本發(fā)明涉及通信領(lǐng)域，具體而言，涉及一種流量的處理方法、裝置及系統(tǒng)。

背景技術(shù)：

目前，針對(duì)互聯(lián)網(wǎng)業(yè)務(wù)的異常攻擊層出不窮。而互聯(lián)網(wǎng)業(yè)務(wù)的網(wǎng)站作為一個(gè)開放性的公眾服務(wù)網(wǎng)絡(luò)，一般都是基于分布式或者集群式在公網(wǎng)部署，面臨著眾多的安全威脅。異常流量作為一種重要的威脅嚴(yán)重影響著互聯(lián)網(wǎng)業(yè)務(wù)的安全平穩(wěn)運(yùn)營(yíng)，其中，主要是針對(duì)分布式拒絕服務(wù)(Distributed Denial of Service，簡(jiǎn)稱為DDoS)攻擊。攻擊流量大量擠占通信網(wǎng)絡(luò)資源，極易造成網(wǎng)絡(luò)不穩(wěn)定和鏈路堵塞；同時(shí)商業(yè)利益的驅(qū)使，使得針對(duì)特定商業(yè)目標(biāo)的異常流量攻擊有愈演愈烈之勢(shì)，對(duì)網(wǎng)絡(luò)安全構(gòu)成了嚴(yán)峻的挑戰(zhàn)。有效遏制異常流量，緩解網(wǎng)絡(luò)運(yùn)營(yíng)壓力，成為運(yùn)營(yíng)商以及互聯(lián)網(wǎng)業(yè)務(wù)提供商面對(duì)的一項(xiàng)十分緊迫的任務(wù)。

DDOS的異常流量的攻擊主要是指黑客利用能夠被控制的互聯(lián)網(wǎng)上大量的僵尸主機(jī)，對(duì)目標(biāo)系統(tǒng)發(fā)起海量的攻擊。目前主要的幾種攻擊手段是傳輸控制協(xié)議(Transmission Control Protocol簡(jiǎn)稱為TCP)洪水攻擊、SYN(synchronous)半連接攻擊、域名系統(tǒng)(Domain Name System簡(jiǎn)稱為DNS)放大攻擊以及超文本傳輸協(xié)議(HyperText Transfer Protocol，簡(jiǎn)稱為HTTP)洪水攻擊。

在現(xiàn)有的針對(duì)DDOS攻擊的防護(hù)技術(shù)中，如果在DDOS攻擊已經(jīng)發(fā)生的情況下，任何防護(hù)技術(shù)都只能通過緩解技術(shù)來減少攻擊對(duì)自身業(yè)務(wù)和服務(wù)的影響，在一定程度上保障業(yè)務(wù)的正常運(yùn)行，但是都無法完全避免DDOS攻擊對(duì)系統(tǒng)的影響。例如，部署了DDOS防護(hù)的業(yè)務(wù)服務(wù)系統(tǒng)，如果檢測(cè)到自身被DDOS攻擊了，可以引發(fā)路由策略，把請(qǐng)求流量引向?qū)I(yè)的流量清洗設(shè)備，通過流量清洗設(shè)備的統(tǒng)計(jì)與分析，完成對(duì)特定請(qǐng)求流量的過濾與清洗，等攻擊結(jié)束了，再停止路由策略，讓訪問請(qǐng)求正常返回業(yè)務(wù)系統(tǒng)。但是如果攻擊請(qǐng)求是來自分布式的攻擊，系統(tǒng)就無法完全避免這種訪問請(qǐng)求對(duì)系統(tǒng)業(yè)務(wù)的影響，情況嚴(yán)重時(shí)甚至造成網(wǎng)絡(luò)擁塞，除非系統(tǒng)把所有的訪問請(qǐng)求都旁路到流量清洗設(shè)備。但是流量清洗設(shè)備通常都是專業(yè)設(shè)備，而且價(jià)格比較高，且對(duì)于超大型的互聯(lián)網(wǎng)應(yīng)用(如視頻業(yè)務(wù)、互聯(lián)網(wǎng)加速業(yè)務(wù))，還需要考慮分布式流量清洗系統(tǒng)，在系統(tǒng)受到攻擊的時(shí)候，需要把用戶的請(qǐng)求消息旁路到流量清洗設(shè)備，從而會(huì)對(duì)用戶正常的訪問請(qǐng)求造成影響。部署這樣一套系統(tǒng)不但造價(jià)高，而且會(huì)造成系統(tǒng)整體性能的下降，影響用戶的體驗(yàn)。

針對(duì)相關(guān)技術(shù)中系統(tǒng)設(shè)備受到異常流量攻擊時(shí)，采用流量清洗設(shè)備進(jìn)行處理的問題， 目前尚未有有效的解決方案。

技術(shù)實(shí)現(xiàn)要素：

本發(fā)明提供了一種流量的處理方法、裝置及系統(tǒng)，以至少解決相相關(guān)技術(shù)中系統(tǒng)設(shè)備受到異常流量攻擊時(shí)，采用流量清洗設(shè)備進(jìn)行處理的問題。

根據(jù)本發(fā)明的一個(gè)方面，提供了一種流量的處理方法，包括：流量監(jiān)控管理平臺(tái)向設(shè)置在業(yè)務(wù)主機(jī)上的流量監(jiān)控客戶端發(fā)送配置信息，其中，所述配置信息中攜帶有在預(yù)定時(shí)間內(nèi)指示流量狀態(tài)的告警閾值；所述流量監(jiān)控管理平臺(tái)接收所述流量監(jiān)控客戶端上報(bào)的告警信息和所述業(yè)務(wù)主機(jī)當(dāng)前的請(qǐng)求鏈接數(shù)，其中，所述告警信息用于指示在所述預(yù)定時(shí)間內(nèi)所述流量監(jiān)控客戶端監(jiān)控到所述業(yè)務(wù)主機(jī)的流量閾值超過所述告警閾值；所述流量監(jiān)控管理平臺(tái)依據(jù)所述請(qǐng)求鏈接數(shù)和所述告警信息觸發(fā)執(zhí)行對(duì)所述業(yè)務(wù)主機(jī)的流量防護(hù)策略。

進(jìn)一步地，所述告警閾值包括：正常運(yùn)營(yíng)告警閾值、異常告警閾值。

進(jìn)一步地，在所述流量閾值超過所述正常運(yùn)營(yíng)告警閾值時(shí)，所述流量監(jiān)控管理平臺(tái)依據(jù)所述請(qǐng)求鏈接數(shù)和所述告警信息觸發(fā)執(zhí)行對(duì)所述業(yè)務(wù)主機(jī)的流量防護(hù)策略包括：所述流量監(jiān)控管理平臺(tái)執(zhí)行對(duì)所述請(qǐng)求鏈接數(shù)進(jìn)行分析與監(jiān)控操作；所述流量監(jiān)控管理平臺(tái)發(fā)送攜帶有分析與監(jiān)控結(jié)果的告警短信到所述業(yè)務(wù)主機(jī)的管理員。

進(jìn)一步地，在所述流量閾值超過所述異常告警閾值時(shí)，所述流量監(jiān)控管理平臺(tái)依據(jù)所述請(qǐng)求鏈接數(shù)和所述告警信息觸發(fā)執(zhí)行對(duì)所述業(yè)務(wù)主機(jī)的流量防護(hù)策略包括：所述流量監(jiān)控管理平臺(tái)獲取除所述業(yè)務(wù)主機(jī)之外的所述流量監(jiān)控管理平臺(tái)下的其他業(yè)務(wù)主機(jī)的請(qǐng)求鏈接數(shù)；所述流量監(jiān)控管理平臺(tái)判斷所述業(yè)務(wù)主機(jī)的請(qǐng)求鏈接數(shù)是否超過其他業(yè)務(wù)主機(jī)的不均衡告警閾值比例；在判斷結(jié)果為是時(shí)，所述流量監(jiān)控管理平臺(tái)向所述業(yè)務(wù)主機(jī)的管理員發(fā)送告警短信以及向所述流量監(jiān)控客戶端發(fā)送第一指令，其中，所述第一指令用于觸發(fā)所述流量監(jiān)控客戶端執(zhí)行啟動(dòng)軟件防火墻、關(guān)閉服務(wù)和端口的操作。

進(jìn)一步地，所述方法還包括：在判斷結(jié)果為否時(shí)，所述流量監(jiān)控管理平臺(tái)繼續(xù)獲取所述流量監(jiān)控客戶端的請(qǐng)求鏈接；所述流量監(jiān)控管理平臺(tái)根據(jù)預(yù)設(shè)設(shè)定的篩選算法對(duì)繼續(xù)獲取的請(qǐng)求鏈接的地址進(jìn)行統(tǒng)計(jì)篩選出危險(xiǎn)地址信息；在所述流量監(jiān)控管理平臺(tái)判定所述危險(xiǎn)地址信息與本地黑名單中存儲(chǔ)的地址信息匹配，或所述繼續(xù)獲取的請(qǐng)求鏈接超出單鏈接請(qǐng)求閾值時(shí)，所述流量監(jiān)控管理平臺(tái)向所述業(yè)務(wù)主機(jī)的管理員發(fā)送告警短信，并向所述流量監(jiān)控客戶端發(fā)送第二指令，其中，所述第二指令用于指示觸發(fā)所述流量監(jiān)控客戶端啟動(dòng)軟件防火墻。

