(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN113452692A(43)申请公布日2021.09.28(21)申请号202110707346.5(22)申请日2021.06.24(71)申请人北京卫达信息技术有限公司地址100020北京市朝阳区紫月路18号院16号楼4层(72)发明人张长河(51)Int.Cl.H04L29/06(2006.01)权利要求书1页说明书4页附图2页(54)发明名称一种防御网络攻击的方法(57)摘要一种防御网络攻击的方法，包括：中间网络元件，所述中间网络元件包括控制从多个网络源对目标网络元件的访问的处理器，所述中间网络元件确定所述目标网络元件正受到网络攻击；响应于确定目标网络元件受到攻击，中间网络元件将一部分带宽保留给目标资源，用于仅服务于多个来源中的受信任的资源；响应于网络攻击的指示；响应于从多个来源中不受信任的来源接收消息，中间网络元件管理对来源中不受信任的来源的各自挑战，其中根据中间网络元件已知的源的相应网络地址的函数来验证对挑战的响应；响应于从不受信任的来源之一接收对所管理的挑战之一的正确感知响应，中间网络元件将不受信任的来源之一指定为受信任的。该方法限制了可疑源的使用。CN113452692ACN113452692A权利要求书1/1页1.一种防御网络攻击的方法，包括：中间网络元件，所述中间网络元件包括控制从多个网络源对目标网络元件的访问的处理器，所述中间网络元件确定所述目标网络元件正受到网络攻击；响应于确定目标网络元件受到攻击，中间网络元件将一部分带宽保留给目标资源，用于仅服务于多个来源中的受信任的资源；响应于网络攻击的指示，为目标网络元件生成一组权限，其中该组权限包括默认权限组或空权限组；响应于从多个来源中不受信任的来源接收消息，中间网络元件管理对来源中不受信任的来源的各自挑战，其中每个挑战需要正确的特定来源的有知觉响应，其中根据中间网络元件已知的源的相应网络地址的函数来验证对挑战的响应；响应于从不受信任的来源之一接收对所管理的挑战之一的正确感知响应，中间网络元件将不受信任的来源之一指定为受信任的。2.一种如权利要求1所述的防御网络攻击的方法，其特征在于，所述中间网络元件包括路由器、网关、防火墙、交换机或网桥。3.一种如权利要求1所述的防御网络攻击的方法，其特征在于，所述处理器还被编程为用它们各自的网络地址和端口标识符来验证源的身份。4.一种用于如权利要求1‑3任一所述防御网络攻击的方法的装置，包括：至少部分以硬件实现的多个网络接口，处理器和耦合到处理器的存储器；所述处理器还被编程为用它们各自的网络地址和端口标识符来验证源的身份；所述存储器存储可执行用于以下目的的程序指令：至少部分地基于对尝试与目标网络元件通信的网络元件的图灵测试的管理，动态地生成一组管理对目标网络元件的访问的规则；其中由给定的网络元件之一发送到目标元件的多个消息被传递到目标元件，以响应确定该网络元件已向由以下设备管理的图灵测试提供了正确的特定于源的感知响应装置，其中根据图灵测试已知的秘密的函数来验证对图灵测试的响应；设备和网络元件的相应网络地址；和至少部分地基于管理访问的规则集向尝试通信的网络元件分配带宽给目标网络元件。5.一种如权利要求4所述的装置，其特征是：还包括用于验证对图灵测试的响应的装置。6.一种如权利要求5所述的装置，其特征是：还包括用于验证尝试与所述目标网络元件通信的所述网络元件的身份的装置。2CN113452692A说明书1/4页一种防御网络攻击的方法技术领域[0001]本发明涉及计算机领域。更具体地，本发明涉及一种防御网络攻击的方法。背景技术[0002]分布式拒绝服务攻击包括实体直接或通过传播在大量机器(例如100‑1万台机器)上安装恶意代码，通过请求淹没目标网络元件。大量的请求消耗了受害网源的大量资源。因此，受害网源无法响应合法请求。[0003]一些现有的防御机制试图验证传入数据包的网络地址的合法性。尽管此类机制可以消除具有欺骗性网络地址的数据包，但它们无法抵御其他分布式拒绝服务攻击传递方式。例如，由于受感染机器使用的是真实网络地址，因此无法防御通过受感染机器传递的分布式拒绝服务攻击。发明内容[0004]已经发现，通过对试图访问被攻击的网络元件的源进行图灵测试，可以动态生成一组规则或权限以防御网络攻击。通过要求对挑战做出有意识的响应，这种防御机制可以消除来自受感染机器的非法流量。未对管理的测试做出正确响应的源将被拒绝访问受害网络元件，而是向其发出质询(即测试)。在等待对发出的质询的有效响应时，可以以不同方式处理来自未知来源的流量。例如，可能会捕获发往受害网络元件的协议数据单元，直到它们的源响应管理的图灵测试，即对发往受害网络元件的所有流量应用一般拒绝，但某些源除外默