一种流量清洗管理方法及装置与流程

文档序号:12624665阅读:584来源:国知局
导航: X技术> 最新专利>电子通信装置的制造及其应用技术
一种流量清洗管理方法及装置与流程

本发明涉及通信领域,尤其涉及一种流量清洗管理方法及装置。



背景技术:

分布式拒绝服务(英文全称:Distributed Denial of Service,英文简称:DDoS)攻击是目前互联网中最常见攻击形式之一。DDoS攻击是指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动攻击,DDoS攻击可以成倍地增加拒绝服务攻击的威力。

目前在实际应用中一般采用流量清洗的方式来对DDoS攻击进行防护,具体的,可以将异常流量从原始网络路径中流量牵引到流量清洗设备上,由流量清洗设备对异常流量进行清洗后将经过处理的合法流量转发给目标系统。其中,在部署流量清洗设备时,为了提高流量清洗的效率,可以在靠近被保护目标的地方部署本地流量清洗设备,同时在靠近攻击源的多个骨干网节点处部署骨干网流量清洗设备,由本地网流量清洗设备负责清洗本地网内部的异常流量以及从骨干网遗漏到本地网的异常流量,由骨干网清洗设备清洗部署在骨干网上的流量监测系统发现的异常流量。

上述技术方案虽然能够提高清洗异常流量的效率,但在流量清洗过程中,同一台流量清洗设备所清洗的流量往往对应不同的用户,其中一部分高要求用户对流量的时效性与可靠性要求较高,需要流量清洗设备在进行流量清洗时优先处理该部分高要求用户对应的流量,而在现有的流量清洗方法中,上游路由器至流量清洗设备的链路带宽即引流带宽为所有用户共用,当流量清洗设备需要清洗的流量较大时会导致引流带宽不足,导致高要求用户与其他用户的流量均无法及时进行清洗,从而损害了高要求用户流量清洗的时效性与可靠性,并损害了高要求用户的用户体验。



技术实现要素:

本申请提供一种流量清洗管理方法及装置,能够解决现有技术中当需要清洗的流量较大时无法对高要求用户的流量进行及时清洗的问题。

第一方面,本发明的实施例提供了一种流量清洗管理方法,包括:当确定清洗节点所清洗的异常流量超过第一流量阈值时,获取清洗节点所清洗的异常流量对应的防护对象,并在清洗节点所清洗的异常流量对应的防护对象中确定等候处置防护对象,等候处置防护对象对应的清洗节点所清洗的异常流量超过第二流量阈值;获取等候处置防护对象对应的近源清洗节点,近源清洗节点为最接近等候处置防护对象对应的清洗节点所清洗的异常流量的源端的清洗节点;根据防护对象的优先级对等候处置防护对象进行排序;依次控制排序后的等候处置防护对象对应的异常流量的近源清洗节点对排序后的等候处置防护对象对应的异常流量进行清洗。

第二方面,本发明的实施例提供了一种流量清洗管理装置,包括:检测模块,被配置为当确定清洗节点所清洗的异常流量超过第一流量阈值时,获取清洗节点所清洗的异常流量对应的防护对象,并在清洗节点所清洗的异常流量对应的防护对象中确定等候处置防护对象,等候处置防护对象对应的清洗节点所清洗的异常流量超过第二流量阈值;获取等候处置防护对象对应的近源清洗节点,近源清洗节点为最接近等候处置防护对象对应的清洗节点所清洗的异常流量的源端的清洗节点;控制模块,被配置为根据防护对象的优先级对等候处置防护对象进行排序;依次控制排序后的等候处置防护对象对应的异常流量的近源清洗节点对排序后的等候处置防护对象对应的异常流量进行清洗。

本发明实施例提供的一种流量清洗管理方法及装置,通过在确定清洗节点所清洗的异常流量超过第一流量阈值时,获取该清洗节点上所清洗的异常流量的防护对象,并确定其中对应的异常流量较多的防护对象即等候处置防护对象,其中可以认为等候处置防护对象为对该清洗节点上异常流量清洗效果造成较大影响的防护对象,之后获取异常流量的近源清洗节点即最接近异常流量源端的清洗节点,其中异常流量的近源清洗节点可以认为是在由额外的清洗节点对异常流量进行清洗时,能够最大程度减少流量清洗对骨干网及近目的清洗节点带来的影响的清洗节点,之后根据等候处置防护对象的优先级对等候处置防护对象进行排序,并依次控制排序后的等候处置防护对象对应异常流量的近源清洗节点对排序后的等候处置防护对象对应异常流量进行清洗,从而能够优先控制高要求或高优先级防护对象对应的异常流量的近源清洗节点对该部分异常流量进行清洗。本发明的实施例所提供的流量清洗管理方法能够在流量清洗节点进行流量清洗的压力较大时,在不损害该流量清洗节点以及其他流量清洗节点上流量清洗效果的前提下,由其他流量清洗节点对该流量清洗节点上优先级较高防护对象对应的异常流量及时进行清洗,并且能够最大程度减少流量清洗对骨干网及近目的清洗节点带来的影响,从而在保证流量清洗效果的前提下提高高要求用户流量清洗的时效性与可靠性,提高了整个清洗系统的使用效率,并且改善了用户体验。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。

图1为本发明的实施例所提供的一种流量清洗系统的架构的示意性结构图;

图2为本发明的实施例所提供的一种流量清洗管理方法的示意性流程图;

图3为本发明的另一实施例所提供的一种流量清洗管理方法的示意性流程图;

图4为本发明的实施例所提供的一种流量清洗管理装置的示意性结构图。

具体实施方式

下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。

为了便于清楚描述本发明实施例的技术方案,在本发明的实施例中,采用了“第一”、“第二”等字样对功能和作用基本相同的相同项或相似项进行区分,本领域技术人员可以理解“第一”、“第二”等字样并不是在对数量和执行次序进行限定。

由于DDoS攻击会极大影响用户的用户体验,在实际使用中,通常采用流量清洗的方式来对DDoS攻击进行防护。目前流量清洗一般由流量清洗设备进行,在网络中可以称为流量清洗节点。

如附图1所示,本发明的实施例提供了一种流量清洗系统的架构,其中流量清洗节点101可以部署在骨干网102(具体可以部署在骨干网边界路由器106相邻的位置)、省网汇聚路由器103相邻位置或城域网104的出口位置,其中当流量清洗节点101部署在骨干网102时,具体的流量清洗节点101可以部署与骨干网边界路由器106相邻的位置,此时流量清洗节点101可以覆盖与流量清洗节点101对应的省网,其中省网可以包括一个或多个城域网;当流量清洗节点101部署在省网汇聚路由器103相邻位置时,流量清洗节点101可以覆盖通过省网汇聚路由器103接入骨干网102的城域网,其中可以有一个或多个城域网通过同一个省网汇聚路由器103接入核心网;当流量清洗节点101部署在城域网104的出口位置时,具体的流量清洗节点101可以部署在与城域网核心路由器107相邻的位置,此时流量清洗节点101可以覆盖城域网104。

流量清洗节点101可以用于清洗包括DDoS攻击流量的流量,部署在骨干网102的骨干网流量检测系统108或部署在城域网103的城域网流量检测系统105可以用于检测DDoS攻击流量。

具体的,当骨干网流量检测系统108或城域网流量检测系统105检测出网络流量中可能具有DDoS攻击流量时,通知流量清洗节点101并通过相应的路由器将异常流量从原始网络路径中流量牵引到流量清洗节点101上,由流量清洗节点101对异常流量进行识别和异常信息剥离,然后将经过处理的合法流量回注到原网络中,并转发给目标系统。

需要说明的是,在上述流量清洗系统中,骨干网流量检测系统108或城域网流量检测系统105可以学习防护对象的在清洗节点覆盖网络的流量基线,当清洗节点覆盖网络中某一防护对象对应的异常流量高于流量基线时,可以认为该清洗节点需要对该防护对象的异常流量进行清洗。

由于城域网流量检测系统105采集抽样比与骨干网流量检测系统108抽样比相比较低,因此当攻击发生时,城域网流量检测系统105应先检测出发生攻击,并产生告警至清洗节点101,清洗节点101获取到告警后,触发引流,并进行异常流量清洗。

在现有的技术方案中,当需要清洗的流量较大时,流量清洗节点无法及时对高要求用户的流量进行清洗,从而损害了高要求用户流量的时效性与可靠性,损害了用户体验。

为了解决上述问题,如附图2所示,本发明的实施例提供了一种流量清洗管理方法,包括:

201、当确定清洗节点所清洗的异常流量超过第一流量阈值时,获取清洗节点所清洗的异常流量对应的防护对象。

具体的,异常流量可以为包含DDoS攻击流量的流量,该异常流量还可以包括正常工作流量。

第一流量阈值可以为流量的大小,当清洗节点所清洗的异常流量超过第一流量阈值时,清洗节点对异常流量的清洗效果可能会受到影响,因此需要其他清洗节点帮助该清洗节点对异常流量进行清洗。第一流量阈值可以为预先设置也可以为从其他装置或系统中获取。

进一步的,清洗节点所清洗的异常流量超过第一流量阈值也可以为清洗节点当前所清洗的异常流量与清洗节点的最大清洗带宽(即清洗节点最大同时能够清洗的流量)的比值大于相应的清洗节点清洗能力占有率阈值,只要能够确定当清洗节点所清洗的异常流量可能会对清洗节点的异常流量的清洗效果造成影响即可。

异常流量对应的防护对象是指该清洗节点所清洗的异常流量所对应的用户,清洗节点对异常流量进行清洗时,当存在目的端为该用户的异常流量时,清洗节点可以以用户为单位对目的端为该用户的异常流量进行清洗,进一步的,清洗节点可以以IP地址为单位对目的端为该用户的异常流量进行清洗。

202、在清洗节点所清洗的异常流量对应的防护对象中确定等候处置防护对象。

其中,等候处置防护对象对应的异常流量超出第二流量阈值。

具体的,等候处置防护对象对应的异常流量超出第二流量阈值,是指异常流量对应的防护对象中所对应的异常流量较大的防护对象,由于等候处置防护对象对应的异常流量较大,可能会导致清洗节点在清洗全部异常流量时清洗效果受到影响。第二流量阈值可以为预先设置也可以为从其他装置或系统中获取。

优选的,可以在异常流量对应的防护对象中确定对应的异常流量最多的N个防护对象,并在该N个防护对象中确定等候处置防护对象。

203、获取等候处置防护对象对应的近源清洗节点。

其中,近源清洗节点为最接近等候处置防护对象对应的清洗节点所清洗的异常流量的源端的清洗节点;

具体的,当等候处置防护对象对应的清洗节点所清洗的异常流量的源端所在的城域网的出口位置设置有清洗节点时,可以认为该清洗节点为近源清洗节点;当等候处置防护对象对应的清洗节点所清洗的异常流量的源端所在的城域网的出口位置未设置清洗节点,且等候处置防护对象对应的清洗节点所清洗的异常流量的源端所在的城域网通过省网汇聚路由器接入骨干网,在该省网汇聚路由器相邻位置设置有清洗节点时,可以认为该清洗节点为近源清洗节点;当等候处置防护对象对应的清洗节点所清洗的异常流量的源端所在的城域网的出口位置未设置清洗节点,且等候处置防护对象对应的清洗节点所清洗的异常流量的源端所在的城域网通过省网汇聚路由器接入骨干网,该省网汇聚路由器相邻位置也未设置清洗节点时,可以认为设置在骨干网且距离该省网汇聚路由器最近的清洗节点为近源清洗节点;若等候处置防护对象对应的清洗节点所清洗的异常流量的源端所在的城域网直连骨干网边界节点(即没有省网汇聚路由器),并且骨干网的出口位置与城域网的出口位置均未设置清洗节点,那么可以认为设置在骨干网且距离该省网汇聚路由器最近的清洗节点为近源清洗节点。

当通过最接近等候处置防护对象对应的清洗节点所清洗的异常流量源端的清洗节点对相应的异常流量进行清洗时,能够最大程度减少流量清洗对骨干网及近目的端清洗节点的影响。

204、根据防护对象的优先级对等候处置防护对象进行排序。

具体的,防护对象的优先级是指清洗节点在清洗异常流量时,需要优先对目的端哪些用户的异常流量进行清洗,防护对象为高要求用户时,该防护对象的优先级较高。

根据防护对象的优先级对等候处置防护对象进行排序,可以根据等候处置防护对象的优先级,按照从高到低的顺序对等候处置防护对象进行排序。

需要说明的是,当一个以上的防护对象的优先级相同时,可以根据防护对象对应的异常流量大小进行排序。

205、依次控制排序后的等候处置防护对象对应的异常流量的近源清洗节点对排序后的等候处置防护对象对应异常流量进行清洗。

具体的,依次控制排序后的等候处置防护对象对应异常流量的近源清洗节点对排序后的等候处置防护对象对应异常流量进行清洗,可以为按照等候处置防护对象的排序,确定按照上述排序当前所处理的等候处置防护对象,并进一步确定当前所处理的等候处置防护对象对应的异常流量,以及当前所处理的等候处置防护对象对应异常流量的近源清洗节点,并控制当前所处理的等候处置防护对象对应的异常流量的近源清洗节点对当前所处理的等候处置防护对象对应的异常流量进行清洗。

需要说明的是,由于所控制的等候处置防护对象对应的异常流量可能包括多个源端,并且该多个源端可能位于不同的区域,分别覆盖该多个源端的近源清洗节点可能各不相同,因此所控制的等候处置防护对象对应的异常流量的近源清洗节点可能包括多个清洗节点。

本发明实施例提供的一种流量清洗管理方法,通过在确定清洗节点所清洗的异常流量超过第一流量阈值时,获取该清洗节点上所清洗的异常流量的防护对象,并确定其中对应的异常流量较多的防护对象即等候处置防护对象,其中可以认为等候处置防护对象为对该清洗节点上异常流量清洗效果造成较大影响的防护对象,之后获取异常流量的近源清洗节点即最接近异常流量源端的清洗节点,其中异常流量的近源清洗节点可以认为是在由额外的清洗节点对异常流量进行清洗时,能够最大程度减少流量清洗对骨干网及近目的清洗节点带来的影响的清洗节点,之后根据等候处置防护对象的优先级对等候处置防护对象进行排序,并依次控制排序后的等候处置防护对象对应异常流量的近源清洗节点对排序后的等候处置防护对象对应异常流量进行清洗,从而能够优先控制高要求或高优先级防护对象对应的异常流量的近源清洗节点对该部分异常流量进行清洗。本发明的实施例所提供的流量清洗管理方法能够在流量清洗节点进行流量清洗的压力较大时,在不损害该流量清洗节点以及其他流量清洗节点上流量清洗效果的前提下,由其他流量清洗节点对该流量清洗节点上优先级较高防护对象对应的异常流量及时进行清洗,并且能够最大程度减少流量清洗对骨干网及近目的清洗节点带来的影响,从而在保证流量清洗效果的前提下提高高要求用户流量清洗的时效性与可靠性,提高了整个清洗系统的使用效率,并且改善了用户体验。

如附图3所示,本发明的实施例提供了一种流量清洗管理方法,包括:

301、当确定清洗节点所清洗的异常流量超过第一流量阈值时,获取清洗节点所清洗的异常流量对应的防护对象。

302、在清洗节点所清洗的异常流量对应的防护对象中确定等候处置防护对象。

303、获取等候处置防护对象对应的近源清洗节点。

304、根据防护对象的优先级对等候处置防护对象进行排序。

步骤301-304具体内容上述实施例中步骤201-204,在此不再赘述。

305、依次获取近源区域、近源清洗节点的清洗能力与近源清洗节点的正在使用的清洗能力。

其中近源区域为排序后的等候处置防护对象对应的异常流量的近源清洗节点所覆盖的区域,近源清洗节点的清洗能力为近源清洗节点能够提供的最大清洗带宽,近源清洗节点的正在使用的清洗能力为近源清洗节点正在使用的清洗流量的带宽。

具体的,由于清洗节点可以覆盖一个或多个城域网,因此近源区域可以为排序后的等候处置防护对象对应异常流量的近源清洗节点所覆盖的一个或多个城域网。优选的,近源区域还可以为排序后的等候处置防护对象对应异常流量的近源清洗节点所在的AS自治域。

306、在排序后的等候处置防护对象对应的清洗节点所清洗的异常流量中确定近源区域异常流量。

其中近源区域异常流量为排序后的等候处置防护对象对应的清洗节点所正在清洗的异常流量中源端位于近源区域的异常流量。

具体的,由于异常流量的源端可能存在多个,因此在获取近源区域后,可能获取从位于该近源区域的源端发出的攻击等候处置防护对象的异常流量,即近源区域异常流量,该近源区域异常流量可以由对应的近源清洗节点进行清洗。

307、当近源清洗节点的正在使用的清洗能力与近源区域异常流量之和与近源清洗节点的清洗能力的比值小于第一占有率阈值时,控制近源清洗节点对近源区域异常流量进行清洗。

具体的,当近源清洗节点的正在使用的清洗能力与近源区域异常流量之和与近源清洗节点的清洗能力的比值小于第一占有率阈值时,可以认为近源清洗节点处于空闲状态的流量清洗能力足够用于清洗近源区域异常流量,并且在近源清洗节点对近源区域异常流量进行清洗时,该近源清洗节点原先所进行的流量清洗工作不会受到影响,该近源清洗节点对近源区域异常流量进行流量清洗的效果也不会受到损害。

308、当近源清洗节点的正在使用的清洗能力与近源区域异常流量之和与近源清洗节点的清洗能力的比值大于或等于第一占有率阈值时,获取正在清洗防护对象。

其中正在清洗防护对象为近源清洗节点正在清洗的异常流量对应的防护对象。

具体的,近源清洗节点正在清洗的异常流量可以为对应的防护对象位于该近源清洗节点所覆盖区域的异常流量(即作为近目的侧正在清洗的流量),也可以为源端位于该近源清洗节点所覆盖区域的异常流量,即可以同时进行近目的及近源的清洗。

309、根据防护对象的优先级从低到高对正在清洗防护对象进行排序。

需要说明的是,作为近目的端清洗的防护对象的优先级,可以默认高于近源端清洗防护对象的优先级。

310、控制近源清洗节点依次结束对排序后正在清洗防护对象对应异常流量的清洗。

具体的,由于近源清洗节点的流量清洗能力是有限的,当近源清洗节点的正在使用的清洗能力与近源区域异常流量之和与近源清洗节点的清洗能力的比值大于或等于第一占有率阈值时,若仍需要该近源清洗节点清洗源端位于该近源清洗节点所覆盖区域的异常流量,那么流量清洗效果可能会受到影响。为了保证高要求用户流量清洗的时效性与可靠性,可以控制近源清洗节点结束对优先级较低的防护对象对应异常流量的清洗,以便于能够提供足够的流量清洗能力清洗优先级较高的防护对象对应异常流量。

优选的,当控制近源清洗节点依次结束对排序后正在清洗防护对象对应异常流量的清洗时,结束某一优先级的防护对象的清洗后,若近源清洗节点的正在使用的清洗能力与近源区域异常流量之和与近源清洗节点的清洗能力的比值小于第一占有率阈值,则不再控制近源清洗节点继续依次结束对排序后正在清洗防护对象对应异常流量的清洗,并控制近源清洗节点对近源区域异常流量进行清洗。

优选的,也可以获取预先设定的优先级阈值,该预先设定的优先级阈值可以为正在清洗的防护对象的优先级阈值,也可以为等候清洗的防护对象的优先级阈值,当正在清洗防护对象中存在低于该优先级阈值的防护对象时,结束该部分防护对象对应异常流量的清洗,若此时近源清洗节点的正在使用的清洗能力与近源区域异常流量之和与近源清洗节点的清洗能力的比值小于第一占有率阈值,则控制近源清洗节点对近源区域异常流量中对应防护对象的优先级高于优先级阈值的异常流量进行清洗,从而在近源清洗节点流量清洗能力不足时优先结束较低优先级防护对象的异常流量清洗,直到近源清洗节点的流量清洗能力能够满足高优先级防护对象的异常流量清洗后,开启对高优先级防护对象的异常流量清洗。

需要说明的是,当正在清洗防护对象中优先级低于预先设定的优先级阈值的防护对象所对应的流量清洗均被结束,但近源清洗节点的正在使用的清洗能力与近源区域异常流量之和与近源清洗节点的清洗能力的比值仍大于或等于第一占有率阈值时,则不再对该近源清洗节点进行更多的调度,并将该防护对象作为该节点的等候处置防护对象,待到该近源清洗节点有清洗能力时,再进行调度。

更进一步的,当清洗节点的所有能够开启的近源清洗节点都开启时,近目的清洗节点的清洗能力与近目的清洗节点的清洗能力的比值仍大于或等于第一占有率阈值时,可以控制相应的防护对象所对应的近源清洗区域的路由设备触发黑洞路由操作,将超出约定清洗阈值的近源区域异常流量引入黑洞,不再处理该部分异常流量。

311、确定近源区域异常流量中的攻击流量与近源区域异常流量中的正常流量。

其中,异常流量中攻击流量可以为DDoS攻击流量。

312、当某防护对象近源区域异常流量中的攻击流量与近源区域异常流量中的正常流量的比值小于清洗回注阈值时,控制近源清洗节点停止该防护对象在该近源区域异常流量进行清洗。

其中,清洗回注阈值可以为预先设置,也可以为从其他装置或系统中获取。

具体的,当某防护对象近源区域异常流量中的攻击流量与近源区域异常流量中的正常流量的比值小于清洗回注阈值时,可以认为由位于该近源区域的源端针对该攻击对象所发出的攻击已经停止,可以停止由近源清洗节点对近源区域异常流量的清洗,以节省近源清洗节点的流量清洗资源。

优选的,还可以为当近源区域异常流量小于停止清洗阈值时,控制近源清洗节点停止对近源区域异常流量进行清洗。

313、当确定近源清洗节点结束对近源清洗节点某防护对象的正在使用的异常流量的的清洗时,获取等候清洗防护对象。

其中等候清洗防护对象为等候近源清洗节点清洗的异常流量对应的防护对象。

314、根据防护对象的优先级对等候清洗防护对象进行排序。

315、控制近源清洗节点依次对排序后的等候清洗防护对象对应异常流量进行清洗。

具体的,当确定近源清洗节点结束对近源清洗节点的正在使用的清洗能力的清洗时,可以根据防护对象的优先级对等候清洗防护对象进行排序,并控制近源清洗节点依次对排序后的等候清洗防护对象对应异常流量进行清洗,从而达到优先清洗等候清洗防护对象中优先级较高防护对象对应异常流量,从而保证高优先级防护对象的异常流量清洗的时效性。如附图4所示,本发明的实施例提供了一种流量清洗管理装置401,具体的,该流量清洗管理装置401可以设置在流量清洗集中管理调度平台中,流量清洗集中管理调度平台可以用于调度流量清洗节点对异常流量进行清洗,流量清洗管理装置401包括:

检测模块402,被配置为当确定清洗节点所清洗的异常流量超过第一流量阈值时,获取清洗节点所清洗的异常流量对应的防护对象,并在清洗节点所清洗的异常流量对应的防护对象中确定等候处置防护对象,等候处置防护对象对应的清洗节点所清洗的异常流量超过第二流量阈值。

具体的,异常流量可以为包含DDoS攻击流量的流量,该异常流量还可以包括正常工作流量。

第一流量阈值可以为流量的大小,当清洗节点所清洗的异常流量超过第一流量阈值时,清洗节点对异常流量的清洗效果可能会受到影响,因此需要其他清洗节点帮助该清洗节点对异常流量进行清洗。第一流量阈值可以为预先设置也可以为从其他装置或系统中获取。

进一步的,清洗节点所清洗的异常流量超过第一流量阈值也可以为清洗节点当前所清洗的异常流量与清洗节点最多同时能够清洗流量的比值大于相应的清洗节点清洗能力占有率阈值,只要能够确定当清洗节点所清洗的异常流量可能会对清洗节点的异常流量的清洗效果造成影响即可。

异常流量对应的防护对象是指该清洗节点所清洗的异常流量所对应的用户,清洗节点对异常流量进行清洗时,当存在目的端为该用户的异常流量时,清洗节点可以以用户为单位对目的端为该用户的异常流量进行清洗,进一步的,清洗节点可以以IP地址为单位对目的端为该用户的异常流量进行清洗。

其中,等候处置防护对象对应的异常流量超出第二流量阈值。

具体的,等候处置防护对象对应的异常流量超出第二流量阈值,是指异常流量对应的防护对象中所对应的异常流量较大的防护对象,由于等候处置防护对象对应的异常流量较大,可能会导致清洗节点在清洗全部异常流量时清洗效果受到影响。第二流量阈值可以为预先设置也可以为从其他装置或系统中获取。

优选的,可以在异常流量对应的防护对象中确定对应的异常流量最多的N个防护对象,并在该N个防护对象中确定等候处置防护对象。

检测模块402,还被配置为获取等候处置防护对象对应的近源清洗节点,近源清洗节点为最接近等候处置防护对象对应的清洗节点所清洗的异常流量的源端的清洗节点。

其中,近源清洗节点为最接近等候处置防护对象对应的清洗节点所清洗的异常流量的源端的清洗节点;

具体的,当等候处置防护对象对应的清洗节点所清洗的异常流量的源端所在的城域网的出口位置设置有清洗节点时,可以认为该清洗节点为近源清洗节点;当等候处置防护对象对应的清洗节点所清洗的异常流量的源端所在的城域网的出口位置未设置清洗节点,且等候处置防护对象对应的清洗节点所清洗的异常流量的源端所在的城域网通过省网汇聚路由器接入骨干网,在该省网汇聚路由器相邻位置设置有清洗节点时,可以认为该清洗节点为近源清洗节点;当等候处置防护对象对应的清洗节点所清洗的异常流量的源端所在的城域网的出口位置未设置清洗节点,且等候处置防护对象对应的清洗节点所清洗的异常流量的源端所在的城域网通过省网汇聚路由器接入骨干网,该省网汇聚路由器相邻位置也未设置清洗节点时,可以认为设置在骨干网且距离该省网汇聚路由器最近的清洗节点为近源清洗节点;若等候处置防护对象对应的清洗节点所清洗的异常流量的源端所在的城域网直连骨干网边界节点(即没有省网汇聚路由器),并且骨干网的出口位置与城域网的出口位置均未设置清洗节点,那么可以认为设置在骨干网且距离该省网汇聚路由器最近的清洗节点为近源清洗节点。

当通过最接近等候处置防护对象对应的清洗节点所清洗的异常流量源端的清洗节点对相应的异常流量进行清洗时,能够最大程度减少流量清洗对骨干网及近目的端清洗节点的影响。

控制模块403,被配置为根据防护对象的优先级对等候处置防护对象进行排序。并依次控制排序后的等候处置防护对象对应的异常流量的近源清洗节点对排序后的等候处置防护对象对应的异常流量进行清洗。

具体的,防护对象的优先级是指清洗节点在清洗异常流量时,需要优先对目的端为那些用户的异常流量进行清洗,防护对象为高要求用户时,该防护对象的优先级较高。

根据防护对象的优先级对等候处置防护对象进行排序,可以根据等候处置防护对象的优先级,按照从高到低的顺序对等候处置防护对象进行排序。

需要说明的是,当一个以上的防护对象的优先级相同时,可以根据防护对象对应的异常流量大小进行排序。

具体的,依次控制排序后的等候处置防护对象对应异常流量的近源清洗节点对排序后的等候处置防护对象对应异常流量进行清洗,可以为按照等候处置防护对象的排序,确定按照上述排序当前所处理的等候处置防护对象,并进一步确定当前所处理的等候处置防护对象对应的异常流量,以及当前所处理的等候处置防护对象对应异常流量的近源清洗节点,并控制当前所处理的等候处置防护对象对应的异常流量的近源清洗节点对当前所处理的等候处置防护对象对应的异常流量进行清洗。

需要说明的是,由于所控制的等候处置防护对象对应的异常流量可能包括多个源端,并且该多个源端可能位于不同的区域,分别覆盖该多个源端的近源清洗节点可能各不相同,因此所控制的等候处置防护对象对应的异常流量的近源清洗节点可能包括多个清洗节点。

本发明实施例提供的一种流量清洗管理装置,通过在确定清洗节点所清洗的异常流量超过第一流量阈值时,获取该清洗节点上所清洗的异常流量的防护对象,并确定其中对应的异常流量较多的防护对象即等候处置防护对象,其中可以认为等候处置防护对象为对该清洗节点上异常流量清洗效果造成较大影响的防护对象,之后获取异常流量的近源清洗节点即最接近异常流量源端的清洗节点,其中异常流量的近源清洗节点可以认为是在由额外的清洗节点对异常流量进行清洗时,能够最大程度减少流量清洗对骨干网及近目的清洗节点带来的影响的清洗节点,之后根据等候处置防护对象的优先级对等候处置防护对象进行排序,并依次控制排序后的等候处置防护对象对应异常流量的近源清洗节点对排序后的等候处置防护对象对应异常流量进行清洗,从而能够优先控制高要求或高优先级防护对象对应的异常流量的近源清洗节点对该部分异常流量进行清洗。本发明的实施例所提供的流量清洗管理方法能够在流量清洗节点进行流量清洗的压力较大时,在不损害该流量清洗节点以及其他流量清洗节点上流量清洗效果的前提下,由其他流量清洗节点对该流量清洗节点上优先级较高防护对象对应的异常流量及时进行清洗,并且能够最大程度减少流量清洗对骨干网及近目的清洗节点带来的影响,从而在保证流量清洗效果的前提下提高高要求用户流量清洗的时效性与可靠性,提高了整个清洗系统的使用效率,并且改善了用户体验。

具体的,控制模块403具体被配置为:

获取近源区域,近源区域为排序后的等候处置防护对象对应异常流量的近源清洗节点所覆盖的区域;

获取近源清洗节点的清洗能力与近源清洗节点正在使用的清洗能力,近源清洗节点的清洗能力为近源清洗节点能够提供的最大清洗带宽,近源清洗节点正在使用的清洗能力为近源清洗节点正在使用的清洗流量的带宽;

在排序后的等候处置防护对象对应的清洗节点所清洗的异常流量中确定近源区域异常流量,近源区域异常流量为排序后的等候处置防护对象对应的清洗节点所清洗的异常流量中源端位于近源区域的异常流量;

当近源清洗节点的正在使用的清洗能力与近源区域异常流量之和与近源清洗节点的清洗能力的比值小于第一占有率阈值时,控制近源清洗节点对近源区域异常流量进行清洗。

其中近源区域为排序后的等候处置防护对象对应的异常流量的近源清洗节点所覆盖的区域,近源清洗节点的清洗能力为近源清洗节点能够提供的最大清洗带宽,近源清洗节点的正在使用的清洗能力为近源清洗节点正在使用的清洗流量的带宽。

具体的,由于清洗节点可以覆盖一个或多个城域网,因此近源区域可以为排序后的等候处置防护对象对应异常流量的近源清洗节点所覆盖的一个或多个城域网。优选的,近源区域还可以为排序后的等候处置防护对象对应异常流量的近源清洗节点所在的AS自治域。

其中近源区域异常流量为排序后的等候处置防护对象对应的清洗节点所正在清洗的异常流量中源端位于近源区域的异常流量。

具体的,由于异常流量的源端可能存在多个,因此在获取近源区域后,可能获取从位于该近源区域的源端发出的攻击等候处置防护对象的异常流量,即近源区域异常流量,该近源区域异常流量可以由对应的近源清洗节点进行清洗。

具体的,当近源清洗节点的正在使用的清洗能力与近源区域异常流量之和与近源清洗节点的清洗能力的比值小于第一占有率阈值时,可以认为近源清洗节点处于空闲状态的流量清洗能力足够用于清洗近源区域异常流量,并且在近源清洗节点对近源区域异常流量进行清洗时,该近源清洗节点原先所进行的流量清洗工作不会受到影响,该近源清洗节点对近源区域异常流量进行流量清洗的效果也不会受到损害。

具体的,控制模块403还被配置为:

当近源清洗节点的正在使用的清洗能力与近源区域异常流量之和与近源清洗节点的清洗能力的比值大于或等于第一占有率阈值时,获取正在清洗防护对象,正在清洗防护对象为近源清洗节点正在清洗的异常流量对应的防护对象;

根据防护对象的优先级从低到高对正在清洗防护对象进行排序;

控制近源清洗节点依次结束对排序后正在清洗防护对象对应异常流量的清洗。

具体的,近源清洗节点正在清洗的异常流量可以为对应的防护对象位于该近源清洗节点所覆盖区域的异常流量(即作为近目的侧正在清洗的流量),也可以为源端位于该近源清洗节点所覆盖区域的异常流量,即可以同时进行近目的及近源的清洗。

需要说明的是,作为近目的端清洗的防护对象的优先级,可以默认高于近源端清洗防护对象的优先级。

具体的,由于当近源清洗节点的流量清洗能力是有限的,当近源清洗节点的正在使用的清洗能力与近源区域异常流量之和与近源清洗节点的清洗能力的比值大于或等于第一占有率阈值时,若仍需要该近源清洗节点清洗源端位于该近源清洗节点所覆盖区域的异常流量,那么流量清洗效果可能会受到影响。为了保证高要求用户流量清洗的时效性与可靠性,可以控制近源清洗节点结束对优先级较低的防护对象对应异常流量的清洗,以便于能够提供足够的流量清洗能力清洗优先级较高的防护对象对应异常流量。

优选的,当控制近源清洗节点依次结束对排序后正在清洗防护对象对应异常流量的清洗时,结束某一优先级的防护对象的清洗后,若近源清洗节点的正在使用的清洗能力与近源区域异常流量之和与近源清洗节点的清洗能力的比值小于第一占有率阈值,则不再控制近源清洗节点依次结束对排序后正在清洗防护对象对应异常流量的清洗,并控制近源清洗节点对近源区域异常流量进行清洗。

优选的,也可以获取预先设定的优先级阈值,该预先设定的优先级阈值可以为正在清洗的防护对象的优先级阈值,也可以为等候清洗的防护对象的优先级阈值,当正在清洗防护对象中存在低于该优先级阈值的防护对象时,结束该部分防护对象对应异常流量的清洗,若此时近源清洗节点的正在使用的清洗能力与近源区域异常流量之和与近源清洗节点的清洗能力的比值小于第一占有率阈值,则控制近源清洗节点对近源区域异常流量中对应防护对象的优先级高于优先级阈值的异常流量进行清洗,从而在近源清洗节点流量清洗能力不足时优先结束较低优先级防护对象的异常流量清洗,直到近源清洗节点的流量清洗能力能够满足高优先级防护对象的异常流量清洗后,开启对高优先级防护对象的异常流量清洗。

需要说明的是,当正在清洗防护对象中优先级低于预先设定的优先级阈值的防护对象所对应的流量清洗均被结束,但近源清洗节点的正在使用的清洗能力与近源区域异常流量之和与近源清洗节点的清洗能力的比值仍大于或等于第一占有率阈值时,则不再对该近源清洗节点进行更多的调度,并将该防护对象作为该节点的等候处置防护对象,待到该近源清洗节点有清洗能力时,再进行调度。

更进一步的,当清洗节点的所有能够开启的近源清洗节点都开启时,近目的清洗节点的清洗能力与近目的清洗节点的清洗能力的比值仍大于或等于第一占有率阈值时,可以控制相应的防护对象所对应的近源清洗区域的路由设备触发黑洞路由操作,将超出约定清洗阈值的近源区域异常流量引入黑洞,不再处理该部分异常流量。具体的,控制模块403还被配置为:

当确定近源清洗节点结束对近源清洗节点的正在使用的清洗能力的清洗时,获取等候清洗防护对象,等候清洗防护对象为等候近源清洗节点清洗的异常流量对应的防护对象;

根据防护对象的优先级对等候清洗防护对象进行排序;

控制近源清洗节点依次对排序后的等候清洗防护对象对应异常流量进行清洗。

具体的,当确定近源清洗节点结束对近源清洗节点的正在使用的清洗能力的清洗时,可以根据防护对象的优先级对等候清洗防护对象进行排序,并控制近源清洗节点依次对排序后的等候清洗防护对象对应异常流量进行清洗,从而达到优先清洗等候清洗防护对象中优先级较高防护对象对应异常流量,从而保证高优先级防护对象的异常流量清洗的时效性。

具体的,控制模块403还被配置为:

确定近源区域异常流量中的攻击流量与近源区域异常流量中的正常流量;

当某防护对象近源区域异常流量中的攻击流量与近源区域异常流量中的正常流量的比值小于清洗回注阈值时,控制近源清洗节点停止对该防护对象在该近源区域异常流量进行清洗。

其中,清洗回注阈值可以为预先设置,也可以为从其他装置或系统中获取。

具体的,当某防护对象近源区域异常流量中的攻击流量与近源区域异常流量中的正常流量的比值小于清洗回注阈值时,可以认为由位于该近源区域的源端针对该攻击对象所发出的攻击已经停止,可以停止由近源清洗节点对近源区域异常流量的清洗,以节省近源清洗节点的流量清洗资源。

优选的,还可以为当近源区域异常流量小于停止清洗阈值时,控制近源清洗节点停止对近源区域异常流量进行清洗。

通过以上的实施方式的描述,所属领域的技术人员可以清楚地了解到本发明可以用硬件实现,或固件实现,或它们的组合方式来实现。当使用软件实现时,可以将上述功能存储在计算机可读介质中或作为计算机可读介质上的一个或多个指令或代码进行传输。计算机可读介质包括计算机存储介质和通信介质,其中通信介质包括便于从一个地方向另一个地方传送计算机程序的任何介质。存储介质可以是计算机能够存取的任何可用介质。以此为例但不限于:计算机可读介质可以包括随机存储器(英文全称:Random Access Memory,英文简称:RAM)、只读存储器(英文全称:Read Only Memory,英文简称:ROM)、电可擦可编程只读存储器(英文全称:Electrically Erasable Programmable Read Only Memory,英文简称:EEPROM)、只读光盘(英文全称:Compact Disc Read Only Memory,英文简称:CD-ROM)或其他光盘存储、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质。此外。任何连接可以适当的成为计算机可读介质。例如,如果软件是使用同轴电缆、光纤光缆、双绞线、数字用户专线(英文全称:Digital Subscriber Line,英文简称:DSL)或者诸如红外线、无线电和微波之类的无线技术从网站、服务器或者其他远程源传输的,那么同轴电缆、光纤光缆、双绞线、DSL或者诸如红外线、无线和微波之类的无线技术包括在计算机可读介质的定义中。

通过以上的实施方式的描述,所属领域的技术人员可以清楚地了解到,当以软件方式实现本发明时,可以将用于执行上述方法的指令或代码存储在计算机可读介质中或通过计算机可读介质进行传输。计算机可读介质包括计算机存储介质和通信介质,其中通信介质包括便于从一个地方向另一个地方传送计算机程序的任何介质。存储介质可以是计算机能够存取的任何可用介质。以此为例但不限于:计算机可读介质可以包括RAM、ROM、电可擦可编程只读存储器(全称:electrically erasable programmable read-only memory,简称:EEPROM)、光盘、磁盘或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质。

以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。

完整全部详细技术资料下载
当前第1页1 2 3 
  • 该技术已申请专利。仅供学习研究,如用于商业用途,请联系技术所有人。
  • 技术研发人员:朱安南;马铮;高枫;唐磊;姜楠;张小梅;俞播;
  • 技术所有人:中国联合网络通信集团有限公司;
  • 我是此专利的发明人
相关技术
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1
精彩留言,会给你点赞!
空气流量计清洗方法相关技术
流量测试装置相关技术
流量测量装置相关技术
车辆清洗装置管理规定相关技术
经鼻高流量吸氧装置相关技术
异常流量清洗相关技术
压力流量监测装置相关技术
液体流量标准装置相关技术
消防流量测试装置相关技术

使用协议| 关于我们| 联系X技术

© 2008-2024 【X技术】 版权所有,并保留所有权利。津ICP备16005673号-2