CN112437083A - 防护云资源被网络攻击的方法、系统和电子设备 - Google Patents

Abstract

本发明提供了一种防护云资源被网络攻击的方法、系统和电子设备，涉及网络安全技术领域，该方法包括接收发送至目标IP地址的访问请求，并对该访问请求进行识别；其中，该目标IP地址预先绑定该云资源；如果该访问请求为攻击请求，则对该攻击请求进行拦截；如果该访问请求为非攻击请求，则将该非攻击请求转发至该云资源集群。本发明实施例通过在待防护的云资源集群前端部署攻击清洗集群，并通过该攻击清洗集群接收针对待防护的云资源的访问请求，并对该访问请求进行攻击识别，将识别出的攻击请求清洗掉，从而有效拦截了恶意流量，提高了云计算服务场景中服务器对DDoS攻击的原生防护能力，提升了云资源集群的安全性和云服务的稳定性。

Description

防护云资源被网络攻击的方法、系统和电子设备

技术领域

本发明涉及网络安全技术领域，尤其是涉及一种防护云资源被网络攻击的方法、系统和电子设备。

背景技术

DDoS(Distributed denial of service attack，分布式拒绝服务攻击)是指黑客通过非法控制大量傀儡机、IOT(The Internet of Things，物联网)设备等同时对目标(例如服务器)发起请求，以堵塞目标网络出口链路或消耗目标可用资源为目的的网络攻击。

高防IP是目前最常用的一种防御DDoS攻击的手段，在服务器遭受大流量攻击时，用户可以通过配置DDoS高防IP，将攻击流量引流到高防IP，防护系统进行流量过滤清洗，再把正常的流量返回给服务器，确保源站的正常可用。

在公有云的云计算服务的场景中，高防IP技术有以下缺陷：1、为租户的云服务器接入高防IP需要更换该云服务器的对外提供服务的IP地址，这样的话，转发配置繁琐，容易出错；2、使用高防IP会产生额外的回源带宽费用，成本高；3、使用高防IP绕行导致访问质量下降。

综上，云计算服务的场景中亟需一种更好的解决上述问题的防护方案。

发明内容

有鉴于此，本发明的目的在于提供一种防护云资源被网络攻击的方法、系统和系统，可以提高云计算服务场景中服务器对DDoS攻击的原生防护能力，提升服务的稳定性。

第一方面，本发明实施例提供了一种防护云资源被网络攻击的方法，应用于攻击清洗集群，该攻击清洗集群与待防护的云资源集群通信连接，该云资源集群包括至少一台服务器，该云资源集群的服务器上部署有待防护的云资源；该攻击清洗集群包括至少一台服务器，该攻击清洗集群的服务器中部署有攻击清洗程序，该攻击清洗程序在运行时执行以下步骤：接收发送至目标IP地址的访问请求，并对该访问请求进行识别；其中，该目标IP地址预先绑定该云资源；如果该访问请求为攻击请求，则对该攻击请求进行拦截；如果该访问请求为非攻击请求，则将该非攻击请求转发至该云资源集群。

在本发明可选的实施例中，上述攻击清洗集群的网络入口为第一网络入口，该云资源集群的网络入口为第二网络入口，该第一网络入口与该第二网络入口为不同的网络入口；在上述接收发送至目标IP地址的访问请求之前，该方法还包括：获取目标IP地址；将该目标IP地址发布在该第一网络入口所在的网络设备；该攻击清洗程序在运行时执行的步骤还包括：如果该访问请求为非攻击请求，则将该非攻击请求转发至该第二网络入口所在的网络设备。

在本发明可选的实施例中，上述攻击清洗集群和该云资源集群通过高速通信通道连接；如果该访问请求为非攻击请求，则通过该高速通信通道将该非攻击请求发送至该云资源集群。

在本发明可选的实施例中，上述攻击清洗集群包括DDoS清洗集群和CC清洗集群，该DDoS清洗集群和CC清洗集群通信连接；该DDoS清洗集群的服务器中部署有DDoS攻击清洗程序，该DDoS攻击清洗程序在运行时执行以下步骤：通过该第一网络入口接收发送至目标IP地址的访问请求；如果将该访问请求识别为DDoS攻击请求，则对该DDoS攻击请求进行拦截；如果将该访问请求识别为非DDoS攻击请求，则将该非DDoS攻击请求转发至该CC清洗集群；该CC清洗集群的服务器中部署有CC攻击清洗程序，该CC攻击清洗程序在运行时执行以下步骤：接收该DDoS清洗集群转发的发送至目标IP地址的访问请求，并对该访问请求进行识别；如果该访问请求为CC攻击请求，则对该CC攻击请求进行拦截；如果该访问请求为非CC攻击请求，则将该非CC攻击请求转发至与至该云资源集群。

第二方面，本发明实施例还提供了一种防护云资源被网络攻击的系统，该系统部署在攻击清洗集群，该攻击清洗集群包括至少一台服务器，该系统包括：流量接收模块，用于接收发送至目标IP地址的访问请求；其中，该目标IP地址预先绑定被防护的云资源，该云资源部署在云资源集群的服务器上；该攻击清洗集群与待防护的云资源集群通信连接；攻击识别模块，用于对该访问请求进行识别；流量拦截模块，用于如果该攻击识别模块将该访问请求识别为攻击请求，则对该攻击请求进行拦截；流量转发模块，用于如果该攻击识别模块将该访问请求识别为非攻击请求，则将该非攻击请求转发至该云资源集群。

在本发明可选的实施例中，上述攻击清洗集群的网络入口为第一网络入口，该云资源集群的网络入口为第二网络入口，该第一网络入口与该第二网络入口为不同的网络入口；该系统还包括：IP地址获取模块，用于获取目标IP地址；IP地址发布模块，用于将该目标IP地址发布在该第一网络入口所在的网络设备；该流量转发模块，还用于在当该攻击识别模块将该访问请求为非攻击请求时，则将该非攻击请求转发至该第二网络入口所在的网络设备。

在本发明可选的实施例中，上述攻击清洗集群和该云资源集群通过高速通信通道连接；该流量转发模块，还用于当该访问请求为非攻击请求时，则通过该高速通信通道将该非攻击请求发送至该云资源集群。

在本发明可选的实施例中，上述攻击清洗集群包括DDoS清洗集群和CC清洗集群，该DDoS清洗集群和该CC清洗集群通信连接；该系统包括：DDoS清洗子系统和CC清洗子系统；该DDoS清洗子系统，包括：第一流量接收模块：用于通过该第一网络入口接收发送至该目标IP地址的访问请求；DDoS攻击识别模块：用于识别该访问请求是否为DDoS攻击；DDoS攻击拦截模块：如果该DDoS攻击识别模块将该访问请求识别为DDoS攻击请求，则对该DDoS攻击请求进行拦截；第一流量转发模块：如果该DDoS攻击识别模块将该访问请求识别为非DDoS攻击请求，则将该非DDoS攻击请求转发至该CC清洗集群；该CC清洗子系统，包括：第二流量接收模块，用于接收该DDoS清洗集群转发的发送至目标IP地址的访问请求；CC攻击识别模块，用于识别该访问请求是否为CC攻击；CC攻击拦截模块：如果该CC攻击识别模块将该访问请求识别为CC攻击请求，则对该CC攻击请求进行拦截；第二流量转发模块：如果该CC攻击识别模块将该访问请求识别为非CC攻击请求，则将该非CC攻击请求转发至该云资源集群。

第三方面，本发明实施例还提供了一种电子设备，该电子设备包括处理器和存储器，该存储器存储有能够被该处理器执行的计算机可执行指令，该处理器执行该计算机可执行指令以实现上述防护云资源被网络攻击的方法。

第四方面，本发明实施例还提供了一种计算机可读存储介质，该计算机可读存储介质存储有计算机可执行指令，该计算机可执行指令在被处理器调用和执行时，计算机可执行指令促使处理器实现上述防护云资源被网络攻击的方法。

本发明实施例带来了以下有益效果：

本发明实施例提供的一种防护云资源被网络攻击的方法、系统和电子设备，该方法应用于攻击清洗集群，该攻击清洗集群与待防护的云资源集群通信连接，该云资源集群包括至少一台服务器，该云资源集群的服务器上部署有待防护的云资源；该攻击清洗集群包括至少一台服务器，该攻击清洗集群的服务器中部署有攻击清洗程序，该攻击清洗程序在运行时执行以下步骤：接收发送至目标IP地址的访问请求，并对该访问请求进行识别；其中，该目标IP地址预先绑定该云资源；如果该访问请求为攻击请求，则对该攻击请求进行拦截；如果该访问请求为非攻击请求，则将该非攻击请求转发至该云资源集群。该方式中，通过在待防护的云资源集群前端部署攻击清洗集群，并通过该攻击清洗集群接收针对待防护的云资源的访问请求，并针对接收到的访问请求进行识别，将识别出的攻击请求清洗掉，从而有效拦截了恶意流量(例如DDoS攻击)对云资源集群的攻击，提高了云计算服务场景中服务器对DDoS攻击的原生防护能力，提升了云资源集群的安全性和云服务的稳定性。

此外，还通过将攻击清洗集群的网络入口设置在与待防护云资源集群的网络入口不同的地理位置，从而使得攻击清洗远离云计算数据中心；并通过高速通信通道连接攻击清洗集群和待防护的云资源集群，在它们之间组成专线私有网络，提升了数据传输的速度和整体服务的效率。

本公开的其他特征和优点将在随后的说明书中阐述，或者，部分特征和优点可以从说明书推知或毫无疑义地确定，或者通过实施本公开的上述技术即可得知。

为使本公开的上述目的、特征和优点能更明显易懂，下文特举较佳实施例，并配合所附附图，作详细说明如下。

附图说明

为了更清楚地说明本发明具体实施方式或现有技术中的技术方案，下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施方式，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的一种防护云资源被网络攻击的方法的流程示意图；

图2为本发明实施例提供的另一种防护云资源被网络攻击的方法的流程示意图；

图3为本发明实施例提供的一种防护云资源被网络攻击的系统的结构示意图；

图4为本发明实施例提供的一种防护云资源被网络攻击的系统的应用示意图；

图5为本发明实施例提供的一种防护云资源被网络攻击的系统的网络架构图；

图6为本发明实施例提供的一种电子设备的结构示意图。

图标：31-流量接收模块；32-攻击识别模块；33-流量拦截模块；34-流量转发模块；61-处理器；62-存储器；63-总线；64-通信接口。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合附图对本发明的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

通常，DDoS借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DDoS攻击，从而成倍地提高拒绝服务攻击的威力。并且，攻击者往往使用一个偷窃帐号将DDoS主控程序安装在一个计算机上，在一个设定的时间主控程序将与大量代理程序通讯，代理程序已经被安装在网络上的许多计算机上。代理程序收到指令时就发动攻击，利用客户/服务器技术，主控程序能在几秒钟内激活成百上千次代理程序的运行。

在云计算场景下，原生DDoS防护是指直接在云数据中心内提供的DDoS防护服务，其将防护能力直接加载到例如云服务器等云资源上，以抵御DDoS攻击。其实现方式是：在IDC机房(Internet Data Center，是指一种拥有完善的设备的数据中心)的网络出入口部署攻击清洗引擎，该清洗引擎提供防护包，并将防护包绑定到云资源上。该方式受限于数据中心出入口的最大接入带宽，因此防护能力有限，通常在30Gbps到300Gbps之间。一旦云平台被超大流量DDoS攻击，将导致云平台不可用，不稳定或者发生网络抖动等情况，进而影响云平台整体的稳定性。

而如果使用类似高防IP和CDN转发方式的云服务进行防护，则会产生需要更换业务IP、接入过程长、转发配置繁琐、增加回源带宽费用，以及因网络绕行而降低访问质量等问题。

考虑到当前云数据计算中心的DDoS攻击基础防护能力较低，使得云平台整体的稳定性较差的问题，本发明实施例提供的一种防护云资源被网络攻击的方法、系统和电子设备，该技术可以应用于需要对网络攻击进行防御的各种应用场景中。为便于对本实施例进行理解，首先对本发明实施例所公开的一种防护云资源被网络攻击的方法进行详细介绍。

参见图1，所示为本发明实施例提供的一种防护云资源被网络攻击的方法的流程示意图，其中，该方法应用于攻击清洗集群，该攻击清洗集群与待防护的云资源集群通信连接，该云资源集群包括至少一台服务器，该云资源集群的服务器上部署有待防护的云资源；该攻击清洗集群包括至少一台服务器，该攻击清洗集群的服务器中部署有攻击清洗程序，该攻击清洗程序在运行时执行以下步骤：

步骤S102：接收发送至目标IP地址的访问请求；其中，该目标IP地址预先绑定待防护的云资源。

这里，上述云资源集群中的服务器可以是云服务器(即虚拟服务器)，也可以是物理服务器。并且，上述待防护的云资源是需要绑定公网IP地址，从而能够被来自互联网的请求访问到的资源，包括但不限于：云服务器、负载均衡服务器和防火墙服务器等。

另外，该目标IP地址是指访问请求所要访问的公网IP地址，该公网IP地址可以是弹性公网IP地址。在实际操作中，可以通过在云资源的网卡上配置公网IP地址的方式，将该目标IP地址与云资源绑定。

步骤S104：识别该访问请求是否为攻击请求；如果是，执行步骤S106；如果否，执行步骤S108。

攻击清洗集群识别接收到的访问请求是否为攻击请求，如果识别为攻击请求，则对该攻击请求进行拦截；如果识别为非攻击请求，则将该非攻击请求转发至该云资源集群。

其中，该攻击清洗集群用于对接收到的访问请求进行攻击清洗，具体地，根据该攻击清洗集群中的防护设置可以对应清洗不同的网络攻击。在实际操作中，可以根据防护的需要，灵活设置该攻击清洗集群的配置。例如，假设需要防御DDoS攻击，则可以在该攻击清洗集群中设置DDoS清洗集群；如果在需要防御CC(Challenge Collapsar)攻击，则可以在该攻击清洗集群中设置CC清洗集群。在其他可能的实施方式中，还可以设置不同功能的清洗集群，以对接收到的访问请求进行多次清洗。

