一种分布式拒绝服务攻击防御方法、装置及系统与流程

本发明涉及通信技术领域，特别是涉及一种分布式拒绝服务(英文：distributeddenial-of-service，简称ddos)攻击防御方法、装置及系统。

背景技术：

ddos是一种利用多台主机向目标主机发送攻击报文，导致目标主机对正常业务请求拒绝服务的攻击行为。ddos通过制造高流量无用数据，使目标主机所在网络充斥大量的无用数据包，从而造成网络拥塞，使目标主机无法正常和外界通讯。

如图1所示的运营商网络包括位于运营商网络内部的网络节点c1至c4，以及位于运营商网络边缘的网络节点e1至e5。其中，网络节点c1位于运营商网络的核心层，用于承担核心数据交互；网络节点c2、c3和c4均连接至网络节点c1，用于承担相应区域内部的用户数据交互，以及将用户数据汇入到网络节点c1；网络节点e1至e5为用户主机的接入节点，用户主机通过网络节点e1至e5中的任意一个接入运营商网络。在图1所示的运营商网络中，目标主机通过网络节点e1接入运营商网络，为防止ddos攻击，通常的做法是为目标主机设置防御系统。所述防御系统包括攻击检测设备、防御管理设备和清理设备；所述防御检测设备设置在网络节点e1上，通过检测网络节点e1转发的报文，判断是否出现ddos攻击，并在检测到攻击报文后，向防御管理设备发出攻击报警；所述防御管理设备与攻击检测设备和清理设备均相连接，接收来自攻击检测设备的攻击报警，并向清理设备下发流量清理命令；所述清理设备通常设置在网络节点c1上，在接收到流量清理命令后将报文流量均引向自己，对报文流量进行清洗，以去除其中的ddos攻击报文，再将经过清理后的流量通过网络节点c1、网络节点c2以及网络节点e1重新注入给目标主机。

然而，发明人通过研究发现，在ddos攻击过程中，网络节点e5上接入的攻击主机发出的攻击报文通过网络节点c4、网络节点c1、网络节点c2以及网络节点e1，对目标主机进行攻击；网络节点e2上接入的攻击主机发出的攻击报文通过网络节点e2、网络节点c2以及网络节点e1，对目标主机进行攻击；如果进行流量清理，清理设备将所述攻击报文引流至自己，那么当所述攻击报文的流量较大时，很容易导致网络节点c1与网络节点c4，以及网络节点c1与网络节点c2之间的带宽资源被大量消耗，进而造成网络节点c1附近的网络拥堵，难以达到ddos防御要求。

技术实现要素：

本发明实施例中提供了一种ddos攻击防御方法、装置及系统，以减少ddos防御过程中网络节点之间的带宽资源消耗。

为了解决上述技术问题，本发明实施例公开了如下技术方案：

本发明第一方面提供了一种ddos攻击防御方法，该方法包括：接收攻击检测设备发送的攻击信息，所述攻击信息包括被检测出的攻击报文的第一特征信息；获取多个网络节点的节点信息，每个网络节点的节点信息包括所述网络节点已经转发的报文的第二特征信息；逐一匹配所述第一特征信息与所述多个网络节点中每个网络节点的第二特征信息，根据匹配结果从参考网络节点中确定转发所述攻击报文且距离所述攻击报文的源头最近的网络节点作为攻击防御设备，其中，所述参考网络节点为能够进行ddos攻击防御的网络节点；控制攻击防御设备根据所述第一特征信息过滤后续接收的攻击报文。采用本实现方式，在位于运营商网络边缘的网络节点上执行防御操作，将攻击报文拦截在运营商网络入口处，能够有效减少进入运营商网络内部的攻击报文，进而节约带宽资源，保证运营商网络内部的网络通畅。

结合第一方面，在第一方面第一种可能的实现方式中，所述获取多个网络节点的节点信息，包括：根据运营商网络的拓扑结构，确定位于运营商网络核心的多个网络节点；获取所述多个网络节点的节点信息。采用本实现方式，通过拓扑结构确定位于运营商网络核心的多个网络节点，并获取多个网络节点的节点信息，从而不必获取运营商网络所有网络节点的节点信息，节省存储资源，并且针对位于运营商网络核心的重点网络节点获取其节点信息，能够有效提高节点信息获取效率。

结合第一方面，在第一方面的第二种可能的实现方式中，所述逐一匹配所述第一特征信息与所述多个网络节点中每个网络节点的第二特征信息，根据匹配结果从参考网络节点中确定转发所述攻击报文且距离所述攻击报文的源头最近的网络节点作为攻击防御设备，包括：当所述第一特征信息与所述多个网络节点中第一网络节点的第二特征信息相匹配时，根据所述拓扑结构，确定与所述第一网络节点相连接的下游网络节点；所述第一网络节点为所述多个网络节点中的任意一个；获取所述下游网络节点的节点信息，所述节点信息包括所述下游网络节点已经转发的报文的第二特征信息；当所述第一特征信息与所述下游网络节点的第二特征信息相匹配，所述下游网络节点位于运营商网络边缘且为参考网络节点时，将所述下游网络节点作为攻击防御设备。采用本实现方式，从运营商网络核心层的网络节点进行逐个分支溯源，能迅速判断存在攻击报文的分支网络节点，从而确定距离攻击报文源头最近的网络节点作为攻击防御设备，有效提高ddos攻击防御效率。

结合第一方面，在第一方面的第三种可能的实现方式中，所述逐一匹配所述第一特征信息与所述多个网络节点中每个网络节点的第二特征信息，根据匹配结果从参考网络节点中确定转发所述攻击报文且距离所述攻击报文的源头最近的网络节点作为攻击防御设备，包括：当所述第一特征信息与所述多个网络节点中第一网络节点的第二特征信息相匹配时，根据所述拓扑结构，确定与所述第一网络节点相连接的下游网络节点；所述第一网络节点为所述多个网络节点中的任意一个；获取所述下游网络节点的节点信息，所述节点信息包括所述下游网络节点已经转发的报文的第一特征信息；当所述第一特征信息与所述下游网络节点的第二特征信息相匹配，所述下游网络节点位于运营商网络边缘且不为参考网络节点时，将所述第一网络节点作为攻击防御设备。采用本实现方式，从运营商网络核心层的网络节点进行逐个分支溯源，能迅速判断存在攻击报文的分支网络节点，当网络节点不具备攻击防御功能时，能够进一步确定距离攻击报文源头最近、且能够实施攻击防御的网络节点作为攻击防御设备，优化攻击防御方案，有效提高ddos攻击防御效率。

结合第一方面，在第一方面的第四种可能的实现方式中，所述获取多个网络节点的节点信息，包括：根据所述拓扑结构，确定位于运营商网络边缘的多个网络节点；获取所述多个网络节点的节点信息。采用本实现方式，通过拓扑结构确定位于运营商网络边缘的多个网络节点，并获取多个网络节点的节点信息，从而不必获取运营商网络所有网络节点的节点信息，节省存储资源，并且针对位于运营商网络边缘的重点网络节点获取其节点信息，能够有效提高节点信息获取效率。

结合第一方面，在第一方面的第五种可能的实现方式中，所述逐一匹配所述第一特征信息与所述多个网络节点中每个网络节点的第二特征信息，根据匹配结果从参考网络节点中确定转发所述攻击报文且距离所述攻击报文的源头最近的网络节点作为攻击防御设备，包括：当所述第一特征信息与所述多个网络节点中第一网络节点的第二特征信息相匹配，且所述第一网络节点为参考网络节点时，将所述第一网络节点作为攻击防御设备；所述第一网络节点为所述多个网络节点中的任意一个。采用本实现方式，从运营商网络边缘开始进行攻击溯源，确定攻击防御设备，只需分析计算较少网络节点的节点报文，有效降低运算量，进而提高攻击防御设备的确定效率。

结合第一方面，在第一方面的第六种可能的实现方式中，所述逐一匹配所述第一特征信息与所述多个网络节点中每个网络节点的第二特征信息，根据匹配结果从参考网络节点中确定转发所述攻击报文且距离所述攻击报文的源头最近的网络节点作为攻击防御设备，包括：当所述第一特征信息与所述多个网络节点中第一网络节点的第二特征信息相匹配，且所述第一网络节点不为参考网络节点时，根据所述拓扑结构，确定与所述第一网络节点相连接的上游网络节点，所述第一网络节点为所述多个网络节点中的任意一个；获取所述上游网络节点的节点信息，所述节点信息包括所述上游网络节点已经转发的报文的第二特征信息；当所述第一特征信息与所述上游网络节点的第二特征信息相匹配，且所述上游网络节点为参考网络节点时，将所述上游网络节点作为攻击防御设备。采用本实现方式，从运营商网络边缘开始进行攻击溯源，当网络节点不具备ddos攻击防御功能时，能够进一步溯源从而确定最优的攻击防御设备，进而提高攻击防御效率。

结合第一方面，在第一方面的第七种可能的实现方式中，在对所述第一特征信息与所述第二特征信息进行匹配之前，所述方法还包括：当所述攻击信息包括多个攻击的第一特征信息，且所述第一特征信息包括攻击流量时，选择n个攻击流量最大的第一特征信息，其中n≧1。采用本实现方式，从攻击信息中，筛选出多个攻击流量最大的第一特征信息，实现攻击信息的优化，进而根据优化后的攻击信息，对可能造成最大破坏的攻击进行重点防御，能够进一步提高防御效率。

结合第一方面，在第一方面的第八种可能的实现方式中，在逐一匹配所述第一特征信息与所述多个网络节点中每个网络节点的第二特征信息之前，所述方法还包括：当所述攻击信息包括多个被检测出的攻击报文的第一特征信息，且每个第一特征信息包括攻击流量和攻击目的地址时，选择攻击目的地址存在于预设防御列表中且攻击流量最大的n个第一特征信息，其中n≧1；所述逐一匹配所述第一特征信息与所述多个网络节点中每个网络节点的第二特征信息包括：对所述n个第一特征信息中的每个第一特征信息，逐一匹配所述第一特征信息与所述多个网络节点中每个网络节点的第二特征信息。采用本实现方式，从攻击信息中，筛选出针对多个目标主机的攻击流量最大的第一特征信息，进一步实现攻击信息的优化，进而根据优化后的攻击信息，针对需要重点防御的目标主机，以及对目标主机可能造成最大破坏的攻击进行重点防御，能够进一步提高防御效率。

结合第一方面，在第一方面的第九种可能的实现方式中，当所述第二特征信息包括报文流量时，所述确定转发所述攻击报文且距离所述攻击报文的源头最近的网络节点作为攻击防御设备包括：确定转发所述攻击报文且距离所述攻击报文的源头最近的n个转发攻击报文流量最大的网络节点作为攻击防御设备。采用本实现方式，根据攻击报文流量，从多个攻击防御设备中筛选出优先进行攻击防御的设备，对攻击防御设备进行优化，能够有效平衡运营商网络的服务质量要求以及ddos攻击防御计算量需求。

结合第一方面，在第一方面的第十种可能的实现方式中，所述获取多个网络节点的节点信息，包括：向所述多个网络节点发送上报指令，所述上报指令包括攻击时间，用于控制每个网络节点提取所述网络节点已经转发的对应所述攻击时间的报文第二特征信息，并将所述第二特征信息组织成向控制器返回的节点信息。采用本实现方式，通过上报指令按需获取多个网络节点的节点信息，能够有效提供节点信息获取效率，而且通过上报指令能够控制节点信息的提取属性，保证节点信息精确描述攻击发生时网络节点的状态。

本发明第二方面提供了一种ddos攻击防御装置，该装置包括：接收模块，用于接收攻击检测设备发送的攻击信息，所述攻击信息包括被检测出的攻击报文的第一特征信息；获取模块，用于获取多个网络节点的节点信息，每个网络节点的节点信息包括所述网络节点已经转发的报文的第二特征信息；确定模块，用于逐一匹配所述第一特征信息与所述多个网络节点中每个网络节点的第二特征信息，根据匹配结果从参考网络节点中确定转发所述攻击报文且距离所述攻击报文的源头最近的网络节点作为攻击防御设备，其中，所述参考网络节点为能够进行ddos攻击防御的网络节点；控制模块，用于控制攻击防御设备根据所述第一特征信息过滤后续接收的攻击报文。

本发明第二方面的所述ddos攻击防御装置能够实现第一方面及第一方面的各实现方式中的方法，并取得相同的效果。

第三方面，本发明实施例提供了一种ddos攻击防御系统，该系统包括攻击检测设备、控制器以及网络节点，其中：所述攻击检测设备，用于生成攻击信息，将所述攻击信息发送至控制器，所述攻击信息包括被检测出的攻击报文的第一特征信息；所述网络节点，用于生成节点信息，将所述节点信息发送至控制器，每个网络节点的节点信息包括所述网络节点已经转发的报文的第二特征信息；所述控制器，用于接收攻击检测设备发送的攻击信息以及各个网络节点发送的节点信息；逐一匹配所述第一特征信息与所述多个网络节点中每个网络节点的第二特征信息，根据匹配结果从参考网络节点中确定转发所述攻击报文且距离所述攻击报文的源头最近的网络节点作为攻击防御设备，其中，所述参考网络节点为能够进行ddos攻击防御的网络节点；控制攻击防御设备根据所述第一特征信息过滤后续接收的攻击报文；其中，所述控制器为所述第二方面的ddos攻击防御装置。

由以上技术方案可见，本发明中，控制器接收攻击检测设备发送的攻击信息，所述攻击信息包括被检测出的攻击报文的第一特征信息；获取多个网络节点的节点信息，每个网络节点的节点信息包括所述网络节点已经转发的报文的第二特征信息；逐一匹配所述第一特征信息与所述多个网络节点中每个网络节点的第二特征信息，从能够进行ddos攻击防御的参考网络节点中，确定转发所述攻击报文且距离所述攻击报文的源头最近的网络节点作为攻击防御设备；最后控制器控制所述攻击防御设备根据所述第一特征信息过滤后续接收的攻击报文。在上述过程中，控制器在位于运营商网络边缘的网络节点上执行防御操作，将攻击报文拦截在运营商网络入口处，能够有效减少进入运营商网络内部的攻击报文，进而节约带宽资源，保证运营商网络内部的网络通畅。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍。

图1为目前一种ddos攻击防御系统的架构示意图；

图2为本发明实施例所应用的一种运营商网络的架构示意图；

图3为本发明实施例提供的一种ddos攻击防御方法的流程示意图；

图4为本发明实施例提供的一种攻击溯源方法的流程示意图；

图5为本发明实施例提供的另一种攻击溯源方法的流程示意图；

图6为本发明实施例提供的又一种攻击溯源方法的流程示意图；

图7为本发明实施例提供的一种ddos攻击防御装置的结构示意图；

图8为本发明实施例提供的一种ddos攻击防御系统的结构示意图；

图9为本发明实施例提供的一种用于ddos攻击防御的控制装置结构框图。

具体实施方式

参见图2，为本发明实施例所应用的一种运营商网络的架构示意图：

图2中，运营商网络包括网络节点c1至c4，以及网络节点e1至e5，上述网络节点构成运营商网络。其中，网络节点c1位于运营商网络的内部核心层，网络节点c1作为运营商网络的主干，承担核心数据交互；网络节点c2、c3和c4连接至网络节点c1，构成运营商网络的分支，用于承担相应区域内部的用户数据的交互；网络节点e1、e2和e3均连接至网络节点c2，网络节点e4连接至网络节点c3，网络节点e5连接至网络节点c4，上述网络节点e1至e5位于运营商网络的边缘，作为用户主机的接入节点，为用户主机提供接入服务，即用户主机能够通过网络节点e1至e5中的其中一个接入运营商网络。而且，在图2所示的运营商网络中，网络节点c2、c3和c4可以理解为网络节点c1的下游网络节点，网络节点e1、e2和e3是网络节点c2的下游网络节点，网络节点e4是网络节点c3的下游网络节点，网络节点e5是网络节点c4的下游网络节点；同样，网络节点c1还可以理解为网络节点c2、c3和c4的上游网络节点，网络节点c2是网络节点e1、e2和e3的上游网络节点，网络节点c3是网络节点e4的上游网络节点，网络节点c4是网络节点e5的上游网络节点。当然，需要说明的是，上述运营商网络架构仅是一示例性网络架构，所述运营商网络结构还可以为其他任意结构。

在一种ddos攻击场景中，目标主机，即攻击主机想要攻击的主机，通过网络节点e1接入运营商网络，2台攻击主机从网络节点e2接入运营商网络，2台攻击主机从网络节点e5接入运营商网络，总共4台攻击主机对目标主机进行ddos攻击。

为了对ddos攻击进行防御，在上述ddos攻击场景中，本发明实施例设置了防御系统和控制器。其中，所述防御系统包括攻击检测设备、防御管理设备和清理设备；所述攻击检测设备设置在目标主机的接入网络节点上，即网络节点e1，通过检测网络节点e1转发的攻击报文，判断是否存在对目标主机的ddos攻击，并在检测到攻击报文后，向防御管理设备反馈攻击报警；防御管理设备接收来自攻击检测设备的攻击报警，并向清理设备下发流量清理命令；清理设备设置在网络节点c1上，在接收到防御管理设备的流量清理命令后将报文流量引向自己，对报文流量进行清洗，去除其中的ddos攻击报文，再将清理后的流量通过网络节点c1、c2以及e1重新发送给目标主机。控制器存储有运营商网络的拓扑结构，能够向运营商网络中的任意一个网络节点发出控制信令；而且，控制器还能接收来自攻击检测设备的攻击信息，以控制运营商网络中的网络节点进行ddos攻击防御。所述控制器可以理解为服务器或服务器集群等。另外，需要说明的是，在本发明实施例中，所述控制器和防御系统的配置仅是一示例性实施例，在具体实施时，所述防御系统可以不必部署防御管理设备和清理设备，只需要在目标主机的接入网络节点上部署攻击检测设备；或者，所述防御系统也可以部署多台清理设备，所述清理设备也可以设置在运营商网络内部的其他网络节点上。

参见图3，为本发明实施例提供的一种ddos攻击防御方法的流程示意图，该实施例示出了控制器控制网络节点进行ddos攻击防御的过程：

步骤s101：接收攻击检测设备发送的攻击信息。

攻击检测设备对目标主机的接入网络节点上转发的报文进行采样、分析，通过匹配攻击行为模式，确定针对目标主机进行ddos攻击的攻击报文。攻击检测设备通过分析攻击报文，并提取攻击报文的特征作为第一特征信息，所述第一特征信息包括第一元组、攻击流量、攻击类型以及攻击时间等，其中所述第一元组包括攻击目的地址、攻击源地址、攻击目的端口、攻击源端口以及攻击网络协议中的一种或多种。攻击检测设备将至少一个攻击对应的第一特征信息组织成攻击信息，然后将所述攻击信息发送至控制器，以通知所述控制器存在针对目标主机的ddos攻击行为。

控制器接收所述攻击检测设备发送的攻击信息，根据所述攻击信息中攻击的第一特征信息，制定ddos攻击防御策略。

当ddos攻击发生时，由于运营商网络内存在大量攻击报文，所述攻击检测设备检测得到的攻击信息可能包括大量攻击报文的第一特征信息，为了提高攻击信息的处理效率，本发明实施例对攻击信息进行优化。

在第一种实施方式中，当所述攻击信息包括多个攻击的第一特征信息，且所述第一特征信息包括攻击流量时，选择n个攻击流量最大的第一特征信息，其中n≧1。在具体实施时，n可以设置为任意自然数，例如设置为10；依据第一特征信息中的攻击流量从大到小的顺序，对所述攻击信息中的多个第一特征信息进行排序；选择排序后的攻击信息中的前n个第一特征信息，并将所述前n个第一特征信息组成新的攻击信息，在后续步骤中，控制器根据所述新的攻击信息确定相应的防御策略。

在第二种实施方式中，如果ddos攻击是针对数据中心的攻击，在所述数据中心中可能包括多台目标主机，为了提高防御效率对其中的一台或多台目标主机进行重点防御。在具体实施时，当所述攻击信息包括多个攻击的第一特征信息，且所述第一特征信息包括攻击流量和攻击目的地址时，选择所述攻击目的地址存在于预设防御列表中且攻击流量最大的n个第一特征信息，其中n≧1。在具体实施时，通过以下方式建立所述防御列表：在一个统计周期内，例如1周或者一个月内，统计目标主机受到ddos攻击的次数或频度，将所述次数或频度最高的多台目标主机组成防御列表，所述防御列表包括所述次数或频度最高的多台目标主机的网络地址。当攻击信息中第一特征信息的攻击目的地址与防御列表中的网络地址一致时，提取所述第一特征信息，最终提取到多条第一特征信息；对提取到的多条第一特征信息，按照攻击流量从大到小的顺序排序；从排序后的第一特征信息中选择前n个攻击流量最大的第一特征信息，并将所述前n个攻击流量最大的第一特征信息组成新的攻击信息。控制器根据所述新的攻击信息确定相应的防御策略。

步骤s102：获取多个网络节点的节点信息。

网络节点对其转发报文进行特征采集，并将所述转发报文的特征信息作为第二特征信息，在具体实施时，所述网络节点采用网络流(netflow)或者采样流(sampledflow，简称：sflow)等方式获取所述转发报文的第二特征信息。所述第二特征信息包括第二元组、转发报文流量以及转发报文的时间等，其中，所述第二元组包括转发报文的目的地址、源地址、目的端口、源端口以及网络协议中的一种或多种的组合。所述网络节点将采集到的多条转发报文的第二特征信息组织成节点信息，并将所述节点信息发送至控制器。

网络节点可以主动向控制器发送所述节点信息，或者控制器控制所述网络节点向其发送所述节点信息，具体地：

在第一种方式中，网络节点实时地将所述节点信息发送至所述控制器，所述控制器接收所述节点信息，并储存所述节点信息，便于后续分析使用。例如可以建立节点信息数据库，控制器可以将新的节点信息写入所述节点信息数据库，或者从所述节点信息数据库中删除旧的节点信息等；而且，控制器还可以按照攻击时间从所述节点信息数据库中，查询并提取与所述攻击时间相匹配的节点信息。

在第二种方式中，当控制器接收到攻击检测设备发送的攻击信息时，控制器向所述多个网络节点发送上报指令，所述上报指令包括攻击时间，所述攻击时间为攻击信息中多个攻击对应的攻击时间，或者所述攻击信息中多个攻击的攻击时间范围；网络节点接收所述上报指令，从所述上报指令中提取攻击时间，在采集到的转发报文第二特征信息中，提取与所述攻击时间相匹配的转发报文的第二特征信息，其中如果所述转发报文对应的报文时间与所述攻击时间相等或者属于所述攻击时间范围时，确定所述转发报文的第二特征信息与所述攻击时间相匹配；所述网络节点将与所述攻击时间相匹配的第二特征信息组织成节点信息，然后将所述节点信息发送至控制器；所述控制器接收所述节点信息。

另外，所述控制器可以获取运营商网络中全部或者部分网络节点的节点信息，获取节点信息的方式包括以下三种：

在第一种方式中，所述控制器获取运营商网络中全部网络节点的节点信息，例如在图2所示的运营商网络中，所述控制器获取全部c1至c4，以及e1至e5网络节点的节点信息。

在第二种方式中，所述控制器确定运营商网络核心的网络节点，并获取所述网络节点的节点信息。由于位于运营商网络的核心层的网络节点承担了核心的数据交互任务，因此首先获取位于运营商网络核心的网络节点的信息，能够有效提高攻击溯源效率。在本发明实施例中，根据运营商网络的拓扑结构，确定位于运营商网络核心的网络节点，所述位于运营商网络核心的网络节点为网络节点c1，并获取所述网络节点c1的节点信息。当然，需要说明的是，运营商网络可以包括任意多个位于运营商网络核心的网络节点，在本发明实施例中不做限定。

在第三种方式中，所述控制器获取位于运营商网络边缘的网络节点发送的节点信息。

所述位于运营商网络边缘的网络节点可以理解为用户主机的接入网络节点，例如在图2所示的运营商网络中，网络节点e1、e2、e3、e4以及e5接入用户主机，为位于运营商网络边缘的网络节点，用户主机的报文最先通过上述网络节点进入运营商网络内部。

在具体实施时，通过建立边缘网络节点列表的方式管理所述位于运营商网络边缘的网络节点。根据网络拓扑结构，确定接入用户主机的网络节点，建立边缘网络节点列表，所述网路节点列表中包括位于运营商网络边缘的网络节点的网络标识，例如网络地址或id标识等。当运营商网络进行升级换代、或者架构重组时，所述边缘网络设备列表也进行相应更新。在节点信息获取过程中，所述边缘网络节点列表中的网络节点向控制器发送节点信息，或者控制器向所述边缘网络节点列表中的网络节点发送上报指令，以获取节点信息。

步骤s103：逐一匹配所述第一特征信息与所述多个网络节点中每个网络节点的第二特征信息，根据匹配结果从参考网络节点中确定转发所述攻击报文且距离所述攻击报文的源头最近的网络节点作为攻击防御设备。

所述参考网络节点为能够进行ddos攻击防御的网络节点；在运营商网络内，网络节点本身可能具有ddos攻击防御功能，即可实施ddos攻击防御，或者网络节点的硬件和软件环境能够支持ddos攻击防御，即可部署ddos攻击防御，将上述两种网络节点均作为所述参考网络节点。所述参考网络节点可以包括运营商网络内的所有网络节点或者部分网络节点。在具体实施时，可以将运营商网络中能够进行ddos攻击防御的网络节点标识组织成参考网络节点列表，进而通过查询所述参考网络节点列表，确定运营商网络中的网络节点是否为参考网络节点。或者，在运营商网络中为每个网络节点建立相应的功能类型特征信息；所述功能类型特征信息用于描述网络节点能否进行ddos攻击防御；所述功能类型特征信息还可以用于描述网络节点所支持部署的防御类型，例如单播反向路由转发(英文：unicastreversepathforwarding，简称：urpf)防御、流表防御、访问控制列表(英文：accesscontrollist，简称：acl)防御以及虚拟网络功能(英文：virtualnetworkfunction，简称：vnf)防御等；通过所述功能类型特征信息，控制器确定网络节点是否为具有ddos攻击防御功能。

而且，由于ddos攻击包括多种攻击类型，例如传输控制协议同步(英文：transmissioncontrolprotocolsynchronous，简称：tcpsyn)泛洪攻击、用户数据报协议(英文：userdatagramprotocol，简称：udp)泛洪攻击等，所述参考网络节点可能支持不同ddos攻击类型的防御功能。在具体实施时，所述参考网络节点可以包括多种参考网络节点，例如参考网络节点包括第一参考网络节点和第二参考网络节点；所述第一参考网络节点能够对tcpsyn泛洪攻击进行防御，所述第二参考网络节点能够对udp泛洪攻击进行防御。进一步，如果第一特征信息对应的攻击类型为tcpsyn泛洪攻击，则只需在第一参考网络节点中确定转发所述攻击报文且距离所述攻击报文的源头最近的网络节点作为攻击防御设备；如果第一特征信息对应的攻击类型为udp泛洪攻击，则只需在第二参考网络节点中确定转发所述攻击报文且距离所述攻击报文的源头最近的网络节点作为攻击防御设备。

控制器匹配所述第一特征信息与第二特征信息，以确定网络节点是否转发所述攻击报文，在具体实施时控制器逐一匹配所述第一特征信息与多个网络节点中每个网络节点的第二特征信息。而且，通过匹配所述第一特征信息中的第一元组和所述第二特征信息中的第二元组，判断所述第一特征信息与所述第二特征信息是否匹配。在具体实施时，所述第一元组信息为包括攻击目的地址、攻击源地址、攻击目的端口、攻击源端口以及攻击网络协议的五元组，同样，所述第二元组也为包括转发报文的目的地址、源地址、目的端口、源端口以及网络协议的五元组；由于在ddos攻击中，攻击源地址可能是伪装的源地址，因此所述第一元组信息还可以为包括攻击目的地址、攻击目的端口、攻击源端口以及攻击网络协议的四元组，所述第二元组相应地可以为包括转发报文的目的地址、目的端口、源端口以及网络协议的四元组；或者，所述第一元组还可以为包括攻击目的地址、攻击目的端口以及攻击网络协议的三元组，所述第二元组相应地也可以为包括转发报文的目的地址、目的端口以及网络协议的三元组；当然，本领域技术人员可以根据实际需要，自由设置所述第一元组信息和相应的第二元组。在本发明实施例中，以所述第一元组和第二元组均为五元组为例进行详细说明。

在具体实施时，在网络节点发送的节点信息中，如果所述节点信息中存在第一特征信息，所述第二特征信息中的第二元组与第一特征信息中的第一元组相匹配，则确定第一网络节点转发了所述攻击报文；具体地，当所述第二元组中的目的地址等于第一元组中的攻击目的地址，所述第二元组信息中的源地址等于第一元组中的攻击源地址，所述第二元组中的目的端口等于第一元组中的攻击目的端口，第二元组中的攻击源端口等于所述第一元组中的源端口，且所述第二元组中的网络协议等于所述第一元组中的攻击网络协议时，所述第二元组与所述第一元组匹配，进而所述第二特征信息与所述第一特征信息相匹配，从而判断所述网络节点转发了攻击报文。对于其他网络节点，采用同样的方式，判断网络节点是否转发了攻击报文。

所述控制器通过对所述第一特征信息和第二特征信息进行匹配，从参考网络节点中确定距离攻击报文源头最近的网络节点确定攻击防御设备。确定攻击防御设备的过程包括：

所述控制器获取运营商网络中全部网络节点的节点信息；通过对所述第一特征信息与第二特征信息进行匹配，确定转发攻击报文的网络节点；根据运营商网络的拓扑结构，判断转发攻击报文的网络节点是否位于运营商网络边缘；当转发攻击报文的网络节点位于运营商网络边缘、且为参考网络节点时，将所述网络节点作为攻击防御设备。

在具体实施时，所述控制器获取运营商网络中全部网络节点的节点信息；所述攻击信息中包括第一攻击的第一特征信息和第二攻击的第一特征信息，依次判断攻击信息中的每个攻击对应的第一特征信息，是否与所述节点信息中的第二特征信息匹配，例如对于第一攻击，网络节点e5、c4、c1和c2的节点信息中存在第二特征信息与第一攻击的第一特征信息匹配，对第二攻击，网络节点e2和c2的节点信息中存在第二特征信息与第二攻击的第一特征信息匹配；判断转发攻击报文的网络节点是否存在于所述边缘网络节点列表中，并判断转发攻击报文的网络节点是否为参考网络节点，将上述属于边缘网络节点列表的、转发攻击报文的、且为参考网络节点的网络节点作为攻击防御设备，例如所述边缘网络节点列表包括网络节点e1、e2、e3、e4和e5，且网络节点e1、e2、e3、e4和e5均为参考网络节点，通过上述过程的判断，网络节点e5转发第一攻击的攻击报文，网络节点e2转发第二攻击的攻击报文，将网络节点e5和网络节点e2作为攻击防御设备。

在进行ddos攻击防御时，为了平衡运营商网络的服务质量要求以及ddos攻击防御计算量需求，本发明实施例还提供一种攻击防御设备选择方法，以对相应的攻击防御设备进行优先处理：

当所述第二特征信息包括报文流量时，选择n个转发攻击报文流量最大的攻击防御设备，其中n≧1。在具体实施时，例如攻击防御设备e5上存在与第一攻击相匹配的转发报文，同时也存在第二攻击相匹配的转发报文，将所述第一攻击相匹配的转发报文对应报文流量与所述第二攻击相匹配的转发报文对应报文流量相加，从而得到所述攻击防御设备e5所转发攻击报文流量，当然如果所述攻击防御设备转发任意多个攻击的攻击报文时，同样以上述方式得到所述攻击防御设备转发攻击报文流量。按照转发攻击报文流量从大到小的顺序排列所述攻击防御设备，并从排列后的攻击防御设备中选择前n个攻击防御设备；控制器控制所述前n个攻击防御设备进行ddos攻击防御。

步骤s104：控制攻击防御设备根据所述第一特征信息过滤后续接收的攻击报文。

控制器根据所述第一特征信息向所述攻击防御设备发送过滤后续接收攻击报文的控制指令，所述控制指令包括攻击防御设备的网络标识，以及防御设置参数信息；其中，所述网络标识可以理解为网络地址或者id标识等，以保证控制器将所述控制命令发送至所述网络标识对应的攻击防御设备；所述防御设置参数信息包括urpf配置参数信息、流表配置参数信息、acl配置参数信息、vnf配置参数信息以及防火墙配置参数信息的一种或多种的组合。所述urpf配置参数信息用于配置攻击防御设备的urpf功能，所述流表配置参数信息用于配置攻击防御设备的流表操作，所述acl配置参数信息用于配置攻击防御设备的acl过滤功能，所述vnf配置参数信息包括host标识、资源规格、导流参数、镜像标识以及模板标识等，用于配置攻击防御设备的vnf防御功能，所述防火墙配置参数信息用于配置所述攻击防御设备的防火墙规则。

在具体实施时，控制器根据攻击信息中攻击报文的攻击类型，选择配置相应的防御策略。例如如果所述攻击类型为伪造源地址的ddos攻击，则可以设置urpf配置参数信息以过滤攻击报文；如果所述攻击类型为dns发射攻击，则可以设置acl配置参数信息来进行端口过滤以防御ddos攻击等。

而且，控制器还能够根据攻击防御设备所转发攻击报文的攻击类型，对每个攻击防御设备设置相应的防御策略。所述防御策略通过配置所述urpf配置参数信息、流表配置参数信息、acl配置参数信息、vnf配置参数信息以及防火墙配置参数信息中的一种或多种组合的方式实现。

当然在具体实施时，技术人员可以根据所述攻击防御设备的硬件和软件条件，ddos攻击防御的开销，以及攻击防御设备的负荷，选择配置所述urpf配置参数信息、流表配置参数信息、acl配置参数信息、vnf配置参数信息以及防火墙配置参数信息中的一种或多种组合。例如，如果所述攻击防御设备支持urpf配置，而不支持acl配置，则可以在所述网络节点上配置urpf参数，以执行urpf的防御策略；如果vnf防御策略需要耗费大量的资源，ddos攻击防御开销较大，可以在攻击防御设备上，选择使用开销较小的acl防御或者流表防御等；如果攻击防御设备的负荷较大，可以在所述攻击防御设备上选择使用占用资源较小的流表防御等。

由上述实施例可见，本发明实施例提供的ddos攻击防御方法，控制器接收攻击检测设备发送的攻击信息，所述攻击信息包括攻击的第一特征信息；获取多个网络节点的节点信息，每个网络节点的节点信息包括所述网络节点已经转发的报文的第二特征信息；逐一匹配所述第一特征信息与所述多个网络节点中每个网络节点的第二特征信息，根据匹配结果从参考网络节点中确定转发所述攻击报文且距离所述攻击报文的源头最近的网络节点作为攻击防御设备；最后控制器控制所述攻击防御设备根据所述第一特征信息过滤后续接收的攻击报文。在上述过程中，控制器在位于运营商网络边缘的网络节点上执行防御操作，将攻击报文拦截在运营商网络入口处，能够有效减少进入运营商网络内部的攻击报文，进而节约带宽资源，保证运营商网络内部的网络通畅。

为了提高攻击防御设备的确定效率，参见图4，为本发明实施例提供的一种攻击溯源方法的流程示意图，在图3所示的ddos攻击防御方法的基础上，本发明实施例示出了攻击溯源的过程：

在本发明实施例中，控制器首先获取位于运营商网络核心的多个网络节点的节点信息。

步骤s201：当所述第一特征信息与所述多个网络节点中第一网络节点的第二特征信息相匹配时，根据所述拓扑结构，确定与所述第一网络节点相连接的下游网络节点。

在具体实施时，网络节点c1位于运营商网络的核心层，获取网络节点c1的节点信息，且所述网络节点c1为所述第一网络节点；当所述第一特征信息与所述第二特征信息相匹配时，根据运营商网络的拓扑结构，确定所述第一网络节点的下游网络节点，由于网络节点c1的下游网络节点为网络节点c2、c3和c4，因此确定所述下游网络节点为网络节点c2、c3和c4。

步骤s202：获取下游网络节点的节点信息，所述节点信息包括下游网络节点已经转发的报文的第二特征信息。

获取下游网络节点c2、c3和c4的节点信息，所述下游网络节点c2的节点信息包括所述下游网络节点c2已经转发的报文的第二特征信息，所述下游网络节点c3的节点信息包括所述下游网络节点c3已经转发的报文的第二特征信息，所述下游网络节点c4的节点信息包括所述下游网络节点c4已经转发的报文的第二特征信息。

步骤s203：当所述第一特征信息与下游网络节点的第二特征信息相匹配，下游网络节点位于运营商网络边缘、且为参考网络节点时，将下游网络节点作为攻击防御设备。

当网络节点c3的节点信息所对应的第二特征信息与第一特征信息不匹配时，则无需对网络节点c3的下游网络节点继续溯源。

当网络节点c2的节点信息所对应的第二特征信息与第一特征信息相匹配时，由于网络节点c2不位于运营商网络边缘，需要继续溯源，则将网络节点c2作为第一网络节点；根据拓扑结构，确定网络节点c2的下游网络节点为网络节点e1、e2和e3；由于网络节点e1是目标主机的接入节点，攻击报文必然流过网络节点e1，因此不必获取网络节点e1的节点信息，而获取网络节点e2和e3的节点信息。网络节点e2和e3均存在于边缘网络节点列表中，但所述网络节点e3的第二特征信息与第一特征信息不匹配，即网络节点e3没有转发攻击报文，因此不将网络节点e3作为攻击防御设备；而网络节点e2的第二特征信息与第一特征信息相匹配，且网络节点e2为参考网络节点，能够进行ddos攻击防御，则将网络节点e2作为攻击防御设备。

由上述实施例可见，本发明实施例提供的ddos攻击防御方法，控制器从运营商网络核心层的网络节点进行逐个分支溯源，能迅速判断存在攻击报文的分支网络节点，从而确定距离攻击报文源头最近的网络节点作为攻击防御设备，有效提高ddos攻击防御效率。

参见图5，为本发明实施例提供的另一种攻击溯源方法的流程示意图，在图3所示的ddos攻击防御方法的基础上，本发明实施例示出了另一种攻击溯源的过程：

在本发明实施例中，控制器同样首先获取位于运营商网络核心的多个网络节点的节点信息。

步骤s301：当所述第一特征信息与所述多个网络节点中第一网络节点的第一特征信息相匹配时，根据所述拓扑结构，确定与所述第一网络节点相连接的下游网络节点。

网络节点c1位于运营商网络的核心层，获取网络节点c1的节点信息，且所述网络节点c1为所述第一网络节点；当所述第一特征信息与所述第二特征信息相匹配时，根据运营商网络的拓扑结构，确定所述第一网络节点的下游网络节点，由于网络节点c1的下游网络节点为网络节点c2、c3和c4，因此确定所述下游网络节点为网络节点c2、c3和c4。

步骤s302：获取所述下游网络节点的节点信息，所述节点信息包括所述下游网络节点已经转发的报文的第一特征信息。

获取下游网络节点c2、c3和c4的节点信息。

步骤s303：当所述第一特征信息与下游网络节点的第二特征信息相匹配，下游网络节点位于运营商网络边缘、且不为参考网络节点时，将所述第一网络节点作为攻击防御设备。

当网络节点c4的节点信息所对应的第二特征信息与第一特征信息相匹配时，由于网络节点c4不位于运营商网络边缘，需要继续溯源，则将网络节点c4作为第一网络节点，且网络节点c4为参考网络节点；根据拓扑结构，确定网络节点c4的下游网络节点为网络节点e5；网络节点e5存在于边缘网络节点列表中，且所述网络节点e5的第二特征信息与第一特征信息匹配，即网络节点e5转发了攻击报文，但是网络节点e5不是参考网络节点，即在网络节点e5上无法进行ddos攻击防御，则将第一网络节点即网络节点c4作为攻击防御设备，以在网络节点c4上进行防御。

由上述实施例可见，本发明实施例提供的ddos攻击防御方法，控制器从运营商网络核心层的网络节点进行逐个分支溯源，能迅速判断存在攻击报文的分支网络节点，当网络节点不具备攻击防御功能时，能够进一步确定距离攻击报文源头最近、且能够实施攻击防御的网络节点作为攻击防御设备，优化攻击防御方案，有效提高ddos攻击防御效率。

为了进一步提高攻击防御设备的确定效率，在图3所述的ddos攻击防御方法的基础上，本发明实施例示出了再一种攻击溯源的过程：

在本发明实施例中，所述控制器获取位于运营商网络边缘的网络节点发送的节点信息。由于网络节点e1为目标主机的接入网络节点，因此在具体实施时，可以获取除目标主机接入网络节点之外的网络节点的节点信息，即获取网络节点e2、e3、e4和e5的节点信息。

当所述第一特征信息与所述多个网络节点中第一网络节点的第二特征信息相匹配，且所述第一网络节点为参考网络节点时，将所述第一网络节点作为攻击防御设备。在具体实施时，第一网络节点为网络节点e2、e3、e4和e5中的任意一个；逐一匹配所述第一特征信息与所述第一网络节点的第二特征信息，确定转发攻击报文的网络节点，例如如果网络节点e3和e4的节点信息的第二特征信息均与所述第一特征信息不匹配，则忽略网络节点e3和e4，不在网络节点e3和e4上进行攻击防御；如果网络节点e2节点信息的第二特征信息与所述第一特征信息相匹配，且网络节点e2为参考网络节点，则将网络节点e2作为攻击防御设备。

由上述实施例可见，本发明实施例提供的一种ddos攻击防御方法，控制器从运营商网络边缘开始进行攻击溯源，确定攻击防御设备，只需分析计算较少网络节点的节点报文，有效降低运算量，进而提高攻击防御设备的确定效率。

参见图6，为本发明实施例提供的又一种攻击溯源方法的流程示意图，在图3所示的ddos攻击防御方法的基础上，本发明实施例示出了又一种攻击溯源的过程：

在本发明实施例中，所述控制器获取位于运营商网络边缘的网络节点发送的节点信息。由于网络节点e1为目标主机的接入网络节点，因此在具体实施时，可以获取除目标主机接入网络节点之外的网络节点的节点信息，即获取网络节点e2、e3、e4和e5的节点信息。

步骤s401：当所述第一特征信息与多个网络节点中第一网络节点的所述第二特征信息相匹配，且所述第一网络节点不为参考网络节点时，根据所述拓扑结构，确定与所述第一网络节点相连接的上游网络节点。

其中，第一网络节点为网络节点e2、e3、e4和e5中的任意一个；当第一网络节点为网络节点e5时，网络节点e5的第二特征信息与第一特征信息相匹配，但是由于网络节点e5不为参考网络节点，即无法在网络节点e5上进行攻击防御，则需要继续向上寻找转发攻击报文、且为参考网络节点的网络节点作为攻击防御设备。根据运营商网络的拓扑结构，网络节点e5的上游网络节点为c4。

步骤s402：获取上游网络节点的节点信息，所述节点信息包括上游网络节点已经转发的报文的第二特征信息。

由于网络节点e5的上游网络节点为网络节点c4，则进一步获取网络节点c4的节点信息，网络节点c4的节点信息包括网络节点c4已经转发的报文的第二特征信息。

步骤s403：当所述第一特征信息与上游网络节点的第二特征信息相匹配，且上游网络节点为参考网络节点时，将上游网络节点作为攻击防御设备。

如果网络节点c4的第二特征信息均与攻击的第一特征信息相匹配，且网络节点c4为参考网络节点，则将网络节点c4作为攻击防御设备。当然，如果网络节点c4不为参考网络节点，则继续向上溯源，例如确定网络节点c4的上游网络节点，按照上述方法，直到确定转发攻击报文的、且为参考网络节点的网络节点。

由上述实施例可见，本发明实施例提供的ddos攻击防御方法，从运营商网络边缘开始进行攻击溯源，当网络节点不具备ddos攻击防御功能时，能够进一步溯源从而确定最优的攻击防御设备，进而提高攻击防御效率。

通过以上的方法实施例的描述，所属领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：只读存储器(英文：read-onlymemory，简称：rom)、随机存取存储器(英文：randomaccessmemory，简称：ram)、磁碟或者光盘等各种可以存储程序代码的介质。

与本发明提供的ddos攻击防御方法实施例相对应，本发明还提供了一种ddos攻击防御装置。

参见图7，为本发明实施例提供的一种ddos攻击防御装置的结构示意图，该装置包括：

接收模块11，用于接收攻击检测设备发送的攻击信息，所述攻击信息包括攻击的第一特征信息；

获取模块12，用于获取多个网络节点的节点信息，每个网络节点的节点信息包括所述网络节点已经转发的报文的第二特征信息；

确定模块13，用于逐一匹配所述第一特征信息与所述多个网络节点中每个网络节点的第二特征信息，根据匹配结果从参考网络节点中确定转发所述攻击报文且距离所述攻击报文的源头最近的网络节点作为攻击防御设备，其中，所述参考网络节点为能够进行ddos攻击防御的网络节点；

控制模块14，用于控制攻击防御设备根据所述第一特征信息过滤后续接收的攻击报文。

当ddos攻击发生时，由于运营商网络内存在大量攻击报文，所述攻击检测设备检测得到的攻击信息可能包括大量攻击的第一特征信息，为了提高攻击信息的处理效率，所述接收模块11还用于：

当所述攻击信息包括多个攻击的第一特征信息，且所述第一特征信息包括攻击流量时，选择n个攻击流量最大的第一特征信息，其中n≧1。

所述接收模块11还用于当所述攻击信息包括被检测出的攻击报文的第一特征信息，且每个第一特征信息包括攻击流量和攻击目的地址时，选择攻击目的地址存在于预设防御列表中且攻击流量最大的n个第一特征信息，其中n≧1。

在具体实施时，所述获取模块12可以被动接收由网络节点主动上报的节点信息，或者在接收模块12接收到攻击信息之后，所述获取模块12主动控制网络节点上报节点信息。

为了实现所述获取模块12主动控制网络节点上报节点信息，所述获取模块12用于：

向所述多个网络节点发送上报指令，所述上报指令包括攻击时间，用于控制每个网络节点提取所述网络节点已经转发的对应所述攻击时间的报文第二特征信息，并将所述第二特征信息组织成向控制器返回的节点信息。

所述获取模块12可以一次获取运营商网络内全部网络节点的节点信息，或者获取位于运营商网络核心网络节点的节点信息，或者获取位于运营商网络边缘网络节点的节点信息。为了获取位于运营商网络核心网络节点的节点信息，所述获取模块12用于：

根据所述拓扑结构，确定位于运营商网络核心的多个网络节点；

获取所述多个网络节点的节点信息。

为了获取位于运营商网络边缘网络节点的节点信息，所述获取模块12用于：

根据运营商网络的拓扑结构，确定各个位于运营商网络边缘的多个网络节点；

获取所述多个网络节点的节点信息。

为了进行第一特征信息与第二特征信息的匹配，所述确定模块13用于：

当所述第一特征信息包括攻击的第一元组，所述第二特征信息包括转发报文的第二元组，且所述第一元组信息与所述第二元组相匹配时，所述第一特征信息与所述第二特征信息相匹配。

在进行ddos攻击防御时，运营商网络的服务质量要求与ddos攻击防御计算量需求通常存在矛盾，即为了防御ddos攻击而提高ddos攻击防御计算量，相应的运营商网络质量会受到影响，为了平衡这种矛盾，所述确定模块13还用于：

当所述第二特征信息包括报文流量时，确定转发所述攻击报文且距离所述攻击报文的源头最近的n个转发攻击报文流量最大的网络节点作为攻击防御设备，其中n≧1。

控制模块14根据确定模块13确定的n个攻击防御设备，对所述n个攻击防御设备进行优先处理。

由上述实施例可见，本发明实施例提供的ddos攻击防御装置，设置接收模块、获取模块、确定模块以及控制模块；接收模块，接收攻击检测设备发送的攻击信息，所述攻击信息包括攻击的第一特征信息；获取模块获取多个网络节点的节点信息，每个网络节点的节点信息包括所述网络节点已经转发的报文的第二特征信息；确定模块，逐一匹配所述第一特征信息与所述多个网络节点中每个网络节点的第二特征信息，确定转发所述攻击报文且距离所述攻击报文的源头最近的网络节点作为攻击防御设备；控制模块，控制攻击防御设备根据所述第一特征信息过滤后续接收的攻击报文。该装置在位于运营商网络边缘的网络节点上执行防御操作，将攻击报文拦截在运营商网络入口处，能够有效减少进入运营商网络内部的攻击报文，进而节约带宽资源，保证运营商网络内部的网络通畅。

为了提高攻击防御设备的确定效率，本发明实施例提供的装置从运营商网络核心层的网络节点开始进行攻击溯源时，确定模块13用于：

当所述第一特征信息与所述多个网络节点中第一网络节点的第二特征信息相匹配时，根据所述拓扑结构，确定与所述第一网络节点相连接的下游网络节点；所述第一网络节点为所述多个网络节点中的任意一个；

获取所述下游网络节点的节点信息，所述节点信息包括所述下游网络节点已经转发的报文的第二特征信息；

当所述第一特征信息与所述下游网络节点的第二特征信息相匹配，所述下游网络节点位于运营商网络边缘且为参考网络节点时，将所述下游网络节点作为攻击防御设备。

由上述实施例可见，本发明实施例提供的ddos攻击防御装置，确定模块13从运营商网络核心层的网络节点进行逐个分支溯源，能迅速判断存在攻击报文的分支网络节点，从而确定距离攻击报文源头最近的网络节点作为攻击防御设备，有效提高ddos攻击防御效率。

在一个实现方式中，本发明实施例的该装置从运营商网络核心层的网络节点开始进行攻击溯源时，确定模块13用于：

当所述第一特征信息与所述多个网络节点中第一网络节点的第一特征信息相匹配时，根据所述拓扑结构，确定与所述第一网络节点相连接的下游网络节点；所述第一网络节点为所述多个网络节点中的任意一个；

获取所述下游网络节点的节点信息，所述节点信息包括所述下游网络节点已经转发的报文的第一特征信息；

当所述第一特征信息与所述下游网络节点的第一特征信息相匹配，所述下游网络节点位于运营商网络边缘、且不为参考网络节点时，将所述第一网络节点作为攻击防御设备。

由上述实施例可见，本发明实施例提供的ddos攻击防御装置，确定模块13从运营商网络核心层的网络节点进行逐个分支溯源，能迅速判断存在攻击报文的分支网络节点，当网络节点不具备攻击防御功能时，能够进一步确定距离攻击报文源头最近、且能够实施攻击防御的网络节点作为攻击防御设备，优化攻击防御方案，有效提高ddos攻击防御效率

在另一个实现方式中，图7所示装置从运营商网络边缘开始进行攻击溯源时，确定模块13用于：

当所述第一特征信息与所述多个网络节点中第一网络节点的第二特征信息相匹配，且所述第一网络节点为参考网络节点时，将所述第一网络节点作为攻击防御设备；所述第一网络节点为所述多个网络节点中的任意一个。

由上述实施例可见，本发明实施例提供的ddos攻击防御装置，确定模块13在运营商网络边缘上进行溯源判断，确定攻击防御设备，只需分析计算较少网络节点的节点报文，有效降低运算量，进而提高攻击防御设备的确定效率。

在再一个实现方式中，图7所示装置从运营商网络边缘开始进行攻击溯源时，确定模块13用于：

当所述第一特征信息与所述多个网络节点中第一网络节点的第二特征信息相匹配，且所述第一网络节点不为参考网络节点时，根据所述拓扑结构，确定与所述第一网络节点相连接的上游网络节点，所述第一网络节点为所述多个网络节点中的任意一个；

获取所述上游网络节点的节点信息，所述节点信息包括所述上游网络节点已经转发的报文的第二特征信息；

当所述第一特征信息与所述上游网络节点的第二特征信息相匹配，且所述上游网络节点为参考网络节点时，将所述上游网络节点作为攻击防御设备。

由上述实施例可见，本发明实施例提供的ddos攻击防御装置，确定模块13从运营商网络边缘开始进行攻击溯源，当网络节点不具备ddos攻击防御功能时，能够进一步溯源从而确定最优的攻击防御设备，进而提高攻击防御效率。

参见图8，为本发明实施例提供的一种ddos攻击防御系统的结构示意图，该系统包括攻击检测设备41、控制器42以及网络节点43，其中：

所述攻击检测设备41，用于生成攻击信息，将所述攻击信息发送至控制器，所述攻击信息包括攻击的第一特征信息；

所述网络节点42，用于生成节点信息，将所述节点信息发送至控制器，每个网络节点的节点信息包括所述网络节点已经转发的报文的第二特征信息；

所述控制器43，用于接收攻击检测设备41发送的攻击信息以及各个网络节点发送的节点信息；逐一匹配所述第一特征信息与所述多个网络节点中每个网络节点的第二特征信息，根据匹配结果从参考网络节点中确定转发所述攻击报文且距离所述攻击报文的源头最近的网络节点作为攻击防御设备，其中，所述参考网络节点为能够进行ddos攻击防御的网络节点；控制攻击防御设备根据所述第一特征信息过滤后续接收的攻击报文。

由上述实施例可见，本发明实施例提供的ddos攻击防御系统，该系统能够在位于运营商网络边缘的网络节点上执行防御操作，将攻击报文拦截在运营商网络入口处，能够有效减少进入运营商网络内部的攻击报文，节约带宽资源，进而保证运营商网络内部的网络通畅。

图9为本发明实施例提供的一种用于ddos攻击防御的控制装置结构框图。该控制装置500可以被提供为一服务器。参照图9，控制装置500包括处理组件510，其进一步包括一个或多个处理器，以及由存储器520所代表的存储器资源，用于存储可由处理组件510的执行的指令，例如应用程序。存储器520中存储的应用程序可以包括一个或一个以上的模块，每个模块对应一组指令。此外，处理组件510被配置为执行指令，以执行上述ddos攻击防御方法及其各种实现方式。

控制装置500还可以包括一个电源组件530被配置为执行控制装置500的电源管理，一个有线或无线网络接口540被配置为将控制装置500连接到网络，和一个输入输出(i/o)接口550。控制装置500可以操作存储在存储器520的操作系统，例如windowsservertm，macosxtm，unixtm,linuxtm，freebsdtm或类似。

本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于装置或系统实施例而言，由于其基本相似于方法实施例，所以描述得比较简单，相关之处参见方法实施例的部分说明即可。以上所描述的装置及系统实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。

需要说明的是，在本文中，诸如“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

以上所述仅是本发明的具体实施方式，使本领域技术人员能够理解或实现本发明。对这些实施例的多种修改对本领域的技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本发明的范围的情况下，在其它实施例中实现。