專利名稱:一種抗拒絕服務(wù)防護(hù)策略配置方法、裝置及相關(guān)設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域,尤指一種抗拒絕服務(wù)防護(hù)策略配置方法、裝置及相關(guān)設(shè)備。
背景技術(shù):
拒絕服務(wù)(Denial of service,DOS)攻擊是目前常被黑客使用的且不易防范的攻擊手段之一,其原理是通過使網(wǎng)絡(luò)過載來干擾甚至阻斷正常的網(wǎng)絡(luò)通信,具體的是通過向主機(jī)設(shè)備提交大量的合法請(qǐng)求,使主機(jī)設(shè)備超負(fù)荷,從而阻斷主機(jī)設(shè)備接收正常訪問。而抗DOS設(shè)備正是為了保證正常的網(wǎng)絡(luò)通信而出現(xiàn)的,抗DOS設(shè)備上的防護(hù)策略可以阻止用戶所要防護(hù)的主機(jī)設(shè)備上的大量異常訪問,因此,合理精確地配置防護(hù)策略,不僅可以使抗DOS設(shè)備的功能發(fā)揮到最大,而且還可以保證正常的網(wǎng)絡(luò)通信。
對(duì)于用戶來說,由于不太了解抗DOS的相關(guān)知識(shí),不明白專業(yè)性很強(qiáng)的參數(shù)指標(biāo)的具體含義,通常會(huì)直接使用通用的防護(hù)策略模板來配置防護(hù)策略,事實(shí)上,DOS攻擊的范圍非常廣泛,用戶所屬的行業(yè)也千差萬別,并且即使是同一個(gè)行業(yè),用戶所要防護(hù)的主機(jī)設(shè)備的端口對(duì)應(yīng)的服務(wù)類型、流量大小等也可能存在很大差異,因而,用戶所要防護(hù)的主機(jī)設(shè)備需要的防護(hù)策略通常不同,而通用的防護(hù)策略模版是針對(duì)廣泛通用的用戶的主機(jī)設(shè)備制定的,只能保護(hù)大多數(shù)的一般用戶的主機(jī)設(shè)備,并不能完全適用于用戶所要防護(hù)的主機(jī)設(shè)備,甚至對(duì)有些異常訪問并不能起到防護(hù)作用。因此,采用通用的防護(hù)策略模板為用戶所要防護(hù)的主機(jī)設(shè)備配置的防護(hù)策略,防護(hù)效果較差。
發(fā)明內(nèi)容
本發(fā)明實(shí)施例提供一種抗拒絕服務(wù)防護(hù)策略配置方法、裝置及相關(guān)設(shè)備,用以解決現(xiàn)有技術(shù)中存在的采用通用防護(hù)策略配置模板為用戶的主機(jī)設(shè)備配置的防護(hù)策略,防護(hù)效果較差的問題。一種抗拒絕服務(wù)防護(hù)策略配置方法,包括A、探測(cè)用戶輸入的標(biāo)識(shí)信息對(duì)應(yīng)的主機(jī)設(shè)備,確定在線主機(jī)設(shè)備,并獲取所述在線主機(jī)設(shè)備開啟的端口信息;B、將開啟端口相同的在線主機(jī)設(shè)備作為一組;C、根據(jù)每組在線主機(jī)設(shè)備開啟端口對(duì)應(yīng)的服務(wù)類型,開啟與服務(wù)類型對(duì)應(yīng)的防護(hù)策略。一種抗拒絕服務(wù)防護(hù)策略配置裝置,包括探測(cè)單元,用于探測(cè)用戶輸入的標(biāo)識(shí)信息對(duì)應(yīng)的主機(jī)設(shè)備,確定在線主機(jī)設(shè)備,并獲取所述在線主機(jī)設(shè)備開啟的端口信息;分組單元,用于將開啟端口相同的在線主機(jī)設(shè)備作為一組;開啟單元,用于根據(jù)每組在線主機(jī)設(shè)備開啟端口對(duì)應(yīng)的服務(wù)類型,開啟與服務(wù)類型對(duì)應(yīng)的防護(hù)策略。
一種抗拒絕服務(wù)數(shù)據(jù)中心,包括上述抗拒絕服務(wù)防護(hù)策略配置裝置。本發(fā)明有益效果如下本發(fā)明實(shí)施例提供的抗拒絕服務(wù)防護(hù)策略配置方法、裝置及相關(guān)設(shè)備,通過探測(cè)用戶輸入的標(biāo)識(shí)信息對(duì)應(yīng)的主機(jī)設(shè)備,確定在線主機(jī)設(shè)備,并獲取所述在線主機(jī)設(shè)備開啟的端口信息;將開啟端口相同的在線主機(jī)設(shè)備作為一組;根據(jù)每組在線主機(jī)設(shè)備開啟端口對(duì)應(yīng)的服務(wù)類型,開啟與服務(wù)類型對(duì)應(yīng)的防護(hù)策略。該方案中不再采用通用的抗拒絕服務(wù)防護(hù)策略模板,而是首先確定用戶輸入的標(biāo)識(shí)信息對(duì)應(yīng)的主機(jī)設(shè)備中的在線主機(jī)設(shè)備,以及在線主機(jī)設(shè)備開啟的端口信息,然后將在線主機(jī)設(shè)備進(jìn)行分組,開啟端口相同的在線主機(jī)設(shè)備分為一組,然后根據(jù)每組在線主機(jī)設(shè)備開啟端口對(duì)應(yīng)的服務(wù)類型,開啟與服務(wù)類型對(duì)應(yīng)的防護(hù)策略,由于針對(duì)不同類型的在線主機(jī)設(shè)備開啟不同的防護(hù)策略,這樣配置的防護(hù)策略就可以保證對(duì)每個(gè)主機(jī)設(shè)備都有很好的防護(hù)效果。
圖I為本發(fā)明實(shí)施例中抗拒絕服務(wù)防護(hù)策略配置方法的流程圖;·圖2為本發(fā)明實(shí)施例中抗拒絕服務(wù)防護(hù)策略配置裝置的結(jié)構(gòu)示意圖;圖3為本發(fā)明實(shí)施例中優(yōu)選的抗拒絕服務(wù)防護(hù)策略配置裝置的結(jié)構(gòu)示意圖。
具體實(shí)施例方式針對(duì)現(xiàn)有技術(shù)中存在的采用通用防護(hù)策略配置模板為用戶的主機(jī)設(shè)備配置的防護(hù)策略,防護(hù)效果較差的問題,本發(fā)明實(shí)施例提供的抗拒絕服務(wù)防護(hù)策略配置方法,該方法的流程如圖I所示,具體執(zhí)行步驟如下SlO :探測(cè)用戶輸入的標(biāo)識(shí)信息對(duì)應(yīng)的主機(jī)設(shè)備,確定在線主機(jī)設(shè)備,并獲取在線主機(jī)設(shè)備開啟的端口信息。Sll :將開啟端口相同的在線主機(jī)設(shè)備作為一組。S12:根據(jù)每組在線主機(jī)設(shè)備開啟端口對(duì)應(yīng)的服務(wù)類型,開啟與服務(wù)類型對(duì)應(yīng)的防護(hù)策略。該方案中不再采用通用的抗拒絕服務(wù)防護(hù)策略模板,而是首先確定用戶輸入的標(biāo)識(shí)信息對(duì)應(yīng)的主機(jī)設(shè)備中的在線主機(jī)設(shè)備,以及在線主機(jī)設(shè)備開啟的端口信息,然后將在線主機(jī)設(shè)備進(jìn)行分組,開啟端口相同的在線主機(jī)設(shè)備分為一組,然后根據(jù)每組在線主機(jī)設(shè)備開啟端口對(duì)應(yīng)的服務(wù)類型,開啟與服務(wù)類型對(duì)應(yīng)的防護(hù)策略,由于針對(duì)不同類型的在線主機(jī)設(shè)備開啟不同的防護(hù)策略,這樣配置的防護(hù)策略就可以保證對(duì)每個(gè)主機(jī)設(shè)備都有很好的防護(hù)效果。