[发明专利]多策略组合加载的流量清洗方法及装置

说明书

技术领域

本发明涉及互联网技术领域，特别涉及一种多策略组合加载的流量清洗方法及装置。

背景技术

流量清洗服务是提供给租用IDC(Internet Data Center，互联网数据中心)服务的政企客户，针对其发起的DOS(Denial of Service，拒绝服务)/DDOS(Distributed Denial of service，分布式拒绝服务攻击)攻击的监控、告警和防护的一种网络安全服务。该服务对进入客户IDC的数据流量进行实时监控，及时发现包括DOS攻击在内的异常流量。在不影响正常业务的前提下，清洗掉异常流量。有效满足客户对IDC运作连续性的要求。同时该服务通过时间通告、分析报表等服务内容提升客户网络流量的可见性和安全状况的清晰性。

日常的流量过滤系统往往采取过滤策略逐个判断的清洗框架，从而造成流量仅能通过某个策略过滤，过滤策略之间是或的关系，不能通过同时满足若干个过滤实施流量清洗。但是业务可能要求更多，需要满足多个策略复杂组合才清洗流量的应用场景。传统的流量过滤方法对于这样的应用场景是无效的。

传统的流量清洗系统只提供单个策略的加载，用户可以依次加载每个策略，流量清洗系统根据每个策略逐个清洗流量，从而只支持根据单个策略来判断是否进行流量清洗，不支持通过多个策略组合判断是否进行流量清洗。

发明内容

本发明的目的旨在至少解决上述技术缺陷之一。

为此，本发明的第一个目的在于提供一种多策略组合加载的流量清洗方法，该方法可以实现任意策略的组合，从而满足多个过滤实施流量清洗。本发明的第二个目的在于提供多策略组合加载的流量清洗装置。

为达到上述目的，本发明第一方面的实施例提出一种多策略组合加载的流量清洗方法，包括如下步骤：

用户态代理客户端建立策略组合，其中，所述策略组合包括至少一个虚策略，所述虚策略包括一个或多个实体策略，且每个所述实体策略包括一个或多个数据特征；

所述用户态代理客户端将所述策略组合传递至内核态；

将所述策略组合中所述至少一个虚策略注册至数据包处理框架；以及

所述数据包处理框架对所述虚策略中的每个实体策略进行函数回调，并将通信数据包与所述至少一个虚策略进行比对，当所述通信数据包符合所述至少一个虚策略中的全部实体策略时，丢弃所述通信数据包。

根据本发明实施例的多策略组合加载的流量清洗方法，用户可以选择具有多个策略的策略组合，利用该策略组合对流量进行清洗，从而满足多个策略复杂组合对流量进行清洗的应用场景，应用范围更广。

本发明第二方面的实施例提供一种多策略组合加载的流量清洗装置，包括用户态代理客户端、内核态模块和数据包处理框架，其中，所述用户态代理客户端用于建立策略组合，其中，所述策略组合包括至少一个虚策略，所述虚策略包括一个或多个实体策略，且每个所述实体策略包括一个或多个数据特征；所述内核态模块用于接收所述策略组合，并将所述策略组合中所述至少一个虚策略注册至所述数据包处理框架；所述数据包处理框架用于对所述虚策略中的每个实体策略进行函数回调，并将通信数据包与所述至少一个虚策略进行比对，当所述通信数据包符合所述至少一个虚策略中的全部实体策略时，丢弃所述通信数据包。

根据本发明实施例的多策略组合加载的流量清洗装置，用户可以选择具有多个策略的策略组合，利用该策略组合对流量进行清洗，从而满足多个策略复杂组合对流量进行清洗的应用场景，应用范围更广。

本发明附加的方面和优点将在下面的描述中部分给出，部分将从下面的描述中变得明显，或通过本发明的实践了解到。

附图说明

本发明上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解，其中：

图1为根据本发明实施例的多策略组合加载的流量清洗方法的流程图；

图2为根据本发明实施例的多策略组合加载的流量清洗方法的框架图；

图3为根据本发明实施例的虚策略的数据处理流程图；以及

图4为根据本发明实施例的多策略组合加载的流量清洗装置的示意图。

具体实施方式

下面详细描述本发明的实施例，所述实施例的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的，仅用于解释本发明，而不能解释为对本发明的限制。