專利名稱:業(yè)務(wù)流識(shí)別方法�����、裝置及分布式拒絕服務(wù)攻擊防御方法��、系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)通訊技術(shù)領(lǐng)域,具體涉及一種業(yè)務(wù)流識(shí)別方法�、業(yè)務(wù)流識(shí)別裝置、分布式拒絕服務(wù)攻擊防御方法�����、分布式拒絕服務(wù)攻擊防御系統(tǒng)和裝置���。
背景技術(shù):
DDoS(Distributed Deny of Service,分布式拒絕服務(wù))攻擊主要包括兩種實(shí)現(xiàn)方式���,1�、通過大流量來攻擊網(wǎng)絡(luò)設(shè)備和服務(wù)器�;2、通過制造大量無法完成的不完全請(qǐng)求�,以快速耗盡服務(wù)器資源。
DDoS攻擊的一個(gè)重要特點(diǎn)是從大量的傀儡主機(jī)發(fā)起攻擊��。防止DDoS攻擊的關(guān)鍵在于如何將攻擊數(shù)據(jù)包從合法數(shù)據(jù)包中區(qū)分出來���,即如何分辨合法業(yè)務(wù)流和惡意業(yè)務(wù)流�。
目前�����,分辨合法業(yè)務(wù)流和惡意業(yè)務(wù)流的方法、以及DDoS防御方法主要有如下兩種方法一、黑洞技術(shù)����。在發(fā)生DDoS攻擊時(shí)�����,運(yùn)營商將發(fā)送至被攻擊者的數(shù)據(jù)包盡量阻截在上游����,然后,將阻截的數(shù)據(jù)包引進(jìn)“黑洞”并丟棄��,從而保全運(yùn)營商的基礎(chǔ)網(wǎng)絡(luò)和其它客戶的業(yè)務(wù)�����。
方法二��、MVP(Multi-Verification Process���,多次驗(yàn)證處理)技術(shù)�����。在攻擊間隙����,DDoS防御系統(tǒng)處于“自學(xué)習(xí)”模式,監(jiān)測(cè)不同來源的業(yè)務(wù)流�,了解正常業(yè)務(wù)行為,并建立基準(zhǔn)配置文件��。該基準(zhǔn)配置文件用于調(diào)整策略�����。該策略主要用于在實(shí)時(shí)網(wǎng)絡(luò)活動(dòng)中識(shí)別和過濾已知��、未知以及以前從未見過的攻擊業(yè)務(wù)流���。
發(fā)明人發(fā)現(xiàn)現(xiàn)有技術(shù)中的上述兩種方法至少存在如下問題在方法一中,由于運(yùn)營商將發(fā)送至被攻擊者的數(shù)據(jù)包丟棄了�����,因此該被攻擊者的合法數(shù)據(jù)包和惡意攻擊數(shù)據(jù)包一起被丟棄了����。雖然該方法能夠保全運(yùn)營商的基礎(chǔ)網(wǎng)絡(luò)以及其它客戶的業(yè)務(wù)�����,但是�����,被攻擊者失去了所有的業(yè)務(wù)服務(wù)����,從客觀上講�����,攻擊者達(dá)到了攻擊的目的��。
在方法二中��,由于攻擊業(yè)務(wù)流是受控制的傀儡主機(jī)發(fā)出的����,因此,從報(bào)文特征和報(bào)文行為的角度上講,攻擊業(yè)務(wù)流和正常業(yè)務(wù)流沒有什么不同����,攻擊業(yè)務(wù)流也可以看作是大量的正常業(yè)務(wù)流,因此方法二不能夠準(zhǔn)確的識(shí)別攻擊業(yè)務(wù)流���,存在大量的誤報(bào)���、漏報(bào)現(xiàn)象,從而使DDoS防御系統(tǒng)的防御能力差�����。
發(fā)明內(nèi)容
本發(fā)明實(shí)施方式提供一種業(yè)務(wù)流識(shí)別方法�����、裝置及分布式拒絕服務(wù)攻擊防御應(yīng)用�����,提高了識(shí)別合法業(yè)務(wù)流的準(zhǔn)確性����,提高了分布式拒絕服務(wù)攻擊防御系統(tǒng)的防御能力。
本發(fā)明實(shí)施方式提供的一種業(yè)務(wù)流識(shí)別方法���,包括對(duì)用戶訪問目標(biāo)系統(tǒng)進(jìn)行檢測(cè)����;根據(jù)所述檢測(cè)到的用戶對(duì)目標(biāo)系統(tǒng)的訪問和預(yù)先設(shè)置的用戶訪問統(tǒng)計(jì)模型動(dòng)態(tài)生成用戶標(biāo)識(shí)信息集合����;提取業(yè)務(wù)流中的用戶標(biāo)識(shí)信息;比較所述提取的用戶標(biāo)識(shí)信息和所述集合中的用戶標(biāo)識(shí)信息�,以確定所述提取的用戶標(biāo)識(shí)信息與所述集合中的用戶標(biāo)識(shí)信息是否匹配;根據(jù)所述確定的是否匹配的比較結(jié)果確定所述業(yè)務(wù)流是否為合法業(yè)務(wù)流�。
本發(fā)明實(shí)施方式還提供一種分布式拒絕服務(wù)攻擊防御方法,該方法包括對(duì)用戶訪問目標(biāo)系統(tǒng)進(jìn)行檢測(cè)���;根據(jù)所述檢測(cè)到的用戶對(duì)目標(biāo)系統(tǒng)的訪問和預(yù)先設(shè)置的用戶訪問統(tǒng)計(jì)模型動(dòng)態(tài)生成用戶標(biāo)識(shí)信息集合�����;提取業(yè)務(wù)流中的用戶標(biāo)識(shí)信息���;比較所述提取的用戶標(biāo)識(shí)信息和所述集合中的用戶標(biāo)識(shí)信息,以確定所述提取的用戶標(biāo)識(shí)信息與所述集合中的用戶標(biāo)識(shí)信息是否匹配�����;根據(jù)所述確定的是否匹配的比較結(jié)果確定所述業(yè)務(wù)流是否為合法業(yè)務(wù)流。
允許對(duì)所述確定的合法業(yè)務(wù)流進(jìn)行后續(xù)的正常處理操作���,拒絕對(duì)所述確定的非法業(yè)務(wù)流進(jìn)行后續(xù)的正常處理操作����。
本發(fā)明實(shí)施方式還提供一種業(yè)務(wù)流識(shí)別裝置�,所述裝置包括第一模塊用于檢測(cè)用戶對(duì)目標(biāo)系統(tǒng)的訪問,并根據(jù)所述檢測(cè)到的用戶對(duì)目標(biāo)系統(tǒng)的訪問和預(yù)先設(shè)置的用戶訪問統(tǒng)計(jì)模型動(dòng)態(tài)生成的用戶標(biāo)識(shí)信息���,并輸出���;第二模塊用于接收第一模塊輸出的用戶標(biāo)識(shí)信息,并存儲(chǔ)為用戶標(biāo)識(shí)信息集合����;第三模塊用于提取業(yè)務(wù)流中的用戶標(biāo)識(shí)信息���,將所述提取的用戶標(biāo)識(shí)信息與所述第二模塊中存儲(chǔ)的用戶標(biāo)識(shí)信息進(jìn)行比較���,以確定所述業(yè)務(wù)流中的用戶標(biāo)識(shí)信息與所述第二模塊存儲(chǔ)的用戶標(biāo)識(shí)信息是否匹配�,并根據(jù)是否匹配的比較結(jié)果判斷所述業(yè)務(wù)流是否為合法業(yè)務(wù)流��,并輸出所述業(yè)務(wù)流是否為合法業(yè)務(wù)流的判斷結(jié)果信息�。
本發(fā)明實(shí)施方式還提供一種分布式拒絕服務(wù)攻擊防御系統(tǒng),該系統(tǒng)包括第一模塊用于檢測(cè)用戶對(duì)目標(biāo)系統(tǒng)的訪問����,并根據(jù)檢測(cè)到的用戶對(duì)目標(biāo)系統(tǒng)的訪問和預(yù)先設(shè)置的用戶訪問統(tǒng)計(jì)模型動(dòng)態(tài)生成的用戶標(biāo)識(shí)信息,并輸出�;第二模塊用于接收第一模塊輸出的用戶標(biāo)識(shí)信息,并存儲(chǔ)為用戶標(biāo)識(shí)信息集合�����;第三模塊用于提取業(yè)務(wù)流中的用戶標(biāo)識(shí)信息�,將所述提取的用戶標(biāo)識(shí)信息與所述第二模塊中存儲(chǔ)的用戶標(biāo)識(shí)信息進(jìn)行比較,以確定所述業(yè)務(wù)流中的用戶標(biāo)識(shí)信息與所述第二模塊存儲(chǔ)的用戶標(biāo)識(shí)信息是否匹配����,并根據(jù)是否匹配的比較結(jié)果判斷所述業(yè)務(wù)流是否為合法業(yè)務(wù)流,并輸出所述業(yè)務(wù)流是否為合法業(yè)務(wù)流的判斷結(jié)果信息��;第四模塊用于接收第三模塊輸出的業(yè)務(wù)流是否為合法業(yè)務(wù)的判斷結(jié)果信息���,并允許對(duì)所述確定的合法業(yè)務(wù)流進(jìn)行后續(xù)的正常處理操作�����,拒絕對(duì)所述確定的非法業(yè)務(wù)流進(jìn)行后續(xù)的正常處理操作�����。
本發(fā)明實(shí)施方式還提供一種裝置����,所述裝置中包括第一模塊用于檢測(cè)用戶對(duì)目標(biāo)系統(tǒng)的訪問,并根據(jù)檢測(cè)到的用戶對(duì)目標(biāo)系統(tǒng)的訪問和預(yù)先設(shè)置的用戶訪問統(tǒng)計(jì)模型動(dòng)態(tài)生成的用戶標(biāo)識(shí)信息�,并輸出;第二模塊用于接收第一模塊輸出的用戶標(biāo)識(shí)信息���,并存儲(chǔ)為用戶標(biāo)識(shí)信息集合���。
通過上述技術(shù)方案的描述可知,本發(fā)明實(shí)施方式通過利用用戶訪問統(tǒng)計(jì)模型來動(dòng)態(tài)生成用戶標(biāo)識(shí)信息集合���,使用戶標(biāo)識(shí)信息集合易于維護(hù)���、而且使生成的用戶標(biāo)識(shí)信息集合能夠盡可能準(zhǔn)確的標(biāo)識(shí)出合法用戶�����;因此在利用動(dòng)態(tài)生成的用戶標(biāo)識(shí)信息集合對(duì)合法業(yè)務(wù)流和非法業(yè)務(wù)流進(jìn)行識(shí)別時(shí),能夠提高識(shí)別合法業(yè)務(wù)流的準(zhǔn)確性��;由于本發(fā)明實(shí)施方式能夠準(zhǔn)確識(shí)別出合法業(yè)務(wù)流����,因此,本發(fā)明實(shí)施方式能夠有效防止非法業(yè)務(wù)流帶來的分布式拒絕服務(wù)攻擊����;在避免了被攻擊者失去合法業(yè)務(wù)流現(xiàn)象的同時(shí),提高了分布式拒絕服務(wù)攻擊防御系統(tǒng)的防御能力�。
圖1是依據(jù)本發(fā)明實(shí)施方式的業(yè)務(wù)流識(shí)別方法示意流程圖;圖2是依據(jù)本發(fā)明實(shí)施方式的分布式拒絕服務(wù)攻擊防御方法示意流程圖�;圖3是依據(jù)本發(fā)明實(shí)施方式的分布式拒絕服務(wù)攻擊防御系統(tǒng)示意圖。
具體實(shí)施例方式
發(fā)明人通過大量研究發(fā)現(xiàn)在DDoS攻擊中���,雖然從報(bào)文特征和報(bào)文行為的角度上講��,攻擊業(yè)務(wù)流和正常業(yè)務(wù)流沒有什么不同�����,但是�����,攻擊業(yè)務(wù)流和正常業(yè)務(wù)流在訪問目標(biāo)系統(tǒng)的用戶上是有區(qū)別的����。其區(qū)別在于由于DDoS攻擊是大量傀儡主機(jī)發(fā)起的,所以攻擊業(yè)務(wù)流是大量傀儡主機(jī)發(fā)送出來的���;而正常業(yè)務(wù)流是合法用戶發(fā)送出來的�。一般來說�,合法用戶訪問目標(biāo)系統(tǒng)是可預(yù)期的,而傀儡主機(jī)訪問目標(biāo)系統(tǒng)是不可預(yù)期的��。
發(fā)明人正是利用了上述發(fā)現(xiàn)的合法用戶訪問目標(biāo)系統(tǒng)的可預(yù)期性這一特點(diǎn)���,來實(shí)現(xiàn)業(yè)務(wù)流識(shí)別和DDoS攻擊防御的���。也就是說,由于合法用戶訪問目標(biāo)系統(tǒng)一般是符合一定的用戶訪問統(tǒng)計(jì)模型的����,因此,本發(fā)明實(shí)施方式利用了用戶訪問統(tǒng)計(jì)模型來預(yù)測(cè)合法用戶或非法用戶。預(yù)測(cè)合法用戶或非法用戶的一個(gè)具體的例子為根據(jù)用戶訪問目標(biāo)系統(tǒng)的歷史信息�,預(yù)測(cè)在DDoS攻擊狀態(tài)下可能對(duì)業(yè)務(wù)系統(tǒng)進(jìn)行訪問的概率,并根據(jù)預(yù)測(cè)出的概率來判斷用戶是合法用戶����,還是非法用戶���,如果需要記錄合法用戶的標(biāo)識(shí)信息�����,則在判斷出合法用戶時(shí)��,從用戶訪問目標(biāo)系統(tǒng)的業(yè)務(wù)流中獲取該用戶對(duì)應(yīng)的用戶標(biāo)識(shí)信息�����,并記錄在用戶標(biāo)識(shí)信息集合中��,此時(shí)記錄的用戶標(biāo)識(shí)信息集合可以為用戶白名單���;如果需要記錄非法用戶的用戶標(biāo)識(shí)信息,則在判斷出非法用戶時(shí)���,從用戶訪問目標(biāo)系統(tǒng)的業(yè)務(wù)流中獲取該用戶對(duì)應(yīng)的用戶標(biāo)識(shí)信息���,并記錄在用戶標(biāo)識(shí)信息集合中���,此時(shí)記錄的用戶標(biāo)識(shí)信息集合可以為用戶黑名單。例如可以將預(yù)測(cè)出的大概率用戶確定為合法用戶��,然后從該用戶的訪問目標(biāo)系統(tǒng)的業(yè)務(wù)流中獲取相應(yīng)的用戶標(biāo)識(shí)信息�����,并記錄����。然后,可根據(jù)記錄的用戶標(biāo)識(shí)信息來識(shí)別合法業(yè)務(wù)流和非法業(yè)務(wù)流�����。由于根據(jù)用戶訪問統(tǒng)計(jì)模型產(chǎn)生的用戶標(biāo)識(shí)信息能夠盡可能準(zhǔn)確標(biāo)識(shí)出合/非法用戶�,因此,通過記錄的用戶標(biāo)識(shí)信息能夠盡可能準(zhǔn)確的識(shí)別出合法業(yè)務(wù)流和非法業(yè)務(wù)流��。上述識(shí)別合法業(yè)務(wù)流和非法業(yè)務(wù)流的過程可以應(yīng)用在DDoS攻擊防御中��。即在進(jìn)行DDoS攻擊防御時(shí),可以允許對(duì)識(shí)別出的合法業(yè)務(wù)流進(jìn)行后續(xù)的正常處理操作���,可以拒絕對(duì)識(shí)別出的非法業(yè)務(wù)流進(jìn)行后續(xù)的正常處理操作�����。即在進(jìn)行DDoS攻擊防御時(shí),可以根據(jù)預(yù)期可能訪問目標(biāo)系統(tǒng)的用戶對(duì)應(yīng)的用戶標(biāo)志信息來識(shí)別業(yè)務(wù)流�,并對(duì)識(shí)別出的合/非法業(yè)務(wù)流進(jìn)行相應(yīng)的后續(xù)處理操作。從而本發(fā)明實(shí)施方式在有效保證了合法用戶對(duì)目標(biāo)系統(tǒng)的正常訪問的同時(shí)�,有效攔截了非法業(yè)務(wù)流的攻擊。
下面首先對(duì)本發(fā)明實(shí)施方式提供的業(yè)務(wù)流識(shí)別方法進(jìn)行說明����。
在業(yè)務(wù)流識(shí)別方法的實(shí)施方式中,設(shè)置有用戶標(biāo)識(shí)信息集合���。設(shè)置用戶標(biāo)識(shí)信息集合的方式為根據(jù)用戶對(duì)目標(biāo)系統(tǒng)進(jìn)行訪問的歷史情況�����、以及預(yù)先設(shè)置的��、一定的用戶訪問統(tǒng)計(jì)模型預(yù)測(cè)出合/非法用戶��,如預(yù)測(cè)出在DDoS攻擊狀態(tài)下可能訪問目標(biāo)系統(tǒng)的用戶和/或不可能訪問目標(biāo)系統(tǒng)的用戶����,然后,獲取可能訪問目標(biāo)系統(tǒng)的用戶和/或不可能訪問目標(biāo)系統(tǒng)的用戶的���、訪問目標(biāo)系統(tǒng)的業(yè)務(wù)流中對(duì)應(yīng)的用戶標(biāo)志信息��。用戶標(biāo)識(shí)信息可以為IP地址�����,也可以為其它在網(wǎng)絡(luò)報(bào)文中能夠標(biāo)識(shí)用戶的信息����,如HTTP報(bào)文中的Cookie字段等����。本發(fā)明實(shí)施方式不排除采用靜態(tài)配置用戶標(biāo)識(shí)信息的方式。本發(fā)明實(shí)施方式中設(shè)置的用戶標(biāo)識(shí)信息集合可以為合法用戶的標(biāo)識(shí)信息集合����,此時(shí),設(shè)置的用戶標(biāo)識(shí)信息集合可以稱為用戶白名單����。上述設(shè)置的用戶標(biāo)識(shí)信息集合也可以為非法用戶的標(biāo)識(shí)信息集合���,此時(shí),設(shè)置的用戶標(biāo)識(shí)信息集合可以稱為用戶黑名單��。用戶訪問統(tǒng)計(jì)模型可以根據(jù)網(wǎng)絡(luò)的實(shí)際情況來設(shè)置�,而且設(shè)置用戶訪問統(tǒng)計(jì)模型的方式有多種,本發(fā)明實(shí)施方式不限制用戶訪問統(tǒng)計(jì)模型的具體表現(xiàn)形式��,也不限制用戶標(biāo)識(shí)信息的具體表現(xiàn)形式�。
在進(jìn)行業(yè)務(wù)流識(shí)別過程中���,需要提取業(yè)務(wù)流中的用戶標(biāo)識(shí)信息��,該用戶標(biāo)識(shí)信息應(yīng)該與用戶白/黑名單中的用戶標(biāo)識(shí)信息相對(duì)應(yīng)��,如用戶白/黑名單中的用戶標(biāo)識(shí)信息為IP地址�����,則需要從業(yè)務(wù)流中提取源IP地址����。在從業(yè)務(wù)流中提取了用戶標(biāo)識(shí)信息后,需要對(duì)提取的用戶標(biāo)識(shí)信息與上述設(shè)置的用戶標(biāo)識(shí)信息進(jìn)行比較����,如將提取的用戶標(biāo)識(shí)信息與用戶白名單中的用戶標(biāo)識(shí)信息進(jìn)行比較,以確定從業(yè)務(wù)流中提取的用戶標(biāo)識(shí)信息是否與用戶白名單中的用戶標(biāo)識(shí)信息匹配�����。如果從業(yè)務(wù)流中提取的用戶標(biāo)識(shí)信息與用戶白名單中的用戶標(biāo)識(shí)信息匹配��,則表示從業(yè)務(wù)流中提取的用戶標(biāo)識(shí)信息為合法用戶標(biāo)識(shí)信息���,該業(yè)務(wù)流是合法用戶發(fā)送的�,該業(yè)務(wù)流為合法業(yè)務(wù)流�;如果從業(yè)務(wù)流中提取的用戶標(biāo)識(shí)信息與用戶白名單中的用戶標(biāo)識(shí)信息不匹配,則表示從業(yè)務(wù)流中提取的用戶標(biāo)識(shí)信息為非法用戶標(biāo)識(shí)信息����,該業(yè)務(wù)流是非法用戶發(fā)送的,該業(yè)務(wù)流為非法業(yè)務(wù)流���。
上述針對(duì)業(yè)務(wù)流識(shí)別過程的描述是以用戶白名單為例進(jìn)行說明的��,如果利用用戶訪問統(tǒng)計(jì)模型生成的是用戶黑名單���,其業(yè)務(wù)流識(shí)別過程與上述描述基本相同�,在此不再重復(fù)描述�����。
上述業(yè)務(wù)流識(shí)別過程可以應(yīng)用于多種防御技術(shù)方案中�,如可以應(yīng)用于DDoS攻擊防御技術(shù)方案中。下面對(duì)本發(fā)明實(shí)施方式提供的DDoS攻擊防御方法進(jìn)行說明��。
DDoS攻擊防御過程中�����,利用了上述業(yè)務(wù)流識(shí)別過程�。在利用上述描述的業(yè)務(wù)流識(shí)別過程識(shí)別出業(yè)務(wù)流為合法業(yè)務(wù)流還是非法業(yè)務(wù)流后��,可以允許對(duì)識(shí)別出的合法業(yè)務(wù)流進(jìn)行后續(xù)的正常處理操作�,如允許正常傳輸?shù)龋豢梢跃芙^對(duì)識(shí)別出的非法業(yè)務(wù)流進(jìn)行后續(xù)的正常處理操作��,如拒絕正常傳輸�����、并將識(shí)別出的非法業(yè)務(wù)流丟棄等。
上述DDoS攻擊防御過程可以在出現(xiàn)DDoS攻擊時(shí)啟動(dòng)�����。啟動(dòng)方式可以為手工配置啟動(dòng)�,也可以為動(dòng)態(tài)檢測(cè)啟動(dòng)。動(dòng)態(tài)檢測(cè)啟動(dòng)如對(duì)業(yè)務(wù)流量進(jìn)行檢測(cè)�����,并判斷檢測(cè)結(jié)果�,以確定是否出現(xiàn)DDoS攻擊;在確定出現(xiàn)DDoS攻擊時(shí)��,開始提取業(yè)務(wù)流中的用戶標(biāo)識(shí)信息����,并進(jìn)行業(yè)務(wù)流識(shí)別等后續(xù)過程。對(duì)業(yè)務(wù)流量進(jìn)行檢測(cè)����、并根據(jù)檢測(cè)結(jié)果確定是否出現(xiàn)DDoS攻擊的實(shí)現(xiàn)方式有多種,本發(fā)明實(shí)施方式可以采用現(xiàn)有的方法來檢測(cè)判斷是否出現(xiàn)DDoS攻擊����。本發(fā)明實(shí)施方式不限制檢測(cè)判斷是否出現(xiàn)DDoS攻擊的具體實(shí)現(xiàn)方式���。
在識(shí)別出合法業(yè)務(wù)流和非法業(yè)務(wù)流后,可以根據(jù)優(yōu)先級(jí)對(duì)業(yè)務(wù)流進(jìn)行后續(xù)處理����。這里的優(yōu)先級(jí)可以是通過用戶訪問統(tǒng)計(jì)模型動(dòng)態(tài)生成的;如在檢測(cè)用戶對(duì)目標(biāo)系統(tǒng)的歷史訪問數(shù)據(jù)過程中���,利用用戶訪問統(tǒng)計(jì)模型動(dòng)態(tài)預(yù)測(cè)出在DDoS攻擊過程中可能訪問目標(biāo)系統(tǒng)的用戶或者不可能訪問目標(biāo)系統(tǒng)的用戶�、以及對(duì)應(yīng)的優(yōu)先級(jí)信息�。根據(jù)上述預(yù)期可能訪問目標(biāo)系統(tǒng)或者不可能訪問目標(biāo)系統(tǒng)的用戶、以及優(yōu)先級(jí)信息動(dòng)態(tài)生成包含用戶標(biāo)識(shí)信息��、以及對(duì)應(yīng)的優(yōu)先級(jí)信息的用戶白名單或用戶黑名單�����。在動(dòng)態(tài)生成了包含優(yōu)先級(jí)信息的用戶白/黑名單后����,如果檢測(cè)到DDoS攻擊��、并啟動(dòng)了DDoS攻擊防御��,根據(jù)優(yōu)先級(jí)信息對(duì)業(yè)務(wù)流進(jìn)行處理的方式有多種,如按照優(yōu)先級(jí)從高到低的順序來允許合法業(yè)務(wù)流進(jìn)行后續(xù)的正常處理流程�,再如在DDoS攻擊嚴(yán)重時(shí),也可以按照從低到高的順丟棄合法業(yè)務(wù)流�����。本發(fā)明實(shí)施方式不限制根據(jù)優(yōu)先級(jí)信息對(duì)業(yè)務(wù)流進(jìn)行處理的具體實(shí)現(xiàn)方式�����。
下面以用戶白名單為例���、結(jié)合附圖對(duì)本發(fā)明實(shí)施方式提供的業(yè)務(wù)流識(shí)別方法進(jìn)行說明�。
本發(fā)明實(shí)施方式提供的業(yè)務(wù)流識(shí)別方法如附圖1所示����。
圖1中,步驟1����、設(shè)置用戶訪問統(tǒng)計(jì)模型。簡(jiǎn)單的用戶訪問統(tǒng)計(jì)模型可以為根據(jù)歷史訪問記錄訪問過目標(biāo)系統(tǒng)����,或者為根據(jù)歷史訪問記錄訪問過目標(biāo)系統(tǒng)預(yù)定次數(shù)等等��。這里僅僅舉了兩個(gè)很簡(jiǎn)單的用戶訪問統(tǒng)計(jì)模型的例子�����,用戶訪問統(tǒng)計(jì)模型可以多種多樣的����。
步驟2�����、檢測(cè)用戶對(duì)目標(biāo)系統(tǒng)進(jìn)行訪問的情況����,根據(jù)用戶訪問統(tǒng)計(jì)模型動(dòng)態(tài)生成用戶標(biāo)識(shí)信息,如根據(jù)用戶訪問統(tǒng)計(jì)模型確定該用戶在DDoS攻擊過程中可能訪問目標(biāo)系統(tǒng)的概率�����,并根據(jù)確定出的概率判斷出該用戶為合法用戶時(shí)�,從該用戶訪問目標(biāo)系統(tǒng)的業(yè)務(wù)流中獲取相應(yīng)的用戶標(biāo)識(shí)信息。在步驟2中也可以根據(jù)用戶訪問統(tǒng)計(jì)模型動(dòng)態(tài)生成用戶標(biāo)識(shí)信息����、以及該用戶標(biāo)識(shí)信息對(duì)應(yīng)的優(yōu)先級(jí)信息,如根據(jù)預(yù)測(cè)出的概率來確定該用戶的優(yōu)先級(jí)信息�。
步驟3、將動(dòng)態(tài)生成的用戶標(biāo)識(shí)信息存儲(chǔ)在用戶白名單中���。
如果在步驟2中動(dòng)態(tài)生成了該用戶標(biāo)識(shí)信息對(duì)應(yīng)的優(yōu)先級(jí)信息����,則在步驟3中��,可以將動(dòng)態(tài)生成的用戶標(biāo)識(shí)信息以及優(yōu)先級(jí)信息存儲(chǔ)在用戶白名單中���。
在需要進(jìn)行業(yè)務(wù)流識(shí)別時(shí)�����,到步驟4�����,提取業(yè)務(wù)流中的用戶標(biāo)識(shí)信息����,如從業(yè)務(wù)流中提取源IP地址等。
步驟5����、將提取的用戶標(biāo)識(shí)信息與用戶白名單中的用戶標(biāo)識(shí)信息進(jìn)行比較,如果從業(yè)務(wù)流中提取的用戶標(biāo)識(shí)信息與用戶白名單中的用戶標(biāo)識(shí)信息匹配����,則到步驟6;否則到步驟7�����。
步驟6�、確認(rèn)該業(yè)務(wù)流是合法用戶發(fā)送的,輸出該業(yè)務(wù)流為合法業(yè)務(wù)流的信息����。如果用戶白名單中包含有優(yōu)先級(jí)信息,則在步驟6中�,可以輸出該業(yè)務(wù)流為合法業(yè)務(wù)流的信息、以及該合法業(yè)務(wù)流對(duì)應(yīng)的優(yōu)先級(jí)信息�����。
步驟7�����、確認(rèn)該業(yè)務(wù)流是非法用戶發(fā)送的,輸出該業(yè)務(wù)流為非法業(yè)務(wù)流的信息�����。
下面結(jié)合附圖對(duì)本發(fā)明實(shí)施方式提供的DDoS攻擊防御方法進(jìn)行說明�。
本發(fā)明實(shí)施方式提供的DDoS攻擊防御方法如附圖2所示����。
圖2中,步驟1����、設(shè)置用戶訪問統(tǒng)計(jì)模型。簡(jiǎn)單的用戶訪問統(tǒng)計(jì)模型可以為根據(jù)歷史訪問記錄訪問過目標(biāo)系統(tǒng)��,或者為根據(jù)歷史訪問記錄訪問過目標(biāo)系統(tǒng)預(yù)定次數(shù)等等��。這里僅僅舉了兩個(gè)很簡(jiǎn)單的用戶訪問統(tǒng)計(jì)模型的例子���,用戶訪問統(tǒng)計(jì)模型可以多種多樣的�。
步驟2�����、根據(jù)用戶發(fā)送的業(yè)務(wù)流檢測(cè)用戶對(duì)目標(biāo)系統(tǒng)進(jìn)行訪問的情況,根據(jù)用戶訪問統(tǒng)計(jì)模型動(dòng)態(tài)生成用戶標(biāo)識(shí)信息��、以及該用戶標(biāo)識(shí)信息對(duì)應(yīng)的優(yōu)先級(jí)信息�。例如根據(jù)用戶訪問統(tǒng)計(jì)模型確定該用戶在DDoS攻擊過程中可能訪問目標(biāo)系統(tǒng)的概率,并根據(jù)確定出的概率判斷出該用戶為合法用戶時(shí)����,從該用戶訪問目標(biāo)系統(tǒng)的業(yè)務(wù)流中獲取相應(yīng)用戶標(biāo)識(shí)信息,并根據(jù)確定出的概率確定該用戶的優(yōu)先級(jí)信息���。
步驟3��、將動(dòng)態(tài)生成的用戶標(biāo)識(shí)信息以及優(yōu)先級(jí)信息存儲(chǔ)在用戶白名單中�。
步驟4���、檢測(cè)業(yè)務(wù)流量��,并根據(jù)業(yè)務(wù)流量檢測(cè)結(jié)果判斷是否出現(xiàn)DDoS攻擊�,如果出現(xiàn)DDoS攻擊����,到步驟5��;如果沒有出現(xiàn)DDoS攻擊����,仍然進(jìn)行業(yè)務(wù)流量檢測(cè)過程��。
步驟5���,提取業(yè)務(wù)流中的用戶標(biāo)識(shí)信息,如從業(yè)務(wù)流中提取源IP地址等��。
步驟6����、將提取的用戶標(biāo)識(shí)信息與用戶白名單中的用戶標(biāo)識(shí)信息進(jìn)行比較,如果從業(yè)務(wù)流中提取的用戶標(biāo)識(shí)信息與用戶白名單中的用戶標(biāo)識(shí)信息匹配�����,則到步驟7�����;否則到步驟8��。
步驟7、確認(rèn)該業(yè)務(wù)流是合法用戶發(fā)送的�,根據(jù)該業(yè)務(wù)流對(duì)應(yīng)的優(yōu)先級(jí)信息允許對(duì)該業(yè)務(wù)流進(jìn)行后續(xù)的正常處理操作。
步驟8�����、確認(rèn)該業(yè)務(wù)流是非法用戶發(fā)送的���,拒絕對(duì)該業(yè)務(wù)流進(jìn)行后續(xù)的正常處理操作��,并丟棄該業(yè)務(wù)流�����。
在上述針對(duì)圖2的描述中���,步驟2和步驟3這兩個(gè)步驟與步驟4之間是可以沒有先后順序的,即步驟2和步驟3的執(zhí)行過程是獨(dú)立的���,與步驟4的執(zhí)行沒有先后關(guān)系��,步驟4的執(zhí)行過程是獨(dú)立的���,與步驟2和步驟3的執(zhí)行沒有先后關(guān)系�����。本發(fā)明實(shí)施方式還可以在檢測(cè)出DDoS攻擊后��,持續(xù)對(duì)業(yè)務(wù)流量進(jìn)行檢測(cè)��,在根據(jù)業(yè)務(wù)流量檢測(cè)結(jié)果確定出DDoS攻擊結(jié)束后��,停止執(zhí)行步驟5至步驟8�����,而繼續(xù)執(zhí)行步驟2、步驟3�。該流程僅僅是一個(gè)示意,具體的實(shí)現(xiàn)流程可以有多種����,在此不再一一例舉。
下面對(duì)本發(fā)明實(shí)施方式提供的業(yè)務(wù)流識(shí)別裝置進(jìn)行說明���。
本發(fā)明實(shí)施方式提供的業(yè)務(wù)流識(shí)別裝置包括第一模塊����、第二模塊和第三模塊。
第一模塊主要用于檢測(cè)用戶對(duì)目標(biāo)系統(tǒng)的訪問���,并根據(jù)檢測(cè)到的用戶對(duì)目標(biāo)系統(tǒng)的訪問�、以及預(yù)先設(shè)置的用戶訪問統(tǒng)計(jì)模型動(dòng)態(tài)生成用戶標(biāo)識(shí)信息��,第一模塊將動(dòng)態(tài)生成的用戶標(biāo)識(shí)信息存儲(chǔ)至第二模塊�。而且第一模塊還可以根據(jù)檢測(cè)到的用戶對(duì)目標(biāo)系統(tǒng)的訪問、以及預(yù)先設(shè)置的用戶訪問統(tǒng)計(jì)模型動(dòng)態(tài)生成用戶標(biāo)識(shí)信息對(duì)應(yīng)的優(yōu)先級(jí)信息�����,并將動(dòng)態(tài)生成的優(yōu)先級(jí)信息存儲(chǔ)至第二模塊����。例如,第一模塊在根據(jù)用戶訪問統(tǒng)計(jì)模型預(yù)測(cè)出該用戶在DDoS攻擊過程中可能訪問目標(biāo)系統(tǒng)的概率�,并根據(jù)確定出的概率判斷出該用戶為合法用戶時(shí),從該用戶訪問目標(biāo)系統(tǒng)的業(yè)務(wù)流中獲取相應(yīng)用戶標(biāo)識(shí)信息����,并根據(jù)確定出的概率確定該用戶的優(yōu)先級(jí)信息,然后將用戶標(biāo)識(shí)信息和優(yōu)先級(jí)信息存儲(chǔ)至第二模塊����。
第二模塊主要用于接收第一模塊輸出的用戶標(biāo)識(shí)信息����,并存儲(chǔ)為用戶標(biāo)識(shí)集合�。第二模塊中存儲(chǔ)的用戶標(biāo)識(shí)信息集合可以稱為用戶白名單。而且在第一模塊傳輸來用戶標(biāo)識(shí)對(duì)應(yīng)的優(yōu)先級(jí)信息時(shí)�����,第二模塊中存儲(chǔ)的用戶白名單中還可以包括用戶標(biāo)識(shí)信息對(duì)應(yīng)的優(yōu)先級(jí)信息��。
第三模塊主要用于提取業(yè)務(wù)流中的用戶標(biāo)識(shí)信息��,將提取的用戶標(biāo)識(shí)信息與第二模塊中存儲(chǔ)的用戶標(biāo)識(shí)信息進(jìn)行比較�����,以確定業(yè)務(wù)流中的用戶標(biāo)識(shí)信息與第二模塊存儲(chǔ)的用戶標(biāo)識(shí)信息是否匹配�;在判斷出業(yè)務(wù)流中的用戶標(biāo)識(shí)信息與第二模塊存儲(chǔ)的用戶標(biāo)識(shí)信息匹配時(shí)���,確定該業(yè)務(wù)流是否為合法業(yè)務(wù)流���,并輸出業(yè)務(wù)流為合法業(yè)務(wù)流的判斷結(jié)果信息,在第二模塊中存儲(chǔ)有用戶標(biāo)識(shí)對(duì)應(yīng)的優(yōu)先級(jí)信息時(shí),第三模塊還可以輸出該合法業(yè)務(wù)流對(duì)應(yīng)的優(yōu)先級(jí)信息���;在判斷出業(yè)務(wù)流中的用戶標(biāo)識(shí)信息與第二模塊存儲(chǔ)的用戶標(biāo)識(shí)信息不匹配時(shí)����,確定該業(yè)務(wù)流為非法業(yè)務(wù)流����,并輸出業(yè)務(wù)流為非法業(yè)務(wù)流的判斷結(jié)果信息。
下面對(duì)本發(fā)明實(shí)施方式提供的DDoS攻擊防御系統(tǒng)進(jìn)行說明����。
本發(fā)明實(shí)施方式提供的DDoS攻擊防御系統(tǒng)包括第一模塊、第二模塊��、第三模塊���、第四模塊和第五模塊����。
第一模塊主要用于檢測(cè)用戶對(duì)目標(biāo)系統(tǒng)的訪問�,并根據(jù)檢測(cè)到的用戶對(duì)目標(biāo)系統(tǒng)的訪問、以及預(yù)先設(shè)置的用戶訪問統(tǒng)計(jì)模型動(dòng)態(tài)生成用戶標(biāo)識(shí)信息����,或者動(dòng)態(tài)生成用戶標(biāo)識(shí)信息����、以及用戶標(biāo)識(shí)信息對(duì)應(yīng)的優(yōu)先級(jí)信息����。然后,第一模塊并將用戶標(biāo)識(shí)信息��、或者將用戶標(biāo)識(shí)信息�����、以及優(yōu)先級(jí)信息存儲(chǔ)至第二模塊�����。例如����,第一模塊在根據(jù)用戶訪問統(tǒng)計(jì)模型預(yù)測(cè)出該用戶在DDoS攻擊過程中可能訪問目標(biāo)系統(tǒng)的概率,并根據(jù)確定出的概率判斷出該用戶為合法用戶時(shí)���,從該用戶訪問目標(biāo)系統(tǒng)的業(yè)務(wù)流中獲取相應(yīng)用戶標(biāo)識(shí)信息,并根據(jù)確定出的概率確定該用戶的優(yōu)先級(jí)信息,然后將用戶標(biāo)識(shí)信息和優(yōu)先級(jí)信息存儲(chǔ)至第二模塊�����。
第一模塊可以由存儲(chǔ)子模塊����、檢測(cè)子模塊和第一動(dòng)態(tài)子模塊組成,也可以由存儲(chǔ)子模塊�����、檢測(cè)子模塊���、第一動(dòng)態(tài)子模塊和第二動(dòng)態(tài)子模塊組成��。
存儲(chǔ)子模塊主要用于存儲(chǔ)用戶訪問統(tǒng)計(jì)模型�����。
檢測(cè)子模塊主要用于檢測(cè)用戶對(duì)目標(biāo)系統(tǒng)的訪問情況�,并根據(jù)檢測(cè)到的用戶對(duì)目標(biāo)系統(tǒng)的訪問情況��、存儲(chǔ)子模塊中存儲(chǔ)的用戶訪問統(tǒng)計(jì)模型動(dòng)態(tài)生成用戶標(biāo)識(shí)信息�����,預(yù)測(cè)出該用戶在DDoS攻擊過程中可能訪問目標(biāo)系統(tǒng)的概率,并輸出該概率信息����。
第一動(dòng)態(tài)子模塊主要用于根據(jù)檢測(cè)子模塊輸出的概率信息判斷出該用戶為合法用戶時(shí),從該用戶訪問目標(biāo)系統(tǒng)的業(yè)務(wù)流中獲取相應(yīng)用戶標(biāo)識(shí)信息���,然后將用戶標(biāo)識(shí)信息存儲(chǔ)至第二模塊����。第一動(dòng)態(tài)子模塊也可以確定出該用戶為非法用戶時(shí)�����,從該用戶訪問目標(biāo)系統(tǒng)的業(yè)務(wù)流中獲取相應(yīng)用戶標(biāo)識(shí)信息�,然后將用戶標(biāo)識(shí)信息存儲(chǔ)至第二模塊。
第二動(dòng)態(tài)子模塊主要用于根據(jù)檢測(cè)子模塊輸出的概率信息確定該用戶對(duì)應(yīng)的優(yōu)先級(jí)信息�,并將優(yōu)先級(jí)信息傳輸至第二模塊存儲(chǔ)。第二動(dòng)態(tài)子模塊可以在第一動(dòng)態(tài)子模塊判斷出該用戶為合法用戶時(shí)���,確定該用戶對(duì)應(yīng)的優(yōu)先級(jí)信息�����,并輸出��;第二動(dòng)態(tài)子模塊也可以直接根據(jù)其內(nèi)部存儲(chǔ)的概率閾值來判斷是否需要確定優(yōu)先級(jí)信息����,在根據(jù)概率閾值判斷出需要確定優(yōu)先級(jí)信息時(shí)����,確定該用戶對(duì)應(yīng)的優(yōu)先級(jí)信息并輸出。
第二模塊主要用于接收第一模塊傳輸來的用戶標(biāo)識(shí)信息����、以及優(yōu)先級(jí)信息,并存儲(chǔ)�����,如第二模塊接收第一動(dòng)態(tài)子模塊傳輸來的用戶標(biāo)識(shí)信息并存儲(chǔ)�����,再如第二模塊接收第二動(dòng)態(tài)子模塊傳輸來的優(yōu)先級(jí)信息并存儲(chǔ)�。第二模塊中存儲(chǔ)的用戶標(biāo)識(shí)信息、以及優(yōu)先級(jí)信息可以稱為用戶白名單�。第二模塊中存儲(chǔ)的信息也可以稱為用戶黑名單����。
第三模塊主要用于提取業(yè)務(wù)流中的用戶標(biāo)識(shí)信息���,將提取的用戶標(biāo)識(shí)信息與第二模塊中存儲(chǔ)的用戶標(biāo)識(shí)信息進(jìn)行比較����,以確定業(yè)務(wù)流中的用戶標(biāo)識(shí)信息與第二模塊存儲(chǔ)的用戶標(biāo)識(shí)信息是否匹配�;在判斷出業(yè)務(wù)流中的用戶標(biāo)識(shí)信息與第二模塊存儲(chǔ)的用戶標(biāo)識(shí)信息匹配時(shí),確定該業(yè)務(wù)流是否為合法業(yè)務(wù)流���,并輸出業(yè)務(wù)流為合法業(yè)務(wù)流的判斷結(jié)果信息���,在第二模塊中存儲(chǔ)有用戶標(biāo)識(shí)對(duì)應(yīng)的優(yōu)先級(jí)信息時(shí),第三模塊還可以輸出該合法業(yè)務(wù)流對(duì)應(yīng)的優(yōu)先級(jí)信息�;在判斷出業(yè)務(wù)流中的用戶標(biāo)識(shí)信息與第二模塊存儲(chǔ)的用戶標(biāo)識(shí)信息不匹配時(shí),確定該業(yè)務(wù)流為非法業(yè)務(wù)流��,并輸出業(yè)務(wù)流為非法業(yè)務(wù)流的判斷結(jié)果信息��。
第三模塊可以根據(jù)第五模塊的通知啟動(dòng)提取業(yè)務(wù)流中的用戶標(biāo)識(shí)信息�、以及后續(xù)比較過程的操作。當(dāng)然,在該系統(tǒng)不包括第五模塊時(shí)����,第三模塊可以根據(jù)手工配置等其它方式來啟動(dòng)提取業(yè)務(wù)流中的用戶標(biāo)識(shí)信息、以及后續(xù)比較過程的操作�。
第四模塊主要用于接收第三模塊輸出的業(yè)務(wù)流是否為合法業(yè)務(wù)的判斷結(jié)果信息,當(dāng)?shù)谌K輸出的判斷結(jié)果信息為合法業(yè)務(wù)時(shí)��,允許對(duì)該業(yè)務(wù)流進(jìn)行后續(xù)的正常處理操作�����,如允許該業(yè)務(wù)流的繼續(xù)傳輸�;當(dāng)?shù)谌K輸出的判斷結(jié)果信息為非法業(yè)務(wù)時(shí)����,拒絕對(duì)該業(yè)務(wù)流進(jìn)行后續(xù)的正常處理操作,如禁止該業(yè)務(wù)流的繼續(xù)傳輸�,將該業(yè)務(wù)流丟棄等。當(dāng)?shù)谌K輸出的信息包括優(yōu)先級(jí)信息時(shí)��,第四模塊在允許對(duì)該業(yè)務(wù)流進(jìn)行后續(xù)的正常處理操作時(shí)�����,應(yīng)根據(jù)該業(yè)務(wù)流對(duì)應(yīng)的優(yōu)先級(jí)來進(jìn)行后續(xù)的正常處理操作,如第四模塊根據(jù)各合法業(yè)務(wù)流的優(yōu)先級(jí)信息��、按照由高到低的順序允許業(yè)務(wù)流依次進(jìn)行繼續(xù)傳輸�����。
第五模塊主要用于檢測(cè)業(yè)務(wù)流量��,并判斷業(yè)務(wù)流量檢測(cè)結(jié)果����,在根據(jù)業(yè)務(wù)流量檢測(cè)結(jié)果確定出現(xiàn)DDoS攻擊時(shí),通知第三模塊提取業(yè)務(wù)流中的用戶標(biāo)識(shí)信息����。在根據(jù)業(yè)務(wù)流量檢測(cè)結(jié)果確定出現(xiàn)DDoS攻擊后,第五模塊仍然可以繼續(xù)檢測(cè)業(yè)務(wù)流量����,并繼續(xù)判斷業(yè)務(wù)流量檢測(cè)結(jié)果,在根據(jù)業(yè)務(wù)流量檢測(cè)結(jié)果確定DDoS攻擊消失時(shí)���,通知第三模塊停止提取業(yè)務(wù)流中的用戶標(biāo)識(shí)信息�。第三模塊可以在接收到停止通知時(shí)���,停止進(jìn)行提取并判斷的后續(xù)處理操作�����。在本發(fā)明系統(tǒng)實(shí)施方式中����,第五模塊可以為可選模塊。
本發(fā)明實(shí)施方式提供的系統(tǒng)可以針對(duì)一個(gè)目標(biāo)系統(tǒng)��,也可以針對(duì)多個(gè)目標(biāo)系統(tǒng)����。也就是說�,本發(fā)明實(shí)施方式提供的系統(tǒng)可以為某一個(gè)目標(biāo)系統(tǒng)提供DDoS攻擊防御,也可以同時(shí)為多個(gè)目標(biāo)系統(tǒng)提供DDoS攻擊防御���。當(dāng)本發(fā)明實(shí)施方式提供的系統(tǒng)為某一個(gè)目標(biāo)系統(tǒng)提供DDoS攻擊防御時(shí)���,該系統(tǒng)可以為目標(biāo)系統(tǒng)的前置系統(tǒng),而且可以獨(dú)立于目標(biāo)系統(tǒng)設(shè)置��,也可以設(shè)置于目標(biāo)系統(tǒng)中����。
下面結(jié)合附圖對(duì)本發(fā)明實(shí)施方式提供的DDoS攻擊防御系統(tǒng)進(jìn)行說明����。
圖3為本發(fā)明實(shí)施方式提供的DDoS攻擊防御系統(tǒng)��。
圖3中的系統(tǒng)包括DDoS檢測(cè)模塊�、報(bào)文過濾裝置、用戶白名單及優(yōu)先級(jí)模塊����、用戶訪問統(tǒng)計(jì)模型模塊。DDoS檢測(cè)模塊即上述第五模塊�。報(bào)文過濾裝置即上述第三模塊和第四模塊。用戶白名單及優(yōu)先級(jí)模塊即上述第二模塊���。用戶訪問統(tǒng)計(jì)模型模塊即上述第一模塊����。
報(bào)文過濾裝置主要用于完成對(duì)試圖訪問業(yè)務(wù)系統(tǒng)的業(yè)務(wù)流進(jìn)行過濾�,即對(duì)報(bào)文包進(jìn)行過濾。報(bào)文過濾裝置可以是基于用戶白名單及優(yōu)先級(jí)模塊中存儲(chǔ)的信息進(jìn)行過濾的�。例如,報(bào)文過濾裝置根據(jù)報(bào)文包中的源IP地址���、用戶白名單及優(yōu)先級(jí)模塊中的IP地址對(duì)報(bào)文包進(jìn)行過濾��。這里的業(yè)務(wù)系統(tǒng)即上述目標(biāo)系統(tǒng)�。
用戶白名單及優(yōu)先級(jí)模塊中存儲(chǔ)的信息為包含優(yōu)先級(jí)信息的用戶白名單。用戶白名單及優(yōu)先級(jí)模塊中存儲(chǔ)的用戶標(biāo)識(shí)信息和優(yōu)先級(jí)信息可以以表項(xiàng)的形式存在�。用戶白名單及優(yōu)先級(jí)表項(xiàng)中記錄有可以訪問該業(yè)務(wù)系統(tǒng)的用戶標(biāo)識(shí)信息、及其該用戶標(biāo)識(shí)信息對(duì)應(yīng)的優(yōu)先級(jí)信息��。
上述用戶白名單及優(yōu)先級(jí)表項(xiàng)由用戶訪問統(tǒng)計(jì)模型模塊來進(jìn)行維護(hù)��。在DDoS攻擊防御時(shí)���,上述用戶白名單及優(yōu)先級(jí)表項(xiàng)為報(bào)文過濾裝置提供查詢���。
用戶訪問統(tǒng)計(jì)模型模塊主要用于在正常情況下根據(jù)用戶對(duì)業(yè)務(wù)系統(tǒng)的訪問情況建立并維護(hù)用戶白名單和優(yōu)先級(jí)表項(xiàng)��。用戶訪問統(tǒng)計(jì)模型模塊建立并維護(hù)的表項(xiàng)為用戶訪問統(tǒng)計(jì)模型聲明的���、在受到DDoS攻擊情況下����、允許訪問業(yè)務(wù)系統(tǒng)的用戶標(biāo)識(shí)信息以及優(yōu)先級(jí)信息��。如果用戶標(biāo)識(shí)信息對(duì)應(yīng)高優(yōu)先級(jí),則可以表示在沒有受到DDoS攻擊的正常情況下��、經(jīng)常訪問該業(yè)務(wù)系統(tǒng)的用戶可以在受到DDoS攻擊情況下�����、毫無限制的訪問該業(yè)務(wù)系統(tǒng)��。如果用戶標(biāo)識(shí)信息對(duì)應(yīng)低優(yōu)先級(jí)���,則可以表示在沒有受到DDoS攻擊的正常情況下�、偶然訪問業(yè)務(wù)系統(tǒng)的用戶在受到DDoS攻擊情況下�、需要受限制的訪問該業(yè)務(wù)系統(tǒng)。
DDoS攻擊檢測(cè)模塊主要用于檢測(cè)業(yè)務(wù)系統(tǒng)的業(yè)務(wù)流量�����,以確定業(yè)務(wù)系統(tǒng)目前是否受到DDoS攻擊���,在檢測(cè)到業(yè)務(wù)系統(tǒng)受到DDoS攻擊后�����,向報(bào)文過濾模塊發(fā)出通知�,如發(fā)送過濾指令等。
下面分正常狀態(tài)�、受攻擊狀態(tài)對(duì)上述防御系統(tǒng)的工作流程進(jìn)行說明。
在正常狀態(tài)下���,報(bào)文過濾模塊執(zhí)行透明傳輸操作�,即不對(duì)業(yè)務(wù)流進(jìn)行任何處理�����。用戶訪問統(tǒng)計(jì)模型模塊檢測(cè)用戶對(duì)業(yè)務(wù)系統(tǒng)的訪問情況���,并根據(jù)用戶訪問統(tǒng)計(jì)模型動(dòng)態(tài)生成包含各用戶對(duì)應(yīng)的優(yōu)先級(jí)的用戶訪問白名單��。包含優(yōu)先級(jí)的用戶訪問白名單可以在DDoS攻擊期間使用�����。DDoS攻擊檢測(cè)模塊持續(xù)對(duì)業(yè)務(wù)系統(tǒng)的業(yè)務(wù)流量進(jìn)行檢測(cè),以確定是否出現(xiàn)DDoS攻擊�����。
在受到DDoS攻擊狀態(tài)下���,報(bào)文過濾模塊開始提取業(yè)務(wù)流的用戶標(biāo)識(shí)信息����,并根據(jù)用戶白名單及優(yōu)先級(jí)表項(xiàng)聲稱的過濾規(guī)則對(duì)試圖訪問業(yè)務(wù)系統(tǒng)的業(yè)務(wù)流進(jìn)行過濾,以保證用戶白名單中的用戶可以根據(jù)優(yōu)先級(jí)順序訪問業(yè)務(wù)系統(tǒng)��。用戶訪問統(tǒng)計(jì)模型模塊停止運(yùn)作�����。DDoS攻擊檢測(cè)模塊持續(xù)對(duì)業(yè)務(wù)流量進(jìn)行檢測(cè)���,以確定DDoS攻擊是否消失�。
上述正常狀態(tài)和受到DDoS攻擊狀態(tài)的切換是由DDoS攻擊檢測(cè)模塊觸發(fā)的���。即DDoS攻擊檢測(cè)模塊在檢測(cè)到業(yè)務(wù)系統(tǒng)出現(xiàn)DDoS攻擊時(shí)�,則觸發(fā)報(bào)文過濾模塊����,使DDoS攻擊防御系統(tǒng)進(jìn)入受到DDoS攻擊狀態(tài),DDoS攻擊檢測(cè)模塊在檢測(cè)到業(yè)務(wù)系統(tǒng)的DDoS攻擊消失時(shí)�,則觸發(fā)報(bào)文過濾模塊,使DDoS攻擊防御系統(tǒng)進(jìn)入正常狀態(tài)��。
上述用戶訪問統(tǒng)計(jì)模型模塊可以集成設(shè)置于業(yè)務(wù)系統(tǒng)中。DDOS攻擊檢測(cè)模塊可以和報(bào)文過濾裝置合設(shè)在同一個(gè)設(shè)備中���,DDOS攻擊檢測(cè)模塊����、報(bào)文過濾裝置和用戶白名單及優(yōu)先級(jí)模塊也可以合設(shè)在同一個(gè)設(shè)備中���。
下面對(duì)本發(fā)明實(shí)施方式提供的裝置進(jìn)行說明��。
本發(fā)明實(shí)施方式提供的裝置包括第一模塊和第二模塊�。第一模塊可以由存儲(chǔ)子模塊�、檢測(cè)子模塊和第一動(dòng)態(tài)子模塊組成,也可以由存儲(chǔ)子模塊���、檢測(cè)子模塊�����、第一動(dòng)態(tài)子模塊和第二動(dòng)態(tài)子模塊組成���。上述各模塊�����、子模塊所執(zhí)行的操作如上述實(shí)施方式中的描述,在此不再重復(fù)說明�����。
本發(fā)明實(shí)施方式提供的裝置可以為業(yè)務(wù)系統(tǒng)的服務(wù)器等需要產(chǎn)生用戶白名單���、和/或黑名單的設(shè)備��。
本發(fā)明實(shí)施方式通過利用用戶訪問統(tǒng)計(jì)模型來動(dòng)態(tài)生成用戶標(biāo)識(shí)信息�,使用戶標(biāo)識(shí)信息易于維護(hù)����、而且使生成的用戶標(biāo)識(shí)信息能夠盡可能準(zhǔn)確的標(biāo)識(shí)出合法用戶;因此在利用動(dòng)態(tài)生成的用戶標(biāo)識(shí)信息對(duì)合法業(yè)務(wù)流和非法業(yè)務(wù)流進(jìn)行識(shí)別時(shí)���,能夠提高識(shí)別合法業(yè)務(wù)流的準(zhǔn)確性�����;由于本發(fā)明實(shí)施方式能夠準(zhǔn)確識(shí)別出合法業(yè)務(wù)流���,因此���,本發(fā)明實(shí)施方式能夠有效防止非法業(yè)務(wù)流帶來的分布式拒絕服務(wù)攻擊;即本發(fā)明實(shí)施方式采用用戶訪問模型與報(bào)文過濾連動(dòng)防御的分布式拒絕服務(wù)攻擊��,在避免了被攻擊者失去合法業(yè)務(wù)流現(xiàn)象的同時(shí)�����,提高了分布式拒絕服務(wù)攻擊防御系統(tǒng)的防御能力�。
雖然通過實(shí)施例描繪了本發(fā)明,本領(lǐng)域普通技術(shù)人員知道����,本發(fā)明有許多變形和變化而不脫離本發(fā)明的精神,本發(fā)明的申請(qǐng)文件的權(quán)利要求包括這些變形和變化�����。
權(quán)利要求
1.一種業(yè)務(wù)流識(shí)別方法����,其特征在于,所述方法包括對(duì)用戶訪問目標(biāo)系統(tǒng)進(jìn)行檢測(cè)��;根據(jù)所述檢測(cè)到的用戶對(duì)目標(biāo)系統(tǒng)的訪問和預(yù)先設(shè)置的用戶訪問統(tǒng)計(jì)模型動(dòng)態(tài)生成用戶標(biāo)識(shí)信息集合;提取業(yè)務(wù)流中的用戶標(biāo)識(shí)信息����;比較所述提取的用戶標(biāo)識(shí)信息和所述集合中的用戶標(biāo)識(shí)信息��,以確定所述提取的用戶標(biāo)識(shí)信息與所述集合中的用戶標(biāo)識(shí)信息是否匹配��;根據(jù)所述確定的是否匹配的比較結(jié)果確定所述業(yè)務(wù)流是否為合法業(yè)務(wù)流����。
2.一種分布式拒絕服務(wù)攻擊防御方法,其特征在于����,所述方法包括對(duì)用戶訪問目標(biāo)系統(tǒng)進(jìn)行檢測(cè);根據(jù)所述檢測(cè)到的用戶對(duì)目標(biāo)系統(tǒng)的訪問和預(yù)先設(shè)置的用戶訪問統(tǒng)計(jì)模型動(dòng)態(tài)生成用戶標(biāo)識(shí)信息集合��;提取業(yè)務(wù)流中的用戶標(biāo)識(shí)信息���;比較所述提取的用戶標(biāo)識(shí)信息和所述集合中的用戶標(biāo)識(shí)信息���,以確定所述提取的用戶標(biāo)識(shí)信息與所述集合中的用戶標(biāo)識(shí)信息是否匹配;根據(jù)所述確定的是否匹配的比較結(jié)果確定所述業(yè)務(wù)流是否為合法業(yè)務(wù)流�����。允許對(duì)所述確定的合法業(yè)務(wù)流進(jìn)行后續(xù)的正常處理操作,拒絕對(duì)所述確定的非法業(yè)務(wù)流進(jìn)行后續(xù)的正常處理操作�。
3.如權(quán)利要求2所述的方法,其特征在于�����,所述提取業(yè)務(wù)流中的用戶標(biāo)識(shí)信息的步驟包括檢測(cè)業(yè)務(wù)流量���,根據(jù)業(yè)務(wù)流量檢測(cè)結(jié)果確定出現(xiàn)分布式拒絕服務(wù)攻擊時(shí)���,提取業(yè)務(wù)流中的用戶標(biāo)識(shí)信息。
4.如權(quán)利要求2或3所述的方法�����,其特征在于����,所述方法還包括根據(jù)所述檢測(cè)到的用戶對(duì)目標(biāo)系統(tǒng)的訪問、以及預(yù)先設(shè)置的用戶訪問統(tǒng)計(jì)模型動(dòng)態(tài)生成用戶標(biāo)識(shí)信息對(duì)應(yīng)的優(yōu)先級(jí)信息�����;且所述允許對(duì)所述確定的合法業(yè)務(wù)流進(jìn)行后續(xù)的正常處理操作的步驟包括確定所述合法業(yè)務(wù)流的用戶標(biāo)識(shí)信息對(duì)應(yīng)的優(yōu)先級(jí)信息,根據(jù)所述確定的優(yōu)先級(jí)信息允許對(duì)所述確定的合法業(yè)務(wù)流進(jìn)行后續(xù)的正常處理操作����。
5.一種業(yè)務(wù)流識(shí)別裝置,其特征在于����,所述裝置包括第一模塊用于檢測(cè)用戶對(duì)目標(biāo)系統(tǒng)的訪問����,并根據(jù)所述檢測(cè)到的用戶對(duì)目標(biāo)系統(tǒng)的訪問和預(yù)先設(shè)置的用戶訪問統(tǒng)計(jì)模型動(dòng)態(tài)生成的用戶標(biāo)識(shí)信息,并輸出�;第二模塊用于接收第一模塊輸出的用戶標(biāo)識(shí)信息,并存儲(chǔ)為用戶標(biāo)識(shí)信息集合�����;第三模塊用于提取業(yè)務(wù)流中的用戶標(biāo)識(shí)信息���,將所述提取的用戶標(biāo)識(shí)信息與所述第二模塊中存儲(chǔ)的用戶標(biāo)識(shí)信息進(jìn)行比較��,以確定所述業(yè)務(wù)流中的用戶標(biāo)識(shí)信息與所述第二模塊存儲(chǔ)的用戶標(biāo)識(shí)信息是否匹配��,并根據(jù)是否匹配的比較結(jié)果判斷所述業(yè)務(wù)流是否為合法業(yè)務(wù)流�,并輸出所述業(yè)務(wù)流是否為合法業(yè)務(wù)流的判斷結(jié)果信息。
6.一種分布式拒絕服務(wù)攻擊防御系統(tǒng)��,其特征在于����,所述系統(tǒng)包括第一模塊用于檢測(cè)用戶對(duì)目標(biāo)系統(tǒng)的訪問,并根據(jù)檢測(cè)到的用戶對(duì)目標(biāo)系統(tǒng)的訪問和預(yù)先設(shè)置的用戶訪問統(tǒng)計(jì)模型動(dòng)態(tài)生成的用戶標(biāo)識(shí)信息���,并輸出��;第二模塊用于接收第一模塊輸出的用戶標(biāo)識(shí)信息�����,并存儲(chǔ)為用戶標(biāo)識(shí)信息集合���;第三模塊用于提取業(yè)務(wù)流中的用戶標(biāo)識(shí)信息,將所述提取的用戶標(biāo)識(shí)信息與所述第二模塊中存儲(chǔ)的用戶標(biāo)識(shí)信息進(jìn)行比較���,以確定所述業(yè)務(wù)流中的用戶標(biāo)識(shí)信息與所述第二模塊存儲(chǔ)的用戶標(biāo)識(shí)信息是否匹配����,并根據(jù)是否匹配的比較結(jié)果判斷所述業(yè)務(wù)流是否為合法業(yè)務(wù)流�����,并輸出所述業(yè)務(wù)流是否為合法業(yè)務(wù)流的判斷結(jié)果信息;第四模塊用于接收第三模塊輸出的業(yè)務(wù)流是否為合法業(yè)務(wù)的判斷結(jié)果信息����,并允許對(duì)所述確定的合法業(yè)務(wù)流進(jìn)行后續(xù)的正常處理操作,拒絕對(duì)所述確定的非法業(yè)務(wù)流進(jìn)行后續(xù)的正常處理操作�����。
7.如權(quán)利要求6所述的系統(tǒng)�����,其特征在于���,所述系統(tǒng)還包括第五模塊用于檢測(cè)業(yè)務(wù)流量,并根據(jù)業(yè)務(wù)流量檢測(cè)結(jié)果確定出現(xiàn)分布式拒絕服務(wù)攻擊時(shí)�,通知第三模塊提取業(yè)務(wù)流中的用戶標(biāo)識(shí)信息。
8.如權(quán)利要求6或7所述的系統(tǒng)�,其特征在于,所述第一模塊包括存儲(chǔ)子模塊用于存儲(chǔ)用戶訪問統(tǒng)計(jì)模型�;檢測(cè)子模塊用于檢測(cè)用戶對(duì)目標(biāo)系統(tǒng)的訪問,并根據(jù)檢測(cè)到的用戶對(duì)目標(biāo)系統(tǒng)的訪問信息�����、存儲(chǔ)子模塊中存儲(chǔ)的用戶訪問統(tǒng)計(jì)模型確定用戶訪問目標(biāo)系統(tǒng)的概率;第一動(dòng)態(tài)子模塊用于根據(jù)檢測(cè)子模塊確定的概率確定需要從用戶訪問目標(biāo)系統(tǒng)的業(yè)務(wù)流中獲取用戶標(biāo)識(shí)信息時(shí)��,獲取用戶標(biāo)識(shí)信息����,并輸出;第二動(dòng)態(tài)子模塊用于根據(jù)檢測(cè)子模塊確定的概率動(dòng)態(tài)生成用戶標(biāo)識(shí)信息對(duì)應(yīng)的優(yōu)先級(jí)信息�,并輸出;所述優(yōu)先級(jí)信息由第二模塊存儲(chǔ)�;且所述第四模塊在允許對(duì)所述確定的合法業(yè)務(wù)流進(jìn)行后續(xù)的正常處理操作時(shí),根據(jù)第二模塊中存儲(chǔ)的信息確定所述合法業(yè)務(wù)流的用戶標(biāo)識(shí)信息對(duì)應(yīng)的優(yōu)先級(jí)�,并根據(jù)所述確定的優(yōu)先級(jí)允許對(duì)所述確定的合法業(yè)務(wù)流進(jìn)行后續(xù)的正常處理操作。
9.如權(quán)利要求6或7所述的系統(tǒng)�����,其特征在于�,所述第一模塊設(shè)置于目標(biāo)系統(tǒng)中,或者所述第一模塊獨(dú)立于目標(biāo)系統(tǒng)設(shè)置���,或者所述第一模塊和第二模塊設(shè)置于目標(biāo)系統(tǒng)中�,或者所述第一模塊和第二模塊獨(dú)立于目標(biāo)系統(tǒng)設(shè)置�����。
10.如權(quán)利要求6或7所述的系統(tǒng),其特征在于��,所述分布式拒絕服務(wù)攻擊防御系統(tǒng)對(duì)應(yīng)一個(gè)目標(biāo)系統(tǒng)�、或者對(duì)應(yīng)多個(gè)目標(biāo)系統(tǒng)。
11.一種裝置�����,其特征在于�,所述裝置中包括第一模塊用于檢測(cè)用戶對(duì)目標(biāo)系統(tǒng)的訪問,并根據(jù)檢測(cè)到的用戶對(duì)目標(biāo)系統(tǒng)的訪問和預(yù)先設(shè)置的用戶訪問統(tǒng)計(jì)模型動(dòng)態(tài)生成的用戶標(biāo)識(shí)信息����,并輸出���;第二模塊用于接收第一模塊輸出的用戶標(biāo)識(shí)信息����,并存儲(chǔ)為用戶標(biāo)識(shí)信息集合�����。
全文摘要
業(yè)務(wù)流識(shí)別方法、裝置和分布式拒絕服務(wù)攻擊防御方法��、系統(tǒng)��。業(yè)務(wù)流識(shí)別方法包括對(duì)用戶訪問目標(biāo)系統(tǒng)進(jìn)行檢測(cè)��;根據(jù)檢測(cè)到的用戶對(duì)目標(biāo)系統(tǒng)的訪問和預(yù)先設(shè)置的用戶訪問統(tǒng)計(jì)模型動(dòng)態(tài)生成用戶標(biāo)識(shí)信息集合��;提取業(yè)務(wù)流中的用戶標(biāo)識(shí)信息��;比較提取的用戶標(biāo)識(shí)信息和集合中的用戶標(biāo)識(shí)信息�,以確定提取的用戶標(biāo)識(shí)信息與生成的用戶標(biāo)識(shí)信息是否匹配;根據(jù)確定的是否匹配的比較結(jié)果確定所述業(yè)務(wù)流是否為合法業(yè)務(wù)流���。上述業(yè)務(wù)流識(shí)別方法應(yīng)用于分布式拒絕服務(wù)攻擊防御時(shí)��,對(duì)上述確定的合法業(yè)務(wù)流進(jìn)行后續(xù)的正常處理操作�,拒絕對(duì)所述確定的非法業(yè)務(wù)流進(jìn)行后續(xù)的正常處理操作�。從而提高了識(shí)別合法業(yè)務(wù)流的準(zhǔn)確性,提高了分布式拒絕服務(wù)攻擊防御系統(tǒng)的防御能力��。
文檔編號(hào)H04L12/26GK101039326SQ200710098879
公開日2007年9月19日 申請(qǐng)日期2007年4月28日 優(yōu)先權(quán)日2007年4月28日
發(fā)明者劉利鋒, 鄭志彬 申請(qǐng)人:華為技術(shù)有限公司