CN115987639B - 攻击防御方法、装置、电子设备和存储介质 - Google Patents
攻击防御方法、装置、电子设备和存储介质 Download PDFInfo
- Publication number
- CN115987639B CN115987639B CN202211663557.4A CN202211663557A CN115987639B CN 115987639 B CN115987639 B CN 115987639B CN 202211663557 A CN202211663557 A CN 202211663557A CN 115987639 B CN115987639 B CN 115987639B
- Authority
- CN
- China
- Prior art keywords
- alarm information
- attack
- target
- determining
- section
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000007123 defense Effects 0.000 title claims abstract description 87
- 238000000034 method Methods 0.000 title claims abstract description 62
- 238000004140 cleaning Methods 0.000 claims abstract description 84
- 230000011218 segmentation Effects 0.000 claims abstract description 20
- 230000000694 effects Effects 0.000 claims description 20
- 238000012545 processing Methods 0.000 claims description 15
- 230000009286 beneficial effect Effects 0.000 abstract description 3
- 230000002159 abnormal effect Effects 0.000 description 10
- 238000001514 detection method Methods 0.000 description 10
- 238000005406 washing Methods 0.000 description 8
- 238000010586 diagram Methods 0.000 description 6
- 230000006870 function Effects 0.000 description 5
- 230000008569 process Effects 0.000 description 5
- 238000013461 design Methods 0.000 description 4
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 238000013459 approach Methods 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 230000001419 dependent effect Effects 0.000 description 2
- 238000011010 flushing procedure Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 1
- 230000018109 developmental process Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000000802 evaporation-induced self-assembly Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Classifications
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供一种攻击防御方法、装置、电子设备和存储介质,涉及互联网技术领域。该方法包括:获取告警信息,所述告警信息包括被攻击的目标互联网协议IP段的标识信息;基于所述告警信息,确定是否进行攻击防御;在确定进行攻击防御的情况下,基于所述目标IP段的长度、流量清洗设备的数量和流量清洗设备的清洗能力,确定所述目标IP段的分段策略;根据所述目标IP段的分段策略,将所述目标IP段划分为多个IP段;通过所述流量清洗设备并行对所述多个IP段的流量进行流量清洗。本申请的方法有利于提高对于网络攻击的防御效率。
Description
技术领域
本申请涉及互联网技术领域,尤其涉及一种攻击防御方法、装置、电子设备和存储介质。
背景技术
扫段攻击是一种属于分布式拒绝服务攻击(distribution denial of service,DDoS)的攻击方式。扫段攻击是指一个或多个攻击者同时向特定互联网协议(internetprotocol,IP)段中的一个或数个目标IP实施攻击的攻击方式。DDoS的攻击目标IP、攻击时长以及攻击频率会不断地、无规律地发生变化,使得用户的网络安全受到较大的挑战。
目前,对于扫段攻击的方式,通常采用DDoS防御的方法进行防御。DDoS检测设备在检测到DDoS流量后,根据DDoS流量,确定告警数据,并将告警数据发送至防御设备;然后防御设备根据来自DDoS检测设备的告警数据,确定攻击目标IP段,并依次对攻击目标IP段包括的每个IP进行防御。
然而,现有的防御方法对于网络攻击的防御效率较低。
发明内容
本申请提供了一种攻击防御方法、装置、电子设备和存储介质,有利于提高对于网络攻击的防御效率。
第一方面,本申请提供一种攻击防御方法,所述方法包括:
获取告警信息,所述告警信息包括被攻击的目标互联网协议IP段的标识信息;
基于所述告警信息,确定是否进行攻击防御;
在确定进行攻击防御的情况下,基于所述目标IP段的长度、流量清洗设备的数量和流量清洗设备的清洗能力,确定所述目标IP段的分段策略;
根据所述目标IP段的分段策略,将所述目标IP段划分为多个IP段;通过所述流量清洗设备并行对所述多个IP段的流量进行流量清洗。
在第一方面的某些实现方式中,所述告警信息还包括所述目标IP段的攻击流量值;所述基于所述告警信息,确定是否进行攻击防御,包括:确定所述攻击流量值是否大于或等于第一预设阈值;在所述攻击流量值大于或等于第一预设阈值的情况下,确定进行攻击防御。
在第一方面的某些实现方式中,所述防护策略还包括预设被攻击目标;所述基于所述告警信息,确定是否进行攻击防御,包括:确定所述目标IP段是否属于所述预设被攻击目标;在所述目标IP段属于所述预设被攻击目标的情况下,确定进行攻击防御。
在第一方面的某些实现方式中,所述预设被攻击目标的数量为多个,每个预设被攻击目标对应不同的预设阈值,所述方法还包括:将所述目标IP段对应的预设阈值确定为所述第一预设阈值。
在第一方面的某些实现方式中,在所述通过所述流量清洗设备并行对所述多个IP段的流量进行流量清洗之后,所述方法还包括:获取新的告警信息;基于所述告警信息和所述新的告警信息,确定所述优化后的防护策略。
在第一方面的某些实现方式中,所述新的告警信息中包括防护后的所述目标IP段的新的攻击流量值;所述基于所述告警信息和所述新的告警信息,确定所述优化后的防护策略,包括:基于所述告警信息中包括的攻击流量值和所述新的告警信息中包括的新的攻击流量值,确定防护效果;基于所述防护效果,对所述防护策略进行优化。
在第一方面的某些实现方式中,所述告警信息还包括用于指示处于攻击状态的信息,所述新的告警信息还包括用于指示未处于攻击状态的信息;所述基于所述告警信息和所述新的告警信息,确定所述优化后的防护策略,包括:基于所述告警信息和所述新的告警信息之间的时差,确定防护所需时长;基于所述防护所需时长,对所述防护策略进行优化。
在第一方面的某些实现方式中,所述攻击为分布式拒绝服务攻击DDoS。
第二方面,本申请提供一种攻击防御装置,所述装置包括:获取模块,用于获取告警信息,所述告警信息包括被攻击的目标互联网协议IP段的标识信息;处理模块,用于基于所述告警信息,确定是否进行攻击防御;在确定进行攻击防御的情况下,基于所述目标IP段的长度、流量清洗设备的数量和流量清洗设备的清洗能力,确定所述目标IP段的分段策略;根据所述目标IP段的分段策略,将所述目标IP段划分为多个IP段;通过所述流量清洗设备并行对所述多个IP段的流量进行流量清洗。
第三方面,本申请提供一种电子设备,包括:
至少一个处理器和存储器;
所述存储器存储计算机执行指令;
所述至少一个处理器执行所述存储器存储的计算机执行指令,使得所述至少一个处理器执行如上第一方面所述的攻击防御方法。
第四方面,本申请提供一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机执行指令,当处理器执行所述计算机执行指令时,实现如上第一方面所述的攻击防御方法。
本申请提供的一种攻击防御方法,通过告警信息确定是否进行防御,在确定进行防御的情况下,根据告警信息确定被攻击的目标IP段的分段策略,依据分段策略将目标IP段划分为多个IP段,这样,流量清洗设备能够对划分后的多个IP段并行的进行流量清洗,提高了流量清洗设备对于异常流量的清洗效率,从而有利于提高对于网络攻击的防御效率。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本申请的实施例,并与说明书一起用于解释本申请的原理。
图1为本申请实施例提供的防御系统的架构示意图;
图2为本申请实施例提供的攻击防御方法的流程示意图;
图3为本申请实施例提供的攻击防御装置的结构示意图;
图4为本申请实施例提供的攻击防御的硬件结构图。
通过上述附图,已示出本申请明确的实施例,后文中将有更详细的描述。这些附图和文字描述并不是为了通过任何方式限制本申请构思的范围,而是通过参考特定实施例为本领域技术人员说明本申请的概念。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请的实施例中,采用了“第一”、“第二”等字样对功能和作用基本相同的相同项或相似项进行区分。例如,第一数值和第二数值仅仅是为了区分不同的数值,并不对其先后顺序进行限定。本领域技术人员可以理解“第一”、“第二”等字样并不对数量和执行次序进行限定,并且“第一”、“第二”等字样也并不限定一定不同。
需要说明的是,本申请实施例中,“示例性地”或者“例如”等词用于表示作例子、例证或说明。本申请中被描述为“示例性地”或者“例如”的任何实施例或设计方案不应被解释为比其他实施例或设计方案更优选或更具优势。确切而言,使用“示例性地”或者“例如”等词旨在以具体方式呈现相关概念。
