CN112153006A - 一种基于网络边界的DDoS攻击防护方法 - Google Patents
一种基于网络边界的DDoS攻击防护方法 Download PDFInfo
- Publication number
- CN112153006A CN112153006A CN202010874892.3A CN202010874892A CN112153006A CN 112153006 A CN112153006 A CN 112153006A CN 202010874892 A CN202010874892 A CN 202010874892A CN 112153006 A CN112153006 A CN 112153006A
- Authority
- CN
- China
- Prior art keywords
- network
- attack
- protection
- cleaning equipment
- flow cleaning
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于网络边界的DDoS攻击防护方法,涉及网络安全技术领域,具体包括如下内容:网络攻击从运营商网络进入企业网络,同时通过网络交换机转至流量清洗设备;流量清洗设备发现DDoS攻击,设备进入防护状态,针对本次DDoS攻击的防护策略生效,对网络攻击进行初步堵截;流量清洗设备将步骤S2中所述的防护策略实时同步给安全控制器,同时进行更新,直至攻击结束;该基于网络边界的DDoS攻击防护方法,针对DDoS攻击,采用集中控制和网络交换机方式的分级防护流程,另外,网络交换机的包处理能力远优于流量清洗设备,且市场上的单价比较低,通过流量清洗设备来发现攻击,通过网络交换机来进行部分防护,降低流量清洗设备的压力。
Description
技术领域
本发明涉及网络安全技术领域,具体为一种基于网络边界的DDoS攻击防护方法。
背景技术
DDOS(DistributionDenialofService,中文名为分布式拒绝服务攻击)是指处于不同位置的多个攻击者同时向一个或数个目标发动攻击,或者一个攻击者控制了位于不同位置的多台机器并利用这些机器对受害者同时实施攻击,DDOS是一种分布的、协同的大规模攻击方式,攻击时可以对源IP地址进行伪造,非常难以防范。
DoS的攻击方式有很多种,最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源,从而使服务器无法处理合法用户的指令。
DDoS攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式。单一的DoS攻击一般是采用一对一方式的,当被攻击目标CPU速度低、内存小或者网络带宽小等等各项性能指标不高,它的效果是明显的。随着计算机与网络技术的发展,计算机的处理能力迅速增长,内存大大增加,同时也出现了千兆级别的网络,这使得DoS攻击的困难程度加大了-目标对恶意攻击包的"消化能力"加强了不少,例如你的攻击软件每秒钟可以发送3,000个攻击包,但我的主机与网络带宽每秒钟可以处理10,000个攻击包,这样一来攻击就不会产生什么效果。
DDOS最早可追述到1996年最初,在中国2002年开发频繁出现,2003年已经初具规模。近几年由于宽带的普及,很多网站开始盈利,其中很多非法网站利润巨大,造成同行之间互相攻击,还有一部分人利用网络攻击来敲诈钱财。同时windows平台的漏洞大量的被公布,流氓软件,病毒,木马大量充斥着网络,有些技术的人可以很容易非法入侵控制大量的个人计算机来发起DDOS攻击从中谋利,攻击已经成为互联网上的一种最直接,而且收入非常高利益的驱使攻击已经演变成非常完善的产业链。通过在大流量网站的网页里注入病毒木马,木马可以通过windows平台的漏洞感染浏览网站的人,一旦中了木马,这台计算机就会被后台操作的人控制,这台计算机也就成了所谓的肉鸡,每天都有人专门收集肉鸡然后以几毛到几块的一只的价格出售,因为利益需要攻击的人就会购买,然后遥控这些肉鸡攻击服务器。
面对DDoS攻击,传统的方法一般是通过购买一定规格的专用流量清洗设备进行抵御,设备一般是分为10G、20G、80G等规格,以80G为例,当攻击规模在80G以下时,可以有效抵御攻击,当超过80G时,将无法进行有效防护,对于企业来说,只能另行采购新的、更大规格的防护设备,这样带来了大量固定成本支出;
综上,本领域的技术人员提出了一种基于网络边界的DDoS攻击防护方法。
发明内容
针对现有技术的不足,本发明提供了一种基于网络边界的DDoS攻击防护方法,整个防护方法是基于SDN(软件定义网络)的技术理念,基于企业的网络边界交换机设备、流量清洗等设备,引入安全控制器模块,由流量清洗设备负责攻击发现和部分防护,由安全控制器进行整体防护策略部署、由网络边界交换机设备进行部分防护,从而降低流量清洗设备的防护压力,避免新采购新的流量清洗设备。
为实现以上目的,本发明通过以下技术方案予以实现:一种基于网络边界的DDoS攻击防护方法,包括如下步骤:
S1、网络攻击从运营商网络进入企业网络,同时通过网络交换机转至流量清洗设备;
S2、流量清洗设备发现DDoS攻击,设备进入防护状态,针对本次DDoS攻击的防护策略生效,对网络攻击进行初步堵截;
S3、流量清洗设备将步骤S2中所述的防护策略实时同步给安全控制器,同时进行更新,直至攻击结束;
S4、网络安全控制器将步骤S3中所述的防护策略实时同步给网络交换机,同样进行一次列表更新;
S5、网络交换机将上述信息加入其访问控制更表中,对攻击流量进行堵截,同样进行一次列表更新,直至攻击结束;
S6、攻击结束后,流量清洗设备退出防护状态,进入正常状态,清空所有的防护策略,同时通知安全控制器清空列表,由安全控制器通知交换机清空列表。
优选的,所述步骤S2和步骤S3中,所述的防护策略均至少包括攻击源主机黑名单列表和基于五元组的限速列表。
优选的,所述步骤S3中,更新的频率为每10ms进行一次。
