專利名稱:流媒體服務(wù)器應(yīng)用層ddos攻擊防御系統(tǒng)及方法
技術(shù)領(lǐng)域:
本發(fā)明屬于網(wǎng)絡(luò)多媒體技術(shù)領(lǐng)域,涉及一種攻擊防御系統(tǒng)�,尤其涉及一種流媒體 服務(wù)器應(yīng)用層DDOS攻擊防御系統(tǒng)及方法。
背景技術(shù):
隨著網(wǎng)絡(luò)技術(shù)和多媒體技術(shù)的快速發(fā)展��,流媒體技術(shù)應(yīng)運(yùn)而生�����。流媒體技術(shù)是一 種允許用戶通過Internet或者Intranet現(xiàn)場直播�����、點(diǎn)播音視頻等多媒體文件的技術(shù)�����。流媒 體服務(wù)器向用戶計(jì)算機(jī)連續(xù)實(shí)時(shí)地傳送媒體數(shù)據(jù)��。用戶通過播放器應(yīng)用程序處理流媒體數(shù) 據(jù),然后回放媒體內(nèi)容����。內(nèi)容播放過程中,用戶不需要等待下載全部媒體文件便可以欣賞到 媒體內(nèi)容���。播放結(jié)束以后�,沒有數(shù)據(jù)駐留在本地計(jì)算機(jī)�����。流媒體的這些特性為互聯(lián)網(wǎng)提供 了新穎的多媒體互動(dòng)模式����,減少用戶等待下載媒體數(shù)據(jù)的時(shí)間,豐富了用戶的互聯(lián)網(wǎng)生活?��,F(xiàn)如今�,流媒體服務(wù)日益成為廣大網(wǎng)民使用的主要互聯(lián)網(wǎng)服務(wù)之一���。根據(jù)中國互 聯(lián)網(wǎng)絡(luò)信息中心的統(tǒng)計(jì)�,截止2008年底��,中國網(wǎng)民數(shù)量已達(dá)到2. 98億,其中83. 7%的網(wǎng)民 通過互聯(lián)網(wǎng)享用網(wǎng)絡(luò)音樂服務(wù)��,67. 7%的網(wǎng)民使用網(wǎng)絡(luò)視頻服務(wù)���。流媒體服務(wù)已經(jīng)成為互 聯(lián)網(wǎng)上的主流應(yīng)用��。面對巨大的服務(wù)需求,在進(jìn)一步提高服務(wù)性能�,保證服務(wù)質(zhì)量的同時(shí),如何有效的 提高流媒體服務(wù)的整體安全性�,如何提高服務(wù)自身防御惡意攻擊的能力已經(jīng)成為流媒體服 務(wù)提供商面臨的重大挑戰(zhàn)。拒絕服務(wù)攻擊(Denial of Service Attack, DoS)是一類使流媒體服務(wù)器無法為 正常用戶提供服務(wù)的攻擊行為�,可以導(dǎo)致流媒體服務(wù)器完全癱瘓,無法正常提供服務(wù)����。當(dāng)發(fā) 起DoS攻擊的源節(jié)點(diǎn)不是一個(gè)或很少的若干個(gè),而是源節(jié)點(diǎn)眾多時(shí)���,這種攻擊行為則被稱 作為分布式拒絕服務(wù)攻擊(Distributed Denialof Service Attack, DDoS)����。通過利用眾 多的攻擊源��,DDoS的攻擊能力變得更加強(qiáng)大,同時(shí)����,也使得DDoS的防御變得越發(fā)復(fù)雜。目前針對傳統(tǒng)因特網(wǎng)的DoS���、DDoS的攻擊問題�,許多應(yīng)用軟件已經(jīng)在很多方面給 出了卓有成效的防御策略�。傳統(tǒng)的網(wǎng)絡(luò)DoS、DDoS的攻擊防御策略��。其策略主要分為類第 一類為源端攻擊檢測技術(shù)���。這類技術(shù)主要依據(jù)攻擊源端的行為特征�,對異常行為進(jìn)行偵測 報(bào)警以及估計(jì)����。第二類為網(wǎng)絡(luò)中間結(jié)點(diǎn)的DoS、DDoS攻擊防御策略�����,這類策略基于網(wǎng)絡(luò)中間 節(jié)點(diǎn)環(huán)境��,從網(wǎng)絡(luò)中間節(jié)點(diǎn)的角度觀察網(wǎng)絡(luò)的異常行為,從而對各類DoS����、DDoS攻擊進(jìn)行檢 測和防御。第三類為末端節(jié)點(diǎn)攻擊防御策略���。當(dāng)攻擊到達(dá)末端主機(jī)網(wǎng)絡(luò)時(shí)�,防御策略主要 要做的就是以最快的速度進(jìn)行攻擊防御�����。然而����,針對流媒體服務(wù)的應(yīng)用層RTSP交互協(xié)議的 DoS�����、DDoS的攻擊及防御卻沒有一個(gè)系統(tǒng)��、成熟��、有效的方法�����。
發(fā)明內(nèi)容
本發(fā)明所要解決的技術(shù)問題是提供一種流媒體服務(wù)器應(yīng)用層DDOS攻擊防御系 統(tǒng),可有效保障互聯(lián)網(wǎng)上無須授權(quán)的流媒體服務(wù)的安全性��。同時(shí)�����,本發(fā)明提供包括上述攻擊防御系統(tǒng)的流媒體服務(wù)系統(tǒng)����。
另外,本發(fā)明還提供上述攻擊防御系統(tǒng)的攻擊防御方法����。為解決上述技術(shù)問題,本發(fā)明采用如下技術(shù)方案一種流媒體服務(wù)器應(yīng)用層DDOS攻擊防御系統(tǒng)���,用以防御流媒體服務(wù)系統(tǒng)的DoS����、 DDoS攻擊���;所述流媒體服務(wù)系統(tǒng)包括服務(wù)主機(jī)Server����、及至少一客戶端Client ;所述防御 系統(tǒng)連接所述服務(wù)主機(jī)Server�、及各客戶端Client ;其包括至少一流媒體服務(wù)代理模塊 Proxy�、控制中心模塊。流媒體服務(wù)代理模塊Proxy用以負(fù)責(zé)流媒體控制信息及數(shù)據(jù)信息 的轉(zhuǎn)發(fā)����、各種統(tǒng)計(jì)信息的采集、防御決策的最終執(zhí)行��;Client發(fā)送到Proxy的RTSP請求��, 被Proxy修改��,變成對應(yīng)的Proxy向Server的RTSP請求�����,并提交到Server端�����;Server針 對Proxy的RTSP請求的響應(yīng)信息����,被Proxy修改,之后轉(zhuǎn)變成對應(yīng)的響應(yīng)信息再轉(zhuǎn)發(fā)給 Client ���;控制中心模塊用以統(tǒng)籌監(jiān)測整個(gè)流媒體服務(wù)系統(tǒng)的當(dāng)前狀態(tài)���,并向Proxy發(fā)出命 令進(jìn)行防御。