(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 20221095981 1.9 (22)申请日 2022.08.11 (71)申请人 天翼安全科技有限公司 地址 100010 北京市东城区朝阳门北 大街 19号中国电信大厦 (72)发明人 韦佳明　管纪伟　殷志祥　李亚　 (74)专利代理 机构 北京同达信恒知识产权代理 有限公司 1 1291 专利代理师 路晓丹 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 DDoS攻击防护方法、 装置、 设备及计算机存 储介质 (57)摘要 本公开提供DDoS攻击防护方法、 装置、 设备 及计算机存储介质。 包括： 针对任一目标对象的 网际互联协议IP地址， 每隔指定时长， 对IP地址 进行流量检测， 得到IP地址在的流量数据； 利用 预先设置好的各IP地址与DDoS防护规则的对应 关系， 确定与所述IP地址对应的多个目标DDoS防 护规则； 将所述流量数据与多个目标DDoS防护规 则进行匹配， 得到与所述流量数据对应的目标 DDoS防护规则； 利用与所述流量数据相对应的目 标DDoS防护规则对所述IP地址的流量数据进行 防护操作。 由此， 本公开实现了自动对数据流量 的防护操作， 提高攻击防护的效率， 且不同的流 量数据使用对应的防护操作， 进一步提高了攻击 防护的准确率。 权利要求书3页 说明书11页 附图5页 CN 115412310 A 2022.11.29 CN 115412310 A 1.一种DDoS攻击防护方法， 其特 征在于， 所述方法包括： 针对任意一个目标对象的网际互联协议IP地址， 每隔指定时长， 对所述IP地址进行流 量检测， 得到所述 IP地址在所述指定时长内的流 量数据； 以及， 利用预先设置好的各IP地址与DDoS防护规则的对应关系， 确定与所述IP地址相对应的 多个目标D DoS防护规则； 将所述流量数据与所述多个目标DDoS防护规则进行匹配， 得到与所述流量数据相对应 的目标DDoS防护规则； 并， 利用与所述流量数据相对应的目标DDoS防护规则对所述IP地址的流量数据进行防护 操作。 2.根据权利要求1所述的方法， 其特征在于， 所述多个目标DDoS防护规则包括流量清洗 规则和流 量压制规则； 所述将所述流量数据与所述多个目标DDoS防护规则进行匹配， 得到与所述流量数据相 对应的目标D DoS防护规则， 包括： 若所述流量数据的大小大于第一指定阈值， 则确定与所述流量数据相对应的目标DDoS 防护规则为所述 流量清洗规则； 若所述流量数据的大小大于第二指定阈值， 则确定与所述流量数据相对应的目标DDoS 防护规则为所述 流量压制规则， 其中， 所述第一指定阈值小于所述第二指定阈值。 3.根据权利要求2所述的方法， 其特征在于， 所述利用与所述流量数据相对应的目标 DDoS防护规则对所述 IP地址的流 量数据进行防护操作， 包括： 若确定与所述流量数据相对应的目标DDoS防护规则为所述流量清洗规则， 则利用预先 设置的与所述 IP地址相对应的清洗设备对所述 流量数据进行流 量清洗操作； 或， 若确定与所述流量数据相对应的目标DDoS防护规则为所述流量压制规则， 则对所述流 量数据进行引流操作。 4.根据权利要求3所述的方法， 其特 征在于， 所述方法还 包括： 若在流量清洗操作的过程中检测到所述IP地址的当前流量数据 大于第二指定阈值， 则 对所述流量数据进行流 量清洗操作之后， 对所述 流量数据进行引流操作。 5.根据权利要求3所述的方法， 其特 征在于， 所述方法还 包括： 若在引流操作的过程中检测到所述IP地址的当前流量数据大于第一指定阈值且不大 于所述第二指定阈值， 则对所述流量数据进行引流操作之后， 利用预先设置的与所述IP地 址相对应的清洗设备对所述 流量数据进行流 量清洗操作。 6.根据权利要求3或4所述的方法， 其特征在于， 所述对所述流量数据进行引流操作， 包 括： 丢掉所述 流量数据； 若在引流操作的过程中检测到所述IP地址的当前流量数据不大于第 二指定阈值， 则停 止所述引流操作。 7.根据权利要求3或5所述的方法， 其特征在于， 所述利用预先设置的与所述IP地址相 对应的清洗设备对所述 流量数据进行流 量清洗操作， 包括： 利用所述清洗设备 过滤掉所述 流量数据中的指定类型的攻击流 量； 若在流量清洗操作的过程中检测到所述IP地址的当前流量数据不大于第 一指定阈值，权　利　要　求　书 1/3 页 2 CN 115412310 A 2则停止所述 流量清洗操作； 或， 若在流量清洗操作的过程中检测到所述IP地址的当前流量数据 大于第二指定阈值， 则 停止所述 流量清洗操作， 其中， 所述第一指定阈值小于所述第二指定阈值。 8.一种DDoS攻击防护装置， 其特 征在于， 所述装置包括： 流量检测模块， 用于针对任意一个目标对象的网际互联协议IP地址， 每隔指定时长， 对 所述IP地址进行流 量检测， 得到所述 IP地址在所述指定时长内的流 量数据； 目标DDoS防护规则确定模块， 用于利用预先设置好的各IP地址与DDoS防护规则的对应 关系， 确定与所述 IP地址相对应的多个目标D DoS防护规则； 匹配模块， 用于将所述流量数据与所述多个目标DDoS防护规则进行匹配， 得到与所述 流量数据相对应的目标D DoS防护规则； 防护操作模块， 用于利用与所述流量数据相对应的目标DDoS防护规则对所述IP地址的 流量数据进行防护操作。 9.根据权利要求8所述的装置， 其特征在于， 所述多个目标DDoS防护规则包括流量清洗 规则和流 量压制规则； 所述匹配模块， 具体用于： 若所述流量数据的大小大于第一指定阈值， 则确定与所述流量数据相对应的目标DDoS 防护规则为所述 流量清洗规则； 若所述流量数据的大小大于第二指定阈值， 则确定与所述流量数据相对应的目标DDoS 防护规则为所述 流量压制规则， 其中， 所述第一指定阈值小于所述第二指定阈值。 10.根据权利要求9所述的装置， 其特 征在于， 所述防护操作模块， 具体用于： 若确定与所述流量数据相对应的目标DDoS防护规则为所述流量清洗规则， 则利用预先 设置的与所述 IP地址相对应的清洗设备对所述 流量数据进行流 量清洗操作； 或， 若确定与所述流量数据相对应的目标DDoS防护规则为所述流量压制规则， 则对所述流 量数据进行引流操作。 11.根据权利要求10所述的装置， 其特 征在于， 所述装置还 包括： 第一切换模块， 用于若在流量清洗操作的过程中检测到所述IP地址的当前流量数据 大 于第二指定阈值， 则对所述流量数据进行流量清洗操作之后， 对所述流量数据进行引流操 作。 12.根据权利要求10所述的装置， 其特 征在于， 所述装置还 包括： 第二切换模块， 用于若在引流操作的过程中检测到所述IP地址的当前流量数据 大于第 一指定阈值且不大于所述第二指定阈值， 则对所述流量数据进行引流操作之后， 利用预先 设置的与所述 IP地址相对应的清洗设备对所述 流量数据进行流 量清洗操作。 13.根据权利要求10或11所述的装置， 其特征在于， 所述防护操作模块执行所述对所述 流量数据进行引流操作， 具体用于： 丢掉所述 流量数据； 若在引流操作的过程中检测到所述IP地址的当前流量数据不大于第 二指定阈值， 则停 止所述引流操作。 14.根据权利要求10或12所述的装置， 其特征在于， 所述防护操作模块执行所述利用预 先设置的与所述 IP地址相对应的清洗设备对所述 流量数据进行流 量清洗操作， 具体用于：权　利　要　求　书 2/3 页 3 CN 115412310 A 3