技术特征:
1.一种用于防止基于快速udp因特网连接(quic)的拒绝服务(ddos)攻击的方法,包括:从指向受保护实体的至少流量中提取流量特征,其中所述流量特征表明指向所述受保护实体的quic用户数据报协议(udp)流量的行为,其中所提取的流量特征包括至少一个基于速率的特征和至少一个速率不变特征,并且其中所述至少流量包括quic分组;为所述至少一个基于速率的特征和所述至少一个速率不变特征中的每一个计算至少一个基线;以及分析指向所述受保护实体的流量的实时样本以检测与至少一个计算出的基线中的每一个的偏差,其中所述偏差指示检测到的quic ddos攻击;以及当确定所述检测到的quic ddos攻击的指示时,执行至少一个缓解动作。2.根据权利要求1所述的方法,还包括:从指向所述受保护实体的流量提取流量特征。3.根据权利要求1所述的方法,其中提取所述流量特征进一步包括:监控所述受保护实体处的至少udp端口以分析通过所述udp端口接收的所述quic分组,从而至少确定每个分组的类型,其中分组类型包括以下中的任何一个:quic短报头分组、quic长报头分组和指定为初始分组类型的quic长报头分组。4.根据权利要求1所述的方法,还包括以下中的任一项:对在预定义时间帧期间接收到的指定为短报头分组的quic分组和字节的数量进行计数;以及对在预定义时间帧期间接收到的指定为长报头分组的quic分组和字节的数量进行计数;以及对在预定义时间帧期间接收到的指定为初始分组类型的长报头分组的quic分组和字节的数量进行计数。5.根据权利要求1所述的方法,其中提取所述流量特征进一步包括:对在udp端口接收的指定为短报头的quic分组和指定为长报头的quic分组以及字节的数量进行计数;以及将所述字节和quic分组的数量除以活动连接id的数量。6.根据权利要求1所述的方法,其中,基于quic ddos攻击类型和在相应攻击类型下所需的保护,来确定至少一个提取的基于速率的特征和所述至少一个速率不变特征,其中所述攻击类型是以下中的任何一种:quic udp洪泛、quic http洪泛和quic连接洪泛,并且其中,所述所需的保护包括以下中的任何一个:quic洪泛,quic连接发起;以及quic连接限制。7.根据权利要求6所述的方法,其中提供quic洪泛保护的至少基于速率的特征包括每秒的长报头分组的数量;每秒quic分组的数量;以及每秒quic字节数,并且其中,提供所述quic洪泛保护的至少一个速率不变流量特征包括长和短报头的平均quic分组大小;长报头比率;以及长和短报头的每个活动连接id的字节和quic分组的数量。8.根据权利要求6所述的方法,其中,用于提供quic连接发起保护的所述至少基于速率的流量特征包括每秒长报头分组的数量;以及每秒设置为“初始分组”的长报头分组的数量,并且其中用于提供所述quic连接发起保护的所述至少一个速率不变特征包括长报头比率。9.根据权利要求6所述的方法,其中,提供quic连接限制保护的所述至少基于速率的流
量特征包括每秒活动连接id的数量;以及每秒新活动连接id的数量,并且其中,提供所述quic连接限制保护的至少速率不变特征包括每个活动连接id的平均字节数的增加;以及每个活动连接id的平均字节数的减少。10.根据权利要求1所述的方法,其中分析指向所述受保护实体的流量的实时样本以检测偏差进一步包括:将所述至少一个基于速率的特征和至少一个速率不变特征的实时样本与所述至少一个基线进行比较;以及当以下各项中的至少一项发生时检测异常:所述至少一个基于速率的特征和至少一个速率不变特征偏离所述至少一个基线,其中,与所述至少一个基线的偏差达到阈值。11.根据权利要求10所述的方法,其中计算至少一个基线进一步包括:基于所述实时样本计算短期基线和长期基线,其中所述短期基线适于所述quic udp流量中的相对快速变化,并且所述长期基线适于所述quic udp流量中的相对缓慢变化。12.根据权利要求11所述的方法,其中计算至少一个基线进一步包括:分解没有流量随后是流量的高突发的周期,其中所述流量包括quic udp分组。13.根据权利要求10所述的方法,其中,所述阈值动态地更新如下:u(t)=y(t)+maxdev;其中,u(t)是异常阈值,y(t)是基线,maxdev是在与观察到的流量特征的误报检测率的所需值相对应的平常时间的期间观察到的流量特征的最大偏差。14.根据权利要求1所述的方法,其中,当在至少一个基于速率的特征和所述至少一个速率不变特征上检测到异常时,执行至少一个缓解动作。15.根据权利要求1所述的方法,其中,所述缓解动作包括以下各项中的至少一项:web挑战、quic挑战、阻塞流量、速率限制、攻击签名生成和生成警报,其中,可以按递增的顺序执行一个或多个缓解动作。16.根据权利要求1所述的方法,其中所述方法由防御系统执行,其中所述防御系统内嵌地部署在访问所述受保护实体的客户端设备之间的流量中,其中所述受保护实体部署为以下中的至少一个:quic使能服务器和非quic使能服务器以及网络。17.根据权利要求1所述的方法,其中所述方法由防御系统执行,其中所述防御系统部署在访问所述受保护实体的客户端设备之间的路径外,其中所述受保护实体部署为以下中的至少一个:quic使能服务器和非quic使能服务器以及网络。18.根据权利要求1所述的方法,其中所述方法由防御系统执行,其中所述防御系统作为永久在线部署安装在云防御平台中,其中所述云防御平台部署在客户端设备和所述受保护实体之间的路径上。19.一种非暂时性计算机可读介质,所述非暂时性计算机可读介质存储有用于使处理电路执行权利要求1所述的方法的指令。20.一种用于防止基于快速udp因特网连接(quic)的拒绝服务(ddos)攻击的系统,包括:处理电路;以及存储器,所述存储器包含指令,所述指令在由所述处理电路执行时将所述系统配置为:从指向受保护实体的至少流量中提取流量特征,其中所述流量特征表明指向所述受保
护实体的quic用户数据报协议(udp)流量的行为,其中所提取的流量特征包括至少一个基于速率的特征和至少一个速率不变特征,并且其中所述至少流量包括quic分组;为所述至少一个基于速率的特征和所述至少一个速率不变特征中的每一个计算至少一个基线;以及分析指向所述受保护实体的流量的实时样本以检测与至少一个计算出的基线中的每一个的偏差,其中所述偏差指示检测到的quic ddos攻击;以及当确定所述检测到的quic ddos攻击的指示时,执行至少一个缓解动作。21.根据权利要求20所述的系统,其中所述系统还配置为:从定向到所述受保护实体的流量提取流量特征。22.根据权利要求20所述的系统,其中所述系统还配置为:监控所述受保护实体处的至少udp端口以分析通过所述udp端口接收的所述quic分组,从而至少确定每个分组的类型,其中分组类型包括以下中的任何一个:quic短报头分组、quic长报头分组和指定为初始分组类型的quic长报头分组。23.根据权利要求20所述的系统,其中所述系统还配置为执行以下中的任一项:对在预定义时间帧期间接收到的指定为短报头分组的quic分组和字节的数量进行计数;以及对在预定义时间帧期间接收的指定为长报头分组的quic分组和字节的数量进行计数;以及对在预定义时间帧期间接收到的指定为初始分组类型的长报头分组的quic分组和字节的数量进行计数。24.根据权利要求20所述的系统,其中所述系统还配置为:对在udp端口处接收到的指定为短报头的quic分组和指定为长报头的quic分组以及字节的数量进行计数;以及将所述字节和quic分组的数量除以活动连接id的数量。25.根据权利要求20所述的系统,其中,基于所述quic ddos攻击的类型和在相应攻击类型下所需的保护来确定所述至少一个提取的基于速率的特征和所述至少一个速率不变特征,其中所述攻击类型是以下中的任何一种:quic udp洪泛、quic http洪泛和quic连接洪泛,并且其中,所需保护包括以下中的任何一个:quic洪泛,quic连接发起;以及quic连接限制。26.根据权利要求25所述的系统,其中提供所述quic洪泛保护的至少基于速率的特征包括每秒长报头分组的数量;每秒quic分组的数量;以及每秒quic字节数,并且其中,提供所述quic洪泛保护的至少一个速率不变流量特征包括长和短报头的平均quic分组大小;长报头比率;长和短报头的每个活动连接id的分组数量。27.根据权利要求25所述的系统,其中,用于提供所述quic连接发起保护的所述至少基于速率的特征包括每秒长报头分组的数量;以及每秒设置为“初始分组”的长报头分组的数量,并且其中用于提供所述quic连接发起保护的所述至少一个速率不变特征包括长报头比率。28.根据权利要求25所述的系统,其中,用于提供所述quic连接限制保护的所述至少基于速率的特征包括每秒活动连接id的数量;以及每秒新活动连接id的数量,并且其中,提供
quic连接限制保护的至少速率不变特征包括每个活动连接id的平均字节数的增加;以及每个活动连接id的平均字节数的减少。29.根据权利要求25所述的系统,其中所述系统还配置为:将所述至少一个基于速率的特征和至少一个速率不变特征的实时样本与所述至少一个基线进行比较;以及当以下各项中的至少一项发生时检测异常:所述至少一个基于速率的特征和至少一个速率不变特征偏离所述至少一个基线,其中,与所述至少一个基线的偏差达到阈值。30.根据权利要求25所述的系统,其中所述系统还配置为:基于所述实时样本计算短期基线和长期基线,其中所述短期基线适于所述quic udp业流量中的相对较快的变化,且所述长期基线适于所述quic udp流量中的相对较慢的变化。30.根据权利要求25所述的系统,其中所述系统还配置为:分解没有流量随后是流量的高突发的周期,其中所述流量包括quic udp分组。31.根据权利要求24所述的系统,其中,所述阈值动态地更新如下:u(t)=y(t)+maxdev;其中,u(t)是异常阈值,y(t)是基线,maxdev是在与观察到的流量特征的误报检测率的所需值相对应的平常时间期间观察到的流量特征的最大偏差。32.根据权利要求20所述的系统,其中所述系统还配置为:当在至少一个基于速率的特征和所述至少一个速率不变特征上检测到异常时,执行至少一个缓解动作。33.根据权利要求20所述的系统,其中,所述缓解动作包括以下各项中的至少一项:web挑战、quic挑战、阻塞流量、速率限制、攻击签名生成和生成警报,其中,可以按递增的顺序执行一个或多个缓解动作。34.根据权利要求20所述的系统,其中所述系统内嵌地部署在访问所述受保护实体的客户端设备之间的流量中,其中所述受保护实体部署为以下中的至少一个:quic使能服务器和非quic使能服务器以及网络。35.根据权利要求20所述的系统,其中所述系统部署在访问所述受保护实体的客户端设备之间的路径外,其中所述受保护实体部署为以下中的至少一个:quic使能服务器和非quic使能服务器以及网络。36.根据权利要求20所述的系统,其中所述系统作为永久在线部署安装在云防御平台中,其中所述云防御平台部署在客户端设备和所述受保护实体之间的路径上。37.一种用于防止基于快速udp因特网连接(quic)的拒绝服务(ddos)攻击的方法,包括:从指向受保护实体的至少流量中提取至少一个基于速率的特征,其中所述至少一个基于速率的特征表示指向所述受保护实体的quic用户数据报协议(udp)流量的行为,并且其中所述至少流量包括quic分组;计算所述至少一个基于速率的特征中的每一个的至少一个基线;分析指向所述受保护实体的流量的实时样本以检测与至少一个计算出的基线中的每一个的偏差,其中所述偏差指示检测到的quic ddos攻击;以及当确定所述检测到的quic ddos攻击的指示时,执行至少一个缓解动作。
38.根据权利要求37所述的方法,其中提取所述至少一个基于速率的特征进一步包括:对在预定义时间帧期间接收到的指定为短报头分组的quic分组的数量进行计数;以及对在预定义时间帧期间接收的指定为长报头分组的分组的数量进行计数;以及对在预定时间帧期间接收的指定为初始分组类型的长报头分组的分组的数量进行计数。39.根据权利要求37所述的方法,其中基于所述quic ddos攻击的类型和在相应攻击类型下所要求的保护来确定至少一个提取的基于速率的特征,其中所述攻击类型是以下中的任何一种:quic udp洪泛、quic http洪泛和quic连接洪泛,并且其中,所需的保护包括以下中的任何一个:quic洪泛,quic连接发起;以及quic连接限制。40.根据权利要求39所述的方法,其中提供所述quic洪泛保护的至少基于速率的特征包括每秒长报头分组的数量;每秒quic分组的数量;以及每秒quic字节的数量。41.根据权利要求39所述的方法,其中,提供所述quic连接发起保护的至少基于速率的特征包括每秒的长报头分组的数量;以及每秒设置为“初始分组”的长报头分组的数量。42.根据权利要求39所述的方法,其中,用于所述quic连接发起保护的至少基于速率的特征包括每秒的活动连接id的数量;以及每秒的新活动连接id的数量。43.一种非暂时性计算机可读介质,所述非暂时性计算机可读介质存储有用于使处理电路执行如权利要求37所述的方法的指令。44.一种用于防止基于快速udp因特网连接(quic)的拒绝服务(ddos)攻击的系统,包括:处理电路;以及存储器,所述存储器包含指令,所述指令在由所述处理电路执行时将所述系统配置为执行根据权利要求37所述的方法。
技术总结
一种用于防止基于快速UDP因特网连接(QUIC)的拒绝服务(DDoS)攻击的方法和系统。该系统包括:从被指向受保护实体的至少流量提取的流量特征,其中该流量特征表示被指向该受保护实体的QUIC用户数据报协议(UDP)流量的行为,其中该提取的流量特征包括至少一个基于速率的特征和至少一个速率不变特征,并且其中该至少流量包括QUIC分组;计算用于该至少一个基于速率的特征和该至少一个速率不变特征中的每一个的至少一个基线;以及分析被指向该受保护实体的流量的实时样本以检测与至少一个计算的基线中的每一个的偏差,其中该偏差指示检测到的QUIC DDoS攻击;以及当确定该检测到的QUIC DDoS攻击的指示时执行至少一个缓解动作。作。作。
技术研发人员:E
受保护的技术使用者:拉德沃有限公司
技术研发日:2020.06.29
技术公布日:2022/7/28