CN111586018B - 一种流量清洗方法及装置 - Google Patents
一种流量清洗方法及装置 Download PDFInfo
- Publication number
- CN111586018B CN111586018B CN202010359325.4A CN202010359325A CN111586018B CN 111586018 B CN111586018 B CN 111586018B CN 202010359325 A CN202010359325 A CN 202010359325A CN 111586018 B CN111586018 B CN 111586018B
- Authority
- CN
- China
- Prior art keywords
- cleaning
- flow
- traffic
- target
- candidate
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供了一种流量清洗方法及装置。一种流量清洗方法,包括:当检测到第一攻击流量时,依据所述第一攻击流量的目标流量参数,从流量清洗设备组中选择具有清洗所述目标流量参数对应的攻击流量的能力的候选清洗设备;当所有候选清洗设备均已达到各自设定的告警阈值,则从所述候选清洗设备中选择一个作为目标清洗设备,否则,从未达到设定的告警阈值的候选清洗设备中选择一个作为目标清洗设备;向所述目标清洗设备下发清洗指令,以指示所述目标清洗设备对所述第一攻击流量进行清洗。通过上述方法,本申请能够在不超过各清洗设备的清洗能力的情况下,清洗更多的攻击流量。
Description
技术领域
本申请涉及通信技术领域,特别涉及一种流量清洗方法及装置。
背景技术
DDOS攻击是一种常见的网络攻击方式,该攻击通过向一个或多个目标对象发送大量攻击流量,大量消耗目标对象的处理资源,甚至导致目标对象瘫痪。目前常采用流量清洗技术来抵挡DDOS攻击,具体的,可通过流量清洗设备按照一定规则对攻击流量进行清洗,并将清洗后剩余的正常流量回注到原有网络中,由此抵挡DDOS攻击。
为了抵挡大规模的DDOS攻击,可以采用多台流量清洗设备共同清洗攻击流量。但在将攻击流量分配给多台流量清洗设备时,若仅仅是将攻击流量均分至每台流量清洗设备,可能会使均分后的攻击流量超出某些流量清洗设备的最大清洗能力,导致部分攻击流量无法被及时清洗就流入网络中,进而对目标对象造成影响;而且,在清洗攻击流量时,往往会根据攻击流量的速率来进行清洗,对攻击流量的均分会导致流量速率降低,进而导致不能准确地清洗掉攻击流量。
发明内容
本申请提供了一种流量清洗方法和装置,可以在不超过流量清洗设备的清洗能力的情况下,清洗大量攻击流量。本申请提供的技术方案包括:
第一方面,本申请提供一种流量清洗方法,包括:
当检测到第一攻击流量时,依据所述第一攻击流量的目标流量参数,从流量清洗设备组中选择具有清洗所述目标流量参数对应的攻击流量的能力的候选清洗设备;
当所有候选清洗设备均已达到各自设定的告警阈值,则从所述候选清洗设备中选择一个作为目标清洗设备,否则,从未达到设定的告警阈值的候选清洗设备中选择一个作为目标清洗设备;
向所述目标清洗设备下发清洗指令,以指示所述目标清洗设备对所述第一攻击流量进行清洗。
第二方面,本申请提供一种流量清洗装置,包括:
第一选择单元,用于当检测到第一攻击流量时,依据所述第一攻击流量的目标流量参数,从流量清洗设备组中选择具有清洗所述目标流量参数对应的攻击流量的能力的候选清洗设备;
第二选择单元,用于当所有候选清洗设备均已达到各自设定的告警阈值,则从所述候选清洗设备中选择一个作为目标清洗设备,否则,从未达到设定的告警阈值的候选清洗设备中选择一个作为目标清洗设备;
指令下发单元,用于向所述目标清洗设备下发清洗指令,以指示所述目标清洗设备对所述第一攻击流量进行清洗。
本申请通过获取攻击流量的目标流量参数,根据该目标流量参数,选择具有清洗该攻击流量的能力的流量清洗设备对其进行清洗,能够在清洗大量攻击流量的同时,有效避免由于攻击流量超出流量清洗设备的清洗能力,而导致部分攻击流量未经清洗即回注入网络;另一方面,本申请无需将攻击流量均分,因此分配至流量清洗设备的攻击流量能够保持该攻击流量原有的速率,清洗结果较为准确。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本申请的实施例,并与说明书一起用于解释本申请的原理。
图1为本申请提供的流量清洗方法流程图;
图2为本申请实施例提供的多流量清洗设备的网络架构示意图;
图3为本申请实施例提供的步骤101的实现流程图;
图4为本申请实施例提供的步骤102的实现流程图;
图5为本申请实施例提供的流量清洗装置结构图;
图6为本申请实施例提供的另一流量清洗装置结构图;
图7为本申请实施例提供的一种电子设备的硬件结构示意图。
具体实施方式
在本说明书使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本说明书。在本说明书和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本说明书可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本说明书范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
流量清洗设备是指按照一定规则对DDOS攻击流量进行清洗,并将清洗后的流量回注到原有网络中的设备。在一个例子中,为抵御大规模的DDOS攻击,可采用多台流量清洗设备共同清洗攻击流量,为此,需要将攻击流量分配至各流量清洗设备。作为一个实施例,这里的攻击流量可为包含大量攻击流量的业务流量,清洗攻击流量可为从该业务流量中清洗掉攻击流量,保留正常流量的过程。
在一个实施例中,可将攻击流量均分后分配至多台流量清洗设备。但多台流量清洗设备往往清洗能力并不相同,这就使得对于清洗能力较小的流量清洗设备,可能由于均分后的攻击流量超出该流量清洗设备的清洗能力,而无法及时对攻击流量进行清洗,导致未清洗的攻击流量注入网络,影响该攻击流量的攻击对象。作为一个实施例,流量清洗设备的清洗能力可指示流量设备当前可清洗的流量的最大速率。
而且,流量清洗设备是按照一定的规则对攻击流量进行清洗,在一些实施例中,这里的规则包含根据流量速率大小判断是否为攻击流量。流量的均分意味着攻击流量速率的下降,各流量清洗设备根据均分后的攻击流量的速率进行清洗,会导致清洗结果不够准确。
在另一个实施例中,可分别配置多台流量清洗设备保护不同的IP段,由此,在分配攻击流量时,可根据攻击流量的目的IP所属的IP段,将攻击流量分配至相应的流量清洗设备。
但在面对大量的针对同一IP段的攻击流量时,由于本实施例中,这些攻击流量都会被分配至用于保护该IP段的流量清洗设备,极可能超出该流量清洗设备的清洗能力,导致未被清洗的攻击流量注入网络;同时,保护其他IP段的流量清洗设备并未进行清洗,造成清洗能力的浪费。
为此,本申请提供一种流量清洗方法,通过根据各流量清洗设备的清洗能力分配攻击流量,能够在不超过各清洗设备的清洗能力的情况下,尽可能地充分利用各流量清洗设备的清洗能力,较为准确地清洗大量攻击流量。
为了使本申请的目的、技术方案和优点更加清楚,下面结合附图和具体实施例对本申请进行详细描述。
参见图1,图1为本申请提供的流量清洗方法流程图。在一个实施例中,本申请可应用于配置有清洗设备管理平台的设备,这里的设备可包括服务器。如图1所示,该流程可包括如下步骤:
步骤101,当检测到第一攻击流量时,依据上述第一攻击流量的目标流量参数,从流量清洗设备组中选择具有清洗上述目标流量参数对应的攻击流量的能力的候选清洗设备。
这里的第一攻击流量只是为便于与后文出现的其他攻击流量进行区分而进行的命名,并非用于限定。
在一个例子中,当接收到来自流量检测设备的攻击流量告警信息时,确定检测到第一攻击流量。这里的流量检测设备用于检测经过指定网络设备的流量是否为攻击流量。作为一个实施例,网络中的指定网络设备连接有流量检测设备,在指定网络设备进行正常的流量转发的同时,将流量镜像发送至流量检测设备。
流量检测设备在接收来自指定网络设备的流量后,在一个实施例中,可以按照一定的规则检测其是否为攻击流量,并在确定是攻击流量时向清洗设备管理平台发送攻击流量告警信息。作为一个实施例,这里的攻击流量告警信息可包括:攻击流量的流量参数如流量速率、流量类型、目的IP地址,指定网络设备的IP地址,等等。作为一个实施例,可从接收到的攻击流量告警信息中读取攻击流量的目标流量参数,优选的,这里的目标流量参数可以为流量速率。
为了对经过网络设备的大量攻击流量进行清洗,在一个例子中,可将至少两台流量清洗设备组成流量清洗设备组,利用流量清洗设备组来清洗经过同一网络设备的攻击流量。作为一个实施例,流量清洗设备组内的多台流量清洗设备可将清洗后的流量回注到相同的原有网络中。具体的,同一流量清洗设备组中的任一流量清洗设备连接有同一网络设备,可将经过该网络设备的流量牵引至本流量清洗设备进行清洗,并将清洗后的流量回注到该网络设备中。作为一个实施例,清洗设备管理平台可同时管理多个流量清洗设备组。
在实际应用时,从流量清洗设备组中选择具有清洗目标流量参数对应的攻击流量的能力的候选清洗设备有多种实现方式,下文举例描述,在此暂不赘述。
在一个例子中,当对于第一攻击流量的目标流量参数,流量清洗设备组中不存在具有清洗该目标流量参数对应的攻击流量的能力的候选清洗设备,这意味着该攻击流量超出了该流量清洗设备组中所有流量清洗设备的清洗能力,由此可执行相应的处理操作,比如输出告警信息、直接丢弃攻击流量等。
若执行的处理操作为输出告警信息,作为一个实施例,告警信息可指示当前存在攻击流量超出了流量清洗设备组中所有流量清洗设备的剩余清洗能力这一情况。作为另一个实施例,输出的告警信息可包括第一攻击流量的目的IP地址,或者,包括第一攻击流量的目的IP地址和流量清洗设备组中各流量清洗设备当前正在清洗的其他攻击流量的目的IP地址。由此,基于告警信息,用户可选择相对不重要的待保护设备的IP地址或IP地址段,将目的IP地址为该IP地址或属于该IP地址段的攻击流量丢弃,以及时清洗针对比较重要的待保护设备的攻击流量。
关于如何输出告警信息,作为一个实施例,可在与用户交互的显示界面上显示告警信息。作为另一个实施例,可向指定设备发送告警信息,例如,可以通过短信或者邮件的形式发送告警信息,具体的,可以短信形式向预设的手机号发送告警信息,或以邮件形式向预设的邮箱地址发送告警信息。
若执行的处理操作为直接丢弃攻击流量,作为一个实施例,可直接丢弃检测到的第一攻击流量。作为另一个实施例,可按照预设规则,从第一攻击流量的目的IP地址和流量清洗设备组中各流量清洗设备当前正在清洗的其他攻击流量的目的IP地址中,选择一个或多个IP地址或IP地址段,将目的IP地址为该IP地址或属于该IP地址段的攻击流量丢弃。这里的预设规则,具体的,可以根据预先设置的IP地址或IP地址段的重要等级,选择等级最低的一个或多个IP地址或IP地址段。
作为一个实施例,在丢弃流量清洗设备组中的任一流量清洗设备当前正在清洗的攻击流量后,可重新依据上述第一攻击流量的目标流量参数,从流量清洗设备组中选择候选清洗设备。
通过本步骤101,可以确保选择出的候选清洗设备具有清洗检测到的第一攻击流量的能力,避免出现由于攻击流量超出流量清洗设备的清洗能力,导致将未清洗的攻击流量回注入正常网络的情况。
步骤102,当所有候选清洗设备均已达到各自设定的告警阈值,则从上述候选清洗设备中选择一个作为目标清洗设备,否则,从未达到设定的告警阈值的候选清洗设备中选择一个作为目标清洗设备。
在一个例子中,清洗设备管理平台可针对任一流量清洗设备设定该流量清洗设备的告警阈值,这里的告警阈值主要用于防止为流量清洗设备分配超出其清洗能力的攻击流量。作为一个实施例,当流量清洗设备满足预设条件时,确定该流量清洗设备达到告警阈值。这里的预设条件可包括当前正在清洗的攻击流量的流量参数大于第一阈值、流量清洗设备当前还能清洗的攻击流量的流量参数小于第二阈值等等。
在实际应用时,当所有候选清洗设备均已达到各自设定的告警阈值,或者,当存在从未达到设定的告警阈值的候选清洗设备,本步骤102中选择目标清洗设备都有多种实现方式,下文举例描述,在此暂不赘述。
作为一个实施例,当同一流量清洗设备组中的所有流量清洗设备均已达到各自设定的告警阈值时,可输出提示这一情况的阈值告警信息,由此,用户可基于该告警信息进行相应处理,比如增加新的流量清洗设备、为现有的流量清洗设备扩容等。具体的阈值告警信息的输出方式,可参考上述步骤101中输出告警信息的实施例。
步骤103,向上述目标清洗设备下发清洗指令,以指示上述目标清洗设备对上述第一攻击流量进行清洗。
这里的目标清洗设备为上述步骤102中选择出的目标清洗设备,通过向该目标清洗设备下发清洗指令,可使该目标清洗设备对第一攻击流量进行清洗,作为一个实施例,该目标清洗设备可在接收到清洗指令后,将第一攻击流量牵引至该目标清洗设备并进行清洗。
在一个例子中,上述清洗指令可包括第一攻击流量的目的IP地址,作为一个实施例,对于目标清洗设备,牵引第一攻击流量的过程可包括:接收到清洗指令后,根据该清洗指令中包含的目的IP地址以及本清洗设备的设备标识生成路由,并将生成的路由发送至与本设备相连的网络设备,以使该网络设备基于本设备的设备标识将第一攻击流量转发至该本设备。作为一个实施例,上述生成的路由为guard路由,guard路由是一种配置于流量清洗设备上的特殊路由,其主要作用是将攻击流量牵引至流量清洗设备。作为一个实施例,上述与本设备相连的网络设备也为被检测到经过的流量中存在第一攻击流量的网络设备。
在实际应用时,流量清洗设备可按照一定的清洗规则对攻击流量进行清洗,这里的清洗规则可参考现有技术,在此不做赘述。在一个实施例中,流量清洗设备可将对攻击流量清洗后得到的正常流量回注入原有网络中,具体的,若流量清洗设备将流经网络设备1的攻击流量牵引至本流量清洗设备,则在清洗完成后,可将得到的正常流量发送至网络设备1。
至此,完成对图1所示流程的描述。
图1所示流程根据流量清洗设备是否具有清洗检测到的攻击流量的能力,向各流量清洗设备分配攻击流量,由此能够在不超出各流量清洗设备的清洗能力的情况下,尽可能地充分利用各流量清洗设备的清洗能力清洗掉更多的攻击流量;另一方面,由于没有对攻击流量进行均分,也就没有改变攻击流量的流量速率,清洗结果较为准确。
在另一些实施例中,当检测到第一攻击流量时,可以先选取流量清洗设备组中未达到设定的告警阈值的流量清洗设备作为候选清洗设备,然后依据第一攻击流量的目标流量参数,从候选清洗设备中选择具有清洗目标流量参数对应的攻击流量的能力的一个作为目标清洗设备,并向该目标清洗设备下发清洗指令,以指示该目标清洗设备对第一攻击流量进行清洗。作为一个实施例,若不存在未达到设定的告警阈值的流量清洗设备,则从流量清洗设备组中选择具有清洗目标流量参数对应的攻击流量的能力的流量清洗设备作为目标清洗设备。
为了便于理解图1所示流程中各设备间的交互,下面结合图2,对图1所示流程中涉及的网络设备、流量检测设备、流量清洗设备和清洗设备管理平台的关系进行简要描述。
图2为本申请实施例提供的多流量清洗设备的网络架构示意图,如图2所示:路由器1和路由器2为网络中两个不同的路由器,流量检测设备1用于检测经过路由器1的流量,流量检测设备2用于检测经过路由器2的流量;流量清洗设备组1用于清洗经过路由器1的攻击流量,包括流量清洗设备1-4共四台流量清洗设备;流量清洗设备组2用于清洗经过路由器2的攻击流量,包括流量清洗设备5-8共四台流量清洗设备;清洗设备管理平台用于接收流量检测设备1、2的攻击流量告警信息、以及向各流量清洗设备中选择出的目标清洗设备下发清洗指令。
下面以流量检测设备1检测到经过路由器1的流量中存在攻击流量为例,对图1所示流程进行描述:流量检测设备1在检测到攻击流量时,向清洗设备管理平台发送攻击流量告警信息,清洗设备管理平台根据该攻击流量告警信息确定攻击流量的流量参数,并基于该流量参数,从用于清洗经过路由1的攻击流量的流量清洗设备组1中选择用于清洗该攻击流量的目标清洗设备。假设选择出的目标清洗设备为流量清洗设备2,则向流量清洗设备2下发清洗指令。流量清洗设备2依据接收到的清洗指令,将上述攻击流量从路由器1牵引至本流量清洗设备进行清洗。
至此,完成对图2所示示意图的描述。
在一个实施例中,图2中的路由器1、路由器2也可为其他网络设备,如交换机等。优选的,这里的路由器1、2可以为吞吐量较大的核心路由器。
下面对上述步骤101中,如何从流量清洗设备组中选择具有清洗目标流量参数对应的攻击流量的能力的候选清洗设备进行描述:
参见图3,图3为本申请实施例提供的步骤101的实现流程图。如图3所示,该流程可包括:
步骤301,确定流量清洗设备组中各流量清洗设备的剩余清洗能力。
在一个例子中,流量清洗设备的剩余清洗能力可指示流量清洗设备在单位时间内,除当前正在清洗的流量外还能清洗的流量的大小。作为一个实施例,剩余清洗能力可通过一个参数来表示。
在一个例子中,流量清洗设备的剩余清洗能力可基于预设的流量清洗设备的最大清洗能力、以及流量清洗设备正在清洗流量的流量参数计算得到。作为一个实施例,这里的最大清洗能力指示流量清洗设备初始状态下能清洗的流量的最大速率,可预先记录在清洗设备管理平台上,这里的初始状态是指流量清洗设备尚未清洗任何流量的状态。具体的,流量清洗设备的最大清洗能力可由硬件决定。作为一个实施例,同一流量清洗设备组中的各流量清洗设备的最大清洗能力可以相同也可以不同。
为便于理解,下面以流量参数为单位时间内的流量大小为例,对确定流量清洗设备的剩余清洗能力的过程进行简要说明。该过程可包括以下步骤:
步骤a1,获取流量清洗设备当前单位时间内清洗的流量大小。
作为一个实施例,针对任一流量清洗设备,可获取单位时间内该流量清洗设备各接口入流量的流量大小之和,将其作为流量清洗设备当前单位时间内清洗的流量大小。
作为一个实施例,可实时执行步骤a1,并在a1发生变化时执行步骤a2;或者,执行步骤a1后直接执行步骤a2。
步骤a2,计算该流量清洗设备的最大清洗能力所指示的单位时间内最大可清洗的流量大小与上述步骤a1中获取到的流量大小的差值,将该差值作为表示该流量清洗设备的剩余清洗能力的参数。
作为一个实施例,流量清洗设备的最大清洗能力可通过一个参数表示。本步骤a2中,该参数为预设的单位时间内流量清洗设备最大可清洗的流量大小。
为便于理解步骤a1和a2,下面举一个简单的例子:以用于表示流量清洗设备的最大清洗能力的参数为1000M,即该流量清洗设备单位时间内最大可清洗的流量大小为1000M,且步骤a1中获取的该流量清洗设备当前单位时间内清洗的流量大小为500M为例,则可计算流量清洗设备的最大清洗能力所指示的单位时间内最大可清洗的流量大小与步骤a1中获取到的流量大小的差值为500M,由此,将500M作为表示该流量清洗设备的剩余清洗能力的参数。
需要说明的是,上述步骤a1、a2只是确定剩余清洗能力的一种举例。在实际应用时,可能存在多种不同的剩余清洗能力的确定方式,本申请对剩余清洗能力的确定方式不进行限制。
步骤302,针对每一剩余清洗能力,依据已设置的剩余清洗能力与流量参数之间的映射关系确定与该剩余清洗能力具有映射关系的参考流量参数。
在一个例子中,可在清洗设备管理平台所在的设备中预设剩余清洗能力与流量参数的映射关系,以便根据设备的剩余清洗能力确定流量清洗设备当前所能清洗流量的流量参数。具体的,可预设表示剩余清洗能力的参数与流量参数的映射关系。
在一个实施例中,剩余清洗能力与流量参数之间的映射关系可以为:用于表示剩余清洗能力的参数映射有唯一的流量参数,可参考表1所示示例:
| 剩余清洗能力 | 流量参数(流量速率) |
| 500M | 500M/s |
| 1000M | 1000M/s |
表1
如表1所示,用于表示剩余清洗能力的参数为500M,映射有唯一的流量参数500M/s;用于表示剩余清洗能力的参数为1000M,映射有唯一的流量参数1000M/s。为便于描述,下文将“用于表示剩余清洗能力的参数”也直接简称为“剩余清洗能力”。
在另一个实施例中,剩余清洗能力与流量参数之间的映射关系可以为:用于表示剩余清洗能力的参数映射有一个流量参数范围。如表2所示示例:
| 剩余清洗能力 | 流量参数(流量速率) |
| 500M | <500M/s |
| 1000M | <1000M/s |
表2
如表2所示,剩余清洗能力为500M,映射有<500M/s这一流量参数范围;剩余清洗能力为1000M,映射有<1000M/s这一流量参数范围。
作为一个实施例,可根据剩余清洗能力与流量参数间的映射关系设置映射规则,对于任一流量清洗设备的剩余清洗能力,可根据映射规则确定其映射的流量参数。作为另一个实施例,可根据剩余清洗能力与流量参数间的映射关系设置映射表,对于任一流量清洗设备的剩余清洗能力,可查询映射表中包含该剩余清洗能力的表项确定其映射的流量参数。
步骤303,针对每一流量清洗设备,当与该流量清洗设备的剩余清洗能力具有映射关系的参考流量参数大于或等于目标流量参数时,确定该流量清洗设备为具有清洗上述目标流量参数对应的攻击流量的能力的候选清洗设备。
为便于理解本步骤303,下面以目标流量参数为流量速率且具体为200M/s,剩余清洗能力和流量参数的映射关系如上述表1所示为例,进行举例描述:假设流量清洗设备的剩余清洗能力为500M,则根据表1可得与其具有映射关系的参考流量参数为500M/s,这一参考流量参数大于目标流量参数200M/s,由此可确定该流量清洗设备具有清洗上述目标流量参数对应的攻击流量的能力。
至此,完成对图3所示流程的描述。
通过图3所示流程,实现了从流量清洗设备组中选择具有清洗目标流量参数对应的攻击流量的能力的候选清洗设备。
下面对上述步骤102中,如何选择目标清洗设备进行描述:
在一个例子中,对于通过步骤101选择出的候选清洗设备,即使所有候选清洗设备均已达到各自设定的告警阈值,其仍然具有清洗检测到的第一攻击流量的能力。因此,可以从中选择一个作为目标清洗设备,作为一个实施例,可根据候选清洗设备的数量和剩余清洗能力进行选择,具体的选择可参考图4所示流程。
参见图4,图4为本申请实施例提供的步骤102的实现流程图。如图4所示,该流程可包括:
步骤401,当候选清洗设备的数量为1时,选择唯一的候选清洗设备作为目标清洗设备。
步骤402,当候选清洗设备的数量大于1时,选择候选清洗设备中剩余清洗能力最小的一个作为目标清洗设备。
作为一个实施例,剩余清洗能力越大映射的流量参数就越大,这意味着,具有更大的剩余清洗能力的流量清洗设备相比具有更小的剩余清洗能力的流量清洗设备,可以清洗具有更大的流量参数的攻击流量,即可以清洗更大规模的攻击流量。因此,通过选择候选清洗设备中剩余清洗能力最小的一个流量清洗设备作为目标清洗设备,可使候选清洗设备具有较大的剩余清洗能力,以便清洗后续可能出现的更大规模的攻击流量。
作为一个实施例,若候选清洗设备的数量大于1,且多个候选清洗设备的剩余清洗能力相同,则可按照其他规则从中选择一台作为目标清洗设备。这里的其他规则可包括:比较两台流量清洗设备在流量清洗设备组中被分配的设备ID的数值大小,选择设备ID数值最大或最小的流量清洗设备作为目标清洗设备。
在另一个例子中,当候选清洗设备中既存在达到设定的告警阈值的流量清洗设备,也存在未达到设定的告警阈值的流量清洗设备时,优先从未达到设定的告警阈值的流量清洗设备中选择一个作为目标清洗设备,由此确保不会超出流量清洗设备的清洗能力。本实施例中在选择目标清洗设备时,也可根据候选清洗设备数量和剩余清洗能力进行选择,具体的选择步骤可参考图4所示流程,在此不再赘述。
至此,完成对上述步骤102中如何选择目标清洗设备的描述。
以上对本申请提供的方法进行了描述,下面对本申请提供的装置进行描述:
参见图5,图5为本申请实施例提供的流量清洗装置结构图。如图5所示,该装置包括:第一选择单元501、第二选择单元502和指令下发单元503。
在一个例子中,上述第一选择单元501,用于当检测到攻击流量时,依据上述第一攻击流量的目标流量参数,从流量清洗设备组中选择具有清洗上述目标流量参数对应的攻击流量的能力的候选清洗设备。
第二选择单元502,用于当所有候选清洗设备均已达到各自设定的告警阈值,则从上述候选清洗设备中选择一个作为目标清洗设备,否则,从未达到设定的告警阈值的候选清洗设备中选择一个作为目标清洗设备。
指令下发单元503,用于向上述目标清洗设备下发清洗指令,以指示上述目标清洗设备对上述第一攻击流量进行清洗。
作为一个实施例,上述第一选择单元依据第一攻击流量的流量参数,从流量清洗设备组中选择具有清洗上述流量参数对应的攻击流量的能力的候选清洗设备,包括:
确定流量清洗设备组中各流量清洗设备的剩余清洗能力;
针对每一剩余清洗能力,依据已设置的清洗能力与流量参数之间的映射关系确定与该剩余清洗能力具有映射关系的参考流量参数;
针对每一流量清洗设备,当与该流量清洗设备的剩余清洗能力具有映射关系的参考流量参数大于或等于目标流量参数时,确定该流量清洗设备为具有清洗上述流量参数对应的攻击流量的能力的候选清洗设备。
作为一个实施例,参照图6,图6为本申请实施例提供的另一流量清洗装置结构图。如图6所示,该装置进一步包括:
告警输出单元504,用于当流量清洗设备组中不存在具有清洗上述流量参数对应的攻击流量的能力的候选清洗设备时,输出告警信息;上述告警信息包含上述第一攻击流量的目的IP地址,或者,包括上述第一攻击流量的目的IP地址和上述流量清洗设备组中各流量清洗设备当前正在清洗的其他攻击流量的目的IP地址。
作为一个实施例,上述第二选择单元从上述候选清洗设备中选择一个作为目标清洗设备,包括:
当上述候选清洗设备的数量为1时,选择唯一的候选清洗设备作为目标清洗设备;
当上述候选清洗设备的数量大于1时,选择候选清洗设备中剩余清洗能力最小的一个作为目标清洗设备。
作为一个实施例,上述第二选择单元从未达到设定的告警阈值的候选清洗设备中选择一个作为目标清洗设备,包括:
当未达到设定的告警阈值的候选清洗设备的数量为1时,选择唯一的未达到设定的告警阈值的候选清洗设备作为目标清洗设备;
当未达到设定的告警阈值的候选清洗设备的数量大于1时,选择未达到设定的告警阈值的候选清洗设备中剩余清洗能力最小的一个作为目标清洗设备。
上述装置中各模块的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,作为模块显示的部件可以是或者也可以不是物理模块,即可以位于一个地方,或者也可以分布到多个网络模块上。可以根据实际的需要选择其中的模块来实现本说明书方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
请参见图7,图7为本申请实施例提供的一种电子设备的硬件结构示意图。该电子设备可以包括处理器701、存储器702和通信总线703。处理器701以及存储器702通过通信总线703完成相互间的通信。其中,存储器702上存放有计算机程序;处理器701可以通过执行存储器702上所存放的程序,执行上文描述的流量清洗方法。
本文中提到的存储器702可以是任何电子、磁性、光学或其它物理存储装置,可以包含或存储信息,如可执行指令、数据,等等。例如,存储器702可以是:RAM(Radom AccessMemory,随机存取存储器)、易失存储器、非易失性存储器、闪存、存储驱动器(如硬盘驱动器)、固态硬盘、任何类型的存储盘(如光盘、dvd等),或者类似的存储介质,或者它们的组合。
本申请实施例还提供了一种存储有计算机程序的机器可读存储介质,例如图7中的存储器702,所述计算机程序可由图7所示电子设备中的处理器701执行以实现上文中描述的流量清洗方法。
为了描述的方便,描述以上装置时以功能分为各种单元分别描述。当然,在实施本申请时可以把各单元的功能在同一个或多个软件和/或硬件中实现。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
以上所述仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。
Claims (8)
1.一种流量清洗方法,其特征在于,所述方法包括:
当检测到第一攻击流量时,依据所述第一攻击流量的目标流量参数,从流量清洗设备组中选择具有清洗所述目标流量参数对应的攻击流量的能力的候选清洗设备;
当所有候选清洗设备均已达到各自设定的告警阈值,则从所述候选清洗设备中选择一个作为目标清洗设备,否则,从未达到设定的告警阈值的候选清洗设备中选择一个作为目标清洗设备;
向所述目标清洗设备下发清洗指令,以指示所述目标清洗设备对所述第一攻击流量进行清洗;
其中,所述从未达到设定的告警阈值的候选清洗设备中选择一个作为目标清洗设备,包括:
当未达到设定的告警阈值的候选清洗设备的数量为1时,选择唯一的未达到设定的告警阈值的候选清洗设备作为目标清洗设备;
当未达到设定的告警阈值的候选清洗设备的数量大于1时,选择未达到设定的告警阈值的候选清洗设备中剩余清洗能力最小的一个作为目标清洗设备。
2.根据权利要求1所述的方法,其特征在于,所述依据第一攻击流量的目标流量参数,从流量清洗设备组中选择具有清洗所述目标流量参数对应的攻击流量的能力的候选清洗设备,包括:
确定流量清洗设备组中各流量清洗设备的剩余清洗能力;
针对每一剩余清洗能力,依据已设置的剩余清洗能力与流量参数之间的映射关系确定与该剩余清洗能力具有映射关系的参考流量参数;
针对每一流量清洗设备,当与该流量清洗设备的剩余清洗能力具有映射关系的参考流量参数大于或等于目标流量参数时,确定该流量清洗设备为具有清洗所述目标流量参数对应的攻击流量的能力的候选清洗设备。
3.根据权利要求1所述的方法,其特征在于,当流量清洗设备组中不存在具有清洗所述目标流量参数对应的攻击流量的能力的候选清洗设备,该方法进一步包括:
输出告警信息;所述告警信息包含所述第一攻击流量的目的IP地址,或者,包括所述第一攻击流量的目的IP地址和所述流量清洗设备组中各流量清洗设备当前正在清洗的其他攻击流量的目的IP地址。
4.根据权利要求1所述的方法,其特征在于,所述从所述候选清洗设备中选择一个作为目标清洗设备,包括:
当所述候选清洗设备的数量为1时,选择唯一的候选清洗设备作为目标清洗设备;
当所述候选清洗设备的数量大于1时,选择候选清洗设备中剩余清洗能力最小的一个作为目标清洗设备。
5.一种流量清洗装置,其特征在于,所述装置包括:
第一选择单元,用于当检测到第一攻击流量时,依据所述第一攻击流量的目标流量参数,从流量清洗设备组中选择具有清洗所述目标流量参数对应的攻击流量的能力的候选清洗设备;
第二选择单元,用于当所有候选清洗设备均已达到各自设定的告警阈值,则从所述候选清洗设备中选择一个作为目标清洗设备,否则,从未达到设定的告警阈值的候选清洗设备中选择一个作为目标清洗设备;
指令下发单元,用于向所述目标清洗设备下发清洗指令,以指示所述目标清洗设备对所述第一攻击流量进行清洗;
其中,所述第二选择单元从未达到设定的告警阈值的候选清洗设备中选择一个作为目标清洗设备,包括:
当未达到设定的告警阈值的候选清洗设备的数量为1时,选择唯一的未达到设定的告警阈值的候选清洗设备作为目标清洗设备;
当未达到设定的告警阈值的候选清洗设备的数量大于1时,选择未达到设定的告警阈值的候选清洗设备中剩余清洗能力最小的一个作为目标清洗设备。
6.根据权利要求5所述的装置,其特征在于,所述第一选择单元依据第一攻击流量的目标流量参数,从流量清洗设备组中选择具有清洗所述目标流量参数对应的攻击流量的能力的候选清洗设备,包括:
确定流量清洗设备组中各流量清洗设备的剩余清洗能力;
针对每一剩余清洗能力,依据已设置的剩余清洗能力与流量参数之间的映射关系确定与该剩余清洗能力具有映射关系的参考流量参数;
针对每一流量清洗设备,当与该流量清洗设备的剩余清洗能力具有映射关系的参考流量参数大于或等于目标流量参数时,确定该流量清洗设备为具有清洗所述流量参数对应的攻击流量的能力的候选清洗设备。
7.根据权利要求5所述的装置,其特征在于,该装置进一步包括:
告警输出单元,用于当流量清洗设备组中不存在具有清洗所述目标流量参数对应的攻击流量的能力的候选清洗设备时,输出告警信息;所述告警信息包含所述第一攻击流量的目的IP地址,或者,包括所述第一攻击流量的目的IP地址和所述流量清洗设备组中各流量清洗设备当前正在清洗的其他攻击流量的目的IP地址。
8.根据权利要求5所述的装置,其特征在于,所述第二选择单元从所述候选清洗设备中选择一个作为目标清洗设备,包括:
当所述候选清洗设备的数量为1时,选择唯一的候选清洗设备作为目标清洗设备;
当所述候选清洗设备的数量大于1时,选择候选清洗设备中剩余清洗能力最小的一个作为目标清洗设备。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010359325.4A CN111586018B (zh) | 2020-04-29 | 2020-04-29 | 一种流量清洗方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010359325.4A CN111586018B (zh) | 2020-04-29 | 2020-04-29 | 一种流量清洗方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111586018A CN111586018A (zh) | 2020-08-25 |
| CN111586018B true CN111586018B (zh) | 2022-05-31 |
Family
ID=72111903
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010359325.4A Active CN111586018B (zh) | 2020-04-29 | 2020-04-29 | 一种流量清洗方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111586018B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113411351B (zh) * | 2021-06-07 | 2023-06-27 | 中国人民解放军空军工程大学 | 基于NFV和深度学习的DDoS攻击弹性防御方法 |
| CN113839928A (zh) * | 2021-09-02 | 2021-12-24 | 杭州迪普科技股份有限公司 | 一种管理流量清洗设备的方法及装置 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106330951A (zh) * | 2016-09-14 | 2017-01-11 | 北京神州绿盟信息安全科技股份有限公司 | 一种网络防护方法、装置和系统 |
| CN106411892A (zh) * | 2016-09-28 | 2017-02-15 | 广州华多网络科技有限公司 | Ddos系统地址信息传输、访问请求过滤方法、装置及服务器 |
| CN108449314A (zh) * | 2018-02-02 | 2018-08-24 | 杭州迪普科技股份有限公司 | 一种流量牵引方法和装置 |
| CN110113435A (zh) * | 2019-05-27 | 2019-08-09 | 北京神州绿盟信息安全科技股份有限公司 | 一种流量清洗的方法和设备 |
| CN110855566A (zh) * | 2019-11-26 | 2020-02-28 | 杭州迪普科技股份有限公司 | 上行流量的牵引方法和装置 |
-
2020
- 2020-04-29 CN CN202010359325.4A patent/CN111586018B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106330951A (zh) * | 2016-09-14 | 2017-01-11 | 北京神州绿盟信息安全科技股份有限公司 | 一种网络防护方法、装置和系统 |
| CN106411892A (zh) * | 2016-09-28 | 2017-02-15 | 广州华多网络科技有限公司 | Ddos系统地址信息传输、访问请求过滤方法、装置及服务器 |
| CN108449314A (zh) * | 2018-02-02 | 2018-08-24 | 杭州迪普科技股份有限公司 | 一种流量牵引方法和装置 |
| CN110113435A (zh) * | 2019-05-27 | 2019-08-09 | 北京神州绿盟信息安全科技股份有限公司 | 一种流量清洗的方法和设备 |
| CN110855566A (zh) * | 2019-11-26 | 2020-02-28 | 杭州迪普科技股份有限公司 | 上行流量的牵引方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111586018A (zh) | 2020-08-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111586018B (zh) | 一种流量清洗方法及装置 | |
| JP4015628B2 (ja) | フォーワーディング情報を動的に管理する分散構造ルータ及びその方法 | |
| CN106302179B (zh) | 一种管理索引表的方法及装置 | |
| US9361238B2 (en) | Memory addressing mechanism using a buffer of a hierarchy of collision free hash tables | |
| CN108259328B (zh) | 报文转发方法及装置 | |
| CN106549820A (zh) | 识别网络环路的方法、装置、流量清洗设备及系统 | |
| CN110535825B (zh) | 一种特征网络流的数据识别方法 | |
| EP3547102A1 (en) | Object storage system with multi-level hashing function for storage address determination | |
| CN108259426A (zh) | 一种DDoS攻击检测方法及设备 | |
| CN109597800B (zh) | 一种日志分发方法及装置 | |
| CN107231344B (zh) | 流量清洗方法和装置 | |
| JP6939726B2 (ja) | 攻撃対処箇所選択装置及び攻撃対処箇所選択方法 | |
| US20140108738A1 (en) | Apparatus and method for detecting large flow | |
| CN110012076B (zh) | 一种连接建立方法及装置 | |
| CN108183884A (zh) | 一种网络攻击判定方法及装置 | |
| CN108650154A (zh) | 流量控制方法及装置 | |
| CN106878106A (zh) | 一种可达性检测方法及装置 | |
| CN107547408B (zh) | 一种mac地址哈希冲突的处理方法和装置 | |
| US20090055420A1 (en) | Method, system, and computer program product for identifying common factors associated with network activity with reduced resource utilization | |
| US7443870B2 (en) | Method for prioritizing grouped data reduction | |
| US8005106B2 (en) | Apparatus and methods for hybrid fair bandwidth allocation and drop precedence | |
| CN107294922A (zh) | 一种应对网络攻击的网络地址调度方法及装置 | |
| CN111131045B (zh) | 报文转发方法和网络设备 | |
| CN109960470A (zh) | 数据处理方法、装置及领导节点 | |
| CN112688970B (zh) | 一种基于可编程芯片的大流量DDoS攻击检测方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |