CN115913784A - 一种网络攻击防御***、方法、装置及电子设备 - Google Patents
一种网络攻击防御***、方法、装置及电子设备 Download PDFInfo
- Publication number
- CN115913784A CN115913784A CN202310013014.6A CN202310013014A CN115913784A CN 115913784 A CN115913784 A CN 115913784A CN 202310013014 A CN202310013014 A CN 202310013014A CN 115913784 A CN115913784 A CN 115913784A
- Authority
- CN
- China
- Prior art keywords
- access request
- data
- flow
- traffic
- target
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请实施例提供一种网络攻击防御***、方法、装置及电子设备,上述***中,由流量清洗设备对访问请求的流量数据进行流量清洗,去除攻击流量,获得访问请求的第一清洗流量数据。然后,负载均衡器获取访问请求的VIP地址,获取在该VIP地址维度的多个访问请求的连接标识字段,获取在该VIP地址维度中包含目标连接标识字段的访问请求的数量。根据包含目标连接标识字段的访问请求的数量,对访问请求的第一清洗流量数据进行限流处理,获取访问请求的第二流量数据。最后,服务器根据访问请求的目标指标数据,获取针对目标指标数据的统计数据,根据针对目标指标数据的统计数据与预设统计数据阈值的关系,获取访问请求的第二流量数据中的正常流量数据。
Description
技术领域
本申请涉及网络安全技术领域,具体涉及一种网络攻击防御***,本申请同时涉及一种网络攻击防御方法、装置、电子设备及计算机存储介质,另一种网络攻击防御方法、装置、电子设备及计算机存储介质。
背景技术
QUIC(Quick UDP Internet Connection)为一种基于低延时的互联网传输协议层。采用QUIC协议可以保证在无线局域网和移动网络切换时,负载均衡器能够根据相同的QUIC连接ID将该连接转发到同一个后台服务器中,避免网络切换影响连接中断或者服务中断。然而,QUIC协议在提升网络传输速度的同时,也使得后台服务器面临严重的DDoS攻击风险。
分布式拒绝服务(DDoS,Distributed Denial of Service)攻击是指借助于客户端/服务器技术,将多个计算机联合起来作为攻击平台,对一个或者多个目标发动DDoS攻击,从而成倍地提高拒绝服务攻击的威力。
目前,针对DDoS攻击的主要解决方法是采用流量清洗设备对攻击流量进行清洗,将正常流量发送给用户。然而,通过流量清洗设备清洗攻击流量的方式,对攻击流量的清洗精度偏低,导致仍然存在攻击流量攻击服务器使得服务器资源耗尽而拒绝服务的现象。
因此,如何提升网络攻击防御效率是需要解决的问题。
发明内容
本申请实施例提供一种网络攻击防御***,以提升网络攻击防御效率。本申请实施例还提供一种网络攻击防御方法、装置、电子设备及计算机存储介质,本申请实施例还提供另一种网络攻击防御方法、装置、电子设备及计算机存储介质。
本申请实施例提供一种网络攻击防御***,包括:流量清洗设备,负载均衡器,服务器;所述流量清洗设备用于对客户端发送的访问请求的流量数据进行流量清洗,获得所述访问请求的第一清洗流量数据;以及将所述访问请求的第一清洗流量数据发送给所述负载均衡器;所述负载均衡器用于获取单个VIP地址维度中包含目标连接标识字段的访问请求,对所述访问请求的第一清洗流量数据进行限流处理,获得所述访问请求的第二流量数据;以及将所述访问请求的第二流量数据发送给所述服务器;所述服务器用于获取所述访问请求的目标指标数据,所述目标指标数据包括所述访问请求的连接标识字段和来源IP地址,根据针对所述目标指标数据的统计数据,确定所述访问请求的第二流量数据中的攻击流量。
可选的,还包括:流量决策模型;所述流量清洗设备具体用于将所述访问请求对应的流量数据输入流量决策模型,获得所述流量决策模型输出的针对所述访问请求的流量数据的流量清洗策略;按照所述流量清洗策略对所述访问请求对应的流量数据进行流量清洗,获得所述访问请求的第一清洗流量数据;所述流量决策模型用于根据访问请求对应的流量数据获取针对所述访问请求的流量数据的流量清洗策略。
可选的,所述流量清洗设备具体用于按照所述流量清洗策略对所述访问请求对应的流量数据进行流量清洗,获得访问请求的第一清洗流量数据,包括:获取所述访问请求在第一预设时长内的访问次数,如果所述访问次数不大于预设访问次数阈值,则确定所述访问请求的流量数据为正常流量,将属于正常流量的流量数据作为所述访问请求的第一清洗流量数据。
可选的,所述流量清洗设备还具体用于如果所述访问次数大于所述预设访问次数阈值,则确定所述访问请求的流量数据为攻击流量数据,去除所述访问请求的流量数据。
可选的,所述流量清洗设备还具体用于获取所述访问请求的连接标识字段,以及所述访问请求在客户端中的源目的IP地址;所述获取所述访问请求在第一预设时长内的访问次数,包括:获取包含相同源目的IP地址以及相同连接标识字段的访问请求在第一预设时长内的访问次数。
可选的,所述负载均衡器具体用于将所述访问请求的源目的IP地址作为所述访问请求在所述负载均衡器的目标VIP地址;所述负载均衡器用于获取单个VIP地址维度中包含目标连接标识字段的访问请求,包括:在所述访问请求的第一清洗流量数据中,获取属于目标VIP地址以及目标连接标识字段的访问请求对应的目标流量数据。
可选的,所述负载均衡器用于对所述访问请求的第一清洗流量数据进行限流处理,获得所述访问请求的第二流量数据,包括:如果所述属于目标VIP地址以及目标连接标识字段的访问请求对应的目标流量数据大于针对所述目标连接标识字段的预设流量数据阈值,则在所述访问请求的第一清洗流量数据中、对所述目标流量数据进行限流处理,获得所述访问请求的第二流量数据。
可选的,所述负载均衡器还用于将属于所述目标VIP地址的访问请求转发给所述目标VIP地址对应的目标服务器,获取所述目标服务器已接收的访问请求的流量数据;所述对所述访问请求的第一清洗流量数据进行限流处理,获得所述访问请求的第二流量数据,包括:如果所述目标服务器已接收的访问请求的流量数据大于所述目标服务器可接收的访问请求的第一流量数据阈值,则在所述访问请求的第一清洗流量数据中、对所述目标流量数据进行限流处理,获得所述访问请求的第二流量数据。
可选的,还包括:攻击流量数据库;所述服务器还用于如果所述针对所述目标指标数据的统计数据大于或者等于所述预设统计数据阈值,则确定所述访问请求的第二流量数据为攻击流量数据,将所述攻击流量数据存储至攻击流量数据库;所述攻击流量数据库用于存储所述访问请求的攻击流量数据。
可选的,所述服务器还用于如果所述针对所述目标指标数据的统计数据大于或者等于预设阻断数据阈值,所述预设阻断数据阈值大于所述预设统计数据阈值,则阻断所述访问请求的第二流量数据。
可选的,所述服务器还用于获取针对所述目标指标数据的统计数据,包括:获取所述访问请求的连接标识字段以及所述访问请求的来源IP地址,根据所述访问请求的连接标识字段以及所述访问请求的来源IP地址,获取针对所述目标指标数据的统计数据。
可选的,所述流量决策模型按照如下方式进行训练获得:获得攻击流量数据库中存储的所述访问请求包含的攻击流量数据,所述攻击流量数据库用于存储所述访问请求的攻击流量数据;根据所述访问请求包含的攻击流量数据,获取所述访问请求的攻击流量的特征数据;根据所述访问请求的攻击流量的特征数据,获取用于对下一次访问请求的流量数据进行清洗的流量清洗策略。
本申请实施例还提供一种网络攻击防御方法,应用于网络攻击防御***的服务器,所述方法包括:获取访问请求的目标指标数据,所述目标指标数据包括所述访问请求的连接标识字段和来源IP地址;获取针对所述目标指标数据的统计数据;根据针对所述目标指标数据的统计数据,确定所述访问请求的第二流量数据中的攻击流量;其中,所述访问请求的第二流量数据是通过如下方式获取的:所述网络攻击防御***的流量清洗设备对客户端发送的访问请求的流量数据进行流量清洗,获得所述访问请求的第一清洗流量数据;所述网络攻击防御***的负载均衡器获取单个VIP地址维度中包含目标连接标识字段的访问请求,对所述访问请求的第一清洗流量数据进行限流处理,获得所述访问请求的第二流量数据;将所述访问请求的第二流量数据发送给所述服务器。
可选的,所述根据针对所述目标指标数据的统计数据,确定所述访问请求的第二流量数据中的攻击流量,包括:判断所述针对所述目标指标数据的统计数据是否小于预设统计数据阈值,如果是,则将所述访问请求的第二流量数据作为正常流量数据,否则,将所述访问请求的第二流量数据作为攻击流量数据。
可选的,还包括:如果所述针对所述目标指标数据的统计数据大于或者等于所述预设统计数据阈值,则确定所述访问请求的第二流量数据为攻击流量数据,将所述攻击流量数据存储至攻击流量数据库;其中,所述攻击流量数据库用于存储所述访问请求的攻击流量数据。
可选的,还包括:如果所述针对所述目标指标数据的统计数据大于或者等于预设阻断数据阈值,所述预设阻断数据阈值大于所述预设统计数据阈值,则阻断所述访问请求的第二流量数据。
可选的,所述获取针对所述目标指标数据的统计数据,包括:获取所述访问请求的连接标识字段以及所述访问请求的来源IP地址;根据所述访问请求的连接标识字段以及所述访问请求的来源IP地址,获取针对所述目标指标数据的统计数据。
可选的,所述根据所述访问请求的连接标识字段以及所述访问请求的来源IP地址,获取针对所述目标指标数据的统计数据,包括:获取包含目标连接标识字段与目标来源IP地址的访问请求,将所述包含目标连接标识字段与目标来源IP地址的访问请求的统计数据作为针对所述目标指标数据的统计数据。
本申请实施例还提供一种网络攻击防御方法,应用于网络攻击防御***的负载均衡器,所述方法包括:获取单个VIP地址维度中包含目标连接标识字段的访问请求;对所述访问请求的第一清洗流量数据进行限流处理,获得所述访问请求的第二流量数据;将所述访问请求的第二流量数据发送给所述服务器;其中,其中,所述访问请求的第一清洗流量数据通过如下方式获取:所述网络攻击防御***的流量清洗设备对客户端发送的访问请求的流量数据进行流量清洗,获得所述访问请求的第一清洗流量数据;以及获得所述流量清洗设备转发的所述访问请求的第一清洗流量数据;所述服务器对所述访问请求的第二流量数据进行如下处理:获取所述访问请求的目标指标数据,所述目标指标数据包括所述访问请求的连接标识字段和来源IP地址,根据针对所述目标指标数据的统计数据,确定所述访问请求的第二流量数据中的攻击流量。
可选的,还包括:将所述访问请求的源目的IP地址作为所述访问请求在所述负载均衡器的目标VIP地址;所述获取单个VIP地址维度中包含目标连接标识字段的访问请求,包括:在所述访问请求的第一清洗流量数据中,获取属于目标VIP地址以及目标连接标识字段的访问请求对应的目标流量数据。
可选的,所述对所述访问请求的第一清洗流量数据进行限流处理,获得所述访问请求的第二流量数据,包括:如果所述属于目标VIP地址以及目标连接标识字段的访问请求对应的目标流量数据大于针对所述目标连接标识字段的预设流量数据阈值,则在所述访问请求的第一清洗流量数据中、对所述目标流量数据进行限流处理,获得所述访问请求的第二流量数据。
可选的,还包括:将属于所述目标VIP地址的访问请求转发给所述目标VIP地址对应的目标服务器,获取所述目标服务器已接收的访问请求的流量数据;所述对所述访问请求的第一清洗流量数据进行限流处理,获得所述访问请求的第二流量数据,包括:如果所述目标服务器已接收的访问请求的流量数据大于所述目标服务器可接收的访问请求的第一流量数据阈值,则在所述访问请求的第一清洗流量数据中、对所述目标流量数据进行限流处理,获得所述访问请求的第二流量数据。