优选的,所述步骤S4中,更新的频率为每10ms进行一次。
优选的,所述步骤S5中,更新的频率为每10ms进行一次。
有益效果
本发明提供了一种基于网络边界的DDoS攻击防护方法。与现有技术相比具备以下有益效果:
1、该基于网络边界的DDoS攻击防护方法,针对DDoS攻击,采用集中控制和网络交换机方式的分级防护流程,另外,网络交换机的包处理能力远优于流量清洗设备,且市场上的单价比较低,通过流量清洗设备来发现攻击,通过网络交换机来进行部分防护,降低流量清洗设备的压力。
2、该基于网络边界的DDoS攻击防护方法,通过引入安全控制器,而不是由流量清洗设备直接同步给网络交换机,可以实现针对多厂商设备的的兼容,统一接口和参数,避免重得开发和投入。
附图说明
图1为本发明企业网络的示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明提供一种技术方案:一种基于网络边界的DDoS攻击防护方法,包括如下步骤:
S1、网络攻击从运营商网络进入企业网络,同时通过网络交换机转至流量清洗设备;
S2、流量清洗设备发现DDoS攻击,设备进入防护状态,针对本次DDoS攻击的防护策略生效,防护策略中包含攻击源主机黑名单列表、基于五元组的限速列表等,对网络攻击进行初步堵截;
S3、流量清洗设备将步骤2中提到的攻击源主机黑名单列表、基于五元组的限速列表实时同步给安全控制器,同时每10ms做一次更新,直至攻击结束;
S4、网络安全控制器将攻击源主机黑名单列表、基于五元组的限速列表实时同步给网络交换机,同样为10ms进行一次列表更新;
S5、网络交换机将上述信息加入其访问控制更表中,对攻击流量进行堵截,同样为10ms进行一次列表更新,直至攻击结束;
S6、攻击结束后,流量清洗设备退出防护状态,进入正常状态,清空所有的攻击源主机黑名单列表、基于五元组的限速列表,同时通知安全控制器清空列表,由安全控制器通知交换机清空列表。
如图1所示,网络交换机接入运营商网络,正常情况下,当产生外部攻击时,攻击流量先进入网络交换机,然后转发至流量清洗设备,该设备将攻击流量阻截,然后再将正常流量转发至被防护系统,从而实现了针对DDoS攻击的防护,本发明中,流量清洗设备的部分防护职能上移至网络交换机,通过安全控制器进行防护参数同步,从而大大降低流量清洗设备的压力,避免其被超过自身规格的DDoS攻击打爆。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。
尽管已经示出和描述了本发明的实施例,对于本领域的普通技术人员而言,可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型,本发明的范围由所附权利要求及其等同物限定。
Claims (5)
1.一种基于网络边界的DDoS攻击防护方法,其特征在于,包括如下步骤:
S1、网络攻击从运营商网络进入企业网络,同时通过网络交换机转至流量清洗设备;
S2、流量清洗设备发现DDoS攻击,设备进入防护状态,针对本次DDoS攻击的防护策略生效,对网络攻击进行初步堵截;
S3、流量清洗设备将步骤S2中所述的防护策略实时同步给安全控制器,同时进行更新,直至攻击结束;
S4、网络安全控制器将步骤S3中所述的防护策略实时同步给网络交换机,同样进行一次列表更新;
S5、网络交换机将上述信息加入其访问控制更表中,对攻击流量进行堵截,同样进行一次列表更新,直至攻击结束;
S6、攻击结束后,流量清洗设备退出防护状态,进入正常状态,清空所有的防护策略,同时通知安全控制器清空列表,由安全控制器通知交换机清空列表。
2.根据权利要求1所述的一种基于网络边界的DDoS攻击防护方法,其特征在于,所述步骤S2和步骤S3中,所述的防护策略均至少包括攻击源主机黑名单列表和基于五元组的限速列表。
3.根据权利要求1所述的一种基于网络边界的DDoS攻击防护方法,其特征在于,所述步骤S3中,更新的频率为每10ms进行一次。
4.根据权利要求1所述的一种基于网络边界的DDoS攻击防护方法,其特征在于,所述步骤S4中,更新的频率为每10ms进行一次。
5.根据权利要求1所述的一种基于网络边界的DDoS攻击防护方法,其特征在于,所述步骤S5中,更新的频率为每10ms进行一次。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010874892.3A CN112153006A (zh) | 2020-08-26 | 2020-08-26 | 一种基于网络边界的DDoS攻击防护方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010874892.3A CN112153006A (zh) | 2020-08-26 | 2020-08-26 | 一种基于网络边界的DDoS攻击防护方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112153006A true CN112153006A (zh) | 2020-12-29 |
Family
ID=73888610
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010874892.3A Pending CN112153006A (zh) | 2020-08-26 | 2020-08-26 | 一种基于网络边界的DDoS攻击防护方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112153006A (zh) |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103491095A (zh) * | 2013-09-25 | 2014-01-01 | 中国联合网络通信集团有限公司 | 流量清洗架构、装置及流量牵引、流量回注方法 |
