(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN114124419A(43)申请公布日2022.03.01(21)申请号202010880461.8(22)申请日2020.08.27(71)申请人北京秦淮数据有限公司地址100089北京市海淀区学院路39号1幢唯实大厦6层602(72)发明人居静宋婧(74)专利代理机构北京三聚阳光知识产权代理有限公司11250代理人胡晓静(51)Int.Cl.H04L9/40(2022.01)权利要求书2页说明书7页附图2页(54)发明名称一种DDOS攻击防御方法及装置(57)摘要本申请提供的一种DDOS攻击防御方法及装置，该方法包括：获取各目标源IP的入口方向的总带宽及各目标源IP对应的出口方向的总带宽；判断各目标源IP的入口方向的总带宽是否大于目标源IP对应的出口方向的总带宽；当有至少一个目标源IP的入口方向的总带宽大于目标源IP对应的出口方向的总带宽时，分别计算至少一个目标源IP的总带宽的超出比例；根据超出比例从大到小的排序结果，得到相应的风险目标源IP集合；判断风险目标源IP集合中各风险目标源IP对应的超出比例是否大于预设阈值；当风险目标源IP对应的超出比例大于预设阈值时，确定风险目标源IP为DDOS攻击源IP，并根据风险目标源IP建立黑洞路由，以对风险目标源IP进行封锁。提高了DDOS攻击防御效率。CN114124419ACN114124419A权利要求书1/2页1.一种DDOS攻击防御方法，其特征在于，包括：获取各目标源IP的入口方向的总带宽及各目标源IP对应的出口方向的总带宽；判断所述各目标源IP的入口方向的总带宽是否大于所述目标源IP对应的出口方向的总带宽；当有至少一个目标源IP的入口方向的总带宽大于所述目标源IP对应的出口方向的总带宽时，分别计算所述至少一个目标源IP的总带宽的超出比例；根据超出比例从大到小的排序结果，确定预设数量个风险目标源IP，以得到相应的风险目标源IP集合；判断所述风险目标源IP集合中各风险目标源IP对应的超出比例是否大于预设阈值；当所述风险目标源IP对应的超出比例大于所述预设阈值时，确定所述风险目标源IP为DDOS攻击源IP，并根据所述风险目标源IP建立黑洞路由，以对所述风险目标源IP进行封锁。2.根据权利要求1所述的DDOS攻击防御方法，其特征在于，还包括：当确定所述各目标源IP的入口方向的总带宽小于或等于所述目标源IP对应的出口方向的总带宽，或，所述风险目标源IP对应的超出比例小于或等于预设阈值时，返回所述获取各目标源IP的入口方向的总带宽及各目标源IP对应的出口方向的总带宽的步骤。3.根据权利要求1所述的DDOS攻击防御方法，其特征在于，在得到相应的风险目标源IP集合之后，所述方法还包括：判断所述风险目标源IP集合中是否包括预设的安全目标源IP；当确定所述风险目标源IP集合中包括预设的安全目标源IP时，将所述预设的安全目标源IP从所述风险目标源IP集合中剔除。4.根据权利要求1所述的DDOS攻击防御方法，其特征在于，在确定所述风险目标源IP为DDOS攻击源IP之后，所述方法还包括：根据所述风险目标源IP入口方向的总带宽及所述风险目标源IP对应的出口方向的总带宽生成报警信息。5.根据权利要求4所述的DDOS攻击防御方法，其特征在于，所述方法还包括：发出所述报警信息，用于提示操作人员所述风险目标源IP为DDOS攻击源IP。6.一种DDOS攻击防御装置，其特征在于，包括：获取模块、第一判断模块、检测模块、第二判断模块和防御模块；所述获取模块用于获取各目标源IP的入口方向的总带宽及各目标源IP对应的出口方向的总带宽；所述第一判断模块用于判断所述各目标源IP的入口方向的总带宽是否大于所述目标源IP对应的出口方向的总带宽；所述检测模块用于当有至少一个目标源IP的入口方向的总带宽大于所述目标源IP对应的出口方向的总带宽时，分别计算所述至少一个目标源IP的的总带宽的超出比例，根据超出比例从大到小的排序结果，确定预设数量个风险目标源IP，以得到相应的风险目标源IP集合；所述第二判断模块用于判断所述风险目标源IP集合中各风险目标源IP对应的超出比例是否大于预设阈值；所述防御模块用于当所述风险目标源IP对应超出比例大于所述预设阈值时，确定所述风险目标源IP为DDOS攻击源IP，并根据所述风险目标源IP建立黑洞路由，以对所述风险目2CN114124419A权利要求书2/2页标源IP进行封锁。7.根据权利要求6所述的DDOS攻击防御装置，其特征在于，所述装置还包括监督模块；所述监督模块用于当确定所述各目标源IP的入口方向的总带宽小于或等于所述目标源IP对应的出口方向的总带宽，或，所述风险目标源IP对应的超出比例小于或等于预设阈值时，返回所述获