可选的,所述针对所述目标连接标识字段的预设流量数据阈值根据单个服务器可以承载的访问请求的带宽资源确定。
本申请实施例还提供一种电子设备,所述电子设备包括处理器和存储器;所述存储器中存储有计算机程序,所述处理器运行所述计算机程序后,执行上述方法。
本申请实施例还提供一种计算机存储介质,所述计算机存储介质存储有计算机程序,所述计算机程序被所述处理器运行后,执行上述方法。
与现有技术相比,本申请实施例具有如下优点:
本申请实施例提供一种网络攻击防御***,包括:流量清洗设备,负载均衡器,服务器;所述流量清洗设备用于对客户端发送的访问请求的流量数据进行流量清洗,获得所述访问请求的第一清洗流量数据;以及将所述访问请求的第一清洗流量数据发送给所述负载均衡器;所述负载均衡器用于获取单个VIP地址维度中包含目标连接标识字段的访问请求,对所述访问请求的第一清洗流量数据进行限流处理,获得所述访问请求的第二流量数据;以及将所述访问请求的第二流量数据发送给所述服务器;所述服务器用于获取所述访问请求的目标指标数据,所述目标指标数据包括所述访问请求的连接标识字段和来源IP地址,根据针对所述目标指标数据的统计数据,确定所述访问请求的第二流量数据中的攻击流量。
上述***中,由流量清洗设备对访问请求的流量数据进行流量清洗,去除访问请求的流量数据中的攻击流量,获得访问请求的第一清洗流量数据。然后,负载均衡器获取访问请求的VIP地址,以VIP地址维度为基础,获取在该VIP地址维度的多个访问请求的连接标识字段,获取在该VIP地址维度中包含目标连接标识字段的访问请求的数量。根据包含目标连接标识字段的访问请求的数量,对访问请求的第一清洗流量数据进行筛选,去除访问请求的第一请求流量数据中的攻击流量,获得访问请求的第二流量数据。最后,服务器根据访问请求的目标指标数据,获取针对目标指标数据的统计数据,根据针对目标指标数据的统计数据与预设统计数据阈值的关系,获取访问请求的第二流量数据中的正常流量数据。上述***,通过流量清洗设备,负载均衡器以及服务器对攻击流量进行多层次的清洗及筛选,提升了去除攻击流量的效率,避免服务器遭受攻击流量的攻击而耗尽资源,无法为正常流量提供服务资源。
附图说明
图1为本申请实施例提供的网络攻击防御***的应用场景示意图。
图2为本申请第一实施例提供的一种网络攻击防御***的逻辑框架图。
图3为本申请第二实施例提供的一种网络攻击防御方法的流程图。
图4为本申请第三实施例提供的一种网络攻击防御装置的示意图。
图5为本申请第四实施例提供的另一种网络攻击防御方法的流程图。
图6为本申请第五实施例提供的另一种网络攻击防御装置的示意图。
图7为本申请第六实施例中提供的一种电子设备的示意图。
具体实施方式
在下面的描述中阐述了很多具体细节以便于充分理解本申请。但是本申请能够以很多不同于在此描述的其它方式来实施,本领域技术人员可以在不违背本申请内涵的情况下做类似推广,因此本申请不受下面公开的具体实施的限制。
本申请中使用的术语是仅仅出于对特定实施例描述的目的,而非旨在限制本申请。在本申请中和所附权利要求书中所使用的描述方式例如:“一种”、“第一”、和“第二”等,并非对数量上的限定或先后顺序上的限定,而是用来将同一类型的信息彼此区分。
为了便于理解本申请实施例提供的***及方法,在介绍本申请实施例之前,先对本申请实施例的背景进行介绍。
QUIC(Quick UDP Internet Connection)为一种基于低延时的互联网传输协议层。采用QUIC协议可以保证在无线局域网和移动网络切换时,负载均衡器能够根据相同的QUIC连接ID将该连接转发到同一个后台服务器中,避免网络切换影响连接中断或者服务中断。然而,QUIC协议在提升网络传输速度的同时,也使得后台服务器面临严重的DDoS攻击风险。
分布式拒绝服务(DDoS,Distributed Denial of Service)攻击是指借助于客户端/服务器技术,将多个计算机联合起来作为攻击平台,对一个或者多个目标发动DDoS攻击,从而成倍地提高拒绝服务攻击的威力。
目前,针对DDoS攻击的主要解决方法是采用流量清洗设备对攻击流量进行清洗,将正常流量发送给用户。然而,通过流量清洗设备清洗攻击流量的方式,对攻击流量的清洗精度偏低,导致仍然存在攻击流量攻击服务器使得服务器资源耗尽而拒绝服务的现象。
因此,如何提升网络攻击防御效率是需要解决的问题。
为了解决上述问题,本申请提供的网络攻击防御***,包括:流量清洗设备,负载均衡器,服务器;所述流量清洗设备用于获得客户端发送的访问请求,获取所述访问请求对应的流量数据;对所述访问请求的流量数据进行流量清洗,获得所述访问请求的第一清洗流量数据;将所述访问请求的第一清洗流量数据发送给所述负载均衡器;所述负载均衡器用于获取所述访问请求的VIP地址,获取单个VIP地址维度中包含目标连接标识字段的访问请求,根据所述包含目标连接标识字段的访问请求,对所述访问请求的第一清洗流量数据进行限流处理,获得所述访问请求的第二流量数据;将所述访问请求的第二流量数据发送给所述服务器;所述服务器用于获取所述访问请求的目标指标数据,所述目标指标数据包括所述访问请求的连接标识字段和来源IP地址,获取针对所述目标指标数据的统计数据;判断所述针对所述目标指标数据的统计数据是否小于预设统计数据阈值,如果是,则将所述访问请求的第二流量数据作为正常流量数据,否则,将所述访问请求的第二流量数据作为攻击流量数据。
上述***中,由流量清洗设备对访问请求的流量数据进行流量清洗,去除访问请求的流量数据中的攻击流量,获得访问请求的第一清洗流量数据。然后,负载均衡器获取访问请求的VIP地址,以VIP地址维度为基础,获取在该VIP地址维度的多个访问请求的连接标识字段,获取在该VIP地址维度中包含目标连接标识字段的访问请求的数量。根据包含目标连接标识字段的访问请求的数量,对访问请求的第一清洗流量数据进行筛选,去除访问请求的第一请求流量数据中的攻击流量,获得访问请求的第二流量数据。最后,服务器根据访问请求的目标指标数据,获取针对目标指标数据的统计数据,根据针对目标指标数据的统计数据与预设统计数据阈值的关系,获取访问请求的第二流量数据中的正常流量数据。上述***,通过流量清洗设备,负载均衡器以及服务器对攻击流量进行多层次的清洗及筛选,提升了去除攻击流量的效率,避免服务器遭受攻击流量的攻击而耗尽资源,无法为正常流量提供服务资源。
经过上述内容的背景介绍,本领域技术人员可以了解现有技术存在的问题,接下来对本申请的网络攻击防御***的应用场景进行详细说明。本申请提供的网络攻击防御***可以应用于采用quic传输协议过程中,识别quic访问请求中的攻击流量的应用场景。
具体是,客户端向服务端发送访问请求,此处访问请求包含quic传输协议发送的quic报文。其中,QUIC(Quick UDP Internet Connection)为一种基于低延时的互联网传输协议层。信息发送方发送quic报文和信息接收方发送quic报文之间无需同步在线,可以通过异步的方式发送和接收quic报文。当在quic协议层面出现无线局域网和移动网络之间相互切换的过程中,信息发送方和信息接收方根据quic报文中的quic cid(quic connectionID,quic连接标识信息)的一致性,将两种网络切换下的连接转发到同一个服务器中。因此,采用quic传输协议可以实现将客户端发送的quic请求,在无线局域网与移动网络之间切换时,其连接信息不中断,提升网络传输速度,增加网络传输的信息类型。
然而,上述quic传输协议提升网络传输速率的过程中,攻击流量可以获取quic报文中的quic连接标识信息,通过提取正常quic报文中的quic连接标识信息,伪造quic报文,通过肉鸡发送大量的quic报文。由此导致服务器接收到大量攻击报文的攻击,耗尽资源而拒绝服务,影响正常的访问请求中的正常流量服务。肉鸡是指发动DDOS等相关网络攻击的设备,例如电脑、服务器、手机、智能家具、穿戴设备都接入了互联网,都可能成为潜在的DDOS攻击者,而DDOS是指分布式拒绝服务,它通过不断的高并发http请求造成服务器堵塞甚至瘫痪,从而达到攻击效果。
其中,攻击者针对后端服务器的DDOS攻击主要有如下几种类型:1)带宽消耗型攻击 2)连接消耗型攻击 3)计算消耗型攻击 4)内存消耗型攻击。
为了分别清楚上述几种类型的DDOS攻击,本申请实施例提供的网络攻击防御***通过三方面对攻击流量进行清洗,限流,筛选及阻断,避免攻击流量占用服务器资源,影响服务器处理正常流量的服务。
以下,首先对本申请实施例的网络攻击防御***的应用场景进行示例说明。
图1为本申请实施例提供的网络攻击防御***的应用场景示意图。
如图1所示,本应用场景中,网络攻击防御***包括应用于流量清洗设备101,负载均衡器102,服务器103,攻击流量数据库104,流量决策模型105。
以图1为例进行详细说明,客户端发送访问请求,服务端根据访问请求,对所述访问请求中的连接标识进行统计,根据相同连接标识的统计数据,结合清洗流量设备,负载均衡器对访问请求中的攻击流量进行攻击防御处理。具体如下:
首先将该访问请求发送至流量清洗设备101进行第一层流量清洗,获得访问请求的第一清洗流量数据。然后,将访问请求的第一清洗流量数据发送至负载均衡器102,负载均衡器102对访问请求的流量数据进行第二层清洗处理,将访问请求中的目的IP地址转换为负载均衡器提供的VIP地址,负载均衡器102将访问请求转发给服务器103,此处是指将负载均衡器102将访问请求转发给针对访问请求进行实际响应处理的后端服务器,其中,负载均衡器与后端服务器之间通过无线网关服务器进行信息传输。服务器103对访问请求的流量数据进行第三层清洗处理。
在上述过程中,流量清洗设备101,负载均衡器102,服务器103之间分别对访问请求的流量数据进行如下清洗及限流处理:
流量清洗设备101对访问请求中的流量数据进行第一次流量清洗。根据访问请求的访问次数是否超于预设访问次数阈值的方式,对访问请求中的流量数据进行清洗处理,去除属于攻击流量的访问请求,保留访问请求的第一清洗流量数据,此过程是对攻击流量中的带宽型攻击流量的清洗过程。
负载均衡器102对访问请求的流量数据进行第二层清洗处理,具体是通过客户端发送的访问请求中的源目的IP地址,转换为负载均衡器中的VIP(Virtual IP Address,虚拟IP地址)地址。VIP用于向客户端提供一个固定的“虚拟”访问地址,以避免后端服务器发生切换时对客户端的影响。客户端向服务端发送的访问请求中,不需要了解服务端的地址,由负载服务器将客户端提供的目的IP地址作为在负载均衡器中的VIP地址,然后,由负载均衡器根据VIP地址,为访问请求分配对应的服务端。因为后端服务器包括多个后端子服务器,每个后端子服务器对应一个VIP地址。因此,负载均衡器102以VIP地址为维度,获取包含目标VIP地址且有目标连接标识字段的访问请求的数量,根据包含目标VIP地址且有目标连接标识字段的访问请求的数量,对访问请求的第一清洗流量数据进一步进行限流处理,去除属于攻击流量的访问请求,保留访问请求的第二流量数据,此过程还是对攻击流量中的带宽型攻击流量的清洗过程。
服务器103对访问请求的流量数据进行第三层清洗处理。具体是通过获得的访问请求的目标指标数据,目标指标数据包括访问请求的连接标识字段和来源IP地址,获取包含目标指标数据的访问请求的统计数据,将该统计数据与预设统计数据阈值和预设阻断数据阈值进行比较,获得小于预设统计数据阈值的访问请求的流量数据,作为需要保留的正常流量数据。此过程是对攻击流量中的连接消耗型攻击,计算消耗型攻击以及内存消耗型攻击这三种攻击类型的清洗及阻断。
