CN107547561B - 一种进行ddos攻击防护处理的方法及装置 - Google Patents
一种进行ddos攻击防护处理的方法及装置 Download PDFInfo
- Publication number
- CN107547561B CN107547561B CN201710874985.4A CN201710874985A CN107547561B CN 107547561 B CN107547561 B CN 107547561B CN 201710874985 A CN201710874985 A CN 201710874985A CN 107547561 B CN107547561 B CN 107547561B
- Authority
- CN
- China
- Prior art keywords
- parameter
- threshold
- connection number
- value
- current
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例提供了一种进行DDOS攻击防护处理的方法及装置,属于通信技术领域。所述方法包括:获取目标设备的运行参数的参数值;根据所述运行参数的参数值、预设的第一运行参数阈值和预设的连接数新建速率阈值的调整策略,对所述目标设备当前的连接数新建速率阈值进行调整;根据调整后的连接数新建速率阈值,对所述目标设备进行分布式拒绝服务DDOS攻击防护处理。采用本发明,可以提高设置连接数新建速率阈值的准确度。
Description
技术领域
本发明涉及通信技术领域,特别是涉及一种进行DDOS攻击防护处理的方法及装置。
背景技术
在通信网络中,DDoS(Distributed Denial of Service,分布式拒绝服务)攻击是一种常见的攻击方式。DDoS攻击中,多个计算机联合起来作为攻击平台,持续向目标设备发送连接请求,从而耗尽目标设备的带宽资源或***资源,给目标设备带来很大的危害。
目前,实现防护DDoS攻击的主要手段,是在网络的安全设备(比如防火墙设备)中设置连接数新建速率阈值,以限制与目标设备的新建连接速度。其中,需要限制的连接类型为UDP(User Datagram Protocol,用户数据报协议)、ICMP(Internet Control MessageProtocol,网络控制报文)和TCP(Transmission Control Protocol,传输控制协议)等。具体的防护过程为:在单位时间内,当安全设备接收到目的地址为目标设备的连接请求后,可以确定该单位时间内已接收到的目的地址为目标设备的连接请求的数目,并判断该数目是否大于预设的连接数新建速率阈值,如果是,则对该连接请求做丢弃处理;如果否,则对该连接请求做转发处理。然而,连接数新建速率阈值是技术人员凭经验设置的,设置连接数新建速率阈值的准确度比较低。
发明内容
本发明实施例的目的在于提供一种进行DDOS攻击防护处理的方法及装置,以实现提高设置连接数新建速率阈值的准确度。具体技术方案如下:
第一方面,提供了一种进行DDOS攻击防护处理的方法,所述方法包括:
获取目标设备的运行参数的参数值;
根据所述运行参数的参数值、预设的第一运行参数阈值和预设的连接数新建速率阈值的调整策略,对所述目标设备当前的连接数新建速率阈值进行调整;
根据调整后的连接数新建速率阈值,对所述目标设备进行分布式拒绝服务DDOS攻击防护处理。
第二方面,提供了一种进行DDOS攻击防护处理的装置,所述装置包括:
获取模块,用于获取目标设备的运行参数的参数值;
调整模块,用于根据所述运行参数的参数值、预设的第一运行参数阈值和预设的连接数新建速率阈值的调整策略,对所述目标设备当前的连接数新建速率阈值进行调整;
防护模块,用于根据调整后的连接数新建速率阈值,对所述目标设备进行分布式拒绝服务DDOS攻击防护处理。
第三方面,提供了一种安全设备,包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存放的程序时,实现权利要求1-5任一所述的方法步骤。
本发明实施例中,获取目标设备的运行参数的参数值,根据运行参数的参数值、预设的第一运行参数阈值和预设的连接数新建速率阈值的调整策略,对目标设备当前的连接数新建速率阈值进行调整,根据调整后的连接数新建速率阈值,对目标设备进行分布式拒绝服务DDOS攻击防护处理。基于本方案,可以根据目标设备的负载能力,调整目标设备的连接数新建速率阈值,能够针对不同的目标设备设置不同的连接数新建速率阈值,从而提高了设置连接数新建速率阈值的准确度。
