[发明专利]基于计算机系统运行状态对拒绝服务攻击的实时处理系统及方法

说明书

本发明公开了一种基于计算机系统运行状态对拒绝服务攻击的实时处理系统及方法，对攻击的检测部署在可能收到攻击的计算机系统上，通过对计算机的运行环境和状态，进行实时评估，通过对运行状态的分析和评估结果，判断系统是否已经存在正在被DoS攻击的可能，启动对导致系统状态变化的原因的分析，确定引起有关系统资源异常变化的根因，并对这些根因进行安全和影响评估，确定可疑网络流量；再由高性能的流量压制系统，针对可疑流量根据策略进行逐步压制，直到系统状态恢复至预设的范围。并且反复检测和压制，确保系统的运行状态可以持续对外提供服务，具有良好的应用前景。

技术领域

本发明涉及计算机网络通信技术领域，具体涉及一种基于计算机系统运行状态对拒绝服务攻击的实时处理系统及方法。

背景技术

当前在计算机网络通信中对DoS攻击(特别是DDoS攻击)的监控和探测方式，主要是通过在路由节点，网关设备，或者防火墙等安全网络设备，用带内或者带外(导流)的方式，对网络流量进行分析，并通过与已知的网络流量模型(正常流量或者攻击流量)对比，得到是否有DoS或者DDoS的攻击在发生。并且根据这个结果针对这些被认为是攻击的流量进行压制，从而缓解攻击。

但是，上面的的监控和探测方式存在很大的局限性，特别是对于不经过上述的设备或者网络节点的流量，是无法实施有效的检测和分析，更无法进行防御。而且，对上述的攻击检测时机往往较晚，实时性差，在对正常流量和攻击流量的判断中准确率不足。

因此，如何解决上述问题，提供一种在计算机系统运行状态，对攻击实时更可靠的探测、分析以及压制的系统及方法，是当前急需解决的问题。

发明内容

本发明的目的是克服现有技术对拒绝服务攻击监控和探测方式存在很大的局限性的问题。本发明的基于计算机系统运行状态对拒绝服务攻击的实时处理系统及方法，对攻击的检测部署在可能收到攻击的计算机系统上，通过对计算机的运行环境和状态(例如，CPU利用率，内存使用情况，网络利用率，I/O等)，进行实时评估，通过对运行状态的分析和评估结果，判断系统是否已经存在正在被DoS攻击的可能，启动对导致系统状态变化的原因的分析，确定引起有关系统资源异常变化的根因(例如大流量的网络数据包，或者针对某网络协议的异常流量)，并对这些根因进行安全和影响评估，确定可疑网络流量；再由高性能的流量压制系统，针对可疑流量根据策略进行逐步压制，直到系统状态恢复至预设的范围。并且反复检测和压制，确保系统的运行状态可以持续对外提供服务。

为了达到上述目的，本发明所采用的技术方案是：

一种基于计算机系统运行状态对拒绝服务攻击的实时处理系统，包括用户使用及配置界面单元、系统运行配置及状态管理单元、系统状态检测器、流量分析器、分析器、决策器、压制执行器和效果评估器，

所述用户使用及配置界面单元，用于使用户安装实时处理系统，部署安装方式；

所述系统运行配置及状态管理单元，用于使用户配置实时处理系统各单元的预设策略；

所述系统状态检测器，用于持续监控计算机系统的运行状态，并且生成持续的状态日志，将实时状态和状态变化进行处理，当运行的状态变化达到预设的触发条件中的一个或者多个，将结果通知分析器；

所述流量分析器，用于持续对网络流量进行采样分析，并且生成持续的网络状态日志，将实时流量和流量变化进行分析处理，并且通过分析器的输入要求进行采样调整，采取不同的分析策略，并将分析结果，实时反馈输出到分析器；

所述分析器，用于根据分析预设策略，对系统状态检测器和流量分析器的输入进行影响分析，确定对策略触发条件影响最大的因素和可疑流量，并且分析确认对压制此可疑流量的可能影响，并将结果输出给决策器；

所述决策器，用于根据分析器的输入，结合决策预设策略进行是否需要执行对应的操作；