一種針對(duì)DDoS攻擊的模塊化防護(hù)檢測(cè)方法及系統(tǒng)的制作方法
【專(zhuān)利摘要】本發(fā)明涉及一種針對(duì)DDoS攻擊的模塊化防護(hù)檢測(cè)方法及系統(tǒng)�,解決了非專(zhuān)有設(shè)備檢測(cè)DDoS攻擊的局限性,系統(tǒng)清洗子系統(tǒng)基于DDoS算法研究�����,形成多層次的檢測(cè)���、防護(hù)算法結(jié)構(gòu)�����,同時(shí),檢測(cè)模塊支持多NP芯片的分布式算法��,從而支持大容量的清洗系統(tǒng)組合�。可以解決網(wǎng)絡(luò)層�����、混合型、連接耗盡型等的拒絕服務(wù)攻擊�。
【專(zhuān)利說(shuō)明】一種針對(duì)DDoS攻擊的模塊化防護(hù)檢測(cè)方法及系統(tǒng)
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明屬于計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)學(xué)科中網(wǎng)絡(luò)安全領(lǐng)域,具體涉及一種針對(duì)DDoS攻擊 的模塊化防護(hù)檢測(cè)方法及系統(tǒng)����。
【背景技術(shù)】
[0002] DDoS(Distributed Denial of Service)攻擊,中文名為分布式拒絕服務(wù)攻擊�����,攻 擊者將其控制的多個(gè)計(jì)算機(jī)和服務(wù)器肉雞聯(lián)合起來(lái)��,同時(shí)對(duì)一個(gè)或多個(gè)攻擊目標(biāo)發(fā)動(dòng)DoS 攻擊����,從而成倍地提高DoS攻擊的威力,使得被攻擊設(shè)備負(fù)載過(guò)高���,導(dǎo)致設(shè)備系統(tǒng)崩潰��。
[0003] 隨著公眾對(duì)Internet依賴(lài)程度的日益增加��,拒絕式服務(wù)攻擊和分布式拒絕服務(wù) 攻擊給公眾所帶來(lái)的危害和影響也愈加嚴(yán)重���,受害者包括了政府�����、企事業(yè)單位�、移動(dòng)運(yùn)營(yíng)商 等各種機(jī)構(gòu)及相關(guān)的用戶(hù)����。通過(guò)長(zhǎng)期分析發(fā)現(xiàn),DDoS攻擊有以下發(fā)展趨勢(shì) : 1���、攻擊流量成幾何倍數(shù)增長(zhǎng)�����,DDoS攻擊流量將占用大量網(wǎng)絡(luò)運(yùn)營(yíng)商互聯(lián)網(wǎng)出口帶寬�����, 因此將大大降低運(yùn)營(yíng)商網(wǎng)絡(luò)層設(shè)備的運(yùn)行效率���。
[0004] 2、攻擊難度降低��,將會(huì)有大量可輕易獲得的DDoS工具用來(lái)發(fā)動(dòng)DDoS攻擊���,DDoS攻 擊發(fā)生頻率增大����。
[0005] 3�、針對(duì)應(yīng)用層面服務(wù)的DDoS攻擊將成為主流,DDoS攻擊已形成成熟的產(chǎn)業(yè)鏈��,背 后的經(jīng)濟(jì)利益成為攻擊的原始驅(qū)動(dòng)���。
[0006] 4����、由于IPV4資源的問(wèn)題���,IPV6網(wǎng)絡(luò)被更廣泛地部署�,所以針對(duì)IPV6網(wǎng)絡(luò)的DD0S 攻擊將會(huì)越來(lái)越頻繁��。
[0007] 5�����、DDoS攻擊方式更為復(fù)雜多變,帶寬型攻擊夾雜應(yīng)用型攻擊的混合攻擊增多�����,增 加了防御的難度����。
