处理网络流量的方法及装置与流程

本发明涉及互联网安全领域，具体而言，涉及一种处理网络流量的方法及装置。

背景技术：

分布式拒绝服务(distributeddenialofservice，简称为ddos)攻击是指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动ddos攻击，从而成倍地提高拒绝服务攻击的威力。在通常情况下，攻击者会将ddos主控程序安装在一个计算机上，然后在一个设定的时间内，主控程序将与大量代理程序进行通讯，其中，代理程序已经被安装在因特网(internet)内的多台计算机上。代理程序一旦从主控程序接收到指令便可立即发动攻击。通过利用客户/服务器技术，主控程序能够在几秒钟内激活成百上千次代理程序的运行。

黑洞路由(即一条特殊的静态路由)是指将所有无关路由吸入其中，使它们有来无回的路由，在通常情况下，是指管理员(admin)主动建立的路由条目。管理员可以将接收到的特定源地址转向null0接口(即一个原本不存在的接口)，这样操作的结果在于出于安全因素考虑，将匹配这条路由的数据包全部丢弃而不指明原因，进而通过充分利用路由器的包转发能力，可以使得对系统负载影响非常小。

恶意流量清洗系统(例如：ddos云端防护系统)包括流量检测设备，流量清洗设备和监控管理设备三个部分。流量检测设备负责检测网络流量中隐藏的非法攻击流量，以及在发现攻击后及时通知并激活防护设备进行流量的清洗；流量清洗设备负责通过专业的流量净化产品，将可疑流量从原始网络路径中重定向到净化产品上进行恶意流量的识别和剥离，进而将还原出的合法流量回注到原网络中转发给目标系统，至于其它合法流量的转发路径则不受影响；监控管理系统负责对流量清洗系统的设备进行集中管理配置、展现实时流量、告警事件、状态信息监控、及时输出流量分析报告和攻击防护报告等报表。

云计算(cloudcomputing)是基于互联网的相关服务的增加、使用和交付模式，通常涉及通过互联网来提供动态易扩展且经常是虚拟化的资源。

软件定义网络(softwaredefinednetwork,简称为sdn)，是一种新型网络创新架构，其为网络虚拟化的一种实现方式，sdn的核心思想在于通过将网络设备控制面与数据面分离开来，从而便于实现软件自定义路由功能。当前云计算服务商提供的虚拟私有云(virtualprivatecloud，简称为vpc)网络是sdn思想的一种具体实现方式。在vpc网络中，可以通过虚拟可扩展局域网(virtualextensiblelocalareanetwork，简称为vxlan)隧道技术来实现转发路由的自定义。

当前伴随着云计算业务的蓬勃发展，大量用户已经将业务迁移到公有云上来进行。但是，当前针对云用户的ddos攻击不断增长，因为受制于机房带宽影响，当攻击流量超过带宽可承受范围时，为了不影响同一机房的其他业务，业务方通常会采用黑洞路由的方式来屏蔽被攻击互联网协议(internalprotocol，简称为ip)的访问，从而导致用户业务无法访问。对此，相关技术中提出了如下解决方案：

图1是根据相关技术的通过单独建立专业ddos云端防护系统来防御流量型ddos攻击的示意图。如图1所示，目前，受保护主机可以将自身的域名系统(domainnamesystem，简称为dns)解析到专业ddos云端防护系统提供的虚拟ip上，这样，通过第(1)步，用户访问流量和攻击流量可以通过dns解析到虚拟ip；再通过第(2)步，流量将先经过专业ddos云端防护系统，并在ddos云端防护系统进行流量清洗后再将正常访问流量回源到公有云的主机；然后通过第(3)步，路由器将访问流量转发至受保护主机。

然而，上述解决方案会存在如图2所示的缺陷，图2是根据相关技术的攻击者绕过专业云端ddos防护直接攻击受保护主机而导致的受保护主机所承载的业务无法被正常访问的示意图。如图2所示，往往因为各种原因(例如：dns历史解析记录、客户无意泄露、被扫描等)，导致受保护主机的源站ip(即在将正常访问流量回源时所请求到的ip)被暴露给攻击者，这样，通过第(1)步，会导致攻击者在进行ddos攻击时轻易地绕过专业ddos云端防护系统，进而直接将ddos攻击流量发送至受保护主机，由此导致在第(2)步和第(3)步中，受保护主机所在机房无法承受流量型ddos攻击而对受保护主机进行黑洞屏蔽，这样当正常访问流量从专业ddos云端防护系统回源到受保护主机时被丢弃，从而导致第(4)步，攻击者在进行ddos攻击时正常用户无法访问受保护主机。

针对上述的问题，目前尚未提出有效的解决方案。

技术实现要素：

本发明实施例提供了一种处理网络流量的方法及装置，以至少解决相关技术在使用专业ddos云端防护过程中由于攻击者发现受保护的目标主机的公网地址进而绕过专业ddos云端防护直接对目标主机进行攻击引起全部网络访问流量被黑洞屏蔽，由此导致经过专业ddos云端防护系统净化得到的正常回源访问流量无法对目标主机进行正常访问的技术问题。

根据本发明实施例的一个方面，提供了一种处理网络流量的系统，包括：

软件定义网络(sdn)，用于在确定从访问流量清洗设备发送至目标主机的网络流量发生丢弃的情况下，为网络流量分配第一公网访问地址并生成与第一公网访问地址对应的转发路径，通知访问流量清洗设备向第一公网访问地址发送网络流量,以及向访问流量清洗设备发送第一通知消息，其中，网络流量按照转发路径转发至目标主机，第一通知消息用于通知访问流量清洗设备将网络流量的访问地址由第二公网访问地址替换为第一公网访问地址；控制设备，用于向sdn发送第二通知消息，其中，第二通知消息用于表示在控制设备判断出发送至第二公网访问地址的访问流量超出预设阈值的情况下，控制路由转发设备将发送至第二公网访问地址的访问流量进行丢弃；路由转发设备，用于接收来自于sdn的转发路径，并按照转发路径将网络流量发送至目标主机。

根据本发明实施例的另一方面，还提供了一种处理网络流量的方法，该方法应用于访问流量清洗设备向目标主机发送网络流量，其中，访问流量清洗设备用于从接收到的访问流量中滤除异常流量，得到网络流量，该方法包括：sdn确定网络流量发生丢弃；sdn为网络流量分配第一公网访问地址并生成与第一公网访问地址对应的转发路径，其中，第一公网访问地址用于接收网络流量，转发路径用于将第一公网访问地址接收到的网络流量转发至目标主机；sdn通知访问流量清洗设备向第一公网访问地址发送网络流量，其中，网络流量按照转发路径转发至目标主机。

可选地，sdn确定网络流量发生丢弃包括：sdn接收来自于控制设备的第一通知消息，其中，第一通知消息用于表示在控制设备判断出发送至第二公网访问地址的访问流量超出预设阈值的情况下，控制路由转发设备将发送至第二公网访问地址的访问流量进行丢弃；sdn根据第一通知消息确定网络流量发生丢弃。

可选地，sdn为网络流量分配第一公网访问地址并根据第一公网访问地址生成转发路径包括：sdn利用自身的控制平面为网络流量分配第一公网访问地址并通知给自身的数据转发平面；sdn利用数据转发平面在第一公网访问地址与目标主机的私网地址之间生成转发路径。

可选地，sdn通知访问流量清洗设备向第一公网访问地址发送网络流量包括：sdn向访问流量清洗设备发送第二通知消息，其中，第二通知消息用于通知访问流量清洗设备将网络流量的访问地址由第二公网访问地址替换为第一公网访问地址。

可选地，在sdn通知访问流量清洗设备向第一公网访问地址发送网络流量之后，还包括：sdn利用数据转发平面将转发路径下发至路由转发设备；sdn指示路由转发设备按照转发路径将网络流量发送至目标主机。

根据本发明实施例的再一方面，还提供了另一种处理网络流量的方法，该方法应用于访问流量清洗设备向目标主机发送网络流量，其中，访问流量清洗设备用于从接收到的访问流量中滤除异常流量，得到网络流量，该方法包括：确定网络流量发生丢弃；为网络流量分配第一公网访问地址并生成与第一公网访问地址对应的转发路径，其中，第一公网访问地址用于接收网络流量，转发路径用于将第一公网访问地址接收到的网络流量转发至目标主机；通知访问流量清洗设备向第一公网访问地址发送网络流量，其中，网络流量按照转发路径转发至目标主机。

根据本发明实施例的再一方面，还提供了另一种处理网络流量的方法，该方法应用于访问流量清洗设备向目标主机发送网络流量，其中，访问流量清洗设备用于从接收到的访问流量中滤除异常流量，得到网络流量，该方法包括：访问流量清洗设备接收软件定义网络sdn下发的第一公网访问地址，其中，第一公网访问地址用于接收网络流量；访问流量清洗设备按照第一公网访问地址发送网络流量。

可选地，在访问流量清洗设备接收sdn下发的第一公网访问地址之前，还包括：访问流量清洗设备获取控制设备分配的第二公网访问地址；访问流量清洗设备按照第二公网访问地址发送网络流量。

可选地，在访问流量清洗设备接收sdn下发的第一公网访问地址之后，还包括：访问流量清洗设备将网络流量的目的地址由第二公网访问地址替换为第一公网访问地址。

根据本发明实施例的再一方面，还提供了一种处理网络流量的装置，该装置应用于sdn，该装置包括：确定模块，用于确定网络流量发生丢弃；处理模块，用于为网络流量分配第一公网访问地址并生成与第一公网访问地址对应的转发路径，其中，第一公网访问地址用于接收网络流量，转发路径用于将第一公网访问地址接收到的网络流量转发至目标主机；通知模块，用于通知访问流量清洗设备向第一公网访问地址发送网络流量，其中，网络流量按照转发路径转发至目标主机。

可选地，确定模块包括：接收单元，用于接收来自于控制设备的第一通知消息，其中，第一通知消息用于表示在控制设备判断出发送至第二公网访问地址的访问流量超出预设阈值的情况下，控制路由转发设备将发送至第二公网访问地址的访问流量进行丢弃；确定单元，用于根据第一通知消息确定网络流量发生丢弃。

可选地，处理模块包括：第一处理单元，用于利用自身的控制平面为网络流量分配第一公网访问地址并通知给自身的数据转发平面；第二处理单元，用于利用数据转发平面在第一公网访问地址与目标主机的私网地址之间生成转发路径。

可选地，通知模块，用于向访问流量清洗设备发送第二通知消息，其中，第二通知消息用于通知访问流量清洗设备将网络流量的访问地址由第二公网访问地址替换为第一公网访问地址。

可选地，上述装置还包括：下发模块，用于利用数据转发平面将转发路径下发至路由转发设备；指示模块，用于指示路由转发设备按照转发路径将网络流量发送至目标主机。

根据本发明实施例的再一方面，还提供了另一种处理网络流量的装置，该装置应用于访问流量清洗设备，该装置包括：接收模块，用于接收软件定义网络sdn下发的第一公网访问地址，其中，第一公网访问地址用于接收网络流量；处理模块，用于按照第一公网访问地址发送网络流量。

可选地，上述装置还包括：获取模块，用于获取控制设备分配的第二公网访问地址；发送模块，用于访问流量清洗设备按照第二公网访问地址发送网络流量。

可选地，上述装置还包括：替换模块，用于将网络流量的目的地址由第二公网访问地址替换为第一公网访问地址。

在本发明实施例中，采用在sdn确定从访问流量清洗设备发送至目标主机的网络流量发生丢弃(例如：经由黑洞路由进行转发)的情况下，为网络流量分配第一公网访问地址并生成与第一公网访问地址对应的转发路径的方式，通过通知访问流量清洗设备向第一公网访问地址发送网络流量，以达到网络流量按照转发路径转发至目标主机的目的，从而实现了由访问流量清洗设备发送的网络流量不会因攻击者发现受保护的目标主机的公网地址进而绕过专业ddos云端防护直接对目标主机进行攻击而被黑洞屏蔽，由此能够对目标主机进行正常的业务访问的技术效果，进而解决了相关技术在使用专业ddos云端防护过程中由于攻击者发现受保护的目标主机的公网地址进而绕过专业ddos云端防护直接对目标主机进行攻击引起全部网络访问流量被黑洞屏蔽，由此导致经过专业ddos云端防护系统净化得到的正常回源访问流量无法对目标主机进行正常访问的技术问题。

附图说明

此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：

图1是根据相关技术的通过单独建立专业ddos云端防护系统来防御流量型ddos攻击的示意图；

图2是根据相关技术的攻击者绕过专业云端ddos防护直接攻击受保护主机而导致的受保护主机所承载的业务无法被正常访问的示意图；

图3a是根据本发明实施例的处理网络流量的系统的结构示意图；

图3b是根据本发明实施例的处理网络流量的系统的信息交互示意图；

图4是根据本发明实施例的一种处理网络流量的方法的流程图；

图5是根据本发明实施例的另一种处理网络流量的方法的流程图；

图6是根据本发明实施例的一种处理网络流量的装置的结构框图；

图7是根据本发明优选实施例的一种处理网络流量的装置的结构框图；

图8是根据本发明实施例的另一种处理网络流量的装置的结构框图；

图9是根据本发明优选实施例的另一种处理网络流量的装置的结构框图。

具体实施方式

为了使本技术领域的人员更好地理解本发明方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分的实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明保护的范围。

需要说明的是，本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。

实施例1

根据本发明实施例，还提供了一种处理网络流量的系统的实施例。图3a是根据本发明实施例的处理网络流量的系统的结构示意图。图3b是根据本发明实施例的处理网络流量的系统的信息交互示意图。如图3a和3b所示，该系统可以包括：sdn300，用于在确定从访问流量清洗设备发送至目标主机的网络流量(例如：经过清洗的回源流量)发生丢弃的情况下，为网络流量分配第一公网访问地址并生成与第一公网访问地址对应的转发路径，通知访问流量清洗设备向第一公网访问地址发送网络流量,以及向访问流量清洗设备发送第二通知消息，其中，网络流量按照转发路径转发至目标主机，第二通知消息用于通知访问流量清洗设备将网络流量的访问地址由第二公网访问地址替换为第一公网访问地址；控制设备302，用于向sdn发送第一通知消息，其中，第一通知消息用于表示在控制设备判断出发送至第二公网访问地址的访问流量超出预设阈值的情况下，控制路由转发设备将发送至第二公网访问地址的访问流量进行丢弃；路由转发设备304，用于接收来自于sdn的转发路径，并按照转发路径将网络流量转发至目标主机。

具体地，访问流量的处理过程可以包括以下步骤：

第(1)-(3)步，在使用访问流量清洗设备过程中，恶意攻击者如果能够发现受保护的目标主机所暴露的公网地址，那么便可以直接对受保护的目标主机的公网地址发送ddos攻击。受保护的目标主机的公网地址在遭受大流量恶意攻击后，该公网地址便会遭受黑洞封禁，继而从访问流量清洗设备发送至受保护的目标主机的正常访问回源流量也会同恶意攻击者发送的恶意攻击流量一并经由黑洞路由进行转发而遭受丢弃，由此造成对目标主机的正常业务访问受到影响。

第(4)步，在受保护的目标主机所在局域网内未加入sdn之前，通过网络地址转换功能将公网访问地址转换预先为受保护的目标主机分配的私网地址的操作是由控制设备通过向路由转发设备下发控制命令来完成的，即，控制设备向路由转发设备下发公网访问地址以及确定网络访问流量在到达公网访问地址后，便通过公网访问地址与受保护的目标主机的私网地址之间的一一映射关系，生成转发路径，进而将发送至该公网访问地址的网络访问流量转发至受保护的目标主机。然而，在受保护的目标主机所在局域网内加入sdn之后，通过网络地址转换功能将公网访问地址转换预先为受保护的目标主机分配的私网地址的操作将不再由控制设备通过向路由转发设备下发控制命令来完成。此时，控制设备主要负责对发送至该控制设备向路由转发设备下发的转发路径中的公网访问地址的网络访问流量进行流量监控，如果发送至公网访问地址的网络访问流量大于预设阈值，那么控制设备将会对公网访问地址执行黑洞封禁，以控制路由转发设备将发送至公网访问地址的网络访问流量经由黑洞路由进行转发。

第(5)步，控制设备还会向sdn发送通知消息，用于表示控制设备已经对公网访问地址执行黑洞封禁，至此，通过网络地址转换功能将公网访问地址转换预先为受保护的目标主机分配的私网地址的操作将不再由控制设备通过向路由转发设备下发控制命令来完成，而转由sdn来完成。

第(6)步，在确定发生上述公网地址遭受黑洞封禁事件的情况下，sdn为了能够确保从访问流量清洗设备发送至受保护的目标主机的正常访问回源流量不会同恶意攻击者发送的恶意攻击流量一并遭受丢弃，而是正常转发至目标主机，于是sdn便会为回源流量单独分配一个公网访问地址，由此，从访问流量清洗设备发送至受保护的目标主机的正常访问回源流量不会再与恶意攻击者发送的恶意攻击流量发送至同一个已经遭受黑洞封禁的公网地址，而是另外发送至新分配的公网访问地址。

sdn为回源流量单独分配一个公网访问地址的过程如下：可以先利用sdn的控制平面为回源流量分配与上述由控制设备下发的公网访问地址不同的公网访问地址，并将新分配的公网访问地址通知给sdn的数据转发平面；然后再利用sdn的数据转发平面使用新分配的公网访问地址进行转发策略变更，将原先的从原先的公网访问地址至受保护的目标主机之间的转发路径变更为从新分配的公网访问地址至受保护的目标主机之间的转发路径，即访问新分配的公网访问地址的回源流量将会被转发到受保护的目标主机上。

在利用sdn的数据转发平面使用第一公网访问地址进行转发策略变更，将原先的从公网访问地址至受保护的目标主机之间的转发路径变更为从新分配的公网访问地址至受保护的目标主机之间的转发路径之后，sdn可以利用数据转发平面将转发路径下发至路由转发设备。此时，在路由转发设备上除了存在从原先的公网访问地址至受保护的目标主机之间的转发路径之外，还存在从新分配的公网访问地址至受保护的目标主机之间的转发路径。

第(7)步，最终，在上述控制设备与sdn的共同控制下，路由转发设备在接收到访问原先的公网访问地址的网络访问流量后，直接通过黑洞路由进行丢弃；在接收到访问新分配的公网访问地址的回源流量后，将回源流量转发至受保护的目标主机。

第(8)步，sdn还需要向访问流量清洗设备发送通知消息，以通知访问流量清洗设备将回源流量的访问地址由原先的公网访问地址替换为新分配的公网访问地址。在访问流量清洗设备未接收到sdn发送的通知消息之前，从访问流量清洗设备发送至受保护的目标主机的正常访问回源流量由于同恶意攻击者发送的恶意攻击流量均发送至遭受黑洞封禁的原先的公网地址，故而经由黑洞路由进行转发而遭受丢弃。而在访问流量清洗设备接收到sdn发送的通知消息后，访问流量清洗设备会将回源流量的访问地址由原先的公网访问地址替换为新分配的公网访问地址，进而将回源流量发送至新分配的公网访问地址并经由从新分配的公网访问地址至受保护的目标主机之间的转发路径转发到受保护的目标主机上，从而有效地保障了在经过访问流量清洗设备清洗后的正常访问回源流量路径畅通，使受保护的目标主机上的业务可以被正常访问。

在上述运行环境下，本申请提供了如图4所示的处理网络流量的方法。该方法应用于访问流量清洗设备向目标主机发送网络流量，其中，访问流量清洗设备用于从接收到的访问流量中滤除异常流量，得到网络流量，图4是根据本发明实施例的一种处理网络流量的方法的流程图。如图4所示，该方法可以包括以下处理步骤：

步骤s42：确定网络流量发生丢弃；

步骤s44：为网络流量分配第一公网访问地址并生成与第一公网访问地址对应的转发路径，其中，第一公网访问地址用于接收网络流量，转发路径用于将第一公网访问地址接收到的网络流量转发至目标主机；

步骤s46：通知访问流量清洗设备向第一公网访问地址发送网络流量，其中，网络流量按照转发路径转发至目标主机。

在优选实施过程中，上述方法可以应用于但不限于sdn中，为此，上述步骤s42-步骤s46可以进一步包括：

步骤s42：sdn确定网络流量发生丢弃；

步骤s44：sdn为网络流量分配第一公网访问地址并生成与第一公网访问地址对应的转发路径，其中，第一公网访问地址用于接收网络流量，转发路径用于将第一公网访问地址接收到的网络流量转发至目标主机；

在使用访问流量清洗设备(例如：安装专业ddos云端防护系统的设备)过程中，恶意攻击者如果能够发现受保护的目标主机所暴露的公网地址，那么便可以直接对受保护的目标主机的公网地址发送恶意攻击(例如：进行ddos攻击)。受保护的目标主机的公网地址在遭受大流量恶意攻击后，该公网地址便会遭受黑洞封禁，即，从专业ddos云端防护系统发送至受保护的目标主机的正常访问回源流量也会同恶意攻击者发送的恶意攻击流量一并经由黑洞路由进行转发而遭受丢弃，由此造成对目标主机的正常业务访问受到影响。在确定发生上述公网地址遭受黑洞封禁事件的情况下，sdn为了能够确保从专业ddos云端防护系统发送至受保护的目标主机的正常访问回源流量不会同恶意攻击者发送的恶意攻击流量一并遭受丢弃，而是正常转发至目标主机，于是sdn便会为回源流量单独分配一个公网访问地址(即上述第一公网访问地址)，由此，从专业ddos云端防护系统发送至受保护的目标主机的正常访问回源流量不会再与恶意攻击者发送的恶意攻击流量发送至同一个已经遭受黑洞封禁的公网地址，而是另外发送至第一公网访问地址，然后再通过sdn新生成的与第一公网访问地址对应的转发路径将正常访问回源流量转发至目标主机从而实现对目标主机上业务的访问。

步骤s46：sdn通知访问流量清洗设备向第一公网访问地址发送网络流量，其中，网络流量按照转发路径转发至目标主机。

基于上述分析，从专业ddos云端防护系统发送至受保护的目标主机的正常访问回源流量由于同恶意攻击者发送的恶意攻击流量均发送至遭受黑洞封禁的公网地址，故而经由黑洞路由进行转发而遭受丢弃。为此将正常访问回源流量转发至目标主机从而实现对目标主机上业务的访问，sdn需要将为回源流量单独分配的第一公网访问地址通知给访问流量清洗设备，以使访问流量清洗设备向第一公网访问地址发送回源流量，该回源流量再经由转发路径转发至目标主机。

可选地，在步骤s42中，sdn确定网络流量发生丢弃可以包括以下执行步骤：

步骤s421：sdn接收来自于控制设备的第一通知消息，其中，第一通知消息用于表示在控制设备判断出发送至第二公网访问地址的访问流量超出预设阈值的情况下，控制路由转发设备将发送至第二公网访问地址的访问流量进行丢弃；

步骤s422：sdn根据第一通知消息确定网络流量发生丢弃。

在受保护的目标主机本地所在的局域网内的各个主机均使用同一个公网访问地址，并采用该公网访问地址作为互联网访问的身份标识。而在上述局域网内，为了能够将受保护的目标主机与其他位于该局域网内的多个主机相区分，则又会为受保护的目标主机再分配一个私网地址。然而，由于为受保护的目标主机分配的私网地址并不能进行互联网访问，因此，从上述局域网外部主机发送的正常访问流量或恶意访问流量都仅能发送至上述公网访问地址，然后再通过网络地址转换功能将公网访问地址转换预先为受保护的目标主机分配的私网地址。

上述通过网络地址转换功能将公网访问地址转换预先为受保护的目标主机分配的私网地址的操作，在受保护的目标主机所在局域网内未加入sdn之前，是由控制设备通过向路由转发设备下发控制命令来完成的，即，控制设备向路由转发设备下发第二公网访问地址以及确定网络访问流量在到达第二公网访问地址后，便通过第二公网访问地址与受保护的目标主机的私网地址之间的一一映射关系，生成转发路径，进而将发送至第二公网访问地址的网络访问流量转发至受保护的目标主机。

在该优选实施例中，通过网络地址转换功能将公网访问地址转换预先为受保护的目标主机分配的私网地址的操作，在受保护的目标主机所在局域网内加入sdn之后，将不再是由控制设备通过向路由转发设备下发控制命令来完成的。此时，控制设备主要负责对发送至第二公网访问地址的网络访问流量进行流量监控，如果发送至第二公网访问地址的网络访问流量大于预设阈值，那么控制设备将会对第二公网访问地址执行黑洞封禁，以控制路由转发设备将发送至第二公网访问地址的网络访问流量经由黑洞路由进行转发。另外，控制设备还会向sdn发送通知消息，用于表示控制设备已经对第二公网访问地址执行黑洞封禁，至此，通过网络地址转换功能将公网访问地址转换预先为受保护的目标主机分配的私网地址的操作将不再由控制设备通过向路由转发设备下发控制命令来完成，而转由sdn来完成。

可选地，在步骤s44中，sdn为网络流量分配第一公网访问地址并根据第一公网访问地址生成转发路径可以包括以下执行步骤：

步骤s440：sdn利用自身的控制平面为网络流量分配第一公网访问地址并通知给自身的数据转发平面；

步骤s442：sdn利用数据转发平面在第一公网访问地址与目标主机的私网地址之间生成转发路径。

在sdn架构中，控制平面是逻辑集中的，其可以通过特定协议将控制信息下发至底层的数据转发平面去执行。在该优选实施例中，可以先利用sdn的控制平面为回源流量分配与上述第二公网访问地址不同的第一公网访问地址，并将第一公网访问地址通知给sdn的数据转发平面；然后再利用sdn的数据转发平面使用第一公网访问地址进行转发策略变更，将原先的从第二公网访问地址至受保护的目标主机之间的转发路径变更为从第一公网访问地址至受保护的目标主机之间的转发路径，即访问第一公网访问地址的回源流量将会被转发到受保护的目标主机上。

可选地，在步骤s46，sdn通知访问流量清洗设备向第一公网访问地址发送网络流量之后，还可以包括以下执行步骤：

步骤s47：sdn利用数据转发平面将转发路径下发至路由转发设备；

步骤s48：sdn指示路由转发设备按照转发路径将网络流量发送至目标主机。

在利用sdn的数据转发平面使用第一公网访问地址进行转发策略变更，将原先的从第二公网访问地址至受保护的目标主机之间的转发路径变更为从第一公网访问地址至受保护的目标主机之间的转发路径之后，sdn可以利用数据转发平面将转发路径下发至路由转发设备。此时，在路由转发设备上除了存在从第二公网访问地址至受保护的目标主机之间的转发路径之外，还存在从第一公网访问地址至受保护的目标主机之间的转发路径。最终，在上述控制设备与sdn的共同控制下，路由转发设备在接收到访问第二公网访问地址的网络访问流量后，直接通过黑洞路由进行丢弃；在接收到访问第一公网访问地址的回源流量后，将回源流量转发至受保护的目标主机。

在优选实施过程中，上述步骤s46，sdn通知访问流量清洗设备向第一公网访问地址发送网络流量可以进一步包括：

步骤s460：sdn向访问流量清洗设备发送第二通知消息，其中，第二通知消息用于通知访问流量清洗设备将网络流量的访问地址由第二公网访问地址替换为第一公网访问地址。

在访问流量清洗设备未接收到sdn发送的第二通知消息之前，从访问流量清洗设备发送至受保护的目标主机的正常访问回源流量由于同恶意攻击者发送的恶意攻击流量均发送至遭受黑洞封禁的第二公网地址，故而经由黑洞路由进行转发而遭受丢弃。而在访问流量清洗设备接收到sdn发送的第二通知消息后，访问流量清洗设备会将回源流量的访问地址由第二公网访问地址替换为第一公网访问地址，进而将回源流量发送至第一公网访问地址并经由从第一公网访问地址至受保护的目标主机之间的转发路径转发到受保护的目标主机上。

在上述运行环境下，本申请还提供了如图5所示的处理网络流量的方法。该方法可以应用于但不限于访问流量清洗设备中，图5是根据本发明实施例的另一种处理网络流量的方法的流程图。如图5所示，该方法可以包括以下处理步骤：

步骤s52：访问流量清洗设备接收软件定义网络sdn下发的第一公网访问地址，其中，第一公网访问地址用于接收网络流量；

步骤s54：访问流量清洗设备按照第一公网访问地址发送网络流量。

在受保护的目标主机本地所在的局域网内的各个主机均使用同一个公网访问地址，并采用该公网访问地址作为互联网访问的身份标识。而在上述局域网内，为了能够将受保护的目标主机与其他位于该局域网内的多个主机相区分，则又会为受保护的目标主机再分配一个私网地址。然而，由于为受保护的目标主机分配的私网地址并不能进行互联网访问，因此，从上述局域网外部主机发送的正常访问流量或恶意访问流量都仅能发送至上述公网访问地址，然后再通过网络地址转换功能将公网访问地址转换预先为受保护的目标主机分配的私网地址。

在该优选实施例中，在受保护的目标主机所在局域网内加入sdn之后，控制设备主要负责对发送至现有的公网访问地址的网络访问流量进行流量监控，如果发送至该公网访问地址的网络访问流量大于预设阈值，那么控制设备将会对该公网访问地址执行黑洞封禁，以控制路由转发设备将发送至该公网访问地址的网络访问流量经由黑洞路由进行转发。另外，控制设备还会向sdn发送通知消息，用于表示控制设备已经对现有的公网访问地址执行黑洞封禁，至此，通过网络地址转换功能将公网访问地址转换预先为受保护的目标主机分配的私网地址的操作将不再由控制设备通过向路由转发设备下发控制命令来完成，而转由sdn来完成。

sdn可以先利用其控制平面为回源流量分配与现有的公网访问地址不同的第一公网访问地址，并将第一公网访问地址通知给sdn的数据转发平面；然后再利用其数据转发平面使用第一公网访问地址进行转发策略变更，将从现有的公网访问地址至受保护的目标主机之间的转发路径变更为从第一公网访问地址至受保护的目标主机之间的转发路径，即访问第一公网访问地址的回源流量将会被转发到受保护的目标主机上。

在利用sdn的数据转发平面使用第一公网访问地址进行转发策略变更，将原先的从第二公网访问地址至受保护的目标主机之间的转发路径变更为从第一公网访问地址至受保护的目标主机之间的转发路径之后，sdn可以利用数据转发平面将转发路径下发至路由转发设备。此时，在路由转发设备上除了存在从第二公网访问地址至受保护的目标主机之间的转发路径之外，还存在从第一公网访问地址至受保护的目标主机之间的转发路径。最终，在上述控制设备与sdn的共同控制下，路由转发设备在接收到访问第二公网访问地址的网络访问流量后，直接通过黑洞路由进行丢弃；在接收到访问第一公网访问地址的回源流量后，将回源流量转发至受保护的目标主机。

可选地，在步骤s52，访问流量清洗设备接收sdn下发的第一公网访问地址之前，还可以包括以下执行步骤：

步骤s50：访问流量清洗设备获取控制设备分配的第二公网访问地址；

步骤s51：访问流量清洗设备按照第二公网访问地址发送网络流量。

在受保护的目标主机所在局域网内未加入sdn之前，上述通过网络地址转换功能将公网访问地址转换预先为受保护的目标主机分配的私网地址的操作，是由控制设备通过向路由转发设备下发控制命令来完成的，即，控制设备向路由转发设备下发第二公网访问地址以及确定网络访问流量在到达第二公网访问地址后，便通过第二公网访问地址与受保护的目标主机的私网地址之间的一一映射关系，生成转发路径，进而将发送至第二公网访问地址的网络访问流量转发至受保护的目标主机。此外，控制设备还负责对发送至第二公网访问地址的网络访问流量进行流量监控，如果发送至第二公网访问地址的网络访问流量大于预设阈值，那么控制设备将会对第二公网访问地址执行黑洞封禁，以控制路由转发设备将发送至第二公网访问地址的网络访问流量经由黑洞路由进行转发。

可选地，在步骤s52，访问流量清洗设备接收sdn下发的第一公网访问地址之后，还可以包括以下执行步骤：

步骤s53：访问流量清洗设备将网络流量的目的地址由第二公网访问地址替换为第一公网访问地址。

需要说明的是，对于前述的各方法实施例，为了简单描述，故将其都表述为一系列的动作组合，但是本领域技术人员应该知悉，本发明并不受所描述的动作顺序的限制，因为依据本发明，某些步骤可以采用其他顺序或者同时进行。其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于优选实施例，所涉及的动作和模块并不一定是本发明所必须的。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到根据上述实施例的处理回源流量的方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质(如rom/ram、磁碟、光盘)中，包括若干指令用以使得一台终端设备(可以是手机，计算机，服务器，或者网络设备等)执行本发明各个实施例所述的方法。

实施例2

根据本发明实施例，还提供了一种用于实施上述处理网络流量的方法的装置实施例。图6是根据本发明实施例的一种处理网络流量的装置的结构框图。如图6所示，该装置应用于sdn，该装置可以包括：确定模块10，用于确定网络流量发生丢弃；处理模块20，用于为网络流量分配第一公网访问地址并生成与第一公网访问地址对应的转发路径，其中，第一公网访问地址用于接收网络流量，转发路径用于将第一公网访问地址接收到的网络流量转发至目标主机；通知模块30，用于通知访问流量清洗设备向第一公网访问地址发送网络流量，其中，网络流量按照转发路径转发至目标主机。

可选地，图7是根据本发明优选实施例的一种处理网络流量的装置的结构框图。如图7所示，确定模块10可以包括：接收单元100，用于接收来自于控制设备的第一通知消息，其中，第一通知消息用于表示在控制设备判断出发送至第二公网访问地址的访问流量超出预设阈值的情况下，控制路由转发设备将发送至第二公网访问地址的访问流量进行丢弃；确定单元102，用于根据第一通知消息确定网络流量发生丢弃。

可选地，如图7所示，处理模块20可以包括：第一处理单元200，用于利用自身的控制平面为网络流量分配第一公网访问地址并通知给自身的数据转发平面；第二处理单元202，用于利用数据转发平面在第一公网访问地址与目标主机的私网地址之间生成转发路径。

可选地，通知模块30，用于向访问流量清洗设备发送第二通知消息，其中，第二通知消息用于通知访问流量清洗设备将网络流量的访问地址由第二公网访问地址替换为第一公网访问地址。

可选地，如图7所示，上述装置还可以包括：下发模块40，用于利用数据转发平面将转发路径下发至路由转发设备；指示模块50，用于指示路由转发设备按照转发路径将网络流量发送至目标主机。

根据本发明实施例，还提供了另一种用于实施上述处理网络流量的方法的装置实施例。图8是根据本发明实施例的另一种处理网络流量的装置的结构框图。如图8所示，该装置应用于访问流量清洗设备，该装置可以包括：接收模块80，用于接收软件定义网络sdn下发的第一公网访问地址，其中，第一公网访问地址用于接收网络流量；处理模块82，用于按照第一公网访问地址发送网络流量。

可选地，图9是根据本发明优选实施例的另一种处理网络流量的装置的结构框图。如图9所示，上述装置还包括：获取模块84，用于获取控制设备分配的第二公网访问地址；发送模块86，用于访问流量清洗设备按照第二公网访问地址发送网络流量。

可选地，如图9所示，上述装置还可以包括：替换模块88，用于将网络流量的目的地址由第二公网访问地址替换为第一公网访问地址。

上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。

在本发明的上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述的部分，可以参见其他实施例的相关描述。

在本申请所提供的几个实施例中，应该理解到，所揭露的技术内容，可通过其它的方式实现。其中，以上所描述的装置实施例仅仅是示意性的，例如所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，单元或模块的间接耦合或通信连接，可以是电性或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、只读存储器(rom，read-onlymemory)、随机存取存储器(ram，randomaccessmemory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。