DDoS防御方法、装置、计算机设备及存储介质制造方法及图纸

本发明专利技术实施例公开了DDoS防御方法、装置、计算机设备及存储介质。方法包括：解析可信终端的数据包信息，形成可信终端ID集合；采集对应的可信终端的访问信息特征，并生成可信终端访问信息特征库；确定待测终端指纹信息；确定待测终端访问信息特征；将待测终端指纹信息与可信终端ID集合进行ID匹配，以判断待测终端是否可信；当待测终端不可信且待测终端的通信时间或固定访问次数不符合设定条件；以及当待测终端可信而待测终端指纹信息与可信终端访问信息特征库内的元素不一一对应匹配，确定待测终端的访问存在DDoS攻击行为，进行异常处理。通过实施本发明专利技术实施例的方法可实现精准判别DDoS攻击行为。DDoS攻击行为。DDoS攻击行为。

【技术实现步骤摘要】
DDoS防御方法、装置、计算机设备及存储介质


[0001]本专利技术涉及计算机，更具体地说是指DDoS防御方法、装置、计算机设备及存储介质。

技术介绍

[0002]DDoS（分布式拒绝服务攻击，Distributed denial of service attack）是指依靠分布式的攻击源发起的庞大规模的拒绝服务攻击。这种攻击是通过操纵大量的“僵尸”计算机，创建一个攻击网络，同时以猛烈的频率和速度对一个或多个目标发起攻击，从而成倍地提高拒绝服务攻击的威力。由于DDoS攻击会消耗网络带宽或系统资源，导致网络或系统过载，从而造成目标系统或网络几近瘫痪，甚至于出现宕机。
[0003]在网络安全领域，DDoS以其隐蔽性和高效性成为最流行的攻击方法，攻击者不断提升攻击手段的复杂度和使用变幻多样的攻击手法，以高强度、新颖的手法持续获得显著的攻击效果。而现有的DDoS防御技术对难以缓解日益严峻的DDoS攻击形势。
[0004]因此，有必要设计一种新的方法，实现精准判别DDoS攻击行为，从而精准防御DDoS攻击行为。

技术实现思路

[0005]本专利技术的目的在于克服现有技术的缺陷，提供DDoS防御方法、装置、计算机设备及存储介质。
[0006]为实现上述目的，本专利技术采用以下技术方案：DDoS防御方法，包括：获取可信终端发出的数据包信息；解析所述数据包信息，以得到可信终端指纹信息，形成可信终端ID集合；根据可信终端ID集合采集对应的可信终端的访问信息特征，并根据所述访问信息特征生成可信终端访问信息特征库；获取待测终端发出的待测数据包信息以及待测终端访问信息；解析所述待测数据包信息，以得到待测终端指纹信息；解析所述待测终端访问信息，以得到待测终端访问信息特征；将所述待测终端指纹信息与所述可信终端ID集合进行ID匹配，以判断所述待测终端是否可信；若所述待测终端不可信，则根据所述待测终端访问信息特征判断待测终端的通信时间或固定访问次数是否不符合设定条件；若所述待测终端的通信时间或固定访问次数不符合设定条件，则确定所述待测终端的访问存在DDoS攻击行为，将所述待测终端的访问进行异常处理；若所述待测终端可信，则判断所述待测终端指纹信息与所述可信终端访问信息特征库内的元素是否一一对应匹配；若所述待测终端指纹信息与所述可信终端访问信息特征库内的元素不是一一对
应匹配，则执行所述确定所述待测终端的访问存在DDoS攻击行为，将所述待测终端的访问进行异常处理。
[0007]其进一步技术方案为：所述根据所述待测终端访问信息特征判断待测终端的通信时间或固定访问次数是否不符合设定条件之后，还包括：若所述待测终端的通信时间以及固定访问次数都符合设定条件，则确定所述待测终端的访问不存在DDoS攻击行为，放行所述待测终端的访问。
[0008]其进一步技术方案为：所述解析所述数据包信息，以得到可信终端指纹信息，形成可信终端ID集合，包括：对所述数据包信息根据IP地址、MAC地址、业务数据包大小范围、序列号进行特征解析，以得到可信终端指纹；对所述可信终端指纹进行计算，以生成可信终端ID号；统计所有的可信终端ID号，以得到可信终端ID号集合。
[0009]其进一步技术方案为：所述根据可信终端ID集合采集对应的可信终端的访问信息特征，并根据所述访问信息特征生成可信终端访问信息特征库，包括：通过agent软件采集可信终端ID集合中对应的可信终端在学习时间内的访问信息特征；统计可信终端ID号集合所对应的可信终端上的每一条访问信息特征，以得到访问信息特征集合；对所述访问信息特征集合内的访问信息特征进行去重，以得到可信终端访问信息特征库。
[0010]其进一步技术方案为：所述根据所述待测终端访问信息特征判断待测终端的通信时间或固定访问次数是否不符合设定条件，包括：根据所述待测终端访问信息特征判断所述待测终端的通信时间是否在固定通信时间段内；若所述待测终端的通信时间不在固定通信时间段内，则确定待测终端的通信时间不符合设定条件；若所述待测终端的通信时间在固定通信时间段内，则确定待测终端的通信时间符合设定条件；放行所述待测终端的访问信息，并记录所述待测终端针对访问目标在单位时间内的访问次数，以得到访问频率；判断所述访问频率是否在设定的单位时间的固定访问次数范围内；若所述访问频率在设定的单位时间的固定访问次数范围内，则确定所述待测终端的固定访问次数符合设定要求；若所述访问频率不在设定的单位时间的固定访问次数范围内，则确定所述待测终端的固定访问次数不符合设定要求。
[0011]其进一步技术方案为：所述判断所述待测终端指纹信息与所述可信终端访问信息特征库内的元素是否一一对应匹配，包括：判断所述待测终端指纹信息中的访问目标与所述可信终端访问信息特征库内的每一条特征的第一个元素是否一致；
若所述待测终端指纹信息中的访问目标与所述可信终端访问信息特征库内的每一条特征的第一个元素不一致，则确定所述待测终端指纹信息与所述可信终端访问信息特征库内的元素不是一一对应匹配；若所述待测终端指纹信息中的访问目标与所述可信终端访问信息特征库内的每一条特征的第一个元素一致，则判断所述待测终端指纹信息中的通信时间与所述可信终端访问信息特征库内的每一条特征的第二个元素是否一致；若所述待测终端指纹信息中的通信时间与所述可信终端访问信息特征库内的每一条特征的第二个元素不一致，则执行所述确定所述待测终端指纹信息与所述可信终端访问信息特征库内的元素不是一一对应匹配；若所述待测终端指纹信息中的通信时间与所述可信终端访问信息特征库内的每一条特征的第二个元素一致，则判断所述待测终端指纹信息中针对访问目标在单位时间内的访问次数与所述可信终端访问信息特征库内的每一条特征的第三个元素是否一致；若所述待测终端指纹信息中针对访问目标在单位时间内的访问次数与所述可信终端访问信息特征库内的每一条特征的第三个元素不一致，则执行所述确定所述待测终端指纹信息与所述可信终端访问信息特征库内的元素不是一一对应匹配；若所述待测终端指纹信息中针对访问目标在单位时间内的访问次数与所述可信终端访问信息特征库内的每一条特征的第三个元素一致，则确定所述待测终端指纹信息与所述可信终端访问信息特征库内的元素一一对应匹配。
[0012]本专利技术还提供了DDoS防御装置，包括：可信信息获取单元，用于获取可信终端发出的数据包信息；第一解析单元，用于解析所述数据包信息，以得到可信终端指纹信息，形成可信终端ID集合；采集单元，用于根据可信终端ID集合采集对应的可信终端的访问信息特征，并根据所述访问信息特征生成可信终端访问信息特征库；待测信息获取单元，用于获取待测终端发出的待测数据包信息以及待测终端访问信息；第二解析单元，用于解析所述待测数据包信息，以得到待测终端指纹信息；第三解析单元，用于解析所述待测终端访问信息，以得到待测终端访问信息特征；ID匹配单元，用于将所述待测终端指纹信息与所述可信终端ID集合进行ID匹配，以判断所述待测终端是否可信；第一判断单元，用于若所述待测终端不可信，则根据所述待测终端访问信息特征判断待测本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.DDoS防御方法，其特征在于，包括：获取可信终端发出的数据包信息；解析所述数据包信息，以得到可信终端指纹信息，形成可信终端ID集合；根据可信终端ID集合采集对应的可信终端的访问信息特征，并根据所述访问信息特征生成可信终端访问信息特征库；获取待测终端发出的待测数据包信息以及待测终端访问信息；解析所述待测数据包信息，以得到待测终端指纹信息；解析所述待测终端访问信息，以得到待测终端访问信息特征；将所述待测终端指纹信息与所述可信终端ID集合进行ID匹配，以判断所述待测终端是否可信；若所述待测终端不可信，则根据所述待测终端访问信息特征判断待测终端的通信时间或固定访问次数是否不符合设定条件；若所述待测终端的通信时间或固定访问次数不符合设定条件，则确定所述待测终端的访问存在DDoS攻击行为，将所述待测终端的访问进行异常处理；若所述待测终端可信，则判断所述待测终端指纹信息与所述可信终端访问信息特征库内的元素是否一一对应匹配；若所述待测终端指纹信息与所述可信终端访问信息特征库内的元素不是一一对应匹配，则执行所述确定所述待测终端的访问存在DDoS攻击行为，将所述待测终端的访问进行异常处理。2.根据权利要求1所述的DDoS防御方法，其特征在于，所述根据所述待测终端访问信息特征判断待测终端的通信时间或固定访问次数是否不符合设定条件之后，还包括：若所述待测终端的通信时间以及固定访问次数都符合设定条件，则确定所述待测终端的访问不存在DDoS攻击行为，放行所述待测终端的访问。3.根据权利要求1所述的DDoS防御方法，其特征在于，所述解析所述数据包信息，以得到可信终端指纹信息，形成可信终端ID集合，包括：对所述数据包信息根据IP地址、MAC地址、业务数据包大小范围、序列号进行特征解析，以得到可信终端指纹；对所述可信终端指纹进行计算，以生成可信终端ID号；统计所有的可信终端ID号，以得到可信终端ID号集合。4.根据权利要求1所述的DDoS防御方法，其特征在于，所述根据可信终端ID集合采集对应的可信终端的访问信息特征，并根据所述访问信息特征生成可信终端访问信息特征库，包括：通过agent软件采集可信终端ID集合中对应的可信终端在学习时间内的访问信息特征；统计可信终端ID号集合所对应的可信终端上的每一条访问信息特征，以得到访问信息特征集合；对所述访问信息特征集合内的访问信息特征进行去重，以得到可信终端访问信息特征库。5.根据权利要求1所述的DDoS防御方法，其特征在于，所述根据所述待测终端访问信息
特征判断待测终端的通信时间或固定访问次数是否不符合设定条件，包括：根据所述待测终端访问信息特征判断所述待测终端的通信时间是否在固定通信时间段内；若所述待测终端的通信时间不在固定通信时间段内，则确定待测终端的通信时间不符合设定条件；若所述待测终端的通信时间在固定通信时间段内，则确定待测终端的通信时间符合设定条件；放行所述待测终端的访问信息，并记录所述待测终端针对访问目标在单位时间内的访问次数，以得到访问频率；判断所述访问频率是否在设定的单位时间的固定访问次数范围内；若所述访问频率在设定的单位时间的固定访问次数范围内，则确定所述待测终端的固定访问次数符合设定要求；若所述访问频率不在设定的单位时间的固定访问次数范围内，则确定所述待测终端的固定访问次数不符合设定要求。6.根据权利要求1所述的DDoS防御方法，其特征在于，所述判断所述待测终端指纹信息与所述可信终端访问信息特征库内的元素是否一一对应匹配，包括：判断所述待测终端指纹信息中的...

【专利技术属性】
技术研发人员：柳遵梁，王月兵，毛菲，周杰，闻建霞，覃锦端，刘聪，
申请(专利权)人：杭州美创科技股份有限公司，
类型：发明
国别省市：