网络安全中的联合防攻击方法、客户端及系统转让专利
申请号 : CN202110858833.1
文献号 : CN113630398B
文献日 : 2023-02-21
发明人 : 杨腾霄 , 马宇尘 , 崔政强
申请人 : 上海纽盾科技股份有限公司
摘要 :
本发明公开了网络安全中的联合防攻击方法、客户端及系统,涉及网络安全技术领域。所述方法包括步骤:对网络系统中用户的设备节点的网络访问数据进行检测,所述设备节点为通过前述网络系统合法性验证的用户终端;检测到用户的设备节点发生DDoS攻击事件时,向前述网络系统的其它设备节点发送联合防御请求;从接受联合防御的设备节点选取目标设备节点作为清洗设备,将前述被攻击的设备节点的网络流量牵引到清洗设备中进行流量清洗;对前述参与流量清洗的目标设备节点支付奖励。本发明适用于防御各种类型的DDoS攻击,具有经济性好、资源利用高且适用性强的优点。
权利要求 :
1.一种网络安全中的联合防攻击方法,其特征在于包括步骤:
对网络系统中用户的设备节点的网络访问数据进行检测,所述设备节点为通过前述网络系统合法性验证的用户终端;
检测到用户的设备节点发生DDoS攻击事件时,向前述网络系统的其它设备节点发送联合防御请求;其中,获取网络访问数据特征属性信息,通过获取检测时间窗口内前述网络访问数据特征属性信息,使用决策树算法来检测所述设备节点是否发生DDoS攻击事件;所述网络访问数据特征属性信息包括流包中位数、源端口增速、源ID增速、转发表项增速和对流比信息;
从接受联合防御的设备节点选取目标设备节点作为清洗设备,将被攻击的设备节点的网络流量牵引到清洗设备中进行流量清洗;
对参与流量清洗的目标设备节点支付奖励;
其中,所述联合防御请求包括受攻击的设备节点的设备标识和网络访问数据特征属性信息;所述网络系统包括联合调度模块以管理网络系统中的设备节点和在网络系统中进行资源分配,所述资源包括设备节点的物理资源和/或虚拟资源;所述联合调度模块被配置为基于预设的时间单位获取各设备节点的资源闲置信息,并根据各设备节点的资源闲置信息向网络系统中的其它设备节点发送联合防御请求;
向网络系统中的其它设备节点发送联合防御请求的步骤包括:联合调度模块获取网络系统中所有具有闲置资源的其它设备节点及其对应的闲置资源信息;对于每一个其它设备节点,基于预设的资源指标单元量计算该设备节点能够参与联合防御的资源指标协助量,所述资源指标协助量等于闲置资源量除以资源指标单元量后再取整的数值;按照资源指标协助量的大小对网络系统中所有的其它设备节点从大到小进行排序并形成设备节点资源供应队列;根据前述设备节点资源供应队列,联合调度模块向排在前N位的设备节点发送联合防御请求,所述N为大于等于1的整数,N的取值由用户或系统设置;
所述闲置资源信息包括设备节点的资源类型和其对应的闲置资源量,对应每类资源设置有一个资源指标单元量和一个资源指标协助量,每类资源的资源指标协助量等于该资源类型的闲置资源量除以对应的资源指标单元量后再取整的数值;对应所述设备节点设置有节点资源指标协助量,所述节点资源指标协助量等于该设备节点包含的各类资源的资源指标协助量的总和,在形成设备节点资源供应队列时,结合各设备节点的各类资源指标协助量和节点资源指标协助量的大小进行排序。
2.根据权利要求1所述的方法,其特征在于:所述联合调度模块包括清洗设备流量收集单元、清洗设备流量分类单元、清洗设备流量处理单元和清洗设备策略配置单元;
所述清洗设备流量收集单元,用于监控清洗设备的网络端口,对发送给清洗设备的网络流量数据包进行缓存;
所述清洗设备流量分类单元,用于基于预设的时间单位周期性地对缓存的网络流量进行分类检测,得到其攻击类型;
所述清洗设备流量处理单元,用于根据攻击类型剔除网络流量中的异常流量,然后将正常流量回流到网络中;
所述清洗设备策略配置单元用于对攻击类型和异常流量的统计分布情况进行综合分析后得出安全防御策略,并发往联合调度模块进行防御策略配置。
3.根据权利要求1所述的方法,其特征在于:基于前述用户的即时通信账号,在即时通信工具中建立联合防攻击设备群组,获取所有接受联合防御的设备节点信息并将上述设备节点作为联系人对象加入联合防攻击设备群组中形成群成员;
对于参与流量清洗的设备节点,通过该设备节点的群成员的ITEM项输出参与信息和/或奖励信息;以及,获取前述参与流量清洗的设备节点设置的关联联系人信息,获取该关联联系人的即时通信账号信息后在所述联合防攻击设备群组中添加前述关联联系人作为群成员。
4.一种根据权利要求1所述方法的网络安全中的联合防攻击客户端,其特征在于包括:
检测模块,用于对网络系统中用户的设备节点的网络访问数据进行检测,并在检测到用户的设备节点发生DDoS攻击事件时触发联合调度模块;所述设备节点为通过前述网络系统合法性验证的设备终端;
联合调度模块,用于向前述网络系统的其它设备节点发送联合防御请求,以及从接受联合防御的设备节点选取目标设备节点作为清洗设备,将被攻击的设备节点的网络流量牵引到清洗设备中进行流量清洗;
防御奖励模块,用于对参与流量清洗的目标设备节点支付奖励。
5.一种根据权利要求1所述方法的网络安全中的联合防攻击系统,包括系统服务器和至少2个设备节点,其特征在于:所述设备节点为通过前述系统服务器合法性验证的用户终端,与前述系统服务器通信连接;
所述系统服务器被配置为:对系统中用户的设备节点的网络访问数据进行检测,在检测到用户的设备节点发生DDoS攻击事件时,向系统中的其它设备节点发送联合防御请求;
以及,从接受联合防御的设备节点选取目标设备节点作为清洗设备,将被攻击的设备节点的网络流量牵引到清洗设备中进行流量清洗,对参与流量清洗的目标设备节点支付奖励。
说明书 :
网络安全中的联合防攻击方法、客户端及系统
技术领域
[0001] 本发明涉及网络安全技术领域,具体涉及一种网络安全中的联合防攻击方法、客户端及系统。
背景技术
[0002] DDoS(Distributed Denial of service分布式拒绝服务攻击)的攻击主要是通过多个被攻击者入侵过或可间接利用的主机向受害主机发送大量看似合法的网络包,从而造成网络阻塞或服务器资源耗尽而导致拒绝服务。DDoS一旦被实施,攻击网络包就会犹如洪水般涌向受害主机,从而把合法用户的网络包淹没,导致合法用户无法正常访问服务器的网络资源,因此,拒绝服务攻击又被称之为“洪水式攻击”。DDoS攻击通常可以分成以下两种形式:带宽资源消耗型和服务器资源消耗型。它们都是透过大量合法或伪造的请求占用大量网络以及器材资源,以达到瘫痪网络以及系统的目的。
[0003] 目前DDoS的防御方法主要有以下几种:第一种是人工防护,主要包括系统优化和网络追查,从而提高系统本身对DDoS攻击的响应能力并且追溯攻击源头。第二种是退让策略。受害者通过购买硬件的方式来提高系统抗DDoS的能力,但这不能从根本上解决问题,攻击者可以通过提高攻击流量来使这种方法失效。第三种是路由器实行安全措施。通过路由器可以设置某些ACL及uRPF等方式过滤掉一些非法流量,但DDoS攻击可以通过采用地址欺骗技术来突破这些防护措施。第四种是防火墙。虽然防火墙是常用的安全产品,但防火墙缺乏检测DDoS攻击的能力,并且需要高强度的检查开销。在某些情况下,防火墙甚至成为DDoS攻击的目标而导致整个网络的拒绝服务。第五种是入侵检测。传统的入侵检测系统是基于规则的,需要对协议会话进行还原,但大部分DDoS攻击采用基于合法数据包的攻击流量,IDS很难对这些攻击有效检测。同时IDS系统一般只对攻击进行检测,无法阻断DDoS攻击。
[0004] 同时,网络中计算资源分布的不均衡性使得网络中计算资源的利用率较为低下,比如在某些情况下,计算需求量大的一方由于不具备相匹配的计算资源导致无法完成数据处理,而与此同时,拥有较丰富计算资源的另一方虽然拥有先进的计算设备确无法充分利用该先进设备,甚至出现机器的闲置情况。
[0005] 综上所述,基于当前存在的防御DDoS攻击方法的上述缺陷,如何结合现有的分布式网络系统提供一种开销小且能够有效利用网络资源以防御DDoS攻击的技术方案是当前亟需解决的技术问题。
发明内容
[0006] 本发明的目的是提供一种网络安全中的联合防攻击方法、客户端及系统,本发明能够在检测到用户的设备节点发生DDoS攻击事件时,向其它设备节点发送联合防御请求并从从中选取目标设备节点作为清洗设备以进行流量牵引和清洗,同时对前述参与流量清洗的目标设备节点支付奖励。本发明具有经济性好、资源利用高且适用性强的优点。
[0007] 为实现上述目标,本发明提供了如下技术方案:
[0008] 一种网络安全中的联合防攻击方法,包括步骤:
[0009] 对网络系统中用户的设备节点的网络访问数据进行检测,所述设备节点为通过前述网络系统合法性验证的用户终端;
[0010] 检测到用户的设备节点发生DDoS攻击事件时,向前述网络系统的其它设备节点发送联合防御请求;
[0011] 从接受联合防御的设备节点选取目标设备节点作为清洗设备,将前述被攻击的设备节点的网络流量牵引到清洗设备中进行流量清洗;
[0012] 对前述参与流量清洗的目标设备节点支付奖励。
[0013] 进一步,检测设备节点是否发生DDoS攻击事件的步骤为:
[0014] 检测设备节点的流量状态和/或资源利用情况;
[0015] 判断设备节点的平均网络速率与系统总带宽的比值和/或设备节点的平均系统资源利用率在检测时间窗口内是否大于对应的正常标准值;所述正常标准值是指无攻击条件下的系统网络速率与系统总带宽比值的均值和/或系统的平均资源利用率;
[0016] 在大于正常标准值时,判定该设备节点发生DDoS攻击事件。
[0017] 进一步,获取网络访问数据特征属性信息,通过获取检测时间窗口内前述网络访问数据特征属性信息,使用决策树算法来检测所述设备节点是否发生DDoS攻击事件;
[0018] 所述网络访问数据特征属性信息包括流包中位数、源端口增速、源ID增速、转发表项增速和对流比信息。
[0019] 进一步,所述联合防御请求包括受攻击的设备节点的设备标识和网络访问数据特征属性信息;所述网络系统包括联合调度模块以管理网络系统中的设备节点和在网络系统中进行资源分配,所述资源包括设备节点的物理资源和/或虚拟资源;
[0020] 所述联合调度模块被配置为基于预设的时间单位获取各设备节点的资源闲置信息,并根据各设备节点的资源闲置信息向网络系统中的其它设备节点发送联合防御请求。
[0021] 进一步,向网络系统中的其它设备节点发送联合防御请求的步骤包括:
[0022] 联合调度模块获取网络系统中所有具有闲置资源的其它设备节点及其对应的闲置资源信息;
[0023] 对于每一个其它设备节点,基于预设的资源指标单元量计算该设备节点能够参与联合防御的资源指标协助量,所述资源指标协助量等于闲置资源量除以资源指标单元量后再取整的数值;
[0024] 按照资源指标协助量的大小对网络系统中所有的其它设备节点从大到小进行排序并形成设备节点资源供应队列;
[0025] 根据前述设备节点资源供应队列,联合调度模块向排在前N位的设备节点发送联合防御请求,所述N为大于等于1的整数,N的取值由用户或系统设置。
[0026] 进一步,所述闲置资源信息包括设备节点的资源类型和其对应的闲置资源量,对应每类资源设置有一个资源指标单元量和一个资源指标协助量,每类资源的资源指标协助量等于该类型资源的闲置资源量除以对应的资源指标单元量后再取整的数值;
[0027] 对应所述设备节点设置有节点资源指标协助量,所述节点资源指标协助量等于该设备节点包含的各类资源的资源指标协助量的总和,在形成设备节点资源供应队列时,结合各设备节点的各类资源指标协助量和节点资源指标协助量的大小进行排序。
[0028] 进一步,所述联合调度模块包括清洗设备流量收集单元、清洗设备流量分类单元、清洗设备流量处理单元和清洗设备策略配置单元;
[0029] 所述清洗设备流量收集单元,用于监控清洗设备的网络端口,对发送给清洗设备的网络流量数据包进行缓存;
[0030] 所述清洗设备流量分类单元,用于基于预设的时间单位周期性地对缓存的网络流量进行分类检测,得到其攻击类型;
[0031] 所述清洗设备流量处理单元,用于根据攻击类型剔除网络流量中的异常流量,然后将正常流量回流到网络中;
[0032] 所述清洗设备策略配置单元用于对攻击类型和异常流量的统计分布情况进行综合分析后得出安全防御策略,并发往联合调度模块进行防御策略配置。
[0033] 进一步,基于前述用户的即时通信账号,在即时通信工具中建立联合防攻击设备群组,获取所有接受联合防御的设备节点信息并将上述设备节点作为联系人对象加入联合防攻击设备群组中形成群成员;
[0034] 对于参与流量清洗的设备节点,通过该设备节点的群成员的ITEM项输出参与信息和/或奖励信息;以及,获取前述设备节点设置的关联联系人信息,获取该关联联系人的即时通信账号信息后在所述联合防攻击设备群组中添加前述关联联系人作为群成员。
[0035] 本发明还提供了一种网络安全中的联合防攻击客户端,包括如下结构:
[0036] 检测模块,用于对网络系统中用户的设备节点的网络访问数据进行检测,并在检测到用户的设备节点发生DDoS攻击事件时触发联合调度模块;所述设备节点为通过前述网络系统合法性验证的设备终端;
[0037] 联合调度模块,用于向前述网络系统的其它设备节点发送联合防御请求,以及从接受联合防御的设备节点选取目标设备节点作为清洗设备,将前述被攻击的设备节点的网络流量牵引到清洗设备中进行流量清洗;
[0038] 防御奖励模块,用于对前述参与流量清洗的目标设备节点支付奖励。
[0039] 本发明还提供了一种网络安全中的联合防攻击系统,所述系统包括系统服务器和至少2个设备节点;
[0040] 所述设备节点为通过前述系统服务器合法性验证的用户终端,与前述系统服务器通信连接;
[0041] 所述系统服务器被配置为:对系统中用户的设备节点的网络访问数据进行检测,在检测到用户的设备节点发生DDoS攻击事件时,向系统中的其它设备节点发送联合防御请求;以及,从接受联合防御的设备节点选取目标设备节点作为清洗设备,将前述被攻击的设备节点的网络流量牵引到清洗设备中进行流量清洗,对前述参与流量清洗的目标设备节点支付奖励。
[0042] 本发明由于采用以上技术方案,与现有技术相比,作为举例,具有以下的优点和积极效果:能够在检测到用户的设备节点发生DDoS攻击事件时,向其它设备节点发送联合防御请求并从从中选取目标设备节点作为清洗设备以进行流量牵引和清洗,同时对前述参与流量清洗的目标设备节点支付奖励。本发明具有经济性好、资源利用高且适用性强的优点,能够用于防御各种类型的DDoS攻击,在防止被攻击的设备节点的资源耗尽的同时能够显著提高网络系统中设备节点的资源利用率。
附图说明
[0043] 图1为本发明实施例提供的网络安全中的联合防攻击方法的流程图。
[0044] 图2是本发明实施例提供的联合防攻击设备群组的群显示界面示例图。
[0045] 图3是本发明实施例提供的客户端的模块结构图。
[0046] 图4是本发明实施例提供的系统的结构示意图。
[0047] 附图标记说明:
[0048] IM工具主界面100,用户头像110,群组列表120,联合防攻击设备群组121,群成员121‑1;
[0049] 客户端200,检测模块210,联合调度模块220,防御奖励模块230;
[0050] 设备节点310,系统服务器320。
具体实施方式
[0051] 以下结合附图和具体实施例对本发明公开的网络安全中的联合防攻击方法、客户端及系统作进一步详细说明。应当注意的是,下述实施例中描述的技术特征或者技术特征的组合不应当被认为是孤立的,它们可以被相互组合从而达到更好的技术效果。在下述实施例的附图中,各附图所出现的相同标号代表相同的特征或者部件,可应用于不同实施例中。因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步讨论。
[0052] 需说明的是,本说明书所附图中所绘示的结构、比例、大小等,均仅用以配合说明书所揭示的内容,以供熟悉此技术的人士了解与阅读,并非用以限定发明可实施的限定条件,任何结构的修饰、比例关系的改变或大小的调整,在不影响发明所能产生的功效及所能达成的目的下,均应落在发明所揭示的技术内容所能涵盖的范围内。本发明的优选实施方式的范围包括另外的实现,其中可以不按所述的或讨论的顺序,包括根据所涉及的功能按基本同时的方式或按相反的顺序,来执行功能,这应被本发明的实施例所属技术领域的技术人员所理解。
[0053] 对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,所述技术、方法和设备应当被视为授权说明书的一部分。在这里示出和讨论的所有示例中,任何具体值应被解释为仅仅是示例性的,而不是作为限制。因此,示例性实施例的其它示例可以具有不同的值。实施例
[0054] 参见图1所示,为本发明实施例提供的一种网络安全中的联合防攻击方法。所述方法包括如下步骤:
[0055] S100,对网络系统中用户的设备节点的网络访问数据进行检测,所述设备节点为通过前述网络系统合法性验证的用户终端。
[0056] 所述的用户终端是面向用户设置的计算机终端,包括但不限于手机、平板电脑、台式机、矿机和服务器等各种计算设备。操作前述用户终端的对象,可以是任意一个或多个用户。
[0057] 优选的实施方式中,所述网络系统中的各设备节点构成区块链防护网系统。所述区块链防护网系统的系统服务器中可以设置有设备信息共享智能合约和设备清洗智能合约,系统中的各设备节点基于共识算法构成共识节点以实现信息共享。
[0058] 典型的实施方式中,在系统中的某个设备节点存在DDoS攻击的情况下,该设备节点可以基于设备信息共享智能合约将DDoS异常流量信息的信息摘要上传至区块链防护网系统的系统服务器。然后,所述区块链防护网系统的系统服务器基于区块链共识算法将所述DDoS异常流量信息的信息摘要同步至其它设备节点。同时,区块链防护网系统的系统服务器还可以基于联合防御请求,通过设备清洗智能合约选择系统中的一个或多个其它设备节点后向其发送DDoS攻击设备清洗信息,通过该设备节点对网络流量进行过滤清洗。
[0059] 需要说明的是,所述区块链,是指实现了数据公开、透明、可追溯的产品的架构设计方法,算作广义的区块链。广义的区块链,包含点对点网络设计、加密技术应用、分布式算法的实现、数据存储技术的使用等4个方面,其他的可能涉及到分布式存储、机器学习、VR、物联网、大数据等。而狭义的区块链仅涉及到数据存储技术,数据库或文件操作等。本申请中的区块链,指的是广义的区块链。
[0060] 本实施例的一个实施方式中,检测设备节点是否发生DDoS攻击事件的步骤具体如下:
[0061] S111,检测设备节点的流量状态和/或资源利用情况。
[0062] S112,判断设备节点的平均网络速率与系统总带宽的比值和/或设备节点的平均系统资源利用率在检测时间窗口内是否大于对应的正常标准值;所述正常标准值是指无攻击条件下的系统网络速率与系统总带宽比值的均值和/或系统的平均资源利用率。
[0063] S113,在大于正常标准值时,判定该设备节点发生DDoS攻击事件。
[0064] 本实施例的另一个实施方式中,是通过决策树算法来判断所述用户的设备节点是否发生DDoS攻击。具体的,可以获取网络访问数据特征属性信息,通过获取检测时间窗口内前述网络访问数据特征属性信息,使用决策树算法来检测所述设备节点是否发生DDoS攻击事件。本实施例中,所述网络访问数据特征属性信息包括流包中位数、源端口增速、源ID增速、转发表项增速和对流比信息。
[0065] 优选的,可以基于预设的检测时间窗口,获取该检测时间窗口内所述流包中位数、源端口增速、源ID增速、转发表项增速和对流比的统计值;然后将各特征属性作为决策树的分裂属性,基于已知数据集统计的上述特征属性组的值及攻击状态组成训练数据集,利用所述训练数据集使用CART决策树算法训练决策树,生成二叉判决树并剪枝,将获取的特征属性组取值输入到训练好的决策树进行判决,根据判决结果确定所述设备节点是否遭受DDoS攻击。
[0066] S200,检测到用户的设备节点发生DDoS攻击事件时,向前述网络系统的其它设备节点发送联合防御请求。
[0067] 可选的,在发送联合防御请求之前采集前述受攻击的设备节点的用户许可信息。在采集到用户许可启动联合防御之后,再发送前述联合防御请求。
[0068] 本实施例中,所述联合防御请求具体可以包括如下信息:受攻击的设备节点的设备标识和网络访问数据特征属性信息。
[0069] 所述网络系统可以包括联合调度模块以管理网络系统中的设备节点和在网络系统中进行资源分配,所述资源包括设备节点的物理资源和/或虚拟资源。所述联合调度模块被配置为基于预设的时间单位获取各设备节点的资源闲置信息,并根据各设备节点的资源闲置信息向网络系统中的其它设备节点发送联合防御请求。
[0070] 所述物理资源,作为举例而非限制,比如可以包括CPU负载、通信带宽。所述虚拟资源,作为举例而非限制,比如可以包括每时间单位数据库读取的数量、每时间单位数据库写入的数量、每时间单位请求的数量以及同时会话的数量等。
[0071] 本实施例中,向网络系统中的其它设备节点发送联合防御请求的步骤具体可以如下:
[0072] S210,联合调度模块获取网络系统中所有具有闲置资源的其它设备节点及其对应的闲置资源信息。
[0073] S220,对于每一个其它设备节点,基于预设的资源指标单元量计算该设备节点能够参与联合防御的资源指标协助量,所述资源指标协助量等于闲置资源量除以资源指标单元量后再取整的数值。
[0074] S230,按照资源指标协助量的大小对网络系统中所有的其它设备节点从大到小进行排序并形成设备节点资源供应队列。
[0075] S240,根据前述设备节点资源供应队列,联合调度模块向排在前N位的设备节点发送联合防御请求,所述N为大于等于1的整数,N的取值由用户或系统设置。
[0076] 作为优选,所述闲置资源信息可以包括设备节点的资源类型和其对应的闲置资源量,对应每类资源设置有一个资源指标单元量和一个资源指标协助量,每类资源的资源指标协助量等于该类型资源的闲置资源量除以对应的资源指标单元量后再取整的数值。
[0077] 对应所述设备节点设置有节点资源指标协助量,所述节点资源指标协助量等于该设备节点包含的各类资源的资源指标协助量的总和,在形成设备节点资源供应队列时,结合各设备节点的各类资源指标协助量和节点资源指标协助量的大小进行排序。
[0078] 具体的,作为典型方式的优选,比如所述资源类型至少可以包括物理资源类型和虚拟资源类型。
[0079] 对应物理资源设置有物理资源指标单元量N1,某个设备节点的物理资源指标协助量K1等于其物理资源闲置资源量M1除以物理资源指标单元量N1后再取整的数值,即K1=[M1/ N1]。
[0080] 对应虚拟资源设置有虚拟资源指标单元量N2,某个设备节点的虚拟指标协助量K2等于其虚拟资源闲置资源量M2除以虚拟资源指标单元量后再取整的数值,即K2=[M2/ N2]。
[0081] 所述节点资源指标协助量等于该设备节点包含的各类资源的资源指标协助量的总和,即K=K1+K2。
[0082] 本实施例中,考虑到DDoS攻击的特点,在排序时,按物理资源指标协助量K1的大小按从大到小的顺序排列,对于物理资源指标协助量K1相同的多个设备节点,再按设备节点的节点资源指标协助量的大小按从大到小的顺序排序,从而形成设备节点资源供应队列。
[0083] S300,从接受联合防御的设备节点选取目标设备节点作为清洗设备,将前述被攻击的设备节点的网络流量牵引到清洗设备中进行流量清洗。
[0084] 根据网络系统的规模,接受联合防御的设备节点可能为多个,此时,需要从接受联合防御的设备节点选取目标设备节点来作为清洗设备。
[0085] 在一个实施方式中,可以获取接受联合防御的设备节点的报价信息,将各设备节点的报价进行统一以转换成基于资源指标单元量的单元报价;根据前述单元报价,从接受联合防御的设备节点中选择单元报价最低的设备节点作为清洗设备。
[0086] 更优选的,考虑到防御时能够提供多资源协助量的设备节点显然优于只能提供很少资源协助量的设备节点,在选择清洗设备时还可以结合资源指标协助量和单元报价,如此可以平衡联合防御效率和经济性。具体的,获取接受联合防御的设备节点的报价信息,将各设备节点的报价进行统一以转换成基于资源指标单元量的单元报价;结合各设备节点的资源指标协助量和单元报价,在资源指标协助量相同或相近时(所述的相近,是指两个设备节点提供的资源指标协助量的差值小于预设值),从接受联合防御的设备节点中选择单元报价更低的设备节点作为清洗设备。
[0087] S400,对前述参与流量清洗的目标设备节点支付奖励。
[0088] 本实施例中,所述的奖励包括但不限于基于现金奖励机制、积分奖励机制和/或系统资源使用量奖励机制。支付奖励的时机可以是在联合防御之前、防御之中或防御结束之后。
[0089] 优选的,在采用系统资源使用量奖励机制方式时,所述系统资源使用量可以作为该设备节点在系统资源储备,在该设备节点后期受到攻击时,该储备的系统资源量即为该设备节点能够无偿使用的系统资源量。可选的,所述奖励的系统资源量根据该设备节点投入的资源量进行配置,比如投入多少资源参与流量清洗就奖励多少系统资源。
[0090] 可选的,对应每个设备节点设置有系统资源量使用账户,通过所述系统资源量使用账户设置该设备节点能够使用的系统资源量,设备节点对应的用户(比如设备节点的使用者)可以通过购买、交换、参与活动等方式增加系统资源量使用账户中的系统资源量。
[0091] 优选的,从被攻击的设备节点的系统资源量使用账户中扣除前述支付的奖励。可选的,当前述账户中的系统资源量的支付超过用户设置的阈值时,向该用户发出询问以获取用户的许可信息。
[0092] 本实施例的另一实施方式中,所述联合调度模块可以包括清洗设备流量收集单元、清洗设备流量分类单元、清洗设备流量处理单元和清洗设备策略配置单元。
[0093] 所述清洗设备流量收集单元,用于监控清洗设备的网络端口,对发送给清洗设备的网络流量数据包进行缓存。
[0094] 所述清洗设备流量分类单元,用于基于预设的时间单位周期性地对缓存的网络流量进行分类检测,得到其攻击类型。
[0095] 所述清洗设备流量处理单元,用于根据攻击类型剔除网络流量中的异常流量,然后将正常流量回流到网络中。
[0096] 所述清洗设备策略配置单元用于对攻击类型和异常流量的统计分布情况进行综合分析后得出安全防御策略,并发往联合调度模块进行防御策略配置。可选的,所述清洗设备策略配置单元通过SSL信道将安全防御策略发送至联合调度模块进行防御策略配置。
[0097] 本实施例的另一实施方式中,还可以基于前述用户的即时通信账号,在即时通信工具中建立联合防攻击设备群组,获取所有接受联合防御的设备节点信息并将上述设备节点作为联系人对象加入联合防攻击设备群组中形成群成员,参见图2所示。
[0098] 此时,对于参与流量清洗的设备节点,通过该设备节点的群成员的ITEM项输出参与信息和/或奖励信息。
[0099] 进一步,还可以获取前述设备节点设置的关联联系人信息,所述关联联系人信息至少包括该关联联系人的即时通信账号信息。在获取该关联联系人的即时通信账号信息后,就可以在所述联合防攻击设备群组中添加前述关联联系人作为群成员,与前述对应设备节点的群成员不同,该对应关联联系人的群成员对应的是可以通信交互(聊天)的聊天对象,使得用户可以通过该群成员与设备节点设置的关联用户——通常为该设备节点的使用者,比如手机的主人——进行聊天。
[0100] 所述即时通信工具,又称即时通讯工具,本领域通常指具有即时通信功能的客户端,比如微信、QQ和钉钉等。作为举例而非限制,所述即时通信工具可以是网络版应用,也可以是PC版应用或者手持终端APP应用。
[0101] 现有技术中,用户通过登录即时通信工具,建立了即时通信客户端与即时通信服务器之间的连接。即时通信工具通过用户终端显示屏向用户输出用户主界面。
[0102] 参见图2所示,所述用户主界面可以显示用户头像110、搜索栏、以及即时通信服务器推送的即时通信消息和联系人信息等。具体的,用户主界面可以显示即时通讯服务器推送的联系人列表和群组列表信息,该联系人列表中记录了好友(联系人对象)的头像、昵称、签名、在线状态、会话消息以及排序等好友信息等;群组列表中记录了聊天群组的头像、昵称、签名、在线状态、会话消息以及排序等群成员信息等。参见图2所示,示例了用户选择了群组控件(或称群聊控件)后,输出用户的群组列表120信息,用户可以针对群组列表120中某一聊天群组触发通信交互操作——常用的,比如点击触发对应的群组头像——则会相应地生成群组通信交互界面。
[0103] 本实施例中,是在即时通讯工具中建立与接受联合防御的设备节点对应的联合防攻击设备群组121,所述联合防攻击设备群组121可以与其它常规聊天群组一样显示在群组列表120中,参见图2所示。同时获取所有接受联合防御的设备节点信息并将上述设备节点作为联系人对象加入联合防攻击设备群组121中形成群成员121‑1。每个接受联合防御的设备节点就是一个群成员,每个设备节点作为群成员都对应有自己的设备名称、设备识别号(具有唯一性,比如手机的移动设备识别码IMEI)和其它设备节点相关信息。作为举例,比如群组列表120可以显示有常规群组和联合防攻击设备群组,常规群组对应的是现有技术中的常规的聊天群组,所述联合防攻击设备群组对应的是防御DDoS攻击的设备群组,与常规聊天群组不同,设备群组中的群成员对应的是接受联合防御的设备节点的相关信息,而常规聊天群组中的群成员是用户的聊天对象。
[0104] 可选的,将所述名称和/或设备识别号作为设备节点对应的群成员的昵称,并基于设备节点的设备类型生成对应的群成员的头像,作为举例,比如设备节点为某品牌的某型号手机时,其对应群成员的头像为该品牌的该型号手机的图像。
[0105] 可选的,还可以获取当前参与联合防御的设备节点信息,在前述群组的群成员显示界面对前述参与联合防御的设备节点对应的群成员ITEM项显示统筹关联标识,所述统筹关联标识为对前述群成员ITEM项进行融合或部分融合形成融合ITEM项。
[0106] 以及,检测到用户的设备节点恢复正常情况时发出联合防御结束指令;根据所述联合防御结束指令解除前述统筹关联标识,取消融合ITEM项以使相关群成员ITEM项恢复到初始的独立显示状态。
[0107] 本实施例的另一实施方式中,还可以根据DDoS攻击信息和群组中参与联合防御的设备节点信息在前述群组的群通信交互界面中生成可视化的攻防展示画面,所述攻防展示画面显示有DDoS攻击对应的游戏角色形象和参与联合防御的设备节点对应的游戏角色形象。
[0108] 具体的,可以根据DDoS攻击的DDoS异常流量的大小来设置DDoS攻击对应的游戏角色形象的尺寸和/或颜色,根据参与联合防御的设备节点提供的资源信息的大小来设置对应的游戏角色形象的尺寸和/或颜色。
[0109] 参见图3所示,为本发明的另一实施例,提供了一种网络安全中的联合防攻击客户端。
[0110] 所述客户端200包括检测模块210,联合调度模块220和防御奖励模块230。
[0111] 检测模块210,用于对网络系统中用户的设备节点的网络访问数据进行检测,并在检测到用户的设备节点发生DDoS攻击事件时触发联合调度模块。所述设备节点为通过前述网络系统合法性验证的设备终端。
[0112] 联合调度模块220,用于向前述网络系统的其它设备节点发送联合防御请求,以及从接受联合防御的设备节点选取目标设备节点作为清洗设备,将前述被攻击的设备节点的网络流量牵引到清洗设备中进行流量清洗。
[0113] 防御奖励模块230,用于对前述参与流量清洗的目标设备节点支付奖励。
[0114] 具体的,所述联合调度模块220可以用于管理网络系统中的设备节点和在网络系统中进行资源分配,所述资源包括设备节点的物理资源和/或虚拟资源。
[0115] 所述联合调度模块还可以被配置为基于预设的时间单位获取各设备节点的资源闲置信息,并根据各设备节点的资源闲置信息向网络系统中的其它设备节点发送联合防御请求。
[0116] 优选的实施方式中,向网络系统中的其它设备节点发送联合防御请求的步骤可以如下:联合调度模块获取网络系统中所有具有闲置资源的其它设备节点及其对应的闲置资源信息;对于每一个其它设备节点,基于预设的资源指标单元量计算该设备节点能够参与联合防御的资源指标协助量,所述资源指标协助量等于闲置资源量除以资源指标单元量后再取整的数值;按照资源指标协助量的大小对网络系统中所有的其它设备节点从大到小进行排序并形成设备节点资源供应队列;
[0117] 根据前述设备节点资源供应队列,联合调度模块向排在前N位的设备节点发送联合防御请求,所述N为大于等于1的整数,N的取值由用户或系统设置。
[0118] 其它技术特征参考在前实施例,各模块可以被配置为执行相应的信息采集、信息传输和信息处理过程,在此不再赘述。
[0119] 参见图4所示,为本发明的另一实施例,提供了一种网络安全中的联合防攻击系统。
[0120] 所述系统包括至少2个设备节点310和系统服务器320。
[0121] 所述设备节点310为通过前述系统服务器合法性验证的用户终端。每个设备节点310均与前述系统服务器320通信连接,且多个设备节点之间能够进行点对点通信。所述通信方式,可以是无线通信也可以是有线通信,在此不做限制。
[0122] 优选的实施方式中,系统中的各设备节点构成区块链防护网系统。所述区块链防护网系统的系统服务器320中可以设置有设备信息共享智能合约和设备清洗智能合约,系统中的各设备节点310基于共识算法构成共识节点以实现信息共享。
[0123] 典型的实施方式中,在系统中的某个设备节点存在DDoS攻击的情况下,该设备节点可以基于设备信息共享智能合约将DDoS异常流量信息的信息摘要上传至区块链防护网系统的系统服务器。然后,所述区块链防护网系统的系统服务器基于区块链共识算法将所述DDoS异常流量信息的信息摘要同步至其它设备节点。同时,区块链防护网系统的系统服务器还可以基于联合防御请求,通过设备清洗智能合约选择系统中的一个或多个其它设备节点后向其发送DDoS攻击设备清洗信息,通过该设备节点对网络流量进行过滤清洗。
[0124] 本实施例中,所述系统服务器320被配置为:对系统中用户的设备节点的网络访问数据进行检测,在检测到用户的设备节点发生DDoS攻击事件时,向系统中的其它设备节点发送联合防御请求;以及,从接受联合防御的设备节点选取目标设备节点作为清洗设备,将前述被攻击的设备节点的网络流量牵引到清洗设备中进行流量清洗,对前述参与流量清洗的目标设备节点支付奖励。
[0125] 其它技术特征参考在前实施例,各部件可以被配置为执行相应的信息采集、信息传输和信息处理过程,在此不再赘述。
[0126] 在上面的描述中,本发明的公开内容并不旨在将其自身限于这些方面。而是,在本公开内容的目标保护范围内,各组件可以以任意数目选择性地且操作性地进行合并。另外,像“包括”、“囊括”以及“具有”的术语应当默认被解释为包括性的或开放性的,而不是排他性的或封闭性,除非其被明确限定为相反的含义。所有技术、科技或其它方面的术语都符合本领域技术人员所理解的含义,除非其被限定为相反的含义。在词典里找到的公共术语应当在相关技术文档的背景下不被太理想化或太不实际地解释,除非本公开内容明确将其限定成那样。本发明领域的普通技术人员根据上述揭示内容做的任何变更、修饰,均属于权利要求书的保护范围。