[发明专利]一种分布式拒绝服务攻击的防御方法、设备及系统

摘要

本发明公开了一种分布式拒绝服务攻击的防御方法、设备及系统，该方法包括：检测被保护网络中的各业务的业务流量信息以及被保护网络中的各设备的设备资源信息；若在任一时刻，确定任一业务的业务流量不小于所述任一业务在所述任一时刻的预设流量阈值和/或确定任一设备的任一设备资源不小于所述任一设备的所述任一设备资源在所述任一时刻的预设资源阈值，则对访问被保护网络的网络流量进行流量清洗，并将清洗后的网络流量回引至所述被保护网络。在本方案中，由于可从网络流量和设备资源两个维度判断被保护网络是否遭受了DDoS攻击，因而可解决目前存在的小流量DDoS攻击行为难以被及时发现的问题，提高了检测DDoS攻击的及时性和准确性。

主权项

1.一种分布式拒绝服务攻击DDoS的防御方法，其特征在于，包括：检测被保护网络中的各业务的业务流量信息以及所述被保护网络中的各设备的设备资源信息；若在任一时刻，确定检测到的任一业务的业务流量不小于所述任一业务在所述任一时刻的预设流量阈值和/或确定检测到的任一设备的任一设备资源不小于所述任一设备的所述任一设备资源在所述任一时刻的预设资源阈值，则对访问所述被保护网络的网络流量进行流量清洗，并将清洗后的网络流量回引至所述被保护网络；其中，针对任一业务，通过以下方式确定所述任一业务在任一时刻的预设流量阈值：根据所述被保护网络处于正常运行状态时所检测到的、设定周期内的所述任一业务每一天的业务流量信息，确定所述任一业务在所述设定周期内的每一天的业务流量曲线；对所确定的所述任一业务在所述设定周期内的每一天的业务流量曲线进行训练，得到所述任一业务每一天的正常业务流量曲线模型，并根据所述正常业务流量曲线模型确定所述任一业务在每一天的任一时刻的预设流量阈值；针对任一设备的任一设备资源，通过以下方式确定所述任一设备的所述任一设备资源在任一时刻的预设资源阈值：根据所述任一设备处于正常运行状态时所检测到的、设定周期内的所述任一设备的所述任一设备资源每一天的设备资源信息，确定所述任一设备的所述任一设备资源在所述设定周期内的每一天的设备资源曲线；对所确定的所述任一设备的所述任一设备资源在所述设定周期内的每一天的设备资源曲线进行训练，得到所述任一设备的所述任一设备资源每一天的正常设备资源曲线模型，并根据所述正常设备资源曲线模型确定所述任一设备的所述任一设备资源在每一天的任一时刻的预设资源阈值；其中，在确定检测到的任一业务的业务流量不小于预先设定的与所述任一业务相对应的流量阈值和/或确定检测到的任一设备的任一设备资源不小于预先设定的与所述任一设备资源相对应的资源阈值之后，且对访问所述被保护网络的网络流量进行流量清洗之前，所述方法还包括：根据在业务流量异常时间段内或设备资源异常时间段内检测到的、任一业务每一天的业务流量信息，确定所述任一业务在所述业务流量异常时间段内或设备资源异常时间段内的每一天的业务流量曲线，并对所确定的所述任一业务在所述业务流量异常时间段内或设备资源异常时间段内的每一天的业务流量曲线进行训练，得到所述任一业务在所述业务流量异常时间段内或设备资源异常时间段内的每一天的异常业务流量曲线模型；以及，根据在业务流量异常时间段内或设备资源异常时间段内检测到的、任一设备的任一设备资源每一天的设备资源信息，确定所述任一设备的所述任一设备资源在所述业务流量异常时间段内或设备资源异常时间段内的每一天的设备资源曲线，并对所确定的所述任一设备的所述任一设备资源在所述业务流量异常时间段内或设备资源异常时间段内的每一天的设备资源曲线进行训练，得到所述任一设备的所述任一设备资源在所述业务流量异常时间段内或设备资源异常时间段内的每一天的异常设备资源曲线模型；将由各业务每一天的正常业务流量曲线模型组成的正常业务流量曲线总模型以及由设定设备的各设备资源每一天的正常设备资源曲线模型组成的正常设备资源曲线总模型进行关联，得到第一关联模型，并将所述第一关联模型与第二关联模型进行对比分析，确定业务流量异常或设备资源异常时的攻击类型；其中，所述第二关联模型是通过对由各业务每一天的异常业务流量曲线模型组成的异常业务流量曲线总模型以及由所述设定设备的各设备资源每一天的异常设备资源曲线模型组成的异常设备资源曲线总模型进行关联后所得到的。