本發(fā)明涉及云計(jì)算領(lǐng)域，特別涉及一種ddos攻擊的檢測(cè)方法及裝置。

背景技術(shù)：

云計(jì)算(cloudcomputing)是一種基于互聯(lián)網(wǎng)的計(jì)算方式，通過(guò)這種方式，共享的軟硬件資源和信息可以按需求提供給計(jì)算機(jī)和其他設(shè)備。

在云計(jì)算環(huán)境中，最常見(jiàn)的攻擊形式之一便是分布式拒絕服務(wù)(distributeddenialofservice，ddos)攻擊。所謂ddos攻擊，即是指借助于客戶(hù)/服務(wù)器技術(shù)，將多個(gè)計(jì)算機(jī)聯(lián)合起來(lái)作為攻擊平臺(tái)，對(duì)一個(gè)或多個(gè)目標(biāo)發(fā)動(dòng)攻擊，從而成倍地提高拒絕服務(wù)攻擊的威力。

參閱圖1所示，通常情況下，黑客會(huì)將ddos主控程序安裝在一個(gè)計(jì)算機(jī)上作為攻擊者。在一個(gè)設(shè)定的時(shí)間，攻擊者會(huì)通過(guò)主控程序與大量安裝有代理程序的計(jì)算機(jī)通訊，而代理程序已經(jīng)被安裝在internet上的許多計(jì)算機(jī)，這些計(jì)算機(jī)被稱(chēng)為傀儡機(jī)。傀儡機(jī)集群接收到攻擊指令時(shí)就會(huì)向被攻擊者發(fā)動(dòng)攻擊。利用客戶(hù)/服務(wù)器技術(shù)，攻擊者能在幾秒鐘內(nèi)激活成百上千次傀儡機(jī)的運(yùn)行。

其中，上述傀儡機(jī)即是被黑客遠(yuǎn)程控制的機(jī)器。它們被黑客攻破或者由于用戶(hù)不小心被植入了木馬，黑客可以隨意操縱傀儡機(jī)并利用傀儡機(jī)做任何事情?？軝C(jī)可以是各種系統(tǒng)，如windows、linux、unix等，更可以是一家公司、企業(yè)、學(xué)校甚至是政府軍隊(duì)的服務(wù)器。

針對(duì)目前的ddos攻擊，目前采用的檢測(cè)方案如下：系統(tǒng)通過(guò)交換機(jī)端口鏡像或分光分流等方法獲取到云計(jì)算環(huán)境的網(wǎng)絡(luò)鏡像流量，該網(wǎng)絡(luò)鏡像流量中實(shí)時(shí)匯總了云計(jì)算環(huán)境內(nèi)的每一個(gè)主機(jī)的流量，接著，系統(tǒng)判斷網(wǎng)絡(luò)鏡像流量的大小是否大于預(yù)警值，確定大于預(yù)警值時(shí)，則確定主機(jī)受到了ddos攻擊。 而對(duì)于檢測(cè)出的被ddos攻擊的主機(jī)的ip，將會(huì)被流量引到ddos清洗集群進(jìn)行流量清洗。最終，再進(jìn)行正常流量回注。

然而，現(xiàn)有技術(shù)下，獲取網(wǎng)絡(luò)鏡像流量的流量檢測(cè)系統(tǒng)一般設(shè)置在云機(jī)房出口處或者連接運(yùn)營(yíng)商的出口處，因此，目前的ddos檢測(cè)方案僅僅能檢測(cè)到來(lái)自云計(jì)算環(huán)境外部的主機(jī)對(duì)內(nèi)部主機(jī)的攻擊，另外，由于對(duì)這部分流量進(jìn)行鏡像的復(fù)雜度非常高，所以目前還沒(méi)有有效的解決方案。

技術(shù)實(shí)現(xiàn)要素：

本申請(qǐng)實(shí)施例提供一種ddos攻擊的檢測(cè)方法及裝置，用以在云計(jì)算環(huán)境內(nèi)部，進(jìn)行準(zhǔn)確的ddos檢測(cè)。

本申請(qǐng)實(shí)施例提供的具體技術(shù)方案如下：

一種ddos攻擊的檢測(cè)方法，包括：

服務(wù)器基于本地的輸出總流量，分別提取出與所述服務(wù)器存在連接的每一個(gè)目的ip的流量特征描述信息，其中，一個(gè)目的ip的流量特征描述信息，用于表征所述一個(gè)目的ip與所述服務(wù)器之間的輸出流量的傳輸狀態(tài)；

所述服務(wù)器分別將所述每一個(gè)目的ip的流量特征描述信息與預(yù)設(shè)的規(guī)則集合進(jìn)行匹配，獲得匹配結(jié)果；

所述服務(wù)器根據(jù)匹配結(jié)果，確定所述服務(wù)器是否存在ddos攻擊行為。

可選的，服務(wù)器基于本地的輸出總流量，分別提取出與所述服務(wù)器存在連接的每一個(gè)目的ip的流量特征描述信息之前，進(jìn)一步包括：

服務(wù)器計(jì)算本地的輸出總流量的大小，并確定本地的輸出總流量的大小達(dá)到設(shè)定閾值。

可選的，服務(wù)器確定本地的輸出總流量的大小達(dá)到設(shè)定閾值，包括：

服務(wù)器判斷以下任意一種統(tǒng)計(jì)參量達(dá)到相應(yīng)閾值時(shí)，確定本地的輸出總流量的大小達(dá)到設(shè)定閾值：

輸出方向單位時(shí)間內(nèi)發(fā)送的比特?cái)?shù)目；

輸出方向單位時(shí)間內(nèi)發(fā)送的請(qǐng)求數(shù)據(jù)包數(shù)目；

輸出方向單位時(shí)間內(nèi)發(fā)送的http請(qǐng)求數(shù)目；

輸出方向單位時(shí)間內(nèi)新建連接數(shù)目。

可選的，服務(wù)器基于所述輸出總流量，提取出與所述服務(wù)器存在連接的每一個(gè)目的ip的流量特征描述信息，包括：

所述服務(wù)器基于所述輸出總流量，分別針對(duì)每一個(gè)目的ip提取出以下參數(shù)中的一種或任意組合作為相應(yīng)的流量特征描述信息：

所述服務(wù)器到目的ip的輸出流量速率；

所述服務(wù)器到目的ip的輸出數(shù)據(jù)包類(lèi)型；

所述服務(wù)器到目的ip的輸出數(shù)據(jù)包中異常數(shù)據(jù)包的數(shù)目。

可選的，所述服務(wù)器根據(jù)匹配結(jié)果，確定所述服務(wù)器是否存在ddos攻擊行為，包括：

所述服務(wù)器確定至少一個(gè)確定所述任意一個(gè)目的ip的流量特征描述信息中包含的各個(gè)參數(shù)，在所述規(guī)則集合中命中的規(guī)則的總數(shù)目，達(dá)到預(yù)設(shè)的命中門(mén)限時(shí)，確定所述服務(wù)器存在ddos攻擊行為匹配成功。

可選的，確定所述服務(wù)器存在ddos攻擊行為后，進(jìn)一步包括：

所述服務(wù)器確定自身的ddos攻擊行為所針對(duì)的目的ip集合；

所述服務(wù)器在所述目的ip集合中的每一個(gè)目的ip的輸出方向進(jìn)行流量丟棄或者進(jìn)行流量限速。

可選的，進(jìn)一步包括：

所述服務(wù)器檢測(cè)到本地的輸出總流量的大小低于設(shè)定閾值時(shí)，在所述目的ip集合中的每一個(gè)目的ip的輸出方向，停止流量丟棄或停止流量限速。

可選的，進(jìn)一步包括：

所述服務(wù)器確定所述目的ip集合中的任意一個(gè)目的ip的流量特征描述信息與預(yù)設(shè)的規(guī)則集合不再匹配時(shí)，在所述任意一個(gè)目的ip的輸出方向停止流量丟棄或停止流量限速。

一種ddos攻擊的檢測(cè)裝置，包括：

提取單元，用于基于本地的輸出總流量，分別提取出與所述裝置存在連接的每一個(gè)目的ip的流量特征描述信息，其中，一個(gè)目的ip的流量特征描述信息，用于表征所述一個(gè)目的ip與所述裝置之間的輸出流量的傳輸狀態(tài)；

匹配單元，用于分別將所述每一個(gè)目的ip的流量特征描述信息與預(yù)設(shè)的規(guī)則集合進(jìn)行匹配，獲得匹配結(jié)果；

處理單元，用于根據(jù)匹配結(jié)果，確定所述裝置是否存在ddos攻擊行為。

可選的，基于本地的輸出總流量，分別提取出與所述裝置存在連接的每一個(gè)目的ip的流量特征描述信息之前，所述提取單元進(jìn)一步用于：

計(jì)算本地的輸出總流量的大小，并確定本地的輸出總流量的大小達(dá)到設(shè)定閾值。

可選的，確定本地的輸出總流量的大小達(dá)到設(shè)定閾值時(shí)，所述提取單元包括：

判定以下任意一種統(tǒng)計(jì)參量達(dá)到相應(yīng)閾值時(shí)，確定本地的輸出總流量的大小達(dá)到設(shè)定閾值：

輸出方向單位時(shí)間內(nèi)發(fā)送的比特?cái)?shù)目；

輸出方向單位時(shí)間內(nèi)發(fā)送的請(qǐng)求數(shù)據(jù)包數(shù)目；

輸出方向單位時(shí)間內(nèi)發(fā)送的http請(qǐng)求數(shù)目；

輸出方向單位時(shí)間內(nèi)新建連接數(shù)目。

可選的，基于所述輸出總流量，提取出與所述裝置存在連接的每一個(gè)目的ip的流量特征描述信息時(shí)，所述提取單元用于：

基于所述輸出總流量，分別針對(duì)每一個(gè)目的ip提取出以下參數(shù)中的一種或任意組合作為相應(yīng)的流量特征描述信息：

所述裝置到目的ip的輸出流量速率；

所述裝置到目的ip的輸出數(shù)據(jù)包類(lèi)型；

所述裝置到目的ip的輸出數(shù)據(jù)包中異常數(shù)據(jù)包的數(shù)目。

可選的，服務(wù)器根據(jù)匹配結(jié)果，確定所述服務(wù)器是否存在ddos攻擊行為時(shí)，所述處理單元用于：

確定至少一個(gè)目的ip的流量特征描述信息中包含的各個(gè)參數(shù)，在所述規(guī)則集合中命中的規(guī)則的總數(shù)目，達(dá)到預(yù)設(shè)的命中門(mén)限時(shí)，確定所述服務(wù)器存在ddos攻擊行為。

可選的，確定所述裝置存在ddos攻擊行為后，所述處理單元進(jìn)一步用于：

確定自身的ddos攻擊行為所針對(duì)的目的ip集合；

在所述目的ip集合中的每一個(gè)目的ip的輸出方向進(jìn)行流量丟棄或者進(jìn)行流量限速。

可選的，所述處理單元進(jìn)一步用于：

檢測(cè)到本地的輸出總流量的大小低于設(shè)定閾值時(shí)，在所述目的ip集合中的每一個(gè)目的ip的輸出方向，停止流量丟棄或停止流量限速。

可選的，所述處理單元進(jìn)一步用于：

確定所述目的ip集合中的任意一個(gè)目的ip的流量特征描述信息與預(yù)設(shè)的規(guī)則集合不再匹配時(shí)，在所述任意一個(gè)目的ip的輸出方向停止流量丟棄或停止流量限速。

本申請(qǐng)有益效果如下：

本申請(qǐng)實(shí)施例中，服務(wù)器從自身的輸出總流量中分別提取針對(duì)每一個(gè)目的ip的流量特征描述信息，再將所述每一個(gè)目的ip的流量特征描述信息與預(yù)設(shè)的規(guī)則集合進(jìn)行匹配，獲得匹配結(jié)果，以及根據(jù)匹配結(jié)果，確定所述服務(wù)器是否存在ddos攻擊行為。這樣，可以在云計(jì)算環(huán)境內(nèi)部，準(zhǔn)確及時(shí)地檢測(cè)出ddos攻擊行為，便于及時(shí)阻止云計(jì)算環(huán)境內(nèi)部的服務(wù)器，對(duì)同屬云計(jì)算環(huán)境的其他服務(wù)器以及對(duì)云計(jì)算環(huán)境外部的其他主機(jī)的ddos攻擊，保障了云計(jì)算環(huán)境的整體安全性和運(yùn)行可靠性。進(jìn)一步地，也大大降低了前期的開(kāi)發(fā)成本和后期的運(yùn)維成本。

附圖說(shuō)明

圖1為現(xiàn)有技術(shù)下攻擊者通過(guò)傀儡機(jī)發(fā)動(dòng)ddos攻擊示意圖；

圖2為本申請(qǐng)實(shí)施例中在云計(jì)算環(huán)境內(nèi)部對(duì)ddos攻擊進(jìn)行檢測(cè)流程圖；

圖3為本申請(qǐng)實(shí)施例中服務(wù)器功能結(jié)構(gòu)示意圖。

具體實(shí)施方式

為了在云計(jì)算環(huán)境內(nèi)部，進(jìn)行準(zhǔn)確的ddos檢測(cè)，本申請(qǐng)實(shí)施例中，在云計(jì)算環(huán)境內(nèi)部的每一個(gè)服務(wù)器上分別部署一個(gè)內(nèi)核模塊，服務(wù)器可以通過(guò)自身安裝的內(nèi)核模塊來(lái)獲取本地的全部流量，這樣，服務(wù)器可以通過(guò)監(jiān)控自身的流量情況，判斷自身是否是發(fā)起ddos攻擊的主機(jī)。

下面結(jié)合附圖對(duì)本申請(qǐng)優(yōu)選的實(shí)施例作出進(jìn)一步詳細(xì)說(shuō)明。

當(dāng)服務(wù)器被入侵成為傀儡機(jī)后，經(jīng)常被用于ddos攻擊，然而，為了能夠便于發(fā)起攻擊，服務(wù)器通常還具有正常的服務(wù)功能，只是在接收到攻擊者的指令后，再在云計(jì)算環(huán)境內(nèi)部發(fā)起攻擊。因此，本申請(qǐng)實(shí)施例中，在服務(wù)器上安裝內(nèi)核模塊，令服務(wù)器可以自主發(fā)現(xiàn)自身的ddos攻擊行為，從而有效地進(jìn)行防御，避免了對(duì)同屬云計(jì)算環(huán)境內(nèi)的其他服務(wù)器的ddos攻擊，彌補(bǔ)了現(xiàn)有基于網(wǎng)絡(luò)鏡像流量檢測(cè)ddos攻擊方法的不足。

參閱圖2所示，本申請(qǐng)實(shí)施例中，云計(jì)算環(huán)境內(nèi)部的服務(wù)器在對(duì)ddos攻擊進(jìn)行檢測(cè)的詳細(xì)流程如下：

步驟200：服務(wù)器獲取本地的輸出總流量。

實(shí)際應(yīng)用中，服務(wù)器可以在本地通過(guò)部署的一個(gè)內(nèi)核模塊，使用filter技術(shù)或hook技術(shù)獲取該服務(wù)器的全部輸出流量。

通常情況下，服務(wù)器一旦被入侵成為傀儡機(jī)后，會(huì)在接收到攻擊者指令時(shí)再對(duì)屬于同一云計(jì)算環(huán)境的其他服務(wù)器進(jìn)行攻擊，因此，服務(wù)器需要定期對(duì)自身的輸出流量進(jìn)行監(jiān)控，以便判斷自身是否出現(xiàn)ddos攻擊行為。較佳的，可以將服務(wù)器的統(tǒng)計(jì)周期設(shè)置為小于等于5s。

步驟201：服務(wù)器判斷本地的輸出總流量的大小是否達(dá)到設(shè)定閾值？若是，則執(zhí)行步驟202；否則，返回步驟200。

之所以執(zhí)行步驟201，是因?yàn)橛?jì)算輸出總流量大小時(shí)，服務(wù)器的運(yùn)行負(fù)荷較小，而后續(xù)進(jìn)行流量特征分析時(shí)，服務(wù)器的運(yùn)行負(fù)荷較大，因此，確定輸出總流量的大小達(dá)到設(shè)定閾值后，再進(jìn)行后續(xù)的流量特征分析，可以減輕服務(wù)器的負(fù)荷。當(dāng)然，若服務(wù)器本身具有強(qiáng)大的計(jì)算能力，則也可以不用判斷輸出總流量的大不是否達(dá)到設(shè)定閾值，而直接執(zhí)行后續(xù)的流量特征分析操作，本實(shí)施例中步驟201僅為一種較佳的實(shí)施方式，在此不再贅述。

進(jìn)一步地，在執(zhí)行步驟201時(shí)，服務(wù)器可以在判斷以下任意一種統(tǒng)計(jì)參量達(dá)到相應(yīng)閾值時(shí)，確定本地的輸出總流量的大小達(dá)到設(shè)定閾值，其中，可以采用的統(tǒng)計(jì)參量包含但不限于：

輸出方向單位時(shí)間內(nèi)(如，每秒種)傳輸?shù)谋忍財(cái)?shù)目(bps)；輸出方向單位時(shí)間內(nèi)(如，每秒鐘)傳輸?shù)恼?qǐng)求數(shù)據(jù)包數(shù)目(pps)；輸出方向單位時(shí)間內(nèi)(如，每秒鐘)傳輸?shù)膆ttp請(qǐng)求數(shù)目(qps)；以及輸出方向單位時(shí)間內(nèi)(如，每秒鐘)的新建連接數(shù)目。

上述任意一種統(tǒng)計(jì)參量達(dá)到相應(yīng)閾值，都說(shuō)明服務(wù)器在輸出方向出現(xiàn)了流量激增，這是存在ddos攻擊行為的先兆。

步驟202：服務(wù)器分別統(tǒng)計(jì)本地到每一個(gè)目的ip的輸出流量速率。

具體的，服務(wù)器可以在輸出總流量中，區(qū)分出每一個(gè)目的ip方向的輸出總量，再通過(guò)速率測(cè)量，即可以獲得每一個(gè)目的ip的流量速率。

步驟203：服務(wù)器分別統(tǒng)計(jì)本地到每一個(gè)目的ip的輸出數(shù)據(jù)包類(lèi)型。

服務(wù)器可以并行執(zhí)行多個(gè)任務(wù)，因此，和不同的目的ip之間傳輸?shù)臄?shù)據(jù)包的類(lèi)型可以不同，例如，和目的ip1之間傳輸?shù)氖莻鬏斂刂茀f(xié)議(transmissioncontrolprotocol，tcp)數(shù)據(jù)包，和目的ip2之間傳輸?shù)氖怯脩?hù)數(shù)據(jù)報(bào)協(xié)議userdatagramprotocol，udp)數(shù)據(jù)包。

步驟204：服務(wù)器分別統(tǒng)計(jì)本地到每一個(gè)目的ip的輸出數(shù)據(jù)包中異常數(shù)據(jù) 包的數(shù)目。

通常情況下，到每一個(gè)目的ip的輸出數(shù)據(jù)包中可能攜帶有異常數(shù)據(jù)包，所謂的異常數(shù)據(jù)包通常符合相應(yīng)的協(xié)議格式，但是與普通數(shù)據(jù)包相比卻存在明顯不同，是正常流量中很少出現(xiàn)的數(shù)據(jù)包。

通常情況下，上述異常數(shù)據(jù)包有以四種：

1、長(zhǎng)度超過(guò)設(shè)定長(zhǎng)度門(mén)限(如，128比特)的互聯(lián)網(wǎng)控制消息協(xié)議(internetcontrolmessageprotocol，icmp)報(bào)文。

2、有效載荷內(nèi)容重復(fù)的udp報(bào)文。

3、沒(méi)有option選項(xiàng)的tcpsyn報(bào)文，其中，syn表征握手信號(hào)(synchronous)

4、攜帶有效載荷的tcpsyn報(bào)文。

出現(xiàn)異常數(shù)據(jù)包，有可能是進(jìn)行ddos攻擊的先兆。

上述步驟202中統(tǒng)計(jì)的服務(wù)器到目的ip的輸出流量速率、步驟203中統(tǒng)計(jì)的服務(wù)器到目的ip的輸出數(shù)據(jù)包類(lèi)型，以及步驟204中統(tǒng)計(jì)的服務(wù)器到目的ip的輸出數(shù)據(jù)包中異常數(shù)據(jù)包的數(shù)目，均可以統(tǒng)稱(chēng)為流量特征描述信息，均可以描述服務(wù)器和相應(yīng)的目的ip之間的輸出流量的傳輸狀態(tài)。實(shí)際應(yīng)用中，上述三類(lèi)參數(shù)可以選取一個(gè)統(tǒng)計(jì)，也可以選取任意組合統(tǒng)計(jì)，還可以加入其他參數(shù)進(jìn)行統(tǒng)計(jì)，本實(shí)施例中，僅以上述三個(gè)參數(shù)均進(jìn)行統(tǒng)計(jì)為例進(jìn)行說(shuō)明，在此不再贅述。

步驟205：服務(wù)器將獲得的上述三類(lèi)參數(shù)與預(yù)設(shè)的規(guī)則集合進(jìn)行匹配，判斷是否匹配成功？若是，則執(zhí)行步驟206；否則，返回步驟200。

具體的，服務(wù)器可以保存有管理人員預(yù)設(shè)配置的規(guī)則集合，也可以從服務(wù)端實(shí)時(shí)獲取最新的規(guī)則集合，該規(guī)則集合用于描述ddos攻擊行為的特征，每一個(gè)規(guī)則中記錄有流量特征描述信息中的任意一個(gè)參數(shù)或者任意參數(shù)組合在進(jìn)行ddos攻擊時(shí)的行為特點(diǎn)。

那么，以任意一個(gè)目的ip為例(以下稱(chēng)為目的ipx)，在具體執(zhí)行匹配操作時(shí)，服務(wù)器可以將目的ipx對(duì)應(yīng)的流量特征描述信息中記錄的各個(gè)參數(shù)，分別與預(yù)設(shè)的規(guī)則集合中的每一條規(guī)則進(jìn)行匹配，并記錄命中的規(guī)則的總數(shù)目，當(dāng)確定命中的規(guī)則的總數(shù)目達(dá)到設(shè)定的命中門(mén)限時(shí)，確定目的ipx匹配成功，即服務(wù)器對(duì)目的ipx存在ddos攻擊行為。

例如，假設(shè)規(guī)則集合中的規(guī)則包括：

規(guī)則1、syn>0.5&&bps>1。

規(guī)則1的含義為：一個(gè)目的ip的輸出方向的bps大于1mbps，其中，表征新建連接的握手信號(hào)(synchronous，syn)報(bào)文的比例大于50％。

規(guī)則2、qps>1000orpps>5000

規(guī)則2的含義為：一個(gè)目的ip的輸出方向的qps大于1000，或者，輸出方向的pps大于5000

規(guī)則3、icmphuge/pps>0.3

規(guī)則3的含義為：一個(gè)目的ip輸出方向的異常icmp報(bào)文(報(bào)文長(zhǎng)度大于128比特)占所有輸出報(bào)文的比例大于30％。

假設(shè)，目的ipx對(duì)應(yīng)的流量特征描述信息為：qps＝2000，且全部為http請(qǐng)求報(bào)文，命中了上述規(guī)則2，則說(shuō)明服務(wù)器對(duì)目的ipx存在ddos行為

當(dāng)然，服務(wù)器可以同時(shí)對(duì)多個(gè)目的ip進(jìn)行ddos攻擊，因此，服務(wù)器可以通過(guò)上匹配過(guò)程，篩選出自身作為ddos攻擊對(duì)象的目的ip集合(包含至少一個(gè)被攻擊的目的ip)。

步驟206：服務(wù)器確定自身存在ddos攻擊行為。

這樣，服務(wù)器便能對(duì)自身進(jìn)行實(shí)時(shí)自主監(jiān)控，隨時(shí)發(fā)現(xiàn)自身的ddos攻擊行為，便于及時(shí)進(jìn)行ddos攻擊攔截。

具體的，在進(jìn)行ddos攔截時(shí)，服務(wù)器會(huì)確定自身的ddos攻擊行為所針對(duì)的目的ip集合，接著，在該目的ip集合中的每一個(gè)目的ip的輸出方向進(jìn)行流量丟棄或者進(jìn)行流量限速。而針對(duì)不屬于上述目的ip集合的其他目的ip， 服務(wù)器會(huì)將相應(yīng)的輸出流量正常放行，不會(huì)影響為這些目的ip提供服務(wù)。

當(dāng)然，當(dāng)服務(wù)器檢測(cè)到輸出總流量恢復(fù)到正常值時(shí)，可以在上述目的ip集合中的每一個(gè)目的ip的輸出方向，停止流量丟棄或停止流量限速?；蛘撸?wù)器也可以在確定上述目的ip集合中的任意一個(gè)目的ip的流量特征描述信息與預(yù)設(shè)的規(guī)則集合不再匹配時(shí)，在該任意一個(gè)目的ip的輸出方向停止流量丟棄或停止流量限速。

基于上述實(shí)施例，參閱圖3所示，本申請(qǐng)實(shí)施例中，ddos攻擊的檢測(cè)裝置(即服務(wù)器)至少包括提取單元31、匹配單元32和處理單元33，其中，

提取單元31，用于基于本地的輸出總流量，分別提取出與所述裝置存在連接的每一個(gè)目的ip的流量特征描述信息，其中，一個(gè)目的ip的流量特征描述信息，用于表征所述一個(gè)目的ip與所述裝置之間的輸出流量的傳輸狀態(tài)；

匹配單元32，用于分別將所述每一個(gè)目的ip的流量特征描述信息與預(yù)設(shè)的規(guī)則集合進(jìn)行匹配，獲得匹配結(jié)果；

處理單元33，用于根據(jù)匹配結(jié)果，確定所述裝置是否存在ddos攻擊行為。

可選的，基于本地的輸出總流量，分別提取出與所述裝置存在連接的每一個(gè)目的ip的流量特征描述信息之前，提取單元31進(jìn)一步用于：

計(jì)算本地的輸出總流量的大小，并確定本地的輸出總流量的大小達(dá)到設(shè)定閾值。

可選的，確定本地的輸出總流量的大小達(dá)到設(shè)定閾值時(shí)，提取單元31包括：

判定以下任意一種統(tǒng)計(jì)參量達(dá)到相應(yīng)閾值時(shí)，確定本地的輸出總流量的大小達(dá)到設(shè)定閾值：

輸出方向單位時(shí)間內(nèi)發(fā)送的比特?cái)?shù)目；

輸出方向單位時(shí)間內(nèi)發(fā)送的請(qǐng)求數(shù)據(jù)包數(shù)目；

輸出方向單位時(shí)間內(nèi)發(fā)送的http請(qǐng)求數(shù)目；

輸出方向單位時(shí)間內(nèi)新建連接數(shù)目。

可選的，基于所述輸出總流量，提取出與所述裝置存在連接的每一個(gè)目的ip的流量特征描述信息時(shí)，提取單元31用于：

基于所述輸出總流量，分別針對(duì)每一個(gè)目的ip提取出以下參數(shù)中的一種或任意組合作為相應(yīng)的流量特征描述信息：

所述裝置到目的ip的輸出流量速率；

所述裝置到目的ip的輸出數(shù)據(jù)包類(lèi)型；

所述裝置到目的ip的輸出數(shù)據(jù)包中異常數(shù)據(jù)包的數(shù)目。

可選的，根據(jù)匹配結(jié)果，確定所述服務(wù)器是否存在ddos攻擊行為時(shí)，處理單元33用于：

確定至少一個(gè)目的ip的流量特征描述信息中包含的各個(gè)參數(shù)，在所述規(guī)則集合中命中的規(guī)則的總數(shù)目，達(dá)到預(yù)設(shè)的命中門(mén)限時(shí)，確定所述服務(wù)器存在ddos攻擊行為。

可選的，確定所述裝置存在ddos攻擊行為后，處理單元33進(jìn)一步用于：

確定自身的ddos攻擊行為所針對(duì)的目的ip集合；

在所述目的ip集合中的每一個(gè)目的ip的輸出方向進(jìn)行流量丟棄或者進(jìn)行流量限速。

可選的，處理單元33進(jìn)一步用于：

檢測(cè)到本地的輸出總流量的大小低于設(shè)定閾值時(shí)，在所述目的ip集合中的每一個(gè)目的ip的輸出方向，停止流量丟棄或停止流量限速。

可選的處理單元33進(jìn)一步用于：

確定所述目的ip集合中的任意一個(gè)目的ip的流量特征描述信息與預(yù)設(shè)的規(guī)則集合不再匹配時(shí)，在所述任意一個(gè)目的ip的輸出方向停止流量丟棄或停止流量限速

綜上所述，本申請(qǐng)實(shí)施例中，服務(wù)器從自身的輸出總流量中分別提取針對(duì)每一個(gè)目的ip的流量特征描述信息，再將所述每一個(gè)目的ip的流量特征描述信息與預(yù)設(shè)的規(guī)則集合進(jìn)行匹配，獲得匹配結(jié)果，以及根據(jù)匹配結(jié)果，確定所 述服務(wù)器是否存在ddos攻擊行為。這樣，可以在云計(jì)算環(huán)境內(nèi)部，準(zhǔn)確及時(shí)地檢測(cè)出ddos攻擊行為，便于及時(shí)阻止云計(jì)算環(huán)境內(nèi)部的服務(wù)器，對(duì)同屬云計(jì)算環(huán)境的其他服務(wù)器以及對(duì)云計(jì)算環(huán)境外部的其他主機(jī)的ddos攻擊，保障了云計(jì)算環(huán)境的整體安全性和運(yùn)行可靠性。進(jìn)一步地，也大大降低了前期的開(kāi)發(fā)成本和后期的運(yùn)維成本。

本領(lǐng)域內(nèi)的技術(shù)人員應(yīng)明白，本發(fā)明的實(shí)施例可提供為方法、系統(tǒng)、或計(jì)算機(jī)程序產(chǎn)品。因此，本發(fā)明可采用完全硬件實(shí)施例、完全軟件實(shí)施例、或結(jié)合軟件和硬件方面的實(shí)施例的形式。而且，本發(fā)明可采用在一個(gè)或多個(gè)其中包含有計(jì)算機(jī)可用程序代碼的計(jì)算機(jī)可用存儲(chǔ)介質(zhì)(包括但不限于磁盤(pán)存儲(chǔ)器、cd-rom、光學(xué)存儲(chǔ)器等)上實(shí)施的計(jì)算機(jī)程序產(chǎn)品的形式。

本發(fā)明是參照根據(jù)本發(fā)明實(shí)施例的方法、設(shè)備(系統(tǒng))、和計(jì)算機(jī)程序產(chǎn)品的流程圖和/或方框圖來(lái)描述的。應(yīng)理解可由計(jì)算機(jī)程序指令實(shí)現(xiàn)流程圖和/或方框圖中的每一流程和/或方框、以及流程圖和/或方框圖中的流程和/或方框的結(jié)合?？商峁┻@些計(jì)算機(jī)程序指令到通用計(jì)算機(jī)、專(zhuān)用計(jì)算機(jī)、嵌入式處理機(jī)或其他可編程數(shù)據(jù)處理設(shè)備的處理器以產(chǎn)生一個(gè)機(jī)器，使得通過(guò)計(jì)算機(jī)或其他可編程數(shù)據(jù)處理設(shè)備的處理器執(zhí)行的指令產(chǎn)生用于實(shí)現(xiàn)在流程圖一個(gè)流程或多個(gè)流程和/或方框圖一個(gè)方框或多個(gè)方框中指定的功能的裝置。

這些計(jì)算機(jī)程序指令也可存儲(chǔ)在能引導(dǎo)計(jì)算機(jī)或其他可編程數(shù)據(jù)處理設(shè)備以特定方式工作的計(jì)算機(jī)可讀存儲(chǔ)器中，使得存儲(chǔ)在該計(jì)算機(jī)可讀存儲(chǔ)器中的指令產(chǎn)生包括指令裝置的制造品，該指令裝置實(shí)現(xiàn)在流程圖一個(gè)流程或多個(gè)流程和/或方框圖一個(gè)方框或多個(gè)方框中指定的功能。

這些計(jì)算機(jī)程序指令也可裝載到計(jì)算機(jī)或其他可編程數(shù)據(jù)處理設(shè)備上，使得在計(jì)算機(jī)或其他可編程設(shè)備上執(zhí)行一系列操作步驟以產(chǎn)生計(jì)算機(jī)實(shí)現(xiàn)的處理，從而在計(jì)算機(jī)或其他可編程設(shè)備上執(zhí)行的指令提供用于實(shí)現(xiàn)在流程圖一個(gè)流程或多個(gè)流程和/或方框圖一個(gè)方框或多個(gè)方框中指定的功能的步驟。

盡管已描述了本申請(qǐng)的優(yōu)選實(shí)施例，但本領(lǐng)域內(nèi)的技術(shù)人員一旦得知了基 本創(chuàng)造性概念，則可對(duì)這些實(shí)施例作出另外的變更和修改。所以，所附權(quán)利要求意欲解釋為包括優(yōu)選實(shí)施例以及落入本申請(qǐng)范圍的所有變更和修改。

顯然，本領(lǐng)域的技術(shù)人員可以對(duì)本申請(qǐng)實(shí)施例進(jìn)行各種改動(dòng)和變型而不脫離本申請(qǐng)實(shí)施例的精神和范圍。這樣，倘若本申請(qǐng)實(shí)施例的這些修改和變型屬于本申請(qǐng)權(quán)利要求及其等同技術(shù)的范圍之內(nèi)，則本申請(qǐng)也意圖包含這些改動(dòng)和變型在內(nèi)。