流量清洗方法和装置与流程

本申请涉及通信
技术领域：
，尤其涉及一种流量清洗方法和装置。
背景技术：
：在现阶段的网络中经常会存在各种各样的异常流量，这些异常流量会导致整个网络的带宽被大量消耗，影响用户的正常使用。为了解决该问题，可以在适当位置部署异常流量的清洗系统，该清洗系统可以检测并过滤网络中的异常流量。清洗系统中通常包括检测平台、清洗平台和管理平台，并与网络中的核心设备保持连接，这三个平台可以位于不同设备中，也可以位于同一设备中。核心设备可以将流量镜像发送给检测平台，或者也可以将flow数据流发送给检测平台，以供检测平台进行流量检测。检测平台如果确认流量中某个ip地址受到异常流量攻击，则可以上报管理平台，由管理平台通知清洗平台对该ip地址的流量进行流量清洗。清洗平台可以向核心设备发布其路由信息，从而使核心设备可以将发送至该ip地址的流量牵引至清洗平台进行过滤，后续清洗平台可以将过滤后的流量返回给核心设备，以达到清洗异常流量的目的。如果牵引至清洗平台的总流量超出清洗平台的负载流量，则清洗平台返回给核心设备的过滤后的流量会出现随机丢包的问题，导致用户的正常业务受到影响。技术实现要素：有鉴于此，本申请提供一种流量清洗方法和装置，以解决相关技术中随机丢包而导致用户的正常业务受到影响的问题。具体地，本申请是通过如下技术方案实现的：第一方面，本申请提供一种流量清洗方法，所述方法应用于流量清洗系统中的管理平台，所述流量清洗系统中还包括检测平台、清洗平台，所述方法包括：管理平台接收到检测平台上报的告警信息；所述告警信息由检测平台在检测到流量异常的ip地址时生成，所述告警信息中包括所述ip地址和所述ip地址的当前流量；管理平台根据所述ip地址的当前流量以及清洗平台上报的当前总流量，评估清洗平台的总流量是否会超出负载流量；如果确定清洗平台的流量不会超出负载流量，则管理平台将所述ip地址作为异常ip地址发送给清洗平台，以通知清洗平台对所述异常ip地址的流量进行流量清洗。第二方面，本申请提供一种流量清洗装置，所述装置应用于流量清洗系统中的管理平台，所述流量清洗系统中还包括检测平台、清洗平台，所述装置包括：接收单元，用于接收到检测平台上报的告警信息；所述告警信息由检测平台在检测到流量异常的ip地址时生成，所述告警信息中包括所述ip地址和所述ip地址的当前流量；评估单元，用于根据所述ip地址的当前流量以及清洗平台上报的当前总流量，评估清洗平台的总流量是否会超出负载流量；通知单元，用于在确定清洗平台的流量不会超出负载流量时，将所述ip地址作为异常ip地址发送给清洗平台，以通知清洗平台对所述异常ip地址的流量进行流量清洗。分析上述技术方案可知，在已将多个ip地址的流量牵引至清洗平台进行流量清洗时，如果检测平台新检测到流量异常的ip地址，则管理平台可以评估若将该ip地址的流量牵引至清洗平台进行流量清洗，清洗平台的总流量是否会超出负载流量。如果管理平台确定清洗平台的总流量会超出负载流量，则可以不通知清洗平台对该ip地址的流量进行流量清洗，以避免牵引至清洗平台进行流量清洗的总流量超出清洗平台的负载流量。因此清洗平台不会随机丢弃部分流量，即清洗平台返回给核心设备的这多个ip地址的过滤后的流量并不会出现随机丢包的问题，这样可以减小用户的正常业务所受到的影响，提高用户正常业务的可靠性与连续性。附图说明图1是流量清洗系统的系统架构图的一种示例；图2是本申请一示例性实施例示出的一种流量清洗方法的流程图；图3是本申请一示例性实施例示出的一种流量清洗装置所在设备的硬件结构图；图4是本申请一示例性实施例示出的一种流量清洗装置的框图。具体实施方式这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。在本申请使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。应当理解，尽管在本申请可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本申请范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。请参考图1，为流量清洗系统的系统架构图的一种示例。相关技术中，核心设备可以将发送给下游设备的流量镜像发送给检测平台，或者也可以将flow数据流发送给检测平台，以供检测平台进行流量检测。