专利名称:业务流识别方法、装置及分布式拒绝服务攻击防御方法、系统的制作方法
技术领域:
本发明涉及网络通讯技术领域,具体涉及一种业务流识别方法、业务流识别装置、分布式拒绝服务攻击防御方法、分布式拒绝服务攻击防御系统和装置。
背景技术:
DDoS(Distributed Deny of Service,分布式拒绝服务)攻击主要包括两种实现方式,1、通过大流量来攻击网络设备和服务器;2、通过制造大量无法完成的不完全请求,以快速耗尽服务器资源。
DDoS攻击的一个重要特点是从大量的傀儡主机发起攻击。防止DDoS攻击的关键在于如何将攻击数据包从合法数据包中区分出来,即如何分辨合法业务流和恶意业务流。
目前,分辨合法业务流和恶意业务流的方法、以及DDoS防御方法主要有如下两种方法一、黑洞技术。在发生DDoS攻击时,运营商将发送至被攻击者的数据包尽量阻截在上游,然后,将阻截的数据包引进“黑洞”并丢弃,从而保全运营商的基础网络和其它客户的业务。
方法二、MVP(Multi-Verification Process,多次验证处理)技术。在攻击间隙,DDoS防御系统处于“自学习”模式,监测不同来源的业务流,了解正常业务行为,并建立基准配置文件。该基准配置文件用于调整策略。该策略主要用于在实时网络活动中识别和过滤已知、未知以及以前从未见过的攻击业务流。
发明人发现现有技术中的上述两种方法至少存在如下问题在方法一中,由于运营商将发送至被攻击者的数据包丢弃了,因此该被攻击者的合法数据包和恶意攻击数据包一起被丢弃了。虽然该方法能够保全运营商的基础网络以及其它客户的业务,但是,被攻击者失去了所有的业务服务,从客观上讲,攻击者达到了攻击的目的。
在方法二中,由于攻击业务流是受控制的傀儡主机发出的,因此,从报文特征和报文行为的角度上讲,攻击业务流和正常业务流没有什么不同,攻击业务流也可以看作是大量的正常业务流,因此方法二不能够准确的识别攻击业务流,存在大量的误报、漏报现象,从而使DDoS防御系统的防御能力差。
发明内容
本发明实施方式提供一种业务流识别方法、装置及分布式拒绝服务攻击防御应用,提高了识别合法业务流的准确性,提高了分布式拒绝服务攻击防御系统的防御能力。
本发明实施方式提供的一种业务流识别方法,包括对用户访问目标系统进行检测;根据所述检测到的用户对目标系统的访问和预先设置的用户访问统计模型动态生成用户标识信息集合;提取业务流中的用户标识信息;比较所述提取的用户标识信息和所述集合中的用户标识信息,以确定所述提取的用户标识信息与所述集合中的用户标识信息是否匹配;根据所述确定的是否匹配的比较结果确定所述业务流是否为合法业务流。
本发明实施方式还提供一种分布式拒绝服务攻击防御方法,该方法包括对用户访问目标系统进行检测;根据所述检测到的用户对目标系统的访问和预先设置的用户访问统计模型动态生成用户标识信息集合;提取业务流中的用户标识信息;比较所述提取的用户标识信息和所述集合中的用户标识信息,以确定所述提取的用户标识信息与所述集合中的用户标识信息是否匹配;根据所述确定的是否匹配的比较结果确定所述业务流是否为合法业务流。
允许对所述确定的合法业务流进行后续的正常处理操作,拒绝对所述确定的非法业务流进行后续的正常处理操作。
本发明实施方式还提供一种业务流识别装置,所述装置包括第一模块用于检测用户对目标系统的访问,并根据所述检测到的用户对目标系统的访问和预先设置的用户访问统计模型动态生成的用户标识信息,并输出;第二模块用于接收第一模块输出的用户标识信息,并存储为用户标识信息集合;第三模块用于提取业务流中的用户标识信息,将所述提取的用户标识信息与所述第二模块中存储的用户标识信息进行比较,以确定所述业务流中的用户标识信息与所述第二模块存储的用户标识信息是否匹配,并根据是否匹配的比较结果判断所述业务流是否为合法业务流,并输出所述业务流是否为合法业务流的判断结果信息。
本发明实施方式还提供一种分布式拒绝服务攻击防御系统,该系统包括第一模块用于检测用户对目标系统的访问,并根据检测到的用户对目标系统的访问和预先设置的用户访问统计模型动态生成的用户标识信息,并输出;第二模块用于接收第一模块输出的用户标识信息,并存储为用户标识信息集合;第三模块用于提取业务流中的用户标识信息,将所述提取的用户标识信息与所述第二模块中存储的用户标识信息进行比较,以确定所述业务流中的用户标识信息与所述第二模块存储的用户标识信息是否匹配,并根据是否匹配的比较结果判断所述业务流是否为合法业务流,并输出所述业务流是否为合法业务流的判断结果信息;第四模块用于接收第三模块输出的业务流是否为合法业务的判断结果信息,并允许对所述确定的合法业务流进行后续的正常处理操作,拒绝对所述确定的非法业务流进行后续的正常处理操作。
本发明实施方式还提供一种装置,所述装置中包括第一模块用于检测用户对目标系统的访问,并根据检测到的用户对目标系统的访问和预先设置的用户访问统计模型动态生成的用户标识信息,并输出;第二模块用于接收第一模块输出的用户标识信息,并存储为用户标识信息集合。
通过上述技术方案的描述可知,本发明实施方式通过利用用户访问统计模型来动态生成用户标识信息集合,使用户标识信息集合易于维护、而且使生成的用户标识信息集合能够尽可能准确的标识出合法用户;因此在利用动态生成的用户标识信息集合对合法业务流和非法业务流进行识别时,能够提高识别合法业务流的准确性;由于本发明实施方式能够准确识别出合法业务流,因此,本发明实施方式能够有效防止非法业务流带来的分布式拒绝服务攻击;在避免了被攻击者失去合法业务流现象的同时,提高了分布式拒绝服务攻击防御系统的防御能力。
图1是依据本发明实施方式的业务流识别方法示意流程图;图2是依据本发明实施方式的分布式拒绝服务攻击防御方法示意流程图;图3是依据本发明实施方式的分布式拒绝服务攻击防御系统示意图。
具体实施例方式
发明人通过大量研究发现在DDoS攻击中,虽然从报文特征和报文行为的角度上讲,攻击业务流和正常业务流没有什么不同,但是,攻击业务流和正常业务流在访问目标系统的用户上是有区别的。其区别在于由于DDoS攻击是大量傀儡主机发起的,所以攻击业务流是大量傀儡主机发送出来的;而正常业务流是合法用户发送出来的。一般来说,合法用户访问目标系统是可预期的,而傀儡主机访问目标系统是不可预期的。
发明人正是利用了上述发现的合法用户访问目标系统的可预期性这一特点,来实现业务流识别和DDoS攻击防御的。也就是说,由于合法用户访问目标系统一般是符合一定的用户访问统计模型的,因此,本发明实施方式利用了用户访问统计模型来预测合法用户或非法用户。预测合法用户或非法用户的一个具体的例子为根据用户访问目标系统的历史信息,预测在DDoS攻击状态下可能对业务系统进行访问的概率,并根据预测出的概率来判断用户是合法用户,还是非法用户,如果需要记录合法用户的标识信息,则在判断出合法用户时,从用户访问目标系统的业务流中获取该用户对应的用户标识信息,并记录在用户标识信息集合中,此时记录的用户标识信息集合可以为用户白名单;如果需要记录非法用户的用户标识信息,则在判断出非法用户时,从用户访问目标系统的业务流中获取该用户对应的用户标识信息,并记录在用户标识信息集合中,此时记录的用户标识信息集合可以为用户黑名单。例如可以将预测出的大概率用户确定为合法用户,然后从该用户的访问目标系统的业务流中获取相应的用户标识信息,并记录。然后,可根据记录的用户标识信息来识别合法业务流和非法业务流。由于根据用户访问统计模型产生的用户标识信息能够尽可能准确标识出合/非法用户,因此,通过记录的用户标识信息能够尽可能准确的识别出合法业务流和非法业务流。上述识别合法业务流和非法业务流的过程可以应用在DDoS攻击防御中。即在进行DDoS攻击防御时,可以允许对识别出的合法业务流进行后续的正常处理操作,可以拒绝对识别出的非法业务流进行后续的正常处理操作。即在进行DDoS攻击防御时,可以根据预期可能访问目标系统的用户对应的用户标志信息来识别业务流,并对识别出的合/非法业务流进行相应的后续处理操作。从而本发明实施方式在有效保证了合法用户对目标系统的正常访问的同时,有效拦截了非法业务流的攻击。
下面首先对本发明实施方式提供的业务流识别方法进行说明。
