[发明专利]一种僵尸网络DDoS攻击的防护方法、装置及存储介质

权利要求书

1.一种僵尸网络DDoS攻击的防护方法，其特征在于，所述方法包括：

接收防护设备发送的每个第一特征组；其中，所述每个第一特征组是防护设备接收预设数量的每个终端发送的报文，对每个报文进行特征提取得到的；

针对接收到的每个第一特征组，将该第一特征组中的每个第一特征分别与每个僵尸网络的特征库中的第二特征进行匹配；其中，所述每个僵尸网络的特征库中的第二特征是通过统计历史周期内的每个僵尸网络DDoS攻击报文，并进行特征提取得到的；

将匹配成功的特征库对应的地址信息发送至所述防护设备，使所述防护设备将所述地址信息加入黑名单，丢弃所述地址信息对应的终端发送的报文；

针对接收到的每个第一特征组，将该第一特征组中的每个第一特征分别与每个僵尸网络的特征库中的第二特征进行匹配包括：

针对接收到的每个第一特征组，将该第一特征组中的每个第一特征按照重要程度进行排序；按顺序依次选定第一特征，将该第一特征与每个僵尸网络的特征库中的第二特征进行匹配；

所述将匹配成功的特征库对应的地址信息发送至所述防护设备包括：

识别第一特征匹配成功数量最多的第一特征组，将所述匹配成功数量最多的第一特征组对应的特征库作为匹配成功的特征库，将所述匹配成功的特征库对应的地址信息发送至所述防护设备。

2.如权利要求1所述的方法，其特征在于，所述第一特征组中的第一特征至少包括：

源IP、源端口、目的IP、报文类型、报文类型顺序、报文间隔时间和同类型报文的相似性。

3.如权利要求1所述的方法，其特征在于，所述识别第一特征匹配成功数量最多的第一特征组之后，将所述匹配成功数量最多的第一特征组对应的特征库作为匹配成功的特征库之前，所述方法还包括：

判断第一特征匹配成功数量最多的第一特征组对应的特征库的地址信息的数量是否大于预设的第一数量阈值，如果否，将所述匹配成功数量最多的第一特征组对应的特征库作为匹配成功的特征库。

4.如权利要求3所述的方法，其特征在于，如果第一特征匹配成功数量最多的第一特征组对应的特征库的地址信息的数量大于预设的第一数量阈值，所述方法还包括：

统计预设的第二时间长度内每个地址信息发起攻击的次数；

按照发起攻击次数由高到低选取预设的第二数量的地址信息作为活跃地址信息；

确定第一特征匹配成功数量最多的每个第一特征组对应的特征库，选取所述特征库中的活跃地址信息发送至所述防护设备。

5.如权利要求1所述的方法，其特征在于，如果不存在匹配成功的第一特征组，所述方法还包括：

统计预设的第二时间长度内每个地址信息发起攻击的次数；

按照发起攻击次数由高到低选取预设的第二数量的地址信息作为活跃地址信息；

将所述活跃地址信息发送至所述防护设备。

6.如权利要求1所述的方法，其特征在于，所述方法还包括：

接收所述防护设备发送的第三特征；其中，所述第三特征是所述防护设备对接收到的僵尸网络的地址信息对应的终端发送的报文进行特征提取得到的；

将所述第三特征保存至对应的僵尸网络的特征库。