[0008] 目前,對(duì)分布式拒絕服務(wù)攻擊的防護(hù)有很多方法�����,但缺乏一種整體的解決方法�,包 括防火墻、入侵檢測(cè)系統(tǒng)在內(nèi)的傳統(tǒng)網(wǎng)絡(luò)安全邊界設(shè)備�����,都不能有效的防御DDoS的攻擊����。
[0009] 傳統(tǒng)防護(hù)技術(shù)主要是靠檢驗(yàn)數(shù)據(jù)包的真實(shí)性,其檢驗(yàn)技術(shù)為:(1)基于數(shù)據(jù)包標(biāo) 記的偽造 IP DDoS攻擊防御�����;(2)基于路由器指紋的概率包標(biāo)記方案。類(lèi)似的研究?jī)?nèi)容和 技術(shù)是DDoS防護(hù)中的一小方面����,只能實(shí)現(xiàn)通過(guò)偽裝IP地址方式發(fā)起的DDoS攻擊�,應(yīng)用推 廣價(jià)值比較小,更適合將該種方法集合到DDoS攻擊防護(hù)的第一個(gè)功能項(xiàng)�����。
【發(fā)明內(nèi)容】
[0010] 本發(fā)明所要解決的技術(shù)問(wèn)題在于克服現(xiàn)有技術(shù)中DDoS攻擊防護(hù)多集合于防火 墻���、入侵防護(hù)等安全系統(tǒng)中���,無(wú)法根據(jù)DDoS攻擊的特性進(jìn)行有效的檢測(cè)和防護(hù)的缺陷,提 供一種獨(dú)特的針對(duì)DDoS攻擊的模塊化防護(hù)檢測(cè)方法及系統(tǒng)���,可以解決網(wǎng)絡(luò)層�����、混合型�����、連 接耗盡型等的拒絕服務(wù)攻擊���。
[0011] 為解決上述技術(shù)問(wèn)題��,本發(fā)明所采取的技術(shù)方案為: 一種針對(duì)DDoS攻擊的模塊化防護(hù)系統(tǒng)�����,其包括轉(zhuǎn)發(fā)子系統(tǒng)��、清洗子系統(tǒng)和管理子系 統(tǒng): 所述轉(zhuǎn)發(fā)子系統(tǒng)即ASIC����,負(fù)責(zé)數(shù)據(jù)的分檢�,判斷網(wǎng)絡(luò)中是否有DDoS攻擊發(fā)生,并負(fù)責(zé) 將原來(lái)本要去往被攻擊目標(biāo)IP的DDoS攻擊流量牽引至清洗子系統(tǒng)�����; 所述清洗子系統(tǒng)���,主要是由NP芯片和系統(tǒng)內(nèi)存組成�����,所述清洗子系統(tǒng)中每個(gè)NP由多個(gè) 微內(nèi)核引擎組成�����,負(fù)責(zé)實(shí)現(xiàn)流量清洗算法��,并根據(jù)算法的結(jié)果決定包的動(dòng)作���,將DDoS攻擊 流量從混合流量中分離、過(guò)濾��; 所述管理子系統(tǒng)��,包括控制CPU���、串口管理器和ROM�����,實(shí)現(xiàn)系統(tǒng)的管理控制功能���。
[0012] 進(jìn)一步的���,所述轉(zhuǎn)發(fā)子系統(tǒng)用于根據(jù)報(bào)文的IP地址對(duì)數(shù)據(jù)進(jìn)行分流,將需要清洗 的流量直接送到清洗子系統(tǒng)的NP上���。
[0013] 進(jìn)一步的����,所述管理子系統(tǒng)的控制CPU在整個(gè)過(guò)程中完成策略配置下發(fā)和獲取數(shù) 據(jù)統(tǒng)計(jì)信息等設(shè)備管理和監(jiān)控功能����,通過(guò)雙向數(shù)據(jù)通道完成對(duì)其它模塊的管理和控制。
