拒绝服务攻击防御方法及装置、可读存储介质与流程

本发明实施例涉及网络安全，尤其涉及一种拒绝服务攻击防御方法及装置、计算机可读存储介质。

背景技术：

1、单包授权(single packet authorization，spa)协议是一种实现软件定义边界(software defined perimeter，sdp)安全架构网络隐身的核心网络安全协议，在允许访问控制器、网关等相关系统组件所在的网络之前先验证设备和用户身份，实现零信任“先认证，再连接”的安全模型理念。在spa协议下，将spa客户端的身份认证信息和所访问的服务信息封装在单一的spa协议报文中，再加密传递给spa服务端进行认证和授权处理，直到授权通过才打开网络防火墙，使得所访问目的服务对访问者暴露可见，即通过应用spa协议使得受保护的网络服务对未授权的访问者保持隐身，降低网络服务所面临的网络攻击风险。

2、但是spa协议的轻量化机制仍容易导致拒绝服务攻击的剩余风险，尤其是，参照图1，当攻击者一旦在攻陷和控制一个合法的终端用户账户并取得相应的身份授权凭证之后，仅需构造单个用户数据包协议(user datagram protocol，udp)攻击载荷就可以在任意网络位置发起一次攻击，触发spa服务端进行复杂的后端授权处理流程，这使得分布式拒绝服务攻击(distributed denial-of-service，ddos)成为可能；相对于单个攻击源，分布式拒绝服务攻击可以从多源并发实施，攻击流量可指数倍放大，严重威胁spa服务端的可用性。

技术实现思路

1、以下是对本文详细描述的主题的概述。本概述并非是为了限制权利要求的保护范围。

2、本发明实施例提供了一种拒绝服务攻击防御方法及装置、计算机可读存储介质，能够提升spa服务端的可用性。

3、第一方面，本发明实施例提供了一种拒绝服务攻击防御方法，包括：

4、从转发至spa服务端的数据报文中确定spa协议报文；

5、获取所述spa协议报文的转发速率；

6、当所述转发速率超过第一预设速率保护门限时，对所述spa协议报文进行转发限速处理。

7、第二方面，本发明实施例还提供了一种拒绝服务攻击防御装置，包括：存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现如上第一方面所述的拒绝服务攻击防御方法。

8、第三方面，本发明实施例还提供了一种计算机可读存储介质，存储有计算机可执行指令，所述计算机可执行指令用于执行如上第一方面所述的拒绝服务攻击防御方法。

9、本发明实施例包括：从转发至spa服务端的数据报文中确定spa协议报文；获取spa协议报文的转发速率；当转发速率超过第一预设速率保护门限时，对spa协议报文进行转发限速处理。根据本发明实施例提供的方案，通过从转发至spa服务端的数据报文中确定spa协议报文，可以获知可能产生拒绝服务攻击的报文来源，进而将获取到的spa协议报文的转发速率与第一预设速率保护门限进行比较，当确定存在转发速率超过第一预设速率保护门限的情况，则判定当前面临利用spa数据流实施拒绝服务攻击的威胁，在这种情况下通过对spa协议报文进行精准的转发限速处理，以实现对于拒绝服务攻击实施的流量抑制，从而能够降低sdp安全架构中spa协议所导致的拒绝服务攻击的剩余风险，提升spa服务端的可用性。

10、本发明的其它特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本发明而了解。本发明的目的和其他优点可通过在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。

技术特征：

1.一种拒绝服务攻击防御方法，包括：

2.根据权利要求1所述的拒绝服务攻击防御方法，其特征在于，所述对所述spa协议报文进行转发限速处理，包括：

3.根据权利要求1所述的拒绝服务攻击防御方法，其特征在于，所述spa协议报文为多个，所述转发速率包括全局粒度转发速率；所述获取所述spa协议报文的转发速率，包括：

4.根据权利要求1所述的拒绝服务攻击防御方法，其特征在于，所述spa协议报文为多个，所述转发速率包括用户粒度转发速率；所述获取所述spa协议报文的转发速率，包括：

5.根据权利要求4所述的拒绝服务攻击防御方法，其特征在于，所述获取由所述授权用户转发的所述spa报文流的所述用户粒度转发速率，包括：

6.根据权利要求4所述的拒绝服务攻击防御方法，其特征在于，所述spa协议报文携带用户特征字段信息；所述获取由所述授权用户转发的所述spa报文流的所述用户粒度转发速率，包括：

7.根据权利要求6所述的拒绝服务攻击防御方法，其特征在于，还包括维护所述动态维护存储列表的步骤，所述维护所述动态维护存储列表包括：

8.根据权利要求1至7任意一项所述的拒绝服务攻击防御方法，其特征在于，所述从转发至spa服务端的数据报文中确定spa协议报文，包括：

9.一种拒绝服务攻击防御装置，包括：存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，其特征在于，所述处理器执行所述计算机程序时实现如权利要求1至8中任意一项所述的拒绝服务攻击防御方法。

10.一种计算机可读存储介质，存储有计算机可执行指令，所述计算机可执行指令用于执行权利要求1至8中任意一项所述的拒绝服务攻击防御方法。

技术总结
本发明提供了一种拒绝服务攻击防御方法及装置、计算机可读存储介质，其中，拒绝服务攻击防御方法包括：从转发至SPA服务端的数据报文中确定SPA协议报文；获取SPA协议报文的转发速率；当转发速率超过第一预设速率保护门限时，对SPA协议报文进行转发限速处理。本发明实施例中，通过对SPA协议报文进行精准的转发限速处理，以实现对于拒绝服务攻击实施的流量抑制，能够降低SDP安全架构中SPA协议所导致的拒绝服务攻击的剩余风险，提升SPA服务端的可用性。

技术研发人员：董路明,竹勇
受保护的技术使用者：中兴通讯股份有限公司
技术研发日：
技术公布日：2024/1/13