本申請(qǐng)涉及網(wǎng)絡(luò)安全
技術(shù)領(lǐng)域：
，尤其涉及一種防御分布式拒絕服務(wù)(DistributedDenialofService，DDOS)攻擊的方法及裝置。
背景技術(shù)：
：目前，網(wǎng)絡(luò)安全問題日益突出，而DDOS攻擊已經(jīng)成為互聯(lián)網(wǎng)上最常見的攻擊方式之一?，F(xiàn)有技術(shù)中，對(duì)網(wǎng)絡(luò)上發(fā)起的DDOS攻擊主要使用流量清洗裝置進(jìn)行防護(hù)，流量清洗裝置的運(yùn)作模式如下。攻防人員預(yù)先根據(jù)客戶的業(yè)務(wù)特點(diǎn)和網(wǎng)絡(luò)環(huán)境，手動(dòng)配置流量清洗裝置的防護(hù)策略，其中，預(yù)先配置的防護(hù)策略直接影響流量清洗裝置的防護(hù)效果，但由于DDOS攻擊特征復(fù)雜多變，很難保證預(yù)先配置的防護(hù)策略的完善性。在配置好防護(hù)策略以后，流量清洗裝置可以有效防護(hù)一些簡(jiǎn)單攻擊，比如不符合預(yù)先選定的傳輸協(xié)議規(guī)則的單報(bào)文攻擊、syn攻擊等，但往往不能有效防護(hù)一些復(fù)雜攻擊，比如符合預(yù)先選定的傳輸協(xié)議規(guī)則的攻擊報(bào)文，此時(shí)會(huì)出現(xiàn)兩種不良后果：一是攻擊報(bào)文透過流量清洗裝置到達(dá)受保護(hù)端使其發(fā)生故障；二是流量清洗裝置將正?？蛻舳说膱?bào)文當(dāng)成攻擊報(bào)文而將其誤殺，導(dǎo)致正常客戶端無法訪問受保護(hù)端。此外，現(xiàn)有技術(shù)中，只有當(dāng)受保護(hù)端發(fā)生故障以后，攻防人員才知道發(fā)生了DDOS攻擊，才開始后續(xù)的抓取報(bào)文、分析攻擊特征等操作來調(diào)整防護(hù)策略。而實(shí)際上一次DDOS攻擊持續(xù)的時(shí)間都比較短，攻防人員可能來不及抓取報(bào)文，只能等到下一波DDOS攻擊出現(xiàn)，才可以順利地調(diào)整防護(hù)策略。然而，攻防人員并不能預(yù)料下一波DDOS攻擊何時(shí)出現(xiàn)，因此，只能被動(dòng)的等待，這樣，不僅會(huì)浪費(fèi)人力，而且會(huì)延長(zhǎng)更新防護(hù)策略的過程，無法滿足使用流量清洗裝置的客戶所期望的實(shí)時(shí)防護(hù)受保護(hù)端的要求?？梢?，現(xiàn)有技術(shù)中流量清洗裝置在遇到DDOS攻擊時(shí)，不能及時(shí)更新防護(hù)策略、無法對(duì)受保護(hù)端進(jìn)行實(shí)時(shí)有效地防護(hù)。技術(shù)實(shí)現(xiàn)要素：本申請(qǐng)實(shí)施例提供一種防御DDOS攻擊的方法及裝置，用以解決現(xiàn)有技術(shù)中流量清洗裝置在遇到DDOS攻擊時(shí)，不能及時(shí)更新防護(hù)策略、無法對(duì)受保護(hù)端進(jìn)行實(shí)時(shí)有效地防護(hù)的問題。本申請(qǐng)實(shí)施例提供的一種防御DDOS攻擊的方法，包括：云端安全服務(wù)中心在檢測(cè)到受保護(hù)端的狀態(tài)滿足預(yù)設(shè)的故障條件時(shí)，根據(jù)受保護(hù)端對(duì)應(yīng)的流量清洗裝置上報(bào)的流量統(tǒng)計(jì)數(shù)據(jù)，判斷流量清洗裝置是否正在接受DDOS攻擊；在確定流量清洗裝置正在接受DDOS攻擊后，向該流量清洗裝置發(fā)送抓取報(bào)文的指令；接收流量清洗裝置發(fā)送的報(bào)文，通過分析接收的報(bào)文的攻擊特征，為流量清洗裝置生成更新的防護(hù)策略；將生成的更新的防護(hù)策略發(fā)送給流量清洗裝置，以便流量清洗裝置對(duì)DDOS攻擊進(jìn)行防御?？蛇x地，判斷流量清洗裝置是否正在接受DDOS攻擊，包括：當(dāng)流量清洗裝置在最近N個(gè)上報(bào)周期的每個(gè)上報(bào)周期內(nèi)上報(bào)給云端安全服務(wù)中心的流量統(tǒng)計(jì)數(shù)據(jù)中，流量清洗裝置傳輸?shù)膱?bào)文流量大小都大于云端安全服務(wù)中心對(duì)流量清洗裝置的監(jiān)控流量閾值時(shí)，確定流量清洗裝置正在接受DDOS攻擊；其中，流量清洗裝置傳輸?shù)膱?bào)文流量大小是流量清洗裝置發(fā)送給受保護(hù)端的報(bào)文流量大小，或者，是流量清洗裝置接收的客戶端指示發(fā)送給受保護(hù)端的報(bào)文流量大??；N為正整數(shù)?？蛇x地，當(dāng)在最近N個(gè)上報(bào)周期的至少一個(gè)上報(bào)周期內(nèi)的流量統(tǒng)計(jì)數(shù)據(jù)中，流量清洗裝置傳輸?shù)膱?bào)文流量大小小于監(jiān)控流量閾值時(shí)，所述方法還包括：根據(jù)最近預(yù)設(shè)時(shí)長(zhǎng)內(nèi)流量清洗裝置傳輸?shù)膱?bào)文流量大小，確定目標(biāo)流量閾值；如果流量清洗裝置在最近N個(gè)上報(bào)周期的每個(gè)上報(bào)周期內(nèi)上報(bào)的流量統(tǒng)計(jì)數(shù)據(jù)中，流量清洗裝置傳輸?shù)膱?bào)文流量大小都大于目標(biāo)流量閾值，則確定流量清洗裝置正在接受DDOS攻擊；否則，確定流量清洗裝未在接受DDOS攻擊?？蛇x地，如果流量清洗裝置在最近N個(gè)上報(bào)周期的每個(gè)上報(bào)周期內(nèi)上報(bào)的流量統(tǒng)計(jì)數(shù)據(jù)中，流量清洗裝置傳輸?shù)膱?bào)文流量大小都大于目標(biāo)流量閾值，所述方法還包括：將監(jiān)控流量閾值替換為目標(biāo)流量閾值?？蛇x地，向流量清洗裝置發(fā)送抓取報(bào)文的指令，包括：向流量清洗裝置發(fā)送周期性抓取報(bào)文的指令；接收流量清洗裝置發(fā)送的報(bào)文，通過分析接收的報(bào)文的攻擊特征，為流量清洗裝置生成更新的防護(hù)策略，包括：基于流量清洗裝置周期性獲取的報(bào)文，持續(xù)為流量清洗裝置生成更新的防護(hù)策略；將更新的防護(hù)策略發(fā)送給流量清洗裝置之后，還包括：在檢測(cè)到受保護(hù)端的狀態(tài)不滿足預(yù)設(shè)的故障條件后，向流量清洗裝置發(fā)送停止抓取報(bào)文的指令。可選地，所述方法還包括：云端安全服務(wù)中心在檢測(cè)到受保護(hù)端的狀態(tài)不滿足預(yù)設(shè)的故障條件時(shí)，如果確定流量清洗裝置在最近N個(gè)上報(bào)周期的每個(gè)上報(bào)周期內(nèi)上報(bào)給云端安全服務(wù)中心的流量統(tǒng)計(jì)數(shù)據(jù)中，流量清洗裝置傳輸?shù)膱?bào)文流量大小都大于云端安全服務(wù)中心對(duì)流量清洗裝置的監(jiān)控流量閾值，則將監(jiān)控流量閾值替換為在所述N個(gè)上報(bào)周期內(nèi)上報(bào)的流量統(tǒng)計(jì)數(shù)據(jù)中，流量清洗裝置傳輸?shù)膱?bào)文流量大小的平均值；其中，流量清洗裝置傳輸?shù)膱?bào)文流量大小是流量清洗裝置發(fā)送給受保護(hù)端的報(bào)文流量大小，或者，是流量清洗裝置接收的客戶端指示發(fā)送給受保護(hù)端的報(bào)文流量大小。本申請(qǐng)實(shí)施例還提供一種防御DDOS攻擊的方法，包括：向云端安全服務(wù)中心發(fā)送流量統(tǒng)計(jì)數(shù)據(jù)，以使所述云端安全服務(wù)中心基于該流量統(tǒng)計(jì)數(shù)據(jù)判斷流量清洗裝置是否正在接受DDOS攻擊；接收云端安全服務(wù)中心在確定流量清洗裝置正在接受DDOS攻擊后發(fā)送的抓取報(bào)文的指令；基于接收的所述抓取報(bào)文的指令，抓取自身處理的報(bào)文，并將報(bào)文發(fā)送給所述云端安全服務(wù)中心；接收云端安全服務(wù)中心基于報(bào)文生成的更新后的防護(hù)策略；基于更新后的防護(hù)策略，對(duì)DDOS攻擊進(jìn)行防御。本申請(qǐng)實(shí)施例提供一種云端安全服務(wù)中心，包括：判斷模塊，用于在檢測(cè)到受保護(hù)端的狀態(tài)滿足預(yù)設(shè)的故障條件時(shí)，根據(jù)受保護(hù)端對(duì)應(yīng)的流量清洗裝置上報(bào)的流量統(tǒng)計(jì)數(shù)據(jù)，判斷流量清洗裝置是否正在接受DDOS攻擊；第一發(fā)送模塊，用于在確定流量清洗裝置正在接受DDOS攻擊后，向流量清洗裝置發(fā)送抓取報(bào)文的指令；防護(hù)策略生成模塊，用于接收流量清洗裝置發(fā)送的報(bào)文，通過分析接收的報(bào)文的攻擊特征，為流量清洗裝置生成更新的防護(hù)策略；第二發(fā)送模塊，用于將生成的更新的防護(hù)策略發(fā)送給流量清洗裝置，以便流量清洗裝置對(duì)DDOS攻擊進(jìn)行防御?？蛇x地，判斷模塊具體用于：當(dāng)流量清洗裝置在最近N個(gè)上報(bào)周期的每個(gè)上報(bào)周期內(nèi)上報(bào)給云端安全服務(wù)中心的流量統(tǒng)計(jì)數(shù)據(jù)中，流量清洗裝置傳輸?shù)膱?bào)文流量大小都大于云端安全服務(wù)中心對(duì)流量清洗裝置的監(jiān)控流量閾值時(shí)，確定流量清洗裝置正在接受DDOS攻擊；其中，流量清洗裝置傳輸?shù)膱?bào)文流量大小是流量清洗裝置發(fā)送給受保護(hù)端的報(bào)文流量大小，或者，是流量清洗裝置接收的客戶端指示發(fā)送給受保護(hù)端的報(bào)文流量大??；N為正整數(shù)?？蛇x地，判斷模塊具體用于：根據(jù)最近預(yù)設(shè)時(shí)長(zhǎng)內(nèi)所述流量清洗裝置傳輸?shù)膱?bào)文流量大小，確定目標(biāo)流量閾值；如果流量清洗裝置在最近N個(gè)上報(bào)周期的每個(gè)上報(bào)周期內(nèi)上報(bào)的流量統(tǒng)計(jì)數(shù)據(jù)中，流量清洗裝置傳輸?shù)膱?bào)文流量大小都大于目標(biāo)流量閾值，則確定流量清洗裝置正在接受DDOS攻擊；否則，確定流量清洗裝未在接受DDOS攻擊?？蛇x地，判斷模塊還用于：將監(jiān)控流量閾值替換為目標(biāo)流量閾值?？蛇x地，第一發(fā)送模塊具體用于：向流量清洗裝置發(fā)送周期性抓取報(bào)文的指令；防護(hù)策略生成模塊具體用于：基于流量清洗裝置周期性獲取的報(bào)文，持續(xù)為流量清洗裝置生成更新的防護(hù)策略；第一發(fā)送模塊還用于：在檢測(cè)到受保護(hù)端的狀態(tài)不滿足預(yù)設(shè)的故障條件后，向流量清洗裝置發(fā)送停止抓取報(bào)文的指令?？蛇x地，判斷模塊還用于：在檢測(cè)到受保護(hù)端的狀態(tài)不滿足預(yù)設(shè)的故障條件時(shí)，如果確定流量清洗裝置在最近N個(gè)上報(bào)周期的每個(gè)上報(bào)周期內(nèi)上報(bào)給云端安全服務(wù)中心的流量統(tǒng)計(jì)數(shù)據(jù)中，流量清洗裝置傳輸?shù)膱?bào)文流量大小都大于云端安全服務(wù)中心對(duì)所述流量清洗裝置的監(jiān)控流量閾值，則將監(jiān)控流量閾值替換為在所述N個(gè)上報(bào)周期內(nèi)上報(bào)的流量統(tǒng)計(jì)數(shù)據(jù)中，流量清洗裝置傳輸?shù)膱?bào)文流量大小的平均值；其中，流量清洗裝置傳輸?shù)膱?bào)文流量大小是流量清洗裝置發(fā)送給受保護(hù)端的報(bào)文流量大小，或者，是流量清洗裝置接收的客戶端指示發(fā)送給受保護(hù)端的報(bào)文流量大小。本申請(qǐng)實(shí)施例還提供一種流量清洗裝置，包括：數(shù)據(jù)發(fā)送模塊，用于向云端安全服務(wù)中心發(fā)送流量統(tǒng)計(jì)數(shù)據(jù)，以使云端安全服務(wù)中心基于該流量統(tǒng)計(jì)數(shù)據(jù)判斷流量清洗裝置是否正在接受DDOS攻擊；第一接收模塊，用于接收云端安全服務(wù)中心在確定流量清洗裝置正在接受DDOS攻擊后發(fā)送的抓取報(bào)文的指令；處理模塊，用于基于接收的抓取報(bào)文的指令，抓取自身處理的報(bào)文，并將所述報(bào)文發(fā)送給云端安全服務(wù)中心；第二接收模塊，用于接收云端安全服務(wù)中心基于所述報(bào)文生成的更新后的防護(hù)策略；防御模塊，用于基于更新后的防護(hù)策略，對(duì)DDOS攻擊進(jìn)行防御。本申請(qǐng)實(shí)施例中，云端安全服務(wù)中心可以根據(jù)實(shí)時(shí)檢測(cè)的受保護(hù)端的狀態(tài)、以及流量清洗裝置上報(bào)的流量統(tǒng)計(jì)數(shù)據(jù)，判斷流量清洗裝置是否正在接受DDOS攻擊；在確定流量清洗裝置正在接受DDOS攻擊后，指示流量清洗裝置在被攻擊的過程中抓取報(bào)文并發(fā)送給自己，進(jìn)而，在接收到報(bào)文之后可以根據(jù)這些報(bào)文的攻擊特征，為流量清洗裝置生成更新的防護(hù)策略，本申請(qǐng)實(shí)施例中，云端安全服務(wù)中心在流量清洗裝置接受DDOS攻擊的過程中，就可以智能地為流量清洗裝置更新防護(hù)參數(shù)，因此，可以進(jìn)行實(shí)時(shí)有效地保護(hù)受保護(hù)端。此外，在本申請(qǐng)優(yōu)選實(shí)施方式中，云端安全服務(wù)中心可以向流量清洗裝置發(fā)送周期性抓取報(bào)文的指令，并且可以基于流量清洗裝置周期性獲取的報(bào)文，持續(xù)為流量清洗裝置生成更新的防護(hù)策略，當(dāng)檢測(cè)到受保護(hù)端的狀態(tài)不滿足預(yù)設(shè)的故障條件后，向流量清洗裝置發(fā)送停止抓取報(bào)文的指令，此時(shí)，在流量清洗裝置接受DDOS攻擊的整個(gè)過程中，云端安全服務(wù)中心就可以針對(duì)不斷變化的DDOS攻擊手法，智能地對(duì)流量清洗裝置的防護(hù)策略進(jìn)行實(shí)時(shí)動(dòng)態(tài)地調(diào)整，這樣，不僅可以減少人工干預(yù)，而且可以更好地實(shí)時(shí)提高流量清洗裝置防御DDOS攻擊的能力，對(duì)受保護(hù)端進(jìn)行實(shí)時(shí)有效地的防護(hù)。附圖說明圖1為本申請(qǐng)實(shí)施例提供的云端安全服務(wù)中心、流量清洗裝置、受保護(hù)端以及客戶端之間的架構(gòu)關(guān)系示意圖；圖2為本申請(qǐng)實(shí)施例提供的防御DDOS攻擊方法流程圖；圖3為本申請(qǐng)實(shí)施例提供的判斷流量清洗裝置是否正在接受DDOS攻擊的流程圖；圖4為本申請(qǐng)實(shí)施例提供的云安全服務(wù)中心更新流量清洗裝置的流量防護(hù)策略閾值的流程圖；圖5為本申請(qǐng)實(shí)施例提供的云安全服務(wù)中心更新流量清洗裝置報(bào)文發(fā)送速率的流程圖；圖6為本申請(qǐng)實(shí)施例提供的云安全服務(wù)中心更新對(duì)流量清洗裝置監(jiān)控流量閾值的流程圖；圖7為本申請(qǐng)實(shí)施例提供的一種云端安全服務(wù)中心結(jié)構(gòu)圖；圖8為本申請(qǐng)實(shí)施例提供的一種流量清洗裝置結(jié)構(gòu)圖。具體實(shí)施方式本申請(qǐng)實(shí)施例中，云端安全服務(wù)中心可以根據(jù)實(shí)時(shí)檢測(cè)的受保護(hù)端的狀態(tài)、以及流量清洗裝置上報(bào)的流量統(tǒng)計(jì)數(shù)據(jù)，判斷流量清洗裝置是否正在接受DDOS攻擊；在確定流量清洗裝置正在接受DDOS攻擊后，指示流量清洗裝置在被攻擊的過程中抓取報(bào)文并發(fā)送給自己，進(jìn)而，在接收到報(bào)文之后可以根據(jù)這些報(bào)文的攻擊特征，為流量清洗裝置生成更新的防護(hù)策略，本申請(qǐng)實(shí)施例中，云端安全服務(wù)中心在流量清洗裝置接受DDOS攻擊的過程中，就可以智能地為流量清洗裝置更新防護(hù)參數(shù)，因此，可以進(jìn)行實(shí)時(shí)有效地保護(hù)受保護(hù)端。此外，在本申請(qǐng)優(yōu)選實(shí)施方式中，云端安全服務(wù)中心可以向流量清洗裝置發(fā)送周期性抓取報(bào)文的指令，并且可以基于流量清洗裝置周期性獲取的報(bào)文，持續(xù)為流量清洗裝置生成更新的防護(hù)策略，當(dāng)檢測(cè)到受保護(hù)端的狀態(tài)不滿足預(yù)設(shè)的故障條件后，向流量清洗裝置發(fā)送停止抓取報(bào)文的指令，此時(shí)，在流量清洗裝置接受DDOS攻擊的整個(gè)過程中，云端安全服務(wù)中心就可以針對(duì)不斷變化的DDOS攻擊手法，智能地對(duì)流量清洗裝置的防護(hù)策略進(jìn)行實(shí)時(shí)動(dòng)態(tài)地調(diào)整，這樣，不僅可以減少人工干預(yù)，而且可以更好地實(shí)時(shí)提高流量清洗裝置防御DDOS攻擊的能力，對(duì)受保護(hù)端進(jìn)行實(shí)時(shí)有效地的防護(hù)。如圖1所示，為本申請(qǐng)實(shí)施例中云端安全服務(wù)中心、流量清洗裝置、受保護(hù)端以及客戶端之間的架構(gòu)關(guān)系示意圖。本申請(qǐng)實(shí)施例中，客戶端通過廣域網(wǎng)(WideAreaNetwork，WAN)發(fā)送給受保護(hù)端的報(bào)文會(huì)先經(jīng)過流量清洗裝置，流量清洗裝置基于對(duì)受保護(hù)端配置的防護(hù)策略，對(duì)客戶端發(fā)送給受保護(hù)端的報(bào)文進(jìn)行安全性檢查，之后，再將通過安全性檢查的報(bào)文利用局域網(wǎng)(LocalAreaNetwork，LAN)發(fā)送給受保護(hù)端。在此過程中，流量清洗裝置還可以將自身處理的流量統(tǒng)計(jì)數(shù)據(jù)周期性地上報(bào)給云端安全服務(wù)中心，進(jìn)一步地，云端安全服務(wù)中心根據(jù)這些流量統(tǒng)計(jì)數(shù)據(jù)，再結(jié)合實(shí)時(shí)檢測(cè)的各個(gè)受保護(hù)端的狀態(tài)，判斷流量清洗裝置是否能夠有效抵御DDOS攻擊，并進(jìn)行相應(yīng)的處理。在具體實(shí)施過程中，云端安全服務(wù)中心可以先注冊(cè)流量清洗裝置的設(shè)備信息和受保護(hù)端的信息；其中，流量清洗裝置的設(shè)備信息至少包括設(shè)備編號(hào)；受保護(hù)端的信息至少包括受保護(hù)端的網(wǎng)絡(luò)互連協(xié)議(InternetProtocol，IP)地址、受保護(hù)端提供的服務(wù)類型，比如http請(qǐng)求服務(wù)、dns查詢服務(wù)等，以及提供所述服務(wù)時(shí)使用的端口號(hào)。此外，因?yàn)榱髁壳逑囱b置和受保護(hù)端之間可以是一對(duì)一的關(guān)系，也可以是一對(duì)多的關(guān)系，所以，云端安全服務(wù)中心還可以注冊(cè)流量清洗裝置的設(shè)備編號(hào)與受保護(hù)端的IP地址之間的對(duì)應(yīng)關(guān)系。進(jìn)一步地，云端安全服務(wù)中心完成上述信息的注冊(cè)以后，流量清洗裝置可以將對(duì)受保護(hù)端配置的防護(hù)策略上傳給云端安全服務(wù)中心，以便云端安全服務(wù)中心后續(xù)可以對(duì)這些防護(hù)策略進(jìn)行更新。在具體實(shí)施過程中，防護(hù)策略包括多種防護(hù)參數(shù)，因此需要根據(jù)受保護(hù)端的業(yè)務(wù)特點(diǎn)和網(wǎng)絡(luò)環(huán)境來配置具體的防護(hù)策略。其中，業(yè)務(wù)特點(diǎn)包括客戶的受保護(hù)端類型，如網(wǎng)游服務(wù)器、網(wǎng)頁等；網(wǎng)絡(luò)環(huán)境包括服務(wù)器支持的帶寬、高峰時(shí)段的客戶端連接數(shù)、最大連接客戶端數(shù)等。因此，云端安全服務(wù)中心可為流量清洗裝置更新的防護(hù)策略也很多，下面僅列舉幾種進(jìn)行說明。1)更新對(duì)報(bào)文的訪問控制策略。在實(shí)際應(yīng)用中，對(duì)某些源IP地址、目的IP地址、源端口號(hào)、目的端口號(hào)，發(fā)送/接收的報(bào)文，云端安全服務(wù)中心可以確定放行、或丟棄兩種不同的訪問控制策略。2)更新對(duì)syn、ack、http、udp等攻擊設(shè)置的防護(hù)參數(shù)閾值，其中，防護(hù)參數(shù)閾值的單位可以是比特每秒(bitpersecond，bps)，也可以是包每秒(packagepersecond，pps)。3)更新對(duì)源IP地址發(fā)送的udp、ack、httpget、dns、syn、icmp等報(bào)文發(fā)送速率設(shè)置的限速參數(shù)。4)更新對(duì)協(xié)議字段的控制策略。在具體實(shí)施過程中，針對(duì)某些協(xié)議，比如dns協(xié)議，可以配置其交易識(shí)別碼的范圍，或者，匹配其查詢名的正則表達(dá)式，進(jìn)一步地，可以針對(duì)匹配的報(bào)文確定不同的訪問控制策略(放行、或丟棄)。5)更新對(duì)報(bào)文特征字符的匹配規(guī)則。在具體實(shí)施過程中，針對(duì)udp、ack、icmp、http報(bào)文的特征字符，可以通過正則表達(dá)式配置匹配規(guī)則，如果報(bào)文特征字符與所述正則表達(dá)式相匹配，可以確定不同的訪問控制策略(放行、或丟棄)。這里，云端安全服務(wù)中心對(duì)流量清洗裝置設(shè)置有流量監(jiān)控閾值，流量監(jiān)控閾值不但對(duì)判斷是否發(fā)生DDOS攻擊有重要影響，而且也是判斷當(dāng)前防護(hù)策略的設(shè)置是否合理的重要依據(jù)。在具體實(shí)施過程中，如果流量監(jiān)控閾值改變，則會(huì)影響對(duì)下一次對(duì)DDOS攻擊的判斷，因此，設(shè)置合適的流量監(jiān)控閾值十分重要。上述實(shí)施過程中，云端安全服務(wù)中心檢測(cè)的受保護(hù)端狀態(tài)可以反映出當(dāng)前實(shí)際的防護(hù)效果，而流量清洗裝置周期性上報(bào)的流量統(tǒng)計(jì)數(shù)據(jù)可以反映出流量清洗裝置是否在接受DDOS攻擊，因此，可以根據(jù)所述受保護(hù)端狀態(tài)和流量統(tǒng)計(jì)數(shù)據(jù)，調(diào)整所述流量監(jiān)控閾值。具體地，如果云端安全服務(wù)中心確定當(dāng)前的防護(hù)策略無法抵御攻擊，則可以指示流量清洗裝置收集攻擊報(bào)文樣本，進(jìn)一步地，根據(jù)這些攻擊報(bào)文樣本的攻擊特征，利用更新防護(hù)策略的方法調(diào)整當(dāng)前的防護(hù)策略，并且可以在適當(dāng)?shù)貢r(shí)候降低所述流量監(jiān)控閾值；如果云端安全服務(wù)中心確定當(dāng)前的防護(hù)策略可以成功抵御攻擊，則不用觸發(fā)調(diào)整當(dāng)前防護(hù)策略的操作，并且可以適當(dāng)?shù)靥岣咚隽髁勘O(jiān)控閾值。這里，無論流量監(jiān)控閾值提高還是降低，其動(dòng)態(tài)調(diào)整的整個(gè)過程都是自動(dòng)完成的，是不需要人工干預(yù)的智能化行為。下面結(jié)合說明書附圖對(duì)本申請(qǐng)實(shí)施例作進(jìn)一步詳細(xì)描述。如圖2所示，為本申請(qǐng)實(shí)施例提供的防御分布式拒絕服務(wù)DDOS攻擊方法流程圖，包括以下步驟：S201：云端安全服務(wù)中心在檢測(cè)到受保護(hù)端的狀態(tài)滿足預(yù)設(shè)的故障條件時(shí)，根據(jù)受保護(hù)端對(duì)應(yīng)的流量清洗裝置上報(bào)的流量統(tǒng)計(jì)數(shù)據(jù)，判斷流量清洗裝置是否正在接受DDOS攻擊。這里，云端安全服務(wù)中心實(shí)時(shí)檢測(cè)受保護(hù)端的狀態(tài)，并實(shí)時(shí)接收流量清洗裝置周期性上報(bào)的流量統(tǒng)計(jì)數(shù)據(jù)。在具體實(shí)施過程中，云端安全服務(wù)中心可以根據(jù)受保護(hù)端的類型，確定檢測(cè)其狀態(tài)時(shí)使用的具體參數(shù)。比如，受保護(hù)端是web服務(wù)器，則可以發(fā)起一次httpget請(qǐng)求，確定其響應(yīng)時(shí)間，然后，將響應(yīng)時(shí)間作為確定檢測(cè)web服務(wù)器狀態(tài)時(shí)使用的參數(shù)。具體地，可以周期性(比如1分鐘)地向web服務(wù)器發(fā)起httpget請(qǐng)求，統(tǒng)計(jì)最近一周內(nèi)非攻擊時(shí)段web服務(wù)器對(duì)httpget請(qǐng)求的響應(yīng)時(shí)間，計(jì)算其平均值T1，并確定出這些響應(yīng)時(shí)間中時(shí)長(zhǎng)較長(zhǎng)的前10個(gè)值，計(jì)算其平均值T2，之后，可以根據(jù)以下公式計(jì)算對(duì)受保護(hù)端進(jìn)行監(jiān)控的響應(yīng)時(shí)間閾值T：T＝max{min(T1×3，T2×1.5)，T1}。其中，云端安全服務(wù)中心對(duì)受保護(hù)端的監(jiān)控方式不限于周期性地發(fā)起http請(qǐng)求，其它方式同樣可行，如周期性進(jìn)行ping、dns查詢，或者，周期性發(fā)起tcp連接請(qǐng)求。采用這些方式進(jìn)行監(jiān)控時(shí)，仍然可以采用上述公式確定監(jiān)控響應(yīng)時(shí)間閾值T。進(jìn)一步地，云端安全服務(wù)中心對(duì)受保護(hù)端的狀態(tài)進(jìn)行實(shí)時(shí)監(jiān)控的過程中，如果受保護(hù)端的響應(yīng)時(shí)間突然連續(xù)N次超過上述響應(yīng)時(shí)間閾值T，或者連續(xù)N次不可訪問，則需要進(jìn)一步判斷受保護(hù)端是否正在接受DDOS的攻擊。在具體實(shí)施過程中，流量清洗裝置可以按照受保護(hù)端的ip和通信協(xié)議對(duì)自身處理的報(bào)文流量大小進(jìn)行統(tǒng)計(jì)，統(tǒng)計(jì)單位可以是pps，也可以是bps(與設(shè)置防護(hù)參數(shù)閾值時(shí)使用的統(tǒng)計(jì)單位相匹配)。具體地，流量清洗裝置在一個(gè)周期內(nèi)上報(bào)的流量統(tǒng)計(jì)數(shù)據(jù)至少包括以下3種：接收的客戶端指示發(fā)送給受保護(hù)端的報(bào)文流量大小、發(fā)送給受保護(hù)端的報(bào)文流量大小、以及丟棄的報(bào)文流量大小。這里，流量清洗裝置接收的客戶端指示發(fā)送給受保護(hù)端的報(bào)文流量大小，或發(fā)送給受保護(hù)端的報(bào)文流量大小都可以稱為流量清洗裝置傳輸?shù)膱?bào)文流量大小。在具體實(shí)施過程中，可以根據(jù)上述流量清洗裝置傳輸?shù)膱?bào)文流量大小，確定云端安全服務(wù)中心對(duì)受保護(hù)端的監(jiān)控流量閾值。具體地，統(tǒng)計(jì)最近一周非攻擊時(shí)段流量清洗裝置傳輸?shù)膱?bào)文流量大小，計(jì)算其平均值V1，并在這些報(bào)文流量大小中選出較大的前10個(gè)值，計(jì)算其平均值V2，之后，根據(jù)以下公式計(jì)算云端安全服務(wù)中心對(duì)受保護(hù)端的監(jiān)控流量閾值V：V＝min(V1×2，V2×1.2)。進(jìn)一步地，云端安全服務(wù)中心可以根據(jù)對(duì)受保護(hù)端周期性檢測(cè)的響應(yīng)時(shí)間閾值T和對(duì)受保護(hù)端的監(jiān)控流量閾值V，判斷受保護(hù)端是否正在接受DDOS攻擊。具體地，當(dāng)流量清洗裝置在最近N個(gè)上報(bào)周期的每個(gè)上報(bào)周期內(nèi)上報(bào)給云端安全服務(wù)中心的流量統(tǒng)計(jì)數(shù)據(jù)中，流量清洗裝置傳輸?shù)膱?bào)文流量大小都大于云端安全服務(wù)中心對(duì)流量清洗裝置的監(jiān)控流量閾值時(shí)，確定流量清洗裝置正在接受DDOS攻擊；否則，確定流量清洗裝置未在接受DDOS攻擊；其中，N為正整數(shù)。作為一種優(yōu)選的實(shí)施方式，如果在最近N個(gè)上報(bào)周期的至少一個(gè)上報(bào)周期內(nèi)的流量統(tǒng)計(jì)數(shù)據(jù)中，流量清洗裝置傳輸?shù)膱?bào)文流量大小小于監(jiān)控流量閾值時(shí)，還可以根據(jù)最近預(yù)設(shè)時(shí)長(zhǎng)內(nèi)流量清洗裝置傳輸?shù)膱?bào)文流量大小，確定目標(biāo)流量閾值；如果流量清洗裝置在最近N個(gè)上報(bào)周期的每個(gè)上報(bào)周期內(nèi)上報(bào)的流量統(tǒng)計(jì)數(shù)據(jù)中，流量清洗裝置傳輸?shù)膱?bào)文流量大小都大于該目標(biāo)流量閾值，則確定流量清洗裝置正在接受DDOS攻擊；否則，確定流量清洗裝未在接受DDOS攻擊。進(jìn)一步地，當(dāng)流量清洗裝置在最近N個(gè)上報(bào)周期的每個(gè)上報(bào)周期內(nèi)上報(bào)的流量統(tǒng)計(jì)數(shù)據(jù)中，流量清洗裝置傳輸?shù)膱?bào)文流量大小都大于目標(biāo)流量閾值時(shí)，可以將監(jiān)控流量閾值替換為目標(biāo)流量閾值。在具體實(shí)施過程中，上述過程可以按照如圖3所示的流程進(jìn)行判斷。S301a：云端安全服務(wù)中心在檢測(cè)到受保護(hù)端的狀態(tài)滿足預(yù)設(shè)的故障條件時(shí)，判斷最近N個(gè)上報(bào)周期內(nèi)流量清洗裝置上報(bào)的流量統(tǒng)計(jì)數(shù)據(jù)中，流量清洗裝置傳輸?shù)膱?bào)文流量大小是否在每個(gè)周期內(nèi)都大于監(jiān)控流量閾值，如果是，則進(jìn)入S303a，否則，進(jìn)入S302a。較佳的，N可以取3。S302a：判斷最近N個(gè)上報(bào)周期內(nèi)流量清洗裝置上報(bào)的流量統(tǒng)計(jì)數(shù)據(jù)中，流量清洗裝置傳輸?shù)膱?bào)文流量大小是否在每個(gè)周期內(nèi)都大于目標(biāo)流量閾值，如果是，則進(jìn)入S303a，否則，進(jìn)入S304a。較佳地，為保證目標(biāo)流量閾值小于所述監(jiān)控流量閾值，目標(biāo)流量閾值可以取最近一周內(nèi)非攻擊時(shí)段流量清洗裝置傳輸?shù)膱?bào)文流量大小的平均值的1.5倍。S303a：流量清洗裝置正在接受DDOS攻擊。此時(shí)，流量清洗裝置原有的防護(hù)策略不能有效防護(hù)DDOS攻擊，需要云安全服務(wù)中心為其更新防護(hù)策略，因此，可以適當(dāng)?shù)卣{(diào)低監(jiān)控流量閾值。具體地，可以將監(jiān)控流量閾值替換為目標(biāo)流量閾值。S304a：流量清洗裝置當(dāng)前沒有受到DDOS攻擊。此時(shí)，可以通知受保護(hù)端的值守人員該流量清洗裝置當(dāng)前沒有受到DDOS攻擊，以便其排查是否是受保護(hù)端自身的原因?qū)е缕浒l(fā)生故障。S202：在確定流量清洗裝置正在接受DDOS攻擊后，向流量清洗裝置發(fā)送抓取報(bào)文的指令。這里，向流量清洗裝置發(fā)送的是周期性抓取報(bào)文的指令。這里，云端安全服務(wù)中心在確定流量清洗裝置正在接受DDOS攻擊后，除了向流量清洗裝置發(fā)送抓取報(bào)文的指令，還可以向受保護(hù)端的值守人員推送告警，告知現(xiàn)在正發(fā)生DDOS攻擊。在具體實(shí)施過程中，流量清洗裝置接收云端安全服務(wù)中心發(fā)送的周期性抓取報(bào)文指令之后，可以周期性(60s，或者30s)地對(duì)自身接收、發(fā)送、丟棄的報(bào)文分類進(jìn)行抓取。流量清洗裝置可以集中抓取一個(gè)時(shí)間段內(nèi)的所有報(bào)文，還可以設(shè)置多種抓取參數(shù)，例如，可以設(shè)置抓取報(bào)文的源IP地址、目的IP地址、或者是抓取符合某種通信協(xié)議的報(bào)文等。此外，流量清洗裝置在抓取報(bào)文時(shí)還可以跟蹤其所抓取的報(bào)文，將這些報(bào)文的最終處理結(jié)果記錄下來，一并上傳給云端安全服務(wù)中心，上傳的格式可以采用表一所示的形式。表一：序號(hào)報(bào)文內(nèi)容報(bào)文處理結(jié)果原因1XXXXXX放行源IP地址訪問控制策略為放行2XXXXXX丟棄限制源IP地址發(fā)送報(bào)文的速率……………………S203：接收流量清洗裝置發(fā)送的報(bào)文，通過分析接收的報(bào)文的攻擊特征，為流量清洗裝置生成更新的防護(hù)策略。在具體實(shí)施過程中，云端安全服務(wù)中心在不需要人為干預(yù)的情況下，即可以根據(jù)DDOS攻擊的實(shí)時(shí)變化來動(dòng)態(tài)調(diào)整防護(hù)參數(shù)，進(jìn)而改善流量清洗裝置的防護(hù)策略。即，防護(hù)策略的調(diào)整實(shí)際上是由云端安全服務(wù)中心改變防護(hù)參數(shù)來實(shí)現(xiàn)的，其中，在更新防護(hù)策略的過程中涉及的防護(hù)參數(shù)類型比較多，而針對(duì)不同類型的防護(hù)參數(shù)所采用的判斷其防護(hù)參數(shù)是否需要更新的方法不同，在此不能窮舉，下面僅列舉幾種進(jìn)行說明。1)、判斷防護(hù)參數(shù)閾值是否需要更新的方法。在具體實(shí)施過程中，針對(duì)syn、ack、http、udp等報(bào)文的流量防護(hù)參數(shù)閾值，可以根據(jù)流量清洗裝置上報(bào)的流量統(tǒng)計(jì)數(shù)據(jù)中，當(dāng)前上報(bào)周期內(nèi)流量清洗裝置傳輸?shù)膶?duì)應(yīng)類型報(bào)文的流量大小，判斷該類型報(bào)文的流量防護(hù)參數(shù)閾值設(shè)置是否合理。具體地，可以按照?qǐng)D4所示的流程進(jìn)行判斷。S401a：判斷當(dāng)前上報(bào)周期內(nèi)流量清洗裝置傳輸?shù)腄報(bào)文的流量大小，是否小于云安全服務(wù)中心存儲(chǔ)的D報(bào)文的流量防護(hù)參數(shù)閾值，如果是，則進(jìn)入S403a，否則進(jìn)入S402a。S402a：將D報(bào)文的流量防護(hù)參數(shù)閾值調(diào)整為，當(dāng)前上報(bào)周期內(nèi)流量清洗裝置傳輸D報(bào)文的流量大小的0.9。S403a：保持當(dāng)前D報(bào)文的流量防護(hù)參數(shù)閾值不變。2)、判斷報(bào)文發(fā)送速率是否需要調(diào)整的方法。這里，可以通過流量清洗裝置抓取的報(bào)文，確定出其放行的報(bào)文數(shù)目最多的源IP地址，進(jìn)而判斷是否需要對(duì)這個(gè)源IP地址的報(bào)文發(fā)送速率進(jìn)行限制。在具體實(shí)施過程中，可以按照?qǐng)D5所示的流程進(jìn)行判斷。S501a：判斷當(dāng)前上報(bào)周期內(nèi)流量清洗裝置傳輸?shù)脑碔P地址的報(bào)文發(fā)送速率，是否大于第一設(shè)定閾值，如果是，則進(jìn)入S502a，否則進(jìn)入S503a。比如，第一設(shè)定閾值可以取云安全服務(wù)中心所存儲(chǔ)的報(bào)文發(fā)送速率的20％。S502a：將流量清洗裝置傳輸?shù)脑撛碔P地址的報(bào)文發(fā)送速率限制為所述第一設(shè)定閾值。S503a：判斷抓取的報(bào)文中，從源IP地址發(fā)送的報(bào)文在所有抓取的報(bào)文中的比率，是否大于第二設(shè)定閾值，如果是，則進(jìn)入S504a，否則，進(jìn)入S505a。比如，第二設(shè)定閾值可以取50％。S504a：將流量清洗裝置傳輸?shù)脑撛碔P地址的報(bào)文發(fā)送速率限制為，云安全服務(wù)中心存儲(chǔ)的報(bào)文發(fā)送速率×第二設(shè)定閾值。S505a：保持當(dāng)前云安全服務(wù)中心存儲(chǔ)的報(bào)文發(fā)送速率不變。3)、對(duì)報(bào)文的頭字段進(jìn)行分析的方法。實(shí)際應(yīng)用中，一些通信協(xié)議對(duì)報(bào)文頭若干字段的值進(jìn)行了相應(yīng)規(guī)定，因此，可以根據(jù)這些協(xié)議規(guī)定來確定某個(gè)源IP地址發(fā)送的報(bào)文是否是攻擊報(bào)文。以DNS查詢報(bào)文的交易識(shí)別碼為例，如果發(fā)現(xiàn)某個(gè)源IP地址發(fā)送的所有DNS查詢的交易識(shí)別碼始終為一個(gè)值，或者特定的幾個(gè)值，那么可確定該源IP地址發(fā)送的DNS查詢報(bào)文為攻擊報(bào)文，進(jìn)一步地，可以設(shè)置對(duì)該IP地址的訪問控制策略，丟棄該源IP地址發(fā)送的所有DNS查詢報(bào)文。其它通信協(xié)議的報(bào)文頭字段也可以按照協(xié)議規(guī)范進(jìn)行類似的檢查，在此不再贅述。4)、針對(duì)報(bào)文內(nèi)容進(jìn)行分析的方法。在具體實(shí)施過程中，可以通過以下方面對(duì)報(bào)文內(nèi)容進(jìn)行分析。1)、檢查報(bào)文長(zhǎng)度是否合法，若不合法，則添加對(duì)發(fā)送該報(bào)文的源IP地址的訪問控制策略，丟棄其發(fā)送的相應(yīng)類型的報(bào)文。2)、針對(duì)http、dns查詢報(bào)文，可以檢查其攜帶的url是否滿足url規(guī)范，如果不滿足，可以添加對(duì)發(fā)送這些報(bào)文的源IP地址的訪問控制策略，丟棄其發(fā)送的相應(yīng)類型的報(bào)文。3)、針對(duì)dns查詢報(bào)文，云安全服務(wù)中心還可以對(duì)dns查詢報(bào)文中攜帶的url進(jìn)行采樣，并進(jìn)行ping操作，如果某個(gè)源IP發(fā)送的dns查詢報(bào)文所攜帶的url連續(xù)若干個(gè)都無法ping通，可以添加對(duì)發(fā)送該dns查詢報(bào)文的源IP地址的訪問控制策略，丟棄其發(fā)送的所有的dns查詢報(bào)文。4)、針對(duì)udp、ack報(bào)文，可以分析這些報(bào)文的內(nèi)容，當(dāng)其內(nèi)容滿足以下條件時(shí)，可以確定發(fā)送這些報(bào)文的源IP地址所發(fā)送的相應(yīng)類型的報(bào)文為攻擊報(bào)文：a、報(bào)文內(nèi)容為單一字符，例如：aaaaaaaaaaaaa、1111111111等。b、連續(xù)發(fā)送的若干報(bào)文內(nèi)容都一模一樣。c、連續(xù)發(fā)送的若干報(bào)文內(nèi)容提取出相同的重復(fù)字符串。具體地，比如aaabbbaaabbbaaabbb和aaabbbaaabbb，雖然報(bào)文長(zhǎng)度不一樣，但是可以提取出相同的重復(fù)字符串a(chǎn)aabbb。在具體實(shí)施過程中，云安全服務(wù)中心可以在流量清洗裝置抓取的報(bào)文滿足一定數(shù)量、或者抓取報(bào)文的時(shí)間達(dá)到設(shè)定時(shí)長(zhǎng)時(shí)，分析一次報(bào)文的攻擊特征，為流量清洗裝置生成的更新的防護(hù)策略。在流量清洗裝置成功防御DDOS攻擊之前，流量清洗裝置抓取報(bào)文、云安全服務(wù)中心分析報(bào)文攻擊特征、生成更新的防護(hù)策略都會(huì)一直進(jìn)行，因此，云安全服務(wù)中心可以在減少人工干預(yù)的情況下，動(dòng)態(tài)地為流量清洗裝置生成更新的防護(hù)策略。S204：將生成的更新的防護(hù)策略發(fā)送給流量清洗裝置，以便流量清洗裝置對(duì)DDOS攻擊進(jìn)行防御。在具體實(shí)施過程中，流量清洗裝置可以基于接收的云安全服務(wù)中心動(dòng)態(tài)發(fā)送的更新后的防護(hù)策略，實(shí)時(shí)地更新自身的防護(hù)策略，從而逐漸提高防御DDOS攻擊的能力。當(dāng)流量清洗裝置的防護(hù)策略可以成功抵御DDOS攻擊之后，受保護(hù)端的狀態(tài)就不再滿足預(yù)設(shè)的故障條件，云安全服務(wù)中心在檢測(cè)到受保護(hù)端的狀態(tài)恢復(fù)正常以后，可以向流量清洗裝置發(fā)送停止抓取報(bào)文的指令。這里，云安全服務(wù)中心還可以記錄整個(gè)DDOS攻擊過程，以便攻防人員事后進(jìn)行查詢、分析。在具體實(shí)施過程中，如果云端安全服務(wù)中心確定流量清洗裝置可以有效防御DDOS攻擊，也可以根據(jù)流量清洗裝置在最近N個(gè)上報(bào)周期上報(bào)的流量統(tǒng)計(jì)數(shù)據(jù)，適當(dāng)?shù)靥岣咴贫税踩?wù)中心對(duì)流量清洗裝置的監(jiān)控流量閾值。具體地，當(dāng)云端安全服務(wù)中心在檢測(cè)到受保護(hù)端的狀態(tài)不滿足預(yù)設(shè)的故障條件時(shí)，如果確定流量清洗裝置在最近N個(gè)上報(bào)周期的每個(gè)上報(bào)周期內(nèi)上報(bào)給云端安全服務(wù)中心的流量統(tǒng)計(jì)數(shù)據(jù)中，流量清洗裝置傳輸?shù)膱?bào)文流量大小都大于云端安全服務(wù)中心對(duì)流量清洗裝置的監(jiān)控流量閾值，可以將監(jiān)控流量閾值替換為在所述N個(gè)上報(bào)周期內(nèi)上報(bào)的流量統(tǒng)計(jì)數(shù)據(jù)中，流量清洗裝置傳輸?shù)膱?bào)文流量大小的平均值。上述過程可以按照?qǐng)D6所示的流程進(jìn)行。S601a：當(dāng)云端安全服務(wù)中心在檢測(cè)到受保護(hù)端的狀態(tài)不滿足預(yù)設(shè)的故障條件時(shí)，判斷流量清洗裝置在最近N個(gè)上報(bào)周期的每個(gè)上報(bào)周期內(nèi)上報(bào)給云端安全服務(wù)中心的流量統(tǒng)計(jì)數(shù)據(jù)中，流量清洗裝置傳輸?shù)膱?bào)文流量大小是否都大于云端安全服務(wù)中心對(duì)流量清洗裝置的監(jiān)控流量閾值，如果是，則進(jìn)入S602a，否則，進(jìn)入S603a。優(yōu)選地，N可以取3。S602a：將監(jiān)控流量閾值替換為在所述N個(gè)上報(bào)周期內(nèi)上報(bào)的流量統(tǒng)計(jì)數(shù)據(jù)中，流量清洗裝置傳輸?shù)膱?bào)文流量大小的平均值。這里，因?yàn)楫?dāng)前流量清洗裝置的防護(hù)策略已經(jīng)可以成功防御DDSO攻擊，不再需要云安全服務(wù)中心為其更新防護(hù)策略，所以可以將監(jiān)控流量閾值適當(dāng)提高。S603a：保持當(dāng)前的監(jiān)控流量閾值不變。在具體實(shí)施過程中，如果流量清洗裝置在最近N個(gè)上報(bào)周期的每個(gè)上報(bào)周期內(nèi)上報(bào)給云端安全服務(wù)中心的流量統(tǒng)計(jì)數(shù)據(jù)中，流量清洗裝置接收的客戶端指示發(fā)送給受保護(hù)端的報(bào)文流量大小，與流量清洗裝置發(fā)送給受保護(hù)端的報(bào)文流量大小的比值都大于1.5，可以記錄一次流量清洗裝置的當(dāng)前防護(hù)策略成功抵御DDOS攻擊的事件，以便后續(xù)攻放人員查詢、分析DDOS攻擊時(shí)機(jī)。較佳的，N為3。本申請(qǐng)實(shí)施例中，云端安全服務(wù)中心可以根據(jù)實(shí)時(shí)檢測(cè)的受保護(hù)端的狀態(tài)、以及流量清洗裝置上報(bào)的流量統(tǒng)計(jì)數(shù)據(jù)，判斷流量清洗裝置是否正在接受DDOS攻擊；在確定流量清洗裝置正在接受DDOS攻擊后，指示流量清洗裝置在被攻擊的過程中抓取報(bào)文并發(fā)送給自己，進(jìn)而，在接收到報(bào)文之后可以根據(jù)這些報(bào)文的攻擊特征，為流量清洗裝置生成更新的防護(hù)策略，本申請(qǐng)實(shí)施例中，云端安全服務(wù)中心在流量清洗裝置接受DDOS攻擊的過程中，就可以智能地為流量清洗裝置更新防護(hù)參數(shù)，因此，可以進(jìn)行實(shí)時(shí)有效地保護(hù)受保護(hù)端。此外，在本申請(qǐng)優(yōu)選實(shí)施方式中，云端安全服務(wù)中心可以向流量清洗裝置發(fā)送周期性抓取報(bào)文的指令，并且可以基于流量清洗裝置周期性獲取的報(bào)文，持續(xù)為流量清洗裝置生成更新的防護(hù)策略，當(dāng)檢測(cè)到受保護(hù)端的狀態(tài)不滿足預(yù)設(shè)的故障條件后，向流量清洗裝置發(fā)送停止抓取報(bào)文的指令，此時(shí)，在流量清洗裝置接受DDOS攻擊的整個(gè)過程中，云端安全服務(wù)中心就可以針對(duì)不斷變化的DDOS攻擊手法，智能地對(duì)流量清洗裝置的防護(hù)策略進(jìn)行實(shí)時(shí)動(dòng)態(tài)地調(diào)整，這樣，不僅可以減少人工干預(yù)，而且可以更好地實(shí)時(shí)提高流量清洗裝置防御DDOS攻擊的能力，對(duì)受保護(hù)端進(jìn)行實(shí)時(shí)有效地的防護(hù)。此外，本申請(qǐng)實(shí)施例中，云端安全服務(wù)中心以云平臺(tái)的方式搭建，具有良好的擴(kuò)展服務(wù)能力，因此不受流量清洗裝置接入數(shù)量的限制，以這種基于云平臺(tái)的方式更新流量清洗裝置的防護(hù)策略，可以降低使用流量清洗裝置的技術(shù)成本和人為失誤概率。基于同一發(fā)明構(gòu)思，本申請(qǐng)實(shí)施例中還提供了一種與防御DDOS攻擊方法對(duì)應(yīng)的云端安全服務(wù)中心、以及流量清洗裝置，由于他們解決問題的原理與本申請(qǐng)實(shí)施例防御DDOS攻擊方法相似，因此這些裝置的實(shí)施可以參見方法的實(shí)施，重復(fù)之處不再贅述。如圖7所示，為本申請(qǐng)實(shí)施例提供的一種云端安全服務(wù)中心70結(jié)構(gòu)圖，包括：判斷模塊701，用于在檢測(cè)到受保護(hù)端的狀態(tài)滿足預(yù)設(shè)的故障條件時(shí)，根據(jù)受保護(hù)端對(duì)應(yīng)的流量清洗裝置上報(bào)的流量統(tǒng)計(jì)數(shù)據(jù)，判斷流量清洗裝置是否正在接受DDOS攻擊；第一發(fā)送模塊702，用于在確定流量清洗裝置正在接受DDOS攻擊后，向流量清洗裝置發(fā)送抓取報(bào)文的指令；防護(hù)策略生成模塊703，用于接收流量清洗裝置發(fā)送的報(bào)文，通過分析接收的報(bào)文的攻擊特征，為流量清洗裝置生成更新的防護(hù)策略；第二發(fā)送模塊704，用于將生成的所述更新的防護(hù)策略發(fā)送給流量清洗裝置，以便流量清洗裝置對(duì)DDOS攻擊進(jìn)行防御?？蛇x地，判斷模塊701具體用于：當(dāng)流量清洗裝置在最近N個(gè)上報(bào)周期的每個(gè)上報(bào)周期內(nèi)上報(bào)給云端安全服務(wù)中心的流量統(tǒng)計(jì)數(shù)據(jù)中，流量清洗裝置傳輸?shù)膱?bào)文流量大小都大于云端安全服務(wù)中心對(duì)流量清洗裝置的監(jiān)控流量閾值時(shí)，確定流量清洗裝置正在接受DDOS攻擊；其中，流量清洗裝置傳輸?shù)膱?bào)文流量大小是流量清洗裝置發(fā)送給受保護(hù)端的報(bào)文流量大小，或者，是流量清洗裝置接收的客戶端指示發(fā)送給受保護(hù)端的報(bào)文流量大小；N為正整數(shù)?？蛇x地，判斷模塊701具體用于：根據(jù)最近預(yù)設(shè)時(shí)長(zhǎng)內(nèi)流量清洗裝置傳輸?shù)膱?bào)文流量大小，確定目標(biāo)流量閾值；如果流量清洗裝置在最近N個(gè)上報(bào)周期的每個(gè)上報(bào)周期內(nèi)上報(bào)的流量統(tǒng)計(jì)數(shù)據(jù)中，流量清洗裝置傳輸?shù)膱?bào)文流量大小都大于目標(biāo)流量閾值，則確定流量清洗裝置正在接受DDOS攻擊；否則，確定流量清洗裝未在接受DDOS攻擊?？蛇x地，判斷模塊701還用于：將監(jiān)控流量閾值替換為目標(biāo)流量閾值?？蛇x地，第一發(fā)送模塊702具體用于：向流量清洗裝置發(fā)送周期性抓取報(bào)文的指令；防護(hù)策略生成模塊703具體用于：基于流量清洗裝置周期性獲取的報(bào)文，持續(xù)為流量清洗裝置生成更新的防護(hù)策略；第一發(fā)送模塊702還用于：在檢測(cè)到受保護(hù)端的狀態(tài)不滿足預(yù)設(shè)的故障條件后，向流量清洗裝置發(fā)送停止抓取報(bào)文的指令?？蛇x地，判斷模塊701還用于：在檢測(cè)到受保護(hù)端的狀態(tài)不滿足預(yù)設(shè)的故障條件時(shí)，如果確定流量清洗裝置在最近N個(gè)上報(bào)周期的每個(gè)上報(bào)周期內(nèi)上報(bào)給云端安全服務(wù)中心的流量統(tǒng)計(jì)數(shù)據(jù)中，流量清洗裝置傳輸?shù)膱?bào)文流量大小都大于云端安全服務(wù)中心對(duì)流量清洗裝置的監(jiān)控流量閾值，則將監(jiān)控流量閾值替換為在所述N個(gè)上報(bào)周期內(nèi)上報(bào)的流量統(tǒng)計(jì)數(shù)據(jù)中，流量清洗裝置傳輸?shù)膱?bào)文流量大小的平均值；其中，流量清洗裝置傳輸?shù)膱?bào)文流量大小是流量清洗裝置發(fā)送給受保護(hù)端的報(bào)文流量大小，或者，是流量清洗裝置接收的客戶端指示發(fā)送給受保護(hù)端的報(bào)文流量大小。如圖8所示，為本申請(qǐng)實(shí)施例提供的一種流量清洗裝置80結(jié)構(gòu)圖，包括：數(shù)據(jù)發(fā)送模塊801，用于向云端安全服務(wù)中心發(fā)送流量統(tǒng)計(jì)數(shù)據(jù)，以使云端安全服務(wù)中心基于該流量統(tǒng)計(jì)數(shù)據(jù)判斷流量清洗裝置是否正在接受DDOS攻擊；第一接收模塊802，用于接收云端安全服務(wù)中心在確定流量清洗裝置正在接受DDOS攻擊后發(fā)送的抓取報(bào)文的指令；處理模塊803，用于基于接收的抓取報(bào)文的指令，抓取自身處理的報(bào)文，并將報(bào)文發(fā)送給所述云端安全服務(wù)中心；第二接收模塊804，用于接收云端安全服務(wù)中心基于所述報(bào)文生成的更新后的防護(hù)策略；防御模塊805，用于基于更新后的防護(hù)策略，對(duì)DDOS攻擊進(jìn)行防御。本領(lǐng)域內(nèi)的技術(shù)人員應(yīng)明白，本申請(qǐng)的實(shí)施例可提供為方法、系統(tǒng)、或計(jì)算機(jī)程序產(chǎn)品。因此，本申請(qǐng)可采用完全硬件實(shí)施例、完全軟件實(shí)施例、或結(jié)合軟件和硬件方面的實(shí)施例的形式。而且，本申請(qǐng)可采用在一個(gè)或多個(gè)其中包含有計(jì)算機(jī)可用程序代碼的計(jì)算機(jī)可用存儲(chǔ)介質(zhì)(包括但不限于磁盤存儲(chǔ)器、CD-ROM、光學(xué)存儲(chǔ)器等)上實(shí)施的計(jì)算機(jī)程序產(chǎn)品的形式。本申請(qǐng)是參照根據(jù)本申請(qǐng)實(shí)施例的方法、裝置(系統(tǒng))、和計(jì)算機(jī)程序產(chǎn)品的流程圖和/或方框圖來描述的。應(yīng)理解可由計(jì)算機(jī)程序指令實(shí)現(xiàn)流程圖和/或方框圖中的每一流程和/或方框、以及流程圖和/或方框圖中的流程和/或方框的結(jié)合?？商峁┻@些計(jì)算機(jī)程序指令到通用計(jì)算機(jī)、專用計(jì)算機(jī)、嵌入式處理機(jī)或其他可編程數(shù)據(jù)處理設(shè)備的處理器以產(chǎn)生一個(gè)機(jī)器，使得通過計(jì)算機(jī)或其他可編程數(shù)據(jù)處理設(shè)備的處理器執(zhí)行的指令產(chǎn)生用于實(shí)現(xiàn)在流程圖一個(gè)流程或多個(gè)流程和/或方框圖一個(gè)方框或多個(gè)方框中指定的功能的裝置。這些計(jì)算機(jī)程序指令也可存儲(chǔ)在能引導(dǎo)計(jì)算機(jī)或其他可編程數(shù)據(jù)處理設(shè)備以特定方式工作的計(jì)算機(jī)可讀存儲(chǔ)器中，使得存儲(chǔ)在該計(jì)算機(jī)可讀存儲(chǔ)器中的指令產(chǎn)生包括指令裝置的制造品，該指令裝置實(shí)現(xiàn)在流程圖一個(gè)流程或多個(gè)流程和/或方框圖一個(gè)方框或多個(gè)方框中指定的功能。這些計(jì)算機(jī)程序指令也可裝載到計(jì)算機(jī)或其他可編程數(shù)據(jù)處理設(shè)備上，使得在計(jì)算機(jī)或其他可編程設(shè)備上執(zhí)行一系列操作步驟以產(chǎn)生計(jì)算機(jī)實(shí)現(xiàn)的處理，從而在計(jì)算機(jī)或其他可編程設(shè)備上執(zhí)行的指令提供用于實(shí)現(xiàn)在流程圖一個(gè)流程或多個(gè)流程和/或方框圖一個(gè)方框或多個(gè)方框中指定的功能的步驟。盡管已描述了本申請(qǐng)的優(yōu)選實(shí)施例，但本領(lǐng)域內(nèi)的技術(shù)人員一旦得知了基本創(chuàng)造性概念，則可對(duì)這些實(shí)施例作出另外的變更和修改。所以，所附權(quán)利要求意欲解釋為包括優(yōu)選實(shí)施例以及落入本申請(qǐng)范圍的所有變更和修改。顯然，本領(lǐng)域的技術(shù)人員可以對(duì)本申請(qǐng)進(jìn)行各種改動(dòng)和變型而不脫離本申請(qǐng)的精神和范圍。這樣，倘若本申請(qǐng)的這些修改和變型屬于本申請(qǐng)權(quán)利要求及其等同技術(shù)的范圍之內(nèi)，則本申請(qǐng)也意圖包含這些改動(dòng)和變型在內(nèi)。當(dāng)前第1頁1 2 3