【技术实现步骤摘要】
拒绝服务攻击防御方法及装置、可读存储介质
[0001]本专利技术实施例涉及网络安全
,尤其涉及一种拒绝服务攻击防御方法及装置、计算机可读存储介质。
技术介绍
[0002]单包授权(Single Packet Authorization,SPA)协议是一种实现软件定义边界(Software Defined Perimeter,SDP)安全架构网络隐身的核心网络安全协议,在允许访问控制器、网关等相关系统组件所在的网络之前先验证设备和用户身份,实现零信任“先认证,再连接”的安全模型理念。在SPA协议下,将SPA客户端的身份认证信息和所访问的服务信息封装在单一的SPA协议报文中,再加密传递给SPA服务端进行认证和授权处理,直到授权通过才打开网络防火墙,使得所访问目的服务对访问者暴露可见,即通过应用SPA协议使得受保护的网络服务对未授权的访问者保持隐身,降低网络服务所面临的网络攻击风险。
[0003]但是SPA协议的轻量化机制仍容易导致拒绝服务攻击的剩余风险,尤其是,参照图1,当攻击者一旦在攻陷和控制一个合法的终端用户账...
【技术保护点】
【技术特征摘要】
1.一种拒绝服务攻击防御方法,包括:从转发至单包授权SPA服务端的数据报文中确定SPA协议报文;获取所述SPA协议报文的转发速率;当所述转发速率超过第一预设速率保护门限时,对所述SPA协议报文进行转发限速处理。2.根据权利要求1所述的拒绝服务攻击防御方法,其特征在于,所述对所述SPA协议报文进行转发限速处理,包括:对所述SPA协议报文进行流量整形调度,并丢弃超额报文,所述超额报文为所述转发速率超出所述第一预设速率保护门限的部分所对应的所述SPA协议报文。3.根据权利要求1所述的拒绝服务攻击防御方法,其特征在于,所述SPA协议报文为多个,所述转发速率包括全局粒度转发速率;所述获取所述SPA协议报文的转发速率,包括:统计在第一预设转发周期内,转发至所述SPA服务端的所述SPA协议报文的增量总数;获取所述SPA协议报文的增量总数与所述第一预设转发周期的比值,得到所述SPA协议报文的所述全局粒度转发速率。4.根据权利要求1所述的拒绝服务攻击防御方法,其特征在于,所述SPA协议报文为多个,所述转发速率包括用户粒度转发速率;所述获取所述SPA协议报文的转发速率,包括:根据获取到的用户归属信息将多个所述SPA协议报文划分为多个SPA报文流,所述用户归属信息用于表征转发所述SPA协议报文的不同授权用户;对于每个所述SPA报文流,根据预设识别信息确定转发所述SPA报文流的所述授权用户,所述预设识别信息用于表征所述SPA报文流与所述授权用户之间的归属关系;获取由所述授权用户转发的所述SPA报文流的所述用户粒度转发速率。5.根据权利要求4所述的拒绝服务攻击防御方法,其特征在于,所述获取由所述授权用户转发的所述SPA报文流的所述用户粒度转发速率,包括:统计在第二预设转发周期内,由所述授权用户转发至所述SPA服务端的所述SPA报文流;确定所述SPA报文流携带的所述SPA协议报文的增量总数;获取所述SPA报文流携带的所述SPA协议报文的增量总数与所述第二预设...
【专利技术属性】
技术研发人员:董路明,竹勇,
申请(专利权)人:中兴通讯股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。