检测平台可以检测各个ip地址的当前流量，并将检测到的当前流量与预先配置的异常阈值进行比较，如果当前流量大于异常阈值，则检测平台可以将对应的ip地址确定为流量异常的ip地址。此外，检测平台还可以对各个ip地址的流量中包含的数据进行特征码检测，如果流量中包含的数据匹配预先配置的特征码，则检测平台也可以将对应的ip地址确定为流量异常的ip地址。检测平台在检测到流量异常的ip地址时，可以上报管理平台，由管理平台通知清洗平台对该ip地址的流量进行流量清洗。清洗平台则可以向核心设备发布路由信息，从而使核心设备可以将发送至该ip地址的流量牵引至清洗平台进行过滤，后续清洗平台可以将过滤后的流量返回给核心设备，以达到清洗异常流量的目的。清洗平台的负载流量用于表示清洗平台的流量清洗最大能力，如果被牵引至清洗平台的总流量超出清洗平台的负载流量，则清洗平台返回给核心设备的过滤后的流量极有可能出现随机丢包的问题。具体地，如果已将多个ip地址的流量牵引至清洗平台进行流量清洗，且这多个ip地址的当前流量之和已超过清洗平台的负载能力，则清洗平台可能会随机丢弃部分流量，导致用户的正常业务受到极大影响。针对上述问题，清洗平台可以在总流量超过负载流量时，针对流量被牵引至清洗平台的ip地址向管理员进行告警。或者，清洗平台也可以将流量被牵引至清洗平台的ip地址上报给管理平台，由管理平台向管理员进行告警。但采用这种方式及时性较差，管理员可能在较长时间后才会查看告警信息，因此也无法保证用户正常业务的可靠性与连续性。本申请提供一种流量清洗方法和装置，以解决相关技术中清洗平台总流量超过负载流量而随机丢包的问题，提高用户正常业务的可靠性与连续性。请参考图2，为本申请一示例性实施例示出的一种流量清洗方法的流程图。该流量清洗方法可以应用于清洗系统中的管理平台，包括以下步骤：步骤201：管理平台接收到检测平台上报的告警信息；所述告警信息由检测平台在检测到流量异常的ip地址时生成，所述告警信息中包括所述ip地址和所述ip地址的当前流量。步骤202：管理平台根据所述ip地址的当前流量以及清洗平台上报的当前总流量，评估清洗平台的总流量是否会超出负载流量。步骤203：如果确定清洗平台的流量不会超出负载流量，则管理平台将所述ip地址作为异常ip地址发送给清洗平台，以通知清洗平台对所述异常ip地址的流量进行流量清洗。与相关技术类似，检测平台可以对由核心设备镜像发送的流量或核心设备发送的flow数据流进行流量检测，以确定是否存在流量异常的ip地址。在本实施例中，检测平台在检测到流量异常的ip地址时，可以向管理平台上报告警信息，所述告警信息中通常可以包括流量异常的ip地址，以及该ip地址的当前流量。清洗平台可以定期主动向管理平台上报牵引至清洗平台进行流量清洗的当前总流量，也可以由管理平台在接收到检测平台上报的告警信息时，向清洗平台发送请求，从而使清洗平台向管理平台上报牵引至清洗平台进行流量清洗的当前总流量。管理平台在接收到检测平台上报的告警信息时，可以根据该告警信息中的当前流量以及清洗平台最近一次上报的当前总流量，评估清洗平台的流量是否会超出负载流量。具体地，管理平台在可以将接收到的告警信息中的当前流量，与清洗平台最近一次上报的当前总流量相加得到流量之和，并将得到的流量之和与预设的极限阈值进行比较。其中，所述极限阈值可以由管理员预先设置，用户可以将清洗平台的负载流量设置为所述极限阈值。当所述流量之和不大于所述极限阈值时，说明在将该告警信息中的ip地址的流量牵引至清洗平台进行流量清洗后，清洗平台的总流量仍未超出清洗平台的负载流量，因此管理平台可以确定清洗平台的总流量不会超出负载流量，并将该ip地址作为异常ip地址发送给清洗平台，以通知清洗平台对该异常ip地址的流量进行流量清洗。而当所述流量之和大于所述极限阈值时，则说明在将该告警信息中的ip地址的流量牵引至清洗平台进行流量清洗后，清洗平台的总流量已超出清洗平台的负载流量，因此管理平台可以确定清洗平台的总流量会超出负载流量，在这种情况下，管理平台可以不通知清洗平台对该ip地址的流量进行流量清洗，而可以基于该ip地址向管理员进行告警，以提醒管理员存在未进行流量清洗的异常ip地址，后续管理员可以自行选择是否需要清洗平台对该ip地址的流量进行流量清洗。举例来说，假设有123.125.81.31、123.125.81.10和123.125.81.22这3个流量被牵引至清洗平台的异常ip地址，且ip地址123.125.81.31的当前流量为1gb，ip地址123.125.81.10的当前流量为3gb，ip地址123.125.81.22的当前流量为2gb，如下表1所示：异常ip地址当前流量123.125.81.311gb123.125.81.103gb123.125.81.222gb表1假设清洗平台的负载流量为8gb，如果检测平台检测到流量异常的ip地址123.125.81.5，且该ip地址的当前流量为1gb，则管理平台可以根据检测平台上报的告警信息，以及清洗平台上报的当前总流量1gb+2gb+3gb＝6gb，判断出6gb+1gb＝7gb＜8gb，即清洗平台的总流量不会超出清洗平台的负载流量，因此管理平台可以通知清洗平台对ip地址123.125.81.5的流量进行流量清洗。如果检测平台检测到流量异常的ip地址123.125.81.8，且该ip地址的当前流量为3gb，则管理平台可以根据检测平台上报的告警信息，以及清洗平台上报的当前总流量1gb+2gb+3gb＝6gb，判断出6gb+3gb＝9gb＞8gb，即清洗平台的总流量会超出清洗平台的负载流量，因此管理平台可以不通知清洗平台对ip地址123.125.81.8的流量进行流量清洗，而可以基于ip地址123.125.81.8向管理员进行告警。采用本申请提供的技术方案，在已将多个ip地址的流量牵引至清洗平台进行流量清洗时，如果检测平台检测到新的流量异常的ip地址，则管理平台可以评估若将该ip地址的流量牵引至清洗平台进行流量清洗，清洗平台的总流量是否会超出负载流量。如果管理平台确定清洗平台的总流量会超出负载流量，则可以不通知清洗平台对该ip地址的流量进行流量清洗，以避免牵引至清洗平台进行流量清洗的总流量超出清洗平台的负载流量。因此清洗平台不会随机丢弃部分流量，即清洗平台返回给核心设备的这多个ip地址的过滤后的流量并不会出现随机丢包的问题，这样可以减小用户的正常业务所受到的影响，提高用户正常业务的可靠性与连续性。然而，由于各个ip地址的流量是实时变化的，因此牵引至清洗平台进行流量清洗的总流量也是实时变化的。在这种情况下，采用上述实施例所描述的方式，虽然可以在检测平台新检测到流量异常的ip地址时，由管理平台判断是否要将该ip地址的流量牵引至清洗平台进行流量清洗，以避免清洗平台的总流量超出负载流量，但是无法在已牵引至清洗平台的某个ip地址的流量突增时，判断清洗平台的总流量是否会超出负载流量，从而可能导致随机丢包的问题。为了解决这一问题，管理员可以预先设置时间周期，并由清洗平台按照该时间周期定期向管理平台上报清洗信息，所述清洗信息中通常可以包括流量被牵引至清洗平台的各个异常ip地址，以及各个异常ip地址的当前流量。管理平台可以在本地维护如上表1所示的当前流量表，所述当前流量表中可以保存有各个异常ip地址和各个异常ip地址的当前流量。管理平台在接收到清洗平台上报的清洗信息时，可以根据该清洗信息中的异常ip地址和所述异常ip地址的当前流量，更新本地保存的当前流量表。管理平台在接收到清洗平台上报的清洗信息时，还可以判断清洗平台的当前总流量是否大于所述极限阈值。其中，清洗平台的当前总流量可以由管理平台将各个异常ip地址的当前流量相加得到，也可以由清洗平台通过所述清洗信息将清洗平台的当前总流量上报给管理平台。当清洗平台的当前总流量大于所述极限阈值时，说明牵引至清洗设备进行流量清洗的总流量已超出清洗设备的负载流量。由于当前流量较大的ip地址可能受到大量的异常流量攻击，若停止对这类ip地址的流量进行流量清洗，可能造成下游设备瘫痪，对用户的正常业务造成较大的影响，因此管理平台可以从所述当前流量表中清除当前流量最小的异常ip地址以及所述异常ip地址的当前流量，并通知清洗平台停止对所述异常ip地址的流量进行流量清洗。进一步地，管理平台还可以在从所述当前流量表中清除当前流量最小的异常ip地址和所述异常ip地址的当前流量后，继续判断各个异常ip地址的当前流量之和是否大于所述极限阈值的预设比例。其中，所述预设比例也可以由管理员自行设置。如果各个异常ip地址的当前流量之和大于所述极限阈值的预设比例，则管理平台可以继续从所述当前流量表中清除当前流量最小的异常ip地址和所述异常ip地址的当前流量，并通知清洗平台停止对所述异常ip地址的流量进行流量清洗，以给清洗平台预留出部分负载流量，使清洗平台可以对检测平台新检测到的异常ip地址的流量进行流量清洗。为了便于管理平台确定当前流量最小的异常ip地址，管理平台在本地维护所述当前流量表时，可以将各个异常ip地址按照当前流量从大到小的顺序依次排列，如下表2所示：异常ip地址当前流量123.125.81.103gb123.125.81.222gb123.125.81.311gb表2管理平台在判断出清洗平台的当前总流量大于所述极限阈值，或者各个异常ip地址的当前流量之和大于所述极限阈值的预设比例时，可以将该当前流量表中排列在末位的异常ip地址和该异常ip地址的当前流量清除。管理平台在从所述当前流量表中清除当前流量最小的异常ip地址和所述异常ip地址的当前流量后，也可以基于该异常ip地址向管理员进行告警，以提醒管理员存在未进行流量清洗的异常ip地址，后续管理员可以自行选择是否需要清洗平台重新对该ip地址的流量进行流量清洗。与前述流量清洗方法的实施例相对应，本申请还提供了流量清洗装置的实施例。本申请流量清洗装置的实施例可以应用在流量清洗系统中的管理平台上，该流量清洗系统可以装载在网络设备上。装置实施例可以通过软件实现，也可以通过硬件或者软硬件结合的方式实现。以软件实现为例，作为一个逻辑意义上的装置，是通过其所在网络设备的处理器将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言，如图3所示，为本申请流量清洗装置所在网络设备的一种硬件结构图，除了图3所示的处理器、内存、网络接口、以及非易失性存储器之外，实施例中装置所在的网络设备通常根据该流量清洗的实际功能，还可以包括其他硬件，对此不再赘述。请参考图4，为本申请一示例性实施例示出的一种流量清洗装置的框图。所述装置400可以应用在图3所示的网络设备上，包括：接收单元401，用于接收到检测平台上报的告警信息；所述告警信息由检测平台在检测到流量异常的ip地址时生成，所述告警信息中包括所述ip地址和所述ip地址的当前流量；评估单元402，用于根据所述ip地址的当前流量以及清洗平台上报的当前总流量，评估清洗平台的总流量是否会超出负载流量；通知单元403，用于在确定清洗平台的流量不会超出负载流量时，将所述ip地址作为异常ip地址发送给清洗平台，以通知清洗平台对所述异常ip地址的流量进行流量清洗。在一个可选的实施例中，所述评估单元402可以包括：判断子单元4021，用于判断所述当前流量与所述当前总流量之和是否大于预设的极限阈值；确定子单元4022，用于在所述当前流量与所述当前总流量之和不大于所述极限阈值时，确定清洗平台的总流量不会超出负载流量；所述确定子单元4022还可以用于在所述当前流量与所述当前总流量之和大于所述极限阈值时，确定清洗平台的总流量会超出负载流量。在另一个可选的实施例中，所述装置400还可以包括：更新单元404，用于在接收到清洗平台按照预设的时间周期上报的清洗信息时，根据所述清洗信息中的异常ip地址和所述异常ip地址的当前流量，更新本地保存的当前流量表；判断单元405，用于判断清洗平台的当前总流量是否大于所述极限阈值；所述当前总流量等于各个异常ip地址的当前流量之和；清除单元406，用于在所述当前总流量大于所述极限阈值时，从所述当前流量表中清除当前流量最小的异常ip地址以及所述异常ip地址的当前流量，并通知清洗平台停止对所述异常ip地址的流量进行流量清洗。在另一个可选的实施例中，所述判断单元405还可以用于在从所述当前流量表中清除所述异常ip地址和所述异常ip地址的当前流量后，继续判断各个异常ip地址的当前流量之和是否大于所述极限阈值的预设比例；所述清除单元406还可以用于在各个异常ip地址的当前流量之和大于所述极限阈值的预设比例时，继续从所述当前流量表中清除当前流量最小的异常ip地址和所述异常ip地址的当前流量，并通知清洗平台停止对所述异常ip地址的流量进行流量清洗。在另一个可选的实施例中，所述装置400还可以包括：告警单元407，用于在确定清洗平台的流量超出负载流量时，基于所述ip地址进行告警。上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程，在此不再赘述。对于装置实施例而言，由于其基本对应于方法实施例，所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。以上所述仅为本申请的较佳实施例而已，并不用以限制本申请，凡在本申请的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本申请保护的范围之内。当前第1页12