TW202110135A - 分散式拒絕服務攻擊防護方法及相關設備 - Google Patents
分散式拒絕服務攻擊防護方法及相關設備 Download PDFInfo
- Publication number
- TW202110135A TW202110135A TW108131148A TW108131148A TW202110135A TW 202110135 A TW202110135 A TW 202110135A TW 108131148 A TW108131148 A TW 108131148A TW 108131148 A TW108131148 A TW 108131148A TW 202110135 A TW202110135 A TW 202110135A
- Authority
- TW
- Taiwan
- Prior art keywords
- service provider
- provider server
- botnet
- attack
- server
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 24
- 238000012545 processing Methods 0.000 claims description 56
- 238000004891 communication Methods 0.000 claims description 36
- 238000004140 cleaning Methods 0.000 claims description 31
- 238000001914 filtration Methods 0.000 claims description 7
- 230000010365 information processing Effects 0.000 description 5
- 238000010586 diagram Methods 0.000 description 4
- 238000003491 array Methods 0.000 description 2
- 238000000746 purification Methods 0.000 description 2
- 238000004590 computer program Methods 0.000 description 1
- 230000008878 coupling Effects 0.000 description 1
- 238000010168 coupling process Methods 0.000 description 1
- 238000005859 coupling reaction Methods 0.000 description 1
- 238000011982 device technology Methods 0.000 description 1
- 235000019800 disodium phosphate Nutrition 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/069—Management of faults, events, alarms or notifications using logs of notifications; Post-processing of notifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/16—Threshold monitoring
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/75—Indicating network or usage conditions on the user display
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/144—Detection or countermeasures against botnets
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本發明涉及一種分散式拒絕服務攻擊防護方法及相關設備。本發明中僵屍網路服務供應商伺服器根據平臺伺服器發送的攻擊報告查找出與所述目標僵屍網路服務供應商伺服器相關聯的第二SDN控制器,發出第二重新導向通知給所述第二SDN控制器,所述僵屍網路服務供應商伺服器控制第二SDN控制器將所述第二重新導向通知轉換成流第二流規則;及根據所述第二流規則將僵屍網路服務供應商伺服器中網路設備的資料流程量導向至所述目標僵屍網路服務供應商伺服器的第二清洗中心,並控制所述第二清洗中心識別出所述資料流程量中的攻擊流量。
Description
本發明涉及電腦通訊領域,尤其涉及一種分散式拒絕服務攻擊防護方法及相關設備。
分散式拒絕服務(Distributed Denial of Service,DDoS)攻擊指借助於用戶端/裝置技術,將多個電腦聯合起來作為攻擊平臺,對一個或多個目標發動DDoS攻擊,從而成倍地提高拒絕服務攻擊的威力。目前對於這種大規模分散式拒絕服務攻擊的處理措施並不完善,例如,現有分散式拒絕服務攻擊流量因流量小難以被檢測出,此外,企業主機中藉由建置清洗中心以消除分散式拒絕服務攻擊流量因流量,但是由於DDoS攻擊規模動輒數百MB甚至以GB計算,如此規模遠高於一般企業頻寬及主機效能所能承受範圍。
鑒於以上內容,有必要提供一種分散式拒絕服務攻擊防護方法及相關設備以解決分散式拒絕服務攻擊流量因流量小難以被檢測的問題及避免企業建造高規格的清洗中心的高昂花費。
一種目標服務供應商伺服器,包括一處理器、第一清洗中心及多個第一SDN控制器,所述處理器用於:
接收企業網路發送的攻擊防護請求;
根據所述攻擊防護請求的來源找出相關聯的第一SDN控制器,發出重新導向通知給相關聯的第一SDN控制器,並控制所述第一SDN控制器將所述重新導向通知轉換成流第一流規則;
根據所述第一流規則將所述企業網路中網路設備的資料流程量導向至所述第一清洗中心,並控制所述第一清洗中心識別出所述資料流程量中的攻擊流量;及
識別出的所述攻擊流量發送給所述平臺伺服器。
優選的,控制所述第一清洗中心識別出所述資料流程量中的攻擊流量包括:
藉由所述第一清洗中心對所述資料流程量中的攻擊流量進行識別和剝離,還原出資料流程量中的合法流量,並將所述合法流量返回給所述企業網路中的網路設備。
優選的,所述處理器還用於:
將攜帶有所述目標服務供應商伺服器的身份資訊的註冊信號發送給所述平臺伺服器以使所述平臺伺服器根據所述身份資訊對所述目標服務供應商伺服器進行登記。
優選的,所述處理器還用於:
每隔預設週期藉由所述第一SDN控制器查詢與所述平臺伺服器通訊連接的僵屍網路服務供應商伺服器的攻擊流量的統計資訊,並將所述攻擊流量的統計資訊發送給平臺伺服器。
一種僵屍網路服務供應商伺服器,包括一處理單元、第二清洗中心及至少一第二SDN控制器,所述處理單元用於:
接收平臺伺服器發送的攻擊報告,根據所述攻擊報告查找出與所述僵屍網路服務供應商伺服器相關聯的第二SDN控制器;
發出重新導向通知給所述第二SDN控制器,並控制所述第二SDN控制器將所述重新導向通知轉換成流第二流規則;
根據所述第二流規則將所述僵屍網路服務供應商伺服器中網路設備的資料流程量導向至所述第二清洗中心,並控制所述第二清洗中心識別出所述資料流程量中的攻擊流量。
優選的,所述處理單元還用於:
將攜帶有所述僵屍網路服務供應商伺服器的身份資訊的註冊信號發送給所述平臺伺服器以使所述平臺伺服器根據所述身份資訊對所述僵屍網路服務供應商伺服器進行登記。
優選的,所述處理單元還用於:
接收所述平臺伺服器發送的攻擊流量的分類等級,並根據所述攻擊流量的分類等級對所述攻擊流量進行對應的清洗處理。
優選的,所述根據所述攻擊流量的分類等級對所述攻擊流量進行對應的清洗處理包括:
根據所述攻擊流量的分類等級對所述攻擊流量進行不同強度的流量過濾,藉由減少所述第二清洗中心的虛擬機器的數量或減少過濾條件來對所述攻擊流量進行不同強度其中的流量過濾。
優選的,所述根據所述攻擊流量的分類等級對所述攻擊流量進行對應的清洗處理包括:
根據所述攻擊流量的分類等級調整所述第二流規則的數量或減少所述第二SDN控制器在所述僵屍網路服務供應商伺服器中負責導向的網路設備。
一種平臺伺服器,包括一處理單元,所述處理單元用於:
接收目標服務供應商伺服器發送的攻擊流量,並將接收的所述攻擊流量作為惡意流量;
在存儲的許可權清單中查找出包含有所述惡意流量的僵屍網路服務供應商伺服器,將查找出的僵屍網路服務供應商伺服器作為目標僵屍網路服務供應商伺服器,並生成一攻擊報告發送給所述目標僵屍網路服務供應商伺服器以通知所述目標僵屍網路服務供應商伺服器對所述惡意流量進行清洗或過濾。
優選的,所述處理單元還用於:
接收所述目標服務供應商伺服器發送的第一註冊信號;
根據所述第一註冊信號中包含的所述目標服務供應商伺服器的身份資訊將與所述身份資訊對應的目標服務供應商伺服器進行登記以授予所述目標服務供應商伺服器進行攻擊資訊交換的許可權;
接收所述僵屍網路服務供應商伺服器發送的第二註冊信號;及
根據所述第二註冊信號中包含的所述僵屍網路服務供應商伺服器的身份資訊將與所述身份資訊對應的僵屍網路服務供應商伺服器進行登記以授予所述僵屍網路服務供應商伺服器進行攻擊資訊交換的許可權。
一種分散式拒絕服務攻擊防護方法,應用在一目標服務供應商伺服器、僵屍網路服務供應商伺服器及平臺伺服器,所述平臺伺服器與所述目標服務供應商伺服器及所述僵屍網路服務供應商伺服器通訊連接,所述方法包括:
所述目標服務供應商伺服器接收企業網路發送的攻擊防護請求;
所述目標服務供應商伺服器根據所述攻擊防護請求的來源找出相關聯的第一SDN控制器,發出第一重新導向通知給相關聯的第一SDN控制器,並控制所述第一SDN控制器將所述第一重新導向通知轉換成流第一流規則;
所述目標服務供應商伺服器根據所述第一流規則將所述企業網路中網路設備的資料流程量導向至所述目標服務供應商伺服器中的第一清洗中心,並控制所述第一清洗中心識別出所述資料流程量中的攻擊流量;
所述目標服務供應商伺服器將識別出的所述攻擊流量發送給所述平臺伺服器;
所述平臺伺服器接收所述目標服務供應商伺服器發送的攻擊流量,並將接收的所述攻擊流量作為惡意流量;
所述平臺伺服器在存儲的許可權清單中查找出包含有所述惡意流量的僵屍網路服務供應商伺服器,將查找出的僵屍網路服務供應商伺服器作為目標僵屍網路服務供應商伺服器,並生成一攻擊報告發送給所述目標僵屍網路服務供應商伺服器以通知所述目標僵屍網路服務供應商伺服器對所述惡意流量進行清洗或過濾;
所述目標僵屍網路服務供應商伺服器接收所述平臺伺服器發送的攻擊報告,根據所述攻擊報告查找出與所述目標僵屍網路服務供應商伺服器相關聯的第二SDN控制器,發出第二重新導向通知給所述第二SDN控制器;
所述目標僵屍網路服務供應商伺服器控制所述第二SDN控制器將所述第二重新導向通知轉換成流第二流規則;及
所述目標僵屍網路服務供應商伺服器根據所述第二流規則將所述僵屍網路服務供應商伺服器中網路設備的資料流程量導向至所述目標僵屍網路服務供應商伺服器的第二清洗中心,並控制所述第二清洗中心識別出所述資料流程量中的攻擊流量。
優選的,所述方法還包括:
所述目標服務供應商伺服器每隔預設週期藉由所述第一SDN控制器查詢所述僵屍網路服務供應商伺服器的攻擊流量的統計資訊,並將所述攻擊流量的統計資訊發送給所述平臺伺服器;
所述平臺伺服器根據所述目標服務供應商伺服器發送的攻擊流量的高低將所述攻擊流量進行分類得到所述攻擊流量的分類等級,並將所述攻擊流量的分類等級發送給所述僵屍網路服務供應商伺服器;及
所述僵屍網路服務供應商伺服器還用於接收所述平臺伺服器3發送的攻擊流量的分類等級,並根據所述攻擊流量的分類等級對所述攻擊流量進行對應的清洗處理。
本發明中僵屍網路服務供應商伺服器根據平臺伺服器發送的攻擊報告查找出與所述目標僵屍網路服務供應商伺服器相關聯的第二SDN控制器,發出第二重新導向通知給所述第二SDN控制器,所述僵屍網路服務供應商伺服器控制所述第二SDN控制器將所述第二重新導向通知轉換成流第二流規則;及根據所述第二流規則將所述僵屍網路服務供應商伺服器中網路設備的資料流程量導向至所述目標僵屍網路服務供應商伺服器的第二清洗中心,並控制所述第二清洗中心識別出所述資料流程量中的攻擊流量。從而解決僵屍網路服務供應商伺服器中分散式拒絕服務攻擊流量因流量小難以被檢測的問題及避免企業建造高規格的清洗中心以減少分散式拒絕服務攻擊流量因流量。
下面將結合本發明實施例中的附圖,對本發明實施例中的技術方案進行清楚、完整地描述,顯然,所描述的實施例僅僅是本發明一部分實施例,而不是全部的實施例。基於本發明中的實施例,本領域普通技術人員在沒有做出創造性勞動前提下所獲得的所有其他實施例,都屬於本發明保護的範圍。
需要說明的是,當一個元件被稱為“電連接”另一個元件,它可以直接在另一個元件上或者也可以存在居中的元件。當一個元件被認為是“電連接”另一個元件,它可以是接觸連接,例如,可以是導線連接的方式,也可以是非接觸式連接,例如,可以是非接觸式耦合的方式。
除非另有定義,本文所使用的所有的技術和科學術語與屬於本發明的技術領域的技術人員通常理解的含義相同。本文中在本發明的說明書中所使用的術語只是為了描述具體的實施例的目的,不是旨在於限制本發明。本文所使用的術語“及/或”包括一個或多個相關的所列項目的任意的和所有的組合。
下面結合附圖,對本發明的一些實施方式作詳細說明。在不衝突的情況下,下述的實施例及實施例中的特徵可以相互組合。
請參考圖1,所示為本發明一實施方式中分散式拒絕服務攻擊防護方法的應用環境圖。所述方法應用在目標服務供應商伺服器1、僵屍網路服務供應商伺服器2及平臺伺服器3構成的運行環境中。所述目標服務供應商伺服器1與企業網路4通訊連接。所述僵屍網路服務供應商伺服器2與僵屍網路5通訊連接。所述目標服務供應商伺服器1與僵屍網路服務供應商伺服器2分別與所述平臺伺服器3通訊連接。本實施方式中,所述平臺伺服器3可以為單一的平臺伺服器、平臺伺服器集群或雲端平臺伺服器。
所述目標服務供應商伺服器1包括第一通訊單元11、第二通訊單元12、第一SDN(Software Define Network,軟體定義網路)控制器13、第一清洗中心14、記憶體15及處理器16。所述第一通訊單元11用於與所述平臺伺服器3通訊連接。所述第二通訊單元12用於與所述企業網路4通訊連接。本實施方式中,所述第一通訊單元11及第二通訊單元12可以為WIFI通訊模組或3G/4G通訊模組。所述第一SDN控制器13用於負責企業網路4中各種轉發規則的控制。本實施方式中,所述第一SDN控制器13的數量包括多個。所述第一清洗中心14用於對企業網路4中的攻擊流量或惡意流量進行清洗以將攻擊流量或惡意流量從原始網路(即企業網路4)路徑中重定向到淨化產品上進行攻擊流量或惡意流量的識別和剝離。本實施方式中,所述處理器16可以是中央處理模組(Central Processing Unit,CPU),還可以是其他通用處理器、數位訊號處理器 (Digital Signal Processor,DSP)、專用積體電路 (Application Specific Integrated Circuit,ASIC)、現成可程式設計閘陣列 (Field-Programmable Gate Array,FPGA) 或者其他可程式設計邏輯器件、分立門或者電晶體邏輯器件、分立硬體元件等。所述處理器16可以是微處理器或者是任何常規的處理器等,所述處理器16也可以是所述目標服務供應商伺服器1的控制中心,利用各種介面和線路連接整個目標服務供應商伺服器1的各個部分。本實施方式中,所述記憶體15用於存儲資料及/或軟體代碼。所述記憶體15可以為所述目標服務供應商伺服器1中的內部存儲單元,例如所述目標服務供應商伺服器1中的硬碟或記憶體。在另一實施方式中,所述記憶體15也可以為所述目標服務供應商伺服器1中的外部存放裝置,例如所述目標服務供應商伺服器1上配備的插接式硬碟,智慧存儲卡(Smart Media Card, SMC),安全數位(Secure Digital, SD)卡,快閃記憶體卡(Flash Card)等。
所述僵屍網路服務供應商伺服器2包括第三通訊單元21、第四通訊單元22、第二SDN控制器23、第二清洗中心24、存儲單元25及處理單元26。所述第三通訊單元21用於與所述平臺伺服器3通訊連接。所述第四通訊單元22用於與所述僵屍網路5通訊連接。本實施方式中,所述第三通訊單元21及第四通訊單元22可以為WIFI通訊模組或3G/4G通訊模組。所述第二SDN控制器23用於負責僵屍網路5中各種轉發規則的控制。本實施方式中,所述第二SDN控制器23的數量包括多個。所述第二清洗中心24用於對僵屍網路5中的攻擊流量或惡意流量進行清洗以將攻擊流量或惡意流量從僵屍網路5路徑中重定向到淨化產品上進行攻擊流量或惡意流量的識別和剝離。本實施方式中,所述處理單元26可以是中央處理模組,還可以是其他通用處理器、數位訊號處理器、專用積體電路、現成可程式設計閘陣列或者其他可程式設計邏輯器件、分立門或者電晶體邏輯器件、分立硬體元件等。所述處理單元26可以是微處理器或者是任何常規的處理器等,所述處理單元26還可以是所述僵屍網路服務供應商伺服器2的控制中心,利用各種介面和線路連接整個僵屍網路服務供應商伺服器2的各個部分。本實施方式中,所述存儲單元25用於存儲資料及/或軟體代碼。所述存儲單元25可以為所述僵屍網路服務供應商伺服器2中的內部存儲單元,例如所述僵屍網路服務供應商伺服器2中的硬碟或記憶體。在另一實施方式中,所述存儲單元25也可以為所述僵屍網路服務供應商伺服器2中的外部存放裝置,例如所述僵屍網路服務供應商伺服器2上配備的插接式硬碟,智慧存儲卡,安全數位卡,快閃記憶體卡等。
所述平臺伺服器3包括第五通訊單元31、存儲單元32及處理單元33。所述第五通訊單元31用於與所述目標服務供應商伺服器1及僵屍網路服務供應商伺服器2通訊連接。本實施方式中,所述第五通訊單元31可以為WIFI通訊模組或3G/4G通訊模組。本實施方式中,所述處理單元33可以是中央處理模組,還可以是其他通用處理器、數位訊號處理器、專用積體電路、現成可程式設計閘陣列或者其他可程式設計邏輯器件、分立門或者電晶體邏輯器件、分立硬體元件等。所述處理單元33可以是微處理器或者是任何常規的處理器等。本實施方式中,所述存儲單元32用於存儲資料及/或軟體代碼。所述存儲單元32可以為所述平臺伺服器3中的內部存儲單元,例如所述平臺伺服器3中的硬碟或記憶體。在另一實施方式中,所述存儲單元32也可以為所述平臺伺服器3中的外部存放裝置,例如所述平臺伺服器3上配備的插接式硬碟,智慧存儲卡,安全數位卡,快閃記憶體卡等。
請參考圖2,所示為本發明一實施方式中分散式拒絕服務攻擊防護系統100的功能模組圖。本實施方式中,所述分散式拒絕服務攻擊防護系統100包括一個或多個模組,所述一個或者多個模組運行在所述目標服務供應商伺服器1、僵屍網路服務供應商伺服器2及平臺伺服器3中。本實施方式中,所述分散式拒絕服務攻擊防護系統100包括第一註冊模組101、第二註冊模組102、登記模組103、第一接收模組104、第一處理模組105、第一清洗模組106、第一發送模組107、攻擊資訊收集模組108、攻擊資訊處理模組109、第二處理模組110、第二清洗模組111、查詢與彙報模組112、攻擊分類別模組113。其中,第一註冊模組101、第一接收模組104、所述第一處理模組105、第一清洗模組106、第一發送模組107、查詢與彙報模組112存儲在所述目標服務供應商伺服器1的記憶體15中,並被處理器16調用執行。第二註冊模組102、第二處理模組110、第二清洗模組111存儲在所述僵屍網路服務供應商伺服器2的存儲單元25中,並被處理單元26調用執行。登記模組103、攻擊資訊收集模組108、所述攻擊資訊處理模組109、攻擊分類別模組113存儲在所述平臺伺服器3的存儲單元32中,並被處理單元33調用執行。本發明所稱的模組是指能夠完成特定功能的一系列電腦程式指令段,比程式更適合於描述軟體在所述分散式拒絕服務攻擊防護系統100中的執行過程。在其他實施方式中,所述第一註冊模組101、第一接收模組104、所述第一處理模組105、第一清洗模組106、第一發送模組107、查詢與彙報模組112為內嵌或固化在所述目標服務供應商伺服器1的處理器16中的程式段或代碼,所述第二註冊模組102、第二處理模組110、第二清洗模組111為內嵌或固化在所述僵屍網路服務供應商伺服器2的處理單元26中的程式段或代碼,所述登記模組103、攻擊資訊收集模組108、所述攻擊資訊處理模組109、攻擊分類別模組113為內嵌或固化在所述平臺伺服器3的處理單元33中的程式段或代碼。
第一註冊模組101,應用在目標服務供應商伺服器1中,用於將攜帶有目標服務供應商伺服器1的身份資訊的註冊信號發送給所述平臺伺服器3以使所述平臺伺服器3根據所述身份資訊對所述目標服務供應商伺服器1進行登記。
本實施方式中,所述第一註冊模組101藉由第一通訊單元11將攜帶有目標服務供應商伺服器1的身份資訊的註冊信號發送給所述平臺伺服器3。本實施方式中,所述目標服務供應商伺服器1的身份資訊可以是目標服務供應商伺服器1的唯一編號資訊,所述編號資訊可以有字母或數位等字元組成。
第二註冊模組102,應用在僵屍網路服務供應商伺服器2中,用於將攜帶有僵屍網路服務供應商伺服器2的身份資訊的註冊信號發送給所述平臺伺服器3以使所述平臺伺服器3根據所述身份資訊對所述僵屍網路服務供應商伺服器2進行登記。
本實施方式中,所述第二註冊模組102藉由第三通訊單元21將攜帶有僵屍網路服務供應商伺服器2的身份資訊的註冊信號發送給所述平臺伺服器3。本實施方式中,所述僵屍網路服務供應商伺服器2的身份資訊為僵屍網路服務供應商伺服器2的唯一編號資訊。
登記模組103,應用在平臺伺服器3中,用於接收所述目標服務供應商伺服器1發送的第一註冊信號,根據所述第一註冊信號中包含的所述目標服務供應商伺服器1的身份資訊將與所述身份資訊對應的目標服務供應商伺服器1進行登記以授予所述目標服務供應商伺服器1進行攻擊資訊交換的許可權。所述登記模組103還用於接收所述僵屍網路服務供應商伺服器2發送的第二註冊信號,及根據所述第二註冊信號中包含的所述僵屍網路服務供應商伺服器2的身份資訊將與所述身份資訊對應的僵屍網路服務供應商伺服器2進行登記以授予所述僵屍網路服務供應商伺服器2進行攻擊資訊交換的許可權。
具體的,所述登記模組103根據與所述目標服務供應商伺服器1或僵屍網路服務供應商伺服器2的身份資訊將與所述身份資訊對應的目標服務供應商伺服器1或僵屍網路服務供應商伺服器2登記在許可權列表T1中,以授予所述目標服務供應商伺服器1或僵屍網路服務供應商伺服器2進行攻擊資訊交換的許可權。本實施方式中,所述許可權清單T1存儲在平臺伺服器3中。
第一接收模組104,應用在所述目標服務供應商伺服器1中,用於接收企業網路4發送的攻擊防護請求。
本實施方式中,當所述企業網路4受到分散式拒絕服務攻擊且企業網路4內部防護設備超載無法解決所述分散式拒絕服務攻擊時向所述目標服務供應商伺服器1發送攻擊防護請求以通知所述目標服務供應商伺服器1協助處理所述分散式拒絕服務攻擊。
所述第一處理模組105,應用在所述目標服務供應商伺服器1中,用於根據所述攻擊防護請求的來源找出相關聯的第一SDN控制器13,發出重新導向通知給相關聯的第一SDN控制器13,並控制所述第一SDN控制器13將所述重新導向通知轉換成流第一流規則(flow rule)。其中,所述第一流規則為將企業網路4中網路設備中的資料流程量導向所述第一清洗中心14的資料轉發規則。
本實施方式中,不同的第一SDN控制器13負責控制不同的目標服務供應商伺服器1的資料轉發,當所述第一處理模組105接收到所述攻擊防護請求時,根據所述攻擊防護請求的來源找出與目標服務供應商伺服器1相關聯的第一SDN控制器13來控制所述目標服務供應商伺服器1的資料轉發。
第一清洗模組106,應用在所述目標服務供應商伺服器1中,用於根據所述第一流規則將企業網路4中網路設備的資料流程量導向至所述第一清洗中心14,並控制所述第一清洗中心14識別出所述資料流程量中的攻擊流量。
本實施方式中,所述第一清洗模組106控制所述第一清洗中心識別出所述資料流程量中的攻擊流量包括:藉由所述第一清洗中心14對資料流程量中的攻擊流量進行識別和剝離,還原出資料流程量中的合法流量,並將所述合法流量返回給所述企業網路4中的網路設備。
第一發送模組107,應用在所述目標服務供應商伺服器1中,用於將識別出的所述攻擊流量發送給所述平臺伺服器3。
攻擊資訊收集模組108,應用在所述平臺伺服器3中,用於接收所述目標服務供應商伺服器1發送的攻擊流量,並將接收的所述攻擊流量作為惡意流量。
所述攻擊資訊處理模組109,應用在所述平臺伺服器3中,用於在所述平臺伺服器3中存儲的許可權清單T1中查找出包含有所述惡意流量的僵屍網路服務供應商伺服器2,將查找出的僵屍網路服務供應商伺服器2作為目標僵屍網路服務供應商伺服器,並生成一攻擊報告發送給所述目標僵屍網路服務供應商伺服器以通知所述目標僵屍網路服務供應商伺服器對所述惡意流量進行清洗或過濾。
第二處理模組110,應用在所述僵屍網路服務供應商伺服器2中,用於接收所述平臺伺服器3發送的攻擊報告,根據所述攻擊報告查找出與所述僵屍網路服務供應商伺服器2相關聯的第二SDN控制器23,發出重新導向通知給相關聯的第二SDN控制器23,並控制相關聯的第二SDN控制器23將所述重新導向通知轉換成流第二流規則。其中,所述第二流規則為將僵屍網路5中網路設備的資料流程量導向所述第二清洗中心24的資料轉發規則。
本實施方式中,不同的第二SDN控制器23負責控制不同的僵屍網路服務供應商伺服器2的資料轉發,當所述第二處理模組110接收到所述平臺伺服器3發送的攻擊報告時,查找出與僵屍網路服務供應商伺服器2相關聯的第二SDN控制器23來控制所述目標服務供應商伺服器1的資料轉發。
第二清洗模組111,應用在所述僵屍網路服務供應商伺服器2中,用於根據所述第二流規則將僵屍網路服務供應商伺服器2中網路設備的資料流程量導向至所述第二清洗中心24,並控制所述第二清洗中心24識別出所述資料流程量中的攻擊流量。
本實施方式中,所述第二清洗模組111根據所述第二流規則將僵屍網路5中網路設備的資料流程量定向到所述第二清洗中心24中,並藉由所述第二清洗中心24對資料流程量中的攻擊流量進行識別和剝離,並還原出合法流量返回給所述僵屍網路5中的網路設備。
查詢與彙報模組112,應用在所述目標服務供應商伺服器1中,用於每隔預設週期藉由第一SDN控制器13查詢僵屍網路服務供應商伺服器2的攻擊流量的統計資訊,並將所述攻擊流量的統計資訊發送給所述平臺伺服器3。本實施方式中,所述預設週期可以根據使用者的需要進行設置。
攻擊分類別模組113,應用在所述平臺伺服器3中,用於根據所述目標服務供應商伺服器1發送的攻擊流量的高低將所述攻擊流量進行分類得到所述攻擊流量的分類等級,並將所述攻擊流量的分類等級發送給所述僵屍網路服務供應商伺服器2。
本實施方式中,所述攻擊分類別模組113將流量超過第一預設閾值的攻擊流量設定為第一危害等級,將流量超過第二預設值的攻擊流量設定為第二危害等級,及將流量超過第三預設值的攻擊流量設定為第三危害等級。其中,所述第一預設閾值為100Gbps,第二預設閾值為50Gbps,第三預設閾值為25Gbps。
所述第二清洗模組111還用於接收所述平臺伺服器3發送的攻擊流量的分類等級,並根據所述攻擊流量的分類等級對所述攻擊流量進行對應的清洗處理。
本實施方式中,所述根據所述攻擊流量的分類等級對所述攻擊流量進行對應的清洗處理包括:根據所述攻擊流量的分類等級對所述攻擊流量進行不同強度的流量過濾。本實施方式中,所述第二清洗模組111可以藉由減少所述第二清洗中心24的虛擬機器的數量或減少過濾條件來對所述攻擊流量進行不同強度其中的流量過濾。
本實施方式中,所述根據所述攻擊流量的分類等級對所述攻擊流量進行對應的清洗處理包括:根據所述攻擊流量的分類等級調整所述第二流規則的數量或減少所述第二SDN控制器23在所述僵屍網路服務供應商伺服器2中負責導向的網路設備。
請參考圖3,所示為本發明一實施方式中分散式拒絕服務攻擊防護方法的流程圖。根據不同需求,所述流程圖中步驟的順序可以改變,某些步驟可以省略或合併。所述方法包括步驟:
步驟S301、目標服務供應商伺服器1接收企業網路4發送的攻擊防護請求。
本實施方式中,當所述企業網路4受到分散式拒絕服務攻擊且企業網路4內部防護設備超載無法解決所述分散式拒絕服務攻擊時向所述目標服務供應商伺服器1發送攻擊防護請求以通知所述目標服務供應商伺服器1協助處理所述分散式拒絕服務攻擊。
步驟S302、所述目標服務供應商伺服器1根據所述攻擊防護請求的來源找出相關聯的第一SDN控制器13,發出第一重新導向通知給相關聯的第一SDN控制器13,並控制所述第一SDN控制器13將所述第一重新導向通知轉換成流第一流規則(flow rule)。其中,所述第一流規則為將企業網路4中網路設備中的資料流程量導向所述第一清洗中心14的資料轉發規則。
本實施方式中,不同的第一SDN控制器13負責控制不同的目標服務供應商伺服器1的資料轉發,當所述目標服務供應商伺服器1接收到所述攻擊防護請求時,根據所述攻擊防護請求的來源找出與目標服務供應商伺服器1相關聯的第一SDN控制器13來控制所述目標服務供應商伺服器1的資料轉發。
步驟S303、所述目標服務供應商伺服器1根據所述第一流規則將企業網路4中網路設備的資料流程量導向至所述第一清洗中心14,並控制所述第一清洗中心14識別出所述資料流程量中的攻擊流量。
本實施方式中,所述目標服務供應商伺服器1控制所述第一清洗中心識別出所述資料流程量中的攻擊流量包括:藉由所述第一清洗中心14對資料流程量中的攻擊流量進行識別和剝離,還原出資料流程量中的合法流量,並將所述合法流量返回給所述企業網路4中的網路設備。
步驟S304、所述目標服務供應商伺服器1將識別出的所述攻擊流量發送給所述平臺伺服器3。
步驟S305、所述平臺伺服器3接收所述目標服務供應商伺服器1發送的攻擊流量,並將接收的所述攻擊流量作為惡意流量。
步驟S306、所述平臺伺服器3在存儲的許可權清單T1中查找出包含有所述惡意流量的僵屍網路服務供應商伺服器2,將查找出的僵屍網路服務供應商伺服器2作為目標僵屍網路服務供應商伺服器,並生成一攻擊報告發送給所述目標僵屍網路服務供應商伺服器以通知所述目標僵屍網路服務供應商伺服器對所述惡意流量進行清洗或過濾。
步驟S307、目標僵屍網路服務供應商伺服器接收所述平臺伺服器3發送的攻擊報告,根據所述攻擊報告查找出與所述目標僵屍網路服務供應商伺服器相關聯的第二SDN控制器23,發出第二重新導向通知給相關聯的第二SDN控制器23。
步驟S308、所述目標僵屍網路服務供應商伺服器控制相關聯的第二SDN控制器23將所述重新導向通知轉換成第二流規則。其中,所述第二流規則為將僵屍網路5中網路設備的資料流程量導向所述第二清洗中心24的資料轉發規則。
本實施方式中,不同的第二SDN控制器23負責控制不同的僵屍網路服務供應商伺服器2的資料轉發,當所述目標僵屍網路服務供應商伺服器接收到所述目標僵屍網路服務供應商伺服器發送的攻擊防護請求時,根據所述攻擊防護請求的來源找出與目標僵屍網路服務供應商伺服器相關聯的第二SDN控制器23來控制所述目標服務供應商伺服器1的資料轉發。
步驟S309、所述目標僵屍網路服務供應商伺服器根據所述第二流規則將所述目標僵屍網路服務供應商伺服器中網路設備的資料流程量導向至所述第二清洗中心24,並控制所述第二清洗中心24識別出所述資料流程量中的攻擊流量。
本實施方式中,所述目標僵屍網路服務供應商伺服器根據所述第二流規則將僵屍網路5中網路設備的資料流程量定向到所述第二清洗中心24中,並藉由所述第二清洗中心24對資料流程量中的攻擊流量進行識別和剝離,並還原出合法流量返回給所述僵屍網路5中的網路設備。
本實施方式中,所述方法還包括步驟:
a)所述目標服務供應商伺服器1每隔預設週期藉由第一SDN控制器13查詢僵屍網路服務供應商伺服器2的攻擊流量的統計資訊,並將所述攻擊流量的統計資訊發送給所述平臺伺服器3;
b)所述平臺伺服器3根據所述目標服務供應商伺服器1發送的攻擊流量的高低將所述攻擊流量進行分類得到所述攻擊流量的分類等級,並將所述攻擊流量的分類等級發送給所述僵屍網路服務供應商伺服器2;
c) 所述僵屍網路服務供應商伺服器2還用於接收所述平臺伺服器3發送的攻擊流量的分類等級,並根據所述攻擊流量的分類等級對所述攻擊流量進行對應的清洗處理。
本實施方式中,所述平臺伺服器3將流量超過第一預設閾值的攻擊流量設定為第一危害等級,將流量超過第二預設值的攻擊流量設定為第二危害等級,及將流量超過第三預設值的攻擊流量設定為第三危害等級。其中,所述第一預設閾值為100Gbps,第二預設閾值為50Gbps,第三預設閾值為25Gbps。
本實施方式中,所述根據所述攻擊流量的分類等級對所述攻擊流量進行對應的清洗處理包括:根據所述攻擊流量的分類等級對所述攻擊流量進行不同強度的流量過濾。本實施方式中,所述僵屍網路服務供應商伺服器2可以藉由減少所述第二清洗中心24的虛擬機器的數量或減少過濾條件來對所述攻擊流量進行不同強度其中的流量過濾。
本實施方式中,所述根據所述攻擊流量的分類等級對所述攻擊流量進行對應的清洗處理包括:根據所述攻擊流量的分類等級調整所述第二流規則的數量或減少所述第二SDN控制器23在所述僵屍網路服務供應商伺服器2中負責導向的網路設備。
本實施方式中,所述方法還包括:
所述目標服務供應商伺服器1將攜帶有目標服務供應商伺服器1的身份資訊的註冊信號發送給所述平臺伺服器3以使所述平臺伺服器3根據所述身份資訊對所述目標服務供應商伺服器1進行登記。
本實施方式中,所述目標服務供應商伺服器1藉由第一通訊單元11將攜帶有目標服務供應商伺服器1的身份資訊的註冊信號發送給所述平臺伺服器3。本實施方式中,所述目標服務供應商伺服器1的身份資訊可以是目標服務供應商伺服器1的唯一編號資訊,所述編號資訊可以有字母或數位等字元組成。
本實施方式中,所述方法還包括:
所述僵屍網路服務供應商伺服器2將攜帶有僵屍網路服務供應商伺服器2的身份資訊的註冊信號發送給所述平臺伺服器3以使所述平臺伺服器3根據所述身份資訊對所述僵屍網路服務供應商伺服器2進行登記。
本實施方式中,所述僵屍網路服務供應商伺服器2藉由第三通訊單元21將攜帶有僵屍網路服務供應商伺服器2的身份資訊的註冊信號發送給所述平臺伺服器3。本實施方式中,所述僵屍網路服務供應商伺服器2的身份資訊為僵屍網路服務供應商伺服器2的唯一編號資訊。
本實施方式中,所述平臺伺服器3接收所述目標服務供應商伺服器1發送的第一註冊信號,根據所述第一註冊信號中包含的所述目標服務供應商伺服器1的身份資訊將與所述身份資訊對應的目標服務供應商伺服器1進行登記以授予所述目標服務供應商伺服器1進行攻擊資訊交換的許可權。所述登記模組103還用於接收所述僵屍網路服務供應商伺服器2發送的第二註冊信號,及根據所述第二註冊信號中包含的所述僵屍網路服務供應商伺服器2的身份資訊將與所述身份資訊對應的僵屍網路服務供應商伺服器2進行登記以授予所述僵屍網路服務供應商伺服器2進行攻擊資訊交換的許可權。
具體的,所述平臺伺服器3根據與所述目標服務供應商伺服器1或僵屍網路服務供應商伺服器2的身份資訊將與所述身份資訊對應的目標服務供應商伺服器1或僵屍網路服務供應商伺服器2登記在許可權列表T1中,以授予所述目標服務供應商伺服器1或僵屍網路服務供應商伺服器2進行攻擊資訊交換的許可權。本實施方式中,所述許可權清單T1存儲在平臺伺服器3中。
綜上所述,本發明符合發明專利要件,爰依法提出專利申請。惟,以上所述僅為本發明之較佳實施方式,舉凡熟悉本案技藝之人士,在援依本案創作精神所作之等效修飾或變化,皆應包含於以下之申請專利範圍內。
1:目標服務供應商伺服器
2:僵屍網路服務供應商伺服器
3:平臺伺服器
4:企業網路
11:第一通訊單元
12:第二通訊單元
13:第一SDN控制器
14:第一清洗中心
15:記憶體
16:處理器
21:第三通訊單元
22:第四通訊單元
23:第二SDN控制器
24:第二清洗中心
25:存儲單元
26:處理單元
31:第五通訊單元
32:存儲單元
33:處理單元
100:分散式拒絕服務攻擊防護系統
101:第一註冊模組
102:第二註冊模組
103:登記模組
104:第一接收模組
105:第一處理模組
106:第一清洗模組
107:第一發送模組
108:攻擊資訊收集模組
109:攻擊資訊處理模組
110:第二處理模組
111:第二清洗模組
112:查詢與彙報模組
113:攻擊分類別模組
T1:許可權列表
S301~S309:步驟
圖1為本發明一實施方式中提分散式拒絕服務攻擊防護方法的應用環境圖。
圖2為本發明一實施方式中分散式拒絕服務攻擊防護系統的功能模組圖。
圖3為本發明一實施方式中分散式拒絕服務攻擊防護方法的流程圖。
S301~S309:步驟
Claims (13)
- 一種分散式拒絕服務攻擊防護方法,應用在一目標服務供應商伺服器、僵屍網路服務供應商伺服器及平臺伺服器,所述平臺伺服器與所述目標服務供應商伺服器及所述僵屍網路服務供應商伺服器通訊連接,其改良在於,所述方法包括: 所述目標服務供應商伺服器接收企業網路發送的攻擊防護請求; 所述目標服務供應商伺服器根據所述攻擊防護請求的來源找出相關聯的第一SDN控制器,發出第一重新導向通知給相關聯的第一SDN控制器,並控制所述第一SDN控制器將所述第一重新導向通知轉換成流第一流規則; 所述目標服務供應商伺服器根據所述第一流規則將所述企業網路中網路設備的資料流程量導向至所述目標服務供應商伺服器中的第一清洗中心,並控制所述第一清洗中心識別出所述資料流程量中的攻擊流量; 所述目標服務供應商伺服器將識別出的所述攻擊流量發送給所述平臺伺服器; 所述平臺伺服器接收所述目標服務供應商伺服器發送的攻擊流量,並將接收的所述攻擊流量作為惡意流量; 所述平臺伺服器在存儲的許可權清單中查找出包含有所述惡意流量的僵屍網路服務供應商伺服器,將查找出的僵屍網路服務供應商伺服器作為目標僵屍網路服務供應商伺服器,並生成一攻擊報告發送給所述目標僵屍網路服務供應商伺服器以通知所述目標僵屍網路服務供應商伺服器對所述惡意流量進行清洗或過濾; 所述目標僵屍網路服務供應商伺服器接收所述平臺伺服器發送的攻擊報告,根據所述攻擊報告查找出與所述目標僵屍網路服務供應商伺服器相關聯的第二SDN控制器,發出第二重新導向通知給所述第二SDN控制器; 所述目標僵屍網路服務供應商伺服器控制所述第二SDN控制器將所述第二重新導向通知轉換成流第二流規則;及 所述目標僵屍網路服務供應商伺服器根據所述第二流規則將所述僵屍網路服務供應商伺服器中網路設備的資料流程量導向至所述目標僵屍網路服務供應商伺服器的第二清洗中心,並控制所述第二清洗中心識別出所述資料流程量中的攻擊流量。
- 如申請專利範圍第1項所述的分散式拒絕服務攻擊防護方法,其中,所述方法還包括: 所述目標服務供應商伺服器每隔預設週期藉由所述第一SDN控制器查詢所述僵屍網路服務供應商伺服器的攻擊流量的統計資訊,並將所述攻擊流量的統計資訊發送給所述平臺伺服器; 所述平臺伺服器根據所述目標服務供應商伺服器發送的攻擊流量的高低將所述攻擊流量進行分類得到所述攻擊流量的分類等級,並將所述攻擊流量的分類等級發送給所述僵屍網路服務供應商伺服器;及 所述僵屍網路服務供應商伺服器還用於接收所述平臺伺服器發送的攻擊流量的分類等級,並根據所述攻擊流量的分類等級對所述攻擊流量進行對應的清洗處理。
- 一種目標服務供應商伺服器,包括一處理器、第一清洗中心及多個第一SDN控制器,其改良在於,所述處理器用於: 接收企業網路發送的攻擊防護請求; 根據所述攻擊防護請求的來源找出相關聯的第一SDN控制器,發出重新導向通知給相關聯的第一SDN控制器,並控制所述第一SDN控制器將所述重新導向通知轉換成流第一流規則; 根據所述第一流規則將所述企業網路中網路設備的資料流程量導向至所述第一清洗中心,並控制所述第一清洗中心識別出所述資料流程量中的攻擊流量;及 識別出的所述攻擊流量發送給平臺伺服器。
- 如申請專利範圍第3項所述的目標服務供應商伺服器,其中,控制所述第一清洗中心識別出所述資料流程量中的攻擊流量包括: 藉由所述第一清洗中心對所述資料流程量中的攻擊流量進行識別和剝離,還原出資料流程量中的合法流量,並將所述合法流量返回給所述企業網路中的網路設備。
- 如申請專利範圍第3項所述的目標服務供應商伺服器,其中,所述處理器還用於: 將攜帶有所述目標服務供應商伺服器的身份資訊的註冊信號發送給所述平臺伺服器以使所述平臺伺服器根據所述身份資訊對所述目標服務供應商伺服器進行登記。
- 如申請專利範圍第3項所述的目標服務供應商伺服器,其中,所述處理器還用於: 每隔預設週期藉由所述第一SDN控制器查詢與所述平臺伺服器通訊連接的僵屍網路服務供應商伺服器的攻擊流量的統計資訊,並將所述攻擊流量的統計資訊發送給所述平臺伺服器。
- 一種僵屍網路服務供應商伺服器,包括一處理單元、第二清洗中心及至少一第二SDN控制器,其改良在於,所述處理單元用於: 接收平臺伺服器發送的攻擊報告,根據所述攻擊報告查找出與所述僵屍網路服務供應商伺服器相關聯的第二SDN控制器; 發出重新導向通知給所述第二SDN控制器,並控制所述第二SDN控制器將所述重新導向通知轉換成流第二流規則; 根據所述第二流規則將所述僵屍網路服務供應商伺服器中網路設備的資料流程量導向至所述第二清洗中心,並控制所述第二清洗中心識別出所述資料流程量中的攻擊流量。
- 如申請專利範圍第7項所述的僵屍網路服務供應商伺服器,其中,所述處理單元還用於: 將攜帶有所述僵屍網路服務供應商伺服器的身份資訊的註冊信號發送給所述平臺伺服器以使所述平臺伺服器根據所述身份資訊對所述僵屍網路服務供應商伺服器進行登記。
- 如申請專利範圍第7項所述的僵屍網路服務供應商伺服器,其中,所述處理單元還用於: 接收所述平臺伺服器發送的攻擊流量的分類等級,並根據所述攻擊流量的分類等級對所述攻擊流量進行對應的清洗處理。
- 如申請專利範圍第7項所述的僵屍網路服務供應商伺服器,其中,所述根據所述攻擊流量的分類等級對所述攻擊流量進行對應的清洗處理包括: 根據所述攻擊流量的分類等級對所述攻擊流量進行不同強度的流量過濾,藉由減少所述第二清洗中心的虛擬機器的數量或減少過濾條件來對所述攻擊流量進行不同強度其中的流量過濾。
- 如申請專利範圍第7項所述的僵屍網路服務供應商伺服器,其中,所述根據所述攻擊流量的分類等級對所述攻擊流量進行對應的清洗處理包括: 根據所述攻擊流量的分類等級調整所述第二流規則的數量或減少所述第二SDN控制器在所述僵屍網路服務供應商伺服器中負責導向的網路設備。
- 一種平臺伺服器,包括一處理單元,其改良在於,所述處理單元用於: 接收目標服務供應商伺服器發送的攻擊流量,並將接收的所述攻擊流量作為惡意流量; 在存儲的許可權清單中查找出包含有所述惡意流量的僵屍網路服務供應商伺服器,將查找出的僵屍網路服務供應商伺服器作為目標僵屍網路服務供應商伺服器,並生成一攻擊報告發送給所述目標僵屍網路服務供應商伺服器以通知所述目標僵屍網路服務供應商伺服器對所述惡意流量進行清洗或過濾。
- 如申請專利範圍第12項所述的平臺伺服器,其中,所述處理單元還用於: 接收所述目標服務供應商伺服器發送的第一註冊信號; 根據所述第一註冊信號中包含的所述目標服務供應商伺服器的身份資訊將與所述身份資訊對應的目標服務供應商伺服器進行登記以授予所述目標服務供應商伺服器進行攻擊資訊交換的許可權; 接收所述僵屍網路服務供應商伺服器發送的第二註冊信號;及 根據所述第二註冊信號中包含的所述僵屍網路服務供應商伺服器的身份資訊將與所述身份資訊對應的僵屍網路服務供應商伺服器進行登記以授予所述僵屍網路服務供應商伺服器進行攻擊資訊交換的許可權。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US16/550,567 US10880329B1 (en) | 2019-08-26 | 2019-08-26 | Method for preventing distributed denial of service attack and related equipment |
US16/550,567 | 2019-08-26 |
Publications (2)
Publication Number | Publication Date |
---|---|
TW202110135A true TW202110135A (zh) | 2021-03-01 |
TWI723517B TWI723517B (zh) | 2021-04-01 |
Family
ID=74039708
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
TW108131148A TWI723517B (zh) | 2019-08-26 | 2019-08-29 | 分散式拒絕服務攻擊防護方法及相關設備 |
Country Status (3)
Country | Link |
---|---|
US (2) | US10880329B1 (zh) |
CN (1) | CN112437035B (zh) |
TW (1) | TWI723517B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114124744B (zh) * | 2021-11-24 | 2023-06-02 | 绿盟科技集团股份有限公司 | 一种流量数据展示方法、装置、电子设备及存储介质 |
CN114268509B (zh) * | 2021-12-30 | 2023-07-21 | 天翼物联科技有限公司 | 防范“僵尸”终端ddos攻击的方法以及系统 |
Family Cites Families (17)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101070614B1 (ko) * | 2009-12-18 | 2011-10-10 | 한국인터넷진흥원 | 봇넷 정보를 이용한 악성 트래픽 격리 시스템과 봇넷 정보를 이용한 악성 트래픽 격리 방법 |
CN102137075A (zh) * | 2010-01-27 | 2011-07-27 | 中华电信股份有限公司 | 分布式拒绝服务攻击防护系统及其方法 |
US8955112B2 (en) * | 2011-08-18 | 2015-02-10 | At&T Intellectual Property I, L.P. | Dynamic traffic routing and service management controls for on-demand application services |
US9130977B2 (en) * | 2012-04-18 | 2015-09-08 | Radware, Ltd. | Techniques for separating the processing of clients' traffic to different zones |
CN104202329B (zh) * | 2014-09-12 | 2018-01-26 | 北京神州绿盟信息安全科技股份有限公司 | DDoS攻击检测方法和装置 |
CN108040057B (zh) * | 2014-12-17 | 2021-08-06 | 江西武大扬帆科技有限公司 | 适于保障网络安全、网络通信质量的sdn系统的工作方法 |
CN105791220A (zh) * | 2014-12-22 | 2016-07-20 | 中国电信股份有限公司 | 用于主动防御分布式拒绝服务攻击的方法和系统 |
CN104539625B (zh) * | 2015-01-09 | 2017-11-14 | 江苏理工学院 | 一种基于软件定义的网络安全防御系统及其工作方法 |
CN112615818B (zh) * | 2015-03-24 | 2021-12-03 | 华为技术有限公司 | 基于sdn的ddos攻击防护方法、装置及系统 |
US10476891B2 (en) * | 2015-07-21 | 2019-11-12 | Attivo Networks Inc. | Monitoring access of network darkspace |
CN105516129A (zh) * | 2015-12-04 | 2016-04-20 | 重庆邮电大学 | 基于sdn技术实现僵尸网络控制信道阻断的方法和装置 |
CN105491060B (zh) * | 2015-12-30 | 2019-07-02 | 北京神州绿盟信息安全科技股份有限公司 | 防御分布式拒绝服务攻击的方法、装置、客户端及设备 |
CN106341418B (zh) * | 2016-10-08 | 2019-07-02 | 中国科学院信息工程研究所 | Dns分布式反射型拒绝服务攻击检测、防御方法与系统 |
CN106411910B (zh) * | 2016-10-18 | 2019-04-05 | 优刻得科技股份有限公司 | 一种分布式拒绝服务攻击的防御方法与系统 |
CN107743109B (zh) * | 2016-10-31 | 2020-09-04 | 腾讯科技(深圳)有限公司 | 流量攻击的防护方法、控制装置、处理装置及系统 |
CN106921666B (zh) * | 2017-03-06 | 2020-10-02 | 中山大学 | 一种基于协同理论的DDoS攻击防御系统及方法 |
CN107968785A (zh) * | 2017-12-03 | 2018-04-27 | 浙江工商大学 | 一种SDN数据中心中防御DDoS攻击的方法 |
-
2019
- 2019-08-26 US US16/550,567 patent/US10880329B1/en active Active
- 2019-08-29 TW TW108131148A patent/TWI723517B/zh not_active IP Right Cessation
- 2019-09-23 CN CN201910900812.4A patent/CN112437035B/zh active Active
-
2020
- 2020-11-10 US US17/094,755 patent/US11522909B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
CN112437035A (zh) | 2021-03-02 |
US11522909B2 (en) | 2022-12-06 |
CN112437035B (zh) | 2023-03-31 |
US20210067546A1 (en) | 2021-03-04 |
US10880329B1 (en) | 2020-12-29 |
TWI723517B (zh) | 2021-04-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11140198B2 (en) | System and method of detecting and countering denial-of-service (DoS) attacks on an NVMe-oF-based computer storage array | |
US9032504B2 (en) | System and methods for an alternative to network controller sideband interface (NC-SI) used in out of band management | |
US7519167B2 (en) | System and method for communicating system management information during network interface teaming | |
US10263788B2 (en) | Systems and methods for providing a man-in-the-middle proxy | |
EP3906649B1 (en) | Securing network-based compute resources using tags | |
US20070168454A1 (en) | System and method for host-to-host communication | |
US8892733B2 (en) | Network adapter based zoning enforcement | |
CA3021285C (en) | Methods and systems for network security | |
TWI723517B (zh) | 分散式拒絕服務攻擊防護方法及相關設備 | |
CN104125214A (zh) | 一种实现软件定义安全的安全架构系统及安全控制器 | |
US9762626B2 (en) | System and method for as needed connection escalation | |
US8762730B2 (en) | System and method to establish and/or manage a trusted relationship between a host to storage array controller and/or a storage array to storage array controller | |
US9654465B2 (en) | Software-defined network threat control | |
CN109347810B (zh) | 一种处理报文的方法和装置 | |
US20200042692A1 (en) | Apparatus and Method to Protect an Information Handling System Against Other Devices | |
CN106357688B (zh) | 一种防御ICMP flood攻击的方法和装置 | |
US20210243070A1 (en) | Switch port protection mechanism | |
US11128646B1 (en) | Apparatus and method for cloud-based accelerated filtering and distributed available compute security processing | |
CN110337653B (zh) | 保护无保护硬件总线 | |
US20230297726A1 (en) | Expansion (e)-port spoofing detection and countermeasures | |
US11212259B2 (en) | Inspection offload clustering | |
CN111866089A (zh) | 网络通信代理方法、装置及计算机可读存储介质 | |
CN115987536A (zh) | 报文源地址识别方法及装置 | |
JP2003141077A (ja) | 高速データ通信対応の分散処理型ファイアウォールシステム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
MM4A | Annulment or lapse of patent due to non-payment of fees |