專利名稱：一種網(wǎng)絡(luò)攻擊的防護(hù)方法、裝置及路由器的制作方法
技術(shù)領(lǐng)域：
本發(fā)明涉及通信技術(shù)領(lǐng)域，尤其涉及一種網(wǎng)絡(luò)攻擊的防護(hù)方法、裝置及路由器。
背景技術(shù)：
隨著網(wǎng)絡(luò)的各種應(yīng)用不斷豐富，網(wǎng)絡(luò)安全成為越來越迫切的需求，由于攻擊者采 用更高級(jí)的技術(shù)手段和更先進(jìn)的設(shè)備，使得攻擊行為更加隱蔽以及攻擊能力更強(qiáng)，傳統(tǒng)防 火墻設(shè)備已經(jīng)逐漸難以滿足要求。近年來，針對(duì)應(yīng)用層(如游戲)協(xié)議的攻擊、利用僵尸網(wǎng) 絡(luò)進(jìn)行DDoS攻擊、超大流量攻擊(發(fā)送超大流量占據(jù)網(wǎng)絡(luò)和服務(wù)器帶寬)成為攻擊的主要 形式，而傳統(tǒng)防火墻由于分析能力和處理性能所限，對(duì)此類攻擊不能起到很好的防護(hù)效果。通過路由器集成防火墻和防DDoS特性可以較好地防范此類大規(guī)模的攻擊行為， 并且能夠節(jié)省投資和維護(hù)費(fèi)用，是一個(gè)好的選擇。路由器包括用戶業(yè)務(wù)網(wǎng)關(guān)和業(yè)務(wù)路由器 等設(shè)備類型，處于個(gè)人/企業(yè)用戶接入邊緣、數(shù)據(jù)中心入口，或者用于連接城域、骨干網(wǎng)絡(luò)， 以及不同網(wǎng)間互聯(lián)，能夠?qū)νㄟ^的所有流量進(jìn)行處理。由于路由器的處理能力非常強(qiáng)，能夠 進(jìn)行多層次的流量控制和管理，并且所有處理過程基于在線流量完成，因此通過路由器進(jìn) 行DDoS攻擊防御具備更好的實(shí)時(shí)性和有效性。目前許多路由器設(shè)備廠商在其產(chǎn)品實(shí)現(xiàn)了 防DDoS功能，主要通過一個(gè)具備防火墻/防DDoS攻擊能力的業(yè)務(wù)單板，將通過路由器轉(zhuǎn)發(fā) 單板的流量重定向到該業(yè)務(wù)單板進(jìn)行攻擊檢測和清洗，完成處理的流量再轉(zhuǎn)發(fā)出去。在實(shí)現(xiàn)本發(fā)明過程中，發(fā)明人發(fā)現(xiàn)現(xiàn)有技術(shù)中至少存在如下問題由于業(yè)務(wù)單板 也存在處理能力的限制，不能滿足對(duì)多個(gè)轉(zhuǎn)發(fā)單板的流量進(jìn)行處理，難以在網(wǎng)絡(luò)中進(jìn)行全 面布署，因此不能真正滿足客戶要求?，F(xiàn)有技術(shù)中進(jìn)行模式統(tǒng)計(jì)分析識(shí)別DDoS攻擊流量的 方法，其分析統(tǒng)計(jì)量也存在很多缺陷，不能更準(zhǔn)確地發(fā)現(xiàn)特定應(yīng)用或內(nèi)容的攻擊行為。

發(fā)明內(nèi)容
本發(fā)明的實(shí)施例提供了一種網(wǎng)絡(luò)攻擊的防護(hù)方法、裝置及路由器，以更好地達(dá)到 攻擊檢測和防護(hù)效果，特別是應(yīng)用層的攻擊。本發(fā)明實(shí)施例提供的一種網(wǎng)絡(luò)攻擊的防護(hù)方法，包括分布式接口板對(duì)本板流量進(jìn)行本地攻擊檢測和過濾，進(jìn)行基于三至七層應(yīng)用或內(nèi) 容的模式統(tǒng)計(jì)分析并向業(yè)務(wù)板上報(bào)統(tǒng)計(jì)信息；業(yè)務(wù)板根據(jù)所述分布式接口板上報(bào)的統(tǒng)計(jì)信息進(jìn)行全局的攻擊判斷和管理。本發(fā)明實(shí)施例提供的一種網(wǎng)絡(luò)攻擊的防護(hù)裝置，包括分布式接口板，用于對(duì)本板流量進(jìn)行本地攻擊檢測和過濾，進(jìn)行基于三至七層應(yīng) 用或內(nèi)容的模式統(tǒng)計(jì)分析并向業(yè)務(wù)板上報(bào)統(tǒng)計(jì)信息；業(yè)務(wù)板，用于根據(jù)所述分布式接口板上報(bào)的統(tǒng)計(jì)信息進(jìn)行全局的攻擊判斷和管理。