拒绝服务攻击的防护方法及装置与流程

1.本技术涉及网络安全技术领域，具体涉及一种拒绝服务攻击的防护方法及装置。


背景技术：

2.拒绝服务攻击，如ddos(distributed denial of service，分布式拒绝服务)攻击是网络安全领域中比较常见的攻击方式，其特点是利用构造非合法报文或资源耗尽的网络攻击方式，有针对性的消耗目标服务器资源，使得目标服务器无法正常工作。在面对拒绝服务攻击时，如何针对拒绝服务攻击进行防护，以尽可能保证正常业务访问的情况下有效地处理攻击流量尤为重要。
3.相关技术中，对拒绝服务攻击的防护，是将恶意攻击的源地址，如源ip地址列入到黑名单，基于源地址的方式进行恶意流量封锁，使其无法访问目标服务器。但是，若采用这种方式进行防护，会出现当正常行为流量和恶意行为流量的源地址相同情况下，该正常行为流量会被拦截，无法满足正常行为流量的正常业务访问的情况，导致对拒绝服务攻击的拦截准确率低。


技术实现要素：

4.本技术旨在至少解决相关技术中存在的技术问题之一。为此，本技术提出一种拒绝服务攻击的防护方法，能够提高对拒绝服务攻击的拦截准确率。
5.本技术还提出一种拒绝服务攻击的防护装置。
6.本技术还提出一种电子设备。
7.本技术还提出一种计算机可读存储介质。
8.根据本技术第一方面实施例的拒绝服务攻击的防护方法，包括：
9.在老化时间内，对请求报文命中黑名单的源地址进行持续源认证，得到所述源地址的持续源认证结果；
10.确定所述持续源认证结果为持续源认证失败导致所述老化时间持续刷新，拦截所述源地址发送的请求报文。
11.本技术实施例提供的拒绝服务攻击的防护方法，通过在老化时间内，对请求报文命中黑名单的源地址进行持续源认证，得到源地址的持续源认证结果，以在确定持续源认证结果为持续源认证失败导致老化时间持续刷新的情况下，再拦截该源地址发送的请求报文，从而能够利用老化时间内的持续源认证，来对可疑的源地址进行持续行为监控，减少在正常客户端与伪造该正常客户端的源地址的恶意攻击均向目标服务器发送请求报文时，正常客户端的请求报文因恶意攻击的源地址的源认证失败而被拦截的情况，提高利用源地址对拒绝服务攻击进行拦截的准确率。
12.根据本技术的一个实施例，在老化时间内，对请求报文命中黑名单的源地址进行持续源认证，包括：
13.确定当前资源负荷低于预设负荷，在老化时间内，对请求报文命中黑名单的源地
址进行持续源认证。
14.根据本技术的一个实施例，在老化时间内，对请求报文命中黑名单的源地址进行持续源认证，包括：
15.对请求报文命中黑名单的源地址进行初步源认证，得到所述源地址的初步源认证结果；
16.根据所述初步源认证结果，将所述源地址加入对应的监控源列表；
17.在根据所述监控源列表确定的老化时间内，对所述监控源列表中的所述源地址进行持续源认证；
18.其中，所述监控源列表包括非可信监控源列表和攻击监控源列表，所述非可信监控源列表用于记录初步源认证结果为源认证成功的源地址，所述攻击监控源列表用于记录初步源认证结果为源认证失败的源地址。
19.根据本技术的一个实施例，还包括：
20.确定当前资源负荷达到预设负荷，清空所述监控源列表。
21.根据本技术的一个实施例，所述当前资源负荷根据当前cpu使用率、当前内存使用率或当前网络带宽占用比中的至少一种确定。
22.根据本技术的一个实施例，在根据所述监控源列表确定的老化时间内，对所述监控源列表中的所述源地址进行持续源认证，包括：
23.确定所述非可信监控源列表中未进行持续源认证的源地址数量小于第一预设值，在根据所述非可信监控源列表确定的老化时间内，对所述非可信监控源列表中的所述源地址进行持续源认证。
24.根据本技术的一个实施例，还包括：
25.确定所述非可信监控源列表中未进行持续源认证的源地址数量达到所述第一预设值，拦截所述源地址发送的命中所述黑名单的请求报文。
26.根据本技术的一个实施例，在根据所述监控源列表确定的老化时间内，对所述监控源列表中的所述源地址进行持续源认证，包括：
27.确定所述攻击监控源列表中未进行持续源认证的源地址数量小于第二预设值，在根据所述攻击监控源列表确定的老化时间内，对所述攻击监控源列表中的所述源地址进行持续源认证。
28.根据本技术的一个实施例，还包括：
29.确定所述攻击监控源列表中未进行持续源认证的源地址数量达到所述第二预设值，拦截所述源地址发送的请求报文。
30.根据本技术第二方面实施例的拒绝服务攻击的防护装置，包括：
31.地址认证模块，用于在老化时间内，对请求报文命中黑名单的源地址进行持续源认证，得到所述源地址的持续源认证结果；
32.报文拦截模块，用于确定所述持续源认证结果为持续源认证失败导致所述老化时间持续刷新，拦截所述源地址发送的请求报文。
33.根据本技术第三方面实施例的电子设备，包括处理器和存储有计算机程序的存储器，所述处理器执行所述计算机程序时实现上述任一实施例所述的拒绝服务攻击的防护方法。
34.根据本技术第四方面实施例的计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现上述任一实施例所述的拒绝服务攻击的防护方法。
35.根据本技术第五方面实施例的计算机程序产品，包括：所述计算机程序被处理器执行时实现如上述任一实施例所述的拒绝服务攻击的防护方法。
36.本技术实施例中的上述一个或多个技术方案，至少具有如下技术效果之一：
37.通过在老化时间内，对请求报文命中黑名单的源地址进行持续源认证，得到源地址的持续源认证结果，以在确定持续源认证结果为持续源认证失败导致老化时间持续刷新的情况下，再拦截该源地址发送的请求报文，从而能够利用老化时间内的持续源认证，来对可疑的源地址进行持续行为监控，减少在正常客户端与伪造该正常客户端的源地址的恶意攻击均向目标服务器发送请求报文时，正常客户端的请求报文因恶意攻击的源地址的源认证失败而被拦截的情况，提高利用源地址对拒绝服务攻击进行拦截的准确率。
附图说明
38.为了更清楚地说明本技术或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
39.图1是本技术实施例提供的拒绝服务攻击的防护方法的应用环境示意图；
40.图2是本技术实施例提供的拒绝服务攻击的防护方法的第一流程示意图；
41.图3是本技术实施例提供的拒绝服务攻击的防护方法的第二流程示意图；
42.图4是本技术实施例提供的拒绝服务攻击的防护装置的结构示意图；
43.图5是本技术实施例提供的电子设备的结构示意图。
具体实施方式
44.为使本技术的目的、技术方案和优点更加清楚，下面将结合本技术实施例中的附图，对本技术中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本技术一部分实施例，而不是全部的实施例。基于本技术中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本技术保护的范围。
45.下面，将通过几个具体的实施例对本技术实施例提供的拒绝服务攻击的防护方法及装置进行详细介绍和说明。
46.拒绝服务攻击，如ddos(distributed denial of service，分布式拒绝服务)攻击是网络安全领域中比较常见的攻击方式，其特点是利用构造非合法报文或资源耗尽的网络攻击方式，有针对性的消耗目标服务器资源，使得目标服务器无法正常工作。如图1所示，目前主流的攻击方式包括放大攻击和syn洪水攻击，因此需要在网络出口位置部署具有拒绝服务攻击防护功能的终端设备1，用来识别并过滤恶意网络攻击，保证目标服务器2的业务正常运行。而该终端设备1在面对拒绝服务攻击时，如何针对拒绝服务攻击进行防护，以尽可能保证正常业务访问的情况下有效地处理攻击流量尤为重要。
47.目前，面对拒绝服务攻击常用的拦截方式是设置源地址黑名单，即将恶意攻击的源地址，如源ip地址列入到黑名单，基于源ip地址的方式进行恶意流量封锁，使其无法访问
目标服务器。但此种方式无法满足正常行为流量和恶意行为流量源ip地址相同情况下，正常行为流量的正常业务访问。
48.为此，在一些实施例中，可通过对请求报文的源地址进行源认证，如对syn报文的源ip地址进行一次源认证。若源认证失败，则将该源地址加入黑名单中，拦截该源地址的请求报文。但是，若恶意攻击是利用伪造成正常客户端的源ip地址的方式攻击目标服务器，依旧容易出现因某次的源认证失败，导致该正常客户端请求报文被误拦截情况。
49.为此，在一实施例中，提供了一种拒绝服务攻击的防护方法，该方法应用于具有拒绝服务攻击防护功能的终端设备，用于对拒绝服务攻击进行拦截。其中，终端设备可以是服务器，服务器可以是独立的服务器或者是多个服务器组成的服务器集群来实现，还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、cdn、以及大数据和人工智能采样点设备等基础云计算服务的云服务器。
50.如图2所示，本实施例提供的一种拒绝服务攻击的防护方法包括：
51.步骤101，在老化时间内，对请求报文命中黑名单的源地址进行持续源认证，得到所述源地址的持续源认证结果；
52.步骤102，确定所述持续源认证结果为持续源认证失败导致所述老化时间持续刷新，拦截所述源地址发送的请求报文。
53.在一些实施例中，终端设备可预先设置有ddos攻击对应的黑名单，该黑名单中包括多种恶意报文。在接收到任一源地址发送的请求报文时，可检测该请求报文是否位于黑名单中，如可通过检测该请求报文与黑名单中各恶意报文的相似度，来判断该请求报文是否位于该黑名单中。若是，则表示该请求报文为恶意攻击流量，此时则对其进行丢包处理。当检测到该源地址发送的请求报文多次命中黑名单，如源地址发送的请求报文命中黑名单的次数达到预设次数n，则可判断该源地址为可疑的源地址，此时则可在设定好的老化时间内，对该源地址进行持续源认证操作。其中，老化时间可根据实际需求进行设定，如300s，从需要对该源地址进行持续源认证时开始计时。在该老化时间内，对该源地址进行持续源认证。源认证的方式可以为，若接收到该源地址发送的请求报文，则向该源地址回应一个与该请求报文对应的探测报文，以通过校验该源地址对探测报文的响应报文，来确认源地址的真实性，从而达到源认证的目的。
54.在该老化时间内，若某次源认证失败，则会重新刷新该老化时间，即从该次源认证失败开始，重新对老化时间进行计时。若老化时间计时结束，且利用源地址在该老化时间内发送的各请求报文进行的源认证均成功，则表示该源地址的持续源认证结果为持续源认证成功，此时则表示该源地址为可信源地址，并将该可信源地址加入白名单，从而只对该源地址发送的命中黑名单的请求报文进行拦截，不对源地址发送的未命中黑名单的请求报文进行拦截。若老化时间计时结束，且在该老化时间内未接收到该源地址发送的请求报文以进行源认证，则表示持续源认证结果为未认证，剔除该源地址。若该老化时间因间歇性源认证失败而导致未老化，则继续源认证动作。若该老化时间因连续多次源认证失败而持续刷新，如连续刷新的次数达到m次，则表示出现持续源认证失败的情况，此时则可确定该源地址的持续源认证结果为持续源认证失败导致老化时间持续刷新，即表示该源地址为虚假源地址，从而将该源地址加入地址黑名单，或者将源地址发送的请求报文的三元组信息，即源ip、目的ip和目的端口加入地址黑名单，以拦截该源地址发送的所有请求报文。其中，m≥2。
55.通过在老化时间内，对请求报文命中黑名单的源地址进行持续源认证，得到源地址的持续源认证结果，以在确定持续源认证结果为持续源认证失败导致老化时间持续刷新的情况下，再拦截该源地址发送的请求报文，从而能够利用老化时间内的持续源认证，来对可疑的源地址进行持续行为监控，减少在正常客户端与伪造该正常客户端的源地址的恶意攻击均向目标服务器发送请求报文时，正常客户端的请求报文因恶意攻击的源地址的源认证失败而被拦截的情况，提高利用源地址对拒绝服务攻击进行拦截的准确率。
56.而在对拒绝服务攻击进行拦截时，为提高终端设备运行的稳定性，在一些实施例中，在老化时间内，对请求报文命中黑名单的源地址进行持续源认证，包括：
57.确定当前资源负荷低于预设负荷，在老化时间内，对请求报文命中黑名单的源地址进行持续源认证。
58.在一些实施例中，考虑到持续源认证需要耗费终端设备一定的资源，且终端设备对请求报文的处理也需要耗费一定的资源，当终端设备需要处理的请求报文数量较多时，若再进行持续源认证，可能会影响终端设备运行的稳定性。为此，在对源地址进行持续源认证之前，可先对终端设备的当前资源负荷进行检测，来判断其当前资源负荷是否达到预设负荷。其中，终端设备的当前资源负荷可以包括当前cpu使用率、当前内存使用率或当前网络带宽占用比中的至少一种。
59.示例性的，假设当前资源负荷包括当前cpu使用率、当前内存使用率以及当前网络带宽占用比，同时预设负荷包括预设cpu使用率、预设内存使用率以及预设网络带宽占用比，则可将当前cpu使用率、当前内存使用率以及当前网络带宽占用比，分别与预设cpu使用率、预设内存使用率以及预设网络带宽占用比进行比对。若当前cpu使用率小于预设cpu使用率，同时当前内存使用率小于预设内存使用率，且当前网络带宽占用比小于预设网络带宽占用比，则表示终端设备的当前资源消耗情况未达到上限，此时则可在老化时间内，对请求报文命中黑名单的源地址进行持续源认证；否则，则表示终端设备的当前资源消耗情况达到上限，此时则只对命中黑名单的请求报文进行丢包处理，而不对源地址进行持续源认证。
60.而为提高持续源认证的认证效率，在一些实施例中，如图3所示，在老化时间内，对请求报文命中黑名单的源地址进行持续源认证，包括：
61.步骤201，对请求报文命中黑名单的源地址进行初步源认证，得到所述源地址的初步源认证结果；
62.步骤202，根据所述初步源认证结果，将所述源地址加入对应的监控源列表；
63.步骤203，在根据所述监控源列表确定的老化时间内，对所述监控源列表中的所述源地址进行持续源认证；
64.其中，所述监控源列表包括非可信监控源列表和攻击监控源列表，所述非可信监控源列表用于记录初步源认证结果为源认证成功的源地址，所述攻击监控源列表用于记录初步源认证结果为源认证失败的源地址。
65.在一些实施例中，当检测到该源地址发送的请求报文多次命中黑名单，如源地址发送的请求报文命中黑名单的次数达到预设次数n，则可对该源地址启动源认证操作，以对该源地址进行初步源认证。其中，初步源认证可以是当检测到该源地址发送的请求报文多次命中黑名单时，根据最后一次接收到的请求报文，对该源地址进行源认证。
66.若该源地址的初步源认证结果为源认证成功，则可将该源地址通过hash的方式添加至非可信监控源列表；若该源地址的初步源认证结果为源认证失败，则可将该源地址通过hash的方式添加至攻击监控源列表。这样，便可得到源地址的可信度较高的非可信监控源列表，以及源地址的可信度较低的攻击监控源列表。
67.而由于非可信监控源列表与攻击监控源列表的可信度不同，因此其对应的老化时间也不同。示例性的，非可信监控源列表对应的老化时间，要小于攻击监控源列表对应的老化时间。这样，便可减少可信度较高的源地址的持续源认证时长，增加可信度较低的源地址的持续源认证时长，使对不同可信度的源地址的持续源认证更为合理，从而提高持续源认证的认证效率和认证准确性。
68.而为进一步提高终端设备在进行拒绝服务攻击时的稳定性，在一些实施例中，在对监控源列表中的源地址进行持续源认证之前，可先根据当前cpu使用率、当前内存使用率或当前网络带宽占用比中的至少一种，判断终端设备的当前资源负荷是否达到预设负荷；若未达到，则可在根据监控源列表确定的老化时间内，对监控源列表中的源地址进行持续源认证；若达到，则清空所有的监控源列表，以停止进行持续源认证的操作。
69.而为进一步提高处理拒绝服务攻击的终端设备的稳定性，在一些实施例中，在根据所述监控源列表确定的老化时间内，对所述监控源列表中的所述源地址进行持续源认证，包括：
70.确定所述非可信监控源列表中未进行持续源认证的源地址数量小于第一预设值，在根据所述非可信监控源列表确定的老化时间内，对所述非可信监控源列表中的所述源地址进行持续源认证。
71.在一些实施例中，在将源地址加入非可信监控源列表后，可检测非可信监控源列表中未进行持续源认证的源地址数量。若该数量小于第一预设值，则表示无需分配较多资源进行持续源认证，且持续源认证的耗时满足需求，此时则可在根据非可信监控源列表确定的老化时间内，对该源地址进行持续源认证，并在得到该源地址的持续源认证结果后，从该非可信监控源列表移除该源地址。其中，第一预设值可根据实际情况确定。
72.通过在确定非可信监控源列表中未进行持续源认证的源地址数量小于第一预设值的情况下，再对非可信监控源列表中的源地址进行持续源认证，从而减少对非可信监控源列表中的源地址进行持续源认证所需的耗时和需要分配的资源，进而在提高对源地址进行持续原认证的处理效率的同时，提高处理拒绝服务攻击的终端设备的稳定性。
73.在一些实施例中，在将源地址加入非可信监控源列表后，若检测到非可信监控源列表中未进行持续源认证的源地址数量达到第一预设值，则表示非可信监控源列表中需要进行持续源认证的数量过多，需要分配较多的资源进行持续源认证，且耗时较长。而由于非可信监控源列表中的源地址为初步源认证成功的源地址，其大概率是正常客户端的源地址，因此当非可信监控源列表中需要进行持续源认证的源地址数量过多时，可直接将该加入非可信监控源列表的源地址判定为可信源地址，并将其加入动态白名单，以只对该源地址发送的命中黑名单的请求报文进行拦截，不对源地址发送的未命中黑名单的请求报文进行拦截。这样，在非可信监控源列表中未进行持续源认证的源地址数量过多时，可直接将其初步源认证的结果作为持续源认证的结果，无需再进行持续源认证，从而在提高对源地址进行持续原认证的处理效率的同时，提高处理拒绝服务攻击的终端设备的稳定性，并兼顾
针对拒绝服务攻击的拦截准确率。
74.在一些实施例中，若源地址被添加至攻击监控源列表，则在根据所述监控源列表确定的老化时间内，对所述监控源列表中的所述源地址进行持续源认证，包括：
75.确定所述攻击监控源列表中未进行持续源认证的源地址数量小于第二预设值，在根据所述攻击监控源列表确定的老化时间内，对所述攻击监控源列表中的所述源地址进行持续源认证。
76.在一些实施例中，在将源地址加入攻击监控源列表后，可检测攻击监控源列表中未进行持续源认证的源地址数量。若该数量小于第二预设值，则表示无需分配较多资源进行持续源认证，且持续源认证的耗时满足需求，此时则可在根据攻击监控源列表确定的老化时间内，对该源地址进行持续源认证，并在得到该源地址的持续源认证结果后，从该攻击监控源列表移除该源地址。其中，第二预设值可根据实际情况确定。
77.示例性的，可先确定单个源地址进行持续源认证所需要的平均资源，并将终端设备的预设负荷与当前资源负荷之间的负荷差，作为终端设备的空余资源，然后基于该空余资源和平均资源，即可得到能够进行持续源认证的总数量后，将该总数量的二分之一，作为第一预设值和第二预设值。或者，可基于非可信监控源列表和攻击监控源列表中未进行持续源认证的源地址数量的比值以及该总数量，确定第一预设值和第二预设值。
78.通过在确定攻击监控源列表中未进行持续源认证的源地址数量小于第二预设值的情况下，再对攻击监控源列表中的源地址进行持续源认证，从而减少对攻击监控源列表中的源地址进行持续源认证所需的耗时和需要分配的资源，进而在提高对源地址进行持续原认证的处理效率的同时，提高处理拒绝服务攻击的终端设备的稳定性。
79.在一些实施例中，在将源地址加入攻击监控源列表后，若检测到攻击监控源列表中未进行持续源认证的源地址数量达到第二预设值，则表示攻击监控源列表中需要进行持续源认证的数量过多，需要分配较多的资源进行持续源认证，且耗时较长。而由于攻击监控源列表中的源地址为初步源认证失败的源地址，其大概率是恶意攻击的虚假源地址，因此当攻击监控源列表中需要进行持续源认证的源地址数量过多时，可直接将该加入攻击监控源列表的源地址判定为不可信源地址，并将其加入动态黑名单，以对该源地址发送的所有请求报文进行拦截。这样，在攻击监控源列表中未进行持续源认证的源地址数量过多时，可直接将其初步源认证的结果作为持续源认证的结果，无需再进行持续源认证，从而在提高对源地址进行持续原认证的处理效率的同时，提高处理拒绝服务攻击的终端设备的稳定性，并兼顾针对拒绝服务攻击的拦截准确率。
80.下面对本技术提供的拒绝服务攻击的防护装置进行描述，下文描述的拒绝服务攻击的防护装置与上文描述的拒绝服务攻击的防护方法可相互对应参照。
81.在一实施例中，如图4所示，提供了一种拒绝服务攻击的防护装置，包括：
82.地址认证模块210，用于在老化时间内，对请求报文命中黑名单的源地址进行持续源认证，得到所述源地址的持续源认证结果；
83.报文拦截模块220，用于确定所述持续源认证结果为持续源认证失败导致所述老化时间持续刷新，拦截所述源地址发送的请求报文。
84.通过在老化时间内，对请求报文命中黑名单的源地址进行持续源认证，得到源地址的持续源认证结果，以在确定持续源认证结果为持续源认证失败导致老化时间持续刷新
的情况下，再拦截该源地址发送的请求报文，从而能够利用老化时间内的持续源认证，来对可疑的源地址进行持续行为监控，减少在正常客户端与伪造该正常客户端的源地址的恶意攻击均向目标服务器发送请求报文时，正常客户端的请求报文因恶意攻击的源地址的源认证失败而被拦截的情况，提高利用源地址对拒绝服务攻击进行拦截的准确率。
85.在一实施例中，地址认证模块210具体用于：
86.确定当前资源负荷低于预设负荷，在老化时间内，对请求报文命中黑名单的源地址进行持续源认证。
87.在一实施例中，地址认证模块210具体用于：
88.对请求报文命中黑名单的源地址进行初步源认证，得到所述源地址的初步源认证结果；
89.根据所述初步源认证结果，将所述源地址加入对应的监控源列表；
90.在根据所述监控源列表确定的老化时间内，对所述监控源列表中的所述源地址进行持续源认证；
91.其中，所述监控源列表包括非可信监控源列表和攻击监控源列表，所述非可信监控源列表用于记录初步源认证结果为源认证成功的源地址，所述攻击监控源列表用于记录初步源认证结果为源认证失败的源地址。
92.在一实施例中，地址认证模块210还用于：
93.确定当前资源负荷达到预设负荷，清空所述监控源列表。
94.在一实施例中，所述当前资源负荷根据当前cpu使用率、当前内存使用率或当前网络带宽占用比中的至少一种确定。
95.在一实施例中，地址认证模块210具体用于：
96.确定所述非可信监控源列表中未进行持续源认证的源地址数量小于第一预设值，在根据所述非可信监控源列表确定的老化时间内，对所述非可信监控源列表中的所述源地址进行持续源认证。
97.在一实施例中，地址认证模块210还用于：
98.确定所述非可信监控源列表中未进行持续源认证的源地址数量达到所述第一预设值，拦截所述源地址发送的命中所述黑名单的请求报文。
99.在一实施例中，地址认证模块210具体用于：
100.确定所述攻击监控源列表中未进行持续源认证的源地址数量小于第二预设值，在根据所述攻击监控源列表确定的老化时间内，对所述攻击监控源列表中的所述源地址进行持续源认证。
101.在一实施例中，地址认证模块210还用于：
102.确定所述攻击监控源列表中未进行持续源认证的源地址数量达到所述第二预设值，拦截所述源地址发送的请求报文。
103.图5示例了一种电子设备的实体结构示意图，如图5所示，该电子设备可以包括：处理器(processor)810、通信接口(communication interface)820、存储器(memory)830和通信总线840，其中，处理器810，通信接口820，存储器830通过通信总线840完成相互间的通信。处理器810可以调用存储器830中的计算机程序，以执行拒绝服务攻击的防护方法，例如包括：
104.在老化时间内，对请求报文命中黑名单的源地址进行持续源认证，得到所述源地址的持续源认证结果；
105.确定所述持续源认证结果为持续源认证失败导致所述老化时间持续刷新，拦截所述源地址发送的请求报文。
106.此外，上述的存储器830中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本技术的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本技术各个实施例方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read-only memory)、随机存取存储器(ram，random access memory)、磁碟或者光盘等各种可以存储程序代码的介质。
107.另一方面，本技术实施例还提供一种处理器可读存储介质，处理器可读存储介质存储有计算机程序，计算机程序用于使处理器执行上述各实施例提供的方法，例如包括：
108.在老化时间内，对请求报文命中黑名单的源地址进行持续源认证，得到所述源地址的持续源认证结果；
109.确定所述持续源认证结果为持续源认证失败导致所述老化时间持续刷新，拦截所述源地址发送的请求报文。
110.处理器可读存储介质可以是处理器能够存取的任何可用介质或数据存储设备，包括但不限于磁性存储器(例如软盘、硬盘、磁带、磁光盘(mo)等)、光学存储器(例如cd、dvd、bd、hvd等)、以及半导体存储器(例如rom、eprom、eeprom、非易失性存储器(nand flash)、固态硬盘(ssd))等。
111.以上所描述的装置实施例仅仅是示意性的，其中作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下，即可以理解并实施。
112.通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件。基于这样的理解，上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在计算机可读存储介质中，如rom/ram、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
113.最后应说明的是：以上实施例仅用以说明本技术的技术方案，而非对其限制；尽管参照前述实施例对本技术进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本技术各实施例技术方案的精神和范围。

技术特征：
1.一种拒绝服务攻击的防护方法，其特征在于，包括：在老化时间内，对请求报文命中黑名单的源地址进行持续源认证，得到所述源地址的持续源认证结果；确定所述持续源认证结果为持续源认证失败导致所述老化时间持续刷新，拦截所述源地址发送的请求报文。2.根据权利要求1所述的拒绝服务攻击的防护方法，其特征在于，在老化时间内，对请求报文命中黑名单的源地址进行持续源认证，包括：确定当前资源负荷低于预设负荷，在老化时间内，对请求报文命中黑名单的源地址进行持续源认证。3.根据权利要求1或2所述的拒绝服务攻击的防护方法，其特征在于，在老化时间内，对请求报文命中黑名单的源地址进行持续源认证，包括：对请求报文命中黑名单的源地址进行初步源认证，得到所述源地址的初步源认证结果；根据所述初步源认证结果，将所述源地址加入对应的监控源列表；在根据所述监控源列表确定的老化时间内，对所述监控源列表中的所述源地址进行持续源认证；其中，所述监控源列表包括非可信监控源列表和攻击监控源列表，所述非可信监控源列表用于记录初步源认证结果为源认证成功的源地址，所述攻击监控源列表用于记录初步源认证结果为源认证失败的源地址。4.根据权利要求3所述的拒绝服务攻击的防护方法，其特征在于，还包括：确定当前资源负荷达到预设负荷，清空所述监控源列表。5.根据权利要求2或4所述的拒绝服务攻击的防护方法，其特征在于，所述当前资源负荷根据当前cpu使用率、当前内存使用率或当前网络带宽占用比中的至少一种确定。6.根据权利要求3所述的拒绝服务攻击的防护方法，其特征在于，在根据所述监控源列表确定的老化时间内，对所述监控源列表中的所述源地址进行持续源认证，包括：确定所述非可信监控源列表中未进行持续源认证的源地址数量小于第一预设值，在根据所述非可信监控源列表确定的老化时间内，对所述非可信监控源列表中的所述源地址进行持续源认证。7.根据权利要求6所述的拒绝服务攻击的防护方法，其特征在于，还包括：确定所述非可信监控源列表中未进行持续源认证的源地址数量达到所述第一预设值，拦截所述源地址发送的命中所述黑名单的请求报文。8.根据权利要求3所述的拒绝服务攻击的防护方法，其特征在于，在根据所述监控源列表确定的老化时间内，对所述监控源列表中的所述源地址进行持续源认证，包括：确定所述攻击监控源列表中未进行持续源认证的源地址数量小于第二预设值，在根据所述攻击监控源列表确定的老化时间内，对所述攻击监控源列表中的所述源地址进行持续源认证。9.根据权利要求8所述的拒绝服务攻击的防护方法，其特征在于，还包括：确定所述攻击监控源列表中未进行持续源认证的源地址数量达到所述第二预设值，拦截所述源地址发送的请求报文。
10.一种拒绝服务攻击的防护装置，其特征在于，包括：地址认证模块，用于在老化时间内，对请求报文命中黑名单的源地址进行持续源认证，得到所述源地址的持续源认证结果；报文拦截模块，用于确定所述持续源认证结果为持续源认证失败导致所述老化时间持续刷新，拦截所述源地址发送的请求报文。11.一种电子设备，包括处理器和存储有计算机程序的存储器，其特征在于，所述处理器执行所述计算机程序时实现权利要求1至9任一项所述的拒绝服务攻击的防护方法。12.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现权利要求1至9任一项所述的拒绝服务攻击的防护方法。

技术总结
本申请涉及网络安全技术领域，提供一种拒绝服务攻击的防护方法及装置。所述方法包括：在老化时间内，对请求报文命中黑名单的源地址进行持续源认证，得到所述源地址的持续源认证结果；确定所述持续源认证结果为持续源认证失败导致所述老化时间持续刷新，拦截所述源地址发送的请求报文。本申请实施例提供的拒绝服务攻击的防护方法，能够提高对拒绝服务攻击的拦截准确率。截准确率。截准确率。


技术研发人员：杨佳明 田志涛
受保护的技术使用者：北京天融信科技有限公司 北京天融信软件有限公司
技术研发日：2023.07.13
技术公布日：2023/10/7