[发明专利]一种攻击防护方法、系统、装置和存储介质

权利要求书

1.一种分布式拒绝服务攻击防护方法，其特征在于，包括：

接收目标防护模块发布的目标路由，所述目标路由由所述目标防护模块根据分布式拒绝服务攻击的目标地址生成，所述目标防护模块是所述目标地址在预设的网络通信模型中所在的层级对应的防护模块，所述目标路由是检测到分布式拒绝服务攻击时，触发所述目标防护模块向清洗交换机发布的；

获取当前已发布路由的防护模块的优先级信息；

根据所述优先级信息，以所述目标防护模块为路径终点生成牵引路径；

根据所述牵引路径，将指向所述目标路由的业务流量牵引到相应的防护模块进行清洗。

2.如权利要求1所述的方法，其特征在于，所述根据所述优先级信息，以所述目标防护模块为路径终点生成牵引路径，包括：

根据所述优先级信息，获取优先级高于所述目标防护模块的防护模块作为前序防护模块；

根据所述前序防护模块和目标防护模块的优先级，以所述目标防护模块为路径终点生成牵引路径。

3.如权利要求2所述的方法，其特征在于，所述根据所述前序防护模块和目标防护模块的优先级，以所述目标防护模块为路径终点生成牵引路径，包括：

根据所述优先级信息，按照优先级从高到低的顺序对所述前序防护模块和目标防护模块进行排序；

依据所述排序，将优先级最高的前序防护模块作为路径起点、且所述目标防护模块作为路径终点，生成牵引路径。

4.如权利要求1所述的方法，其特征在于，所述牵引路径中包括一个或多个排序在所述目标防护模块之前的前序防护模块，所述根据所述牵引路径，将指向所述目标路由的业务流量到相应的防护模块进行清洗，包括：

根据所述牵引路径，将指向所述目标路由的业务流量牵引到所述前序防护模块，以便所述前序防护模块进行攻击性检测；

若所述业务流量被所述前序防护模块确定为安全流量，则根据所述牵引路径，将所述业务流量牵引到下一前序防护模块或所述目标防护模块进行攻击性检测。

5.如权利要求4所述的方法，其特征在于，将所述业务流量牵引到所述目标防护模块进行攻击性检测，之后还包括：

若所述业务流量被所述目标防护模块确定为安全流量，则将所述业务流量回源到所述目标地址。

6.如权利要求4所述的方法，其特征在于，还包括：

若收到所述前序防护模块和/或目标防护模块在攻击性检测过程中返回的回注流量，则将所述回注流量返回所述业务流量对应的客户端。

7.如权利要求4所述的方法，其特征在于，还包括：

获取所述前序防护模块和/或目标防护模块的攻击性检测结果；

根据所述攻击性检测结果分析得到攻击信息，将所述攻击信息共享给所述牵引路径中的防护模块。

8.一种分布式拒绝服务攻击防护系统，其特征在于，包括：

检测设备，用于检测到分布式拒绝服务攻击时，触发目标防护集群向清洗交换机发布目标路由，所述目标路由由所述目标防护集群根据分布式拒绝服务攻击的目标地址生成，所述目标防护集群是所述目标地址在预设的网络通信模型中所在的层级对应的防护模块；

清洗交换机，用于接收目标防护集群发布的目标路由，所述目标路由由所述目标防护集群根据分布式拒绝服务攻击的目标地址生成；获取当前已发布路由的防护集群的优先级信息；根据所述优先级信息，以所述目标防护集群为路径终点生成牵引路径；根据所述牵引路径，将指向所述目标路由的业务流量牵引到相应的防护集群进行清洗；

防护集群，至少包括目标防护集群，用于向所述清洗交换机发布路由；对所述清洗交换机牵引的业务流量进行清洗。