攻击防御方法、装置及系统、计算机可读存储介质制造方法及图纸

本申请公开了一种攻击防御方法、装置及系统、计算机可读存储介质，属于网络安全领域。防护设备首先获取目的地址为第一受保护设备的IP地址的攻击流量对应的第一报文类型，并对后续流经该防护设备的目标流量应用第一报文类型对应的多个防御策略进行处理，其次根据基于处理结果获得的多个防御策略分别对应的丢包统计值确定用于指示第一报文类型对应的至少一个防御策略的第一策略应用方式。然后防护设备基于第一策略应用方式，对后续时间段流经防护设备的第一目标流量应用至少一个防御策略进行处理。基于攻击流量在各个防御策略下对应的丢包统计值确定后续应用的防御策略，提高了防护设备的防御灵活性，有助于提升防护设备整体的防御效果。体的防御效果。体的防御效果。

【技术实现步骤摘要】
攻击防御方法、装置及系统、计算机可读存储介质


[0001]本申请涉及网络安全领域，特别涉及一种攻击防御方法、装置及系统、计算机可读存储介质。

技术介绍

[0002]分布式拒绝服务(distributed denial of service，DDoS)攻击是一种网络攻击手段。DDoS攻击的原理是攻击者控制僵尸网络中的大量僵尸主机向攻击目标发送大量报文，使得攻击目标忙于处理来自攻击者的大量报文，从而耗尽攻击目标的计算资源、网络资源等系统资源，导致攻击目标无法响应来自正常用户的服务请求。
[0003]在一些研究中，为了应对DDoS攻击，保护可能成为攻击目标的计算机系统资源的安全，通常互联网和在受保护计算机所在的受保护网络之间设置防护设备。防护设备采用多种防御策略对流经该防护设备的流量进行处理，以减少或消除DDoS攻击对于受保护计算机的影响。
[0004]防护设备对于采用DDoS方式发动的泛洪(flood)攻击可以采用多种有针对性的防御策略。不同防御策略针对泛洪攻击产生的防御效果有所差异。目前防护设备通常按照预设的顺序对流经该防护设备的流量应用多种防御策略。在某些场景下，上述防御方案的防御效果不佳。