作為本發(fā)明的一種優(yōu)選方案�,所述流媒體服務(wù)代理模塊Proxy包括RTSP請求接收單元���,用以接收client的RTSP請求����,將RTSP請求進(jìn)行解析,并將相 關(guān)信息匯報(bào)給數(shù)據(jù)收集單元�����;數(shù)據(jù)收集單元�����,用以負(fù)責(zé)統(tǒng)計(jì)數(shù)據(jù)的采集及維護(hù)��,所述統(tǒng)計(jì)數(shù)據(jù)包括設(shè)定時(shí)間內(nèi) 新IP會(huì)話請求數(shù)據(jù);過濾單元����,用以根據(jù)控制中心模塊產(chǎn)生的明確過濾指令,過濾掉相應(yīng)的惡意IP的 會(huì)話����;回應(yīng)單元,用以執(zhí)行整個(gè)攻擊反應(yīng)決策���,負(fù)責(zé)維護(hù)Proxy上的白名單�、以及和白名 單相關(guān)的查詢工作����,使得在攻擊防御的過程中RTSP請求接收單元仍能夠通過與回應(yīng)單元 的合作從而放行受信任IP用戶��,繼續(xù)為受信任IP用戶提供服務(wù)�;映射單元,用以負(fù)責(zé)將Server對Proxy的RTSP響應(yīng)信息�,映射成Proxy對client 的響應(yīng)信息���;第一通訊單元�,用以負(fù)責(zé)流媒體服務(wù)代理模塊中各單元與控制中心模塊的通訊�����;映射表維護(hù)單元����,用以負(fù)責(zé)各類端口信息與會(huì)話整體信息的映射表維護(hù)����;數(shù)據(jù)傳送單元��,用以負(fù)責(zé)將流媒體服務(wù)器發(fā)送到Proxy對應(yīng)端口的數(shù)據(jù)根據(jù)映射 表維護(hù)單元中的對應(yīng)關(guān)系�����,轉(zhuǎn)發(fā)到客戶端的對應(yīng)端口��,包括視頻數(shù)據(jù)轉(zhuǎn)發(fā)�、音頻數(shù)據(jù)轉(zhuǎn)發(fā)、 以及相關(guān)的RTX數(shù)據(jù)轉(zhuǎn)發(fā)����;執(zhí)行單元�,用以執(zhí)行控制中心模塊下達(dá)的各項(xiàng)命令。作為本發(fā)明的一種優(yōu)選方案�,所述控制中心模塊包括第二通訊單元��,用以負(fù)責(zé)管理與所有Proxy之間的通信交互��,接收來自Proxy的報(bào) 告�����,發(fā)送決策單元的命令至Proxy �;IAD構(gòu)建單元,用以負(fù)責(zé)對決策單元掌握的整個(gè)系統(tǒng)會(huì)話及IP信息進(jìn)行不定期隨 機(jī)采樣��,以及IAD受信任IP項(xiàng)的更迭維護(hù)�����;決策單元�����,用以根據(jù)各項(xiàng)統(tǒng)計(jì)數(shù)據(jù)做出決策��;當(dāng)單個(gè)IP的會(huì)話數(shù)量過多時(shí)�,該決 策單元將通知Proxy剔除這一 IP地址的所有會(huì)話;當(dāng)某一 IP被多次過濾時(shí)��,該決策單元將 視該IP為一惡意IP�����,通知Proxy將其加入黑名單��;當(dāng)發(fā)現(xiàn)系統(tǒng)正遭受DDoS攻擊時(shí)�,該決策 單元將通知Proxy進(jìn)入攻擊反應(yīng)狀態(tài)�����,同時(shí)��,該決策單元將提取出IAD中的所有受信任IP 將其以白名單的形式發(fā)送給Proxy ;當(dāng)DDoS攻擊結(jié)束時(shí)���,該決策單元將通知所有Proxy恢復(fù)到正常狀態(tài)�。一種流媒體服務(wù)系統(tǒng),包括服務(wù)主機(jī)Server���、及至少一客戶端Client ���;所述流媒 體服務(wù)系統(tǒng)還包括攻擊防御系統(tǒng),該攻擊防御系統(tǒng)連接所述服務(wù)主機(jī)Server�、及各客戶端 Client ;所述攻擊防御系統(tǒng)包括至少一流媒體服務(wù)代理模塊Proxy、控制中心模塊��。流媒體 服務(wù)代理模塊Proxy用以負(fù)責(zé)流媒體控制信息及數(shù)據(jù)信息的轉(zhuǎn)發(fā)��、各種統(tǒng)計(jì)信息的采集�、 防御決策的最終執(zhí)行����;Client發(fā)送到Proxy的RTSP請求����,被Proxy修改�����,變成對應(yīng)的Proxy 向Server的RTSP請求��,并提交到Server端����;Server針對Proxy的RTSP請求的響應(yīng)信息, 被Proxy修改��,之后轉(zhuǎn)變成對應(yīng)的響應(yīng)信息再轉(zhuǎn)發(fā)給Client ����;控制中心模塊用以統(tǒng)籌監(jiān)測 整個(gè)流媒體服務(wù)系統(tǒng)的當(dāng)前狀態(tài)���,并向Proxy發(fā)出命令進(jìn)行防御��。作為本發(fā)明的一種優(yōu)選方案���,所述流媒體服務(wù)代理模塊Proxy包括RTSP請求接收單元��,用以接收client的RTSP請求�,將RTSP請求進(jìn)行解析,并將相 關(guān)信息匯報(bào)給數(shù)據(jù)收集單元���;數(shù)據(jù)收集單元�,用以負(fù)責(zé)統(tǒng)計(jì)數(shù)據(jù)的采集及維護(hù)��,所述統(tǒng)計(jì)數(shù)據(jù)包括設(shè)定時(shí)間內(nèi) 新IP會(huì)話請求數(shù)據(jù)�;過濾單元��,用以根據(jù)控制中心模塊產(chǎn)生的明確過濾指令,過濾掉相應(yīng)的惡意IP的 會(huì)話�;回應(yīng)單元,用以執(zhí)行整個(gè)攻擊反應(yīng)決策����,負(fù)責(zé)維護(hù)Proxy上的白名單、以及和白名 單相關(guān)的查詢工作����,使得在攻擊防御的過程中RTSP請求接收單元仍能夠通過與回應(yīng)單元 的合作從而放行受信任IP用戶,繼續(xù)為受信任IP用戶提供服務(wù)�;映射單元,用以負(fù)責(zé)將Server對Proxy的RTSP響應(yīng)信息�����,映射成Proxy對client 的響應(yīng)信息����;第一通訊單元,用以負(fù)責(zé)流媒體服務(wù)代理模塊中各單元與控制中心模塊的通訊�;映射表維護(hù)單元,用以負(fù)責(zé)各類端口信息與會(huì)話整體信息的映射表維護(hù);數(shù)據(jù)傳送單元�����,用以負(fù)責(zé)將流媒體服務(wù)器發(fā)送到Proxy對應(yīng)端口的數(shù)據(jù)根據(jù)映射 表維護(hù)單元中的對應(yīng)關(guān)系��,轉(zhuǎn)發(fā)到客戶端的對應(yīng)端口�����,包括視頻數(shù)據(jù)轉(zhuǎn)發(fā)��、音頻數(shù)據(jù)轉(zhuǎn)發(fā)��、 以及相關(guān)的RTX數(shù)據(jù)轉(zhuǎn)發(fā)��;執(zhí)行單元�,用以執(zhí)行控制中心模塊下達(dá)的各項(xiàng)命令。作為本發(fā)明的一種優(yōu)選方案,所述控制中心模塊包括第二通訊單元����,用以負(fù)責(zé)管理與所有Proxy之間的通信交互����,接收來自Proxy的報(bào) 告����,發(fā)送決策單元的命令至Proxy ;IAD構(gòu)建單元��,用以負(fù)責(zé)對決策單元掌握的整個(gè)系統(tǒng)會(huì)話及IP信息進(jìn)行不定期隨 機(jī)采樣���,以及IAD受信任IP項(xiàng)的更迭維護(hù)�;決策單元���,用以根據(jù)各項(xiàng)統(tǒng)計(jì)數(shù)據(jù)做出決策��;當(dāng)單個(gè)IP的會(huì)話數(shù)量過多時(shí),該決 策單元將通知Proxy剔除這一 IP地址的所有會(huì)話�;當(dāng)某一 IP被多次過濾時(shí)�,該決策單元將 視該IP為一惡意IP��,通知Proxy將其加入黑名單���;當(dāng)發(fā)現(xiàn)系統(tǒng)正遭受DDoS攻擊時(shí)���,該決策 單元將通知Proxy進(jìn)入攻擊反應(yīng)狀態(tài)��,同時(shí)�����,該決策單元將提取出IAD中的所有受信任IP 將其以白名單的形式發(fā)送給Proxy ���;當(dāng)DDoS攻擊結(jié)束時(shí)�����,該決策單元將通知所有Proxy恢 復(fù)到正常狀態(tài)��。一種上述攻擊防御系統(tǒng)的攻擊防御方法�,該方法包括如下步驟
