CN116708013A - 一种DDoS防护方法及装置 - Google Patents

Abstract

本发明实施例提供了一种DDoS防护方法及装置，涉及网络安全技术领域，具体实现方案为：响应于对目标网站请求访问的目标访问数据达到预设的数量阈值，获取所述目标访问数据所表示的访问数量的分布特征；对于发送所述目标访问数据的每一访问者，确定该访问者发送的访问数据的属性特征；获得各访问者的历史访问特征；基于各访问者发送的访问数据的属性特征和历史访问特征、以及所述分布特征，从各访问者中确定攻击者；对所确定的攻击者发送的第一访问数据进行过滤。应用本发明实施例提供的方案能够过滤攻击者发送的访问数据。

Description

一种DDoS防护方法及装置

技术领域

本发明涉及网络安全技术领域，特别是涉及一种DDoS防护方法及装置。

背景技术

DDoS（Distributed Denial of Service，分布式拒绝服务）攻击指的是处于不同位置的多个攻击者同时攻击一个或者多个目标的过程。常见的目标如网站等，攻击者式则为发送大量无效的访问请求。

为了避免DDoS攻击使网站无法提供服务，需要在网站受到DDoS攻击时减少或阻止对被访问网站的访问请求。但是在阻止的过程中，可能存在有正常的、非攻击者发出的访问请求，如果这些请求也被阻止，则会影响到非攻击者的用户在浏览被访问网站时的用户体验。

发明内容

本发明实施例的目的在于提供一种DDoS防护方法及装置，以过滤攻击者发送的访问数据。具体技术方案如下：

在本发明实施的第一方面，提供了一种分布式拒绝服务DDoS防护方法，所述方法包括：

响应于对目标网站请求访问的目标访问数据达到预设的数量阈值，获取所述目标访问数据所表示的访问数量的分布特征；

对于发送所述目标访问数据的每一访问者，确定该访问者发送的访问数据的属性特征；

获得各访问者的历史访问特征；

基于各访问者发送的访问数据的属性特征和各访问者的历史访问特征、以及所述分布特征，从各访问者中确定攻击者；

对所确定的攻击者发送的第一访问数据进行过滤。

在本发明实施的第二方面，分布式拒绝服务DDoS防护装置，所述装置包括：

分布特征获取模块，用于响应于对目标网站请求访问的目标访问数据达到预设的数量阈值，获取所述目标访问数据所表示的访问数量的分布特征；

属性特征确定模块，用于对于发送所述目标访问数据的每一访问者，确定该访问者发送的访问数据的属性特征；

访问特征获得模块，用于获得各访问者的历史访问特征；

攻击者确定模块，用于基于各访问者发送的访问数据的属性特征和各访问者的历史访问特征、以及所述分布特征，从各访问者中确定攻击者；

访问数据过滤模块，用于对所确定的攻击者发送的第一访问数据进行过滤。

有益效果：

本发明实施例提供的方案中，获得访问数量的分布特征、各访问者所发送的访问数据的属性特征、历史访问特征，通过特征分析的方式从请求访问的访问者中确定攻击者，采用的特征所参考的信息更为全面，从而能够更为准确的定位攻击者，并对攻击者发送的第一访问数据进行过滤，既降低了目标网站被攻击的风险，又避免影响到正常使用目标网站的用户的访问。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍。

图1为本发明实施例提供的一种DDoS防护方法的流程示意图。

图2为本发明实施例提供的一种DDoS防护装置的结构示意图。

图3为本发明实施例提供的一种电子设备的结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行描述。

本发明实施例提供的方法可以应用于一台任意类型的电子设备，所应用的电子设备用于接收向目标网站发送的访问数据，并向目标网站转发所接收的访问数据。

一种情况下，所应用的电子设备可以位于目标网站所在的网域的网关；

另一种情况下，所应用的电子设备也可以是运营目标网站的服务器的一部分。

本发明的一个实施例中，参见图1，提供了一种分布式拒绝服务DDoS防护方法的流程示意图，该方法包括以下步骤S101-S105。

步骤S101：响应于对目标网站请求访问的目标访问数据达到预设的数量阈值，获取所述目标访问数据所表示的访问数量的分布特征。

目标网站为目标访问数据所指定的访问目标。

表示一次访问的访问数据可以包括在一个访问请求中。访问请求包括请求头、请求体等。

上述数量阈值可以人为指定，具体的，可以指定为任一目标网站曾受DDoS攻击时访问数量的峰值、平均值等，本发明实施例并不对此进行限定。

分布特征可以根据不同的发送访问数据的访问者发送的访问数量、或者不同区域内，访问者发送的访问数量的总和所表示的分布比例确定。

其中，访问者可以是任意的电子设备，如手机、个人计算机、服务器等，本发明实施例并不对此进行限定。

步骤S102：对于发送目标访问数据的每一访问者，确定该访问者发送的访问数据的属性特征。

每一访问者所发送的访问数据为目标访问数据的一部分。

属性特征可以通过对访问数据的属性信息进行特征提取得到。属性信息可以是访问数据的长度、摘要内容、源地址等；

特征提取的方式可以是对各属性进行特征编码等，本发明实施例并不对此进行限定。

若作为访问者的一台设备发送了多次访问数据，可以对每一次访问的访问数据提取出单次属性特征，将单次属性特征的集合作为该访问者所发送的访问数据的属性特征，也可以是将单次属性特征进行特征融合得到的融合特征作为该访问者所发送的访问数据的属性特征。

步骤S103：获得各访问者的历史访问特征。

历史访问特征可以是根据访问者曾经发送的访问数据的内容提取的特征。

或者，也可以在每次应用本发明实施例提供的分布式拒绝服务DDoS防护方法的之后，采用本次应用分布式拒绝服务DDoS防护方法得到的属性特征对历史访问特征进行更新，从而不断得到新的历史访问特征。具体实施方式参见下述实施例。

步骤S104：基于各访问者发送的访问数据的属性特征和各访问者的历史访问特征、以及所述分布特征，从各访问者中确定攻击者。

一种实现方式中，可以预先记录下已知的攻击者的所发送的访问数据的目标特征，具体可以是已知攻击者发送的访问数据的属性特征、历史访问特征等，也可以是已知攻击者的上述各特征的融合特征。

在此实现方式中，可以对每一访问者，采用该访问者的访问数据的属性特征和该访问者的历史访问特征、以及所述分布特征进行特征融合，得到融合特征，并对比目标特征与融合特征的相似度，当相似程度大于预设的相似度阈值时，确定该访问者是攻击者。

另一种实现方式中，也可以使用模型训练的方式确定攻击者，详见下述实施例，此处暂不详述。

步骤S105：对所确定的攻击者发送的第一访问数据进行过滤。

第一访问数据为目标访问数据属于攻击者的部分访问数据。

过滤方式可以是：阻止所有第一访问数据发送至目标网站，或者对第一访问数据进行数据清洗等。

由上可见，本发明实施例提供的方案中，获得访问数量的分布特征、各访问者所发送的访问数据的属性特征、历史访问特征，通过特征分析的方式从请求访问的访问者中确定攻击者，采用的特征所参考的信息更为全面，从而能够更为准确的定位攻击者，并对攻击者发送的第一访问数据进行过滤，既降低了目标网站被攻击的风险，又避免影响到正常使用目标网站的用户的访问。

本发明的一个实施例中，上述步骤S105对所确定的攻击者发送的第一访问数据进行过滤之后，所述方法还包括：

对于每一访问者，对该访问者所发送的访问数据的属性特征、该访问者的历史访问特征以及该访问者的安全特征进行特征融合，得到融合特征，并采用所述融合特征作为更新后的、该访问者的历史访问特征；其中，所述安全特征为：表征该访问者是否被确定为攻击者的特征。

特征融合的方式可以是现有技术中对特征进行的拼接或者相加的操作等，本发明实施例并不对此进行限定。

前述步骤S105确定了各访问者是否为攻击者，在此情况下，并生成对应每一访问者的安全特征，使得访问者中攻击者与非攻击者具有两种不同的安全特征。

这样，在每次确定了攻击者后，各访问者的历史访问特征不断地更新，从而能够及时地获取新产生的攻击者的特征，并在下次实施DDoS防护方法的时候进行应用，不断提高防护的准确性。

以下说明一种获取目标访问数据所表示的访问数量的分布特征的具体实现方式。

本发明的一个实施例中，可以根据所述访问者的属性信息，对所述访问者进行聚类，得到多个访问者簇；

根据所述目标访问数据中各访问者簇的访问数据的统计值，确定访问者的分布特征。

上述聚类所采用的聚类方式可以是k-means聚类、系统聚类法等。

统计值可以是每一访问者簇中统计数量的总和或者平均值等，本发明实施例并不对此进行限定。

由于DDoS的攻击者可能是不是单一设备，也就是多个设备作为多个攻击者。那么对于同一个DDoS发起方，多个攻击者采用的攻击手段之间存在相似性，从而，可以通过聚类的方式将其识别，也就进一步地提高了确定攻击者的准确性。

以下说明前述实施例中所提及的使用模型训练的方式确定攻击者的具体实施过程。

对于每一访问者，将该访问者发送的访问数据的属性特征和历史访问特征以及所述分布特征输入预先训练的攻击预测模型，得到所述攻击预测模型输出的表示该访问者是否为攻击者的预测值；其中，所述攻击预测模型为：采用样本访问者发送的访问数据的样本属性特征、样本历史访问特征和多个样本访问者发送访问数据的样本分布特征对预设的网络模型进行训练得到的用于预测访问者是否为攻击者的模型。

预设的网络模型可以是逻辑回归模型、朴素贝叶斯模型等。

预测值可以输出为0或者1，分别用于表示攻击预测模型判断该访问者是否为攻击者；或者，预测值也可以是攻击预测模型输出的概率。

样本访问者既可以包括作为攻击者的样本、也可以包括作为非攻击者的样本。样本属性特征、样本历史访问特征和样本分布特征的获得方式与前述实施例中属性特征、历史访问特征和分布特征类似，此处不再详述。

根据预测值确定访问者的方式与预测值的类型相关。预测值输出为0或者1，则直接根据输出值确定；若预测值为概率，则设置概率阈值，在所输出概率大于概率阈值的情况下，确定该访问者为攻击者。

由上可见，样本训练的方式是模型事先学习到攻击者的访问数据所具有的特征，从而在每次对目标网站请求访问的访问数据达到预设的数量阈值的情况下，可以快速地根据当前访问数据的分布特征、属性特征、历史访问特征等，从访问者中识别出攻击者。

本发明的一个实施例中，在识别出攻击者后，还可以将所述攻击者的标识信息发送至预设的记录设备进行记录。

标识信息可以是可以是地址，可以是访问数据，也可以是提取出的前述特征，如属性特征、历史访问特征等，本发明实施例并不对此进行限定。

在此情况下可以获得各访问者的目标标识信息；其中，每一访问者的目标标识信息为：表示该访问者是否为攻击者的信息；将所述目标标识信息发送至所述记录设备；获得所述记录设备基于已记录的标识信息、目标标识信息进行识别的识别结果；基于所述识别结果，从各访问者中确定攻击者。

记录设备可以将已记录的标识信息、目标标识信息进行对比，确定各访问者中已被记录设备记录为攻击者的访问者。

基于识别结果确定攻击者时，可以直接通过已记录的标识信息与目标标识信息相同确定攻击者，也可以是判断已记录的标识信息与目标标识信息相同的情况下，结合前述实施例中基于各访问者的属性特征和历史访问特征、以及所述分布特征确定攻击者的确认结果共同确定。也就是在记录设备和通过属性特征和历史访问特征、以及所述分布特征均确认一个访问者为攻击者的情况下，认定此时的确认结果正确。

由上可见，通过记录设备记录攻击者的标识，可以通过标识的快速比对直接确定出攻击者，并且作为前述实施例中根据各类特征确定攻击者的补充方案，手段更加多样，减少了漏检攻击者的可能性。

本发明的一个实施例中，参见图2，提供了一种分布式拒绝服务DDoS防护装置的结构示意图，所述装置包括：

分布特征获取模块201，用于响应于对目标网站请求访问的目标访问数据达到预设的数量阈值，获取所述目标访问数据所表示的访问数量的分布特征；

属性特征确定模块202，用于对于发送所述目标访问数据的每一访问者，确定该访问者发送的访问数据的属性特征；

访问特征获得模块203，用于获得各访问者的历史访问特征；

攻击者确定模块204，用于基于各访问者发送的访问数据的属性特征和各访问者的历史访问特征、以及所述分布特征，从各访问者中确定攻击者；

访问数据过滤模块205，用于对所确定的攻击者发送的第一访问数据进行过滤。

本发明的一个实施例中，所述装置还包括：

特征融合模块，用于对于每一访问者，对该访问者所发送的访问数据的属性特征、该访问者的历史访问特征以及该访问者的安全特征进行特征融合，得到融合特征，并采用所述融合特征作为更新后的、该访问者的历史访问特征；其中，所述安全特征为：表征该访问者是否被确定为攻击者的特征。

本发明的一个实施例中，所述分布特征获取模块，具体用于响应于对目标网站请求访问的目标访问数据达到预设的数量阈值，根据所述访问者的属性信息，对所述访问者进行聚类，得到多个访问者簇；根据所述目标访问数据中各访问者簇的访问数据的统计值，确定访问者的分布特征。

本发明的一个实施例中，所述攻击者确定模块，具体用于对于每一访问者，将该访问者发送的访问数据的属性特征和历史访问特征以及所述分布特征输入预先训练的攻击预测模型，得到所述攻击预测模型输出的表示该访问者是否为攻击者的预测值；其中，所述攻击预测模型为：采用样本访问者发送的访问数据的样本属性特征、样本历史访问特征和多个样本访问者发送访问数据的样本分布特征对预设的网络模型进行训练得到的用于预测访问者是否为攻击者的模型；基于所述预测值确定访问者是否为攻击者。

本发明的一个实施例中，所述装置还包括：

记录模块，用于将所述攻击者的标识信息发送至预设的记录设备进行记录；

所述攻击者确定模块基于各访问者的属性特征和历史访问特征、以及所述分布特征，从各访问者中确定攻击者之后，所述装置还包括：

标识信息识别模块，用于获得各访问者的目标标识信息；其中，每一访问者的目标标识信息为：表示该访问者是否为攻击者的信息；将所述目标标识信息发送至所述记录设备；获得所述记录设备基于已记录的标识信息、目标标识信息进行识别的识别结果；基于所述识别结果，从各访问者中确定攻击者。

本发明实施例还提供了一种电子设备，如图3所示，包括处理器301、通信接口302、存储器303和通信总线304，其中，处理器301，通信接口302，存储器303通过通信总线304完成相互间的通信，

存储器303，用于存放计算机程序；

处理器301，用于执行存储器303上所存放的程序时，实现前述任一实施例所述的种DDoS防护方法方法步骤。

上述终端提到的通信总线可以是外设部件互连标准(Peripheral ComponentInterconnect，简称PCI)总线或扩展工业标准结构(Extended Industry StandardArchitecture，简称EISA)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示，图中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

通信接口用于上述终端与其他设备之间的通信。

存储器可以包括随机存取存储器(Random Access Memory，简称RAM)，也可以包括非易失性存储器(non-volatile memory)，例如至少一个磁盘存储器。可选的，存储器还可以是至少一个位于远离前述处理器的存储装置。

上述的处理器可以是通用处理器，包括中央处理器(Central Processing Unit，简称CPU)、网络处理器(Network Processor，简称NP)等；还可以是数字信号处理器(Digital Signal Processor，简称DSP)、专用集成电路(Application SpecificIntegrated Circuit，简称ASIC)、现场可编程门阵列(Field－Programmable Gate Array，简称FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。

在本发明提供的又一实施例中，还提供了一种计算机可读存储介质，所述计算机可读存储介质内存储有计算机程序，所述计算机程序被处理器执行时实现上述实施例中任一所述的种DDoS防护方法。

在本发明提供的又一实施例中，还提供了一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机执行上述实施例中任一所述的种DDoS防护方法。

在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时，全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线（例如同轴电缆、光纤、数字用户线（DSL））或无线（例如红外、无线、微波等）方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质，(例如，软盘、硬盘、磁带)、光介质(例如，DVD)、或者半导体介质（例如固态硬盘Solid State Disk (SSD)）等。

需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

本说明书中的各个实施例均采用相关的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于装置、电子设备以及存储介质实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

以上所述仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等，均包含在本发明的保护范围内。

Claims (10)

1.一种分布式拒绝服务DDoS防护方法，其特征在于，所述方法包括：

响应于对目标网站请求访问的目标访问数据达到预设的数量阈值，获取所述目标访问数据所表示的访问数量的分布特征；

对于发送所述目标访问数据的每一访问者，确定该访问者发送的访问数据的属性特征；

获得各访问者的历史访问特征；

基于各访问者发送的访问数据的属性特征和各访问者的历史访问特征、以及所述分布特征，从各访问者中确定攻击者；

对所确定的攻击者发送的第一访问数据进行过滤。

2.根据权利要求1所述的方法，其特征在于，所述对所确定的攻击者发送的第一访问数据进行过滤之后，所述方法还包括：

对于每一访问者，对该访问者所发送的访问数据的属性特征、该访问者的历史访问特征以及该访问者的安全特征进行特征融合，得到融合特征，并采用所述融合特征作为更新后的、该访问者的历史访问特征；其中，所述安全特征为：表征该访问者是否被确定为攻击者的特征。

3.根据权利要求1所述的方法，其特征在于，所述获取所述目标访问数据所表示的访问数量的分布特征，包括：

根据所述访问者的属性信息，对所述访问者进行聚类，得到多个访问者簇；

根据所述目标访问数据中各访问者簇的访问数据的统计值，确定访问者的分布特征。

4.根据权利要求1所述的方法，其特征在于，基于各访问者发送的访问数据的属性特征和历史访问特征、以及所述分布特征，从各访问者中确定攻击者，包括：

对于每一访问者，将该访问者发送的访问数据的属性特征和历史访问特征以及所述分布特征输入预先训练的攻击预测模型，得到所述攻击预测模型输出的表示该访问者是否为攻击者的预测值；其中，所述攻击预测模型为：采用样本访问者发送的访问数据的样本属性特征、样本历史访问特征和多个样本访问者发送访问数据的样本分布特征对预设的网络模型进行训练得到的用于预测访问者是否为攻击者的模型；

基于所述预测值确定访问者是否为攻击者。

5.根据权利要求1所述的方法，其特征在于，所述从各访问者中确定攻击者之后，所述方法还包括：

将所述攻击者的标识信息发送至预设的记录设备进行记录；

所述基于各访问者的属性特征和历史访问特征、以及所述分布特征，从各访问者中确定攻击者之后，所述方法还包括：

获得各访问者的目标标识信息；其中，每一访问者的目标标识信息为：表示该访问者是否为攻击者的信息；

将所述目标标识信息发送至所述记录设备；

获得所述记录设备基于已记录的标识信息、目标标识信息进行识别的识别结果；

基于所述识别结果，从各访问者中确定攻击者。

6.一种分布式拒绝服务DDoS防护装置，其特征在于，所述装置包括：

分布特征获取模块，用于响应于对目标网站请求访问的目标访问数据达到预设的数量阈值，获取所述目标访问数据所表示的访问数量的分布特征；

属性特征确定模块，用于对于发送所述目标访问数据的每一访问者，确定该访问者发送的访问数据的属性特征；

访问特征获得模块，用于获得各访问者的历史访问特征；

攻击者确定模块，用于基于各访问者发送的访问数据的属性特征和各访问者的历史访问特征、以及所述分布特征，从各访问者中确定攻击者；

访问数据过滤模块，用于对所确定的攻击者发送的第一访问数据进行过滤。

7.根据权利要求6所述的装置，其特征在于，所述装置还包括：

特征融合模块，用于对于每一访问者，对该访问者所发送的访问数据的属性特征、该访问者的历史访问特征以及该访问者的安全特征进行特征融合，得到融合特征，并采用所述融合特征作为更新后的、该访问者的历史访问特征；其中，所述安全特征为：表征该访问者是否被确定为攻击者的特征。

8.根据权利要求6所述的装置，其特征在于，所述分布特征获取模块，具体用于响应于对目标网站请求访问的目标访问数据达到预设的数量阈值，根据所述访问者的属性信息，对所述访问者进行聚类，得到多个访问者簇；根据所述目标访问数据中各访问者簇的访问数据的统计值，确定访问者的分布特征。

9.根据权利要求6所述的装置，其特征在于，所述攻击者确定模块，具体用于对于每一访问者，将该访问者发送的访问数据的属性特征和历史访问特征以及所述分布特征输入预先训练的攻击预测模型，得到所述攻击预测模型输出的表示该访问者是否为攻击者的预测值；其中，所述攻击预测模型为：采用样本访问者发送的访问数据的样本属性特征、样本历史访问特征和多个样本访问者发送访问数据的样本分布特征对预设的网络模型进行训练得到的用于预测访问者是否为攻击者的模型；基于所述预测值确定访问者是否为攻击者。

10.根据权利要求6所述的方法，其特征在于，所述装置还包括：

记录模块，用于将所述攻击者的标识信息发送至预设的记录设备进行记录；

所述攻击者确定模块基于各访问者的属性特征和历史访问特征、以及所述分布特征，从各访问者中确定攻击者之后，所述装置还包括：

标识信息识别模块，用于获得各访问者的目标标识信息；其中，每一访问者的目标标识信息为：表示该访问者是否为攻击者的信息；将所述目标标识信息发送至所述记录设备；获得所述记录设备基于已记录的标识信息、目标标识信息进行识别的识别结果；基于所述识别结果，从各访问者中确定攻击者。