CN106209784B - 一种数据过滤方法和装置 - Google Patents
一种数据过滤方法和装置 Download PDFInfo
- Publication number
- CN106209784B CN106209784B CN201610489744.3A CN201610489744A CN106209784B CN 106209784 B CN106209784 B CN 106209784B CN 201610489744 A CN201610489744 A CN 201610489744A CN 106209784 B CN106209784 B CN 106209784B
- Authority
- CN
- China
- Prior art keywords
- flow
- equipment
- information
- transparent transmission
- flow path
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例提供了一种数据过滤方法和装置,以解决现有DDoS流量攻击而导致网络不稳定的问题。所述的方法包括:接收运营商边界网络设备PE发送的第一流量;当判断第一流量为攻击流量时,针对所述第一流量生成携带第一信息的流路由,所述第一信息用于指示所述PE设备透传第一流量;将所述流路由发送给所述PE设备;当接收到所述PE透传的第一流量时,保留所述流路由。能够基于透传的攻击流量保持Flow Route的有效性,减少对网络稳定性的影响。
Description
技术领域
本发明涉及通信技术领域,特别是涉及一种数据过滤方法和装置。
背景技术
随着互联网的发展,针对企业的各类恶意攻击也日益繁多,企业面临着越来越多的安全问题。例如,目前较为常见的一种针对企业的攻击:DDoS(Distributed Denial ofService,分布式拒绝服务)。DDoS攻击发生时,大量的流量直接从运营商一侧涌入,瞬间占用企业的出口链路资源,造成无法接入正常业务流量,使得企业无法正常执行业务。
发明内容
本发明实施例所要解决的技术问题是提供一种数据过滤方法,以解决现有DDoS流量攻击而导致网络不稳定的问题。
相应的,本发明实施例还提供了一种数据过滤的装置,用以保证上述方法的实现及应用。
为了解决上述问题,本发明实施例公开了一种数据过滤方法,包括:接收运营商边界网络设备PE发送的第一流量;当判断第一流量为攻击流量时,针对所述第一流量生成携带第一信息的流路由,所述第一信息用于指示所述PE设备透传第一流量;将所述流路由发送给所述PE设备;当接收到所述PE透传的第一流量时,保留所述流路由。
可选的,在所述当判断第一流量为攻击流量后,还包括:获取针对第一流量的流操作策略,依据所述流操作策略确定第一信息。
可选的,所述依据所述流操作策略确定第一信息,包括:当所述流操作策略包括丢弃所述第一流量时,确定所述第一信息包括放行第一范围的第一流量。
可选的,所述依据所述流操作策略确定第一信息,包括:当所述流操作策略包括限制所述第一流量的传输速度时,确定所述第一信息包括用于指示PE设备增加标识的控制指令,所述标识用于使所述CE设备识别出接收的流量为透传的第一流量。
可选的,还包括:判断未接收到透传的第一流量时,删除所述流路由。
本发明实施例还公开了一种数据过滤的装置,包括:接收模块,用于接收运营商边界网络设备PE发送的第一流量;生成模块,用于当判断第一流量为攻击流量时,针对所述第一流量生成携带第一信息的流路由,所述第一信息用于指示所述PE设备透传第一流量;发送模块,用于将所述流路由发送给所述PE设备;流路由处理模块,用于当接收到所述PE透传的第一流量时,保留所述流路由。
可选的,所述的装置还包括:第一信息确定模块,用于获取针对第一流量的流操作策略,依据所述流操作策略确定第一信息。
可选的,所述第一信息确定模块,用于当所述流操作策略包括丢弃所述第一流量时,确定所述第一信息包括放行第一范围的第一流量。
可选的,所述第一信息确定模块,用于当所述流操作策略包括限制所述第一流量的传输速度时,确定所述第一信息包括用于指示PE设备增加标识的控制指令,所述标识用于使所述CE设备识别出接收的流量为透传的第一流量。
可选的,所述流路由处理模块,还用于判断未接收到透传的第一流量时,删除所述流路由。
与现有技术相比,本发明实施例包括以下优点:
接收PE设备发送的第一流量,当判断第一流量为攻击流量时,针对所述第一流量生成携带第一信息的流路由Flow Route,所述第一信息用于指示所述PE透传第一流量,然后将所述流路由发送给所述PE,PE设备会依据第一信息透传部分攻击流量给CE设备,CE设备当接收到所述PE透传的第一流量时,确认仍然存在攻击流量,会继续保留该Flow Route,从而CE设备能够基于透传的攻击流量保持Flow Route的有效性,减少对网络稳定性的影响。
附图说明
图1是本发明实施例的Flow-spec防攻击组网示意图;
图2是本发明一个实施例的一种数据过滤方法的步骤流程图;
图3是本发明另一个实施例的一种数据过滤方法的步骤流程图;
图4是本发明另一个实施例的另一种数据过滤方法的步骤流程图;
图5是本发明一种数据过滤的装置实施例的结构框图;
图6是本发明另一种数据过滤的装置实施例的结构框图。
具体实施方式
为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本发明作进一步详细的说明。
通常流量的接入可以大致分为两类:一是正常业务对应的正常流量,一是恶意攻击对应的攻击流量。其中一种流量攻击方式是DDoS攻击,可以通过Flow-spec技术来实现对DDoS攻击的防御。其中,Flow-spec技术防DDoS攻击的原理是:当网络检测到攻击流量时,可以触发产生一条流路由,即Flow Route。Flow Route可以携带包含IP(Internet Protocol,网络之间互连的协议)5元组和TCP(Transmission Control Protocol,传输控制协议)的控制字段等17个属性流信息以及对流处理信息,它可以借助MP-BGP广播到上游各个路由器,上游路由器根据这条Flow route的信息,自动产生一个动态过滤列表来过滤或限速攻击流量,达到防止DDoS攻击的目的。Flow-spec技术实际上提供了一种功能强大、高效、灵活的防DDoS攻击的方法。
如图1所示,当客户侧边缘(Customer Edge,CE)网络设备检测到攻击流量时,生成流路由(Flow route)信息,通过边界网关协议(Border Gateway Protocol,BGP)Flow-spec报文扩散到运营商边界(Provider Edge,PE)网络设备,PE设备再把Flow route传给各个核心设备(Provider)P,P-1设备和P-2设备学习到BGP Flow-spec报文,从中学习到FlowRoute,将该攻击流量对应的Flow Route发送给驱动。后续攻击流量过来时,P-1和P-2设备直接依据Flow Route对攻击流量进行清洗,而不透传给运营商侧的PE设备。但是,如果DDoS流量攻击持续时间较长,就会影响网络稳定性。
本发明实施例的核心构思之一在于,提出一种数据过滤方法和CE设备,以解决现有DDoS流量攻击而导致网络不稳定的问题。接收PE设备发送的第一流量,当判断第一流量为攻击流量时,针对所述第一流量生成携带第一信息的流路由Flow Route,所述第一信息用于指示所述PE透传第一流量,然后将所述流路由发送给所述PE,PE设备会依据第一信息透传部分攻击流量给CE设备,CE设备当接收到所述PE透传的第一流量时,确认仍然存在攻击流量,会继续保留该Flow Route,从而CE设备能够基于透传的攻击流量保持Flow Route的有效性,减少对网络稳定性的影响。
参照图2,示出了本发明一个实施例的一种数据过滤方法的步骤流程图,其中,该数据过滤的方法应用于CE设备中,具体可以包括如下步骤:
步骤202,接收PE设备发送的第一流量。
步骤204,当判断第一流量为攻击流量时,针对所述第一流量生成对应携带第一信息的流路由。
步骤206,将所述流路由发送给PE设备。
通过核心设备P设备接收第一流量,在P设备判断出该第一流量不为攻击流量后,通过PE设备将该第一流量发送给CE设备。CE设备接收第一流量,然后可以通过任意一种适当的方式对第一流量进行安全监测(例如,根据CE设备中缓存的攻击表项,判断该第一流量中携带的特征是否与该攻击表项中的内容匹配,若匹配,则确定该第一流量为攻击流量),判断第一流量是否是攻击流量。其中,当确定所述接入流量不是攻击流量时,可以直接结束流程,业务正常执行,即将流量转发给对应主机。当确定所述第一流量是攻击流量时,对所述第一流量进行清洗,并且,根据所述第一流量的特征,生成一条与所述第一流量对应的Flow route。
并且,BGP使能Flow-spec增强能力,CE设备还确定出第一信息在所述流路由中携带第一信息,该第一信息用于指示PE设备透传第一流量,即透传该Flow route对应的攻击流量,因此第一信息对应增强流操作可以依据所述流路由对应流操作确定,例如流操作策略为丢弃所述攻击流量,则所述第一信息对应操作包括放行第一范围的第一流量。从而在BGP Flow-spec报文中携带第一信息,CE设备将携带第一信息的Flow route报文上报至运营商侧的PE设备。
PE设备学习到该Flow Route,并通过BGP Flow-spec邻居关系传给各个P设备,P设备接收到BGP Flow-spec报文,从中学习到Flow Route,将该第一流量对应的Flow Route刷给驱动,更新防攻击表项,以进行流量防御。后续P设备在接收到接入流量时,依据防攻击表项中的Flow Route确定该接入流量为第一流量,依据第一信息透传第一流量给CE设备(其中,所述的透传第一流量给CE设备,具体为透传一定比例的第一流量,以使被透传的一定比例的第一流量不会影响CE设备的正常工作)。
步骤208,当接收到所述PE透传的第一流量时,保留所述流路由。
CE设备对接入的流量进行检测,确定该接入的流量为透传的第一流量,即为攻击流量且已经具有Flow Route,此时CE设备可以保留该Flow Route,即在流量攻击过程中保持Flow Route的有效性,减少由于反复创建同一Flow Route而对网络稳定性造成的影响。
综上,接收PE设备发送的第一流量,在CE设备判断第一流量为攻击流量时,针对所述第一流量生成携带第一信息的流路由Flow Route,所述第一信息用于指示所述PE透传第一流量,然后将所述流路由发送给所述PE,PE设备会依据第一信息透传部分攻击流量给CE设备,CE设备当接收到所述PE透传的第一流量时,确认仍然存在攻击流量,会继续保留该Flow Route,从而CE设备能够基于透传的攻击流量保持Flow Route的有效性,减少对网络稳定性的影响。
参照图3,示出了本发明另一个实施例的一种数据过滤方法的步骤流程图,具体可以包括如下步骤:
步骤302,获取针对第一流量的流操作策略,依据所述流操作策略确定第一信息。
CE设备减少由于定时器超时而对网络稳定性的影响,可以预先确定攻击流量的增强的流操作策略,该增强的流操作策略用于在本地原有针对该流的处理基础上指示执行增强操作。即针对攻击流量的流操作策略配置对应的第一信息,获取针对攻击流量的流操作策略,然后依据该流操作策略确定对应的第一信息。
其中,第一信息可以采用以下至少一种方式确定:
一种为通过允许流量通过来指示。
当所述流操作策略包括丢弃所述第一流量时,确定所述第一信息包括放行第一范围的第一流量。其中第一范围指的是允许攻击流量通过的带宽范围,可以依据实际需求和经验的设定,为防止影响系统安全可以配置第一范围为相对较小的范围,如1M以内或者一定比例的攻击流量如1%等。例如,Flow route对于流操作策略是完全丢弃,对应第一是允许1M允许的第一流量通过。
另一种为通过添加标识来指示
当所述流操作策略包括限制所述第一流量的传输速度时,确定所述第一信息包括用于指示PE设备增加标识的控制指令,可以通过标识来表示攻击流量的存在,则所述标识用于使所述CE设备识别出接收的流量为透传的第一流量。
本发明实施例中,标识包括动态标识和静态标识,因此,所述第一信息包括:用于指示PE设备增加静态标识的控制指令,或,用于指示PE设备增加动态标识的控制指令。
即在采用限制传输速度的流操作策略时,是允许攻击流量以一定速度传输的,因此仍然可以检测到该攻击流量,因此本发明实施例可以依据第一信息对应的控制指令在端口添加静态标识,即在初次检测到第一流量时在端口添加静态标识,此后再检测到该第一流量则保持静态标识,直到检测不到该第一流量后可以删除该静态标识。
还可以在采用限制传输速度的流操作策略时,依据第一信息对应的控制指令配置动态标识,该动态标识可以通过增加所述传输速度表征,例如当攻击流量的传输速度为第一速度时,依据第一信息的控制指令将所述攻击流量的传输速度增加为第二速度,在流量超出限速后即可确认攻击流量仍然存在。其中,第二速度为允许攻击流量通过的速度范围,因此第二速度大于第一速度,同样的第二速度可以依据实际需求和经验的设定,为防止影响系统安全可以配置第二速度为第一速度的一定百分比,例如Flow route对于流操作策略的第一速度为10M,则第二速度可以为第一速度的基础上多10%,即第二速度为110%的第一速度。
从而基于流操作策略确定对应增强流操作策略,得到相应的第一信息。
步骤304,接收接入流量。
步骤306,判断该接入流量是否为攻击流量。
CE设备接收接入流量,判断该接入流量是否为攻击流量,该接入流量包括第一流量和第二流量。
其中,在透传第一流量时,可以直接检测到该攻击流量;或可以通过端口的静态标识确定存在攻击流量,或通过动态标识确定存在攻击流量。
若是,即接入流量为攻击流量,执行步骤310;若否,即接入流量不为攻击流量,执行步骤308。
步骤308,放行该接入流量。
CE设备确定接入流量不为攻击流量时,可以放行该接入流量,将该接入流量依据主机地址发送给对应的主机。
步骤310,依据所述流路由判断是否为透传的第一流量。
CE设备确定接入流量为攻击流量后,进一步判断是否为透传的第一流量。即对于第二流量可以获取该第二流量的属性信息,如数据包目的地址、TCP/UDP的目的端口号、匹配数据包的QOS类型、数据包源地址等。依据该属性信息与CE设备的防攻击表项中的各FlowRoute进行匹配,确定某一Flow Route与该第二流量的属性信息匹配后,可以确定该第二流量为该Flow Route对应透传的第一流量。
若是,即依据流路由判断为透传的第一流量,执行步骤318;若否,即依据所述流路由判断不为透传的第一流量,执行步骤312。
步骤312,对攻击流量进行清洗并生成对应的流路由。
步骤314,生成携带第一信息的流路由,对所述流路由进行转发。
步骤316,删除该第一流量的流路由。
CE设备对于未配置Flow Route的,可以对该攻击流量进行清洗。BGP使能Flow-spec增强能力,CE设备在BGP Flow-spec报文中携带第一信息,将携带第一信息的Flowroute报文上报至运营商侧的PE设备。并且此时由于未透传第一流量从而确定出第一流量的攻击已结束,可以删除该Flow Route。
步骤318,保留该流路由。
可以对透传的第一流量进行清洗,并且保留该第一流量对应Flow Route,防止CE设备上的Flow route老化。
本实施例并未限制各操作步骤的执行顺序,可以依据实际需求设定。例如步骤302也可以在生成Flow route后,依据该Flow route的流操作确定第一信息,即在步骤316之前确定第一信息。
如图1所示的架构中CE设备和PE设备、PE设备和P-1设备之间建立了BGP Flowspec邻居关系,假设用户侧CE设备对攻击流量生成的Flow route老化时间为60s,CE设备和PE设备之间的链路带宽为100M,则CE设备检测到攻击流量生成的Flow route,通过BGPFlow spec报文携带增强流策略发送给运营商侧设备,如Flow route的流操作策略是完全丢弃时,第一信息为允许部分的流量通过比如允许1%*100M,即1M的攻击流量通过。P-1设备接收该Flow spec报文后,向驱动下刷防攻击表项,从而在接收到该Flow route对应攻击流量后,允许1M的攻击流量通过。当攻击流量到达CE设备时,CE设备检测到针对该Flowroute的攻击流量还存在,可以清洗该攻击流量,并保留Flow route,从而防止该Flowroute老化,防止防攻击表项老化。
上述通过对透传的第一流量的检测,确定Flow route保留与否,实际处理中,还可以配置Flow route的定时器,通过定时器来确定Flow route是否老化,从而确定Flowroute保留与否,即初始启动定时器后在CE设备接收到所述PE透传的第一流量后,重置定时器来防止Flow route老化,参照图4所示,具体可以包括如下步骤:
步骤402,获取针对第一流量的流操作策略,依据所述流操作策略确定第一信息。
步骤404,接收接入流量。
步骤406,判断该接入流量是否为攻击流量。
CE设备接收接入流量,判断该接入流量是否为攻击流量,该接入流量包括第一流量和第二流量。
若是,即接入流量为攻击流量,执行步骤410;若否,即接入流量不为攻击流量,执行步骤408。
步骤408,放行该接入流量。
CE设备确定接入流量不为攻击流量时,可以放行该接入流量,将该接入流量依据主机地址发送给对应的主机。
步骤410,依据所述流路由判断是否为透传的第一流量。
CE设备确定接入流量为攻击流量后,进一步判断是否为透传的第一流量。即对于第二流量可以获取该第二流量的属性信息,如数据包目的地址、TCP/UDP的目的端口号、匹配数据包的QOS类型、数据包源地址等。依据该属性信息与CE设备的防攻击表项中的各FlowRoute进行匹配,确定某一Flow Route与该第二流量的属性信息匹配后,可以确定该第二流量为该Flow Route对应透传的第一流量。
若是,即依据流路由判断为透传的第一流量,执行步骤418;若否,即依据所述流路由判断不为透传的第一流量,执行步骤412。
步骤412,对攻击流量进行清洗并生成对应的流路由。
步骤414,启动流路由的定时器。
步骤416,生成携带第一信息的流路由,对所述流路由进行转发。
CE设备对于未配置Flow Route的,可以对该攻击流量进行清洗并生成对应的FlowRoute,同时启动该Flow Route的定时器开始计时。其中,BGP使能Flow-spec增强能力,CE设备在BGP Flow-spec报文中携带第一信息,将携带第一信息的Flow route报文上报至运营商侧的PE设备。
步骤418,重置所述流路由的定时器,以重新开始计时。
可以对透传的第一流量进行清洗,并且重置该第一流量对应Flow Route的定时器,以重新开始计时,防止CE设备上的Flow route老化。
从而,通过增强Flow spec能力,携带Flow route的第一信息,使得Flow route老化之前,透传部分攻击流量,CE设备检测到透传的该Flow route的攻击流量后,重置CE设备上的Flow route的定时器,重新计时,以避免Flow route老化,防止DDoS持续攻击造成网络不稳定,减少对用户业务的影响。
需要说明的是,对于方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明实施例并不受所描述的动作顺序的限制,因为依据本发明实施例,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作并不一定是本发明实施例所必须的。
在上述实施例的基础上,本实施例还提供了一种数据过滤的装置,该数据过滤的装置可以应用于CE设备中。
参照图5,示出了本发明一种数据过滤的装置实施例的结构框图,具体可以包括如下模块:
接收模块502,用于接收运营商边界网络设备PE发送的第一流量;
生成模块504,用于当判断第一流量为攻击流量时,针对所述第一流量生成携带第一信息的流路由,所述第一信息用于指示所述PE设备透传第一流量。
发送模块506,用于将所述流路由发送给所述PE设备。
流路由处理模块508,用于当接收到所述PE透传的第一流量时,保留所述流路由。
综上,接收PE设备发送的第一流量,在CE设备判断第一流量为攻击流量时,针对所述第一流量生成携带第一信息的流路由Flow Route,所述第一信息用于指示所述PE透传第一流量,然后将所述流路由发送给所述PE,PE设备会依据第一信息透传部分攻击流量给CE设备,CE设备当接收到所述PE透传的第一流量时,确认仍然存在攻击流量,会继续保留该Flow Route,从而CE设备能够基于透传的攻击流量保持Flow Route的有效性,减少对网络稳定性的影响。
参照图6,示出了本发明另一种数据过滤的装置实施例的结构框图,具体可以包括如下模块:
第一信息模块510,用于获取针对第一流量的流操作策略,依据所述流操作策略确定第一信息。
接收模块502,用于接收运营商边界网络设备PE发送的第一流量;
生成模块504,用于当判断第一流量为攻击流量时,针对所述第一流量生成携带第一信息的流路由,所述第一信息用于指示所述PE设备透传第一流量。
发送模块506,用于将所述流路由发送给所述PE设备。
流路由处理模块508,用于当接收到所述PE透传的第一流量时,保留所述流路由。
其中,所述第一信息确定模块510,用于当所述流操作策略包括丢弃所述第一流量时,确定所述第一信息包括放行第一范围的第一流量;以及,当所述流操作策略包括限制所述第一流量的传输速度时,确定所述第一信息包括用于指示PE设备增加标识的控制指令,所述标识用于使所述CE设备识别出接收的流量为透传的第一流量。
所述流路由处理模块,还用于判断未接收到透传的攻击流量时,删除所述流路由。
本发明一个可选实施例中,该流路由处理模块,还用于当判断第一流量为攻击流量时,针对所述第一流量生成携带第一信息的流路由,并启动该流路由的定时器;以及,判断接收到透传的攻击流量时,重置该流路由的定时器。
通过增强Flow spec能力,携带Flow route的第一信息,使得Flow route老化之前,透传部分攻击流量,CE设备检测到透传的该Flow route的攻击流量后,重置CE设备上的Flow route的定时器,重新计时,以避免Flow route老化,防止DDoS持续攻击造成网络不稳定,减少对用户业务的影响。
对于装置实施例而言,由于其与方法实施例基本相似,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。
本领域内的技术人员应明白,本发明实施例的实施例可提供为方法、装置、或计算机程序产品。因此,本发明实施例可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明实施例是参照根据本发明实施例的方法、终端设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理终端设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理终端设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理终端设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理终端设备上,使得在计算机或其他可编程终端设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程终端设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明实施例的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明实施例范围的所有变更和修改。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者终端设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者终端设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者终端设备中还存在另外的相同要素。
以上对本发明所提供的一种数据过滤方法和一种客户侧边缘设备,进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (10)
1.一种数据过滤方法,其特征在于,包括:
接收运营商边界网络设备PE发送的第一流量;
当判断第一流量为攻击流量时,针对所述第一流量生成携带第一信息的流路由,所述第一信息用于指示所述PE设备透传部分第一流量;
将所述流路由发送给所述PE设备;
当接收到所述PE透传的第一流量时,保留所述流路由。
2.根据权利要求1所述的方法,其特征在于,在所述当判断第一流量为攻击流量后,还包括:
获取针对第一流量的流操作策略,依据所述流操作策略确定第一信息。
3.根据权利要求2所述的方法,其特征在于,所述依据所述流操作策略确定第一信息,包括:
当所述流操作策略包括丢弃所述第一流量时,确定所述第一信息包括放行第一范围的第一流量。
4.根据权利要求2所述的方法,其特征在于,所述依据所述流操作策略确定第一信息,包括:
当所述流操作策略包括限制所述第一流量的传输速度时,确定所述第一信息包括用于指示PE设备增加标识的控制指令,所述标识用于使CE设备识别出接收的流量为透传的第一流量。
5.根据权利要求1所述的方法,其特征在于,还包括:
判断未接收到透传的第一流量时,删除所述流路由。
6.一种数据过滤的装置,其特征在于,包括:
接收模块,用于接收运营商边界网络设备PE发送的第一流量;
生成模块,用于当判断第一流量为攻击流量时,针对所述第一流量生成携带第一信息的流路由,所述第一信息用于指示所述PE设备透传部分第一流量;
发送模块,用于将所述流路由发送给所述PE设备;
流路由处理模块,用于当接收到所述PE透传的第一流量时,保留所述流路由。
7.根据权利要求6所述的装置,其特征在于,还包括:
第一信息确定模块,用于获取针对第一流量的流操作策略,依据所述流操作策略确定第一信息。
8.根据权利要求7所述的装置,其特征在于,
所述第一信息确定模块,用于当所述流操作策略包括丢弃所述第一流量时,确定所述第一信息包括放行第一范围的第一流量。
9.根据权利要求7所述的装置,其特征在于,
所述第一信息确定模块,用于当所述流操作策略包括限制所述第一流量的传输速度时,确定所述第一信息包括用于指示PE设备增加标识的控制指令,所述标识用于使CE设备识别出接收的流量为透传的第一流量。
10.根据权利要求6所述的装置,其特征在于,
所述流路由处理模块,还用于判断未接收到透传的第一流量时,删除所述流路由。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610489744.3A CN106209784B (zh) | 2016-06-24 | 2016-06-24 | 一种数据过滤方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610489744.3A CN106209784B (zh) | 2016-06-24 | 2016-06-24 | 一种数据过滤方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106209784A CN106209784A (zh) | 2016-12-07 |
| CN106209784B true CN106209784B (zh) | 2019-09-17 |
Family
ID=57462480
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610489744.3A Active CN106209784B (zh) | 2016-06-24 | 2016-06-24 | 一种数据过滤方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106209784B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109756456B (zh) * | 2017-11-06 | 2021-12-03 | 中兴通讯股份有限公司 | 一种提高网络设备安全的方法、网络设备及可读存储介质 |
| CN109995717A (zh) * | 2017-12-29 | 2019-07-09 | 中移(杭州)信息技术有限公司 | 一种网页篡改处置系统及方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102045302A (zh) * | 2009-10-10 | 2011-05-04 | 中兴通讯股份有限公司 | 网络攻击的防范方法、业务控制节点及接入节点 |
| CN104202314A (zh) * | 2014-08-22 | 2014-12-10 | 中国联合网络通信集团有限公司 | 一种阻止ddos攻击的方法及装置 |
| CN104580168A (zh) * | 2014-12-22 | 2015-04-29 | 华为技术有限公司 | 一种攻击数据包的处理方法、装置及系统 |
| CN104811380A (zh) * | 2014-01-26 | 2015-07-29 | 华为技术有限公司 | 一种发送引流路由信息的方法及清洗设备 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7797738B1 (en) * | 2005-12-14 | 2010-09-14 | At&T Corp. | System and method for avoiding and mitigating a DDoS attack |
| US8225399B1 (en) * | 2005-12-14 | 2012-07-17 | At&T Intellectual Property Ii, Lp | System and method for avoiding and mitigating a DDoS attack |
-
2016
- 2016-06-24 CN CN201610489744.3A patent/CN106209784B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102045302A (zh) * | 2009-10-10 | 2011-05-04 | 中兴通讯股份有限公司 | 网络攻击的防范方法、业务控制节点及接入节点 |
| CN104811380A (zh) * | 2014-01-26 | 2015-07-29 | 华为技术有限公司 | 一种发送引流路由信息的方法及清洗设备 |
| CN104202314A (zh) * | 2014-08-22 | 2014-12-10 | 中国联合网络通信集团有限公司 | 一种阻止ddos攻击的方法及装置 |
| CN104580168A (zh) * | 2014-12-22 | 2015-04-29 | 华为技术有限公司 | 一种攻击数据包的处理方法、装置及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106209784A (zh) | 2016-12-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3229407B1 (en) | Application signature generation and distribution | |
| EP3449600B1 (en) | A data driven intent based networking approach using a light weight distributed sdn controller for delivering intelligent consumer experiences | |
| US20170223035A1 (en) | Scaling method and management device | |
| CN107547507B (zh) | 一种防攻击方法、装置、路由器设备及机器可读存储介质 | |
| WO2018108052A1 (zh) | 一种DDoS攻击的防御方法、系统及相关设备 | |
| Huang et al. | Countering denial-of-service attacks using congestion triggered packet sampling and filtering | |
| CN108667829B (zh) | 一种网络攻击的防护方法、装置及存储介质 | |
| CN106487790B (zh) | 一种ack flood攻击的清洗方法及系统 | |
| CN112272166A (zh) | 一种流量处理方法、装置、设备及机器可读存储介质 | |
| CN106209784B (zh) | 一种数据过滤方法和装置 | |
| Singh et al. | Prevention mechanism for infrastructure based denial-of-service attack over software defined network | |
| CA2547145A1 (en) | Progressive wiretap | |
| CN107690004B (zh) | 地址解析协议报文的处理方法及装置 | |
| CN109995725B (zh) | 一种云计算状态防火墙的实现方法及装置 | |
| CN108270671B (zh) | 一种用于对分组执行服务的设备及其方法 | |
| CN106059939B (zh) | 一种报文转发方法及装置 | |
| CN110855566A (zh) | 上行流量的牵引方法和装置 | |
| EP2768197B1 (en) | Deep packet inspection result dissemination method and device | |
| CN113810398B (zh) | 一种攻击防护方法、装置、设备及存储介质 | |
| CN106936718B (zh) | PPPoE报文传输方法和PPPoE服务器 | |
| CN102546387B (zh) | 一种数据报文的处理方法、装置及系统 | |
| CN110365667B (zh) | 攻击报文防护方法、装置、电子设备 | |
| CN105812274B (zh) | 一种业务数据的处理方法和相关设备 | |
| CN111200505B (zh) | 一种报文处理方法及装置 | |
| Xiulei et al. | Defending DDoS attacks in software defined networking based on improved Shiryaev–Roberts detection algorithm |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant after: Xinhua three Technology Co., Ltd. Address before: 310053 Hangzhou science and Technology Development Zone, Zhejiang high tech park, No. six and road, No. 310 Applicant before: Huasan Communication Technology Co., Ltd. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |