基于流量特征识别的分布式拒绝服务的监控和防控方法技术

本发明专利技术公开一种基于流量特征识别的分布式拒绝服务的监控和防控方法。所述基于流量特征识别的分布式拒绝服务的监控和防控方法通过判断服务单元调用阻断服务单元，以通过所述阻断服务单元对受保护的互联网协议地址的访问流量进行阻断，所述判断服务单元记录所述遭受攻击的类型、遭受攻击时的流量带宽、遭受攻击时的每秒传输的包数。本发明专利技术能够针对分布式拒绝服务攻击能够有效地阻断攻击流量。

【技术实现步骤摘要】
基于流量特征识别的分布式拒绝服务的监控和防控方法
本专利技术涉及网络安全
，特别是涉及一种基于流量特征识别的分布式拒绝服务的监控和防控方法。
技术介绍
分布式拒绝服务（DDoS，DistributedDenialofService）攻击指借助于客户、服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DDoS攻击，从而成倍地提高拒绝服务攻击的威力。DDoS攻击是当今互联网重要的安全威胁之一，发起者通过遍布各地的攻击源同时向目标服务器大量请求，大量消耗攻击目标的网络和计算资源，使被攻击目标无法提供正常的服务。相对于对攻击目标造成的影响，其攻击成本低廉，因此是互联网上很常见的一种攻击方式。网络层DDoS攻击对云服务商和互联网数据中心（IDC，InternetDataCenter）服务商影响更大，由于云服务商和IDC服务商通过集中的互联网出入口为多租户提供网络服务，某一个IP被攻击，如果不及时处理，都有可能影响到其它所有租户的网络服务。现有技术中在防御DDoS攻击的方法通常手动切换别名记录（CNAME），手动做路由黑洞，现有技术在发现DDoS攻击、响应DDoS攻击方面需要大量人工操作，因此针对DDOS攻击，无法及时发现并进行快速响应，无法阻断攻击流量，因此迫切需要改进。
技术实现思路
鉴于以上所述现有技术的缺点，本专利技术的目的在于提供一种基于流量特征识别的分布式拒绝服务的监控和防控方法，用于解决现有技术中的无法及时发现并进行快速响应，无法阻断攻击流量的问题。为实现上述目的及其他相关目的，本专利技术提供一种基于流量特征识别的分布式拒绝服务的监控和防控方法，所述基于流量特征识别的分布式拒绝服务的监控和防控方法包括：S1、在边界网络交换机上配置端口镜像单元，以用于将输入至所述边界网络交换机中的访问流量进行镜像处理，将所述访问流量镜像复制一份或多份，以生成镜像后的一份或多份镜像的流量；S2、客户端对服务器端进行访问，以生成访问流量；S3、所述访问流量经过网络运营商，进入所述边界网络交换机；S4、将所述镜像的流量发送至分布式拒绝服务检测单元；S5、所述分布式拒绝服务检测单元对所述镜像的流量进行实时流量特征分析，以根据所述镜像的流量的特征，实时检测出分布式拒绝服务的攻击，并检测得出遭受攻击的类型、被攻击的互联网协议地址、遭受攻击时的流量带宽以及遭受攻击时的每秒传输的包数，其中，所述镜像的流量的特征包括实时流量带宽以及实时流量每秒传输的包数；S6、预先在判断服务单元中根据不同的受保护的互联网协议地址设置最大忍受被攻击阈值，所述最大忍受被攻击阈值包括流量带宽阈值、每秒传输的包数阈值以及阻断持续时间；S7、通过所述判断服务单元判断遭受攻击时的流量带宽、遭受攻击时的每秒传输的包数是否在所述流量带宽阈值、每秒传输的包数阈值的范围内；若是，则执行步骤S8操作；若否，则执行步骤S9操作；S8、判断所述镜像的流量是否对所述边界网络交换机有影响；若是，则执行步骤S10操作；若否，则执行步骤S11操作；S9、所述判断服务单元调用阻断服务单元，以通过所述阻断服务单元对所述受保护的互联网协议地址的访问流量进行阻断，所述判断服务单元记录所述遭受攻击的类型、遭受攻击时的流量带宽、遭受攻击时的每秒传输的包数；S10、通过人机交互界面调用阻断服务单元，以对所述受保护的互联网协议地址的访问流量进行阻断；S11、所述判断服务单元不进行处理；S12、所述阻断服务单元判断对所述受保护的互联网协议地址的访问流量进行阻断的时间是否在所述阻断持续时间的范围内；若是，则执行步骤S13操作；若否，则执行步骤S14操作；S13、判断当前镜像的流量的状况是否可以解除阻断；若是，则执行步骤S15操作；若否，则执行步骤S16操作；S14、所述阻断服务单元解除对所述受保护的互联网协议地址的访问流量的阻断；S15、通过人机交互界面调用阻断服务单元，以对所述受保护的互联网协议地址的访问流量进行解除阻断；S16、所述阻断服务单元持续对所述受保护的互联网协议地址的访问流量进行阻断。在本专利技术的一实施例中，所述基于流量特征识别的分布式拒绝服务的监控和防控方法还包括：S0、将各个网络运营商提供的流量防护服务应用程序编程接口封装于阻断服务单元中，以为阻断服务提供统一的应用程序编程接口。在本专利技术的一实施例中，所述基于流量特征识别的分布式拒绝服务的监控和防控方法还包括：S17、通过所述判断服务单元对已阻断的受保护的互联网协议地址的访问流量进行记录和审计；S18、记录和审计所述已阻断的受保护的互联网协议地址的访问流量的信息。在本专利技术的一实施例中，通过所述阻断服务单元对所述受保护的互联网协议地址的访问流量进行阻断的方式包括：所述阻断服务单元阻断进入所述边界网络交换机的受保护的互联网协议地址的访问流量；和/或所述阻断服务单元调用相应的网络运营商提供的流量防护服务应用程序编程接口，以令所述相应的网络运营商阻断受保护的互联网协议地址的访问流量。在本专利技术的一实施例中，步骤S10中的通过人机交互界面调用阻断服务单元，以对所述受保护的互联网协议地址的访问流量进行阻断的步骤包括：S101、设置一人机交互界面；S102、通过所述人机交互界面输入指定的受保护的互联网协议地址；S103、将所述受保护的互联网协议地址由判断服务单元发送至所述阻断服务单元；S104、通过所述阻断服务单元对所述受保护的互联网协议地址的访问流量进行阻断。在本专利技术的一实施例中，步骤S15中的通过人机交互界面调用阻断服务单元，以对所述受保护的互联网协议地址的访问流量进行解除阻断的步骤包括：S151、设置一人机交互界面；S152、通过所述人机交互界面输入指定的受保护的互联网协议地址；S153、将所述受保护的互联网协议地址由所述判断服务单元发送至所述阻断服务单元；S154、通过所述阻断服务单元对所述受保护的互联网协议地址的访问流量进行解除阻断。在本专利技术的一实施例中，所述已阻断的受保护的互联网协议地址的访问流量的信息包括阻断开始时间、阻断持续时间、阻断解除时间、阻断途径、遭受攻击的类型、遭受攻击时的流量带宽、遭受攻击时的每秒传输的包数中的一种或几种。本专利技术还提供一种基于流量特征识别的分布式拒绝服务的监控和防控系统，所述基于流量特征识别的分布式拒绝服务的监控和防控系统包括：边界网络交换机，其上配置有端口镜像单元，以用于将输入至所述边界网络交换机中的访问流量进行镜像处理，将所述访问流量镜像复制一份或多份，以生成镜像后的一份或多份镜像的流量；客户端，用于对服务器端进行访问，以生成访问流量；所述访问流量经过网络运营商，进入所述边界网络交换机；端口镜像单元，用于将所述镜像的流量发送至分布式拒绝服务检测单元；分布式拒绝服务检测单元，用于对所述镜像的流量进行本文档来自技高网...

