一种网络安全防护的方法及装置转让专利
申请号 : CN201710672623.7
文献号 : CN107493276B
文献日 : 2020-04-07
发明人 : 杨雪皎 , 赵跃明 , 叶晓虎 , 李明
申请人 : 北京神州绿盟信息安全科技股份有限公司 , 北京神州绿盟科技有限公司
摘要 :
本申请实施例中公开了一种网络安全防护的方法及装置,该方法为接收网络监测设备上报的网络攻击信息;根据各个攻击源的IP地址,将各个攻击源按照区域分布进行分组,并基于本地存储的各个网络防护设备的IP地址,分别确定每一组攻击源的最近网络防护设备;基于各组攻击源的数据包的业务类型和最近网络防护设备,按照预设的分配规则,分别确定每一组攻击源的最优网络防护设备;将各组攻击源发送的数据包,转发至相应的最优网络防护设备,触发最优网络防护设备对接收的数据包进行过滤处理,并将过滤处理后的数据包发送至相应的客户服务器。这样,节约了骨干网的各个节点以及其它汇聚的各个节点的宽带,减少了网络阻塞,提高了网络的安全性。
权利要求 :
1.一种网络安全防护的方法,其特征在于,包括:
接收网络监测设备上报的网络攻击信息,其中,所述网络攻击信息中包含各个攻击源的互联网协议IP地址和各个攻击源的数据包的业务类型;
根据各个攻击源的IP地址,将各个攻击源按照区域分布进行分组,并基于本地存储的各个网络防护设备的IP地址,以及各个攻击源的IP地址,分别确定每一组攻击源的最近网络防护设备;
基于各组攻击源的数据包的业务类型和各组攻击源的最近网络防护设备,按照预设的分配规则,分别确定每一组攻击源的最优网络防护设备,其中,所述分配规则用于根据攻击源的数据包的业务类型,选择相应的最近网络防护设备作为最优网络防护设备;
将各组攻击源发送的数据包,转发至相应的最优网络防护设备,触发最优网络防护设备对接收的数据包进行过滤处理,并将过滤处理后的数据包发送至相应的客户服务器;
基于本地存储的各个网络防护设备的IP地址,以及各个攻击源的IP地址,分别确定每一组攻击源的最近网络防护设备,具体包括:分别针对每一组攻击源执行以下操作:确定一组攻击源分别与每一个网络防护设备之间的综合网络距离,其中,一组攻击源与一个网络防护设备之间的综合网络距离表示所述一组攻击源中包含的各个攻击源与所述一个网络防护设备之间的网络距离的加和;确定获取的各个综合网络距离的最小值,并将所述最小值对应的网络防护设备作为所述一组攻击源的最近网络防护设备。
2.如权利要求1所述的方法,其特征在于,基于各组攻击源的数据包的业务类型和各组攻击源的最近网络防护设备,按照预设的分配规则,分别确定每一组攻击源的最优网络防护设备,具体包括:确定攻击源的数据包的业务类型为网站接入类业务时,分别将每一组攻击源的最近网络防护设备作为自身相应的最优网络防护设备;或者,确定攻击源的数据包的业务类型为非网站接入类业务时,获取网络攻击信息中还包含的各个攻击源的攻击流量,并分别计算每一组攻击源中各个攻击源的攻击流量的加和,并将各个加和中的最大值对应的一组攻击源的最近网络防护设备作为各组攻击源的最优网络防护设备。
3.如权利要求1或2所述的方法,其特征在于,进一步包括:
若攻击源的数据包的业务类型为网站接入类业务,则分别针对每一组攻击源执行以下操作:接收各个网络防护设备按照预设时长上报的流量状态信息;
确定一组攻击源的最优网络防护设备的流量状态信息表征流量饱和时,获取所述一组攻击源分别与每一个流量状态信息表征未饱和的网络防护设备之间的综合网络距离;
将获取的各个综合网络距离中的最小值对应的网络防护设备,作为所述一组攻击源更新后的最优网络防护设备。
4.如权利要求1或2所述的方法,其特征在于,进一步包括:
接收各个网络防护设备按照预设时长上报的流量状态信息;
确定攻击源的数据包的业务类型为非网站接入类业务,并且各组攻击源的最优网络防护设备的流量状态信息表征流量饱和时,分别计算每一组攻击源中各个攻击源的攻击流量的加和,并计算各个加和中的最大值对应的一组攻击源分别与每一个流量状态表征未饱和的网络防护设备的综合网络距离,以及将各个综合网络距离中的最小值对应的网络防护设备作为各组攻击源更新后的最优网络防护设备。
5.一种网络安全防护的装置,其特征在于,包括:
接收单元,用于接收网络监测设备上报的网络攻击信息,其中,所述网络攻击信息中包含各个攻击源的互联网协议IP地址和各个攻击源的数据包的业务类型;
第一确定单元,用于根据各个攻击源的IP地址,将各个攻击源按照区域分布进行分组,并基于本地存储的各个网络防护设备的IP地址,以及各个攻击源的IP地址,分别确定每一组攻击源的最近网络防护设备;
第二确定单元,用于基于各组攻击源的数据包的业务类型和各组攻击源的最近网络防护设备,按照预设的分配规则,分别确定每一组攻击源的最优网络防护设备,其中,所述分配规则用于根据攻击源的数据包的业务类型,选择相应的最近网络防护设备作为最优网络防护设备;
处理单元,用于将各组攻击源发送的数据包,转发至相应的最优网络防护设备,触发最优网络防护设备对接收的数据包进行过滤处理,并将过滤处理后的数据包发送至相应的客户服务器;
所述第一确定单元具体用于:分别针对每一组攻击源执行以下操作:确定一组攻击源分别与每一个网络防护设备之间的综合网络距离,其中,一组攻击源与一个网络防护设备之间的综合网络距离表示所述一组攻击源中包含的各个攻击源与所述一个网络防护设备之间的网络距离的加和;确定获取的各个综合网络距离的最小值,并将所述最小值对应的网络防护设备作为所述一组攻击源的最近网络防护设备。
6.如权利要求5所述的装置,其特征在于,在基于各组攻击源的数据包的业务类型和各组攻击源的最近网络防护设备,按照预设的分配规则,分别确定每一组攻击源的最优网络防护设备时,所述第二确定单元具体用于:确定攻击源的数据包的业务类型为网站接入类业务时,分别将每一组攻击源的最近网络防护设备作为自身相应的最优网络防护设备;或者,确定攻击源的数据包的业务类型为非网站接入类业务时,获取网络攻击信息中还包含的各个攻击源的攻击流量,并分别计算每一组攻击源中各个攻击源的攻击流量的加和,并将各个加和中的最大值对应的一组攻击源的最近网络防护设备作为各组攻击源的最优网络防护设备。
7.如权利要求5或6所述的装置,其特征在于,所述处理单元还用于:
若攻击源的数据包的业务类型为网站接入类业务,则分别针对每一组攻击源执行以下操作:接收各个网络防护设备按照预设时长上报的流量状态信息;
确定一组攻击源的最优网络防护设备的流量状态信息表征流量饱和时,获取所述一组攻击源分别与每一个流量状态信息表征未饱和的网络防护设备之间的综合网络距离;
将获取的各个综合网络距离中的最小值对应的网络防护设备,作为所述一组攻击源更新后的最优网络防护设备。
8.如权利要求5或6所述的装置,其特征在于,所述处理单元还用于:
接收各个网络防护设备按照预设时长上报的流量状态信息;
确定攻击源的数据包的业务类型为非网站接入类业务,并且各组攻击源的最优网络防护设备的流量状态信息表征流量饱和时,分别计算每一组攻击源中各个攻击源的攻击流量的加和,并计算各个加和中的最大值对应的一组攻击源分别与每一个流量状态表征未饱和的网络防护设备的综合网络距离,以及将各个综合网络距离中的最小值对应的网络防护设备作为各组攻击源更新后的最优网络防护设备。
说明书 :
一种网络安全防护的方法及装置
技术领域
[0001] 本申请涉及网络安全领域,尤其涉及一种网络防护安全的方法及装置。
背景技术
[0002] 随着互联网技术的发展和网络的普及,网络攻击,如,分布式拒绝服务(Distributed Denial of Service,DDOS)攻击,也愈演愈烈。其中,所谓DDOS攻击是指利用合理的服务请求占用过多的服务资源,从而使服务器无法处理合法用户的指令,并获取服务器的控制权,以及窃取用户的信息等,这极大地损害了网络安全,给用户带来了不便。
[0003] 现有技术下,进行网络安全防护,主要采用以下两种方式:
[0004] 第一种方式为:将抗DDOS设备,部署在服务器的网络入口,并通过网络监测设备对DDOS攻击进行检测,确定出现DDOS攻击时,将包含攻击数据的大量数据包转发至抗DDOS设备,并采用抗DDOS设备对接收的数据包进行过滤处理,以及将过滤后的数据包发送至相应的客户服务器。
[0005] 第二种方式为:向运营商或互联网云服务商购买抗DDOS服务,通过网络监测设备的检测结果,确定出现DDOS攻击时,将各个包含攻击数据的大量数据包转发至运营商或互联网云服务商的抗DDOS服务器,并通过抗DDOS服务器对接收的数据包进行过滤处理,以及将各个过滤后的数据包发送至相应的客户服务器。
[0006] 但是,无论采用第一种方式,还是采用第二种方式,包含攻击数据的大量数据包都会通过骨干网到达客户服务器,这会占用大量骨干网以及其它汇聚的节点的宽带,引起严重的网络阻塞。
发明内容
[0007] 本申请实施例提供一种网络安全防护的方法及装置,用于在进行网络安全防护时,根据攻击源的互联网协议(Internet Protocol,IP)地址,采用与攻击源的网络距离最近的网络防护设备进行过滤处理,从源头抑制网络攻击,节约骨干网的各个节点的宽带,减少网络阻塞,提高网络的安全性。
[0008] 本申请实施例提供的具体技术方案如下:
[0009] 一种网络安全防护的方法,包括:
[0010] 接收网络监测设备上报的网络攻击信息,其中,网络攻击信息中包含各个攻击源的互联网协议IP地址和各个攻击源的数据包的业务类型;
[0011] 根据各个攻击源的IP地址,将各个攻击源按照区域分布进行分组,并基于本地存储的各个网络防护设备的IP地址,以及各个攻击源的IP地址,分别确定每一组攻击源的最近网络防护设备;
[0012] 基于各组攻击源的数据包的业务类型和各组攻击源的最近网络防护设备,按照预设的分配规则,分别确定每一组攻击源的最优网络防护设备,其中,分配规则用于根据攻击源的数据包的业务类型,选择相应的最近网络防护设备作为最优网络防护设备;
[0013] 将各组攻击源发送的数据包,转发至相应的最优网络防护设备,触发最优网络防护设备对接收的数据包进行过滤处理,并将过滤处理后的数据包发送至相应的客户服务器。
[0014] 较佳的,基于本地存储的各个网络防护设备的IP地址,以及各个攻击源的IP地址,分别确定每一组攻击源的最近网络防护设备,具体包括:
[0015] 分别针对每一组攻击源执行以下操作:
[0016] 确定一组攻击源分别与每一个网络防护设备之间的综合网络距离,其中,一组攻击源与一个网络防护设备之间的综合网络距离表示一组攻击源中包含的各个攻击源与一个网络防护设备之间的网络距离的加和;
[0017] 确定获取的各个综合网络距离的最小值,并将最小值对应的网络防护设备作为一组攻击源的最近网络防护设备。
[0018] 较佳的,基于各组攻击源的数据包的业务类型和各组攻击源的最近网络防护设备,按照预设的分配规则,分别确定每一组攻击源的最优网络防护设备,具体包括:
[0019] 确定攻击源的数据包的业务类型为网站接入类业务时,分别将每一组攻击源的最近网络防护设备作为自身相应的最优网络防护设备;或者,
[0020] 确定攻击源的数据包的业务类型为非网站接入类业务时,获取网络攻击信息中还包含的各个攻击源的攻击流量,并分别计算每一组攻击源中各个攻击源的攻击流量的加和,并将各个加和中的最大值对应的一组攻击源的最近网络防护设备作为各组攻击源的最优网络防护设备。
[0021] 较佳的,进一步包括:
[0022] 若攻击源的数据包的业务类型为网站接入类业务,则分别针对每一组攻击源执行以下操作:
[0023] 接收各个网络防护设备按照预设时长上报的流量状态信息;
[0024] 确定一组攻击源的最优网络防护设备的流量状态信息表征流量饱和时,获取一组攻击源分别与每一个流量状态信息表征未饱和的网络防护设备之间的综合网络距离;
[0025] 将获取的各个综合网络距离中的最小值对应的网络防护设备,作为一组攻击源更新后的最优网络防护设备。
[0026] 较佳的,进一步包括:
[0027] 接收各个网络防护设备按照预设时长上报的流量状态信息;
[0028] 确定攻击源的数据包的业务类型为非网站接入类业务,并且各组攻击源的最优网络防护设备的流量状态信息表征流量饱和时,分别计算每一组攻击源中各个攻击源的攻击流量的加和,并计算各个加和中的最大值对应的一组攻击源分别与每一个流量状态表征未饱和的网络防护设备的综合网络距离,以及将各个综合网络距离中的最小值对应的网络防护设备作为各组攻击源更新后的最优网络防护设备。
[0029] 一种网络安全防护的装置,包括:
[0030] 接收单元,用于接收网络监测设备上报的网络攻击信息,其中,网络攻击信息中包含各个攻击源的互联网协议IP地址和各个攻击源的数据包的业务类型;
[0031] 第一确定单元,用于根据各个攻击源的IP地址,将各个攻击源按照区域分布进行分组,并基于本地存储的各个网络防护设备的IP地址,以及各个攻击源的IP地址,分别确定每一组攻击源的最近网络防护设备;
[0032] 第二确定单元,用于基于各组攻击源的数据包的业务类型和各组攻击源的最近网络防护设备,按照预设的分配规则,分别确定每一组攻击源的最优网络防护设备,其中,分配规则用于根据攻击源的数据包的业务类型,选择相应的最近网络防护设备作为最优网络防护设备;
[0033] 处理单元,用于将各组攻击源发送的数据包,转发至相应的最优网络防护设备,触发最优网络防护设备对接收的数据包进行过滤处理,并将过滤处理后的数据包发送至相应的客户服务器。
[0034] 较佳的,在基于本地存储的各个网络防护设备的IP地址,以及各个攻击源的IP地址,分别确定每一组攻击源的最近网络防护设备时,第一确定单元具体用于:
[0035] 分别针对每一组攻击源执行以下操作:
[0036] 确定一组攻击源分别与每一个网络防护设备之间的综合网络距离,其中,一组攻击源与一个网络防护设备之间的综合网络距离表示一组攻击源中包含的各个攻击源与一个网络防护设备之间的网络距离的加和;
[0037] 确定获取的各个综合网络距离的最小值,并将最小值对应的网络防护设备作为一组攻击源的最近网络防护设备。
[0038] 较佳的,在基于各组攻击源的数据包的业务类型和各组攻击源的最近网络防护设备,按照预设的分配规则,分别确定每一组攻击源的最优网络防护设备时,第二确定单元具体用于:
[0039] 确定攻击源的数据包的业务类型为网站接入类业务时,分别将每一组攻击源的最近网络防护设备作为自身相应的最优网络防护设备;或者,
[0040] 确定攻击源的数据包的业务类型为非网站接入类业务时,获取网络攻击信息中还包含的各个攻击源的攻击流量,并分别计算每一组攻击源中各个攻击源的攻击流量的加和,并将各个加和中的最大值对应的一组攻击源的最近网络防护设备作为各组攻击源的最优网络防护设备。
[0041] 较佳的,处理单元还用于:
[0042] 若攻击源的数据包的业务类型为网站接入类业务,则分别针对每一组攻击源执行以下操作:
[0043] 接收各个网络防护设备按照预设时长上报的流量状态信息;
[0044] 确定一组攻击源的最优网络防护设备的流量状态信息表征流量饱和时,获取一组攻击源分别与每一个流量状态信息表征未饱和的网络防护设备之间的综合网络距离;
[0045] 将获取的各个综合网络距离中的最小值对应的网络防护设备,作为一组攻击源更新后的最优网络防护设备。
[0046] 较佳的,处理单元还用于:
[0047] 接收各个网络防护设备按照预设时长上报的流量状态信息;
[0048] 确定攻击源的数据包的业务类型为非网站接入类业务,并且各组攻击源的最优网络防护设备的流量状态信息表征流量饱和时,分别计算每一组攻击源中各个攻击源的攻击流量的加和,并计算各个加和中的最大值对应的一组攻击源分别与每一个流量状态表征未饱和的网络防护设备的综合网络距离,以及将各个综合网络距离中的最小值对应的网络防护设备作为各组攻击源更新后的最优网络防护设备。
[0049] 本申请实施例中,接收网络监测设备上报的网络攻击信息,其中,网络攻击信息中包含各个攻击源的互联网协议IP地址和各个攻击源的数据包的业务类型;根据各个攻击源的IP地址,将各个攻击源按照区域分布进行分组,并基于本地存储的各个网络防护设备的IP地址,以及各个攻击源的IP地址,分别确定每一组攻击源的最近网络防护设备;基于各组攻击源的数据包的业务类型和各组攻击源的最近网络防护设备,按照预设的分配规则,分别确定每一组攻击源的最优网络防护设备,其中,分配规则用于根据攻击源的数据包的业务类型,选择相应的最近网络防护设备作为最优网络防护设备;将各组攻击源发送的数据包,转发至相应的最优网络防护设备,触发最优网络防护设备对接收的数据包进行过滤处理,并将过滤处理后的数据包发送至相应的客户服务器。这样,就可以根据攻击源与网络防护设备网络距离和攻击源的数据包的业务类型,确定攻击源的最优网络防护设备,并采用上述最优网络防护设备对攻击源发送的数据包进行过滤处理,从源头抑制网络攻击,节约了骨干网的各个节点以及其它汇聚的各个节点的宽带,减少了网络阻塞,提高了网络的安全性。
附图说明
[0050] 图1为本申请实施例一中网络安全防护的系统的架构示意图;
[0051] 图2a为本申请实施例一中网络安全防护的方法的流程图;
[0052] 图2b为本申请实施例一中网络安全防护的方法的示意图;
[0053] 图3为本申请实施例二中网络安全防护的方法的流程图;
[0054] 图4为本申请实施例中网络安全防护的装置的结构示意图。
具体实施方式
[0055] 下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,并不是全部的实施例。基于本申请实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
[0056] 为了在进行网络安全防护时,节约骨干网各个节点的宽带,减少了网络阻塞,提高了网络的安全性,本申请实施例中,设计了一种网络安全防护的方法,该方法为根据攻击源与网络防护设备网络距离和攻击源的数据包的业务类型,确定攻击源的最优网络防护设备,并采用上述最优网络防护设备对攻击源发送的数据包进行过滤处理,进一步地,将过滤处理后的数据包发送至相应的客户服务器。
[0057] 下面结合附图对本申请优选的实施方式进行详细说明。
[0058] 参阅图1所示,为网络安全防护的系统的架构示意图,包括调度服务器、网络监测设备、核心路由设备、路由设备、客户端以及网络防护设备。在进行网络安全防护之前,对网络监测设备进行配置的具体流程如下:
[0059] 首先,对网络监测设备进行部署,可以采用以下两种方式:
[0060] 第一种方式为:可分布式部署,即将各个网络监测设备分别部署在客户端的网络的入口处,并与入口处的路由设备连接。
[0061] 第二种方式为:集中式部署,即将网络监测设备部署在骨干网,并与骨干网的核心路由设备连接。
[0062] 然后,调度服务器向各个网络监测设备下发配置信息。其中,配置信息包括上报的预设时长,攻击告警阈值等。
[0063] 进一步地,网络监测设备接收调度服务器下发的配置信息,并按照配置信息对本地进行配置。
[0064] 在对各个网络监测设备进行部署之后,就可以通过各个网络监测设备对网络攻击进行监测,确定网络攻击的攻击源,以及通过网络防护设备对攻击源的数据包进行相应的处理。
[0065] 由于攻击源的数据包的业务类型分为网站接入类业务和非网站接入类业务,因此,本申请实施例中,根据攻击源的数据包的业务类型,分别采用两个应用场景对网络安全防护的具体流程进行说明。第一个应用场景为:攻击源的数据包的业务类型为网站接入类业务。第二个应用场景为:攻击源的数据包的业务类型为非网站接入类业务。
[0066] 参阅图2a所示,本申请实施例一中,对上述第一个应用场景的网络安全防护的具体流程进行进一步详细说明:
[0067] 步骤200:网络监测设备按照预设时长,周期性地对传输的各个数据包进行采样分析,获得分析结果。
[0068] 步骤201:网络监测设备基于分析结果,确定出现网络攻击。
[0069] 步骤202:网络监测设备将网络攻击信息上报给调度服务器。
[0070] 具体的,执行步骤202时,网络攻击信息中包含多个攻击源的IP地址。所谓攻击源为非法分子控制的网络设备,如,计算机。
[0071] 步骤203:调度服务器确定攻击源的最近网络防护设备。
[0072] 具体的,首先,调度服务获取网络攻击信息中包含的各个攻击源的IP地址,以及获取本地存储的各个网络防护设备的IP地址。
[0073] 然后,调度服务器根据各个攻击源的IP地址,将各个攻击源按照区域分布进行分组。
[0074] 其中,将各个攻击源按照区域分布进行分组,可以采用以下方式:
[0075] 调度服务器将同一个区域网段的IP地址对应的各个攻击源,划分为一组,或者,调度服务器将相邻的多个区域网段的IP地址对应的各个攻击源划分为一组。
[0076] 这样,就可以根据攻击源的IP地址,确定攻击源的区域分布,并按照各个攻击源的区域分布进行划分。
[0077] 例如,调度服务器获取各个攻击源的IP地址分别为:192.168.1.0/24、192.168.2.0/24、192.168.3.0/24、192.168.4.0/24、192.168.5.0/24、192.126.1.0/24、
192.126.2.0/24、192.126.3.0/24、192.126.4.0/24、192.126.5.0/24。则调度服务器将各个攻击源划分为两组,第一组G1包括:192.168.1.0/24、192.168.2.0/24、192.168.3.0/24、
192.168.4.0/24、192.168.5.0/24。第二组G2包括:192.126.1.0/24、192.126.2.0/24、
192.126.3.0/24、192.126.4.0/24、192.126.5.0/24。
192.126.2.0/24、192.126.3.0/24、192.126.4.0/24、192.126.5.0/24。则调度服务器将各个攻击源划分为两组,第一组G1包括:192.168.1.0/24、192.168.2.0/24、192.168.3.0/24、
192.168.4.0/24、192.168.5.0/24。第二组G2包括:192.126.1.0/24、192.126.2.0/24、
192.126.3.0/24、192.126.4.0/24、192.126.5.0/24。
[0078] 接着,调度服务器基于各个攻击源的IP地址与各个网络防护设备的IP地址,分别计算每一个攻击源与每一个网络防护设备之间的网络距离。
[0079] 最后,调度服务器基于获取的网络距离,确定每一组攻击源的最近网络防护设备。网络防护设备用于对包含攻击数据的数据包进行过滤,实现网络安全防护。
[0080] 其中,以一组攻击源为例,对确定每一组攻击源的最近网络防护设备,进行说明:
[0081] 首先,调度服务器确定一组攻击源中包含的各个攻击源与一个网络防护设备之间的网络距离的加和,作为上述一组攻击源与上述一个网络防护设备之间的综合网络距离。
[0082] 例如,一组攻击源中包含的各个攻击源与一个网络防护设备之间的网络距离(d1,d2,d3,d4,d5)取值为(1,3,2,1,3)。则确定上述一组攻击源与上述一个网络防护设备之间的网络综合距离s1=1+3+2+1+3=10。
[0083] 基于相同的原理,调度服务器分别确定上述一组攻击源与每一个网络防护设备之间的综合网络距离,在此不再赘述。
[0084] 然后,调度服务器确定获取的各个综合网络距离的最小值,并将该最小值对应的网络防护设备作为上述一组攻击源的最近网络防护设备。
[0085] 例如,攻击源组G1分别与3个网络防护设备的综合网络距离分别为s1=10,s2=7,s3=9,则调度服务器确定获取的各个网络综合距离的最小值为7,对应第二个网络防护设备,并将第二个网络防护设备作为攻击源组G1的最近网络防护设备。
[0086] 本申请实施例中,仅以确定一组攻击源的最近网络防护设备为例进行说明,基于相同的原理,可以确定各组攻击源的最近网络防护设备,在此不再赘述。这样,就可以确定与每一组攻击源的网络距离最近的网络防护设备。
[0087] 步骤204:调度服务器确定攻击源的数据包的业务类型为网站接入类业务。
[0088] 具体的,调度服务器获取网络攻击信息中包含的各个攻击源的数据包的业务类型,确定攻击源的数据包的业务类型为网站接入类业务。其中,网站接入类业务是指客户服务器提供基于DNS解析的网络服务。
[0089] 步骤205:调度服务器接收各个网络防护设备按照周期性上报的流量状态信息。
[0090] 步骤206:调度服务器确定攻击源的最优网络防护设备。
[0091] 具体的,调度服务器分别将每一组攻击源的最近网络防护设备直接作为相应的最优网络防护设备。
[0092] 进一步地,调度服务器基于周期性接收的各个网络防护设备的流量状态信息,确定存在一组攻击源的最优网络防护设备的流量状态信息表征流量饱和时,对攻击源的最优网络防护设备进行调整。
[0093] 其中,对攻击源的最优网络防护设备进行调整,可以采用以下方式:
[0094] 首先,获取一组攻击源分别与每一个流量状态信息表征未饱和的网络防护设备之间的综合网络距离。
[0095] 然后,将获取的各个综合网络距离中的最小值对应的网络防护设备,作为一组攻击源更新后的最优网络防护设备。
[0096] 例如,参阅图2b所示,网络安全防护的方法的示意图。调度服务器确定攻击源组1和攻击源组3对应的最优网络防护设备为网络防护设备A,攻击源组2对应的最优网络防护设备为网络防护设备B,攻击源组N对应的最优网络防护设备为网络防护设备C。
[0097] 这样,就可以在最优网络防护设备的流量饱和时,将攻击源的最优网络防护设备进行调整,调整为相对空闲的次最优网络防护设备,实现网络防护设备的负载均衡,提高网络安全防护的效率。
[0098] 步骤207:调度服务器基于攻击源对应的最优网络防护设备的IP地址,对攻击源的数据包的URL对应IP地址进行调整。
[0099] 这样,针对网站接入类业务,就可以通过调整DNS指向,根据数据包源IP分布分配不同的网络防护设备的IP作为DNS的解析结果,使不同的数据包可以采用调整后的IP转发至不同的网络防护设备。
[0100] 步骤208:调度服务器将调整后的各组攻击源的数据包,转发至相应的最优网络防护设备。
[0101] 进一步地,调度服务器将非攻击源发送的数据包也转发至相应的最近网络防护设备,在后续的步骤中,通过网络防护设备对所有数据包都进行过滤。提高网络的安全性。
[0102] 这样,就可以将各个攻击源的数据包发送至距离攻击源最近的网络防护设备,从而在源头上对网络攻击进行防护,并节约了骨干网以及其它汇聚节点的宽带,避免了网络的阻塞。
[0103] 步骤209:网络防护设备将接收的各个数据包进行过滤处理。
[0104] 步骤210:网络防护设备将过滤处理后的数据包转发至相应的客户服务器。
[0105] 步骤211:客户服务器基于接收的数据包,完成服务请求。
[0106] 参阅图3所示,本申请实施例二中,对上述第二个应用场景的网络安全防护的具体流程进行进一步详细说明:
[0107] 步骤300:网络监测设备按照预设时长,周期性地对传输的各个数据包进行采样分析,获得分析结果。
[0108] 步骤301:网络监测设备基于分析结果,确定出现网络攻击。
[0109] 步骤302:网络监测设备将网络攻击信息上报给调度服务器。
[0110] 具体的,执行步骤302时,网络攻击信息中包含多个攻击源的IP地址。所谓攻击源为非法分子控制的网络设备。
[0111] 步骤303:调度服务器基于网络攻击信息,对网络攻击信息中包含的各个攻击源进行分组。
[0112] 具体的,首先,调度服务获取网络攻击信息中包含的各个攻击源的IP地址,以及获取本地存储的各个网络防护设备的IP地址。
[0113] 然后,调度服务器根据各个攻击源的IP地址,将各个攻击源按照区域分布进行分组。
[0114] 其中,将各个攻击源按照区域分布进行分组,可以采用以下方式:
[0115] 调度服务器将同一个区域网段的IP地址对应的各个攻击源,划分为一组,或者,调度服务器将相邻的多个区域网段的IP地址对应的各个攻击源划分为一组。
[0116] 这样,就可以根据攻击源的IP地址,确定攻击源的区域分布,并按照各个攻击源的区域分布进行划分。
[0117] 步骤304:调度服务器确定攻击源的数据包的业务类型为非网站接入类业务。
[0118] 具体的,调度服务器获取网络攻击信息中包含的各个攻击源的数据包的业务类型,确定攻击源的数据包的业务类型为非网站接入类业务。其中,非网站接入类业务,即不基于DNS解析传输的网络业务。
[0119] 步骤305:调度服务器接收各个网络防护设备按照周期性上报的流量状态信息。
[0120] 步骤306:调度服务器确定一个最优网络防护设备。
[0121] 具体的,首先,调度服务器获取网络攻击信息中还包含的各个攻击源的攻击流量,并分别计算每一组攻击源中各个攻击源的攻击流量的加和。
[0122] 然后,调度服务器基于各个加和中的最大值对应的一组攻击源的IP地址与各个网络防护设备的IP地址,分别计算上述一组攻击源与每一个网络防护设备之间的综合网络距离,确定各个综合网络距离中的最小值对应的网络防护设备为上述一组攻击源的最近网络防护设备。其中,一组攻击源与一个网络防护设备之间的综合网络距离表示一组攻击源中包含的各个攻击源与一个网络防护设备之间的网络距离的加和。
[0123] 最后,调度服务器将获得的最近网络防护设备作为各组攻击源的最优网络防护设备。
[0124] 进一步地,调度服务器基于周期性接收的各个网络防护设备的流量状态信息,确定最优网络防护设备的流量状态信息表征流量饱和时,分别计算每一组攻击源中各个攻击源的攻击流量的加和,并计算各个加和中的最大值对应的一组攻击源分别与每一个流量状态表征未饱和的网络防护设备的综合网络距离,以及将各个综合网络距离中的最小值对应的网络防护设备作为各组攻击源更新后的最优网络防护设备。
[0125] 这样,就可以在最优网络防护设备的流量饱和时,将攻击源的最优网络防护设备进行调整,调整为相对空闲的次最优网络防护设备。
[0126] 步骤307:调度服务器基于最优网络防护设备的IP地址,下发指示:对网络中各个路由设备的路由表信息均进行修改。
[0127] 这样,针对非网站接入类业务,由于无法将数据包通过调整DNS指向的方式对数据包的目的IP进行更改,因此,无法采用直接将各个数据包转发给各攻击源分组对应的最优网络防护设备IP,而是通过将网络中各个路由设备中的路由表进行修改,从而使各个数据包均按照路由中的新的路由表信息进行传输,又由于路由表的修改是通过向全网发送路由公告进行的,是面向整个网络的,因此,只能选取一个网络防护设备作为各组攻击源的最优网络防护设备,即将攻击流量最大的一个攻击源分组对应的网络防护设备作为各组攻击源的最优网络防护设备。
[0128] 步骤308:调度服务器将调整后的各组攻击源的数据包,转发至最优网络防护设备。
[0129] 具体的,调度服务器通过路由根据修改后的路由表信息,将各组攻击源的数据包均转发至最优网络防护设备。
[0130] 进一步地,调度服务器将非攻击源的数据包转发至各组攻击源的最近网络防护设备,从而在后续的步骤中,通过网络防护设备对所有数据包都进行过滤,提高网络的安全性。
[0131] 步骤309:网络防护设备将接收的各个数据包进行过滤处理。
[0132] 步骤310:网络防护设备将过滤处理后的数据包转发至相应的客户服务器。
[0133] 步骤311:客户服务器基于接收的数据包,完成服务请求。
[0134] 基于上述实施例,参阅图4所示,网络安全防护的装置的结构示意图,本申请实施例中,网络安全防护的装置具体包括:
[0135] 接收单元40,用于接收网络监测设备上报的网络攻击信息,其中,网络攻击信息中包含各个攻击源的互联网协议IP地址和各个攻击源的数据包的业务类型;
[0136] 第一确定单元41,用于根据各个攻击源的IP地址,将各个攻击源按照区域分布进行分组,并基于本地存储的各个网络防护设备的IP地址,以及各个攻击源的IP地址,分别确定每一组攻击源的最近网络防护设备;
[0137] 第二确定单元42,用于基于各组攻击源的数据包的业务类型和各组攻击源的最近网络防护设备,按照预设的分配规则,分别确定每一组攻击源的最优网络防护设备,其中,分配规则用于根据攻击源的数据包的业务类型,选择相应的最近网络防护设备作为最优网络防护设备;
[0138] 处理单元43,用于将各组攻击源发送的数据包,转发至相应的最优网络防护设备,触发最优网络防护设备对接收的数据包进行过滤处理,并将过滤处理后的数据包发送至相应的客户服务器。
[0139] 较佳的,在基于本地存储的各个网络防护设备的IP地址,以及各个攻击源的IP地址,分别确定每一组攻击源的最近网络防护设备时,第一确定单元41具体用于:
[0140] 分别针对每一组攻击源执行以下操作:
[0141] 确定一组攻击源分别与每一个网络防护设备之间的综合网络距离,其中,一组攻击源与一个网络防护设备之间的综合网络距离表示一组攻击源中包含的各个攻击源与一个网络防护设备之间的网络距离的加和;
[0142] 确定获取的各个综合网络距离的最小值,并将最小值对应的网络防护设备作为一组攻击源的最近网络防护设备。
[0143] 较佳的,在基于各组攻击源的数据包的业务类型和各组攻击源的最近网络防护设备,按照预设的分配规则,分别确定每一组攻击源的最优网络防护设备时,第二确定单元42具体用于:
[0144] 确定攻击源的数据包的业务类型为网站接入类业务时,分别将每一组攻击源的最近网络防护设备作为自身相应的最优网络防护设备;或者,
[0145] 确定攻击源的数据包的业务类型为非网站接入类业务时,获取网络攻击信息中还包含的各个攻击源的攻击流量,并分别计算每一组攻击源中各个攻击源的攻击流量的加和,并将各个加和中的最大值对应的一组攻击源的最近网络防护设备作为各组攻击源的最优网络防护设备。
[0146] 较佳的,处理单元43还用于:
[0147] 若攻击源的数据包的业务类型为网站接入类业务,则分别针对每一组攻击源执行以下操作:
[0148] 接收各个网络防护设备按照预设时长上报的流量状态信息;
[0149] 确定一组攻击源的最优网络防护设备的流量状态信息表征流量饱和时,获取一组攻击源分别与每一个流量状态信息表征未饱和的网络防护设备之间的综合网络距离;
[0150] 将获取的各个综合网络距离中的最小值对应的网络防护设备,作为一组攻击源更新后的最优网络防护设备。
[0151] 较佳的,处理单元43还用于:
[0152] 接收各个网络防护设备按照预设时长上报的流量状态信息;
[0153] 确定攻击源的数据包的业务类型为非网站接入类业务,并且各组攻击源的最优网络防护设备的流量状态信息表征流量饱和时,分别计算每一组攻击源中各个攻击源的攻击流量的加和,并计算各个加和中的最大值对应的一组攻击源分别与每一个流量状态表征未饱和的网络防护设备的综合网络距离,以及将各个综合网络距离中的最小值对应的网络防护设备作为各组攻击源更新后的最优网络防护设备。
[0154] 本申请实施例中,接收网络监测设备上报的网络攻击信息,其中,网络攻击信息中包含各个攻击源的互联网协议IP地址和各个攻击源的数据包的业务类型;根据各个攻击源的IP地址,将各个攻击源按照区域分布进行分组,并基于本地存储的各个网络防护设备的IP地址,以及各个攻击源的IP地址,分别确定每一组攻击源的最近网络防护设备;基于各组攻击源的数据包的业务类型和各组攻击源的最近网络防护设备,按照预设的分配规则,分别确定每一组攻击源的最优网络防护设备,其中,分配规则用于根据攻击源的数据包的业务类型,选择相应的最近网络防护设备作为最优网络防护设备;将各组攻击源发送的数据包,转发至相应的最优网络防护设备,触发最优网络防护设备对接收的数据包进行过滤处理,并将过滤处理后的数据包发送至相应的客户服务器。这样,就可以根据攻击源与网络防护设备网络距离和攻击源的数据包的业务类型,确定攻击源的最优网络防护设备,并采用上述最优网络防护设备对攻击源发送的数据包进行过滤处理,从源头抑制网络攻击,节约了骨干网的各个节点以及其它汇聚的各个节点的宽带,减少了网络阻塞,提高了网络的安全性。
[0155] 本领域内的技术人员应明白,本申请实施例中的实施例可提供为方法、系统、或计算机程序产品。因此,本申请实施例中可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请实施例中可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
[0156] 本申请实施例中是参照根据本申请实施例中实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
[0157] 这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
[0158] 这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
[0159] 尽管已描述了本申请实施例中的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本申请实施例中范围的所有变更和修改。
[0160] 显然,本领域的技术人员可以对本申请实施例中实施例进行各种改动和变型而不脱离本申请实施例中实施例的精神和范围。这样,倘若本申请实施例中实施例的这些修改和变型属于本申请实施例中权利要求及其等同技术的范围之内,则本申请实施例中也意图包含这些改动和变型在内。