一種流量清洗管理方法及裝置與流程
2023-06-14 22:32:51
本發明涉及通信領域,尤其涉及一種流量清洗管理方法及裝置。
背景技術:
分布式拒絕服務(英文全稱:Distributed Denial of Service,英文簡稱:DDoS)攻擊是目前網際網路中最常見攻擊形式之一。DDoS攻擊是指藉助於客戶/伺服器技術,將多個計算機聯合起來作為攻擊平臺,對一個或多個目標發動攻擊,DDoS攻擊可以成倍地增加拒絕服務攻擊的威力。
目前在實際應用中一般採用流量清洗的方式來對DDoS攻擊進行防護,具體的,可以將異常流量從原始網絡路徑中流量牽引到流量清洗設備上,由流量清洗設備對異常流量進行清洗後將經過處理的合法流量轉發給目標系統。其中,在部署流量清洗設備時,為了提高流量清洗的效率,可以在靠近被保護目標的地方部署本地流量清洗設備,同時在靠近攻擊源的多個骨幹網節點處部署骨幹網流量清洗設備,由本地網流量清洗設備負責清洗本地網內部的異常流量以及從骨幹網遺漏到本地網的異常流量,由骨幹網清洗設備清洗部署在骨幹網上的流量監測系統發現的異常流量。
上述技術方案雖然能夠提高清洗異常流量的效率,但在流量清洗過程中,同一臺流量清洗設備所清洗的流量往往對應不同的用戶,其中一部分高要求用戶對流量的時效性與可靠性要求較高,需要流量清洗設備在進行流量清洗時優先處理該部分高要求用戶對應的流量,而在現有的流量清洗方法中,上遊路由器至流量清洗設備的鏈路帶寬即引流帶寬為所有用戶共用,當流量清洗設備需要清洗的流量較大時會導致引流帶寬不足,導致高要求用戶與其他用戶的流量均無法及時進行清洗,從而損害了高要求用戶流量清洗的時效性與可靠性,並損害了高要求用戶的用戶體驗。
技術實現要素:
本申請提供一種流量清洗管理方法及裝置,能夠解決現有技術中當需要清洗的流量較大時無法對高要求用戶的流量進行及時清洗的問題。
第一方面,本發明的實施例提供了一種流量清洗管理方法,包括:當確定清洗節點所清洗的異常流量超過第一流量閾值時,獲取清洗節點所清洗的異常流量對應的防護對象,並在清洗節點所清洗的異常流量對應的防護對象中確定等候處置防護對象,等候處置防護對象對應的清洗節點所清洗的異常流量超過第二流量閾值;獲取等候處置防護對象對應的近源清洗節點,近源清洗節點為最接近等候處置防護對象對應的清洗節點所清洗的異常流量的源端的清洗節點;根據防護對象的優先級對等候處置防護對象進行排序;依次控制排序後的等候處置防護對象對應的異常流量的近源清洗節點對排序後的等候處置防護對象對應的異常流量進行清洗。
第二方面,本發明的實施例提供了一種流量清洗管理裝置,包括:檢測模塊,被配置為當確定清洗節點所清洗的異常流量超過第一流量閾值時,獲取清洗節點所清洗的異常流量對應的防護對象,並在清洗節點所清洗的異常流量對應的防護對象中確定等候處置防護對象,等候處置防護對象對應的清洗節點所清洗的異常流量超過第二流量閾值;獲取等候處置防護對象對應的近源清洗節點,近源清洗節點為最接近等候處置防護對象對應的清洗節點所清洗的異常流量的源端的清洗節點;控制模塊,被配置為根據防護對象的優先級對等候處置防護對象進行排序;依次控制排序後的等候處置防護對象對應的異常流量的近源清洗節點對排序後的等候處置防護對象對應的異常流量進行清洗。
本發明實施例提供的一種流量清洗管理方法及裝置,通過在確定清洗節點所清洗的異常流量超過第一流量閾值時,獲取該清洗節點上所清洗的異常流量的防護對象,並確定其中對應的異常流量較多的防護對象即等候處置防護對象,其中可以認為等候處置防護對象為對該清洗節點上異常流量清洗效果造成較大影響的防護對象,之後獲取異常流量的近源清洗節點即最接近異常流量源端的清洗節點,其中異常流量的近源清洗節點可以認為是在由額外的清洗節點對異常流量進行清洗時,能夠最大程度減少流量清洗對骨幹網及近目的清洗節點帶來的影響的清洗節點,之後根據等候處置防護對象的優先級對等候處置防護對象進行排序,並依次控制排序後的等候處置防護對象對應異常流量的近源清洗節點對排序後的等候處置防護對象對應異常流量進行清洗,從而能夠優先控制高要求或高優先級防護對象對應的異常流量的近源清洗節點對該部分異常流量進行清洗。本發明的實施例所提供的流量清洗管理方法能夠在流量清洗節點進行流量清洗的壓力較大時,在不損害該流量清洗節點以及其他流量清洗節點上流量清洗效果的前提下,由其他流量清洗節點對該流量清洗節點上優先級較高防護對象對應的異常流量及時進行清洗,並且能夠最大程度減少流量清洗對骨幹網及近目的清洗節點帶來的影響,從而在保證流量清洗效果的前提下提高高要求用戶流量清洗的時效性與可靠性,提高了整個清洗系統的使用效率,並且改善了用戶體驗。
附圖說明
為了更清楚地說明本發明實施例或現有技術中的技術方案,下面將對實施例描述中所需要使用的附圖作簡單地介紹,顯而易見地,下面描述中的附圖僅僅是本發明的一些實施例,對於本領域普通技術人員來講,在不付出創造性勞動的前提下,還可以根據這些附圖獲得其他的附圖。
圖1為本發明的實施例所提供的一種流量清洗系統的架構的示意性結構圖;
圖2為本發明的實施例所提供的一種流量清洗管理方法的示意性流程圖;
圖3為本發明的另一實施例所提供的一種流量清洗管理方法的示意性流程圖;
圖4為本發明的實施例所提供的一種流量清洗管理裝置的示意性結構圖。
具體實施方式
下面將結合本發明實施例中的附圖,對本發明實施例中的技術方案進行清楚、完整地描述,顯然,所描述的實施例僅僅是本發明一部分實施例,而不是全部的實施例。基於本發明中的實施例,本領域普通技術人員在沒有做出創造性勞動前提下所獲得的所有其他實施例,都屬於本發明保護的範圍。
為了便於清楚描述本發明實施例的技術方案,在本發明的實施例中,採用了「第一」、「第二」等字樣對功能和作用基本相同的相同項或相似項進行區分,本領域技術人員可以理解「第一」、「第二」等字樣並不是在對數量和執行次序進行限定。
由於DDoS攻擊會極大影響用戶的用戶體驗,在實際使用中,通常採用流量清洗的方式來對DDoS攻擊進行防護。目前流量清洗一般由流量清洗設備進行,在網絡中可以稱為流量清洗節點。
如附圖1所示,本發明的實施例提供了一種流量清洗系統的架構,其中流量清洗節點101可以部署在骨幹網102(具體可以部署在骨幹網邊界路由器106相鄰的位置)、省網匯聚路由器103相鄰位置或城域網104的出口位置,其中當流量清洗節點101部署在骨幹網102時,具體的流量清洗節點101可以部署與骨幹網邊界路由器106相鄰的位置,此時流量清洗節點101可以覆蓋與流量清洗節點101對應的省網,其中省網可以包括一個或多個城域網;當流量清洗節點101部署在省網匯聚路由器103相鄰位置時,流量清洗節點101可以覆蓋通過省網匯聚路由器103接入骨幹網102的城域網,其中可以有一個或多個城域網通過同一個省網匯聚路由器103接入核心網;當流量清洗節點101部署在城域網104的出口位置時,具體的流量清洗節點101可以部署在與城域網核心路由器107相鄰的位置,此時流量清洗節點101可以覆蓋城域網104。
流量清洗節點101可以用於清洗包括DDoS攻擊流量的流量,部署在骨幹網102的骨幹網流量檢測系統108或部署在城域網103的城域網流量檢測系統105可以用於檢測DDoS攻擊流量。
具體的,當骨幹網流量檢測系統108或城域網流量檢測系統105檢測出網絡流量中可能具有DDoS攻擊流量時,通知流量清洗節點101並通過相應的路由器將異常流量從原始網絡路徑中流量牽引到流量清洗節點101上,由流量清洗節點101對異常流量進行識別和異常信息剝離,然後將經過處理的合法流量回注到原網絡中,並轉發給目標系統。
需要說明的是,在上述流量清洗系統中,骨幹網流量檢測系統108或城域網流量檢測系統105可以學習防護對象的在清洗節點覆蓋網絡的流量基線,當清洗節點覆蓋網絡中某一防護對象對應的異常流量高於流量基線時,可以認為該清洗節點需要對該防護對象的異常流量進行清洗。
由於城域網流量檢測系統105採集抽樣比與骨幹網流量檢測系統108抽樣比相比較低,因此當攻擊發生時,城域網流量檢測系統105應先檢測出發生攻擊,並產生告警至清洗節點101,清洗節點101獲取到告警後,觸發引流,並進行異常流量清洗。
在現有的技術方案中,當需要清洗的流量較大時,流量清洗節點無法及時對高要求用戶的流量進行清洗,從而損害了高要求用戶流量的時效性與可靠性,損害了用戶體驗。
為了解決上述問題,如附圖2所示,本發明的實施例提供了一種流量清洗管理方法,包括:
201、當確定清洗節點所清洗的異常流量超過第一流量閾值時,獲取清洗節點所清洗的異常流量對應的防護對象。
具體的,異常流量可以為包含DDoS攻擊流量的流量,該異常流量還可以包括正常工作流量。
第一流量閾值可以為流量的大小,當清洗節點所清洗的異常流量超過第一流量閾值時,清洗節點對異常流量的清洗效果可能會受到影響,因此需要其他清洗節點幫助該清洗節點對異常流量進行清洗。第一流量閾值可以為預先設置也可以為從其他裝置或系統中獲取。
進一步的,清洗節點所清洗的異常流量超過第一流量閾值也可以為清洗節點當前所清洗的異常流量與清洗節點的最大清洗帶寬(即清洗節點最大同時能夠清洗的流量)的比值大於相應的清洗節點清洗能力佔有率閾值,只要能夠確定當清洗節點所清洗的異常流量可能會對清洗節點的異常流量的清洗效果造成影響即可。
異常流量對應的防護對象是指該清洗節點所清洗的異常流量所對應的用戶,清洗節點對異常流量進行清洗時,當存在目的端為該用戶的異常流量時,清洗節點可以以用戶為單位對目的端為該用戶的異常流量進行清洗,進一步的,清洗節點可以以IP位址為單位對目的端為該用戶的異常流量進行清洗。
202、在清洗節點所清洗的異常流量對應的防護對象中確定等候處置防護對象。
其中,等候處置防護對象對應的異常流量超出第二流量閾值。
具體的,等候處置防護對象對應的異常流量超出第二流量閾值,是指異常流量對應的防護對象中所對應的異常流量較大的防護對象,由於等候處置防護對象對應的異常流量較大,可能會導致清洗節點在清洗全部異常流量時清洗效果受到影響。第二流量閾值可以為預先設置也可以為從其他裝置或系統中獲取。
優選的,可以在異常流量對應的防護對象中確定對應的異常流量最多的N個防護對象,並在該N個防護對象中確定等候處置防護對象。
203、獲取等候處置防護對象對應的近源清洗節點。
其中,近源清洗節點為最接近等候處置防護對象對應的清洗節點所清洗的異常流量的源端的清洗節點;
具體的,當等候處置防護對象對應的清洗節點所清洗的異常流量的源端所在的城域網的出口位置設置有清洗節點時,可以認為該清洗節點為近源清洗節點;當等候處置防護對象對應的清洗節點所清洗的異常流量的源端所在的城域網的出口位置未設置清洗節點,且等候處置防護對象對應的清洗節點所清洗的異常流量的源端所在的城域網通過省網匯聚路由器接入骨幹網,在該省網匯聚路由器相鄰位置設置有清洗節點時,可以認為該清洗節點為近源清洗節點;當等候處置防護對象對應的清洗節點所清洗的異常流量的源端所在的城域網的出口位置未設置清洗節點,且等候處置防護對象對應的清洗節點所清洗的異常流量的源端所在的城域網通過省網匯聚路由器接入骨幹網,該省網匯聚路由器相鄰位置也未設置清洗節點時,可以認為設置在骨幹網且距離該省網匯聚路由器最近的清洗節點為近源清洗節點;若等候處置防護對象對應的清洗節點所清洗的異常流量的源端所在的城域網直連骨幹網邊界節點(即沒有省網匯聚路由器),並且骨幹網的出口位置與城域網的出口位置均未設置清洗節點,那麼可以認為設置在骨幹網且距離該省網匯聚路由器最近的清洗節點為近源清洗節點。
當通過最接近等候處置防護對象對應的清洗節點所清洗的異常流量源端的清洗節點對相應的異常流量進行清洗時,能夠最大程度減少流量清洗對骨幹網及近目的端清洗節點的影響。
204、根據防護對象的優先級對等候處置防護對象進行排序。
具體的,防護對象的優先級是指清洗節點在清洗異常流量時,需要優先對目的端哪些用戶的異常流量進行清洗,防護對象為高要求用戶時,該防護對象的優先級較高。
根據防護對象的優先級對等候處置防護對象進行排序,可以根據等候處置防護對象的優先級,按照從高到低的順序對等候處置防護對象進行排序。
需要說明的是,當一個以上的防護對象的優先級相同時,可以根據防護對象對應的異常流量大小進行排序。
205、依次控制排序後的等候處置防護對象對應的異常流量的近源清洗節點對排序後的等候處置防護對象對應異常流量進行清洗。
具體的,依次控制排序後的等候處置防護對象對應異常流量的近源清洗節點對排序後的等候處置防護對象對應異常流量進行清洗,可以為按照等候處置防護對象的排序,確定按照上述排序當前所處理的等候處置防護對象,並進一步確定當前所處理的等候處置防護對象對應的異常流量,以及當前所處理的等候處置防護對象對應異常流量的近源清洗節點,並控制當前所處理的等候處置防護對象對應的異常流量的近源清洗節點對當前所處理的等候處置防護對象對應的異常流量進行清洗。
需要說明的是,由於所控制的等候處置防護對象對應的異常流量可能包括多個源端,並且該多個源端可能位於不同的區域,分別覆蓋該多個源端的近源清洗節點可能各不相同,因此所控制的等候處置防護對象對應的異常流量的近源清洗節點可能包括多個清洗節點。
本發明實施例提供的一種流量清洗管理方法,通過在確定清洗節點所清洗的異常流量超過第一流量閾值時,獲取該清洗節點上所清洗的異常流量的防護對象,並確定其中對應的異常流量較多的防護對象即等候處置防護對象,其中可以認為等候處置防護對象為對該清洗節點上異常流量清洗效果造成較大影響的防護對象,之後獲取異常流量的近源清洗節點即最接近異常流量源端的清洗節點,其中異常流量的近源清洗節點可以認為是在由額外的清洗節點對異常流量進行清洗時,能夠最大程度減少流量清洗對骨幹網及近目的清洗節點帶來的影響的清洗節點,之後根據等候處置防護對象的優先級對等候處置防護對象進行排序,並依次控制排序後的等候處置防護對象對應異常流量的近源清洗節點對排序後的等候處置防護對象對應異常流量進行清洗,從而能夠優先控制高要求或高優先級防護對象對應的異常流量的近源清洗節點對該部分異常流量進行清洗。本發明的實施例所提供的流量清洗管理方法能夠在流量清洗節點進行流量清洗的壓力較大時,在不損害該流量清洗節點以及其他流量清洗節點上流量清洗效果的前提下,由其他流量清洗節點對該流量清洗節點上優先級較高防護對象對應的異常流量及時進行清洗,並且能夠最大程度減少流量清洗對骨幹網及近目的清洗節點帶來的影響,從而在保證流量清洗效果的前提下提高高要求用戶流量清洗的時效性與可靠性,提高了整個清洗系統的使用效率,並且改善了用戶體驗。
如附圖3所示,本發明的實施例提供了一種流量清洗管理方法,包括:
301、當確定清洗節點所清洗的異常流量超過第一流量閾值時,獲取清洗節點所清洗的異常流量對應的防護對象。
302、在清洗節點所清洗的異常流量對應的防護對象中確定等候處置防護對象。
303、獲取等候處置防護對象對應的近源清洗節點。
304、根據防護對象的優先級對等候處置防護對象進行排序。
步驟301-304具體內容上述實施例中步驟201-204,在此不再贅述。
305、依次獲取近源區域、近源清洗節點的清洗能力與近源清洗節點的正在使用的清洗能力。
其中近源區域為排序後的等候處置防護對象對應的異常流量的近源清洗節點所覆蓋的區域,近源清洗節點的清洗能力為近源清洗節點能夠提供的最大清洗帶寬,近源清洗節點的正在使用的清洗能力為近源清洗節點正在使用的清洗流量的帶寬。
具體的,由於清洗節點可以覆蓋一個或多個城域網,因此近源區域可以為排序後的等候處置防護對象對應異常流量的近源清洗節點所覆蓋的一個或多個城域網。優選的,近源區域還可以為排序後的等候處置防護對象對應異常流量的近源清洗節點所在的AS自治域。
306、在排序後的等候處置防護對象對應的清洗節點所清洗的異常流量中確定近源區域異常流量。
其中近源區域異常流量為排序後的等候處置防護對象對應的清洗節點所正在清洗的異常流量中源端位於近源區域的異常流量。
具體的,由於異常流量的源端可能存在多個,因此在獲取近源區域後,可能獲取從位於該近源區域的源端發出的攻擊等候處置防護對象的異常流量,即近源區域異常流量,該近源區域異常流量可以由對應的近源清洗節點進行清洗。
307、當近源清洗節點的正在使用的清洗能力與近源區域異常流量之和與近源清洗節點的清洗能力的比值小於第一佔有率閾值時,控制近源清洗節點對近源區域異常流量進行清洗。
具體的,當近源清洗節點的正在使用的清洗能力與近源區域異常流量之和與近源清洗節點的清洗能力的比值小於第一佔有率閾值時,可以認為近源清洗節點處於空閒狀態的流量清洗能力足夠用於清洗近源區域異常流量,並且在近源清洗節點對近源區域異常流量進行清洗時,該近源清洗節點原先所進行的流量清洗工作不會受到影響,該近源清洗節點對近源區域異常流量進行流量清洗的效果也不會受到損害。
308、當近源清洗節點的正在使用的清洗能力與近源區域異常流量之和與近源清洗節點的清洗能力的比值大於或等於第一佔有率閾值時,獲取正在清洗防護對象。
其中正在清洗防護對象為近源清洗節點正在清洗的異常流量對應的防護對象。
具體的,近源清洗節點正在清洗的異常流量可以為對應的防護對象位於該近源清洗節點所覆蓋區域的異常流量(即作為近目的側正在清洗的流量),也可以為源端位於該近源清洗節點所覆蓋區域的異常流量,即可以同時進行近目的及近源的清洗。
309、根據防護對象的優先級從低到高對正在清洗防護對象進行排序。
需要說明的是,作為近目的端清洗的防護對象的優先級,可以默認高於近源端清洗防護對象的優先級。
310、控制近源清洗節點依次結束對排序後正在清洗防護對象對應異常流量的清洗。
具體的,由於近源清洗節點的流量清洗能力是有限的,當近源清洗節點的正在使用的清洗能力與近源區域異常流量之和與近源清洗節點的清洗能力的比值大於或等於第一佔有率閾值時,若仍需要該近源清洗節點清洗源端位於該近源清洗節點所覆蓋區域的異常流量,那麼流量清洗效果可能會受到影響。為了保證高要求用戶流量清洗的時效性與可靠性,可以控制近源清洗節點結束對優先級較低的防護對象對應異常流量的清洗,以便於能夠提供足夠的流量清洗能力清洗優先級較高的防護對象對應異常流量。
優選的,當控制近源清洗節點依次結束對排序後正在清洗防護對象對應異常流量的清洗時,結束某一優先級的防護對象的清洗後,若近源清洗節點的正在使用的清洗能力與近源區域異常流量之和與近源清洗節點的清洗能力的比值小於第一佔有率閾值,則不再控制近源清洗節點繼續依次結束對排序後正在清洗防護對象對應異常流量的清洗,並控制近源清洗節點對近源區域異常流量進行清洗。
優選的,也可以獲取預先設定的優先級閾值,該預先設定的優先級閾值可以為正在清洗的防護對象的優先級閾值,也可以為等候清洗的防護對象的優先級閾值,當正在清洗防護對象中存在低於該優先級閾值的防護對象時,結束該部分防護對象對應異常流量的清洗,若此時近源清洗節點的正在使用的清洗能力與近源區域異常流量之和與近源清洗節點的清洗能力的比值小於第一佔有率閾值,則控制近源清洗節點對近源區域異常流量中對應防護對象的優先級高於優先級閾值的異常流量進行清洗,從而在近源清洗節點流量清洗能力不足時優先結束較低優先級防護對象的異常流量清洗,直到近源清洗節點的流量清洗能力能夠滿足高優先級防護對象的異常流量清洗後,開啟對高優先級防護對象的異常流量清洗。
需要說明的是,當正在清洗防護對象中優先級低於預先設定的優先級閾值的防護對象所對應的流量清洗均被結束,但近源清洗節點的正在使用的清洗能力與近源區域異常流量之和與近源清洗節點的清洗能力的比值仍大於或等於第一佔有率閾值時,則不再對該近源清洗節點進行更多的調度,並將該防護對象作為該節點的等候處置防護對象,待到該近源清洗節點有清洗能力時,再進行調度。
更進一步的,當清洗節點的所有能夠開啟的近源清洗節點都開啟時,近目的清洗節點的清洗能力與近目的清洗節點的清洗能力的比值仍大於或等於第一佔有率閾值時,可以控制相應的防護對象所對應的近源清洗區域的路由設備觸發黑洞路由操作,將超出約定清洗閾值的近源區域異常流量引入黑洞,不再處理該部分異常流量。
311、確定近源區域異常流量中的攻擊流量與近源區域異常流量中的正常流量。
其中,異常流量中攻擊流量可以為DDoS攻擊流量。
312、當某防護對象近源區域異常流量中的攻擊流量與近源區域異常流量中的正常流量的比值小於清洗回注閾值時,控制近源清洗節點停止該防護對象在該近源區域異常流量進行清洗。
其中,清洗回注閾值可以為預先設置,也可以為從其他裝置或系統中獲取。
具體的,當某防護對象近源區域異常流量中的攻擊流量與近源區域異常流量中的正常流量的比值小於清洗回注閾值時,可以認為由位於該近源區域的源端針對該攻擊對象所發出的攻擊已經停止,可以停止由近源清洗節點對近源區域異常流量的清洗,以節省近源清洗節點的流量清洗資源。
優選的,還可以為當近源區域異常流量小於停止清洗閾值時,控制近源清洗節點停止對近源區域異常流量進行清洗。
313、當確定近源清洗節點結束對近源清洗節點某防護對象的正在使用的異常流量的的清洗時,獲取等候清洗防護對象。
其中等候清洗防護對象為等候近源清洗節點清洗的異常流量對應的防護對象。
314、根據防護對象的優先級對等候清洗防護對象進行排序。
315、控制近源清洗節點依次對排序後的等候清洗防護對象對應異常流量進行清洗。
具體的,當確定近源清洗節點結束對近源清洗節點的正在使用的清洗能力的清洗時,可以根據防護對象的優先級對等候清洗防護對象進行排序,並控制近源清洗節點依次對排序後的等候清洗防護對象對應異常流量進行清洗,從而達到優先清洗等候清洗防護對象中優先級較高防護對象對應異常流量,從而保證高優先級防護對象的異常流量清洗的時效性。如附圖4所示,本發明的實施例提供了一種流量清洗管理裝置401,具體的,該流量清洗管理裝置401可以設置在流量清洗集中管理調度平臺中,流量清洗集中管理調度平臺可以用於調度流量清洗節點對異常流量進行清洗,流量清洗管理裝置401包括:
檢測模塊402,被配置為當確定清洗節點所清洗的異常流量超過第一流量閾值時,獲取清洗節點所清洗的異常流量對應的防護對象,並在清洗節點所清洗的異常流量對應的防護對象中確定等候處置防護對象,等候處置防護對象對應的清洗節點所清洗的異常流量超過第二流量閾值。
具體的,異常流量可以為包含DDoS攻擊流量的流量,該異常流量還可以包括正常工作流量。
第一流量閾值可以為流量的大小,當清洗節點所清洗的異常流量超過第一流量閾值時,清洗節點對異常流量的清洗效果可能會受到影響,因此需要其他清洗節點幫助該清洗節點對異常流量進行清洗。第一流量閾值可以為預先設置也可以為從其他裝置或系統中獲取。
進一步的,清洗節點所清洗的異常流量超過第一流量閾值也可以為清洗節點當前所清洗的異常流量與清洗節點最多同時能夠清洗流量的比值大於相應的清洗節點清洗能力佔有率閾值,只要能夠確定當清洗節點所清洗的異常流量可能會對清洗節點的異常流量的清洗效果造成影響即可。
異常流量對應的防護對象是指該清洗節點所清洗的異常流量所對應的用戶,清洗節點對異常流量進行清洗時,當存在目的端為該用戶的異常流量時,清洗節點可以以用戶為單位對目的端為該用戶的異常流量進行清洗,進一步的,清洗節點可以以IP位址為單位對目的端為該用戶的異常流量進行清洗。
其中,等候處置防護對象對應的異常流量超出第二流量閾值。
具體的,等候處置防護對象對應的異常流量超出第二流量閾值,是指異常流量對應的防護對象中所對應的異常流量較大的防護對象,由於等候處置防護對象對應的異常流量較大,可能會導致清洗節點在清洗全部異常流量時清洗效果受到影響。第二流量閾值可以為預先設置也可以為從其他裝置或系統中獲取。
優選的,可以在異常流量對應的防護對象中確定對應的異常流量最多的N個防護對象,並在該N個防護對象中確定等候處置防護對象。
檢測模塊402,還被配置為獲取等候處置防護對象對應的近源清洗節點,近源清洗節點為最接近等候處置防護對象對應的清洗節點所清洗的異常流量的源端的清洗節點。
其中,近源清洗節點為最接近等候處置防護對象對應的清洗節點所清洗的異常流量的源端的清洗節點;
具體的,當等候處置防護對象對應的清洗節點所清洗的異常流量的源端所在的城域網的出口位置設置有清洗節點時,可以認為該清洗節點為近源清洗節點;當等候處置防護對象對應的清洗節點所清洗的異常流量的源端所在的城域網的出口位置未設置清洗節點,且等候處置防護對象對應的清洗節點所清洗的異常流量的源端所在的城域網通過省網匯聚路由器接入骨幹網,在該省網匯聚路由器相鄰位置設置有清洗節點時,可以認為該清洗節點為近源清洗節點;當等候處置防護對象對應的清洗節點所清洗的異常流量的源端所在的城域網的出口位置未設置清洗節點,且等候處置防護對象對應的清洗節點所清洗的異常流量的源端所在的城域網通過省網匯聚路由器接入骨幹網,該省網匯聚路由器相鄰位置也未設置清洗節點時,可以認為設置在骨幹網且距離該省網匯聚路由器最近的清洗節點為近源清洗節點;若等候處置防護對象對應的清洗節點所清洗的異常流量的源端所在的城域網直連骨幹網邊界節點(即沒有省網匯聚路由器),並且骨幹網的出口位置與城域網的出口位置均未設置清洗節點,那麼可以認為設置在骨幹網且距離該省網匯聚路由器最近的清洗節點為近源清洗節點。
當通過最接近等候處置防護對象對應的清洗節點所清洗的異常流量源端的清洗節點對相應的異常流量進行清洗時,能夠最大程度減少流量清洗對骨幹網及近目的端清洗節點的影響。
控制模塊403,被配置為根據防護對象的優先級對等候處置防護對象進行排序。並依次控制排序後的等候處置防護對象對應的異常流量的近源清洗節點對排序後的等候處置防護對象對應的異常流量進行清洗。
具體的,防護對象的優先級是指清洗節點在清洗異常流量時,需要優先對目的端為那些用戶的異常流量進行清洗,防護對象為高要求用戶時,該防護對象的優先級較高。
根據防護對象的優先級對等候處置防護對象進行排序,可以根據等候處置防護對象的優先級,按照從高到低的順序對等候處置防護對象進行排序。
需要說明的是,當一個以上的防護對象的優先級相同時,可以根據防護對象對應的異常流量大小進行排序。
具體的,依次控制排序後的等候處置防護對象對應異常流量的近源清洗節點對排序後的等候處置防護對象對應異常流量進行清洗,可以為按照等候處置防護對象的排序,確定按照上述排序當前所處理的等候處置防護對象,並進一步確定當前所處理的等候處置防護對象對應的異常流量,以及當前所處理的等候處置防護對象對應異常流量的近源清洗節點,並控制當前所處理的等候處置防護對象對應的異常流量的近源清洗節點對當前所處理的等候處置防護對象對應的異常流量進行清洗。
需要說明的是,由於所控制的等候處置防護對象對應的異常流量可能包括多個源端,並且該多個源端可能位於不同的區域,分別覆蓋該多個源端的近源清洗節點可能各不相同,因此所控制的等候處置防護對象對應的異常流量的近源清洗節點可能包括多個清洗節點。
本發明實施例提供的一種流量清洗管理裝置,通過在確定清洗節點所清洗的異常流量超過第一流量閾值時,獲取該清洗節點上所清洗的異常流量的防護對象,並確定其中對應的異常流量較多的防護對象即等候處置防護對象,其中可以認為等候處置防護對象為對該清洗節點上異常流量清洗效果造成較大影響的防護對象,之後獲取異常流量的近源清洗節點即最接近異常流量源端的清洗節點,其中異常流量的近源清洗節點可以認為是在由額外的清洗節點對異常流量進行清洗時,能夠最大程度減少流量清洗對骨幹網及近目的清洗節點帶來的影響的清洗節點,之後根據等候處置防護對象的優先級對等候處置防護對象進行排序,並依次控制排序後的等候處置防護對象對應異常流量的近源清洗節點對排序後的等候處置防護對象對應異常流量進行清洗,從而能夠優先控制高要求或高優先級防護對象對應的異常流量的近源清洗節點對該部分異常流量進行清洗。本發明的實施例所提供的流量清洗管理方法能夠在流量清洗節點進行流量清洗的壓力較大時,在不損害該流量清洗節點以及其他流量清洗節點上流量清洗效果的前提下,由其他流量清洗節點對該流量清洗節點上優先級較高防護對象對應的異常流量及時進行清洗,並且能夠最大程度減少流量清洗對骨幹網及近目的清洗節點帶來的影響,從而在保證流量清洗效果的前提下提高高要求用戶流量清洗的時效性與可靠性,提高了整個清洗系統的使用效率,並且改善了用戶體驗。
具體的,控制模塊403具體被配置為:
獲取近源區域,近源區域為排序後的等候處置防護對象對應異常流量的近源清洗節點所覆蓋的區域;
獲取近源清洗節點的清洗能力與近源清洗節點正在使用的清洗能力,近源清洗節點的清洗能力為近源清洗節點能夠提供的最大清洗帶寬,近源清洗節點正在使用的清洗能力為近源清洗節點正在使用的清洗流量的帶寬;
在排序後的等候處置防護對象對應的清洗節點所清洗的異常流量中確定近源區域異常流量,近源區域異常流量為排序後的等候處置防護對象對應的清洗節點所清洗的異常流量中源端位於近源區域的異常流量;
當近源清洗節點的正在使用的清洗能力與近源區域異常流量之和與近源清洗節點的清洗能力的比值小於第一佔有率閾值時,控制近源清洗節點對近源區域異常流量進行清洗。
其中近源區域為排序後的等候處置防護對象對應的異常流量的近源清洗節點所覆蓋的區域,近源清洗節點的清洗能力為近源清洗節點能夠提供的最大清洗帶寬,近源清洗節點的正在使用的清洗能力為近源清洗節點正在使用的清洗流量的帶寬。
具體的,由於清洗節點可以覆蓋一個或多個城域網,因此近源區域可以為排序後的等候處置防護對象對應異常流量的近源清洗節點所覆蓋的一個或多個城域網。優選的,近源區域還可以為排序後的等候處置防護對象對應異常流量的近源清洗節點所在的AS自治域。
其中近源區域異常流量為排序後的等候處置防護對象對應的清洗節點所正在清洗的異常流量中源端位於近源區域的異常流量。
具體的,由於異常流量的源端可能存在多個,因此在獲取近源區域後,可能獲取從位於該近源區域的源端發出的攻擊等候處置防護對象的異常流量,即近源區域異常流量,該近源區域異常流量可以由對應的近源清洗節點進行清洗。
具體的,當近源清洗節點的正在使用的清洗能力與近源區域異常流量之和與近源清洗節點的清洗能力的比值小於第一佔有率閾值時,可以認為近源清洗節點處於空閒狀態的流量清洗能力足夠用於清洗近源區域異常流量,並且在近源清洗節點對近源區域異常流量進行清洗時,該近源清洗節點原先所進行的流量清洗工作不會受到影響,該近源清洗節點對近源區域異常流量進行流量清洗的效果也不會受到損害。
具體的,控制模塊403還被配置為:
當近源清洗節點的正在使用的清洗能力與近源區域異常流量之和與近源清洗節點的清洗能力的比值大於或等於第一佔有率閾值時,獲取正在清洗防護對象,正在清洗防護對象為近源清洗節點正在清洗的異常流量對應的防護對象;
根據防護對象的優先級從低到高對正在清洗防護對象進行排序;
控制近源清洗節點依次結束對排序後正在清洗防護對象對應異常流量的清洗。
具體的,近源清洗節點正在清洗的異常流量可以為對應的防護對象位於該近源清洗節點所覆蓋區域的異常流量(即作為近目的側正在清洗的流量),也可以為源端位於該近源清洗節點所覆蓋區域的異常流量,即可以同時進行近目的及近源的清洗。
需要說明的是,作為近目的端清洗的防護對象的優先級,可以默認高於近源端清洗防護對象的優先級。
具體的,由於當近源清洗節點的流量清洗能力是有限的,當近源清洗節點的正在使用的清洗能力與近源區域異常流量之和與近源清洗節點的清洗能力的比值大於或等於第一佔有率閾值時,若仍需要該近源清洗節點清洗源端位於該近源清洗節點所覆蓋區域的異常流量,那麼流量清洗效果可能會受到影響。為了保證高要求用戶流量清洗的時效性與可靠性,可以控制近源清洗節點結束對優先級較低的防護對象對應異常流量的清洗,以便於能夠提供足夠的流量清洗能力清洗優先級較高的防護對象對應異常流量。
優選的,當控制近源清洗節點依次結束對排序後正在清洗防護對象對應異常流量的清洗時,結束某一優先級的防護對象的清洗後,若近源清洗節點的正在使用的清洗能力與近源區域異常流量之和與近源清洗節點的清洗能力的比值小於第一佔有率閾值,則不再控制近源清洗節點依次結束對排序後正在清洗防護對象對應異常流量的清洗,並控制近源清洗節點對近源區域異常流量進行清洗。
優選的,也可以獲取預先設定的優先級閾值,該預先設定的優先級閾值可以為正在清洗的防護對象的優先級閾值,也可以為等候清洗的防護對象的優先級閾值,當正在清洗防護對象中存在低於該優先級閾值的防護對象時,結束該部分防護對象對應異常流量的清洗,若此時近源清洗節點的正在使用的清洗能力與近源區域異常流量之和與近源清洗節點的清洗能力的比值小於第一佔有率閾值,則控制近源清洗節點對近源區域異常流量中對應防護對象的優先級高於優先級閾值的異常流量進行清洗,從而在近源清洗節點流量清洗能力不足時優先結束較低優先級防護對象的異常流量清洗,直到近源清洗節點的流量清洗能力能夠滿足高優先級防護對象的異常流量清洗後,開啟對高優先級防護對象的異常流量清洗。
需要說明的是,當正在清洗防護對象中優先級低於預先設定的優先級閾值的防護對象所對應的流量清洗均被結束,但近源清洗節點的正在使用的清洗能力與近源區域異常流量之和與近源清洗節點的清洗能力的比值仍大於或等於第一佔有率閾值時,則不再對該近源清洗節點進行更多的調度,並將該防護對象作為該節點的等候處置防護對象,待到該近源清洗節點有清洗能力時,再進行調度。
更進一步的,當清洗節點的所有能夠開啟的近源清洗節點都開啟時,近目的清洗節點的清洗能力與近目的清洗節點的清洗能力的比值仍大於或等於第一佔有率閾值時,可以控制相應的防護對象所對應的近源清洗區域的路由設備觸發黑洞路由操作,將超出約定清洗閾值的近源區域異常流量引入黑洞,不再處理該部分異常流量。具體的,控制模塊403還被配置為:
當確定近源清洗節點結束對近源清洗節點的正在使用的清洗能力的清洗時,獲取等候清洗防護對象,等候清洗防護對象為等候近源清洗節點清洗的異常流量對應的防護對象;
根據防護對象的優先級對等候清洗防護對象進行排序;
控制近源清洗節點依次對排序後的等候清洗防護對象對應異常流量進行清洗。
具體的,當確定近源清洗節點結束對近源清洗節點的正在使用的清洗能力的清洗時,可以根據防護對象的優先級對等候清洗防護對象進行排序,並控制近源清洗節點依次對排序後的等候清洗防護對象對應異常流量進行清洗,從而達到優先清洗等候清洗防護對象中優先級較高防護對象對應異常流量,從而保證高優先級防護對象的異常流量清洗的時效性。
具體的,控制模塊403還被配置為:
確定近源區域異常流量中的攻擊流量與近源區域異常流量中的正常流量;
當某防護對象近源區域異常流量中的攻擊流量與近源區域異常流量中的正常流量的比值小於清洗回注閾值時,控制近源清洗節點停止對該防護對象在該近源區域異常流量進行清洗。
其中,清洗回注閾值可以為預先設置,也可以為從其他裝置或系統中獲取。
具體的,當某防護對象近源區域異常流量中的攻擊流量與近源區域異常流量中的正常流量的比值小於清洗回注閾值時,可以認為由位於該近源區域的源端針對該攻擊對象所發出的攻擊已經停止,可以停止由近源清洗節點對近源區域異常流量的清洗,以節省近源清洗節點的流量清洗資源。
優選的,還可以為當近源區域異常流量小於停止清洗閾值時,控制近源清洗節點停止對近源區域異常流量進行清洗。
通過以上的實施方式的描述,所屬領域的技術人員可以清楚地了解到本發明可以用硬體實現,或固件實現,或它們的組合方式來實現。當使用軟體實現時,可以將上述功能存儲在計算機可讀介質中或作為計算機可讀介質上的一個或多個指令或代碼進行傳輸。計算機可讀介質包括計算機存儲介質和通信介質,其中通信介質包括便於從一個地方向另一個地方傳送電腦程式的任何介質。存儲介質可以是計算機能夠存取的任何可用介質。以此為例但不限於:計算機可讀介質可以包括隨機存儲器(英文全稱:Random Access Memory,英文簡稱:RAM)、只讀存儲器(英文全稱:Read Only Memory,英文簡稱:ROM)、電可擦可編程只讀存儲器(英文全稱:Electrically Erasable Programmable Read Only Memory,英文簡稱:EEPROM)、只讀光碟(英文全稱:Compact Disc Read Only Memory,英文簡稱:CD-ROM)或其他光碟存儲、磁碟存儲介質或者其他磁存儲設備、或者能夠用於攜帶或存儲具有指令或數據結構形式的期望的程序代碼並能夠由計算機存取的任何其他介質。此外。任何連接可以適當的成為計算機可讀介質。例如,如果軟體是使用同軸電纜、光纖光纜、雙絞線、數字用戶專線(英文全稱:Digital Subscriber Line,英文簡稱:DSL)或者諸如紅外線、無線電和微波之類的無線技術從網站、伺服器或者其他遠程源傳輸的,那麼同軸電纜、光纖光纜、雙絞線、DSL或者諸如紅外線、無線和微波之類的無線技術包括在計算機可讀介質的定義中。
通過以上的實施方式的描述,所屬領域的技術人員可以清楚地了解到,當以軟體方式實現本發明時,可以將用於執行上述方法的指令或代碼存儲在計算機可讀介質中或通過計算機可讀介質進行傳輸。計算機可讀介質包括計算機存儲介質和通信介質,其中通信介質包括便於從一個地方向另一個地方傳送電腦程式的任何介質。存儲介質可以是計算機能夠存取的任何可用介質。以此為例但不限於:計算機可讀介質可以包括RAM、ROM、電可擦可編程只讀存儲器(全稱:electrically erasable programmable read-only memory,簡稱:EEPROM)、光碟、磁碟或者其他磁存儲設備、或者能夠用於攜帶或存儲具有指令或數據結構形式的期望的程序代碼並能夠由計算機存取的任何其他介質。
以上所述,僅為本發明的具體實施方式,但本發明的保護範圍並不局限於此,任何熟悉本技術領域的技術人員在本發明揭露的技術範圍內,可輕易想到變化或替換,都應涵蓋在本發明的保護範圍之內。因此,本發明的保護範圍應所述以權利要求的保護範圍為準。