專利名稱:分布式拒絕服務攻擊的防御方法、裝置和系統(tǒng)的制作方法
技術領域:
本發(fā)明涉及網(wǎng)絡:忮術,尤其涉及分布式拒絕月l務(DDoS: Distributed Denial of Service)攻擊的防御。
背景纟支術
DDOS攻擊是指攻擊者利用主控主機(可能多級多層)控制大量受感染而被 控制的主機組成攻擊網(wǎng)絡來對受害主機進行大規(guī)模的拒絕服務攻擊。這種攻擊 往往能把單個攻擊者的攻擊以級數(shù)形式進行放大。在高速數(shù)據(jù)包的攻擊下,受 害者主機的關鍵資源,如帶寬、緩沖區(qū)和CPU資源等迅速耗盡,受害主機或者 崩潰,或者花大量時間處理攻擊包而不能正常服務,給受害者和用戶造成嚴重 經(jīng)濟損失,因此有效地檢測和防御DDoS攻擊是構建安全網(wǎng)絡的重要組成部分。
現(xiàn)有技術中對DDoS攻擊主要采取單向流量清洗的方法進行檢測和防御,也 就是把流量中異常的攻擊流量進行清洗,從而達到防御的目的,主要有如下兩 種方式
1、 單向引流清洗方式,如圖1所示。整個檢測和清洗系統(tǒng)主要包括數(shù)據(jù)流 獲取中心300、檢測中心400、安全管理中心500和清洗中心600。由數(shù)據(jù)流獲 取中心通過流量鏡像對網(wǎng)路200中的數(shù)據(jù)流進行實時監(jiān)控,并由檢測中心識別 攻擊源地址、被保護主機和攻擊特征等攻擊信息上報到安全管理中心,安全管 理中心再根據(jù)配置策略,向清洗中心通告攻擊信息,清洗中心通過BGP (邊界網(wǎng) 關協(xié)議)發(fā)布攻擊源的主機地址,通過路由器100把攻擊數(shù)據(jù)流引到清洗中心 進行清洗,最后將清洗后的數(shù)據(jù)流回注到網(wǎng)路中并向安全管理中心上報攻擊流 清洗結(jié)果和各種攻擊日志。
2、 采樣單向引流清洗方式,與所述單向引流清洗方式不同的是,在數(shù)據(jù)流 獲取中不采用流量鏡像方式,而通過網(wǎng)絡流量技術采樣采集對網(wǎng)路中的網(wǎng)絡數(shù) 據(jù)流進行實時監(jiān)控。
在實現(xiàn)上述對DDoS攻擊的檢測和防御的過程中,發(fā)明人發(fā)現(xiàn)現(xiàn)有技術中至少存在如下問題
兩種單向引流清洗方式都只能獲得單向數(shù)據(jù)流進行分析和清洗,對攻擊數(shù) 據(jù)流清洗的準確度不高
發(fā)明內(nèi)容
本發(fā)明實施例提供一種分布式拒絕服務攻擊的防御方法、裝置和系統(tǒng),能 夠解決網(wǎng)絡清洗裝置只能獲得單向網(wǎng)路數(shù)據(jù)流進行清洗而造成的清洗準確度較 低的問題。
本發(fā)明的一個實施例提供一種分布式拒絕服務攻擊的防御方法,包括 獲取并檢測網(wǎng)路中的數(shù)據(jù)流,獲得攻擊信息;
獲取并過濾網(wǎng)路中的上行數(shù)據(jù)流,獲得來自被保護主機的上行數(shù)據(jù)信息; 根據(jù)所述攻擊信息和所述來自被保護主機的上行數(shù)據(jù)信息,對所述網(wǎng)路中 目標為被保護主機的下行數(shù)據(jù)流進行引流、補償和清洗處理。
本發(fā)明的另一個實施例提供一種分布式拒絕服務攻擊的測控裝置,包括 數(shù)據(jù)獲取設備,用于獲取網(wǎng)路中的數(shù)據(jù)流;
檢測設備,用于檢測所述數(shù)據(jù)流,獲得攻擊信息和來自被保護主機的上行 數(shù)據(jù)信息,將所述攻擊信息發(fā)送到清洗裝置,并將所述來自被保護主機的上行數(shù) 據(jù)信息補償?shù)诫p向會話表。
本發(fā)明的另一個實施例提供一種分布式拒絕服務攻擊的清洗裝置,包括 《1流單元,用于將測控裝置得到的攻擊源地址通知網(wǎng)路中相應網(wǎng)絡轉(zhuǎn)發(fā)設 備并由所述網(wǎng)絡轉(zhuǎn)發(fā)設備更改路由信息,將網(wǎng)路中目標為被保護主機的下行數(shù) 據(jù)流從所述網(wǎng)絡轉(zhuǎn)發(fā)設備中引出并發(fā)送到攻擊類型識別單元;
雙向會話建立單元,用于建立由來自被保護主機的上行數(shù)據(jù)信息配合得到 的雙向會話表;
攻擊類型識別單元,用于通過算法分析和策略匹配,識別正在進行的攻擊 類型;
清洗單元,用于分析攻擊類型和所述雙向會話表并清洗所述目標為被保護主機的下行數(shù)據(jù)流,濾除攻擊數(shù)據(jù)流;
回注單元,用于將所述清洗單元清洗后的所述下行數(shù)據(jù)流回注到所述被保 護主才幾的上游網(wǎng)路。
本發(fā)明的另 一個實施例提供一種分布式拒絕服務攻擊的防御系統(tǒng),包括 數(shù)據(jù)獲取設備,用于獲取網(wǎng)路中的數(shù)據(jù)流;
檢測設備,用于檢測所述數(shù)據(jù)流,獲得攻擊信息和來自被保護主機的上行數(shù) 據(jù)信息,將所述攻擊信息發(fā)送到清洗裝置,并將所述來自被保護主機的上行數(shù)據(jù) 信息補償?shù)诫p向會話表;
清洗裝置,用于對網(wǎng)路中目標為被保護主機的下行數(shù)據(jù)流進行引流和清洗 處理。
本發(fā)明實施例分布式拒絕服務攻擊的防御方法、裝置和系統(tǒng)通過獲取網(wǎng)路 中的數(shù)據(jù)流進行檢測得到攻擊信息,并獲取和過濾網(wǎng)路中的上行數(shù)據(jù)流,獲得 來自被保護主機的上行數(shù)據(jù)信息,根據(jù)攻擊信息和所述來自被保護主機的上行 數(shù)據(jù)信息,對網(wǎng)路中目標為被保護主機的下行數(shù)據(jù)流進行引流、補償和清洗處 理,能夠得到雙向數(shù)據(jù)流進行攻擊信息分析,從而提高對攻擊數(shù)據(jù)流的清洗準 確率。
為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術中的技術方案,下面將對實施 例或現(xiàn)有技術描述中所需要使用的附圖作簡單地介紹,顯而易見地,下面描述 中的附圖僅僅是本發(fā)明的一些實施例,對于本領域普通技術人員來講,在不付 出創(chuàng)造性勞動性的前提下,還可以根據(jù)這些附圖獲得其他的附圖。 圖1為現(xiàn)有技術單向引流清洗方式一的示意圖; 圖2為本發(fā)明實施例分布式拒絕服務攻擊的防御方法的流程圖; 圖3為本發(fā)明實施例分布式拒絕服務攻擊的測控裝置的示意圖; 圖4為本發(fā)明實施例數(shù)據(jù)獲取設備的示意圖; 圖5為本發(fā)明實施例檢測設備的示意圖;圖6為本發(fā)明實施例分布式拒絕服務攻擊的清洗裝置的示意圖; 圖7為本發(fā)明實施例分布式拒絕服務攻擊的防御系統(tǒng)的示意圖。
具體實施例方式
下面將結(jié)合本發(fā)明實施例中的附圖,對本發(fā)明實施例中的技術方案進行清 楚、完整的描述,顯然,所描述的實施例僅僅是本發(fā)明一部分實施例,而不是 全部的實施例?;诒景l(fā)明中的實施例,本領域普通技術人員在沒有作出創(chuàng)造 性勞動前提下所獲得的所有其他實施例,都屬于本發(fā)明保護的范圍。
本發(fā)明實施例旨在提供一種分布式拒絕服務攻擊的防御方法、裝置和系統(tǒng), 能夠解決網(wǎng)絡清洗裝置只能獲得單向網(wǎng)路數(shù)據(jù)流進行清洗而造成的清洗準確度 較低的問題。下面結(jié)合附圖對本發(fā)明實施例分布式拒絕服務攻擊的防御方法、 裝置和系統(tǒng)進行詳細描述。
如圖2所示,本發(fā)明實施例分布式拒絕服務攻擊的防御方法,包括如下步
驟
51、 獲取并檢測網(wǎng)路中的數(shù)據(jù)流,獲得攻擊信息;
52、 獲取并過濾網(wǎng)路中的上行數(shù)據(jù)流,獲得來自被保護主機的上行數(shù)據(jù)信
自
53、 根據(jù)所述攻擊信息和所述來自被保護主機的上行數(shù)據(jù)信息,對所述網(wǎng) 路中目標為被保護主機的下行數(shù)據(jù)流進行引流、補償和清洗處理。
本發(fā)明實施例分布式拒絕服務攻擊的防御方法通過獲取和檢測網(wǎng)路中的數(shù) 據(jù)流得到攻擊信息,獲取并過濾網(wǎng)路中的上行數(shù)據(jù)流得到來自被保護主機的上 行數(shù)據(jù)信息,并根據(jù)攻擊信息和所述來自被保護主機的上行數(shù)據(jù)信息對網(wǎng)路中 目標為被保護主機的下行數(shù)據(jù)流進行引流、補償和清洗處理,能夠通過補償方 法得到雙向數(shù)據(jù)流進行攻擊信息分析,從而提高對攻擊數(shù)據(jù)流的清洗準確率。
在本發(fā)明一較佳實施例步驟S1中,獲取數(shù)據(jù)流的方法為通過分光或鏡像獲 取網(wǎng)路中的數(shù)據(jù)流,檢測所述數(shù)據(jù)流的方法為通過算法分析和策略匹配檢測所 述數(shù)據(jù)流來獲得攻擊信息。所獲得的攻擊信息包括攻擊源地址、被保護主機和 攻擊特征。但本發(fā)明并不局限于此,所述網(wǎng)路數(shù)據(jù)流的獲取還可以通過網(wǎng)絡流量技術如NETFL0W或其他XFL0W等方式采樣采集網(wǎng)路中所述^皮保護主機上游的 相應路由器上通過的數(shù)據(jù)流,檢測所述路由器上通過的數(shù)據(jù)流可以采用流量分 析檢測的方法以獲得攻擊信息。
步驟S2中獲取并過濾網(wǎng)路中的上行數(shù)據(jù)流具體為通過分光或鏡像獲取網(wǎng)路 中的上行數(shù)據(jù)流并過濾得到來自被保護主機的上行數(shù)據(jù)信息。所述來自被保護 主機的上行數(shù)據(jù)信息具體為來自被保護主機的上行數(shù)據(jù)包頭,包括數(shù)據(jù)鏈路 層包頭、網(wǎng)絡層包頭和傳輸層包頭以及可能需要用到的其他層it據(jù)包頭。
步驟S3的具體操作過程如下
根據(jù)檢測到的所述攻擊信息,得到攻擊數(shù)據(jù)流的攻擊源地址,通過BGP更 新更改網(wǎng)路中所述被保護主機上游的相應路由器的路由信息,將來自攻擊源而 目標為被保護主機的下行數(shù)據(jù)流從所述路由器中引出以備清洗。
將所述來自被保護對象的上行數(shù)據(jù)包頭補償?shù)骄W(wǎng)絡雙向會話表,以便獲得 雙向數(shù)據(jù)流進行分析。
建立網(wǎng)絡雙向會話表后,通過算法分析和策略匹配,識別攻擊類型。再根 據(jù)攻擊類型和所述雙向會話表,對所述目標為被保護主機的下行數(shù)據(jù)流進行清 洗,具體可以為通過識別偽造源地址、過濾非法數(shù)據(jù)包和速率限制濾除來自 所述攻擊源的攻擊數(shù)據(jù)流。上述為一種常用網(wǎng)絡攻擊流的清洗方法,但本發(fā)明 并不局限于此。
最后把清洗后的所述下行數(shù)據(jù)流回注到所述網(wǎng)路,回注地址可以是所述被
本發(fā)明實施例分布式拒絕服務攻擊的防御方法通過獲取網(wǎng)路中的數(shù)據(jù)流進 行檢測得到攻擊信息,獲取并過濾網(wǎng)路中的上行數(shù)據(jù)流得到來自被保護主機的 上行數(shù)據(jù)包頭,并根據(jù)攻擊信息對網(wǎng)路中目標為被保護主機的下行數(shù)據(jù)流進行 引流,將來自被保護對象的上行數(shù)據(jù)包頭補償?shù)诫p向會話表,維護了完整的流 量記錄,因而能夠?qū)崿F(xiàn)雙向數(shù)據(jù)流的DDoS分析和清洗,從而提高對攻擊數(shù)據(jù)流 的清洗準確率。另外,本發(fā)明實施例可以釆用分光或鏡像獲取網(wǎng)絡數(shù)據(jù)流或通 過不同的網(wǎng)絡流量技術采樣采集網(wǎng)絡流量,因而無論對流量洪水型或非流量洪水型DDoS都能達到較好的防御效果。
本發(fā)明的另一個實施提供了一種分布式拒絕服務攻擊的測控裝置,能夠解 決網(wǎng)絡清洗裝置只能獲得單向網(wǎng)路數(shù)據(jù)流進行清洗而造成的清洗準確度較低的 問題。
如圖3所示,本發(fā)明實施例分布式拒絕服務攻擊系統(tǒng)包括測控裝置和清洗 裝置,其中測控裝置包括
數(shù)據(jù)獲取設備1000,用于獲取網(wǎng)路中的數(shù)據(jù)流;
檢測設備2000,用于檢測所述數(shù)據(jù)流,獲得攻擊信息和來自被保護主機的 上行數(shù)據(jù)信息,將所述攻擊信息發(fā)送到清洗裝置,并將所述來自被保護主機的上 行數(shù)據(jù)信息補償?shù)诫p向會話表。
本發(fā)明實施例分布式拒絕服務攻擊的測控裝置能夠通過將所述來自被保護 主機的上行數(shù)據(jù)信息補償?shù)诫p向會話表,使得清洗裝置獲得雙向數(shù)據(jù)流進行攻 擊信息分析,從而提高對攻擊數(shù)據(jù)流的清洗準確率。
如圖4所示,在本發(fā)明一較佳實施例中,數(shù)據(jù)獲取設備1000包括第一數(shù)據(jù) 獲取單元1100,用于通過分光或鏡像獲取網(wǎng)路中的數(shù)據(jù)流。在本發(fā)明另一較佳 實施例中所述數(shù)據(jù)獲取設備1000還可以包括第二數(shù)據(jù)獲取單元1200,用于通過 網(wǎng)絡流量技術如NETFLOW技術或其他XFLOW技術采樣采集網(wǎng)路中所述被保護主 機上游的相應路由器上通過的數(shù)據(jù)流。在實際應用中可以根據(jù)具體的設備狀況 決定是否需要第二數(shù)據(jù)獲取單元1200。
如圖5所示,;險測設備2000包括如下幾個部分
第一數(shù)據(jù)檢測單元2100,用于檢測數(shù)據(jù)獲取設備1000獲取的數(shù)據(jù)流,獲取 攻擊信息。所述數(shù)據(jù)^r測單元2100用于通過算法分析和策略匹配;f企測所述第一 數(shù)據(jù)獲取單元2100獲取的數(shù)據(jù)流并獲得攻擊信息。但本發(fā)明并不局限于此,在 本發(fā)明另 一較佳實施例中,數(shù)據(jù)檢測單元2100用于通過流量分析所述第二數(shù)據(jù) 獲取單元1200采集的所述路由器上通過的數(shù)據(jù)流并獲得攻擊信息。實際應用中 可以根據(jù)具體的設備是否包括第二數(shù)據(jù)獲取單元1200來決定采用哪一種凄t據(jù)流 檢測方法。所述攻擊信息包括攻擊源地址、被保護主機和攻擊特征。第二數(shù)據(jù)檢測單元2200,用于檢測過濾來自所述第一數(shù)據(jù)獲取單元2100獲 取的網(wǎng)路中的上行數(shù)據(jù)流,并得到來自被保護主機的上行數(shù)據(jù)信息。所述來自 被保護主機的上行數(shù)據(jù)信息具體為來自被保護主機的上行數(shù)據(jù)包頭,包括數(shù) 據(jù)鏈路層包頭、網(wǎng)絡層包頭和傳輸層包頭以及可能需要用到的其他層數(shù)據(jù)包頭。
數(shù)據(jù)發(fā)送單元2300,用于將所述攻擊信息發(fā)送到清洗裝置和將來自被保護 主機的上行數(shù)據(jù)包頭補償?shù)骄W(wǎng)絡雙向會話表,從而清洗裝置能夠得到雙向數(shù)據(jù) 流進行分析和清洗。
本發(fā)明實施例分布式拒絕服務攻擊的測控裝置通過第一數(shù)據(jù)獲取設備1100 采用分光或鏡像方法獲取網(wǎng)路中的數(shù)據(jù)流,或通過第二數(shù)據(jù)獲取設備1200通過 網(wǎng)絡流量技術采樣采集網(wǎng)路中的數(shù)據(jù)流,再由第一數(shù)據(jù)4企測單元2100檢測得到 所述數(shù)據(jù)流中的攻擊信息,并由第二數(shù)據(jù);險測單元2200對網(wǎng)路中的上行數(shù)據(jù)流 進行過濾得到來自被保護主機的上行數(shù)據(jù)包頭補償?shù)诫p向會話表,使得網(wǎng)絡清 洗裝置能夠得到雙向數(shù)據(jù)流進行DDoS分析,提高清洗裝置對攻擊數(shù)據(jù)流的清洗 準確率。本發(fā)明可以通過第一或第二數(shù)據(jù)獲取單元獲取網(wǎng)路中的數(shù)據(jù)流,還可 以通過第一或第二數(shù)據(jù)檢測單元對所述數(shù)據(jù)流進行分析得到攻擊信息,因此本 發(fā)明無論對流量洪水型還是非流量洪水型DDoS攻擊的清洗效果都比較好。
本發(fā)明的再一個實施例提供一種分布式拒絕服務攻擊的清洗裝置,能夠解 決網(wǎng)絡清洗裝置只能獲得單向網(wǎng)路流量進行清洗而造成的清洗準確度較低的問 題。
本發(fā)明的實施例采用如下技術方案
如圖6所示, 一種分布式拒絕服務攻擊的清洗裝置,包括 引流單元3100,用于通過BGP更新將測控裝置得到的攻擊源地址通知網(wǎng)路 中被保護主機上游的相應路由器并由所述路由器更改路由信息,將網(wǎng)路中目標 為被保護主機的下行數(shù)據(jù)流從所述路由器中引出并發(fā)送到攻擊類型識別單元i
雙向會話建立單元3200,用于建立由來自被保護主機的上行數(shù)據(jù)信息配合 得到的雙向會話表;
攻擊類型識別單元3300,用于通過算法分析和策略匹配,識別正在進行的攻擊類型;
清洗單元3400,用于分析所述攻擊類型和所述雙向會話表并清洗所述目標 為被保護主機的下行數(shù)據(jù)流并濾除攻擊數(shù)據(jù)流,具體為通過識別偽造源地址、 過濾非法數(shù)據(jù)包和速率限制濾除來自攻擊源的攻擊數(shù)據(jù)流,上述為一種常用的 網(wǎng)絡攻擊數(shù)據(jù)流清洗方法,但本發(fā)明并不局限于此,
回注單元3500,用于將所述清洗單元清洗后的所述下行數(shù)據(jù)流回注到所述
的其他層的路由器。
本發(fā)明實施例分布式拒絕服務攻擊的清洗裝置通過引流單元3100將網(wǎng)路中 目標為被保護主機的下4亍流量進行引流,通過雙向會話建立單元3200建立雙向 會話表來幫助清洗單元3400對網(wǎng)路中的攻擊數(shù)據(jù)流進行分析和清洗處理,并由 回注單元3500將清洗后的所述下行數(shù)據(jù)流回注到網(wǎng)路中,能夠通過補償雙向會 話表的方法使清洗單元3400得到雙向數(shù)據(jù)流進行流量DDoS分析,從而提高了 清洗中心3400對攻擊數(shù)據(jù)流的清洗準確率。本發(fā)明無i侖對流量洪水型或非流量 洪水型DDoS都能達到較好的防御效果。另外,本發(fā)明實施例的設備較為簡單, 節(jié)省了成本。
本發(fā)明的另 一個實施例提供了 一種分布式拒絕服務攻擊的防御系統(tǒng),能夠 解決網(wǎng)絡清洗裝置只能獲得單向網(wǎng)路數(shù)據(jù)流進行清洗而造成的清洗準確度較低 的問題。
如圖7所示,本發(fā)明實施例分布式拒絕服務攻擊的防御系統(tǒng)包括 數(shù)據(jù)獲取設備1000,用于獲取網(wǎng)路中的數(shù)據(jù)流;
檢測設備2000,用于檢測所述數(shù)據(jù)流,獲得攻擊信息和來自被保護主機的 上行數(shù)據(jù)信息,將所述攻擊信息發(fā)送到清洗裝置,并將所述來自被保護主機的上 行數(shù)據(jù)信息補償?shù)诫p向會話表;
清洗裝置3000,用于對網(wǎng)路中目標為被保護主機的下行數(shù)據(jù)流進行引流和 清洗處理。
本發(fā)明實施例分布式拒絕服務攻擊的防御系統(tǒng)可以采用上述實施例分布式拒絕服務攻擊的測控裝置中的所釆用的數(shù)據(jù)獲取設備與檢測設備,也可以采用 上述分布式拒絕服務攻擊的清洗裝置。所述來自被保護主機的上行數(shù)據(jù)信息,
包括來自被保護主機的上行數(shù)據(jù)包頭,包括數(shù)據(jù)鏈路層包頭、網(wǎng)絡層包頭和 傳輸層包頭以及可能用到的其他層數(shù)據(jù)包頭。
本發(fā)明實施例分布式拒絕服務攻擊的防御系統(tǒng)通過數(shù)據(jù)獲取設備1000獲取 網(wǎng)路中的數(shù)據(jù)流,再由檢測設備2000進行檢測獲得攻擊信息和來自被保護主機 的上行數(shù)據(jù)包頭,將攻擊信息發(fā)送到清洗裝置,并將所述來自被保護主機的上行 數(shù)據(jù)包頭補償?shù)诫p向會話表,最后由清洗裝置對網(wǎng)路中目標為被保護主機的下 行數(shù)據(jù)流進行引流和清洗處理,能夠通過補償雙向會話表的方法使清洗裝置得 到雙向數(shù)據(jù)流進行流量DDoS分析,從而提高了清洗裝置對攻擊數(shù)據(jù)流的清洗準 確率。本發(fā)明無論對流量洪水型或非流量洪水型DDoS都能達到較好的防御效果。 另外,本發(fā)明實施例的設備較為簡單,節(jié)省了成本。
是可以通過計算機程序來指令相關的硬件來完成,所述的程序可存儲于 一計算 機可讀取存儲介質(zhì)中,該程序在執(zhí)行時,可包括如上述各方法的實施例的流程。 其中,所述的存儲介質(zhì)可為》茲碟、光盤、只讀存儲記憶體(Read-Only Memory, ROM)或隨機存儲記憶體(Random Access Memory, RAM)等。
以上所述,僅為本發(fā)明的具體實施方式
,但本發(fā)明的保護范圍并不局限于 此,任何熟悉本技術領域的技術人員在本發(fā)明揭露的技術范圍內(nèi),可輕易想到 變化或替換,都應涵蓋在本發(fā)明的保護范圍之內(nèi)。因此,本發(fā)明的保護范圍應 以權利要求的保護范圍為準。
權利要求
1、一種分布式拒絕服務攻擊的防御方法,其特征在于,獲取并檢測網(wǎng)路中的數(shù)據(jù)流,獲得攻擊信息;獲取并過濾網(wǎng)路中的上行數(shù)據(jù)流,獲得來自被保護主機的上行數(shù)據(jù)信息;根據(jù)所述攻擊信息和所述來自被保護主機的上行數(shù)據(jù)信息,對所述網(wǎng)路中目標為被保護主機的下行數(shù)據(jù)流進行引流、補償和清洗處理。
2、 如權利要求1所述的分布式拒絕服務攻擊的防御方法,其特征在于,所 述獲取并檢測網(wǎng)路中的數(shù)據(jù)流,獲得攻擊信息包括通過分光或鏡像獲取網(wǎng)路中的數(shù)據(jù)流并通過算法分析和策略匹配檢測所述 數(shù)據(jù)流,獲得攻擊信息;或通過網(wǎng)絡流量采樣采集網(wǎng)路中網(wǎng)絡轉(zhuǎn)發(fā)設備上通過的數(shù)據(jù)流,進行流量 分析檢測所述網(wǎng)絡轉(zhuǎn)發(fā)設備上通過的數(shù)據(jù)流,獲得攻擊信息。
3、 如權利要求1所述的分布式拒絕服務攻擊的防御方法,其特征在于,所 述攻擊信息包括攻擊源地址、被保護主機和攻擊特征。
4、 如權利要求1所述的分布式拒絕服務攻擊的防御方法,其特征在于,所 述獲取并檢測網(wǎng)路中的上行數(shù)據(jù)流包括通過分光或鏡像獲取網(wǎng)路中的上行數(shù)據(jù)流并進行檢測。
5、 如權利要求4所述的分布式拒絕服務攻擊的防御方法,其特征在于,所 述來自被保護主機的上行數(shù)據(jù)信息包括來自被保護主機的上行數(shù)據(jù)包頭,包括數(shù)據(jù)鏈路層包頭、網(wǎng)絡層包頭和傳輸層包頭。
6、 如權利要求1至5任一項所述的分布式拒絕服務攻擊的防御方法,其特 征在于,所述對所述網(wǎng)路中目標為被保護主機的下行數(shù)據(jù)流進行引流、補償和 清洗處理包括將所述網(wǎng)路中目標為被保護主機的下行數(shù)據(jù)流進行引流;建立會話表,將所述來自被保護主機的上行數(shù)據(jù)信息補償?shù)剿鰰挶硇?成雙向會話表;對網(wǎng)路中目標為被保護主機的下行數(shù)據(jù)流進行清洗處理。
7、 如權利要求6所述的分布式拒絕服務攻擊的防御方法,其特征在于,所 述將網(wǎng)路中目標為被保護主機的下行數(shù)據(jù)流進行引流包括通過邊界網(wǎng)關協(xié)議更改相應網(wǎng)絡轉(zhuǎn)發(fā)設備的路由信息,將目標為被保護主 機的下行數(shù)據(jù)流從所述網(wǎng)絡轉(zhuǎn)發(fā)設備中引出。
8、 如權利要求7所述的分布式拒絕服務攻擊的防御方法,其特征在于,所 述將網(wǎng)路中目標為被保護主機的下行數(shù)據(jù)流進行清洗處理包括通過算法分析和策略匹配,識別攻擊類型;分析攻擊類型和所述雙向會話表,對所述目標為被保護主機的下行數(shù)據(jù)流 進行清洗;把清洗后的所述下行數(shù)據(jù)流回注到所述被保護主機的上游網(wǎng)路。
9、 如權利要求8所述的分布式拒絕服務攻擊的防御方法,其特征在于,所 述對所述目標為被保護主機的下行數(shù)據(jù)流進行清洗包括通過識別偽造源地址、過濾非法數(shù)據(jù)包和速率限制濾除來自所述攻擊源的 攻擊數(shù)據(jù)流。
10、 一種分布式拒絕服務攻擊的測控裝置,其特征在于,包括 數(shù)據(jù)獲取設備,用于獲取網(wǎng)路中的數(shù)據(jù)流;檢測設備,用于檢測所述數(shù)據(jù)流,獲得攻擊信息和來自被保護主機的上行 數(shù)據(jù)信息,將所述攻擊信息發(fā)送到清洗裝置,并將所述來自被保護主機的上行數(shù) 據(jù)信息補償?shù)诫p向會話表。
11、 如權利要求IO所述的分布式拒絕服務攻擊的測控裝置,其特征在于, 所述數(shù)據(jù)獲取設備包括第一數(shù)據(jù)獲取單元,用于通過分光或鏡像獲取所述網(wǎng)路中的數(shù)據(jù)流。
12、 如權利要求11所述的分布式拒絕服務攻擊的測控裝置,其特征在于, 所述數(shù)據(jù)獲取設備還包括第二數(shù)據(jù)獲取單元,用于通過網(wǎng)絡流量釆樣采集網(wǎng)路中網(wǎng)絡轉(zhuǎn)發(fā)設備上通 過的數(shù)據(jù)流。
13、 如權利要求12所述的分布式拒絕服務攻擊的測控裝置,其特征在于, 所述檢測設備包括第一數(shù)據(jù)檢測單元,用于檢測所述第一或第二數(shù)據(jù)獲取單元獲取的所述網(wǎng) 路中的數(shù)據(jù)流,獲取攻擊信息;第二數(shù)據(jù)檢測單元,用于檢測所述第一數(shù)據(jù)獲取單元獲取的所述網(wǎng)路中的 上行數(shù)據(jù)流,獲取來自被保護主機的上行數(shù)據(jù)信息;數(shù)據(jù)發(fā)送單元,用于將所述攻擊信息發(fā)送到清洗裝置,并將所述來自被保 護主機的上行數(shù)據(jù)信息4卜償?shù)诫p向會話表。
14、 如權利要求13所述的分布式拒絕服務攻擊的測控裝置,其特征在于, 所述第一數(shù)據(jù)檢測單元用于通過算法分析和策略匹配檢測所述第一數(shù)據(jù)獲取單 元獲取的數(shù)據(jù)流并獲得攻擊信息。
15、 如權利要求13所述的分布式拒絕服務攻擊的測控裝置,其特征在于, 所述第一數(shù)據(jù)檢測單元用于通過流量分析所述第二數(shù)據(jù)獲取單元采集的網(wǎng)絡轉(zhuǎn) 發(fā)設備上通過的數(shù)據(jù)流并獲得攻擊信息。
16、 如權利要求10至15任一項所述的分布式拒絕服務攻擊的測控裝置, 其特征在于,所述攻擊信息包括攻擊源地址、被保護主機和攻擊特征。
17、 如權利要求16所述的分布式拒絕服務攻擊的測控裝置,其特征在于, 所述來自被保護主機的上行數(shù)據(jù)信息,包括來自被保護主機的上行數(shù)據(jù)包頭, 包括數(shù)據(jù)鏈路層包頭、網(wǎng)絡層包頭和傳輸層包頭。
18、 一種分布式拒絕服務攻擊的清洗裝置,其特征在于,包括引流單元,用于將測控裝置得到的攻擊源地址通知網(wǎng)3各中相應網(wǎng)絡轉(zhuǎn)發(fā)設 備并由所述網(wǎng)絡轉(zhuǎn)發(fā)設備更改路由信息,將網(wǎng)路中目標為被保護主機的下行數(shù) 據(jù)流從所述網(wǎng)絡轉(zhuǎn)發(fā)設備中引出并發(fā)送到攻擊類型識別單元;雙向會話建立單元,用于建立由來自被保護主機的上行數(shù)據(jù)信息配合得到 的雙向會話表;攻擊類型識別單元,用于通過算法分析和策略匹配,識別正在進行的攻擊類型;清洗單元,用于分析所述攻擊類型和雙向會話表并清洗所述目標為被保護 主機的下行數(shù)據(jù)流,濾除攻擊數(shù)據(jù)流;回注單元,用于將所述清洗單元清洗后的所述下行數(shù)據(jù)流回注到所述被保 護主才幾的上游網(wǎng)3各。
19、 如權利要求18所述的分布式拒絕服務攻擊的清洗裝置,其特征在于, 所述清洗所述目標為被保護主機的下行數(shù)據(jù)流并濾除攻擊數(shù)據(jù)流包括通過識別偽造源地址、過濾非法數(shù)據(jù)包和速率限制濾除來自攻擊源的攻擊 數(shù)據(jù)流。
20、 如權利要求18或19所述的分布式拒絕服務攻擊的清洗裝置,其特征 在于,所述來自被保護主機的上行數(shù)據(jù)信息具體為來自被保護主機的上行數(shù)據(jù) 包頭,包括數(shù)據(jù)鏈路層包頭、網(wǎng)絡層包頭和傳輸層包頭。
21、 一種分布式拒絕服務攻擊的防御系統(tǒng),其特征在于,包括 數(shù)據(jù)獲取設備,用于獲取網(wǎng)路中的數(shù)據(jù)流;檢測設備,用于檢測所述數(shù)據(jù)流,獲得攻擊信息和來自被保護主機的上行數(shù) 據(jù)信息,將所述攻擊信息發(fā)送到清洗裝置,并將所述來自被保護主機的上行數(shù)據(jù) 信息補償?shù)诫p向會話表;清洗裝置,用于對網(wǎng)路中目標為被保護主機的下行數(shù)據(jù)流進行引流和清洗處理。
22、 如權利要求21所述的分布式拒絕服務攻擊的防御系統(tǒng),其特征在于, 所述來自被保護主機的上行數(shù)據(jù)信息,包括來自被保護主機的上行數(shù)據(jù)包頭, 包括數(shù)據(jù)鏈路層包頭、網(wǎng)絡層包頭和傳輸層包頭。
全文摘要
本發(fā)明實施例公開了一種分布式拒絕服務攻擊的防御方法、裝置和系統(tǒng),涉及網(wǎng)絡技術。為了解決現(xiàn)有的網(wǎng)絡清洗裝置只能獲得單向數(shù)據(jù)流進行清洗而造成的清洗準確度較低的問題,本發(fā)明實施例分布式拒絕服務攻擊的防御方法,包括獲取并檢測網(wǎng)路中的數(shù)據(jù)流,獲得攻擊信息;獲取并過濾網(wǎng)路中的上行數(shù)據(jù)流,獲得來自被保護主機的上行數(shù)據(jù)信息;根據(jù)所述攻擊信息和所述來自被保護主機的上行數(shù)據(jù)信息,對所述網(wǎng)路中目標為被保護主機的下行數(shù)據(jù)流進行引流、補償和清洗處理。本發(fā)明實施例還提供一種分布式拒絕服務攻擊的測控裝置、清洗裝置和防御系統(tǒng)。本發(fā)明適用于網(wǎng)絡技術中的分布式拒絕服務攻擊的檢測和防御。
文檔編號H04L29/06GK101309150SQ200810129149
公開日2008年11月19日 申請日期2008年6月30日 優(yōu)先權日2008年6月30日
發(fā)明者孫志敏, 靜 張, 武 蔣 申請人:華為技術有限公司