一种DDoS攻击的防御方法、系统及相关设备与流程

本发明涉及互联网技术领域，尤其涉及一种DDoS攻击的防御方法、系统及相关设备。

背景技术：

分布式拒绝服务(Distributed Denial of Service，DDoS)即为：利用分布式的客户端，向服务提供者发起大量看似合法的请求，消耗或者长期占用大量资源，从而达到拒绝服务的目的。DDOS的攻击方式有很多种，最基本的DDOS攻击方式包括：利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务的响应，或者，通过短时间内发送海量数据包阻塞互联网数据中心(Internet Data Center，IDC)的上游通信链路，导致可用带宽大幅减小，造成正常业务流量陡降，从而达到拒绝服务的目的。因此，如何对DDoS攻击进行及时地防御已成为亟待解决的问题。

技术实现要素：

本发明实施例提供了一种DDoS攻击的防御方法、系统及相关设备，可以提高对DDoS攻击进行防御时的及时性和灵活性。

本发明实施例第一方面提供了一种DDoS攻击的防御方法，包括：

分布式拒绝服务DDoS封堵设备接收DDoS检测设备发送的DDoS攻击告警数据，所述DDoS攻击告警数据由所述DDoS检测设备通过对流入机房的业务流量进行解析得到。

所述DDoS封堵设备将所述DDoS攻击告警数据与DDoS封堵规则进行匹配，获取针对所述DDoS攻击告警数据对应的业务流量的封堵策略。

所述DDoS封堵设备根据所述封堵策略对所述DDoS攻击告警数据对应的业务流量进行封堵。

本发明实施例第二方面提供了一种DDoS攻击的防御方法，包括：

DDoS检测设备获取流入机房的业务流量。

所述DDoS检测设备对所述业务流量进行解析得到DDoS攻击告警数据。

所述DDoS检测设备向DDoS封堵设备发送所述DDoS攻击告警数据，以使得所述DDoS封堵设备根据DDoS封堵规则确定针对所述DDoS攻击告警数据对应的业务流量的封堵策略，并根据所述封堵策略对所述DDoS攻击告警数据对应的业务流量进行封堵。

本发明实施例第三方面提供了一种DDoS封堵设备，包括：

接收模块，用于接收DDoS检测设备发送的DDoS攻击告警数据，所述DDoS攻击告警数据由所述DDoS检测设备通过对流入机房的业务流量进行解析得到。

获取模块，用于将所述DDoS攻击告警数据与DDoS封堵规则进行匹配，获取针对所述DDoS攻击告警数据对应的业务流量的封堵策略。

封堵模块，用于根据所述封堵策略对所述DDoS攻击告警数据对应的业务流量进行封堵。

本发明实施例第四方面提供了一种DDoS检测设备，包括：

获取模块，用于获取流入机房的业务流量。

解析模块，用于对所述业务流量进行解析得到DDoS攻击告警数据。

发送模块，用于向DDoS封堵设备发送所述DDoS攻击告警数据，以使得所述DDoS封堵设备根据DDoS封堵规则确定针对所述DDoS攻击告警数据对应的业务流量的封堵策略，并根据所述封堵策略对所述DDoS攻击告警数据对应的业务流量进行封堵。

本发明实施例第五方面提供了一种DDoS攻击的防御系统，包括：上述第三方面所述的DDoS封堵设备和上述第四方面所述的DDoS检测设备。

本发明实施例中，DDoS封堵设备接收DDoS检测设备发送的DDoS攻击告警数据，该DDoS攻击告警数据由DDoS检测设备通过对流入机房的业务流量进行解析得到，DDoS封堵设备将该DDoS攻击告警数据与DDoS封堵规则进行匹配，获取针对该DDoS攻击告警数据对应的业务流量的封堵策略，进而根据该封堵策略对该DDoS攻击告警数据对应的业务流量进行封堵，可以提高对DDoS攻击进行防御时的及时性和灵活性。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明实施例提供的一种DDoS攻击的防御系统的架构示意图；

图2是本发明实施例提供的一种DDoS攻击的防御方法的流程示意图；

图3是本发明实施例提供的一种DDoS封堵设备的结构示意图；

图4是本发明实施例提供的另一种DDoS封堵设备的结构示意图；

图5是本发明实施例提供的一种DDoS检测设备的结构示意图；

图6是本发明实施例提供的另一种DDoS检测设备的结构示意图；

图7是本发明实施例提供的一种DDoS攻击的防御系统的结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

请参阅图1，为本发明实施例提供的一种DDoS攻击的防御系统的架构示意图。本实施例中所描述的DDoS攻击的防御系统的架构，包括：客户端、运营商、机房、DDoS检测集群和DDoS封堵系统，其中：

运营商具体可以是互联网服务提供商(Internet Service Provider，ISP)。

机房至少包括路由器/交换机和业务服务器，路由器具体可以是机房的入口路由器，例如腾讯公网交换平台(Tencent Internet Exchange，TIX)，交换机具体可以是机房的核心交换机，例如外网核心(Wan Core，WC)。

DDoS检测集群具体可以部署在机房入口处，用于对流入机房的业务流量进行旁路实时镜像分析。

DDoS封堵系统用于根据DDoS检测集群对业务流量的监测分析结果实施业务流量的封堵。

具体实现中，来自客户端的业务流量通过运营商网络到达机房入口，由机房入口路由器或者核心交换机等网络设备转发给业务服务器，同时业务流量在到达机房入口路由器或者核心交换机时，可以通过分光器等设备实时地将业务流量镜像一份并发送给DDoS检测集群，DDoS检测集群按照网络协议栈的规范对业务流量进行逐个数据包的解析，提取出来自DDoS攻击的数据包，并汇总生成DDoS攻击告警数据，将DDoS攻击告警数据发送给DDoS封堵系统进行处理，DDoS封堵系统利用制定的DDoS封堵规则对DDoS攻击告警数据进行封堵判定，包括通知机房中的机房入口路由器或者核心交换机将DDoS攻击告警数据对应的业务流量丢弃，而不向机房内的其它网络设备/业务服务器转发，或者，联合运营商将DDoS攻击告警数据对应的业务流量在达到机房之前丢弃，例如在骨干网(如省级骨干网)的路由器上将DDoS攻击告警数据对应的业务流量丢弃。

请参阅图2，为本发明实施例提供的一种DDoS攻击的防御方法的流程示意图。本实施例中所描述的DDoS攻击的防御方法，包括：

201、DDoS检测设备获取流入机房的业务流量。

其中，DDoS检测设备一般可以部署在机房入口处，并可以部署多个DDoS检测设备组成DDoS检测集群。

具体实现中，业务流量达到机房的同时，可以通过分光器实时地将业务流量镜像一份给到DDoS检测设备。

202、所述DDoS检测设备对所述业务流量进行解析得到DDoS攻击告警数据。

具体实现中，DDoS检测设备按照网络协议栈的规范对业务流量进行逐个数据包的解析，提取出来自DDoS攻击的数据包，并汇总生成DDoS攻击告警数据，DDoS攻击告警数据可以包括：攻击时间、攻击类型、目的互联网协议(Internet Protocol，IP)、攻击位置(如攻击的机房、运营商)、对应的业务流量大小。网络协议栈可以包括：传输控制协议(Transmission Control Protocol，TCP)/IP，用户数据报协议(User Datagram Protocol，UDP)等。

203、所述DDoS检测设备向DDoS封堵设备发送所述DDoS攻击告警数据。

204、所述DDoS封堵设备接收所述DDoS攻击告警数据。

其中，DDoS封堵设备对应构成DDoS封堵系统。

在一些可行的实施方式中，DDoS检测设备和DDoS封堵设备也可以集成部署，即将DDoS检测和DDoS封堵集成到同一台设备上实施。

205、所述DDoS封堵设备将所述DDoS攻击告警数据与DDoS封堵规则进行匹配，获取针对所述DDoS攻击告警数据对应的业务流量的封堵策略。

其中，可以根据客户类型设置相应的封堵阈值，如果进行DDoS攻击的业务流量达到或超过该封堵阈值，则表明客户正在进行的业务受到严重威胁。封堵阈值具体可以用带宽表征，例如兆比特每秒Mbps。可以是普通客户对应默认的封堵阈值，普通客户中还可以根据客户的用户数量区分大客户和小客户，大客户和小客户可以分别对应有默认的封堵阈值，对于特殊客户(如VIP客户、边界网关协议(Border Gateway Protocol，BGP)高防客户)可以单独设置其封堵阈值，实现封堵阈值的个性化定制，例如根据客户购买的带宽设置其封堵阈值。当然，也可以允许普通客户申请单独设置其封堵阈值，或者通过付费实现单独设置其封堵阈值。此外，机房可以根据其带宽利用情况设置一安全阈值，如果进行DDoS攻击的业务流量达到或超过该安全阈值，则表明机房对应的云平台的稳定性受到严重威胁。封堵策略可以包括封堵类型、封堵位置、目的IP等，封堵类型包括通知机房执行封堵和联合运营商执行封堵，封堵位置即待封堵的机房、运营商出口等。

具体实现中，DDoS封堵设备可以基于DDoS攻击告警数据对应的目的IP进行封堵判定，具体包括：DDoS封堵设备确定DDoS攻击告警数据的目的IP对应的客户类型，获取该客户类型对应的封堵阈值，如果是特殊客户，则从云平台获取相应的封堵阈值。DDoS封堵设备将目的IP的业务流量与封堵阈值和机房的安全阈值进行比较，如果目的IP的业务流量大于或等于封堵阈值，且小于机房的安全阈值，则表明客户正在进行的业务受到严重威胁，DDoS封堵设备确定针对DDoS攻击告警数据对应的业务流量的封堵策略为通知机房对目的IP的业务流量进行封堵。

进一步的，如果目的IP的业务流量大于或等于机房的安全阈值，则表明当前被攻击客户会对其它客户的业务造成严重影响，即机房对应的云平台的稳定性受到严重威胁，此时DDoS封堵设备确定针对DDoS攻击告警数据对应的业务流量的封堵策略为联合运营商对目的IP的业务流量进行封堵，即将目的IP的业务流量在达到机房之前丢弃。

在一些可行的实施方式中，针对需单独设置封堵阈值的客户，如果DDoS封堵设备从云平台无法获取到相对应的封堵阈值，则DDoS封堵设备对本次接收到的DDoS攻击告警数据不作处理，以避免出现对非DDoS攻击的业务流量进行封堵而引起DDoS封堵系统出现运行异常等情况，以保证DDoS封堵系统的稳定性和可靠性。

同时，DDoS封堵设备可以基于机房运营商出口进行封堵判定，针对机房连接的运营商分别根据其带宽利用情况设置相应的封堵阈值，如果流经一运营商出口进行DDoS攻击的业务流量达到或超过该运营商对应的封堵阈值，表明通过该运营商的业务受到严重影响，此时认为机房对应的云平台的稳定性受到严重威胁。具体包括：针对机房的任意一个运营商出口，假设针对其中的目标运营商出口，DDoS封堵设备获取告警时间相同的DDoS攻击告警数据对应的多个目的IP，将该多个目的IP的业务流量的和与目标运营商对应的封堵阈值进行比较，如果该多个目的IP的业务流量的和大于或等于该封堵阈值，则表明机房对应的云平台的稳定性受到严重威胁，此时DDoS封堵设备获取该多个目的IP分别对应的客户类型和业务流量大小，客户类型包括客户优先级、付费情况等，再根据客户优先级、付费情况、业务流量大小等因素进行封堵优先级排名，选取封堵优先级较高的预设数量的目的IP进行封堵，从而从该多个目的IP中确定出了待封堵的目的IP，并且确定针对DDoS攻击告警数据对应的业务流量的封堵策略为联合运营商对待封堵的目的IP的业务流量进行封堵，即将待封堵的目的IP的业务流量在达到机房之前丢弃。

206、所述DDoS封堵设备根据所述封堵策略对所述DDoS攻击告警数据对应的业务流量进行封堵。

具体实现中，DDoS封堵设备根据封堵策略包括的封堵类型、封堵位置、目的IP等信息执行封堵操作，包括：封堵类型为通知机房执行封堵时，DDoS封堵设备通过封堵接口向机房的入口路由器或者核心交换机下发携带封堵位置、目的IP等信息的封堵指令，从而机房的入口路由器或者核心交换机将该封堵位置处目的IP的业务流量丢弃；封堵类型为联合运营商执行封堵时，DDoS封堵设备调用运营商提供的封堵接口，根据该封堵位置将该目的IP或者该待封堵的目的IP的业务流量在达到机房之前丢弃，例如在省级骨干网的路由器上将业务流量丢弃。

在一些可行的实施方式中，DDoS封堵设备可以将封堵结果(包括封堵时间、封堵的业务类型和流量大小等)推送给客户，便于客户及时获知封堵情况，以及对相关受影响的业务进行及时调整。当然，客户也可以选择是否开通封堵结果推送业务，以及只接收指定的封堵类型的封堵结果。此外，DDoS封堵设备还可以将封堵出现异常(例如封堵失败)的情况推送给运维平台，便于运维人员及时掌握封堵异常的情况，并及时跟进处理，进一步保证DDoS封堵系统的可靠性和稳定性。

本发明实施例中，DDoS检测设备对流入机房的业务流量进行解析得到DDoS攻击告警数据，并向DDoS封堵设备发送DDoS攻击告警数据，DDoS封堵设备将该DDoS攻击告警数据与DDoS封堵规则进行匹配，获取针对该DDoS攻击告警数据对应的业务流量的封堵策略，进而根据该封堵策略对该DDoS攻击告警数据对应的业务流量进行封堵，可以提高对DDoS攻击进行防御时的及时性和灵活性，从而提高云平台的鲁棒性。

请参阅图3，为本发明实施例提供的一种DDoS封堵设备的结构示意图。本实施例中所描述的DDoS封堵设备，包括：

接收模块301，用于接收DDoS检测设备发送的DDoS攻击告警数据，所述DDoS攻击告警数据由所述DDoS检测设备通过对流入机房的业务流量进行解析得到。

获取模块302，用于将所述DDoS攻击告警数据与DDoS封堵规则进行匹配，获取针对所述DDoS攻击告警数据对应的业务流量的封堵策略。

封堵模块303，用于根据所述封堵策略对所述DDoS攻击告警数据对应的业务流量进行封堵。

在一些可行的实施方式中，所述获取模块302包括：

获取单元3020，用于确定所述DDoS攻击告警数据的目的IP对应的客户类型，获取所述客户类型对应的封堵阈值。

比较单元3021，用于将所述目的IP的业务流量与所述封堵阈值和所述机房的安全阈值进行比较。

确定单元3022，用于若所述目的IP的业务流量大于或等于所述封堵阈值，且小于所述安全阈值，则确定针对所述DDoS攻击告警数据对应的业务流量的封堵策略为通知所述机房对所述目的IP的业务流量进行封堵。

在一些可行的实施方式中，所述确定单元3022，还用于若所述目的IP的业务流量大于或等于所述安全阈值，则确定针对所述DDoS攻击告警数据对应的业务流量的封堵策略为联合运营商对所述目的IP的业务流量进行封堵。

在一些可行的实施方式中，所述获取单元3020，用于针对所述机房的目标运营商出口，获取告警时间相同的DDoS攻击告警数据对应的多个目的IP，所述目标运营商出口为所述机房包括的运营商出口中的任意一个。

所述比较单元3021，用于将所述多个目的IP的业务流量的和与所述目标运营商对应的封堵阈值进行比较。

所述确定单元3022，用于若所述多个目的IP的业务流量的和大于或等于所述封堵阈值，则根据所述多个目的IP分别对应的客户类型和业务流量大小，从所述多个目的IP中确定出待封堵的目的IP。

所述确定单元3022，还用于确定针对所述DDoS攻击告警数据对应的业务流量的封堵策略为联合运营商对所述待封堵的目的IP的业务流量进行封堵。

可以理解的是，本实施例的DDoS封堵设备的各功能模块、单元的功能可根据上述方法实施例中的方法具体实现，其具体实现过程可以参照上述方法实施例的相关描述，此处不再赘述。

本发明实施例中，DDoS封堵设备接收DDoS检测设备发送的DDoS攻击告警数据，该DDoS攻击告警数据由DDoS检测设备通过对流入机房的业务流量进行解析得到，DDoS封堵设备将该DDoS攻击告警数据与DDoS封堵规则进行匹配，获取针对该DDoS攻击告警数据对应的业务流量的封堵策略，进而根据该封堵策略对该DDoS攻击告警数据对应的业务流量进行封堵，可以提高对DDoS攻击进行防御时的及时性和灵活性，从而提高云平台的鲁棒性。

请参阅图4，为本发明实施例提供的另一种DDoS封堵设备的结构示意图。本实施例中所描述的DDoS封堵设备，包括：处理器401、网络接口402及存储器403。其中，处理器401、网络接口402及存储器403可通过总线或其他方式连接，本发明实施例以通过总线连接为例。

其中，处理器401(或称中央处理器(Central Processing Unit，CPU))是DDoS封堵设备的计算核心以及控制核心。网络接口402可选的可以包括标准的有线接口、无线接口(如WI-FI、移动通信接口等)，受处理器401的控制用于收发数据。存储器403(Memory)是DDoS封堵设备的记忆设备，用于存放程序和数据。可以理解的是，此处的存储器403可以是高速RAM存储器，也可以是非不稳定的存储器(non-volatile memory)，例如至少一个磁盘存储器；可选的还可以是至少一个位于远离前述处理器401的存储装置。存储器403提供存储空间，该存储空间存储了DDoS封堵设备的操作系统和可执行程序代码，可包括但不限于：Windows系统(一种操作系统)、Linux(一种操作系统)系统等等，本发明对此并不作限定。

在本发明实施例中，处理器401通过运行存储器403中的可执行程序代码，执行如下操作：

网络接口402，用于接收DDoS检测设备发送的DDoS攻击告警数据，所述DDoS攻击告警数据由所述DDoS检测设备通过对流入机房的业务流量进行解析得到。

处理器401，用于将所述DDoS攻击告警数据与DDoS封堵规则进行匹配，获取针对所述DDoS攻击告警数据对应的业务流量的封堵策略。

所述处理器401，还用于根据所述封堵策略对所述DDoS攻击告警数据对应的业务流量进行封堵。

在一些可行的实施方式中，所述处理器401，具体用于：

确定所述DDoS攻击告警数据的目的IP对应的客户类型，获取所述客户类型对应的封堵阈值。

将所述目的IP的业务流量与所述封堵阈值和所述机房的安全阈值进行比较。

若所述目的IP的业务流量大于或等于所述封堵阈值，且小于所述安全阈值，则确定针对所述DDoS攻击告警数据对应的业务流量的封堵策略为通知所述机房对所述目的IP的业务流量进行封堵。

在一些可行的实施方式中，所述处理器401，具体还用于：若所述目的IP的业务流量大于或等于所述安全阈值，则确定针对所述DDoS攻击告警数据对应的业务流量的封堵策略为联合运营商对所述目的IP的业务流量进行封堵。

在一些可行的实施方式中，所述处理器401，具体用于：

针对所述机房的目标运营商出口，获取告警时间相同的DDoS攻击告警数据对应的多个目的IP，所述目标运营商出口为所述机房包括的运营商出口中的任意一个。

将所述多个目的IP的业务流量的和与所述目标运营商对应的封堵阈值进行比较。

若所述多个目的IP的业务流量的和大于或等于所述封堵阈值，则根据所述多个目的IP分别对应的客户类型和业务流量大小，从所述多个目的IP中确定出待封堵的目的IP。

确定针对所述DDoS攻击告警数据对应的业务流量的封堵策略为联合运营商对所述待封堵的目的IP的业务流量进行封堵。

具体实现中，本发明实施例中所描述的处理器401、网络接口402及存储器403可执行本发明实施例提供的一种DDoS攻击的防御方法中所描述实现方式，也可执行本发明实施例提供的一种DDoS封堵设备中所描述的实现方式，在此不再赘述。

本发明实施例中，DDoS封堵设备接收DDoS检测设备发送的DDoS攻击告警数据，该DDoS攻击告警数据由DDoS检测设备通过对流入机房的业务流量进行解析得到，DDoS封堵设备将该DDoS攻击告警数据与DDoS封堵规则进行匹配，获取针对该DDoS攻击告警数据对应的业务流量的封堵策略，进而根据该封堵策略对该DDoS攻击告警数据对应的业务流量进行封堵，可以提高对DDoS攻击进行防御时的及时性和灵活性，从而提高云平台的鲁棒性。

请参阅图5，为本发明实施例提供的一种DDoS检测设备的结构示意图。本实施例中所描述的DDoS检测设备，包括：

获取模块501，用于获取流入机房的业务流量。

解析模块502，用于对所述业务流量进行解析得到DDoS攻击告警数据。

发送模块503，用于向DDoS封堵设备发送所述DDoS攻击告警数据，以使得所述DDoS封堵设备根据DDoS封堵规则确定针对所述DDoS攻击告警数据对应的业务流量的封堵策略，并根据所述封堵策略对所述DDoS攻击告警数据对应的业务流量进行封堵。

在一些可行的实施方式中，所述解析模块502，具体用于：

根据网络协议栈的规范对所述业务流量进行数据包的解析，生成DDoS攻击告警数据。

可以理解的是，本实施例的DDoS检测设备的各功能模块、单元的功能可根据上述方法实施例中的方法具体实现，其具体实现过程可以参照上述方法实施例的相关描述，此处不再赘述。

本发明实施例中，DDoS检测设备对流入机房的业务流量进行解析得到DDoS攻击告警数据，并向DDoS封堵设备发送DDoS攻击告警数据，使得DDoS封堵设备根据DDoS封堵规则确定针对该DDoS攻击告警数据对应的业务流量的封堵策略，并根据该封堵策略对该DDoS攻击告警数据对应的业务流量进行封堵，可以提高对DDoS攻击进行防御时的及时性和灵活性，从而提高云平台的鲁棒性。

请参阅图6，为本发明实施例提供的另一种DDoS检测设备的结构示意图。本实施例中所描述的DDoS检测设备，包括：处理器601、网络接口602及存储器603。其中，处理器601、网络接口602及存储器603可通过总线或其他方式连接，本发明实施例以通过总线连接为例。

其中，处理器601(或称中央处理器(Central Processing Unit，CPU))是DDoS检测设备的计算核心以及控制核心。网络接口602可选的可以包括标准的有线接口、无线接口(如WI-FI、移动通信接口等)，受处理器601的控制用于收发数据。存储器603(Memory)是DDoS检测设备的记忆设备，用于存放程序和数据。可以理解的是，此处的存储器603可以是高速RAM存储器，也可以是非不稳定的存储器(non-volatile memory)，例如至少一个磁盘存储器；可选的还可以是至少一个位于远离前述处理器601的存储装置。存储器603提供存储空间，该存储空间存储了DDoS检测设备的操作系统和可执行程序代码，可包括但不限于：Windows系统(一种操作系统)、Linux(一种操作系统)系统等等，本发明对此并不作限定。

在本发明实施例中，处理器601通过运行存储器603中的可执行程序代码，执行如下操作：

网络接口602，用于获取流入机房的业务流量。

处理器601，用于对所述业务流量进行解析得到DDoS攻击告警数据。

所述网络接口602，还用于向DDoS封堵设备发送所述DDoS攻击告警数据，以使得所述DDoS封堵设备根据DDoS封堵规则确定针对所述DDoS攻击告警数据对应的业务流量的封堵策略，并根据所述封堵策略对所述DDoS攻击告警数据对应的业务流量进行封堵。

在一些可行的实施方式中，所述处理器601，具体用于：

根据网络协议栈的规范对所述业务流量进行数据包的解析，生成DDoS攻击告警数据。

具体实现中，本发明实施例中所描述的处理器601、网络接口602及存储器603可执行本发明实施例提供的一种DDoS攻击的防御方法中所描述实现方式，也可执行本发明实施例提供的一种DDoS检测设备中所描述的实现方式，在此不再赘述。

本发明实施例中，DDoS检测设备对流入机房的业务流量进行解析得到DDoS攻击告警数据，并向DDoS封堵设备发送DDoS攻击告警数据，使得DDoS封堵设备根据DDoS封堵规则确定针对该DDoS攻击告警数据对应的业务流量的封堵策略，并根据该封堵策略对该DDoS攻击告警数据对应的业务流量进行封堵，可以提高对DDoS攻击进行防御时的及时性和灵活性，从而提高云平台的鲁棒性。

请参阅图7，为本发明实施例提供的一种DDoS攻击的防御系统的结构示意图。本实施例中所描述的DDoS攻击的防御系统，包括：DDoS检测设备701和DDoS封堵设备702，其中：

DDoS检测设备701，用于获取流入机房的业务流量。

所述DDoS检测设备701，还用于对所述业务流量进行解析得到DDoS攻击告警数据。

所述DDoS检测设备701，还用于向DDoS封堵设备702发送所述DDoS攻击告警数据。

所述DDoS封堵设备702，用于接收所述DDoS攻击告警数据。

所述DDoS封堵设备702，还用于将所述DDoS攻击告警数据与DDoS封堵规则进行匹配，获取针对所述DDoS攻击告警数据对应的业务流量的封堵策略。

所述DDoS封堵设备702，还用于根据所述封堵策略对所述DDoS攻击告警数据对应的业务流量进行封堵。

可以理解的是，本实施例的DDoS检测设备701和DDoS封堵设备702的功能可根据上述方法实施例中的方法具体实现，其具体实现过程可以参照上述方法实施例的相关描述，此处不再赘述。

本发明实施例中，DDoS检测设备对流入机房的业务流量进行解析得到DDoS攻击告警数据，并向DDoS封堵设备发送DDoS攻击告警数据，DDoS封堵设备将该DDoS攻击告警数据与DDoS封堵规则进行匹配，获取针对该DDoS攻击告警数据对应的业务流量的封堵策略，进而根据该封堵策略对该DDoS攻击告警数据对应的业务流量进行封堵，可以提高对DDoS攻击进行防御时的及时性和灵活性，从而提高云平台的鲁棒性。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于一计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory，ROM)或随机存储记忆体(Random Access Memory，RAM)等。

以上所揭露的仅为本发明一种较佳实施例而已，当然不能以此来限定本发明之权利范围，本领域普通技术人员可以理解实现上述实施例的全部或部分流程，并依本发明权利要求所作的等同变化，仍属于发明所涵盖的范围。