(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202111531654.3 (22)申请日 2021.12.15 (65)同一申请的已公布的文献号 申请公布号 CN 114172738 A (43)申请公布日 2022.03.11 (73)专利权人 广州市苏纳米实业有限公司 地址 510000 广东省广州市白云区人和镇 高增大街58号自编22栋一层(空港白 云) (72)发明人 王齐康　邓军林　 (74)专利代理 机构 广东高端专利代理事务所 (特殊普通 合伙) 44346 专利代理师 李燕琴 (51)Int.Cl. H04L 9/40(2022.01)(56)对比文件 CN 106059939 A,2016.10.26 CN 106713061 A,2017.0 5.24 CN 10842 9731 A,2018.08.21 CN 110995612 A,2020.04.10 CN 103095702 A,2013.0 5.08 US 20183 09784 A1,2018.10.25 审查员 蔡文慧 (54)发明名称 基于智能安全箱的抗DDoS攻击方法、 装置及 智能安全箱 (57)摘要 本申请提供一种基于智能安全箱的抗DDoS 攻击方法、 装置及智能安全箱， 用以低成本且不 影响正常业务的情况下， 实现抗DDoS攻击。 方法 包括： 第一终端接收来自第一域以外的第一报 文； 第一终端根据第一报文， 向第一域内的第二 终端发送第二报文， 其中， 第一终端配置有来自 智能安全箱配置的抗分布式拒绝服务DDoS攻击 策略， 第二报文为第一终端根据抗DDoS攻击策 略， 在第一报文中加入第一标识得到的报文， 第 一标识用于指示第二报文 为非DDoS攻击报文， 如 果第二报文未携带第一标识， 则表 示第二报文为 DDoS攻击报文。 权利要求书2页 说明书13页 附图2页 CN 114172738 B 2022.12.13 CN 114172738 B 1.一种基于智能安全箱的抗DDoS攻击方法， 其特征在于， 应用于第 一终端， 所述第一终 端为第一 域的入口终端， 所述第一终端与智能安全箱连接， 所述方法包括： 所述第一终端接收来自所述第一 域以外的第一报文； 所述第一终端根据 所述第一报文， 向所述第一域内的第 二终端发送第 二报文， 其中， 所 述第一终端配置有来自所述智能安全箱配置的抗分布式拒绝服务DDoS攻击策略， 所述第二 报文为所述第一 终端根据所述抗DDoS攻击策略， 在所述第一报文中加入第一标识得到的报 文， 所述第一标识用于指示所述第二报文为非DDoS攻击报文， 如果所述第二报文未携带所 述第一标识， 则表示所述第二报文为D DoS攻击报文； 所述第一标识用于通过所述第一标识的递归数据结构指示所述第二报文为非DDoS攻 击报文； 所述第一标识的递归 数据结构是指： 所述第一标识包括： M个递归单元， M为大于1的 整数， 第i个递归 单元包括： 标识符i， 以及所述标识符i的验证信息， 第i +1个递归 单元包括： 标识符i+1， 以及所述标识符i +1的验证信息， i为取1至M ‑1的任意整数， 所述标识符i +1为根 据所述标识符i的验证信息哈希确定的标识符。 2.根据权利要求1所述的方法， 其特征在于， 所述第 二报文为所述第 一终端根据 所述抗 DDoS攻击策略， 在所述第一报文中加入第一标识得到的报文是指： 所述第一终端根据所述 抗DDoS攻击策略， 在所述第一报文的尾部位置添加所述第一标识， 得到所述第二报文， 所述 第一报文的尾部位置是指位于所述第一报文的数据承载之后的位置 。 3.一种基于智能安全箱的抗DDoS攻击方法， 其特征在于， 应用于第 二终端， 所述第二终 端为第一 域内的终端， 所述第二终端与智能安全箱连接， 所述方法包括： 所述第二终端接收来自第一终端的第二报文； 所述第二终端根据抗DDoS攻击策略， 验证所述第二报文， 其 中， 所述抗DDoS攻击策略为 所述第二终端从所述智能安全箱获取的策略， 所述第二报文为所述第一终端根据所述抗 DDoS攻击策略， 在接收来 自所述第一域以外的第一报文中加入第一标识得到的报文， 所述 第一标识用于指示所述第二报文为 非DDoS攻击报文， 如果所述第二报文 未携带所述第一标 识， 则表示所述第二报文为D DoS攻击报文； 其中， 所述第一标识用于通过所述第一标识的递归数据结构指示所述第二报文为非 DDoS攻击报文， 所述第二终端根据抗D DoS攻击策略， 验证所述第二报文， 包括： 所述第二终端根据 所述抗DDoS攻击策略， 验证所述第二报文中所述第 一标识的数据结 构是否为 递归数据结构； 其中， 所述第一标识的递归数据结构是指： 所述第一标识包括： M个递归单元， M为大于1 的整数， 第i个递归单元包括： 标识符i， 以及所述标识符i的验证信息， 第i+1个递归单元包 括： 标识符i+1， 以及所述标识符i+1 的验证信息， i为取1至M ‑1的任意整数， 所述标识符i+1 为根据所述标识符i的验证信息哈希确定的标识符； 对应的， 所述第二 终端根据所述抗DDoS 攻击策略， 验证所述第二报文中所述第一标识的数据结构是否为 递归数据结构， 包括： 所述第二终端根据所述抗DDoS攻击策略， 对所述第一标识中标识符i的验证信息进行 哈希运算， 得到待验证的标识符； 所述第二终端判断所述待验证的标识符与所述第一标识中的所述标识符i+1是否相 同； 其中， 若所述待验证的标识符与所述第一标识中的所述标识符i+1相同， 则表示所述第 二报文为非DDoS攻击报文； 若所述待验证的标识符与所述第一标识中的所述标识符i+1不权　利　要　求　书 1/2 页 2 CN 114172738 B 2相同， 则表示所述第二报文为D DoS攻击报文。 4.一种基于智能安全箱的抗DDoS攻击装置， 其特征在于， 所述装置应用第一终端， 用以 执行如权利要求 1或2所述的方法， 或者所述装置应用第二 终端， 用以执行如权利要求3所述 的方法。 5.一种智能安全箱， 其特征在于， 包括： 箱体、 处理器和存储器； 所述处理器和所述存储 器设置在所述箱体内， 所述存储器用于存储计算机指令， 当所述处理器执行该计算机指令 时， 以使所述智能安全箱为第一终端和第二终端配置抗DDoS攻击策 略， 所述抗DDoS攻击策 略用于所述第一 终端执行如权利要求 1或2所述的方法， 或者所述抗DDoS攻击策略用于所述 第二终端执 行如权利要求3所述的方法。权　利　要　求　书 2/2 页 3 CN 114172738 B 3