本發(fā)明實(shí)施例提供的一種路由器，包括分布式接口板，用于對(duì)本板流量進(jìn)行本地攻擊檢測和過濾，進(jìn)行基于三至七層應(yīng)用或內(nèi)容的模式統(tǒng)計(jì)分析并向業(yè)務(wù)板上報(bào)統(tǒng)計(jì)信息；業(yè)務(wù)板，用于根據(jù)所述分布式接口板上報(bào)的統(tǒng)計(jì)信息進(jìn)行全局的攻擊判斷和管理。本發(fā)明實(shí)施例技術(shù)方案帶來的有益效果更好地達(dá)到攻擊檢測和防護(hù)效果，特別 是應(yīng)用層的攻擊，采用路由器集成，能對(duì)所有流量進(jìn)行處理，充分滿足布署要求。


為了更清楚地說明本發(fā)明實(shí)施例的技術(shù)方案，下面將對(duì)實(shí)施例描述中所需要使用 的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例，對(duì)于本 領(lǐng)域普通技術(shù)人員來講，在不付出創(chuàng)造性勞動(dòng)性的前提下，還可以根據(jù)這些附圖獲得其他 的附圖。圖1為本發(fā)明一實(shí)施例提供的一種網(wǎng)絡(luò)攻擊的防護(hù)方法的流程圖；圖2為本發(fā)明一實(shí)施例提供的一種分布式兩級(jí)防攻擊架構(gòu)的示意圖；圖3為本發(fā)明一實(shí)施例提供一種網(wǎng)絡(luò)攻擊的防護(hù)裝置的示意圖；圖4為本發(fā)明一實(shí)施例提供一種網(wǎng)絡(luò)攻擊的防護(hù)裝置的示意圖；圖5為本發(fā)明一實(shí)施例提供一種網(wǎng)絡(luò)攻擊的防護(hù)裝置的示意圖；圖6為本發(fā)明一實(shí)施例提供一種路由器的示意圖。
具體實(shí)施例方式下面將結(jié)合本發(fā)明實(shí)施例中的附圖，對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完 整地描述，顯然，所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例，而不是全部的實(shí)施例。基于 本發(fā)明中的實(shí)施例，本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他 實(shí)施例，都屬于本發(fā)明保護(hù)的范圍。如圖1所示，本發(fā)明實(shí)施例提供的網(wǎng)絡(luò)攻擊的防護(hù)方法，包括分布式接口板對(duì)本 板流量進(jìn)行本地攻擊檢測和過濾，進(jìn)行基于三至七層應(yīng)用或內(nèi)容的模式統(tǒng)計(jì)分析并向業(yè)務(wù) 板上報(bào)統(tǒng)計(jì)信息；業(yè)務(wù)板根據(jù)所述分布式接口板上報(bào)的統(tǒng)計(jì)信息進(jìn)行全局的攻擊判斷和管 理。從而能夠更好地達(dá)到攻擊檢測和防護(hù)效果，特別是應(yīng)用層的攻擊。為便于對(duì)本發(fā)明實(shí)施例的理解，下面將對(duì)本發(fā)明實(shí)施例在具體應(yīng)用過程中的實(shí)現(xiàn) 過程進(jìn)行詳細(xì)說明。本發(fā)明實(shí)施例提供的網(wǎng)絡(luò)攻擊的防護(hù)方法，包括Si、分布式接口板對(duì)本板流量進(jìn)行本地攻擊檢測和過濾，進(jìn)行基于三至七層應(yīng)用 或內(nèi)容的模式統(tǒng)計(jì)分析并向業(yè)務(wù)板上報(bào)統(tǒng)計(jì)信息；該步驟具體包括分布式接口板基于深度報(bào)文檢測DPI進(jìn)行指紋過濾，丟棄包含非法指紋特征的攻 擊報(bào)文；分布式接口板分別以源IP地址、目的IP地址查找黑名單表，對(duì)特定源或目的IP 地址的流量進(jìn)行丟棄；分布式接口板查找動(dòng)態(tài)訪問控制列表ACL，命中動(dòng)態(tài)ACL的報(bào)文屬于攻擊流量，將 根據(jù)動(dòng)態(tài)訪問控制列表ACL的動(dòng)作進(jìn)行處理(丟棄或限速等)；
所述分布式接口板進(jìn)行基于流的處理，包括查找五元組流表，根據(jù)流表的業(yè)務(wù)動(dòng) 作進(jìn)行處理，如果查流表不存在，則將報(bào)文上送到所述業(yè)務(wù)板進(jìn)行首包分析及查找策略以
建立流表。而分布式接口板進(jìn)行基于流的處理，具體還包括對(duì)所有流表表項(xiàng)進(jìn)行遍歷，并對(duì)每個(gè)表項(xiàng)檢查是否要作模式統(tǒng)計(jì)分析(所謂模式 統(tǒng)計(jì)流表中保存一條流的原始統(tǒng)計(jì)數(shù)據(jù)，包括包數(shù)量、包字節(jié)數(shù)量、特定協(xié)議或消息包數(shù) 量(如TCP syn/fin/RST包數(shù)量、DNS請求消息包數(shù)量、HTTP請求消息包數(shù)量等)，用戶配 置需要進(jìn)行模式分析的模板策略，模板類型以報(bào)文五元組為基礎(chǔ)，也可以包含VPN ID、用戶 ID等，包括(不限于)表1所示模板1 目的IP+目的端口+協(xié)議號(hào)模板2 源IP+目的端口 +協(xié)議號(hào)模板3 目的端口 +協(xié)議號(hào)模板4 目的IP+協(xié)議號(hào)模板5:源IP+協(xié)議號(hào)模板6 協(xié)議號(hào)表 1模式統(tǒng)計(jì)分析的含義是指根據(jù)實(shí)際的流表中的原始統(tǒng)計(jì)值，按照以上模板建立聚 合流，其中保存所有相同屬性的流的統(tǒng)計(jì)值的累加并進(jìn)行各種計(jì)算(如計(jì)算包速率、連接 總數(shù)等)，然后檢查計(jì)算結(jié)果是否超出相應(yīng)的閾值；比如模板1，對(duì)具有相同的目的IP、目的端口、協(xié)議號(hào)的多條流的統(tǒng)計(jì)值進(jìn)行累 加，并計(jì)算速率是否超過了預(yù)先配好的閾值，超過閾值認(rèn)為異常發(fā)生。)，如果是，則根據(jù)相應(yīng)模式進(jìn)行統(tǒng)計(jì)的聚合處理，并將計(jì)算出的相應(yīng)統(tǒng)計(jì)量(如包 平均速率)與保存的模式對(duì)應(yīng)的基線閾值進(jìn)行對(duì)比，超過閾值時(shí)認(rèn)為流量異常，上報(bào)所述 統(tǒng)計(jì)量和異常事件到業(yè)務(wù)板。S2、業(yè)務(wù)板根據(jù)分布式接口板上報(bào)的統(tǒng)計(jì)信息進(jìn)行全局的攻擊判斷和管理。具體的，業(yè)務(wù)板查找業(yè)務(wù)板的動(dòng)態(tài)訪問控制列表ACL進(jìn)行全局過濾或限速，通過 的流量進(jìn)行深度報(bào)文檢測DPI匹配查找更多的指紋特征(接口板的DPI只作常用特征的 檢查)，匹配特征的報(bào)文被丟棄，否則進(jìn)行正常報(bào)文的建流處理(查找用戶策略獲取處理動(dòng) 作，然后發(fā)起建立接口板的流表，其中攜帶當(dāng)前流的處理動(dòng)作)。業(yè)務(wù)板根據(jù)不同所述分布式接口板上報(bào)的統(tǒng)計(jì)量，生成基于時(shí)間段的流量基線閾 值(包括全局的閾值和不同接口板本地用的閾值)，監(jiān)控各所述分布式接口板上報(bào)的流量 的實(shí)時(shí)情況，并按不同權(quán)重生成各分布式接口板的本地閾值下發(fā)到各分布式接口板以進(jìn)行 本地攻擊識(shí)別；所述業(yè)務(wù)板根據(jù)所述分布式接口板上報(bào)的異常事件進(jìn)行全局的分析，并判 斷進(jìn)行的動(dòng)作處理(包括動(dòng)態(tài)加入/刪除黑名單、生成/刪除動(dòng)態(tài)ACL等)。