一種動態(tài)地適應(yīng)服務(wù)器性能的防攻擊方法和設(shè)備的制作方法
【專利摘要】本發(fā)明公開了一種動態(tài)地適應(yīng)服務(wù)器性能的防攻擊方法和設(shè)備，該方法包括：網(wǎng)絡(luò)設(shè)備計算連接會話數(shù)量和半連接率；當(dāng)連接會話數(shù)量大于預(yù)設(shè)第一閾值，半連接率不大于預(yù)設(shè)第二閾值時，網(wǎng)絡(luò)設(shè)備調(diào)整預(yù)設(shè)第一閾值為當(dāng)前預(yù)設(shè)第一閾值與M之和，并設(shè)置服務(wù)器的狀態(tài)為正常狀態(tài)；當(dāng)連接會話數(shù)量大于預(yù)設(shè)第一閾值，半連接率大于預(yù)設(shè)第二閾值時，網(wǎng)絡(luò)設(shè)備調(diào)整預(yù)設(shè)第一閾值為當(dāng)前預(yù)設(shè)第一閾值與N之差，并設(shè)置服務(wù)器的狀態(tài)為攻擊狀態(tài)；網(wǎng)絡(luò)設(shè)備在服務(wù)器的狀態(tài)為正常狀態(tài)時，允許向服務(wù)器發(fā)送報文；在服務(wù)器的狀態(tài)為攻擊狀態(tài)時，丟棄向服務(wù)器發(fā)送的報文。本發(fā)明實(shí)施例中，可以得每個服務(wù)器都響應(yīng)正常的連接會話，并且可以承受一定的DOS攻擊。
【專利說明】一種動態(tài)地適應(yīng)服務(wù)器性能的防攻擊方法和設(shè)備

【技術(shù)領(lǐng)域】
[0001 ] 本發(fā)明涉及通信【技術(shù)領(lǐng)域】，尤其是涉及了一種動態(tài)地適應(yīng)服務(wù)器性能的防攻擊方法和設(shè)備。

【背景技術(shù)】
[0002]DOS (Deny Of Service，拒絕服務(wù))攻擊是指:攻擊者使用大量數(shù)據(jù)包堵塞服務(wù)器對外提供的服務(wù)，使服務(wù)器無法接受正常用戶的請求。例如，攻擊者利用協(xié)議棧向服務(wù)器發(fā)送大量半連接報文，這些半連接報文會導(dǎo)致服務(wù)器維護(hù)大量半連接會話，這些半連接會話會消耗服務(wù)器的大量資源，導(dǎo)致正常用戶無法訪問服務(wù)器，直到半連接會話超時被刪除，月艮務(wù)器的資源才被釋放。
[0003]如圖1所示，為DOS攻擊網(wǎng)絡(luò)的組網(wǎng)示意圖，防火墻設(shè)備所保護(hù)的私網(wǎng)內(nèi)下掛了多個受保護(hù)的服務(wù)器。為了避免DOS攻擊，防火墻設(shè)備會為每個服務(wù)器配置相同的閾值，當(dāng)向某個服務(wù)器發(fā)送報文的速率超過配置的閾值時，則防火墻設(shè)備將丟棄向該服務(wù)器發(fā)送的報文；當(dāng)向該服務(wù)器發(fā)送報文的速率未超過配置的閾值時，則防火墻設(shè)備將允許向該服務(wù)器發(fā)送的報文通過。
[0004]但是，由于多個受保護(hù)的服務(wù)器的性能可能并不一樣，因此，如果上述配置的閾值很低，則會導(dǎo)致性能高的服務(wù)器不能發(fā)揮其高性能的特性；進(jìn)一步的，如果上述配置的閾值很高，則會導(dǎo)致性能低的服務(wù)器的負(fù)載過重。


【發(fā)明內(nèi)容】

[0005]本發(fā)明實(shí)施例提供一種動態(tài)地適應(yīng)服務(wù)器性能的防攻擊方法，所述方法包括以下步驟:
[0006]網(wǎng)絡(luò)設(shè)備統(tǒng)計服務(wù)器對應(yīng)的全連接會話數(shù)量和半連接會話數(shù)量，并利用所述全連接會話數(shù)量和所述半連接會話數(shù)量計算連接會話數(shù)量和半連接率；
[0007]當(dāng)所述連接會話數(shù)量大于預(yù)設(shè)第一閾值，并且所述半連接率不大于預(yù)設(shè)第二閾值時，所述網(wǎng)絡(luò)設(shè)備調(diào)整預(yù)設(shè)第一閾值為當(dāng)前預(yù)設(shè)第一閾值與M之和，并設(shè)置所述服務(wù)器的狀態(tài)為正常狀態(tài)；其中，所述M為正整數(shù)；
[0008]當(dāng)所述連接會話數(shù)量大于預(yù)設(shè)第一閾值，并且所述半連接率大于預(yù)設(shè)第二閾值時，所述網(wǎng)絡(luò)設(shè)備調(diào)整預(yù)設(shè)第一閾值為當(dāng)前預(yù)設(shè)第一閾值與N之差，并設(shè)置所述服務(wù)器的狀態(tài)為攻擊狀態(tài)；其中，所述N為正整數(shù)；
[0009]所述網(wǎng)絡(luò)設(shè)備在所述服務(wù)器的狀態(tài)為正常狀態(tài)時，允許向所述服務(wù)器發(fā)送報文；在所述服務(wù)器的狀態(tài)為攻擊狀態(tài)時，丟棄向所述服務(wù)器發(fā)送的報文。
[0010]所述網(wǎng)絡(luò)設(shè)備利用所述全連接會話數(shù)量和所述半連接會話數(shù)量計算連接會話數(shù)量和半連接率，具體包括:
[0011]所述網(wǎng)絡(luò)設(shè)備計算所述連接會話數(shù)量為全連接會話數(shù)量與半連接會話數(shù)量之和，并計算所述半連接率為半連接會話數(shù)量除以所述連接會話數(shù)量。
[0012]所述方法進(jìn)一步包括:
[0013]在調(diào)整預(yù)設(shè)第一閾值為當(dāng)前預(yù)設(shè)第一閾值與N之差時，如果當(dāng)前預(yù)設(shè)第一閾值與N之差小于所述服務(wù)器對應(yīng)的初始連接配置限制值，則所述網(wǎng)絡(luò)設(shè)備調(diào)整預(yù)設(shè)第一閾值為所述服務(wù)器對應(yīng)的初始連接配置限制值。
[0014]所述方法進(jìn)一步包括:
[0015]所述網(wǎng)絡(luò)設(shè)備為服務(wù)器維護(hù)統(tǒng)計節(jié)點(diǎn)表項(xiàng)，所述統(tǒng)計節(jié)點(diǎn)表項(xiàng)中記錄有所述服務(wù)器對應(yīng)的IP地址、預(yù)設(shè)第一閾值、連接會話數(shù)量、半連接率、狀態(tài)。
[0016]所述網(wǎng)絡(luò)設(shè)備具體包括防火墻設(shè)備，所述防火墻設(shè)備所保護(hù)的私網(wǎng)內(nèi)下掛一個或者多個受保護(hù)的服務(wù)器。
[0017]本發(fā)明實(shí)施例提供一種網(wǎng)絡(luò)設(shè)備，所述網(wǎng)絡(luò)設(shè)備具體包括:
[0018]計算模塊，用于統(tǒng)計服務(wù)器對應(yīng)的全連接會話數(shù)量和半連接會話數(shù)量，并利用全連接會話數(shù)量和半連接會話數(shù)量計算連接會話數(shù)量和半連接率；
[0019]調(diào)整模塊，用于當(dāng)所述連接會話數(shù)量大于預(yù)設(shè)第一閾值，并且所述半連接率不大于預(yù)設(shè)第二閾值時，調(diào)整預(yù)設(shè)第一閾值為當(dāng)前預(yù)設(shè)第一閾值與M之和，并設(shè)置所述服務(wù)器的狀態(tài)為正常狀態(tài)；其中，所述M為正整數(shù)；
[0020]當(dāng)所述連接會話數(shù)量大于預(yù)設(shè)第一閾值，并且所述半連接率大于預(yù)設(shè)第二閾值時，調(diào)整預(yù)設(shè)第一閾值為當(dāng)前預(yù)設(shè)第一閾值與N之差，并設(shè)置所述服務(wù)器的狀態(tài)為攻擊狀態(tài)；其中，所述N為正整數(shù)；
[0021]處理模塊，用于在服務(wù)器的狀態(tài)為正常狀態(tài)時，允許向所述服務(wù)器發(fā)送報文；在服務(wù)器的狀態(tài)為攻擊狀態(tài)時，丟棄向所述服務(wù)器發(fā)送的報文。
[0022]所述計算模塊，具體用于在利用全連接會話數(shù)量和半連接會話數(shù)量計算連接會話數(shù)量和半連接率時，計算連接會話數(shù)量為全連接會話數(shù)量與半連接會話數(shù)量之和，并計算半連接率為半連接會話數(shù)量除以所述連接會話數(shù)量。
[0023]所述調(diào)整模塊，進(jìn)一步用于在調(diào)整預(yù)設(shè)第一閾值為當(dāng)前預(yù)設(shè)第一閾值與N之差時，如果當(dāng)前預(yù)設(shè)第一閾值與N之差小于所述服務(wù)器對應(yīng)的初始連接配置限制值，則調(diào)整預(yù)設(shè)第一閾值為所述服務(wù)器對應(yīng)的初始連接配置限制值。
[0024]還包括:
[0025]維護(hù)模塊，用于為服務(wù)器維護(hù)統(tǒng)計節(jié)點(diǎn)表項(xiàng)，該統(tǒng)計節(jié)點(diǎn)表項(xiàng)中記錄有所述服務(wù)器對應(yīng)的IP地址、預(yù)設(shè)第一閾值、連接會話數(shù)量、半連接率、狀態(tài)。
[0026]所述網(wǎng)絡(luò)設(shè)備具體包括防火墻設(shè)備，所述防火墻設(shè)備所保護(hù)的私網(wǎng)內(nèi)下掛一個或者多個受保護(hù)的服務(wù)器。
[0027]基于上述技術(shù)方案，本發(fā)明實(shí)施例中，在多個受保護(hù)的服務(wù)器的性能并不一樣時，網(wǎng)絡(luò)設(shè)備能夠?yàn)槊總€服務(wù)器分別配置連接會話數(shù)量的閾值，并且在網(wǎng)絡(luò)設(shè)備所保護(hù)的服務(wù)器達(dá)到性能瓶頸或者遭受DOS攻擊時，網(wǎng)絡(luò)設(shè)備可以根據(jù)服務(wù)器的性能和狀態(tài)自動調(diào)整該服務(wù)器的連接會話數(shù)量的閾值，使得每個服務(wù)器都可以響應(yīng)正常的連接會話，也可以承受一定的DOS攻擊。

【專利附圖】

【附圖說明】
[0028]圖1是DOS攻擊網(wǎng)絡(luò)的組網(wǎng)示意圖；
[0029]圖2是本發(fā)明實(shí)施例提供的一種動態(tài)地適應(yīng)服務(wù)器性能的防攻擊方法流程示意圖；
[0030]圖3是本發(fā)明實(shí)施例提供的一種網(wǎng)絡(luò)設(shè)備的結(jié)構(gòu)示意圖。

【具體實(shí)施方式】
[0031]針對現(xiàn)有技術(shù)中存在的問題，本發(fā)明實(shí)施例提供一種動態(tài)地適應(yīng)服務(wù)器性能的防攻擊方法，該方法應(yīng)用在網(wǎng)絡(luò)設(shè)備所保護(hù)的私網(wǎng)內(nèi)下掛一個或者多個受保護(hù)的服務(wù)器的網(wǎng)絡(luò)中。以圖1為本發(fā)明實(shí)施例的應(yīng)用場景示意圖，在網(wǎng)絡(luò)設(shè)備所保護(hù)的私網(wǎng)內(nèi)下掛了多個受保護(hù)的服務(wù)器，多個受保護(hù)的服務(wù)器分別為HTTP (Hyper Text Transfer Protocol,超文本傳輸協(xié)議)服務(wù)器、SMTP (Simple Mail Transfer Protocol,簡單郵件傳輸協(xié)議)服務(wù)器、DNS(Domain Name System,域名系統(tǒng))服務(wù)器、FTP(File Transfer Protocol,文件傳輸協(xié)議)服務(wù)器等。其中，該網(wǎng)絡(luò)設(shè)備具體包括但不限于防火墻設(shè)備、高端路由器設(shè)備等。
[0032]本發(fā)明實(shí)施例中，對于各服務(wù)器的處理方式相同，下面以一個服務(wù)器(如HTTP服務(wù)器)的處理為例，對本發(fā)明實(shí)施例提供的技術(shù)方案進(jìn)行詳細(xì)說明。如圖2所示，該動態(tài)地適應(yīng)服務(wù)器性能的防攻擊方法具體可以包括以下步驟:
[0033]步驟201，網(wǎng)絡(luò)設(shè)備統(tǒng)計服務(wù)器對應(yīng)的全連接會話數(shù)量和半連接會話數(shù)量，并利用全連接會話數(shù)量和半連接會話數(shù)量計算連接會話數(shù)量和半連接率。
[0034]其中，全連接會話是指已經(jīng)成功建立連接的會話，對于正常用戶，其會在短時間內(nèi)與服務(wù)器建立連接，因此正常用戶的連接會話通常是全連接會話。半連接會話是指沒有成功建立連接的會話，對于攻擊者，其會在很長時間內(nèi)與服務(wù)器保持半連接狀態(tài)，即攻擊者通過向服務(wù)器發(fā)送大量半連接報文，使得服務(wù)器維護(hù)大量的半連接會話，因此攻擊者的連接會話通常是半連接會話。在服務(wù)器與正常用戶、攻擊者建立會話的過程中，網(wǎng)絡(luò)設(shè)備能夠統(tǒng)計出服務(wù)器對應(yīng)的全連接會話數(shù)量，并能夠統(tǒng)計出服務(wù)器對應(yīng)的半連接會話數(shù)量。
[0035]本發(fā)明實(shí)施例中，網(wǎng)絡(luò)設(shè)備利用全連接會話數(shù)量和半連接會話數(shù)量計算連接會話數(shù)量和半連接率的過程，具體包括:網(wǎng)絡(luò)設(shè)備計算連接會話數(shù)量為全連接會話數(shù)量與半連接會話數(shù)量之和，即連接會話數(shù)量=全連接會話數(shù)量+半連接會話數(shù)量，并計算半連接率為半連接會話數(shù)量除以連接會話數(shù)量，即半連接率=半連接會話數(shù)量/(全連接會話數(shù)量+半連接會話數(shù)量)。
[0036]本發(fā)明實(shí)施例中，網(wǎng)絡(luò)設(shè)備可以為每個服務(wù)器維護(hù)一個統(tǒng)計節(jié)點(diǎn)表項(xiàng)，且該統(tǒng)計節(jié)點(diǎn)表項(xiàng)中記錄有服務(wù)器對應(yīng)的IP地址、預(yù)設(shè)第一閾值、連接會話數(shù)量、半連接率和狀態(tài)。基于此，當(dāng)服務(wù)器(如HTTP服務(wù)器)開始對外網(wǎng)提供服務(wù)之后，一旦有用戶訪問到該HTTP服務(wù)器，則網(wǎng)絡(luò)設(shè)備會生成該HTTP服務(wù)器對應(yīng)的統(tǒng)計節(jié)點(diǎn)表項(xiàng)，如表I所示。該統(tǒng)計節(jié)點(diǎn)表項(xiàng)中記錄的IP地址為HTTP服務(wù)器的IP地址；預(yù)設(shè)第一閾值為管理員初始配置的HTTP服務(wù)器對應(yīng)的初始連接配置限制值，如管理員配置初始連接配置限制值為800時，預(yù)設(shè)第一閾值為800 ;連接會話數(shù)量和半連接率由網(wǎng)絡(luò)設(shè)備通過步驟201的過程確定；狀態(tài)有正常狀態(tài)和攻擊狀態(tài)兩種，且狀態(tài)的初始值為正常狀態(tài)。
[0037]表I
[0038]

【權(quán)利要求】
1.一種動態(tài)地適應(yīng)服務(wù)器性能的防攻擊方法，其特征在于，該方法包括: 網(wǎng)絡(luò)設(shè)備統(tǒng)計服務(wù)器對應(yīng)的全連接會話數(shù)量和半連接會話數(shù)量，并利用所述全連接會話數(shù)量和所述半連接會話數(shù)量計算連接會話數(shù)量和半連接率； 當(dāng)所述連接會話數(shù)量大于預(yù)設(shè)第一閾值，并且所述半連接率不大于預(yù)設(shè)第二閾值時，所述網(wǎng)絡(luò)設(shè)備調(diào)整預(yù)設(shè)第一閾值為當(dāng)前預(yù)設(shè)第一閾值與M之和，并設(shè)置所述服務(wù)器的狀態(tài)為正常狀態(tài)；其中，所述M為正整數(shù)； 當(dāng)所述連接會話數(shù)量大于預(yù)設(shè)第一閾值，并且所述半連接率大于預(yù)設(shè)第二閾值時，所述網(wǎng)絡(luò)設(shè)備調(diào)整預(yù)設(shè)第一閾值為當(dāng)前預(yù)設(shè)第一閾值與N之差，并設(shè)置所述服務(wù)器的狀態(tài)為攻擊狀態(tài)；其中，所述N為正整數(shù)； 所述網(wǎng)絡(luò)設(shè)備在所述服務(wù)器的狀態(tài)為正常狀態(tài)時，允許向所述服務(wù)器發(fā)送報文；在所述服務(wù)器的狀態(tài)為攻擊狀態(tài)時，丟棄向所述服務(wù)器發(fā)送的報文。
2.如權(quán)利要求1所述的方法，其特征在于，所述網(wǎng)絡(luò)設(shè)備利用所述全連接會話數(shù)量和所述半連接會話數(shù)量計算連接會話數(shù)量和半連接率，具體包括: 所述網(wǎng)絡(luò)設(shè)備計算所述連接會話數(shù)量為全連接會話數(shù)量與半連接會話數(shù)量之和，并計算所述半連接率為半連接會話數(shù)量除以所述連接會話數(shù)量。
3.如權(quán)利要求1所述的方法，其特征在于，所述方法進(jìn)一步包括: 在調(diào)整預(yù)設(shè)第一閾值為當(dāng)前預(yù)設(shè)第一閾值與N之差時，如果當(dāng)前預(yù)設(shè)第一閾值與N之差小于所述服務(wù)器對應(yīng)的初始連接配置限制值，則所述網(wǎng)絡(luò)設(shè)備調(diào)整預(yù)設(shè)第一閾值為所述服務(wù)器對應(yīng)的初始連接配置限制值。
4.如權(quán)利要求1所述的方法，其特征在于，所述方法進(jìn)一步包括: 所述網(wǎng)絡(luò)設(shè)備為服務(wù)器維護(hù)統(tǒng)計節(jié)點(diǎn)表項(xiàng)，所述統(tǒng)計節(jié)點(diǎn)表項(xiàng)中記錄有所述服務(wù)器對應(yīng)的IP地址、預(yù)設(shè)第一閾值、連接會話數(shù)量、半連接率、狀態(tài)。
5.如權(quán)利要求1-4任一項(xiàng)所述的方法,其特征在于， 所述網(wǎng)絡(luò)設(shè)備具體包括防火墻設(shè)備，所述防火墻設(shè)備所保護(hù)的私網(wǎng)內(nèi)下掛一個或者多個受保護(hù)的服務(wù)器。
6.一種網(wǎng)絡(luò)設(shè)備，其特征在于，所述網(wǎng)絡(luò)設(shè)備具體包括: 計算模塊，用于統(tǒng)計服務(wù)器對應(yīng)的全連接會話數(shù)量和半連接會話數(shù)量，并利用全連接會話數(shù)量和半連接會話數(shù)量計算連接會話數(shù)量和半連接率； 調(diào)整模塊，用于當(dāng)所述連接會話數(shù)量大于預(yù)設(shè)第一閾值，并且所述半連接率不大于預(yù)設(shè)第二閾值時，調(diào)整預(yù)設(shè)第一閾值為當(dāng)前預(yù)設(shè)第一閾值與M之和，并設(shè)置所述服務(wù)器的狀態(tài)為正常狀態(tài)；其中，所述M為正整數(shù)； 當(dāng)所述連接會話數(shù)量大于預(yù)設(shè)第一閾值，并且所述半連接率大于預(yù)設(shè)第二閾值時，調(diào)整預(yù)設(shè)第一閾值為當(dāng)前預(yù)設(shè)第一閾值與N之差，并設(shè)置所述服務(wù)器的狀態(tài)為攻擊狀態(tài)；其中，所述N為正整數(shù)； 處理模塊，用于在服務(wù)器的狀態(tài)為正常狀態(tài)時，允許向所述服務(wù)器發(fā)送報文；在服務(wù)器的狀態(tài)為攻擊狀態(tài)時，丟棄向所述服務(wù)器發(fā)送的報文。
7.如權(quán)利要求6所述的網(wǎng)絡(luò)設(shè)備，其特征在于， 所述計算模塊，具體用于在利用全連接會話數(shù)量和半連接會話數(shù)量計算連接會話數(shù)量和半連接率時，計算連接會話數(shù)量為全連接會話數(shù)量與半連接會話數(shù)量之和，并計算半連接率為半連接會話數(shù)量除以所述連接會話數(shù)量。
8.如權(quán)利要求6所述的網(wǎng)絡(luò)設(shè)備，其特征在于， 所述調(diào)整模塊，進(jìn)一步用于在調(diào)整預(yù)設(shè)第一閾值為當(dāng)前預(yù)設(shè)第一閾值與N之差時，如果當(dāng)前預(yù)設(shè)第一閾值與N之差小于所述服務(wù)器對應(yīng)的初始連接配置限制值，則調(diào)整預(yù)設(shè)第一閾值為所述服務(wù)器對應(yīng)的初始連接配置限制值。
9.如權(quán)利要求6所述的網(wǎng)絡(luò)設(shè)備，其特征在于，還包括: 維護(hù)模塊，用于為服務(wù)器維護(hù)統(tǒng)計節(jié)點(diǎn)表項(xiàng)，該統(tǒng)計節(jié)點(diǎn)表項(xiàng)中記錄有所述服務(wù)器對應(yīng)的IP地址、預(yù)設(shè)第一閾值、連接會話數(shù)量、半連接率、狀態(tài)。
10.如權(quán)利要求6-9任一項(xiàng)所述的網(wǎng)絡(luò)設(shè)備，其特征在于， 所述網(wǎng)絡(luò)設(shè)備具體包括防火墻設(shè)備，所述防火墻設(shè)備所保護(hù)的私網(wǎng)內(nèi)下掛一個或者多個受保護(hù)的服務(wù)器。
【文檔編號】H04L29/08GK104202297SQ201410369907
【公開日】2014年12月10日 申請日期:2014年7月30日 優(yōu)先權(quán)日:2014年7月30日
【發(fā)明者】王國利, 郗二軍 申請人:杭州華三通信技術(shù)有限公司