专利名称:一种抗拒绝服务防护策略配置方法、装置及相关设备的制作方法
技术领域:
本发明涉及网络安全技术领域,尤指一种抗拒绝服务防护策略配置方法、装置及相关设备。
背景技术:
拒绝服务(Denial of service,DOS)攻击是目前常被黑客使用的且不易防范的攻击手段之一,其原理是通过使网络过载来干扰甚至阻断正常的网络通信,具体的是通过向主机设备提交大量的合法请求,使主机设备超负荷,从而阻断主机设备接收正常访问。而抗DOS设备正是为了保证正常的网络通信而出现的,抗DOS设备上的防护策略可以阻止用户所要防护的主机设备上的大量异常访问,因此,合理精确地配置防护策略,不仅可以使抗DOS设备的功能发挥到最大,而且还可以保证正常的网络通信。
对于用户来说,由于不太了解抗DOS的相关知识,不明白专业性很强的参数指标的具体含义,通常会直接使用通用的防护策略模板来配置防护策略,事实上,DOS攻击的范围非常广泛,用户所属的行业也千差万别,并且即使是同一个行业,用户所要防护的主机设备的端口对应的服务类型、流量大小等也可能存在很大差异,因而,用户所要防护的主机设备需要的防护策略通常不同,而通用的防护策略模版是针对广泛通用的用户的主机设备制定的,只能保护大多数的一般用户的主机设备,并不能完全适用于用户所要防护的主机设备,甚至对有些异常访问并不能起到防护作用。因此,采用通用的防护策略模板为用户所要防护的主机设备配置的防护策略,防护效果较差。
发明内容
本发明实施例提供一种抗拒绝服务防护策略配置方法、装置及相关设备,用以解决现有技术中存在的采用通用防护策略配置模板为用户的主机设备配置的防护策略,防护效果较差的问题。一种抗拒绝服务防护策略配置方法,包括A、探测用户输入的标识信息对应的主机设备,确定在线主机设备,并获取所述在线主机设备开启的端口信息;B、将开启端口相同的在线主机设备作为一组;C、根据每组在线主机设备开启端口对应的服务类型,开启与服务类型对应的防护策略。一种抗拒绝服务防护策略配置装置,包括探测单元,用于探测用户输入的标识信息对应的主机设备,确定在线主机设备,并获取所述在线主机设备开启的端口信息;分组单元,用于将开启端口相同的在线主机设备作为一组;开启单元,用于根据每组在线主机设备开启端口对应的服务类型,开启与服务类型对应的防护策略。
一种抗拒绝服务数据中心,包括上述抗拒绝服务防护策略配置装置。本发明有益效果如下本发明实施例提供的抗拒绝服务防护策略配置方法、装置及相关设备,通过探测用户输入的标识信息对应的主机设备,确定在线主机设备,并获取所述在线主机设备开启的端口信息;将开启端口相同的在线主机设备作为一组;根据每组在线主机设备开启端口对应的服务类型,开启与服务类型对应的防护策略。该方案中不再采用通用的抗拒绝服务防护策略模板,而是首先确定用户输入的标识信息对应的主机设备中的在线主机设备,以及在线主机设备开启的端口信息,然后将在线主机设备进行分组,开启端口相同的在线主机设备分为一组,然后根据每组在线主机设备开启端口对应的服务类型,开启与服务类型对应的防护策略,由于针对不同类型的在线主机设备开启不同的防护策略,这样配置的防护策略就可以保证对每个主机设备都有很好的防护效果。
图I为本发明实施例中抗拒绝服务防护策略配置方法的流程图;·图2为本发明实施例中抗拒绝服务防护策略配置装置的结构示意图;图3为本发明实施例中优选的抗拒绝服务防护策略配置装置的结构示意图。
具体实施例方式针对现有技术中存在的采用通用防护策略配置模板为用户的主机设备配置的防护策略,防护效果较差的问题,本发明实施例提供的抗拒绝服务防护策略配置方法,该方法的流程如图I所示,具体执行步骤如下SlO :探测用户输入的标识信息对应的主机设备,确定在线主机设备,并获取在线主机设备开启的端口信息。Sll :将开启端口相同的在线主机设备作为一组。S12:根据每组在线主机设备开启端口对应的服务类型,开启与服务类型对应的防护策略。该方案中不再采用通用的抗拒绝服务防护策略模板,而是首先确定用户输入的标识信息对应的主机设备中的在线主机设备,以及在线主机设备开启的端口信息,然后将在线主机设备进行分组,开启端口相同的在线主机设备分为一组,然后根据每组在线主机设备开启端口对应的服务类型,开启与服务类型对应的防护策略,由于针对不同类型的在线主机设备开启不同的防护策略,这样配置的防护策略就可以保证对每个主机设备都有很好的防护效果。具体的,当上述SlO中的标识信息为IP地址时,上述SlO中的探测用户输入的标识信息对应的主机设备,确定在线主机设备,具体包括向用户输入的IP地址对应的主机设备发送携带其IP地址的探测报文,将返回应答报文的主机设备确定为在线主机设备。用户可以直接输入要防护的主机设备的互联网协议(IP,Internet Protocol)地址,除了用户直接输入要防护的主机设备的IP地址之外,也可以通过其他方式提供要防护的主机设备的IP地址,在这里标识信息是以IP地址为例进行说明的,当然也可以是其它标识信息,在这里不再赘述。
确定在线主机设备时,可以向用户输入的所有IP地址对应的主机设备发送探测报文,在探测报文中携带相应主机设备的IP地址,若某个主机设备返回应答报文,就证明该主机设备目前是在线的,也就确定为在线主机设备;反之,就证明该主机设备目前不是在线的,不用对其进行防护。在线主机设备上一般会设有很多的端口,扫描这些端口,获取在线设备开启的端口信息。可以向每个在线设备发送目前已知的所有端口对应的探测报文,当某个端口返回应答报文时,则确定该端口处于开启状态;反之,确定该端口未开启。相应的也就不用开启该端口对应的服务类型的防护策略,这样可以精确的确定主机设备所需的防护策略,从而可以提闻主机设备处理业务的效率和能力。具体的,上述S12中的根据每组在线主机设备开启端口对应的服务类型,开启与服务类型对应的防护策略,具体包括根据预设的服务类型与防护策略的对应关系,获取与服务类型对应的防护策略;开启获取的防护策略。可以预设服务类型与防护策略的对应关系,也就是说针对主机设备开启的端口对 应的服务类型,可以开启的所有的防护策略的对应关系。当需要开启防护策略时,可以查询该对应关系,从该对应关系中获取与服务类型对应的防护策略,然后开启获取的防护策略就可以了。这样就实现了针对不同的主机设备可以开启不同的防护策略,而不用再像现有技术中,每个主机设备开启通用的防护策略了。较佳的,上述S12中的开启与服务类型对应的防护策略之后,还包括在第一监控周期内,监控每组在线主机设备及其开启端口的流量;根据监控的每组在线主机设备及其开启端口的流量,重新确定开启的防护策略中的参数值。在开启与服务类型对应的防护策略时,其中的参数值通常是采用默认值,或者用户依据经验输入的数值,这些默认值和用户输入的数值并不一定是最合适的数值,如果想确定最合适的数值,可以设定第一监控周期,在该第一监控周期内监控每组在线主机设备及其开启端口的流量,根据监控到的流量就可以重新确定开启的防护策略中的参数值了,这样重新确定的参数值是非常符合当时的应用场景的数值。可以采用netflow/sflow技术来监控每组在线主机设备及其开启端口的流量,其中netflow/sflow技术为现有技术,其具体的原理和实现过程在这里不再赘述。较佳的,上述抗拒绝服务防护策略配置方法还包括在第二监控周期到期后,重新执行SlO。可以设定第二监控周期,当第二监控周期到期后,用户需要防护的主机设备中可能会有新的开启,也可能会有在线设备关闭的,这样为了获取较好的防护效果,就需要重新配置防护策略,从Sio开始重新执行该流程就配置新的防护策略。基于同一发明构思,本发明实施例提供一种抗拒绝服务防护策略配置装置,该装置可以设置在抗拒绝服务数据中心中,结构如图2所示,包括探测单元20,用于探测用户输入的标识信息对应的主机设备,确定在线主机设备,并获取在线主机设备开启的端口信息。分组单元21,用于将开启端口相同的在线主机设备作为一组。开启单元22,用于根据每组在线主机设备开启端口对应的服务类型,开启与服务类型对应的防护策略。
具体的,当上述标识信息为IP地址时,上述探测单元20具体用于向用户输入的IP地址对应的主机设备发送携带其IP地址的探测报文,将返回应答报文的主机设备确定为在线主机设备。具体的,上述开启单元22,具体用于根据预设的服务类型与防护策略的对应关系,获取与服务类型对应的防护策略;开启获取的防护策略。较佳的,一种优选的抗拒绝服务防护策略配置装置,该装置的结构如图3所示,还包括第一监控单元23,用于在第一监控周期内,监控每组在线主机设备及其开启端口的流量。确定单元24,用于根据监控的每组在线主机设备及其开启端口的流量,重新确定开启的防护策略中的参数值。
较佳的,上述抗拒绝服务防护策略配置装置,还包括第二监控单元25,用于在第二监控周期到期后,重新返回探测单元20。下面以一个具体实施例来说明上述抗拒绝服务防护策略配置方法,具体流程如下用户手动输入要防护的主机设备的IP地址范围为192. 168. I. 1/24,也就是说用户希望防护255台主机设备,在探测这些主机设备时,确定192. 168. I. I、192. 168. I. 2和192. 168. I. 200对应的主机设备为在线主机设备,其中192. 168. I. I和192. 168. I. 2对应的主机设备开启的端口为53、5666,192. 168. I. 200开启的端口为443、5666,这样就可以将192. 168. I. I 和 192. 168. I. 2 分为一组,设为一组,192. 168. I. 200 为一组,设为二组。假设,根据预设的服务类型与防护策略的对应关系,一组需要开启的策略为syn、ack、udp、icmp、dns,端口 53和5666,初始的参数值为默认值,在经过24小时的监控后,主机设备的流量为1000,那么就可以将syn的参数I设为4000,参数2设为8000,这样对于一组的主机设备就配置好了合适的防护策略。对于二组的防护策略可以进行采用与一组同样的配置过程,这里不再赘述。显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
权利要求
1.一种抗拒绝服务防护策略配置方法,其特征在于,包括 A、探测用户输入的标识信息对应的主机设备,确定在线主机设备,并获取所述在线主机设备开启的端口信息; B、将开启端口相同的在线主机设备作为一组; C、根据每组在线主机设备开启端口对应的服务类型,开启与服务类型对应的防护策略。
2.如权利要求I所述的方法,其特征在于,当所述标识信息为互联网协议IP地址时,探测用户输入的标识信息对应的主机设备,确定在线主机设备,具体包括 向用户输入的IP地址对应的主机设备发送携带其IP地址的探测报文,将返回应答报文的主机设备确定为在线主机设备。
3.如权利要求I所述的方法,其特征在于,根据每组在线主机设备开启端口对应的服务类型,开启与服务类型对应的防护策略,具体包括 根据预设的服务类型与防护策略的对应关系,获取与服务类型对应的防护策略; 开启获取的防护策略。
4.如权利要求I所述的方法,其特征在于,开启与服务类型对应的防护策略之后,还包括 在第一监控周期内,监控每组在线主机设备及其开启端口的流量; 根据监控的每组在线主机设备及其开启端口的流量,重新确定开启的防护策略中的参数值。
5.如权利要求4所述的方法,其特征在于,还包括 在第二监控周期到期后,重新执行步骤A。
6.一种抗拒绝服务防护策略配置装置,其特征在于,包括 探测单元,用于探测用户输入的标识信息对应的主机设备,确定在线主机设备,并获取所述在线主机设备开启的端口信息; 分组单元,用于将开启端口相同的在线主机设备作为一组; 开启单元,用于根据每组在线主机设备开启端口对应的服务类型,开启与服务类型对应的防护策略。
7.如权利要求6所述的装置,其特征在于,当所述标识信息为互联网协议IP地址时,所述探测单元具体用于 向用户输入的IP地址对应的主机设备发送携带其IP地址的探测报文,将返回应答报文的主机设备确定为在线主机设备。
8.如权利要求6所述的装置,其特征在于,所述开启单元,具体用于 根据预设的服务类型与防护策略的对应关系,获取与服务类型对应的防护策略; 开启获取的防护策略。
9.如权利要求6所述的装置,其特征在于,还包括 第一监控单元,用于在第一监控周期内,监控每组在线主机设备及其开启端口的流量; 确定单元,用于根据监控的每组在线主机设备及其开启端口的流量,重新确定开启的防护策略中的参数值。
10.如权利要求9所述的装置,其特征在于,还包括 第二监控单元,用于在第二监控周期到期后,重新返回所述探测单元。
11.一种抗拒绝服务数据中心,其特征在于,包括如权利要求6-10任一所述的防拒绝服务防护策略配置装置。
全文摘要
本发明公开了一种抗拒绝服务防护策略配置方法、装置及相关设备,该方法包括A.探测用户输入的标识信息对应的主机设备,确定在线主机设备,并获取所述在线主机设备开启的端口信息;B.将开启端口相同的在线主机设备作为一组;C.根据每组在线主机设备开启端口对应的服务类型,开启与服务类型对应的防护策略。该方案配置的防护策略对每个主机设备都有很好的防护效果。
文档编号H04L29/06GK102843367SQ20121028760
公开日2012年12月26日 申请日期2012年8月13日 优先权日2012年8月13日
发明者李志豪 申请人:北京神州绿盟信息安全科技股份有限公司, 北京神州绿盟科技有限公司