【技术实现步骤摘要】
攻击防御方法、装置及系统、计算机可读存储介质
[0001]本申请涉及网络安全领域,特别涉及一种攻击防御方法、装置及系统、计算机可读存储介质。
技术介绍
[0002]分布式拒绝服务(distributed denial of service,DDoS)攻击是一种网络攻击手段。DDoS攻击的原理是攻击者控制僵尸网络中的大量僵尸主机向攻击目标发送大量报文,使得攻击目标忙于处理来自攻击者的大量报文,从而耗尽攻击目标的计算资源、网络资源等系统资源,导致攻击目标无法响应来自正常用户的服务请求。
[0003]在一些研究中,为了应对DDoS攻击,保护可能成为攻击目标的计算机系统资源的安全,通常互联网和在受保护计算机所在的受保护网络之间设置防护设备。防护设备采用多种防御策略对流经该防护设备的流量进行处理,以减少或消除DDoS攻击对于受保护计算机的影响。
[0004]防护设备对于采用DDoS方式发动的泛洪(flood)攻击可以采用多种有针对性的防御策略。不同防御策略针对泛洪攻击产生的防御效果有所差异。目前防护设备通常按照预设的顺序对流经该防护设备的流量应用多种防御策略。在某些场景下,上述防御方案的防御效果不佳。
技术实现思路
[0005]本申请提供了一种攻击防御方法、装置及系统、计算机可读存储介质,可以解决目前防御方案的防御效果不佳的问题。
[0006]第一方面,提供了一种攻击防御方法。该方法包括:防护设备在确定流经该防护设备的目的地址为第一受保护设备的互联网协议(Internet Protoco ...
【技术保护点】
【技术特征摘要】
1.一种攻击防御方法,其特征在于,所述方法包括:防护设备在确定流经所述防护设备的目的地址为第一受保护设备的互联网协议IP地址的流量中包括攻击流量之后,获取所述攻击流量对应的第一报文类型,所述防护设备部署于互联网与受保护网络之间,所述第一受保护设备位于所述受保护网络中;所述防护设备对第一时间段流经所述防护设备的第一目标流量应用所述第一报文类型对应的多个防御策略进行处理,根据处理结果获得所述多个防御策略中的每个防御策略分别对应的丢包统计值,所述第一目标流量是目的地址为所述第一受保护设备的IP地址的流量中属于第一报文类型的流量;所述防护设备根据所述多个防御策略中的每个防御策略分别对应的丢包统计值,确定第一策略应用方式,所述第一策略应用方式用于指示所述多个防御策略中的至少一个防御策略;所述防护设备基于所述第一策略应用方式,对第二时间段流经所述防护设备的第一目标流量应用所述至少一个防御策略进行处理,所述第二时间段在所述第一时间段之后。2.根据权利要求1所述的方法,其特征在于,所述第一策略应用方式用于指示所述多个防御策略中的至少两个防御策略时,所述第一策略应用方式具体用于指示所述至少两个防御策略的应用先后顺序,所述防护设备对第一时间段流经所述防护设备的第一目标流量应用所述第一报文类型对应的多个防御策略进行处理,根据处理结果获得所述多个防御策略中的每个防御策略分别对应的丢包统计值,包括:所述防护设备基于第二策略应用方式,对所述第一时间段流经所述防护设备的第一目标流量应用所述第一报文类型对应的至少两个防御策略进行处理,根据处理结果获得所述第一时间段内所述至少两个防御策略中的每个防御策略分别对应的丢包统计值,所述第二策略应用方式用于指示所述至少两个防御策略的应用先后顺序为第一顺序;所述防护设备根据所述多个防御策略中的每个防御策略分别对应的丢包统计值,确定第一策略应用方式,包括:所述防护设备按照所述第一时间段内所述至少两个防御策略中的每个防御策略分别对应的丢包统计值由大到小的顺序,对所述至少两个防御策略进行排序得到第二顺序,从而得到所述第一策略应用方式,所述第一策略应用方式用于指示所述至少两个防御策略的应用先后顺序为所述第二顺序。3.根据权利要求2所述的方法,其特征在于,所述第二策略应用方式是预先设定的。