[发明专利]一种对DDoS攻击进行入口管控的方法及装置

说明书

本申请公开了一种对DDoS攻击进行入口管控的方法及装置，包括：在接收到DDoS攻击信息的情况下，调取区块链中存储的每个IP地址的路径摘要，其中路径摘要包括路由器节点转发的每个IP地址的数据包中预设类型的数据包的比例信息、数据包长度分布情况以及收发包比例，并根据攻击的类型获取对应的攻击特征，从调取的历史路径摘要中确定符合攻击特征的路径摘要以及对应的目标IP地址，进一步的，还通过目标IP地址确定发起访问的源头用户，这样不仅做到了动态调整用于拦截攻击者的黑名单，还从源头上遏制了攻击，提高了安全性。并且，区块链中存储的路径摘要是按照IP地址进行存储的，有利于对发起攻击的IP地址进行溯源查询。

技术领域

本发明涉及网络安全领域，尤其涉及一种对DDoS攻击进行入口管控的方法及装置。

背景技术

DDoS（英文名称：Distributed Denial of Service，中文名称:分布式拒绝服务攻击）攻击可以使很多的计算机在同一时间遭受到绑架劫持，使攻击的目标无法正常使用。并且随着物联网等技术的发展，其攻击量级之大、分布范围之广、破坏性之严重，以及越发低成本的发起方式，都已经使得DDoS攻击成为网络安全中一个棘手的问题。

为了解决上述问题，现有方法多为通过黑名单或者白名单的方式拦截DDoS攻击，并且设置的黑名单或者白名单是固定的，这种情况下，拦截效果较差，对于新发现的攻击者，不易进行拦截。

发明内容

有鉴于此，本发明实施例公开了一种对DDoS攻击进行入口管控的方法及装置，不仅做到了动态调整用于拦截攻击者的黑名单，还从源头上遏制了攻击，提高了安全性。并且，区块链中存储的路径摘要是按照IP地址进行存储的，有利于对发起攻击的IP地址进行溯源查询。

本发明实施例公开了一种对DDoS攻击进行入口管控的方法，包括：

当接收到DDoS攻击信息的情况下，从区块链中调取转发恶意数据包的路由器节点的历史路径摘要；所述路径摘要至少包括：路由器节点转发的每个IP地址的数据包中预设类型的数据包的比例信息、数据包长度分布情况以及收发包比例，所述区块链中存储的路径摘要是按照IP地址进行存储的；所述DDoS攻击信息包括：转发恶意数据包的路由器节点的信息以及攻击类型；

获取所述攻击类型对应的攻击特征；

从调取的路径摘要中，确定符合所述攻击特征的路径摘要, 并确定所述符合所述攻击特征的路径摘要对应的目标IP地址；

将所述目标IP地址作为恶意IP地址，并将所述恶意IP地址存入黑名单中；

确定所述目标IP地址对应的用户信息，在所述用户信息满足预设条件的情况下，将所述用户信息作为恶意用户存入所述黑名单中；所述黑名单用于拦截攻击者的访问。

可选的，所述路径摘要是通过部署在局域网中的路由器节点每间隔预设的时间周期，按照IP地址进行统计的，并通过路由器节点将每个周期得到的路径摘要上传到区块链中进行存储；

所述路径摘要中路由器节点转发的每个IP地址的数据包中预设类型的数据包的比例信息、数据包长度分布情况以及收发包比例是基于DDoS攻击特征确定的。

可选的，所述路径摘要至少包括：每个IP地址向局域网发送数据包和接收局域网的数据包比例，发送的SYN同步序列编号包占发送的总数据包的比例，发送的ACK即是确认字符包占总数据包的比例、发送的UDP用户数据报协议包占总数据包的比例、发送ICMP网络控制报文协议包占总数据包的比例、以及每个IP地址所发的数据包的长度分布情况。

可选的，所述预设条件包括：

用户被分配的IP地址中有任意一个为恶意IP地址，则将该用户作为恶意用户存入黑名单中；

或者