防御数据流攻击的方法及系统的制作方法

防御数据流攻击的方法及系统的制作方法
【专利摘要】本发明提供一种防御数据流攻击的方法及系统。根据所述防御方法，是防御系统监听网络接入设备转发的UDP数据包的头信息，并计算包含相同的部分头信息的UDP数据包的转发率；当所述转发率满足预设的防御区间，控制所述网络接入设备将包含所述相同的部分头信息的UDP数据包进行转发限制。本发明通过监听包含有相同的部分头信息的UDP数据包来确定是否为UDP数据包攻击，所监听的包含相同的部分头信息的UDP数据包的转发率达到防御区间，则控制网络接入设备对该种数据包进行限制甚至丢弃，以减少这类UDP数据包对网络接入设备的资源的占用。
【专利说明】防御数据流攻击的方法及系统

【技术领域】
[0001]本发明涉及一种网络安全技术，特别是涉及一种防御数据流攻击的方法及系统。

【背景技术】
[0002]UDP Flood是当前最流行的DoS (拒绝服务攻击)与DDoS (分布式拒绝服务攻击)的方式之一。这类攻击是抓住了 UDP协议是一个面向无连接的传输层协议，以至于数据传送过程中，不需要建立连接和进行认证这一特点。进行攻击时攻击方就可以向被攻击方发送大量的异常高流量的完整m)P数据报文。在UDP Flood攻击时，报文发往受害系统的随机或指定的端口，通常是目标主机的随机端口。这使得受害系统必须对流入的数据报文进行分析以确定哪个应用服务请求了该数据流，若受害系统的某个攻击端口没有运行服务，它将用ICMP报文回应一个“目标端口不可达”消息。当大量的代理主机发送这种数据报时，会使被攻击主机所在的网络资源被耗尽，还会使被攻击主机忙于处理UDP数据报文，而使系统崩溃。
[0003]目前解决这类UDP Flood攻击的现有检测方法，主要通过计算单位时间内通过的UDP数据包的数量，如果大于UDP流量的峰值则认为是UDP攻击。但是由于现有的检测是孤立和分布式的，所以无法准确判断所转发的UDP数据包中哪些属于UDP Flood的攻击，对于网络接入设备来说，若全盘限制或丢弃UDP数据包，可能致使有些应用的正常UDP数据包无法正常到达。如此，无法建立有效的防御机制。


【发明内容】

[0004]鉴于以上所述现有技术的缺点，本发明的目的在于提供一种防御数据流攻击的方法及系统，用于解决现有技术中由于无法有效识别常规UDP数据包和UDP Flood之间的区别，从而无法建立有效的防御机制的问题。
[0005]为实现上述目的及其他相关目的，本发明提供一种防御数据流攻击的方法，包括:I)监听网络接入设备转发的UDP数据包的头信息，并计算包含相同的部分头信息的UDP数据包的转发率；2)当所述转发率满足预设的防御区间，控制所述网络接入设备将包含所述相同的部分头信息的UDP数据包进行转发限制。
[0006]优选地，所述步骤I)包括:监听网络接入设备转发的UDP数据包，当所述网络接入设备所转发的各UDP数据包的转发率大于预设阈值时，将各UDP数据包的头信息发送给与所述网络接入设备相连的控制端；由所述控制端根据来自各网络接入设备的头信息计算包含相同的部分头信息的UDP数据包的转发率。
[0007]优选地，所述步骤2)包括:当包含相同头信息部分相同的部分头信息的UDP数据包的转发率满足预设的防御区间，从所对应的UDP数据包的头信息中确定位于所述头信息中的源地址信息和源端口信息最近的网络接入设备，并向所确定的网络接入设备发送控制表；接收到所述控制表的网络接入设备按照所述控制表对包含所述相同的部分头信息的UDP数据包进行转发限制。
[0008]优选地，所述步骤2)还包括:当包含相同头信息部分相同的部分头信息的UDP数据包的转发率满足预设的第一防御子区间，从所对应的UDP数据包的头信息中确定位于所述头信息中的源地址信息和源端口信息最近或最远的网络接入设备，令所确定的网络接入设备监听对应UDP数据包的反馈数据包；由所确定的网络接入设备监听所转发的各所述反馈数据包，并将所监听的各所述反馈数据包的头信息发送至所述控制端；由所述控制端从所接收的各所述反馈数据包的头信息中确定对应包含所述相同的部分头信息的UDP数据包的反馈数据包，并在所确定的反馈数据包的转发率满足所述第一防御子区间时，向位于所述头信息中的源地址信息和源端口信息最近的网络接入设备发送包含限制对包含所述相同的部分头信息的UDP数据包进行转发的控制表。
[0009]或者，所述步骤2)包括:当包含相同头信息部分相同的部分头信息的UDP数据包的转发率满足预设的第二防御子区间，向所确定的网络接入设备发送包含丢弃包含所述相同的部分头信息的UDP数据包的控制表，其中，所述第一防御子区间小于所述第二防御子区间。