具體的,當(dāng)上述SlO中的標(biāo)識(shí)信息為IP地址時(shí),上述SlO中的探測(cè)用戶輸入的標(biāo)識(shí)信息對(duì)應(yīng)的主機(jī)設(shè)備,確定在線主機(jī)設(shè)備,具體包括向用戶輸入的IP地址對(duì)應(yīng)的主機(jī)設(shè)備發(fā)送攜帶其IP地址的探測(cè)報(bào)文,將返回應(yīng)答報(bào)文的主機(jī)設(shè)備確定為在線主機(jī)設(shè)備。用戶可以直接輸入要防護(hù)的主機(jī)設(shè)備的互聯(lián)網(wǎng)協(xié)議(IP,Internet Protocol)地址,除了用戶直接輸入要防護(hù)的主機(jī)設(shè)備的IP地址之外,也可以通過其他方式提供要防護(hù)的主機(jī)設(shè)備的IP地址,在這里標(biāo)識(shí)信息是以IP地址為例進(jìn)行說明的,當(dāng)然也可以是其它標(biāo)識(shí)信息,在這里不再贅述。
確定在線主機(jī)設(shè)備時(shí),可以向用戶輸入的所有IP地址對(duì)應(yīng)的主機(jī)設(shè)備發(fā)送探測(cè)報(bào)文,在探測(cè)報(bào)文中攜帶相應(yīng)主機(jī)設(shè)備的IP地址,若某個(gè)主機(jī)設(shè)備返回應(yīng)答報(bào)文,就證明該主機(jī)設(shè)備目前是在線的,也就確定為在線主機(jī)設(shè)備;反之,就證明該主機(jī)設(shè)備目前不是在線的,不用對(duì)其進(jìn)行防護(hù)。在線主機(jī)設(shè)備上一般會(huì)設(shè)有很多的端口,掃描這些端口,獲取在線設(shè)備開啟的端口信息??梢韵蛎總€(gè)在線設(shè)備發(fā)送目前已知的所有端口對(duì)應(yīng)的探測(cè)報(bào)文,當(dāng)某個(gè)端口返回應(yīng)答報(bào)文時(shí),則確定該端口處于開啟狀態(tài);反之,確定該端口未開啟。相應(yīng)的也就不用開啟該端口對(duì)應(yīng)的服務(wù)類型的防護(hù)策略,這樣可以精確的確定主機(jī)設(shè)備所需的防護(hù)策略,從而可以提聞主機(jī)設(shè)備處理業(yè)務(wù)的效率和能力。具體的,上述S12中的根據(jù)每組在線主機(jī)設(shè)備開啟端口對(duì)應(yīng)的服務(wù)類型,開啟與服務(wù)類型對(duì)應(yīng)的防護(hù)策略,具體包括根據(jù)預(yù)設(shè)的服務(wù)類型與防護(hù)策略的對(duì)應(yīng)關(guān)系,獲取與服務(wù)類型對(duì)應(yīng)的防護(hù)策略;開啟獲取的防護(hù)策略??梢灶A(yù)設(shè)服務(wù)類型與防護(hù)策略的對(duì)應(yīng)關(guān)系,也就是說針對(duì)主機(jī)設(shè)備開啟的端口對(duì) 應(yīng)的服務(wù)類型,可以開啟的所有的防護(hù)策略的對(duì)應(yīng)關(guān)系。當(dāng)需要開啟防護(hù)策略時(shí),可以查詢?cè)搶?duì)應(yīng)關(guān)系,從該對(duì)應(yīng)關(guān)系中獲取與服務(wù)類型對(duì)應(yīng)的防護(hù)策略,然后開啟獲取的防護(hù)策略就可以了。這樣就實(shí)現(xiàn)了針對(duì)不同的主機(jī)設(shè)備可以開啟不同的防護(hù)策略,而不用再像現(xiàn)有技術(shù)中,每個(gè)主機(jī)設(shè)備開啟通用的防護(hù)策略了。較佳的,上述S12中的開啟與服務(wù)類型對(duì)應(yīng)的防護(hù)策略之后,還包括在第一監(jiān)控周期內(nèi),監(jiān)控每組在線主機(jī)設(shè)備及其開啟端口的流量;根據(jù)監(jiān)控的每組在線主機(jī)設(shè)備及其開啟端口的流量,重新確定開啟的防護(hù)策略中的參數(shù)值。在開啟與服務(wù)類型對(duì)應(yīng)的防護(hù)策略時(shí),其中的參數(shù)值通常是采用默認(rèn)值,或者用戶依據(jù)經(jīng)驗(yàn)輸入的數(shù)值,這些默認(rèn)值和用戶輸入的數(shù)值并不一定是最合適的數(shù)值,如果想確定最合適的數(shù)值,可以設(shè)定第一監(jiān)控周期,在該第一監(jiān)控周期內(nèi)監(jiān)控每組在線主機(jī)設(shè)備及其開啟端口的流量,根據(jù)監(jiān)控到的流量就可以重新確定開啟的防護(hù)策略中的參數(shù)值了,這樣重新確定的參數(shù)值是非常符合當(dāng)時(shí)的應(yīng)用場(chǎng)景的數(shù)值??梢圆捎胣etflow/sflow技術(shù)來監(jiān)控每組在線主機(jī)設(shè)備及其開啟端口的流量,其中netflow/sflow技術(shù)為現(xiàn)有技術(shù),其具體的原理和實(shí)現(xiàn)過程在這里不再贅述。較佳的,上述抗拒絕服務(wù)防護(hù)策略配置方法還包括在第二監(jiān)控周期到期后,重新執(zhí)行SlO??梢栽O(shè)定第二監(jiān)控周期,當(dāng)?shù)诙O(jiān)控周期到期后,用戶需要防護(hù)的主機(jī)設(shè)備中可能會(huì)有新的開啟,也可能會(huì)有在線設(shè)備關(guān)閉的,這樣為了獲取較好的防護(hù)效果,就需要重新配置防護(hù)策略,從Sio開始重新執(zhí)行該流程就配置新的防護(hù)策略。基于同一發(fā)明構(gòu)思,本發(fā)明實(shí)施例提供一種抗拒絕服務(wù)防護(hù)策略配置裝置,該裝置可以設(shè)置在抗拒絕服務(wù)數(shù)據(jù)中心中,結(jié)構(gòu)如圖2所示,包括探測(cè)單元20,用于探測(cè)用戶輸入的標(biāo)識(shí)信息對(duì)應(yīng)的主機(jī)設(shè)備,確定在線主機(jī)設(shè)備,并獲取在線主機(jī)設(shè)備開啟的端口信息。分組單元21,用于將開啟端口相同的在線主機(jī)設(shè)備作為一組。開啟單元22,用于根據(jù)每組在線主機(jī)設(shè)備開啟端口對(duì)應(yīng)的服務(wù)類型,開啟與服務(wù)類型對(duì)應(yīng)的防護(hù)策略。
具體的,當(dāng)上述標(biāo)識(shí)信息為IP地址時(shí),上述探測(cè)單元20具體用于向用戶輸入的IP地址對(duì)應(yīng)的主機(jī)設(shè)備發(fā)送攜帶其IP地址的探測(cè)報(bào)文,將返回應(yīng)答報(bào)文的主機(jī)設(shè)備確定為在線主機(jī)設(shè)備。具體的,上述開啟單元22,具體用于根據(jù)預(yù)設(shè)的服務(wù)類型與防護(hù)策略的對(duì)應(yīng)關(guān)系,獲取與服務(wù)類型對(duì)應(yīng)的防護(hù)策略;開啟獲取的防護(hù)策略。較佳的,一種優(yōu)選的抗拒絕服務(wù)防護(hù)策略配置裝置,該裝置的結(jié)構(gòu)如圖3所示,還包括第一監(jiān)控單元23,用于在第一監(jiān)控周期內(nèi),監(jiān)控每組在線主機(jī)設(shè)備及其開啟端口的流量。確定單元24,用于根據(jù)監(jiān)控的每組在線主機(jī)設(shè)備及其開啟端口的流量,重新確定開啟的防護(hù)策略中的參數(shù)值。
較佳的,上述抗拒絕服務(wù)防護(hù)策略配置裝置,還包括第二監(jiān)控單元25,用于在第二監(jiān)控周期到期后,重新返回探測(cè)單元20。下面以一個(gè)具體實(shí)施例來說明上述抗拒絕服務(wù)防護(hù)策略配置方法,具體流程如下用戶手動(dòng)輸入要防護(hù)的主機(jī)設(shè)備的IP地址范圍為192. 168. I. 1/24,也就是說用戶希望防護(hù)255臺(tái)主機(jī)設(shè)備,在探測(cè)這些主機(jī)設(shè)備時(shí),確定192. 168. I. I、192. 168. I. 2和192. 168. I. 200對(duì)應(yīng)的主機(jī)設(shè)備為在線主機(jī)設(shè)備,其中192. 168. I. I和192. 168. I. 2對(duì)應(yīng)的主機(jī)設(shè)備開啟的端口為53、5666,192. 168. I. 200開啟的端口為443、5666,這樣就可以將192. 168. I. I 和 192. 168. I. 2 分為一組,設(shè)為一組,192. 168. I. 200 為一組,設(shè)為二組。假設(shè),根據(jù)預(yù)設(shè)的服務(wù)類型與防護(hù)策略的對(duì)應(yīng)關(guān)系,一組需要開啟的策略為syn、ack、udp、icmp、dns,端口 53和5666,初始的參數(shù)值為默認(rèn)值,在經(jīng)過24小時(shí)的監(jiān)控后,主機(jī)設(shè)備的流量為1000,那么就可以將syn的參數(shù)I設(shè)為4000,參數(shù)2設(shè)為8000,這樣對(duì)于一組的主機(jī)設(shè)備就配置好了合適的防護(hù)策略。對(duì)于二組的防護(hù)策略可以進(jìn)行采用與一組同樣的配置過程,這里不再贅述。顯然,本領(lǐng)域的技術(shù)人員可以對(duì)本發(fā)明進(jìn)行各種改動(dòng)和變型而不脫離本發(fā)明的精神和范圍。這樣,倘若本發(fā)明的這些修改和變型屬于本發(fā)明權(quán)利要求及其等同技術(shù)的范圍之內(nèi),則本發(fā)明也意圖包含這些改動(dòng)和變型在內(nèi)。
權(quán)利要求
1.一種抗拒絕服務(wù)防護(hù)策略配置方法,其特征在于,包括 A、探測(cè)用戶輸入的標(biāo)識(shí)信息對(duì)應(yīng)的主機(jī)設(shè)備,確定在線主機(jī)設(shè)備,并獲取所述在線主機(jī)設(shè)備開啟的端口信息; B、將開啟端口相同的在線主機(jī)設(shè)備作為一組; C、根據(jù)每組在線主機(jī)設(shè)備開啟端口對(duì)應(yīng)的服務(wù)類型,開啟與服務(wù)類型對(duì)應(yīng)的防護(hù)策略。
2.如權(quán)利要求I所述的方法,其特征在于,當(dāng)所述標(biāo)識(shí)信息為互聯(lián)網(wǎng)協(xié)議IP地址時(shí),探測(cè)用戶輸入的標(biāo)識(shí)信息對(duì)應(yīng)的主機(jī)設(shè)備,確定在線主機(jī)設(shè)備,具體包括 向用戶輸入的IP地址對(duì)應(yīng)的主機(jī)設(shè)備發(fā)送攜帶其IP地址的探測(cè)報(bào)文,將返回應(yīng)答報(bào)文的主機(jī)設(shè)備確定為在線主機(jī)設(shè)備。
3.如權(quán)利要求I所述的方法,其特征在于,根據(jù)每組在線主機(jī)設(shè)備開啟端口對(duì)應(yīng)的服務(wù)類型,開啟與服務(wù)類型對(duì)應(yīng)的防護(hù)策略,具體包括 根據(jù)預(yù)設(shè)的服務(wù)類型與防護(hù)策略的對(duì)應(yīng)關(guān)系,獲取與服務(wù)類型對(duì)應(yīng)的防護(hù)策略; 開啟獲取的防護(hù)策略。
4.如權(quán)利要求I所述的方法,其特征在于,開啟與服務(wù)類型對(duì)應(yīng)的防護(hù)策略之后,還包括 在第一監(jiān)控周期內(nèi),監(jiān)控每組在線主機(jī)設(shè)備及其開啟端口的流量; 根據(jù)監(jiān)控的每組在線主機(jī)設(shè)備及其開啟端口的流量,重新確定開啟的防護(hù)策略中的參數(shù)值。
5.如權(quán)利要求4所述的方法,其特征在于,還包括 在第二監(jiān)控周期到期后,重新執(zhí)行步驟A。
6.一種抗拒絕服務(wù)防護(hù)策略配置裝置,其特征在于,包括 探測(cè)單元,用于探測(cè)用戶輸入的標(biāo)識(shí)信息對(duì)應(yīng)的主機(jī)設(shè)備,確定在線主機(jī)設(shè)備,并獲取所述在線主機(jī)設(shè)備開啟的端口信息; 分組單元,用于將開啟端口相同的在線主機(jī)設(shè)備作為一組; 開啟單元,用于根據(jù)每組在線主機(jī)設(shè)備開啟端口對(duì)應(yīng)的服務(wù)類型,開啟與服務(wù)類型對(duì)應(yīng)的防護(hù)策略。
7.如權(quán)利要求6所述的裝置,其特征在于,當(dāng)所述標(biāo)識(shí)信息為互聯(lián)網(wǎng)協(xié)議IP地址時(shí),所述探測(cè)單元具體用于 向用戶輸入的IP地址對(duì)應(yīng)的主機(jī)設(shè)備發(fā)送攜帶其IP地址的探測(cè)報(bào)文,將返回應(yīng)答報(bào)文的主機(jī)設(shè)備確定為在線主機(jī)設(shè)備。
8.如權(quán)利要求6所述的裝置,其特征在于,所述開啟單元,具體用于 根據(jù)預(yù)設(shè)的服務(wù)類型與防護(hù)策略的對(duì)應(yīng)關(guān)系,獲取與服務(wù)類型對(duì)應(yīng)的防護(hù)策略; 開啟獲取的防護(hù)策略。
9.如權(quán)利要求6所述的裝置,其特征在于,還包括 第一監(jiān)控單元,用于在第一監(jiān)控周期內(nèi),監(jiān)控每組在線主機(jī)設(shè)備及其開啟端口的流量; 確定單元,用于根據(jù)監(jiān)控的每組在線主機(jī)設(shè)備及其開啟端口的流量,重新確定開啟的防護(hù)策略中的參數(shù)值。
10.如權(quán)利要求9所述的裝置,其特征在于,還包括 第二監(jiān)控單元,用于在第二監(jiān)控周期到期后,重新返回所述探測(cè)單元。
11.一種抗拒絕服務(wù)數(shù)據(jù)中心,其特征在于,包括如權(quán)利要求6-10任一所述的防拒絕服務(wù)防護(hù)策略配置裝置。
全文摘要
本發(fā)明公開了一種抗拒絕服務(wù)防護(hù)策略配置方法、裝置及相關(guān)設(shè)備,該方法包括A.探測(cè)用戶輸入的標(biāo)識(shí)信息對(duì)應(yīng)的主機(jī)設(shè)備,確定在線主機(jī)設(shè)備,并獲取所述在線主機(jī)設(shè)備開啟的端口信息;B.將開啟端口相同的在線主機(jī)設(shè)備作為一組;C.根據(jù)每組在線主機(jī)設(shè)備開啟端口對(duì)應(yīng)的服務(wù)類型,開啟與服務(wù)類型對(duì)應(yīng)的防護(hù)策略。該方案配置的防護(hù)策略對(duì)每個(gè)主機(jī)設(shè)備都有很好的防護(hù)效果。
文檔編號(hào)H04L29/06GK102843367SQ20121028760
公開日2012年12月26日 申請(qǐng)日期2012年8月13日 優(yōu)先權(quán)日2012年8月13日
發(fā)明者李志豪 申請(qǐng)人:北京神州綠盟信息安全科技股份有限公司, 北京神州綠盟科技有限公司