一种基于多链路端云联动模式的DDoS攻击防御方法及系统

摘要

本发明公开一种基于多链路端云联动模式的DDoS攻击防御方法及系统，接收用户侧发送的域名配置请求；域名配置请求用于请求与本地安全监控终端和高防清洗节点之间建立双链路连接；获取域名配置请求包含的IP地址信息，配置用户侧的业务链路IP和域名；用户侧通过业务链路IP和对应的域名DNS接口进行业务访问时，利用本地安全监控终端监测用户侧的网络状况；当确定DDoS攻击导致网络流量异常，向云控制中心上报异常通知，当DDoS攻击异常流量数据达到预设阈值开启切换业务链路IP至高防链路IP的云清洗防御机制，对异常流量进行清洗直到判断流量正常，触发切换回业务链路IP。上述方案的提出解决了端云协调防御中本地网端硬件投入价值高，业务中断分钟级切换的问题。

说明书

技术领域

本发明涉及计算机技术领域，具体涉及一种基于多链路端云联动模式的DDoS攻击防御方法及系统。

背景技术

现有高防模式分为三种：

1.云防：即使用域名服务商提的CName将用户公网IP指定为具备大流量清洗能力的高防代理IP，由公有云等云端服务商提供的设备清洗完攻击流量后，再将正常请求流量回源至业务服务器，最后将业务请求的数据通过高防代理IP返回至请求的正常用户，完成业务流闭环。

云防的优势和问题：灵活的业务模式，可按时长、流量大小、峰谷等混合场景应用，对网络延时要求大于50ms以上的互联网业务可以匹配，可以防御最大达2T/s的流量攻击。初始投入低，长期使用投入资金特别高，特别是大流量攻击、清算方式不透明，容易产生业务纠纷。

2.本地防：即本地拥有大流量清洗的设备放置于业务服务器前端，通过本地设备完成流程的清洗，并通过内网网络完成业务闭环。本地防优势和问题：初始投入大，根据实际攻击大小增加硬件规模，适用网络延时小于50ms的互联网业务，例如银行等金融行业，并具备本地策略技术人员24小时支撑，大部分企业不具备投入规模和技术能力。

3.端云协同：即在本地网放置小流量精细清洗设备，当本地端清洗能力无法满足需求时，通过业务调度将流量牵引至云端大流量清洗，结合了本地防和云防两种业务能力。端云协同优势和问题：对本地测有高价值硬件投入要求，当瞬间流量大于本地处理能力设备满载且网络已经造成业务中断，再触发云端CName切换高防IP，进入云清洗流程，一定程度上依赖技术分钟级的业务切换，对可中断重连的互联网业务可适用。

以上三种高防模式导致的在端云协调防御中，本地网端硬件投入高、业务中断切换困难等问题。

发明内容

针对现有技术中存在的缺陷和不足，本发明提出的一种基于多链路端云联动模式的DDoS攻击防御方法及系统，解决了在端云协调防御中采用当前高防模式导致的本地网端硬件投入高、业务中断切换困难等问题。

为实现上述目的，本发明的技术方案如下：

一种基于多链路端云联动模式的DDoS攻击防御方法，所述方法包括：

接收用户侧发送的域名配置请求；其中，所述域名配置请求用于请求与本地安全监控终端和高防清洗节点之间建立双链路连接；

获取域名配置请求包含的IP地址信息，配置所述用户侧的业务链路IP和域名；

用户侧通过业务链路IP和对应的域名DNS接口进行业务访问时，利用本地安全监控终端监测用户侧的网络状况；

当确定DDoS攻击导致网络流量异常，向云控制中心上报异常通知；

当DDoS攻击异常流量数据达到预设阈值，通过开启切换业务链路IP至高防链路IP的云清洗防御机制，对异常流量进行清洗；

直到本地安全监控终端判断流量正常，触发切换回业务链路IP。

优选的，所述利用本地安全监控终端监测用户侧的网络状况包括：

本地安全监控终端实时监控用户侧通过业务链路IP和对应的域名DNS接口进入内部网络的网络状态；

识别用户侧向业务服务器发送错误操作指令或者非法访问的DDoS攻击，导致网络状态发生异常时，捕获网络状态发生异常的流量数据。

优选的，所述当确定DDoS攻击导致网络流量异常，向云控制中心上报异常通知包括：

获取异常流量数据的ID信息，将符合异常流量数据的ID信息的数据包作为异常流量数据包样本，分析异常流量特征，将所述异常流量数据包样本和异常流量特征打包成DDoS攻击异常流量数据，发送至云控制中心。

优选的，所述开启切换业务链路和高防链路IP的云清洗防御机制，对异常流量进行清洗包括：

云控制中心利用域名DNS接口启用高防链路IP对应的高防清洗节点；

当确定高防清洗节点所清洗的DDoS攻击异常流量数据超过预设流量阈值时，获取清洗节点所清洗的DDoS攻击异常流量对应的对象；

从当前流量未超出预设流量阈值的高防清洗节点中选择所述对象就近的近源清洗节点，将所选择的近源清洗节点上配置的高防链路IP地址信息发送给用户侧。

进一步地，所述当前可用的高防清洗节点，用于在接收到所述用户的业务访问请求时，基于当前使用的云清洗防御机制，对所述业务访问请求进行流量清洗，并确定所述业务访问请求是否为正常请求，如果是，则将所述业务访问请求发送给云控制中心，并接收所述云控制中心返回的响应数据，将所述云控制中心返回的响应数据返回给所述用户侧。

优选的，所述对异常流量进行清洗之后还包括：当用户侧基于所述当前可用高防清洗节点的业务链路IP地址再次发起业务访问时，利用本地安全监控终端监测用户侧的网络状况。

一种基于多链路端云联动模式的DDoS攻击防御系统，包括：

接收模块，用于接收用户侧发送的域名配置请求；其中，所述域名配置请求用于请求与本地安全监控终端和高防清洗节点之间建立双链路连接；

配置模块，用于获取域名配置请求包含的IP地址信息，配置所述用户侧的业务链路IP和域名；

检测模块，用于用户侧通过业务链路IP和对应的域名DNS接口进行业务访问时，利用本地安全监控终端监测用户侧的网络状况；

告警模块，用于当确定DDoS攻击导致网络流量异常，向云控制中心上报异常通知；

处理模块，用于当DDoS攻击异常流量数据达到预设阈值，开启切换业务链路IP至高防链路IP的云清洗防御机制，对异常流量进行清洗；直到本地安全监控终端判断流量正常，触发切换回业务链路IP。

优选的，所述检测模块包括：

监控单元，用于实时监控用户侧通过业务链路IP和对应的域名DNS接口进入内部网络的网络状态；

辨识单元，用于识别用户侧向业务服务器发送错误操作指令或者非法访问的DDoS攻击，导致网络状态发生异常时，捕获网络状态发生异常的流量数据。

优选的，所述告警模块包括：

定义单元，用于获取异常流量数据的ID信息，将符合异常流量数据的ID信息的数据包作为异常流量数据包样本；

数据发送单元，用于分析异常流量特征，将所述异常流量数据包样本和异常流量特征打包成DDoS攻击异常流量数据，发送至云控制中心。

优选的，所述处理模块包括：

启用单元，用于云控制中心利用域名DNS接口启用高防链路IP对应的高防清洗节点；

获取单元，用于当确定高防清洗节点所清洗的DDoS攻击异常流量数据超过预设流量阈值时，获取清洗节点所清洗的DDoS攻击异常流量对应的对象；

选取单元，用于从当前流量未超出预设流量阈值的高防清洗节点中选择所述对象就近的近源清洗节点，将所选择的近源清洗节点上配置的高防链路IP地址信息发送给用户侧；

切换单元，用于当用户侧基于所述当前可用高防清洗节点的业务链路IP地址再次发起业务访问时，利用本地安全监控终端监测用户侧的网络状况；直到本地安全监控终端判断流量正常，触发切换回业务链路IP。

本发明的有益效果体现在：

本发明提供的一种基于多链路端云联动模式的DDoS攻击防御方法及系统，接收用户侧发送的域名配置请求；获取域名配置请求包含的IP地址信息，配置所述用户侧的业务链路IP和域名；用户侧通过业务链路IP和对应的域名DNS接口进行业务访问时，利用本地安全监控终端监测用户侧的网络状况；当确定DDoS攻击导致网络流量异常，向云控制中心上报异常通知；利用本地安全监控终端进行流量监控，并在网关上实现4G/5G等非公网IP的网络保障。

当DDoS攻击异常流量数据达到预设阈值，开启切换业务链路IP至高防链路IP的云清洗防御机制，对异常流量进行清洗；直到本地安全监控终端判断流量正常，触发切换回业务链路IP。解决了端云协调防御中本地网端硬件投入价值高，业务中断分钟级切换的问题。利用端和云的控制API完成业务秒级切换，降低业务中断、高投入问题，适用没有安全投入规模的中小企业，具备更广泛的社会价值。

附图说明

为了更清楚地说明本发明具体实施方式或现有技术中的技术方案，下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍。在所有附图中，类似的元件或部分一般由类似的附图标记标识。附图中，各元件或部分并不一定按照实际的比例绘制。

图1为本发明具体实施方式中的一种基于多链路端云联动模式的DDoS攻击防御方法流程图；

图2本发明具体实施方式中的基于多链路端云联动模式的DDoS攻击防御方法的示意图；

图3为图2所示的基于多链路端云联动模式的DDoS攻击防御方法的框图。

具体实施方式

下面将结合附图对本发明技术方案的实施例进行详细的描述。以下实施例仅用于更加清楚地说明本发明的技术方案，因此只作为示例，而不能以此来限制本发明的保护范围。

需要注意的是，除非另有说明，本申请使用的技术术语或者科学术语应当为本发明所属领域技术人员所理解的通常意义。

本发明具体实施方式提供如图2和图3所示的基于多链路端云联动模式的DDoS攻击防御方法，主要包括以下步骤：图2和图3中的编号①～⑨分别代表下述步骤1～9对应的内容。

1、前提准备，配置双IP(IP：A、IP：B)和域名(域名X)DNS，确认本地安全监控终端和云高防清洗节点间4G网络、互联网双链路心跳正常；

2、安全监控终端确认链路IP：A到达流量正常状态；

3、安全监控终端确认业务真实服务器状态；

4、互联网攻击触发异常流量，并通过域名到达内部网络，导致IP：A线路堵塞；

5、安全监控终端监控发现异常流量；

6、安全监控终端启动4G通道流量监控，并通知云控制中心；

7、云控制中心利用DNS接口启用高防IP：B；

8、域名DNS切换并开始引流至高防清洗节点；

9、清洗节点完成清洗并引流至用户侧网络；

10、安全监控终端判断流量结束，触发链路切换回普通链路IP：A。

如图1所示，上述方法的具体执行过程包括：

S1接收用户侧发送的域名配置请求；其中，所述域名配置请求用于请求与本地安全监控终端和高防清洗节点之间建立双链路连接；

S2获取域名配置请求包含的IP地址信息，配置所述用户侧的业务链路IP和域名；

S3用户侧通过业务链路IP和对应的域名DNS接口进行业务访问时，利用本地安全监控终端监测用户侧的网络状况；

S4当确定DDoS攻击导致网络流量异常，向云控制中心上报异常通知；

S5当DDoS攻击异常流量数据达到预设阈值，开启切换业务链路IP至高防链路IP的云清洗防御机制，对异常流量进行清洗；直到本地安全监控终端判断流量正常，触发切换回业务链路IP。

步骤S2中，利用本地安全监控终端监测用户侧的网络状况包括：

本地安全监控终端实时监控用户侧通过业务链路IP和对应的域名DNS接口进入内部网络的网络状态；

识别用户侧向业务服务器发送错误操作指令或者非法访问的DDoS攻击，导致网络状态发生异常时，捕获网络状态发生异常的流量数据。

步骤S4中，所述当确定DDoS攻击导致网络流量异常，向云控制中心上报异常通知包括：

获取异常流量数据的ID信息，将符合异常流量数据的ID信息的数据包作为异常流量数据包样本，分析异常流量特征，将所述异常流量数据包样本和异常流量特征打包成DDoS攻击异常流量数据，发送至云控制中心。

步骤S5中，开启切换业务链路和高防链路IP的云清洗防御机制，对异常流量进行清洗包括：

云控制中心利用域名DNS接口启用高防链路IP对应的高防清洗节点；

当确定高防清洗节点所清洗的DDoS攻击异常流量数据超过预设流量阈值时，获取清洗节点所清洗的DDoS攻击异常流量对应的对象；

从当前流量未超出预设流量阈值的高防清洗节点中选择所述对象就近的近源清洗节点，将所选择的近源清洗节点上配置的高防链路IP地址信息发送给用户侧。

其中，当前可用的高防清洗节点用于在接收到所述用户的业务访问请求时，基于当前使用的云清洗防御机制，对所述业务访问请求进行流量清洗，并确定所述业务访问请求是否为正常请求，如果是，则将所述业务访问请求发送给云控制中心，并接收所述云控制中心返回的响应数据，将所述云控制中心返回的响应数据返回给所述用户侧。

在步骤S5中的对异常流量进行清洗之后，直到本地安全监控终端判断流量正常，触发切换回业务链路IP之前还包括：当用户侧基于所述当前可用高防清洗节点的业务链路IP地址再次发起业务访问时，利用本地安全监控终端监测用户侧的网络状况。

基于同一技术构思，本发明具体实施方式还提供一种基于多链路端云联动模式的DDoS攻击防御系统，包括：

接收模块，用于接收用户侧发送的域名配置请求；其中，所述域名配置请求用于请求与本地安全监控终端和高防清洗节点之间建立双链路连接；

配置模块，用于获取域名配置请求包含的IP地址信息，配置所述用户侧的业务链路IP和域名；

检测模块，用于用户侧通过业务链路IP和对应的域名DNS接口进行业务访问时，利用本地安全监控终端监测用户侧的网络状况；

告警模块，用于当确定DDoS攻击导致网络流量异常，向云控制中心上报异常通知；

处理模块，用于当DDoS攻击异常流量数据达到预设阈值，开启切换业务链路IP至高防链路IP的云清洗防御机制，对异常流量进行清洗；直到本地安全监控终端判断流量正常，触发切换回业务链路IP。

其中，检测模块包括：

监控单元，用于实时监控用户侧通过业务链路IP和对应的域名DNS接口进入内部网络的网络状态；

辨识单元，用于识别用户侧向业务服务器发送错误操作指令或者非法访问的DDoS攻击，导致网络状态发生异常时，捕获网络状态发生异常的流量数据。

告警模块包括：

定义单元，用于获取异常流量数据的ID信息，将符合异常流量数据的ID信息的数据包作为异常流量数据包样本；

数据发送单元，用于分析异常流量特征，将所述异常流量数据包样本和异常流量特征打包成DDoS攻击异常流量数据，发送至云控制中心。

处理模块包括：

启用单元，用于云控制中心利用域名DNS接口启用高防链路IP对应的高防清洗节点；

获取单元，用于当确定高防清洗节点所清洗的DDoS攻击异常流量数据超过预设流量阈值时，获取清洗节点所清洗的DDoS攻击异常流量对应的对象；

选取单元，用于从当前流量未超出预设流量阈值的高防清洗节点中选择所述对象就近的近源清洗节点，将所选择的近源清洗节点上配置的高防链路IP地址信息发送给用户侧；

切换单元，用于当用户侧基于所述当前可用高防清洗节点的业务链路IP地址再次发起业务访问时，利用本地安全监控终端监测用户侧的网络状况；直到本地安全监控终端判断流量正常，触发切换回业务链路IP。

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

最后应当说明的是：以上实施例仅用以说明本发明的技术方案而非对其限制，尽管参照上述实施例对本发明进行了详细的说明，所属领域的普通技术人员应当理解：依然可以对本发明的具体实施方式进行修改或者等同替换，而未脱离本发明精神和范围的任何修改或者等同替换，其均应涵盖在本发明的权利要求保护范围之内。