CN110012038A - 一种网络攻击防御方法及*** - Google Patents
一种网络攻击防御方法及*** Download PDFInfo
- Publication number
- CN110012038A CN110012038A CN201910456360.5A CN201910456360A CN110012038A CN 110012038 A CN110012038 A CN 110012038A CN 201910456360 A CN201910456360 A CN 201910456360A CN 110012038 A CN110012038 A CN 110012038A
- Authority
- CN
- China
- Prior art keywords
- proxy server
- attack
- network
- isp
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请公开了一种网络攻击防御方法及***,按照预设划分规则,将多个代理服务器划分到不同的互联网服务提供商ISP网络中;监控所有ISP网络中的代理服务器各自对应的网络数据流量;当监控到一代理服务器对应的网络数据流量满足预设数据流量阈值的情况下,将代理服务器确定为被攻击代理服务器;确定与被攻击代理服务器连接的合法用户;按照被攻击代理服务器所在ISP网络对应的代理服务器迁移策略,将被攻击代理服务器上运行的合法用户迁移至被攻击代理服务器所在的ISP网络中的未被攻击代理服务器上。保证合法用户不会受到DDoS攻击网络攻击,提高网络通信安全性。
Description
技术领域
本发明涉及计算机技术领域,具体涉及一种网络攻击防御方法及***。
背景技术
在当今网络环境下,Web(World Wide Web,全球广域网)网络作为重要的服务运行和服务提供平台,汇集了海量价值信息,如用户信息、企业数据、金融财政、商业机密等,其重要程度不言而喻。因此,Web网络成为黑客的主要攻击对象,而在当前Web网络环境中,DDoS(Distributed Denial of Service,分布式拒绝服务)攻击是一种主要的攻击方式。
DDoS攻击指将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地提高拒绝服务攻击的威力。通常,攻击者将DDoS主控程序安装在一个计算机上,主控程序通过与大量代理程序通讯,控制大量代理程序同时对Web网络中的代理服务器发动攻击。
基于此,如何有效防御网络中的DDoS攻击,提高网络通信安全性,成为目前需要解决的技术问题。
发明内容
有鉴于此,本发明实施例提供一种网络攻击防御方法及***,能够有效防御网络中的DDoS攻击,提高网络通信安全性。
一种网络攻击防御方法,包括:
按照预设划分规则,将多个代理服务器划分到不同的互联网服务提供商ISP网络中,每一代理服务器只能被划分到同一个ISP网络中;
监控所有ISP网络中的代理服务器各自对应的网络数据流量;
当监控到一代理服务器对应的网络数据流量满足预设数据流量阈值的情况下,将所述代理服务器确定为被攻击代理服务器;
确定与所述被攻击代理服务器连接的合法用户;
按照所述被攻击代理服务器所在的ISP网络对应的代理服务器迁移策略,将在所述被攻击代理服务器上运行的合法用户迁移至所述被攻击代理服务器所在的ISP网络中的未被攻击代理服务器上。
优选的,还包括:
按照不同ISP网络各自对应的代理服务器开关策略,将不同ISP网络中的目标代理服务器定时进行关闭;
并将运行在关闭之前的所述目标代理服务器上的合法用户迁移至所述目标代理服务器所在的ISP网络中处于开启状态的代理服务器上,在所述目标代理服务器关闭预设时长之后自动重新开启。
优选的,所述按照不同ISP网络各自对应的代理服务器开关策略,将不同ISP网络中的目标代理服务器定时进行关闭的过程包括:
按照不同ISP网络各自对应的代理服务器开关策略,按照预设的代理服务器关闭周期,将不同ISP网络中的目标代理服务器周期性关闭。
优选的,在监控所有ISP网络中的代理服务器各自对应的网络数据流量之前,还包括:
建立用户与代理服务器之间的关联关系,将用户平均分配给各个代理服务器。
优选的,在当监控到一代理服务器对应的网络数据流量满足预设数据流量阈值的情况下,将所述代理服务器确定为被攻击代理服务器之后,还包括:
依据运行在所述被攻击代理服务器上的用户发出的请求信息,从运行在所述被攻击代理服务器上的用户中确定非法攻击用户。
一种网络攻击防御***,包括:
划分模块,用于按照预设划分规则,将多个代理服务器划分到不同的互联网服务提供商ISP网络中,每一代理服务器只能被划分到同一个ISP网络中;
监控模块,用于监控所有ISP网络中的代理服务器各自对应的网络数据流量;
