【技术实现步骤摘要】
分布式拒绝服务DDoS防御系统、方法、设备及介质
[0001]本专利技术涉及网络安全
,尤其涉及一种分布式拒绝服务DDoS防御系统、方法、设备及介质。
技术介绍
[0002]拒绝服务(Denial
‑
of
‑
Service,DoS)攻击是一种网络攻击方法,该DoS攻击的目的在于使目标资源(例如:网络或系统)耗尽,导致该目标资源对应的服务中断或停止,进而使得用户无法正常访问该服务。而分布式拒绝服务(Distributed Denial
‑
of
‑
Service,DDoS)攻击指的是黑客通过控制网络中多台主机向特定目标发动DoS攻击的一种攻击方法,由于攻击源和攻击手段具有未知性,所以,现有的DDoS防御系统难以有效防御DDoS攻击。
[0003]随着互联网技术和云技术的兴起,大量网络服务暴露在互联网空间,同时,也暴露在DDoS攻击之下。现有的DDoS防御系统依赖于专业流清洗硬件设备,成本高昂、部署位置固定,并且给实际业务增加额外的延迟。现有的DDoS防御方法可以包括主动式DDoS防御方法或被动式DDoS防御方法:前者会在服务器中配置一些防御技术,然而,这些防御技术在处理数据流时会占用较多时间且在很大程度上会影响服务器其他正常业务的响应时间,这就使得DDoS防御系统无法有效防御DDoS攻击;后者中,DDoS攻击的数据流量会占用内核协议栈资源,此外,在分析网络服务数据流的过程中需额外对数据进行拷贝,这样就增加了DDoS防御系统的计算负担和计 ...
【技术保护点】
【技术特征摘要】
1.一种分布式拒绝服务DDoS防御系统,其特征在于,包括:数据面装置和控制面装置;所述数据面装置,用于获取协议字段对应的待处理数据流;利用扩展伯克利包过滤eBPF技术,对所述待处理数据流进行统计,得到数据特征统计量;所述控制面装置,用于从所述数据面装置中读取所述数据特征统计量;在根据所述数据特征统计量,确定所述待处理数据流中存在异常数据的情况下,确定所述待处理数据流对应的防御策略;根据所述防御策略,控制所述数据面装置进行防御操作。2.根据权利要求1所述的系统,其特征在于,所述数据面装置,具体用于获取所述待处理数据流对应的协议结构及所述协议结构对应的字节信息;利用所述eBPF技术,对所述字节信息进行解析,得到特征值;对所述特征值的数量进行统计,得到所述数据特征统计量。3.根据权利要求2所述的系统,其特征在于,所述数据面装置,具体用于更新特定数据存储区域中特征字段对应的特征值,得到所述数据特征统计量。4.根据权利要求3所述的系统,其特征在于,所述特定数据存储区域为BPF map。5.根据权利要求1所述的系统,其特征在于,所述控制面装置包括:评估器、仲裁器、分析器及执行器;所述评估器,用于从所述数据面装置中读取所述数据特征统计量;在根据所述数据特征统计量,确定所述待处理数据流中存在异常数据的情况下,确定所述异常数据对应的特征标记;将所述特征标记向所述仲裁器发送;所述仲裁器,用于接收所述评估器发送的所述特征标记;根据所述特征标记,确定攻击分析请求;将所述攻击分析请求向所述分析器发送;所述分析器,用于接收所述仲裁器发送的所述攻击分析请求;根据所述攻击分析请求,确定所述待处理数据流对应的防御策略;将所述防御策略通过所述仲裁器转发至所述执行器;所述执行器,用于接收所述仲裁器转发的所述防御策略;根据所述防御策略,控制所述数据面装置进行防御操作。6.根据权利要求5所述的系统,其特征在于,所述评估器,用于根据所述数据特征统计量,确定所述待处理数据流对应的第一传输参数;在所述第一传输参数大于第一预设参数阈值的情况下,确定所述待处理数据流中存在异常数据,并确定所述异常数据对应的特征标记,所述第一传输参数包括第一数据传输速率和/或对应的第一滑动平均速率;和/或,从所述数据特征统计量中,获取至少一个目标特征对应的子数据流,并确定所述子数据流对应的第二传输参数;在至少一个所述第二传输参数中确定存在大于第二预设参数阈值的第二传输参数的情况下,确定所述待处理数据流中存在异常数据;将所述大于第二预设参数阈值的第二传输参数所对应的子数据流确定为目标子数据流;将所述目标子数据流对应的目标特征确定为所述异常数据对应的特征标记,所述第二传输参数包括第二数据传输速率和/或对应的第二滑动平均速率。7.根据权利要求5所述的系统,其特征在于,
所述仲裁器,用于在根据所述特征标记,确定所述待处理数据流中存在DDoS攻击特征的情况下,获取协议封禁规则或限速规则;将所述协议封禁规则或限速规则向所述数据面装置发送,并生成攻击分析请求。8.根据权利要求5所述的系统,其特征在于,所述分析器,用于根据所述攻击分析请求,确定所述特征标记对应的请求速率数据;确定所述请求速率数据对应的数据特征集合的熵值;根据所述熵值,确定所述待处理数据流对应的防御策略;其中,所述请求速率数据包括以下至少一项:互联网协议IP地址请求速率、传输控制协议TCP端口请求速率、TCP中标志位flag请求速率及用户数据报协议UDP端口请求速率。9.根据权利要求8所述的系统,其特征在于,所述分析器,用于确定所述请求速率数据对应的数据特征集合,所述数据特征集合包括多个数据特征;利用熵值公式,确定所述请求速率数据对应的数据特征集合的熵值;其中,所述熵值公式为S=;S表示所述数据特征集合对应的熵值;p
i
表示所述多个数据特征中第i个数据特征的占比。10.根据权利要求8或9所述的系统,其特征在于,所述分析器,用于在所述熵值大于预设熵阈值的情况下,确定所述待处理数据流对应的防御策略为所述异常数据对应的特征限速规则;在所述熵值小于等于所述预设熵阈值的情况下,确定所述防御策略为所述异常数据对应的特征封禁规则。11.一种分布式拒绝服务DDoS防御方法,其特征在于,包括:获取协议字段对应的待处理数据流;利用扩展伯克利包过滤eBPF技术,对所述待处理数据流进行统计,得到数据特征统计量;从数据面装置中读取所述数据特征统计量;在根据所述数据特征统计量,确定所述待处理数据流中存在异常数据的情况下,确定所述待处理数...
【专利技术属性】
技术研发人员:王志豪,汪壬甲,王剑楠,赵倩,郭栋,
申请(专利权)人:网络通信与安全紫金山实验室,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。