本申请公开了一种分布式拒绝服务攻击的防护方法和相关装置,用于面对复杂多变的攻击手法和多种多样的业务场景,通过自定义防护策略实现对DDoS攻击的防护。本申请方法包括:当接收到攻击告警时,若防护设备预设的配置文件中不存在自定义表达式,则读取数据库中的自定义表达式,自定义表达式动态配置有防护策略;向防护设备发送自定义表达式,使得防护设备将自定义表达式存入配置文件,自定义表达式用于指示防护设备调用与防护策略相匹配的功能模块,对流向目标网络地址的流量进行清洗,相匹配的功能模块包含于防护设备中按预置规则划分的至少两个功能模块。
A protection method and related devices for distributed denial of service attack
【技术实现步骤摘要】
一种分布式拒绝服务攻击的防护方法和相关装置
本申请涉及网络安全
,尤其涉及一种分布式拒绝服务攻击的防护方法和相关装置。
技术介绍
分布式拒绝服务(DistributedDenialofService,DDoS)攻击是指,黑客利用DDoS攻击器控制多台计算机同时攻击来达到“妨碍正常使用者使用服务”的目的。通常DDoS攻击可以分为网络层攻击和应用层攻击两大类,其中网络层攻击也叫流量型攻击。目前,DDoS攻击已经成为常见的高危害性安全威胁之一,而遭受DDoS攻击的主要原因有恶作剧、恶性竞争、敲诈勒索、政治因素和其他原因。DDoS攻击是影响企业网络正常运行最常见的方式,其带来的最大危害是因服务不可使用而导致业务丢失,而且危害带来的影响在DDoS攻击结束后的很长一段时间内都无法消失,使得企业和组织损失惨重。抗拒绝服务系统(anti-DDoSProtectionsystems,ADS)是专门用于检测和防护DDoS攻击,以实现对攻击流量的清洗,保持服务器业务稳定的防护系统。而现有的ADS系统的各个功能之间相对独立,在面对现网复杂多变的攻击手法和多种多样的业务场景时,不能起到有效的防护作用。
技术实现思路
本申请实施例提供了一种分布式拒绝服务攻击的防护方法和相关装置,用于面对复杂多变的攻击手法和多种多样的业务场景,通过自定义防护策略实现对DDoS攻击的防护。有鉴于此,本申请实施例第一方面提供一种分布式拒绝服务攻击的防护方法,应用于控制设备,包括:当接收到攻击告警时,若防护设备预设的配置文件中不存在自定义表达式,则读取数据库中的自定义表达式,所述自定义表达式动态配置有防护策略;向所述防护设备发送所述自定义表达式,使得所述防护设备将所述自定义表达式存入所述配置文件,所述自定义表达式用于指示所述防护设备调用与所述防护策略相匹配的功能模块,对流向目标网络地址的流量进行清洗,所述相匹配的功能模块包含于所述防护设备中按预置规则划分的至少两个功能模块。本申请实施例第二方面提供一种分布式拒绝服务攻击的防护方法,应用于防护设备,包括:接收控制设备发送的自定义表达式;将所述自定义表达式存入预设的配置文件,所述自定义表达式动态配置有防护策略,所述自定义表达式由所述控制设备在接收到攻击告警且所述配置文件中不存在自定义表达式时,从数据库中读取并发送的;根据所述自定义表达式调用与所述防护策略相匹配的功能模块,对流向目标网络地址的流量进行清洗,所述相匹配的功能模块包含于所述防护设备中按预置规则划分的至少两个功能模块。在本申请实施例第二方面的第一种实现方式中,所述的防护方法还包括:接收所述控制设备发送的清除指令,所述清除指令是以清洗流向目标网络地址的流量完成时开始,经过预设一段时间后,由所述控制设备发送的;根据所述清除指令清除所述配置文件中的自定义表达式。本申请实施例第三方面提供一种分布式拒绝服务攻击的防护装置,应用于控制设备,包括:读取单元,当接收到攻击告警时,若防护设备预设的配置文件中不存在自定义表达式,则读取数据库中的自定义表达式,所述自定义表达式动态配置有防护策略;发送单元,向所述防护设备发送所述自定义表达式,使得所述防护设备将所述自定义表达式存入所述配置文件,所述自定义表达式用于指示所述防护设备调用与所述防护策略相匹配的功能模块,对流向目标网络地址的流量进行清洗,所述相匹配的功能模块包含于所述防护设备中按预置规则划分的至少两个功能模块。在本申请实施例第三方面的第一种实现方式中,所述读取单元,还用于当数据库中的所述自定义表达式被重新配置时,若所述配置文件中存在自定义表达式,则从所述数据库中读取重新配置后的自定义表达式;所述发送单元,还用于向所述防护设备发送重新配置后的自定义表达式,使得所述防护设备将所述配置文件中的自定义表达式替换为重新配置后的自定义表达式,所述重新配置后的自定义表达式用于指示所述防护设备调用与所述重新配置后的自定义表达式中的所述防护策略相匹配的功能模块,对流向目标网络地址的流量进行清洗。在本申请实施例第三方面的第二种实现方式中,所述发送单元,还用于以清洗流向目标网络地址的流量完成时开始,经过预设一段时间后,向所述防护设备发送清除指令,所述清除指令用于指示所述防护设备清除所述配置文件中的自定义表达式。本申请实施例第四方面提供一种分布式拒绝服务攻击的防护装置,应用于防护设备,包括:接收单元,用于接收控制设备发送的自定义表达式;处理单元,用于将所述自定义表达式存入预设的配置文件,所述自定义表达式动态配置有防护策略,所述自定义表达式由所述控制设备在接收到攻击告警且所述配置文件中不存在自定义表达式时,从数据库中读取并发送的;所述处理单元,还用于根据所述自定义表达式调用与所述防护策略相匹配的功能模块,对流向目标网络地址的流量进行清洗,所述相匹配的功能模块包含于所述防护设备中按预置规则划分的至少两个功能模块。在本申请实施例第四方面的第一种实现方式中,所述接收单元,还用于接收所述控制设备发送的重新配置后的自定义表达式,所述重新配置后的自定义表达式是当数据库中的所述自定义表达式被重新配置且所述配置文件中存在自定义表达式时,由所述控制设备从数据库中读取并发送的;所述处理单元,还用于将所述配置文件中的自定义表达式替换为重新配置后的自定义表达式;所述处理单元,还用于根据所述重新配置后的自定义表达式调用与所述重新配置后的自定义表达式中的所述防护策略相匹配的功能模块,对流向目标网络地址的流量进行清洗。在本申请实施例第四方面的第二种实现方式中,所述接收单元,还用于接收所述控制设备发送的清除指令,所述清除指令是以清洗流向目标网络地址的流量完成时开始,经过预设一段时间后,由所述控制设备发送的;所述处理单元,还用于根据所述清除指令清除所述配置文件中的自定义表达式。在本申请实施例第四方面的第三种实现方式中,所述防护策略为第一防护策略;所述处理单元用于:调用海外网络地址模块,查询流向目标网络地址的流量中来自海外网络地址的流量;调用海外限速模块将来自海外网络地址的流量的传输速率限制在预设第一范围内。在本申请实施例第四方面的第四种实现方式中,所述防护策略为第二防护策略;所述处理单元用于:调用TCP报文包长控制模块,检测流向目标网络地址的流量中的TCP报文包长;若源网络地址单位时间内,向所述目标网络地址发送TCP报文包长超出预设第二范围的TCP报文数量,大于预设个数,则调用黑名单模块,将所述源网络地址加入黑名单。本申请实施例第五方面提供了一种服务器,包括:存储器、收发器、处理器以及总线系统;其中,所述存储器用于存储程序;所述处理器用于执行所述存储器中的程序,以实现本申请实施例第三方面或第四方面中任一项所述的装置的功能。本申请实施例第六方面提供了一种计算本文档来自技高网...
【技术保护点】
1.一种分布式拒绝服务攻击的防护方法,其特征在于,应用于控制设备,包括:/n当接收到攻击告警时,若防护设备预设的配置文件中不存在自定义表达式,则读取数据库中的自定义表达式,所述自定义表达式动态配置有防护策略;/n向所述防护设备发送所述自定义表达式,使得所述防护设备将所述自定义表达式存入所述配置文件,所述自定义表达式用于指示所述防护设备调用与所述防护策略相匹配的功能模块,对流向目标网络地址的流量进行清洗,所述相匹配的功能模块包含于所述防护设备中按预置规则划分的至少两个功能模块。/n
【技术特征摘要】
1.一种分布式拒绝服务攻击的防护方法,其特征在于,应用于控制设备,包括:
当接收到攻击告警时,若防护设备预设的配置文件中不存在自定义表达式,则读取数据库中的自定义表达式,所述自定义表达式动态配置有防护策略;
向所述防护设备发送所述自定义表达式,使得所述防护设备将所述自定义表达式存入所述配置文件,所述自定义表达式用于指示所述防护设备调用与所述防护策略相匹配的功能模块,对流向目标网络地址的流量进行清洗,所述相匹配的功能模块包含于所述防护设备中按预置规则划分的至少两个功能模块。
2.根据权利要求1所述的防护方法,其特征在于,还包括:
当数据库中的所述自定义表达式被重新配置时,若所述配置文件中存在自定义表达式,则从所述数据库中读取重新配置后的自定义表达式并向所述防护设备发送重新配置后的自定义表达式,使得所述防护设备将所述配置文件中的自定义表达式替换为重新配置后的自定义表达式,所述重新配置后的自定义表达式用于指示所述防护设备调用与所述重新配置后的自定义表达式中的所述防护策略相匹配的功能模块,对流向目标网络地址的流量进行清洗。
3.根据权利要求1或2所述的防护方法,其特征在于,还包括:
以清洗流向目标网络地址的流量完成时开始,经过预设一段时间后,向所述防护设备发送清除指令,所述清除指令用于指示所述防护设备清除所述配置文件中的自定义表达式。
4.一种分布式拒绝服务攻击的防护方法,其特征在于,应用于防护设备,包括:
接收控制设备发送的自定义表达式;
将所述自定义表达式存入预设的配置文件,所述自定义表达式动态配置有防护策略,所述自定义表达式由所述控制设备在接收到攻击告警且所述配置文件中不存在自定义表达式时,从数据库中读取并发送的;
根据所述自定义表达式调用与所述防护策略相匹配的功能模块,对流向目标网络地址的流量进行清洗,所述相匹配的功能模块包含于所述防护设备中按预置规则划分的至少两个功能模块。
5.根据权利要求4所述的防护方法,其特征在于,还包括:
接收所述控制设备发送的重新配置后的自定义表达式,所述重新配置后的自定义表达式是当数据库中的所述自定义表达式被重新配置且所述配置文件中存在自定义表达式时,由所述控制设备从数据库中读取并发送的;
将所述配置文件中的自定义表达式替换为重新配置后的自定义表达式;
根据所述重新配置后的自定义表达式调用与所述重新配置...
【专利技术属性】
技术研发人员:陈国,罗喜军,
申请(专利权)人:腾讯科技深圳有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。