技术摘要：
本发明公开一种基于流量特征识别的分布式拒绝服务的监控和防控方法。所述基于流量特征识别的分布式拒绝服务的监控和防控方法通过判断服务单元调用阻断服务单元，以通过所述阻断服务单元对受保护的互联网协议地址的访问流量进行阻断，所述判断服务单元记录所述遭受攻击  全部
背景技术：
分布式拒绝服务（DDoS，Distributed  Denial  of  Service）攻击指借助于客户、服 务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DDoS攻击，从而成 倍地提高拒绝服务攻击的威力。DDoS攻击是当今互联网重要的安全威胁之一，发起者通过 遍布各地的攻击源同时向目标服务器大量请求，大量消耗攻击目标的网络和计算资源，使 被攻击目标无法提供正常的服务。相对于对攻击目标造成的影响，其攻击成本低廉，因此是 互联网上很常见的一种攻击方式。 网络层DDoS攻击对云服务商和互联网数据中心（IDC，Internet  Data  Center）服 务商影响更大，由于云服务商和IDC服务商通过集中的互联网出入口为多租户提供网络服 务，某一个IP被攻击，如果不及时处理，都有可能影响到其它所有租户的网络服务。现有技 术中在防御DDoS攻击的方法通常手动切换别名记录（CNAME），手动做路由黑洞，现有技术在 发现DDoS攻击、响应DDoS攻击方面需要大量人工操作，因此针对DDOS攻击，无法及时发现并 进行快速响应，无法阻断攻击流量，因此迫切需要改进。
技术实现要素：
鉴于以上所述现有技术的缺点，本发明的目的在于提供一种基于流量特征识别的 分布式拒绝服务的监控和防控方法，用于解决现有技术中的无法及时发现并进行快速响 应，无法阻断攻击流量的问题。 为实现上述目的及其他相关目的，本发明提供一种基于流量特征识别的分布式拒 绝服务的监控和防控方法，所述基于流量特征识别的分布式拒绝服务的监控和防控方法包 括： S1、在边界网络交换机上配置端口镜像单元，以用于将输入至所述边界网络交换机中 的访问流量进行镜像处理，将所述访问流量镜像复制一份或多份，以生成镜像后的一份或 多份镜像的流量； S2、客户端对服务器端进行访问，以生成访问流量； S3、所述访问流量经过网络运营商，进入所述边界网络交换机； S4、将所述镜像的流量发送至分布式拒绝服务检测单元； S5、所述分布式拒绝服务检测单元对所述镜像的流量进行实时流量特征分析，以根据 所述镜像的流量的特征，实时检测出分布式拒绝服务的攻击，并检测得出遭受攻击的类型、 被攻击的互联网协议地址、遭受攻击时的流量带宽以及遭受攻击时的每秒传输的包数，其 中，所述镜像的流量的特征包括实时流量带宽以及实时流量每秒传输的包数； S6、预先在判断服务单元中根据不同的受保护的互联网协议地址设置最大忍受被攻击 5 CN 111556068 A 说　明　书 2/11 页 阈值，所述最大忍受被攻击阈值包括流量带宽阈值、每秒传输的包数阈值以及阻断持续时 间； S7、通过所述判断服务单元判断遭受攻击时的流量带宽、遭受攻击时的每秒传输的包 数是否在所述流量带宽阈值、每秒传输的包数阈值的范围内；若是，则执行步骤S8操作；若 否，则执行步骤S9操作； S8、判断所述镜像的流量是否对所述边界网络交换机有影响；若是，则执行步骤S10操 作；若否，则执行步骤S11操作； S9、所述判断服务单元调用阻断服务单元，以通过所述阻断服务单元对所述受保护的 互联网协议地址的访问流量进行阻断，所述判断服务单元记录所述遭受攻击的类型、遭受 攻击时的流量带宽、遭受攻击时的每秒传输的包数； S10、通过人机交互界面调用阻断服务单元，以对所述受保护的互联网协议地址的访问 流量进行阻断； S11、所述判断服务单元不进行处理； S12、所述阻断服务单元判断对所述受保护的互联网协议地址的访问流量进行阻断的 时间是否在所述阻断持续时间的范围内；若是，则执行步骤S13操作；若否，则执行步骤S14 操作； S13、判断当前镜像的流量的状况是否可以解除阻断；若是，则执行步骤S15操作；若否， 则执行步骤S16操作； S14、所述阻断服务单元解除对所述受保护的互联网协议地址的访问流量的阻断； S15、通过人机交互界面调用阻断服务单元，以对所述受保护的互联网协议地址的访问 流量进行解除阻断； S16、所述阻断服务单元持续对所述受保护的互联网协议地址的访问流量进行阻断。 在本发明的一实施例中，所述基于流量特征识别的分布式拒绝服务的监控和防控 方法还包括： S0、将各个网络运营商提供的流量防护服务应用程序编程接口封装于阻断服务单元 中，以为阻断服务提供统一的应用程序编程接口。 在本发明的一实施例中，所述基于流量特征识别的分布式拒绝服务的监控和防控 方法还包括： S17、通过所述判断服务单元对已阻断的受保护的互联网协议地址的访问流量进行记 录和审计； S18、记录和审计所述已阻断的受保护的互联网协议地址的访问流量的信息。 在本发明的一实施例中，通过所述阻断服务单元对所述受保护的互联网协议地址 的访问流量进行阻断的方式包括： 所述阻断服务单元阻断进入所述边界网络交换机的受保护的互联网协议地址的访问 流量； 和/或所述阻断服务单元调用相应的网络运营商提供的流量防护服务应用程序编程接 口，以令所述相应的网络运营商阻断受保护的互联网协议地址的访问流量。 在本发明的一实施例中，步骤S10中的通过人机交互界面调用阻断服务单元，以对 所述受保护的互联网协议地址的访问流量进行阻断的步骤包括： 6 CN 111556068 A 说　明　书 3/11 页 S101、设置一人机交互界面； S102、通过所述人机交互界面输入指定的受保护的互联网协议地址； S103、将所述受保护的互联网协议地址由判断服务单元发送至所述阻断服务单元； S104、通过所述阻断服务单元对所述受保护的互联网协议地址的访问流量进行阻断。 在本发明的一实施例中，步骤S15中的通过人机交互界面调用阻断服务单元，以对 所述受保护的互联网协议地址的访问流量进行解除阻断的步骤包括： S151、设置一人机交互界面； S152、通过所述人机交互界面输入指定的受保护的互联网协议地址； S153、将所述受保护的互联网协议地址由所述判断服务单元发送至所述阻断服务单 元； S154、通过所述阻断服务单元对所述受保护的互联网协议地址的访问流量进行解除阻 断。 在本发明的一实施例中，所述已阻断的受保护的互联网协议地址的访问流量的信 息包括阻断开始时间、阻断持续时间、阻断解除时间、阻断途径、遭受攻击的类型、遭受攻击 时的流量带宽、遭受攻击时的每秒传输的包数中的一种或几种。 本发明还提供一种基于流量特征识别的分布式拒绝服务的监控和防控系统，所述 基于流量特征识别的分布式拒绝服务的监控和防控系统包括： 边界网络交换机，其上配置有端口镜像单元，以用于将输入至所述边界网络交换机中 的访问流量进行镜像处理，将所述访问流量镜像复制一份或多份，以生成镜像后的一份或 多份镜像的流量； 客户端，用于对服务器端进行访问，以生成访问流量；所述访问流量经过网络运营商， 进入所述边界网络交换机； 端口镜像单元，用于将所述镜像的流量发送至分布式拒绝服务检测单元； 分布式拒绝服务检测单元，用于对所述镜像的流量进行实时流量特征分析，以根据所 述镜像的流量的特征，实时检测出分布式拒绝服务的攻击，并检测得出遭受攻击的类型、被 攻击的互联网协议地址、遭受攻击时的流量带宽以及遭受攻击时的每秒传输的包数，其中， 所述镜像的流量的特征包括实时流量带宽以及实时流量每秒传输的包数； 判断服务单元，用于预先在判断服务单元中根据不同的受保护的互联网协议地址设置 最大忍受被攻击阈值，所述最大忍受被攻击阈值包括流量带宽阈值、每秒传输的包数阈值 以及阻断持续时间； 所述判断服务单元，用于判断遭受攻击时的流量带宽、遭受攻击时的每秒传输的包数 是否在所述流量带宽阈值、每秒传输的包数阈值的范围内；若是，判断所述镜像的流量是否 对所述边界网络交换机有影响，若所述镜像的流量对所述边界网络交换机有影响，则通过 人机交互界面调用阻断服务单元，以对所述受保护的互联网协议地址的访问流量进行阻 断，若所述镜像的流量对所述边界网络交换机没有影响，则所述判断服务单元不进行处理； 若否，则所述判断服务单元调用阻断服务单元，以通过所述阻断服务单元对所述受保护的 互联网协议地址的访问流量进行阻断，所述判断服务单元记录所述遭受攻击的类型、遭受 攻击时的流量带宽、遭受攻击时的每秒传输的包数； 所述阻断服务单元，用于判断对所述受保护的互联网协议地址的访问流量进行阻断的 7 CN 111556068 A 说　明　书 4/11 页 时间是否在所述阻断持续时间的范围内；若是，则判断当前镜像的流量的状况是否可以解 除阻断；若当前镜像的流量的状况可以解除阻断，则通过人机交互界面调用阻断服务单元， 以对所述受保护的互联网协议地址的访问流量进行解除阻断，若当前镜像的流量的状况不 可以解除阻断，则所述阻断服务单元持续对所述受保护的互联网协议地址的访问流量进行 阻断；若否，则所述阻断服务单元解除对所述受保护的互联网协议地址的访问流量的阻断。 本发明还提供一种电子设备，包括处理器和存储器，所述存储器存储有程序指令， 所述处理器运行程序指令实现上述的基于流量特征识别的分布式拒绝服务的监控和防控 方法。 本发明还提供一种计算机可读存储介质，所述计算机可读存储介质存储有计算机 指令，所述计算机指令用于使所述计算机执行上述的基于流量特征识别的分布式拒绝服务 的监控和防控方法。 如上所述，本发明的一种基于流量特征识别的分布式拒绝服务的监控和防控方 法，具有以下有益效果： 本发明的基于流量特征识别的分布式拒绝服务的监控和防控方法通过分布式拒绝服 务检测单元、判断服务单元、阻断服务单元对受保护的互联网协议地址的访问流量进行自 动阻断，还能够通过所述阻断服务单元对受保护的互联网协议地址的访问流量进行指定的 阻断，本发明能够针对分布式拒绝服务攻击，及时发现并进行快速响应，能够有效地阻断攻 击流量。 本发明的基于流量特征识别的分布式拒绝服务的监控和防控方法能够及时识别 分布式拒绝服务的流量攻击，并自动作出响应，大幅降低了由于分布式拒绝服务攻击对云 服务商或者IDC服务提供商带来的影响。 本发明的基于流量特征识别的分布式拒绝服务的监控和防控系统包括分布式拒 绝服务检测单元、判断服务单元以及阻断服务单元，本发明的基于流量特征识别的分布式 拒绝服务的监控和防控系统响应速度快，能够迅速地对分布式拒绝服务的流量攻击做出响 应，并且使用方便，能够方便地查询到已阻断的互联网协议地址的访问流量的信息，实施效 果较好。 附图说明 图1为本申请一个实施例提供的一种基于流量特征识别的分布式拒绝服务的监控 和防控系统的结构示意图。 图2为本申请又一个实施例提供的一种基于流量特征识别的分布式拒绝服务的监 控和防控系统的结构示意图。 图3为本申请实施例提供的一种基于流量特征识别的分布式拒绝服务的监控和防 控方法的工作流程图。 图4为本申请实施例提供的图3的一种基于流量特征识别的分布式拒绝服务的监 控和防控方法的步骤S10的工作流程图。 图5为本申请实施例提供的图3的一种基于流量特征识别的分布式拒绝服务的监 控和防控方法的步骤S15的工作流程图。 图6为本申请实施例提供的一种基于流量特征识别的分布式拒绝服务的监控和防 8 CN 111556068 A 说　明　书 5/11 页 控系统的阻断服务单元的接口结构示意图。 图7为本申请实施例提供的一种电子设备的结构示意图。 元件标号说明 1客户端 2网络运营商 3边界网络交换机 4服务器 5分布式拒绝服务检测单元 6判断服务单元 7阻断服务单元 8人机交互界面 9处理器 10存储器 21第一网络运营商应用程序编程接口 22第二网络运营商应用程序编程接口 23第三网络运营商应用程序编程接口。