[发明专利]一种分布式拒绝服务攻击的防御方法、设备及系统

说明书

本发明公开了一种分布式拒绝服务攻击的防御方法、设备及系统，该方法包括：检测被保护网络中的各业务的业务流量信息以及被保护网络中的各设备的设备资源信息；若在任一时刻，确定任一业务的业务流量不小于所述任一业务在所述任一时刻的预设流量阈值和/或确定任一设备的任一设备资源不小于所述任一设备的所述任一设备资源在所述任一时刻的预设资源阈值，则对访问被保护网络的网络流量进行流量清洗，并将清洗后的网络流量回引至所述被保护网络。在本方案中，由于可从网络流量和设备资源两个维度判断被保护网络是否遭受了DDoS攻击，因而可解决目前存在的小流量DDoS攻击行为难以被及时发现的问题，提高了检测DDoS攻击的及时性和准确性。

技术领域

本发明涉及网络安全技术领域，尤其涉及一种DDoS（Distributed Denial ofService，分布式拒绝服务攻击）的防御方法、设备及系统。

背景技术

DDoS是网络中非常流行的一种攻击方式，其攻击形式多样，攻击技巧不断地提高。它不仅严重影响用户对互联网的访问，还会严重影响运营商网络的正常运营。具体地，DDoS通常采用大量“僵尸主机”或利用专业的攻击软件向受害主机发送大量看似合法的网络包，从而造成网络阻塞或服务器资源耗尽而导致拒绝服务。随着网络中“僵尸主机”的增加和各种DDoS黑客工具的不断发布，DDoS攻击的实施越来越容易，攻击事件呈上升趋势。

目前，业界通常采用以下方式对DDoS攻击进行监测：在被保护网络的出口处部署DDoS攻击监测清洗系统，监测网络中的流量和应用层连接；若监测到网络中的流量和/或应用层连接超过设定阈值，则启动流量清洗。逻辑上，DDoS攻击监测清洗系统主要可包括异常流量监测模块、流量牵引模块以及清洗模块。其中，所述异常流量监测模块可用于根据设定采样比采集网络流量信息，并对采集到的网络流的种类、流量、流向、地址、端口等信息进行统计，当发现流量异常时，即时告警并触发流量牵引模块；所述流量牵引模块，可用于将去往被保护网络的流量指向清洗模块；所述清洗模块可用于根据内置的算法识别DDoS攻击并拦截过滤攻击流量，以及，将过滤后的正常流量回注至被保护网络。

但是，由于现有DDoS攻击监测清洗系统通常是基于网络流量来监测DDoS攻击行为的，因此，对于某些精心构造的以小搏大的、与正常流量难以区分的应用层攻击（如cc攻击）来说，由于攻击者可以仅利用少量的HTTP GET请求来使得服务器消耗大量的数据库资源、造成DDoS攻击，因此，现有DDoS攻击监测清洗系统并不能够及时地对其进行识别，导致对DDoS攻击监测的准确性和及时性均不佳；再有，针对由“僵尸网络”发起的、IP地址分散的DDoS攻击来说，由于其数据包均是合法的、与正常流量也没有区别，因此，现有DDoS攻击监测清洗系统通常也难以对其进行及时地识别。

综上所述，由于现有DDoS攻击监测清洗系统通常是基于网络流量来监测DDoS攻击行为的，因此，对于地址分散或以小搏大等与正常流量难以区分的攻击行为来说，现有DDoS攻击监测清洗系统并不能够及时地对其进行识别，从而导致无法全面地识别出DDoS攻击，降低DDoS攻击监测的准确性和及时性。

发明内容

本发明实施例提供了一种DDoS的防御方法、设备及系统，用以解决目前存在的基于网络流量无法全面识别DDoS攻击、导致DDoS攻击监测的准确性和及时性较低的问题。

本发明实施例提供了一种DDoS的防御方法，包括：

检测被保护网络中的各业务的业务流量信息以及所述被保护网络中的各设备的设备资源信息；

若在任一时刻，确定检测到的任一业务的业务流量不小于所述任一业务在所述任一时刻的预设流量阈值和/或确定检测到的任一设备的任一设备资源不小于所述任一设备的所述任一设备资源在所述任一时刻的预设资源阈值，则对访问所述被保护网络的网络流量进行流量清洗，并将清洗后的网络流量回引至所述被保护网络。

进一步地，针对任一业务，通过以下方式确定所述任一业务在任一时刻的预设流量阈值：