CN114024739B - 抗DDoS攻击协同防御方法、平台、设备及介质 - Google Patents
抗DDoS攻击协同防御方法、平台、设备及介质 Download PDFInfo
- Publication number
- CN114024739B CN114024739B CN202111292767.2A CN202111292767A CN114024739B CN 114024739 B CN114024739 B CN 114024739B CN 202111292767 A CN202111292767 A CN 202111292767A CN 114024739 B CN114024739 B CN 114024739B
- Authority
- CN
- China
- Prior art keywords
- ddos
- ddos attack
- instruction
- resistant
- client
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000007123 defense Effects 0.000 title claims abstract description 103
- 238000000034 method Methods 0.000 title claims abstract description 44
- 238000004140 cleaning Methods 0.000 claims description 38
- 238000012545 processing Methods 0.000 claims description 34
- 230000015654 memory Effects 0.000 claims description 19
- 238000001514 detection method Methods 0.000 claims description 15
- 238000004590 computer program Methods 0.000 claims description 9
- 238000005111 flow chemistry technique Methods 0.000 claims description 3
- 230000000694 effects Effects 0.000 abstract description 7
- 238000010586 diagram Methods 0.000 description 10
- 238000011160 research Methods 0.000 description 10
- 230000006870 function Effects 0.000 description 6
- 230000002195 synergetic effect Effects 0.000 description 5
- 230000006399 behavior Effects 0.000 description 2
- 238000001914 filtration Methods 0.000 description 2
- 230000002265 prevention Effects 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 230000000903 blocking effect Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000012216 screening Methods 0.000 description 1
- 239000000126 substance Substances 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/128—Anti-malware arrangements, e.g. protection against SMS fraud or mobile malware
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供一种抗DDoS攻击协同防御方法、平台、设备及介质,所述方法包括:获取DDoS攻击信息,根据所述DDoS攻击信息生成抗DDoS攻击的处置指令,向所连接的全部运营商抗DDoS平台发送所述处置指令;接收各个运营商抗DDoS平台执行所述处置指令后发送的处置结果,判断所述处置结果是否全部成功处置了所述DDoS攻击信息对应的DDoS攻击,如果是,发送结束处置指令给全部运营商抗DDoS平台。本发明通过抗DDoS攻击协同防御平台对接各运营商的抗DDoS平台,调度各运营商的抗DDoS平台能力,解决了现有技术中各运营商抗DDoS平台相对独立,不能实现跨运营商的抗DDoS协同防御的问题,实现对DDoS攻击的联防联控,防御效果更好、更及时、更高效。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及抗DDoS攻击协同防御方法、相应的抗DDoS攻击协同防御平台、运营商抗DDoS平台、计算机设备及计算机可读存储介质。
背景技术
分布式拒绝服务(DDoS,Distributed Denial of Service)攻击是通过大规模互联网流量淹没目标服务器或其周边基础设施,用超出目标处理能力的海量数据包消耗可用系统资源、宽带资源等,造成程序缓冲区溢出错误,导致合法的用户请求无法通过,以破坏目标服务器、服务或网络正常流量的恶意行为。DDoS攻击利用多台受损计算机系统作为攻击流量来源以达到攻击效果。
目前,电信运营商在自身运营的互联网中都有部署抗DDoS
平台,为客户提供DDoS清洗能力。但是,各电信运营商抗DDoS平台相对独立,不具备跨运营商的抗DDoS协同防御能力。
发明内容
本发明所要解决的技术问题是针对现有技术的上述不足,提供一种抗DDoS攻击协同防御方法、平台、设备及介质,以解决现有技术中各运营商抗DDoS平台相对独立,不具备跨运营商抗DDoS协同防御能力的问题。
