DDoS攻击防护清洗方法及装置与流程

ddos攻击防护清洗方法及装置
技术领域
1.本发明涉及网络安全防护技术领域，特别是指一种ddos攻击防护清洗方法及装置。


背景技术：

2.随着ddos(distributed denial of service attack，分布式拒绝服务攻击)攻击方式和技术的不断发展，单一清洗节点的防护清洗已经不能满足清洗ddos攻击流量的需求，逐渐发展为多个清洗节点联动防护，可以提供高质量、高价值的抗ddos服务。当多个联动防护清洗节点归属于不同组织时，将涉及到清洗节点间防护清洗流量结算问题。传统的异常流量结算系统，依赖防护清洗节点线下确定联动防护协定和结算规则，从总流量监测服务器的流量检测数据中，筛选出结算规则以及每个结算规则对应的结算阈值的流量，筛选得到的流量为该客户端的异常流量，然后再从结算服务器中，进行异常流量结算过程。
3.例如，一种结算异常流量的系统包括：客户端、以及结算服务器，结算服务器包括至少一个结算节点，结算异常流量系统能够使得不同的客户通过客户端选择不同的结算规则以及为每种结算规则确定对应的结算阈值，并为客户端匹配对应的结算节点，不同的客户端对应不同的结算节点，进而使得结算节点能够根据接收到的至少一种结算规则以及每种结算规则对应的结算阈值，从总监测流量中确定客户端的异常流量，实现了不同的客户端对应不同的结算规则以及结算阈值，进而不同的客户端得到的异常流量不同，提高了生成的异常流量的准确度，以及异常流量生成的灵活性。
4.现有技术方案存在以下缺点及不足：
5.对于异常流量数据的确认,依赖流量检测服务器。采用这种方式，一般仍需要进行双方后期异常流量数据对账及数据非实时同步，容易产生纠纷。当双方ddos攻击缓解和清洗时间不一致时，还可能产生对账失败。
6.由于结算节点、结算规则、结算阈值依赖线下签订的联动防护协议，属于静态联动防护，容易产生低效或者失效问题。当异常流量处理方暂时不具备处理能力时，无法动态寻找其他节点参与处理。


技术实现要素：

7.本发明要解决的技术问题是提供一种ddos攻击防护清洗方法及装置，能够避免线下联动防护协议带来的低效问题，纠纷问题。
8.为解决上述技术问题，本发明的实施例提供技术方案如下：
9.一方面，提供一种ddos攻击防护清洗方法，应用于第一清洗节点，包括：
10.在检测到ddos攻击后，将清洗请求写入联盟区块链；
11.读取所述联盟区块链中第二清洗节点针对所述清洗请求的清洗应答响应；
12.根据所述第二清洗节点的历史有效清洗能力统计数据判断是否需要所述第二清洗节点协助清洗，并将判断结果作为清洗回复写入所述联盟区块链。
13.一些实施例中，所述方法还包括：
14.读取所述联盟区块链中第二清洗节点的清洗结果；
15.将清洗确认写入所述联盟区块链。
16.一些实施例中，所述方法还包括：
17.若ddos攻击得到缓解，记录检测到的已经清洗的流量数据；
18.若ddos攻击未得到缓解，重新发出清洗请求。
19.一些实施例中，所述方法还包括：
20.按照预设评价周期计算所述第二清洗节点的平均有效清洗能力cc：
[0021][0022]
其中，清洗流量为预设评价周期内所述第二清洗节点提供清洗服务的总流量，清洗次数为预设评价周期内所述第二清洗节点提供清洗服务的次数。
[0023]
一些实施例中，所述根据所述第二清洗节点的历史有效清洗能力统计数据判断是否需要所述第二清洗节点协助清洗包括：
[0024]
根据所述第二清洗节点的历史有效清洗能力统计数据利用以下公式计算判断指标s：
[0025][0026]
其中，高峰值为预设评价周期内所述第二清洗节点提供清洗服务的清洗流量最大值或者高峰值，低谷值为预设评价周期内所述第二清洗节点提供清洗服务的清洗流量最小值或者低谷值；
[0027]
若s大于预设阈值，拒绝所述第二清洗节点协助清洗，若s小于等于预设阈值，同意所述第二清洗节点协助清洗。
[0028]