技术实现思路

[0005]本申请提供了一种攻击防御方法、装置及系统、计算机可读存储介质，可以解决目前防御方案的防御效果不佳的问题。
[0006]第一方面，提供了一种攻击防御方法。该方法包括：防护设备在确定流经该防护设备的目的地址为第一受保护设备的互联网协议(Internet Protocol，IP)地址的流量中包括攻击流量之后，获取攻击流量对应的第一报文类型，该防护设备部署于互联网与受保护网络之间，第一受保护设备位于受保护网络中。防护设备对第一时间段流经该防护设备的第一目标流量应用第一报文类型对应的多个防御策略进行处理，根据处理结果获得多个防御策略中的每个防御策略分别对应的丢包统计值，第一目标流量是目的地址为第一受保护设备的IP地址的流量中属于第一报文类型的流量。防护设备根据多个防御策略中的每个防御策略分别对应的丢包统计值，确定第一策略应用方式，第一策略应用方式用于指示多个防御策略中的至少一个防御策略。防护设备基于第一策略应用方式，对第二时间段流经防护设备的第一目标流量应用至少一个防御策略进行处理，第二时间段在第一时间段之后。
[0007]本申请中，在不清楚攻击场景的情况下，防护设备能够基于攻击流量在各个防御策略下对应的丢包统计值，有针对性地确定后续防御策略的应用方式，并非是一成不变地按照预先设定的顺序依次使用多个防御策略，提高了防护设备的防御灵活性，有助于提升防护设备整体的防御效果。
[0008]在第一种实现方式中，第一策略应用方式用于指示多个防御策略中的至少两个防
御策略时，第一策略应用方式具体用于指示至少两个防御策略的应用先后顺序。相应地，防护设备对第一时间段流经防护设备的第一目标流量应用第一报文类型对应的多个防御策略进行处理，根据处理结果获得多个防御策略中的每个防御策略分别对应的丢包统计值的实现过程，包括：防护设备基于第二策略应用方式，对第一时间段流经防护设备的第一目标流量应用第一报文类型对应的至少两个防御策略进行处理，根据处理结果获得第一时间段内至少两个防御策略中的每个防御策略分别对应的丢包统计值，第二策略应用方式用于指示至少两个防御策略的应用先后顺序为第一顺序。则防护设备根据多个防御策略中的每个防御策略分别对应的丢包统计值，确定第一策略应用方式的实现过程，包括：防护设备按照第一时间段内至少两个防御策略中的每个防御策略分别对应的丢包统计值由大到小的顺序，对至少两个防御策略进行排序得到第二顺序，从而得到第一策略应用方式，第一策略应用方式用于指示至少两个防御策略的应用先后顺序为第二顺序。
[0009]本申请中，防护设备能够按照多个防御策略被应用时分别对应的丢包统计值由大到小的顺序，对该多个防御策略进行排序，使得在前应用的防御策略对应的丢包数量大于在后应用的防御策略对应的丢包数量，进而使得应用多个防御策略处理流量时该多个防御策略所需处理的流量总量最少，能够减小对防护设备的处理资源的消耗，提升防护设备整体的防御效果。
[0010]可选地，第二策略应用方式是预先设定的。可选地，这种情况下，上述第一实现方式中，第一报文类型对应的至少两个防御策略包括第一报文类型对应的所有防御策略。
[0011]可选地，在防护设备基于第二策略应用方式，对第一时间段流经防护设备的第一目标流量应用第一报文类型对应的至少两个防御策略进行处理之前，防护设备从第一报文类型对应的多个防御策略中选择一个防御策略，针对选择的防御策略执行策略测试流程，直至对多个防御策略都执行过策略测试流程为止；如果防护设备中处于开启状态的第一报文类型对应的防御策略的数量大于1，防护设备根据处于开启状态的第一报文类型对应的防御策略确定第二策略应用方式，其中，第一顺序为处于开启状态的第一报文类型对应的防御策略被开启的先后顺序。其中，策略测试流程包括：开启选择的防御策略，对第一时长内流经防护设备的第一目标流量应用处于开启状态的防御策略进行处理，根据处理结果获得第一时长内该选择的防御策略对应的丢包统计值；如果第一时长内该选择的防御策略对应的丢包统计值等于0、或者第一时长内防护设备转发出的第一目标流量对应的统计值小于第一阈值，则关闭该选择的防御策略；如果第一时长内该选择的防御策略对应的丢包统计值不等于0、且第一时长内防护设备转发出的第一目标流量对应的统计值不小于第一阈值，则返回执行选择一个防御策略的步骤。
[0012]如果对第一目标流量应用防御策略的过程中，防御策略对应的丢包统计值等于0，则表示该防御策略对第一目标流量中的攻击流量防御无效。如果由于开启防御策略导致防护设备转发出的第一目标流量对应的统计值小于第一阈值，则表示该防御策略可能误防了第一目标流量中的正常流量。本申请对第一目标流量应用新选择的防御策略的过程中，如果该新选择的防御策略对应的丢包统计值等于0、或者防护设备转发出的第一目标流量对应的统计值小于第一阈值，则防护设备关闭该新选择的防御策略，既能够减少对防护设备的处理资源的无用消耗，又能够改善防护设备对正常流量的误防情况，进而有助于提升防护设备的防御效果。
[0013]结合第一种实现方式，第一策略应用方式用于指示至少两个防御策略的应用先后顺序时，防护设备还获取基于第一策略应用方式，对第二时间段流经防护设备的第一目标流量应用该至少两个防御策略进行处理时，防护设备的处理资源占用率。如果防护设备的处理资源占用率大于第二阈值，则防护设备停止基于第一策略应用方式，对第三时间段流经防护设备的第一目标流量应用至少两个防御策略进行处理，并切换为基于第三策略应用方式，对第三时间段流经防护设备的第一目标流量应用至少两个防御策略进行处理，第三时间段在第二时间段之后。
