[发明专利]一种确定DDOS攻击的攻击目的IP的方法及装置

说明书

技术领域

本申请涉及安全防护领域，特别涉及一种确定DDOS攻击的攻击目的IP的方法及装置。

背景技术

在DDOS(Distributed Denial of Service，分布式拒绝服务)攻击中，攻击源和攻击目的都存在不确定性。当某服务器受黑客控制成为傀儡机，向多个IP发起攻击时，一般的异常流量清洗设备会基于攻击目的IP牵引攻击流量。如果异常流量清洗设备牵引的攻击目的IP多于实际受攻击的IP，则会出现误牵引，导致正常的流量被误杀。因此，确定DDOS攻击的攻击目的IP对于防护DDOS攻击而言非常重要。

在相关技术中，当网络中可能存在来自任一攻击源IP的DDOS攻击时，列出以来自该攻击源IP的流量，并以流量大小进行排序，生成流量排序列表，然后根据预设的固定数量，确定流量排序列表的前面几个目的IP为攻击目的IP，然后对访问上述攻击目的IP的流量进行牵引。

然而，上述预设的固定数量可能与实际受攻击的IP数量不符，如果固定数量少于受攻击的IP数量，则会存在攻击流量未被牵引；如果固定数量大于受攻击的IP数量，则会出现误牵引，导致正常的业务受到影响。

发明内容

有鉴于此，本申请提供一种确定DDOS攻击的攻击目的IP的方法及装置，用以解决相关技术中，因难以确定DDOS攻击的攻击目的IP，导致攻击流量未被牵引或者正常的业务受到影响的问题。

具体地，本申请是通过如下技术方案实现的：

一种确定DDOS攻击的攻击目的IP的方法，应用于DDOS防护设备，包括：

获取流量排序列表；所述流量排序列表包括目标源IP、若干个目的IP以及所述目标源IP与各目的IP之间的流量，各流量按照流量大小进行排序；所述流量排序列表还包括所述目标源IP对应的总流量大小；

根据预设的系数乘以所述总流量大小，获得异常流量阈值；

判断所述流量排序列表中的最大流量是否小于所述异常流量阈值；如果是，将该最大流量与所述流量排序列表中的下一流量依次进行累加后，比较累加结果是否小于所述异常流量阈值，直到累加结果不小于所述异常流量阈值时，将该累加结果对应的目的IP确定为攻击目的IP。

在所述确定DDOS攻击的攻击目的IP的方法中，所述DDOS防护设备与异常流量清洗设备对接；

所述方法还包括：

当确定DDOS攻击的攻击目的IP后，将所述攻击目的IP转发至所述异常流量清洗设备，以由所述异常流量清洗设备对访问所述攻击目的IP的流量进行安全防护。

在所述确定DDOS攻击的攻击目的IP的方法中，所述DDOS防护设备与异常流量检测设备对接；

所述获取流量排序列表，包括：

获取所述异常流量检测设备上传的流量排序列表；所述流量排序列表，包括所述异常流量检测设备在检测到来自任一IP的流量大于预设的正常流量阈值时，生成的包含以该IP为目标源IP的全部流量的列表。

在所述确定DDOS攻击的攻击目的IP的方法中，所述获取所述异常流量检测设备上传的流量排序列表，包括：

接收所述异常流量检测设备周期性生成并上传的所述流量排序列表。

一种确定DDOS攻击的攻击目的IP的装置，应用于DDOS防护设备，包括：

获取单元，用于获取流量排序列表；所述流量排序列表包括目标源IP、若干个目的IP以及所述目标源IP与各目的IP之间的流量，各流量按照流量大小进行排序；所述流量排序列表还包括所述目标源IP对应的总流量大小；

计算单元，用于根据预设的系数乘以所述总流量大小，获得异常流量阈值；

确定单元，用于判断所述流量排序列表中的最大流量是否小于所述异常流量阈值；如果是，将该最大流量与所述流量排序列表中的下一流量依次进行累加后，比较累加结果是否小于所述异常流量阈值，直到累加结果不小于所述异常流量阈值时，将该累加结果对应的目的IP确定为攻击目的IP。

在所述确定DDOS攻击的攻击目的IP的装置中，所述DDOS防护设备与异常流量清洗设备对接；

所述装置还包括：

转发单元，用于当确定DDOS攻击的攻击目的IP后，将所述攻击目的IP转发至所述异常流量清洗设备，以由所述异常流量清洗设备对访问所述攻击目的IP的流量进行安全防护。

在所述确定DDOS攻击的攻击目的IP的装置中，所述DDOS防护设备与异常流量检测设备对接；

所述获取单元，进一步用于：