专利名称:一种网络攻击的防护方法、装置及路由器的制作方法
技术领域:
本发明涉及通信技术领域,尤其涉及一种网络攻击的防护方法、装置及路由器。
背景技术:
随着网络的各种应用不断丰富,网络安全成为越来越迫切的需求,由于攻击者采 用更高级的技术手段和更先进的设备,使得攻击行为更加隐蔽以及攻击能力更强,传统防 火墙设备已经逐渐难以满足要求。近年来,针对应用层(如游戏)协议的攻击、利用僵尸网 络进行DDoS攻击、超大流量攻击(发送超大流量占据网络和服务器带宽)成为攻击的主要 形式,而传统防火墙由于分析能力和处理性能所限,对此类攻击不能起到很好的防护效果。通过路由器集成防火墙和防DDoS特性可以较好地防范此类大规模的攻击行为, 并且能够节省投资和维护费用,是一个好的选择。路由器包括用户业务网关和业务路由器 等设备类型,处于个人/企业用户接入边缘、数据中心入口,或者用于连接城域、骨干网络, 以及不同网间互联,能够对通过的所有流量进行处理。由于路由器的处理能力非常强,能够 进行多层次的流量控制和管理,并且所有处理过程基于在线流量完成,因此通过路由器进 行DDoS攻击防御具备更好的实时性和有效性。目前许多路由器设备厂商在其产品实现了 防DDoS功能,主要通过一个具备防火墙/防DDoS攻击能力的业务单板,将通过路由器转发 单板的流量重定向到该业务单板进行攻击检测和清洗,完成处理的流量再转发出去。在实现本发明过程中,发明人发现现有技术中至少存在如下问题由于业务单板 也存在处理能力的限制,不能满足对多个转发单板的流量进行处理,难以在网络中进行全 面布署,因此不能真正满足客户要求。现有技术中进行模式统计分析识别DDoS攻击流量的 方法,其分析统计量也存在很多缺陷,不能更准确地发现特定应用或内容的攻击行为。
发明内容
本发明的实施例提供了一种网络攻击的防护方法、装置及路由器,以更好地达到 攻击检测和防护效果,特别是应用层的攻击。本发明实施例提供的一种网络攻击的防护方法,包括分布式接口板对本板流量进行本地攻击检测和过滤,进行基于三至七层应用或内 容的模式统计分析并向业务板上报统计信息;业务板根据所述分布式接口板上报的统计信息进行全局的攻击判断和管理。本发明实施例提供的一种网络攻击的防护装置,包括分布式接口板,用于对本板流量进行本地攻击检测和过滤,进行基于三至七层应 用或内容的模式统计分析并向业务板上报统计信息;业务板,用于根据所述分布式接口板上报的统计信息进行全局的攻击判断和管理。本发明实施例提供的一种路由器,包括分布式接口板,用于对本板流量进行本地攻击检测和过滤,进行基于三至七层应用或内容的模式统计分析并向业务板上报统计信息;业务板,用于根据所述分布式接口板上报的统计信息进行全局的攻击判断和管理。本发明实施例技术方案带来的有益效果更好地达到攻击检测和防护效果,特别 是应用层的攻击,采用路由器集成,能对所有流量进行处理,充分满足布署要求。
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用 的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本 领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他 的附图。图1为本发明一实施例提供的一种网络攻击的防护方法的流程图;图2为本发明一实施例提供的一种分布式两级防攻击架构的示意图;图3为本发明一实施例提供一种网络攻击的防护装置的示意图;图4为本发明一实施例提供一种网络攻击的防护装置的示意图;图5为本发明一实施例提供一种网络攻击的防护装置的示意图;图6为本发明一实施例提供一种路由器的示意图。
具体实施例方式下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完 整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于 本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他 实施例,都属于本发明保护的范围。如图1所示,本发明实施例提供的网络攻击的防护方法,包括分布式接口板对本 板流量进行本地攻击检测和过滤,进行基于三至七层应用或内容的模式统计分析并向业务 板上报统计信息;业务板根据所述分布式接口板上报的统计信息进行全局的攻击判断和管 理。从而能够更好地达到攻击检测和防护效果,特别是应用层的攻击。为便于对本发明实施例的理解,下面将对本发明实施例在具体应用过程中的实现 过程进行详细说明。本发明实施例提供的网络攻击的防护方法,包括Si、分布式接口板对本板流量进行本地攻击检测和过滤,进行基于三至七层应用 或内容的模式统计分析并向业务板上报统计信息;该步骤具体包括分布式接口板基于深度报文检测DPI进行指纹过滤,丢弃包含非法指纹特征的攻 击报文;分布式接口板分别以源IP地址、目的IP地址查找黑名单表,对特定源或目的IP 地址的流量进行丢弃;分布式接口板查找动态访问控制列表ACL,命中动态ACL的报文属于攻击流量,将 根据动态访问控制列表ACL的动作进行处理(丢弃或限速等);
所述分布式接口板进行基于流的处理,包括查找五元组流表,根据流表的业务动 作进行处理,如果查流表不存在,则将报文上送到所述业务板进行首包分析及查找策略以
建立流表。而分布式接口板进行基于流的处理,具体还包括对所有流表表项进行遍历,并对每个表项检查是否要作模式统计分析(所谓模式 统计流表中保存一条流的原始统计数据,包括包数量、包字节数量、特定协议或消息包数 量(如TCP syn/fin/RST包数量、DNS请求消息包数量、HTTP请求消息包数量等),用户配 置需要进行模式分析的模板策略,模板类型以报文五元组为基础,也可以包含VPN ID、用户 ID等,包括(不限于)表1所示模板1 目的IP+目的端口+协议号模板2 源IP+目的端口 +协议号模板3 目的端口 +协议号模板4 目的IP+协议号模板5:源IP+协议号模板6 协议号表 1模式统计分析的含义是指根据实际的流表中的原始统计值,按照以上模板建立聚 合流,其中保存所有相同属性的流的统计值的累加并进行各种计算(如计算包速率、连接 总数等),然后检查计算结果是否超出相应的阈值;比如模板1,对具有相同的目的IP、目的端口、协议号的多条流的统计值进行累 加,并计算速率是否超过了预先配好的阈值,超过阈值认为异常发生。),如果是,则根据相应模式进行统计的聚合处理,并将计算出的相应统计量(如包 平均速率)与保存的模式对应的基线阈值进行对比,超过阈值时认为流量异常,上报所述 统计量和异常事件到业务板。S2、业务板根据分布式接口板上报的统计信息进行全局的攻击判断和管理。具体的,业务板查找业务板的动态访问控制列表ACL进行全局过滤或限速,通过 的流量进行深度报文检测DPI匹配查找更多的指纹特征(接口板的DPI只作常用特征的 检查),匹配特征的报文被丢弃,否则进行正常报文的建流处理(查找用户策略获取处理动 作,然后发起建立接口板的流表,其中携带当前流的处理动作)。业务板根据不同所述分布式接口板上报的统计量,生成基于时间段的流量基线阈 值(包括全局的阈值和不同接口板本地用的阈值),监控各所述分布式接口板上报的流量 的实时情况,并按不同权重生成各分布式接口板的本地阈值下发到各分布式接口板以进行 本地攻击识别;所述业务板根据所述分布式接口板上报的异常事件进行全局的分析,并判 断进行的动作处理(包括动态加入/删除黑名单、生成/删除动态ACL等)。如图2所示,本发明的防DDoS攻击架构分为两个层次外层防护由各接口板分别 处理,每个接口板可以包括一个防攻击本地模块,每个防攻击本地模块,能够处理应用/非 法特征识别、基于应用(L3至L7层)的模式统计分析;内层防护由业务板进行处理,业务板可以存在多块,多块业务板之间可以进行流量负载分担处理以及进行冗余保护,业务板上 的防攻击中心处理模块可以收集到设备上所有接口板上的信息,能够进行全局的攻击判断 和管理,包括各种攻击模板的基线阈值管理和动态下发,属于集中式的控制中心,所有分析 可以基于应用(L3-L7)进行。外层防护和内层防护的主要功能包括外层防护(分布式,L3 L7)L3处理基于源IP和目的IP查黑白名单表,获取黑白名单信息,属于黑名单则直 接丢弃报文,属于白名单则不再对该报文作安全检查。L4处理根据本地动态ACL进行本地过滤,本地动态ACL由本地攻击识别之后(超 过本地相应模板阈值)产生,可由防攻击本地模块产生或由业务板下发产生,攻击停止之 后本地动态ACL删除。L5 L7处理根据流表动作进行控制(动作包括丢弃、通过、限流、修改调度优先 级等),流表由业务板根据首包进行DPI识别之后下发到接口板。特征码(攻击指纹)过滤由防攻击本地模块进行报文深层检测DPI,匹配到相应 指纹特征的报文进行相应动作(如丢弃)。基于模式的统计聚合接口板遍历流表,根据流表中的原始统计数据基于不同模 式进行统计聚合分析,聚合后发现统计量超过基线阈值,即检测到流量异常,将统计结果上 送到业务板进行攻击判断以及查找策略以明确相应动作,并生成相应的动态黑白名单表和 动态ACL下发到接口板。内层防护(集中控制/负载分担,L3 L7)L3处理①保存黑白名单策略,下发黑白名单表项到接口板。②对可疑IP进行源地址探测/认证(发送相应协议的请求报文到源地址检查其 是否返回响应消息,如果不返回,认为是假冒IP,源地址认证结果为不通过)。L4 ①业务板根据模式统计分析结果确认是否发现攻击行为,如果确认攻击,则生 成全局动态ACL下发到本板的转发层面以对数据报文进行控制,并分解动态ACL下发到接 口板生成该接口板的本地动态ACL。业务板在确认攻击停止后删除全局动态ACL及相应的 接口板的本地动态ACL。②发现攻击时根据策略进行强保护措施,即对建立TCP的流量通过TCP代理(TCP proxy)进行处理。(TCP proxy 功能一个TCP连接的建立需要三次握手过程连接的发起者向对方发送一个TCP的数 据包,这个数据包包含一个初始的序列号,并把TCP的SYN标志位置位;接受者收到这个数 据包之后,应该回应一个TCP数据包,并在其中包含了接受者自己的初始序列号,并把SYN、 ACK这两个标志位同时置位,表明收到了 SYN的请求并同时向发送者请求TCP连接。连接的 发送者为了完成这个连接,必须对接受者的SYN包进行应答,即返回一个ACK置位的TCP数 据包。经过三次握手过程,TCP连接建立成功,可以传送数据。TCP proxy过程当一个TCP请求包到达目标服务器之前,路由器/防攻击模块代 表服务器向请求方进行应答半进行三次握手。而只有当三次握手完成后,路由器/防攻击 模块才会在和服务器建立第二个连接,连接完成之后,路由器/防攻击模块通过对序列号的转换将两个连接合并成一个以传送数据。)L5 L7处理①对首包进行DPI识别,区分不同应用协议检测是否攻击行为或者 进行相关安全处理,如对HTTP协议报文进行URL过滤、对应用协议进行状态检测(状态不 一致则认为非法、对僵尸网络相关协议(如聊天协议)进行分析识别到是否僵尸控制者发 出的控制命令等。②通过DPI技术对报文进行特征码(指纹)匹配,识别到具备相应特征的报文进 行丢弃。动态阈值管理根据不同攻击模板以及接口板上报的统计数据,生成基于时间段 的流量基线阈值(包括全局的阈值和不同接口板本地用的阈值),基线阈值根据长期的统 计进行不断调整,另外可以监控各接口板上报的流量的实时情况,并按不同权重生成各接 口板的本地阈值下发到接口板以进行本地攻击识别。本发明实施例能够更好地达到攻击检测和防护效果,特别是应用层的攻击。如图3所示,本发明另一实施例还提供一种网络攻击的防护装置,包括分布式接口板,用于对本板流量进行本地攻击检测和过滤,进行基于三至七层应 用或内容的模式统计分析并向业务板上报统计信息;业务板,用于根据所述分布式接口板上报的统计信息进行全局的攻击判断和管理。如图4所示,本发明另一实施例提供的一种网络攻击的防护装置,具有图3所示的 分布式接口板和业务板,其中,分布式接口板具体包括指纹过滤模块,用于基于深度报文检测DPI进行指纹过滤,丢弃包含非法指纹特 征的攻击报文;黑名单表处理模块,用于分别以源IP地址、目的IP地址查找黑名单表,对特定源 或目的IP地址的流量进行丢弃;动态访问控制列表处理模块,用于查找动态访问控制列表ACL,命中动态ACL的报 文属于攻击流量,将根据动态访问控制列表ACL的动作进行处理;流表处理模块,用于查找五元组流表,进行基于流的业务动作处理,并用于如果查 流表不存在,则将报文上送到所述业务板进行首包分析及查找策略以建立流表。更进一步的,所述流表处理模块,具体用于对所有流表表项进行遍历,并对每个表 项检查是否要作模式统计分析,如果是,则根据相应模式进行统计的聚合处理,并将计算出 的相应统计量与保存的模式对应的基线阈值进行对比,超过阈值时认为流量异常,上报所 述统计量和异常事件到业务板。如图5所示,本发明另一实施例提供的一种网络攻击的防护装置,具有图3所示的 分布式接口板和业务板,其中,业务板具体包括全局处理模块,用于查找所述业务板的动态访问控制列表ACL进行全局过滤或限 速,通过的流量进行深度报文检测DPI匹配查找更多的指纹特征,匹配特征的报文被丢弃, 否则进行正常报文的建流处理。更进一步的,所述全局处理模块,具体用于根据不同所述分布式接口板上报的统 计量,生成基于时间段的流量基线阈值,监控各所述分布式接口板上报的流量的实时情况, 并按不同权重生成各分布式接口板的本地阈值下发到各分布式接口板以进行本地攻击识别;并具体用于根据所述分布式接口板上报的异常事件进行全局的分析,并判断进行的动 作处理。本发明实施例能够更好地达到攻击检测和防护效果,特别是应用层的攻击。如图6所示,本发明另一实施例还提供一种路由器,包括分布式接口板,用于对本板流量进行本地攻击检测和过滤,进行基于三至七层应 用或内容的模式统计分析并向业务板上报统计信息;业务板,用于根据所述分布式接口板上报的统计信息进行全局的攻击判断和管理。本发明实施例能够更好地达到攻击检测和防护效果,特别是应用层的攻击,采用 路由器集成,能对所有流量进行处理,充分满足布署要求。上述装置各组成部分之间具体的信号处理、执行过程等内容,由于与本发明方法 实施例基于同一构想,可参见本发明方法实施例的叙述,此处不再赘述。以上所述,仅为本发明较佳的具体实施方式
,但本发明的保护范围并不局限于此, 任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换, 都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围 为准。
权利要求
1.一种网络攻击的防护方法,其特征在于,包括分布式接口板对本板流量进行本地攻击检测和过滤,进行基于三至七层应用或内容的 模式统计分析并向业务板上报统计信息;业务板根据所述分布式接口板上报的统计信息进行全局的攻击判断和管理。
2.根据权利要求1所述的方法,其特征在于,分布式接口板对本板流量进行本地攻击 检测和过滤,进行基于三至七层应用或内容的模式统计分析并向业务板上报统计信息具体 包括所述分布式接口板基于深度报文检测DPI进行指纹过滤,丢弃包含非法指纹特征的攻 击报文;所述分布式接口板分别以源IP地址、目的IP地址查找黑名单表,对特定源或目的IP 地址的流量进行丢弃;所述分布式接口板查找动态访问控制列表ACL,命中动态ACL的报文属于攻击流量,将 根据动态访问控制列表ACL的动作进行处理;所述分布式接口板进行基于流的处理,包括查找五元组流表,根据流表的业务动作进 行处理,如果查流表不存在,则将报文上送到所述业务板进行首包分析及查找策略以建立 流表。
3.根据权利要求1所述的方法,其特征在于,所述业务板根据所述分布式接口板上报 的统计信息进行全局的攻击判断和管理具体包括所述业务板查找所述业务板的动态访问控制列表ACL进行全局过滤或限速,通过的流 量进行深度报文检测DPI匹配查找更多的指纹特征,匹配特征的报文被丢弃,否则进行正 常报文的建流处理。
4.根据权利要求2所述的方法,其特征在于,所述分布式接口板进行基于流的处理,具 体还包括对所有流表表项进行遍历,并对每个表项检查是否要作模式统计分析,如果是,则根据 相应模式进行统计的聚合处理,并将计算出的相应统计量与保存的模式对应的基线阈值进 行对比,超过阈值时认为流量异常,上报所述统计量和异常事件到业务板。
5.根据权利要求4所述的方法,其特征在于,所述业务板根据所述接口板上报的统计 信息进行全局的攻击判断和管理具体包括所述业务板根据不同所述分布式接口板上报的统计量,生成基于时间段的流量基线阈 值,监控各所述分布式接口板上报的流量的实时情况,并按不同权重生成各分布式接口板 的本地阈值下发到各分布式接口板以进行本地攻击识别;所述业务板根据所述分布式接口 板上报的异常事件进行全局的分析,并判断进行的动作处理。
6.一种网络攻击的防护装置,其特征在于,包括分布式接口板,用于对本板流量进行本地攻击检测和过滤,进行基于三至七层应用或 内容的模式统计分析并向业务板上报统计信息;业务板,用于根据所述分布式接口板上报的统计信息进行全局的攻击判断和管理。
7.根据权利要求6所述的防护装置,其特征在于,所述分布式接口板具体包括指纹过滤模块,用于基于深度报文检测DPI进行指纹过滤,丢弃包含非法指纹特征的攻击报文;黑名单表处理模块,用于分别以源IP地址、目的IP地址查找黑名单表,对特定源或目 的IP地址的流量进行丢弃;动态访问控制列表处理模块,用于查找动态访问控制列表ACL,命中动态ACL的报文属 于攻击流量,将根据动态访问控制列表ACL的动作进行处理;流表处理模块,用于查找五元组流表,进行基于流的业务动作处理,并用于如果查流表 不存在,则将报文上送到所述业务板进行首包分析及查找策略以建立流表。
8.根据权利要求6所述的防护装置,其特征在于,所述业务板具体包括全局处理模块,用于查找所述业务板的动态访问控制列表ACL进行全局过滤或限速, 通过的流量进行深度报文检测DPI匹配查找更多的指纹特征,匹配特征的报文被丢弃,否 则进行正常报文的建流处理。
9.根据权利要求7所述的防护装置,其特征在于,所述流表处理模块,具体用于对所有 流表表项进行遍历,并对每个表项检查是否要作模式统计分析,如果是,则根据相应模式进 行统计的聚合处理,并将计算出的相应统计量与保存的模式对应的基线阈值进行对比,超 过阈值时认为流量异常,上报所述统计量和异常事件到业务板。
10.一种路由器,其特征在于,包括分布式接口板,用于对本板流量进行本地攻击检测和过滤,进行基于三至七层应用或 内容的模式统计分析并向业务板上报统计信息;业务板,用于根据所述分布式接口板上报的统计信息进行全局的攻击判断和管理。
全文摘要
本发明实施例公开了一种网络攻击的防护方法、防护装置和路由器,包括分布式接口板对本板流量进行本地攻击检测和过滤,进行基于三至七层应用或内容的模式统计分析并向业务板上报统计信息;业务板根据所述分布式接口板上报的统计信息进行全局的攻击判断和管理。从而能够更好地达到攻击检测和防护效果,特别是应用层的攻击。
文档编号H04L12/56GK102143143SQ20101051237
公开日2011年8月3日 申请日期2010年10月15日 优先权日2010年10月15日
发明者滕新东 申请人:华为数字技术有限公司