CN111224924A

CN111224924A - 流量处理方法、装置、电子设备及存储介质

Info

Publication number: CN111224924A
Application number: CN201811423666.2A
Authority: CN
Inventors: 练坤梅
Original assignee: Beijing Kingsoft Cloud Network Technology Co Ltd; Beijing Kingsoft Cloud Technology Co Ltd
Current assignee: Beijing Kingsoft Cloud Network Technology Co Ltd; Beijing Kingsoft Cloud Technology Co Ltd
Priority date: 2018-11-27
Filing date: 2018-11-27
Publication date: 2020-06-02
Anticipated expiration: 2038-11-27
Also published as: CN111224924B

Abstract

本申请实施例提供了流量处理方法、装置、电子设备及存储介质，该方法包括：监测IP防护组中各IP地址的访问流量的带宽，其中，IP防护组包括至少两个IP地址，IP防护组对应有防护带宽；在IP防护组中的各IP地址中，确定访问流量的带宽大于预设带宽阈值的待清洗IP地址；根据IP防护组对应的防护带宽，对IP防护组中的待清洗IP地址的访问流量进行清洗处理。本申请实施例的流量处理方法，同一IP防护组中各IP地址共用该IP防护组的防护带宽，相比于每个IP地址配置一个防护带宽，在相同资费的情况下，能够增加单个IP地址攻击流量的清洗带宽，可以增加流量清洗设备的资源的利用率。

Description

流量处理方法、装置、电子设备及存储介质

技术领域

本申请涉及互联网技术领域，特别是涉及流量处理方法、装置、电子设备及存储介质。

背景技术

DDoS(Distributed Denial of Service，分布式拒绝服务)攻击是指攻击网络协议的缺陷或直接通过野蛮手段残忍地耗尽被攻击对象的资源，目的是让目标计算机或网络无法提供正常的服务或资源访问，使目标系统服务系统停止响应甚至崩溃。DDoS攻击并不是采用侵入目标服务器或目标网络设备的方式，而是通过发送攻击流量的方式造成被攻击主机的异常。例如，制造大流量无用数据，造成通往被攻击主机的网络拥塞，以使被攻击主机无法正常和外界通信，或利用被攻击主机提供服务或传输协议上处理重复连接的缺陷，反复高频的发出攻击性的重复服务请求，以使被攻击主机无法及时处理其它正常的请求，或利用被攻击主机所提供服务程序或传输协议的本身实现缺陷，反复发送畸形的攻击数据引发系统错误的分配大量系统资源，以使主机处于挂起状态甚至死机等。

面对DDoS攻击的攻击流量，无论计算机的处理速度多快、内存容量多大、网络带宽的速度多快都无法避免这种攻击带来的后果。为了降低攻击流量造成的损失，会对攻击流量进行清洗。现有的流量清洗方法中，提供清洗攻击流量的服务方，针对待服务的客户，为该客户的每个IP地址设置一个防护带宽，该防护带宽为针对该IP(Internet Protocol，网络协议)地址能够清洗的攻击流量的最大带宽，其中，防护带宽可根据用户的资费信息进行设定。

然而，申请人在实现本申请的过程中发现，现有技术至少存在如下问题：

流量清洗设备需要为每个IP地址预留清洗相应防护带宽流量的能力，但是每个IP地址遭到流量攻击仅是小概率事件，流量清洗设备的大部分资源处于闲置状态，现有流量攻击清洗方法的资源利用不合理。

发明内容

本申请实施例的目的在于提供一种流量处理方法、装置、电子设备及存储介质，从而增加资源的利用率。具体技术方案如下：

第一方面，本申请实施例提供了一种流量处理方法，所述方法包括：

监测IP防护组中各IP地址的访问流量的带宽，其中，所述IP防护组包括至少两个IP地址，所述IP防护组对应有防护带宽；

在所述IP防护组中的各IP地址中，确定访问流量的带宽大于预设带宽阈值的待清洗IP地址；

根据所述IP防护组对应的防护带宽，对所述IP防护组中的所述待清洗IP地址的访问流量进行清洗处理。

可选的，所述根据所述IP防护组对应的防护带宽，对所述IP防护组中的所述待清洗IP地址的访问流量进行清洗处理，包括：

确定所述IP防护组中所述待清洗IP地址的访问流量的总带宽；

确定所述总带宽是否大于所述IP防护组对应的防护带宽；

如果所述总带宽不大于所述IP防护组对应的防护带宽，对所述待清洗IP地址的访问流量全部进行流量清洗。

可选的，所述对所述待清洗IP地址的访问流量全部进行流量清洗，包括：

将所述待清洗IP地址的访问流量引入到流量清洗设备中，通过所述流量清洗设备清洗掉所述待清洗IP地址访问流量中的异常流量，得到所述待清洗IP地址的合法流量；

将所述待清洗IP地址的合法流量回注到所述待清洗IP地址中。

可选的，所述将所述待清洗IP地址的合法流量回注到所述待清洗IP地址中，包括：

针对每个所述待清洗IP地址，建立针对该待清洗IP地址的与所述流量清洗设备的虚拟专用网；

通过所述待清洗IP地址的虚拟专用网接收由所述流量清洗设备发送的所述待清洗IP地址的合法流量，并将所述待清洗IP地址的合法流量回注到所述待清洗IP地址中。

可选的，在所述确定所述总带宽是否大于所述IP防护组对应的防护带宽之后，所述方法还包括：

如果所述总带宽大于所述IP防护组对应的防护带宽，在所述待清洗IP地址的总访问流量中，选取带宽小于或等于所述IP防护组对应的防护带宽的待清洗流量；

通过所述流量清洗设备清洗掉所述待清洗流量中的异常流量，得到所述待清洗流量中的合法流量；

将待清洗IP地址的待清洗流量中的合法流量回注到所述待清洗IP地址中。

可选的，所述在所述待清洗IP地址的总访问流量中，选取带宽小于或等于所述IP防护组对应的防护带宽的待清洗流量，包括：

按照所述待清洗IP地址的访问流量的带宽由低到高的顺序，从所述待清洗IP地址中选取N个IP地址，将选取的N个IP地址的访问流量作为待清洗流量；

其中，N为正整数，所述选取的N个IP地址的总访问流量的带宽不大于所述IP防护组对应的防护带宽。

可选的，本申请实施例的流量处理方法还包括：

将所述待清洗IP地址中除所述N个IP地址外的IP地址的访问流量牵引到空路由。

如果所述总带宽大于所述IP防护组对应的防护带宽，按照访问流量的带宽由高到低的顺序，从所述IP防护组的IP地址中选取M个IP地址，将所述选取的M个IP地址的访问流量牵引到空路由，其中，M为正整数。

第二方面，本申请实施例提供了一种流量处理装置，所述装置包括：

流量监测模块，设置为监测IP防护组中各IP地址的访问流量的带宽，其中，所述IP防护组包括至少两个IP地址，所述IP防护组对应有防护带宽；

阈值对比模块，设置为在所述IP防护组中的各IP地址中，确定访问流量的带宽大于预设带宽阈值的待清洗IP地址；

流量清洗模块，设置为根据所述IP防护组对应的防护带宽，对所述IP防护组中的所述待清洗IP地址的访问流量进行清洗处理。

可选的，所述流量清洗模块，包括：

总带宽计算子模块，设置为确定所述IP防护组中所述待清洗IP地址的访问流量的总带宽；

带宽对比子模块，设置为确定所述总带宽是否大于所述IP防护组对应的防护带宽；

第一清洗子模块，设置为如果所述总带宽不大于所述IP防护组对应的防护带宽，对所述待清洗IP地址的访问流量全部进行流量清洗。

可选的，所述第一清洗子模块，包括：

引流单元，设置为将所述待清洗IP地址的访问流量引入到流量清洗设备中，通过所述流量清洗设备清洗掉所述待清洗IP地址访问流量中的异常流量，得到所述待清洗IP地址的合法流量；

回注单元，设置为将所述待清洗IP地址的合法流量回注到所述待清洗IP地址中。

可选的，所述回注单元，包括：

虚拟专用网建立子单元，设置为针对每个所述待清洗IP地址，建立针对该待清洗IP地址的与所述流量清洗设备的虚拟专用网；

合法流量传输子单元，设置为通过所述待清洗IP地址的虚拟专用网接收由所述流量清洗设备发送的所述待清洗IP地址的合法流量，并将所述待清洗IP地址的合法流量回注到所述待清洗IP地址中。

可选的，所述流量清洗模块，还包括：

待清洗流量选取子模块，设置为如果所述总带宽大于所述IP防护组对应的防护带宽，在所述待清洗IP地址的总访问流量中，选取带宽小于或等于所述IP防护组对应的防护带宽的待清洗流量；

第二清洗子模块，设置为通过所述流量清洗设备清洗掉所述待清洗流量中的异常流量，得到所述待清洗流量中的合法流量；

合法流量回注子模块，设置为将待清洗IP地址的待清洗流量中的合法流量回注到所述待清洗IP地址中。

可选的，所述待清洗流量选取子模块，具体用于：

可选的，所述流量清洗模块，还包括：

第一流量牵引子模块，用于将所述待清洗IP地址中除所述N个IP地址外的IP地址的访问流量牵引到空路由。

可选的，所述流量清洗模块，还包括：

第二流量牵引子模块，用于如果所述总带宽大于所述IP防护组对应的防护带宽，按照访问流量的带宽由高到低的顺序，从所述IP防护组的IP地址中选取M个IP地址，将所述选取的M个IP地址的访问流量牵引到空路由，其中，M为正整数。

第三方面，本申请实施例提供了一种电子设备，包括处理器、通信接口、存储器和通信总线，其中，所述处理器，所述通信接口，所述存储器通过通信总线完成相互间的通信；

所述存储器，用于存放计算机程序；

所述处理器，用于执行所述存储器上所存放的程序时，实现上述第一方面任一所述的流量处理方法。

第四方面，本申请实施例提供了一种计算机可读存储介质，所述计算机可读存储介质内存储有计算机程序，所述计算机程序被处理器执行时实现上述第一方面任一所述的流量处理方法。

本申请实施例提供的流量处理方法、装置、电子设备及存储介质，监测IP防护组中各IP地址的访问流量的带宽，其中，IP防护组包括至少两个IP地址，IP防护组对应有防护带宽；在IP防护组中的各IP地址中，确定访问流量的带宽大于预设带宽阈值的待清洗IP地址；根据IP防护组对应的防护带宽，对IP防护组中的待清洗IP地址的访问流量进行清洗处理。每个IP防护组对应一个防护带宽，同一IP防护组中各IP地址共用该IP防护组的防护带宽，相比于每个IP地址配置一个防护带宽，在相同资费的情况下，能够增加单个IP地址攻击流量的清洗带宽，可以增加流量清洗设备的资源的利用率。当然，实施本申请的任一产品或方法并不一定需要同时达到以上所述的所有优点。

附图说明

为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本申请实施例的流量处理方法的第一种流程示意图；

图2为本申请实施例的流量处理方法的第二种流程示意图；

图3为本申请实施例的流量处理方法的第三种流程示意图；

图4为本申请实施例的流量处理方法的第四种流程示意图；

图5为本申请实施例的流量处理方法的第五种流程示意图；

图6为本申请实施例的流量处理方法的第六种流程示意图；

图7为本申请实施例的流量处理方法的应用场景的一种示意图；

图8为本申请实施例的攻击流量清洗装置的一种示意图；

图9为本申请实施例的电子设备的一种示意图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

现有的流量清洗方法中，提供清洗攻击流量的服务方，针对待服务的客户，为该客户的每个IP地址设置一个防护带宽，该防护带宽为针对该IP地址能够清洗的攻击流量的最大带宽，其中，防护带宽根据用户的资费信息进行设定。流量清洗设备需要为每个IP地址预留清洗相应防护带宽流量的能力，但是每个IP地址遭到流量攻击仅是小概率事件，流量清洗设备的大部分资源处于闲置状态，现有流量攻击清洗方法的资源利用不合理。

有鉴于此，本申请实施例提供了一种流量处理方法，参见图1，该方法包括：

S101，监测IP防护组中各IP地址的访问流量的带宽，其中，上述IP防护组包括至少两个IP地址，上述IP防护组对应有防护带宽。

本申请实施例中的流量处理方法可以通过清洗系统实现，清洗系统为任意能够实现本申请实施例的流量处理方法的系统。例如：

清洗系统可以为一种电子设备，包括：处理器、存储器、通信接口和总线；处理器、存储器和通信接口通过总线连接并完成相互间的通信；存储器存储可执行程序代码；处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序，以用于执行本申请实施例的流量处理方法。

清洗系统还可以为一种应用程序，用于在运行时执行本申请实施例的流量处理方法。

清洗系统还可以为一种存储介质，用于存储可执行代码，可执行代码用于执行本申请实施例的流量处理方法。

在本申请实施例中，仅针对一个IP防护组的流量处理进行说明。在实际应用中，一般会包括多个IP防护组，针对多个IP防护组中的每个IP防护组，清洗系统均可以执行本申请实施例的流量处理方法。

可选的，在上述监测IP防护组中各IP地址的访问流量的带宽之前，上述方法还包括：

步骤一，通过预设的分组方法，对各IP地址进行分组，得到IP防护组。

预设的分组方法为任意的将IP地址进行分组的方法，例如，将同一用户的各IP地址分为一组，或将指定地址段中的IP地址划分为一组，或将用户要求划分为一组的IP地址划为一个IP防护组等。

步骤二，确定各IP防护组各自对应的防护带宽。

清洗系统分别确定每个IP防护组对应的防护带宽，例如，将IP防护组中各IP地址的总防护带宽作为该IP防护组对应的防护带宽，或根据用户的资费确定IP防护组对应的防护带宽，或者根据预先设置确定IP防护组对应的防护带宽等。

S102，在上述IP防护组中的各IP地址中，确定访问流量的带宽大于预设带宽阈值的待清洗IP地址。

在清洗系统监测各IP地址的访问流量的带宽的过程中，若检测到访问流量的带宽大于预设带宽阈值的IP地址，将访问流量的带宽大于预设带宽阈值的IP地址作为待清洗IP地址。预设带宽阈值可以为经验值，可以根据各IP地址的正常访问流量的带宽进行设定。可以为各IP地址设置同一个预设带宽阈值，也可以分别针对每个IP地址设置一个预设带宽阈值。每个IP防护组中可以不包含待清洗IP地址，也可以包括一个或多个待清洗IP地址，实际数量根据各IP地址的实际访问流量的带宽及各IP地址的预设带宽阈值确定。

S103，根据上述IP防护组对应的防护带宽，对上述IP防护组中的上述待清洗IP地址的访问流量进行清洗处理。

在一种具体实施中，清洗系统清洗IP防护组中各待清洗IP地址的访问流量，其中，清洗的IP防护组中各待清洗IP地址的访问流量的总带宽不大于该IP防护组的防护带宽。

例如，针对用户A支付资费A可以提供9GB/S的防护带宽，当用户A需要对IP地址1、IP地址2及IP地址3进行防护，预设带宽阈值为1GB/S，在IP地址1的访问流量的带宽为5GB/S，IP地址2及IP地址3的访问流量的带宽均小于预设带宽阈值时，若采用现有的流量攻击清洗方法，每个IP地址的防护带宽各为3GB/S，仅能针对IP地址1的访问流量中带宽为3GB/S的流量进行清洗，IP地址1清洗后的访问流量的带宽至少为2GB/S仍然影响IP地址1的正常工作，同时为IP地址2及IP地址3预留的能够清洗6GB/S带宽的资源没有得到使用，资源的利用率低。

针对相同的场景：针对用户A支付资费A可以提供9GB/S的防护带宽，当用户A需要对IP地址1、IP地址2及IP地址3进行防护，预设带宽阈值为1GB/S，在IP地址1的访问流量的带宽为5GB/S，IP地址2及IP地址3的访问流量的带宽均小于预设带宽阈值时，若采用本申请实施例的流量处理方法，将IP地址1、IP地址2及IP地址3划分为一个IP防护组，则该IP防护组的防护带宽为9GB/S，可以对IP地址1中5GB/S带宽的访问流量进行清洗，对资源的利用更加合理。

在本申请实施例中，每个IP防护组对应一个防护带宽，同一IP防护组中各IP地址共用该IP防护组的防护带宽，相比于每个IP地址配置一个防护带宽，在相同资费的情况下，能够增加单个IP地址攻击流量的清洗带宽，可以增加流量清洗设备的资源的利用率。

可选的，参见图2，上述根据上述IP防护组对应的防护带宽，对上述IP防护组中的上述待清洗IP地址的访问流量进行清洗处理，包括：

S201，确定上述IP防护组中上述待清洗IP地址的访问流量的总带宽。

清洗系统确定同一IP防护组中各待清洗IP地址的访问流量的总带宽

S202，确定上述总带宽是否大于上述IP防护组对应的防护带宽。

清洗系统判断IP防护组中各待清洗IP地址的访问流量的总带宽与该IP防护组的防护带宽的大小。

S203，如果上述总带宽不大于上述IP防护组对应的防护带宽，对上述待清洗IP地址的访问流量全部进行流量清洗。

若IP防护组中各待清洗IP地址的访问流量的总带宽不大于该IP防护组对应的防护带宽，则对该IP防护组中各待清洗IP地址的访问流量全部进行流量清洗。

可选的，参见图3，上述对上述待清洗IP地址的访问流量全部进行流量清洗，包括：

S301，将上述待清洗IP地址的访问流量引入到流量清洗设备中，通过上述流量清洗设备清洗掉上述待清洗IP地址访问流量中的异常流量，得到上述待清洗IP地址的合法流量。

若IP防护组的各待清洗IP地址的访问流量的总带宽不大于该IP防护组对应的防护带，清洗系统将该IP防护组的各待清洗IP地址的访问流量引入到流量清洗设备中，以使流量清洗设备清洗掉各上述待清洗IP地址访问流量中的异常流量，将剩余的访问流量作为各上述待清洗IP地址的合法流量。

S302，将上述待清洗IP地址的合法流量回注到上述待清洗IP地址中。

清洗系统接收由流量清洗设备发送的各待清洗IP地址的合法流量，针对每个清洗IP地址，将该待清洗IP地址的合法流量回注到该待清洗IP地址中。或清洗系统通过流量清洗设备，将该待清洗IP地址的合法流量回注到该待清洗IP地址中。

在本申请实施例中，清洗掉访问流量中的异常流量，得到合法流量，并将合法流量回注到相应的IP地址中，完成了对攻击流量的清洗。

可选的，上述将上述待清洗IP地址的合法流量回注到上述待清洗IP地址中，包括：

步骤一，针对每个上述待清洗IP地址，建立针对该待清洗IP地址的与上述流量清洗设备的虚拟专用网。

针对每个待清洗IP地址，清洗系统均建立一个清洗系统与流量清洗设备的虚拟专用网，例如，存在三个待清洗IP地址，清洗系统在清洗系统与流量清洗设备间建立三个虚拟专用网，每个虚拟专用网对应一个待清洗IP地址。

步骤二，通过上述待清洗IP地址的虚拟专用网接收由上述流量清洗设备发送的上述待清洗IP地址的合法流量，并将上述待清洗IP地址的合法流量回注到上述待清洗IP地址中。

清洗系统通过待清洗IP地址对应的虚拟专用网，接收由流量清洗设备发送的该待清洗IP地址的合法流量。清洗系统在获取到待清洗IP地址的合法流量后，将该待清洗IP地址的合法流量回注到该待清洗IP地址中。

在本申请实施例中，通过虚拟专用网接收由流量清洗设备返回的合法流量，相比于通过公网接收由流量清洗设备返回的合法流量，能够增加攻击流量清洗过程中合法流量的安全性。

可选的，参见图4，在上述确定上述总带宽是否大于上述IP防护组对应的防护带宽之后，上述方法还包括：

S401，如果上述总带宽大于上述IP防护组对应的防护带宽，在上述待清洗IP地址的总访问流量中，选取带宽小于或等于上述IP防护组对应的防护带宽的待清洗流量。

若IP防护组的各待清洗IP地址的访问流量的总带宽大于该IP防护组对应的防护带宽，清洗系统按照预设选取规则，在该IP防护组的各待清洗IP地址的访问流量中，选取带宽与该IP防护组对应的防护带宽相同的流量，作为待清洗流量。例如，IP防护组对应的防护带宽为10GB/S，该IP防护组的各待清洗IP地址的访问流量的总带宽为15GB/S，则清洗系统根据预设选取规则，在该IP防护组的各待清洗IP地址的访问流量中，选取带宽为10GB/S的流量，作为待清洗流量。预设选取规则为任意选取流量的规则，例如，优先选取访问流量带宽下的待清洗IP地址的访问流量等。

S402，通过上述流量清洗设备清洗掉上述待清洗流量中的异常流量，得到上述待清洗流量中的合法流量。

清洗系统将IP防护组的待清洗流量引入到流量清洗设备中，以使流量清洗设备清洗掉各待清洗流量中的异常流量，将待清洗流量中剩余的访问流量作为各上述待清洗IP地址的合法流量。

S403，将待清洗IP地址的待清洗流量中的合法流量回注到上述待清洗IP地址中。

清洗系统接收由流量清洗设备发送的各待清洗流量的合法流量，针对每个清洗IP地址，将该待清洗IP地址的合法流量回注到该待清洗IP地址中。或清洗系统通过流量清洗设备，将该待清洗IP地址的合法流量回注到该待清洗IP地址中。

在本申请实施例中，给出了IP防护组的各待清洗IP地址的访问流量的总带宽，大于该IP防护组对应的防护带宽时，攻击流量的清洗方法，相比于每个IP地址配置一个防护带宽，在相同资费的情况下，能够增加单个IP地址攻击流量的清洗带宽，可以增加流量清洗设备的资源的利用率。

可选的，上述在上述待清洗IP地址的总访问流量中，选取带宽小于或等于上述IP防护组对应的防护带宽的待清洗流量，包括：

按照上述待清洗IP地址的访问流量的带宽由低到高的顺序，从上述待清洗IP地址中选取N个IP地址，将选取的N个IP地址的访问流量作为待清洗流量；

其中，N为正整数，上述选取的N个IP地址的总访问流量的带宽不大于上述IP防护组对应的防护带宽。

在IP防护组中各待清洗IP地址的访问流量的总带宽，大于该IP防护组对应的防护带宽时，清洗系统按照访问流量由低到高的顺序，在待清洗IP地址中选取N个IP地址，将选取的N个IP地址的访问流量作为待清洗流量。为了防止清洗设备超载，选取的N个IP地址的访问流量的总带宽应当小于该IP防护组对应的防护带宽。并且为了保证防护带宽的充分利用，选取的N个IP地址的访问流量的总带宽应当尽量大，在将待清洗IP地址中除选取的N个IP地址外的任一IP地址的访问流量加入到待清洗流量中后，待清洗流量的总带宽会大于该IP防护组对应的防护带宽。

可选的，本申请实施例的流量处理方法还包括：

将上述待清洗IP地址中除上述N个IP地址外的IP地址的访问流量牵引到空路由。

清洗系统将待清洗IP地址中除待清洗流量外的其他访问流量牵引到空路由中，以丢弃其他访问流量，防止用于处理待清洗IP地址的访问流量的服务器过载。

可选的，参见图5，上述如果上述总带宽大于上述IP防护组对应的防护带宽，在上述待清洗IP地址的总访问流量中，选取带宽小于或等于上述IP防护组对应的防护带宽的待清洗流量，包括：

S501，若上述总带宽大于该IP防护组对应的防护带宽，按照IP地址的优先级，在该IP防护组中选取优先级最高的待清洗IP地址，作为目标IP地址。

IP地址的优先级可以根据用户的要求进行设定，也可以按照IP地址对应的服务器的应用业务的重要度进行设定等。针对每个IP防护组，若IP防护组的各待清洗IP地址的总带宽大于该IP防护组对应的防护带宽，按照IP地址的优先级，在该IP防护组中选取优先级最高的待清洗IP地址，作为目标IP地址。

S502，判断上述目标IP地址的带宽是否大于该IP防护组对应的防护带宽；

S503，若上述目标IP地址的带宽大于该IP防护组对应的防护带宽，在上述目标IP地址的访问流量中，选取带宽与该IP防护组对应的防护带宽相同的流量，作为待清洗流量。

可选的，参见图6，在上述判断上述目标IP地址的带宽是否大于该IP防护组对应的防护带宽之后，上述方法还包括：

S601，若上述目标IP地址的带宽不大于该IP防护组对应的防护带宽，将上述目标IP地址的访问流量作为待清洗流量。

S602，在该IP防护组未选取的待清洗IP地址中，按照IP地址的优先级，选取优先级最高的待清洗IP地址，作为当前待比较IP地址。

S603，判断当前待比较IP地址的带宽是否大于该IP防护组剩余的防护带宽，其中，该IP防护组剩余的防护带宽为该IP防护组对应的防护带宽减去当前待清洗流量的带宽。

IP防护组剩余的防护带宽是指该IP防护组对应的防护带宽减去当前待清洗流量的带宽。例如，对于IP防护组A，其防护带宽为20GB/S，若IP防护组A当前已经确定的待清洗流量的带宽为15GB/S，则IP防护组A剩余的防护带宽为20GB/S-15GB/S＝5GB/S。

S604，若当前待比较IP地址的带宽不大于该IP防护组剩余的防护带宽，将当前待比较IP地址的访问流量加入到待清洗流量中，并返回S602继续执行；若当前待比较IP地址的带宽大于该IP防护组剩余的防护带宽，执行S605。

S605，在当前待比较IP地址的访问流量中，选取带宽与该IP防护组剩余的防护带宽相同的流量，加入到待清洗流量中。

在本申请实施例中，保证优先级高的待清洗IP地址的访问流量的优先清洗，能够满足用户的多种需求。

可选的，在上述确定上述总带宽是否大于上述IP防护组对应的防护带宽之后，上述方法还包括：

如果上述总带宽大于上述IP防护组对应的防护带宽，按照访问流量的带宽由高到低的顺序，从上述IP防护组的IP地址中选取M个IP地址，将上述选取的M个IP地址的访问流量牵引到空路由，其中，M为正整数。

清洗系统将M个IP地址的访问流量牵引到空路由中，将该IP防护组中除M个IP地址外的其他IP地址的访问流量牵引到流量清洗设备中，通过流量清洗设备进行清洗。其中，IP防护组中除M个IP地址外的其他IP地址的访问流量的总带宽应当小于该IP防护组的防护带宽。

参见图7，图7为本申请实施例的流量处理方法的一种应用场景的示意图，具体的，本申请实施例的流量处理方法可以应用于图7中的控制服务器。每个业务服务器包括一个唯一的IP地址，流量清洗设备用于对访问流量进行清洗。

控制服务器用于针对每个网络协议IP防护组，监测该IP防护组中各IP地址的访问流量的带宽，其中，每个IP防护组对应一个防护带宽；若存在访问流量的带宽大于预设带宽阈值的IP地址，控制服务器将访问流量的带宽大于预设带宽阈值的IP地址作为待清洗IP地址；针对每个IP防护组，确定该IP防护组中各待清洗IP地址的访问流量的总带宽；判断总带宽是否大于该IP防护组对应的防护带宽；若总带宽不大于该IP防护组对应的防护带宽，对各待清洗IP地址的访问流量全部进行流量清洗。若总带宽不大于该IP防护组对应的防护带宽，将各待清洗IP地址的访问流量引入到流量清洗设备中，通过流量清洗设备清洗掉各待清洗IP地址访问流量中的异常流量，得到各待清洗IP地址的合法流量；针对每个待清洗IP地址，将该待清洗IP地址的合法流量回注到该待清洗IP地址中。

本申请实施例还提供了一种攻击流量清洗装置，参见图8，该装置包括：

流量监测模块801，设置为监测IP防护组中各IP地址的访问流量的带宽，其中，上述IP防护组包括至少两个IP地址，上述IP防护组对应有防护带宽；

阈值对比模块802，设置为在上述IP防护组中的各IP地址中，确定访问流量的带宽大于预设带宽阈值的待清洗IP地址；

流量清洗模块803，设置为根据上述IP防护组对应的防护带宽，对上述IP防护组中的上述待清洗IP地址的访问流量进行清洗处理。

可选的，在本申请实施例的攻击流量清洗装置中，上述流量清洗模块803，包括：

总带宽计算子模块，设置为确定上述IP防护组中上述待清洗IP地址的访问流量的总带宽；

带宽对比子模块，设置为确定上述总带宽是否大于上述IP防护组对应的防护带宽；

第一清洗子模块，设置为如果上述总带宽不大于上述IP防护组对应的防护带宽，对上述待清洗IP地址的访问流量全部进行流量清洗。

可选的，在本申请实施例的攻击流量清洗装置中，上述第一清洗子模块，包括：

引流单元，设置为将上述待清洗IP地址的访问流量引入到流量清洗设备中，通过上述流量清洗设备清洗掉上述待清洗IP地址访问流量中的异常流量，得到上述待清洗IP地址的合法流量；

回注单元，设置为将上述待清洗IP地址的合法流量回注到上述待清洗IP地址中。

可选的，在本申请实施例的攻击流量清洗装置中，上述回注单元，包括：

虚拟专用网建立子单元，设置为针对每个上述待清洗IP地址，建立针对该待清洗IP地址的与上述流量清洗设备的虚拟专用网；

合法流量传输子单元，设置为通过上述待清洗IP地址的虚拟专用网接收由上述流量清洗设备发送的上述待清洗IP地址的合法流量，并将上述待清洗IP地址的合法流量回注到上述待清洗IP地址中。

可选的，在本申请实施例的攻击流量清洗装置中，上述流量清洗模块803，还包括：

待清洗流量选取子模块，设置为如果上述总带宽大于上述IP防护组对应的防护带宽，在上述待清洗IP地址的总访问流量中，选取带宽小于或等于上述IP防护组对应的防护带宽的待清洗流量；

第二清洗子模块，设置为通过上述流量清洗设备清洗掉上述待清洗流量中的异常流量，得到上述待清洗流量中的合法流量；

合法流量回注子模块，设置为将待清洗IP地址的待清洗流量中的合法流量回注到上述待清洗IP地址中。

在本申请实施例中，给出了IP防护组的各待清洗IP地址的访问流量的总带宽，大于该IP防护组对应的防护带宽时，攻击流量的清洗方法，相比于每个IP地址配置一个防护带宽，在相同资费的情况下，能够增加单个IP地址攻击流量的清洗带宽，可以增加流量清洗设备的资源的利用率

可选的，上述待清洗流量选取子模块，具体用于：

其中，N为正整数，上述选取的N个IP地址的总访问流量的带宽不大于上述IP防护组对应的防护带宽

可选的，上述流量清洗模块，还包括：

第一流量牵引子模块，用于将上述待清洗IP地址中除上述N个IP地址外的IP地址的访问流量牵引到空路由。

可选的，上述流量清洗模块，还包括：

第二流量牵引子模块，用于如果上述总带宽大于上述IP防护组对应的防护带宽，按照访问流量的带宽由高到低的顺序，从上述IP防护组的IP地址中选取M个IP地址，将上述选取的M个IP地址的访问流量牵引到空路由，其中，M为正整数。

可选的，在本申请实施例的攻击流量清洗装置中，上述待清洗流量选取子模块，包括：

目标地址选取单元，用于若上述总带宽大于该IP防护组对应的防护带宽，按照IP地址的优先级，在该IP防护组中选取优先级最高的待清洗IP地址，作为目标IP地址；

带宽判断单元，用于判断上述目标IP地址的带宽是否大于该IP防护组对应的防护带宽；

第一流量选取单元，用于若上述目标IP地址的带宽大于该IP防护组对应的防护带宽，在上述目标IP地址的访问流量中，选取带宽与该IP防护组对应的防护带宽相同的流量，作为待清洗流量。

可选的，在本申请实施例的攻击流量清洗装置中，上述待清洗流量选取子模块还包括：

第二流量选取单元，用于若上述目标IP地址的带宽不大于该IP防护组对应的防护带宽，将上述目标IP地址的访问流量作为待清洗流量；

待比较地址选取单元，用于在该IP防护组未选取的待清洗IP地址中，按照IP地址的优先级，选取优先级最高的待清洗IP地址，作为当前待比较IP地址；

剩余带宽比较单元，用于判断当前待比较IP地址的带宽是否大于该IP防护组剩余的防护带宽，其中，该IP防护组剩余的防护带宽为该IP防护组对应的防护带宽减去当前待清洗流量的带宽；

执行判定单元，用于若当前待比较IP地址的带宽不大于该IP防护组剩余的防护带宽，将当前待比较IP地址的访问流量加入到待清洗流量中，并触发启动上述待比较地址选取单元；若当前待比较IP地址的带宽大于该IP防护组剩余的防护带宽，触发启动第三流量选取单元；

上述第三流量选取单元，用于在当前待比较IP地址的访问流量中，选取带宽与该IP防护组剩余的防护带宽相同的流量，加入到待清洗流量中。

本申请实施例还提供了一种电子设备，如图9所示，包括处理器901、通信接口902、存储器903和通信总线904，其中，处理器901，通信接口902，存储器903通过通信总线904完成相互间的通信，

存储器903，用于存放计算机程序；

处理器901，用于执行存储器903上所存放的程序时，实现如下步骤：

监测IP防护组中各IP地址的访问流量的带宽，其中，上述IP防护组包括至少两个IP地址，上述IP防护组对应有防护带宽；

在上述IP防护组中的各IP地址中，确定访问流量的带宽大于预设带宽阈值的待清洗IP地址；

根据上述IP防护组对应的防护带宽，对上述IP防护组中的上述待清洗IP地址的访问流量进行清洗处理。

可选的，处理器901，用于执行存储器903上所存放的程序时，还可以实现上述任一流量处理方法。

上述电子设备提到的通信总线可以是外设部件互连标准(Peripheral ComponentInterconnect，PCI)总线或扩展工业标准结构(Extended Industry StandardArchitecture，EISA)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示，图中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

通信接口用于上述电子设备与其他设备之间的通信。

存储器可以包括随机存取存储器(Random Access Memory，RAM)，也可以包括非易失性存储器(Non-Volatile Memory，NVM)，例如至少一个磁盘存储器。可选的，存储器还可以是至少一个位于远离前述处理器的存储装置。

上述的处理器可以是通用处理器，包括中央处理器(Central Processing Unit，CPU)、网络处理器(Network Processor，NP)等；还可以是数字信号处理器(Digital SignalProcessing，DSP)、专用集成电路(Application Specific Integrated Circuit，ASIC)、现场可编程门阵列(Field-Programmable Gate Array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。

本申请实施例还提供了一种计算机可读存储介质，上述计算机可读存储介质内存储有计算机程序，上述计算机程序被处理器执行时实现如下步骤：

可选的，上述计算机程序被处理器执行时实现时，还可以实现上述任一流量处理方法。

需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

本说明书中的各个实施例均采用相关的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于装置、电子设备及存储介质的实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

以上所述仅为本申请的较佳实施例而已，并非用于限定本申请的保护范围。凡在本申请的精神和原则之内所作的任何修改、等同替换、改进等，均包含在本申请的保护范围内。

Claims

1.一种流量处理方法，其特征在于，所述方法包括：

2.根据权利要求1所述的方法，其特征在于，所述根据所述IP防护组对应的防护带宽，对所述IP防护组中的所述待清洗IP地址的访问流量进行清洗处理包括：

确定所述IP防护组中所述待清洗IP地址的访问流量的总带宽；

确定所述总带宽是否大于所述IP防护组对应的防护带宽；

3.根据权利要求2所述的方法，其特征在于，所述对所述待清洗IP地址的访问流量全部进行流量清洗包括：

将所述待清洗IP地址的合法流量回注到所述待清洗IP地址中。

4.根据权利要求3所述的方法，其特征在于，所述将所述待清洗IP地址的合法流量回注到所述待清洗IP地址中包括：

5.根据权利要求2所述的方法，其特征在于，在所述确定所述总带宽是否大于所述IP防护组对应的防护带宽之后，所述方法还包括：

6.根据权利要求5所述的方法，其特征在于，所述在所述待清洗IP地址的总访问流量中，选取带宽小于或等于所述IP防护组对应的防护带宽的待清洗流量，包括：

7.根据权利要求6所述的方法，其特征在于，所述方法还包括：

8.根据权利要求5所述的方法，其特征在于，在所述确定所述总带宽是否大于所述IP防护组对应的防护带宽之后，所述方法还包括：

9.一种流量处理装置，其特征在于，所述装置包括：

10.根据权利要求9所述的装置，其特征在于，所述流量清洗模块，包括：

11.根据权利要求10所述的装置，其特征在于，所述第一清洗子模块，包括：

12.根据权利要求11所述的装置，其特征在于，所述回注单元，包括：

13.根据权利要求10所述的装置，其特征在于，所述流量清洗模块，还包括：

14.根据权利要求13所述的装置，其特征在于，所述待清洗流量选取子模块，具体用于：

15.根据权利要求14所述的装置，其特征在于，所述流量清洗模块，还包括：

16.根据权利要求13所述的装置，其特征在于，所述流量清洗模块，还包括：

17.一种电子设备，其特征在于，包括处理器、通信接口、存储器和通信总线，其中，所述处理器，所述通信接口，所述存储器通过通信总线完成相互间的通信；

所述存储器，用于存放计算机程序；

所述处理器，用于执行所述存储器上所存放的程序时，实现权利要求1-8任一所述的方法步骤。

18.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质内存储有计算机程序，所述计算机程序被处理器执行时实现权利要求1-8任一所述的方法步骤。