基于SDWAN主动防御DDOS系统转让专利
申请号 : CN202110704322.4
文献号 : CN113395288B
文献日 : 2022-06-24
发明人 : 叶德望 , 林勇 , 郑周行
申请人 : 浙江德迅网络安全技术有限公司
摘要 :
本申请公开了一种基于SDWAN主动防御DDOS系统,包括:云服务平台;SDWAN控制器;攻击监控模块,获取公网中的攻击数据;攻击数据分析模块,提取攻击数据中的攻击特征;DDOS攻击防御模块,通过多个SDWAN控制器交互攻击特征并匹配对应的防御策略;攻击应对防御模块,用于预制定防御策略;在攻击监控模块检测到用户被攻击时,将攻击数据发送至攻击数据分析模块进行攻击特征提取,通过多个SDWAN控制器的数据交互在云服务平台中根据攻击特征匹配对应的防御策略以对既往型攻击事件进行防御;同时,调取攻击应对防御模块中与攻击特征近似的虚拟特征对应的预制定防御策略进行主动防御。本申请的基于SDWAN主动防御DDOS系统,在DDOS攻击事件发生时具有较高的防御效率。
权利要求 :
1.一种基于SDWAN主动防御DDOS系统,其特征在于,包括:云服务平台;SDWAN控制器;攻击监控模块,获取公网中被攻击用户受到的攻击数据;攻击数据分析模块,提取攻击数据中的攻击特征;DDOS攻击防御模块,根据攻击特征通过多个所述SDWAN控制器交互攻击特征并匹配对应的防御策略;攻击应对防御模块,用于分解并重组攻击特征形成新的虚拟特征,采用虚拟特征模拟攻击事件,同时预制定防御策略;在所述攻击监控模块检测到用户被攻击时,将攻击数据发送至所述攻击数据分析模块进行攻击特征提取,通过多个所述SDWAN控制器的数据交互在云服务平台中根据攻击特征匹配对应的防御策略以对既往型攻击事件进行防御;同时,调取所述攻击应对防御模块中与攻击特征近似的虚拟特征对应的预制定防御策略进行主动防御;
所述攻击应对防御模块包括用于对攻击特征进行单体分解后获取单体特征的特征分解单元、用于将单体特征进行重组后获取虚拟特征的特征重组单元、用于采用虚拟特征进行攻击事件模拟的模型虚拟单元、用于针对模拟的攻击事件制定防御策略的预制定防御单元;
所述攻击应对防御模块还包括用于对同一攻击特征攻击频次进行统计以分析流行攻击机制的攻击分析单元,所述攻击分析单元获取的流行攻击机制为所述特征分解单元输送对应的攻击特征进行分解。
2.根据权利要求1所述的基于SDWAN主动防御DDOS系统,其特征在于,所述DDOS攻击防御模块包括通过DDOS攻击数据交互协议与所述SDWAN控制器进行数据交互的事件溯源单元、根据溯源结果匹配对应的防御策略的策略匹配单元。
3.根据权利要求1所述的基于SDWAN主动防御DDOS系统,其特征在于,所述攻击监控模块包括布置于子网网关的入侵检测器、布置于公网中的蜜罐群组。
4.根据权利要求1所述的基于SDWAN主动防御DDOS系统,其特征在于,所述攻击特征包括数据包协议类型、数据包大小、被攻击次数、网络攻击时长、被攻击端口、被攻击子网数量、被攻击子网IP地址。
说明书 :
基于SDWAN主动防御DDOS系统
技术领域
[0001] 本申请涉及网络安全防御技术领域,具体是一种基于SDWAN主动防御DDOS系统。
背景技术
[0002] 网络技术及互联网经济的发展,网络服务已经深入到社会生产、生活及国家安全等各个领域。因此,网络安全问题变得越来越重要。现有技术的SDN具有较强的感知管控能力、智能调度能力。但是,在当下大流量、大规模的DDOS攻击事件发生时,基于SDN进行网络服务防御系统,无法快速的响应以迅速制定适宜的防御策略,从而导致网络防御不及时、耗时较长的问题出现,因此,基于SDWAN的网络安保系统进入了业界的视野之中。
发明内容
[0003] 本申请的目的在于提供一种基于SDWAN主动防御DDOS系统,在DDOS攻击事件发生时具有较高的防御效率。
[0004] 为实现上述目的,本申请提供了一种基于SDWAN主动防御DDOS系统,包括:云服务平台;SDWAN控制器;攻击监控模块,获取公网中被攻击用户受到的攻击数据;攻击数据分析模块,提取攻击数据中的攻击特征;DDOS攻击防御模块,根据攻击特征通过多个所述SDWAN控制器交互攻击特征并匹配对应的防御策略;攻击应对防御模块,用于分解并重组攻击特征形成新的虚拟特征,采用虚拟特征模拟攻击事件,同时预制定防御策略;在所述攻击监控模块检测到用户被攻击时,将攻击数据发送至所述攻击数据分析模块进行攻击特征提取,通过多个所述SDWAN控制器的数据交互在云服务平台中根据攻击特征匹配对应的防御策略以对既往型攻击事件进行防御;同时,调取所述攻击应对防御模块中与攻击特征近似的虚拟特征对应的预制定防御策略进行主动防御。
[0005] 作为优选,所述攻击应对防御模块包括用于对攻击特征进行单体分解后获取单体特征的特征分解单元、用于将单体特征进行重组后获取虚拟特征的特征重组单元、用于采用虚拟特征进行攻击事件模拟的模型虚拟单元、用于针对模拟的攻击事件制定防御策略的预制定防御单元。
[0006] 作为优选,所述攻击应对防御模块还包括用于对同一攻击特征攻击频次进行统计以分析流行攻击机制的攻击分析单元,所述攻击分析单元获取的流行攻击机制为所述特征分解单元输送对应的攻击特征进行分解。
[0007] 作为优选,所述DDOS攻击防御模块包括通过DDOS攻击数据交互协议与所述SDWAN控制器进行数据交互的事件溯源单元、根据溯源结果匹配对应的防御策略的策略匹配单元。
[0008] 作为优选,所述攻击监控模块包括布置于子网网关的入侵检测器、布置于公网中的蜜罐群组。
[0009] 作为优选,所述攻击特征包括数据包协议类型、数据包大小、被攻击次数、网络攻击时长、被攻击端口、被攻击子网数量、被攻击子网IP地址。
[0010] 借由上述的一种基于SDWAN主动防御DDOS系统,在所述攻击监控模块检测到用户被攻击时,将攻击数据发送至所述攻击数据分析模块进行攻击特征提取,通过多个所述SDWAN控制器的数据交互在云服务平台中根据攻击特征匹配对应的防御策略以对既往型攻击事件进行防御。同时,调取所述攻击应对防御模块中与攻击特征近似的虚拟特征对应的预制定防御策略进行主动防御。通过在云服务平台中匹配既定的防御策略应对DDOS,并与制定防御策略进行主动防御,实现在DDOS攻击事件发生时,系统快速并准确地进行防御,具有较高的响应速度和防御效率。
附图说明
[0011] 为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅是本申请的一些实施例,对于本领域技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0012] 图1为本申请实施例中基于SDWAN主动防御DDOS系统的结构示意图;
[0013] 图2为本申请实施例中DDOS攻击防御模块的结构框图;
[0014] 图3为本申请实施例中攻击应对防御模块的结构框图。
具体实施方式
[0015] 下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
[0016] 实施例:DDOS的攻击有三种形式,具体为SYN/ACKFlood攻击、TCP全连接攻击、刷Script脚本攻击。
[0017] SYN/ACKFlood攻击主要是通过向受害主机发送大量伪造源IP和源端口的SYN或ACK包,导致主机的缓存资源被耗尽或忙于发送回应包而造成拒绝服务。大量的SYN/ACKFlood攻击会导致Ping失败、TCP/IP栈失效,并会出现系统凝固现象,即不响应键盘和鼠标,普通防火墙大多无法抵御此种攻击。
[0018] TCP全连接攻击是为了绕过常规防火墙的检查而设计的,一般情况下,常规防火墙大多具备过滤TearDrop、Land等DOS攻击的能力,一旦有大量的TCP连接,即便是正常的,也会导致网站访问非常缓慢甚至无法访问,TCP全连接攻击就是通过许多僵尸主机不断地与受害服务器建立大量的TCP连接,直到服务器的内存等资源被耗尽而被拖跨,从而造成拒绝服务,这种攻击的特点是可绕过一般防火墙的防护而达到攻击目的。
[0019] 刷Script脚本攻击主要是针对存在ASP、JSP、PHP、CGI等脚本程序,并调用MSSQLServer、MySQLServer、Oracle等数据库的网站系统而设计的,特征是和服务器建立正常的TCP连接,并不断的向脚本程序提交查询、列表等大量耗费数据库资源的调用,可以绕过普通的防火墙防护,轻松找一些Proxy代理就可实施攻击。
[0020] 为此,本实施例公开了参考图1所示的一种基于SDWAN主动防御DDOS系统,包括:云服务平台、SDWAN控制器、攻击监控模块、攻击数据分析模块、DDOS攻击防御模块、攻击应对防御模块。
[0021] 攻击监控模块,获取公网中被攻击用户受到的攻击数据。在本实施例中,攻击监控模块包括布置于子网网关的入侵检测器、布置于公网中的蜜罐群组。入侵检测器对黑客攻击进行实时检测,蜜罐群组基于蜜罐系统在公网中的布置节点对黑客进行攻击诱骗,从而收集黑客的攻击特点、习惯等,以为云服务平台收集资料制定防御策略、攻击应对防御模块预制定防御策略提供足够多的数据基础,提高防御策略的适应性。
[0022] 攻击数据分析模块,对OpenFlow交换机的所有输入数据包进行特征提取,提取攻击数据中的攻击特征。攻击特征包括数据包协议类型、数据包大小、被攻击次数、网络攻击时长、被攻击端口、被攻击子网数量、被攻击子网IP地址,基于上述攻击特征的内容,能够对黑客攻击的全部特征进行获取,从而便于后续分析攻击事件及制定防御策略,提高主动防御的准确性和效率。
[0023] DDOS攻击防御模块,根据攻击特征通过多个SDWAN控制器交互攻击特征并匹配对应的防御策略。
[0024] 参考图2所示,在本实施例中,DDOS攻击防御模块包括通过DDOS攻击数据交互协议与SDWAN控制器进行数据交互的事件溯源单元、根据溯源结果匹配对应的防御策略的策略匹配单元。事件溯源单元的设置,能够对相同的攻击特征对应的DDOS攻击事件发生的特征参数进行获取,从而提高对攻击特征的分析效率,并为后续预制定防御策略提供较多的可参考数据。
[0025] 攻击应对防御模块,用于分解并重组攻击特征形成新的虚拟特征,采用虚拟特征模拟攻击事件,同时预制定防御策略。
[0026] 参考图3所示,在本实施例中,攻击应对防御模块包括用于对攻击数据的持续时间、字节数、发送和接收的片段、重传、往返时间等参数进行分解后获取单体特征的特征分解单元、用于将单体特征进行重组后获取虚拟特征的特征重组单元、用于采用虚拟特征进行攻击事件模拟的模型虚拟单元、用于针对模拟的攻击事件制定防御策略的预制定防御单元。特征重组单元重组的方式为现有技术中的排列组合,用于将不同的攻击数据的持续时间、字节数、发送和接收的片段、重传、往返时间等参数进行重组,从而获取新的虚拟特征,特征重组单元需要人为的定期进行更新,并人为定制重组协议,以确保能够根据时空特性准确地重组出准确地虚拟特征。同时,攻击应对防御模块通过SDWAN控制器向云服务平台中反哺预制定防御单元相关数据,从而扩充云服务平台中的防御策略,为被保护服务次的下一次DDOS攻击事件提供足够多的防御数据。
[0027] 作为本实施例的一种优选地实施方式,攻击应对防御模块还包括用于对同一攻击特征攻击频次进行统计以分析流行攻击机制的攻击分析单元,攻击分析单元获取的流行攻击机制为特征分解单元输送对应的攻击特征进行分解,流行攻击机制可以理解为当下较为常用且有效的攻击流量。通过对流行攻击机制的获取,能够确定攻击特征的分布情况,从而提高攻击应对防御模块在预制定防御策略时的准确性,从而提高系统的响应速度和防御效率。
[0028] 基于上述的基于SDWAN主动防御DDOS系统,在攻击监控模块检测到用户被攻击时,将攻击数据发送至攻击数据分析模块进行攻击特征提取,通过多个SDWAN控制器的数据交互在云服务平台中根据攻击特征匹配对应的防御策略以对既往型攻击事件进行防御;同时,调取攻击应对防御模块中与攻击特征近似的虚拟特征对应的预制定防御策略进行主动防御,云服务平台向被攻击服务器传输预制定防御策略和匹配到的防御策略对DDOS进行防御。在本实施例中,与攻击特征近似的虚拟特征指的是:攻击特征与虚拟特征在数据的持续时间、字节数、发送和接收的片段、重传、往返时间等参数之间具有90%以上的相似度。
[0029] 最后应说明的是:以上仅为本发明的优选实施例而已,并不用于限制本发明,尽管参照前述实施例对本发明进行了详细的说明,对于本领域的技术人员来说,其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。