被攻击代理服务器确定模块,用于当监控到一代理服务器对应的网络数据流量满足预设数据流量阈值的情况下,将所述代理服务器确定为被攻击代理服务器;
合法用户确定模块,用于确定与所述被攻击代理服务器连接的合法用户;
第一迁移模块,用于按照所述被攻击代理服务器所在的ISP网络对应的代理服务器迁移策略,将在所述被攻击代理服务器上运行的合法用户迁移至所述被攻击代理服务器所在的ISP网络中的未被攻击代理服务器上。
优选的,还包括:
关闭模块,用于按照不同ISP网络各自对应的代理服务器开关策略,将不同ISP网络中的目标代理服务器定时进行关闭;
第二迁移模块,用于并将运行在关闭之前的所述目标代理服务器上的合法用户迁移至所述目标代理服务器所在的ISP网络中处于开启状态的代理服务器上;
开启模块,用于在所述目标代理服务器关闭预设时长之后自动重新开启。
优选的,所述关闭模块包括:
关闭子模块,用于按照不同ISP网络各自对应的代理服务器开关策略,按照预设的代理服务器关闭周期,将不同ISP网络中的目标代理服务器周期性关闭。
优选的,还包括:
分配模块,用于建立用户与代理服务器之间的关联关系,将用户平均分配给各个代理服务器。
优选的,还包括:
非法攻击用户确定模块,用于依据运行在所述被攻击代理服务器上的用户发出的请求信息,从运行在所述被攻击代理服务器上的用户中确定非法攻击用户。
基于上述技术方案,本发明实施例公开了一种网络攻击防御方法及***,按照预设划分规则,将多个代理服务器划分到不同的互联网服务提供商ISP网络中,每一代理服务器只能被划分到同一个ISP网络中;监控所有ISP网络中的代理服务器各自对应的网络数据流量;当监控到一代理服务器对应的网络数据流量满足预设数据流量阈值的情况下,将所述代理服务器确定为被攻击代理服务器;确定与所述被攻击代理服务器连接的合法用户;按照所述被攻击代理服务器所在的ISP网络对应的代理服务器迁移策略,将在所述被攻击代理服务器上运行的合法用户迁移至所述被攻击代理服务器所在的ISP网络中的未被攻击代理服务器上。由于本申请可以通过监控数据流量的方式,从ISP网络中确定受到网络攻击的被攻击代理服务器,并将运行在被攻击代理服务器上的合法用户迁移至未被攻击代理服务器上,保证合法用户不会受到DDoS攻击网络攻击,提高网络通信安全性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本发明实施例提供的一种DDoS攻击示意图;
图2为本发明实施例提供的一种SDX的Web网络攻击防御架构示意图;
图3为本发明实施例提供的一种网络攻击防御方法的流程图;
图4为本发明实施例提供的另一种网络攻击防御方法的流程图;
图5为本发明实施例提供的一种网络攻击防御***的结构框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
需要说明的是,结合图1所示的DDoS攻击示意图,DDoS攻击指的是攻击者使用一个偷窃帐号将DDoS主控程序安装在一个计算机上,在一个设定的时间主控程序将与大量代理程序通讯,图中的机器人为代理程序,代理程序已经被安装在网络上的许多计算机上。代理程序收到指令时就向代理服务器发动攻击,图1中的笑脸为合法用户,哭脸为内部人员。可以知道,DDoS攻击主要通过向服务器提交大量请求,来占用代理服务器的过多服务资源,使服务器超负荷,从而使合法用户无法在代理服务器中得到服务响应,达到阻断正常的网络通讯的目的。
本申请为了有效防御网络中的DDoS攻击,提高网络通信安全性,提供了一种网络攻击防御方法。
需要说明的是,本申请中公开的网络攻击防御方法基于如图2所示的SDX(Software Define X,软件定义一切)的Web网络攻击防御架构,从而解决Web网络服务进行通信时,攻击者使用大流量DDoS攻击破坏网络服务的问题,从而提高Web服务的通信安全性和可靠性。
SDX的Web网络攻击防御架构基于SDX,SDX的软件定义的安全性高,符合IETF DDoSOpen Threat Signaling工作组提出的标准。SDX的Web网络攻击防御架构具备以下基本特点:网络配置多样化以及随机性、防御方案具备适配性、能够准确得出防御有效的概率、防御方案易于部署、防御方案具备时效性、网络对象具备延展性、网络对象具备广域负载均衡、实现成本低。
SDX的Web网络攻击防御架构中,ISP(Internet Service Provider,互联网服务提供商)1-ISP5为不同的互联网服务提供商,路由控制器对ISP1-ISP5进行统一控制,Web网络中的多个代理服务器被划分到不同的ISP网络中,每一代理服务器只能被划分到同一个ISP网络中。通过建立链接互访方式,使不同ISP网络中的的网络资源可以进行交换,例如:网络流量、网络信息等网络资源,本申请不做具体限定。
SDX包括SDNet和SDRoute,SDNet为一种网络范式,它将网络设备的控制与数据平面解耦,当数据平面仍然驻留在设备上时,控制平面被外包给一个集中控制器。SDNet将不同的ISP网络分隔开,不同的ISP网络通过SDNet控制器控制。SDNet控制器通过算法,自定义路由规则,将不同ISP网络设备的控制平面与数据平面连接在一起,即将不同的ISP网络通过自定义的路由连接起来,不同的ISP网络对应不同的自定义路由规则。
通过预先定义的协作方式,使得SDX的Web网络攻击防御架构中的各设备互相协调合作。
基于以上SDX的Web网络攻击防御架构,本申请公开了一种网络攻击防御方法,应用于上述SDX的Web网络攻击防御架构,图3示出了一种网络攻击防御方法的流程图,参照图3,所述方法可以包括:
步骤S100、按照预设划分规则,将多个代理服务器划分到不同的互联网服务提供商ISP网络中;
需要说明的是,每一代理服务器只能被划分到同一个ISP网络中。一个ISP网络可以对应至少一个代理服务器。
本申请中可以依据代理服务器的地址信息,将具有不同地址信息的多个代理服务器划分到不同的互联网服务提供商ISP网络中;还可以依据代理服务器的负载信息,将负载不同的多个代理服务器划分到不同的互联网服务提供商ISP网络中。
步骤S110、监控所有ISP网络中的代理服务器各自对应的网络数据流量;
本申请使用API接口、***组件等技术,对ISP网络中的代理服务器各自对应的网络数据流量进行的监控,网络数据流量包括出/入数据流量、出/入数据的速度、总流量等,本申请不做具体限定。本申请监控的网络数据流量超过10Gbp。
需要说明的是,本申请在监控所有ISP网络中的代理服务器各自对应的网络数据流量的过程中,还可以监控到非法网络数据流量,并对非法网络数据流量进行过滤。
步骤S120、当监控到一代理服务器对应的网络数据流量满足预设数据流量阈值的情况下,将所述代理服务器确定为被攻击代理服务器;
当监控到一代理服务器对应的网络数据流量满足预设数据流量阈值的情况下,将所述网络数据流量满足预设数据流量阈值的代理服务器确定为被攻击代理服务器。预设数据流量阈值的大小可以由本领域技术人员依据代理服务器的负载能力进行设定,本申请并不做具体限定。
当某一代理服务器对应的网络数据流量超过预设数据流量阈值的情况下,表明此代理服务器正在受到DDoS攻击,DDoS攻击会制造高流量无用数据,造成网络拥塞,使代理服务器对应的网络数据流量较高;在此情况下,则将网络数据流量超过预设数据流量阈值的代理服务器确定为被攻击代理服务器。
步骤S130、确定与所述被攻击代理服务器连接的合法用户;
本申请可以依据与所述被攻击代理服务器连接的用户的IP地址信息、端口号或者用户发出的请求信息内容等,从中确定出与所述被攻击代理服务器连接的合法用户。
步骤S140、按照所述被攻击代理服务器所在的ISP网络对应的代理服务器迁移策略,将在所述被攻击代理服务器上运行的合法用户迁移至所述被攻击代理服务器所在的ISP网络中的未被攻击代理服务器上。
不同ISP网络具有不同的代理服务器迁移策略,本申请可以按照所述被攻击代理服务器所在的ISP网络对应的代理服务器迁移策略,将所述被攻击代理服务器上运行的合法用户迁移至所述被攻击代理服务器所在的ISP网络中的未被攻击代理服务器上。
本申请中的代理服务器迁移策略具体可以为:依据未被攻击代理服务器的负载情况,将所述被攻击代理服务器上运行的合法用户迁移至所述被攻击代理服务器所在的ISP网络中的满足预设负载条件的未被攻击代理服务器上;
本申请中的代理服务器迁移策略还可以为:依据未被攻击代理服务器的网络地址,将所述被攻击代理服务器上运行的合法用户迁移至所述被攻击代理服务器所在的ISP网络中的距离所述被攻击代理服务器最近的未被攻击代理服务器上。
本申请中还可以采用其他代理服务器迁移策略,本申请并不做具体限定。
为了进一步保证合法用户不会受到DDoS攻击网络攻击,提高网络通信安全性,本申请中在按照预设划分规则,将多个代理服务器划分到不同的互联网服务提供商ISP网络中之后,还包括:
按照不同ISP网络各自对应的代理服务器开关策略,将不同ISP网络中的目标代理服务器定时进行关闭;并将运行在关闭之前的所述目标代理服务器上的合法用户迁移至所述目标代理服务器所在的ISP网络中处于开启状态的代理服务器上,保证合法用户的业务的顺利运行。在所述目标代理服务器关闭预设时长之后自动重新开启。预设时长可以由本领域技术人员设定,本申请不做具体限定。
由于目标代理服务器被关闭之后,DDoS攻击者便无法对关闭后的目标代理服务器执行攻击,而且,通过上述合法用户迁移方式,使得目标代理服务器关闭后,运行在其上的合法用户仍然可以正常运行。本申请通过将不同ISP网络中的目标代理服务器定时进行关闭的方式,从一定程度上保证合法用户不会受到DDoS攻击网络攻击,提高网络通信安全性。
不同ISP网络各自对应不同的代理服务器开关策略,本申请可以按照不同ISP网络各自对应的代理服务器开关策略,将不同ISP网络中的目标代理服务器定时进行关闭,例如对负载重的目标代理服务器定时进行关闭,或者随机对不同编号的目标代理服务器定时进行关闭等,本申请可以依据ISP网络中代理服务器的实际情况进行设定,本申请并不做具体限定。
本申请可以按照不同ISP网络各自对应的代理服务器开关策略,按照预设的代理服务器关闭周期,将不同ISP网络中的目标代理服务器周期性关闭。
本申请还可以按照不同ISP网络各自对应的代理服务器开关策略,将不同ISP网络中的目标代理服务器进行非周期性关闭。
本申请公开的一种网络攻击防御方法,按照预设划分规则,将多个代理服务器划分到不同的互联网服务提供商ISP网络中,每一代理服务器只能被划分到同一个ISP网络中;监控所有ISP网络中的代理服务器各自对应的网络数据流量;当监控到一代理服务器对应的网络数据流量满足预设数据流量阈值的情况下,将所述代理服务器确定为被攻击代理服务器;确定与所述被攻击代理服务器连接的合法用户;按照所述被攻击代理服务器所在的ISP网络对应的代理服务器迁移策略,将在所述被攻击代理服务器上运行的合法用户迁移至所述被攻击代理服务器所在的ISP网络中的未被攻击代理服务器上。由于本申请可以通过监控数据流量的方式,从ISP网络中确定受到网络攻击的被攻击代理服务器,并将运行在被攻击代理服务器上的合法用户迁移至未被攻击代理服务器上,保证合法用户不会受到DDoS攻击网络攻击,提高网络通信安全性。
另外,由于本申请将多个代理服务器划分到不同的ISP网络中,不同的ISP网络对应不同的自定义路由规则,DDoS攻击主控程序若想对不同ISP网络中的代理服务器进行攻击,则需要获取不同ISP网络的路由规则,很明显,增加了DDoS攻击主控程序进行DDoS攻击的难度,提高网络通信安全性。
本申请公开了另一种网络攻击防御方法,应用于上述SDX的Web网络攻击防御架构,图4示出了一种网络攻击防御方法的流程图,参照图4,所述方法可以包括:
步骤S200、按照预设划分规则,将多个代理服务器划分到不同的互联网服务提供商ISP网络中;
每一代理服务器只能被划分到同一个ISP网络中。
步骤S210、建立用户与代理服务器之间的关联关系,将用户平均分配给各个代理服务器;
本申请将用户平均分配给各个代理服务器上,避免DDoS攻击对更多的用户造成损失。
步骤S220、监控所有ISP网络中的代理服务器各自对应的网络数据流量;
步骤S230、当监控到一代理服务器对应的网络数据流量满足预设数据流量阈值的情况下,将所述代理服务器确定为被攻击代理服务器;
步骤S240、确定与所述被攻击代理服务器连接的合法用户;
步骤S250、按照所述被攻击代理服务器所在的ISP网络对应的代理服务器迁移策略,将在所述被攻击代理服务器上运行的合法用户迁移至所述被攻击代理服务器所在的ISP网络中的未被攻击代理服务器上;
步骤S260、依据运行在所述被攻击代理服务器上的用户发出的请求信息,从运行在所述被攻击代理服务器上的用户中确定非法攻击用户。
由于非法攻击用户发出的请求信息格式或内容会与合法用户发出的请求信息的格式或内容不同,因此,本申请可以依据运行在所述被攻击代理服务器上的用户发出的请求信息,从运行在所述被攻击代理服务器上的用户中确定非法攻击用户。
可选的,由于非法攻击用户的源地址也会与合法用户的源地址不同,本申请还可以依据运行在所述被攻击代理服务器上的用户的源地址,从运行在所述被攻击代理服务器上的用户中确定非法攻击用户。
在确定非法攻击用户之后,可以阻止非法攻击用户的访问,提高网络通信安全性。
本申请可以通过监控数据流量的方式,从ISP网络中确定受到网络攻击的被攻击代理服务器,并将运行在被攻击代理服务器上的合法用户迁移至未被攻击代理服务器上,保证合法用户不会受到DDoS攻击网络攻击,提高网络通信安全性。而且,可以依据运行在所述被攻击代理服务器上的用户发出的请求信息,从运行在所述被攻击代理服务器上的用户中确定非法攻击用户,进一步阻止非法攻击用户的访问,提高网络通信安全性。
下面对本发明实施例提供的网络攻击防御***进行介绍,下文描述的网络攻击防御***可与上文网络攻击防御方法相互对应参照。
需要说明的是,本申请中公开的网络攻击防御***基于如图2所示的SDX的Web网络攻击防御架构,从而解决Web网络服务进行通信时,攻击者使用大流量DDoS攻击破坏网络服务的问题,从而提高Web服务的通信安全性和可靠性。
图5为本发明实施例提供的网络攻击防御***的结构框图,参照图5,该网络攻击防御***可以包括:
划分模块100,用于按照预设划分规则,将多个代理服务器划分到不同的互联网服务提供商ISP网络中,每一代理服务器只能被划分到同一个ISP网络中;
监控模块110,用于监控所有ISP网络中的代理服务器各自对应的网络数据流量;
被攻击代理服务器确定模块120,用于当监控到一代理服务器对应的网络数据流量满足预设数据流量阈值的情况下,将所述代理服务器确定为被攻击代理服务器;
合法用户确定模块130,用于确定与所述被攻击代理服务器连接的合法用户;
第一迁移模块140,用于按照所述被攻击代理服务器所在的ISP网络对应的代理服务器迁移策略,将在所述被攻击代理服务器上运行的合法用户迁移至所述被攻击代理服务器所在的ISP网络中的未被攻击代理服务器上。
还包括:
关闭模块,用于按照不同ISP网络各自对应的代理服务器开关策略,将不同ISP网络中的目标代理服务器定时进行关闭;
第二迁移模块,用于并将运行在关闭之前的所述目标代理服务器上的合法用户迁移至所述目标代理服务器所在的ISP网络中处于开启状态的代理服务器上;
开启模块,用于在所述目标代理服务器关闭预设时长之后自动重新开启。
所述关闭模块包括:
关闭子模块,用于按照不同ISP网络各自对应的代理服务器开关策略,按照预设的代理服务器关闭周期,将不同ISP网络中的目标代理服务器周期性关闭。
还包括:
分配模块,用于建立用户与代理服务器之间的关联关系,将用户平均分配给各个代理服务器。
还包括:
非法攻击用户确定模块,用于依据运行在所述被攻击代理服务器上的用户发出的请求信息,从运行在所述被攻击代理服务器上的用户中确定非法攻击用户。
综上所述:
本发明实施例公开了一种网络攻击防御方法及***,按照预设划分规则,将多个代理服务器划分到不同的互联网服务提供商ISP网络中,每一代理服务器只能被划分到同一个ISP网络中;监控所有ISP网络中的代理服务器各自对应的网络数据流量;当监控到一代理服务器对应的网络数据流量满足预设数据流量阈值的情况下,将所述代理服务器确定为被攻击代理服务器;确定与所述被攻击代理服务器连接的合法用户;按照所述被攻击代理服务器所在的ISP网络对应的代理服务器迁移策略,将在所述被攻击代理服务器上运行的合法用户迁移至所述被攻击代理服务器所在的ISP网络中的未被攻击代理服务器上。由于本申请可以通过监控数据流量的方式,从ISP网络中确定受到网络攻击的被攻击代理服务器,并将运行在被攻击代理服务器上的合法用户迁移至未被攻击代理服务器上,保证合法用户不会受到DDoS攻击网络攻击,提高网络通信安全性。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的***而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (10)
1.一种网络攻击防御方法,其特征在于,包括:
按照预设划分规则,将多个代理服务器划分到不同的互联网服务提供商ISP网络中,每一代理服务器只能被划分到同一个ISP网络中;
监控所有ISP网络中的代理服务器各自对应的网络数据流量;
当监控到一代理服务器对应的网络数据流量满足预设数据流量阈值的情况下,将所述代理服务器确定为被攻击代理服务器;
确定与所述被攻击代理服务器连接的合法用户;
按照所述被攻击代理服务器所在的ISP网络对应的代理服务器迁移策略,将在所述被攻击代理服务器上运行的合法用户迁移至所述被攻击代理服务器所在的ISP网络中的未被攻击代理服务器上。
2.根据权利要求1所述的方法,其特征在于,还包括:
按照不同ISP网络各自对应的代理服务器开关策略,将不同ISP网络中的目标代理服务器定时进行关闭;
并将运行在关闭之前的所述目标代理服务器上的合法用户迁移至所述目标代理服务器所在的ISP网络中处于开启状态的代理服务器上,在所述目标代理服务器关闭预设时长之后自动重新开启。
3.根据权利要求2所述的方法,其特征在于,所述按照不同ISP网络各自对应的代理服务器开关策略,将不同ISP网络中的目标代理服务器定时进行关闭的过程包括:
按照不同ISP网络各自对应的代理服务器开关策略,按照预设的代理服务器关闭周期,将不同ISP网络中的目标代理服务器周期性关闭。
4.根据权利要求1所述的方法,其特征在于,在监控所有ISP网络中的代理服务器各自对应的网络数据流量之前,还包括:
建立用户与代理服务器之间的关联关系,将用户平均分配给各个代理服务器。
5.根据权利要求1所述的方法,其特征在于,在当监控到一代理服务器对应的网络数据流量满足预设数据流量阈值的情况下,将所述代理服务器确定为被攻击代理服务器之后,还包括:
依据运行在所述被攻击代理服务器上的用户发出的请求信息,从运行在所述被攻击代理服务器上的用户中确定非法攻击用户。
6.一种网络攻击防御***,其特征在于,包括:
划分模块,用于按照预设划分规则,将多个代理服务器划分到不同的互联网服务提供商ISP网络中,每一代理服务器只能被划分到同一个ISP网络中;
监控模块,用于监控所有ISP网络中的代理服务器各自对应的网络数据流量;
被攻击代理服务器确定模块,用于当监控到一代理服务器对应的网络数据流量满足预设数据流量阈值的情况下,将所述代理服务器确定为被攻击代理服务器;
合法用户确定模块,用于确定与所述被攻击代理服务器连接的合法用户;
第一迁移模块,用于按照所述被攻击代理服务器所在的ISP网络对应的代理服务器迁移策略,将在所述被攻击代理服务器上运行的合法用户迁移至所述被攻击代理服务器所在的ISP网络中的未被攻击代理服务器上。
7.根据权利要求6所述的***,其特征在于,还包括:
关闭模块,用于按照不同ISP网络各自对应的代理服务器开关策略,将不同ISP网络中的目标代理服务器定时进行关闭;
第二迁移模块,用于并将运行在关闭之前的所述目标代理服务器上的合法用户迁移至所述目标代理服务器所在的ISP网络中处于开启状态的代理服务器上;
开启模块,用于在所述目标代理服务器关闭预设时长之后自动重新开启。
8.根据权利要求7所述的***,其特征在于,所述关闭模块包括:
关闭子模块,用于按照不同ISP网络各自对应的代理服务器开关策略,按照预设的代理服务器关闭周期,将不同ISP网络中的目标代理服务器周期性关闭。
9.根据权利要求6所述的***,其特征在于,还包括:
分配模块,用于建立用户与代理服务器之间的关联关系,将用户平均分配给各个代理服务器。
10.根据权利要求6所述的***,其特征在于,还包括:
非法攻击用户确定模块,用于依据运行在所述被攻击代理服务器上的用户发出的请求信息,从运行在所述被攻击代理服务器上的用户中确定非法攻击用户。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910456360.5A CN110012038A (zh) | 2019-05-29 | 2019-05-29 | 一种网络攻击防御方法及*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910456360.5A CN110012038A (zh) | 2019-05-29 | 2019-05-29 | 一种网络攻击防御方法及*** |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110012038A true CN110012038A (zh) | 2019-07-12 |
Family
ID=67177936
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910456360.5A Pending CN110012038A (zh) | 2019-05-29 | 2019-05-29 | 一种网络攻击防御方法及*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110012038A (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111343176A (zh) * | 2020-01-16 | 2020-06-26 | 郑州昂视信息科技有限公司 | 一种网络攻击的反制装置、方法、存储介质及计算机设备 |
| CN111404891A (zh) * | 2020-03-05 | 2020-07-10 | 南水北调中线信息科技有限公司 | 一种应用于水质监控***的数据流量监测方法及装置 |
| CN112165495A (zh) * | 2020-10-13 | 2021-01-01 | 北京计算机技术及应用研究所 | 一种基于超融合架构防DDoS攻击方法、装置及超融合集群 |
| CN113660199A (zh) * | 2021-07-06 | 2021-11-16 | 网宿科技股份有限公司 | 流量攻击的防护方法、装置、设备及可读存储介质 |
| CN113872929A (zh) * | 2021-08-16 | 2021-12-31 | 中国人民解放军战略支援部队信息工程大学 | 基于动态域名的web应用安全防护方法、***及服务器 |
| CN114257434A (zh) * | 2021-12-14 | 2022-03-29 | 北京知道创宇信息技术股份有限公司 | 一种DDoS攻击防御方法、电子设备及存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1921474A (zh) * | 2005-08-25 | 2007-02-28 | 国际商业机器公司 | 用于在计算机***中管理服务器处理的方法和设备 |
| CN107094175A (zh) * | 2017-04-21 | 2017-08-25 | 深圳创维数字技术有限公司 | 一种实现网间互通的服务器部署结构及互通方法 |
| US20170257348A1 (en) * | 2013-03-23 | 2017-09-07 | Fortinet, Inc. | System and method for integrated header, state, rate and content anomaly prevention for session initiation protocol |
