WO2008131667A1

WO2008131667A1 - Procédé, dispositif d'identification des flux de services et procédé, système de protection contre une attaque par déni de service

Info

Publication number: WO2008131667A1
Application number: PCT/CN2008/070621
Authority: WO
Inventors: Lifeng Liu; Zhibin Zheng
Original assignee: Huawei Technologies Co., Ltd.
Priority date: 2007-04-28
Filing date: 2008-03-28
Publication date: 2008-11-06
Also published as: EP2136526A4; US20100095351A1; CN101136922A; EP2136526A1; CN101136922B

Description

业务流识别方法、装置及拒绝服务攻击防御方法、系统本申请要求于 2007 年 4 月 28 日提交中国专利局、申请号为 200710098879.8、发明名称为"业务流识别方法、装置及分布式拒绝服务攻击防御方法、系统"的中国专利申请的优先权，以及要求于 2007年 8月 20 日提交中国专利局、申请号为 200710138784.4、发明名称为"业务流识别方法、装置及分布式拒绝服务攻击防御方法、系统"的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本发明涉及网络通讯技术领域，具体涉及一种业务流识别方法、业务流识别装置、拒绝服务攻击防御方法、拒绝服务攻击防御系统和装置。

背景技术

DDoS ( Distributed Deny of Service, 分布式拒绝服务）攻击主要包括两种实现方式， 1、通过大流量来攻击网络设备和服务器； 2、通过制造大量无法完成的不完全请求，以快速耗尽服务器资源。

目前， DDoS防御方法主要有黑洞技术：在发生 DDoS攻击时，运营商将发送至被攻击者的数据包尽量阻截在上游，然后，将阻截的数据包引进"黑洞" 并丟弃，从而保全运营商的基础网络和其它客户的业务。

发明人发现现有技术中的黑洞技术至少存在如下问题：由于运营商将发送至被攻击者的数据包丟弃了，因此该被攻击者的合法数据包和恶意攻击数据包一起被丟弃了。虽然该方法能够保全运营商的基础网络以及其它客户的业务，但是，被攻击者失去了所有的业务服务，从客观上讲，攻击者达到了攻击的目的。

发明内容

本发明实施方式提供一种业务流识别方法、装置，可以提高识别合法业务流的准确性；本发明实施方式还提供一种拒绝服务攻击的防御应用，提高了分布式拒绝服务攻击防御系统的防御能力；本发明实施方式还提供一种产生用户信息的装置，可以为业务流识别以及防御等提供所需的用户信息。

本发明实施方式提供一种业务流识别方法，包括：检测用户对目标系统的访问；根据所述检测到的用户对目标系统的访问和预先设置的用户访问统计模型动态生成用户标识信息集合；当需要进行业务流识别时，提取业务流中的用户标识信息；比较所述提取的用户标识信息和所述用户标识信息集合中的用户标识信息是否匹配；根据所述比较结果确定所述业务流是否为合法业务流。

本发明实施方式还提供一种拒绝服务攻击的防御方法，包括：检测用户对目标系统的访问；根据所述检测到的用户对目标系统的访问和预先设置的用户访问统计模型动态生成用户标识信息集合；当需要进行业务流识别时，提取业务流中的用户标识信息；比较所述提取的用户标识信息和所述集合中的用户标识信息是否匹配；根据所述比较结果确定所述业务流是否为合法业务流；允许对所述确定的合法业务流进行后续的正常处理操作，拒绝对所述确定的非法业务流进行后续的正常处理操作。

本发明实施方式还提供一种业务流识别装置，包括：第一模块：用于检测用户对目标系统的访问，并根据所述检测到的用户对目标系统的访问和预先设置的用户访问统计模型动态生成的用户标识信息，并输出；第二模块：用于接收第一模块输出的用户标识信息，并存储为用户标识信息集合；第三模块：用于提取业务流中的用户标识信息，比较所述提取的用户标识信息与所述用户标识信息集合中的用户标识信息是否匹配，并根据比较结果判断所述业务流是否为合法业务流以及输出判断结果。

本发明实施方式还提供一种拒绝服务攻击的防御系统，包括：第一模块：用于检测用户对目标系统的访问，并根据检测到的用户对目标系统的访问和预先设置的用户访问统计模型动态生成的用户标识信息，并输出；第二模块：用于接收第一模块输出的用户标识信息，并存储为用户标识信息集合；第三模块：用于提取业务流中的用户标识信息，比较所述提取的用户标识信息与所述用户标识信息集合中的用户标识信息是否匹配，并根据比较结果判断所述业务流是否为合法业务流以及输出判断结果；第四模块：用于接收第三模块输出的业务流是否为合法业务流的判断结果，并允许对所述确定的合法业务流进行后续的正常处理操作，拒绝对所述确定的非法业务流进行后续的正常处理操作。

本发明实施方式还提供一种产生用户信息的装置，包括：第一模块：用于检测用户对目标系统的访问，并根据检测到的用户对目标系统的访问和预先设置的用户访问统计模型动态生成的用户标识信息，并输出；第二模块：用于接收第一模块输出的用户标识信息，并存储为用户标识信息集合。

附图说明

图 1是依据本发明实施方式的业务流识别方法示意流程图；

图 2是依据本发明实施方式的分布式拒绝服务攻击防御方法示意流程图；图 3是依据本发明实施方式的分布式拒绝服务攻击防御系统示意图。

具体实施方式

发明人通过大量研究发现：在 DDoS攻击中，虽然从报文特征和报文行为的角度上讲，攻击业务流和正常业务流没有什么不同，但是，攻击业务流和正常业务流在访问目标系统的用户上是有区别的。其区别在于：由于 DDoS攻击是大量傀儡主机发起的，所以攻击业务流是大量傀儡主机发送出来的；而正常业务流是合法用户发送出来的。一般来说，合法用户访问目标系统是可预期的，而傀儡主机访问目标系统是不可预期的。

发明人正是利用了上述发现的合法用户访问目标系统的可预期性这一特点，来实现业务流识别和 DDoS攻击防御的。也就是说，由于合法用户访问目标系统一般是符合一定的用户访问统计模型的，因此，本发明实施方式利用了用户访问统计模型来预测合法用户或非法用户。预测合法用户或非法用户的一个具体的例子为：根据用户访问目标系统的历史信息，预测在 DDoS攻击状态下可能对业务系统进行访问的概率，并根据预测出的概率来判断用户是合法用户，还是非法用户，如果需要记录合法用户的标识信息，则在判断出合法用户时，从用户访问目标系统的业务流中获取该用户对应的用户标识信息，并记录在用户标识信息集合中，此时记录的用户标识信息集合可以为用户白名单；如果需要记录非法用户的用户标识信息，则在判断出非法用户时，从用户访问目标系统的业务流中获取该用户对应的用户标识信息，并记录在用户标识信息集合中，此时记录的用户标识信息集合可以为用户黑名单。

例如可以将预测出的大概率用户确定为合法用户，然后从该用户的访问目标系统的业务流中获取相应的用户标识信息，并记录。然后，可根据记录的用户标识信息来识别合法业务流和非法业务流。由于根据用户访问统计模型产生的用户标识信息能够尽可能准确标识出合 /非法用户，因此，通过记录的用户标识信息能够尽可能准确的识别出合法业务流和非法业务流。上述识别合法业务流和非法业务流的过程可以应用在 DDoS攻击防御中。即在进行 DDoS攻击防御时，可以允许对识别出的合法业务流进行后续的正常处理操作，可以拒绝对识别出的非法业务流进行后续的正常处理操作。即在进行 DDoS攻击防御时，可以才艮据预期可能访问目标系统的用户对应的用户标志信息来识别业务流，并对识别出的合 /非法业务流进行相应的后续处理操作。从而本发明实施方式在有效保证了合法用户对目标系统的正常访问的同时，有效拦截了非法业务流的攻击。

在本发明实施方式中，用户标识信息集合中记录的用户标识信息可以为目前业务流中承载的现有的用户标识信息；也可以为本发明实施方式为实现业务流识别、以及分布式拒绝服务攻击防御方法而新增的用户标识信息；还可以为上述现有的用户标识信息和新增的用户标识信息。当用户标识信息包括新增的用户标识信息时，新增的用户标识信息可以携带在报文新增的字段中，例如可以携带在应用层协议报文新增的字段中，也可以携带在安全协议报文新增的字段中；再例如新增的用户标识信息可以携带在用户登录阶段的报文中，也可以携带在用户登录之前阶段的报文中。

新增的用户标识信息可以是用户侧生成的，例如业务系统的客户端在用户首次启动并接入业务系统初始化时生成。新增的用户标识信息也可以是网络侧生成的，例如，业务系统的客户端在用户首次启动并接入业务系统时，业务系统为用户指定用户标识信息，并将指定的用户标识信息携带在消息中返回给客户端。之后，用户访问业务系统时，可以在报文中携带新增的用户标识信息，也可以不携带新增的用户标识信息。

当新增的用户标识信息为用户侧生成时，新增的用户标识信息可以携带在用户访问业务系统的第一个应用层 >¾文中，当新增的用户标识信息为网络侧生成时，新增的用户标识信息可以携带在业务系统发送至用户的第一个报文中。的用户标识信息可以为随机值。

在本发明实施方式中，一个用户可以对应多个用户标识信息。

下面首先对本发明实施方式提供的业务流识别方法进行说明。

在业务流识别方法的实施方式中，设置有用户标识信息集合。设置用户标识信息集合的方式为：根据用户对目标系统进行访问的历史情况、以及预先设置的、一定的用户访问统计模型预测出合 /非法用户，如预测出在 DDoS攻击状态下可能访问目标系统的用户和 /或不可能访问目标系统的用户，然后，获取可能访问目标系统的用户和 /或不可能访问目标系统的用户访问目标系统的业务流中对应的用户标志信息。用户标识信息可以为 IP地址，也可以为其它在网络报文中能够标识用户的信息，如 HTTP报文中的 Cookie字段等，还可以为上述新增的用户标识信息。本发明实施方式不排除釆用静态配置用户标识信息的方式。

本发明实施方式中设置的用户标识信息集合可以为合法用户的标识信息集合，此时，设置的用户标识信息集合可以称为用户白名单。上述设置的用户标识信息集合也可以为非法用户的标识信息集合，此时，设置的用户标识信息集合可以称为用户黑名单。用户访问统计模型可以根据网络的实际情况来设置，而且设置用户访问统计模型的方式有多种，本发明实施方式不限制用户访问统计模型的具体表现形式，也不限制用户标识信息的具体表现形式。

在进行业务流识别过程中，需要提取业务流中的用户标识信息，该用户标识信息应该与用户白 /黑名单中的用户标识信息相对应，如用户白 /黑名单中的用户标识信息为 IP地址，则需要从业务流中提取源 IP地址。在从业务流中提取了用户标识信息后 ,需要对提取的用户标识信息与上述设置的用户标识信息进行比较，如将提取的用户标识信息与用户白名单中的用户标识信息进行比较，以确定从业务流中提取的用户标识信息是否与用户白名单中的用户标识信息匹配。如果从业务流中提取的用户标识信息与用户白名单中的用户标识信息匹配，则表示从业务流中提取的用户标识信息为合法用户标识信息，该业务流是合法用户发送的，该业务流为合法业务流；如果从业务流中提取的用户标识信息与用户白名单中的用户标识信息不匹配，则表示从业务流中提取的用户标识信息为非法用户标识信息，该业务流是非法用户发送的，该业务流为非法业务流。

上述针对业务流识别过程的描述是以用户白名单为例进行说明的，如果利用用户访问统计模型生成的是用户黑名单，其业务流识别过程与上述描述基本相同，在此不再重复描述。上述业务流识别过程可以应用于多种防御技术方案中，如可以应用于 DDoS攻击防御技术方案中。下面对本发明实施方式提供的 DDoS攻击防御方法进行说明。

DDoS攻击防御过程中，利用了上述业务流识别过程。在利用上述描述的业务流识别过程识别出业务流为合法业务流还是非法业务流后，可以允许对识别出的合法业务流进行后续的正常处理操作，如允许正常传输等；可以拒绝对识别出的非法业务流进行后续的正常处理操作，如拒绝正常传输、并将识别出的非法业务流丟弃等。

上述 DDoS攻击防^卸过程可以在出现 DDoS攻击时启动。启动方式可以为手工配置启动，也可以为动态检测启动。动态检测启动如对业务流量进行检测，并判断检测结果，以确定是否出现 DDoS攻击；在确定出现 DDoS攻击时，开始提取业务流中的用户标识信息，并进行业务流识别等后续过程。对业务流量进行检测、并根据检测结果确定是否出现 DDoS攻击的实现方式有多种，本发明实施方式可以釆用现有的方法来检测判断是否出现 DDoS攻击。本发明实施方式不限制检测判断是否出现 DDoS攻击的具体实现方式。

在识别出合法业务流和非法业务流后，可以根据优先级对业务流进行后续处理。这里的优先级可以是通过用户访问统计模型动态生成的；如在检测用户对目标系统的历史访问数据过程中，利用用户访问统计模型动态预测出在 DDoS攻击过程中可能访问目标系统的用户或者不可能访问目标系统的用户、以及对应的优先级信息。根据上述预期可能访问目标系统或者不可能访问目标系统的用户、以及优先级信息动态生成包含用户标识信息、以及对应的优先级信息的用户白名单或用户黑名单。在动态生成了包含优先级信息的用户白 /黑名单后，如果检测到 DDoS攻击、并启动了 DDoS攻击防御，根据优先级信息对业务流进行处理的方式有多种，如按照优先级从高到低的顺序来允许合法业务流进行后续的正常处理流程，再如在 DDoS攻击严重时，也可以按照从低到高的顺丟弃合法业务流。本发明实施方式不限制根据优先级信息对业务流进行处理的具体实现方式。

本发明实施方式还可以限制合法业务流占用的带宽，例如，对每个合法业务流均进行带宽限制。而且，每个合法业务流对应的限制带宽可以相同，也可以有所区别。

下面以用户白名单为例、结合附图对本发明实施方式提供的业务流识别方法进行说明。

本发明实施方式提供的业务流识别方法如附图 1所示。

图 1中，步骤 1、设置用户访问统计模型。简单的用户访问统计模型可以为根据历史访问记录访问过目标系统，或者为根据历史访问记录访问过目标系统预定次数等等。这里仅仅举了两个很简单的用户访问统计模型的例子，用户访问统计模型可以多种多样的。

步骤 2、检测用户对目标系统进行访问的情况，根据用户访问统计模型动态生成用户标识信息，如根据用户访问统计模型确定该用户在 DDoS攻击过程中可能访问目标系统的概率，并根据确定出的概率判断出该用户为合法用户时，从该用户访问目标系统的业务流中获取相应的用户标识信息。在步骤 2 中也可以根据用户访问统计模型动态生成用户标识信息、以及该用户标识信息对应的优先级信息，如根据预测出的概率来确定该用户的优先级信息。

步骤 3、将动态生成的用户标识信息存储在用户白名单中。

如果在步骤 2中动态生成了该用户标识信息对应的优先级信息，则在步骤 3中，可以将动态生成的用户标识信息以及优先级信息存储在用户白名单中。

在需要进行业务流识别时，到步骤 4, 提取业务流中的用户标识信息，如从业务流中提取源 IP地址等。

步骤 5、将提取的用户标识信息与用户白名单中的用户标识信息进行比较，如果从业务流中提取的用户标识信息与用户白名单中的用户标识信息匹配，则到步骤 6; 否则到步骤 7。

步骤 6、确认该业务流是合法用户发送的，输出该业务流为合法业务流的信息。如果用户白名单中包含有优先级信息，则在步骤 6中，可以输出该业务流为合法业务流的信息、以及该合法业务流对应的优先级信息。

步骤 7、确认该业务流是非法用户发送的，输出该业务流为非法业务流的信息。

下面结合附图对本发明实施方式提供的 DDoS攻击防御方法进行说明。本发明实施方式提供的 DDoS攻击防御方法如附图 2所示。图 2中，步骤 1、设置用户访问统计模型。简单的用户访问统计模型可以为根据历史访问记录访问过目标系统，或者为根据历史访问记录访问过目标系统预定次数等等。这里仅仅举了两个很简单的用户访问统计模型的例子，用户访问统计模型可以多种多样的。

步骤 2、根据用户发送的业务流检测用户对目标系统进行访问的情况，根据用户访问统计模型动态生成用户标识信息、以及该用户标识信息对应的优先级信息。例如根据用户访问统计模型确定该用户在 DDoS攻击过程中可能访问目标系统的概率，并根据确定出的概率判断出该用户为合法用户时，从该用户访问目标系统的业务流中获取相应用户标识信息，并根据确定出的概率确定该用户的优先级信息。

步骤 3、将动态生成的用户标识信息以及优先级信息存储在用户白名单中。步骤 4、检测业务流量，并根据业务流量检测结果判断是否出现 DDoS攻击，如果出现 DDoS攻击，到步骤 5; 如果没有出现 DDoS攻击，仍然进行业务流量检测过程。

步骤 5 , 提取业务流中的用户标识信息，如从业务流中提取源 IP地址等。步骤 6、将提取的用户标识信息与用户白名单中的用户标识信息进行比较，如果从业务流中提取的用户标识信息与用户白名单中的用户标识信息匹配，则到步骤 7; 否则到步骤 8。

步骤 7、确认该业务流是合法用户发送的，根据该业务流对应的优先级信息允许对该业务流进行后续的正常处理操作。

步骤 8、确认该业务流是非法用户发送的，拒绝对该业务流进行后续的正常处理操作，并丟弃该业务流。

在上述针对图 2的描述中，步骤 2和步骤 3这两个步骤与步骤 4之间是可以没有先后顺序的，即步骤 2和步骤 3的执行过程是独立的，与步骤 4的执行没有先后关系，步骤 4的执行过程是独立的，与步骤 2和步骤 3的执行没有先后关系。本发明实施方式还可以在检测出 DDoS攻击后，持续对业务流量进行检测，在根据业务流量检测结果确定出 DDoS 攻击结束后，停止执行步骤 5 至步骤 8, 而继续执行步骤 2、步骤 3。该流程仅仅是一个示意，具体的实现流程可以有多种，在此不再——例举。在上述各实施方式的描述中，如果用户标识信息为新增的用户标识信息、且用户标识信息只携带在用户登录阶段的报文或者用户登录之前阶段的报文中的情况下，在检测出 DDoS攻击后，则在有用户登录或者发起连接时，可以根据用户标识信息来确定是否允许用户登录或者允许与该用户建立连接，从而可以在一定程度上避免 DDoS攻击。

在上述各实施方式的描述中，用户标识信息集合中可以设置一个对应关系来作为用户标识信息 ,例如，设置用户账号与新增的用户标识信息的对应关系。这样，在根据业务流中携带的新增的用户标识信息确定出该业务流为合法业务流后，该用户账号下的不携带对应关系中新增的用户标识信息的其它业务流也可以确认为合法业务流。上述对应关系可以更新。

下面以新增的用户标识信息为例，对本发明实施方式提供的 DDoS攻击防御方法进行说明。

设定与该业务系统交互的所有协议报文中都可以包含 UID (用户标识信息）字段，该字段可以为 128bit。

设定用户 A和用户 B成功注册到一个业务系统，该业务系统可以是为用户提供应用服务的业务系统，也可以是为用户提供接入认证服务的业务系统。用户 A和用户 B在首次访问业务系统时，将用户 A的 UID字段初始化为为随机值 0x0123456789abcdef, 将用户 B的 UID字段初始化为 0xfedcba9876543210。

业务系统根据用户访问统计模型建立的用户标识信息集合中动态设置了用户 A和用户 B的 UID。

设定检测出业务系统出现 DDoS攻击，则该业务系统可以立刻根据用户标识信息集合中的 UID、以及业务流中的 UID字段对业务流进行过滤。由于该业务系统的用户标识信息集合中只设置有用户 A和用户 B的 UID, 所以，该业务系统在判断出接收到的业务流中的 UID字段中的值不为 0x0123456789abcdef或者 0xfedcba9876543210时，确定该业务流为非法业务流，拒绝对非法业务流进行后续的正常处理操作；该业务系统在判断出接收到业务流中的 UID字段中的值为 0x0123456789abcdef或者 0xfedcba9876543210时，确定该业务流为合法业务流，允许对合法业务流进行后续的正常处理操作。从而有效防范了 DDoS攻击。该业务系统还可以对用户 A和用户 B的业务流进行带宽限制，使用户 A和用户 B的业务流不会超过预设定带宽，这样，即使是攻击者通过伪造 UID值进行 DDOS攻击，也能够在一定程度上避免 DDOS攻击带来的严重的不良后果。这里的用户 A和用户 B的预设定带宽可以相同，也可以不同。

下面对本发明实施方式提供的业务流识别装置进行说明。

本发明实施方式提供的业务流识别装置包括：第一模块、第二模块和第三模块。

第一模块主要用于检测用户对目标系统的访问，并根据检测到的用户对目标系统的访问、以及预先设置的用户访问统计模型动态生成用户标识信息，第一模块将动态生成的用户标识信息存储至第二模块。而且第一模块还可以根据检测到的用户对目标系统的访问、以及预先设置的用户访问统计模型动态生成用户标识信息对应的优先级信息，并将动态生成的优先级信息存储至第二模块。例如，第一模块在根据用户访问统计模型预测出该用户在 DDoS攻击过程中可能访问目标系统的概率，并根据确定出的概率判断出该用户为合法用户时，从该用户访问目标系统的业务流中获取相应用户标识信息，并根据确定出的概率确定该用户的优先级信息 ,然后将用户标识信息和优先级信息存储至第二模块。这里的用户标识信息可以为目前业务流中承载的现有的用户标识信息；也可以为本发明实施方式为实现业务流识别、以及分布式拒绝服务攻击防御方法而新增的用户标识信息，具体如上述方法实施方式中的描述。

第二模块主要用于接收第一模块输出的用户标识信息 ,并存储为用户标识集合。第二模块中存储的用户标识信息集合可以称为用户白名单。而且在第一模块传输来用户标识对应的优先级信息时，第二模块中存储的用户白名单中还可以包括用户标识信息对应的优先级信息。

第三模块主要用于提取业务流中的用户标识信息，将提取的用户标识信息与第二模块中存储的用户标识信息进行比较，以确定业务流中的用户标识信息与第二模块存储的用户标识信息是否匹配；在判断出业务流中的用户标识信息与第二模块存储的用户标识信息匹配时，确定该业务流是否为合法业务流，并输出业务流为合法业务流的判断结果信息，在第二模块中存储有用户标识对应的优先级信息时，第三模块还可以输出该合法业务流对应的优先级信息；在判断出业务流中的用户标识信息与第二模块存储的用户标识信息不匹配时，确定该业务流为非法业务流，并输出业务流为非法业务流的判断结果信息。

下面对本发明实施方式提供的 DDoS攻击防御系统进行说明。

本发明实施方式提供的 DDoS攻击防御系统包括：第一模块、第二模块、第三模块、第四模块、第五模块和第六模块。

第一模块主要用于检测用户对目标系统的访问，并根据检测到的用户对目标系统的访问、以及预先设置的用户访问统计模型动态生成用户标识信息，或者动态生成用户标识信息、以及用户标识信息对应的优先级信息。然后，第一模块并将用户标识信息、或者将用户标识信息、以及优先级信息存储至第二模块。例如，第一模块在根据用户访问统计模型预测出该用户在 DDoS攻击过程中可能访问目标系统的概率，并根据确定出的概率判断出该用户为合法用户时，从该用户访问目标系统的业务流中获取相应用户标识信息，并根据确定出的概率确定该用户的优先级信息 ,然后将用户标识信息和优先级信息存储至第二模块。

第一模块可以由存储子模块、检测子模块和第一动态子模块组成，也可以由存储子模块、检测子模块、第一动态子模块和第二动态子模块组成。

存储子模块主要用于存储用户访问统计模型。

检测子模块主要用于检测用户对目标系统的访问情况，并根据检测到的用户对目标系统的访问情况、存储子模块中存储的用户访问统计模型动态生成用户标识信息，预测出该用户在 DDoS攻击过程中可能访问目标系统的概率，并输出该 4既率信息。

第一动态子模块主要用于根据检测子模块输出的概率信息判断出该用户为合法用户时，从该用户访问目标系统的业务流中获取相应用户标识信息，然后将用户标识信息存储至第二模块。第一动态子模块也可以确定出该用户为非法用户时，从该用户访问目标系统的业务流中获取相应用户标识信息，然后将用户标识信息存储至第二模块。

第二动态子模块主要用于根据检测子模块输出的概率信息确定该用户对应的优先级信息，并将优先级信息传输至第二模块存储。第二动态子模块可以在第一动态子模块判断出该用户为合法用户时，确定该用户对应的优先级信息，并输出；第二动态子模块也可以直接根据其内部存储的概率阔值来判断是否需要确定优先级信息，在根据概率阔值判断出需要确定优先级信息时，确定该用户对应的优先级信息并输出。

第二模块主要用于接收第一模块传输来的用户标识信息、以及优先级信息，并存储，如第二模块接收第一动态子模块传输来的用户标识信息并存储，再如第二模块接收第二动态子模块传输来的优先级信息并存储。第二模块中存储的用户标识信息、以及优先级信息可以称为用户白名单。第二模块中存储的信息也可以称为用户黑名单。

第三模块可以根据第五模块的通知启动提取业务流中的用户标识信息、以及后续比较过程的操作。当然，在该系统不包括第五模块时，第三模块可以根据手工配置等其它方式来启动提取业务流中的用户标识信息、以及后续比较过程的操作。

第四模块主要用于接收第三模块输出的业务流是否为合法业务的判断结果信息，当第三模块输出的判断结果信息为合法业务时，允许对该业务流进行后续的正常处理操作，如允许该业务流的继续传输；当第三模块输出的判断结果信息为非法业务时，拒绝对该业务流进行后续的正常处理操作，如禁止该业务流的继续传输，将该业务流丟弃等。当第三模块输出的信息包括优先级信息时，第四模块在允许对该业务流进行后续的正常处理操作时，应根据该业务流对应的优先级来进行后续的正常处理操作 ,如第四模块根据各合法业务流的优先级信息、按照由高到低的顺序允许业务流依次进行继续传输。

第五模块主要用于检测业务流量，并判断业务流量检测结果，在根据业务流量检测结果确定出现 DDoS攻击时，通知第三模块提取业务流中的用户标识信息。在根据业务流量检测结果确定出现 DDoS攻击后，第五模块仍然可以继续检测业务流量，并继续判断业务流量检测结果，在根据业务流量检测结果确定 DDoS攻击消失时，通知第三模块停止提取业务流中的用户标识信息。第三模块可以在接收到停止通知时，停止进行提取并判断的后续处理操作。在本发明系统实施方式中，第五模块可以为可选模块。

第六模块主要用于根据第三模块输出的业务流是否为合法业务的判断结果信息，限制合法业务流占用的带宽。对不同用户的合法业务流进行带宽限制时，可以对不同用户的合法业务流进行不同带宽的限制，也可以对不同用户的合法业务流进行相同带宽的限制。在本发明系统实施方式中，第六模块可以为可选模块。

本发明实施方式提供的系统可以针对一个目标系统，也可以针对多个目标系统。也就是说，本发明实施方式提供的系统可以为某一个目标系统提供 DDoS攻击防御，也可以同时为多个目标系统提供 DDoS攻击防御。当本发明实施方式提供的系统为某一个目标系统提供 DDoS攻击防御时，该系统可以为目标系统的前置系统，而且可以独立于目标系统设置，也可以设置于目标系统中。

下面结合附图对本发明实施方式提供的 DDoS攻击防御系统进行说明。图 3为本发明实施方式提供的 DDoS攻击防御系统。

图 3中的系统包括： DDoS检测模块 31、报文过滤装置 34、用户白名单及优先级模块 32、用户访问统计模型模块 33。 DDoS检测模块 31即上述第五模块。报文过滤装置 34即上述第三模块、第四模块和第六模块。用户白名单及优先级模块 32即上述第二模块。用户访问统计模型模块 33即上述第一模块。

报文过滤装置 34主要用于完成对试图访问业务系统的业务流进行过滤，即对报文包进行过滤。报文过滤装置 34可以是基于用户白名单及优先级模块 32 中存储的信息进行过滤的。例如，报文过滤装置 34根据报文包中的源 IP地址、用户白名单及优先级模块 32中的 IP地址对报文包进行过滤。这里的业务系统即上述目标系统。报文过滤装置 34还可以对合法业务流占用的带宽进行限制。

用户白名单及优先级模块 32中存储的信息为包含优先级信息的用户白名单。用户白名单及优先级模块 32中存储的用户标识信息和优先级信息可以以表项的形式存在。用户白名单及优先级表项中记录有可以访问该业务系统的用户标识信息、及其该用户标识信息对应的优先级信息。

上述用户白名单及优先级表项由用户访问统计模型模块 33来进行维护。在 DDoS攻击防御时，上述用户白名单及优先级表项为报文过滤装置 34提供查询。

用户访问统计模型模块 33主要用于在正常情况下根据用户对业务系统的访问情况建立并维护用户白名单和优先级表项。用户访问统计模型模块 33建立并维护的表项为用户访问统计模型声明的、在受到 DDoS攻击情况下、允许访问业务系统的用户标识信息以及优先级信息。如果用户标识信息对应高优先级，则可以表示在没有受到 DDoS攻击的正常情况下、经常访问该业务系统的用户可以在受到 DDoS攻击情况下、毫无限制的访问该业务系统。如果用户标识信息对应低优先级，则可以表示在没有受到 DDoS攻击的正常情况下、偶然访问业务系统的用户在受到 DDoS攻击情况下、需要受限制的访问该业务系统。

DDoS检测模块 31主要用于检测业务系统的业务流量，以确定业务系统目前是否受到 DDoS攻击，在检测到业务系统受到 DDoS攻击后，向报文过滤装置 34发出通知，如发送过滤指令等。

下面分正常状态、受攻击状态对上述防御系统的工作流程进行说明。

在正常状态下，报文过滤装置 34执行透明传输操作，即不对业务流进行任何处理。用户访问统计模型模块 33检测用户对业务系统的访问情况，并根据用户访问统计模型动态生成包含各用户对应的优先级的用户访问白名单。包含优先级的用户访问白名单可以在 DDoS攻击期间使用。 DDoS检测模块 31持续对业务系统的业务流量进行检测，以确定是否出现 DDoS攻击。

在受到 DDoS攻击状态下，报文过滤装置开始提取业务流的用户标识信息，

报文过滤装置还可以根据预先设定的带宽对业务流执行带宽限制操作。用户访问统计模型模块 33停止运作。 DDoS检测模块 31持续对业务流量进行检测，以确定 DDoS攻击是否消失。

上述正常状态和受到 DDoS攻击状态的切换是由 DDoS检测模块 31触发的。即 DDoS检测模块 31在检测到业务系统出现 DDoS攻击时，则触发报文过滤装置 34, 使 DDoS攻击防御系统进入受到 DDoS攻击状态， DDoS检测模块 31在检测到业务系统的 DDoS攻击消失时，则触发报文过滤装置 34,使 DDoS攻击防御系统进入正常状态。

上述用户访问统计模型模块 33可以集成设置于业务系统中。 DDOS检测模块 31可以和报文过滤装置 34可以合设在同一个设备中， DDOS检测模块 31、报文过滤装置 34和用户白名单及优先级模块 32也可以合设在同一个设备中。

下面对本发明实施方式提供的装置进行说明。

本发明实施方式提供的装置包括第一模块和第二模块。第一模块可以由存储子模块、检测子模块和第一动态子模块组成，也可以由存储子模块、检测子模块、第一动态子模块和第二动态子模块组成。上述各模块、子模块所执行的操作如上述实施方式中的描述，在此不再重复说明。

本发明实施方式提供的装置可以为业务系统的服务器等需要产生用户白名单、和 /或黑名单的设备。

本发明实施方式通过利用用户访问统计模型来动态生成用户标识信息，使用户标识信息易于维护、而且使生成的用户标识信息能够尽可能准确的标识出合法用户；因此在利用动态生成的用户标识信息对合法业务流和非法业务流进行识别时，能够提高识别合法业务流的准确性；由于本发明实施方式能够准确识别出合法业务流，因此，本发明实施方式能够有效防止非法业务流带来的分布式拒绝服务攻击；即本发明实施方式釆用用户访问模型与报文过滤连动防御的分布式拒绝服务攻击，在避免了被攻击者失去合法业务流现象的同时，提高了分布式拒绝服务攻击防御系统的防御能力。本发明实施方式通过限制合法业务流占用的带宽，能够在一定程度上避免分布式拒绝服务攻击带来的严重的不良后果，进一步提高了分布式拒绝服务攻击防御系统的防御能力。

虽然通过实施例描绘了本发明，本领域普通技术人员知道，本发明有许多变形和变化而不脱离本发明的精神，本发明的申请文件的权利要求包括这些变形和变化。

Claims

权利要求

1、一种业务流识别方法，其特征在于，所述方法包括：

检测用户对目标系统的访问；

根据所述检测到的用户对目标系统的访问和预先设置的用户访问统计模型动态生成用户标识信息集合；

当需要进行业务流识别时，提取业务流中的用户标识信息；

比较所述提取的用户标识信息和所述用户标识信息集合中的用户标识信息是否匹配；

根据所述比较结果确定所述业务流是否为合法业务流。

2、一种拒绝服务攻击的防御方法，其特征在于，所述方法包括：检测用户对目标系统的访问；

当需要进行业务流识别时，提取业务流中的用户标识信息；

比较所述提取的用户标识信息和所述集合中的用户标识信息是否匹配；根据所述比较结果确定所述业务流是否为合法业务流；

允许对所述确定的合法业务流进行后续的正常处理操作，拒绝对所述确定的非法业务流进行后续的正常处理操作。

3、如权利要求 2所述的方法，其特征在于，所述当需要进行业务流识别时，提取业务流中的用户标识信息的步骤包括：当确定出现拒绝服务攻击时，提取业务流中的用户标识信息。

4、如权利要求 3所述的方法，其特征在于，通过检测业务流量确定是否出现拒绝服务攻击。

5、如权利要求 2至 4中任一项所述的方法，其特征在于，在所述根据检测到的用户对目标系统的访问和预先设置的用户访问统计模型动态生成的用户标识信息集合中还包括用户标识信息对应的优先级信息；

所述允许对所述确定的合法业务流进行后续的正常处理操作的步骤包括：根据所述合法业务流的用户标识信息对应的优先级信息，允许对所述确定的合法业务流进行后续的正常处理操作。

6、如权利要求 2至 4中任一项所述的方法，其特征在于，所述用户标识信息集合中的用户标识信息包括：业务流中现有的用户标识信息和 /或业务流中新增的用户标识信息；

所述提取的业务流中的用户标识信息与所述用户标识信息集合中的用户标识信息相对应。

7、如权利要求 2至 4中任一项所述的方法，其特征在于，所述用户标识信息集合中的用户标识信息包括业务流中新增的用户标识信息，所述新增的用户标识信息由用户侧生成或者由网络侧生成。

8、如权利要求 2至 4中任一项所述的方法，其特征在于，所述用户标识信息集合包括合法用户的标识信息集合和 /或非法用户的标识信息集合。

9、如权利要求 2至 4中任一项所述的方法，其特征在于，所述方法还包括：限制所述合法业务流占用的带宽。

10、一种业务流识别装置，其特征在于，所述装置包括：

第一模块：用于检测用户对目标系统的访问，并根据所述检测到的用户对目标系统的访问和预先设置的用户访问统计模型动态生成的用户标识信息，并输出；

第二模块：用于接收第一模块输出的用户标识信息，并存储为用户标识信息集合；

第三模块：用于提取业务流中的用户标识信息，比较所述提取的用户标识信息与所述用户标识信息集合中的用户标识信息是否匹配，并根据比较结果判断所述业务流是否为合法业务流以及输出判断结果。

11、一种拒绝服务攻击的防御系统，其特征在于，所述系统包括：第一模块：用于检测用户对目标系统的访问，并根据检测到的用户对目标系统的访问和预先设置的用户访问统计模型动态生成的用户标识信息，并输出；

第三模块：用于提取业务流中的用户标识信息，比较所述提取的用户标识信息与所述用户标识信息集合中的用户标识信息是否匹配，并根据比较结果判断所述业务流是否为合法业务流以及输出判断结果；

第四模块：用于接收第三模块输出的业务流是否为合法业务流的判断结果，并允许对所述确定的合法业务流进行后续的正常处理操作，拒绝对所述确定的非法业务流进行后续的正常处理操作。

12、如权利要求 11所述的系统，其特征在于，所述系统还包括：第五模块：用于检测业务流量，确定是否出现拒绝服务攻击，并在确定出现拒绝服务攻击时通知第三模块提取业务流中的用户标识信息。

13、如权利要求 11所述的系统，其特征在于，所述第一模块包括：存储子模块：用于存储用户访问统计模型；

检测子模块：用于检测用户对目标系统的访问，并根据检测到的用户对目标系统的访问信息、存储子模块中存储的用户访问统计模型确定用户访问目标系统的概率；

第一动态子模块：用于根据检测子模块确定的概率确定需要从用户访问目标系统的业务流中获取用户标识信息时，获取用户标识信息并输出至所述第二模块。

14、如权利要求 13所述的系统，其特征在于，所述第一模块还包括：第二动态子模块：用于根据检测子模块确定的概率动态生成用户标识信息对应的优先级信息，并输出至第二模块予以存储；

所述第四模块在允许对所述确定的合法业务流进行后续的正常处理操作时，根据所述第二模块中存储的优先级信息确定所述合法业务流的用户标识信息对应的优先级，并根据所述确定的优先级允许对所述确定的合法业务流进行后续的正常处理操作。

15、如权利要求 11至 14中任一项所述的系统，其特征在于：

所述拒绝服务攻击防御系统为所述目标系统的前置系统，所述拒绝服务攻击防御系统独立于所述目标系统或者设置于所述目标系统之中。

16、如权利要求 11至 14中任一项所述的系统，其特征在于，所述拒绝服务攻击防御系统对应一个目标系统或者对应多个目标系统。

17、如权利要求 11至 14中任一项所述的系统，其特征在于，还包括：第六模块：用于根据所述第三模块输出的业务流是否为合法业务流的判断结果，限制合法业务流占用的带宽。

18、一种产生用户信息的装置，其特征在于，包括：

第一模块：用于检测用户对目标系统的访问，并根据检测到的用户对目标系统的访问和预先设置的用户访问统计模型动态生成的用户标识信息，并输出；

第二模块：用于接收第一模块输出的用户标识信息，并存储为用户标识信息集合。

19、如权利要求 18所述的装置，其特征在于，所述第一模块包括：存储子模块：用于存储用户访问统计模型；

20、如权利要求 18或 19所述的装置，其特征在于，所述用户标识信息集合包括合法用户标识信息集合和 /或非法用户标识信息集合。