一种分布式近威胁源攻击阻断方法及其装置与流程

本发明涉及应用于网络信息安全保障的一种分布式近威胁源攻击阻断方法及其装置，属于网络空间安全技术领域。

背景技术：

目前互联网上网络攻击越来越多，不但使服务器瘫痪，而且导致网络资源大量消耗、有效流量减少、网络可用性降低等。传统防御策略常采用防火墙或安全网关在受攻击者附近(近受害者)，例如数据中心入口，阻断入侵的网络攻击，能够阻断包括分布式服务拒绝攻击(ddos)在内的大量攻击，保护数据中心的服务器。但是，这种防御策略不能够防止攻击流量对网络资源的消耗，放任攻击流量在防火墙外任意地占用网络资源。

随着网络结构的改进、下一代互联网体系架构的提出、5g网络安全性的提高、天地一体化网络总体方案的确定等，网络信息安全保障策略不是成为网络中的安全补丁，而是被融入到网络自身中，成为网络一个重要的组成部分，甚至成为网络设备的模块，包括但不限于网络终端的认证、签名、攻击检测等模块。

另外一方面，随着网络信息安全数据收集和汇聚、面向信息安全分析的数据挖掘技术的提升、网络信息安全态势分析系统的部署，很多网络攻击检测手段，不局限于防火墙单点的分析，已经被部署到网络各个传感器、离线的流量分析器和数据挖掘服务器上，对网络攻击的分析更加细致和齐全。

技术实现要素：

本发明提出一种分布式近威胁源攻击阻断方法及其装置，为网络安全环境提供一种阻断网络手段。本发明通过接受来自攻击检测方传递来的攻击类型与路径，依据安全网关的部署，求得近威胁源的攻击阻断执行安全网关，简称为执行安全网关，在执行安全网关上阻断网络攻击。

本发明提供的分布式近威胁源攻击阻断装置，包括联动防护控制模块和攻击阻断执行模块；联动防护控制模块部署在网络的防护系统中，攻击阻断执行模块部署在网络的每个安全网关中。所述的联动防护控制模块接收网络中攻击路径与攻击类型信息，计算支持近威胁源攻击阻断的执行安全网关，分发攻击阻断指令给攻击阻断执行模块，并获取执行结果。所述的攻击阻断执行模块接收攻击阻断指令，控制执行安全网关执行攻击阻断指令，并反馈执行结果给联动防护控制模块。

所述的联动防护控制模块，还包括攻击阻断控制效果研判与异常处理，根据攻击阻断执行模块反馈的执行结果进行效果研判，对未顺利阻断的指令，向防护系统提交报警信息。

本发明提供的分布式近威胁源攻击阻断方法，包括：

(1)在联动防护控制模块中配置安全网关集合；

(2)联动防护控制模块接收与分解攻击信息，获取攻击路径和攻击类型；

(3)联动防护控制模块求得每条估计路径上支持近威胁源攻击阻断的执行安全网关；

(4)联动防护模块向执行安全网关发送阻断指令，汇聚和收集阻断指令反馈；

(5)执行安全网关中的攻击阻断执行模块执行阻断指令，产生阻断动作；

(6)攻击阻断执行模块分析阻断效果性能指标，获取执行效果发送给联动防护控制模块；

(7)联动防护控制模块汇聚执行效果，研判执行结果，对于执行失败的阻断指令，向防护系统告警。

本发明的优点与积极效果在于：(1)本发明配置安全网关信息，可以了解全网的安全网关数量，可以选择性部署攻击阻断策略。(2)本发明计算执行安全网关，依据安全网关集合和攻击路径可以计算出执行安全网关。(3)本发明可以减少攻击对网络资源的消耗，选择近威胁源的安全网关为执行安全网关，可以最大限度地防止攻击流量在网络中流动，减少了攻击流量，提高了网络中流量有效率。

附图说明

图1是本发明提供的分布式近威胁源攻击阻断装置中模块布置示意图；

图2是本发明提供的分布式近威胁源攻击阻断装置及方法实现阻断机制的示意图。

具体实施方式

下面将结合附图和实施例对本发明作进一步的详细说明。所描述的实施例也仅仅是本发明的一部分实施例，而不是全部实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明分布式近威胁源攻击阻断装置，包括联动防护控制模块和攻击阻断执行模块，如图1所示。联动防护控制模块部署在网络的防护系统中，一个联动防护控制模块可以被多个防护系统同时采用。攻击阻断执行模块部署在网络中的安全网关中，包括但不限于安全接入网关、网间互联安全网关、防火墙等，可以被多台或多类安全网关采用。联动防护控制模块控制攻击阻断执行模块执行，能在同一时间段控制多个执行安全网关执行攻击阻断。网络攻击检测、网络安全态势分析、网络流量离线分析等系统检测网络中的包括攻击在内的相关信息推送给联动防护控制模块。

如图2所示，联动防护控制模块实现：攻击路径与攻击类型信息接收与信息分解；支持近威胁源攻击阻断的执行安全网关计算；攻击阻断控制效果研判与异常处理；攻击阻断指令分发与结果汇聚；联动防护交互通信协议。攻击阻断执行模块实现：阻断指令接收与结果反馈；执行安全网关攻击阻断指令执行；阻断效果性能指标分析。联动防护交互通信协议实现联动防护控制模块与外界的通信，接收攻击信息，发送攻击阻断指令等。

在联动防护控制模块中，核心是攻击阻断控制效果研判与异常处理，应用攻击路径与攻击类型信息接收与信息分解来处理外部的攻击信息，采用支持近威胁源攻击阻断的执行安全网关计算来求得执行安全网关，最后使用攻击阻断指令分发与结果汇聚来启动指令和获取结果。在攻击阻断执行模块中，阻断指令接收与结果反馈是核心，采用执行安全网关攻击阻断指令执行来控制流量，应用阻断效果性能指标分析来监视执行效果。

本发明实现的分布式近威胁源攻击阻断，尤其针对分布式拒绝服务攻击时，估计路径有多条，获取各个攻击路径，计算各路径上的执行安全网关，执行攻击阻断指令。本发明在每个安全网关中加入了攻击阻断执行模块。

本发明中，支持近威胁源攻击阻断的执行安全网关计算方法实现如下：

假设主机rk1攻击主机rkn的某条攻击路径为

pk＝{rk1,rk2,…,rki,…,rkn-1,rkn},i＝{1,2,…,n},k,n∈n。n表示正整数。

攻击路径pk是一个有向的n元组，表示第k个攻击rkn的路径，rki为攻击路径pk经过的第i个节点。所述的节点是指那些能够进行数据包转发的网络层及其以上层的设备，可以是主机、路由器、安全网关等。

假设网络中的安全网关集合为

f＝{f1,f2,…,fj,…,fm},j＝{1,2,…,m},m∈n。

fj表示第j个安全网关。安全网关是网络中的一个独立节点。安全网关可以阻断攻击路径pk的流量的充分必要条件是

rks、rkd分别表示攻击路径pk上第s个节点、第k个节点，dn(rks,rkd)表示在两个节点rks、rkd之间的安全网关集合。上面条件也就是说，如果那么攻击路径中没有安全网关，那么，该攻击是不能被阻断的。{rki}表示攻击路径pk上从rks到rkd的节点集合，∩表示求交集。节点可以用ip来描述，则求交集时就是寻找相同的ip。

假设dn(rks,rkd)＝{fi|i∈{1,2,…,n}}；采用本发明的近攻威胁源攻击阻断机制，选择执行安全网关ft作为防护策略部署点，阻断路径pk上节点rks到节点rkd的网络协议流攻击。选取最接近威胁源的安全网关作为执行安全网关，具体选择执行安全网关的方法为：

①设置初始化标签值i＝1；

②在路径pk上按顺序选取一个rki，组成集合ft＝{rki}；

③计算dn(rks,rkd)∩ft；

④如果那么i＝i+1，转②；

⑤如果则选取rki作为执行安全网关。并且rki满足下面条件：

上面过程表明，依次从攻击路径上顺序选取节点，寻找执行安全网关，所选安全网关距离威胁源最近。

本发明提供的分布式近威胁源攻击阻断方法，实现流程包括：

①在联动防护控制模块中配置安全网关集合f＝{f1,f2,…,fj,…,fm}，以便作为选择执行安全网关的依据。

②联动防护控制模块接收与分解攻击信息，获取“攻击路径”和“攻击类型”数据。

③对每个攻击路径，联动防护控制模块求得该路径支持近威胁源攻击阻断的执行安全网关。

④联动防护控制模块控制攻击阻断的执行，向安全网关发送阻断指令，汇聚和收集阻断指令反馈。

⑤执行安全网关中的攻击阻断执行模块执行阻断指令，产生阻断动作。

⑥攻击阻断执行模块分析阻断效果性能指标，获取执行效果。

⑦联动防护控制模块汇聚执行效果，研判执行结果，对于执行失败的阻断指令，向防护系统告警。

实施例

(1)联动防护模块执行“分布式近威胁源攻击阻断机制”中的攻击路径与攻击类型信息接收与信息分解。接收到攻击信息为：

攻击者主机的ip地址为100.100.100.10，缩写为100100100010；受害者主机地址为200.200.200.20，缩写为200200200020；攻击类型为ddos(分布式拒绝服务)，其中第10条攻击路径为：

p10＝{100100100010,100100100020,100100100030,100100100040,100100100050,100100100060,100100100070,100100100080,100100100090,20020020010,20020020020}

攻击路径p10是一个有向的11元组。

(2)联动防护模块中安全网关集合配置为：

f＝{200200200010,100100090020,100100100030,100100080060,100100100060,100100060030,200200200050}

安全网关是网络中的一个独立节点，在路径中占有一个节点的位置。

(3)联动防护模块执行“分布式近威胁源攻击阻断机制”中的支持近威胁源攻击阻断的执行安全网关计算，具体为：

现在判断安全网关可以阻断攻击路径p10的充分必要条件

dn(100100100010,20020020020)＝f∩p10

＝{200200200010,100100100030,100100100060}

由于满足可以阻断攻击的条件。目前三个安全网关(|dn(100100100010,20020020020)|＝3)可以阻断攻击，为了节约资源和提高性能，只需要选择一个安全网关为执行安全网关就可以满足要求。下面是选择执行安全网关的过程：

①在p10路径中按顺序选择第1个安全网关组成集合ft＝{100100100020}。

②计算不满足条件。

③再在p10路径中按顺序选择第2个安全网关组成集合ft＝{100100100030}。

④计算ft∩dn＝{100100100030}，不为空，满足可阻断攻击的条件。

⑤选取安全网关100.100.100.30作为执行安全网关。即最接近攻击者的安全网关，对该执行安全网关发送攻击阻断指令。

(4)联动防护模块执行“分布式近威胁源攻击阻断机制”中的攻击阻断控制，具体为：

向安全网关100.100.100.30发送阻断路径p10信息流的指令。

(5)攻击阻断执行模块执行“分布式近威胁源攻击阻断机制”中的执行安全网关攻击阻断指令执行，具体为：

阻断路径p10信息流。

(6)攻击阻断执行模块执行“分布式近威胁源攻击阻断机制”中的执行阻断效果性能指标分析，具体为：

在可执行安全网关出口处分析是否已经阻断p10信息流，分析出结果为“p10信息流已阻断”。

联动防护模块执行“分布式近威胁源攻击阻断机制”中的执行结果研判，具体为：

接收和汇聚阻断执行结果，包括“p10信息流已阻断”信息。对未实现顺利阻断的指令，向防护系统提交报警信息。