防火墻自動(dòng)防御分布式拒絕服務(wù)攻擊的方法和裝置制造方法
【專利摘要】本發(fā)明實(shí)施例公開了一種防火墻自動(dòng)防御分布式拒絕服務(wù)攻擊的方法和裝置��,其中�,方法包括:對穿越和到達(dá)防火墻設(shè)備的數(shù)據(jù)流量進(jìn)行流FLOW分析;根據(jù)FLOW分析的結(jié)果�,若檢測出符合某種分布式拒絕服務(wù)DDOS攻擊類型的攻擊特征,符合該攻擊特征的數(shù)據(jù)流量為DDOS攻擊流量�����,根據(jù)預(yù)先設(shè)置的DDOS攻擊類型與防護(hù)安全策略之間的對應(yīng)關(guān)系����,自動(dòng)生成攔截DDOS攻擊流量的防護(hù)安全策略,并將生成的防護(hù)安全策略配置在防火墻設(shè)備上��;響應(yīng)于檢測出符合某種DDOS攻擊類型的攻擊特征消失��,從防火墻設(shè)備上刪除攔截DDOS攻擊流量的防護(hù)安全策略����。本發(fā)明實(shí)施例無需在防火墻設(shè)備的安全規(guī)則庫中提前配置防護(hù)安全策略����,即可在通用防火墻設(shè)備上實(shí)現(xiàn)對DDOS攻擊的自動(dòng)防御���。
【專利說明】防火墻自動(dòng)防御分布式拒絕服務(wù)攻擊的方法和裝置
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及網(wǎng)絡(luò)與信息安全技術(shù),尤其是一種防火墻自動(dòng)防御分布式拒絕服務(wù) (DistributedDenialofService�����,DD0S)攻擊的方法和裝置�。
【背景技術(shù)】
[0002] 目前,防火墻設(shè)備安全規(guī)則通常都是由熟悉網(wǎng)絡(luò)環(huán)境和設(shè)備的管理員下發(fā)的����,當(dāng) 防火墻處于允許放行流量的狀態(tài),并且DD0S攻擊發(fā)生時(shí)而安全規(guī)則庫中沒有匹配條目來 阻止該DD0S攻擊時(shí)�,DD0S攻擊就能成功穿越防火墻設(shè)備。目前防火墻設(shè)備對常見的DD0S 攻擊具有一定的防護(hù)能力��,但是需要在防火墻設(shè)備的安全規(guī)則庫中提前配置安全策略和規(guī) 貝U����,配置的策略和規(guī)則越多�,則對防火墻設(shè)備的資源占用率會(huì)越高���。DD0S攻擊的防御也可以 通過異常流量清洗中心完成���,但是該技術(shù)成本較高。
[0003] 流(FLOW)技術(shù)已經(jīng)在通信業(yè)界廣泛應(yīng)用于流量監(jiān)控�����、流量計(jì)費(fèi)等領(lǐng)域��,通過FLOW 技術(shù)可以檢測出多種DD0S攻擊及蠕蟲病毒�。
【發(fā)明內(nèi)容】
[0004] 本發(fā)明實(shí)施例所要解決的技術(shù)問題是:提供一種防火墻自動(dòng)防御分布式拒絕服務(wù) 攻擊的方法和裝置,無需在防火墻設(shè)備的安全規(guī)則庫中提前配置防護(hù)安全策略�����,即可在通 用防火墻設(shè)備上實(shí)現(xiàn)對DD0S攻擊的自動(dòng)防御����。
[0005] 本發(fā)明實(shí)施例提供的一種防火墻自動(dòng)防御分布式拒絕服務(wù)攻擊的方法,包括:
[0006] 對穿越和到達(dá)防火墻設(shè)備的數(shù)據(jù)流量進(jìn)行流FLOW分析�����,所述FLOW分析包括對所 述數(shù)據(jù)流量進(jìn)行協(xié)議類型、數(shù)據(jù)流量大小與FLOW技術(shù)信息分析��;所述FLOW技術(shù)信息包括: 源IP地址����、目的IP地址、源端口號��、目的端口號�����、三層協(xié)議類型與服務(wù)類型T0S;
[0007] 根據(jù)FLOW分析的結(jié)果��,若檢測出符合某種分布式拒絕服務(wù)DD0S攻擊類型的攻擊 特征��,符合該攻擊特征的數(shù)據(jù)流量為DD0S攻擊流量�,根據(jù)預(yù)先設(shè)置的DD0S攻擊類型與防護(hù) 安全策略之間的對應(yīng)關(guān)系����,自動(dòng)生成攔截所述DD0S攻擊流量的防護(hù)安全策略,并將生成的 防護(hù)安全策略配置在防火墻設(shè)備上�����;
[0008] 響應(yīng)于檢測出符合所述某種DD0S攻擊類型的攻擊特征消失,從所述防火墻設(shè)備 上刪除攔截所述DD0S攻擊流量的防護(hù)安全策略����。
[0009] 上述方法的一個(gè)具體實(shí)施例中,所述FLOW技術(shù)信息還包括入接口屬性�����,所述入接 口屬性包括所述數(shù)據(jù)流量區(qū)源于內(nèi)部接口����、外部接口或者非軍事區(qū)DMZ接口的屬性信息;
[0010] 所述將生成的防護(hù)安全策略配置在防火墻設(shè)備上包括:
[0011] 根據(jù)對所述數(shù)據(jù)流量的入接口屬性分析結(jié)果���,若檢測出符合攻擊特征的數(shù)據(jù)流量 源于內(nèi)部接口����、外部接口與DMZ中的全部�����,則將生成的防護(hù)安全策略作為全局安全策略配 置在防火墻設(shè)備上����;
[0012] 若檢測出符合攻擊特征的數(shù)據(jù)流量不是源于內(nèi)部接口�、外部接口與DMZ中的全 部��,則將生成的防護(hù)安全策略配置在防火墻設(shè)備的相應(yīng)接口上����。
[0013] 上述方法的一個(gè)具體實(shí)施例中,所述FLOW技術(shù)信息還包括入接口屬性�,所述入接 口屬性包括所述數(shù)據(jù)流量區(qū)源于信任接口、非信任接口或者非軍事區(qū)DMZ接口的屬性信 息�;
[0014] 所述將生成的防護(hù)安全策略配置在防火墻設(shè)備上包括:
[0015] 根據(jù)對所述數(shù)據(jù)流量的入接口屬性分析結(jié)果,若檢測出符合攻擊特征的數(shù)據(jù)流量 源于信任接口�����、非信任接口與DMZ中的全部����,則將生成的防護(hù)安全策略作為全局安全策略 配置在防火墻設(shè)備上�����;
[0016] 若檢測出符合攻擊特征的數(shù)據(jù)流量不是源于信任接口�����、非信任接口與DMZ中的全 部,則將生成的防護(hù)安全策略配置在防火墻設(shè)備的相應(yīng)接口上���。
[0017] 上述方法的一個(gè)具體實(shí)施例中��,對穿越和到達(dá)防火墻設(shè)備的數(shù)據(jù)流量進(jìn)行流FLOW 分析包括:
[0018] 分別針對防火墻設(shè)備上的各接口���,按照單位周期對穿越和到達(dá)防火墻設(shè)備的數(shù)據(jù) 流量進(jìn)行流FLOW進(jìn)行循環(huán)檢測分析,判斷該接口上的數(shù)據(jù)流量是否大于預(yù)設(shè)閾值�����;
[0019] 所述檢測出符合某種DD0S攻擊類型的攻擊特征包括:該接口上的數(shù)據(jù)流量大于 預(yù)設(shè)閾值�。
[0020] 上述方法的一個(gè)具體實(shí)施例中,所述檢測出符合所述某種DD0S攻擊類型的攻擊 特征消失包括:
[0021] 配置防護(hù)安全策略的接口上在單位周期內(nèi)的DD0S攻擊流量不大于所述預(yù)設(shè)閾 值�。
[0022] 本發(fā)明實(shí)施例提供的一種防火墻自動(dòng)防御分布式拒絕服務(wù)攻擊的裝置,包括:
[0023] FLOW分析單元�,用于對穿越和到達(dá)防火墻設(shè)備的數(shù)據(jù)流量進(jìn)行流FLOW分析,所述 FLOW分析包括對所述數(shù)據(jù)流量進(jìn)行協(xié)議類型�����、數(shù)據(jù)流量大小與FLOW技術(shù)信息分析���;所述 FLOW技術(shù)信息包括:源IP地址��、目的IP地址��、源端口號��、目的端口號����、三層協(xié)議類型與T0S ;
[0024] 攻擊分析單元,用于根據(jù)FLOW分析的結(jié)果����,若檢測出符合某種分布式拒絕服務(wù) DD0S攻擊類型的攻擊特征,符合該攻擊特征的數(shù)據(jù)流量為DD0S攻擊流量�,根據(jù)預(yù)先設(shè)置的 DD0S攻擊類型與防護(hù)安全策略之間的對應(yīng)關(guān)系,自動(dòng)生成攔截所述DD0S攻擊流量的防護(hù) 安全策略�,并指示策略推送單元將生成的防護(hù)安全策略配置在防火墻設(shè)備上;以及響應(yīng)于 檢測出符合所述某種分布式拒絕服務(wù)DD0S攻擊類型的攻擊特征消失����,指示策略推送單元 從所述防火墻設(shè)備上刪除攔截所述DD0S攻擊流量的防護(hù)安全策略��;
[0025] 策略配置單元�,用于將攻擊分析單元生成的防護(hù)安全策略配置在防火墻設(shè)備上。
[0026] 上述系統(tǒng)的一個(gè)具體實(shí)施例中,所述FLOW技術(shù)信息還包括入接口屬性��,所述入接 口屬性包括所述數(shù)據(jù)流量區(qū)源于內(nèi)部接口�����、外部接口或者非軍事區(qū)DMZ接口的屬性信息�;
[0027] 所述攻擊分析單元,具體根據(jù)對所述數(shù)據(jù)流量的入接口屬性分析結(jié)果�,若檢測出 符合攻擊特征的數(shù)據(jù)流量源于內(nèi)部接口、外部接口與DMZ中的全部�����,則指示策略推送單元 將生成的防護(hù)安全策略作為全局安全策略配置在防火墻設(shè)備上�;若檢測出符合攻擊特征的 數(shù)據(jù)流量不是源于內(nèi)部接口、外部接口與DMZ中的全部���,則指示策略推送單元將生成的防 護(hù)安全策略配置在防火墻設(shè)備的相應(yīng)接口上�。
[0028] 上述系統(tǒng)的一個(gè)具體實(shí)施例中�����,所述FLOW技術(shù)信息還包括入接口屬性�,所述入接 口屬性包括所述數(shù)據(jù)流量區(qū)源于信任接口���、非信任接口或者非軍事區(qū)DMZ接口的屬性信 息;
[0029] 所述攻擊分析單元�,具體根據(jù)對所述數(shù)據(jù)流量的入接口屬性分析結(jié)果,若檢測出 符合攻擊特征的數(shù)據(jù)流量源于信任接口����、非信任接口與DMZ中的全部,則指示策略推送單 元將生成的防護(hù)安全策略作為全局安全策略配置在防火墻設(shè)備上��;若檢測出符合攻擊特征 的數(shù)據(jù)流量不是源于信任接口����、非信任接口與DMZ中的全部,則指示策略推送單元將生成 的防護(hù)安全策略配置在防火墻設(shè)備的相應(yīng)接口上�。
[0030] 上述系統(tǒng)的一個(gè)具體實(shí)施例中,所述FLOW分析單元具體分別針對防火墻設(shè)備上 的各接口�����,按照單位周期對穿越和到達(dá)防火墻設(shè)備的數(shù)據(jù)流量進(jìn)行流FLOW進(jìn)行循環(huán)檢測 分析�,判斷該接口上的數(shù)據(jù)流量是否大于預(yù)設(shè)閾值;
[0031] 所述攻擊分析單元具體在該接口上的數(shù)據(jù)流量大于預(yù)設(shè)閾值時(shí)����,認(rèn)為檢測出符合 某種分布式拒絕服務(wù)DD0S攻擊類型的攻擊特征。
[0032] 上述系統(tǒng)的一個(gè)具體實(shí)施例中���,所述攻擊分析單元具體在配置防護(hù)安全策略的 接口上在單位周期內(nèi)的DD0S攻擊流量不大于所述預(yù)設(shè)閾值時(shí)�����,認(rèn)為檢測出符合所述某種 DD0S攻擊類型的攻擊特征消失��。
[0033] 基于本發(fā)明上述實(shí)施例提供的防火墻自動(dòng)防御分布式拒絕服務(wù)攻擊的方法和裝 置�����,對穿越和到達(dá)防火墻設(shè)備的數(shù)據(jù)流量進(jìn)行FLOW分析����,包括對數(shù)據(jù)流量進(jìn)行協(xié)議類型���、 數(shù)據(jù)流量大小與FLOW技術(shù)信息分析����,根據(jù)FLOW分析的結(jié)果�,若檢測出符合某種DD0S攻擊 類型的攻擊特征,符合該攻擊特征的數(shù)據(jù)流量為DD0S攻擊流量��,根據(jù)預(yù)先設(shè)置的DD0S攻擊 類型與防護(hù)安全策略之間的對應(yīng)關(guān)系,自動(dòng)生成攔截所述DD0S攻擊流量的防護(hù)安全策略��, 并將生成的防護(hù)安全策略配置在防火墻設(shè)備上���;響應(yīng)于檢測出DD0S攻擊流量消失�����,從防火 墻設(shè)備上刪除攔截該DD0S攻擊流量的防護(hù)安全策略���。本發(fā)明實(shí)施例可以利用防火墻發(fā)送 的FLOW分析到達(dá)和穿越防火墻的流量特征、事件特征�,從而發(fā)現(xiàn)DD0S攻擊流量,根據(jù)分析 結(jié)果自動(dòng)完成防護(hù)安全策略的構(gòu)造�����,并添加到原防火墻的安全規(guī)則庫中���,從而實(shí)現(xiàn)了自動(dòng) 對DD0S攻擊的防御��,當(dāng)攻擊消失時(shí)能自動(dòng)把防護(hù)安全策略從安全規(guī)則庫中刪除���。本發(fā)明實(shí) 施例無需在防火墻設(shè)備的安全規(guī)則庫中提前配置防護(hù)安全策略���,即可在通用防火墻設(shè)備上 實(shí)現(xiàn)對DD0S攻擊的自動(dòng)防御,實(shí)現(xiàn)安全可靠����,并且降低了防護(hù)安全策略對防火墻設(shè)備的資 源占用率����,也提高了防火墻的工作效率。
[0034] 下面通過附圖和實(shí)施例�,對本發(fā)明的技術(shù)方案做進(jìn)一步的詳細(xì)描述。
【專利附圖】
【附圖說明】
[0035] 構(gòu)成說明書的一部分的附圖描述了本發(fā)明的實(shí)施例�����,并且連同描述一起用于解釋 本發(fā)明的原理��。
[0036] 參照附圖�����,根據(jù)下面的詳細(xì)描述�,可以更加清楚地理解本發(fā)明,其中:
[0037] 圖1為本發(fā)明防火墻自動(dòng)防御DD0S攻擊的方法一個(gè)實(shí)施例的流程圖�。
[0038] 圖2為本發(fā)明防火墻自動(dòng)防御DD0S攻擊的方法另一個(gè)實(shí)施例的流程圖����。
[0039] 圖3為本發(fā)明防火墻自動(dòng)防御DD0S攻擊的裝置一個(gè)實(shí)施例的結(jié)構(gòu)示意圖��。
【具體實(shí)施方式】
[0040] 現(xiàn)在將參照附圖來詳細(xì)描述本發(fā)明的各種示例性實(shí)施例���。應(yīng)注意到:除非另外具 體說明����,否則在這些實(shí)施例中闡述的部件和步驟的相對布置��、數(shù)字表達(dá)式和數(shù)值不限制本 發(fā)明的范圍��。
[0041] 同時(shí)��,應(yīng)當(dāng)明白��,為了便于描述�����,附圖中所示出的各個(gè)部分的尺寸并不是按照實(shí)際 的比例關(guān)系繪制的�。
[0042] 以下對至少一個(gè)示例性實(shí)施例的描述實(shí)際上僅僅是說明性的,決不作為對本發(fā)明 及其應(yīng)用或使用的任何限制。
[0043] 對于相關(guān)領(lǐng)域普通技術(shù)人員已知的技術(shù)����、方法和設(shè)備可能不作詳細(xì)討論,但在適 當(dāng)情況下��,所述技術(shù)�、方法和設(shè)備應(yīng)當(dāng)被視為說明書的一部分。
[0044] 在這里示出和討論的所有示例中�����,任何具體值應(yīng)被解釋為僅僅是示例性的���,而不 是作為限制。因此�����,示例性實(shí)施例的其它示例可以具有不同的值���。
[0045] 應(yīng)注意到:相似的標(biāo)號和字母在下面的附圖中表示類似項(xiàng)���,因此,一旦某一項(xiàng)在一 個(gè)附圖中被定義,則在隨后的附圖中不需要對其進(jìn)行進(jìn)一步討論�。
[0046] 圖1為本發(fā)明防火墻自動(dòng)防御DD0S攻擊的方法一個(gè)實(shí)施例的流程圖。如圖1所 示����,該實(shí)施例防火墻自動(dòng)防御分布式拒絕服務(wù)攻擊的方法包括:
[0047] 110,對穿越和到達(dá)防火墻設(shè)備的數(shù)據(jù)流量進(jìn)行FLOW分析,包括對數(shù)據(jù)流量進(jìn)行 協(xié)議類型��、數(shù)據(jù)流量大小與FLOW技術(shù)信息分析�����。
[0048] 其中的FLOW技術(shù)信息包括:源互聯(lián)網(wǎng)協(xié)議(IP)地址�����、目的IP地址����、源端口號、目 的端口號���、三層協(xié)議類型與服務(wù)類型(T0S)����。
[0049] 120,根據(jù)FLOW分析的結(jié)果,若檢測出符合某種DD0S攻擊類型的攻擊特征�����,則符合 該攻擊特征的數(shù)據(jù)流量為DD0S攻擊流量��,根據(jù)預(yù)先設(shè)置的DD0S攻擊類型與防護(hù)安全策略 之間的對應(yīng)關(guān)系����,自動(dòng)生成攔截DD0S攻擊流量的防護(hù)安全策略,并將生成的防護(hù)安全策略 配置在防火墻設(shè)備上����。
[0050] DD0S攻擊都有一定的攻擊特征�����,例如�,特征是數(shù)據(jù)包協(xié)議類型為6 (即:傳輸控制 協(xié)議TCP),數(shù)據(jù)流大小為40-60字節(jié)����,通常為TCP同步(SYN)Flood攻擊。如果檢測出DD0S 攻擊是TCPSYNFlood攻擊�,則自動(dòng)生成攔截TCPSYNFlood的防護(hù)安全策略。如果根據(jù) 攻擊特征檢測出是其他DD0S攻擊,如用戶數(shù)據(jù)報(bào)(UDP)Flood攻擊�����、超文本傳輸協(xié)議讀取 (HTTPGet)Flood攻擊等�����,則同樣道理��,生成攔截相應(yīng)攻擊的防護(hù)安全策略��。
[0051] 130,響應(yīng)于檢測出符合某種DD0S攻擊類型的攻擊特征消失����,從防火墻設(shè)備上刪 除攔截DD0S攻擊流量的防護(hù)安全策略。
[0052] 本發(fā)明上述實(shí)施例提供的防火墻自動(dòng)防御分布式拒絕服務(wù)攻擊的方法�,對穿越和 到達(dá)防火墻設(shè)備的數(shù)據(jù)流量進(jìn)行FLOW分析,包括對數(shù)據(jù)流量進(jìn)行協(xié)議類型����、數(shù)據(jù)流量大小 與FLOW技術(shù)信息分析,根據(jù)FLOW分析的結(jié)果�,若檢測出符合某種DD0S攻擊類型的攻擊特 征,符合該攻擊特征的數(shù)據(jù)流量為DD0S攻擊流量�����,根據(jù)預(yù)先設(shè)置的DD0S攻擊類型與防護(hù)安 全策略之間的對應(yīng)關(guān)系,自動(dòng)生成攔截所述DD0S攻擊流量的防護(hù)安全策略�,并將生成的防 護(hù)安全策略配置在防火墻設(shè)備上;響應(yīng)于檢測出DD0S攻擊流量消失����,從防火墻設(shè)備上刪除 攔截該DD0S攻擊流量的防護(hù)安全策略。本發(fā)明實(shí)施例可以利用防火墻發(fā)送的FLOW分析 到達(dá)和穿越防火墻的流量特征����、事件特征,從而發(fā)現(xiàn)DD0S攻擊流量�����,根據(jù)分析結(jié)果自動(dòng)完 成防護(hù)安全策略的構(gòu)造����,并添加到原防火墻的安全規(guī)則庫中��,從而實(shí)現(xiàn)了自動(dòng)對DD0S攻擊 的防御���,當(dāng)攻擊消失時(shí)能自動(dòng)把防護(hù)安全策略從安全規(guī)則庫中刪除����。本發(fā)明實(shí)施例無需在 防火墻設(shè)備的安全規(guī)則庫中提前配置防護(hù)安全策略,即可在通用防火墻設(shè)備上實(shí)現(xiàn)對DDOS攻擊的自動(dòng)防御���,實(shí)現(xiàn)安全可靠���,并且降低了防護(hù)安全策略對防火墻設(shè)備的資源占用率,也 提高了防火墻的工作效率��。
[0053] 在本發(fā)明的一個(gè)實(shí)施例中��,F(xiàn)LOW信息是各主流網(wǎng)絡(luò)設(shè)備廠商所提供的防火墻日志 信息�,例如,cisco公司的netflow�,Juniper公司的cflow等信息,這種流技術(shù)信息可以包 括但不限于:源IP地址�、目的IP地址、源端口號����、目的端口號、三層協(xié)議類型�、T0S和入接口 屬性等字段,而到達(dá)和穿越防火墻的數(shù)據(jù)流量可以按照入接口屬性進(jìn)行區(qū)分�,可以將數(shù)據(jù) 流量區(qū)分成源于內(nèi)部(inside)接口��、外部(outside)接口�����、非軍事區(qū)(即:隔離區(qū)��,DMZ)接口 的數(shù)據(jù)流量�����,或者將數(shù)據(jù)流量區(qū)分為源于信任(trust)接口�����、非信任(untrust)接口�、非軍 事區(qū)接口的數(shù)據(jù)流量���。其中的DMZ接口與軍事區(qū)(也即:非信任區(qū))和信任區(qū)相對應(yīng)��,作用 是實(shí)現(xiàn)內(nèi)外網(wǎng)分離���。
[0054] 在本發(fā)明防火墻自動(dòng)防御DD0S攻擊的方法另一個(gè)實(shí)施例中��,F(xiàn)LOW技術(shù)信息還可 以包括入接口屬性,該入接口屬性包括數(shù)據(jù)流量區(qū)源于內(nèi)部接口����、外部接口或者非軍事區(qū) (DMZ)接口的屬性信息。相應(yīng)地�,該實(shí)施例在操作120中,將生成的防護(hù)安全策略配置在防 火墻設(shè)備上具體可以是:根據(jù)對數(shù)據(jù)流量的入接口屬性分析結(jié)果�,若檢測出符合攻擊特征 的數(shù)據(jù)流量源于內(nèi)部接口、外部接口與DMZ中的全部�,則將生成的防護(hù)安全策略作為全局 安全策略配置在防火墻設(shè)備上;否則�����,若檢測出符合攻擊特征的數(shù)據(jù)流量不是源于內(nèi)部接 口���、外部接口與DMZ中的全部����,則將生成的防護(hù)安全策略配置在防火墻設(shè)備的相應(yīng)接口上���。
[0055] 在本發(fā)明防火墻自動(dòng)防御DD0S攻擊的方法又一個(gè)實(shí)施例中�,F(xiàn)LOW技術(shù)信息還可 以包括入接口屬性���,該入接口屬性包括數(shù)據(jù)流量區(qū)源于信任接口��、非信任接口或者非軍事 區(qū)(DMZ)接口的屬性信息��。相應(yīng)地�,該實(shí)施例在操作120中,將生成的防護(hù)安全策略配置在 防火墻設(shè)備上具體可以是:根據(jù)對數(shù)據(jù)流量的入接口屬性分析結(jié)果�����,若檢測出符合攻擊特 征的數(shù)據(jù)流量源于內(nèi)部接口�、外部接口與DMZ中的全部,則將生成的防護(hù)安全策略作為全 局安全策略配置在防火墻設(shè)備上�;否則,若檢測出符合攻擊特征的數(shù)據(jù)流量不是源于信任 接口�、非信任接口與DMZ中的全部,則將生成的防護(hù)安全策略配置在防火墻設(shè)備的相應(yīng)接 口上��。
[0056] 根據(jù)本發(fā)明防火墻自動(dòng)防御DD0S攻擊的方法實(shí)施例的一個(gè)示例而非限制��,對穿 越和到達(dá)防火墻設(shè)備的數(shù)據(jù)流量進(jìn)行流FLOW分析具體可以是:分別針對防火墻設(shè)備上的 各接口�����,按照單位周期對穿越和到達(dá)防火墻設(shè)備的數(shù)據(jù)流量進(jìn)行流FLOW進(jìn)行循環(huán)檢測分 析,判斷該接口上的數(shù)據(jù)流量是否大于預(yù)設(shè)閾值���。相應(yīng)地,若該接口上的數(shù)據(jù)流量大于預(yù)設(shè) 閾值�����,則認(rèn)為檢測出符合某種DD0S攻擊類型的攻擊特征�����。
[0057] 根據(jù)本發(fā)明防火墻自動(dòng)防御DD0S攻擊的方法實(shí)施例的另一個(gè)示例而非限制����,若 配置防護(hù)安全策略的接口上在單位周期內(nèi)的DD0S攻擊流量不大于預(yù)設(shè)閾值,則認(rèn)為檢測 出符合某種DD0S攻擊類型的攻擊特征消失���。
[0058] 圖2為本發(fā)明防火墻自動(dòng)防御DD0S攻擊的方法另一個(gè)實(shí)施例的流程圖��。如圖2 所示�,該實(shí)施例防火墻自動(dòng)防御分布式拒絕服務(wù)攻擊的方法包括:
[0059] 210,防火墻設(shè)備將穿越和到達(dá)該防火墻設(shè)備的數(shù)據(jù)流量(FLOW)發(fā)送到自動(dòng)防御 DD0S攻擊的裝置�,其中一條FLOW包括源IP地址、目的IP地址����、源端口號���、目的端口號、三層 協(xié)議的類型�����、T0S���、入接口屬性等字段���。
[0060] 220,自動(dòng)防御DD0S攻擊的裝置以FLOW中的入接口屬性作為分類依據(jù),將數(shù)據(jù)流 量區(qū)分為源于不同接口(內(nèi)部接口 /外部接口 /非軍事區(qū)接口����,或者信任接口 /非信任接口 /非軍事區(qū)接口)。這樣做的目的是某些防護(hù)安全策略是配置在防火墻設(shè)備接口上的��,某些 防護(hù)安全策略是針對防火墻設(shè)備全局生效的�。
[0061] 230,循環(huán)檢測單位周期時(shí)間內(nèi)源于某個(gè)接口的數(shù)據(jù)流量,判斷某種DD0S攻擊流 量是否大于預(yù)設(shè)閾值����。
[0062] 若某接口上的數(shù)據(jù)流量大于預(yù)設(shè)閾值�,執(zhí)行240的操作����。否則,不執(zhí)行本實(shí)施例的 后續(xù)流程���。
[0063] 240,根據(jù)DD0S攻擊流量大于預(yù)設(shè)閾值的接口范圍,自動(dòng)生成攔截該DD0S攻擊流 量的防護(hù)安全策略應(yīng)于防火墻設(shè)備全局或者防火墻設(shè)備的相應(yīng)接口上����。
[0064] 將防護(hù)安全策略應(yīng)于防火墻設(shè)備全局,便可以過濾掉所有穿越該防火墻設(shè)備的相 應(yīng)DD0S攻擊流量����,而不需要考慮這種DD0S攻擊流量從哪個(gè)接口進(jìn)入防火墻設(shè)備。
[0065] 250,循環(huán)檢測單位周期時(shí)間內(nèi)源于防護(hù)安全策略防護(hù)范圍內(nèi)某個(gè)接口的數(shù)據(jù)流 量����,判斷該防護(hù)安全策略攔截的DD0S攻擊流量是否大于預(yù)設(shè)閾值。
[0066] 若某接口上的數(shù)據(jù)流量不大于預(yù)設(shè)閾值��,執(zhí)行260的操作���。否則����,若某接口上的數(shù) 據(jù)流量大于預(yù)設(shè)閾值,不執(zhí)行本實(shí)施例的后續(xù)流程�。
[0067] 260,從防火墻設(shè)備或其相應(yīng)接口上刪除該防護(hù)安全策略。
[0068] 例如����,對穿越和到達(dá)防火墻設(shè)備的數(shù)據(jù)流量進(jìn)行FLOW分析獲得的FLOW信息的部 分字段如下表所示:
【權(quán)利要求】
1. 一種防火墻自動(dòng)防御分布式拒絕服務(wù)攻擊的方法,其特征在于���,包括: 對穿越和到達(dá)防火墻設(shè)備的數(shù)據(jù)流量進(jìn)行流FLOW分析���,所述FLOW分析包括對所述數(shù) 據(jù)流量進(jìn)行協(xié)議類型、數(shù)據(jù)流量大小與FLOW技術(shù)信息分析��;所述FLOW技術(shù)信息包括:源IP 地址��、目的IP地址����、源端口號、目的端口號�����、三層協(xié)議類型與服務(wù)類型TOS ; 根據(jù)FLOW分析的結(jié)果,若檢測出符合某種分布式拒絕服務(wù)DDOS攻擊類型的攻擊特征��, 符合該攻擊特征的數(shù)據(jù)流量為DDOS攻擊流量����,根據(jù)預(yù)先設(shè)置的DDOS攻擊類型與防護(hù)安全 策略之間的對應(yīng)關(guān)系,自動(dòng)生成攔截所述DDOS攻擊流量的防護(hù)安全策略�,并將生成的防護(hù) 安全策略配置在防火墻設(shè)備上; 響應(yīng)于檢測出符合所述某種DDOS攻擊類型的攻擊特征消失�,從所述防火墻設(shè)備上刪 除攔截所述DDOS攻擊流量的防護(hù)安全策略。
2. 根據(jù)權(quán)利要求1所述的方法�����,其特征在于����,所述FLOW技術(shù)信息還包括入接口屬性����,所 述入接口屬性包括所述數(shù)據(jù)流量區(qū)源于內(nèi)部接口、外部接口或者非軍事區(qū)DMZ接口的屬性 信息�����; 所述將生成的防護(hù)安全策略配置在防火墻設(shè)備上包括: 根據(jù)對所述數(shù)據(jù)流量的入接口屬性分析結(jié)果,若檢測出符合攻擊特征的數(shù)據(jù)流量源于 內(nèi)部接口����、外部接口與DMZ中的全部,則將生成的防護(hù)安全策略作為全局安全策略配置在 防火墻設(shè)備上�����; 若檢測出符合攻擊特征的數(shù)據(jù)流量不是源于內(nèi)部接口���、外部接口與DMZ中的全部����,則 將生成的防護(hù)安全策略作為全局安全策略配置在防火墻設(shè)備的相應(yīng)接口上�����。
3. 根據(jù)權(quán)利要求1所述的方法����,其特征在于,所述FLOW技術(shù)信息還包括入接口屬性���,所 述入接口屬性包括所述數(shù)據(jù)流量區(qū)源于信任接口����、非信任接口或者非軍事區(qū)DMZ接口的屬 性信息; 所述將生成的防護(hù)安全策略配置在防火墻設(shè)備上包括: 根據(jù)對所述數(shù)據(jù)流量的入接口屬性分析結(jié)果��,若檢測出符合攻擊特征的數(shù)據(jù)流量源于 信任接口���、非信任接口與DMZ中的全部����,則將生成的防護(hù)安全策略作為全局安全策略配置 在防火墻設(shè)備上�����; 若檢測出符合攻擊特征的數(shù)據(jù)流量不是源于信任接口�、非信任接口與DMZ中的全部�, 則將生成的防護(hù)安全策略作為全局安全策略配置在防火墻設(shè)備的相應(yīng)接口上。
4. 根據(jù)權(quán)利要求1至3任意一項(xiàng)所述的方法�����,其特征在于�����,對穿越和到達(dá)防火墻設(shè)備的 數(shù)據(jù)流量進(jìn)行流FLOW分析包括: 分別針對防火墻設(shè)備上的各接口,按照單位周期對穿越和到達(dá)防火墻設(shè)備的數(shù)據(jù)流量 進(jìn)行流FLOW進(jìn)行循環(huán)檢測分析����,判斷該接口上的數(shù)據(jù)流量是否大于預(yù)設(shè)閾值; 所述檢測出符合某種DDOS攻擊類型的攻擊特征包括:該接口上的數(shù)據(jù)流量大于預(yù)設(shè) 閾值���。
5. 根據(jù)權(quán)利要求4所述的方法�����,其特征在于����,所述檢測出符合所述某種DDOS攻擊類型 的攻擊特征消失包括: 配置防護(hù)安全策略的接口上在單位周期內(nèi)的DDOS攻擊流量不大于所述預(yù)設(shè)閾值�����。
6. -種防火墻自動(dòng)防御分布式拒絕服務(wù)攻擊的裝置�����,其特征在于�����,包括: FLOW分析單元,用于對穿越和到達(dá)防火墻設(shè)備的數(shù)據(jù)流量進(jìn)行流FLOW分析�����,所述FLOW 分析包括對所述數(shù)據(jù)流量進(jìn)行協(xié)議類型��、數(shù)據(jù)流量大小與FLOW技術(shù)信息分析�����;所述FLOW技 術(shù)信息包括:源IP地址��、目的IP地址�、源端口號、目的端口號���、三層協(xié)議類型與TOS ; 攻擊分析單元��,用于根據(jù)FLOW分析的結(jié)果,若檢測出符合某種分布式拒絕服務(wù)DDOS攻 擊類型的攻擊特征����,符合該攻擊特征的數(shù)據(jù)流量為DDOS攻擊流量,根據(jù)預(yù)先設(shè)置的DDOS攻 擊類型與防護(hù)安全策略之間的對應(yīng)關(guān)系�,自動(dòng)生成攔截所述DDOS攻擊流量的防護(hù)安全策 略��,并指示策略推送單元將生成的防護(hù)安全策略配置在防火墻設(shè)備上���;以及響應(yīng)于檢測出 符合所述某種分布式拒絕服務(wù)DDOS攻擊類型的攻擊特征消失,指示策略推送單元從所述 防火墻設(shè)備上刪除攔截所述DDOS攻擊流量的防護(hù)安全策略��; 策略配置單元�,用于將攻擊分析單元生成的防護(hù)安全策略配置在防火墻設(shè)備上。
7. 根據(jù)權(quán)利要求6所述的裝置�,其特征在于,所述FLOW技術(shù)信息還包括入接口屬性����,所 述入接口屬性包括所述數(shù)據(jù)流量區(qū)源于內(nèi)部接口、外部接口或者非軍事區(qū)DMZ接口的屬性 信息���; 所述攻擊分析單元�����,具體根據(jù)對所述數(shù)據(jù)流量的入接口屬性分析結(jié)果��,若檢測出符合 攻擊特征的數(shù)據(jù)流量源于內(nèi)部接口����、外部接口與DMZ中的全部,則指示策略推送單元將生 成的防護(hù)安全策略作為全局安全策略配置在防火墻設(shè)備上����;若檢測出符合攻擊特征的數(shù)據(jù) 流量不是源于內(nèi)部接口、外部接口與DMZ中的全部�����,則指示策略推送單元將生成的防護(hù)安 全策略作為全局安全策略配置在防火墻設(shè)備的相應(yīng)接口上��。
8. 根據(jù)權(quán)利要求6所述的裝置��,其特征在于�,所述FLOW技術(shù)信息還包括入接口屬性,所 述入接口屬性包括所述數(shù)據(jù)流量區(qū)源于信任接口�����、非信任接口或者非軍事區(qū)DMZ接口的屬 性信息��; 所述攻擊分析單元�,具體根據(jù)對所述數(shù)據(jù)流量的入接口屬性分析結(jié)果,若檢測出符合 攻擊特征的數(shù)據(jù)流量源于信任接口���、非信任接口與DMZ中的全部�,則指示策略推送單元將 生成的防護(hù)安全策略作為全局安全策略配置在防火墻設(shè)備上�;若檢測出符合攻擊特征的數(shù) 據(jù)流量不是源于信任接口、非信任接口與DMZ中的全部���,則指示策略推送單元將生成的防 護(hù)安全策略作為全局安全策略配置在防火墻設(shè)備的相應(yīng)接口上���。
9. 根據(jù)權(quán)利要求6至8任意一項(xiàng)所述的裝置,其特征在于��,所述FLOW分析單元具體分 別針對防火墻設(shè)備上的各接口����,按照單位周期對穿越和到達(dá)防火墻設(shè)備的數(shù)據(jù)流量進(jìn)行流 FLOW進(jìn)行循環(huán)檢測分析,判斷該接口上的數(shù)據(jù)流量是否大于預(yù)設(shè)閾值�; 所述攻擊分析單元具體在該接口上的數(shù)據(jù)流量大于預(yù)設(shè)閾值時(shí),認(rèn)為檢測出符合某種 分布式拒絕服務(wù)DDOS攻擊類型的攻擊特征��。
10. 根據(jù)權(quán)利要求9所述的裝置���,其特征在于�����,所述攻擊分析單元具體在配置防護(hù)安全 策略的接口上在單位周期內(nèi)的DDOS攻擊流量不大于所述預(yù)設(shè)閾值時(shí)�����,認(rèn)為檢測出符合所 述某種DDOS攻擊類型的攻擊特征消失�����。
【文檔編號】H04L29/06GK104519016SQ201310453267
【公開日】2015年4月15日 申請日期:2013年9月29日 優(yōu)先權(quán)日:2013年9月29日
【發(fā)明者】肖宇峰, 劉東鑫, 沈軍, 金華敏, 郭亮 申請人:中國電信股份有限公司