一些实施例中，所述清洗请求包括以下至少一项：清洗任务标识id、清洗请求发起方id、清洗防护ip地址、公钥、清洗有效期。
[0029]
一些实施例中，所述清洗应答响应包括以下至少一项：清洗任务id、清洗应答方id、清洗能力、流量清洗价格。
[0030]
一些实施例中，所述清洗回复包括以下至少一项：清洗任务id、清洗请求发起方id、清洗应答方id、清洗回复状态。
[0031]
一些实施例中，所述清洗结果包括以下至少一项：清洗任务id、清洗请求发起方id、清洗应答方id、清洗总流量、清洗开始时间、清洗结束时间。
[0032]
一些实施例中，所述清洗确认包括以下至少一项：清洗任务id、清洗请求发起方id、清洗应答方id、已确认清洗流量。
[0033]
本发明实施例还提供了一种ddos攻击防护清洗方法，应用于第二清洗节点，包括：
[0034]
读取联盟区块链中第一清洗节点的清洗请求；
[0035]
将针对所述清洗请求的清洗应答响应写入所述联盟区块链；
[0036]
读取所述联盟区块链中所述第一清洗节点的清洗回复，在所述清洗回复指示同意进行协助清洗时，启动流量清洗过程；
[0037]
清洗完成后，将清洗结果写入所述联盟区块链。
[0038]
一些实施例中，所述清洗请求包括以下至少一项：清洗任务标识id、清洗请求发起方id、清洗防护ip地址、公钥、清洗有效期。
[0039]
一些实施例中，所述清洗应答响应包括以下至少一项：清洗任务id、清洗应答方id、清洗能力、流量清洗价格。
[0040]
一些实施例中，所述清洗回复包括以下至少一项：清洗任务id、清洗请求发起方id、清洗应答方id、清洗回复状态。
[0041]
一些实施例中，所述清洗结果包括以下至少一项：清洗任务id、清洗请求发起方id、清洗应答方id、清洗总流量、清洗开始时间、清洗结束时间。
[0042]
本发明实施例还提供了一种ddos攻击防护清洗装置，应用于第一清洗节点，包括：
[0043]
第一写入模块，用于在检测到ddos攻击后，将清洗请求写入联盟区块链；
[0044]
第一读取模块，用于读取所述联盟区块链中第二清洗节点针对所述清洗请求的清洗应答响应；
[0045]
第二写入模块，用于根据所述第二清洗节点的历史有效清洗能力统计数据判断是否需要所述第二清洗节点协助清洗，并将判断结果作为清洗回复写入所述联盟区块链。
[0046]
一些实施例中，所述装置还包括：
[0047]
第四读取模块，用于读取所述联盟区块链中第二清洗节点的清洗结果；
[0048]
第五写入模块，用于将清洗确认写入所述联盟区块链。
[0049]
一些实施例中，所述装置还包括：
[0050]
处理模块，用于若ddos攻击得到缓解，记录检测到的已经清洗的流量数据；若ddos攻击未得到缓解，重新发出清洗请求。
[0051]
一些实施例中，所述装置还包括：
[0052]
计算模块，用于按照预设评价周期计算所述第二清洗节点的平均有效清洗能力cc：
[0053][0054]
其中，清洗流量为预设评价周期内所述第二清洗节点提供清洗服务的总流量，清洗次数为预设评价周期内所述第二清洗节点提供清洗服务的次数。
[0055]
一些实施例中，所述第二写入模块具体用于根据所述第二清洗节点的历史有效清洗能力统计数据利用以下公式计算判断指标s：
[0056][0057]
其中，高峰值为预设评价周期内所述第二清洗节点提供清洗服务的清洗流量最大值或者高峰值，低谷值为预设评价周期内所述第二清洗节点提供清洗服务的清洗流量最小值或者低谷值；
[0058]
若s大于预设阈值，拒绝所述第二清洗节点协助清洗，若s小于等于预设阈值，同意所述第二清洗节点协助清洗。
[0059]
一些实施例中，所述清洗请求包括以下至少一项：清洗任务标识id、清洗请求发起
方id、清洗防护ip地址、公钥、清洗有效期。
[0060]
一些实施例中，所述清洗应答响应包括以下至少一项：清洗任务id、清洗应答方id、清洗能力、流量清洗价格。
[0061]
一些实施例中，所述清洗回复包括以下至少一项：清洗任务id、清洗请求发起方id、清洗应答方id、清洗回复状态。
[0062]
一些实施例中，所述清洗结果包括以下至少一项：清洗任务id、清洗请求发起方id、清洗应答方id、清洗总流量、清洗开始时间、清洗结束时间。
[0063]
一些实施例中，所述清洗确认包括以下至少一项：清洗任务id、清洗请求发起方id、清洗应答方id、已确认清洗流量。
[0064]
本发明实施例还提供了一种ddos攻击防护清洗装置，应用于第二清洗节点，包括：
[0065]
第二读取模块，用于读取联盟区块链中第一清洗节点的清洗请求；
[0066]
第三写入模块，用于将针对所述清洗请求的清洗应答响应写入所述联盟区块链；
[0067]
第三读取模块，用于读取所述联盟区块链中所述第一清洗节点的清洗回复，在所述清洗回复指示同意进行协助清洗时，启动流量清洗过程；
[0068]
第四写入模块，用于清洗完成后，将清洗结果写入所述联盟区块链。
[0069]
一些实施例中，所述清洗请求包括以下至少一项：清洗任务标识id、清洗请求发起方id、清洗防护ip地址、公钥、清洗有效期。
[0070]
一些实施例中，所述清洗应答响应包括以下至少一项：清洗任务id、清洗应答方id、清洗能力、流量清洗价格。
[0071]
一些实施例中，所述清洗回复包括以下至少一项：清洗任务id、清洗请求发起方id、清洗应答方id、清洗回复状态。
[0072]
一些实施例中，所述清洗结果包括以下至少一项：清洗任务id、清洗请求发起方id、清洗应答方id、清洗总流量、清洗开始时间、清洗结束时间。
[0073]
本发明实施例还提供了一种ddos攻击防护清洗装置，包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序；所述处理器执行所述程序时实现如上所述的ddos攻击防护清洗方法。
[0074]
一些实施例中，ddos攻击防护清洗装置应用于第一清洗节点，
[0075]
所述处理器具体用于在检测到ddos攻击后，将清洗请求写入联盟区块链；读取所述联盟区块链中第二清洗节点针对所述清洗请求的清洗应答响应；根据所述第二清洗节点的历史有效清洗能力统计数据判断是否需要所述第二清洗节点协助清洗，并将判断结果作为清洗回复写入所述联盟区块链。
[0076]
一些实施例中，ddos攻击防护清洗装置应用于第一清洗节点，
[0077]
所述处理器具体用于读取所述联盟区块链中第二清洗节点的清洗结果；将清洗确认写入所述联盟区块链。
[0078]
一些实施例中，ddos攻击防护清洗装置应用于第一清洗节点，
[0079]
所述处理器具体用于若ddos攻击得到缓解，记录检测到的已经清洗的流量数据；若ddos攻击未得到缓解，重新发出清洗请求。
[0080]
一些实施例中，ddos攻击防护清洗装置应用于第一清洗节点，
[0081]
所述处理器具体用于按照预设评价周期计算所述第二清洗节点的平均有效清洗
能力cc：
[0082][0083]
其中，清洗流量为预设评价周期内所述第二清洗节点提供清洗服务的总流量，清洗次数为预设评价周期内所述第二清洗节点提供清洗服务的次数。
[0084]
一些实施例中，ddos攻击防护清洗装置应用于第一清洗节点，
[0085]
所述处理器具体用于根据所述第二清洗节点的历史有效清洗能力统计数据利用以下公式计算判断指标s：
[0086][0087]
其中，高峰值为预设评价周期内所述第二清洗节点提供清洗服务的清洗流量最大值或者高峰值，低谷值为预设评价周期内所述第二清洗节点提供清洗服务的清洗流量最小值或者低谷值；
[0088]
若s大于预设阈值，拒绝所述第二清洗节点协助清洗，若s小于等于预设阈值，同意所述第二清洗节点协助清洗。
[0089]
一些实施例中，所述清洗请求包括以下至少一项：清洗任务标识id、清洗请求发起方id、清洗防护ip地址、公钥、清洗有效期。
[0090]
一些实施例中，所述清洗应答响应包括以下至少一项：清洗任务id、清洗应答方id、清洗能力、流量清洗价格。