[0010]优选地，所述防御方法还包括以下步骤:当包含所述相同的部分头信息的UDP数据包的转发率低于所述防御区间的最小值，令所述网络接入设备解除对所述UDP数据包的转发限制。
[0011]基于上述目的，本发明还提供一种防御数据流攻击的系统，包括:转发率计算单元，用于监听网络接入设备转发的UDP数据包的头信息，并计算包含相同的部分头信息的UDP数据包的转发率；限制单元，用于当所述转发率满足预设的防御区间，控制所述网络接入设备将包含所述相同的部分头信息的UDP数据包进行转发限制。
[0012]优选地，所述转发率计算单元包括:位于所述网络接入设备中的第一转发率计算模块，用于监听所述网络接入设备转发的UDP数据包，当所述网络接入设备所转发的各UDP数据包的转发率大于预设阈值时，将各UDP数据包的头信息发送给与所述网络接入设备相连的控制端；位于所述控制端的第二转发率计算模块，用于根据来自各网络接入设备的头信息计算包含相同的部分头信息的UDP数据包的转发率。
[0013]优选地，所述限制单元包括:位于所述控制端的控制表设定模块，用于当包含相同头信息部分相同的部分头信息的UDP数据包的转发率满足预设的防御区间，从所对应的UDP数据包的头信息中确定位于所述头信息中的源地址信息和源端口信息最近的网络接入设备，并向所确定的网络接入设备发送控制表；位于所述网络接入设备的限制执行模块，用于按照所述控制表对包含所述相同的部分头信息的UDP数据包进行转发限制。
[0014]优选地，所述控制表设定模块包括:位于所述控制端的选择监听反馈数据包子模块，用于当包含相同头信息部分相同的部分头信息的UDP数据包的转发率满足预设的第一防御子区间，从所对应的UDP数据包的头信息中确定位于所述头信息中的源地址信息和源端口信息最近或最远的网络接入设备，令所确定的网络接入设备监听对应UDP数据包的反馈数据包；位于所确定的网络接入设备端的监听反馈数据包子模块，用于监听所转发的各所述反馈数据包，并将所监听的各所述反馈数据包的头信息发送至所述控制端；位于所述控制端的第一控制表设定子模块，用于从所接收的各所述反馈数据包的头信息中确定对应包含所述相同的部分头信息的UDP数据包的反馈数据包，并在所确定的反馈数据包的转发率满足所述第一防御子区间时，向位于所述头信息中的源地址信息和源端口信息最近的网络接入设备发送包含限制对包含所述相同的部分头信息的UDP数据包进行转发的控制表。
[0015]或者，所述限制单元包括:位于所述控制端的第二控制表设定子模块，用于当包含所述相同的部分头信息的UDP数据包的所述转发率满足预设的第二防御子区间，向所确定的网络接入设备发送包含丢弃包含所述相同的部分头信息的UDP数据包的控制表，其中，所述第一防御子区间小于所述第二防御子区间。
[0016]优选地，所述防御系统还包括解除单元，用于当包含所述相同的部分头信息的UDP数据包的转发率低于所述防御区间的最小值，令所述网络接入设备解除对所述UDP数据包的转发限制。
[0017]如上所述，本发明的防御数据流攻击的方法及系统，具有以下有益效果:通过监听包含有相同的部分头信息的m)P数据包来确定是否为UDP数据包攻击，所监听的包含相同的部分头信息的UDP数据包的转发率达到防御区间，则控制网络接入设备对该种数据包进行限制甚至丢弃，以减少这类UDP数据包对网络接入设备的资源的占用；另外，通过设置多个防御子区间，能够便于设置限制转发策略；还有，当包含所述相同的部分头信息的UDP数据包的转发率降低时，能够解除限制，以便网络接入设备正常工作；此外，在确定有大量的包含相同的部分头信息的UDP数据包转发时，进一步监听反馈数据包，能够确定UDP数据包攻击，并建立精准的防御。

【专利附图】

【附图说明】
[0018]图1显示为本发明的防御数据流攻击的方法的流程图。
[0019]图2显示为本发明的防御数据流攻击的方法的一种优选方式的流程图。
[0020]图3显示为本发明的防御数据流攻击的系统的结构示意图。
[0021]图4显示为本发明的防御数据流攻击的系统的一种优选方式的结构示意图。

【具体实施方式】
[0022]以下通过特定的具体实例说明本发明的实施方式，本领域技术人员可由本说明书所揭露的内容轻易地了解本发明的其他优点与功效。本发明还可以通过另外不同的【具体实施方式】加以实施或应用，本说明书中的各项细节也可以基于不同观点与应用，在没有背离本发明的精神下进行各种修饰或改变。需说明的是，在不冲突的情况下，以下实施例及实施例中的特征可以相互组合。
[0023]实施例一
[0024]请参阅图1，本发明提供一种防御数据流攻击的方法。所述防御方法主要由应用在网络接入设备中的防御系统来执行。所述网络接入设备包括但不限于:路由器、交换机等。
