技術領域

本發明涉及互聯網技術領域，特別涉及一種多策略組合加載的流量清洗方法及裝置。

背景技術

流量清洗服務是提供給租用IDC(Internet?Data?Center，互聯網數據中心)服務的政企客戶，針對其發起的DOS(Denial?of?Service，拒絕服務)/DDOS(Distributed?Denial?of?service，分布式拒絕服務攻擊)攻擊的監控、告警和防護的一種網絡安全服務。該服務對進入客戶IDC的數據流量進行實時監控，及時發現包括DOS攻擊在內的異常流量。在不影響正常業務的前提下，清洗掉異常流量。有效滿足客戶對IDC運作連續性的要求。同時該服務通過時間通告、分析報表等服務內容提升客戶網絡流量的可見性和安全狀況的清晰性。

日常的流量過濾系統往往采取過濾策略逐個判斷的清洗框架，從而造成流量僅能通過某個策略過濾，過濾策略之間是或的關系，不能通過同時滿足若干個過濾實施流量清洗。但是業務可能要求更多，需要滿足多個策略復雜組合才清洗流量的應用場景。傳統的流量過濾方法對于這樣的應用場景是無效的。

傳統的流量清洗系統只提供單個策略的加載，用戶可以依次加載每個策略，流量清洗系統根據每個策略逐個清洗流量，從而只支持根據單個策略來判斷是否進行流量清洗，不支持通過多個策略組合判斷是否進行流量清洗。

發明內容

本發明的目的旨在至少解決上述技術缺陷之一。

為此，本發明的第一個目的在于提供一種多策略組合加載的流量清洗方法，該方法可以實現任意策略的組合，從而滿足多個過濾實施流量清洗。本發明的第二個目的在于提供多策略組合加載的流量清洗裝置。

為達到上述目的，本發明第一方面的實施例提出一種多策略組合加載的流量清洗方法，包括如下步驟：

用戶態代理客戶端建立策略組合，其中，所述策略組合包括至少一個虛策略，所述虛策略包括一個或多個實體策略，且每個所述實體策略包括一個或多個數據特征；

所述用戶態代理客戶端將所述策略組合傳遞至內核態；

將所述策略組合中所述至少一個虛策略注冊至數據包處理框架；以及

所述數據包處理框架對所述虛策略中的每個實體策略進行函數回調，并將通信數據包與所述至少一個虛策略進行比對，當所述通信數據包符合所述至少一個虛策略中的全部實體策略時，丟棄所述通信數據包。

根據本發明實施例的多策略組合加載的流量清洗方法，用戶可以選擇具有多個策略的策略組合，利用該策略組合對流量進行清洗，從而滿足多個策略復雜組合對流量進行清洗的應用場景，應用范圍更廣。

本發明第二方面的實施例提供一種多策略組合加載的流量清洗裝置，包括用戶態代理客戶端、內核態模塊和數據包處理框架，其中，所述用戶態代理客戶端用于建立策略組合，其中，所述策略組合包括至少一個虛策略，所述虛策略包括一個或多個實體策略，且每個所述實體策略包括一個或多個數據特征；所述內核態模塊用于接收所述策略組合，并將所述策略組合中所述至少一個虛策略注冊至所述數據包處理框架；所述數據包處理框架用于對所述虛策略中的每個實體策略進行函數回調，并將通信數據包與所述至少一個虛策略進行比對，當所述通信數據包符合所述至少一個虛策略中的全部實體策略時，丟棄所述通信數據包。

根據本發明實施例的多策略組合加載的流量清洗裝置，用戶可以選擇具有多個策略的策略組合，利用該策略組合對流量進行清洗，從而滿足多個策略復雜組合對流量進行清洗的應用場景，應用范圍更廣。

本發明附加的方面和優點將在下面的描述中部分給出，部分將從下面的描述中變得明顯，或通過本發明的實踐了解到。

附圖說明

本發明上述的和/或附加的方面和優點從下面結合附圖對實施例的描述中將變得明顯和容易理解，其中：

圖1為根據本發明實施例的多策略組合加載的流量清洗方法的流程圖；

圖2為根據本發明實施例的多策略組合加載的流量清洗方法的框架圖；

圖3為根據本發明實施例的虛策略的數據處理流程圖；以及

圖4為根據本發明實施例的多策略組合加載的流量清洗裝置的示意圖。

具體實施方式

下面詳細描述本發明的實施例，所述實施例的示例在附圖中示出，其中自始至終相同或類似的標號表示相同或類似的元件或具有相同或類似功能的元件。下面通過參考附圖描述的實施例是示例性的，僅用于解釋本發明，而不能解釋為對本發明的限制。