本发明涉及网络安全技术领域,特别涉及一种缓解信息处理方法、服务器及文件跟踪系统。
背景技术
为了在全网(全球)范围内对分布式拒绝服务(Distributed Denial of Service,DDoS)攻击进行防御,互联网工程任务组(Internet Engineering Task Force,IETF)提出了文件跟踪系统(Document Tracking System,DOTS)框架。该框架用于自动化和标准化DDoS对策,能屏蔽各种抗DDoS方案的差异性。
DOTS框架包括以下四部分:受攻击对象(Attack Target),DOTS客户端(DOTS Client),DOTS服务端(DOTS Server),缓解提供商(Mitigator);受攻击对象监测到DDoS攻击,将攻击详情告知DOTS Client,DOTS Client向DOTS Server发出缓解请求,DOTS Server接收请求并通知Mitigator开始缓解服务。DOTS client发送给DOTS server的攻击信息称为遥测(telemetry)信息,telemetry信息分为缓解前、中、后信息。
Telemetry信息包括总流量、总攻击流量、总攻击连接数、攻击详情,攻击详情中包括:攻击紧急程度、攻击类型描述、攻击开始时间、攻击结束时间、攻击源数量、攻击源top N。
DDoS攻击在全球范围内存在,目前各个运营商、抗DDoS服务提供商、厂商自建的抗DDoS服务等都在一定程度上具备防御DDoS的能力,DOTS的提出能够让全球具备抗DDoS能力的设备、系统等各种资源充分利用共同抵抗DDoS攻击。所有参防御DDoS攻击的节点都可以部署DOTS Server,但是现有的DOTS标准只规范了传输的信息,缺少对于存储的规范;且目前全球抗DDoS各自为政,缺少信息的共享机制。
技术实现要素:
本发明实施例提供一种缓解信息处理方法、服务器及文件跟踪系统,以解决现有的DOTS标准只规范了传输的信息,缺少对于存储的规范、且目前全球抗DDoS各自为政,缺少信息的共享机制的问题。
为了解决上述技术问题,本发明实施例提供一种缓解信息处理方法,应用于服务器,包括:
接收缓解提供商设备在完成缓解后发送的缓解结果;
使用区块链协议完成区块共识,将所述缓解结果以及与所述缓解结果对应的缓解请求写入文件跟踪系统区块链。
可选地,在所述使用区块链协议完成区块共识,将所述缓解结果以及与所述缓解结果对应的缓解请求写入文件跟踪系统区块链之前,还包括:
将所述缓解结果存储在服务器对应的第一区块中。
可选地,在所述接收缓解提供商设备在完成缓解后发送的缓解结果之前,还包括:
接收缓解提供商设备返回的请求成功消息;
根据所述请求成功消息,将缓解请求存储在服务器对应的第一区块中。
进一步地,在所述接收缓解提供商设备返回的请求成功消息之前,还包括:
接收文件跟踪系统客户端发送的缓解请求;
其中,所述缓解请求中携带分布式拒绝服务遥测信息。
具体地,所述缓解请求包括以下至少一项:
总攻击流量、总攻击连接数、攻击紧急程度、攻击类型描述、攻击开始时间、攻击结束时间、攻击源数量和攻击流量最大的前N个攻击源;
其中,N为正整数。
具体地,所述缓解结果,包括以下至少一项:
总缓解流量、攻击类型、攻击源数量和攻击流量最大的前N个攻击源;
其中,N为正整数。
本发明实施例还提供一种服务器,包括:
第一接收模块,用于接收缓解提供商设备在完成缓解后发送的缓解结果;
写入模块,用于使用区块链协议完成区块共识,将所述缓解结果以及与所述缓解结果对应的缓解请求写入文件跟踪系统区块链。
本发明实施例还提供一种服务器,包括收发机和处理器;
所述收发机,用于:接收缓解提供商设备在完成缓解后发送的缓解结果;
所述处理器,用于:使用区块链协议完成区块共识,将所述缓解结果以及与所述缓解结果对应的缓解请求写入文件跟踪系统区块链。
本发明实施例还提供一种服务器,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述程序时实现上述的缓解信息处理方法。
本发明实施例还提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述的缓解信息处理方法中的步骤。
本发明实施例还提供一种文件跟踪系统,包括:
攻击监测模块,用于监测是否受到分布式拒绝服务攻击;
客户端,用于在所述攻击监测模块发现分布式拒绝服务攻击的情况下,向服务器发送缓解请求;
服务器,用于根据缓解请求,向缓解提供商设备发送通知消息,并接收所述缓解提供商设备在完成缓解后发送的缓解结果,使用区块链协议完成区块共识,将所述缓解结果以及与所述缓解结果对应的缓解请求写入文件跟踪系统区块链;
缓解提供商设备,用于根据所述服务器发送的通知消息进行缓解操作,并在缓解完成后,发送缓解结果给所述服务器。
可选地,所述服务器用于将所述缓解结果存储在所述服务器对应的第一区块中。
可选地,所述缓解提供商设备用于在接收所述服务器发送的通知消息后,向所述服务器发送请求成功消息;
所述服务器用于在接收到所述请求成功消息后,将缓解请求存储在所述服务器对应的第一区块中。
其中,所述缓解请求包括以下至少一项:
总攻击流量、总攻击连接数、攻击紧急程度、攻击类型描述、攻击开始时间、攻击结束时间、攻击源数量和攻击流量最大的前N个攻击源;
其中,N为正整数。
其中,所述缓解结果,包括以下至少一项:
总缓解流量、攻击类型、攻击源数量和攻击流量最大的前N个攻击源;
其中,N为正整数。
本发明的有益效果是:
上述方案,通过接收缓解提供商设备在完成缓解后发送的缓解结果,使用区块链协议完成区块共识,将所述缓解结果以及与所述缓解结果对应的缓解请求写入文件跟踪系统区块链,能够解决不同抗DDoS各自为政,缺少信息的共享机制的问题。
附图说明
图1表示本发明实施例的缓解信息处理方法的流程示意图;
图2表示区块体中记录的数据内容示意图;
图3表示DOTS服务器构成的区块链示意图;
图4表示缓解信息写入区块链的详细流程示意图;
图5表示本发明实施例的服务器的模块示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图及具体实施例对本发明进行详细描述。
本发明针对现有的DOTS标准只规范了传输的信息,缺少对于存储的规范、且目前全球抗DDoS各自为政,缺少信息的共享机制的问题,提供一种缓解信息处理方法、服务器及文件跟踪系统。
如图1所示,本发明实施例的缓解信息处理方法,应用于服务器,包括:
步骤11,接收缓解提供商设备在完成缓解后发送的缓解结果;
步骤12,使用区块链协议完成区块共识,将所述缓解结果以及与所述缓解结果对应的缓解请求写入文件跟踪系统区块链。
需要说明的是,本发明实施例中所说的服务器指的是DOTS框架中的DOTS服务端,该缓解提供商设备与DOTS框架中的缓解提供商指的是相同的概念。
本发明实施例中通过在得到缓解结果后,将缓解结果以及与缓解结果对应的缓解请求写入文件跟踪系统区块链,以此实现了对DOTS标准中相关信息的存储,并且服务器将相关信息存储在DOTS区块链中,可以使每个服务器能够访问具体攻击事件和缓解结果、缓解请求等缓解信息,从而能够据此完成清洗流量的对冲结算。
进一步还需要说明的是,在所述步骤12之前,所述缓解信息处理方法,还包括:
将所述缓解结果存储在服务器对应的第一区块中。
需要说明的是,此处是在将缓解结果写入DOTS区块链之前,先将缓解结果进行本地存储,以方便对信息的管理。
还需要说明的是,在步骤11之前,所述缓解信息处理方法,还包括:
步骤13,接收缓解提供商设备返回的请求成功消息;
需要说明的是,该请求成功消息是缓解提供商设备在开始进行缓解时,发送给服务器的;进一步地,在接收缓解提供商设备返回的请求成功消息之前,服务器应先接收DOTS客户端(简称客户端)发送的缓解请求,具体地,该缓解请求是DOTS框架中的受攻击对象(也可以认为是攻击监测模块)在发现DDoS攻击时,由DOTS客户端发送给服务器的,这里需要说明的是,DOTS客户端还需要将检测到的分布式拒绝服务遥测(DDoS Telemetry)信息携带在所述缓解请求中。
具体地,该DDoS Telemetry信息中包括以下至少一项:
总攻击流量、总攻击连接数、攻击紧急程度、攻击类型描述、攻击开始时间、攻击结束时间、攻击源数量和攻击流量最大的前N个攻击源;
其中,N为正整数。
步骤14,根据所述请求成功消息,将缓解请求存储在服务器对应的第一区块中;
需要说明的是,因在写入DOTS区块链时,是将缓解结果和缓解请求一同进行写入的,在没有得到缓解结果时,无法实现信息的写入,此时,需要先将缓解请求进行本地存储,以等待获取该缓解请求对应的缓解结果,此种方式,方便了对信息的管理。
进一步需要说明的是,写入DOTS区块链中的缓解请求和缓解结果主要存储于区块体中,如图2所示为区块体中记录的数据内容示意图,由图2可知,DOTS区块链中的每个区块对应存储一个服务器写入的缓解请求和缓解结果,区块包括区块头和区块体,区块体中主要进行缓解请求和缓解结果的存储,具体地,该缓解请求具体包括以下至少一项:
总攻击流量、总攻击连接数、攻击紧急程度、攻击类型描述、攻击开始时间、攻击结束时间、攻击源数量和攻击流量最大的前N个攻击源;
其中,N为正整数。
具体地,该缓解结果具体包括以下至少一项:
总缓解流量、攻击类型、攻击源数量和攻击流量最大的前N个攻击源;
其中,N为正整数。
还需要说明的是,所有使用DOTS框架协议进行DDoS攻击缓解的服务器都具备DOTS区块链写入资格,具体如图3所示。
需要说明的是,本发明实施例主要利用DOTS框架中的缓解提供商、DOTS客户端、DOTS服务器实现将信息写入区块链,具体地,在DOTS服务器接收到DOTS客户端的缓解请求之后,DOTS服务器将缓解请求通知给缓解提供商,缓解提供商反馈已成功接收缓解请求并开始缓解,DOTS服务器将缓解请求及所携带的信息存入区块,缓解提供商缓解结束后返回缓解结果,DOTS服务器将本次缓解结果写入相同的区块中,经过区块共识算法,最后写入形成区块链,如图4所示,信息写入的具体流程为:
步骤41,在受攻击对象发现DDOS攻击时,使用DOTS客户端发出缓解请求;
具体地,该缓解请求中携带有受攻击对象检测到的DDoS Telemetry信息。
步骤42,DOTS服务器接收缓解请求;
步骤43,DOTS服务器判断请求是否成功,若请求成功,则执行步骤44,否则,确定缓解失败,并返回缓解失败信息给DOTS客户端;
步骤44,缓解提供商开始进行缓解;
需要说明的是,在缓解提供商开始进行缓解时,需要返回请求成功消息给DOTS服务器,DOTS服务器需要先进行缓解请求的存储;
步骤45,缓解提供商确定缓解结束;
需要说明的是,在缓解结束时,缓解提供商需要返回缓解结果给DOTS服务器,DOTS服务器需要进行缓解结果的存储;
步骤46,DOTS服务器将缓解信息写入区块;
需要说明的是,该缓解信息包括缓解请求和缓解结果,这两个信息是DOTS服务器在不同的时刻分别存储到区块的;
步骤47,DOTS服务器进行区块共识;
步骤48,在共识完成后,DOTS服务器将缓解信息写入区块链。
需要说明的是,通过采用本发明实施例,能够实现不同的DOTS服务器组成区块链网络,为不同的运营商/缓解提供商之间使用DOTS共同防御DDoS攻击并进行流量对冲结算提供了一种可行的方法,能够实现不同缓解提供商之间使用区块链上存放的缓解记录进行流量对冲结算。
如图5所示,本发明实施例的服务器50,包括:
第一接收模块51,用于接收缓解提供商设备在完成缓解后发送的缓解结果;
写入模块52,用于使用区块链协议完成区块共识,将所述缓解结果以及与所述缓解结果对应的缓解请求写入文件跟踪系统区块链。
可选地,在所述写入模块52使用区块链协议完成区块共识,将所述缓解结果以及与所述缓解结果对应的缓解请求写入文件跟踪系统区块链之前,还包括:
第一存储模块,用于将所述缓解结果存储在服务器对应的第一区块中。
可选地,在所述第一接收模块51接收缓解提供商设备在完成缓解后发送的缓解结果之前,还包括:
第二接收模块,用于接收缓解提供商设备返回的请求成功消息;
第二存储模块,用于根据所述请求成功消息,将缓解请求存储在服务器对应的第一区块中。
进一步地,在所述第二接收模块接收缓解提供商设备返回的请求成功消息之前,还包括:
第三接收模块,用于接收文件跟踪系统客户端发送的缓解请求;
其中,所述缓解请求中携带分布式拒绝服务遥测信息。
具体地,所述缓解请求包括以下至少一项:
总攻击流量、总攻击连接数、攻击紧急程度、攻击类型描述、攻击开始时间、攻击结束时间、攻击源数量和攻击流量最大的前N个攻击源;
其中,N为正整数。
具体地,所述缓解结果,包括以下至少一项:
总缓解流量、攻击类型、攻击源数量和攻击流量最大的前N个攻击源;
其中,N为正整数。
需要说明的是,本发明实施例提供的服务器是能够执行上述缓解信息处理方法的服务器,则上述缓解信息处理方法实施例中的所有实现方式均适用于该服务器,且均能达到相同或相似的有益效果。
本发明实施例还提供一种服务器,包括收发机和处理器;
所述收发机,用于:接收缓解提供商设备在完成缓解后发送的缓解结果;
所述处理器,用于:使用区块链协议完成区块共识,将所述缓解结果以及与所述缓解结果对应的缓解请求写入文件跟踪系统区块链。
可选地,在所述处理器使用区块链协议完成区块共识,将所述缓解结果以及与所述缓解结果对应的缓解请求写入文件跟踪系统区块链之前,所述处理器还用于:
将所述缓解结果存储在服务器对应的第一区块中。
可选地,在所述收发机接收缓解提供商设备在完成缓解后发送的缓解结果之前,所述收发机,还用于:
接收缓解提供商设备返回的请求成功消息;
所述处理器还用于:根据所述请求成功消息,将缓解请求存储在服务器对应的第一区块中。
进一步地,在所述收发机接收缓解提供商设备返回的请求成功消息之前,所述收发机还用于:
接收文件跟踪系统客户端发送的缓解请求;
其中,所述缓解请求中携带分布式拒绝服务遥测信息。
具体地,所述缓解请求包括以下至少一项:
总攻击流量、总攻击连接数、攻击紧急程度、攻击类型描述、攻击开始时间、攻击结束时间、攻击源数量和攻击流量最大的前N个攻击源;
其中,N为正整数。
具体地,所述缓解结果,包括以下至少一项:
总缓解流量、攻击类型、攻击源数量和攻击流量最大的前N个攻击源;
其中,N为正整数。
本发明实施例还提供一种服务器,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述程序时实现上述的缓解信息处理方法实施例中的各个过程,且能达到相同的技术效果,为避免重复,这里不再赘述。
本发明实施例还提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述的缓解信息处理方法实施例中的各个过程,且能达到相同的技术效果,为避免重复,这里不再赘述。其中,所述的计算机可读存储介质,如只读存储器(Read-Only Memory,简称ROM)、随机存取存储器(Random Access Memory,简称RAM)、磁碟或者光盘等。
本发明实施例还提供一种文件跟踪系统,包括:
攻击监测模块,用于监测是否受到分布式拒绝服务攻击;
客户端,用于在所述攻击监测模块发现分布式拒绝服务攻击的情况下,向服务器发送缓解请求;
服务器,用于根据缓解请求,向缓解提供商设备发送通知消息,并接收所述缓解提供商设备在完成缓解后发送的缓解结果,使用区块链协议完成区块共识,将所述缓解结果以及与所述缓解结果对应的缓解请求写入文件跟踪系统区块链;
缓解提供商设备,用于根据所述服务器发送的通知消息进行缓解操作,并在缓解完成后,发送缓解结果给所述服务器。
进一步地,所述服务器用于将所述缓解结果存储在所述服务器对应的第一区块中。
进一步地,所述缓解提供商设备用于在接收所述服务器发送的通知消息后,向所述服务器发送请求成功消息;
所述服务器用于在接收到所述请求成功消息后,将缓解请求存储在所述服务器对应的第一区块中。
具体地,所述客户端向所述服务器发送的缓解请求中携带分布式拒绝服务遥测信息。
其中,所述分布式拒绝服务遥测信息包括以下至少一项:
总攻击流量、总攻击连接数、攻击紧急程度、攻击类型描述、攻击开始时间、攻击结束时间、攻击源数量和攻击流量最大的前N个攻击源;
其中,N为正整数。
具体地,所述缓解请求包括以下至少一项:
总攻击流量、总攻击连接数、攻击紧急程度、攻击类型描述、攻击开始时间、攻击结束时间、攻击源数量和攻击流量最大的前N个攻击源;
其中,N为正整数。
具体地,所述缓解结果,包括以下至少一项:
总缓解流量、攻击类型、攻击源数量和攻击流量最大的前N个攻击源;
其中,N为正整数。
需要说明的是,本发明实施例中所说的文件跟踪系统是与上面实施例中所提到的DOTS框架对应的系统,该文件跟踪系统能够实现上述实施例中的图4所示的全部过程。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可读存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其它可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其它可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其它可编程数据处理设备以特定方式工作的计算机可读存储介质中,使得存储在该计算机可读存储介质中的指令产生包括指令装置的纸制品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其它可编程数据处理设备上,使得计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他科编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上所述的是本发明的优选实施方式,应当指出对于本技术领域的普通人员来说,在不脱离本发明所述的原理前提下还可以作出若干改进和润饰,这些改进和润饰也在本发明的保护范围内。
