[发明专利]一种基于动态变换的DDoS攻击防御系统和方法有效
| 申请号: | 201811606295.1 | 申请日: | 2018-12-27 |
| 公开(公告)号: | CN111385235B | 公开(公告)日: | 2022-08-26 |
| 发明(设计)人: | 张长河 | 申请(专利权)人: | 北京卫达信息技术有限公司 |
| 主分类号: | H04L9/40 | 分类号: | H04L9/40;H04L67/562;H04L61/4511 |
| 代理公司: | 暂无信息 | 代理人: | 暂无信息 |
| 地址: | 100012 北京市*** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 基于 动态 变换 ddos 攻击 防御 系统 方法 | ||
1.一种基于动态变换的DDoS攻击防御系统,其特征在于,包括:
代理节点检测单元,用于实时检测代理节点池中每一个代理节点的流量状态,把检测结果反馈给代理节点管理单元;
代理节点管理单元,负责管理代理节点池,并根据代理节点检测单元统计的检测结果判断是否有DDoS攻击发生,是否需要从代理节点池中启用新的节点或关闭受攻击的代理节点;
DNS配置单元,用于动态配置顶级DNS服务器,使受保护的应用服务器的域名对应的IP地址在启用的代理节点中不断变化,从而实现DNS动态引流,把用户流量分散到不同的代理节点上;
所述代理节点管理单元根据所述代理节点检测单元上报的信息进行DDoS攻击检测,如果代理节点的平均网络速率与系统总带宽的比值在检测时间窗口内均大于第一攻击检测阈值,所述第一攻击检测阈值是指日常无攻击条件下的系统网络速率与系统总带宽比值的均值,则认定为攻击情况,否则认定为正常情况:
(一)、在正常流量下,只有少部分代理节点时处于启用状态,满足用户与应用服务器之间的正常通信;
(二)、判定有DDoS攻击发生时,从代理节点池中启用新的代理节点,为其分配IP地址,同时把当前启用的代理节点的信息发送至所述DNS配置单元,所述代理节点的信息包括代理节点的IP地址、代理节点带宽、代理节点在检测时间窗口内平均网络速率和当前是否有DDoS攻击发生,同时产生日志信息发送至所述管理单元,其中所述日志信息包括攻击前正常流量信息、攻击流量大小、时间、启用的代理节点数目、每个代理节点的带宽、网络速率等信息;
(三)、判定DDoS攻击消失时,关闭无流量的代理节点,同时把当前启用的代理节点的信息发送至所述DNS配置单元。
2.根据权利要求1所述的基于动态变换的DDoS攻击防御系统,其特征在于,所述DNS配置单元包括IP地址分配模块和DNS服务器配置模块,其中IP地址分配模块根据负载均衡调度算法周期性地选取当前网络流量负载较小的代理节点,为受保护的应用服务器的域名分配代理节点的IP地址,用户通过代理节点与应用服务器进行通信,同时通知DNS服务器配置模块把DNS服务器上受保护的应用服务器的域名对应的IP地址修改为当前选择的代理节点的IP地址。
3.根据权利要求1或2所述的基于动态变换的DDoS攻击防御系统,其特征在于,针对CC(Challenge Collapsar)攻击的防御,代理节点缓存应用服务器上的内容并定期同步,当用户的访问请求到达代理节点时,代理节点直接对用户进行响应,只有当代理节点上没有查询到用户请求的资源时,才把访问请求发送至应用服务器。
4.根据权利要求3所述的基于动态变换的DDoS攻击防御系统,其特征在于,针对CC攻击的防御,代理节点检测单元实时检测代理节点池中每一个启用的代理节点的系统资源利用率,所述系统资源利用率包括CPU利用率和内存利用率,把每个代理节点的系统资源利用率实时地上报给代理节点管理单元;代理节点管理单元根据代理节点检测单元上报的信息进行DDoS攻击检测,如果代理节点的平均系统资源利用率在检测时间窗口内均大于第二攻击检测阈值,所述第二攻击检测阈值是指日常无攻击条件下的系统的平均资源利用率,则认定为攻击情况,否则认定为正常情况。
5.一种基于动态变换DDoS防御方法,其特征在于,包括以下步骤:
步骤(1)、为代理节点池中的代理节点动态分配IP地址;
步骤(2)、配置顶级DNS服务器上受保护的应用服务器域名对应的IP地址为代理节点的IP地址,使用户通过代理节点转发访问应用服务器;
步骤(3)、实时检测代理节点池中各代理节点的流量状态和资源利用情况,如果代理节点的平均网络速率与系统总带宽的比值在检测时间窗口内均大于第一攻击检测阈值,所述第一攻击检测阈值是指日常无攻击条件下的系统网络速率与系统总带宽比值的均值,或者代理节点的平均系统资源利用率在检测时间窗口内均大于第二攻击检测阈值,所述第二攻击检测阈值是指日常无攻击条件下的系统的平均资源利用率,则认定为攻击情况,否则认定为正常情况:
(3-1):在正常流量下,只有少部分代理节点处于启用状态,根据负载均衡调度算法从代理节点池中选择代理节点,满足用户与应用服务器之间的正常通信;
(3-2):当遭受DDoS攻击,启用备用代理节点,根据负载均衡调度算法周期性地从代理节点池中选取备用代理节点,把DNS服务器上受保护的应用服务器的域名对应的IP地址修改为当前选择的代理节点的IP地址,使DNS服务器上受保护的应用服务器的域名对应的IP地址在动态启用的代理节点中动态变化,同时记录当前启用的代理节点的信息,所述代理节点的信息包括代理节点的IP地址、代理节点带宽、代理节点在检测时间窗口内平均网络速率和当前是否有DDoS攻击发生,同时关闭受攻击的代理节点,保证用户与应用服务器之间的正常通信;
(3-3)当DDoS消失时,关闭无流量的代理节点,同时记录当前启用的代理节点的信息,恢复正常流量下的工作模式。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于北京卫达信息技术有限公司,未经北京卫达信息技术有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201811606295.1/1.html,转载请声明来源钻瓜专利网。
- 上一篇:一种热电联产装置
- 下一篇:一种基于网络诱骗的动态防御系统
