技術領域

本發明涉及應用于網絡信息安全保障的一種分布式近威脅源攻擊阻斷方法及其裝置，屬于網絡空間安全技術領域。

背景技術

目前互聯網上網絡攻擊越來越多，不但使服務器癱瘓，而且導致網絡資源大量消耗、有效流量減少、網絡可用性降低等。傳統防御策略常采用防火墻或安全網關在受攻擊者附近(近受害者)，例如數據中心入口，阻斷入侵的網絡攻擊，能夠阻斷包括分布式服務拒絕攻擊(DDoS)在內的大量攻擊，保護數據中心的服務器。但是，這種防御策略不能夠防止攻擊流量對網絡資源的消耗，放任攻擊流量在防火墻外任意地占用網絡資源。

隨著網絡結構的改進、下一代互聯網體系架構的提出、5G網絡安全性的提高、天地一體化網絡總體方案的確定等，網絡信息安全保障策略不是成為網絡中的安全補丁，而是被融入到網絡自身中，成為網絡一個重要的組成部分，甚至成為網絡設備的模塊，包括但不限于網絡終端的認證、簽名、攻擊檢測等模塊。

另外一方面，隨著網絡信息安全數據收集和匯聚、面向信息安全分析的數據挖掘技術的提升、網絡信息安全態勢分析系統的部署，很多網絡攻擊檢測手段，不局限于防火墻單點的分析，已經被部署到網絡各個傳感器、離線的流量分析器和數據挖掘服務器上，對網絡攻擊的分析更加細致和齊全。

發明內容

本發明提出一種分布式近威脅源攻擊阻斷方法及其裝置，為網絡安全環境提供一種阻斷網絡手段。本發明通過接受來自攻擊檢測方傳遞來的攻擊類型與路徑，依據安全網關的部署，求得近威脅源的攻擊阻斷執行安全網關，簡稱為執行安全網關，在執行安全網關上阻斷網絡攻擊。

本發明提供的分布式近威脅源攻擊阻斷裝置，包括聯動防護控制模塊和攻擊阻斷執行模塊；聯動防護控制模塊部署在網絡的防護系統中，攻擊阻斷執行模塊部署在網絡的每個安全網關中。所述的聯動防護控制模塊接收網絡中攻擊路徑與攻擊類型信息，計算支持近威脅源攻擊阻斷的執行安全網關，分發攻擊阻斷指令給攻擊阻斷執行模塊，并獲取執行結果。所述的攻擊阻斷執行模塊接收攻擊阻斷指令，控制執行安全網關執行攻擊阻斷指令，并反饋執行結果給聯動防護控制模塊。

所述的聯動防護控制模塊，還包括攻擊阻斷控制效果研判與異常處理，根據攻擊阻斷執行模塊反饋的執行結果進行效果研判，對未順利阻斷的指令，向防護系統提交報警信息。

本發明提供的分布式近威脅源攻擊阻斷方法，包括：

(1)在聯動防護控制模塊中配置安全網關集合；

(2)聯動防護控制模塊接收與分解攻擊信息，獲取攻擊路徑和攻擊類型；

(3)聯動防護控制模塊求得每條估計路徑上支持近威脅源攻擊阻斷的執行安全網關；

(4)聯動防護模塊向執行安全網關發送阻斷指令，匯聚和收集阻斷指令反饋；

(5)執行安全網關中的攻擊阻斷執行模塊執行阻斷指令，產生阻斷動作；

(6)攻擊阻斷執行模塊分析阻斷效果性能指標，獲取執行效果發送給聯動防護控制模塊；

(7)聯動防護控制模塊匯聚執行效果，研判執行結果，對于執行失敗的阻斷指令，向防護系統告警。

本發明的優點與積極效果在于：(1)本發明配置安全網關信息，可以了解全網的安全網關數量，可以選擇性部署攻擊阻斷策略。(2)本發明計算執行安全網關，依據安全網關集合和攻擊路徑可以計算出執行安全網關。(3)本發明可以減少攻擊對網絡資源的消耗，選擇近威脅源的安全網關為執行安全網關，可以最大限度地防止攻擊流量在網絡中流動，減少了攻擊流量，提高了網絡中流量有效率。

附圖說明

圖1是本發明提供的分布式近威脅源攻擊阻斷裝置中模塊布置示意圖；

圖2是本發明提供的分布式近威脅源攻擊阻斷裝置及方法實現阻斷機制的示意圖。

具體實施方式

下面將結合附圖和實施例對本發明作進一步的詳細說明。所描述的實施例也僅僅是本發明的一部分實施例，而不是全部實施例。基于本發明中的實施例，本領域普通技術人員在沒有做出創造性勞動前提下所獲得的所有其他實施例，都屬于本發明保護的范圍。