4.根据权利要求3所述的方法,其特征在于,所述至少两个防御策略包括所述第一报文类型对应的所有防御策略。5.根据权利要求2所述的方法,其特征在于,在所述防护设备基于第二策略应用方式,对所述第一时间段流经所述防护设备的第一目标流量应用所述第一报文类型对应的至少两个防御策略进行处理之前,所述方法还包括:所述防护设备从所述第一报文类型对应的多个防御策略中选择一个防御策略,针对选择的防御策略执行策略测试流程,直至对所述多个防御策略都执行过策略测试流程为止;如果所述防护设备中处于开启状态的所述第一报文类型对应的防御策略的数量大于1,所述防护设备根据处于开启状态的所述第一报文类型对应的防御策略确定所述第二策
略应用方式,其中,所述第一顺序为所述处于开启状态的所述第一报文类型对应的防御策略被开启的先后顺序;其中,所述策略测试流程包括:开启所述选择的防御策略,对第一时长内流经所述防护设备的第一目标流量应用处于开启状态的防御策略进行处理,根据处理结果获得所述第一时长内所述选择的防御策略对应的丢包统计值;如果所述第一时长内所述选择的防御策略对应的丢包统计值等于0、或者所述第一时长内所述防护设备转发出的第一目标流量对应的统计值小于第一阈值,则关闭所述选择的防御策略;如果所述第一时长内所述选择的防御策略对应的丢包统计值不等于0、且所述第一时长内所述防护设备转发出的第一目标流量对应的统计值不小于第一阈值,则返回执行所述选择一个防御策略的步骤。6.根据权利要求2至5任一所述的方法,其特征在于,所述第一策略应用方式用于指示所述至少两个防御策略的应用先后顺序时,所述方法还包括:所述防护设备获取基于所述第一策略应用方式,对第二时间段流经所述防护设备的第一目标流量应用所述至少两个防御策略进行处理时,所述防护设备的处理资源占用率;如果所述处理资源占用率大于第二阈值,则所述防护设备停止基于所述第一策略应用方式,对第三时间段流经所述防护设备的第一目标流量应用所述至少两个防御策略进行处理,并切换为基于第三策略应用方式,对所述第三时间段流经所述防护设备的第一目标流量应用所述至少两个防御策略进行处理,其中,所述第三策略应用方式用于指示所述至少两个防御策略的应用先后顺序为第三顺序,所述第三时间段在所述第二时间段之后。7.根据权利要求1所述的方法,其特征在于,所述第一策略应用方式用于指示所述多个防御策略中的一个防御策略时,所述防护设备对第一时间段流经所述防护设备的第一目标流量应用所述第一报文类型对应的多个防御策略进行处理,根据处理结果获得所述多个防御策略中的每个防御策略分别对应的丢包统计值,以及,所述防护设备根据所述多个防御策略中的每个防御策略分别对应的丢包统计值,确定第一策略应用方式,包括:所述防护设备从所述第一报文类型对应的多个防御策略中选择一个防御策略,针对选择的防御策略执行策略测试流程,直至对所述多个防御策略都执行过策略测试流程为止;如果所述防护设备中处于开启状态的所述第一报文类型对应的防御策略的数量等于1,所述防护设备根据处于开启状态的所述第一报文类型对应的防御策略确定所述第一策略应用方式,其中,所述第一策略应用方式用于指示所述处于开启状态的所述第一报文类型对应的防御策略;其中,所述策略测试流程包括:开启所述选择的防御策略,对第一时长内流经所述防护设备的第一目标流量应用处于开启状态的防御策略进行处理,根据处理结果获得所述第一时长内所述选择的防御策略对应的丢包统计值;如果所述第一时长内所述选择的防御策略对应的丢包统计值等于0、或者所述第一时长内所述防护设备转发出的第一目标流量对应的统计值小于第一阈值,则关闭所述选择的
防御策略;如果所述第一时长内所述选择的防御策略对应的丢包统计值不等于0、且所述第一时长内所述防护设备转发出的第一目标流量对应的统计值不小于第一阈值,则返回执行所述选择一个防御策略的步骤。8.根据权利要求1至7任一所述的方法,其特征在于,所述防护设备确定流经所述防护设备的目的地址为第一受保护设备的IP地址的流量中包括攻击流量,包括:所述防护设备获取针对第四时间段流经所述防护设备的目的地址为所述第一受保护设备的IP地址的总流量的统计信息,所述统计信息包括所述总流量中至少一个报文组对应的统计值,其中,属于所述至少一个报文组中的同一个报文组的各报文的报文类型相同,所述第四时间段在所述第一时间段之前;如果所述至少一个报文组中存在第一报文组,所述第一报文组对应的统计值大于第三阈值,则所述防护设备确定所述总流量中包括所述攻击流量,所述第一报文类型为所述第一报文组中报文的报文类型。9.根据权利要求8所述的方法,其特征在于,所述防护设备中存储有所述第一目标流量分别在多个统计时段对应的多个流量阈值,所述第三阈值为所述多个流量阈值中所述第四时间段所在统计时段对应的流量阈值。10.根据权利要求1至9任一所述的方法,其特征在于,所述方法还包括:所述防护设备向管理设备发送第一防御策略信息,所述第一防御策略信息包括所述第一受保护设备的IP地址与所述第一策略应用方式的对应关系。11.根据权利要求10所述的方法,其特征在于,在所述防护设备向管理设备发送第一防御策略信息之前,所述方法还包括:所述防护设备确定基于所述第一策略应用方式对所述第一目标流量进行处理时,所述防护设备转发出的第一目标流量对应的统计值稳定。12.根据权利要求1至11任一所述的方法,其特征在于,所述方法还包括:所述防护设备接收来自管理设备的第二防御策略信息,所述第二防御策略信息包括第二受保护设备的IP地址与第四策略应用方式的对应关系,所述第四策略应用方式用于指示第二报文类型对应的至少一个防御策略,所述第二受保护设备位于所述受保护网络中;如果流经所述防护设备的目的地址为所述第二受保护设备的IP地址的流量中包括所述第二报文类型的攻击流量,则所述防护设备基于所述第四策略应用方式,对流经所述防护设备的第二目标流量应用所述第四策略应用方式所指示的至少一个防御策略进行处理,所述第二目标流量是目的地址为所述第二受保护设备的IP地址的流量中属于所述第二报文类型的流量。13.根据权利要求1至12任一所述的方法,其特征在于,所述第一报文类型包括传输控制协议TCP报文、用户数据报协议UDP报文、同步序列编号SYN报文、同步序列编号确认SYN
‑
ACK报文、确认ACK报文、结束连接FIN报文、重置连接RST报文、域名系统DNS报文、超文本传输协议HTTP报文、因特网控制报文协议ICMP报文、超文本传输安全协议HTTPS报文或会话初始协议SIP报文。14.一种攻击防御方法,其特征在于,所述方法包括:管理设备接收来自第一防护设备的防御策略信息,所述防御策略信息包括第一受保护
设备的互联网协议IP地址与第一策略应用方式的对应关系,所述第一策略应用方式用于指示第一报文类型对应的至少一个防御策略,所述第一防护设备部署于互联网与受保护网络之间,所述第一受保护设备位于所述受保护网络中;所述管理设备向第二防护设备发送所述防御策略信息,所述第二防护设备部署于互联网与所述受保护网络之间;其中,所述第一策略应用方式用于所述第二防护设备在确定流经所述第二防护设备的目的地址为所述第一受保护设备的IP地址的流量中包括所述第一报文类型的攻击流量后,对流经所述第二防护设备的目标流量应用所述第一策略应用方式所指示的至少一个防御策略进行处理,所述目标流量是目的地址为所述第一受保护设备的IP地址的流量中属于所述第一报文类型的流量。15.根据权利要求14所述的方法,其特征在于,所述管理设备中存储有所述管理设备所管理的多个防护设备的标识,所述管理设备接收到来自第一防护设备的防御策略信息之...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。