本實用新型專利技術涉及一種基于ISP網絡的拒絕攻擊防御系統,包括:攻擊探測器,攻擊探測器內設有入侵檢測模塊和流量偵測模塊;流量牽引器,其與攻擊探測器相互通信連接;以及計算機終端,其與攻擊探測器通信連接。本實用新型專利技術的有益效果為:本系統設計采用了基于路由器路由信息的數據DDOS檢測和攻擊防御,降低了系統資源消耗,提高了檢測的效率,從技術源頭上提高了DDOS攻擊在ISP網絡中的檢測效率和防御效果,系統設計架構非常清晰,對用戶方,以及操作使用方,非常易于學習、使用和操作。(*該技術在2021年保護過期,可自由使用*)
【技術實現步驟摘要】
本技術涉及一種基于ISP網絡的拒絕攻擊防御系統。
技術介紹
現有的大多數DDOS防御系統都是單臺系統實現DDOS流量的檢測、分析、防御功能,構成負荷過大,難以用于電信級網絡的環境中。同時由于單一的系統設計,在部署時無法分布式進行部署,因此對于檢測、分析、清洗等功能均在一套系統中進行完成,沒有遵循網絡的層次功能分布,構成技術瓶頸,而且現有的技術產品存在多個故障點、分布式結構部署較復雜、能旁路處理且對某些DOS攻擊無法有效抵御、網關方式部署時攻擊流量較大時仍會對用戶造成影響等缺點。
技術實現思路
本技術的目的是提供一種基于ISP網絡的拒絕攻擊防御系統,以克服現有技術產品上述的不足。本技術的目的是通過以下技術方案來實現一種基于ISP網絡的拒絕攻擊防御系統,包括攻擊探測器,攻擊探測器內設有入侵檢測模塊和流量偵測模塊;流量牽引器,其與攻擊探測器相互通信連接;以及計算機終端,其與攻擊探測器相互通信連接。本技術基于ISP網絡的拒絕攻擊防御系統的攻擊探測器支持網關和旁路兩種方式接入用戶網絡1)攻擊探測器網關接入模式當采用網關模式接入網絡時可按需求選擇前置路由及后置路由兩種接入部署方式當采用后置路由部署方式時,推薦使用透明接入方式;采用網關接入方式時,攻擊探測器可以通過內置的防火墻功能模塊及流量監控功能模塊在不啟動流量牽引器的情況下抵御各類DoS攻擊,以及小規模DDoS攻擊。流量牽引器通常布置于運營商網絡中高帶寬節點,如核心交換機等高速轉發設備。攻擊探測器可通過帶內SSH 通信或帶外通信方式與攻擊牽引器通信。處理過程如下當攻擊探測器檢測到攻擊發生時會初步確定攻擊類型及規模,同時探測器起到網關的作用對攻擊進行處理,在流量牽引器執行流量牽引動作之前,攻擊探測器將始終承擔攻擊阻止任務;攻擊探測器將攻擊信息通過SSH方式發送到流量牽弓I器;流量牽弓I器對可疑流量進行引導,并對攻擊流量進行分離, 將正常通信流量按原路轉發到目的地;當流量牽引器引導流量并對攻擊流量進行過濾時, 攻擊探測器負責抵御流量探測器無法發現及處理的攻擊流量并上報給牽引器,同時提供過濾策略;最后保證流入受保護區域的流量為干凈的流量。2)攻擊探測器旁路接入模式當采用旁路模式接入網絡時需通過流量鏡像方式將網關處流量復制發送至攻擊探測器,采用旁路接入時對任何流量除記錄及上報外不做任何動作。流量牽引器通常布置于運營商網絡中高帶寬節點,如核心交換機等高速轉發設備。處理過程如下當攻擊探測器檢測到攻擊發生時會與流量牽引器通過SSH方式通信,將攻擊信息發送到流量牽引器;流量牽引器收到攻擊信息后對可疑流量進行牽引,并通過內部處理機制分離出正常通信流量,按原路轉發;流量探測器檢測分離出的流量將檢測信息繼續發送給流量牽引器,如發現仍有攻擊流量存在,則向流量牽引器發送報告及處理策略;最后保證流入受保護區域的流量為干凈的流量。本技術的有益效果為本系統設計采用了基于路由器路由信息的數據DDOS 檢測和攻擊防御,降低了系統資源消耗,提高了檢測的效率,從技術源頭上提高了 DDOS攻擊在ISP網絡中的檢測效率和防御效果;系統設計架構非常清晰,對用戶方,以及操作使用方,非常易于學習、使用和操作,有別于國外眾多的復雜的ISP網絡的拒絕服務攻擊檢測與防御系統,適合于我國的網絡管理條件和環境。附圖說明下面根據附圖對本技術作進一步詳細說明。圖1是本技術實施例所述的基于ISP網絡的拒絕攻擊防御系統的結構框圖。圖中1、攻擊探測器;2、流量牽引器;3、計算機終端。具體實施方式如圖1所示,本技術實施例所述的一種基于ISP網絡的拒絕攻擊防御系統,包括攻擊探測器1,攻擊探測器1內設有入侵檢測模塊和流量偵測模塊;流量牽引器2,其與攻擊探測器1相互通信連接;以及計算機終端3,其與攻擊探測器1相互通信連接。攻擊探測器1采用雙子系統架構,該架構將入侵檢測模塊和流量偵測模塊分為兩個完全獨立的系統,通過總線相連,在互不影響的同時又能夠保證信息的共享及功能聯動。 攻擊檢測模塊在沒有DDoS攻擊的時候只是正常地檢測流量,并通過基于自相似性模型的動態異常流量監測機制判斷網絡流量是否出現異常。當發現流量出現異常時與入侵檢測模塊聯動進行流量分析、行為分析。判斷流量是否為DDoS攻擊,如確認攻擊則記錄攻擊信息, 判斷攻擊規模,確定防御策略,同時通過SSH與流量牽引器通信并上報攻擊信息。入侵檢測模塊能夠發現并抵御多數DoS攻擊、以及蠕蟲、木馬等惡意代碼,并對流量偵測模塊提交的可疑流量進行檢測,進一步判斷是否為攻擊流量。攻擊探測器1采用基于自相似性模型的動態異常流量監測算法,能夠在DDoS攻擊的初始階段甄別攻擊;攻擊探測器1采用基于自相似性模型的動態異常流量監測與深層包檢測技術協同工作方式的高效檢測流量,可以識別并實時抵御1500多種蠕蟲、病毒、DOS攻擊和異常的流量模式攻擊,極大地提高準確率。并通過訪問控制列表、代理服務等技術實現小規模的攻擊處理能力。系統定位為運營商級高可靠性的安全產品,所有組件支持熱插拔, 支持雙機熱備和來回路徑不一致;攻擊探測器1支持透明模式及旁路模式部署,使得系統的部署不影響用戶原有網絡拓撲;與流量牽引器2之間支持集群工作模式,有效提高了系統負載能力;攻擊探測器1支持負載均衡、熱備等技術,最大限度地提高設備可靠性。攻擊探測器1部署在所需保護網絡的接入點,可選擇串聯或者旁路方式接入網絡,采用串聯接入方式時,能夠通過內置的攻擊探測模塊、流量監測模塊和防火墻模塊聯動來實現對DoS攻擊及小規模DDoS攻擊進行有效防御。選擇旁路接入方式時,該設備不具備網關功能,可對流量進行監控、分析,并對可疑流量進行深度掃描。流量牽引器2具有如下功能特點高速的攻擊處理能力流量牽引器2接入運營商骨干網絡,系統能夠有效鑒別攻擊流量和正常流量,對異常攻擊流量進行清洗,有效保證用戶正常業務流量的傳輸。該流量牽引器支持集群工作模式,通過集群化部署可以有效地提高系統的處理能力,使系統能夠滿足大型ISP網絡的需要;高效的軟硬件平臺在硬件方面,流量牽引器2采用了嵌入式系統設計,在系統核心實現拒絕服務攻擊的防御算法,并且創造性地將算法實現在網絡協議棧的最底層,完全避免了 TCP、UDP和IP等高層系統網絡堆棧的處理,將整個運算代價大大降低,大大提高了運算速率;采用虛擬化技術流量牽引器2支持虛擬化技術,支持多達50個虛擬設備,每個虛擬設備擁有獨立系統資源、管理員、安全策略、用戶認證數據庫等,可單獨與攻擊檢測網關配合組成完整的系統;支持集群工作模式流量牽引器2支持集群工作模式,可通過集群工作模式增強系統處理能力,提高可擴展性及可靠性;詳細可定制的報表生成系統系統提供可定制的報表生成系統,能夠按照管理員定義的內容及格式生成報表,方便用戶直觀地查看攻擊情況,支持syslog、數據庫等日志格式。本系統的技術指標如下所示項目I技術指標最大檢測流量-單機最多可檢測并抵御300Mbps的流量攻擊探測功能可發現并實時抵御1500多種蠕蟲、病毒、DOS攻擊和異常的流量模式;可以提供256byte背景流量下百兆_100%的檢測效率_支持的部署方式 If寺串聯網關、透明橋接及旁路部署方式 — 是否支持熱備 f — 是否支持負載均衡 f本文檔來自技高網...
【技術保護點】
【技術特征摘要】
1. 一種基于ISP網絡的拒絕攻擊防御系統,包括攻擊探測器(1)、流量牽引器(2)以及計算機終端(3),其特征在于攻擊探測器(1)內...
【專利技術屬性】
技術研發人員:李宏昌,陳陽懷,楊永來,章秀麓,劉智宏,許德森,王春明,趙鵬,
申請(專利權)人:中華通信系統有限責任公司,
類型:實用新型
國別省市:
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。