[0014] 本發(fā)明另一方面提供一種針對(duì)DDoS攻擊的模塊化防護(hù)的檢測(cè)方法����,其具體包括 以下步驟: 步驟1構(gòu)建如權(quán)利要求1-3任一項(xiàng)所述的防護(hù)系統(tǒng); 步驟2數(shù)據(jù)通過(guò)物理接口進(jìn)入設(shè)備后����,首先由ASIC根據(jù)報(bào)文的IP地址對(duì)進(jìn)行分流,正 常需要清洗的流量將直接送到清洗子系統(tǒng)的NP上���; 步驟3每個(gè)NP的多個(gè)微引擎中按照清洗算法和防護(hù)策略����,對(duì)報(bào)文進(jìn)行深度解析、統(tǒng)計(jì) 分析等攻擊識(shí)別和驗(yàn)證��,并由NP決定對(duì)每個(gè)報(bào)文采取丟棄��、探測(cè)�����、轉(zhuǎn)發(fā)或帶寬限制的功能�; 步驟4經(jīng)過(guò)NP處理后的數(shù)據(jù)被轉(zhuǎn)發(fā)給ASIC,再由ASIC對(duì)數(shù)據(jù)進(jìn)行封裝并轉(zhuǎn)發(fā)到相應(yīng) 物理端口上��,或者送回入口 ADS的ASIC上���,再做最終的回注。
[0015] 與現(xiàn)有技術(shù)相比�����,本發(fā)明取得的有益效果為: 本發(fā)明通過(guò)建立并應(yīng)用DDoS攻擊防護(hù)方法�,解決了非專(zhuān)有設(shè)備檢測(cè)DDoS攻擊的局限 性,系統(tǒng)清洗子系統(tǒng)基于DDoS算法研究�����,形成多層次的檢測(cè)、防護(hù)算法結(jié)構(gòu)��,同時(shí)�����,檢測(cè)模 塊支持多NP芯片的分布式算法����,從而支持大容量的清洗系統(tǒng)組合。
【專(zhuān)利附圖】
【附圖說(shuō)明】
[0016] 圖1為本發(fā)明系統(tǒng)的示意圖��。
【具體實(shí)施方式】
[0017] 下面將結(jié)合附圖1對(duì)本發(fā)明進(jìn)行進(jìn)一步詳細(xì)的說(shuō)明���。
[0018] 如附圖1所示�����,對(duì)DDoS攻擊的模塊化防護(hù)系統(tǒng)�����,其包括轉(zhuǎn)發(fā)子系統(tǒng)����、清洗子系統(tǒng)和 管理子系統(tǒng): 所述轉(zhuǎn)發(fā)子系統(tǒng)即ASIC,負(fù)責(zé)數(shù)據(jù)的分檢����,所有流經(jīng)清洗系統(tǒng)的數(shù)據(jù)包,將通過(guò)報(bào)文的 IP地址來(lái)決定數(shù)據(jù)包的流向規(guī)則��,并負(fù)責(zé)將包從相應(yīng)的內(nèi)部或外部端口轉(zhuǎn)發(fā)出去���。在轉(zhuǎn)發(fā) 處理過(guò)程中����,該模塊將完成轉(zhuǎn)發(fā)相關(guān)的報(bào)文處理�����,例如包頭解析���、隧道封裝、QoS���、負(fù)載分擔(dān) 算法等��,從而確保復(fù)雜業(yè)務(wù)下的線(xiàn)速轉(zhuǎn)發(fā)��; 所述清洗子系統(tǒng)�����,系統(tǒng)的抗DDoS清洗模塊����,主要是由NP芯片和系統(tǒng)內(nèi)存組成。每個(gè) NP由多個(gè)微內(nèi)核引擎(ME)組成�����,對(duì)流量進(jìn)行并行處理��。