例如,客户端向服务端连续发送多个访问请求,服务器获取每个访问请求中的连接标识信息,其中,获取到具有10个相同的连接标识信息的访问请求,因为,正常客户端发送的访问请求中的连接标识信息具有随机性,每个访问请求的连接标识是不相同的,所以,服务端检测出客户端发送的多个访问请求中存储肉鸡发送的伪造访问请求,服务端结合流量清洗设备和负载均衡器对访问请求的流量清洗数据进行清洗处理。
首先,流量清洗设备获取具有相同连接标识的访问请求的访问次数,例如为10次,其大于预设的访问请求的访问次数阈值1次,则该访问请求的流量数据属于攻击流量,将所述具有相同连接标识的访问请求的流量数据进行清洗处理,获得访问请求的访问次数小于预设访问次数阈值的访问请求。
其次,负载均衡器将访问请求的第一清洗流量数据再次进行流量清洗。负载均衡器获取具有相同连接标识的访问请求的流量数据,例如,包含7个具有相同连接标识的访问请求的流量数据,将这7个具有相同连接标识的访问请求的流量数据转发至同一个后端服务器。在转发之前,判断具有相同连接标识的访问请求对应的VIP地址是否一致,如果一致,则进一步判断具有相同连接标识、且具有相同VIP地址的访问请求的流量数据是否超过该VIP地址对应的服务器可承载的总流量数据阈值。如果超过,则需要对具有相同连接标识的访问请求的流量数据进行清洗处理。
服务端继续根据访问请求的统计数据进行进一步的清洗处理,如果具有相同连接标识的访问请求的统计数据为5个,大于预设统计数据阈值3个,则对具有相同连接标识的访问请求的流量数据进行第三次清洗处理。
经过上述清洗流量设备、负载均衡器和服务器对访问请求的流量数据进行多次清洗处理之后,使得服务器最终得到的访问请求为正常客户端发送的正常访问请求,然后,针对正常访问请求提供服务。
以下分别详细描述清洗流量设备,负载均衡器以及服务器对攻击流量的清洗及限流过程。
流量清洗设备101获取quic请求,获取所述quic请求中的流量数据,对所述流量数据进行清洗处理。
流量清洗设备获得的quic请求包括客户端发送的quic请求,以及攻击者伪造的quic请求通过肉鸡发送的伪造quic请求。其中,客户端发送的每个quic请求中的quic连接标识信息是随机生成的,因此,客户端发送的每个quic请求的quic连接标识信息都是不同的。而攻击者发送的伪造quic请求,是获取客户端发送的quic请求中的源目的IP地址以及quic连接标识信息,同一个源IP地址发到大量具有相同quic连接标识信息的伪造quic请求。由此可知,客户端发送的正常quic请求,在预设时长内的访问次数小于预设访问次数阈值,而攻击者(肉鸡)发送的伪造quic请求在预设时长内的访问次数大于预设访问次数阈值,占用服务器大量的带宽资源。
此处清洗流量设备获取针对访问请求的流量数据的流量清洗策略,是通过网络攻击防御***中的流量决策模型105获取的。将访问请求的流量数据输入流量决策模型105中,流量决策模型105根据访问请求的流量数据,确定该访问请求的流量数据属于正常流量数据还是攻击流量数据。
具体是,流量决策模型105是预先训练后的模型,该模型用于分析访问请求的流量数据是正常流量数据还是攻击流量数据。其中,通过分析访问请求的访问次数是否超过预设访问次数阈值的方式,确定该访问请求是否为攻击流量。将访问次数大于预设访问次数阈值的quic请求确定为肉鸡发送的访问请求,其所占用的流量数据为攻击流量,其对应的流量清洗策略是将该访问请求的流量数据进行清洗处理。将访问次数小于预设访问次数阈值的quic请求确定为客户端发送的正常访问请求,其所占用的流量数据为正常流量,其对应的流量清洗策略是将该访问请求的流量数据保留,作为访问请求的第一清洗流量数据。
其中,根据访问请求的访问次数,具体是从访问请求中获取报文信息,获取报文信息中包含相同源目的IP地址以及相同quic连接标识信息的访问请求在第一预设时长内的访问次数。
以上即为清洗流量设备101通过访问请求中quic连接标识信息的访问次数确定该访问请求的流量数据是否为正常流量数据,清洗带宽型攻击流量,保留访问请求的第一清洗流量数据的详细阐述。
在清洗流量设备将访问请求的流量数据进行清洗处理,获得访问请求的第一清洗流量数据之后,将该访问请求发送给负载均衡器。
以下描述负载均衡器对访问请求的流量数据进行进一步的限流操作。
具体是,获取客户端发送访问请求的源目的IP地址,此处源目的IP地址是客户端发送请求到服务器的目的IP地址,但是,客户端发送的访问请求不能直接发送到服务器,其是发送到负载均衡器,由负载均衡器将访问转发给具体的后端服务器。因此,负载均衡器将源目的IP地址转换为VIP地址,后端服务器包括多个实际处理任务的后端子服务器,此处每个VIP地址对应一个后端子服务器的IP地址。因此,此处在访问请求的第一清洗流量数据中,以VIP地址为维度,获取属于目标VIP地址以及目标连接标识字段的访问请求对应的目标流量数据。
然后,对访问请求的第一清洗流量数据进行限流处理,可以通过如下两个指标进行:
第一种,如果属于目标VIP地址以及目标连接标识字段的访问请求对应的目标流量数据大于针对目标连接标识字段的预设流量数据阈值,则在访问请求的第一请求流量数据中、将属于目标VIP地址以及目标连接标识字段的访问请求对应的目标流量数据进行限流处理,获得访问请求的第二流量数据。
此处,属于目标VIP地址以及目标连接标识字段的访问请求对应的目标流量数据大于针对目标连接标识字段的预设流量数据阈值,说明此类访问请求属于攻击者伪造的具有相同VIP地址的访问请求中,具有相同连接标识字段的访问请求的数量大于预设访问请求数量阈值,该访问请求占用的流量数据大于预设流量数据阈值。此类访问请求并非客户端发送的正常访问请求,客户端发送的正常访问请求中连接标识字段是随机生成的,每个正常访问请求的连接标识字段是不同的。
此外,还包括第二种对访问请求的第一清洗流量数据进行限流处理的方式:
负载均衡器将属于目标VIP地址的访问请求转发给该目标VIP地址对应的目标服务器。因此,此处获取目标服务器已接收的访问请求的流量数据,如果目标服务器已接收的访问请求的流量数据大于所述目标服务器可接收的访问请求的第一流量数据阈值,则在所述访问请求的第一清洗流量数据中、对目标流量数据进行限流处理,获得访问请求的第二流量数据。
此处,目标服务器代表一个后端子服务器,每个后端子服务器可承接的访问请求的流量数据是固定的,如果该后端子服务器已经承接的访问请求的流量数据大于该后端子服务器可接收的访问请求的第一流量数据阈值,例如,该第一流量数据阈值可以是该后端子服务器可接收的访问请求的总流量数据的80%。此时,需要对待转发给目标服务器的访问请求的流量数据进行限流处理,减少发送给该目标服务器的访问请求的流量数据。
负载均衡器是在清洗流量设备清洗了访问请求的流量数据之后,通过上述两种方式进一步对访问请求的流量数据进行限流处理,去除带宽型攻击流量数据。并将限流处理后保留的访问请求的第二流量数据发送给服务器,此处具体是,将访问请求的第二流量数据发送给属于VIP地址的目标服务器(也就是,后端子服务器)。
以上即为负载均衡器对访问请求的流量数据进行限流处理,去除攻击流量,保留正常流量的方法。
以下描述服务器对访问请求进一步清洗及阻断属于攻击流量的访问请求的方法。
服务器103接收到负载均衡器102发送的访问请求后,获取访问请求的目标指标数据,包括访问请求的连接标识字段,例如,quic报文中的cid标识字段(connection ID,连接ID标识);访问请求的来源IP地址,连接标识字段与来源IP地址之间的连接数,以及qps(query per second,每秒查询率),每秒查询率用于衡量一个特定的查询服务器在规定时间内所处理流量的数量。
服务器中包含连接资源、计算资源以及存储资源,为了避免攻击流量占用服务器的连接资源、计算资源以及存储资源,此处针对需要保护的具体资源类型,选择访问请求的具体目标指标类型与预设统计数据阈值以及预设阻断数据阈值进行比较。
第一种,如果是保护服务器的连接数,此处包含并发连接数以及新建连接数据。其中,并发连接数是指服务器能够处理的最大连接数据,新建连接数是指每秒中服务器可以处理的连接数据。
如果是保护服务器的并发连接数,此处获取访问请求的目标指标数据包括访问请求的连接标识字段,来源IP地址,以及连接标识字段和来源IP地址之间的并发连接数。
如果是保护服务器的新建连接数,此处获取访问请求的目标指标数据包括访问请求的连接标识字段,来源IP地址,以及连接标识字段和来源IP地址之间的新建连接数。
第二种,如果是保护服务器的计算资源,此处获取访问请求的目标指标数据包括访问请求的连接标识字段,来源IP地址,以及qps(query per second,每秒查询率),每秒查询率用于衡量一个特定的查询服务器在规定时间内所处理流量的数量。
服务器通过统计访问请求的上述目标指标数据,统计包含相同目标指标数据的访问请求的统计数据。将统计数据与预设统计数据阈值,预设阻断数据阈值进行判断,确定该访问请求是否为客户端发送的正常访问请求。此处,预设统计数据阈值是用于记录访问请求中的攻击流量,并将属于攻击流量的访问请求的连接标识字段的特征数据发送到攻击流量数据库,由攻击流量数据库识别攻击流量的特征数据。预设阻断数据阈值是用于阻断属于攻击流量的访问请求进一步占用服务器的***资源,该***资源包括连接资源、计算资源、带宽资源及存储资源。
具体的,如果统计数据小于预设统计数据阈值,则说明包含相同目标指标数据的访问请求的统计数据位于正常数值范围内,属于客户端发送的正常访问请求。如果统计数据大于或者等于预设统计数据阈值,则说明包含相同目标指标数据的访问请求的统计数据大于正常数据范围,属于攻击者发送的伪造访问请求,将该访问请求的特征数据发送给攻击流量数据库104。
攻击流量数据库104存储攻击访问请求的特征数据,由流量决策模型105根据攻击流量数据库104中的攻击访问请求的特征数据,获取攻击流量的特征数据,根据攻击流量的特征数据,确定针对下一次访问请求的流量清洗策略。
此外,如果统计数据大于或者等于预设阻断数据阈值,预设阻断数据阈值大于预设统计数据阈值,则阻断该访问请求的流量数据。
其中,针对服务器的不同***资源类型,其对应的预防阻断阈值类型不同,具体如下,针对攻击流量类型为连接消耗型攻击流量时,阻断连接消耗性攻击流量的方式如下:统计访问请求的连接标识字段的并发连接数,如果连接标识字段的并发连接数大于预设并发连接数阈值,则阻断该访问请求的流量数据。
针对攻击流量类型为计算消耗型攻击流量时,阻断计算消耗型攻击流量的方式如下:统计访问请求的连接标识字段的qps,如果连接标识字段的qps大于预设qps阈值,则阻断该访问请求的流量数据。
针对攻击流量类型为存储消耗型攻击流量时,阻断存储消耗型攻击流量的方式如下:统计访问请求的目标指标数据包括连接标识字段的并发连接数,新建连接数以及访问请求传输的报文数特征,当该目标指标数据大于预设阻断阈值时,则阻断该访问请求的流量数据。
服务器通过上述方式对访问请求中的流量数据进行清洗及阻断,是对攻击流量中的连接消耗型攻击,计算消耗型攻击,内存消耗型攻击的阻断过程,可以保护服务器的连接资源,计算资源和存储资源。
以上即为网络攻击防御***通过三方面对攻击流量进行清洗,限流,筛选及阻断,避免攻击流量占用服务器资源,影响服务器处理正常流量的服务。
本申请实施例提供一种网络攻击防御***,包括:流量清洗设备,负载均衡器,服务器;所述流量清洗设备用于对客户端发送的访问请求的流量数据进行流量清洗,获得所述访问请求的第一清洗流量数据;以及将所述访问请求的第一清洗流量数据发送给所述负载均衡器;所述负载均衡器用于获取单个VIP地址维度中包含目标连接标识字段的访问请求,对所述访问请求的第一清洗流量数据进行限流处理,获得所述访问请求的第二流量数据;以及将所述访问请求的第二流量数据发送给所述服务器;所述服务器用于获取所述访问请求的目标指标数据,所述目标指标数据包括所述访问请求的连接标识字段和来源IP地址,根据针对所述目标指标数据的统计数据,确定所述访问请求的第二流量数据中的攻击流量。
上述***中,由流量清洗设备对访问请求的流量数据进行流量清洗,去除访问请求的流量数据中的攻击流量,获得访问请求的第一清洗流量数据。然后,负载均衡器获取访问请求的VIP地址,以VIP地址维度为基础,获取在该VIP地址维度的多个访问请求的连接标识字段,获取在该VIP地址维度中包含目标连接标识字段的访问请求的数量。根据包含目标连接标识字段的访问请求的数量,对访问请求的第一清洗流量数据进行筛选,去除访问请求的第一请求流量数据中的攻击流量,获得访问请求的第二流量数据。最后,服务器根据访问请求的目标指标数据,获取针对目标指标数据的统计数据,根据针对目标指标数据的统计数据与预设统计数据阈值的关系,获取访问请求的第二流量数据中的正常流量数据。上述***,通过流量清洗设备,负载均衡器以及服务器对攻击流量进行多层次的清洗及筛选,提升了去除攻击流量的效率,避免服务器遭受攻击流量的攻击而耗尽资源,无法为正常流量提供服务资源。
第一实施例
图2为本申请第一实施例提供的一种网络攻击防御***的逻辑框架图,以下结合图2对本实施例提供的网络攻击防御***进行详细描述。
如图2所示,网络攻击防御***100包括:流量清洗设备101,负载均衡器102,服务器103,攻击流量数据库104,流量决策模型105。
所述流量清洗设备101用于对客户端发送的访问请求的流量数据进行流量清洗,获得所述访问请求的第一清洗流量数据;以及将所述访问请求的第一清洗流量数据发送给所述负载均衡器。
流量清洗设备101对访问请求中的流量数据进行流量清洗的过程,属于对攻击流量中的带宽型攻击流量的清洗过程。通过判断访问请求的流量数据的访问次数与预设访问次数阈值之间的关系,确定该访问请求的流量数据属于正常流量还是攻击流量。
具体的,获得客户端发送的访问请求,获取所述访问请求对应的流量数据;对所述访问请求的流量数据进行流量清洗,获得所述访问请求的第一清洗流量数据;将所述访问请求的第一清洗流量数据发送给所述负载均衡器。
如图1所示,客户端发送访问请求,攻击者通过获取客户端发送的访问请求中的连接标识字段,构造访问请求,通过肉鸡发送伪造的访问请求。流量清洗设备获取到访问请求后,不确定是客户端发送的访问请求还是攻击者发送的访问请求,根据访问请求的流量数据中连接标识字段在第一预设时长内的访问次数确定该访问请求的流量数据属于正常流量还是攻击流量。
因为,客户端发送的每个访问请求中的连接标识信息是随机生成的,因此,客户端发送的每个访问请求的连接标识信息都是不同的。而攻击者发送的伪造访问请求,是获取客户端发送的访问请求中的源目的IP地址以及连接标识信息,同一个源IP地址发到大量具有相同连接标识信息的伪造访问请求。
因此,客户端发送的访问请求的流量数据在第一预设时长内的访问次数小于预设访问次数阈值,攻击者发送的访问请求的流量数据在第一预设时长内的访问次数大于预设访问次数阈值。为了避免攻击者发送的访问请求的流量数据占用服务器的大量带宽资源,导致服务器资源耗尽而拒绝服务,此出通过流量清洗设备对访问请求的流量数据进行清洗处理,获得访问请求的第一清洗流量数据。
其中,流量清洗设备获取针对访问请求的流量数据的流量清洗策略,是根据流量决策模型获得的。具体的,该网络攻击防御***还包括:流量决策模型。
所述流量清洗设备具体用于将所述访问请求对应的流量数据输入流量决策模型,获得所述流量决策模型输出的针对所述访问请求的流量数据的流量清洗策略;按照所述流量清洗策略对所述访问请求对应的流量数据进行流量清洗,获得所述访问请求的第一清洗流量数据;所述流量决策模型用于根据访问请求对应的流量数据获取针对所述访问请求的流量数据的流量清洗策略。
流量清洗设备将访问请求的流量数据输入流量决策模型105中,流量决策模型105根据访问请求的流量数据,确定该访问请求的流量数据属于正常流量数据还是攻击流量数据。
所述流量清洗设备101具体用于按照所述流量清洗策略对所述访问请求对应的流量数据进行流量清洗,获得访问请求的第一清洗流量数据,包括:获取所述访问请求在第一预设时长内的访问次数,如果所述访问次数不大于预设访问次数阈值,则确定所述访问请求的流量数据为正常流量,将属于正常流量的流量数据作为所述访问请求的第一清洗流量数据;如果所述访问次数大于所述预设访问次数阈值,则确定所述访问请求的流量数据为第一攻击流量数据,去除所述访问请求的流量数据。
具体是,流量清洗设备通过分析访问请求的访问次数是否超过预设访问次数阈值的方式,确定该访问请求是否为攻击流量。将访问次数大于预设访问次数阈值的quic请求确定为肉鸡发送的访问请求,其所占用的流量数据为攻击流量,其对应的流量清洗策略是将该访问请求的流量数据进行清洗处理。将访问次数小于预设访问次数阈值的quic请求确定为客户端发送的正常访问请求,其所占用的流量数据为正常流量,其对应的流量清洗策略是将该访问请求的流量数据保留,作为访问请求的第一清洗流量数据。
此外,所述流量清洗设备还具体用于获取所述访问请求的连接标识字段,以及所述访问请求在客户端中的源目的IP地址;所述获取所述访问请求在第一预设时长内的访问次数,包括:获取包含相同源目的IP地址以及相同连接标识字段的访问请求在第一预设时长内的访问次数。
其中,根据访问请求的访问次数,具体是是从访问请求中获取报文信息,获取报文信息中的quic连接标识信息,或者客户端的源目的IP地址。根据第一预设时长内接受到的quic连接标识信息的访问次数,或者第一预设时长内接受到quic连接标识信息与源目的IP地址之间的连接关系的访问次数,确定该访问请求属于客户端发送的访问请求还是肉鸡发送的伪造访问请求。
以上即为清洗流量设备101通过访问请求中quic连接标识信息的访问次数确定该访问请求的流量数据是否为正常流量数据,清洗带宽型攻击流量,保留访问请求的第一清洗流量数据的详细阐述。
在清洗流量设备将访问请求的流量数据进行清洗处理,获得访问请求的第一清洗流量数据之后,将该访问请求发送给负载均衡器。
所述负载均衡器102用于获取单个VIP地址维度中包含目标连接标识字段的访问请求,对所述访问请求的第一清洗流量数据进行限流处理,获得所述访问请求的第二流量数据;以及将所述访问请求的第二流量数据发送给所述服务器。
具体的,获取所述访问请求的VIP地址,获取单个VIP地址维度中包含目标连接标识字段的访问请求,根据所述包含目标连接标识字段的访问请求,对所述访问请求的第一清洗流量数据进行限流处理,获得所述访问请求的第二流量数据;将所述访问请求的第二流量数据发送给所述服务器。
负载均衡器102是通过客户端发送的访问请求中的源目的IP地址,转换为负载均衡器中的VIP地址。因为后端服务器包括多个后端子服务器,每个后端子服务器对应一个VIP地址。因此,负载均衡器102以VIP地址为维度,获取包含目标VIP地址且有目标连接标识字段的访问请求的数量,根据包含目标VIP地址且有目标连接标识字段的访问请求的数量,对访问请求的第一清洗流量数据进一步进行限流处理,去除属于攻击流量的访问请求,保留访问请求的第二流量数据,此过程还是对攻击流量中的带宽型攻击流量的清洗过程。
所述负载均衡器具体用于将所述访问请求的源目的IP地址作为所述访问请求在所述负载均衡器的目标VIP地址。
此处在访问请求的第一清洗流量数据中,以VIP地址为维度,获取属于目标VIP地址以及目标连接标识字段的访问请求对应的目标流量数据。
所述负载均衡器用于获取单个VIP地址维度中包含目标连接标识字段的访问请求,包括:在所述访问请求的第一清洗流量数据中,获取属于目标VIP地址以及目标连接标识字段的访问请求对应的目标流量数据。
根据属于目标VIP地址以及目标连接标识字段的访问请求对应的目标流量数据,对访问请求的第一清洗流量数据限流处理。其中,对访问请求的第一清洗流量数据进行限流处理,可以通过如下两个指标进行:
第一种,所述负载均衡器用于对所述访问请求的第一清洗流量数据进行限流处理,获得所述访问请求的第二流量数据,包括:如果所述属于目标VIP地址以及目标连接标识字段的访问请求对应的目标流量数据大于针对所述目标连接标识字段的预设流量数据阈值,则在所述访问请求的第一清洗流量数据中、对所述目标流量数据进行限流处理,获得所述访问请求的第二流量数据。
其中,所述针对所述目标连接标识字段的预设流量数据阈值根据单个服务器可以承载的访问请求的带宽资源确定。
单个服务器可以承载的访问请求的带宽资源为后端服务器中每个后端子服务器可以处理访问请求的最大带宽资源数据。根据单个服务器可以承载的访问请求的带宽资源,确定针对目标连接标识字段的预设流量数据阈值,可以保证负载均衡器向服务器转发的访问请求的流量数据能够被后端服务器处理。
上述第一种处理方法中,如果属于目标VIP地址以及目标连接标识字段的访问请求对应的目标流量数据大于针对目标连接标识字段的预设流量数据阈值,则在访问请求的第一请求流量数据中、将属于目标VIP地址以及目标连接标识字段的访问请求对应的目标流量数据进行限流处理,获得访问请求的第二流量数据。
此处,属于目标VIP地址以及目标连接标识字段的访问请求对应的目标流量数据大于针对目标连接标识字段的预设流量数据阈值,说明此类访问请求属于攻击者伪造的具有相同VIP地址的访问请求中,具有相同连接标识字段的访问请求的数量大于预设访问请求数量阈值,该访问请求占用的流量数据大于预设流量数据阈值。此类访问请求并非客户端发送的正常访问请求,客户端发送的正常访问请求中连接标识字段是随机生成的,每个正常访问请求的连接标识字段是不同的。
其中,所述针对所述目标连接标识字段的预设流量数据阈值根据单个服务器可以承载的访问请求的带宽资源确定。
单个服务器可以承载的访问请求的带宽资源为后端服务器中每个后端子服务器可以处理访问请求的最大带宽资源数据。根据单个服务器可以承载的访问请求的带宽资源,确定针对目标连接标识字段的预设流量数据阈值,可以保证负载均衡器向服务器转发的访问请求的流量数据能够被后端服务器处理。
第二种,所述负载均衡器还用于将属于所述目标VIP地址的访问请求转发给所述目标VIP地址对应的目标服务器,获取所述目标服务器已接收的访问请求的流量数据;所述对所述访问请求的第一清洗流量数据进行限流处理,获得所述访问请求的第二流量数据,包括:如果所述目标服务器已接收的访问请求的流量数据大于所述目标服务器可接收的访问请求的第一流量数据阈值,则在所述访问请求的第一清洗流量数据中、对所述目标流量数据进行限流处理,获得所述访问请求的第二流量数据。
上述第二种处理方法中,负载均衡器将属于目标VIP地址的访问请求转发给该目标VIP地址对应的目标服务器。因此,此处获取目标服务器已接收的访问请求的流量数据,如果目标服务器已接收的访问请求的流量数据大于所述目标服务器可接收的访问请求的第一流量数据阈值,则在所述访问请求的第一清洗流量数据中、对目标流量数据进行限流处理,获得访问请求的第二流量数据。
此处,目标服务器代表一个后端子服务器,每个后端子服务器可承接的访问请求的流量数据是固定的,如果该后端子服务器已经承接的访问请求的流量数据大于该后端子服务器可接收的访问请求的第一流量数据阈值,例如,该第一流量数据阈值可以是该后端子服务器可接收的访问请求的总流量数据的80%。此时,需要对待转发给目标服务器的访问请求的流量数据进行限流处理,减少发送给该目标服务器的访问请求的流量数据。
负载均衡器是在清洗流量设备清洗了访问请求的流量数据之后,通过上述两种方式进一步对访问请求的流量数据进行限流处理,去除带宽型攻击流量数据。并将限流处理后保留的访问请求的第二流量数据发送给服务器,此处具体是,将访问请求的第二流量数据发送给属于VIP地址的目标服务器(也就是,后端子服务器)。
负载均衡器是在清洗流量设备清洗了访问请求的流量数据之后,进一步对访问请求的流量数据去除带宽型攻击流量数据。
以上即为负载均衡器102对访问请求的流量数据进行限流处理,去除攻击流量,保留正常流量的方法。
以下描述服务器103对访问请求进一步清洗及阻断属于攻击流量的访问请求的方法。
所述服务器103用于获取所述访问请求的目标指标数据,所述目标指标数据包括所述访问请求的连接标识字段和来源IP地址,根据针对所述目标指标数据的统计数据,确定所述访问请求的第二流量数据中的攻击流量。