步骤S106：对该攻击请求进行拦截。

这里，由于攻击清洗集群已经将攻击请求预先拦截，则该攻击请求不会进到云资源集群以对云资源集群造成伤害，从而提高了云资源集群的安全性。

步骤S108：将该非攻击请求转发至该云资源集群。

对于非攻击的请求，也即正常请求，则将访问请求转发至云资源集群，以对上述目标IP地址预先绑定的云资源进行访问，从而可以满足正常访问请求的访问需求。

这样，由于在待防护的云资源集群前端部署攻击清洗集群，并通过该攻击清洗集群，针对绑定待防护云资源的IP地址的访问请求预先进行识别，当识别为攻击请求时进行拦截，当识别为非攻击请求时则转发至云资源集群，从而可以提前拦截恶意流量(例如DDoS攻击)。该方式中，由于对待防护的云资源进行访问时，必须通过与其预先绑定的目标IP地址进行访问，而通过该目标IP地址访问对应的云资源时，该访问请求必须先经过攻击清洗集群(被引导至该攻击清洗集群)，从而通过该攻击清洗集群预先对访问请求进行识别，以拦截攻击请求，上述方式相当于直接在待防护的云资源上提供了网络攻击防护能力，使其天然具备网络攻击的防护能力，提升了云资源的原生网络攻击防护能力(例如原生DDoS防护能力)。

本发明实施例提供的一种防护云资源被网络攻击的方法，该方法应用于攻击清洗集群，该攻击清洗集群与待防护的云资源集群通信连接，该云资源集群包括至少一台服务器，该云资源集群的服务器上部署有待防护的云资源；该攻击清洗集群包括至少一台服务器，该攻击清洗集群的服务器中部署有攻击清洗程序，该攻击清洗程序在运行时执行以下步骤：接收发送至目标IP地址的访问请求，并对该访问请求进行识别；其中，该目标IP地址预先绑定该云资源；如果该访问请求为攻击请求，则对该攻击请求进行拦截；如果该访问请求为非攻击请求，则将该非攻击请求转发至该云资源集群。该方式提高了云计算服务场景中服务器对DDoS攻击的原生防护能力，提升了云服务的稳定性。

在图1所示防护云资源被网络攻击的方法的基础上，本实施例还提供了另一种防护云资源被网络攻击的方法，如图2所示，其为另一种网络攻击防护方法的流程示意图，其中，该方法应用于攻击清洗集群，该攻击清洗集群与待防护的云资源集群通信连接，该云资源集群包括至少一台服务器，该云资源集群的服务器上部署有待防护的云资源；该攻击清洗集群包括至少一台服务器，该攻击清洗集群的服务器中部署有攻击清洗程序，该攻击清洗程序在运行时执行以下步骤：

步骤S202：获取目标IP地址；其中，该目标IP地址预先绑定待防护的云资源。

在其中一种可能的实施方式中，该目标IP地址预先存储在数据库中，并且，攻击清洗集群从该数据库中获取目标IP地址。

步骤S204：将该目标IP地址发布在该第一网络入口所在的网络设备；其中，第一网络入口为攻击清洗集群的网络入口。

在本实施例中，攻击清洗集群的网络入口为第一网络入口，云资源集群的网络入口为第二网络入口，并且，该第一网络入口与该第二网络入口为不同的网络入口，例如，可以将该云资源集群和该攻击清洗集群设置在不同的机房或者不同的地理位置。

这里，通过将将该目标IP地址发布在该第一网络入口所在的网络设备，使得所有发送至目标IP地址的访问请求均引入该第一网络入口，从而所有访问目标IP地址的请求均需要先通过攻击清洗集群的处理。

步骤S206：接收发送至目标IP地址的访问请求。

步骤S208：识别该访问请求是否为攻击请求；如果是，执行步骤S210；如果否，执行步骤S212。

如果攻击清洗集群识别该访问请求为攻击请求，则对该攻击请求进行拦截；如果攻击清洗集群识别该访问请求为非攻击请求，则将该非攻击请求转发至第二网络入口所在的网络设备。这里，该网络设备可以是网关、路由等。

步骤S210：对该攻击请求进行拦截。

步骤S212：将该非攻击请求转发至第二网络入口所在的网络设备；其中，该第二网络入口为云资源集群的网络入口，该第一网络入口与该第二网络入口为不同的网络入口。

当第二网络入口所在的网络设备接收到该非攻击请求后，再执行步骤S214，将该非攻击请求转发至该云资源集群，以对上述目标IP地址预先绑定的云资源进行访问，从而可以满足正常访问请求的访问需求。

步骤S214：将该非攻击请求转发至该云资源集群。

本实施例中的防护云资源被网络攻击的方法，通过预先将云资源集群中的云资源与目标IP地址绑定，并将该目标IP地址发布在攻击清洗集群的网络入口，使得来自互联网的访问请求都被引入该攻击清洗集群的网络入口，从而可以通过该攻击清洗集群对访问请求进行清洗，拦截掉攻击请求，只放行非攻击请求，该方式相比于现有技术中通过高防IP防御DDoS攻击的方法，不需要在为租户的云服务器接入高防IP时更换该云服务器的对外提供服务的IP地址，避免了处理访问请求期间繁琐的配置转发过程，而是相当于给待防护的云资源直接提供了原生网络攻击防护能力，提升了云服务的服务质量。

在实际操作中，如果需要为云资源集群中待防护的云资源提供原生DDoS攻击防护能力和原生CC攻击防护能力，则可以在攻击清洗集群中部署DDoS清洗集群和CC清洗集群，并且，该DDoS清洗集群和CC清洗集群通信连接。

其中，在上述DDoS清洗集群的服务器中部署有DDoS攻击清洗程序，该DDoS攻击清洗程序在运行时执行以下步骤：

通过该第一网络入口接收发送至目标IP地址的访问请求；

如果将该访问请求识别为DDoS攻击请求，则对该DDoS攻击请求进行拦截；

如果将该访问请求识别为非DDoS攻击请求，则将该非DDoS攻击请求转发至该CC清洗集群。

这里，该CC清洗集群的服务器中部署有CC攻击清洗程序，该CC攻击清洗程序在运行时执行以下步骤：

接收该DDoS清洗集群转发的发送至目标IP地址的访问请求，并对该访问请求进行识别；

如果该访问请求为CC攻击请求，则对该CC攻击请求进行拦截；

如果该访问请求为非CC攻击请求，则将该非CC攻击请求转发至与至该云资源集群。

这样，由于与待防护的云资源绑定的目标IP地址预先发布到了攻击清洗集群的网络入口，使得外部访问通过该目标IP地址访问该云资源时，均被引入到攻击清洗集群的网络入口，并需要通过DDoS清洗集群、CC清洗集群双重防护的清洗，才能达到云资源集群，使得该待防护的云资源具有原生DDoS攻击防护能力和原生CC攻击防护能力。

在其中一种可能的实施方式中，上述攻击清洗集群和该云资源集群通过高速通信通道连接，并且，当攻击清洗集群识别接收到的访问请求是非攻击请求时，通过该高速通信通道将该非攻击请求发送至该云资源集群。由于通过高速通信通道在该攻击清洗集群和该云资源集群之间建立起了专线，从而提升了两个集群之间的数据传输速率，进而提高整体的云服务质量。

对应于前述实施例中的防护云资源被网络攻击的方法，本实施例还提供了一种防护云资源被网络攻击的系统，其中，该系统部署在攻击清洗集群，该攻击清洗集群包括至少一台服务器。如图3所示，为一种防护云资源被网络攻击的系统的结构示意图，由图3可见，该系统包括：流量接收模块31、攻击识别模块32、流量拦截模块33和流量转发模块34，其中，该流量接收模块31、流量拦截模块33和流量转发模块34分别与攻击识别模块32相连，各个模块的功能如下：

流量接收模块31，用于接收发送至目标IP地址的访问请求；其中，该目标IP地址预先绑定被防护的云资源，该云资源部署在云资源集群的服务器上；该攻击清洗集群与待防护的云资源集群通信连接；

攻击识别模块32，用于对该访问请求进行识别；

流量拦截模块33，用于如果该攻击识别模块32将该访问请求识别为攻击请求，则对该攻击请求进行拦截；

流量转发模块34，用于如果该攻击识别模块32将该访问请求识别为非攻击请求，则将该非攻击请求转发至该云资源集群。

在其中一种可能的实施方式中，上述攻击清洗集群的网络入口为第一网络入口，该云资源集群的网络入口为第二网络入口，该第一网络入口与该第二网络入口为不同的网络入口。并且，该系统还包括：IP地址获取模块，用于获取目标IP地址；IP地址发布模块，用于将该目标IP地址发布在该第一网络入口所在的网络设备；该流量转发模块34，还用于在当该攻击识别模块32将该访问请求为非攻击请求时，则将该非攻击请求转发至该第二网络入口所在的网络设备。

在另一种可能的实施方式中，上述攻击清洗集群和该云资源集群通过高速通信通道连接；该流量转发模块34，还用于当该访问请求为非攻击请求时，则通过该高速通信通道将该非攻击请求发送至该云资源集群。

在另一种可能的实施方式中，上述攻击清洗集群包括DDoS清洗集群和CC清洗集群，该DDoS清洗集群和该CC清洗集群通信连接；该系统包括：DDoS清洗子系统和CC清洗子系统；该DDoS清洗子系统，包括：第一流量接收模块：用于通过该第一网络入口接收发送至该目标IP地址的访问请求；DDoS攻击识别模块：用于识别该访问请求是否为DDoS攻击；DDoS攻击拦截模块：如果该DDoS攻击识别模块将该访问请求识别为DDoS攻击请求，则对该DDoS攻击请求进行拦截；第一流量转发模块：如果该DDoS攻击识别模块将该访问请求识别为非DDoS攻击请求，则将该非DDoS攻击请求转发至该CC清洗集群；该CC清洗子系统，包括：第二流量接收模块，用于接收该DDoS清洗集群转发的发送至目标IP地址的访问请求；CC攻击识别模块，用于识别该访问请求是否为CC攻击；CC攻击拦截模块：如果该CC攻击识别模块将该访问请求识别为CC攻击请求，则对该CC攻击请求进行拦截；第二流量转发模块：如果该CC攻击识别模块将该访问请求识别为非CC攻击请求，则将该非CC攻击请求转发至该云资源集群。

本发明实施例提供的防护云资源被网络攻击的系统，其实现原理及产生的技术效果和前述防护云资源被网络攻击的方法实施例相同，为简要描述，该防护云资源被网络攻击的系统的实施例部分未提及之处，可参考前述防护云资源被网络攻击的方法实施例中相应内容。

为了更好理解上述防护云资源被网络攻击的系统，这里介绍了一个应用实例，如图4所示，其为一种防护云资源被网络攻击的系统的应用示意图。在图4示出的实施方式中，显示了互联网服务提供商(Internet Service Provider，ISP)与云计算业务区的通信过程。其中，用户通过ISP侧的高防弹性IP访问云计算业务时，访问流量需先经过攻击清洗区，由攻击清洗区中的DDoS清洗集群和CC清洗集群进行流量清洗后，再通过高速传输通道将清洗后的流量发送至云计算业务区，并由相应的云服务响应该访问请求。具体地，上述高防弹性IP预先与云计算业务区内的云资源绑定，并通过BGP(Border Gateway Protocol，边界网关协议)路由向ISP侧进行网络发布，所有请求云计算业务区中云资源的来自互联网的请求流量，包括正常的客户请求和恶意的攻击流量，都将请求到上述高防弹性IP上，并且，所有流量将到达攻击清洗区。由攻击清洗区对流量进行清洗，将恶意攻击清洗掉，将正常流量通过高速传输通道发送到云计算业务区。

在图4中，攻击清洗区实现对DDoS攻击进行攻击识别、拦截和清洗，其中，攻击清洗区将接收所有请求高防弹性IP的流量，识别出攻击流量后拦截清洗掉恶意攻击流量，但不对正常的用户请求进行拦截。这里，该攻击清洗区与云计算业务区不在同一个机房或物理位置，而是在不同的网络入口实现，其不同于现有技术中，将云计算的攻击清洗设置在云计算业务区入口的方式。

并且，上述云计算业务区为真实业务源站服务器，其用于承载用户正常请求，示意性的，该云计算业务区中包括云服务器(又称虚拟机、云主机)、SLB(Server LoadBalancer，负载均衡)和WAF(Web Application Firewall，网站应用级入侵防御系统)等业务，此外，其还可包括网络设备、安全设备、物理机等云上物理和虚拟资源。也即，通过将高防弹性IP直接与云服务器等云资源进行绑定(例如在云资源的网卡上挂载高防IP地址)，使得该云资源通过该高防弹性IP提供外部访问。

此外，连接攻击清洗区和云计算业务区的高速传输通道，使得攻击清洗区与云计算业务区可以网络互通并形成内网网络，该高速传输通道承载从攻击清洗区回传的正常用户请求流量，该请求流量遵循网络路由选址，从攻击清洗区进入，并通过网络交换设备路由发送到云计算业务区。

参见图5，其为一种防护云资源被网络攻击的系统的网络架构图，由图5可见，攻击清洗集群设置在互联网服务提供商(图中联通ISP、移动ISP、电信ISP)一侧，这样，当用户访问云计算服务区(图中“北京region”)中的云资源(例如云服务器)时，在互联网服务提供商一侧会预先对访问流量进行清洗，再由路由设备通过高速传输通道将清洗后的正常访问流量发送到云计算服务区。这样，该方式能够防御的DDoS攻击流量的限制就不在云计算服务区的网络入口(若在云计算服务区的网络入口，则其能够防御的DDoS攻击上限值为该入口最大带宽)，能够达到2Tbps，相比目前业界最多只能到300Gbps，其防御攻击流量的能力提升了560％。

本发明实施例还提供了一种电子设备，如图6所示，为该电子设备的结构示意图，其中，该电子设备包括处理器61和存储器62，该存储器62存储有能够被该处理器61执行的机器可执行指令，该处理器61执行该机器可执行指令以实现上述防护云资源被网络攻击的方法。

在图6示出的实施方式中，该电子设备还包括总线63和通信接口64，其中，处理器61、通信接口64和存储器62通过总线连接。

其中，存储器62可能包含高速随机存取存储器(RAM，Random Access Memory)，也可能还包括非不稳定的存储器(non-volatile memory)，例如至少一个磁盘存储器。通过至少一个通信接口64(可以是有线或者无线)实现该系统网元与至少一个其他网元之间的通信连接，可以使用互联网，广域网，本地网，城域网等。总线可以是ISA总线、PCI总线或EISA总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示，图6中仅用一个双向箭头表示，但并不表示仅有一根总线或一种类型的总线。

处理器61可能是一种集成电路芯片，具有信号的处理能力。在实现过程中，上述方法的各步骤可以通过处理器61中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器61可以是通用处理器，包括中央处理器(Central Processing Unit，简称CPU)、网络处理器(Network Processor，简称NP)等；还可以是数字信号处理器(Digital SignalProcessing，简称DSP)、专用集成电路(Application Specific Integrated Circuit，简称ASIC)、现成可编程门阵列(Field-Programmable Gate Array，简称FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器，闪存、只读存储器，可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器，处理器61读取存储器62中的信息，结合其硬件完成前述实施例的防护云资源被网络攻击的方法的步骤。

本发明实施例还提供了一种机器可读存储介质，该机器可读存储介质存储有机器可执行指令，该机器可执行指令在被处理器调用和执行时，该机器可执行指令促使处理器实现上述防护云资源被网络攻击的方法，具体实现可参见前述方法实施例，在此不再赘述。

本发明实施例所提供的防护云资源被网络攻击的方法、防护云资源被网络攻击的系统和电子设备的计算机程序产品，包括存储了程序代码的计算机可读存储介质，所述程序代码包括的指令可用于执行前面方法实施例中所述的防护云资源被网络攻击的方法，具体实现可参见方法实施例，在此不再赘述。

所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个处理器可执行的非易失的计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

另外，在本发明实施例的描述中，除非另有明确的规定和限定，术语“安装”、“相连”、“连接”应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或一体地连接；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连，可以是两个元件内部的连通。对于本领域的普通技术人员而言，可以具体情况理解上述术语在本发明中的具体含义。

在本发明的描述中，需要说明的是，术语“中心”、“上”、“下”、“左”、“右”、“竖直”、“水平”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的系统或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。此外，术语“第一”、“第二”、“第三”仅用于描述目的，而不能理解为指示或暗示相对重要性。

最后应说明的是：以上所述实施例，仅为本发明的具体实施方式，用以说明本发明的技术方案，而非对其限制，本发明的保护范围并不局限于此，尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化，或者对其中部分技术特征进行等同替换；而这些修改、变化或者替换，并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以所述权利要求的保护范围为准。

Claims (10)

1.一种防护云资源被网络攻击的方法，其特征在于，应用于攻击清洗集群，所述攻击清洗集群与待防护的云资源集群通信连接，所述云资源集群包括至少一台服务器，所述云资源集群的服务器上部署有待防护的云资源；所述攻击清洗集群包括至少一台服务器，所述攻击清洗集群的服务器中部署有攻击清洗程序，所述攻击清洗程序在运行时执行以下步骤：

接收发送至目标IP地址的访问请求，并对所述访问请求进行识别；其中，所述目标IP地址预先绑定所述云资源；

如果所述访问请求为攻击请求，则对所述攻击请求进行拦截；

如果所述访问请求为非攻击请求，则将所述非攻击请求转发至所述云资源集群。

2.根据权利要求1所述的方法，其特征在于，所述攻击清洗集群的网络入口为第一网络入口，所述云资源集群的网络入口为第二网络入口，所述第一网络入口与所述第二网络入口为不同的网络入口；

在所述接收发送至目标IP地址的访问请求之前，所述方法还包括：

获取目标IP地址；

将所述目标IP地址发布在所述第一网络入口所在的网络设备；

所述攻击清洗程序在运行时执行的步骤还包括：

如果所述访问请求为非攻击请求，则将所述非攻击请求转发至所述第二网络入口所在的网络设备。

3.根据权利要求1所述的方法，其特征在于，所述攻击清洗集群和所述云资源集群通过高速通信通道连接；

如果所述访问请求为非攻击请求，则通过所述高速通信通道将所述非攻击请求发送至所述云资源集群。

4.根据权利要求2所述的方法，其特征在于，所述攻击清洗集群包括DDoS清洗集群和CC清洗集群，所述DDoS清洗集群和CC清洗集群通信连接；所述DDoS清洗集群的服务器中部署有DDoS攻击清洗程序，所述DDoS攻击清洗程序在运行时执行以下步骤：

通过所述第一网络入口接收发送至目标IP地址的访问请求；

如果将所述访问请求识别为DDoS攻击请求，则对所述DDoS攻击请求进行拦截；

如果将所述访问请求识别为非DDoS攻击请求，则将所述非DDoS攻击请求转发至所述CC清洗集群；

所述CC清洗集群的服务器中部署有CC攻击清洗程序，所述CC攻击清洗程序在运行时执行以下步骤：

接收所述DDoS清洗集群转发的发送至目标IP地址的访问请求，并对所述访问请求进行识别；

如果所述访问请求为CC攻击请求，则对所述CC攻击请求进行拦截；

如果所述访问请求为非CC攻击请求，则将所述非CC攻击请求转发至与至所述云资源集群。

5.一种防护云资源被网络攻击的系统，其特征在于，所述系统部署在攻击清洗集群，所述攻击清洗集群包括至少一台服务器，所述系统包括：

流量接收模块，用于接收发送至目标IP地址的访问请求；其中，所述目标IP地址预先绑定被防护的云资源，所述云资源部署在云资源集群的服务器上；所述攻击清洗集群与待防护的云资源集群通信连接；

攻击识别模块，用于对所述访问请求进行识别；

流量拦截模块，用于如果所述攻击识别模块将所述访问请求识别为攻击请求，则对所述攻击请求进行拦截；

流量转发模块，用于如果所述攻击识别模块将所述访问请求识别为非攻击请求，则将所述非攻击请求转发至所述云资源集群。

6.根据权利要求5所述的系统，其特征在于，所述攻击清洗集群的网络入口为第一网络入口，所述云资源集群的网络入口为第二网络入口，所述第一网络入口与所述第二网络入口为不同的网络入口；所述系统还包括：

IP地址获取模块，用于获取目标IP地址；

IP地址发布模块，用于将所述目标IP地址发布在所述第一网络入口所在的网络设备；

所述流量转发模块，还用于在当所述攻击识别模块将所述访问请求为非攻击请求时，则将所述非攻击请求转发至所述第二网络入口所在的网络设备。

7.根据权利要求5所述的系统，其特征在于，所述攻击清洗集群和所述云资源集群通过高速通信通道连接；

所述流量转发模块，还用于当所述访问请求为非攻击请求时，则通过所述高速通信通道将所述非攻击请求发送至所述云资源集群。

8.根据权利要求6所述的系统，其特征在于，所述攻击清洗集群包括DDoS清洗集群和CC清洗集群，所述DDoS清洗集群和所述CC清洗集群通信连接；所述系统包括：DDoS清洗子系统和CC清洗子系统；

所述DDoS清洗子系统，包括：

第一流量接收模块：用于通过所述第一网络入口接收发送至所述目标IP地址的访问请求；

DDoS攻击识别模块：用于识别所述访问请求是否为DDoS攻击；

DDoS攻击拦截模块：如果所述DDoS攻击识别模块将所述访问请求识别为DDoS攻击请求，则对所述DDoS攻击请求进行拦截；

第一流量转发模块：如果所述DDoS攻击识别模块将所述访问请求识别为非DDoS攻击请求，则将所述非DDoS攻击请求转发至所述CC清洗集群；

所述CC清洗子系统，包括：

第二流量接收模块，用于接收所述DDoS清洗集群转发的发送至目标IP地址的访问请求；

CC攻击识别模块，用于识别所述访问请求是否为CC攻击；

CC攻击拦截模块：如果所述CC攻击识别模块将所述访问请求识别为CC攻击请求，则对所述CC攻击请求进行拦截；

第二流量转发模块：如果所述CC攻击识别模块将所述访问请求识别为非CC攻击请求，则将所述非CC攻击请求转发至所述云资源集群。

9.一种电子设备，其特征在于，所述电子设备包括处理器和存储器，所述存储器存储有能够被所述处理器执行的计算机可执行指令，所述处理器执行所述计算机可执行指令以实现权利要求1至4任一项所述的方法。

10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储有计算机可执行指令，所述计算机可执行指令在被处理器调用和执行时，计算机可执行指令促使处理器实现权利要求1至4任一项所述的方法。

Images