CN202231744U - 基于isp网络的拒绝攻击防御系统 - Google Patents
基于isp网络的拒绝攻击防御系统 Download PDFInfo
- Publication number
- CN202231744U CN202231744U CN2011203770645U CN201120377064U CN202231744U CN 202231744 U CN202231744 U CN 202231744U CN 2011203770645 U CN2011203770645 U CN 2011203770645U CN 201120377064 U CN201120377064 U CN 201120377064U CN 202231744 U CN202231744 U CN 202231744U
- Authority
- CN
- China
- Prior art keywords
- attack
- flow
- detector
- isp network
- tractor
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Images
Abstract
本实用新型涉及一种基于ISP网络的拒绝攻击防御系统,包括:攻击探测器,攻击探测器内设有入侵检测模块和流量侦测模块;流量牵引器,其与攻击探测器相互通信连接;以及计算机终端,其与攻击探测器通信连接。本实用新型的有益效果为:本系统设计采用了基于路由器路由信息的数据DDOS检测和攻击防御,降低了系统资源消耗,提高了检测的效率,从技术源头上提高了DDOS攻击在ISP网络中的检测效率和防御效果,系统设计架构非常清晰,对用户方,以及操作使用方,非常易于学习、使用和操作。
Description
技术领域
本实用新型涉及一种基于ISP网络的拒绝攻击防御系统。
背景技术
现有的大多数DDOS防御系统都是单台系统实现DDOS流量的检测、分析、防御功能,构成负荷过大,难以用于电信级网络的环境中。同时由于单一的系统设计,在部署时无法分布式进行部署,因此对于检测、分析、清洗等功能均在一套系统中进行完成,没有遵循网络的层次功能分布,构成技术瓶颈,而且现有的技术产品存在多个故障点、分布式结构部署较复杂、能旁路处理且对某些DOS攻击无法有效抵御、网关方式部署时攻击流量较大时仍会对用户造成影响等缺点。
实用新型内容
本实用新型的目的是提供一种基于ISP网络的拒绝攻击防御系统,以克服现有技术产品上述的不足。
本实用新型的目的是通过以下技术方案来实现:
一种基于ISP网络的拒绝攻击防御系统,包括:攻击探测器,攻击探测器内设有入侵检测模块和流量侦测模块;流量牵引器,其与攻击探测器相互通信连接;以及计算机终端,其与攻击探测器相互通信连接。
本实用新型基于ISP网络的拒绝攻击防御系统的攻击探测器支持网关和旁路两种方式接入用户网络:
1)攻击探测器网关接入模式:当采用网关模式接入网络时可按需求选择前置路由及后置路由两种接入部署方式:当采用后置路由部署方式时,推荐使用透明接入方式;采用网关接入方式时,攻击探测器可以通过内置的防火墙功能模块及流量监控功能模块在不启动流量牵引器的情况下抵御各类DoS攻击,以及小规模DDoS攻击。流量牵引器通常布置于运营商网络中高带宽节点,如核心交换机等高速转发设备。攻击探测器可通过带内SSH通信或带外通信方式与攻击牵引器通信。处理过程如下:当攻击探测器检测到攻击发生时会初步确定攻击类型及规模,同时探测器起到网关的作用对攻击进行处理,在流量牵引器执行流量牵引动作之前,攻击探测器将始终承担攻击阻止任务;攻击探测器将攻击信息通过SSH方式发送到流量牵引器;流量牵引器对可疑流量进行引导,并对攻击流量进行分离,将正常通信流量按原路转发到目的地;当流量牵引器引导流量并对攻击流量进行过滤时,攻击探测器负责抵御流量探测器无法发现及处理的攻击流量并上报给牵引器,同时提供过滤策略;最后保证流入受保护区域的流量为干净的流量。
2)攻击探测器旁路接入模式:当采用旁路模式接入网络时需通过流量镜像方式将网关处流量复制发送至攻击探测器,采用旁路接入时对任何流量除记录及上报外不做任何动作。流量牵引器通常布置于运营商网络中高带宽节点,如核心交换机等高速转发设备。处理过程如下:当攻击探测器检测到攻击发生时会与流量牵引器通过SSH方式通信,将攻击信息发送到流量牵引器;流量牵引器收到攻击信息后对可疑流量进行牵引,并通过内部处理机制分离出正常通信流量,按原路转发;流量探测器检测分离出的流量将检测信息继续发送给流量牵引器,如发现仍有攻击流量存在,则向流量牵引器发送报告及处理策略;最后保证流入受保护区域的流量为干净的流量。
本实用新型的有益效果为:本系统设计采用了基于路由器路由信息的数据DDOS检测和攻击防御,降低了系统资源消耗,提高了检测的效率,从技术源头上提高了DDOS攻击在ISP网络中的检测效率和防御效果;系统设计架构非常清晰,对用户方,以及操作使用方,非常易于学习、使用和操作,有别于国外众多的复杂的ISP网络的拒绝服务攻击检测与防御系统,适合于我国的网络管理条件和环境。
附图说明
下面根据附图对本实用新型作进一步详细说明。
图1是本实用新型实施例所述的基于ISP网络的拒绝攻击防御系统的结构框图。
图中:1、攻击探测器;2、流量牵引器;3、计算机终端。
具体实施方式
如图1所示,本实用新型实施例所述的一种基于ISP网络的拒绝攻击防御系统,包括:攻击探测器1,攻击探测器1内设有入侵检测模块和流量侦测模块;流量牵引器2,其与攻击探测器1相互通信连接;以及计算机终端3,其与攻击探测器1相互通信连接。
攻击探测器1采用双子系统架构,该架构将入侵检测模块和流量侦测模块分为两个完全独立的系统,通过总线相连,在互不影响的同时又能够保证信息的共享及功能联动。攻击检测模块在没有DDoS攻击的时候只是正常地检测流量,并通过基于自相似性模型的动态异常流量监测机制判断网络流量是否出现异常。当发现流量出现异常时与入侵检测模块联动进行流量分析、行为分析。判断流量是否为DDoS攻击,如确认攻击则记录攻击信息,判断攻击规模,确定防御策略,同时通过SSH与流量牵引器通信并上报攻击信息。入侵检测模块能够发现并抵御多数DoS攻击、以及蠕虫、木马等恶意代码,并对流量侦测模块提交的可疑流量进行检测,进一步判断是否为攻击流量。
攻击探测器1采用基于自相似性模型的动态异常流量监测算法,能够在DDoS攻击的初始阶段甄别攻击;攻击探测器1采用基于自相似性模型的动态异常流量监测与深层包检测技术协同工作方式的高效检测流量,可以识别并实时抵御1500多种蠕虫、病毒、DOS攻击和异常的流量模式攻击,极大地提高准确率。并通过访问控制列表、代理服务等技术实现小规模的攻击处理能力。系统定位为运营商级高可靠性的安全产品,所有组件支持热插拔,支持双机热备和来回路径不一致;攻击探测器1支持透明模式及旁路模式部署,使得系统的部署不影响用户原有网络拓扑;与流量牵引器2之间支持集群工作模式,有效提高了系统负载能力;攻击探测器1支持负载均衡、热备等技术,最大限度地提高设备可靠性。
攻击探测器1部署在所需保护网络的接入点,可选择串联或者旁路方式接入网络,采用串联接入方式时,能够通过内置的攻击探测模块、流量监测模块和防火墙模块联动来实现对DoS攻击及小规模DDoS攻击进行有效防御。选择旁路接入方式时,该设备不具备网关功能,可对流量进行监控、分析,并对可疑流量进行深度扫描。
流量牵引器2具有如下功能特点:
高速的攻击处理能力:流量牵引器2接入运营商骨干网络,系统能够有效鉴别攻击流量和正常流量,对异常攻击流量进行清洗,有效保证用户正常业务流量的传输。该流量牵引器支持集群工作模式,通过集群化部署可以有效地提高系统的处理能力,使系统能够满足大型ISP网络的需要;
高效的软硬件平台:在硬件方面,流量牵引器2采用了嵌入式系统设计,在系统核心实现拒绝服务攻击的防御算法,并且创造性地将算法实现在网络协议栈的最底层,完全避免了TCP、UDP和IP等高层系统网络堆栈的处理,将整个运算代价大大降低,大大提高了运算速率;
采用虚拟化技术:流量牵引器2支持虚拟化技术,支持多达50个虚拟设备,每个虚拟设备拥有独立系统资源、管理员、安全策略、用户认证数据库等,可单独与攻击检测网关配合组成完整的系统;
支持集群工作模式:流量牵引器2支持集群工作模式,可通过集群工作模式增强系统处理能力,提高可扩展性及可靠性;
详细可定制的报表生成系统:系统提供可定制的报表生成系统,能够按照管理员定义的内容及格式生成报表,方便用户直观地查看攻击情况,支持syslog、数据库等日志格式。
本系统的技术指标如下所示:
项目 | 技术指标 |
最大检测流量 | 单机最多可检测并抵御300Mbps的流量 |
攻击探测功能 | 可发现并实时抵御1500多种蠕虫、病毒、DOS攻击和异常的流量模式;可以提供256byte背景流量下百兆100%的检测效率 |
支持的部署方式 | 支持串联网关、透明桥接及旁路部署方式 |
是否支持热备 | 是 |
是否支持负载均衡 | 是 |
可抵御的攻击类型 | SYN FLOOD、ICMP FLOOD、UDP FLOOD、CC攻击、IP Spoofing、LAND攻击、Smurf攻击、Fraggle攻击、Winnuke、Ping of Death、Tear Drop、地址扫描、端口扫描、IP Option控制、IP分片报文控制、TCP标记合法性检查、超大ICMP报文控制、ICMP重定向报文、ICMP不可达报文、TRACERT报文、HTTP Get攻击、BGP FLOOD攻击、DNS FLOOD攻击等 |
本实用新型不局限于上述最佳实施方式,任何人在本实用新型的启示下都可得出其他各种形式的产品,但不论在其形状或结构上作任何变化,凡是具有与本申请相同或相近似的技术方案,均落在本实用新型的保护范围之内。
Claims (1)
1.一种基于ISP网络的拒绝攻击防御系统,包括攻击探测器(1)、流量牵引器(2)以及计算机终端(3),其特征在于:攻击探测器(1)内设有入侵检测模块和流量侦测模块,流量牵引器(2)与攻击探测器(1)相互通信连接,计算机终端(3)与攻击探测器(1)相互通信连接。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2011203770645U CN202231744U (zh) | 2011-09-28 | 2011-09-28 | 基于isp网络的拒绝攻击防御系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2011203770645U CN202231744U (zh) | 2011-09-28 | 2011-09-28 | 基于isp网络的拒绝攻击防御系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN202231744U true CN202231744U (zh) | 2012-05-23 |
Family
ID=46082316
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2011203770645U Expired - Lifetime CN202231744U (zh) | 2011-09-28 | 2011-09-28 | 基于isp网络的拒绝攻击防御系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN202231744U (zh) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103051552A (zh) * | 2012-12-04 | 2013-04-17 | 恒安嘉新(北京)科技有限公司 | 基于串接阻断、旁路分析相分离的智能管控方法和系统 |
GB2545744A (en) * | 2015-12-24 | 2017-06-28 | British Telecomm | Malicious network traffic identification |
CN108449314A (zh) * | 2018-02-02 | 2018-08-24 | 杭州迪普科技股份有限公司 | 一种流量牵引方法和装置 |
CN108924097A (zh) * | 2018-06-14 | 2018-11-30 | 安徽鼎龙网络传媒有限公司 | 一种微场景管理后台系统配置管理平台 |
US10812523B2 (en) | 2018-02-14 | 2020-10-20 | Cisco Technology, Inc. | Adaptive union file system based protection of services |
-
2011
- 2011-09-28 CN CN2011203770645U patent/CN202231744U/zh not_active Expired - Lifetime
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103051552A (zh) * | 2012-12-04 | 2013-04-17 | 恒安嘉新(北京)科技有限公司 | 基于串接阻断、旁路分析相分离的智能管控方法和系统 |
CN103051552B (zh) * | 2012-12-04 | 2015-06-17 | 恒安嘉新(北京)科技有限公司 | 基于串接阻断、旁路分析相分离的智能管控方法和系统 |
GB2545744A (en) * | 2015-12-24 | 2017-06-28 | British Telecomm | Malicious network traffic identification |
CN108449314A (zh) * | 2018-02-02 | 2018-08-24 | 杭州迪普科技股份有限公司 | 一种流量牵引方法和装置 |
CN108449314B (zh) * | 2018-02-02 | 2020-12-29 | 杭州迪普科技股份有限公司 | 一种流量牵引方法和装置 |
US10812523B2 (en) | 2018-02-14 | 2020-10-20 | Cisco Technology, Inc. | Adaptive union file system based protection of services |
CN108924097A (zh) * | 2018-06-14 | 2018-11-30 | 安徽鼎龙网络传媒有限公司 | 一种微场景管理后台系统配置管理平台 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Bawany et al. | DDoS attack detection and mitigation using SDN: methods, practices, and solutions | |
Dayal et al. | Research trends in security and DDoS in SDN | |
CN103561004B (zh) | 基于蜜网的协同式主动防御系统 | |
CN108063765B (zh) | 适于解决网络安全的sdn系统 | |
CN101588246B (zh) | 防范分布式阻断服务DDoS攻击的方法、网络设备和网络系统 | |
US8438241B2 (en) | Detecting and protecting against worm traffic on a network | |
CN1160899C (zh) | 分布式网络动态安全保护系统 | |
CN102801738B (zh) | 基于概要矩阵的分布式拒绝服务攻击检测方法及系统 | |
CN202231744U (zh) | 基于isp网络的拒绝攻击防御系统 | |
CN101465855B (zh) | 一种同步泛洪攻击的过滤方法及系统 | |
CN106161333A (zh) | 基于sdn的ddos攻击防护方法、装置及系统 | |
CN103023924A (zh) | 基于内容分发网络的云分发平台的DDoS攻击防护方法和系统 | |
CN105049450A (zh) | 一种基于虚拟网络环境的云安全系统及其部署框架 | |
KR20110070189A (ko) | 봇넷 정보를 이용한 악성 트래픽 격리 시스템과 봇넷 정보를 이용한 악성 트래픽 격리 방법 | |
Chen et al. | Detecting early worm propagation through packet matching | |
Rafique et al. | CFADefense: A security solution to detect and mitigate crossfire attacks in software-defined IoT-edge infrastructure | |
EP1595193B1 (en) | Detecting and protecting against worm traffic on a network | |
CN104104669A (zh) | 适用于因特网数据中心领域的抗DDoS攻击防护系统 | |
Chen et al. | Attack Diagnosis: Throttling distributed denial-of-service attacks close to the attack sources | |
Keshariya et al. | DDoS defense mechanisms: A new taxonomy | |
Tran et al. | ODL-ANTIFLOOD: A comprehensive solution for securing OpenDayLight controller | |
CN102739433A (zh) | 一种基于三层交换机多网段环境下部署网管软件对局域网电脑进行控制的方法 | |
Leu et al. | A DoS/DDoS attack detection system using chi-square statistic approach | |
Singh et al. | Comparative analysis of state-of-the-art EDoS mitigation techniques in cloud computing environment | |
Kotenko et al. | Packet level simulation of cooperative distributed defense against Internet attacks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CX01 | Expiry of patent term |
Granted publication date: 20120523 |
|
CX01 | Expiry of patent term |