当然,实施本发明的任一产品或方法必不一定需要同时达到以上所述的所有优点。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种***框架图;
图2为本发明实施例提供的一种进行DDOS攻击防护处理的方法流程图;
图3为本发明实施例提供的一种进行DDOS攻击防护处理的方法流程图;
图4为本发明实施例提供的一种进行DDOS攻击防护处理的装置结构示意图;
图5为本发明实施例提供的一种安全设备的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例提供了一种进行DDOS攻击防护处理的方法,该方法可以应用于安全设备,比如防火墙设备。该安全设备可以与多个需要进行安全防护的设备(可称为目标设备)建立连接,目标设备可以为服务器;安全设备还可以与需要访问目标设备的用户设备建立连接。如图1所示,为本实施例提供的***框架图,其中包括安全设备FireWall(防火墙设备)、Server1(服务器1)、Server2(服务器2)、PC(personal computer1,个人计算机1)1、和PC2,其中,PC1和PC2可以为访问Server1和Server2的用户设备,访问的流量经过FireWall安全过滤后,转发给Server,这样,FireWall可以持续对Server1、Server2进行安全防护。
如图2所示,该进行DDOS攻击防护处理的方法可以包括:
步骤201,获取目标设备的运行参数的参数值。
在实施中,安全设备中可以预先存储需要进行安全防护的目标设备的标识,比如目标设备的IP(Internet Protocol,网络协议)地址,该目标设备的标识可以由技术人员进行配置。安全设备在运行过程中,可以周期性的获取目标设备的运行参数的参数值。其中,运行参数可以是用于反映目标设备的运行状态的参数,比如带宽利用率、CPU(CentralProcessing Unit,中央处理器)利用率或内存利用率等。安全设备获取运行参数的参数值的方式可以是多种多样的,本实施例提供了两种可行的方式,具体如下:
方式一、当达到预设周期时,安全设备可以向目标设备发送运行状态获取请求,然后接收目标设备发送的运行参数的参数值。
在实施中,安全设备中可以预先存储运行状态获取请求的发送周期(即预设周期),该预设周期也是连接数新建速率阈值的调整周期。安全设备可以在达到该预设周期时,向目标设备发送运行状态获取请求。目标设备中可以安装指定的插件(可称为健康探测插件),该健康探测插件可以用于获取本设备的运行参数的参数值,比如目标设备的带宽利用率、CPU利用率或内存利用率等。该健康探测插件还可以监听安全设备发送的运行状态获取请求。这样,目标设备接收到运行状态获取请求后,目标设备可以通过该健康探测插件获取本地当前的运行参数的参数值,然后将获取到的运行参数的参数值发送给安全设备,安全设备则可以接收到该目标设备发送的运行参数的参数值。
方式二、安全设备可以接收目标设备周期性上报的运行参数的参数值。
在实施中,目标设备中可以存储运行参数的参数值的发送周期(即预设周期),该预设周期也是连接数新建速率阈值的调整周期。当达到该预设周期时,目标设备可以通过本地安装的健康探测插件,获取当前的运行参数的参数值,然后可以将获取到的运行参数的参数值发送给安全设备,安全设备则可以接收到目标设备发送的运行参数的参数值。
步骤202,根据运行参数的参数值、预设的第一运行参数阈值和预设的连接数新建速率阈值的调整策略,对目标设备当前的连接数新建速率阈值进行调整。
在实施中,安全设备中可以预先存储运行参数对应的阈值(即第一运行参数阈值),第一运行参数阈值可以反映目标设备的带宽资源和/或***资源的使用上限,第一运行参数阈值可以由技术人员进行设置,该第一运行参数阈值可以为百分比。安全设备获取到目标设备的运行参数的参数值后,可以根据该运行参数的参数值、第一运行参数阈值和预设的连接数新建速率阈值的调整策略,对目标设备当前的连接数新建速率阈值进行调整。需要说明的是,安全设备中可以存储连接数新建速率阈值的初始值,该初始值可以由技术人员根据经验设置。目标设备可以在运行过程中,可以根据本发明实施例提供的方法,对该初始值进行不断的调整。相应的,当前的连接数新建速率阈值可以为初始值,也可以是上一次调整后的连接数新建速率阈值。安全设备可以根据当前的连接数新建速率阈值,对目标设备进行DDOS攻击防护处理。
可选的,对连接数新建速率阈值的调整策略可以如下:如果运行参数的参数值大于预设的第一运行参数阈值,则减小目标设备当前的连接数新建速率阈值;如果运行参数的参数值小于预先存储的第一运行参数阈值,则根据目标设备当前的DDOS攻击的防护状态和运行参数的参数值,增大连接数新建速率阈值。
在实施中,安全设备获取到目标设备的运行参数的参数值后,可以将该运行参数的参数值,与预设的第一运行参数阈值进行对比,如果运行参数的参数值大于预设的第一运行参数阈值,则说明目标设备当前的访问压力过大,当前的连接数新建速率阈值设置偏高,安全设备可以根据预设的连接数新建速率阈值的减小策略,减小目标设备当前的连接数新建速率阈值;如果运行参数的参数值小于预先存储的第一运行参数阈值,则说明目标设备当前的访问压力并未过大,当前的连接数新建速率阈值设置未偏高,安全设备可以根据目标设备当前的DDOS攻击的防护状态和运行参数的参数值,进一步判断是否需要增大连接数新建速率阈值,如果是,则可以根据预设的连接数新建速率阈值的增大策略,增大目标设备当前的连接数新建速率阈值,具体的判断过程后续会进行详细说明。
需要说明的是,上述连接数新建速率阈值的减小策略和连接数新建速率阈值的增大策略可以由技术人员进行设置,本实施例不做限定。例如,可以设置连接数新建速率阈值的调整系数,比如10%,当需要增大连接数新建速率阈值时,可以将当前的连接数新建速率阈值增大10%;当需要减小连接数新建速率阈值时,可以将当前的连接数新建速率阈值减小10%。又如,还可以根据运行参数的参数值与第一运行参数阈值的差值的绝对值,确定调整系数,安全设备中可以存储当该差值的绝对值与调整系数的对应关系,该绝对值越大,调整系数越大。这样,当目标设备的访问压力较大时,可以大幅的降低连接数新建速率阈值,从而防止目标设备过载;当目标设备的访问压力较小时,可以大幅的提高连接数新建速率阈值,从而提高目标设备的资源利用率。
可选的,运行参数的数目可以为多个,如果多个运行参数中,存在参数值大于对应的第一运行参数阈值的运行参数,则减小目标设备当前的连接数新建速率阈值;如果多个运行参数的参数值均小于对应的第一运行参数阈值,则根据目标设备当前的DDOS攻击的防护状态和运行参数的参数值,增大目标设备当前的连接数新建速率阈值。
在实施中,运行参数的数目可以为多个,相应的,技术人员可以针对同的运行参数设置不同的阈值(即第一运行参数阈值),也即,第一运行参数阈值也可以为多个。本实施例以运行参数包括带宽利用率、CPU利用率和内存利用率为例进行说明,其他情况与之类似。安全设备中可以分别存储带宽利用率的阈值、CPU利用率的阈值和内存利用率的阈值。这些阈值可以由技术人员进行设置。安全设备可以获取目标设备的带宽利用率、CPU利用率和内存利用率,然后将获取到的带宽利用率、CPU利用率和内存利用率,分别与对应的阈值进行对比,如果目标设备的带宽利用率、CPU利用率和内存利用率中,有任一一项超过对应的阈值,则说明目标设备当前的访问压力过大,当前的连接数新建速率阈值设置偏高,安全设备可以根据预设的连接数新建速率阈值的减小策略,减小目标设备当前的连接数新建速率阈值。如果目标设备的带宽利用率、CPU利用率和内存利用率均小于对应的阈值,则说明目标设备当前的访问压力并未过大,当前的连接数新建速率阈值设置未偏高,安全设备可以根据目标设备当前的DDOS攻击的防护状态和运行参数的参数值,进一步判断是否需要增大连接数新建速率阈值。
另外,针对运行参数的数目可以为多个的情况,判断目标设备是否访问压力过大的方式可以是多种多样的,例如,可以判断多个运行参数,是否存在预设数目个运行参数大于对应的第一运行参数阈值;或者,可以判断多个运行参数的参数值的平均值,是否大于对应的第一运行参数阈值,本实施例不做限定。
可选的,如果运行参数的参数值小于预先存储的第一运行参数阈值,则安全设备可以进一步判断是否需要增大连接数新建速率阈值,相应的处理过程可以如下:如果当前的DDOS攻击的防护状态为开启,且运行参数的参数值小于预设的第二运行参数阈值,则增大连接数新建速率阈值,其中,第二运行参数阈值小于第一运行参数阈值。
其中,第二运行参数阈值小于第一运行参数阈值,例如,第二运行参数阈值可以为第一运行参数阈值的90%。
在实施中,如果安全设备判定运行参数的参数值小于预先存储的第一运行参数阈值,则安全设备可以获取目标设备当前的DDOS攻击的防护状态,该DDOS攻击的防护状态可以为开启或关闭。当DDOS攻击的防护状态为开启时,说明单位时间内接收到的目的地址为目标设备的连接请求的数目,大于当前的连接数新建速率阈值;当DDOS攻击的防护状态为关闭时,说明单位时间内接收到的目的地址为目标设备的连接请求的数目,小于当前的连接数新建速率阈值。如果当前的DDOS攻击的防护状态为开启,则安全设备可以进一步判定运行参数的参数值是否小于预设的第二运行参数阈值,如果是,则说明安全设备已经丢弃了单位时间内超过连接数新建速率阈值的连接请求,但目标设备当前的访问压力并不是很大,也即,当前的连接数新建速率阈值偏低,安全设备可以根据预设的连接数新建速率阈值的增大策略,增大目标设备当前的连接数新建速率阈值。
如果当前的DDOS攻击的防护状态为关闭,或者,如果当前的DDOS攻击的防护状态为开启,但运行参数的参数值大于预设的第二运行参数阈值,则说明当前的连接数新建速率阈值是合适的,安全设备保持当前连接数新建速率阈值不变,无需进行处理。
步骤203,根据调整后的连接数新建速率阈值,对目标设备进行DDOS攻击防护处理。
在实施中,安全设备可以对调整后的连接数新建速率阈值进行存储。当前接收到目的地址为目标设备的连接请求(可称为目标连接请求)后,可以确定当前时间点所属的单位时间内,已接收到目标连接请求的数目,并判断该数目是否大于该连接数新建速率阈值,如果是,则对当前接收到的目标连接请求做丢弃处理;如果否,则根据该目标连接请求中的目的地址,将目标连接请求转发给目标设备。
本发明实施例还提供了一种进行DDOS攻击防护处理的方法的示例,如图3所示,该示例可以包括:
步骤301,当达到预设周期时,向目标设备发送运行状态获取请求。
步骤302,接收目标设备发送的带宽利用率、CPU利用率和内存利用率。
步骤303,判断带宽利用率、CPU利用率和内存利用率中,是否存在任一一项超过对应的第一运行参数阈值。
如果是,则执行步骤304,如果否,则执行步骤305。
步骤304,根据预设的连接数新建速率阈值的减小策略,减小目标设备当前的连接数新建速率阈值。
步骤305,判断当前是否对目标设备开启DDOS攻击的防护。
如果是,则执行步骤306,如果否,则结束。
步骤306,判断带宽利用率、CPU利用率和内存利用率中,是否存在任一一项超过对应的第二运行参数阈值。
如果是,则结束,如果否,执行步骤307。
步骤307,根据预设的连接数新建速率阈值的增大策略,增大目标设备当前的连接数新建速率阈值。
本发明实施例中,获取目标设备的运行参数的参数值,根据运行参数的参数值、预设的第一运行参数阈值和预设的连接数新建速率阈值的调整策略,对目标设备当前的连接数新建速率阈值进行调整,根据调整后的连接数新建速率阈值,对目标设备进行分布式拒绝服务DDOS攻击防护处理。基于本方案,可以根据目标设备的负载能力,调整目标设备的连接数新建速率阈值,能够针对不同的目标设备设置不同的连接数新建速率阈值,从而提高了设置连接数新建速率阈值的准确度。
基于相同的技术构思,本发明实施例还提供了一种进行DDOS攻击防护处理的装置,如图4所示,所述装置包括:
获取模块410,用于获取目标设备的运行参数的参数值;
调整模块420,用于根据所述运行参数的参数值、预设的第一运行参数阈值和预设的连接数新建速率阈值的调整策略,对所述目标设备当前的连接数新建速率阈值进行调整;
防护模块430,用于根据调整后的连接数新建速率阈值,对所述目标设备进行分布式拒绝服务DDOS攻击防护处理。
可选的,所述调整模块420,具体用于:
如果所述运行参数的参数值大于预设的第一运行参数阈值,则减小所述目标设备当前的连接数新建速率阈值;
如果所述运行参数的参数值小于预先存储的第一运行参数阈值,则根据所述目标设备当前的DDOS攻击的防护状态和所述运行参数的参数值,增大所述连接数新建速率阈值。
可选的,所述调整模块420,具体用于:
如果当前的DDOS攻击的防护状态为开启,且所述运行参数的参数值小于预设的第二运行参数阈值,则增大所述连接数新建速率阈值,其中,所述第二运行参数阈值小于所述第一运行参数阈值。
可选的,所述运行参数的数目为多个,所述调整模块420,具体用于:
如果多个运行参数中,存在参数值大于对应的第一运行参数阈值的运行参数,则减小所述目标设备当前的连接数新建速率阈值。
所述调整模块420,具体用于:
如果所述多个运行参数的参数值均小于对应的第一运行参数阈值,则根据所述目标设备当前的DDOS攻击的防护状态和所述运行参数的参数值,增大所述目标设备当前的连接数新建速率阈值。
可选的,所述获取模块410,具体用于:
当达到预设周期时,向目标设备发送运行状态获取请求;
接收所述目标设备发送的运行参数的参数值。
本发明实施例中,获取目标设备的运行参数的参数值,根据运行参数的参数值、预设的第一运行参数阈值和预设的连接数新建速率阈值的调整策略,对目标设备当前的连接数新建速率阈值进行调整,根据调整后的连接数新建速率阈值,对目标设备进行分布式拒绝服务DDOS攻击防护处理。基于本方案,可以根据目标设备的负载能力,调整目标设备的连接数新建速率阈值,能够针对不同的目标设备设置不同的连接数新建速率阈值,从而提高了设置连接数新建速率阈值的准确度。
本发明实施例还提供了一种安全设备,如图5所示,包括处理器501、通信接口502、存储器503和通信总线504,其中,处理器501,通信接口502,存储器503通过通信总线504完成相互间的通信,
存储器503,用于存放计算机程序;
处理器501,用于执行存储器503上所存放的程序时,以使该安全设备执行如下步骤,该步骤包括:
获取目标设备的运行参数的参数值;
根据所述运行参数的参数值、预设的第一运行参数阈值和预设的连接数新建速率阈值的调整策略,对所述目标设备当前的连接数新建速率阈值进行调整;
根据调整后的连接数新建速率阈值,对所述目标设备进行分布式拒绝服务DDOS攻击防护处理。
可选的,所述根据所述运行参数的参数值、预设的第一运行参数阈值和预设的连接数新建速率阈值的调整策略,对所述目标设备当前的连接数新建速率阈值进行调整,包括:
如果所述运行参数的参数值大于预设的第一运行参数阈值,则减小所述目标设备当前的连接数新建速率阈值;
如果所述运行参数的参数值小于预先存储的第一运行参数阈值,则根据所述目标设备当前的DDOS攻击的防护状态和所述运行参数的参数值,增大所述连接数新建速率阈值。
可选的,所述根据所述目标设备当前的DDOS攻击的防护状态和所述运行参数的参数值,增大所述连接数新建速率阈值,包括:
如果当前的DDOS攻击的防护状态为开启,且所述运行参数的参数值小于预设的第二运行参数阈值,则增大所述连接数新建速率阈值,其中,所述第二运行参数阈值小于所述第一运行参数阈值。
可选的,所述运行参数的数目为多个,所述如果所述运行参数的参数值大于预设的第一运行参数阈值,则减小所述目标设备当前的连接数新建速率阈值,包括:
如果多个运行参数中,存在参数值大于对应的第一运行参数阈值的运行参数,则减小所述目标设备当前的连接数新建速率阈值。
所述如果所述运行参数的参数值小于预先存储的第一运行参数阈值,则根据所述目标设备当前的DDOS攻击的防护状态和所述运行参数的参数值,增大所述连接数新建速率阈值,包括:
如果所述多个运行参数的参数值均小于对应的第一运行参数阈值,则根据所述目标设备当前的DDOS攻击的防护状态和所述运行参数的参数值,增大所述目标设备当前的连接数新建速率阈值。
可选的,述获取目标设备的运行参数的参数值,包括:
当达到预设周期时,向目标设备发送运行状态获取请求;
接收所述目标设备发送的运行参数的参数值。
上述电子设备提到的通信总线可以是外设部件互连标准(Peripheral PomponentInterconnect,简称PCI)总线或扩展工业标准结构(Extended Industry StandardArchitecture,简称EISA)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示,图中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
通信接口用于上述电子设备与其他设备之间的通信。
存储器可以包括随机存取存储器(Random Access Memory,简称RAM),也可以包括非易失性存储器(non-volatile memory),例如至少一个磁盘存储器。可选的,存储器还可以是至少一个位于远离前述处理器的存储装置。
上述的处理器可以是通用处理器,包括中央处理器(Central Processing Unit,简称CPU)、网络处理器(Ne twork Processor,简称NP)等;还可以是数字信号处理器(Digital Signal Processing,简称DSP)、专用集成电路(Applica tion SpecificIntegrated Circuit,简称ASIC)、现场可编程门阵列(Field-Programmable Gate Array,简称FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
本发明实施例中,获取目标设备的运行参数的参数值,根据运行参数的参数值、预设的第一运行参数阈值和预设的连接数新建速率阈值的调整策略,对目标设备当前的连接数新建速率阈值进行调整,根据调整后的连接数新建速率阈值,对目标设备进行分布式拒绝服务DDOS攻击防护处理。基于本方案,可以根据目标设备的负载能力,调整目标设备的连接数新建速率阈值,能够针对不同的目标设备设置不同的连接数新建速率阈值,从而提高了设置连接数新建速率阈值的准确度。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于***实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本发明的保护范围内。
Claims (9)
1.一种进行DDOS攻击防护处理的方法,其特征在于,所述方法包括:
获取目标设备的运行参数的参数值;
根据所述运行参数的参数值、预设的第一运行参数阈值和预设的连接数新建速率阈值的调整策略,对所述目标设备当前的连接数新建速率阈值进行调整;
根据调整后的连接数新建速率阈值,对所述目标设备进行分布式拒绝服务DDOS攻击防护处理;
所述根据所述运行参数的参数值、预设的第一运行参数阈值和预设的连接数新建速率阈值的调整策略,对所述目标设备当前的连接数新建速率阈值进行调整,包括:
如果所述运行参数的参数值大于预设的第一运行参数阈值,则减小所述目标设备当前的连接数新建速率阈值;
如果所述运行参数的参数值小于预先存储的第一运行参数阈值,则根据所述目标设备当前的DDOS攻击的防护状态和所述运行参数的参数值,增大所述连接数新建速率阈值。
2.根据权利要求1所述的方法,其特征在于,所述根据所述目标设备当前的DDOS攻击的防护状态和所述运行参数的参数值,增大所述连接数新建速率阈值,包括:
如果当前的DDOS攻击的防护状态为开启,且所述运行参数的参数值小于预设的第二运行参数阈值,则增大所述连接数新建速率阈值,其中,所述第二运行参数阈值小于所述第一运行参数阈值。
3.根据权利要求1所述的方法,其特征在于,所述运行参数的数目为多个,所述如果所述运行参数的参数值大于预设的第一运行参数阈值,则减小所述目标设备当前的连接数新建速率阈值,包括:
如果多个运行参数中,存在参数值大于对应的第一运行参数阈值的运行参数,则减小所述目标设备当前的连接数新建速率阈值;
所述如果所述运行参数的参数值小于预先存储的第一运行参数阈值,则根据所述目标设备当前的DDOS攻击的防护状态和所述运行参数的参数值,增大所述连接数新建速率阈值,包括:
如果所述多个运行参数的参数值均小于对应的第一运行参数阈值,则根据所述目标设备当前的DDOS攻击的防护状态和所述运行参数的参数值,增大所述目标设备当前的连接数新建速率阈值。
4.根据权利要求1所述的方法,其特征在于,所述获取目标设备的运行参数的参数值,包括:
当达到预设周期时,向目标设备发送运行状态获取请求;
接收所述目标设备发送的运行参数的参数值。
5.一种进行DDOS攻击防护处理的装置,其特征在于,所述装置包括:
获取模块,用于获取目标设备的运行参数的参数值;
调整模块,用于根据所述运行参数的参数值、预设的第一运行参数阈值和预设的连接数新建速率阈值的调整策略,对所述目标设备当前的连接数新建速率阈值进行调整;
防护模块,用于根据调整后的连接数新建速率阈值,对所述目标设备进行分布式拒绝服务DDOS攻击防护处理;
所述调整模块,具体用于:
如果所述运行参数的参数值大于预设的第一运行参数阈值,则减小所述目标设备当前的连接数新建速率阈值;
如果所述运行参数的参数值小于预先存储的第一运行参数阈值,则根据所述目标设备当前的DDOS攻击的防护状态和所述运行参数的参数值,增大所述连接数新建速率阈值。
6.根据权利要求5所述的装置,其特征在于,所述调整模块,具体用于:
如果当前的DDOS攻击的防护状态为开启,且所述运行参数的参数值小于预设的第二运行参数阈值,则增大所述连接数新建速率阈值,其中,所述第二运行参数阈值小于所述第一运行参数阈值。
7.根据权利要求5所述的装置,其特征在于,所述运行参数的数目为多个,所述调整模块,具体用于:
如果多个运行参数中,存在参数值大于对应的第一运行参数阈值的运行参数,则减小所述目标设备当前的连接数新建速率阈值;
所述调整模块,具体用于:
如果所述多个运行参数的参数值均小于对应的第一运行参数阈值,则根据所述目标设备当前的DDOS攻击的防护状态和所述运行参数的参数值,增大所述目标设备当前的连接数新建速率阈值。
8.根据权利要求5所述的装置,其特征在于,所述获取模块,具体用于:
当达到预设周期时,向目标设备发送运行状态获取请求;
接收所述目标设备发送的运行参数的参数值。
9.一种安全设备,其特征在于,包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存放的程序时,实现权利要求1-4任一所述的方法步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710874985.4A CN107547561B (zh) | 2017-09-25 | 2017-09-25 | 一种进行ddos攻击防护处理的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710874985.4A CN107547561B (zh) | 2017-09-25 | 2017-09-25 | 一种进行ddos攻击防护处理的方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107547561A CN107547561A (zh) | 2018-01-05 |
| CN107547561B true CN107547561B (zh) | 2020-10-30 |
Family
ID=60963350
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710874985.4A Active CN107547561B (zh) | 2017-09-25 | 2017-09-25 | 一种进行ddos攻击防护处理的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107547561B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108282492B (zh) * | 2018-02-28 | 2021-02-23 | 新华三信息安全技术有限公司 | 一种阈值确定方法、装置、设备及存储介质 |
| CN109150890A (zh) * | 2018-09-05 | 2019-01-04 | 杭州迪普科技股份有限公司 | 新建连接攻击的防护方法及相关设备 |
| CN110519248B (zh) * | 2019-08-19 | 2020-11-24 | 光通天下网络科技股份有限公司 | DDoS攻击判定及流量清洗的方法、装置和电子设备 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101060531A (zh) * | 2007-05-17 | 2007-10-24 | 华为技术有限公司 | 网络设备攻击防范的方法和装置 |
| CN104125213A (zh) * | 2014-06-18 | 2014-10-29 | 汉柏科技有限公司 | 一种防火墙抗分布式拒绝服务ddos攻击的方法和装置 |
| WO2017131975A1 (en) * | 2016-01-25 | 2017-08-03 | Acalvio Technologies, Inc. | Detecting security threats by combining deception mechanisms and data science |
| CN107196820A (zh) * | 2017-05-24 | 2017-09-22 | 上海海斯科网络科技有限公司 | 一种交换机性能测试方法、装置及*** |
-
2017
- 2017-09-25 CN CN201710874985.4A patent/CN107547561B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101060531A (zh) * | 2007-05-17 | 2007-10-24 | 华为技术有限公司 | 网络设备攻击防范的方法和装置 |
| CN104125213A (zh) * | 2014-06-18 | 2014-10-29 | 汉柏科技有限公司 | 一种防火墙抗分布式拒绝服务ddos攻击的方法和装置 |
| WO2017131975A1 (en) * | 2016-01-25 | 2017-08-03 | Acalvio Technologies, Inc. | Detecting security threats by combining deception mechanisms and data science |
| CN107196820A (zh) * | 2017-05-24 | 2017-09-22 | 上海海斯科网络科技有限公司 | 一种交换机性能测试方法、装置及*** |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107547561A (zh) | 2018-01-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9288218B2 (en) | Securing an accessible computer system | |
| US10771501B2 (en) | DDoS attack defense method, system, and related device | |
| CN108173812B (zh) | 防止网络攻击的方法、装置、存储介质和设备 | |
| US10728281B2 (en) | Connection control apparatus, connection control method, and connection control program | |
| CN108768942B (zh) | 一种基于自适应阈值的DDoS攻击检测方法和检测装置 | |
| JP2004507978A (ja) | ネットワークノードに対するサービス拒絶アタックに対抗するシステム及び方法 | |
| CN107547561B (zh) | 一种进行ddos攻击防护处理的方法及装置 | |
| US9800593B2 (en) | Controller for software defined networking and method of detecting attacker | |
| US20210185083A1 (en) | Packet fingerprinting for enhanced distributed denial of service protection | |
| US20220329609A1 (en) | Network Security Protection Method and Protection Device | |
| CN107454065B (zh) | 一种UDP Flood攻击的防护方法及装置 | |
| CN112039887A (zh) | Cc攻击防御方法、装置、计算机设备和存储介质 | |
| EP2109282B1 (en) | Method and system for mitigation of distributed denial of service attacks based on IP neighbourhood density estimation | |
| US20090164659A1 (en) | Communication system allowing reduction in congestion by restricting communication | |
| CN105848149B (zh) | 一种无线局域网的安全认证方法 | |
| EP3139568B1 (en) | Access control device and authentication control method | |
| CN109889470B (zh) | 一种基于路由器防御DDoS攻击的方法和*** | |
| CN108471427B (zh) | 一种防御攻击的方法及装置 | |
| CN110661722A (zh) | 一种流量控制的方法及装置 | |
| CN113872949B (zh) | 一种地址解析协议的应答方法及相关装置 | |
| KR20130009130A (ko) | 좀비 피씨 및 디도스 대응 장치 및 방법 | |
| CN115633359A (zh) | Pfcp会话安全检测方法、装置、电子设备和存储介质 | |
| CN112532617B (zh) | 一种针对HTTP Flood攻击的检测方法、装置、设备及介质 | |
| CN110417615B (zh) | 校验开关控制方法、装置、设备及计算机可读存储介质 | |
| CN108282492B (zh) | 一种阈值确定方法、装置、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |