一种DDoS攻击封堵判定方法和系统

技术领域

本发明属于通讯计算机领域，属于一种DDoS攻击封堵平判定方法和系 统。

背景技术

随着网络的发展，用户的网络带宽越来越大，DDOS攻击的流量也随之增 大。IDC用户被DDOS攻击越来越多，百G、T级别的DDOS攻击越来越频 繁。DDOS攻击容易将城域网出口拥塞，导致网内其他用户受到影响。云计算 的发展，IDC网络对时延、抖动非常敏感，城域网出口的拥塞可能会导致大量 用户投诉，严重影响网络质量及客户口碑，传统的DDOS攻击处理方式无法 满足用户对业务质量的要求。

目前的解决方案主要有：

运营商监控DDoS攻击的处置主要是基于DDoS攻击后用户的反馈来判 断攻击是否对其他客户造成影响。当大流量的DDoS攻击网络时，传统的 SNMP采集无法及时准确的感知网络实际理论与，尤其脉冲式DDOS攻击， SNMP 5分钟采集流量被平均，无法监控到网络的实际带宽利用率。无法判断 DDOS攻击是否导致骨干网中继拥塞，影响其他用户。从IDC用户被攻击到 影响骨干网其他用户，再到用户报障处置攻击，整个流程经过了很漫长的时间，但是IDC用户对攻击的感知非常敏感，这严重的影响了客户的业务及业务的 感知。

目前的DDoS防护系统由于只能联动传统netflow系统进行攻击检测， 无法智能判断攻击是否造成网络拥塞。若对未造成骨干拥塞的网络攻击进行 封堵操作，容易引起客户投诉，而等到骨干拥塞后再进行处置，又会造成大面 积客户报障。

发明内容

本发明所要解决的技术问题是解决DDoS攻击流量是否对骨干网络端口 拥塞情况，无法判断该攻击是否应该进行封堵。

本发明解决上述技术问题所采取的技术方案如下：

一种DDoS攻击封堵判定方法，包括：

步骤1)基于多个分散部署的GenieATM采集器负责采集其区域辖下的网 络流量记录封包，将初步处理过的资讯传送至GenieATM控制器；

步骤2)基于GenieATM控制器进行资讯的统计汇整和结果呈现，以分散 式架构搭配集中式的配置介面简化系统的部署管理；

GenieATM将预设的分析阈值下发到分析服务器节点，由分析服务器节点 按照设定的时间节点进行DDoS攻击分析。

优选的是，步骤1)中，具体包括：基于Telemetry协议进行网络流量记 录封闭的采集。

优选的是，具体包括：基于时间和基于事件触发进行数据采集；

从MIB等传统建模到标准模型，按照模型驱动方式交互运维数据；

并基于SNMP传输机制进行流式数据周期性采集和变更事件的实时推送。

优选的是，步骤1)中，具体包括：

GenieATM采集器通过检测DDoS告警，通过webhook接口将攻击日志发 送给智能防护平台，告警状态New代表通过秒级检测能力发现的新告警。

优选的是，步骤2)中，具体包括：

智能防护平台调用Telemetry系统REST API查询IP所在子网的流量情 况，并且上行出口是否已经出现拥塞；

如果骨干网出口出现拥塞现象或者该IP地址攻击流量达到预设流量门限， 调用SDN控制器API，进行路由封堵操作，封堵20分钟后实现自动解封功 能；封堵完成后，实现封堵信息的是及时推送。

一种DDoS攻击封堵判定系统，包括：

多个分散部署的GenieATM采集器，用于采集其区域辖下的网络流量记 录封包，将初步处理过的资讯传送至GenieATM控制器；

GenieATM控制器，用于进行资讯的统计汇整和结果呈现，以分散式架构 搭配集中式的配置介面简化系统的部署管理；

将预设的分析阈值下发到分析服务器节点，由分析服务器节点按照设定 的时间节点进行DDoS攻击分析。

优选的是，具体包括：基于Telemetry协议进行网络流量记录封闭的采集。

优选的是，具体包括：GenieATM采集器基于时间和基于事件触发进行数 据采集；从MIB等传统建模到标准模型，按照模型驱动方式交互运维数据；

并基于SNMP传输机制进行流式数据周期性采集和变更事件的实时推送。

优选的是，多个分散部署的GenieATM采集器，用于采集其区域辖下的网 络流量记录封包，将初步处理过的资讯传送至GenieATM控制器，具体包括：

GenieATM采集器通过检测DDoS告警，通过webhook接口将攻击日志发 送给智能防护平台，告警状态New代表通过秒级检测能力发现的新告警。

优选的是，还包括：

智能防护平台，用于调用Telemetry系统RESTAPI查询IP所在子网的流 量情况，并且上行出口是否已经出现拥塞；

如果骨干网出口出现拥塞现象或者该IP地址攻击流量达到预设流量门限， 调用SDN控制器API，进行路由封堵操作，封堵20分钟后实现自动解封功 能；

智能推送平台，用于封堵完成后，实现封堵信息的是及时推送。

本发明的其它特征和优点将在随后的说明书中阐述，并且，部分地从说明 书中变得显而易见，或者通过实施本发明而了解。本发明的目的和其他优点可 通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获 得。

附图说明

下面结合附图对本发明进行详细的描述，以使得本发明的上述优点更加 明确。其中，

图1是本发明DDoS攻击封堵判定系统的结构示意图。

具体实施方式

以下将结合附图及实施例来详细说明本发明的实施方式，借此对本发明 如何应用技术手段来解决技术问题，并达成技术效果的实现过程能充分理解 并据以实施。需要说明的是，只要不构成冲突，本发明中的各个实施例以及 各实施例中的各个特征可以相互结合，所形成的技术方案均在本发明的保护 范围之内。

另外，在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的 计算机系统中执行，并且，虽然在流程图中示出了逻辑顺序，但是在某些情 况下，可以以不同于此处的顺序执行所示出或描述的步骤。

如图1所示，一种DDoS攻击封堵判定系统，包括：

多个分散部署的GenieATM采集器，用于采集其区域辖下的网络流量记 录封包，将初步处理过的资讯传送至GenieATM控制器；

GenieATM控制器，用于进行资讯的统计汇整和结果呈现，以分散式架构 搭配集中式的配置介面简化系统的部署管理；

将预设的分析阈值下发到分析服务器节点，由分析服务器节点按照设定 的时间节点进行DDoS攻击分析。

优选的是，具体包括：基于Telemetry协议进行网络流量记录封闭的采集。

优选的是，具体包括：GenieATM采集器基于时间和基于事件触发进行数 据采集；从MIB等传统建模到标准模型，按照模型驱动方式交互运维数据；

并基于SNMP传输机制进行流式数据周期性采集和变更事件的实时推送。

优选的是，多个分散部署的GenieATM采集器，用于采集其区域辖下的网 络流量记录封包，将初步处理过的资讯传送至GenieATM控制器，具体包括：

GenieATM采集器通过检测DDoS告警，通过webhook接口将攻击日志发 送给智能防护平台，告警状态New代表通过秒级检测能力发现的新告警。

优选的是，还包括：

智能防护平台，用于调用Telemetry系统RESTAPI查询IP所在子网的流 量情况，并且上行出口是否已经出现拥塞；

如果骨干网出口出现拥塞现象或者该IP地址攻击流量达到预设流量门限， 调用SDN控制器API，进行路由封堵操作，封堵20分钟后实现自动解封功 能；

智能推送平台，用于封堵完成后，实现封堵信息的是及时推送。

其中，更具体地说，所述GenieATM采集器透过可扩展的分散式架构， 能支持由小型到最大规模网络营运的效能及可靠性。每个分散部署的 GenieATM采集器负责采集其区域辖下的网络流量记录封包，并将初步处理过 的资讯传送至GenieATM控制器进行资讯的统计汇整和结果呈现，以分散式 架构搭配集中式的配置介面简化系统的部署管理。当网络及流量的规模成长 超越单一控制器或现有整体部署效能时，仅需透过增加GenieATM采集器即 可弹性地扩展系统系能，有效地优化客户总所有成本。

GenieATM将预设的分析阈值下发到分析服务器节点进行实时分析。一般 DDOS攻击通过60秒为时间节点进行flow分析；当遇到较大DDos攻击时， 流量模型将会触发秒级监测。

传统运维痛点：传统网络的设计主要是面向人的界面，基于分钟级别慢 速的原则，比如使用了几十年的SNMP机制，使得短暂攻击导致的瞬时质量 问题无有效检测手段，导致防护被动，只能固定防护阈值实现“一刀切”，无 法灵活关联网络实际状况。

Telemetry是收集+存储+应用分析系统，解决传统snmp采用pull的方式， 设备压力大，大量数据时查询效率低，不同厂家的数据格式不同，数据非结构 化，分析工具适配困难的问题。设备与管控系统基于Telemetry协议交互效率 相对SNMP提升20～30倍。此外，相比于传统的SNMP协议，telemetry还有 以下优点：

1.采集方式：从Polling到Push模式(订阅模式，基于时间和基于事件触 发)

2.建模：从MIB等传统建模到标准模型，支持模型驱动方式交互运维数 据

3.传输机制：从SNMP到更高效率传输机制gRPC

4.采集数据：支持流式数据周期性采集和变更事件的实时推送

5.采集频率：报文速率指标ms级Telemetry上报；

1.3.3联动SDN控制器自动下发封堵操作

传统的配置下发模式完全无法满足下发的时效性，存在多种隐患问题，本 系统采用业界领先的思科SDN控制器。思科SDN控制器是面向服务提供商 的网络自动化解决方案的组成部分，是行业领先的模型驱动编排器，为众多物 理设备和虚拟网络功能提供非常强大网络业务编排功能。网络工程师开发人 员可以对新服务、新设备进行快速响应，对服务进行抽象，一个平台支持多个 厂家设备，通过标准化的南北向接口进行业务管理，通过统一的API接口进 行业务进行部署。

具体来说，一种DDoS攻击封堵判定方法，包括：

步骤1)基于多个分散部署的GenieATM采集器负责采集其区域辖下的网 络流量记录封包，将初步处理过的资讯传送至GenieATM控制器；

步骤2)基于GenieATM控制器进行资讯的统计汇整和结果呈现，以分散 式架构搭配集中式的配置介面简化系统的部署管理；

GenieATM将预设的分析阈值下发到分析服务器节点，由分析服务器节点 按照设定的时间节点进行DDoS攻击分析。

优选的是，步骤1)中，具体包括：基于Telemetry协议进行网络流量记 录封闭的采集。

优选的是，具体包括：基于时间和基于事件触发进行数据采集；

从MIB等传统建模到标准模型，按照模型驱动方式交互运维数据；

并基于SNMP传输机制进行流式数据周期性采集和变更事件的实时推送。

优选的是，步骤1)中，具体包括：

GenieATM采集器通过检测DDoS告警，通过webhook接口将攻击日志发 送给智能防护平台，告警状态New代表通过秒级检测能力发现的新告警。

优选的是，步骤2)中，具体包括：

智能防护平台调用Telemetry系统REST API查询IP所在子网的流量情 况，并且上行出口是否已经出现拥塞；

如果骨干网出口出现拥塞现象或者该IP地址攻击流量达到预设流量门限， 调用SDN控制器API，进行路由封堵操作，封堵20分钟后实现自动解封功 能；封堵完成后，实现封堵信息的是及时推送。

在一个实施例中，其主要包括：

(1)GenieATM通过检测DDoS告警，通过webhook接口将攻击日志 发送给，智能防护平台。告警状态New代表通过秒级检测能力发现的新告警。

(2)智能防护平台防护平台调用Telemetry系统REST API查询IP所 在子网的流量情况，并且上行出口是否已经出现拥塞。

(3)如果骨干网出口出现拥塞现象或者该IP地址攻击流量达到预设 流量门限，调用SDN控制器API，进行路由封堵操作，封堵20分钟后实现实 现自动解封功能。

(4)封堵完成后，实现封堵信息的是及时推送。

本发明技术方案带来的有益效果：

A、保障金融政府行业服务稳定，维护社会网络安全稳定。

B、保证云服务等前沿行业安全，近年来联通也在大力发展和推广云业 务作为新的业务增长点，以金融等行业为代表的客户对云安全极为重视。高 效的DDOS防护服务，可有效支撑云业务的发展。

C、项目成果能为联通大客户提供流量攻击安全保障，重大社会事件期 间可配合安全主管部门完成重要通信保障，是履行运营商国家网络信息安全 保障社会责任的重要手段。

需要说明的是，对于上述方法实施例而言，为了简单描述，故将其都表述 为一系列的动作组合，但是本领域技术人员应该知悉，本申请并不受所描述的 动作顺序的限制，因为依据本申请，某些步骤可以采用其他顺序或者同时进行。 其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于优选实施 例，所涉及的动作和模块并不一定是本申请所必须的。

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计 算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结 合软件和硬件方面的实施例的形式。

而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计 算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上 实施的计算机程序产品的形式。

最后应说明的是：以上所述仅为本发明的优选实施例而已，并不用于限制 本发明，尽管参照前述实施例对本发明进行了详细的说明，对于本领域的技术 人员来说，其依然可以对前述各实施例所记载的技术方案进行修改，或者对其 中部分技术特征进行等同替换。凡在本发明的精神和原则之内，所作的任何修 改、等同替换、改进等，均应包含在本发明的保护范围之内。