一种DDOS流量处理方法、装置及介质与流程

一种ddos流量处理方法、装置及介质
技术领域
1.本发明涉及互联网技术领域，特别是涉及一种基于zabbix的ddos流量处理方法、装置及介质。


背景技术：

2.随着信息网络的发展，网络攻击手段也越来越多，其中分布式拒绝服务(distributed denial of service，ddos)流量攻击依旧是一种比较简便有效的攻击手段。
3.通过ddos大流量攻击对正常流量造成冲击，堵塞网络通道造成用户大面积断网失去服务，对于攻击流量完全封堵会造成一定的影响，甚至对于服务器的持续性攻击导致整个服务器宕机。
4.因此，寻求一种对ddos流量数据的处理方法是本领域技术人员亟需要解决的。


技术实现要素：

5.本发明的目的是提供一种基于zabbix的ddos流量处理方法、装置及介质，防止出现攻击对web服务造成重大影响的时候才可以被感知到，同时利于预处理可以更有效的处理。
6.为解决上述技术问题，本发明提供一种基于zabbix的ddos流量处理方法，包括：
7.获取各带宽的流量数据；
8.根据各所述带宽的所述流量数据与流量阈值的关系确定所述流量数据的异常结果，其中所述流量阈值的数量与所述带宽的数量相同；
9.当所述异常结果对应的所述流量数据满足预设条件时，启动满足所述预设条件对应的防御策略，其中所述预设条件至少为一个。
10.优选地，所述流量阈值的确定过程，包括：
11.根据各所述带宽以及各所述带宽的所述流量数据确定对应的流量基准线；
12.在各流量基准线的基础上增加预设步长得到对应的所述流量阈值。
13.优选地，所述根据各所述带宽的所述流量数据与流量阈值的关系确定所述流量数据的异常结果，包括：
14.判断当前流量数据是否超出所述当前流量数据所属的当前带宽的所述流量阈值；
15.若是，则确定所述当前流量数据的异常结果为异常数据；
16.或者，将所述异常结果判定为初始异常结果；
17.获取上一个当前流量数据；
18.将所述当前流量数据与上一个所述当前流量数据的数据量作差处理得到数据量差值；
19.判断所述数据量差值是否大于所述预设差值；
20.若是，则确定所述初始异常结果正确；
21.若否，则确定所述初始异常结果存在异常情况。
22.优选地，所述预设条件的数量为一个，所述预设条件为所述异常结果为所述异常数据和/或存在所述异常情况时，所述当所述异常结果对应的所述流量数据满足预设条件时，启动满足所述预设条件对应的防御策略，包括：
23.判断所述异常结果是否为所述异常数据和/或所述异常情况；
24.若是，则确定流量数据满足所述预设条件；
25.触发预先存储的防御脚本，开启防火墙模式。
26.优选地，所述预设条件的数量为一个，所述预设条件为所述流量数据的数据量大于预设数据量，所述当所述异常结果对应的所述流量数据满足预设条件时，启动满足所述预设条件对应的防御策略，包括：
27.根据数据量对各所述带宽的所述流量数据排序；
28.判断排序后的所述流量数据的数据量是否大于所述预设数量；
29.若是，则确定所述流量数据满足所述预设条件；
30.按照所述预设数量筛选对应的所述流量数据作为目标流量数据；
31.对所述目标流量数据启动防ddos策略，其中所述防ddos策略为拉黑封禁的防护策略。
32.优选地，所述预设条件的数量为两个，所述预设条件包括第一预设条件和第二预设条件，所述第一预设条件为所述异常结果为所述异常数据和/或存在所述异常情况，所述第二预设条件为所述流量数据的数据量大于预设数据量，所述当所述异常结果对应的所述流量数据满足预设条件时，启动满足所述预设条件对应的防御策略，包括：
33.判断所述异常结果是否为所述异常数据和/或所述异常情况；
34.若是，则确定流量数据满足所述预设条件；
35.触发预先存储的防御脚本，开启防火墙模式；
36.根据数据量对各所述带宽的所述流量数据排序；
37.判断排序后的所述流量数据的数据量是否大于所述预设数量；
38.若是，则确定所述流量数据满足所述预设条件；
39.按照所述预设数量筛选对应的所述流量数据作为目标流量数据；
40.对所述目标流量数据启动防ddos策略，其中所述防ddos策略为拉黑封禁的防护策略。
41.优选地，在所述启动满足所述预设条件对应的防御策略之后，还包括：
42.触发告警模式，输出告警信息以便于工作人员进行人工复核。
43.为解决上述技术问题，本发明还提供一种基于zabbix的ddos流量处理装置，包括：
44.获取模块，用于获取各带宽的流量数据；
45.确定模块，用于根据各所述带宽的所述流量数据与流量阈值的关系确定所述流量数据的异常结果，其中所述流量阈值的数量与所述带宽的数量相同；
46.启动模块，用于当所述异常结果对应的所述流量数据满足预设条件时，启动满足所述预设条件对应的防御策略，其中所述预设条件至少为一个。
47.为解决上述技术问题，本发明还提供一种基于zabbix的ddos流量处理装置，包括：
48.存储器，用于存储计算机程序；
49.处理器，用于执行所述计算机程序时实现如上述所述的基于zabbix的ddos流量处
理方法的步骤。
50.为解决上述技术问题，本发明还提供一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现如上述所述的基于zabbix的ddos流量处理方法的步骤。
51.本发明提供的一种基于zabbix的ddos流量处理方法，包括：获取各带宽的流量数据；根据各带宽的流量数据与流量阈值的关系确定流量数据的异常结果，其中流量阈值的数量与带宽的数量相同；当异常结果对应的流量数据满足预设条件时，启动满足预设条件对应的防御策略，其中预设条件至少为一个。该方法基于zabbix监控ddos流量数据，当流量数据与流量阈值的关系确定异常结果，在满足预设条件时，也就是在遭受ddos流量攻击时进行干预，启动对应的防御策略，利用监控更为快速合理的监控web服务的异常，防止出现攻击对web服务造成重大影响的时候才可以被感知到，同时利用预处理可以更有效的处理，在响应应急的过程中已经开始处理，大大减少干预时间，同时可以利用多种方式同时进行处理。
52.另外，本发明还提供了一种基于zabbix的ddos流量处理装置及介质，具有如上述基于zabbix的ddos流量处理方法相同的有益效果。
附图说明
53.为了更清楚地说明本发明实施例，下面将对实施例中所需要使用的附图做简单的介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
54.图1为本发明实施例提供的一种基于zabbix的ddos流量处理方法的流程图；
55.图2为本发明实施例提供的另一种基于zabbix的ddos流量处理方法的应用示意图；
56.图3为本发明实施例提供的一种基于zabbix的ddos流量处理装置的结构图；
57.图4为本发明实施例提供的另一种基于zabbix的ddos流量处理装置的结构图。
具体实施方式
58.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下，所获得的所有其他实施例，都属于本发明保护范围。
59.本发明的核心是提供一种基于zabbix的ddos流量处理方法、装置及介质，防止出现攻击对web服务造成重大影响的时候才可以被感知到，同时利于预处理可以更有效的处理。
60.为了使本技术领域的人员更好地理解本发明方案，下面结合附图和具体实施方式对本发明作进一步的详细说明。
61.需要说明的是，本发明提供的基于zabbix的ddos流量处理方法，ddos攻击主要是对网际互连协议(internet protocol，ip)的攻击(四层攻击)，通过攻击者在一台计算机上注入主程序，在其他计算机植入代理程序，在指定的时间内主程序会向其他代理程序发送
攻击指令，然后向目标主机会送大量的无用数据包，占据带宽，造成阻塞，导致正常的数据报文无法得到响应，主机无法和外界进行通信，并且通过这样的攻击会造成服务器的中央处理器(central processing unit，cpu)负载过高导致服务器出现宕机。所以zabbix监控主要是对服务器四层流量的带宽，实时访问的数据源ip，用户数据报协议(user datagram protocol，udp)flood等ddos攻击方式的数据进行实时监控，当检测到这些信息大于预设阈值，触发预设防护脚本自动执行，使这些流量被阻断或对带宽进行一个限流处理，避免对服务器的持续攻击导致整个服务器宕机。
62.图1为本发明实施例提供的一种基于zabbix的ddos流量处理方法的流程图，如图1所示，包括：
63.s11：获取各带宽的流量数据；
64.s12：根据各带宽的流量数据与流量阈值的关系确定流量数据的异常结果，其中流量阈值的数量与带宽的数量相同；
65.s13：当异常结果对应的流量数据满足预设条件时，启动满足预设条件对应的防御策略，其中预设条件至少为一个。
66.可以理解的是，在获取流量数据之前，将web服务器安装开源的zabbix agent客户端进行监控服务器的实时情况，根据监控需要分为硬件监控和软件监控。由于流量数据是通过各带宽的不同，其流量数据的获取多少不同。故需要获取各带宽的流量数据，也就是出口承载的不同流量数据。
67.步骤s12中的根据不同带宽的流量数据与流量阈值的关系确定异常结果，也就是说，不同带宽的流量数据其流量阈值不同，最后确定的异常结果也不同，在此对异常结果的区分不作为本发明实施例的重点内容，可以根据实际情况设定，本发明针对确定的异常结果进行后续的分析。
68.作为一种实施例，流量阈值的确定过程，包括：
69.根据各带宽以及各带宽的流量数据确定对应的流量基准线；
70.在各流量基准线的基础上增加预设步长得到对应的流量阈值。
71.具体地，根据流量长久的监控运行数据和出口承载的最大流量数据进行评估流量基准线，即根据各带宽以及各带宽的流量数据确定其对应的流量基准线。通过在各流量基准线的基础上增加预设步长得到对应的流量阈值，预设步长可以相同，也可以不同，不同的情况可以根据其带宽的流量数据设定，一般情况下，在各流量基准线的基础上增加10％-20％作为流量阈值。设定的流量阈值的数量与带宽数量相同，其具体的流量阈值对应上述中提到的，可以相同，也可以不同，在此不做限定。
72.在确定好流量阈值后，进行设置触发器，通过zabbix内置触发器确定其流量数据的异常结果，可以理解的是，异常结果的确定方式可以存在一种或多种，根据实际情况设定。作为一种优选方式，根据各带宽的流量数据与流量阈值的关系确定流量数据的异常结果，包括：
73.判断当前流量数据是否超出当前流量数据所属的当前带宽的流量阈值；
74.若是，则确定当前流量数据的异常结果为异常数据；
75.或者，将异常结果判定为初始异常结果；
76.获取上一个当前流量数据；
77.将当前流量数据与上一个当前流量数据的数据量作差处理得到数据量差值；
78.判断数据量差值是否大于预设差值；
79.若是，则确定初始异常结果正确；
80.若否，则确定初始异常结果存在异常情况。
81.具体地，判断当前流量数据是否超出对应的流量阈值，若是，则确定该流量数据为异常，在上述确定的基础上，加入另一种确定过程，将该判定结果为初始异常结果，获取上一个当前流量数据，可以理解的是，监控过程根据预设时间设定，例如间隔1s获取流量数据，也就是获取上1s的流量数据与当前流量数据作差处理得到一个差值数据，即数据量差值。
82.判断当前数据量差值是否大于预设差值，若是，则确定获取的两次流量数据差值较大，存在不稳定情况，则确当上一个判定过程判定正确。若不是，则确定两种判定过程的判定结果不一致，存在判定结果异常，即存在异常情况。
83.当异常结果对应的流量数据满足预设条件时，启动满足预设条件对应的防御策略，可以理解的是，由于预设条件可以存在一个或多个，在此对应的防御策略根据预设条件的不同其对应不同。例如，预设条件为第一预设条件和/或第二预设条件等。
