[发明专利]应用于CDN系统内的DDoS攻击主动防御技术及装备

说明书

本发明涉及系统防御技术领域，具体涉及一种应用于CDN系统内的DDoS攻击主动防御技术及装备，本发明针对CDN系统提出了一种新的防御机制，在这种机制下，对网络中每个节点进行侦测，并将整个网络分成信任(安全)、不信任、攻击等三个区域，再利用防御包携带防御代码并修补安全漏洞。本发明将网络划分成不同的区域，提高了抗攻击的针对性；提供了一种主动防御技术，依靠各节点之间安全状态的主动通报机制，提高了抗DDoS攻击的主动性。这种方式对于针对CDN系统的DDoS攻击有着非常好的防范作用，具有很强的创造性。

技术领域

本发明涉及系统防御技术领域，具体涉及一种应用于CDN系统内的DDoS攻击主动防御技术及装备。

背景技术

分布式拒绝服务攻击(DDoS攻击)指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DDoS攻击，从而成倍地提高拒绝服务攻击的威力。通常，攻击者使用一个偷窃帐号将DDoS主控程序安装在一个计算机上，在一个设定的时间主控程序将与大量代理程序通讯，代理程序已经被安装在网络上的许多计算机上。代理程序收到指令时就发动攻击。利用客户/服务器技术，主控程序能在几秒钟内激活成百上千次代理程序的运行。

目前针对DDoS攻击有很多种防御技术及相关的设备，对DDoS攻击能起到一定的防御及清洗作用。这些防范技术都有一个共同的特点是将这个网络作为一个整体来对待，缺乏对整体网络区域属性进行有机细分，这样对DDoS设备的性能影响及防范效果造成一定的影响。CDN系统作为一个分布式的服务器进群，由很多个节点集群组成，这些集群构成一个个的网络区域。本发明针对CDN系统提出了一种新的防御机制，在这种机制下，对网络中每个节点进行侦测，并将整个网络分成信任(安全)、不信任、攻击等三个区域，再利用防御包携带防御代码并修补安全漏洞。本发明的优点一是将网络划分成不同的区域，提高了抗攻击的针对性；其二是提供了一种主动防御技术，依靠各节点之间安全状态的主动通报机制，提高了抗DDoS攻击的主动性。这种方式对于针对CDN系统的DDoS攻击有着非常好的防范作用。

发明内容

针对现有技术的不足，本发明公开了一种应用于CDN系统内的DDoS攻击主动防御技术及装备，在这种机制下，对网络中每个节点进行侦测，并将整个网络分成信任(安全)、不信任、攻击等三个区域，再利用防御包携带防御代码并修补安全漏洞。

本发明通过以下技术方案予以实现：

一种应用于CDN系统内的DDoS攻击主动防御技术及装备，其特征在于：包括主动式防御网络模块、主动防御机制和对未知攻击的侦测，所述主动式防御网络模块包括分析模块、防御攻击模块和区域模块，所述主动防御机制由网管节点发布特定防御包给所有的子网络节点，每个节点在收到防御码后，针对特定攻击纪录的属性去清查该点是否遭受攻击或是在转送攻击包，所述对未知攻击的侦测在网管节点发布未知攻击的侦测包之后，子网域内各节点开接收防御包，并且依序确认该网络节点是否遭受到攻击和是否转送攻击包。

优选的，所述分析模块具备流量搜集与协议分析功能，首先搜集网络节点的流量统计与应用程序使用状况，并且持续监测系统资源的使用度，分析模块还可与网管中心进行通信，接收由网管中心下发的特定补丁包，这些补丁包记录了DDoS攻击的特性，即攻击特征库。在疑似攻击现象发生时，分析模块将根据补丁包的内容对疑似攻击流量进行分析，依攻击所记录的属性，判别并过滤出可能的攻击包。

优选的，所述属性所包括的信息有:

(1)网络地址；

(2)该攻击包所属的子网域；

(3)所使用的网络协议；

(4)单位时间内所接收到相同包的标准值以及针对单位时间内所接收到相同流量的标准值。