[发明专利]网络攻击的防控方法、装置及系统

说明书

技术领域

本发明涉及通信应用技术领域，具体而言，涉及一种网络攻击的防控方法、装置及系统。

背景技术

随着互联网的发展，特别是互联网技术的广泛运用，互联网由开始提供的一个开放平台发展至由于资源的丰富引发的来自各个原因的网络攻击，互联网安全成为了现如今互联网时代广泛关注的一个问题，针对如何防御网络攻击，以及如何反制网络攻击的发起源头，成为了现如今互联网技术一个反复探索的研究课题。

现有的网络攻击中，分布式拒绝服务攻击(Distributed Denial of Service，简称DDoS)是目前最难防御的一种网络攻击行为，目前业界的防御系统都是在服务器前端部署防火墙产品，在服务器被攻击时通过部署在服务器前端的防火墙将攻击清洗掉，目前面临的最大问题就是：问题(1)攻击量越来越大，但是服务器侧的带宽却无法无限扩充，单纯的靠服务器端的清洗已经无法满足越来越多的网络攻击；问题(2)发起DDoS攻击的攻击方一般会组织大量的私人电脑(personal computer，简称pc)，这些pc一般被攻击者控制，由大量该类pc组成的计算机网络被称作僵尸网络，该僵尸网络都是真实的机器，目前没有一种有效的方法能直接追踪到僵尸网络。问题(3)无法反制该DDos网络攻击，只能被动的挨打。

DDos攻击带来的危害则是攻击者会控制大量的僵尸主机对目标服务器发起攻击，此时正常的用户将无法访问目标主机。

相关技术中采用较多的缓解僵尸网络的DDoS攻击的方法主要有：方法一，基于入侵检测系统(Intrusion Detection System，简称IDS)、入侵防御系统(Intrusion Prevention System，简称IPS)发现僵尸网络的方法：IDS按照一定的安全规则和安全策略，对网络、系统的运行情况进行监控，如果发现保护的网络内有机器被外界主机所控制，IDS设备能根据配置好的安全策略产生告警，提供网络管理员参考。方法二，基于蜜网技术发现僵尸网络的方法：蜜罐技术是一个由防护方布置的一套信息收集系统,故意的暴露在网络上，并且会留下一些未修复的漏洞。一旦攻击者入侵后,就可以知晓其如何实施并得逞的,从而随时了解黑客发动的最新的攻击和漏洞。蜜罐还可以通过 窃听黑客之间的联系,收集黑客所用的种种工具,并且掌握他们的社交网络。方法三，基于流量分析特别是深包检测技术(Deep Packet Inspection，简称DPI)的僵尸网络监控方法：流量分析可以找出部分的僵尸主机。该技术只能在网络局部进行僵尸主机和僵尸网络的分析,很难对整个互联网的僵尸主机和僵尸网络进行定位,都不能找出特定僵尸网络的所有的僵尸主机；更不能对僵尸网络进行抑制。

纵使上述方法能够对DDos攻击进行防御，但是上述方法存在以下问题：问题一，基于IDS、IPS发现僵尸网络缺点：如上这种方式的好处就是检测是基于逐包分析的方式，通过匹配安全策略和规则来告警，但是这种方式只能是基于局域网和企业网内使用，且单点和单点之间的数据无法共享，因此无论是从检测覆盖度还是速度上都无法解决大规模DDoS攻击中的攻击源分析的问题；问题二，基于蜜罐技术捕获僵尸网络的缺点：蜜罐技术需要大量部署且容易被黑客当作攻击跳板，由于蜜罐主机的操作系统有很多的漏洞，很容易被攻击导致系统无法启动，同时蜜罐系统收集的数据在整个互联网的数据中只是很小的一部分，需要部署大量的蜜罐系统才能有足够的数据使用，在实际用途中一般用作研究使用，很难真正广泛推广；问题三，基于流量分析特别是DPI检测技术的僵尸网络监控方法缺点：如上DPI技术和流量分析技术具有滞后性，且传统的DPI技术和流量分析技术都是靠部署在服务器侧的设备来进行分析和定位，属于攻击的最后一公里去反推攻击的源头，不仅分析起来耗时久，而且随着僵尸网络的变化，前面的分析可能很快就不具备时效性，很难比攻击者速度快。

针对上述由于相关技术中缺少对网络攻击进行监控和反制的技术，导致目标服务器在遭受攻击时被动防御，从而导致防御效率低的问题，目前尚未提出有效的解决方案。

发明内容

本发明实施例提供了一种网络攻击的防控方法、装置及系统，以至少解决由于相关技术中缺少对网络攻击进行监控和反制的技术，导致目标服务器在遭受攻击时被动防御，从而导致防御效率低的技术问题。