[发明专利]防网络攻击流量过载保护的方法、装置和系统

说明书

技术领域

本发明涉及网络通信领域，特别涉及防网络攻击流量过载保护的方法、装置和系统。 

背景技术

DDOS(Distributed Denial of Service，分布式拒绝服务攻击)利用攻击网络对受害主机发起ICMP Flood(Internet Control Message Protocol Flood，因特网控制报文协议泛洪)、SYN flood(synchronization flood，同步泛洪)、UDP flood(user datagram protocol flood，用户数据报协议泛洪)等，使得受害主机忙于处理这些突增请求而无法正常响应合法用户的请求，从而造成瘫痪。整个DDOS攻击主要是指攻击者利用主控主机做跳板(可能多级多层)，控制大量受感染的主机组成攻击网络，来对受害主机进行大规模的拒绝服务攻击(DOS，Denial of Service)。这种分布式攻击能把单个攻击者的攻击以级数形式进行放大，从而对用户主机造成重大影响，对网络也会造成严重拥塞。 

目前DDOS攻击很大程度采用的是合法数据、大流量冲击，对于各种安全防护系统来讲，以往的特征检测很难奏效。 

现有技术提供了一种流量异常检测技术。流量异常检测主要根据各种协议流量正常情况下流量是相对平稳变化的，只有在受到特定攻击时候才会发生明显的突变。流量异常检测一般分两个阶段：一个是学习阶段，一个是工作阶段。在学习阶段，系统通过一些样本流量进行学习，从而建立初始分析模型，也就是基线；然后该系统进入工作状态，对工作的流量信息进行统计，进行流量模型的分析，并把分析结果和基线进行比对。根据比对结果，如果两者差异如果大于阈值则认为异常，则通知相应模块进行相应的流量过滤和清洗，保证攻击流量不能通过该系统到达被保护主机；如果分析结果为正常信息，则把该数据作为分析源数据进行流量学习，并根据学习结果不断修正流量基线，最终把流量输出。 

但是，当洪水流量过大时，依靠清洗和流量滤掉，不能完全过滤，有相当一部分会漏过，这些漏过的洪水流量仍然会使被保护的目标主机瘫痪。 

发明内容

本发明实施例一方面提供了防网络攻击流量过载保护的方法，另一方面提供了防网络攻击流量过载保护的装置和系统，能够解决现有技术的过滤不完全等原因造成的洪水流量对被保护目标主机或服务器的冲击，实现对目标主机或服务器的流量过载保护。 

本发明实施例提供的防网络攻击流量过载保护的方法，包括： 

对接收到的原始数据进行解析整形为预定格式，将整形后的数据包按照预设格式填充到缓存区的链表结构中，并填入相应管理信息；当保存网络数据的缓存区已满时，根据所述相应的管理信息按照预设的丢弃策略判断是否丢弃接收的网络数据； 

如果判断结果为不丢弃，则将所述接收的网络数据存入所述缓存区，替换所述缓存区中原有的网络数据； 

将缓存区中的网络数据取出并向下一级设备发送。 

本发明实施例提供的防网络攻击流量过载保护的装置，包括： 

缓存模块，用于对接收到的原始数据进行解析整形为预定格式，将整形后的数据包按照预设格式填充到缓存区的链表结构中，并填入相应管理信息；保存网络数据； 

判断模块，用于当保存网络数据的缓存模块已满时，根据所述相应的管理信息按照预设的丢弃策略判断是否丢弃接收的网络数据； 

替换模块，用于如果所述判断模块确定为不丢弃接收的网络数据，则将所述接收的网络数据存入所述缓存模块，替换所述缓存模块中原有的网络数据； 

发送模块，用于将所述缓存模块中的网络数据取出并向下一级设备发送。 

本发明实施例提供的防网络攻击流量过载保护的系统，包括： 

网关设备，用于对接收到的原始数据进行解析整形为预定格式，将整形后的数据包按照预设格式填充到缓存区的链表结构中，并填入相应管理信息；当保存网络数据的缓存区已满时，根据所述相应的管理信息按照预设的丢弃策略判断是否丢弃接收的网络数据；如果判断为不丢弃，则将所述接收的网络数据存入所述缓存区，替换所述缓存区中原有的网络数据；将缓存区中的网络数据取出并向下一级设备发送； 

服务器，用于接收所述网关设备发送的网络数据，向发送网络数据的客户端提供服务。