业务流识别方法、装置及分布式拒绝服务攻击防御方法、系统

摘要

业务流识别方法、装置和分布式拒绝服务攻击防御方法、系统。业务流识别方法包括：对用户访问目标系统进行检测；根据检测到的用户对目标系统的访问和预先设置的用户访问统计模型动态生成用户标识信息集合；提取业务流中的用户标识信息；比较提取的用户标识信息和集合中的用户标识信息，以确定提取的用户标识信息与生成的用户标识信息是否匹配；根据确定的是否匹配的比较结果确定所述业务流是否为合法业务流。上述业务流识别方法应用于分布式拒绝服务攻击防御时，对上述确定的合法业务流进行后续的正常处理操作，拒绝对所述确定的非法业务流进行后续的正常处理操作。从而提高了识别合法业务流的准确性，提高了分布式拒绝服务攻击防御系统的防御能力。

说明书

技术领域

本发明涉及网络通讯技术领域，具体涉及一种业务流识别方法、业务流识 别装置、分布式拒绝服务攻击防御方法、分布式拒绝服务攻击防御系统和装置。

背景技术

DDoS(Distributed Deny of Service，分布式拒绝服务)攻击主要包括两种 实现方式，1、通过大流量来攻击网络设备和服务器；2、通过制造大量无法完 成的不完全请求，以快速耗尽服务器资源。

DDoS攻击的一个重要特点是：从大量的傀儡主机发起攻击。防止DDoS攻 击的关键在于：如何将攻击数据包从合法数据包中区分出来，即如何分辨合法 业务流和恶意业务流。

目前，分辨合法业务流和恶意业务流的方法、以及DDoS防御方法主要有 如下两种：

方法一、黑洞技术。在发生DDoS攻击时，运营商将发送至被攻击者的数 据包尽量阻截在上游，然后，将阻截的数据包引进“黑洞”并丢弃，从而保全 运营商的基础网络和其它客户的业务。

方法二、MVP(Multi-Verification Process，多次验证处理)技术。在攻击 间隙，DDoS防御系统处于“自学习”模式，监测不同来源的业务流，了解正 常业务行为，并建立基准配置文件。该基准配置文件用于调整策略。该策略主 要用于在实时网络活动中识别和过滤已知、未知以及以前从未见过的攻击业务 流。

发明人发现现有技术中的上述两种方法至少存在如下问题：

在方法一中，由于运营商将发送至被攻击者的数据包丢弃了，因此该被攻 击者的合法数据包和恶意攻击数据包一起被丢弃了。虽然该方法能够保全运营 商的基础网络以及其它客户的业务，但是，被攻击者失去了所有的业务服务， 从客观上讲，攻击者达到了攻击的目的。

在方法二中，由于攻击业务流是受控制的傀儡主机发出的，因此，从报文 特征和报文行为的角度上讲，攻击业务流和正常业务流没有什么不同，攻击业 务流也可以看作是大量的正常业务流，因此方法二不能够准确的识别攻击业务 流，存在大量的误报、漏报现象，从而使DDoS防御系统的防御能力差。

发明内容

本发明实施方式提供一种业务流识别方法、装置及分布式拒绝服务攻击防 御应用，提高了识别合法业务流的准确性，提高了分布式拒绝服务攻击防御系 统的防御能力。

本发明实施方式提供的一种业务流识别方法，包括：

对用户访问目标系统进行检测；

根据所述检测到的用户对目标系统的访问和预先设置的用户访问统计模 型动态生成用户标识信息集合；

提取业务流中的用户标识信息；

比较所述提取的用户标识信息和所述集合中的用户标识信息，以确定所述 提取的用户标识信息与所述集合中的用户标识信息是否匹配；

根据所述确定的是否匹配的比较结果确定所述业务流是否为合法业务流。

本发明实施方式还提供一种分布式拒绝服务攻击防御方法，该方法包括：

对用户访问目标系统进行检测；

根据所述检测到的用户对目标系统的访问和预先设置的用户访问统计模 型动态生成用户标识信息集合；

提取业务流中的用户标识信息；

比较所述提取的用户标识信息和所述集合中的用户标识信息，以确定所述 提取的用户标识信息与所述集合中的用户标识信息是否匹配；

根据所述确定的是否匹配的比较结果确定所述业务流是否为合法业务流。

允许对所述确定的合法业务流进行后续的正常处理操作，拒绝对所述确定 的非法业务流进行后续的正常处理操作。

本发明实施方式还提供一种业务流识别装置，所述装置包括：

第一模块：用于检测用户对目标系统的访问，并根据所述检测到的用户对 目标系统的访问和预先设置的用户访问统计模型动态生成的用户标识信息，并 输出；

第二模块：用于接收第一模块输出的用户标识信息，并存储为用户标识信 息集合；

第三模块：用于提取业务流中的用户标识信息，将所述提取的用户标识信 息与所述第二模块中存储的用户标识信息进行比较，以确定所述业务流中的用 户标识信息与所述第二模块存储的用户标识信息是否匹配，并根据是否匹配的 比较结果判断所述业务流是否为合法业务流，并输出所述业务流是否为合法业 务流的判断结果信息。

