DDoS攻击的防护系统技术方案

本发明专利技术公开了一种DDOS攻击的防护系统，包括：采集模块用于采集网络状态数据；预处理模块用于将网络状态数据按照第一预设规则进行筛选；判断模块用于根据第二预设规则判断预处理网络状态数据是否为DDoS攻击数据，如果是，将DDoS攻击数据和对应的用户的IP地址发送给告警模块；告警模块用于判断当前时间是否属于第一预设时间，如果否，则生成告警信息发送给监控终端，并将DDoS攻击数据和对应的用户的IP地址发送给封锁模块；封锁模块用于对DDoS攻击数据和对应的用户的IP地址进行封锁处理；解封模块用于当当前时间超出第二预设时间时，对封锁模块发送的DDoS攻击数据和对应的用户的IP地址进行解封处理；监控终端用于将预处理网络状态数据进行可视化处理并进行展示。

DDoS attack protection system

Including the protection system, the invention discloses a DDOS attack: acquisition module is used to collect network data; preprocessing module for network status data according to the first preset rules; judging module is used to judge rules according to the second preset preprocessing network state data is DDoS attack data, if it is, will send a IP address DDoS attack data and the corresponding user to the alarm module; the alarm module is used for judging whether the current time belongs to the first preset time, if not, generate alarm information is sent to the monitoring terminal, and sends the IP address DDoS attack data and the corresponding user to block the module; blockade module is used for the DDoS attack and the corresponding user data the IP address of the blockade; releasing module is used when the current time exceeds second preset time, blockade of the module to send DDoS attack data and the corresponding user IP address for deblocking processing; the monitoring terminal is used for preprocessing the data visualization and network status display.

【技术实现步骤摘要】
DDoS攻击的防护系统
本专利技术涉及网络
，尤其涉及一种DDoS攻击的防护系统。
技术介绍
随着互联网技术的发展，生产、生活对于互联网的依赖程度日益提高，网络安全需求尤为凸显。分布式拒绝服务(DistributedDenialofService,DDoS)攻击是指一个或者多个攻击者通过控制大量的计算机作为攻击源，同时向某个目标发送大量的数据，最终导致目标瘫痪的一种恶意的网络行为。目前对于DDoS防护的实现方式，主要有如下几种方式：(1)防护设备通过使用支持高带宽、高吞吐率的专业防护设备，根据防护策略实现对流量的清洗，将清洗后的流量转发到真实服务。此种解决方案，需要预留额外的高带宽和购买专业防护设备。(2)云盾服务通过云平台内容分发网络(ContentDeliveryNetwork,CDN)方式实现请求流量的分流，将用户域名的域名系统(DomainNameSystem，DNS)解析至防护云网络，以反向代理方式，将用户流量分摊到云服务中，通过软防护策略实现流量清洗，封堵异常流量和请求，将清洗后的流量转发到用户真实服务。此种情况请求的出入流量都会经过防护云网络。此种解决方案，需要购买云盾服务，并且还需要源站对CDN服务有很好的支持。(3)黑洞路由在网络设备中，将异常请求源的流量引入黑洞路由，将请求默默抛弃，而不指明原因，以达到防护作用。此种解决方案需判定异常源的网络地址，并需要路由设备，可能会封堵正常的流量。目前市面上现有的防护技术，多需要采购额外的设备或服务，并需要专业的网络人员进行维护,增加了采购成本和维护成本。
技术实现思路
本专利技术提供了一种DDoS攻击的防护系统，以解决现有技术中的DDoS攻击防护需要额外增加采购成本和维护成本的问题。本专利技术实施例提供了一种DDoS攻击的防护系统，包括：服务器和监控终端；所述服务器包括采集模块、预处理模块、判断模块、告警模块、封锁模块和解封模块；所述采集模块用于，采集网络状态数据，所述网络状态数据包含用户访问数据和对应的用户IP地址；所述预处理模块用于，将所述网络状态数据按照第一预设规则进行筛选，得到预处理网络状态数据；所述判断模块用于，根据第二预设规则判断所述预处理网络状态数据是否为DDoS攻击数据，如果是，将所述DDoS攻击数据和对应的用户的IP地址发送给告警模块；所述告警模块用于，判断当前时间是否属于第一预设时间，如果否，则生成告警信息发送给监控终端，并将所述DDoS攻击数据和对应的用户的IP地址发送给封锁模块；所述封锁模块用于，对所述DDoS攻击数据和对应的用户的IP地址进行封锁处理；所述解封模块用于，当当前时间超出第二预设时间时，对所述封锁模块发送的所述DDoS攻击数据和对应的用户的IP地址进行解封处理；所述监控终端用于，接收所述预处理模块发送的所述预处理网络状态数据，将所述预处理网络状态数据进行可视化处理并进行展示。进一步的，所述系统还包括存储模块；所述存储模块用于将所述预处理网络状态数据存储在influxdb数据库中。进一步的，所述监控终端具体用于：接收所述预处理模块发送的所述预处理网络状态数据，利用grafana将所述预处理网络状态数据进行可视化处理并进行展示。进一步的，所述封锁模块具体用于：生成对所述DDoS攻击数据和对应的用户的IP地址的封锁命令；将所述封锁命令加载在防火墙iptables上。进一步的，所述解封模块具体用于：当当前时间超出第二预设时间时，撤销加载在所述iptables上的所述封锁命令。本专利技术实施例提供的DDoS攻击的防护系统，采集模块采集网络状态数据，网络状态数据包含用户访问数据和对应的用户IP地址；预处理模块用于，将网络状态数据按照第一预设规则进行筛选，得到预处理网络状态数据；判断模块根据第二预设规则判断预处理网络状态数据是否为DDoS攻击数据，如果是，将DDoS攻击数据和对应的用户的IP地址发送给告警模块；告警模块判断当前时间是否属于第一预设时间，如果否，则生成告警信息发送给监控终端，并将DDoS攻击数据和对应的用户的IP地址发送给封锁模块；封锁模块对DDoS攻击数据和对应的用户的IP地址进行封锁处理；解封模块当当前时间超出第二预设时间时，对封锁模块发送的DDoS攻击数据和对应的用户的IP地址进行解封处理；监控终端接收预处理模块发送的预处理网络状态数据，将预处理网络状态数据进行可视化处理并进行展示。本专利技术实施例提供的系统，基于开源的linux操作系统，在零采购成本和零维护成本的情况下实现DDoS攻击的防护。可直接独立部署于各个应用服务的前端，亦可支持分布式和集中展示，易于部署和维护，界面友好，告警方式多样。附图说明图1为本专利技术实施例提供的DDoS攻击的防护系统的示意图。具体实施方式为了使本专利技术的目的、技术方案和优点更加清楚，下面将结合附图对本专利技术作进一步地详细描述，显然，所描述的实施例仅仅是本专利技术一部份实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本专利技术保护的范围。本专利技术结合iptables(开源linux操作系统内核集成的防火墙)、grafana(开源的度量仪表盘和图形编辑器)、influxdb(开源分布式时序、事件和指标数据库)、python(一种编程语言)，实现可配置、可管理、可视化、可告警、集群化的方式有效的预见ddos攻击行为、防护ddos攻击行为、告警ddos攻击行为。本专利技术具有以下优点：1、无需预留带宽：本专利技术设计目的为针对轻量级DDoS防护，在检测到DDoS攻击行为时，采用的是丢弃或限速策略。2、无需反向代理：因本专利技术基于linux内核实现，目前市面上大部分系统架构均基于开源linux系统环境，本系统可直接集成于用户现有应用服务架构前端。3、无需网络设备：因本系统实现防护原理是基于linux内核的iptables模块，该模块支持路由，防火墙等功能。下面结合图1所示的DDoS攻击的防护系统示意图，对本专利技术实施例提供的DDoS攻击的防护系统进行详细说明。如图1所示，本专利技术提供的DDoS攻击的防护系统主要包括：服务器1和监控终端2；服务器1包括采集模块11、预处理模块12、判断模块13、告警模块14、封锁模块15和解封模块16。采集模块11用于，采集网络状态数据，网络状态数据包含用户访问数据和对应的用户IP地址。具体的，预先生成配置文件，配置文件中定义了数据格式，添加了参数，采集模块11根据配置文件中的规则采集网络状态数据。网络状态数据中包含了所有通过当前服务器的网络连接数据以及对应访问网络连接的用户的IP地址。预处理模块12用于，将网络状态数据按照第一预设规则进行筛选，得到预处理网络状态数据。接收到采集模块11采集的网络状态数据之后，预处理模块12根据预设的筛选条件进行筛选，第一预设规则为本领域技术人员根据具体需要设置的筛选条件规则。判断模块13用于，根据第二预设规则判断预处理网络状态数据是否为DDoS攻击数据，如果是，将DDoS攻击数据和对应的用户的IP地址发送给告警模块。其中，第二预设规则为本领域技术人员根据具体需要定义的规则。利用第二预设规则对网络状态数据进行分析，筛选出异常网络状态数据，再将异常网络状态数据与白名单进行本文档来自技高网...

【技术保护点】
一种DDoS攻击的防护系统，其特征在于，所述系统包括：服务器和监控终端；所述服务器包括采集模块、预处理模块、判断模块、告警模块、封锁模块和解封模块；所述采集模块用于，采集网络状态数据，所述网络状态数据包含用户访问数据和对应的用户IP地址；所述预处理模块用于，将所述网络状态数据按照第一预设规则进行筛选，得到预处理网络状态数据；所述判断模块用于，根据第二预设规则判断所述预处理网络状态数据是否为DDoS攻击数据，如果是，将所述DDoS攻击数据和对应的用户的IP地址发送给告警模块；所述告警模块用于，判断当前时间是否属于第一预设时间，如果否，则生成告警信息发送给监控终端，并将所述DDoS攻击数据和对应的用户的IP地址发送给封锁模块；所述封锁模块用于，对所述DDoS攻击数据和对应的用户的IP地址进行封锁处理；所述解封模块用于，当当前时间超出第二预设时间时，对所述封锁模块发送的所述DDoS攻击数据和对应的用户的IP地址进行解封处理；所述监控终端用于，接收所述预处理模块发送的所述预处理网络状态数据，将所述预处理网络状态数据进行可视化处理并进行展示。

【技术特征摘要】
1.一种DDoS攻击的防护系统，其特征在于，所述系统包括：服务器和监控终端；所述服务器包括采集模块、预处理模块、判断模块、告警模块、封锁模块和解封模块；所述采集模块用于，采集网络状态数据，所述网络状态数据包含用户访问数据和对应的用户IP地址；所述预处理模块用于，将所述网络状态数据按照第一预设规则进行筛选，得到预处理网络状态数据；所述判断模块用于，根据第二预设规则判断所述预处理网络状态数据是否为DDoS攻击数据，如果是，将所述DDoS攻击数据和对应的用户的IP地址发送给告警模块；所述告警模块用于，判断当前时间是否属于第一预设时间，如果否，则生成告警信息发送给监控终端，并将所述DDoS攻击数据和对应的用户的IP地址发送给封锁模块；所述封锁模块用于，对所述DDoS攻击数据和对应的用户的IP地址进行封锁处理；所述解封模块用于，当当前时间超出第二预设时间时，对所述封锁模块发送的所述DDoS攻击数据和对应的用户的IP地址进行解...

【专利技术属性】
技术研发人员：王超，付莹，冯方方，孙健，刘斌，付强，
申请(专利权)人：环球智达科技北京有限公司，
类型：发明
国别省市：北京,11