一种确定DDOS攻击的攻击目的IP的方法及装置与流程

本申请涉及安全防护领域，特别涉及一种确定DDOS攻击的攻击目的IP的方法及装置。

背景技术：

在DDOS(Distributed Denial of Service，分布式拒绝服务)攻击中，攻击源和攻击目的都存在不确定性。当某服务器受黑客控制成为傀儡机，向多个IP发起攻击时，一般的异常流量清洗设备会基于攻击目的IP牵引攻击流量。如果异常流量清洗设备牵引的攻击目的IP多于实际受攻击的IP，则会出现误牵引，导致正常的流量被误杀。因此，确定DDOS攻击的攻击目的IP对于防护DDOS攻击而言非常重要。

在相关技术中，当网络中可能存在来自任一攻击源IP的DDOS攻击时，列出以来自该攻击源IP的流量，并以流量大小进行排序，生成流量排序列表，然后根据预设的固定数量，确定流量排序列表的前面几个目的IP为攻击目的IP，然后对访问上述攻击目的IP的流量进行牵引。

然而，上述预设的固定数量可能与实际受攻击的IP数量不符，如果固定数量少于受攻击的IP数量，则会存在攻击流量未被牵引；如果固定数量大于受攻击的IP数量，则会出现误牵引，导致正常的业务受到影响。

技术实现要素：

有鉴于此，本申请提供一种确定DDOS攻击的攻击目的IP的方法及装置，用以解决相关技术中，因难以确定DDOS攻击的攻击目的IP，导致攻击流量未被牵引或者正常的业务受到影响的问题。

具体地，本申请是通过如下技术方案实现的：

一种确定DDOS攻击的攻击目的IP的方法，应用于DDOS防护设备，包括：

获取流量排序列表；所述流量排序列表包括目标源IP、若干个目的IP以及所述目标源IP与各目的IP之间的流量，各流量按照流量大小进行排序；所述流量排序列表还包括所述目标源IP对应的总流量大小；

根据预设的系数乘以所述总流量大小，获得异常流量阈值；

判断所述流量排序列表中的最大流量是否小于所述异常流量阈值；如果是，将该最大流量与所述流量排序列表中的下一流量依次进行累加后，比较累加结果是否小于所述异常流量阈值，直到累加结果不小于所述异常流量阈值时，将该累加结果对应的目的IP确定为攻击目的IP。

在所述确定DDOS攻击的攻击目的IP的方法中，所述DDOS防护设备与异常流量清洗设备对接；

所述方法还包括：

当确定DDOS攻击的攻击目的IP后，将所述攻击目的IP转发至所述异常流量清洗设备，以由所述异常流量清洗设备对访问所述攻击目的IP的流量进行安全防护。

在所述确定DDOS攻击的攻击目的IP的方法中，所述DDOS防护设备与异常流量检测设备对接；

所述获取流量排序列表，包括：

获取所述异常流量检测设备上传的流量排序列表；所述流量排序列表，包括所述异常流量检测设备在检测到来自任一IP的流量大于预设的正常流量阈值时，生成的包含以该IP为目标源IP的全部流量的列表。

在所述确定DDOS攻击的攻击目的IP的方法中，所述获取所述异常流量检测设备上传的流量排序列表，包括：

接收所述异常流量检测设备周期性生成并上传的所述流量排序列表。

一种确定DDOS攻击的攻击目的IP的装置，应用于DDOS防护设备，包括：

获取单元，用于获取流量排序列表；所述流量排序列表包括目标源IP、若干个目的IP以及所述目标源IP与各目的IP之间的流量，各流量按照流量大小进行排序；所述流量排序列表还包括所述目标源IP对应的总流量大小；

计算单元，用于根据预设的系数乘以所述总流量大小，获得异常流量阈值；

确定单元，用于判断所述流量排序列表中的最大流量是否小于所述异常流量阈值；如果是，将该最大流量与所述流量排序列表中的下一流量依次进行累加后，比较累加结果是否小于所述异常流量阈值，直到累加结果不小于所述异常流量阈值时，将该累加结果对应的目的IP确定为攻击目的IP。

在所述确定DDOS攻击的攻击目的IP的装置中，所述DDOS防护设备与异常流量清洗设备对接；

所述装置还包括：

转发单元，用于当确定DDOS攻击的攻击目的IP后，将所述攻击目的IP转发至所述异常流量清洗设备，以由所述异常流量清洗设备对访问所述攻击目的IP的流量进行安全防护。

在所述确定DDOS攻击的攻击目的IP的装置中，所述DDOS防护设备与异常流量检测设备对接；

所述获取单元，进一步用于：

获取所述异常流量检测设备上传的流量排序列表；所述流量排序列表，包括所述异常流量检测设备在检测到来自任一IP的流量大于预设的正常流量阈值时，生成的包含以该IP为目标源IP的全部流量的列表。

在所述确定DDOS攻击的攻击目的IP的装置中，所述获取单元，进一步用于：

接收所述异常流量检测设备周期性生成并上传的所述流量排序列表。

在本申请实施例中，DDOS防护设备在针对DDOS攻击防护时，先获取流量排序列表，其中，所述流量排序列表包括目标源IP、若干个目的IP以及所述目标源IP与各目的IP之间的流量，各流量按照流量大小进行排序；DDOS防护设备可以计算所述流量排序列表中所述目标源IP对应的总流量大小，并根据预设的系数乘以所述总流量大小，获得异常流量阈值，然后判断所述流量排序列表中的最大流量是否小于所述异常流量阈值；如果是，将该最大流量与所述流量排序列表中的下一流量依次进行累加后，比较累加结果是否小于所述异常流量阈值，直到累加结果不小于所述异常流量阈值时，将该累加结果对应的目的IP确定为攻击目的IP。

DDOS防护设备基于预设的系数确定目标源IP对应的总流量中的异常流量阈值；由于DDOS攻击流量相对正常业务流量而言很大，DDOS防护设备可以将流量排序列表中最大的几个流量依次累加，然后获得累加结果大致与异常流量阈值相等时累加结果中的流量对应的目的IP，并可以确定上述目的IP为攻击目的IP。本申请实施例的技术方案，相对于相关技术根据预设的固定数量从流量排序列表中确定攻击目的IP更为灵活，可以最大限度地确定攻击目的IP，以及最小限度地影响正常业务。解决了相关技术因难以确定DDOS攻击的攻击目的IP，导致攻击流量未被牵引或者正常的业务受到影响的问题。

附图说明

图1是本申请示出的一种DDOS攻击的架构示意图；

图2是本申请示出的一种确定DDOS攻击的攻击目的IP的方法的流程图；

图3是本申请示出的一种确定DDOS攻击的攻击目的IP的装置的实施例框图；

图4是本申请示出的一种确定DDOS攻击的攻击目的IP的装置的硬件结构图。

具体实施方式

为了使本技术领域的人员更好地理解本发明实施例中的技术方案，并使本发明实施例的上述目的、特征和优点能够更加明显易懂，下面结合附图对现有技术方案和本发明实施例中的技术方案作进一步详细的说明。

在DDOS攻击中，攻击源和攻击目的都存在不确定性。当某服务器(或服务器群组)受黑客控制成为傀儡机，向外界网络的多个IP发起DDOS攻击时，一般的异常流量清洗设备通常会基于攻击目的IP牵引攻击流量。

参见图1，为本申请示出的一种DDOS攻击的架构示意图，如图所示，A省IDC(Internet Data Center，互联网数据中心)中对外IP地址为1.1.1.1的某服务器(或服务器群组)，与B省地市1中的B客户存在通信交互。A省地市1中对外IP地址为1.2.3.4的A客户，同样与B客户存在通信交互。

当A省IDC中对外IP为1.1.1.1的服务器遭受黑客控制成为傀儡服务器后，该服务器被用于向B省IDC中对外IP地址为5.5.5.1-5.5.5.5的业务服务器群组发起DDOS攻击。

A省的核心路由器部署了异常流量检测设备、异常流量清洗设备和防护服务端。异常流量检测设备基于同一源IP对流量进行检测，当检测到源IP为1.1.1.1的流量疑似向外发起攻击时，可以生成流量排序列表；该流量排序列表包含以1.1.1.1为源IP的流量，流量从大到小排列；该流量排序列表还包括源IP对应的总流量大小。该流量排序列表如下表1所示：

表1

由于攻击流量比正常业务流量大，与异常流量检测设备对接的防护服务端可以从该流量排序列表中排在前面的目的IP中选择遭受DDOS攻击的攻击目的IP。

在相关技术中，防护服务端可以基于预设的固定数量，从上述流量排序列表中选取若干个目的IP作为攻击目的IP。例如：预设的固定数量为5，则防护服务端可以确定TOP1、TOP2、TOP3、TOP4和TOP5这5个目的IP为攻击目的IP。

上述防护服务端在确定攻击目的IP后，可以将攻击目的IP转发至上述异常流量清洗设备，以由上述异常流量清洗设备对访问攻击目的IP的流量进行牵引。

然而，预设的固定数量可能与实际遭受攻击的IP数量不同。如果预设的固定数量大于实际遭受攻击的IP数量，则上述异常流量清洗设备会牵引正常的业务流量，导致正常的业务受到影响。

例如：预设的固定数量是6，则防护服务端会确定TOP1、TOP2、TOP3、TOP4、TOP5和TOP6这6个目的IP为攻击目的IP。上述异常流量清洗设备将访问TOP6的目的IP的流量进行防护后，会牵引A客户与B客户之间正常的业务流量，导致A客户与B客户之间的业务受到影响。

另一方面，如果预设的固定数量小于实际遭受攻击的IP数量，则会造成大量攻击流量未被上述异常流量清洗设备牵引。

例如：预设的固定数量为3，则防护服务端会确定TOP1、TOP2和TOP3这3个目的IP为攻击目的IP。上述异常流量清洗设备只针对访问TOP1、TOP2和TOP3的流量进行防护，而遗漏了对于TOP4和TOP5的目的IP的攻击流量。

而由于每次DDOS攻击的攻击目的IP数量可能不同，根据预设的固定数量显然无法动态地确定出遭受攻击的目的IP。

可见，基于预设的固定数量无法从流量排序列表中准确确定出攻击目的IP；如果固定数量少于受攻击的IP数量，则会存在攻击流量未被牵引；如果固定数量大于受攻击的IP数量，则会出现误牵引，导致正常的业务受到影响。

有鉴于此，在本申请技术方案中，根据上述流量排序列表中的总流量大小，计算得到异常流量阈值，然后将上述流量排序列表中的流量从大到小进行累加，当累加结果不小于该异常流量阈值，确定该累加结果对应的目的IP为攻击目的IP。

参见图2，为本申请示出的一种确定DDOS攻击的攻击目的IP的方法的流程图，该方法应用于DDOS防护设备；所述方法包括以下步骤：

步骤201：获取流量排序列表；所述流量排序列表包括目标源IP、若干个目的IP以及所述目标源IP与各目的IP之间的流量，各流量按照流量大小进行排序；所述流量排序列表还包括所述目标源IP对应的总流量大小。

步骤202：根据预设的系数乘以所述总流量大小，获得异常流量阈值。

步骤203：判断所述流量排序列表中的最大流量是否小于所述异常流量阈值；如果是，将该最大流量与所述流量排序列表中的下一流量依次进行累加后，比较累加结果是否小于所述异常流量阈值，直到累加结果不小于所述异常流量阈值时，将该累加结果对应的目的IP确定为攻击目的IP。

上述DDOS防护设备，包括图1所示的防护服务端，或者集成该防护服务端功能的路由设备；用于根据流量排序列表确定遭受DDOS攻击的目的IP。该DDOS防护设备与异常流量检测设备对接，接收异常流量检测设备周期性上传的流量排序列表；该DDOS防护设备与异常流量清洗设备对接，当该DDOS防护设备将确定出的攻击目的IP转发至异常流量清洗设备时，异常流量清洗设备可以针对访问上述攻击目的IP的流量进行防护。

在本申请实施例中，当上述异常流量检测设备在检测到来自任一IP的流量大于预设的正常流量阈值时，可以生成包含以该IP为目标源IP的全部流量的流量排序列表；该流量排序列表包含上述目标源IP、若干个目的IP以及上述目标源IP与各目的IP之间的流量，各流量按照流量大小进行排序；该流量排序列表还包括上述异常流量检测设备计算出的上述目标源IP对应的总流量大小。

其中，上述正常流量阈值可以包括一个预设的流量数值，也可以包括一个预设系数与正常流量数值的乘积。例如：如果源IP为1.1.1.1的正常流量数值为10Gbps，则正常流量阈值可以是预设的流量数值15Gbps，也可以是预设系数2与正常流量数值的乘积20Gbps。上述正常流量阈值按照实际网络环境进行配置。

仍以图1的架构为例，上述流量排序列表如下表2所示：

表2

上述异常流量检测设备在生成上述流量排序列表后，可以将上述流量排序列表上传至上述DDOS防护设备，以由上述DDOS防护设备根据该流量排序列表确定出遭受攻击的攻击目的IP。

在示出的一种实施方式中，上述异常流量检测设备可以周期性地生成并上传流量排序列表至上述DDOS防护设备，以由上述DDOS防护设备根据该流量排序列表及时地确定出当前网络环境中遭受攻击的攻击目的IP。

例如：上述异常流量检测设备可以每隔5分钟将针对检测到的目标源IP生成的流量排序列表上传至DDOS防护设备。该DDOS防护设备可以根据该流量排序列表确定此前5分钟内，网络环境中遭受攻击的攻击目的IP。

在DDOS攻击时，攻击目标可能发生变化；DDOS防护设备通过接收异常流量检测设备周期性上传的流量排序列表，可以及时确定出当前遭受攻击的攻击目的IP，进而将攻击目的IP转发至异常流量清洗设备。该异常流量清洗设备接收到当前遭受攻击的攻击目的IP后，可以对访问上述攻击目的IP的流量进行防护。因此，上述措施有效提高了DDOS攻击的防护时效性和准确性。

本申请提供了一种算法，先计算出目标源IP发出的总流量中的异常流量阈值，然后将目标源IP发送至各目的IP的流量从大到小累加后，用累加后的流量大小与异常流量阈值进行匹配。当累加后的流量大小足够接近异常流量阈值时，可以确定对应于累加结果的目的IP为遭受攻击的目的IP。下面进行详细说明。

在本申请实施例中，当上述DDOS防护设备获取到上述异常流量检测设备上传的上述流量排序列表后，可以根据预设的系数乘以该流量排序列表中上述目标源IP对应的总流量大小，获得异常流量阈值；该异常流量阈值用于确定上述目标源IP向外发出的DDOS攻击流量的大小。其中，上述预设的系数可以是管理员基于历史记录中确定的DDOS攻击流量所占总流量的比值；管理员将该比值配置在DDOS防护设备上。DDOS防护设备基于该比值与上述目标源IP对应的总流量大小计算异常流量阈值。

例如：如果管理员预配置的系数是0.8，则DDOS防护设备计算0.8与表2中的总流量大小，获得异常流量阈值为14.8Gbps。

在本申请实施例中，上述DDOS防护设备在获得上述异常流量阈值后，可以根据上述异常流量阈值确定出上述流量排序列表中遭受攻击的攻击目的IP。

具体的，上述DDOS防护设备可以判断上述流量排序列表中的最大流量是否小于上述异常流量阈值；如果该最大流量不小于上述异常流量阈值，则可以确定该最大流量对应的目标IP就是攻击目标IP。

如果该最大流量小于上述异常流量阈值，上述DDOS防护设备可以将该最大流量与上述流量排序列表中的下一流量依次进行累加后，比较累加结果是否小于上述异常流量阈值，直到累加结果不小于上述异常流量阈值时，将该累加结果对应的目的IP确定为攻击目的IP。

例如：仍以表2为流量排序列表，预设的系数为0.8，则异常流量阈值为14.8Gbps。上述DDOS防护设备判断最大流量是否小于该异常流量阈值；

由于5Gbps小于14.8Gbps，可以将最大流量与下一流量进行累加，5Gbps加上4Gbps得到9Gbps，比较累加结果是否小于该异常流量阈值；

由于9Gbps小于14.8Gbps，可以再与下一流量进行累加，9Gbps加上3Gbps得到12Gbps，比较累加结果是否小于该异常流量阈值；

由于12Gbps小于14.8Gbps，可以再与下一流量进行累加，12Gbps加上2Gbps得到14Gbps，比较累加结果是否小于该异常流量阈值；

由于14Gbps小于14.8Gbps，可以再与下一流量进行累加，14Gbps加上1Gbps得到15Gbps，比较累加结果是否小于该异常流量阈值；

由于15Gbps大于14.8Gbps，上述DDOS防护设备可以确定该累加结果对应的目的IP为攻击目的IP，攻击目的IP为TOP1、TOP2、TOP3、TOP4和TOP5这5个目的IP。

在本申请实施例中，上述DDOS防护设备在确定出攻击目的IP后，可以将上述攻击目的IP转发至上述异常流量清洗设备。上述异常流量清洗设备接收到上述攻击目的IP后，可以针对访问上述攻击目的IP的流量进行安全防护。其中，安全防护包括对攻击流量进行牵引。

在示出的一种实施方式中，DDOS防护设备可以集成异常流量检测设备和异常流量清洗设备的功能，如图2所示，防护服务端、异常流量检测设备和异常流量清洗设备的功能可以统一集成在A省核心路由器上。在这种情况下，DDOS防护设备可以自主检测异常流量、确定出攻击目的IP、对访问上述攻击目的IP的流量进行防护。

本申请基于目标源IP生成流量排序列表，然后确定该流量排序列表中遭受攻击的攻击目的IP，并对访问上述攻击目的IP的流量进行防护。在实际应用中，也可以在检测访问到任一目的IP的流量时，针对该目的IP生成流量排序列表，然后确定该流量排序列表中发出攻击的攻击源IP，进而对攻击源IP发出的流量进行防护。上述方案可根据本申请示出的方式等同实现，在此不再赘述。

综上所述，在本申请实施例中，DDOS防护设备在防护DDOS攻击时，首先获取流量排序列表；所述流量排序列表包括目标源IP、若干个目的IP以及所述目标源IP与各目的IP之间的流量，各流量按照流量大小进行排序；所述流量排序列表还包括所述目标源IP对应的总流量大小；然后根据预设的系数乘以所述总流量大小，获得异常流量阈值；进而判断所述流量排序列表中的最大流量是否小于所述异常流量阈值；如果是，将该最大流量与所述流量排序列表中的下一流量依次进行累加后，比较累加结果是否小于所述异常流量阈值，直到累加结果不小于所述异常流量阈值时，将累加结果对应的目的IP确定为攻击目的IP。

本申请通过预设的系数乘以总流量大小，获得近似总流量中异常流量大小的异常流量阈值，并因为异常流量大于正常业务流量，将流量排序列表中的流量从大到小依次累加，直到累加结果首次不小于该异常流量阈值时，可确定累加结果中的流量包含全部攻击流量，累加结果对应的目的IP为攻击目的IP。由于本申请是通过比较异常流量阈值与目的IP对应的流量的累加结果来确定攻击目的IP，因此相比相关技术通过预设的固定数量在流量排序列表中确定攻击目的IP而言，更为准确；同时能在DDOS攻击发生变化，攻击目的IP的数量变化后，仍旧能够动态地确定出遭受DDOS攻击的攻击目的IP。解决了相关技术因难以确定DDOS攻击的攻击目的IP，导致攻击流量未被牵引或者正常的业务受到影响的问题。

与本申请确定DDOS攻击的攻击目的IP的方法的实施例相对应，本申请还提供了用于执行上述方法实施例的装置的实施例。

参见图3，为本申请示出的一种确定DDOS攻击的攻击目的IP的装置的实施例框图：

如图3所示，该确定DDOS攻击的攻击目的IP的装置30包括：

获取单元310，用于获取流量排序列表；所述流量排序列表包括目标源IP、若干个目的IP以及所述目标源IP与各目的IP之间的流量，各流量按照流量大小进行排序；所述流量排序列表还包括所述目标源IP对应的总流量大小。

计算单元320，用于根据预设的系数乘以所述总流量大小，获得异常流量阈值。

确定单元330，用于判断所述流量排序列表中的最大流量是否小于所述异常流量阈值；如果是，将该最大流量与所述流量排序列表中的下一流量依次进行累加后，比较累加结果是否小于所述异常流量阈值，直到累加结果不小于所述异常流量阈值时，将该累加结果对应的目的IP确定为攻击目的IP。

在本例中，所述装置30还包括：

转发单元340，用于当确定DDOS攻击的攻击目的IP后，将所述攻击目的IP转发至所述异常流量清洗设备，以由所述异常流量清洗设备对访问所述攻击目的IP的流量进行安全防护。

在本例中，所述获取单元310，进一步用于：

获取所述异常流量检测设备上传的流量排序列表；所述流量排序列表，包括所述异常流量检测设备在检测到来自任一IP的流量大于预设的正常流量阈值时，生成的包含以该IP为目标源IP的全部流量的列表。

在本例中，所述获取单元310，进一步用于：

接收所述异常流量检测设备周期性生成并上传的所述流量排序列表。

本申请确定DDOS攻击的攻击目的IP的装置的实施例可以应用在DDOS防护设备上。装置实施例可以通过软件实现，也可以通过硬件或者软硬件结合的方式实现。以软件实现为例，作为一个逻辑意义上的装置，是通过其所在DDOS防护设备的处理器将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言，如图4所示，为本申请确定DDOS攻击的攻击目的IP的装置所在DDOS防护设备的一种硬件结构图，除了图4所示的处理器、内存、网络接口、以及非易失性存储器之外，实施例中装置所在的DDOS防护设备通常根据该确定DDOS攻击的攻击目的IP的装置的实际功能，还可以包括其他硬件，对此不再赘述。

上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程，在此不再赘述。

对于装置实施例而言，由于其基本对应于方法实施例，所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。

以上所述仅为本申请的较佳实施例而已，并不用以限制本申请，凡在本申请的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本申请保护的范围之内。