| CN107154915A (zh) * | 2016-03-02 | 2017-09-12 | 阿里巴巴集团控股有限公司 | 防御分布式拒绝服务DDoS攻击的方法、装置及*** |
| CN107517195A (zh) * | 2016-06-17 | 2017-12-26 | 阿里巴巴集团控股有限公司 | 一种内容分发网络定位攻击域名的方法和装置 |
| CN109218250A (zh) * | 2017-06-29 | 2019-01-15 | 北京多点在线科技有限公司 | 基于故障自动迁移***的ddos防御方法及*** |
-
2019
- 2019-05-29 CN CN201910456360.5A patent/CN110012038A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1921474A (zh) * | 2005-08-25 | 2007-02-28 | 国际商业机器公司 | 用于在计算机***中管理服务器处理的方法和设备 |
| US20170257348A1 (en) * | 2013-03-23 | 2017-09-07 | Fortinet, Inc. | System and method for integrated header, state, rate and content anomaly prevention for session initiation protocol |
| CN107154915A (zh) * | 2016-03-02 | 2017-09-12 | 阿里巴巴集团控股有限公司 | 防御分布式拒绝服务DDoS攻击的方法、装置及*** |
| CN107517195A (zh) * | 2016-06-17 | 2017-12-26 | 阿里巴巴集团控股有限公司 | 一种内容分发网络定位攻击域名的方法和装置 |
| CN107094175A (zh) * | 2017-04-21 | 2017-08-25 | 深圳创维数字技术有限公司 | 一种实现网间互通的服务器部署结构及互通方法 |
| CN109218250A (zh) * | 2017-06-29 | 2019-01-15 | 北京多点在线科技有限公司 | 基于故障自动迁移***的ddos防御方法及*** |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111343176A (zh) * | 2020-01-16 | 2020-06-26 | 郑州昂视信息科技有限公司 | 一种网络攻击的反制装置、方法、存储介质及计算机设备 |
| CN111404891A (zh) * | 2020-03-05 | 2020-07-10 | 南水北调中线信息科技有限公司 | 一种应用于水质监控***的数据流量监测方法及装置 |
| CN112165495A (zh) * | 2020-10-13 | 2021-01-01 | 北京计算机技术及应用研究所 | 一种基于超融合架构防DDoS攻击方法、装置及超融合集群 |
| CN113660199A (zh) * | 2021-07-06 | 2021-11-16 | 网宿科技股份有限公司 | 流量攻击的防护方法、装置、设备及可读存储介质 |
| CN113660199B (zh) * | 2021-07-06 | 2023-01-17 | 网宿科技股份有限公司 | 流量攻击的防护方法、装置、设备及可读存储介质 |
| CN113872929A (zh) * | 2021-08-16 | 2021-12-31 | 中国人民解放军战略支援部队信息工程大学 | 基于动态域名的web应用安全防护方法、***及服务器 |
| CN113872929B (zh) * | 2021-08-16 | 2023-08-29 | 中国人民解放军战略支援部队信息工程大学 | 基于动态域名的web应用安全防护方法、***及服务器 |
| CN114257434A (zh) * | 2021-12-14 | 2022-03-29 | 北京知道创宇信息技术股份有限公司 | 一种DDoS攻击防御方法、电子设备及存储介质 |
| CN114257434B (zh) * | 2021-12-14 | 2023-10-13 | 北京知道创宇信息技术股份有限公司 | 一种DDoS攻击防御方法、电子设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110012038A (zh) | 一种网络攻击防御方法及*** | |
| Jia et al. | Catch me if you can: A cloud-enabled DDoS defense | |
| Rashidi et al. | A collaborative DDoS defence framework using network function virtualization | |
| Schuchard et al. | Losing control of the internet: using the data plane to attack the control plane | |
| Yu et al. | Mitigating application layer distributed denial of service attacks via effective trust management | |
| CN107426230B (zh) | 服务器调度方法、装置、***、存储介质及设备 | |
| Yau et al. | Reputation methods for routing security for mobile ad hoc networks | |
| Yang et al. | Blockchain-based secure distributed control for software defined optical networking | |
| US20070043738A1 (en) | Methods and systems for reputation based resource allocation for networking | |
| CN103685315A (zh) | 一种防御拒绝服务攻击的方法及*** | |
| CN110191116A (zh) | 恶意节点隔离方法和***、算力验证终端及p2p网络 | |
| CN114157605B (zh) | 一种通讯方法、***、电子设备及计算机可读存储介质 | |
| CN110213171B (zh) | 一种基于联盟链技术的数据流量监测与控制方法 | |
| Kong et al. | Random flow network modeling and simulations for DDoS attack mitigation | |
| Yu et al. | A lightweight mechanism to mitigate application layer DDoS attacks | |
| CN110519248A (zh) | DDoS攻击判定及流量清洗的方法、装置和电子设备 | |
| Agrawal et al. | A proactive defense method for the stealthy EDoS attacks in a cloud environment | |
| Lin et al. | Security function virtualization based moving target defense of SDN-enabled smart grid | |
| KR101703491B1 (ko) | 클라우드 시스템의 보안 서비스 제공방법 및 그 클라우드 시스템 | |
| RU2675900C1 (ru) | Способ защиты узлов виртуальной частной сети связи от ddos-атак за счет управления количеством предоставляемых услуг связи абонентам | |
| Mvah et al. | GaTeBaSep: game theory-based security protocol against ARP spoofing attacks in software-defined networks | |
| Al-Duwairi et al. | A novel scheme for mitigating botnet-based DDoS attacks | |
| Mahajan et al. | Controlling high-bandwidth aggregates in the network (extended version) | |
| CN112165495B (zh) | 一种基于超融合架构防DDoS攻击方法、装置及超融合集群 | |
| CN111953671B (zh) | 一种基于区块链的动态蜜网数据处理方法及*** |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190712 |