专利名称:基于isp网络的拒绝攻击防御系统的制作方法
技术领域:
本实用新型涉及一种基于ISP网络的拒绝攻击防御系统。
背景技术:
现有的大多数DDOS防御系统都是单台系统实现DDOS流量的检测、分析、防御功能,构成负荷过大,难以用于电信级网络的环境中。同时由于单一的系统设计,在部署时无法分布式进行部署,因此对于检测、分析、清洗等功能均在一套系统中进行完成,没有遵循网络的层次功能分布,构成技术瓶颈,而且现有的技术产品存在多个故障点、分布式结构部署较复杂、能旁路处理且对某些DOS攻击无法有效抵御、网关方式部署时攻击流量较大时仍会对用户造成影响等缺点。
实用新型内容本实用新型的目的是提供一种基于ISP网络的拒绝攻击防御系统,以克服现有技术产品上述的不足。本实用新型的目的是通过以下技术方案来实现一种基于ISP网络的拒绝攻击防御系统,包括攻击探测器,攻击探测器内设有入侵检测模块和流量侦测模块;流量牵引器,其与攻击探测器相互通信连接;以及计算机终端,其与攻击探测器相互通信连接。本实用新型基于ISP网络的拒绝攻击防御系统的攻击探测器支持网关和旁路两种方式接入用户网络1)攻击探测器网关接入模式当采用网关模式接入网络时可按需求选择前置路由及后置路由两种接入部署方式当采用后置路由部署方式时,推荐使用透明接入方式;采用网关接入方式时,攻击探测器可以通过内置的防火墙功能模块及流量监控功能模块在不启动流量牵引器的情况下抵御各类DoS攻击,以及小规模DDoS攻击。流量牵引器通常布置于运营商网络中高带宽节点,如核心交换机等高速转发设备。攻击探测器可通过带内SSH 通信或带外通信方式与攻击牵引器通信。处理过程如下当攻击探测器检测到攻击发生时会初步确定攻击类型及规模,同时探测器起到网关的作用对攻击进行处理,在流量牵引器执行流量牵引动作之前,攻击探测器将始终承担攻击阻止任务;攻击探测器将攻击信息通过SSH方式发送到流量牵弓I器;流量牵弓I器对可疑流量进行引导,并对攻击流量进行分离, 将正常通信流量按原路转发到目的地;当流量牵引器引导流量并对攻击流量进行过滤时, 攻击探测器负责抵御流量探测器无法发现及处理的攻击流量并上报给牵引器,同时提供过滤策略;最后保证流入受保护区域的流量为干净的流量。2)攻击探测器旁路接入模式当采用旁路模式接入网络时需通过流量镜像方式将网关处流量复制发送至攻击探测器,采用旁路接入时对任何流量除记录及上报外不做任何动作。流量牵引器通常布置于运营商网络中高带宽节点,如核心交换机等高速转发设备。处理过程如下当攻击探测器检测到攻击发生时会与流量牵引器通过SSH方式通信,将攻击信息发送到流量牵引器;流量牵引器收到攻击信息后对可疑流量进行牵引,并通过内部处理机制分离出正常通信流量,按原路转发;流量探测器检测分离出的流量将检测信息继续发送给流量牵引器,如发现仍有攻击流量存在,则向流量牵引器发送报告及处理策略;最后保证流入受保护区域的流量为干净的流量。本实用新型的有益效果为本系统设计采用了基于路由器路由信息的数据DDOS 检测和攻击防御,降低了系统资源消耗,提高了检测的效率,从技术源头上提高了 DDOS攻击在ISP网络中的检测效率和防御效果;系统设计架构非常清晰,对用户方,以及操作使用方,非常易于学习、使用和操作,有别于国外众多的复杂的ISP网络的拒绝服务攻击检测与防御系统,适合于我国的网络管理条件和环境。
下面根据附图对本实用新型作进一步详细说明。图1是本实用新型实施例所述的基于ISP网络的拒绝攻击防御系统的结构框图。图中1、攻击探测器;2、流量牵引器;3、计算机终端。
具体实施方式
如图1所示,本实用新型实施例所述的一种基于ISP网络的拒绝攻击防御系统,包括攻击探测器1,攻击探测器1内设有入侵检测模块和流量侦测模块;流量牵引器2,其与攻击探测器1相互通信连接;以及计算机终端3,其与攻击探测器1相互通信连接。攻击探测器1采用双子系统架构,该架构将入侵检测模块和流量侦测模块分为两个完全独立的系统,通过总线相连,在互不影响的同时又能够保证信息的共享及功能联动。 攻击检测模块在没有DDoS攻击的时候只是正常地检测流量,并通过基于自相似性模型的动态异常流量监测机制判断网络流量是否出现异常。当发现流量出现异常时与入侵检测模块联动进行流量分析、行为分析。判断流量是否为DDoS攻击,如确认攻击则记录攻击信息, 判断攻击规模,确定防御策略,同时通过SSH与流量牵引器通信并上报攻击信息。入侵检测模块能够发现并抵御多数DoS攻击、以及蠕虫、木马等恶意代码,并对流量侦测模块提交的可疑流量进行检测,进一步判断是否为攻击流量。攻击探测器1采用基于自相似性模型的动态异常流量监测算法,能够在DDoS攻击的初始阶段甄别攻击;攻击探测器1采用基于自相似性模型的动态异常流量监测与深层包检测技术协同工作方式的高效检测流量,可以识别并实时抵御1500多种蠕虫、病毒、DOS攻击和异常的流量模式攻击,极大地提高准确率。并通过访问控制列表、代理服务等技术实现小规模的攻击处理能力。系统定位为运营商级高可靠性的安全产品,所有组件支持热插拔, 支持双机热备和来回路径不一致;攻击探测器1支持透明模式及旁路模式部署,使得系统的部署不影响用户原有网络拓扑;与流量牵引器2之间支持集群工作模式,有效提高了系统负载能力;攻击探测器1支持负载均衡、热备等技术,最大限度地提高设备可靠性。攻击探测器1部署在所需保护网络的接入点,可选择串联或者旁路方式接入网络,采用串联接入方式时,能够通过内置的攻击探测模块、流量监测模块和防火墙模块联动来实现对DoS攻击及小规模DDoS攻击进行有效防御。选择旁路接入方式时,该设备不具备网关功能,可对流量进行监控、分析,并对可疑流量进行深度扫描。[0017]流量牵引器2具有如下功能特点高速的攻击处理能力流量牵引器2接入运营商骨干网络,系统能够有效鉴别攻击流量和正常流量,对异常攻击流量进行清洗,有效保证用户正常业务流量的传输。该流量牵引器支持集群工作模式,通过集群化部署可以有效地提高系统的处理能力,使系统能够满足大型ISP网络的需要;高效的软硬件平台在硬件方面,流量牵引器2采用了嵌入式系统设计,在系统核心实现拒绝服务攻击的防御算法,并且创造性地将算法实现在网络协议栈的最底层,完全避免了 TCP、UDP和IP等高层系统网络堆栈的处理,将整个运算代价大大降低,大大提高了运算速率;采用虚拟化技术流量牵引器2支持虚拟化技术,支持多达50个虚拟设备,每个虚拟设备拥有独立系统资源、管理员、安全策略、用户认证数据库等,可单独与攻击检测网关配合组成完整的系统;支持集群工作模式流量牵引器2支持集群工作模式,可通过集群工作模式增强系统处理能力,提高可扩展性及可靠性;详细可定制的报表生成系统系统提供可定制的报表生成系统,能够按照管理员定义的内容及格式生成报表,方便用户直观地查看攻击情况,支持syslog、数据库等日志格式。本系统的技术指标如下所示
项目I技术指标
最大检测流量-单机最多可检测并抵御300Mbps的流量
攻击探测功能可发现并实时抵御1500多种蠕虫、病毒、DOS攻击和异常的流量模式;可以提供256byte背景流量下百兆
_100%的检测效率_
支持的部署方式 If寺串联网关、透明桥接及旁路部署方式 — 是否支持热备 f — 是否支持负载均衡 f — 可抵御的攻击类型 SYNFL00D、ICMPFL00D、UDPFL00D、CC 攻击、IPSpoofing^ LAND 攻击、Smurf 攻击、Fraggle 攻击、Winnuke、 PingofDeath JearDrop、地址扫描、端口扫描、IPOption控制、IP分片报文控制、TCP标记合法性检查、超大 ICMP报文控制、ICMP重定向报文、ICMP不可达报文、TRACERT报文、HTTPGet攻击、BGPFL00D攻击、DNSFL00D _I攻击等___本实用新型不局限于上述最佳实施方式,任何人在本实用新型的启示下都可得出其他各种形式的产品,但不论在其形状或结构上作任何变化,凡是具有与本申请相同或相近似的技术方案,均落在本实用新型的保护范围之内。
权利要求1. 一种基于ISP网络的拒绝攻击防御系统,包括攻击探测器(1)、流量牵引器(2)以及计算机终端(3),其特征在于攻击探测器(1)内设有入侵检测模块和流量侦测模块,流量牵引器(2 )与攻击探测器(1)相互通信连接,计算机终端(3 )与攻击探测器(1)相互通信连接。
专利摘要本实用新型涉及一种基于ISP网络的拒绝攻击防御系统,包括攻击探测器,攻击探测器内设有入侵检测模块和流量侦测模块;流量牵引器,其与攻击探测器相互通信连接;以及计算机终端,其与攻击探测器通信连接。本实用新型的有益效果为本系统设计采用了基于路由器路由信息的数据DDOS检测和攻击防御,降低了系统资源消耗,提高了检测的效率,从技术源头上提高了DDOS攻击在ISP网络中的检测效率和防御效果,系统设计架构非常清晰,对用户方,以及操作使用方,非常易于学习、使用和操作。
文档编号H04L29/06GK202231744SQ20112037706
公开日2012年5月23日 申请日期2011年9月28日 优先权日2011年9月28日
发明者刘智宏, 李宏昌, 杨永来, 王春明, 章秀麓, 许德森, 赵鹏, 陈阳怀 申请人:中华通信系统有限责任公司