[0025]在步骤SI中，所述防御系统监听所述网络接入设备转发的UDP数据包的头信息，并计算包含相同的部分头信息的UDP数据包的转发率。其中，所述头信息包括但不限于:目的地址信息、源地址信息、目的端口信息、源端口信息、转发路径中的至少一种或任意组合。
[0026]具体地，所述防御系统监听所述网络接入设备的各端口所转发的UDP数据包的头信息，当在一预设时段内所转发的UDP数据包的头信息中包含相同的目的地址信息、源地址信息、目的端口信息、源端口信息中至少一种、或者包含有部分一致的转发路径，则计算该时段内的所转发的该种UDP数据包的转发率。其中，所述预设时段举例为60秒。
[0027]在步骤S2中，当所述转发率满足预设的防御区间，所述防御系统控制所述网络接入设备将包含所述相同的部分头信息的UDP数据包进行转发限制。
[0028]具体地，所述防御系统将在步骤SI中所得到的转发率与预设的防御区间进行匹配，若在所述防御区间内，则限制对包含所述相同的部分头信息的UDP数据包的转发，或者直接丢弃包含所述相同的部分头信息的UDP数据包。
[0029]优选地，所述防御区间可以包含一个防御子区间，也可以包含多个防御子区间。若包含多个防御子区间，则所述防御系统可按照各防御子区间设置限制级别。例如，所述转发率在第一防御子区间内，所述防御系统可以限制所述网络接入设备对包含所述相同的部分头信息的UDP数据包的转发流量。所述转发率在第二防御子区间内，所述防御系统可以控制所述网络接入设备直接丢弃包含所述相同的部分头信息的UDP数据包。
[0030]优选地，所述防御方法还包括:步骤S3 (未予图示)。
[0031]在步骤S3中，当包含所述相同的部分头信息的UDP数据包的转发率低于所述防御区间的最小值，所述防御系统令所述网络接入设备解除对所述UDP数据包的转发限制。
[0032]具体地，所述防御系统一边对包含有相同的部分头信息的UDP数据包进行限制，一边继续统计这类UDP数据包的转发率，当这类UDP数据包的转发率低于所述防御区间的最小值，所述防御系统令所述网络接入设备解除对所述UDP数据包的转发限制。
[0033]实施例二
[0034]请参阅图2，所述防御方法主要由安装在网络接入设备和控制端中的防御系统来执行。其中，所述网络接入设备包括但不限于:路由器、交换机等。所述控制端与至少一个所述网络接入设备通信连接，用于根据各网络接入设备所提供的数据包的头信息，对各网络接入设备进行路径选择、流量等控制。在本实施例中，所述防御系统位于所述网络接入设备中的部分称为第一防御子系统。所述防御系统位于所述控制端中的部分称为第二防御子系统。
[0035]在步骤SI’中，所述第一防御子系统监听所述网络接入设备转发的UDP数据包，当所述网络接入设备所转发的各UDP数据包的转发率大于预设阈值时，将各UDP数据包的头信息发送给与所述网络接入设备相连的控制端。其中，所述头信息包括但不限于:目的地址信息、源地址信息、目的端口信息、源端口信息、转发路径中的至少一种或任意组合。
[0036]具体地，所述第一防御子系统监听所述网络接入设备中转发的所有UDP数据包，当在一预设时段内所述网络接入设备所转发的各UDP数据包的转发率大于预设阈值时，将各UDP数据包的头信息发送给位于所述控制端中第二防御子系统。其中，所述预设时段举例为60秒。
[0037]在步骤S2’中，所述第二防御子系统根据来自各网络接入设备的头信息计算包含相同的部分头信息的UDP数据包的转发率。
[0038]具体地，所述第二防御子系统收集各网络接入设备所提供的UDP数据包的头信息，当在一预设时段内所收集的头信息中包含相同的目的地址信息、源地址信息、目的端口信息、源端口信息中至少一种、或者包含有部分一致的转发路径，则计算该时段内对应的UDP数据包的转发率。
[0039]在步骤S3’中，当包含相同头信息部分相同的部分头信息的UDP数据包的转发率满足预设的防御区间，所述第二防御子系统从所对应的UDP数据包的头信息中确定位于所述头信息中的源地址信息和源端口信息最近的网络接入设备，并向所确定的网络接入设备发送控制表。
[0040]具体地，当所述转发率在预设的防御区间内，则所述第二防御子系统需确定距离发送所述UDP数据包的源地址信息和源端口信息最近的网络接入设备，或者说所能确定的所述UDP数据包的入口网络接入设备。
[0041]在此，所述第二防御子系统从各网络接入设备所提供的头信息中的转发路径中能够确定距离发送所述UDP数据包的源地址信息和源端口信息最近的网络接入设备。例如，所述第二防御子系统接收到路由器Al和A2所提供的头信息，其中，路由器Al所提供的头信息中的转发路径为:源地址信息和源端口信息-路由器BI的路由信息-路由器Al的路由信息，路由器A2所提供的头信息中的转发路径为:源地址信息和源端口信息-路由器B2的转发信息-路由器B3的路由信息-路由器A2的路由信息。则所述第二防御子系统通过比较转发路径的长短来确定路由器Al为距离发送所述UDP数据包的源地址信息和源端口信息最近的网络接入设备。
[0042]在确定了网络接入设备之后，所述第二防御子系统向位于所确定的网络接入设备中第一防御子系统发送控制表。所述控制表中包含所要限制的UDP数据包的头信息、所述网络接入设备转发所要限制的UDP数据包的端口、限制级别等。
[0043]优选地，所述防御区间可以包含一个防御子区间，也可以包含多个防御子区间。若包含多个防御子区间，则所述第二防御系统可按照各防御子区间设置限制级别。例如，所述转发率在第一防御子区间内，所述第二防御子系统在所述限制级别中设置限制所述网络接入设备对包含所述相同的部分头信息的UDP数据包的转发流量。
[0044]若所述防御区间还包含大于所述第一防御子区间的第二防御子区间，则所述步骤S3’包含:当所述转发率满足预设的第二防御子区间，并向所确定的网络接入设备发送包含丢弃包含所述相同的部分头信息的UDP数据包的控制表的步骤。
[0045]更为优选地，针对所述转发率在第一防御子区间内，所述步骤S3’包括:步骤S31’、S32’、S33’。(均未予图示)
[0046]在步骤S31’中，当包含相同头信息部分相同的部分头信息的UDP数据包的转发率满足预设的第一防御子区间，所述第二防御子系统从所对应的UDP数据包的头信息中确定位于所述头信息中的源地址信息和源端口信息最近或最远的网络接入设备，令所确定的网络接入设备监听对应UDP数据包的反馈数据包。
[0047]具体地，当一设备Cl利用包含有相同的部分头信息的UDP数据包攻击网络中的又一设备C2时，该设备C2可能并未开放相应端口来接收所述m)P数据包，此时，设备C2将对应反馈包含“目标端口不可达”报文的数据包。针对该种情况，所述第二防御子系统令位于距离所述头信息中的源地址信息和源端口信息最近或最远的网络接入设备监听所转发的对应所有m)P数据包的反馈数据包。
[0048]需要说明的是，本领域技术人员应该理解，所述第二防御子系统确定距离所述头信息中的源地址信息和源端口信息最近或最远的网络接入设备的方式与前述步骤S3’中描述的相同或相似，在此不再详述。
[0049]接着，在步骤S32’中，位于距离所述头信息中的源地址信息和源端口信息最近或最远的网络接入设备中的所述第一防御子系统监听所述反馈数据包，并将所述反馈数据包的头信息发送至所述控制端。
[0050]在步骤S33’中，所述第二防御子系统从所接收的各所述反馈数据包的头信息中确定对应包含所述相同的部分头信息的UDP数据包的反馈数据包，并在所确定的反馈数据包的转发率满足所述第一防御子区间时，向位于所述头信息中的源地址信息和源端口信息最近的网络接入设备发送包含限制对包含所述相同的部分头信息的UDP数据包进行转发的控制表。
[0051]具体地，所述第二防御子系统所接收到的各所述反馈数据包的头信息中即包含对应m)P数据包攻击的反馈数据包的头信息，也包含正常的对应UDP数据包的反馈数据包的头信息。所述第二防御子系统根据在步骤S31’中所得到的包含相同的部分头信息的头信息能够确定所对应反馈数据包的头信息。
[0052]例如，所述第二防御子系统将所述反馈数据包的头信息中的源地址信息、目的地址信息、源端口信息、目的端口信息分别与步骤S31’中所得到的包含相同的部分头信息的头信息中的目的地址信息、源地址信息、目的端口信息、源端口信息相对应，若一致，则确定所述头信息对应所要确定的反馈数据包。如此，进一步计算所确定的反馈数据包的转发率，当所计算的转发率满足所述第一防御子区间时，向位于所述头信息中的源地址信息和源端口信息最近的网络接入设备发送包含限制对包含所述相同的部分头信息的UDP数据包进行转发的控制表。
[0053]在步骤S4’中，所述第一防御子系统按照所述控制表控制所述网络接入设备对包含所述相同的部分头信息的UDP数据包进行转发限制。
[0054]例如，距离发送包含所述相同的部分头信息的UDP数据包的源地址信息和端口信息最近的网络接入设备中的第一防御子系统在接收到包含丢弃所述UDP数据包的控制表时，控制所述网络接入设备监听所接收的UDP数据包，并当所接收的UDP数据包的头信息符合所述控制表所提供的头信息时，对该种UDP数据包进行丢弃处理。
[0055]又如，所述第一防御子系统在接收到包含限制指定头信息的UDP数据包转发的控制表时，按照所述控制表中的限制要求，对所接收到的对应所指定的头信息的UDP数据包进行转发限制。
[0056]作为又一种优选方案，所述第第二防御子系统一边对满足所述防御区间的UDP数据包的头信息进行限制处理，一边继续监听各所述网络接入设备中的第一防御子系统所提供的UDP数据包的头信息，当所限制的UDP数据包的头信息的转发率低于所述防御区间的最小值，则令所对应的网络接入设备解除转发限制。
[0057]例如，网络接入设备的转发限制为丢弃或者限制包含所述相同的部分头信息的UDP数据包，则当所述第二防御子系统确定所限制的UDP数据包的头信息的转发率低于所述第一防御子区间的最小值时，令所述网络接入设备解除对所述UDP数据包的转发限制。
[0058]又如，所述网络接入设备的转发限制为丢弃包含所述相同的部分头信息的UDP数据包，当所述第二防御子系统确定所限制的UDP数据包的头信息的转发率低于所述第二防御子区间的最小值时，向位于所述网络接入设备中的第一防御子系统发送包含限制所述UDP数据包的转发速度的控制表，以便允许但限制对所述UDP数据包的转发。
[0059]实施例三
[0060]请参阅图3，本发明提供一种防御数据流攻击的系统。所述防御系统I主要为安装在网络接入设备中的软件和硬件。所述网络接入设备包括但不限于:路由器、交换机等。所述防御系统I包括:转发率计算单元U、限制单元12。
[0061]所述转发率计算单元11用于监听所述网络接入设备转发的UDP数据包的头信息，并计算包含相同的部分头信息的UDP数据包的转发率。其中，所述头信息包括但不限于:目的地址信息、源地址信息、目的端口信息、源端口信息、转发路径中的至少一种或任意组合。
[0062]具体地，所述转发率计算单元11监听所述网络接入设备的各端口所转发的UDP数据包的头信息，当在一预设时段内所转发的UDP数据包的头信息中包含相同的目的地址信息、源地址信息、目的端口信息、源端口信息中至少一种、或者包含有部分一致的转发路径，则计算该时段内的所转发的该种UDP数据包的转发率。其中，所述预设时段举例为60秒。
[0063]所述限制单元12用于当所述转发率满足预设的防御区间，控制所述网络接入设备将包含所述相同的部分头信息的UDP数据包进行转发限制。
[0064]具体地，所述转发率计算单元11将在所述转发率计算单元11中所得到的转发率与预设的防御区间进行匹配，若在所述防御区间内，则限制对包含所述相同的部分头信息的m)P数据包的转发，或者直接丢弃包含所述相同的部分头信息的m)P数据包。
[0065]优选地，所述防御区间可以包含一个防御子区间，也可以包含多个防御子区间。若包含多个防御子区间，则所述转发率计算单元11可按照各防御子区间设置限制级别。例如，所述转发率在第一防御子区间内，所述转发率计算单元11可以限制所述网络接入设备对包含所述相同的部分头信息的UDP数据包的转发流量。所述转发率在第二防御子区间内，所述转发率计算单元11可以控制所述网络接入设备直接丢弃包含所述相同的部分头信息的m)P数据包。
[0066]优选地，所述防御系统I还包括:解除单元(未予图示)。
[0067]所述解除单元用于当包含所述相同的部分头信息的UDP数据包的转发率低于所述防御区间的最小值，令所述网络接入设备解除对所述UDP数据包的转发限制。
[0068]具体地，所述限制单元12 —边对包含有相同的部分头信息的UDP数据包进行限制，一边继续统计这类UDP数据包的转发率，当这类UDP数据包的转发率低于所述防御区间的最小值，启动所述解除单元令所述网络接入设备解除对所述UDP数据包的转发限制。
[0069]实施例四
[0070]请参阅图4，所述防御系统主要包含安装在网络接入设备和控制端中的软件和硬件。其中，所述网络接入设备包括但不限于:路由器、交换机等。所述控制端与至少一个所述网络接入设备通信连接，用于根据各网络接入设备所提供的数据包的头信息，对各网络接入设备进行路径选择、流量等控制。在本实施例中，所述防御系统2位于所述网络接入设备中的部分称为第一防御子系统。所述防御系统2位于所述控制端中的部分称为第二防御子系统。其中，所述第一防御子系统包括:第一转发率计算模块21、限制执行模块24。所述第二防御子系统包括:第二转发率计算模块22、控制表设定模块23。其中，所述第一转发率计算模块21和第二转发率计算模块22为所述实施例三中的转发率计算单元11的扩展。所述控制表设定模块23和限制执行模块24为所述实施例三中的限制单元12的扩展。
[0071]所述第一转发率计算模块21用于监听所述网络接入设备转发的UDP数据包，当所述网络接入设备所转发的各UDP数据包的转发率大于预设阈值时，将各UDP数据包的头信息发送给与所述网络接入设备相连的控制端。其中，所述头信息包括但不限于:目的地址信息、源地址信息、目的端□信息、源端□信息、转发路径中的至少一种或任意组合。
[0072]具体地，所述第一转发率计算模块21监听所述网络接入设备中转发的所有UDP数据包，当在一预设时段内所述网络接入设备所转发的各UDP数据包的转发率大于预设阈值时，将各UDP数据包的头信息发送给位于所述控制端中第二防御子系统。其中，所述预设时段举例为60秒。
[0073]所述第二转发率计算模块22用于根据来自各网络接入设备的头信息计算包含相同的部分头信息的UDP数据包的转发率。
[0074]具体地，所述第二转发率计算模块22收集各网络接入设备所提供的UDP数据包的头信息，当在一预设时段内所收集的头信息中包含相同的目的地址信息、源地址信息、目的端口信息、源端口信息中至少一种、或者包含有部分一致的转发路径，则计算该时段内对应的m)P数据包的转发率。
[0075]所述控制表设定模块23用于当包含相同头信息部分相同的部分头信息的UDP数据包的转发率满足预设的防御区间，从所对应的UDP数据包的头信息中确定位于所述头信息中的源地址信息和源端口信息最近的网络接入设备，并向所确定的网络接入设备发送控制表。
[0076]具体地，当所述转发率在预设的防御区间内，则所述控制表设定模块23需确定距离发送所述UDP数据包的源地址信息和源端口信息最近的网络接入设备，或者说所能确定的所述UDP数据包的入口网络接入设备。
[0077]在此，所述控制表设定模块23从各网络接入设备所提供的头信息中的转发路径中能够确定距离发送所述UDP数据包的源地址信息和源端口信息最近的网络接入设备。例如，所述控制表设定模块23接收到路由器Al和A2所提供的头信息，其中，路由器Al所提供的头信息中的转发路径为:源地址信息和源端口信息-路由器BI的路由信息-路由器Al的路由信息，路由器A2所提供的头信息中的转发路径为:源地址信息和源端口信息-路由器B2的转发信息-路由器B3的路由信息-路由器A2的路由信息。则所述控制表设定模块23通过比较转发路径的长短来确定路由器Al为距离发送所述UDP数据包的源地址信息和源端口信息最近的网络接入设备。
[0078]在确定了网络接入设备之后，所述控制表设定模块23向位于所确定的网络接入设备中限制执行模块24发送控制表。所述控制表中包含所要限制的UDP数据包的头信息、所述网络接入设备转发所要限制的UDP数据包的端口、限制级别等。
[0079]优选地，所述防御区间可以包含一个防御子区间，也可以包含多个防御子区间。若包含多个防御子区间，则所述控制表设定模块23可按照各防御子区间设置限制级别。例如，所述转发率在第一防御子区间内，所述控制表设定模块23在所述限制级别中设置限制所述网络接入设备对包含所述相同的部分头信息的UDP数据包的转发流量。
[0080]若所述防御区间还包含大于所述第一防御子区间的第二防御子区间，则所述控制表设定模块23包含:第二控制表设定子模块(未予图示)，用于当所述转发率满足预设的第二防御子区间，向所确定的网络接入设备发送包含丢弃包含所述相同的部分头信息的UDP数据包的控制表。
[0081]更为优选地，针对所述转发率在第一防御子区间内，所述控制表设定模块23包括:位于所述控制端的选择监听反馈数据包子模块、位于所确定的网络接入设备端的监听反馈数据包子模块、位于所述控制端的第一控制表设定子模块。(未予图示)
[0082]所述选择监听反馈数据包子模块用于当包含相同头信息部分相同的部分头信息的UDP数据包的转发率满足预设的第一防御子区间，从所对应的UDP数据包的头信息中确定位于所述头信息中的源地址信息和源端口信息最近或最远的网络接入设备，令所确定的网络接入设备监听对应UDP数据包的反馈数据包。
[0083]具体地，当一设备Cl利用包含有相同的部分头信息的UDP数据包攻击网络中的又一设备C2时，该设备C2可能并未开放相应端口来接收所述m)P数据包，此时，设备C2将对应反馈包含“目标端口不可达”报文的数据包。针对该种情况，所述选择监听反馈数据包子模块令位于距离所述头信息中的源地址信息和源端口信息最近或最远的网络接入设备监听所转发的对应所有m)P数据包的反馈数据包。
[0084]需要说明的是，本领域技术人员应该理解，所述选择监听反馈数据包子模块确定距离所述头信息中的源地址信息和源端口信息最近或最远的网络接入设备的方式与前述中描述的相同或相似，在此不再详述。
[0085]接着，位于距离所述头信息中的源地址信息和源端口信息最近或最远的网络接入设备中的所述监听反馈数据包子模块监听所述反馈数据包，并将所述反馈数据包的头信息发送至所述控制端。
[0086]所述第一控制表设定子模块用于从所接收的各所述反馈数据包的头信息中确定对应包含所述相同的部分头信息的UDP数据包的反馈数据包，并在所确定的反馈数据包的转发率满足所述第一防御子区间时，向位于所述头信息中的源地址信息和源端口信息最近的网络接入设备发送包含限制对包含所述相同的部分头信息的UDP数据包进行转发的控制表。
[0087]具体地，所述第一控制表设定子模块所接收到的各所述反馈数据包的头信息中即包含对应m)P数据包攻击的反馈数据包的头信息，也包含正常的对应UDP数据包的反馈数据包的头信息。所述第一控制表设定子模块根据此前所得到的包含相同的部分头信息的头信息能够确定所对应反馈数据包的头信息。
[0088]例如，所述第一控制表设定子模块将所述反馈数据包的头信息中的源地址信息、目的地址信息、源端口信息、目的端口信息分别与所述选择监听反馈数据包子模块中所得到的包含相同的部分头信息的头信息中的目的地址信息、源地址信息、目的端口信息、源端口信息相对应，若一致，则确定所述头信息对应所要确定的反馈数据包。如此，进一步计算所确定的反馈数据包的转发率，当所计算的转发率满足所述第一防御子区间时，向位于所述头信息中的源地址信息和源端口信息最近的网络接入设备发送包含限制对包含所述相同的部分头信息的UDP数据包进行转发的控制表。
[0089]所述限制执行模块24用于按照所述控制表控制所述网络接入设备对包含所述相同的部分头信息的UDP数据包进行转发限制。
[0090]例如，距离发送包含所述相同的部分头信息的UDP数据包的源地址信息和端口信息最近的网络接入设备中的限制执行模块24在接收到包含丢弃所述UDP数据包的控制表时，控制所述网络接入设备监听所接收的UDP数据包，并当所接收的UDP数据包的头信息符合所述控制表所提供的头信息时，对该种UDP数据包进行丢弃处理。
[0091]又如，所述限制执行模块24在接收到包含限制指定头信息的UDP数据包转发的控制表时，按照所述控制表中的限制要求，对所接收到的对应所指定的头信息的UDP数据包进行转发限制。
[0092]作为又一种优选方案，所述第二防御子系统中还包括解除单元(未予图示)。
[0093]具体地，所述控制表设定模块23 —边对满足所述防御区间的UDP数据包的头信息进行限制处理，一边继续监听各所述网络接入设备中第一转发率计算模块21所提供的UDP数据包的头信息，当所限制的UDP数据包的头信息的转发率低于所述防御区间的最小值，则启动所述解除单元，以令所对应的网络接入设备解除转发限制。
[0094]例如，网络接入设备的转发限制为丢弃或者限制包含所述相同的部分头信息的UDP数据包，则当所述解除单元确定所限制的UDP数据包的头信息的转发率低于所述第一防御子区间的最小值时，令所述网络接入设备中的限制执行模块24解除对所述UDP数据包的转发限制。
[0095]又如，所述网络接入设备的转发限制为丢弃包含所述相同的部分头信息的UDP数据包，当所述解除单元确定所限制的UDP数据包的头信息的转发率低于所述第二防御子区间的最小值时，向位于所述网络接入设备中的限制执行模块24发送包含限制所述UDP数据包的转发速度的控制表，以便允许但限制对所述UDP数据包的转发。
[0096]综上所述，本发明的防御数据流攻击的方法及系统，通过监听包含有相同的部分头信息的m)P数据包来确定是否为UDP数据包攻击，所监听的包含相同的部分头信息的m)P数据包的转发率达到防御区间，则控制网络接入设备对该种数据包进行限制甚至丢弃，以减少这类UDP数据包对网络接入设备的资源的占用；另外，通过设置多个防御子区间，能够便于设置限制转发策略；还有，当包含所述相同的部分头信息的UDP数据包的转发率降低时，能够解除限制，以便网络接入设备正常工作；此外，在确定有大量的包含相同的部分头信息的m)P数据包转发时，进一步监听反馈数据包，能够确定m)P数据包攻击，并建立精准的防御。所以，本发明有效克服了现有技术中的种种缺点而具高度产业利用价值。
[0097]上述实施例仅例示性说明本发明的原理及其功效，而非用于限制本发明。任何熟悉此技术的人士皆可在不违背本发明的精神及范畴下，对上述实施例进行修饰或改变。因此，举凡所属【技术领域】中具有通常知识者在未脱离本发明所揭示的精神与技术思想下所完成的一切等效修饰或改变，仍应由本发明的权利要求所涵盖。
【权利要求】
1.一种防御数据流攻击的方法，其特征在于，包括: 1)监听网络接入设备转发的UDP数据包的头信息，并计算包含相同的部分头信息的UDP数据包的转发率； 2)当所述转发率满足预设的防御区间，控制所述网络接入设备将包含所述相同的部分头信息的UDP数据包进行转发限制。
2.根据权利要求1所述的防御数据流攻击的方法，其特征在于:所述步骤I)包括: 监听网络接入设备转发的UDP数据包，当所述网络接入设备所转发的各UDP数据包的转发率大于预设阈值时，将各UDP数据包的头信息发送给与所述网络接入设备相连的控制端; 由所述控制端根据来自各网络接入设备的头信息计算包含相同的部分头信息的UDP数据包的转发率。
3.根据权利要求1所述的防御数据流攻击的方法，其特征在于:所述步骤2)包括: 当包含相同头信息部分相同的部分头信息的UDP数据包的转发率满足预设的防御区间，从所对应的UDP数据包的头信息中确定位于所述头信息中的源地址信息和源端口信息最近的网络接入设备，并向所确定的网络接入设备发送控制表； 接收到所述控制表的网络接入设备按照所述控制表对包含所述相同的部分头信息的UDP数据包进行转发限制。