84.现有的防止ddos攻击的方式都是单一干预，在开始遭受攻击的时候无法第一时间干预，无法确定攻击，在受到攻击之后造成一定影响的情况下才开始进行干预，利用监控可以第一时间知道流量的变化，然后进行预处理，对用户使用造成的影响最小，同时利用监控联动ddos攻击防御，减少干预时间。
85.针对预设条件的不同其对应的防御策略不同，在此不做限定，可以根据实际情况设定进行实际的干预。
86.本发明实施例提供的一种基于zabbix的ddos流量处理方法，包括：获取各带宽的流量数据；根据各带宽的流量数据与流量阈值的关系确定流量数据的异常结果，其中流量阈值的数量与带宽的数量相同；当异常结果对应的流量数据满足预设条件时，启动满足预设条件对应的防御策略，其中预设条件至少为一个。该方法基于zabbix监控ddos流量数据，当流量数据与流量阈值的关系确定异常结果，在满足预设条件时，也就是在遭受ddos流量攻击时进行干预，启动对应的防御策略，利用监控更为快速合理的监控web服务的异常，防止出现攻击对web服务造成重大影响的时候才可以被感知到，同时利用预处理可以更有效的处理，在响应应急的过程中已经开始处理，大大减少干预时间，同时可以利用多种方式同时进行处理。
87.在上述实施例的基础上，针对预设条件的不同情况进行说明，预设条件的数量为一个，预设条件为异常结果为异常数据和/或存在异常情况时，当异常结果对应的流量数据满足预设条件时，启动满足预设条件对应的防御策略，包括：
88.判断异常结果是否为异常数据和/或异常情况；
89.若是，则确定流量数据满足预设条件；
90.触发预先存储的防御脚本，开启防火墙模式。
91.可以理解的是，由于判定异常结果的方式可以存在一种或多种，故其预设条件为异常结果为异常数据和/或存在异常情况。需要说明的是，异常数据是针对异常结果仅为一种实施例构成的情况，异常情况是在一种实施例的基础上加入另一种实施例确定的异常数
据的判定结果不一致导致存在的异常情况。预设条件针对上述两种情况均可。
92.判断异常结果是否为异常数据和/或异常情况，若是，则确定流量数据满足预设条件。进而利用zabbix_agent在web服务器执行命令行操作命令开启防御脚本，打开防火墙。
93.作为一种实施例方式，其预设条件不同，预设条件的数量为一个，预设条件为流量数据的数据量大于预设数据量，当异常结果对应的流量数据满足预设条件时，启动满足预设条件对应的防御策略，包括：
94.根据数据量对各带宽的流量数据排序；
95.判断排序后的流量数据的数据量是否大于预设数量；
96.若是，则确定流量数据满足预设条件；
97.按照预设数量筛选对应的流量数据作为目标流量数据；
98.对目标流量数据启动防ddos策略，其中防ddos策略为拉黑封禁的防护策略。
99.具体地，加入人工核验过程，将获取到的流量数据做统计和排序，根据数据量对各带宽的流量数据进行排序，判断排序后的流量数据的数据量是否大于预设数量，若是，则满足预设条件。对应地，将排名靠前的流量数据开启防御策略，其防御策略为防ddos设置将其拉黑封禁进行初步防护。或者，利用agent端调用程序命令的形式在ddos等设备上开启严格的规则防护。
100.可以理解的是，流量数据的获取途径可以根据不同的应用集设定，监控项不同，故排序的依据可以是监控项的数量或者其他时间顺序等，在此不做限定。
101.作为另一种实施方式，预设条件包括两个，即将上述两种情况对应的预设条件结合，预设条件的数量为两个，预设条件包括第一预设条件和第二预设条件，第一预设条件为异常结果为异常数据和/或存在异常情况，第二预设条件为流量数据的数据量大于预设数据量，当异常结果对应的流量数据满足预设条件时，启动满足预设条件对应的防御策略，包括：
102.判断异常结果是否为异常数据和/或异常情况；
103.若是，则确定流量数据满足预设条件；
104.触发预先存储的防御脚本，开启防火墙模式；
105.根据数据量对各带宽的流量数据排序；
106.判断排序后的流量数据的数据量是否大于预设数量；
107.若是，则确定流量数据满足预设条件；
108.按照预设数量筛选对应的流量数据作为目标流量数据；
109.对目标流量数据启动防ddos策略，其中防ddos策略为拉黑封禁的防护策略。
110.具体地，在第一预设条件满足的情况下，进行第二预设条件的设定，若满足两种预设条件，即开启两次不同的防御策略，增加安全和准确性。对应的第一预设条件和第二预设条件开启的防御策略在此不做详细说明，参考上述实施例即可。
111.本实施例提供的当异常结果对应的流量数据满足预设条件时，启动满足预设条件对应的防御策略的过程，在满足预设条件时，也就是在遭受ddos流量攻击时进行干预，启动对应的防御策略，利用监控更为快速合理的监控web服务的异常，防止出现攻击对web服务造成重大影响的时候才可以被感知到，同时利于预处理可以更有效的处理，在响应应急的过程中已经开始处理，大大减少干预时间，同时可以利用多种方式同时进行处理。
112.在上述实施例的基础上，在启动满足预设条件对应的防御策略之后，还包括：
113.触发告警模式，输出告警信息以便于工作人员进行人工复核。
114.具体地，触发告警模式，利用在zabbix服务端增加的短信接口和语音接口将详细攻击详情发送给预设用户，用户在收到相关攻击详情和处理详情后进项标记检查，检查过程中进一步加固系统安全，检查防护是否生效。可以理解的是，告警信息还可以通过邮件发送至预设用户，在此不做限定，对于告警信息的内容以及输出方式不做限定。
115.本实施例提供的触发告警模式，输出告警信息，便于工作人员复核，进一步加固系统安全。
116.图2为本发明实施例提供的另一种基于zabbix的ddos流量处理方法的应用示意图，如图2所示，通过zabbix监控平台监控，当超过阈值时执行动作指令，发送命令行到主机设备，再通过主机设备发送至安全设备和web服务器，安全设备通过接收动作指令，切换安全防御模式，提高安全防御等级。web服务器通过接收动作指令，执行防御脚本，执行异常访问拉黑程序。在安全设备和web服务器处理完后生成反馈结果返回至zabbix监控平台。在执行动作的过程中，告警通知至管理员，管理员执行人工复核至安全设备和web服务器。
117.对于本发明提供的另一种基于zabbix的ddos流量处理方法的介绍请参照上述方法实施例，本发明在此不再赘述，其具有上述基于zabbix的ddos流量处理方法相同的有益效果。
118.上述详细描述了基于zabbix的ddos流量处理方法对应的各个实施例，在此基础上，本发明还公开与上述方法对应的基于zabbix的ddos流量处理装置，图3为本发明实施例提供的一种基于zabbix的ddos流量处理装置的结构图。如图3所示，基于zabbix的ddos流量处理装置包括：
119.获取模块11，用于获取各带宽的流量数据；
120.确定模块12，用于根据各带宽的流量数据与流量阈值的关系确定流量数据的异常结果，其中流量阈值的数量与带宽的数量相同；
121.启动模块13，用于当异常结果对应的流量数据满足预设条件时，启动满足预设条件对应的防御策略，其中预设条件至少为一个。
122.由于装置部分的实施例与上述的实施例相互对应，因此装置部分的实施例请参照上述方法部分的实施例描述，在此不再赘述。
123.对于本发明提供的一种基于zabbix的ddos流量处理装置的介绍请参照上述方法实施例，本发明在此不再赘述，其具有上述基于zabbix的ddos流量处理方法相同的有益效果。
124.图4为本发明实施例提供的另一种基于zabbix的ddos流量处理装置的结构图，如图4所示，该装置包括：
125.存储器21，用于存储计算机程序；
126.处理器22，用于执行计算机程序时实现基于zabbix的ddos流量处理方法的步骤。
127.本实施例提供的基于zabbix的ddos流量处理装置可以包括但不限于智能手机、平板电脑、笔记本电脑或者台式电脑等。
128.其中，处理器22可以包括一个或多个处理核心，比如4核心处理器、8核心处理器等。处理器22可以采用数字信号处理器(digital signal processor，dsp)、现场可编程门
阵列(field－programmable gate array，fpga)、可编程逻辑阵列(programmable logic array，pla)中的至少一种硬件形式来实现。处理器22也可以包括主处理器和协处理器，主处理器是用于对在唤醒状态下的数据进行处理的处理器，也称cpu；协处理器是用于对在待机状态下的数据进行处理的低功耗处理器。在一些实施例中，处理器22可以集成有图像处理器(graphics processing unit，gpu)，gpu用于负责显示屏所需要显示的内容的渲染和绘制。一些实施例中，处理器22还可以包括人工智能(artificial intelligence，ai)处理器，该ai处理器用于处理有关机器学习的计算操作。
129.存储器21可以包括一个或多个计算机可读存储介质，该计算机可读存储介质可以是非暂态的。存储器21还可包括高速随机存取存储器，以及非易失性存储器，比如一个或多个磁盘存储设备、闪存存储设备。本实施例中，存储器21至少用于存储以下计算机程序211，其中，该计算机程序被处理器22加载并执行之后，能够实现前述任一实施例公开的基于zabbix的ddos流量处理方法的相关步骤。另外，存储器21所存储的资源还可以包括操作系统212和数据213等，存储方式可以是短暂存储或者永久存储。其中，操作系统212可以包括windows、unix、linux等。数据213可以包括但不限于基于zabbix的ddos流量处理方法所涉及到的数据等等。
130.在一些实施例中，基于zabbix的ddos流量处理装置还可包括有显示屏23、输入输出接口24、通信接口25、电源26以及通信总线27。
131.领域技术人员可以理解，图3中示出的结构并不构成对基于zabbix的ddos流量处理装置的限定，可以包括比图示更多或更少的组件。
132.处理器22通过调用存储于存储器21中的指令以实现上述任一实施例所提供的基于zabbix的ddos流量处理方法。
133.对于本发明提供的一种基于zabbix的ddos流量处理装置的介绍请参照上述方法实施例，本发明在此不再赘述，其具有上述基于zabbix的ddos流量处理方法相同的有益效果。
134.进一步的，本发明还提供了一种计算机可读存储介质，计算机可读存储介质上存储有计算机程序，计算机程序被处理器22执行时实现如上述基于zabbix的ddos流量处理方法的步骤。
135.可以理解的是，如果上述实施例中的方法以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(read-only memory，rom)、随机存取存储器(random access memory，ram)、磁碟或者光盘等各种可以存储程序代码的介质。
136.对于本发明提供的一种计算机可读存储介质的介绍请参照上述方法实施例，本发明在此不再赘述，其具有上述基于zabbix的ddos流量处理方法相同的有益效果。
137.以上对本发明所提供的一种基于zabbix的ddos流量处理方法、基于zabbix的ddos流量处理装置及介质进行了详细介绍。说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即
可。对于实施例公开的装置而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以对本发明进行若干改进和修饰，这些改进和修饰也落入本发明权利要求的保护范围内。
138.还需要说明的是，在本说明书中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。