CN116781303A - 一种DDoS攻击防护方法和相关装置 - Google Patents

一种DDoS攻击防护方法和相关装置 Download PDF

Info

Publication number
CN116781303A
CN116781303A CN202210234372.5A CN202210234372A CN116781303A CN 116781303 A CN116781303 A CN 116781303A CN 202210234372 A CN202210234372 A CN 202210234372A CN 116781303 A CN116781303 A CN 116781303A
Authority
CN
China
Prior art keywords
data packet
identifier
target
flow data
packet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210234372.5A
Other languages
English (en)
Inventor
刘明星
耿竞一
赵乙
刘莹
徐恪
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Tencent Technology Shenzhen Co Ltd
Original Assignee
Tencent Technology Shenzhen Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Tencent Technology Shenzhen Co Ltd filed Critical Tencent Technology Shenzhen Co Ltd
Priority to CN202210234372.5A priority Critical patent/CN116781303A/zh
Publication of CN116781303A publication Critical patent/CN116781303A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请公开一种DDoS攻击防护方法和相关装置,涉及网络安全技术领域。本申请实施例可应用于云技术、车联网、智慧交通和人工智能等各种场景中。在该方法中,目的网关在接收到至少一个流量数据包,其中,每个流量数据包携带有源网关添加的至少一个数据特征标识后,可以对至少一个流量数据包各自对应的至少一个数据特征标识进行频度统计,确定出相应的数据特征分布,当根据该数据特征分布,确定存在目标DDoS攻击类型时,可以对该目标DDoS攻击类型对应的目标流量数据包进行过滤。与相关技术相比,本申请可以允许目的网关方便快速地识别和过滤DDoS流量,从而节约网络带宽,降低识别成本。

Description

一种DDoS攻击防护方法和相关装置
技术领域
本申请实施例涉及网络安全技术领域,尤其涉及一种DDoS攻击防护方法和相关装置。
背景技术
分布式拒绝服务(Distributed Denial of Service,DDoS)攻击是指通过大规模互联网流量淹没目标服务器或其周边基础设施,用超出目标服务器处理能力的海量流量消耗可用系统资源、宽带资源等,造成程序缓冲区溢出错误,导致合法的用户请求无法通过,以破坏目标服务器、服务或网络正常流量的恶意行为。DDoS攻击通常利用多台受损计算机系统作为攻击流量来源以达到攻击效果。
相关技术中,通常基于服务器集群,通过机器学习算法,提取流量数据包的特征,并通过得到的特征分析可能存在的DDoS流量。由于服务器集群在提取流量数据包的特征时,需要提取出流量数据包的所有特征,再对所有特征全部进行分析,以确定出可能与DDoS流量相对应的特征,然而并不是所有的特征都是DDoS流量的特征,因此,基于服务器集群的DDoS攻击防护方式就需要占用大量的网络带宽来识别出DDoS流量,从而造成了网络资源的浪费。并且,服务器集群的价格一般比较昂贵,因此,基于服务器集群来识别DDoS流量的成本也会比较高。
发明内容
为解决相关技术中存在的技术问题,本申请实施例提供一种DDoS攻击防护方法和相关装置,可以快速识别DDoS流量,节约网络带宽,降低防护成本。
一方面,本申请实施例提供了一种分布式拒绝服务DDoS攻击防护方法,该方法包括:
接收源网关发送的至少一个流量数据包;其中,每个流量数据包携带有:所述源网关根据数据特征添加的至少一个数据特征标识;
对所述至少一个流量数据包各自对应的至少一个数据特征标识进行频度统计,确定所述至少一个流量数据包对应的数据特征分布;
当基于所述数据特征分布,确定存在目标DDoS攻击类型时,对所述目标DDoS攻击类型对应的目标流量数据包进行过滤。
一方面,本申请实施例提供了一种分布式拒绝服务DDoS攻击防护方法,该方法包括:
根据至少一个流量数据包各自对应的数据特征,分别确定所述至少一个流量数据包各自对应的至少一个数据特征标识;
将所述至少一个数据特征标识,分别添加至所述至少一个流量数据包的设定位置处;
将携带有所述至少一个数据特征标识的至少一个流量数据包,发送给目的网关,以使所述目的网关在接收到所述至少一个流量数据包后,根据所述至少一个流量数据包各自对应的至少一个数据特征标识,在确定存在目标DDoS攻击类型时,对所述目标DDoS攻击类型对应的目标流量数据包进行过滤。
一方面,本申请实施例提供了一种分布式拒绝服务DDoS攻击防护装置,该装置包括:
数据接收模块,用于接收源网关发送的至少一个流量数据包;其中,每个流量数据包携带有:所述源网关根据数据特征添加的至少一个数据特征标识;
特征分布确定模块,用于对所述至少一个流量数据包各自对应的至少一个数据特征标识进行频度统计,确定所述至少一个流量数据包对应的数据特征分布;
DDoS数据过滤模块,用于当基于所述数据特征分布,确定存在目标DDoS攻击类型时,对所述目标DDoS攻击类型对应的目标流量数据包进行过滤。
可选的,所述特征分布确定模块,具体用于:
分别统计所述至少一个数据特征标识对应的各种标识类型的出现频率;其中,同一种标识类型对应的各数据特征标识具有相同取值;
基于所述各种标识类型各自的出现频率,确定所述至少一个流量数据包对应的数据特征分布。
可选的,所述数据特征标识包括协议号标识、标志位标识、包长度标识和首部长度标识中的至少一种;所述特征分布确定模块,还用于:
若所述数据特征标识为协议号标识和标志位标识,则分别统计具有相同取值的协议号标识和标志位标识的出现频率;
若所述数据特征标识为包长度标识,则分别统计具有相同取值的包长度标识的出现频率;
若所述数据特征标识为首部长度标识,则分别统计具有相同取值的首部长度标识的出现频率。
可选的,所述DDoS数据过滤模块,具体用于:
当所述具有相同取值的协议号标识和标志位标识的出现频率,大于等于第一频率阈值时,确定存在第一目标DDoS攻击类型,并对所述第一目标DDoS攻击类型对应的第一目标流量数据包进行过滤;
当所述具有相同取值的包长度标识的出现频率,大于等于第二频率阈值时,确定存在第二目标DDoS攻击类型,并对所述第二目标DDoS攻击类型对应的第二目标流量数据包进行过滤;
当所述具有相同取值的首部长度标识的出现频率,大于等于第三频率阈值时,确定存在第三目标DDoS攻击类型,并对所述第三目标DDoS攻击类型对应的第三目标流量数据包进行过滤。
可选的,所述至少一个流量数据包对应于一个设定时间段;所述特征分布确定模块,还用于:
将所述设定时间段划分为多个子时间段;其中,每个子时间段中包括至少一个子流量数据包;
在每个子时间段内,对所述至少一个子流量数据包各自对应的至少一个数据特征标识进行频度统计,确定所述至少一个子流量数据包对应的数据特征分布。
一方面,本申请实施例提供了一种分布式拒绝服务DDoS攻击防护装置,该装置包括:
特征标识确定模块,用于根据至少一个流量数据包各自对应的数据特征,分别确定所述至少一个流量数据包各自对应的至少一个数据特征标识;
特征标识添加模块,用于将所述至少一个数据特征标识,分别添加至所述至少一个流量数据包的设定位置处;
数据发送模块,用于将携带有所述至少一个数据特征标识的至少一个流量数据包,发送给目的网关,以使所述目的网关在接收到所述至少一个流量数据包后,根据所述至少一个流量数据包各自对应的至少一个数据特征标识,在确定存在目标DDoS攻击类型时,对所述目标DDoS攻击类型对应的目标流量数据包进行过滤。
可选的,所述数据特征标识包括协议号标识、标志位标识、包长度标识和首部长度标识中的至少一种;所述特征标识确定模块,具体用于:
针对所述至少一个流量数据包,分别执行以下操作:
若所述数据特征标识为协议号标识,则根据一个流量数据包对应的协议类型,确定所述一个流量数据包对应的协议号标识;
若所述数据特征标识为标志位标识,则根据一个流量数据包对应的网络协议和所述网络协议中DDoS攻击常用的标志位,确定所述一个流量数据包对应的标志位标识;
若所述数据特征标识为包长度标识,则根据一个流量数据包对应的互联网协议IP数据包的总长度,确定所述一个流量数据包对应的包长度标识;
若所述数据特征标识为首部长度标识,则根据一个流量数据包对应的IP数据包首部的长度,确定所述一个流量数据包对应的首部长度标识。
可选的,所述特征标识确定模块,还用于:
根据一个流量数据包对应的网络协议,确定所述网络协议所属的风险类型;
若所述风险类型为第一类风险类型,则根据互联网协议标准和所述网络协议,确定所述一个流量数据包对应的协议号标识;
若所述风险类型为第二类风险类型,则确定所述一个流量数据包对应的协议号标识为一个设定标识。
可选的,所述特征标识添加模块,具体用于:
针对所述至少一个流量数据包,分别执行以下操作:
当一个流量数据包对应的互联网协议的协议版本为第一协议版本时,将所述至少一个数据特征标识添加至所述互联网协议的首部后面;
当一个流量数据包对应的互联网协议的协议版本为第二协议版本时,将所述至少一个数据特征标识添加至所述互联网协议的扩展首部中。
一方面,本申请实施例提供了一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现上述分布式拒绝服务DDoS攻击防护方法的步骤。
一方面,本申请实施例提供了一种计算机可读存储介质,其存储有可由计算机设备执行的计算机程序,当所述程序在计算机设备上运行时,使得所述计算机设备执行上述分布式拒绝服务DDoS攻击防护方法的步骤。
一方面,本申请实施例提供了一种计算机程序产品,所述计算机程序产品包括存储在计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,使所述计算机执行上述分布式拒绝服务DDoS攻击防护方法的步骤。
本申请有益效果如下:
本申请实施例提供了一种DDoS攻击防护方法和相关装置,源网关可以根据至少一个流量数据包各自对应的数据特征,分别确定出至少一个流量数据包各自对应的至少一个数据特征标识,以将至少一个数据特征标识分别添加到至少一个流量数据包的设定位置处,从而可以将流量数据包中可能与DDoS攻击相关的数据特征添加到流量数据包中,以方便目的网关在接收到至少一个流量数据包各自对应的至少一个数据特征标识后,通过直接对至少一个流量数据包各自对应的至少一个数据特征标识进行统计分析,快速地识别出属于DDoS的目标流量数据包,并对属于DDoS的目标流量数据包进行过滤。相较于基于服务器集群的DDoS攻击防护方式,本发明可以快速地识别和过滤DDoS流量数据包,节约网络带宽,降低防护成本。
本申请的其他特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本申请而了解。本申请的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简要介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例中的一种应用场景示意图;
图2为本申请实施例中的一种DDoS攻击防护方法的流程示意图;
图3为本申请实施例中的一种数据特征标识的示意图;
图4为本申请实施例中的一种IPv4扩展选项的示意图;
图5为本申请实施例中的一种IPv6扩展首部的示意图;
图6为本申请实施例中的另一种DDoS攻击防护方法的流程示意图;
图7a为本申请实施例中的一种DDoS攻击防护方法的逻辑示意图;
图7b为本申请实施例中的识别并过滤DDoS流量数据包的流程示意图;
图8为本申请实施例中的一种分光流量数据包至服务器集群的应用数据示意图;
图9为本申请实施例中的另一种DDoS攻击防护方法的流程示意图;
图10为本申请实施例中的一种统计数据特征标识频度分布的示意图;
图11为本申请实施例中的另一种数据特征标识的示意图;
图12为本申请实施例中的一种DDoS攻击防护装置的结构示意图;
图13为本申请实施例中的另一种DDoS攻击防护装置的结构示意图;
图14为本申请实施例的一种计算机设备的一个硬件组成结构示意图;
图15为本申请实施例中的一个计算装置的结构示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请技术方案的一部分实施例,而不是全部的实施例。基于本申请文件中记载的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请技术方案保护的范围。
本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够在除了这里图示或描述的那些以外的顺序实施。
以下对本申请实施例中的部分用语进行解释说明,以便于本领域技术人员理解。
分布式拒绝服务(Distributed Denial of Service,DDoS)攻击:是指攻击者利用多个受控的计算机联合对一个或少量几个目标发起攻击,旨在让目标服务器无法正常提供服务的攻击行为,DDoS攻击可以简单分为两类:带宽资源耗尽型、服务器资源耗尽型。
流量数据包:网络中进行交换与传输的数据单元。其中,数据包是指分块的传输数据,是TCP/IP协议通信传输中的数据单位。
网关:又称网间连接器、协议转换器。网关在网络层以上实现网络互连,是最复杂的网络互连设备之一,仅用于两个高层协议不同的网络互连。网关既可以用于广域网互连,也可以用于局域网互连。网关是一种充当转换重任的计算机系统或设备。网关可以是交换机和路由器等网络设备。
黑洞路由:一条路由无论是静态还是动态,都需要关联到一个出接口,在众多的出接口中,有一种接口非常特殊,即Null(无效)接口,这种类型的接口只有一个编号0,Null0是系统保留的逻辑接口,当转发网络设备在转发某些数据包时,如果使用出接口为Null0的路由,那么这些数据包会被直接丢弃,就像直接丢进一个黑洞里,因此出接口为Null0的路由被称为黑洞路由。
自治域:处于一个管理机构控制之下的路由器和网络群组。它可以是一个路由器直接连接到一个LAN上,同时也连到Internet上。也可以是一个由企业骨干网互连的多个局域网。在一个自治系统中的所有路由器必须相互连接,运行相同的路由协议,同时分配同一个自治系统编号。
下文中所用的词语“示例性”的意思为“用作例子、实施例或说明性”。作为“示例性”所说明的任何实施例不必解释为优于或好于其它实施例。
文中的术语“第一”、“第二”仅用于描述目的,而不能理解为明示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个该特征,在本申请实施例的描述中,除非另有说明,“多个”的含义是两个或两个以上。
云安全(Cloud Security)是指基于云计算商业模式应用的安全软件、硬件、用户、机构、安全云平台的总称。云安全融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念,通过网状的大量客户端对网络中软件行为的异常监测,获取互联网中木马、恶意程序的最新信息,并发送到服务端进行自动分析和处理,再把病毒和木马的解决方案分发到每一个客户端。
云安全主要研究方向包括:1.云计算安全,主要研究如何保障云自身及云上各种应用的安全,包括云计算机系统安全、用户数据的安全存储与隔离、用户接入认证、信息传输安全、网络攻击防护、合规审计等;2.安全基础设施的云化,主要研究如何采用云计算新建与整合安全基础设施资源,优化安全防护机制,包括通过云计算技术构建超大规模安全事件、信息采集与处理平台,实现对海量信息的采集与关联分析,提升全网安全事件把控能力及风险控制能力;3.云安全服务,主要研究各种基于云计算平台为用户提供的安全服务,如防病毒服务等。本申请实施例中的云平台可以通过流量数据包对应的数据特征标识,对流量数据包的流量特征进行统计分析,识别出DDoS攻击。
下面对本申请实施例的设计思想进行简要介绍:
根据网络数据包标识的特性和作用,网络标识方案大概分为三种:唯一性标识、真实性标识和特征性标识。
唯一性标识常用于标识唯一的网络设备、网络流以及数据包,以方便转发设备识别,保证网络的连通性。例如,IP地址唯一地标识了一台网络设备,五元组(源IP,目的IP,源端口,目的端口,协议)唯一地标识网络流,而TCP的序列号可以唯一地标识网络流中的数据包。
真实性标识常用于保证设备的可信性、身份的真实性以及数据包未经篡改,以方便端主机验证,保证数据包的真实性。例如,向数据包中添加只有源和目的能识别的密文;采用数字签名验证发送者的身份;转发设备向数据包中添加路径标识,从而使接收端验证数据包的实际转发路径。
特征性标识常用于提取数据包的共性,识别异常的数据包特征,从而检测各种类型攻击,例如,数据包的长度、流的速率等特征。通常可以采用机器学习、统计分析的方法提取网络流的相似性,从而识别攻击流。
现有技术方案中,互联网在设计之初,没有充分考虑安全威胁问题,因此数据包中的唯一性标识的主要目的是实现网络的连通性,缺乏对基于源地址伪造、身份欺骗等手段的DDoS攻击的防护能力。基于唯一性标识的DDoS防护技术通过已知标识的冲突识别伪造包,例如来源于不同端口的相同源IP的数据包可能存在伪造,识别攻击流量的成功率低。
真实性标识方便网络参与者验证彼此身份的可信性,企图从根本上解决网络安全问题,然而,这需要所有的网络设备支持标识的添加和验证技术,从短期来看,该技术部署成本高,相对收益低。由于网络参与者的利益冲突,其实际部署依赖于国家政策推动。
现有的识别网络流量特征的技术中,大多数基于服务器的算力,通过机器学习算法,计算数据包的特征,分析可能存在的DDoS流量,这类技术一方面算力成本高,另一方面时延高,通常在几分钟到几小时,无法满足网络实时防护的要求。现有的基于统计的流量特征识别,例如Sketch,通常需要对数据包进行复杂的哈希计算,增加了网络设备的资源开销。
有鉴于此,本申请实施例提供一种DDoS攻击防护方法和相关装置,源网关可以根据流量数据包对应的数据特征,在流量数据包中添加至少一个数据特征标识,并将分别携带有至少一个数据特征标识的至少一个流量数据包,发送给目的网关,目的网关就可以对至少一个流量数据包各自对应的至少一个数据特征标识进行频度统计,确定出至少一个流量数据包对应的数据特征分布,在基于该数据特征分布,识别出属于DDoS的目标流量数据包后,可以对目标流量数据包进行过滤。从而降低了识别DDoS的成本,节约了网络带宽,并且可以快速地识别和过滤DDoS流量数据包。
以下结合说明书附图对本申请的优选实施例进行说明,应当理解,此处所描述的优选实施例仅用于说明和解释本申请,并不用于限定本申请,并且在不冲突的情况下,本申请实施例及实施例中的特征可以相互组合。
参阅图1所示,其为本申请实施例中应用场景示意图。该应用场景图中包括源网关100、目的网关200,以及多个电子设备101和201。其中,源网关100和目的网关200可以是交换机、路由器等具有转发功能的网络设备,源网关100与目的网关200之间可以通过网络进行通信。可选地,该网络可以是有线网络或无线网络。源网关100与目的网关200可以通过有线或无线方式进行直接或间接地连接,本申请在此不做限制。
电子设备101与源网关100之间通过有线网络或无线网络进行连接。电子设备201与目的网关200之间通过有线网络或无线网络进行连接。
在本申请实施例中,电子设备101和电子设备201可以是便携设备(例如:手机、平板电脑、笔记本电脑等),也可以是计算机、智能屏或个人电脑(Personal Computer,PC)等。此外,电子设备101和电子设备201也可以包括但不限于手机、电脑、智能语音交互设备、智能家电、车载终端等。电子设备101和电子设备201还可以是一台服务器或由若干台服务器组成的服务器集群或云计算中心,或者是一个虚拟化平台,以及是个人计算机、大中型计算机或计算机集群等。
示例性地,电子设备101产生了至少一个流量数据包,并通过网络将至少一个流量数据包发送给源网关100,源网关100在接收到至少一个流量数据包后,可以根据至少一个流量数据包各自对应的数据特征,确定出至少一个流量数据包各自对应的至少一个数据特征标识,并将至少一个数据特征标识,分别添加到至少一个流量数据包中。之后源网关100可以将携带有至少一个数据特征标识的至少一个流量数据包,发送给目的网关200,目的网关200在接收到携带有至少一个数据特征标识的至少一个流量数据包后,可以对至少一个流量数据包各自对应的至少一个数据特征标识进行频度统计,确定至少一个流量数据包对应的数据特征分布,当基于数据特征分布,确定存在目标DDoS攻击类型时,对目标DDoS攻击类型对应的目标流量数据包进行过滤。目的网关200在对目标流量数据包进行过滤之后,可以将其余的流量数据包发送给电子设备201。
应当说明的是,图1是对本申请的DDoS攻击防护方法的应用场景进行示例介绍,实际本申请实施例中的方法可以适用的应用场景并不限于此。
在一种可选的实施例中,源网关和目的网关也可以分别为一个电子设备,该电子设备可以为终端设备或服务器等。
为进一步说明本申请实施例提供的技术方案,下面结合附图以及具体实施方式对此进行详细的说明。虽然本申请实施例提供了如下述实施例或附图所示的方法操作步骤,但基于常规或者无需创造性的劳动在所述方法中可以包括更多或者更少的操作步骤。在逻辑上不存在必要因果关系的步骤中,这些步骤的执行顺序不限于本申请实施例提供的执行顺序。所述方法在实际的处理过程中或者装置执行时,可按照实施例或者附图所示的方法顺序执行或者并行执行。
图2示出了本申请实施例提供的一种DDoS攻击防护方法的流程图,该方法可以由源网关执行,例如图1中的源网关100。下面结合附图2,对本申请实施例中的DDoS攻击防护过程进行详细阐述。
步骤S201,根据至少一个流量数据包各自对应的数据特征,分别确定至少一个流量数据包各自对应的至少一个数据特征标识。
其中,数据特征标识包括协议号标识、标志位标识、包长度标识和首部长度标识中的至少一种。
源网关在接收到至少一个流量数据包后,针对其中的每个流量数据包,可以分别确定出该流量数据包对应的至少一个数据特征标识。
其中,当数据特征标识为协议号标识时,可以根据流量数据包对应的网络协议,确定出网络协议所属的风险类型,当风险类型为第一类风险类型时,可以根据互联网协议标准和网络协议,确定出流量数据包对应的协议号标识;当风险类型为第二类风险类型时,可以确定流量数据包对应的协议号标识为一个设定标识。
具体地,在本申请实施例中,协议号标识是指数据包三层和四层的协议。可以将传输控制协议(Transmission Control Protocol,TCP)、用户数据报协议(User DatagramProtocol,UDP)、互联网控制消息协议(Internet Control Message Protocol,ICMP)、互联网控制消息协议版本六(Internet Control Message Protocol version 6,ICMPv6)等DDoS攻击常用且流量占比较大的协议作为高风险协议,分配专门的协议号标识。其他使用频率少或不可能被DDoS攻击使用的协议,作为低风险协议,分配统一的协议号标识,例如,该统一的协议号标识可以为127。
对于高风险协议,在互联网协议版本四(Internet Protocol version 4,IPv4)中,可以将IP首部中的协议号直接提取出来,作为数据特征标识中的协议号标识,占用8比特;在互联网协议版本六(Internet Protocol version 6,IPv6)中,根据互联网协议标准(Request For Comments,RFC)的定义,可以将IP扩展首部类型以及部分IPv6协议作为协议号标识。
当数据特征标识为标志位标识时,可以根据流量数据包对应的网络协议和网络协议中DDoS攻击常用的标志位,确定出流量数据包对应的标志位标识。
具体地,标志位标识表示在特定协议中,DDoS攻击常用的标志位。可以为可能属于某一类DDoS的数据包,在标志位中分配一个序号,来确定相应的标志位标识。例如,在TCP中,DDoS攻击可能涉及的标志位有[SYN]、[ACK]、[PSH]和[FIN],可以映射到标志位标识的前4位;在ICMP中,[TYPE=5,CODE=0],[TYPE=5,CODE=1]可以映射为标志位标识的序号1、2;在UDP中,源端口也可以被映射为标志位标识的序号等等。并且,协议号标识和标志位标识共同确定了数据包的类型。
当数据特征标识为包长度标识时,可以根据流量数据包对应的互联网协议IP数据包的总长度,确定流量数据包对应的包长度标识。
当数据特征标识为首部长度标识时,可以根据流量数据包对应的IP数据包首部的长度,确定流量数据包对应的首部长度标识。
具体地,在将传输数据封装成数据包时,数据包对应的网络层协议位于IP数据包中,IP数据包的长度也是DDoS攻击包的典型特征之一,本申请中的包长度标识可以由IP数据包的总长度来确定,且可以使用8比特来表示IP数据包的总长度。其中,IP数据包的总长度是KB的整倍数,最多能表示255KB。
IP数据包是由首部和数据部分两部分组成的,首部长度表示的是IP数据包首部的长度,因此,本申请实施例中的首部长度标识可以由IP数据包首部的长度来确定,在IPv4和IPv6中,IP数据包首部的长度可以分别是4B和8B的整倍数。
在一种实施例中,当流量数据包对应的数据特征标识为协议号标识、标志位标识、包长度标识和首部长度标识时,可以为每个标识分配8位,则得到的数据特征标识就会共占用32位。如图3所示,数据特征标识共占用32位,由协议号、标志位、包长度和首部长度4个部分组成,且每个部分都占用8位。
在该实施例中,源网关可以根据流量数据包中与DDoS攻击有关的数据特征,来确定出流量数据包对应的数据特征标识,从而可以方便目的网关通过对这些数据特征标识进行简单的统计分析,识别出流量数据包中是否存在有属于DDoS攻击的目标流量数据包。
步骤S202,将至少一个数据特征标识,分别添加至至少一个流量数据包的设定位置处。
源网关在确定出至少一个流量数据包各自对应的至少一个数据特征标识后,可以将至少一个数据特征标识分别添加到至少一个流量数据包的设定位置处。
对于每个流量数据包来说,当该流量数据包对应的IP协议版本为第一协议版本时,源网关可以将特征性标识添加至该流量数据包对应的IP首部的后面。当该流量数据包对应的IP协议版本为第二协议版本时,源网关可以将特征性标识添加至该流量数据包对应的IP扩展首部中。
具体地,在数据包中添加特征性标识的位置有多种选择。在IPv4中,特征性标识可以作为一个扩展选项添加在IPv4首部后面。如图4所示,IPv4扩展选项可以由数据特征标识、version、length和pointer共4个部分组成。其中,根据RFC 791定义,version和length分别表示携带数据特征标识的首部版本和数据特征标识的长度,pointer表示指向下一个扩展选项。
根据RFC 8200定义,在IPv6中,特征性标识可以作为一种扩展首部,添加在IPv6扩展首部。如图5所示,IPv6扩展首部可以由数据特征标识、Next Header、Hdr Ext Len、version和length共5个部分组成。其中,Next Header和Hdr Ext Len分别表示下一个扩展首部类型和本扩展首部的头部的长度,version和length分别表示携带数据特征标识的首部版本和数据特征标识的长度。此外,数据特征标识也可以添加在IPv6地址的后64位中。
步骤S203,将携带有至少一个数据特征标识的至少一个流量数据包,发送给目的网关。
源网关在将至少一个数据特征标识添加到至少一个流量数据包中后,可以将携带有至少一个数据特征标识的至少一个流量数据包,发送给目的网关,以使目的网关根据至少一个流量数据包各自对应的至少一个数据特征标识,在确定存在目标DDoS攻击类型时,对目标DDoS攻击类型对应的目标流量数据包进行过滤。
图6示出了本申请实施例提供的另一种DDoS攻击防护方法的流程图,该方法可以由目的网关执行,例如图1中的目的网关200。下面结合附图6,对本申请实施例中的DDoS攻击防护过程进行详细阐述。
步骤S601,接收源网关发送的至少一个流量数据包。
目的网关可以接收源网关发送的至少一个流量数据包。其中,每个流量数据包携带有:源网关根据数据特征添加的至少一个数据特征标识。
源网关根据流量数据包的数据特征,为流量数据包确定并添加至少一个数据特征标识的具体过程可以参见如图2所示的执行步骤,本实施例在此不再赘述。
步骤S602,对至少一个流量数据包各自对应的至少一个数据特征标识进行频度统计,确定至少一个流量数据包对应的数据特征分布。
分别统计至少一个数据特征标识对应的各种标识类型的出现频率,其中,同一种标识类型对应的各数据特征标识具有相同取值,基于各种标识类型各自的出现频率,确定至少一个流量数据包对应的数据特征分布。
数据特征标识可以包括有协议号标识、标志位标识、包长度标识和首部长度标识中的至少一种。
具体地,若数据特征标识为协议号标识和标志位标识,则分别统计具有相同取值的协议号标识和标志位标识的出现频率,若数据特征标识为包长度标识,则分别统计具有相同取值的包长度标识的出现频率,若数据特征标识为首部长度标识,则分别统计具有相同取值的首部长度标识的出现频率。
例如,当数据特征标识为协议号标识和标志位标识时,假设协议号标识的取值有A和B,标志位标识的取值有C和D,则目的网关可以分别统计所有流量数据包中协议号标识等于A,同时标志位标识等于C的流量数据包的数量、协议号标识等于A,同时标志位标识等于D的流量数据包的数量、协议号标识等于B,同时标志位标识等于C的流量数据包的数量,以及协议号标识等于B,同时标志位标识等于D的流量数据包的数量。当数据特征标识为包长度标识时,假设包长度标识的取值有E、F和G,则目的网关可以分别统计所有流量数据包中包长度标识都等于E的流量数据包的数量、包长度标识都等于F的流量数据包的数量,以及包长度标识都等于G的流量数据包的数量。当数据特征标识为首部长度标识时,假设首部长度标识的取值有H和I,则目的网关可以分别统计所有流量数据包中首部长度标识都等于H的流量数据包的数量和首部长度标识都等于I的流量数据包的数量。
步骤S603,当基于数据特征分布,确定存在目标DDoS攻击类型时,对目标DDoS攻击类型对应的目标流量数据包进行过滤。
当具有相同取值的协议号标识和标志位标识的出现频率,大于等于第一频率阈值时,确定存在第一目标DDoS攻击类型,并对第一目标DDoS攻击类型对应的第一目标流量数据包进行过滤。
例如,目的网关共接收到100个流量数据包,协议号标识的取值有A和B,标志位标识的取值有C和D,经过统计可以得到协议号标识等于A,且标志位标识等于C的流量数据包共有15个、协议号标识等于A,且标志位标识等于D的流量数据包共有55个、协议号标识等于B,且标志位标识等于C的流量数据包共有20个、协议号标识等于B,且标志位标识等于D的流量数据包共有10个,第一频率阈值为40,则可以确定这100个流量数据包中存在属于DDoS的第一目标DDoS攻击类型,且协议号标识等于A,且标志位标识等于D的流量数据包,为第一目标DDoS攻击类型对应的第一目标流量数据包,可以对这些流量数据包进行过滤。
当具有相同取值的包长度标识的出现频率,大于等于第二频率阈值时,确定存在第二目标DDoS攻击类型,并对第二目标DDoS攻击类型对应的第二目标流量数据包进行过滤。
例如,目的网关共接收到100个流量数据包,包长度标识的取值有E和F,经过统计可以得到包长度标识等于E的流量数据包共有85个、包长度标识等于F的流量数据包共有15个,第二频率阈值为50,则可以确定这100个流量数据包中存在第二目标DDoS攻击类型,且包长度标识等于E的流量数据包,为第二目标DDoS攻击类型对应的第二目标流量数据包,可以对这些流量数据包进行过滤。
当具有相同取值的首部长度标识的出现频率,大于等于第三频率阈值时,确定存在第三目标DDoS攻击类型,并对第三目标DDoS攻击类型对应的第三目标流量数据包进行过滤。
例如,目的网关共接收到100个流量数据包,首部长度标识的取值有G、H和I,经过统计可以得到首部长度标识等于G的流量数据包共有20个、首部长度标识等于H的流量数据包共有50个、首部长度标识等于I的流量数据包共有30个,第三频率阈值为45,则可以确定这100个流量数据包中存在第三目标DDoS攻击类型,且首部长度标识等于H的流量数据包,为第三目标DDoS攻击类型对应的第三目标流量数据包,可以对这些流量数据包进行过滤。
可选的,目的网关在基于数据特征分布,确定出存在目标DDoS攻击类型,并对目标DDoS攻击类型对应的目标流量数据包进行过滤时,可以设置一条黑洞路由,以丢弃掉所有属于DDoS的流量数据包。
可选的,源网关也可以直接对数据包的一些特征字段组合进行哈希,作为一类数据包的数据特征标识,目的网关在接收到携带有这些数据特征标识的数据后,只需要简单的统计这些数据特征标识,即[IP+哈希]的分布,即可识别出属于DDoS的数据包。
在一种实施例中,当数据特征标识为协议号标识、标志位标识、包长度标识和首部长度标识时,可以按照图7a来执行DDoS攻击的防护过程。如图7a所示,源网关在接收到流量数据包后,可以分别确定出流量数据包对应的协议号标识、标志位标识、包长度标识和首部长度标识,并将协议号标识、标志位标识、包长度标识和首部长度标识添加到每个流量数据包中,然后将携带有协议号标识、标志位标识、包长度标识和首部长度标识的流量数据包发送给目的网关,目的网关在接收到携带有协议号标识、标志位标识、包长度标识和首部长度标识的流量数据包后,可以提取出每个流量数据包中的协议号标识、标志位标识、包长度标识和首部长度标识,并对协议号标识、标志位标识、包长度标识和首部长度标识进行频度统计,得到流量数据包对应的数据特征分布,根据该数据特征分布,确定出流量数据包中存在的属于DDoS的目标流量数据包,并对属于DDoS的目标流量数据包进行过滤。
目的网关在接收到源网关发送的携带有协议号标识、标志位标识、包长度标识和首部长度标识的流量数据包后,可以按照如图7b所示的执行过程,得到流量数据包对应的数据特征分布,并基于该数据特征分布,确定并过滤属于DDoS的目标流量数据包。具体地,如图7b所示,包括以下步骤:
步骤S701,分别统计具有相同取值的协议号标识和标志位标识的出现频率。
步骤S702,确定具有相同取值的协议号标识和标志位标识的出现频率,是否大于等于第一频率阈值;如果是,执行步骤S703;如果否,执行步骤S704。
步骤S703,确定存在第一目标DDoS攻击类型,并对第一目标DDoS攻击类型对应的第一目标流量数据包进行过滤。
步骤S704,分别统计具有相同取值的包长度标识的出现频率。
步骤S705,确定具有相同取值的包长度标识的出现频率,是否大于等于第二频率阈值;如果是,执行步骤S706;如果否,执行步骤S707。
步骤S706,确定存在第二目标DDoS攻击类型,并对第二目标DDoS攻击类型对应的第二目标流量数据包进行过滤。
步骤S707,分别统计具有相同取值的首部长度标识的出现频率。
步骤S708,确定具有相同取值的首部长度标识的出现频率,是否大于等于第三频率阈值;如果是,执行步骤S709;如果否,执行步骤S710。
步骤S709,确定存在第三目标DDoS攻击类型,并对第三目标DDoS攻击类型对应的第三目标流量数据包进行过滤。
步骤S710,将流量数据包分光到服务器集群。
在根据流量数据包对应的协议号标识、标志位标识、包长度标识和首部长度标识,确定目标DDoS攻击类型,并对目标DDoS攻击类型对应的目标流量数据包进行过滤时,如果根据流量数据包对应的协议号标识和标志位标识,可以确定存在有属于DDoS的第一目标DDoS攻击类型,则对第一目标DDoS攻击类型对应的第一目标流量数据包进行过滤。如果根据流量数据包对应的协议号标识和标志位标识,无法确定存在有属于DDoS的第一目标DDoS攻击类型,则根据流量数据包对应的包长度标识来进行确定。如果根据流量数据包对应的包长度标识,可以确定存在有属于DDoS的第二目标DDoS攻击类型,则对第二目标DDoS攻击类型对应的第二目标流量数据包进行过滤。如果根据流量数据包对应的包长度标识,无法确定存在有属于DDoS的第二目标DDoS攻击类型,则根据流量数据包对应的首部长度标识来进行确定。如果根据流量数据包对应的首部长度标识,可以确定存在有属于DDoS的第三目标DDoS攻击类型,则对第三目标DDoS攻击类型对应的第三目标流量数据包进行过滤。如果根据流量数据包对应的首部长度标识,无法确定存在有属于DDoS的第三目标DDoS攻击类型,则可以将流量数据包分光到服务器集群中,由服务器集群来对流量数据包进行识别和过滤。
具体地,将流量数据包分光到服务器集群的一种应用场景可以参阅图8。如图8所示,目的网关在接收到流量数据包后,可以根据流量数据包对应的协议号标识、标志位标识、包长度标识和首部长度标识,确定出属于DDoS的目标流量数据包,并对属于DDoS的目标流量数据包进行过滤,如果无法确定出属于DDoS的目标流量数据包,则可以将流量数据包分光到服务器集群中,由服务器集群来对流量数据包进行清洗,即识别并过滤属于DDoS的目标流量数据包。此外,目的网关在过滤掉属于DDoS的目标流量数据包后,可以将其他的正常流量数据包转发给相应的电子设备。
在一些实施例中,至少一个流量数据包还可以对应于一个设定时间段,则目的网关在接收到源网关发送的至少一个流量数据包之后,还可以按照如图9所示的过程执行DDoS攻击防护方法。具体地,如图9所示,包括以下步骤:
步骤S901,将设定时间段划分为多个子时间段。
其中,每个子时间段中包括至少一个子流量数据包。
步骤S902,在每个子时间段内,对至少一个子流量数据包各自对应的至少一个数据特征标识进行频度统计,确定至少一个子流量数据包对应的数据特征分布。
步骤S903,当基于至少一个子流量数据包对应的数据特征分布,确定存在目标DDoS攻击类型时,对目标DDoS攻击类型对应的目标子流量数据包进行过滤。
具体地,目的网关在设定时间段内接收到源网关发送的至少一个流量数据包后,可以将设定时间段划分为多个子时间段,其中每个子时间段内对应有至少一个子流量数据包,则可以对每个子时间段内的至少一个子流量数据包对应的数据特征标识进行统计分析,以识别出属于DDoS的目标子流量数据包。
例如,如图10所示,目的网关在接收到一段时间内的流量数据包后,可以划分为多个时间片,t1,t2。流量数据包中具有相同取值的数据特征标识可以代表一类特征,假设有h1、h2、h3和h4共4个特征,则目的网关可以统计在t1,t2每个时间片内的h1、h2、h3和h4的频度分布,根据不同时间片中或者与基准时间片中的频度分布差异,识别出属于DDoS攻击的目标流量数据包,当某一类型的特征的数量占所有特征的总体数量的比例超过设定阈值时,例如,在t2时刻,特征h1的数量占比超过0.4时,说明可能存在属于DDoS的流量数据包。
本申请实施例提出的DDoS攻击防护方法,源网关可以根据流量数据包中与DDoS攻击相关的特征,得到相应的数据特征标识,并确定出的数据特征标识添加到流量数据包中,以使目的网关在接收到携带有数据特征标识的流量数据包后,只需要对流量数据包中的数据特征标识进行简单的统计分析,就可以识别出属于DDoS的攻击类型,并在识别出属于DDoS的攻击类型对应的目标流量数据包后,可以对目标流量数据包进行过滤。本发明通过源网关和目的网关来共同完成对DDoS的攻击防护,解耦了特征性标识的确定和分析,从而在不影响网络设备线速转发的情况下,降低了单一网络设备识别DDoS的成本,且允许目的网关可以在秒级时间内识别DDoS攻击,提高了DDoS攻击识别的速度和效率,同时节约网络带宽。降低算力成本。
可选的,考虑到流量数据包的来源也是DDoS攻击流量的重要特征之一,如图11所示,源网关在为流量数据包确定和添加数据特征标识的时候,可以将自身的自治域对应的域标识也作为数据特征标识,以方便接收流量数据包的目的网关,通过流量数据包中携带的域标识,识别出DDoS攻击流量的主要来源,并采取针对性的防护策略。
具体地,源网关在确定出流量数据包对应的协议号标识、标志位标识、包长度标识、首部长度标识以及域标识后,可以将协议号标识、标志位标识、包长度标识、首部长度标识以及域标识,添加至相应的流量数据包的设定位置处。目的网关在接收到源网关发送的,携带有协议号标识、标志位标识、包长度标识、首部长度标识以及域标识的流量数据包后,可以先根据协议号标识、标志位标识、包长度标识和首部长度标识确定出目标DDoS攻击类型,同时确定出目标DDoS攻击类型对应的目标流量数据包,然后根据目标流量数据包中携带的域标识,识别出属于DDoS的目标流量数据包主要来自于哪些自治域,并对这些自治域进行标记,在之后目的网关再接收到来自具有标记的特定自治域的流量数据包时,可以直接将这些流量数据包分流到服务器集群中,基于服务器集群对这些流量数据包进行清洗。
本发明考虑了所有可能涉及到DDoS的数据包类型和特征,在实际应用中,为了节约网络带宽或算力,可以只选择其中的部分特征,从而简化数据特征标识。可选的,为了简化流量数据包中的数据特征标识,可以只确定流量数据包的协议号标识、标志位标识和包长度标识,将协议号标识、标志位标识和包长度标识作为数据特征标识,添加到流量数据包中。
与图6所示的DDoS攻击防护方法基于同一发明构思,本申请实施例中还提供了一种DDoS攻击防护装置,该DDoS攻击防护装置可以布设在目的网关中。由于该装置是本申请DDoS攻击防护方法对应的装置,并且该装置解决问题的原理与该方法相似,因此该装置的实施可以参见上述方法的实施,重复之处不再赘述。
图12示出了本申请实施例提供的一种DDoS攻击防护装置的结构示意图,如图12所示,该DDoS攻击防护装置包括数据接收模块1201、特征分布确定模块1202和DDoS数据过滤模块1203。
其中,数据接收模块1201,用于接收源网关发送的至少一个流量数据包;其中,每个流量数据包携带有:源网关根据数据特征添加的至少一个数据特征标识;
特征分布确定模块1202,用于对至少一个流量数据包各自对应的至少一个数据特征标识进行频度统计,确定至少一个流量数据包对应的数据特征分布;
DDoS数据过滤模块1203,用于当基于数据特征分布,确定存在目标DDoS攻击类型时,对目标DDoS攻击类型对应的目标流量数据包进行过滤。
可选的,特征分布确定模块1202,具体用于:
分别统计至少一个数据特征标识对应的各种标识类型的出现频率;其中,同一种标识类型对应的各数据特征标识具有相同取值;
基于各种标识类型各自的出现频率,确定至少一个流量数据包对应的数据特征分布。
可选的,数据特征标识包括协议号标识、标志位标识、包长度标识和首部长度标识中的至少一种;特征分布确定模块1202,还用于:
若数据特征标识为协议号标识和标志位标识,则分别统计具有相同取值的协议号标识和标志位标识的出现频率;
若数据特征标识为包长度标识,则分别统计具有相同取值的包长度标识的出现频率;
若数据特征标识为首部长度标识,则分别统计具有相同取值的首部长度标识的出现频率。
可选的,DDoS数据过滤模块1203,具体用于:
当具有相同取值的协议号标识和标志位标识的出现频率,大于等于第一频率阈值时,确定存在第一目标DDoS攻击类型,并对第一目标DDoS攻击类型对应的第一目标流量数据包进行过滤;
当具有相同取值的包长度标识的出现频率,大于等于第二频率阈值时,确定存在第二目标DDoS攻击类型,并对第二目标DDoS攻击类型对应的第二目标流量数据包进行过滤;
当具有相同取值的首部长度标识的出现频率,大于等于第三频率阈值时,确定存在第三目标DDoS攻击类型,并对第三目标DDoS攻击类型对应的第三目标流量数据包进行过滤。
可选的,至少一个流量数据包对应于一个设定时间段;特征分布确定模块1202,还用于:
将设定时间段划分为多个子时间段;其中,每个子时间段中包括至少一个子流量数据包;
在每个子时间段内,对至少一个子流量数据包各自对应的至少一个数据特征标识进行频度统计,确定至少一个子流量数据包对应的数据特征分布。
与图2所示的DDoS攻击防护方法基于同一发明构思,本申请实施例中还提供了一种DDoS攻击防护装置,该DDoS攻击防护装置可以布设在源网关中。由于该装置是本申请DDoS攻击防护方法对应的装置,并且该装置解决问题的原理与该方法相似,因此该装置的实施可以参见上述方法的实施,重复之处不再赘述。
图13示出了本申请实施例提供的一种DDoS攻击防护装置的结构示意图,如图13所示,该DDoS攻击防护装置包括特征标识确定模块1301、特征标识添加模块1302和数据发送模块1303。
其中,特征标识确定模块1301,用于根据至少一个流量数据包各自对应的数据特征,分别确定至少一个流量数据包各自对应的至少一个数据特征标识;
特征标识添加模块1302,用于将至少一个数据特征标识,分别添加至至少一个流量数据包的设定位置处;
数据发送模块1303,用于将携带有至少一个数据特征标识的至少一个流量数据包,发送给目的网关,以使目的网关在接收到至少一个流量数据包后,根据至少一个流量数据包各自对应的至少一个数据特征标识,在确定存在目标DDoS攻击类型时,对目标DDoS攻击类型对应的目标流量数据包进行过滤。
可选的,数据特征标识包括协议号标识、标志位标识、包长度标识和首部长度标识中的至少一种;特征标识确定模块1301,具体用于:
针对至少一个流量数据包,分别执行以下操作:
若数据特征标识为协议号标识,则根据一个流量数据包对应的协议类型,确定一个流量数据包对应的协议号标识;
若数据特征标识为标志位标识,则根据一个流量数据包对应的网络协议和网络协议中DDoS攻击常用的标志位,确定一个流量数据包对应的标志位标识;
若数据特征标识为包长度标识,则根据一个流量数据包对应的互联网协议IP数据包的总长度,确定一个流量数据包对应的包长度标识;
若数据特征标识为首部长度标识,则根据一个流量数据包对应的IP数据包首部的长度,确定一个流量数据包对应的首部长度标识。
可选的,特征标识确定模块1301,还用于:
根据一个流量数据包对应的网络协议,确定网络协议所属的风险类型;
若风险类型为第一类风险类型,则根据互联网协议标准和网络协议,确定一个流量数据包对应的协议号标识;
若风险类型为第二类风险类型,则确定一个流量数据包对应的协议号标识为一个设定标识。
可选的,特征标识添加模块1302,具体用于:
针对至少一个流量数据包,分别执行以下操作:
当一个流量数据包对应的互联网协议的协议版本为第一协议版本时,将至少一个数据特征标识添加至互联网协议的首部后面;
当一个流量数据包对应的互联网协议的协议版本为第二协议版本时,将至少一个数据特征标识添加至互联网协议的扩展首部中。
参阅图14,基于同一技术构思,本申请实施例中还提供了一种计算机设备1400,该计算机设备1400可以为应用本申请实施例的源网关或目的网关的一个硬件组成结构示意图,该计算机设备1400可以至少包括处理器1401、以及存储器1402。其中,存储器1402存储有程序代码,当程序代码被处理器1401执行时,使得处理器1401执行上述任意一种DDoS攻击防护的步骤。
在一些可能的实施方式中,根据本申请的计算装置可以至少包括至少一个处理器、以及至少一个存储器。其中,存储器存储有程序代码,当程序代码被处理器执行时,使得处理器执行本说明书上述描述的根据本申请各种示例性实施方式的DDoS攻击防护的步骤。例如,处理器可以执行如图2、图6中所示的步骤。
下面参照图15来描述根据本申请的这种实施方式的计算装置1500。如图15所示,计算装置1500以通用计算装置的形式表现。计算装置1500的组件可以包括但不限于:上述至少一个处理单元1501、上述至少一个存储单元1502、连接不同系统组件(包括存储单元1502和处理单元1501)的总线1503。
总线1503表示几类总线结构中的一种或多种,包括存储器总线或者存储器控制器、外围总线、处理器或者使用多种总线结构中的任意总线结构的局域总线。
存储单元1502可以包括易失性存储器形式的可读介质,例如随机存取存储器(RAM)15021和/或高速缓存存储单元15022,还可以进一步包括只读存储器(ROM)15023。
存储单元1502还可以包括具有一组(至少一个)程序模块15024的程序/实用工具15025,这样的程序模块15024包括但不限于:操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。
计算装置1500也可以与一个或多个外部设备1504(例如键盘、指向设备等)通信,还可与一个或者多个使得对象能与计算装置1500交互的设备通信,和/或与使得该计算装置1500能与一个或多个其它计算装置进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口1505进行。并且,计算装置1500还可以通过网络适配器1506与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。如图所示,网络适配器1506通过总线1503与用于计算装置1500的其它模块通信。应当理解,尽管图中未示出,可以结合计算装置1500使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理器、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
与上述方法实施例基于同一发明构思,本申请提供的DDoS攻击防护的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当程序产品在计算机设备上运行时,程序代码用于使计算机设备执行本说明书上述描述的根据本申请各种示例性实施方式的DDoS攻击防护方法中的步骤,例如,计算机设备可以执行如图2、图6中所示的步骤。
程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以是但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
尽管已描述了本申请的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。

Claims (14)

1.一种分布式拒绝服务DDoS攻击防护方法,其特征在于,包括:
接收源网关发送的至少一个流量数据包;其中,每个流量数据包携带有:所述源网关根据数据特征添加的至少一个数据特征标识;
对所述至少一个流量数据包各自对应的至少一个数据特征标识进行频度统计,确定所述至少一个流量数据包对应的数据特征分布;
当基于所述数据特征分布,确定存在目标DDoS攻击类型时,对所述目标DDoS攻击类型对应的目标流量数据包进行过滤。
2.如权利要求1所述的方法,其特征在于,所述对所述至少一个流量数据包各自对应的至少一个数据特征标识进行频度统计,确定所述至少一个流量数据包对应的数据特征分布,包括:
分别统计所述至少一个数据特征标识对应的各种标识类型的出现频率;其中,同一种标识类型对应的各数据特征标识具有相同取值;
基于所述各种标识类型各自的出现频率,确定所述至少一个流量数据包对应的数据特征分布。
3.如权利要求2所述的方法,其特征在于,所述数据特征标识包括协议号标识、标志位标识、包长度标识和首部长度标识中的至少一种;
所述分别统计所述至少一个数据特征标识对应的各种标识类型的出现频率,包括:
若所述数据特征标识为协议号标识和标志位标识,则分别统计具有相同取值的协议号标识和标志位标识的出现频率;
若所述数据特征标识为包长度标识,则分别统计具有相同取值的包长度标识的出现频率;
若所述数据特征标识为首部长度标识,则分别统计具有相同取值的首部长度标识的出现频率。
4.如权利要求3所述的方法,其特征在于,所述当基于所述数据特征分布,确定存在目标DDoS攻击类型时,对所述目标DDoS攻击类型对应的目标流量数据包进行过滤,包括:
当所述具有相同取值的协议号标识和标志位标识的出现频率,大于等于第一频率阈值时,确定存在第一目标DDoS攻击类型,并对所述第一目标DDoS攻击类型对应的第一目标流量数据包进行过滤;
当所述具有相同取值的包长度标识的出现频率,大于等于第二频率阈值时,确定存在第二目标DDoS攻击类型,并对所述第二目标DDoS攻击类型对应的第二目标流量数据包进行过滤;
当所述具有相同取值的首部长度标识的出现频率,大于等于第三频率阈值时,确定存在第三目标DDoS攻击类型,并对所述第三目标DDoS攻击类型对应的第三目标流量数据包进行过滤。
5.如权利要求1~4中任一项所述的方法,其特征在于,所述至少一个流量数据包对应于一个设定时间段;所述接收源网关发送的至少一个流量数据包之后,所述方法还包括:
将所述设定时间段划分为多个子时间段;其中,每个子时间段中包括至少一个子流量数据包;
在每个子时间段内,对所述至少一个子流量数据包各自对应的至少一个数据特征标识进行频度统计,确定所述至少一个子流量数据包对应的数据特征分布。
6.一种分布式拒绝服务DDoS攻击防护方法,其特征在于,包括:
根据至少一个流量数据包各自对应的数据特征,分别确定所述至少一个流量数据包各自对应的至少一个数据特征标识;
将所述至少一个数据特征标识,分别添加至所述至少一个流量数据包的设定位置处;
将携带有所述至少一个数据特征标识的至少一个流量数据包,发送给目的网关,以使所述目的网关在接收到所述至少一个流量数据包后,根据所述至少一个流量数据包各自对应的至少一个数据特征标识,在确定存在目标DDoS攻击类型时,对所述目标DDoS攻击类型对应的目标流量数据包进行过滤。
7.如权利要求6所述的方法,其特征在于,所述数据特征标识包括协议号标识、标志位标识、包长度标识和首部长度标识中的至少一种;
所述根据所述至少一个流量数据包各自对应的数据特征,分别确定至少一个流量数据包各自对应的至少一个数据特征标识,包括:
针对所述至少一个流量数据包,分别执行以下操作:
若所述数据特征标识为协议号标识,则根据一个流量数据包对应的协议类型,确定所述一个流量数据包对应的协议号标识;
若所述数据特征标识为标志位标识,则根据一个流量数据包对应的网络协议和所述网络协议中DDoS攻击常用的标志位,确定所述一个流量数据包对应的标志位标识;
若所述数据特征标识为包长度标识,则根据一个流量数据包对应的互联网协议IP数据包的总长度,确定所述一个流量数据包对应的包长度标识;
若所述数据特征标识为首部长度标识,则根据一个流量数据包对应的IP数据包首部的长度,确定所述一个流量数据包对应的首部长度标识。
8.如权利要求7所述的方法,其特征在于,所述根据一个流量数据包对应的协议类型,确定所述一个流量数据包对应的协议号标识,包括:
根据一个流量数据包对应的网络协议,确定所述网络协议所属的风险类型;
若所述风险类型为第一类风险类型,则根据互联网协议标准和所述网络协议,确定所述一个流量数据包对应的协议号标识;
若所述风险类型为第二类风险类型,则确定所述一个流量数据包对应的协议号标识为一个设定标识。
9.如权利要求6所述的方法,其特征在于,所述将所述至少一个数据特征标识,分别添加至所述至少一个流量数据包的设定位置处,包括:
针对所述至少一个流量数据包,分别执行以下操作:
当一个流量数据包对应的互联网协议的协议版本为第一协议版本时,将所述至少一个数据特征标识添加至所述互联网协议的首部后面;
当一个流量数据包对应的互联网协议的协议版本为第二协议版本时,将所述至少一个数据特征标识添加至所述互联网协议的扩展首部中。
10.一种分布式拒绝服务DDoS攻击防护装置,其特征在于,包括:
数据接收模块,用于接收源网关发送的至少一个流量数据包;其中,每个流量数据包携带有:所述源网关根据数据特征添加的至少一个数据特征标识;
特征分布确定模块,用于对所述至少一个流量数据包各自对应的至少一个数据特征标识进行频度统计,确定所述至少一个流量数据包对应的数据特征分布;
DDoS数据过滤模块,用于当基于所述数据特征分布,确定存在目标DDoS攻击类型时,对所述目标DDoS攻击类型对应的目标流量数据包进行过滤。
11.一种分布式拒绝服务DDoS攻击防护装置,其特征在于,包括:
特征标识确定模块,用于根据至少一个流量数据包各自对应的数据特征,分别确定所述至少一个流量数据包各自对应的至少一个数据特征标识;
特征标识添加模块,用于将所述至少一个数据特征标识,分别添加至所述至少一个流量数据包的设定位置处;
数据发送模块,用于将携带有所述至少一个数据特征标识的至少一个流量数据包,发送给目的网关,以使所述目的网关在接收到所述至少一个流量数据包后,根据所述至少一个流量数据包各自对应的至少一个数据特征标识,在确定存在目标DDoS攻击类型时,对所述目标DDoS攻击类型对应的目标流量数据包进行过滤。
12.一种电子设备,其特征在于,其包括处理器和存储器,其中,所述存储器存储有程序代码,当所述程序代码被所述处理器执行时,使得所述处理器执行权利要求1~5中任一项所述方法的步骤或权利要求6~9中任一项所述方法的步骤。
13.一种计算机可读存储介质,其特征在于,其包括程序代码,当所述程序代码在电子设备上运行时,所述程序代码用于使所述电子设备执行权利要求1~5中任一项所述方法的步骤或权利要求6~9中任一项所述方法的步骤。
14.一种计算机程序产品,包括计算机程序/指令,其特征在于,该计算机程序/指令被处理器执行时实现权利要求1~5中任一项所述方法的步骤或权利要求6~9中任一项所述方法的步骤。
CN202210234372.5A 2022-03-10 2022-03-10 一种DDoS攻击防护方法和相关装置 Pending CN116781303A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210234372.5A CN116781303A (zh) 2022-03-10 2022-03-10 一种DDoS攻击防护方法和相关装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210234372.5A CN116781303A (zh) 2022-03-10 2022-03-10 一种DDoS攻击防护方法和相关装置

Publications (1)

Publication Number Publication Date
CN116781303A true CN116781303A (zh) 2023-09-19

Family

ID=87990138

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210234372.5A Pending CN116781303A (zh) 2022-03-10 2022-03-10 一种DDoS攻击防护方法和相关装置

Country Status (1)

Country Link
CN (1) CN116781303A (zh)

Similar Documents

Publication Publication Date Title
CN108701187B (zh) 用于混合硬件软件分布式威胁分析的设备和方法
US10735379B2 (en) Hybrid hardware-software distributed threat analysis
US8561188B1 (en) Command and control channel detection with query string signature
Sanmorino et al. DDoS attack detection method and mitigation using pattern of the flow
EP3399723B1 (en) Performing upper layer inspection of a flow based on a sampling rate
Aldabbas et al. A novel mechanism to handle address spoofing attacks in SDN based IoT
CN110266650B (zh) Conpot工控蜜罐的识别方法
CN111431881A (zh) 一种基于windows操作系统的诱捕节点实现方法及装置
EP3618355B1 (en) Systems and methods for operating a networking device
CN111865996A (zh) 数据检测方法、装置和电子设备
Bhandari Survey on DDoS attacks and its detection & defence approaches
Munther et al. Scalable and secure SDN based ethernet architecture by suppressing broadcast traffic
CN111698110A (zh) 一种网络设备性能分析方法、系统、设备及计算机介质
Khosravifar et al. An experience improving intrusion detection systems false alarm ratio by using honeypot
Salim et al. Preventing ARP spoofing attacks through gratuitous decision packet
CN116781303A (zh) 一种DDoS攻击防护方法和相关装置
Gokcen A Preliminary Study for Identifying NAT Traffic Using Machine Learning
Machana et al. Optimization of ipv6 neighbor discovery protocol
Zhou et al. Limiting self-propagating malware based on connection failure behavior
Yu et al. SDNDefender: a comprehensive DDoS defense mechanism using hybrid approaches over software defined networking
EP3618389B1 (en) Systems and methods for operating a networking device
Zhu On the model-checking-based IDS
Zhou et al. Limiting Self-Propagating Malware Based on Connection Failure Behavior through Hyper-Compact Estimators
US20240146762A1 (en) Intelligent manipulation of denial-of-service attack traffic
WO2024099078A1 (zh) 检测攻击流量的方法及相关设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination