一种用于防御指向多业务系统的DDoS攻击的方法与设备

摘要

本发明旨在提供一种防御指向多业务系统的DDoS攻击的方法与设备。其中，网络安全设备根据预置的DDoS攻击触发条件，检测与多业务系统相对应的网络访问流量中是否存在DDoS攻击；当存在所述DDoS攻击时，根据所述DDoS攻击所对应的所述DDoS攻击触发条件，确定所述DDoS攻击所指向的目标业务；根据所述目标业务的业务相关信息，对与所述多业务系统相对应的网络访问流量中与所述目标业务相对应的网络访问流量进行防御处理。与现有技术相比，本发明通过检测DDoS攻击所针对的目标业务，并根据该目标业务的业务相关信息进行相应的防御处理，不仅限制了该DDoS对整个多业务系统的不良影响，也有效支持了面向该多业务系统中的其他业务的访问请求，从而有效提高了整个多业务系统抵御DDoS的信息安全能力。

说明书

技术领域

本发明涉及网络安全技术领域，尤其涉及一种用于防御指向多业 务系统的DDoS攻击的技术。

背景技术

随着互联网技术的发展与应用普及，网络上的多业务系统面临着 更多、更复杂的网络攻击行为，其中，DDoS(Distributed Denial of  Service，分布式拒绝服务)便是一种较为严重的网络攻击行为，它利 用大量的傀儡机对某个系统同时发起攻击，使得受攻击的该系统因带 宽拥塞或服务器资源耗尽等原因而无法支持正常的业务访问。

在现有技术中，多业务系统往往通过在网络层面引入串联式或旁 路式的清洗设备，以抵御DDoS的攻击活动。这虽然在一定程度上改 善了该多业务系统的抗DDoS攻击的能力，但也存在因个别业务遭受 DDoS攻击而影响整个多业务系统的正常服务的问题，例如，当某个 业务遭受DDoS攻击时，指向该多业务系统的所有访问请求，包括 DDoS攻击行为与面向该多业务系统中的其他业务的访问请求，往往 都会被牵引至清洗设备进行清洗，从而影响了该业务系统对于这些面 向其他业务的访问请求的响应。

因此，如何改善多业务系统抗DDoS攻击的能力，以降低受攻击 业务对其他业务的访问请求的影响，成为目前亟须解决的技术问题之 一。

发明内容

本发明的目的是提供一种用于防御指向多业务系统的DDoS攻击 的方法与设备。

根据本发明的一个方面，提供了一种由计算机实现的用于防御指 向多业务系统的DDoS攻击的方法，其中，该方法包括以下步骤：

a根据预置的DDoS攻击触发条件，检测与多业务系统相对应的 网络访问流量中是否存在DDoS攻击；

b当存在所述DDoS攻击时，根据所述DDoS攻击所对应的所述 DDoS攻击触发条件，确定所述DDoS攻击所指向的目标业务；

c根据所述目标业务的业务相关信息，对与所述多业务系统相对 应的网络访问流量中与所述目标业务相对应的网络访问流量进行防 御处理。

根据本发明的另一方面，还提供了一种用于防御指向多业务系统 的DDoS攻击的网络安全设备，其中，该设备包括：

攻击检测装置，用于根据预置的DDoS攻击触发条件，检测与多 业务系统相对应的网络访问流量中是否存在DDoS攻击；

目标确定装置，用于当存在所述DDoS攻击时，根据所述DDoS 攻击所对应的所述DDoS攻击触发条件，确定所述DDoS攻击所指向 的目标业务；

防御处理装置，用于根据所述目标业务的业务相关信息，对与所 述多业务系统相对应的网络访问流量中与所述目标业务相对应的网 络访问流量进行防御处理。

与现有技术相比，本发明通过检测DDoS攻击所针对的目标业务， 并根据该目标业务的业务相关信息进行相应的防御处理，不仅限制了 该DDoS对整个多业务系统的不良影响，也有效支持了面向该多业务 系统中的其他业务的访问请求，从而有效提高了整个多业务系统抵御 DDoS的信息安全能力。

附图说明

通过阅读参照以下附图所作的对非限制性实施例所作的详细描述， 本发明的其它特征、目的和优点将会变得更明显：

图1示出根据本发明一个方面的用于防御指向多业务系统的 DDoS攻击的设备示意图；

图2示出根据本发明一个优选实施例的用于防御指向多业务系统 的DDoS攻击的设备示意图；

图3示出根据本发明另一个方面的用于防御指向多业务系统的 DDoS攻击的方法流程图；

图4示出根据本发明一个优选实施例的用于防御指向多业务系统 的DDoS攻击的方法流程图。

附图中相同或相似的附图标记代表相同或相似的部件。

-

具体实施方式

下面结合附图对本发明作进一步详细描述。

图1示出根据本发明一个方面的用于防御指向多业务系统的 DDoS攻击的设备示意图；其中，网络安全设备1包括攻击检测装置 11、目标确定装置12和防御处理装置13；多业务系统用于提供两种 或两种以上类型的业务访问，其包括但不限于网站、主机托管中心、 IDC(Internet Data Center，互联网数据中心)等。网络安全设备1与 多业务系统通过网络相连接，通过检测DDoS攻击所针对的目标业务， 并根据该目标业务的业务相关信息进行相应的防御处理，不仅限制了 该DDoS对整个多业务系统的不良影响，也有效支持了面向该多业务 系统中的其他业务的访问请求，从而有效提高了整个多业务系统抵御 DDoS的信息安全能力。在此，网络安全设备1、多业务系统包括但 不限于网络主机、单个网络服务器、多个网络服务器集或多个服务器 构成的云。在此，云由基于云计算(Cloud Computing)的大量计算机 或网络服务器构成，其中，云计算是分布式计算的一种，由一群松散 耦合的计算机集组成的一个超级虚拟计算机。在此，所述网络包括但 不限于互联网、广域网、城域网、局域网、VPN网络、无线自组织网 络(Ad Hoc网络)等；网络安全设备1与多业务系统之间的通信方 式包括但不限于基于诸如TCP/IP协议、UDP协议等的分组数据传输。 本领域技术人员应能理解上述网络安全设备1、多业务系统以及连接 其间的网络、通信方式仅为举例，其他现有的或今后可能出现的网络 安全设备、多业务系统或网络、通信方式如可适用于本发明，也应包 含在本发明保护范围以内，并在此以引用方式包含于此。

攻击检测装置11根据预置的DDoS攻击触发条件，检测与多业 务系统相对应的网络访问流量中是否存在DDoS攻击。具体地，攻击 检测装置11根据预置的DDoS攻击触发条件，如与所述多业务系统 相对应的网络访问流量中存在符合DDoS攻击特征的数据包、与所述 多业务系统中一个或多个业务相对应的网络访问流量中存在符合 DDoS攻击特征的数据包、所述多业务系统中一个或多个业务存在与 DDoS攻击行为相关的性能变化信息，检测对应于该多业务系统的网 络访问流量中是否存在DDoS攻击。例如，攻击检测装置11检测到 该多业务系统的网络访问流量中存在符合DDoS攻击特征的数据包， 如超过一定数量预置的SYN数据包或UDP数据包，则确定对应于该 多业务系统的网络访问流量中是否存在DDoS攻击。又如，攻击检测 装置11检测到该多业务系统中一个或多个业务相对应的网络访问流 量中存在符合DDoS攻击特征的数据包，如超过一定数量预置的SYN 数据包或UDP数据包，则确定对应于该多业务系统的网络访问流量 中是否存在DDoS攻击。再如，攻击检测装置11检测到该多业务系 统中一个或多个业务存在与DDoS攻击行为相关的性能变化信息，如 超过一定数量预置的访问请求超时或服务器可用资源低于资源阈值， 则确定对应于该多业务系统的网络访问流量中是否存在DDoS攻击。 本领域技术人员应能理解上述检测DDoS攻击的方式仅为举例，其他 现有的或今后可能出现的检测DDoS攻击的方式如可适用于本发明， 也应包含在本发明保护范围以内，并在此以引用方式包含于此。优选 地，所述攻击检测装置11不仅可以针对该多业务系统集中部署，也 可以针对该多业务系统中的各个业务子系统分别部署攻击检测前端， 其中，这些分别部署的攻击检测前端通过网络与攻击检测装置11相 连接，并由攻击检测装置11汇总这些攻击检测前端所报告的针对不 同业务子系统的DDoS攻击检测结果，以确定该多业务系统的网络访 问流量中是否存在DDoS攻击。在此，这些攻击检测前端的实现方式 与前述攻击检测装置11基本相同，为简便起见，不再赘述，并引用 的方式包含于此。本领域技术人员应能理解上述部署攻击检测装置的 方式仅为举例，其他现有的或今后可能出现的部署攻击检测装置的方 式如可适用于本发明，也应包含在本发明保护范围以内，并在此以引 用方式包含于此。

当存在所述DDoS攻击时，目标确定装置12根据所述DDoS攻 击所对应的所述DDoS攻击触发条件，确定所述DDoS攻击所指向的 目标业务。具体地，当攻击检测装置11确定存在DDoS攻击时，目 标确定装置12根据攻击检测装置11所确定的DDoS攻击触发条件， 如与所述多业务系统相对应的网络访问流量中存在符合DDoS攻击特 征的数据包、与所述多业务系统中一个或多个业务相对应的网络访问 流量中存在符合DDoS攻击特征的数据包、所述多业务系统中一个或 多个业务存在与DDoS攻击行为相关的性能变化信息，确定该DDoS 攻击所指向的目标业务。例如，当攻击检测装置11所确定的DDoS 攻击触发条件为与所述多业务系统相对应的网络访问流量中存在符 合DDoS攻击特征的数据包时，目标确定装置12通过诸如对这些符 合DDoS攻击特征的数据包进行深度包检测(Deep Packet Inspection， DPI)，获取这些数据包所指向的业务，从而确定该DDoS攻击所指向 的目标业务。又如，当攻击检测装置11所确定的DDoS攻击触发条 件为与所述多业务系统中一个或多个业务相对应的网络访问流量中 存在符合DDoS攻击特征的数据包时，目标确定装置12确定所述一 个或多个业务为该DDoS攻击所指向的目标业务。再如，当攻击检测 装置11所确定的DDoS攻击触发条件为所述多业务系统中一个或多 个业务存在与DDoS攻击行为相关的性能变化信息时，目标确定装置 12确定所述一个或多个业务为该DDoS攻击所指向的目标业务。在 此，所述目标业务包括所述多业务系统中该DDoS所指向的一个或多 个业务，即该一个或多个业务遭受该DDoS攻击。本领域技术人员应 能理解上述确定DDoS攻击所指向的目标业务的方式仅为举例，其他 现有的或今后可能出现的确定DDoS攻击所指向的目标业务的方式如 可适用于本发明，也应包含在本发明保护范围以内，并在此以引用方 式包含于此。

防御处理装置13根据所述目标业务的业务相关信息，对与所述 多业务系统相对应的网络访问流量中与所述目标业务相对应的网络 访问流量进行防御处理。具体地，防御处理装置13根据所述目标业 务的业务相关信息，如所述目标业务的访问标识信息、与所述目标业 务相对应的超链接的主机域信息、与所述目标业务相对应的标识序列 信息，通过所述多业务系统的入口网络设备，如所述多业务系统内部 的防火墙设备或其外部的路由器设备，在与所述多业务系统相对应的 网络访问流量中识别与所述目标业务相对应的网络访问流量，并对所 识别的网络访问流量进行防御处理，如直接丢弃所识别的网络访问流 量，或者通过旁路路由将其牵引并经清洗后回注至该多业务系统。例 如，防御处理装置13根据目标业务相对应的超链接的主机域(HOST) 信息，通过所述多业务系统的入口网络设备，如所述多业务系统内部 的防火墙设备或其外部的路由器设备，从与所述多业务系统相对应的 网络访问流量中，提取与所述主机域信息相匹配的网络访问流量，以 作为与所述目标业务相对应的网络访问流量，并通过旁路路由将其牵 引并经清洗后回注至该多业务系统。在此，所述业务相关信息可由网 络安全设备1通过该多业务系统中的相关设备等第三方设备所提供的 应用程序接口(API)或其他约定的通信方式，从第三方设备直接获 取，或者由网络安全设备1通过对该多业务系统的网络访问流量进行 统计分析获取。优选地，所述业务相关信息包括但不限于，以下至少任 一项：所述目标业务的访问标识信息、与所述目标业务相对应的超链 接的主机域信息、与所述目标业务相对应的标识序列信息。例如，所 述访问标识信息包括用于唯一标识所述目标业务的描述信息，如邮件 服务器的外网地址；当网络访问流量中包含该外网地址作为目的地址 时，则确定该网络访问流量指向该邮件服务器。又如，所述标识序列 信息是由不同业务在访问请求的头部插入的字符序列，如 COOKIE-ID，以防止请求欺骗；当网络访问流量的头部包含该 COOKIE-ID时，则确定该网络访问流量指向该邮件服务器。本领域 技术人员应能理解上述业务相关信息及其获取方式仅为举例，其他现 有的或今后可能出现的业务相关信息或其获取方式如可适用于本发 明，也应包含在本发明保护范围以内，并在此以引用方式包含于此。 本领域技术人员应能理解上述防御处理的方式仅为举例，其他现有的 或今后可能出现的防御处理的方式如可适用于本发明，也应包含在本 发明保护范围以内，并在此以引用方式包含于此。

优选地，攻击检测装置11、目标确定装置12和防御处理装置13 是持续不断工作的。具体地，攻击检测装置11根据预置的DDoS攻 击触发条件，检测与多业务系统相对应的网络访问流量中是否存在 DDoS攻击；当存在所述DDoS攻击时，目标确定装置12根据所述 DDoS攻击所对应的所述DDoS攻击触发条件，确定所述DDoS攻击 所指向的目标业务；防御处理装置13根据所述目标业务的业务相关 信息，对与所述多业务系统相对应的网络访问流量中与所述目标业务 相对应的网络访问流量进行防御处理。在此，本领域技术人员应理解 “持续”是指网络安全设备1的各装置分别按照设定的或实时调整的工 作模式要求进行DDoS攻击的检测、目标业务的确定和DDoS防御处 理，直至该攻击检测装置在较长时间内停止DDoS攻击的检测。

本领域技术人员应能理解，在此，攻击检测装置、目标确定装置 和防御处理装置仅为示例，在具体的实施例中，它们既可以是同一个 网络设备，也可以是通过网络连接的不同的网络设备；当它们是不同 网络设备时，这些不同网络设备间的网络连接与通信方式相互独立。 在此，所述网络设备包括但不限于网络主机、单个网络服务器、多个 网络服务器集或多个服务器构成的云。在此，云由基于云计算(Cloud  Computing)的大量计算机或网络服务器构成，其中，云计算是分布 式计算的一种，由一群松散耦合的计算机集组成的一个超级虚拟计算 机。在此，所述网络包括但不限于互联网、广域网、城域网、局域网、 VPN网络、无线自组织网络(Ad Hoc网络)等；网络设备间的通信 方式包括但不限于基于诸如TCP/IP协议、UDP协议等的分组数据传 输。

优选地，所述DDoS攻击触发条件包括以下至少任一项：

-与所述多业务系统相对应的网络访问流量中存在符合DDoS攻 击特征的数据包；

-与所述多业务系统中一个或多个业务相对应的网络访问流量中 存在符合DDoS攻击特征的数据包；

-所述多业务系统中一个或多个业务存在与DDoS攻击行为相关 的性能变化信息。

具体地，当DDoS攻击触发条件包括与所述多业务系统相对应的网络 访问流量中存在符合DDoS攻击特征的数据包，攻击检测装置11检 测到该多业务系统的网络访问流量中存在符合DDoS攻击特征的数据 包，如超过一定数量预置的SYN数据包或UDP数据包，则确定对应 于该多业务系统的网络访问流量中是否存在DDoS攻击。当DDoS攻 击触发条件包括与所述多业务系统中一个或多个业务相对应的网络 访问流量中存在符合DDoS攻击特征的数据包，攻击检测装置11检 测到该多业务系统中一个或多个业务相对应的网络访问流量中存在 符合DDoS攻击特征的数据包，如超过一定数量预置的SYN数据包 或UDP数据包，则确定对应于该多业务系统的网络访问流量中是否 存在DDoS攻击。当DDoS攻击触发条件包括所述多业务系统中一个 或多个业务存在与DDoS攻击行为相关的性能变化信息，攻击检测装 置11检测到该多业务系统中一个或多个业务存在与DDoS攻击行为 相关的性能变化信息，如超过一定数量预置的访问请求超时或服务器 可用资源低于资源阈值，则确定对应于该多业务系统的网络访问流量 中是否存在DDoS攻击。优选地，攻击检测装置11根据上述DDoS 攻击触发条件的任意组合，检测与多业务系统相对应的网络访问流量 中是否存在DDoS攻击。本领域技术人员应能理解上述DDoS攻击触 发条件仅为举例，其他现有的或今后可能出现的DDoS攻击触发条件 如可适用于本发明，也应包含在本发明保护范围以内，并在此以引用 方式包含于此。

图2示出根据本发明一个优选实施例的用于防御指向多业务系统 的DDoS攻击的设备示意图；其中，所述防御处理装置13包括牵引 单元131’、清洗单元132’和转发单元133’。

牵引单元131’根据所述目标业务的业务相关信息，对与所述多业 务系统相对应的网络访问流量中与所述目标业务相对应的网络访问 流量进行转发处理，以获得待清洗的原始访问流量。具体地，牵引单 元131’根据所述目标业务的业务相关信息，如所述目标业务的访问 标识信息、与所述目标业务相对应的超链接的主机域信息、与所述目 标业务相对应的标识序列信息，通过所述多业务系统的入口网络设 备，如所述多业务系统内部的防火墙设备或其外部的路由器设备，在 与所述多业务系统相对应的网络访问流量中识别与所述目标业务相 对应的网络访问流量，并对所识别的网络访问流量进行转发处理，以 获得待清洗的原始访问流量。

清洗单元132’根据所述DDoS攻击的攻击相关信息，对所述原始 访问流量进行清洗处理，以获得与所述原始访问流量相对应的清洁访 问流量。具体地，清洗单元132’根据所述DDoS攻击的攻击相关信息， 如所述DDoS攻击的流量信息、所述DDoS攻击的状态信息、所述 DDoS攻击的种类信息，对所述原始访问流量进行清洗处理，如保留 所述原始访问流量中正常数据包、丢弃所述原始访问流量中符合 DDoS攻击特征的数据包、将所述原始访问流量中符合DDoS攻击特 征的数据包转发至攻击数据包数据库、对所述原始访问流量中符合 DDoS攻击特征的访问链接进行复位处理，以获得与所述原始访问流 量相对应的清洁访问流量。在此，所述攻击相关信息可由网络安全设 备1通过诸如对所述原始访问流量进行深度包检测和/或统计分析获 得。例如，所述DDoS攻击的状态信息包括但不限于开始、持续、结 束等状态；所述DDoS攻击的种类信息包括但不限于ICMP洪泛攻击、 UDP洪泛攻击、SYN洪泛攻击等种类。本领域技术人员应能理解上 述攻击相关信息及其获取方式仅为举例，其他现有的或今后可能出现 的攻击相关信息或其获取方式如可适用于本发明，也应包含在本发明 保护范围以内，并在此以引用方式包含于此。本领域技术人员应能理 解上述清洗处理的方式仅为举例，其他现有的或今后可能出现的清洗 处理的方式如可适用于本发明，也应包含在本发明保护范围以内，并 在此以引用方式包含于此。

转发单元133’将所述清洁访问流量转发至所述多业务系统，以访 问所述目标业务。具体地，转发单元133’通过诸如一条或多条物理链 路，或多层转发等方式，将所述清洁访问流量转发至所述多业务系统， 以访问所述目标业务。本领域技术人员应能理解上述将清洁访问流量 转发至多业务系统的方式仅为举例，其他现有的或今后可能出现的将 清洁访问流量转发至多业务系统的方式如可适用于本发明，也应包含 在本发明保护范围以内，并在此以引用方式包含于此。

本领域技术人员应能理解，在此，牵引单元、清洗单元和转发单 元仅为示例，在具体的实施例中，它们既可以是同一个网络设备，也 可以是通过网络连接的不同的网络设备；当它们是不同网络设备时， 这些不同网络设备间的网络连接与通信方式相互独立。在此，所述网 络设备包括但不限于网络主机、单个网络服务器、多个网络服务器集 或多个服务器构成的云。在此，云由基于云计算(Cloud Computing) 的大量计算机或网络服务器构成，其中，云计算是分布式计算的一种， 由一群松散耦合的计算机集组成的一个超级虚拟计算机。在此，所述 网络包括但不限于互联网、广域网、城域网、局域网、VPN网络、无 线自组织网络(Ad Hoc网络)等；网络设备间的通信方式包括但不 限于基于诸如TCP/IP协议、UDP协议等的分组数据传输。

优选地，所述牵引单元131’还根据所述目标业务的业务相关信息， 确定与所述目标业务相对应的牵引策略信息；将所述牵引策略信息发送 至入口网络设备；接收自所述入口网络设备基于所述牵引策略所转发的 与所述目标业务相对应的网络访问流量，以获得所述原始访问流量。 具体地，所述牵引单元131’还根据所述目标业务的业务相关信息，如所 述目标业务的访问标识信息、与所述目标业务相对应的超链接的主机 域信息、与所述目标业务相对应的标识序列信息，确定与所述目标业 务相对应的牵引策略信息，如基于所述标识序列信息的应用层选路策 略；将所述牵引策略信息发送至入口网络设备，如所述多业务系统内部 的防火墙设备或其外部的路由器设备；接收自所述入口网络设备基于 所述牵引策略所转发的与所述目标业务相对应的网络访问流量，以获 得所述原始访问流量。例如，所述牵引单元131’根据与所述目标业务 相对应的超链接的主机域信息，确定基于主机域信息的传输层选路策 略作为牵引策略，并将该牵引策略发送至所述多业务系统外部的路由 器设备；接收自该路由器设备根据该牵引策略转发的网络访问流量， 以获得所述原始访问流量，其中，所述原始访问流量均具有与目标业 务相对应的主机域信息。在此，所述牵引策略包括但不限于基于各种 业务相关信息的网络层选路策略、传输层选路策略、应用层选路策略 等。本领域技术人员应能理解上述牵引策略及其获取方式仅为举例， 其他现有的或今后可能出现的牵引策略或其获取方式如可适用于本 发明，也应包含在本发明保护范围以内，并在此以引用方式包含于此。

优选地，所述清洗单元132’还根据所述攻击相关信息，确定与所 述原始访问流量相关的清洗策略信息；根据所述清洗策略信息，对所 述原始访问流量进行清洗处理，以获得所述清洁访问流量。具体地， 所述清洗单元132’还根据所述攻击相关信息，如所述DDoS攻击的流 量信息、所述DDoS攻击的状态信息、所述DDoS攻击的种类信息， 确定与所述原始访问流量相关的清洗策略信息，如串行清洗策略信息、 并行清洗策略信息、集群清洗策略信息、基于负载均衡的清洗策略信息； 根据所述清洗策略信息，对所述原始访问流量进行清洗处理，以获得 所述清洁访问流量。例如，当所述DDoS攻击的流量信息低于一定的 流量阈值时，所述清洗单元132’确定串行清洗策略信息；随着所述 DDoS攻击的流量信息逐步增大，超过该流量阈值时，所述清洗单元 132’改用并行清洗策略信息；随着所述DDoS攻击的流量信息进一步 增大，超过更高的流量阈值时，所述清洗单元132’启用集群清洗策略 信息。优选地，当所述清洗单元132’确定并行清洗策略信息或集群清 洗策略信息时，还可以同时采用基于负载均衡的清洗策略信息。类似 地，根据所述DDoS攻击的状态信息或种类信息的不同，所述清洗单 元132’也可以使用不同的清洗策略信息，例如白名单、黑名单、灰名 单的并行清洗策略信息。本领域技术人员应能理解上述清洗策略及其 获取方式仅为举例，其他现有的或今后可能出现的清洗策略或其获取 方式如可适用于本发明，也应包含在本发明保护范围以内，并在此以 引用方式包含于此。

优选地，该设备还包括回注装置(未示出)，该回注装置根据所述 目标业务的业务相关信息，确定与所述目标业务相对应的回注策略，并 将所述回注策略发送至与所述目标业务相对应的回注网络设备；其中， 所述转发单元133’还将所述清洁访问流量转发至所述回注网络设备。 具体地，该回注装置根据所述目标业务的业务相关信息，如所述目标业 务的访问标识信息、与所述目标业务相对应的超链接的主机域信息、 与所述目标业务相对应的标识序列信息，确定与所述目标业务相对应 的回注策略，如基于所述标识序列信息的应用层回注策略，并将所述回 注策略发送至与所述目标业务相对应的回注网络设备；其中，所述转发 单元133’还将所述清洁访问流量转发至所述回注网络设备，以供所述 回注网络设备根据所述回注策略将所述清洁访问流量提供给所述目标 业务。例如，所述回注装置根据与所述目标业务相对应的超链接的主 机域信息，确定基于主机域信息的传输层回注策略作为回注策略，并 将所述回注策略发送至与所述目标业务相对应的回注网络设备；其中， 所述转发单元133’还将所述清洁访问流量转发至所述回注网络设备， 以供所述回注网络设备根据所述回注策略将所述清洁访问流量提供给 所述目标业务。在此，所述回注策略包括但不限于基于各种业务相关 信息的网络层回注策略、传输层回注策略、应用层回注策略等。本领 域技术人员应能理解上述回注策略及其获取方式仅为举例，其他现有 的或今后可能出现的回注策略或其获取方式如可适用于本发明，也应 包含在本发明保护范围以内，并在此以引用方式包含于此。

图3示出根据本发明另一个方面的用于防御指向多业务系统的 DDoS攻击的方法流程图。

在步骤S1中，网络安全设备1根据预置的DDoS攻击触发条件， 检测与多业务系统相对应的网络访问流量中是否存在DDoS攻击。具 体地，在步骤S1中，网络安全设备1根据预置的DDoS攻击触发条 件，如与所述多业务系统相对应的网络访问流量中存在符合DDoS攻 击特征的数据包、与所述多业务系统中一个或多个业务相对应的网络 访问流量中存在符合DDoS攻击特征的数据包、所述多业务系统中一 个或多个业务存在与DDoS攻击行为相关的性能变化信息，检测对应 于该多业务系统的网络访问流量中是否存在DDoS攻击。例如，在步 骤S1中，网络安全设备1检测到该多业务系统的网络访问流量中存 在符合DDoS攻击特征的数据包，如超过一定数量预置的SYN数据 包或UDP数据包，则确定对应于该多业务系统的网络访问流量中是 否存在DDoS攻击。又如，在步骤S1中，网络安全设备1检测到该 多业务系统中一个或多个业务相对应的网络访问流量中存在符合 DDoS攻击特征的数据包，如超过一定数量预置的SYN数据包或UDP 数据包，则确定对应于该多业务系统的网络访问流量中是否存在 DDoS攻击。再如，在步骤S1中，网络安全设备1检测到该多业务系 统中一个或多个业务存在与DDoS攻击行为相关的性能变化信息，如 超过一定数量预置的访问请求超时或服务器可用资源低于资源阈值， 则确定对应于该多业务系统的网络访问流量中是否存在DDoS攻击。 本领域技术人员应能理解上述检测DDoS攻击的方式仅为举例，其他 现有的或今后可能出现的检测DDoS攻击的方式如可适用于本发明， 也应包含在本发明保护范围以内，并在此以引用方式包含于此。优选 地，在步骤S1中，网络安全设备1不仅可以针对该多业务系统集中 执行攻击检测步骤，也可以针对该多业务系统中的各个业务子系统分 别执行攻击检测子步骤，其中，网络安全设备1在步骤S1中汇总这 些攻击检测子步骤所报告的针对不同业务子系统的DDoS攻击检测结 果，以确定该多业务系统的网络访问流量中是否存在DDoS攻击。在 此，这些攻击检测子步骤的实现方式与前述步骤S1的实现方式基本 相同，为简便起见，不再赘述，并引用的方式包含于此。本领域技术 人员应能理解上述部署攻击检测装置的方式仅为举例，其他现有的或 今后可能出现的部署攻击检测装置的方式如可适用于本发明，也应包 含在本发明保护范围以内，并在此以引用方式包含于此。

当存在所述DDoS攻击时，在步骤S2中，网络安全设备1根据 所述DDoS攻击所对应的所述DDoS攻击触发条件，确定所述DDoS 攻击所指向的目标业务。具体地，当在步骤S1中，网络安全设备1 确定存在DDoS攻击时，在步骤S2中，网络安全设备1根据在步骤 S1中所确定的DDoS攻击触发条件，如与所述多业务系统相对应的网 络访问流量中存在符合DDoS攻击特征的数据包、与所述多业务系统 中一个或多个业务相对应的网络访问流量中存在符合DDoS攻击特征 的数据包、所述多业务系统中一个或多个业务存在与DDoS攻击行为 相关的性能变化信息，确定该DDoS攻击所指向的目标业务。例如， 当在步骤S1中，网络安全设备1所确定的DDoS攻击触发条件为与 所述多业务系统相对应的网络访问流量中存在符合DDoS攻击特征的 数据包时，在步骤S2中，网络安全设备1通过诸如对这些符合DDoS 攻击特征的数据包进行深度包检测(Deep Packet Inspection，DPI)， 获取这些数据包所指向的业务，从而确定该DDoS攻击所指向的目标 业务。又如，当在步骤S1中，网络安全设备1所确定的DDoS攻击 触发条件为与所述多业务系统中一个或多个业务相对应的网络访问 流量中存在符合DDoS攻击特征的数据包时，在步骤S2中，网络安 全设备1确定所述一个或多个业务为该DDoS攻击所指向的目标业 务。再如，当在步骤S1中，网络安全设备1所确定的DDoS攻击触 发条件为所述多业务系统中一个或多个业务存在与DDoS攻击行为相 关的性能变化信息时，在步骤S2中，网络安全设备1确定所述一个 或多个业务为该DDoS攻击所指向的目标业务。在此，所述目标业务 包括所述多业务系统中该DDoS所指向的一个或多个业务，即该一个 或多个业务遭受该DDoS攻击。本领域技术人员应能理解上述确定 DDoS攻击所指向的目标业务的方式仅为举例，其他现有的或今后可 能出现的确定DDoS攻击所指向的目标业务的方式如可适用于本发 明，也应包含在本发明保护范围以内，并在此以引用方式包含于此。

在步骤S3中，网络安全设备1根据所述目标业务的业务相关信 息，对与所述多业务系统相对应的网络访问流量中与所述目标业务相 对应的网络访问流量进行防御处理。具体地，在步骤S3中，网络安 全设备1根据所述目标业务的业务相关信息，如所述目标业务的访问 标识信息、与所述目标业务相对应的超链接的主机域信息、与所述目 标业务相对应的标识序列信息，通过所述多业务系统的入口网络设 备，如所述多业务系统内部的防火墙设备或其外部的路由器设备，在 与所述多业务系统相对应的网络访问流量中识别与所述目标业务相 对应的网络访问流量，并对所识别的网络访问流量进行防御处理，如 直接丢弃所识别的网络访问流量，或者通过旁路路由将其牵引并经清 洗后回注至该多业务系统。例如，在步骤S3中，网络安全设备1根 据目标业务相对应的超链接的主机域(HOST)信息，通过所述多业 务系统的入口网络设备，如所述多业务系统内部的防火墙设备或其外 部的路由器设备，从与所述多业务系统相对应的网络访问流量中，提 取与所述主机域信息相匹配的网络访问流量，以作为与所述目标业务 相对应的网络访问流量，并通过旁路路由将其牵引并经清洗后回注至 该多业务系统。在此，所述业务相关信息可由网络安全设备1通过该 多业务系统中的相关设备等第三方设备所提供的应用程序接口(API) 或其他约定的通信方式，从第三方设备直接获取，或者由网络安全设 备1通过对该多业务系统的网络访问流量进行统计分析获取。优选地， 所述业务相关信息包括但不限于，以下至少任一项：所述目标业务的访 问标识信息、与所述目标业务相对应的超链接的主机域信息、与所述 目标业务相对应的标识序列信息。例如，所述访问标识信息包括用于 唯一标识所述目标业务的描述信息，如邮件服务器的外网地址；当网 络访问流量中包含该外网地址作为目的地址时，则确定该网络访问流 量指向该邮件服务器。又如，所述标识序列信息是由不同业务在访问 请求的头部插入的字符序列，如COOKIE-ID，以防止请求欺骗；当 网络访问流量的头部包含该COOKIE-ID时，则确定该网络访问流量 指向该邮件服务器。本领域技术人员应能理解上述业务相关信息及其 获取方式仅为举例，其他现有的或今后可能出现的业务相关信息或其 获取方式如可适用于本发明，也应包含在本发明保护范围以内，并在 此以引用方式包含于此。本领域技术人员应能理解上述防御处理的方 式仅为举例，其他现有的或今后可能出现的防御处理的方式如可适用 于本发明，也应包含在本发明保护范围以内，并在此以引用方式包含 于此。

优选地，网络安全设备1中的各个步骤是持续不断工作的。具体 地，在步骤S1中，网络安全设备1根据预置的DDoS攻击触发条件， 检测与多业务系统相对应的网络访问流量中是否存在DDoS攻击；当 存在所述DDoS攻击时，在步骤S2中，网络安全设备1根据所述DDoS 攻击所对应的所述DDoS攻击触发条件，确定所述DDoS攻击所指向 的目标业务；在步骤S3中，网络安全设备1根据所述目标业务的业 务相关信息，对与所述多业务系统相对应的网络访问流量中与所述目 标业务相对应的网络访问流量进行防御处理。在此，本领域技术人员 应理解“持续”是指网络安全设备1的各步骤分别按照设定的或实时 调整的工作模式要求进行DDoS攻击的检测、目标业务的确定和 DDoS防御处理，直至该网络安全设备1在较长时间内停止DDoS攻 击的检测。

优选地，所述DDoS攻击触发条件包括以下至少任一项：

-与所述多业务系统相对应的网络访问流量中存在符合DDoS攻 击特征的数据包；

-与所述多业务系统中一个或多个业务相对应的网络访问流量中 存在符合DDoS攻击特征的数据包；

-所述多业务系统中一个或多个业务存在与DDoS攻击行为相关 的性能变化信息。

具体地，当DDoS攻击触发条件包括与所述多业务系统相对应的网络 访问流量中存在符合DDoS攻击特征的数据包，在步骤S1中，网络 安全设备1检测到该多业务系统的网络访问流量中存在符合DDoS攻 击特征的数据包，如超过一定数量预置的SYN数据包或UDP数据包， 则确定对应于该多业务系统的网络访问流量中是否存在DDoS攻击。 当DDoS攻击触发条件包括与所述多业务系统中一个或多个业务相对 应的网络访问流量中存在符合DDoS攻击特征的数据包，在步骤S1 中，网络安全设备1检测到该多业务系统中一个或多个业务相对应的 网络访问流量中存在符合DDoS攻击特征的数据包，如超过一定数量 预置的SYN数据包或UDP数据包，则确定对应于该多业务系统的网 络访问流量中是否存在DDoS攻击。当DDoS攻击触发条件包括所述 多业务系统中一个或多个业务存在与DDoS攻击行为相关的性能变化 信息，在步骤S1中，网络安全设备1检测到该多业务系统中一个或 多个业务存在与DDoS攻击行为相关的性能变化信息，如超过一定数 量预置的访问请求超时或服务器可用资源低于资源阈值，则确定对应 于该多业务系统的网络访问流量中是否存在DDoS攻击。优选地，在 步骤S1中，网络安全设备1根据上述DDoS攻击触发条件的任意组 合，检测与多业务系统相对应的网络访问流量中是否存在DDoS攻击。 本领域技术人员应能理解上述DDoS攻击触发条件仅为举例，其他现 有的或今后可能出现的DDoS攻击触发条件如可适用于本发明，也应 包含在本发明保护范围以内，并在此以引用方式包含于此。

图4示出根据本发明一个优选实施例的用于防御指向多业务系统 的DDoS攻击的方法流程图。

在步骤S31’中，网络安全设备1根据所述目标业务的业务相关信 息，对与所述多业务系统相对应的网络访问流量中与所述目标业务相 对应的网络访问流量进行转发处理，以获得待清洗的原始访问流量。 具体地，在步骤S31’中，网络安全设备1根据所述目标业务的业务相 关信息，如所述目标业务的访问标识信息、与所述目标业务相对应的 超链接的主机域信息、与所述目标业务相对应的标识序列信息，通过 所述多业务系统的入口网络设备，如所述多业务系统内部的防火墙设 备或其外部的路由器设备，在与所述多业务系统相对应的网络访问流 量中识别与所述目标业务相对应的网络访问流量，并对所识别的网络 访问流量进行转发处理，以获得待清洗的原始访问流量。

在步骤S32’中，网络安全设备1根据所述DDoS攻击的攻击相关 信息，对所述原始访问流量进行清洗处理，以获得与所述原始访问流 量相对应的清洁访问流量。具体地，在步骤S32’中，网络安全设备1 根据所述DDoS攻击的攻击相关信息，如所述DDoS攻击的流量信息、 所述DDoS攻击的状态信息、所述DDoS攻击的种类信息，对所述原 始访问流量进行清洗处理，如保留所述原始访问流量中正常数据包、 丢弃所述原始访问流量中符合DDoS攻击特征的数据包、将所述原始 访问流量中符合DDoS攻击特征的数据包转发至攻击数据包数据库、 对所述原始访问流量中符合DDoS攻击特征的访问链接进行复位处 理，以获得与所述原始访问流量相对应的清洁访问流量。在此，所述 攻击相关信息可由网络安全设备1通过诸如对所述原始访问流量进行 深度包检测和/或统计分析获得。例如，所述DDoS攻击的状态信息包 括但不限于开始、持续、结束等状态；所述DDoS攻击的种类信息包 括但不限于ICMP洪泛攻击、UDP洪泛攻击、SYN洪泛攻击等种类。 本领域技术人员应能理解上述攻击相关信息及其获取方式仅为举例， 其他现有的或今后可能出现的攻击相关信息或其获取方式如可适用 于本发明，也应包含在本发明保护范围以内，并在此以引用方式包含 于此。本领域技术人员应能理解上述清洗处理的方式仅为举例，其他 现有的或今后可能出现的清洗处理的方式如可适用于本发明，也应包 含在本发明保护范围以内，并在此以引用方式包含于此。

在步骤S33’中，网络安全设备1将所述清洁访问流量转发至所述 多业务系统，以访问所述目标业务。具体地，在步骤S33’中，网络安 全设备1通过诸如一条或多条物理链路，或多层转发等方式，将所述 清洁访问流量转发至所述多业务系统，以访问所述目标业务。本领域 技术人员应能理解上述将清洁访问流量转发至多业务系统的方式仅 为举例，其他现有的或今后可能出现的将清洁访问流量转发至多业务 系统的方式如可适用于本发明，也应包含在本发明保护范围以内，并 在此以引用方式包含于此。

优选地，在步骤S31’中，网络安全设备1还根据所述目标业务的 业务相关信息，确定与所述目标业务相对应的牵引策略信息；将所述牵 引策略信息发送至入口网络设备；接收自所述入口网络设备基于所述牵 引策略所转发的与所述目标业务相对应的网络访问流量，以获得所述 原始访问流量。具体地，在步骤S31’中，网络安全设备1还根据所述 目标业务的业务相关信息，如所述目标业务的访问标识信息、与所述 目标业务相对应的超链接的主机域信息、与所述目标业务相对应的标 识序列信息，确定与所述目标业务相对应的牵引策略信息，如基于所述 标识序列信息的应用层选路策略；将所述牵引策略信息发送至入口网络 设备，如所述多业务系统内部的防火墙设备或其外部的路由器设备； 接收自所述入口网络设备基于所述牵引策略所转发的与所述目标业务 相对应的网络访问流量，以获得所述原始访问流量。例如，在步骤 S31’中，网络安全设备1根据与所述目标业务相对应的超链接的主机 域信息，确定基于主机域信息的传输层选路策略作为牵引策略，并将 该牵引策略发送至所述多业务系统外部的路由器设备；接收自该路由 器设备根据该牵引策略转发的网络访问流量，以获得所述原始访问流 量，其中，所述原始访问流量均具有与目标业务相对应的主机域信息。 在此，所述牵引策略包括但不限于基于各种业务相关信息的网络层选 路策略、传输层选路策略、应用层选路策略等。本领域技术人员应能 理解上述牵引策略及其获取方式仅为举例，其他现有的或今后可能出 现的牵引策略或其获取方式如可适用于本发明，也应包含在本发明保 护范围以内，并在此以引用方式包含于此。

优选地，在步骤S32’中，网络安全设备1还根据所述攻击相关信 息，确定与所述原始访问流量相关的清洗策略信息；根据所述清洗策 略信息，对所述原始访问流量进行清洗处理，以获得所述清洁访问流 量。具体地，在步骤S32’中，网络安全设备1还根据所述攻击相关信 息，如所述DDoS攻击的流量信息、所述DDoS攻击的状态信息、所 述DDoS攻击的种类信息，确定与所述原始访问流量相关的清洗策略 信息，如串行清洗策略信息、并行清洗策略信息、集群清洗策略信息、 基于负载均衡的清洗策略信息；根据所述清洗策略信息，对所述原始 访问流量进行清洗处理，以获得所述清洁访问流量。例如，当所述 DDoS攻击的流量信息低于一定的流量阈值时，在步骤S32’中，网络 安全设备1确定串行清洗策略信息；随着所述DDoS攻击的流量信息 逐步增大，超过该流量阈值时，在步骤S32’中，网络安全设备1改用 并行清洗策略信息；随着所述DDoS攻击的流量信息进一步增大，超 过更高的流量阈值时，在步骤S32’中，网络安全设备1启用集群清洗 策略信息。优选地，在步骤S32’中，当网络安全设备1确定并行清洗 策略信息或集群清洗策略信息时，还可以同时采用基于负载均衡的清 洗策略信息。类似地，根据所述DDoS攻击的状态信息或种类信息的 不同，在步骤S32’中，网络安全设备1也可以使用不同的清洗策略信 息，例如白名单、黑名单、灰名单的并行清洗策略信息。本领域技术 人员应能理解上述清洗策略及其获取方式仅为举例，其他现有的或今 后可能出现的清洗策略或其获取方式如可适用于本发明，也应包含在 本发明保护范围以内，并在此以引用方式包含于此。

优选地，在步骤S4’中(未示出)，网络安全设备1还根据所述目标 业务的业务相关信息，确定与所述目标业务相对应的回注策略，并将所 述回注策略发送至与所述目标业务相对应的回注网络设备；随后，在步 骤S33’中，网络安全设备1还将所述清洁访问流量转发至所述回注网 络设备。具体地，在步骤S4’中，网络安全设备1根据所述目标业务的 业务相关信息，如所述目标业务的访问标识信息、与所述目标业务相 对应的超链接的主机域信息、与所述目标业务相对应的标识序列信 息，确定与所述目标业务相对应的回注策略，如基于所述标识序列信息 的应用层回注策略，并将所述回注策略发送至与所述目标业务相对应的 回注网络设备；随后，在步骤S33’中，网络安全设备1还将所述清洁 访问流量转发至所述回注网络设备，以供所述回注网络设备根据所述回 注策略将所述清洁访问流量提供给所述目标业务。例如，在步骤S4’中， 网络安全设备1根据与所述目标业务相对应的超链接的主机域信息， 确定基于主机域信息的传输层回注策略作为回注策略，并将所述回注 策略发送至与所述目标业务相对应的回注网络设备；随后，在步骤S33’ 中，网络安全设备1还将所述清洁访问流量转发至所述回注网络设备， 以供所述回注网络设备根据所述回注策略将所述清洁访问流量提供给 所述目标业务。在此，所述回注策略包括但不限于基于各种业务相关 信息的网络层回注策略、传输层回注策略、应用层回注策略等。本领 域技术人员应能理解上述回注策略及其获取方式仅为举例，其他现有 的或今后可能出现的回注策略或其获取方式如可适用于本发明，也应 包含在本发明保护范围以内，并在此以引用方式包含于此。

对于本领域技术人员而言，显然本发明不限于上述示范性实施例 的细节，而且在不背离本发明的精神或基本特征的情况下，能够以其 他的具体形式实现本发明。因此，无论从哪一点来看，均应将实施例 看作是示范性的，而且是非限制性的，本发明的范围由所附权利要求 而不是上述说明限定，因此旨在将落在权利要求的等同要件的含义和 范围内的所有变化涵括在本发明内。不应将权利要求中的任何附图标 记视为限制所涉及的权利要求。此外，显然“包括”一词不排除其他 单元或步骤，单数不排除复数。装置权利要求中陈述的多个单元或装 置也可以由一个单元或装置通过软件或者硬件来实现。第一，第二等 词语用来表示名称，而并不表示任何特定的顺序。