在业务流识别方法的实施方式中,设置有用户标识信息集合。设置用户标识信息集合的方式为根据用户对目标系统进行访问的历史情况、以及预先设置的、一定的用户访问统计模型预测出合/非法用户,如预测出在DDoS攻击状态下可能访问目标系统的用户和/或不可能访问目标系统的用户,然后,获取可能访问目标系统的用户和/或不可能访问目标系统的用户的、访问目标系统的业务流中对应的用户标志信息。用户标识信息可以为IP地址,也可以为其它在网络报文中能够标识用户的信息,如HTTP报文中的Cookie字段等。本发明实施方式不排除采用静态配置用户标识信息的方式。本发明实施方式中设置的用户标识信息集合可以为合法用户的标识信息集合,此时,设置的用户标识信息集合可以称为用户白名单。上述设置的用户标识信息集合也可以为非法用户的标识信息集合,此时,设置的用户标识信息集合可以称为用户黑名单。用户访问统计模型可以根据网络的实际情况来设置,而且设置用户访问统计模型的方式有多种,本发明实施方式不限制用户访问统计模型的具体表现形式,也不限制用户标识信息的具体表现形式。
在进行业务流识别过程中,需要提取业务流中的用户标识信息,该用户标识信息应该与用户白/黑名单中的用户标识信息相对应,如用户白/黑名单中的用户标识信息为IP地址,则需要从业务流中提取源IP地址。在从业务流中提取了用户标识信息后,需要对提取的用户标识信息与上述设置的用户标识信息进行比较,如将提取的用户标识信息与用户白名单中的用户标识信息进行比较,以确定从业务流中提取的用户标识信息是否与用户白名单中的用户标识信息匹配。如果从业务流中提取的用户标识信息与用户白名单中的用户标识信息匹配,则表示从业务流中提取的用户标识信息为合法用户标识信息,该业务流是合法用户发送的,该业务流为合法业务流;如果从业务流中提取的用户标识信息与用户白名单中的用户标识信息不匹配,则表示从业务流中提取的用户标识信息为非法用户标识信息,该业务流是非法用户发送的,该业务流为非法业务流。
上述针对业务流识别过程的描述是以用户白名单为例进行说明的,如果利用用户访问统计模型生成的是用户黑名单,其业务流识别过程与上述描述基本相同,在此不再重复描述。
上述业务流识别过程可以应用于多种防御技术方案中,如可以应用于DDoS攻击防御技术方案中。下面对本发明实施方式提供的DDoS攻击防御方法进行说明。
DDoS攻击防御过程中,利用了上述业务流识别过程。在利用上述描述的业务流识别过程识别出业务流为合法业务流还是非法业务流后,可以允许对识别出的合法业务流进行后续的正常处理操作,如允许正常传输等;可以拒绝对识别出的非法业务流进行后续的正常处理操作,如拒绝正常传输、并将识别出的非法业务流丢弃等。
上述DDoS攻击防御过程可以在出现DDoS攻击时启动。启动方式可以为手工配置启动,也可以为动态检测启动。动态检测启动如对业务流量进行检测,并判断检测结果,以确定是否出现DDoS攻击;在确定出现DDoS攻击时,开始提取业务流中的用户标识信息,并进行业务流识别等后续过程。对业务流量进行检测、并根据检测结果确定是否出现DDoS攻击的实现方式有多种,本发明实施方式可以采用现有的方法来检测判断是否出现DDoS攻击。本发明实施方式不限制检测判断是否出现DDoS攻击的具体实现方式。
在识别出合法业务流和非法业务流后,可以根据优先级对业务流进行后续处理。这里的优先级可以是通过用户访问统计模型动态生成的;如在检测用户对目标系统的历史访问数据过程中,利用用户访问统计模型动态预测出在DDoS攻击过程中可能访问目标系统的用户或者不可能访问目标系统的用户、以及对应的优先级信息。根据上述预期可能访问目标系统或者不可能访问目标系统的用户、以及优先级信息动态生成包含用户标识信息、以及对应的优先级信息的用户白名单或用户黑名单。在动态生成了包含优先级信息的用户白/黑名单后,如果检测到DDoS攻击、并启动了DDoS攻击防御,根据优先级信息对业务流进行处理的方式有多种,如按照优先级从高到低的顺序来允许合法业务流进行后续的正常处理流程,再如在DDoS攻击严重时,也可以按照从低到高的顺丢弃合法业务流。本发明实施方式不限制根据优先级信息对业务流进行处理的具体实现方式。
下面以用户白名单为例、结合附图对本发明实施方式提供的业务流识别方法进行说明。
本发明实施方式提供的业务流识别方法如附图1所示。
图1中,步骤1、设置用户访问统计模型。简单的用户访问统计模型可以为根据历史访问记录访问过目标系统,或者为根据历史访问记录访问过目标系统预定次数等等。这里仅仅举了两个很简单的用户访问统计模型的例子,用户访问统计模型可以多种多样的。
步骤2、检测用户对目标系统进行访问的情况,根据用户访问统计模型动态生成用户标识信息,如根据用户访问统计模型确定该用户在DDoS攻击过程中可能访问目标系统的概率,并根据确定出的概率判断出该用户为合法用户时,从该用户访问目标系统的业务流中获取相应的用户标识信息。在步骤2中也可以根据用户访问统计模型动态生成用户标识信息、以及该用户标识信息对应的优先级信息,如根据预测出的概率来确定该用户的优先级信息。
步骤3、将动态生成的用户标识信息存储在用户白名单中。
如果在步骤2中动态生成了该用户标识信息对应的优先级信息,则在步骤3中,可以将动态生成的用户标识信息以及优先级信息存储在用户白名单中。
在需要进行业务流识别时,到步骤4,提取业务流中的用户标识信息,如从业务流中提取源IP地址等。
步骤5、将提取的用户标识信息与用户白名单中的用户标识信息进行比较,如果从业务流中提取的用户标识信息与用户白名单中的用户标识信息匹配,则到步骤6;否则到步骤7。
步骤6、确认该业务流是合法用户发送的,输出该业务流为合法业务流的信息。如果用户白名单中包含有优先级信息,则在步骤6中,可以输出该业务流为合法业务流的信息、以及该合法业务流对应的优先级信息。
步骤7、确认该业务流是非法用户发送的,输出该业务流为非法业务流的信息。
下面结合附图对本发明实施方式提供的DDoS攻击防御方法进行说明。
本发明实施方式提供的DDoS攻击防御方法如附图2所示。
图2中,步骤1、设置用户访问统计模型。简单的用户访问统计模型可以为根据历史访问记录访问过目标系统,或者为根据历史访问记录访问过目标系统预定次数等等。这里仅仅举了两个很简单的用户访问统计模型的例子,用户访问统计模型可以多种多样的。
步骤2、根据用户发送的业务流检测用户对目标系统进行访问的情况,根据用户访问统计模型动态生成用户标识信息、以及该用户标识信息对应的优先级信息。例如根据用户访问统计模型确定该用户在DDoS攻击过程中可能访问目标系统的概率,并根据确定出的概率判断出该用户为合法用户时,从该用户访问目标系统的业务流中获取相应用户标识信息,并根据确定出的概率确定该用户的优先级信息。
步骤3、将动态生成的用户标识信息以及优先级信息存储在用户白名单中。
步骤4、检测业务流量,并根据业务流量检测结果判断是否出现DDoS攻击,如果出现DDoS攻击,到步骤5;如果没有出现DDoS攻击,仍然进行业务流量检测过程。
步骤5,提取业务流中的用户标识信息,如从业务流中提取源IP地址等。
步骤6、将提取的用户标识信息与用户白名单中的用户标识信息进行比较,如果从业务流中提取的用户标识信息与用户白名单中的用户标识信息匹配,则到步骤7;否则到步骤8。
步骤7、确认该业务流是合法用户发送的,根据该业务流对应的优先级信息允许对该业务流进行后续的正常处理操作。
步骤8、确认该业务流是非法用户发送的,拒绝对该业务流进行后续的正常处理操作,并丢弃该业务流。
在上述针对图2的描述中,步骤2和步骤3这两个步骤与步骤4之间是可以没有先后顺序的,即步骤2和步骤3的执行过程是独立的,与步骤4的执行没有先后关系,步骤4的执行过程是独立的,与步骤2和步骤3的执行没有先后关系。本发明实施方式还可以在检测出DDoS攻击后,持续对业务流量进行检测,在根据业务流量检测结果确定出DDoS攻击结束后,停止执行步骤5至步骤8,而继续执行步骤2、步骤3。该流程仅仅是一个示意,具体的实现流程可以有多种,在此不再一一例举。
下面对本发明实施方式提供的业务流识别装置进行说明。
本发明实施方式提供的业务流识别装置包括第一模块、第二模块和第三模块。
第一模块主要用于检测用户对目标系统的访问,并根据检测到的用户对目标系统的访问、以及预先设置的用户访问统计模型动态生成用户标识信息,第一模块将动态生成的用户标识信息存储至第二模块。而且第一模块还可以根据检测到的用户对目标系统的访问、以及预先设置的用户访问统计模型动态生成用户标识信息对应的优先级信息,并将动态生成的优先级信息存储至第二模块。例如,第一模块在根据用户访问统计模型预测出该用户在DDoS攻击过程中可能访问目标系统的概率,并根据确定出的概率判断出该用户为合法用户时,从该用户访问目标系统的业务流中获取相应用户标识信息,并根据确定出的概率确定该用户的优先级信息,然后将用户标识信息和优先级信息存储至第二模块。
第二模块主要用于接收第一模块输出的用户标识信息,并存储为用户标识集合。第二模块中存储的用户标识信息集合可以称为用户白名单。而且在第一模块传输来用户标识对应的优先级信息时,第二模块中存储的用户白名单中还可以包括用户标识信息对应的优先级信息。
第三模块主要用于提取业务流中的用户标识信息,将提取的用户标识信息与第二模块中存储的用户标识信息进行比较,以确定业务流中的用户标识信息与第二模块存储的用户标识信息是否匹配;在判断出业务流中的用户标识信息与第二模块存储的用户标识信息匹配时,确定该业务流是否为合法业务流,并输出业务流为合法业务流的判断结果信息,在第二模块中存储有用户标识对应的优先级信息时,第三模块还可以输出该合法业务流对应的优先级信息;在判断出业务流中的用户标识信息与第二模块存储的用户标识信息不匹配时,确定该业务流为非法业务流,并输出业务流为非法业务流的判断结果信息。
下面对本发明实施方式提供的DDoS攻击防御系统进行说明。
本发明实施方式提供的DDoS攻击防御系统包括第一模块、第二模块、第三模块、第四模块和第五模块。
第一模块主要用于检测用户对目标系统的访问,并根据检测到的用户对目标系统的访问、以及预先设置的用户访问统计模型动态生成用户标识信息,或者动态生成用户标识信息、以及用户标识信息对应的优先级信息。然后,第一模块并将用户标识信息、或者将用户标识信息、以及优先级信息存储至第二模块。例如,第一模块在根据用户访问统计模型预测出该用户在DDoS攻击过程中可能访问目标系统的概率,并根据确定出的概率判断出该用户为合法用户时,从该用户访问目标系统的业务流中获取相应用户标识信息,并根据确定出的概率确定该用户的优先级信息,然后将用户标识信息和优先级信息存储至第二模块。
第一模块可以由存储子模块、检测子模块和第一动态子模块组成,也可以由存储子模块、检测子模块、第一动态子模块和第二动态子模块组成。
存储子模块主要用于存储用户访问统计模型。
检测子模块主要用于检测用户对目标系统的访问情况,并根据检测到的用户对目标系统的访问情况、存储子模块中存储的用户访问统计模型动态生成用户标识信息,预测出该用户在DDoS攻击过程中可能访问目标系统的概率,并输出该概率信息。
第一动态子模块主要用于根据检测子模块输出的概率信息判断出该用户为合法用户时,从该用户访问目标系统的业务流中获取相应用户标识信息,然后将用户标识信息存储至第二模块。第一动态子模块也可以确定出该用户为非法用户时,从该用户访问目标系统的业务流中获取相应用户标识信息,然后将用户标识信息存储至第二模块。
第二动态子模块主要用于根据检测子模块输出的概率信息确定该用户对应的优先级信息,并将优先级信息传输至第二模块存储。第二动态子模块可以在第一动态子模块判断出该用户为合法用户时,确定该用户对应的优先级信息,并输出;第二动态子模块也可以直接根据其内部存储的概率阈值来判断是否需要确定优先级信息,在根据概率阈值判断出需要确定优先级信息时,确定该用户对应的优先级信息并输出。
第二模块主要用于接收第一模块传输来的用户标识信息、以及优先级信息,并存储,如第二模块接收第一动态子模块传输来的用户标识信息并存储,再如第二模块接收第二动态子模块传输来的优先级信息并存储。第二模块中存储的用户标识信息、以及优先级信息可以称为用户白名单。第二模块中存储的信息也可以称为用户黑名单。
第三模块主要用于提取业务流中的用户标识信息,将提取的用户标识信息与第二模块中存储的用户标识信息进行比较,以确定业务流中的用户标识信息与第二模块存储的用户标识信息是否匹配;在判断出业务流中的用户标识信息与第二模块存储的用户标识信息匹配时,确定该业务流是否为合法业务流,并输出业务流为合法业务流的判断结果信息,在第二模块中存储有用户标识对应的优先级信息时,第三模块还可以输出该合法业务流对应的优先级信息;在判断出业务流中的用户标识信息与第二模块存储的用户标识信息不匹配时,确定该业务流为非法业务流,并输出业务流为非法业务流的判断结果信息。
第三模块可以根据第五模块的通知启动提取业务流中的用户标识信息、以及后续比较过程的操作。当然,在该系统不包括第五模块时,第三模块可以根据手工配置等其它方式来启动提取业务流中的用户标识信息、以及后续比较过程的操作。
第四模块主要用于接收第三模块输出的业务流是否为合法业务的判断结果信息,当第三模块输出的判断结果信息为合法业务时,允许对该业务流进行后续的正常处理操作,如允许该业务流的继续传输;当第三模块输出的判断结果信息为非法业务时,拒绝对该业务流进行后续的正常处理操作,如禁止该业务流的继续传输,将该业务流丢弃等。当第三模块输出的信息包括优先级信息时,第四模块在允许对该业务流进行后续的正常处理操作时,应根据该业务流对应的优先级来进行后续的正常处理操作,如第四模块根据各合法业务流的优先级信息、按照由高到低的顺序允许业务流依次进行继续传输。
第五模块主要用于检测业务流量,并判断业务流量检测结果,在根据业务流量检测结果确定出现DDoS攻击时,通知第三模块提取业务流中的用户标识信息。在根据业务流量检测结果确定出现DDoS攻击后,第五模块仍然可以继续检测业务流量,并继续判断业务流量检测结果,在根据业务流量检测结果确定DDoS攻击消失时,通知第三模块停止提取业务流中的用户标识信息。第三模块可以在接收到停止通知时,停止进行提取并判断的后续处理操作。在本发明系统实施方式中,第五模块可以为可选模块。
本发明实施方式提供的系统可以针对一个目标系统,也可以针对多个目标系统。也就是说,本发明实施方式提供的系统可以为某一个目标系统提供DDoS攻击防御,也可以同时为多个目标系统提供DDoS攻击防御。当本发明实施方式提供的系统为某一个目标系统提供DDoS攻击防御时,该系统可以为目标系统的前置系统,而且可以独立于目标系统设置,也可以设置于目标系统中。
下面结合附图对本发明实施方式提供的DDoS攻击防御系统进行说明。
图3为本发明实施方式提供的DDoS攻击防御系统。
图3中的系统包括DDoS检测模块、报文过滤装置、用户白名单及优先级模块、用户访问统计模型模块。DDoS检测模块即上述第五模块。报文过滤装置即上述第三模块和第四模块。用户白名单及优先级模块即上述第二模块。用户访问统计模型模块即上述第一模块。
报文过滤装置主要用于完成对试图访问业务系统的业务流进行过滤,即对报文包进行过滤。报文过滤装置可以是基于用户白名单及优先级模块中存储的信息进行过滤的。例如,报文过滤装置根据报文包中的源IP地址、用户白名单及优先级模块中的IP地址对报文包进行过滤。这里的业务系统即上述目标系统。
用户白名单及优先级模块中存储的信息为包含优先级信息的用户白名单。用户白名单及优先级模块中存储的用户标识信息和优先级信息可以以表项的形式存在。用户白名单及优先级表项中记录有可以访问该业务系统的用户标识信息、及其该用户标识信息对应的优先级信息。
上述用户白名单及优先级表项由用户访问统计模型模块来进行维护。在DDoS攻击防御时,上述用户白名单及优先级表项为报文过滤装置提供查询。
用户访问统计模型模块主要用于在正常情况下根据用户对业务系统的访问情况建立并维护用户白名单和优先级表项。用户访问统计模型模块建立并维护的表项为用户访问统计模型声明的、在受到DDoS攻击情况下、允许访问业务系统的用户标识信息以及优先级信息。如果用户标识信息对应高优先级,则可以表示在没有受到DDoS攻击的正常情况下、经常访问该业务系统的用户可以在受到DDoS攻击情况下、毫无限制的访问该业务系统。如果用户标识信息对应低优先级,则可以表示在没有受到DDoS攻击的正常情况下、偶然访问业务系统的用户在受到DDoS攻击情况下、需要受限制的访问该业务系统。
DDoS攻击检测模块主要用于检测业务系统的业务流量,以确定业务系统目前是否受到DDoS攻击,在检测到业务系统受到DDoS攻击后,向报文过滤模块发出通知,如发送过滤指令等。
下面分正常状态、受攻击状态对上述防御系统的工作流程进行说明。
