專利名稱:一種用于防御指向多業(yè)務(wù)系統(tǒng)的DDoS攻擊的方法與設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域,尤其涉及一種用于防御指向多業(yè)務(wù)系統(tǒng)的DDoS 攻擊的技術(shù)�����。
背景技術(shù):
隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展與應(yīng)用普及����,網(wǎng)絡(luò)上的多業(yè)務(wù)系統(tǒng)面臨著更多、更復(fù)雜的網(wǎng)絡(luò)攻擊行為�����,其中���,DDoS (Distributed Denial of Service���,分布式拒絕服務(wù))便是一種較為嚴重的網(wǎng)絡(luò)攻擊行為,它利用大量的傀儡機對某個系統(tǒng)同時發(fā)起攻擊���,使得受攻擊的該系統(tǒng)因帶寬擁塞或服務(wù)器資源耗盡等原因而無法支持正常的業(yè)務(wù)訪問���。在現(xiàn)有技術(shù)中����,多業(yè)務(wù)系統(tǒng)往往通過在網(wǎng)絡(luò)層面引入串聯(lián)式或旁路式的清洗設(shè)備�����,以抵御DDoS的攻擊活動���。這雖然在一定程度上改善了該多業(yè)務(wù)系統(tǒng)的抗DDoS攻擊的能力�����,但也存在因個別業(yè)務(wù)遭受DDoS攻擊而影響整個多業(yè)務(wù)系統(tǒng)的正常服務(wù)的問題����,例如�, 當某個業(yè)務(wù)遭受DDoS攻擊時��,指向該多業(yè)務(wù)系統(tǒng)的所有訪問請求����,包括DDoS攻擊行為與面向該多業(yè)務(wù)系統(tǒng)中的其他業(yè)務(wù)的訪問請求,往往都會被牽引至清洗設(shè)備進行清洗�����,從而影響了該業(yè)務(wù)系統(tǒng)對于這些面向其他業(yè)務(wù)的訪問請求的響應(yīng)。因此���,如何改善多業(yè)務(wù)系統(tǒng)抗DDoS攻擊的能力��,以降低受攻擊業(yè)務(wù)對其他業(yè)務(wù)的訪問請求的影響��,成為目前亟須解決的技術(shù)問題之一���。
發(fā)明內(nèi)容
本發(fā)明的目的是提供一種用于防御指向多業(yè)務(wù)系統(tǒng)的DDoS攻擊的方法與設(shè)備。根據(jù)本發(fā)明的一個方面����,提供了一種由計算機實現(xiàn)的用于防御指向多業(yè)務(wù)系統(tǒng)的 DDoS攻擊的方法,其中��,該方法包括以下步驟a根據(jù)預(yù)置的DDoS攻擊觸發(fā)條件��,檢測與多業(yè)務(wù)系統(tǒng)相對應(yīng)的網(wǎng)絡(luò)訪問流量中是否存在DDoS攻擊����;b當存在所述DDoS攻擊時,根據(jù)所述DDoS攻擊所對應(yīng)的所述DDoS攻擊觸發(fā)條件�����, 確定所述DDoS攻擊所指向的目標業(yè)務(wù);c根據(jù)所述目標業(yè)務(wù)的業(yè)務(wù)相關(guān)信息���,對與所述多業(yè)務(wù)系統(tǒng)相對應(yīng)的網(wǎng)絡(luò)訪問流量中與所述目標業(yè)務(wù)相對應(yīng)的網(wǎng)絡(luò)訪問流量進行防御處理���。根據(jù)本發(fā)明的另一方面,還提供了一種用于防御指向多業(yè)務(wù)系統(tǒng)的DDoS攻擊的網(wǎng)絡(luò)安全設(shè)備�����,其中����,該設(shè)備包括攻擊檢測裝置,用于根據(jù)預(yù)置的DDoS攻擊觸發(fā)條件����,檢測與多業(yè)務(wù)系統(tǒng)相對應(yīng)的網(wǎng)絡(luò)訪問流量中是否存在DDoS攻擊����;目標確定裝置,用于當存在所述DDoS攻擊時��,根據(jù)所述DDoS攻擊所對應(yīng)的所述 DDoS攻擊觸發(fā)條件,確定所述DDoS攻擊所指向的目標業(yè)務(wù)���;防御處理裝置��,用于根據(jù)所述目標業(yè)務(wù)的業(yè)務(wù)相關(guān)信息�����,對與所述多業(yè)務(wù)系統(tǒng)相對應(yīng)的網(wǎng)絡(luò)訪問流量中與所述目標業(yè)務(wù)相對應(yīng)的網(wǎng)絡(luò)訪問流量進行防御處理����。
與現(xiàn)有技術(shù)相比���,本發(fā)明通過檢測DDoS攻擊所針對的目標業(yè)務(wù)�,并根據(jù)該目標業(yè)務(wù)的業(yè)務(wù)相關(guān)信息進行相應(yīng)的防御處理�,不僅限制了該DDoS對整個多業(yè)務(wù)系統(tǒng)的不良影響,也有效支持了面向該多業(yè)務(wù)系統(tǒng)中的其他業(yè)務(wù)的訪問請求��,從而有效提高了整個多業(yè)務(wù)系統(tǒng)抵御DDoS的信息安全能力��。
通過閱讀參照以下附圖所作的對非限制性實施例所作的詳細描述�,本發(fā)明的其它特征、目的和優(yōu)點將會變得更明顯圖1示出根據(jù)本發(fā)明一個方面的用于防御指向多業(yè)務(wù)系統(tǒng)的DDoS攻擊的設(shè)備示意圖�����;圖2示出根據(jù)本發(fā)明一個優(yōu)選實施例的用于防御指向多業(yè)務(wù)系統(tǒng)的DDoS攻擊的設(shè)備示意圖;圖3示出根據(jù)本發(fā)明另一個方面的用于防御指向多業(yè)務(wù)系統(tǒng)的DDoS攻擊的方法流程圖��;圖4示出根據(jù)本發(fā)明一個優(yōu)選實施例的用于防御指向多業(yè)務(wù)系統(tǒng)的DDoS攻擊的方法流程圖����。附圖中相同或相似的附圖標記代表相同或相似的部件�。-
具體實施例方式下面結(jié)合附圖對本發(fā)明作進一步詳細描述。圖1示出根據(jù)本發(fā)明一個方面的用于防御指向多業(yè)務(wù)系統(tǒng)的DDoS攻擊的設(shè)備示意圖�;其中�����,網(wǎng)絡(luò)安全設(shè)備1包括攻擊檢測裝置11��、目標確定裝置12和防御處理裝置13 ����;多業(yè)務(wù)系統(tǒng)用于提供兩種或兩種以上類型的業(yè)務(wù)訪問�����,其包括但不限于網(wǎng)站���、主機托管中心�����、 IDCdnternet Data Center�����,互聯(lián)網(wǎng)數(shù)據(jù)中心)等����。網(wǎng)絡(luò)安全設(shè)備1與多業(yè)務(wù)系統(tǒng)通過網(wǎng)絡(luò)相連接����,通過檢測DDoS攻擊所針對的目標業(yè)務(wù),并根據(jù)該目標業(yè)務(wù)的業(yè)務(wù)相關(guān)信息進行相應(yīng)的防御處理�����,不僅限制了該DDoS對整個多業(yè)務(wù)系統(tǒng)的不良影響�,也有效支持了面向該多業(yè)務(wù)系統(tǒng)中的其他業(yè)務(wù)的訪問請求,從而有效提高了整個多業(yè)務(wù)系統(tǒng)抵御DDoS的信息安全能力����。在此��,網(wǎng)絡(luò)安全設(shè)備1����、多業(yè)務(wù)系統(tǒng)包括但不限于網(wǎng)絡(luò)主機��、單個網(wǎng)絡(luò)服務(wù)器����、多個網(wǎng)絡(luò)服務(wù)器集或多個服務(wù)器構(gòu)成的云。在此�����,云由基于云計算(Cloud Computing)的大量計算機或網(wǎng)絡(luò)服務(wù)器構(gòu)成��,其中��,云計算是分布式計算的一種����,由一群松散耦合的計算機集組成的一個超級虛擬計算機。在此��,所述網(wǎng)絡(luò)包括但不限于互聯(lián)網(wǎng)、廣域網(wǎng)��、城域網(wǎng)����、局域網(wǎng)���、VPN網(wǎng)絡(luò)���、無線自組織網(wǎng)絡(luò)(Ad Hoc網(wǎng)絡(luò))等;網(wǎng)絡(luò)安全設(shè)備1與多業(yè)務(wù)系統(tǒng)之間的通信方式包括但不限于基于諸如TCP/IP協(xié)議��、UDP協(xié)議等的分組數(shù)據(jù)傳輸���。本領(lǐng)域技術(shù)人員應(yīng)能理解上述網(wǎng)絡(luò)安全設(shè)備1��、多業(yè)務(wù)系統(tǒng)以及連接其間的網(wǎng)絡(luò)����、通信方式僅為舉例��,其他現(xiàn)有的或今后可能出現(xiàn)的網(wǎng)絡(luò)安全設(shè)備��、多業(yè)務(wù)系統(tǒng)或網(wǎng)絡(luò)、通信方式如可適用于本發(fā)明����, 也應(yīng)包含在本發(fā)明保護范圍以內(nèi),并在此以引用方式包含于此��。攻擊檢測裝置11根據(jù)預(yù)置的DDoS攻擊觸發(fā)條件��,檢測與多業(yè)務(wù)系統(tǒng)相對應(yīng)的網(wǎng)絡(luò)訪問流量中是否存在DDoS攻擊���。具體地���,攻擊檢測裝置11根據(jù)預(yù)置的DDoS攻擊觸發(fā)條件,如與所述多業(yè)務(wù)系統(tǒng)相對應(yīng)的網(wǎng)絡(luò)訪問流量中存在符合DDoS攻擊特征的數(shù)據(jù)包��、與所述多業(yè)務(wù)系統(tǒng)中一個或多個業(yè)務(wù)相對應(yīng)的網(wǎng)絡(luò)訪問流量中存在符合DDoS攻擊特征的數(shù)據(jù)包���、所述多業(yè)務(wù)系統(tǒng)中一個或多個業(yè)務(wù)存在與DDoS攻擊行為相關(guān)的性能變化信息����,檢測對應(yīng)于該多業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)訪問流量中是否存在DDoS攻擊�。例如,攻擊檢測裝置11檢測到該多業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)訪問流量中存在符合DDoS攻擊特征的數(shù)據(jù)包��,如超過一定數(shù)量預(yù)置的SYN數(shù)據(jù)包或UDP數(shù)據(jù)包,則確定對應(yīng)于該多業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)訪問流量中是否存在DDoS 攻擊�����。又如��,攻擊檢測裝置11檢測到該多業(yè)務(wù)系統(tǒng)中一個或多個業(yè)務(wù)相對應(yīng)的網(wǎng)絡(luò)訪問流量中存在符合DDoS攻擊特征的數(shù)據(jù)包��,如超過一定數(shù)量預(yù)置的SYN數(shù)據(jù)包或UDP數(shù)據(jù)包���, 則確定對應(yīng)于該多業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)訪問流量中是否存在DDoS攻擊。再如�����,攻擊檢測裝置11 檢測到該多業(yè)務(wù)系統(tǒng)中一個或多個業(yè)務(wù)存在與DDoS攻擊行為相關(guān)的性能變化信息�����,如超過一定數(shù)量預(yù)置的訪問請求超時或服務(wù)器可用資源低于資源閾值�����,則確定對應(yīng)于該多業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)訪問流量中是否存在DDoS攻擊��。本領(lǐng)域技術(shù)人員應(yīng)能理解上述檢測DDoS攻擊的方式僅為舉例,其他現(xiàn)有的或今后可能出現(xiàn)的檢測DDoS攻擊的方式如可適用于本發(fā)明�, 也應(yīng)包含在本發(fā)明保護范圍以內(nèi),并在此以引用方式包含于此���。優(yōu)選地��,所述攻擊檢測裝置 11不僅可以針對該多業(yè)務(wù)系統(tǒng)集中部署�����,也可以針對該多業(yè)務(wù)系統(tǒng)中的各個業(yè)務(wù)子系統(tǒng)分別部署攻擊檢測前端���,其中,這些分別部署的攻擊檢測前端通過網(wǎng)絡(luò)與攻擊檢測裝置11相連接���,并由攻擊檢測裝置11匯總這些攻擊檢測前端所報告的針對不同業(yè)務(wù)子系統(tǒng)的DDoS 攻擊檢測結(jié)果����,以確定該多業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)訪問流量中是否存在DDoS攻擊�����。在此�����,這些攻擊檢測前端的實現(xiàn)方式與前述攻擊檢測裝置11基本相同,為簡便起見���,不再贅述�����,并引用的方式包含于此�����。本領(lǐng)域技術(shù)人員應(yīng)能理解上述部署攻擊檢測裝置的方式僅為舉例,其他現(xiàn)有的或今后可能出現(xiàn)的部署攻擊檢測裝置的方式如可適用于本發(fā)明����,也應(yīng)包含在本發(fā)明保護范圍以內(nèi),并在此以引用方式包含于此����。 當存在所述DDoS攻擊時,目標確定裝置12根據(jù)所述DDoS攻擊所對應(yīng)的所述DDoS 攻擊觸發(fā)條件����,確定所述DDoS攻擊所指向的目標業(yè)務(wù)���。具體地,當攻擊檢測裝置11確定存在DDoS攻擊時��,目標確定裝置12根據(jù)攻擊檢測裝置11所確定的DDoS攻擊觸發(fā)條件��,如與所述多業(yè)務(wù)系統(tǒng)相對應(yīng)的網(wǎng)絡(luò)訪問流量中存在符合DDoS攻擊特征的數(shù)據(jù)包��、與所述多業(yè)務(wù)系統(tǒng)中一個或多個業(yè)務(wù)相對應(yīng)的網(wǎng)絡(luò)訪問流量中存在符合DDoS攻擊特征的數(shù)據(jù)包�、所述多業(yè)務(wù)系統(tǒng)中一個或多個業(yè)務(wù)存在與DDoS攻擊行為相關(guān)的性能變化信息,確定該DDoS 攻擊所指向的目標業(yè)務(wù)�����。例如�,當攻擊檢測裝置11所確定的DDoS攻擊觸發(fā)條件為與所述多業(yè)務(wù)系統(tǒng)相對應(yīng)的網(wǎng)絡(luò)訪問流量中存在符合DDoS攻擊特征的數(shù)據(jù)包時,目標確定裝置12 通過諸如對這些符合DDoS攻擊特征的數(shù)據(jù)包進行深度包檢測(De印Packet Inspection, DPI)�,獲取這些數(shù)據(jù)包所指向的業(yè)務(wù),從而確定該DDoS攻擊所指向的目標業(yè)務(wù)�。又如,當攻擊檢測裝置11所確定的DDoS攻擊觸發(fā)條件為與所述多業(yè)務(wù)系統(tǒng)中一個或多個業(yè)務(wù)相對應(yīng)的網(wǎng)絡(luò)訪問流量中存在符合DDoS攻擊特征的數(shù)據(jù)包時����,目標確定裝置12確定所述一個或多個業(yè)務(wù)為該DDoS攻擊所指向的目標業(yè)務(wù)。再如�,當攻擊檢測裝置11所確定的DDoS攻擊觸發(fā)條件為所述多業(yè)務(wù)系統(tǒng)中一個或多個業(yè)務(wù)存在與DDoS攻擊行為相關(guān)的性能變化信息時����,目標確定裝置12確定所述一個或多個業(yè)務(wù)為該DDoS攻擊所指向的目標業(yè)務(wù)�。在此,所述目標業(yè)務(wù)包括所述多業(yè)務(wù)系統(tǒng)中該DDoS所指向的一個或多個業(yè)務(wù)��,即該一個或多個業(yè)務(wù)遭受該DDoS攻擊����。本領(lǐng)域技術(shù)人員應(yīng)能理解上述確定DDoS攻擊所指向的目標業(yè)務(wù)的方式僅為舉例,其他現(xiàn)有的或今后可能出現(xiàn)的確定DDoS攻擊所指向的目標業(yè)務(wù)的方式如可適用于本發(fā)明����,也應(yīng)包含在本發(fā)明保護范圍以內(nèi),并在此以引用方式包含于此�。防御處理裝置13根據(jù)所述目標業(yè)務(wù)的業(yè)務(wù)相關(guān)信息����,對與所述多業(yè)務(wù)系統(tǒng)相對應(yīng)的網(wǎng)絡(luò)訪問流量中與所述目標業(yè)務(wù)相對應(yīng)的網(wǎng)絡(luò)訪問流量進行防御處理。具體地����,防御處理裝置13根據(jù)所述目標業(yè)務(wù)的業(yè)務(wù)相關(guān)信息,如所述目標業(yè)務(wù)的訪問標識信息��、與所述目標業(yè)務(wù)相對應(yīng)的超鏈接的主機域信息、與所述目標業(yè)務(wù)相對應(yīng)的標識序列信息�����,通過所述多業(yè)務(wù)系統(tǒng)的入口網(wǎng)絡(luò)設(shè)備�����,如所述多業(yè)務(wù)系統(tǒng)內(nèi)部的防火墻設(shè)備或其外部的路由器設(shè)備���,在與所述多業(yè)務(wù)系統(tǒng)相對應(yīng)的網(wǎng)絡(luò)訪問流量中識別與所述目標業(yè)務(wù)相對應(yīng)的網(wǎng)絡(luò)訪問流量�,并對所識別的網(wǎng)絡(luò)訪問流量進行防御處理����,如直接丟棄所識別的網(wǎng)絡(luò)訪問流量,或者通過旁路路由將其牽引并經(jīng)清洗后回注至該多業(yè)務(wù)系統(tǒng)�����。例如���,防御處理裝置13根據(jù)目標業(yè)務(wù)相對應(yīng)的超鏈接的主機域(HOST)信息����,通過所述多業(yè)務(wù)系統(tǒng)的入口網(wǎng)絡(luò)設(shè)備,如所述多業(yè)務(wù)系統(tǒng)內(nèi)部的防火墻設(shè)備或其外部的路由器設(shè)備�����,從與所述多業(yè)務(wù)系統(tǒng)相對應(yīng)的網(wǎng)絡(luò)訪問流量中�����,提取與所述主機域信息相匹配的網(wǎng)絡(luò)訪問流量����,以作為與所述目標業(yè)務(wù)相對應(yīng)的網(wǎng)絡(luò)訪問流量,并通過旁路路由將其牽引并經(jīng)清洗后回注至該多業(yè)務(wù)系統(tǒng)����。在此,所述業(yè)務(wù)相關(guān)信息可由網(wǎng)絡(luò)安全設(shè)備1通過該多業(yè)務(wù)系統(tǒng)中的相關(guān)設(shè)備等第三方設(shè)備所提供的應(yīng)用程序接口(API)或其他約定的通信方式�����,從第三方設(shè)備直接獲取����,或者由網(wǎng)絡(luò)安全設(shè)備1通過對該多業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)訪問流量進行統(tǒng)計分析獲取。優(yōu)選地�����,所述業(yè)務(wù)相關(guān)信息包括但不限于��,以下至少任一項所述目標業(yè)務(wù)的訪問標識信息�、與所述目標業(yè)務(wù)相對應(yīng)的超鏈接的主機域信息、與所述目標業(yè)務(wù)相對應(yīng)的標識序列信息�����。例如���,所述訪問標識信息包括用于唯一標識所述目標業(yè)務(wù)的描述信息���,如郵件服務(wù)器的外網(wǎng)地址;當網(wǎng)絡(luò)訪問流量中包含該外網(wǎng)地址作為目的地址時��,則確定該網(wǎng)絡(luò)訪問流量指向該郵件服務(wù)器�����。又如���,所述標識序列信息是由不同業(yè)務(wù)在訪問請求的頭部插入的字符序列�,如C00KIE-ID,以防止請求欺騙����;當網(wǎng)絡(luò)訪問流量的頭部包含該C00KIE-ID時,則確定該網(wǎng)絡(luò)訪問流量指向該郵件服務(wù)器�����。本領(lǐng)域技術(shù)人員應(yīng)能理解上述業(yè)務(wù)相關(guān)信息及其獲取方式僅為舉例����,其他現(xiàn)有的或今后可能出現(xiàn)的業(yè)務(wù)相關(guān)信息或其獲取方式如可適用于本發(fā)明,也應(yīng)包含在本發(fā)明保護范圍以內(nèi)�����,并在此以引用方式包含于此�����。本領(lǐng)域技術(shù)人員應(yīng)能理解上述防御處理的方式僅為舉例��,其他現(xiàn)有的或今后可能出現(xiàn)的防御處理的方式如可適用于本發(fā)明����,也應(yīng)包含在本發(fā)明保護范圍以內(nèi),并在此以引用方式包含于此����。優(yōu)選地,攻擊檢測裝置11���、目標確定裝置12和防御處理裝置13是持續(xù)不斷工作的���。具體地,攻擊檢測裝置11根據(jù)預(yù)置的DDoS攻擊觸發(fā)條件�����,檢測與多業(yè)務(wù)系統(tǒng)相對應(yīng)的網(wǎng)絡(luò)訪問流量中是否存在DDoS攻擊�����;當存在所述DDoS攻擊時����,目標確定裝置12根據(jù)所述 DDoS攻擊所對應(yīng)的所述DDoS攻擊觸發(fā)條件,確定所述DDoS攻擊所指向的目標業(yè)務(wù)�;防御處理裝置13根據(jù)所述目標業(yè)務(wù)的業(yè)務(wù)相關(guān)信息�,對與所述多業(yè)務(wù)系統(tǒng)相對應(yīng)的網(wǎng)絡(luò)訪問流量中與所述目標業(yè)務(wù)相對應(yīng)的網(wǎng)絡(luò)訪問流量進行防御處理�。在此,本領(lǐng)域技術(shù)人員應(yīng)理解“持續(xù)”是指網(wǎng)絡(luò)安全設(shè)備1的各裝置分別按照設(shè)定的或?qū)崟r調(diào)整的工作模式要求進行 DDoS攻擊的檢測�、目標業(yè)務(wù)的確定和DDoS防御處理,直至該攻擊檢測裝置在較長時間內(nèi)停止DDoS攻擊的檢測�����。本領(lǐng)域技術(shù)人員應(yīng)能理解�,在此,攻擊檢測裝置����、目標確定裝置和防御處理裝置僅為示例,在具體的實施例中��,它們既可以是同一個網(wǎng)絡(luò)設(shè)備����,也可以是通過網(wǎng)絡(luò)連接的不同的網(wǎng)絡(luò)設(shè)備;當它們是不同網(wǎng)絡(luò)設(shè)備時�,這些不同網(wǎng)絡(luò)設(shè)備間的網(wǎng)絡(luò)連接與通信方式相互獨立。在此����,所述網(wǎng)絡(luò)設(shè)備包括但不限于網(wǎng)絡(luò)主機��、單個網(wǎng)絡(luò)服務(wù)器�、多個網(wǎng)絡(luò)服務(wù)器集或多個服務(wù)器構(gòu)成的云���。在此,云由基于云計算(Cloud Computing)的大量計算機或網(wǎng)絡(luò)服務(wù)器構(gòu)成���,其中��,云計算是分布式計算的一種���,由一群松散耦合的計算機集組成的一個超級虛擬計算機。在此��,所述網(wǎng)絡(luò)包括但不限于互聯(lián)網(wǎng)�、廣域網(wǎng)、城域網(wǎng)����、局域網(wǎng)、VPN網(wǎng)絡(luò)���、無線自組織網(wǎng)絡(luò)(Ad Hoc網(wǎng)絡(luò))等��;網(wǎng)絡(luò)設(shè)備間的通信方式包括但不限于基于諸如TCP/IP協(xié)議����、 UDP協(xié)議等的分組數(shù)據(jù)傳輸。優(yōu)選地���,所述DDoS攻擊觸發(fā)條件包括以下至少任一項-與所述多業(yè)務(wù)系統(tǒng)相對應(yīng)的網(wǎng)絡(luò)訪問流量中存在符合DDoS攻擊特征的數(shù)據(jù)包��;-與所述多業(yè)務(wù)系統(tǒng)中一個或多個業(yè)務(wù)相對應(yīng)的網(wǎng)絡(luò)訪問流量中存在符合DDoS 攻擊特征的數(shù)據(jù)包����;-所述多業(yè)務(wù)系統(tǒng)中一個或多個業(yè)務(wù)存在與DDoS攻擊行為相關(guān)的性能變化信息�����。具體地�,當DDoS攻擊觸發(fā)條件包括與所述多業(yè)務(wù)系統(tǒng)相對應(yīng)的網(wǎng)絡(luò)訪問流量中存在符合DDoS攻擊特征的數(shù)據(jù)包,攻擊檢測裝置11檢測到該多業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)訪問流量中存在符合DDoS攻擊特征的數(shù)據(jù)包���,如超過一定數(shù)量預(yù)置的SYN數(shù)據(jù)包或UDP數(shù)據(jù)包���,則確定對應(yīng)于該多業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)訪問流量中是否存在DDoS攻擊。當DDoS攻擊觸發(fā)條件包括與所述多業(yè)務(wù)系統(tǒng)中一個或多個業(yè)務(wù)相對應(yīng)的網(wǎng)絡(luò)訪問流量中存在符合DDoS攻擊特征的數(shù)據(jù)包�����,攻擊檢測裝置11檢測到該多業(yè)務(wù)系統(tǒng)中一個或多個業(yè)務(wù)相對應(yīng)的網(wǎng)絡(luò)訪問流量中存在符合DDoS攻擊特征的數(shù)據(jù)包,如超過一定數(shù)量預(yù)置的SYN數(shù)據(jù)包或UDP數(shù)據(jù)包����, 則確定對應(yīng)于該多業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)訪問流量中是否存在DDoS攻擊。當DDoS攻擊觸發(fā)條件包括所述多業(yè)務(wù)系統(tǒng)中一個或多個業(yè)務(wù)存在與DDoS攻擊行為相關(guān)的性能變化信息���,攻擊檢測裝置11檢測到該多業(yè)務(wù)系統(tǒng)中一個或多個業(yè)務(wù)存在與DDoS攻擊行為相關(guān)的性能變化信息,如超過一定數(shù)量預(yù)置的訪問請求超時或服務(wù)器可用資源低于資源閾值����,則確定對應(yīng)于該多業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)訪問流量中是否存在DDoS攻擊。優(yōu)選地�����,攻擊檢測裝置11根據(jù)上述DDoS攻擊觸發(fā)條件的任意組合���,檢測與多業(yè)務(wù)系統(tǒng)相對應(yīng)的網(wǎng)絡(luò)訪問流量中是否存在 DDoS攻擊����。本領(lǐng)域技術(shù)人員應(yīng)能理解上述DDoS攻擊觸發(fā)條件僅為舉例�����,其他現(xiàn)有的或今后可能出現(xiàn)的DDoS攻擊觸發(fā)條件如可適用于本發(fā)明,也應(yīng)包含在本發(fā)明保護范圍以內(nèi)����,并在此以引用方式包含于此。圖2示出根據(jù)本發(fā)明一個優(yōu)選實施例的用于防御指向多業(yè)務(wù)系統(tǒng)的DDoS攻擊的設(shè)備示意圖�����;其中����,所述防御處理裝置13包括牽引單元131’、清洗單元132’和轉(zhuǎn)發(fā)單元 133��,���。牽引單元131’根據(jù)所述目標業(yè)務(wù)的業(yè)務(wù)相關(guān)信息�,對與所述多業(yè)務(wù)系統(tǒng)相對應(yīng)的網(wǎng)絡(luò)訪問流量中與所述目標業(yè)務(wù)相對應(yīng)的網(wǎng)絡(luò)訪問流量進行轉(zhuǎn)發(fā)處理�,以獲得待清洗的原始訪問流量。具體地��,牽引單元131’根據(jù)所述目標業(yè)務(wù)的業(yè)務(wù)相關(guān)信息,如所述目標業(yè)務(wù)的訪問標識信息���、與所述目標業(yè)務(wù)相對應(yīng)的超鏈接的主機域信息�����、與所述目標業(yè)務(wù)相對應(yīng)的標識序列信息�,通過所述多業(yè)務(wù)系統(tǒng)的入口網(wǎng)絡(luò)設(shè)備�����,如所述多業(yè)務(wù)系統(tǒng)內(nèi)部的防火墻設(shè)備或其外部的路由器設(shè)備�,在與所述多業(yè)務(wù)系統(tǒng)相對應(yīng)的網(wǎng)絡(luò)訪問流量中識別與所述目標業(yè)務(wù)相對應(yīng)的網(wǎng)絡(luò)訪問流量,并對所識別的網(wǎng)絡(luò)訪問流量進行轉(zhuǎn)發(fā)處理����,以獲得待清洗的原始訪問流量����。
清洗單元132’根據(jù)所述DDoS攻擊的攻擊相關(guān)信息,對所述原始訪問流量進行清洗處理����,以獲得與所述原始訪問流量相對應(yīng)的清潔訪問流量。具體地,清洗單元132’根據(jù)所述DDoS攻擊的攻擊相關(guān)信息���,如所述DDoS攻擊的流量信息�、所述DDoS攻擊的狀態(tài)信息���、 所述DDoS攻擊的種類信息�����,對所述原始訪問流量進行清洗處理����,如保留所述原始訪問流量中正常數(shù)據(jù)包�����、丟棄所述原始訪問流量中符合DDoS攻擊特征的數(shù)據(jù)包�、將所述原始訪問流量中符合DDoS攻擊特征的數(shù)據(jù)包轉(zhuǎn)發(fā)至攻擊數(shù)據(jù)包數(shù)據(jù)庫、對所述原始訪問流量中符合 DDoS攻擊特征的訪問鏈接進行復(fù)位處理�,以獲得與所述原始訪問流量相對應(yīng)的清潔訪問流量。在此���,所述攻擊相關(guān)信息可由網(wǎng)絡(luò)安全設(shè)備1通過諸如對所述原始訪問流量進行深度包檢測和/或統(tǒng)計分析獲得�����。例如�����,所述DDoS攻擊的狀態(tài)信息包括但不限于開始����、持續(xù)、結(jié)束等狀態(tài)�����;所述DDoS攻擊的種類信息包括但不限于ICMP洪泛攻擊�����、UDP洪泛攻擊����、SYN洪泛攻擊等種類����。本領(lǐng)域技術(shù)人員應(yīng)能理解上述攻擊相關(guān)信息及其獲取方式僅為舉例,其他現(xiàn)有的或今后可能出現(xiàn)的攻擊相關(guān)信息或其獲取方式如可適用于本發(fā)明,也應(yīng)包含在本發(fā)明保護范圍以內(nèi)�����,并在此以引用方式包含于此�。本領(lǐng)域技術(shù)人員應(yīng)能理解上述清洗處理的方式僅為舉例,其他現(xiàn)有的或今后可能出現(xiàn)的清洗處理的方式如可適用于本發(fā)明����,也應(yīng)包含在本發(fā)明保護范圍以內(nèi),并在此以引用方式包含于此�。轉(zhuǎn)發(fā)單元133’將所述清潔訪問流量轉(zhuǎn)發(fā)至所述多業(yè)務(wù)系統(tǒng),以訪問所述目標業(yè)務(wù)��。具體地����,轉(zhuǎn)發(fā)單元133’通過諸如一條或多條物理鏈路,或多層轉(zhuǎn)發(fā)等方式��,將所述清潔訪問流量轉(zhuǎn)發(fā)至所述多業(yè)務(wù)系統(tǒng)���,以訪問所述目標業(yè)務(wù)�����。本領(lǐng)域技術(shù)人員應(yīng)能理解上述將清潔訪問流量轉(zhuǎn)發(fā)至多業(yè)務(wù)系統(tǒng)的方式僅為舉例�����,其他現(xiàn)有的或今后可能出現(xiàn)的將清潔訪問流量轉(zhuǎn)發(fā)至多業(yè)務(wù)系統(tǒng)的方式如可適用于本發(fā)明�����,也應(yīng)包含在本發(fā)明保護范圍以內(nèi)���,并在此以引用方式包含于此����。本領(lǐng)域技術(shù)人員應(yīng)能理解�,在此,牽引單元���、清洗單元和轉(zhuǎn)發(fā)單元僅為示例�����,在具體的實施例中,它們既可以是同一個網(wǎng)絡(luò)設(shè)備�����,也可以是通過網(wǎng)絡(luò)連接的不同的網(wǎng)絡(luò)設(shè)備; 當它們是不同網(wǎng)絡(luò)設(shè)備時���,這些不同網(wǎng)絡(luò)設(shè)備間的網(wǎng)絡(luò)連接與通信方式相互獨立���。在此,所述網(wǎng)絡(luò)設(shè)備包括但不限于網(wǎng)絡(luò)主機�����、單個網(wǎng)絡(luò)服務(wù)器��、多個網(wǎng)絡(luò)服務(wù)器集或多個服務(wù)器構(gòu)成的云����。在此,云由基于云計算(Cloud Computing)的大量計算機或網(wǎng)絡(luò)服務(wù)器構(gòu)成�,其中, 云計算是分布式計算的一種����,由一群松散耦合的計算機集組成的一個超級虛擬計算機。在此�,所述網(wǎng)絡(luò)包括但不限于互聯(lián)網(wǎng)���、廣域網(wǎng)、城域網(wǎng)�、局域網(wǎng)、VPN網(wǎng)絡(luò)���、無線自組織網(wǎng)絡(luò)(Ad Hoc網(wǎng)絡(luò))等����;網(wǎng)絡(luò)設(shè)備間的通信方式包括但不限于基于諸如TCP/IP協(xié)議��、UDP協(xié)議等的分組數(shù)據(jù)傳輸���。優(yōu)選地�����,所述牽引單元131’還根據(jù)所述目標業(yè)務(wù)的業(yè)務(wù)相關(guān)信息�,確定與所述目標業(yè)務(wù)相對應(yīng)的牽引策略信息����;將所述牽引策略信息發(fā)送至入口網(wǎng)絡(luò)設(shè)備;接收自所述入口網(wǎng)絡(luò)設(shè)備基于所述牽引策略所轉(zhuǎn)發(fā)的與所述目標業(yè)務(wù)相對應(yīng)的網(wǎng)絡(luò)訪問流量,以獲得所述原始訪問流量�����。具體地����,所述牽引單元131’還根據(jù)所述目標業(yè)務(wù)的業(yè)務(wù)相關(guān)信息��,如所述目標業(yè)務(wù)的訪問標識信息�����、與所述目標業(yè)務(wù)相對應(yīng)的超鏈接的主機域信息��、與所述目標業(yè)務(wù)相對應(yīng)的標識序列信息����,確定與所述目標業(yè)務(wù)相對應(yīng)的牽引策略信息,如基于所述標識序列信息的應(yīng)用層選路策略�;將所述牽引策略信息發(fā)送至入口網(wǎng)絡(luò)設(shè)備,如所述多業(yè)務(wù)系統(tǒng)內(nèi)部的防火墻設(shè)備或其外部的路由器設(shè)備�;接收自所述入口網(wǎng)絡(luò)設(shè)備基于所述牽引策略所轉(zhuǎn)發(fā)的與所述目標業(yè)務(wù)相對應(yīng)的網(wǎng)絡(luò)訪問流量,以獲得所述原始訪問流量�。例如,所述牽引單元131’根據(jù)與所述目標業(yè)務(wù)相對應(yīng)的超鏈接的主機域信息����,確定基于主機域信息的傳輸層選路策略作為牽引策略����,并將該牽引策略發(fā)送至所述多業(yè)務(wù)系統(tǒng)外部的路由器設(shè)備��;接收自該路由器設(shè)備根據(jù)該牽引策略轉(zhuǎn)發(fā)的網(wǎng)絡(luò)訪問流量��,以獲得所述原始訪問流量����, 其中,所述原始訪問流量均具有與目標業(yè)務(wù)相對應(yīng)的主機域信息�����。在此�,所述牽引策略包括但不限于基于各種業(yè)務(wù)相關(guān)信息的網(wǎng)絡(luò)層選路策略、傳輸層選路策略��、應(yīng)用層選路策略等�����。 本領(lǐng)域技術(shù)人員應(yīng)能理解上述牽引策略及其獲取方式僅為舉例,其他現(xiàn)有的或今后可能出現(xiàn)的牽引策略或其獲取方式如可適用于本發(fā)明����,也應(yīng)包含在本發(fā)明保護范圍以內(nèi),并在此以引用方式包含于此���。優(yōu)選地,所述清洗單元132’還根據(jù)所述攻擊相關(guān)信息�����,確定與所述原始訪問流量相關(guān)的清洗策略信息��;根據(jù)所述清洗策略信息�����,對所述原始訪問流量進行清洗處理�����,以獲得所述清潔訪問流量�����。具體地,所述清洗單元132’還根據(jù)所述攻擊相關(guān)信息�����,如所述DDoS 攻擊的流量信息�����、所述DDoS攻擊的狀態(tài)信息�����、所述DDoS攻擊的種類信息�����,確定與所述原始訪問流量相關(guān)的清洗策略信息����,如串行清洗策略信息、并行清洗策略信息����、集群清洗策略信息、基于負載均衡的清洗策略信息���;根據(jù)所述清洗策略信息����,對所述原始訪問流量進行清洗處理,以獲得所述清潔訪問流量��。例如�����,當所述DDoS攻擊的流量信息低于一定的流量閾值時�����,所述清洗單元132’確定串行清洗策略信息�;隨著所述DDoS攻擊的流量信息逐步增大��, 超過該流量閾值時����,所述清洗單元132’改用并行清洗策略信息;隨著所述DDoS攻擊的流量信息進一步增大�,超過更高的流量閾值時,所述清洗單元132’啟用集群清洗策略信息���。優(yōu)選地��,當所述清洗單元132’確定并行清洗策略信息或集群清洗策略信息時�����,還可以同時采用基于負載均衡的清洗策略信息����。類似地,根據(jù)所述DDoS攻擊的狀態(tài)信息或種類信息的不同�,所述清洗單元132’也可以使用不同的清洗策略信息,例如白名單����、黑名單、灰名單的并行清洗策略信息���。本領(lǐng)域技術(shù)人員應(yīng)能理解上述清洗策略及其獲取方式僅為舉例�����,其他現(xiàn)有的或今后可能出現(xiàn)的清洗策略或其獲取方式如可適用于本發(fā)明��,也應(yīng)包含在本發(fā)明保護范圍以內(nèi)��,并在此以引用方式包含于此�����。優(yōu)選地����,該設(shè)備還包括回注裝置(未示出),該回注裝置根據(jù)所述目標業(yè)務(wù)的業(yè)務(wù)相關(guān)信息���,確定與所述目標業(yè)務(wù)相對應(yīng)的回注策略�,并將所述回注策略發(fā)送至與所述目標業(yè)務(wù)相對應(yīng)的回注網(wǎng)絡(luò)設(shè)備����;其中���,所述轉(zhuǎn)發(fā)單元133’還將所述清潔訪問流量轉(zhuǎn)發(fā)至所述回注網(wǎng)絡(luò)設(shè)備���。具體地,該回注裝置根據(jù)所述目標業(yè)務(wù)的業(yè)務(wù)相關(guān)信息�����,如所述目標業(yè)務(wù)的訪問標識信息、與所述目標業(yè)務(wù)相對應(yīng)的超鏈接的主機域信息�、與所述目標業(yè)務(wù)相對應(yīng)的標識序列信息,確定與所述目標業(yè)務(wù)相對應(yīng)的回注策略�����,如基于所述標識序列信息的應(yīng)用層回注策略����,并將所述回注策略發(fā)送至與所述目標業(yè)務(wù)相對應(yīng)的回注網(wǎng)絡(luò)設(shè)備;其中����,所述轉(zhuǎn)發(fā)單元133’還將所述清潔訪問流量轉(zhuǎn)發(fā)至所述回注網(wǎng)絡(luò)設(shè)備,以供所述回注網(wǎng)絡(luò)設(shè)備根據(jù)所述回注策略將所述清潔訪問流量提供給所述目標業(yè)務(wù)���。例如�,所述回注裝置根據(jù)與所述目標業(yè)務(wù)相對應(yīng)的超鏈接的主機域信息����,確定基于主機域信息的傳輸層回注策略作為回注策略,并將所述回注策略發(fā)送至與所述目標業(yè)務(wù)相對應(yīng)的回注網(wǎng)絡(luò)設(shè)備�����;其中,所述轉(zhuǎn)發(fā)單元133’還將所述清潔訪問流量轉(zhuǎn)發(fā)至所述回注網(wǎng)絡(luò)設(shè)備��,以供所述回注網(wǎng)絡(luò)設(shè)備根據(jù)所述回注策略將所述清潔訪問流量提供給所述目標業(yè)務(wù)���。在此�,所述回注策略包括但不限于基于各種業(yè)務(wù)相關(guān)信息的網(wǎng)絡(luò)層回注策略����、傳輸層回注策略、應(yīng)用層回注策略等�。本領(lǐng)域技術(shù)人員應(yīng)能理解上述回注策略及其獲取方式僅為舉例,其他現(xiàn)有的或今后可能出現(xiàn)的回注策略或其獲取方式如可適用于本發(fā)明�,也應(yīng)包含在本發(fā)明保護范圍以內(nèi),并在此以引用方式包含于此���。圖3示出根據(jù)本發(fā)明另一個方面的用于防御指向多業(yè)務(wù)系統(tǒng)的DDoS攻擊的方法流程圖�。在步驟Sl中���,網(wǎng)絡(luò)安全設(shè)備1根據(jù)預(yù)置的DDoS攻擊觸發(fā)條件,檢測與多業(yè)務(wù)系統(tǒng)相對應(yīng)的網(wǎng)絡(luò)訪問流量中是否存在DDoS攻擊�。具體地,在步驟Sl中����,網(wǎng)絡(luò)安全設(shè)備1根據(jù)預(yù)置的DDoS攻擊觸發(fā)條件���,如與所述多業(yè)務(wù)系統(tǒng)相對應(yīng)的網(wǎng)絡(luò)訪問流量中存在符合DDoS 攻擊特征的數(shù)據(jù)包、與所述多業(yè)務(wù)系統(tǒng)中一個或多個業(yè)務(wù)相對應(yīng)的網(wǎng)絡(luò)訪問流量中存在符合DDoS攻擊特征的數(shù)據(jù)包���、所述多業(yè)務(wù)系統(tǒng)中一個或多個業(yè)務(wù)存在與DDoS攻擊行為相關(guān)的性能變化信息��,檢測對應(yīng)于該多業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)訪問流量中是否存在DDoS攻擊���。例如, 在步驟Sl中�����,網(wǎng)絡(luò)安全設(shè)備1檢測到該多業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)訪問流量中存在符合DDoS攻擊特征的數(shù)據(jù)包�,如超過一定數(shù)量預(yù)置的SYN數(shù)據(jù)包或UDP數(shù)據(jù)包,則確定對應(yīng)于該多業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)訪問流量中是否存在DDoS攻擊�����。又如��,在步驟Sl中,網(wǎng)絡(luò)安全設(shè)備1檢測到該多業(yè)務(wù)系統(tǒng)中一個或多個業(yè)務(wù)相對應(yīng)的網(wǎng)絡(luò)訪問流量中存在符合DDoS攻擊特征的數(shù)據(jù)包�����, 如超過一定數(shù)量預(yù)置的SYN數(shù)據(jù)包或UDP數(shù)據(jù)包�����,則確定對應(yīng)于該多業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)訪問流量中是否存在DDoS攻擊��。再如�,在步驟Sl中,網(wǎng)絡(luò)安全設(shè)備1檢測到該多業(yè)務(wù)系統(tǒng)中一個或多個業(yè)務(wù)存在與DDoS攻擊行為相關(guān)的性能變化信息�,如超過一定數(shù)量預(yù)置的訪問請求超時或服務(wù)器可用資源低于資源閾值,則確定對應(yīng)于該多業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)訪問流量中是否存在DDoS攻擊�。本領(lǐng)域技術(shù)人員應(yīng)能理解上述檢測DDoS攻擊的方式僅為舉例,其他現(xiàn)有的或今后可能出現(xiàn)的檢測DDoS攻擊的方式如可適用于本發(fā)明����,也應(yīng)包含在本發(fā)明保護范圍以內(nèi),并在此以引用方式包含于此�����。優(yōu)選地���,在步驟Sl中����,網(wǎng)絡(luò)安全設(shè)備1不僅可以針對該多業(yè)務(wù)系統(tǒng)集中執(zhí)行攻擊檢測步驟����,也可以針對該多業(yè)務(wù)系統(tǒng)中的各個業(yè)務(wù)子系統(tǒng)分別執(zhí)行攻擊檢測子步驟,其中�����,網(wǎng)絡(luò)安全設(shè)備1在步驟Sl中匯總這些攻擊檢測子步驟所報告的針對不同業(yè)務(wù)子系統(tǒng)的DDoS攻擊檢測結(jié)果�����,以確定該多業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)訪問流量中是否存在DDoS攻擊���。在此�����,這些攻擊檢測子步驟的實現(xiàn)方式與前述步驟Sl的實現(xiàn)方式基本相同�,為簡便起見��,不再贅述,并引用的方式包含于此�����。本領(lǐng)域技術(shù)人員應(yīng)能理解上述部署攻擊檢測裝置的方式僅為舉例��,其他現(xiàn)有的或今后可能出現(xiàn)的部署攻擊檢測裝置的方式如可適用于本發(fā)明�,也應(yīng)包含在本發(fā)明保護范圍以內(nèi),并在此以引用方式包含于此��。當存在所述DDoS攻擊時�����,在步驟S2中�����,網(wǎng)絡(luò)安全設(shè)備1根據(jù)所述DDoS攻擊所對應(yīng)的所述DDoS攻擊觸發(fā)條件����,確定所述DDoS攻擊所指向的目標業(yè)務(wù)。具體地�,當在步驟 Sl中,網(wǎng)絡(luò)安全設(shè)備1確定存在DDoS攻擊時�����,在步驟S2中,網(wǎng)絡(luò)安全設(shè)備1根據(jù)在步驟Sl 中所確定的DDoS攻擊觸發(fā)條件�����,如與所述多業(yè)務(wù)系統(tǒng)相對應(yīng)的網(wǎng)絡(luò)訪問流量中存在符合 DDoS攻擊特征的數(shù)據(jù)包�、與所述多業(yè)務(wù)系統(tǒng)中一個或多個業(yè)務(wù)相對應(yīng)的網(wǎng)絡(luò)訪問流量中存在符合DDoS攻擊特征的數(shù)據(jù)包�、所述多業(yè)務(wù)系統(tǒng)中一個或多個業(yè)務(wù)存在與DDoS攻擊行為相關(guān)的性能變化信息,確定該DDoS攻擊所指向的目標業(yè)務(wù)���。例如�����,當在步驟Sl中��,網(wǎng)絡(luò)安全設(shè)備1所確定的DDoS攻擊觸發(fā)條件為與所述多業(yè)務(wù)系統(tǒng)相對應(yīng)的網(wǎng)絡(luò)訪問流量中存在符合DDoS攻擊特征的數(shù)據(jù)包時��,在步驟S2中�,網(wǎng)絡(luò)安全設(shè)備1通過諸如對這些符合DDoS 攻擊特征的數(shù)據(jù)包進行深度包檢測(De印Packet hspection���,DPI)����,獲取這些數(shù)據(jù)包所指向的業(yè)務(wù),從而確定該DDoS攻擊所指向的目標業(yè)務(wù)���。又如���,當在步驟Sl中,網(wǎng)絡(luò)安全設(shè)備1所確定的DDoS攻擊觸發(fā)條件為與所述多業(yè)務(wù)系統(tǒng)中一個或多個業(yè)務(wù)相對應(yīng)的網(wǎng)絡(luò)訪問流量中存在符合DDoS攻擊特征的數(shù)據(jù)包時�����,在步驟S2中����,網(wǎng)絡(luò)安全設(shè)備1確定所述一個或多個業(yè)務(wù)為該DDoS攻擊所指向的目標業(yè)務(wù)。再如��,當在步驟Sl中�����,網(wǎng)絡(luò)安全設(shè)備1所確定的DDoS攻擊觸發(fā)條件為所述多業(yè)務(wù)系統(tǒng)中一個或多個業(yè)務(wù)存在與DDoS攻擊行為相關(guān)的性能變化信息時�����,在步驟S2中,網(wǎng)絡(luò)安全設(shè)備1確定所述一個或多個業(yè)務(wù)為該DDoS攻擊所指向的目標業(yè)務(wù)���。在此��,所述目標業(yè)務(wù)包括所述多業(yè)務(wù)系統(tǒng)中該DDoS所指向的一個或多個業(yè)務(wù)�����,即該一個或多個業(yè)務(wù)遭受該DDoS攻擊。本領(lǐng)域技術(shù)人員應(yīng)能理解上述確定DDoS攻擊所指向的目標業(yè)務(wù)的方式僅為舉例����,其他現(xiàn)有的或今后可能出現(xiàn)的確定DDoS攻擊所指向的目標業(yè)務(wù)的方式如可適用于本發(fā)明,也應(yīng)包含在本發(fā)明保護范圍以內(nèi)��,并在此以引用方式包含于此�����。在步驟S3中����,網(wǎng)絡(luò)安全設(shè)備1根據(jù)所述目標業(yè)務(wù)的業(yè)務(wù)相關(guān)信息,對與所述多業(yè)務(wù)系統(tǒng)相對應(yīng)的網(wǎng)絡(luò)訪問流量中與所述目標業(yè)務(wù)相對應(yīng)的網(wǎng)絡(luò)訪問流量進行防御處理�����。具體地,在步驟S3中���,網(wǎng)絡(luò)安全設(shè)備1根據(jù)所述目標業(yè)務(wù)的業(yè)務(wù)相關(guān)信息�����,如所述目標業(yè)務(wù)的訪問標識信息���、與所述目標業(yè)務(wù)相對應(yīng)的超鏈接的主機域信息、與所述目標業(yè)務(wù)相對應(yīng)的標識序列信息��,通過所述多業(yè)務(wù)系統(tǒng)的入口網(wǎng)絡(luò)設(shè)備���,如所述多業(yè)務(wù)系統(tǒng)內(nèi)部的防火墻設(shè)備或其外部的路由器設(shè)備�����,在與所述多業(yè)務(wù)系統(tǒng)相對應(yīng)的網(wǎng)絡(luò)訪問流量中識別與所述目標業(yè)務(wù)相對應(yīng)的網(wǎng)絡(luò)訪問流量��,并對所識別的網(wǎng)絡(luò)訪問流量進行防御處理����,如直接丟棄所識別的網(wǎng)絡(luò)訪問流量,或者通過旁路路由將其牽引并經(jīng)清洗后回注至該多業(yè)務(wù)系統(tǒng)��。例如���, 在步驟S3中����,網(wǎng)絡(luò)安全設(shè)備1根據(jù)目標業(yè)務(wù)相對應(yīng)的超鏈接的主機域(HOST)信息��,通過所述多業(yè)務(wù)系統(tǒng)的入口網(wǎng)絡(luò)設(shè)備���,如所述多業(yè)務(wù)系統(tǒng)內(nèi)部的防火墻設(shè)備或其外部的路由器設(shè)備,從與所述多業(yè)務(wù)系統(tǒng)相對應(yīng)的網(wǎng)絡(luò)訪問流量中�����,提取與所述主機域信息相匹配的網(wǎng)絡(luò)訪問流量���,以作為與所述目標業(yè)務(wù)相對應(yīng)的網(wǎng)絡(luò)訪問流量��,并通過旁路路由將其牽引并經(jīng)清洗后回注至該多業(yè)務(wù)系統(tǒng)�。在此��,所述業(yè)務(wù)相關(guān)信息可由網(wǎng)絡(luò)安全設(shè)備1通過該多業(yè)務(wù)系統(tǒng)中的相關(guān)設(shè)備等第三方設(shè)備所提供的應(yīng)用程序接口(API)或其他約定的通信方式,從第三方設(shè)備直接獲取�,或者由網(wǎng)絡(luò)安全設(shè)備1通過對該多業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)訪問流量進行統(tǒng)計分析獲取。優(yōu)選地�,所述業(yè)務(wù)相關(guān)信息包括但不限于,以下至少任一項所述目標業(yè)務(wù)的訪問標識信息����、與所述目標業(yè)務(wù)相對應(yīng)的超鏈接的主機域信息、與所述目標業(yè)務(wù)相對應(yīng)的標識序列信息����。例如,所述訪問標識信息包括用于唯一標識所述目標業(yè)務(wù)的描述信息�����,如郵件服務(wù)器的外網(wǎng)地址���;當網(wǎng)絡(luò)訪問流量中包含該外網(wǎng)地址作為目的地址時����,則確定該網(wǎng)絡(luò)訪問流量指向該郵件服務(wù)器��。又如,所述標識序列信息是由不同業(yè)務(wù)在訪問請求的頭部插入的字符序列���,如C00KIE-ID�,以防止請求欺騙���;當網(wǎng)絡(luò)訪問流量的頭部包含該C00KIE-ID 時���,則確定該網(wǎng)絡(luò)訪問流量指向該郵件服務(wù)器。本領(lǐng)域技術(shù)人員應(yīng)能理解上述業(yè)務(wù)相關(guān)信息及其獲取方式僅為舉例��,其他現(xiàn)有的或今后可能出現(xiàn)的業(yè)務(wù)相關(guān)信息或其獲取方式如可適用于本發(fā)明�,也應(yīng)包含在本發(fā)明保護范圍以內(nèi),并在此以引用方式包含于此�����。本領(lǐng)域技術(shù)人員應(yīng)能理解上述防御處理的方式僅為舉例����,其他現(xiàn)有的或今后可能出現(xiàn)的防御處理的方式如可適用于本發(fā)明����,也應(yīng)包含在本發(fā)明保護范圍以內(nèi),并在此以引用方式包含于此。優(yōu)選地�����,網(wǎng)絡(luò)安全設(shè)備1中的各個步驟是持續(xù)不斷工作的��。具體地�����,在步驟Sl中����, 網(wǎng)絡(luò)安全設(shè)備1根據(jù)預(yù)置的DDoS攻擊觸發(fā)條件,檢測與多業(yè)務(wù)系統(tǒng)相對應(yīng)的網(wǎng)絡(luò)訪問流量中是否存在DDoS攻擊�����;當存在所述DDoS攻擊時�,在步驟S2中,網(wǎng)絡(luò)安全設(shè)備1根據(jù)所述DDoS攻擊所對應(yīng)的所述DDoS攻擊觸發(fā)條件��,確定所述DDoS攻擊所指向的目標業(yè)務(wù)��;在步驟S3中���,網(wǎng)絡(luò)安全設(shè)備1根據(jù)所述目標業(yè)務(wù)的業(yè)務(wù)相關(guān)信息�����,對與所述多業(yè)務(wù)系統(tǒng)相對應(yīng)的網(wǎng)絡(luò)訪問流量中與所述目標業(yè)務(wù)相對應(yīng)的網(wǎng)絡(luò)訪問流量進行防御處理���。在此��,本領(lǐng)域技術(shù)人員應(yīng)理解“持續(xù)”是指網(wǎng)絡(luò)安全設(shè)備1的各步驟分別按照設(shè)定的或?qū)崟r調(diào)整的工作模式要求進行DDoS攻擊的檢測�、目標業(yè)務(wù)的確定和DDoS防御處理��,直至該網(wǎng)絡(luò)安全設(shè)備1在較長時間內(nèi)停止DDoS攻擊的檢測����。優(yōu)選地,所述DDoS攻擊觸發(fā)條件包括以下至少任一項-與所述多業(yè)務(wù)系統(tǒng)相對應(yīng)的網(wǎng)絡(luò)訪問流量中存在符合DDoS攻擊特征的數(shù)據(jù)包����;-與所述多業(yè)務(wù)系統(tǒng)中一個或多個業(yè)務(wù)相對應(yīng)的網(wǎng)絡(luò)訪問流量中存在符合DDoS 攻擊特征的數(shù)據(jù)包;-所述多業(yè)務(wù)系統(tǒng)中一個或多個業(yè)務(wù)存在與DDoS攻擊行為相關(guān)的性能變化信息�����。具體地���,當DDoS攻擊觸發(fā)條件包括與所述多業(yè)務(wù)系統(tǒng)相對應(yīng)的網(wǎng)絡(luò)訪問流量中存在符合DDoS攻擊特征的數(shù)據(jù)包��,在步驟Sl中�����,網(wǎng)絡(luò)安全設(shè)備1檢測到該多業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)訪問流量中存在符合DDoS攻擊特征的數(shù)據(jù)包���,如超過一定數(shù)量預(yù)置的SYN數(shù)據(jù)包或UDP 數(shù)據(jù)包,則確定對應(yīng)于該多業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)訪問流量中是否存在DDoS攻擊���。當DDoS攻擊觸發(fā)條件包括與所述多業(yè)務(wù)系統(tǒng)中一個或多個業(yè)務(wù)相對應(yīng)的網(wǎng)絡(luò)訪問流量中存在符合DDoS 攻擊特征的數(shù)據(jù)包�,在步驟Sl中�����,網(wǎng)絡(luò)安全設(shè)備1檢測到該多業(yè)務(wù)系統(tǒng)中一個或多個業(yè)務(wù)相對應(yīng)的網(wǎng)絡(luò)訪問流量中存在符合DDoS攻擊特征的數(shù)據(jù)包�,如超過一定數(shù)量預(yù)置的SYN數(shù)據(jù)包或UDP數(shù)據(jù)包,則確定對應(yīng)于該多業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)訪問流量中是否存在DDoS攻擊�����。當 DDoS攻擊觸發(fā)條件包括所述多業(yè)務(wù)系統(tǒng)中一個或多個業(yè)務(wù)存在與DDoS攻擊行為相關(guān)的性能變化信息����,在步驟Sl中���,網(wǎng)絡(luò)安全設(shè)備1檢測到該多業(yè)務(wù)系統(tǒng)中一個或多個業(yè)務(wù)存在與 DDoS攻擊行為相關(guān)的性能變化信息,如超過一定數(shù)量預(yù)置的訪問請求超時或服務(wù)器可用資源低于資源閾值��,則確定對應(yīng)于該多業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)訪問流量中是否存在DDoS攻擊����。優(yōu)選地,在步驟Sl中���,網(wǎng)絡(luò)安全設(shè)備1根據(jù)上述DDoS攻擊觸發(fā)條件的任意組合��,檢測與多業(yè)務(wù)系統(tǒng)相對應(yīng)的網(wǎng)絡(luò)訪問流量中是否存在DDoS攻擊�����。本領(lǐng)域技術(shù)人員應(yīng)能理解上述DDoS攻擊觸發(fā)條件僅為舉例���,其他現(xiàn)有的或今后可能出現(xiàn)的DDoS攻擊觸發(fā)條件如可適用于本發(fā)明,也應(yīng)包含在本發(fā)明保護范圍以內(nèi)�,并在此以引用方式包含于此。圖4示出根據(jù)本發(fā)明一個優(yōu)選實施例的用于防御指向多業(yè)務(wù)系統(tǒng)的DDoS攻擊的方法流程圖���。在步驟S31’中����,網(wǎng)絡(luò)安全設(shè)備1根據(jù)所述目標業(yè)務(wù)的業(yè)務(wù)相關(guān)信息��,對與所述多業(yè)務(wù)系統(tǒng)相對應(yīng)的網(wǎng)絡(luò)訪問流量中與所述目標業(yè)務(wù)相對應(yīng)的網(wǎng)絡(luò)訪問流量進行轉(zhuǎn)發(fā)處理�����, 以獲得待清洗的原始訪問流量�。具體地,在步驟S31’中���,網(wǎng)絡(luò)安全設(shè)備1根據(jù)所述目標業(yè)務(wù)的業(yè)務(wù)相關(guān)信息���,如所述目標業(yè)務(wù)的訪問標識信息、與所述目標業(yè)務(wù)相對應(yīng)的超鏈接的主機域信息���、與所述目標業(yè)務(wù)相對應(yīng)的標識序列信息��,通過所述多業(yè)務(wù)系統(tǒng)的入口網(wǎng)絡(luò)設(shè)備�����, 如所述多業(yè)務(wù)系統(tǒng)內(nèi)部的防火墻設(shè)備或其外部的路由器設(shè)備���,在與所述多業(yè)務(wù)系統(tǒng)相對應(yīng)的網(wǎng)絡(luò)訪問流量中識別與所述目標業(yè)務(wù)相對應(yīng)的網(wǎng)絡(luò)訪問流量����,并對所識別的網(wǎng)絡(luò)訪問流量進行轉(zhuǎn)發(fā)處理���,以獲得待清洗的原始訪問流量����。在步驟S32’中��,網(wǎng)絡(luò)安全設(shè)備1根據(jù)所述DDoS攻擊的攻擊相關(guān)信息�,對所述原始訪問流量進行清洗處理,以獲得與所述原始訪問流量相對應(yīng)的清潔訪問流量���。具體地�,在步驟S32’中�����,網(wǎng)絡(luò)安全設(shè)備1根據(jù)所述DDoS攻擊的攻擊相關(guān)信息��,如所述DDoS攻擊的流量信息、所述DDoS攻擊的狀態(tài)信息����、所述DDoS攻擊的種類信息�����,對所述原始訪問流量進行清洗處理,如保留所述原始訪問流量中正常數(shù)據(jù)包�����、丟棄所述原始訪問流量中符合DDoS攻擊特征的數(shù)據(jù)包����、將所述原始訪問流量中符合DDoS攻擊特征的數(shù)據(jù)包轉(zhuǎn)發(fā)至攻擊數(shù)據(jù)包數(shù)據(jù)庫���、對所述原始訪問流量中符合DDoS攻擊特征的訪問鏈接進行復(fù)位處理�,以獲得與所述原始訪問流量相對應(yīng)的清潔訪問流量��。在此,所述攻擊相關(guān)信息可由網(wǎng)絡(luò)安全設(shè)備1通過諸如對所述原始訪問流量進行深度包檢測和/或統(tǒng)計分析獲得�。例如����,所述DDoS攻擊的狀態(tài)信息包括但不限于開始�、持續(xù)、結(jié)束等狀態(tài)��;所述DDoS攻擊的種類信息包括但不限于ICMP 洪泛攻擊����、UDP洪泛攻擊、SYN洪泛攻擊等種類�。本領(lǐng)域技術(shù)人員應(yīng)能理解上述攻擊相關(guān)信息及其獲取方式僅為舉例��,其他現(xiàn)有的或今后可能出現(xiàn)的攻擊相關(guān)信息或其獲取方式如可適用于本發(fā)明��,也應(yīng)包含在本發(fā)明保護范圍以內(nèi)�����,并在此以引用方式包含于此�����。本領(lǐng)域技術(shù)人員應(yīng)能理解上述清洗處理的方式僅為舉例��,其他現(xiàn)有的或今后可能出現(xiàn)的清洗處理的方式如可適用于本發(fā)明����,也應(yīng)包含在本發(fā)明保護范圍以內(nèi)���,并在此以引用方式包含于此�����。在步驟S33’中����,網(wǎng)絡(luò)安全設(shè)備1將所述清潔訪問流量轉(zhuǎn)發(fā)至所述多業(yè)務(wù)系統(tǒng),以訪問所述目標業(yè)務(wù)����。具體地,在步驟S33’中����,網(wǎng)絡(luò)安全設(shè)備1通過諸如一條或多條物理鏈路,或多層轉(zhuǎn)發(fā)等方式����,將所述清潔訪問流量轉(zhuǎn)發(fā)至所述多業(yè)務(wù)系統(tǒng)��,以訪問所述目標業(yè)務(wù)�。本領(lǐng)域技術(shù)人員應(yīng)能理解上述將清潔訪問流量轉(zhuǎn)發(fā)至多業(yè)務(wù)系統(tǒng)的方式僅為舉例,其他現(xiàn)有的或今后可能出現(xiàn)的將清潔訪問流量轉(zhuǎn)發(fā)至多業(yè)務(wù)系統(tǒng)的方式如可適用于本發(fā)明�����, 也應(yīng)包含在本發(fā)明保護范圍以內(nèi),并在此以引用方式包含于此��。優(yōu)選地,在步驟S31’中,網(wǎng)絡(luò)安全設(shè)備1還根據(jù)所述目標業(yè)務(wù)的業(yè)務(wù)相關(guān)信息���,確定與所述目標業(yè)務(wù)相對應(yīng)的牽引策略信息����;將所述牽引策略信息發(fā)送至入口網(wǎng)絡(luò)設(shè)備�����;接收自所述入口網(wǎng)絡(luò)設(shè)備基于所述牽引策略所轉(zhuǎn)發(fā)的與所述目標業(yè)務(wù)相對應(yīng)的網(wǎng)絡(luò)訪問流量���,以獲得所述原始訪問流量。具體地,在步驟S31’中�����,網(wǎng)絡(luò)安全設(shè)備1還根據(jù)所述目標業(yè)務(wù)的業(yè)務(wù)相關(guān)信息��,如所述目標業(yè)務(wù)的訪問標識信息、與所述目標業(yè)務(wù)相對應(yīng)的超鏈接的主機域信息����、與所述目標業(yè)務(wù)相對應(yīng)的標識序列信息,確定與所述目標業(yè)務(wù)相對應(yīng)的牽引策略信息�����,如基于所述標識序列信息的應(yīng)用層選路策略�����;將所述牽引策略信息發(fā)送至入口網(wǎng)絡(luò)設(shè)備����,如所述多業(yè)務(wù)系統(tǒng)內(nèi)部的防火墻設(shè)備或其外部的路由器設(shè)備��;接收自所述入口網(wǎng)絡(luò)設(shè)備基于所述牽引策略所轉(zhuǎn)發(fā)的與所述目標業(yè)務(wù)相對應(yīng)的網(wǎng)絡(luò)訪問流量,以獲得所述原始訪問流量��。例如,在步驟S31’中��,網(wǎng)絡(luò)安全設(shè)備1根據(jù)與所述目標業(yè)務(wù)相對應(yīng)的超鏈接的主機域信息���,確定基于主機域信息的傳輸層選路策略作為牽引策略,并將該牽引策略發(fā)送至所述多業(yè)務(wù)系統(tǒng)外部的路由器設(shè)備���;接收自該路由器設(shè)備根據(jù)該牽引策略轉(zhuǎn)發(fā)的網(wǎng)絡(luò)訪問流量��,以獲得所述原始訪問流量���,其中���,所述原始訪問流量均具有與目標業(yè)務(wù)相對應(yīng)的主機域信息。在此�,所述牽引策略包括但不限于基于各種業(yè)務(wù)相關(guān)信息的網(wǎng)絡(luò)層選路策略���、傳輸層選路策略��、應(yīng)用層選路策略等���。本領(lǐng)域技術(shù)人員應(yīng)能理解上述牽引策略及其獲取方式僅為舉例,其他現(xiàn)有的或今后可能出現(xiàn)的牽引策略或其獲取方式如可適用于本發(fā)明����, 也應(yīng)包含在本發(fā)明保護范圍以內(nèi),并在此以引用方式包含于此���。優(yōu)選地����,在步驟S32’中,網(wǎng)絡(luò)安全設(shè)備1還根據(jù)所述攻擊相關(guān)信息���,確定與所述原始訪問流量相關(guān)的清洗策略信息�;根據(jù)所述清洗策略信息��,對所述原始訪問流量進行清洗處理�����,以獲得所述清潔訪問流量��。具體地��,在步驟S32’中���,網(wǎng)絡(luò)安全設(shè)備1還根據(jù)所述攻擊相關(guān)信息�����,如所述DDoS攻擊的流量信息�、所述DDoS攻擊的狀態(tài)信息�、所述DDoS攻擊的種類信息,確定與所述原始訪問流量相關(guān)的清洗策略信息���,如串行清洗策略信息�����、并行清洗策略信息����、集群清洗策略信息、基于負載均衡的清洗策略信息�����;根據(jù)所述清洗策略信息���,對所述原始訪問流量進行清洗處理,以獲得所述清潔訪問流量�����。例如�����,當所述DDoS攻擊的流量信息低于一定的流量閾值時���,在步驟S32’中��,網(wǎng)絡(luò)安全設(shè)備1確定串行清洗策略信息����;隨著所述DDoS攻擊的流量信息逐步增大,超過該流量閾值時�����,在步驟S32’中��,網(wǎng)絡(luò)安全設(shè)備 1改用并行清洗策略信息����;隨著所述DDoS攻擊的流量信息進一步增大,超過更高的流量閾值時���,在步驟S32’中�����,網(wǎng)絡(luò)安全設(shè)備1啟用集群清洗策略信息�����。優(yōu)選地�����,在步驟S32’中�,當網(wǎng)絡(luò)安全設(shè)備1確定并行清洗策略信息或集群清洗策略信息時,還可以同時采用基于負載均衡的清洗策略信息���。類似地�����,根據(jù)所述DDoS攻擊的狀態(tài)信息或種類信息的不同�,在步驟 S32’中�,網(wǎng)絡(luò)安全設(shè)備1也可以使用不同的清洗策略信息���,例如白名單�����、黑名單�����、灰名單的并行清洗策略信息�����。本領(lǐng)域技術(shù)人員應(yīng)能理解上述清洗策略及其獲取方式僅為舉例��,其他現(xiàn)有的或今后可能出現(xiàn)的清洗策略或其獲取方式如可適用于本發(fā)明��,也應(yīng)包含在本發(fā)明保護范圍以內(nèi)�,并在此以引用方式包含于此。優(yōu)選地��,在步驟S4’中(未示出)�����,網(wǎng)絡(luò)安全設(shè)備1還根據(jù)所述目標業(yè)務(wù)的業(yè)務(wù)相關(guān)信息�����,確定與所述目標業(yè)務(wù)相對應(yīng)的回注策略����,并將所述回注策略發(fā)送至與所述目標業(yè)務(wù)相對應(yīng)的回注網(wǎng)絡(luò)設(shè)備;隨后,在步驟S33’中�,網(wǎng)絡(luò)安全設(shè)備1還將所述清潔訪問流量轉(zhuǎn)發(fā)至所述回注網(wǎng)絡(luò)設(shè)備。具體地�,在步驟S4’中,網(wǎng)絡(luò)安全設(shè)備1根據(jù)所述目標業(yè)務(wù)的業(yè)務(wù)相關(guān)信息��,如所述目標業(yè)務(wù)的訪問標識信息�����、與所述目標業(yè)務(wù)相對應(yīng)的超鏈接的主機域信息��、與所述目標業(yè)務(wù)相對應(yīng)的標識序列信息��,確定與所述目標業(yè)務(wù)相對應(yīng)的回注策略�,如基于所述標識序列信息的應(yīng)用層回注策略,并將所述回注策略發(fā)送至與所述目標業(yè)務(wù)相對應(yīng)的回注網(wǎng)絡(luò)設(shè)備�����;隨后����,在步驟S33’中����,網(wǎng)絡(luò)安全設(shè)備1還將所述清潔訪問流量轉(zhuǎn)發(fā)至所述回注網(wǎng)絡(luò)設(shè)備��,以供所述回注網(wǎng)絡(luò)設(shè)備根據(jù)所述回注策略將所述清潔訪問流量提供給所述目標業(yè)務(wù)����。例如���,在步驟S4’中����,網(wǎng)絡(luò)安全設(shè)備1根據(jù)與所述目標業(yè)務(wù)相對應(yīng)的超鏈接的主機域信息�,確定基于主機域信息的傳輸層回注策略作為回注策略,并將所述回注策略發(fā)送至與所述目標業(yè)務(wù)相對應(yīng)的回注網(wǎng)絡(luò)設(shè)備�;隨后,在步驟S33’中�,網(wǎng)絡(luò)安全設(shè)備1還將所述清潔訪問流量轉(zhuǎn)發(fā)至所述回注網(wǎng)絡(luò)設(shè)備,以供所述回注網(wǎng)絡(luò)設(shè)備根據(jù)所述回注策略將所述清潔訪問流量提供給所述目標業(yè)務(wù)�����。在此��,所述回注策略包括但不限于基于各種業(yè)務(wù)相關(guān)信息的網(wǎng)絡(luò)層回注策略����、傳輸層回注策略�����、應(yīng)用層回注策略等�����。本領(lǐng)域技術(shù)人員應(yīng)能理解上述回注策略及其獲取方式僅為舉例����,其他現(xiàn)有的或今后可能出現(xiàn)的回注策略或其獲取方式如可適用于本發(fā)明��,也應(yīng)包含在本發(fā)明保護范圍以內(nèi)�����,并在此以引用方式包含于此���。對于本領(lǐng)域技術(shù)人員而言��,顯然本發(fā)明不限于上述示范性實施例的細節(jié)���,而且在不背離本發(fā)明的精神或基本特征的情況下,能夠以其他的具體形式實現(xiàn)本發(fā)明��。因此����,無論從哪一點來看,均應(yīng)將實施例看作是示范性的��,而且是非限制性的��,本發(fā)明的范圍由所附權(quán)利要求而不是上述說明限定�,因此旨在將落在權(quán)利要求的等同要件的含義和范圍內(nèi)的所有變化涵括在本發(fā)明內(nèi)。不應(yīng)將權(quán)利要求中的任何附圖標記視為限制所涉及的權(quán)利要求����。此外,顯然“包括” 一詞不排除其他單元或步驟���,單數(shù)不排除復(fù)數(shù)�����。裝置權(quán)利要求中陳述的多個單元或裝置也可以由一個單元或裝置通過軟件或者硬件來實現(xiàn)��。第一����,第二等詞語用來表示名稱,而并不表示任何特定的順序�����。
權(quán)利要求
1.一種由計算機實現(xiàn)的用于防御指向多業(yè)務(wù)系統(tǒng)的DDoS攻擊的方法��,其中����,該方法包括以下步驟a根據(jù)預(yù)置的DDoS攻擊觸發(fā)條件,檢測與多業(yè)務(wù)系統(tǒng)相對應(yīng)的網(wǎng)絡(luò)訪問流量中是否存在DDoS攻擊�;b當存在所述DDoS攻擊時,根據(jù)所述DDoS攻擊所對應(yīng)的所述DDoS攻擊觸發(fā)條件��,確定所述DDoS攻擊所指向的目標業(yè)務(wù)���;c根據(jù)所述目標業(yè)務(wù)的業(yè)務(wù)相關(guān)信息���,對與所述多業(yè)務(wù)系統(tǒng)相對應(yīng)的網(wǎng)絡(luò)訪問流量中與所述目標業(yè)務(wù)相對應(yīng)的網(wǎng)絡(luò)訪問流量進行防御處理。
2.根據(jù)權(quán)利要求1所述的方法���,其中��,所述步驟c包括cl根據(jù)所述目標業(yè)務(wù)的業(yè)務(wù)相關(guān)信息���,對與所述多業(yè)務(wù)系統(tǒng)相對應(yīng)的網(wǎng)絡(luò)訪問流量中與所述目標業(yè)務(wù)相對應(yīng)的網(wǎng)絡(luò)訪問流量進行轉(zhuǎn)發(fā)處理,以獲得待清洗的原始訪問流量���;c2根據(jù)所述DDoS攻擊的攻擊相關(guān)信息���,對所述原始訪問流量進行清洗處理,以獲得與所述原始訪問流量相對應(yīng)的清潔訪問流量��;c3將所述清潔訪問流量轉(zhuǎn)發(fā)至所述多業(yè)務(wù)系統(tǒng)��,以訪問所述目標業(yè)務(wù)����。
3.據(jù)權(quán)利要求2所述的方法,其中�����,所述步驟cl包括-根據(jù)所述目標業(yè)務(wù)的業(yè)務(wù)相關(guān)信息���,確定與所述目標業(yè)務(wù)相對應(yīng)的牽引策略信息���; -將所述牽引策略信息發(fā)送至入口網(wǎng)絡(luò)設(shè)備��;-接收自所述入口網(wǎng)絡(luò)設(shè)備基于所述牽引策略所轉(zhuǎn)發(fā)的與所述目標業(yè)務(wù)相對應(yīng)的網(wǎng)絡(luò)訪問流量����,以獲得所述原始訪問流量����。
4.根據(jù)權(quán)利要求2或3所述的方法,其中�����,所述步驟c2中所述清洗處理操作包括以下至少任一項-保留所述原始訪問流量中正常數(shù)據(jù)包�����; -丟棄所述原始訪問流量中符合DDoS攻擊特征的數(shù)據(jù)包�; -將所述原始訪問流量中符合DDoS攻擊特征的數(shù)據(jù)包轉(zhuǎn)發(fā)至攻擊數(shù)據(jù)包數(shù)據(jù)庫; -對所述原始訪問流量中符合DDoS攻擊特征的訪問鏈接進行復(fù)位處理�。
5.根據(jù)權(quán)利要求2至4中任一項所述的方法,其中����,所述步驟c2包括-根據(jù)所述攻擊相關(guān)信息�,確定與所述原始訪問流量相關(guān)的清洗策略信息��; -根據(jù)所述清洗策略信息��,對所述原始訪問流量進行清洗處理�����,以獲得所述清潔訪問流量��。
6.根據(jù)權(quán)利要求5所述的方法����,其中���,所述清洗策略信息包括以下至少任一項 -串行清洗策略信息�;-并行清洗策略信息����; -集群清洗策略信息; -基于負載均衡的清洗策略信息�。
7.根據(jù)權(quán)利要求2至6中任一項所述的方法,其中����,所述攻擊相關(guān)信息包括以下至少任一項-所述DDoS攻擊的流量信息���; -所述DDoS攻擊的狀態(tài)信息; -所述DDoS攻擊的種類信息�。
8.據(jù)權(quán)利要求2至7中任一項所述的方法,其中�,該方法還包括-根據(jù)所述目標業(yè)務(wù)的業(yè)務(wù)相關(guān)信息,確定與所述目標業(yè)務(wù)相對應(yīng)的回注策略���; -將所述回注策略發(fā)送至與所述目標業(yè)務(wù)相對應(yīng)的回注網(wǎng)絡(luò)設(shè)備�; 其中�,所述步驟c3包括-將所述清潔訪問流量轉(zhuǎn)發(fā)至所述回注網(wǎng)絡(luò)設(shè)備。
9.根據(jù)權(quán)利要求1至8中任一項所述的方法�����,其中��,所述業(yè)務(wù)相關(guān)信息包括以下至少任一項-所述目標業(yè)務(wù)的訪問標識信息���; -與所述目標業(yè)務(wù)相對應(yīng)的超鏈接的主機域信息�; -與所述目標業(yè)務(wù)相對應(yīng)的標識序列信息。
10.根據(jù)權(quán)利要求1至9中任一項所述的方法�����,其中,所述DDoS攻擊觸發(fā)條件包括以下至少任一項-與所述多業(yè)務(wù)系統(tǒng)相對應(yīng)的網(wǎng)絡(luò)訪問流量中存在符合DDoS攻擊特征的數(shù)據(jù)包; -與所述多業(yè)務(wù)系統(tǒng)中一個或多個業(yè)務(wù)相對應(yīng)的網(wǎng)絡(luò)訪問流量中存在符合DDoS攻擊特征的數(shù)據(jù)包����;-所述多業(yè)務(wù)系統(tǒng)中一個或多個業(yè)務(wù)存在與DDoS攻擊行為相關(guān)的性能變化信息��。
11.一種用于防御指向多業(yè)務(wù)系統(tǒng)的DDoS攻擊的網(wǎng)絡(luò)安全設(shè)備��,其中,該設(shè)備包括 攻擊檢測裝置�����,用于根據(jù)預(yù)置的DDoS攻擊觸發(fā)條件����,檢測與多業(yè)務(wù)系統(tǒng)相對應(yīng)的網(wǎng)絡(luò)訪問流量中是否存在DDoS攻擊;目標確定裝置��,用于當存在所述DDoS攻擊時�����,根據(jù)所述DDoS攻擊所對應(yīng)的所述DDoS 攻擊觸發(fā)條件,確定所述DDoS攻擊所指向的目標業(yè)務(wù)��;防御處理裝置���,用于根據(jù)所述目標業(yè)務(wù)的業(yè)務(wù)相關(guān)信息���,對與所述多業(yè)務(wù)系統(tǒng)相對應(yīng)的網(wǎng)絡(luò)訪問流量中與所述目標業(yè)務(wù)相對應(yīng)的網(wǎng)絡(luò)訪問流量進行防御處理。
12.根據(jù)權(quán)利要求11所述的設(shè)備�,其中,所述防御處理裝置包括牽引單元���,用于根據(jù)所述目標業(yè)務(wù)的業(yè)務(wù)相關(guān)信息����,對與所述多業(yè)務(wù)系統(tǒng)相對應(yīng)的網(wǎng)絡(luò)訪問流量中與所述目標業(yè)務(wù)相對應(yīng)的網(wǎng)絡(luò)訪問流量進行轉(zhuǎn)發(fā)處理��,以獲得待清洗的原始訪問流量���;清洗單元���,用于根據(jù)所述DDoS攻擊的攻擊相關(guān)信息�,對所述原始訪問流量進行清洗處理���,以獲得與所述原始訪問流量相對應(yīng)的清潔訪問流量����;轉(zhuǎn)發(fā)單元���,用于將所述清潔訪問流量轉(zhuǎn)發(fā)至所述多業(yè)務(wù)系統(tǒng)�����,以訪問所述目標業(yè)務(wù)��。
13.據(jù)權(quán)利要求12所述的設(shè)備�,其中���,所述牽引單元用于-根據(jù)所述目標業(yè)務(wù)的業(yè)務(wù)相關(guān)信息,確定與所述目標業(yè)務(wù)相對應(yīng)的牽引策略信息���; -將所述牽引策略信息發(fā)送至入口網(wǎng)絡(luò)設(shè)備�����;-接收自所述入口網(wǎng)絡(luò)設(shè)備基于所述牽引策略所轉(zhuǎn)發(fā)的與所述目標業(yè)務(wù)相對應(yīng)的網(wǎng)絡(luò)訪問流量�����,以獲得所述原始訪問流量���。
14.根據(jù)權(quán)利要求12或13所述的設(shè)備�����,其中��,所述清洗單元中所述清洗處理操作包括以下至少任一項-保留所述原始訪問流量中正常數(shù)據(jù)包��; -丟棄所述原始訪問流量中符合DDoS攻擊特征的數(shù)據(jù)包�����;-將所述原始訪問流量中符合DDoS攻擊特征的數(shù)據(jù)包轉(zhuǎn)發(fā)至攻擊數(shù)據(jù)包數(shù)據(jù)庫�; -對所述原始訪問流量中符合DDoS攻擊特征的訪問鏈接進行復(fù)位處理���。
15.根據(jù)權(quán)利要求12至14中任一項所述的設(shè)備�,其中����,所述清洗單元用于 -根據(jù)所述攻擊相關(guān)信息����,確定與所述原始訪問流量相關(guān)的清洗策略信息�;-根據(jù)所述清洗策略信息,對所述原始訪問流量進行清洗處理��,以獲得所述清潔訪問流量�����。
16.根據(jù)權(quán)利要求15所述的設(shè)備���,其中��,所述清洗策略信息包括以下至少任一項 -串行清洗策略信息����;-并行清洗策略信息����; -集群清洗策略信息�; -基于負載均衡的清洗策略信息����。
17.根據(jù)權(quán)利要求12至16中任一項所述的設(shè)備�����,其中����,所述攻擊相關(guān)信息包括以下至少任一項-所述DDoS攻擊的流量信息; -所述DDoS攻擊的狀態(tài)信息�����; -所述DDoS攻擊的種類信息�����。
18.據(jù)權(quán)利要求12至17中任一項所述的設(shè)備�,其中,該設(shè)備還包括回注裝置���,該回注裝置用于-根據(jù)所述目標業(yè)務(wù)的業(yè)務(wù)相關(guān)信息�����,確定與所述目標業(yè)務(wù)相對應(yīng)的回注策略�����; -將所述回注策略發(fā)送至與所述目標業(yè)務(wù)相對應(yīng)的回注網(wǎng)絡(luò)設(shè)備�; 其中,所述轉(zhuǎn)發(fā)單元用于 -將所述清潔訪問流量轉(zhuǎn)發(fā)至所述回注網(wǎng)絡(luò)設(shè)備���。
19.根據(jù)權(quán)利要求11至18中任一項所述的設(shè)備���,其中,所述業(yè)務(wù)相關(guān)信息包括以下至少任一項-所述目標業(yè)務(wù)的訪問標識信息�����; -與所述目標業(yè)務(wù)相對應(yīng)的超鏈接的主機域信息�����; -與所述目標業(yè)務(wù)相對應(yīng)的標識序列信息��。
20.根據(jù)權(quán)利要求11至19中任一項所述的設(shè)備���,其中��,所述DDoS攻擊觸發(fā)條件包括以下至少任一項-與所述多業(yè)務(wù)系統(tǒng)相對應(yīng)的網(wǎng)絡(luò)訪問流量中存在符合DDoS攻擊特征的數(shù)據(jù)包��; -與所述多業(yè)務(wù)系統(tǒng)中一個或多個業(yè)務(wù)相對應(yīng)的網(wǎng)絡(luò)訪問流量中存在符合DDoS攻擊特征的數(shù)據(jù)包���;-所述多業(yè)務(wù)系統(tǒng)中一個或多個業(yè)務(wù)存在與DDoS攻擊行為相關(guān)的性能變化信息。
全文摘要
本發(fā)明旨在提供一種防御指向多業(yè)務(wù)系統(tǒng)的DDoS攻擊的方法與設(shè)備�����。其中�,網(wǎng)絡(luò)安全設(shè)備根據(jù)預(yù)置的DDoS攻擊觸發(fā)條件,檢測與多業(yè)務(wù)系統(tǒng)相對應(yīng)的網(wǎng)絡(luò)訪問流量中是否存在DDoS攻擊�����;當存在所述DDoS攻擊時�,根據(jù)所述DDoS攻擊所對應(yīng)的所述DDoS攻擊觸發(fā)條件,確定所述DDoS攻擊所指向的目標業(yè)務(wù)���;根據(jù)所述目標業(yè)務(wù)的業(yè)務(wù)相關(guān)信息����,對與所述多業(yè)務(wù)系統(tǒng)相對應(yīng)的網(wǎng)絡(luò)訪問流量中與所述目標業(yè)務(wù)相對應(yīng)的網(wǎng)絡(luò)訪問流量進行防御處理�����。與現(xiàn)有技術(shù)相比,本發(fā)明通過檢測DDoS攻擊所針對的目標業(yè)務(wù)��,并根據(jù)該目標業(yè)務(wù)的業(yè)務(wù)相關(guān)信息進行相應(yīng)的防御處理��,不僅限制了該DDoS對整個多業(yè)務(wù)系統(tǒng)的不良影響����,也有效支持了面向該多業(yè)務(wù)系統(tǒng)中的其他業(yè)務(wù)的訪問請求,從而有效提高了整個多業(yè)務(wù)系統(tǒng)抵御DDoS的信息安全能力�����。
文檔編號H04L29/06GK102263788SQ201110197639
公開日2011年11月30日 申請日期2011年7月14日 優(yōu)先權(quán)日2011年7月14日
發(fā)明者傅江, 劉寧, 劉濤, 吳教仁, 張 誠, 蔣浩 申請人:百度在線網(wǎng)絡(luò)技術(shù)(北京)有限公司