防火墙自动防御分布式拒绝服务攻击的方法和装置制造方法

防火墙自动防御分布式拒绝服务攻击的方法和装置制造方法
【专利摘要】本发明实施例公开了一种防火墙自动防御分布式拒绝服务攻击的方法和装置，其中，方法包括：对穿越和到达防火墙设备的数据流量进行流FLOW分析；根据FLOW分析的结果，若检测出符合某种分布式拒绝服务DDOS攻击类型的攻击特征，符合该攻击特征的数据流量为DDOS攻击流量，根据预先设置的DDOS攻击类型与防护安全策略之间的对应关系，自动生成拦截DDOS攻击流量的防护安全策略，并将生成的防护安全策略配置在防火墙设备上；响应于检测出符合某种DDOS攻击类型的攻击特征消失，从防火墙设备上删除拦截DDOS攻击流量的防护安全策略。本发明实施例无需在防火墙设备的安全规则库中提前配置防护安全策略，即可在通用防火墙设备上实现对DDOS攻击的自动防御。
【专利说明】防火墙自动防御分布式拒绝服务攻击的方法和装置

【技术领域】
[0001] 本发明涉及网络与信息安全技术，尤其是一种防火墙自动防御分布式拒绝服务 (DistributedDenialofService，DD0S)攻击的方法和装置。

【背景技术】
[0002] 目前，防火墙设备安全规则通常都是由熟悉网络环境和设备的管理员下发的，当 防火墙处于允许放行流量的状态，并且DD0S攻击发生时而安全规则库中没有匹配条目来 阻止该DD0S攻击时，DD0S攻击就能成功穿越防火墙设备。目前防火墙设备对常见的DD0S 攻击具有一定的防护能力，但是需要在防火墙设备的安全规则库中提前配置安全策略和规 贝U，配置的策略和规则越多，则对防火墙设备的资源占用率会越高。DD0S攻击的防御也可以 通过异常流量清洗中心完成，但是该技术成本较高。
[0003] 流（FLOW)技术已经在通信业界广泛应用于流量监控、流量计费等领域，通过FLOW 技术可以检测出多种DD0S攻击及蠕虫病毒。


【发明内容】

[0004] 本发明实施例所要解决的技术问题是：提供一种防火墙自动防御分布式拒绝服务 攻击的方法和装置，无需在防火墙设备的安全规则库中提前配置防护安全策略，即可在通 用防火墙设备上实现对DD0S攻击的自动防御。
[0005] 本发明实施例提供的一种防火墙自动防御分布式拒绝服务攻击的方法，包括：
[0006] 对穿越和到达防火墙设备的数据流量进行流FLOW分析，所述FLOW分析包括对所 述数据流量进行协议类型、数据流量大小与FLOW技术信息分析；所述FLOW技术信息包括： 源IP地址、目的IP地址、源端口号、目的端口号、三层协议类型与服务类型T0S;
[0007] 根据FLOW分析的结果，若检测出符合某种分布式拒绝服务DD0S攻击类型的攻击 特征，符合该攻击特征的数据流量为DD0S攻击流量，根据预先设置的DD0S攻击类型与防护 安全策略之间的对应关系，自动生成拦截所述DD0S攻击流量的防护安全策略，并将生成的 防护安全策略配置在防火墙设备上；
[0008] 响应于检测出符合所述某种DD0S攻击类型的攻击特征消失，从所述防火墙设备 上删除拦截所述DD0S攻击流量的防护安全策略。
[0009] 上述方法的一个具体实施例中，所述FLOW技术信息还包括入接口属性，所述入接 口属性包括所述数据流量区源于内部接口、外部接口或者非军事区DMZ接口的属性信息；
[0010] 所述将生成的防护安全策略配置在防火墙设备上包括：
[0011] 根据对所述数据流量的入接口属性分析结果，若检测出符合攻击特征的数据流量 源于内部接口、外部接口与DMZ中的全部，则将生成的防护安全策略作为全局安全策略配 置在防火墙设备上；
[0012] 若检测出符合攻击特征的数据流量不是源于内部接口、外部接口与DMZ中的全 部，则将生成的防护安全策略配置在防火墙设备的相应接口上。
[0013] 上述方法的一个具体实施例中，所述FLOW技术信息还包括入接口属性，所述入接 口属性包括所述数据流量区源于信任接口、非信任接口或者非军事区DMZ接口的属性信 息；
[0014] 所述将生成的防护安全策略配置在防火墙设备上包括：
[0015] 根据对所述数据流量的入接口属性分析结果，若检测出符合攻击特征的数据流量 源于信任接口、非信任接口与DMZ中的全部，则将生成的防护安全策略作为全局安全策略 配置在防火墙设备上；
[0016] 若检测出符合攻击特征的数据流量不是源于信任接口、非信任接口与DMZ中的全 部，则将生成的防护安全策略配置在防火墙设备的相应接口上。
[0017] 上述方法的一个具体实施例中，对穿越和到达防火墙设备的数据流量进行流FLOW 分析包括：
[0018] 分别针对防火墙设备上的各接口，按照单位周期对穿越和到达防火墙设备的数据 流量进行流FLOW进行循环检测分析，判断该接口上的数据流量是否大于预设阈值；
[0019] 所述检测出符合某种DD0S攻击类型的攻击特征包括：该接口上的数据流量大于 预设阈值。
[0020] 上述方法的一个具体实施例中，所述检测出符合所述某种DD0S攻击类型的攻击 特征消失包括：
[0021] 配置防护安全策略的接口上在单位周期内的DD0S攻击流量不大于所述预设阈 值。
[0022] 本发明实施例提供的一种防火墙自动防御分布式拒绝服务攻击的装置，包括：
[0023] FLOW分析单元，用于对穿越和到达防火墙设备的数据流量进行流FLOW分析，所述 FLOW分析包括对所述数据流量进行协议类型、数据流量大小与FLOW技术信息分析；所述 FLOW技术信息包括：源IP地址、目的IP地址、源端口号、目的端口号、三层协议类型与T0S ;
[0024] 攻击分析单元，用于根据FLOW分析的结果，若检测出符合某种分布式拒绝服务 DD0S攻击类型的攻击特征，符合该攻击特征的数据流量为DD0S攻击流量，根据预先设置的 DD0S攻击类型与防护安全策略之间的对应关系，自动生成拦截所述DD0S攻击流量的防护 安全策略，并指示策略推送单元将生成的防护安全策略配置在防火墙设备上；以及响应于 检测出符合所述某种分布式拒绝服务DD0S攻击类型的攻击特征消失，指示策略推送单元 从所述防火墙设备上删除拦截所述DD0S攻击流量的防护安全策略；
[0025] 策略配置单元，用于将攻击分析单元生成的防护安全策略配置在防火墙设备上。
[0026] 上述系统的一个具体实施例中，所述FLOW技术信息还包括入接口属性，所述入接 口属性包括所述数据流量区源于内部接口、外部接口或者非军事区DMZ接口的属性信息；
[0027] 所述攻击分析单元，具体根据对所述数据流量的入接口属性分析结果，若检测出 符合攻击特征的数据流量源于内部接口、外部接口与DMZ中的全部，则指示策略推送单元 将生成的防护安全策略作为全局安全策略配置在防火墙设备上；若检测出符合攻击特征的 数据流量不是源于内部接口、外部接口与DMZ中的全部，则指示策略推送单元将生成的防 护安全策略配置在防火墙设备的相应接口上。
[0028] 上述系统的一个具体实施例中，所述FLOW技术信息还包括入接口属性，所述入接 口属性包括所述数据流量区源于信任接口、非信任接口或者非军事区DMZ接口的属性信 息；
[0029] 所述攻击分析单元，具体根据对所述数据流量的入接口属性分析结果，若检测出 符合攻击特征的数据流量源于信任接口、非信任接口与DMZ中的全部，则指示策略推送单 元将生成的防护安全策略作为全局安全策略配置在防火墙设备上；若检测出符合攻击特征 的数据流量不是源于信任接口、非信任接口与DMZ中的全部，则指示策略推送单元将生成 的防护安全策略配置在防火墙设备的相应接口上。
[0030] 上述系统的一个具体实施例中，所述FLOW分析单元具体分别针对防火墙设备上 的各接口，按照单位周期对穿越和到达防火墙设备的数据流量进行流FLOW进行循环检测 分析，判断该接口上的数据流量是否大于预设阈值；
[0031] 所述攻击分析单元具体在该接口上的数据流量大于预设阈值时，认为检测出符合 某种分布式拒绝服务DD0S攻击类型的攻击特征。
[0032] 上述系统的一个具体实施例中，所述攻击分析单元具体在配置防护安全策略的 接口上在单位周期内的DD0S攻击流量不大于所述预设阈值时，认为检测出符合所述某种 DD0S攻击类型的攻击特征消失。
