一种域名级的自适应抗DDOS攻击的方法和装置制造方法及图纸

本发明专利技术实施例提供了一种域名级的自适应抗DDOS攻击的方法和装置，该方法包括：接收指定域名的访问请求，并确定指定周期内所述指定域名的请求访问频次；根据所述指定域名的请求访问频次和所述指定域名的请求访问门限值，确定所述指定域名的攻击判定结果；根据所述攻击判定结果，确定所述指定域名的解析周期，所述解析周期是指解析所述指定域名所需等待的时间；根据所述解析周期，对所述指定域名的访问请求进行解析响应，实现对被攻击域名的解析进行缓解，同时保障非攻击域名的正常解析。

A domain name adaptive anti DDOS attack method and device

An embodiment of the invention provides a method and device for an adaptive anti DDOS attack of a domain name, which includes receiving an access request for a specified domain name, and determining the request access frequency of the specified domain name specified in the specified period, the request access frequency of the specified domain name and the request access threshold value of the specified domain name according to the specified domain name. It determines the attack decision result of the specified domain name, determines the parsing period of the specified domain name according to the attack determination result, and the analytic period refers to the time required to wait for the specified domain name described, and an analytic response is made to the access request of the specified domain name according to the analytic period, and the attack is realized to be attacked. The resolution of the domain name is alleviated and the normal resolution of the non attacking domain name is guaranteed.

【技术实现步骤摘要】
一种域名级的自适应抗DDOS攻击的方法和装置
本专利技术涉及通信
，尤其涉及一种应用CDN(ContentDeliveryNetwork，内容分发网络)系统中域名级的自适应抗DDOS(DistributedDenialofService，分布式拒绝服务)攻击的方法和装置。
技术介绍
CDN的全称是ContentDeliveryNetwork，即内容分发网络。参见图1，内容分发网络能够将源服务器中的内容分发至分布式部署的服务节点(边缘节点)中，并支持多样化流量调度技术，可按照指定策略将用户请求自动指向到全局最优的边缘节点，由该节点就近为用户提供数据服务。CDN技术的核心是通过在网络各处放置节点服务器，能够实时地根据网络流量和各节点的连接、负载状况以及到用户的距离和响应时间等综合信息将用户的请求重新导向离用户最近的服务节点上。其目的是使用户可就近取得所需内容，解决Internet网络拥挤的状况，提高用户访问网站的响应速度。一方面，CDN分散了用户的访问请求，将用户访问分散到了各个服务节点，但另一方面，由于各个服务节点均将调度请求发送到CDN调度中心进行处置，CDN的调度任务非常繁重，一旦调度能力失效将会造成严重影响，可能导致整个CDN系统瘫痪。对CDN的业务处理流程说明如下。CDN中解析调度的处理业务流程有下面两种。方式1：DNSCNAME(别名)，如图2所示。(1)终端访问URL为http://icp.com/Web/main.html，向LocalDNS发起icp.com的域名解析(2)LocalDNS经过递归，向源站授权DNS服务器解析域名icp.com；(3)网站授权DNS以CNAME方式返回重新构建的业务域名(icp.com.cmcdn.com)；(4)LocalDNS向全局调度中心发起请求解析icp.com.cmcdn.com；(5)调度控制中心根据LocalDNS的地址及调度策略，选择最优的边缘节点返回给LocalDNS；(6)LocalDNS向终端返回对应的DNSResponse，其中携带内容网络边缘节点的IP地址。方式2：DNSForward，如图3所示。(1)LocalDNS中将icp.com配置到ForwardFirst名单中；(2)终端访问URL为http://icp.com/Web/main.html，向LocalDNS发起icp.com的域名解析；(3)LocalDNS匹配Forward名单，发现匹配一致，向全局调度中心发起DNS请求，解析icp.com；(4)调度控制子系统根据LocalDNS的地址匹配调度策略，选择一个最优的边缘节点返回给LocalDNS；(5)LocalDNS向终端返回对应的DNSResponse，其中携带内容网络边缘节点的IP地址。从上面两种方式不难看出，无论CDN系统采用哪种方式，均需要通过全局调度中心将用户请求定位到某台边缘节点的服务器上(例如a.b.c.d)，DNS仅需要转发用户请求即可。而全局调度中心需要对域名进行解析，查看所有提供服务的边缘节点的资源占用等情况并通过算法确定调度到哪台服务器，该工作在整个流程中非常繁重。因此，针对CDN的DDOS攻击的重点由原有的DNS攻击、服务器流量访问攻击逐步转移到针对调度中心的攻击。现有的DDOS防护方案有三类。第一类：在机房自建抗DDOS设备目前主流的抗DDOS设备可防护各类基于网络层、传输层及应用层的拒绝服务攻击(如SYNFlood、UDPFlood、UDPDNSQueryFlood、(M)StreamFlood、ICMPFlood、HTTPGetFlood以及连接耗尽等)。抗DDOS设备一般部署在路由器内侧，与路由器协同进行攻击的发现与流量的清洗。第二类：反向代理(云防护/加速方式)。云防护/加速方式是采用专用的云平台实现DDOS攻击检测与过滤的能力，当系统发现流量异常时，主动将流量转向云加速服务器，由云防护设备进行清洗后再回注到业务系统的路由器。第三类：抗DDOS联动处置。采用联动处置的方式是单独建设一套系统，对不同的抗DDOS设备发出的攻击告警等数据统一进行分析，并协调进行处置。上述三种技术在防护单个机房、网络全局各有优势，但在进行CDN系统防护中均不能起到有效作用。现有技术的主要：不能实现精准管控。一般来说，针对CDN系统的调度需求只有数量不多的域名(一般数十到数百个)，一旦对某个域名发起攻击，可能导致调度失效，从而所有在CDN中缓存的域名均不能访问。
技术实现思路
鉴于上述技术问题，本专利技术实施例提供一种域名级的自适应抗DDOS攻击的方法和装置，实现对被攻击域名的解析进行缓解，同时保障非攻击域名的正常解析。依据本专利技术实施例的第一个方面，提供了一种域名级的自适应抗DDOS攻击的方法，包括：接收指定域名的访问请求，并确定指定周期内所述指定域名的请求访问频次；根据所述指定域名的请求访问频次和所述指定域名的请求访问门限值，确定所述指定域名的攻击判定结果；根据所述攻击判定结果，确定所述指定域名的解析周期，所述解析周期是指解析所述指定域名所需等待的时间；根据所述解析周期，对所述指定域名的访问请求进行解析响应。可选地，所述根据所述攻击判定结果，确定所述指定域名的解析周期，包括：若所述指定域名的请求访问频次大于或等于所述指定域名的请求访问门限值，所述攻击判定结果为疑似攻击，确定所述指定域名的第一解析周期；若所述指定域名的请求访问频次小于所述指定域名的请求访问门限值，所述攻击判定结果为正常访问，确定所述指定域名的第二解析周期。可选地，所述确定所述指定域名的第一解析周期，包括：根据所述指定域名的请求访问频次、所述指定域名的正常访问频次的统计值以及所述指定域名的正常访问频次的峰值倍数，计算出所述指定域名的攻击强度；根据所述指定域名的攻击强度、所述指定域名的正常访问频次的统计值以及所述指定域名的正常访问频次的峰值倍数，计算出所述指定域名的攻击缓解因子；根据所述攻击缓解因子确定所述指定域名的第一解析周期。可选地，所述根据所述指定域名的请求访问频次、所述指定域名的正常访问频次的统计值以及所述指定域名的正常访问频次的峰值倍数，计算出所述指定域名的攻击强度，包括：根据以下公式计算所述指定域名的攻击强度；公式I＝Fre/NormalFre×N其中，I表示攻击强度；Fre表示所述指定域名的请求访问频次；NormalFre表示所述指定域名的正常访问频次的统计值；N表示所述指定域名的正常访问频次的峰值倍数。可选地，所述根据所述指定域名的攻击强度、所述指定域名的正常访问频次的统计值以及所述指定域名的正常访问频次的峰值倍数计算出所述指定域名的攻击缓解因子，包括：根据以下公式计算出所述指定域名的攻击缓解因子；公式REL＝NormalFre×N×Ratio×ZI×Adj其中，F表示攻击缓解因子；NormalFre表示所述指定域名的正常访问频次的统计值；N表示所述指定域名的正常访问频次的峰值倍数；Ratio表示固定系数；Z表示指数函数的底数；I表示所述指定域名的攻击强度；Adj表示用于指数权重调节的调节参数。可选地，所述根据所述攻击缓解因子确定所述指定域名的第一解析周期，包括：根据以下公式计算所述指定域名的第一解析周期；公式Inte本文档来自技高网...

【技术保护点】
1.一种域名级的自适应抗DDOS攻击的方法，其特征在于，包括：接收指定域名的访问请求，并确定指定周期内所述指定域名的请求访问频次；根据所述指定域名的请求访问频次和所述指定域名的请求访问门限值，确定所述指定域名的攻击判定结果；根据所述攻击判定结果，确定所述指定域名的解析周期，所述解析周期是指解析所述指定域名所需等待的时间；根据所述解析周期，对所述指定域名的访问请求进行解析响应。

【技术特征摘要】
1.一种域名级的自适应抗DDOS攻击的方法，其特征在于，包括：接收指定域名的访问请求，并确定指定周期内所述指定域名的请求访问频次；根据所述指定域名的请求访问频次和所述指定域名的请求访问门限值，确定所述指定域名的攻击判定结果；根据所述攻击判定结果，确定所述指定域名的解析周期，所述解析周期是指解析所述指定域名所需等待的时间；根据所述解析周期，对所述指定域名的访问请求进行解析响应。2.根据权利要求1所述的方法，其特征在于，所述根据所述攻击判定结果，确定所述指定域名的解析周期，包括：若所述指定域名的请求访问频次大于或等于所述指定域名的请求访问门限值，所述攻击判定结果为疑似攻击，确定所述指定域名的第一解析周期；若所述指定域名的请求访问频次小于所述指定域名的请求访问门限值，所述攻击判定结果为正常访问，确定所述指定域名的第二解析周期。3.根据权利要求2所述的方法，其特征在于，所述确定所述指定域名的第一解析周期，包括：根据所述指定域名的请求访问频次、所述指定域名的正常访问频次的统计值以及所述指定域名的正常访问频次的峰值倍数，计算出所述指定域名的攻击强度；根据所述指定域名的攻击强度、所述指定域名的正常访问频次的统计值以及所述指定域名的正常访问频次的峰值倍数，计算出所述指定域名的攻击缓解因子；根据所述攻击缓解因子确定所述指定域名的第一解析周期。4.根据权利要求3所述的方法，其特征在于，所述根据所述指定域名的请求访问频次、所述指定域名的正常访问频次的统计值以及所述指定域名的正常访问频次的峰值倍数，计算出所述指定域名的攻击强度，包括：根据以下公式计算所述指定域名的攻击强度；公式I＝Fre/NormalFre×N其中，I表示攻击强度；Fre表示所述指定域名的请求访问频次；NormalFre表示所述指定域名的正常访问频次的统计值；N表示所述指定域名的正常访问频次的峰值倍数。5.根据权利要求3所述的方法，其特征在于，所述根据所述指定域名的攻击强度、所述指定域名的正常访问频次的统计值以及所述指定域名的正常访问频次的峰值倍数计算出所述指定域名的攻击缓解因子，包括：根据以下公式计算出所述指定域名的攻击缓解因子；公式REL＝NormalFre×N×Ratio×ZI×Adj其中，F表示攻击缓解因子；NormalFre表示所述指定域名的正常访问频次的统计值；N表示所述指定域名的正常访问频次的峰值倍数；Ratio表示固定系数；Z表示指数函数的底数；I表示所述指定域名的攻击强度；Adj表示用于指数权重调节的调节参数。6.根据权利要求3所述的方法，其特征在于，所述根据所述攻击缓解因子确定所述指定域名的第一解析周期，包括：根据以下公式计算所述指定域名的第一解析周期；公式Interval＝Q×I其中，Interval表示解析周期；Q表示预定的间隔时间值；I表示攻击缓解因子。7.根据权利要求3所述的方法，其特征在于，所述方法还包括：对正常业务请求状态的各个域名的访问请求，按照域名访问频次统计周期进行统计，得到包含所有缓存域名的访问阈值配置列表，所述访问阈值配置列表中记录有域名的正常访问频次的统...

【专利技术属性】
技术研发人员：粟栗，文静，李倩，宋振宇，王庆栋，
申请(专利权)人：中国移动通信有限公司研究院，中国移动通信集团公司，
类型：发明
国别省市：北京,11