CN114785551B - 天地融合网络恶意流量攻击主动抑制方法及装置 - Google Patents
天地融合网络恶意流量攻击主动抑制方法及装置 Download PDFInfo
- Publication number
- CN114785551B CN114785551B CN202210295508.3A CN202210295508A CN114785551B CN 114785551 B CN114785551 B CN 114785551B CN 202210295508 A CN202210295508 A CN 202210295508A CN 114785551 B CN114785551 B CN 114785551B
- Authority
- CN
- China
- Prior art keywords
- network
- traffic
- filter
- attack
- filtering
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 85
- 230000001629 suppression Effects 0.000 title claims abstract description 62
- 238000001914 filtration Methods 0.000 claims abstract description 106
- 238000012545 processing Methods 0.000 claims description 9
- 230000010354 integration Effects 0.000 abstract description 8
- 230000004927 fusion Effects 0.000 description 21
- 230000007123 defense Effects 0.000 description 20
- 238000010586 diagram Methods 0.000 description 17
- 235000019580 granularity Nutrition 0.000 description 16
- 235000008694 Humulus lupulus Nutrition 0.000 description 11
- 230000007246 mechanism Effects 0.000 description 10
- 238000013461 design Methods 0.000 description 9
- 238000012544 monitoring process Methods 0.000 description 9
- 230000000694 effects Effects 0.000 description 8
- 238000004590 computer program Methods 0.000 description 7
- 230000005540 biological transmission Effects 0.000 description 6
- 238000004891 communication Methods 0.000 description 5
- 230000008260 defense mechanism Effects 0.000 description 5
- 238000001514 detection method Methods 0.000 description 5
- 230000011664 signaling Effects 0.000 description 5
- 230000006399 behavior Effects 0.000 description 4
- 230000009286 beneficial effect Effects 0.000 description 4
- 230000008901 benefit Effects 0.000 description 4
- 238000004422 calculation algorithm Methods 0.000 description 4
- 230000005764 inhibitory process Effects 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 230000002776 aggregation Effects 0.000 description 3
- 238000004220 aggregation Methods 0.000 description 3
- 238000004458 analytical method Methods 0.000 description 3
- 230000004913 activation Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 230000001186 cumulative effect Effects 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 101100339496 Caenorhabditis elegans hop-1 gene Proteins 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000004069 differentiation Effects 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 230000003278 mimic effect Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012805 post-processing Methods 0.000 description 1
- 238000007781 pre-processing Methods 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 230000000630 rising effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/29—Flow control; Congestion control using a combination of thresholds
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Technology Law (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种天地融合网络恶意流量攻击主动抑制方法及装置,其中方法应用于天地融合网络系统,所述天地融合网络系统包括顺序连接的多个网络设备,每个所述网络设备执行如下步骤:每个所述网络设备获取各自的合法流量和各自的总流量;每个所述网络设备基于所述合法流量和所述总流量确定过滤概率和过滤阈值;在所述总流量高于所述过滤阈值的情况下,与每个所述网络设备一一对应的过滤器基于所述过滤概率对各自接收的数据包进行过滤。本发明实施例提供的天地融合网络恶意流量攻击主动抑制方法及装置,通过多个与网络设备一一对应的过滤器对流量进行过滤,有效抑制恶意流量攻击。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种天地融合网络恶意流量攻击主动抑制方法及装置。
背景技术
天地融合网络是以地面网络为基础、以空间网络为延伸,覆盖太空、空中、陆地、海洋等自然空间,为天基、空基、陆基、海基等各类用户的活动提供信息保障的基础设施。恶意流量攻击(例如DDoS)是威胁天地融合网络空间安全的重大安全隐患之一。在恶意流量攻击中,攻击者通过劫持僵尸网络向受害者发送垃圾流量或恶意流量等手段,耗尽受害者的网络资源,威胁受害者的网络正常使用。
目前,针对恶意流量攻击,通常采用基于单个网络设备的被动防御方法,如一网络节点受到某一IP的恶意流量攻击,该网络节点禁用此IP,但是攻击者可以劫持此IP攻击下一网络节点。因此导致无法有效抑制恶意流量攻击。
发明内容
本发明提供一种天地融合网络恶意流量攻击主动抑制方法及装置,用以解决现有技术中天地融合网络对恶意流量防御效率低的缺陷,实现有效抑制天地融合中的恶意流量攻击。
第一方面,本发明提供一种天地融合网络恶意流量攻击主动抑制方法,应用于天地融合网络系统,所述天地融合网络系统包括顺序连接的多个网络设备,每个所述网络设备执行如下步骤:
每个所述网络设备获取各自的合法流量和各自的总流量;
每个所述网络设备基于所述合法流量和所述总流量确定过滤概率和过滤阈值;
在所述总流量高于所述过滤阈值的情况下,与每个所述网络设备一一对应的过滤器基于所述过滤概率对各自接收的数据包进行过滤。
优选地,所述每个所述网络设备基于所述合法流量和所述总流量确定过滤概率和过滤阈值,包括:
每个所述网络设备确定所述过滤阈值为所述合法流量;
每个所述网络设备确定所述过滤概率为所述合法流量和所述总流量的比值。
优选地,所述与每个所述网络设备一一对应的过滤器基于所述过滤概率对各自接收的数据包进行过滤之前,还包括:
每个所述网络设备基于所述合法流量和所述总流量确定每个所述网络设备的网络负载,基于所述网络负载确定启动所述过滤器。
优选地,所述方法还包括:
每个所述网络设备在确定启动所述过滤器的情况下启动第一定时器,确定所述网络负载增加且所述第一定时器超时,启动所述过滤器;所述第一定时器的定时时间是基于每个所述网络设备的合法流量确定的。
优选地,所述与每个所述网络设备一一对应的过滤器基于所述过滤概率对各自接收的数据包进行过滤之后,还包括:
每个所述网络设备基于所述合法流量和所述总流量确定每个所述网络设备的网络负载,基于所述网络负载确定关闭所述过滤器。
优选地,所述方法还包括:
每个所述网络设备在确定关闭所述过滤器的情况下启动第二定时器,确定所述网络负载降低且所述第二定时器超时,关闭所述过滤器;所述第二定时器的定时时间是基于每个所述网络设备的合法流量确定的。
优选地,所述过滤器基于所述数据包的包头和/或所述数据包的载荷对各自接收的数据包进行过滤。
优选地,所述过滤器基于预设过滤精度和设备处理能力确定过滤粒度。
优选地,所述与每个所述网络设备一一对应的过滤器基于所述过滤概率对各自接收的数据包进行过滤之前,还包括:
每个所述网络设备执行以下任一操作或组合:
对所述数据包进行检测;
对所述数据包进行转发;
对所述数据包进行拦截。
优选地,所述每个所述网络设备基于所述合法流量和所述总流量确定每个所述网络设备的网络负载之前,还包括:
所述多个网络设备中的、预设的N个网络设备启动所述过滤器,其中,N为大于等于1的正整数。
第二方面,本发明还提供一种恶意流量攻击抑制装置,可以应用于天地融合网络系统,所述天地融合网络系统包括顺序连接的多个网络设备,每个所述网络设备包括如下模块:
网络监控模块,用于获取各自的合法流量和各自的总流量;
过滤器配置模块,用于基于所述合法流量和所述总流量确定过滤概率和过滤阈值;
过滤器,用于在所述总流量高于所述过滤阈值的情况下,基于所述过滤概率对各自接收的数据包进行过滤。
本发明提供的天地融合网络恶意流量攻击主动抑制方法及装置,通过多个与网络设备一一对应的过滤器对流量进行过滤,每个过滤器的过滤概率基于对应的网络设备的合法流量和总流量确定,利用网络流量分布多样性的特征,使得过滤器的过滤概率同样具有多样性,由于攻击者无法实现模仿每个网络设备的流量分布,从而在多个过滤器的作用下,恶意流量逐渐趋于零,攻击者的收益趋于零,使得攻击者由于费效比趋于零而主动放弃攻击,有效抑制了恶意流量攻击。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的天地融合网络恶意流量攻击主动抑制方法的流程示意图;
图2是本发明提出的攻防演化博弈模型的结构示意图;
图3是本发明实施例提供的多跳流量差异性示意图;
图4是本发明实施例提供的单跳过滤器的分布式无信令按需抑制流程示意图;
图5是本发明实施例提供的多跳过滤器按需抑制流程示意图;
图6是本发明实施例提供的多粒度过滤流程示意图;
图7是本发明实施例提供的恶意流量攻击抑制装置的结构示意图之一;
图8是本发明实施例提供的恶意流量攻击抑制装置的结构示意图之二;
图9是本发明实施例提供的电子设备的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明中的附图,对本发明中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
恶意流量攻击(例如DDoS)是威胁网络空间安全的重大安全隐患之一。针对恶意流量攻击,通常采用基于单个网络设备的被动防御方法,如一网络节点受到某一IP的恶意流量攻击,该网络节点禁用此IP,但是攻击者可以劫持此IP攻击下一网络节点。因此导致无法有效抑制恶意流量攻击。
天地融合网络是以地面网络为基础、以空间网络为延伸,覆盖太空、空中、陆地和海洋等自然空间,为天基、空基、陆基和海基等各类用户的活动提供信息保障的基础设施。近年来,伴随着新型卫星巨型星座的兴起以及卫星自身技术的飞速发展,依托多维轨道、巨型星座、星载网络存储和计算技术来实现的覆盖全球的互联网接入服务,正成为网络空间拓展的重要发展方向。与地面网络相比,天地融合网络存在全球拓扑高动态、星地资源高差异等特征,既面临来自真实物理空间的威胁,又面临来自虚拟网络空间的攻击。网络安全程度随时空动态变化,新型安全漏洞层出不穷,攻击手段日益多样化和智能化,在星地非对称、天地一体、卫星网络与应用智能化等新型场景下面临恶意流量攻击(例如DDoS)、区域非受控、节点易失效、恶劣太空环境易损毁等威胁,对全球网络空间安全造成了全新的威胁与挑战。
