一种基于分布式拒绝服务攻击的处理方法和装置与流程

本发明涉及网络，特别是涉及一种基于分布式拒绝服务攻击的处理方法和装置。

背景技术：

1、分布式拒绝服务(distributed denial of service，ddos)攻击是一种网络安全攻击，旨在通过同时向目标系统发送大量请求或恶意流量，使其无法正常提供服务。分布式拒绝服务攻击通常涉及使用多个被感染的计算机或设备作为攻击源，这些被感染的计算机通过组成一个庞大的网络同时向目标系统发送请求。分布式拒绝服务攻击的目的是消耗目标系统的计算资源、带宽或网络连接能力，使其无法响应合法用户的请求，从而导致服务不可用。攻击者通过控制并协调大量攻击源，可以在短时间内造成巨大的网络流量，超过目标系统的处理能力，进而导致系统崩溃或降级。

2、目前，分布式拒绝服务(ddos，distributed denial of service)攻击仍然是电信运营商以及运行在云计算环境中的诸多业务和服务所面临的最多的攻击之一，其中，高容量的分布式拒绝服务攻击可以完全占用受害者的带宽，也存在流量不大但以占满业务系统的业务处理能力为目标的分布式拒绝服务攻击，如以消耗网络连接数、消耗后台计算资源等。

3、对于分布式拒绝服务攻击，通常是在检测到分布式拒绝服务攻击的网络流量后，将该网络流量相应的ip地址和端口号进行屏蔽，或将该网络流量相应的网络前缀(即网段)进行屏蔽，而采用屏蔽ip地址和端口号的方式可能需要建立大量的访问控制规则，耗费较多时间且容易导致超出交换机等网络设备的承载上限，进而造成大量丢包，而采用屏蔽网络前缀的方式可能会导致正常业务流量被阻断。

技术实现思路

1、鉴于上述问题，提出了以便提供克服上述问题或者至少部分地解决上述问题的一种基于分布式拒绝服务攻击的处理方法和装置，包括：

2、一种基于分布式拒绝服务攻击的处理方法，包括：

3、获取针对分布式拒绝服务攻击的防御服务的用户订阅信息；

4、根据所述用户订阅信息，生成软件定义网络流表；

5、通过第一软件定义网络节点，接收网络流量，并按照所述软件定义网络流表的指示，确定针对订阅防御服务的用户的网络流量，将针对订阅防御服务的用户的网络流量转发至一个或多个第二软件定义网络节点；其中，不同的第二软件定义网络节点对应不同的防御服务级别；

6、按照所述软件定义网络流表的指示，采用所述一个或多个第二软件定义网络节点相应的防御服务级别，对接收到的网络流量进行分布式拒绝服务攻击检测，并根据检测结果，对接收到的网络流量进行丢弃或转发至业务网络。

7、可选地，所述按照所述软件定义网络流表的指示，采用所述一个或多个第二软件定义网络节点相应的防御服务级别，对接收到的网络流量进行分布式拒绝服务攻击检测，包括：

8、根据所述软件定义网络流表，确定目标用户订阅的目标防御服务级别，并确定所述目标防御服务级别的上层防御服务级别；

9、确定所述上层防御服务级别对应的上层第二软件定义网络节点，通过所述上层第二软件定义网络节点，采用相应的防御服务级别，对针对所述目标用户的网络流量进行分布式拒绝服务攻击检测，并根据所述上层第二软件定义网络节点的检测结果，从针对所述目标用户的网络流量中确定第一网络流量；

10、确定所述目标防御服务级别对应的目标第二软件定义网络节点，并通过所述目标第二软件定义网络节点，采用相应的防御服务级别，对所述第一网络流量进行分布式拒绝服务攻击检测。

11、可选地，所述根据所述上层第二软件定义网络节点的检测结果，从针对所述目标用户的网络流量中确定第一网络流量，包括：

12、根据所述上层第二软件定义网络节点的检测结果，从针对所述目标用户的网络流量中确定检测到分布式拒绝服务攻击的第二网络流量；

13、确定所述第二网络流量的流量统计值，并根据所述第二网络流量的流量统计值，从所述第二网络流量中确定第一网络流量；

14、根据检测结果，对接收到的网络流量进行丢弃或转发至业务网络，包括：

15、通过所述上层第二软件定义网络节点，根据所述上层第二软件定义网络节点的检测结果，将针对所述目标用户的网络流量中除所述第一网络流量之外的网络流量转发至业务网络。

16、可选地，所述根据所述第二网络流量的流量统计值，从所述第二网络流量中确定第一网络流量，包括：

17、根据所述第二网络流量的流量统计值，从所述第二网络流量中确定流量统计值大于或等于流量阈值的网络流量，作为第一网络流量。

18、可选地，所述根据检测结果，对接收到的网络流量进行丢弃或转发至业务网络，包括：

19、根据所述目标第二软件定义网络节点的检测结果，从所述第一网络流量中确定检测到分布式拒绝服务攻击的第三网络流量；

20、确定所述第三网络流量的流量统计值，并通过所述目标第二软件定义网络节点，根据所述第三网络流量的流量统计值，对所述第三网络流量进行丢弃或转发至业务网络。

21、可选地，所述通过所述目标第二软件定义网络节点，根据所述第三网络流量的流量统计值，对所述第三网络流量进行丢弃或转发至业务网络，包括：

22、判断所述第三网络流量的流量统计值是否大于流量阈值；

23、在所述第三网络流量的流量统计值大于或等于流量阈值的情况下，通过所述目标第二软件定义网络节点，对所述第三网络流量进行丢弃；

24、在所述第三网络流量的流量统计值小于流量阈值的情况下，通过所述目标第二软件定义网络节点，将所述第三网络流量转发至业务网络。

25、可选地，所述根据检测结果，对接收到的网络流量进行丢弃或转发至业务网络，还包括：

26、根据所述目标第二软件定义网络节点的检测结果，从所述第一网络流量中确定未检测到分布式拒绝服务攻击的第四网络流量，并通过所述目标第二软件定义网络节点，将所述第四网络流量转发至业务网络。

27、可选地，在所述按照所述软件定义网络流表的指示，确定针对订阅防御服务的用户的网络流量之后，还包括：

28、通过所述第一软件定义网络节点，将针对未订阅防御服务的用户的网络流量转发至业务网络。

29、可选地，所述防御服务级别为以下任一项：针对网络前缀的防御服务级别、针对网络子前缀的防御服务级别、针对ip地址的防御服务级别、针对ip地址和端口号的防御服务级别。

30、一种基于分布式拒绝服务攻击的处理装置，用于：

31、获取针对分布式拒绝服务攻击的防御服务的用户订阅信息；

32、根据所述用户订阅信息，生成软件定义网络流表；

33、通过第一软件定义网络节点，接收网络流量，并按照所述软件定义网络流表的指示，确定针对订阅防御服务的用户的网络流量，将针对订阅防御服务的用户的网络流量转发至一个或多个第二软件定义网络节点；其中，不同的第二软件定义网络节点对应不同的防御服务级别；

34、按照所述软件定义网络流表的指示，采用所述一个或多个第二软件定义网络节点相应的防御服务级别，对接收到的网络流量进行分布式拒绝服务攻击检测，并根据检测结果，对接收到的网络流量进行丢弃或转发至业务网络。

35、一种电子设备，包括处理器、存储器及存储在所述存储器上并能够在所述处理器上运行的计算机程序，所述计算机程序被所述处理器执行时实现如上所述的基于分布式拒绝服务攻击的处理方法。

36、一种计算机可读存储介质，所述计算机可读存储介质上存储计算机程序，所述计算机程序被处理器执行时实现如上所述的基于分布式拒绝服务攻击的处理方法。

37、本发明实施例具有以下优点：

38、在本发明实施例中，通过获取针对分布式拒绝服务攻击的防御服务的用户订阅信息，根据所述用户订阅信息，生成软件定义网络流表，通过第一软件定义网络节点，接收网络流量，并按照所述软件定义网络流表的指示，确定针对订阅防御服务的用户的网络流量，将针对订阅防御服务的用户的网络流量转发至一个或多个第二软件定义网络节点，不同的第二软件定义网络节点对应不同的防御服务级别，然后按照所述软件定义网络流表的指示，采用所述一个或多个第二软件定义网络节点相应的防御服务级别，对接收到的网络流量进行分布式拒绝服务攻击检测，并根据检测结果，对接收到的网络流量进行丢弃或转发至业务网络，实现了通过软件定义网络对分布式拒绝服务攻击进行防御且提供不同级别的防御服务，能够根据用户的订阅来采用相应的防御服务级别，提升了对分布式拒绝服务攻击防御的灵活性。