预警决策的方法、节点及子系统技术方案

本申请提供了一种预警决策的方法、节点及系统。该方法包括以下步骤：获取针对同一服务器的部分服务请求的流量分析结果；根据所述流量分析结果指示的流量和本分布式节点的权重，计算针对所述服务器的全部服务请求的流量，所述权重是本分布式节点获取的流量分析结果指示的流量占针对所述服务器的全部服务请求的流量的权重；将针对所述服务器的全部服务请求的流量与异常流量阈值进行比较；根据比较结果，判断是否发出针对所述服务器进行后续处理的指示。根据本申请的方案，有效提高了DDoS预警系统的可靠性和安全性。

【技术实现步骤摘要】
预警决策的方法、节点及子系统
本申请涉及分布式拒绝服务(DistributedDenialofService，DDOS)预警
，尤其涉及一种预警决策的方法、节点及子系统。
技术介绍
DDoS攻击通过大量合法的服务请求占用大量网络资源，以达到瘫痪网络的目的。为了应对DDoS攻击，可以通过流量分析识别DDoS攻击，当识别出DDoS攻击时，进行流量清洗，以去掉攻击或异常的服务请求。以图1所示的DDoS预警系统为例。访问机房内服务器的请求数据通过互联网服务提供商(InternetServiceProvider，ISP)网络设备到达机房入口网络设备(例如路由器)。并且，从ISP网络设备流入机房入口网络设备的服务请求会通过镜像的方式完整地到达负载均衡设备，再通过负载均衡设备分发给分布式的各个流量分析设备。流量分析设备周期性地对分发到本设备的服务请求进行流量分析，具体是按照IP地址对每个流量分析周期内的服务请求的流量组成成分和流量大小进行统计。然后各个流量分析设备将流量分析结果发送给决策设备，由决策设备根据汇总后的流量分析结果判断各个机房内服务器的流量是否存在异常，如果某个服务器的流量异常，即可能存在DDoS攻击，则通知清洗设备将到达机房入口网络设备的服务请求进行牵引，并在清洗处理完成后再回注到机房入口网络设备，如果服务器不存在流量异常，则不进行处理。基于上述处理过程，在没有DDoS攻击的情况下，服务请求通过机房入口网络设备正常转发给机房内服务器。在有DDoS攻击的情况下，服务请求到达机房入口网络设备后，通过流量牵引将服务请求先转发给流量清洗设备，经过流量清洗设备处理后将服务请求回注给机房入口网络设备，然后再转发给机房内服务器。现有的DDoS预警系统中只有一个决策设备，当这个决策设备由于某种原因(例如出现故障)无法正常工作时，整个机房的网络防御就会失效。因此，现有的DDoS预警系统的可靠性和安全性较差。
技术实现思路
本申请的目的是提供一种预警决策的方法、节点及子系统，以解决现有的DDoS预警系统的可靠性和安全性较差的问题。根据本申请的一个方面，提供一种预警决策的方法，应用于进行预警决策的各个分布式节点中分别实现，该方法包括以下步骤：获取针对同一服务器的部分服务请求的流量分析结果；根据所述流量分析结果指示的流量和本分布式节点的权重，计算针对所述服务器的全部服务请求的流量，所述权重是本分布式节点获取的流量分析结果指示的流量占针对所述服务器的全部服务请求的流量的权重；将针对所述服务器的全部服务请求的流量与异常流量阈值进行比较；根据比较结果，判断是否发出针对所述服务器进行后续处理的指示。根据本申请的另一方面，还提供了一种预警决策的节点，该节点为分布式节点，该节点包括以下模块：流量分析结果获取模块，用于获取针对同一服务器的部分服务请求的流量分析结果；完整流量估计模块，用于根据所述流量分析结果指示的流量和本分布式节点的权重，计算针对所述服务器的全部服务请求的流量，所述权重是本分布式节点获取的流量分析结果指示的流量占所述服务器的全部服务请求的流量的权重；阈值比较模块，用于将针对所述服务器的全部服务请求的流量与异常流量阈值进行比较；判断控制模块，用于根据比较结果，判断是否发出针对所述服务器进行后续处理的指示。根据本申请的又一方面，还提供了一种预警决策的系统，包括：多个上述预警决策节点，多个流量分析节点，第一负载均衡设备和第二负载均衡设备；所述第一负载均衡设备用于服务请求分流给所述多个流量分析节点；各个流量分析节点接收服务请求，向第二负载均衡设备上报流量分析结果；所述第二负载均衡设备将流量分析结果分流给所述多个预警决策额节点。与现有技术相比，本申请具有以下优点：现有的DDoS预警系统中只有一个决策设备，当这个决策设备由于某种原因无法正常工作时，例如，决策设备出现故障而无法正常工作，或者限于单个决策设备的处理能力，又例如，当需要处理的数据量超出决策设备的处理能力将导致决策设备无法正常工作，整个机房的网络防御就会失效。而本申请实施例提供的技术方案，采用分布式的架构来进行预警决策，即使有进行预警决策的节点无法正常工作，还可以由其他正常工作的节点进行预警决策，从而有效提高了DDoS预警系统的可靠性和安全性。另外，采用分布式的架构进行预警决策，较之单个决策设备的处理能力大大提高。具体地说，每个进行预警决策的分布式节点均有其权重，该权重是本分布式节点获取流量分析结果指示的流量占针对所述服务器的全部服务请求的流量的权重。进一步的，对于每个分布式节点，根据其权重以及针对同一服务器的部分服务请求的流量分析结果指示的流量，就能够估计出针对同一服务器的全部服务请求的流量。进而通过将估计得到的流量与异常流量阈值进行比较，实现预警决策。通过这种方法，使得单个分布式节点在获得的是部分服务请求的流量的前提下，结合其权重即可估计得到全部服务请求的流量，进而实现预警决策。可见，每个上述分布式节点均可以进行预警决策，当有进行预警决策的分布式节点无法正常工作时，仍然可以由其他进行预警决策的分布式节点正常工作，提高了DDoS预警系统的可靠性和安全性，且提高了系统的处理能力。附图说明通过阅读参照以下附图所作的对非限制性实施例所作的详细描述，本申请的其它特征、目的和优点将会变得更明显：图1为现有的一种DDoS预警系统示意图；图2为本申请一个实施例的方法流程图；图3为本申请另一个实施例的DDoS预警系统示意图；图4为本申请另一个实施例的方法流程图；图5为本申请又一个实施例的节点示意图。附图中相同或相似的附图标记代表相同或相似的部件。具体实施方式在更加详细地讨论示例性实施例之前应当提到的是，一些示例性实施例被描述成作为流程图描绘的处理或方法。虽然流程图将各项操作描述成顺序的处理，但是其中的许多操作可以被并行地、并发地或者同时实施。此外，各项操作的顺序可以被重新安排。当其操作完成时所述处理可以被终止，但是还可以具有未包括在附图中的附加步骤。所述处理可以对应于方法、函数、规程、子例程、子程序等等。在上下文中所称“节点”、“负载均衡设备”是一种计算机设备(computingdevice)，指可以通过运行预定程序或指令来执行数值计算和/或逻辑计算等预定处理过程的智能电子设备，其可以包括处理器与存储器，由处理器执行在存储器中预存的存续指令来执行预定处理过程，或是由ASIC、FPGA、DSP等硬件执行预定处理过程，或是由上述二者组合来实现。需要说明的是，所述计算机设备仅为举例，其他现有的或今后可能出现的计算机设备如可适用于本申请，也应包含在本申请保护范围以内，并以引用方式包含于此。后面所讨论的方法(其中一些通过流程图示出)可以通过硬件、软件、固件、中间件、微代码、硬件描述语言或者其任意组合来实施。当用软件、固件、中间件或微代码来实施时，用以实施必要任务的程序代码或代码段可以被存储在机器或计算机可读介质(比如存储介质)中。(一个或多个)处理器可以实施必要的任务。这里所公开的具体结构和功能细节仅仅是代表性的，并且是用于描述本申请的示例性实施例的目的。但是本申请可以通过许多替换形式来具体实现，并且不应当被解释成仅仅受限于这里所阐述的实施例。应当理解的是，当本文档来自技高网...

【技术保护点】
一种预警决策的方法，其特征在于，应用于进行预警决策的各个分布式节点，该方法包括以下步骤：获取针对同一服务器的部分服务请求的流量分析结果；根据所述流量分析结果指示的流量和本分布式节点的权重，计算针对所述服务器的全部服务请求的流量，所述权重是本分布式节点获取的流量分析结果指示的流量占针对所述服务器的全部服务请求的流量的权重；将针对所述服务器的全部服务请求的流量与异常流量阈值进行比较；根据比较结果，判断是否发出针对所述服务器进行后续处理的指示。

【技术特征摘要】
1.一种预警决策的方法，其特征在于，应用于进行预警决策的各个分布式节点，该方法包括以下步骤：获取针对同一服务器的部分服务请求的流量分析结果；根据所述流量分析结果指示的流量和本分布式节点的权重，计算针对所述服务器的全部服务请求的流量，所述权重是本分布式节点获取的流量分析结果指示的流量占针对所述服务器的全部服务请求的流量的权重；将针对所述服务器的全部服务请求的流量与异常流量阈值进行比较；根据比较结果，判断是否发出针对所述服务器进行后续处理的指示。2.根据权利要求1所述的方法，其特征在于，所述根据比较结果，判断是否发出针对所述服务器进行后续处理的指示，包括：当比较结果符合预定条件，判断发出针对所述服务器进行后续处理的指示；否则，判断不发出针对所述服务器进行后续处理的指示；所述预定条件为进行比较的流量大于所述异常流量阈值，或者所述预定条件为进行比较的流量不小于所述异常流量阈值。3.根据权利要求2所述的方法，其特征在于，该方法还包括：将所述针对所述服务器的部分服务请求的流量分析结果指示的流量与所述异常流量阈值进行比较；如果比较结果符合所述预定条件，发出针对所述服务器的后续处理的指示；所述根据所述流量分析结果指示的流量和本分布式节点的权重，计算针对所述服务器的全部服务请求的流量的步骤是在比较结果不符合所述预定条件的前提下执行的。4.根据权利要求1～3任一项所述的方法，其特征在于，该方法还包括：按照预定的权重调整周期，调整本分布式节点的权重。5.根据权利要求4所述的方法，其特征在于，所述按照预定的权重调整周期，调整本分布式节点的权重的步骤包括：在每个权重调整周期，确定进行预警决策的其它分布式节点获取的本权重调整周期的部分时间段内的针对所述服务器的部分服务请求的流量分析结果指示的流量；在每个所述的权重调整周期，根据进行预警决策的全部分布式节点获取的所述部分时间段内针对所述服务器的部分服务请求的流量分析结果指示的流量，计算所述部分时间段内针对所述服务器的全部服务请求的流量；在每个所述的权重调整周期，至少根据本分布式节点获取的所述部分时间段内针对所述服务器的部分服务请求的流量分析结果指示的流量占所述部分时间段内针对所述服务器的全部服务请求的流量的权重，调整本分布式节点在下一个权重调整周期的权重。6.根据权利要求1～3任一项所述的方法，其特征在于，所述获取针对同一服务器的部分服务请求的流量分析结果的步骤包括：从负载均衡设备获取针对同一服务器的部分服务请求的流量分析结果。7.根据权利要求1～3任一项所述的方法，其特征在于，该方法还包括：从负载均衡设备获取针对所述服务器的部分服务请求；所述获取针对同一服务器的部分服务请求的流量分析结果的步骤包括：对所述部分服务请求进行流量分析，得到针对所述服务器的部分服务请求的流量分析结果。8.根据权利要求3所述的方法，其特征在于，所述根据所述流量分析结果指示的流量和本分布式节点的权重，计算针对所述服务器的全部服务请求的流量的步骤包括：根据所述流量分析结果指示的流量大小和本分布式节点的权重，计算针对所述服务器的全部服务请求的流量大小；所述将针对所述服务器的全部服务请求的流量与异常流量阈值进行比较的步骤包括：将针对所述服务器的全部服务请求的流量大小与异常流量阈值进行比较；所述将针对所述服务器的部分服务请求的流量分析结果指示的流量与所述异常流量阈值进行比较的步骤包括：将针对所述服务器的部分服务请求的流量分析结果指示的流量大小与所述异常流量阈值进行比较。9.根据权利要求3所述的方法，其特征在于，所述将针对所述服务器的部分服务请求的流量分析结果指示的流量与所述异常流量阈值进行比较的步骤包括：将针对所述服务器的部分服务请求的流量分析结果指示的各流量组成成分对应的流量大小分别与各流量组成成分对应的异常流量阈值进行比较；所述根据所述流量分析结果指示的流量和本分布式节点的权重，计算针对所述服务器的全部服务请求的流量的步骤包括：根据所述流量分析结果指示的目标流量组成成分对应的流量大小和目标流量组成成分对应的本分布式节点的权重，分别计算针对所述服务器的全部服务请求的目标流量组成成分的流量大小，所述目标流量组成成分为不符合预订条件的流量组成成分；所述将针对所述服务器的全部服务请求的流量与异常流量阈值进行比较的步骤包括：将针对所述服务器的全部服务请求的目标流量组成成分的流量大小分别与目标流量组成成分对应的异常流量阈值进行比较。10.根据权利要求9所述的方法，其特征在于，所述当比较结果符合预定条件，发出针对所述服务器进行后续处理的指示的步骤包括：针对比较结果符合预定条件的流量组成成分，发出针对所述服务器进行该流量组成成分的后续处理的指示。11.根据权利要求1～3、10中的任一项所述的方法，其特征在于，所述后...

【专利技术属性】
技术研发人员：屠一凡，乔会来，贾炯，
申请(专利权)人：阿里巴巴集团控股有限公司，
类型：发明
国别省市：开曼群岛,KY