[发明专利]泛洪攻击的防御方法、装置、系统和存储介质

说明书

本发明公开了一种泛洪攻击的防御方法、装置、系统和存储介质，涉及网络安全技术领域。泛洪攻击的防御方法包括：根据防御处理策略生成伯克利包过滤BPF可执行指令；将BPF可执行指令下发给云计算网络中的前端防御节点，以便前端防御节点执行BPF可执行指令。本发明的实施例提出了一种集中编译、分布式部署的架构，通过借助BPF机制，以轻量级、可编程的方式嵌入网络节点收包前端。即使是计算能力较弱的节点，也能够进行有效的防御。从而能够第一时间缓解攻击，提高了泛洪攻击的防御的效果和效率。

技术领域

本发明涉及网络安全技术领域，特别涉及一种泛洪攻击的防御方法、装置、系统和存储介质。

背景技术

网络安全问题一直是学术界和工业界关注的重要问题。泛洪(Flooding)攻击具有存在广泛、危害严重、易于实施的特点，已引起领域内专家学者大量的关注和深入研究。泛洪攻击本质上是一种针对目标服务器或网络设备的资源耗尽型攻击，如TCP SYN泛洪、ICMP泛洪等。泛洪攻击通过大量的恶意访问来挤占正常业务的CPU、内存、带宽等资源，进而导致正常业务访问失败。

云计算环境通常使用硬件防火墙来防御来自外部的泛洪攻击。但对网络内部由被攻破节点发起的泛洪攻击尚无法有效防御，或防御成本较高。云计算中大多数服务节点都基于虚拟机或容器实现，单个节点的处理能力较低，更容易成为泛洪攻击的受害者。

当前主流云计算环境多基于Linux内核提供的iptables模块防御泛洪攻击。但在防御泛洪攻击时对部署节点的资源消耗较大。攻击流量较大时，iptables模块会占用服务节点大量CPU、内存资源，导致业务中断。

云计算环境下也有机制拟将深度学习应用于拒绝服务攻击的防御，可以完成泛洪攻击的实时发现和防御。但此类方法通常计算复杂度高，不利于深度计算的部署。

当前内网泛洪防御机制的共有缺点是大都基于Linux内核协议栈实现，并没有在收到攻击报文第一时间防御丢弃(通常在Netfilter INPUT阶段完成)，导致防御响应时间长，对防御系统本身的冲击也大。

因此，现有技术中进行泛洪攻击的防御的效果较差、效率较低。

发明内容

本发明实施例所要解决的一个技术问题是：如何提高泛洪攻击的防御的效果和效率。

根据本发明一些实施例的第一个方面，提供一种泛洪攻击的防御方法，包括：根据防御处理策略生成伯克利包过滤BPF可执行指令；将BPF可执行指令下发给云计算网络中的前端防御节点，以便前端防御节点执行BPF可执行指令。

在一些实施例中，前端防御节点有多个。

在一些实施例中，防御处理策略包括：响应于接收到的流量为攻击流量，对流量进行限速处理；和/或，对接收到的流量执行流量的报文的特征对应的接入策略。

在一些实施例中，根据每个前端防御节点所属的租户的业务信息和设备能力信息生成节点对应的BPF可执行指令。

在一些实施例中，泛洪攻击的防御方法还包括：根据网络中的泛洪攻击数据和/或业务流量数据，更新防御处理策略。

在一些实施例中，将BPF可执行指令下发给云计算网络中的SDN控制器集群，以便SDN控制器集群将BPF可执行指令下发给前端防御节点。

在一些实施例中，泛洪攻击的防御方法还包括：SDN控制器集群通过Netconf协议将BPF可执行指令下发给云计算网络中的前端防御节点。

根据本发明一些实施例的第二个方面，提供一种泛洪攻击的防御装置，包括：指令生成模块，被配置为根据防御处理策略生成伯克利包过滤BPF可执行指令；指令下发模块，被配置为将BPF可执行指令下发给云计算网络中的前端防御节点，以便前端防御节点执行BPF可执行指令。