[发明专利]流量攻击的防御处理方法及装置

说明书

本申请公开了一种流量攻击的防御处理方法及装置。其中，该方法包括：获取同一群组内预定数量终端的当前数据传输速率的总和；根据为所述群组分配的带宽和所述总和计算所述群组的剩余带宽；依据所述剩余带宽调整指定阈值，其中，所述指定阈值用于触发为所述群组中的指定终端发布黑洞路由。

技术领域

本发明涉及网络安全领域，具体而言，涉及一种流量攻击的防御处理方法及装置。

背景技术

目前，针对数量流量攻击的情况越来越多，例如，分布式拒绝服务(DistributedDenial of Service，简称为DDoS)攻击的原理是找到被攻击者的资源瓶颈，通过消耗资源的方式达到被攻击者业务不可用的目的。目前互联网业务中，服务器CPU，内存，带宽，数据库等都可能成为资源瓶颈。一般来说，由于带宽成本很高，针对带宽的DDoS攻击，是对云计算服务平台比较严重的攻击方式。

当攻击流量超过业务方的承受范围时，为了不影响同一群组(例如同一机房)的其他业务，业务方有时会通过在运营商网络中发布黑洞路由的方式屏蔽被攻击IP的访问，在骨干网丢弃所有的DDoS流量。目前通常采用的黑洞策略是：根据经验给每个IP设置一个固定的黑洞阈值(比如2Gbps)，当一个IP受攻击流量超过阈值时，发布到该IP的黑洞路由。简单的黑洞阈值设置在云机房没有产生预期的防护DDoS效果。

发明内容

本申请实施例提供了一种流量攻击的防御处理方法及装置，以至少解决不能充分合理地利用资源的技术问题。

根据本申请实施例的一个方面，提供了一种流量攻击的防御处理方法，包括：获取同一群组内预定数量终端的数据传输速率的总和；根据为所述群组分配的带宽和所述总和，计算所述群组的剩余带宽；依据所述剩余带宽调整指定阈值，其中，所述指定阈值用于触发为所述群组中的指定终端发布黑洞路由。

根据本申请实施例的另一方面，还提供了一种流量攻击的防御处理装置，包括：处理模块，用于获取同一群组内预定数量终端的当前数据传输速率的总和，以及根据为所述群组分配的带宽和所述总和计算所述群组的剩余带宽；调整模块，用于依据所述剩余带宽调整指定阈值，其中，所述指定阈值用于触发为所述群组中的指定终端发布黑洞路由。

在本申请实施例中，采用依据群组内的剩余带宽对指定阈值进行实时调整的方式，因此，实现了黑洞阈值的灵活调整，从而可以充分合理地利用资源，进而解决了不能充分合理地利用资源的技术问题。

附图说明

此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：

图1是本申请实施例的一种流量攻击的防御处理方法的计算机终端的硬件结构框图；

图2是根据本申请实施例的一种可选的流量攻击的防御处理方法的流程示意图；

图3为根据本申请实施例的一种可选的黑洞阈值与水位线的关系示意图；

图4为根据本申请实施例的一种可选的流量攻击的防御处理装置的结构框图；

图5是根据本申请实施例的一种可选的计算机终端的结构框图。

具体实施方式

为了使本技术领域的人员更好地理解本发明方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分的实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明保护的范围。