[发明专利]分布式拒绝服务攻击防护方法、系统及设备

说明书

技术领域

本发明涉及网络技术，具体涉及一种分布式拒绝服务攻击防护方法、系 统及设备。

背景技术

拒绝服务（DOS，Denial of Service）是指使用超出被攻击目标处理能力 的海量数据包消耗系统可用带宽资源，致使网络服务瘫痪的一种攻击手段。 DoS的攻击方式有很多种，最基本的DoS攻击就是利用合理的服务请求来占用 过多的服务资源，从而使合法用户无法得到服务的响应。单一的DoS攻击一般 是采用一对一方式的，当攻击目标CPU速度低、内存小或者网络带宽小等等 各项性能指标不高它的效果是明显的。随着计算机与网络技术的发展，计算 机的处理能力迅速增长，内存大大增加，同时也出现了千兆级别的网络，这 使得DoS攻击的困难程度加大了。此时，分布式拒绝服务攻击（DDOS， Distributed Denial of Service）应运而生。

DDOS是在传统的DoS攻击基础之上产生的一类攻击方式。如图1所示， 整个DDOS攻击主要是指攻击者利用主控主机做跳板（可能多级多层）控制大 量受感染而被控制的主机（受控主机）组成攻击网络来对受害主机进行大规 模的拒绝服务攻击。这种攻击往往能把单个攻击者的攻击以级数形式进行放 大，从而对用户主机造成重大影响，对网络也会造成严重拥塞。

DDoS的攻击类型目前主要包括三种方式，即TCP-SYN Flood（传输控制 协议同步洪水）攻击、UDP Flood（用户数据报协议洪水）攻击以及提交脚本 攻击。

为了防御运营商难以避免的而且日益严重的网络威胁，一些安全厂商也 相应发布了自己的DoS/DDoS防御安全解决方案。其中一种方案是在运营商 的城域网或IDC（Internet Data Center，互联网数据中心）内构建一个DoS/DDoS 流量清洗中心，即将两台DoS/DDoS防御设备旁路部署在两台城域网核心路由 器上，两台DoS/DDoS防御设备构成了城域网安全防护/DDoS清洗中心，安全 防护中心监听网络的下行数据，当安全防护中心发现攻击后通知清洗中心进 行清洗，清洗中心通知核心路由器将被保护网段的数据流导向到清洗中心， 达到过滤掉DDOS攻击流量，放行正常访问流量的目的。

在实现本发明的过程中，发明人发现这种解决方案至少还存在以下问题：

由于目前常规防护算法大都是采用的三层、四层防护技术，而没有针对 于应用层的防护，即清洗中心无法对应用数据进行过滤。

发明内容

本发明实施例提供一种分布式拒绝服务攻击防护方法、系统及设备，以 保障应用层数据的安全性，提高网络对DDOS攻击的防护能力。

本发明实施例提供的一种分布式拒绝服务攻击防护方法，包括：

定时扫描被保护服务器的一个或多个端口，确定所述端口的服务类型；

根据所述端口的服务类型生成对应所述被保护服务器的服务策略；

利用所述服务策略对访问所述被保护服务器的数据流进行过滤；

所述定时扫描被保护服务器的一个或多个端口，确定所述端口的服务类 型包括：

选择被保护服务器的一个或多个端口，检查所述端口是否处于开放状态；

向处于开放状态的端口发送预定的数据包；

根据所述端口返回的数据包确定所述端口的服务类型。

本发明实施例提供的一种分布式拒绝服务攻击防护系统，包括：

扫描装置，用于定时扫描被保护服务器的一个或多个端口，确定所述端 口的服务类型；并根据所述端口的服务类型生成对应所述被保护服务器的服 务策略；

清洗装置，利用所述服务策略对访问所述被保护服务器的数据流进行过 滤；

所述扫描装置包括：

端口选择单元，用于选择被保护服务器的一个或多个端口；

状态检查单元，用于检查所述端口是否处于开放状态；

服务类型确定单元，用于向经所述状态检查单元检查确定处于开放状态 的端口发送预定的数据包，根据所述端口返回的数据包确定所述端口的服务 类型；

策略生成单元，用于根据所述端口的服务类型生成对应所述被保护服务 器的服务策略。

本发明实施例提供的一种扫描装置，包括：

端口选择单元，用于选择被保护服务器的一个或多个端口；