CN111404866A - 跨域联动防护系统、方法、装置、介质和设备 - Google Patents

Abstract

本发明涉及网络安全技术领域，特别涉及一种DDoS攻击的跨域联动防护系统、方法、装置、介质和设备。其中，攻击目标设备生成的攻击缓解设备请求中可以携带DDoS攻击类型信息，通过跨域联动防护客户端转发该攻击缓解设备请求后，跨域联动防护服务器可以根据该攻击缓解设备请求，生成携带DDoS攻击类型信息的攻击缓解请求。考虑到目前协议不支持攻击缓解设备对DDoS攻击类型信息进行解析，可以通过增加缓解适配设备的方式，利用缓解适配设备对攻击缓解请求进行解析和重组，从而确定出攻击缓解设备对应的攻击缓解指令。使得攻击缓解设备通过执行缓解适配设备确定出的攻击缓解指令，即可以实现针对不同DDoS攻击类型的精细化攻击过滤。

Description

跨域联动防护系统、方法、装置、介质和设备

技术领域

本发明涉及网络安全技术领域，特别涉及一种分布式拒绝服务(DDoS，Distributed Denial of Service)攻击的跨域联动防护系统、方法、装置、介质和设备。

背景技术

跨域联动防护(DOTS)是IETF定义的一种针对DDoS攻击的跨域(跨组织机构)的处理框架，在不关注具体攻击处置设备与手段的条件下建立的一种通用架构、方法及处理机制。

其基本架构可以如图1所示。其中：

攻击目标设备(Attack Target)是指受到DDoS大面积攻击的目标(网络链路饱和，则可能是发生了DDoS攻击)。

攻击缓解设备(Mitigator)可以理解为提供DDoS攻击缓解(过滤)服务的设备。

跨域联动防护客户端(DOTS Client)能够获取DDoS攻击的相关信息。

跨域联动防护服务器(DOTS Server)用于唤醒Mitigator进行缓解服务。

DOTS Client与DOTS Server之间的接口示意图可以如图2所示。DOTS Client与DOTS Server之间有两个接口：信号通道(Signal Channel)和数据通道(Data Channel)。

Signal Channel用于DOTS Client向DOTS Server寻求攻击缓解，以及DOTSServer通知DOTS Client该缓解的状态；

Data Channel用于DOTS相关配置，以及(DOTS Client与DOTS Server之间)策略信息交换，比如创建标识符(缓解服务需要的资源)，该标识符能在攻击情况下，通过信号通道交互有效的获取资源；黑名单管理；白名单管理；过滤管理(流量过滤设置)。

在现有的DOTS实现机制中，仅定义了攻击目标设备的因特网协议(IP)地址、端口范围、协议类型、全限定域名(FQDN)、统一资源定位符(URI)。当前方案存在的主要问题：不关注与Mitigator和Attack Target之间的接口，也不关注Attack Target是如何发现攻击及Mitigator是如何缓解(过滤)攻击。

由于现有的DOTS实现机制未包含缓解的具体措施，导致攻击目标设备在请求过滤攻击的时候存在不足，仅能对指定目标发起的某种类型的流量进行全量丢弃。

由于攻击方法的不断演进，基于一种协议的攻击方法也在不断提升，例如：基于传输控制协议(TCP)的攻击手法包括同步洪水(SYN Flood)、确认字符洪水(ACK Flood)、关闭/断开洪水(FIN/RST Flood)等。单纯基于协议的过滤方法已经严重不能满足现有的DDoS攻击过滤需求。

发明内容

本发明实施例提供一种DDoS攻击的跨域联动防护系统、方法、装置、介质和设备，用于解决现有的DOTS实现机制，无法满足DDoS攻击精细化过滤需求的问题。

本发明提供一种分布式拒绝服务DDoS攻击的跨域联动防护系统，所述系统包括攻击目标设备、跨域联动防护客户端、跨域联动防护服务器以及缓解适配设备，其中：

所述攻击目标设备，用于将生成的攻击缓解设备请求发送给所述跨域联动防护客户端，所述攻击缓解设备请求中携带DDoS攻击类型信息；

所述跨域联动防护客户端，用于将所述攻击缓解设备请求发送至所述跨域联动防护服务器；

所述跨域联动防护服务器，用于根据所述攻击缓解设备请求，生成攻击缓解请求发送给所述缓解适配设备，其中所述攻击缓解请求携带所述DDoS攻击类型信息；

所述缓解适配设备，用于对所述攻击缓解请求进行解析和重组，确定攻击缓解设备对应的攻击缓解指令。

在一种可能的实现方式中，所述系统还包括攻击缓解设备：

所述攻击缓解设备，用于接收并执行所述缓解适配设备确定出的攻击缓解指令。

在一种可能的实现方式中，所述缓解适配设备，对所述攻击缓解请求进行解析和重组，确定攻击缓解设备对应的攻击缓解指令，包括：

根据攻击缓解设备的能力，对所述攻击缓解请求进行解析和重组，确定攻击缓解设备对应的攻击缓解指令。

在一种可能的实现方式中，所述缓解适配设备为集成在所述攻击缓解设备上的缓解适配器，或者为所述攻击缓解设备与所述跨域联动防护服务器之间的缓解适配网关。

在一种可能的实现方式中，所述DDoS攻击类型信息包括攻击手法和扩展名称两个字段，且为字符串string类型。

本发明还提供了一种分布式拒绝服务DDoS攻击的跨域联动防护方法，所述方法包括：

攻击目标设备生成攻击缓解设备请求，所述攻击缓解设备请求中携带DDoS攻击类型信息；

攻击目标设备将所述攻击缓解设备请求发送给跨域联动防护客户端。

本发明还提供了一种分布式拒绝服务DDoS攻击的跨域联动防护方法，所述方法包括：

跨域联动防护客户端接收攻击目标设备发送的攻击缓解设备请求，所述攻击缓解设备请求中携带DDoS攻击类型信息；

跨域联动防护客户端将所述攻击缓解设备请求发送至跨域联动防护服务器。

本发明还提供了一种分布式拒绝服务DDoS攻击的跨域联动防护方法，所述方法包括：

跨域联动防护服务器接收跨域联动防护客户端发送的攻击缓解设备请求，所述攻击缓解设备请求中携带DDoS攻击类型信息；

跨域联动防护服务器根据所述攻击缓解设备请求，生成攻击缓解请求，所述攻击缓解请求携带所述DDoS攻击类型信息；

跨域联动防护服务器将生成的所述攻击缓解请求发送给缓解适配设备。

本发明还提供了一种分布式拒绝服务DDoS攻击的跨域联动防护方法，所述方法包括：

缓解适配设备接收跨域联动防护服务器发送的攻击缓解请求，所述攻击缓解请求中携带DDoS攻击类型信息；

缓解适配设备对所述攻击缓解请求进行解析和重组，确定攻击缓解设备对应的攻击缓解指令；

缓解适配设备将确定出的所述攻击缓解指令发送至所述攻击缓解设备。

本发明还提供了一种分布式拒绝服务DDoS攻击的跨域联动防护方法，所述方法包括：

攻击缓解设备接收缓解适配设备确定出的攻击缓解指令，所述攻击缓解指令是所述缓解适配设备对接收到的攻击缓解请求进行解析和重组后得到的，所述攻击缓解请求中携带DDoS攻击类型信息；

攻击缓解设备执行所述攻击缓解指令。

本发明还提供了一种攻击目标设备，所述攻击目标设备包括：

生成模块，用于生成攻击缓解设备请求，所述攻击缓解设备请求中携带DDoS攻击类型信息；

发送模块，用于将所述攻击缓解设备请求发送给跨域联动防护客户端。

本发明还提供了一种跨域联动防护客户端，所述跨域联动防护客户端包括：

接收模块，用于接收攻击目标设备发送的攻击缓解设备请求，所述攻击缓解设备请求中携带DDoS攻击类型信息；

发送模块，用于将所述攻击缓解设备请求发送至跨域联动防护服务器。

本发明还提供了一种跨域联动防护服务器，所述跨域联动防护服务器包括：

接收模块，用于接收跨域联动防护客户端发送的攻击缓解设备请求，所述攻击缓解设备请求中携带DDoS攻击类型信息；

生成模块，用于根据所述攻击缓解设备请求，生成攻击缓解请求，所述攻击缓解请求携带所述DDoS攻击类型信息；

发送模块，用于将生成的所述攻击缓解请求发送给缓解适配设备。

本发明还提供了一种缓解适配设备，所述缓解适配设备包括：

接收模块，用于接收跨域联动防护服务器发送的攻击缓解请求，所述攻击缓解请求中携带DDoS攻击类型信息；

解析重组模块，用于对所述攻击缓解请求进行解析和重组，确定攻击缓解设备对应的攻击缓解指令；

发送模块，用于将确定出的所述攻击缓解指令发送至所述攻击缓解设备。

本发明还提供了一种攻击缓解设备，所述攻击缓解设备包括：

接收模块，用于接收缓解适配设备确定出的攻击缓解指令，所述攻击缓解指令是所述缓解适配设备对接收到的攻击缓解请求进行解析和重组后得到的，所述攻击缓解请求中携带DDoS攻击类型信息；

执行模块，用于执行所述攻击缓解指令。

本发明还提供了一种非易失性计算机存储介质，所述计算机存储介质存储有可执行程序，该可执行程序被处理器执行实现如上任一所述方法的步骤。

本发明还提供了一种分布式拒绝服务DDoS攻击的跨域联动防护设备，包括存储器、处理器、收发器以及总线接口；所述处理器，用于读取存储器中的程序，执行：

生成攻击缓解设备请求，所述攻击缓解设备请求中携带DDoS攻击类型信息；并通过所述收发器将所述攻击缓解设备请求发送给跨域联动防护客户端；或者，执行：

通过所述收发器接收攻击目标设备发送的攻击缓解设备请求，所述攻击缓解设备请求中携带DDoS攻击类型信息；并通过所述收发器将所述攻击缓解设备请求发送至跨域联动防护服务器；或者，执行：