RTSP請求接收步驟RTSP請求接收單元接收client的RTSP請求��,將RTSP請求進(jìn) 行解析����,并將相關(guān)信息匯報(bào)給數(shù)據(jù)收集單元;數(shù)據(jù)收集步驟數(shù)據(jù)收集單元統(tǒng)計(jì)數(shù)據(jù)的采集及維護(hù)���,所述統(tǒng)計(jì)數(shù)據(jù)包括設(shè)定時(shí) 間內(nèi)新IP會(huì)話請求數(shù)據(jù)�����;過濾步驟過濾單元根據(jù)控制中心模塊產(chǎn)生的明確過濾指令�,過濾掉相應(yīng)的惡意 IP的會(huì)話���;回應(yīng)步驟回應(yīng)單元執(zhí)行整個(gè)攻擊反應(yīng)決策�,負(fù)責(zé)維護(hù)Proxy上的白名單���、以及和 白名單相關(guān)的查詢工作����,使得在攻擊防御的過程中RTSP請求接收單元仍能夠通過與回應(yīng) 單元的合作從而放行受信任IP用戶,繼續(xù)為受信任IP用戶提供服務(wù)����;映射步驟映射單元將Server對Proxy的RTSP響應(yīng)信息��,映射成Proxy對client 的響應(yīng)信息�����;映射表維護(hù)步驟映射表維護(hù)單元維護(hù)各類端口信息與會(huì)話整體信息的映射表;數(shù)據(jù)傳送步驟將流媒體服務(wù)器發(fā)送到Proxy對應(yīng)端口的數(shù)據(jù)根據(jù)映射表維護(hù)單 元中的對應(yīng)關(guān)系�����,轉(zhuǎn)發(fā)到客戶端的對應(yīng)端口�,包括視頻數(shù)據(jù)轉(zhuǎn)發(fā)、音頻數(shù)據(jù)轉(zhuǎn)發(fā)����、以及相關(guān) 的RTX數(shù)據(jù)轉(zhuǎn)發(fā)�;IAD構(gòu)建步驟IAD構(gòu)建單元對決策單元掌握的整個(gè)系統(tǒng)會(huì)話及IP信息進(jìn)行不定 期隨機(jī)采樣,以及IAD受信任IP項(xiàng)的更迭維護(hù)��;決策步驟決策單元根據(jù)各項(xiàng)統(tǒng)計(jì)數(shù)據(jù)做出決策�����;當(dāng)單個(gè)IP的會(huì)話數(shù)量過多時(shí)�, 該決策單元將通知Proxy剔除這一 IP地址的所有會(huì)話����;當(dāng)某一 IP被多次過濾時(shí)��,該決策單 元將視該IP為一惡意IP�����,通知Proxy將其加入黑名單���;當(dāng)發(fā)現(xiàn)系統(tǒng)正遭受DDoS攻擊時(shí)��,該 決策單元將通知Proxy進(jìn)入攻擊反應(yīng)狀態(tài)��,同時(shí)���,該決策單元將提取出IAD中的所有受信任 IP將其以白名單的形式發(fā)送給Proxy �;當(dāng)DDoS攻擊結(jié)束時(shí)�����,該決策單元將通知所有Proxy 恢復(fù)到正常狀態(tài)���;執(zhí)行步驟執(zhí)行單元執(zhí)行控制中心模塊下達(dá)的各項(xiàng)命令����,同時(shí)對途經(jīng)Proxy的所 有會(huì)話進(jìn)行轉(zhuǎn)發(fā)��,包括RTSP控制請求的轉(zhuǎn)發(fā)以及RTP數(shù)據(jù)的轉(zhuǎn)發(fā)���。本發(fā)明的有益效果在于本發(fā)明提出的流媒體服務(wù)器應(yīng)用層DDOS攻擊防御系統(tǒng)���, 前瞻性的研究基于流媒體RTSP的各種DDOS攻擊,設(shè)計(jì)了一套基于PROXY GROUP的流媒體 DDOS防御體系��,有效的保障了互聯(lián)網(wǎng)上無須授權(quán)的流媒體服務(wù)的安全性���。
圖1為本發(fā)明流媒體服務(wù)系統(tǒng)的組成示意圖��。圖2為本發(fā)明流媒體服務(wù)代理模塊的組成示意圖�����。圖3為本發(fā)明流媒體服務(wù)代理模塊線程結(jié)構(gòu)關(guān)系示意圖�。圖4為本發(fā)明控制中心模塊的組成示意圖。
具體實(shí)施例方式下面結(jié)合附圖詳細(xì)說明本發(fā)明的優(yōu)選實(shí)施例����。本發(fā)明揭示了一種流媒體服務(wù)系統(tǒng)及其攻擊防御系統(tǒng),攻擊防御系統(tǒng)用以防御流 媒體服務(wù)系統(tǒng)的DoS���、DDoS攻擊���。請參閱圖1,所述流媒體服務(wù)系統(tǒng)包括服務(wù)主機(jī)Server�����、及至少一客戶端Client ��;所述攻擊防御系統(tǒng)連接所述服務(wù)主機(jī)Server���、及各客戶端Client�。 所述攻擊防御系統(tǒng)包括至少一流媒體服務(wù)代理模塊Proxy��、控制中心模塊����。流媒體服務(wù) 代理模塊Proxy用以負(fù)責(zé)流媒體控制信息及數(shù)據(jù)信息的轉(zhuǎn)發(fā)��、各種統(tǒng)計(jì)信息的采集��、防御 決策的最終執(zhí)行;Client發(fā)送到Proxy的RTSP請求����,被Proxy修改,變成對應(yīng)的Proxy向 Server的RTSP請求�����,并提交到Server端�;Server針對Proxy的RTSP請求的響應(yīng)信息,被 Proxy修改�,之后轉(zhuǎn)變成對應(yīng)的響應(yīng)信息再轉(zhuǎn)發(fā)給Client ;控制中心模塊用以統(tǒng)籌監(jiān)測整 個(gè)流媒體服務(wù)系統(tǒng)的當(dāng)前狀態(tài)���,并向Proxy發(fā)出命令進(jìn)行防御���。如上所述,本發(fā)明設(shè)計(jì)了一套基于“Proxy Group”的防御方案���,整套防御方案有兩 大功能子系統(tǒng)組成流媒體服務(wù)代理模塊(Proxy)和控制中心模塊(Control Center)��,其 具體架構(gòu)如下圖1所示���。本發(fā)明的防御方案主要思想在于利用分布式多點(diǎn)的Proxy分?jǐn)傌?fù)載,將目標(biāo)流媒 體服務(wù)主機(jī)位置隱藏(location hiding),置于Proxy Group之后�����。同時(shí)��,在Proxy Group 中設(shè)置一中心控制節(jié)點(diǎn)(Control Center)��,用于統(tǒng)籌監(jiān)測整個(gè)流媒體服務(wù)的當(dāng)前狀態(tài),并 在適當(dāng)?shù)臅r(shí)候向Proxy發(fā)出命令進(jìn)行防御��。將原來的單一流媒體節(jié)點(diǎn)暴露在外向外界提供 流媒體服務(wù)�,轉(zhuǎn)變?yōu)槿缃竦倪@種形式。流媒體服務(wù)器不再暴露在外�����,而是將各Proxy向外公 布����,通過Proxy間接的為用戶提供服務(wù)���。通過這一 Proxy Group形式�,真正的做到了防御方 案獨(dú)立與特定的流媒體服務(wù)器端軟件�。防御方案不需要了解商用的后端流媒體服務(wù)器端軟 件的內(nèi)部實(shí)現(xiàn)細(xì)節(jié),而只需要實(shí)現(xiàn)簡單的各種RTSP交互過程,完成整個(gè)流媒體會(huì)話過程的 控制與數(shù)據(jù)轉(zhuǎn)發(fā)���,就可以很好實(shí)現(xiàn)各種防御功能��。同時(shí)�����,考慮到防御方案也有可能遭受到攻 擊的可能性����,本發(fā)明將整個(gè)防御方案設(shè)計(jì)成分布式�,從而可以開放眾多Proxy,使得即使在 某一 Proxy遭受惡意攻擊近乎癱瘓的情況下�����,用戶還能夠通過其他Proxy享受流媒體服務(wù)�, 整個(gè)系統(tǒng)不至于因單點(diǎn)遭受攻擊而無法繼續(xù)正常工作。同時(shí)���,迫使惡意攻擊者需要發(fā)動(dòng)更 大規(guī)模的攻擊才能使所有Proxy均癱瘓�,一定程度上����,也加大了惡意攻擊者的整體攻擊難 度��。請參閱圖1�����,本發(fā)明揭示了一種流媒體服務(wù)DDOS防御系統(tǒng)�,用于防御流媒體服務(wù) 器的DDOS攻擊保證其安全性�����。該系統(tǒng)基于PROXY模式參見圖1��,攻擊防御系統(tǒng)包括RTSP Front-End Module (RTSP 請求接收單元)��、Collection Module (數(shù)據(jù)收集單元)��、Filter Module (過濾單元)���、Reaction Module (回應(yīng)單元)、RTSP Back-End Module (映射單元)����、 Communication Module ()�、Map Module ()���、Data Transfer Module (數(shù)據(jù)傳送單元)����、執(zhí)行單元等模塊��。該流媒體DDOS系統(tǒng)安裝于獨(dú)立服務(wù)器上�,假設(shè) 于流媒體服務(wù)的前端。本套方案旨在為針對流媒體服務(wù)的DoS�、DDoS攻擊進(jìn)行防御。整套 方案能夠準(zhǔn)確并迅速的防御上章發(fā)現(xiàn)的各種攻擊行為�����,同時(shí)還可以盡可能的降低因防御系 統(tǒng)而為整個(gè)流媒體服務(wù)系統(tǒng)帶來的性能損失�����。流媒體服務(wù)代理模塊ProxyProxy部分主要負(fù)責(zé)流媒體控制信息及數(shù)據(jù)信息的轉(zhuǎn)發(fā)�,各種統(tǒng)計(jì)信息的采集,防 御決策的最終執(zhí)行���。通過Proxy的信息轉(zhuǎn)發(fā)功能�����,Client發(fā)送到Proxy的RTSP請求����,將被 Proxy修改,變成對應(yīng)的Proxy向Media Server的RTSP請求,并提交到Media Server端��。 Media Server針對Proxy RTSP請求的響應(yīng)信息�����,也將被Proxy修改�����,之后轉(zhuǎn)變成對應(yīng)的響 應(yīng)信息再轉(zhuǎn)發(fā)給Client����。從而完成整個(gè)RTSP交互的轉(zhuǎn)發(fā)�����。RTP數(shù)據(jù)轉(zhuǎn)發(fā)過程�,由Proxy接收來自Media Server的音視頻數(shù)據(jù)�����,之后Proxy再將收到的數(shù)據(jù)轉(zhuǎn)交到Client端�。Proxy 需要向Control Center匯報(bào)若干信息�。主要包括當(dāng)前Proxy的會(huì)話數(shù)量以及IP數(shù)量信息; Δ時(shí)間內(nèi)新進(jìn)IP信息�;針對Desc Flood, Setup Attack以及Con-LenAttack的會(huì)話過濾 信息以及單一 IP會(huì)話數(shù)量超標(biāo)的IP過濾信息。Proxy的防御決策執(zhí)行���,主要通過剔除惡意 會(huì)話連接�����,剔除某一 IP地址的所有會(huì)話���,設(shè)置會(huì)話請求黑名單,設(shè)置DDoS攻擊防御狀態(tài)會(huì) 話請求白名單等行動(dòng)來完成����。Proxy子系統(tǒng)的各功能模塊如圖2所示。(I)RTSP Front-End Module 主要負(fù)責(zé)接收client的RTSP請求�����,將RTSP請求進(jìn)行解析,并將相關(guān)信息匯報(bào)給 Collection Module 模塊�。為防止 Desc Flood, Setup Attack,在 RTSP Front-End Module 上進(jìn)行DESCRIBE及SETUP請求超時(shí)設(shè)置一定時(shí)間段內(nèi)如果后續(xù)請求如期而至����,那么整個(gè) 會(huì)話繼續(xù)進(jìn)行,否則�,將該會(huì)話視為一攻擊會(huì)話,直接從Proxy的Front-End Module上將該 會(huì)話剔除�,同時(shí)通過Communication Module向Control Center匯報(bào)相關(guān)過濾信息。這一 模塊還接受IP黑名單設(shè)置����,從而起到直接過濾指定IP會(huì)話請求的功能。(2)Collection Module 該模塊主要負(fù)責(zé)Proxy上相關(guān)統(tǒng)計(jì)數(shù)據(jù)的采集及維護(hù)����,主要有Δ時(shí)間內(nèi)新IP會(huì) 話請求數(shù)據(jù)采集,(3)Filter Module 當(dāng)Control Center端接收到一定統(tǒng)計(jì)數(shù)據(jù)之后���,其將能夠產(chǎn)生一定的過濾策略���, 從而保護(hù)流媒體服務(wù)器的正常運(yùn)行����。Filter Module根據(jù)ControlCenter產(chǎn)生的明確過濾 指令���,過濾掉相應(yīng)的惡意IP的會(huì)話。(4)Reaction ModuleReaction Module在整個(gè)系統(tǒng)遭受DDoS攻擊時(shí)被激活�,用于整個(gè)攻擊反應(yīng)決策的 執(zhí)行。其負(fù)責(zé)維護(hù)Proxy上的白名單�,以及和白名單相關(guān)的查詢工作,使得在攻擊防御的過 程中RTSP Front-End Module仍能夠通過與ReactionModule的合作從而放行受信任IP用 戶����,繼續(xù)為受信任IP用戶提供服務(wù),從而降低遭受攻擊的損失�����。(5)RTSP Back-End ModuleRTSP Back-End Module用于負(fù)責(zé)將Server對Proxy的RTSP響應(yīng)信息����,轉(zhuǎn)換“映 射”成Proxy對client的響應(yīng)信息。這其中主要是包括各種端口的映射和請求內(nèi)部參數(shù)值 的修改���。(6)Communication Module主要是負(fù)責(zé)Proxy的各個(gè)子模塊與Control Center進(jìn)行通訊��,將各個(gè)子模塊收集 的信息提交給Control Center�����,同時(shí)�����,將Control Center的各種決策傳遞給各個(gè)子模塊���。(7)Map Module映射表維護(hù)單元Map Module負(fù)責(zé)各類端口信息與會(huì)話整體信息的映射表維護(hù)��。 Proxy進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)的過程中�����,Map Module負(fù)責(zé)根據(jù)端口信息��,提交對應(yīng)會(huì)話的其他信息����, 從而保證整個(gè)轉(zhuǎn)發(fā)的順利進(jìn)行(8) Data Transfer Module主要是負(fù)責(zé)將流媒體服務(wù)器發(fā)送到proxy對應(yīng)端口的數(shù)據(jù)根據(jù)Map Module中的 對應(yīng)關(guān)系�����,轉(zhuǎn)發(fā)到客戶端的對應(yīng)端口。轉(zhuǎn)發(fā)的數(shù)據(jù)包括視頻數(shù)據(jù)轉(zhuǎn)發(fā)��、音頻數(shù)據(jù)轉(zhuǎn)發(fā)以及相關(guān)的RTX數(shù)據(jù)轉(zhuǎn)發(fā)��。(9)執(zhí)行單元執(zhí)行單元用以執(zhí)行控制中心模塊下達(dá)的各項(xiàng)命令����。流媒體服務(wù)代理模塊(Proxy子系統(tǒng))為整套防御方案中的行動(dòng)執(zhí)行部分���,除執(zhí)行 Control Center下達(dá)的各項(xiàng)命令以外���,還需要對途徑該P(yáng)roxy的所有會(huì)話進(jìn)行轉(zhuǎn)發(fā),其中 包括RTSP控制請求的轉(zhuǎn)發(fā)以及RTP數(shù)據(jù)的轉(zhuǎn)發(fā)���。由于流媒體服務(wù)具有數(shù)據(jù)流量大的特點(diǎn)��, 與流媒體服務(wù)器相比���,Proxy減少了磁盤吞吐這一性能瓶頸點(diǎn),然而網(wǎng)絡(luò)1/0吞吐性能仍然 是影響Proxy子系統(tǒng)的工作性能�����,乃至整個(gè)防御系統(tǒng)性能的關(guān)鍵點(diǎn)。如何充分利用Proxy 所在計(jì)算機(jī)的計(jì)算能力以及網(wǎng)絡(luò)吞吐能力�����,是必須要考慮的問題����。為充分提升Proxy子系統(tǒng)的整體性能,本發(fā)明將整個(gè)Proxy子系統(tǒng)設(shè)計(jì)成一多線 程并發(fā)運(yùn)行的結(jié)構(gòu)��,其線程結(jié)構(gòu)及關(guān)系如下圖3所示Proxy子系統(tǒng)主要在以下三個(gè)方面需要較高的處理能力(1)處理大量的由Client端發(fā)送來的RTSP請求��,并將該請求修改轉(zhuǎn)發(fā)到流媒體服 務(wù)器端����。這里需要大量的請求信息修改處理及轉(zhuǎn)發(fā)操作,勢必將占用大量的CPU處理能力�����。(2)處理大量的有Server端發(fā)送來的RTSP響應(yīng)��,并將該響應(yīng)修改轉(zhuǎn)發(fā)到指定的客 戶端���。這里同樣需要對各種RTSP響應(yīng)進(jìn)行處理再轉(zhuǎn)發(fā)����,也將占用大量的CPU。(3)接受大量的音視頻RTP數(shù)據(jù)包�����,并將其轉(zhuǎn)發(fā)到指定的Client端�。這里強(qiáng)調(diào)網(wǎng) 絡(luò)1/0的吞吐性能�,在網(wǎng)卡1/0達(dá)到吞吐性能上限之前,都應(yīng)該通過提升Proxy運(yùn)行效率����, 達(dá)到提升整體轉(zhuǎn)發(fā)性能的目的。為盡可能的提升以上三個(gè)方面的性能�,在Proxy子系統(tǒng)的整體線程結(jié)構(gòu)設(shè)計(jì)過程 中,本發(fā)明采取了“線程池”的技術(shù)手段�,從而將整體性能充分提升。如上圖所示的①����,②,③ 處���,本發(fā)明構(gòu)建了三個(gè)線程池�,分別用以提升上述三處的性能。在系統(tǒng)整體負(fù)載較弱的情況 下�,線程池中的大部分線程將處于休眠狀態(tài),不占用系統(tǒng)的任何資源��,此時(shí)只需較少的線程 便能負(fù)擔(dān)整個(gè)系統(tǒng)的負(fù)載����。在系統(tǒng)負(fù)載不斷變大的時(shí),休眠的線程將不斷的被喚起Client DispatchThread, Server Dispatch Thread 以及 UDP Dispatch Thread 所喚起�。將需要處 理的socket移交給相應(yīng)的工作線程,工作線程便會(huì)盡全力處理自己負(fù)責(zé)的socket任務(wù)了����。控制中心模塊控制中心模塊Control Center為整個(gè)防御方案的決策中心,其主要工作在與根據(jù) 各Proxy子系統(tǒng)對各自狀態(tài)的信息匯報(bào)�����,檢測遭受各種DoS或者DDoS攻擊的可能性��,并通 知Proxy子系統(tǒng)采取行動(dòng)�;根據(jù)Proxy子系統(tǒng)匯報(bào)的Δ新進(jìn)IP信息構(gòu)建并維護(hù)IAD,用于 DDoS攻擊的檢測和反應(yīng)��。根據(jù)Proxy匯報(bào)的會(huì)話數(shù)量及IP情況數(shù)據(jù)���,Control Center將 掌握整個(gè)系統(tǒng)的會(huì)話連接狀況���,這一信息將用于IAD的隨機(jī)采樣����。根據(jù)Proxy匯報(bào)的Δ新 進(jìn)IP信息�,結(jié)合IAD受信任IP數(shù)據(jù)項(xiàng),Control Center將可以判斷整個(gè)系統(tǒng)是否處于DDoS 攻擊狀態(tài)�。根據(jù)Proxy的會(huì)話及IP過濾信息匯總���,Control Center將可以判斷某一 IP是 否存在惡意攻擊行為�。其具體做法為��,當(dāng)有一 IP被多個(gè)Proxy或者被同一 Proxy多次過濾 時(shí)�,本發(fā)明認(rèn)為該IP為惡意IP,將向所有的Proxy傳遞過濾該IP所有會(huì)話�����,并同時(shí)將該IP 加入Proxy本地黑名單的命令����。當(dāng)ControlCenter檢測出系統(tǒng)整體處于DDoS攻擊狀態(tài)時(shí)���, Control Center會(huì)向所有Proxy發(fā)出攻擊反應(yīng)的命令,并同時(shí)下達(dá)白名單列表��。當(dāng)Control Center對整個(gè)系統(tǒng)進(jìn)行持續(xù)觀察��,發(fā)現(xiàn)系統(tǒng)已經(jīng)從攻擊中脫離遲來時(shí)�����,Control Center同樣還會(huì)通知所有Proxy進(jìn)入正常工作狀態(tài)��。Control Center子系統(tǒng)的各功能模塊如圖4 所示�����,其包括 Communication Module (第二通訊單元)��、IAD ConstructModule (IAD 構(gòu)建單 元)�、Decision Make Module (決策單元)。Communication Module主要負(fù)責(zé)管理與所有Proxy之間的通信交互����,接收來自 Proxy 的報(bào)告,發(fā)送 Decision Make Module 的命令。IAD Construct Module 負(fù)責(zé)對 Decision Make Module 掌握的整個(gè)系統(tǒng)會(huì)話及 IP 信息進(jìn)行不定期隨機(jī)采樣�,以及IAD受信任IP項(xiàng)的更迭維護(hù)。Decision Make Module根據(jù)各項(xiàng)統(tǒng)計(jì)數(shù)據(jù)做出決策�����。當(dāng)單個(gè)IP的會(huì)話數(shù)量過多 時(shí)�����,其將通知所有Proxy剔除這一 IP地址的所有會(huì)話�����。當(dāng)某一 IP被多次過濾時(shí)��,其將視該 IP為一惡意IP�����,通知所有Proxy將其加入黑名單����。當(dāng)發(fā)現(xiàn)系統(tǒng)正遭受DDoS攻擊時(shí)����,其將通 知所有Proxy進(jìn)入攻擊反應(yīng)狀態(tài)���,同時(shí),其將提取出IAD中的所有受信任IP將其以白名單 的形式發(fā)送給各個(gè)Proxy�����。當(dāng)DDoS攻擊結(jié)束時(shí)�����,其將通知所有Proxy恢復(fù)到正常狀態(tài)�����。以上介紹了攻擊防御系統(tǒng)的組成�,以下通過介紹上述攻擊防御系統(tǒng)的攻擊防御方 法進(jìn)一步介紹本發(fā)明,該方法包括如下步驟RTSP請求接收步驟RTSP請求接收單元接收client的RTSP請求��,將RTSP請求進(jìn) 行解析�����,并將相關(guān)信息匯報(bào)給數(shù)據(jù)收集單元����;數(shù)據(jù)收集步驟數(shù)據(jù)收集單元統(tǒng)計(jì)數(shù)據(jù)的采集及維護(hù)�,所述統(tǒng)計(jì)數(shù)據(jù)包括設(shè)定時(shí) 間內(nèi)新IP會(huì)話請求數(shù)據(jù)����;過濾步驟過濾單元根據(jù)控制中心模塊產(chǎn)生的明確過濾指令,過濾掉相應(yīng)的惡意 IP的會(huì)話���;回應(yīng)步驟回應(yīng)單元執(zhí)行整個(gè)攻擊反應(yīng)決策����,負(fù)責(zé)維護(hù)Proxy上的白名單��、以及和 白名單相關(guān)的查詢工作�,使得在攻擊防御的過程中RTSP請求接收單元仍能夠通過與回應(yīng) 單元的合作從而放行受信任IP用戶,繼續(xù)為受信任IP用戶提供服務(wù)���;映射步驟映射單元將Server對Proxy的RTSP響應(yīng)信息����,映射成Proxy對client 的響應(yīng)信息����;映射表維護(hù)步驟映射表維護(hù)單元維護(hù)各類端口信息與會(huì)話整體信息的映射表;數(shù)據(jù)傳送步驟將流媒體服務(wù)器發(fā)送到Proxy對應(yīng)端口的數(shù)據(jù)根據(jù)映射表維護(hù)單 元中的對應(yīng)關(guān)系�,轉(zhuǎn)發(fā)到客戶端的對應(yīng)端口,包括視頻數(shù)據(jù)轉(zhuǎn)發(fā)���、音頻數(shù)據(jù)轉(zhuǎn)發(fā)���、以及相關(guān) 的RTX數(shù)據(jù)轉(zhuǎn)發(fā);IAD構(gòu)建步驟IAD構(gòu)建單元對決策單元掌握的整個(gè)系統(tǒng)會(huì)話及IP信息進(jìn)行不定 期隨機(jī)采樣���,以及IAD受信任IP項(xiàng)的更迭維護(hù)��;決策步驟決策單元根據(jù)各項(xiàng)統(tǒng)計(jì)數(shù)據(jù)做出決策���;當(dāng)單個(gè)IP的會(huì)話數(shù)量過多時(shí), 該決策單元將通知Proxy剔除這一 IP地址的所有會(huì)話�;當(dāng)某一 IP被多次過濾時(shí),該決策單 元將視該IP為一惡意IP���,通知Proxy將其加入黑名單���;當(dāng)發(fā)現(xiàn)系統(tǒng)正遭受DDoS攻擊時(shí),該 決策單元將通知Proxy進(jìn)入攻擊反應(yīng)狀態(tài)�����,同時(shí),該決策單元將提取出IAD中的所有受信任 IP將其以白名單的形式發(fā)送給Proxy ���;當(dāng)DDoS攻擊結(jié)束時(shí)��,該決策單元將通知所有Proxy 恢復(fù)到正常狀態(tài)����;執(zhí)行步驟執(zhí)行單元執(zhí)行控制中心模塊下達(dá)的各項(xiàng)命令��,同時(shí)對途經(jīng)Proxy的所 有會(huì)話進(jìn)行轉(zhuǎn)發(fā)����,包括RTSP控制請求的轉(zhuǎn)發(fā)以及RTP數(shù)據(jù)的轉(zhuǎn)發(fā)。
經(jīng)過上述改進(jìn)�,本發(fā)明前瞻性的研究基于流媒體RTSP的各種DDOS攻擊,設(shè)計(jì)了一 套基于PROXY GROUP的流媒體DDOS防御體系��,有效的保障了互聯(lián)網(wǎng)上無須授權(quán)的流媒體服 務(wù)的安全性�。這里本發(fā)明的描述和應(yīng)用是說明性的,并非想將本發(fā)明的范圍限制在上述實(shí)施例 中�����。這里所披露的實(shí)施例的變形和改變是可能的�,對于那些本領(lǐng)域的普通技術(shù)人員來說實(shí) 施例的替換和等效的各種部件是公知的。本領(lǐng)域技術(shù)人員應(yīng)該清楚的是��,在不脫離本發(fā)明 的精神或本質(zhì)特征的情況下����,本發(fā)明可以以其它形式、結(jié)構(gòu)�、布置、比例����,以及用其它組件、 材料和部件來實(shí)現(xiàn)��。在不脫離本發(fā)明范圍和精神的情況下�,可以對這里所披露的實(shí)施例進(jìn) 行其它變形和改變。
權(quán)利要求
一種流媒體服務(wù)器應(yīng)用層DDOS攻擊防御系統(tǒng)����,用以防御流媒體服務(wù)系統(tǒng)的DoS、DDoS攻擊���;所述流媒體服務(wù)系統(tǒng)包括服務(wù)主機(jī)Server����、及至少一客戶端Client;其特征在于所述防御系統(tǒng)連接所述服務(wù)主機(jī)Server�、及各客戶端Client;其包括至少一流媒體服務(wù)代理模塊Proxy�,用以負(fù)責(zé)流媒體控制信息及數(shù)據(jù)信息的轉(zhuǎn)發(fā)、各種統(tǒng)計(jì)信息的采集���、防御決策的最終執(zhí)行���;Client發(fā)送到Proxy的RTSP請求,被Proxy修改���,變成對應(yīng)的Proxy向Server的RTSP請求�����,并提交到Server端�;Server針對Proxy的RTSP請求的響應(yīng)信息��,被Proxy修改���,之后轉(zhuǎn)變成對應(yīng)的響應(yīng)信息再轉(zhuǎn)發(fā)給Client�����;控制中心模塊�,用以統(tǒng)籌監(jiān)測整個(gè)流媒體服務(wù)系統(tǒng)的當(dāng)前狀態(tài)����,并向Proxy發(fā)出命令進(jìn)行防御。
2.根據(jù)權(quán)利要求1所述的流媒體服務(wù)器應(yīng)用層DDOS攻擊防御系統(tǒng)���,其特征在于 所述流媒體服務(wù)代理模塊Proxy包括RTSP請求接收單元�����,用以接收client的RTSP請求�,將RTSP請求進(jìn)行解析�����,并將相關(guān)信 息匯報(bào)給數(shù)據(jù)收集單元�����;數(shù)據(jù)收集單元��,用以負(fù)責(zé)統(tǒng)計(jì)數(shù)據(jù)的采集及維護(hù),所述統(tǒng)計(jì)數(shù)據(jù)包括設(shè)定時(shí)間內(nèi)新IP 會(huì)話請求數(shù)據(jù)��;過濾單元��,用以根據(jù)控制中心模塊產(chǎn)生的明確過濾指令�,過濾掉相應(yīng)的惡意IP的會(huì)話;回應(yīng)單元�����,用以執(zhí)行整個(gè)攻擊反應(yīng)決策��,負(fù)責(zé)維護(hù)Proxy上的白名單���、以及和白名單相 關(guān)的查詢工作����,使得在攻擊防御的過程中RTSP請求接收單元仍能夠通過與回應(yīng)單元的合 作從而放行受信任IP用戶���,繼續(xù)為受信任IP用戶提供服務(wù)���;映射單元,用以負(fù)責(zé)將Server對Proxy的RTSP響應(yīng)信息,映射成Proxy對client的 響應(yīng)信息�;第一通訊單元,用以負(fù)責(zé)流媒體服務(wù)代理模塊中各單元與控制中心模塊的通訊���; 映射表維護(hù)單元�,用以負(fù)責(zé)各類端口信息與會(huì)話整體信息的映射表維護(hù)���; 數(shù)據(jù)傳送單元,用以負(fù)責(zé)將流媒體服務(wù)器發(fā)送到Proxy對應(yīng)端口的數(shù)據(jù)根據(jù)映射表維 護(hù)單元中的對應(yīng)關(guān)系�,轉(zhuǎn)發(fā)到客戶端的對應(yīng)端口,包括視頻數(shù)據(jù)轉(zhuǎn)發(fā)�、音頻數(shù)據(jù)轉(zhuǎn)發(fā)、以及 相關(guān)的RTX數(shù)據(jù)轉(zhuǎn)發(fā)�;執(zhí)行單元,用以執(zhí)行控制中心模塊下達(dá)的各項(xiàng)命令�。
3.根據(jù)權(quán)利要求1所述的流媒體服務(wù)器應(yīng)用層DDOS攻擊防御系統(tǒng),其特征在于 所述控制中心模塊包括第二通訊單元�,用以負(fù)責(zé)管理與所有Proxy之間的通信交互,接收來自Proxy的報(bào)告��, 發(fā)送決策單元的命令至Proxy �����;IAD構(gòu)建單元,用以負(fù)責(zé)對決策單元掌握的整個(gè)系統(tǒng)會(huì)話及IP信息進(jìn)行不定期隨機(jī)采 樣��,以及IAD受信任IP項(xiàng)的更迭維護(hù)���;決策單元����,用以根據(jù)各項(xiàng)統(tǒng)計(jì)數(shù)據(jù)做出決策��;當(dāng)單個(gè)IP的會(huì)話數(shù)量過多時(shí)�����,該決策單 元將通知Proxy剔除這一 IP地址的所有會(huì)話�����;當(dāng)某一 IP被多次過濾時(shí)�,該決策單元將視該 IP為一惡意IP,通知Proxy將其加入黑名單����;當(dāng)發(fā)現(xiàn)系統(tǒng)正遭受DDoS攻擊時(shí),該決策單元 將通知Proxy進(jìn)入攻擊反應(yīng)狀態(tài)���,同時(shí)�,該決策單元將提取出IAD中的所有受信任IP將其以白名單的形式發(fā)送給Proxy ;當(dāng)DDoS攻擊結(jié)束時(shí)��,該決策單元將通知所有Proxy恢復(fù)到 正常狀態(tài)�����。
4.一種流媒體服務(wù)系統(tǒng)��,包括服務(wù)主機(jī)Server���、及至少一客戶端Client ;其特征在于所述流媒體服務(wù)系統(tǒng)還包括攻擊防御系統(tǒng)��,該攻擊防御系統(tǒng)連接所述服務(wù)主機(jī) Server��、及各客戶端Client �; 所述攻擊防御系統(tǒng)包括至少一流媒體服務(wù)代理模塊Proxy,用以負(fù)責(zé)流媒體控制信息及數(shù)據(jù)信息的轉(zhuǎn)發(fā)�、各種 統(tǒng)計(jì)信息的采集、防御決策的最終執(zhí)行��;Client發(fā)送到Proxy的RTSP請求����,被Proxy修改����, 變成對應(yīng)的Proxy向Server的RTSP請求�,并提交到Server端;Server針對Proxy的RTSP 請求的響應(yīng)信息�,被Proxy修改,之后轉(zhuǎn)變成對應(yīng)的響應(yīng)信息再轉(zhuǎn)發(fā)給Client �����;控制中心模塊��,用以統(tǒng)籌監(jiān)測整個(gè)流媒體服務(wù)系統(tǒng)的當(dāng)前狀態(tài)��,并向Proxy發(fā)出命令 進(jìn)行防御�。
5.根據(jù)權(quán)利要求4所述的流媒體服務(wù)系統(tǒng),其特征在于 所述流媒體服務(wù)代理模塊Proxy包括RTSP請求接收單元��,用以接收client的RTSP請求����,將RTSP請求進(jìn)行解析,并將相關(guān)信 息匯報(bào)給數(shù)據(jù)收集單元�;數(shù)據(jù)收集單元����,用以負(fù)責(zé)統(tǒng)計(jì)數(shù)據(jù)的采集及維護(hù)�,所述統(tǒng)計(jì)數(shù)據(jù)包括設(shè)定時(shí)間內(nèi)新IP 會(huì)話請求數(shù)據(jù);過濾單元���,用以根據(jù)控制中心模塊產(chǎn)生的明確過濾指令��,過濾掉相應(yīng)的惡意IP的會(huì)話�;回應(yīng)單元�����,用以執(zhí)行整個(gè)攻擊反應(yīng)決策���,負(fù)責(zé)維護(hù)Proxy上的白名單、以及和白名單相 關(guān)的查詢工作���,使得在攻擊防御的過程中RTSP請求接收單元仍能夠通過與回應(yīng)單元的合 作從而放行受信任IP用戶�����,繼續(xù)為受信任IP用戶提供服務(wù)��;映射單元�����,用以負(fù)責(zé)將Server對Proxy的RTSP響應(yīng)信息���,映射成Proxy對client的 響應(yīng)信息��;第一通訊單元����,用以負(fù)責(zé)流媒體服務(wù)代理模塊中各單元與控制中心模塊的通訊���; 映射表維護(hù)單元��,用以負(fù)責(zé)各類端口信息與會(huì)話整體信息的映射表維護(hù)�; 數(shù)據(jù)傳送單元�,用以負(fù)責(zé)將流媒體服務(wù)器發(fā)送到Proxy對應(yīng)端口的數(shù)據(jù)根據(jù)映射表維 護(hù)單元中的對應(yīng)關(guān)系,轉(zhuǎn)發(fā)到客戶端的對應(yīng)端口���,包括視頻數(shù)據(jù)轉(zhuǎn)發(fā)����、音頻數(shù)據(jù)轉(zhuǎn)發(fā)、以及 相關(guān)的RTX數(shù)據(jù)轉(zhuǎn)發(fā)�����;執(zhí)行單元���,用以執(zhí)行控制中心模塊下達(dá)的各項(xiàng)命令�����。
6.根據(jù)權(quán)利要求4所述的流媒體服務(wù)系統(tǒng)���,其特征在于 所述控制中心模塊包括第二通訊單元,用以負(fù)責(zé)管理與所有Proxy之間的通信交互���,接收來自Proxy的報(bào)告�, 發(fā)送決策單元的命令至Proxy �;IAD構(gòu)建單元,用以負(fù)責(zé)對決策單元掌握的整個(gè)系統(tǒng)會(huì)話及IP信息進(jìn)行不定期隨機(jī)采 樣�,以及IAD受信任IP項(xiàng)的更迭維護(hù)�����;決策單元,用以根據(jù)各項(xiàng)統(tǒng)計(jì)數(shù)據(jù)做出決策���;當(dāng)單個(gè)IP的會(huì)話數(shù)量過多時(shí)��,該決策單元將通知Proxy剔除這一 IP地址的所有會(huì)話�;當(dāng)某一 IP被多次過濾時(shí)�,該決策單元將視該 IP為一惡意IP,通知Proxy將其加入黑名單�����;當(dāng)發(fā)現(xiàn)系統(tǒng)正遭受DDoS攻擊時(shí)����,該決策單元 將通知Proxy進(jìn)入攻擊反應(yīng)狀態(tài),同時(shí)�����,該決策單元將提取出IAD中的所有受信任IP將其 以白名單的形式發(fā)送給Proxy �;當(dāng)DDoS攻擊結(jié)束時(shí),該決策單元將通知所有Proxy恢復(fù)到 正常狀態(tài)���。
7. —種權(quán)利要求1至3所述攻擊防御系統(tǒng)的攻擊防御方法�����,其特征在于����,該方法包括如 下步驟RTSP請求接收步驟RTSP請求接收單元接收client的RTSP請求,將RTSP請求進(jìn)行解 析����,并將相關(guān)信息匯報(bào)給數(shù)據(jù)收集單元;數(shù)據(jù)收集步驟數(shù)據(jù)收集單元統(tǒng)計(jì)數(shù)據(jù)的采集及維護(hù)����,所述統(tǒng)計(jì)數(shù)據(jù)包括設(shè)定時(shí)間內(nèi) 新IP會(huì)話請求數(shù)據(jù);過濾步驟過濾單元根據(jù)控制中心模塊產(chǎn)生的明確過濾指令����,過濾掉相應(yīng)的惡意IP的 會(huì)話;回應(yīng)步驟回應(yīng)單元執(zhí)行整個(gè)攻擊反應(yīng)決策���,負(fù)責(zé)維護(hù)Proxy上的白名單�����、以及和白名 單相關(guān)的查詢工作�����,使得在攻擊防御的過程中RTSP請求接收單元仍能夠通過與回應(yīng)單元 的合作從而放行受信任IP用戶�����,繼續(xù)為受信任IP用戶提供服務(wù)��;映射步驟映射單元將Server對Proxy的RTSP響應(yīng)信息��,映射成Proxy對client的 響應(yīng)信息�����;映射表維護(hù)步驟映射表維護(hù)單元維護(hù)各類端口信息與會(huì)話整體信息的映射表�����;數(shù)據(jù)傳送步驟將流媒體服務(wù)器發(fā)送到Proxy對應(yīng)端口的數(shù)據(jù)根據(jù)映射表維護(hù)單元中 的對應(yīng)關(guān)系���,轉(zhuǎn)發(fā)到客戶端的對應(yīng)端口,包括視頻數(shù)據(jù)轉(zhuǎn)發(fā)����、音頻數(shù)據(jù)轉(zhuǎn)發(fā)���、以及相關(guān)的RTX 數(shù)據(jù)轉(zhuǎn)發(fā);IAD構(gòu)建步驟IAD構(gòu)建單元對決策單元掌握的整個(gè)系統(tǒng)會(huì)話及IP信息進(jìn)行不定期隨 機(jī)采樣����,以及IAD受信任IP項(xiàng)的更迭維護(hù);決策步驟決策單元根據(jù)各項(xiàng)統(tǒng)計(jì)數(shù)據(jù)做出決策�;當(dāng)單個(gè)IP的會(huì)話數(shù)量過多時(shí),該決 策單元將通知Proxy剔除這一 IP地址的所有會(huì)話��;當(dāng)某一 IP被多次過濾時(shí)����,該決策單元將 視該IP為一惡意IP,通知Proxy將其加入黑名單��;當(dāng)發(fā)現(xiàn)系統(tǒng)正遭受DDoS攻擊時(shí)���,該決策 單元將通知Proxy進(jìn)入攻擊反應(yīng)狀態(tài)���,同時(shí),該決策單元將提取出IAD中的所有受信任IP 將其以白名單的形式發(fā)送給Proxy �;當(dāng)DDoS攻擊結(jié)束時(shí)��,該決策單元將通知所有Proxy恢 復(fù)到正常狀態(tài)�����;執(zhí)行步驟執(zhí)行單元執(zhí)行控制中心模塊下達(dá)的各項(xiàng)命令,同時(shí)對途經(jīng)Proxy的所有會(huì) 話進(jìn)行轉(zhuǎn)發(fā)�����,包括RTSP控制請求的轉(zhuǎn)發(fā)以及RTP數(shù)據(jù)的轉(zhuǎn)發(fā)�。
全文摘要
本發(fā)明揭示一種流媒體服務(wù)器應(yīng)用層DDOS攻擊防御系統(tǒng)及方法,攻擊防御系統(tǒng)用以防御流媒體服務(wù)系統(tǒng)的DoS�����、DDoS攻擊�;所述流媒體服務(wù)系統(tǒng)包括服務(wù)主機(jī)Server、及至少一客戶端Client�����;所述防御系統(tǒng)連接服務(wù)主機(jī)Server����、及各客戶端Client。攻擊防御系統(tǒng)包括至少一流媒體服務(wù)代理模塊、控制中心模塊����。流媒體服務(wù)代理模塊用以負(fù)責(zé)流媒體控制信息及數(shù)據(jù)信息的轉(zhuǎn)發(fā)、各種統(tǒng)計(jì)信息的采集����、防御決策的最終執(zhí)行;控制中心模塊用以統(tǒng)籌監(jiān)測整個(gè)流媒體服務(wù)系統(tǒng)的當(dāng)前狀態(tài)���,并向Proxy發(fā)出命令進(jìn)行防御��。本發(fā)明前瞻性的研究基于流媒體RTSP的各種DDOS攻擊����,設(shè)計(jì)了一套基于PROXY GROUP的流媒體DDOS防御體系�����,有效的保障了互聯(lián)網(wǎng)上無須授權(quán)的流媒體服務(wù)的安全性�。
文檔編號H04L29/08GK101883078SQ20091005081
公開日2010年11月10日 申請日期2009年5月8日 優(yōu)先權(quán)日2009年5月8日
發(fā)明者葉德建, 陳雷 申請人:上海清鶴數(shù)碼科技有限公司