【技术实现步骤摘要】
本申请涉及网络安全领域,尤其涉及一种流量清洗设备的调度方法、系统、设备及存储介质。
技术介绍
1、随着互联网的不断发展,各领域的业务运营对互联网的依赖性逐渐增高,然而,网络安全环境日益恶化,大规模的分布式拒绝服务(distributed denial-of-service,ddos)攻击时常发生,对于ddos攻击的防护主要依赖于部署在骨干网中的流量清洗设备针对攻击流量的清洗。
2、相关技术中,当ddos攻击防护系统监测到目标资源受到ddos攻击时,ddos攻击防护系统向遭受ddos攻击的目标资源所在区域的流量清洗设备下发引流指令,流量清洗设备接收到引流指令后,将遭受ddos攻击的目标资源上的攻击流量引入到该流量清洗设备上,以进行流量清洗,达到过滤掉攻击流量的目的,并将清洗后正常访问业务的流量回注到目标资源。但该方式仍存在无法满足ddos攻击流量的清洗要求。
技术实现思路
1、本申请提供一种流量清洗设备的调度方法、系统、设备及存储介质,用以解决无法满足ddos攻击流量的清洗要求的技术问题。
2、第一方面,本申请提供一种流量清洗设备的调度方法,应用于流量清洗设备的调度系统,调度系统用于集中调控部署在不同区域的多个流量清洗设备,调度系统与攻击监测系统对接,攻击监测系统用于监测目标资源是否受到ddos攻击,并在攻击流量值大于设定阈值时,向调度系统发送清洗任务;
3、流量清洗设备的调度方法包括:
4、响应接收到清洗任务,获取针对目标资源的攻击流
5、确定攻击流量值是否满足流量清洗设备动态调度条件,所述流量清洗设备动态调度条件包括攻击流量值大于目标资源所在区域的第一流量清洗设备的清洗能力上限;
6、在满足流量清洗设备动态调度条件时,在多个流量清洗设备中确定第二流量清洗设备,第二流量清洗设备与第一流量清洗设备的部署区域不同;
7、向第一流量清洗设备和第二流量清洗设备发送清洗指令,清洗指令用于指示针对目标资源的攻击流量进行清洗。
8、在一种可能的实施方式中,在多个流量清洗设备中确定第二流量清洗设备,包括:
9、确定目标资源所在位置信息;
10、基于调度系统中预配置的流量清洗设备分布拓扑图,以位置信息为起点,通过启发式搜索算法确定不同区域中距离第一流量清洗设备最近的至少一个区域,流量清洗设备分布拓扑图用于反映多个流量清洗设备的位置关系;
11、基于流量清洗设备分布拓扑图,在至少一个区域中,通过最短路径搜索算法确定距离第一流量清洗设备最近的流量清洗设备为第二流量清洗设备。
12、在一种可能的实施方式中,在多个流量清洗设备中确定第二流量清洗设备之前,还包括:
13、确定目标资源是否为跨区域资源;
14、对应地,在目标资源为跨区域资源时,目标资源对应的至少两个区域包括第一区域和第二区域,流量清洗设备动态调度条件还包括:第一区域的攻击流量值大于第一区域中的第一流量清洗设备的清洗能力上限,第二区域的攻击流量值小于第二区域中的第一流量清洗设备的清洗能力上限;在多个流量清洗设备中确定第二流量清洗设备,包括:
15、基于流量清洗设备分布拓扑图,在多个流量清洗设备中,根据第二区域中部署的流量清洗设备,确定第二流量清洗设备。
16、在一种可能的实施方式中,根据第二区域中部署的流量清洗设备,确定第二流量清洗设备,包括:
17、获取第二区域中部署的流量清洗设备的清洗能力;
18、确定第一区域的攻击流量值与第一区域中的第一流量清洗设备的清洗能力上限的差值;
19、基于第二区域中部署的流量清洗设备的清洗能力,确定可清理上述差值的攻击流量的流量清洗设备为第二流量清洗设备。
20、在一种可能的实施方式中,还包括:
21、在不满足流量清洗设备动态调度条件时,向第一流量清洗设备发送清洗指令。
22、第二方面,本申请提供一种流量清洗设备的调度系统,调度系统用于集中调控部署在不同区域的多个流量清洗设备,调度系统与攻击监测系统对接,攻击监测系统用于监测目标资源是否受到ddos攻击,并在攻击流量值大于设定阈值时,向调度系统发送清洗任务;
23、流量清洗设备的调度系统包括:
24、接收模块,用于响应接收到清洗任务,获取针对目标资源的攻击流量值;
25、确定模块,用于确定攻击流量值是否满足流量清洗设备动态调度条件,流量清洗设备动态调度条件包括攻击流量值大于目标资源所在区域的第一流量清洗设备的清洗能力上限;以及,在满足流量清洗设备动态调度条件时,在多个流量清洗设备中确定第二流量清洗设备,第二流量清洗设备与第一流量清洗设备的部署区域不同;
26、发送模块,用于向第一流量清洗设备和第二流量清洗设备发送清洗指令,清洗指令用于指示针对目标资源的攻击流量进行清洗。
27、在一种可能的实施方式中,确定模块具体用于:确定目标资源所在位置信息;基于调度系统中预配置的流量清洗设备分布拓扑图,以位置信息为起点,通过启发式搜索算法确定不同区域中距离第一流量清洗设备最近的至少一个区域,流量清洗设备分布拓扑图用于反映多个流量清洗设备的位置关系;基于流量清洗设备分布拓扑图,在至少一个区域中,通过最短路径搜索算法确定距离第一流量清洗设备最近的流量清洗设备为第二流量清洗设备。
28、在一种可能的实施方式中,确定模块还用于:在多个流量清洗设备中确定第二流量清洗设备之前,确定目标资源是否为跨区域资源;对应地,在目标资源为跨区域资源时,目标资源对应的至少两个区域包括第一区域和第二区域,流量清洗设备动态调度条件还包括:第一区域的攻击流量值大于第一区域中的第一流量清洗设备的清洗能力上限,第二区域的攻击流量值小于第二区域中的第一流量清洗设备的清洗能力上限;基于流量清洗设备分布拓扑图,在多个流量清洗设备中,根据第二区域中部署的流量清洗设备,确定第二流量清洗设备。
29、在一种可能的实施方式中,确定模块还用于:获取第二区域中部署的流量清洗设备的清洗能力;确定第一区域的攻击流量值与第一区域中的第一流量清洗设备的清洗能力上限的差值;基于第二区域中部署的流量清洗设备的清洗能力,确定可清理上述差值的攻击流量的流量清洗设备为第二流量清洗设备。
30、在一种可能的实施方式中,发送模块还用于:在不满足流量清洗设备动态调度条件时,向第一流量清洗设备发送清洗指令。
31、第三方面,本申请提供一种流量清洗系统,包括:流量清洗设备的调度系统和攻击监测系统,调度系统与攻击监测系统对接,其中:
32、攻击监测系统,用于监测资源是否受到ddos攻击,并在攻击流量值大于设定阈值时,向调度系统发送清洗任务;
33、调度系统,用于集中调控部署在不同区域的多个流量清洗设备,并执行如第一方面任一项所述的方法。
34、第四方面,本申请提供一种电子设备,包括本文档来自技高网...
【技术保护点】
1.一种流量清洗设备的调度方法,其特征在于,应用于流量清洗设备的调度系统,所述调度系统用于集中调控部署在不同区域的多个流量清洗设备,所述调度系统与攻击监测系统对接,所述攻击监测系统用于监测目标资源是否受到分布式拒绝服务DDOS攻击,并在攻击流量值大于设定阈值时,向所述调度系统发送清洗任务;
2.根据权利要求1所述的流量清洗设备的调度方法,其特征在于,所述在所述多个流量清洗设备中确定第二流量清洗设备,包括:
3.根据权利要求1或2所述的流量清洗设备的调度方法,其特征在于,所述在所述多个流量清洗设备中确定第二流量清洗设备之前,还包括:
4.根据权利要求3所述的流量清洗设备的调度方法,其特征在于,所述根据所述第二区域中部署的流量清洗设备,确定所述第二流量清洗设备,包括:
5.根据权利要求1或2所述的流量清洗设备的调度方法,其特征在于,还包括:
6.一种流量清洗设备的调度系统,其特征在于,所述调度系统用于集中调控部署在不同区域的多个流量清洗设备,所述调度系统与攻击监测系统对接,所述攻击监测系统用于监测目标资源是否受到分布式拒绝服
7.一种流量清洗系统,其特征在于,包括:流量清洗设备的调度系统和攻击监测系统,所述调度系统与攻击监测系统对接,其中:
8.一种电子设备,其特征在于,包括:处理器,以及与所述处理器通信连接的存储器;
9.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机执行指令,所述计算机执行指令被执行时用于实现如权利要求1至5中任一项所述的流量清洗设备的调度方法。
10.一种计算机程序产品,其特征在于,所述计算机程序产品包含计算机执行指令,所述计算机执行指令被执行时用于实现如权利要求1至5中任一项所述的流量清洗设备的调度方法。
...【技术特征摘要】
1.一种流量清洗设备的调度方法,其特征在于,应用于流量清洗设备的调度系统,所述调度系统用于集中调控部署在不同区域的多个流量清洗设备,所述调度系统与攻击监测系统对接,所述攻击监测系统用于监测目标资源是否受到分布式拒绝服务ddos攻击,并在攻击流量值大于设定阈值时,向所述调度系统发送清洗任务;
2.根据权利要求1所述的流量清洗设备的调度方法,其特征在于,所述在所述多个流量清洗设备中确定第二流量清洗设备,包括:
3.根据权利要求1或2所述的流量清洗设备的调度方法,其特征在于,所述在所述多个流量清洗设备中确定第二流量清洗设备之前,还包括:
4.根据权利要求3所述的流量清洗设备的调度方法,其特征在于,所述根据所述第二区域中部署的流量清洗设备,确定所述第二流量清洗设备,包括:
5.根据权利要求1或2所述的流量清洗设备的调度方法,其特征在于,还包括:
6.一种流量清洗设备...
【专利技术属性】
技术研发人员:郭钰璐,余思阳,李发财,
申请(专利权)人:中国联合网络通信集团有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。