[发明专利]基于二级联动机制的大规模DDoS攻击防御系统及方法

说明书

技术领域

本发明涉及网络安全领域，尤其涉及一种基于二级联动机制的大规模DDoS攻击防御系统及方法。

背景技术

随着各个行业信息化水平的不断提高，越来越多企业用户的正常业务运营对于互联网的依赖性也越来越高。目前由于互联网网络安全环境的日益恶化，使得这类客户的互联网业务面临着极大的威胁和风险。

其中，分布式拒绝服务(DDoS，Distributed Denial of Service)攻击是目前互联网中存在的最常见、危害性最大的攻击形式之一。DDoS攻击是指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DoS攻击。DDoS攻击由于攻击简单、容易达到目的、难于防止和追查越来越成为常见的攻击方式。

近几年来由于商业竞争、政治情绪、经济勒索等因素的驱动，DDoS攻击越来越呈现组织化、规模化、商业化的特点，攻击流量动辄数G、十几G，甚至几十G，攻击频率也大有愈演愈烈之势，不但给各类企业客户的互联网应用、IT系统服务造成服务提供中断、系统瘫痪等严重后果，造成重大经济损失；同时也严重威胁到电信运营商的基础设施，严重影响了基础运营商骨干网络的质量和稳定运营，使得DDoS攻击成为目前互联网中存在的最常见、危害性最大的安全问题之一。

目前常用的DDoS攻击防御方法有两种，一种是末端清洗防护方法，通过在靠近被保护目标的地方部署专用的流量清洗设备来进行防御，这种方法的特点是单点防御，只能为本地用户提供清洗防护，而且防御能力有限，在发生大规模攻击后容易造成被保护目标所在网络的拥塞或瘫痪，对于大规模、超大规模的DDoS攻击则无能为力。

另外一种是源端清洗防护方法，通过采用“分布式部署、集中调度、近源清洗”的防护机制，在攻击流量汇聚前，在靠近攻击源的多个骨干网节点处进行分布式清洗，可用来防御十几G、几十G甚至上百G的大规模DDoS攻击。但由于该机制主要是在骨干网层面进行清洗，对于城域网、互联网数据中心(IDC，Internet Data Center)等内部的相互攻击则难以防御，同时由于清洗系统部署层面较高，难以部署精细化的防护策略；上述两个因素可能导致造成部分攻击流量避开防护系统，难以为客户提供的精细化DDoS攻击防护。

综上所述，如何对大规模DDoS攻击的异常流量进行有效清洗，提升全网的大规模DDoS攻击防御能力成为本领域亟待解决的技术问题。

发明内容

本发明要解决的一个技术问题是提供一种基于二级联动机制的大规模DDoS攻击防御系统及方法，能够有效解决现有技术中存在的问题，可达到对大规模DDoS攻击的精细化流量清洗，取得提高全网的大规模DDoS攻击防御能力的预期技术效果。

本发明的一个方面提供了一种基于二级联动机制的大规模DDoS攻击防御系统，该系统包括：流量监测子系统，用于对全网的流量进行实时监测，搜寻并确认DDoS攻击行为后，向流量清洗子系统发送触发清洗操作的报警消息，以及将DDoS攻击行为的异常流量牵引至流量清洗子系统；流量清洗子系统，用于接收流量监测子系统牵引的异常流量，根据报警消息触发清洗操作，对异常流量进行清洗，并将清洗后的清洁流量回注到目标客户网络。

本发明提供的基于二级联动机制的大规模DDoS攻击防御系统的一个实施例中，该流量清洗子系统进一步包括：骨干网层面的清洗中心，用于在近源端对进入骨干网的跨域DDoS攻击行为的异常流量进行清洗；本地网层面的清洗中心，用于对本地网内部的DDoS攻击行为的异常流量以及从骨干网遗漏到本地网的DDoS攻击行为的异常流量进行清洗，并对骨干网层面清洗后的回注流量进行二次清洗。

本发明提供的基于二级联动机制的大规模DDoS攻击防御系统的一个实施例中，本地网层面的清洗中心是目标客户所在城域网或互联网数据中心所部署一套清洗设备或清洗设备组，用于通过二级联动机制协助骨干网层面的清洗中心实施对DDoS攻击行为的异常流量的协同清洗。

本发明提供的基于二级联动机制的大规模DDoS攻击防御系统的一个实施例中，跨域DDoS攻击行为的异常流量进入骨干网后，由骨干网层面的多个清洗中心进行近源清洗，并将清洗后的清洁流量通过专用通道或专用网络回注到目标客户所在的本地网。