一種分布式拒絕服務攻擊的防御方法、設備及系統技術方案

本發明專利技術公開了一種分布式拒絕服務攻擊的防御方法、設備及系統，該方法包括：檢測被保護網絡中的各業務的業務流量信息以及被保護網絡中的各設備的設備資源信息；若在任一時刻，確定任一業務的業務流量不小于所述任一業務在所述任一時刻的預設流量閾值和/或確定任一設備的任一設備資源不小于所述任一設備的所述任一設備資源在所述任一時刻的預設資源閾值，則對訪問被保護網絡的網絡流量進行流量清洗，并將清洗后的網絡流量回引至所述被保護網絡。在本方案中，由于可從網絡流量和設備資源兩個維度判斷被保護網絡是否遭受了DDoS攻擊，因而可解決目前存在的小流量DDoS攻擊行為難以被及時發現的問題，提高了檢測DDoS攻擊的及時性和準確性。

【技術實現步驟摘要】

本專利技術涉及網絡安全
，尤其涉及一種DDoS (Distributed Denial ofService,分布式拒絕服務攻擊)的防御方法、設備及系統。
技術介紹
DDoS是網絡中非常流行的一種攻擊方式，其攻擊形式多樣，攻擊技巧不斷地提高。它不僅嚴重影響用戶對互聯網的訪問，還會嚴重影響運營商網絡的正常運營。具體地，DDoS通常采用大量“僵尸主機”或利用專業的攻擊軟件向受害主機發送大量看似合法的網絡包，從而造成網絡阻塞或服務器資源耗盡而導致拒絕服務。隨著網絡中“僵尸主機”的增加和各種DDoS黑客工具的不斷發布，DDoS攻擊的實施越來越容易，攻擊事件呈上升趨勢。目前，業界通常采用以下方式對DDoS攻擊進行監測:在被保護網絡的出口處部署DDoS攻擊監測清洗系統，監測網絡中的流量和應用層連接；若監測到網絡中的流量和/或應用層連接超過設定閾值，則啟動流量清洗。邏輯上，DDoS攻擊監測清洗系統主要可包括異常流量監測模塊、流量牽引模塊以及清洗模塊。其中，所述異常流量監測模塊可用于根據設定采樣比采集網絡流量信息，并對采集到的網絡流的種類、流量、流向、地址、端口等信息進行統計，當發現流量異常時，即時告警并觸發流量牽引模塊；所述流量牽引模塊，可用于將去往被保護網絡的流量指向清洗模塊；所述清洗模塊可用于根據內置的算法識別DDoS攻擊并攔截過濾攻擊流量，以及，將過濾后的正常流量回注至被保護網絡。但是，由于現有DDoS攻擊監測清洗系統通常是基于網絡流量來監測DDoS攻擊行為的，因此，對于某些精心構造的以小搏大的、與正常流量難以區分的應用層攻擊(如cc攻擊)來說，由于攻擊者可以僅利用少量的HTTP GET請求來使得服務器消耗大量的數據庫資源、造成DDoS攻擊，因此，現有DDoS攻擊監測清洗系統并不能夠及時地對其進行識別，導致對DDoS攻擊監測的準確性和及時性均不佳；再有，針對由“僵尸網絡”發起的、IP地址分散的DDoS攻擊來說，由于其數據包均是合法的、與正常流量也沒有區別，因此，現有DDoS攻擊監測清洗系統通常也難以對其進行及時地識別。綜上所述，由于現有DDoS攻擊監測清洗系統通常是基于網絡流量來監測DDoS攻擊行為的，因此，對于地址分散或以小搏大等與正常流量難以區分的攻擊行為來說，現有DDoS攻擊監測清洗系統并不能夠及時地對其進行識別，從而導致無法全面地識別出DDoS攻擊，降低DDoS攻擊監測的準確性和及時性。
技術實現思路
本專利技術實施例提供了一種DDoS的防御方法、設備及系統，用以解決目前存在的基于網絡流量無法全面識別DDoS攻擊、導致DDoS攻擊監測的準確性和及時性較低的問題。本專利技術實施例提供了一種DDoS的防御方法，包括:檢測被保護網絡中的各業務的業務流量信息以及所述被保護網絡中的各設備的設備資源信息；若在任一時刻，確定檢測到的任一業務的業務流量不小于所述任一業務在所述任一時刻的預設流量閾值和/或確定檢測到的任一設備的任一設備資源不小于所述任一設備的所述任一設備資源在所述任一時刻的預設資源閾值，則對訪問所述被保護網絡的網絡流量進行流量清洗，并將清洗后的網絡流量回弓I至所述被保護網絡。進一步地，針對任一業務，通過以下方式確定所述任一業務在任一時刻的預設流量閾值:根據所述被保護網絡處于正常運行狀態時所檢測到的、設定周期內的所述任一業務每一天的業務流量信息，確定所述任一業務在所述設定周期內的每一天的業務流量曲線；對所確定的所述任一業務在所述設定周期內的每一天的業務流量曲線進行訓練，得到所述任一業務每一天的正常業務流量曲線模型，并根據所述正常業務流量曲線模型確定所述任一業務在每一天的任一時刻的預設流量閾值；針對任一設備的任一設備資源，通過以下方式確定所述任一設備的所述任一設備資源在任一時刻的預設資源閾值:根據所述任一設備處于正常運行狀態時所檢測到的、設定周期內的所述任一設備的所述任一設備資源每一天的設備資源信息，確定所述任一設備的所述任一設備資源在所述設定周期內的每一天的設備資源曲線；對所確定的所述任一設備的所述任一設備資源在所述設定周期內的每一天的設備資源曲線進行訓練，得到所述任一設備的所述任一設備資源每一天的正常設備資源曲線模型，并根據所述正常設備資源曲線模型確定所述任一設備的所述任一設備資源在每一天的任一時刻的預設資源閾值。進一步地，在確定檢測到的任一業務的業務流量不小于預先設定的與所述任一業務相對應的流量閾值和/或確定檢測到的任一設備的任一設備資源不小于預先設定的與所述任一設備資源相對應的資源閾值之后，且對訪問所述被保護網絡的網絡流量進行流量清洗之前，所述方法還包括:根據在業務流量異常時間段內或設備資源異常時間段內檢測到的、任一業務每一天的業務流量信息，確定所述任一業務在所述業務流量異常時間段內或設備資源異常時間段內的每一天的業務流量曲線，并對所確定的所述任一業務在所述業務流量異常時間段內或設備資源異常時間段內的每一天的業務流量曲線進行訓練，得到所述任一業務在所述業務流量異常時間段內或設備資源異常時間段內的每一天的異常業務流量曲線模型；以及，根據在業務流量異常時間段內或設備資源異常時間段內檢測到的、任一設備的任一設備資源每一天的設備資源信息，確定所述任一設備的所述任一設備資源在所述業務流量異常時間段內或設備資源異常時間段內的每一天的設備資源曲線，并對所確定的所述任一設備的所述任一設備資源在所述業務流量異常時間段內或設備資源異常時間段內的每一天的設備資源曲線進行訓練，得到所述任一設備的所述任一設備資源在所述業務流量異常時間段內或設備資源異常時間段內的每一天的異常設備資源曲線模型；將由各業務每一天的正常業務流量曲線模型組成的正常業務流量曲線總模型以及由設定設備的各設備資源每一天的正常設備資源曲線模型組成的正常設備資源曲線總模型進行關聯，得到第一關聯模型，并將所述第一關聯模型與第二關聯模型進行對比分析，確定業務流量異常或設備資源異常時的攻擊類型；其中，所述第二關聯模型是通過對由各業務每一天的異常業務流量曲線模型組成的異常業務流量曲線總模型以及由所述設定設備的各設備資源每一天的異常設備資源曲線模型組成的異常設備資源曲線總模型進行關聯后所得到的。進一步地，對訪問所述被保護網絡的網絡流量進行流量清洗，包括:根據所確定的業務流量異?；蛟O備資源異常時的攻擊類型，對訪問所述被保護網絡的網絡流量進行流量清洗。進一步地，所述設備資源至少包括CPU (中央處理器)使用率、內存使用率以及數據庫查詢頻率中的一種或多種。相應地，本專利技術實施例還提供了一種DDoS的防御設備，包括:檢測單元，用于檢測被保護網絡中的各業務的業務流量信息以及所述被保護網絡中的各設備的設備資源信息；判斷單元，用于在任一時刻，判斷所述檢測單元檢測到的任一業務的業務流量是否不小于所述任一業務在所述任一時刻的預設流量閾值和/或判斷所述檢測單元檢測到的任一設備的任一設備資源是否不小于所述任一設備的所述任一設備資源在所述任一時刻的預設資源閾值；清洗單元，用于在所述判斷單元的至少一個判斷結果為是時，對訪問所述被保護網絡的網絡流量進行流量清洗，并將清洗后的網絡流量回引至所述被保護網絡。進一步地，所述設備還包括流量模型建立模塊、資源模型建立模塊、流量閾值確定模塊以及資本文檔來自技高網...

【技術保護點】
一種分布式拒絕服務攻擊DDoS的防御方法，其特征在于，包括：檢測被保護網絡中的各業務的業務流量信息以及所述被保護網絡中的各設備的設備資源信息；若在任一時刻，確定檢測到的任一業務的業務流量不小于所述任一業務在所述任一時刻的預設流量閾值和/或確定檢測到的任一設備的任一設備資源不小于所述任一設備的所述任一設備資源在所述任一時刻的預設資源閾值，則對訪問所述被保護網絡的網絡流量進行流量清洗，并將清洗后的網絡流量回引至所述被保護網絡。

【技術特征摘要】

【專利技術屬性】
技術研發人員：李江，張峰，付俊，
申請(專利權)人：中國移動通信集團公司，
類型：發明
國別省市：北京;11