【技术保护点】
1.一种基于流量特征识别的分布式拒绝服务的监控和防控方法，其特征在于，所述基于流量特征识别的分布式拒绝服务的监控和防控方法包括：/nS1、在边界网络交换机上配置端口镜像单元，以用于将输入至所述边界网络交换机中的访问流量进行镜像处理，将所述访问流量镜像复制一份或多份，以生成镜像后的一份或多份镜像的流量；/nS2、客户端对服务器端进行访问，以生成访问流量；/nS3、所述访问流量经过网络运营商，进入所述边界网络交换机；/nS4、将所述镜像的流量发送至分布式拒绝服务检测单元；/nS5、所述分布式拒绝服务检测单元对所述镜像的流量进行实时流量特征分析，以根据所述镜像的流量的特征，实时检测出分布式拒绝服务的攻击，并检测得出遭受攻击的类型、被攻击的互联网协议地址、遭受攻击时的流量带宽以及遭受攻击时的每秒传输的包数，其中，所述镜像的流量的特征包括实时流量带宽以及实时流量每秒传输的包数；/nS6、预先在判断服务单元中根据不同的受保护的互联网协议地址设置最大忍受被攻击阈值，所述最大忍受被攻击阈值包括流量带宽阈值、每秒传输的包数阈值以及阻断持续时间；/nS7、通过所述判断服务单元判断遭受攻击时的流量带宽、遭受攻击时的每秒传输的包数是否在所述流量带宽阈值、每秒传输的包数阈值的范围内；若是，则执行步骤S8操作；若否，则执行步骤S9操作；/nS8、判断所述镜像的流量是否对所述边界网络交换机有影响；若是，则执行步骤S10操作；若否，则执行步骤S11操作；/nS9、所述判断服务单元调用阻断服务单元，以通过所述阻断服务单元对所述受保护的互联网协议地址的访问流量进行阻断，所述判断服务单元记录所述遭受攻击的类型、遭受攻击时的流量带宽、遭受攻击时的每秒传输的包数；/nS10、通过人机交互界面调用阻断服务单元，以对所述受保护的互联网协议地址的访问流量进行阻断；/nS11、所述判断服务单元不进行处理；/nS12、所述阻断服务单元判断对所述受保护的互联网协议地址的访问流量进行阻断的时间是否在所述阻断持续时间的范围内；若是，则执行步骤S13操作；若否，则执行步骤S14操作；/nS13、判断当前镜像的流量的状况是否可以解除阻断；若是，则执行步骤S15操作；若否，则执行步骤S16操作；/nS14、所述阻断服务单元解除对所述受保护的互联网协议地址的访问流量的阻断；/nS15、通过人机交互界面调用阻断服务单元，以对所述受保护的互联网协议地址的访问流量进行解除阻断；/nS16、所述阻断服务单元持续对所述受保护的互联网协议地址的访问流量进行阻断。/n...

【技术特征摘要】
1.一种基于流量特征识别的分布式拒绝服务的监控和防控方法，其特征在于，所述基于流量特征识别的分布式拒绝服务的监控和防控方法包括：
S1、在边界网络交换机上配置端口镜像单元，以用于将输入至所述边界网络交换机中的访问流量进行镜像处理，将所述访问流量镜像复制一份或多份，以生成镜像后的一份或多份镜像的流量；
S2、客户端对服务器端进行访问，以生成访问流量；
S3、所述访问流量经过网络运营商，进入所述边界网络交换机；
S4、将所述镜像的流量发送至分布式拒绝服务检测单元；
S5、所述分布式拒绝服务检测单元对所述镜像的流量进行实时流量特征分析，以根据所述镜像的流量的特征，实时检测出分布式拒绝服务的攻击，并检测得出遭受攻击的类型、被攻击的互联网协议地址、遭受攻击时的流量带宽以及遭受攻击时的每秒传输的包数，其中，所述镜像的流量的特征包括实时流量带宽以及实时流量每秒传输的包数；
S6、预先在判断服务单元中根据不同的受保护的互联网协议地址设置最大忍受被攻击阈值，所述最大忍受被攻击阈值包括流量带宽阈值、每秒传输的包数阈值以及阻断持续时间；
S7、通过所述判断服务单元判断遭受攻击时的流量带宽、遭受攻击时的每秒传输的包数是否在所述流量带宽阈值、每秒传输的包数阈值的范围内；若是，则执行步骤S8操作；若否，则执行步骤S9操作；
S8、判断所述镜像的流量是否对所述边界网络交换机有影响；若是，则执行步骤S10操作；若否，则执行步骤S11操作；
S9、所述判断服务单元调用阻断服务单元，以通过所述阻断服务单元对所述受保护的互联网协议地址的访问流量进行阻断，所述判断服务单元记录所述遭受攻击的类型、遭受攻击时的流量带宽、遭受攻击时的每秒传输的包数；
S10、通过人机交互界面调用阻断服务单元，以对所述受保护的互联网协议地址的访问流量进行阻断；
S11、所述判断服务单元不进行处理；
S12、所述阻断服务单元判断对所述受保护的互联网协议地址的访问流量进行阻断的时间是否在所述阻断持续时间的范围内；若是，则执行步骤S13操作；若否，则执行步骤S14操作；
S13、判断当前镜像的流量的状况是否可以解除阻断；若是，则执行步骤S15操作；若否，则执行步骤S16操作；
S14、所述阻断服务单元解除对所述受保护的互联网协议地址的访问流量的阻断；
S15、通过人机交互界面调用阻断服务单元，以对所述受保护的互联网协议地址的访问流量进行解除阻断；
S16、所述阻断服务单元持续对所述受保护的互联网协议地址的访问流量进行阻断。


2.根据权利要求1所述的一种基于流量特征识别的分布式拒绝服务的监控和防控方法，其特征在于，所述基于流量特征识别的分布式拒绝服务的监控和防控方法还包括：
S0、将各个网络运营商提供的流量防护服务应用程序编程接口封装于阻断服务单元中，以为阻断服务提供统一的应用程序编程接口。


3.根据权利要求1所述的一种基于流量特征识别的分布式拒绝服务的监控和防控方法，其特征在于，所述基于流量特征识别的分布式拒绝服务的监控和防控方法还包括：
S17、通过所述判断服务单元对已阻断的受保护的互联网协议地址的访问流量进行记录和审计；
S18、记录和审计所述已阻断的受保护的互联网协议地址的访问流量的信息。


4.根据权利要求1至3任意一项所述的一种基于流量特征识别的分布式拒绝服务的监控和防控方法，其特征在于，通过所述阻断服务单元对所述受保护的互联网协议地址的访问流量进行阻断的方式包括：
所述阻断服务单元阻断进入所述边界网络交换机的受保护的互联网协议地址的访问流量；
和/或所述阻断服务单元调用相应的网络运营商提供的流量防护服务应用程序编程接口，以令所述相应的网络运营商阻断受保护的互联网协议地址的访问流量。


5.根据权利要求1所述的一种基于流量特征识别的分布式拒绝服务的监控和防控方法，其特征在于，步骤S10中的通过人机交互界面调用阻断服务单元，以对所述受保护的互联网协议地址的访问流量进行阻断的步骤包括：
S101、设置一人机交互界面；
S10...

【专利技术属性】
技术研发人员：臧云峰，安柯，徐蓉，赵洪，
申请(专利权)人：上海有孚智数云创数字科技有限公司，上海有孚网络股份有限公司，
类型：发明
国别省市：上海;31