在正常状态下,报文过滤模块执行透明传输操作,即不对业务流进行任何处理。用户访问统计模型模块检测用户对业务系统的访问情况,并根据用户访问统计模型动态生成包含各用户对应的优先级的用户访问白名单。包含优先级的用户访问白名单可以在DDoS攻击期间使用。DDoS攻击检测模块持续对业务系统的业务流量进行检测,以确定是否出现DDoS攻击。
在受到DDoS攻击状态下,报文过滤模块开始提取业务流的用户标识信息,并根据用户白名单及优先级表项声称的过滤规则对试图访问业务系统的业务流进行过滤,以保证用户白名单中的用户可以根据优先级顺序访问业务系统。用户访问统计模型模块停止运作。DDoS攻击检测模块持续对业务流量进行检测,以确定DDoS攻击是否消失。
上述正常状态和受到DDoS攻击状态的切换是由DDoS攻击检测模块触发的。即DDoS攻击检测模块在检测到业务系统出现DDoS攻击时,则触发报文过滤模块,使DDoS攻击防御系统进入受到DDoS攻击状态,DDoS攻击检测模块在检测到业务系统的DDoS攻击消失时,则触发报文过滤模块,使DDoS攻击防御系统进入正常状态。
上述用户访问统计模型模块可以集成设置于业务系统中。DDOS攻击检测模块可以和报文过滤装置合设在同一个设备中,DDOS攻击检测模块、报文过滤装置和用户白名单及优先级模块也可以合设在同一个设备中。
下面对本发明实施方式提供的装置进行说明。
本发明实施方式提供的装置包括第一模块和第二模块。第一模块可以由存储子模块、检测子模块和第一动态子模块组成,也可以由存储子模块、检测子模块、第一动态子模块和第二动态子模块组成。上述各模块、子模块所执行的操作如上述实施方式中的描述,在此不再重复说明。
本发明实施方式提供的装置可以为业务系统的服务器等需要产生用户白名单、和/或黑名单的设备。
本发明实施方式通过利用用户访问统计模型来动态生成用户标识信息,使用户标识信息易于维护、而且使生成的用户标识信息能够尽可能准确的标识出合法用户;因此在利用动态生成的用户标识信息对合法业务流和非法业务流进行识别时,能够提高识别合法业务流的准确性;由于本发明实施方式能够准确识别出合法业务流,因此,本发明实施方式能够有效防止非法业务流带来的分布式拒绝服务攻击;即本发明实施方式采用用户访问模型与报文过滤连动防御的分布式拒绝服务攻击,在避免了被攻击者失去合法业务流现象的同时,提高了分布式拒绝服务攻击防御系统的防御能力。
虽然通过实施例描绘了本发明,本领域普通技术人员知道,本发明有许多变形和变化而不脱离本发明的精神,本发明的申请文件的权利要求包括这些变形和变化。
权利要求
1.一种业务流识别方法,其特征在于,所述方法包括对用户访问目标系统进行检测;根据所述检测到的用户对目标系统的访问和预先设置的用户访问统计模型动态生成用户标识信息集合;提取业务流中的用户标识信息;比较所述提取的用户标识信息和所述集合中的用户标识信息,以确定所述提取的用户标识信息与所述集合中的用户标识信息是否匹配;根据所述确定的是否匹配的比较结果确定所述业务流是否为合法业务流。
2.一种分布式拒绝服务攻击防御方法,其特征在于,所述方法包括对用户访问目标系统进行检测;根据所述检测到的用户对目标系统的访问和预先设置的用户访问统计模型动态生成用户标识信息集合;提取业务流中的用户标识信息;比较所述提取的用户标识信息和所述集合中的用户标识信息,以确定所述提取的用户标识信息与所述集合中的用户标识信息是否匹配;根据所述确定的是否匹配的比较结果确定所述业务流是否为合法业务流。允许对所述确定的合法业务流进行后续的正常处理操作,拒绝对所述确定的非法业务流进行后续的正常处理操作。
3.如权利要求2所述的方法,其特征在于,所述提取业务流中的用户标识信息的步骤包括检测业务流量,根据业务流量检测结果确定出现分布式拒绝服务攻击时,提取业务流中的用户标识信息。
4.如权利要求2或3所述的方法,其特征在于,所述方法还包括根据所述检测到的用户对目标系统的访问、以及预先设置的用户访问统计模型动态生成用户标识信息对应的优先级信息;且所述允许对所述确定的合法业务流进行后续的正常处理操作的步骤包括确定所述合法业务流的用户标识信息对应的优先级信息,根据所述确定的优先级信息允许对所述确定的合法业务流进行后续的正常处理操作。