根據(jù)本發(fā)明的另一個(gè)方面，提供了一種流量的處理方法，包括：設(shè)置在業(yè)務(wù)主機(jī)上 的流量監(jiān)控客戶端接收流量監(jiān)控管理平臺(tái)發(fā)送的配置信息，其中，所述配置信息中攜帶有在預(yù)定時(shí)間內(nèi)指示流量狀態(tài)的告警閾值；所述流量監(jiān)控客戶端將所述預(yù)定時(shí)間內(nèi)所述業(yè)務(wù)主機(jī)的流量閾值與所述告警閾值進(jìn)行比較；所述流量監(jiān)控客戶端向所述管理平臺(tái)上報(bào)告警信息和所述業(yè)務(wù)主機(jī)當(dāng)前的請(qǐng)求鏈接數(shù)，其中，所述告警信息用于指示在所述預(yù)定時(shí)間內(nèi)所述流量監(jiān)控客戶端監(jiān)控到所述業(yè)務(wù)主機(jī)的流量閾值超過所述告警閾值；所述流量監(jiān)控客戶端接收所述流量監(jiān)控管理平臺(tái)依據(jù)所述請(qǐng)求鏈接數(shù)和所述告警信息執(zhí)行的對(duì)所述業(yè)務(wù)主機(jī)的流量防護(hù)策略。

進(jìn)一步地，所述告警閾值包括：正常運(yùn)營(yíng)告警閾值、異常告警閾值。

進(jìn)一步地，在所述流量閾值超過所述異常告警閾值時(shí)，所述流量監(jiān)控客戶端接收所述流量監(jiān)控管理平臺(tái)依據(jù)所述請(qǐng)求鏈接數(shù)和所述告警信息執(zhí)行對(duì)所述業(yè)務(wù)主機(jī)的流量防護(hù)策略包括：在所述流量監(jiān)控管理平臺(tái)確定所述業(yè)務(wù)主機(jī)的請(qǐng)求鏈接數(shù)超過其他業(yè)務(wù)主機(jī)的不均衡告警閾值比例時(shí)，所述流量監(jiān)控客戶端接收所述流量監(jiān)控管理平臺(tái)發(fā)送的第一指令，其中，所述第一指令用于觸發(fā)所述流量監(jiān)控客戶端執(zhí)行啟動(dòng)軟件防火墻、關(guān)閉服務(wù)和端口的操作。

進(jìn)一步地，在所述流量閾值超過所述異常告警閾值時(shí)，所述流量監(jiān)控客戶端接收所述流量監(jiān)控管理平臺(tái)依據(jù)所述請(qǐng)求鏈接數(shù)和所述告警信息執(zhí)行對(duì)所述業(yè)務(wù)主機(jī)的流量防護(hù)策略包括：在所述流量監(jiān)控管理平臺(tái)確定所述業(yè)務(wù)主機(jī)的請(qǐng)求鏈接數(shù)未超過其他業(yè)務(wù)主機(jī)的不均衡告警閾值比例時(shí)，所述流量監(jiān)控客戶端接收所述流量監(jiān)控管理平臺(tái)發(fā)送的第二指令，其中，所述第二指令用于指示觸發(fā)所述流量監(jiān)控客戶端啟動(dòng)軟件防火墻。

根據(jù)本發(fā)明的再一個(gè)方面，提供了一種流量的處理裝置，應(yīng)用于流量監(jiān)控管理平臺(tái)側(cè)，包括：發(fā)送模塊，用于向設(shè)置在業(yè)務(wù)主機(jī)上的流量監(jiān)控客戶端發(fā)送配置信息，其中，所述配置信息中攜帶有在預(yù)定時(shí)間內(nèi)指示流量狀態(tài)的告警閾值；第一接收模塊，用于接收所述流量監(jiān)控客戶端上報(bào)的告警信息和所述業(yè)務(wù)主機(jī)當(dāng)前的請(qǐng)求鏈接數(shù)，其中，所述告警信息用于指示在所述預(yù)定時(shí)間內(nèi)所述流量監(jiān)控客戶端監(jiān)控到所述業(yè)務(wù)主機(jī)的流量閾值超過所述告警閾值；執(zhí)行模塊，用于依據(jù)所述請(qǐng)求鏈接數(shù)和所述告警信息觸發(fā)執(zhí)行對(duì)所述業(yè)務(wù)主機(jī)的流量防護(hù)策略。

進(jìn)一步地，所述告警閾值包括：正常運(yùn)營(yíng)告警閾值、異常告警閾值。

進(jìn)一步地，在所述流量閾值超過所述正常運(yùn)營(yíng)告警閾值時(shí)，所述執(zhí)行模塊包括：執(zhí)行單元，用于執(zhí)行對(duì)所述請(qǐng)求鏈接數(shù)進(jìn)行分析與監(jiān)控操作；發(fā)送單元，用于發(fā)送攜帶有分析與監(jiān)控結(jié)果的告警短信到所述業(yè)務(wù)主機(jī)的管理員。

進(jìn)一步地，在所述流量閾值超過所述異常告警閾值時(shí)，所述執(zhí)行模塊包括：第一獲取單元，用于獲取除所述業(yè)務(wù)主機(jī)之外的所述流量監(jiān)控管理平臺(tái)下的其他業(yè)務(wù)主機(jī)的請(qǐng)求鏈接數(shù)；判斷單元，用于判斷所述業(yè)務(wù)主機(jī)的請(qǐng)求鏈接數(shù)是否超過其他業(yè)務(wù)主機(jī)的不均衡告警閾值比例；第一發(fā)送單元，用于在判斷結(jié)果為是時(shí)，向所述業(yè)務(wù)主機(jī)的管理員 發(fā)送告警短信以及向所述流量監(jiān)控客戶端發(fā)送第一指令，其中，所述第一指令用于觸發(fā)所述流量監(jiān)控客戶端執(zhí)行啟動(dòng)軟件防火墻、關(guān)閉服務(wù)和端口的操作。

進(jìn)一步地，所述執(zhí)行模塊還包括：第二獲取單元，用于在判斷結(jié)果為否時(shí)，繼續(xù)獲取所述流量監(jiān)控客戶端的請(qǐng)求鏈接；篩選單元，用于根據(jù)預(yù)設(shè)設(shè)定的篩選算法對(duì)繼續(xù)獲取的請(qǐng)求鏈接的地址進(jìn)行統(tǒng)計(jì)篩選出危險(xiǎn)地址信息；第二發(fā)送單元，用于在所述流量監(jiān)控管理平臺(tái)判定所述危險(xiǎn)地址信息與本地黑名單中存儲(chǔ)的地址信息匹配，或所述繼續(xù)獲取的請(qǐng)求鏈接超出單鏈接請(qǐng)求閾值時(shí)，向所述業(yè)務(wù)主機(jī)的管理員發(fā)送告警短信，并向所述流量監(jiān)控客戶端發(fā)送第二指令，其中，所述第二指令用于指示觸發(fā)所述流量監(jiān)控客戶端啟動(dòng)軟件防火墻。

根據(jù)本發(fā)明的再一個(gè)方面，提供了一種流量的處理裝置，應(yīng)用于設(shè)置在業(yè)務(wù)主機(jī)上的流量監(jiān)控客戶端側(cè)，包括：第二接收模塊，用于接收流量監(jiān)控管理平臺(tái)發(fā)送的配置信息，其中，所述配置信息中攜帶有在預(yù)定時(shí)間內(nèi)指示流量狀態(tài)的告警閾值，所述告警閾值包括：正常運(yùn)營(yíng)告警閾值、異常告警閾值；比較模塊，用于將所述預(yù)定時(shí)間內(nèi)所述業(yè)務(wù)主機(jī)的流量閾值與所述告警閾值進(jìn)行比較；上報(bào)模塊，用于在所述流量閾值超過所述告警閾值時(shí)，向所述管理平臺(tái)上報(bào)告警信息和所述業(yè)務(wù)主機(jī)當(dāng)前的請(qǐng)求鏈接數(shù)，其中，所述告警信息用于指示在所述預(yù)定時(shí)間內(nèi)所述流量監(jiān)控客戶端監(jiān)控到所述業(yè)務(wù)主機(jī)的流量閾值超過所述告警閾值；第三接收模塊，用于接收所述流量監(jiān)控管理平臺(tái)依據(jù)所述請(qǐng)求鏈接數(shù)和所述告警信息執(zhí)行的對(duì)所述業(yè)務(wù)主機(jī)的流量防護(hù)策略。

進(jìn)一步地，所述告警閾值包括：正常運(yùn)營(yíng)告警閾值、異常告警閾值。

進(jìn)一步地，在所述流量閾值超過所述異常告警閾值時(shí)，所述第三接收模塊，還用于在所述流量監(jiān)控管理平臺(tái)確定所述業(yè)務(wù)主機(jī)的請(qǐng)求鏈接數(shù)超過其他業(yè)務(wù)主機(jī)的不均衡告警閾值比例時(shí)，接收所述流量監(jiān)控管理平臺(tái)發(fā)送的第一指令，其中，所述第一指令用于觸發(fā)所述流量監(jiān)控客戶端執(zhí)行啟動(dòng)軟件防火墻、關(guān)閉服務(wù)和端口的操作。

進(jìn)一步地，在所述流量閾值超過所述異常告警閾值時(shí)，所述第三接收模塊，還用于在所述流量監(jiān)控管理平臺(tái)確定所述業(yè)務(wù)主機(jī)的請(qǐng)求鏈接數(shù)未超過其他業(yè)務(wù)主機(jī)的不均衡告警閾值比例時(shí)，接收所述流量監(jiān)控管理平臺(tái)發(fā)送的第二指令，其中，所述第二指令用于指示觸發(fā)所述流量監(jiān)控客戶端啟動(dòng)軟件防火墻。

根據(jù)本發(fā)明的又一個(gè)方面，提供了一種流量的處理系統(tǒng)，所述系統(tǒng)包括流量監(jiān)控管理平臺(tái)和設(shè)置在業(yè)務(wù)主機(jī)上的流量監(jiān)控客戶端；其中，所述流量監(jiān)控管理平臺(tái)包括上述應(yīng)用于流量監(jiān)控管理平臺(tái)側(cè)的流量的處理裝置，所述流量監(jiān)控客戶端包括應(yīng)用于設(shè)置在業(yè)務(wù)主機(jī)上的流量監(jiān)控客戶端側(cè)的流量的處理裝置。

在本發(fā)明中，采用流量監(jiān)控管理平臺(tái)向設(shè)置在業(yè)務(wù)主機(jī)上的流量監(jiān)控客戶端發(fā)送配置信息，而該配置信息中攜帶有在預(yù)定時(shí)間內(nèi)指示流量狀態(tài)的告警閾值，在流量監(jiān)控客戶端接收到該告警閾值后，該流量監(jiān)控管理平臺(tái)接收用于指示在預(yù)定時(shí)間內(nèi)流量監(jiān)控客 戶端監(jiān)控到業(yè)務(wù)主機(jī)的流量閾值超過告警閾值的告警信息以及流量監(jiān)控客戶端上報(bào)的請(qǐng)求鏈接數(shù)，流量監(jiān)控管理平臺(tái)根據(jù)該告警信息和請(qǐng)求鏈接數(shù)行對(duì)業(yè)務(wù)主機(jī)的流量防護(hù)策略，可見在發(fā)明中流量監(jiān)控管理平臺(tái)在監(jiān)控到當(dāng)前流量異常時(shí)，執(zhí)行對(duì)業(yè)務(wù)主機(jī)的流量防護(hù)策略，對(duì)用戶請(qǐng)求消息的無影響，解決了相關(guān)技術(shù)中系統(tǒng)設(shè)備受到異常流量攻擊時(shí)，采用流量清洗設(shè)備進(jìn)行處理的問題，而該流量清洗設(shè)備都是造價(jià)比較高，系統(tǒng)整體成本也很大，而采用本發(fā)明的方案能達(dá)到節(jié)約成本的效果。

附圖說明

此處所說明的附圖用來提供對(duì)本發(fā)明的進(jìn)一步理解，構(gòu)成本申請(qǐng)的一部分，本發(fā)明的示意性實(shí)施例及其說明用于解釋本發(fā)明，并不構(gòu)成對(duì)本發(fā)明的不當(dāng)限定。在附圖中：

圖1是根據(jù)本發(fā)明實(shí)施例的流量的處理方法流程圖一；

圖2是根據(jù)本發(fā)明實(shí)施例的流量的處理方法流程圖二；

圖3是根據(jù)本發(fā)明實(shí)施例的流量的處理裝置結(jié)構(gòu)框圖一；

圖4是根據(jù)本發(fā)明實(shí)施例的流量的處理裝置結(jié)構(gòu)框圖二；

圖5是根據(jù)本發(fā)明實(shí)施例的流量的處理系統(tǒng)的結(jié)構(gòu)框圖；

圖6是根據(jù)本發(fā)明可選實(shí)施例的針對(duì)異常流量的監(jiān)控與緩解的系統(tǒng)的結(jié)構(gòu)框圖；

圖7是根據(jù)本發(fā)明可選實(shí)施例的系統(tǒng)下發(fā)配置參數(shù)及系統(tǒng)與終端的心跳?；盍鞒虉D；

圖8是根據(jù)本發(fā)明可選實(shí)施例的當(dāng)流量監(jiān)控客戶端監(jiān)控到當(dāng)前設(shè)備的流量超過流量監(jiān)控管理平臺(tái)下發(fā)的正常運(yùn)營(yíng)告警閥值之后的處理流程圖；

圖9是根據(jù)本發(fā)明可選實(shí)施例的請(qǐng)求流量超過異常告警流量單臺(tái)設(shè)備的訪問流量沒超過負(fù)載均衡閥值啟動(dòng)屏蔽策略流程圖；

圖10是根據(jù)本發(fā)明可選實(shí)施例的請(qǐng)求流量超過異常告警流量單臺(tái)設(shè)備的訪問流量沒超過負(fù)載均衡閥值啟動(dòng)屏蔽策略流程圖。

具體實(shí)施方式

下文中將參考附圖并結(jié)合實(shí)施例來詳細(xì)說明本發(fā)明。需要說明的是，在不沖突的情況下，本申請(qǐng)中的實(shí)施例及實(shí)施例中的特征可以相互組合。

需要說明的是，本發(fā)明的說明書和權(quán)利要求書及上述附圖中的術(shù)語“第一”、“第二”等是用于區(qū)別類似的對(duì)象，而不必用于描述特定的順序或先后次序。

在本實(shí)施例中提供了一種流量的處理方法，圖1是根據(jù)本發(fā)明實(shí)施例的流量的處理方法流程圖一，如圖1所示，該流程包括如下步驟：

步驟S102，流量監(jiān)控管理平臺(tái)向設(shè)置在業(yè)務(wù)主機(jī)上的流量監(jiān)控客戶端發(fā)送配置信息，其中，配置信息中攜帶有在預(yù)定時(shí)間內(nèi)指示流量狀態(tài)的告警閾值；

步驟S104，流量監(jiān)控管理平臺(tái)接收流量監(jiān)控客戶端上報(bào)的告警信息和業(yè)務(wù)主機(jī)當(dāng)前的請(qǐng)求鏈接數(shù)，其中，告警信息用于指示在預(yù)定時(shí)間內(nèi)流量監(jiān)控客戶端監(jiān)控到業(yè)務(wù)主機(jī)的流量閾值超過告警閾值；

步驟S106，流量監(jiān)控管理平臺(tái)依據(jù)請(qǐng)求鏈接數(shù)和告警信息觸發(fā)執(zhí)行對(duì)業(yè)務(wù)主機(jī)的流量防護(hù)策略。

通過上述步驟S102至步驟S106，采用流量監(jiān)控管理平臺(tái)向設(shè)置在業(yè)務(wù)主機(jī)上的流量監(jiān)控客戶端發(fā)送配置信息，而該配置信息中攜帶有在預(yù)定時(shí)間內(nèi)指示流量狀態(tài)的告警閾值，在流量監(jiān)控客戶端接收到該告警閾值后，該流量監(jiān)控管理平臺(tái)接收用于指示在預(yù)定時(shí)間內(nèi)流量監(jiān)控客戶端監(jiān)控到業(yè)務(wù)主機(jī)的流量閾值超過告警閾值的告警信息以及流量監(jiān)控客戶端上報(bào)的請(qǐng)求鏈接數(shù)，流量監(jiān)控管理平臺(tái)根據(jù)該告警信息和請(qǐng)求鏈接數(shù)行對(duì)業(yè)務(wù)主機(jī)的流量防護(hù)策略，可見在本實(shí)施例中流量監(jiān)控管理平臺(tái)在監(jiān)控到當(dāng)前流量異常時(shí)，執(zhí)行對(duì)業(yè)務(wù)主機(jī)的流量防護(hù)策略，對(duì)用戶請(qǐng)求消息的無影響，解決了相關(guān)技術(shù)中系統(tǒng)設(shè)備受到異常流量攻擊時(shí)，需要采用流量清洗設(shè)備進(jìn)行處理的問題，而該流量清洗設(shè)備都是造價(jià)比較高，系統(tǒng)整體成本也很大，而采用本實(shí)施例的方案能夠達(dá)到節(jié)約成本的效果。

對(duì)于本實(shí)施例中涉及到的告警閾值可以是：正常運(yùn)營(yíng)告警閾值、異常告警閾值。下面將結(jié)合該告警閾值的不同進(jìn)行相應(yīng)的描述；在流量閾值超過正常運(yùn)營(yíng)告警閾值，且沒有超過異常告警閾值時(shí)，也就是說正常運(yùn)營(yíng)告警閾值小于異常告警閾值，本實(shí)施例步驟106中涉及到的流量監(jiān)控管理平臺(tái)依據(jù)請(qǐng)求鏈接數(shù)和告警信息觸發(fā)執(zhí)行對(duì)業(yè)務(wù)主機(jī)的流量防護(hù)策略的方式，可以通過如下方式來實(shí)現(xiàn)：

步驟S11，流量監(jiān)控管理平臺(tái)執(zhí)行對(duì)請(qǐng)求鏈接數(shù)進(jìn)行分析與監(jiān)控操作；

步驟S12，流量監(jiān)控管理平臺(tái)發(fā)送攜帶有分析與監(jiān)控結(jié)果的告警短信到業(yè)務(wù)主機(jī)的管理員。

通過該步驟S11和步驟S12可知，在在流量閾值超過正常運(yùn)營(yíng)告警閾值且沒有超過異常告警閾值時(shí)，流量監(jiān)控管理平臺(tái)執(zhí)行對(duì)請(qǐng)求鏈接數(shù)進(jìn)行分析與監(jiān)控操作，并以告警短信的形式向業(yè)務(wù)主機(jī)的管理員通知當(dāng)前業(yè)務(wù)主機(jī)的流量的狀態(tài)。

而在流量閾值超過異常告警閾值時(shí)，本實(shí)施例步驟S106中涉及到的流量監(jiān)控管理平臺(tái)依據(jù)請(qǐng)求鏈接數(shù)和告警信息觸發(fā)執(zhí)行對(duì)業(yè)務(wù)主機(jī)的流量防護(hù)策略的方式，可以通過如下方式來實(shí)現(xiàn)：

步驟S21：流量監(jiān)控管理平臺(tái)獲取除業(yè)務(wù)主機(jī)之外的流量監(jiān)控管理平臺(tái)下的其他業(yè)務(wù)主機(jī)的請(qǐng)求鏈接數(shù)；

步驟S22：流量監(jiān)控管理平臺(tái)判斷業(yè)務(wù)主機(jī)的請(qǐng)求鏈接數(shù)是否超過其他業(yè)務(wù)主機(jī)的不均衡告警閾值比例；

步驟S23：在判斷結(jié)果為是時(shí)，流量監(jiān)控管理平臺(tái)向業(yè)務(wù)主機(jī)的管理員發(fā)送告警短信以及向流量監(jiān)控客戶端發(fā)送第一指令，其中，第一指令用于觸發(fā)流量監(jiān)控客戶端執(zhí)行啟動(dòng)軟件防火墻、關(guān)閉服務(wù)和端口的操作。

步驟S24：在判斷結(jié)果為否時(shí)，流量監(jiān)控管理平臺(tái)繼續(xù)獲取流量監(jiān)控客戶端的請(qǐng)求鏈接；

步驟S25：流量監(jiān)控管理平臺(tái)根據(jù)預(yù)設(shè)設(shè)定的篩選算法對(duì)繼續(xù)獲取的請(qǐng)求鏈接的地址進(jìn)行統(tǒng)計(jì)篩選出危險(xiǎn)地址信息；

步驟S26：在流量監(jiān)控管理平臺(tái)判定危險(xiǎn)地址信息與本地黑名單中存儲(chǔ)的地址信息匹配，或繼續(xù)獲取的請(qǐng)求鏈接超出單鏈接請(qǐng)求閾值時(shí)，流量監(jiān)控管理平臺(tái)向業(yè)務(wù)主機(jī)的管理員發(fā)送告警短信，并向流量監(jiān)控客戶端發(fā)送第二指令，其中，第二指令用于指示觸發(fā)流量監(jiān)控客戶端啟動(dòng)軟件防火墻。

對(duì)于上述步驟S21至步驟S26可知，在當(dāng)前業(yè)務(wù)主機(jī)的流量超過了異常告警閾值時(shí)，分兩種場(chǎng)景執(zhí)行相應(yīng)的流量防護(hù)策略，在業(yè)務(wù)主機(jī)的請(qǐng)求鏈接數(shù)超過其他業(yè)務(wù)主機(jī)的不均衡告警閾值比例時(shí)，說明此時(shí)業(yè)務(wù)主機(jī)收到了嚴(yán)重的異常流量攻擊，因此該流量監(jiān)控管理平臺(tái)向流量監(jiān)控客戶端發(fā)送停止服務(wù)指令，也就是關(guān)閉一切對(duì)外服務(wù)端口，并啟動(dòng)軟件防火墻屏蔽訪問請(qǐng)求；而在業(yè)務(wù)主機(jī)的請(qǐng)求鏈接數(shù)未超過其他業(yè)務(wù)主機(jī)的不均衡告警閾值比例時(shí)，說明此時(shí)業(yè)務(wù)主機(jī)還可以通過自身的防御策略來阻止異常流量的攻擊，因此該流量監(jiān)控管理平臺(tái)向業(yè)務(wù)主機(jī)下發(fā)啟用軟件防火墻的指令，來增加ACL訪問控制策略。

需要說明的是，正常情況下，業(yè)務(wù)主機(jī)承受的訪問請(qǐng)求是通過負(fù)載均衡設(shè)備(硬件F5或者是業(yè)務(wù)管理平臺(tái)動(dòng)態(tài)負(fù)載均衡)下發(fā)給每臺(tái)業(yè)務(wù)設(shè)備的，不管采用什么方式，其目的是為了確保每臺(tái)業(yè)務(wù)主機(jī)上的負(fù)載是均衡的。如果某一臺(tái)業(yè)務(wù)主機(jī)的訪問流量遠(yuǎn)遠(yuǎn)超過其他業(yè)務(wù)主機(jī)，這個(gè)就需要考慮這臺(tái)設(shè)備是否被攻擊了，因?yàn)檎Ｇ闆r下各業(yè)務(wù)主機(jī)的訪問流量都是均衡的。不均衡告警閾值就是當(dāng)前業(yè)務(wù)主機(jī)流量與其他業(yè)務(wù)主機(jī)流量總量的比值。舉例來說，目前有10臺(tái)主機(jī)，目前總體訪問流量為100線，那平均到每臺(tái)設(shè)備上的訪問流量應(yīng)該在10線上下，每臺(tái)設(shè)備的不均衡告警閥值都在10％左右，如果某臺(tái)業(yè)務(wù)主機(jī)流量異常增加到200線，那這臺(tái)業(yè)務(wù)主機(jī)的不均衡告警閥值就是200/100*100％＝200％。

圖2是根據(jù)本發(fā)明實(shí)施例的流量的處理方法流程圖二，如圖2所示，該流程包括如下步驟：

步驟S202，設(shè)置在業(yè)務(wù)主機(jī)上的流量監(jiān)控客戶端接收流量監(jiān)控管理平臺(tái)發(fā)送的配 置信息，其中，配置信息中攜帶有在預(yù)定時(shí)間內(nèi)指示流量狀態(tài)的告警閾值；

步驟S204，流量監(jiān)控客戶端將預(yù)定時(shí)間內(nèi)業(yè)務(wù)主機(jī)的流量閾值與告警閾值進(jìn)行比較；

步驟S206，流量監(jiān)控客戶端向管理平臺(tái)上報(bào)告警信息和業(yè)務(wù)主機(jī)當(dāng)前的請(qǐng)求鏈接數(shù)，其中，告警信息用于指示在預(yù)定時(shí)間內(nèi)流量監(jiān)控客戶端監(jiān)控到業(yè)務(wù)主機(jī)的流量閾值超過告警閾值。

步驟S208，流量監(jiān)控客戶端接收流量監(jiān)控管理平臺(tái)依據(jù)請(qǐng)求鏈接數(shù)和告警信息執(zhí)行的對(duì)業(yè)務(wù)主機(jī)的流量防護(hù)策略。

在本實(shí)施例的上述步驟S202至步驟S208中，設(shè)置在業(yè)務(wù)主機(jī)上的流量監(jiān)控客戶端將監(jiān)控到業(yè)務(wù)主機(jī)預(yù)定時(shí)間內(nèi)的流量閾值與流量監(jiān)控管理平臺(tái)發(fā)送的配置信息中攜帶的告警閾值進(jìn)行比較，在流量閾值超過告警閾值時(shí)，流量監(jiān)控客戶端向管理平臺(tái)上報(bào)告警信息和業(yè)務(wù)主機(jī)當(dāng)前的請(qǐng)求鏈接數(shù)，進(jìn)而流量監(jiān)控客戶端接收流量監(jiān)控管理平臺(tái)依據(jù)請(qǐng)求鏈接數(shù)和告警信息執(zhí)行的對(duì)業(yè)務(wù)主機(jī)的流量防護(hù)策略，以減少異常流量對(duì)業(yè)務(wù)主機(jī)的攻擊。

對(duì)于本實(shí)施例中涉及到的告警閾值可以是：正常運(yùn)營(yíng)告警閾值、異常告警閾值。

而在流量閾值超過異常告警閾值時(shí)，本實(shí)施例步驟S208中的流量監(jiān)控客戶端接收流量監(jiān)控管理平臺(tái)依據(jù)請(qǐng)求鏈接數(shù)和告警信息執(zhí)行對(duì)業(yè)務(wù)主機(jī)的流量防護(hù)策略的方式可以通過如下方式來實(shí)現(xiàn)：在流量監(jiān)控管理平臺(tái)確定業(yè)務(wù)主機(jī)的請(qǐng)求鏈接數(shù)超過其他業(yè)務(wù)主機(jī)的不均衡告警閾值比例時(shí)，流量監(jiān)控客戶端接收流量監(jiān)控管理平臺(tái)發(fā)送的第一指令，其中，第一指令用于觸發(fā)流量監(jiān)控客戶端執(zhí)行啟動(dòng)軟件防火墻、關(guān)閉服務(wù)和端口的操作。

而在流量閾值超過異常告警閾值時(shí)，本實(shí)施例中步驟S208的流量監(jiān)控客戶端接收流量監(jiān)控管理平臺(tái)依據(jù)請(qǐng)求鏈接數(shù)和告警信息執(zhí)行對(duì)業(yè)務(wù)主機(jī)的流量防護(hù)策略的方式可以通過如下方式來實(shí)現(xiàn)：在流量監(jiān)控管理平臺(tái)確定業(yè)務(wù)主機(jī)的請(qǐng)求鏈接數(shù)未超過其他業(yè)務(wù)主機(jī)的不均衡告警閾值比例時(shí)，流量監(jiān)控客戶端接收流量監(jiān)控管理平臺(tái)發(fā)送的第二指令，其中，第二指令用于指示觸發(fā)流量監(jiān)控客戶端啟動(dòng)軟件防火墻。

通過以上的實(shí)施方式的描述，本領(lǐng)域的技術(shù)人員可以清楚地了解到根據(jù)上述實(shí)施例的方法可借助軟件加必需的通用硬件平臺(tái)的方式來實(shí)現(xiàn)，當(dāng)然也可以通過硬件，但很多情況下前者是更佳的實(shí)施方式。基于這樣的理解，本發(fā)明的技術(shù)方案本質(zhì)上或者說對(duì)現(xiàn)有技術(shù)做出貢獻(xiàn)的部分可以以軟件產(chǎn)品的形式體現(xiàn)出來，該計(jì)算機(jī)軟件產(chǎn)品存儲(chǔ)在一個(gè)存儲(chǔ)介質(zhì)(如ROM/RAM、磁碟、光盤)中，包括若干指令用以使得一臺(tái)終端設(shè)備(可以是手機(jī)，計(jì)算機(jī)，服務(wù)器，或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā)明各個(gè)實(shí)施例所述的方法。

在本實(shí)施例中還提供了一種流量的處理裝置，該裝置用于實(shí)現(xiàn)上述實(shí)施例及優(yōu)選實(shí) 施方式，已經(jīng)進(jìn)行過說明的不再贅述。如以下所使用的，術(shù)語“模塊”可以實(shí)現(xiàn)預(yù)定功能的軟件和/或硬件的組合。盡管以下實(shí)施例所描述的裝置較佳地以軟件來實(shí)現(xiàn)，但是硬件，或者軟件和硬件的組合的實(shí)現(xiàn)也是可能并被構(gòu)想的。

圖3是根據(jù)本發(fā)明實(shí)施例的流量的處理裝置結(jié)構(gòu)框圖一，該裝置應(yīng)用于流量監(jiān)控管理平臺(tái)側(cè)，如圖3所示，該裝置包括：發(fā)送模塊32，用于向設(shè)置在業(yè)務(wù)主機(jī)上的流量監(jiān)控客戶端發(fā)送配置信息，其中，配置信息中攜帶有在預(yù)定時(shí)間內(nèi)指示流量狀態(tài)的告警閾值；第一接收模塊34，與發(fā)送模塊32耦合連接，用于接收流量監(jiān)控客戶端上報(bào)的告警信息和業(yè)務(wù)主機(jī)當(dāng)前的請(qǐng)求鏈接數(shù)，其中，告警信息用于指示在預(yù)定時(shí)間內(nèi)流量監(jiān)控客戶端監(jiān)控到業(yè)務(wù)主機(jī)的流量閾值超過告警閾值；執(zhí)行模塊36，與第一接收模塊34耦合連接，用于依據(jù)請(qǐng)求鏈接數(shù)和告警信息觸發(fā)執(zhí)行對(duì)業(yè)務(wù)主機(jī)的流量防護(hù)策略。

對(duì)于本實(shí)施例中涉及到的告警閾值可以是：正常運(yùn)營(yíng)告警閾值、異常告警閾值。

可選地，在流量閾值超過正常運(yùn)營(yíng)告警閾值時(shí)，該執(zhí)行模塊36包括：執(zhí)行單元，用于執(zhí)行對(duì)請(qǐng)求鏈接數(shù)進(jìn)行分析與監(jiān)控操作；發(fā)送單元，與執(zhí)行單元耦合連接，用于發(fā)送攜帶有分析與監(jiān)控結(jié)果的告警短信到業(yè)務(wù)主機(jī)的管理員。

可選地，在流量閾值超過異常告警閾值時(shí)，該執(zhí)行模塊36包括：第一獲取單元，用于獲取除業(yè)務(wù)主機(jī)之外的流量監(jiān)控管理平臺(tái)下的其他業(yè)務(wù)主機(jī)的請(qǐng)求鏈接數(shù)；判斷單元，與第一獲取單元耦合連接，用于判斷業(yè)務(wù)主機(jī)的請(qǐng)求鏈接數(shù)是否超過其他業(yè)務(wù)主機(jī)的不均衡告警閾值比例；第一發(fā)送單元，與判斷單元耦合連接，用于在判斷結(jié)果為是時(shí)，向業(yè)務(wù)主機(jī)的管理員發(fā)送告警短信以及向流量監(jiān)控客戶端發(fā)送第一指令，其中，第一指令用于觸發(fā)流量監(jiān)控客戶端執(zhí)行啟動(dòng)軟件防火墻、關(guān)閉服務(wù)和端口的操作。

第二獲取單元，與判斷單元耦合連接，用于在判斷結(jié)果為否時(shí)，繼續(xù)獲取流量監(jiān)控客戶端的請(qǐng)求鏈接；篩選單元，用于根據(jù)預(yù)設(shè)設(shè)定的篩選算法對(duì)繼續(xù)獲取的請(qǐng)求鏈接的地址進(jìn)行統(tǒng)計(jì)篩選出危險(xiǎn)地址信息；第二發(fā)送單元，與第二獲取單元耦合連接，用于在流量監(jiān)控管理平臺(tái)判定危險(xiǎn)地址信息與本地黑名單中存儲(chǔ)的地址信息匹配，或繼續(xù)獲取的請(qǐng)求鏈接超出單鏈接請(qǐng)求閾值時(shí)，向業(yè)務(wù)主機(jī)的管理員發(fā)送告警短信，并向流量監(jiān)控客戶端發(fā)送第二指令，其中，第二指令用于指示觸發(fā)流量監(jiān)控客戶端啟動(dòng)軟件防火墻。

圖4是根據(jù)本發(fā)明實(shí)施例的流量的處理裝置結(jié)構(gòu)框圖二，該裝置應(yīng)用于設(shè)置在業(yè)務(wù)主機(jī)上的流量監(jiān)控客戶端側(cè)，如圖4所示，該裝置包括：第二接收模塊42，用于接收流量監(jiān)控管理平臺(tái)發(fā)送的配置信息，其中，配置信息中攜帶有在預(yù)定時(shí)間內(nèi)指示流量狀態(tài)的告警閾值，比較模塊44，與第二接收模塊42耦合連接，用于將預(yù)定時(shí)間內(nèi)業(yè)務(wù)主機(jī)的流量閾值與告警閾值進(jìn)行比較；上報(bào)模塊46，與比較模塊44耦合連接，用于在流量閾值超過告警閾值時(shí)，向管理平臺(tái)上報(bào)告警信息和業(yè)務(wù)主機(jī)當(dāng)前的請(qǐng)求鏈接數(shù)，其中，告警信息用于指示在預(yù)定時(shí)間內(nèi)流量監(jiān)控客戶端監(jiān)控到業(yè)務(wù)主機(jī)的流量閾值超過告警閾值；第三接收模塊48，與上報(bào)模塊46耦合連接，用于接收流量監(jiān)控管理平臺(tái)依據(jù)請(qǐng) 求鏈接數(shù)和告警信息執(zhí)行的對(duì)業(yè)務(wù)主機(jī)的流量防護(hù)策略。

可選地，告警閾值包括：正常運(yùn)營(yíng)告警閾值、異常告警閾值。

可選地，在流量閾值超過異常告警閾值時(shí)，第三接收模塊，還用于在流量監(jiān)控管理平臺(tái)確定業(yè)務(wù)主機(jī)的請(qǐng)求鏈接數(shù)超過其他業(yè)務(wù)主機(jī)的不均衡告警閾值比例時(shí)，接收流量監(jiān)控管理平臺(tái)發(fā)送的第一指令，其中，第一指令用于觸發(fā)流量監(jiān)控客戶端執(zhí)行啟動(dòng)軟件防火墻、關(guān)閉服務(wù)和端口的操作。

可選地，在流量閾值超過異常告警閾值時(shí)，第三接收模塊，還用于在流量監(jiān)控管理平臺(tái)確定業(yè)務(wù)主機(jī)的請(qǐng)求鏈接數(shù)未超過其他業(yè)務(wù)主機(jī)的不均衡告警閾值比例時(shí)，接收流量監(jiān)控管理平臺(tái)發(fā)送的第二指令，其中，第二指令用于指示觸發(fā)流量監(jiān)控客戶端啟動(dòng)軟件防火墻。

圖5是根據(jù)本發(fā)明實(shí)施例的流量的處理系統(tǒng)的結(jié)構(gòu)框圖，如圖5所示，該系統(tǒng)包括上述實(shí)施例中涉及到的流量監(jiān)控管理平臺(tái)和以及設(shè)置在業(yè)務(wù)主機(jī)上的流量監(jiān)控客戶端。

下面結(jié)合本發(fā)明實(shí)施例的可選實(shí)施例對(duì)本發(fā)明進(jìn)行舉例說明；

本可選實(shí)施例提供了一種針對(duì)異常流量的監(jiān)控與緩解的系統(tǒng)，圖6是根據(jù)本發(fā)明可選實(shí)施例的針對(duì)異常流量的監(jiān)控與緩解的系統(tǒng)的結(jié)構(gòu)框圖，如圖6所示，該系統(tǒng)至少包括流量監(jiān)控業(yè)務(wù)管理平臺(tái)、流量監(jiān)控客戶端以及消息接口模塊，其中：

流量監(jiān)控業(yè)務(wù)管理平臺(tái)，主要用于定義一定時(shí)間段內(nèi)的流量監(jiān)控正常運(yùn)營(yíng)告警閥值、異常告警閥值以及不均衡告警閥值比例，并通過消息接口模塊把正常運(yùn)營(yíng)流量告警閥值、異常流量告警閥值及告警間隔時(shí)段下發(fā)給流量客戶端。定期對(duì)流量監(jiān)控客戶端進(jìn)行存活監(jiān)測(cè)，以及定期收集、處理業(yè)務(wù)主機(jī)上部署的流量監(jiān)控客戶端上報(bào)的當(dāng)前的鏈接匯總情況，并接收流量監(jiān)控客戶端上報(bào)的告警信息，包括但不限于請(qǐng)求的源地址、目的地址、源端口、目的端口以及協(xié)議類型，以確定當(dāng)前流量的基本情況，并且及時(shí)對(duì)這些信息進(jìn)行統(tǒng)計(jì)、分析，根據(jù)一定的算法，與系統(tǒng)保留的歷史記錄及黑名單進(jìn)行比對(duì)，以確認(rèn)是否通知流量監(jiān)控客戶端啟用軟件防火墻(IPTable)以及設(shè)置防火墻防護(hù)策略。

流量監(jiān)控客戶端，是指安裝在分布式系統(tǒng)的業(yè)務(wù)主機(jī)上，用于監(jiān)控、獲取向本機(jī)請(qǐng)求的流量信息，記錄向本機(jī)請(qǐng)求的源地址、目的地址、源端口、目的端口以及協(xié)議類型，并通過消息接口模塊上報(bào)給流量監(jiān)控業(yè)務(wù)管理平臺(tái)，并且更新流量監(jiān)控業(yè)務(wù)管理平臺(tái)下發(fā)的告警閥值及告警間隔時(shí)段。流量監(jiān)控客戶端定期向流量監(jiān)控管理平臺(tái)上報(bào)當(dāng)前流量情況匯總信息，當(dāng)根據(jù)流量監(jiān)控管理平臺(tái)下發(fā)的一段時(shí)間段內(nèi)的請(qǐng)求流量超過正常運(yùn)營(yíng)告警閥值時(shí)，流量監(jiān)控客戶端向流量監(jiān)控業(yè)務(wù)管理平臺(tái)上報(bào)告警信息以及請(qǐng)求鏈接情況；當(dāng)請(qǐng)求流量超過異常流量告警閥值時(shí)，流量監(jiān)控客戶端向流量監(jiān)控業(yè)務(wù)管理平臺(tái)上報(bào)異常告警及當(dāng)前請(qǐng)求的鏈接，并且等待流量監(jiān)控業(yè)務(wù)管理平臺(tái)的防控指令，并執(zhí)行管理平臺(tái)下發(fā)的防火墻策略指令。

消息接口模塊，包括流量監(jiān)控業(yè)務(wù)管理平臺(tái)向流量監(jiān)控客戶端的參數(shù)、防火墻控制指令下發(fā)接口以及流量監(jiān)控客戶端向流量監(jiān)控業(yè)務(wù)管理平臺(tái)的訪問鏈接信息上報(bào)兩個(gè)接口。

結(jié)合本實(shí)施例中該系統(tǒng)的模塊，對(duì)本可選實(shí)施例中針對(duì)異常流量的監(jiān)控與緩解的方法進(jìn)行相應(yīng)的描述，該方法的步驟包括：

步驟S302：系統(tǒng)管理員在流量監(jiān)控業(yè)務(wù)管理平臺(tái)上維護(hù)正常運(yùn)營(yíng)告警閥值以及異常流量告警閥值，下發(fā)給流量監(jiān)控客戶端并不定期更新，并且啟動(dòng)對(duì)流量監(jiān)控客戶端的存活監(jiān)控，流量監(jiān)控客戶端接受并保存流量監(jiān)控管理平臺(tái)下發(fā)的正常運(yùn)營(yíng)告警閥值以及異常流量告警閥值，并根據(jù)流量監(jiān)控管理平臺(tái)的請(qǐng)求上報(bào)當(dāng)前客戶端存活狀態(tài)；

步驟S304：流量監(jiān)控客戶端監(jiān)控當(dāng)前請(qǐng)求的訪問流量情況，定期向管理平臺(tái)上報(bào)流量匯總統(tǒng)計(jì)信息。當(dāng)發(fā)現(xiàn)當(dāng)前請(qǐng)求流量在一定時(shí)間段內(nèi)超過流量監(jiān)控業(yè)務(wù)管理平臺(tái)定義的正常運(yùn)營(yíng)告警閥值，立即啟動(dòng)向流量監(jiān)控業(yè)務(wù)管理平臺(tái)上報(bào)告警信息并且上報(bào)當(dāng)前請(qǐng)求鏈接情況，流量監(jiān)控管理平臺(tái)接受到流量監(jiān)控客戶端上報(bào)的告警信息之后，啟動(dòng)對(duì)這臺(tái)設(shè)備請(qǐng)求鏈接的分析與監(jiān)控，并且向設(shè)備管理員發(fā)送告警短信；

步驟S306：流量監(jiān)控客戶端繼續(xù)監(jiān)控當(dāng)前請(qǐng)求的訪問流量情況，當(dāng)發(fā)現(xiàn)當(dāng)前請(qǐng)求流量在一定時(shí)間段內(nèi)超過流量監(jiān)控管理平臺(tái)下發(fā)的異常流量告警閥值時(shí)，立即啟動(dòng)向流量監(jiān)控業(yè)務(wù)管理平臺(tái)上報(bào)異常告警信息及當(dāng)前請(qǐng)求鏈接情況，流量監(jiān)控管理平臺(tái)接收到流量監(jiān)控客戶端上報(bào)的告警信息之后，首先啟動(dòng)負(fù)載均衡情況分析，分析其他設(shè)備的請(qǐng)求情況，當(dāng)發(fā)現(xiàn)當(dāng)前設(shè)備的請(qǐng)求鏈接數(shù)超過與其他設(shè)備的不均衡告警閥值比例，立即向這臺(tái)設(shè)備下發(fā)停止服務(wù)指令，關(guān)閉一切對(duì)外服務(wù)端口，啟動(dòng)軟件防火墻屏蔽訪問請(qǐng)求，并且向設(shè)備管理員發(fā)送服務(wù)異常告警短信。流量監(jiān)控客戶端接收到防控指令之后立即啟動(dòng)關(guān)閉服務(wù)、端口操作，并且啟動(dòng)軟件防火墻(IP Table)屏蔽外界訪問。

步驟S308：如當(dāng)前設(shè)備的請(qǐng)求鏈接數(shù)沒有超過與其他設(shè)備的不均衡告警閥值，流量監(jiān)控管理平臺(tái)隨即啟動(dòng)對(duì)異常流量的分析與統(tǒng)計(jì)，獲取異常流量訪問告警之后的請(qǐng)求鏈接信息，分析請(qǐng)求鏈接的源地址以及目的端口，根據(jù)系統(tǒng)預(yù)先定義的篩選算法對(duì)源地址以及目的端口進(jìn)行統(tǒng)計(jì)，并且根據(jù)系統(tǒng)定義的黑名單與訪問源地址進(jìn)行匹配，如果發(fā)現(xiàn)源地址在黑名單內(nèi)，或者源地址的訪問請(qǐng)求超過系統(tǒng)定義的單鏈接請(qǐng)求閥值，立即向這臺(tái)設(shè)備下發(fā)啟用軟件防火墻指令，增加ACL訪問控制策略，屏蔽該源地址的一切訪問請(qǐng)求；流量監(jiān)控客戶端接收到該指令之后，立即啟動(dòng)軟件防火墻(IP Table)并且屏蔽該鏈接的一切訪問，以緩解因異常攻擊對(duì)系統(tǒng)造成的影響，并繼續(xù)監(jiān)控系統(tǒng)的請(qǐng)求鏈接直至系統(tǒng)訪問流量恢復(fù)正常。

對(duì)于上述步驟S302可以通過如下方式來實(shí)現(xiàn)

步驟S31：系統(tǒng)管理員在系統(tǒng)上維護(hù)基礎(chǔ)信息，包括正常運(yùn)營(yíng)告警閥值以及異常流量告警閥值以及每種告警閥值的間隔時(shí)段，定義不均衡告警閥值比例；

步驟S32：流量監(jiān)控管理平臺(tái)向流量監(jiān)控客戶端發(fā)送心跳消息進(jìn)行存活監(jiān)控，流量監(jiān)控客戶端根據(jù)平臺(tái)請(qǐng)求定期上報(bào)當(dāng)前狀態(tài)；

步驟S33：流量監(jiān)控管理平臺(tái)如果發(fā)現(xiàn)流量監(jiān)控客戶端心跳異常，立即向設(shè)備管理員發(fā)送告警短信提醒。

對(duì)于上述步驟S304可以通過如下方式來實(shí)現(xiàn)：

步驟S41：流量監(jiān)控客戶端監(jiān)控當(dāng)前請(qǐng)求流量，定期向流量監(jiān)控管理平臺(tái)上報(bào)當(dāng)前流量情況匯總信息(不含請(qǐng)求詳細(xì)信息)；

步驟S42：當(dāng)流量監(jiān)控客戶端發(fā)現(xiàn)當(dāng)前請(qǐng)求流量在一定時(shí)間段內(nèi)超過流量監(jiān)控業(yè)務(wù)管理平臺(tái)定義的正常運(yùn)營(yíng)告警閥值，立即啟動(dòng)向流量監(jiān)控業(yè)務(wù)管理平臺(tái)上報(bào)告警信息并且上報(bào)當(dāng)前請(qǐng)求鏈接情況，包括請(qǐng)求的源地址、目的地址、源端口、目的端口以及協(xié)議類型；

步驟S43：流量監(jiān)控管理平臺(tái)接受到流量監(jiān)控客戶端上報(bào)的告警信息之后，啟動(dòng)對(duì)這向設(shè)備管理員發(fā)送告警短信；

對(duì)于上述步驟S306可以通過如下方式來實(shí)現(xiàn)：

步驟S51：流量監(jiān)控客戶端監(jiān)控當(dāng)前請(qǐng)求的訪問流量情況，當(dāng)發(fā)現(xiàn)當(dāng)前請(qǐng)求流量在一定時(shí)間段內(nèi)超過流量監(jiān)控管理平臺(tái)下發(fā)的異常流量告警閥值時(shí)，立即啟動(dòng)向流量監(jiān)控業(yè)務(wù)管理平臺(tái)上報(bào)異常告警信息及當(dāng)前請(qǐng)求鏈接情況，包括當(dāng)前訪問鏈接的源地址、目的地址、端口訪問類型等信息；

步驟S52：流量監(jiān)控管理平臺(tái)接收到流量監(jiān)控客戶端上報(bào)的告警信息之后，首先啟動(dòng)負(fù)載均衡情況分析，分析其他設(shè)備的請(qǐng)求情況，當(dāng)發(fā)現(xiàn)當(dāng)前設(shè)備的請(qǐng)求鏈接數(shù)超過與其他設(shè)備的不均衡告警閥值比例，立即向這臺(tái)設(shè)備下發(fā)停止服務(wù)指令，關(guān)閉一切對(duì)外服務(wù)端口，啟動(dòng)軟件防火墻屏蔽訪問請(qǐng)求，并且向設(shè)備管理員發(fā)送服務(wù)異常告警短信。

步驟S53：流量監(jiān)控客戶端接收到防控指令之后立即啟動(dòng)關(guān)閉服務(wù)、端口操作，并且啟動(dòng)軟件防火墻(IP Table)屏蔽外界訪問。

對(duì)于上述步驟S308可以通過如下方式來實(shí)現(xiàn)：

步驟S61：流量監(jiān)控管理平臺(tái)判斷如當(dāng)前設(shè)備的請(qǐng)求鏈接數(shù)沒有超過與其他設(shè)備的不均衡告警閥值，則啟動(dòng)對(duì)異常流量的分析與統(tǒng)計(jì)，獲取異常流量訪問告警之后的請(qǐng)求鏈接信息，分析請(qǐng)求鏈接的源地址以及目的端口；

步驟S62：流量監(jiān)控管理平臺(tái)根據(jù)系統(tǒng)預(yù)先定義的篩選算法對(duì)源地址以及目的端口進(jìn)行統(tǒng)計(jì)，并且根據(jù)系統(tǒng)定義的黑名單與訪問源地址進(jìn)行匹配，如果發(fā)現(xiàn)源地址在黑名單內(nèi)，或者源地址的訪問請(qǐng)求超過系統(tǒng)定義的單鏈接請(qǐng)求閥值，立即向這臺(tái)設(shè)備下發(fā)啟用軟件防火墻指令，增加ACL訪問控制策略，屏蔽該源地址的一切訪問請(qǐng)求；

步驟S63：流量監(jiān)控客戶端接收到該指令之后，立即啟動(dòng)軟件防火墻(IP Table)，屏蔽該鏈接的一切訪問，以緩解因異常攻擊對(duì)系統(tǒng)造成的影響，并繼續(xù)監(jiān)控系統(tǒng)的請(qǐng)求鏈接直至系統(tǒng)訪問流量恢復(fù)正常。

采用本可選實(shí)施例，實(shí)現(xiàn)了一種針對(duì)異常流量監(jiān)控與緩解的系統(tǒng)和方法，可以在系統(tǒng)流量異常或者系統(tǒng)受到外部DDOS攻擊時(shí)可以通過動(dòng)態(tài)啟用系統(tǒng)自身提供的軟件防火墻，來抵御外部的攻擊，有效減少外部攻擊對(duì)系統(tǒng)的影響。并且系統(tǒng)是通過軟件系統(tǒng)實(shí)現(xiàn)了對(duì)外部攻擊的防護(hù)，可以應(yīng)用在大型CDN、視頻等網(wǎng)站，減少硬件投入成本，增強(qiáng)系統(tǒng)的防護(hù)能力。

與目前通用的DDOS攻擊防護(hù)策略相比，目前針對(duì)DDOS攻擊的防護(hù)大多數(shù)是通過專業(yè)的流量清洗設(shè)備，并且在路由器上或者防火墻上做相應(yīng)的策略把請(qǐng)求消息旁路到流量清洗設(shè)備，由流量清洗設(shè)備對(duì)請(qǐng)求流量進(jìn)行過濾。這樣的方式，對(duì)小型局點(diǎn)來說問題不大，但是對(duì)于大型網(wǎng)站，這樣的處理方式不但極大增加了系統(tǒng)的成本，而且系統(tǒng)的性能也會(huì)受到影響。

下面結(jié)合附圖和具體實(shí)施例對(duì)可選實(shí)施例對(duì)本可選實(shí)施例進(jìn)行詳細(xì)的說明。

實(shí)施例1

圖7是根據(jù)本發(fā)明可選實(shí)施例的系統(tǒng)下發(fā)配置參數(shù)及系統(tǒng)與終端的心跳保活流程圖，如圖7所示，該流程包括：

步驟S701，操作員在流量監(jiān)控管理平臺(tái)定義告警閥值，時(shí)間及不均衡告警閥值等參數(shù)；

步驟S702，流量監(jiān)控管理平臺(tái)保存參數(shù)配置；

步驟S703，流量監(jiān)控管理平臺(tái)通過接口機(jī)向流量監(jiān)控客戶端下發(fā)配置參數(shù)；

步驟S704，流量監(jiān)控客戶端保存配置參數(shù)信息；

步驟S705，流量監(jiān)控管理平臺(tái)向流量監(jiān)控客戶端發(fā)送心跳?；钫?qǐng)求；

步驟S706，流量監(jiān)控客戶端向流量監(jiān)控管理平臺(tái)返回心跳?；铐憫?yīng)。

實(shí)施例2

圖8是根據(jù)本發(fā)明可選實(shí)施例的當(dāng)流量監(jiān)控客戶端監(jiān)控到當(dāng)前設(shè)備的流量超過流量監(jiān)控管理平臺(tái)下發(fā)的正常運(yùn)營(yíng)告警閥值之后的處理流程圖，如圖8所示，該流程的步驟包括：

步驟S801，流量監(jiān)控客戶端定期向流量監(jiān)控管理平臺(tái)上報(bào)當(dāng)前流量匯總信息；

步驟S802，流量監(jiān)控管理平臺(tái)保存流量信息；

步驟S803，流量監(jiān)控客戶端比較當(dāng)前流量與正常運(yùn)營(yíng)閥值；

步驟S804，當(dāng)超過正常運(yùn)營(yíng)閥值，向流量監(jiān)控管理平臺(tái)告警；

步驟S805，流量監(jiān)控管理平臺(tái)保存告警信息，并啟動(dòng)監(jiān)控進(jìn)程進(jìn)行監(jiān)控；

步驟S806，流量監(jiān)控管理平臺(tái)向系統(tǒng)管理員發(fā)送告警短信。

實(shí)施例3

該實(shí)施例為當(dāng)前設(shè)備的流量在超過異常運(yùn)營(yíng)告警閥值之后，流量監(jiān)控管理平臺(tái)首先判斷這臺(tái)設(shè)備的流量異常是否是異常流量偏高，以確定外部的訪問流量是否是針對(duì)這臺(tái)設(shè)備。當(dāng)這臺(tái)設(shè)備的請(qǐng)求流量超過其他設(shè)備的負(fù)載均衡閥值時(shí)，流量監(jiān)控管理平臺(tái)向流量監(jiān)控客戶端下發(fā)停止服務(wù)、啟動(dòng)軟件防火墻等相關(guān)措施以避免系統(tǒng)被進(jìn)一步攻擊之后導(dǎo)致癱瘓，圖9是根據(jù)本發(fā)明可選實(shí)施例的請(qǐng)求流量超過異常告警流量單臺(tái)設(shè)備的訪問流量沒超過負(fù)載均衡閥值啟動(dòng)屏蔽策略流程圖，如圖9所示，該流程的步驟包括：

步驟S901，流量監(jiān)控客戶端定期監(jiān)控當(dāng)前請(qǐng)求流量訪問情況；

步驟S902，當(dāng)當(dāng)前設(shè)備的流量超過異常告警流量閥值時(shí)，立即向流量監(jiān)控管理平臺(tái)告警；

步驟S903，流量監(jiān)控管理平臺(tái)比較當(dāng)前設(shè)備與其他設(shè)備流量負(fù)載情況；

步驟S904，當(dāng)發(fā)現(xiàn)這臺(tái)設(shè)備流量超越負(fù)載均衡閥值，開始準(zhǔn)備向這臺(tái)設(shè)備下發(fā)屏蔽策略；

步驟S905，流量監(jiān)控管理平臺(tái)向流量監(jiān)控客戶端發(fā)送訪問屏蔽策略，通知業(yè)務(wù)客戶端關(guān)閉端口、服務(wù)，啟動(dòng)軟件防火墻；

步驟S906，流量監(jiān)控管理平臺(tái)向系統(tǒng)管理員發(fā)送告警短信。

實(shí)施例4

該為當(dāng)前設(shè)備的流量在超過異常運(yùn)營(yíng)告警閥值之后，流量監(jiān)控管理平臺(tái)在排除了當(dāng)前設(shè)備的流量沒有超過異常流量告警閥值之后的防控流程。流量監(jiān)控管理平臺(tái)根據(jù)系統(tǒng)事先定義的篩選算法對(duì)請(qǐng)求地址進(jìn)行統(tǒng)計(jì)，篩選出危險(xiǎn)地址信息，繼而繼續(xù)篩選出超過單鏈接請(qǐng)求閥值的地址，并且與系統(tǒng)中保留的黑名單地址進(jìn)行比對(duì)，過濾出需要屏蔽的地址信息，并且給流量監(jiān)控客戶端發(fā)送啟動(dòng)軟件防火墻，增加ACL策略屏蔽這些地址的指令，圖10是根據(jù)本發(fā)明可選實(shí)施例的請(qǐng)求流量超過異常告警流量單臺(tái)設(shè)備的訪問流量沒超過負(fù)載均衡閥值啟動(dòng)屏蔽策略流程圖，如圖10所示，該流程的步驟包括：

步驟S1001，流量監(jiān)控管理平臺(tái)統(tǒng)計(jì)當(dāng)前訪問鏈接情況，獲取請(qǐng)求鏈接源地址及目的端口；

步驟S1002，流量監(jiān)控管理平臺(tái)根據(jù)事先定義的篩選算法對(duì)請(qǐng)求地址進(jìn)行統(tǒng)計(jì)，篩選出危險(xiǎn)地址信息；

步驟S1003，流量監(jiān)控管理平臺(tái)根據(jù)系統(tǒng)保留的黑名單對(duì)危險(xiǎn)地址進(jìn)行分析；

步驟S1004，流量監(jiān)控管理平臺(tái)篩選出請(qǐng)求超出單鏈接請(qǐng)求閥值的地址或者是在黑名單的地址；

步驟S1005，流量監(jiān)控管理平臺(tái)向流量監(jiān)控客戶端發(fā)送訪問屏蔽策略，通知客戶端啟動(dòng)軟件防火墻，增加ACL策略屏蔽異常請(qǐng)求源地址；

步驟S1006，流量監(jiān)控客戶端根據(jù)管理平臺(tái)的防控策略啟動(dòng)軟件防火墻，增加ACL策略；

步驟S1007，流量監(jiān)控管理平臺(tái)向系統(tǒng)管理員發(fā)送嚴(yán)重告警短信。

需要說明的是，上述各個(gè)模塊是可以通過軟件或硬件來實(shí)現(xiàn)的，對(duì)于后者，可以通過以下方式實(shí)現(xiàn)，但不限于此：上述模塊均位于同一處理器中；或者，上述模塊分別位于多個(gè)處理器中。

本發(fā)明的實(shí)施例還提供了一種存儲(chǔ)介質(zhì)。可選地，在本實(shí)施例中，上述存儲(chǔ)介質(zhì)可以被設(shè)置為存儲(chǔ)用于執(zhí)行以下步驟的程序代碼：

步驟S1，流量監(jiān)控管理平臺(tái)向設(shè)置在業(yè)務(wù)主機(jī)上的流量監(jiān)控客戶端發(fā)送配置信息，其中，配置信息中攜帶有在預(yù)定時(shí)間內(nèi)指示流量狀態(tài)的告警閾值；

步驟S2，流量監(jiān)控管理平臺(tái)接收流量監(jiān)控客戶端上報(bào)的告警信息和業(yè)務(wù)主機(jī)當(dāng)前的請(qǐng)求鏈接數(shù)，其中，告警信息用于指示在預(yù)定時(shí)間內(nèi)流量監(jiān)控客戶端監(jiān)控到業(yè)務(wù)主機(jī)的流量閾值超過告警閾值；

步驟S3，流量監(jiān)控管理平臺(tái)依據(jù)請(qǐng)求鏈接數(shù)和告警信息觸發(fā)執(zhí)行對(duì)業(yè)務(wù)主機(jī)的流量防護(hù)策略。

可選地，本實(shí)施例中的具體示例可以參考上述實(shí)施例及可選實(shí)施方式中所描述的示例，本實(shí)施例在此不再贅述。

顯然，本領(lǐng)域的技術(shù)人員應(yīng)該明白，上述的本發(fā)明的各模塊或各步驟可以用通用的計(jì)算裝置來實(shí)現(xiàn)，它們可以集中在單個(gè)的計(jì)算裝置上，或者分布在多個(gè)計(jì)算裝置所組成的網(wǎng)絡(luò)上，可選地，它們可以用計(jì)算裝置可執(zhí)行的程序代碼來實(shí)現(xiàn)，從而，可以將它們存儲(chǔ)在存儲(chǔ)裝置中由計(jì)算裝置來執(zhí)行，并且在某些情況下，可以以不同于此處的順序執(zhí)行所示出或描述的步驟，或者將它們分別制作成各個(gè)集成電路模塊，或者將它們中的多個(gè)模塊或步驟制作成單個(gè)集成電路模塊來實(shí)現(xiàn)。這樣，本發(fā)明不限制于任何特定的硬件和軟件結(jié)合。

以上所述僅為本發(fā)明的優(yōu)選實(shí)施例而已，并不用于限制本發(fā)明，對(duì)于本領(lǐng)域的技術(shù)人員來說，本發(fā)明可以有各種更改和變化。凡在本發(fā)明的精神和原則之內(nèi)，所作的任何修改、等同替換、改進(jìn)等，均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。