一种基于云+端设备按需联动模式的大规模DDoS攻击检测与防御系统及防御方法与流程

本发明涉及网络云安全防护技术领域，具体涉及一种基于云+端设备按需联动模式的大规模ddos攻击检测与防御系统及防御方法。

背景技术：

随着互联网带宽的持续扩容、物联网快速发展及iot(internetofthings)设备的极速普及，万物互联时代的网络给大家带来便捷，也为ddos攻击创造了极为有利的条件。近期利用memcached服务器实施反射ddos攻击的事件呈大幅上升趋势,根据cncert最新发现显示，截止2018年q1有记录在案的真实攻击流量已达1.98tb，经常几g的ddos攻击即可致大多数政企用户的网络带宽拥塞、业务瘫痪。同时，各类ddos攻击工具在网络泛滥，发起ddos攻击门槛和攻击成本都越来越低，骇客可轻易发动混合型ddos攻击，利用ddos攻击的恶意竞争、敲诈勒索已形成完备的地下产业链。

传统ddos防护体系的不足：

1、单一本地防护：由于受用户接入带宽和防护成本的限制，当遭受几百兆的攻击时就可以让大多数用户的网络带宽无法承受，黑客可以轻易发动攻击短时间内打满客户出口带宽，导致网络出口或局部网络出现堵塞，线上业务无法开展正常服务；2、单一云服务商防护：云清洗服务解决了大流量ddos攻击的用户，但云清洗服务本质上都是由于提供清洗服务的服务商均采用一套防护设备为所有用户提供通用的ddos防护服务，无法针对每个用户的业务类型、特点、攻击类型等进行策略和防护机制的量身定制，仍然会出现服务经常打不开或业务半瘫痪的状况，最终导致不是存在大量的误封就是根本无法防护的效果；3、单一idc防护：idc机房为用户提供基础设施，在出口边界解决部分大流量ddos攻击的用户，但受idc自身出口限制，以及idc为了保证大网环境的稳定性，在用户的攻击达到一定量时通常采用与运营端联动封ip，同时idc均采用一套防护设备为所有用户提供通用的ddos防护服务，各用户之间策略连带影响可能导致大量封杀，不论封ip还是共享策略，最终将导致用户业务无法正常方问。

几乎所有的金融企业、网络游戏、互联网/互联网+、政府在线业务平台等，甚至连学校与公益组织的网站都无法幸免ddos攻击带来的威胁，随之而来的是投诉、法律纠纷、商业损失等一系列问题，使得企业的正常经营活动收到巨大影响，业务无法开展给品牌带来巨大影响不说，甚至导致企业不得不关门歇业。由于传统方案存在明显的不足，很难为用户提供完美的抗d解决方案，因此，解决ddos攻击问题成为线上业务服务商必须考虑的头等大事。

技术实现要素：

本发明的目的在于克服现有技术中存在的问题，提供一种基于云+端设备按需联动模式的大规模ddos攻击检测与防御系统及防御方法，它可以通过该防御系统，实现突破本地带宽限制的抗ddos攻击防御能力，通过该防御方法中利用云节点分布式清洗以及用户侧本地硬件端设备的二次精细化过滤，实现防御ddos攻击更全面、清洗效果更好。

为实现上述技术目的，达到上述技术效果，本发明是通过以下技术方案实现的：

一种基于云+端设备按需联动模式的抗大规模ddos攻击的防御系统，包括云平台防御系统和本地端防御系统，所述云平台防御系统包括：

云调度中心，所述云调度中心用于提供用户管理、客户域名管理及查询、云清洗节点管理功能、与本地端防御系统实现按需联动通信，同时将处理和响应本地端防御系统发来的联动消息，与云清洗节点设备实现资源分配和回收、以及清洗统计数据的查询；

云清洗节点设备，所述云清洗节点设备为分布式云清洗节点群，其用于针对互联网超大访问数据进行防御清洗、与云调度中心交互并提供资源分配、响应、清洗数据统计查询接口，与本地端防御系统进行协同处理数据转发，从而实现正常的业务访问；

dns近源解析服务器，所述dns近源解析服务器用于根据互联网请求源ip地址，针对特定域名，选择最佳的节点资源回应，为所述云调度中心提供设置和修改接口，将指定域名与所述云清洗节点设备分配的资源相关联；

本地端防御系统，所述本地端防御系统部署在客户业务服务器网络出入口,其用于对访问业务服务器流量进行精细粒度的清洗防护、与云清洗节点设备协同处理进行报文转发处理、联动所述云调度中心来触发客户服务接入云防护平台。

一种防御系统的防御方法，包括如下步骤：

步骤1、域名配置：将本地端防御系统需要防御的域名配置进云平台；

步骤2、生成别名、配置服务器地址：所述云平台针对步骤1中配置的域名生成别名，并将别名提交给客户，同时云平台为该域名勾选防御节点并且配置客户提供的业务服务器的ip地址；

步骤3、别名配置：当客户拿到云平台生成的别名以后，在其本地域名服务提供商的管理界面，将该域名的别名配置进去；

步骤4、监测攻击：所述本地端防御系统实时监测来自互联网的ddos攻击流量，当发现ddos攻击流量达到一定的阈值，向所述云平台发起求救信号，开启切换主用和备用ip云清洗防御，具体包括如下内容：

步骤4.1、按需联动触发阈值：此阈值需要根据客户本地网络带宽来设置，要求此触发阈值小于客户网络带；

步骤4.2、联动接入策略：当触发按需联动阈值时，需要告知云调度中心基于客户业务主ip地址接入云防护、还是基于客户业务备用ip接入云防护；

步骤5、云调度中心调度分配：当所述云平台接收到本地端防御系统发出来的求救信号以后，所述云调度中心开始联动云清洗节点，进行资源分配及策略下发调度，并且与dnspod进行api接口联动，通知dns近源解析服务器开始启用该域名的别名解析动作；

步骤6、发送访问：等到dns解析生效以后，该域名以启用别名的方式，解析出云节点ip地址和端口，互联网数据将会向云清洗节点发送访问请求；

步骤7、粗粒度清洗：各云清洗节点设备对来自互联网发来的访问报文进行过滤清洗，清洗后的报文按照策略转发给客户业务服务器；

步骤8、精细粒度清洗：当本地端防御系统检测到来自云清洗节点设备转发过来的流量信息后，会继续对该流量进行二次精细粒度的清洗操作，最终实现业务的正常访问及ddos流量的清洗。

优选地，所述步骤7中云清洗节点设备与本地端防御系统之间的数据转化方式为四层协议处理方式。

优选地，所述步骤7中云清洗节点设备与本地端防御系统之间的数据转化方式为七层协议处理方式。

本发明的有益效果：1、相对于单一本地端防御系统防护，可利用云分布式清洗节点的大容量清洗能力的优势，突破本地带宽限制的抗d防御瓶颈；

2、相对于单一的持续接入云防护，可利用云节点分布式清洗以及本地端防御系统的二次精细化过滤，实现防御ddos攻击更全面、清洗效果更好；

3、相对于单一的持续接入云防护，提供了基于四层协议处理和基于七层协议处理模式对云清洗节点设备与本地端防御系统之间的数据进行转化，更快捷。

4、相对于固定单一的主ip或备用ip防护，云+端设备按需联动模式牵引可根据用户端网络机流量状况进行联动切换，实现更灵活的防护模式

5、主要针对攻击频率较低的用户群体，通过在本地端防御系统上预先设置按需联动策略作为触发条件，当本地端防御系统检测出超出按需联动阈值的攻击流量时，向云平台防御系统发送求救信号，云平台防御系统收到该信号后，会将所有流量牵引至云清洗中心进行防御清洗转发，并协同本地端防御系统进行二次精细粒度的防护系统，从而实现对用户网络环境的有效防御。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例描述所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明的一种防御系统的框架示意图；

图2为本发明的方法中用户服务接入云+端防御系统的流程示意图；

图3为本发明的方法中本地端防御系统的按需联动策略的流程示意图；

图4为本发明的方法中互联网用户访问业务服务器报文处理的流程示意图；

图5为本发明的方法中用户业务服务器响应报文处理的流程示意图；

图6为本发明的方法中云+端防护系统基于四层协议端口转发的流程示意图；

图7为本发明的方法中云+端防护系统基于七层代理端口转发的流程示意图。

具体实施方式

为了使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

如图1所示一种基于云+端设备按需联动模式的抗大规模ddos攻击的防御系统，包括云平台防御系统和本地端防御系统，所述云平台防御系统包括：

云调度中心，所述云调度中心用于提供用户管理、客户域名管理及查询、云清洗节点管理功能、与本地端防御系统实现按需联动通信，同时将处理和响应本地端防御系统发来的联动消息，与云清洗节点设备实现资源分配和回收、以及清洗统计数据的查询；

云清洗节点设备，所述云清洗节点设备为分布式云清洗节点群，其用于针对互联网超大访问数据进行防御清洗、与云调度中心交互并提供资源分配、响应、清洗数据统计查询接口，与本地端防御系统进行协同处理数据转发，从而实现正常的业务访问；

dns近源解析服务器，所述dns近源解析服务器用于根据互联网请求源ip地址，针对特定域名，选择最佳的节点资源回应，为所述云调度中心提供设置和修改接口，将指定域名与所述云清洗节点设备分配的资源相关联；

本地端防御系统，所述本地端防御系统部署在客户业务服务器网络出入口,其用于对访问业务服务器流量进行精细粒度的清洗防护、与云清洗节点设备协同处理进行报文转发处理、联动所述云调度中心来触发客户服务接入云防护平台。

如图2中流程示意图所示一种基于云+端设备按需联动模式的抗大规模ddos攻击防御系统及防御方法的操作流程图，其实现步骤如下：

s201：域名配置，由工作人员登录云平台的云调度中心，将用户业务服务域名配置到系统中，并且配置用户提供的业务服务器的(主、备用)ip地址。

s202:选择云清洗防御节点，继s201之后，需要根据用户套餐及网络业务特性，为该域名勾选云清洗防御节点。

s203：配置别名，如s201步骤中将域名配置到云平台系统后，会生成域名别名别名，将该别名提交给用户。由用户在其本地域名服务提供商的管理界面中，将该别名别名配置进去。

s204：按需联动配置，需在本地端防御系统，根据用户自身的网络带宽设置按需联动触发阈值及联动接入策略。

所述的s201-s204步骤为防御配置阶段。

所述的s201中，在云平台配置用户提供的业务服务器的(主、备用)ip地址。只有用户提供备用ip的情况下，本地端防御系统才会针对备用ip按需联动才会生效，否则无法实现基于备用ip的云接入防御清洗；

所述的s203中，提交给用户的域名别名别名。用户必须在其域名服务提供商的管理界面中，将别名配置进去，接入云防御过程才会生效，否则用户业务无法接入云防御。

所述s204中，按需联动触发条件为攻击流量达到预设的触发阈值。其联动接入策略指配置基于主ip接入云防护、还是基于备用ip接入云防护的策略

如图3中流程图所述为本地端防护系统按需联动云平台调度中心的过程。

s301：监测攻击：所述本地端防御系统实时监测来自互联网的ddos攻击流量，当发现攻击流量触发了s203中预设的按需联动配置，则立刻向所述云平台发起求救信号；

s302：调度接入：继s301发来的联动求救信号，所述云平台中的云调度中心开始联动云清洗防御节点，进行资源ip分配申请和策略配置下发；云调度中心调用dnspod进行api接口联动，通知dns近源解析服务器开始启用s203中所添加别名的解析动作；

所述s301、s302为本地端联动云端的过程。

所述s301中本地端防御系统触发按需联动阈值时，可以向云平台调度中心发送基于主ip防御的联动求救信号。

所述s301中本地端防御系统触发按需联动阈值时，可以向云平台调度中心发送基于备用ip防御的联动求救信号。

如图4中流程图所示为基于云+端防御系统时，互联网用户访问用户业务服务器的流程图。

s401：业务访问，在s206所示同步dns启动别名别名等待生效后。请求该域名以启动别名别名的方式，解析出来的地址为s206所示申请的资源ip地址。互联网用户访问用户业务时，将直接向分布式云清洗节点群中发送访问数据；

s402:云防御清洗：分布在各个地方的云清洗节点设备对来自互联网书进行报文识别、过滤清洗，清洗后的报文根据s206中所示的下发策略转发给用户业务服务器；

s403:本地端协同防御：继s402所示将报文转发给用户业务服务器。本地端防御系统捕获到访问后报文后，继续对报文进行二次精细陆渡的清洗操作，最终再将清洗后的报文发给用户业务服务器的过程；

所述s401-s403为接入云+端防护系统后，互联网用户访问业务服务器的流程。

所述s402中对访问报文进行清洗过后，可以基于报文四层协议端口转发报文，详见图6中s601操作即如下

cip:cportnip:sport转化为nip:cportsip:sport

所述s402中对访问报文进行清洗过后，可以基于报文七层协议代理转发报文，由反向代理服务处理，直接与用户业务服务器进行请求交互。

所述s403中，当s402所示转发的报文基于四层端口转发时，当本地端防御系统捕获到该特征报文，需要进行四层协议端口还原并防护处理后，转发给用户服务器，详见图6中s602操作即如下：

nip:cportsip:sport转化为cip:cportsip:sport；

如图5中流程图所示为基于云+端防御系统下的用户业务服务器对互联网用户请求访问进行响应的报文处理的流程图。

s501:用户业务服务器，继s403后用户业务服务器响应报文给互联网用户；

s502:本地端防御系统，部署在用户业务服务器网络出入口的本地端防御系统捕获到该响应报文后，对该报文进行识别，并连接按照原来线路将报文转发给云清洗节点；

s503：云清洗节点，继s502将报文转发过来时，由云清洗节点对报文再一次进行nat转换并发给互联网用户；

所述s501-s503为用户业务服务器响应报文的处理流程。

所述s502中本地端防御系统对报文进行识别并转发的处理。如果针对该用户业务防御基于四层协议端口转发的方式。那么s502中的本地端防御系统，对报文捕获识别后需要进行nat转发，详见图6中s603操作即如下

sip:sportcip:cport进行nat转化为sip:sportnip:cport

所述s502中本地端防御系统对报文进行识别并转发的处理。如果针对该用户业务防护基于七层协议代理转发的方式，那么s502中的本地端防御系统无需对响应报文做任何转化处理。

所述s503中云清洗节点收到用户业务服务端发来的响应报文时，如果针对用户业务防御基于四层协议端口转发的方式。那么云清洗节点需要对报文做nat转发处理，详见图6中s604操作即如下：

sip:sportnip:cport进行nat转发为nip:sportcip:cport；

所述s503中云清洗节点收到用户业务服务端发来的响应报文时，如果针对用户业务防御基于其层协议端口转发的方式。那么云清洗节点无需对报文本身做任何处理，由反向代理服务进行响应数据给互联网用户即可，详见图7操作。以上公开的本发明优选实施例只是用于帮助阐述本发明。优选实施例并没有详尽叙述所有的细节，也不限制该发明仅为所述的具体实施方式。显然，根据本说明书的内容，可作很多的修改和变化。本说明书选取并具体描述这些实施例，是为了更好地解释本发明的原理和实际应用，从而使所属技术领域技术人员能很好地理解和利用本发明。本发明仅受权利要求书及其全部范围和等效物的限制。