亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

一種網(wǎng)絡(luò)攻擊的防護(hù)方法、裝置及路由器的制作方法

文檔序號(hào):7762607閱讀:275來(lái)源:國(guó)知局
專利名稱:一種網(wǎng)絡(luò)攻擊的防護(hù)方法、裝置及路由器的制作方法
技術(shù)領(lǐng)域
本發(fā)明涉及通信技術(shù)領(lǐng)域,尤其涉及一種網(wǎng)絡(luò)攻擊的防護(hù)方法、裝置及路由器。
背景技術(shù)
隨著網(wǎng)絡(luò)的各種應(yīng)用不斷豐富,網(wǎng)絡(luò)安全成為越來(lái)越迫切的需求,由于攻擊者采 用更高級(jí)的技術(shù)手段和更先進(jìn)的設(shè)備,使得攻擊行為更加隱蔽以及攻擊能力更強(qiáng),傳統(tǒng)防 火墻設(shè)備已經(jīng)逐漸難以滿足要求。近年來(lái),針對(duì)應(yīng)用層(如游戲)協(xié)議的攻擊、利用僵尸網(wǎng) 絡(luò)進(jìn)行DDoS攻擊、超大流量攻擊(發(fā)送超大流量占據(jù)網(wǎng)絡(luò)和服務(wù)器帶寬)成為攻擊的主要 形式,而傳統(tǒng)防火墻由于分析能力和處理性能所限,對(duì)此類攻擊不能起到很好的防護(hù)效果。通過(guò)路由器集成防火墻和防DDoS特性可以較好地防范此類大規(guī)模的攻擊行為, 并且能夠節(jié)省投資和維護(hù)費(fèi)用,是一個(gè)好的選擇。路由器包括用戶業(yè)務(wù)網(wǎng)關(guān)和業(yè)務(wù)路由器 等設(shè)備類型,處于個(gè)人/企業(yè)用戶接入邊緣、數(shù)據(jù)中心入口,或者用于連接城域、骨干網(wǎng)絡(luò), 以及不同網(wǎng)間互聯(lián),能夠?qū)νㄟ^(guò)的所有流量進(jìn)行處理。由于路由器的處理能力非常強(qiáng),能夠 進(jìn)行多層次的流量控制和管理,并且所有處理過(guò)程基于在線流量完成,因此通過(guò)路由器進(jìn) 行DDoS攻擊防御具備更好的實(shí)時(shí)性和有效性。目前許多路由器設(shè)備廠商在其產(chǎn)品實(shí)現(xiàn)了 防DDoS功能,主要通過(guò)一個(gè)具備防火墻/防DDoS攻擊能力的業(yè)務(wù)單板,將通過(guò)路由器轉(zhuǎn)發(fā) 單板的流量重定向到該業(yè)務(wù)單板進(jìn)行攻擊檢測(cè)和清洗,完成處理的流量再轉(zhuǎn)發(fā)出去。在實(shí)現(xiàn)本發(fā)明過(guò)程中,發(fā)明人發(fā)現(xiàn)現(xiàn)有技術(shù)中至少存在如下問(wèn)題由于業(yè)務(wù)單板 也存在處理能力的限制,不能滿足對(duì)多個(gè)轉(zhuǎn)發(fā)單板的流量進(jìn)行處理,難以在網(wǎng)絡(luò)中進(jìn)行全 面布署,因此不能真正滿足客戶要求。現(xiàn)有技術(shù)中進(jìn)行模式統(tǒng)計(jì)分析識(shí)別DDoS攻擊流量的 方法,其分析統(tǒng)計(jì)量也存在很多缺陷,不能更準(zhǔn)確地發(fā)現(xiàn)特定應(yīng)用或內(nèi)容的攻擊行為。

發(fā)明內(nèi)容
本發(fā)明的實(shí)施例提供了一種網(wǎng)絡(luò)攻擊的防護(hù)方法、裝置及路由器,以更好地達(dá)到 攻擊檢測(cè)和防護(hù)效果,特別是應(yīng)用層的攻擊。本發(fā)明實(shí)施例提供的一種網(wǎng)絡(luò)攻擊的防護(hù)方法,包括分布式接口板對(duì)本板流量進(jìn)行本地攻擊檢測(cè)和過(guò)濾,進(jìn)行基于三至七層應(yīng)用或內(nèi) 容的模式統(tǒng)計(jì)分析并向業(yè)務(wù)板上報(bào)統(tǒng)計(jì)信息;業(yè)務(wù)板根據(jù)所述分布式接口板上報(bào)的統(tǒng)計(jì)信息進(jìn)行全局的攻擊判斷和管理。本發(fā)明實(shí)施例提供的一種網(wǎng)絡(luò)攻擊的防護(hù)裝置,包括分布式接口板,用于對(duì)本板流量進(jìn)行本地攻擊檢測(cè)和過(guò)濾,進(jìn)行基于三至七層應(yīng) 用或內(nèi)容的模式統(tǒng)計(jì)分析并向業(yè)務(wù)板上報(bào)統(tǒng)計(jì)信息;業(yè)務(wù)板,用于根據(jù)所述分布式接口板上報(bào)的統(tǒng)計(jì)信息進(jìn)行全局的攻擊判斷和管理。本發(fā)明實(shí)施例提供的一種路由器,包括分布式接口板,用于對(duì)本板流量進(jìn)行本地攻擊檢測(cè)和過(guò)濾,進(jìn)行基于三至七層應(yīng)用或內(nèi)容的模式統(tǒng)計(jì)分析并向業(yè)務(wù)板上報(bào)統(tǒng)計(jì)信息;業(yè)務(wù)板,用于根據(jù)所述分布式接口板上報(bào)的統(tǒng)計(jì)信息進(jìn)行全局的攻擊判斷和管理。本發(fā)明實(shí)施例技術(shù)方案帶來(lái)的有益效果更好地達(dá)到攻擊檢測(cè)和防護(hù)效果,特別 是應(yīng)用層的攻擊,采用路由器集成,能對(duì)所有流量進(jìn)行處理,充分滿足布署要求。


為了更清楚地說(shuō)明本發(fā)明實(shí)施例的技術(shù)方案,下面將對(duì)實(shí)施例描述中所需要使用 的附圖作簡(jiǎn)單地介紹,顯而易見(jiàn)地,下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例,對(duì)于本 領(lǐng)域普通技術(shù)人員來(lái)講,在不付出創(chuàng)造性勞動(dòng)性的前提下,還可以根據(jù)這些附圖獲得其他 的附圖。圖1為本發(fā)明一實(shí)施例提供的一種網(wǎng)絡(luò)攻擊的防護(hù)方法的流程圖;圖2為本發(fā)明一實(shí)施例提供的一種分布式兩級(jí)防攻擊架構(gòu)的示意圖;圖3為本發(fā)明一實(shí)施例提供一種網(wǎng)絡(luò)攻擊的防護(hù)裝置的示意圖;圖4為本發(fā)明一實(shí)施例提供一種網(wǎng)絡(luò)攻擊的防護(hù)裝置的示意圖;圖5為本發(fā)明一實(shí)施例提供一種網(wǎng)絡(luò)攻擊的防護(hù)裝置的示意圖;圖6為本發(fā)明一實(shí)施例提供一種路由器的示意圖。
具體實(shí)施例方式下面將結(jié)合本發(fā)明實(shí)施例中的附圖,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完 整地描述,顯然,所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例,而不是全部的實(shí)施例。基于 本發(fā)明中的實(shí)施例,本領(lǐng)域普通技術(shù)人員在沒(méi)有做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他 實(shí)施例,都屬于本發(fā)明保護(hù)的范圍。如圖1所示,本發(fā)明實(shí)施例提供的網(wǎng)絡(luò)攻擊的防護(hù)方法,包括分布式接口板對(duì)本 板流量進(jìn)行本地攻擊檢測(cè)和過(guò)濾,進(jìn)行基于三至七層應(yīng)用或內(nèi)容的模式統(tǒng)計(jì)分析并向業(yè)務(wù) 板上報(bào)統(tǒng)計(jì)信息;業(yè)務(wù)板根據(jù)所述分布式接口板上報(bào)的統(tǒng)計(jì)信息進(jìn)行全局的攻擊判斷和管 理。從而能夠更好地達(dá)到攻擊檢測(cè)和防護(hù)效果,特別是應(yīng)用層的攻擊。為便于對(duì)本發(fā)明實(shí)施例的理解,下面將對(duì)本發(fā)明實(shí)施例在具體應(yīng)用過(guò)程中的實(shí)現(xiàn) 過(guò)程進(jìn)行詳細(xì)說(shuō)明。本發(fā)明實(shí)施例提供的網(wǎng)絡(luò)攻擊的防護(hù)方法,包括Si、分布式接口板對(duì)本板流量進(jìn)行本地攻擊檢測(cè)和過(guò)濾,進(jìn)行基于三至七層應(yīng)用 或內(nèi)容的模式統(tǒng)計(jì)分析并向業(yè)務(wù)板上報(bào)統(tǒng)計(jì)信息;該步驟具體包括分布式接口板基于深度報(bào)文檢測(cè)DPI進(jìn)行指紋過(guò)濾,丟棄包含非法指紋特征的攻 擊報(bào)文;分布式接口板分別以源IP地址、目的IP地址查找黑名單表,對(duì)特定源或目的IP 地址的流量進(jìn)行丟棄;分布式接口板查找動(dòng)態(tài)訪問(wèn)控制列表ACL,命中動(dòng)態(tài)ACL的報(bào)文屬于攻擊流量,將 根據(jù)動(dòng)態(tài)訪問(wèn)控制列表ACL的動(dòng)作進(jìn)行處理(丟棄或限速等);
所述分布式接口板進(jìn)行基于流的處理,包括查找五元組流表,根據(jù)流表的業(yè)務(wù)動(dòng) 作進(jìn)行處理,如果查流表不存在,則將報(bào)文上送到所述業(yè)務(wù)板進(jìn)行首包分析及查找策略以
建立流表。而分布式接口板進(jìn)行基于流的處理,具體還包括對(duì)所有流表表項(xiàng)進(jìn)行遍歷,并對(duì)每個(gè)表項(xiàng)檢查是否要作模式統(tǒng)計(jì)分析(所謂模式 統(tǒng)計(jì)流表中保存一條流的原始統(tǒng)計(jì)數(shù)據(jù),包括包數(shù)量、包字節(jié)數(shù)量、特定協(xié)議或消息包數(shù) 量(如TCP syn/fin/RST包數(shù)量、DNS請(qǐng)求消息包數(shù)量、HTTP請(qǐng)求消息包數(shù)量等),用戶配 置需要進(jìn)行模式分析的模板策略,模板類型以報(bào)文五元組為基礎(chǔ),也可以包含VPN ID、用戶 ID等,包括(不限于)表1所示模板1 目的IP+目的端口+協(xié)議號(hào)模板2 源IP+目的端口 +協(xié)議號(hào)模板3 目的端口 +協(xié)議號(hào)模板4 目的IP+協(xié)議號(hào)模板5:源IP+協(xié)議號(hào)模板6 協(xié)議號(hào)表 1模式統(tǒng)計(jì)分析的含義是指根據(jù)實(shí)際的流表中的原始統(tǒng)計(jì)值,按照以上模板建立聚 合流,其中保存所有相同屬性的流的統(tǒng)計(jì)值的累加并進(jìn)行各種計(jì)算(如計(jì)算包速率、連接 總數(shù)等),然后檢查計(jì)算結(jié)果是否超出相應(yīng)的閾值;比如模板1,對(duì)具有相同的目的IP、目的端口、協(xié)議號(hào)的多條流的統(tǒng)計(jì)值進(jìn)行累 加,并計(jì)算速率是否超過(guò)了預(yù)先配好的閾值,超過(guò)閾值認(rèn)為異常發(fā)生。),如果是,則根據(jù)相應(yīng)模式進(jìn)行統(tǒng)計(jì)的聚合處理,并將計(jì)算出的相應(yīng)統(tǒng)計(jì)量(如包 平均速率)與保存的模式對(duì)應(yīng)的基線閾值進(jìn)行對(duì)比,超過(guò)閾值時(shí)認(rèn)為流量異常,上報(bào)所述 統(tǒng)計(jì)量和異常事件到業(yè)務(wù)板。S2、業(yè)務(wù)板根據(jù)分布式接口板上報(bào)的統(tǒng)計(jì)信息進(jìn)行全局的攻擊判斷和管理。具體的,業(yè)務(wù)板查找業(yè)務(wù)板的動(dòng)態(tài)訪問(wèn)控制列表ACL進(jìn)行全局過(guò)濾或限速,通過(guò) 的流量進(jìn)行深度報(bào)文檢測(cè)DPI匹配查找更多的指紋特征(接口板的DPI只作常用特征的 檢查),匹配特征的報(bào)文被丟棄,否則進(jìn)行正常報(bào)文的建流處理(查找用戶策略獲取處理動(dòng) 作,然后發(fā)起建立接口板的流表,其中攜帶當(dāng)前流的處理動(dòng)作)。業(yè)務(wù)板根據(jù)不同所述分布式接口板上報(bào)的統(tǒng)計(jì)量,生成基于時(shí)間段的流量基線閾 值(包括全局的閾值和不同接口板本地用的閾值),監(jiān)控各所述分布式接口板上報(bào)的流量 的實(shí)時(shí)情況,并按不同權(quán)重生成各分布式接口板的本地閾值下發(fā)到各分布式接口板以進(jìn)行 本地攻擊識(shí)別;所述業(yè)務(wù)板根據(jù)所述分布式接口板上報(bào)的異常事件進(jìn)行全局的分析,并判 斷進(jìn)行的動(dòng)作處理(包括動(dòng)態(tài)加入/刪除黑名單、生成/刪除動(dòng)態(tài)ACL等)。如圖2所示,本發(fā)明的防DDoS攻擊架構(gòu)分為兩個(gè)層次外層防護(hù)由各接口板分別 處理,每個(gè)接口板可以包括一個(gè)防攻擊本地模塊,每個(gè)防攻擊本地模塊,能夠處理應(yīng)用/非 法特征識(shí)別、基于應(yīng)用(L3至L7層)的模式統(tǒng)計(jì)分析;內(nèi)層防護(hù)由業(yè)務(wù)板進(jìn)行處理,業(yè)務(wù)板可以存在多塊,多塊業(yè)務(wù)板之間可以進(jìn)行流量負(fù)載分擔(dān)處理以及進(jìn)行冗余保護(hù),業(yè)務(wù)板上 的防攻擊中心處理模塊可以收集到設(shè)備上所有接口板上的信息,能夠進(jìn)行全局的攻擊判斷 和管理,包括各種攻擊模板的基線閾值管理和動(dòng)態(tài)下發(fā),屬于集中式的控制中心,所有分析 可以基于應(yīng)用(L3-L7)進(jìn)行。外層防護(hù)和內(nèi)層防護(hù)的主要功能包括外層防護(hù)(分布式,L3 L7)L3處理基于源IP和目的IP查黑白名單表,獲取黑白名單信息,屬于黑名單則直 接丟棄報(bào)文,屬于白名單則不再對(duì)該報(bào)文作安全檢查。L4處理根據(jù)本地動(dòng)態(tài)ACL進(jìn)行本地過(guò)濾,本地動(dòng)態(tài)ACL由本地攻擊識(shí)別之后(超 過(guò)本地相應(yīng)模板閾值)產(chǎn)生,可由防攻擊本地模塊產(chǎn)生或由業(yè)務(wù)板下發(fā)產(chǎn)生,攻擊停止之 后本地動(dòng)態(tài)ACL刪除。L5 L7處理根據(jù)流表動(dòng)作進(jìn)行控制(動(dòng)作包括丟棄、通過(guò)、限流、修改調(diào)度優(yōu)先 級(jí)等),流表由業(yè)務(wù)板根據(jù)首包進(jìn)行DPI識(shí)別之后下發(fā)到接口板。特征碼(攻擊指紋)過(guò)濾由防攻擊本地模塊進(jìn)行報(bào)文深層檢測(cè)DPI,匹配到相應(yīng) 指紋特征的報(bào)文進(jìn)行相應(yīng)動(dòng)作(如丟棄)?;谀J降慕y(tǒng)計(jì)聚合接口板遍歷流表,根據(jù)流表中的原始統(tǒng)計(jì)數(shù)據(jù)基于不同模 式進(jìn)行統(tǒng)計(jì)聚合分析,聚合后發(fā)現(xiàn)統(tǒng)計(jì)量超過(guò)基線閾值,即檢測(cè)到流量異常,將統(tǒng)計(jì)結(jié)果上 送到業(yè)務(wù)板進(jìn)行攻擊判斷以及查找策略以明確相應(yīng)動(dòng)作,并生成相應(yīng)的動(dòng)態(tài)黑白名單表和 動(dòng)態(tài)ACL下發(fā)到接口板。內(nèi)層防護(hù)(集中控制/負(fù)載分擔(dān),L3 L7)L3處理①保存黑白名單策略,下發(fā)黑白名單表項(xiàng)到接口板。②對(duì)可疑IP進(jìn)行源地址探測(cè)/認(rèn)證(發(fā)送相應(yīng)協(xié)議的請(qǐng)求報(bào)文到源地址檢查其 是否返回響應(yīng)消息,如果不返回,認(rèn)為是假冒IP,源地址認(rèn)證結(jié)果為不通過(guò))。L4 ①業(yè)務(wù)板根據(jù)模式統(tǒng)計(jì)分析結(jié)果確認(rèn)是否發(fā)現(xiàn)攻擊行為,如果確認(rèn)攻擊,則生 成全局動(dòng)態(tài)ACL下發(fā)到本板的轉(zhuǎn)發(fā)層面以對(duì)數(shù)據(jù)報(bào)文進(jìn)行控制,并分解動(dòng)態(tài)ACL下發(fā)到接 口板生成該接口板的本地動(dòng)態(tài)ACL。業(yè)務(wù)板在確認(rèn)攻擊停止后刪除全局動(dòng)態(tài)ACL及相應(yīng)的 接口板的本地動(dòng)態(tài)ACL。②發(fā)現(xiàn)攻擊時(shí)根據(jù)策略進(jìn)行強(qiáng)保護(hù)措施,即對(duì)建立TCP的流量通過(guò)TCP代理(TCP proxy)進(jìn)行處理。(TCP proxy 功能一個(gè)TCP連接的建立需要三次握手過(guò)程連接的發(fā)起者向?qū)Ψ桨l(fā)送一個(gè)TCP的數(shù) 據(jù)包,這個(gè)數(shù)據(jù)包包含一個(gè)初始的序列號(hào),并把TCP的SYN標(biāo)志位置位;接受者收到這個(gè)數(shù) 據(jù)包之后,應(yīng)該回應(yīng)一個(gè)TCP數(shù)據(jù)包,并在其中包含了接受者自己的初始序列號(hào),并把SYN、 ACK這兩個(gè)標(biāo)志位同時(shí)置位,表明收到了 SYN的請(qǐng)求并同時(shí)向發(fā)送者請(qǐng)求TCP連接。連接的 發(fā)送者為了完成這個(gè)連接,必須對(duì)接受者的SYN包進(jìn)行應(yīng)答,即返回一個(gè)ACK置位的TCP數(shù) 據(jù)包。經(jīng)過(guò)三次握手過(guò)程,TCP連接建立成功,可以傳送數(shù)據(jù)。TCP proxy過(guò)程當(dāng)一個(gè)TCP請(qǐng)求包到達(dá)目標(biāo)服務(wù)器之前,路由器/防攻擊模塊代 表服務(wù)器向請(qǐng)求方進(jìn)行應(yīng)答半進(jìn)行三次握手。而只有當(dāng)三次握手完成后,路由器/防攻擊 模塊才會(huì)在和服務(wù)器建立第二個(gè)連接,連接完成之后,路由器/防攻擊模塊通過(guò)對(duì)序列號(hào)的轉(zhuǎn)換將兩個(gè)連接合并成一個(gè)以傳送數(shù)據(jù)。)L5 L7處理①對(duì)首包進(jìn)行DPI識(shí)別,區(qū)分不同應(yīng)用協(xié)議檢測(cè)是否攻擊行為或者 進(jìn)行相關(guān)安全處理,如對(duì)HTTP協(xié)議報(bào)文進(jìn)行URL過(guò)濾、對(duì)應(yīng)用協(xié)議進(jìn)行狀態(tài)檢測(cè)(狀態(tài)不 一致則認(rèn)為非法、對(duì)僵尸網(wǎng)絡(luò)相關(guān)協(xié)議(如聊天協(xié)議)進(jìn)行分析識(shí)別到是否僵尸控制者發(fā) 出的控制命令等。②通過(guò)DPI技術(shù)對(duì)報(bào)文進(jìn)行特征碼(指紋)匹配,識(shí)別到具備相應(yīng)特征的報(bào)文進(jìn) 行丟棄。動(dòng)態(tài)閾值管理根據(jù)不同攻擊模板以及接口板上報(bào)的統(tǒng)計(jì)數(shù)據(jù),生成基于時(shí)間段 的流量基線閾值(包括全局的閾值和不同接口板本地用的閾值),基線閾值根據(jù)長(zhǎng)期的統(tǒng) 計(jì)進(jìn)行不斷調(diào)整,另外可以監(jiān)控各接口板上報(bào)的流量的實(shí)時(shí)情況,并按不同權(quán)重生成各接 口板的本地閾值下發(fā)到接口板以進(jìn)行本地攻擊識(shí)別。本發(fā)明實(shí)施例能夠更好地達(dá)到攻擊檢測(cè)和防護(hù)效果,特別是應(yīng)用層的攻擊。如圖3所示,本發(fā)明另一實(shí)施例還提供一種網(wǎng)絡(luò)攻擊的防護(hù)裝置,包括分布式接口板,用于對(duì)本板流量進(jìn)行本地攻擊檢測(cè)和過(guò)濾,進(jìn)行基于三至七層應(yīng) 用或內(nèi)容的模式統(tǒng)計(jì)分析并向業(yè)務(wù)板上報(bào)統(tǒng)計(jì)信息;業(yè)務(wù)板,用于根據(jù)所述分布式接口板上報(bào)的統(tǒng)計(jì)信息進(jìn)行全局的攻擊判斷和管理。如圖4所示,本發(fā)明另一實(shí)施例提供的一種網(wǎng)絡(luò)攻擊的防護(hù)裝置,具有圖3所示的 分布式接口板和業(yè)務(wù)板,其中,分布式接口板具體包括指紋過(guò)濾模塊,用于基于深度報(bào)文檢測(cè)DPI進(jìn)行指紋過(guò)濾,丟棄包含非法指紋特 征的攻擊報(bào)文;黑名單表處理模塊,用于分別以源IP地址、目的IP地址查找黑名單表,對(duì)特定源 或目的IP地址的流量進(jìn)行丟棄;動(dòng)態(tài)訪問(wèn)控制列表處理模塊,用于查找動(dòng)態(tài)訪問(wèn)控制列表ACL,命中動(dòng)態(tài)ACL的報(bào) 文屬于攻擊流量,將根據(jù)動(dòng)態(tài)訪問(wèn)控制列表ACL的動(dòng)作進(jìn)行處理;流表處理模塊,用于查找五元組流表,進(jìn)行基于流的業(yè)務(wù)動(dòng)作處理,并用于如果查 流表不存在,則將報(bào)文上送到所述業(yè)務(wù)板進(jìn)行首包分析及查找策略以建立流表。更進(jìn)一步的,所述流表處理模塊,具體用于對(duì)所有流表表項(xiàng)進(jìn)行遍歷,并對(duì)每個(gè)表 項(xiàng)檢查是否要作模式統(tǒng)計(jì)分析,如果是,則根據(jù)相應(yīng)模式進(jìn)行統(tǒng)計(jì)的聚合處理,并將計(jì)算出 的相應(yīng)統(tǒng)計(jì)量與保存的模式對(duì)應(yīng)的基線閾值進(jìn)行對(duì)比,超過(guò)閾值時(shí)認(rèn)為流量異常,上報(bào)所 述統(tǒng)計(jì)量和異常事件到業(yè)務(wù)板。如圖5所示,本發(fā)明另一實(shí)施例提供的一種網(wǎng)絡(luò)攻擊的防護(hù)裝置,具有圖3所示的 分布式接口板和業(yè)務(wù)板,其中,業(yè)務(wù)板具體包括全局處理模塊,用于查找所述業(yè)務(wù)板的動(dòng)態(tài)訪問(wèn)控制列表ACL進(jìn)行全局過(guò)濾或限 速,通過(guò)的流量進(jìn)行深度報(bào)文檢測(cè)DPI匹配查找更多的指紋特征,匹配特征的報(bào)文被丟棄, 否則進(jìn)行正常報(bào)文的建流處理。更進(jìn)一步的,所述全局處理模塊,具體用于根據(jù)不同所述分布式接口板上報(bào)的統(tǒng) 計(jì)量,生成基于時(shí)間段的流量基線閾值,監(jiān)控各所述分布式接口板上報(bào)的流量的實(shí)時(shí)情況, 并按不同權(quán)重生成各分布式接口板的本地閾值下發(fā)到各分布式接口板以進(jìn)行本地攻擊識(shí)別;并具體用于根據(jù)所述分布式接口板上報(bào)的異常事件進(jìn)行全局的分析,并判斷進(jìn)行的動(dòng) 作處理。本發(fā)明實(shí)施例能夠更好地達(dá)到攻擊檢測(cè)和防護(hù)效果,特別是應(yīng)用層的攻擊。如圖6所示,本發(fā)明另一實(shí)施例還提供一種路由器,包括分布式接口板,用于對(duì)本板流量進(jìn)行本地攻擊檢測(cè)和過(guò)濾,進(jìn)行基于三至七層應(yīng) 用或內(nèi)容的模式統(tǒng)計(jì)分析并向業(yè)務(wù)板上報(bào)統(tǒng)計(jì)信息;業(yè)務(wù)板,用于根據(jù)所述分布式接口板上報(bào)的統(tǒng)計(jì)信息進(jìn)行全局的攻擊判斷和管理。本發(fā)明實(shí)施例能夠更好地達(dá)到攻擊檢測(cè)和防護(hù)效果,特別是應(yīng)用層的攻擊,采用 路由器集成,能對(duì)所有流量進(jìn)行處理,充分滿足布署要求。上述裝置各組成部分之間具體的信號(hào)處理、執(zhí)行過(guò)程等內(nèi)容,由于與本發(fā)明方法 實(shí)施例基于同一構(gòu)想,可參見(jiàn)本發(fā)明方法實(shí)施例的敘述,此處不再贅述。以上所述,僅為本發(fā)明較佳的具體實(shí)施方式
,但本發(fā)明的保護(hù)范圍并不局限于此, 任何熟悉本技術(shù)領(lǐng)域的技術(shù)人員在本發(fā)明揭露的技術(shù)范圍內(nèi),可輕易想到的變化或替換, 都應(yīng)涵蓋在本發(fā)明的保護(hù)范圍之內(nèi)。因此,本發(fā)明的保護(hù)范圍應(yīng)該以權(quán)利要求的保護(hù)范圍 為準(zhǔn)。
權(quán)利要求
1.一種網(wǎng)絡(luò)攻擊的防護(hù)方法,其特征在于,包括分布式接口板對(duì)本板流量進(jìn)行本地攻擊檢測(cè)和過(guò)濾,進(jìn)行基于三至七層應(yīng)用或內(nèi)容的 模式統(tǒng)計(jì)分析并向業(yè)務(wù)板上報(bào)統(tǒng)計(jì)信息;業(yè)務(wù)板根據(jù)所述分布式接口板上報(bào)的統(tǒng)計(jì)信息進(jìn)行全局的攻擊判斷和管理。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于,分布式接口板對(duì)本板流量進(jìn)行本地攻擊 檢測(cè)和過(guò)濾,進(jìn)行基于三至七層應(yīng)用或內(nèi)容的模式統(tǒng)計(jì)分析并向業(yè)務(wù)板上報(bào)統(tǒng)計(jì)信息具體 包括所述分布式接口板基于深度報(bào)文檢測(cè)DPI進(jìn)行指紋過(guò)濾,丟棄包含非法指紋特征的攻 擊報(bào)文;所述分布式接口板分別以源IP地址、目的IP地址查找黑名單表,對(duì)特定源或目的IP 地址的流量進(jìn)行丟棄;所述分布式接口板查找動(dòng)態(tài)訪問(wèn)控制列表ACL,命中動(dòng)態(tài)ACL的報(bào)文屬于攻擊流量,將 根據(jù)動(dòng)態(tài)訪問(wèn)控制列表ACL的動(dòng)作進(jìn)行處理;所述分布式接口板進(jìn)行基于流的處理,包括查找五元組流表,根據(jù)流表的業(yè)務(wù)動(dòng)作進(jìn) 行處理,如果查流表不存在,則將報(bào)文上送到所述業(yè)務(wù)板進(jìn)行首包分析及查找策略以建立 流表。
3.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述業(yè)務(wù)板根據(jù)所述分布式接口板上報(bào) 的統(tǒng)計(jì)信息進(jìn)行全局的攻擊判斷和管理具體包括所述業(yè)務(wù)板查找所述業(yè)務(wù)板的動(dòng)態(tài)訪問(wèn)控制列表ACL進(jìn)行全局過(guò)濾或限速,通過(guò)的流 量進(jìn)行深度報(bào)文檢測(cè)DPI匹配查找更多的指紋特征,匹配特征的報(bào)文被丟棄,否則進(jìn)行正 常報(bào)文的建流處理。
4.根據(jù)權(quán)利要求2所述的方法,其特征在于,所述分布式接口板進(jìn)行基于流的處理,具 體還包括對(duì)所有流表表項(xiàng)進(jìn)行遍歷,并對(duì)每個(gè)表項(xiàng)檢查是否要作模式統(tǒng)計(jì)分析,如果是,則根據(jù) 相應(yīng)模式進(jìn)行統(tǒng)計(jì)的聚合處理,并將計(jì)算出的相應(yīng)統(tǒng)計(jì)量與保存的模式對(duì)應(yīng)的基線閾值進(jìn) 行對(duì)比,超過(guò)閾值時(shí)認(rèn)為流量異常,上報(bào)所述統(tǒng)計(jì)量和異常事件到業(yè)務(wù)板。
5.根據(jù)權(quán)利要求4所述的方法,其特征在于,所述業(yè)務(wù)板根據(jù)所述接口板上報(bào)的統(tǒng)計(jì) 信息進(jìn)行全局的攻擊判斷和管理具體包括所述業(yè)務(wù)板根據(jù)不同所述分布式接口板上報(bào)的統(tǒng)計(jì)量,生成基于時(shí)間段的流量基線閾 值,監(jiān)控各所述分布式接口板上報(bào)的流量的實(shí)時(shí)情況,并按不同權(quán)重生成各分布式接口板 的本地閾值下發(fā)到各分布式接口板以進(jìn)行本地攻擊識(shí)別;所述業(yè)務(wù)板根據(jù)所述分布式接口 板上報(bào)的異常事件進(jìn)行全局的分析,并判斷進(jìn)行的動(dòng)作處理。
6.一種網(wǎng)絡(luò)攻擊的防護(hù)裝置,其特征在于,包括分布式接口板,用于對(duì)本板流量進(jìn)行本地攻擊檢測(cè)和過(guò)濾,進(jìn)行基于三至七層應(yīng)用或 內(nèi)容的模式統(tǒng)計(jì)分析并向業(yè)務(wù)板上報(bào)統(tǒng)計(jì)信息;業(yè)務(wù)板,用于根據(jù)所述分布式接口板上報(bào)的統(tǒng)計(jì)信息進(jìn)行全局的攻擊判斷和管理。
7.根據(jù)權(quán)利要求6所述的防護(hù)裝置,其特征在于,所述分布式接口板具體包括指紋過(guò)濾模塊,用于基于深度報(bào)文檢測(cè)DPI進(jìn)行指紋過(guò)濾,丟棄包含非法指紋特征的攻擊報(bào)文;黑名單表處理模塊,用于分別以源IP地址、目的IP地址查找黑名單表,對(duì)特定源或目 的IP地址的流量進(jìn)行丟棄;動(dòng)態(tài)訪問(wèn)控制列表處理模塊,用于查找動(dòng)態(tài)訪問(wèn)控制列表ACL,命中動(dòng)態(tài)ACL的報(bào)文屬 于攻擊流量,將根據(jù)動(dòng)態(tài)訪問(wèn)控制列表ACL的動(dòng)作進(jìn)行處理;流表處理模塊,用于查找五元組流表,進(jìn)行基于流的業(yè)務(wù)動(dòng)作處理,并用于如果查流表 不存在,則將報(bào)文上送到所述業(yè)務(wù)板進(jìn)行首包分析及查找策略以建立流表。
8.根據(jù)權(quán)利要求6所述的防護(hù)裝置,其特征在于,所述業(yè)務(wù)板具體包括全局處理模塊,用于查找所述業(yè)務(wù)板的動(dòng)態(tài)訪問(wèn)控制列表ACL進(jìn)行全局過(guò)濾或限速, 通過(guò)的流量進(jìn)行深度報(bào)文檢測(cè)DPI匹配查找更多的指紋特征,匹配特征的報(bào)文被丟棄,否 則進(jìn)行正常報(bào)文的建流處理。
9.根據(jù)權(quán)利要求7所述的防護(hù)裝置,其特征在于,所述流表處理模塊,具體用于對(duì)所有 流表表項(xiàng)進(jìn)行遍歷,并對(duì)每個(gè)表項(xiàng)檢查是否要作模式統(tǒng)計(jì)分析,如果是,則根據(jù)相應(yīng)模式進(jìn) 行統(tǒng)計(jì)的聚合處理,并將計(jì)算出的相應(yīng)統(tǒng)計(jì)量與保存的模式對(duì)應(yīng)的基線閾值進(jìn)行對(duì)比,超 過(guò)閾值時(shí)認(rèn)為流量異常,上報(bào)所述統(tǒng)計(jì)量和異常事件到業(yè)務(wù)板。
10.一種路由器,其特征在于,包括分布式接口板,用于對(duì)本板流量進(jìn)行本地攻擊檢測(cè)和過(guò)濾,進(jìn)行基于三至七層應(yīng)用或 內(nèi)容的模式統(tǒng)計(jì)分析并向業(yè)務(wù)板上報(bào)統(tǒng)計(jì)信息;業(yè)務(wù)板,用于根據(jù)所述分布式接口板上報(bào)的統(tǒng)計(jì)信息進(jìn)行全局的攻擊判斷和管理。
全文摘要
本發(fā)明實(shí)施例公開(kāi)了一種網(wǎng)絡(luò)攻擊的防護(hù)方法、防護(hù)裝置和路由器,包括分布式接口板對(duì)本板流量進(jìn)行本地攻擊檢測(cè)和過(guò)濾,進(jìn)行基于三至七層應(yīng)用或內(nèi)容的模式統(tǒng)計(jì)分析并向業(yè)務(wù)板上報(bào)統(tǒng)計(jì)信息;業(yè)務(wù)板根據(jù)所述分布式接口板上報(bào)的統(tǒng)計(jì)信息進(jìn)行全局的攻擊判斷和管理。從而能夠更好地達(dá)到攻擊檢測(cè)和防護(hù)效果,特別是應(yīng)用層的攻擊。
文檔編號(hào)H04L12/56GK102143143SQ20101051237
公開(kāi)日2011年8月3日 申請(qǐng)日期2010年10月15日 優(yōu)先權(quán)日2010年10月15日
發(fā)明者滕新東 申請(qǐng)人:華為數(shù)字技術(shù)有限公司
網(wǎng)友詢問(wèn)留言 已有0條留言
  • 還沒(méi)有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
1