本發(fā)明涉及應(yīng)用于網(wǎng)絡(luò)信息安全保障的一種分布式近威脅源攻擊阻斷方法及其裝置，屬于網(wǎng)絡(luò)空間安全技術(shù)領(lǐng)域。

背景技術(shù)：

目前互聯(lián)網(wǎng)上網(wǎng)絡(luò)攻擊越來越多，不但使服務(wù)器癱瘓，而且導(dǎo)致網(wǎng)絡(luò)資源大量消耗、有效流量減少、網(wǎng)絡(luò)可用性降低等。傳統(tǒng)防御策略常采用防火墻或安全網(wǎng)關(guān)在受攻擊者附近(近受害者)，例如數(shù)據(jù)中心入口，阻斷入侵的網(wǎng)絡(luò)攻擊，能夠阻斷包括分布式服務(wù)拒絕攻擊(ddos)在內(nèi)的大量攻擊，保護(hù)數(shù)據(jù)中心的服務(wù)器。但是，這種防御策略不能夠防止攻擊流量對網(wǎng)絡(luò)資源的消耗，放任攻擊流量在防火墻外任意地占用網(wǎng)絡(luò)資源。

隨著網(wǎng)絡(luò)結(jié)構(gòu)的改進(jìn)、下一代互聯(lián)網(wǎng)體系架構(gòu)的提出、5g網(wǎng)絡(luò)安全性的提高、天地一體化網(wǎng)絡(luò)總體方案的確定等，網(wǎng)絡(luò)信息安全保障策略不是成為網(wǎng)絡(luò)中的安全補丁，而是被融入到網(wǎng)絡(luò)自身中，成為網(wǎng)絡(luò)一個重要的組成部分，甚至成為網(wǎng)絡(luò)設(shè)備的模塊，包括但不限于網(wǎng)絡(luò)終端的認(rèn)證、簽名、攻擊檢測等模塊。

另外一方面，隨著網(wǎng)絡(luò)信息安全數(shù)據(jù)收集和匯聚、面向信息安全分析的數(shù)據(jù)挖掘技術(shù)的提升、網(wǎng)絡(luò)信息安全態(tài)勢分析系統(tǒng)的部署，很多網(wǎng)絡(luò)攻擊檢測手段，不局限于防火墻單點的分析，已經(jīng)被部署到網(wǎng)絡(luò)各個傳感器、離線的流量分析器和數(shù)據(jù)挖掘服務(wù)器上，對網(wǎng)絡(luò)攻擊的分析更加細(xì)致和齊全。

技術(shù)實現(xiàn)要素：

本發(fā)明提出一種分布式近威脅源攻擊阻斷方法及其裝置，為網(wǎng)絡(luò)安全環(huán)境提供一種阻斷網(wǎng)絡(luò)手段。本發(fā)明通過接受來自攻擊檢測方傳遞來的攻擊類型與路徑，依據(jù)安全網(wǎng)關(guān)的部署，求得近威脅源的攻擊阻斷執(zhí)行安全網(wǎng)關(guān)，簡稱為執(zhí)行安全網(wǎng)關(guān)，在執(zhí)行安全網(wǎng)關(guān)上阻斷網(wǎng)絡(luò)攻擊。

本發(fā)明提供的分布式近威脅源攻擊阻斷裝置，包括聯(lián)動防護(hù)控制模塊和攻擊阻斷執(zhí)行模塊；聯(lián)動防護(hù)控制模塊部署在網(wǎng)絡(luò)的防護(hù)系統(tǒng)中，攻擊阻斷執(zhí)行模塊部署在網(wǎng)絡(luò)的每個安全網(wǎng)關(guān)中。所述的聯(lián)動防護(hù)控制模塊接收網(wǎng)絡(luò)中攻擊路徑與攻擊類型信息，計算支持近威脅源攻擊阻斷的執(zhí)行安全網(wǎng)關(guān)，分發(fā)攻擊阻斷指令給攻擊阻斷執(zhí)行模塊，并獲取執(zhí)行結(jié)果。所述的攻擊阻斷執(zhí)行模塊接收攻擊阻斷指令，控制執(zhí)行安全網(wǎng)關(guān)執(zhí)行攻擊阻斷指令，并反饋執(zhí)行結(jié)果給聯(lián)動防護(hù)控制模塊。

所述的聯(lián)動防護(hù)控制模塊，還包括攻擊阻斷控制效果研判與異常處理，根據(jù)攻擊阻斷執(zhí)行模塊反饋的執(zhí)行結(jié)果進(jìn)行效果研判，對未順利阻斷的指令，向防護(hù)系統(tǒng)提交報警信息。

本發(fā)明提供的分布式近威脅源攻擊阻斷方法，包括：

(1)在聯(lián)動防護(hù)控制模塊中配置安全網(wǎng)關(guān)集合；

(2)聯(lián)動防護(hù)控制模塊接收與分解攻擊信息，獲取攻擊路徑和攻擊類型；

(3)聯(lián)動防護(hù)控制模塊求得每條估計路徑上支持近威脅源攻擊阻斷的執(zhí)行安全網(wǎng)關(guān)；

(4)聯(lián)動防護(hù)模塊向執(zhí)行安全網(wǎng)關(guān)發(fā)送阻斷指令，匯聚和收集阻斷指令反饋；

(5)執(zhí)行安全網(wǎng)關(guān)中的攻擊阻斷執(zhí)行模塊執(zhí)行阻斷指令，產(chǎn)生阻斷動作；

(6)攻擊阻斷執(zhí)行模塊分析阻斷效果性能指標(biāo)，獲取執(zhí)行效果發(fā)送給聯(lián)動防護(hù)控制模塊；

(7)聯(lián)動防護(hù)控制模塊匯聚執(zhí)行效果，研判執(zhí)行結(jié)果，對于執(zhí)行失敗的阻斷指令，向防護(hù)系統(tǒng)告警。

本發(fā)明的優(yōu)點與積極效果在于：(1)本發(fā)明配置安全網(wǎng)關(guān)信息，可以了解全網(wǎng)的安全網(wǎng)關(guān)數(shù)量，可以選擇性部署攻擊阻斷策略。(2)本發(fā)明計算執(zhí)行安全網(wǎng)關(guān)，依據(jù)安全網(wǎng)關(guān)集合和攻擊路徑可以計算出執(zhí)行安全網(wǎng)關(guān)。(3)本發(fā)明可以減少攻擊對網(wǎng)絡(luò)資源的消耗，選擇近威脅源的安全網(wǎng)關(guān)為執(zhí)行安全網(wǎng)關(guān)，可以最大限度地防止攻擊流量在網(wǎng)絡(luò)中流動，減少了攻擊流量，提高了網(wǎng)絡(luò)中流量有效率。

附圖說明

圖1是本發(fā)明提供的分布式近威脅源攻擊阻斷裝置中模塊布置示意圖；

圖2是本發(fā)明提供的分布式近威脅源攻擊阻斷裝置及方法實現(xiàn)阻斷機制的示意圖。

具體實施方式

下面將結(jié)合附圖和實施例對本發(fā)明作進(jìn)一步的詳細(xì)說明。所描述的實施例也僅僅是本發(fā)明的一部分實施例，而不是全部實施例?；诒景l(fā)明中的實施例，本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實施例，都屬于本發(fā)明保護(hù)的范圍。

本發(fā)明分布式近威脅源攻擊阻斷裝置，包括聯(lián)動防護(hù)控制模塊和攻擊阻斷執(zhí)行模塊，如圖1所示。聯(lián)動防護(hù)控制模塊部署在網(wǎng)絡(luò)的防護(hù)系統(tǒng)中，一個聯(lián)動防護(hù)控制模塊可以被多個防護(hù)系統(tǒng)同時采用。攻擊阻斷執(zhí)行模塊部署在網(wǎng)絡(luò)中的安全網(wǎng)關(guān)中，包括但不限于安全接入網(wǎng)關(guān)、網(wǎng)間互聯(lián)安全網(wǎng)關(guān)、防火墻等，可以被多臺或多類安全網(wǎng)關(guān)采用。聯(lián)動防護(hù)控制模塊控制攻擊阻斷執(zhí)行模塊執(zhí)行，能在同一時間段控制多個執(zhí)行安全網(wǎng)關(guān)執(zhí)行攻擊阻斷。網(wǎng)絡(luò)攻擊檢測、網(wǎng)絡(luò)安全態(tài)勢分析、網(wǎng)絡(luò)流量離線分析等系統(tǒng)檢測網(wǎng)絡(luò)中的包括攻擊在內(nèi)的相關(guān)信息推送給聯(lián)動防護(hù)控制模塊。

如圖2所示，聯(lián)動防護(hù)控制模塊實現(xiàn)：攻擊路徑與攻擊類型信息接收與信息分解；支持近威脅源攻擊阻斷的執(zhí)行安全網(wǎng)關(guān)計算；攻擊阻斷控制效果研判與異常處理；攻擊阻斷指令分發(fā)與結(jié)果匯聚；聯(lián)動防護(hù)交互通信協(xié)議。攻擊阻斷執(zhí)行模塊實現(xiàn)：阻斷指令接收與結(jié)果反饋；執(zhí)行安全網(wǎng)關(guān)攻擊阻斷指令執(zhí)行；阻斷效果性能指標(biāo)分析。聯(lián)動防護(hù)交互通信協(xié)議實現(xiàn)聯(lián)動防護(hù)控制模塊與外界的通信，接收攻擊信息，發(fā)送攻擊阻斷指令等。

在聯(lián)動防護(hù)控制模塊中，核心是攻擊阻斷控制效果研判與異常處理，應(yīng)用攻擊路徑與攻擊類型信息接收與信息分解來處理外部的攻擊信息，采用支持近威脅源攻擊阻斷的執(zhí)行安全網(wǎng)關(guān)計算來求得執(zhí)行安全網(wǎng)關(guān)，最后使用攻擊阻斷指令分發(fā)與結(jié)果匯聚來啟動指令和獲取結(jié)果。在攻擊阻斷執(zhí)行模塊中，阻斷指令接收與結(jié)果反饋是核心，采用執(zhí)行安全網(wǎng)關(guān)攻擊阻斷指令執(zhí)行來控制流量，應(yīng)用阻斷效果性能指標(biāo)分析來監(jiān)視執(zhí)行效果。

本發(fā)明實現(xiàn)的分布式近威脅源攻擊阻斷，尤其針對分布式拒絕服務(wù)攻擊時，估計路徑有多條，獲取各個攻擊路徑，計算各路徑上的執(zhí)行安全網(wǎng)關(guān)，執(zhí)行攻擊阻斷指令。本發(fā)明在每個安全網(wǎng)關(guān)中加入了攻擊阻斷執(zhí)行模塊。

本發(fā)明中，支持近威脅源攻擊阻斷的執(zhí)行安全網(wǎng)關(guān)計算方法實現(xiàn)如下：

假設(shè)主機rk1攻擊主機rkn的某條攻擊路徑為

pk＝{rk1,rk2,…,rki,…,rkn-1,rkn},i＝{1,2,…,n},k,n∈n。n表示正整數(shù)。

攻擊路徑pk是一個有向的n元組，表示第k個攻擊rkn的路徑，rki為攻擊路徑pk經(jīng)過的第i個節(jié)點。所述的節(jié)點是指那些能夠進(jìn)行數(shù)據(jù)包轉(zhuǎn)發(fā)的網(wǎng)絡(luò)層及其以上層的設(shè)備，可以是主機、路由器、安全網(wǎng)關(guān)等。

假設(shè)網(wǎng)絡(luò)中的安全網(wǎng)關(guān)集合為

f＝{f1,f2,…,fj,…,fm},j＝{1,2,…,m},m∈n。

fj表示第j個安全網(wǎng)關(guān)。安全網(wǎng)關(guān)是網(wǎng)絡(luò)中的一個獨立節(jié)點。安全網(wǎng)關(guān)可以阻斷攻擊路徑pk的流量的充分必要條件是

rks、rkd分別表示攻擊路徑pk上第s個節(jié)點、第k個節(jié)點，dn(rks,rkd)表示在兩個節(jié)點rks、rkd之間的安全網(wǎng)關(guān)集合。上面條件也就是說，如果那么攻擊路徑中沒有安全網(wǎng)關(guān)，那么，該攻擊是不能被阻斷的。{rki}表示攻擊路徑pk上從rks到rkd的節(jié)點集合，∩表示求交集。節(jié)點可以用ip來描述，則求交集時就是尋找相同的ip。

假設(shè)dn(rks,rkd)＝{fi|i∈{1,2,…,n}}；采用本發(fā)明的近攻威脅源攻擊阻斷機制，選擇執(zhí)行安全網(wǎng)關(guān)ft作為防護(hù)策略部署點，阻斷路徑pk上節(jié)點rks到節(jié)點rkd的網(wǎng)絡(luò)協(xié)議流攻擊。選取最接近威脅源的安全網(wǎng)關(guān)作為執(zhí)行安全網(wǎng)關(guān)，具體選擇執(zhí)行安全網(wǎng)關(guān)的方法為：

①設(shè)置初始化標(biāo)簽值i＝1；

②在路徑pk上按順序選取一個rki，組成集合ft＝{rki}；

③計算dn(rks,rkd)∩ft；

④如果那么i＝i+1，轉(zhuǎn)②；

⑤如果則選取rki作為執(zhí)行安全網(wǎng)關(guān)。并且rki滿足下面條件：

上面過程表明，依次從攻擊路徑上順序選取節(jié)點，尋找執(zhí)行安全網(wǎng)關(guān)，所選安全網(wǎng)關(guān)距離威脅源最近。

本發(fā)明提供的分布式近威脅源攻擊阻斷方法，實現(xiàn)流程包括：

①在聯(lián)動防護(hù)控制模塊中配置安全網(wǎng)關(guān)集合f＝{f1,f2,…,fj,…,fm}，以便作為選擇執(zhí)行安全網(wǎng)關(guān)的依據(jù)。

②聯(lián)動防護(hù)控制模塊接收與分解攻擊信息，獲取“攻擊路徑”和“攻擊類型”數(shù)據(jù)。

③對每個攻擊路徑，聯(lián)動防護(hù)控制模塊求得該路徑支持近威脅源攻擊阻斷的執(zhí)行安全網(wǎng)關(guān)。

④聯(lián)動防護(hù)控制模塊控制攻擊阻斷的執(zhí)行，向安全網(wǎng)關(guān)發(fā)送阻斷指令，匯聚和收集阻斷指令反饋。

⑤執(zhí)行安全網(wǎng)關(guān)中的攻擊阻斷執(zhí)行模塊執(zhí)行阻斷指令，產(chǎn)生阻斷動作。

⑥攻擊阻斷執(zhí)行模塊分析阻斷效果性能指標(biāo)，獲取執(zhí)行效果。

⑦聯(lián)動防護(hù)控制模塊匯聚執(zhí)行效果，研判執(zhí)行結(jié)果，對于執(zhí)行失敗的阻斷指令，向防護(hù)系統(tǒng)告警。

實施例

(1)聯(lián)動防護(hù)模塊執(zhí)行“分布式近威脅源攻擊阻斷機制”中的攻擊路徑與攻擊類型信息接收與信息分解。接收到攻擊信息為：

攻擊者主機的ip地址為100.100.100.10，縮寫為100100100010；受害者主機地址為200.200.200.20，縮寫為200200200020；攻擊類型為ddos(分布式拒絕服務(wù))，其中第10條攻擊路徑為：

p10＝{100100100010,100100100020,100100100030,100100100040,100100100050,100100100060,100100100070,100100100080,100100100090,20020020010,20020020020}

攻擊路徑p10是一個有向的11元組。

(2)聯(lián)動防護(hù)模塊中安全網(wǎng)關(guān)集合配置為：

f＝{200200200010,100100090020,100100100030,100100080060,100100100060,100100060030,200200200050}

安全網(wǎng)關(guān)是網(wǎng)絡(luò)中的一個獨立節(jié)點，在路徑中占有一個節(jié)點的位置。

(3)聯(lián)動防護(hù)模塊執(zhí)行“分布式近威脅源攻擊阻斷機制”中的支持近威脅源攻擊阻斷的執(zhí)行安全網(wǎng)關(guān)計算，具體為：

現(xiàn)在判斷安全網(wǎng)關(guān)可以阻斷攻擊路徑p10的充分必要條件

dn(100100100010,20020020020)＝f∩p10

＝{200200200010,100100100030,100100100060}

由于滿足可以阻斷攻擊的條件。目前三個安全網(wǎng)關(guān)(|dn(100100100010,20020020020)|＝3)可以阻斷攻擊，為了節(jié)約資源和提高性能，只需要選擇一個安全網(wǎng)關(guān)為執(zhí)行安全網(wǎng)關(guān)就可以滿足要求。下面是選擇執(zhí)行安全網(wǎng)關(guān)的過程：

①在p10路徑中按順序選擇第1個安全網(wǎng)關(guān)組成集合ft＝{100100100020}。

②計算不滿足條件。

③再在p10路徑中按順序選擇第2個安全網(wǎng)關(guān)組成集合ft＝{100100100030}。

④計算ft∩dn＝{100100100030}，不為空，滿足可阻斷攻擊的條件。

⑤選取安全網(wǎng)關(guān)100.100.100.30作為執(zhí)行安全網(wǎng)關(guān)。即最接近攻擊者的安全網(wǎng)關(guān)，對該執(zhí)行安全網(wǎng)關(guān)發(fā)送攻擊阻斷指令。

(4)聯(lián)動防護(hù)模塊執(zhí)行“分布式近威脅源攻擊阻斷機制”中的攻擊阻斷控制，具體為：

向安全網(wǎng)關(guān)100.100.100.30發(fā)送阻斷路徑p10信息流的指令。

(5)攻擊阻斷執(zhí)行模塊執(zhí)行“分布式近威脅源攻擊阻斷機制”中的執(zhí)行安全網(wǎng)關(guān)攻擊阻斷指令執(zhí)行，具體為：

阻斷路徑p10信息流。

(6)攻擊阻斷執(zhí)行模塊執(zhí)行“分布式近威脅源攻擊阻斷機制”中的執(zhí)行阻斷效果性能指標(biāo)分析，具體為：

在可執(zhí)行安全網(wǎng)關(guān)出口處分析是否已經(jīng)阻斷p10信息流，分析出結(jié)果為“p10信息流已阻斷”。

聯(lián)動防護(hù)模塊執(zhí)行“分布式近威脅源攻擊阻斷機制”中的執(zhí)行結(jié)果研判，具體為：

接收和匯聚阻斷執(zhí)行結(jié)果，包括“p10信息流已阻斷”信息。對未實現(xiàn)順利阻斷的指令，向防護(hù)系統(tǒng)提交報警信息。