定义表达式,使得防护设备在不存在DDoS攻击的情况下,可以及时从防护状态变为非防护状态。
基于上述分析可知,在本申请实施例中,可以灵活配置自定义表达式,以灵活调整防护策略,防护设备根据防护策略可以调用不同的功能模块完成灵活高效地流量清洗。下面将以两种防护策略为例,对防护设备调用功能模块对流量进行清洗的过程进行详细说明。
在本申请实施例提供的分布式拒绝服务攻击的防护方法的另一个实施例中,防护策略为第一防护策略,根据自定义表达式调用与防护策略相匹配的功能模块,对流向目标网络地址的流量进行清洗包括:
先调用海外网络地址模块,查询流向目标网络地址的流量中来自海外网络地址的流量。
可以理解的是,海外网络地址模块存储有海外网络地址,通过海外网络地址模块可以查询流量的来源。
然后调用海外限速模块,将来自海外网络地址的流量的传输速率限制在预设第一范围内。
在识别出来自海外网络地址模块的流量时,可以调用海外限速模块,将来自海外网络地址模块的流量限制在预设第一范围内,其中,预设第一范围可以根据实际需要进行调整。
在本申请实施例提供的分布式拒绝服务攻击的防护方法的另一个实施例中,防护策略为第二防护策略;根据自定义表达式调用与防护策略相匹配的功能模块,对流向目标网络地址的流量进行清洗包括:
先调用TCP报文包长控制模块,检测流向目标网络地址的流量中的TCP报文包长。
可以理解的是,调用TCP报文包长控制模块,可以检测TCP报文包长,从而可以通过TCP报文包长对流量进行清洗。
若源网络地址单位时间内,向目标网络地址发送TCP报文包长超出预设第二范围的TCP报文数量,大于预设个数,则调用黑名单模块,将源网络地址加入黑名单。
需要说明的是,正常的源网络地址在单位时间内发送TCP报文包长超出预设第二范围的TCP报文数量是一定的,一旦该数量大于预设个数,则说明源网络地址异常,因此本申请实施例会调用黑名单模块,将源网络地址加入黑名单。
请参阅图4,本申请实施例中分布式拒绝服务攻击的防护装置的一个实施例示意图。
本申请实施例提供一种分布式拒绝服务攻击的防护装置的一个实施例,应用于控制设备,包括:
读取单元301,当接收到攻击告警时,若防护设备预设的配置文件中不存在自定义表达式,则读取数据库中的自定义表达式,自定义表达式动态配置有防护策略;
发送单元302,向防护设备发送自定义表达式,使得防护设备将自定义表达式存入配置文件,自定义表达式用于指示防护设备调用与防护策略相匹配的功能模块,对流向目标网络地址的流量进行清洗,相匹配的功能模块包含于防护设备中按预置规则划分的至少两个功能模块。
在本申请实施例提供的一种分布式拒绝服务攻击的防护装置的另一个实施例中,
读取单元301,还用于当数据库中的自定义表达式被重新配置时,若配置文件中存在自定义表达式,则从数据库中读取重新配置后的自定义表达式;
发送单元302,还用于向防护设备发送重新配置后的自定义表达式,使得防护设备将配置文件中的自定义表达式替换为重新配置后的自定义表达式,重新配置后的自定义表达式用于指示防护设备调用与重新配置后的自定义表达式中的防护策略相匹配的功能模块,对流向目标网络地址的流量进行清洗。
在本申请实施例提供的一种分布式拒绝服务攻击的防护装置的另一个实施例中,
发送单元302,还用于以清洗流向目标网络地址的流量完成时开始,经过预设一段时间后,向防护设备发送清除指令,清除指令用于指示防护设备清除配置文件中的自定义表达式。
请参阅图5,本申请实施例中分布式拒绝服务攻击的防护装置的另一个实施例示意图。
本申请实施例提供一种分布式拒绝服务攻击的防护装置的一个实施例,应用于防护设备,包括:
接收单元401,用于接收控制设备发送的自定义表达式;
处理单元402,用于将自定义表达式存入预设的配置文件,自定义表达式动态配置有防护策略,自定义表达式由控制设备在接收到攻击告警且配置文件中不存在自定义表达式时,从数据库中读取并发送的;
处理单元402,还用于根据自定义表达式调用与防护策略相匹配的功能模块,对流向目标网络地址的流量进行清洗,相匹配的功能模块包含于防护设备中按预置规则划分的至少两个功能模块。
在本申请实施例提供的一种分布式拒绝服务攻击的防护装置的另一个实施例中,
接收单元401,还用于接收控制设备发送的重新配置后的自定义表达式,重新配置后的自定义表达式是当数据库中的自定义表达式被重新配置且配置文件中存在自定义表达式时,由控制设备从数据库中读取并发送的;
处理单元402,还用于将配置文件中的自定义表达式替换为重新配置后的自定义表达式;
处理单元402,还用于根据重新配置后的自定义表达式调用与重新配置后的自定义表达式中的防护策略相匹配的功能模块,对流向目标网络地址的流量进行清洗。
在本申请实施例提供的一种分布式拒绝服务攻击的防护装置的另一个实施例中,