以天地融合网络为例,由于攻防能力非对称和星地能力非对称,恶意流量攻击从根本上是难以消除的。首先是攻防非对称,攻击者和防御者的非对称体现在以下三个方面:
(1)攻击源庞大:获得攻击能力比获得防御能力容易得多,攻击者可以劫持大量的机器人(例如易受攻击的物联网设备),以较低的成本形成巨大的僵尸网络。相反,受害者的防御成本通常是昂贵的。
(2)未知威胁众多:攻击面总是大于防御覆盖范围。攻击者可以很轻易地从各种协议和应用程序中发现和利用防御者未知的漏洞。
(3)进化的智能攻击策略:智能攻击者可以很容易地模仿合法用户的使用行为,绕过防御者。
其次在天地融合网络中,星地非对称加剧了恶意流量的危害性,星地非对称体现在以下三个方面:(1)攻击面:太空中的攻击面远大于地面;(2)防御能力:太空中(例如卫星)由于计算存储能力受限,防御能力弱于地面;(3)信息面:卫星服役时间长,难以及时打补丁,无法对抗未知攻击,相对于太空,地面具有更先进的攻击能力。
对于各种网络空间,尤其是天地融合网络,传统的恶意流量防御方法无法有效抑制恶意流量攻击。
因此,本发明提供一种天地融合网络恶意流量攻击主动抑制方法及装置,利用多跳流量差异性使攻击者在任意攻击策略下的费效比趋于0,进而使攻击者主动放弃攻击,实现对未知攻击的主动抑制。
下面结合图1-图6描述本发明实施例提供的天地融合网络恶意流量攻击主动抑制方法。
图1是本发明实施例提供的天地融合网络恶意流量攻击主动抑制方法的流程示意图,如图1所示,本发明实施例提供的天地融合网络恶意流量攻击主动抑制方法,应用于天地融合网络系统,所述天地融合网络系统包括顺序连接的多个网络设备,每个所述网络设备执行如下步骤:
步骤110,每个所述网络设备获取各自的合法流量和各自的总流量;
具体地,合法流量是指某一种或多种数据类型的合法流量,总流量是指某一种或多种数据类型的合法流量以及某一种或多种数据类型的恶意流量的和。示例性地,网络设备中传输的数据类型包括多种,如SSDP(Simple Sever Discovery Protocol,简单服务发现协议)数据包、ICMP(Internet Control Message Protocol,互联网控制消息协议)数据包、DNS(Domain Name System,域名系统)数据包、SNMP(Simple Network ManagementProtocol,简单网络管理协议)数据包和NTP(Network Time Protocol,网络时间协议)数据包等。待过滤对象为SSDP数据包和ICMP数据包时,可以分别计算SSDP数据包和ICMP数据包的合法流量,此种方式有利于提高过滤精度;也可以将SSDP数据包合法流量以及ICMP数据包合法流量的和作为合法流量,此种方式有利于提高过滤速度。
网络设备可以通过离线分析获得合法流量和总流量。网络设备也可以在设备主机或路由器中使用标准流量监控功能在线评估获得合法流量和总流量,本发明实施例对网络设备如何获得合法流量和总流量不作限定。
步骤120,每个所述网络设备基于所述合法流量和所述总流量确定过滤概率和过滤阈值;
具体地,过滤概率是指过滤器允许数据包通过的概率,过滤阈值是过滤器的运行阈值。过滤器的过滤概率和过滤阈值可以通过预设的对应表确定,所述对应表中可以预存过滤概率、过滤阈值、合法流量和总流量之间的对应关系。单跳过滤器的过滤概率和过滤阈值还可以通过合法流量和总流量之间的比例关系确定。本发明实施例对过滤概率和过滤阈值的数值不作限定。
步骤130,在所述总流量高于所述过滤阈值的情况下,与每个所述网络设备一一对应的过滤器基于所述过滤概率对各自接收的数据包进行过滤。
具体地,在网络设备总流量低于或等于运行阈值时,网络设备处于低负载状态(underload),网络设备带宽足够负担当前数据传输,过滤器处在激活状态但无需运行(无需对数据包进行过滤);在网络设备总流量高于运行阈值时,网络设备带宽无法负担当前数据传输,过滤器处于运行状态,对数据包进行过滤。
本发明实施例提供的天地融合网络恶意流量攻击主动抑制方法,通过多个与网络设备一一对应的过滤器对流量进行过滤,每个过滤器的过滤概率基于对应的网络设备的合法流量和总流量确定,利用网络流量分布多样性的特征,使得过滤器的过滤概率同样具有多样性,由于攻击者无法实现模仿每个网络设备的流量分布,在多个过滤器的作用下,恶意流量逐渐趋于零,攻击者的收益趋于零,使得攻击者由于费效比趋于零而主动放弃攻击,有效抑制了恶意流量攻击。
优选地,步骤120,所述每个所述网络设备基于所述合法流量和所述总流量确定过滤概率和过滤阈值,包括:
步骤121,每个所述网络设备确定所述过滤阈值为所述合法流量;
步骤122,每个所述网络设备确定所述过滤概率为所述合法流量和所述总流量的比值。
本发明实施例提供的天地融合网络恶意流量攻击主动抑制方法中,在网络设备总流量高于合法流量时,有其他类型数据包(如恶意数据包)挤占了合法流量的带宽,网络设备带宽无法负担当前合法数据传输,过滤器处于运行状态对数据包进行过滤。以合法流量和总流量的比值作为过滤概率,过滤概率与网络设备中合法流量分布概率一致,能够实现在过滤恶意数据包的前提下,最大程度保护合法数据包。因此,以合法流量作为过滤阈值,以合法流量和总流量的比值作为过滤概率,能够提高过滤可靠性。
本发明实施例提供的天地融合网络恶意流量攻击主动抑制方法是根据如下设计方法获得的:
设计步骤1:图2是本发明提出的攻防演化博弈模型的结构示意图,如图2所示,本发明提出一种面向网络空间的智能化未知恶意流量攻击的攻防演化博弈模型,包括攻击者能力模型、防御者能力模型和攻防对抗演化博弈模型。
(1)攻击者能力模型:攻击者拥有一个巨大的僵尸网络,用来攻击受害者。攻击者可以系统地监控受害者的使用行为,发现新的漏洞,并可以通过利用新的威胁和模仿合法的网络行为(如生成对手学习)来改进策略,绕过防御。它有多种选择来生成攻击流量,包括选择攻击协议、包头字段或有效载荷。为了对抗智能防御者,它还可以利用多个漏洞,并将其流量分配到不同的协议中。攻击者还可以损坏空间网络中的部分节点(例如卫星),使其丧失防御能力。攻击者会最大化自己的费效比,其费效比定义为发起攻击的总流量除以到达受害者的流量。如果更多恶意流量到达受害者,则攻击者获得更多收益,如果防御者抵挡住了所有恶意流量,则攻击者的收益为零。因此,费效比的数学公式定义为其中,/>为攻击者的恶意流量分布,μa为其发起攻击的流量大小,/>为攻击流量类型为k的概率。因此/>是指数据类型为k的恶意流量。同时,恶意流量可以被防御者的过滤器D=(D(1),...,D(k),...)拦截,其中D(k)∈[0,1]为防御者转发流量k的概率。假设攻击收益U(pa,D)≥0满足:
(i)更多恶意流量,更多收益:U(pa,D)随着到达受害者的恶意流量单调增加;
(ii)没有恶意流量,没有收益:如果则U(pa,D)=0。
在成本方面,对手应该使用大规模攻击能力(μa)来实现成功攻击。这种攻击能力需要成本,为此,这里将成本公式化为发起恶意流量攻击所消耗的攻击能力μa,攻击者的费效比量化了它应该为获取单位收益支付多少攻击能力。
(3)防御者能力模型:在网络空间中,终端主机和路径上(例如地站、卫星等等)的网络节点都是流量攻击(例如DDoS)的受害者。他们通过战略性地改进对恶意流量攻击的防御,以最小的成本最大化他们的网络服务可用性。它们的本地网络服务可用性定义为在流量攻击下成功转发合法流量的百分比。受害者可能受到未知攻击的威胁,即他们不知道对手的攻击策略、恶意流量分布或利用的漏洞。路径上的每个节点只知道其合法的本地流量分布(通过标准流量监控或离线分析),并系统地监控其运行时本地流量(合法流量和恶意流量的混合流量)。恶意流量可以来自多个路径的节点;任意网络节点可以根据自身利益自主加入防御。
(4)攻防对抗演化博弈模型:攻击者和防御者出于各自的利益,不断地根据对方的行为改进自己的策略。攻击者和防御者最终会到达纳什均衡,即双方的策略保持不变时,双方都不能进一步提高各自的利益。注意,攻防对抗演化博弈模型并没有假设攻击者和防御者都是完全理性或完美的;他们可能会犯错误或采用不完善的策略(例如,由于信息不完整而采用不完善的策略)。相反,随着智能攻击者和智能防御者的进化,纳什均衡揭示了最终的稳定状态。在这个纳什均衡中攻击者会失去动力发起攻击。
设计步骤2:在攻防演化博弈模型背景下,设计面向网络空间的基于多跳差异性的主动抑制机制,包括设计单跳最优过滤器,定义两跳流量差异性,基于两跳的流量差异性递归推广到多跳流量间的差异性,设计基于流量差异性的具有主动抑制效果的多跳递归组合过滤器。
(1)设计单跳最优过滤器
a.对于一个网络设备n,其合法流量分布其中,μn>0,μn为防御者的最大网络容量,而/>表示防御者合法流量中数据包属于类型k的概率。考虑恶意流量攻击(例如DDoS),攻击者的恶意流量分布/>网络设备n的总流量为合法流量和恶意流量的总和:
on=μn+μa;
其中,on为网络设备n的总流量,μn为网络设备n的最大网络容量,μa为攻击设备(攻击者)的发起攻击的流量,为网络设备n的k类型流量的总流量数,/>为网络设备n的k类型流量的流量分布,/>为攻击设备(攻击者)的发起的数据类型为k的流量分布。
b.表1是本发明实施例提供的基于GAN的单跳最优过滤器算法。
表1.基于GAN的单跳最优过滤器算法
根据表1,单跳最优过滤器的过滤阈值为k类型的合法流量的最大容量单跳最优过滤器允许流量通过的概率为:
其中,表示第n跳的单跳过滤器的最优流量概率。
(2)定义流量差异性
a.定义两跳流量差异度:
其中,p表示第p个网络节点(即第p跳),q表示第q个网络节点(即第q跳)。应理解,差异度数值越小,两跳之间的流量差异度越大。
b.基于两跳流量差异度递归推广多跳流量差异度:
其中,n表示第n个网络节点(即第n跳),k表示流量类型,表示第j个网络节点类型为k的合法流量的分布,μj表示第j个网络节点的网络容量。
(3)对网络系统设置过滤器,即对网络系统中的多个网络设备设置过滤器:
a.图3是本发明实施例提供的多跳流量差异性示意图,如图3所示,P1表示第一跳的合法流量分布,P2表示第二跳的合法流量分布,q2表示第一跳和第二跳聚合后的合法流量分布,Pd表示恶意攻击的恶意流量分布,d(Pd,q2)表示经过两跳过滤器以后的恶意流量分布。
参考图3中由第一跳过滤器和第二条过滤器构成的多跳过滤器,对于第n跳,其本地流量是合法流量和恶意流量的聚合。通过多跳过滤器,恶意流量流量在到达n跳之前已经经过前n-1跳的过滤,所以流量类型k的在第n跳的流入速率为
Pn为第n跳的本地合法流量,Pa为攻击者的恶意流量,Dn-1(k)为前n-1跳的n-1个累计流量过滤器,递归推导为
Dn(k)=Dn-1(k)·D1,n(k)(n>1)
其中,Dn(k)表示前n跳的n个累计流量过滤器,D1,n(k)表示第n跳的过滤器。示例性地,D1(k)=D1,1(k)表示第1跳的一个过滤器。
b.多跳聚合一起的过滤效果:
dn=d(pn,qn-1)=d(p1,p2,...,pn);
应理解,本发明实施例中的单跳过滤器是指对一个网络设备配置的过滤器,多跳过滤器是由多个与网络设备一一对应的单跳网络过滤器组成的,网络系统中的多个过滤器构成基于流量差异性的具有主动抑制效果的多跳递归组合过滤器(即多跳过滤器)。
因此,本发明实施例提供的天地融合网络恶意流量攻击主动抑制方法中网络设备之间差异度越大,对恶意流量攻击的抑制效果越好:当差异度数值趋向于0时,网络设备之间差异度越大,攻击者的收益趋向于0;随着跳数越多,差异度越大,对攻击者的抑制效果越好。
设计步骤3,设计分布式、无信令的按需抑制协议。
由于网络设备跳数越多,网络设备之间差异度越大,因此恶意流量抑制效果在跳数越多的情况下越有效,但是随着节点的增加,每个包的处理成本也会增加,因此逐跳过滤代价高昂。
另外,随着七层智能流量攻击的兴起,仅通过报文头检测恶意流量并不是足够的,取而代之的是DPI(Deep Packet Inspection,深度报文检测),DPI可以检测每个报文中更多的内容。然而,细粒度的检测会导致更多的过滤器,增加每个包的处理成本,对于一些节点是无法承受的(例如,低端物联网设备和对延迟敏感的边缘节点)。
分布式、无信令的按需抑制协议,包括无需信令交互,每一跳仅通过观测自己的网络服务可用性,自主配置过滤器;设计模块化可扩展过滤器,每一跳可以根据自己的能力选择过滤器的粒度,不同跳之间可以选择不同粒度的过滤器来增加差异性,以获得更好的抑制效果。
设计步骤4,设计空间网络节点物理抗毁式抑制方案,包括允许更多的节点开启过滤器来获取一定的冗余性,在空间网络节点(如卫星)进入非受控恶劣空域、遭受物理毁损时,维持主动抑制能力。
设计步骤5,设计容忍网络流量高动态的主动抑制机制,包括利用多跳流量的差异性设置过滤器,在网络流量高动态(例如卫星节点高速移动导致的流量动态)条件下仍能保障主动抑制能力。
本发明实施例中多个网络设备启动过滤器比单一网络设备启动过滤器过滤效果更稳定,即多跳防御比单跳防御对网络动态更具鲁棒性。流量动态(例如卫星节点高速移动导致流量动态)使得难以准确估计单跳过滤的合法流量分布。但多跳流量差异度减少了对流量精确估计的依赖。每一跳的流量高度动态只影响其本地过滤器的精度,只影响其本地的网络服务可用性,利用多跳的流量差异度实现每一跳的网络服务可用性的改善。
设计步骤6,设计增量部署机制;包括设计混合部署机制:支持和被动防御机制(例如DPI、入侵检测等)共同部署,实现主动抑制未知攻击和被动防御已知攻击互补;设计在现有互联网下增量部署机制:利用现有节点中的随机丢包过滤器实现多跳过滤器,现有网络节点无需硬件升级就可以与开启过滤器的节点协同工作。
下面,对上述设计步骤3、设计步骤4和设计步骤6在具体实施例中的可能的实现方式做进一步说明。
优选地,所述与每个所述网络设备一一对应的过滤器基于所述过滤概率对各自接收的数据包进行过滤之前,还包括:
步骤1201,每个所述网络设备基于所述合法流量和所述总流量确定每个所述网络设备的网络负载,基于所述网络负载确定启动所述过滤器。
具体地,网络负载用于衡量网络设备的可用性,网络负载可以包括合法流量与总流量的比值、网络设备在流量攻击下成功转发合法流量的百分比、网络设备的总流量与网络带宽的比值、丢包率和数据传输速率等。
优选地,所述与每个所述网络设备一一对应的过滤器基于所述过滤概率对各自接收的数据包进行过滤之后,还包括:
步骤1301,每个所述网络设备基于所述合法流量和所述总流量确定每个所述网络设备的网络负载,基于所述网络负载确定关闭所述过滤器。
具体地,本发明实施例提供的天地融合网络恶意流量攻击主动抑制方法中的步骤1201和步骤1301是设计步骤3的具体应用。
表2是本发明实施例提供的分布式按需开启过滤器算法。图4是本发明实施例提供的单跳过滤器的分布式无信令按需抑制流程示意图;图5是本发明实施例提供的多跳过滤器按需抑制流程示意图。
表2.分布式按需开启过滤器算法
如表2、图4和图5所示,为了以低成本有效减缓恶意流量攻击,本发明实施例中启动一个网络设备的过滤器,使流量差异性改变量最大化;或关闭一个网络设备的过滤器,使流量改变量最小化。以包含n个网络设备(也可以称为网络节点)的路径为例,其中m个节点已经激活了流量类型k的过滤器。过滤对象为k型数据,在恶意流量攻击威胁变严重的情况下,下一个启动的过滤器应为合法流量容量的数值最小的网络设备的过滤器,如上文公式所示,最大合法流量容量越小,差异度数值越小,差异度越大,启动该节点的过滤器时,流量差异度的增量是最大的。
相应地,在恶意流量攻击威胁变轻的情况下,关闭的下一个节点是最大的节点,这样使得流量差异度的减少是最小的。通过这种方式,就以最小的活动节点(即成本最低)的方式维持了对恶意流量攻击的抑制。
本发明实施例提供的天地融合网络恶意流量攻击主动抑制方法,通过每个网络设备根据各自的网络负载确定启动或关闭过滤器,实现了降低过滤成本。从而使本发明实施例提供的天地融合网络恶意流量攻击主动抑制方法能够应用于大型网络系统中,避免了由于网络设备过多导致的过滤成本过高。
优选地,所述方法还包括:
步骤1202,每个所述网络设备在确定启动所述过滤器的情况下启动第一定时器,确定所述网络负载增加且所述第一定时器超时,启动所述过滤器;所述第一定时器的定时时间是基于每个所述网络设备的合法流量确定的。
优选地,所述方法还包括:
步骤1302,每个所述网络设备在确定关闭所述过滤器的情况下启动第二定时器,确定所述网络负载降低且所述第二定时器超时,关闭所述过滤器;所述第二定时器的定时时间是基于每个所述网络设备的合法流量确定的。
具体地,本发明实施例提供的天地融合网络恶意流量攻击主动抑制方法中的步骤1202和步骤1302是设计步骤3的具体应用。
如表2、图4和图5所示,每个网络设备之间可以通过协议规定一个离散时间模型和其定义的时隙大小。在每个时间槽,每个节点通过计算网络服务可用性(即网络负载),在本地发出恶意流量攻击严重程度的信号。当恶意流量攻击威胁上升时,每个未开启过滤器的节点m+1开始等待个时隙,然后激活其本地过滤器。/>越小的网络设备启动过滤器对网络系统的影响越大,因此,/>越小的网络设备将更早地激活其本地过滤器,从而提高所有节点的本地网络服务可用性。
如果m+1节点在第一定时器超时前确定其本地网络服务可用性提高了,即m+1节点可确定有节点已经开启过滤器并成功缓解了恶意流量攻击,基于成本因素,m+1节点无需开启过滤器,否则,在第一定时器超时时,m+1节点开启过滤器。
相应地,当恶意流量攻击变得不那么严重时,这种回退机制确保较大的节点更早关闭过滤器,从而确保按需抑制。
本发明实施例提供的天地融合网络恶意流量攻击主动抑制方法通过第一定时器、第二定时器以及网络负载变化确定启动或关闭过滤器,实现了每个网络设备根据本地网络服务可用性自主地启动或关闭过滤器,无需网络设备之间通过信令交互确定下一启动或关闭的过滤器,降低了信令传输成本。
优选地,图6是本发明实施例提供的多粒度过滤流程示意图,如图6所示,过滤器基于预设过滤精度和设备处理能力确定过滤粒度。
具体地,本发明实施例提供的天地融合网络恶意流量攻击主动抑制方法是设计步骤3的具体应用。设备处理能力是指网络设备自身的计算、存储或网络转发等能力,每一跳网络设备可以根据自己的设备能力和预设过滤精度选择过滤器的粒度;不同跳之间可以选择不同粒度的过滤器来增加差异性,以获得更好的抑制效果。
具体来说,本发明可以通过每个网络设备对过滤器的粒度进行配置(例如,从数据包包头到整个有效负载)来支持更细粒度的检测。多粒度过滤的代价是对于每个数据包会有更多的处理延迟和系统开销。对过滤粒度的配置取决于每个网络设备的能力和需求。可以理解的是,如图6所示,粗粒度的过滤器(比如基于数据包的包头)可以被分解为多个细粒度的过滤器(比如基于数据包的包头和有效负载)。粗粒度过滤器用于延迟敏感的边缘应用,细粒度过滤器用于可靠性敏感的流量,示例性地,一些延迟敏感的边缘(对数据传输的速度要求较高)和资源受限(设备计算、存储或网络转发能力较差)的网络设备可以设置粗粒度的过滤器,而对过滤精度要求高并且数据处理能力较强的网络设备可以设置细粒度的过滤器。应理解,数据包的包头和有效负载是本发明实施例为便于理解粗粒度和细粒度进行的举例,不应对本发明构成任何限定,目前已有的数据粒度及粒度分类方法以及以后出现的数据粒度及粒度分类方法都可应用于此。
本发明实施例提供的天地融合网络恶意流量攻击主动抑制方法,通过过滤粒度自主配置实现了每个节点自主配置适应于各自数据处理能力和网络需求的最优过滤器,实现了网络延迟敏感服务与网络可靠性敏感服务的平衡。
优选地,所述每个所述网络设备基于所述合法流量和所述总流量确定每个所述网络设备的网络负载之前,还包括:
步骤100,所述多个网络设备中的、预设的N个网络设备启动所述过滤器,其中,N为大于等于1的正整数。
具体地,本发明实施例提供的天地融合网络恶意流量攻击主动抑制方法是设计步骤4的具体应用。示例性地,可以通过预先配置协议,实现当网络系统面对来自a个节点的恶意流量攻击时,预先打开a+N个网络设备的过滤器,即除了a个受攻击的节点外,另外打开N个过滤器进行备用,避免由于网络设备不可用导致过滤器数量不足的情况。应理解,本发明实施例是为便于理解进行的示例,不应对本发明构成任何限定。本发明对预先启动的过滤器的数量和预设启动的过滤器不作限定。
本发明实施例提供的天地融合网络恶意流量攻击主动抑制方法通过预先启动一定数量网络设备的过滤器,使网络系统的过滤器数量具有一定的冗余性,在网络设备不可用的情况下,如在空间网络节点(例如卫星)进入非受控恶劣空域遭受物理毁损时,实现网络系统主动抑制能力的维持,避免由于网络设备不可用导致过滤器数量不足的情况。
优选地,所述过滤器基于随机丢包对各自接收的数据包进行过滤。
具体地,本发明实施例提供的天地融合网络恶意流量攻击主动抑制方法是设计步骤6的具体应用。本发明实施例提供的过滤器可以在现有随机丢包过滤器的基础上获得,本发明实施例提供的天地融合网络恶意流量攻击主动抑制方法通过随机丢包过滤器实现多跳过滤器,由于随机丢包过滤器已经得到了商业主机、路由器和防火墙等网络设备的支持,因此网络设备无需硬件升级即可与启动过滤器的网络设备协同工作,本发明实施例提供的天地融合网络恶意流量攻击主动抑制方法具有兼容性,降低了应用成本。
可选地,所述与每个所述网络设备一一对应的过滤器基于所述过滤概率对各自接收的数据包进行过滤之前,还包括:
每个所述网络设备执行以下任一操作或组合:
对所述数据包进行检测;
对所述数据包进行转发;
对所述数据包进行拦截。
具体地,本发明实施例提供的天地融合网络恶意流量攻击主动抑制方法是设计步骤6的具体应用。所述步骤6中增量部署机制包括混合部署机制,本发明实施例提供的天地融合网络恶意流量攻击主动抑制方法支持与现有技术中的恶意流量攻击防御机制(例如DPI、入侵检测等)共同部署。
一个实施例中,首先通过网络设备对数据包进行前置处理:通过DPI对数据包进行深度检测;在网络设备过载的情况下,将过载的数据包转发至其他网络节点;拦截来自黑名单IP的数据包。再由过滤器对经过网络设备前置处理后的数据包进行过滤。本发明实施例提供的天地融合网络恶意流量攻击主动抑制方法提供了过滤器的兼容性。
本发明实施例提供的天地融合网络恶意流量攻击主动抑制方法,可以应用于天地融合网络星地能力非对称、攻防非对称、智能化未知恶意流量攻击场景。本发明实施例提供的天地融合网络恶意流量攻击主动抑制方法,通过多个与网络设备一一对应的过滤器对流量进行过滤,每个过滤器的过滤概率基于对应的网络设备的合法流量和总流量确定,利用网络流量分布多样性的特征,使得过滤器的过滤概率同样具有多样性,由于攻击者无法实现模仿每个网络设备的流量分布,从而在多个过滤器的作用下,恶意流量逐渐趋于零,攻击者的收益趋于零,使得攻击者由于费效比趋于零而主动放弃攻击,有效抑制了恶意流量攻击。并且,本发明实施例提供的天地融合网络恶意流量攻击主动抑制方法,能够容忍网络流量高动态性和节点故障;另外,本发明实施例提供的天地融合网络恶意流量攻击主动抑制方法具有兼容性,能够支持现有互联网的增量部署以及与现有被动安全防御机制兼容。
下面对本发明提供的天地融合网络恶意流量攻击主动抑制装置进行描述,下文描述的天地融合网络恶意流量攻击主动抑制装置与上文描述的天地融合网络恶意流量攻击主动抑制方法可相互对应参照。
图7是本发明实施例提供的天地融合网络恶意流量攻击主动抑制装置的结构示意图之一,如图7所示,本发明实施例提供的一种天地融合网络恶意流量攻击主动抑制装置,可以应用于天地融合网络系统,所述天地融合网络系统包括顺序连接的多个网络设备,每个所述网络设备包括如下模块:
网络监控模块710,用于获取各自的合法流量和各自的总流量;
过滤器配置模块720,用于基于所述合法流量和所述总流量确定过滤概率和过滤阈值;
过滤器730,用于在所述总流量高于所述过滤阈值的情况下,基于所述过滤概率对各自接收的数据包进行过滤。
在此需要说明的是,本发明实施例提供的上述装置,能够实现上述方法实施例所实现的所有方法步骤,且能够达到相同的技术效果,在此不再对本实施例中与方法实施例相同的部分及有益效果进行具体赘述。
图8是本发明实施例提供的天地融合网络恶意流量攻击主动抑制装置的结构示意图之二,如图8所示,一个实施例中,在每个开启过滤器的网络设备上,在现有防御机制之后增加后处理器,后处理器包括:网络监控模块,用于计算恶意流量攻击的严重程度;过滤器配置模块,用于对过滤器随时配置;过滤器按需启动模块用于启动过滤器。
在每个网络设备中这些模块的工作如下:
(1)网络监控模块用于估计合法流量Pn。合法流量Pn既可以通过离线分析获得,也可以通过在主机或路由器中使用标准流量监控功能在线评估。应理解,网络监控模块不需要100%精确的流量分布,因为基于多跳的流量差异性对流量动态具有鲁棒性;
(2)过滤器配置模块,用于对于每个流量类型k,设置一个新的随机过滤器,其激活阈值为其大小为/>
(3)过滤器按需启动模块,用于按需启动过滤器,根据运行时网络监控模块去判断是否应该启动过滤器,如果应该被启动,那么将过滤器连接到现有恶意流量防御规则的末尾(后处理原则),确保增量部署。
本发明实施例提供的恶意流量攻击抑制装置具有兼容性,能够支持与现有被动安全防御机制兼容。
在此需要说明的是,本发明实施例提供的上述装置,能够实现上述方法实施例所实现的所有方法步骤,且能够达到相同的技术效果,在此不再对本实施例中与方法实施例相同的部分及有益效果进行具体赘述。
图9示例了一种电子设备的实体结构示意图,如图9所示,该电子设备可以包括:处理器(processor)910、通信接口(Communications Interface)920、存储器(memory)930和通信总线940,其中,处理器910,通信接口920,存储器930通过通信总线940完成相互间的通信。处理器910可以调用存储器930中的逻辑指令,以执行一种天地融合网络恶意流量攻击主动抑制方法中每个网络设备的执行步骤,该方法应用于天地融合网络系统,所述天地融合网络系统包括顺序连接的多个网络设备,每个所述网络设备执行如下步骤:每个所述网络设备获取各自的合法流量和各自的总流量;每个所述网络设备基于所述合法流量和所述总流量确定过滤概率和过滤阈值;在所述总流量高于所述过滤阈值的情况下,与每个所述网络设备一一对应的过滤器基于所述过滤概率对各自接收的数据包进行过滤。
此外,上述的存储器930中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
另一方面,本发明还提供一种计算机程序产品,所述计算机程序产品包括计算机程序,计算机程序可存储在非暂态计算机可读存储介质上,所述计算机程序被处理器执行时,计算机能够执行上述各方法所提供的以执行一种天地融合网络恶意流量攻击主动抑制方法中每个网络设备的执行步骤,该方法应用于天地融合网络系统,所述天地融合网络系统包括顺序连接的多个网络设备,每个所述网络设备执行如下步骤:每个所述网络设备获取各自的合法流量和各自的总流量;每个所述网络设备基于所述合法流量和所述总流量确定过滤概率和过滤阈值;在所述总流量高于所述过滤阈值的情况下,与每个所述网络设备一一对应的过滤器基于所述过滤概率对各自接收的数据包进行过滤。
又一方面,本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现以执行上述各方法提供的以执行一种天地融合网络恶意流量攻击主动抑制方法中每个网络设备的执行步骤,该方法应用于天地融合网络系统,所述天地融合网络系统包括顺序连接的多个网络设备,每个所述网络设备执行如下步骤:每个所述网络设备获取各自的合法流量和各自的总流量;每个所述网络设备基于所述合法流量和所述总流量确定过滤概率和过滤阈值;在所述总流量高于所述过滤阈值的情况下,与每个所述网络设备一一对应的过滤器基于所述过滤概率对各自接收的数据包进行过滤。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (9)
1.一种天地融合网络恶意流量攻击主动抑制方法,其特征在于,应用于天地融合网络系统,所述天地融合网络系统包括顺序连接的多个网络设备,每个所述网络设备执行如下步骤:
每个所述网络设备获取各自的合法流量和各自的总流量;
每个所述网络设备基于所述合法流量和所述总流量确定过滤概率和过滤阈值,包括:
每个所述网络设备确定所述过滤阈值为所述合法流量;
每个所述网络设备确定所述过滤概率为所述合法流量和所述总流量的比值;
在所述总流量高于所述过滤阈值的情况下,与每个所述网络设备一一对应的过滤器基于所述过滤概率对各自接收的数据包进行过滤。
2.根据权利要求1所述的天地融合网络恶意流量攻击主动抑制方法,其特征在于,所述与每个所述网络设备一一对应的过滤器基于所述过滤概率对各自接收的数据包进行过滤之前,还包括:
每个所述网络设备基于所述合法流量和所述总流量确定每个所述网络设备的网络负载,基于所述网络负载确定启动所述过滤器。
3.根据权利要求2所述的天地融合网络恶意流量攻击主动抑制方法,其特征在于,所述方法还包括:
每个所述网络设备在确定启动所述过滤器的情况下启动第一定时器,确定所述网络负载增加且所述第一定时器超时,启动所述过滤器;所述第一定时器的定时时间是基于每个所述网络设备的合法流量确定的。
4.根据权利要求1所述的天地融合网络恶意流量攻击主动抑制方法,其特征在于,所述与每个所述网络设备一一对应的过滤器基于所述过滤概率对各自接收的数据包进行过滤之后,还包括:
每个所述网络设备基于所述合法流量和所述总流量确定每个所述网络设备的网络负载,基于所述网络负载确定关闭所述过滤器。
5.根据权利要求4所述的天地融合网络恶意流量攻击主动抑制方法,其特征在于,所述方法还包括:
每个所述网络设备在确定关闭所述过滤器的情况下启动第二定时器,确定所述网络负载降低且所述第二定时器超时,关闭所述过滤器;所述第二定时器的定时时间是基于每个所述网络设备的合法流量确定的。
6.根据权利要求1-3中任一项所述的天地融合网络恶意流量攻击主动抑制方法,其特征在于,所述过滤器基于预设过滤精度和设备处理能力确定过滤粒度。
7.根据权利要求1-3中任一项所述的天地融合网络恶意流量攻击主动抑制方法,其特征在于,所述过滤器基于随机丢包对各自接收的数据包进行过滤。
8.根据权利要求1-3中任一项所述的天地融合网络恶意流量攻击主动抑制方法,其特征在于,所述与每个所述网络设备一一对应的过滤器基于所述过滤概率对各自接收的数据包进行过滤之前,还包括:
每个所述网络设备执行以下任一操作或组合:
对所述数据包进行检测;
对所述数据包进行转发;
对所述数据包进行拦截。
9.根据权利要求2或3所述的天地融合网络恶意流量攻击主动抑制方法,其特征在于,所述每个所述网络设备基于所述合法流量和所述总流量确定每个所述网络设备的网络负载之前,还包括:
所述多个网络设备中的、预设的N个网络设备启动所述过滤器,其中,N为大于等于1的正整数。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210295508.3A CN114785551B (zh) | 2022-03-23 | 2022-03-23 | 天地融合网络恶意流量攻击主动抑制方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210295508.3A CN114785551B (zh) | 2022-03-23 | 2022-03-23 | 天地融合网络恶意流量攻击主动抑制方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114785551A CN114785551A (zh) | 2022-07-22 |
| CN114785551B true CN114785551B (zh) | 2024-03-26 |
Family
ID=82425814
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210295508.3A Active CN114785551B (zh) | 2022-03-23 | 2022-03-23 | 天地融合网络恶意流量攻击主动抑制方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114785551B (zh) |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101572701A (zh) * | 2009-02-10 | 2009-11-04 | 中科正阳信息安全技术有限公司 | 针对DNS服务的抗DDoS攻击安全网关系统 |
| CN111786967A (zh) * | 2020-06-17 | 2020-10-16 | 清华大学 | DDoS攻击的防御方法、系统、节点及存储介质 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090013404A1 (en) * | 2007-07-05 | 2009-01-08 | Alcatel Lucent | Distributed defence against DDoS attacks |
| KR101475935B1 (ko) * | 2013-06-20 | 2014-12-23 | 고려대학교 산학협력단 | 적응적 확률 기반 패킷 필터링 라우터 및 그 방법 |
| US20210112091A1 (en) * | 2019-10-10 | 2021-04-15 | Charter Communications Operating, Llc | Denial-of-service detection and mitigation solution |
-
2022
- 2022-03-23 CN CN202210295508.3A patent/CN114785551B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101572701A (zh) * | 2009-02-10 | 2009-11-04 | 中科正阳信息安全技术有限公司 | 针对DNS服务的抗DDoS攻击安全网关系统 |
| CN111786967A (zh) * | 2020-06-17 | 2020-10-16 | 清华大学 | DDoS攻击的防御方法、系统、节点及存储介质 |
Non-Patent Citations (1)
| Title |
|---|
| "软件定义网络DDoS联合检测系统";宋宇波等;《清华大学学报(自然科学版)》;20191231;第59卷(第1期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114785551A (zh) | 2022-07-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Eliyan et al. | DoS and DDoS attacks in Software Defined Networks: A survey of existing solutions and research challenges | |
| US9729562B2 (en) | Cross-layer correlation in secure cognitive network | |
| Shtern et al. | Towards mitigation of low and slow application ddos attacks | |
| Zolotukhin et al. | Reinforcement learning for attack mitigation in SDN-enabled networks | |
| Alharbi et al. | Experimental evaluation of the impact of DoS attacks in SDN | |
| Guerber et al. | Software defined network based architecture to improve security in a swarm of drones | |
| Bhushan | DDoS attack defense framework for cloud using fog computing | |
| Sattar et al. | Adaptive bubble burst (ABB): Mitigating DDoS attacks in software-defined networks | |
| Trabelsi et al. | Denial of firewalling attacks (dof): The case study of the emerging blacknurse attack | |
| Tandon | A survey of distributed denial of service attacks and defenses | |
| US20050246774A1 (en) | Network Amplification attack mitigation | |
| CN114785551B (zh) | 天地融合网络恶意流量攻击主动抑制方法及装置 | |
| Chen et al. | Defending link flooding attacks under incomplete information: A bayesian game approach | |
| Khosravifar et al. | An experience improving intrusion detection systems false alarm ratio by using honeypot | |
| Lei et al. | Network moving target defense technique based on self-adaptive end-point hopping | |
| Gao et al. | A multiphase dynamic deployment mechanism of virtualized honeypots based on intelligent attack path prediction | |
| Kärkkäinen | Developing cyber security architecture for military networks using cognitive networking | |
| Arivudainambi et al. | Performance analysis of security framework for software defined network architectures | |
| Yang et al. | Attack-resilient connectivity game for UAV networks using generative adversarial learning | |
| Liu et al. | Leverage SDN for Cyber‐Security Deception in Internet of Things | |
| Khirwadkar | Defense against network attacks using game theory | |
| Thang et al. | EVHS-Elastic Virtual Honeypot System for SDNFV-Based Networks | |
| Oliveira et al. | L3-arpsec–a secure openflow network controller module to control and protect the address resolution protocol | |
| Rathore et al. | A bio-inspired framework to mitigate dos attacks in software defined networking | |
| Lee et al. | Resiliency of network topologies under path-based attacks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |