專利名稱:一種網(wǎng)絡(luò)攻擊防御檢測(cè)方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及計(jì)算機(jī)技術(shù)領(lǐng)域中的信息安全技術(shù)領(lǐng)域,尤其涉及一種網(wǎng)絡(luò)攻擊防御檢測(cè)方法及系統(tǒng)。
背景技術(shù):
當(dāng)前網(wǎng)絡(luò)安全威脅日益嚴(yán)重,防火墻作為網(wǎng)絡(luò)安全防護(hù)的第一道防線,能有效抵御掃描窺探、拒絕服務(wù)等多種攻擊,保護(hù)內(nèi)部網(wǎng)絡(luò)和系統(tǒng)的正常運(yùn)行。為避免防火墻單點(diǎn)故障而導(dǎo)致網(wǎng)絡(luò)中斷的風(fēng)險(xiǎn),通常使用雙機(jī)熱備組網(wǎng)技術(shù)來(lái)提升網(wǎng)絡(luò)的可靠性。進(jìn)行雙機(jī)熱備組網(wǎng)的兩臺(tái)防火墻設(shè)備間通過(guò)專有線路互連;該專有線路用于會(huì)話表項(xiàng)同步,具體是將兩臺(tái)設(shè)備各自的會(huì)話表項(xiàng)分別備份到對(duì)方。當(dāng)一臺(tái)設(shè)備發(fā)生故障時(shí),流量能迅速切換到另一臺(tái)設(shè)備,由于另一臺(tái)設(shè)備存在備份的會(huì)話表項(xiàng),因此切換后的流量能繼續(xù)處理、保證不會(huì)被中斷。雙機(jī)熱備組網(wǎng)技術(shù)具體又可分為主備模式(Active-Mandby)和主主模式 (Active-Active)。主備模式是指主用設(shè)備處理全部業(yè)務(wù),備用設(shè)備僅做備份。主主模式則是指兩臺(tái)設(shè)備都為主用設(shè)備并處理業(yè)務(wù),同時(shí)又互為備份,當(dāng)其中一臺(tái)主用設(shè)備出現(xiàn)故障時(shí),另一臺(tái)主用設(shè)備持續(xù)處理全部業(yè)務(wù)。因此,主主模式實(shí)際上就是在主備模式的基礎(chǔ)上進(jìn)行流量負(fù)載分擔(dān),以提高設(shè)備利用率的一種組網(wǎng)應(yīng)用。圖1所示為兩臺(tái)主用防火墻設(shè)備采用主主模式進(jìn)行雙機(jī)熱備組網(wǎng)示意圖,其中, 用戶終端和服務(wù)器間的互訪業(yè)務(wù)流量的處理,在第一主用防火墻設(shè)備和第二主用防火墻設(shè)備之間進(jìn)行負(fù)載分擔(dān),兩臺(tái)主用防火墻設(shè)備各自完成自身的業(yè)務(wù)流量處理,并互相向?qū)Ψ絺浞輹?huì)話表項(xiàng)?,F(xiàn)有技術(shù)中,在防火墻設(shè)備側(cè),為了穩(wěn)定、高效的對(duì)經(jīng)過(guò)自身的業(yè)務(wù)流量進(jìn)行處理,將進(jìn)行網(wǎng)絡(luò)攻擊防御檢測(cè),例如,針對(duì)掃描窺探、SYN FLOOD攻擊和FLOW FLOOD攻擊等流量攻擊方式進(jìn)行攻擊防御檢測(cè),具體可預(yù)先設(shè)定流量閾值,當(dāng)異常流量達(dá)到該流量閾值時(shí), 表示受到流量攻擊,當(dāng)異常流量未達(dá)到該流量閾值時(shí),表示未受到流量攻擊。目前,在雙機(jī)熱備組網(wǎng)系統(tǒng)中,兩臺(tái)主用設(shè)備對(duì)網(wǎng)絡(luò)攻擊的防御檢測(cè)是各自獨(dú)立進(jìn)行的,例如,在兩臺(tái)主用設(shè)備上基于相同的流量閾值進(jìn)行檢測(cè),該流量閾值可以為使用一臺(tái)主用設(shè)備對(duì)全部業(yè)務(wù)流量進(jìn)行處理時(shí)預(yù)設(shè)的流量閾值的一半,所以,當(dāng)網(wǎng)絡(luò)異常流量經(jīng)過(guò)負(fù)載分擔(dān)到兩臺(tái)主用設(shè)備上,由兩臺(tái)主用設(shè)備分別獨(dú)立進(jìn)行攻擊防御檢測(cè)時(shí),可能會(huì)由于負(fù)載分擔(dān)的不均衡,出現(xiàn)第一臺(tái)主用設(shè)備接收的異常流量,遠(yuǎn)大于第二臺(tái)主用設(shè)備接收的異常流量的情況,且第一臺(tái)主用設(shè)備基于流量閾值確定受到攻擊檢測(cè),第二臺(tái)主用設(shè)備基于流量閾值確定未受到攻擊檢測(cè),然而,此時(shí)兩臺(tái)主用設(shè)備所接收的異常流量的和值,可能未達(dá)到該流量閾值的和,即實(shí)際情況為未受到流量攻擊,使得檢測(cè)結(jié)果與實(shí)際情況不符, 造成檢測(cè)結(jié)果的不準(zhǔn)確。并且,當(dāng)兩臺(tái)主用設(shè)備中一臺(tái)主用設(shè)備故障時(shí),另一臺(tái)主用設(shè)備將分擔(dān)全部負(fù)載, 此時(shí)基于該流量閾值進(jìn)行檢測(cè),也將導(dǎo)致檢測(cè)結(jié)果的不準(zhǔn)確。
發(fā)明內(nèi)容
本發(fā)明實(shí)施例提供一種網(wǎng)絡(luò)攻擊防御檢測(cè)方法及系統(tǒng),用以解決現(xiàn)有技術(shù)中存在的采用主主模式的雙機(jī)熱備組網(wǎng)系統(tǒng)中主用設(shè)備進(jìn)行網(wǎng)絡(luò)攻擊防御檢測(cè)不準(zhǔn)確的問(wèn)題。本發(fā)明實(shí)施例提供一種網(wǎng)絡(luò)攻擊防御檢測(cè)方法,包括第一主用設(shè)備確定自身的第一當(dāng)前異常流量;并當(dāng)所述第一當(dāng)前異常流量大于等于第一流量閾值且小于第二流量閾值時(shí),將所述第一當(dāng)前異常流量中超過(guò)第三流量閾值的異常流量,傳輸給第二主用設(shè)備,所述第二流量閾值大于所述第一流量閾值,所述第三流量閾值為所述第一流量閾值減去調(diào)整閾值的差值,所述第二主用設(shè)備與所述第一主用設(shè)備為雙機(jī)熱備組網(wǎng)系統(tǒng)中的兩個(gè)主用設(shè)備;所述第二主用設(shè)備確定自身的第二當(dāng)前異常流量,所述第二當(dāng)前異常流量中包括所述第一主用設(shè)備傳輸?shù)漠惓A髁?;并?dāng)所述第二當(dāng)前異常流量大于等于第四流量閾值時(shí),確定所述雙機(jī)熱備組網(wǎng)系統(tǒng)受到流量攻擊,以及當(dāng)所述第二當(dāng)前異常流量小于所述第四流量閾值時(shí),確定所述雙機(jī)熱備組網(wǎng)系統(tǒng)未受到流量攻擊,所述第四流量閾值為所述第一流量閾值加上所述調(diào)整閾值的和值。本發(fā)明實(shí)施例還提供一種網(wǎng)絡(luò)攻擊防御檢測(cè)系統(tǒng),包括雙機(jī)熱備組網(wǎng)系統(tǒng)中的第一主用設(shè)備和第二主用設(shè)備,其中所述第一主用設(shè)備,用于確定自身的第一當(dāng)前異常流量;并當(dāng)所述第一當(dāng)前異常流量大于等于第一流量閾值且小于第二流量閾值時(shí),將所述第一當(dāng)前異常流量中超過(guò)第三流量閾值的異常流量,傳輸給第二主用設(shè)備,所述第二流量閾值大于所述第一流量閾值,所述第三流量閾值為所述第一流量閾值減去調(diào)整閾值的差值;所述第二主用設(shè)備,用于確定自身的第二當(dāng)前異常流量,所述第二當(dāng)前異常流量中包括所述第一主用設(shè)備傳輸?shù)漠惓A髁浚徊?dāng)所述第二當(dāng)前異常流量大于等于第四流量閾值時(shí),確定所述雙機(jī)熱備組網(wǎng)系統(tǒng)受到流量攻擊,以及當(dāng)所述第二當(dāng)前異常流量小于所述第四流量閾值時(shí),確定所述雙機(jī)熱備組網(wǎng)系統(tǒng)未受到流量攻擊,所述第四流量閾值為所述第一流量閾值加上所述調(diào)整閾值的和值。本發(fā)明有益效果包括本發(fā)明實(shí)施例提供的方法中,當(dāng)?shù)谝恢饔迷O(shè)備的第一當(dāng)前異常流量大于等于第一流量閾值且小于第二流量閾值時(shí),將第一當(dāng)前異常流量中超過(guò)第三流量閾值的異常流量, 傳輸給第二主用設(shè)備,第二主用設(shè)備確定此時(shí)自身的第二當(dāng)前異常流量是否大于等于第四流量閾值,如果確定結(jié)果為大于等于,則確定該雙機(jī)熱備組網(wǎng)系統(tǒng)受到流量攻擊,如果確定結(jié)果為小于,則確定該雙機(jī)熱備組網(wǎng)系統(tǒng)未受到流量攻擊。從中可知,由于第三流量閾值和第四流量閾值的和值為第一流量閾值的2倍,當(dāng)確定受到流量攻擊時(shí),兩臺(tái)主用設(shè)備的異常流量的和值大于等于第一流量閾值的2倍,即實(shí)質(zhì)是根據(jù)兩臺(tái)主用設(shè)備的異常流量的和值進(jìn)行攻擊防御檢測(cè),因此,相比現(xiàn)有技術(shù)中每臺(tái)主用設(shè)備獨(dú)立的基于自身的異常流量進(jìn)行攻擊防御檢測(cè)的方案,提高了檢測(cè)結(jié)果的準(zhǔn)確性。
圖1為兩臺(tái)主用防火墻設(shè)備采用主主模式進(jìn)行雙機(jī)熱備組網(wǎng)的示意圖;圖2為本發(fā)明實(shí)施例提供的網(wǎng)絡(luò)攻擊防御檢測(cè)方法的流程圖;圖3為本發(fā)明實(shí)施例1中提供的網(wǎng)絡(luò)攻擊防御檢測(cè)方法的流程圖;圖4為本發(fā)明實(shí)施例2中提供的網(wǎng)絡(luò)攻擊防御檢測(cè)系統(tǒng)的結(jié)構(gòu)示意圖。
具體實(shí)施例方式為了給出提高采用主主模式的雙機(jī)熱備組網(wǎng)系統(tǒng)中主用設(shè)備進(jìn)行網(wǎng)絡(luò)攻擊防御檢測(cè)的準(zhǔn)確性實(shí)現(xiàn)方案,本發(fā)明實(shí)施例提供了一種網(wǎng)絡(luò)攻擊防御檢測(cè)方法及系統(tǒng),以下結(jié)合說(shuō)明書附圖對(duì)本發(fā)明的優(yōu)選實(shí)施例進(jìn)行說(shuō)明,應(yīng)當(dāng)理解,此處所描述的優(yōu)選實(shí)施例僅用于說(shuō)明和解釋本發(fā)明,并不用于限定本發(fā)明。并且在不沖突的情況下,本申請(qǐng)中的實(shí)施例及實(shí)施例中的特征可以相互組合。本發(fā)明實(shí)施例提供一種網(wǎng)絡(luò)攻擊防御檢測(cè)方法,如圖2所示,包括步驟S201、第一主用設(shè)備確定自身的第一當(dāng)前異常流量。步驟S202、當(dāng)?shù)谝划?dāng)前異常流量大于等于第一流量閾值且小于第二流量閾值時(shí), 第一主用設(shè)備將第一當(dāng)前異常流量中超過(guò)第三流量閾值的異常流量,傳輸給第二主用設(shè)備,第二流量閾值大于第一流量閾值,第三流量閾值為第一流量閾值減去調(diào)整閾值的差值, 第二主用設(shè)備與第一主用設(shè)備為雙機(jī)熱備組網(wǎng)系統(tǒng)中的兩個(gè)主用設(shè)備。步驟S203、第二主用設(shè)備確定自身的第二當(dāng)前異常流量,第二當(dāng)前異常流量中包括第一主用設(shè)備傳輸?shù)漠惓A髁?。步驟S204、當(dāng)?shù)诙?dāng)前異常流量大于等于第四流量閾值時(shí),確定該雙機(jī)熱備組網(wǎng)系統(tǒng)受到流量攻擊,以及當(dāng)?shù)诙?dāng)前異常流量小于第四流量閾值時(shí),確定該雙機(jī)熱備組網(wǎng)系統(tǒng)未受到流量攻擊,第四流量閾值為第一流量閾值加上該調(diào)整閾值的和值。較佳的,在第一主用設(shè)備確定第一當(dāng)前異常流量是否大于等于第一流量閾值之前,還包括第一主用設(shè)備確定第二主用設(shè)備處于正常狀態(tài);即上述步驟S201至步驟S204 所執(zhí)行的攻擊防御檢測(cè)方法,是在第二主用設(shè)備處于正常工作狀態(tài)時(shí)執(zhí)行,相應(yīng)的,如果第二主用設(shè)備處于異常狀態(tài),則采用如下步驟執(zhí)行攻擊防御檢測(cè),具體包括第一主用設(shè)備確定第一當(dāng)前異常流量是否大于等于第二流量閾值;如果大于等于,第一主用設(shè)備確定該雙機(jī)熱備組網(wǎng)系統(tǒng)受到流量攻擊;如果小于,第一主用設(shè)備確定該雙機(jī)熱備組網(wǎng)系統(tǒng)未受到流量攻擊。下面結(jié)合附圖,用具體實(shí)施例對(duì)本發(fā)明提供的方法及相應(yīng)系統(tǒng)進(jìn)行詳細(xì)描述。實(shí)施例1 圖3所示為本發(fā)明實(shí)施例1提供網(wǎng)絡(luò)攻擊防御檢測(cè)方法的流程圖,具體包括如下處理步驟步驟S301、雙機(jī)熱備組網(wǎng)系統(tǒng)中的第一主用設(shè)備基于預(yù)設(shè)的設(shè)備狀態(tài)檢測(cè)機(jī)制, 確定該雙機(jī)熱備組網(wǎng)系統(tǒng)中的第二主用設(shè)備是否處于正常狀態(tài),例如,基于心跳檢測(cè)機(jī)制進(jìn)行檢測(cè)。如果處于正常狀態(tài),進(jìn)入步驟S302,如果處于異常狀態(tài),進(jìn)入步驟S312。步驟S302、第一主用設(shè)備當(dāng)檢測(cè)到第二主用設(shè)備處于正常狀態(tài)時(shí),確定進(jìn)入第一種攻擊防御檢測(cè)機(jī)制,即如下步驟S303至步驟S307所執(zhí)行的攻擊防御檢測(cè)機(jī)制。
步驟S303、第一主用設(shè)備確定自身的當(dāng)前異常流量(為便于區(qū)分,后續(xù)將第一主用設(shè)備的當(dāng)前異常流量稱作第一當(dāng)前異常流量),并判斷第一當(dāng)前異常流量是否大于等于第一流量閾值,如果小于第一流量閾值,進(jìn)入步驟S304,如果大于等于第一流量閾值,進(jìn)入步驟S305。本步驟中,對(duì)于自身接收的流量中哪些是異常流量,可以采用現(xiàn)有技術(shù)中的各種異常流量判定機(jī)制,在此不再進(jìn)行詳細(xì)描述。本發(fā)明實(shí)施例中,可以預(yù)先設(shè)置檢測(cè)周期,并在檢測(cè)周期到達(dá)時(shí),觸發(fā)執(zhí)行本步
馬聚ο步驟S304、第一主用設(shè)備確定該雙機(jī)熱備組網(wǎng)系統(tǒng)未受到流量攻擊。步驟S305、第一主用設(shè)備判斷第一當(dāng)前異常流量是否大于等于第二流量閾值,如果大于等于第二流量閾值,進(jìn)入步驟S306,如果小于第二流量閾值,進(jìn)入步驟S307。其中,第二流量閾值大于第一流量閾值,具體較佳的,可以設(shè)置第二流量閾值為第一流量閾值的2倍。步驟S306、第一主用設(shè)備確定該雙機(jī)熱備組網(wǎng)系統(tǒng)受到流量攻擊。步驟S307、第一主用設(shè)備將第一當(dāng)前異常流量中超過(guò)第三流量閾值的異常流量, 傳輸給第二主用設(shè)備,其中,第三流量閾值為第一流量閾值減去調(diào)整閾值的差值。調(diào)整閾值可以設(shè)置為0,此時(shí)實(shí)質(zhì)是將第一當(dāng)前異常流量中超過(guò)第一流量閾值的異常流量,傳輸給第二主用設(shè)備。較佳的,設(shè)置調(diào)整閾值為非0值,例如當(dāng)使用每秒傳輸報(bào)文數(shù)量表征流量時(shí),可以設(shè)置調(diào)整閾值為1,目的為當(dāng)?shù)谝划?dāng)前異常流量等于第一流量閾值時(shí),能夠觸發(fā)啟動(dòng)后續(xù)與第二主用設(shè)備聯(lián)合進(jìn)行攻擊防御檢測(cè)的處理流程。步驟S308、第二主用設(shè)備在接收到第一主用設(shè)備傳輸?shù)漠惓A髁亢螅_定進(jìn)入第二種攻擊防御檢測(cè)機(jī)制,即如下步驟S309至步驟S311所執(zhí)行的攻擊防御檢測(cè)機(jī)制。步驟S309、第二主用設(shè)備確定自身的當(dāng)前異常流量(為便于區(qū)分,后續(xù)將第二主用設(shè)備的當(dāng)前異常流量稱作第二當(dāng)前異常流量),此時(shí),第二當(dāng)前異常流量中包括第一主用設(shè)備傳輸?shù)漠惓A髁浚⑴袛嗟诙?dāng)前異常流量是否大于等于第四流量閾值,如果小于第四流量閾值,進(jìn)入步驟S310,如果大于等于第四流量閾值,進(jìn)入步驟S311。其中,第四流量閾值為第一流量閾值加上上述調(diào)整閾值的和值。步驟S310、第二主用設(shè)備確定該雙機(jī)熱備組網(wǎng)系統(tǒng)未受到流量攻擊。較佳的,本步驟還可以將攻擊防御檢測(cè)的結(jié)果告知第一主用設(shè)備,具體可以為,第二主用設(shè)備將第一主用設(shè)備傳輸?shù)漠惓A髁咳炕貍鹘o第一主用設(shè)備,相應(yīng)的,第一主用設(shè)備基于接收的第二主用設(shè)備回傳的異常流量為,之前傳輸給第二主用設(shè)備的全部異常流量,確定該雙機(jī)熱備組網(wǎng)系統(tǒng)未受到流量攻擊。步驟S311、第二主用設(shè)備確定該雙機(jī)熱備組網(wǎng)系統(tǒng)受到流量攻擊。較佳的,本步驟還可以將攻擊防御檢測(cè)的結(jié)果告知第一主用設(shè)備,具體可以為第二主用設(shè)備將第一主用設(shè)備傳輸?shù)漠惓A髁恐械牟糠之惓A髁炕貍鹘o第一主用設(shè)備,相應(yīng)的,第一主用設(shè)備基于接收的第二主用設(shè)備回傳的異常流量為,之前傳輸給第二主用設(shè)備的部分異常流量,而不是全部異常流量,確定該雙機(jī)熱備組網(wǎng)系統(tǒng)受到流量攻擊;
7
或者,還可以為第二主用設(shè)備取消向第一主用設(shè)備回傳異常流量,相應(yīng)的,第一主用設(shè)備在未接收到第二主用設(shè)備回傳的異常流量時(shí),確定該雙機(jī)熱備組網(wǎng)系統(tǒng)受到流量攻擊。步驟S312、第一主用設(shè)備當(dāng)檢測(cè)到第二主用設(shè)備處于異常狀態(tài)時(shí),確定進(jìn)入第三種攻擊防御檢測(cè)機(jī)制,即如下步驟S313至步驟S315所執(zhí)行的攻擊防御檢測(cè)機(jī)制。步驟S313、第一主用設(shè)備確定自身的第一當(dāng)前異常流量,并判斷第一當(dāng)前異常流量是否大于等于第二流量閾值,如果小于第二流量閾值,進(jìn)入步驟S314,如果大于等于第二流量閾值,進(jìn)入步驟S315。即在第三種攻擊防御檢測(cè)機(jī)制中,由于第二主用設(shè)備處于異常狀態(tài),全部業(yè)務(wù)流量均由第一主用設(shè)備進(jìn)行處理,所以,此時(shí)第一主用設(shè)備基于第二流量閾值獨(dú)立的進(jìn)行攻擊防御檢測(cè)。步驟S314、第一主用設(shè)備確定該雙機(jī)熱備組網(wǎng)系統(tǒng)未受到流量攻擊。步驟S315、第一主用設(shè)備確定該雙機(jī)熱備組網(wǎng)系統(tǒng)受到流量攻擊。本發(fā)明實(shí)施例中,上述第一主用設(shè)備和第二主用設(shè)備可以是防火墻設(shè)備,也可以是其它用于對(duì)接收的業(yè)務(wù)流量進(jìn)行處理的網(wǎng)絡(luò)設(shè)備。通過(guò)上述步驟S301-步驟S315,即完成了本發(fā)明實(shí)施例提出的網(wǎng)絡(luò)攻擊防御檢測(cè)方法的處理流程,在上述處理流程中,雙機(jī)熱備組網(wǎng)系統(tǒng)中的兩臺(tái)主用設(shè)備,均可以執(zhí)行上述三種攻擊防御檢測(cè)機(jī)制,即當(dāng)對(duì)端主用設(shè)備正常時(shí),啟動(dòng)進(jìn)入第一種攻擊防御檢測(cè)機(jī)制的處理流程,當(dāng)接收到對(duì)端主用設(shè)備傳輸?shù)漠惓A髁繒r(shí),啟動(dòng)進(jìn)入第二種攻擊防御檢測(cè)機(jī)制的處理流程,通過(guò)第一種和第二種攻擊防御檢測(cè)機(jī)制的處理流程,使得在進(jìn)行攻擊防御檢測(cè)時(shí),當(dāng)確定受到流量攻擊時(shí),兩臺(tái)主用設(shè)備的異常流量的和值大于等于第一流量閾值的2倍,即實(shí)質(zhì)是根據(jù)兩臺(tái)主用設(shè)備的異常流量的和值進(jìn)行攻擊防御檢測(cè),因此,相比現(xiàn)有技術(shù)中每臺(tái)主用設(shè)備獨(dú)立的基于自身的異常流量進(jìn)行攻擊防御檢測(cè)的方案,提高了檢測(cè)結(jié)果的準(zhǔn)確性。并且,當(dāng)對(duì)端主用設(shè)備異常時(shí),啟動(dòng)進(jìn)入第三種攻擊防御檢測(cè)機(jī)制的處理流程,即僅基于第二流量閾值進(jìn)行攻擊防御檢測(cè),提高了檢測(cè)結(jié)果的準(zhǔn)確性?;趫D1所示的防火墻設(shè)備的雙機(jī)熱備組網(wǎng)系統(tǒng),對(duì)上述攻擊防御檢測(cè)方法進(jìn)行舉例描述如下假設(shè)第一主用防火墻設(shè)備和第二主用防火墻設(shè)備在進(jìn)行攻擊防御檢測(cè)時(shí),所基于的第一流量閾值為500fps (fps表示每秒傳輸報(bào)文的數(shù)量),第二流量閾值為lOOOfps,調(diào)整閾值為lfps,則相應(yīng)的,第三流量閾值為499fps,第四流量閾值為501fps,以SYN FLOOD攻擊為例,假設(shè)終端側(cè)對(duì)服務(wù)器側(cè)發(fā)起的SYN FLOOD攻擊包的發(fā)送速率為1500fps。當(dāng)其中一臺(tái)主用防火墻設(shè)備出現(xiàn)故障而異常時(shí),所有SYN FLOOD攻擊包均由另外一臺(tái)主用防火墻設(shè)備處理,而攻擊包發(fā)送速率1500fps超過(guò)攻擊檢測(cè)的第二流量閥值 IOOOfps,因此該主用防火墻設(shè)備可判定攻擊發(fā)生;當(dāng)兩臺(tái)主用防火墻設(shè)備都正常時(shí),攻擊包流量出現(xiàn)負(fù)載分擔(dān)均衡和不均衡的兩種情況,具體實(shí)施步驟如下網(wǎng)絡(luò)攻擊包流量負(fù)載較均衡情況如攻擊包經(jīng)過(guò)負(fù)載分擔(dān)后在第一主用防火墻設(shè)備和第二主用防火墻設(shè)備的報(bào)文發(fā)送速率分別為700fps和SOOfps ;
第一主用防火墻設(shè)備檢測(cè)到攻擊包發(fā)送速率達(dá)到第一流量閥值500fps,則第一主用防火墻設(shè)備將超過(guò)第三流量閥值499fps的報(bào)文流量傳輸給第二主用防火墻設(shè)備,即傳輸速率為201fps ;第二主用防火墻設(shè)備在接收到第一主用防火墻設(shè)備傳輸?shù)漠惓A髁亢螅藭r(shí)其分擔(dān)到的異常流量包括800fps和201fps,共計(jì)lOOlfps,達(dá)到第一流量閾值500fps,因此第二主用防火墻設(shè)備此時(shí)可以判定攻擊發(fā)生;并還可以直接丟棄從主用設(shè)備傳輸過(guò)來(lái)的全部異常流量,即取消向第一主用防火墻設(shè)備回傳異常流量,第一主用防火墻設(shè)備由于沒(méi)有收到回傳的異常流量,因此判定攻擊發(fā)生。網(wǎng)絡(luò)攻擊包負(fù)載不均衡情況如攻擊包經(jīng)過(guò)負(fù)載分擔(dān)后在第一主用防火墻設(shè)備和第二主用防火墻設(shè)備的報(bào)文發(fā)送速率分別為IlOOfps和400fps ;第一主用防火墻設(shè)備檢測(cè)攻擊包發(fā)送速率達(dá)到第二流量閥值lOOOfps,因此第一主用防火墻設(shè)備可直接判定攻擊發(fā)生;同時(shí)第一主用防火墻設(shè)備還可以及時(shí)通過(guò)現(xiàn)有雙機(jī)熱備組網(wǎng)技術(shù)將攻擊檢測(cè)結(jié)果同步通告給第二主用防火墻設(shè)備。實(shí)施例2 基于同一發(fā)明構(gòu)思,根據(jù)本發(fā)明上述實(shí)施例提供的網(wǎng)絡(luò)攻擊防御檢測(cè)方法,相應(yīng)地,本發(fā)明實(shí)施例2還提供了一種網(wǎng)絡(luò)攻擊防御檢測(cè)系統(tǒng),其結(jié)構(gòu)示意圖如圖4所示,具體包括雙機(jī)熱備組網(wǎng)系統(tǒng)中的第一主用設(shè)備401和第二主用設(shè)備402,其中第一主用設(shè)備401,用于確定自身的第一當(dāng)前異常流量;并當(dāng)所述第一當(dāng)前異常流量大于等于第一流量閾值且小于第二流量閾值時(shí),將所述第一當(dāng)前異常流量中超過(guò)所述第三流量閾值的異常流量,傳輸給第二主用設(shè)備402,所述第二流量閾值大于所述第一流量閾值,所述第三流量閾值為所述第一流量閾值減去調(diào)整閾值的差值;第二主用設(shè)備402,用于確定自身的第二當(dāng)前異常流量,所述第二當(dāng)前異常流量中包括所述第一主用設(shè)備401傳輸?shù)漠惓A髁?;并?dāng)所述第二當(dāng)前異常流量大于等于所述第四流量閾值時(shí),確定所述雙機(jī)熱備組網(wǎng)系統(tǒng)受到流量攻擊,以及當(dāng)所述第二當(dāng)前異常流量小于所述第四流量閾值時(shí),確定所述雙機(jī)熱備組網(wǎng)系統(tǒng)未受到流量攻擊,所述第四流量閾值為所述第一流量閾值加上所述調(diào)整閾值的和值。較佳的,第二主用設(shè)備402,還用于在確定所述雙機(jī)熱備組網(wǎng)系統(tǒng)受到流量攻擊后,將所述第一主用設(shè)備401傳輸?shù)漠惓A髁恐械牟糠之惓A髁炕貍鹘o所述第一主用設(shè)備 401,或者取消向所述第一主用設(shè)備401回傳異常流量;并在確定所述雙機(jī)組網(wǎng)系統(tǒng)未受到流量攻擊后,將所述第一主用設(shè)備401傳輸?shù)漠惓A髁咳炕貍鹘o所述第一主用設(shè)備401 ;第一主用設(shè)備401,還用于在接收到所述第二主用設(shè)備402回傳的所述部分異常流量時(shí),或者未接收到所述第二主用設(shè)備402回傳的流量時(shí),確定所述雙機(jī)熱備組網(wǎng)系統(tǒng)受到流量攻擊;并在接收到所述第二主用設(shè)備402回傳的全部異常流量時(shí),確定所述雙機(jī)熱備組網(wǎng)系統(tǒng)未受到流量攻擊。較佳的,第一主用設(shè)備401,還用于當(dāng)所述第一當(dāng)前異常流量小于所述第一流量閾值時(shí),確定所述雙機(jī)熱備組網(wǎng)系統(tǒng)未受到流量攻擊。較佳的,第一主用設(shè)備401,還用于當(dāng)所述第一當(dāng)前異常流量大于等于所述第二流量閾值時(shí),確定所述雙機(jī)熱備組網(wǎng)系統(tǒng)受到流量攻擊。較佳的,第一主用設(shè)備401,還用于在確定所述第一當(dāng)前異常流量大于等于第一流量閾值之前,確定所述第二主用設(shè)備處于正常狀態(tài)。較佳的,第一主用設(shè)備401,還用于當(dāng)確定所述第二主用設(shè)備402處于異常狀態(tài)時(shí),確定所述第一當(dāng)前異常流量是否大于等于所述第二流量閾值;如果大于等于,確定所述雙機(jī)熱備組網(wǎng)系統(tǒng)受到流量攻擊;如果小于,確定所述雙機(jī)熱備組網(wǎng)系統(tǒng)未受到流量攻擊。綜上所述,本發(fā)明實(shí)施例提供的方案,包括第一主用設(shè)備確定自身的第一當(dāng)前異常流量;并當(dāng)?shù)谝划?dāng)前異常流量大于等于第一流量閾值且小于第二流量閾值時(shí),第一主用設(shè)備將第一當(dāng)前異常流量中超過(guò)第三流量閾值的異常流量,傳輸給第二主用設(shè)備,第二流量閾值大于第一流量閾值,第三流量閾值為第一流量閾值減去調(diào)整閾值的差值,第二主用設(shè)備與第一主用設(shè)備為雙機(jī)熱備組網(wǎng)系統(tǒng)中的兩個(gè)主用設(shè)備;以及第二主用設(shè)備確定自身的第二當(dāng)前異常流量,第二當(dāng)前異常流量中包括第一主用設(shè)備傳輸?shù)漠惓A髁?;并?dāng)?shù)诙?dāng)前異常流量大于等于第四流量閾值時(shí),確定該雙機(jī)熱備組網(wǎng)系統(tǒng)受到流量攻擊,以及當(dāng)?shù)诙?dāng)前異常流量小于第四流量閾值時(shí),確定該雙機(jī)熱備組網(wǎng)系統(tǒng)未受到流量攻擊,第四流量閾值為第一流量閾值加上該調(diào)整閾值的和值。采用本發(fā)明實(shí)施例提供的方案,提高了主用設(shè)備進(jìn)行網(wǎng)絡(luò)攻擊防御檢測(cè)的準(zhǔn)確性。顯然,本領(lǐng)域的技術(shù)人員可以對(duì)本發(fā)明進(jìn)行各種改動(dòng)和變型而不脫離本發(fā)明的精神和范圍。這樣,倘若本發(fā)明的這些修改和變型屬于本發(fā)明權(quán)利要求及其等同技術(shù)的范圍之內(nèi),則本發(fā)明也意圖包含這些改動(dòng)和變型在內(nèi)。
權(quán)利要求
1.一種網(wǎng)絡(luò)攻擊防御檢測(cè)方法,其特征在于,包括 第一主用設(shè)備確定自身的第一當(dāng)前異常流量;并當(dāng)所述第一當(dāng)前異常流量大于等于第一流量閾值且小于第二流量閾值時(shí),將所述第一當(dāng)前異常流量中超過(guò)第三流量閾值的異常流量,傳輸給第二主用設(shè)備,所述第二流量閾值大于所述第一流量閾值,所述第三流量閾值為所述第一流量閾值減去調(diào)整閾值的差值,所述第二主用設(shè)備與所述第一主用設(shè)備為雙機(jī)熱備組網(wǎng)系統(tǒng)中的兩個(gè)主用設(shè)備;所述第二主用設(shè)備確定自身的第二當(dāng)前異常流量,所述第二當(dāng)前異常流量中包括所述第一主用設(shè)備傳輸?shù)漠惓A髁?;并?dāng)所述第二當(dāng)前異常流量大于等于第四流量閾值時(shí),確定所述雙機(jī)熱備組網(wǎng)系統(tǒng)受到流量攻擊,以及當(dāng)所述第二當(dāng)前異常流量小于所述第四流量閾值時(shí),確定所述雙機(jī)熱備組網(wǎng)系統(tǒng)未受到流量攻擊,所述第四流量閾值為所述第一流量閾值加上所述調(diào)整閾值的和值。
2.如權(quán)利要求1所述的方法,其特征在于,還包括所述第二主用設(shè)備在確定所述雙機(jī)熱備組網(wǎng)系統(tǒng)受到流量攻擊后,將所述第一主用設(shè)備傳輸?shù)漠惓A髁恐械牟糠之惓A髁炕貍鹘o所述第一主用設(shè)備,或者取消向所述第一主用設(shè)備回傳異常流量;所述第二主用設(shè)備在確定所述雙機(jī)熱備組網(wǎng)系統(tǒng)未受到流量攻擊后,將所述第一主用設(shè)備傳輸?shù)漠惓A髁咳炕貍鹘o所述第一主用設(shè)備;所述第一主用設(shè)備在接收到所述第二主用設(shè)備回傳的所述部分異常流量時(shí),或者未接收到所述第二主用設(shè)備回傳的流量時(shí),確定所述雙機(jī)熱備組網(wǎng)系統(tǒng)受到流量攻擊;所述第一主用設(shè)備在接收到所述第二主用設(shè)備回傳的全部異常流量時(shí),確定所述雙機(jī)熱備組網(wǎng)系統(tǒng)未受到流量攻擊。
3.如權(quán)利要求1所述的方法,其特征在于,還包括當(dāng)所述第一當(dāng)前異常流量小于所述第一流量閾值時(shí),所述第一主用設(shè)備確定所述雙機(jī)熱備組網(wǎng)系統(tǒng)未受到流量攻擊。
4.如權(quán)利要求3所述的方法,其特征在于,還包括當(dāng)所述第一當(dāng)前異常流量大于等于所述第二流量閾值時(shí),所述第一主用設(shè)備確定所述雙機(jī)熱備組網(wǎng)系統(tǒng)受到流量攻擊。
5.如權(quán)利要求1所述的方法,其特征在于,在確定所述第一當(dāng)前異常流量大于等于第一流量閾值之前,還包括所述第一主用設(shè)備確定所述第二主用設(shè)備處于正常狀態(tài)。
6.如權(quán)利要求5所述的方法,其特征在于,還包括當(dāng)所述第一主用設(shè)備確定所述第二主用設(shè)備處于異常狀態(tài)時(shí),所述第一主用設(shè)備確定所述第一當(dāng)前異常流量是否大于等于所述第二流量閾值;如果大于等于,所述第一主用設(shè)備確定所述雙機(jī)熱備組網(wǎng)系統(tǒng)受到流量攻擊; 如果小于,所述第一主用設(shè)備確定所述雙機(jī)熱備組網(wǎng)系統(tǒng)未受到流量攻擊。
7.一種網(wǎng)絡(luò)攻擊防御檢測(cè)系統(tǒng),其特征在于,包括雙機(jī)熱備組網(wǎng)系統(tǒng)中的第一主用設(shè)備和第二主用設(shè)備,其中所述第一主用設(shè)備,用于確定自身的第一當(dāng)前異常流量;并當(dāng)所述第一當(dāng)前異常流量大于等于第一流量閾值且小于第二流量閾值時(shí),將所述第一當(dāng)前異常流量中超過(guò)第三流量閾值的異常流量,傳輸給第二主用設(shè)備,所述第二流量閾值大于所述第一流量閾值,所述第三流量閾值為所述第一流量閾值減去調(diào)整閾值的差值;所述第二主用設(shè)備,用于確定自身的第二當(dāng)前異常流量,所述第二當(dāng)前異常流量中包括所述第一主用設(shè)備傳輸?shù)漠惓A髁浚徊?dāng)所述第二當(dāng)前異常流量大于等于第四流量閾值時(shí),確定所述雙機(jī)熱備組網(wǎng)系統(tǒng)受到流量攻擊,以及當(dāng)所述第二當(dāng)前異常流量小于所述第四流量閾值時(shí),確定所述雙機(jī)熱備組網(wǎng)系統(tǒng)未受到流量攻擊,所述第四流量閾值為所述第一流量閾值加上所述調(diào)整閾值的和值。
8.如權(quán)利要求7所述的系統(tǒng),其特征在于,所述第二主用設(shè)備,還用于在確定所述雙機(jī)熱備組網(wǎng)系統(tǒng)受到流量攻擊后,將所述第一主用設(shè)備傳輸?shù)漠惓A髁恐械牟糠之惓A髁炕貍鹘o所述第一主用設(shè)備,或者取消向所述第一主用設(shè)備回傳異常流量;并在確定所述雙機(jī)組網(wǎng)系統(tǒng)未受到流量攻擊后,將所述第一主用設(shè)備傳輸?shù)漠惓A髁咳炕貍鹘o所述第一主用設(shè)備;所述第一主用設(shè)備,還用于在接收到所述第二主用設(shè)備回傳的所述部分異常流量時(shí), 或者未接收到所述第二主用設(shè)備回傳的流量時(shí),確定所述雙機(jī)熱備組網(wǎng)系統(tǒng)受到流量攻擊;并在接收到所述第二主用設(shè)備回傳的全部異常流量時(shí),確定所述雙機(jī)熱備組網(wǎng)系統(tǒng)未受到流量攻擊。
9.如權(quán)利要求7所述的系統(tǒng),其特征在于,所述第一主用設(shè)備,還用于當(dāng)所述第一當(dāng)前異常流量小于所述第一流量閾值時(shí),確定所述雙機(jī)熱備組網(wǎng)系統(tǒng)未受到流量攻擊。
10.如權(quán)利要求9所述的系統(tǒng),其特征在于,所述第一主用設(shè)備,還用于當(dāng)所述第一當(dāng)前異常流量大于等于所述第二流量閾值時(shí),確定所述雙機(jī)熱備組網(wǎng)系統(tǒng)受到流量攻擊。
11.如權(quán)利要求7所述的系統(tǒng),其特征在于,所述第一主用設(shè)備,還用于在確定所述第一當(dāng)前異常流量大于等于第一流量閾值之前,確定所述第二主用設(shè)備處于正常狀態(tài)。
12.如權(quán)利要求11所述的系統(tǒng),其特征在于,所述第一主用設(shè)備,還用于當(dāng)確定所述第二主用設(shè)備處于異常狀態(tài)時(shí),確定所述第一當(dāng)前異常流量是否大于等于所述第二流量閾值;如果大于等于,確定所述雙機(jī)熱備組網(wǎng)系統(tǒng)受到流量攻擊;如果小于,確定所述雙機(jī)熱備組網(wǎng)系統(tǒng)未受到流量攻擊。
全文摘要
本發(fā)明公開(kāi)了一種網(wǎng)絡(luò)攻擊防御檢測(cè)方法及系統(tǒng),包括第一主用設(shè)備確定自身的第一當(dāng)前異常流量;并當(dāng)?shù)谝划?dāng)前異常流量大于等于第一流量閾值且小于第二流量閾值時(shí),第一主用設(shè)備將第一當(dāng)前異常流量中超過(guò)第三流量閾值的異常流量,傳輸給第二主用設(shè)備;以及第二主用設(shè)備確定自身的第二當(dāng)前異常流量,第二當(dāng)前異常流量中包括第一主用設(shè)備傳輸?shù)漠惓A髁?;并?dāng)?shù)诙?dāng)前異常流量大于等于第四流量閾值時(shí),確定該雙機(jī)熱備組網(wǎng)系統(tǒng)受到流量攻擊,以及當(dāng)?shù)诙?dāng)前異常流量小于第四流量閾值時(shí),確定該雙機(jī)熱備組網(wǎng)系統(tǒng)未受到流量攻擊。采用本發(fā)明實(shí)施例提供的方案,提高了主用設(shè)備進(jìn)行網(wǎng)絡(luò)攻擊防御檢測(cè)的準(zhǔn)確性。
文檔編號(hào)H04L29/06GK102420825SQ201110391968
公開(kāi)日2012年4月18日 申請(qǐng)日期2011年11月30日 優(yōu)先權(quán)日2011年11月30日
發(fā)明者陳佑建 申請(qǐng)人:北京星網(wǎng)銳捷網(wǎng)絡(luò)技術(shù)有限公司