如圖2所示，本發(fā)明的防DDoS攻擊架構(gòu)分為兩個(gè)層次外層防護(hù)由各接口板分別 處理，每個(gè)接口板可以包括一個(gè)防攻擊本地模塊，每個(gè)防攻擊本地模塊，能夠處理應(yīng)用/非 法特征識(shí)別、基于應(yīng)用(L3至L7層)的模式統(tǒng)計(jì)分析；內(nèi)層防護(hù)由業(yè)務(wù)板進(jìn)行處理，業(yè)務(wù)板可以存在多塊，多塊業(yè)務(wù)板之間可以進(jìn)行流量負(fù)載分擔(dān)處理以及進(jìn)行冗余保護(hù)，業(yè)務(wù)板上 的防攻擊中心處理模塊可以收集到設(shè)備上所有接口板上的信息，能夠進(jìn)行全局的攻擊判斷 和管理，包括各種攻擊模板的基線閾值管理和動(dòng)態(tài)下發(fā)，屬于集中式的控制中心，所有分析 可以基于應(yīng)用(L3-L7)進(jìn)行。外層防護(hù)和內(nèi)層防護(hù)的主要功能包括外層防護(hù)(分布式，L3 L7)L3處理基于源IP和目的IP查黑白名單表，獲取黑白名單信息，屬于黑名單則直 接丟棄報(bào)文，屬于白名單則不再對(duì)該報(bào)文作安全檢查。L4處理根據(jù)本地動(dòng)態(tài)ACL進(jìn)行本地過濾，本地動(dòng)態(tài)ACL由本地攻擊識(shí)別之后(超 過本地相應(yīng)模板閾值)產(chǎn)生，可由防攻擊本地模塊產(chǎn)生或由業(yè)務(wù)板下發(fā)產(chǎn)生，攻擊停止之 后本地動(dòng)態(tài)ACL刪除。L5 L7處理根據(jù)流表動(dòng)作進(jìn)行控制(動(dòng)作包括丟棄、通過、限流、修改調(diào)度優(yōu)先 級(jí)等)，流表由業(yè)務(wù)板根據(jù)首包進(jìn)行DPI識(shí)別之后下發(fā)到接口板。特征碼(攻擊指紋)過濾由防攻擊本地模塊進(jìn)行報(bào)文深層檢測DPI，匹配到相應(yīng) 指紋特征的報(bào)文進(jìn)行相應(yīng)動(dòng)作(如丟棄)?；谀Ｊ降慕y(tǒng)計(jì)聚合接口板遍歷流表，根據(jù)流表中的原始統(tǒng)計(jì)數(shù)據(jù)基于不同模 式進(jìn)行統(tǒng)計(jì)聚合分析，聚合后發(fā)現(xiàn)統(tǒng)計(jì)量超過基線閾值，即檢測到流量異常，將統(tǒng)計(jì)結(jié)果上 送到業(yè)務(wù)板進(jìn)行攻擊判斷以及查找策略以明確相應(yīng)動(dòng)作，并生成相應(yīng)的動(dòng)態(tài)黑白名單表和 動(dòng)態(tài)ACL下發(fā)到接口板。內(nèi)層防護(hù)(集中控制/負(fù)載分擔(dān)，L3 L7)L3處理①保存黑白名單策略，下發(fā)黑白名單表項(xiàng)到接口板。②對(duì)可疑IP進(jìn)行源地址探測/認(rèn)證(發(fā)送相應(yīng)協(xié)議的請求報(bào)文到源地址檢查其 是否返回響應(yīng)消息，如果不返回，認(rèn)為是假冒IP，源地址認(rèn)證結(jié)果為不通過)。L4 ①業(yè)務(wù)板根據(jù)模式統(tǒng)計(jì)分析結(jié)果確認(rèn)是否發(fā)現(xiàn)攻擊行為，如果確認(rèn)攻擊，則生 成全局動(dòng)態(tài)ACL下發(fā)到本板的轉(zhuǎn)發(fā)層面以對(duì)數(shù)據(jù)報(bào)文進(jìn)行控制，并分解動(dòng)態(tài)ACL下發(fā)到接 口板生成該接口板的本地動(dòng)態(tài)ACL。