[发明专利]网络攻击防护方法、设备及系统

说明书

技术领域

本发明涉及网络安全技术领域，具体涉及一种网络攻击防护方法、设备及系统。

背景技术

分布式拒绝服务(DDOS，Distribution Denial Of Service)攻击是一种主控者利用攻击控制主机做跳板，控制大量受感染而被控制的攻击主机组成攻击网络来对受害主机进行大规模的拒绝服务攻击的网络攻击行为。分布式拒绝服务攻击通常利用攻击网络对受害主机发起大量服务请求报文，使得受害主机忙于处理这些突发请求，而无法正常响应合法用户请求，从而造成受害主机瘫痪。

现有技术中提出了一种通过DDOS清洗设备来对服务请求进行清洗的网络攻击防护方法。该方法主要通过攻击探测设备对网络攻击行为进行探测，在探测到网络攻击后，通知DDOS清洗设备，DDOS清洗设备向路由器发送指令，使得目标服务器(即受害主机)的数据包全部从路由器引流到DDOS清洗设备，在DDOS清洗设备对数据包进行清洗后，再返回给路由器，最终由路由器将清洗后的数据发送给目标服务器。

发明人在研究现有技术的过程中发现，现有的网络攻击防护方法主要对受害主机进行保护，只能在大流量的DDOS攻击到达了受害主机才进行清洗，而此时大流量的DDOS攻击已经造成了受害主机的上游网络堵塞，浪费了网络带宽。

发明内容

本发明提供一种防止受害主机的上游网络发生堵塞的网络攻击防护方法、设备及系统。

本发明实施例提供的网络攻击防护方法，包括：

接收攻击源信息，所述攻击源信息中携带有攻击主机的地址信息；

根据所述攻击主机的地址信息以及预设的主机与网关之间的对应关系获得所述攻击主机对应的网关的地址信息；

根据所述攻击主机对应的网关的地址信息向所述攻击主机对应的网关发送第一控制消息，所述第一控制消息指示所述攻击主机对应的网关对所述攻击主机的流量进行控制。

本发明实施例还提供一种网络攻击防护方法，该方法包括：

接收攻击源信息，所述攻击源信息中携带有攻击主机的地址信息；

根据所述攻击主机的地址信息获得所述攻击主机所属的攻击网络中攻击控制主机的地址信息；

根据所述攻击控制主机的地址信息以及预设的主机与网关之间的对应关

系获得所述攻击控制主机对应的网关的地址信息；

根据所述攻击控制主机对应的网关的地址信息向所述攻击控制主机对应的网关发送第二控制消息，所述第二控制消息指示所述攻击控制主机对应的网关对所述攻击控制主机的流量进行控制。

本发明实施例还提供一种网络攻击防护设备，包括：

接收单元，用于接收攻击源信息，所述攻击源信息中携带有攻击主机的地址信息；

第一获取单元，用于根据所述攻击主机的地址信息以及预设的主机与网

关之间的对应关系，获得所述攻击主机对应的网关的地址信息；

处理单元，用于根据所述攻击主机对应的网关的地址信息向所述攻击主机对应的网关发送第一控制消息，所述第一控制消息指示所述攻击主机对应的网关对所述攻击主机的流量进行控制。

本发明实施例还提供一种网络攻击防护设备，包括：

接收模块，用于接收攻击源信息，所述攻击源信息携带攻击主机的地址信息；

第一获取模块，用于根据所述接收模块所接收的所述攻击主机的地址信息获得所述攻击主机所属的攻击网络中攻击控制主机的地址信息；

第二获取模块，用于根据所述攻击控制主机的地址信息以及预设的主机与网关之间的对应关系获得所述攻击控制主机对应的网关的地址信息；

处理模块，用于根据所述攻击控制主机对应的网关的地址信息向所述攻击控制主机对应的网关发送第二控制消息，所述第二控制消息指示所述攻击控制主机对应的网关对所述攻击控制主机的流量进行控制。

本发明实施例还提供一种网络攻击防护系统，包括网络攻击检测设备、网络攻击防护设备、攻击网络监控设备以及网关，其中：

所述网络攻击检测设备，用于检测网络中的攻击源，并向网络攻击防护设备发送攻击源信息，所述攻击源信息中携带有攻击主机的地址信息；

所述网络攻击防护设备，用于接收所述网络攻击检测设备发送的攻击源信息，根据所述攻击源信息向所述攻击网络监控设备查询所述攻击主机所属攻击网络中的攻击控制主机的地址信息，并根据所述攻击控制主机的地址信息以及预设的主机与网关之间的对应关系获得所述攻击控制主机对应的网关的地址信息，向所述攻击控制主机对应的网关发送控制消息，所述控制消息指示所述攻击控制主机对应的网关对所述攻击控制主机的流量进行控制；