[发明专利]攻击防御方法及装置、系统

说明书

技术领域

本发明涉及网络安全领域，具体而言，涉及一种攻击防御方法及装置、系统。

背景技术

分布式拒绝服务(Distributed Denial of Service，简称为DDoS)攻击的原理是找到被攻击者的资源瓶颈，通过消耗资源的方式达到被攻击者业务不可用的目的。目前互联网业务中，服务器CPU，内存，带宽，数据库等都可能成为资源瓶颈。一般来说，由于带宽成本很高，针对带宽的DDoS攻击对云计算服务平台的影响较为严重。

目前，当攻击流量超过业务方的承受范围时，为了不影响同一机房的其他业务，业务方有时会通过在运营商网络中发布黑洞路由的方式屏蔽被攻击IP的访问，在骨干网丢弃所有的DDoS流量。目前通常采用的路由黑洞防御方案是：对所有运营商发布到该IP的黑洞路由，屏蔽DDoS攻击。

但是，上述路由黑洞方案存在以下缺点：黑洞配置不灵活，容易被黑客利用：由于黑洞后无法监控流量，云计算服务商只能等待固定时间后尝试解除，这就使得在黑客获得路由黑洞的规律后在固定时间段进行攻击就可以达到始终屏蔽受害者业务的目的。

针对上述的问题，目前尚未提出有效的解决方案。

发明内容

根据本申请实施例的一个方面，提供了一种攻击防御方法，包括：获取指定IP地址的当前数据传输速率；比较所述当前数据传输速率与预设阈值，得到比较结果；并且依据所述比较结果在与所述比较结果对应的发布范围发布所述IP地址的黑洞路由。

根据本申请实施例的另一方面，还提供了一种攻击防御装置，包括：获取模块，用于获取指定IP地址的当前数据传输速率；比较模块，用于比较所述当前数据传输速率与预设阈值；发布模块，用于依据所述比较模块输出的比较结果在与所述比较结果对应的发布范围发布所述IP地址的黑洞路由。

在本申请实施例中，采用依据指定IP地址的当前数据传输速率与预设阈值的比较结果来确定该指定IP地址的黑洞路由的方式，这样，便可以在不同的黑洞路由发布范围来控制黑洞的时间和数量，即可以在不同的发布范围采用不同的策略，从而可以在一定程度上减少黑洞数量和黑洞时间的影响，并且，由于考虑了当前攻击的流量(即当前数据传输速率)，因此，增加了黑客获取路由黑洞方案的规律的难度，进而解决了现有的路由黑洞方案存在的路由黑洞配置不灵活的技术问题。

附图说明

此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：

图1是本申请实施例的一种攻击防御方法的计算机终端的硬件结构框图；

图2是根据本申请实施例的一种可选的攻击防御方法的流程示意图；

图3为根据本申请实施例的一种可选的攻击防御的实现原理示意图；

图4是根据本申请实施例的一种可选的攻击防御装置的结构框图；

图5是根据本申请实施例的一种可选的攻击防御系统的结构框图；

图6是根据本申请实施例的另一种可选的攻击防御系统的结构示意图；

图7是根据本申请实施例的一种计算机终端的结构框图。

具体实施方式

为了使本技术领域的人员更好地理解本申请方案，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分的实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本申请保护的范围。

需要说明的是，本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的 任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。

为便于理解，以下将本申请实施例中涉及到的技术术语解释如下：