分布式拒绝服务DDoS防御系统、方法、设备及介质技术方案

本发明专利技术提供一种分布式拒绝服务DDoS防御系统、方法、设备及介质，应用于网络安全技术领域，该DDoS防御系统包括：数据面装置和控制面装置；数据面装置获取协议字段对应的待处理数据流；利用扩展伯克利包过滤eBPF技术，对待处理数据流进行统计，得到数据特征统计量；控制面装置从数据面装置中读取数据特征统计量；在根据数据特征统计量，确定待处理数据流中存在异常数据的情况下，确定待处理数据流对应的防御策略；根据防御策略，控制数据面装置进行防御操作。防御系统利用eBPF技术可快速地统计待处理数据流对应的数据特征统计量，且可有效缩短防御系统对DDoS攻击的防御响应时间，从而有效提高对DDoS攻击的防御能力。效提高对DDoS攻击的防御能力。效提高对DDoS攻击的防御能力。

【技术实现步骤摘要】
分布式拒绝服务DDoS防御系统、方法、设备及介质


[0001]本专利技术涉及网络安全
，尤其涉及一种分布式拒绝服务DDoS防御系统、方法、设备及介质。

技术介绍

[0002]拒绝服务（Denial
‑
of
‑
Service，DoS）攻击是一种网络攻击方法，该DoS攻击的目的在于使目标资源（例如：网络或系统）耗尽，导致该目标资源对应的服务中断或停止，进而使得用户无法正常访问该服务。而分布式拒绝服务（Distributed Denial
‑
of
‑
Service，DDoS）攻击指的是黑客通过控制网络中多台主机向特定目标发动DoS攻击的一种攻击方法，由于攻击源和攻击手段具有未知性，所以，现有的DDoS防御系统难以有效防御DDoS攻击。
[0003]随着互联网技术和云技术的兴起，大量网络服务暴露在互联网空间，同时，也暴露在DDoS攻击之下。现有的DDoS防御系统依赖于专业流清洗硬件设备，成本高昂、部署位置固定，并且给实际业务增加额外的延迟。现有的DDoS防御方法可以包括主动式DDoS防御方法或被动式DDoS防御方法：前者会在服务器中配置一些防御技术，然而，这些防御技术在处理数据流时会占用较多时间且在很大程度上会影响服务器其他正常业务的响应时间，这就使得DDoS防御系统无法有效防御DDoS攻击；后者中，DDoS攻击的数据流量会占用内核协议栈资源，此外，在分析网络服务数据流的过程中需额外对数据进行拷贝，这样就增加了DDoS防御系统的计算负担和计算时长，从而使得DDoS防御系统无法有效防御DDoS攻击。
[0004]也就是说，现有DDoS防御系统难以低成本同时高效地对DDoS攻击进行防御。即无论是哪种DDoS防御方法都具有一定的局限性，从而使得DDoS防御系统无法对DDoS攻击进行有效防御。

技术实现思路

[0005]本专利技术提供一种分布式拒绝服务DDoS防御系统、方法、设备及介质，用以解决现有的DDoS防御方法的局限性，利用eBPF技术无需进行数据拷贝操作，可快速统计待处理数据流对应的数据特征统计量，能够直接在进行DDoS流量检测与防御，从而缩短DDoS防御系统对DDoS攻击的防御响应时间，以达到对DDoS攻击进行有效防御的目的。
[0006]本专利技术提供一种分布式拒绝服务DDoS防御系统，包括：数据面装置和控制面装置；该数据面装置，用于获取协议字段对应的待处理数据流；利用扩展伯克利包过滤eBPF技术，对该待处理数据流进行统计，得到数据特征统计量；该控制面装置，用于从该数据面装置中读取该数据特征统计量；在根据该数据特征统计量，确定该待处理数据流中存在异常数据的情况下，确定该待处理数据流对应的防御策略；根据该防御策略，控制该数据面装置进行防御操作。
[0007]根据本专利技术提供的一种分布式拒绝服务DDoS防御系统，该数据面装置，具体用于获取该待处理数据流对应的协议结构及该协议结构对应的字节信息；利用该eBPF技术，对该字节信息进行解析，得到特征值；对该特征值的数量进行统计，得到该数据特征统计量。
[0008]根据本专利技术提供的一种分布式拒绝服务DDoS防御系统，该数据面装置，具体用于更新特定数据存储区域中特征字段对应的特征值，得到该数据特征统计量。
[0009]根据本专利技术提供的一种分布式拒绝服务DDoS防御系统，该特定数据存储区域为BPF map。
[0010]根据本专利技术提供的一种分布式拒绝服务DDoS防御系统，该控制面装置包括：评估器、仲裁器、分析器及执行器；该评估器，用于从该数据面装置中读取该数据特征统计量；在根据该数据特征统计量，确定该待处理数据流中存在异常数据的情况下，确定该异常数据对应的特征标记；将该特征标记向该仲裁器发送；该仲裁器，用于接收该评估器发送的该特征标记；根据该特征标记，确定攻击分析请求；将该攻击分析请求向该分析器发送；该分析器，用于接收该仲裁器发送的该攻击分析请求；根据该攻击分析请求，确定该待处理数据流对应的防御策略；将该防御策略通过该仲裁器转发至该执行器；该执行器，用于接收该仲裁器转发的该防御策略；根据该防御策略，控制该数据面装置进行防御操作。
[0011]根据本专利技术提供的一种分布式拒绝服务DDoS防御系统，该评估器，用于根据该数据特征统计量，确定该待处理数据流对应的第一传输参数；在该第一传输参数大于第一预设参数阈值的情况下，确定该待处理数据流中存在异常数据，并确定该异常数据对应的特征标记，该第一传输参数包括第一数据传输速率和/或对应的第一滑动平均速率；和/或，从该数据特征统计量中，获取至少一个目标特征对应的子数据流，并确定该子数据流对应的第二传输参数；在至少一个该第二传输参数中确定存在大于第二预设参数阈值的第二传输参数的情况下，确定该待处理数据流中存在异常数据；将该大于第二预设参数阈值的第二传输参数所对应的子数据流确定为目标子数据流；将该目标子数据流对应的目标特征确定为该异常数据对应的特征标记，该第二传输参数包括第二数据传输速率和/或对应的第二滑动平均速率。
[0012]根据本专利技术提供的一种分布式拒绝服务DDoS防御系统，该仲裁器，用于在根据该特征标记，确定该待处理数据流中存在DDoS攻击特征的情况下，获取协议封禁规则或限速规则；将该协议封禁规则或限速规则向该数据面装置发送，并生成攻击分析请求。
[0013]根据本专利技术提供的一种分布式拒绝服务DDoS防御系统，该分析器，用于根据该攻击分析请求，确定该特征标记对应的请求速率数据；确定该请求速率数据对应的数据特征集合的熵值；根据该熵值，确定该待处理数据流对应的防御策略；其中，该请求速率数据包括以下至少一项：互联网协议IP地址请求速率、传输控制协议TCP端口请求速率、TCP中标志位flag请求速率及用户数据报协议UDP端口请求速率。
[0014]根据本专利技术提供的一种分布式拒绝服务DDoS防御系统，该分析器，用于确定该请求速率数据对应的数据特征集合，该数据特征集合包括多个数据特征；利用熵值公式，确定该请求速率数据对应的数据特征集合的熵值；其中，该熵值公式为S=；S表示该数据特征集合对应的熵值；p
i
表示该多个数据特征中第i个数据特征的占比。
[0015]根据本专利技术提供的一种分布式拒绝服务DDoS防御系统，该分析器，用于在该熵值大于预设熵阈值的情况下，确定该待处理数据流对应的防御策略为该异常数据对应的特征限速规则；在该熵值小于等于该预设熵阈值的情况下，确定该防御策略为该异常数据对应的特征封禁规则。
[0016]本专利技术还提供一种分布式拒绝服务DDoS防御方法，应用于上述分布式拒绝服务
DDoS防御系统，该方法包括：利用数据面装置获取协议字段对应的待处理数据流；利用扩展伯克利包过滤eBPF技术，对该待处理数据流进行统计，得到数据特征统计量；利用控制面装置从该数据面装置中读取该数据特征统计量；在根据该数据特征统计量，确定该待处理数据流中存在异常数据的情况下，确定该待处理数据流对应的防御策略；根本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种分布式拒绝服务DDoS防御系统，其特征在于，包括：数据面装置和控制面装置；所述数据面装置，用于获取协议字段对应的待处理数据流；利用扩展伯克利包过滤eBPF技术，对所述待处理数据流进行统计，得到数据特征统计量；所述控制面装置，用于从所述数据面装置中读取所述数据特征统计量；在根据所述数据特征统计量，确定所述待处理数据流中存在异常数据的情况下，确定所述待处理数据流对应的防御策略；根据所述防御策略，控制所述数据面装置进行防御操作。2.根据权利要求1所述的系统，其特征在于，所述数据面装置，具体用于获取所述待处理数据流对应的协议结构及所述协议结构对应的字节信息；利用所述eBPF技术，对所述字节信息进行解析，得到特征值；对所述特征值的数量进行统计，得到所述数据特征统计量。3.根据权利要求2所述的系统，其特征在于，所述数据面装置，具体用于更新特定数据存储区域中特征字段对应的特征值，得到所述数据特征统计量。4.根据权利要求3所述的系统，其特征在于，所述特定数据存储区域为BPF map。5.根据权利要求1所述的系统，其特征在于，所述控制面装置包括：评估器、仲裁器、分析器及执行器；所述评估器，用于从所述数据面装置中读取所述数据特征统计量；在根据所述数据特征统计量，确定所述待处理数据流中存在异常数据的情况下，确定所述异常数据对应的特征标记；将所述特征标记向所述仲裁器发送；所述仲裁器，用于接收所述评估器发送的所述特征标记；根据所述特征标记，确定攻击分析请求；将所述攻击分析请求向所述分析器发送；所述分析器，用于接收所述仲裁器发送的所述攻击分析请求；根据所述攻击分析请求，确定所述待处理数据流对应的防御策略；将所述防御策略通过所述仲裁器转发至所述执行器；所述执行器，用于接收所述仲裁器转发的所述防御策略；根据所述防御策略，控制所述数据面装置进行防御操作。6.根据权利要求5所述的系统，其特征在于，所述评估器，用于根据所述数据特征统计量，确定所述待处理数据流对应的第一传输参数；在所述第一传输参数大于第一预设参数阈值的情况下，确定所述待处理数据流中存在异常数据，并确定所述异常数据对应的特征标记，所述第一传输参数包括第一数据传输速率和/或对应的第一滑动平均速率；和/或，从所述数据特征统计量中，获取至少一个目标特征对应的子数据流，并确定所述子数据流对应的第二传输参数；在至少一个所述第二传输参数中确定存在大于第二预设参数阈值的第二传输参数的情况下，确定所述待处理数据流中存在异常数据；将所述大于第二预设参数阈值的第二传输参数所对应的子数据流确定为目标子数据流；将所述目标子数据流对应的目标特征确定为所述异常数据对应的特征标记，所述第二传输参数包括第二数据传输速率和/或对应的第二滑动平均速率。7.根据权利要求5所述的系统，其特征在于，
所述仲裁器，用于在根据所述特征标记，确定所述待处理数据流中存在DDoS攻击特征的情况下，获取协议封禁规则或限速规则；将所述协议封禁规则或限速规则向所述数据面装置发送，并生成攻击分析请求。8.根据权利要求5所述的系统，其特征在于，所述分析器，用于根据所述攻击分析请求，确定所述特征标记对应的请求速率数据；确定所述请求速率数据对应的数据特征集合的熵值；根据所述熵值，确定所述待处理数据流对应的防御策略；其中，所述请求速率数据包括以下至少一项：互联网协议IP地址请求速率、传输控制协议TCP端口请求速率、TCP中标志位flag请求速率及用户数据报协议UDP端口请求速率。9.根据权利要求8所述的系统，其特征在于，所述分析器，用于确定所述请求速率数据对应的数据特征集合，所述数据特征集合包括多个数据特征；利用熵值公式，确定所述请求速率数据对应的数据特征集合的熵值；其中，所述熵值公式为S=；S表示所述数据特征集合对应的熵值；p
i
表示所述多个数据特征中第i个数据特征的占比。10.根据权利要求8或9所述的系统，其特征在于，所述分析器，用于在所述熵值大于预设熵阈值的情况下，确定所述待处理数据流对应的防御策略为所述异常数据对应的特征限速规则；在所述熵值小于等于所述预设熵阈值的情况下，确定所述防御策略为所述异常数据对应的特征封禁规则。11.一种分布式拒绝服务DDoS防御方法，其特征在于，包括：获取协议字段对应的待处理数据流；利用扩展伯克利包过滤eBPF技术，对所述待处理数据流进行统计，得到数据特征统计量；从数据面装置中读取所述数据特征统计量；在根据所述数据特征统计量，确定所述待处理数据流中存在异常数据的情况下，确定所述待处理数...

【专利技术属性】
技术研发人员：王志豪，汪壬甲，王剑楠，赵倩，郭栋，
申请(专利权)人：网络通信与安全紫金山实验室，
类型：发明
国别省市：