一种分布式近威胁源攻击阻断方法及其装置制造方法及图纸

本发明专利技术公开了一种分布式近威胁源攻击阻断方法及其装置，属于网络空间安全技术领域。本发明专利技术所述的装置包括联动防护控制模块和攻击阻断执行模块；联动防护控制模块部署在网络的防护系统中，攻击阻断执行模块部署在网络的每个安全网关中。本发明专利技术所述的方法通过接受来自攻击检测方传递来的攻击类型与路径，依据安全网关的部署，求得执行安全网关，在执行安全网关上阻断网络攻击。本发明专利技术计算执行安全网关，依据安全网关集合和攻击路径可以计算出执行安全网关，减少攻击对网络资源的消耗，选择近威胁源的安全网关为执行安全网关，可以最大限度地防止攻击流量在网络中流动，提高了网络中流量有效率。

Distributed near threat source attack blocking method and device thereof

The invention discloses a distributed near threat source attack blocking method and a device thereof, belonging to the technical field of network space security. The device comprises a linkage door control module and the attack blocking execution module; linkage door control module is deployed in the protection system of network attack, blocking the execution module is deployed in each network security gateway. The method of the invention receives the attack type and path transmitted from the attack detection party, and then obtains the execution security gateway according to the deployment of the security gateway, and blocks the network attack on the security gateway. The method of the invention implementation of security gateway based on security gateway set and attack path can be calculated from the implementation of security gateway, reduce the attack on the cyber source consumption in threats to the security gateway source for the implementation of security gateway, can prevent the attack traffic flow in the network, improve the efficiency of network traffic.

【技术实现步骤摘要】

本专利技术涉及应用于网络信息安全保障的一种分布式近威胁源攻击阻断方法及其装置，属于网络空间安全

技术介绍
目前互联网上网络攻击越来越多，不但使服务器瘫痪，而且导致网络资源大量消耗、有效流量减少、网络可用性降低等。传统防御策略常采用防火墙或安全网关在受攻击者附近(近受害者)，例如数据中心入口，阻断入侵的网络攻击，能够阻断包括分布式服务拒绝攻击(DDoS)在内的大量攻击，保护数据中心的服务器。但是，这种防御策略不能够防止攻击流量对网络资源的消耗，放任攻击流量在防火墙外任意地占用网络资源。随着网络结构的改进、下一代互联网体系架构的提出、5G网络安全性的提高、天地一体化网络总体方案的确定等，网络信息安全保障策略不是成为网络中的安全补丁，而是被融入到网络自身中，成为网络一个重要的组成部分，甚至成为网络设备的模块，包括但不限于网络终端的认证、签名、攻击检测等模块。另外一方面，随着网络信息安全数据收集和汇聚、面向信息安全分析的数据挖掘技术的提升、网络信息安全态势分析系统的部署，很多网络攻击检测手段，不局限于防火墙单点的分析，已经被部署到网络各个传感器、离线的流量分析器和数据挖掘服务器上，对网络攻击的分析更加细致和齐全。
技术实现思路
本专利技术提出一种分布式近威胁源攻击阻断方法及其装置，为网络安全环境提供一种阻断网络手段。本专利技术通过接受来自攻击检测方传递来的攻击类型与路径，依据安全网关的部署，求得近威胁源的攻击阻断执行安全网关，简称为执行安全网关，在执行安全网关上阻断网络攻击。本专利技术提供的分布式近威胁源攻击阻断装置，包括联动防护控制模块和攻击阻断执行模块；联动防护控制模块部署在网络的防护系统中，攻击阻断执行模块部署在网络的每个安全网关中。所述的联动防护控制模块接收网络中攻击路径与攻击类型信息，计算支持近威胁源攻击阻断的执行安全网关，分发攻击阻断指令给攻击阻断执行模块，并获取执行结果。所述的攻击阻断执行模块接收攻击阻断指令，控制执行安全网关执行攻击阻断指令，并反馈执行结果给联动防护控制模块。所述的联动防护控制模块，还包括攻击阻断控制效果研判与异常处理，根据攻击阻断执行模块反馈的执行结果进行效果研判，对未顺利阻断的指令，向防护系统提交报警信息。本专利技术提供的分布式近威胁源攻击阻断方法，包括：(1)在联动防护控制模块中配置安全网关集合；(2)联动防护控制模块接收与分解攻击信息，获取攻击路径和攻击类型；(3)联动防护控制模块求得每条估计路径上支持近威胁源攻击阻断的执行安全网关；(4)联动防护模块向执行安全网关发送阻断指令，汇聚和收集阻断指令反馈；(5)执行安全网关中的攻击阻断执行模块执行阻断指令，产生阻断动作；(6)攻击阻断执行模块分析阻断效果性能指标，获取执行效果发送给联动防护控制模块；(7)联动防护控制模块汇聚执行效果，研判执行结果，对于执行失败的阻断指令，向防护系统告警。本专利技术的优点与积极效果在于：(1)本专利技术配置安全网关信息，可以了解全网的安全网关数量，可以选择性部署攻击阻断策略。(2)本专利技术计算执行安全网关，依据安全网关集合和攻击路径可以计算出执行安全网关。(3)本专利技术可以减少攻击对网络资源的消耗，选择近威胁源的安全网关为执行安全网关，可以最大限度地防止攻击流量在网络中流动，减少了攻击流量，提高了网络中流量有效率。附图说明图1是本专利技术提供的分布式近威胁源攻击阻断装置中模块布置示意图；图2是本专利技术提供的分布式近威胁源攻击阻断装置及方法实现阻断机制的示意图。具体实施方式下面将结合附图和实施例对本专利技术作进一步的详细说明。所描述的实施例也仅仅是本专利技术的一部分实施例，而不是全部实施例。基于本专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。本专利技术分布式近威胁源攻击阻断装置，包括联动防护控制模块和攻击阻断执行模块，如图1所示。联动防护控制模块部署在网络的防护系统中，一个联动防护控制模块可以被多个防护系统同时采用。攻击阻断执行模块部署在网络中的安全网关中，包括但不限于安全接入网关、网间互联安全网关、防火墙等，可以被多台或多类安全网关采用。联动防护控制模块控制攻击阻断执行模块执行，能在同一时间段控制多个执行安全网关执行攻击阻断。网络攻击检测、网络安全态势分析、网络流量离线分析等系统检测网络中的包括攻击在内的相关信息推送给联动防护控制模块。如图2所示，联动防护控制模块实现：攻击路径与攻击类型信息接收与信息分解；支持近威胁源攻击阻断的执行安全网关计算；攻击阻断控制效果研判与异常处理；攻击阻断指令分发与结果汇聚；联动防护交互通信协议。攻击阻断执行模块实现：阻断指令接收与结果反馈；执行安全网关攻击阻断指令执行；阻断效果性能指标分析。联动防护交互通信协议实现联动防护控制模块与外界的通信，接收攻击信息，发送攻击阻断指令等。在联动防护控制模块中，核心是攻击阻断控制效果研判与异常处理，应用攻击路径与攻击类型信息接收与信息分解来处理外部的攻击信息，采用支持近威胁源攻击阻断的执行安全网关计算来求得执行安全网关，最后使用攻击阻断指令分发与结果汇聚来启动指令和获取结果。在攻击阻断执行模块中，阻断指令接收与结果反馈是核心，采用执行安全网关攻击阻断指令执行来控制流量，应用阻断效果性能指标分析来监视执行效果。本专利技术实现的分布式近威胁源攻击阻断，尤其针对分布式拒绝服务攻击时，估计路径有多条，获取各个攻击路径，计算各路径上的执行安全网关，执行攻击阻断指令。本专利技术在每个安全网关中加入了攻击阻断执行模块。本专利技术中，支持近威胁源攻击阻断的执行安全网关计算方法实现如下：假设主机rk1攻击主机rkn的某条攻击路径为Pk＝{rk1,rk2,…,rki,…,rkn-1,rkn本文档来自技高网...

【技术保护点】
一种分布式近威胁源攻击阻断装置，其特征在于，包括联动防护控制模块和攻击阻断执行模块，联动防护控制模块部署在网络的防护系统中，攻击阻断执行模块部署在网络的安全网关中；所述的联动防护控制模块接收网络中攻击路径与攻击类型信息，计算支持近威胁源攻击阻断的执行安全网关，分发攻击阻断指令给攻击阻断执行模块，并获取执行结果；所述的攻击阻断执行模块接收攻击阻断指令，控制执行安全网关执行攻击阻断指令，并反馈执行结果给联动防护控制模块。

【技术特征摘要】
1.一种分布式近威胁源攻击阻断装置，其特征在于，包括联动防护控制模块和攻击阻断执行模块，联动防护控制模块部署在网络的防护系统中，攻击阻断执行模块部署在网络的安全网关中；所述的联动防护控制模块接收网络中攻击路径与攻击类型信息，计算支持近威胁源攻击阻断的执行安全网关，分发攻击阻断指令给攻击阻断执行模块，并获取执行结果；所述的攻击阻断执行模块接收攻击阻断指令，控制执行安全网关执行攻击阻断指令，并反馈执行结果给联动防护控制模块。2.根据权利要求1所述的装置，其特征在于，所述的联动防护控制模块，配置有安全网关集合，在计算支持近威胁源攻击阻断的执行安全网关时，采用集合与运算，选取的顺序是根据攻击路径中安全网关出现的顺序，具体如下：首先判断攻击路径中是否有安全网关，设存在安全网关集合DN；从攻击路径上顺序选取节点，判断是否与DN有交集，当有交集时，将当前所选取节点作为执行安全网关。3.根据权利要求1所述的装置，其特征在于，所述的联动防护控制模块，还包括攻击阻断控制效果研判与异常处理，根据攻击阻断执行模块反馈的执行结果进行效果研判，...

【专利技术属性】
技术研发人员：陆月明，陈小雨，
申请(专利权)人：北京邮电大学，
类型：发明
国别省市：北京;11