[发明专利]一种对DDoS攻击进行入口管控的方法及装置

权利要求书

1.一种对DDoS攻击进行入口管控的方法，其特征在于，包括：

当接收到DDoS攻击信息的情况下，从区块链中调取转发恶意数据包的路由器节点的历史路径摘要；所述路径摘要至少包括：路由器节点转发的每个IP地址的数据包中预设类型的数据包的比例信息、数据包长度分布情况以及收发包比例，所述区块链中存储的路径摘要是按照IP地址进行统计的并按照IP地址进行存储的；所述DDoS攻击信息包括：转发恶意数据包的路由器节点的信息以及攻击类型；所述路径摘要至少包括：每个IP地址向局域网发送数据包和接收局域网的数据包比例，发送的SYN同步序列编号包占发送的总数据包的比例，发送的ACK即是确认字符包占总数据包的比例、发送的UDP用户数据报协议包占总数据包的比例、发送ICMP网络控制报文协议包占总数据包的比例、以及每个IP地址所发的数据包的长度分布情况；

获取所述攻击类型对应的攻击特征；

从调取的路径摘要中，确定符合所述攻击特征的路径摘要,并确定所述符合所述攻击特征的路径摘要对应的目标IP地址；

将所述目标IP地址作为恶意IP地址，并将所述恶意IP地址存入黑名单中；

确定所述目标IP地址对应的用户信息，在所述用户信息满足预设条件的情况下，将所述用户信息作为恶意用户存入所述黑名单中；所述黑名单用于拦截攻击者的访问；

监测是否在预设的第一时间阈值内检测到恶意用户的访问行为；

若未在预设的第一时间阈值内检测到恶意用户的访问行为，则删除所述黑名单中所述恶意用户的信息；

监测是否在预设的第二时间阈值内检测到恶意IP地址的访问行为；

若未在预设的第二时间阈值内检测到恶意IP地址的访问行为，则删除所述黑名单中所述恶意IP地址的信息；

其中，还包括：

响应于访问指令，获取用户的身份信息以及IP地址，一个用户的身份信息对应多个IP地址；

若用户的身份信息或者所述IP地址中任意一项在所述黑名单中，则拦截用户的访问。

2.根据权利要求1所述的方法，其特征在于，所述路径摘要是通过部署在局域网中的路由器节点每间隔预设的时间周期，按照IP地址进行统计的，并通过路由器节点将每个周期得到的路径摘要上传到区块链中进行存储；

所述路径摘要中路由器节点转发的每个IP地址的数据包中预设类型的数据包的比例信息、数据包长度分布情况以及收发包比例是基于DDoS攻击特征确定的。

3.根据权利要求1所述的方法，其特征在于，所述预设条件包括：

用户被分配的IP地址中有任意一个为恶意IP地址，则将该用户作为恶意用户存入黑名单中；

或者

若用户被分配的IP地址中为恶意IP地址的数量大于预设的数量阈值时，则将用户作为恶意用户存入黑名单中。

4.根据权利要求1所述的方法，其特征在于，还包括：

若在预设的第一时间阈值内检测到恶意用户的访问行为，则记录所述恶意用户的访问时间；

将所述恶意用户的访问时间作为起始点重新对第一时间阈值进行计时；

若在预设的第二时间阈值内检测到恶意IP地址的访问行为，则记录所述恶意IP地址的访问时间；

将所述恶意IP地址的访问时间作为起始点重新对所述第二时间阈值进行计时。