WO2016177156A1

WO2016177156A1 - 流量的处理方法、装置及系统

Info

Publication number: WO2016177156A1
Application number: PCT/CN2016/076903
Authority: WO
Inventors: 杨斌; 刘志军; 王国俊; 贺镇海; 陈宁
Original assignee: 中兴通讯股份有限公司
Priority date: 2015-07-16
Filing date: 2016-03-21
Publication date: 2016-11-10
Also published as: CN106713216B; CN106713216A

Abstract

本发明提供了一种流量的处理方法、装置及系统，其中该方法包括：流量监控管理平台向设置在业务主机上的流量监控客户端发送配置信息，其中，配置信息中携带有在预定时间内指示流量状态的告警阈值；流量监控管理平台接收流量监控客户端上报的告警信息和业务主机当前的请求链接数，其中，告警信息用于指示在预定时间内流量监控客户端监控到业务主机的流量阈值超过告警阈值；流量监控管理平台依据请求链接数和告警信息触发执行对业务主机的流量防护策略。通过本发明，解决了相关技术中系统设备受到异常流量攻击时，采用流量清洗设备进行处理的问题，达到了节约成本的效果。

Description

流量的处理方法、装置及系统

技术领域

本发明涉及通信领域，具体而言，涉及一种流量的处理方法、装置及系统。

背景技术

目前，针对互联网业务的异常攻击层出不穷。而互联网业务的网站作为一个开放性的公众服务网络，一般都是基于分布式或者集群式在公网部署，面临着众多的安全威胁。异常流量作为一种重要的威胁严重影响着互联网业务的安全平稳运营，其中，主要是针对分布式拒绝服务(Distributed Denial of Service，简称为DDoS)攻击。攻击流量大量挤占通信网络资源，极易造成网络不稳定和链路堵塞；同时商业利益的驱使，使得针对特定商业目标的异常流量攻击有愈演愈烈之势，对网络安全构成了严峻的挑战。有效遏制异常流量，缓解网络运营压力，成为运营商以及互联网业务提供商面对的一项十分紧迫的任务。

DDOS的异常流量的攻击主要是指黑客利用能够被控制的互联网上大量的僵尸主机，对目标系统发起海量的攻击。目前主要的几种攻击手段是传输控制协议(Transmission Control Protocol简称为TCP)洪水攻击、SYN(synchronous)半连接攻击、域名系统(Domain Name System简称为DNS)放大攻击以及超文本传输协议(HyperText Transfer Protocol，简称为HTTP)洪水攻击。

在现有的针对DDOS攻击的防护技术中，如果在DDOS攻击已经发生的情况下，任何防护技术都只能通过缓解技术来减少攻击对自身业务和服务的影响，在一定程度上保障业务的正常运行，但是都无法完全避免DDOS攻击对系统的影响。例如，部署了DDOS防护的业务服务系统，如果检测到自身被DDOS攻击了，可以引发路由策略，把请求流量引向专业的流量清洗设备，通过流量清洗设备的统计与分析，完成对特定请求流量的过滤与清洗，等攻击结束了，再停止路由策略，让访问请求正常返回业务系统。但是如果攻击请求是来自分布式的攻击，系统就无法完全避免这种访问请求对系统业务的影响，情况严重时甚至造成网络拥塞，除非系统把所有的访问请求都旁路到流量清洗设备。但是流量清洗设备通常都是专业设备，而且价格比较高，且对于超大型的互联网应用(如视频业务、互联网加速业务)，还需要考虑分布式流量清洗系统，在系统受到攻击的时候，需要把用户的请求消息旁路到流量清洗设备，从而会对用户正常的访问请求造成影响。部署这样一套系统不但造价高，而且会造成系统整体性能的下降，影响用户的体验。

针对相关技术中系统设备受到异常流量攻击时，采用流量清洗设备进行处理的问题，目前尚未有有效的解决方案。

发明内容

本发明实施例提供了一种流量的处理方法、装置及系统，以至少解决相相关技术中系统设备受到异常流量攻击时，采用流量清洗设备进行处理的问题。

根据本发明实施例的一个方面，提供了一种流量的处理方法，包括：流量监控管理平台向设置在业务主机上的流量监控客户端发送配置信息，其中，所述配置信息中携带有在预定时间内指示流量状态的告警阈值；所述流量监控管理平台接收所述流量监控客户端上报的告警信息和所述业务主机当前的请求链接数，其中，所述告警信息用于指示在所述预定时间内所述流量监控客户端监控到所述业务主机的流量阈值超过所述告警阈值；所述流量监控管理平台依据所述请求链接数和所述告警信息触发执行对所述业务主机的流量防护策略。

可选地，所述告警阈值包括：正常运营告警阈值、异常告警阈值。

可选地，在所述流量阈值超过所述正常运营告警阈值时，所述流量监控管理平台依据所述请求链接数和所述告警信息触发执行对所述业务主机的流量防护策略包括：所述流量监控管理平台执行对所述请求链接数进行分析与监控操作；所述流量监控管理平台发送携带有分析与监控结果的告警短信到所述业务主机的管理员。

可选地，在所述流量阈值超过所述异常告警阈值时，所述流量监控管理平台依据所述请求链接数和所述告警信息触发执行对所述业务主机的流量防护策略包括：所述流量监控管理平台获取除所述业务主机之外的所述流量监控管理平台下的其他业务主机的请求链接数；所述流量监控管理平台判断所述业务主机的请求链接数是否超过其他业务主机的不均衡告警阈值比例；在判断结果为是时，所述流量监控管理平台向所述业务主机的管理员发送告警短信以及向所述流量监控客户端发送第一指令，其中，所述第一指令用于触发所述流量监控客户端执行启动软件防火墙、关闭服务和端口的操作。

可选地，所述方法还包括：在判断结果为否时，所述流量监控管理平台继续获取所述流量监控客户端的请求链接；所述流量监控管理平台根据预设设定的筛选算法对继续获取的请求链接的地址进行统计筛选出危险地址信息；在所述流量监控管理平台判定所述危险地址信息与本地黑名单中存储的地址信息匹配，或所述继续获取的请求链接超出单链接请求阈值时，所述流量监控管理平台向所述业务主机的管理员发送告警短信，并向所述流量监控客户端发送第二指令，其中，所述第二指令用于指示触发所述流量监控客户端启动软件防火墙。

根据本发明实施例的另一个方面，提供了一种流量的处理方法，包括：设置在业务主机上的流量监控客户端接收流量监控管理平台发送的配置信息，其中，所述配置信息中携带有在预定时间内指示流量状态的告警阈值；所述流量监控客户端将所述预定时间内所述业务主机的流量阈值与所述告警阈值进行比较；所述流量监控客户端向所述管理平台上报告警信息和所述业务主机当前的请求链接数，其中，所述告警信息用于指示在所述预定时间内所述流量监控客户端监控到所述业务主机的流量阈值超过所述告警阈值；所述流量监控客户端接收所述流量监控管理平台依据所述请求链接数和所述告警信息执行的对所述业务主机的流量防护策略。

可选地，在所述流量阈值超过所述异常告警阈值时，所述流量监控客户端接收所述流量监控管理平台依据所述请求链接数和所述告警信息执行对所述业务主机的流量防护策略包括：在所述流量监控管理平台确定所述业务主机的请求链接数超过其他业务主机的不均衡告警阈值比例时，所述流量监控客户端接收所述流量监控管理平台发送的第一指令，其中，所述第一指令用于触发所述流量监控客户端执行启动软件防火墙、关闭服务和端口的操作。

可选地，在所述流量阈值超过所述异常告警阈值时，所述流量监控客户端接收所述流量监控管理平台依据所述请求链接数和所述告警信息执行对所述业务主机的流量防护策略包括：在所述流量监控管理平台确定所述业务主机的请求链接数未超过其他业务主机的不均衡告警阈值比例时，所述流量监控客户端接收所述流量监控管理平台发送的第二指令，其中，所述第二指令用于指示触发所述流量监控客户端启动软件防火墙。

根据本发明实施例的再一个方面，提供了一种流量的处理装置，应用于流量监控管理平台侧，包括：发送模块，设置为向设置在业务主机上的流量监控客户端发送配置信息，其中，所述配置信息中携带有在预定时间内指示流量状态的告警阈值；第一接收模块，设置为接收所述流量监控客户端上报的告警信息和所述业务主机当前的请求链接数，其中，所述告警信息用于指示在所述预定时间内所述流量监控客户端监控到所述业务主机的流量阈值超过所述告警阈值；执行模块，设置为依据所述请求链接数和所述告警信息触发执行对所述业务主机的流量防护策略。

可选地，在所述流量阈值超过所述正常运营告警阈值时，所述执行模块包括：执行单元，设置为执行对所述请求链接数进行分析与监控操作；发送单元，设置为发送携带有分析与监控结果的告警短信到所述业务主机的管理员。

可选地，在所述流量阈值超过所述异常告警阈值时，所述执行模块包括：第一获取单元，设置为获取除所述业务主机之外的所述流量监控管理平台下的其他业务主机的请求链接数；判断单元，设置为判断所述业务主机的请求链接数是否超过其他业务主机的不均衡告警阈值比例；第一发送单元，设置为在判断结果为是时，向所述业务主机的管理员发送告警短信以及向所述流量监控客户端发送第一指令，其中，所述第一指令用于触发所述流量监控客户端执行启动软件防火墙、关闭服务和端口的操作。

可选地，所述执行模块还包括：第二获取单元，设置为在判断结果为否时，继续获取所述流量监控客户端的请求链接；筛选单元，设置为根据预设设定的筛选算法对继续获取的请求链接的地址进行统计筛选出危险地址信息；第二发送单元，设置为在所述流量监控管理平台判定所述危险地址信息与本地黑名单中存储的地址信息匹配，或所述继续获取的请求链接超出单链接请求阈值时，向所述业务主机的管理员发送告警短信，并向所述流量监控客户端发送第二指令，其中，所述第二指令用于指示触发所述流量监控客户端启动软件防火墙。

根据本发明实施例的再一个方面，提供了一种流量的处理装置，应用于设置在业务主机上的流量监控客户端侧，包括：第二接收模块，设置为接收流量监控管理平台发送的配置信息，其中，所述配置信息中携带有在预定时间内指示流量状态的告警阈值，所述告警阈值包括：正常运营告警阈值、异常告警阈值；比较模块，设置为将所述预定时间内所述业务主机的流量阈值与所述告警阈值进行比较；上报模块，设置为在所述流量阈值超过所述告警阈值时，向所述管理平台上报告警信息和所述业务主机当前的请求链接数，其中，所述告警信息用于指示在所述预定时间内所述流量监控客户端监控到所述业务主机的流量阈值超过所述告警阈值；第三接收模块，设置为接收所述流量监控管理平台依据所述请求链接数和所述告警信息执行的对所述业务主机的流量防护策略。

可选地，在所述流量阈值超过所述异常告警阈值时，所述第三接收模块，还设置为在所述流量监控管理平台确定所述业务主机的请求链接数超过其他业务主机的不均衡告警阈值比例时，接收所述流量监控管理平台发送的第一指令，其中，所述第一指令用于触发所述流量监控客户端执行启动软件防火墙、关闭服务和端口的操作。

可选地，在所述流量阈值超过所述异常告警阈值时，所述第三接收模块，还设置为在所述流量监控管理平台确定所述业务主机的请求链接数未超过其他业务主机的不均衡告警阈值比例时，接收所述流量监控管理平台发送的第二指令，其中，所述第二指令用于指示触发所述流量监控客户端启动软件防火墙。

根据本发明实施例的又一个方面，提供了一种流量的处理系统，所述系统包括流量监控管理平台和设置在业务主机上的流量监控客户端；其中，所述流量监控管理平台包括上述应用于流量监控管理平台侧的流量的处理装置，所述流量监控客户端包括应用于设置在业务主机上的流量监控客户端侧的流量的处理装置。

在本发明实施例中，还提供了一种计算机存储介质，该计算机存储介质可以存储有执行指令，该执行指令用于执行上述实施例中的流量的处理方法。

在本发明实施例中，采用流量监控管理平台向设置在业务主机上的流量监控客户端发送配置信息，而该配置信息中携带有在预定时间内指示流量状态的告警阈值，在流量监控客户端接收到该告警阈值后，该流量监控管理平台接收用于指示在预定时间内流量监控客户端监控到业务主机的流量阈值超过告警阈值的告警信息以及流量监控客户端上报的请求链接数，流量监控管理平台根据该告警信息和请求链接数行对业务主机的流量防护策略，可见在发明中流量监控管理平台在监控到当前流量异常时，执行对业务主机的流量防护策略，对用户请求消息的无影响，解决了相关技术中系统设备受到异常流量攻击时，采用流量清洗设备进行处理的问题，而该流量清洗设备都是造价比较高，系统整体成本也很大，而采用本发明的方案能达到节约成本的效果。

附图说明

此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：

图1是根据本发明实施例的流量的处理方法流程图一；

图2是根据本发明实施例的流量的处理方法流程图二；

图3是根据本发明实施例的流量的处理装置结构框图一；

图4是根据本发明实施例的流量的处理装置结构框图二；

图5是根据本发明实施例的流量的处理系统的结构框图；

图6是根据本发明可选实施例的针对异常流量的监控与缓解的系统的结构框图；

图7是根据本发明可选实施例的系统下发配置参数及系统与终端的心跳保活流程图；

图8是根据本发明可选实施例的当流量监控客户端监控到当前设备的流量超过流量监控管理平台下发的正常运营告警阀值之后的处理流程图；

图9是根据本发明可选实施例的请求流量超过异常告警流量单台设备的访问流量没超过负载均衡阀值启动屏蔽策略流程图；

图10是根据本发明可选实施例的请求流量超过异常告警流量单台设备的访问流量没超过负载均衡阀值启动屏蔽策略流程图。

具体实施方式

下文中将参考附图并结合实施例来详细说明本发明。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。

需要说明的是，本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。

在本实施例中提供了一种流量的处理方法，图1是根据本发明实施例的流量的处理方法流程图一，如图1所示，该流程包括如下步骤：

步骤S102，流量监控管理平台向设置在业务主机上的流量监控客户端发送配置信息，其中，配置信息中携带有在预定时间内指示流量状态的告警阈值；

步骤S104，流量监控管理平台接收流量监控客户端上报的告警信息和业务主机当前的请求链接数，其中，告警信息用于指示在预定时间内流量监控客户端监控到业务主机的流量阈值超过告警阈值；

步骤S106，流量监控管理平台依据请求链接数和告警信息触发执行对业务主机的流量防护策略。

通过上述步骤S102至步骤S106，采用流量监控管理平台向设置在业务主机上的流量监控客户端发送配置信息，而该配置信息中携带有在预定时间内指示流量状态的告警阈值，在流量监控客户端接收到该告警阈值后，该流量监控管理平台接收用于指示在预定时间内流量监控客户端监控到业务主机的流量阈值超过告警阈值的告警信息以及流量监控客户端上报的请求链接数，流量监控管理平台根据该告警信息和请求链接数行对业务主机的流量防护策略，可见在本实施例中流量监控管理平台在监控到当前流量异常时，执行对业务主机的流量防护策略，对用户请求消息的无影响，解决了相关技术中系统设备受到异常流量攻击时，需要采用流量清洗设备进行处理的问题，而该流量清洗设备都是造价比较高，系统整体成本也很大，而采用本实施例的方案能够达到节约成本的效果。

对于本实施例中涉及到的告警阈值可以是：正常运营告警阈值、异常告警阈值。下面将结合该告警阈值的不同进行相应的描述；在流量阈值超过正常运营告警阈值，且没有超过异常告警阈值时，也就是说正常运营告警阈值小于异常告警阈值，本实施例步骤106中涉及到的流量监控管理平台依据请求链接数和告警信息触发执行对业务主机的流量防护策略的方式，可以通过如下方式来实现：

步骤S11，流量监控管理平台执行对请求链接数进行分析与监控操作；

步骤S12，流量监控管理平台发送携带有分析与监控结果的告警短信到业务主机的管理员。

通过该步骤S11和步骤S12可知，在在流量阈值超过正常运营告警阈值且没有超过异常告警阈值时，流量监控管理平台执行对请求链接数进行分析与监控操作，并以告警短信的形式向业务主机的管理员通知当前业务主机的流量的状态。

而在流量阈值超过异常告警阈值时，本实施例步骤S106中涉及到的流量监控管理平台依据请求链接数和告警信息触发执行对业务主机的流量防护策略的方式，可以通过如下方式来实现：

步骤S21：流量监控管理平台获取除业务主机之外的流量监控管理平台下的其他业务主机的请求链接数；

步骤S22：流量监控管理平台判断业务主机的请求链接数是否超过其他业务主机的不均衡告警阈值比例；

步骤S23：在判断结果为是时，流量监控管理平台向业务主机的管理员发送告警短信以及向流量监控客户端发送第一指令，其中，第一指令用于触发流量监控客户端执行启动软件防火墙、关闭服务和端口的操作。

步骤S24：在判断结果为否时，流量监控管理平台继续获取流量监控客户端的请求链接；

步骤S25：流量监控管理平台根据预设设定的筛选算法对继续获取的请求链接的地址进行统计筛选出危险地址信息；

步骤S26：在流量监控管理平台判定危险地址信息与本地黑名单中存储的地址信息匹配，或继续获取的请求链接超出单链接请求阈值时，流量监控管理平台向业务主机的管理员发送告警短信，并向流量监控客户端发送第二指令，其中，第二指令用于指示触发流量监控客户端启动软件防火墙。

对于上述步骤S21至步骤S26可知，在当前业务主机的流量超过了异常告警阈值时，分两种场景执行相应的流量防护策略，在业务主机的请求链接数超过其他业务主机的不均衡告警阈值比例时，说明此时业务主机收到了严重的异常流量攻击，因此该流量监控管理平台向流量监控客户端发送停止服务指令，也就是关闭一切对外服务端口，并启动软件防火墙屏蔽访问请求；而在业务主机的请求链接数未超过其他业务主机的不均衡告警阈值比例时，说明此时业务主机还可以通过自身的防御策略来阻止异常流量的攻击，因此该流量监控管理平台向业务主机下发启用软件防火墙的指令，来增加ACL访问控制策略。

需要说明的是，正常情况下，业务主机承受的访问请求是通过负载均衡设备(硬件F5或者是业务管理平台动态负载均衡)下发给每台业务设备的，不管采用什么方式，其目的是为了确保每台业务主机上的负载是均衡的。如果某一台业务主机的访问流量远远超过其他业务主机，这个就需要考虑这台设备是否被攻击了，因为正常情况下各业务主机的访问流量都是均衡的。不均衡告警阈值就是当前业务主机流量与其他业务主机流量总量的比值。举例来说，目前有10台主机，目前总体访问流量为100线，那平均到每台设备上的访问流量应该在10线上下，每台设备的不均衡告警阀值都在10％左右，如果某台业务主机流量异常增加到200线，那这台业务主机的不均衡告警阀值就是200/100*100％＝200％。

图2是根据本发明实施例的流量的处理方法流程图二，如图2所示，该流程包括如下步骤：

步骤S202，设置在业务主机上的流量监控客户端接收流量监控管理平台发送的配置信息，其中，配置信息中携带有在预定时间内指示流量状态的告警阈值；

步骤S204，流量监控客户端将预定时间内业务主机的流量阈值与告警阈值进行比较；

步骤S206，流量监控客户端向管理平台上报告警信息和业务主机当前的请求链接数，其中，告警信息用于指示在预定时间内流量监控客户端监控到业务主机的流量阈值超过告警阈值。

步骤S208，流量监控客户端接收流量监控管理平台依据请求链接数和告警信息执行的对业务主机的流量防护策略。

在本实施例的上述步骤S202至步骤S208中，设置在业务主机上的流量监控客户端将监控到业务主机预定时间内的流量阈值与流量监控管理平台发送的配置信息中携带的告警阈值进行比较，在流量阈值超过告警阈值时，流量监控客户端向管理平台上报告警信息和业务主机当前的请求链接数，进而流量监控客户端接收流量监控管理平台依据请求链接数和告警信息执行的对业务主机的流量防护策略，以减少异常流量对业务主机的攻击。

对于本实施例中涉及到的告警阈值可以是：正常运营告警阈值、异常告警阈值。

而在流量阈值超过异常告警阈值时，本实施例步骤S208中的流量监控客户端接收流量监控管理平台依据请求链接数和告警信息执行对业务主机的流量防护策略的方式可以通过如下方式来实现：在流量监控管理平台确定业务主机的请求链接数超过其他业务主机的不均衡告警阈值比例时，流量监控客户端接收流量监控管理平台发送的第一指令，其中，第一指令用于触发流量监控客户端执行启动软件防火墙、关闭服务和端口的操作。

而在流量阈值超过异常告警阈值时，本实施例中步骤S208的流量监控客户端接收流量监控管理平台依据请求链接数和告警信息执行对业务主机的流量防护策略的方式可以通过如下方式来实现：在流量监控管理平台确定业务主机的请求链接数未超过其他业务主机的不均衡告警阈值比例时，流量监控客户端接收流量监控管理平台发送的第二指令，其中，第二指令用于指示触发流量监控客户端启动软件防火墙。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中，包括若干指令用以使得一台终端设备(可以是手机，计算机，服务器，或者网络设备等)执行本发明各个实施例所述的方法。

在本实施例中还提供了一种流量的处理装置，该装置用于实现上述实施例及优选实施方式，已经进行过说明的不再赘述。如以下所使用的，术语“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现，但是硬件，或者软件和硬件的组合的实现也是可能并被构想的。

图3是根据本发明实施例的流量的处理装置结构框图一，该装置应用于流量监控管理平台侧，如图3所示，该装置包括：发送模块32，设置为向设置在业务主机上的流量监控客户端发送配置信息，其中，配置信息中携带有在预定时间内指示流量状态的告警阈值；第一接收模块34，与发送模块32耦合连接，设置为接收流量监控客户端上报的告警信息和业务主机当前的请求链接数，其中，告警信息用于指示在预定时间内流量监控客户端监控到业务主机的流量阈值超过告警阈值；执行模块36，与第一接收模块34耦合连接，设置为依据请求链接数和告警信息触发执行对业务主机的流量防护策略。

可选地，在流量阈值超过正常运营告警阈值时，该执行模块36包括：执行单元，设置为执行对请求链接数进行分析与监控操作；发送单元，与执行单元耦合连接，设置为发送携带有分析与监控结果的告警短信到业务主机的管理员。

可选地，在流量阈值超过异常告警阈值时，该执行模块36包括：第一获取单元，设置为获取除业务主机之外的流量监控管理平台下的其他业务主机的请求链接数；判断单元，与第一获取单元耦合连接，设置为判断业务主机的请求链接数是否超过其他业务主机的不均衡告警阈值比例；第一发送单元，与判断单元耦合连接，设置为在判断结果为是时，向业务主机的管理员发送告警短信以及向流量监控客户端发送第一指令，其中，第一指令用于触发流量监控客户端执行启动软件防火墙、关闭服务和端口的操作。

第二获取单元，与判断单元耦合连接，设置为在判断结果为否时，继续获取流量监控客户端的请求链接；筛选单元，设置为根据预设设定的筛选算法对继续获取的请求链接的地址进行统计筛选出危险地址信息；第二发送单元，与第二获取单元耦合连接，设置为在流量监控管理平台判定危险地址信息与本地黑名单中存储的地址信息匹配，或继续获取的请求链接超出单链接请求阈值时，向业务主机的管理员发送告警短信，并向流量监控客户端发送第二指令，其中，第二指令用于指示触发流量监控客户端启动软件防火墙。

图4是根据本发明实施例的流量的处理装置结构框图二，该装置应用于设置在业务主机上的流量监控客户端侧，如图4所示，该装置包括：第二接收模块42，设置为接收流量监控管理平台发送的配置信息，其中，配置信息中携带有在预定时间内指示流量状态的告警阈值，比较模块44，与第二接收模块42耦合连接，设置为将预定时间内业务主机的流量阈值与告警阈值进行比较；上报模块46，与比较模块44耦合连接，设置为在流量阈值超过告警阈值时，向管理平台上报告警信息和业务主机当前的请求链接数，其中，告警信息用于指示在预定时间内流量监控客户端监控到业务主机的流量阈值超过告警阈值；第三接收模块48，与上报模块46耦合连接，设置为接收流量监控管理平台依据请求链接数和告警信息执行的对业务主机的流量防护策略。

可选地，告警阈值包括：正常运营告警阈值、异常告警阈值。

可选地，在流量阈值超过异常告警阈值时，第三接收模块，还设置为在流量监控管理平台确定业务主机的请求链接数超过其他业务主机的不均衡告警阈值比例时，接收流量监控管理平台发送的第一指令，其中，第一指令用于触发流量监控客户端执行启动软件防火墙、关闭服务和端口的操作。

可选地，在流量阈值超过异常告警阈值时，第三接收模块，还设置为在流量监控管理平台确定业务主机的请求链接数未超过其他业务主机的不均衡告警阈值比例时，接收流量监控管理平台发送的第二指令，其中，第二指令用于指示触发流量监控客户端启动软件防火墙。

图5是根据本发明实施例的流量的处理系统的结构框图，如图5所示，该系统包括上述实施例中涉及到的流量监控管理平台和以及设置在业务主机上的流量监控客户端。

下面结合本发明实施例的可选实施例对本发明进行举例说明；

本可选实施例提供了一种针对异常流量的监控与缓解的系统，图6是根据本发明可选实施例的针对异常流量的监控与缓解的系统的结构框图，如图6所示，该系统至少包括流量监控业务管理平台、流量监控客户端以及消息接口模块，其中：

流量监控业务管理平台，主要用于定义一定时间段内的流量监控正常运营告警阀值、异常告警阀值以及不均衡告警阀值比例，并通过消息接口模块把正常运营流量告警阀值、异常流量告警阀值及告警间隔时段下发给流量客户端。定期对流量监控客户端进行存活监测，以及定期收集、处理业务主机上部署的流量监控客户端上报的当前的链接汇总情况，并接收流量监控客户端上报的告警信息，包括但不限于请求的源地址、目的地址、源端口、目的端口以及协议类型，以确定当前流量的基本情况，并且及时对这些信息进行统计、分析，根据一定的算法，与系统保留的历史记录及黑名单进行比对，以确认是否通知流量监控客户端启用软件防火墙(IPTable)以及设置防火墙防护策略。

流量监控客户端，是指安装在分布式系统的业务主机上，用于监控、获取向本机请求的流量信息，记录向本机请求的源地址、目的地址、源端口、目的端口以及协议类型，并通过消息接口模块上报给流量监控业务管理平台，并且更新流量监控业务管理平台下发的告警阀值及告警间隔时段。流量监控客户端定期向流量监控管理平台上报当前流量情况汇总信息，当根据流量监控管理平台下发的一段时间段内的请求流量超过正常运营告警阀值时，流量监控客户端向流量监控业务管理平台上报告警信息以及请求链接情况；当请求流量超过异常流量告警阀值时，流量监控客户端向流量监控业务管理平台上报异常告警及当前请求的链接，并且等待流量监控业务管理平台的防控指令，并执行管理平台下发的防火墙策略指令。

消息接口模块，包括流量监控业务管理平台向流量监控客户端的参数、防火墙控制指令下发接口以及流量监控客户端向流量监控业务管理平台的访问链接信息上报两个接口。

结合本实施例中该系统的模块，对本可选实施例中针对异常流量的监控与缓解的方法进行相应的描述，该方法的步骤包括：

步骤S302：系统管理员在流量监控业务管理平台上维护正常运营告警阀值以及异常流量告警阀值，下发给流量监控客户端并不定期更新，并且启动对流量监控客户端的存活监控，流量监控客户端接受并保存流量监控管理平台下发的正常运营告警阀值以及异常流量告警阀值，并根据流量监控管理平台的请求上报当前客户端存活状态；

步骤S304：流量监控客户端监控当前请求的访问流量情况，定期向管理平台上报流量汇总统计信息。当发现当前请求流量在一定时间段内超过流量监控业务管理平台定义的正常运营告警阀值，立即启动向流量监控业务管理平台上报告警信息并且上报当前请求链接情况，流量监控管理平台接受到流量监控客户端上报的告警信息之后，启动对这台设备请求链接的分析与监控，并且向设备管理员发送告警短信；

步骤S306：流量监控客户端继续监控当前请求的访问流量情况，当发现当前请求流量在一定时间段内超过流量监控管理平台下发的异常流量告警阀值时，立即启动向流量监控业务管理平台上报异常告警信息及当前请求链接情况，流量监控管理平台接收到流量监控客户端上报的告警信息之后，首先启动负载均衡情况分析，分析其他设备的请求情况，当发现当前设备的请求链接数超过与其他设备的不均衡告警阀值比例，立即向这台设备下发停止服务指令，关闭一切对外服务端口，启动软件防火墙屏蔽访问请求，并且向设备管理员发送服务异常告警短信。流量监控客户端接收到防控指令之后立即启动关闭服务、端口操作，并且启动软件防火墙(IP Table)屏蔽外界访问。

步骤S308：如当前设备的请求链接数没有超过与其他设备的不均衡告警阀值，流量监控管理平台随即启动对异常流量的分析与统计，获取异常流量访问告警之后的请求链接信息，分析请求链接的源地址以及目的端口，根据系统预先定义的筛选算法对源地址以及目的端口进行统计，并且根据系统定义的黑名单与访问源地址进行匹配，如果发现源地址在黑名单内，或者源地址的访问请求超过系统定义的单链接请求阀值，立即向这台设备下发启用软件防火墙指令，增加ACL访问控制策略，屏蔽该源地址的一切访问请求；流量监控客户端接收到该指令之后，立即启动软件防火墙(IP Table)并且屏蔽该链接的一切访问，以缓解因异常攻击对系统造成的影响，并继续监控系统的请求链接直至系统访问流量恢复正常。

对于上述步骤S302可以通过如下方式来实现

步骤S31：系统管理员在系统上维护基础信息，包括正常运营告警阀值以及异常流量告警阀值以及每种告警阀值的间隔时段，定义不均衡告警阀值比例；

步骤S32：流量监控管理平台向流量监控客户端发送心跳消息进行存活监控，流量监控客户端根据平台请求定期上报当前状态；

步骤S33：流量监控管理平台如果发现流量监控客户端心跳异常，立即向设备管理员发送告警短信提醒。

对于上述步骤S304可以通过如下方式来实现：

步骤S41：流量监控客户端监控当前请求流量，定期向流量监控管理平台上报当前流量情况汇总信息(不含请求详细信息)；

步骤S42：当流量监控客户端发现当前请求流量在一定时间段内超过流量监控业务管理平台定义的正常运营告警阀值，立即启动向流量监控业务管理平台上报告警信息并且上报当前请求链接情况，包括请求的源地址、目的地址、源端口、目的端口以及协议类型；

步骤S43：流量监控管理平台接受到流量监控客户端上报的告警信息之后，启动对这向设备管理员发送告警短信；

对于上述步骤S306可以通过如下方式来实现：

步骤S51：流量监控客户端监控当前请求的访问流量情况，当发现当前请求流量在一定时间段内超过流量监控管理平台下发的异常流量告警阀值时，立即启动向流量监控业务管理平台上报异常告警信息及当前请求链接情况，包括当前访问链接的源地址、目的地址、端口访问类型等信息；

步骤S52：流量监控管理平台接收到流量监控客户端上报的告警信息之后，首先启动负载均衡情况分析，分析其他设备的请求情况，当发现当前设备的请求链接数超过与其他设备的不均衡告警阀值比例，立即向这台设备下发停止服务指令，关闭一切对外服务端口，启动软件防火墙屏蔽访问请求，并且向设备管理员发送服务异常告警短信。

步骤S53：流量监控客户端接收到防控指令之后立即启动关闭服务、端口操作，并且启动软件防火墙(IP Table)屏蔽外界访问。

对于上述步骤S308可以通过如下方式来实现：

步骤S61：流量监控管理平台判断如当前设备的请求链接数没有超过与其他设备的不均衡告警阀值，则启动对异常流量的分析与统计，获取异常流量访问告警之后的请求链接信息，分析请求链接的源地址以及目的端口；

步骤S62：流量监控管理平台根据系统预先定义的筛选算法对源地址以及目的端口进行统计，并且根据系统定义的黑名单与访问源地址进行匹配，如果发现源地址在黑名单内，或者源地址的访问请求超过系统定义的单链接请求阀值，立即向这台设备下发启用软件防火墙指令，增加ACL访问控制策略，屏蔽该源地址的一切访问请求；

步骤S63：流量监控客户端接收到该指令之后，立即启动软件防火墙(IP Table)，屏蔽该链接的一切访问，以缓解因异常攻击对系统造成的影响，并继续监控系统的请求链接直至系统访问流量恢复正常。

采用本可选实施例，实现了一种针对异常流量监控与缓解的系统和方法，可以在系统流量异常或者系统受到外部DDOS攻击时可以通过动态启用系统自身提供的软件防火墙，来抵御外部的攻击，有效减少外部攻击对系统的影响。并且系统是通过软件系统实现了对外部攻击的防护，可以应用在大型CDN、视频等网站，减少硬件投入成本，增强系统的防护能力。

与目前通用的DDOS攻击防护策略相比，目前针对DDOS攻击的防护大多数是通过专业的流量清洗设备，并且在路由器上或者防火墙上做相应的策略把请求消息旁路到流量清洗设备，由流量清洗设备对请求流量进行过滤。这样的方式，对小型局点来说问题不大，但是对于大型网站，这样的处理方式不但极大增加了系统的成本，而且系统的性能也会受到影响。

下面结合附图和具体实施例对可选实施例对本可选实施例进行详细的说明。

实施例1

图7是根据本发明可选实施例的系统下发配置参数及系统与终端的心跳保活流程图，如图7所示，该流程包括：

步骤S701，操作员在流量监控管理平台定义告警阀值，时间及不均衡告警阀值等参数；

步骤S702，流量监控管理平台保存参数配置；

步骤S703，流量监控管理平台通过接口机向流量监控客户端下发配置参数；

步骤S704，流量监控客户端保存配置参数信息；

步骤S705，流量监控管理平台向流量监控客户端发送心跳保活请求；

步骤S706，流量监控客户端向流量监控管理平台返回心跳保活响应。

实施例2

图8是根据本发明可选实施例的当流量监控客户端监控到当前设备的流量超过流量监控管理平台下发的正常运营告警阀值之后的处理流程图，如图8所示，该流程的步骤包括：

步骤S801，流量监控客户端定期向流量监控管理平台上报当前流量汇总信息；

步骤S802，流量监控管理平台保存流量信息；

步骤S803，流量监控客户端比较当前流量与正常运营阀值；

步骤S804，当超过正常运营阀值，向流量监控管理平台告警；

步骤S805，流量监控管理平台保存告警信息，并启动监控进程进行监控；

步骤S806，流量监控管理平台向系统管理员发送告警短信。

实施例3

该实施例为当前设备的流量在超过异常运营告警阀值之后，流量监控管理平台首先判断这台设备的流量异常是否是异常流量偏高，以确定外部的访问流量是否是针对这台设备。当这台设备的请求流量超过其他设备的负载均衡阀值时，流量监控管理平台向流量监控客户端下发停止服务、启动软件防火墙等相关措施以避免系统被进一步攻击之后导致瘫痪，图9是根据本发明可选实施例的请求流量超过异常告警流量单台设备的访问流量没超过负载均衡阀值启动屏蔽策略流程图，如图9所示，该流程的步骤包括：

步骤S901，流量监控客户端定期监控当前请求流量访问情况；

步骤S902，当当前设备的流量超过异常告警流量阀值时，立即向流量监控管理平台告警；

步骤S903，流量监控管理平台比较当前设备与其他设备流量负载情况；

步骤S904，当发现这台设备流量超越负载均衡阀值，开始准备向这台设备下发屏蔽策略；

步骤S905，流量监控管理平台向流量监控客户端发送访问屏蔽策略，通知业务客户端关闭端口、服务，启动软件防火墙；

步骤S906，流量监控管理平台向系统管理员发送告警短信。

实施例4

该为当前设备的流量在超过异常运营告警阀值之后，流量监控管理平台在排除了当前设备的流量没有超过异常流量告警阀值之后的防控流程。流量监控管理平台根据系统事先定义的筛选算法对请求地址进行统计，筛选出危险地址信息，继而继续筛选出超过单链接请求阀值的地址，并且与系统中保留的黑名单地址进行比对，过滤出需要屏蔽的地址信息，并且给流量监控客户端发送启动软件防火墙，增加ACL策略屏蔽这些地址的指令，图10是根据本发明可选实施例的请求流量超过异常告警流量单台设备的访问流量没超过负载均衡阀值启动屏蔽策略流程图，如图10所示，该流程的步骤包括：

步骤S1001，流量监控管理平台统计当前访问链接情况，获取请求链接源地址及目的端口；

步骤S1002，流量监控管理平台根据事先定义的筛选算法对请求地址进行统计，筛选出危险地址信息；

步骤S1003，流量监控管理平台根据系统保留的黑名单对危险地址进行分析；

步骤S1004，流量监控管理平台筛选出请求超出单链接请求阀值的地址或者是在黑名单的地址；

步骤S1005，流量监控管理平台向流量监控客户端发送访问屏蔽策略，通知客户端启动软件防火墙，增加ACL策略屏蔽异常请求源地址；

步骤S1006，流量监控客户端根据管理平台的防控策略启动软件防火墙，增加ACL策略；

步骤S1007，流量监控管理平台向系统管理员发送严重告警短信。

需要说明的是，上述各个模块是可以通过软件或硬件来实现的，对于后者，可以通过以下方式实现，但不限于此：上述模块均位于同一处理器中；或者，上述模块分别位于多个处理器中。

本发明的实施例还提供了一种存储介质。可选地，在本实施例中，上述存储介质可以被设置为存储用于执行以下步骤的程序代码：

步骤S1，流量监控管理平台向设置在业务主机上的流量监控客户端发送配置信息，其中，配置信息中携带有在预定时间内指示流量状态的告警阈值；

步骤S2，流量监控管理平台接收流量监控客户端上报的告警信息和业务主机当前的请求链接数，其中，告警信息用于指示在预定时间内流量监控客户端监控到业务主机的流量阈值超过告警阈值；

步骤S3，流量监控管理平台依据请求链接数和告警信息触发执行对业务主机的流量防护策略。

可选地，本实施例中的具体示例可以参考上述实施例及可选实施方式中所描述的示例，本实施例在此不再赘述。

显然，本领域的技术人员应该明白，上述的本发明的各模块或各步骤可以用通用的计算装置来实现，它们可以集中在单个的计算装置上，或者分布在多个计算装置所组成的网络上，可选地，它们可以用计算装置可执行的程序代码来实现，从而，可以将它们存储在存储装置中由计算装置来执行，并且在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤，或者将它们分别制作成各个集成电路模块，或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样，本发明不限制于任何特定的硬件和软件结合。

以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

工业实用性

在发明实施例流量的处理过程中，在流量监控管理平台在监控到当前流量异常时，执行对业务主机的流量防护策略，对用户请求消息的无影响，解决了相关技术中系统设备受到异常流量攻击时，采用流量清洗设备进行处理的问题，而该流量清洗设备都是造价比较高，系统整体成本也很大，而采用本发明的方案能达到节约成本的效果。

Claims

一种流量的处理方法，包括：

流量监控管理平台向设置在业务主机上的流量监控客户端发送配置信息，其中，所述配置信息中携带有在预定时间内指示流量状态的告警阈值；

所述流量监控管理平台接收所述流量监控客户端上报的告警信息和所述业务主机当前的请求链接数，其中，所述告警信息用于指示在所述预定时间内所述流量监控客户端监控到所述业务主机的流量阈值超过所述告警阈值；

所述流量监控管理平台依据所述请求链接数和所述告警信息触发执行对所述业务主机的流量防护策略。
根据权利要求1所述的方法，其中，所述告警阈值包括：正常运营告警阈值、异常告警阈值。
根据权利要求2所述的方法，其中，在所述流量阈值超过所述正常运营告警阈值时，所述流量监控管理平台依据所述请求链接数和所述告警信息触发执行对所述业务主机的流量防护策略包括：

所述流量监控管理平台执行对所述请求链接数进行分析与监控操作；

所述流量监控管理平台发送携带有分析与监控结果的告警短信到所述业务主机的管理员。
根据权利要求2所述的方法，其中，在所述流量阈值超过所述异常告警阈值时，所述流量监控管理平台依据所述请求链接数和所述告警信息触发执行对所述业务主机的流量防护策略包括：

所述流量监控管理平台获取除所述业务主机之外的所述流量监控管理平台下的其他业务主机的请求链接数；

所述流量监控管理平台判断所述业务主机的请求链接数是否超过其他业务主机的不均衡告警阈值比例；

在判断结果为是时，所述流量监控管理平台向所述业务主机的管理员发送告警短信以及向所述流量监控客户端发送第一指令，其中，所述第一指令用于触发所述流量监控客户端执行启动软件防火墙、关闭服务和端口的操作。
根据权利要求4所述的方法，其中，所述方法还包括：

在判断结果为否时，所述流量监控管理平台继续获取所述流量监控客户端的请求链接；

所述流量监控管理平台根据预设设定的筛选算法对继续获取的请求链接的地址进行统计筛选出危险地址信息；

在所述流量监控管理平台判定所述危险地址信息与本地黑名单中存储的地址信息匹配，或所述继续获取的请求链接超出单链接请求阈值时，所述流量监控管理平台向所述业务主机的管理员发送告警短信，并向所述流量监控客户端发送第二指令，其中，所述第二指令用于指示触发所述流量监控客户端启动软件防火墙。
一种流量的处理方法，包括：

设置在业务主机上的流量监控客户端接收流量监控管理平台发送的配置信息，其中，所述配置信息中携带有在预定时间内指示流量状态的告警阈值；

所述流量监控客户端将所述预定时间内所述业务主机的流量阈值与所述告警阈值进行比较；

所述流量监控客户端向所述管理平台上报告警信息和所述业务主机当前的请求链接数，其中，所述告警信息用于指示在所述预定时间内所述流量监控客户端监控到所述业务主机的流量阈值超过所述告警阈值；

所述流量监控客户端接收所述流量监控管理平台依据所述请求链接数和所述告警信息执行的对所述业务主机的流量防护策略。
根据权利要求6所述的方法，其中，所述告警阈值包括：正常运营告警阈值、异常告警阈值。
根据权利要求7所述的方法，其中，在所述流量阈值超过所述异常告警阈值时，所述流量监控客户端接收所述流量监控管理平台依据所述请求链接数和所述告警信息执行对所述业务主机的流量防护策略包括：

在所述流量监控管理平台确定所述业务主机的请求链接数超过其他业务主机的不均衡告警阈值比例时，所述流量监控客户端接收所述流量监控管理平台发送的第一指令，其中，所述第一指令用于触发所述流量监控客户端执行启动软件防火墙、关闭服务和端口的操作。
根据权利要求8所述的方法，其中，在所述流量阈值超过所述异常告警阈值时，所述流量监控客户端接收所述流量监控管理平台依据所述请求链接数和所述告警信息执行对所述业务主机的流量防护策略包括：

在所述流量监控管理平台确定所述业务主机的请求链接数未超过其他业务主机的不均衡告警阈值比例时，所述流量监控客户端接收所述流量监控管理平台发送的第二指令，其中，所述第二指令用于指示触发所述流量监控客户端启动软件防火墙。
一种流量的处理装置，应用于流量监控管理平台侧，包括：

发送模块，设置为向设置在业务主机上的流量监控客户端发送配置信息，其中，所述配置信息中携带有在预定时间内指示流量状态的告警阈值；

第一接收模块，设置为接收所述流量监控客户端上报的告警信息和所述业务主机当前的请求链接数，其中，所述告警信息用于指示在所述预定时间内所述流量监控客户端监控到所述业务主机的流量阈值超过所述告警阈值；

执行模块，设置为依据所述请求链接数和所述告警信息触发执行对所述业务主机的流量防护策略。
根据权利要求10所述的装置，其中，所述告警阈值包括：正常运营告警阈值、异常告警阈值。
根据权利要求11所述的装置，其中，在所述流量阈值超过所述正常运营告警阈值时，所述执行模块包括：

执行单元，设置为执行对所述请求链接数进行分析与监控操作；

发送单元，设置为发送携带有分析与监控结果的告警短信到所述业务主机的管理员。
根据权利要求11所述的装置，其中，在所述流量阈值超过所述异常告警阈值时，所述执行模块包括：

第一获取单元，设置为获取除所述业务主机之外的所述流量监控管理平台下的其他业务主机的请求链接数；

判断单元，设置为判断所述业务主机的请求链接数是否超过其他业务主机的不均衡告警阈值比例；

第一发送单元，设置为在判断结果为是时，向所述业务主机的管理员发送告警短信以及向所述流量监控客户端发送第一指令，其中，所述第一指令用于触发所述流量监控客户端执行启动软件防火墙、关闭服务和端口的操作。
根据权利要求13所述的装置，其中，所述执行模块还包括：

第二获取单元，设置为在判断结果为否时，继续获取所述流量监控客户端的请求链接；

筛选单元，设置为根据预设设定的筛选算法对继续获取的请求链接的地址进行统计筛选出危险地址信息；

第二发送单元，设置为在所述流量监控管理平台判定所述危险地址信息与本地黑名单中存储的地址信息匹配，或所述继续获取的请求链接超出单链接请求阈值时，向所述业务主机的管理员发送告警短信，并向所述流量监控客户端发送第二指令，其中，所述第二指令用于指示触发所述流量监控客户端启动软件防火墙。
一种流量的处理装置，应用于设置在业务主机上的流量监控客户端侧，包括：

第二接收模块，设置为接收流量监控管理平台发送的配置信息，其中，所述配置信息中携带有在预定时间内指示流量状态的告警阈值，所述告警阈值包括：正常运营告警阈值、异常告警阈值；

比较模块，设置为将所述预定时间内所述业务主机的流量阈值与所述告警阈值进行比较；

上报模块，设置为在所述流量阈值超过所述告警阈值时，向所述管理平台上报告警信息和所述业务主机当前的请求链接数，其中，所述告警信息用于指示在所述预定时间内所述流量监控客户端监控到所述业务主机的流量阈值超过所述告警阈值；

第三接收模块，设置为接收所述流量监控管理平台依据所述请求链接数和所述告警信息执行的对所述业务主机的流量防护策略。
根据权利要求15所述的装置，其中，所述告警阈值包括：正常运营告警阈值、异常告警阈值。
根据权利要求16所述的装置，其中，在所述流量阈值超过所述异常告警阈值时，

所述第三接收模块，还设置为在所述流量监控管理平台确定所述业务主机的请求链接数超过其他业务主机的不均衡告警阈值比例时，接收所述流量监控管理平台发送的第一指令，其中，所述第一指令用于触发所述流量监控客户端执行启动软件防火墙、关闭服务和端口的操作。
根据权利要求17所述的装置，其中，在所述流量阈值超过所述异常告警阈值时，

所述第三接收模块，还设置为在所述流量监控管理平台确定所述业务主机的请求链接数未超过其他业务主机的不均衡告警阈值比例时，接收所述流量监控管理平台发送的第二指令，其中，所述第二指令用于指示触发所述流量监控客户端启动软件防火墙。
一种流量的处理系统，所述系统包括流量监控管理平台和设置在业务主机上的流量监控客户端；其中，所述流量监控管理平台包括权利要求10至14任一项所述的装置，所述流量监控客户端包括权利要求15至18任一项所述的装置。