CN111901284A - 流量控制方法及系统 - Google Patents
流量控制方法及系统 Download PDFInfo
- Publication number
- CN111901284A CN111901284A CN201910370906.5A CN201910370906A CN111901284A CN 111901284 A CN111901284 A CN 111901284A CN 201910370906 A CN201910370906 A CN 201910370906A CN 111901284 A CN111901284 A CN 111901284A
- Authority
- CN
- China
- Prior art keywords
- traffic
- flow
- address
- determining
- value
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/29—Flow control; Congestion control using a combination of thresholds
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/32—Flow control; Congestion control by discarding or delaying data units, e.g. packets or frames
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种流量控制方法及系统。其中,该方法包括:获取来自服务提供商侧的流量信息;基于所述流量信息确定发往目的地址的流量数据的流量值,其中,该流量值用于指示来自所述流量数据的所有源地址的总流量大小;比较所述流量值和第一阈值的大小;依据比较结果确定是否对来自所述所有源地址中目标源地址的流量进行限制。本申请解决了通过提高物理带宽的方式防御攻击者,容易由于物理带宽的限制,导致防御效果较差的技术问题。
Description
技术领域
本申请涉及计算机领域,具体而言,涉及一种流量控制方法及系统。
背景技术
目前,机房的物理带宽有限,而攻击者手里的带宽资源已经远超机房水位。为了降低机房风险,并尽可能提高机房防护能力(带宽峰值),需要借助运营商的能力对攻击源(机房的肉鸡,大规模在一个网段内的攻击者)进行流量压制。根据攻防处理的经验来说,每当有大流量(600Gbps+)攻击时,可以将攻击源简单的分类为,国内机房级别的攻击者、国内零散攻击者和海外攻击者三部分。从占比来看,国内机房级别攻击者和海外攻击者往往可以占到40%~70%之间的攻击量。因此,当将这部分流量进行源头压制以后,剩余的攻击流量便可以交给机房自身进行硬抗。
现有技术中,主要通过近源清洗与设置高防机房的方式对攻击者进行防御。其中,近源清洗是将异常流量清洗设备分散部署在靠近攻击源的位置,每个清洗设备只清理自己的部分,让攻击无法在目的端形成合力。该方案最大的缺点在于需要建设并部署非常多的机房,而且受限于不通机房的不同网络环境,在实施上有难度。而且攻击源具有一定的离散和不确定性,很难做到全区域覆盖。高防机房是一类特殊的机房,相比于其他机房,此类机房提供了非常高与运营商侧连接的带宽上限。与有限的带宽相比,攻击者掌握的资源远远大于机房的防护带宽。因此该方案是在有限的防护水位的情况下能尽可能提供防护,无法突破物理带宽的瓶颈。
针对上述的问题,目前尚未提出有效的解决方案。
发明内容
本申请实施例提供了一种流量控制方法及系统,以至少解决通过提高物理带宽的方式防御攻击者,容易由于物理带宽的限制,导致防御效果较差的技术问题。
根据本申请实施例的一个方面,提供了一种流量控制方法,包括:获取来自服务提供商侧的流量信息;基于所述流量信息确定发往目的地址的流量数据的流量值,其中,该流量值用于指示来自所述流量数据的所有源地址的总流量大小;比较所述流量值和第一阈值的大小;依据比较结果确定是否对来自所述所有源地址中目标源地址的流量进行限制。
根据本申请实施例的一个方面,提供了一种流量控制方法,包括:获取来自所有源地址的流量信息;基于所述流量信息确定发往目的地址的流量数据的流量值,其中,该流量值用于指示来自所述流量数据的所有源地址的总流量大小;在所述流量值大于第一阈值时,从所述流量数据的所有源地址中确定目标源地址,并丢弃所述目标源地址的流量。
根据本申请实施例的一个方面,提供了一种流量控制装置,包括:获取模块,用于获取来自服务提供商侧的流量信息;第一确定模块,用于基于所述流量信息确定发往目的地址的流量数据的流量值,其中,该流量值用于指示来自所述流量数据的所有源地址的总流量大小;比较模块,用于比较所述流量值和第一阈值的大小;第二确定模块,用于依据比较结果确定是否对来自所述所有源地址中目标源地址的流量进行限制。
根据本申请实施例的一个方面,提供了一种系统,包括:处理器;以及存储器,与所述处理器连接,用于为所述处理器提供处理以下处理步骤的指令:获取来自服务提供商侧的流量信息;基于所述流量信息确定发往目的地址的流量数据的流量值,其中,该流量值用于指示来自所述流量数据的所有源地址的总流量大小;比较所述流量值和第一阈值的大小;依据比较结果确定是否对来自所述所有源地址中目标源地址的流量进行限制。
在本申请实施例中,采用获取来自服务提供商侧的流量信息;基于所述流量信息确定发往目的地址的流量数据的流量值,其中,该流量值用于指示来自所述流量数据的所有源地址的总流量大小;比较所述流量值和第一阈值的大小;依据比较结果确定是否对来自所述所有源地址中目标源地址的流量进行限制的方式,通过对流量值的判断决定是否对源地址的流量进行限制,达到了限制目的地址接收流量异常的数据的目的,从而实现了在机房固有带宽不变的情况下,可以实现突破物理机房上线,提供超出机房能力的防护而不影响机房的安全运行的技术效果,进而解决了通过提高物理带宽的方式防御攻击者,容易由于物理带宽的限制,导致防御效果较差的技术问题。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1是根据本申请实施例的一种流量控制方法的时序图;
图2是根据本申请实施例的一种计算机终端的硬件结构框图;
图3是根据本申请实施例的一种可选的流量控制方法的流程示意图;
图4是根据本申请实施例的一种可选的流量控制方法的流程示意图;
图5是根据本申请实施例的一种可选的流量控制系统的结构示意图;
图6是根据本申请实施例的一种可选的流量控制方法的流程示意图;
图7是根据本申请实施例的一种可选的流量控制装置的结构示意图;
图8是根据本申请实施例的一种可选的流量控制系统的结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。
需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
首先,在对本申请实施例进行描述的过程中出现的部分名词或术语适用于如下解释:
DDoS:全称为Distributed Denial of Service,即分布式拒绝服务,分布式拒绝服务攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地提高拒绝服务攻击的威力。
ISP:全称为Internet Service Provider,即因特网服务提供商,即向广大用户综合提供互联网接入业务、信息业务和增值业务的电信运营商。能提供拨号上网服务、网上浏览、下载文件、收发电子邮件等服务,是网络最终用户进入Internet的入口和桥梁。它包括Internet接入服务和Internet内容提供服务,本文中也叫运营商。
肉鸡:所谓“肉鸡”是一种很形象的比喻,比喻那些可以随意被黑客控制的电脑,对方可以是WINDOWS系统,也可以是UNIX/LINUX系统,可以是普通的个人电脑,也可以是大型的服务器,黑客像操作自己的电脑那样来操作它们,而不被对方所发觉。本文中指发起大流量攻击的攻击源。
网段:网段是指一个计算机网络中使用同一物理层设备(传输介质,中继器,集线器等)能够直接通讯的那一部分。例如:从192.168.0.1到192.168.255.255这之间就是一个网段。通常使用同一物理层的设备之间必然通过相同的传输介质直接相互连接,(如交叉双绞线直接连接的两台主机),但是两组其传输介质并非直接相连的网络设备,如果它们的传输介质通过工作在物理层的扩展设备如中继器和集线器等转接连接,则仍然被视为同一物理层中的设备,是一个而非两个网段。另外,工作在数据链路层或更高层的设备如网桥、交换机、路由器等等,由它们连接起来的两组设备仍然分别处于各自独立的物理层,因此是两个网段。
bps:即比特率、比特/秒、位/秒、每秒传送位数,是数据传输速率的常用单位。
实施例1
本申请提供了如图1所示的流量控制方法的时序图,图1是根据本申请实施例一的流量控制方法的时序图,该方法包括以下处理流程:
步骤S102,服务提供商12发送流量信息至路由器14;
具体地,服务提供商12用于向目的地址发送流量信息,服务提供商12可以为搜索引擎ISP、即时通信ISP、移动互联网业务ISP、门户ISP、电子邮件服务商。其中,服务提供商12可以为一个或多个,另外,服务提供商12侧发送流量信息的地址为源地址。
步骤S104,路由器14将获取到的流量信息发送至对应目的地址的交换机16;
具体地,目的地址为实际接收流量信息的与交换机16对应的接收设备的地址。接收设备可以为个人电脑或企业电脑。
步骤S106,服务提供商12发送流量信息至数据处理设备18,以便数据处理设备18可以对发往目的地址的流量进行控制,例如,采用图3所述的流量控制方法进行控制,以下会详细说明。
需要说明的是,步骤S106与步骤102的执行顺序可以互换,而且,数据处理设备18可以为计算机终端,该计算机终端的结构可以参见图2所示的计算机终端。
本申请实施例所提供的方法实施例可以在移动终端、计算机终端或者类似的运算装置中执行。图2示出了一种用于实现流量控制方法的计算机终端(或移动设备)的硬件结构框图。如图2所示,计算机终端20(或移动设备20)可以包括一个或多个(图中采用202a、202b,……,202n来示出)处理器202(处理器202可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)、用于存储数据的存储器204、以及用于通信功能的传输装置206。除此以外,还可以包括:显示器、输入/输出接口(I/O接口)、通用串行总线(USB)端口(可以作为I/O接口的端口中的一个端口被包括)、网络接口、电源和/或相机。本领域普通技术人员可以理解,图2所示的结构仅为示意,其并不对上述电子装置的结构造成限定。例如,计算机终端20还可包括比图2中所示更多或者更少的组件,或者具有与图2所示不同的配置。
应当注意到的是上述一个或多个处理器202和/或其他数据处理电路在本文中通常可以被称为“数据处理电路”。该数据处理电路可以全部或部分的体现为软件、硬件、固件或其他任意组合。此外,数据处理电路可为单个独立的处理模块,或全部或部分的结合到计算机终端20(或移动设备)中的其他元件中的任意一个内。如本申请实施例中所涉及到的,该数据处理电路作为一种处理器控制(例如与接口连接的可变电阻终端路径的选择)。
存储器204可用于存储应用软件的软件程序以及模块,如本申请实施例中的流量控制方法对应的程序指令/数据存储装置,处理器202通过运行存储在存储器204内的软件程序以及模块,从而执行各种功能应用以及数据处理,即实现上述的应用程序的漏洞检测方法。存储器204可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器204可进一步包括相对于处理器202远程设置的存储器,这些远程存储器可以通过网络连接至计算机终端20。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
传输装置206用于经由一个网络接收或者发送数据。上述的网络具体实例可包括计算机终端20的通信供应商提供的无线网络。在一个实例中,传输装置206包括一个网络适配器(Network Interface Controller,NIC),其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中,传输装置206可以为射频(Radio Frequency,RF)模块,其用于通过无线方式与互联网进行通讯。
显示器可以例如触摸屏式的液晶显示器(LCD),该液晶显示器可使得用户能够与计算机终端20(或移动设备)的用户界面进行交互。
在上述运行环境下,本申请提供了如图3所示的流量控制方法。图3是根据本申请实施例一的流量控制方法的流程示意图,该方法包括以下处理流程:
步骤S302,获取来自服务提供商侧的流量信息;
目前,按照主营的业务划分,ISP主要有以下几类:搜索引擎ISP、即时通信ISP、移动互联网业务ISP、门户ISP、电子邮件服务商。
具体地,流量信息中包括当前流量的流量值。
在本申请的一些可选的实施例中,可通过提前设置的流量采集模块从ISP侧分光或镜像获取实时网络流量数据。
对于某些节点,宽带接入服务器通过光口GE链路直接与核心路由器相连,宽带接入服务器及地理源路由均不支持端口镜像,这时采用分光器进行流量采集是最合适的方法。当某些节点的核心交换机、汇聚层交换机没有足够的GE端口,不适合采用端口镜像进行流量采集时,或希望在出口采集网络流量,就可以采用分光器进行流量采集。分光器是一种无源光器件,通过在物理层上进行光复制来进行用户访问请求。
步骤S304,基于所述流量信息确定发往目的地址的流量数据的流量值,其中,该流量值用于指示来自所述流量数据的所有源地址的总流量大小;
在本申请的一些可选的实施例中,目的地址可以为接收上述流量数据的特定计算机的IP地址,源地址为发送上述流量数据的地址,具体地,发往目的地址的流量数据可来源于一个或多个源地址。
步骤S306,比较所述流量值和第一阈值的大小;
具体地,上述第一阈值可以人为提前设定,第一阈值可以为发送至与目的地址对应的路由器的数据的流量阈值。
步骤S308,依据比较结果确定是否对来自所述所有源地址中目标源地址的流量进行限制。
可选地,依据比较结果确定是否对来自所有源地址中目标源地址的流量进行限制可以通过以下方式进行实现:在所述流量值大于所述第一阈值时,确定对来自所述目标源地址的流量进行限制;在所述流量值小于所述第一阈值时,对来自所述目标源地址的流量进行以下至少之一处理:确定来自所述目标源地址中产生异常流量的源地址;丢弃所述异常流量和/或减小发往所述目的地址的流量的最大值;拒绝来自所有所述目标源地址的访问。
具体地,来自目标源地址的流量数据中包含有目标源地址信息,上述异常流量可以为大于预设阈值、小于上述第一阈值的流量,丢弃异常流量为丢弃异常流量的数据。在流量值大于第一阈值时,确定对来自目标源地址的流量进行限制可包括以下步骤S3082至步骤S3084,
步骤S3082,按照预设规则从流量数据的所有源地址中确定目标源地址;
具体地,可首先确定流量数据的各个源地址的地址属性和来自流量数据的各个源地址的流量值,然后依据地址属性和来自流量数据的各个源地址的流量值中的至少之一确定目标源地址。
在本申请的一些可选的实施例中,上述地址属性可以为IP地址的属性,IP地址的属性包括:网段流量、非家庭出口、非个人用户出口、非运营商公共出口等;
在本申请的一些可选的实施例中,依据所述地址属性和来自所述流量数据的各个源地址的流量值中的至少之一确定所述目标源地址可以通过以下方式进行实现:
确定所述地址属性的类型;
在所述类型为指定类型,且来自所述流量数据的各个源地址中存在指定源地址的流量值大于第二阈值时,确定所述指定源地址为目标源地址。例如:当指定类型为非家庭出口时,若检测到指定源地址的地址属性为非家庭出口的属性,且来自该指定源地址的流量值大于第二阈值时,确定该指定源地址为目标源地址。
其中,确定地址属性的类型可以通过以下方式进行实现:依据所述地址属性确定所述各个源地址所对应的攻击源类型;将所述攻击源类型作为所述地址属性的类型。
上述攻击源可以为肉鸡设备。
步骤S3084,丢弃目标源地址发往目的地址的流量。
可选地,丢弃所述目标源地址发往所述目的地址的流量可以包括以下步骤:确定所述目标源地址中的网段分布信息;丢弃来自所述网段分布信息所对应的服务提供商的流量。
在本申请的一些可选的实施例中,在确定对来自所述目标源地址的流量进行限制之后,还需要再次检测发往所述目的地址的流量数据的流量值,得到目标流量值;
在所述目标流量值大于第三阈值时,执行以下之一处理过程:1)确定来自所述目标源地址中产生异常流量的源地址;丢弃所述异常流量和/或减小发往所述目的地址的流量的最大值;2)拒绝来自所有所述目标源地址的访问。
具体地,丢弃所述异常流量和/或减小发往所述目的地址的流量的最大值为清洗过程。
清洗是指将流量从原始网络路径中重定向到清洗设备上,通过清洗设备对该IP的流量成分进行正常和异常判断,丢弃异常流量,并对最终到达服务器的流量实施限流,减缓攻击对服务器造成的损害,但对流量中正常的部分可能造成损伤。
具体地,拒绝来自所有所述目标源地址的访问为黑洞过程。
黑洞是指服务器受攻击流量超过本机房黑洞阈值时,云屏蔽服务器的外网访问。当服务器进入黑洞一段时间后,如果系统监控到攻击流量停止,黑洞会自动解封。由于黑洞是云向运营商购买的服务,而运营商对黑洞解除时间和频率都有严格的限制,所以黑洞状态无法人工解除,需耐心等待系统自动解封。
其中,第三阈值小于第一阈值。
在本申请的一些可选的实施例中,基于所述流量信息确定发往目的地址的流量数据的流量值之前,还需执行以下步骤:
确定所述流量数据的摘要信息,其中,所述摘要信息包括IP五元组信息和流量信息;
基于所述摘要信息确定所述发往目的地址的流量数据的流量值。
具体地,IP五元组信息包括:源IP地址、源端口、目的IP地址、目的端口和传输层协议。
在本申请实施例中,采用获取来自服务提供商侧的流量信息;基于所述流量信息确定发往目的地址的流量数据的流量值,其中,该流量值用于指示来自所述流量数据的所有源地址的总流量大小;比较所述流量值和第一阈值的大小;依据比较结果确定是否对来自所述所有源地址中目标源地址的流量进行限制的方式,通过对流量值的判断决定是否对源地址的流量进行限制,达到了限制目的地址接收流量异常的数据的目的,从而实现了在机房固有带宽不变的情况下,可以实现突破物理机房上线,提供超出机房能力的防护而不影响机房的安全运行的技术效果,进而解决了通过提高物理带宽的方式防御攻击者,容易由于物理带宽的限制,导致防御效果较差的技术问题。
需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本申请并不受所描述的动作顺序的限制,因为依据本申请,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本申请所必须的。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本申请各个实施例所述的方法。
实施例2
根据本申请实施例,还提供了如图4所示的流量控制方法,图4为该流量控制方法的流程示意图,该方法至少包括以下步骤S402至步骤S406:
步骤S402,获取来自所有源地址的流量信息;
在本申请的一些可选的实施例中,上述源地址为向目的地址发送流量数据的地址。
具体地,上述源地址可以为ISP的地址,目前,按照主营的业务划分,中国ISP主要有以下几类:搜索引擎ISP、即时通信ISP、移动互联网业务ISP、门户ISP、电子邮件服务商。流量信息中包括当前流量的流量值。
在本申请的一些可选的实施例中,可通过提前设置的流量采集模块从ISP侧分光或镜像获取实时网络流量数据。
对于某些节点,宽带接入服务器通过光口GE链路直接与核心路由器相连,宽带接入服务器及地理源路由均不支持端口镜像,这时采用分光器进行流量采集是最合适的方法。当某些节点的核心交换机、汇聚层交换机没有足够的GE端口,不适合采用端口镜像进行流量采集时,或希望在出口采集网络流量,就可以采用分光器进行流量采集。分光器是一种无源光器件,通过在物理层上进行光复制来进行用户访问请求。
步骤S404,基于所述流量信息确定发往目的地址的流量数据的流量值,其中,该流量值用于指示来自所述流量数据的所有源地址的总流量大小;
在本申请的一些可选的实施例中,目的地址可以为接收上述流量数据的特定计算机的IP地址,源地址为发送上述流量数据的地址。
步骤S406,在所述流量值大于第一阈值时,从所述流量数据的所有源地址中确定目标源地址,并丢弃所述目标源地址的流量。
可选地,在确定发往目的地址的流量数据的流量值之后,需比较所述流量值和第一阈值的大小;
具体地,上述第一阈值可以人为提前设定,第一阈值可以为发送至与目的地址对应的路由器的数据的流量阈值。
在本申请的一些可选的实施例中,可以按照预设规则从流量数据的所有源地址中确定目标源地址。
具体地,按照预设规则从所述流量数据的所有源地址中确定目标源地址可以通过执行以下步骤进行实现:首先确定流量数据的各个源地址的地址属性和来自流量数据的各个源地址的流量值,然后依据地址属性和来自流量数据的各个源地址的流量值中的至少之一确定目标源地址。
在本申请的一些可选的实施例中,上述地址属性可以为IP地址的属性,IP地址的属性包括:网段流量、非家庭出口、非个人用户出口、非运营商公共出口等;
在本申请的一些可选的实施例中,依据所述地址属性和来自所述流量数据的各个源地址的流量值中的至少之一确定所述目标源地址可以通过以下方式进行实现:
确定所述地址属性的类型;
在所述类型为指定类型,且来自所述流量数据的各个源地址中存在指定源地址的流量值大于第二阈值时,确定所述指定源地址为目标源地址。例如:当指定类型为非家庭出口时,若检测到指定源地址的地址属性为非家庭出口的属性,且来自该指定源地址的流量值大于第二阈值时,确定该指定源地址为目标源地址。
其中,确定地址属性的类型可以通过以下方式进行实现:依据所述地址属性确定所述各个源地址所对应的攻击源类型;将所述攻击源类型作为所述地址属性的类型。
可选地,丢弃所述目标源地址的流量可以包括以下步骤:确定所述目标源地址中的网段分布信息;丢弃来自所述网段分布信息所对应的服务提供商的流量。
在本申请的一些可选的实施例中,在确定对来自所述目标源地址的流量进行限制之后,还需要再次检测发往所述目的地址的流量数据的流量值,得到目标流量值;
在所述目标流量值大于第三阈值时,执行以下之一处理过程:
确定来自所述目标源地址中产生异常流量的源地址;丢弃所述异常流量和/或减小发往所述目的地址的流量的最大值;
拒绝来自所有所述目标源地址的访问。
其中,第三阈值小于第一阈值。
在本申请的一些可选的实施例中,基于所述流量信息确定发往目的地址的流量数据的流量值之前,还需执行以下步骤:
确定所述流量数据的摘要信息,其中,所述摘要信息包括IP五元组信息和流量信息;基于所述摘要信息确定所述发往目的地址的流量数据的流量值。具体地,IP五元组信息包括:源IP地址、源端口、目的IP地址、目的端口和传输层协议。根据本申请实施例,还提供了一种用于实施上述流量控制方法的流量控制系统,如图5所示,图5为根据本申请实施例的流量控制系统,该系统包括:ISP52、路由器54、交换机56、流量采集模块58、流量汇总与分析模块510、流量决策模块512、策略执行模块514。其中:
ISP52,用于向目的地址发送流量数据,正常的业务流程为,流量数据自ISP52发送至路由器54,再由路由器54发送至交换机56;为了限制目的地址接收流量异常的数据,可通过流量采集模块58从ISP52侧分光或镜像获取实时网络流量数据。流量采集模块58获取实时网络流量数据之后,需确定流量数据的摘要信息,其中,摘要信息,包括IP五元组信息和流量信息;并将摘要信息发送至流量汇总和分析模块510,流量汇总和分析模块510,用于基于摘要信息确定发往目的地址的流量数据的流量值,并将流量值发送至流量决策模块512,流量决策模块512,用于比较所述流量值和第一阈值的大小,用于在所述流量值大于第一阈值时,从所述流量数据的所有源地址中确定目标源地址,策略执行模块514,用于丢弃所述目标源地址的流量。
图5所示实施例的优选实施方式可以参见图4所示实施例的相关描述,此处不再赘述。
实施例3
根据本申请实施例,还提供了如图6所示的流量控制方法,图6为该流量控制方法的流程示意图,该方法至少包括以下步骤S602至步骤S616:
步骤S602,按照目的IP汇总流量数据;
具体地,目的IP的地址为接收流量数据的目的地址;流量数据可来源于服务提供商侧;
步骤S604,判断上述流量数据的流量值是否超过第一阈值;
若是,则执行步骤S606,若否,则执行步骤S614;
可选地,该流量值用于指示来自所述流量数据的所有源地址的总流量大小;
步骤S606,判断上述流量值是否已经在压制中;若是,则执行步骤S616,若否,则执行步骤S608;
步骤S608,将该目的IP的源IP汇总流量数据,发送给流量决策模块;
具体地,源IP的地址为发送流量数据至目的地址的源地址;
步骤S610,按照源IP统计网段分布,提取需要压制的网段,发送给策略执行模块;
具体地,流量决策模块按照源IP统计网段分布,提取需要压制的网段,发送给策略执行模块;
步骤S612,按照网段地域和ISP信息向对应区域ISP下发黑洞指令;
具体地,策略执行模块按照网段地域和ISP信息向对应区域ISP下发黑洞指令;
步骤S614,清洗、黑洞;
在本申请的一些可选的实施例中,流量值未超过第一阈值时,则对流量数据进行清洗,即丢弃异常流量和/或减小发往所述目的地址的流量的最大值;或者进行黑洞处理,即拒绝来自所有目标源地址的访问。
步骤S616,判断流量值是否超过机房预警水位,若是,则执行步骤S614,若否,则执行步骤S608。
实施例4
根据本申请实施例,还提供了一种用于实施上述流量控制方法的流量控制装置,如图7所示,该装置包括:获取模块72、第一确定模块74、比较模块76、第二确定模块78;其中:
获取模块72,用于获取来自服务提供商侧的流量信息;
第一确定模块74,基于所述流量信息确定发往目的地址的流量数据的流量值,其中,该流量值用于指示来自所述流量数据的所有源地址的总流量大小;
比较模块76,用于比较所述流量值和第一阈值的大小;
第二确定模块78,用于依据比较结果确定是否对来自所述所有源地址中目标源地址的流量进行限制。
具体地,第二确定模块78包括第一确定单元与第二确定单元,其中,第一确定单元,用于在所述流量值大于所述第一阈值时,确定对来自所述目标源地址的流量进行限制;
第二确定单元,用于在所述流量值小于所述第一阈值时,对来自所述目标源地址的流量进行以下至少之一处理:确定来自所述目标源地址中产生异常流量的源地址;丢弃所述异常流量和/或减小发往所述目的地址的流量的最大值;拒绝来自所有所述目标源地址的访问。
第一确定单元还可以包括:第三确定单元与第一处理单元,其中,第三确定单元,用于按照预设规则从所述流量数据的所有源地址中确定目标源地址;第一处理单元,用于丢弃所述目标源地址发往所述目的地址的流量。
可选地,第三确定单元包括第四确定单元与第五确定单元,其中,第四确定单元,用于确定所述流量数据的各个源地址的地址属性和来自所述流量数据的各个源地址的流量值;第五确定单元,用于依据所述地址属性和来自所述流量数据的各个源地址的流量值中的至少之一确定所述目标源地址。
第五确定单元还可以包括第六确定单元与第七确定单元,其中:第六确定单元,用于确定所述地址属性的类型;第七确定单元,用于在所述类型为指定类型,且来自所述流量数据的各个源地址中存在指定源地址的流量值大于第一阈值时,确定所述指定源地址为目标源地址。
具体地,第六确定单元,用于依据所述地址属性确定所述各个源地址所对应的攻击源类型;将所述攻击源类型作为所述地址属性的类型。第一处理单元还可以包括:第八确定单元与第二处理单元,其中:第八确定单元,用于确定所述目标源地址中的网段分布信息;第二处理单元,用于丢弃来自所述网段分布信息所对应的服务提供商的流量。
第二确定模块78,还用于在确定对来自所述目标源地址的流量进行限制之后,再次检测发往所述目的地址的流量数据的流量值,得到目标流量值;在所述目标流量值大于第三阈值时,执行以下之一处理过程:确定来自所述目标源地址中产生异常流量的源地址;丢弃所述异常流量和/或减小发往所述目的地址的流量的最大值;拒绝来自所有所述目标源地址的访问。
所述装置,还用于在基于所述流量信息确定发往目的地址的流量数据的流量值之前,确定所述流量数据的摘要信息,其中,所述摘要信息包括IP五元组信息和流量信息;基于所述摘要信息确定所述发往目的地址的流量数据的流量值。
此处需要说明的是,上述获取模块72对应于实施例1中的步骤S302,第一确定模块74对应于实施例1中的步骤S304,比较模块76对应于实施例1中的步骤S306,第二确定模块78对应于实施例1中的步骤S308。四个模块与对应的步骤所实现的实例和应用场景相同,但不限于上述实施例一所公开的内容。需要说明的是,上述模块作为装置的一部分可以运行在实施例一提供的计算机终端20中。
实施例5
根据本申请实施例,还提供了一种用于实施上述流量控制方法的系统,如图8所示,该系统包括:处理器82、存储器84;其中:存储器84,与所述处理器82连接,用于为所述处理器82提供处理以下处理步骤的指令:获取来自服务提供商侧的流量信息;基于所述流量信息确定发往目的地址的流量数据的流量值,其中,该流量值用于指示来自所述流量数据的所有源地址的总流量大小;比较所述流量值和第一阈值的大小;依据比较结果确定是否对来自所述所有源地址中目标源地址的流量进行限制。
目前,按照主营的业务划分,中国ISP主要有以下几类:搜索引擎ISP、即时通信ISP、移动互联网业务ISP、门户ISP、电子邮件服务商。
流量信息中包括当前流量的流量值。
在本申请的一些可选的实施例中,可通过提前设置的流量采集模块从ISP侧分光获取实时网络流量数据。
对于某些节点,宽带接入服务器通过光口GE链路直接与核心路由器相连,宽带接入服务器及地理源路由均不支持端口镜像,这时采用分光器进行流量采集是最合适的方法。当某些节点的核心交换机、汇聚层交换机没有足够的GE端口,不适合采用端口镜像进行流量采集时,或希望在出口采集网络流量,就可以采用分光器进行流量采集。分光器是一种无源光器件,通过在物理层上进行光复制来进行用户访问请求。
在本申请的一些可选的实施例中,目的地址可以为接收上述流量数据的特定计算机的IP地址,源地址为发送上述流量数据的地址。
具体地,上述第一阈值可以人为提前设定,第一阈值可以为发送至与目的地址对应的路由器的数据的流量阈值。
可选地,依据比较结果确定是否对来自所有源地址中目标源地址的流量进行限制可以通过以下方式进行实现:在所述流量值大于所述第一阈值时,确定对来自所述目标源地址的流量进行限制;在所述流量值小于所述第一阈值时,对来自所述目标源地址的流量进行以下至少之一处理:确定来自所述目标源地址中产生异常流量的源地址;丢弃所述异常流量和/或减小发往所述目的地址的流量的最大值;拒绝来自所有所述目标源地址的访问。
具体地,来自目标源地址的流量数据中包含有目标源地址信息,具体地,上述异常流量可以为大于预设阈值、小于上述第一阈值的流量,丢弃异常流量为丢弃异常流量的数据。在流量值大于第一阈值时,确定对来自目标源地址的流量进行限制可包括以下步骤:
按照预设规则从流量数据的所有源地址中确定目标源地址;
具体地,可首先确定流量数据的各个源地址的地址属性和来自流量数据的各个源地址的流量值,然后依据地址属性和来自流量数据的各个源地址的流量值中的至少之一确定目标源地址。
在本申请的一些可选的实施例中,上述地址属性可以为IP地址的属性,IP地址的属性包括:网段流量、非家庭出口、非个人用户出口、非运营商公共出口等:
在本申请的一些可选的实施例中,依据所述地址属性和来自所述流量数据的各个源地址的流量值中的至少之一确定所述目标源地址可以通过以下方式进行实现:
1)确定所述地址属性的类型;
在所述类型为指定类型,且来自所述流量数据的各个源地址中存在指定源地址的流量值大于第二阈值时,确定所述指定源地址为目标源地址。例如:当指定类型为非家庭出口时,若检测到指定源地址的地址属性为非家庭出口的属性,且来自该指定源地址的流量值大于第二阈值时,确定该指定源地址为目标源地址。
其中,确定地址属性的类型可以通过以下方式进行实现:依据所述地址属性确定所述各个源地址所对应的攻击源类型;将所述攻击源类型作为所述地址属性的类型。
2)丢弃目标源地址发往目的地址的流量。
可选地,丢弃所述目标源地址发往所述目的地址的流量可以包括以下步骤:确定所述目标源地址中的网段分布信息;丢弃来自所述网段分布信息所对应的服务提供商的流量。
在本申请的一些可选的实施例中,在确定对来自所述目标源地址的流量进行限制之后,还需要再次检测发往所述目的地址的流量数据的流量值,得到目标流量值;
在所述目标流量值大于第三阈值时,执行以下之一处理过程:
确定来自所述目标源地址中产生异常流量的源地址;丢弃所述异常流量和/或减小发往所述目的地址的流量的最大值;
拒绝来自所有所述目标源地址的访问。
其中,第三阈值小于第一阈值。
在本申请的一些可选的实施例中,基于所述流量信息确定发往目的地址的流量数据的流量值之前,还需执行以下步骤:
确定所述流量数据的摘要信息,其中,所述摘要信息包括IP五元组信息和流量信息;
基于所述摘要信息确定所述发往目的地址的流量数据的流量值。
具体地,IP五元组信息包括:源IP地址、源端口、目的IP地址、目的端口和传输层协议。
实施例6
本申请的实施例可以提供一种计算机终端,该计算机终端可以是计算机终端群中的任意一个计算机终端设备。可选地,在本实施例中,上述计算机终端也可以替换为移动终端等终端设备。
可选地,在本实施例中,上述计算机终端可以位于计算机网络的多个网络设备中的至少一个网络设备。
本实施例提供的计算机设备,包括:存储器、处理器以及存储在存储器上并可在处理器上运行的计算机程序,其中,处理器执行计算机程序时实现以下功能:获取来自服务提供商侧的流量信息;基于所述流量信息确定发往目的地址的流量数据的流量值,其中,该流量值用于指示来自所述流量数据的所有源地址的总流量大小;比较所述流量值和第一阈值的大小;依据比较结果确定是否对来自所述所有源地址中目标源地址的流量进行限制。
其中,存储器可用于存储软件程序以及模块,如本申请实施例中的流量控制方法和装置对应的程序指令/模块,处理器通过运行存储在存储器内的软件程序以及模块,从而执行各种功能应用以及数据处理,即实现上述的流量控制方法。存储器可包括高速随机存储器,还可以包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器可进一步包括相对于处理器远程设置的存储器,这些远程存储器可以通过网络连接至终端A。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
处理器可以通过传输装置调用存储器存储的信息及应用程序,以执行下述步骤:在所述流量值大于所述第一阈值时,确定对来自所述目标源地址的流量进行限制;在所述流量值小于所述第一阈值时,对来自所述目标源地址的流量进行以下至少之一处理:确定来自所述目标源地址中产生异常流量的源地址;丢弃所述异常流量和/或减小发往所述目的地址的流量的最大值;拒绝来自所有所述目标源地址的访问。
可选地,上述处理器还可以执行如下步骤的程序代码:按照预设规则从所述流量数据的所有源地址中确定目标源地址;丢弃所述目标源地址发往所述目的地址的流量。
可选地,上述处理器还可以执行如下步骤的程序代码:确定所述流量数据的各个源地址的地址属性和来自所述流量数据的各个源地址的流量值;依据所述地址属性和来自所述流量数据的各个源地址的流量值中的至少之一确定所述目标源地址。
可选地,上述处理器还可以执行如下步骤的程序代码:确定所述地址属性的类型;在所述类型为指定类型,且来自所述流量数据的各个源地址中存在指定源地址的流量值大于第一阈值时,确定所述指定源地址为目标源地址。
可选地,上述处理器还可以执行如下步骤的程序代码:依据所述地址属性确定所述各个源地址所对应的攻击源类型;将所述攻击源类型作为所述地址属性的类型。
可选地,上述处理器还可以执行如下步骤的程序代码:确定所述目标源地址中的网段分布信息;丢弃来自所述网段分布信息所对应的服务提供商的流量。
可选地,上述处理器还可以执行如下步骤的程序代码:在确定对来自所述目标源地址的流量进行限制之后,再次检测发往所述目的地址的流量数据的流量值,得到目标流量值;在所述目标流量值大于第三阈值时,执行以下之一处理过程:确定来自所述目标源地址中产生异常流量的源地址;丢弃所述异常流量和/或减小发往所述目的地址的流量的最大值;拒绝来自所有所述目标源地址的访问。
可选地,上述处理器还可以执行如下步骤的程序代码:基于所述流量信息确定发往目的地址的流量数据的流量值之前,确定所述流量数据的摘要信息,其中,所述摘要信息包括IP五元组信息和流量信息;基于所述摘要信息确定所述发往目的地址的流量数据的流量值。
在本申请实施例中,采用获取来自服务提供商侧的流量信息;基于所述流量信息确定发往目的地址的流量数据的流量值,其中,该流量值用于指示来自所述流量数据的所有源地址的总流量大小;比较所述流量值和第一阈值的大小;依据比较结果确定是否对来自所述所有源地址中目标源地址的流量进行限制的方式,通过对流量值的判断决定是否对源地址的流量进行限制,达到了限制目的地址接收流量异常的数据的目的,从而实现了在机房固有带宽不变的情况下,可以实现突破物理机房上线,提供超出机房能力的防护而不影响机房的安全运行的技术效果,进而解决了通过提高物理带宽的方式防御攻击者,容易由于物理带宽的限制,导致防御效果较差的技术问题。
本领域普通技术人员可以理解,图1所示的结构仅为示意,计算机终端也可以是智能手机(如Android手机、iOS手机等)、平板电脑、掌声电脑以及移动互联网设备(MobileInternet Devices,MID)、PAD等终端设备。图1其并不对上述电子装置的结构造成限定。例如,计算机终端10还可包括比图1中所示更多或者更少的组件(如网络接口、显示装置等),或者具有与图1所示不同的配置。
本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令终端设备相关的硬件来完成,该程序可以存储于一计算机可读存储介质中,存储介质可以包括:闪存盘、只读存储器(Read-Only Memory,ROM)、随机存取器(RandomAccess Memory,RAM)、磁盘或光盘等。
本申请的实施例还提供了一种存储介质。可选地,在本实施例中,上述存储介质可以用于保存上述实施例一所提供的流量控制方法所执行的程序代码。
可选地,在本实施例中,上述存储介质可以位于计算机网络中计算机终端群中的任意一个计算机终端中,或者位于移动终端群中的任意一个移动终端中。
可选地,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:获取来自服务提供商侧的流量信息;基于所述流量信息确定发往目的地址的流量数据的流量值,其中,该流量值用于指示来自所述流量数据的所有源地址的总流量大小;比较所述流量值和第一阈值的大小;依据比较结果确定是否对来自所述所有源地址中目标源地址的流量进行限制。
上述本申请实施例序号仅仅为了描述,不代表实施例的优劣。
在本申请的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的技术内容,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅是本申请的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本申请的保护范围。
Claims (14)
1.一种流量控制方法,其特征在于,包括:
获取来自服务提供商侧的流量信息;
基于所述流量信息确定发往目的地址的流量数据的流量值,其中,该流量值用于指示来自所述流量数据的所有源地址的总流量大小;
比较所述流量值和第一阈值的大小;
依据比较结果确定是否对来自所述所有源地址中目标源地址的流量进行限制。
2.根据权利要求1所述的方法,其特征在于,依据比较结果确定是否对来自所述所有源地址中目标源地址的流量进行限制,包括:
在所述流量值大于所述第一阈值时,确定对来自所述目标源地址的流量进行限制;
在所述流量值小于所述第一阈值时,对来自所述目标源地址的流量进行以下至少之一处理:
确定来自所述目标源地址中产生异常流量的源地址;丢弃所述异常流量和/或减小发往所述目的地址的流量的最大值;
拒绝来自所有所述目标源地址的访问。
3.根据权利要求2所述的方法,其特征在于,在所述流量值大于所述第一阈值时,确定对来自所述目标源地址的流量进行限制,包括:
按照预设规则从所述流量数据的所有源地址中确定目标源地址;
丢弃所述目标源地址发往所述目的地址的流量。
4.根据权利要求3所述的方法,其特征在于,按照预设规则从所述流量数据的所有源地址中确定目标源地址,包括:
确定所述流量数据的各个源地址的地址属性和来自所述流量数据的各个源地址的流量值;
依据所述地址属性和来自所述流量数据的各个源地址的流量值中的至少之一确定所述目标源地址。
5.根据权利要求4所述的方法,其特征在于,依据所述地址属性和来自所述流量数据的各个源地址的流量值中的至少之一确定所述目标源地址,包括:
确定所述地址属性的类型;
在所述类型为指定类型,且来自所述流量数据的各个源地址中存在指定源地址的流量值大于第二阈值时,确定所述指定源地址为目标源地址。
6.根据权利要求5所述的方法,其特征在于,确定所述地址属性的类型,包括:
依据所述地址属性确定所述各个源地址所对应的攻击源类型;将所述攻击源类型作为所述地址属性的类型。
7.根据权利要求3所述的方法,其特征在于,丢弃所述目标源地址发往所述目的地址的流量包括:
确定所述目标源地址中的网段分布信息;
丢弃来自所述网段分布信息所对应的服务提供商的流量。
8.根据权利要求2所述的方法,其特征在于,所述方法还包括:
在确定对来自所述目标源地址的流量进行限制之后,再次检测发往所述目的地址的流量数据的流量值,得到目标流量值;
在所述目标流量值大于第三阈值时,执行以下之一处理过程:
确定来自所述目标源地址中产生异常流量的源地址;丢弃所述异常流量和/或减小发往所述目的地址的流量的最大值;
拒绝来自所有所述目标源地址的访问。
9.根据权利要求1至8中任意一项所述的方法,其特征在于,基于所述流量信息确定发往目的地址的流量数据的流量值之前,所述方法还包括:
确定所述流量数据的摘要信息,其中,所述摘要信息包括IP五元组信息和流量信息;
基于所述摘要信息确定所述发往目的地址的流量数据的流量值。
10.一种流量控制方法,其特征在于,包括:
获取来自所有源地址的流量信息;
基于所述流量信息确定发往目的地址的流量数据的流量值,其中,该流量值用于指示来自所述流量数据的所有源地址的总流量大小;
在所述流量值大于第一阈值时,从所述流量数据的所有源地址中确定目标源地址,并丢弃所述目标源地址的流量。
11.一种流量控制装置,其特征在于,包括:
获取模块,用于获取来自服务提供商侧的流量信息;
第一确定模块,用于基于所述流量信息确定发往目的地址的流量数据的流量值,其中,该流量值用于指示来自所述流量数据的所有源地址的总流量大小;
比较模块,用于比较所述流量值和第一阈值的大小;
第二确定模块,用于依据比较结果确定是否对来自所述所有源地址中目标源地址的流量进行限制。
12.一种存储介质,其特征在于,所述存储介质包括存储的程序,其中,在所述程序运行时控制所述存储介质所在设备执行权利要求1至9中任意一项或者权利要求10所述的流量控制方法。
13.一种处理器,其特征在于,所述处理器用于运行程序,其中,所述程序运行时执行权利要求1至9中任意一项或者权利要求10所述的流量控制方法。
14.一种系统,其特征在于,包括:
处理器;以及
存储器,与所述处理器连接,用于为所述处理器提供处理以下处理步骤的指令:获取来自服务提供商侧的流量信息;
基于所述流量信息确定发往目的地址的流量数据的流量值,其中,该流量值用于指示来自所述流量数据的所有源地址的总流量大小;
比较所述流量值和第一阈值的大小;
依据比较结果确定是否对来自所述所有源地址中目标源地址的流量进行限制。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910370906.5A CN111901284B (zh) | 2019-05-06 | 2019-05-06 | 流量控制方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910370906.5A CN111901284B (zh) | 2019-05-06 | 2019-05-06 | 流量控制方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111901284A true CN111901284A (zh) | 2020-11-06 |
| CN111901284B CN111901284B (zh) | 2023-07-21 |
Family
ID=73169366
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910370906.5A Active CN111901284B (zh) | 2019-05-06 | 2019-05-06 | 流量控制方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111901284B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113596050A (zh) * | 2021-08-04 | 2021-11-02 | 四川英得赛克科技有限公司 | 异常流量的分离过滤方法、系统、存储介质及电子设备 |
| CN115225393A (zh) * | 2022-07-20 | 2022-10-21 | 北京天融信网络安全技术有限公司 | 一种源限速方法及装置、计算机程序产品、电子设备 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101741847A (zh) * | 2009-12-22 | 2010-06-16 | 北京锐安科技有限公司 | 一种ddos攻击检测方法 |
| CN106211119A (zh) * | 2016-06-30 | 2016-12-07 | 深圳优克云联科技有限公司 | 一种流量处理方法、装置及系统 |
| US20180083990A1 (en) * | 2015-04-20 | 2018-03-22 | John Richard Abe | Network Security Device and Application |
| CN107864110A (zh) * | 2016-09-22 | 2018-03-30 | 中国电信股份有限公司 | 僵尸网络主控端检测方法和装置 |
| CN108063764A (zh) * | 2017-12-13 | 2018-05-22 | 北京搜狐新媒体信息技术有限公司 | 一种网络流量处理方法和装置 |
| CN108322417A (zh) * | 2017-01-16 | 2018-07-24 | 阿里巴巴集团控股有限公司 | 网络攻击的处理方法、装置和系统及安全设备 |
| US10237157B1 (en) * | 2015-06-10 | 2019-03-19 | Amazon Technologies, Inc. | Managing host failures in a traffic forwarding system |
-
2019
- 2019-05-06 CN CN201910370906.5A patent/CN111901284B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101741847A (zh) * | 2009-12-22 | 2010-06-16 | 北京锐安科技有限公司 | 一种ddos攻击检测方法 |
| US20180083990A1 (en) * | 2015-04-20 | 2018-03-22 | John Richard Abe | Network Security Device and Application |
| US10237157B1 (en) * | 2015-06-10 | 2019-03-19 | Amazon Technologies, Inc. | Managing host failures in a traffic forwarding system |
| CN106211119A (zh) * | 2016-06-30 | 2016-12-07 | 深圳优克云联科技有限公司 | 一种流量处理方法、装置及系统 |
| CN107864110A (zh) * | 2016-09-22 | 2018-03-30 | 中国电信股份有限公司 | 僵尸网络主控端检测方法和装置 |
| CN108322417A (zh) * | 2017-01-16 | 2018-07-24 | 阿里巴巴集团控股有限公司 | 网络攻击的处理方法、装置和系统及安全设备 |
| CN108063764A (zh) * | 2017-12-13 | 2018-05-22 | 北京搜狐新媒体信息技术有限公司 | 一种网络流量处理方法和装置 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113596050A (zh) * | 2021-08-04 | 2021-11-02 | 四川英得赛克科技有限公司 | 异常流量的分离过滤方法、系统、存储介质及电子设备 |
| CN115225393A (zh) * | 2022-07-20 | 2022-10-21 | 北京天融信网络安全技术有限公司 | 一种源限速方法及装置、计算机程序产品、电子设备 |
| CN115225393B (zh) * | 2022-07-20 | 2023-09-26 | 北京天融信网络安全技术有限公司 | 一种源限速方法及装置、电子设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111901284B (zh) | 2023-07-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9240976B1 (en) | Systems and methods for providing network security monitoring | |
| US20180109953A1 (en) | Method, Apparatus, and System for Preventing Diameter Signaling Attack in Wireless Network | |
| EP2939454B1 (en) | System and method for correlating network information with subscriber information in a mobile network environment | |
| US9628441B2 (en) | Attack defense method and device | |
| US10033751B2 (en) | Dynamic traffic steering system and method in a network | |
| CN108322417B (zh) | 网络攻击的处理方法、装置和系统及安全设备 | |
| Izhikevich et al. | {LZR}: Identifying unexpected internet services | |
| US20140325648A1 (en) | Attack Defense Method and Device | |
| CN109450841B (zh) | 一种基于云+端设备按需联动模式的抗大规模DDoS攻击的防御方法 | |
| CN110391988B (zh) | 网络流量控制方法、系统及安全防护装置 | |
| US20190215308A1 (en) | Selectively securing a premises network | |
| CN111371740B (zh) | 一种报文流量监控方法、系统及电子设备 | |
| Fan et al. | A novel SDN based stealthy TCP connection handover mechanism for hybrid honeypot systems | |
| CN107800668B (zh) | 一种分布式拒绝服务攻击防御方法、装置及系统 | |
| WO2017051069A1 (en) | Method and system of identifying an access request of an application on a mobile device in a telecommunication network | |
| US9641485B1 (en) | System and method for out-of-band network firewall | |
| WO2018172819A1 (en) | Method and system for updating a whitelist at a network node | |
| CN108270600A (zh) | 一种对恶意攻击流量的处理方法及相关服务器 | |
| WO2014062629A1 (en) | System and method for correlating security events with subscriber information in a mobile network environment | |
| CN111901284B (zh) | 流量控制方法及系统 | |
| US7917627B1 (en) | System and method for providing security in a network environment | |
| CN109246160B (zh) | 访问互联网应用的方法、装置、系统及设备 | |
| CN101141396B (zh) | 报文处理方法和网络设备 | |
| CN110166518B (zh) | 会话信息的传输方法、装置、存储介质及电子装置 | |
| CN109347792B (zh) | 一种基于云+端设备持续联动模式的抗大规模DDoS攻击防御系统及防御方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |