[发明专利]流量控制方法及系统

说明书

本申请公开了一种流量控制方法及系统。其中，该方法包括：获取来自服务提供商侧的流量信息；基于所述流量信息确定发往目的地址的流量数据的流量值，其中，该流量值用于指示来自所述流量数据的所有源地址的总流量大小；比较所述流量值和第一阈值的大小；依据比较结果确定是否对来自所述所有源地址中目标源地址的流量进行限制。本申请解决了通过提高物理带宽的方式防御攻击者，容易由于物理带宽的限制，导致防御效果较差的技术问题。

技术领域

本申请涉及计算机领域，具体而言，涉及一种流量控制方法及系统。

背景技术

目前,机房的物理带宽有限，而攻击者手里的带宽资源已经远超机房水位。为了降低机房风险，并尽可能提高机房防护能力(带宽峰值)，需要借助运营商的能力对攻击源(机房的肉鸡，大规模在一个网段内的攻击者)进行流量压制。根据攻防处理的经验来说，每当有大流量(600Gbps+)攻击时，可以将攻击源简单的分类为，国内机房级别的攻击者、国内零散攻击者和海外攻击者三部分。从占比来看，国内机房级别攻击者和海外攻击者往往可以占到40％～70％之间的攻击量。因此，当将这部分流量进行源头压制以后，剩余的攻击流量便可以交给机房自身进行硬抗。

现有技术中,主要通过近源清洗与设置高防机房的方式对攻击者进行防御。其中，近源清洗是将异常流量清洗设备分散部署在靠近攻击源的位置，每个清洗设备只清理自己的部分，让攻击无法在目的端形成合力。该方案最大的缺点在于需要建设并部署非常多的机房，而且受限于不通机房的不同网络环境，在实施上有难度。而且攻击源具有一定的离散和不确定性，很难做到全区域覆盖。高防机房是一类特殊的机房，相比于其他机房，此类机房提供了非常高与运营商侧连接的带宽上限。与有限的带宽相比，攻击者掌握的资源远远大于机房的防护带宽。因此该方案是在有限的防护水位的情况下能尽可能提供防护，无法突破物理带宽的瓶颈。

针对上述的问题，目前尚未提出有效的解决方案。

发明内容

本申请实施例提供了一种流量控制方法及系统，以至少解决通过提高物理带宽的方式防御攻击者，容易由于物理带宽的限制，导致防御效果较差的技术问题。

根据本申请实施例的一个方面，提供了一种流量控制方法，包括：获取来自服务提供商侧的流量信息；基于所述流量信息确定发往目的地址的流量数据的流量值，其中，该流量值用于指示来自所述流量数据的所有源地址的总流量大小；比较所述流量值和第一阈值的大小；依据比较结果确定是否对来自所述所有源地址中目标源地址的流量进行限制。

根据本申请实施例的一个方面，提供了一种流量控制方法，包括：获取来自所有源地址的流量信息；基于所述流量信息确定发往目的地址的流量数据的流量值，其中，该流量值用于指示来自所述流量数据的所有源地址的总流量大小；在所述流量值大于第一阈值时，从所述流量数据的所有源地址中确定目标源地址，并丢弃所述目标源地址的流量。

根据本申请实施例的一个方面，提供了一种流量控制装置，包括：获取模块，用于获取来自服务提供商侧的流量信息；第一确定模块，用于基于所述流量信息确定发往目的地址的流量数据的流量值，其中，该流量值用于指示来自所述流量数据的所有源地址的总流量大小；比较模块，用于比较所述流量值和第一阈值的大小；第二确定模块，用于依据比较结果确定是否对来自所述所有源地址中目标源地址的流量进行限制。

根据本申请实施例的一个方面，提供了一种系统，包括：处理器；以及存储器，与所述处理器连接，用于为所述处理器提供处理以下处理步骤的指令：获取来自服务提供商侧的流量信息；基于所述流量信息确定发往目的地址的流量数据的流量值，其中，该流量值用于指示来自所述流量数据的所有源地址的总流量大小；比较所述流量值和第一阈值的大小；依据比较结果确定是否对来自所述所有源地址中目标源地址的流量进行限制。