[发明专利]一种防火墙抗分布式拒绝服务DDOS攻击的方法和装置

说明书

技术领域

本发明属于网络通信安全技术领域，具体涉及一种防火墙抗分布式拒绝服务(Distributed Denial Of Service,DDOS)攻击的方法和装置。

背景技术

拒绝服务(Denial Of Service,DOS)攻击是当前网络中威胁最大的攻击之一。DOS攻击主要是通过恶意手段使目标服务器的CPU达到满载，耗尽服务器的资源，从而使用户无法实现对服务器的正常访问。分布式拒绝服务(Distributed Denial Of Service,DDOS)攻击指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动攻击，从而成倍地提高DOS攻击的威力。

目前，大多数防火墙设备都提供抗DDOS攻击服务，为了预防DDOS攻击，防火墙设备一般一直开启着抗DDOS攻击服务，以有效的阻止DDOS攻击行为。但是，如果防火墙一直开启着抗DDOS攻击服务，则需要对所有通过防火墙的数据包都进行攻击检测，如此，增加了防火墙的检测负担，从而导致防火墙转发数据包的速率下降，降低了防火墙的性能。

发明内容

本发明的目的是提供一种防火墙抗分布式拒绝服务DDOS攻击的方法和装置，仅当存在DDOS攻击威胁的时候才开启防火墙抗DDOS攻击服务，在保证阻止DDOS攻击的前提下，有效的保证了防火墙的性能。

根据本发明的一个方面，提供了一种防火墙抗分布式拒绝服务DDOS攻击的方法，包括：

检测防火墙CPU的当前使用率；

判断所述当前使用率是否大于预设的CPU使用率安全临界值；

当所述当前使用率大于所述安全临界值时，开启抗DDOS攻击服务；

当所述当前使用率小于或等于所述安全临界值时，关闭抗DDOS攻击服务。

上述方案中，所述检测防火墙CPU的当前使用率之前，还包括：获取防火墙CPU的使用率的统计信息，根据所述统计信息预设所述CPU使用率安全临界值。

上述方案中，所述统计信息至少包括：当日防火墙CPU使用率的统计值、当前周防火墙CPU使用率的统计值和当前月防火墙CPU使用率的统计值。

上述方案中，所述根据所述统计信息预设所述CPU使用率安全临界值，包括：根据所述当日防火墙CPU使用率的统计值、所述当前周防火墙CPU使用率的统计值和所述当前月防火墙CPU使用率的统计值中的一项或多项的组合，预设所述CPU使用率安全临界值。

上述方案中，所述当日防火墙CPU使用率的统计值包括当日防火墙CPU使用率的最大值和平均值；所述当前周防火墙CPU使用率的统计值包括当前周防火墙CPU使用率的最大值和平均值；所述当前月防火墙CPU使用率的统计值包括当前月防火墙CPU使用率的最大值和平均值。

根据本发明的另一个方面，还提供了一种防火墙抗分布式拒绝服务DDOS攻击的装置，所述装置包括：

使用率检测单元，用于检测防火墙CPU的当前使用率；

DDOS启闭判断单元，与使用率检测单元相连，用于判断所述当前使用率是否大于预设的CPU使用率安全临界值，并用于当所述当前使用率大于所述安全临界值时，触发抗DDOS攻击模块开启抗DDOS攻击服务，当所述当前使用率小于或等于所述安全临界值时，触发抗DDOS攻击模块关闭抗DDOS攻击服务；

抗DDOS攻击单元，与DDOS启闭判断单元相连，用于提供抗DDOS攻击服务。

上述方案中，所述装置还包括：统计信息获取单元，用于获取防火墙CPU的使用率的统计信息；安全临界值设定单元，分别与所述统计信息获取单元和所述DDOS启闭判断单元相连，用于根据所述统计信息预设所述CPU使用率安全临界值。

上述方案中，所述统计信息至少包括：当日防火墙CPU使用率的统计值、当前周防火墙CPU使用率的统计值和当前月防火墙CPU使用率的统计值。

上述方案中，所述根据所述统计信息预设所述CPU使用率安全临界值，包括：根据所述当日防火墙CPU使用率的统计值、所述当前周防火墙CPU使用率的统计值和所述当前月防火墙CPU使用率的统计值中的一项或多项的组合，预设所述CPU使用率安全临界值。

上述方案中，所述当日防火墙CPU使用率的统计值包括当日防火墙CPU使用率的最大值和平均值；所述当前周防火墙CPU使用率的统计值包括当前周防火墙CPU使用率的最大值和平均值；所述当前月防火墙CPU使用率的统计值包括当前月防火墙CPU使用率的最大值和平均值。