接收单元401,还用于接收控制设备发送的清除指令,清除指令是以清洗流向目标网络地址的流量完成时开始,经过预设一段时间后,由控制设备发送的;
处理单元402,还用于根据清除指令清除配置文件中的自定义表达式。
在本申请实施例提供的一种分布式拒绝服务攻击的防护装置的另一个实施例中,防护策略为第一防护策略;
处理单元402用于:
调用海外网络地址模块,查询流向目标网络地址的流量中来自海外网络地址的流量;
调用海外限速模块将来自海外网络地址的流量的传输速率限制在预设第一范围内。
在本申请实施例提供的一种分布式拒绝服务攻击的防护装置的另一个实施例中,防护策略为第二防护策略;
处理单元402用于:
调用TCP报文包长控制模块,检测流向目标网络地址的流量中的TCP报文包长;
若源网络地址单位时间内,向目标网络地址发送TCP报文包长超出预设第二范围的TCP报文数量,大于预设个数,则调用黑名单模块,将源网络地址加入黑名单。
本申请实施例还提供了一种服务器,请参阅图6,图6是本发明实施例提供的服务器一种结构示意图,该服务器500可因配置或性能不同而产生比较大的差异,可以包括一个或一个以上中央处理器(central processing units,CPU)522(例如,一个或一个以上处理器)和存储器532,一个或一个以上存储应用程序552或数据555的存储介质530(例如一个或一个以上海量存储设备)。其中,存储器532和存储介质530可以是短暂存储或持久存储。存储在存储介质530的程序可以包括一个或一个以上模块(图示没标出),每个模块可以包括对服务器中的一系列指令操作。更进一步地,中央处理器522可以设置为与存储介质530通信,在服务器500上执行存储介质530中的一系列指令操作。
服务器500还可以包括一个或一个以上电源526,一个或一个以上有线或无线网络接口550,一个或一个以上输入输出接口558,和/或,一个或一个以上操作系统551,例如Windows ServerTM,Mac OS XTM,UnixTM,LinuxTM,FreeBSDTM等等。
在本实施例中,CPU522可以执行前述任一方法实施例所述的步骤。
本申请实施例中还提供一种计算机可读存储介质,该计算机可读存储介质中存储有指令,当其在计算机上运行时,使得计算机执行如前述任一方法实施例中控制设备或防护设备的步骤。
本申请实施例中还提供一种包括的计算机程序产品,当其在计算机上运行时使得计算机执行如前述任一方法实施例中控制设备或防护设备的步骤。
本申请实施例还提供了一种分布式拒绝服务攻击的防护系统,包括如图4所示的分布式拒绝服务攻击的防护装置和如图5所示的分布式拒绝服务攻击的防护装置。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(read-only memory,ROM)、随机存取存储器(random access memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,以上实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围。
Claims (11)
1.一种分布式拒绝服务攻击的防护方法,其特征在于,应用于控制设备,包括:
当接收到攻击告警时,若防护设备预设的配置文件中不存在自定义表达式,则读取数据库中的自定义表达式,所述自定义表达式动态配置有适用于当前业务场景的防护策略;
向所述防护设备发送所述自定义表达式,使得所述防护设备将所述自定义表达式存入所述配置文件,所述自定义表达式用于指示所述防护设备调用与所述防护策略相匹配的功能模块,对流向目标网络地址的流量进行清洗,适配防护需求,所述相匹配的功能模块包含于所述防护设备中按预置规则划分的至少两个功能模块。
2.根据权利要求1所述的防护方法,其特征在于,还包括:
当数据库中的所述自定义表达式被重新配置时,若所述配置文件中存在自定义表达式,则从所述数据库中读取重新配置后的自定义表达式并向所述防护设备发送重新配置后的自定义表达式,使得所述防护设备将所述配置文件中的自定义表达式替换为重新配置后的自定义表达式,所述重新配置后的自定义表达式用于指示所述防护设备调用与所述重新配置后的自定义表达式中的所述防护策略相匹配的功能模块,对流向目标网络地址的流量进行清洗。
3.根据权利要求1或2所述的防护方法,其特征在于,还包括:
以清洗流向目标网络地址的流量完成时开始,经过预设一段时间后,向所述防护设备发送清除指令,所述清除指令用于指示所述防护设备清除所述配置文件中的自定义表达式。
4.一种分布式拒绝服务攻击的防护方法,其特征在于,应用于防护设备,包括:
接收控制设备发送的自定义表达式;
将所述自定义表达式存入预设的配置文件,所述自定义表达式动态配置有适用于当前业务场景的防护策略,所述自定义表达式由所述控制设备在接收到攻击告警且所述配置文件中不存在自定义表达式时,从数据库中读取并发送的;
根据所述自定义表达式调用与所述防护策略相匹配的功能模块,对流向目标网络地址的流量进行清洗,适配防护需求,所述相匹配的功能模块包含于所述防护设备中按预置规则划分的至少两个功能模块。
5.根据权利要求4所述的防护方法,其特征在于,还包括:
接收所述控制设备发送的重新配置后的自定义表达式,所述重新配置后的自定义表达式是当数据库中的所述自定义表达式被重新配置且所述配置文件中存在自定义表达式时,由所述控制设备从数据库中读取并发送的;
将所述配置文件中的自定义表达式替换为重新配置后的自定义表达式;
根据所述重新配置后的自定义表达式调用与所述重新配置后的自定义表达式中的所述防护策略相匹配的功能模块,对流向目标网络地址的流量进行清洗。
6.根据权利要求4或5所述的防护方法,其特征在于,所述防护策略为第一防护策略;
根据所述自定义表达式调用与所述防护策略相匹配的功能模块,对流向目标网络地址的流量进行清洗包括:
调用海外网络地址模块,查询流向目标网络地址的流量中来自海外网络地址的流量;
调用海外限速模块,将来自海外网络地址的流量的传输速率限制在预设第一范围内。
7.根据权利要求4或5所述的防护方法,其特征在于,所述防护策略为第二防护策略;
根据所述自定义表达式调用与所述防护策略相匹配的功能模块,对流向目标网络地址的流量进行清洗包括:
调用TCP报文包长控制模块,检测流向目标网络地址的流量中的TCP报文包长;
若源网络地址单位时间内,向所述目标网络地址发送TCP报文包长超出预设第二范围的TCP报文数量,大于预设个数,则调用黑名单模块,将所述源网络地址加入黑名单。
8.一种分布式拒绝服务攻击的防护装置,其特征在于,应用于控制设备,包括:
读取单元,当接收到攻击告警时,若防护设备预设的配置文件中不存在自定义表达式,则读取数据库中的自定义表达式,所述自定义表达式动态配置有适用于当前业务场景的防护策略;
发送单元,向所述防护设备发送所述自定义表达式,使得所述防护设备将所述自定义表达式存入所述配置文件,所述自定义表达式用于指示所述防护设备调用与所述防护策略相匹配的功能模块,对流向目标网络地址的流量进行清洗,适配防护需求,所述相匹配的功能模块包含于所述防护设备中按预置规则划分的至少两个功能模块。
9.一种分布式拒绝服务攻击的防护装置,其特征在于,应用于防护设备,包括:
接收单元,用于接收控制设备发送的自定义表达式;
处理单元,用于将所述自定义表达式存入预设的配置文件,所述自定义表达式动态配置有适用于当前业务场景的防护策略,所述自定义表达式由所述控制设备在接收到攻击告警且所述配置文件中不存在自定义表达式时,从数据库中读取并发送的;
所述处理单元,还用于根据所述自定义表达式调用与所述防护策略相匹配的功能模块,对流向目标网络地址的流量进行清洗,适配防护需求,所述相匹配的功能模块包含于所述防护设备中按预置规则划分的至少两个功能模块。
10.一种计算机可读存储介质,包括指令,当其在计算机上运行时,使得计算机执行如权利要求1至7中任一项所述的方法。
11.一种服务器,其特征在于,包括:存储器和处理器;
所述存储器用于存储计算机程序;
所述处理器用于执行所述存储器中存储的计算机程序;
所述计算机程序用于执行权利要求1-7任一项所述的分布式拒绝服务攻击的防护方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910743608.6A CN111181910B (zh) | 2019-08-12 | 2019-08-12 | 一种分布式拒绝服务攻击的防护方法和相关装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910743608.6A CN111181910B (zh) | 2019-08-12 | 2019-08-12 | 一种分布式拒绝服务攻击的防护方法和相关装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111181910A CN111181910A (zh) | 2020-05-19 |
| CN111181910B true CN111181910B (zh) | 2021-10-08 |
Family
ID=70648726
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910743608.6A Active CN111181910B (zh) | 2019-08-12 | 2019-08-12 | 一种分布式拒绝服务攻击的防护方法和相关装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111181910B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112153053A (zh) * | 2020-09-25 | 2020-12-29 | 杭州安恒信息技术股份有限公司 | DDoS防护配置检测方法、装置、设备及可读存储介质 |
