本技术涉及网络安全领域,尤其涉及一种流量清洗设备的调度方法、系统、设备及存储介质。
背景技术:
1、随着互联网的不断发展,各领域的业务运营对互联网的依赖性逐渐增高,然而,网络安全环境日益恶化,大规模的分布式拒绝服务(distributed denial-of-service,ddos)攻击时常发生,对于ddos攻击的防护主要依赖于部署在骨干网中的流量清洗设备针对攻击流量的清洗。
2、相关技术中,当ddos攻击防护系统监测到目标资源受到ddos攻击时,ddos攻击防护系统向遭受ddos攻击的目标资源所在区域的流量清洗设备下发引流指令,流量清洗设备接收到引流指令后,将遭受ddos攻击的目标资源上的攻击流量引入到该流量清洗设备上,以进行流量清洗,达到过滤掉攻击流量的目的,并将清洗后正常访问业务的流量回注到目标资源。但该方式仍存在无法满足ddos攻击流量的清洗要求。
技术实现思路
1、本技术提供一种流量清洗设备的调度方法、系统、设备及存储介质,用以解决无法满足ddos攻击流量的清洗要求的技术问题。
2、第一方面,本技术提供一种流量清洗设备的调度方法,应用于流量清洗设备的调度系统,调度系统用于集中调控部署在不同区域的多个流量清洗设备,调度系统与攻击监测系统对接,攻击监测系统用于监测目标资源是否受到ddos攻击,并在攻击流量值大于设定阈值时,向调度系统发送清洗任务;
3、流量清洗设备的调度方法包括:
4、响应接收到清洗任务,获取针对目标资源的攻击流量值;
5、确定攻击流量值是否满足流量清洗设备动态调度条件,所述流量清洗设备动态调度条件包括攻击流量值大于目标资源所在区域的第一流量清洗设备的清洗能力上限;
6、在满足流量清洗设备动态调度条件时,在多个流量清洗设备中确定第二流量清洗设备,第二流量清洗设备与第一流量清洗设备的部署区域不同;
7、向第一流量清洗设备和第二流量清洗设备发送清洗指令,清洗指令用于指示针对目标资源的攻击流量进行清洗。
8、在一种可能的实施方式中,在多个流量清洗设备中确定第二流量清洗设备,包括:
9、确定目标资源所在位置信息;
10、基于调度系统中预配置的流量清洗设备分布拓扑图,以位置信息为起点,通过启发式搜索算法确定不同区域中距离第一流量清洗设备最近的至少一个区域,流量清洗设备分布拓扑图用于反映多个流量清洗设备的位置关系;
11、基于流量清洗设备分布拓扑图,在至少一个区域中,通过最短路径搜索算法确定距离第一流量清洗设备最近的流量清洗设备为第二流量清洗设备。
12、在一种可能的实施方式中,在多个流量清洗设备中确定第二流量清洗设备之前,还包括:
13、确定目标资源是否为跨区域资源;
14、对应地,在目标资源为跨区域资源时,目标资源对应的至少两个区域包括第一区域和第二区域,流量清洗设备动态调度条件还包括:第一区域的攻击流量值大于第一区域中的第一流量清洗设备的清洗能力上限,第二区域的攻击流量值小于第二区域中的第一流量清洗设备的清洗能力上限;在多个流量清洗设备中确定第二流量清洗设备,包括:
15、基于流量清洗设备分布拓扑图,在多个流量清洗设备中,根据第二区域中部署的流量清洗设备,确定第二流量清洗设备。
16、在一种可能的实施方式中,根据第二区域中部署的流量清洗设备,确定第二流量清洗设备,包括:
17、获取第二区域中部署的流量清洗设备的清洗能力;
18、确定第一区域的攻击流量值与第一区域中的第一流量清洗设备的清洗能力上限的差值;
19、基于第二区域中部署的流量清洗设备的清洗能力,确定可清理上述差值的攻击流量的流量清洗设备为第二流量清洗设备。
20、在一种可能的实施方式中,还包括:
21、在不满足流量清洗设备动态调度条件时,向第一流量清洗设备发送清洗指令。
22、第二方面,本技术提供一种流量清洗设备的调度系统,调度系统用于集中调控部署在不同区域的多个流量清洗设备,调度系统与攻击监测系统对接,攻击监测系统用于监测目标资源是否受到ddos攻击,并在攻击流量值大于设定阈值时,向调度系统发送清洗任务;
23、流量清洗设备的调度系统包括:
24、接收模块,用于响应接收到清洗任务,获取针对目标资源的攻击流量值;
25、确定模块,用于确定攻击流量值是否满足流量清洗设备动态调度条件,流量清洗设备动态调度条件包括攻击流量值大于目标资源所在区域的第一流量清洗设备的清洗能力上限;以及,在满足流量清洗设备动态调度条件时,在多个流量清洗设备中确定第二流量清洗设备,第二流量清洗设备与第一流量清洗设备的部署区域不同;
26、发送模块,用于向第一流量清洗设备和第二流量清洗设备发送清洗指令,清洗指令用于指示针对目标资源的攻击流量进行清洗。
27、在一种可能的实施方式中,确定模块具体用于:确定目标资源所在位置信息;基于调度系统中预配置的流量清洗设备分布拓扑图,以位置信息为起点,通过启发式搜索算法确定不同区域中距离第一流量清洗设备最近的至少一个区域,流量清洗设备分布拓扑图用于反映多个流量清洗设备的位置关系;基于流量清洗设备分布拓扑图,在至少一个区域中,通过最短路径搜索算法确定距离第一流量清洗设备最近的流量清洗设备为第二流量清洗设备。
28、在一种可能的实施方式中,确定模块还用于:在多个流量清洗设备中确定第二流量清洗设备之前,确定目标资源是否为跨区域资源;对应地,在目标资源为跨区域资源时,目标资源对应的至少两个区域包括第一区域和第二区域,流量清洗设备动态调度条件还包括:第一区域的攻击流量值大于第一区域中的第一流量清洗设备的清洗能力上限,第二区域的攻击流量值小于第二区域中的第一流量清洗设备的清洗能力上限;基于流量清洗设备分布拓扑图,在多个流量清洗设备中,根据第二区域中部署的流量清洗设备,确定第二流量清洗设备。
29、在一种可能的实施方式中,确定模块还用于:获取第二区域中部署的流量清洗设备的清洗能力;确定第一区域的攻击流量值与第一区域中的第一流量清洗设备的清洗能力上限的差值;基于第二区域中部署的流量清洗设备的清洗能力,确定可清理上述差值的攻击流量的流量清洗设备为第二流量清洗设备。
30、在一种可能的实施方式中,发送模块还用于:在不满足流量清洗设备动态调度条件时,向第一流量清洗设备发送清洗指令。
31、第三方面,本技术提供一种流量清洗系统,包括:流量清洗设备的调度系统和攻击监测系统,调度系统与攻击监测系统对接,其中:
32、攻击监测系统,用于监测资源是否受到ddos攻击,并在攻击流量值大于设定阈值时,向调度系统发送清洗任务;
33、调度系统,用于集中调控部署在不同区域的多个流量清洗设备,并执行如第一方面任一项所述的方法。
34、第四方面,本技术提供一种电子设备,包括:处理器,以及与处理器通信连接的存储器;
35、存储器,用于存储计算机执行指令;
36、处理器,用于执行计算机执行指令,以实现如第一方面任一项所述的流量清洗设备的调度方法。
37、第五方面,本技术提供一种计算机可读存储介质,计算机可读存储介质中存储有计算机执行指令,计算机执行指令被执行时用于实现如第一方面任一项所述的流量清洗设备的调度方法。
38、第六方面,本技术提供一种计算机程序产品,计算机程序产品包含计算机执行指令,计算机执行指令被执行时用于实现如第一方面任一项所述的流量清洗设备的调度方法。
39、本技术提供的流量清洗设备的调度方法、系统、设备及存储介质,响应接收到监测系统下发的清洗任务,获取针对目标资源的攻击流量值,确定攻击流量值是否满足流量清洗设备动态调度条件,实现根据攻击流量值的大小对流量清洗任务进行分情况处理的目的;在满足流量清洗设备动态调度条件时,在多个流量清洗设备中确定第二流量清洗设备,第二流量清洗设备与第一流量清洗设备的部署区域不同,向第一流量清洗设备和第二流量清洗设备发送清洗指令。在满足流量清洗设备动态调度条件时,及时调用其他区域的流量清洗设备进行针对目标资源上攻击流量的清洗,提高攻击流量的清洗速度,同时改善攻击流量的清洗质量,进而提升攻击流量的清洗效率,在一定程度上满足ddos攻击流量的清洗要求。另外,在满足流量清洗设备动态调度条件时,自动调用其他区域的流量清洗设备参与针对目标资源的清洗任务,实现了自动化调度的功能,相比人工调度的方式,防护响应快、运维难度和成本低。