[发明专利]一种僵尸网络DDoS攻击的防护方法、装置及存储介质

说明书

本发明公开了一种僵尸网络DDoS攻击的防护方法、装置及存储介质，在本发明实施例中，服务器基于全网的僵尸网络DDoS攻击报文的第二特征，与第一特征组中每个第一特征进行匹配，从而确定出进行攻击的地址信息，使得确定出的地址信息准确率高。另外，在防护过程中不需要进行反向探测，因此节省了僵尸网络DDoS攻击的防护时间，提高了防护效率。服务器针对预设数量的终端发送的报文的第一特征组确定出匹配成功的僵尸网络特征库，然后将僵尸网络特征库中所有的地址信息发送至防护设备。防护设备对于没有进行特征提取的终端，也不再需要浪费资源进行特征提取，以及判断终端是否为发起攻击终端，因此节省了大量的防护资源。

技术领域

本发明涉及网络安全技术领域，尤其涉及一种僵尸网络DDoS攻击的防护方法、装置及存储介质。

背景技术

分布式拒绝服务(DDoS：Distributed Denial of Service)攻击指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DDoS攻击，从而成倍地提高拒绝服务攻击的威力。DDoS攻击通过大量合法的请求占用大量网络资源，以达到瘫痪网络的目的。这种攻击方式一般包括：通过使网络过载来干扰甚至阻断正常的网络通讯；通过向服务器提交大量请求，使服务器超负荷；阻断某一用户访问服务器；阻断某服务与特定系统或个人的通讯。

DDoS攻击来源包括僵尸网络。僵尸网络的攻击流量和行为特征最为不明显。攻击者操作大量肉鸡，模拟正常客户端发起的正常流量，在防护设备一侧难以区分。并且，DDoS攻击的攻击流量非常大，僵尸网络DDoS攻击也只是DDoS攻击的其中一种，防护设备的计算资源非常宝贵，一般不可能将大量的计算资源投入到僵尸网络DDoS攻击的清洗。基于此，目前还没有能够有效进行僵尸网络DDoS攻击的防护方案。

发明内容

本发明实施例提供了一种僵尸网络DDoS攻击的防护方法、装置及存储介质，用以解决现有技术中对僵尸网络DDoS攻击的防护准确率和效率较低的问题。

本发明实施例提供了一种僵尸网络DDoS攻击的防护方法，所述方法包括：

接收防护设备发送的每个第一特征组；其中，所述每个第一特征组是防护设备接收预设数量的每个终端发送的报文，对每个报文进行特征提取得到的；

针对接收到的每个第一特征组，将该第一特征组中的每个第一特征分别与每个僵尸网络的特征库中的第二特征进行匹配；其中，所述每个僵尸网络的特征库中的第二特征是通过统计历史周期内的每个僵尸网络DDoS攻击报文，并进行特征提取得到的；

将匹配成功的特征库对应的地址信息发送至所述防护设备，使所述防护设备将所述地址信息加入黑名单，丢弃所述地址信息对应的终端发送的报文。

进一步地，所述第一特征组中的第一特征至少包括：

源IP、源端口、目的IP、报文类型、报文类型顺序、报文间隔时间和同类型报文的相似性。

进一步地，针对接收到的每个第一特征组，将该第一特征组中的每个第一特征分别与每个僵尸网络的特征库中的第二特征进行匹配包括：

针对接收到的每个第一特征组，将该第一特征组中的每个第一特征按照重要程度进行排序；按顺序依次选定第一特征，将该第一特征与每个僵尸网络的特征库中的第二特征进行匹配；

所述将匹配成功的特征库对应的地址信息发送至所述防护设备包括：

识别第一特征匹配成功数量最多的第一特征组，将所述匹配成功数量最多的第一特征组对应的特征库作为匹配成功的特征库，将所述匹配成功的特征库对应的地址信息发送至所述防护设备。

进一步地，所述识别第一特征匹配成功数量最多的第一特征组之后，将所述匹配成功数量最多的第一特征组对应的特征库作为匹配成功的特征库之前，所述方法还包括：