CN114172738B - 基于智能安全箱的抗DDoS攻击方法、装置及智能安全箱 - Google Patents

Abstract

本申请提供一种基于智能安全箱的抗DDoS攻击方法、装置及智能安全箱，用以低成本且不影响正常业务的情况下，实现抗DDoS攻击。方法包括：第一终端接收来自第一域以外的第一报文；第一终端根据第一报文，向第一域内的第二终端发送第二报文，其中，第一终端配置有来自智能安全箱配置的抗分布式拒绝服务DDoS攻击策略，第二报文为第一终端根据抗DDoS攻击策略，在第一报文中加入第一标识得到的报文，第一标识用于指示第二报文为非DDoS攻击报文，如果第二报文未携带第一标识，则表示第二报文为DDoS攻击报文。

Description

基于智能安全箱的抗DDoS攻击方法、装置及智能安全箱

技术领域

本申请涉及智能安全箱技术领域，尤其涉及一种基于智能安全箱的抗DDoS攻击方法、装置及智能安全箱。

背景技术

分布式拒绝服务(distributed denial ofservice，DDoS)攻击网络中常见的攻击类型，攻击者可以利用僵尸主机对目标设备在较短的时间内发起大量请求，导致目标设备的资源被快速耗尽，无法提供正常服务。

目前，抗DDoS攻击的手段通常有两种，一种是流量清洗方案，即通过对报文特性进行分析，以清洗出DDoS攻击报文，从而达到抗DDoS攻击的目的。但是，这种方案的运算量太大，对设备的性能要求很高，需要特定设备来实现，从而导致网络部署成本很高。另一种是黑洞方案，即将流量全部转发到黑洞设备，直至攻击接收。但是，这种方案会导致正常流也被一并转发到黑洞设备，导致正常业务受到影响。

发明内容

本申请实施例提供一种智能安全箱的抗DDoS攻击方法、装置及智能安全箱，用以低成本且不影响正常业务的情况下，实现抗DDoS攻击。

为达到上述目的，本申请采用如下技术方案：

第一方面，本申请实施例提供了一种基于智能安全箱的抗DDoS攻击方法，应用于第一终端，所述第一终端为第一域的入口终端，所述第一终端与智能安全箱连接，所述方法包括：所述第一终端接收来自所述第一域以外的第一报文；所述第一终端根据所述第一报文，向所述第一域内的第二终端发送第二报文，其中，所述第一终端配置有来自所述智能安全箱配置的抗分布式拒绝服务DDoS攻击策略，所述第二报文为所述第一终端根据所述抗DDoS攻击策略，在所述第一报文中加入第一标识得到的报文，所述第一标识用于指示所述第二报文为非DDoS攻击报文，如果所述第二报文未携带所述第一标识，则表示所述第二报文为DDoS攻击报文。

基于第一方面所述的方法，由于抗DDoS攻击策略配置在离线的智能安全箱中，可以有效避免抗DDoS攻击策略被攻击者窃取。在此基础上，通过为第一域的入口设备，例如第一终端配置抗DDoS攻击策略，使得第一终端可以根据抗DDoS攻击策略，为进入第一域的报文，例如第一报文添加特定标识，以指示该报文为非DDoS攻击报文，例如第二报文中的第一标识用于指示第二报文为非DDoS攻击报文。这样，对于第一域内的设备，例如对于第二设备而言，第二设备仅通过验证第二报文中的第一标识，便可以确定第二报文为非DDoS攻击报文还是DDoS攻击报文，一方面，可以保证正常业务不受影响，另一方面，可以大幅降低运算量，即使普通终端也能实现验证，无需特定设备，从而可以降低网络部署成本。因此，在低成本且不影响正常业务的情况下，实现抗DDoS攻击。

一种可能的设计方案，所述第一标识用于通过所述第一标识的递归数据结构指示所述第二报文为非DDoS攻击报文，或者，所述第一标识用于通过所述第一标识的序列号指示所述第二报文为非DDoS攻击报文，所述第一标识用于通过所述第一标识的映射关系指示所述第二报文为非DDoS攻击报文。

可选地，所述第一标识的递归数据结构是指：所述第一标识包括：M个递归单元，M为大于1的整数，第i个递归单元包括：标识符i，以及所述标识符i的验证信息，第i+1个递归单元包括：标识符i+1，以及所述标识符i+1的验证信息，i为取1至M-1的任意整数，所述标识符i+1为根据所述标识符i的验证信息哈希确定的标识符。可以理解，这种特定的递归结构可以有效防止攻击者伪造第一标识，从而可以进一步提高安全性。

一种可能的设计方案，所述第二报文为所述第一终端根据所述抗DDoS攻击策略，在所述第一报文中加入第一标识得到的报文是指：所述第一终端根据所述抗DDoS攻击策略，在所述第一报文的尾部位置添加所述第一标识，得到所述第二报文，所述第一报文的尾部位置是指位于所述第一报文的数据承载之后的位置，以便添加的第一标识不会影响报文原始的数据结构，还便于第二终端获取第一标识。

第二方面，本申请实施例提供了一种基于智能安全箱的抗DDoS攻击方法，应用于第二终端，所述第二终端为第一域内的终端，所述第二终端与智能安全箱连接，所述方法包括：所述第二终端接收来自所述第一终端的第二报文；所述第二终端根据抗DDoS攻击策略，验证所述第二报文，其中，所述抗DDoS攻击策略为所述第二终端从所述智能安全箱获取的策略，所述第二报文为所述第一终端根据所述抗DDoS攻击策略，在所述第一报文中加入第一标识得到的报文，所述第一标识用于指示所述第二报文为非DDoS攻击报文，如果所述第二报文未携带所述第一标识，则表示所述第二报文为DDoS攻击报文。

一种可能的设计方案，所述第一标识用于通过所述第一标识的递归数据结构指示所述第二报文为非DDoS攻击报文，所述第二终端根据抗DDoS攻击策略，验证所述第二报文，包括：所述第二终端根据所述抗DDoS攻击策略，验证所述第二报文中所述第一标识的数据结构是否为递归数据结构。

可选地，所述第一标识的递归数据结构是指：所述第一标识包括：M个递归单元，M为大于1的整数，第i个递归单元包括：标识符i，以及所述标识符i的验证信息，第i+1个递归单元包括：标识符i+1，以及所述标识符i+1的验证信息，i为取1至M-1的任意整数，所述标识符i+1为根据所述标识符i的验证信息哈希确定的标识符；对应的，所述第二终端根据所述抗DDoS攻击策略，验证所述第二报文中所述第一标识的数据结构是否为递归数据结构，包括：所述第二终端根据所述抗DDoS攻击策略，对所述第一标识中标识符i的验证信息进行哈希运算，得到待验证的标识符；所述第二终端判断所述待验证的标识符与所述第一标识中的所述标识符i+1是否相同；其中，若所述待验证的标识符与所述第一标识中的所述标识符i+1相同，则表示所述第二报文为非DDoS攻击报文；若所述待验证的标识符与所述第一标识中的所述标识符i+1不相同，则表示所述第二报文为DDoS攻击报文。可以看出，通过验证待验证的标识符与第一标识中的所述标识符i+1是否相同，可以有效识别第二报文中途是否被攻击者篡改，以进一步提高安全性。

一种可能的设计方案，所述第一标识用于通过所述第一标识的序列号指示所述第二报文为非DDoS攻击报文，所述第二终端根据抗DDoS攻击策略，验证所述第二报文，包括：所述第二终端判断所述第二报文中第一标识的序列号与所述抗DDoS攻击策略中指示的序列号是否相同；其中，若所述第二报文中第一标识的序列号与所述抗DDoS攻击策略中指示的序列号相同，则表示所述第二报文为非DDoS攻击报文；若所述第二报文中第一标识的序列号与所述抗DDoS攻击策略中指示的序列号不相同，则表示所述第二报文为DDoS攻击报文，以实现快速便捷的验证第二报文是否为DDoS攻击报文。或者，如果所述第一标识的序列号是根据第一报文中的数据承载进行哈希运算得到，则所述第二终端根据所述抗DDoS攻击策略，对所述第一报文中的数据承载进行哈希运算，得到待验证的序列号，并判断所述第一标识的序列号与所述待验证的序列号是否相同，其中，若所述第一标识的序列号与所述待验证的序列号相同，则表示所述第二报文为非DDoS攻击报文；若所述第一标识的序列号与所述待验证的序列号不相同，则表示所述第二报文为DDoS攻击报文，以实现快速便捷的验证第二报文是否为DDoS攻击报文。

一种可能的设计方案，所述第一标识用于通过所述第一标识的映射关系指示所述第二报文为非DDoS攻击报文，所述第二终端根据抗DDoS攻击策略，验证所述第二报文，包括：所述第二终端判断所述第二报文中的第一标识是否与所述抗DDoS攻击策略中的验证标识对应；其中，若所述第二报文中的第一标识与所述抗DDoS攻击策略中的验证标识对应，则表示所述第二报文为非DDoS攻击报文；若所述第二报文中的第一标识是否与所述抗DDoS攻击策略中的验证标识不对应，则表示所述第二报文为DDoS攻击报文，以实现快速便捷的验证第二报文是否为DDoS攻击报文。

第三方面，本申请实施例提供了一种基于智能安全箱的抗DDoS攻击装置，所述装置应用第一终端，用以执行第一方面所述的方法。其中，所述基于智能安全箱的抗DDoS攻击装置包括：收发模块，用于所述第一终端接收来自所述第一域以外的第一报文；处理模块，用于所述第一终端根据所述第一报文，控制所述收发模块向所述第一域内的第二终端发送第二报文，其中，所述第一终端配置有来自所述智能安全箱配置的抗分布式拒绝服务DDoS攻击策略，所述第二报文为所述第一终端根据所述抗DDoS攻击策略，在所述第一报文中加入第一标识得到的报文，所述第一标识用于指示所述第二报文为非DDoS攻击报文，如果所述第二报文未携带所述第一标识，则表示所述第二报文为DDoS攻击报文。

一种可能的设计方案，所述第一标识用于通过所述第一标识的递归数据结构指示所述第二报文为非DDoS攻击报文，或者，所述第一标识用于通过所述第一标识的序列号指示所述第二报文为非DDoS攻击报文，所述第一标识用于通过所述第一标识的映射关系指示所述第二报文为非DDoS攻击报文。

可选地，所述第一标识的递归数据结构是指：所述第一标识包括：M个递归单元，M为大于1的整数，第i个递归单元包括：标识符i，以及所述标识符i的验证信息，第i+1个递归单元包括：标识符i+1，以及所述标识符i+1的验证信息，i为取1至M-1的任意整数，所述标识符i+1为根据所述标识符i的验证信息哈希确定的标识符。

一种可能的设计方案，所述第二报文为所述第一终端根据所述抗DDoS攻击策略，在所述第一报文中加入第一标识得到的报文是指：所述第一终端根据所述抗DDoS攻击策略，在所述第一报文的尾部位置添加所述第一标识，得到所述第二报文，所述第一报文的尾部位置是指位于所述第一报文的数据承载之后的位置。

可选地，收发模块可以包括接收模块和发送模块。其中，接收模块用于实现第三方面所述的装置的接收功能。发送模块用于实现第三方面所述的装置的发送功能。

可选地，第三方面所述的装置还可以包括存储模块，该存储模块存储有程序或指令。当处理模块执行该程序或指令时，使得该装置可以执行上述第一方面所述的方法。

此外，第三方面所述的装置的技术效果可以参考上述的方法的技术效果，此处不再赘述。

第四方面，本申请实施例提供了一种基于智能安全箱的抗DDoS攻击装置，所述装置应用第二终端，用以执行第二方面所述的方法。其中，所述基于智能安全箱的抗DDoS攻击装置包括：收发模块，用于所述第二终端接收来自所述第一终端的第二报文；处理模块，用于所述第二终端根据抗DDoS攻击策略，验证所述第二报文，其中，所述抗DDoS攻击策略为所述第二终端从所述智能安全箱获取的策略，所述第二报文为所述第一终端根据所述抗DDoS攻击策略，在所述第一报文中加入第一标识得到的报文，所述第一标识用于指示所述第二报文为非DDoS攻击报文，如果所述第二报文未携带所述第一标识，则表示所述第二报文为DDoS攻击报文。

一种可能的设计方案，所述第一标识用于通过所述第一标识的递归数据结构指示所述第二报文为非DDoS攻击报文，所述处理模块，还用于所述第二终端根据所述抗DDoS攻击策略，验证所述第二报文中所述第一标识的数据结构是否为递归数据结构。

可选地，所述第一标识的递归数据结构是指：所述第一标识包括：M个递归单元，M为大于1的整数，第i个递归单元包括：标识符i，以及所述标识符i的验证信息，第i+1个递归单元包括：标识符i+1，以及所述标识符i+1的验证信息，i为取1至M-1的任意整数，所述标识符i+1为根据所述标识符i的验证信息哈希确定的标识符；对应的，所述处理模块，还用于所述第二终端根据所述抗DDoS攻击策略，对所述第一标识中标识符i的验证信息进行哈希运算，得到待验证的标识符；所述第二终端判断所述待验证的标识符与所述第一标识中的所述标识符i+1是否相同；其中，若所述待验证的标识符与所述第一标识中的所述标识符i+1相同，则表示所述第二报文为非DDoS攻击报文；若所述待验证的标识符与所述第一标识中的所述标识符i+1不相同，则表示所述第二报文为DDoS攻击报文。

一种可能的设计方案，所述第一标识用于通过所述第一标识的序列号指示所述第二报文为非DDoS攻击报文，所述处理模块，还用于所述第二终端判断所述第二报文中第一标识的序列号与所述抗DDoS攻击策略中指示的序列号是否相同；其中，若所述第二报文中第一标识的序列号与所述抗DDoS攻击策略中指示的序列号相同，则表示所述第二报文为非DDoS攻击报文；若所述第二报文中第一标识的序列号与所述抗DDoS攻击策略中指示的序列号不相同，则表示所述第二报文为DDoS攻击报文。或者，如果所述第一标识的序列号是根据第一报文中的数据承载进行哈希运算得到，则所述处理模块，还用于所述第二终端根据所述抗DDoS攻击策略，对所述第一报文中的数据承载进行哈希运算，得到待验证的序列号，并判断所述第一标识的序列号与所述待验证的序列号是否相同，其中，若所述第一标识的序列号与所述待验证的序列号相同，则表示所述第二报文为非DDoS攻击报文；若所述第一标识的序列号与所述待验证的序列号不相同，则表示所述第二报文为DDoS攻击报文。

一种可能的设计方案，所述第一标识用于通过所述第一标识的映射关系指示所述第二报文为非DDoS攻击报文，所述处理模块，还用于所述第二终端判断所述第二报文中的第一标识是否与所述抗DDoS攻击策略中的验证标识对应；其中，若所述第二报文中的第一标识与所述抗DDoS攻击策略中的验证标识对应，则表示所述第二报文为非DDoS攻击报文；若所述第二报文中的第一标识是否与所述抗DDoS攻击策略中的验证标识不对应，则表示所述第二报文为DDoS攻击报文。

可选地，收发模块可以包括接收模块和发送模块。其中，接收模块用于实现第四方面所述的装置的接收功能。发送模块用于实现第四方面所述的装置的发送功能。

可选地，第四方面所述的装置还可以包括存储模块，该存储模块存储有程序或指令。当处理模块执行该程序或指令时，使得该装置可以执行上述第二方面所述的方法。

此外，第四方面所述的装置的技术效果可以参考上述的方法的技术效果，此处不再赘述。

第五方面，本申请实施例提供了一种智能安全箱，包括：箱体、处理器和存储器；所述处理器和所述存储器设置在所述箱体内，所述存储器用于存储计算机指令，当所述处理器执行该指令时，以使所述智能安全箱为第一终端和第二终端配置抗DDoS攻击策略，所述抗DDoS攻击策略用于所述第一终端执行如第一方面所述的方法，或者所述抗DDoS攻击策略用于所述第二终端执行如第二方面所述的方法。

第六方面，本申请实施例提供了一种计算机可读存储介质，所述存储介质上存储有程序代码，当所述程序代码被所述计算机运行时，执行如第一方面或第二方面所述的方法。

附图说明

图1为本申请实施例提供的一种通信系统的架构示意图；

图2为本申请实施例提供的一种智能安全箱的波束增强方法的流程图；

图3为本申请实施例提供的一种智能安全箱的波束增强装置的结构示意图一；

图4为本申请实施例提供的一种智能安全箱的波束增强方法装置的结构示意图二。

具体实施方式

下面将结合附图，对本申请中的技术方案进行描述。

本申请实施例的技术方案可以应用于各种通信系统，例如无线保真(wirelessfidelity，WiFi)系统，车到任意物体(vehicle to everything，V2X)通信系统、设备间(device-todevie，D2D)通信系统、车联网通信系统、第4代(4th generation，4G)移动通信系统，如长期演进(long term evolution，LTE)系统、全球互联微波接入(worldwideinteroperability for microwave access，WiMAX)通信系统、第五代(5th generation，5G)移动通信系统，如新空口(new radio，NR)系统，以及未来的通信系统，如第六代(6thgeneration，6G)移动通信系统等。

本申请将围绕可包括多个设备、组件、模块等的系统来呈现各个方面、实施例或特征。应当理解和明白的是，各个系统可以包括另外的设备、组件、模块等，并且/或者可以并不包括结合附图讨论的所有设备、组件、模块等。此外，还可以使用这些方案的组合。

另外，在本申请实施例中，“示例地”、“例如”等词用于表示作例子、例证或说明。本申请中被描述为“示例”的任何实施例或设计方案不应被解释为比其它实施例或设计方案更优选或更具优势。确切而言，使用示例的一词旨在以具体方式呈现概念。

本申请实施例中，“信息(information)”，“信号(signal)”，“消息(message)”，“信道(channel)”、“信令(singaling)”有时可以混用，应当指出的是，在不强调其区别时，其所要表达的含义是一致的。“的(of)”，“相应的(corresponding，relevant)”和“对应的(corresponding)”有时可以混用，应当指出的是，在不强调其区别时，其所要表达的含义是一致的。

本申请实施例中，有时候下标如W1可能会笔误为非下标的形式如W1，在不强调其区别时，其所要表达的含义是一致的。

本申请实施例描述的网络架构以及业务场景是为了更加清楚的说明本申请实施例的技术方案，并不构成对于本申请实施例提供的技术方案的限定，本领域普通技术人员可知，随着网络架构的演变和新业务场景的出现，本申请实施例提供的技术方案对于类似的技术问题，同样适用。

为便于理解本申请实施例，首先以图1中示出的通信系统为例详细说明适用于本申请实施例的通信系统。示例性地，图1为本申请实施例提供的方法所适用的一种通信系统的架构示意图。

如图1所示，该通信系统包括：终端设备和智能安全箱。

上述终端设备，例如第一终端和第二终端为接入上述通信系统，且具有收发功能的终端或可设置于该终端的芯片或芯片系统。该终端设备也可以称为UE、用户装置、接入终端、用户单元、用户站、移动站、移动台、远方站、远程终端、移动设备、用户终端、终端、无线通信设备、用户代理或用户装置。本申请的实施例中的终端设备可以是手机(mobilephone)、平板电脑(Pad)、带无线收发功能的电脑、虚拟现实(virtual reality，VR)终端设备、增强现实(augmentedreality，AR)终端设备、工业控制(industrial control)中的无线终端、无人驾驶(selfdriving)中的无线终端、远程医疗(remote medical)中的无线终端、智能电网(smart grid)中的无线终端、运输安全(transportation safety)中的无线终端、智慧城市(smart city)中的无线终端、智慧家庭(smart home)中的无线终端、车载终端、具有终端功能的RSU等。本申请的终端设备还可以是作为一个或多个部件或者单元而内置于车辆的车载模块、车载模组、车载部件、车载芯片或者车载单元，车辆通过内置的所述车载模块、车载模组、车载部件、车载芯片或者车载单元可以实施本申请提供的方法。

其中，智能安全箱可以与通信系统中的终端连接，以为终端提供抗DDoS攻击的服务，具体实现可以参考下述方法实施例，在此不再赘述。

需要说明的是，本申请实施例提供的方法，可以适用于图1所示的终端设之间的通信，如第一终端通过智能安全箱与第二终端通信，具体实现可以参考下述方法实施例，此处不再赘述。

应当指出的是，本申请实施例中的方案还可以应用于其他通信系统中，相应的名称也可以用其他通信系统中的对应功能的名称进行替代。

应理解，图1仅为便于理解而示例的简化示意图，该通信系统中还可以包括其他网络设备，和/或，其他终端设备，图1中未予以画出。

请参阅图2，本申请实施例提供了一种智能安全箱的抗DDoS攻击方法。该方法可以适用于图1所示的系统中的第一终端和第二终端，第一终端为第一域的入口终端，第二终端为第一域内的终端，第一终端和第二终端与智能安全箱连接。该方法的流程包括：

S201，第一终端接收来自第一域以外的第一报文。

其中，第一报文可以是第一域以外的域，例如第二域中的设备发送的报文，可以是数据报文，或者控制报文，对此不做具体限定。

S202，第一终端根据第一报文，向第一域内的第二终端发送第二报文。相应的，第二终端接收来自第一终端的第二报文。

其中，第一终端配置有来自智能安全箱配置的抗分布式拒绝服务DDoS攻击策略。第二报文为第一终端根据抗DDoS攻击策略，在第一报文中加入第一标识得到的报文，第一标识用于指示第二报文为非DDoS攻击报文，如果第二报文未携带第一标识，则表示第二报文为DDoS攻击报文。

具体地，第一标识用于通过第一标识的递归数据结构指示第二报文为非DDoS攻击报文，或者，第一标识用于通过第一标识的序列号指示第二报文为非DDoS攻击报文，第一标识用于通过第一标识的映射关系指示第二报文为非DDoS攻击报文。

可选地，第一标识的递归数据结构是指：第一标识包括：M个递归单元，M为大于1的整数，第i个递归单元包括：标识符i，以及标识符i的验证信息，第i+1个递归单元包括：标识符i+1，以及标识符i+1的验证信息，i为取1至M-1的任意整数，标识符i+1为根据标识符i的验证信息哈希确定的标识符。可以理解，这种特定的递归结构可以有效防止攻击者伪造第一标识，从而可以进一步提高安全性。

可选地，第一标识的序列号可以是抗DDoS攻击策略指示的序列号，或者，第一标识的序列号可以是根据抗DDoS攻击策略，对第一报文中的数据承载进行哈希运算得到的序列号。

可选地，第一标识的映射关系可以是第一标识与抗DDoS攻击策略指示的验证标识具有对应关系。

一种可能的设计方案，第二报文为第一终端根据抗DDoS攻击策略，在第一报文中加入第一标识得到的报文是指：第一终端根据抗DDoS攻击策略，在第一报文的尾部位置添加第一标识，得到第二报文，第一报文的尾部位置是指位于第一报文的数据承载之后的位置，以便添加的第一标识不会影响报文原始的数据结构，还便于第二终端获取第一标识。

S203，第二终端根据抗DDoS攻击策略，验证第二报文。

情况1：

第一标识用于通过第一标识的递归数据结构指示第二报文为非DDoS攻击报文，第二终端根据抗DDoS攻击策略，验证第二报文，包括：第二终端根据抗DDoS攻击策略，验证第二报文中第一标识的数据结构是否为递归数据结构。

可选地，第一标识的递归数据结构是指：第一标识包括：M个递归单元，M为大于1的整数，第i个递归单元包括：标识符i，以及标识符i的验证信息，第i+1个递归单元包括：标识符i+1，以及标识符i+1的验证信息，i为取1至M-1的任意整数，标识符i+1为根据标识符i的验证信息哈希确定的标识符。

对应的，第二终端根据抗DDoS攻击策略，验证第二报文中第一标识的数据结构是否为递归数据结构，包括：第二终端根据抗DDoS攻击策略，对第一标识中标识符i的验证信息进行哈希运算，得到待验证的标识符；第二终端判断待验证的标识符与第一标识中的标识符i+1是否相同。

其中，若待验证的标识符与第一标识中的标识符i+1相同，则表示第二报文为非DDoS攻击报文；若待验证的标识符与第一标识中的标识符i+1不相同，则表示第二报文为DDoS攻击报文。可以看出，通过验证待验证的标识符与第一标识中的标识符i+1是否相同，可以有效识别第二报文中途是否被攻击者篡改，以进一步提高安全性。

情况2：

第一标识用于通过第一标识的序列号指示第二报文为非DDoS攻击报文，第二终端根据抗DDoS攻击策略，验证第二报文，包括：第二终端判断第二报文中第一标识的序列号与抗DDoS攻击策略中指示的序列号是否相同。其中，若第二报文中第一标识的序列号与抗DDoS攻击策略中指示的序列号相同，则表示第二报文为非DDoS攻击报文；若第二报文中第一标识的序列号与抗DDoS攻击策略中指示的序列号不相同，则表示第二报文为DDoS攻击报文，以实现快速便捷的验证第二报文是否为DDoS攻击报文。

或者，如果第一标识的序列号是根据第一报文中的数据承载进行哈希运算得到，则第二终端根据抗DDoS攻击策略，对第一报文中的数据承载进行哈希运算，得到待验证的序列号，并判断第一标识的序列号与待验证的序列号是否相同。其中，若第一标识的序列号与待验证的序列号相同，则表示第二报文为非DDoS攻击报文；若第一标识的序列号与待验证的序列号不相同，则表示第二报文为DDoS攻击报文，以实现快速便捷的验证第二报文是否为DDoS攻击报文。

情况3：

第一标识用于通过第一标识的映射关系指示第二报文为非DDoS攻击报文，第二终端根据抗DDoS攻击策略，验证第二报文，包括：第二终端判断第二报文中的第一标识是否与抗DDoS攻击策略中的验证标识对应；其中，若第二报文中的第一标识与抗DDoS攻击策略中的验证标识对应，则表示第二报文为非DDoS攻击报文；若第二报文中的第一标识是否与抗DDoS攻击策略中的验证标识不对应，则表示第二报文为DDoS攻击报文，以实现快速便捷的验证第二报文是否为DDoS攻击报文。

综上，基于上述方法可知，由于抗DDoS攻击策略配置在离线的智能安全箱中，可以有效避免抗DDoS攻击策略被攻击者窃取。在此基础上，通过为第一域的入口设备，例如第一终端配置抗DDoS攻击策略，使得第一终端可以根据抗DDoS攻击策略，为进入第一域的报文，例如第一报文添加特定标识，以指示该报文为非DDoS攻击报文，例如第二报文中的第一标识用于指示第二报文为非DDoS攻击报文。这样，对于第一域内的设备，例如对于第二设备而言，第二设备仅通过验证第二报文中的第一标识，便可以确定第二报文为非DDoS攻击报文还是DDoS攻击报文，一方面，可以保证正常业务不受影响，另一方面，可以大幅降低运算量，即使普通终端也能实现验证，无需特定设备，从而可以降低网络部署成本。因此，在低成本且不影响正常业务的情况下，实现抗DDoS攻击。

请参阅图3，本实施例中还提供了一种基于智能安全箱的抗DDoS攻击装置300，该装置300包括：收发模块301和处理模块302。

一种实施例中，该装置300可以应用第一终端，用以执行上述第一终端的功能。

收发模块301，用于所述第一终端接收来自所述第一域以外的第一报文；处理模块302，用于所述第一终端根据所述第一报文，控制所述收发模块301向所述第一域内的第二终端发送第二报文，其中，所述第一终端配置有来自所述智能安全箱配置的抗分布式拒绝服务DDoS攻击策略，所述第二报文为所述第一终端根据所述抗DDoS攻击策略，在所述第一报文中加入第一标识得到的报文，所述第一标识用于指示所述第二报文为非DDoS攻击报文，如果所述第二报文未携带所述第一标识，则表示所述第二报文为DDoS攻击报文。

一种可能的设计方案，所述第一标识用于通过所述第一标识的递归数据结构指示所述第二报文为非DDoS攻击报文，或者，所述第一标识用于通过所述第一标识的序列号指示所述第二报文为非DDoS攻击报文，所述第一标识用于通过所述第一标识的映射关系指示所述第二报文为非DDoS攻击报文。

可选地，所述第一标识的递归数据结构是指：所述第一标识包括：M个递归单元，M为大于1的整数，第i个递归单元包括：标识符i，以及所述标识符i的验证信息，第i+1个递归单元包括：标识符i+1，以及所述标识符i+1的验证信息，i为取1至M-1的任意整数，所述标识符i+1为根据所述标识符i的验证信息哈希确定的标识符。

一种可能的设计方案，所述第二报文为所述第一终端根据所述抗DDoS攻击策略，在所述第一报文中加入第一标识得到的报文是指：所述第一终端根据所述抗DDoS攻击策略，在所述第一报文的尾部位置添加所述第一标识，得到所述第二报文，所述第一报文的尾部位置是指位于所述第一报文的数据承载之后的位置。

可选地，收发模块301可以包括接收模块和发送模块。其中，接收模块用于实现所述的装置300的接收功能。发送模块用于实现所述的装置300的发送功能。

可选地，所述的装置300还可以包括存储模块，该存储模块存储有程序或指令。当处理模块302执行该程序或指令时，使得该装置300可以执行上述图1所示的方法中第一终端的功能。

此外，所述的装置300的技术效果可以参考上述的方法的技术效果，此处不再赘述。

另一种实施例中，该装置300可以应用第二终端，用以执行上述第二终端的功能。

收发模块301，用于所述第二终端接收来自所述第一终端的第二报文；处理模块302，用于所述第二终端根据抗DDoS攻击策略，验证所述第二报文，其中，所述抗DDoS攻击策略为所述第二终端从所述智能安全箱获取的策略，所述第二报文为所述第一终端根据所述抗DDoS攻击策略，在所述第一报文中加入第一标识得到的报文，所述第一标识用于指示所述第二报文为非DDoS攻击报文，如果所述第二报文未携带所述第一标识，则表示所述第二报文为DDoS攻击报文。

一种可能的设计方案，所述第一标识用于通过所述第一标识的递归数据结构指示所述第二报文为非DDoS攻击报文，所述处理模块302，还用于所述第二终端根据所述抗DDoS攻击策略，验证所述第二报文中所述第一标识的数据结构是否为递归数据结构。

可选地，所述第一标识的递归数据结构是指：所述第一标识包括：M个递归单元，M为大于1的整数，第i个递归单元包括：标识符i，以及所述标识符i的验证信息，第i+1个递归单元包括：标识符i+1，以及所述标识符i+1的验证信息，i为取1至M-1的任意整数，所述标识符i+1为根据所述标识符i的验证信息哈希确定的标识符；对应的，所述处理模块302，还用于所述第二终端根据所述抗DDoS攻击策略，对所述第一标识中标识符i的验证信息进行哈希运算，得到待验证的标识符；所述第二终端判断所述待验证的标识符与所述第一标识中的所述标识符i+1是否相同；其中，若所述待验证的标识符与所述第一标识中的所述标识符i+1相同，则表示所述第二报文为非DDoS攻击报文；若所述待验证的标识符与所述第一标识中的所述标识符i+1不相同，则表示所述第二报文为DDoS攻击报文。

一种可能的设计方案，所述第一标识用于通过所述第一标识的序列号指示所述第二报文为非DDoS攻击报文，所述处理模块302，还用于所述第二终端判断所述第二报文中第一标识的序列号与所述抗DDoS攻击策略中指示的序列号是否相同；其中，若所述第二报文中第一标识的序列号与所述抗DDoS攻击策略中指示的序列号相同，则表示所述第二报文为非DDoS攻击报文；若所述第二报文中第一标识的序列号与所述抗DDoS攻击策略中指示的序列号不相同，则表示所述第二报文为DDoS攻击报文。或者，如果所述第一标识的序列号是根据第一报文中的数据承载进行哈希运算得到，则所述处理模块302，还用于所述第二终端根据所述抗DDoS攻击策略，对所述第一报文中的数据承载进行哈希运算，得到待验证的序列号，并判断所述第一标识的序列号与所述待验证的序列号是否相同，其中，若所述第一标识的序列号与所述待验证的序列号相同，则表示所述第二报文为非DDoS攻击报文；若所述第一标识的序列号与所述待验证的序列号不相同，则表示所述第二报文为DDoS攻击报文。

一种可能的设计方案，所述第一标识用于通过所述第一标识的映射关系指示所述第二报文为非DDoS攻击报文，所述处理模块302，还用于所述第二终端判断所述第二报文中的第一标识是否与所述抗DDoS攻击策略中的验证标识对应；其中，若所述第二报文中的第一标识与所述抗DDoS攻击策略中的验证标识对应，则表示所述第二报文为非DDoS攻击报文；若所述第二报文中的第一标识是否与所述抗DDoS攻击策略中的验证标识不对应，则表示所述第二报文为DDoS攻击报文。

可选地，收发模块301可以包括接收模块和发送模块。其中，接收模块用于实现所述的装置300的接收功能。发送模块用于实现所述的装置300的发送功能。

可选地，所述的装置300还可以包括存储模块，该存储模块存储有程序或指令。当处理模块302执行该程序或指令时，使得该装置300可以执行上述图2所示的方法中第二终端的功能。

此外，所述的装置300的技术效果可以参考上述的方法的技术效果，此处不再赘述。

下面结合图4，对智能安全箱400的各个构成部件进行具体的介绍：

其中，智能安全箱400包括箱体405，该箱体405形状可以根据实际产品形态灵活设置，本申请对此不做具体限定。智能安全箱400的各组件可以设置在箱体405内，或者箱体405上。

具体地，处理器401(虚线表示位于箱体405内)是智能安全箱400的控制中心，可以是一个处理器，也可以是多个处理元件的统称。例如，处理器401是一个或多个中央处理器(central processing unit，CPU)，也可以是特定集成电路(application specificintegrated circuit，ASIC)，或者是被配置成实施本申请实施例的一个或多个集成电路，例如：一个或多个微处理器(digital signal processor，DSP)，或，一个或者多个现场可编程门阵列(fieldprogrammable gate array，FPGA)。

可选地，处理器401可以通过运行或执行存储在存储器402内的软件程序，以及调用存储在存储器402内的数据，执行智能安全箱400的各种功能。

在具体的实现中，作为一种实施例，处理器401可以包括一个或多个CPU，例如CPU0和CPU1。

在具体实现中，作为一种实施例，智能安全箱400也可以包括多个处理器，例如图4中所示的处理器401和处理器404(虚线表示位于箱体405内)。这些处理器中的每一个可以是一个单核处理器(single-CPU)，也可以是一个多核处理器(multi-CPU)。这里的处理器可以指一个或多个设备、电路、和/或用于处理数据(例如计算机程序指令)的处理核。

其中，存储器402(虚线表示位于箱体405内)用于存储执行本申请方案的软件程序，并由处理器401来控制执行，具体实现方式可以参考上述方法实施例，此处不再赘述。

可选地，存储器402可以是只读存储器(read-only memory，ROM)或可存储静态信息和指令的其他类型的静态存储设备，随机存取存储器(random access memory，RAM)或者可存储信息和指令的其他类型的动态存储设备，也可以是电可擦可编程只读存储器(electrically erasable programmable read-only memory，EEPROM)、只读光盘(compactdisc read-only memory，CD-ROM)或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。存储器402可以和处理器401集成在一起，也可以独立存在，并通过智能安全箱400的接口电路(图4中未示出)与处理器401耦合，本申请实施例对此不作具体限定。

收发器403(实线表示位于箱体405上)，用于与其他装置之间的通信。例如，智能安全箱400为网络设备，收发器403可以用于与终端设备通信，或者与另一个网络设备通信。需要指出的是，收发器403具体可以是上文提到的RIS。

可选地，收发器403可以包括接收器和发送器(图4中未单独示出)。其中，接收器用于实现接收功能，发送器用于实现发送功能。

可选地，收发器403可以和处理器401集成在一起，也可以独立存在，并通过智能安全箱400的接口电路(图4中未示出)与处理器401耦合，本申请实施例对此不作具体限定。

需要说明的是，图4中示出的装置400的结构并不构成对该智能安全箱400的限定，实际的智能安全箱400可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。

此外，装置400的技术效果可以参考上述方法实施例的方法的技术效果，此处不再赘述。

应理解，在本申请实施例中的处理器可以是中央处理单元(central processingunit，CPU)，该处理器还可以是其他通用处理器、数字信号处理器(digital signalprocessor，DSP)、专用集成电路(application specific integrated circuit，ASIC)、现成可编程门阵列(fieldprogrammable gate array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。

还应理解，本申请实施例中的存储器可以是易失性存储器或非易失性存储器，或可包括易失性和非易失性存储器两者。其中，非易失性存储器可以是只读存储器(read-only memory，ROM)、可编程只读存储器(programmable ROM，PROM)、可擦除可编程只读存储器(erasable PROM，EPROM)、电可擦除可编程只读存储器(electrically EPROM，EEPROM)或闪存。易失性存储器可以是随机存取存储器(random access memory，RAM)，其用作外部高速缓存。通过示例性但不是限制性说明，许多形式的随机存取存储器(random accessmemory，RAM)可用，例如静态随机存取存储器(static RAM，SRAM)、动态随机存取存储器(DRAM)、同步动态随机存取存储器(synchronous DRAM，SDRAM)、双倍数据速率同步动态随机存取存储器(double data rate SDRAM，DDR SDRAM)、增强型同步动态随机存取存储器(enhanced SDRAM，ESDRAM)、同步连接动态随机存取存储器(synchlink DRAM，SLDRAM)和直接内存总线随机存取存储器(directrambus RAM，DR RAM)。

上述实施例，可以全部或部分地通过软件、硬件(如电路)、固件或其他任意组合来实现。当使用软件实现时，上述实施例可以全部或部分地以计算机程序产品的形式实现。计算机程序产品包括一个或多个计算机指令或计算机程序。在计算机上加载或执行计算机指令或计算机程序时，全部或部分地产生按照本申请实施例的流程或功能。计算机可以为通用计算机、专用计算机、计算机网络、或者其他可编程装置。计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集合的服务器、数据中心等数据存储设备。可用介质可以是磁性介质(例如，软盘、硬盘、磁带)、光介质(例如，DVD)、或者半导体介质。半导体介质可以是固态硬盘。

应理解，本文中术语“和/或”，仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况，其中A,B可以是单数或者复数。另外，本文中字符“/”，一般表示前后关联对象是一种“或”的关系，但也可能表示的是一种“和/或”的关系，具体可参考前后文进行理解。

本申请中，“至少一个”是指一个或者多个，“多个”是指两个或两个以上。“以下至少一项(个)”或其类似表达，是指的这些项中的任意组合，包括单项(个)或复数项(个)的任意组合。例如，a,b,或c中的至少一项(个)，可以表示：a,b,c,a-b,a-c,b-c,或a-b-c，其中a,b,c可以是单个，也可以是多个。

应理解，在本申请的各种实施例中，上述各过程的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本申请实施例的实施过程构成任何限定。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统、装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征字段可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。

功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(read-only memory，ROM)、随机存取存储器(random acceMM memory，RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

以上，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以权利要求的保护范围为准。

Claims (5)

1.一种基于智能安全箱的抗DDoS攻击方法，其特征在于，应用于第一终端，所述第一终端为第一域的入口终端，所述第一终端与智能安全箱连接，所述方法包括：

所述第一终端接收来自所述第一域以外的第一报文；

所述第一终端根据所述第一报文，向所述第一域内的第二终端发送第二报文，其中，所述第一终端配置有来自所述智能安全箱配置的抗分布式拒绝服务DDoS攻击策略，所述第二报文为所述第一终端根据所述抗DDoS攻击策略，在所述第一报文中加入第一标识得到的报文，所述第一标识用于指示所述第二报文为非DDoS攻击报文，如果所述第二报文未携带所述第一标识，则表示所述第二报文为DDoS攻击报文；

所述第一标识用于通过所述第一标识的递归数据结构指示所述第二报文为非DDoS攻击报文；所述第一标识的递归数据结构是指：所述第一标识包括：M个递归单元，M为大于1的整数，第i个递归单元包括：标识符i，以及所述标识符i的验证信息，第i+1个递归单元包括：标识符i+1，以及所述标识符i+1的验证信息，i为取1至M-1的任意整数，所述标识符i+1为根据所述标识符i的验证信息哈希确定的标识符。

2.根据权利要求1所述的方法，其特征在于，所述第二报文为所述第一终端根据所述抗DDoS攻击策略，在所述第一报文中加入第一标识得到的报文是指：所述第一终端根据所述抗DDoS攻击策略，在所述第一报文的尾部位置添加所述第一标识，得到所述第二报文，所述第一报文的尾部位置是指位于所述第一报文的数据承载之后的位置。

3.一种基于智能安全箱的抗DDoS攻击方法，其特征在于，应用于第二终端，所述第二终端为第一域内的终端，所述第二终端与智能安全箱连接，所述方法包括：

所述第二终端接收来自第一终端的第二报文；

所述第二终端根据抗DDoS攻击策略，验证所述第二报文，其中，所述抗DDoS攻击策略为所述第二终端从所述智能安全箱获取的策略，所述第二报文为所述第一终端根据所述抗DDoS攻击策略，在接收来自所述第一域以外的第一报文中加入第一标识得到的报文，所述第一标识用于指示所述第二报文为非DDoS攻击报文，如果所述第二报文未携带所述第一标识，则表示所述第二报文为DDoS攻击报文；

其中，所述第一标识用于通过所述第一标识的递归数据结构指示所述第二报文为非DDoS攻击报文，所述第二终端根据抗DDoS攻击策略，验证所述第二报文，包括：

所述第二终端根据所述抗DDoS攻击策略，验证所述第二报文中所述第一标识的数据结构是否为递归数据结构；

其中，所述第一标识的递归数据结构是指：所述第一标识包括：M个递归单元，M为大于1的整数，第i个递归单元包括：标识符i，以及所述标识符i的验证信息，第i+1个递归单元包括：标识符i+1，以及所述标识符i+1的验证信息，i为取1至M-1的任意整数，所述标识符i+1为根据所述标识符i的验证信息哈希确定的标识符；对应的，所述第二终端根据所述抗DDoS攻击策略，验证所述第二报文中所述第一标识的数据结构是否为递归数据结构，包括：

所述第二终端根据所述抗DDoS攻击策略，对所述第一标识中标识符i的验证信息进行哈希运算，得到待验证的标识符；

所述第二终端判断所述待验证的标识符与所述第一标识中的所述标识符i+1是否相同；其中，若所述待验证的标识符与所述第一标识中的所述标识符i+1相同，则表示所述第二报文为非DDoS攻击报文；若所述待验证的标识符与所述第一标识中的所述标识符i+1不相同，则表示所述第二报文为DDoS攻击报文。

4.一种基于智能安全箱的抗DDoS攻击装置，其特征在于，所述装置应用第一终端，用以执行如权利要求1或2所述的方法，或者所述装置应用第二终端，用以执行如权利要求3所述的方法。

5.一种智能安全箱，其特征在于，包括：箱体、处理器和存储器；所述处理器和所述存储器设置在所述箱体内，所述存储器用于存储计算机指令，当所述处理器执行该计算机指令时，以使所述智能安全箱为第一终端和第二终端配置抗DDoS攻击策略，所述抗DDoS攻击策略用于所述第一终端执行如权利要求1或2所述的方法，或者所述抗DDoS攻击策略用于所述第二终端执行如权利要求3所述的方法。

Images