一种用于防御指向多业务系统的DDoS攻击的方法与设备的制作方法

文档序号:7724700阅读:195来源:国知局
导航: X技术> 最新专利>电子通信装置的制造及其应用技术
专利名称:一种用于防御指向多业务系统的DDoS攻击的方法与设备的制作方法
技术领域
本发明涉及网络安全技术领域,尤其涉及一种用于防御指向多业务系统的DDoS 攻击的技术。
背景技术
随着互联网技术的发展与应用普及,网络上的多业务系统面临着更多、更复杂的网络攻击行为,其中,DDoS (Distributed Denial of Service,分布式拒绝服务)便是一种较为严重的网络攻击行为,它利用大量的傀儡机对某个系统同时发起攻击,使得受攻击的该系统因带宽拥塞或服务器资源耗尽等原因而无法支持正常的业务访问。在现有技术中,多业务系统往往通过在网络层面引入串联式或旁路式的清洗设备,以抵御DDoS的攻击活动。这虽然在一定程度上改善了该多业务系统的抗DDoS攻击的能力,但也存在因个别业务遭受DDoS攻击而影响整个多业务系统的正常服务的问题,例如, 当某个业务遭受DDoS攻击时,指向该多业务系统的所有访问请求,包括DDoS攻击行为与面向该多业务系统中的其他业务的访问请求,往往都会被牵引至清洗设备进行清洗,从而影响了该业务系统对于这些面向其他业务的访问请求的响应。因此,如何改善多业务系统抗DDoS攻击的能力,以降低受攻击业务对其他业务的访问请求的影响,成为目前亟须解决的技术问题之一。

发明内容
本发明的目的是提供一种用于防御指向多业务系统的DDoS攻击的方法与设备。根据本发明的一个方面,提供了一种由计算机实现的用于防御指向多业务系统的 DDoS攻击的方法,其中,该方法包括以下步骤a根据预置的DDoS攻击触发条件,检测与多业务系统相对应的网络访问流量中是否存在DDoS攻击;b当存在所述DDoS攻击时,根据所述DDoS攻击所对应的所述DDoS攻击触发条件, 确定所述DDoS攻击所指向的目标业务;c根据所述目标业务的业务相关信息,对与所述多业务系统相对应的网络访问流量中与所述目标业务相对应的网络访问流量进行防御处理。根据本发明的另一方面,还提供了一种用于防御指向多业务系统的DDoS攻击的网络安全设备,其中,该设备包括攻击检测装置,用于根据预置的DDoS攻击触发条件,检测与多业务系统相对应的网络访问流量中是否存在DDoS攻击;目标确定装置,用于当存在所述DDoS攻击时,根据所述DDoS攻击所对应的所述 DDoS攻击触发条件,确定所述DDoS攻击所指向的目标业务;防御处理装置,用于根据所述目标业务的业务相关信息,对与所述多业务系统相对应的网络访问流量中与所述目标业务相对应的网络访问流量进行防御处理。
与现有技术相比,本发明通过检测DDoS攻击所针对的目标业务,并根据该目标业务的业务相关信息进行相应的防御处理,不仅限制了该DDoS对整个多业务系统的不良影响,也有效支持了面向该多业务系统中的其他业务的访问请求,从而有效提高了整个多业务系统抵御DDoS的信息安全能力。


通过阅读参照以下附图所作的对非限制性实施例所作的详细描述,本发明的其它特征、目的和优点将会变得更明显图1示出根据本发明一个方面的用于防御指向多业务系统的DDoS攻击的设备示意图;图2示出根据本发明一个优选实施例的用于防御指向多业务系统的DDoS攻击的设备示意图;图3示出根据本发明另一个方面的用于防御指向多业务系统的DDoS攻击的方法流程图;图4示出根据本发明一个优选实施例的用于防御指向多业务系统的DDoS攻击的方法流程图。附图中相同或相似的附图标记代表相同或相似的部件。-
具体实施例方式下面结合附图对本发明作进一步详细描述。图1示出根据本发明一个方面的用于防御指向多业务系统的DDoS攻击的设备示意图;其中,网络安全设备1包括攻击检测装置11、目标确定装置12和防御处理装置13 ;多业务系统用于提供两种或两种以上类型的业务访问,其包括但不限于网站、主机托管中心、 IDCdnternet Data Center,互联网数据中心)等。网络安全设备1与多业务系统通过网络相连接,通过检测DDoS攻击所针对的目标业务,并根据该目标业务的业务相关信息进行相应的防御处理,不仅限制了该DDoS对整个多业务系统的不良影响,也有效支持了面向该多业务系统中的其他业务的访问请求,从而有效提高了整个多业务系统抵御DDoS的信息安全能力。在此,网络安全设备1、多业务系统包括但不限于网络主机、单个网络服务器、多个网络服务器集或多个服务器构成的云。在此,云由基于云计算(Cloud Computing)的大量计算机或网络服务器构成,其中,云计算是分布式计算的一种,由一群松散耦合的计算机集组成的一个超级虚拟计算机。在此,所述网络包括但不限于互联网、广域网、城域网、局域网、VPN网络、无线自组织网络(Ad Hoc网络)等;网络安全设备1与多业务系统之间的通信方式包括但不限于基于诸如TCP/IP协议、UDP协议等的分组数据传输。本领域技术人员应能理解上述网络安全设备1、多业务系统以及连接其间的网络、通信方式仅为举例,其他现有的或今后可能出现的网络安全设备、多业务系统或网络、通信方式如可适用于本发明, 也应包含在本发明保护范围以内,并在此以引用方式包含于此。攻击检测装置11根据预置的DDoS攻击触发条件,检测与多业务系统相对应的网络访问流量中是否存在DDoS攻击。具体地,攻击检测装置11根据预置的DDoS攻击触发条件,如与所述多业务系统相对应的网络访问流量中存在符合DDoS攻击特征的数据包、与所述多业务系统中一个或多个业务相对应的网络访问流量中存在符合DDoS攻击特征的数据包、所述多业务系统中一个或多个业务存在与DDoS攻击行为相关的性能变化信息,检测对应于该多业务系统的网络访问流量中是否存在DDoS攻击。例如,攻击检测装置11检测到该多业务系统的网络访问流量中存在符合DDoS攻击特征的数据包,如超过一定数量预置的SYN数据包或UDP数据包,则确定对应于该多业务系统的网络访问流量中是否存在DDoS 攻击。又如,攻击检测装置11检测到该多业务系统中一个或多个业务相对应的网络访问流量中存在符合DDoS攻击特征的数据包,如超过一定数量预置的SYN数据包或UDP数据包, 则确定对应于该多业务系统的网络访问流量中是否存在DDoS攻击。再如,攻击检测装置11 检测到该多业务系统中一个或多个业务存在与DDoS攻击行为相关的性能变化信息,如超过一定数量预置的访问请求超时或服务器可用资源低于资源阈值,则确定对应于该多业务系统的网络访问流量中是否存在DDoS攻击。本领域技术人员应能理解上述检测DDoS攻击的方式仅为举例,其他现有的或今后可能出现的检测DDoS攻击的方式如可适用于本发明, 也应包含在本发明保护范围以内,并在此以引用方式包含于此。优选地,所述攻击检测装置 11不仅可以针对该多业务系统集中部署,也可以针对该多业务系统中的各个业务子系统分别部署攻击检测前端,其中,这些分别部署的攻击检测前端通过网络与攻击检测装置11相连接,并由攻击检测装置11汇总这些攻击检测前端所报告的针对不同业务子系统的DDoS 攻击检测结果,以确定该多业务系统的网络访问流量中是否存在DDoS攻击。在此,这些攻击检测前端的实现方式与前述攻击检测装置11基本相同,为简便起见,不再赘述,并引用的方式包含于此。本领域技术人员应能理解上述部署攻击检测装置的方式仅为举例,其他现有的或今后可能出现的部署攻击检测装置的方式如可适用于本发明,也应包含在本发明保护范围以内,并在此以引用方式包含于此。 当存在所述DDoS攻击时,目标确定装置12根据所述DDoS攻击所对应的所述DDoS 攻击触发条件,确定所述DDoS攻击所指向的目标业务。具体地,当攻击检测装置11确定存在DDoS攻击时,目标确定装置12根据攻击检测装置11所确定的DDoS攻击触发条件,如与所述多业务系统相对应的网络访问流量中存在符合DDoS攻击特征的数据包、与所述多业务系统中一个或多个业务相对应的网络访问流量中存在符合DDoS攻击特征的数据包、所述多业务系统中一个或多个业务存在与DDoS攻击行为相关的性能变化信息,确定该DDoS 攻击所指向的目标业务。例如,当攻击检测装置11所确定的DDoS攻击触发条件为与所述多业务系统相对应的网络访问流量中存在符合DDoS攻击特征的数据包时,目标确定装置12 通过诸如对这些符合DDoS攻击特征的数据包进行深度包检测(De印Packet Inspection, DPI),获取这些数据包所指向的业务,从而确定该DDoS攻击所指向的目标业务。又如,当攻击检测装置11所确定的DDoS攻击触发条件为与所述多业务系统中一个或多个业务相对应的网络访问流量中存在符合DDoS攻击特征的数据包时,目标确定装置12确定所述一个或多个业务为该DDoS攻击所指向的目标业务。再如,当攻击检测装置11所确定的DDoS攻击触发条件为所述多业务系统中一个或多个业务存在与DDoS攻击行为相关的性能变化信息时,目标确定装置12确定所述一个或多个业务为该DDoS攻击所指向的目标业务。在此,所述目标业务包括所述多业务系统中该DDoS所指向的一个或多个业务,即该一个或多个业务遭受该DDoS攻击。本领域技术人员应能理解上述确定DDoS攻击所指向的目标业务的方式仅为举例,其他现有的或今后可能出现的确定DDoS攻击所指向的目标业务的方式如可适用于本发明,也应包含在本发明保护范围以内,并在此以引用方式包含于此。防御处理装置13根据所述目标业务的业务相关信息,对与所述多业务系统相对应的网络访问流量中与所述目标业务相对应的网络访问流量进行防御处理。具体地,防御处理装置13根据所述目标业务的业务相关信息,如所述目标业务的访问标识信息、与所述目标业务相对应的超链接的主机域信息、与所述目标业务相对应的标识序列信息,通过所述多业务系统的入口网络设备,如所述多业务系统内部的防火墙设备或其外部的路由器设备,在与所述多业务系统相对应的网络访问流量中识别与所述目标业务相对应的网络访问流量,并对所识别的网络访问流量进行防御处理,如直接丢弃所识别的网络访问流量,或者通过旁路路由将其牵引并经清洗后回注至该多业务系统。例如,防御处理装置13根据目标业务相对应的超链接的主机域(HOST)信息,通过所述多业务系统的入口网络设备,如所述多业务系统内部的防火墙设备或其外部的路由器设备,从与所述多业务系统相对应的网络访问流量中,提取与所述主机域信息相匹配的网络访问流量,以作为与所述目标业务相对应的网络访问流量,并通过旁路路由将其牵引并经清洗后回注至该多业务系统。在此,所述业务相关信息可由网络安全设备1通过该多业务系统中的相关设备等第三方设备所提供的应用程序接口(API)或其他约定的通信方式,从第三方设备直接获取,或者由网络安全设备1通过对该多业务系统的网络访问流量进行统计分析获取。优选地,所述业务相关信息包括但不限于,以下至少任一项所述目标业务的访问标识信息、与所述目标业务相对应的超链接的主机域信息、与所述目标业务相对应的标识序列信息。例如,所述访问标识信息包括用于唯一标识所述目标业务的描述信息,如邮件服务器的外网地址;当网络访问流量中包含该外网地址作为目的地址时,则确定该网络访问流量指向该邮件服务器。又如,所述标识序列信息是由不同业务在访问请求的头部插入的字符序列,如C00KIE-ID,以防止请求欺骗;当网络访问流量的头部包含该C00KIE-ID时,则确定该网络访问流量指向该邮件服务器。本领域技术人员应能理解上述业务相关信息及其获取方式仅为举例,其他现有的或今后可能出现的业务相关信息或其获取方式如可适用于本发明,也应包含在本发明保护范围以内,并在此以引用方式包含于此。本领域技术人员应能理解上述防御处理的方式仅为举例,其他现有的或今后可能出现的防御处理的方式如可适用于本发明,也应包含在本发明保护范围以内,并在此以引用方式包含于此。优选地,攻击检测装置11、目标确定装置12和防御处理装置13是持续不断工作的。具体地,攻击检测装置11根据预置的DDoS攻击触发条件,检测与多业务系统相对应的网络访问流量中是否存在DDoS攻击;当存在所述DDoS攻击时,目标确定装置12根据所述 DDoS攻击所对应的所述DDoS攻击触发条件,确定所述DDoS攻击所指向的目标业务;防御处理装置13根据所述目标业务的业务相关信息,对与所述多业务系统相对应的网络访问流量中与所述目标业务相对应的网络访问流量进行防御处理。在此,本领域技术人员应理解“持续”是指网络安全设备1的各装置分别按照设定的或实时调整的工作模式要求进行 DDoS攻击的检测、目标业务的确定和DDoS防御处理,直至该攻击检测装置在较长时间内停止DDoS攻击的检测。本领域技术人员应能理解,在此,攻击检测装置、目标确定装置和防御处理装置仅为示例,在具体的实施例中,它们既可以是同一个网络设备,也可以是通过网络连接的不同的网络设备;当它们是不同网络设备时,这些不同网络设备间的网络连接与通信方式相互独立。在此,所述网络设备包括但不限于网络主机、单个网络服务器、多个网络服务器集或多个服务器构成的云。在此,云由基于云计算(Cloud Computing)的大量计算机或网络服务器构成,其中,云计算是分布式计算的一种,由一群松散耦合的计算机集组成的一个超级虚拟计算机。在此,所述网络包括但不限于互联网、广域网、城域网、局域网、VPN网络、无线自组织网络(Ad Hoc网络)等;网络设备间的通信方式包括但不限于基于诸如TCP/IP协议、 UDP协议等的分组数据传输。优选地,所述DDoS攻击触发条件包括以下至少任一项-与所述多业务系统相对应的网络访问流量中存在符合DDoS攻击特征的数据包;-与所述多业务系统中一个或多个业务相对应的网络访问流量中存在符合DDoS 攻击特征的数据包;-所述多业务系统中一个或多个业务存在与DDoS攻击行为相关的性能变化信息。具体地,当DDoS攻击触发条件包括与所述多业务系统相对应的网络访问流量中存在符合DDoS攻击特征的数据包,攻击检测装置11检测到该多业务系统的网络访问流量中存在符合DDoS攻击特征的数据包,如超过一定数量预置的SYN数据包或UDP数据包,则确定对应于该多业务系统的网络访问流量中是否存在DDoS攻击。当DDoS攻击触发条件包括与所述多业务系统中一个或多个业务相对应的网络访问流量中存在符合DDoS攻击特征的数据包,攻击检测装置11检测到该多业务系统中一个或多个业务相对应的网络访问流量中存在符合DDoS攻击特征的数据包,如超过一定数量预置的SYN数据包或UDP数据包, 则确定对应于该多业务系统的网络访问流量中是否存在DDoS攻击。当DDoS攻击触发条件包括所述多业务系统中一个或多个业务存在与DDoS攻击行为相关的性能变化信息,攻击检测装置11检测到该多业务系统中一个或多个业务存在与DDoS攻击行为相关的性能变化信息,如超过一定数量预置的访问请求超时或服务器可用资源低于资源阈值,则确定对应于该多业务系统的网络访问流量中是否存在DDoS攻击。优选地,攻击检测装置11根据上述DDoS攻击触发条件的任意组合,检测与多业务系统相对应的网络访问流量中是否存在 DDoS攻击。本领域技术人员应能理解上述DDoS攻击触发条件仅为举例,其他现有的或今后可能出现的DDoS攻击触发条件如可适用于本发明,也应包含在本发明保护范围以内,并在此以引用方式包含于此。图2示出根据本发明一个优选实施例的用于防御指向多业务系统的DDoS攻击的设备示意图;其中,所述防御处理装置13包括牵引单元131’、清洗单元132’和转发单元 133,。牵引单元131’根据所述目标业务的业务相关信息,对与所述多业务系统相对应的网络访问流量中与所述目标业务相对应的网络访问流量进行转发处理,以获得待清洗的原始访问流量。具体地,牵引单元131’根据所述目标业务的业务相关信息,如所述目标业务的访问标识信息、与所述目标业务相对应的超链接的主机域信息、与所述目标业务相对应的标识序列信息,通过所述多业务系统的入口网络设备,如所述多业务系统内部的防火墙设备或其外部的路由器设备,在与所述多业务系统相对应的网络访问流量中识别与所述目标业务相对应的网络访问流量,并对所识别的网络访问流量进行转发处理,以获得待清洗的原始访问流量。
清洗单元132’根据所述DDoS攻击的攻击相关信息,对所述原始访问流量进行清洗处理,以获得与所述原始访问流量相对应的清洁访问流量。具体地,清洗单元132’根据所述DDoS攻击的攻击相关信息,如所述DDoS攻击的流量信息、所述DDoS攻击的状态信息、 所述DDoS攻击的种类信息,对所述原始访问流量进行清洗处理,如保留所述原始访问流量中正常数据包、丢弃所述原始访问流量中符合DDoS攻击特征的数据包、将所述原始访问流量中符合DDoS攻击特征的数据包转发至攻击数据包数据库、对所述原始访问流量中符合 DDoS攻击特征的访问链接进行复位处理,以获得与所述原始访问流量相对应的清洁访问流量。在此,所述攻击相关信息可由网络安全设备1通过诸如对所述原始访问流量进行深度包检测和/或统计分析获得。例如,所述DDoS攻击的状态信息包括但不限于开始、持续、结束等状态;所述DDoS攻击的种类信息包括但不限于ICMP洪泛攻击、UDP洪泛攻击、SYN洪泛攻击等种类。本领域技术人员应能理解上述攻击相关信息及其获取方式仅为举例,其他现有的或今后可能出现的攻击相关信息或其获取方式如可适用于本发明,也应包含在本发明保护范围以内,并在此以引用方式包含于此。本领域技术人员应能理解上述清洗处理的方式仅为举例,其他现有的或今后可能出现的清洗处理的方式如可适用于本发明,也应包含在本发明保护范围以内,并在此以引用方式包含于此。转发单元133’将所述清洁访问流量转发至所述多业务系统,以访问所述目标业务。具体地,转发单元133’通过诸如一条或多条物理链路,或多层转发等方式,将所述清洁访问流量转发至所述多业务系统,以访问所述目标业务。本领域技术人员应能理解上述将清洁访问流量转发至多业务系统的方式仅为举例,其他现有的或今后可能出现的将清洁访问流量转发至多业务系统的方式如可适用于本发明,也应包含在本发明保护范围以内,并在此以引用方式包含于此。本领域技术人员应能理解,在此,牵引单元、清洗单元和转发单元仅为示例,在具体的实施例中,它们既可以是同一个网络设备,也可以是通过网络连接的不同的网络设备; 当它们是不同网络设备时,这些不同网络设备间的网络连接与通信方式相互独立。在此,所述网络设备包括但不限于网络主机、单个网络服务器、多个网络服务器集或多个服务器构成的云。在此,云由基于云计算(Cloud Computing)的大量计算机或网络服务器构成,其中, 云计算是分布式计算的一种,由一群松散耦合的计算机集组成的一个超级虚拟计算机。在此,所述网络包括但不限于互联网、广域网、城域网、局域网、VPN网络、无线自组织网络(Ad Hoc网络)等;网络设备间的通信方式包括但不限于基于诸如TCP/IP协议、UDP协议等的分组数据传输。