一种抗拒绝服务防护策略配置方法、装置及相关设备.pdf

摘要
申请专利号：	CN201210287606.9	申请日：	2012.08.13
公开号：	CN102843367A	公开日：	2012.12.26
当前法律状态：	驳回	有效性：	无权
法律详情：	发明专利申请公布后的驳回IPC(主分类):H04L 29/06申请公布日:20121226\|\|\|实质审查的生效IPC(主分类):H04L 29/06申请日:20120813\|\|\|公开
IPC分类号：	H04L29/06	主分类号：	H04L29/06
申请人：	北京神州绿盟信息安全科技股份有限公司; 北京神州绿盟科技有限公司
发明人：	李志豪
地址：	100089 北京市海淀区北洼路4号益泰大厦三层
优先权：
专利代理机构：	北京同达信恒知识产权代理有限公司 11291	代理人：	郭红丽
PDF下载：	PDF下载

内容摘要

本发明公开了一种抗拒绝服务防护策略配置方法、装置及相关设备，该方法包括：A.探测用户输入的标识信息对应的主机设备，确定在线主机设备，并获取所述在线主机设备开启的端口信息；B.将开启端口相同的在线主机设备作为一组；C.根据每组在线主机设备开启端口对应的服务类型，开启与服务类型对应的防护策略。该方案配置的防护策略对每个主机设备都有很好的防护效果。

权利要求书

1.一种抗拒绝服务防护策略配置方法，其特征在于，包括：A、探测用户输入的标识信息对应的主机设备，确定在线主机设备，并获取所述在线主机设备开启的端口信息；B、将开启端口相同的在线主机设备作为一组；C、根据每组在线主机设备开启端口对应的服务类型，开启与服务类型对应的防护策略。2.如权利要求1所述的方法，其特征在于，当所述标识信息为互联网协议IP地址时，探测用户输入的标识信息对应的主机设备，确定在线主机设备，具体包括：向用户输入的IP地址对应的主机设备发送携带其IP地址的探测报文，将返回应答报文的主机设备确定为在线主机设备。3.如权利要求1所述的方法，其特征在于，根据每组在线主机设备开启端口对应的服务类型，开启与服务类型对应的防护策略，具体包括：根据预设的服务类型与防护策略的对应关系，获取与服务类型对应的防护策略；开启获取的防护策略。4.如权利要求1所述的方法，其特征在于，开启与服务类型对应的防护策略之后，还包括：在第一监控周期内，监控每组在线主机设备及其开启端口的流量；根据监控的每组在线主机设备及其开启端口的流量，重新确定开启的防护策略中的参数值。5.如权利要求4所述的方法，其特征在于，还包括：在第二监控周期到期后，重新执行步骤A。6.一种抗拒绝服务防护策略配置装置，其特征在于，包括：探测单元，用于探测用户输入的标识信息对应的主机设备，确定在线主机设备，并获取所述在线主机设备开启的端口信息；分组单元，用于将开启端口相同的在线主机设备作为一组；开启单元，用于根据每组在线主机设备开启端口对应的服务类型，开启与服务类型对应的防护策略。7.如权利要求6所述的装置，其特征在于，当所述标识信息为互联网协议IP地址时，所述探测单元具体用于：向用户输入的IP地址对应的主机设备发送携带其IP地址的探测报文，将返回应答报文的主机设备确定为在线主机设备。8.如权利要求6所述的装置，其特征在于，所述开启单元，具体用于：根据预设的服务类型与防护策略的对应关系，获取与服务类型对应的防护策略；开启获取的防护策略。9.如权利要求6所述的装置，其特征在于，还包括：第一监控单元，用于在第一监控周期内，监控每组在线主机设备及其开启端口的流量；确定单元，用于根据监控的每组在线主机设备及其开启端口的流量，重新确定开启的防护策略中的参数值。10.如权利要求9所述的装置，其特征在于，还包括：第二监控单元，用于在第二监控周期到期后，重新返回所述探测单元。11.一种抗拒绝服务数据中心，其特征在于，包括如权利要求6-10任一所述的防拒绝服务防护策略配置装置。

说明书

一种抗拒绝服务防护策略配置方法、装置及相关设备

技术领域

本发明涉及网络安全技术领域，尤指一种抗拒绝服务防护策略配置方法、
装置及相关设备。

背景技术

拒绝服务（Denial of service，DOS）攻击是目前常被黑客使用的且不易防
范的攻击手段之一，其原理是通过使网络过载来干扰甚至阻断正常的网络通
信，具体的是通过向主机设备提交大量的合法请求，使主机设备超负荷，从而
阻断主机设备接收正常访问。而抗DOS设备正是为了保证正常的网络通信而
出现的，抗DOS设备上的防护策略可以阻止用户所要防护的主机设备上的大
量异常访问，因此，合理精确地配置防护策略，不仅可以使抗DOS设备的功
能发挥到最大，而且还可以保证正常的网络通信。

对于用户来说，由于不太了解抗DOS的相关知识，不明白专业性很强的
参数指标的具体含义，通常会直接使用通用的防护策略模板来配置防护策略，
事实上，DOS攻击的范围非常广泛，用户所属的行业也千差万别，并且即使是
同一个行业，用户所要防护的主机设备的端口对应的服务类型、流量大小等也
可能存在很大差异，因而，用户所要防护的主机设备需要的防护策略通常不同，
而通用的防护策略模版是针对广泛通用的用户的主机设备制定的，只能保护大
多数的一般用户的主机设备，并不能完全适用于用户所要防护的主机设备，甚
至对有些异常访问并不能起到防护作用。因此，采用通用的防护策略模板为用
户所要防护的主机设备配置的防护策略，防护效果较差。

发明内容

本发明实施例提供一种抗拒绝服务防护策略配置方法、装置及相关设备，
用以解决现有技术中存在的采用通用防护策略配置模板为用户的主机设备配
置的防护策略，防护效果较差的问题。

一种抗拒绝服务防护策略配置方法，包括：

A、探测用户输入的标识信息对应的主机设备，确定在线主机设备，并获
取所述在线主机设备开启的端口信息；

B、将开启端口相同的在线主机设备作为一组；

C、根据每组在线主机设备开启端口对应的服务类型，开启与服务类型对
应的防护策略。

一种抗拒绝服务防护策略配置装置，包括：

探测单元，用于探测用户输入的标识信息对应的主机设备，确定在线主机
设备，并获取所述在线主机设备开启的端口信息；

分组单元，用于将开启端口相同的在线主机设备作为一组；

开启单元，用于根据每组在线主机设备开启端口对应的服务类型，开启与
服务类型对应的防护策略。

一种抗拒绝服务数据中心，包括上述抗拒绝服务防护策略配置装置。

本发明有益效果如下：

本发明实施例提供的抗拒绝服务防护策略配置方法、装置及相关设备，通
过探测用户输入的标识信息对应的主机设备，确定在线主机设备，并获取所述
在线主机设备开启的端口信息；将开启端口相同的在线主机设备作为一组；根
据每组在线主机设备开启端口对应的服务类型，开启与服务类型对应的防护策
略。该方案中不再采用通用的抗拒绝服务防护策略模板，而是首先确定用户输
入的标识信息对应的主机设备中的在线主机设备，以及在线主机设备开启的端
口信息，然后将在线主机设备进行分组，开启端口相同的在线主机设备分为一
组，然后根据每组在线主机设备开启端口对应的服务类型，开启与服务类型对
应的防护策略，由于针对不同类型的在线主机设备开启不同的防护策略，这样
配置的防护策略就可以保证对每个主机设备都有很好的防护效果。

附图说明

图1为本发明实施例中抗拒绝服务防护策略配置方法的流程图；

图2为本发明实施例中抗拒绝服务防护策略配置装置的结构示意图；

图3为本发明实施例中优选的抗拒绝服务防护策略配置装置的结构示意
图。

具体实施方式

针对现有技术中存在的采用通用防护策略配置模板为用户的主机设备配
置的防护策略，防护效果较差的问题，本发明实施例提供的抗拒绝服务防护策
略配置方法，该方法的流程如图1所示，具体执行步骤如下：

S10：探测用户输入的标识信息对应的主机设备，确定在线主机设备，并
获取在线主机设备开启的端口信息。

S11：将开启端口相同的在线主机设备作为一组。

S12：根据每组在线主机设备开启端口对应的服务类型，开启与服务类型
对应的防护策略。

该方案中不再采用通用的抗拒绝服务防护策略模板，而是首先确定用户输
入的标识信息对应的主机设备中的在线主机设备，以及在线主机设备开启的端
口信息，然后将在线主机设备进行分组，开启端口相同的在线主机设备分为一
组，然后根据每组在线主机设备开启端口对应的服务类型，开启与服务类型对
应的防护策略，由于针对不同类型的在线主机设备开启不同的防护策略，这样
配置的防护策略就可以保证对每个主机设备都有很好的防护效果。

具体的，当上述S10中的标识信息为IP地址时，上述S10中的探测用户
输入的标识信息对应的主机设备，确定在线主机设备，具体包括：向用户输入
的IP地址对应的主机设备发送携带其IP地址的探测报文，将返回应答报文的
主机设备确定为在线主机设备。

用户可以直接输入要防护的主机设备的互联网协议（IP，Internet Protocol）
地址，除了用户直接输入要防护的主机设备的IP地址之外，也可以通过其他
方式提供要防护的主机设备的IP地址，在这里标识信息是以IP地址为例进行
说明的，当然也可以是其它标识信息，在这里不再赘述。

确定在线主机设备时，可以向用户输入的所有IP地址对应的主机设备发
送探测报文，在探测报文中携带相应主机设备的IP地址，若某个主机设备返
回应答报文，就证明该主机设备目前是在线的，也就确定为在线主机设备；反
之，就证明该主机设备目前不是在线的，不用对其进行防护。

在线主机设备上一般会设有很多的端口，扫描这些端口，获取在线设备开
启的端口信息。可以向每个在线设备发送目前已知的所有端口对应的探测报
文，当某个端口返回应答报文时，则确定该端口处于开启状态；反之，确定该
端口未开启。相应的也就不用开启该端口对应的服务类型的防护策略，这样可
以精确的确定主机设备所需的防护策略，从而可以提高主机设备处理业务的效
率和能力。

具体的，上述S12中的根据每组在线主机设备开启端口对应的服务类型，
开启与服务类型对应的防护策略，具体包括：根据预设的服务类型与防护策略
的对应关系，获取与服务类型对应的防护策略；开启获取的防护策略。

可以预设服务类型与防护策略的对应关系，也就是说针对主机设备开启的
端口对应的服务类型，可以开启的所有的防护策略的对应关系。当需要开启防
护策略时，可以查询该对应关系，从该对应关系中获取与服务类型对应的防护
策略，然后开启获取的防护策略就可以了。这样就实现了针对不同的主机设备
可以开启不同的防护策略，而不用再像现有技术中，每个主机设备开启通用的
防护策略了。

较佳的，上述S12中的开启与服务类型对应的防护策略之后，还包括：在
第一监控周期内，监控每组在线主机设备及其开启端口的流量；根据监控的每
组在线主机设备及其开启端口的流量，重新确定开启的防护策略中的参数值。

在开启与服务类型对应的防护策略时，其中的参数值通常是采用默认值，
或者用户依据经验输入的数值，这些默认值和用户输入的数值并不一定是最合
适的数值，如果想确定最合适的数值，可以设定第一监控周期，在该第一监控
周期内监控每组在线主机设备及其开启端口的流量，根据监控到的流量就可以
重新确定开启的防护策略中的参数值了，这样重新确定的参数值是非常符合当
时的应用场景的数值。

可以采用netflow/sflow技术来监控每组在线主机设备及其开启端口的流
量，其中netflow/sflow技术为现有技术，其具体的原理和实现过程在这里不再
赘述。

较佳的，上述抗拒绝服务防护策略配置方法还包括：在第二监控周期到期
后，重新执行S10。

可以设定第二监控周期，当第二监控周期到期后，用户需要防护的主机设
备中可能会有新的开启，也可能会有在线设备关闭的，这样为了获取较好的防
护效果，就需要重新配置防护策略，从S10开始重新执行该流程就配置新的防
护策略。

基于同一发明构思，本发明实施例提供一种抗拒绝服务防护策略配置装
置，该装置可以设置在抗拒绝服务数据中心中，结构如图2所示，包括：

探测单元20，用于探测用户输入的标识信息对应的主机设备，确定在线主
机设备，并获取在线主机设备开启的端口信息。

分组单元21，用于将开启端口相同的在线主机设备作为一组。

开启单元22，用于根据每组在线主机设备开启端口对应的服务类型，开启
与服务类型对应的防护策略。

具体的，当上述标识信息为IP地址时，上述探测单元20具体用于：向用
户输入的IP地址对应的主机设备发送携带其IP地址的探测报文，将返回应答
报文的主机设备确定为在线主机设备。

具体的，上述开启单元22，具体用于：根据预设的服务类型与防护策略的
对应关系，获取与服务类型对应的防护策略；开启获取的防护策略。

较佳的，一种优选的抗拒绝服务防护策略配置装置，该装置的结构如图3
所示，还包括第一监控单元23，用于在第一监控周期内，监控每组在线主机设
备及其开启端口的流量。

确定单元24，用于根据监控的每组在线主机设备及其开启端口的流量，重
新确定开启的防护策略中的参数值。

较佳的，上述抗拒绝服务防护策略配置装置，还包括：第二监控单元25，
用于在第二监控周期到期后，重新返回探测单元20。

下面以一个具体实施例来说明上述抗拒绝服务防护策略配置方法，具体流
程如下：

用户手动输入要防护的主机设备的IP地址范围为192.168.1.1/24，也就是
说用户希望防护255台主机设备，在探测这些主机设备时，确定192.168.1.1、
192.168.1.2和192.168.1.200对应的主机设备为在线主机设备，其中192.168.1.1
和192.168.1.2对应的主机设备开启的端口为53、5666，192.168.1.200开启的
端口为443、5666，这样就可以将192.168.1.1和192.168.1.2分为一组，设为一
组，192.168.1.200为一组，设为二组。

假设，根据预设的服务类型与防护策略的对应关系，一组需要开启的策略
为syn、ack、udp、icmp、dns，端口53和5666，初始的参数值为默认值，在
经过24小时的监控后，主机设备的流量为1000，那么就可以将syn的参数1
设为4000，参数2设为8000，这样对于一组的主机设备就配置好了合适的防
护策略。对于二组的防护策略可以进行采用与一组同样的配置过程，这里不再
赘述。

显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发
明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及
其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。

资源描述

《一种抗拒绝服务防护策略配置方法、装置及相关设备.pdf》由会员分享，可在线阅读，更多相关《一种抗拒绝服务防护策略配置方法、装置及相关设备.pdf（8页珍藏版）》请在专利查询网上搜索。

1、(10)申请公布号 CN 102843367 A (43)申请公布日 2012.12.26 C N 1 0 2 8 4 3 3 6 7 A *CN102843367A* (21)申请号 201210287606.9 (22)申请日 2012.08.13 H04L 29/06(2006.01) (71)申请人北京神州绿盟信息安全科技股份有限公司地址 100089 北京市海淀区北洼路4号益泰大厦三层申请人北京神州绿盟科技有限公司 (72)发明人李志豪 (74)专利代理机构北京同达信恒知识产权代理有限公司 11291 代理人郭红丽 (54) 发明名称一种抗拒绝服务防护策略配置方法、装置及。

2、相关设备 (57) 摘要本发明公开了一种抗拒绝服务防护策略配置方法、装置及相关设备，该方法包括：A.探测用户输入的标识信息对应的主机设备，确定在线主机设备，并获取所述在线主机设备开启的端口信息； B.将开启端口相同的在线主机设备作为一组； C.根据每组在线主机设备开启端口对应的服务类型，开启与服务类型对应的防护策略。该方案配置的防护策略对每个主机设备都有很好的防护效果。 (51)Int.Cl. 权利要求书2页说明书4页附图1页 (19)中华人民共和国国家知识产权局 (12)发明专利申请权利要求书 2 页说明书 4 页附图 1 页 1/2页 2 1.一种抗拒绝服务防护策。

3、略配置方法，其特征在于，包括： A、探测用户输入的标识信息对应的主机设备，确定在线主机设备，并获取所述在线主机设备开启的端口信息； B、将开启端口相同的在线主机设备作为一组； C、根据每组在线主机设备开启端口对应的服务类型，开启与服务类型对应的防护策略。 2.如权利要求1所述的方法，其特征在于，当所述标识信息为互联网协议IP地址时，探测用户输入的标识信息对应的主机设备，确定在线主机设备，具体包括：向用户输入的IP地址对应的主机设备发送携带其IP地址的探测报文，将返回应答报文的主机设备确定为在线主机设备。 3.如权利要求1所述的方法，其特征在于，根据每组在线主机设备开启端口对应的服务。

4、类型，开启与服务类型对应的防护策略，具体包括：根据预设的服务类型与防护策略的对应关系，获取与服务类型对应的防护策略；开启获取的防护策略。 4.如权利要求1所述的方法，其特征在于，开启与服务类型对应的防护策略之后，还包括：在第一监控周期内，监控每组在线主机设备及其开启端口的流量；根据监控的每组在线主机设备及其开启端口的流量，重新确定开启的防护策略中的参数值。 5.如权利要求4所述的方法，其特征在于，还包括：在第二监控周期到期后，重新执行步骤A。 6.一种抗拒绝服务防护策略配置装置，其特征在于，包括：探测单元，用于探测用户输入的标识信息对应的主机设备，确定在线主机设备，并获取所述。

5、在线主机设备开启的端口信息；分组单元，用于将开启端口相同的在线主机设备作为一组；开启单元，用于根据每组在线主机设备开启端口对应的服务类型，开启与服务类型对应的防护策略。 7.如权利要求6所述的装置，其特征在于，当所述标识信息为互联网协议IP地址时，所述探测单元具体用于：向用户输入的IP地址对应的主机设备发送携带其IP地址的探测报文，将返回应答报文的主机设备确定为在线主机设备。 8.如权利要求6所述的装置，其特征在于，所述开启单元，具体用于：根据预设的服务类型与防护策略的对应关系，获取与服务类型对应的防护策略；开启获取的防护策略。 9.如权利要求6所述的装置，其特征在于，还包括：。

6、第一监控单元，用于在第一监控周期内，监控每组在线主机设备及其开启端口的流量；确定单元，用于根据监控的每组在线主机设备及其开启端口的流量，重新确定开启的防护策略中的参数值。权利要求书CN 102843367 A 2/2页 3 10.如权利要求9所述的装置，其特征在于，还包括：第二监控单元，用于在第二监控周期到期后，重新返回所述探测单元。 11.一种抗拒绝服务数据中心，其特征在于，包括如权利要求6-10任一所述的防拒绝服务防护策略配置装置。权利要求书CN 102843367 A 1/4页 4 一种抗拒绝服务防护策略配置方法、装置及相关设备技术领域 0001 本发。

7、明涉及网络安全技术领域，尤指一种抗拒绝服务防护策略配置方法、装置及相关设备。背景技术 0002 拒绝服务（Denial of service，DOS）攻击是目前常被黑客使用的且不易防范的攻击手段之一，其原理是通过使网络过载来干扰甚至阻断正常的网络通信，具体的是通过向主机设备提交大量的合法请求，使主机设备超负荷，从而阻断主机设备接收正常访问。而抗DOS设备正是为了保证正常的网络通信而出现的，抗DOS设备上的防护策略可以阻止用户所要防护的主机设备上的大量异常访问，因此，合理精确地配置防护策略，不仅可以使抗 DOS设备的功能发挥到最大，而且还可以保证正常的网络通信。 0003 对于用户来。

8、说，由于不太了解抗DOS的相关知识，不明白专业性很强的参数指标的具体含义，通常会直接使用通用的防护策略模板来配置防护策略，事实上，DOS攻击的范围非常广泛，用户所属的行业也千差万别，并且即使是同一个行业，用户所要防护的主机设备的端口对应的服务类型、流量大小等也可能存在很大差异，因而，用户所要防护的主机设备需要的防护策略通常不同，而通用的防护策略模版是针对广泛通用的用户的主机设备制定的，只能保护大多数的一般用户的主机设备，并不能完全适用于用户所要防护的主机设备，甚至对有些异常访问并不能起到防护作用。因此，采用通用的防护策略模板为用户所要防护的主机设备配置的防护策略，防护效果较差。。

9、发明内容 0004 本发明实施例提供一种抗拒绝服务防护策略配置方法、装置及相关设备，用以解决现有技术中存在的采用通用防护策略配置模板为用户的主机设备配置的防护策略，防护效果较差的问题。 0005 一种抗拒绝服务防护策略配置方法，包括： 0006 A、探测用户输入的标识信息对应的主机设备，确定在线主机设备，并获取所述在线主机设备开启的端口信息； 0007 B、将开启端口相同的在线主机设备作为一组； 0008 C、根据每组在线主机设备开启端口对应的服务类型，开启与服务类型对应的防护策略。 0009 一种抗拒绝服务防护策略配置装置，包括： 0010 探测单元，用于探测用户输入的标识信息对应的。

10、主机设备，确定在线主机设备，并获取所述在线主机设备开启的端口信息； 0011 分组单元，用于将开启端口相同的在线主机设备作为一组； 0012 开启单元，用于根据每组在线主机设备开启端口对应的服务类型，开启与服务类型对应的防护策略。说明书CN 102843367 A 2/4页 5 0013 一种抗拒绝服务数据中心，包括上述抗拒绝服务防护策略配置装置。 0014 本发明有益效果如下： 0015 本发明实施例提供的抗拒绝服务防护策略配置方法、装置及相关设备，通过探测用户输入的标识信息对应的主机设备，确定在线主机设备，并获取所述在线主机设备开启的端口信息；将开启端口相同的在线主机设备作为。

11、一组；根据每组在线主机设备开启端口对应的服务类型，开启与服务类型对应的防护策略。该方案中不再采用通用的抗拒绝服务防护策略模板，而是首先确定用户输入的标识信息对应的主机设备中的在线主机设备，以及在线主机设备开启的端口信息，然后将在线主机设备进行分组，开启端口相同的在线主机设备分为一组，然后根据每组在线主机设备开启端口对应的服务类型，开启与服务类型对应的防护策略，由于针对不同类型的在线主机设备开启不同的防护策略，这样配置的防护策略就可以保证对每个主机设备都有很好的防护效果。附图说明 0016 图1为本发明实施例中抗拒绝服务防护策略配置方法的流程图； 0017 图2为本发明实施例中抗。

12、拒绝服务防护策略配置装置的结构示意图； 0018 图3为本发明实施例中优选的抗拒绝服务防护策略配置装置的结构示意图。具体实施方式 0019 针对现有技术中存在的采用通用防护策略配置模板为用户的主机设备配置的防护策略，防护效果较差的问题，本发明实施例提供的抗拒绝服务防护策略配置方法，该方法的流程如图1所示，具体执行步骤如下： 0020 S10：探测用户输入的标识信息对应的主机设备，确定在线主机设备，并获取在线主机设备开启的端口信息。 0021 S11：将开启端口相同的在线主机设备作为一组。 0022 S12：根据每组在线主机设备开启端口对应的服务类型，开启与服务类型对应的防护策略。 0。

13、023 该方案中不再采用通用的抗拒绝服务防护策略模板，而是首先确定用户输入的标识信息对应的主机设备中的在线主机设备，以及在线主机设备开启的端口信息，然后将在线主机设备进行分组，开启端口相同的在线主机设备分为一组，然后根据每组在线主机设备开启端口对应的服务类型，开启与服务类型对应的防护策略，由于针对不同类型的在线主机设备开启不同的防护策略，这样配置的防护策略就可以保证对每个主机设备都有很好的防护效果。 0024 具体的，当上述S10中的标识信息为IP地址时，上述S10中的探测用户输入的标识信息对应的主机设备，确定在线主机设备，具体包括：向用户输入的IP地址对应的主机设备发送携带其I。

14、P地址的探测报文，将返回应答报文的主机设备确定为在线主机设备。 0025 用户可以直接输入要防护的主机设备的互联网协议（IP，Internet Protocol）地址，除了用户直接输入要防护的主机设备的IP地址之外，也可以通过其他方式提供要防护的主机设备的IP地址，在这里标识信息是以IP地址为例进行说明的，当然也可以是其它标识信息，在这里不再赘述。说明书CN 102843367 A 3/4页 6 0026 确定在线主机设备时，可以向用户输入的所有IP地址对应的主机设备发送探测报文，在探测报文中携带相应主机设备的IP地址，若某个主机设备返回应答报文，就证明该主机设备目前是在线的，。

15、也就确定为在线主机设备；反之，就证明该主机设备目前不是在线的，不用对其进行防护。 0027 在线主机设备上一般会设有很多的端口，扫描这些端口，获取在线设备开启的端口信息。可以向每个在线设备发送目前已知的所有端口对应的探测报文，当某个端口返回应答报文时，则确定该端口处于开启状态；反之，确定该端口未开启。相应的也就不用开启该端口对应的服务类型的防护策略，这样可以精确的确定主机设备所需的防护策略，从而可以提高主机设备处理业务的效率和能力。 0028 具体的，上述S12中的根据每组在线主机设备开启端口对应的服务类型，开启与服务类型对应的防护策略，具体包括：根据预设的服务类型与防护策略的对应。

16、关系，获取与服务类型对应的防护策略；开启获取的防护策略。 0029 可以预设服务类型与防护策略的对应关系，也就是说针对主机设备开启的端口对应的服务类型，可以开启的所有的防护策略的对应关系。当需要开启防护策略时，可以查询该对应关系，从该对应关系中获取与服务类型对应的防护策略，然后开启获取的防护策略就可以了。这样就实现了针对不同的主机设备可以开启不同的防护策略，而不用再像现有技术中，每个主机设备开启通用的防护策略了。 0030 较佳的，上述S12中的开启与服务类型对应的防护策略之后，还包括：在第一监控周期内，监控每组在线主机设备及其开启端口的流量；根据监控的每组在线主机设备及其开启端。

17、口的流量，重新确定开启的防护策略中的参数值。 0031 在开启与服务类型对应的防护策略时，其中的参数值通常是采用默认值，或者用户依据经验输入的数值，这些默认值和用户输入的数值并不一定是最合适的数值，如果想确定最合适的数值，可以设定第一监控周期，在该第一监控周期内监控每组在线主机设备及其开启端口的流量，根据监控到的流量就可以重新确定开启的防护策略中的参数值了，这样重新确定的参数值是非常符合当时的应用场景的数值。 0032 可以采用netflow/sflow技术来监控每组在线主机设备及其开启端口的流量，其中netflow/sflow技术为现有技术，其具体的原理和实现过程在这里不再赘述。。

18、0033 较佳的，上述抗拒绝服务防护策略配置方法还包括：在第二监控周期到期后，重新执行S10。 0034 可以设定第二监控周期，当第二监控周期到期后，用户需要防护的主机设备中可能会有新的开启，也可能会有在线设备关闭的，这样为了获取较好的防护效果，就需要重新配置防护策略，从S10开始重新执行该流程就配置新的防护策略。 0035 基于同一发明构思，本发明实施例提供一种抗拒绝服务防护策略配置装置，该装置可以设置在抗拒绝服务数据中心中，结构如图2所示，包括： 0036 探测单元20，用于探测用户输入的标识信息对应的主机设备，确定在线主机设备，并获取在线主机设备开启的端口信息。 0037 分组。

19、单元21，用于将开启端口相同的在线主机设备作为一组。 0038 开启单元22，用于根据每组在线主机设备开启端口对应的服务类型，开启与服务类型对应的防护策略。说明书CN 102843367 A 4/4页 7 0039 具体的，当上述标识信息为IP地址时，上述探测单元20具体用于：向用户输入的 IP地址对应的主机设备发送携带其IP地址的探测报文，将返回应答报文的主机设备确定为在线主机设备。 0040 具体的，上述开启单元22，具体用于：根据预设的服务类型与防护策略的对应关系，获取与服务类型对应的防护策略；开启获取的防护策略。 0041 较佳的，一种优选的抗拒绝服务防护策略配置装置，该装。

20、置的结构如图3所示，还包括第一监控单元23，用于在第一监控周期内，监控每组在线主机设备及其开启端口的流量。 0042 确定单元24，用于根据监控的每组在线主机设备及其开启端口的流量，重新确定开启的防护策略中的参数值。 0043 较佳的，上述抗拒绝服务防护策略配置装置，还包括：第二监控单元25，用于在第二监控周期到期后，重新返回探测单元20。 0044 下面以一个具体实施例来说明上述抗拒绝服务防护策略配置方法，具体流程如下： 0045 用户手动输入要防护的主机设备的IP地址范围为192.168.1.1/24，也就是说用户希望防护255台主机设备，在探测这些主机设备时，确定192.16。

21、8.1.1、192.168.1.2和 192.168.1.200对应的主机设备为在线主机设备，其中192.168.1.1和192.168.1.2对应的主机设备开启的端口为53、5666，192.168.1.200开启的端口为443、5666，这样就可以将 192.168.1.1和192.168.1.2分为一组，设为一组，192.168.1.200为一组，设为二组。 0046 假设，根据预设的服务类型与防护策略的对应关系，一组需要开启的策略为syn、 ack、udp、icmp、dns，端口53和5666，初始的参数值为默认值，在经过24小时的监控后，主机设备的流量为1000，那么就可以将syn的参数1设为4000，参数2设为8000，这样对于一组的主机设备就配置好了合适的防护策略。对于二组的防护策略可以进行采用与一组同样的配置过程，这里不再赘述。 0047 显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。说明书CN 102843367 A 1/1页 8 图1 图2 图3 说明书附图CN 102843367 A 。

展开阅读全文