CN107231339B - 一种DDoS攻击的检测方法以及装置 - Google Patents

Abstract

本申请公开一种DDoS攻击的检测方法，包括：获取待检测的域名和预设的虚拟IP地址；将所述域名分配到所述虚拟IP地址中的一组虚拟IP地址上，建立所述域名与所述虚拟IP地址的第一映射关系；所述第一映射关系中的每个虚拟IP地址上分配至少一个域名；检测所述第一映射关系中受到DDoS攻击的虚拟IP地址；将检测到的受攻击虚拟IP地址上分配的域名，按照一一对应原则分配到所述虚拟IP地址中的另一组虚拟IP地址上，建立所述域名与所述虚拟IP地址的第二映射关系；检测所述第二映射关系中受到DDoS攻击的虚拟IP地址。所述DDoS攻击的检测方法，实现方式简单，能够精准快速的检测受攻击的域名。

Description

一种DDoS攻击的检测方法以及装置

技术领域

本申请涉及网络安全技术领域，具体涉及一种DDoS攻击的检测方法。本申请同时涉及一种DDoS攻击的检测处理装置。

背景技术

在云计算时代，许多云服务商都将自己开发的云产品对外开放使用，这其中，有许多云产品针对每个用户提供域名供用户使用，用户通过域名使用这些云产品提供的服务的过程中，这些域名很容易受到攻击者的攻击，例如，黑客通过DNS(Domain Name System，域名系统)解析得到域名对应的IP(Internet Protocol，互联网协议)地址，通过对IP地址发起DDoS(Distributed Denial of Service，分布式拒绝服务)攻击，很容易使提供服务的云产品陷入瘫痪，无法对外提供服务。DDoS攻击通常借助于客户/服务器技术，将多台机器联合起来作为攻击平台，对一个或多个目标发动DDoS攻击，从而成倍地提高DDoS攻击的威力。DDoS攻击的攻击者在攻击时通常使用一个非法的用户账户将DDoS主控程序安装在一台机器上，在设定的时间段内，DDoS主控程序将与大量的代理程序通讯，这些代理程序被安装在网络上的许多机器上，代理程序在收到指令时发起DDoS攻击，利用客户/服务器技术，DDoS主控程序能在几秒钟内激活代理程序数千次发起DDoS攻击，使提供服务的云产品陷入瘫痪。

目前的现状是将用户域名通过泛域名解析到特定的IP地址上，基于人工参与的方式处理受到的DDoS攻击，例如，PE(运维工程师，负责管理并维护在运行在海量服务器上的软件服务)通过相关系统报警确定受到DDoS攻击的IP地址，由于一个IP地址上可能挂载很多域名，因此，PE还需要分别查看受攻击的IP地址上挂载的每一个域名，人为的修改相应的DNS，将每一个域名分别绑定到正常的IP地址上，从而确定受到DDoS攻击的域名。

上述现有技术提供的DDoS攻击检测的方式存在明显的缺陷。

现有技术提供的DDoS攻击检测的方式，通过人工参与的方式去找出受攻击的域名，由人工将受攻击的IP地址上挂载的每一个域名，绑定到另一个正常的IP地址上，来分析受攻击的域名，耗时较长，还要消耗大量的人力资源，同时，人为的修改DNS，容易出现问题。

发明内容

本申请提供一种DDoS攻击的检测方法，以解决现有技术通过人工参与方式检测DDoS攻击存在的耗时耗力的问题。

本申请同时涉及一种DDoS攻击的检测处理装置。

本申请提供一种DDoS攻击的检测方法，包括：

获取待检测的域名和预设的虚拟IP地址；

将所述域名分配到所述虚拟IP地址中的一组虚拟IP地址上，建立所述域名与所述虚拟IP地址的第一映射关系；所述第一映射关系中的每个虚拟IP地址上分配至少一个域名；

检测所述第一映射关系中受到DDoS攻击的虚拟IP地址；

将检测到的受攻击虚拟IP地址上分配的域名，按照一一对应原则分配到所述虚拟IP地址中的另一组虚拟IP地址上，建立所述域名与所述虚拟IP地址的第二映射关系；

检测所述第二映射关系中受到DDoS攻击的虚拟IP地址。

可选的，所述检测所述第二映射关系中受到DDoS攻击的虚拟IP地址步骤执行之后，执行下述步骤：

针对所述第二映射关系中受攻击的虚拟IP地址对应的域名执行防范攻击操作。

可选的，所述检测所述第二映射关系中受到DDoS攻击的虚拟IP地址步骤执行之后，执行下述步骤：

将所述第二映射关系中未受到攻击的虚拟IP地址对应的域名回切到所述第一映射关系中。

可选的，所述将所述域名分配到所述虚拟IP地址中的一组虚拟IP地址上，建立所述域名与所述虚拟IP地址的第一映射关系，采用如下方式实现：

基于预设的映射算法，将所述域名映射到预设的第一检测区域中的一组虚拟IP地址，在所述第一检测区域中建立所述第一映射关系；

其中，每个第一检测区域具有唯一确定的区域ID。

可选的，所述将所述域名分配到所述虚拟IP地址中的一组虚拟IP地址上，建立所述域名与所述虚拟IP地址的第一映射关系步骤执行之后，且所述检测所述第一映射关系中受到DDoS攻击的虚拟IP地址步骤执行之前，执行下述步骤：

将所述第一检测区域中的所述第一映射关系存储至预设的映射关系存储空间；

其中，所述映射关系存储空间包括：数据库和内存。

可选的，所述将所述第一检测区域中的所述第一映射关系存储至预设的映射关系存储空间步骤执行之后，执行下述步骤：

将所述第一映射关系与所述映射关系存储空间中存储的往期第一映射关系进行比对；

根据比对结果，利用所述第一映射关系更新所述往期第一映射关系。

可选的，所述根据比对结果，利用所述第一映射关系更新所述往期第一映射关系步骤执行之后，执行下述步骤：

判断所述第一映射关系中的虚拟IP地址与所述往期第一映射关系中的虚拟IP地址是否全部比对完毕；

若是，执行所述检测所述第一映射关系中受到DDoS攻击的虚拟IP地址步骤；

若否，返回执行所述将所述第一映射关系与所述映射关系存储空间中存储的往期第一映射关系进行比对步骤，和所述根据比对结果，利用所述第一映射关系更新所述往期第一映射关系步骤。

可选的，所述检测所述第一映射关系中受到DDoS攻击的虚拟IP地址步骤，包括：

查询所述第一检测区域中的所述第一映射关系中虚拟IP地址的状态；

根据查询获得的所述第一映射关系中虚拟IP地址的状态，判断所述虚拟IP地址是否受到DDoS攻击；

若是，则进入下一步；

若否，则等待预设的第一时间间隔之后，返回执行所述查询所述第一检测区域中的所述第一映射关系中虚拟IP地址的状态步骤，和所述根据查询获得的所述第一映射关系中虚拟IP地址的状态，判断所述虚拟IP地址是否受到DDoS攻击步骤。

可选的，所述将检测到的受攻击虚拟IP地址上分配的域名，按照一一对应原则分配到所述虚拟IP地址中的另一组虚拟IP地址上，建立所述域名与所述虚拟IP地址的第二映射关系，采用如下方式实现：

针对所述第一检测区域中检测到的受攻击虚拟IP地址上分配的每一个域名，执行下述映射操作：

基于预设的映射算法，将该域名按照所述一一对应原则映射到预设的第二检测区域中的一个虚拟IP地址；

重复上述映射操作，直至所述第一检测区域中检测到的受攻击虚拟IP地址上分配的域名全部映射完毕，在所述第二检测区域中建立所述第二映射关系；

其中，所述第二映射关系中的每个虚拟IP地址上只分配一个域名。

可选的，所述将检测到的受攻击虚拟IP地址上分配的域名，按照一一对应原则分配到所述虚拟IP地址中的另一组虚拟IP地址上，建立所述域名与所述虚拟IP地址的第二映射关系步骤执行之后，且所述检测所述第二映射关系中受到DDoS攻击的虚拟IP地址步骤执行之前，执行下述步骤：

将所述第二检测区域中的所述第二映射关系存储至预设的映射关系存储空间；

清空所述第一检测区域中检测到的受攻击虚拟IP地址上分配的域名；

其中，所述映射关系存储空间包括：数据库和内存。

可选的，所述检测所述第二映射关系中受到DDoS攻击的虚拟IP地址步骤，包括：

查询所述第二检测区域中的所述第二映射关系中虚拟IP地址的状态；

根据查询获得的所述第二映射关系中虚拟IP地址的状态，判断所述虚拟IP地址是否受到DDoS攻击；

若是，执行所述针对所述第二映射关系中受攻击的虚拟IP地址对应的域名执行防范攻击操作步骤；

若否，等待预设的第二时间间隔之后，返回执行所述查询所述第二检测区域中的所述第二映射关系中虚拟IP地址的状态步骤，和所述根据查询获得的所述第二映射关系中虚拟IP地址的状态，判断所述虚拟IP地址是否受到DDoS攻击步骤。

可选的，所述针对所述第二映射关系中受攻击的虚拟IP地址对应的域名执行防范攻击操作步骤执行之后，且所述将所述第二映射关系中未受到攻击的虚拟IP地址对应的域名回切到所述第一映射关系中步骤执行之前，执行下述步骤：

查询清空后的所述第一检测区域中检测到的受攻击虚拟IP地址的状态；

根据查询到的清空后的所述虚拟IP地址的状态，判断清空后的所述第一映射关系中IP地址是否受到DDoS攻击；

若是，针对所述第一检测区域中受攻击的虚拟IP地址发出受到DDoS攻击的相应攻击提示，并将所述第二映射关系中未受到攻击的虚拟IP地址对应的域名回切到、所述第一检测区域中未受到攻击的虚拟IP地址上；

若否，执行所述将所述第二映射关系中未受到攻击的虚拟IP地址对应的域名回切到所述第一映射关系中步骤。

可选的，所述将所述第二映射关系中未受到攻击的虚拟IP地址对应的域名回切到所述第一映射关系中步骤执行之后，执行下述步骤：

将回切后的所述第一检测区域中的第一映射关系存储至所述映射关系存储空间。

可选的，所述域名包括：

页面浏览量满足预设的浏览量阈值的活跃域名。

可选的，所述防范攻击操作，采用下述任意一种方式实现：

将受攻击的域名分配到所述虚拟IP地址中的第三组虚拟IP地址上，发出受攻击的域名受到DDoS攻击的相应攻击提示，发出受攻击的虚拟IP地址受到DDoS攻击的相应攻击提示。

可选的，所述第三组虚拟IP地址是预设的安全执行环境预设的虚拟IP地址；

其中，所述安全执行环境包括：沙箱。

可选的，所述映射算法包括：

Hash算法。

本申请还提供一种DDoS攻击的检测装置，包括：

获取准备单元，用于获取待检测的域名和预设的虚拟IP地址；

第一映射关系建立单元，用于将所述域名分配到所述虚拟IP地址中的一组虚拟IP地址上，建立所述域名与所述虚拟IP地址的第一映射关系；所述第一映射关系中的每个虚拟IP地址上分配至少一个域名；

第一攻击检测单元，用于检测所述第一映射关系中受到DDoS攻击的虚拟IP地址；

第二映射关系建立单元，用于将检测到的受攻击虚拟IP地址上分配的域名，按照一一对应原则分配到所述虚拟IP地址中的另一组虚拟IP地址上，建立所述域名与所述虚拟IP地址的第二映射关系；

第二攻击检测单元，用于检测所述第二映射关系中受到DDoS攻击的虚拟IP地址。

可选的，所述DDoS攻击的检测装置，包括：

防范攻击操作执行单元，用于针对所述第二映射关系中受攻击的虚拟IP地址对应的域名执行防范攻击操作。

可选的，所述DDoS攻击的检测装置，包括：

域名回切单元，用于将所述第二映射关系中未受到攻击的虚拟IP地址对应的域名回切到所述第一映射关系中。

可选的，所述第一映射关系建立单元，具体基于预设的映射算法，将所述域名映射到预设的第一检测区域中的一组虚拟IP地址，在所述第一检测区域中建立所述第一映射关系；

其中，每个第一检测区域具有唯一确定的区域ID。

可选的，所述DDoS攻击的检测装置，包括：

第一映射关系存储单元，用于将所述第一检测区域中的所述第一映射关系存储至预设的映射关系存储空间；

其中，所述映射关系存储空间包括：数据库和内存。

可选的，所述DDoS攻击的检测装置，包括：

比对单元，用于将所述第一映射关系与所述映射关系存储空间中存储的往期第一映射关系进行比对；

更新单元，用于根据比对结果，利用所述第一映射关系更新所述往期第一映射关系。

可选的，所述DDoS攻击的检测装置，包括：

比对判断单元，用于判断所述第一映射关系中的虚拟IP地址与所述往期第一映射关系中的虚拟IP地址是否全部比对完毕；

若是，运行所述第一攻击检测单元；

若否，运行所述比对单元和所述更新单元。

可选的，所述第一攻击检测单元，包括：

第一状态查询子单元，用于查询所述第一检测区域中的所述第一映射关系中虚拟IP地址的状态；

第一攻击判断子单元，用于根据查询获得的所述第一映射关系中虚拟IP地址的状态，判断所述虚拟IP地址是否受到DDoS攻击；

若是，运行所述第二映射关系建立单元；

若否，则等待预设的第一时间间隔之后，运行所述第一状态查询子单元和所述第一攻击判断子单元。

可选的，针对所述第一检测区域中检测到的受攻击虚拟IP地址上分配的每一个域名，运行第二映射单元，直至所述第一检测区域中检测到的受攻击虚拟IP地址上分配的域名全部映射完毕，在所述第二检测区域中建立所述第二映射关系；

所述第二映射单元，用于基于预设的映射算法，将该域名按照所述一一对应原则映射到预设的第二检测区域中的一个虚拟IP地址；

其中，所述第二映射关系中的每个虚拟IP地址上只分配一个域名。

可选的，所述DDoS攻击的检测装置，包括：

第二映射关系存储单元，用于将所述第二检测区域中的所述第二映射关系存储至预设的映射关系存储空间；

域名清空单元，用于清空所述第一检测区域中检测到的受攻击虚拟IP地址上分配的域名；

其中，所述映射关系存储空间包括：数据库和内存。

可选的，所述第二攻击检测单元，包括：

第二状态查询子单元，用于查询所述第二检测区域中的所述第二映射关系中虚拟IP地址的状态；

第二攻击判断子单元，用于根据查询获得的所述第二映射关系中虚拟IP地址的状态，判断所述虚拟IP地址是否受到DDoS攻击；

若是，运行所述防范攻击操作执行单元；

若否，等待预设的第二时间间隔之后，运行所述第二状态查询子单元和所述第二攻击判断子单元。

与现有技术相比，本申请具有以下优点：

本申请提供的DDoS攻击的检测方法，包括：

获取待检测的域名和预设的虚拟IP地址；将所述域名分配到所述虚拟IP地址中的一组虚拟IP地址上，建立所述域名与所述虚拟IP地址的第一映射关系；所述第一映射关系中的每个虚拟IP地址上分配至少一个域名；检测所述第一映射关系中受到DDoS攻击的虚拟IP地址；将检测到的受攻击虚拟IP地址上分配的域名，按照一一对应原则分配到所述虚拟IP地址中的另一组虚拟IP地址上，建立所述域名与所述虚拟IP地址的第二映射关系；检测所述第二映射关系中受到DDoS攻击的虚拟IP地址。

本申请提供的所述DDoS攻击的检测方法，将获取到的待检测的域名分配到预设的虚拟IP地址，建立所述第一映射关系，通过检测所述第一映射关系中受到DDoS攻击的虚拟IP地址，并将所述第一映射关系中受攻击的虚拟IP地址上分配的域名，按照一一对应原则分配到所述虚拟IP地址中的另一组虚拟IP地址上，建立所述第二映射关系，最后通过检测第二映射关系中的虚拟IP地址，确定受攻击的虚拟IP地址，又因为所述第二映射关系中所述域名和所述虚拟IP地址的一一对应关系，从而确定所述第二映射关系中受攻击的域名。所述DDoS攻击的检测方法，将待检测的域名分配到预设的虚拟IP地址，一定程度上减小受攻击的范围；此外，所述DDoS攻击的检测方法的实现方式简单，能够精准快速的检测受攻击的虚拟IP地址上分配的受攻击的域名。

附图说明

附图1是本申请提供的一种DDoS攻击的检测方法实施例的处理流程图；

附图2是本申请提供的一种DDoS攻击的检测处理装置实施例的示意图。

具体实施方式

在下面的描述中阐述了很多具体细节以便于充分理解本申请。但是本申请能够以很多不同于在此描述的其他方式来实施，本领域技术人员可以在不违背本申请内涵的情况下做类似推广，因此本申请不受下面公开的具体实施的限制。

本申请提供一种DDoS攻击的检测方法，本申请还提供一种DDoS攻击的检测处理装置。以下分别结合本申请提供的实施例的附图逐一进行详细说明，并且对方法的各个步骤进行说明。

本申请提供的一种DDoS攻击的检测方法实施例如下：

参照附图1，其示出了本申请提供的一种DDoS攻击的检测方法实施例的处理流程图。此外，所述DDoS攻击的检测方法实施例的各个步骤之间的关系，请根据附图1确定。

步骤S101，获取待检测的域名和预设的虚拟IP地址。

本申请实施例所述域名是由对外提供数据服务的云产品提供的，例如，用于云计算或者云存储服务的云服务器集群向用户提供的域名。所述虚拟IP地址是指不与特定计算机或计算机中的网络接口卡连接的一种IP地址，例如，不与主机或路由器，或者主机和路由器任何一个特定接口连接的IP地址。在实际应用中，受到攻击的既有可能是所述域名，此外，也有可能是所述虚拟IP地址，因此，本申请所述的DDoS攻击的检测方法，检测的对象包括所述域名和所述虚拟IP地址。

在具体实施时，所述域名的页面浏览量根据实际访问实时的会发生变化，页面浏览量有高也有低，对于一些页面浏览量较小的域名，检测这些域名是否受到DDoS攻击的意义不大。DDoS攻击的最大的特性是存在大量的服务请求占用了服务资源，使用户无法获得服务响应，显然，对于页面浏览量较小的域名，受到DDoS攻击的可能不大，甚至受到DDoS攻击的可能性为0，因此检测页面浏览量较小的域名是否受到DDoS攻击的意义不大。因此，为了降低检测DDoS攻击过程中的数据处理的复杂度，在检测所述域名是否收到DDoS攻击时，可以只检测所述域名中的活跃域名是否收到DDoS攻击。所述活跃域名，是指页面浏览量(pv，page view)满足预设的浏览量阈值的活跃域名，例如，定义页面浏览量大于1000的域名为活跃域名。除此之外，在用于检测DDoS攻击的检测系统的性能允许的情况下，也可以针对待检测的所述域名中的每一个域名，检测是否受到DDoS攻击，在此不做限定。

本步骤中，获取待检测的所述域名，是指获取用于对外提供服务的域名。获取预设的所述虚拟IP地址，是指用于分配对外提供服务的所述域名的虚拟IP地址。例如，获取的域名为：www.abc1.com，www.abc2.com，www.abc3.com，www.abc4.com，www.abc5.com，www.abc6.com；

获取的虚拟IP地址为：1.1.1.1，2.2.2.2，3.3.3.3，4.4.4.4，5.5.5.5，7.7.7.7。

步骤S102，将所述域名分配到所述虚拟IP地址中的一组虚拟IP地址上，建立所述域名与所述虚拟IP地址的第一映射关系。

本申请实施例所述第一映射关系，用于表述所述域名与所述虚拟IP地址之间的对应关系。所述第一映射关系中包含有：所述域名、所述虚拟IP地址，以及所述域名与所述虚拟IP地址的对应关系。其中，所述域名与所述虚拟IP地址的对应关系包括：一个虚拟IP地址对应多个域名，以及一个虚拟IP地址对应一个域名，即每个虚拟IP地址上分配至少一个虚拟IP地址。

在具体实施时，可基于预设的映射算法，将所述域名映射到预设的第一检测区域中的一组虚拟IP地址，在所述第一检测区域中建立所述第一映射关系；其中，每个第一检测区域具有唯一确定的区域ID。

所述第一检测区域中的一组虚拟IP地址，是指上述步骤S101中获取的所述域名中一个或者多个虚拟IP地址。例如，第一检测区域中的一组虚拟IP地址：1.1.1.1，2.2.2.2，3.3.3.3。

此外，通过所述映射算法映射到所述第一检测区域中的一组虚拟IP地址上的域名，是用于对外提供服务的域名。例如，映射到虚拟IP地址1.1.1.1上的2个域名：www.abc1.com，www.abc2.com；映射到虚拟IP地址2.2.2.2上的2个域名：www.abc3.com，www.abc4.com；映射到虚拟IP地址3.3.3.3上的2个域名：www.abc5.com，www.abc6.com；此处的6个域名均可以向用户提供数据服务，包括通过6个域名中任意一个域名接收用户的数据服务请求，以及通过6个域名中任意一个域名向用户发送数据服务响应。

所述映射算法，是指将所述域名映射到所述第一检测区域中的一组虚拟IP地址的映射规则，例如，Hash表算法，从而能够确定将所述域名映射到所述第一检测区域中的一组虚拟IP地址之后，所述第一检测区域中域名和虚拟IP地址的对应关系，即所述第一映射关系中域名和虚拟IP地址的对应关系。

例如，在内存中将所述域名映射到所述第一检测区域中的域名与虚拟IP地址之后，所述第一检测区域中建立的第一映射关系如下：

1.1.1.1＝>www.abc1.com，www.abc2.com

2.2.2.2＝>www.abc3.com，www.abc4.com

3.3.3.3＝>www.abc5.com，www.abc6.com

在实际应用中，用于检测DDoS攻击的所述检测系统会按照一定的时间间隔获取待检测的所述域名和预设的所述虚拟IP地址，例如，所述检测系统每隔一天进行一次系统初始化，每次系统初始化时获取待检测的所述域名和所述虚拟IP地址。需要说明的是，针对所述检测系统每次系统初始化时获取待检测的所述域名和所述虚拟IP地址都可能不同，相应的，在所述第一检测区域中建立的所述第一映射关系也有可能不同；因此，针对每一次将所述域名映射到一组所述虚拟IP地址的映射过程，分别在不同的第一检测区域中进行。如上所述，每个第一检测区域具有唯一确定的区域ID，方便区分不同的第一检测区域中建立的所述第一映射关系。

在实际应用中，可以采用多种具体的实现方式，实现将所述域名映射到所述第一检测区域中的一组虚拟IP地址的映射过程，例如，采用多种不同的映射算法实现上述映射过程，类似所述Hash表算法，通过Hash桶将所述域名映射到所述第一检测区域中的一组虚拟IP地址。实现所述映射过程的各种形式的变化，都只是具体实现方式的变更，都不偏离本申请的核心，因此都在本申请的保护范围之内。

在具体实施时，将所述域名映射到所述第一检测区域中的一组虚拟IP地址，在所述第一检测区域中建立所述第一映射关系之后，并且在检测所述第一检测区域中的虚拟IP地址是否受到DDoS攻击之前，即检测所述第一检测区域中建立的所述第一映射关系中虚拟IP地址是否受到DDoS攻击之前，还可以执行存储所述第一映射关系操作和对比新旧映射关系操作。

1)所述存储所述第一映射关系操作。

将所述第一检测区域中的所述第一映射关系存储至预设的映射关系存储空间；其中，所述映射关系存储空间包括：数据库和内存。例如，将内存中建立的所述第一映射关系存储到MySQL数据库中，同时，在存储时，关联所述第一映射关系和所述第一检测区域的区域ID。

2)所述对比新旧映射关系操作。

在执行所述存储所述第一映射关系操作的基础上，即将以往建立的第一映射关系(往期第一映射关系)存储至所述映射关系存储空间的基础上，将上述建立的所述第一映射关系与所述映射关系存储空间存储的往期第一映射关系进行比对，具体采用如下方式实现：

将所述第一映射关系与所述映射关系存储空间中存储的往期第一映射关系进行比对；

根据比对结果，利用所述第一映射关系更新所述往期第一映射关系。

所述对比新旧映射关系操作中，遵循单独对比原则，将所述第一映射关系中包含的每一个虚拟IP地址，与所述往期第一映射关系中包含的虚拟IP地址进行比对。

例如，前一天建立的往期第一映射关系如下：

1.1.1.1＝>www.abc1.com，www.abc8.com

3.3.3.3＝>www.abc3.com

当前/今天建立的第一映射关系(即上述建立的所述第一映射关系)如下：

1.1.1.1＝>www.abc1.com，www.abc2.com

2.2.2.2＝>www.abc3.com，www.abc4.com

3.3.3.3＝>www.abc5.com，www.abc6.com

二者比对的内容包括：二者的虚拟IP地址是否存在差异，二者的虚拟IP地址对应的域名是否存在差异。则所述第一映射关系和所述往期第一映射关系的比对结果为：

当前/今天的虚拟IP地址1.1.1.1映射的域名，相比前一天映射的域名缺少域名www.abc8.com；

域名www.abc3.com前一天映射的虚拟IP地址为3.3.3.3，当前/今天的映射虚拟IP地址为2.2.2.2。

因此，在所述映射关系存储空间中加入映射关系1.1.1.1＝>www.abc8.com，类似的，将映射关系3.3.3.3＝>www.abc3.com更改为2.2.2.2＝>www.abc3.com。

此外，在具体实施时，为了避免所述对比新旧映射关系操作中虚拟IP地址被重复执行对比或者被漏掉，在所述对比新旧映射关系操作执行之后，执行下述步骤：

判断所述第一映射关系中的虚拟IP地址与所述往期第一映射关系中的虚拟IP地址是否全部比对完毕；

若是，执行下述步骤S104即可；

若否，返回执行所述将所述第一映射关系与所述映射关系存储空间中存储的往期第一映射关系进行比对步骤，和所述根据比对结果，利用所述第一映射关系更新所述往期第一映射关系步骤。

步骤S103，检测所述第一映射关系中受到DDoS攻击的虚拟IP地址。

具体实施时，可通过查询所述第一检测区域中的所述第一映射关系中虚拟IP地址的状态，来判断所述第一检测区域中的虚拟IP地址是否受到DDoS攻击，采用如下方式实现：

1)查询所述第一检测区域中的所述第一映射关系中虚拟IP地址的状态；

例如，基于DDoS API查询第一检测区域中的所述第一映射关系中虚拟IP地址的状态。所述虚拟IP地址的状态的状态有两种：清洗状态和黑洞状态。

2)根据查询获得的所述第一映射关系中虚拟IP地址的状态，判断所述虚拟IP地址是否受到DDoS攻击；

若是，则执行下述步骤S104；

例如，虚拟IP地址1.1.1.1的状态为黑洞状态，表明虚拟IP地址1.1.1.1当前受到DDoS攻击，可能的情况有两种，一是虚拟IP地址1.1.1.1当前受到DDoS攻击，二是虚拟IP地址1.1.1.1映射的一个或者多个域名当前受到DDoS攻击，即：虚拟IP地址1.1.1.1映射的域名www.abc1.com当前受到DDoS攻击，或者虚拟IP地址1.1.1.1映射的域名www.abc2.com当前受到DDoS攻击，或者虚拟IP地址1.1.1.1映射的域名www.abc1.com和www.abc2.com当前均受到DDoS攻击。

若否，则等待预设的第一时间间隔之后，返回执行所述查询所述第一检测区域中的所述第一映射关系中虚拟IP地址的状态步骤，和所述根据查询获得的所述第一映射关系中虚拟IP地址的状态，判断所述虚拟IP地址是否受到DDoS攻击步骤；重复上述检测所述第一映射关系中受到DDoS攻击的虚拟IP地址过程，例如，每隔一分钟发起一次上述检测所述第一映射关系中受到DDoS攻击的虚拟IP地址过程。

例如，虚拟IP地址2.2.2.2的状态为清洗状态，表明虚拟IP地址2.2.2.2处于正常，即所述虚拟IP地址映射的域名也处于正常。

在实际应用中，可以采用多种具体的实现方式，实现检测所述第一映射关系中受到DDoS攻击的虚拟IP地址。实现检测所述第一映射关系中受到DDoS攻击的虚拟IP地址的各种形式的变化，都只是具体实现方式的变更，都不偏离本申请的核心，因此都在本申请的保护范围之内。

步骤S104，将检测到的受攻击虚拟IP地址上分配的域名，按照一一对应原则分配到所述虚拟IP地址中的另一组虚拟IP地址上，建立所述域名与所述虚拟IP地址的第二映射关系。

本步骤得以实施的前提是，上述步骤S103中检测到所述第一检测区域中存在受攻击的虚拟IP地址，即所述第一映射关系存在中受攻击的虚拟IP地址。

在具体实施时，针对所述第一检测区域中检测到的受攻击虚拟IP地址上分配的每一个域名，执行下述映射操作：

基于预设的映射算法，将该域名按照所述一一对应原则映射到预设的第二检测区域中的一个虚拟IP地址；

重复上述映射操作，直至所述第一检测区域中检测到的受攻击虚拟IP地址上分配的域名全部映射完毕，在所述第二检测区域中建立所述第二映射关系；

其中，所述第二映射关系中的每个虚拟IP地址上只分配一个域名。

此处的映射算法，可采用上述步骤S102中的所述映射算法，例如，上述Hash表算法；此外，还可以与上述步骤S102中的所述映射算法不同的映射算法，在此不做限定。

所述第二预设区域中的另一组虚拟IP地址，也是上述步骤S101中获取的预设的所述虚拟IP地址中的一个或者多个虚拟IP地址，例如，所述第二预设区域中的另一组虚拟IP地址为：4.4.4.4,5.5.5.5。需要说明的是，所述第二预设区域中的另一组虚拟IP地址并不对外提供服务，如果所述第二预设区域中的另一组虚拟IP地址中的虚拟IP地址时对外提供服务的，一旦下述步骤S105检测到所述第二预设区域中的某个虚拟IP地址受到攻击，则无法确定是该虚拟IP地址当前受到DDoS攻击，还是该虚拟IP地址映射的唯一一个域名当前受到DDoS攻击。因此，所述第二预设区域中的另一组虚拟IP地址不对外提供服务，排除了所述第二预设区域中的虚拟IP地址受攻击的可能。

例如，当前处于DDoS攻击状态的虚拟IP地址1.1.1.1，将该虚拟IP地址1.1.1.1映射的域名按照所述一一对应原则映射到所述第二检测区域中的另一组虚拟IP地址，映射之后在所述第二检测区域中建立的所述第二映射关系如下：

4.4.4.4＝>www.abc1.com

5.5.5.5＝>www.abc2.com

在实际应用中，可以采用多种具体的实现方式，实现将上述步骤S103检测到的受攻击虚拟IP地址上映射的域名，按照一一对应原则映射到所述第二检测区域中的另一组虚拟IP地址的映射过程。实现所述映射过程的各种形式的变化，都只是具体实现方式的变更，都不偏离本申请的核心，因此都在本申请的保护范围之内。

此外，在具体实施时，将上述步骤S103检测到的受攻击虚拟IP地址上映射的域名，按照一一对应原则映射到所述第二检测区域中的另一组虚拟IP地址，在所述第二检测区域中建立所述第二映射关系之后，并且检测所述第二检测区域中的另一组虚拟IP地址中攻击的虚拟IP地址之前，即检测所述第二映射关系中受到DDoS攻击的虚拟IP地址之前，还可以执行下述步骤：

1)将所述第二检测区域中的所述第二映射关系存储至预设的映射关系存储空间；

其中，所述映射关系存储空间包括：数据库和内存。

此处的所述映射关系存储空间可以是上述步骤S10中所述的映射关系存储空间，除此之外，还可以将所述第二映射关系存储至独立于上述步骤S10中所述的映射关系存储空间之外的另一个映射关系存储空间中，在此不做限定。

2)清空所述第一检测区域中检测到的受攻击虚拟IP地址上分配的域名。

如上所述，所述第一检测区域中的虚拟IP地址当前受到DDoS攻击，可能的情况有两种，一是所述虚拟IP地址当前受到DDoS攻击，二是所述虚拟IP地址映射的域名当中，一个或者多个域名当前受到DDoS攻击。清空所述第一检测区域中检测到的受攻击虚拟IP地址上分配的域名之后，查询清空后的所述第一检测区域中检测到的受攻击虚拟IP地址的状态，根据查询到的清空后的所述虚拟IP地址的状态，可以判断受到攻击的是所述第一检测区域中的虚拟IP地址，还是所述第一检测区域中的虚拟IP地址映射的域名。

步骤S105，检测所述第二映射关系中受到DDoS攻击的虚拟IP地址。

具体实施时，可通过查询所述第二检测区域中的所述第二映射关系中虚拟IP地址的状态，来判断所述第二检测区域中的虚拟IP地址是否受到DDoS攻击，如上所述，所述第二检测区域中的虚拟IP地址不对外提供服务，因此，根据所述第二检测区域中的虚拟IP地址是否受到DDoS攻击，可以判断第二检测区域中的虚拟IP地址映射的域名是否受到DDoS攻击。具体采用如下方式实现：

1)查询所述第二检测区域中的所述第二映射关系中虚拟IP地址的状态；

2)根据查询获得的所述第二映射关系中虚拟IP地址的状态，判断所述虚拟IP地址是否受到DDoS攻击；

若是，针对所述第二映射关系中受攻击的虚拟IP地址对应的域名执行防范攻击操作；

所述防范攻击操作包括：将受攻击的域名分配到所述虚拟IP地址中的第三组虚拟IP地址上，发出受攻击的域名受到DDoS攻击的相应攻击提示。所述第三组虚拟IP地址是预设的安全执行环境预设的虚拟IP地址；其中，所述安全执行环境包括：沙箱。例如，所述安全执行环境预设的虚拟IP地址，即所述第三组虚拟IP地址为7.7.7.7。

所述沙箱是一个虚拟系统程序，允许在沙箱运行相应程序，因此运行所产生的变化可以随后删除。除此之外，还可以采用上述两种防范攻击操作实现方式之外的其他实现方式，实现所述防范攻击操作，例如，发出受攻击的虚拟IP地址受到DDoS攻击的相应攻击提示，在此不做限定。

例如：所述第二检测区域中的虚拟IP地址4.4.4.4的状态为黑洞状态，表明虚拟IP地址4.4.4.4映射的域名www.abc1.com当前受到DDoS攻击，则将域名www.abc1.com分配到所述沙箱预设的虚拟IP地址7.7.7.7上，进行相应处理。

若否，等待预设的第二时间间隔之后，返回执行所述查询所述第二检测区域中的所述第二映射关系中虚拟IP地址的状态步骤，和所述根据查询获得的所述第二映射关系中虚拟IP地址的状态，判断所述虚拟IP地址是否受到DDoS攻击步骤。

在实际应用中，可以采用多种具体的实现方式，实现检测所述第二映射关系中受到DDoS攻击的虚拟IP地址。实现检测所述第二映射关系中受到DDoS攻击的虚拟IP地址的各种形式的变化，都只是具体实现方式的变更，都不偏离本申请的核心，因此都在本申请的保护范围之内。

需要说明的是，上述针对所述第二映射关系中受攻击的虚拟IP地址对应的域名执行防范攻击操作步骤执行之后，还可以将所述第二映射关系中未受到攻击的虚拟IP地址对应的域名回切到所述第一映射关系中。例如，所述第二检测区域中的虚拟IP地址5.5.5.5的状态为清洗状态，表明虚拟IP地址5.5.5.5映射的域名www.abc2.com未受到DDoS攻击，则可以将域名www.abc2.com回切到所述第一预设区域中建立的所述第一映射关系中，并且将域名www.abc2.com回切到包含该域名www.abc2.com的第一映射关系中的虚拟IP地址1.1.1.1上(上述步骤S104中，虚拟IP地址1.1.1.1映射的域名www.abc1.com，www.abc2.com被清空)。

此外，在具体实施时，在上述步骤S104中清空所述第一检测区域中检测到的受攻击虚拟IP地址上分配的域名步骤执行之后，且所述将所述第二映射关系中未受到攻击的虚拟IP地址对应的域名回切到所述第一映射关系中步骤执行之前，执行下述步骤：

查询清空后的所述第一检测区域中检测到的受攻击虚拟IP地址的状态；

根据查询到的清空后的所述虚拟IP地址的状态，判断清空后的所述第一映射关系中IP地址是否受到DDoS攻击；

若是，针对所述第一检测区域中受攻击的虚拟IP地址发出受到DDoS攻击的相应攻击提示，并将所述第二映射关系中未受到攻击的虚拟IP地址对应的域名回切到、所述第一检测区域中未受到攻击的虚拟IP地址上；

例如，上述步骤S104中，所述第一预设区域中虚拟IP地址1.1.1.1映射域名www.abc1.com，www.abc2.com被清空后，查询到虚拟IP地址1.1.1.1的状态为黑洞状态，虚拟IP地址2.2.2.2和虚拟IP地址3.3.3.3的状态为清洗状态，则表明虚拟IP地址1.1.1.1当前受到DDoS攻击，则针对虚拟IP地址1.1.1.1发出受到DDoS攻击的相应攻击提示；表明虚拟IP地址2.2.2.2和虚拟IP地址3.3.3.3未受到DDoS攻击，则将所述第二映射关系中未受到攻击的虚拟IP 5.5.5.5映射的域名www.abc2.com，回切到所述第一预设区域中的虚拟IP地址2.2.2.2和虚拟IP地址3.3.3.3上。

若否，执行所述将所述第二映射关系中未受到攻击的虚拟IP地址对应的域名回切到所述第一映射关系中步骤。具体实施时，所述将所述第二映射关系中未受到攻击的虚拟IP地址对应的域名回切到所述第一映射关系中步骤执行之后，还可以将回切后的所述第一检测区域中的第一映射关系存储至所述映射关系存储空间，即：将回切之后所述第一检测区域中的第一映射关系，更新到所述映射关系存储空间中。

综上所述，本申请提供的所述DDoS攻击的检测方法，将获取到的待检测的域名分配到预设的虚拟IP地址，建立所述第一映射关系，通过检测所述第一映射关系中受到DDoS攻击的虚拟IP地址，并将所述第一映射关系中受攻击的虚拟IP地址上分配的域名，按照一一对应原则分配到所述虚拟IP地址中的另一组虚拟IP地址上，建立所述第二映射关系，最后通过检测第二映射关系中的虚拟IP地址，确定受攻击的虚拟IP地址，又因为所述第二映射关系中所述域名和所述虚拟IP地址的一一对应关系，从而确定所述第二映射关系中受攻击的域名。所述DDoS攻击的检测方法，将待检测的域名分配到预设的虚拟IP地址，一定程度上减小受攻击的范围；此外，所述DDoS攻击的检测方法的实现方式简单，能够精准快速的检测受攻击的虚拟IP地址和受攻击的虚拟IP地址上分配的受攻击的域名。

本申请提供的一种DDoS攻击的检测处理装置实施例如下：

在上述的实施例中，提供了一种DDoS攻击的检测方法，与之相对应的，本申请还提供了一种DDoS攻击的检测处理装置，下面结合附图进行说明。

参照附图2，其示出了本申请提供的一种DDoS攻击的检测处理装置实施例的示意图。

由于装置实施例基本相似于方法实施例，所以描述得比较简单，相关的部分请参见上述提供的方法实施例的对应说明即可。下述描述的装置实施例仅仅是示意性的。

本申请提供一种DDoS攻击的检测处理装置，包括：

获取准备单元201，用于获取待检测的域名和预设的虚拟IP地址；

第一映射关系建立单元202，用于将所述域名分配到所述虚拟IP地址中的一组虚拟IP地址上，建立所述域名与所述虚拟IP地址的第一映射关系；所述第一映射关系中的每个虚拟IP地址上分配至少一个域名；

第一攻击检测单元203，用于检测所述第一映射关系中受到DDoS攻击的虚拟IP地址；

第二映射关系建立单元204，用于将检测到的受攻击虚拟IP地址上分配的域名，按照一一对应原则分配到所述虚拟IP地址中的另一组虚拟IP地址上，建立所述域名与所述虚拟IP地址的第二映射关系；

第二攻击检测单元205，用于检测所述第二映射关系中受到DDoS攻击的虚拟IP地址。

可选的，所述DDoS攻击的检测装置，包括：

防范攻击操作执行单元，用于针对所述第二映射关系中受攻击的虚拟IP地址对应的域名执行防范攻击操作。

可选的，所述DDoS攻击的检测装置，包括：

域名回切单元，用于将所述第二映射关系中未受到攻击的虚拟IP地址对应的域名回切到所述第一映射关系中。

可选的，所述第一映射关系建立单元202，具体基于预设的映射算法，将所述域名映射到预设的第一检测区域中的一组虚拟IP地址，在所述第一检测区域中建立所述第一映射关系；

其中，每个第一检测区域具有唯一确定的区域ID。

可选的，所述DDoS攻击的检测装置，包括：

第一映射关系存储单元，用于将所述第一检测区域中的所述第一映射关系存储至预设的映射关系存储空间；

其中，所述映射关系存储空间包括：数据库和内存。

可选的，所述DDoS攻击的检测装置，包括：

比对单元，用于将所述第一映射关系与所述映射关系存储空间中存储的往期第一映射关系进行比对；

更新单元，用于根据比对结果，利用所述第一映射关系更新所述往期第一映射关系。

可选的，所述DDoS攻击的检测装置，包括：

比对判断单元，用于判断所述第一映射关系中的虚拟IP地址与所述往期第一映射关系中的虚拟IP地址是否全部比对完毕；

若是，运行所述第一攻击检测单元203；

若否，运行所述比对单元和所述更新单元。

可选的，所述第一攻击检测单元203，包括：

第一状态查询子单元，用于查询所述第一检测区域中的所述第一映射关系中虚拟IP地址的状态；

第一攻击判断子单元，用于根据查询获得的所述第一映射关系中虚拟IP地址的状态，判断所虚拟IP地址是否受到DDoS攻击；

若是，运行所述第二映射关系建立单元204；

若否，则等待预设的第一时间间隔之后，运行所述第一状态查询子单元和所述第一攻击判断子单元。

可选的，针对所述第一检测区域中检测到的受攻击虚拟IP地址上分配的每一个域名，运行第二映射单元，直至所述第一检测区域中检测到的受攻击虚拟IP地址上分配的域名全部映射完毕，在所述第二检测区域中建立所述第二映射关系；

所述第二映射单元，用于基于预设的映射算法，将该域名按照所述一一对应原则映射到预设的第二检测区域中的一个虚拟IP地址；

其中，所述第二映射关系中的每个虚拟IP地址上只分配一个域名。

可选的，所述DDoS攻击的检测装置，包括：

第二映射关系存储单元，用于将所述第二检测区域中的所述第二映射关系存储至预设的映射关系存储空间；

域名清空单元，用于清空所述第一检测区域中检测到的受攻击虚拟IP地址上分配的域名；

其中，所述映射关系存储空间包括：数据库和内存。

可选的，所述第二攻击检测单元205，包括：

第二状态查询子单元，用于查询所述第二检测区域中的所述第二映射关系中虚拟IP地址的状态；

第二攻击判断子单元，用于根据查询获得的所述第二映射关系中虚拟IP地址的状态，判断所述虚拟IP地址是否受到DDoS攻击；

若是，运行所述防范攻击操作执行单元；

若否，则等待预设的第二时间间隔之后，运行所述第二状态查询子单元和所述第二攻击判断子单元。

可选的，所述域名包括：

页面浏览量满足预设的浏览量阈值的活跃域名。

可选的，所述防范攻击操作，采用下述任意一种方式实现：

将受攻击的域名分配到所述虚拟IP地址中的第三组虚拟IP地址上，发出受攻击的域名受到DDoS攻击的相应攻击提示，发出受攻击的虚拟IP地址受到DDoS攻击的相应攻击提示。

所述第三组虚拟IP地址是预设的安全执行环境预设的虚拟IP地址；

其中，所述安全执行环境包括：沙箱。

可选的，所述映射算法包括：

Hash算法。

本申请虽然以较佳实施例公开如上，但其并不是用来限定本申请，任何本领域技术人员在不脱离本申请的精神和范围内，都可以做出可能的变动和修改，因此本申请的保护范围应当以本申请权利要求所界定的范围为准。

在一个典型的配置中，计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。

内存可能包括计算机可读介质中的非永久性存储器，随机存取存储器(RAM)和/或非易失性内存等形式，如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。

1、计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带，磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括非暂存电脑可读媒体(transitory media)，如调制的数据信号和载波。

2、本领域技术人员应明白，本申请的实施例可提供为方法、系统或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

Claims (28)

1.一种DDoS攻击的检测方法，其特征在于，包括：

获取待检测的域名和预设的虚拟IP地址；

将所述域名分配到所述虚拟IP地址中的一组虚拟IP地址上，建立所述域名与所述虚拟IP地址的第一映射关系；所述第一映射关系中的每个虚拟IP地址上分配至少一个域名；

检测所述第一映射关系中受到DDoS攻击的虚拟IP地址；

将检测到的受攻击虚拟IP地址上分配的域名，按照一一对应原则分配到所述虚拟IP地址中的另一组虚拟IP地址上，建立所述域名与所述虚拟IP地址的第二映射关系；

检测所述第二映射关系中受到DDoS攻击的虚拟IP地址。

2.根据权利要求1所述的DDoS攻击的检测方法，其特征在于，所述检测所述第二映射关系中受到DDoS攻击的虚拟IP地址步骤执行之后，执行下述步骤：

针对所述第二映射关系中受攻击的虚拟IP地址对应的域名执行防范攻击操作。

3.根据权利要求2所述的DDoS攻击的检测方法，其特征在于，所述检测所述第二映射关系中受到DDoS攻击的虚拟IP地址步骤执行之后，执行下述步骤：

将所述第二映射关系中未受到攻击的虚拟IP地址对应的域名回切到所述第一映射关系中。

4.根据权利要求3所述的DDoS攻击的检测方法，其特征在于，所述将所述域名分配到所述虚拟IP地址中的一组虚拟IP地址上，建立所述域名与所述虚拟IP地址的第一映射关系，采用如下方式实现：

基于预设的映射算法，将所述域名映射到预设的第一检测区域中的一组虚拟IP地址，在所述第一检测区域中建立所述第一映射关系；

其中，每个第一检测区域具有唯一确定的区域ID。

5.根据权利要求4所述的DDoS攻击的检测方法，其特征在于，所述将所述域名分配到所述虚拟IP地址中的一组虚拟IP地址上，建立所述域名与所述虚拟IP地址的第一映射关系步骤执行之后，且所述检测所述第一映射关系中受到DDoS攻击的虚拟IP地址步骤执行之前，执行下述步骤：

将所述第一检测区域中的所述第一映射关系存储至预设的映射关系存储空间；

其中，所述映射关系存储空间包括：数据库和内存。

6.根据权利要求5所述的DDoS攻击的检测方法，其特征在于，所述将所述第一检测区域中的所述第一映射关系存储至预设的映射关系存储空间步骤执行之后，执行下述步骤：

将所述第一映射关系与所述映射关系存储空间中存储的往期第一映射关系进行比对；

根据比对结果，利用所述第一映射关系更新所述往期第一映射关系。

7.根据权利要求6所述的DDoS攻击的检测方法，其特征在于，所述根据比对结果，利用所述第一映射关系更新所述往期第一映射关系步骤执行之后，执行下述步骤：

判断所述第一映射关系中的虚拟IP地址与所述往期第一映射关系中的虚拟IP地址是否全部比对完毕；

若是，执行所述检测所述第一映射关系中受到DDoS攻击的虚拟IP地址步骤；

若否，返回执行所述将所述第一映射关系与所述映射关系存储空间中存储的往期第一映射关系进行比对步骤，和所述根据比对结果，利用所述第一映射关系更新所述往期第一映射关系步骤。

8.根据权利要求4所述的DDoS攻击的检测方法，其特征在于，所述检测所述第一映射关系中受到DDoS攻击的虚拟IP地址步骤，包括：

查询所述第一检测区域中的所述第一映射关系中虚拟IP地址的状态；

根据查询获得的所述第一映射关系中虚拟IP地址的状态，判断所述虚拟IP地址是否受到DDoS攻击；

若是，则进入下一步；

若否，则等待预设的第一时间间隔之后，返回执行所述查询所述第一检测区域中的所述第一映射关系中虚拟IP地址的状态步骤，和所述根据查询获得的所述第一映射关系中虚拟IP地址的状态，判断所述虚拟IP地址是否受到DDoS攻击步骤。

9.根据权利要求4所述的DDoS攻击的检测方法，其特征在于，所述将检测到的受攻击虚拟IP地址上分配的域名，按照一一对应原则分配到所述虚拟IP地址中的另一组虚拟IP地址上，建立所述域名与所述虚拟IP地址的第二映射关系，采用如下方式实现：

针对所述第一检测区域中检测到的受攻击虚拟IP地址上分配的每一个域名，执行下述映射操作：

基于预设的映射算法，将该域名按照所述一一对应原则映射到预设的第二检测区域中的一个虚拟IP地址；

重复上述映射操作，直至所述第一检测区域中检测到的受攻击虚拟IP地址上分配的域名全部映射完毕，在所述第二检测区域中建立所述第二映射关系；

其中，所述第二映射关系中的每个虚拟IP地址上只分配一个域名。

10.根据权利要求9所述的DDoS攻击的检测方法，其特征在于，所述将检测到的受攻击虚拟IP地址上分配的域名，按照一一对应原则分配到所述虚拟IP地址中的另一组虚拟IP地址上，建立所述域名与所述虚拟IP地址的第二映射关系步骤执行之后，且所述检测所述第二映射关系中受到DDoS攻击的虚拟IP地址步骤执行之前，执行下述步骤：

将所述第二检测区域中的所述第二映射关系存储至预设的映射关系存储空间；

清空所述第一检测区域中检测到的受攻击虚拟IP地址上分配的域名；

其中，所述映射关系存储空间包括：数据库和内存。

11.根据权利要求10所述的DDoS攻击的检测方法，其特征在于，所述检测所述第二映射关系中受到DDoS攻击的虚拟IP地址步骤，包括：

查询所述第二检测区域中的所述第二映射关系中虚拟IP地址的状态；

根据查询获得的所述第二映射关系中虚拟IP地址的状态，判断所述虚拟IP地址是否受到DDoS攻击；

若是，执行所述针对所述第二映射关系中受攻击的虚拟IP地址对应的域名执行防范攻击操作步骤；

若否，等待预设的第二时间间隔之后，返回执行所述查询所述第二检测区域中的所述第二映射关系中虚拟IP地址的状态步骤，和所述根据查询获得的所述第二映射关系中虚拟IP地址的状态，判断所述虚拟IP地址是否受到DDoS攻击步骤。

12.根据权利要求10所述的DDoS攻击的检测方法，其特征在于，所述针对所述第二映射关系中受攻击的虚拟IP地址对应的域名执行防范攻击操作步骤执行之后，且所述将所述第二映射关系中未受到攻击的虚拟IP地址对应的域名回切到所述第一映射关系中步骤执行之前，执行下述步骤：

查询清空后的所述第一检测区域中检测到的受攻击虚拟IP地址的状态；

根据查询到的清空后的所述虚拟IP地址的状态，判断清空后的所述第一映射关系中IP地址是否受到DDoS攻击；

若是，针对所述第一检测区域中受攻击的虚拟IP地址发出受到DDoS攻击的相应攻击提示，并将所述第二映射关系中未受到攻击的虚拟IP地址对应的域名回切到、所述第一检测区域中未受到攻击的虚拟IP地址上；

若否，执行所述将所述第二映射关系中未受到攻击的虚拟IP地址对应的域名回切到所述第一映射关系中步骤。

13.根据权利要求12所述的DDoS攻击的检测方法，其特征在于，所述将所述第二映射关系中未受到攻击的虚拟IP地址对应的域名回切到所述第一映射关系中步骤执行之后，执行下述步骤：

将回切后的所述第一检测区域中的第一映射关系存储至所述映射关系存储空间。

14.根据权利要求1至13任意一项所述的DDoS攻击的检测方法，其特征在于，所述域名包括：

页面浏览量满足预设的浏览量阈值的活跃域名。

15.根据权利要求2或11所述的DDoS攻击的检测方法，其特征在于，所述防范攻击操作，采用下述任意一种方式实现：

将受攻击的域名分配到所述虚拟IP地址中的第三组虚拟IP地址上，发出受攻击的域名受到DDoS攻击的相应攻击提示，发出受攻击的虚拟IP地址受到DDoS攻击的相应攻击提示。

16.根据权利要求15所述的DDoS攻击的检测方法，其特征在于，所述第三组虚拟IP地址是预设的安全执行环境预设的虚拟IP地址；

其中，所述安全执行环境包括：沙箱。

17.根据权利要求4或9所述的DDoS攻击的检测方法，其特征在于，所述映射算法包括：

Hash算法。

18.一种DDoS攻击的检测装置，其特征在于，包括：

获取准备单元，用于获取待检测的域名和预设的虚拟IP地址；

第一映射关系建立单元，用于将所述域名分配到所述虚拟IP地址中的一组虚拟IP地址上，建立所述域名与所述虚拟IP地址的第一映射关系；所述第一映射关系中的每个虚拟IP地址上分配至少一个域名；

第一攻击检测单元，用于检测所述第一映射关系中受到DDoS攻击的虚拟IP地址；

第二映射关系建立单元，用于将检测到的受攻击虚拟IP地址上分配的域名，按照一一对应原则分配到所述虚拟IP地址中的另一组虚拟IP地址上，建立所述域名与所述虚拟IP地址的第二映射关系；

第二攻击检测单元，用于检测所述第二映射关系中受到DDoS攻击的虚拟IP地址。

19.根据权利要求18所述的DDoS攻击的检测装置，其特征在于，包括：

防范攻击操作执行单元，用于针对所述第二映射关系中受攻击的虚拟IP地址对应的域名执行防范攻击操作。

20.根据权利要求19所述的DDoS攻击的检测装置，其特征在于，包括：

域名回切单元，用于将所述第二映射关系中未受到攻击的虚拟IP地址对应的域名回切到所述第一映射关系中。

21.根据权利要求20所述的DDoS攻击的检测装置，其特征在于，所述第一映射关系建立单元，具体基于预设的映射算法，将所述域名映射到预设的第一检测区域中的一组虚拟IP地址，在所述第一检测区域中建立所述第一映射关系；

其中，每个第一检测区域具有唯一确定的区域ID。

22.根据权利要求21所述的DDoS攻击的检测装置，其特征在于，包括：

第一映射关系存储单元，用于将所述第一检测区域中的所述第一映射关系存储至预设的映射关系存储空间；

其中，所述映射关系存储空间包括：数据库和内存。

23.根据权利要求22所述的DDoS攻击的检测装置，其特征在于，包括：

比对单元，用于将所述第一映射关系与所述映射关系存储空间中存储的往期第一映射关系进行比对；

更新单元，用于根据比对结果，利用所述第一映射关系更新所述往期第一映射关系。

24.根据权利要求23所述的DDoS攻击的检测装置，其特征在于，包括：

比对判断单元，用于判断所述第一映射关系中的虚拟IP地址与所述往期第一映射关系中的虚拟IP地址是否全部比对完毕；

若是，运行所述第一攻击检测单元；

若否，运行所述比对单元和所述更新单元。

25.根据权利要求21所述的DDoS攻击的检测装置，其特征在于，所述第一攻击检测单元，包括：

第一状态查询子单元，用于查询所述第一检测区域中的所述第一映射关系中虚拟IP地址的状态；

第一攻击判断子单元，用于根据查询获得的所述第一映射关系中虚拟IP地址的状态，判断所述虚拟IP地址是否受到DDoS攻击；

若是，运行所述第二映射关系建立单元；

若否，则等待预设的第一时间间隔之后，运行所述第一状态查询子单元和所述第一攻击判断子单元。

26.根据权利要求21所述的DDoS攻击的检测装置，其特征在于，针对所述第一检测区域中检测到的受攻击虚拟IP地址上分配的每一个域名，运行第二映射单元，直至所述第一检测区域中检测到的受攻击虚拟IP地址上分配的域名全部映射完毕，在预设的第二检测区域中建立所述第二映射关系；

所述第二映射单元，用于基于预设的映射算法，将该域名按照所述一一对应原则映射到预设的第二检测区域中的一个虚拟IP地址；

其中，所述第二映射关系中的每个虚拟IP地址上只分配一个域名。

27.根据权利要求26所述的DDoS攻击的检测装置，其特征在于，包括：

第二映射关系存储单元，用于将所述第二检测区域中的所述第二映射关系存储至预设的映射关系存储空间；

域名清空单元，用于清空所述第一检测区域中检测到的受攻击虚拟IP地址上分配的域名；

其中，所述映射关系存储空间包括：数据库和内存。

28.根据权利要求27所述的DDoS攻击的检测装置，其特征在于，所述第二攻击检测单元，包括：

第二状态查询子单元，用于查询所述第二检测区域中的所述第二映射关系中虚拟IP地址的状态；

第二攻击判断子单元，用于根据查询获得的所述第二映射关系中虚拟IP地址的状态，判断所述虚拟IP地址是否受到DDoS攻击；

若是，运行所述防范攻击操作执行单元；

若否，等待预设的第二时间间隔之后，运行所述第二状态查询子单元和所述第二攻击判断子单元。

Images