优选地,所述牵引单元131’还根据所述目标业务的业务相关信息,确定与所述目标业务相对应的牵引策略信息;将所述牵引策略信息发送至入口网络设备;接收自所述入口网络设备基于所述牵引策略所转发的与所述目标业务相对应的网络访问流量,以获得所述原始访问流量。具体地,所述牵引单元131’还根据所述目标业务的业务相关信息,如所述目标业务的访问标识信息、与所述目标业务相对应的超链接的主机域信息、与所述目标业务相对应的标识序列信息,确定与所述目标业务相对应的牵引策略信息,如基于所述标识序列信息的应用层选路策略;将所述牵引策略信息发送至入口网络设备,如所述多业务系统内部的防火墙设备或其外部的路由器设备;接收自所述入口网络设备基于所述牵引策略所转发的与所述目标业务相对应的网络访问流量,以获得所述原始访问流量。例如,所述牵引单元131’根据与所述目标业务相对应的超链接的主机域信息,确定基于主机域信息的传输层选路策略作为牵引策略,并将该牵引策略发送至所述多业务系统外部的路由器设备;接收自该路由器设备根据该牵引策略转发的网络访问流量,以获得所述原始访问流量, 其中,所述原始访问流量均具有与目标业务相对应的主机域信息。在此,所述牵引策略包括但不限于基于各种业务相关信息的网络层选路策略、传输层选路策略、应用层选路策略等。 本领域技术人员应能理解上述牵引策略及其获取方式仅为举例,其他现有的或今后可能出现的牵引策略或其获取方式如可适用于本发明,也应包含在本发明保护范围以内,并在此以引用方式包含于此。优选地,所述清洗单元132’还根据所述攻击相关信息,确定与所述原始访问流量相关的清洗策略信息;根据所述清洗策略信息,对所述原始访问流量进行清洗处理,以获得所述清洁访问流量。具体地,所述清洗单元132’还根据所述攻击相关信息,如所述DDoS 攻击的流量信息、所述DDoS攻击的状态信息、所述DDoS攻击的种类信息,确定与所述原始访问流量相关的清洗策略信息,如串行清洗策略信息、并行清洗策略信息、集群清洗策略信息、基于负载均衡的清洗策略信息;根据所述清洗策略信息,对所述原始访问流量进行清洗处理,以获得所述清洁访问流量。例如,当所述DDoS攻击的流量信息低于一定的流量阈值时,所述清洗单元132’确定串行清洗策略信息;随着所述DDoS攻击的流量信息逐步增大, 超过该流量阈值时,所述清洗单元132’改用并行清洗策略信息;随着所述DDoS攻击的流量信息进一步增大,超过更高的流量阈值时,所述清洗单元132’启用集群清洗策略信息。优选地,当所述清洗单元132’确定并行清洗策略信息或集群清洗策略信息时,还可以同时采用基于负载均衡的清洗策略信息。类似地,根据所述DDoS攻击的状态信息或种类信息的不同,所述清洗单元132’也可以使用不同的清洗策略信息,例如白名单、黑名单、灰名单的并行清洗策略信息。本领域技术人员应能理解上述清洗策略及其获取方式仅为举例,其他现有的或今后可能出现的清洗策略或其获取方式如可适用于本发明,也应包含在本发明保护范围以内,并在此以引用方式包含于此。优选地,该设备还包括回注装置(未示出),该回注装置根据所述目标业务的业务相关信息,确定与所述目标业务相对应的回注策略,并将所述回注策略发送至与所述目标业务相对应的回注网络设备;其中,所述转发单元133’还将所述清洁访问流量转发至所述回注网络设备。具体地,该回注装置根据所述目标业务的业务相关信息,如所述目标业务的访问标识信息、与所述目标业务相对应的超链接的主机域信息、与所述目标业务相对应的标识序列信息,确定与所述目标业务相对应的回注策略,如基于所述标识序列信息的应用层回注策略,并将所述回注策略发送至与所述目标业务相对应的回注网络设备;其中,所述转发单元133’还将所述清洁访问流量转发至所述回注网络设备,以供所述回注网络设备根据所述回注策略将所述清洁访问流量提供给所述目标业务。例如,所述回注装置根据与所述目标业务相对应的超链接的主机域信息,确定基于主机域信息的传输层回注策略作为回注策略,并将所述回注策略发送至与所述目标业务相对应的回注网络设备;其中,所述转发单元133’还将所述清洁访问流量转发至所述回注网络设备,以供所述回注网络设备根据所述回注策略将所述清洁访问流量提供给所述目标业务。在此,所述回注策略包括但不限于基于各种业务相关信息的网络层回注策略、传输层回注策略、应用层回注策略等。本领域技术人员应能理解上述回注策略及其获取方式仅为举例,其他现有的或今后可能出现的回注策略或其获取方式如可适用于本发明,也应包含在本发明保护范围以内,并在此以引用方式包含于此。图3示出根据本发明另一个方面的用于防御指向多业务系统的DDoS攻击的方法流程图。在步骤Sl中,网络安全设备1根据预置的DDoS攻击触发条件,检测与多业务系统相对应的网络访问流量中是否存在DDoS攻击。具体地,在步骤Sl中,网络安全设备1根据预置的DDoS攻击触发条件,如与所述多业务系统相对应的网络访问流量中存在符合DDoS 攻击特征的数据包、与所述多业务系统中一个或多个业务相对应的网络访问流量中存在符合DDoS攻击特征的数据包、所述多业务系统中一个或多个业务存在与DDoS攻击行为相关的性能变化信息,检测对应于该多业务系统的网络访问流量中是否存在DDoS攻击。例如, 在步骤Sl中,网络安全设备1检测到该多业务系统的网络访问流量中存在符合DDoS攻击特征的数据包,如超过一定数量预置的SYN数据包或UDP数据包,则确定对应于该多业务系统的网络访问流量中是否存在DDoS攻击。又如,在步骤Sl中,网络安全设备1检测到该多业务系统中一个或多个业务相对应的网络访问流量中存在符合DDoS攻击特征的数据包, 如超过一定数量预置的SYN数据包或UDP数据包,则确定对应于该多业务系统的网络访问流量中是否存在DDoS攻击。再如,在步骤Sl中,网络安全设备1检测到该多业务系统中一个或多个业务存在与DDoS攻击行为相关的性能变化信息,如超过一定数量预置的访问请求超时或服务器可用资源低于资源阈值,则确定对应于该多业务系统的网络访问流量中是否存在DDoS攻击。本领域技术人员应能理解上述检测DDoS攻击的方式仅为举例,其他现有的或今后可能出现的检测DDoS攻击的方式如可适用于本发明,也应包含在本发明保护范围以内,并在此以引用方式包含于此。优选地,在步骤Sl中,网络安全设备1不仅可以针对该多业务系统集中执行攻击检测步骤,也可以针对该多业务系统中的各个业务子系统分别执行攻击检测子步骤,其中,网络安全设备1在步骤Sl中汇总这些攻击检测子步骤所报告的针对不同业务子系统的DDoS攻击检测结果,以确定该多业务系统的网络访问流量中是否存在DDoS攻击。在此,这些攻击检测子步骤的实现方式与前述步骤Sl的实现方式基本相同,为简便起见,不再赘述,并引用的方式包含于此。本领域技术人员应能理解上述部署攻击检测装置的方式仅为举例,其他现有的或今后可能出现的部署攻击检测装置的方式如可适用于本发明,也应包含在本发明保护范围以内,并在此以引用方式包含于此。当存在所述DDoS攻击时,在步骤S2中,网络安全设备1根据所述DDoS攻击所对应的所述DDoS攻击触发条件,确定所述DDoS攻击所指向的目标业务。具体地,当在步骤 Sl中,网络安全设备1确定存在DDoS攻击时,在步骤S2中,网络安全设备1根据在步骤Sl 中所确定的DDoS攻击触发条件,如与所述多业务系统相对应的网络访问流量中存在符合 DDoS攻击特征的数据包、与所述多业务系统中一个或多个业务相对应的网络访问流量中存在符合DDoS攻击特征的数据包、所述多业务系统中一个或多个业务存在与DDoS攻击行为相关的性能变化信息,确定该DDoS攻击所指向的目标业务。例如,当在步骤Sl中,网络安全设备1所确定的DDoS攻击触发条件为与所述多业务系统相对应的网络访问流量中存在符合DDoS攻击特征的数据包时,在步骤S2中,网络安全设备1通过诸如对这些符合DDoS 攻击特征的数据包进行深度包检测(De印Packet hspection,DPI),获取这些数据包所指向的业务,从而确定该DDoS攻击所指向的目标业务。又如,当在步骤Sl中,网络安全设备1所确定的DDoS攻击触发条件为与所述多业务系统中一个或多个业务相对应的网络访问流量中存在符合DDoS攻击特征的数据包时,在步骤S2中,网络安全设备1确定所述一个或多个业务为该DDoS攻击所指向的目标业务。再如,当在步骤Sl中,网络安全设备1所确定的DDoS攻击触发条件为所述多业务系统中一个或多个业务存在与DDoS攻击行为相关的性能变化信息时,在步骤S2中,网络安全设备1确定所述一个或多个业务为该DDoS攻击所指向的目标业务。在此,所述目标业务包括所述多业务系统中该DDoS所指向的一个或多个业务,即该一个或多个业务遭受该DDoS攻击。本领域技术人员应能理解上述确定DDoS攻击所指向的目标业务的方式仅为举例,其他现有的或今后可能出现的确定DDoS攻击所指向的目标业务的方式如可适用于本发明,也应包含在本发明保护范围以内,并在此以引用方式包含于此。在步骤S3中,网络安全设备1根据所述目标业务的业务相关信息,对与所述多业务系统相对应的网络访问流量中与所述目标业务相对应的网络访问流量进行防御处理。具体地,在步骤S3中,网络安全设备1根据所述目标业务的业务相关信息,如所述目标业务的访问标识信息、与所述目标业务相对应的超链接的主机域信息、与所述目标业务相对应的标识序列信息,通过所述多业务系统的入口网络设备,如所述多业务系统内部的防火墙设备或其外部的路由器设备,在与所述多业务系统相对应的网络访问流量中识别与所述目标业务相对应的网络访问流量,并对所识别的网络访问流量进行防御处理,如直接丢弃所识别的网络访问流量,或者通过旁路路由将其牵引并经清洗后回注至该多业务系统。例如, 在步骤S3中,网络安全设备1根据目标业务相对应的超链接的主机域(HOST)信息,通过所述多业务系统的入口网络设备,如所述多业务系统内部的防火墙设备或其外部的路由器设备,从与所述多业务系统相对应的网络访问流量中,提取与所述主机域信息相匹配的网络访问流量,以作为与所述目标业务相对应的网络访问流量,并通过旁路路由将其牵引并经清洗后回注至该多业务系统。在此,所述业务相关信息可由网络安全设备1通过该多业务系统中的相关设备等第三方设备所提供的应用程序接口(API)或其他约定的通信方式,从第三方设备直接获取,或者由网络安全设备1通过对该多业务系统的网络访问流量进行统计分析获取。优选地,所述业务相关信息包括但不限于,以下至少任一项所述目标业务的访问标识信息、与所述目标业务相对应的超链接的主机域信息、与所述目标业务相对应的标识序列信息。例如,所述访问标识信息包括用于唯一标识所述目标业务的描述信息,如邮件服务器的外网地址;当网络访问流量中包含该外网地址作为目的地址时,则确定该网络访问流量指向该邮件服务器。又如,所述标识序列信息是由不同业务在访问请求的头部插入的字符序列,如C00KIE-ID,以防止请求欺骗;当网络访问流量的头部包含该C00KIE-ID 时,则确定该网络访问流量指向该邮件服务器。本领域技术人员应能理解上述业务相关信息及其获取方式仅为举例,其他现有的或今后可能出现的业务相关信息或其获取方式如可适用于本发明,也应包含在本发明保护范围以内,并在此以引用方式包含于此。本领域技术人员应能理解上述防御处理的方式仅为举例,其他现有的或今后可能出现的防御处理的方式如可适用于本发明,也应包含在本发明保护范围以内,并在此以引用方式包含于此。优选地,网络安全设备1中的各个步骤是持续不断工作的。具体地,在步骤Sl中, 网络安全设备1根据预置的DDoS攻击触发条件,检测与多业务系统相对应的网络访问流量中是否存在DDoS攻击;当存在所述DDoS攻击时,在步骤S2中,网络安全设备1根据所述DDoS攻击所对应的所述DDoS攻击触发条件,确定所述DDoS攻击所指向的目标业务;在步骤S3中,网络安全设备1根据所述目标业务的业务相关信息,对与所述多业务系统相对应的网络访问流量中与所述目标业务相对应的网络访问流量进行防御处理。在此,本领域技术人员应理解“持续”是指网络安全设备1的各步骤分别按照设定的或实时调整的工作模式要求进行DDoS攻击的检测、目标业务的确定和DDoS防御处理,直至该网络安全设备1在较长时间内停止DDoS攻击的检测。优选地,所述DDoS攻击触发条件包括以下至少任一项-与所述多业务系统相对应的网络访问流量中存在符合DDoS攻击特征的数据包;-与所述多业务系统中一个或多个业务相对应的网络访问流量中存在符合DDoS 攻击特征的数据包;-所述多业务系统中一个或多个业务存在与DDoS攻击行为相关的性能变化信息。具体地,当DDoS攻击触发条件包括与所述多业务系统相对应的网络访问流量中存在符合DDoS攻击特征的数据包,在步骤Sl中,网络安全设备1检测到该多业务系统的网络访问流量中存在符合DDoS攻击特征的数据包,如超过一定数量预置的SYN数据包或UDP 数据包,则确定对应于该多业务系统的网络访问流量中是否存在DDoS攻击。当DDoS攻击触发条件包括与所述多业务系统中一个或多个业务相对应的网络访问流量中存在符合DDoS 攻击特征的数据包,在步骤Sl中,网络安全设备1检测到该多业务系统中一个或多个业务相对应的网络访问流量中存在符合DDoS攻击特征的数据包,如超过一定数量预置的SYN数据包或UDP数据包,则确定对应于该多业务系统的网络访问流量中是否存在DDoS攻击。当 DDoS攻击触发条件包括所述多业务系统中一个或多个业务存在与DDoS攻击行为相关的性能变化信息,在步骤Sl中,网络安全设备1检测到该多业务系统中一个或多个业务存在与 DDoS攻击行为相关的性能变化信息,如超过一定数量预置的访问请求超时或服务器可用资源低于资源阈值,则确定对应于该多业务系统的网络访问流量中是否存在DDoS攻击。优选地,在步骤Sl中,网络安全设备1根据上述DDoS攻击触发条件的任意组合,检测与多业务系统相对应的网络访问流量中是否存在DDoS攻击。本领域技术人员应能理解上述DDoS攻击触发条件仅为举例,其他现有的或今后可能出现的DDoS攻击触发条件如可适用于本发明,也应包含在本发明保护范围以内,并在此以引用方式包含于此。图4示出根据本发明一个优选实施例的用于防御指向多业务系统的DDoS攻击的方法流程图。在步骤S31’中,网络安全设备1根据所述目标业务的业务相关信息,对与所述多业务系统相对应的网络访问流量中与所述目标业务相对应的网络访问流量进行转发处理, 以获得待清洗的原始访问流量。具体地,在步骤S31’中,网络安全设备1根据所述目标业务的业务相关信息,如所述目标业务的访问标识信息、与所述目标业务相对应的超链接的主机域信息、与所述目标业务相对应的标识序列信息,通过所述多业务系统的入口网络设备, 如所述多业务系统内部的防火墙设备或其外部的路由器设备,在与所述多业务系统相对应的网络访问流量中识别与所述目标业务相对应的网络访问流量,并对所识别的网络访问流量进行转发处理,以获得待清洗的原始访问流量。在步骤S32’中,网络安全设备1根据所述DDoS攻击的攻击相关信息,对所述原始访问流量进行清洗处理,以获得与所述原始访问流量相对应的清洁访问流量。具体地,在步骤S32’中,网络安全设备1根据所述DDoS攻击的攻击相关信息,如所述DDoS攻击的流量信息、所述DDoS攻击的状态信息、所述DDoS攻击的种类信息,对所述原始访问流量进行清洗处理,如保留所述原始访问流量中正常数据包、丢弃所述原始访问流量中符合DDoS攻击特征的数据包、将所述原始访问流量中符合DDoS攻击特征的数据包转发至攻击数据包数据库、对所述原始访问流量中符合DDoS攻击特征的访问链接进行复位处理,以获得与所述原始访问流量相对应的清洁访问流量。在此,所述攻击相关信息可由网络安全设备1通过诸如对所述原始访问流量进行深度包检测和/或统计分析获得。例如,所述DDoS攻击的状态信息包括但不限于开始、持续、结束等状态;所述DDoS攻击的种类信息包括但不限于ICMP 洪泛攻击、UDP洪泛攻击、SYN洪泛攻击等种类。本领域技术人员应能理解上述攻击相关信息及其获取方式仅为举例,其他现有的或今后可能出现的攻击相关信息或其获取方式如可适用于本发明,也应包含在本发明保护范围以内,并在此以引用方式包含于此。本领域技术人员应能理解上述清洗处理的方式仅为举例,其他现有的或今后可能出现的清洗处理的方式如可适用于本发明,也应包含在本发明保护范围以内,并在此以引用方式包含于此。在步骤S33’中,网络安全设备1将所述清洁访问流量转发至所述多业务系统,以访问所述目标业务。具体地,在步骤S33’中,网络安全设备1通过诸如一条或多条物理链路,或多层转发等方式,将所述清洁访问流量转发至所述多业务系统,以访问所述目标业务。本领域技术人员应能理解上述将清洁访问流量转发至多业务系统的方式仅为举例,其他现有的或今后可能出现的将清洁访问流量转发至多业务系统的方式如可适用于本发明, 也应包含在本发明保护范围以内,并在此以引用方式包含于此。优选地,在步骤S31’中,网络安全设备1还根据所述目标业务的业务相关信息,确定与所述目标业务相对应的牵引策略信息;将所述牵引策略信息发送至入口网络设备;接收自所述入口网络设备基于所述牵引策略所转发的与所述目标业务相对应的网络访问流量,以获得所述原始访问流量。具体地,在步骤S31’中,网络安全设备1还根据所述目标业务的业务相关信息,如所述目标业务的访问标识信息、与所述目标业务相对应的超链接的主机域信息、与所述目标业务相对应的标识序列信息,确定与所述目标业务相对应的牵引策略信息,如基于所述标识序列信息的应用层选路策略;将所述牵引策略信息发送至入口网络设备,如所述多业务系统内部的防火墙设备或其外部的路由器设备;接收自所述入口网络设备基于所述牵引策略所转发的与所述目标业务相对应的网络访问流量,以获得所述原始访问流量。例如,在步骤S31’中,网络安全设备1根据与所述目标业务相对应的超链接的主机域信息,确定基于主机域信息的传输层选路策略作为牵引策略,并将该牵引策略发送至所述多业务系统外部的路由器设备;接收自该路由器设备根据该牵引策略转发的网络访问流量,以获得所述原始访问流量,其中,所述原始访问流量均具有与目标业务相对应的主机域信息。在此,所述牵引策略包括但不限于基于各种业务相关信息的网络层选路策略、传输层选路策略、应用层选路策略等。本领域技术人员应能理解上述牵引策略及其获取方式仅为举例,其他现有的或今后可能出现的牵引策略或其获取方式如可适用于本发明, 也应包含在本发明保护范围以内,并在此以引用方式包含于此。优选地,在步骤S32’中,网络安全设备1还根据所述攻击相关信息,确定与所述原始访问流量相关的清洗策略信息;根据所述清洗策略信息,对所述原始访问流量进行清洗处理,以获得所述清洁访问流量。具体地,在步骤S32’中,网络安全设备1还根据所述攻击相关信息,如所述DDoS攻击的流量信息、所述DDoS攻击的状态信息、所述DDoS攻击的种类信息,确定与所述原始访问流量相关的清洗策略信息,如串行清洗策略信息、并行清洗策略信息、集群清洗策略信息、基于负载均衡的清洗策略信息;根据所述清洗策略信息,对所述原始访问流量进行清洗处理,以获得所述清洁访问流量。例如,当所述DDoS攻击的流量信息低于一定的流量阈值时,在步骤S32’中,网络安全设备1确定串行清洗策略信息;随着所述DDoS攻击的流量信息逐步增大,超过该流量阈值时,在步骤S32’中,网络安全设备 1改用并行清洗策略信息;随着所述DDoS攻击的流量信息进一步增大,超过更高的流量阈值时,在步骤S32’中,网络安全设备1启用集群清洗策略信息。优选地,在步骤S32’中,当网络安全设备1确定并行清洗策略信息或集群清洗策略信息时,还可以同时采用基于负载均衡的清洗策略信息。类似地,根据所述DDoS攻击的状态信息或种类信息的不同,在步骤 S32’中,网络安全设备1也可以使用不同的清洗策略信息,例如白名单、黑名单、灰名单的并行清洗策略信息。本领域技术人员应能理解上述清洗策略及其获取方式仅为举例,其他现有的或今后可能出现的清洗策略或其获取方式如可适用于本发明,也应包含在本发明保护范围以内,并在此以引用方式包含于此。优选地,在步骤S4’中(未示出),网络安全设备1还根据所述目标业务的业务相关信息,确定与所述目标业务相对应的回注策略,并将所述回注策略发送至与所述目标业务相对应的回注网络设备;随后,在步骤S33’中,网络安全设备1还将所述清洁访问流量转发至所述回注网络设备。具体地,在步骤S4’中,网络安全设备1根据所述目标业务的业务相关信息,如所述目标业务的访问标识信息、与所述目标业务相对应的超链接的主机域信息、与所述目标业务相对应的标识序列信息,确定与所述目标业务相对应的回注策略,如基于所述标识序列信息的应用层回注策略,并将所述回注策略发送至与所述目标业务相对应的回注网络设备;随后,在步骤S33’中,网络安全设备1还将所述清洁访问流量转发至所述回注网络设备,以供所述回注网络设备根据所述回注策略将所述清洁访问流量提供给所述目标业务。例如,在步骤S4’中,网络安全设备1根据与所述目标业务相对应的超链接的主机域信息,确定基于主机域信息的传输层回注策略作为回注策略,并将所述回注策略发送至与所述目标业务相对应的回注网络设备;随后,在步骤S33’中,网络安全设备1还将所述清洁访问流量转发至所述回注网络设备,以供所述回注网络设备根据所述回注策略将所述清洁访问流量提供给所述目标业务。在此,所述回注策略包括但不限于基于各种业务相关信息的网络层回注策略、传输层回注策略、应用层回注策略等。本领域技术人员应能理解上述回注策略及其获取方式仅为举例,其他现有的或今后可能出现的回注策略或其获取方式如可适用于本发明,也应包含在本发明保护范围以内,并在此以引用方式包含于此。对于本领域技术人员而言,显然本发明不限于上述示范性实施例的细节,而且在不背离本发明的精神或基本特征的情况下,能够以其他的具体形式实现本发明。因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本发明的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化涵括在本发明内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。此外,显然“包括” 一词不排除其他单元或步骤,单数不排除复数。装置权利要求中陈述的多个单元或装置也可以由一个单元或装置通过软件或者硬件来实现。第一,第二等词语用来表示名称,而并不表示任何特定的顺序。
权利要求
1.一种由计算机实现的用于防御指向多业务系统的DDoS攻击的方法,其中,该方法包括以下步骤a根据预置的DDoS攻击触发条件,检测与多业务系统相对应的网络访问流量中是否存在DDoS攻击;b当存在所述DDoS攻击时,根据所述DDoS攻击所对应的所述DDoS攻击触发条件,确定所述DDoS攻击所指向的目标业务;c根据所述目标业务的业务相关信息,对与所述多业务系统相对应的网络访问流量中与所述目标业务相对应的网络访问流量进行防御处理。
2.根据权利要求1所述的方法,其中,所述步骤c包括cl根据所述目标业务的业务相关信息,对与所述多业务系统相对应的网络访问流量中与所述目标业务相对应的网络访问流量进行转发处理,以获得待清洗的原始访问流量;c2根据所述DDoS攻击的攻击相关信息,对所述原始访问流量进行清洗处理,以获得与所述原始访问流量相对应的清洁访问流量;c3将所述清洁访问流量转发至所述多业务系统,以访问所述目标业务。
3.据权利要求2所述的方法,其中,所述步骤cl包括-根据所述目标业务的业务相关信息,确定与所述目标业务相对应的牵引策略信息; -将所述牵引策略信息发送至入口网络设备;-接收自所述入口网络设备基于所述牵引策略所转发的与所述目标业务相对应的网络访问流量,以获得所述原始访问流量。
4.根据权利要求2或3所述的方法,其中,所述步骤c2中所述清洗处理操作包括以下至少任一项-保留所述原始访问流量中正常数据包; -丢弃所述原始访问流量中符合DDoS攻击特征的数据包; -将所述原始访问流量中符合DDoS攻击特征的数据包转发至攻击数据包数据库; -对所述原始访问流量中符合DDoS攻击特征的访问链接进行复位处理。
5.根据权利要求2至4中任一项所述的方法,其中,所述步骤c2包括-根据所述攻击相关信息,确定与所述原始访问流量相关的清洗策略信息; -根据所述清洗策略信息,对所述原始访问流量进行清洗处理,以获得所述清洁访问流量。
6.根据权利要求5所述的方法,其中,所述清洗策略信息包括以下至少任一项 -串行清洗策略信息;-并行清洗策略信息; -集群清洗策略信息; -基于负载均衡的清洗策略信息。
7.根据权利要求2至6中任一项所述的方法,其中,所述攻击相关信息包括以下至少任一项-所述DDoS攻击的流量信息; -所述DDoS攻击的状态信息; -所述DDoS攻击的种类信息。
8.据权利要求2至7中任一项所述的方法,其中,该方法还包括-根据所述目标业务的业务相关信息,确定与所述目标业务相对应的回注策略; -将所述回注策略发送至与所述目标业务相对应的回注网络设备; 其中,所述步骤c3包括-将所述清洁访问流量转发至所述回注网络设备。
9.根据权利要求1至8中任一项所述的方法,其中,所述业务相关信息包括以下至少任一项-所述目标业务的访问标识信息; -与所述目标业务相对应的超链接的主机域信息; -与所述目标业务相对应的标识序列信息。
10.根据权利要求1至9中任一项所述的方法,其中,所述DDoS攻击触发条件包括以下至少任一项-与所述多业务系统相对应的网络访问流量中存在符合DDoS攻击特征的数据包; -与所述多业务系统中一个或多个业务相对应的网络访问流量中存在符合DDoS攻击特征的数据包;-所述多业务系统中一个或多个业务存在与DDoS攻击行为相关的性能变化信息。
11.一种用于防御指向多业务系统的DDoS攻击的网络安全设备,其中,该设备包括 攻击检测装置,用于根据预置的DDoS攻击触发条件,检测与多业务系统相对应的网络访问流量中是否存在DDoS攻击;目标确定装置,用于当存在所述DDoS攻击时,根据所述DDoS攻击所对应的所述DDoS 攻击触发条件,确定所述DDoS攻击所指向的目标业务;防御处理装置,用于根据所述目标业务的业务相关信息,对与所述多业务系统相对应的网络访问流量中与所述目标业务相对应的网络访问流量进行防御处理。
12.根据权利要求11所述的设备,其中,所述防御处理装置包括牵引单元,用于根据所述目标业务的业务相关信息,对与所述多业务系统相对应的网络访问流量中与所述目标业务相对应的网络访问流量进行转发处理,以获得待清洗的原始访问流量;清洗单元,用于根据所述DDoS攻击的攻击相关信息,对所述原始访问流量进行清洗处理,以获得与所述原始访问流量相对应的清洁访问流量;转发单元,用于将所述清洁访问流量转发至所述多业务系统,以访问所述目标业务。
13.据权利要求12所述的设备,其中,所述牵引单元用于-根据所述目标业务的业务相关信息,确定与所述目标业务相对应的牵引策略信息; -将所述牵引策略信息发送至入口网络设备;-接收自所述入口网络设备基于所述牵引策略所转发的与所述目标业务相对应的网络访问流量,以获得所述原始访问流量。
14.根据权利要求12或13所述的设备,其中,所述清洗单元中所述清洗处理操作包括以下至少任一项-保留所述原始访问流量中正常数据包; -丢弃所述原始访问流量中符合DDoS攻击特征的数据包;-将所述原始访问流量中符合DDoS攻击特征的数据包转发至攻击数据包数据库; -对所述原始访问流量中符合DDoS攻击特征的访问链接进行复位处理。
15.根据权利要求12至14中任一项所述的设备,其中,所述清洗单元用于 -根据所述攻击相关信息,确定与所述原始访问流量相关的清洗策略信息;-根据所述清洗策略信息,对所述原始访问流量进行清洗处理,以获得所述清洁访问流量。
16.根据权利要求15所述的设备,其中,所述清洗策略信息包括以下至少任一项 -串行清洗策略信息;-并行清洗策略信息; -集群清洗策略信息; -基于负载均衡的清洗策略信息。
17.根据权利要求12至16中任一项所述的设备,其中,所述攻击相关信息包括以下至少任一项-所述DDoS攻击的流量信息; -所述DDoS攻击的状态信息; -所述DDoS攻击的种类信息。
18.据权利要求12至17中任一项所述的设备,其中,该设备还包括回注装置,该回注装置用于-根据所述目标业务的业务相关信息,确定与所述目标业务相对应的回注策略; -将所述回注策略发送至与所述目标业务相对应的回注网络设备; 其中,所述转发单元用于 -将所述清洁访问流量转发至所述回注网络设备。
19.根据权利要求11至18中任一项所述的设备,其中,所述业务相关信息包括以下至少任一项-所述目标业务的访问标识信息; -与所述目标业务相对应的超链接的主机域信息; -与所述目标业务相对应的标识序列信息。
20.根据权利要求11至19中任一项所述的设备,其中,所述DDoS攻击触发条件包括以下至少任一项-与所述多业务系统相对应的网络访问流量中存在符合DDoS攻击特征的数据包; -与所述多业务系统中一个或多个业务相对应的网络访问流量中存在符合DDoS攻击特征的数据包;-所述多业务系统中一个或多个业务存在与DDoS攻击行为相关的性能变化信息。
全文摘要
本发明旨在提供一种防御指向多业务系统的DDoS攻击的方法与设备。其中,网络安全设备根据预置的DDoS攻击触发条件,检测与多业务系统相对应的网络访问流量中是否存在DDoS攻击;当存在所述DDoS攻击时,根据所述DDoS攻击所对应的所述DDoS攻击触发条件,确定所述DDoS攻击所指向的目标业务;根据所述目标业务的业务相关信息,对与所述多业务系统相对应的网络访问流量中与所述目标业务相对应的网络访问流量进行防御处理。与现有技术相比,本发明通过检测DDoS攻击所针对的目标业务,并根据该目标业务的业务相关信息进行相应的防御处理,不仅限制了该DDoS对整个多业务系统的不良影响,也有效支持了面向该多业务系统中的其他业务的访问请求,从而有效提高了整个多业务系统抵御DDoS的信息安全能力。
文档编号H04L29/06GK102263788SQ201110197639
公开日2011年11月30日 申请日期2011年7月14日 优先权日2011年7月14日
发明者傅江, 刘宁, 刘涛, 吴教仁, 张 诚, 蒋浩 申请人:百度在线网络技术(北京)有限公司
完整全部详细技术资料下载
  • 该技术已申请专利。仅供学习研究,如用于商业用途,请联系技术所有人。
  • 技术研发人员:吴教仁;刘宁;刘涛;蒋浩;张诚;傅江
  • 技术所有人:百度在线网络技术(北京)有限公司
  • 我是此专利的发明人
相关技术
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1
精彩留言,会给你点赞!
外购商品用于业务招待相关技术
外购商品用于业务宣传相关技术
萨德导弹防御系统相关技术
nbs防御系统相关技术
入侵防御系统相关技术
ips入侵防御系统相关技术

使用协议| 关于我们| 联系X技术

© 2008-2024 【X技术】 版权所有,并保留所有权利。津ICP备16005673号-2