| CN114124474B (zh) * | 2021-11-03 | 2023-06-23 | 中盈优创资讯科技有限公司 | 一种基于BGP flowspec的DDOS攻击源处置方法及装置 |
| CN114567605B (zh) * | 2022-02-28 | 2023-12-01 | 天翼安全科技有限公司 | 一种安全引擎的调度方法、装置及可读存储介质 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101299724A (zh) * | 2008-07-04 | 2008-11-05 | 杭州华三通信技术有限公司 | 流量清洗的方法、系统和设备 |
| CN101741847A (zh) * | 2009-12-22 | 2010-06-16 | 北京锐安科技有限公司 | 一种ddos攻击检测方法 |
| CN101938459A (zh) * | 2010-06-22 | 2011-01-05 | 北京豪讯美通科技有限公司 | 全程全网安全协同防御系统 |
| CN103368858A (zh) * | 2012-04-01 | 2013-10-23 | 百度在线网络技术(北京)有限公司 | 多策略组合加载的流量清洗方法及装置 |
| CN104539595A (zh) * | 2014-12-17 | 2015-04-22 | 南京晓庄学院 | 一种集威胁处理和路由优化于一体的sdn架构及工作方法 |
| CN106161333A (zh) * | 2015-03-24 | 2016-11-23 | 华为技术有限公司 | 基于sdn的ddos攻击防护方法、装置及系统 |
| CN106357685A (zh) * | 2016-10-28 | 2017-01-25 | 北京神州绿盟信息安全科技股份有限公司 | 一种防御分布式拒绝服务攻击的方法及装置 |
| WO2017154012A1 (en) * | 2016-03-10 | 2017-09-14 | Telefonaktibolaget Lm Ericsson (Publ) | Ddos defence in a packet-switched network |
| CN108848203A (zh) * | 2018-06-25 | 2018-11-20 | 哈尔滨工业大学 | 一种中国网络边界的识别方法及系统 |
-
2019
- 2019-08-12 CN CN201910743608.6A patent/CN111181910B/zh active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101299724A (zh) * | 2008-07-04 | 2008-11-05 | 杭州华三通信技术有限公司 | 流量清洗的方法、系统和设备 |
| CN101741847A (zh) * | 2009-12-22 | 2010-06-16 | 北京锐安科技有限公司 | 一种ddos攻击检测方法 |
| CN101938459A (zh) * | 2010-06-22 | 2011-01-05 | 北京豪讯美通科技有限公司 | 全程全网安全协同防御系统 |
| CN103368858A (zh) * | 2012-04-01 | 2013-10-23 | 百度在线网络技术(北京)有限公司 | 多策略组合加载的流量清洗方法及装置 |
| CN104539595A (zh) * | 2014-12-17 | 2015-04-22 | 南京晓庄学院 | 一种集威胁处理和路由优化于一体的sdn架构及工作方法 |
| CN106161333A (zh) * | 2015-03-24 | 2016-11-23 | 华为技术有限公司 | 基于sdn的ddos攻击防护方法、装置及系统 |
| WO2017154012A1 (en) * | 2016-03-10 | 2017-09-14 | Telefonaktibolaget Lm Ericsson (Publ) | Ddos defence in a packet-switched network |
| CN106357685A (zh) * | 2016-10-28 | 2017-01-25 | 北京神州绿盟信息安全科技股份有限公司 | 一种防御分布式拒绝服务攻击的方法及装置 |
| CN108848203A (zh) * | 2018-06-25 | 2018-11-20 | 哈尔滨工业大学 | 一种中国网络边界的识别方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111181910A (zh) | 2020-05-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9088607B2 (en) | Method, device, and system for network attack protection | |
| CN111181910B (zh) | 一种分布式拒绝服务攻击的防护方法和相关装置 | |
| EP3073700B1 (en) | Malicious attack detection method and apparatus | |
| AU2004282937B2 (en) | Policy-based network security management | |
| US11671402B2 (en) | Service resource scheduling method and apparatus | |
| JP5870009B2 (ja) | ネットワークシステム、ネットワーク中継方法及び装置 | |
| Qian et al. | Openflow flow table overflow attacks and countermeasures | |
| JP4768020B2 (ja) | IPネットワークにおいてターゲット被害者自己識別及び制御によってDoS攻撃を防御する方法 | |
| WO2016040936A1 (en) | Event driven route control | |
| US10313238B2 (en) | Communication system, communication method, and non-transitiory computer readable medium storing program | |
| WO2021135382A1 (zh) | 一种网络安全防护方法及防护设备 | |
| JP2015231131A (ja) | ネットワーク中継装置、同装置を用いたDDoS防御方法および負荷分散方法 | |
| KR101593897B1 (ko) | 방화벽, ids 또는 ips를 우회하는 네트워크 스캔 방법 | |
| RU2576488C1 (ru) | СПОСОБ ПОСТРОЕНИЯ СЕТЕЙ ПЕРЕДАЧИ ДАННЫХ С ПОВЫШЕННЫМ УРОВНЕМ ЗАЩИТЫ ОТ DDоS-АТАК | |
| US20140323095A1 (en) | Method and device for monitoring a mobile radio interface on mobile terminals | |
| CN113014530B (zh) | Arp欺骗攻击防范方法及系统 | |
| JP2007259223A (ja) | ネットワークにおける不正アクセスに対する防御システム、方法およびそのためのプログラム | |
| KR20030009887A (ko) | 서비스거부 공격 차단시스템 및 방법 | |
| US10142355B2 (en) | Protection of telecommunications networks | |
| Kang et al. | Defending against evolving ddos attacks: A case study using link flooding incidents | |
| KR20170109949A (ko) | 동적 네트워크 환경에서의 네트워크 보안 강화 방법 및 장치 | |
| Nelle et al. | Securing IPv6 neighbor discovery and SLAAC in access networks through SDN | |
| CN110995586A (zh) | 一种bgp报文的处理方法、装置、电子设备及存储介质 | |
| JP2010507871A (ja) | 1つまたは複数のパケット・ネットワーク内で望まれないトラフィックの告発をオーバーライドする方法および装置 | |
| Chen | Aegis: An active-network-powered defense mechanism against ddos attacks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |