防火墻自動防御分布式拒絕服務攻擊的方法和裝置制造方法及圖紙

本發明專利技術實施例公開了一種防火墻自動防御分布式拒絕服務攻擊的方法和裝置，其中，方法包括：對穿越和到達防火墻設備的數據流量進行流FLOW分析；根據FLOW分析的結果，若檢測出符合某種分布式拒絕服務DDOS攻擊類型的攻擊特征，符合該攻擊特征的數據流量為DDOS攻擊流量，根據預先設置的DDOS攻擊類型與防護安全策略之間的對應關系，自動生成攔截DDOS攻擊流量的防護安全策略，并將生成的防護安全策略配置在防火墻設備上；響應于檢測出符合某種DDOS攻擊類型的攻擊特征消失，從防火墻設備上刪除攔截DDOS攻擊流量的防護安全策略。本發明專利技術實施例無需在防火墻設備的安全規則庫中提前配置防護安全策略，即可在通用防火墻設備上實現對DDOS攻擊的自動防御。

【技術實現步驟摘要】
防火墻自動防御分布式拒絕服務攻擊的方法和裝置
本專利技術涉及網絡與信息安全技術，尤其是一種防火墻自動防御分布式拒絕服務（DistributedDenialofService，DDOS）攻擊的方法和裝置。
技術介紹
目前，防火墻設備安全規則通常都是由熟悉網絡環境和設備的管理員下發的，當防火墻處于允許放行流量的狀態，并且DDOS攻擊發生時而安全規則庫中沒有匹配條目來阻止該DDOS攻擊時，DDOS攻擊就能成功穿越防火墻設備。目前防火墻設備對常見的DDOS攻擊具有一定的防護能力，但是需要在防火墻設備的安全規則庫中提前配置安全策略和規則，配置的策略和規則越多，則對防火墻設備的資源占用率會越高。DDOS攻擊的防御也可以通過異常流量清洗中心完成，但是該技術成本較高。流（FLOW）技術已經在通信業界廣泛應用于流量監控、流量計費等領域，通過FLOW技術可以檢測出多種DDOS攻擊及蠕蟲病毒。
技術實現思路
本專利技術實施例所要解決的技術問題是：提供一種防火墻自動防御分布式拒絕服務攻擊的方法和裝置，無需在防火墻設備的安全規則庫中提前配置防護安全策略，即可在通用防火墻設備上實現對DDOS攻擊的自動防御。本專利技術實施例提供的一種防火墻自動防御分布式拒絕服務攻擊的方法，包括：對穿越和到達防火墻設備的數據流量進行流FLOW分析，所述FLOW分析包括對所述數據流量進行協議類型、數據流量大小與FLOW技術信息分析；所述FLOW技術信息包括：源IP地址、目的IP地址、源端口號、目的端口號、三層協議類型與服務類型TOS；根據FLOW分析的結果，若檢測出符合某種分布式拒絕服務DDOS攻擊類型的攻擊特征，符合該攻擊特征的數據流量為DDOS攻擊流量，根據預先設置的DDOS攻擊類型與防護安全策略之間的對應關系，自動生成攔截所述DDOS攻擊流量的防護安全策略，并將生成的防護安全策略配置在防火墻設備上；響應于檢測出符合所述某種DDOS攻擊類型的攻擊特征消失，從所述防火墻設備上刪除攔截所述DDOS攻擊流量的防護安全策略。上述方法的一個具體實施例中，所述FLOW技術信息還包括入接口屬性，所述入接口屬性包括所述數據流量區源于內部接口、外部接口或者非軍事區DMZ接口的屬性信息；所述將生成的防護安全策略配置在防火墻設備上包括：根據對所述數據流量的入接口屬性分析結果，若檢測出符合攻擊特征的數據流量源于內部接口、外部接口與DMZ中的全部，則將生成的防護安全策略作為全局安全策略配置在防火墻設備上；若檢測出符合攻擊特征的數據流量不是源于內部接口、外部接口與DMZ中的全部，則將生成的防護安全策略配置在防火墻設備的相應接口上。上述方法的一個具體實施例中，所述FLOW技術信息還包括入接口屬性，所述入接口屬性包括所述數據流量區源于信任接口、非信任接口或者非軍事區DMZ接口的屬性信息；所述將生成的防護安全策略配置在防火墻設備上包括：根據對所述數據流量的入接口屬性分析結果，若檢測出符合攻擊特征的數據流量源于信任接口、非信任接口與DMZ中的全部，則將生成的防護安全策略作為全局安全策略配置在防火墻設備上；若檢測出符合攻擊特征的數據流量不是源于信任接口、非信任接口與DMZ中的全部，則將生成的防護安全策略配置在防火墻設備的相應接口上。上述方法的一個具體實施例中，對穿越和到達防火墻設備的數據流量進行流FLOW分析包括：分別針對防火墻設備上的各接口，按照單位周期對穿越和到達防火墻設備的數據流量進行流FLOW進行循環檢測分析，判斷該接口上的數據流量是否大于預設閾值；所述檢測出符合某種DDOS攻擊類型的攻擊特征包括：該接口上的數據流量大于預設閾值。上述方法的一個具體實施例中，所述檢測出符合所述某種DDOS攻擊類型的攻擊特征消失包括：配置防護安全策略的接口上在單位周期內的DDOS攻擊流量不大于所述預設閾值。本專利技術實施例提供的一種防火墻自動防御分布式拒絕服務攻擊的裝置，包括：FLOW分析單元，用于對穿越和到達防火墻設備的數據流量進行流FLOW分析，所述FLOW分析包括對所述數據流量進行協議類型、數據流量大小與FLOW技術信息分析；所述FLOW技術信息包括：源IP地址、目的IP地址、源端口號、目的端口號、三層協議類型與TOS；攻擊分析單元，用于根據FLOW分析的結果，若檢測出符合某種分布式拒絕服務DDOS攻擊類型的攻擊特征，符合該攻擊特征的數據流量為DDOS攻擊流量，根據預先設置的DDOS攻擊類型與防護安全策略之間的對應關系，自動生成攔截所述DDOS攻擊流量的防護安全策略，并指示策略推送單元將生成的防護安全策略配置在防火墻設備上；以及響應于檢測出符合所述某種分布式拒絕服務DDOS攻擊類型的攻擊特征消失，指示策略推送單元從所述防火墻設備上刪除攔截所述DDOS攻擊流量的防護安全策略；策略配置單元，用于將攻擊分析單元生成的防護安全策略配置在防火墻設備上。上述系統的一個具體實施例中，所述FLOW技術信息還包括入接口屬性，所述入接口屬性包括所述數據流量區源于內部接口、外部接口或者非軍事區DMZ接口的屬性信息；所述攻擊分析單元，具體根據對所述數據流量的入接口屬性分析結果，若檢測出符合攻擊特征的數據流量源于內部接口、外部接口與DMZ中的全部，則指示策略推送單元將生成的防護安全策略作為全局安全策略配置在防火墻設備上；若檢測出符合攻擊特征的數據流量不是源于內部接口、外部接口與DMZ中的全部，則指示策略推送單元將生成的防護安全策略配置在防火墻設備的相應接口上。上述系統的一個具體實施例中，所述FLOW技術信息還包括入接口屬性，所述入接口屬性包括所述數據流量區源于信任接口、非信任接口或者非軍事區DMZ接口的屬性信息；所述攻擊分析單元，具體根據對所述數據流量的入接口屬性分析結果，若檢測出符合攻擊特征的數據流量源于信任接口、非信任接口與DMZ中的全部，則指示策略推送單元將生成的防護安全策略作為全局安全策略配置在防火墻設備上；若檢測出符合攻擊特征的數據流量不是源于信任接口、非信任接口與DMZ中的全部，則指示策略推送單元將生成的防護安全策略配置在防火墻設備的相應接口上。上述系統的一個具體實施例中，所述FLOW分析單元具體分別針對防火墻設備上的各接口，按照單位周期對穿越和到達防火墻設備的數據流量進行流FLOW進行循環檢測分析，判斷該接口上的數據流量是否大于預設閾值；所述攻擊分析單元具體在該接口上的數據流量大于預設閾值時，認為檢測出符合某種分布式拒絕服務DDOS攻擊類型的攻擊特征。上述系統的一個具體實施例中，所述攻擊分析單元具體在配置防護安全策略的接口上在單位周期內的DDOS攻擊流量不大于所述預設閾值時，認為檢測出符合所述某種DDOS攻擊類型的攻擊特征消失?；诒緦＠夹g上述實施例提供的防火墻自動防御分布式拒絕服務攻擊的方法和裝置，對穿越和到達防火墻設備的數據流量進行FLOW分析，包括對數據流量進行協議類型、數據流量大小與FLOW技術信息分析，根據FLOW分析的結果，若檢測出符合某種DDOS攻擊類型的攻擊特征，符合該攻擊特征的數據流量為DDOS攻擊流量，根據預先設置的DDOS攻擊類型與防護安全策略之間的對應關系，自動生成攔截所述DDOS攻擊流量的防護安全策略，并將生成的防護安全策略配置在防火墻設備上；響應于檢測出DDOS攻擊流量消失，從防火本文檔來自技高網...

【技術保護點】
一種防火墻自動防御分布式拒絕服務攻擊的方法，其特征在于，包括：對穿越和到達防火墻設備的數據流量進行流FLOW分析，所述FLOW分析包括對所述數據流量進行協議類型、數據流量大小與FLOW技術信息分析；所述FLOW技術信息包括：源IP地址、目的IP地址、源端口號、目的端口號、三層協議類型與服務類型TOS；根據FLOW分析的結果，若檢測出符合某種分布式拒絕服務DDOS攻擊類型的攻擊特征，符合該攻擊特征的數據流量為DDOS攻擊流量，根據預先設置的DDOS攻擊類型與防護安全策略之間的對應關系，自動生成攔截所述DDOS攻擊流量的防護安全策略，并將生成的防護安全策略配置在防火墻設備上；響應于檢測出符合所述某種DDOS攻擊類型的攻擊特征消失，從所述防火墻設備上刪除攔截所述DDOS攻擊流量的防護安全策略。

【技術特征摘要】
1.一種防火墻自動防御分布式拒絕服務攻擊的方法，其特征在于，包括：對穿越和到達防火墻設備的數據流量進行流FLOW分析，所述FLOW分析包括對所述數據流量進行數據流量大小與FLOW技術信息分析；所述FLOW技術信息包括：源IP地址、目的IP地址、源端口號、目的端口號、三層協議類型、服務類型TOS和入接口屬性，其中，所述入接口屬性包括所述數據流量源于內部接口、外部接口或者非軍事區DMZ接口的屬性信息，或者，包括所述數據流量區源于信任接口、非信任接口或者非軍事區DMZ接口的屬性信息；根據FLOW分析的結果，若檢測出符合某種分布式拒絕服務DDOS攻擊類型的攻擊特征，符合該攻擊特征的數據流量為DDOS攻擊流量，根據預先設置的DDOS攻擊類型與防護安全策略之間的對應關系，自動生成攔截所述DDOS攻擊流量的防護安全策略，并將生成的防護安全策略配置在防火墻設備上，其中，根據對所述數據流量的入接口屬性分析結果，若檢測出符合攻擊特征的數據流量源于內部接口、外部接口與DMZ中的全部，或者，檢測出符合攻擊特征的數據流量源于信任接口、非信任接口與DMZ中的全部，則將生成的防護安全策略作為全局安全策略配置在防火墻設備上；若檢測出符合攻擊特征的數據流量不是源于內部接口、外部接口與DMZ中的全部，或者，檢測出符合攻擊特征的數據流量不是源于信任接口、非信任接口與DMZ中的全部，則將生成的防護安全策略配置在防火墻設備的相應接口上；響應于檢測出符合所述某種DDOS攻擊類型的攻擊特征消失，從所述防火墻設備上刪除攔截所述DDOS攻擊流量的防護安全策略；其中，配置防護安全策略的接口上在單位周期內的DDOS攻擊流量不大于預設閾值，則認為檢測出符合所述某種DDOS攻擊類型的攻擊特征消失。2.根據權利要求1所述的方法，其特征在于，對穿越和到達防火墻設備的數據流量進行流FLOW分析包括：分別針對防火墻設備上的各接口，按照單位周期對穿越和到達防火墻設備的數據流量進行流FLOW進行循環檢測分析，判斷該接口上的數據流量是否大于預設閾值；所述檢測出符合某種DDOS攻擊類型的攻擊特征包括：該接口上的數據流量大于預設閾值。3.一種防火墻自動防御分布式拒絕服務攻擊的裝置，其特征在于，包括：FLOW分析單元，用于對穿越和到達...

【專利技術屬性】
技術研發人員：肖宇峰，劉東鑫，沈軍，金華敏，郭亮，
申請(專利權)人：中國電信股份有限公司，
類型：發明
國別省市：北京;11