[0014]可选的，第三策略应用方式与第二策略应用方式相同。本申请中，防护设备在处理资源占用率过高时支持策略应用方式回滚机制，能够防止防护设备的负载过高而影响防护本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种攻击防御方法，其特征在于，所述方法包括：防护设备在确定流经所述防护设备的目的地址为第一受保护设备的互联网协议IP地址的流量中包括攻击流量之后，获取所述攻击流量对应的第一报文类型，所述防护设备部署于互联网与受保护网络之间，所述第一受保护设备位于所述受保护网络中；所述防护设备对第一时间段流经所述防护设备的第一目标流量应用所述第一报文类型对应的多个防御策略进行处理，根据处理结果获得所述多个防御策略中的每个防御策略分别对应的丢包统计值，所述第一目标流量是目的地址为所述第一受保护设备的IP地址的流量中属于第一报文类型的流量；所述防护设备根据所述多个防御策略中的每个防御策略分别对应的丢包统计值，确定第一策略应用方式，所述第一策略应用方式用于指示所述多个防御策略中的至少一个防御策略；所述防护设备基于所述第一策略应用方式，对第二时间段流经所述防护设备的第一目标流量应用所述至少一个防御策略进行处理，所述第二时间段在所述第一时间段之后。2.根据权利要求1所述的方法，其特征在于，所述第一策略应用方式用于指示所述多个防御策略中的至少两个防御策略时，所述第一策略应用方式具体用于指示所述至少两个防御策略的应用先后顺序，所述防护设备对第一时间段流经所述防护设备的第一目标流量应用所述第一报文类型对应的多个防御策略进行处理，根据处理结果获得所述多个防御策略中的每个防御策略分别对应的丢包统计值，包括：所述防护设备基于第二策略应用方式，对所述第一时间段流经所述防护设备的第一目标流量应用所述第一报文类型对应的至少两个防御策略进行处理，根据处理结果获得所述第一时间段内所述至少两个防御策略中的每个防御策略分别对应的丢包统计值，所述第二策略应用方式用于指示所述至少两个防御策略的应用先后顺序为第一顺序；所述防护设备根据所述多个防御策略中的每个防御策略分别对应的丢包统计值，确定第一策略应用方式，包括：所述防护设备按照所述第一时间段内所述至少两个防御策略中的每个防御策略分别对应的丢包统计值由大到小的顺序，对所述至少两个防御策略进行排序得到第二顺序，从而得到所述第一策略应用方式，所述第一策略应用方式用于指示所述至少两个防御策略的应用先后顺序为所述第二顺序。3.根据权利要求2所述的方法，其特征在于，所述第二策略应用方式是预先设定的。4.根据权利要求3所述的方法，其特征在于，所述至少两个防御策略包括所述第一报文类型对应的所有防御策略。5.根据权利要求2所述的方法，其特征在于，在所述防护设备基于第二策略应用方式，对所述第一时间段流经所述防护设备的第一目标流量应用所述第一报文类型对应的至少两个防御策略进行处理之前，所述方法还包括：所述防护设备从所述第一报文类型对应的多个防御策略中选择一个防御策略，针对选择的防御策略执行策略测试流程，直至对所述多个防御策略都执行过策略测试流程为止；如果所述防护设备中处于开启状态的所述第一报文类型对应的防御策略的数量大于1，所述防护设备根据处于开启状态的所述第一报文类型对应的防御策略确定所述第二策
略应用方式，其中，所述第一顺序为所述处于开启状态的所述第一报文类型对应的防御策略被开启的先后顺序；其中，所述策略测试流程包括：开启所述选择的防御策略，对第一时长内流经所述防护设备的第一目标流量应用处于开启状态的防御策略进行处理，根据处理结果获得所述第一时长内所述选择的防御策略对应的丢包统计值；如果所述第一时长内所述选择的防御策略对应的丢包统计值等于0、或者所述第一时长内所述防护设备转发出的第一目标流量对应的统计值小于第一阈值，则关闭所述选择的防御策略；如果所述第一时长内所述选择的防御策略对应的丢包统计值不等于0、且所述第一时长内所述防护设备转发出的第一目标流量对应的统计值不小于第一阈值，则返回执行所述选择一个防御策略的步骤。6.根据权利要求2至5任一所述的方法，其特征在于，所述第一策略应用方式用于指示所述至少两个防御策略的应用先后顺序时，所述方法还包括：所述防护设备获取基于所述第一策略应用方式，对第二时间段流经所述防护设备的第一目标流量应用所述至少两个防御策略进行处理时，所述防护设备的处理资源占用率；如果所述处理资源占用率大于第二阈值，则所述防护设备停止基于所述第一策略应用方式，对第三时间段流经所述防护设备的第一目标流量应用所述至少两个防御策略进行处理，并切换为基于第三策略应用方式，对所述第三时间段流经所述防护设备的第一目标流量应用所述至少两个防御策略进行处理，其中，所述第三策略应用方式用于指示所述至少两个防御策略的应用先后顺序为第三顺序，所述第三时间段在所述第二时间段之后。7.根据权利要求1所述的方法，其特征在于，所述第一策略应用方式用于指示所述多个防御策略中的一个防御策略时，所述防护设备对第一时间段流经所述防护设备的第一目标流量应用所述第一报文类型对应的多个防御策略进行处理，根据处理结果获得所述多个防御策略中的每个防御策略分别对应的丢包统计值，以及，所述防护设备根据所述多个防御策略中的每个防御策略分别对应的丢包统计值，确定第一策略应用方式，包括：所述防护设备从所述第一报文类型对应的多个防御策略中选择一个防御策略，针对选择的防御策略执行策略测试流程，直至对所述多个防御策略都执行过策略测试流程为止；如果所述防护设备中处于开启状态的所述第一报文类型对应的防御策略的数量等于1，所述防护设备根据处于开启状态的所述第一报文类型对应的防御策略确定所述第一策略应用方式，其中，所述第一策略应用方式用于指示所述处于开启状态的所述第一报文类型对应的防御策略；其中，所述策略测试流程包括：开启所述选择的防御策略，对第一时长内流经所述防护设备的第一目标流量应用处于开启状态的防御策略进行处理，根据处理结果获得所述第一时长内所述选择的防御策略对应的丢包统计值；如果所述第一时长内所述选择的防御策略对应的丢包统计值等于0、或者所述第一时长内所述防护设备转发出的第一目标流量对应的统计值小于第一阈值，则关闭所述选择的
防御策略；如果所述第一时长内所述选择的防御策略对应的丢包统计值不等于0、且所述第一时长内所述防护设备转发出的第一目标流量对应的统计值不小于第一阈值，则返回执行所述选择一个防御策略的步骤。8.根据权利要求1至7任一所述的方法，其特征在于，所述防护设备确定流经所述防护设备的目的地址为第一受保护设备的IP地址的流量中包括攻击流量，包括：所述防护设备获取针对第四时间段流经所述防护设备的目的地址为所述第一受保护设备的IP地址的总流量的统计信息，所述统计信息包括所述总流量中至少一个报文组对应的统计值，其中，属于所述至少一个报文组中的同一个报文组的各报文的报文类型相同，所述第四时间段在所述第一时间段之前；如果所述至少一个报文组中存在第一报文组，所述第一报文组对应的统计值大于第三阈值，则所述防护设备确定所述总流量中包括所述攻击流量，所述第一报文类型为所述第一报文组中报文的报文类型。9.根据权利要求8所述的方法，其特征在于，所述防护设备中存储有所述第一目标流量分别在多个统计时段对应的多个流量阈值，所述第三阈值为所述多个流量阈值中所述第四时间段所在统计时段对应的流量阈值。10.根据权利要求1至9任一所述的方法，其特征在于，所述方法还包括：所述防护设备向管理设备发送第一防御策略信息，所述第一防御策略信息包括所述第一受保护设备的IP地址与所述第一策略应用方式的对应关系。11.根据权利要求10所述的方法，其特征在于，在所述防护设备向管理设备发送第一防御策略信息之前，所述方法还包括：所述防护设备确定基于所述第一策略应用方式对所述第一目标流量进行处理时，所述防护设备转发出的第一目标流量对应的统计值稳定。12.根据权利要求1至11任一所述的方法，其特征在于，所述方法还包括：所述防护设备接收来自管理设备的第二防御策略信息，所述第二防御策略信息包括第二受保护设备的IP地址与第四策略应用方式的对应关系，所述第四策略应用方式用于指示第二报文类型对应的至少一个防御策略，所述第二受保护设备位于所述受保护网络中；如果流经所述防护设备的目的地址为所述第二受保护设备的IP地址的流量中包括所述第二报文类型的攻击流量，则所述防护设备基于所述第四策略应用方式，对流经所述防护设备的第二目标流量应用所述第四策略应用方式所指示的至少一个防御策略进行处理，所述第二目标流量是目的地址为所述第二受保护设备的IP地址的流量中属于所述第二报文类型的流量。13.根据权利要求1至12任一所述的方法，其特征在于，所述第一报文类型包括传输控制协议TCP报文、用户数据报协议UDP报文、同步序列编号SYN报文、同步序列编号确认SYN
‑
ACK报文、确认ACK报文、结束连接FIN报文、重置连接RST报文、域名系统DNS报文、超文本传输协议HTTP报文、因特网控制报文协议ICMP报文、超文本传输安全协议HTTPS报文或会话初始协议SIP报文。14.一种攻击防御方法，其特征在于，所述方法包括：管理设备接收来自第一防护设备的防御策略信息，所述防御策略信息包括第一受保护
设备的互联网协议IP地址与第一策略应用方式的对应关系，所述第一策略应用方式用于指示第一报文类型对应的至少一个防御策略，所述第一防护设备部署于互联网与受保护网络之间，所述第一受保护设备位于所述受保护网络中；所述管理设备向第二防护设备发送所述防御策略信息，所述第二防护设备部署于互联网与所述受保护网络之间；其中，所述第一策略应用方式用于所述第二防护设备在确定流经所述第二防护设备的目的地址为所述第一受保护设备的IP地址的流量中包括所述第一报文类型的攻击流量后，对流经所述第二防护设备的目标流量应用所述第一策略应用方式所指示的至少一个防御策略进行处理，所述目标流量是目的地址为所述第一受保护设备的IP地址的流量中属于所述第一报文类型的流量。15.根据权利要求14所述的方法，其特征在于，所述管理设备中存储有所述管理设备所管理的多个防护设备的标识，所述管理设备接收到来自第一防护设备的防御策略信息之...

【专利技术属性】
技术研发人员：吴波，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：