5.一种业务流识别装置,其特征在于,所述装置包括第一模块用于检测用户对目标系统的访问,并根据所述检测到的用户对目标系统的访问和预先设置的用户访问统计模型动态生成的用户标识信息,并输出;第二模块用于接收第一模块输出的用户标识信息,并存储为用户标识信息集合;第三模块用于提取业务流中的用户标识信息,将所述提取的用户标识信息与所述第二模块中存储的用户标识信息进行比较,以确定所述业务流中的用户标识信息与所述第二模块存储的用户标识信息是否匹配,并根据是否匹配的比较结果判断所述业务流是否为合法业务流,并输出所述业务流是否为合法业务流的判断结果信息。
6.一种分布式拒绝服务攻击防御系统,其特征在于,所述系统包括第一模块用于检测用户对目标系统的访问,并根据检测到的用户对目标系统的访问和预先设置的用户访问统计模型动态生成的用户标识信息,并输出;第二模块用于接收第一模块输出的用户标识信息,并存储为用户标识信息集合;第三模块用于提取业务流中的用户标识信息,将所述提取的用户标识信息与所述第二模块中存储的用户标识信息进行比较,以确定所述业务流中的用户标识信息与所述第二模块存储的用户标识信息是否匹配,并根据是否匹配的比较结果判断所述业务流是否为合法业务流,并输出所述业务流是否为合法业务流的判断结果信息;第四模块用于接收第三模块输出的业务流是否为合法业务的判断结果信息,并允许对所述确定的合法业务流进行后续的正常处理操作,拒绝对所述确定的非法业务流进行后续的正常处理操作。
7.如权利要求6所述的系统,其特征在于,所述系统还包括第五模块用于检测业务流量,并根据业务流量检测结果确定出现分布式拒绝服务攻击时,通知第三模块提取业务流中的用户标识信息。
8.如权利要求6或7所述的系统,其特征在于,所述第一模块包括存储子模块用于存储用户访问统计模型;检测子模块用于检测用户对目标系统的访问,并根据检测到的用户对目标系统的访问信息、存储子模块中存储的用户访问统计模型确定用户访问目标系统的概率;第一动态子模块用于根据检测子模块确定的概率确定需要从用户访问目标系统的业务流中获取用户标识信息时,获取用户标识信息,并输出;第二动态子模块用于根据检测子模块确定的概率动态生成用户标识信息对应的优先级信息,并输出;所述优先级信息由第二模块存储;且所述第四模块在允许对所述确定的合法业务流进行后续的正常处理操作时,根据第二模块中存储的信息确定所述合法业务流的用户标识信息对应的优先级,并根据所述确定的优先级允许对所述确定的合法业务流进行后续的正常处理操作。
9.如权利要求6或7所述的系统,其特征在于,所述第一模块设置于目标系统中,或者所述第一模块独立于目标系统设置,或者所述第一模块和第二模块设置于目标系统中,或者所述第一模块和第二模块独立于目标系统设置。
10.如权利要求6或7所述的系统,其特征在于,所述分布式拒绝服务攻击防御系统对应一个目标系统、或者对应多个目标系统。
11.一种装置,其特征在于,所述装置中包括第一模块用于检测用户对目标系统的访问,并根据检测到的用户对目标系统的访问和预先设置的用户访问统计模型动态生成的用户标识信息,并输出;第二模块用于接收第一模块输出的用户标识信息,并存储为用户标识信息集合。
全文摘要
业务流识别方法、装置和分布式拒绝服务攻击防御方法、系统。业务流识别方法包括对用户访问目标系统进行检测;根据检测到的用户对目标系统的访问和预先设置的用户访问统计模型动态生成用户标识信息集合;提取业务流中的用户标识信息;比较提取的用户标识信息和集合中的用户标识信息,以确定提取的用户标识信息与生成的用户标识信息是否匹配;根据确定的是否匹配的比较结果确定所述业务流是否为合法业务流。上述业务流识别方法应用于分布式拒绝服务攻击防御时,对上述确定的合法业务流进行后续的正常处理操作,拒绝对所述确定的非法业务流进行后续的正常处理操作。从而提高了识别合法业务流的准确性,提高了分布式拒绝服务攻击防御系统的防御能力。
文档编号H04L12/26GK101039326SQ200710098879
公开日2007年9月19日 申请日期2007年4月28日 优先权日2007年4月28日
发明者刘利锋, 郑志彬 申请人:华为技术有限公司