具体的,获取针对所述目标指标数据的统计数据;判断所述针对所述目标指标数据的统计数据是否小于预设统计数据阈值,如果是,则将所述访问请求的第二流量数据作为正常流量数据,否则,将所述访问请求的第二流量数据作为攻击流量数据。
其中,服务器103是通过获得的访问请求的目标指标数据,目标指标数据包括访问请求的连接标识字段和来源IP地址,获取包含目标指标数据的访问请求的统计数据,将该统计数据与预设统计数据阈值和预设阻断数据阈值进行比较,获得小于预设统计数据阈值的访问请求的流量数据,作为需要保留的正常流量数据。此过程是对攻击流量中的连接消耗型攻击,计算消耗型攻击以及内存消耗型攻击这三种攻击类型的清洗及阻断。
服务器对访问请求的流量数据进行统计之前,首先获取访问请求的目标指标数据。所述服务器用于获取所述访问请求的目标指标数据,所述目标指标数据包括所述访问请求的连接标识字段和来源IP地址,获取针对所述目标指标数据的统计数据,包括:获取所述访问请求的连接标识字段以及所述访问请求的来源IP地址,根据所述访问请求的连接标识字段以及所述访问请求的来源IP地址,获取针对所述目标指标数据的统计数据。
所述服务器具体用于获取包含目标连接标识字段与目标来源IP地址的访问请求,将所述包含目标连接标识字段与目标来源IP地址的访问请求的统计数据作为针对所述目标指标数据的统计数据。
此处,服务器103接收到负载均衡器102发送的访问请求后,获取访问请求的目标指标数据,包括访问请求的连接标识字段,例如,quic报文中的cid标识字段(connectionID,连接ID标识);访问请求的来源IP地址,连接标识字段与来源IP地址之间的连接数,以及qps(query per second,每秒查询率),每秒查询率用于衡量一个特定的查询服务器在规定时间内所处理流量的数量。
服务器中包含连接资源、计算资源以及存储资源,为了避免攻击流量占用服务器的连接资源、计算资源以及存储资源,此处针对需要保护的具体资源类型,选择访问请求的具体目标指标类型与预设统计数据阈值以及预设阻断数据阈值进行比较。
第一种,如果是保护服务器的连接数,此处包含并发连接数以及新建连接数据。其中,并发连接数是指服务器能够处理的最大连接数据,新建连接数是指每秒中服务器可以处理的连接数据。
如果保护服务器的并发连接数,此处获取访问请求的目标指标数据包括访问请求的连接标识字段,来源IP地址,以及连接标识字段和来源IP地址之间的并发连接数。
如果保护服务器的新建连接数,此处获取访问请求的目标指标数据包括访问请求的连接标识字段,来源IP地址,以及连接标识字段和来源IP地址之间的新建连接数。
第二种,如果是保护服务器的计算资源,此处获取访问请求的目标指标数据包括访问请求的连接标识字段,来源IP地址,以及qps(query per second,每秒查询率),每秒查询率用于衡量一个特定的查询服务器在规定时间内所处理流量的数量。
服务器通过统计访问请求的上述目标指标数据,统计包含相同目标指标数据的访问请求的统计数据。将统计数据与预设统计数据阈值,预设阻断数据阈值进行判断,确定该访问请求是否为客户端发送的正常访问请求。此处,预设统计数据阈值是用于记录访问请求中的攻击流量,并将属于攻击流量的访问请求的连接标识字段的特征数据发送到攻击流量数据库,由攻击流量数据库识别攻击流量的特征数据。预设阻断数据阈值是用于阻断属于攻击流量的访问请求进一步占用服务器的***资源,该***资源包括连接资源、计算资源、带宽资源及存储资源。
本申请的网络攻击防御***还包括:攻击流量数据库;所述服务器还用于如果所述针对所述目标指标数据的统计数据大于或者等于所述预设统计数据阈值,则确定所述访问请求的第二流量数据为攻击流量数据,将所述攻击流量数据存储至攻击流量数据库;所述攻击流量数据库用于存储所述访问请求的攻击流量数据。
具体的,如果统计数据小于预设统计数据阈值,则说明包含相同目标指标数据的访问请求的统计数据位于正常数值范围内,属于客户端发送的正常访问请求。如果统计数据大于或者等于预设统计数据阈值,则说明包含相同目标指标数据的访问请求的统计数据大于正常数据范围,属于攻击者发送的伪造访问请求,将该访问请求的特征数据发送给攻击流量数据库104。
攻击流量数据库104存储攻击访问请求的特征数据,由流量决策模型105根据攻击流量数据库104中的攻击访问请求的特征数据,获取攻击流量的特征数据,根据攻击流量的特征数据,确定针对下一次访问请求的流量清洗策略。
此外,如果统计数据大于或者等于预设阻断数据阈值,预设阻断数据阈值大于预设统计数据阈值,则阻断该访问请求的流量数据。
所述服务器还用于如果所述针对所述目标指标数据的统计数据大于预设阻断数据阈值,所述预设阻断数据阈值大于所述预设统计数据阈值,则阻断所述访问请求的第二流量数据。
其中,针对服务器的不同***资源类型,其对应的预防阻断阈值类型不同,具体如下,针对攻击流量类型为连接消耗型攻击流量时,阻断连接消耗性攻击流量的方式如下:统计访问请求的连接标识字段的并发连接数,如果连接标识字段的并发连接数大于预设并发连接数阈值,则阻断该访问请求的流量数据。
针对攻击流量类型为计算消耗型攻击流量时,阻断计算消耗型攻击流量的方式如下:统计访问请求的连接标识字段的qps,如果连接标识字段的qps大于预设qps阈值,则阻断该访问请求的流量数据。
针对攻击流量类型为存储消耗型攻击流量时,阻断存储消耗型攻击流量的方式如下:统计访问请求的目标指标数据包括连接标识字段的并发连接数,新建连接数以及访问请求传输的报文数特征,当该目标指标数据大于预设阻断阈值时,则阻断该访问请求的流量数据。
服务器通过上述方式对访问请求中的流量数据进行清洗及阻断,是对攻击流量中的连接消耗型攻击,计算消耗型攻击,内存消耗型攻击的阻断过程,可以保护服务器的连接资源,计算资源和存储资源。
以上即为网络攻击防御***通过三方面对攻击流量进行清洗,限流,筛选及阻断,避免攻击流量占用服务器资源,影响服务器处理正常流量的服务。
另外,清洗流量设备获取访问请求的流量数据的流量清洗策略,通过流量决策模型获得。其中,所述流量决策模型按照如下方式进行训练获得:
获得攻击流量数据库中存储的所述访问请求包含的攻击流量数据,所述攻击流量数据库用于存储所述访问请求的攻击流量数据;根据所述访问请求包含的攻击流量数据,获取所述访问请求的攻击流量的特征数据;根据所述访问请求的攻击流量的特征数据,获取用于对下一次访问请求的流量数据进行清洗的流量清洗策略。
将服务器对访问请求针对目标指标数据的统计数据与预设统计数据阈值进行比较后,将大于预设统计数据阈值的访问请求的目标指标数据发送给攻击流量数据库。流量决策模型根据攻击流量数据库中的攻击流量的特征数据,为清洗流量数据设备确定针对下一次访问请求的流量数据的流量清洗策略。由此提升清洗流量数据设备对访问请求的流量数据的清洗效率。
本申请实施例提供一种网络攻击防御***,包括:流量清洗设备,负载均衡器,服务器;所述流量清洗设备用于对客户端发送的访问请求的流量数据进行流量清洗,获得所述访问请求的第一清洗流量数据;以及将所述访问请求的第一清洗流量数据发送给所述负载均衡器;所述负载均衡器用于获取单个VIP地址维度中包含目标连接标识字段的访问请求,对所述访问请求的第一清洗流量数据进行限流处理,获得所述访问请求的第二流量数据;以及将所述访问请求的第二流量数据发送给所述服务器;所述服务器用于获取所述访问请求的目标指标数据,所述目标指标数据包括所述访问请求的连接标识字段和来源IP地址,根据针对所述目标指标数据的统计数据,确定所述访问请求的第二流量数据中的攻击流量。
上述***中,由流量清洗设备对访问请求的流量数据进行流量清洗,去除访问请求的流量数据中的攻击流量,获得访问请求的第一清洗流量数据。然后,负载均衡器获取访问请求的VIP地址,以VIP地址维度为基础,获取在该VIP地址维度的多个访问请求的连接标识字段,获取在该VIP地址维度中包含目标连接标识字段的访问请求的数量。根据包含目标连接标识字段的访问请求的数量,对访问请求的第一清洗流量数据进行筛选,去除访问请求的第一请求流量数据中的攻击流量,获得访问请求的第二流量数据。最后,服务器根据访问请求的目标指标数据,获取针对目标指标数据的统计数据,根据针对目标指标数据的统计数据与预设统计数据阈值的关系,获取访问请求的第二流量数据中的正常流量数据。上述***,通过流量清洗设备,负载均衡器以及服务器对攻击流量进行多层次的清洗及筛选,提升了去除攻击流量的效率,避免服务器遭受攻击流量的攻击而耗尽资源,无法为正常流量提供服务资源。
第二实施例
与上述一种网络攻击防御***的应用场景实施例以及第一实施例提供的一种网络攻击防御***相对应,本申请第二实施例提供一种网络攻击防御方法。图3为本申请第二实施例提供的一种网络攻击防御方法的流程图,应用于网络攻击防御***的服务器,以下结合图3对本实施例提供的方法进行描述,本申请第二实施例与场景实施例和第一实施例的相同描述,具体请参考场景实施例和第一实施例,本实施例不再赘述。
以下描述所涉及的实施例是用来解释说明方法原理,不是实际使用的限定。
如图3所示,在步骤S301中,获取访问请求的目标指标数据,所述目标指标数据包括所述访问请求的连接标识字段和来源IP地址。
本步骤中,服务器获取访问请求的目标指标数据。其中,服务器接收到的是负载均衡器发送的访问请求。目标指标数据,包括访问请求的连接标识字段,例如,quic报文中的cid标识字段(connection ID,连接ID标识);访问请求的来源IP地址,连接标识字段与来源IP地址之间的连接数,以及qps(query per second,每秒查询率),每秒查询率用于衡量一个特定的查询服务器在规定时间内所处理流量的数量。
如图3所示,在步骤S302中,获取针对所述目标指标数据的统计数据。
本步骤用于获取针对目标指标数据的统计数据,用于后续根据目标指标数据的统计数据,确定访问请求为客户端发送的正常访问请求,还是通过肉鸡发送的伪造访问请求。
其中,所述获取针对所述目标指标数据的统计数据,包括:获取所述访问请求的连接标识字段以及所述访问请求的来源IP地址;根据所述访问请求的连接标识字段以及所述访问请求的来源IP地址,获取针对所述目标指标数据的统计数据。 所述根据所述访问请求的连接标识字段以及所述访问请求的来源IP地址,获取针对所述目标指标数据的统计数据,包括:获取包含目标连接标识字段与目标来源IP地址的访问请求,将所述包含目标连接标识字段与目标来源IP地址的访问请求的统计数据作为针对所述目标指标数据的统计数据。
服务器中的目标指标数据包含连接资源、计算资源以及存储资源,为了避免攻击流量占用服务器的连接资源、计算资源以及存储资源,此处针对需要保护的具体资源类型,选择访问请求的具体目标指标类型与预设统计数据阈值以及预设阻断数据阈值进行比较。
第一种,如果是保护服务器的连接数,此处包含并发连接数以及新建连接数据。其中,并发连接数是指服务器能够处理的最大连接数据,新建连接数是指每秒中服务器可以处理的连接数据。
如果是保护服务器的并发连接数,此处获取访问请求的目标指标数据包括访问请求的连接标识字段,来源IP地址,以及连接标识字段和来源IP地址之间的并发连接数。
如果是保护服务器的新建连接数,此处获取访问请求的目标指标数据包括访问请求的连接标识字段,来源IP地址,以及连接标识字段和来源IP地址之间的新建连接数。
第二种,如果是保护服务器的计算资源,此处获取访问请求的目标指标数据包括访问请求的连接标识字段,来源IP地址,以及qps(query per second,每秒查询率),每秒查询率用于衡量一个特定的查询服务器在规定时间内所处理流量的数量。
服务器通过统计访问请求的上述目标指标数据,统计包含相同目标指标数据的访问请求的统计数据。将统计数据与预设统计数据阈值,预设阻断数据阈值进行判断,确定该访问请求为客户端发送的正常访问请求,还是通过肉鸡发送的伪造访问请求。
如图3所示,在步骤S303中,根据针对所述目标指标数据的统计数据,确定所述访问请求的第二流量数据中的攻击流量;其中,所述访问请求的第二流量数据是通过如下方式获取的:所述网络攻击防御***的流量清洗设备对客户端发送的访问请求的流量数据进行流量清洗,获得所述访问请求的第一清洗流量数据;所述网络攻击防御***的负载均衡器获取单个VIP地址维度中包含目标连接标识字段的访问请求,对所述访问请求的第一清洗流量数据进行限流处理,获得所述访问请求的第二流量数据;将所述访问请求的第二流量数据发送给所述服务器。
服务器通过统计访问请求的上述目标指标数据,统计包含相同目标指标数据的访问请求的统计数据。将统计数据与预设统计数据阈值,预设阻断数据阈值进行判断,确定该访问请求是否为客户端发送的正常访问请求。
其中,所述根据针对所述目标指标数据的统计数据,确定所述访问请求的第二流量数据中的攻击流量,包括:判断所述针对所述目标指标数据的统计数据是否小于预设统计数据阈值,如果是,则将所述访问请求的第二流量数据作为正常流量数据,否则,将所述访问请求的第二流量数据作为攻击流量数据。
此处,预设统计数据阈值是用于记录访问请求中的攻击流量,并将属于攻击流量的访问请求的连接标识字段的特征数据发送到攻击流量数据库,由攻击流量数据库识别攻击流量的特征数据。预设阻断数据阈值是用于阻断属于攻击流量的访问请求进一步占用服务器的***资源,该***资源包括连接资源、计算资源、带宽资源及存储资源。
如果所述针对所述目标指标数据的统计数据大于或者等于所述预设统计数据阈值,则确定所述访问请求的第二流量数据为攻击流量数据,将所述攻击流量数据存储至攻击流量数据库;其中,所述攻击流量数据库用于存储所述访问请求的攻击流量数据。
具体的,如果统计数据小于预设统计数据阈值,则说明包含相同目标指标数据的访问请求的统计数据位于正常数值范围内,属于客户端发送的正常访问请求。如果统计数据大于或者等于预设统计数据阈值,则说明包含相同目标指标数据的访问请求的统计数据大于正常数据范围,属于攻击者发送的伪造访问请求,将该访问请求的特征数据发送给攻击流量数据库。
攻击流量数据库存储攻击访问请求的特征数据,由流量决策模型根据攻击流量数据库中的攻击访问请求的特征数据,获取攻击流量的特征数据,根据攻击流量的特征数据,确定针对下一次访问请求的流量清洗策略。
如果所述针对所述目标指标数据的统计数据大于或者等于预设阻断数据阈值,所述预设阻断数据阈值大于所述预设统计数据阈值,则阻断所述访问请求的第二流量数据。
其中,针对服务器的不同***资源类型,其对应的预防阻断阈值类型不同,具体如下,针对攻击流量类型为连接消耗型攻击流量时,阻断连接消耗性攻击流量的方式如下:统计访问请求的连接标识字段的并发连接数,如果连接标识字段的并发连接数大于预设并发连接数阈值,则阻断该访问请求的流量数据。
针对攻击流量类型为计算消耗型攻击流量时,阻断计算消耗型攻击流量的方式如下:统计访问请求的连接标识字段的qps,如果连接标识字段的qps大于预设qps阈值,则阻断该访问请求的流量数据。
针对攻击流量类型为存储消耗型攻击流量时,阻断存储消耗型攻击流量的方式如下:统计访问请求的目标指标数据包括连接标识字段的并发连接数,新建连接数以及访问请求传输的报文数特征,当该目标指标数据大于预设阻断阈值时,则阻断该访问请求的流量数据。
服务器通过上述方式对访问请求中的流量数据进行清洗及阻断,是对攻击流量中的连接消耗型攻击,计算消耗型攻击,内存消耗型攻击的阻断过程,可以保护服务器的连接资源,计算资源和存储资源。
第三实施例
与上述一种网络攻击防御***的应用场景实施例以及第二实施例提供的一种网络攻击防御方法相对应,本申请第三实施例提供一种网络攻击防御装置。图4为本申请第三实施例提供的一种网络攻击防御装置的示意图,以下结合图4对本实施例提供的装置进行描述,本申请第三实施例与场景实施例和第二实施例的相同描述,具体请参考场景实施例和第二实施例,本实施例不再赘述。
以下描述所涉及的实施例是用来解释说明方法原理,不是实际使用的限定。
图4所示的网络攻击防御装置应用于网络攻击防御***的服务器,所述装置包括:第一获取单元401,第二获取单元402,确定单元403。
所述第一获取单元401,用于获取访问请求的目标指标数据,所述目标指标数据包括所述访问请求的连接标识字段和来源IP地址;
所述第二获取单元402,用于获取针对所述目标指标数据的统计数据;
所述确定单元403,用于根据针对所述目标指标数据的统计数据,确定所述访问请求的第二流量数据中的攻击流量;
其中,所述访问请求的第二流量数据是通过如下方式获取的:所述网络攻击防御***的流量清洗设备对客户端发送的访问请求的流量数据进行流量清洗,获得所述访问请求的第一清洗流量数据;所述网络攻击防御***的负载均衡器获取单个VIP地址维度中包含目标连接标识字段的访问请求,对所述访问请求的第一清洗流量数据进行限流处理,获得所述访问请求的第二流量数据;将所述访问请求的第二流量数据发送给所述服务器。
第四实施例
与上述一种网络攻击防御***的应用场景实施例以及第一实施例提供的一种网络攻击防御***相对应,本申请第四实施例提供另一种网络攻击防御方法。图5为本申请第四实施例提供的另一种网络攻击防御方法的流程图,应用于网络攻击防御***的负载均衡器,以下结合图5对本实施例提供的方法进行描述,本申请第二实施例与场景实施例和第一实施例的相同描述,具体请参考场景实施例和第一实施例,本实施例不再赘述。
以下描述所涉及的实施例是用来解释说明方法原理,不是实际使用的限定。
如图5所示,在步骤S501中,获取单个VIP地址维度中包含目标连接标识字段的访问请求。
在本步骤中,负载均衡器获取的访问请求是经过流量清洗设备对客户端发送的访问请求进行流量清洗之后的第一清洗流量数据。为了避免后端服务器发送切换时对客户端的影响,客户端向服务端发送的访问请求中,不需要了解服务端的地址,由负载均衡器将客户端提供的目的IP地址作为在负载均衡器中的VIP地址,然后,由负载均衡器根据VIP地址将不同的访问请求转发给不同的后台服务器。
此处获取单个VIP地址维度中包含目标连接标识字段的访问请求,可以通过如下方式获得:
将所述访问请求的源目的IP地址作为所述访问请求在所述负载均衡器的目标VIP地址;所述获取单个VIP地址维度中包含目标连接标识字段的访问请求,包括:在所述访问请求的第一清洗流量数据中,获取属于目标VIP地址以及目标连接标识字段的访问请求对应的目标流量数据。
访问请求的源目的IP地址是客户端发送的访问请求中的源目的IP地址,将源目的IP地址作为负载均衡器中的目标VIP地址,统计属于同一个目标VIP地址的访问请求的流量数据,用于后续步骤中根据属于目标VIP地址的访问请求的流量数据,对第一清洗流量数据进行限流处理。
其中,所述访问请求的第一清洗流量数据通过如下方式获取:所述网络攻击防御***的流量清洗设备对客户端发送的访问请求的流量数据进行流量清洗,获得所述访问请求的第一清洗流量数据;以及获得所述流量清洗设备转发的所述访问请求的第一清洗流量数据。
如图5所示,在步骤S502中,对所述访问请求的第一清洗流量数据进行限流处理,获得所述访问请求的第二流量数据。
本步骤通过对第一清洗流量数据进行限流处理,以清除第一清洗流量数据中的攻击流量数据。其中,对第一清洗流量数据进行限流处理可以包含如下两种方式:
第一种方式,所述对所述访问请求的第一清洗流量数据进行限流处理,获得所述访问请求的第二流量数据,包括:
如果所述属于目标VIP地址以及目标连接标识字段的访问请求对应的目标流量数据大于针对所述目标连接标识字段的预设流量数据阈值,则在所述访问请求的第一清洗流量数据中、对所述目标流量数据进行限流处理,获得所述访问请求的第二流量数据。
其中,所述针对所述目标连接标识字段的预设流量数据阈值根据单个服务器可以承载的访问请求的带宽资源确定。
例如,后台服务器中每个服务器可以提供服务的访问请求的带宽资源是确定的,每个后台服务器对应一个VIP地址。如果负载均衡器向一个后台服务器转发的同一个VIP地址且包含相同目标连接标识字段的访问请求的数量大于该后台服务器可承载的访问请求的数据,则说明包含该VIP地址的访问请求的流量数据为攻击流量。因为客户端发送的正常访问请求的连接标识字段是随机发送且唯一的,两个访问请求可以属于同一个VIP地址,但不存在相同的连接标识字段。
第二种方式,将属于所述目标VIP地址的访问请求转发给所述目标VIP地址对应的目标服务器,获取所述目标服务器已接收的访问请求的流量数据。
所述对所述访问请求的第一清洗流量数据进行限流处理,获得所述访问请求的第二流量数据,包括:如果所述目标服务器已接收的访问请求的流量数据大于所述目标服务器可接收的访问请求的第一流量数据阈值,则在所述访问请求的第一清洗流量数据中、对所述目标流量数据进行限流处理,获得所述访问请求的第二流量数据。
例如,目标服务器可以接收的访问请求的总数量为10个访问请求,目标服务器可接收的访问请求的第一流量数据阈值为9个,而服务器已经接收到的访问请求的流量为10个,大于第一流量数据阈值。此处,负载均衡器中还存在需要转发给该目标服务器的访问请求,则说明该访问请求中存在攻击流量,需要清除,则对待转发的访问请求的第一清洗流量数据进行限流处理。
如图5所示,在步骤S503中,将所述访问请求的第二流量数据发送给所述服务器。
本步骤用于将经过限流处理的访问请求的第二流量数据发送给服务器,由服务器对访问请求的第二流量数据进行进一步的处理。
所述服务器对所述访问请求的第二流量数据进行如下处理:获取所述访问请求的目标指标数据,所述目标指标数据包括所述访问请求的连接标识字段和来源IP地址,根据针对所述目标指标数据的统计数据,确定所述访问请求的第二流量数据中的攻击流量。
其中,服务器对访问请求的第二流量数据的处理方法的具体解释可以参考本申请场景实施例以及第二实施例,此处不再赘述。
第五实施例
与上述一种网络攻击防御***的应用场景实施例以及第四实施例提供的另一种网络攻击防御方法相对应,本申请第五实施例提供另一种网络攻击防御装置。图6为本申请第五实施例提供的另一种网络攻击防御装置的示意图,以下结合图6对本实施例提供的装置进行描述,本申请第六实施例与场景实施例和第四实施例的相同描述,具体请参考场景实施例和第四实施例,本实施例不再赘述。
以下描述所涉及的实施例是用来解释说明方法原理,不是实际使用的限定。
图6所示的网络攻击防御装置应用于网络攻击防御***的负载均衡器,所述装置包括:第三获取单元601,获得单元602,发送单元603。
所述第三获取单元601,用于获取单个VIP地址维度中包含目标连接标识字段的访问请求;
所述获得单元602,用于对所述访问请求的第一清洗流量数据进行限流处理,获得所述访问请求的第二流量数据;
所述发送单元603,用于将所述访问请求的第二流量数据发送给所述服务器;
其中,所述访问请求的第一清洗流量数据通过如下方式获取:所述网络攻击防御***的流量清洗设备对客户端发送的访问请求的流量数据进行流量清洗,获得所述访问请求的第一清洗流量数据;以及获得所述流量清洗设备转发的所述访问请求的第一清洗流量数据;所述服务器对所述访问请求的第二流量数据进行如下处理:获取所述访问请求的目标指标数据,所述目标指标数据包括所述访问请求的连接标识字段和来源IP地址,根据针对所述目标指标数据的统计数据,确定所述访问请求的第二流量数据中的攻击流量。
第六实施例
与本申请第二实施例和第四实施例的方法相对应的,本申请第六实施例还提供一种电子设备。如图7所示,图7为本申请第六实施例中提供的一种电子设备的示意图。该电子设备,包括:至少一个处理器701,至少一个通信接口702,至少一个存储器703和至少一个通信总线704;可选的,通信接口702可以为通信模块的接口,如GSM模块的接口;处理器701可能是处理器CPU,或者是特定集成电路ASIC(Application Specific IntegratedCircuit),或者是被配置成实施本发明实施例的一个或多个集成电路。存储器703可能包含高速RAM存储器,也可能还包括非易失性存储器(non-volatile memory),例如至少一个磁盘存储器。其中,存储器703存储有程序,处理器701调用存储器703所存储的程序,以执行本发明第二实施例和第四实施例的方法。