它負(fù)責(zé)實(shí)現(xiàn)流量清洗算法�����,并根據(jù) 算法的結(jié)果決定包的動(dòng)作���,例如����,如果算法判斷需要系統(tǒng)主動(dòng)回應(yīng),則相應(yīng)的NP構(gòu)造包發(fā) 送給ASIC����,由ASIC根據(jù)包頭信息通過(guò)相應(yīng)的端口轉(zhuǎn)發(fā)出去;如果算法判斷該數(shù)據(jù)包應(yīng)該放 行��,則NP修改數(shù)據(jù)包頭發(fā)送回ASIC�����,由ASIC根據(jù)包頭信息通過(guò)相應(yīng)的端口轉(zhuǎn)發(fā)出去��。
[0019] 所述管理子系統(tǒng)���,包括控制CPU��、串口管理器和R0M���,實(shí)現(xiàn)系統(tǒng)的管理控制功能。
[0020] 對(duì)DDoS攻擊的模塊化防護(hù)檢測(cè)方法具體如下: 1����、 數(shù)據(jù)通過(guò)物理接口進(jìn)入設(shè)備后�,首先由ASIC芯片根據(jù)報(bào)文的IP地址對(duì)進(jìn)行分流,正 常需要清洗的流量將直接送到清洗子系統(tǒng)的NP上; 2����、 在每個(gè)NP的多個(gè)微引擎(ME)中按照清洗算法和防護(hù)策略,對(duì)報(bào)文進(jìn)行深度解析�、統(tǒng) 計(jì)分析等攻擊識(shí)別和驗(yàn)證,并由NP決定對(duì)每個(gè)報(bào)文采取丟棄���、探測(cè)��、轉(zhuǎn)發(fā)或帶寬限制的功 能��; 3�����、 經(jīng)過(guò)NP處理后的數(shù)據(jù)被轉(zhuǎn)發(fā)給ASIC���,再由ASIC對(duì)數(shù)據(jù)進(jìn)行封裝并轉(zhuǎn)發(fā)到相應(yīng)物理 端口上,或者送回入口 ADS的ASIC上����,再做最終的回注; 4��、 控制CPU在整個(gè)過(guò)程中完成策略配置下發(fā)和獲取數(shù)據(jù)統(tǒng)計(jì)信息等設(shè)備管理和監(jiān)控 功能,通過(guò)雙向數(shù)據(jù)通道完成對(duì)其它模塊的管理和控制�。
[0021] 本發(fā)明將針對(duì)DDoS的攻擊防護(hù)的原理如下: 1、攻擊檢測(cè):通過(guò)流量鏡像或Netflow的方式檢測(cè)DDoS的異常攻擊流量���,判斷網(wǎng)絡(luò)中 是否有DDoS攻擊發(fā)生����。
[0022] 2�、流量牽引:確定有DDoS攻擊后,通過(guò)與路由技術(shù)的結(jié)合���,將原來(lái)本要去往被攻 擊目標(biāo)IP的DDoS攻擊流量牽引至DDoS清洗模塊�。被牽引的DDoS攻擊流量為攻擊流量與 正常流量的混合流量����; 3、 攻擊防護(hù)/流量?jī)艋和ㄟ^(guò)多層的攻擊流量識(shí)別與凈化設(shè)計(jì)����,將DDoS攻擊流量從混 合流量中分離、過(guò)濾����; 4、 流量注入:經(jīng)過(guò)凈化之后的合法流量被重新注入回網(wǎng)絡(luò)��,到達(dá)目的IP����。此時(shí)從服務(wù) 器看,DDoS攻擊已經(jīng)被抑止�,服務(wù)恢復(fù)正常。