[0033] 基于本发明上述实施例提供的防火墙自动防御分布式拒绝服务攻击的方法和装 置，对穿越和到达防火墙设备的数据流量进行FLOW分析，包括对数据流量进行协议类型、 数据流量大小与FLOW技术信息分析，根据FLOW分析的结果，若检测出符合某种DD0S攻击 类型的攻击特征，符合该攻击特征的数据流量为DD0S攻击流量，根据预先设置的DD0S攻击 类型与防护安全策略之间的对应关系，自动生成拦截所述DD0S攻击流量的防护安全策略， 并将生成的防护安全策略配置在防火墙设备上；响应于检测出DD0S攻击流量消失，从防火 墙设备上删除拦截该DD0S攻击流量的防护安全策略。本发明实施例可以利用防火墙发送 的FLOW分析到达和穿越防火墙的流量特征、事件特征，从而发现DD0S攻击流量，根据分析 结果自动完成防护安全策略的构造，并添加到原防火墙的安全规则库中，从而实现了自动 对DD0S攻击的防御，当攻击消失时能自动把防护安全策略从安全规则库中删除。本发明实 施例无需在防火墙设备的安全规则库中提前配置防护安全策略，即可在通用防火墙设备上 实现对DD0S攻击的自动防御，实现安全可靠，并且降低了防护安全策略对防火墙设备的资 源占用率，也提高了防火墙的工作效率。
[0034] 下面通过附图和实施例，对本发明的技术方案做进一步的详细描述。

【专利附图】

【附图说明】
[0035] 构成说明书的一部分的附图描述了本发明的实施例，并且连同描述一起用于解释 本发明的原理。
[0036] 参照附图，根据下面的详细描述，可以更加清楚地理解本发明，其中：
[0037] 图1为本发明防火墙自动防御DD0S攻击的方法一个实施例的流程图。
[0038] 图2为本发明防火墙自动防御DD0S攻击的方法另一个实施例的流程图。
[0039] 图3为本发明防火墙自动防御DD0S攻击的装置一个实施例的结构示意图。

【具体实施方式】
[0040] 现在将参照附图来详细描述本发明的各种示例性实施例。应注意到：除非另外具 体说明，否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本 发明的范围。
[0041] 同时，应当明白，为了便于描述，附图中所示出的各个部分的尺寸并不是按照实际 的比例关系绘制的。
[0042] 以下对至少一个示例性实施例的描述实际上仅仅是说明性的，决不作为对本发明 及其应用或使用的任何限制。
[0043] 对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论，但在适 当情况下，所述技术、方法和设备应当被视为说明书的一部分。
[0044] 在这里示出和讨论的所有示例中，任何具体值应被解释为仅仅是示例性的，而不 是作为限制。因此，示例性实施例的其它示例可以具有不同的值。
[0045] 应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一 个附图中被定义，则在随后的附图中不需要对其进行进一步讨论。
[0046] 图1为本发明防火墙自动防御DD0S攻击的方法一个实施例的流程图。如图1所 示，该实施例防火墙自动防御分布式拒绝服务攻击的方法包括：
[0047] 110,对穿越和到达防火墙设备的数据流量进行FLOW分析，包括对数据流量进行 协议类型、数据流量大小与FLOW技术信息分析。
[0048] 其中的FLOW技术信息包括：源互联网协议（IP)地址、目的IP地址、源端口号、目 的端口号、三层协议类型与服务类型（T0S)。
[0049] 120,根据FLOW分析的结果，若检测出符合某种DD0S攻击类型的攻击特征，则符合 该攻击特征的数据流量为DD0S攻击流量，根据预先设置的DD0S攻击类型与防护安全策略 之间的对应关系，自动生成拦截DD0S攻击流量的防护安全策略，并将生成的防护安全策略 配置在防火墙设备上。
[0050] DD0S攻击都有一定的攻击特征，例如，特征是数据包协议类型为6 (即：传输控制 协议TCP)，数据流大小为40-60字节，通常为TCP同步（SYN)Flood攻击。如果检测出DD0S 攻击是TCPSYNFlood攻击，则自动生成拦截TCPSYNFlood的防护安全策略。如果根据 攻击特征检测出是其他DD0S攻击，如用户数据报（UDP)Flood攻击、超文本传输协议读取 (HTTPGet)Flood攻击等，则同样道理，生成拦截相应攻击的防护安全策略。
[0051] 130,响应于检测出符合某种DD0S攻击类型的攻击特征消失，从防火墙设备上删 除拦截DD0S攻击流量的防护安全策略。
[0052] 本发明上述实施例提供的防火墙自动防御分布式拒绝服务攻击的方法，对穿越和 到达防火墙设备的数据流量进行FLOW分析，包括对数据流量进行协议类型、数据流量大小 与FLOW技术信息分析，根据FLOW分析的结果，若检测出符合某种DD0S攻击类型的攻击特 征，符合该攻击特征的数据流量为DD0S攻击流量，根据预先设置的DD0S攻击类型与防护安 全策略之间的对应关系，自动生成拦截所述DD0S攻击流量的防护安全策略，并将生成的防 护安全策略配置在防火墙设备上；响应于检测出DD0S攻击流量消失，从防火墙设备上删除 拦截该DD0S攻击流量的防护安全策略。本发明实施例可以利用防火墙发送的FLOW分析 到达和穿越防火墙的流量特征、事件特征，从而发现DD0S攻击流量，根据分析结果自动完 成防护安全策略的构造，并添加到原防火墙的安全规则库中，从而实现了自动对DD0S攻击 的防御，当攻击消失时能自动把防护安全策略从安全规则库中删除。本发明实施例无需在 防火墙设备的安全规则库中提前配置防护安全策略，即可在通用防火墙设备上实现对DDOS攻击的自动防御，实现安全可靠，并且降低了防护安全策略对防火墙设备的资源占用率，也 提高了防火墙的工作效率。
[0053] 在本发明的一个实施例中，FLOW信息是各主流网络设备厂商所提供的防火墙日志 信息，例如，cisco公司的netflow，Juniper公司的cflow等信息，这种流技术信息可以包 括但不限于：源IP地址、目的IP地址、源端口号、目的端口号、三层协议类型、T0S和入接口 属性等字段，而到达和穿越防火墙的数据流量可以按照入接口属性进行区分，可以将数据 流量区分成源于内部（inside)接口、外部（outside)接口、非军事区（即：隔离区，DMZ)接口 的数据流量，或者将数据流量区分为源于信任（trust)接口、非信任（untrust)接口、非军 事区接口的数据流量。其中的DMZ接口与军事区（也即：非信任区）和信任区相对应，作用 是实现内外网分离。
[0054] 在本发明防火墙自动防御DD0S攻击的方法另一个实施例中，FLOW技术信息还可 以包括入接口属性，该入接口属性包括数据流量区源于内部接口、外部接口或者非军事区 (DMZ)接口的属性信息。相应地，该实施例在操作120中，将生成的防护安全策略配置在防 火墙设备上具体可以是：根据对数据流量的入接口属性分析结果，若检测出符合攻击特征 的数据流量源于内部接口、外部接口与DMZ中的全部，则将生成的防护安全策略作为全局 安全策略配置在防火墙设备上；否则，若检测出符合攻击特征的数据流量不是源于内部接 口、外部接口与DMZ中的全部，则将生成的防护安全策略配置在防火墙设备的相应接口上。
[0055] 在本发明防火墙自动防御DD0S攻击的方法又一个实施例中，FLOW技术信息还可 以包括入接口属性，该入接口属性包括数据流量区源于信任接口、非信任接口或者非军事 区（DMZ)接口的属性信息。相应地，该实施例在操作120中，将生成的防护安全策略配置在 防火墙设备上具体可以是：根据对数据流量的入接口属性分析结果，若检测出符合攻击特 征的数据流量源于内部接口、外部接口与DMZ中的全部，则将生成的防护安全策略作为全 局安全策略配置在防火墙设备上；否则，若检测出符合攻击特征的数据流量不是源于信任 接口、非信任接口与DMZ中的全部，则将生成的防护安全策略配置在防火墙设备的相应接 口上。
[0056] 根据本发明防火墙自动防御DD0S攻击的方法实施例的一个示例而非限制，对穿 越和到达防火墙设备的数据流量进行流FLOW分析具体可以是：分别针对防火墙设备上的 各接口，按照单位周期对穿越和到达防火墙设备的数据流量进行流FLOW进行循环检测分 析，判断该接口上的数据流量是否大于预设阈值。相应地，若该接口上的数据流量大于预设 阈值，则认为检测出符合某种DD0S攻击类型的攻击特征。
[0057] 根据本发明防火墙自动防御DD0S攻击的方法实施例的另一个示例而非限制，若 配置防护安全策略的接口上在单位周期内的DD0S攻击流量不大于预设阈值，则认为检测 出符合某种DD0S攻击类型的攻击特征消失。
[0058] 图2为本发明防火墙自动防御DD0S攻击的方法另一个实施例的流程图。如图2 所示，该实施例防火墙自动防御分布式拒绝服务攻击的方法包括：
[0059] 210,防火墙设备将穿越和到达该防火墙设备的数据流量（FLOW)发送到自动防御 DD0S攻击的装置，其中一条FLOW包括源IP地址、目的IP地址、源端口号、目的端口号、三层 协议的类型、T0S、入接口属性等字段。
[0060] 220,自动防御DD0S攻击的装置以FLOW中的入接口属性作为分类依据，将数据流 量区分为源于不同接口（内部接口 /外部接口 /非军事区接口，或者信任接口 /非信任接口 /非军事区接口）。这样做的目的是某些防护安全策略是配置在防火墙设备接口上的，某些 防护安全策略是针对防火墙设备全局生效的。
[0061] 230,循环检测单位周期时间内源于某个接口的数据流量，判断某种DD0S攻击流 量是否大于预设阈值。
[0062] 若某接口上的数据流量大于预设阈值，执行240的操作。否则，不执行本实施例的 后续流程。
[0063] 240,根据DD0S攻击流量大于预设阈值的接口范围，自动生成拦截该DD0S攻击流 量的防护安全策略应于防火墙设备全局或者防火墙设备的相应接口上。
[0064] 将防护安全策略应于防火墙设备全局，便可以过滤掉所有穿越该防火墙设备的相 应DD0S攻击流量，而不需要考虑这种DD0S攻击流量从哪个接口进入防火墙设备。
[0065] 250,循环检测单位周期时间内源于防护安全策略防护范围内某个接口的数据流 量，判断该防护安全策略拦截的DD0S攻击流量是否大于预设阈值。
[0066] 若某接口上的数据流量不大于预设阈值，执行260的操作。否则，若某接口上的数 据流量大于预设阈值，不执行本实施例的后续流程。
[0067] 260,从防火墙设备或其相应接口上删除该防护安全策略。
[0068] 例如，对穿越和到达防火墙设备的数据流量进行FLOW分析获得的FLOW信息的部 分字段如下表所示：

【权利要求】
1. 一种防火墙自动防御分布式拒绝服务攻击的方法，其特征在于，包括： 对穿越和到达防火墙设备的数据流量进行流FLOW分析，所述FLOW分析包括对所述数 据流量进行协议类型、数据流量大小与FLOW技术信息分析；所述FLOW技术信息包括：源IP 地址、目的IP地址、源端口号、目的端口号、三层协议类型与服务类型TOS ; 根据FLOW分析的结果，若检测出符合某种分布式拒绝服务DDOS攻击类型的攻击特征， 符合该攻击特征的数据流量为DDOS攻击流量，根据预先设置的DDOS攻击类型与防护安全 策略之间的对应关系，自动生成拦截所述DDOS攻击流量的防护安全策略，并将生成的防护 安全策略配置在防火墙设备上； 响应于检测出符合所述某种DDOS攻击类型的攻击特征消失，从所述防火墙设备上删 除拦截所述DDOS攻击流量的防护安全策略。
2. 根据权利要求1所述的方法，其特征在于，所述FLOW技术信息还包括入接口属性，所 述入接口属性包括所述数据流量区源于内部接口、外部接口或者非军事区DMZ接口的属性 信息； 所述将生成的防护安全策略配置在防火墙设备上包括： 根据对所述数据流量的入接口属性分析结果，若检测出符合攻击特征的数据流量源于 内部接口、外部接口与DMZ中的全部，则将生成的防护安全策略作为全局安全策略配置在 防火墙设备上； 若检测出符合攻击特征的数据流量不是源于内部接口、外部接口与DMZ中的全部，则 将生成的防护安全策略作为全局安全策略配置在防火墙设备的相应接口上。
3. 根据权利要求1所述的方法，其特征在于，所述FLOW技术信息还包括入接口属性，所 述入接口属性包括所述数据流量区源于信任接口、非信任接口或者非军事区DMZ接口的属 性信息； 所述将生成的防护安全策略配置在防火墙设备上包括： 根据对所述数据流量的入接口属性分析结果，若检测出符合攻击特征的数据流量源于 信任接口、非信任接口与DMZ中的全部，则将生成的防护安全策略作为全局安全策略配置 在防火墙设备上； 若检测出符合攻击特征的数据流量不是源于信任接口、非信任接口与DMZ中的全部， 则将生成的防护安全策略作为全局安全策略配置在防火墙设备的相应接口上。
4. 根据权利要求1至3任意一项所述的方法，其特征在于，对穿越和到达防火墙设备的 数据流量进行流FLOW分析包括： 分别针对防火墙设备上的各接口，按照单位周期对穿越和到达防火墙设备的数据流量 进行流FLOW进行循环检测分析，判断该接口上的数据流量是否大于预设阈值； 所述检测出符合某种DDOS攻击类型的攻击特征包括：该接口上的数据流量大于预设 阈值。
5. 根据权利要求4所述的方法，其特征在于，所述检测出符合所述某种DDOS攻击类型 的攻击特征消失包括： 配置防护安全策略的接口上在单位周期内的DDOS攻击流量不大于所述预设阈值。
6. -种防火墙自动防御分布式拒绝服务攻击的装置，其特征在于，包括： FLOW分析单元，用于对穿越和到达防火墙设备的数据流量进行流FLOW分析，所述FLOW 分析包括对所述数据流量进行协议类型、数据流量大小与FLOW技术信息分析；所述FLOW技 术信息包括：源IP地址、目的IP地址、源端口号、目的端口号、三层协议类型与TOS ; 攻击分析单元，用于根据FLOW分析的结果，若检测出符合某种分布式拒绝服务DDOS攻 击类型的攻击特征，符合该攻击特征的数据流量为DDOS攻击流量，根据预先设置的DDOS攻 击类型与防护安全策略之间的对应关系，自动生成拦截所述DDOS攻击流量的防护安全策 略，并指示策略推送单元将生成的防护安全策略配置在防火墙设备上；以及响应于检测出 符合所述某种分布式拒绝服务DDOS攻击类型的攻击特征消失，指示策略推送单元从所述 防火墙设备上删除拦截所述DDOS攻击流量的防护安全策略； 策略配置单元，用于将攻击分析单元生成的防护安全策略配置在防火墙设备上。
7. 根据权利要求6所述的装置，其特征在于，所述FLOW技术信息还包括入接口属性，所 述入接口属性包括所述数据流量区源于内部接口、外部接口或者非军事区DMZ接口的属性 信息； 所述攻击分析单元，具体根据对所述数据流量的入接口属性分析结果，若检测出符合 攻击特征的数据流量源于内部接口、外部接口与DMZ中的全部，则指示策略推送单元将生 成的防护安全策略作为全局安全策略配置在防火墙设备上；若检测出符合攻击特征的数据 流量不是源于内部接口、外部接口与DMZ中的全部，则指示策略推送单元将生成的防护安 全策略作为全局安全策略配置在防火墙设备的相应接口上。
8. 根据权利要求6所述的装置，其特征在于，所述FLOW技术信息还包括入接口属性，所 述入接口属性包括所述数据流量区源于信任接口、非信任接口或者非军事区DMZ接口的属 性信息； 所述攻击分析单元，具体根据对所述数据流量的入接口属性分析结果，若检测出符合 攻击特征的数据流量源于信任接口、非信任接口与DMZ中的全部，则指示策略推送单元将 生成的防护安全策略作为全局安全策略配置在防火墙设备上；若检测出符合攻击特征的数 据流量不是源于信任接口、非信任接口与DMZ中的全部，则指示策略推送单元将生成的防 护安全策略作为全局安全策略配置在防火墙设备的相应接口上。
9. 根据权利要求6至8任意一项所述的装置，其特征在于，所述FLOW分析单元具体分 别针对防火墙设备上的各接口，按照单位周期对穿越和到达防火墙设备的数据流量进行流 FLOW进行循环检测分析，判断该接口上的数据流量是否大于预设阈值； 所述攻击分析单元具体在该接口上的数据流量大于预设阈值时，认为检测出符合某种 分布式拒绝服务DDOS攻击类型的攻击特征。
10. 根据权利要求9所述的装置，其特征在于，所述攻击分析单元具体在配置防护安全 策略的接口上在单位周期内的DDOS攻击流量不大于所述预设阈值时，认为检测出符合所 述某种DDOS攻击类型的攻击特征消失。
【文档编号】H04L29/06GK104519016SQ201310453267
【公开日】2015年4月15日 申请日期:2013年9月29日 优先权日:2013年9月29日
【发明者】肖宇峰, 刘东鑫, 沈军, 金华敏, 郭亮 申请人:中国电信股份有限公司