(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211164530.0 (22)申请日 2022.09.23 (71)申请人 湖北天融信网络安全技 术有限公司 地址 430040 湖北省武汉市临 空港经济技 术开发区五环大道6 66号(21) 申请人 北京天融信网络安全技 术有限公司 　 北京天融信科技有限公司 　 北京天融信软件 有限公司 (72)发明人 闵波　 (74)专利代理 机构 北京超凡宏宇专利代理事务 所(特殊普通 合伙) 11463 专利代理师 钟扬飞 (51)Int.Cl. H04L 9/40(2022.01) H04L 9/32(2006.01) (54)发明名称 DDOS处理方法、 装置、 电子设备和存 储介质 (57)摘要 本申请提供DDOS处理方法、 装置、 电子设备 和存储介质。 该方法包括： 获取待检测数据包； 对 所述待检测数据包进行解析， 以确定所述待检测 数据包的发送端端口、 发送端IP地址、 目标端端 口、 目标端IP地址和通信协议； 利用所述待检测 数据包的发送端端口、 发送端IP地址、 目标端端 口、 目标端IP地址和通信协议， 确定目标检测规 则， 其中， 所述目标检测规则利用规则模板生成； 通过所述目标检测规则所关联的检测函数， 对所 述待检测数据包进行DDOS检测。 因此针对不同的 DDOS， 能够通过该规则模板生成相应的目标检测 规则， 进而对DDOS进行处理， 相对于现有技术通 过固定化的配置模式， 本申请实施例这种根据规 则模板生成目标检测规则对DDOS进行处理的方 式， 更加灵活。 权利要求书2页 说明书10页 附图2页 CN 115484110 A 2022.12.16 CN 115484110 A 1.一种DDOS处理方法， 其特 征在于， 所述方法包括： 获取待检测数据包； 对所述待检测数据包进行解析， 以确定所述待检测数据包的发送端端口、 发送端IP地 址、 目标端 端口、 目标端IP地址和通信协议； 利用所述待检测数据包的发送端端口、 发送端IP地址、 目标端端口、 目标端IP地址和通 信协议， 确定目标检测规则， 其中， 所述目标检测规则 利用规则模板生成； 通过所述目标检测规则所关联的检测函数， 对所述待检测数据包进行D DOS检测。 2.根据权利要求1所述的方法， 其特征在于， 所述规则模板包括动作属性规范、 通信协 议属性规范、 四元组属性 规范和特 征选项属性 规范； 以及， 所述方法还 包括： 根据所述动作属性规范、 所述通信协议属性规范、 所述四元组属性规范以及所述特征 选项属性规范， 分别对应确定所述目标检测规则中， 动作属性的属性值、 通信协 议属性的属 性值、 四元组属性的属性 值和特征选项属性的属性 值， 以生成所述目标检测规则。 3.根据权利要求2所述的方法， 其特征在于， 规则库包括利用所述规则模板所生成的多 个检测规则； 以及， 利用所述待检测数据包的发送端端口、 发送端IP地址、 目标端端口、 目标端IP地址和通 信协议， 确定目标检测规则， 具体包括： 将所述待检测数据包的发送端端 口、 发送端IP地址、 目标端端口、 目标端IP地址， 与所 述多个检测规则中四元组属性的属性值进 行匹配， 以及将所述待检测数据包的通信协议与 所述多个检测 规则中通信协议属 性的属性值进行匹配， 根据匹配结果确定， 从所述多个检 测规则中确定出 所述目标检测规则。 4.根据权利要求1至 3任意一项权利要求所述的方法， 其特 征在于， 所述方法还 包括： 获取所述目标检测规则的标识； 确定所述标识的哈希值； 利用所述哈希值查询哈希表， 以确定所述目标检测规则所关联的检测函数； 其中， 所述 哈希表包括key字段和检测函数字段， 所述key字段的字段值为各个检测规则的标识的哈希 值， 所述检测函数字段的字段值 为各个检测规则分别所关联的检测函数。 5.根据权利要求1或2所述的方法， 其特征在于， 在检测到所述待检测数据包为DDOS的 数据包的情况 下， 所述方法还 包括： 利用所述待检测数据包的发送端端口、 发送端IP地址、 目标端端口、 目标端IP地址和通 信协议， 确定目标防御规则， 其中， 所述目标检测规则 利用规则模板生成； 通过所述目标防御规则所关联的防御函数进行D DOS防御。 6.根据权利要求5所述的方法， 其特征在于， 通过所述目标防御规则所关联的防御函数 进行DDOS防御， 具体包括： 获取所述目标防御规则中特 征选项属性的属性 值； 确定所述属性 值的哈希值； 利用所述属性值的哈希值查询bitmap位图， 以确定所述目标防御规则所关联的防御 函 数。 7.根据权利要求6所述的方法， 其特征在于， 所述方法还包括： 生成日志信息， 以记录对 所述待检测数据包的D DOS检测以及D DOS防御。权　利　要　求　书 1/2 页 2 CN 115484110 A 28.一种DDOS处理装置， 其特 征在于， 包括： 获取单元， 用于获取待检测数据包； 确定单元， 用于对所述待检测数据包进行解析， 以确定所述待检测数据包的发送端端 口、 发送端IP地址、 目标端 端口、 目标端IP地址和通信协议； 检测规则确定单元， 用于利用所述待检测数据包的发送端端口、 发送端IP地址、 目标端 端口、 目标端IP地址和通信协议， 确定目标检测规则， 其中， 所述目标检测规则利用规则模 板生成； 检测单元， 用于通过所述目标检测规则所关联的检测函数， 对所述待检测数据包进行 DDOS检测。 9.一种电子设备， 其特 征在于， 包括： 处理器； 用于存储处理器可执行指令的存储器； 其中， 所述处理器被配置为执行如权利要求1 ‑7 任意一项所述的方法。 10.一种存储介质， 其特征在于， 所述存储介质存储有计算机程序， 所述计算机程序可 由处理器执行以完成权利要求1 ‑7任意一项所述的方法。权　利　要　求　书 2/2 页 3 CN 115484110 A 3