通过所述收发器接收跨域联动防护客户端发送的攻击缓解设备请求，所述攻击缓解设备请求中携带DDoS攻击类型信息；根据所述攻击缓解设备请求，生成攻击缓解请求，所述攻击缓解请求携带所述DDoS攻击类型信息；并通过所述收发器将生成的所述攻击缓解请求发送给缓解适配设备；或者，执行：

通过所述收发器接收跨域联动防护服务器发送的攻击缓解请求，所述攻击缓解请求中携带DDoS攻击类型信息；对所述攻击缓解请求进行解析和重组，确定攻击缓解设备对应的攻击缓解指令；并通过所述收发器将确定出的所述攻击缓解指令发送至所述攻击缓解设备；或者，执行：

通过所述收发器接收缓解适配设备确定出的攻击缓解指令，所述攻击缓解指令是所述缓解适配设备对接收到的攻击缓解请求进行解析和重组后得到的，所述攻击缓解请求中携带DDoS攻击类型信息；执行所述攻击缓解指令。

根据本发明实施例提供的方案，攻击目标设备生成的攻击缓解设备请求中可以携带DDoS攻击类型信息，通过跨域联动防护客户端转发该攻击缓解设备请求后，跨域联动防护服务器可以根据该攻击缓解设备请求，生成携带DDoS攻击类型信息的攻击缓解请求。考虑到目前协议不支持攻击缓解设备对DDoS攻击类型信息进行解析，可以通过增加缓解适配设备的方式，利用缓解适配设备对携带DDoS攻击类型信息的攻击缓解请求进行解析和重组，从而确定出攻击缓解设备对应的攻击缓解指令。使得攻击缓解设备通过执行缓解适配设备确定出的攻击缓解指令，即可以实现针对不同DDoS攻击类型的精细化攻击过滤。

本发明的其它特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为现有技术提供的跨域联动防护的基本架构示意图；

图2为现有技术提供的DOTS Client与DOTS Server之间的接口示意图；

图3(a)和图3(b)为本发明实施例一提供的DDoS攻击的跨域联动防护系统的结构示意图；

图4为本发明实施例二提供的DDoS攻击的跨域联动防护方法的步骤流程图；

图5为本发明实施例三提供的DDoS攻击的跨域联动防护方法的步骤流程图；

图6为本发明实施例四提供的DDoS攻击的跨域联动防护方法的步骤流程图；

图7为本发明实施例五提供的DDoS攻击的跨域联动防护方法的步骤流程图；

图8为本发明实施例六提供的DDoS攻击的跨域联动防护方法的步骤流程图；

图9为本发明实施例七提供的DDoS攻击的跨域联动防护方法的步骤流程图；

图10为本发明实施例八提供的攻击目标设备的结构示意图；

图11为本发明实施例九提供的跨域联动防护客户端的结构示意图；

图12为本发明实施例十提供的跨域联动防护服务器的结构示意图；

图13为本发明实施例十一提供的缓解适配设备的结构示意图；

图14为本发明实施例十二提供的攻击缓解设备的结构示意图；

图15为本发明实施例十三提供的DDoS攻击的跨域联动防护设备的结构示意图。

具体实施方式

本案发明人研究发现，现有的攻击目标设备基于软硬件能力(如网络流量分析(NetFlow)机制)已具备上报攻击类型的基本能力，且攻击缓解设备(如DDoS防护设备、云清洗中心)等均具备依据攻击类型进行细粒度清洗的能力。

因此，本申请提案提出一种基于DOTS创建标识符协议扩展的方法与系统实现机制，通过在DOTS创建标识符协议中增加“DDoS攻击类型信息”字段，解决难以针对攻击目标设备的被攻击特征进行精细化防护的问题。

而考虑到目前协议不支持攻击缓解设备对DDoS攻击类型信息进行解析，在DDoS攻击的跨域联动防护系统进行精细化过滤的过程中，可以增加缓解适配设备，通过缓解适配设备根据攻击缓解设备的能力，对携带DDoS攻击类型信息的攻击缓解请求进行处理，解析各种定义方式形成的DDoS攻击类型信息，根据攻击缓解设备的不同类型需要，形成攻击缓解设备可以处理的消息，完成指令的适配转换，使得DDoS攻击的跨域联动防护可以顺利实现。

为了使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明作进一步地详细描述，显然，所描述的实施例仅仅是本发明的一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

需要说明的是，在本文中提及的“多个或者若干个”是指两个或两个以上。“和/或”，描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。

本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。

此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。

实施例一

本发明实施例一提供一种DDoS攻击的跨域联动防护系统，该系统可以包括攻击目标设备11、跨域联动防护客户端12、跨域联动防护服务器13和缓解适配设备14，其中：

所述攻击目标设备11用于将生成的攻击缓解设备请求发送给所述跨域联动防护客户端，所述攻击缓解设备请求中携带DDoS攻击类型信息；

所述跨域联动防护客户端12用于将所述攻击缓解设备请求发送至所述跨域联动防护服务器；具体的，所述跨域联动防护客户端12可以响应所述攻击目标设备，并将所述攻击缓解设备请求发送至所述跨域联动防护服务器。

所述跨域联动防护服务器13用于根据所述攻击缓解设备请求，生成攻击缓解请求发送给所述缓解适配设备，其中所述攻击缓解请求携带所述DDoS攻击类型信息；具体的，所述跨域联动防护服务器13可以响应所述跨域联动防护客户端，并可以根据所述攻击缓解设备请求以及所述攻击缓解设备的类型，生成攻击缓解请求发送给所述缓解适配设备。

所述缓解适配设备14用于对所述攻击缓解请求进行解析和重组，确定攻击缓解设备对应的攻击缓解指令；即考虑到目前协议不支持攻击缓解设备对DDoS攻击类型信息进行解析，可以通过增加缓解适配设备的方式，对攻击缓解请求进行处理，解析各种定义方式形成的DDoS攻击类型信息，形成攻击缓解设备可以处理的消息，完成指令的适配转换。

具体的，所述缓解适配设备14可以根据攻击缓解设备的能力，对所述攻击缓解请求进行解析和重组，确定攻击缓解设备对应的攻击缓解指令。

当然，所述系统还可以进一步包括攻击缓解设备15：

所述攻击缓解设备15用于接收并执行所述缓解适配设备确定出的攻击缓解指令。

需要说明的是，攻击目标设备11的数量可以为一个，也可以为至少两个。在攻击目标设备11的数量为多个时，可以理解为每个攻击目标设备11，均可以生成携带DDoS攻击类型信息的攻击缓解设备请求发送给跨域联动防护客户端。

所述跨域联动防护客户端12以及所述跨域联动防护服务器13的数量也均可以为一个或多个。

攻击缓解设备15的数量也可以为一个或至少两个。在攻击缓解设备15的数量为多个时，可以理解为所述缓解适配设备针对每个攻击缓解设备均确定出对应的攻击缓解指令，每个攻击缓解设备执行其对应的攻击缓解指令。

需要说明的是，所述缓解适配设备的形式可以为多样。例如，可以但不限于为集成在所述攻击缓解设备上的缓解适配器，或者为所述攻击缓解设备与所述跨域联动防护服务器之间的缓解适配网关。

具体的，在攻击缓解设备数量较少时，可以在每个攻击缓解设备上集成缓解适配器进行指令的适配转换，得到每个攻击缓解设备对应的攻击缓解指令。可以理解为缓解适配器可以通过软件植入的方式实现，从而提高缓解适配设备实现的便利性。

在攻击缓解设备数量较多，或者攻击缓解设备是硬件无法升级软件时，可以为所有攻击缓解设备部署专用的缓解适配网关进行指令的适配转换，得到每个攻击缓解设备对应的攻击缓解指令。从而保证即使攻击缓解设备无法升级软件依然可以实现指令的适配转换，并可以在攻击缓解设备数量较多时，无需在每个攻击缓解设备上安装缓解适配器，通过缓解适配网关即可以统一进行指令的适配转换，简化系统结构。

当所述缓解适配设备为集成在所述攻击缓解设备上的缓解适配器时，所述系统的结构示意图可以如图3(a)所示，在图3(a)中以攻击目标设备(Attack Target)的数量为多个为例进行示意，且图3(a)中的DOTS Client(s)表示跨域联动防护客户端的数量可以为一个也可以为多个，DOTS Server(s)表示跨域联动防护服务器的数量可以为一个也可以为多个。在图3(a)中以攻击缓解设备(Mitigator)的数量为多个为例进行示意，且可以理解为在每个Mitigator上均集成有一个缓解适配器(Mitigator Adapter)。且在图3(a)中，攻击目标设备可以理解为受攻击的一方，攻击缓解设备(Mitigator)和缓解适配器(MitigatorAdapter)可以理解为防御攻击的一方(Defense Attack Target)，DOTS Client(s)与DOTSServer(s)之间有两个接口：信号通道(Signal Channel)和数据通道(Data Channel)。

当所述缓解适配设备为所述攻击缓解设备与所述跨域联动防护服务器之间的缓解适配网关(Mitigator Gateway)时，所述系统的结构示意图可以图3(b)所示。在图3(b)中以攻击目标设备(Attack Target)的数量为多个为例进行示意，且图3(b)中的DOTS Client(s)表示跨域联动防护客户端的数量可以为一个也可以为多个，DOTS Server(s)表示跨域联动防护服务器的数量可以为一个也可以为多个。在图3(b)中以攻击缓解设备(Mitigator)的数量为多个为例进行示意。且在图3(b)中，攻击目标设备可以理解为受攻击的一方，攻击缓解设备(Mitigator)和缓解适配网关(Mitigator Gateway)可以理解为防御攻击的一方(Defense Attack Target)，DOTS Client(s)与DOTS Server(s)之间有两个接口：信号通道(Signal Channel)和数据通道(Data Channel)。

本实施例提供的系统，对基于DOTS协议进行扩展，在攻击缓解设备请求中增加DDoS攻击类型信息(可以但不限于命名为target-Attack-Type信息)，并可以利用缓解适配设备对携带DDoS攻击类型信息的攻击缓解请求进行指令适配后，发送至攻击缓解设备，以便于攻击缓解设备可以根据DDoS攻击类型信息进行攻击缓解，满足DDoS联动处置系统精细化清洗的需求。在攻击缓解设备请求中增加的DDoS攻击类型信息可以理解为属于信号(Signal)消息。需要说明的是，现有的攻击目标设备可以基于软硬件能力，可以但不限于根据流量进行攻击类型的识别。

DDoS攻击类型信息(此处命名为target-Attack-Type信息)可以如下表1所示：

表1

即，在本实施例中，DDoS攻击类型信息(即target-Attack-Type信息)可以为字符串(string)类型，且可以包括攻击手法(Attack-Name)和扩展名称(Attack-Alias)两个字段。

针对部分常见的DDoS攻击的描述信息可以包括但不限于如表2所示字段及表3所述格式：

表2

表3

target-Attack-Type信息中攻击手法字段和扩展名称字段的内容，可以根据DDoS攻击的描述信息确定。结合表2和表3中的内容，举例来说，针对协议层级为应用层，协议名称为HTTP，操作端口为GET、攻击方法为Flood，且攻击别名为HTTP Get/Post泛洪攻击的DDoS攻击，在协议中target-Attack-Type信息的攻击手法(Attack-Name)字段可以但不限于为“HTTP Get Flood”，扩展名称(Attack-Alias)字段可以但不限于为“HTTP Get/PostFlood”。此外，根据DDoS攻击描述信息的不同定义方式，DDoS攻击类型信息的攻击手法字段和扩展名称字段可以有不同的表达方式。

攻击手法(Attack-Name)字段为“HTTP Get Flood”、扩展名称(Attack-Alias)字段为“HTTP CC Flood”时，协议中target-Attack-Type信息可以如下所示：

{

"Attack-Name":"HTTP Get Flood"

"Attack-Alias":"HTTP Get/Post Flood"

}

在本实施例提供的方案中，可以在攻击缓解设备请求中增加DDoS攻击类型信息，对DDoS攻击类型进行标记，并可以基于缓解适配设备(如，缓解适配器或缓解适配网关)对DDoS攻击类型信息进行解析，配合攻击缓解设备进行精细化DDoS攻击过滤。

在本实施例提供的方案的技术优点至少包括，充分发挥DDoS攻击检测能力，将DDoS攻击类型基于DOTS架构进行上报，便于后续进行细粒度清洗的目标；并提供了缓解适配机制，如Mitigator Adapter、Mitigator Gateway两种机制，便于在不同场景下执行DOTS协议的扩展解析。

与实施例一基于同一发明构思，提供以下的方法、装置、介质和设备。

实施例二

本发明实施例二提供一种DDoS攻击的跨域联动防护方法，本实施例对系统整体流程进行说明。该方法的步骤流程可以如图4所示，包括：

步骤101、攻击目标设备发送攻击缓解设备请求。

在本步骤中，攻击目标设备(Attack Target)可以发送攻击缓解设备请求(Mitigator Request)，其中携带DDoS攻击类型信息(target-Attack-Type信息)。

步骤102、跨域联动防护客户端接收攻击缓解设备请求。

在本步骤中，跨域联动防护客户端(DOTS Client)可以接收Mitigator Request，并响应Attack Target。

步骤103、跨域联动防护服务器接收攻击缓解设备请求。

DOTS Client接收到Mitigator Request后，继续向跨域联动防护服务器(DOTSServer)发送。在本步骤中，DOTS Server可以接收DOTS Client发送的Mitigator Request，并响应DOTS Client。

步骤104、跨域联动防护服务器生成攻击缓解请求并发送。

在本步骤中，DOTS Server可以根据接收到的Mitigator Request，继续生成攻击缓解请求发送给缓解适配设备，其中所述攻击缓解请求携带DDoS攻击类型信息(即target-Attack-Type信息)。

步骤105、缓解适配设备进行指令适配。

在本步骤中，缓解适配设备(例如，可以为Mitigator Adapter或MitigatorGateway)可以对接收到的攻击缓解请求进行解析和重组，确定攻击缓解设备对应的攻击缓解指令。

步骤106、攻击缓解设备执行攻击缓解指令。

在本步骤中，攻击缓解设备可以执行接收到的缓解适配设备确定出的攻击缓解指令，实现精细化的DDos攻击过滤。

可以理解为，本实施例提供的方法相对于现有技术的改进主要在于步骤102和步骤105，在步骤102中实现携带DDoS攻击类型信息的攻击缓解设备请求的生成，在步骤105中实现对携带DDoS攻击类型信息的攻击缓解请求的适配。

实施例三

本发明实施例三提供一种DDoS攻击的跨域联动防护方法，该方法的步骤流程可以如图5所示，包括：

步骤201、生成攻击缓解设备请求。

在本步骤中，攻击目标设备可以生成攻击缓解设备请求，所述攻击缓解设备请求中携带DDoS攻击类型信息。

步骤202、发送攻击缓解设备请求。

在本步骤中，攻击目标设备可以将生成的攻击缓解设备请求，发送给跨域联动防护客户端。

实施例四

本发明实施例四提供一种DDoS攻击的跨域联动防护方法，该方法的步骤流程可以如图6所示，包括：

步骤301、接收攻击缓解设备请求。

在本步骤中，跨域联动防护客户端可以接收攻击目标设备发送的攻击缓解设备请求，所述攻击缓解设备请求中携带DDoS攻击类型信息。

步骤302、发送攻击缓解设备请求。

在本步骤中，跨域联动防护客户端可以将接收到的攻击缓解设备请求发送至跨域联动防护服务器。

实施例五

本发明实施例五提供一种DDoS攻击的跨域联动防护方法，该方法的步骤流程可以如图7所示，包括：

步骤401、接收攻击缓解设备请求。

在本步骤中，跨域联动防护服务器可以接收跨域联动防护客户端发送的攻击缓解设备请求，所述攻击缓解设备请求中携带DDoS攻击类型信息。

步骤402、生成攻击缓解请求。

在本步骤中，跨域联动防护服务器可以根据接收到的攻击缓解设备请求，生成攻击缓解请求，所述攻击缓解请求携带所述DDoS攻击类型信息。

步骤403、发送攻击缓解请求。

在本步骤中，跨域联动防护服务器可以将生成的所述攻击缓解请求发送给缓解适配设备。

实施例六

本发明实施例六提供一种DDoS攻击的跨域联动防护方法，该方法的步骤流程可以如图8所示，包括：

步骤501、接收攻击缓解请求。

在本步骤中，缓解适配设备可以接收跨域联动防护服务器发送的攻击缓解请求，所述攻击缓解请求中携带DDoS攻击类型信息。

步骤502、确定攻击缓解指令。

在本步骤中，缓解适配设备可以对接收到的攻击缓解请求进行解析和重组，确定攻击缓解设备对应的攻击缓解指令。

步骤503、发送攻击缓解指令。

在本步骤中，缓解适配设备可以将确定出的攻击缓解指令发送至攻击缓解设备。

实施例七

本发明实施例七提供一种DDoS攻击的跨域联动防护方法，该方法的步骤流程可以如图9所示，包括：

步骤601、接收攻击缓解指令。

在本步骤中，攻击缓解设备可以接收缓解适配设备确定出的攻击缓解指令，所述攻击缓解指令是所述缓解适配设备对接收到的攻击缓解请求进行解析和重组后得到的，所述攻击缓解请求中携带DDoS攻击类型信息。

步骤602、执行攻击缓解指令。

在本步骤中，攻击缓解设备可以执行缓解适配设备确定出的攻击缓解指令。

与实施例三～七提供的方法对应的，提供以下的装置。

实施例八

本发明实施例八提供一种攻击目标设备，其结构示意图可以如图10所示，包括：

生成模块21用于生成攻击缓解设备请求，所述攻击缓解设备请求中携带DDoS攻击类型信息；

发送模块22用于将所述攻击缓解设备请求发送给跨域联动防护客户端。

实施例九

本发明实施例九提供一种跨域联动防护客户端，其结构示意图可以如图11所示，包括：

接收模块31用于接收攻击目标设备发送的攻击缓解设备请求，所述攻击缓解设备请求中携带DDoS攻击类型信息；

发送模块32用于将所述攻击缓解设备请求发送至跨域联动防护服务器。

实施例十

本发明实施例十提供一种跨域联动防护服务器，其结构示意图可以如图12所示，包括：

接收模块41用于接收跨域联动防护客户端发送的攻击缓解设备请求，所述攻击缓解设备请求中携带DDoS攻击类型信息；

生成模块42用于根据所述攻击缓解设备请求，生成攻击缓解请求，所述攻击缓解请求携带所述DDoS攻击类型信息；

发送模块43用于将生成的所述攻击缓解请求发送给缓解适配设备。

实施例十一

本发明实施例十一提供一种缓解适配设备，其结构示意图可以如图13所示，包括：

接收模块51用于接收跨域联动防护服务器发送的攻击缓解请求，所述攻击缓解请求中携带DDoS攻击类型信息；

解析重组模块52用于对所述攻击缓解请求进行解析和重组，确定攻击缓解设备对应的攻击缓解指令；

发送模块53用于将确定出的所述攻击缓解指令发送至所述攻击缓解设备。

实施例十二

本发明实施例十二提供一种攻击缓解设备，其结构示意图可以如图14所示，包括：

接收模块61用于接收缓解适配设备确定出的攻击缓解指令，所述攻击缓解指令是所述缓解适配设备对接收到的攻击缓解请求进行解析和重组后得到的，所述攻击缓解请求中携带DDoS攻击类型信息；

执行模块62用于执行所述攻击缓解指令。

基于同一发明构思，本发明实施例提供以下的设备和介质。

实施例十三

本发明实施例十三提供一种DDoS攻击的跨域联动防护设备，该设备的结构可以如图15所示，包括存储器71、处理器72、收发器73以及总线接口；所述处理器72，用于读取存储器71中的程序，执行：

生成攻击缓解设备请求，所述攻击缓解设备请求中携带DDoS攻击类型信息；并通过所述收发器73将所述攻击缓解设备请求发送给跨域联动防护客户端；或者，执行：

通过所述收发器73接收攻击目标设备发送的攻击缓解设备请求，所述攻击缓解设备请求中携带DDoS攻击类型信息；并通过所述收发器73将所述攻击缓解设备请求发送至跨域联动防护服务器；或者，执行：

通过所述收发器73接收跨域联动防护客户端发送的攻击缓解设备请求，所述攻击缓解设备请求中携带DDoS攻击类型信息；根据所述攻击缓解设备请求，生成攻击缓解请求，所述攻击缓解请求携带所述DDoS攻击类型信息；并通过所述收发器73将生成的所述攻击缓解请求发送给缓解适配设备；或者，执行：

通过所述收发器73接收跨域联动防护服务器发送的攻击缓解请求，所述攻击缓解请求中携带DDoS攻击类型信息；对所述攻击缓解请求进行解析和重组，确定攻击缓解设备对应的攻击缓解指令；并通过所述收发器73将确定出的所述攻击缓解指令发送至所述攻击缓解设备；或者，执行：

通过所述收发器73接收缓解适配设备确定出的攻击缓解指令，所述攻击缓解指令是所述缓解适配设备对接收到的攻击缓解请求进行解析和重组后得到的，所述攻击缓解请求中携带DDoS攻击类型信息；执行所述攻击缓解指令。

可选的，所述处理器72具体可以包括中央处理器(CPU)、特定应用集成电路(ASIC，application specific integrated circuit)，可以是一个或多个用于控制程序执行的集成电路，可以是使用现场可编程门阵列(FPGA，field programmable gate array)开发的硬件电路，可以是基带处理器。

可选的，所述处理器72可以包括至少一个处理核心。

可选的，所述存储器71可以包括只读存储器(ROM，read only memory)、随机存取存储器(RAM，random access memory)和磁盘存储器。存储器71用于存储至少一个处理器72运行时所需的数据。存储器71的数量可以为一个或多个。

本发明实施例十四提供一种非易失性计算机存储介质，所述计算机存储介质存储有可执行程序，当可执行程序被处理器执行时，实现本发明实施例三～七提供的方法。

在具体的实施过程中，计算机存储介质可以包括：通用串行总线闪存盘(USB，Universal Serial Bus flash drive)、移动硬盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的存储介质。

在本发明实施例中，应该理解到，所揭露的设备和方法，可以通过其它的方式实现。例如，以上所描述的设备实施例仅仅是示意性的，例如，所述单元或单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，设备或单元的间接耦合或通信连接，可以是电性或其它的形式。

在本发明实施例中的各功能单元可以集成在一个处理单元中，或者各个单元也可以均是独立的物理模块。

所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明实施例的技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备，例如可以是个人计算机，服务器，或者网络设备等，或处理器(processor)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：通用串行总线闪存盘(universal serial bus flash drive)、移动硬盘、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。

本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本发明是参照根据本发明实施例的方法、装置(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

尽管已描述了本发明的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例作出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。

显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。

Claims (17)

1.一种分布式拒绝服务DDoS攻击的跨域联动防护系统，其特征在于，所述系统包括攻击目标设备、跨域联动防护客户端、跨域联动防护服务器以及缓解适配设备，其中：

所述攻击目标设备，用于将生成的攻击缓解设备请求发送给所述跨域联动防护客户端，所述攻击缓解设备请求中携带DDoS攻击类型信息；

所述跨域联动防护客户端，用于将所述攻击缓解设备请求发送至所述跨域联动防护服务器；

所述跨域联动防护服务器，用于根据所述攻击缓解设备请求，生成攻击缓解请求发送给所述缓解适配设备，其中所述攻击缓解请求携带所述DDoS攻击类型信息；

所述缓解适配设备，用于对所述攻击缓解请求进行解析和重组，确定攻击缓解设备对应的攻击缓解指令。

2.如权利要求1所述的系统，其特征在于，所述系统还包括攻击缓解设备：

所述攻击缓解设备，用于接收并执行所述缓解适配设备确定出的攻击缓解指令。

3.如权利要求1所述的系统，其特征在于，所述缓解适配设备，对所述攻击缓解请求进行解析和重组，确定攻击缓解设备对应的攻击缓解指令，包括：

根据攻击缓解设备的能力，对所述攻击缓解请求进行解析和重组，确定攻击缓解设备对应的攻击缓解指令。

4.如权利要求1所述的系统，其特征在于，所述缓解适配设备为集成在所述攻击缓解设备上的缓解适配器，或者为所述攻击缓解设备与所述跨域联动防护服务器之间的缓解适配网关。

5.如权利要求1～4任一所述的系统，其特征在于，所述DDoS攻击类型信息包括攻击手法和扩展名称两个字段，且为字符串string类型。

6.一种分布式拒绝服务DDoS攻击的跨域联动防护方法，其特征在于，所述方法包括：

攻击目标设备生成攻击缓解设备请求，所述攻击缓解设备请求中携带DDoS攻击类型信息；

攻击目标设备将所述攻击缓解设备请求发送给跨域联动防护客户端。

7.一种分布式拒绝服务DDoS攻击的跨域联动防护方法，其特征在于，所述方法包括：

跨域联动防护客户端接收攻击目标设备发送的攻击缓解设备请求，所述攻击缓解设备请求中携带DDoS攻击类型信息；

跨域联动防护客户端将所述攻击缓解设备请求发送至跨域联动防护服务器。

8.一种分布式拒绝服务DDoS攻击的跨域联动防护方法，其特征在于，所述方法包括：

跨域联动防护服务器接收跨域联动防护客户端发送的攻击缓解设备请求，所述攻击缓解设备请求中携带DDoS攻击类型信息；

跨域联动防护服务器根据所述攻击缓解设备请求，生成攻击缓解请求，所述攻击缓解请求携带所述DDoS攻击类型信息；

跨域联动防护服务器将生成的所述攻击缓解请求发送给缓解适配设备。

9.一种分布式拒绝服务DDoS攻击的跨域联动防护方法，其特征在于，所述方法包括：

缓解适配设备接收跨域联动防护服务器发送的攻击缓解请求，所述攻击缓解请求中携带DDoS攻击类型信息；

缓解适配设备对所述攻击缓解请求进行解析和重组，确定攻击缓解设备对应的攻击缓解指令；

缓解适配设备将确定出的所述攻击缓解指令发送至所述攻击缓解设备。

10.一种分布式拒绝服务DDoS攻击的跨域联动防护方法，其特征在于，所述方法包括：

攻击缓解设备接收缓解适配设备确定出的攻击缓解指令，所述攻击缓解指令是所述缓解适配设备对接收到的攻击缓解请求进行解析和重组后得到的，所述攻击缓解请求中携带DDoS攻击类型信息；

攻击缓解设备执行所述攻击缓解指令。

11.一种攻击目标设备，其特征在于，所述攻击目标设备包括：

生成模块，用于生成攻击缓解设备请求，所述攻击缓解设备请求中携带DDoS攻击类型信息；

发送模块，用于将所述攻击缓解设备请求发送给跨域联动防护客户端。

12.一种跨域联动防护客户端，其特征在于，所述跨域联动防护客户端包括：

接收模块，用于接收攻击目标设备发送的攻击缓解设备请求，所述攻击缓解设备请求中携带DDoS攻击类型信息；

发送模块，用于将所述攻击缓解设备请求发送至跨域联动防护服务器。

13.一种跨域联动防护服务器，其特征在于，所述跨域联动防护服务器包括：

接收模块，用于接收跨域联动防护客户端发送的攻击缓解设备请求，所述攻击缓解设备请求中携带DDoS攻击类型信息；

生成模块，用于根据所述攻击缓解设备请求，生成攻击缓解请求，所述攻击缓解请求携带所述DDoS攻击类型信息；

发送模块，用于将生成的所述攻击缓解请求发送给缓解适配设备。

14.一种缓解适配设备，其特征在于，所述缓解适配设备包括：

接收模块，用于接收跨域联动防护服务器发送的攻击缓解请求，所述攻击缓解请求中携带DDoS攻击类型信息；

解析重组模块，用于对所述攻击缓解请求进行解析和重组，确定攻击缓解设备对应的攻击缓解指令；

发送模块，用于将确定出的所述攻击缓解指令发送至所述攻击缓解设备。

15.一种攻击缓解设备，其特征在于，所述攻击缓解设备包括：

接收模块，用于接收缓解适配设备确定出的攻击缓解指令，所述攻击缓解指令是所述缓解适配设备对接收到的攻击缓解请求进行解析和重组后得到的，所述攻击缓解请求中携带DDoS攻击类型信息；

执行模块，用于执行所述攻击缓解指令。

16.一种非易失性计算机存储介质，其特征在于，所述计算机存储介质存储有可执行程序，该可执行程序被处理器执行实现权利要求6～10任一所述方法的步骤。

17.一种分布式拒绝服务DDoS攻击的跨域联动防护设备，其特征在于，包括存储器、处理器、收发器以及总线接口；所述处理器，用于读取存储器中的程序，执行：

生成攻击缓解设备请求，所述攻击缓解设备请求中携带DDoS攻击类型信息；并通过所述收发器将所述攻击缓解设备请求发送给跨域联动防护客户端；或者，执行：

通过所述收发器接收攻击目标设备发送的攻击缓解设备请求，所述攻击缓解设备请求中携带DDoS攻击类型信息；并通过所述收发器将所述攻击缓解设备请求发送至跨域联动防护服务器；或者，执行：

通过所述收发器接收跨域联动防护客户端发送的攻击缓解设备请求，所述攻击缓解设备请求中携带DDoS攻击类型信息；根据所述攻击缓解设备请求，生成攻击缓解请求，所述攻击缓解请求携带所述DDoS攻击类型信息；并通过所述收发器将生成的所述攻击缓解请求发送给缓解适配设备；或者，执行：

通过所述收发器接收跨域联动防护服务器发送的攻击缓解请求，所述攻击缓解请求中携带DDoS攻击类型信息；对所述攻击缓解请求进行解析和重组，确定攻击缓解设备对应的攻击缓解指令；并通过所述收发器将确定出的所述攻击缓解指令发送至所述攻击缓解设备；或者，执行：

通过所述收发器接收缓解适配设备确定出的攻击缓解指令，所述攻击缓解指令是所述缓解适配设备对接收到的攻击缓解请求进行解析和重组后得到的，所述攻击缓解请求中携带DDoS攻击类型信息；执行所述攻击缓解指令。

Images