WO2022205907A1

WO2022205907A1 - 缓解拒绝服务攻击的方法、装置及系统

Info

Publication number: WO2022205907A1
Application number: PCT/CN2021/128678
Authority: WO
Inventors: 王海燚; 林燕飞; 樊宁; 沈军
Original assignee: 中国电信股份有限公司
Priority date: 2021-03-29
Filing date: 2021-11-04
Publication date: 2022-10-06
Also published as: CN115208594A

Abstract

本公开涉及缓解拒绝服务攻击的方法、装置及系统、计算机可存储介质，涉及网络安全技术领域。缓解拒绝服务攻击的方法包括：获取业务网络系统中的针对至少一个受攻击切片资源的拒绝服务攻击的攻击信息；对于每个受攻击切片资源，根据对应的攻击信息，确定用于创建目标网络切片的参数信息；对于每个受攻击切片资源，根据所确定的参数信息，创建目标网络切片，所述目标网络切片包括支持所述每个受攻击切片资源所支持的业务功能的目标切片资源；对于每个受攻击切片资源，将发送到所述每个受攻击切片资源的、业务流量或者与拒绝服务攻击相关的异常流量，转发到所述目标网络切片中的目标切片资源。

Description

缓解拒绝服务攻击的方法、装置及系统

相关申请的交叉引用

本申请是以CN申请号为202110333711.0，申请日为2021年3月29日的申请为基础，并主张其优先权，该CN申请的公开内容在此作为整体引入本申请中。

技术领域

本公开涉及网络安全技术领域，特别涉及缓解拒绝服务攻击的方法、装置及系统、计算机可存储介质。

背景技术

网络切片是由一组网络功能和对应的资源构成的完整的实例化的逻辑网络。网络切片能够根据不同的服务需求提供隔离、可定制功能的网络服务，灵活应对差异化的应用场景。

近年来，拒绝服务攻击(包括分布式拒绝服务攻击)的强度和复杂程度不断攀升，在共享硬件资源和网络资源的多网络切片场景下，针对某一网络切片的拒绝服务攻击不但会严重影响本网络切片承载的业务，也可能会破坏其他网络切片上托管的服务。

相关技术中，对于与拒绝服务攻击相关的异常流量进行流量清洗或者扩容被攻击网络资源或者服务资源。

发明内容

根据本公开的第一方面，提供了一种缓解拒绝服务攻击的方法，包括：获取业务网络系统中的针对至少一个受攻击切片资源的拒绝服务攻击的攻击信息；对于每个受攻击切片资源，根据对应的攻击信息，确定用于创建目标网络切片的参数信息；对于每个受攻击切片资源，根据所确定的参数信息，创建目标网络切片，所述目标网络切片包括支持所述每个受攻击切片资源所支持的业务功能的目标切片资源；对于每个受攻击切片资源，将发送到所述每个受攻击切片资源的、业务流量或者与拒绝服务攻击相关的异常流量，转发到所述目标网络切片中的目标切片资源。

在一些实施例中，将发送到所述每个受攻击切片资源的、业务流量或者与拒绝服务攻击相关的异常流量，转发到所述目标网络切片中的目标切片资源包括：生成并发送第一流量转发策略到流量转发系统，以便所述流量转发系统根据所述第一流量转发策略进行流量转发，所述第一流量转发策略为将发送到所述每个受攻击切片资源的、业务流量或者与拒绝服务攻击相关的异常流量，转发到所述目标网络切片中的目标切片资源。

在一些实施例中，将发送到所述每个受攻击切片资源的、业务流量或者与拒绝服务攻击相关的异常流量，转发到所述目标网络切片中的目标切片资源还包括：根据与每个受攻击切片资源对应的攻击信息，确定针对所述每个受攻击切片资源的拒绝服务攻击的攻击类型，不同的攻击类型对应不同的第一流量转发策略。

在一些实施例中，所述攻击类型包括单一型和多向量复杂型，在所确定的针对所述每个受攻击切片资源的拒绝服务攻击的攻击类型为单一型的情况下，所述第一流量转发策略为将发送到每个受攻击切片资源的与拒绝服务攻击相关的异常流量转发到所述目标网络切片中的目标切片资源；在所确定的针对所述每个受攻击切片资源的拒绝服务攻击的攻击类型为多向量复杂型的情况下，所述第一流量转发策略为将发送到每个受攻击切片资源的业务流量转发到所述目标网络切片中的目标切片资源。

在一些实施例中，确定针对所述每个受攻击切片资源的拒绝服务攻击的攻击类型包括：对于每个受攻击切片资源，根据对应的攻击信息，确定对应的拒绝服务攻击的攻击手段信息、攻击策略信息和攻击目标信息中的至少一种；根据所确定的拒绝服务攻击的攻击手段信息、攻击策略信息和攻击目标信息中的至少一种，确定针对所述每个受攻击切片资源的拒绝服务攻击的攻击类型。

在一些实施例中，攻击手段信息包括攻击手段的数量，攻击策略信息包括攻击频率、攻击时间间隔和攻击来源的种类数中的至少一种，攻击目标信息包括攻击目标的数量。

在一些实施例中，缓解拒绝服务攻击的方法，还包括：将发送到所述每个受攻击切片资源的、与拒绝服务攻击相关的异常流量转发到所述目标网络切片中的目标切片资源后，监测与所述目标切片资源的拒绝服务攻击的攻击信息是否满足预设条件；在监测到与所述目标切片资源的拒绝服务攻击的攻击信息满足预设条件的情况下，终止所述目标网络切片。

在一些实施例中，缓解拒绝服务攻击的方法，还包括：将发送到所述每个受攻击切片资源的业务流量转发到所述目标网络切片中的目标切片资源后，监测所述每个受攻击切片资源的拒绝服务攻击的攻击信息是否满足预设条件；在监测到所述每个受攻击切片资源的拒绝服务攻击的攻击信息满足预设条件的情况下，将发送到所述目标切片资源的业务流量转发到所述每个受攻击切片资源；在将发送到所述目标切片资源的业务流量转发到所述每个受攻击切片资源后，终止所述目标网络切片。响应于接收来自所述流量转发系统的提示消息，生成并发送切片终止请求到所述切片管理系统，以便所述切片管理系统根据所述切片终止请求终止所述目标网络切片，所述提示消息表征所述流量转发系统已完成根据所述第二流量转发策略进行流量转发的操作，所述切片终止请求包括所述目标网络切片的标识。

在一些实施例中，将发送到所述目标切片资源的业务流量转发到所述每个受攻击切片资源包括：生成并发送第二流量转发策略到流量转发系统，以便所述流量转发系统根据所述第二流量转发策略进行流量转发，所述第二流量转发策略为将发送到所述目标切片资源的业务流量转发到所述每个受攻击切片资源。

在一些实施例中，终止所述目标网络切片包括：生成并发送切片终止请求到切片管理系统，以便所述切片管理系统根据所述切片终止请求终止所述目标网络切片，所述切片终止请求包括所述目标网络切片的标识。

在一些实施例中，获取业务网络系统中的针对至少一个受攻击切片资源的拒绝服务攻击的攻击信息包括：利用部署在所述业务网络系统中的探针和安全防护系统，获取所述业务网络系统中的针对至少一个受攻击切片资源的拒绝服务攻击的攻击信息，所述探针部署在所述业务网络系统的指定位置，所述指定位置位于所述安全防护系统的防护范围之外。

在一些实施例中，利用部署在所述业务网络系统中的探针和安全防护系统，获取所述业务网络系统中的针对至少一个受攻击切片资源的拒绝服务攻击的攻击信息包括：利用所述探针和所述安全防护系统，采集针对所述业务网络系统中切片资源的异常流量信息和异常服务状态信息中的至少一种；根据所采集的异常流量信息和异常服务状态信息中的至少一种，对相应的异常流量进行拒绝服务攻击检测；在检测到相应的异常流量属于拒绝服务攻击的情况下，确定所述切片资源为受攻击切片资源，并从发送到与所述切片资源的异常流量对应的异常流量信息中，获取针对所述切片资源的拒绝服务攻击的攻击信息。

在一些实施例中，所述切片创建请求还包括所述每个受攻击切片资源所属的网络切片的业务需求。

在一些实施例中，创建目标网络切片包括：生成并发送切片创建请求到切片管理系统，以便所述切片管理系统根据所述切片创建请求创建所述目标网络切片，所述切片创建请求包括所确定的参数信息。

在一些实施例中，所述参数信息包括所述每个受攻击切片资源的资源标识以及所述每个受攻击切片资源所属的网络切片的切片标识。

根据本公开第二方面，提供了一种缓解拒绝服务攻击的装置，包括：获取模块，被配置为获取业务网络系统中的针对至少一个受攻击切片资源的拒绝服务攻击的攻击信息；确定模块，被配置为对于每个受攻击切片资源，根据对应的攻击信息，确定用于创建目标网络切片的参数信息；创建模块，被配置为对于每个受攻击切片资源，根据所确定的参数信息，创建目标网络切片，所述目标网络切片包括支持所述每个受攻击切片资源所支持的业务功能的目标切片资源；转发模块，被配置为对于每个受攻击切片资源，将发送到所述每个受攻击切片资源的、业务流量或者与拒绝服务攻击相关的异常流量，转发到所述目标网络切片中的目标切片资源。

根据本公开第三方面，提供了一种缓解拒绝服务攻击的装置，包括：存储器；以及耦接至所述存储器的处理器，所述处理器被配置为基于存储在所述存储器的指令，执行上述任一实施例所述的一种缓解拒绝服务攻击的方法。

根据本公开的第四方面，提供了一种缓解拒绝服务攻击的系统，包括上述任一实施例所述的缓解拒绝服务攻击的装置。

在一些实施例中，缓解拒绝服务攻击的系统，还包括：切片管理系统，被配置为接收来自所述缓解拒绝服务攻击的装置的切片创建请求，并根据所述切片创建请求创建所述目标网络切片，所述切片创建请求包括用于创建目标网络切片的参数信息；和流量转发系统，被配置为接收来自所述缓解拒绝服务攻击的装置的第一流量转发策略，并根据所述第一流量转发策略进行流量转发，所述第一流量转发策略为将发送到所述每个受攻击切片资源的、业务流量或者与拒绝服务攻击相关的异常流量，转发到所述目标网络切片中的目标切片资源。

根据本公开的第五方面，提供了一种计算机可存储介质，其上存储有计算机程序指令，该指令被处理器执行时实现上述任一实施例所述的缓解拒绝服务攻击的方法。

附图说明

构成说明书的一部分的附图描述了本公开的实施例，并且连同说明书一起用于解释本公开的原理。

参照附图，根据下面的详细描述，可以更加清楚地理解本公开，其中：

图1是示出根据本公开一些实施例的缓解拒绝服务攻击的方法的流程图；

图2是示出根据本公开一些实施例的缓解拒绝服务攻击的装置的框图；

图3是示出根据本公开另一些实施例的缓解拒绝服务攻击的装置的框图；

图4是示出根据本公开一些实施例的缓解拒绝服务攻击的系统的框图；

图5是示出用于实现本公开一些实施例的计算机系统的框图。

具体实施方式

现在将参照附图来详细描述本公开的各种示例性实施例。应注意到：除非另外具体说明，否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本公开的范围。

同时，应当明白，为了便于描述，附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。

以下对至少一个示例性实施例的描述实际上仅仅是说明性的，决不作为对本公开及其应用或使用的任何限制。

对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论，但在适当情况下，所述技术、方法和设备应当被视为说明书的一部分。

在这里示出和讨论的所有示例中，任何具体值应被解释为仅仅是示例性的，而不是作为限制。因此，示例性实施例的其它示例可以具有不同的值。

应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步讨论。

相关技术中，采用流量清洗的方式进行防护，易被攻击者感知，容易导致攻击者发起更严重的拒绝服务攻击，防护效果欠佳。采用扩容的方式进行防护，未有效隔离与拒绝服务攻击相关的异常流量和业务流量，仍然会对正常业务的运行造成一定的影响，防护效果欠佳。

针对上述技术问题，本公开提出了一种缓解拒绝服务攻击的方法，可以使攻击者无法感知其攻击情况，并降低拒绝服务攻击对正常业务的运行造成的影响，提高防护效果。

图1是示出根据本公开一些实施例的缓解拒绝服务攻击的方法的流程图。

如图1所示，缓解拒绝服务攻击的方法包括步骤S110-步骤S140。

在步骤S110中，获取业务网络系统中的针对至少一个受攻击切片资源的拒绝服务攻击的攻击信息。

在一些实施例中，可以利用部署在业务网络系统中的探针和安全防护系统，获取业务网络系统中的针对至少一个受攻击切片资源的拒绝服务攻击的攻击信息。探针部署在业务网络系统的指定位置。指定位置位于安全防护系统的防护范围之外。通过探针和安全防护系统配合部署在业务网络系统的不同防护范围内，可以提高安全防护范围和部署资源的利用率，进一步提高防护效果。例如，探针和安全防护系统的防护范围也可以存在交叠。

例如，可以通过如下的方式实现利用部署在业务网络系统中的探针和安全防护系统，获取业务网络系统中的针对至少一个受攻击切片资源的拒绝服务攻击的攻击信息。

首先，利用探针和安全防护系统，采集针对业务网络系统中切片资源的异常流量信息和异常服务状态信息中的至少一种。在一些实施例中，异常流量信息包括输入接口、输出接口、源IP(Internet Protocol，网际互连协议)地址、目的IP地址、源端口号、目的端口号、通信协议信息、网络数据包类型、网络流的起止时间、起止时间区间内的数据包数量(或者单位时间区间内的数据包数量)等。在一些实施例中，异常服务状态信息包括CPU(Central Processing Unit，中央处理器)利用率、TCP(Transmission Control Protocol，传输控制协议)或UDP(User Datagram Protocol，用户数据包协议)的网络连接数量、特定端口状态的连接数量等。

然后，根据所采集的异常流量信息和异常服务状态信息中的至少一种，对与所采集的异常流量信息和异常服务状态信息中的至少一种相应的异常流量进行拒绝服务攻击检测。

在一些实施例中，可以根据与拒绝服务攻击相关的流量信息或服务状态信息的特征向量，对相应的异常流量进行拒绝服务攻击检测。例如，一些特定的源IP地址、网络数据包属于拒绝服务攻击，则可以预先将其转换作为特征向量，存储在特征向量库中。通过将异常流量信息中的源IP地址和/或网络数据包类型转换为特征向量，进而与特征向量库中的特征向量进行匹配操作，以判断异常流量是否属于拒绝服务攻击。

在另一些实施例中，还可以利用预设阈值，对相应的异常流量进行拒绝服务攻击检测。例如，在CPU利用率超过预设CPU利用率阈值的情况下，异常流量属于拒绝服务攻击。又例如，在TCP或UDP的网络连接数量超过预设网络连接数量阈值的情况下，异常流量属于拒绝服务攻击。又例如，在特定类型的网络数据包超过预设阈值的情况下，异常流量属于拒绝服务攻击。

最后，在检测到发送到切片资源的异常流量属于拒绝服务攻击的情况下，确定切片资源为受攻击切片资源，并从发送到与切片资源的异常流量对应的异常流量信息中，获取针对切片资源的拒绝服务攻击的攻击信息。例如，攻击信息包括输入接口、输出接口、源IP地址、目的IP地址、源端口号、目的端口号、通信协议信息、网络数据包类型、网络流的起止时间、起止时间区间内的数据包数量(或者单位时间区间内的数据包数量)等。

在另一些实施例中，也可以利用单独部署在业务网络系统中的探针或者安全防护系统，获取业务网络系统中的针对至少一个受攻击切片资源的拒绝服务攻击的攻击信息。

前述实施例中的探针可以是软件，也可以是硬件。安全防护系统可以包括防火墙系统、入侵检测或者防护系统等。

在步骤S120中，对于每个受攻击切片资源，根据对应的攻击信息，确定用于创建目标网络切片的参数信息。在一些实施例中，参数信息包括每个受攻击切片资源的资源标识以及每个受攻击切片资源所属的网络切片的切片标识。

例如，可以根据攻击信息中的输入接口、输出接口、源IP地址、目的IP地址、源端口号、目的端口号中的至少一个，从切片管理系统中查找每个受攻击切片资源的资源标识以及每个受攻击切片资源所属的网络切片的切片标识。

在步骤S130中，对于每个受攻击切片资源，根据所确定的参数信息，创建目标网络切片。目标网络切片包括支持每个受攻击切片资源所支持的业务功能的目标切片资源。

在一些实施例中，可以利用切片管理系统创建目标网络切片。例如，生成并发送切片创建请求到切片管理系统，以便切片管理系统根据切片创建请求创建目标网络切片。切片创建请求包括所确定的参数信息。

例如，切片管理系统根据切片创建请求中的切片标识和资源标识，从切片管理系统中获取受攻击切片资源的相关参数信息。参数信息包括受攻击切片资源所属的网络切片的服务等级、所属网络切片的切片属性(专属切片或共享切片)、所属网络切片的用户信息、所属网络切片的网络信息(例如子网信息)等。切片管理系统在获取到与受攻击切片资源的相关参数信息后，根据受攻击切片资源的相关参数信息，创建目标网络切片。

在一些实施例中，切片创建请求还包括每个受攻击切片资源所属的网络切片的业务需求。依据利用攻击信息确定的参数信息和业务需求，创建目标网络切片，可以更加精准地创建与受攻击切片资源所属网络切片相近的目标网络切片，进一步提高防护效果，降低防护成本。

例如，切片管理系统根据切片创建请求中的切片标识和资源标识，从切片管理系统中获取受攻击切片资源的相关参数信息和业务需求。参数信息包括受攻击切片资源所属的网络切片的服务等级、所属网络切片的切片属性(专属切片或共享切片)、所属网络切片的用户信息、所属网络切片的网络信息(例如子网信息)等。切片管理系统在获取到与受攻击切片资源的相关参数信息和业务需求后，根据受攻击切片资源的相关参数信息，创建目标网络切片。例如，切片管理系统根据相关参数信息，生成目标网络切片的SLA(Service Level Agreement，服务等级协议)需求以及资源配置信息，并基于SLA需求以及资源配置信息，创建目标网络切片。

在步骤S140中，对于每个受攻击切片资源，将发送到每个受攻击切片资源的、业务流量或者与拒绝服务攻击相关的异常流量，转发到目标网络切片中的目标切片资源。

在一些实施例中，可以利用流量转发系统将发送到每个受攻击切片资源的、业务流量或者与拒绝服务攻击相关的异常流量，转发到目标网络切片中的目标切片资源。例如，生成并发送第一流量转发策略到流量转发系统，以便流量转发系统根据第一流量转发策略进行流量转发。第一流量转发策略为将发送到每个受攻击切片资源的、业务流量或者与拒绝服务攻击相关的异常流量，转发到目标网络切片中的目标切片资源。

在一些实施例中，可以根据与每个受攻击切片资源对应的攻击信息，确定针对每个受攻击切片资源的拒绝服务攻击的攻击类型。不同的攻击类型对应不同的第一流量转发策略。即，根据不同的攻击类型，生成不同的第一流量转发策略。通过根据不同攻击类型来选择转发与拒绝服务攻击相关的异常流量或业务流量，可以平衡维持正常业务的运转和处理与拒绝服务攻击相关的异常流量之间的投入与成效，尽可能降低防护成本，进一步提高防护效果。

例如，攻击类型包括单一型和多向量复杂型。单一型的拒绝服务攻击的攻击手段、攻击策略或者攻击目标相对比较单一。多向量复杂型的拒绝服务攻击的攻击手段、攻击策略或者攻击目标相对比较复杂，甚至存在不同攻击手段、攻击策略或攻击目标的组合情况。单一型对应的目标网络切片可以命名为伪切片，多向量复杂型对应的目标网络切片可以命名为替代切片。

在所确定的针对每个受攻击切片资源的拒绝服务攻击的攻击类型为单一型的情况下，第一流量转发策略为将发送到每个受攻击切片资源的与拒绝服务攻击相关的异常流量转发到目标网络切片中的目标切片资源。

在所确定的针对每个受攻击切片资源的拒绝服务攻击的攻击类型为多向量复杂型的情况下，第一流量转发策略为将发送到每个受攻击切片资源的业务流量转发到目标网络切片中的目标切片资源。

在一些实施例中，可以通过如下的方式确定针对每个受攻击切片资源的拒绝服务攻击的攻击类型。

首先，对于每个受攻击切片资源，根据对应的攻击信息，确定对应的拒绝服务攻击的攻击手段信息、攻击策略信息和攻击目标信息中的至少一种。

然后，根据所确定的拒绝服务攻击的攻击手段信息、攻击策略信息和攻击目标信息中的至少一种，确定针对每个受攻击切片资源的拒绝服务攻击的攻击类型。例如，攻击手段信息包括攻击手段的数量。攻击策略信息包括攻击频率、攻击时间间隔和攻击来源的种类数中的至少一种。攻击目标信息包括攻击目标的数量。

例如，在攻击手段信息、攻击策略信息和攻击目标信息中的至少一种符合第一预设条件的情况下，确定攻击类型为单一型。在攻击手段信息、攻击策略信息和攻击目标信息中的至少一种符合第二预设条件的情况下，确定攻击类型为多向量复杂型。

例如，第一预设条件包括攻击手段的数量小于手段数量阈值(例如3)、攻击目标的数量小于目标数量阈值(例如3)、攻击频率小于频率阈值、攻击时间间隔小于时间阈值、攻击来源的种类小于种类阈值。第二预设条件包括攻击手段的数量大于或等于手段数量阈值(例如3)、攻击目标的数量大于或等于目标数量阈值(例如3)、攻击频率大于或等于频率阈值、攻击时间间隔大于或等于时间阈值、攻击来源的种类大于或等于种类阈值。

以针对每个受攻击切片资源的拒绝服务攻击的攻击类型为单一型为例，将发送到每个受攻击切片资源的、与拒绝服务攻击相关的异常流量转发到目标网络切片中的目标切片资源后，监测与目标切片资源的拒绝服务攻击的攻击信息是否满足预设条件。在监测到与目标切片资源的拒绝服务攻击的攻击信息满足预设条件的情况下，终止目标网络切片。与目标切片资源的拒绝服务攻击的攻击信息满足预设条件表征拒绝服务攻击的攻击强度减弱或者攻击结束。通过在拒绝服务攻击的攻击强度减弱或者攻击结束的情况下，终止目标网络切片，可以及时释放被占用的资源，提高业务网络系统中的资源利用率。

以针对每个受攻击切片资源的拒绝服务攻击的攻击类型为多向量复杂型为例，将发送到所述每个受攻击切片资源的业务流量转发到目标网络切片中的目标切片资源后，监测每个受攻击切片资源的拒绝服务攻击的攻击信息是否满足预设条件。

在监测到每个受攻击切片资源的拒绝服务攻击的攻击信息满足预设条件的情况下，将发送到目标切片资源的业务流量转发到每个受攻击切片资源。将发送到目标切片资源的业务流量转发到每个受攻击切片资源后，终止目标切片资源。通过在拒绝服务攻击的攻击强度减弱或者攻击结束的情况下，控制业务流量被发送到原受攻击切片资源，并终止目标网络切片，可以及时释放被占用的资源，提高业务网络系统中的资源利用率。

在一些实施例中，可以利用流量转发系统，将发送到目标切片资源的业务流量转发到每个受攻击切片资源。例如，生成并发送第二流量转发策略到流量转发系统，以便流量转发系统根据第二流量转发策略进行流量转发。第二流量转发策略为将发送到目标切片资源的业务流量转发到每个受攻击切片资源。

在一些实施例中，可以通过如下的方式实现前述的终止目标网络切片的步骤。生成并发送切片终止请求到切片管理系统，以便切片管理系统根据切片终止请求终止目标网络切片。切片终止请求包括目标网络切片的标识。

在上述实施例中，通过针对受攻击切片资源，创建新的网络切片，并引导发送到受攻击切片资源的业务流量或者与拒绝服务攻击相关的异常流量，转发到新的网络切片中的新切片资源上，使得攻击者误以为其攻击仍然在影响正常业务的运转，从而使得攻击者无法感知其攻击情况。另外，本公开通过转发流量的方式隔离了业务流量和与拒绝服务攻击相关的异常流量，可以降低拒绝服务攻击对正常业务的运行造成的影响，提高防护效果。

图2是示出根据本公开一些实施例的缓解拒绝服务攻击的装置的框图。

如图2所示，缓解拒绝服务攻击的装置21包括获取模块211、确定模块212、创建模块213和转发模块214。

获取模块211被配置为获取业务网络系统中的针对至少一个受攻击切片资源的拒绝服务攻击的攻击信息，例如执行如图1所示的步骤S110。

确定模块212被配置为对于每个受攻击切片资源，根据对应的攻击信息，确定用于创建目标网络切片的参数信息，例如执行如图1所示的步骤S120。

创建模块213被配置为对于每个受攻击切片资源，根据所确定的参数信息，创建目标网络切片，例如执行如图1所示的步骤S130。目标网络切片包括支持每个受攻击切片资源所支持的业务功能的目标切片资源。

转发模块214被配置为对于每个受攻击切片资源，将发送到每个受攻击切片资源的、业务流量或者与拒绝服务攻击相关的异常流量，转发到目标网络切片中的目标切片资源，例如执行如图1所示的步骤S140。

图3是示出根据本公开另一些实施例的缓解拒绝服务攻击的装置的框图。

如图3所示，缓解拒绝服务攻击的装置31包括存储器311；以及耦接至该存储器311的处理器312。存储器311用于存储执行缓解拒绝服务攻击的方法对应实施例的指令。处理器312被配置为基于存储在存储器311中的指令，执行本公开中任意一些实施例中的缓解拒绝服务攻击的方法。

图4是示出根据本公开一些实施例的缓解拒绝服务攻击的系统的框图。

如图4所示，缓解拒绝服务攻击的系统4包括缓解拒绝服务攻击的装置41。缓解拒绝服务攻击的装置41与缓解拒绝服务攻击的装置21、31的功能相同或类似。

在一些实施例中，缓解拒绝服务攻击的系统4还包括切片管理系统42。切片管理系统42被配置为接收来自缓解拒绝服务攻击的装置41的切片创建请求，并根据切片创建请求创建目标网络切片。切片创建请求包括用于创建目标网络切片的参数信息。

在一些实施例中，缓解拒绝服务攻击的系统4还包括流量转发系统43。流量转发系统43被配置为接收来自缓解拒绝服务攻击的装置41的第一流量转发策略，并根据第一流量转发策略进行流量转发。第一流量转发策略为将发送到每个受攻击切片资源的、业务流量或者与拒绝服务攻击相关的异常流量，转发到目标网络切片中的目标切片资源。

例如，流量转发系统43包括SDN(Software Defined Network，软件定义网络)控制平台和特定网络设备。SDN控制平台根据第一流量转发策略，生成流量转发指令，并将流量转发指令下发到特定网络设备。特定网络设备根据流量转发指令，进行流量转发。

图5是示出用于实现本公开一些实施例的计算机系统的框图。

如图5所示，计算机系统50可以通用计算设备的形式表现。计算机系统50包括存储器510、处理器520和连接不同系统组件的总线500。

存储器510例如可以包括系统存储器、非易失性存储介质等。系统存储器例如存储有操作系统、应用程序、引导装载程序(Boot Loader)以及其他程序等。系统存储器可以包括易失性存储介质，例如随机存取存储器(RAM)和/或高速缓存存储器。非易失性存储介质例如存储有执行缓解拒绝服务攻击的方法中的至少一种的对应实施例的指令。非易失性存储介质包括但不限于磁盘存储器、光学存储器、闪存等。

处理器520可以用通用处理器、数字信号处理器(DSP)、应用专用集成电路(ASIC)、现场可编程门阵列(FPGA)或其它可编程逻辑设备、分立门或晶体管等分立硬件组件方式来实现。相应地，诸如判断模块和确定模块的每个模块，可以通过中央处理器(CPU) 运行存储器中执行相应步骤的指令来实现，也可以通过执行相应步骤的专用电路来实现。

总线500可以使用多种总线结构中的任意总线结构。例如，总线结构包括但不限于工业标准体系结构(ISA)总线、微通道体系结构(MCA)总线、外围组件互连(PCI)总线。

计算机系统50还可以包括输入输出接口530、网络接口540、存储接口550等。这些接口530、540、550以及存储器510和处理器520之间可以通过总线500连接。输入输出接口530可以为显示器、鼠标、键盘等输入输出设备提供连接接口。网络接口540为各种联网设备提供连接接口。存储接口550为软盘、U盘、SD卡等外部存储设备提供连接接口。

这里，参照根据本公开实施例的方法、装置和计算机程序产品的流程图和/或框图描述了本公开的各个方面。应当理解，流程图和/或框图的每个框以及各框的组合，都可以由计算机可读程序指令实现。

这些计算机可读程序指令可提供到通用计算机、专用计算机或其他可编程装置的处理器，以产生一个机器，使得通过处理器执行指令产生实现在流程图和/或框图中一个或多个框中指定的功能的装置。

这些计算机可读程序指令也可存储在计算机可读存储器中，这些指令使得计算机以特定方式工作，从而产生一个制造品，包括实现在流程图和/或框图中一个或多个框中指定的功能的指令。

本公开可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。

通过上述实施例中的缓解拒绝服务攻击的方法、装置及系统、计算机可存储介质，可以使攻击者无法感知其攻击情况，并降低拒绝服务攻击对正常业务的运行造成的影响，提高防护效果。

Claims

一种缓解拒绝服务攻击的方法，包括：

获取业务网络系统中的针对至少一个受攻击切片资源的拒绝服务攻击的攻击信息；

对于每个受攻击切片资源，根据对应的攻击信息，确定用于创建目标网络切片的参数信息；

对于每个受攻击切片资源，根据所确定的参数信息，创建目标网络切片，所述目标网络切片包括支持所述每个受攻击切片资源所支持的业务功能的目标切片资源；

对于每个受攻击切片资源，将发送到所述每个受攻击切片资源的、业务流量或者与拒绝服务攻击相关的异常流量，转发到所述目标网络切片中的目标切片资源。
根据权利要求1所述的缓解拒绝服务攻击的方法，其中，将发送到所述每个受攻击切片资源的、业务流量或者与拒绝服务攻击相关的异常流量，转发到所述目标网络切片中的目标切片资源包括：

生成并发送第一流量转发策略到流量转发系统，以便所述流量转发系统根据所述第一流量转发策略进行流量转发，所述第一流量转发策略为将发送到所述每个受攻击切片资源的、业务流量或者与拒绝服务攻击相关的异常流量，转发到所述目标网络切片中的目标切片资源。
根据权利要求2所述的缓解拒绝服务攻击的方法，将发送到所述每个受攻击切片资源的、业务流量或者与拒绝服务攻击相关的异常流量，转发到所述目标网络切片中的目标切片资源还包括：

根据与每个受攻击切片资源对应的攻击信息，确定针对所述每个受攻击切片资源的拒绝服务攻击的攻击类型，不同的攻击类型对应不同的第一流量转发策略。
根据权利要求3所述的缓解拒绝服务攻击的方法，其中，所述攻击类型包括单一型和多向量复杂型，

在所确定的针对所述每个受攻击切片资源的拒绝服务攻击的攻击类型为单一型的情况下，所述第一流量转发策略为将发送到每个受攻击切片资源的与拒绝服务攻击相关的异常流量转发到所述目标网络切片中的目标切片资源；

在所确定的针对所述每个受攻击切片资源的拒绝服务攻击的攻击类型为多向量复杂型的情况下，所述第一流量转发策略为将发送到每个受攻击切片资源的业务流量转发到所述目标网络切片中的目标切片资源。
根据权利要求3所述的缓解拒绝服务攻击的方法，其中，确定针对所述每个受攻击切片资源的拒绝服务攻击的攻击类型包括：

对于每个受攻击切片资源，根据对应的攻击信息，确定对应的拒绝服务攻击的攻击手段信息、攻击策略信息和攻击目标信息中的至少一种；

根据所确定的拒绝服务攻击的攻击手段信息、攻击策略信息和攻击目标信息中的至少一种，确定针对所述每个受攻击切片资源的拒绝服务攻击的攻击类型。
根据权利要求5所述的缓解拒绝服务攻击的方法，其中，攻击手段信息包括攻击手段的数量，攻击策略信息包括攻击频率、攻击时间间隔和攻击来源的种类数中的至少一种，攻击目标信息包括攻击目标的数量。
根据权利要求1所述的缓解拒绝服务攻击的方法，还包括：

将发送到所述每个受攻击切片资源的、与拒绝服务攻击相关的异常流量转发到所述目标网络切片中的目标切片资源后，监测所述目标切片资源的拒绝服务攻击的攻击信息是否满足预设条件；

在监测到所述目标切片资源的拒绝服务攻击的攻击信息满足预设条件的情况下，终止所述目标网络切片。
根据权利要求1所述的缓解拒绝服务攻击的方法，还包括：

将发送到所述每个受攻击切片资源的业务流量转发到所述目标网络切片中的目标切片资源后，监测所述每个受攻击切片资源的拒绝服务攻击的攻击信息是否满足预设条件；

在监测到所述每个受攻击切片资源的拒绝服务攻击的攻击信息满足预设条件的情况下，将发送到所述目标切片资源的业务流量转发到所述每个受攻击切片资源；

在将发送到所述目标切片资源的业务流量转发到所述每个受攻击切片资源后，终止所述目标网络切片。
根据权利要求8所述的缓解拒绝服务攻击的方法，其中，将发送到所述目标切片资源的业务流量转发到所述每个受攻击切片资源包括：

生成并发送第二流量转发策略到流量转发系统，以便所述流量转发系统根据所述第二流量转发策略进行流量转发，所述第二流量转发策略为将发送到所述目标切片资源的业务流量转发到所述每个受攻击切片资源。
根据权利要求7至9任一项所述的缓解拒绝服务攻击的方法，其中，终止所述目标网络切片包括：

生成并发送切片终止请求到切片管理系统，以便所述切片管理系统根据所述切片终止请求终止所述目标网络切片，所述切片终止请求包括所述目标网络切片的标识。
根据权利要求1所述的缓解拒绝服务攻击的方法，其中，获取业务网络系统中的针对至少一个受攻击切片资源的拒绝服务攻击的攻击信息包括：

利用部署在所述业务网络系统中的探针和安全防护系统，获取所述业务网络系统中的针对至少一个受攻击切片资源的拒绝服务攻击的攻击信息，所述探针部署在所述业务网络系统的指定位置，所述指定位置位于所述安全防护系统的防护范围之外。
根据权利要求11所述的缓解拒绝服务攻击的方法，其中，利用部署在所述业务网络系统中的探针和安全防护系统，获取所述业务网络系统中的针对至少一个受攻击切片资源的拒绝服务攻击的攻击信息包括：

利用所述探针和所述安全防护系统，采集针对所述业务网络系统中切片资源的异常流量信息和异常服务状态信息中的至少一种；

根据所采集的异常流量信息和异常服务状态信息中的至少一种，对相应的异常流量进行拒绝服务攻击检测；

在检测到相应的异常流量属于拒绝服务攻击的情况下，确定所述切片资源为受攻击切片资源，并从发送到与所述切片资源的异常流量对应的异常流量信息中，获取针对所述切片资源的拒绝服务攻击的攻击信息。
根据权利要求1所述的缓解拒绝服务攻击的方法，其中，所述切片创建请求还包括所述每个受攻击切片资源所属的网络切片的业务需求。
根据权利要求1所述的缓解拒绝服务攻击的方法，其中，创建目标网络切片包括：

生成并发送切片创建请求到切片管理系统，以便所述切片管理系统根据所述切片创建请求创建所述目标网络切片，所述切片创建请求包括所确定的参数信息。
根据权利要求1所述的缓解拒绝服务攻击的方法，其中，所述参数信息包括所述每个受攻击切片资源的资源标识以及所述每个受攻击切片资源所属的网络切片的切片标识。
一种缓解拒绝服务攻击的装置，包括：

获取模块，被配置为获取业务网络系统中的针对至少一个受攻击切片资源的拒绝服务攻击的攻击信息；

确定模块，被配置为对于每个受攻击切片资源，根据对应的攻击信息，确定用于创建目标网络切片的参数信息；

创建模块，被配置为对于每个受攻击切片资源，根据所确定的参数信息，创建目标网络切片，所述目标网络切片包括支持所述每个受攻击切片资源所支持的业务功能的目标切片资源；

转发模块，被配置为对于每个受攻击切片资源，将发送到所述每个受攻击切片资源的、业务流量或者与拒绝服务攻击相关的异常流量，转发到所述目标网络切片中的目标切片资源。
一种缓解拒绝服务攻击的装置，包括：

存储器；以及

耦接至所述存储器的处理器，所述处理器被配置为基于存储在所述存储器的指令，执行如权利要求1至15任一项所述的缓解拒绝服务攻击的方法。
一种缓解拒绝服务攻击的系统，包括：

如权利要求16或17所述的缓解拒绝服务攻击的装置。
根据权利要求18所述的缓解拒绝服务攻击的系统，还包括：

切片管理系统，被配置为接收来自所述缓解拒绝服务攻击的装置的切片创建请求，并根据所述切片创建请求创建所述目标网络切片，所述切片创建请求包括用于创建目标网络切片的参数信息；和

流量转发系统，被配置为接收来自所述缓解拒绝服务攻击的装置的第一流量转发策略，并根据所述第一流量转发策略进行流量转发，所述第一流量转发策略为将发送到每个受攻击切片资源的、业务流量或者与拒绝服务攻击相关的异常流量，转发到所述目标网络切片中的目标切片资源。
一种计算机可存储介质，其上存储有计算机程序指令，该指令被处理器执行时实现如权利要求1至15任一项所述的缓解拒绝服务攻击的方法。

至此，已经详细描述了根据本公开的缓解拒绝服务攻击的方法、装置及系统、计算机可存储介质。为了避免遮蔽本公开的构思，没有描述本领域所公知的一些细节。本领域技术人员根据上面的描述，完全可以明白如何实施这里公开的技术方案。