CN113395288B - 基于sdwan主动防御ddos系统 - Google Patents

基于sdwan主动防御ddos系统 Download PDF

Info

Publication number
CN113395288B
CN113395288B CN202110704322.4A CN202110704322A CN113395288B CN 113395288 B CN113395288 B CN 113395288B CN 202110704322 A CN202110704322 A CN 202110704322A CN 113395288 B CN113395288 B CN 113395288B
Authority
CN
China
Prior art keywords
attack
defense
sdwan
module
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110704322.4A
Other languages
English (en)
Other versions
CN113395288A (zh
Inventor
叶德望
林勇
郑周行
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhejiang Dexun Network Security Technology Co ltd
Original Assignee
Zhejiang Dexun Network Security Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhejiang Dexun Network Security Technology Co ltd filed Critical Zhejiang Dexun Network Security Technology Co ltd
Priority to CN202110704322.4A priority Critical patent/CN113395288B/zh
Publication of CN113395288A publication Critical patent/CN113395288A/zh
Application granted granted Critical
Publication of CN113395288B publication Critical patent/CN113395288B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请公开了一种基于SDWAN主动防御DDOS系统,包括:云服务平台;SDWAN控制器;攻击监控模块,获取公网中的攻击数据;攻击数据分析模块,提取攻击数据中的攻击特征;DDOS攻击防御模块,通过多个SDWAN控制器交互攻击特征并匹配对应的防御策略;攻击应对防御模块,用于预制定防御策略;在攻击监控模块检测到用户被攻击时,将攻击数据发送至攻击数据分析模块进行攻击特征提取,通过多个SDWAN控制器的数据交互在云服务平台中根据攻击特征匹配对应的防御策略以对既往型攻击事件进行防御;同时,调取攻击应对防御模块中与攻击特征近似的虚拟特征对应的预制定防御策略进行主动防御。本申请的基于SDWAN主动防御DDOS系统,在DDOS攻击事件发生时具有较高的防御效率。

Description

基于SDWAN主动防御DDOS系统
技术领域
本申请涉及网络安全防御技术领域,具体是一种基于SDWAN主动防御DDOS系统。
背景技术
网络技术及互联网经济的发展,网络服务已经深入到社会生产、生活及国家安全等各个领域。因此,网络安全问题变得越来越重要。现有技术的SDN具有较强的感知管控能力、智能调度能力。但是,在当下大流量、大规模的DDOS攻击事件发生时,基于SDN进行网络服务防御系统,无法快速的响应以迅速制定适宜的防御策略,从而导致网络防御不及时、耗时较长的问题出现,因此,基于SDWAN的网络安保系统进入了业界的视野之中。
发明内容
本申请的目的在于提供一种基于SDWAN主动防御DDOS系统,在DDOS攻击事件发生时具有较高的防御效率。
为实现上述目的,本申请提供了一种基于SDWAN主动防御DDOS系统,包括:云服务平台;SDWAN控制器;攻击监控模块,获取公网中被攻击用户受到的攻击数据;攻击数据分析模块,提取攻击数据中的攻击特征;DDOS攻击防御模块,根据攻击特征通过多个所述SDWAN控制器交互攻击特征并匹配对应的防御策略;攻击应对防御模块,用于分解并重组攻击特征形成新的虚拟特征,采用虚拟特征模拟攻击事件,同时预制定防御策略;在所述攻击监控模块检测到用户被攻击时,将攻击数据发送至所述攻击数据分析模块进行攻击特征提取,通过多个所述SDWAN控制器的数据交互在云服务平台中根据攻击特征匹配对应的防御策略以对既往型攻击事件进行防御;同时,调取所述攻击应对防御模块中与攻击特征近似的虚拟特征对应的预制定防御策略进行主动防御。
作为优选,所述攻击应对防御模块包括用于对攻击特征进行单体分解后获取单体特征的特征分解单元、用于将单体特征进行重组后获取虚拟特征的特征重组单元、用于采用虚拟特征进行攻击事件模拟的模型虚拟单元、用于针对模拟的攻击事件制定防御策略的预制定防御单元。
作为优选,所述攻击应对防御模块还包括用于对同一攻击特征攻击频次进行统计以分析流行攻击机制的攻击分析单元,所述攻击分析单元获取的流行攻击机制为所述特征分解单元输送对应的攻击特征进行分解。
作为优选,所述DDOS攻击防御模块包括通过DDOS攻击数据交互协议与所述SDWAN控制器进行数据交互的事件溯源单元、根据溯源结果匹配对应的防御策略的策略匹配单元。
作为优选,所述攻击监控模块包括布置于子网网关的入侵检测器、布置于公网中的蜜罐群组。
作为优选,所述攻击特征包括数据包协议类型、数据包大小、被攻击次数、网络攻击时长、被攻击端口、被攻击子网数量、被攻击子网IP地址。
借由上述的一种基于SDWAN主动防御DDOS系统,在所述攻击监控模块检测到用户被攻击时,将攻击数据发送至所述攻击数据分析模块进行攻击特征提取,通过多个所述SDWAN控制器的数据交互在云服务平台中根据攻击特征匹配对应的防御策略以对既往型攻击事件进行防御。同时,调取所述攻击应对防御模块中与攻击特征近似的虚拟特征对应的预制定防御策略进行主动防御。通过在云服务平台中匹配既定的防御策略应对DDOS,并与制定防御策略进行主动防御,实现在DDOS攻击事件发生时,系统快速并准确地进行防御,具有较高的响应速度和防御效率。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅是本申请的一些实施例,对于本领域技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例中基于SDWAN主动防御DDOS系统的结构示意图;
图2为本申请实施例中DDOS攻击防御模块的结构框图;
图3为本申请实施例中攻击应对防御模块的结构框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例:DDOS的攻击有三种形式,具体为SYN/ACKFlood攻击、TCP全连接攻击、刷Script脚本攻击。
SYN/ACKFlood攻击主要是通过向受害主机发送大量伪造源IP和源端口的SYN或ACK包,导致主机的缓存资源被耗尽或忙于发送回应包而造成拒绝服务。大量的SYN/ACKFlood攻击会导致Ping失败、TCP/IP栈失效,并会出现系统凝固现象,即不响应键盘和鼠标,普通防火墙大多无法抵御此种攻击。
TCP全连接攻击是为了绕过常规防火墙的检查而设计的,一般情况下,常规防火墙大多具备过滤TearDrop、Land等DOS攻击的能力,一旦有大量的TCP连接,即便是正常的,也会导致网站访问非常缓慢甚至无法访问,TCP全连接攻击就是通过许多僵尸主机不断地与受害服务器建立大量的TCP连接,直到服务器的内存等资源被耗尽而被拖跨,从而造成拒绝服务,这种攻击的特点是可绕过一般防火墙的防护而达到攻击目的。
刷Script脚本攻击主要是针对存在ASP、JSP、PHP、CGI等脚本程序,并调用MSSQLServer、MySQLServer、Oracle等数据库的网站系统而设计的,特征是和服务器建立正常的TCP连接,并不断的向脚本程序提交查询、列表等大量耗费数据库资源的调用,可以绕过普通的防火墙防护,轻松找一些Proxy代理就可实施攻击。
为此,本实施例公开了参考图1所示的一种基于SDWAN主动防御DDOS系统,包括:云服务平台、SDWAN控制器、攻击监控模块、攻击数据分析模块、DDOS攻击防御模块、攻击应对防御模块。
攻击监控模块,获取公网中被攻击用户受到的攻击数据。在本实施例中,攻击监控模块包括布置于子网网关的入侵检测器、布置于公网中的蜜罐群组。入侵检测器对黑客攻击进行实时检测,蜜罐群组基于蜜罐系统在公网中的布置节点对黑客进行攻击诱骗,从而收集黑客的攻击特点、习惯等,以为云服务平台收集资料制定防御策略、攻击应对防御模块预制定防御策略提供足够多的数据基础,提高防御策略的适应性。
攻击数据分析模块,对OpenFlow交换机的所有输入数据包进行特征提取,提取攻击数据中的攻击特征。攻击特征包括数据包协议类型、数据包大小、被攻击次数、网络攻击时长、被攻击端口、被攻击子网数量、被攻击子网IP地址,基于上述攻击特征的内容,能够对黑客攻击的全部特征进行获取,从而便于后续分析攻击事件及制定防御策略,提高主动防御的准确性和效率。
DDOS攻击防御模块,根据攻击特征通过多个SDWAN控制器交互攻击特征并匹配对应的防御策略。
参考图2所示,在本实施例中,DDOS攻击防御模块包括通过DDOS攻击数据交互协议与SDWAN控制器进行数据交互的事件溯源单元、根据溯源结果匹配对应的防御策略的策略匹配单元。事件溯源单元的设置,能够对相同的攻击特征对应的DDOS攻击事件发生的特征参数进行获取,从而提高对攻击特征的分析效率,并为后续预制定防御策略提供较多的可参考数据。
攻击应对防御模块,用于分解并重组攻击特征形成新的虚拟特征,采用虚拟特征模拟攻击事件,同时预制定防御策略。
参考图3所示,在本实施例中,攻击应对防御模块包括用于对攻击数据的持续时间、字节数、发送和接收的片段、重传、往返时间等参数进行分解后获取单体特征的特征分解单元、用于将单体特征进行重组后获取虚拟特征的特征重组单元、用于采用虚拟特征进行攻击事件模拟的模型虚拟单元、用于针对模拟的攻击事件制定防御策略的预制定防御单元。特征重组单元重组的方式为现有技术中的排列组合,用于将不同的攻击数据的持续时间、字节数、发送和接收的片段、重传、往返时间等参数进行重组,从而获取新的虚拟特征,特征重组单元需要人为的定期进行更新,并人为定制重组协议,以确保能够根据时空特性准确地重组出准确地虚拟特征。同时,攻击应对防御模块通过SDWAN控制器向云服务平台中反哺预制定防御单元相关数据,从而扩充云服务平台中的防御策略,为被保护服务次的下一次DDOS攻击事件提供足够多的防御数据。
作为本实施例的一种优选地实施方式,攻击应对防御模块还包括用于对同一攻击特征攻击频次进行统计以分析流行攻击机制的攻击分析单元,攻击分析单元获取的流行攻击机制为特征分解单元输送对应的攻击特征进行分解,流行攻击机制可以理解为当下较为常用且有效的攻击流量。通过对流行攻击机制的获取,能够确定攻击特征的分布情况,从而提高攻击应对防御模块在预制定防御策略时的准确性,从而提高系统的响应速度和防御效率。
基于上述的基于SDWAN主动防御DDOS系统,在攻击监控模块检测到用户被攻击时,将攻击数据发送至攻击数据分析模块进行攻击特征提取,通过多个SDWAN控制器的数据交互在云服务平台中根据攻击特征匹配对应的防御策略以对既往型攻击事件进行防御;同时,调取攻击应对防御模块中与攻击特征近似的虚拟特征对应的预制定防御策略进行主动防御,云服务平台向被攻击服务器传输预制定防御策略和匹配到的防御策略对DDOS进行防御。在本实施例中,与攻击特征近似的虚拟特征指的是:攻击特征与虚拟特征在数据的持续时间、字节数、发送和接收的片段、重传、往返时间等参数之间具有90%以上的相似度。
最后应说明的是:以上仅为本发明的优选实施例而已,并不用于限制本发明,尽管参照前述实施例对本发明进行了详细的说明,对于本领域的技术人员来说,其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (4)

1.一种基于SDWAN主动防御DDOS系统,其特征在于,包括:云服务平台;SDWAN控制器;攻击监控模块,获取公网中被攻击用户受到的攻击数据;攻击数据分析模块,提取攻击数据中的攻击特征;DDOS攻击防御模块,根据攻击特征通过多个所述SDWAN控制器交互攻击特征并匹配对应的防御策略;攻击应对防御模块,用于分解并重组攻击特征形成新的虚拟特征,采用虚拟特征模拟攻击事件,同时预制定防御策略;在所述攻击监控模块检测到用户被攻击时,将攻击数据发送至所述攻击数据分析模块进行攻击特征提取,通过多个所述SDWAN控制器的数据交互在云服务平台中根据攻击特征匹配对应的防御策略以对既往型攻击事件进行防御;同时,调取所述攻击应对防御模块中与攻击特征近似的虚拟特征对应的预制定防御策略进行主动防御;
所述攻击应对防御模块包括用于对攻击特征进行单体分解后获取单体特征的特征分解单元、用于将单体特征进行重组后获取虚拟特征的特征重组单元、用于采用虚拟特征进行攻击事件模拟的模型虚拟单元、用于针对模拟的攻击事件制定防御策略的预制定防御单元;
所述攻击应对防御模块还包括用于对同一攻击特征攻击频次进行统计以分析流行攻击机制的攻击分析单元,所述攻击分析单元获取的流行攻击机制为所述特征分解单元输送对应的攻击特征进行分解。
2.根据权利要求1所述的基于SDWAN主动防御DDOS系统,其特征在于,所述DDOS攻击防御模块包括通过DDOS攻击数据交互协议与所述SDWAN控制器进行数据交互的事件溯源单元、根据溯源结果匹配对应的防御策略的策略匹配单元。
3.根据权利要求1所述的基于SDWAN主动防御DDOS系统,其特征在于,所述攻击监控模块包括布置于子网网关的入侵检测器、布置于公网中的蜜罐群组。
4.根据权利要求1所述的基于SDWAN主动防御DDOS系统,其特征在于,所述攻击特征包括数据包协议类型、数据包大小、被攻击次数、网络攻击时长、被攻击端口、被攻击子网数量、被攻击子网IP地址。
CN202110704322.4A 2021-06-24 2021-06-24 基于sdwan主动防御ddos系统 Active CN113395288B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110704322.4A CN113395288B (zh) 2021-06-24 2021-06-24 基于sdwan主动防御ddos系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110704322.4A CN113395288B (zh) 2021-06-24 2021-06-24 基于sdwan主动防御ddos系统

Publications (2)

Publication Number Publication Date
CN113395288A CN113395288A (zh) 2021-09-14
CN113395288B true CN113395288B (zh) 2022-06-24

Family

ID=77623804

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110704322.4A Active CN113395288B (zh) 2021-06-24 2021-06-24 基于sdwan主动防御ddos系统

Country Status (1)

Country Link
CN (1) CN113395288B (zh)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111049781A (zh) * 2018-10-12 2020-04-21 北京奇虎科技有限公司 一种反弹式网络攻击的检测方法、装置、设备及存储介质
CN111726774A (zh) * 2020-06-28 2020-09-29 北京百度网讯科技有限公司 防御攻击的方法、装置、设备及存储介质

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103561004B (zh) * 2013-10-22 2016-10-12 西安交通大学 基于蜜网的协同式主动防御系统
CN106357637A (zh) * 2016-09-13 2017-01-25 国家电网公司 一种针对智慧能源终端数据的主动防御系统
CN108092948B (zh) * 2016-11-23 2021-04-02 中国移动通信集团湖北有限公司 一种网络攻击模式的识别方法和装置
CN107959690B (zh) * 2018-01-16 2019-07-05 中国人民解放军国防科技大学 基于软件定义网络的DDoS攻击跨层协同防御方法
CN109871690A (zh) * 2018-05-04 2019-06-11 360企业安全技术(珠海)有限公司 设备权限的管理方法及装置、存储介质、电子装置
US11012472B2 (en) * 2018-12-05 2021-05-18 International Business Machines Corporation Security rule generation based on cognitive and industry analysis
CN111935143B (zh) * 2020-08-10 2021-11-26 武汉思普崚技术有限公司 一种攻击防御策略可视化的方法及系统
CN112134854A (zh) * 2020-09-02 2020-12-25 北京华赛在线科技有限公司 防御攻击的方法、装置、设备、存储介质及系统
CN112532596B (zh) * 2020-11-18 2023-04-18 北京泰豪智能工程有限公司 一种网络安全方案和策略生成方法及装置

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111049781A (zh) * 2018-10-12 2020-04-21 北京奇虎科技有限公司 一种反弹式网络攻击的检测方法、装置、设备及存储介质
CN111726774A (zh) * 2020-06-28 2020-09-29 北京百度网讯科技有限公司 防御攻击的方法、装置、设备及存储介质

Also Published As

Publication number Publication date
CN113395288A (zh) 2021-09-14

Similar Documents

Publication Publication Date Title
Prasad et al. An efficient detection of flooding attacks to Internet Threat Monitors (ITM) using entropy variations under low traffic
CN108063765B (zh) 适于解决网络安全的sdn系统
Wang et al. Change-point monitoring for the detection of DoS attacks
CN104836702B (zh) 一种大流量环境下主机网络异常行为检测及分类方法
Wang et al. Syn-dog: Sniffing syn flooding sources
Sanmorino et al. DDoS attack detection method and mitigation using pattern of the flow
Van Trung et al. A multi-criteria-based DDoS-attack prevention solution using software defined networking
KR20130014226A (ko) 공격 트래픽 형태별 특성에 따른 dns 플러딩 공격 탐지 방법
CN110266650B (zh) Conpot工控蜜罐的识别方法
Harshita Detection and prevention of ICMP flood DDOS attack
Liu Research on DoS attack and detection programming
Wang et al. Efficient and low‐cost defense against distributed denial‐of‐service attacks in SDN‐based networks
Mopari et al. Detection and defense against DDoS attack with IP spoofing
Rowe et al. Thwarting cyber-attack reconnaissance with inconsistency and deception
CN113395288B (zh) 基于sdwan主动防御ddos系统
Farhat Protecting TCP services from denial of service attacks
Prasad et al. IP traceback for flooding attacks on Internet threat monitors (ITM) using Honeypots
Durresi et al. Fast autonomous system traceback
TW201141155A (en) Alliance type distributed network intrusion prevention system and method thereof
Brahmi et al. A Snort-based mobile agent for a distributed intrusion detection system
CN113489694B (zh) 一种蜜场系统中抗大流量攻击的动态防御系统
CN109936557A (zh) 一种基于ForCES架构中利用sFlow防御DDoS攻击的方法及系统
Said et al. An improved strategy for detection and prevention ip spoofing attack
Han et al. Garlic: A distributed botnets suppression system
Wong et al. An efficient distributed algorithm to identify and traceback ddos traffic

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
PE01 Entry into force of the registration of the contract for pledge of patent right

Denomination of invention: Active Defense DDOS System Based on SDWAN

Effective date of registration: 20230902

Granted publication date: 20220624

Pledgee: Zhejiang Tailong Commercial Bank Co.,Ltd. Wenzhou Cangnan Qianku small and micro enterprise franchise sub branch

Pledgor: Zhejiang Dexun Network Security Technology Co.,Ltd.

Registration number: Y2023980054960

PE01 Entry into force of the registration of the contract for pledge of patent right