本申请实施例中,“至少一个”是指一个或者多个,“多个”是指两个或两个以上。“和/或”,描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B的情况,其中A,B可以是单数或者复数。字符“/”一般表示前后关联对象是一种“或”的关系。“以下至少一项(个)”或其类似表达,是指的这些项中的任意组合,包括单项(个)或复数项(个)的任意组合。例如,a,b,或c中的至少一项(个),可以表示:a,b,c,a-b,a--c,b-c,或a-b-c,其中a,b,c可以是单个,也可以是多个。在本申请的实施例中,采用了“第一”、“第二”等字样对功能和作用基本相同的相同项或相似项进行区分。例如,第一数值和第二数值仅仅是为了区分不同的数值,并不对其先后顺序进行限定。本领域技术人员可以理解“第一”、“第二”等字样并不对数量和执行次序进行限定,并且“第一”、“第二”等字样也并不限定一定不同。
需要说明的是,本申请实施例中,“示例性地”或者“例如”等词用于表示作例子、例证或说明。本申请中被描述为“示例性地”或者“例如”的任何实施例或设计方案不应被解释为比其他实施例或设计方案更优选或更具优势。确切而言,使用“示例性地”或者“例如”等词旨在以具体方式呈现相关概念。
本申请实施例中,“至少一个”是指一个或者多个,“多个”是指两个或两个以上。“和/或”,描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B的情况,其中A,B可以是单数或者复数。字符“/”一般表示前后关联对象是一种“或”的关系。“以下至少一项(个)”或其类似表达,是指的这些项中的任意组合,包括单项(个)或复数项(个)的任意组合。例如,a,b,或c中的至少一项(个),可以表示:a,b,c,a-b,a--c,b-c,或a-b-c,其中a,b,c可以是单个,也可以是多个。
DDoS是一种分布的、协同的大规模攻击方式,是指处于不同位置的多个攻击者同时向一个或数个目标发动攻击,或者一个攻击者控制了位于不同位置的多台机器并利用这些机器对受害者同时实施攻击的一种攻击方式。
随着互联网领域的发展,DDoS也愈演愈烈,使得用户的网络安全受到威胁。例如,目前兴起的扫段攻击,是由DDoS演变而来的一种新型的DDoS攻击方式。攻击方在采用扫段攻击的攻击方式进行攻击时,被攻击方通常为一段特定的目标IP段,然而,在攻击过程中,被攻击的IP通常在该目标IP段内不断发生变化。示例性地,在一次攻击事件中,被攻击方共包括30个IP,该30个IP为目标IP段,攻击时间共30min,攻击方在进行攻击时,前十分钟,被攻击的IP共变换了5次,每次选择30个IP为目标IP段中的任意10个IP进行攻击,并且每次的攻击时间均不相同。在后二十分钟,被攻击的IP共变换了20次,每次选择30个IP为目标IP段中的任意6个IP进行攻击,并且每次的攻击时间均不相同。由此可见,扫段攻击的攻击目标和攻击时间不断发生变化,使得目前的防御方法受到较大的挑战。
目前,对于扫段攻击的攻击方式通常采用DDoS防御方法进行防御。DDoS防御方法应用于防御系统,防御系统的系统架构如图1所示。
图1为本申请实施例提供的一种防御系统100的系统架构示意图。系统100包括第一设备、第二设备和第三设备。其中,第一设备可以检测网络攻击流量,并根据网络攻击流量确定告警信息,将告警信息发送至第二设备。第二设备根据告警信息确定防御策略,并将防御策略发送至第三设备。第三设备根据防御策略对网络攻击进行防御,具体可以为对网络攻击流量进行流量清洗。
需要说明的是,图1只是以示例的形式示意一种系统架构,在本申请中不对防御系统中所包含的设备的个数做具体限制,同时不对设备形态做具体显示。
下面,以攻击为DDoS,第一设备为DDoS检测设备,第二设备为防御策略确定设备,第三设备为DDoS流量清洗设备为例,对DDoS防御方法进行详细说明。
DDoS检测设备可以按照网络协议栈的规范对流入机房的业务流量的数据包进行解析,确定来自DDoS的攻击流量。DDoS检测设备根据来自DDoS的攻击流量,生成告警信息,并将告警信息发送至防御策略确定设备,告警信息可以包括被攻击的IP等信息。防御策略确定设备基于告警信息,依次对被攻击的IP进行流量清洗。流量清洗过程具体可以为:防御策略确定设备向DDoS流量清洗设备发送防御策略,防御策略用于指示DDoS流量清洗设备对被攻击的目标IP段依次进行网络攻击流量清洗。DDoS流量清洗设备根据防御策略将来自DDoS的网络攻击流量删除,使得来自DDoS的网络攻击流量不会流入机房的网络设备、终端设备或者服务器。
可以理解,DDoS检测设备可以为终端设备、服务器等设备,DDoS流量清洗设备可以为机房入口的路由器或者核心交换机,防御策略确定设备可以为终端设备、服务器等设备。并且,DDoS检测设备、防御策略生成设备和DDoS流量清洗设备的数量均可以为一台或者多台,本申请不对DDoS检测设备、防御策略生成设备和DDoS流量清洗设备的数量和形态做具体限制。
然而,被攻击的IP通常为IP段,现有的防御方法,在对来自DDoS的网络攻击流量进行流量清洗时,需要依次对被攻击的IP段中的每个IP进行流量清洗,使得目前的防御方法的防御效率较低。并且现有的防御方法无法随着被攻击的IP和攻击时间的变化而及时变化,使得目前的DDoS防御方法存在防护不及时的问题。
为了解决上述技术问题,本申请提供一种攻击防御方法,首先根据告警信息确定被攻击的目标IP段的分段策略,依据分段策略将目标IP段划分为多个IP段,这样,流量清洗设备能够对划分后的多个IP段并行的进行流量清洗,提高了流量清洗设备对于攻击流量的清洗效率,有利于提高对于网络攻击的防御效率。
下面,通过具体实施例对本申请所示的技术方案进行详细说明。需要说明的是,下面几个具体实施例可以相互结合,对于相同或相似的内容,在不同的实施例中不再重复说明。
本申请实施例提供的攻击防御方法可以由服务器或者终端设备执行,例如可以为图1中所示的第二设备。下面以服务器为例,对本申请实施例的攻击防御方法进行详细说明。
图2为本申请实施例提供的攻击防御方法200的流程示意图一。如图2所示,方法200包括:
S201、获取告警信息,告警信息包括被攻击的目标互联网协议IP段的标识信息。
应理解,告警信息可以为检测设备在检测到攻击流量后,基于攻击流量确定后,发送至服务器的信息,也可以为服务器检测到攻击流量后,基于攻击流量确定的信息。告警信息用于提示服务器当前存在IP段被攻击。目标IP段指被攻击的IP段,例如从192.168.0.1到192.168.255.255。标识信息用于标识被攻击的IP段,例如对于处于被监测状态的一段IP段,当服务器接收或者生成告警信息时,说明该一段IP段中存在一个或者多个IP被攻击,这样,告警信息中会存在标识信息,该标识信息用于标识该被攻击的IP。示例性地,192.168.0.1、192.168.0.2、192.168.0.3、192.168.0.4以及192.168.0.5处于被检测状态,该五个IP可以依次分别用01、02、03、04以及05标识,01、02、03、04以及05即为上述五个IP的标识信息。当检测设备检测到192.168.0.1和192.168.0.2被攻击时,生成的告警信息中则包括01和02,用于表示192.168.0.1和192.168.0.2被攻击。
S202、基于告警信息,确定是否进行攻击防御。
应理解,攻击防御可以指对网络攻击流量进行删除的过程。
S203、在确定进行攻击防御的情况下,基于目标IP段的长度、流量清洗设备的数量和流量清洗设备的清洗能力,确定目标IP段的分段策略。
应理解,目标IP段的长度具体可以指目标IP段所包含的IP的个数,示例性地,假设目标IP段为192.168.0.1至192.168.0.5,则目标IP段的长度可以用5表示。流量清洗设备具体可以指具有流量清洗功能的路由器或者核心交换机等设备。流量清洗设备的数量可以为一台或者多台。流量清洗设备的清洗能力可以指流量清洗设备能够清洗的IP段的长度。
在一种可能的实施方式中,流量清洗设备的数量为1,目标IP段的长度大于或等于第一阈值的情况下,将目标IP段划分为N段,N为大于1的正整数。
在另一种可能的实施方式中,流量清洗设备的数量为多个,目标IP段的长度小于或等于第二阈值的情况下,根据多个流量清洗设备的清洗能力比例,将目标IP段划分为M段,M为流量清洗设备的数量。示例性地,目标IP段的长度为a,a小于第二阈值,流量清洗设备的数量为3个:第一流量清洗设备、第二流量清洗设备以及第三流量清洗设备,且三个流量清洗设备的清洗能力比例为1:2:3,则按照1:2:3的比例将目标IP段划分为3段:第一IP段、第二IP段以及第三IP段,第一IP段、第二IP段以及第三IP段的长度的比值为1:2:3。
在目标IP段的长度大于第二阈值的情况下,根据多个流量清洗设备的清洗能力比例,将目标IP段划分为K段,K为正整数,K大于流量清洗设备的数量。
S204、根据目标IP段的分段策略,将目标IP段划分为多个IP段。
应理解,多个IP段中的每个IP段可以包括一个或者多个IP。并且,多个IP段的总和即为目标IP段。
S205、通过流量清洗设备并行对多个IP段的流量进行流量清洗。
应理解,流量指异常流量,对异常流量进行清洗,即删除异常流量,阻止异常流量进入机房。
本申请实施例提供的攻击防御方法,通过告警信息确定是否进行防御,在确定进行防御的情况下,根据告警信息确定被攻击的目标IP段的分段策略,依据分段策略将目标IP段划分为多个IP段,这样,流量清洗设备能够对划分后的多个IP段并行的进行流量清洗,提高了流量清洗设备对于异常流量的清洗效率,有利于提高对于网络攻击的防御效率。
作为一个可选的实施例,告警信息还包括目标IP段的攻击流量值;S202具体通过以下方式实现:确定攻击流量值是否大于或等于第一预设阈值;在攻击流量值大于或等于第一预设阈值的情况下,确定进行攻击防御。
应理解,第一预设阈值为预设的流量值的大小,例如1GB、10GB等。攻击流量值为向目标IP段传输的异常流量的总和,也可以为向目标IP段传输的异常流量的平均值。在攻击流量值小于第一预设阈值的情况下,无需进行攻击防御;在攻击流量值是否大于或等于第一预设阈值的情况下,进行攻击防御。由于在攻击流量值小于第一预设阈值时,设备在接收异常流量后,不会对设备的性能产生较大的影响,该设备仍然能够正常运行,因此,此时无需进行攻击防御。这样,既能够降低流量清洗设备的功耗,还能够保证设备在接收异常流量攻击后,仍保持正常运行。
作为一个可选的实施例,防护策略还包括预设被攻击目标;S202具体通过以下方式实现:确定目标IP段是否属于预设被攻击目标;在目标IP段属于预设被攻击目标的情况下,确定进行攻击防御。
应理解,预设被攻击目标指任意一段或者多段被监测的IP段。当目标IP段属于被攻击目标时,流量清洗设备进行攻击防御。对于被监测的IP段,其中,部分IP对应的设备在被攻击后,不会影响部分IP对应的设备的正常运行,同时不会影响被监测的IP段对应的集群的业务处理,这样,当目标IP段为该部分IP时,无需进行攻击防御。有助于在保证被监测的IP段对应的集群的正常运行的情况下,减小流量清洗设备的功耗。
在一种可能的实施方式中,预设被攻击目标的数量为多个,每个预设被攻击目标对应不同的预设阈值,方法还包括:将目标IP段对应的预设阈值确定为第一预设阈值。
应理解,预设被攻击目标指预设的被攻击的IP或者IP段。预设被攻击目标的数量可以为一个或者多个。预设阈值为预设的在防御攻击时目标IP段接受网络攻击流量的大小,即目标IP段接受的网络攻击流量大于或者等于预设阈值的情况下,流量清洗设备对网络攻击进行防御。预设阈值为任意网络流量大小,例如10GB、5GB、1TB等。在预设被攻击目标的数量为多个的情况下,不同的预设被攻击目标对应的设备的性能可能不同,这样,不同的预设被攻击目标对应的预设阈值不同,设备性能较高的预设被攻击目标对应的预设阈值可以大于设备性能较低的预设被攻击目标,这样,在不影响预设被攻击目标对应的设备的正常运行的情况下,有助于降低流量清洗设备的功耗。示例性地,假设预设被攻击目标包括第一IP段和第二IP段,第一IP段对应的设备的运行内存大于第二IP段对应的设备的运行内存,第一IP段对应的预设阈值为5GB,第二设备对应的预设阈值为3GB。由于第一IP段对应的设备的性能高于第二IP段对应的设备,第一IP段对应的设备接受的网络攻击流量为3GB的情况下,不影响第一IP段对应的设备的正常运行。因此,第一IP段对应的预设阈值大于3GB。
作为一个可选的实施例,在通过流量清洗设备并行对多个IP段的流量5进行流量清洗之后,方法还包括:获取新的告警信息;基于告警信息和新的
告警信息,确定优化后的防护策略。
应理解,方法200中S201至S205是重复执行的。服务器会不断接收新的告警信息。随着被攻击的目标IP段等信息的变化,告警信息所包含
的内容不断发生变化,这样,服务器能够根据新的告警信息确定新的防护0策略,能够不断的更新防护策略,以实现对网络攻击的有效防御。
作为一个可选的实施例,新的告警信息中包括防护后的目标IP段的新的攻击流量值;基于告警信息和新的告警信息,确定优化后的防护策略,包括:基于告警信息中包括的攻击流量值和新的告警信息中包括的新的攻击流量值,确定防护效果;基于防护效果,对防护策略进行优化。
5应理解,随着流量清洗设备对于网络攻击流量的清洗,目标IP段的新的攻击流量值会降低。防护效果可以指流量清洗设备对于网络攻击流量的清洗效果,在流量清洗设备对于网络攻击流量的清洗量越大的情况下,防护效果越好。具体地,防护效果可以根据告警信息中包括的攻击流量值
和新的告警信息中包括的新的攻击流量值之间的差值确定,该差值越大,0防护效果越好。根据防护效果对防护策略进行不断的优化,能够在防御过
程中,不断优化防护策略,提高对于网络攻击的防御效率。
作为一个可选的实施例,告警信息还包括用于指示处于攻击状态的信息,新的告警信息还包括用于指示未处于攻击状态的信息;基于告警信息
和新的告警信息,确定优化后的防护策略,包括:基于告警信息和新的告5警信息之间的时差,确定防护所需时长;基于防护所需时长,对防护策略
进行优化。
应理解,在目标IP段接收的网络攻击流量大于第三预设阈值的情况下,认为处于攻击状态;在目标IP段接收的网络攻击流量小于第三预设
阈值的情况下,认为未处于攻击状态。流量清洗设备清洗网络攻击流量所0需的时间越长,防护所需时长越长,则对应的防护效果较差。基于防护所需时长,对防护策略进行优化,能够提高对于网络攻击的防御效率。
作为一个可选的实施例,攻击为分布式拒绝服务攻击DDoS。
应理解,攻击可以为DDoS,在攻击为DDoS的情况下,可以采用方法200进行防御,这样,能够提高对于DDoS的防御效率。
应理解,上述各方法的序号的大小并不意味着执行顺序的先后,各方法的执行顺序应以其功能和内在逻辑确定。
上文结合图1至图2,详细描述了本申请实施例的攻击防御方法,下面结合图3和图4,详细描述本申请实施例的攻击防御装置。
图3为本申请实施例提供的攻击防御装置300的结构示意图。如图3所示,装置300包括:获取模块301和处理模块302。
获取模块301,用于获取告警信息,告警信息包括被攻击的目标互联网协议IP段的标识信息;
处理模块302,用于基于告警信息,确定是否进行攻击防御;在确定进行攻击防御的情况下,基于目标IP段的长度、流量清洗设备的数量和流量清洗设备的清洗能力,确定目标IP段的分段策略;根据目标IP段的分段策略,将目标IP段划分为多个IP段;通过流量清洗设备并行对多个IP段的流量进行流量清洗。
可选地,告警信息还包括目标IP段的攻击流量值;处理模块302具体用于:确定攻击流量值是否大于或等于第一预设阈值;在攻击流量值大于或等于第一预设阈值的情况下,确定进行攻击防御。
可选地,防护策略还包括预设被攻击目标;处理模块302具体用于:确定目标IP段是否属于预设被攻击目标;在目标IP段属于预设被攻击目标的情况下,确定进行攻击防御。
可选地,预设被攻击目标的数量为多个,每个预设被攻击目标对应不同的预设阈值;处理模块302还用于:将目标IP段对应的预设阈值确定为第一预设阈值。
可选地,在通过流量清洗设备并行对多个IP段的流量进行流量清洗之后,获取模块301还用于:获取新的告警信息;处理模块302还用于:基于告警信息和新的告警信息,确定优化后的防护策略。
可选地,新的告警信息中包括防护后的目标IP段的新的攻击流量值;处理模块302具体用于:基于告警信息中包括的攻击流量值和新的告警信息中包括的新的攻击流量值,确定防护效果;基于防护效果,对防护策略进行优化。
可选地,告警信息还包括用于指示处于攻击状态的信息,新的告警信息还包括用于指示未处于攻击状态的信息;处理模块302具体用于:基于告警信息和新的告警信息之间的时差,确定防护所需时长;基于防护所需时长,对防护策略进行优化。
可选地,攻击为分布式拒绝服务攻击DDoS。
本申请实施例提供的一种攻击防御装置,适用于上述方法实施例,在此不再赘述。
图4为本申请实施例提供的电子设备400的硬件结构图。如图4所示,电子设备400包括:
至少一个处理器401和存储器402;
存储器402存储计算机执行指令;
至少一个处理器401执行存储器402存储的计算机执行指令,使得至少一个处理器401执行如上的边缘节点的访问处理方法。
处理器401的具体实现过程可参见上述方法实施例,其实现原理和技术效果类似,本实施例此处不再赘述。
其中,处理器401、存储器402通过总线403连接。
本发明实施例还提供一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机执行指令,所述计算机执行指令被处理器执行时用于实现如上所述的攻击防御方法。
在上述的实施例中,应该理解到,所揭露的设备和方法,可以通过其它的方式实现。例如,以上所描述的设备实施例仅仅是示意性的,例如,所述模块的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个模块可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或模块的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能模块可以集成在一个处理单元中,也可以是各个模块单独物理存在,也可以两个或两个以上模块集成在一个单元中。上述模块成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
上述以软件功能模块的形式实现的集成的模块,可以存储在一个计算机可读取存储介质中。上述软件功能模块存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)或处理器(英文:processor)执行本申请各个实施例所述的方法的部分步骤。
应理解,上述处理器可以是中央处理单元(英文:Central Processing Unit,简称:CPU),还可以是其他通用处理器、数字信号处理器(英文:Digital Signal Processor,简称:DSP)、专用集成电路(英文:Application Specific Integrated Circuit,简称:ASIC)等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合发明所公开的方法的步骤可以直接体现为硬件处理器执行完成,或者用处理器中的硬件及软件模块组合执行完成。
存储器可能包含高速RAM存储器,也可能还包括非易失性存储NVM,例如至少一个磁盘存储器,还可以为U盘、移动硬盘、只读存储器、磁盘或光盘等。
总线可以是工业标准体系结构(Industry Standard Architecture,ISA)总线、外部设备互连(Peripheral Component,PCI)总线或扩展工业标准体系结构(ExtendedIndustry Standard Architecture,EISA)总线等。总线可以分为地址总线、数据总线、控制总线等。为便于表示,本申请附图中的总线并不限定仅有一根总线或一种类型的总线。
上述存储介质可以是由任何类型的易失性或非易失性存储设备或者它们的组合实现,如静态随机存取存储器(SRAM),电可擦除可编程只读存储器(EEPROM),可擦除可编程只读存储器(EPROM),可编程只读存储器(PROM),只读存储器(ROM),磁存储器,快闪存储器,磁盘或光盘。存储介质可以是通用或专用计算机能够存取的任何可用介质。
一种示例性的存储介质耦合至处理器,从而使处理器能够从该存储介质读取信息,且可向该存储介质写入信息。当然,存储介质也可以是处理器的组成部分。处理器和存储介质可以位于专用集成电路(Application Specific Integrated Circuits,简称:ASIC)中。当然,处理器和存储介质也可以作为分立组件存在于终端或服务器中。
本领域普通技术人员可以理解:实现上述各方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成。前述的程序可以存储于一计算机可读取存储介质中。该程序在执行时,执行包括上述各方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。
Claims (8)
1.一种攻击防御方法,其特征在于,包括:
获取告警信息,所述告警信息包括被攻击的目标互联网协议IP段的标识信息;
基于所述告警信息,确定是否进行攻击防御;
在确定进行攻击防御的情况下,基于所述目标IP段的长度、流量清洗设备的数量和流量清洗设备的清洗能力,确定所述目标IP段的分段策略;
根据所述目标IP段的分段策略,将所述目标IP段划分为多个IP段;
通过所述流量清洗设备并行对所述多个IP段的流量进行流量清洗;
获取新的告警信息;
基于所述告警信息和所述新的告警信息,确定优化后的防护策略;
所述新的告警信息中包括防护后的所述目标IP段的新的攻击流量值;
所述基于所述告警信息和所述新的告警信息,确定所述优化后的防护策略,包括:
基于所述告警信息中包括的攻击流量值和所述新的告警信息中包括的新的攻击流量值,确定防护效果;
基于所述防护效果,对所述防护策略进行优化;
所述告警信息还包括用于指示处于攻击状态的信息,所述新的告警信息还包括用于指示未处于攻击状态的信息;
所述基于所述告警信息和所述新的告警信息,确定所述优化后的防护策略,包括:
基于所述告警信息和所述新的告警信息之间的时差,确定防护所需时长;
基于所述防护所需时长,对所述防护策略进行优化。
2.根据权利要求1所述的方法,其特征在于,所述告警信息还包括所述目标IP段的攻击流量值;
所述基于所述告警信息,确定是否进行攻击防御,包括:
确定所述攻击流量值是否大于或等于第一预设阈值;
在所述攻击流量值大于或等于第一预设阈值的情况下,确定进行攻击防御。
3.根据权利要求2所述的方法,其特征在于,所述防护策略还包括预设被攻击目标;
所述基于所述告警信息,确定是否进行攻击防御,包括:
确定所述目标IP段是否属于所述预设被攻击目标;
在所述目标IP段属于所述预设被攻击目标的情况下,确定进行攻击防御。
4.根据权利要求3所述的方法,其特征在于,所述预设被攻击目标的数量为多个,每个预设被攻击目标对应不同的预设阈值,所述方法还包括:
将所述目标IP段对应的预设阈值确定为所述第一预设阈值。
5.根据权利要求1至4任一项所述的方法,其特征在于,所述攻击为分布式拒绝服务攻击DDoS。
6.一种攻击防御装置,其特征在于,包括:
获取模块,用于获取告警信息,所述告警信息包括被攻击的目标互联网协议IP段的标识信息;
处理模块,用于基于所述告警信息,确定是否进行攻击防御;在确定进行攻击防御的情况下,基于所述目标IP段的长度、流量清洗设备的数量和流量清洗设备的清洗能力,确定所述目标IP段的分段策略;根据所述目标IP段的分段策略,将所述目标IP段划分为多个IP段;通过所述流量清洗设备并行对所述多个IP段的流量进行流量清洗;
确定模块,用于获取新的告警信息;并基于所述告警信息和所述新的告警信息,确定优化后的防护策略;
所述新的告警信息中包括防护后的所述目标IP段的新的攻击流量值;
所述确定模块具体用于:基于所述告警信息中包括的攻击流量值和所述新的告警信息中包括的新的攻击流量值,确定防护效果;并基于所述防护效果,对所述防护策略进行优化;
所述告警信息还包括用于指示处于攻击状态的信息,所述新的告警信息还包括用于指示未处于攻击状态的信息;
所述确定模块还具体用于:基于所述告警信息和所述新的告警信息之间的时差,确定防护所需时长;并基于所述防护所需时长,对所述防护策略进行优化。
7.一种电子设备,其特征在于,包括:至少一个处理器和存储器;
所述存储器存储计算机执行指令;
所述至少一个处理器执行所述存储器存储的计算机执行指令,使得所述至少一个处理器执行如权利要求1-5任一项所述的攻击防御方法。
8.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机执行指令,所述计算机执行指令被处理器执行时用于实现如权利要求1-5任一项所述的攻击防御方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211663557.4A CN115987639B (zh) | 2022-12-23 | 2022-12-23 | 攻击防御方法、装置、电子设备和存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211663557.4A CN115987639B (zh) | 2022-12-23 | 2022-12-23 | 攻击防御方法、装置、电子设备和存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN115987639A CN115987639A (zh) | 2023-04-18 |
CN115987639B true CN115987639B (zh) | 2024-04-09 |
Family
ID=85957423
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211663557.4A Active CN115987639B (zh) | 2022-12-23 | 2022-12-23 | 攻击防御方法、装置、电子设备和存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115987639B (zh) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102291411A (zh) * | 2011-08-18 | 2011-12-21 | 网宿科技股份有限公司 | 针对dns服务的防ddos攻击方法和系统 |
CN106254353A (zh) * | 2016-08-05 | 2016-12-21 | 杭州迪普科技有限公司 | 入侵防护策略的更新方法及装置 |
CN108234404A (zh) * | 2016-12-15 | 2018-06-29 | 腾讯科技(深圳)有限公司 | 一种DDoS攻击的防御方法、系统及相关设备 |
CN109587167A (zh) * | 2018-12-28 | 2019-04-05 | 杭州迪普科技股份有限公司 | 一种报文处理的方法和装置 |
CN111224924A (zh) * | 2018-11-27 | 2020-06-02 | 北京金山云网络技术有限公司 | 流量处理方法、装置、电子设备及存储介质 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP3355514B1 (en) * | 2016-03-29 | 2019-08-21 | Huawei Technologies Co., Ltd. | Method and device for transmitting network attack defense policy and method and device for defending against network attack |
-
2022
- 2022-12-23 CN CN202211663557.4A patent/CN115987639B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102291411A (zh) * | 2011-08-18 | 2011-12-21 | 网宿科技股份有限公司 | 针对dns服务的防ddos攻击方法和系统 |
CN106254353A (zh) * | 2016-08-05 | 2016-12-21 | 杭州迪普科技有限公司 | 入侵防护策略的更新方法及装置 |
CN108234404A (zh) * | 2016-12-15 | 2018-06-29 | 腾讯科技(深圳)有限公司 | 一种DDoS攻击的防御方法、系统及相关设备 |
CN111224924A (zh) * | 2018-11-27 | 2020-06-02 | 北京金山云网络技术有限公司 | 流量处理方法、装置、电子设备及存储介质 |
CN109587167A (zh) * | 2018-12-28 | 2019-04-05 | 杭州迪普科技股份有限公司 | 一种报文处理的方法和装置 |
Also Published As
Publication number | Publication date |
---|---|
CN115987639A (zh) | 2023-04-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106161451B (zh) | 防御cc攻击的方法、装置及系统 | |
CN108696498B (zh) | 检测和防范对计算机存储阵列的拒绝服务攻击的系统 | |
US8341740B2 (en) | Method and system for identifying enterprise network hosts infected with slow and/or distributed scanning malware | |
Zhang et al. | FTGuard: A priority-aware strategy against the flow table overflow attack in SDN | |
US20040064737A1 (en) | Hash-based systems and methods for detecting and preventing transmission of polymorphic network worms and viruses | |
US20150040228A1 (en) | Selection of a countermeasure | |
US20100205671A1 (en) | Hash-based systems and methods for detecting and preventing transmission of polymorphic network worms and viruses | |
US11863570B2 (en) | Blockchain-based network security system and processing method | |
US20070237080A1 (en) | Platform-based method and apparatus for containing worms using multi-timescale heuristics | |
CN101447996A (zh) | 分布式拒绝服务攻击防护方法、系统及设备 | |
CN109657463B (zh) | 一种报文洪泛攻击的防御方法及装置 | |
CN108243191A (zh) | 风险行为识别方法、存储介质、设备及系统 | |
CN114726557A (zh) | 一种网络安全防护方法及装置 | |
CN108712365B (zh) | 一种基于流量日志的DDoS攻击事件检测方法及系统 | |
US10171492B2 (en) | Denial-of-service (DoS) mitigation based on health of protected network device | |
CN113824700B (zh) | 基于端口相似性的双阶段软件定义网络流表溢出防御方法 | |
CN108183884A (zh) | 一种网络攻击判定方法及装置 | |
CN115987639B (zh) | 攻击防御方法、装置、电子设备和存储介质 | |
CN104184746B (zh) | 网关处理数据的方法和装置 | |
CN101183433B (zh) | 客户识别模块卡数据保护方法和客户识别模块卡 | |
CN111586018B (zh) | 一种流量清洗方法及装置 | |
CN117411711A (zh) | 一种入侵检测防御系统的威胁阻断方法 | |
CN113765914B (zh) | Cc攻击防护方法、系统、计算机设备及可读存储介质 | |
CN115208672A (zh) | 黑名单调整方法、装置、电子设备和计算机可读存储介质 | |
CN105554041B (zh) | 一种检测基于流表超时机制的分布式拒绝服务攻击的方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |