CN107294922A - 一种应对网络攻击的网络地址调度方法及装置 - Google Patents
一种应对网络攻击的网络地址调度方法及装置 Download PDFInfo
- Publication number
- CN107294922A CN107294922A CN201610201954.8A CN201610201954A CN107294922A CN 107294922 A CN107294922 A CN 107294922A CN 201610201954 A CN201610201954 A CN 201610201954A CN 107294922 A CN107294922 A CN 107294922A
- Authority
- CN
- China
- Prior art keywords
- network address
- attack
- data
- network
- client
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5076—Update or notification mechanisms, e.g. DynDNS
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供了一种应对网络攻击的网络地址调度方法及装置。所述方法包括:根据各网络地址的攻击数据和/或所属设备的性能数据,筛选至少一个网络地址;将所述网络地址反馈至请求调度的客户端,以供所述客户端根据所述网络地址访问业务服务端。本申请根据各网络地址的攻击数据和所属的设备性能为依据筛选至少一个网络地址并反馈,从而可以满足调度请求的个性化需求,例如可以反馈历史攻击较少、设备性能较高的网络地址,也即是提供服务最优的网络地址,从而可以保证客户端流量的稳定性,可以更进一步提高网络防御能力。
Description
技术领域
本申请涉及网络安全技术领域,特别是涉及一种应对网络攻击的网络地址调度方法,以及一种应对网络攻击的网络地址调度装置。
背景技术
DDoS(Distributed Denial of Service,分布式拒绝服务)攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,通过消耗资源的方式达到使被攻击者业务不可用的目的。
常见的DDoS防御方案包括DDoS流量清洗、发布黑洞路由和改用CDN(Content Delivery Network,内容分发网络)。
DDoS流量清洗是目前最常用的防御DDoS方法,通过DDoS检测设备发现DDoS攻击并预警,当发现DDoS攻击时通知旁路的流量清洗设备牵引被攻击目的IP的流量,清洗攻击流量,回注正常流量。但DDoS流量清洗为防御更高级别的DDoS攻击会不断升级的清洗设备和带宽容量,从而带来成本的大幅攀升,并且在清洗中伴随的误杀和漏杀会对正常的业务访问造成影响。
当攻击流量超过业务方的承受范围时,为了不影响同一机房的其他业务,业务方有时会通过在运营商网络中发布黑洞路由的方式屏蔽被攻击IP的访问,在骨干网丢弃所有的DDoS流量。但同时限制了正常的业务访问,即使通过域名系统更改了访问IP,也会在一段时间内导致部分业务完全不可用。
CDN通过提供大量的缓存代理节点优化用户访问,通过采用分布式节点使得DDoS攻击造成的影响比较有限,往往只会影响某一个或几个地区的访问。该方案对于静态资源的DDoS防御效果很好,但对于常见的动态资源却会引起大量的回源访问,导致大量误杀的同时占用了大量的带宽。
发明内容
鉴于上述问题,提出了本申请实施例以便提供一种克服上述问题或者至少部分地解决上述问题的应对网络攻击的网络地址调度方法和装置。
为了解决上述问题,本申请公开了一种应对网络攻击的网络地址调度方法,包括:
根据各网络地址的攻击数据和/或所属设备的性能数据,筛选至少一个网络地址;
将所述网络地址反馈至请求调度的客户端,以供所述客户端根据所述网络地址访问业务服务端。
优选地,所述网络地址具备相应的使用状态,具备相同使用状态的网络地址划分至同一网络地址集合中。
优选地,所述根据各网络地址的攻击数据和/或所属设备的性能数据,筛选至少一个网络地址包括:
根据各网络地址的攻击数据和/或所属设备的性能数据,统计各网络地址的服务性能评分;
按照所述服务性能评分筛选至少一个网络地址。
优选地,所述根据各网络地址的攻击数据和/或所属设备的性能数据,统计各网络地址的服务性能评分包括:
获取针对所述网络地址所属网络地址集合配置的攻击数据和/或所述性能数据的权重;
根据所述攻击数据和/或所述性能数据以及对应获取的权重,计算各网络地址的服务性能评分。
优选地,所述按照所述服务性能评分筛选至少一个网络地址包括:
从至少一个网络地址集合中,按照所述服务性能评分筛选至少一个网络地址反馈至请求调度的客户端。
优选地,所述方法还包括:
根据所述攻击数据为各网络地址配置相应的使用状态,所述使用状态包括在用状态、备用状态、暂时不可用状态、长期不可用状态和不可用状态中多种;
按照所述使用状态的不同,将所述网络地址划分到采用相应使用状态标记的网络地址集合中。
优选地,所述方法还包括:
实时获取更新的攻击数据,并根据所述更新的攻击数据变更所述网络地址的使用状态。
优选地,所述方法还包括:
配置所述网络地址集合之间的关联关系。
优选地,所述方法还包括:
接收监控到目标网络地址集合中网络地址的数量不足时触发的调度请求;
从所述目标网络地址集合关联的其他网络地址集合中,根据各网络地址的攻击数据和/或所属设备的性能数据,筛选至少一个网络地址反馈至所述目标网络地址集合。
优选地,所述根据各网络地址的攻击数据和/或所属设备的性能数据,筛选至少一个网络地址包括:
当监测到对第一网络地址的网络攻击时,根据各网络地址的攻击数据和/或所属设备的性能数据,筛选至少一个第二网络地址;
所述将所述网络地址反馈至请求调度的客户端包括:
当接收到访问所述第一网络地址的客户端发送的调度请求时,将所述第二网络地址反馈至所述客户端。
优选地,所述根据各网络地址的攻击数据和/或所属设备的性能数据,筛选至少一个网络地址包括:
当接收到访问所述第一网络地址的客户端发送的调度请求时,根据各网络地址的攻击数据和/或所属设备的性能数据,筛选至少一个第二网络地址;
所述将所述网络地址反馈至请求调度的客户端包括:
将所述第二网络地址反馈至所述客户端。
优选地,所述攻击数据包括历史攻击数据和/或当前攻击数据;所述历史攻击数据包括攻击次数、攻击总时间和攻击时间点中至少一种;所述性能数据包括设备CPU、内存、IO频率、带宽和流量中至少一种。
本申请还提供了一种应对网络攻击的网络地址调度装置,包括:
第一地址筛选模块,用于根据各网络地址的攻击数据和/或所属设备的性能数据,筛选至少一个网络地址;
网络地址反馈模块,用于将所述网络地址反馈至请求调度的客户端,以供所述客户端根据所述网络地址访问业务服务端。
优选地,所述网络地址具备相应的使用状态,具备相同使用状态的网络地址划分至同一网络地址集合中。
优选地,所述第一地址筛选模块包括:
评分统计子模块,用于根据各网络地址的攻击数据和/或所属设备的性能数据,统计各网络地址的服务性能评分;
评分筛选子模块,用于按照所述服务性能评分筛选至少一个网络地址。
优选地,所述评分统计子模块包括:
权重获取子单元,用于获取针对所述网络地址所属网络地址集合配置的攻击数据和/或所述性能数据的权重;
加权计算子单元,用于根据所述攻击数据和/或所述性能数据以及对应获取的权重,计算各网络地址的服务性能评分。
优选地,所述评分筛选子模块,具体用于从至少一个网络地址集合中,按照所述服务性能评分筛选至少一个网络地址反馈至请求调度的客户端。
优选地,所述装置还包括:
状态配置模块,用于根据所述攻击数据为各网络地址配置相应的使用状态,所述使用状态包括在用状态、备用状态、暂时不可用状态、长期不可用状态和不可用状态中多种;
集合划分模块,用于按照所述使用状态的不同,将所述网络地址划分到采用相应使用状态标记的网络地址集合中。
优选地,所述装置还包括:
状态变更模块,用于实时获取更新的攻击数据,并根据所述更新的攻击数据变更所述网络地址的使用状态。
优选地,所述装置还包括:
关系配置模块,用于配置所述网络地址集合之间的关联关系。
本申请实施例包括以下优点:
依据本申请实施例,一方面,可以应用于客户端请求调度网络地址的场景,向客户端反馈网络地址,使原采用受DDoS攻击的网络地址的客户端可以切换至新的网络地址进行访问,从而直接避开与攻击者争抢资源,降低了防御成本;并且仅仅是当前用户切换网络地址,绝大部分用户在受到DDoS攻击时不会受到明显影响,大大减小了因误杀对用户访问业务目标造成的影响,提高了用户体验;另一方面,根据各网络地址的攻击数据和所属的设备性能为依据筛选至少一个网络地址并反馈,从而可以满足调度请求的个性化需求,例如可以反馈历史攻击较少、设备性能较高的网络地址,也即是提供服务最优的网络地址,从而可以保证客户端流量的稳定性,可以更进一步提高网络防御能力。
进一步,本申请实施例中,还可以根据各网络地址的攻击数据区分各网络地址所属使用状态,从而可以根据使用状态调度可用的网络地址,缩小了筛选的范围,同时提高了所反馈网络地址的可用性和服务能力。
附图说明
图1是本申请的一种应对网络攻击的网络地址调度方法实施例1的步骤流程图;
图2是本申请的一种应对网络攻击的网络地址调度方法实施例2的步骤流程图;
图3是本申请实施例中网络地址的使用状态变更的示意图;
图4是本申请的一种应对网络攻击的网络地址调度装置实施例的结构框图。
具体实施方式
为使本申请的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本申请作进一步详细的说明。
实施例1
参照图1,示出了本申请的一种应对网络攻击的网络地址调度方法实施例1的步骤流程图,具体可以包括如下步骤:
步骤101,根据各网络地址的攻击数据和/或所属设备的性能数据,筛选至少一个网络地址。
网络地址可以是IP地址、MAC地址等。
本申请实施例中,攻击数据可以用于评价网络地址历史或当前所受攻击情况,可以据此划分为历史攻击数据和当前攻击数据,其中,历史攻击数据可以包括攻击次数、攻击总时间和攻击时间点中至少一种,攻击次数可以是记录历史所有或是某段时间内的攻击次数,攻击总时间可以是历史上所有或是一段时间内的攻击总时间,攻击时间点可以是历史上某次或是一段时间内的上一次攻击的时间。
网络地址对应标记业务服务端的某个设备,该设备的性能数据可以包括该设备CPU、内存、IO频率、带宽和流量中一种或多种。
步骤102,将所述网络地址反馈至请求调度的客户端,以供所述客户端根据所述网络地址访问业务服务端。
本申请实施例可以在调度系统执行,调度系统可为业务服务端分配多个网络地址,并提供至少一个给客户端。具体地,调度系统隐藏了业务服务端的真实网络地址,并为业务服务端分配多个网络地址,以使客户端通过多个网络地址访问业务目标,从而将客户端对业务目标的访问流量分散到多个网络地址上。
网络地址的攻击数据和/或所属设备的性能数据可用作评价网络地址服务性能的参考,据此可以根据实际需求为客户端分配网络地址,例如,分配历史攻击次数较少、历史攻击总时间较短、历史攻击时间点距今较长的网络地址,或是分配所属设备服务性能较好的网络地址,还可以结合上述多个条件中的多种进行筛选。
依据本申请实施例,一方面,可以应用于客户端请求调度网络地址的场景,向客户端反馈网络地址,使原采用受DDoS攻击的网络地址的客户端可以切换至新的网络地址进行访问,从而直接避开与攻击者争抢资源,降低了防御成本;并且仅仅是当前用户切换网络地址,绝大部分用户在受到DDoS攻击时不会受到明显影响,大大减小了因误杀对用户访问业务目标造成的影响,提高了用户体验;另一方面,根据各网络地址的攻击数据和所属的设备性能依据筛选至少一个网络地址并反馈,从而可以满足调度请求的个性化需求,例如可以反馈历史攻击较少、设备性能较高的网络地址,也即是提供服务最优的网络地址,从而可以保证客户端流量的稳定性,可以更进一步提高网络防御能力。
相应的,本申请实施例实施在多种应用场景下,可以实现在为客户端分配首个网络地址的过程,也可以是为已有网络地址的客户端分配新的网络地址的过程。
本申请实施例中,优选地,收集各网络地址的攻击数据和/或所属设备的性能数据,根据上述数据中的一种或多种,并据此计算网络地址的服务性能评分。具体可以直接将各个攻击数据或性能数据的具体值作为计算评分的初始值,也可以根据各个攻击数据或性能数据与阈值的比较值,或是按照一定算法计算的评价值,作为计算评分的初始值。具体计算服务性能评分的算法可以是将各个数据的分值进行加和,或是,针对各个数据分配对应的权重,计算加权平均值作为服务性能评分。
具体的计算过程还可以加入设定的参数,例如根据网络地址是否属于黑名单或是白名单给予一定的分值,或是按照其他自定义规则,例如根据IP地址所属区段给予一定的分值等,本申请对此并不做限制。
相应的,根据计算得到的服务性能评分筛选至少一个网络地址反馈给请求调度的客户端,例如,分配某个数值范围的服务性能评分的网络地址,或是分配服务性能评分靠前的多个网络地址,还可以是其他方式。
针对分配新的网络地址的应用场景,可以在监控到原网络地址受到网络攻击时,可以预先筛选新的网络地址,具体的,在本申请实施例的一种优选示例中,所述步骤101具体可以是,当监测到对第一网络地址的网络攻击时,根据各网络地址的攻击数据和/或所属设备的性能数据,筛选至少一个第二网络地址。
相应的,所述步骤102可以是,当接收到访问所述第一网络地址的客户端发送的调度请求时,将所述第二网络地址反馈至所述客户端。
可以保持对网络地址的监测,当监测到第一网络地址受到攻击后,预先根据攻击数据和/或所属设备的性能数据筛选新的网络地址,以备客户端请求调度新的网络地址时及时反馈,减少临时筛选所耗费的时间,以提升对客户端的响应速度。相应的,在接收到客户端的调度请求时,若识别该客户端目前访问的是该受到攻击的第一网络地址,则将第二网络地址反馈给客户端。
也可以在客户端发送调度请求之后,在反馈第二网络地址,具体的,在本申请实施例的另一种优选示例中,所述步骤101可以是,当接收到访问所述第一网络地址的客户端发送的调度请求时,根据各网络地址的攻击数据和/或所属设备的性能数据,筛选至少一个第二网络地址。
相应的,所述步骤102可以是,将所述第二网络地址反馈至所述客户端。
在接收到客户端的调度请求之后再进行第二网络地址的筛选,相比于上个方案中预先筛选的第二网络地址可能在后续无用,这种即需即选的方式可以减少对处理资源和存储资源的浪费。
实施例2
参照图2,示出了本申请的一种应对网络攻击的网络地址调度方法实施例2的步骤流程图,具体可以包括如下步骤:
步骤201,根据攻击数据为各网络地址配置相应的使用状态。
本申请实施例针对各网络地址配置相应的使用状态,使用状态包括在用状态、备用状态、暂时不可用状态、长期不可用状态和不可用状态中多种。其中,在用状态标识该网络地址处于被某个客户端使用的工作状态;备用状态标识该网络地址处于准备工作状态;暂时不可用状态标识该网络地址受到攻击,攻击结束前,处于暂时不可用状态;长期不可用状态标识该网络地址受到频繁攻击,攻击结束后,处于较长一段时间内不可用状态;不可用状态标识该网络地址处于不可用状态。
具体如上个实施例所述,攻击数据可以包括历史攻击数据和当前攻击数据,其中,历史攻击数据可以包括攻击次数、攻击总时间和攻击时间点中至少一种。使用状态的配置依据是该网络地址的攻击数据,可以有具体的配置规则,例如攻击总时间、攻击次数达到较大的第二阈值则添加至黑名单并配置为不可用状态,或是一段时间内的攻击次数为0,则标记为可用状态。
步骤202,实时获取更新的攻击数据,并根据所述更新的攻击数据变更所述网络地址的使用状态。
由于攻击数据在不断更新,因此,可以实时获取更新的攻击数据,并根据攻击数据变更使用状态。
如图3所示,以IP地址为例,给出了网络地址的使用状态变更的示意图,图中编号分别对应如下过程:
1、在用状态IP受到攻击,迁移到暂时不可用状态。
2、暂时不可用状态下的IP受到的攻击结束,迁移到备用状态。
3、暂时不可用状态下的IP受到的攻击结束,检测到该IP受到攻击频繁,迁移到长期不可用状态。
4、长期不可用状态下的IP经过一段时间解禁,迁移到备用状态。
5、备用状态下的IP开始工作,进入在用状态。
6、对IP配置黑名单,设置IP不可用。
7、解除IP黑名单,IP迁移到暂时不可用状态。
步骤203,按照所述使用状态的不同,将所述网络地址划分到采用相应使用状态标记的网络地址集合中。
本申请实施例中,将具备相同使用状态的网络地址划分至同一网络地址集合中,便于在集合中对同样使用状态的网络地址进行统一管理,还可以后续筛选时直接从某一个或几个集合中进行筛选。
步骤204,获取针对所述网络地址所属网络地址集合配置的攻击数据和/或所述性能数据的权重。
步骤205,根据所述攻击数据和/或所述性能数据以及对应获取的权重,计算各网络地址的服务性能评分。
本申请实施例中,按照攻击数据和/或性能数据进行服务性能评分的计算时,可以针对不同的攻击数据和/或性能数据分配对应的权重,将各个攻击数据和/或性能数据的加权平均值作为最终计算的服务性能评分。
步骤206,从至少一个网络地址集合中,按照所述服务性能评分筛选至少一个网络地址反馈至请求调度的客户端,以供所述客户端根据所述网络地址访问业务服务端。
针对客户端的调度请求进行筛选时,可以从一个或多个网络地址集合中进行筛选,例如,由于在用状态集合中的网络地址无法使用,不可用状态集合中的网络地址容易受到攻击,服务性能较差,可以从备用状态或是暂时不可用状态中,分别按照服务性能评分进行选取,为获得最好的网络地址,可以仅从备用状态的网络地址集合中获取,缩小了筛选的范围,同时提高了所反馈网络地址的可用性和服务能力。
步骤207,配置所述网络地址集合之间的关联关系。
针对不同网络地址集合可以配置一定的关联关系,从而使网络地址可以在网络地址集合之间迁移,例如,对网络地址的可用状态进行变更时可以从一个集合迁移到另一个集合,或是在一个集合的网络地址不够使用时,从另一个集合获取备用的网络地址。
步骤208,接收监控到目标网络地址集合中网络地址的数量不足时触发的调度请求。
本申请实施例中,对各个网络地址集合中的网络地址的数量进行监控,当监控到某个集合的数量不足时,需要从另一个关联的集合调取网络地址补充进当前集合。
步骤209,从所述目标网络地址集合关联的其他网络地址集合中,根据所述服务性能评分筛选至少一个网络地址反馈至所述目标网络地址集合。
具体调取可以按照服务性能评分进行,即当一个网络地址集合中的网络地址数量不够时,按照服务性能评分从另一个网络地址集合中调取至少一个网络地址,可以选取服务性能评分较高的一个或多个,或是选取服务性能评分符合某个数值范围的一个或多个。例如,在用状态的IP集合为空或者IP数量不足时,对在用状态的IP集返回备用状态下的服务性能评分最高的一个或者一些IP;在备用状态的IP集为空或者IP数量不足时,对备用状态的IP集返回长期不可用状态下的服务性能评分最高的一个或者一些IP。
依据本申请实施例,一方面,可以应用于客户端请求调度网络地址的场景,向客户端反馈网络地址,使原采用受DDoS攻击的网络地址的客户端可以切换至新的网络地址进行访问,从而直接避开与攻击者争抢资源,降低了防御成本;并且仅仅是当前用户切换网络地址,绝大部分用户在受到DDoS攻击时不会受到明显影响,大大减小了因误杀对用户访问业务目标造成的影响,提高了用户体验;另一方面,根据各网络地址的攻击数据和所属的设备性能为各网络地址统计服务性能评分,并以该服务性能评分为依据筛选至少一个网络地址并反馈,从而可以满足调度请求的个性化需求,例如可以反馈服务性能评分最高的网络地址,也即是提供服务最优的网络地址,从而可以保证客户端流量的稳定性,可以更进一步提高网络防御能力。
进一步,本申请实施例中,还可以根据各网络地址的攻击数据区分各网络地址所属使用状态,从而可以根据使用状态调度可用的网络地址,缩小了筛选的范围,同时提高了所反馈网络地址的可用性和服务能力。
需要说明的是,对于方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本申请实施例并不受所描述的动作顺序的限制,因为依据本申请实施例,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作并不一定是本申请实施例所必须的。
实施例3
参照图4,示出了本申请的一种应对网络攻击的网络地址调度装置实施例的结构框图,具体可以包括如下模块:
第一地址筛选模块301,用于根据各网络地址的攻击数据和/或所属设备的性能数据,筛选至少一个网络地址;
网络地址反馈模块302,用于将所述网络地址反馈至请求调度的客户端,以供所述客户端根据所述网络地址访问业务服务端。
本申请实施例中,优选地,所述网络地址具备相应的使用状态,具备相同使用状态的网络地址划分至同一网络地址集合中。
本申请实施例中,优选地,所述第一地址筛选模块包括:
评分统计子模块,用于根据各网络地址的攻击数据和/或所属设备的性能数据,统计各网络地址的服务性能评分;
评分筛选子模块,用于按照所述服务性能评分筛选至少一个网络地址。
本申请实施例中,优选地,所述评分统计子模块包括:
权重获取子单元,用于获取针对所述网络地址所属网络地址集合配置的攻击数据和/或所述性能数据的权重;
加权计算子单元,用于根据所述攻击数据和/或所述性能数据以及对应获取的权重,计算各网络地址的服务性能评分。
本申请实施例中,优选地,所述评分筛选子模块,具体用于从至少一个网络地址集合中,按照所述服务性能评分筛选至少一个网络地址反馈至请求调度的客户端。
本申请实施例中,优选地,所述装置还包括:
状态配置模块,用于根据所述攻击数据为各网络地址配置相应的使用状态,所述使用状态包括在用状态、备用状态、暂时不可用状态、长期不可用状态和不可用状态中多种;
集合划分模块,用于按照所述使用状态的不同,将所述网络地址划分到采用相应使用状态标记的网络地址集合中。
本申请实施例中,优选地,所述装置还包括:
状态变更模块,用于实时获取更新的攻击数据,并根据所述更新的攻击数据变更所述网络地址的使用状态。
本申请实施例中,优选地,所述装置还包括:
关系配置模块,用于配置所述网络地址集合之间的关联关系。
本申请实施例中,优选地,所述装置还包括:
第一调度接收模块,用于接收监控到目标网络地址集合中网络地址的数量不足时触发的调度请求;
第二地址筛选模块,用于从所述目标网络地址集合关联的其他网络地址集合中,根据各网络地址的攻击数据和/或所属设备的性能数据,筛选至少一个网络地址反馈至所述目标网络地址集合。
本申请实施例中,优选地,所述第一地址筛选模块,具体用于当监测到对第一网络地址的网络攻击时,根据各网络地址的攻击数据和/或所属设备的性能数据,筛选至少一个第二网络地址;
所述网络地址反馈模块,具体用于当接收到访问所述第一网络地址的客户端发送的调度请求时,将所述第二网络地址反馈至所述客户端。
本申请实施例中,优选地,所述第一地址筛选模块,具体用于当接收到访问所述第一网络地址的客户端发送的调度请求时,根据各网络地址的攻击数据和/或所属设备的性能数据,筛选至少一个第二网络地址;
所述网络地址反馈模块,具体用于将所述第二网络地址反馈至所述客户端。
本申请实施例中,优选地,所述攻击数据包括历史攻击数据和/或当前攻击数据;所述历史攻击数据包括攻击次数、攻击总时间和攻击时间点中至少一种;所述性能数据包括设备CPU、内存、IO频率、带宽和流量中至少一种。
依据本申请实施例,一方面,可以应用于客户端请求调度网络地址的场景,向客户端反馈网络地址,使原采用受DDoS攻击的网络地址的客户端可以切换至新的网络地址进行访问,从而直接避开与攻击者争抢资源,降低了防御成本;并且仅仅是当前用户切换网络地址,绝大部分用户在受到DDoS攻击时不会受到明显影响,大大减小了因误杀对用户访问业务目标造成的影响,提高了用户体验;另一方面,根据各网络地址的攻击数据和所属的设备性能为依据筛选至少一个网络地址并反馈,从而可以满足调度请求的个性化需求,例如可以反馈历史攻击较少、设备性能较高的网络地址,也即是提供服务最优的网络地址,从而可以保证客户端流量的稳定性,可以更进一步提高网络防御能力。
进一步,本申请实施例中,还可以根据各网络地址的攻击数据区分各网络地址所属使用状态,从而可以根据使用状态调度可用的网络地址,缩小了筛选的范围,同时提高了所反馈网络地址的可用性和服务能力。
对于装置实施例而言,由于其与方法实施例基本相似,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。
本领域内的技术人员应明白,本申请实施例的实施例可提供为方法、装置、或计算机程序产品。因此,本申请实施例可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
在一个典型的配置中,所述计算机设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括非持续性的电脑可读媒体(transitory media),如调制的数据信号和载波。
本申请实施例是参照根据本申请实施例的方法、终端设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理终端设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理终端设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理终端设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理终端设备上,使得在计算机或其他可编程终端设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程终端设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本申请实施例的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本申请实施例范围的所有变更和修改。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者终端设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者终端设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者终端设备中还存在另外的相同要素。
以上对本申请所提供的一种应对网络攻击的网络地址调度方法及装置,进行了详细介绍,本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想;同时,对于本领域的一般技术人员,依据本申请的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本申请的限制。
Claims (20)
1.一种应对网络攻击的网络地址调度方法,其特征在于,包括:
根据各网络地址的攻击数据和/或所属设备的性能数据,筛选至少一个网络地址;
将所述网络地址反馈至请求调度的客户端,以供所述客户端根据所述网络地址访问业务服务端。
2.根据权利要求1所述的方法,其特征在于,所述网络地址具备相应的使用状态,具备相同使用状态的网络地址划分至同一网络地址集合中。
3.根据权利要求2所述的方法,其特征在于,所述根据各网络地址的攻击数据和/或所属设备的性能数据,筛选至少一个网络地址包括:
根据各网络地址的攻击数据和/或所属设备的性能数据,统计各网络地址的服务性能评分;
按照所述服务性能评分筛选至少一个网络地址。
4.根据权利要求3所述的方法,其特征在于,所述根据各网络地址的攻击数据和/或所属设备的性能数据,统计各网络地址的服务性能评分包括:
获取针对所述网络地址所属网络地址集合配置的攻击数据和/或所述性能数据的权重;
根据所述攻击数据和/或所述性能数据以及对应获取的权重,计算各网络地址的服务性能评分。
5.根据权利要求3所述的方法,其特征在于,所述按照所述服务性能评分筛选至少一个网络地址包括:
从至少一个网络地址集合中,按照所述服务性能评分筛选至少一个网络地址反馈至请求调度的客户端。
6.根据权利要求2所述的方法,其特征在于,所述方法还包括:
根据所述攻击数据为各网络地址配置相应的使用状态,所述使用状态包括在用状态、备用状态、暂时不可用状态、长期不可用状态和不可用状态中多种;
按照所述使用状态的不同,将所述网络地址划分到采用相应使用状态标记的网络地址集合中。
7.根据权利要求6所述的方法,其特征在于,所述方法还包括:
实时获取更新的攻击数据,并根据所述更新的攻击数据变更所述网络地址的使用状态。
8.根据权利要求2所述的方法,其特征在于,所述方法还包括:
配置所述网络地址集合之间的关联关系。
9.根据权利要求8所述的方法,其特征在于,所述方法还包括:
接收监控到目标网络地址集合中网络地址的数量不足时触发的调度请求;
从所述目标网络地址集合关联的其他网络地址集合中,根据各网络地址的攻击数据和/或所属设备的性能数据,筛选至少一个网络地址反馈至所述目标网络地址集合。
10.根据权利要求1所述的方法,其特征在于,所述根据各网络地址的攻击数据和/或所属设备的性能数据,筛选至少一个网络地址包括:
当监测到对第一网络地址的网络攻击时,根据各网络地址的攻击数据和/或所属设备的性能数据,筛选至少一个第二网络地址;
所述将所述网络地址反馈至请求调度的客户端包括:
当接收到访问所述第一网络地址的客户端发送的调度请求时,将所述第二网络地址反馈至所述客户端。
11.根据权利要求1所述的方法,其特征在于,所述根据各网络地址的攻击数据和/或所属设备的性能数据,筛选至少一个网络地址包括:
当接收到访问所述第一网络地址的客户端发送的调度请求时,根据各网络地址的攻击数据和/或所属设备的性能数据,筛选至少一个第二网络地址;
所述将所述网络地址反馈至请求调度的客户端包括:
将所述第二网络地址反馈至所述客户端。
12.根据权利要求1所述的方法,其特征在于,所述攻击数据包括历史攻击数据和/或当前攻击数据;所述历史攻击数据包括攻击次数、攻击总时间和攻击时间点中至少一种;所述性能数据包括设备CPU、内存、IO频率、带宽和流量中至少一种。
13.一种应对网络攻击的网络地址调度装置,其特征在于,包括:
第一地址筛选模块,用于根据各网络地址的攻击数据和/或所属设备的性能数据,筛选至少一个网络地址;
网络地址反馈模块,用于将所述网络地址反馈至请求调度的客户端,以供所述客户端根据所述网络地址访问业务服务端。
14.根据权利要求13所述的装置,其特征在于,所述网络地址具备相应的使用状态,具备相同使用状态的网络地址划分至同一网络地址集合中。
15.根据权利要求14所述的装置,其特征在于,所述第一地址筛选模块包括:
评分统计子模块,用于根据各网络地址的攻击数据和/或所属设备的性能数据,统计各网络地址的服务性能评分;
评分筛选子模块,用于按照所述服务性能评分筛选至少一个网络地址。
16.根据权利要求15所述的装置,其特征在于,所述评分统计子模块包括:
权重获取子单元,用于获取针对所述网络地址所属网络地址集合配置的攻击数据和/或所述性能数据的权重;
加权计算子单元,用于根据所述攻击数据和/或所述性能数据以及对应获取的权重,计算各网络地址的服务性能评分。
17.根据权利要求15所述的装置,其特征在于,所述评分筛选子模块,具体用于从至少一个网络地址集合中,按照所述服务性能评分筛选至少一个网络地址反馈至请求调度的客户端。
18.根据权利要求14所述的装置,其特征在于,所述装置还包括:
状态配置模块,用于根据所述攻击数据为各网络地址配置相应的使用状态,所述使用状态包括在用状态、备用状态、暂时不可用状态、长期不可用状态和不可用状态中多种;
集合划分模块,用于按照所述使用状态的不同,将所述网络地址划分到采用相应使用状态标记的网络地址集合中。
19.根据权利要求18所述的装置,其特征在于,所述装置还包括:
状态变更模块,用于实时获取更新的攻击数据,并根据所述更新的攻击数据变更所述网络地址的使用状态。
20.根据权利要求14所述的装置,其特征在于,所述装置还包括:
关系配置模块,用于配置所述网络地址集合之间的关联关系。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610201954.8A CN107294922A (zh) | 2016-03-31 | 2016-03-31 | 一种应对网络攻击的网络地址调度方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610201954.8A CN107294922A (zh) | 2016-03-31 | 2016-03-31 | 一种应对网络攻击的网络地址调度方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107294922A true CN107294922A (zh) | 2017-10-24 |
Family
ID=60087648
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610201954.8A Pending CN107294922A (zh) | 2016-03-31 | 2016-03-31 | 一种应对网络攻击的网络地址调度方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107294922A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113141420A (zh) * | 2021-05-17 | 2021-07-20 | 中国信息安全测评中心 | 网络地址变更方法、装置以及设备 |
| CN113489739A (zh) * | 2021-07-16 | 2021-10-08 | 北京顶象技术有限公司 | 基于CDN的抗DDoS攻击的业务稳定性方法和装置 |
| CN113518344A (zh) * | 2021-07-21 | 2021-10-19 | 荣耀终端有限公司 | 用户设备及其节能方法、介质 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2010064799A2 (en) * | 2008-12-02 | 2010-06-10 | Cdnetworks Co., Ltd. | Countering against distributed denial-of-service (ddos) attack using content delivery network |
| CN101917425A (zh) * | 2010-08-09 | 2010-12-15 | 中国电信股份有限公司 | 双向在线方式的网吧流量集中式清洗系统及方法 |
| CN101924797A (zh) * | 2010-08-26 | 2010-12-22 | 成都市华为赛门铁克科技有限公司 | 资源下载的处理方法、装置及系统 |
| CN101938504A (zh) * | 2009-06-30 | 2011-01-05 | 深圳市融创天下科技发展有限公司 | 集群服务器智能调度的方法及系统 |
| CN103023924A (zh) * | 2012-12-31 | 2013-04-03 | 网宿科技股份有限公司 | 基于内容分发网络的云分发平台的DDoS攻击防护方法和系统 |
| CN103179136A (zh) * | 2013-04-22 | 2013-06-26 | 南京铱迅信息技术有限公司 | 防御动态网站中饱和分布式拒绝服务攻击的方法和系统 |
| CN103650440A (zh) * | 2011-06-22 | 2014-03-19 | 赛格纳斯广播公司 | 用于在通信网络中优先化并调度数据包的检测系统和方法 |
| CN105245549A (zh) * | 2015-10-30 | 2016-01-13 | 上海红神信息技术有限公司 | 一种抵抗DDoS攻击的主动防御方法 |
| CN106302313A (zh) * | 2015-05-14 | 2017-01-04 | 阿里巴巴集团控股有限公司 | 基于调度系统的DDoS防御方法和DDoS防御系统 |
-
2016
- 2016-03-31 CN CN201610201954.8A patent/CN107294922A/zh active Pending
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2010064799A2 (en) * | 2008-12-02 | 2010-06-10 | Cdnetworks Co., Ltd. | Countering against distributed denial-of-service (ddos) attack using content delivery network |
| CN101938504A (zh) * | 2009-06-30 | 2011-01-05 | 深圳市融创天下科技发展有限公司 | 集群服务器智能调度的方法及系统 |
| CN101917425A (zh) * | 2010-08-09 | 2010-12-15 | 中国电信股份有限公司 | 双向在线方式的网吧流量集中式清洗系统及方法 |
| CN101924797A (zh) * | 2010-08-26 | 2010-12-22 | 成都市华为赛门铁克科技有限公司 | 资源下载的处理方法、装置及系统 |
| CN103650440A (zh) * | 2011-06-22 | 2014-03-19 | 赛格纳斯广播公司 | 用于在通信网络中优先化并调度数据包的检测系统和方法 |
| CN103023924A (zh) * | 2012-12-31 | 2013-04-03 | 网宿科技股份有限公司 | 基于内容分发网络的云分发平台的DDoS攻击防护方法和系统 |
| CN103179136A (zh) * | 2013-04-22 | 2013-06-26 | 南京铱迅信息技术有限公司 | 防御动态网站中饱和分布式拒绝服务攻击的方法和系统 |
| CN106302313A (zh) * | 2015-05-14 | 2017-01-04 | 阿里巴巴集团控股有限公司 | 基于调度系统的DDoS防御方法和DDoS防御系统 |
| CN105245549A (zh) * | 2015-10-30 | 2016-01-13 | 上海红神信息技术有限公司 | 一种抵抗DDoS攻击的主动防御方法 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113141420A (zh) * | 2021-05-17 | 2021-07-20 | 中国信息安全测评中心 | 网络地址变更方法、装置以及设备 |
| CN113141420B (zh) * | 2021-05-17 | 2022-04-26 | 中国信息安全测评中心 | 网络地址变更方法、装置以及设备 |
| CN113489739A (zh) * | 2021-07-16 | 2021-10-08 | 北京顶象技术有限公司 | 基于CDN的抗DDoS攻击的业务稳定性方法和装置 |
| CN113489739B (zh) * | 2021-07-16 | 2024-03-08 | 北京顶象技术有限公司 | 基于CDN的抗DDoS攻击的业务稳定性方法和装置 |
| CN113518344A (zh) * | 2021-07-21 | 2021-10-19 | 荣耀终端有限公司 | 用户设备及其节能方法、介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10855545B2 (en) | Centralized resource usage visualization service for large-scale network topologies | |
| US11842207B2 (en) | Centralized networking configuration in distributed systems | |
| US9647904B2 (en) | Customer-directed networking limits in distributed systems | |
| CA2931524C (en) | Customer-directed networking limits in distributed systems | |
| JP7116759B2 (ja) | 分散システムにおける集中ネットワーク構成 | |
| US9712390B2 (en) | Encoding traffic classification information for networking configuration | |
| CN101119321B (zh) | 网络流量分类处理方法及网络流量分类处理装置 | |
| CN106161076B (zh) | 虚拟网络功能扩展方法和装置 | |
| WO2015116449A1 (en) | Methods, systems, and computer readable media for a cloud-based virtualization orchestrator | |
| CN106357685A (zh) | 一种防御分布式拒绝服务攻击的方法及装置 | |
| CN107294922A (zh) | 一种应对网络攻击的网络地址调度方法及装置 | |
| CN106534043A (zh) | 一种流量处理方法,设备和系统 | |
| CN110012076B (zh) | 一种连接建立方法及装置 | |
| CN107395554B (zh) | 流量攻击的防御处理方法及装置 | |
| CN108183884A (zh) | 一种网络攻击判定方法及装置 | |
| CN107370624A (zh) | 一种地址切换方法、装置、域名系统及电子设备 | |
| CN107786586A (zh) | 业务的负载调度方法及装置 | |
| WO2023188185A1 (ja) | 配置システム及び配置方法 | |
| CN106411871A (zh) | 构建应用信誉库的方法及装置 | |
| CN108008910A (zh) | 一种数据管理方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20171024 |