[发明专利]一种分布式拒绝服务攻击的防护方法和相关装置

说明书

本申请公开了一种分布式拒绝服务攻击的防护方法和相关装置，用于面对复杂多变的攻击手法和多种多样的业务场景，通过自定义防护策略实现对DDoS攻击的防护。本申请方法包括：当接收到攻击告警时，若防护设备预设的配置文件中不存在自定义表达式，则读取数据库中的自定义表达式，自定义表达式动态配置有防护策略；向防护设备发送自定义表达式，使得防护设备将自定义表达式存入配置文件，自定义表达式用于指示防护设备调用与防护策略相匹配的功能模块，对流向目标网络地址的流量进行清洗，相匹配的功能模块包含于防护设备中按预置规则划分的至少两个功能模块。

技术领域

本申请涉及网络安全技术领域，尤其涉及一种分布式拒绝服务攻击的防护方法和相关装置。

背景技术

分布式拒绝服务(Distributed Denial of Service，DDoS)攻击是指，黑客利用DDoS攻击器控制多台计算机同时攻击来达到“妨碍正常使用者使用服务”的目的。通常DDoS攻击可以分为网络层攻击和应用层攻击两大类，其中网络层攻击也叫流量型攻击。目前，DDoS攻击已经成为常见的高危害性安全威胁之一，而遭受DDoS攻击的主要原因有恶作剧、恶性竞争、敲诈勒索、政治因素和其他原因。DDoS攻击是影响企业网络正常运行最常见的方式，其带来的最大危害是因服务不可使用而导致业务丢失，而且危害带来的影响在DDoS攻击结束后的很长一段时间内都无法消失，使得企业和组织损失惨重。

抗拒绝服务系统(anti-DDoS Protection systems，ADS)是专门用于检测和防护DDoS攻击，以实现对攻击流量的清洗，保持服务器业务稳定的防护系统。

而现有的ADS系统的各个功能之间相对独立，在面对现网复杂多变的攻击手法和多种多样的业务场景时，不能起到有效的防护作用。

发明内容

本申请实施例提供了一种分布式拒绝服务攻击的防护方法和相关装置，用于面对复杂多变的攻击手法和多种多样的业务场景，通过自定义防护策略实现对DDoS攻击的防护。

有鉴于此，本申请实施例第一方面提供一种分布式拒绝服务攻击的防护方法，应用于控制设备，包括：

当接收到攻击告警时，若防护设备预设的配置文件中不存在自定义表达式，则读取数据库中的自定义表达式，所述自定义表达式动态配置有防护策略；

向所述防护设备发送所述自定义表达式，使得所述防护设备将所述自定义表达式存入所述配置文件，所述自定义表达式用于指示所述防护设备调用与所述防护策略相匹配的功能模块，对流向目标网络地址的流量进行清洗，所述相匹配的功能模块包含于所述防护设备中按预置规则划分的至少两个功能模块。

本申请实施例第二方面提供一种分布式拒绝服务攻击的防护方法，应用于防护设备，包括：

接收控制设备发送的自定义表达式；

将所述自定义表达式存入预设的配置文件，所述自定义表达式动态配置有防护策略，所述自定义表达式由所述控制设备在接收到攻击告警且所述配置文件中不存在自定义表达式时，从数据库中读取并发送的；

根据所述自定义表达式调用与所述防护策略相匹配的功能模块，对流向目标网络地址的流量进行清洗，所述相匹配的功能模块包含于所述防护设备中按预置规则划分的至少两个功能模块。

在本申请实施例第二方面的第一种实现方式中，所述的防护方法还包括：

接收所述控制设备发送的清除指令，所述清除指令是以清洗流向目标网络地址的流量完成时开始，经过预设一段时间后，由所述控制设备发送的；

根据所述清除指令清除所述配置文件中的自定义表达式。

本申请实施例第三方面提供一种分布式拒绝服务攻击的防护装置，应用于控制设备，包括：