[0023] 本發(fā)明根據(jù)不同的DDoS攻擊原理來(lái)對(duì)應(yīng)研究不同的防護(hù)算法�,重點(diǎn)建立DDoS攻 擊的檢測(cè)方法,從而達(dá)到針對(duì)性的DDoS攻擊防護(hù)���,改變了過(guò)去只通過(guò)檢測(cè)數(shù)據(jù)包來(lái)源真實(shí) 性的低效率防護(hù)算法��。本發(fā)明解決了現(xiàn)有技術(shù)難點(diǎn)在于非法流量和合法流量在網(wǎng)絡(luò)中相互 混雜�����,靠退讓策略和系統(tǒng)調(diào)優(yōu)只能應(yīng)付小規(guī)模攻擊�,對(duì)大規(guī)模DDoS攻擊無(wú)論從性能還是功 能上都無(wú)法防護(hù)的缺陷�����?���?梢越鉀Q網(wǎng)絡(luò)層��、混合型��、連接耗盡型等的拒絕服務(wù)攻擊���,如SYN Flood、UDP Flood����、UDP DNS Query Flood、(M) Stream Flood�、ICMP Flood、ACK Flood/ DrDoS 等����。
[0024] 本發(fā)明在對(duì)網(wǎng)絡(luò)報(bào)文進(jìn)行統(tǒng)計(jì)分析的基礎(chǔ)上,還有針對(duì)性的對(duì)各種不同的DDoS 攻擊采用了不同的防護(hù)算法�����,從而可以準(zhǔn)確地區(qū)分出用戶(hù)正常訪問(wèn)數(shù)據(jù)報(bào)文和DDoS攻擊 的報(bào)文����。此外��,本發(fā)明采用的DDoS攻擊檢測(cè)和識(shí)別的算法效率很高�����,可以承受各種類(lèi)別的 大流量DDoS攻擊。
[0025] 本發(fā)明可以防護(hù)各種傳輸層的DDoS拒絕服務(wù)攻擊�,如SYN Flood,UDP Flood�, SYN-ACK Flood, Stream flood, ACK Flood, FIN/RST Flood, ICMP Flood, IP Fragment Flood等?����?梢苑雷o(hù)HTTP get /post flood攻擊����,慢速攻擊,TCP連接耗盡攻擊���,TCP空連 接攻擊等來(lái)自web的安全威脅���。
[0026] 本發(fā)明可針對(duì)DNS服務(wù)攻擊、音視頻服務(wù)攻擊��、游戲服務(wù)攻擊等危害更大的應(yīng)用 層拒絕服務(wù)攻擊進(jìn)行有效防護(hù)。能夠?qū)酶鞣N代理服務(wù)器如CDN�����,WAP網(wǎng)關(guān)等發(fā)起的DDoS 攻擊進(jìn)行防護(hù)����。能夠有效的防護(hù)利用各種annoymous攻擊工具和僵尸工具發(fā)起的DDoS攻 擊。
[0027] 此外�����,本發(fā)明提供了流量限制特性�,用于應(yīng)對(duì)突發(fā)的流量異常變化。另外����,深層包 檢查規(guī)則允許根據(jù)攻擊包的源/目的IP,源/目的協(xié)議端口�����,以及協(xié)議類(lèi)型或Tcp Flag/ ICMP Type/ICMP Code等特征字節(jié)定義模版�����,進(jìn)行快速防護(hù)。
[0028] 以上所述實(shí)施方式僅為本發(fā)明的優(yōu)選實(shí)施例��,而并非本發(fā)明可行實(shí)施的窮舉�。對(duì) 于本領(lǐng)域一般技術(shù)人員而言,在不背離本發(fā)明原理和精神的前提下對(duì)其所作出的任何顯而 易見(jiàn)的改動(dòng)����,都應(yīng)當(dāng)被認(rèn)為包含在本發(fā)明的權(quán)利要求保護(hù)范圍之內(nèi)�����。
【權(quán)利要求】