4.根据权利要求3所述的防御数据流攻击的方法，其特征在于:所述步骤2)还包括: 当包含相同头信息部分相同的部分头信息的UDP数据包的转发率满足预设的第一防御子区间，从所对应的UDP数据包的头信息中确定位于所述头信息中的源地址信息和源端口信息最近或最远的网络接入设备，令所确定的网络接入设备监听对应UDP数据包的反馈数据包； 由所确定的网络接入设备监听所转发的各所述反馈数据包，并将所监听的各所述反馈数据包的头信息发送至所述控制端； 由所述控制端从所接收的各所述反馈数据包的头信息中确定对应包含所述相同的部分头信息的UDP数据包的反馈数据包，并在所确定的反馈数据包的转发率满足所述第一防御子区间时，向位于所述头信息中的源地址信息和源端口信息最近的网络接入设备发送包含限制对包含所述相同的部分头信息的UDP数据包进行转发的控制表； 或者，当包含相同头信息部分相同的部分头信息的UDP数据包的转发率满足预设的第二防御子区间，向所确定的网络接入设备发送包含丢弃包含所述相同的部分头信息的UDP数据包的控制表，其中，所述第一防御子区间小于所述第二防御子区间。
5.根据权利要求1、3或4所述的防御数据流攻击的方法，其特征在于:所述防御方法还包括以下步骤:当包含所述相同的部分头信息的UDP数据包的转发率低于所述防御区间的最小值，令所述网络接入设备解除对所述UDP数据包的转发限制。
6.一种防御数据流攻击的系统，其特征在于，包括: 转发率计算单元，用于监听网络接入设备转发的UDP数据包的头信息，并计算包含相同的部分头信息的UDP数据包的转发率； 限制单元，用于当所述转发率满足预设的防御区间，控制所述网络接入设备将包含所述相同的部分头信息的UDP数据包进行转发限制。
7.根据权利要求6所述的防御数据流攻击的系统，其特征在于:所述转发率计算单元包括: 位于所述网络接入设备中的第一转发率计算模块，用于监听所述网络接入设备转发的UDP数据包，当所述网络接入设备所转发的各UDP数据包的转发率大于预设阈值时，将各UDP数据包的头信息发送给与所述网络接入设备相连的控制端； 位于所述控制端的第二转发率计算模块，用于根据来自各网络接入设备的头信息计算包含相同的部分头信息的UDP数据包的转发率。
8.根据权利要求6所述的防御数据流攻击的系统，其特征在于:所述限制单元包括: 位于所述控制端的控制表设定模块，用于当包含相同头信息部分相同的部分头信息的UDP数据包的转发率满足预设的防御区间，从所对应的UDP数据包的头信息中确定位于所述头信息中的源地址信息和源端口信息最近的网络接入设备，并向所确定的网络接入设备发送控制表； 位于所述网络接入设备的限制执行模块，用于按照所述控制表对包含所述相同的部分头信息的UDP数据包进行转发限制。
9.根据权利要求8所述的防御数据流攻击的系统，其特征在于:所述控制表设定模块包括: 位于所述控制端的选择监听反馈数据包子模块，用于当包含相同头信息部分相同的部分头信息的UDP数据包的转发率满足预设的第一防御子区间，从所对应的UDP数据包的头信息中确定位于所述头信息中的源地址信息和源端口信息最近或最远的网络接入设备，令所确定的网络接入设备监听对应UDP数据包的反馈数据包； 位于所确定的网络接入设备端的监听反馈数据包子模块，用于监听所转发的各所述反馈数据包，并将所监听的各所述反馈数据包的头信息发送至所述控制端； 位于所述控制端的第一控制表设定子模块，用于从所接收的各所述反馈数据包的头信息中确定对应包含所述相同的部分头信息的UDP数据包的反馈数据包，并在所确定的反馈数据包的转发率满足所述第一防御子区间时，向位于所述头信息中的源地址信息和源端口信息最近的网络接入设备发送包含限制对包含所述相同的部分头信息的UDP数据包进行转发的控制表； 或者，位于所述控制端的第二控制表设定子模块，用于当包含所述相同的部分头信息的UDP数据包的所述转发率满足预设的第二防御子区间，向所确定的网络接入设备发送包含丢弃包含所述相同的部分头信息的UDP数据包的控制表，其中，所述第一防御子区间小于所述第二防御子区间。
10.根据权利要求6、8或9所述的防御数据流攻击的系统，其特征在于:所述防御系统还包括解除单元，用于当包含所述相同的部分头信息的UDP数据包的转发率低于所述防御区间的最小值，令所述网络接入设备解除对所述UDP数据包的转发限制。
【文档编号】H04L29/06GK104486340SQ201410785010
【公开日】2015年4月1日 申请日期:2014年12月16日 优先权日:2014年12月16日
【发明者】翟跃 申请人:上海斐讯数据通信技术有限公司