本发明实施方式还提供一种分布式拒绝服务攻击防御系统，该系统包括：

第一模块用于检测用户对目标系统的访问，并根据检测到的用户对目标系 统的访问和预先设置的用户访问统计模型动态生成的用户标识信息，并输出；

第二模块：用于接收第一模块输出的用户标识信息，并存储为用户标识信 息集合；

第三模块：用于提取业务流中的用户标识信息，将所述提取的用户标识信 息与所述第二模块中存储的用户标识信息进行比较，以确定所述业务流中的用 户标识信息与所述第二模块存储的用户标识信息是否匹配，并根据是否匹配的 比较结果判断所述业务流是否为合法业务流，并输出所述业务流是否为合法业 务流的判断结果信息；

第四模块：用于接收第三模块输出的业务流是否为合法业务的判断结果信 息，并允许对所述确定的合法业务流进行后续的正常处理操作，拒绝对所述确 定的非法业务流进行后续的正常处理操作。

本发明实施方式还提供一种装置，所述装置中包括：

第一模块：用于检测用户对目标系统的访问，并根据检测到的用户对目标 系统的访问和预先设置的用户访问统计模型动态生成的用户标识信息，并输 出；

第二模块：用于接收第一模块输出的用户标识信息，并存储为用户标识信 息集合。

通过上述技术方案的描述可知，本发明实施方式通过利用用户访问统计模 型来动态生成用户标识信息集合，使用户标识信息集合易于维护、而且使生成 的用户标识信息集合能够尽可能准确的标识出合法用户；因此在利用动态生成 的用户标识信息集合对合法业务流和非法业务流进行识别时，能够提高识别合 法业务流的准确性；由于本发明实施方式能够准确识别出合法业务流，因此， 本发明实施方式能够有效防止非法业务流带来的分布式拒绝服务攻击；在避免 了被攻击者失去合法业务流现象的同时，提高了分布式拒绝服务攻击防御系统 的防御能力。

附图说明

图1是依据本发明实施方式的业务流识别方法示意流程图；

图2是依据本发明实施方式的分布式拒绝服务攻击防御方法示意流程图；

图3是依据本发明实施方式的分布式拒绝服务攻击防御系统示意图。

具体实施方式

发明人通过大量研究发现：在DDoS攻击中，虽然从报文特征和报文行为 的角度上讲，攻击业务流和正常业务流没有什么不同，但是，攻击业务流和正 常业务流在访问目标系统的用户上是有区别的。其区别在于：由于DDoS攻击 是大量傀儡主机发起的，所以攻击业务流是大量傀儡主机发送出来的；而正常 业务流是合法用户发送出来的。一般来说，合法用户访问目标系统是可预期的， 而傀儡主机访问目标系统是不可预期的。

发明人正是利用了上述发现的合法用户访问目标系统的可预期性这一特 点，来实现业务流识别和DDoS攻击防御的。也就是说，由于合法用户访问目 标系统一般是符合一定的用户访问统计模型的，因此，本发明实施方式利用了 用户访问统计模型来预测合法用户或非法用户。预测合法用户或非法用户的一 个具体的例子为：根据用户访问目标系统的历史信息，预测在DDoS攻击状态 下可能对业务系统进行访问的概率，并根据预测出的概率来判断用户是合法用 户，还是非法用户，如果需要记录合法用户的标识信息，则在判断出合法用户 时，从用户访问目标系统的业务流中获取该用户对应的用户标识信息，并记录 在用户标识信息集合中，此时记录的用户标识信息集合可以为用户白名单；如 果需要记录非法用户的用户标识信息，则在判断出非法用户时，从用户访问目 标系统的业务流中获取该用户对应的用户标识信息，并记录在用户标识信息集 合中，此时记录的用户标识信息集合可以为用户黑名单。例如可以将预测出的 大概率用户确定为合法用户，然后从该用户的访问目标系统的业务流中获取相 应的用户标识信息，并记录。然后，可根据记录的用户标识信息来识别合法业 务流和非法业务流。由于根据用户访问统计模型产生的用户标识信息能够尽可 能准确标识出合/非法用户，因此，通过记录的用户标识信息能够尽可能准确的 识别出合法业务流和非法业务流。上述识别合法业务流和非法业务流的过程可 以应用在DDoS攻击防御中。即在进行DDoS攻击防御时，可以允许对识别出的 合法业务流进行后续的正常处理操作，可以拒绝对识别出的非法业务流进行后 续的正常处理操作。即在进行DDos攻击防御时，可以根据预期可能访问目标 系统的用户对应的用户标志信息来识别业务流，并对识别出的合/非法业务流进 行相应的后续处理操作。从而本发明实施方式在有效保证了合法用户对目标系 统的正常访问的同时，有效拦截了非法业务流的攻击。

在本发明实施方式中，用户标识信息集合中记录的用户标识信息可以为目 前业务流中承载的现有的用户标识信息；也可以为本发明实施方式为实现业务 流识别、以及分布式拒绝服务攻击防御方法而新增的用户标识信息；还可以为 上述现有的用户标识信息和新增的用户标识信息。当用户标识信息包括新增的 用户标识信息时，新增的用户标识信息可以携带在报文新增的字段中，例如可 以携带在应用层协议报文新增的字段中，也可以携带在安全协议报文新增的字 段中；再例如新增的用户标识信息可以携带在用户登录阶段的报文中，也可以 携带在用户登录之前阶段的报文中。

新增的用户标识信息可以是用户侧生成的，例如业务系统的客户端在用户 首次启动并接入业务系统初始化时生成。新增的用户标识信息也可以是网络侧 生成的，例如，业务系统的客户端在用户首次启动并接入业务系统时，业务系 统为用户指定用户标识信息，并将指定的用户标识信息携带在消息中返回给客 户端。之后，用户访问业务系统时，可以在报文中携带新增的用户标识信息， 也可以不携带新增的用户标识信息。

当新增的用户标识信息为用户侧生成时，新增的用户标识信息可以携带在 用户访问业务系统的第一个应用层报文中，当新增的用户标识信息为网络侧生 成时，新增的用户标识信息可以携带在业务系统发送至用户的第一个报文中。

本发明实施方式可以采用随机生成方式生成新增的用户标识信息，即新增 的用户标识信息可以为随机值。

在本发明实施方式中，一个用户可以对应多个用户标识信息。

下面首先对本发明实施方式提供的业务流识别方法进行说明。

在业务流识别方法的实施方式中，设置有用户标识信息集合。设置用户标 识信息集合的方式为：根据用户对目标系统进行访问的历史情况、以及预先设 置的、一定的用户访问统计模型预测出合/非法用户，如预测出在DDoS攻击状 态下可能访问目标系统的用户和/或不可能访问目标系统的用户，然后，获取可 能访问目标系统的用户和/或不可能访问目标系统的用户的、访问目标系统的业 务流中对应的用户标志信息。用户标识信息可以为IP地址，也可以为其它在网 络报文中能够标识用户的信息，如HTTP报文中的Cookie字段等，还可以为上 述新增的用户标识信息。本发明实施方式不排除采用静态配置用户标识信息的 方式。

本发明实施方式中设置的用户标识信息集合可以为合法用户的标识信息 集合，此时，设置的用户标识信息集合可以称为用户白名单。上述设置的用户 标识信息集合也可以为非法用户的标识信息集合，此时，设置的用户标识信息 集合可以称为用户黑名单。用户访问统计模型可以根据网络的实际情况来设 置，而且设置用户访问统计模型的方式有多种，本发明实施方式不限制用户访 问统计模型的具体表现形式，也不限制用户标识信息的具体表现形式。

在进行业务流识别过程中，需要提取业务流中的用户标识信息，该用户标 识信息应该与用户白/黑名单中的用户标识信息相对应，如用户白/黑名单中的 用户标识信息为IP地址，则需要从业务流中提取源IP地址。在从业务流中提 取了用户标识信息后，需要对提取的用户标识信息与上述设置的用户标识信息 进行比较，如将提取的用户标识信息与用户白名单中的用户标识信息进行比 较，以确定从业务流中提取的用户标识信息是否与用户白名单中的用户标识信 息匹配。如果从业务流中提取的用户标识信息与用户白名单中的用户标识信息 匹配，则表示从业务流中提取的用户标识信息为合法用户标识信息，该业务流 是合法用户发送的，该业务流为合法业务流；如果从业务流中提取的用户标识 信息与用户白名单中的用户标识信息不匹配，则表示从业务流中提取的用户标 识信息为非法用户标识信息，该业务流是非法用户发送的，该业务流为非法业 务流。

上述针对业务流识别过程的描述是以用户白名单为例进行说明的，如果利 用用户访问统计模型生成的是用户黑名单，其业务流识别过程与上述描述基本 相同，在此不再重复描述。

上述业务流识别过程可以应用于多种防御技术方案中，如可以应用于 DDoS攻击防御技术方案中。下面对本发明实施方式提供的DDoS攻击防御方 法进行说明。

DDoS攻击防御过程中，利用了上述业务流识别过程。在利用上述描述的 业务流识别过程识别出业务流为合法业务流还是非法业务流后，可以允许对识 别出的合法业务流进行后续的正常处理操作，如允许正常传输等；可以拒绝对 识别出的非法业务流进行后续的正常处理操作，如拒绝正常传输、并将识别出 的非法业务流丢弃等。

上述DDoS攻击防御过程可以在出现DDoS攻击时启动。启动方式可以为 手工配置启动，也可以为动态检测启动。动态检测启动如对业务流量进行检测， 并判断检测结果，以确定是否出现DDoS攻击；在确定出现DDoS攻击时，开 始提取业务流中的用户标识信息，并进行业务流识别等后续过程。对业务流量 进行检测、并根据检测结果确定是否出现DDoS攻击的实现方式有多种，本发 明实施方式可以采用现有的方法来检测判断是否出现DDoS攻击。本发明实施 方式不限制检测判断是否出现DDoS攻击的具体实现方式。

在识别出合法业务流和非法业务流后，可以根据优先级对业务流进行后续 处理。这里的优先级可以是通过用户访问统计模型动态生成的；如在检测用户 对目标系统的历史访问数据过程中，利用用户访问统计模型动态预测出在 DDoS攻击过程中可能访问目标系统的用户或者不可能访问目标系统的用户、 以及对应的优先级信息。根据上述预期可能访问目标系统或者不可能访问目标 系统的用户、以及优先级信息动态生成包含用户标识信息、以及对应的优先级 信息的用户白名单或用户黑名单。在动态生成了包含优先级信息的用户白/黑名 单后，如果检测到DDoS攻击、并启动了DDoS攻击防御，根据优先级信息对 业务流进行处理的方式有多种，如按照优先级从高到低的顺序来允许合法业务 流进行后续的正常处理流程，再如在DDoS攻击严重时，也可以按照从低到高 的顺丢弃合法业务流。本发明实施方式不限制根据优先级信息对业务流进行处 理的具体实现方式。

本发明实施方式还可以限制合法业务流占用的带宽，例如，对每个合法业 务流均进行带宽限制。而且，每个合法业务流对应的限制带宽可以相同，也可 以有所区别。

下面以用户白名单为例、结合附图对本发明实施方式提供的业务流识别方 法进行说明。

本发明实施方式提供的业务流识别方法如附图1所示。

图1中，步骤1、设置用户访问统计模型。简单的用户访问统计模型可以 为根据历史访问记录访问过目标系统，或者为根据历史访问记录访问过目标系 统预定次数等等。这里仅仅举了两个很简单的用户访问统计模型的例子，用户 访问统计模型可以多种多样的。

步骤2、检测用户对目标系统进行访问的情况，根据用户访问统计模型动 态生成用户标识信息，如根据用户访问统计模型确定该用户在DDoS攻击过程 中可能访问目标系统的概率，并根据确定出的概率判断出该用户为合法用户 时，从该用户访问目标系统的业务流中获取相应的用户标识信息。在步骤2中 也可以根据用户访问统计模型动态生成用户标识信息、以及该用户标识信息对 应的优先级信息，如根据预测出的概率来确定该用户的优先级信息。

步骤3、将动态生成的用户标识信息存储在用户白名单中。

如果在步骤2中动态生成了该用户标识信息对应的优先级信息，则在步骤 3中，可以将动态生成的用户标识信息以及优先级信息存储在用户白名单中。

在需要进行业务流识别时，到步骤4，提取业务流中的用户标识信息，如 从业务流中提取源IP地址等。

步骤5、将提取的用户标识信息与用户白名单中的用户标识信息进行比较， 如果从业务流中提取的用户标识信息与用户白名单中的用户标识信息匹配，则 到步骤6；否则到步骤7。

步骤6、确认该业务流是合法用户发送的，输出该业务流为合法业务流的 信息。如果用户白名单中包含有优先级信息，则在步骤6中，可以输出该业务 流为合法业务流的信息、以及该合法业务流对应的优先级信息。

步骤7、确认该业务流是非法用户发送的，输出该业务流为非法业务流的 信息。

下面结合附图对本发明实施方式提供的DDoS攻击防御方法进行说明。

本发明实施方式提供的DDoS攻击防御方法如附图2所示。

图2中，步骤1、设置用户访问统计模型。简单的用户访问统计模型可以 为根据历史访问记录访问过目标系统，或者为根据历史访问记录访问过目标系 统预定次数等等。这里仅仅举了两个很简单的用户访问统计模型的例子，用户 访问统计模型可以多种多样的。

步骤2、根据用户发送的业务流检测用户对目标系统进行访问的情况，根 据用户访问统计模型动态生成用户标识信息、以及该用户标识信息对应的优先 级信息。例如根据用户访问统计模型确定该用户在DDoS攻击过程中可能访问 目标系统的概率，并根据确定出的概率判断出该用户为合法用户时，从该用户 访问目标系统的业务流中获取相应用户标识信息，并根据确定出的概率确定该 用户的优先级信息。

步骤3、将动态生成的用户标识信息以及优先级信息存储在用户白名单中。

步骤4、检测业务流量，并根据业务流量检测结果判断是否出现DDoS攻 击，如果出现DDoS攻击，到步骤5；如果没有出现DDoS攻击，仍然进行业 务流量检测过程。

步骤5，提取业务流中的用户标识信息，如从业务流中提取源IP地址等。

步骤6、将提取的用户标识信息与用户白名单中的用户标识信息进行比较， 如果从业务流中提取的用户标识信息与用户白名单中的用户标识信息匹配，则 到步骤7；否则到步骤8。

步骤7、确认该业务流是合法用户发送的，根据该业务流对应的优先级信 息允许对该业务流进行后续的正常处理操作。

步骤8、确认该业务流是非法用户发送的，拒绝对该业务流进行后续的正 常处理操作，并丢弃该业务流。

在上述针对图2的描述中，步骤2和步骤3这两个步骤与步骤4之间是可 以没有先后顺序的，即步骤2和步骤3的执行过程是独立的，与步骤4的执行 没有先后关系，步骤4的执行过程是独立的，与步骤2和步骤3的执行没有先 后关系。本发明实施方式还可以在检测出DDoS攻击后，持续对业务流量进行 检测，在根据业务流量检测结果确定出DDoS攻击结束后，停止执行步骤5至 步骤8，而继续执行步骤2、步骤3。该流程仅仅是一个示意，具体的实现流程 可以有多种，在此不再一一例举。

在上述各实施方式的描述中，如果用户标识信息为新增的用户标识信息、 且用户标识信息只携带在用户登录阶段的报文或者用户登录之前阶段的报文 中的情况下，在检测出DDoS攻击后，则在有用户登录或者发起连接时，可以 根据用户标识信息来确定是否允许用户登录或者允许与该用户建立连接，从而 可以在一定程度上避免DDoS攻击。

在上述各实施方式的描述中，用户标识信息集合中可以设置一个对应关系 来作为用户标识信息，例如，设置用户账号与新增的用户标识信息的对应关系。 这样，在根据业务流中携带的新增的用户标识信息确定出该业务流为合法业务 流后，该用户账号下的不携带对应关系中新增的用户标识信息的其它业务流也 可以确认为合法业务流。上述对应关系可以更新。

下面以新增的用户标识信息为例，对本发明实施方式提供的DDoS攻击防 御方法进行说明。

设定与该业务系统交互的所有协议报文中都可以包含UID(用户标识信息) 字段，该字段可以为128bit。

设定用户A和用户B成功注册到一个业务系统，该业务系统可以是为用户提 供应用服务的业务系统，也可以是为用户提供接入认证服务的业务系统。用户 A和用户B在首次访问业务系统时，将用户A的UID字段初始化为为随机值 0x0123456789abcdef，将用户B的UID字段初始化为0xfedcba9876543210。

业务系统根据用户访问统计模型建立的用户标识信息集合中动态设置了 用户A和用户B的UID。

设定检测出业务系统出现DDoS攻击，则该业务系统可以立刻根据用户标 识信息集合中的UID、以及业务流中的UID字段对业务流进行过滤。由于该业 务系统的用户标识信息集合中只设置有用户A和用户B的UID，所以，该业务系 统在判断出接收到的业务流中的UID字段中的值不为0x0123456789abcdef或者 0xfedcba9876543210时，确定该业务流为非法业务流，拒绝对非法业务流进行 后续的正常处理操作；该业务系统在判断出接收到业务流中的UID字段中的值 为0x0123456789abcdef或者0xfedcba9876543210时，确定该业务流为合法业务 流，允许对合法业务流进行后续的正常处理操作。从而有效防范了DDoS攻击。

该业务系统还可以对用户A和用户B的业务流进行带宽限制，使用户A和用 户B的业务流不会超过预设定带宽，这样，即使是攻击者通过伪造UID值进行 DDOS攻击，也能够在一定程度上避免DDOS攻击带来的严重的不良后果。这 里的用户A和用户B的预设定带宽可以相同，也可以不同。

下面对本发明实施方式提供的业务流识别装置进行说明。

本发明实施方式提供的业务流识别装置包括：第一模块、第二模块和第三 模块。

第一模块主要用于检测用户对目标系统的访问，并根据检测到的用户对目 标系统的访问、以及预先设置的用户访问统计模型动态生成用户标识信息，第 一模块将动态生成的用户标识信息存储至第二模块。而且第一模块还可以根据 检测到的用户对目标系统的访问、以及预先设置的用户访问统计模型动态生成 用户标识信息对应的优先级信息，并将动态生成的优先级信息存储至第二模 块。例如，第一模块在根据用户访问统计模型预测出该用户在DDoS攻击过程 中可能访问目标系统的概率，并根据确定出的概率判断出该用户为合法用户 时，从该用户访问目标系统的业务流中获取相应用户标识信息，并根据确定出 的概率确定该用户的优先级信息，然后将用户标识信息和优先级信息存储至第 二模块。这里的用户标识信息可以为目前业务流中承载的现有的用户标识信 息；也可以为本发明实施方式为实现业务流识别、以及分布式拒绝服务攻击防 御方法而新增的用户标识信息，具体如上述方法实施方式中的描述。

第二模块主要用于接收第一模块输出的用户标识信息，并存储为用户标识 集合。第二模块中存储的用户标识信息集合可以称为用户白名单。而且在第一 模块传输来用户标识对应的优先级信息时，第二模块中存储的用户白名单中还 可以包括用户标识信息对应的优先级信息。

第三模块主要用于提取业务流中的用户标识信息，将提取的用户标识信息 与第二模块中存储的用户标识信息进行比较，以确定业务流中的用户标识信息 与第二模块存储的用户标识信息是否匹配；在判断出业务流中的用户标识信息 与第二模块存储的用户标识信息匹配时，确定该业务流是否为合法业务流，并 输出业务流为合法业务流的判断结果信息，在第二模块中存储有用户标识对应 的优先级信息时，第三模块还可以输出该合法业务流对应的优先级信息；在判 断出业务流中的用户标识信息与第二模块存储的用户标识信息不匹配时，确定 该业务流为非法业务流，并输出业务流为非法业务流的判断结果信息。

下面对本发明实施方式提供的DDoS攻击防御系统进行说明。

本发明实施方式提供的DDoS攻击防御系统包括：第一模块、第二模块、 第三模块、第四模块、第五模块和第六模块。

第一模块主要用于检测用户对目标系统的访问，并根据检测到的用户对目 标系统的访问、以及预先设置的用户访问统计模型动态生成用户标识信息，或 者动态生成用户标识信息、以及用户标识信息对应的优先级信息。然后，第一 模块并将用户标识信息、或者将用户标识信息、以及优先级信息存储至第二模 块。例如，第一模块在根据用户访问统计模型预测出该用户在DDoS攻击过程 中可能访问目标系统的概率，并根据确定出的概率判断出该用户为合法用户 时，从该用户访问目标系统的业务流中获取相应用户标识信息，并根据确定出 的概率确定该用户的优先级信息，然后将用户标识信息和优先级信息存储至第 二模块。

第一模块可以由存储子模块、检测子模块和第一动态子模块组成，也可以 由存储子模块、检测子模块、第一动态子模块和第二动态子模块组成。

存储子模块主要用于存储用户访问统计模型。

检测子模块主要用于检测用户对目标系统的访问情况，并根据检测到的用 户对目标系统的访问情况、存储子模块中存储的用户访问统计模型动态生成用 户标识信息，预测出该用户在DDoS攻击过程中可能访问目标系统的概率，并 输出该概率信息。

第一动态子模块主要用于根据检测子模块输出的概率信息判断出该用户 为合法用户时，从该用户访问目标系统的业务流中获取相应用户标识信息，然 后将用户标识信息存储至第二模块。第一动态子模块也可以确定出该用户为非 法用户时，从该用户访问目标系统的业务流中获取相应用户标识信息，然后将 用户标识信息存储至第二模块。

第二动态子模块主要用于根据检测子模块输出的概率信息确定该用户对 应的优先级信息，并将优先级信息传输至第二模块存储。第二动态子模块可以 在第一动态子模块判断出该用户为合法用户时，确定该用户对应的优先级信 息，并输出；第二动态子模块也可以直接根据其内部存储的概率阈值来判断是 否需要确定优先级信息，在根据概率阈值判断出需要确定优先级信息时，确定 该用户对应的优先级信息并输出。

第二模块主要用于接收第一模块传输来的用户标识信息、以及优先级信 息，并存储，如第二模块接收第一动态子模块传输来的用户标识信息并存储， 再如第二模块接收第二动态子模块传输来的优先级信息并存储。第二模块中存 储的用户标识信息、以及优先级信息可以称为用户白名单。第二模块中存储的 信息也可以称为用户黑名单。

第三模块主要用于提取业务流中的用户标识信息，将提取的用户标识信息 与第二模块中存储的用户标识信息进行比较，以确定业务流中的用户标识信息 与第二模块存储的用户标识信息是否匹配；在判断出业务流中的用户标识信息 与第二模块存储的用户标识信息匹配时，确定该业务流是否为合法业务流，并 输出业务流为合法业务流的判断结果信息，在第二模块中存储有用户标识对应 的优先级信息时，第三模块还可以输出该合法业务流对应的优先级信息；在判 断出业务流中的用户标识信息与第二模块存储的用户标识信息不匹配时，确定 该业务流为非法业务流，并输出业务流为非法业务流的判断结果信息。

第三模块可以根据第五模块的通知启动提取业务流中的用户标识信息、以 及后续比较过程的操作。当然，在该系统不包括第五模块时，第三模块可以根 据手工配置等其它方式来启动提取业务流中的用户标识信息、以及后续比较过 程的操作。

第四模块主要用于接收第三模块输出的业务流是否为合法业务的判断结 果信息，当第三模块输出的判断结果信息为合法业务时，允许对该业务流进行 后续的正常处理操作，如允许该业务流的继续传输；当第三模块输出的判断结 果信息为非法业务时，拒绝对该业务流进行后续的正常处理操作，如禁止该业 务流的继续传输，将该业务流丢弃等。当第三模块输出的信息包括优先级信息 时，第四模块在允许对该业务流进行后续的正常处理操作时，应根据该业务流 对应的优先级来进行后续的正常处理操作，如第四模块根据各合法业务流的优 先级信息、按照由高到低的顺序允许业务流依次进行继续传输。

第五模块主要用于检测业务流量，并判断业务流量检测结果，在根据业务 流量检测结果确定出现DDoS攻击时，通知第三模块提取业务流中的用户标识 信息。在根据业务流量检测结果确定出现DDoS攻击后，第五模块仍然可以继 续检测业务流量，并继续判断业务流量检测结果，在根据业务流量检测结果确 定DDoS攻击消失时，通知第三模块停止提取业务流中的用户标识信息。第三 模块可以在接收到停止通知时，停止进行提取并判断的后续处理操作。在本发 明系统实施方式中，第五模块可以为可选模块。

第六模块主要用于根据第三模块输出的业务流是否为合法业务的判断结 果信息，限制合法业务流占用的带宽。对不同用户的合法业务流进行带宽限制 时，可以对不同用户的合法业务流进行不同带宽的限制，也可以对不同用户的 合法业务流进行相同带宽的限制。在本发明系统实施方式中，第六模块可以为 可选模块。

本发明实施方式提供的系统可以针对一个目标系统，也可以针对多个目标 系统。也就是说，本发明实施方式提供的系统可以为某一个目标系统提供DDoS 攻击防御，也可以同时为多个目标系统提供DDoS攻击防御。当本发明实施方 式提供的系统为某一个目标系统提供DDoS攻击防御时，该系统可以为目标系 统的前置系统，而且可以独立于目标系统设置，也可以设置于目标系统中。

下面结合附图对本发明实施方式提供的DDoS攻击防御系统进行说明。

图3为本发明实施方式提供的DDoS攻击防御系统。

图3中的系统包括：DDoS检测模块、报文过滤装置、用户白名单及优先级 模块、用户访问统计模型模块。DDoS检测模块即上述第五模块。报文过滤装 置即上述第三模块、第四模块和第六模块。用户白名单及优先级模块即上述第 二模块。用户访问统计模型模块即上述第一模块。

报文过滤装置主要用于完成对试图访问业务系统的业务流进行过滤，即对 报文包进行过滤。报文过滤装置可以是基于用户白名单及优先级模块中存储的 信息进行过滤的。例如，报文过滤装置根据报文包中的源IP地址、用户白名单 及优先级模块中的IP地址对报文包进行过滤。这里的业务系统即上述目标系统。 报文过滤装置还可以对合法业务流占用的带宽进行限制。

用户白名单及优先级模块中存储的信息为包含优先级信息的用户白名单。 用户白名单及优先级模块中存储的用户标识信息和优先级信息可以以表项的 形式存在。用户白名单及优先级表项中记录有可以访问该业务系统的用户标识 信息、及其该用户标识信息对应的优先级信息。

上述用户白名单及优先级表项由用户访问统计模型模块来进行维护。在 DDoS攻击防御时，上述用户白名单及优先级表项为报文过滤装置提供查询。

用户访问统计模型模块主要用于在正常情况下根据用户对业务系统的访 问情况建立并维护用户白名单和优先级表项。用户访问统计模型模块建立并维 护的表项为用户访问统计模型声明的、在受到DDoS攻击情况下、允许访问业 务系统的用户标识信息以及优先级信息。如果用户标识信息对应高优先级，则 可以表示在没有受到DDoS攻击的正常情况下、经常访问该业务系统的用户可 以在受到DDoS攻击情况下、毫无限制的访问该业务系统。如果用户标识信息 对应低优先级，则可以表示在没有受到DDoS攻击的正常情况下、偶然访问业 务系统的用户在受到DDoS攻击情况下、需要受限制的访问该业务系统。

DDoS攻击检测模块主要用于检测业务系统的业务流量，以确定业务系统 目前是否受到DDoS攻击，在检测到业务系统受到DDoS攻击后，向报文过滤模 块发出通知，如发送过滤指令等。

下面分正常状态、受攻击状态对上述防御系统的工作流程进行说明。

在正常状态下，报文过滤模块执行透明传输操作，即不对业务流进行任何 处理。用户访问统计模型模块检测用户对业务系统的访问情况，并根据用户访 问统计模型动态生成包含各用户对应的优先级的用户访问白名单。包含优先级 的用户访问白名单可以在DDoS攻击期间使用。DDoS攻击检测模块持续对业务 系统的业务流量进行检测，以确定是否出现DDoS攻击。

在受到DDoS攻击状态下，报文过滤模块开始提取业务流的用户标识信息， 并根据用户白名单及优先级表项声称的过滤规则对试图访问业务系统的业务 流进行过滤，以保证用户白名单中的用户可以根据优先级顺序访问业务系统。 报文过滤模块还可以根据预先设定的带宽对业务流执行带宽限制操作。用户访 问统计模型模块停止运作。DDoS攻击检测模块持续对业务流量进行检测，以 确定DDoS攻击是否消失。

上述正常状态和受到DDoS攻击状态的切换是由DDoS攻击检测模块触发 的。即DDoS攻击检测模块在检测到业务系统出现DDoS攻击时，则触发报文过 滤模块，使DDoS攻击防御系统进入受到DDoS攻击状态，DDoS攻击检测模块 在检测到业务系统的DDoS攻击消失时，则触发报文过滤模块，使DDoS攻击防 御系统进入正常状态。

上述用户访问统计模型模块可以集成设置于业务系统中。DDOS攻击检测 模块可以和报文过滤装置合设在同一个设备中，DDOS攻击检测模块、报文过 滤装置和用户白名单及优先级模块也可以合设在同一个设备中。

下面对本发明实施方式提供的装置进行说明。

本发明实施方式提供的装置包括第一模块和第二模块。第一模块可以由存 储子模块、检测子模块和第一动态子模块组成，也可以由存储子模块、检测子 模块、第一动态子模块和第二动态子模块组成。上述各模块、子模块所执行的 操作如上述实施方式中的描述，在此不再重复说明。

本发明实施方式提供的装置可以为业务系统的服务器等需要产生用户白 名单、和/或黑名单的设备。

本发明实施方式通过利用用户访问统计模型来动态生成用户标识信息，使 用户标识信息易于维护、而且使生成的用户标识信息能够尽可能准确的标识出 合法用户；因此在利用动态生成的用户标识信息对合法业务流和非法业务流进 行识别时，能够提高识别合法业务流的准确性；由于本发明实施方式能够准确 识别出合法业务流，因此，本发明实施方式能够有效防止非法业务流带来的分 布式拒绝服务攻击；即本发明实施方式采用用户访问模型与报文过滤连动防御 的分布式拒绝服务攻击，在避免了被攻击者失去合法业务流现象的同时，提高 了分布式拒绝服务攻击防御系统的防御能力。本发明实施方式通过限制合法业 务流占用的带宽，能够在一定程度上避免分布式拒绝服务攻击带来的严重的不 良后果，进一步提高了分布式拒绝服务攻击防御系统的防御能力。

虽然通过实施例描绘了本发明，本领域普通技术人员知道，本发明有许多 变形和变化而不脱离本发明的精神，本发明的申请文件的权利要求包括这些变 形和变化。