CN110113435B

CN110113435B - 一种流量清洗的方法和设备

Info

Publication number: CN110113435B
Application number: CN201910444437.7A
Authority: CN
Inventors: 杨雪皎; 贺艳
Original assignee: Nsfocus Technologies Inc; Nsfocus Technologies Group Co Ltd
Current assignee: Nsfocus Technologies Inc; Nsfocus Technologies Group Co Ltd
Priority date: 2019-05-27
Filing date: 2019-05-27
Publication date: 2022-01-14
Anticipated expiration: 2039-05-27
Also published as: CN110113435A

Abstract

本发明公开了一种流量清洗的方法和设备，涉及通信技术领域，用以解决目前只能单独通过本地网络防护设备或云端设备对攻击流量的进行防护的问题，本发明方法包括：网络流量监测设备在检测到攻击流量之后，确定所述攻击流量的大小；所述网络流量监测设备根据所述攻击流量的大小以及防护设备的防护能力确定对所述攻击流量进行清洗的防护设备，其中所述防护设备包括本地网络防护设备和云端网络防护设备，所述防护设备的防护能力表示所述防护设备对攻击流量进行防护和清洗的能力；所述网络流量监测设备将所述攻击流量牵引至确定的防护设备，由于本发明可以根据攻击流量的大小以及防护设备的防护能力选择对防护设备，实现了智能化的流量清洗。

Description

一种流量清洗的方法和设备

技术领域

本发明涉及网络安全技术领域，特别涉及一种流量清洗的方法和设备。

背景技术

随着互联网2.0的到来，网络已经越发深度地和人们的生活交织在一起。网络安全的重要性越发显著，随着国内外网络攻击的类型层出不穷和攻击流量的激增，逐步兴起了一种流量清洗技术对攻击流量进行检测和控制，对DDoS攻击(Distributed Denial ofService，分布式拒绝服务攻击)和网络入侵的监控具有极佳的效果。

流量清洗的原理是在发现网络攻击行为后，通过改变流量转发方向，将流量牵引至本地网络防护设备或是云端网络防护设备对攻击流量进行清洗，之后将正常流量回注到网络中。

然而，单纯的传统本地防护虽然能够做到精细的流量清洗，但是受限于带宽和增加本地防护设备的成本，难以防护大流量的攻击；而云端的防护方案虽然能够防御超大流量的攻击，但防护粒度不够精细，难以针对不同的客户优化具体的防护方案，因此效果也不甚理想。

综上所述，目前只能实现单独通过网络防护设备或是云端防护设备对攻击流量的进行防护，无法充分利用两者的优势，从而更好地进行防护。

发明内容

本发明提供一种流量清洗的方法和设备，用以解决现有技术中存在目前只能实现单独通过网络防护设备或是云端防护设备对攻击流量的进行防护无法充分利用两者优势的问题。

第一方面，本发明实施例提供的一种流量清洗的方法包括：

网络流量监测设备在检测到攻击流量之后，确定所述攻击流量的大小；

所述网络流量监测设备根据所述攻击流量的大小以及防护设备的防护能力确定对所述攻击流量进行清洗的防护设备，其中所述防护设备包括本地网络防护设备和云端网络防护设备，所述防护设备的防护能力表示所述防护设备对攻击流量进行防护和清洗的能力；

所述网络流量监测设备将所述攻击流量牵引至确定的防护设备。

上述方法，由于本发明防护设备包括本地网络防护设备和云端网络防护设备，可以根据攻击流量的大小以及防护设备的防护能力选择对攻击流量进行清洗的防护设备，通过网络流量监测设备进行智能网络防护模块选择，从而不再是单独通过网络防护设备或是云端防护设备对攻击流量的进行防护，相比单独通过本地或者云端进行清洗的方案，更加有效地利用了本地和云端的清洗资源，并且随着更多地流量攻击网络，防护设备的防护能力和清洗能力会逐渐减小，在选择防护设备时考虑了攻击流量的大小以及防护设备对攻击流量进行防护和清洗的能力，选择出的对所述攻击流量进行清洗的防护设备更优，因此清洗效果更佳。

在一种可能的实现方式中，所述网络流量监测设备根据所述攻击流量的大小以及防护设备的防护能力确定对所述攻击流量进行清洗的防护设备，包括：

所述网络流量监测设备根据所述攻击流量的大小以及防护设备的防护能力判断是否有满足清洗条件的本地网络防护设备；

如果有，则所述网络流量监测设备从所述满足清洗条件的本地网络防护设备选择至少一个本地网络防护设备作为对所述攻击流量进行清洗的防护设备；

否则，所述网络流量监测设备从满足所述清洗条件的云端网络防护设备选择至少一个云端网络防护设备作为对所述攻击流量进行清洗的防护设备。

上述方法，对于较小的攻击流量，优选本地网络防护设备，因为本地网络防护设备的防护粒度比云端网络防护设备高，可以针对不同的客户选取不同的防护策略从而可以实现更加精细的清洗，当攻击流量较大时，本地网络防护设备受限于带宽的限制，此时选择云端网络防护设备对攻击流量进行清洗，此外，由于对攻击流量进行清洗的防护设备需要满足清洗条件，从而可以实现更加高效的流量清洗，实现了清洗资源的高效使用，在本地网络防护模块能力充足时使用本地清洗资源，当本地清洗资源不足以应付时利用云端资源进行防护。

在一种可能的实现方式中，所述清洗条件为：

所述攻击流量的大小不大于防护设备的最大防护流量阈值，且由防护设备的防护能力确定的防护参数小于防护能力使用率阈值，且由防护设备的防护能力确定的清洗参数小于清洗峰值阈值。

上述方法，随着更多地流量攻击，防护设备的防护能力和清洗能力会逐渐减小，根据防护设备的防护和清洗能力确定防护参数及清洗参数后，可以实现对防护设备的防护能力、清洗能力的定量表示，进而选取攻击流量的大小不大于防护设备的最大防护流量阈值，防护参数小于防护能力使用率阈值、清洗参数小于清洗能力使用率阈值，通过上述条件选择的防护设备更优。

在一种可能的实现方式中，所述方法还包括：

所述网络流量监测设备周期性的向所述确定的防护设备发送防护策略同步指令，以使所述本地网络防护设备与云端网络防护设备之间进行防护策略的共享。

上述方法，通过防护策略同步指令触发本地网络防护设备与云端网络防护设备之间进行防护策略的共享，可以使得云端网络防护设备获取除自身防护策略外更加精细的防护策略，从而是云端网络防护设实现对不同客户选取不同的防护策略清洗攻击流量，增强了云端网络防护设备的防护粒度，通过在本地和云端清洗资源之间共享防护策略，有利于实现防护策略优化，充分利用各个本地清洗资源和云端清洗资源之间进行防护策略共享，使得防护策略更加智能化，便于实现高效的攻击流量清洗。

第二方面，本发明实施例提供的一种流量清洗的方法包括：

云端网络防护设备接收由网络流量监测设备牵引的攻击流量；

所述云端网络防护设备对所述攻击流量进行清洗；

其中，所述攻击流量是所述网络流量监测设备根据所述攻击流量的大小以及防护设备的防护能力确定由所述云端网络防护设备对所述攻击流量进行清洗后牵引至所述云端网络防护设备的，所述防护设备包括本地网络防护设备和云端网络防护设备，所述防护设备的防护能力表示所述防护设备对攻击流量进行防护和清洗的能力。

上述方法，由于攻击流量是在网络流量监测设备根据所述攻击流量的大小以及防护设备的防护能力确定由云端网络防护设备对攻击流量进行清洗后牵引过来的，这种情况下，本地网络防护设备的清洗效果不如云端，并且云端网络防护设备可以实现大流量的清洗，因此触发云端防护设备开启清洗，从而不再是单独通过网络防护设备或是云端防护设备对攻击流量的进行防护。

在一种可能的实现方式中，所述云端网络防护设备对所述攻击流量进行清洗，包括：

所述云端网络防护设备在防护策略集合中选择与所述攻击流量的攻击目标IP(Internet Protocol，网际协议)地址对应的防护策略；

所述云端网络防护设备根据所述防护策略对所述攻击流量进行清洗。

上述方法，云端网络防护设备在对攻击流量进行清洗时，不再只是根据自身的防护策略，而是从防护策略集合中选择与所述攻击流量的攻击目标IP地址对应的防护策略，实现了针对不同的客户选取不同的防护策略进行更加精细化的流量清洗，增强了云端网络防护设备的防护粒度，实现了高效的攻击流量清洗。

在一种可能的实现方式中，所述云端网络防护设备在防护策略集合中选择与所述攻击流量的攻击目标IP地址对应的防护策略之前，还包括：

所述云端网络防护设备接收所述本地网络防护设备发送的防护策略，并将所述防护策略添加到所述防护策略集合。

上述方法，本地网络防护设备向云端网络防护设备发送防护策略，云端网络防护设备在接收到本地网络防护设备共享的防护策略后整合到防护策略集合中，从而丰富了云端网络防护设备的防护策略，不再是单一的自身防护策略，便于提高云端网络防护设备的防护粒度。

第三方面，本发明实施例提供的一种流量清洗的设备包括：至少一个处理单元以及至少一个存储单元，其中，所述存储单元存储有程序代码，当所述程序代码被所述处理单元执行时，使得所述处理单元执行下列过程：

在检测到攻击流量之后，确定所述攻击流量的大小；

根据所述攻击流量的大小以及防护设备的防护能力确定对所述攻击流量进行清洗的防护设备，其中所述防护设备包括本地网络防护设备和云端网络防护设备，所述防护设备的防护能力表示所述防护设备对攻击流量进行防护和清洗的能力；

将所述攻击流量牵引至确定的防护设备。

在一种可能的实现方式中，所述处理单元具体用于：

根据所述攻击流量的大小以及防护设备的防护能力判断是否有满足清洗条件的本地网络防护设备；

如果有，则从所述满足清洗条件的本地网络防护设备选择至少一个本地网络防护设备作为对所述攻击流量进行清洗的防护设备；

否则，从满足所述清洗条件的云端网络防护设备选择至少一个云端网络防护设备作为对所述攻击流量进行清洗的防护设备。

在一种可能的实现方式中，所述清洗条件为：

在一种可能的实现方式中，所述处理单元还用于：

周期性的向所述确定的防护设备发送防护策略同步指令，以使所述本地网络防护设备与云端网络防护设备之间进行防护策略的共享。

第四方面，本发明实施例还提供一种流量清洗的设备，该设备包括：至少一个处理单元以及至少一个存储单元，其中，所述存储单元存储有程序代码，当所述程序代码被所述处理单元执行时，使得所述处理单元执行下列过程：

接收由网络流量监测设备牵引的攻击流量；

对所述攻击流量进行清洗；

其中，所述攻击流量是所述网络流量监测设备根据所述攻击流量的大小以及防护设备的防护能力确定由云端网络防护设备对所述攻击流量进行清洗后牵引至所述云端网络防护设备的，所述防护设备包括本地网络防护设备和云端网络防护设备，所述防护设备的防护能力表示所述防护设备对攻击流量进行防护和清洗的能力。

在一种可能的实现方式中，所述处理单元具体用于：

在防护策略集合中选择与所述攻击流量的攻击目标IP地址对应的防护策略；

根据所述防护策略对所述攻击流量进行清洗。

在一种可能的实现方式中，所述处理单元还用于：

在防护策略集合中选择与所述攻击流量的攻击目标IP地址对应的防护策略之前，接收所述本地网络防护设备发送的防护策略，并将所述防护策略添加到所述防护策略集合。

第五方面，本发明实施例还提供一种流量清洗的设备，该设备包括：流量大小检测模块、防护设备选择模块和流量牵引模块：

流量大小检测模块，用于在检测到攻击流量之后，确定所述攻击流量的大小；

防护设备选择模块，用于根据所述攻击流量的大小以及防护设备的防护能力确定对所述攻击流量进行清洗的防护设备，其中所述防护设备包括本地网络防护设备和云端网络防护设备，所述防护设备的防护能力表示所述防护设备对攻击流量进行防护和清洗的能力；

流量牵引模块，用于将所述攻击流量牵引至确定的防护设备。

在一种可能的实现方式中，所述防护设备选择模块具体用于：

在一种可能的实现方式中，所述清洗条件为：

在一种可能的实现方式中，所述流量牵引模块还用于：

第六方面，本发明实施例还提供一种流量清洗的设备，该设备包括：接收模块和流量清洗模块：

接收模块：接收由网络流量监测设备牵引的攻击流量；

流量清洗模块：用于对所述攻击流量进行清洗；

在一种可能的实现方式中，所述流量清洗模块具体用于：

根据所述防护策略对所述攻击流量进行清洗。

在一种可能的实现方式中，所述接收模块还用于：

第七方面，本申请还提供一种计算机存储介质，其上存储有计算机程序，该程序被处理单元执行时实现第一方面所述方法的步骤。

另外，第二方面至第六方面中任一种实现方式所带来的技术效果可参见第一方面、第二方面中不同实现方式所带来的技术效果，此处不再赘述。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简要介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域的普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的一种流量清洗的系统示意图；

图2A为本发明实施例提供的一种流量清洗装置示意图；

图2B为本发明实施例提供的一种模块划分示意图；

图2C为本发明实施例提供的另一种模块划分示意图；

图3A为本发明实施例提供的一种流量清洗装置的网络拓扑示意图；

图3B为本发明实施例提供的一种网络流量监测模块执行过程示意图；

图4为本发明实施例提供的一种流量清洗的方法示意图；

图5为本发明实施例提供的另一种流量清洗的方法示意图；

图6为本发明实施例提供的一种流量清洗的完整方法示意图；

图7为本发明实施例提供的另一种流量清洗的完整方法示意图；

图8为本发明实施例提供的第一种网络流量监测设备示意图；

图9为本发明实施例提供的第一种云端网络防护设备示意图；

图10为本发明实施例提供的第二种网络流量监测设备示意图；

图11为本发明实施例提供的第二种云端网络防护设备示意图。

具体实施方式

为了使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明作进一步地详细描述，显然，所描述的实施例仅仅是本发明一部份实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

下面对文中出现的一些词语进行解释：

1、本发明实施例中术语“和/或”，描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。

2、本发明实施例中术语“攻击流量”网络攻击流量，是网络攻击产生的数据流，网络攻击(Cyberattack，也译为赛博攻击)是指针对计算机信息系统、基础设施、计算机网络或个人计算机设备的，任何类型的进攻动作。于计算机和计算机网络中，破坏、揭露、修改、使软件或服务失去功能、在没有得到授权的情况下偷取或访问任何一计算机的数据，都会被视为于计算机和计算机网络中的攻击。

本发明实施例描述的应用场景是为了更加清楚的说明本发明实施例的技术方案，并不构成对于本发明实施例提供的技术方案的限定，本领域普通技术人员可知，随着新应用场景的出现，本发明实施例提供的技术方案对于类似的技术问题，同样适用。其中，在本发明的描述中，除非另有说明，“多个”的含义是两个或两个以上。

流量牵引技术是为了防御大规模DDoS攻击和避免单点故障问题而提出的。最初防御DDoS攻击是依靠防火墙上的抗DDoS模块来完成。然而，即使再优秀的防火墙产品，上面的抗DDoS模块的防御能力都比较弱。因此，为了提高DDoS攻击的防御能力，在网络中布置专门用于防御DDoS攻击的设备。假设网络中的某一服务器受到DDoS攻击，流量牵引技术就是将发送至该服务器的流量牵引至网络中专门用于防御DDoS攻击的设备，其余正常流量按照原来的转发路径进行传输。

其中，网络中专门用于防御DDoS攻击的设备又称流量清洗设备。流量清洗设备的主要功能为牵引、清洗和回注。牵引是指将发送至受到DDoS攻击的服务器的流量转发至流量清洗设备；清洗是指流量清洗设备将接收到的流量中含有DDoS攻击的流量拦截；回注是指流量清洗设备将含有DDoS攻击的流量拦截之后，将正常流量重新转发回路由器。

现有技术中，对攻击流量进行清洗主要由流量检测、流量牵引、流量清洗、流量回注4个阶段，例如：

1)流量检测：可通过镜像、分光等方式检测指定的流量进行检测，检测是否为攻击流量。

2)流量牵引：检测到攻击流量后，通过BGP(Border Gateway Protocol，边界网关协议)动态路由协议等方式将需要保护的用户流量牵引到流量清洗设备上进行防护。

3)流量清洗：流量清洗设备收到牵引过来的流量后进行攻击识别，采用专业的DDoS防护技术对攻击报文进行流量清洗。

4)流量回注：完成清洗后，流量清洗设备将清洗后的正常流量回注到用户网络中。

因此本发明实施例提出一种智能的流量清洗方案，能够根据攻击类型和攻击流量大小和防护模块的剩余防护能力智能地进行流量清洗，做到智能防护。相比现有技术，本发明实现了清洗资源的高效使用，在本地防护模块能力充足时使用本地清洗资源，当本地清洗资源不足以应付时利用云端资源进行防护；

针对上述场景，下面结合说明书附图对本发明实施例做进一步详细描述。

如图1所示，本发明实施例的流量清洗的方法，系统包括：网络流量监测设备10和云端网络防护设备20。

网络流量监测设备10，用于在检测到攻击流量之后，确定所述攻击流量的大小；根据所述攻击流量的大小以及防护设备的防护能力确定对所述攻击流量进行清洗的防护设备，其中所述防护设备包括本地网络防护设备和云端网络防护设备，所述防护设备的防护能力表示所述防护设备对攻击流量进行防护和清洗的能力；将所述攻击流量牵引至确定的防护设备。

云端网络防护设备20，用于接收由网络流量监测设备牵引的攻击流量；对所述攻击流量进行清洗；

通过上述方案，由于本发明防护设备包括本地网络防护设备和云端网络防护设备，可以根据攻击流量的大小以及防护设备的防护能力选择对攻击流量进行清洗的防护设备，通过网络流量监测设备进行智能网络防护模块选择，从而不再是单独通过网络防护设备或是云端防护设备对攻击流量进行防护，相比单独通过本地或者云端进行清洗的方案，更加有效地利用了本地和云端的清洗资源，并且随着防护设备清洗次数的增加等，防护设备的防护能力和清洗能力会逐渐变化，在选择防护设备时考虑了攻击流量的大小以及防护设备对攻击流量进行防护和清洗的能力，选择出的对所述攻击流量进行清洗的防护设备更优，因此清洗效果更佳。

在本发明实施例中，网络流量监测设备实时监测网络流量，当检测到攻击流量时，则决策对攻击流量进行清洗的防护设备。

在本发明实施例中，网络流量监测设备、云端网络防护设备和本地网络防护设备的数目分别为至少一个，例如一个网络流量监测设备、一个云端网络防护设备、一个本地网络防护设备。

可选的，基于上述内容，本发明实施例提供一种攻击流量清洗的装置，包括网络流量监测模块200，本地网络防护模块201，云端网络防护模块202，如图2A所示，其中一个本地网络防护模块可以仅包括一个本地网络防护设备，也可以包含多个本地网络防护设备，云端网络防护模块也相同，可以仅包括一个云端网络防护设备，也可以包含多个云端网络防护设备，此外网络流量监测模块、本地网络防护模块和云端网络防护模块的数目也分别为至少一个。

其中，本地网络防护模块部署在本地网络入口处，用于对进出本地网络的流量进行清洗，一般清洗容量在几十Gbps的数量级。

网络流量监测模块用于监测本地网络入口路由器或交换设备的流量，接收多个网络防护模块的消息，并且配置基于防护设备防护能力的流量牵引策略，在检测到攻击流量时，实时计算各个网络防护模块的防护参数和清洗参数，根据情况决定是直接向路由器或交换设备发送牵引路由，将攻击流量牵引到本地网络防护模块进行清洗；或者在路由牵引的方式下，给上层的网络流量监测模块(与云端对应的网络流量监测模块)发送通知，由上层的网络流量监测模块触发流量牵引到上层的云端网络防护模块；或者在DNS牵引的情况下，通过给DNS配置服务器发送牵引通知，通过修改DNS条目的方式牵引流量至云端网络防护模块。同时由本地网络防护模块向云端网络防护模块共享包括被攻击IP、牵引保持时间、已检测的攻击类型、使用的攻击防护策略在内的防护策略信息，在云端网络防护模块牵引被攻击IP的攻击流量的同时根据本地网络防护模块发送的攻击类型、防护策略进行智能地防护策略优化，做到本地和云端联动，更加高效和智能地进行流量清洗。

具体的，网络流量监测设备根据攻击流量的大小以及防护设备的防护能力确定对攻击流量进行清洗的防护设备的详细过程如下：

网络流量监测设备根据攻击流量的大小以及防护设备的防护能力判断是否有满足清洗条件的本地网络防护设备；如果有，则网络流量监测设备从满足清洗条件的本地网络防护设备选择至少一个本地网络防护设备作为对攻击流量进行清洗的防护设备；否则，网络流量监测设备从满足清洗条件的云端网络防护设备选择至少一个云端网络防护设备作为对攻击流量进行清洗的防护设备。

其中，清洗条件为：

攻击流量的大小不大于防护设备的最大防护流量阈值，且由防护设备的防护能力确定的防护参数小于防护能力使用率阈值，且由防护设备的防护能力确定的清洗参数小于清洗峰值阈值。

例如，网络流量监测设备检测到大小为10Gbps的攻击流量，共有4个防护设备，分别为本地网络防护设备A、本地网络防护设备B、云端网络防护设备C、云端网络防护设备D，其中网络流量监测设备可以接收各个防护设备上报的防护能力，或是根据各个防护设备上报的防护能力指标计算各个防护设备的防护能力。

假设清洗峰值阈值为90％、防护能力使用率阈值为80％，本地网络防护设备A的最大防护流量阈值为10Gbps，本地网络防护设备B的最大防护流量阈值为15Gbps，云端网络防护设备A的最大防护流量阈值为30Gbps，云端网络防护设备B的最大防护流量阈值为50Gbps，这4个防护设备的防护参数和清洗参数都为0，网络流量监测设备通过判断确定有满足清洗条件的本地网络防护设备，为本地网络防护设备A和本地网络防护设备B，则从本地网络防护设备A和本地网络防护设备B中选择至少一个作为对这一攻击流量进行清洗的防护设备。

若网络流量监测设备检测到的攻击流量大小为20Gbps，此时没有满足清洗条件的本地网络防护设备，因此网络流量监测设备在满足清洗条件的云端网络防护设备中选择至少一个作为对该攻击流量进行清洗的防护设备，假设满足清洗条件的云端网络防护设备为云端网络防护设备A和云端网络防护设备B，则在云端网络防护设备A和B中选择至少一个即可。

在本发明实施例中，通过网络流量监测模块进行智能化的网络防护模块选择，在本地网络防护模块资源充足时直接在本地进行清洗；在超过本地防护能力时，切换到更加高能力的云端网络防护模块，实现了清洗资源的高效使用。

在本发明实施例中，通过云端网络防护设备对攻击流量进行清洗之前，云端网络防护设备接收由网络流量监测设备牵引的攻击流量；

其中，攻击流量是网络流量监测设备根据攻击流量的大小以及防护设备的防护能力确定由云端网络防护设备对攻击流量进行清洗后牵引至云端网络防护设备的，防护设备包括本地网络防护设备和云端网络防护设备，防护设备的防护能力表示防护设备对攻击流量进行防护和清洗的能力。

在本发明实施例中，网络防护模块用于对网络攻击流量进行清洗，分为本地和云端，可选的，可以对本地(或云端)防护模块进行更加细致的划分，划分方式有很多种，下面列举两种：

划分方式一、按照功能划分；

例如，将本地和/或云端网络防护模块划分为抗DDoS模块、抗CC(ChallengeCollapsar)模块、WAF(Web Application Firewall，网站应用级入侵防御系统)防护模块等，如图2B所示。

划分方式二、按自定义防护规则划分；

例如，划分为公共防护模块和自定义防护模块，其中自定义防护模块可用于解决一些定制化的特殊防护需求，如图2C所示，将本地(云端)网络防护模块划分为了3个模块，分别为公共防护模块、自定义防护模块1、自定义防护模块2。

需要说明的是，在本发明实施例中所列举的划分方式只是举例说明，任何一种对本地和/或云端网络防护模块进行划分的方式都适用于本发明实施例。

在本发明实施例中，网络防护模块的防护能力可以由表1所示的防护能力指标表示，包括能够防护的攻击峰值流量、攻击并发连接数、CPU、内存等，本地网络防护模块的总防护能力低于云端网络防护模块。

参数分类	分值	权值	概述
				CPU	S1	α	CPU主频、核数、缓存大小、使用率
内存	S2	β	内存大小、使用率
				清洗流量	S3	γ	防护模块清洗总流量
攻击并发总连接数	S4	δ	防护模块已有总连接数

表1防护能力指标统计表

则通过下列公式计算网络防护模块A1的防护能力分值：

C1＝α*S1(A1)+β*S2(A1)+γ*S3(A1)+δ*S4(A1)

假设C1_total表示总分，即初始分值(网络防护模块攻击并发总连接数为0时的分值)，总分C1_total＝100，根据实际情况可调整各参数分值和加权系数的分值(即权值)，确保初始总分都为100，随着网络防护模块攻击并发总连接数等参数的变化，分值会逐渐低于100分，即C1会随着网络防护模块的使用次数而逐渐减小。

在本发明实施例中，防护参数是根据防护设备的防护能力确定的，网络防护模块的防护参数则是通过该网络防护模块中所有防护设备的总防护能力确定的。可选的，可以将网络防护模块的防护能力使用率作为防护参数。

例如，用R1表示网络防护模块A1的防护能力使用率：

R1_防护能力＝1-C1_used/100

其中，C1_used表示随着网络防护模块A1随着攻击并发总连接数等参数的变化，重新计算出的网络防护模块A1的防护能力分值，初始状态下C1_used＝C1_total＝100；R1越接近1说明网络防护模块的负载越高，越接近饱和。

同时，考虑到攻击流量是一项重要指标，因此在本发明实施例中定义清洗使用率(即清洗参数)，清洗参数等于已使用的清洗容量与总的清洗容量的比值，R1_清洗容量＝S3(A1)_used/S3(A1)_total。

在本发明实施例中，当网络防护模块中包含多个防护设备时，S3(A1)_used则表示该网络防护模块中所有防护设备已使用的清洗容量的总分值，S3(A1)_total即所有防护设备清洗容量的总分值。

例如，网络防护模块A1中包含两个防护设备，分别为：防护设备b1、防护设备b2，例如，防护设备b1和b2的清洗容量分值各为100，则总的清洗容量分值为200，b1已使用的清洗容量为50％的分值为50，b2已使用的清洗容量的分值为50，则b1和b2已使用的清洗容量的总分值为100，即S3_used＝100，S3_total＝200，所示R1_清洗容量＝S3(A1)_used/S3(A1)_total＝50％。

在本发明实施例中，当网络防护模块中包含多个防护设备时，C1_used、C1_total的计算方式与S3(A1)_used、S3(A1)_total的计算方式是同样的原理。即C1_used则表示该网络防护模块中所有防护设备已使用的防护能力的总分值，C1_total即所有防护设备防护能力的总分值。

在本发明实施例中，网络防护模块周期性地向网络流量监测模块上报表1所示各个参数的当前值，由网络流量监测模块计算得到各个网络防护模块的防护参数和清洗参数。

例如，上报周期为T，网络防护模块A1在t＝T时刻上报的各个参数当前值为：S1＝85，S2＝86，S3＝87，S4＝88；在t＝2T时刻上报的各个参数当前值为：S1＝75，S2＝74，S3＝73，S4＝72。

在网络流量监测模块检测到攻击流量之后，网络流量监测模块会同时考虑现有的攻击流量大小和网络防护模块的防护能力来决定选择哪个网络防护模块对攻击流量进行清洗。

可选的，网络流量监测模块在决策对攻击流量进行清洗的网络防护模块时，也可以在考虑攻击流量大小和网络防护模块的防护能力的同时考虑攻击流量的攻击类型，以便进一步选择更加适用于该攻击类型的网络防护设备以实现更加高效的防护，例如，攻击流量的类型为DDoS时，则可以选择本地或云端抗DDoS模块对该攻击流量进行清洗。

在本发明实施例中，云端网络防护模块按照牵引方式可分为两大类：一类是在更上层的骨干网通过路由牵引实现，比如运营商建设的专用清洗资源机房；另一类是通过DNS(Domain Name System，域名系统)牵引实现，以互联网厂商的高防机房为代表。

如图3A所示，假设现在有2个网络流量监测模块A和B，3个网络防护模块A、B1、B2，其中网络防护模块A是本地网络防护模块，最大防护流量阈值是20Gbps，两个云端网络防护模块B1和B2的最大防护流量阈值分别是100Gbps和1Tbps，防护能力使用率阈值为80％，清洗峰值阈值90％，其中云端网络防护B2通过DNS方式进行牵引。

下面对网络流量监测模块选择网络防护模块的过程进行详细介绍，如图3B所示：

步骤1：(初始化阶段)3个网络防护模块向2个网络流量监测模块发送各自的防护能力指标；

步骤2：网络流量监测模块A检测到攻击流量(目前攻击流量大小为10Gbps)，计算发现本地网络防护模块A的防护参数<80％，且清洗参数<90％，直接选择本地网络防护模块A进行流量清洗，并持续监控攻击流量；

步骤3：网络流量监测模块A再次检测到攻击流量10Gbps，本地网络防护模块A的防护参数超过80％，且两个云端网络防护模块的防护参数和清洗参数均小于相应的阈值，优先选择清洗容量小的防护模块B1进行清洗，发送牵引指令给流量监测模块B，由流量监测模块B发起流量牵引，在省干牵引流量到云端网络防护模块B1，并持续监测攻击流量；

步骤4：网络流量监测模块B检测到攻击流量90Gbps，云端网络防护模块B1的清洗参数达到90％，而云端网络防护模块B2的防护参数和清洗参数均小于相应的阈值，发送牵引指令到DNS配置服务器，通过DNS牵引的方式把流量牵引到云端网络防护模块B2进行清洗。

在本发明实施例中，上面描述中的阈值和步骤都可以根据情况进行调整，实际情况有可能直接跳过步骤2、3，云端网络防护模块也可能都是基于路由牵引或者DNS牵引的。

可选的，网络流量监测模块在对攻击流量进行牵引的同时可以通过防护策略同步指令触发本地网络防护模块和云端网络防护模块共享防护策略信息，实现更加高效地流量清洗。

例如，网络流量监测模块在牵引攻击流量时或是周期性地向本地和/或云端网络防护模块发送防护策略同步指令，使得本地和各级云端网络防护模块之间共享防护策略。

可选的，云端网络防护模块在接收本地网络防护模块发送的防护策略后将防护策略添加到防护策略集合中，在防护策略集合中选择与攻击流量的攻击目标IP地址对应的防护策略，根据选择出的防护策略对攻击流量进行清洗。

例如，云端网络防护模块1自身的防护策略为防护策略1，该云端网络防护模块先后接收到本地网络防护模块1共享的2个防护策略，分别为防护策略2、防护策略3，以及本地网络防护模块2共享的防护策略4，并将这3个防护策略添加到防护策略集合中，网络流量监测模块将攻击流量牵引到云端网络防护模块1后，云端网络防护模块1在防护策略集合中选择出了2个防护策略与该攻击流量的目标IP地址对应，分别为防护策略2和防护策略4，在云端网络防护模块1根据选择出的防护策略对攻击流量进行清洗时，可以根据防护策略2或防护策略4对攻击流量进行清洗，也可以根据防护策略2和/或防护策略4，结合攻击流量的实际情况对该模块自身的防护策略1进行优化，采用优化后的防护策略1对攻击流量进行清洗。

可选的，在云端网络防护模块对攻击流量进行清洗之后，云端网络防护模块可以将优化后的防护策略1共享给本地网络防护模块，以使本地网络防护模块根据接收到的由云端网络防护模块发送的防护策略，对本地网络防护模块自身的防护策略进行优化，实现云端与本地网络防护模块之间防护策略的相互学习。

需要说明的是，本发明实施例中所列举的云端网络防护模块根据防护策略集合中与攻击流量的目标IP地址对应的防护策略对攻击流量进行清洗的方式只是举例说明，任何一种根据攻击流量的目标IP地址对应的防护策略对攻击流量进行清洗的方式都适用于本发明实施例。

如图4所示，本发明实施例提供的是一种流量清洗的方法，具体包括以下步骤：

步骤400、网络流量监测设备在检测到攻击流量之后，确定所述攻击流量的大小；

步骤401、所述网络流量监测设备根据所述攻击流量的大小以及防护设备的防护能力确定对所述攻击流量进行清洗的防护设备，其中所述防护设备包括本地网络防护设备和云端网络防护设备，所述防护设备的防护能力表示所述防护设备对攻击流量进行防护和清洗的能力；

步骤402、所述网络流量监测设备将所述攻击流量牵引至确定的防护设备。

可选的，所述网络流量监测设备根据所述攻击流量的大小以及防护设备的防护能力确定对所述攻击流量进行清洗的防护设备，包括：

可选的，所述清洗条件为：

可选的，所述方法还包括：

如图5所示，本发明实施例提供的是一种流量清洗的方法，具体包括以下步骤：

步骤500、云端网络防护设备接收由网络流量监测设备牵引的攻击流量；

步骤501、所述云端网络防护设备对所述攻击流量进行清洗；

可选的，所述云端网络防护设备对所述攻击流量进行清洗，包括：

所述云端网络防护设备在防护策略集合中选择与所述攻击流量的攻击目标IP地址对应的防护策略；

可选的，所述云端网络防护设备在防护策略集合中选择与所述攻击流量的攻击目标IP地址对应的防护策略之前，还包括：

下面针对由一个网络流量监测模块、一个本地网络防护模块和一个云端网络防护模块组成的系统，列举了两个具体的实施例对攻击流量清洗的方法进行详细阐述。

实施例一：

假设攻击流量一开始较小，小于本地网络防护模块的最大防护流量阈值，被牵引到本地网络防护模块，在攻击过程中增大至超过了本地网络防护模块的最大防护流量阈值，因此触发牵引至云端网络防护模块的牵引，并将流量按原链路去往服务器，并在本地网络防护模块和云端网络防护模块之间共享防护策略，如图6所示，具体过程如下：

步骤600、网络流量监测模块检测到针对目标IP地址(s)的攻击流量，通过内部流量分析模块分析判断触发路由牵引到本地网络防护模块进行流量清洗；

步骤601、本地网络防护模块根据本地防护策略进行流量清洗，清洗完成后回送给原服务器；

步骤602、网络流量监测模块检测到攻击流量峰值大小超过了本地网络防护模块的最大防护流量阈值，触发到云端网络防护模块进行防护，同时向本地网络防护模块发送防护策略同步指令；

步骤603、本地网络防护模块接收到网络流量监测模块的防护策略同步指令，把带攻击目标IP地址(s)等信息的防护策略同步给云端网络防护模块；

步骤604、云端网络防护模块结合本地防护策略和实际攻击流量分析优化自身的防护策略对流量进行清洗操作，并且周期性地和目的IP(s)对应的本地网络防护模块进行防护策略分享；

步骤605、云端网络防护模块检测到攻击停止后，触发流量回到原目的IP(s)。

实施例二：

假设攻击流量一开始就超过了本地网络防护模块的最大防护流量阈值，因此一开始攻击流量就会被牵引到云端网络防护模块，云端网络防护模块通过分析攻击流量，自学习优化自身的防护策略对攻击流量进行清洗，并且将优化后的防护策略同步回本地网络防护模块，在攻击停止后一定时间，流量按原链路去往服务器，如图7所示，具体过程如下：

步骤700、网络流量监测模块对外部流量进行实时分析，检测到攻击流量，通过内部流量分析模块分析判断攻击流量峰值超过本地网络防护模块的最大防护流量阈值，触发云端网络防护模块的牵引；

步骤701、网络流量监测模块将攻击流量牵引至云端网络防护模块；

步骤702、云端网络防护模块通过自身的防护策略对流量进行清洗操作，并检测到攻击停止，触发流量回到原目的IP(s)；

步骤703、云端网络防护模块接收网络流量监测模块发送的防护策略同步指令，和攻击流量的目的IP(s)对应的本地网络防护模块进行防护策略分享。

在本发明实施例中，针对不同牵引类型的云端网络防护模块，进行流量牵引和流量回注的方式不同，针对步骤602或步骤701，分以下两种情况：

情况一、对于路由牵引类型的云端网络防护模块：

网络流量监测模块发送牵引通知给上层的骨干网路由器，触发路由牵引被攻击目标IP地址流量至云端网络防护模块。

情况二、对于DNS牵引类型的云端网络防护模块：

网络流量监测模块发送带有被攻击目标IP地址、域名、业务端口在内的信息给云端网络防护模块，云端网络防护模块返回对应的高防IP和CNAME(Canonical NAME，规范名字)给对应的DNS服务器，完成DNS记录的修改，从而完成DNS牵引被攻击目的IP(s)流量到云端网络防护模块。

针对步骤605或步骤702，也分以下两种情况；

情况一、对于路由牵引类型的云端网络防护模块：

在牵引路由保持期过后自动释放，假设牵引时间为t，则在网络监测设备将攻击流量牵引至云端网络防护设备t时间之后，自动释放流量。

情况二、对于DNS牵引类型的云端网络防护模块：

由云端网络防护模块发送DNS回切通知给DNS服务器，完成对应目的IP(s)流量的切换。

基于相同的发明构思，本发明实施例中还提供了一种网络流量监测设备，由于该网络流量监测设备即是本发明实施例中的方法中的网络流量监测设备，并且该网络流量监测设备解决问题的原理与该方法相似，因此该网络流量监测设备的实施可以参见方法的实施，重复之处不再赘述。

如图8所示，本发明实施例还提供一种网络流量监测设备，该设备包括：至少一个处理单元800以及至少一个存储单元801，其中，所述存储单元801存储有程序代码，当所述程序代码被所述处理单元800执行时，使得设备执行下列过程：

在检测到攻击流量之后，确定所述攻击流量的大小；

将所述攻击流量牵引至确定的防护设备。

可选的，所述处理单元800具体用于：

可选的，所述清洗条件为：

可选的，所述处理单元800还用于：

基于相同的发明构思，本发明实施例中还提供了一种云端网络防护设备，由于该云端网络防护设备即是本发明实施例中的方法中的云端网络防护设备，并且该云端网络防护设备解决问题的原理与该方法相似，因此该云端网络防护设备的实施可以参见方法的实施，重复之处不再赘述。

如图9所示，本发明实施例还提供一种云端网络防护设备，该设备包括：至少一个处理单元900以及至少一个存储单元901，其中，所述存储单元901存储有程序代码，当所述程序代码被所述处理单元900执行时，使得设备执行下列过程：

接收由网络流量监测设备牵引的攻击流量；

对所述攻击流量进行清洗；

可选的，所述处理单元900具体用于：

根据所述防护策略对所述攻击流量进行清洗。

可选的，所述处理单元900还用于：

如图10所示，本发明实施例还提供一种网络流量监测设备，该设备包括流量大小检测模块1000、防护设备选择模块1001和流量牵引模块1002：

流量大小检测模块1000：用于在检测到攻击流量之后，确定所述攻击流量的大小；

防护设备选择模块1001：用于根据所述攻击流量的大小以及防护设备的防护能力确定对所述攻击流量进行清洗的防护设备，其中所述防护设备包括本地网络防护设备和云端网络防护设备，所述防护设备的防护能力表示所述防护设备对攻击流量进行防护和清洗的能力；

流量牵引模块1002：用于将所述攻击流量牵引至确定的防护设备。

可选的，所述防护设备选择模块1001具体用于：

可选的，所述清洗条件为：

可选的，所述流量牵引模块1002还用于：

基于相同的发明构思，本发明实施例中还提供了一种流量清洗的设备，由于该设备即是本发明实施例中的方法中的设备，并且该设备解决问题的原理与该方法相似，因此该设备的实施可以参见方法的实施，重复之处不再赘述。

如图11所示，本发明实施例还提供一种流量清洗的设备，该设备包括：接收模块1100和流量清洗模块1101：

接收模块1100：用于接收由网络流量监测设备牵引的攻击流量；

流量清洗模块1101：用于对所述攻击流量进行清洗；

可选的，所述流量清洗模块1101具体用于：

根据所述防护策略对所述攻击流量进行清洗。

可选的，所述接收模块1100还用于：

本发明实施例还提供一种计算机可读非易失性存储介质，包括程序代码，当所述程序代码在计算终端上运行时，所述程序代码用于使所述计算终端执行上述本发明实施例流量清洗的方法的步骤。

以上参照示出根据本申请实施例的方法、装置(系统)和/或计算机程序产品的框图和/或流程图描述本申请。应理解，可以通过计算机程序指令来实现框图和/或流程图示图的一个块以及框图和/或流程图示图的块的合。可以将这些计算机程序指令提供给通用计算机、专用计算机的处理器和/或其它可编程数据处理装置，以产生机器，使得经由计算机处理器和/或其它可编程数据处理装置执行的指令创建用于实现框图和/或流程图块中所指定的功能/动作的方法。

相应地，还可以用硬件和/或软件(包括固件、驻留软件、微码等)来实施本申请。更进一步地，本申请可以采取计算机可使用或计算机可读存储介质上的计算机程序产品的形式，其具有在介质中实现的计算机可使用或计算机可读程序代码，以由指令执行系统来使用或结合指令执行系统而使用。在本申请上下文中，计算机可使用或计算机可读介质可以是任意介质，其可以包含、存储、通信、传输、或传送程序，以由指令执行系统、装置或设备使用，或结合指令执行系统、装置或设备使用。

显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。

Claims

1.一种流量清洗的方法，其特征在于，该方法包括：

所述网络流量监测设备根据所述攻击流量的大小以及防护设备的防护能力，确定满足清洗条件的防护设备，作为对所述攻击流量进行清洗的防护设备，其中所述防护设备包括本地网络防护设备和云端网络防护设备，所述防护设备的防护能力表示所述防护设备对攻击流量进行防护和清洗的能力；

所述网络流量监测设备将所述攻击流量牵引至确定的防护设备；

其中，所述清洗条件为：

所述攻击流量的大小不大于防护设备的最大防护流量阈值，且由防护设备的防护能力确定的防护参数小于防护能力使用率阈值，且由防护设备的防护能力确定的清洗参数小于清洗峰值阈值，所述防护能力使用率阈值为针对防护参数预先设定的参考上限，所述防护参数是基于对应的防护能力分值的大小确定的，用于表征防护设备的防护能力使用率，所述防护能力分值是基于所述防护设备针对各个防护能力指标确定的分值进行加权求和得到的，所述清洗峰值阈值为针对清洗参数预先设定的参考上限，所述清洗参数用于表征防护设备对应的已使用的清洗容量与总的清洗容量的比值。

2.如权利要求1所述的方法，其特征在于，所述网络流量监测设备根据所述攻击流量的大小以及防护设备的防护能力，确定满足清洗条件的防护设备，作为对所述攻击流量进行清洗的防护设备，包括：

3.如权利要求1所述的方法，其特征在于，所述方法还包括：

4.一种流量清洗的方法，其特征在于，该方法包括：

所述云端网络防护设备对所述攻击流量进行清洗；

其中，所述攻击流量是所述网络流量监测设备根据所述攻击流量的大小以及防护设备的防护能力确定所述云端网络防护设备为满足清洗条件的防护设备后牵引至所述云端网络防护设备的，所述防护设备包括本地网络防护设备和云端网络防护设备，所述防护设备的防护能力表示所述防护设备对攻击流量进行防护和清洗的能力，所述清洗条件为：所述攻击流量的大小不大于防护设备的最大防护流量阈值，且由防护设备的防护能力确定的防护参数小于防护能力使用率阈值，且由防护设备的防护能力确定的清洗参数小于清洗峰值阈值，所述防护能力使用率阈值为针对防护参数预先设定的参考上限，所述防护参数是基于对应的防护能力分值的大小确定的，用于表征防护设备的防护能力使用率，所述防护能力分值是基于所述防护设备针对各个防护能力指标确定的分值进行加权求和得到的，所述清洗峰值阈值为针对清洗参数预先设定的参考上限；所述清洗参数用于表征防护设备对应的已使用的清洗容量与总的清洗容量的比值。

5.如权利要求4所述的方法，其特征在于，所述云端网络防护设备对所述攻击流量进行清洗，包括：

所述云端网络防护设备在防护策略集合中选择与所述攻击流量的攻击目标网际协议IP地址对应的防护策略；

6.如权利要求5所述的方法，其特征在于，所述云端网络防护设备在防护策略集合中选择与所述攻击流量的攻击目标IP地址对应的防护策略之前，还包括：

7.一种流量清洗的设备，其特征在于，该设备包括：至少一个处理单元以及至少一个存储单元，其中，所述存储单元存储有程序代码，当所述程序代码被所述处理单元执行时，使得所述处理单元执行下列过程：

在检测到攻击流量之后，确定所述攻击流量的大小；

根据所述攻击流量的大小以及防护设备的防护能力，确定满足清洗条件的防护设备，作为对所述攻击流量进行清洗的防护设备，其中所述防护设备包括本地网络防护设备和云端网络防护设备，所述防护设备的防护能力表示所述防护设备对攻击流量进行防护和清洗的能力；

将所述攻击流量牵引至确定的防护设备；

其中，所述清洗条件为：

所述攻击流量的大小不大于防护设备的最大防护流量阈值，且由防护设备的防护能力确定的防护参数小于防护能力使用率阈值，且由防护设备的防护能力确定的清洗参数小于清洗峰值阈值，所述防护能力使用率阈值为针对防护参数预先设定的参考上限，所述防护参数是基于对应的防护能力分值的大小确定的，用于表征防护设备的防护能力使用率，所述防护能力分值是基于所述防护设备针对各个防护能力指标确定的分值进行加权求和得到的，所述清洗峰值阈值为针对清洗参数预先设定的参考上限；所述清洗参数用于表征防护设备对应的已使用的清洗容量与总的清洗容量的比值。

8.如权利要求7所述的设备，其特征在于，所述处理单元具体用于：

9.如权利要求7所述的设备，其特征在于，所述处理单元还用于：

10.一种流量清洗的设备，其特征在于，该设备包括：至少一个处理单元以及至少一个存储单元，其中，所述存储单元存储有程序代码，当所述程序代码被所述处理单元执行时，使得所述处理单元执行下列过程：

接收由网络流量监测设备牵引的攻击流量；

对所述攻击流量进行清洗；

其中，所述攻击流量是所述网络流量监测设备根据所述攻击流量的大小以及防护设备的防护能力确定云端网络防护设备为满足清洗条件的防护设备后牵引至所述云端网络防护设备的，所述防护设备包括本地网络防护设备和云端网络防护设备，所述防护设备的防护能力表示所述防护设备对攻击流量进行防护和清洗的能力，所述清洗条件为：所述攻击流量的大小不大于防护设备的最大防护流量阈值，且由防护设备的防护能力确定的防护参数小于防护能力使用率阈值，且由防护设备的防护能力确定的清洗参数小于清洗峰值阈值，所述防护能力使用率阈值为针对防护参数预先设定的参考上限，所述防护参数是基于对应的防护能力分值的大小确定的，用于表征防护设备的防护能力使用率，所述防护能力分值是基于所述防护设备针对各个防护能力指标确定的分值进行加权求和得到的，所述清洗峰值阈值为针对清洗参数预先设定的参考上限；所述清洗参数用于表征防护设备对应的已使用的清洗容量与总的清洗容量的比值。

11.如权利要求10所述的设备，其特征在于，所述处理单元具体用于：

根据所述防护策略对所述攻击流量进行清洗。

12.如权利要求11所述的设备，其特征在于，所述处理单元还用于：