第一方面,本发明提供一种抗分布式拒绝服务DDoS攻击协同防御方法,应用于抗DDoS攻击协同防御平台,所述方法包括:
获取DDoS攻击信息,根据所述DDoS攻击信息生成抗DDoS攻击的处置指令,向所连接的全部运营商抗DDoS平台发送所述处置指令;
接收各个运营商抗DDoS平台执行所述处置指令后发送的处置结果,判断所述处置结果是否全部成功处置了所述DDoS攻击信息对应的DDoS攻击,如果是,发送结束处置指令给全部运营商抗DDoS平台。
优选地,所述获取DDoS攻击信息,具体包括:
根据一个或多个运营商抗DDoS平台发送的DDoS攻击告警信息获取所述DDoS攻击信息;或者,
根据威胁情报共享平台共享的威胁情报获取所述DDoS攻击信息。
优选地,所述根据所述DDoS攻击信息生成抗DDoS攻击的处置指令,具体包括:
对所述DDoS攻击信息进行研判,若根据研判结果识别出存在DDoS攻击,则确定所述DDoS攻击所针对的客户;
判断所述客户是否授权执行抗DDoS攻击操作,如果是,生成抗DDoS攻击的处置指令。
优选地,所述生成抗DDoS攻击的处置指令,具体包括:
确定所述客户接入的运营商网络;
对所述客户接入的运营商网络生成用于对所述客户的流量进行清洗的处置指令以及用于将清洗后的流量回注给所述客户对应客户端的处置指令;
对所述客户没有接入的运营商网络生成用于对所述客户的流量进行清洗的处置指令以及用于将清洗后的流量通过所述客户接入的运营商网络回注给所述客户对应客户端的处置指令;
所述向所连接的全部运营商抗DDoS平台发送所述处置指令,具体包括:
将对所述客户接入的运营商网络生成的处置指令发送给所述客户接入的运营商网络的运营商抗DDoS平台;
将对所述客户没有接入的运营商网络生成的处置指令发送给所述客户没有接入的运营商网络的运营商抗DDoS平台。
优选地,所述判断所述处置结果是否全部成功处置了所述DDoS攻击信息对应的DDoS攻击之后,所述方法还包括:
如果是,将所述DDoS攻击信息作为情报信息保存;
如果否,对所述DDoS攻击信息以及所述处置指令进行分析,并重新生成新的处置指令。
第二方面,本发明提供一种抗分布式拒绝服务DDoS攻击协同防御方法,应用于运营商抗DDoS平台,包括如下步骤:
接收抗DDoS攻击协同防御平台发送的抗DDoS攻击的处置指令,根据接收到的所述处置指令对所述处置指令指定的流量进行处置;
向所述抗DDoS攻击协同防御平台发送处置结果,接收所述抗DDoS攻击协同防御平台发送的结束处置指令,根据所述结束处置指令结束对所述指定的流量的处置;
其中,所述结束处置指令是所述抗DDoS攻击协同防御平台接收到全部运营商抗DDoS平台发送的所述处置结果后,在判断出所述处置结果全部成功处置了所述DDoS攻击信息对应的DDoS攻击时发出的。
优选地,所述运营商抗DDoS平台包括:运营商集团级抗DDoS平台、运营商集团级DDoS检测和清洗设备、运营商省分级抗DDoS平台以及运营商省分级DDoS检测和清洗设备;
所述接收抗DDoS攻击协同防御平台发送的抗DDoS攻击的处置指令,具体包括:
运营商集团级抗DDoS平台接收抗DDoS攻击协同防御平台发送的抗DDoS攻击的处置指令;
所述根据接收到的所述处置指令对所述处置指令指定的流量进行处置,具体包括:
运营商集团级抗DDoS平台根据接收到的所述处置指令控制运营商集团级DDoS检测和清洗设备对所述处置指令指定的流量进行检测和清洗;
运营商集团级抗DDoS平台将所述处置指令发送给运营商省分级抗DDoS平台,以使运营商省分级抗DDoS平台根据接收到的所述处置指令控制运营商省分级DDoS检测和清洗设备对所述处置指令指定的流量进行检测和清洗。
优选地,所述接收抗DDoS攻击协同防御平台发送的抗DDoS攻击的处置指令之前,所述方法还包括:
所述运营商抗DDoS平台将自身网络中遭受到的DDoS攻击告警信息发送给所述抗DDoS攻击协同防御平台。
优选地,所述处置指令包括:对所述DDoS攻击所针对的客户所接入的运营商网络生成的处置指令和对所述DDoS攻击所针对的客户没有接入的运营商网络生成的处置指令;
所述根据接收到的所述处置指令对所述处置指令指定的流量进行处置,具体包括:
对所述处置指令指定的流量进行检测和清洗;
如果所述处置指令为对所述DDoS攻击所针对的客户所接入的运营商网络生成的处置指令,则将清洗后的流量回注给所述客户对应客户端;
如果所述处置指令为对所述DDoS攻击所针对的客户没有接入的运营商网络生成的处置指令,则将清洗后的流量通过所述客户接入的运营商网络回注给所述客户对应客户端。
第三方面,本发明提供一种抗分布式拒绝服务DDoS攻击协同防御平台,包括:
处置指令模块,用于获取DDoS攻击信息,根据所述DDoS攻击信息生成抗DDoS攻击的处置指令,向所连接的全部运营商抗DDoS平台发送所述处置指令;
结束处置指令模块,与所述处置指令模块连接,用于接收各个运营商抗DDoS平台执行所述处置指令后发送的处置结果,判断所述处置结果是否全部成功处置了所述DDoS攻击信息对应的DDoS攻击,如果是,发送结束处置指令给全部运营商抗DDoS平台。
第四方面,本发明提供一种运营商抗分布式拒绝服务DDoS攻击平台,包括:
流量处理模块,用于接收抗DDoS攻击协同防御平台发送的抗DDoS攻击的处置指令,根据接收到的所述处置指令对所述处置指令指定的流量进行处置;
结束处置模块,与所述流量处理模块连接,用于向所述抗DDoS攻击协同防御平台发送处置结果,接收所述抗DDoS攻击协同防御平台发送的结束处置指令,根据所述结束处置指令结束对所述指定的流量的处置;
其中,所述结束处置指令是所述抗DDoS攻击协同防御平台接收到全部运营商抗DDoS平台发送的所述处置结果后,在判断出所述处置结果全部成功处置了所述DDoS攻击信息对应的DDoS攻击时发出的。
第五方面,本发明提供一种计算机设备,包括存储器和处理器,所述存储器中存储有计算机程序,当所述处理器运行所述存储器存储的计算机程序时,所述处理器执行如上所述的抗分布式拒绝服务DDoS攻击协同防御方法。
第六方面,本发明提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时,实现如上所述的抗分布式拒绝服务DDoS攻击协同防御方法。
本发明提供一种抗DDoS攻击协同防御方法、平台、设备及介质,通过抗DDoS攻击协同防御平台对接各运营商的抗DDoS平台,调度各运营商的抗DDoS平台功能,在获取到DDoS攻击信息的情况下,同时通知全部运营商抗DDoS平台处置相应的DDoS攻击,且全部成功处置后结束处置,充分利用各运营商的抗DDoS平台能力,实现对DDoS攻击跨运营商网络的联防联控,抗DDoS攻击的效果更好、更及时、更高效。
附图说明
图1是本发明实施例1的一种抗DDoS攻击协同防御方法的流程图;
图2是本发明实施例的一种抗DDoS攻击协同防御方法的逻辑架构图;
图3是本发明实施例的一种抗DDoS攻击协同防御方法的一种应用场景图;
图4是本发明实施例的一种抗DDoS攻击协同防御方法的另一种应用场景图;
图5是本发明实施例2的一种抗DDoS攻击协同防御方法的流程图;
图6是本发明实施例3的一种抗DDoS攻击协同防御平台的结构示意图;
图7是本发明实施例4的一种运营商抗DDoS平台的结构示意图;
图8是本发明实施例5的一种计算机设备的架构图。
具体实施方式
为使本领域技术人员更好地理解本发明的技术方案,下面将结合附图对本发明实施方式作进一步地详细描述。
可以理解的是,此处描述的具体实施例和附图仅仅用于解释本发明,而非对本发明的限定。
可以理解的是,在不冲突的情况下,本发明中的各实施例及实施例中的各特征可相互组合。
可以理解的是,为便于描述,本发明的附图中仅示出了与本发明相关的部分,而与本发明无关的部分未在附图中示出。
可以理解的是,本发明的实施例中所涉及的每个单元、模块可仅对应一个实体结构,也可由多个实体结构组成,或者,多个单元、模块也可集成为一个实体结构。
可以理解的是,在不冲突的情况下,本发明的流程图和框图中所标注的功能、步骤可按照不同于附图中所标注的顺序发生。
可以理解的是,本发明的流程图和框图中,示出了按照本发明各实施例的系统、装置、设备、方法的可能实现的体系架构、功能和操作。其中,流程图或框图中的每个方框可代表一个单元、模块、程序段、代码,其包含用于实现规定的功能的可执行指令。而且,框图和流程图中的每个方框或方框的组合,可用实现规定的功能的基于硬件的系统实现,也可用硬件与计算机指令的组合来实现。
可以理解的是,本发明实施例中所涉及的单元、模块可通过软件的方式实现,也可通过硬件的方式来实现,例如单元、模块可位于处理器中。
实施例1:
如图1所示,本发明实施例1提供一种抗DDoS攻击协同防御方法,应用于抗DDoS攻击协同防御平台,所述方法包括:
S11、获取DDoS攻击信息,根据所述DDoS攻击信息生成抗DDoS攻击的处置指令,向所连接的全部运营商抗DDoS平台发送所述处置指令。
如图2所示,本实施例是通过建设抗DDoS攻击协同防御平台,将抗DDoS攻击协同防御平台对接各运营商的抗DDoS平台,组织、协调、联动各运营商的抗DDoS平台进行抗DDoS防护。目前,各运营商为了具备抗DDoS攻击的安全防御能力,都建设了抗DDoS平台,而且服务于运营商自身网络,但是各运营商的抗DDoS平台都是独立的没有联动,在多个运营商网络中发起的DDoS攻击,只要有一个运营商的抗DDoS平台没有识别到攻击,就可能通过这个运营商的网络遭受到攻击。在本实施例中,通过抗DDoS攻击协同防御平台,只要发现DDoS攻击,就由抗DDoS攻击协同防御平台向所连接的全部运营商抗DDoS平台发送抗DDoS攻击的处置指令,起到联防联控的作用,从而提高抗DDoS攻击的安全防护能力。
在本实施例中,所述获取DDoS攻击信息,具体包括:根据一个或多个运营商抗DDoS平台发送的DDoS攻击告警信息获取所述DDoS攻击信息;或者,根据威胁情报共享平台共享的威胁情报获取所述DDoS攻击信息。
具体而言,若任意一个或多个运营商抗DDoS平台发现了DDoS攻击,则发送告警信息至抗DDoS攻击协同防御平台,从而抗DDoS攻击协同防御平台获取到DDoS攻击信息,或者通过威胁情报共享平台收集各大安全厂家和互联网公司的威胁情报,如果其中存在DDoS攻击,抗DDoS攻击协同防御平台从中获取DDoS攻击信息。
在本实施例中,所述根据所述DDoS攻击信息生成抗DDoS攻击的处置指令,具体包括:对所述DDoS攻击信息进行研判,若根据研判结果识别出存在DDoS攻击,则确定所述DDoS攻击所针对的客户;判断所述客户是否授权执行抗DDoS攻击操作,如果是,生成抗DDoS攻击的处置指令。
具体而言,抗DDoS攻击协同防御平台根据获取的DDoS攻击信息进行研判,研判可以是分为机器研判和人工研判的方案,机器研判会进行一些粗筛选,然后再到安全团队进行人工研判,研判获得研判结果后,平台根据研判结果识别出是否确实存在DDoS攻击,如果是,则进一步确定DDoS攻击所针对的客户,客户即运营商网络的用户,一般运营商是不会对客户的流量进行处理的,因为这是客户的隐私,如果需要对客户的流量进行过滤或者处置,需要征求客户的同意,即需要经过客户授权,客户在购买抗DDoS攻击服务时会选择是否授权对可疑流量进行清洗和过滤等操作(抗DDoS攻击的具体操作),抗DDoS攻击协同防御平台根据客户购买服务的记录就可以判断客户是否授权执行抗DDoS攻击操作,如果是,生成对客户的流量进行清洗和过滤等操作的抗DDoS攻击的处置指令。
在本实施例中,所述生成抗DDoS攻击的处置指令,具体包括:确定所述客户接入的运营商网络;对所述客户接入的运营商网络生成用于对所述客户的流量进行清洗的处置指令以及用于将清洗后的流量回注给所述客户对应客户端的处置指令;对所述客户没有接入的运营商网络生成用于对所述客户的流量进行清洗的处置指令以及用于将清洗后的流量通过所述客户接入的运营商网络回注给所述客户对应客户端的处置指令;所述向所连接的全部运营商抗DDoS平台发送所述处置指令,具体包括:将对所述客户接入的运营商网络生成的处置指令发送给所述客户接入的运营商网络的运营商抗DDoS平台;将对所述客户没有接入的运营商网络生成的处置指令发送给所述客户没有接入的运营商网络的运营商抗DDoS平台。
具体而言,运营商抗DDoS平台对攻击流量进行拦截清洗时,先要将客户流量牵引到抗DDoS平台,这个牵引是不区分攻击流量和正常流量的,抗DDoS平台对流量进行识别清洗过滤等操作后,将攻击流量进行拦截处理,并将正常流量回注到客户侧。
如图3和4所示,客户接入运营商网络的情况包括客户接入全部运营商网络或者客户只接入部分运营商网络。
如图3所示,一家互联网公司(客户)为了确保上网安全性,同时购买了各个运营商的宽带业务进行上网,在遭受到DDoS攻击时,任意一家运营商抗DDoS平台识别到攻击后,就会通知抗DDoS攻击协同防御平台,抗DDoS攻击协同防御平台会同时将抗DDoS攻击的处置指令同步发送给全部运营商抗DDoS平台,全部运营商抗DDoS平台均会根据处置指令将客户流量进行拦截,清洗其中的攻击流量,清洗后将正常流量通过自身网络回注给客户对应客户端。
如图4所示,一家互联网公司(客户)只购买了部分运营商的宽带业务进行上网,图4中客户没有接入运营商1的网络,但是接入了其他运营商的网络,运营商之间一般都会有互联互通的链路,攻击者可以通过运营商互联互通链路实施网络攻击(图4中攻击者通过运营商1网络发起的攻击通过运营商1与运营商2之间的互联互通链路对客户实现攻击),进而导致运营商之间互联互通的链路出现阻塞,影响客户跨域访问的效果。在遭受到DDoS攻击时,任意一家运营商抗DDoS平台识别到攻击后,就会通知抗DDoS攻击协同防御平台,抗DDoS攻击协同防御平台会同时将抗DDoS攻击的处置指令同步发送给全部运营商抗DDoS平台,全部运营商抗DDoS平台均会根据处置指令将客户流量进行拦截,清洗其中的攻击流量,清洗后需要将正常流量回注给客户对应客户端,对客户接入的运营商网络将清洗后的流量直接回注到客户对应客户端,对客户没有接入的运营商网络,将清洗后的流量通过运营商互联互通链路回注到客户接入的运营商网络后再回注给客户对应客户端,对客户没有接入的运营商网络也执行抗DDoS处置指令,避免出现运营商互联互通链路的阻塞。
S12、接收各个运营商抗DDoS平台执行所述处置指令后发送的处置结果,判断所述处置结果是否全部成功处置了所述DDoS攻击信息对应的DDoS攻击,如果是,发送结束处置指令给全部运营商抗DDoS平台。
在本实施例中,所述判断所述处置结果是否全部成功处置了所述DDoS攻击信息对应的DDoS攻击之后,所述方法还包括:如果是,将所述DDoS攻击信息作为情报信息保存;如果否,对所述DDoS攻击信息以及所述处置指令进行分析,并重新生成新的处置指令。
具体而言,如图2所示,运营商抗DDoS平台包括:运营商集团级抗DDoS平台、运营商集团级DDoS检测和清洗设备、运营商省分级抗DDoS平台以及运营商省分级DDoS检测和清洗设备;抗DDoS攻击协同防御平台向所连接的全部运营商抗DDoS平台发送所述处置指令后,运营商集团级抗DDoS平台接收抗DDoS攻击协同防御平台发送的抗DDoS攻击的处置指令;运营商集团级抗DDoS平台根据接收到的所述处置指令控制运营商集团级DDoS检测和清洗设备对所述处置指令指定的流量进行检测和清洗;并且运营商集团级抗DDoS平台将所述处置指令发送给运营商省分级抗DDoS平台,以使运营商省分级抗DDoS平台根据接收到的所述处置指令控制运营商省分级DDoS检测和清洗设备对所述处置指令指定的流量进行检测和清洗。在运营商抗DDoS平台完成上述检测和清洗动作后,运营商的DDoS检测和清洗设备通过逐级发送,将处置指令运行后的结果数据发送至抗DDoS攻击协同防御平台,抗DDoS攻击协同防御平台接收到处置结果后,对处置结果进行分析,收到的处置结果有2种,一种是发送处置指令操作成功了,即处置成功了,则对这次的DDoS攻击信息、对应攻击行为和处置结果等进行分析后作为情报信息保存下来;另一种是发送处置指令后操作不成功,则抗DDoS攻击协同防御平台需要分析操作不成功的原因,是运营商没有接收到指令、还是下发指令有错误等,并重新生成新的处置指令以继续进行处置,在判断各个运营商抗DDoS平台返回的处置结果全部成功处置了所述DDoS攻击信息对应的DDoS攻击时,则发送结束处置指令给全部运营商抗DDoS平台,各个运营商抗DDoS平台执行结束处置指令操作后通知抗DDoS攻击协同防御平台,本次抗DDoS攻击协同防御结束。另外,抗DDoS攻击协同防御平台还可以统计多次抗DDoS攻击协同防御的结果,并对结果进行展示,展示的主要内容可以包括:各运营商发送的DDoS攻击事件、告警事件,对DDoS攻击进行拦截的次数,成功的次数和失败的次数,威胁情报汇总展示等,以实现对抗DDoS攻击协同防御平台防御效果的统计和追溯。
本发明实施例1提供一种抗DDoS攻击协同防御方法,通过抗DDoS攻击协同防御平台对接各运营商的抗DDoS平台,抗DDoS攻击协同防御平台调度各运营商的抗DDoS平台功能,在获取到DDoS攻击信息的情况下,同时通知全部运营商抗DDoS平台处置相应的DDoS攻击,且全部成功处置后发送结束处置的指令,充分利用各运营商的抗DDoS平台实现对DDoS攻击跨运营商网络的联防联控,抗DDoS攻击的效果更好、更及时、更高效。
实施例2:
如图5所示,本发明实施例2提供一种抗DDoS攻击协同防御方法,应用于运营商抗DDoS平台,包括如下步骤:
S21、接收抗DDoS攻击协同防御平台发送的抗DDoS攻击的处置指令,根据接收到的所述处置指令对所述处置指令指定的流量进行处置;
S22、向所述抗DDoS攻击协同防御平台发送处置结果,接收所述抗DDoS攻击协同防御平台发送的结束处置指令,根据所述结束处置指令结束对所述指定的流量的处置;
其中,所述结束处置指令是所述抗DDoS攻击协同防御平台接收到全部运营商抗DDoS平台发送的所述处置结果后,在判断出所述处置结果全部成功处置了所述DDoS攻击信息对应的DDoS攻击时发出的。
可选地,所述运营商抗DDoS平台包括:运营商集团级抗DDoS平台、运营商集团级DDoS检测和清洗设备、运营商省分级抗DDoS平台以及运营商省分级DDoS检测和清洗设备;
所述接收抗DDoS攻击协同防御平台发送的抗DDoS攻击的处置指令,具体包括:
运营商集团级抗DDoS平台接收抗DDoS攻击协同防御平台发送的抗DDoS攻击的处置指令;
所述根据接收到的所述处置指令对所述处置指令指定的流量进行处置,具体包括:
运营商集团级抗DDoS平台根据接收到的所述处置指令控制运营商集团级DDoS检测和清洗设备对所述处置指令指定的流量进行检测和清洗;
运营商集团级抗DDoS平台将所述处置指令发送给运营商省分级抗DDoS平台,以使运营商省分级抗DDoS平台根据接收到的所述处置指令控制运营商省分级DDoS检测和清洗设备对所述处置指令指定的流量进行检测和清洗。
可选地,所述接收抗DDoS攻击协同防御平台发送的抗DDoS攻击的处置指令之前,所述方法还包括:
所述运营商抗DDoS平台将自身网络中遭受到的DDoS攻击告警信息发送给所述抗DDoS攻击协同防御平台。
可选地,所述处置指令包括:对所述DDoS攻击所针对的客户所接入的运营商网络生成的处置指令和对所述DDoS攻击所针对的客户没有接入的运营商网络生成的处置指令;
所述根据接收到的所述处置指令对所述处置指令指定的流量进行处置,具体包括:
对所述处置指令指定的流量进行检测和清洗;
如果所述处置指令为对所述DDoS攻击所针对的客户所接入的运营商网络生成的处置指令,则将清洗后的流量回注给所述客户对应客户端;
如果所述处置指令为对所述DDoS攻击所针对的客户没有接入的运营商网络生成的处置指令,则将清洗后的流量通过所述客户接入的运营商网络回注给所述客户对应客户端。
实施例3:
如图6所示,本发明实施例3提供一种抗DDoS攻击协同防御平台,包括:
处置指令模块11,用于获取DDoS攻击信息,根据所述DDoS攻击信息生成抗DDoS攻击的处置指令,向所连接的全部运营商抗DDoS平台发送所述处置指令;
结束处置指令模块12,与所述处置指令模块11连接,用于接收各个运营商抗DDoS平台执行所述处置指令后发送的处置结果,判断所述处置结果是否全部成功处置了所述DDoS攻击信息对应的DDoS攻击,如果是,发送结束处置指令给全部运营商抗DDoS平台。
可选地,所述处置指令模块11包括:
获取单元,用于获取DDoS攻击信息,具体包括:
第一获取子单元,用于根据一个或多个运营商抗DDoS攻击平台发送的DDoS攻击告警信息获取所述DDoS攻击信息;
第二获取子单元,用于根据威胁情报共享平台共享的威胁情报获取所述DDoS攻击信息。
可选地,所述处置指令模块11还包括:
生成单元,用于根据所述DDoS攻击信息生成抗DDoS攻击的处置指令,具体包括:
研判子单元,用于对所述DDoS攻击信息进行研判;
第一确定子单元,用于若根据研判结果识别出存在DDoS攻击,则确定所述DDoS攻击所针对的客户;
判断子单元,用于判断所述客户是否授权执行抗DDoS攻击操作;
生成子单元,用于判断所述客户授权执行抗DDoS攻击操作时,生成抗DDoS攻击的处置指令。
可选地,所述生成子单元包括:
第二确定子单元,用于确定所述客户接入的运营商网络;
第一指令生成子单元,用于对所述客户接入的运营商网络生成用于对所述客户的流量进行清洗的处置指令以及用于将清洗后的流量回注给所述客户对应客户端的处置指令;
第二指令生成子单元,用于对所述客户没有接入的运营商网络生成用于对所述客户的流量进行清洗的处置指令以及用于将清洗后的流量通过所述客户接入的运营商网络回注给所述客户对应客户端的指令。
可选地,所述处置指令模块11还包括:
第一发送单元,用于向所连接的全部运营商抗DDoS攻击平台发送所述处置指令,具体包括:
第一发送子单元,用于将对所述客户接入的运营商网络生成的处置指令发送给所述客户接入的运营商网络的运营商抗DDoS攻击平台;
第二发送子单元,用于将对所述客户没有接入的运营商网络生成的处置指令发送给所述客户没有接入的运营商网络的运营商抗DDoS攻击平台。
可选地,所述结束处置指令模块12包括:
第一接收单元,用于接收各个运营商抗DDoS平台执行所述处置指令后发送的处置结果;
判断单元,用于判断所述处置结果是否全部成功处置了所述DDoS攻击信息对应的DDoS攻击;
第二发送单元,用于在判断所述处置结果全部成功处置了所述DDoS攻击信息对应的DDoS攻击时,发送结束处置指令给全部运营商抗DDoS平台。
实施例4:
如图7所示,本发明实施例4提供一种运营商抗DDoS平台,包括:
流量处理模块21,用于接收抗DDoS攻击协同防御平台发送的抗DDoS攻击的处置指令,根据接收到的所述处置指令对所述处置指令指定的流量进行处置;
结束处置模块22,与所述流量处理模块21连接,用于向所述抗DDoS攻击协同防御平台发送处置结果,接收所述抗DDoS攻击协同防御平台发送的结束处置指令,根据所述结束处置指令结束对所述指定的流量的处置;
其中,所述结束处置指令是所述抗DDoS攻击协同防御平台接收到全部运营商抗DDoS平台发送的所述处置结果后,在判断出所述处置结果全部成功处置了所述DDoS攻击信息对应的DDoS攻击时发出的。
可选地,所述运营商抗DDoS平台还包括:
发送模块,用于将自身网络中遭受到的DDoS攻击告警信息发送给所述抗DDoS攻击协同防御平台。
可选地,所述流量处理模块21包括:
第二接收单元,用于接收抗DDoS攻击协同防御平台发送的抗DDoS攻击的处置指令;
处置单元,用于根据接收到的所述处置指令对所述处置指令指定的流量进行处置,具体包括:
检测和清洗子单元,用于对所述处置指令指定的流量进行检测和清洗;
第一回注子单元,用于如果所述处置指令为对所述DDoS攻击所针对的客户所接入的运营商网络生成的处置指令,则将清洗后的流量回注给所述客户的客户端;
第二回注子单元,用于如果所述处置指令为对所述DDoS攻击所针对的客户没有接入的运营商网络生成的处置指令,则将清洗后的流量通过所述客户接入的运营商网络回注给所述客户对应客户端。
可选地,所述结束处置模块22包括:
第三发送单元,用于向所述抗DDoS攻击协同防御平台发送处置结果;
第三接收单元,用于接收所述抗DDoS攻击协同防御平台发送的结束处置指令;
结束单元,用于根据所述结束处置指令结束对所述指定的流量的处置。
本发明实施例2-4提供一种抗DDoS攻击协同防御方法、平台,通过抗DDoS攻击协同防御平台对接各运营商的抗DDoS平台,抗DDoS攻击协同防御平台调度各运营商的抗DDoS平台功能,在获取到DDoS攻击信息的情况下,同时通知全部运营商抗DDoS平台处置相应的DDoS攻击,全部运营商抗DDoS平台成功处置相应的DDoS攻击后,通过抗DDoS攻击协同防御平台发送结束处置指令,全部运营商抗DDoS平台执行结束处置指令后,完成本次抗DDoS攻击协同防御,充分利用各运营商的抗DDoS平台实现对DDoS攻击跨运营商网络的联防联控,抗DDoS攻击的效果更好、更及时、更高效。
实施例5:
如图8所示,本发明实施例5提供一种计算机设备,所述计算机设备包括存储器10和处理器20,所述存储器10中存储有计算机程序,当所述处理器20运行所述存储器10存储的计算机程序时,所述处理器20执行如实施例1或2所述的抗DDoS攻击协同防御方法。
其中,存储器10与处理器20连接,存储器10可采用闪存或只读存储器或其他存储器,处理器20可采用中央处理器或单片机。
实施例6:
本发明实施例6提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时,实现如实施例1或2所述的抗DDoS攻击协同防御方法。
该计算机可读存储介质包括在用于存储信息(诸如计算机可读指令、数据结构、计算机程序模块或其他数据)的任何方法或技术中实施的易失性或非易失性、可移除或不可移除的介质。计算机可读存储介质包括但不限于RAM(Random Access Memory,随机存取存储器),ROM(Read-Only Memory,只读存储器),EEPROM(Electrically ErasableProgrammable read only memory,带电可擦可编程只读存储器)、闪存或其他存储器技术、CD-ROM(Compact Disc Read-Only Memory,光盘只读存储器),数字多功能盘(DVD)或其他光盘存储、磁盒、磁带、磁盘存储或其他磁存储装置、或者可以用于存储期望的信息并且可以被计算机访问的任何其他的介质。
可以理解的是,以上实施方式仅仅是为了说明本发明的原理而采用的示例性实施方式,然而本发明并不局限于此。对于本领域内的普通技术人员而言,在不脱离本发明的精神和实质的情况下,可以做出各种变型和改进,这些变型和改进也视为本发明的保护范围。
Claims (11)
1.一种抗分布式拒绝服务DDoS攻击协同防御方法,其特征在于,应用于抗DDoS攻击协同防御平台,所述方法包括:
获取DDoS攻击信息,根据所述DDoS攻击信息生成抗DDoS攻击的处置指令,向所连接的全部运营商抗DDoS平台发送所述处置指令,
所述生成抗DDoS攻击的处置指令,具体包括:
确定所述DDoS攻击所针对的客户接入的运营商网络,
对所述客户接入的运营商网络生成用于对所述客户的流量进行清洗的处置指令以及用于将清洗后的流量回注给所述客户对应客户端的处置指令,
对所述客户没有接入的运营商网络生成用于对所述客户的流量进行清洗的处置指令以及用于将清洗后的流量通过运营商互联互通链路回注到所述客户接入的运营商网络后再回注给所述客户对应客户端的处置指令;
接收各个运营商抗DDoS平台执行所述处置指令后发送的处置结果,判断所述处置结果是否全部成功处置了所述DDoS攻击信息对应的DDoS攻击,如果是,发送结束处置指令给全部运营商抗DDoS攻击平台。
2.根据权利要求1所述的方法,其特征在于,所述获取DDoS攻击信息,具体包括:
根据一个或多个运营商抗DDoS平台发送的DDoS攻击告警信息获取所述DDoS攻击信息;或者,
根据威胁情报共享平台共享的威胁情报获取所述DDoS攻击信息。
3.根据权利要求1所述的方法,其特征在于,所述根据所述DDoS攻击信息生成抗DDoS攻击的处置指令,具体包括:
对所述DDoS攻击信息进行研判,若根据研判结果识别出存在DDoS攻击,则确定所述DDoS攻击所针对的客户;
判断所述客户是否授权执行抗DDoS攻击操作,如果是,生成抗DDoS攻击的处置指令。
4.根据权利要求1-3任意一项所述的方法,其特征在于,所述判断所述处置结果是否全部成功处置了所述DDoS攻击信息对应的DDoS攻击之后,所述方法还包括:
如果是,将所述DDoS攻击信息作为情报信息保存;
如果否,对所述DDoS攻击信息以及所述处置指令进行分析,并重新生成新的处置指令。
5.一种抗分布式拒绝服务DDoS攻击协同防御方法,其特征在于,应用于运营商抗DDoS平台,包括如下步骤:
接收抗DDoS攻击协同防御平台发送的抗DDoS攻击的处置指令,根据接收到的所述处置指令对所述处置指令指定的流量进行处置,
所述根据接收到的所述处置指令对所述处置指令指定的流量进行处置,具体包括:
对所述处置指令指定的流量进行检测和清洗,
如果所述处置指令为对所述DDoS攻击所针对的客户所接入的运营商网络生成的处置指令,则将清洗后的流量回注给所述客户对应客户端,
如果所述处置指令为对所述DDoS攻击所针对的客户没有接入的运营商网络生成的处置指令,则将清洗后的流量通过运营商互联互通链路回注到所述客户接入的运营商网络后再回注给所述客户对应客户端;
向所述抗DDoS攻击协同防御平台发送处置结果,接收所述抗DDoS攻击协同防御平台发送的结束处置指令,根据所述结束处置指令结束对所述指定的流量的处置;
其中,所述结束处置指令是所述抗DDoS攻击协同防御平台接收到全部运营商抗DDoS平台发送的所述处置结果后,在判断出所述处置结果全部成功处置了所述DDoS攻击信息对应的DDoS攻击时发出的。
6.根据权利要求5所述的方法,其特征在于,所述运营商抗DDoS平台包括:运营商集团级抗DDoS平台、运营商集团级DDoS检测和清洗设备、运营商省分级抗DDoS平台以及运营商省分级DDoS检测和清洗设备;
所述接收抗DDoS攻击协同防御平台发送的抗DDoS攻击的处置指令,具体包括:
运营商集团级抗DDoS平台接收抗DDoS攻击协同防御平台发送的抗DDoS攻击的处置指令;
所述根据接收到的所述处置指令对所述处置指令指定的流量进行处置,具体包括:
运营商集团级抗DDoS平台根据接收到的所述处置指令控制运营商集团级DDoS检测和清洗设备对所述处置指令指定的流量进行检测和清洗;
运营商集团级抗DDoS平台将所述处置指令发送给运营商省分级抗DDoS平台,以使运营商省分级抗DDoS平台根据接收到的所述处置指令控制运营商省分级DDoS检测和清洗设备对所述处置指令指定的流量进行检测和清洗。
7.根据权利要求5所述的方法,其特征在于,所述接收抗DDoS攻击协同防御平台发送的抗DDoS攻击的处置指令之前,所述方法还包括:
所述运营商抗DDoS平台将自身网络中遭受到的DDoS攻击告警信息发送给所述抗DDoS攻击协同防御平台。
8.一种抗分布式拒绝服务DDoS攻击协同防御平台,其特征在于,包括:
处置指令模块,用于获取DDoS攻击信息,根据所述DDoS攻击信息生成抗DDoS攻击的处置指令,向所连接的全部运营商抗DDoS攻击平台发送所述处置指令,
所述生成抗DDoS攻击的处置指令,具体包括:
确定所述DDoS攻击所针对的客户接入的运营商网络,
对所述客户接入的运营商网络生成用于对所述客户的流量进行清洗的处置指令以及用于将清洗后的流量回注给所述客户对应客户端的处置指令,
对所述客户没有接入的运营商网络生成用于对所述客户的流量进行清洗的处置指令以及用于将清洗后的流量通过运营商互联互通链路回注到所述客户接入的运营商网络后再回注给所述客户对应客户端的处置指令;
结束处置指令模块,与所述处置指令模块连接,用于接收各个运营商抗DDoS平台执行所述处置指令后发送的处置结果,判断所述处置结果是否全部成功处置了所述DDoS攻击信息对应的DDoS攻击,如果是,发送结束处置指令给全部运营商抗DDoS平台。
9.一种运营商抗分布式拒绝服务DDoS平台,其特征在于,包括:
流量处理模块,用于接收抗DDoS攻击协同防御平台发送的抗DDoS攻击的处置指令,根据接收到的所述处置指令对所述处置指令指定的流量进行处置,
所述根据接收到的所述处置指令对所述处置指令指定的流量进行处置,具体包括:
对所述处置指令指定的流量进行检测和清洗,
如果所述处置指令为对所述DDoS攻击所针对的客户所接入的运营商网络生成的处置指令,则将清洗后的流量回注给所述客户对应客户端,
如果所述处置指令为对所述DDoS攻击所针对的客户没有接入的运营商网络生成的处置指令,则将清洗后的流量通过运营商互联互通链路回注到所述客户接入的运营商网络后再回注给所述客户对应客户端;
结束处置模块,与所述处置模块连接,用于向所述抗DDoS攻击协同防御平台发送处置结果,接收所述抗DDoS攻击协同防御平台发送的结束处置指令,根据所述结束处置指令结束对所述指定的流量的处置;
其中,所述结束处置指令是所述抗DDoS攻击协同防御平台接收到全部运营商抗DDoS平台发送的所述处置结果后,在判断出所述处置结果全部成功处置了所述DDoS攻击信息对应的DDoS攻击时发出的。
10.一种计算机设备,其特征在于,包括存储器和处理器,所述存储器中存储有计算机程序,当所述处理器运行所述存储器存储的计算机程序时,所述处理器执行如权利要求1-4或者5-7中任意一项所述的抗分布式拒绝服务DDoS攻击协同防御方法。
11.一种计算机可读存储介质,其特征在于,其上存储有计算机程序,所述计算机程序被处理器执行时,实现如权利要求1-4或者5-7中任意一项所述的抗分布式拒绝服务DDoS攻击协同防御方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111292767.2A CN114024739B (zh) | 2021-11-03 | 2021-11-03 | 抗DDoS攻击协同防御方法、平台、设备及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111292767.2A CN114024739B (zh) | 2021-11-03 | 2021-11-03 | 抗DDoS攻击协同防御方法、平台、设备及介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114024739A CN114024739A (zh) | 2022-02-08 |
| CN114024739B true CN114024739B (zh) | 2024-02-06 |
Family
ID=80060307
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111292767.2A Active CN114024739B (zh) | 2021-11-03 | 2021-11-03 | 抗DDoS攻击协同防御方法、平台、设备及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114024739B (zh) |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105162793A (zh) * | 2015-09-23 | 2015-12-16 | 上海云盾信息技术有限公司 | 一种防御网络攻击的方法与设备 |
| CN106657019A (zh) * | 2016-11-24 | 2017-05-10 | 华为技术有限公司 | 网络安全防护方法和装置 |
| CN108322417A (zh) * | 2017-01-16 | 2018-07-24 | 阿里巴巴集团控股有限公司 | 网络攻击的处理方法、装置和系统及安全设备 |
| CN109450841A (zh) * | 2018-09-03 | 2019-03-08 | 中新网络信息安全股份有限公司 | 一种基于云+端设备按需联动模式的大规模DDoS攻击检测与防御系统及防御方法 |
| CN112491823A (zh) * | 2020-11-13 | 2021-03-12 | 齐鲁工业大学 | 基于区块链的DDoS攻击联合防御系统及方法 |
| CN112738125A (zh) * | 2021-01-07 | 2021-04-30 | 中国重型机械研究院股份公司 | 一种网络安全协同防御系统 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108234404B (zh) * | 2016-12-15 | 2020-08-25 | 腾讯科技(深圳)有限公司 | 一种DDoS攻击的防御方法、系统及相关设备 |
-
2021
- 2021-11-03 CN CN202111292767.2A patent/CN114024739B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105162793A (zh) * | 2015-09-23 | 2015-12-16 | 上海云盾信息技术有限公司 | 一种防御网络攻击的方法与设备 |
| CN106657019A (zh) * | 2016-11-24 | 2017-05-10 | 华为技术有限公司 | 网络安全防护方法和装置 |
| CN108322417A (zh) * | 2017-01-16 | 2018-07-24 | 阿里巴巴集团控股有限公司 | 网络攻击的处理方法、装置和系统及安全设备 |
| CN109450841A (zh) * | 2018-09-03 | 2019-03-08 | 中新网络信息安全股份有限公司 | 一种基于云+端设备按需联动模式的大规模DDoS攻击检测与防御系统及防御方法 |
| CN112491823A (zh) * | 2020-11-13 | 2021-03-12 | 齐鲁工业大学 | 基于区块链的DDoS攻击联合防御系统及方法 |
| CN112738125A (zh) * | 2021-01-07 | 2021-04-30 | 中国重型机械研究院股份公司 | 一种网络安全协同防御系统 |
Non-Patent Citations (3)
| Title |
|---|
| "S3-190187-Solution for DDoS Attack Mitigation in CIoT".3GPP tsg_sa\wg3_security.2019,全文. * |
| DDoS攻击协同防护技术研究与应用;粟栗;王庆栋;彭晋;陈美玲;;电信网技术(第04期);第1-3节 * |
| DDoS攻击的协同治理策略研究;苏东梅;;长春大学学报(第08期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114024739A (zh) | 2022-02-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10057284B2 (en) | Security threat detection | |
| US9853941B2 (en) | Security information and event management | |
| US10417420B2 (en) | Malware detection and classification based on memory semantic analysis | |
| US9462007B2 (en) | Human user verification of high-risk network access | |
| US8079083B1 (en) | Method and system for recording network traffic and predicting potential security events | |
| US9686309B2 (en) | Logging attack context data | |
| US20150128267A1 (en) | Context-aware network forensics | |
| US8196204B2 (en) | Active computer system defense technology | |
| US20060015715A1 (en) | Automatically protecting network service from network attack | |
| US20070056020A1 (en) | Automated deployment of protection agents to devices connected to a distributed computer network | |
| CN112003864B (zh) | 一种基于全流量的网站安全检测系统和方法 | |
| US20230069738A1 (en) | Systems and Methods for Automated Risk-Based Network Security Focus | |
| US10839703B2 (en) | Proactive network security assessment based on benign variants of known threats | |
| CN105516189B (zh) | 基于大数据平台的网络安全实施系统及方法 | |
| CN106992955A (zh) | Apt防火墙 | |
| US20220400113A1 (en) | Systems and methods for focused learning of application structure and ztna policy generation | |
| US11757888B2 (en) | Systems and methods for fine grained forward testing for a ZTNA environment | |
| JP2012064208A (ja) | ネットワークウイルス防止方法及びシステム | |
| CN104486320B (zh) | 基于蜜网技术的内网敏感信息泄露取证系统及方法 | |
| CN114826880A (zh) | 一种数据安全运行在线监测的方法及系统 | |
| KR101214616B1 (ko) | 호스트 침해 발생 시점에서의 포렌식 증거자료 수집 시스템및 그 방법 | |
| CN117614717A (zh) | 一种基于网络安全告警事件全流程处置系统及方法 | |
| CN114024739B (zh) | 抗DDoS攻击协同防御方法、平台、设备及介质 | |
| CN106230815B (zh) | 一种告警日志的控制方法和装置 | |
| Kannan et al. | Analyzing Cooperative Containment of Fast Scanning Worms. |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |