网络攻击的处理方法、装置和系统及安全设备与流程

本发明涉及网络安全领域，具体而言，涉及一种网络攻击的处理方法、装置和系统及安全设备。

背景技术：

随着互联网技术的发展，网络已经成为人们生活和工作不可缺少的一部分。互联网用户通过计算机网络可以获取海量信息，并方便地与其他用户进行沟通和交流，实现信息资源的共享。然而，计算机网络技术的快速发展，使得网络环境变得越来越复杂，网络安全问题日益突出，例如，软件漏洞、黑客入侵、病毒木马等，严重影响了人们的正常活动。

目前，分布式拒绝服务(Distributed Denial of Service，DDoS)攻击是是一种特殊形式的拒绝服务攻击，是一种分布、协作的大规模攻击方式，主要瞄准公有云或者比较大的站点(例如，商业公司、搜索引擎或政府部门的站点)。其最主要特点在于超大攻击流量将被攻击公有云、站点的网络出口带宽占满并产生网络拥塞，导致正常业务流量被丢弃而直接对业务造成中断影响。DDoS攻击是危害最大、最易于达到攻击效果、最难以抵御和追踪的一种拒绝服务攻击，至今为止没有一种产品能够非常好的抵抗这类攻击，DDoS攻击是互联网面临的主要威胁。

现有技术主要采用建设高防节点的方案，来抵抗DDoS攻击。具体地，通过以下几个步骤来完成：①建设若干个高防节点，并申请当地运营商的大容量静态带宽；②使得需要防御能力的站点预申请高防节点向外部暴露的虚拟IP，用以承载攻击流量；③高防节点内的清洗设备对攻击流量进行清洗，并把正常流量转发到LVS(Linux虚拟服务器)设备；④LVS设备对正常流量的源和目的IP地址进行转换，并把转换后的流量通过公网发向真正的站点。

采用上述建设高防节点的方案，由于高防节点需要非常集中地承载所有攻击流量，对运营商接入节点的网络带宽压力非常大，因而能够满足部署条件的运营商节点数量较少，另外，由于高防节点与真实用户的物理距离较远，使流量在互联网上迂回，会导致正常流量的流量时延增加；并且高防节点只能针对预定义的少量站点IP提供防护能力，所以无法满足公有云海量用户的需求。

针对上述现有抵抗DDoS攻击的方案对运营商网络带宽要求高且存在流量时延的问题，目前尚未提出有效的解决方案。

技术实现要素：

本发明实施例提供了一种网络攻击的处理方法、装置和系统及安全设备，以至少解决现有抵抗DDoS攻击的方案对运营商网络带宽要求高且存在流量时延的技术问题。

根据本发明实施例的一个方面，提供了一种安全设备，包括：输入接口，用于获取主站的流量信息，其中，主站为用于提供云平台或各种网站的服务器；处理单元，用于根据主站的流量信息确定发出了网络攻击的攻击源；输出接口，用于下发清洗指令，其中，清洗指令用于指示执行清洗操作，清洗攻击源输出的流量信息。

根据本发明实施例的另一方面，还提供了一种网络攻击的处理方法，包括：获取主站的流量信息，其中，主站为用于提供云平台或各种网站的服务器；根据主站的流量信息确定发出了网络攻击的攻击源；向攻击源的防护系统下发清洗指令，其中，清洗指令用于指示执行清洗操作，清洗攻击源输出的流量信息。

根据本发明实施例的另一方面，还提供了一种网络攻击的处理方法，包括：获取来自至少一个通信服务器的流量信息，其中，发出网络攻击的通信服务器为攻击源；将流量信息发送至攻击检测设备，其中，攻击检测设备根据流量信息确定发出了网络攻击的攻击源，并向攻击源的防护系统下发清洗指令，其中，清洗指令用于指示执行清洗操作，清洗攻击源输出的流量信息；接收防护系统清洗后的流量。

根据本发明实施例的另一方面，还提供了一种网络攻击的处理系统，包括：防护系统，连接至少一个通信服务器，其中，发出网络攻击的通信服务器为攻击源；主站，与至少一个通信服务器通信，用于部署至少一个业务服务器，其中，主站为用于提供云平台或各种网站的服务器；安全设备，与至少一个业务服务器连接，用于在业务服务器接收到网络攻击的情况下，根据主站的流量信息确定发出了网络攻击的攻击源，并向攻击源的防护系统下发清洗指令，其中，清洗指令用于指示执行清洗操作，清洗攻击源输出的流量信息。

根据本发明实施例的另一方面，还提供了一种网络攻击分布式防御的部署方法，应用于包括主站和子站的网络系统中，其中，主站包括用于提供服务的服务器，子站包括多个用于访问主站的计算设备，该部署方法包括：在主站所在的网络中，设置安全设备，其中，安全设备用于监控主站的流量信息，并根据流量信息确定发出网络攻击的攻击源；根据预设的地理范围，将多个子站划分成多个防御区域；在每个防御区域中，设置一个防御节点，其中，每个防御区域中的多个子站对主站的访问流量经过该防御节点，防御节点用于接收来自安全设备的清洗指令，清洗指令用于指示执行清洗操作，清洗攻击源对应的防御区域输出的流量信息。

根据本发明实施例的另一方面，还提供了一种网络攻击的处理装置，包括：第一获取模块，用于获取主站的流量信息，其中，主站为用于提供云平台或各种网站的服务器；第一确定模块，用于根据主站的流量信息确定发出了网络攻击的攻击源；发送模块，用于向攻击源的防护系统下发清洗指令，其中，清洗指令用于指示执行清洗操作，清洗攻击源输出的流量信息。

在本发明实施例中，通过获取主站的流量信息，其中，主站为用于提供云平台或各种网站的服务器；根据主站的流量信息确定发出了网络攻击的攻击源；向攻击源的防护系统下发清洗指令，其中，清洗指令用于指示执行清洗操作，清洗攻击源输出的流量信息，达到了以较低带宽承载攻击流量并对异常力量进行清洗的目的，从而实现了降低对运营商网络带宽的要求，降低流量在互联网上的滞留时延的技术效果，进而解决了进而解决了现有抵抗DDoS攻击的方案对运营商网络带宽要求高且存在流量时延的技术问题。

附图说明

此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：

图1是根据现有技术的一种DDoS攻击示意图；

图2是根据本发明实施例的一种网络攻击的处理系统示意图；

图3是根据本发明实施例的一种分布式防护DDoS攻击示意图；

图4所示为根据本发明实施例的一种优选的分布式防护DDoS攻击的网络架构拓扑示意图；

图5所示为根据本发明实施例的一种优选的分布式防护DDoS攻击的步骤流程图；

图6是根据本发明实施例的一种网络攻击的处理方法流程图；

图7是根据本发明实施例的一种可选的网络攻击的处理方法流程图；

图8是根据本发明实施例的一种可选的网络攻击的处理方法流程图；

图9是根据本发明实施例的一种可选的网络攻击的处理方法流程图；

图10是根据本发明实施例的一种可选的网络攻击的处理方法流程图；

图11是根据本发明实施例的一种可选的网络攻击的处理方法流程图；

图12是根据本发明实施例的一种安全设备示意图；

图13是根据本发明实施例的一种网络攻击的处理装置示意图；

图14是根据本发明实施例的一种网络攻击的处理方法流程图；

图15是根据本发明实施例的一种网络攻击的处理方法流程图；以及

图16是根据本发明实施例的一种计算机终端的硬件结构框图。

具体实施方式

为了使本技术领域的人员更好地理解本发明方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分的实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明保护的范围。

需要说明的是，本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。

首先，在对本申请实施例进行描述的过程中出现的部分名词或术语适用于如下解释：

DDoS攻击：全称为分布式拒绝服务(Distributed Denial of Service，DDoS)攻击，利用超大攻击流量占满被攻击公有云、主站的网络出口带宽并产生网络拥塞，导致正常业务流量被丢弃而直接对业务造成中断影响，从而使合法用户的请求无法得到服务的响应。

实施例1

根据本发明实施例，提供了一种网络攻击的处理系统实施例，需要说明的是，本申请提供的网络攻击的处理系统实施例可以应用于互联网上公有云(例如，百度云、腾讯云、阿里云等)和一些比较大的网络站点(例如，商业公司、搜索引擎、或政府部门等的站点)的网络安全维护中，以抵抗DDoS攻击。

分布式拒绝服务(Distributed Denial of Service，DDoS)攻击指借助于客户端/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标服务器发动DDoS攻击，从而成倍地提高拒绝服务攻击的威力。通常，攻击者使用一个偷窃账号将DDoS主控程序安装在一个计算机上，并利用工具扫描互联网上存在漏洞的多个计算机安装代理程序，在一个设定的时间主控程序将与大量代理程序通讯，代理程序接收到来自主控程序的攻击指令后，向目标服务器发起攻击。利用客户端/服务器技术，主控程序能够在几秒内激活成百上千次代理程序的运行。

由于DDoS攻击采用合理的服务请求来占用一个或多个目标服务器的大量服务资源，当目标服务器CPU达到满负荷，服务器耗尽资源，无法响应合法用户向该目标服务器的请求，严重情况下，还会导致目标服务器失去响应而死机。目标服务器一旦死机，将严重影响用户正常的网络访问，对公司、企业甚至是国家造成巨大的经济损失。DDoS攻击是互联网中存在的最常见、危害性最大的攻击形式之一。

需要说明的是，在互联网上，终端设备与服务器进行通信，要创建会话连接，在会话中，是需要占用服务器资源的；在会话结束后，这些会话连接资源才会被释放；这些会话连接资源一旦被占满，新进入的会话请求就必须等到前面的会话完成后才可进行。DDoS攻击通过主控主机可以向大量受控主机发送控制命令，从而利用大量的受控主机向被攻击目标服务器发送大量网络数据包，以占满被攻击目标服务器的带宽，并消耗被攻击目标服务器和网络设备的网络数据处理能力，阻止正常连接的建立，从而达到拒绝服务的目的。

DDoS攻击的目标通常为路由器、交换机、防火墙、Web服务器、应用服务器、邮件服务器、数据中心等。

在描述本申请的各个实施例的进一步细节之前，将参考图1来描述可用于实现本申请原理的一个合适的网络体系结构。图1是根据本发明实施例的一种DDoS攻击示意图，图1中图标101所示为正常用户的客户端(例如，手机、计算机、笔记本等用于访问互联网的终端设备)，图标103所示为用户通过客户端访问的目标服务器(被攻击目标服务器)，图标105所示为被攻击者(黑客)控制的主控主机(用于安装DDoS主控程序)，图标107所示为互联网上被攻击者控制的大量受控主机(用于安装DDoS代理程序)。由图1可以看出，攻击者可以在预设时间通过主控主机105向大量受控主机107发送攻击信号，大量受控主机107接收到攻击信号后向被攻击目标服务器103发送大量的数据请求，占满被攻击目标服务器103的带宽，并消耗被攻击目标服务器和网络设备的网络数据数据处理能力，阻止正常连接的建立，使得正常用户的客户端101向目标服务器103发送的数据请求一直得不到服务器的响应，从而阻止了正常用户的客户端向服务器发送的数据请求。

分析可知，DDoS攻击主要是利用互联上分布式部署的大量客户端(受控主机)向目标服务器发送大量的合法请求，以消耗或者占用目标服务器的大量资源，占满目标服务器的带宽，从而达到拒绝正常用户客户端向目标服务器的请求服务的。由此，网络带宽直接决定了被攻击目标服务器抵抗DDoS攻击的能力，为了抵抗DDoS攻击，现有技术采用的方案是，申请运营商的大容量静态带宽，建设多个高防节点，目标服务器(需要防御的站点或服务器)预申请高防节点向外部暴露的虚拟IP地址，从而将攻击流量引向高防节点，高防节点内的清洗设备对攻击流量进行清洗，并将正常流量转发到Linux虚拟服务器，Linux虚拟服务器再将这些正常流量的源IP地址和目的IP地址进行转换后，通过公网发送给真正的站点。

但是，由于高防节点需要承载所有的攻击流量，对运营商接入节点的网络带宽要求比较大，满足这种网络带宽的运营商节点数量比较少，因而，降低对运营商节点的网络带宽的要求来承载攻击流量，是抵抗DDoS攻击方案中急需解决的问题。

基于上述业务要求，根据本发明实施例，提供了一种网络攻击的处理的系统实施例，图2是根据本发明实施例的一种网络攻击的处理系统示意图，如图2所示，该系统包括：防护系统201、主站203和安全设备205。

其中，防护系统201，连接至少一个通信服务器，其中，发出网络攻击的通信服务器为攻击源。

具体地，上述防护系统可以为由分布式部署的多个防护节点构成的抵抗DDoS攻击的防护系统，每个防护节点上部署了多个清洗服务器，用于对DDoS攻击的异常流量进行清洗；上述通信服务器可以为各个省或市运营商的服务器，无论是正常用户还是DDoS攻击者都是通过运营商服务器向目标服务器发起数据请求的；防护系统连接一个或多个运营商服务器的网络设备，该网络设备为转发设备，可以将接收到的数据转发至对应的通信服务器，该网络设备可以是路由器、交换机等；防护系统通过网络设备接收来自这些运营商服务器的流量，并利用其内部的清洗服务器清洗运营商服务器上的异常流量，并将正常流量发送至主站上的业务服务器(目标服务器)。

可选地，上述运营商的类型包括但不限于电信、移动、联通。

需要说明的是，分布在不同地理区域的用户在访问网站服务器(企业网站、政府网站、电子商务网站、游戏网站等)之前，首先需要通过各个市运营商或省运营商(例如，联通、电信或移动)的网关设备，将用户客户端向服务器发送的数据请求转发至相应网站的云服务器上。

主站203，与至少一个通信服务器通信，用于部署至少一个业务服务器，其中，主站为用于提供云平台或各种网站的服务器。

具体地，上述主站可以为用于创建各种云服务器的公有云、私有云或混合云，主站内的云服务器可以为用于存放各种网站(例如，企业网站、政府网站、电子商务网站、游戏网站等)的服务器；上述业务服务器可以为主站上满足某项业务需求而创建的网站服务器，以阿里云为例，在阿里云上的云服务器可以包括：淘宝网站、阿里巴巴网站和天猫网站等。用户通过运营商服务器可以向主站上部署的一个或多个业务服务器发起数据请求。

一种可选的实施例中，假设一个北京市的移动用户通过手机打开了淘宝网，则上述主站可以为阿里云，上述通信服务器为北京市移动，上述业务服务器为阿里云上的淘宝网站服务器。

安全设备205，与至少一个业务服务器连接，用于在业务服务器接受到网络攻击的情况下，根据主站的流量信息确定发出了网络攻击的攻击源，并向攻击源的防护系统下发清洗指令，其中，清洗指令用于指示执行清洗操作，清洗攻击源输出的流量信息。

具体地，上述安全设备为主站上部署的用于保证主站上各个业务服务器不受DDoS攻击的攻击检测设备；该安全设备与主站上的各个业务服务器连接，用于发现各个业务服务器上的DDoS攻击以及攻击源的来源地，并向该攻击源的来源地的防护系统中的清洗设备下发清洗流量的指令，该指令可以用于清洗该来源地的运营商服务器的所有流量(包括：正常流量和异常流量)，在清洗后，将正常流量回注到主站上的业务服务器。

一种可选的实施例中，主站流量可以通过分光设备发送至安全设备(攻击检测设备)中。

作为一种优选的实施例，本申请实施例的分布式防护系统中各个防护节点可以分布式部署在省网、市网运营商的网络设备，将运营商省网(包括市网)的BGP带宽作为承载该省流量的入口；将运营商常规静态带宽(或专线)作为清洗后正常业务流量的出口，图3所示为根据本发明实施例的一种分布式防护DDoS攻击示意图。

需要说明的是，运营商省网(包括市网)BGP带宽与常规的运营商BGP带宽的区别在于：在省网(包括市网)BGP带宽的接入模式下，运营商收到需清洗的BGP路由之后，只在该运营商本省范围内传播，不会向该运营商骨干网传播，即只有起源于该运营商本省的流量(攻击流量+正常业务流量)才会通过该省网BGP带宽进入到分布式清洗节点；省网BGP的带宽资费上相比常规BGP带宽会优惠，同时运营商省公司层面有更多的业务开通能力。

由上可知，在本申请上述实施例中，采用在运营商省网(包括市网)的网络设备上建立防护节点构造分布式防护系统的方式，通过主站内的安全设备检测主站上部署的各个业务服务器的流量信息，并根据该流量信息确定攻击各个业务服务器的攻击源，从而向与该攻击源连接的防护系统内的清洗设备下发清洗指令，清洗设备将攻击源上的异常流量清洗后，将该通信服务器上的正常业务流量通过运营商常规带宽或专线回注至主站，达到了以较低带宽承载攻击流量并对异常力量进行清洗的目的，从而实现了降低对运营商网络带宽的要求，降低流量在互联网上的滞留时延的技术效果，进而解决了进而解决了现有抵抗DDoS攻击的方案对运营商网络带宽要求高且存在流量时延的技术问题。

在一种可选的实施例中，上述清洗指令至少包括：业务服务器的地址信息以及地址信息所在的预定网段。

具体地，在上述实施例中，清洗指令为安全设备向防护系统下发的用于清洗异常流量的指令，该指令中包含了被攻击业务服务器的IP地址信息以及该IP所在24为掩码的路由信息。

在一种可选的实施例中，上述防护系统可以包括：至少一个清洗服务器，其中，清洗服务器用于获取业务服务器所在的预定网段和对应的路由信息，根据路由信息将预定网段传输至通信服务器，还用于接收通信服务器返回的至少一个访问设备的网络流量，清洗至少一个访问设备的网络流量，并将清洗结果回注至主站，其中，访问设备为访问了位于预定网段内的目标对象的设备。

具体地，在上述实施例中，上述清洗服务器可以为与运营商服务器旁路连接的用于清洗异常流量的清洗设备，清洗设备接收安全设备下发的清洗指令后，获取该清洗指令中被攻击业务服务器的IP所在的24位掩码BGP牵引路由信息，并通过防护节点传输至与运营商服务器连接的网络设备，该网络设备为转发设备，将接收到的数据转发至对应的通信服务器，该网络设备可以是路由器、交换机等，运营商服务器把该省访问这个24位掩码网段的流量转发给防护节点的清洗设备，清洗设备完成清洗，正常流量通过回注通过送回主站。

通过上述实施例，实现了根据被攻击目标服务器的路由信息进行分布式防护的效果。

在一种可选的实施例中，上述安全设备还可以用于检测主站的流量信息中是否存在攻击流量；在检测到攻击流量的情况下，确定发生了网络攻击；解析攻击流量，得到产生攻击流量的攻击源的地址信息；其中，攻击源为部署于预定地域的通信服务器，通信服务器将产生的攻击流量传输至部署在主站上的攻击对象。

具体地，在上述实施例中，上述攻击流量可以为访问主站内某个业务服务器的异常流量，一种可选的实施方案中，安全设备(攻击检测设备)可以通过对主站内部网业务流量进行逐包的分析和统计，完成用户流量模型的统计学习，并自动形成用户流量预设范围。基于该预设范围，安全设备可以对业务流量进行实时监测，当发现流量异常并确认目标服务器遭受到DDoS攻击的情况下，安全设备解析该攻击流量，得到该攻击流量的攻击源的地址信息，并向该攻击源所在的网段内的防护系统下发清洗指令。

通过上述实施例，通过安全设备解析攻击源的地址信息，可以定向对攻击源所在网段(例如，某个省)的流量进行清洗，并将清洗后的合法流量回注到主站，从而避免了将所有的流量牵引至防护节点，降低了对防护节点带宽的要求。

在一种可选的实施例中，上述安全设备还可以用于确定主站中收到网络攻击的攻击对象；获取清洗指令，其中，清洗指令至少包括：攻击对象的地址信息以及地址信息所在的预定网段。

具体地，在上述实施例中，上述攻击对象可以为主站内受到DDoS攻击的目标服务器，在安全设备根据主站的流量信息确定主站内存在攻击流量的情况下，根据该攻击流量的流量信息确定受到DDoS攻击的目标服务器，并生成包含了该目标服务器地址信息以及地址信息所在的网段信息的清洗指令；一种可选的实施例中，攻击对象的地址信息以及地址信息所在的预定网段可以为被攻击目标服务器的IP所在的24位掩码BGP牵引路由信息。

通过上述实施例，实现了确定被攻击目标服务器的路由信息的目的。

在一种可选的实施例中，上述安全设备还可以用于获取攻击源对应的分布式防护系统，具体地，根据攻击源的地理信息，获取与来源地的地理信息对接的分布式防护系统，其中，主站对应至少一个分布式防护系统，每个分布式防护系统对接不同的通信服务器所确定的地理区域。

具体地，在上述实施例中，每个主站都对应一个或多个分布式防护系统，每个分布式防护系统部署在运营商服务器所确定的地理区域，一种可选的实施例中，该运营商可以为省网或市网运营商，则每个分布式防护系统部署在各个省或市的运营商服务器所在的地理区域；安全设备从主站的流量信息中获取到攻击源的来源地后，根据来源地的地理信息，获取与该攻击源地理信息对接的分布式防护系统。

在一种可选的实施例中，上述通信服务器可以为通信运营商提供的运营商设备，其中，采用与运营商设备控制的静态带宽传输通道将清洗结果回注至主站。

具体地，在上述实施例中，将运营商省网(包括市网)的BGP带宽作为承载该省流量的入口；将运营商常规静态带宽(或专线)作为清洗后正常业务流量的出口，一种可选的实施例中，图3所示为根据本发明实施例的一种分布式防护DDoS攻击示意图。

作为一种优选的实施例，图4所示为根据本发明实施例的一种优选的分布式防护DDoS攻击的网络架构拓扑示意图，如图4所示，通过接入运营商省网(包括市网)BGP带宽，作为承载该省(市)流量的入口；接入运营商常规静态带宽(或专线)，作为清洗后正常业务流量的出口；通过静态带宽(或专线)与主站机房出口设备之间建立清洗后正常流量的回注通道；接入运营商常规静态带宽(或专线)，作为管理通道。通过静态带宽(或专线)与主站机房出口设备之间建立管理通道，与回注流量承载在不同线路上，保障管理通道高可用性。

一种可选的实施方案中，还可以使用自建传输通道进行清洗后的流量进行回注。

需要说明的是，对于运营商网络，采用旁路部署技术，异常流量清洗设备可以不必串联在原有网络中，因而，可以以一个较小的抗DDoS清洗容量就可以适用于一个大带宽的网络中，有效地降低投入成本。在检测到攻击流量的情况下，通过BGP协议发布被攻击业务服务器的IP路由信息，可以将原来去往被攻击业务服务器的流量牵引至旁路DDoS清洗设备，被牵引的流量为攻击流量和正常流量的混合流量，清洗设备通过多层攻击流量识别与净化功能，将DDoS攻击流量从混合流量中分离、过滤；最后经过清洗设备净化后的合法流量被重新注入回网络，到达目的IP。

作为一种优选的实施方式，本申请实施例提供的分布式防护DDoS攻击的步骤流程图可以如图5所示，图5所示为根据本发明实施例的一种优选的分布式防护DDoS攻击的步骤流程图，如图5所示，首先，主站流量通过分光设备发送到攻击检测设备(安全设备)，从流量信息中发现DDoS攻击以及攻击流量来源省份后，安全设备向攻击省份的分布式防护节点下发清洗控制信令，一种可选的实施例中，信令的核心信息格式参考：[被攻击IP所在24位掩码网段]+[攻击流量大小]；然后，清洗服务器发出被攻击IP所在的24位掩码BGP牵引路由信息，通过防护节点传输至与运营商服务器连接的网络设备，该网络设备为转发设备，将接收到的数据转发至对应的通信服务器，该网络设备可以是路由器、交换机等，该省运营商服务器把该省访问这个24位掩码网段的流量转发给该防护节点的清洗服务器；最后清洗服务器将访问这个24位掩码网段的流量清洗完成后，将正常流量通过回注通过送回主站，从而达到分布式防护的效果。

需要说明的是，图4和图5中网络设备可以为路由器、交换机、防火墙等设备，它们可将网络有效地保护起来。相对于服务器的重启，网络路由器等网络设备的重启要容易得多，而且服务器数据不会有太多的损失。负载均衡技术的使用，可以在发生网络攻击时自动均衡设备的使用情况，最大限度地降低DDoS的攻击。

容易注意的是，在传统抵抗DDoS攻击方案中，通常与运营商BGP对接的有全球穿透覆盖、国内穿透覆盖、运营商本网穿透覆盖。本发明上述实施例中提出的与运营商省级(包括市级)范围建立BGP对接，可降低成本并且增加运营商省市公司的操作性。再加上设计使用静态带宽(或专线)进行清洗后的流量回注，整体上极大提升了分布式防护DDOS攻击的可落地性和收益。

实施例2

根据本发明实施例，提供了一种网络攻击的处理的方法实施例，需要说明的是，在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行，并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。

本申请提供的网络攻击的处理方法实施例可以应用于本申请实施例1提供的网络攻击的处理系统中，适用于互联网领域任何抵抗DDoS攻击的业务场景。

随着网络技术和网络经济的发展，网络对企业和个人的重要程度在不断增加。与此同时，网络中存在的安全漏洞却也正在相应的增加，网络安全问题所造成的影响也越来越大。在互联网领域，DDoS攻击是一种危害最大、最易于达到攻击效果、最难以抵御和追踪的拒绝服务攻击。

在DDoS攻击中，攻击者利用一个偷窃账号将DDoS主控程序安装在一台计算机上，并利用工具扫描互联网上大量存在漏洞的计算机安装代理程序，通过主控主机向大量受控主机发送控制命令，从而利用大量的受控主机向被攻击目标服务器发送大量网络数据包，以占满被攻击目标服务器的带宽，并消耗被攻击目标服务器和网络设备的网络数据处理能力，阻止正常连接的建立，从而达到拒绝服务的目的。

DDoS攻击的目标为路由器、交换机、防火墙、Web服务器、应用服务器、邮件服务器、数据中心等。

由于DDoS攻击主要是利用互联上分布式部署的大量客户端(受控主机)向目标服务器发送大量的合法请求，以消耗或者占用目标服务器的大量资源，占满目标服务器的带宽，从而达到拒绝正常用户客户端向目标服务器的请求服务的。由此，网络带宽直接决定了被攻击目标服务器抵抗DDoS攻击的能力。

为了抵抗DDoS攻击，目前企业往往只能被动的采用服务器资源和带宽资源扩容的方式来保证自己的正常业务的资源能够得到满足。但随着DDoS攻击的规模越来越大，这种资源预留的作用越来越小。而运营商由于具有充足的带宽资源，可以防止DDoS攻击流量不会将用户正常流量淹没，从而失去流量清洗的效果。因而，在城域网侧为企业客户开展流量清洗业务实现对DDoS攻击的防御，可以同时满足运营商和大客户的双重需要，已经成为目前运营商的必然需求。

现有的抵抗DDoS攻击防护系统主要部署在运营商的省骨干网上，建设多个高防节点，目标服务器(需要防御的站点或服务器)预申请高防节点向外部暴露的虚拟IP地址，从而将攻击流量引向高防节点，高防节点内的清洗设备对攻击流量进行清洗，并将正常流量转发到Linux虚拟服务器，Linux虚拟服务器再将这些正常流量的源IP地址和目的IP地址进行转换后，通过公网发送给真正的站点。

但是，由于高防节点需要承载所有的攻击流量，对运营商接入节点的网络带宽要求比较大，满足这种网络带宽的运营商节点数量比较少，因而，降低对运营商节点的网络带宽的要求来承载攻击流量，是抵抗DDoS攻击方案中急需解决的问题。

在上述业务环境下，本申请提供了如图6所示的一种网络攻击的处理方法。图6是根据本发明实施例的一种网络攻击的处理方法流程图，如图6所示，包括如下步骤：

步骤S602，获取主站的流量信息，其中，主站为用于提供云平台或各种网站的服务器。

具体地，在上述步骤中，主站可以为用于创建各种云服务器的公有云、私有云或混合云，主站内的云服务器可以为用于存放各种网站(例如，企业网站、政府网站、电子商务网站、游戏网站等)的业务服务器；上述安全设备为主站上部署的用于保证主站上各个业务服务器不受DDoS攻击的攻击检测设备，与主站内各个云服务器连接；上述流量信息包含了所有用户通过客户端访问这些主站内的网站服务器的网络流量信息，可以包括该客户端所在网络的IP地址、该客户端向网站服务器发送数据包的大小、预设时间内发送的数据请求次数等。一种可选的实施例中，可以通过在主站内的分光设备可以将主站内的全部流量信息发送至安全设备，该安全设备接收并获取到主站的所有流量信息。

需要说明的是，分布在不同区域的用户在访问网站服务器之前，首先需要通过各个市运营商或省运营商(例如，联通、电信或移动)的网关设备，将用户客户端向服务器发送的数据请求转发至相应网站的云服务器上。

一种可选的实施例中，以阿里云为例，假设在阿里云上的云服务器包括：淘宝网站的服务器、阿里巴巴网站的服务器和天猫网站的服务器。上述步骤中主站的流量信息包含了来自全国不同省份不同区域的用户通过客户端访问这些网站服务器的流量信息，其中，流量信息包含了转发该数据请求的运营商网络信息。例如，假设某一时刻，北京市的移动用户A访问了淘宝网站，河北省的电信用户B访问了天猫网站，则该时刻阿里云(主站)内的流量包含访问淘宝网站的流量1和访问天猫网站的流量2，其中，从流量1可以获取到该流量来自北京市的移动运营商通信服务器的网络设备，从流量2可以获取到该流量来自河北省的电信运营商通信服务器的网络设备。

步骤S604，根据主站的流量信息确定发出了网络攻击的攻击源。

具体地，在上述步骤中，上述攻击源可以为安装了DDoS主控程序的主控主机和安装了DDoS代理程序的受控主机；安全设备在接收到来自分光设备的流量信息(包括访问主站内所有业务服务器的流量信息)后，根据主站的流量信息确定发出了网络攻击的攻击源。

需要说明的是，由于DDoS攻击主要利用多个计算机联合起来作为攻击平台，采用的超大攻击流量占满被攻击公有云、主站的网络出口带宽并产生网络拥塞，导致正常业务流量被丢弃，从而直接对业务造成中断的。因而，在一种可选的实施方案中，安全设备可以根据单位时间内，某IP地址访问目标服务器的访问次数来确定该目标服务器是否被攻击；在另一种可选的实施方案中，可以采用单位时间内访问目标服务器的IP地址数量来确定该目标服务器是否被攻击。

作为一种优选的实施方案，安全设备(攻击检测设备)可以通过对主站内部网的业务流量进行逐包的分析和统计，完成用户流量模型的统计学习，并自动形成用户流量预设范围，并通过比较当前的访问某目标服务器的用户流量是否在预设流量范围内来确定该目标服务器是否被攻击。

步骤S606，向攻击源的防护系统下发清洗指令，其中，清洗指令用于指示执行清洗操作，清洗攻击源输出的流量信息。

具体地，在上述步骤中，上述防护系统可以为由分布式部署的多个防护节点构成的抵抗DDoS攻击的防护系统，每个防护节点上部署了多个清洗服务器，用于对DDoS攻击的异常流量进行清洗；上述清洗指令为安全设备向防护系统下发的用于清洗异常流量的指令，该指令中包含了被攻击业务服务器的IP地址信息以及该IP所在24为掩码的路由信息。

此处需要说明的是，上述防护系统可以使用路由牵引技术将攻击流量重定向到其内部专用的清洗设备上，利用清洗设备对攻击流量进行智能过滤后再将合法流量回注到网络中。

作为一种优选的实施例，以图5所示的分布式防护DDoS攻击为例，安全设备可以通过分光设备获取到全国各个地方的用户访问主站内各个业务服务器的流量信息，并对获取主站内的流量信息进行分析，确定是否存在攻击流量，在主站内流量存在攻击流量的情况下，从流量信息中发现DDoS攻击以及攻击流量来源省份后，安全设备向攻击省份的分布式防护节点下发清洗控制信令，一种可选的实施例中，信令的核心信息格式参考：[被攻击IP所在24位掩码网段]+[攻击流量大小]；然后，清洗服务器发出被攻击IP所在的24位掩码BGP牵引路由信息，通过防护节点传输至与运营商服务器连接的网络设备，该网络设备为转发设备，将接收到的数据转发至对应的通信服务器，该网络设备可以是路由器、交换机等，该省运营商服务器把该省访问这个24位掩码网段的流量转发给该防护节点的清洗服务器；最后清洗服务器将访问这个24位掩码网段的流量清洗完成后，将正常流量通过回注通过送回主站，从而达到分布式防护的效果。

需要说明的是，图5中网络设备可以为路由器、交换机、防火墙等设备，它们可将网络有效地保护起来。相对于服务器的重启，网络路由器等网络设备的重启要容易得多，而且服务器数据不会有太多的损失。负载均衡技术的使用，可以在发生网络攻击时自动均衡设备的使用情况，最大限度地降低DDoS的攻击。

由上可知，在本申请上述实施例中，采用在运营商省网(包括市网)的网络设备上建立防护节点构造分布式防护系统的方式，通过主站内的安全设备检测主站上部署的各个业务服务器的流量信息，并根据该流量信息确定攻击各个业务服务器的攻击源，从而向与该攻击源连接的防护系统内的清洗设备下发清洗指令，清洗设备将攻击源上的异常流量清洗后，将该通信服务器上的正常业务流量通过运营商常规带宽或专线回注至主站，达到了以较低带宽承载攻击流量并对异常力量进行清洗的目的，从而实现了降低对运营商网络带宽的要求，降低流量在互联网上的滞留时延的技术效果，进而解决了进而解决了现有抵抗DDoS攻击的方案对运营商网络带宽要求高且存在流量时延的技术问题。

在一种可选的实施例中，如图7所示，根据主站的流量信息确定发出了网络攻击的攻击源，可以包括如下步骤：

步骤S702，检测主站的流量信息中是否存在攻击流量；

步骤S704，在检测到攻击流量的情况下，确定发生了网络攻击；

步骤S706，解析攻击流量，得到产生攻击流量的攻击源的地址信息；

其中，攻击源为部署于预定地域的通信服务器，通信服务器将产生的攻击流量传输至部署在主站上的攻击对象。

具体地，在上述步骤中，上述攻击流量可以为访问主站内某个业务服务器的异常流量，一种可选的实施方案中，安全设备(攻击检测设备)可以通过对主站内部网业务流量进行逐包的分析和统计，完成用户流量模型的统计学习，并自动形成用户流量预设范围。基于该预设范围，安全设备可以对业务流量进行实时监测，当发现流量异常并确认目标服务器遭受到DDoS攻击的情况下，安全设备解析该攻击流量，得到该攻击流量的攻击源的地址信息，并向该攻击源所在的网段内的防护系统下发清洗指令。

通过上述实施例，通过安全设备解析攻击源的地址信息，可以定向对攻击源所在网段(例如，某个省)的流量进行清洗，并将清洗后的合法流量回注到主站，从而避免了将所有的流量牵引至防护节点，降低了对防护节点带宽的要求。

在一种可选的实施例中，如图8所示，在向攻击源的防护系统下发清洗指令之前，上述方法还可以包括如下步骤：

步骤S802，确定主站中受到网络攻击的攻击对象；

步骤S804，获取清洗指令，其中，清洗指令至少包括：攻击对象的地址信息以及地址信息所在的预定网段。

具体地，在上述步骤中，上述攻击对象可以为主站内受到DDoS攻击的目标服务器，在安全设备根据主站的流量信息确定主站内存在攻击流量的情况下，根据该攻击流量的流量信息确定受到DDoS攻击的目标服务器，并生成包含了该目标服务器地址信息以及地址信息所在的网段信息的清洗指令；一种可选的实施例中，攻击对象的地址信息以及地址信息所在的预定网段可以为被攻击目标服务器的IP所在的24位掩码BGP牵引路由信息。

通过上述实施例，实现了确定被攻击目标服务器的路由信息的目的。

在一种可选的实施例中，上述防护系统为分布式防护系统，该分布式防护系统可以包括：至少一个清洗服务器，其中，在向攻击源的防护系统下发清洗指令之后，如图9所示，上述方法还可以包括如下步骤：

步骤S902，清洗服务器获取攻击对象所在的预定网段和对应的路由信息；

步骤S904，所清洗服务器根据路由信息将预定网段传输至通信服务器；

步骤S906，清洗服务器接收通信服务器返回的至少一个访问设备的网络流量，其中，访问设备为访问了位于预定网段内的目标对象的设备；

步骤S908，清洗服务器清洗至少一个访问设备的网络流量，并将清洗结果回注至主站。

具体地，在上述步骤中，上述清洗服务器可以为与运营商服务器旁路连接的用于清洗异常流量的清洗设备，清洗设备接收安全设备下发的清洗指令后，获取该清洗指令中被攻击业务服务器的IP所在的24位掩码BGP牵引路由信息，并通过防护节点传传输至与运营商服务器连接的网络设备，该网络设备为转发设备，将接收到的数据转发至对应的通信服务器，该网络设备可以是路由器、交换机等，运营商把该省访问这个24位掩码网段的流量转发给防护节点的清洗设备，清洗设备完成清洗，正常流量通过回注通过送回主站。

通过上述实施例，实现了根据被攻击目标服务器的路由信息进行分布式防护的效果。

在一种可选的实施例中，上述通信服务器可以为通信运营商提供的运营商设备，其中，采用与运营商设备控制的静态带宽传输通道将清洗结果回注至主站。

具体地，在上述实施例中，将运营商省网(包括市网)的BGP带宽作为承载该省流量的入口；将运营商常规静态带宽(或专线)作为清洗后正常业务流量的出口，一种可选的实施例中，图3所示为根据本发明实施例的一种分布式防护DDoS攻击示意图。

需要说明的是，运营商省网(包括市网)BGP带宽与常规的运营商BGP带宽的区别在于：在省网(包括市网)BGP带宽的接入模式下，运营商收到需清洗的BGP路由之后，只在该运营商本省范围内传播，不会向该运营商骨干网传播，即只有起源于该运营商本省的流量(攻击流量+正常业务流量)才会通过该省网BGP带宽进入到分布式清洗节点；省网BGP的带宽资费上相比常规BGP带宽会优惠，同时运营商省公司层面有更多的业务开通能力。

在一种可选的实施例中，如图10所示，在根据主站的流量信息确定发出了网络攻击的攻击源之后，上述方法还可以包括：步骤S102，获取攻击源对应的分布式防护系统，该步骤包括：

步骤S1021，根据攻击源的地理信息，获取与来源地的地理信息对接的分布式防护系统，其中，主站对应至少一个分布式防护系统，每个分布式防护系统对接不同的通信服务器所确定的地理区域。

具体地，在上述步骤中，每个主站都对应一个或多个分布式防护系统，每个分布式防护系统部署在运营商服务器所确定的地理区域，一种可选的实施例中，该运营商可以为省网或市网运营商，则每个分布式防护系统部署在各个省或市的运营商服务器所在的地理区域；安全设备从主站的流量信息中获取到攻击源的来源地后，根据来源地的地理信息，获取与该攻击源地理信息对接的分布式防护系统。

此处需要说明的是，在传统抵抗DDoS攻击方案中，通常与运营商BGP对接的有全球穿透覆盖、国内穿透覆盖、运营商本网穿透覆盖。本发明上述实施例中提出的与运营商省级(包括市级)范围建立BGP对接，可降低成本并且增加运营商省市公司的操作性。再加上设计使用静态带宽(或专线)进行清洗后的流量回注，整体上极大提升了分布式防护DDOS攻击的可落地性和收益。

在一种可选的实施例中，如图11所示，在步骤S602之前，上述方法还可以包括：步骤S112，通过分光设备接收来自主站的流量信息，其中，主站包括多个业务服务器，每个业务服务器产生的网络流量构成主站的流量信息。

通过本申请上述实施例公开的方案，可以实现如下技术效果：一，全国31个省市自治区直辖市的运营商的带宽容量都满足建设条件；二，用户正常流量的时延基本不变或者轻微增加(5ms内)；三，可满足海量公有云用户的防护超大DDOS攻击的需求，不需要预配置。

需要说明的是，对于前述的各方法实施例，为了简单描述，故将其都表述为一系列的动作组合，但是本领域技术人员应该知悉，本发明并不受所描述的动作顺序的限制，因为依据本发明，某些步骤可以采用其他顺序或者同时进行。其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于优选实施例，所涉及的动作和模块并不一定是本发明所必须的。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到根据上述实施例的网络攻击的处理方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中，包括若干指令用以使得一台终端设备(可以是手机，计算机，服务器，或者网络设备等)执行本发明各个实施例的方法。

实施例3

根据本发明实施例，还提供了一种安全设备实施例，图12是根据本发明实施例的一种安全设备示意图；如图12所示，该装置包括：输入接口121、处理单元123和输出接口125。

其中，输入接口121，用于获取主站的流量信息；

处理单元123，用于根据主站的流量信息确定发出了网络攻击的攻击源；

输出接口125，用于向攻击源的防护系统下发清洗指令，其中，清洗指令用于指示执行清洗操作，清洗攻击源输出的流量信息。

具体地，上述安全设备可以为云平台(包括：公有云、私有云和混合云)或主站(例如，企业网站、政府网站、电子商务网站、游戏网站等)上部署的用于保证主站上各个业务服务器不受DDoS攻击的攻击检测设备；该安全设备通过输入接口121获取主站内的用户访问各个目标服务器的流量信息，通过处理单元123根据主站的流量信息确定发出了网络攻击的攻击源，并通过输出接口向该攻击源所在的通信服务器网段内的防护系统下发清洗指令，防护系统使用路由牵引技术将攻击流量重定向到其内部专用的清洗设备上，利用清洗设备对攻击流量进行智能过滤后再将合法流量回注到网络中。

由上可知，在本申请上述实施例中，采用在运营商省网(包括市网)的网络设备上建立防护节点构造分布式防护系统的方式，通过主站内的安全设备检测主站上部署的各个业务服务器的流量信息，并根据该流量信息确定攻击各个业务服务器的攻击源，从而向与该攻击源连接的防护系统内的清洗设备下发清洗指令，清洗设备将攻击源上的异常流量清洗后，将该通信服务器上的正常业务流量通过运营商常规带宽或专线回注至主站，达到了以较低带宽承载攻击流量并对异常力量进行清洗的目的，从而实现了降低对运营商网络带宽的要求，降低流量在互联网上的滞留时延的技术效果，进而解决了进而解决了现有抵抗DDoS攻击的方案对运营商网络带宽要求高且存在流量时延的技术问题。

在一种可选的实施例中，上述处理单元还可以用于检测主站的流量信息中是否存在攻击流量；在检测到攻击流量的情况下，确定发生了网络攻击；解析攻击流量，得到产生攻击流量的攻击源的地址信息；其中，攻击源为部署于预定地域的通信服务器，通信服务器将产生的攻击流量传输至部署在主站上的攻击对象。

具体地，在上述实施例中，上述攻击流量可以为访问主站内某个业务服务器的异常流量，一种可选的实施方案中，安全设备(攻击检测设备)可以通过对主站内部网业务流量进行逐包的分析和统计，完成用户流量模型的统计学习，并自动形成用户流量预设范围。基于该预设范围，安全设备可以对业务流量进行实时监测，当发现流量异常并确认目标服务器遭受到DDoS攻击的情况下，安全设备解析该攻击流量，得到该攻击流量的攻击源的地址信息，并向该攻击源所在的网段内的防护系统下发清洗指令。

通过上述实施例，通过安全设备解析攻击源的地址信息，可以定向对攻击源所在网段(例如，某个省)的流量进行清洗，并将清洗后的合法流量回注到主站，从而避免了将所有的流量牵引至防护节点，降低了对防护节点带宽的要求。

在一种可选的实施例中，上述安全设备通过输入接口与主站连接，通过输出接口与防护系统连接，其中，防护系统用于对攻击源输出的流量信息执行清洗操作。

在一种可选的实施例中，上述安全设备处理单元还可以用于确定主站中收到网络攻击的攻击对象，并获取清洗指令，其中，清洗指令至少包括：攻击对象的地址信息以及地址信息所在的预定网段。

具体地，在上述实施例中，上述攻击对象可以为主站内受到DDoS攻击的目标服务器，在安全设备根据主站的流量信息确定主站内存在攻击流量的情况下，根据该攻击流量的流量信息确定受到DDoS攻击的目标服务器，并生成包含了该目标服务器地址信息以及地址信息所在的网段信息的清洗指令；一种可选的实施例中，攻击对象的地址信息以及地址信息所在的预定网段可以为被攻击目标服务器的IP所在的24位掩码BGP牵引路由信息。

通过上述实施例，实现了确定被攻击目标服务器的路由信息的目的。

在一种可选的实施例中，上述安全设备还可以用于获取攻击源对应的分布式防护系统，具体地，根据攻击源的地理信息，获取与来源地的地理信息对接的分布式防护系统，其中，主站对应至少一个分布式防护系统，每个分布式防护系统对接不同的通信服务器所确定的地理区域。

具体地，在上述实施例中，每个主站都对应一个或多个分布式防护系统，每个分布式防护系统部署在运营商服务器所确定的地理区域，一种可选的实施例中，该运营商可以为省网或市网运营商，则每个分布式防护系统部署在各个省或市的运营商通信服务器所在的地理区域；安全设备从主站的流量信息中获取到攻击源的来源地后，根据来源地的地理信息，获取与该攻击源地理信息对接的分布式防护系统。

实施例4

根据本发明实施例，还提供了一种用于实施上述网络攻击的处理的装置实施例，图13是根据本发明实施例的一种网络攻击的处理装置示意图，如图13所示，该装置包括：第一获取模块131、第一确定模块133和发送模块135。

其中，第一获取模块131，用于获取主站的流量信息；第一确定模块133，用于根据主站的流量信息确定发出了网络攻击的攻击源；发送模块135，用于向攻击源的防护系统下发清洗指令，其中，清洗指令用于指示执行清洗操作，清洗攻击源输出的流量信息。

此处需要说明的是，第一获取模块131、第一确定模块133和发送模块135可以对应于实施例2中的步骤S602至步骤S606，三个模块与对应的步骤所实现的实例和应用场景相同，但不限于上述实施例2所公开的内容。

由上可知，在本申请上述实施例中，采用在运营商省网(包括市网)的网络设备上建立防护节点构造分布式防护系统的方式，通过主站内的安全设备检测主站上部署的各个业务服务器的流量信息，并根据该流量信息确定攻击各个业务服务器的攻击源，从而向与该攻击源连接的防护系统内的清洗设备下发清洗指令，清洗设备将攻击源上的异常流量清洗后，将该通信服务器上的正常业务流量通过运营商常规带宽或专线回注至主站，达到了以较低带宽承载攻击流量并对异常力量进行清洗的目的，从而实现了降低对运营商网络带宽的要求，降低流量在互联网上的滞留时延的技术效果，进而解决了进而解决了现有抵抗DDoS攻击的方案对运营商网络带宽要求高且存在流量时延的技术问题。

在一种可选的实施例中，如图13所示，上述第一确定模块包括：检测模块，用于检测主站的流量信息中是否存在攻击流量；第二确定模块，用于在检测到攻击流量的情况下，确定发生了网络攻击；解析模块，用于解析攻击流量，得到产生攻击流量的攻击源的地址信息；其中，攻击源为部署于预定地域的通信服务器，通信服务器将产生的攻击流量传输至部署在主站上的攻击对象。

此处需要说明的是，检测模块、第二确定模块和解析模块可以对应于实施例2中的步骤S702至步骤S706，三个模块与对应的步骤所实现的实例和应用场景相同，但不限于上述实施例2所公开的内容。

在一种可选的实施例中，如图13所示，在向攻击源的防护系统下发清洗指令之前，上述装置还包括：第三确定模块，用于确定主站中受到网络攻击的攻击对象；第二获取模块，用于获取清洗指令，其中，清洗指令至少包括：攻击对象的地址信息以及地址信息所在的预定网段。

此处需要说明的是，第三确定模块和第二获取模块可以对应于实施例2中的步骤S802至步骤S804，两个模块与对应的步骤所实现的实例和应用场景相同，但不限于上述实施例2所公开的内容。

在一种可选的实施例中，如图13所示，防护系统为分布式防护系统，分布式防护系统包括：至少一个清洗服务器，其中，上述装置还包括：第三获取模块，用于清洗服务器获取攻击对象所在的预定网段和对应的路由信息；传输模块，用于所清洗服务器根据路由信息将预定网段传输至通信服务器；第一接收模块，用于清洗服务器接收通信服务器返回的至少一个访问设备的网络流量，其中，访问设备为访问了位于预定网段内的目标对象的设备；处理模块，用于清洗服务器清洗至少一个访问设备的网络流量，并将清洗结果回注至主站。

此处需要说明的是，第三获取模块、传输模块、第一接收模块和处理模块可以对应于实施例2中的步骤S902至步骤S908，四个模块与对应的步骤所实现的实例和应用场景相同，但不限于上述实施例2所公开的内容。

在一种可选的实施例中，上述通信服务器为通信运营商提供的运营商设备，其中，采用与运营商设备控制的静态带宽传输通道将清洗结果回注至主站。

在一种可选的实施例中，如图13所示，上述装置还包括：第四获取模块，用于获取攻击源对应的分布式防护系统，该第四获取模块包括：第五获取模块，用于根据攻击源的地理信息，获取与来源地的地理信息对接的分布式防护系统，其中，主站对应至少一个分布式防护系统，每个分布式防护系统对接不同的通信服务器所确定的地理区域。

此处需要说明的是，第四获取模块和第五获取模块可以对应于实施例2中的步骤S102和步骤S1021，两个模块与对应的步骤所实现的实例和应用场景相同，但不限于上述实施例2所公开的内容。

在一种可选的实施例中，如图13所示，上述装置还包括：第二接收模块，用于通过分光设备接收来自主站的流量信息，其中，主站包括多个业务服务器，每个业务服务器产生的网络流量构成主站的流量信息。

此处需要说明的是，第二接收模块可以对应于实施例2中的步骤S112，该模块与对应的步骤所实现的实例和应用场景相同，但不限于上述实施例2所公开的内容。

实施例5

根据本发明实施例，还提供了一种网络攻击的处理的方法实施例，应用于主站，需要说明的是，在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行，并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。

本申请提供了如图14所示的一种网络攻击的处理方法，应用于主站。图14是根据本发明实施例的一种网络攻击的处理方法流程图，如图14所示，包括如下步骤：

步骤S142，获取来自至少一个通信服务器的流量信息，其中，发出网络攻击的通信服务器为攻击源。

具体地，在上述步骤中，上述通信服务器可以为各个省或市运营商的服务器，无论是正常用户还是DDoS攻击者都是通过运营商服务器向目标服务器发起数据请求的，其中，攻击源为发出网络攻击的通信服务器；上述一个或多个通信服务器与主站建立通信连接，用于向主站发送数据请求，主站可以获取到与其连接的一个或多个通信服务器的流量信息，其中，主站可以为用于创建各种云服务器的公有云、私有云或混合云，主站内的云服务器可以为用于存放各种网站(例如，企业网站、政府网站、电子商务网站、游戏网站等)的业务服务器；上述流量信息包含了所有用户通过客户端访问这些主站内的网站服务器的网络流量信息，可以包括该客户端所在网络的IP地址、该客户端向网站服务器发送数据包的大小、预设时间内发送的数据请求次数等。

步骤S144，将流量信息发送至攻击检测设备，其中，攻击检测设备根据流量信息确定发出了网络攻击的攻击源，并向攻击源的防护系统下发清洗指令，其中，清洗指令用于指示执行清洗操作，清洗攻击源输出的流量信息。

具体地，在上述步骤中，主站在获取到与其连接的一个或多个通信服务器的流量信息后，可以将全部流量信息发送至与其连接的攻击检测设备，一种可选的实施例中，可以通过在主站内的分光设备可以将主站内的全部流量信息发送至攻击检测设备，该攻击检测设备接收并获取到主站的所有流量信息，并根据流量信息确定发出了网络攻击的攻击源，进而向攻击源的防护系统下发清洗指令，该清洗指令用于指示执行清洗操作，从而清洗攻击源输出的流量信息。

步骤S146，接收防护系统清洗后的流量。

具体地，在上述步骤中，当与攻击源连接的防护系统对攻击源的流量信息清洗之后，主站并可以接收清洗后的流量。

由上可知，在本申请上述实施例中，采用在运营商省网(包括市网)的网络设备上建立防护节点构造分布式防护系统的方式，通过主站内的安全设备检测主站上部署的各个业务服务器的流量信息，并根据该流量信息确定攻击各个业务服务器的攻击源，从而向与该攻击源连接的防护系统内的清洗设备下发清洗指令，清洗设备将攻击源上的异常流量清洗后，将该通信服务器上的正常业务流量通过运营商常规带宽或专线回注至主站，达到了以较低带宽承载攻击流量并对异常力量进行清洗的目的，从而实现了降低对运营商网络带宽的要求，降低流量在互联网上的滞留时延的技术效果，进而解决了进而解决了现有抵抗DDoS攻击的方案对运营商网络带宽要求高且存在流量时延的技术问题。

实施例6

根据本发明实施例，提供了一种网络攻击分布式防御的部署方法实施例，应用于包括主站和子站的网络系统中，其中，主站包括用于提供服务的服务器，子站包括多个用于访问主站的计算设备。

本申请提供的网络攻击分布式防御的部署方法实施例可以应用于本申请实施例1提供的网络攻击的处理系统中，适用于互联网领域任何抵抗DDoS攻击的业务场景。

图15是根据本发明实施例的一种网络攻击的处理方法流程图，如图15所示，包括如下步骤：

步骤S152，在主站所在的网络中，设置安全设备，其中，安全设备用于监控主站的流量信息，并根据流量信息确定发出网络攻击的攻击源；

步骤S154，根据预设的地理范围，将多个子站划分成多个防御区域；

步骤S156，在每个防御区域中，设置一个防御节点，其中，每个防御区域中的多个子站对主站的访问流量经过该防御节点，防御节点用于接收来自安全设备的清洗指令，清洗指令用于指示执行清洗操作，清洗攻击源对应的防御区域输出的流量信息。

具体地，在上述步骤中，上述主站可以为用于创建各种云服务器的公有云、私有云或混合云，主站内的云服务器可以为用于存放各种网站(例如，企业网站、政府网站、电子商务网站、游戏网站等)的服务器，即，用于提供各种网络服务的服务器；上述安全设备可以为主站上部署的用于保证主站上各个业务服务器不受DDoS攻击的检测设备；该安全设备与主站上的各个业务服务器连接，用于发现各个业务服务器上的DDoS攻击以及攻击源的来源地，并向该攻击源的来源地的防护系统中的清洗设备下发清洗流量的指令，该指令可以用于清洗该来源地的子站的所有流量(包括：正常流量和异常流量)，在清洗后，将正常流量回注到主站上的业务服务器；上述子站可以用于提供多个用于访问主站的计算设备。

一种可选的实施例中，上述预设的地理范围可以为以省或市为单位。

基于上述步骤S152至S156公开的方案，提供了一种分布式防御网络攻击的部署方法，通过主站所在网络中部署的安全设备监控来自各地的访问该主站的所有流量信息，根据这些流量信息确定发出网络攻击的攻击源，并根据预设的地理范围，将多个子站划分为多个防御区域，在每个防御区域中，设置相应的防御节点，形成分布式部署的多个防御节点，由于每个防御区域内的各个子站向主站的访问流量都会经过该防御区域内设置的防御节点，这些防御节点接收来自安全设备的清洗指令，该清洗指令清洗攻击源对应的防御区域输出的流量信息，从而达到分布式防御网络攻击的目的。

需要说明的是，由于DDoS攻击主要是利用互联上分布式部署的大量客户端(受控主机)向目标服务器发送大量的合法请求，以消耗或者占用目标服务器的大量资源，占满目标服务器的带宽，从而达到拒绝正常用户客户端向目标服务器的请求服务的。本申请上述实施例公开的分布式防御方法可以很好地抵制DDoS攻击。

实施例7

本发明的实施例可以提供一种计算机终端，该计算机终端可以是计算机终端群中的任意一个计算机终端设备。可选地，在本实施例中，上述计算机终端也可以替换为移动终端等终端设备。

可选地，在本实施例中，上述计算机终端可以位于计算机网络的多个网络设备中的至少一个访问设备。

图16示出了一种计算机终端的硬件结构框图。如图16所示，计算机终端16可以包括一个或多个(图中采用162a、162b，……，162n来示出)处理器162(处理器162可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)、用于存储数据的存储器164、以及用于通信功能的传输装置166。除此以外，还可以包括：显示器、输入/输出接口(I/O接口)、通用串行总线(USB)端口(可以作为I/O接口的端口中的一个端口被包括)、网络接口、电源和/或相机。本领域普通技术人员可以理解，图16所示的结构仅为示意，其并不对上述电子装置的结构造成限定。例如，计算机终端16还可包括比图16中所示更多或者更少的组件，或者具有与图16所示不同的配置。

应当注意到的是上述一个或多个处理器162和/或其他数据处理电路在本文中通常可以被称为“数据处理电路”。该数据处理电路可以全部或部分的体现为软件、硬件、固件或其他任意组合。此外，数据处理电路可为单个独立的处理模块，或全部或部分的结合到计算机终端16中的其他元件中的任意一个内。如本申请实施例中所涉及到的，该数据处理电路作为一种处理器控制(例如与接口连接的可变电阻终端路径的选择)。

处理器162可以通过传输装置调用存储器存储的信息及应用程序，以执行下述步骤：获取密钥的滑窗序列，其中，滑窗序列包括：对密钥进行滑窗处理后得到的多个滑窗；对滑窗序列中的至少一个滑窗进行加扰处理，得到加扰后的滑窗序列；遍历加扰后的滑窗序列，使用蒙哥马利模乘器对加扰后的滑窗序列进行后处理。

存储器164可用于存储应用软件的软件程序以及模块，如本发明实施例中的密钥的处理方法对应的程序指令/数据存储装置，处理器162通过运行存储在存储器164内的软件程序以及模块，从而执行各种功能应用以及数据处理，即实现上述的应用程序的密钥的处理方法。存储器164可包括高速随机存储器，还可包括非易失性存储器，如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中，存储器164可进一步包括相对于处理器162远程设置的存储器，这些远程存储器可以通过网络连接至计算机终端16。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。

传输装置166用于经由一个网络接收或者发送数据。上述的网络具体实例可包括计算机终端16的通信供应商提供的无线网络。在一个实例中，传输装置166包括一个网络适配器(Network Interface Controller，NIC)，其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中，传输装置166可以为射频(Radio Frequency，RF)模块，其用于通过无线方式与互联网进行通讯。

显示器可以例如触摸屏式的液晶显示器(LCD)，该液晶显示器可使得用户能够与计算机终端16的用户界面进行交互。

此处需要说明的是，在一些可选实施例中，上述图16所示的计算机终端16可以包括硬件元件(包括电路)、软件元件(包括存储在计算机可读介质上的计算机代码)、或硬件元件和软件元件两者的结合。应当指出的是，图16仅为特定具体实例的一个实例，并且旨在示出可存在于上述计算机终端16中的部件的类型。

在本实施例中，上述计算机终端16可以执行应用程序的网络攻击的处理方法中以下步骤的程序代码：获取主站的流量信息；根据主站的流量信息确定发出了网络攻击的攻击源；向攻击源的防护系统下发清洗指令，其中，清洗指令用于指示执行清洗操作，清洗攻击源输出的流量信息。

可选的，上述处理器还可以执行如下步骤的程序代码：获取主站的流量信息；根据主站的流量信息确定发出了网络攻击的攻击源；向攻击源的防护系统下发清洗指令，其中，清洗指令用于指示执行清洗操作，清洗攻击源输出的流量信息。

可选的，上述处理器还可以执行如下步骤的程序代码：检测主站的流量信息中是否存在攻击流量；在检测到攻击流量的情况下，确定发生了网络攻击；解析攻击流量，得到产生攻击流量的攻击源的地址信息；其中，攻击源为部署于预定地域的通信服务器，通信服务器将产生的攻击流量传输至部署在主站上的攻击对象。

可选的，上述处理器还可以执行如下步骤的程序代码：确定主站中收到网络攻击的攻击对象；获取清洗指令，其中，清洗指令至少包括：攻击对象的地址信息以及地址信息所在的预定网段。

可选的，防护系统为分布式防护系统，分布式防护系统包括：至少一个清洗服务器，其中，在向攻击源的防护系统下发清洗指令之后，上述处理器还可以执行如下步骤的程序代码：清洗服务器获取攻击对象所在的预定网段和对应的路由信息；清洗服务器根据路由信息将预定网段传输至通信服务器；清洗服务器接收通信服务器返回的至少一个访问设备的网络流量，其中，访问设备为访问了位于预定网段内的目标对象的设备；清洗服务器清洗至少一个访问设备的网络流量，并将清洗结果回注至主站。

可选的，通信服务器为通信运营商提供的运营商设备，上述处理器还可以执行如下步骤的程序代码：采用与运营商设备控制的静态带宽传输通道将清洗结果回注至主站。

可选的，在根据主站的流量信息确定发出了网络攻击的攻击源之后，上述处理器还可以执行如下步骤的程序代码：获取攻击源对应的分布式防护系统，具体地，根据攻击源的地理信息，获取与来源地的地理信息对接的分布式防护系统，其中，主站对应至少一个分布式防护系统，每个分布式防护系统对接不同的通信服务器所确定的地理区域。

可选的，上述处理器还可以执行如下步骤的程序代码：通过分光设备接收来自主站的流量信息，其中，主站包括多个业务服务器，每个业务服务器产生的网络流量构成主站的流量信息。

本领域普通技术人员可以理解，图16所示的结构仅为示意，计算机终端也可以是智能手机(如Android手机、iOS手机等)、平板电脑、掌声电脑以及移动互联网设备(Mobile Internet Devices，MID)、PAD等终端设备。图16其并不对上述电子装置的结构造成限定。例如，计算机终端16还可包括比图16中所示更多或者更少的组件(如网络接口、显示装置等)，或者具有与图16所示不同的配置。

本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令终端设备相关的硬件来完成，该程序可以存储于一计算机可读存储介质中，存储介质可以包括：闪存盘、只读存储器(Read-Only Memory，ROM)、随机存取器(Random Access Memory，RAM)、磁盘或光盘等。

实施例8

本发明的实施例还提供了一种存储介质。可选地，在本实施例中，上述存储介质可以用于保存上述实施例一所提供的网络攻击的处理方法所执行的程序代码。

可选地，在本实施例中，上述存储介质可以位于计算机网络中计算机终端群中的任意一个计算机终端中，或者位于移动终端群中的任意一个移动终端中。

可选地，在本实施例中，存储介质被设置为存储用于执行以下步骤的程序代码：获取主站的流量信息；根据主站的流量信息确定发出了网络攻击的攻击源；向攻击源的防护系统下发清洗指令，其中，清洗指令用于指示执行清洗操作，清洗攻击源输出的流量信息。

可选地，在本实施例中，存储介质被设置为存储用于执行以下步骤的程序代码：获取主站的流量信息；根据主站的流量信息确定发出了网络攻击的攻击源；向攻击源的防护系统下发清洗指令，其中，清洗指令用于指示执行清洗操作，清洗攻击源输出的流量信息。

可选地，在本实施例中，存储介质被设置为存储用于执行以下步骤的程序代码：检测主站的流量信息中是否存在攻击流量；在检测到攻击流量的情况下，确定发生了网络攻击；解析攻击流量，得到产生攻击流量的攻击源的地址信息；其中，攻击源为部署于预定地域的通信服务器，通信服务器将产生的攻击流量传输至部署在主站上的攻击对象。

可选地，在本实施例中，存储介质被设置为存储用于执行以下步骤的程序代码：确定主站中收到网络攻击的攻击对象；获取清洗指令，其中，清洗指令至少包括：攻击对象的地址信息以及地址信息所在的预定网段。

可选地，在本实施例中，防护系统为分布式防护系统，分布式防护系统包括：至少一个清洗服务器，其中，在向攻击源的防护系统下发清洗指令之后，存储介质被设置为存储用于执行以下步骤的程序代码：清洗服务器获取攻击对象所在的预定网段和对应的路由信息；清洗服务器根据路由信息将预定网段传输至通信服务器；清洗服务器接收通信服务器返回的至少一个访问设备的网络流量，其中，访问设备为访问了位于预定网段内的目标对象的设备；清洗服务器清洗至少一个访问设备的网络流量，并将清洗结果回注至主站。

可选地，在本实施例中，通信服务器为通信运营商提供的运营商设备，存储介质被设置为存储用于执行以下步骤的程序代码：采用与运营商设备控制的静态带宽传输通道将清洗结果回注至主站。

可选地，在本实施例中，在根据主站的流量信息确定发出了网络攻击的攻击源之后，存储介质被设置为存储用于执行以下步骤的程序代码：获取攻击源对应的分布式防护系统，具体地，根据攻击源的地理信息，获取与来源地的地理信息对接的分布式防护系统，其中，主站对应至少一个分布式防护系统，每个分布式防护系统对接不同的通信服务器所确定的地理区域。

可选地，在本实施例中，存储介质被设置为存储用于执行以下步骤的程序代码：通过分光设备接收来自主站的流量信息，其中，主站包括多个业务服务器，每个业务服务器产生的网络流量构成主站的流量信息。

上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。

在本发明的上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述的部分，可以参见其他实施例的相关描述。

在本申请所提供的几个实施例中，应该理解到，所揭露的技术内容，可通过其它的方式实现。其中，以上所描述的装置实施例仅仅是示意性的，例如所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，单元或模块的间接耦合或通信连接，可以是电性或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。