(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN114205096A(43)申请公布日2022.03.18(21)申请号202010880440.6(22)申请日2020.08.27(71)申请人北京秦淮数据有限公司地址100089北京市海淀区学院路39号1幢唯实大厦6层602(72)发明人居静宋婧(74)专利代理机构北京三聚阳光知识产权代理有限公司11250代理人胡晓静(51)Int.Cl.H04L9/40(2022.01)权利要求书2页说明书6页附图2页(54)发明名称一种DDOS攻击防御方法及装置(57)摘要本申请提供的一种DDOS攻击防御方法及装置，该方法包括：获取网络状态数据；其中，网络状态数据包括至少一个目标源IP、至少一个目的IP、各目标源IP与各目的IP之间的流量、各目标源IP对应的总流量以及各目的IP对应的总流量；判断各目标源IP对应的总流量是否处于预设的安全区间；当确定任一目标源IP对应的总流量不处于预设的安全区间时，确定目标源为DDOS攻击源，并根据目标源IP建立黑洞路由，以对目标源IP进行封锁。上述方案提供的DDOS攻击防御方法，通过根据各目标源IP对应的总流量，实时检测各目标源是否为DDOS攻击源，并为所确定的DDOS攻击源建立黑洞路由，以对DDOS攻击源进行及时封锁，提高了DDOS攻击防御效率，为提高网络环境的安全性奠定了基础。CN114205096ACN114205096A权利要求书1/2页1.一种DDOS攻击防御方法，其特征在于，包括：获取网络状态数据；其中，所述网络状态数据包括至少一个目标源IP、至少一个目的IP、各目标源IP与各目的IP之间的流量、各目标源IP对应的总流量以及各目的IP对应的总流量；判断所述各目标源IP对应的总流量是否处于预设的安全区间；当确定任一目标源IP对应的总流量不处于预设的安全区间时，确定所述目标源为DDOS攻击源，并根据所述目标源IP建立黑洞路由，以对所述目标源IP进行封锁。2.根据权利要求1所述的DDOS攻击防御方法，其特征在于，还包括：根据所述各目标源IP与各目的IP之间的流量，确定各目标源IP对应的最大目的IP；其中，所述最大目的IP是与所述目标源IP之间的流量最大的目的IP；根据所述最大目的IP对应的总流量，确定所述安全区间。3.根据权利要求2所述的DDOS攻击防御方法，其特征在于，所述根据所述最大目的IP对应的总流量，确定所述安全区间，包括：通过计算最大目的IP对应的总流量与预设的上限比例的乘积，确定所述安全区间的最大值；通过计算最大目的IP对应的总流量与预设的下限比例的乘积，确定所述安全区间的最小值；根据所述安全区间的最大值和所述安全区间的最小值确定所述安全区间。4.根据权利要求1所述的DDOS攻击防御方法，其特征在于，所述确定所述目标源为DDOS攻击源包括：统计各目标源IP对应的总流量在预设时间段内不处于预设的安全区间的次数，当所述次数达到预设阈值时，确定所述目标源为DDOS攻击源。5.根据权利要求1所述的DDOS攻击防御方法，其特征在于，在确定所述目标源为DDOS攻击源之后，所述方法还包括：根据所述目标源IP及目标源IP与各目的IP之间的流量生成报警信息。6.根据权利要求5所述的DDOS攻击防御方法，其特征在于，所述方法还包括：发出所述报警信息，用于提示操作人员所述目标源为DDOS攻击源。7.一种DDOS攻击防御装置，其特征在于，包括：获取模块、判断模块和防御模块；所述获取模块，用于获取网络状态数据；其中，所述网络状态数据包括至少一个目标源IP、至少一个目的IP、各目标源IP与各目的IP之间的流量、各目标源IP对应的总流量以及各目的IP对应的总流量；所述判断模块，用于判断所述各目标源IP对应的总流量是否处于预设的安全区间；所述防御模块用于，当确定任一目标源IP对应的总流量不处于预设的安全区间时，确定所述目标源为DDOS攻击源，并根据所述目标源IP建立黑洞路由，以对所述目标源IP进行封锁。8.根据权利要求7所述的DDOS攻击防御装置，其特征在于，所述判断模块还用于：根据所述各目标源IP与各目的IP之间的流量，确定各目标源IP对应的最大目的IP；其中，所述最大目的IP是与所述目标源IP之间的流量最大的目的IP；根据所述最大目的IP对应的总流量，确定所述安全区间。2CN114205096A权利要求书2/2页9.一种电子设备，其特征在于，包括：至少一个处理器和存储器；所述存储器存储计算机执行指令；所述至少一个处理器执行所述存储器存储的计算机执行指令，使得所述至少一个处理器执行如权利要求1-6任一项所述的方法。10.一种包含计算机可执行指令的存储介质，其特征在于，所述计算机可执行指令在由计算机处理器执行时用于执行如权利要求1-6任