[发明专利]恶意攻击的防护方法、装置和系统

说明书

技术领域

本发明涉及计算机互联网领域，具体而言，涉及一种恶意攻击的防护方法、装置和系统。

背景技术

随着互联网技术的飞速发展，互联网技术为用户提供了各种便利的应用，例如：即时聊天、社交平台、网络购物等，与此同时，黑客通过恶意攻击上述应用的网络服务器，使得合法用户无法正常访问网络服务器。以分布式拒绝服务(DistributedDenialofService，简称为DDOS)为例，攻击者入侵或者间接利用的大量“僵尸主机”向攻击对象(即网络服务器)发送大量伪装后的网络包，目的是为了造成网络阻塞或服务器资源耗尽，从而导致网络服务器拒绝为合法用户提供服务，即合法用户发送给网络服务器的网络包被淹没，合法用户无法正常访问网络服务器的网络资源。常见的DDOS攻击手段包括：SynFlood、AckFlood、UdpFlood、IcmpFlood、TcpFlood、ConnectionsFlood、ScriptFlood、ProxyFlood等。

随着DDOS恶意攻击在互联网上的肆虐泛滥，面对各种攻击威胁，如何对恶意攻击进行防护，维护网络安全已然成为互联网公民的首要任务。目前业界防护设备针对DDos攻击的防护，均采用针对不同的攻击类型使用不同攻击防护算法的方案，以达到对DDos攻击流量进行清洗的目的。

如图1所示，现有技术提供的防护部署方案为将防护设备接入至网关路由器，当防护设备的检测系统检测到攻击者的DDos攻击时，通知防护设备进行DDos攻击防护，其中，防护设备可以对不同的攻击类型采用相应的算法进行防护(如Synflood、Udpflood、Dnsflood等攻击防护算法)，现有的Synflood防护策略主要采用预定时间(例如3秒)的重传机制以及源限速的方法；Udpflood防护策略主要采用根据数据包大小，进行包特征过滤、限速等方法；Dnsflood防护策略主要采用将数据包进行dns缓存、限速等方案。

例如，防护设备使用Synflood防护策略，可以采用DCN防火墙来拦截，在DCN防火墙受到攻击的时候会提示有IP试图连接服务器的端口，或进行报警，此时可以将合法用户的合法数据包进行重传等。

分析可知，上述针对恶意攻击的防护方案存在如下缺陷：针对对重放类攻击、以及模拟真实源的攻击难以防护；仅提供了针对不同攻击类型采用对应的防护算法，防护方法不具备通用性。

针对上述现有技术针对恶意攻击的防护方案存在防护漏洞且不具备通用性的问题，目前尚未提出有效的解决方案。

发明内容

本发明实施例提供了一种恶意攻击的防护方法、装置和系统，以至少解决现有技术针对恶意攻击的防护方案存在防护漏洞且不具备通用性的技术问题。

根据本发明实施例的一个方面，提供了一种恶意攻击的防护方法，该方法包括：获取具有恶意攻击特征的访问设备的设备参数和具有安全访问特征的访问设备的设备参数；保存具有恶意攻击特征的访问设备的设备参数至攻击设备列表，并保存具有安全访问特征的访问设备的设备参数至安全设备列表；在恶意防护中，检测接入网关路由器的当前访问设备的设备参数，其中，如果检测到当前接入网关路由器的当前访问设备的设备参数与攻击设备列表中的任意一个或多个设备参数的匹配度大于等于第一阈值，则确定当前访问设备为攻击设备，如果检测到当前访问设备的设备参数与安全设备列表中的任意一个或多个设备参数的匹配度大于等于第二阈值，则确定当前访问设备为安全设备。

根据本发明实施例的另一方面，还提供了一种恶意攻击的防护装置，该装置包括：获取模块，用于获取具有恶意攻击特征的访问设备的设备参数和具有安全访问特征的访问设备的设备参数；保存模块，用于保存具有恶意攻击特征的访问设备的设备参数至攻击设备列表，并保存具有安全访问特征的访问设备的设备参数至安全设备列表；检测模块，用于在恶意防护中，检测接入网关路由器的当前访问设备的设备参数；第一处理模块，用于在恶意防护中，如果检测到当前接入网关路由器的当前访问设备的设备参数与攻击设备列表中的任意一个或多个设备参数的匹配度大于等于第一阈值，则确定当前访问设备为攻击设备；第二处理模块，用于在恶意防护中，如果检测到当前访问设备的设备参数与安全设备列表中的任意一个或多个设备参数的匹配度大于等于第二阈值，则确定当前访问设备为安全设备。