| CN104767762A (zh) * | 2015-04-28 | 2015-07-08 | 亚信科技(南京)有限公司 | 一种安全防护系统 |
| CN106921666A (zh) * | 2017-03-06 | 2017-07-04 | 中山大学 | 一种基于协同理论的DDoS攻击防御系统及方法 |
-
2020
- 2020-08-26 CN CN202010874892.3A patent/CN112153006A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103491095A (zh) * | 2013-09-25 | 2014-01-01 | 中国联合网络通信集团有限公司 | 流量清洗架构、装置及流量牵引、流量回注方法 |
| CN104767762A (zh) * | 2015-04-28 | 2015-07-08 | 亚信科技(南京)有限公司 | 一种安全防护系统 |
| CN106921666A (zh) * | 2017-03-06 | 2017-07-04 | 中山大学 | 一种基于协同理论的DDoS攻击防御系统及方法 |
Non-Patent Citations (1)
| Title |
|---|
| 宋克等: "基于拟态防御的以太网交换机内生安全体系结构", 《通信学报》 * |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10623376B2 (en) | Qualifying client behavior to mitigate attacks on a host | |
| Kargl et al. | Protecting web servers from distributed denial of service attacks | |
| US11863570B2 (en) | Blockchain-based network security system and processing method | |
| CN111181926B (zh) | 一种基于拟态防御思想的安全设备及其运行方法 | |
| CN110213208B (zh) | 一种处理请求的方法和装置以及存储介质 | |
| Jain et al. | Defending against internet worms using honeyfarm | |
| CN105516189B (zh) | 基于大数据平台的网络安全实施系统及方法 | |
| CN104660610A (zh) | 一种基于云计算环境下的智能安全防护系统及其防护方法 | |
| Wueest | The continued rise of DDoS attacks | |
| Huang et al. | An authentication scheme to defend against UDP DrDoS attacks in 5G networks | |
| Abid Shahzad et al. | Protecting from zero-day malware attacks | |
| Mary et al. | An algorithm for moderating DoS attack in web based application | |
| Xu et al. | Attack identification for software-defined networking based on attack trees and extension innovation methods | |
| CN112153006A (zh) | 一种基于网络边界的DDoS攻击防护方法 | |
| JP2006501527A (ja) | ネットワーク・サービスプロバイダおよびオペレータのサーバシステムに対する攻撃の確認と防御のための方法、データキャリア、コンピュータシステム、およびコンピュータプログラム | |
| Khirwadkar | Defense against network attacks using game theory | |
| Panimalar et al. | A review on taxonomy of botnet detection | |
| CN117240567B (zh) | 一种针对跨站请求伪造攻击的防御方法 | |
| Xiao | Research on computer network information security based on big data technology | |
| Singh et al. | DDoSify: Server Workload Migration During DDOS Attack In NFV | |
| Park | A study about dynamic intelligent network security systems to decrease by malicious traffic | |
| CN105871877A (zh) | 一种基于网络安全的大数据实施系统及方法 | |
| Guo et al. | Research on preventing arp attack based on computer network security | |
| Gairola et al. | A review on dos and ddos attacks in cloud environment & security solutions | |
| Daimen et al. | Jamming Windows OS Through DDoS |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20201229 |