[发明专利]业务流量处理的方法、业务流量学习的方法、装置及系统

说明书

本申请公开了一种业务流量处理的方法、业务流量学习的方法、装置及系统，可以应用于数据传输中的数据安全领域中，能够将满足异常流量处理条件的业务流量进行高效地拦截，而对于可用协议号下的业务流量进行放行，防止正常业务被误杀。本申请方法包括：当服务器的目标网际互联协议IP地址受到攻击时，获取服务器的协议号基线以及被攻击的目标IP地址所对应的目标协议号，若目标协议号与协议号基线中的可用协议号不一致，则根据目标协议号所对应的业务流量获取P个数据包的载荷特征统计结果，若载荷特征统计结果满足异常流量处理条件，则从P个数据包中确定Q个数据包，对Q个数据包进行拦截处理。

技术领域

本申请涉及网络安全领域，尤其涉及业务流量处理的方法、业务流量学习的方法、装置及系统。

背景技术

在医疗、金融、征信、银行、政务、游戏以及教育等领域中，往往通过服务器向用户提供业务服务，而针对服务器的攻击技术也发展起来。其中，分布式拒绝服务(DistributedDenial of Service，DDoS)攻击，是指黑客通过控制分布在各处的多台机器向服务器发起大量异常流量，使服务器忙于处理异常流量，导致服务器无法处理正常用户请求。随着攻击技术的不断发展，开始出现一种新型的攻击手法，即协议泛洪攻击，攻击者控制肉鸡伪造源网际互联协议(Internet Protocol，IP)向被攻击服务器发送大量随机伪造不同协议的流量，使得被攻击服务器带宽拥塞。

目前，针对协议泛洪攻击的情况，可以在防护时对非常用协议的流量进行限速，对超过限速值的非常用协议流量进行丢弃，这样可以实现防护效果。

然而，如果被保护服务器存在使用非常用协议的业务流量，限速明显会对正常流量造成误杀。这是由于限速只能无差别丢包，直到流量在阈值以下，若出现协议泛洪攻击，则正常业务流量和攻击流量会被无差别随机丢弃，导致正常业务无法进行。

发明内容

本申请实施例提供了一种业务流量处理的方法、业务流量学习的方法、装置及系统，能够对协议泛洪的攻击流量进行实时识别，仅对非可用协议号下的业务流量进行分析，对于满足异常流量处理条件的业务流量进行高效地拦截，而对于可用协议号下的业务流量进行放行，防止正常业务被误杀。

有鉴于此，本申请第一方面提供一种业务流量处理的方法，包括：

当服务器的目标网际互联协议IP地址受到攻击时，获取服务器的协议号基线以及被攻击的目标IP地址所对应的目标协议号，其中，协议号基线包括IP地址与可用协议号之间的对应关系；

若目标协议号与协议号基线中的可用协议号不一致，则根据目标协议号所对应的业务流量获取P个数据包的载荷特征统计结果，其中，载荷特征统计结果为P个数据包中对目标载荷特征的统计结果，P为大于或等于1的整数；

若载荷特征统计结果满足异常流量处理条件，则从P个数据包中确定Q个数据包，其中，Q个数据包的载荷特征为目标载荷特征，Q为大于或等于1，且小于或等于P的整数；

对Q个数据包进行拦截处理。

本申请第二方面提供一种业务流量学习的方法，包括：

通过分光器获取被保护IP地址所对应的镜像业务流量；

根据镜像业务流量获取被保护IP地址所对应的可用协议号；

根据被保护IP地址以及被保护IP地址所对应的可用协议号，生成协议号基线，其中，协议号基线包括IP地址与可用协议号之间的对应关系；