業(yè)務(wù)板在確認(rèn)攻擊停止后刪除全局動(dòng)態(tài)ACL及相應(yīng)的 接口板的本地動(dòng)態(tài)ACL。②發(fā)現(xiàn)攻擊時(shí)根據(jù)策略進(jìn)行強(qiáng)保護(hù)措施，即對(duì)建立TCP的流量通過TCP代理(TCP proxy)進(jìn)行處理。(TCP proxy 功能一個(gè)TCP連接的建立需要三次握手過程連接的發(fā)起者向?qū)Ψ桨l(fā)送一個(gè)TCP的數(shù) 據(jù)包，這個(gè)數(shù)據(jù)包包含一個(gè)初始的序列號(hào)，并把TCP的SYN標(biāo)志位置位；接受者收到這個(gè)數(shù) 據(jù)包之后，應(yīng)該回應(yīng)一個(gè)TCP數(shù)據(jù)包，并在其中包含了接受者自己的初始序列號(hào)，并把SYN、 ACK這兩個(gè)標(biāo)志位同時(shí)置位，表明收到了 SYN的請求并同時(shí)向發(fā)送者請求TCP連接。連接的 發(fā)送者為了完成這個(gè)連接，必須對(duì)接受者的SYN包進(jìn)行應(yīng)答，即返回一個(gè)ACK置位的TCP數(shù) 據(jù)包。經(jīng)過三次握手過程，TCP連接建立成功，可以傳送數(shù)據(jù)。TCP proxy過程當(dāng)一個(gè)TCP請求包到達(dá)目標(biāo)服務(wù)器之前，路由器/防攻擊模塊代 表服務(wù)器向請求方進(jìn)行應(yīng)答半進(jìn)行三次握手。而只有當(dāng)三次握手完成后，路由器/防攻擊 模塊才會(huì)在和服務(wù)器建立第二個(gè)連接，連接完成之后，路由器/防攻擊模塊通過對(duì)序列號(hào)的轉(zhuǎn)換將兩個(gè)連接合并成一個(gè)以傳送數(shù)據(jù)。)L5 L7處理①對(duì)首包進(jìn)行DPI識(shí)別，區(qū)分不同應(yīng)用協(xié)議檢測是否攻擊行為或者 進(jìn)行相關(guān)安全處理，如對(duì)HTTP協(xié)議報(bào)文進(jìn)行URL過濾、對(duì)應(yīng)用協(xié)議進(jìn)行狀態(tài)檢測(狀態(tài)不 一致則認(rèn)為非法、對(duì)僵尸網(wǎng)絡(luò)相關(guān)協(xié)議(如聊天協(xié)議)進(jìn)行分析識(shí)別到是否僵尸控制者發(fā) 出的控制命令等。②通過DPI技術(shù)對(duì)報(bào)文進(jìn)行特征碼(指紋)匹配，識(shí)別到具備相應(yīng)特征的報(bào)文進(jìn) 行丟棄。動(dòng)態(tài)閾值管理根據(jù)不同攻擊模板以及接口板上報(bào)的統(tǒng)計(jì)數(shù)據(jù)，生成基于時(shí)間段 的流量基線閾值(包括全局的閾值和不同接口板本地用的閾值)，基線閾值根據(jù)長期的統(tǒng) 計(jì)進(jìn)行不斷調(diào)整，另外可以監(jiān)控各接口板上報(bào)的流量的實(shí)時(shí)情況，并按不同權(quán)重生成各接 口板的本地閾值下發(fā)到接口板以進(jìn)行本地攻擊識(shí)別。本發(fā)明實(shí)施例能夠更好地達(dá)到攻擊檢測和防護(hù)效果，特別是應(yīng)用層的攻擊。如圖3所示，本發(fā)明另一實(shí)施例還提供一種網(wǎng)絡(luò)攻擊的防護(hù)裝置，包括分布式接口板，用于對(duì)本板流量進(jìn)行本地攻擊檢測和過濾，進(jìn)行基于三至七層應(yīng) 用或內(nèi)容的模式統(tǒng)計(jì)分析并向業(yè)務(wù)板上報(bào)統(tǒng)計(jì)信息；業(yè)務(wù)板，用于根據(jù)所述分布式接口板上報(bào)的統(tǒng)計(jì)信息進(jìn)行全局的攻擊判斷和管理。如圖4所示，本發(fā)明另一實(shí)施例提供的一種網(wǎng)絡(luò)攻擊的防護(hù)裝置，具有圖3所示的 分布式接口板和業(yè)務(wù)板，其中，分布式接口板具體包括指紋過濾模塊，用于基于深度報(bào)文檢測DPI進(jìn)行指紋過濾，丟棄包含非法指紋特 征的攻擊報(bào)文；黑名單表處理模塊，用于分別以源IP地址、目的IP地址查找黑名單表，對(duì)特定源 或目的IP地址的流量進(jìn)行丟棄；動(dòng)態(tài)訪問控制列表處理模塊，用于查找動(dòng)態(tài)訪問控制列表ACL，命中動(dòng)態(tài)ACL的報(bào) 文屬于攻擊流量，將根據(jù)動(dòng)態(tài)訪問控制列表ACL的動(dòng)作進(jìn)行處理；流表處理模塊，用于查找五元組流表，進(jìn)行基于流的業(yè)務(wù)動(dòng)作處理，并用于如果查 流表不存在，則將報(bào)文上送到所述業(yè)務(wù)板進(jìn)行首包分析及查找策略以建立流表。更進(jìn)一步的，所述流表處理模塊，具體用于對(duì)所有流表表項(xiàng)進(jìn)行遍歷，并對(duì)每個(gè)表 項(xiàng)檢查是否要作模式統(tǒng)計(jì)分析，如果是，則根據(jù)相應(yīng)模式進(jìn)行統(tǒng)計(jì)的聚合處理，并將計(jì)算出 的相應(yīng)統(tǒng)計(jì)量與保存的模式對(duì)應(yīng)的基線閾值進(jìn)行對(duì)比，超過閾值時(shí)認(rèn)為流量異常，上報(bào)所 述統(tǒng)計(jì)量和異常事件到業(yè)務(wù)板。如圖5所示，本發(fā)明另一實(shí)施例提供的一種網(wǎng)絡(luò)攻擊的防護(hù)裝置，具有圖3所示的 分布式接口板和業(yè)務(wù)板，其中，業(yè)務(wù)板具體包括全局處理模塊，用于查找所述業(yè)務(wù)板的動(dòng)態(tài)訪問控制列表ACL進(jìn)行全局過濾或限 速，通過的流量進(jìn)行深度報(bào)文檢測DPI匹配查找更多的指紋特征，匹配特征的報(bào)文被丟棄， 否則進(jìn)行正常報(bào)文的建流處理。更進(jìn)一步的，所述全局處理模塊，具體用于根據(jù)不同所述分布式接口板上報(bào)的統(tǒng) 計(jì)量，生成基于時(shí)間段的流量基線閾值，監(jiān)控各所述分布式接口板上報(bào)的流量的實(shí)時(shí)情況， 并按不同權(quán)重生成各分布式接口板的本地閾值下發(fā)到各分布式接口板以進(jìn)行本地攻擊識(shí)別；并具體用于根據(jù)所述分布式接口板上報(bào)的異常事件進(jìn)行全局的分析，并判斷進(jìn)行的動(dòng) 作處理。本發(fā)明實(shí)施例能夠更好地達(dá)到攻擊檢測和防護(hù)效果，特別是應(yīng)用層的攻擊。如圖6所示，本發(fā)明另一實(shí)施例還提供一種路由器，包括分布式接口板，用于對(duì)本板流量進(jìn)行本地攻擊檢測和過濾，進(jìn)行基于三至七層應(yīng) 用或內(nèi)容的模式統(tǒng)計(jì)分析并向業(yè)務(wù)板上報(bào)統(tǒng)計(jì)信息；業(yè)務(wù)板，用于根據(jù)所述分布式接口板上報(bào)的統(tǒng)計(jì)信息進(jìn)行全局的攻擊判斷和管理。本發(fā)明實(shí)施例能夠更好地達(dá)到攻擊檢測和防護(hù)效果，特別是應(yīng)用層的攻擊，采用 路由器集成，能對(duì)所有流量進(jìn)行處理，充分滿足布署要求。上述裝置各組成部分之間具體的信號(hào)處理、執(zhí)行過程等內(nèi)容，由于與本發(fā)明方法 實(shí)施例基于同一構(gòu)想，可參見本發(fā)明方法實(shí)施例的敘述，此處不再贅述。以上所述，僅為本發(fā)明較佳的具體實(shí)施方式
，但本發(fā)明的保護(hù)范圍并不局限于此， 任何熟悉本技術(shù)領(lǐng)域的技術(shù)人員在本發(fā)明揭露的技術(shù)范圍內(nèi)，可輕易想到的變化或替換， 都應(yīng)涵蓋在本發(fā)明的保護(hù)范圍之內(nèi)。因此，本發(fā)明的保護(hù)范圍應(yīng)該以權(quán)利要求的保護(hù)范圍 為準(zhǔn)。
權(quán)利要求
1.一種網(wǎng)絡(luò)攻擊的防護(hù)方法，其特征在于，包括分布式接口板對(duì)本板流量進(jìn)行本地攻擊檢測和過濾，進(jìn)行基于三至七層應(yīng)用或內(nèi)容的 模式統(tǒng)計(jì)分析并向業(yè)務(wù)板上報(bào)統(tǒng)計(jì)信息；業(yè)務(wù)板根據(jù)所述分布式接口板上報(bào)的統(tǒng)計(jì)信息進(jìn)行全局的攻擊判斷和管理。
2.根據(jù)權(quán)利要求1所述的方法，其特征在于，分布式接口板對(duì)本板流量進(jìn)行本地攻擊 檢測和過濾，進(jìn)行基于三至七層應(yīng)用或內(nèi)容的模式統(tǒng)計(jì)分析并向業(yè)務(wù)板上報(bào)統(tǒng)計(jì)信息具體 包括所述分布式接口板基于深度報(bào)文檢測DPI進(jìn)行指紋過濾，丟棄包含非法指紋特征的攻 擊報(bào)文；所述分布式接口板分別以源IP地址、目的IP地址查找黑名單表，對(duì)特定源或目的IP 地址的流量進(jìn)行丟棄；所述分布式接口板查找動(dòng)態(tài)訪問控制列表ACL，命中動(dòng)態(tài)ACL的報(bào)文屬于攻擊流量，將 根據(jù)動(dòng)態(tài)訪問控制列表ACL的動(dòng)作進(jìn)行處理；所述分布式接口板進(jìn)行基于流的處理，包括查找五元組流表，根據(jù)流表的業(yè)務(wù)動(dòng)作進(jìn) 行處理，如果查流表不存在，則將報(bào)文上送到所述業(yè)務(wù)板進(jìn)行首包分析及查找策略以建立 流表。
3.根據(jù)權(quán)利要求1所述的方法，其特征在于，所述業(yè)務(wù)板根據(jù)所述分布式接口板上報(bào) 的統(tǒng)計(jì)信息進(jìn)行全局的攻擊判斷和管理具體包括所述業(yè)務(wù)板查找所述業(yè)務(wù)板的動(dòng)態(tài)訪問控制列表ACL進(jìn)行全局過濾或限速，通過的流 量進(jìn)行深度報(bào)文檢測DPI匹配查找更多的指紋特征，匹配特征的報(bào)文被丟棄，否則進(jìn)行正 常報(bào)文的建流處理。
4.根據(jù)權(quán)利要求2所述的方法，其特征在于，所述分布式接口板進(jìn)行基于流的處理，具 體還包括對(duì)所有流表表項(xiàng)進(jìn)行遍歷，并對(duì)每個(gè)表項(xiàng)檢查是否要作模式統(tǒng)計(jì)分析，如果是，則根據(jù) 相應(yīng)模式進(jìn)行統(tǒng)計(jì)的聚合處理，并將計(jì)算出的相應(yīng)統(tǒng)計(jì)量與保存的模式對(duì)應(yīng)的基線閾值進(jìn) 行對(duì)比，超過閾值時(shí)認(rèn)為流量異常，上報(bào)所述統(tǒng)計(jì)量和異常事件到業(yè)務(wù)板。
5.根據(jù)權(quán)利要求4所述的方法，其特征在于，所述業(yè)務(wù)板根據(jù)所述接口板上報(bào)的統(tǒng)計(jì) 信息進(jìn)行全局的攻擊判斷和管理具體包括所述業(yè)務(wù)板根據(jù)不同所述分布式接口板上報(bào)的統(tǒng)計(jì)量，生成基于時(shí)間段的流量基線閾 值，監(jiān)控各所述分布式接口板上報(bào)的流量的實(shí)時(shí)情況，并按不同權(quán)重生成各分布式接口板 的本地閾值下發(fā)到各分布式接口板以進(jìn)行本地攻擊識(shí)別；所述業(yè)務(wù)板根據(jù)所述分布式接口 板上報(bào)的異常事件進(jìn)行全局的分析，并判斷進(jìn)行的動(dòng)作處理。
6.一種網(wǎng)絡(luò)攻擊的防護(hù)裝置，其特征在于，包括分布式接口板，用于對(duì)本板流量進(jìn)行本地攻擊檢測和過濾，進(jìn)行基于三至七層應(yīng)用或 內(nèi)容的模式統(tǒng)計(jì)分析并向業(yè)務(wù)板上報(bào)統(tǒng)計(jì)信息；業(yè)務(wù)板，用于根據(jù)所述分布式接口板上報(bào)的統(tǒng)計(jì)信息進(jìn)行全局的攻擊判斷和管理。
7.根據(jù)權(quán)利要求6所述的防護(hù)裝置，其特征在于，所述分布式接口板具體包括指紋過濾模塊，用于基于深度報(bào)文檢測DPI進(jìn)行指紋過濾，丟棄包含非法指紋特征的攻擊報(bào)文；黑名單表處理模塊，用于分別以源IP地址、目的IP地址查找黑名單表，對(duì)特定源或目 的IP地址的流量進(jìn)行丟棄；動(dòng)態(tài)訪問控制列表處理模塊，用于查找動(dòng)態(tài)訪問控制列表ACL，命中動(dòng)態(tài)ACL的報(bào)文屬 于攻擊流量，將根據(jù)動(dòng)態(tài)訪問控制列表ACL的動(dòng)作進(jìn)行處理；流表處理模塊，用于查找五元組流表，進(jìn)行基于流的業(yè)務(wù)動(dòng)作處理，并用于如果查流表 不存在，則將報(bào)文上送到所述業(yè)務(wù)板進(jìn)行首包分析及查找策略以建立流表。
8.根據(jù)權(quán)利要求6所述的防護(hù)裝置，其特征在于，所述業(yè)務(wù)板具體包括全局處理模塊，用于查找所述業(yè)務(wù)板的動(dòng)態(tài)訪問控制列表ACL進(jìn)行全局過濾或限速， 通過的流量進(jìn)行深度報(bào)文檢測DPI匹配查找更多的指紋特征，匹配特征的報(bào)文被丟棄，否 則進(jìn)行正常報(bào)文的建流處理。
9.根據(jù)權(quán)利要求7所述的防護(hù)裝置，其特征在于，所述流表處理模塊，具體用于對(duì)所有 流表表項(xiàng)進(jìn)行遍歷，并對(duì)每個(gè)表項(xiàng)檢查是否要作模式統(tǒng)計(jì)分析，如果是，則根據(jù)相應(yīng)模式進(jìn) 行統(tǒng)計(jì)的聚合處理，并將計(jì)算出的相應(yīng)統(tǒng)計(jì)量與保存的模式對(duì)應(yīng)的基線閾值進(jìn)行對(duì)比，超 過閾值時(shí)認(rèn)為流量異常，上報(bào)所述統(tǒng)計(jì)量和異常事件到業(yè)務(wù)板。
10.一種路由器，其特征在于，包括分布式接口板，用于對(duì)本板流量進(jìn)行本地攻擊檢測和過濾，進(jìn)行基于三至七層應(yīng)用或 內(nèi)容的模式統(tǒng)計(jì)分析并向業(yè)務(wù)板上報(bào)統(tǒng)計(jì)信息；業(yè)務(wù)板，用于根據(jù)所述分布式接口板上報(bào)的統(tǒng)計(jì)信息進(jìn)行全局的攻擊判斷和管理。
全文摘要
本發(fā)明實(shí)施例公開了一種網(wǎng)絡(luò)攻擊的防護(hù)方法、防護(hù)裝置和路由器，包括分布式接口板對(duì)本板流量進(jìn)行本地攻擊檢測和過濾，進(jìn)行基于三至七層應(yīng)用或內(nèi)容的模式統(tǒng)計(jì)分析并向業(yè)務(wù)板上報(bào)統(tǒng)計(jì)信息；業(yè)務(wù)板根據(jù)所述分布式接口板上報(bào)的統(tǒng)計(jì)信息進(jìn)行全局的攻擊判斷和管理。從而能夠更好地達(dá)到攻擊檢測和防護(hù)效果，特別是應(yīng)用層的攻擊。
文檔編號(hào)H04L12/56GK102143143SQ20101051237
公開日2011年8月3日 申請日期2010年10月15日 優(yōu)先權(quán)日2010年10月15日
發(fā)明者滕新東 申請人:華為數(shù)字技術(shù)有限公司