1. 一種針對(duì)DDoS攻擊的模塊化防護(hù)系統(tǒng)�,其特征在于:其包括轉(zhuǎn)發(fā)子系統(tǒng)、清洗子系 統(tǒng)和管理子系統(tǒng): 所述轉(zhuǎn)發(fā)子系統(tǒng)即ASIC���,負(fù)責(zé)數(shù)據(jù)的分檢�����,判斷網(wǎng)絡(luò)中是否有DDoS攻擊發(fā)生����,并負(fù)責(zé) 將原來(lái)本要去往被攻擊目標(biāo)IP的DDoS攻擊流量牽引至清洗子系統(tǒng); 所述清洗子系統(tǒng)����,主要是由NP芯片和系統(tǒng)內(nèi)存組成,所述清洗子系統(tǒng)中每個(gè)NP由多個(gè) 微內(nèi)核引擎組成���,負(fù)責(zé)實(shí)現(xiàn)流量清洗算法�����,并根據(jù)算法的結(jié)果決定包的動(dòng)作����,將DDoS攻擊 流量從混合流量中分離��、過(guò)濾����; 所述管理子系統(tǒng),包括控制CPU��、串口管理器和ROM���,實(shí)現(xiàn)系統(tǒng)的管理控制功能�����。
2. 根據(jù)權(quán)利要求1所述的一種針對(duì)DDoS攻擊的模塊化防護(hù)系統(tǒng)�����,其特征在于:所述轉(zhuǎn) 發(fā)子系統(tǒng)用于根據(jù)報(bào)文的IP地址對(duì)數(shù)據(jù)進(jìn)行分流�,將需要清洗的流量直接送到清洗子系 統(tǒng)的NP上。
3. 根據(jù)權(quán)利要求1所述的一種針對(duì)DDoS攻擊的模塊化防護(hù)系統(tǒng)����,其特征在于:所述管 理子系統(tǒng)的控制CPU在整個(gè)過(guò)程中完成策略配置下發(fā)和獲取數(shù)據(jù)統(tǒng)計(jì)信息等設(shè)備管理和 監(jiān)控功能,通過(guò)雙向數(shù)據(jù)通道完成對(duì)其它模塊的管理和控制�����。
4. 一種針對(duì)DDoS攻擊的模塊化防護(hù)檢測(cè)方法�,其特征在于:其具體包括以下步驟: 步驟1構(gòu)建如權(quán)利要求1-3任一項(xiàng)所述的防護(hù)系統(tǒng)���; 步驟2數(shù)據(jù)通過(guò)物理接口進(jìn)入設(shè)備后�����,首先由ASIC根據(jù)報(bào)文的IP地址對(duì)進(jìn)行分流���,正 常需要清洗的流量將直接送到清洗子系統(tǒng)的NP上�����; 步驟3每個(gè)NP的多個(gè)微引擎中按照清洗算法和防護(hù)策略�����,對(duì)報(bào)文進(jìn)行深度解析�����、統(tǒng)計(jì) 分析等攻擊識(shí)別和驗(yàn)證����,并由NP決定對(duì)每個(gè)報(bào)文采取丟棄�、探測(cè)、轉(zhuǎn)發(fā)或帶寬限制的功能�; 步驟4經(jīng)過(guò)NP處理后的數(shù)據(jù)被轉(zhuǎn)發(fā)給ASIC,再由ASIC對(duì)數(shù)據(jù)進(jìn)行封裝并轉(zhuǎn)發(fā)到相應(yīng) 物理端口上�,或者送回入口 ADS的ASIC上,再做最終的回注�。
【文檔編號(hào)】H04L29/06GK104158803SQ201410375136
【公開(kāi)日】2014年11月19日 申請(qǐng)日期:2014年8月1日 優(yōu)先權(quán)日:2014年8月1日
【發(fā)明者】董立勉, 盧寧, 陳澤, 郗波, 常杰, 左曉軍, 侯波濤, 張君艷, 王春璞, 劉惠穎 申請(qǐng)人:國(guó)家電網(wǎng)公司, 國(guó)網(wǎng)河北省電力公司電力科學(xué)研究院, 河北省電力建設(shè)調(diào)整試驗(yàn)所