技術特征:1.一種防御分布式拒絕服務DDOS攻擊的方法�����,其特征在于���,該方法包括:
云端安全服務中心在檢測到受保護端的狀態(tài)滿足預設的故障條件時����,根據所述受保護端對應的流量清洗裝置上報的流量統(tǒng)計數據���,判斷所述流量清洗裝置是否正在接受DDOS攻擊���;
在確定所述流量清洗裝置正在接受DDOS攻擊后,向所述流量清洗裝置發(fā)送抓取報文的指令�;
接收所述流量清洗裝置發(fā)送的報文,通過分析接收的報文的攻擊特征��,為所述流量清洗裝置生成更新的防護策略��;
將生成的所述更新的防護策略發(fā)送給所述流量清洗裝置�����,以便所述流量清洗裝置對DDOS攻擊進行防御��。
2.如權利要求1所述的方法���,其特征在于�����,判斷所述流量清洗裝置是否正在接受DDOS攻擊���,包括:
當所述流量清洗裝置在最近N個上報周期的每個上報周期內上報給所述云端安全服務中心的流量統(tǒng)計數據中���,所述流量清洗裝置傳輸的報文流量大小都大于所述云端安全服務中心對所述流量清洗裝置的監(jiān)控流量閾值時,確定所述流量清洗裝置正在接受DDOS攻擊����;
其中,所述流量清洗裝置傳輸的報文流量大小是所述流量清洗裝置發(fā)送給所述受保護端的報文流量大小���,或者�����,是所述流量清洗裝置接收的客戶端指示發(fā)送給所述受保護端的報文流量大?����?����;N為正整數�。
3.如權利要求2所述的方法��,其特征在于����,當在最近N個上報周期的至少一個上報周期內的流量統(tǒng)計數據中,所述流量清洗裝置傳輸的報文流量大小小于所述監(jiān)控流量閾值時�,所述方法還包括:
根據最近預設時長內所述流量清洗裝置傳輸的報文流量大小,確定目標流量閾值�����;
如果所述流量清洗裝置在最近N個上報周期的每個上報周期內上報的流量統(tǒng)計數據中��,所述流量清洗裝置傳輸的報文流量大小都大于所述目標流量閾值���,則確定所述流量清洗裝置正在接受DDOS攻擊���;否則,確定所述流量清洗裝未在接受DDOS攻擊。
4.如權利要求3所述的方法����,其特征在于,如果所述流量清洗裝置在最近N個上報周期的每個上報周期內上報的流量統(tǒng)計數據中�����,所述流量清洗裝置傳輸的報文流量大小都大于所述目標流量閾值��,所述方法還包括:
將所述監(jiān)控流量閾值替換為所述目標流量閾值。
5.如權利要求1所述的方法,其特征在于�����,向所述流量清洗裝置發(fā)送抓取報文的指令��,包括:
向所述流量清洗裝置發(fā)送周期性抓取報文的指令�����;
接收所述流量清洗裝置發(fā)送的報文�����,通過分析接收的報文的攻擊特征�,為所述流量清洗裝置生成更新的防護策略,包括:
基于所述流量清洗裝置周期性獲取的報文���,持續(xù)為所述流量清洗裝置生成更新的防護策略�����;
將所述更新的防護策略發(fā)送給所述流量清洗裝置之后,還包括:
在檢測到受保護端的狀態(tài)不滿足預設的故障條件后����,向所述流量清洗裝置發(fā)送停止抓取報文的指令。
6.如權利要求1所述的方法��,其特征在于����,所述方法還包括:
云端安全服務中心在檢測到受保護端的狀態(tài)不滿足預設的故障條件時,如果確定所述流量清洗裝置在最近N個上報周期的每個上報周期內上報給所述云端安全服務中心的流量統(tǒng)計數據中��,流量清洗裝置傳輸的報文流量大小都大于云端安全服務中心對所述流量清洗裝置的監(jiān)控流量閾值�,則將所述監(jiān)控流量閾值替換為在所述N個上報周期內上報的流量統(tǒng)計數據中,所述流量清洗裝置傳輸的報文流量大小的平均值����;
其中,流量清洗裝置傳輸的報文流量大小是所述流量清洗裝置發(fā)送給所述受保護端的報文流量大小,或者�,是所述流量清洗裝置接收的客戶端指示發(fā)送給所述受保護端的報文流量大小。
7.一種防御分布式拒絕服務DDOS攻擊的方法�����,其特征在于�,該方法包括:
向云端安全服務中心發(fā)送流量統(tǒng)計數據,以使所述云端安全服務中心基于該流量統(tǒng)計數據判斷流量清洗裝置是否正在接受DDOS攻擊����;
接收所述云端安全服務中心在確定所述流量清洗裝置正在接受DDOS攻擊后發(fā)送的抓取報文的指令;
基于接收的所述抓取報文的指令�����,抓取自身處理的報文��,并將所述報文發(fā)送給所述云端安全服務中心�����;
接收所述云端安全服務中心基于所述報文生成的更新后的防護策略���;
基于更新后的防護策略���,對DDOS攻擊進行防御��。
8.一種云端安全服務中心�����,其特征在于�,該云端安全服務中心包括:
判斷模塊��,用于在檢測到受保護端的狀態(tài)滿足預設的故障條件時���,根據所述受保護端對應的流量清洗裝置上報的流量統(tǒng)計數據,判斷所述流量清洗裝置是否正在接受DDOS攻擊����;
第一發(fā)送模塊,用于在確定所述流量清洗裝置正在接受DDOS攻擊后��,向所述流量清洗裝置發(fā)送抓取報文的指令�����;
防護策略生成模塊�����,用于接收所述流量清洗裝置發(fā)送的報文,通過分析接收的報文的攻擊特征��,為所述流量清洗裝置生成更新的防護策略���;
第二發(fā)送模塊����,用于將生成的所述更新的防護策略發(fā)送給所述流量清洗裝置�,以便所述流量清洗裝置對DDOS攻擊進行防御。
9.如權利要求8所述的云端安全服務中心���,其特征在于��,所述判斷模塊具體用于:
當所述流量清洗裝置在最近N個上報周期的每個上報周期內上報給所述云端安全服務中心的流量統(tǒng)計數據中����,所述流量清洗裝置傳輸的報文流量大小都大于所述云端安全服務中心對所述流量清洗裝置的監(jiān)控流量閾值時����,確定所述流量清洗裝置正在接受DDOS攻擊;
其中����,所述流量清洗裝置傳輸的報文流量大小是所述流量清洗裝置發(fā)送給所述受保護端的報文流量大小���,或者,是所述流量清洗裝置接收的客戶端指示發(fā)送給所述受保護端的報文流量大?����?���;N為正整數。
10.如權利要求9所述的云端安全服務中心��,其特征在于��,所述判斷模塊具體用于:
根據最近預設時長內所述流量清洗裝置傳輸的報文流量大小����,確定目標流量閾值���;
如果所述流量清洗裝置在最近N個上報周期的每個上報周期內上報的流量統(tǒng)計數據中����,所述流量清洗裝置傳輸的報文流量大小都大于所述目標流量閾值,則確定所述流量清洗裝置正在接受DDOS攻擊�����;否則���,確定所述流量清洗裝未在接受DDOS攻擊�����。
11.如權利要求10所述的云端安全服務中心�,其特征在于���,所述判斷模塊還用于:
將所述監(jiān)控流量閾值替換為所述目標流量閾值��。
12.如權利要求8所述的云端安全服務中心�,其特征在于����,所述第一發(fā)送模塊具體用于:
向所述流量清洗裝置發(fā)送周期性抓取報文的指令;
所述防護策略生成模塊具體用于:
基于所述流量清洗裝置周期性獲取的報文�����,持續(xù)為所述流量清洗裝置生成更新的防護策略;
所述第一發(fā)送模塊還用于:
在檢測到受保護端的狀態(tài)不滿足預設的故障條件后����,向所述流量清洗裝置發(fā)送停止抓取報文的指令。
13.如權利要求8所述的云端安全服務中心����,其特征在于,所述判斷模塊還用于:
在檢測到受保護端的狀態(tài)不滿足預設的故障條件時�,如果確定所述流量清洗裝置在最近N個上報周期的每個上報周期內上報給所述云端安全服務中心的流量統(tǒng)計數據中,流量清洗裝置傳輸的報文流量大小都大于云端安全服務中心對所述流量清洗裝置的監(jiān)控流量閾值�,則將所述監(jiān)控流量閾值替換為在所述N個上報周期內上報的流量統(tǒng)計數據中,所述流量清洗裝置傳輸的報文流量大小的平均值�����;
其中��,流量清洗裝置傳輸的報文流量大小是所述流量清洗裝置發(fā)送給所述受保護端的報文流量大小���,或者,是所述流量清洗裝置接收的客戶端指示發(fā)送給所述受保護端的報文流量大小�����。
14.一種流量清洗裝置,其特征在于�����,該流量清洗裝置包括:
數據發(fā)送模塊�,用于向云端安全服務中心發(fā)送流量統(tǒng)計數據,以使所述云端安全服務中心基于該流量統(tǒng)計數據判斷流量清洗裝置是否正在接受DDOS攻擊��;
第一接收模塊����,用于接收所述云端安全服務中心在確定所述流量清洗裝置正在接受DDOS攻擊后發(fā)送的抓取報文的指令;
處理模塊���,用于基于接收的所述抓取報文的指令�,抓取自身處理的報文����,并將所述報文發(fā)送給所述云端安全服務中心;
第二接收模塊�,用于接收所述云端安全服務中心基于所述報文生成的更新后的防護策略;
防御模塊��,用于基于更新后的防護策略,對DDOS攻擊進行防御�。