分布式拒绝服务攻击的防御方法、装置和系统的制作方法

专利名称：分布式拒绝服务攻击的防御方法、装置和系统的制作方法
技术领域：
本发明涉及网络:忮术，尤其涉及分布式拒绝月l务(DDoS: Distributed Denial of Service)攻击的防御。
背景纟支术
DDOS攻击是指攻击者利用主控主机(可能多级多层)控制大量受感染而被 控制的主机组成攻击网络来对受害主机进行大规模的拒绝服务攻击。这种攻击 往往能把单个攻击者的攻击以级数形式进行放大。在高速数据包的攻击下，受 害者主机的关键资源，如带宽、緩冲区和CPU资源等迅速耗尽，受害主机或者 崩溃，或者花大量时间处理攻击包而不能正常服务，给受害者和用户造成严重 经济损失，因此有效地检测和防御DDoS攻击是构建安全网络的重要组成部分。
现有技术中对DDoS攻击主要采取单向流量清洗的方法进行检测和防御，也 就是把流量中异常的攻击流量进行清洗，从而达到防御的目的，主要有如下两 种方式
1、 单向引流清洗方式，如图1所示。整个检测和清洗系统主要包括数据流 获取中心300、检测中心400、安全管理中心500和清洗中心600。由数据流获 取中心通过流量镜像对网路200中的数据流进行实时监控，并由检测中心识别 攻击源地址、被保护主机和攻击特征等攻击信息上报到安全管理中心，安全管 理中心再根据配置策略，向清洗中心通告攻击信息，清洗中心通过BGP (边界网 关协议)发布攻击源的主机地址，通过路由器100把攻击数据流引到清洗中心 进行清洗，最后将清洗后的数据流回注到网路中并向安全管理中心上报攻击流 清洗结果和各种攻击日志。
2、 采样单向引流清洗方式，与所述单向引流清洗方式不同的是，在数据流 获取中不采用流量镜像方式，而通过网络流量技术采样采集对网路中的网络数 据流进行实时监控。
在实现上述对DDoS攻击的检测和防御的过程中，发明人发现现有技术中至少存在如下问题
两种单向引流清洗方式都只能获得单向数据流进行分析和清洗，对攻击数 据流清洗的准确度不高

发明内容
本发明实施例提供一种分布式拒绝服务攻击的防御方法、装置和系统，能 够解决网络清洗装置只能获得单向网路数据流进行清洗而造成的清洗准确度较 低的问题。
本发明的一个实施例提供一种分布式拒绝服务攻击的防御方法，包括 获取并检测网路中的数据流，获得攻击信息；
获取并过滤网路中的上行数据流，获得来自被保护主机的上行数据信息； 根据所述攻击信息和所述来自被保护主机的上行数据信息，对所述网路中 目标为被保护主机的下行数据流进行引流、补偿和清洗处理。
本发明的另一个实施例提供一种分布式拒绝服务攻击的测控装置，包括 数据获取设备，用于获取网路中的数据流；
检测设备，用于检测所述数据流，获得攻击信息和来自被保护主机的上行 数据信息，将所述攻击信息发送到清洗装置，并将所述来自被保护主机的上行数 据信息补偿到双向会话表。
本发明的另一个实施例提供一种分布式拒绝服务攻击的清洗装置，包括 《1流单元，用于将测控装置得到的攻击源地址通知网路中相应网络转发设 备并由所述网络转发设备更改路由信息，将网路中目标为被保护主机的下行数 据流从所述网络转发设备中引出并发送到攻击类型识别单元；
双向会话建立单元，用于建立由来自被保护主机的上行数据信息配合得到 的双向会话表；
攻击类型识别单元，用于通过算法分析和策略匹配，识别正在进行的攻击 类型；
清洗单元，用于分析攻击类型和所述双向会话表并清洗所述目标为被保护主机的下行数据流，滤除攻击数据流；
回注单元，用于将所述清洗单元清洗后的所述下行数据流回注到所述被保 护主才几的上游网路。
本发明的另 一个实施例提供一种分布式拒绝服务攻击的防御系统，包括 数据获取设备，用于获取网路中的数据流；
检测设备，用于检测所述数据流，获得攻击信息和来自被保护主机的上行数 据信息，将所述攻击信息发送到清洗装置，并将所述来自被保护主机的上行数据 信息补偿到双向会话表；
清洗装置，用于对网路中目标为被保护主机的下行数据流进行引流和清洗 处理。
本发明实施例分布式拒绝服务攻击的防御方法、装置和系统通过获取网路 中的数据流进行检测得到攻击信息，并获取和过滤网路中的上行数据流，获得 来自被保护主机的上行数据信息，根据攻击信息和所述来自被保护主机的上行 数据信息，对网路中目标为被保护主机的下行数据流进行引流、补偿和清洗处 理，能够得到双向数据流进行攻击信息分析，从而提高对攻击数据流的清洗准 确率。


为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施 例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述 中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付 出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。 图1为现有技术单向引流清洗方式一的示意图； 图2为本发明实施例分布式拒绝服务攻击的防御方法的流程图； 图3为本发明实施例分布式拒绝服务攻击的测控装置的示意图； 图4为本发明实施例数据获取设备的示意图； 图5为本发明实施例检测设备的示意图；图6为本发明实施例分布式拒绝服务攻击的清洗装置的示意图； 图7为本发明实施例分布式拒绝服务攻击的防御系统的示意图。
具体实施例方式
下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清 楚、完整的描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是 全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造 性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
本发明实施例旨在提供一种分布式拒绝服务攻击的防御方法、装置和系统， 能够解决网络清洗装置只能获得单向网路数据流进行清洗而造成的清洗准确度 较低的问题。下面结合附图对本发明实施例分布式拒绝服务攻击的防御方法、 装置和系统进行详细描述。
如图2所示，本发明实施例分布式拒绝服务攻击的防御方法，包括如下步
骤
51、 获取并检测网路中的数据流，获得攻击信息；
52、 获取并过滤网路中的上行数据流，获得来自被保护主机的上行数据信
自
53、 根据所述攻击信息和所述来自被保护主机的上行数据信息，对所述网 路中目标为被保护主机的下行数据流进行引流、补偿和清洗处理。
本发明实施例分布式拒绝服务攻击的防御方法通过获取和检测网路中的数 据流得到攻击信息，获取并过滤网路中的上行数据流得到来自被保护主机的上 行数据信息，并根据攻击信息和所述来自被保护主机的上行数据信息对网路中 目标为被保护主机的下行数据流进行引流、补偿和清洗处理，能够通过补偿方 法得到双向数据流进行攻击信息分析，从而提高对攻击数据流的清洗准确率。
在本发明一较佳实施例步骤S1中，获取数据流的方法为通过分光或镜像获 取网路中的数据流，检测所述数据流的方法为通过算法分析和策略匹配检测所 述数据流来获得攻击信息。所获得的攻击信息包括攻击源地址、被保护主机和 攻击特征。但本发明并不局限于此，所述网路数据流的获取还可以通过网络流量技术如NETFL0W或其他XFL0W等方式采样采集网路中所述^皮保护主机上游的 相应路由器上通过的数据流，检测所述路由器上通过的数据流可以采用流量分 析检测的方法以获得攻击信息。
步骤S2中获取并过滤网路中的上行数据流具体为通过分光或镜像获取网路 中的上行数据流并过滤得到来自被保护主机的上行数据信息。所述来自被保护 主机的上行数据信息具体为来自被保护主机的上行数据包头，包括数据链路 层包头、网络层包头和传输层包头以及可能需要用到的其他层it据包头。
步骤S3的具体操作过程如下
根据检测到的所述攻击信息，得到攻击数据流的攻击源地址，通过BGP更 新更改网路中所述被保护主机上游的相应路由器的路由信息，将来自攻击源而 目标为被保护主机的下行数据流从所述路由器中引出以备清洗。
将所述来自被保护对象的上行数据包头补偿到网络双向会话表，以便获得 双向数据流进行分析。
建立网络双向会话表后，通过算法分析和策略匹配，识别攻击类型。再根 据攻击类型和所述双向会话表，对所述目标为被保护主机的下行数据流进行清 洗，具体可以为通过识别伪造源地址、过滤非法数据包和速率限制滤除来自 所述攻击源的攻击数据流。上述为一种常用网络攻击流的清洗方法，但本发明 并不局限于此。
最后把清洗后的所述下行数据流回注到所述网路，回注地址可以是所述被
本发明实施例分布式拒绝服务攻击的防御方法通过获取网路中的数据流进 行检测得到攻击信息，获取并过滤网路中的上行数据流得到来自被保护主机的 上行数据包头，并根据攻击信息对网路中目标为被保护主机的下行数据流进行 引流，将来自被保护对象的上行数据包头补偿到双向会话表，维护了完整的流 量记录，因而能够实现双向数据流的DDoS分析和清洗，从而提高对攻击数据流 的清洗准确率。另外，本发明实施例可以釆用分光或镜像获取网络数据流或通 过不同的网络流量技术采样采集网络流量，因而无论对流量洪水型或非流量洪水型DDoS都能达到较好的防御效果。
本发明的另一个实施提供了一种分布式拒绝服务攻击的测控装置，能够解 决网络清洗装置只能获得单向网路数据流进行清洗而造成的清洗准确度较低的 问题。
如图3所示，本发明实施例分布式拒绝服务攻击系统包括测控装置和清洗 装置，其中测控装置包括
数据获取设备1000，用于获取网路中的数据流；
检测设备2000，用于检测所述数据流，获得攻击信息和来自被保护主机的 上行数据信息，将所述攻击信息发送到清洗装置，并将所述来自被保护主机的上 行数据信息补偿到双向会话表。
本发明实施例分布式拒绝服务攻击的测控装置能够通过将所述来自被保护 主机的上行数据信息补偿到双向会话表，使得清洗装置获得双向数据流进行攻 击信息分析，从而提高对攻击数据流的清洗准确率。
如图4所示，在本发明一较佳实施例中，数据获取设备1000包括第一数据 获取单元1100,用于通过分光或镜像获取网路中的数据流。在本发明另一较佳 实施例中所述数据获取设备1000还可以包括第二数据获取单元1200,用于通过 网络流量技术如NETFLOW技术或其他XFLOW技术采样采集网路中所述被保护主 机上游的相应路由器上通过的数据流。在实际应用中可以根据具体的设备状况 决定是否需要第二数据获取单元1200。
如图5所示，；险测设备2000包括如下几个部分
第一数据检测单元2100，用于检测数据获取设备1000获取的数据流，获取 攻击信息。所述数据^r测单元2100用于通过算法分析和策略匹配;f企测所述第一 数据获取单元2100获取的数据流并获得攻击信息。但本发明并不局限于此，在 本发明另 一较佳实施例中，数据检测单元2100用于通过流量分析所述第二数据 获取单元1200采集的所述路由器上通过的数据流并获得攻击信息。实际应用中 可以根据具体的设备是否包括第二数据获取单元1200来决定采用哪一种凄t据流 检测方法。所述攻击信息包括攻击源地址、被保护主机和攻击特征。第二数据检测单元2200，用于检测过滤来自所述第一数据获取单元2100获 取的网路中的上行数据流，并得到来自被保护主机的上行数据信息。所述来自 被保护主机的上行数据信息具体为来自被保护主机的上行数据包头，包括数 据链路层包头、网络层包头和传输层包头以及可能需要用到的其他层数据包头。
数据发送单元2300，用于将所述攻击信息发送到清洗装置和将来自被保护 主机的上行数据包头补偿到网络双向会话表，从而清洗装置能够得到双向数据 流进行分析和清洗。
本发明实施例分布式拒绝服务攻击的测控装置通过第一数据获取设备1100 采用分光或镜像方法获取网路中的数据流，或通过第二数据获取设备1200通过 网络流量技术采样采集网路中的数据流，再由第一数据4企测单元2100检测得到 所述数据流中的攻击信息，并由第二数据;险测单元2200对网路中的上行数据流 进行过滤得到来自被保护主机的上行数据包头补偿到双向会话表，使得网络清 洗装置能够得到双向数据流进行DDoS分析，提高清洗装置对攻击数据流的清洗 准确率。本发明可以通过第一或第二数据获取单元获取网路中的数据流，还可 以通过第一或第二数据检测单元对所述数据流进行分析得到攻击信息，因此本 发明无论对流量洪水型还是非流量洪水型DDoS攻击的清洗效果都比较好。
本发明的再一个实施例提供一种分布式拒绝服务攻击的清洗装置，能够解 决网络清洗装置只能获得单向网路流量进行清洗而造成的清洗准确度较低的问 题。
本发明的实施例采用如下技术方案
如图6所示， 一种分布式拒绝服务攻击的清洗装置，包括 引流单元3100，用于通过BGP更新将测控装置得到的攻击源地址通知网路 中被保护主机上游的相应路由器并由所述路由器更改路由信息，将网路中目标 为被保护主机的下行数据流从所述路由器中引出并发送到攻击类型识别单元i
双向会话建立单元3200,用于建立由来自被保护主机的上行数据信息配合 得到的双向会话表；
攻击类型识别单元3300，用于通过算法分析和策略匹配，识别正在进行的攻击类型；
清洗单元3400，用于分析所述攻击类型和所述双向会话表并清洗所述目标 为被保护主机的下行数据流并滤除攻击数据流，具体为通过识别伪造源地址、 过滤非法数据包和速率限制滤除来自攻击源的攻击数据流，上述为一种常用的 网络攻击数据流清洗方法，但本发明并不局限于此，
回注单元3500，用于将所述清洗单元清洗后的所述下行数据流回注到所述
的其他层的路由器。
本发明实施例分布式拒绝服务攻击的清洗装置通过引流单元3100将网路中 目标为被保护主机的下4亍流量进行引流，通过双向会话建立单元3200建立双向 会话表来帮助清洗单元3400对网路中的攻击数据流进行分析和清洗处理，并由 回注单元3500将清洗后的所述下行数据流回注到网路中，能够通过补偿双向会 话表的方法使清洗单元3400得到双向数据流进行流量DDoS分析，从而提高了 清洗中心3400对攻击数据流的清洗准确率。本发明无i仑对流量洪水型或非流量 洪水型DDoS都能达到较好的防御效果。另外，本发明实施例的设备较为简单， 节省了成本。
本发明的另 一个实施例提供了 一种分布式拒绝服务攻击的防御系统，能够 解决网络清洗装置只能获得单向网路数据流进行清洗而造成的清洗准确度较低 的问题。
如图7所示，本发明实施例分布式拒绝服务攻击的防御系统包括 数据获取设备1000,用于获取网路中的数据流；
检测设备2000,用于检测所述数据流，获得攻击信息和来自被保护主机的 上行数据信息，将所述攻击信息发送到清洗装置，并将所述来自被保护主机的上 行数据信息补偿到双向会话表；
清洗装置3000,用于对网路中目标为被保护主机的下行数据流进行引流和 清洗处理。
本发明实施例分布式拒绝服务攻击的防御系统可以采用上述实施例分布式拒绝服务攻击的测控装置中的所釆用的数据获取设备与检测设备，也可以采用 上述分布式拒绝服务攻击的清洗装置。所述来自被保护主机的上行数据信息，
包括来自被保护主机的上行数据包头，包括数据链路层包头、网络层包头和 传输层包头以及可能用到的其他层数据包头。
本发明实施例分布式拒绝服务攻击的防御系统通过数据获取设备1000获取 网路中的数据流，再由检测设备2000进行检测获得攻击信息和来自被保护主机 的上行数据包头，将攻击信息发送到清洗装置，并将所述来自被保护主机的上行 数据包头补偿到双向会话表，最后由清洗装置对网路中目标为被保护主机的下 行数据流进行引流和清洗处理，能够通过补偿双向会话表的方法使清洗装置得 到双向数据流进行流量DDoS分析，从而提高了清洗装置对攻击数据流的清洗准 确率。本发明无论对流量洪水型或非流量洪水型DDoS都能达到较好的防御效果。 另外，本发明实施例的设备较为简单，节省了成本。
是可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于 一计算 机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。 其中，所述的存储介质可为》兹碟、光盘、只读存储记忆体(Read-Only Memory, ROM)或随机存储记忆体(Random Access Memory, RAM)等。
以上所述，仅为本发明的具体实施方式
，但本发明的保护范围并不局限于 此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到 变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应 以权利要求的保护范围为准。
权利要求
1、一种分布式拒绝服务攻击的防御方法，其特征在于，获取并检测网路中的数据流，获得攻击信息；获取并过滤网路中的上行数据流，获得来自被保护主机的上行数据信息；根据所述攻击信息和所述来自被保护主机的上行数据信息，对所述网路中目标为被保护主机的下行数据流进行引流、补偿和清洗处理。
2、 如权利要求1所述的分布式拒绝服务攻击的防御方法，其特征在于，所 述获取并检测网路中的数据流，获得攻击信息包括通过分光或镜像获取网路中的数据流并通过算法分析和策略匹配检测所述 数据流，获得攻击信息；或通过网络流量采样采集网路中网络转发设备上通过的数据流，进行流量 分析检测所述网络转发设备上通过的数据流，获得攻击信息。
3、 如权利要求1所述的分布式拒绝服务攻击的防御方法，其特征在于，所 述攻击信息包括攻击源地址、被保护主机和攻击特征。
4、 如权利要求1所述的分布式拒绝服务攻击的防御方法，其特征在于，所 述获取并检测网路中的上行数据流包括通过分光或镜像获取网路中的上行数据流并进行检测。
5、 如权利要求4所述的分布式拒绝服务攻击的防御方法，其特征在于，所 述来自被保护主机的上行数据信息包括来自被保护主机的上行数据包头，包括数据链路层包头、网络层包头和传输层包头。
6、 如权利要求1至5任一项所述的分布式拒绝服务攻击的防御方法，其特 征在于，所述对所述网路中目标为被保护主机的下行数据流进行引流、补偿和 清洗处理包括将所述网路中目标为被保护主机的下行数据流进行引流；建立会话表，将所述来自被保护主机的上行数据信息补偿到所述会话表形 成双向会话表；对网路中目标为被保护主机的下行数据流进行清洗处理。
7、 如权利要求6所述的分布式拒绝服务攻击的防御方法，其特征在于，所 述将网路中目标为被保护主机的下行数据流进行引流包括通过边界网关协议更改相应网络转发设备的路由信息，将目标为被保护主 机的下行数据流从所述网络转发设备中引出。
8、 如权利要求7所述的分布式拒绝服务攻击的防御方法，其特征在于，所 述将网路中目标为被保护主机的下行数据流进行清洗处理包括通过算法分析和策略匹配，识别攻击类型；分析攻击类型和所述双向会话表，对所述目标为被保护主机的下行数据流 进行清洗；把清洗后的所述下行数据流回注到所述被保护主机的上游网路。
9、 如权利要求8所述的分布式拒绝服务攻击的防御方法，其特征在于，所 述对所述目标为被保护主机的下行数据流进行清洗包括通过识别伪造源地址、过滤非法数据包和速率限制滤除来自所述攻击源的 攻击数据流。
10、 一种分布式拒绝服务攻击的测控装置，其特征在于，包括 数据获取设备，用于获取网路中的数据流；检测设备，用于检测所述数据流，获得攻击信息和来自被保护主机的上行 数据信息，将所述攻击信息发送到清洗装置，并将所述来自被保护主机的上行数 据信息补偿到双向会话表。
11、 如权利要求IO所述的分布式拒绝服务攻击的测控装置，其特征在于， 所述数据获取设备包括第一数据获取单元，用于通过分光或镜像获取所述网路中的数据流。
12、 如权利要求11所述的分布式拒绝服务攻击的测控装置，其特征在于， 所述数据获取设备还包括第二数据获取单元，用于通过网络流量釆样采集网路中网络转发设备上通 过的数据流。
13、 如权利要求12所述的分布式拒绝服务攻击的测控装置，其特征在于， 所述检测设备包括第一数据检测单元，用于检测所述第一或第二数据获取单元获取的所述网 路中的数据流，获取攻击信息；第二数据检测单元，用于检测所述第一数据获取单元获取的所述网路中的 上行数据流，获取来自被保护主机的上行数据信息；数据发送单元，用于将所述攻击信息发送到清洗装置，并将所述来自被保 护主机的上行数据信息4卜偿到双向会话表。
14、 如权利要求13所述的分布式拒绝服务攻击的测控装置，其特征在于， 所述第一数据检测单元用于通过算法分析和策略匹配检测所述第一数据获取单 元获取的数据流并获得攻击信息。
15、 如权利要求13所述的分布式拒绝服务攻击的测控装置，其特征在于， 所述第一数据检测单元用于通过流量分析所述第二数据获取单元采集的网络转 发设备上通过的数据流并获得攻击信息。
16、 如权利要求10至15任一项所述的分布式拒绝服务攻击的测控装置， 其特征在于，所述攻击信息包括攻击源地址、被保护主机和攻击特征。
17、 如权利要求16所述的分布式拒绝服务攻击的测控装置，其特征在于， 所述来自被保护主机的上行数据信息，包括来自被保护主机的上行数据包头， 包括数据链路层包头、网络层包头和传输层包头。
18、 一种分布式拒绝服务攻击的清洗装置，其特征在于，包括引流单元，用于将测控装置得到的攻击源地址通知网3各中相应网络转发设 备并由所述网络转发设备更改路由信息，将网路中目标为被保护主机的下行数 据流从所述网络转发设备中引出并发送到攻击类型识别单元；双向会话建立单元，用于建立由来自被保护主机的上行数据信息配合得到 的双向会话表；攻击类型识别单元，用于通过算法分析和策略匹配，识别正在进行的攻击类型；清洗单元，用于分析所述攻击类型和双向会话表并清洗所述目标为被保护 主机的下行数据流，滤除攻击数据流；回注单元，用于将所述清洗单元清洗后的所述下行数据流回注到所述被保 护主才几的上游网3各。
19、 如权利要求18所述的分布式拒绝服务攻击的清洗装置，其特征在于， 所述清洗所述目标为被保护主机的下行数据流并滤除攻击数据流包括通过识别伪造源地址、过滤非法数据包和速率限制滤除来自攻击源的攻击 数据流。
20、 如权利要求18或19所述的分布式拒绝服务攻击的清洗装置，其特征 在于，所述来自被保护主机的上行数据信息具体为来自被保护主机的上行数据 包头，包括数据链路层包头、网络层包头和传输层包头。
21、 一种分布式拒绝服务攻击的防御系统，其特征在于，包括 数据获取设备，用于获取网路中的数据流；检测设备，用于检测所述数据流，获得攻击信息和来自被保护主机的上行数 据信息，将所述攻击信息发送到清洗装置，并将所述来自被保护主机的上行数据 信息补偿到双向会话表；清洗装置，用于对网路中目标为被保护主机的下行数据流进行引流和清洗处理。
22、 如权利要求21所述的分布式拒绝服务攻击的防御系统，其特征在于， 所述来自被保护主机的上行数据信息，包括来自被保护主机的上行数据包头， 包括数据链路层包头、网络层包头和传输层包头。
全文摘要
本发明实施例公开了一种分布式拒绝服务攻击的防御方法、装置和系统，涉及网络技术。为了解决现有的网络清洗装置只能获得单向数据流进行清洗而造成的清洗准确度较低的问题，本发明实施例分布式拒绝服务攻击的防御方法，包括获取并检测网路中的数据流，获得攻击信息；获取并过滤网路中的上行数据流，获得来自被保护主机的上行数据信息；根据所述攻击信息和所述来自被保护主机的上行数据信息，对所述网路中目标为被保护主机的下行数据流进行引流、补偿和清洗处理。本发明实施例还提供一种分布式拒绝服务攻击的测控装置、清洗装置和防御系统。本发明适用于网络技术中的分布式拒绝服务攻击的检测和防御。
文档编号H04L29/06GK101309150SQ200810129149
公开日2008年11月19日 申请日期2008年6月30日 优先权日2008年6月30日
发明者孙志敏, 静 张, 武 蒋 申请人:华为技术有限公司