第七实施例
与本申请第二实施例和第四实施例的方法相对应的,本申请第七实施例还提供一种计算机存储介质。所述计算机存储介质存储有计算机程序,该计算机程序被处理器运行,执行第二实施例和第四实施例的方法。本申请虽然以较佳实施例公开如上,但其并不是用来限定本申请,任何本领域技术人员在不脱离本申请的精神和范围内,都可以做出可能的变动和修改,因此本申请的保护范围应当以本申请权利要求所界定的范围为准。在一个典型的配置中,计算设备包括一个或多个处理器 (CPU)、 输入/输出接口、网络接口和内存。内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器 (RAM) 和/或非易失性内存等形式,如只读存储器 (ROM) 或闪存(flash RAM)。内存是计算机可读介质的示例。1、计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括非暂存电脑可读媒体(Transitory Media),如调制的数据信号和载波。2、本领域技术人员应明白,本申请的实施例可提供为方法、***或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
Claims (23)
1.一种网络攻击防御***,其特征在于,包括:流量清洗设备,负载均衡器,服务器;
所述流量清洗设备用于对客户端发送的访问请求的流量数据进行流量清洗,获得所述访问请求的第一清洗流量数据;以及将所述访问请求的第一清洗流量数据发送给所述负载均衡器;
所述负载均衡器用于获取单个VIP地址维度中包含目标连接标识字段的访问请求,对所述访问请求的第一清洗流量数据进行限流处理,获得所述访问请求的第二流量数据;以及将所述访问请求的第二流量数据发送给所述服务器;
所述服务器用于获取所述访问请求的目标指标数据,所述目标指标数据包括所述访问请求的连接标识字段和来源IP地址,根据针对所述目标指标数据的统计数据,确定所述访问请求的第二流量数据中的攻击流量。
2.根据权利要求1所述的***,其特征在于,还包括:流量决策模型;
所述流量清洗设备具体用于将所述访问请求对应的流量数据输入流量决策模型,获得所述流量决策模型输出的针对所述访问请求的流量数据的流量清洗策略;按照所述流量清洗策略对所述访问请求对应的流量数据进行流量清洗,获得所述访问请求的第一清洗流量数据;
所述流量决策模型用于根据访问请求对应的流量数据获取针对所述访问请求的流量数据的流量清洗策略。
3.根据权利要求2所述的***,其特征在于,所述流量清洗设备具体用于按照所述流量清洗策略对所述访问请求对应的流量数据进行流量清洗,获得所述访问请求的第一清洗流量数据,包括:获取所述访问请求在第一预设时长内的访问次数,如果所述访问次数不大于预设访问次数阈值,则确定所述访问请求的流量数据为正常流量,将属于正常流量的流量数据作为所述访问请求的第一清洗流量数据。
4.根据权利要求3所述的***,其特征在于,所述流量清洗设备还具体用于如果所述访问次数大于所述预设访问次数阈值,则确定所述访问请求的流量数据为攻击流量数据,去除所述访问请求的流量数据。
5.根据权利要求3所述的***,其特征在于,所述流量清洗设备还具体用于获取所述访问请求的连接标识字段,以及所述访问请求的源目的IP地址;所述获取所述访问请求在第一预设时长内的访问次数,包括:获取包含相同源目的IP地址以及相同连接标识字段的访问请求在第一预设时长内的访问次数。
6.根据权利要求1所述的***,其特征在于,所述负载均衡器具体用于将所述访问请求的源目的IP地址作为所述访问请求在所述负载均衡器的目标VIP地址;所述获取单个VIP地址维度中包含目标连接标识字段的访问请求,包括:在所述访问请求的第一清洗流量数据中,获取属于目标VIP地址以及目标连接标识字段的访问请求对应的目标流量数据。
7.根据权利要求1所述的***,其特征在于,还包括:攻击流量数据库;
所述服务器还用于如果所述针对所述目标指标数据的统计数据大于或者等于预设统计数据阈值,则确定所述访问请求的第二流量数据为攻击流量数据,将所述攻击流量数据存储至攻击流量数据库;
所述攻击流量数据库用于存储所述访问请求的攻击流量数据。
8.根据权利要求7所述的***,其特征在于,所述服务器还用于如果所述针对所述目标指标数据的统计数据大于或者等于预设阻断数据阈值,所述预设阻断数据阈值大于所述预设统计数据阈值,则阻断所述访问请求的第二流量数据。
9.根据权利要求1所述的***,其特征在于,所述服务器还用于获取针对所述目标指标数据的统计数据,包括:获取所述访问请求的连接标识字段以及所述访问请求的来源IP地址,根据所述访问请求的连接标识字段以及所述访问请求的来源IP地址,获取针对所述目标指标数据的统计数据。
10.根据权利要求2所述的***,其特征在于,所述流量决策模型按照如下方式进行训练获得:
获得攻击流量数据库中存储的所述访问请求包含的攻击流量数据,所述攻击流量数据库用于存储所述访问请求的攻击流量数据;
根据所述访问请求包含的攻击流量数据,获取所述访问请求的攻击流量的特征数据;
根据所述访问请求的攻击流量的特征数据,获取用于对下一次访问请求的流量数据进行清洗的流量清洗策略。
11.一种网络攻击防御方法,其特征在于,应用于网络攻击防御***的服务器,所述方法包括:
获取访问请求的目标指标数据,所述目标指标数据包括所述访问请求的连接标识字段和来源IP地址;
获取针对所述目标指标数据的统计数据;
根据针对所述目标指标数据的统计数据,确定所述访问请求的第二流量数据中的攻击流量;
其中,所述访问请求的第二流量数据是通过如下方式获取的:
所述网络攻击防御***的流量清洗设备对客户端发送的访问请求的流量数据进行流量清洗,获得所述访问请求的第一清洗流量数据;所述网络攻击防御***的负载均衡器获取单个VIP地址维度中包含目标连接标识字段的访问请求,对所述访问请求的第一清洗流量数据进行限流处理,获得所述访问请求的第二流量数据;将所述访问请求的第二流量数据发送给所述服务器。
12.根据权利要求11所述的方法,其特征在于,所述根据针对所述目标指标数据的统计数据,确定所述访问请求的第二流量数据中的攻击流量,包括:
判断所述针对所述目标指标数据的统计数据是否小于预设统计数据阈值,如果是,则将所述访问请求的第二流量数据作为正常流量数据,否则,将所述访问请求的第二流量数据作为攻击流量数据。
13.根据权利要求12所述的方法,其特征在于,还包括:
如果所述针对所述目标指标数据的统计数据大于或者等于所述预设统计数据阈值,则确定所述访问请求的第二流量数据为攻击流量数据,将所述攻击流量数据存储至攻击流量数据库;
其中,所述攻击流量数据库用于存储所述访问请求的攻击流量数据。
14.根据权利要求13所述的方法,其特征在于,还包括:
如果所述针对所述目标指标数据的统计数据大于或者等于预设阻断数据阈值,所述预设阻断数据阈值大于所述预设统计数据阈值,则阻断所述访问请求的第二流量数据。
15.根据权利要求11所述的方法,其特征在于,所述获取针对所述目标指标数据的统计数据,包括:
获取所述访问请求的连接标识字段以及所述访问请求的来源IP地址;
根据所述访问请求的连接标识字段以及所述访问请求的来源IP地址,获取针对所述目标指标数据的统计数据。
16.根据权利要求15所述的方法,其特征在于,所述根据所述访问请求的连接标识字段以及所述访问请求的来源IP地址,获取针对所述目标指标数据的统计数据,包括:
获取包含目标连接标识字段与目标来源IP地址的访问请求,将所述包含目标连接标识字段与目标来源IP地址的访问请求的统计数据作为针对所述目标指标数据的统计数据。
17.一种网络攻击防御方法,其特征在于,应用于网络攻击防御***的负载均衡器,所述方法包括:
获取单个VIP地址维度中包含目标连接标识字段的访问请求;
对所述访问请求的第一清洗流量数据进行限流处理,获得所述访问请求的第二流量数据;
将所述访问请求的第二流量数据发送给所述服务器;
其中,所述访问请求的第一清洗流量数据通过如下方式获取:所述网络攻击防御***的流量清洗设备对客户端发送的访问请求的流量数据进行流量清洗,获得所述访问请求的第一清洗流量数据;以及获得所述流量清洗设备转发的所述访问请求的第一清洗流量数据;
所述服务器对所述访问请求的第二流量数据进行如下处理:获取所述访问请求的目标指标数据,所述目标指标数据包括所述访问请求的连接标识字段和来源IP地址,根据针对所述目标指标数据的统计数据,确定所述访问请求的第二流量数据中的攻击流量。
18.根据权利要求17所述的方法,其特征在于,还包括:将所述访问请求的源目的IP地址作为所述访问请求在所述负载均衡器的目标VIP地址;
所述获取单个VIP地址维度中包含目标连接标识字段的访问请求,包括:在所述访问请求的第一清洗流量数据中,获取属于目标VIP地址以及目标连接标识字段的访问请求对应的目标流量数据。
19.根据权利要求18所述的方法,其特征在于,所述对所述访问请求的第一清洗流量数据进行限流处理,获得所述访问请求的第二流量数据,包括:
如果所述属于目标VIP地址以及目标连接标识字段的访问请求对应的目标流量数据大于针对所述目标连接标识字段的预设流量数据阈值,则在所述访问请求的第一清洗流量数据中、对所述目标流量数据进行限流处理,获得所述访问请求的第二流量数据。
20.根据权利要求18所述的方法,其特征在于,还包括:将属于所述目标VIP地址的访问请求转发给所述目标VIP地址对应的目标服务器,获取所述目标服务器已接收的访问请求的流量数据;
所述对所述访问请求的第一清洗流量数据进行限流处理,获得所述访问请求的第二流量数据,包括:
如果所述目标服务器已接收的访问请求的流量数据大于所述目标服务器可接收的访问请求的第一流量数据阈值,则在所述访问请求的第一清洗流量数据中、对所述目标流量数据进行限流处理,获得所述访问请求的第二流量数据。
21.根据权利要求19所述的方法,其特征在于,所述针对所述目标连接标识字段的预设流量数据阈值根据单个服务器可以承载的访问请求的带宽资源确定。
22.一种电子设备,其特征在于,所述电子设备包括处理器和存储器;
所述存储器中存储有计算机程序,所述处理器运行所述计算机程序后,执行权利要求11-21任意一项所述的方法。
23.一种计算机存储介质,其特征在于,所述计算机存储介质存储有计算机程序,所述计算机程序被所述处理器运行后,执行权利要求11-21任意一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310013014.6A CN115913784B (zh) | 2023-01-05 | 2023-01-05 | 一种网络攻击防御***、方法、装置及电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310013014.6A CN115913784B (zh) | 2023-01-05 | 2023-01-05 | 一种网络攻击防御***、方法、装置及电子设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115913784A true CN115913784A (zh) | 2023-04-04 |
| CN115913784B CN115913784B (zh) | 2023-08-08 |
Family
ID=86497032
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310013014.6A Active CN115913784B (zh) | 2023-01-05 | 2023-01-05 | 一种网络攻击防御***、方法、装置及电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115913784B (zh) |
Citations (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103001942A (zh) * | 2012-09-14 | 2013-03-27 | 北京奇虎科技有限公司 | 一种虚拟服务器和一种防御网络攻击的方法 |
| CN105141641A (zh) * | 2015-10-14 | 2015-12-09 | 武汉大学 | 一种基于SDN的Chaos移动目标防御方法及*** |
| CN106161333A (zh) * | 2015-03-24 | 2016-11-23 | 华为技术有限公司 | 基于sdn的ddos攻击防护方法、装置及*** |
| CN106789831A (zh) * | 2015-11-19 | 2017-05-31 | 阿里巴巴集团控股有限公司 | 识别网络攻击的方法和装置 |
| US20170374088A1 (en) * | 2016-06-22 | 2017-12-28 | Sable Networks, Inc. | Individually assigned server alias address for contacting a server |
| CN108322417A (zh) * | 2017-01-16 | 2018-07-24 | 阿里巴巴集团控股有限公司 | 网络攻击的处理方法、装置和***及安全设备 |
| CN109818912A (zh) * | 2017-11-22 | 2019-05-28 | 北京金山云网络技术有限公司 | 防范泛洪攻击的方法、装置、负载均衡设备和存储介质 |
| US20210360023A1 (en) * | 2020-05-15 | 2021-11-18 | Arbor Networks, Inc. | Detecting and mitigating application layer ddos attacks |
| CN113904845A (zh) * | 2021-10-08 | 2022-01-07 | 杭州迪普科技股份有限公司 | 一种攻击流量统计方法及装置 |
| CN114157442A (zh) * | 2020-09-04 | 2022-03-08 | 阿里巴巴集团控股有限公司 | 异常流量检测方法、DDoS攻击检测方法、装置和电子设备 |
| CN114510711A (zh) * | 2022-02-17 | 2022-05-17 | 广州方硅信息技术有限公司 | 防护cc攻击的方法、装置、介质以及计算机设备 |
| CN114679327A (zh) * | 2022-04-06 | 2022-06-28 | 网络通信与安全紫金山实验室 | 网络攻击等级确定方法、装置、计算机设备和存储介质 |
| CN114825607A (zh) * | 2021-12-31 | 2022-07-29 | 湖南大学 | 继电保护信息处理***攻击行为监测方法及装置 |
| CN114830112A (zh) * | 2019-09-26 | 2022-07-29 | 拉德沃有限公司 | 通过QUIC通信协议执行的检测和缓解DDoS攻击 |
-
2023
- 2023-01-05 CN CN202310013014.6A patent/CN115913784B/zh active Active
Patent Citations (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103001942A (zh) * | 2012-09-14 | 2013-03-27 | 北京奇虎科技有限公司 | 一种虚拟服务器和一种防御网络攻击的方法 |
| CN106161333A (zh) * | 2015-03-24 | 2016-11-23 | 华为技术有限公司 | 基于sdn的ddos攻击防护方法、装置及*** |
| CN105141641A (zh) * | 2015-10-14 | 2015-12-09 | 武汉大学 | 一种基于SDN的Chaos移动目标防御方法及*** |
| CN106789831A (zh) * | 2015-11-19 | 2017-05-31 | 阿里巴巴集团控股有限公司 | 识别网络攻击的方法和装置 |
| US20170374088A1 (en) * | 2016-06-22 | 2017-12-28 | Sable Networks, Inc. | Individually assigned server alias address for contacting a server |
| CN108322417A (zh) * | 2017-01-16 | 2018-07-24 | 阿里巴巴集团控股有限公司 | 网络攻击的处理方法、装置和***及安全设备 |
| CN109818912A (zh) * | 2017-11-22 | 2019-05-28 | 北京金山云网络技术有限公司 | 防范泛洪攻击的方法、装置、负载均衡设备和存储介质 |
| CN114830112A (zh) * | 2019-09-26 | 2022-07-29 | 拉德沃有限公司 | 通过QUIC通信协议执行的检测和缓解DDoS攻击 |
| US20210360023A1 (en) * | 2020-05-15 | 2021-11-18 | Arbor Networks, Inc. | Detecting and mitigating application layer ddos attacks |
| CN114157442A (zh) * | 2020-09-04 | 2022-03-08 | 阿里巴巴集团控股有限公司 | 异常流量检测方法、DDoS攻击检测方法、装置和电子设备 |
| CN113904845A (zh) * | 2021-10-08 | 2022-01-07 | 杭州迪普科技股份有限公司 | 一种攻击流量统计方法及装置 |
| CN114825607A (zh) * | 2021-12-31 | 2022-07-29 | 湖南大学 | 继电保护信息处理***攻击行为监测方法及装置 |
| CN114510711A (zh) * | 2022-02-17 | 2022-05-17 | 广州方硅信息技术有限公司 | 防护cc攻击的方法、装置、介质以及计算机设备 |
| CN114679327A (zh) * | 2022-04-06 | 2022-06-28 | 网络通信与安全紫金山实验室 | 网络攻击等级确定方法、装置、计算机设备和存储介质 |
Non-Patent Citations (2)
| Title |
|---|
| NICKY MATHEW: "QUIC DDOS Attack-How does QUIC protocol WORK?", 《HTTPS://BOBCARES.COM/BLOG/QUIC-DDOS-ATTACK》 * |
| 张飞: "命名数据网络中兴趣泛洪攻击主动防御机制的研究", 《中国优秀硕士学位论文全文数据库》 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115913784B (zh) | 2023-08-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11824875B2 (en) | Efficient threat context-aware packet filtering for network protection | |
| US11671402B2 (en) | Service resource scheduling method and apparatus | |
| US6816910B1 (en) | Method and apparatus for limiting network connection resources | |
| CN108173812B (zh) | 防止网络攻击的方法、装置、存储介质和设备 | |
| CN107666473B (zh) | 一种攻击检测的方法及控制器 | |
| US20100095351A1 (en) | Method, device for identifying service flows and method, system for protecting against deny of service attack | |
| EP3399723B1 (en) | Performing upper layer inspection of a flow based on a sampling rate | |
| JP5870009B2 (ja) | ネットワークシステム、ネットワーク中継方法及び装置 | |
| CN108833450B (zh) | 一种实现服务器防攻击方法及装置 | |
| EP3618355B1 (en) | Systems and methods for operating a networking device | |
| US11616796B2 (en) | System and method to protect resource allocation in stateful connection managers | |
| JP2023508302A (ja) | ネットワークセキュリティ保護方法及び保護デバイス | |
| CN110661763B (zh) | 一种DDoS反射攻击防御方法、装置及其设备 | |
| CN112073376A (zh) | 一种基于数据面的攻击检测方法及设备 | |
| EP2109282A1 (en) | Method and system for mitigation of distributed denial of service attacks based on IP neighbourhood density estimation | |
| RU2576488C1 (ru) | СПОСОБ ПОСТРОЕНИЯ СЕТЕЙ ПЕРЕДАЧИ ДАННЫХ С ПОВЫШЕННЫМ УРОВНЕМ ЗАЩИТЫ ОТ DDоS-АТАК | |
| CN111131337B (zh) | UDP Flood攻击的检测方法及装置 | |
| CN115913784B (zh) | 一种网络攻击防御***、方法、装置及电子设备 | |
| Goncalves et al. | WIDIP: Wireless distributed IPS for DDoS attacks | |
| CN114024731A (zh) | 报文处理方法及装置 | |
| CN113014530B (zh) | Arp欺骗攻击防范方法及*** | |
| CN111628982A (zh) | 一种基于信誉度与基尼杂质的洪泛攻击缓解方法 | |
| CN113179247B (zh) | 拒绝服务攻击防护方法、电子装置和存储介质 | |
| CN117596597B (zh) | DRDoS攻击主动防御方法及装置 | |
| Krishna et al. | Dominance of Hardware Firewalls and Denial of Firewall Attacks (Case Study BlackNurse Attack) |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |