本发明专利技术提供了一种拒绝服务攻击防御方法及装置、计算机可读存储介质,其中,拒绝服务攻击防御方法包括:从转发至SPA服务端的数据报文中确定SPA协议报文;获取SPA协议报文的转发速率;当转发速率超过第一预设速率保护门限时,对SPA协议报文进行转发限速处理。本发明专利技术实施例中,通过对SPA协议报文进行精准的转发限速处理,以实现对于拒绝服务攻击实施的流量抑制,能够降低SDP安全架构中SPA协议所导致的拒绝服务攻击的剩余风险,提升SPA服务端的可用性。性。性。
【技术实现步骤摘要】
拒绝服务攻击防御方法及装置、可读存储介质
[0001]本专利技术实施例涉及网络安全
,尤其涉及一种拒绝服务攻击防御方法及装置、计算机可读存储介质。
技术介绍
[0002]单包授权(Single Packet Authorization,SPA)协议是一种实现软件定义边界(Software Defined Perimeter,SDP)安全架构网络隐身的核心网络安全协议,在允许访问控制器、网关等相关系统组件所在的网络之前先验证设备和用户身份,实现零信任“先认证,再连接”的安全模型理念。在SPA协议下,将SPA客户端的身份认证信息和所访问的服务信息封装在单一的SPA协议报文中,再加密传递给SPA服务端进行认证和授权处理,直到授权通过才打开网络防火墙,使得所访问目的服务对访问者暴露可见,即通过应用SPA协议使得受保护的网络服务对未授权的访问者保持隐身,降低网络服务所面临的网络攻击风险。
[0003]但是SPA协议的轻量化机制仍容易导致拒绝服务攻击的剩余风险,尤其是,参照图1,当攻击者一旦在攻陷和控制一个合法的终端用户账户并取得相应的身份授权凭证之后,仅需构造单个用户数据包协议(User Datagram Protocol,UDP)攻击载荷就可以在任意网络位置发起一次攻击,触发SPA服务端进行复杂的后端授权处理流程,这使得分布式拒绝服务攻击(Distributed Denial
‑
of
‑
Service,DDoS)成为可能;相对于单个攻击源,分布式拒绝服务攻击可以从多源并发实施,攻击流量可指数倍放大,严重威胁SPA服务端的可用性。
技术实现思路
[0004]以下是对本文详细描述的主题的概述。本概述并非是为了限制权利要求的保护范围。
[0005]本专利技术实施例提供了一种拒绝服务攻击防御方法及装置、计算机可读存储介质,能够提升SPA服务端的可用性。
[0006]第一方面,本专利技术实施例提供了一种拒绝服务攻击防御方法,包括:
[0007]从转发至SPA服务端的数据报文中确定SPA协议报文;
[0008]获取所述SPA协议报文的转发速率;
[0009]当所述转发速率超过第一预设速率保护门限时,对所述SPA协议报文进行转发限速处理。
[0010]第二方面,本专利技术实施例还提供了一种拒绝服务攻击防御装置,包括:存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如上第一方面所述的拒绝服务攻击防御方法。
[0011]第三方面,本专利技术实施例还提供了一种计算机可读存储介质,存储有计算机可执行指令,所述计算机可执行指令用于执行如上第一方面所述的拒绝服务攻击防御方法。
[0012]本专利技术实施例包括:从转发至SPA服务端的数据报文中确定SPA协议报文;获取SPA协议报文的转发速率;当转发速率超过第一预设速率保护门限时,对SPA协议报文进行转发
限速处理。根据本专利技术实施例提供的方案,通过从转发至SPA服务端的数据报文中确定SPA协议报文,可以获知可能产生拒绝服务攻击的报文来源,进而将获取到的SPA协议报文的转发速率与第一预设速率保护门限进行比较,当确定存在转发速率超过第一预设速率保护门限的情况,则判定当前面临利用SPA数据流实施拒绝服务攻击的威胁,在这种情况下通过对SPA协议报文进行精准的转发限速处理,以实现对于拒绝服务攻击实施的流量抑制,从而能够降低SDP安全架构中SPA协议所导致的拒绝服务攻击的剩余风险,提升SPA服务端的可用性。
[0013]本专利技术的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本专利技术而了解。本专利技术的目的和其他优点可通过在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。
附图说明
[0014]附图用来提供对本专利技术技术方案的进一步理解,并且构成说明书的一部分,与本专利技术的实施例一起用于解释本专利技术的技术方案,并不构成对本专利技术技术方案的限制。
[0015]图1是相关技术中基于SPA协议实施拒绝服务攻击的示意图;
[0016]图2是本专利技术一个实施例提供的拒绝服务攻击防御方法的流程图;
[0017]图3是本专利技术一个实施例提供的拒绝服务攻击防御方法中,确定SPA协议报文的流程图;
[0018]图4是本专利技术一个实施例提供的拒绝服务攻击防御方法中,获取SPA协议报文的全局粒度转发速率的流程图;
[0019]图5是本专利技术另一个实施例提供的拒绝服务攻击防御方法中,获取SPA协议报文的全局粒度转发速率的流程图;
[0020]图6是本专利技术一个实施例提供的SPA协议报文的示意图;
[0021]图7是本专利技术另一个实施例提供的SPA协议报文的示意图;
[0022]图8是本专利技术一个实施例提供的拒绝服务攻击防御方法中,获取SPA报文流的用户粒度转发速率的流程图;
[0023]图9是本专利技术一个实施例提供的拒绝服务攻击防御方法中,对SPA协议报文进行转发限速处理的流程图;
[0024]图10是本专利技术另一个实施例提供的拒绝服务攻击防御方法中,获取SPA报文流的用户粒度转发速率的流程图;
[0025]图11是本专利技术另一个实施例提供的拒绝服务攻击防御方法的流程图;
[0026]图12是本专利技术一个实施例提供的拒绝服务攻击防御方法的执行示意图;
[0027]图13是本专利技术一个实施例提供的拒绝服务攻击防御装置的示意图;
[0028]图14是本专利技术另一个实施例提供的拒绝服务攻击防御装置的示意图。
具体实施方式
[0029]为了使本专利技术的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本专利技术进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本专利技术,并不用于限定本专利技术。
[0030]需要注意的是,虽然在装置示意图中进行了功能模块划分,在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于装置中的模块划分,或流程图中的顺序执行所示出或描述的步骤。说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。
[0031]本专利技术提供了一种拒绝服务攻击防御方法及装置、计算机可读存储介质,通过从转发至SPA服务端的数据报文中确定SPA协议报文,可以获知可能产生拒绝服务攻击的报文来源,进而将获取到的SPA协议报文的转发速率与第一预设速率保护门限进行比较,当确定存在转发速率超过第一预设速率保护门限的情况,则判定当前面临利用SPA数据流实施拒绝服务攻击的威胁,在这种情况下通过对SPA协议报文进行精准的转发限速处理,以实现对于拒绝服务攻击实施的流量抑制,从而能够降低SDP安全架构中SPA协议所导致的拒绝服务攻击的剩余风险,提升SPA服务端的可用性。
[0032]下面结合附图,对本专利技术实施例作进一步阐述。
[0033]如图2所示,图2是本专利技术一个实施例提供的拒绝服本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种拒绝服务攻击防御方法,包括:从转发至单包授权SPA服务端的数据报文中确定SPA协议报文;获取所述SPA协议报文的转发速率;当所述转发速率超过第一预设速率保护门限时,对所述SPA协议报文进行转发限速处理。2.根据权利要求1所述的拒绝服务攻击防御方法,其特征在于,所述对所述SPA协议报文进行转发限速处理,包括:对所述SPA协议报文进行流量整形调度,并丢弃超额报文,所述超额报文为所述转发速率超出所述第一预设速率保护门限的部分所对应的所述SPA协议报文。3.根据权利要求1所述的拒绝服务攻击防御方法,其特征在于,所述SPA协议报文为多个,所述转发速率包括全局粒度转发速率;所述获取所述SPA协议报文的转发速率,包括:统计在第一预设转发周期内,转发至所述SPA服务端的所述SPA协议报文的增量总数;获取所述SPA协议报文的增量总数与所述第一预设转发周期的比值,得到所述SPA协议报文的所述全局粒度转发速率。4.根据权利要求1所述的拒绝服务攻击防御方法,其特征在于,所述SPA协议报文为多个,所述转发速率包括用户粒度转发速率;所述获取所述SPA协议报文的转发速率,包括:根据获取到的用户归属信息将多个所述SPA协议报文划分为多个SPA报文流,所述用户归属信息用于表征转发所述SPA协议报文的不同授权用户;对于每个所述SPA报文流,根据预设识别信息确定转发所述SPA报文流的所述授权用户,所述预设识别信息用于表征所述SPA报文流与所述授权用户之间的归属关系;获取由所述授权用户转发的所述SPA报文流的所述用户粒度转发速率。5.根据权利要求4所述的拒绝服务攻击防御方法,其特征在于,所述获取由所述授权用户转发的所述SPA报文流的所述用户粒度转发速率,包括:统计在第二预设转发周期内,由所述授权用户转发至所述SPA服务端的所述SPA报文流;确定所述SPA报文流携带的所述SPA协议报文的增量总数;获取所述SPA报文流携带的所述SPA协议报文的增量总数与所述第二预设...
【专利技术属性】
技术研发人员:董路明,竹勇,
申请(专利权)人:中兴通讯股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。