本發(fā)明涉及計算機技術(shù)領域，尤其涉及一種DDOS攻擊流量的清洗方法及系統(tǒng)。

背景技術(shù)：

拒絕服務攻擊（DoS, Denial of Service）是指利用各種服務請求耗盡被攻擊網(wǎng)絡的系統(tǒng)資源，從而使被攻擊網(wǎng)絡無法處理合法用戶的請求。而隨著僵尸網(wǎng)絡的興起，同時由于攻擊方法簡單、影響較大、難以追查等特點，又使得分布式拒絕服務攻擊（DDoS，Distributed Denial of Service）得到快速壯大和日益泛濫。成千上萬主機組成的僵尸網(wǎng)絡為DDoS攻擊提供了所需的帶寬和主機，形成了規(guī)模巨大的攻擊和網(wǎng)絡流量，對被攻擊網(wǎng)絡造成了極大的危害。

隨著DDoS攻擊技術(shù)的不斷提高和發(fā)展，ISP、ICP、IDC等運營商面臨的安全和運營挑戰(zhàn)也不斷增多，運營商必須在DDoS威脅影響關(guān)鍵業(yè)務和應用之前，對流量進行檢測并加以清洗，確保網(wǎng)絡正常穩(wěn)定的運行以及業(yè)務的正常開展。同時，對DDoS攻擊流量的檢測和清洗也可以成為運營商為用戶提供的一種增值服務，以獲得更好的用戶滿意度。

對DDOS攻擊流量進行迅速有效且持續(xù)的清洗，是保障網(wǎng)絡傳輸和服務的關(guān)鍵，現(xiàn)在的攻擊除了會使用超大流量發(fā)出攻擊，還會在時間點和頻率上做選擇，達到攻擊效果最大化，所以清洗方案也要作相對的調(diào)整。

目前的流量清洗架構(gòu)一般分為兩種，一種是使用BGP等引流方式進行流量過濾，一種是使用DNS等接入云清洗平臺進行流量過濾，而無論使用上述兩種方式的任意一種，一般的清洗邏輯都是檢測出攻擊流量后，引流或者接入后再對流量進行清洗，攻擊流量結(jié)束后取消引流或者接入恢復流量的正常傳輸。

以上的清洗邏輯有明顯的缺點是無法有效應對脈沖式的攻擊方式，攻擊者會頻繁發(fā)出短暫的攻擊流量，一般使用引流的方式，從發(fā)出引流指令到流量真正流入清洗設備的時間間隔，最少需要3秒左右，而云清洗的接入方式就需要更加多的時間，攻擊者往往就是利用這個時間間隔，每次間隔一定的時間，只發(fā)出幾秒鐘的攻擊流量，清洗平臺剛開始清洗攻擊就已結(jié)束并且取消清洗。

技術(shù)實現(xiàn)要素：

為了解決上述技術(shù)問題，本發(fā)明的目的是提供一種能有效防止脈沖式攻擊，提升清洗效果的一種DDOS攻擊流量的清洗方法及系統(tǒng)。

本發(fā)明所采取的技術(shù)方案是：

一種DDOS攻擊流量的清洗方法，包括以下步驟：

對檢測設備、清洗設備和路由器建立通信連接；

清洗設備對保持牽引時間進行初始化；

檢測設備實時對攻擊進行檢測，當檢測到發(fā)生攻擊后，向清洗設備下達對被攻擊目標的清洗指令；

清洗設備接收清洗指令，并向路由器發(fā)出對被攻擊目標的流量牽引請求；

路由器根據(jù)流量牽引請求，將被攻擊目標的流量引流至清洗設備，所述清洗設備對流量進行清洗；

當攻擊結(jié)束后，清洗設備保持對被攻擊目標的流量牽引直到到達保持牽引時間，若在期間該被攻擊目標沒發(fā)生被攻擊，則清洗設備向路由器發(fā)出對該被攻擊目標的取消流量牽引請求。

作為所述的一種DDOS攻擊流量的清洗方法的進一步改進，所述的對檢測設備、清洗設備和路由器建立通信連接，這一步驟具體包括：

將檢測設備與清洗設備進行通信連接；

清洗設備與路由器通過BGP協(xié)議進行通信連接。

作為所述的一種DDOS攻擊流量的清洗方法的進一步改進，所述的路由器根據(jù)流量牽引請求，將被攻擊目標的流量引流至清洗設備，所述清洗設備對流量進行清洗，這一步驟之后還包括有：

清洗設備檢測目標的被攻擊頻率，判斷被攻擊頻率是否大于預設的攻擊頻率閾值，若是，則將保持牽引時間延長至預設的最大保持牽引時間；反之，則維持保持牽引時間不變。

本發(fā)明所采用的另一技術(shù)方案是：

一種DDOS攻擊流量的清洗系統(tǒng)，包括：

通信建立單元，用于對檢測設備、清洗設備和路由器建立通信連接；

初始化單元，用于清洗設備對保持牽引時間進行初始化；

攻擊檢測單元，用于檢測設備實時對攻擊進行檢測，當檢測到發(fā)生攻擊后，向清洗設備下達對被攻擊目標的清洗指令；

牽引請求單元，用于清洗設備接收清洗指令，并向路由器發(fā)出對被攻擊目標的流量牽引請求；

清洗單元，用于路由器根據(jù)流量牽引請求，將被攻擊目標的流量引流至清洗設備，所述清洗設備對流量進行清洗；

牽引保持單元，用于當攻擊結(jié)束后，清洗設備保持對被攻擊目標的流量牽引直到到達保持牽引時間，若在期間該被攻擊目標沒發(fā)生被攻擊，則清洗設備向路由器發(fā)出對該被攻擊目標的取消流量牽引請求。

作為所述的一種DDOS攻擊流量的清洗系統(tǒng)的進一步改進，所述通信建立單元，其具體包括：

設備連接單元，用于將檢測設備與清洗設備進行通信連接；

BGP連接單元，用于清洗設備與路由器通過BGP協(xié)議進行通信連接。

作為所述的一種DDOS攻擊流量的清洗系統(tǒng)的進一步改進，所述清洗單元之后還包括有：

頻率檢測單元，用于清洗設備檢測目標的被攻擊頻率，判斷被攻擊頻率是否大于預設的攻擊頻率閾值，若是，則將保持牽引時間延長至預設的最大保持牽引時間；反之，則維持保持牽引時間不變。

本發(fā)明的有益效果是：

本發(fā)明一種DDOS攻擊流量的清洗方法及系統(tǒng)通過在清洗攻擊流量結(jié)束后的保持牽引，這樣下次發(fā)生攻擊的時候就能立刻開始清洗攻擊流量而不必向路由器再次申請流量的牽引并且等待幾秒鐘后的路由器生效，有效的防止攻擊者使用脈沖式的攻擊方法來避過流量清洗系統(tǒng)的清洗間隔，從而達到更好的清洗效果。進一步，本發(fā)明還能通過判斷目標被攻擊的頻率，根據(jù)實際情況改變該目標在清洗攻擊流量結(jié)束后的保持牽引時間，提高該目標下次發(fā)生攻擊的時候還尚在牽引狀態(tài)下的機率。

附圖說明

下面結(jié)合附圖對本發(fā)明的具體實施方式作進一步說明：

圖1是本發(fā)明一種DDOS攻擊流量的清洗方法的步驟流程圖；

圖2是本發(fā)明一種DDOS攻擊流量的清洗方法中通信建立的步驟流程圖；

圖3是本發(fā)明一種DDOS攻擊流量的清洗系統(tǒng)的模塊方框圖。

具體實施方式

參考圖1，本發(fā)明一種DDOS攻擊流量的清洗方法，包括以下步驟：

對檢測設備、清洗設備和路由器建立通信連接；

清洗設備對保持牽引時間進行初始化；

檢測設備實時對攻擊進行檢測，當檢測到發(fā)生攻擊后，向清洗設備下達對被攻擊目標的清洗指令；

清洗設備接收清洗指令，并向路由器發(fā)出對被攻擊目標的流量牽引請求；

路由器根據(jù)流量牽引請求，將被攻擊目標的流量引流至清洗設備，所述清洗設備對流量進行清洗；

當攻擊結(jié)束后，清洗設備保持對被攻擊目標的流量牽引直到到達保持牽引時間，若在期間該被攻擊目標沒發(fā)生被攻擊，則清洗設備向路由器發(fā)出對該被攻擊目標的取消流量牽引請求。

參考圖2，進一步作為優(yōu)選的實施方式，所述的對檢測設備、清洗設備和路由器建立通信連接，這一步驟具體包括：

將檢測設備與清洗設備進行通信連接；

清洗設備與路由器通過BGP協(xié)議進行通信連接。

進一步作為優(yōu)選的實施方式，所述的路由器根據(jù)流量牽引請求，將被攻擊目標的流量引流至清洗設備，所述清洗設備對流量進行清洗，這一步驟之后還包括有：

清洗設備檢測目標的被攻擊頻率，判斷被攻擊頻率是否大于預設的攻擊頻率閾值，若是，則將保持牽引時間延長至預設的最大保持牽引時間；反之，則維持保持牽引時間不變。

本發(fā)明實施例中，保持牽引時間初始化為5s，最大保持牽引時間為10s，攻擊頻率閾值為3次/h，因此具體實施例如下：

S1、將檢測設備與清洗設備進行通信連接；

S2、清洗設備與路由器通過BGP協(xié)議進行通信連接；

S3、清洗設備對保持牽引時間進行初始化，將保持牽引時間初始化為5s；

S4、檢測設備實時對攻擊進行檢測，當檢測到發(fā)生攻擊后，向清洗設備下達對被攻擊目標M的清洗指令；

S5、清洗設備接收清洗指令，并向路由器發(fā)出對被攻擊目標M的流量牽引請求；

S6、路由器根據(jù)流量牽引請求，將被攻擊目標M的流量引流至清洗設備，所述清洗設備對流量進行清洗；

S7、清洗設備檢測被攻擊目標M的被攻擊頻率，即一小時被攻擊的次數(shù)，判斷被攻擊頻率是否大于3次/h，若是，則將保持牽引時間延長至10s；反之，則維持保持牽引時間不變；

S8、當攻擊結(jié)束后，清洗設備保持對被攻擊目標的流量牽引直到到達保持牽引時間，若在期間該被攻擊目標M沒發(fā)生被攻擊，則清洗設備向路由器發(fā)出對該被攻擊目標的取消流量牽引請求。

參考圖3，本發(fā)明一種DDOS攻擊流量的清洗系統(tǒng)，包括：

通信建立單元，用于對檢測設備、清洗設備和路由器建立通信連接；

初始化單元，用于清洗設備對保持牽引時間進行初始化；

攻擊檢測單元，用于檢測設備實時對攻擊進行檢測，當檢測到發(fā)生攻擊后，向清洗設備下達對被攻擊目標的清洗指令；

牽引請求單元，用于清洗設備接收清洗指令，并向路由器發(fā)出對被攻擊目標的流量牽引請求；

清洗單元，用于路由器根據(jù)流量牽引請求，將被攻擊目標的流量引流至清洗設備，所述清洗設備對流量進行清洗；

牽引保持單元，用于當攻擊結(jié)束后，清洗設備保持對被攻擊目標的流量牽引直到到達保持牽引時間，若在期間該被攻擊目標沒發(fā)生被攻擊，則清洗設備向路由器發(fā)出對該被攻擊目標的取消流量牽引請求。

進一步作為優(yōu)選的實施方式，所述通信建立單元，其具體包括：

設備連接單元，用于將檢測設備與清洗設備進行通信連接；

BGP連接單元，用于清洗設備與路由器通過BGP協(xié)議進行通信連接。

進一步作為優(yōu)選的實施方式，所述清洗單元之后還包括有：

頻率檢測單元，用于清洗設備檢測目標的被攻擊頻率，判斷被攻擊頻率是否大于預設的攻擊頻率閾值，若是，則將保持牽引時間延長至預設的最大保持牽引時間；反之，則維持保持牽引時間不變。

從上述內(nèi)容可知，本發(fā)明一種DDOS攻擊流量的清洗方法及系統(tǒng)通過在清洗攻擊流量結(jié)束后的保持牽引，這樣下次發(fā)生攻擊的時候就能立刻開始清洗攻擊流量而不必向路由器再次申請流量的牽引并且等待幾秒鐘后的路由器生效，有效的防止攻擊者使用脈沖式的攻擊方法來避過流量清洗系統(tǒng)的清洗間隔，從而達到更好的清洗效果。進一步，本發(fā)明還能通過判斷目標被攻擊的頻率，根據(jù)實際情況改變該目標在清洗攻擊流量結(jié)束后的保持牽引時間，提高該目標下次發(fā)生攻擊的時候還尚在牽引狀態(tài)下的機率。

以上是對本發(fā)明的較佳實施進行了具體說明，但本發(fā)明創(chuàng)造并不限于所述實施例，熟悉本領域的技術(shù)人員在不違背本發(fā)明精神的前提下還可做作出種種的等同變形或替換，這些等同的變形或替換均包含在本申請權(quán)利要求所限定的范圍內(nèi)。