技術領域

本發明涉及網絡通訊技術領域，具體涉及一種業務流識別方法、業務流識別裝置、分布式拒絕服務攻擊防御方法、分布式拒絕服務攻擊防御系統和裝置。

背景技術

DDoS(Distributed?Deny?of?Service，分布式拒絕服務)攻擊主要包括兩種實現方式，1、通過大流量來攻擊網絡設備和服務器；2、通過制造大量無法完成的不完全請求，以快速耗盡服務器資源。

DDoS攻擊的一個重要特點是：從大量的傀儡主機發起攻擊。防止DDoS攻擊的關鍵在于：如何將攻擊數據包從合法數據包中區分出來，即如何分辨合法業務流和惡意業務流。

目前，分辨合法業務流和惡意業務流的方法、以及DDoS防御方法主要有如下兩種：

方法一、黑洞技術。在發生DDoS攻擊時，運營商將發送至被攻擊者的數據包盡量阻截在上游，然后，將阻截的數據包引進“黑洞”并丟棄，從而保全運營商的基礎網絡和其它客戶的業務。

方法二、MVP(Multi-Verification?Process，多次驗證處理)技術。在攻擊間隙，DDoS防御系統處于“自學習”模式，監測不同來源的業務流，了解正常業務行為，并建立基準配置文件。該基準配置文件用于調整策略。該策略主要用于在實時網絡活動中識別和過濾已知、未知以及以前從未見過的攻擊業務流。

發明人發現現有技術中的上述兩種方法至少存在如下問題：

在方法一中，由于運營商將發送至被攻擊者的數據包丟棄了，因此該被攻擊者的合法數據包和惡意攻擊數據包一起被丟棄了。雖然該方法能夠保全運營商的基礎網絡以及其它客戶的業務，但是，被攻擊者失去了所有的業務服務，從客觀上講，攻擊者達到了攻擊的目的。

在方法二中，由于攻擊業務流是受控制的傀儡主機發出的，因此，從報文特征和報文行為的角度上講，攻擊業務流和正常業務流沒有什么不同，攻擊業務流也可以看作是大量的正常業務流，因此方法二不能夠準確的識別攻擊業務流，存在大量的誤報、漏報現象，從而使DDoS防御系統的防御能力差。

發明內容

本發明實施方式提供一種業務流識別方法、裝置及分布式拒絕服務攻擊防御應用，提高了識別合法業務流的準確性，提高了分布式拒絕服務攻擊防御系統的防御能力。

本發明實施方式提供的一種業務流識別方法，包括：

對用戶訪問目標系統進行檢測；

根據所述檢測到的用戶對目標系統的訪問和預先設置的用戶訪問統計模型動態生成用戶標識信息集合；

提取業務流中的用戶標識信息；

比較所述提取的用戶標識信息和所述集合中的用戶標識信息，以確定所述提取的用戶標識信息與所述集合中的用戶標識信息是否匹配；

根據所述確定的是否匹配的比較結果確定所述業務流是否為合法業務流。

本發明實施方式還提供一種分布式拒絕服務攻擊防御方法，該方法包括：

對用戶訪問目標系統進行檢測；

根據所述檢測到的用戶對目標系統的訪問和預先設置的用戶訪問統計模型動態生成用戶標識信息集合；

提取業務流中的用戶標識信息；

比較所述提取的用戶標識信息和所述集合中的用戶標識信息，以確定所述提取的用戶標識信息與所述集合中的用戶標識信息是否匹配；

根據所述確定的是否匹配的比較結果確定所述業務流是否為合法業務流。

允許對所述確定的合法業務流進行后續的正常處理操作，拒絕對所述確定的非法業務流進行后續的正常處理操作。

本發明實施方式還提供一種業務流識別裝置，所述裝置包括：

第一模塊：用于檢測用戶對目標系統的訪問，并根據所述檢測到的用戶對目標系統的訪問和預先設置的用戶訪問統計模型動態生成的用戶標識信息，并輸出；

第二模塊：用于接收第一模塊輸出的用戶標識信息，并存儲為用戶標識信息集合；

第三模塊：用于提取業務流中的用戶標識信息，將所述提取的用戶標識信息與所述第二模塊中存儲的用戶標識信息進行比較，以確定所述業務流中的用戶標識信息與所述第二模塊存儲的用戶標識信息是否匹配，并根據是否匹配的比較結果判斷所述業務流是否為合法業務流，并輸出所述業務流是否為合法業務流的判斷結果信息。

本發明實施方式還提供一種分布式拒絕服務攻擊防御系統，該系統包括：

第一模塊用于檢測用戶對目標系統的訪問，并根據檢測到的用戶對目標系統的訪問和預先設置的用戶訪問統計模型動態生成的用戶標識信息，并輸出；

第二模塊：用于接收第一模塊輸出的用戶標識信息，并存儲為用戶標識信息集合；