[0091]
一些实施例中，所述清洗回复包括以下至少一项：清洗任务id、清洗请求发起方id、清洗应答方id、清洗回复状态。
[0092]
一些实施例中，所述清洗结果包括以下至少一项：清洗任务id、清洗请求发起方id、清洗应答方id、清洗总流量、清洗开始时间、清洗结束时间。
[0093]
一些实施例中，所述清洗确认包括以下至少一项：清洗任务id、清洗请求发起方id、清洗应答方id、已确认清洗流量。
[0094]
一些实施例中，ddos攻击防护清洗装置应用于第二清洗节点，所述处理器具体用于读取联盟区块链中第一清洗节点的清洗请求；将针对所述清洗请求的清洗应答响应写入所述联盟区块链；读取所述联盟区块链中所述第一清洗节点的清洗回复，在所述清洗回复指示同意进行协助清洗时，启动流量清洗过程；清洗完成后，将清洗结果写入所述联盟区块链。
[0095]
一些实施例中，所述清洗请求包括以下至少一项：清洗任务标识id、清洗请求发起方id、清洗防护ip地址、公钥、清洗有效期。
[0096]
一些实施例中，所述清洗应答响应包括以下至少一项：清洗任务id、清洗应答方id、清洗能力、流量清洗价格。
[0097]
一些实施例中，所述清洗回复包括以下至少一项：清洗任务id、清洗请求发起方id、清洗应答方id、清洗回复状态。
[0098]
一些实施例中，所述清洗结果包括以下至少一项：清洗任务id、清洗请求发起方id、清洗应答方id、清洗总流量、清洗开始时间、清洗结束时间。
[0099]
本发明实施例还提供了一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现如上所述的ddos攻击防护清洗方法中的步骤。
[0100]
本发明的实施例具有以下有益效果：
[0101]
上述方案中，各个清洗节点可以依据清洗能力动态提供联动清洗服务，并且在流量结算时采用实时对账，避免了线下联动防护协议带来的低效问题，纠纷问题。
附图说明
[0102]
图1为本发明实施例第一清洗节点侧ddos攻击防护清洗方法的流程示意图；
[0103]
图2为本发明实施例第二清洗节点侧ddos攻击防护清洗方法的流程示意图；
[0104]
图3为本发明实施例ddos攻击防护清洗方法的交互示意图；
[0105]
图4为本发明实施例第一清洗节点对第二清洗节点进行评价的示意图；
[0106]
图5为本发明实施例第一清洗节点侧ddos攻击防护清洗装置的结构示意图；
[0107]
图6为本发明实施例第二清洗节点侧ddos攻击防护清洗装置的结构示意图；
[0108]
图7为本发明实施例第一清洗节点侧ddos攻击防护清洗装置的组成示意图；
[0109]
图8为本发明实施例第二清洗节点侧ddos攻击防护清洗装置的组成示意图。
具体实施方式
[0110]
为使本发明的实施例要解决的技术问题、技术方案和优点更加清楚，下面将结合附图及具体实施例进行详细描述。
[0111]
本发明的实施例提供一种ddos攻击防护清洗方法，应用于第一清洗节点，如图1所示，包括：
[0112]
步骤101：在检测到ddos攻击后，将清洗请求写入联盟区块链；
[0113]
步骤102：读取所述联盟区块链中第二清洗节点针对所述清洗请求的清洗应答响应；
[0114]
步骤103：根据所述第二清洗节点的历史有效清洗能力统计数据判断是否需要所述第二清洗节点协助清洗，并将判断结果作为清洗回复写入所述联盟区块链。
[0115]
一些实施例中，所述方法还包括：
[0116]
读取所述联盟区块链中第二清洗节点的清洗结果；
[0117]
将清洗确认写入所述联盟区块链。
[0118]
一些实施例中，所述方法还包括：
[0119]
若ddos攻击得到缓解，记录检测到的已经清洗的流量数据；
[0120]
若ddos攻击未得到缓解，重新发出清洗请求。
[0121]
一些实施例中，所述方法还包括：
[0122]
按照预设评价周期计算所述第二清洗节点的平均有效清洗能力cc：
[0123][0124]
其中，清洗流量为预设评价周期内所述第二清洗节点提供清洗服务的总流量，清洗次数为预设评价周期内所述第二清洗节点提供清洗服务的次数。
[0125]
一些实施例中，所述根据所述第二清洗节点的历史有效清洗能力统计数据判断是否需要所述第二清洗节点协助清洗包括：
[0126]
根据所述第二清洗节点的历史有效清洗能力统计数据利用以下公式计算判断指标s：
[0127][0128]
其中，高峰值为预设评价周期内所述第二清洗节点提供清洗服务的清洗流量最大值或者高峰值，低谷值为预设评价周期内所述第二清洗节点提供清洗服务的清洗流量最小值或者低谷值；
[0129]
若s大于预设阈值，拒绝所述第二清洗节点协助清洗，若s小于等于预设阈值，同意所述第二清洗节点协助清洗。
[0130]
一些实施例中，所述清洗请求包括以下至少一项：清洗任务标识id、清洗请求发起方id、清洗防护ip地址、公钥、清洗有效期。
[0131]
一些实施例中，所述清洗应答响应包括以下至少一项：清洗任务id、清洗应答方id、清洗能力、流量清洗价格。
[0132]
一些实施例中，所述清洗回复包括以下至少一项：清洗任务id、清洗请求发起方id、清洗应答方id、清洗回复状态。
[0133]
一些实施例中，所述清洗结果包括以下至少一项：清洗任务id、清洗请求发起方id、清洗应答方id、清洗总流量、清洗开始时间、清洗结束时间。
[0134]
一些实施例中，所述清洗确认包括以下至少一项：清洗任务id、清洗请求发起方id、清洗应答方id、已确认清洗流量。
[0135]
本发明实施例还提供了一种ddos攻击防护清洗方法，应用于第二清洗节点，如图2所示，包括：
[0136]
步骤201：读取联盟区块链中第一清洗节点的清洗请求；
[0137]
步骤202：将针对所述清洗请求的清洗应答响应写入所述联盟区块链；
[0138]
步骤203：读取所述联盟区块链中所述第一清洗节点的清洗回复，在所述清洗回复指示同意进行协助清洗时，启动流量清洗过程；
[0139]
步骤204：清洗完成后，将清洗结果写入所述联盟区块链。
[0140]
一些实施例中，所述清洗请求包括以下至少一项：清洗任务标识id、清洗请求发起方id、清洗防护ip地址、公钥、清洗有效期。
[0141]
一些实施例中，所述清洗应答响应包括以下至少一项：清洗任务id、清洗应答方id、清洗能力、流量清洗价格。
[0142]
一些实施例中，所述清洗回复包括以下至少一项：清洗任务id、清洗请求发起方id、清洗应答方id、清洗回复状态。
[0143]
一些实施例中，所述清洗结果包括以下至少一项：清洗任务id、清洗请求发起方id、清洗应答方id、清洗总流量、清洗开始时间、清洗结束时间。
[0144]
下面结合附图以及具体的实施例对本发明的技术方案进行进一步介绍：
[0145]
联盟链是指由若干个机构共同参与管理的区块链。联盟链内部指定多个预选的节点为记账节点，每个块的生成由所有的预选节点使用共识机制共同决定，其他接入节点可
以读取链上信息，但不过问记账过程。联盟链使用分布式账本和分布式共识技术从而构成数据不可篡改的分布式数据库。
[0146]
如图3所示，本实施例包括以下步骤：
[0147]
步骤1、清洗节点a(即第一清洗节点)检测到ddos攻击，需要其他节点协助联动清洗，清洗节点a发出清洗请求，并将该请求写入联盟区块链。
[0148]
步骤2、清洗节点b(即第二清洗节点)读取联盟链中清洗需求，进行清洗应答响应；
[0149]
步骤3、清洗节点b将清洗应答响应写入联盟区块链。
[0150]
步骤4、清洗节点a读取联盟链中清洗应答响应，首先查询该应答方的历史(上一周期)有效清洗能力统计数据，再根据清洗能力评价机制判断是否需要改节点协助清洗，之后作出清洗回复写入联盟区块链。
[0151]
清洗点节b读取联盟链中的清洗回复，并启动流量清洗过程。
[0152]
步骤5、清洗完成后，反馈清洗结果，并写入联盟区块链。
[0153]
步骤6、清洗节点a读取联盟链中的清洗结果，并作出清洗确认写入联盟区块链。当ddos攻击已经得到缓解，则记录检测到的已经清洗的流量数据；当ddos攻击仍未得到缓解，重复发出清洗请求的过程。
[0154]
如果清洗节点a重复发出清洗请求的过程，清洗节点c(即另一第二清洗节点)读取联盟链中清洗需求，进行清洗应答响应，并将清洗应答响应写入联盟区块链。
[0155]
最后，以联盟链智能合约的形式，每月进行联盟清洗节点间流量结算。
[0156]
其中，清洗请求参数格式如下：
[0157][0158][0159]
清洗任务id：用于区分不同的清洗任务，每一个清洗过程对应唯一一个清洗任务id。
[0160]
清洗请求发起方id：用于明确清洗请求发起方身份，每一个清洗节点对应唯一个id。
[0161]
清洗防护ip地址：清洗节点发出清洗请求对应的防护ip地址或者地址组。
[0162]
公钥：由清洗请求发起方产生，其对应的私钥由清洗请求发起方秘密保持。用于对清洗请求应答方的清洗流量价格进行加密。
[0163]
清洗有效期：清洗任务可以接受的时间点和不再需要应答的时间点。
[0164]
扩展项：为预留字段。
[0165]
其中，清洗应答参数格式如下：
[0166][0167]
清洗任务id：用于区分不同的清洗任务，每一个清洗过程对应唯一一个清洗任务id。
[0168]
清洗应答方id：用于明确清洗应答方身份，每一个清洗节点对应唯一个id。
[0169]
清洗能力：清洗应答方本次清洗任务可以提供的清洗能力，例如10g、1t等。
[0170]
流量清洗价格：清洗应答方本次清洗任务的价格，使用清洗请求发起方的公钥进行加密，保证价格机密性。
[0171]
扩展项：留着备用。
[0172]
其中，清洗回复参数格式如下：
[0173]
清洗任务id清洗请求发起方id清洗应答方id清洗回复状态扩展项
[0174]
清洗任务id：用于区分不同的清洗任务，每一个清洗过程对应唯一一个清洗任务id。
[0175]
清洗请求发起方id：用于明确清洗请求发起方身份，每一个清洗节点对应唯一个id。
[0176]
清洗应答方id：用于明确清洗应答方身份，每一个清洗节点对应唯一个id。
[0177]
清洗回复状态：清洗请求发起方回复是否同意该清洗应答方协助清洗。例如：y：表示同意协助清洗。n：表示不同意协助清洗。
[0178]
扩展项：预留字段。
[0179]
清洗结果参数格式如下：
[0180]
清洗任务id清洗请求发起方id清洗应答方id清洗总流量清洗开始时间清洗结束时间扩展项
[0181]
清洗任务id：用于区分不同的清洗任务，每一个清洗过程对应唯一一个清洗任务id。
[0182]
清洗请求发起方id：用于明确清洗请求发起方身份，每一个清洗节点对应唯一个id。
[0183]
清洗应答方id：用于明确清洗应答方身份，每一个清洗节点对应唯一个id。
[0184]
清洗总流量：本次清洗任务协助清洗的总流量。
[0185]
清洗开始时间：协助清洗启动时间。
[0186]
清洗结束时间：协助清洗结束时间。
[0187]
扩展项：预留字段。
[0188]
清洗确认参数格式如下：
[0189]
清洗任务id清洗请求发起方id清洗应答方id已确认清洗流量扩展项
[0190]
清洗任务id：用于区分不同的清洗任务，每一个清洗过程对应唯一一个清洗任务id。
[0191]
清洗请求发起方id：用于明确清洗请求发起方身份，每一个清洗节点对应唯一个id。
[0192]
清洗应答方id：用于明确清洗应答方身份，每一个清洗节点对应唯一个id。
[0193]
已确认清洗流量：清洗请求发起方确认的本次清洗任务的清洗总流量。
[0194]
扩展项：预留字段。
[0195]
联盟清洗节点可以按照预设评价周期，比如每月定期将为自己进行清洗服务的其他清洗节点评价信息写入联盟区块链。
[0196]
评价流程图如图4所示，其中：
[0197]
清洗节点id：为清洗节点评价主体，统计每月为该主体提供清洗服务的信息。
[0198]
清洗服务提供方id：提供并完成清洗服务的清洗能力提供方。每个清洗节点对应多个清洗节点服务方。
[0199]
统计开始时间：评价周期开始时间。
[0200]
统计结束时间：评价周期结束时间。
[0201]
清洗次数：该清洗服务提供方在该时间段，提供清洗服务的次数。
[0202]
清洗总流量：该清洗服务提供方在该时间段，提供清洗服务的总流量。
[0203]
清洗流量最大值：该清洗服务提供方在该时间段，提供清洗服务的清洗流量最大值或者高峰值。
[0204]
清洗流量最小值：该清洗服务提供方在该时间段，提供清洗服务的清洗流量最小值或者低谷值。
[0205]
在进行评价时，定义平均有效清洗能力cc(cleaning capacity)，在统计周期内，针对清洗节点需求方，单次清洗流量的大小，即当cc数值越大，则表明该清
洗服务提供方有效清洗能力越大；当cc数值越小，则表明该清洗服务提供方有效清洗能力越小。
[0206]
每个清洗节点都通过读取联盟链数据，定期统计其他参与清洗节点的实际有效清洗能力cc数值。当某个清洗服务提供方进行清洗应答时，清洗请求发起方可先查询该提供方的历史(上一周期)有效清洗能力统计数据，并依据下表判断选择是否由该清洗节点协助联动清洗。
[0207][0208]
当一个新的清洗节点引入时，可以设置清洗总流量、清洗流量最大值均为无穷大，保证新节点可在统计周期初始化节点实际的清洗能力数据。
[0209]
本实施例通过把联动清洗各个流程环节以及信息使用联盟链的共识机制写入联盟链，同时结合节点清洗能力评价机制，能够解决现有方案静态防护，非实时对账的带来的低效问题，纠纷问题。
[0210]
本发明实施例还提供了一种ddos攻击防护清洗装置，应用于第一清洗节点，如图5所示，包括：
[0211]
第一写入模块31，用于在检测到ddos攻击后，将清洗请求写入联盟区块链；
[0212]
第一读取模块32，用于读取所述联盟区块链中第二清洗节点针对所述清洗请求的清洗应答响应；
[0213]
第二写入模块33，用于根据所述第二清洗节点的历史有效清洗能力统计数据判断是否需要所述第二清洗节点协助清洗，并将判断结果作为清洗回复写入所述联盟区块链。
[0214]
一些实施例中，所述装置还包括：
[0215]
第四读取模块，用于读取所述联盟区块链中第二清洗节点的清洗结果；
[0216]
第五写入模块，用于将清洗确认写入所述联盟区块链。
[0217]
一些实施例中，所述装置还包括：
[0218]
处理模块，用于若ddos攻击得到缓解，记录检测到的已经清洗的流量数据；若ddos攻击未得到缓解，重新发出清洗请求。
[0219]
一些实施例中，所述装置还包括：
[0220]
计算模块，用于按照预设评价周期计算所述第二清洗节点的平均有效清洗能力cc：
[0221][0222]
其中，清洗流量为预设评价周期内所述第二清洗节点提供清洗服务的总流量，清洗次数为预设评价周期内所述第二清洗节点提供清洗服务的次数。
[0223]
一些实施例中，所述第二写入模块具体用于根据所述第二清洗节点的历史有效清洗能力统计数据利用以下公式计算判断指标s：
[0224][0225]
其中，高峰值为预设评价周期内所述第二清洗节点提供清洗服务的清洗流量最大值或者高峰值，低谷值为预设评价周期内所述第二清洗节点提供清洗服务的清洗流量最小值或者低谷值；
[0226]
若s大于预设阈值，拒绝所述第二清洗节点协助清洗，若s小于等于预设阈值，同意所述第二清洗节点协助清洗。
[0227]
一些实施例中，所述清洗请求包括以下至少一项：清洗任务标识id、清洗请求发起方id、清洗防护ip地址、公钥、清洗有效期。
[0228]
一些实施例中，所述清洗应答响应包括以下至少一项：清洗任务id、清洗应答方id、清洗能力、流量清洗价格。
[0229]
一些实施例中，所述清洗回复包括以下至少一项：清洗任务id、清洗请求发起方id、清洗应答方id、清洗回复状态。
[0230]
一些实施例中，所述清洗结果包括以下至少一项：清洗任务id、清洗请求发起方id、清洗应答方id、清洗总流量、清洗开始时间、清洗结束时间。
[0231]
一些实施例中，所述清洗确认包括以下至少一项：清洗任务id、清洗请求发起方id、清洗应答方id、已确认清洗流量。
[0232]
本发明实施例还提供了一种ddos攻击防护清洗装置，应用于第二清洗节点，如图6所示，包括：
[0233]
第二读取模块41，用于读取联盟区块链中第一清洗节点的清洗请求；
[0234]
第三写入模块42，用于将针对所述清洗请求的清洗应答响应写入所述联盟区块链；
[0235]
第三读取模块43，用于读取所述联盟区块链中所述第一清洗节点的清洗回复，在所述清洗回复指示同意进行协助清洗时，启动流量清洗过程；
[0236]
第四写入模块44，用于清洗完成后，将清洗结果写入所述联盟区块链。
[0237]
一些实施例中，所述清洗请求包括以下至少一项：清洗任务标识id、清洗请求发起方id、清洗防护ip地址、公钥、清洗有效期。
[0238]
一些实施例中，所述清洗应答响应包括以下至少一项：清洗任务id、清洗应答方id、清洗能力、流量清洗价格。
[0239]
一些实施例中，所述清洗回复包括以下至少一项：清洗任务id、清洗请求发起方id、清洗应答方id、清洗回复状态。
[0240]
一些实施例中，所述清洗结果包括以下至少一项：清洗任务id、清洗请求发起方id、清洗应答方id、清洗总流量、清洗开始时间、清洗结束时间。
[0241]
本发明实施例还提供了一种ddos攻击防护清洗装置，应用于第一清洗节点，如图7所示，包括存储器61、处理器62及存储在所述存储器61上并可在所述处理器62上运行的计算机程序；所述处理器62执行所述程序时实现如上所述的ddos攻击防护清洗方法。
[0242]
一些实施例中，所述处理器62具体用于在检测到ddos攻击后，将清洗请求写入联盟区块链；读取所述联盟区块链中第二清洗节点针对所述清洗请求的清洗应答响应；根据所述第二清洗节点的历史有效清洗能力统计数据判断是否需要所述第二清洗节点协助清
洗，并将判断结果作为清洗回复写入所述联盟区块链。
[0243]
一些实施例中，ddos攻击防护清洗装置应用于第一清洗节点，
[0244]
所述处理器62具体用于读取所述联盟区块链中第二清洗节点的清洗结果；将清洗确认写入所述联盟区块链。
[0245]
一些实施例中，ddos攻击防护清洗装置应用于第一清洗节点，
[0246]
所述处理器62具体用于若ddos攻击得到缓解，记录检测到的已经清洗的流量数据；若ddos攻击未得到缓解，重新发出清洗请求。
[0247]
一些实施例中，ddos攻击防护清洗装置应用于第一清洗节点，
[0248]
所述处理器62具体用于按照预设评价周期计算所述第二清洗节点的平均有效清洗能力cc：
[0249][0250]
其中，清洗流量为预设评价周期内所述第二清洗节点提供清洗服务的总流量，清洗次数为预设评价周期内所述第二清洗节点提供清洗服务的次数。
[0251]
一些实施例中，ddos攻击防护清洗装置应用于第一清洗节点，
[0252]
所述处理器62具体用于根据所述第二清洗节点的历史有效清洗能力统计数据利用以下公式计算判断指标s：
[0253][0254]
其中，高峰值为预设评价周期内所述第二清洗节点提供清洗服务的清洗流量最大值或者高峰值，低谷值为预设评价周期内所述第二清洗节点提供清洗服务的清洗流量最小值或者低谷值；
[0255]
若s大于预设阈值，拒绝所述第二清洗节点协助清洗，若s小于等于预设阈值，同意所述第二清洗节点协助清洗。
[0256]
一些实施例中，所述清洗请求包括以下至少一项：清洗任务标识id、清洗请求发起方id、清洗防护ip地址、公钥、清洗有效期。
[0257]
一些实施例中，所述清洗应答响应包括以下至少一项：清洗任务id、清洗应答方id、清洗能力、流量清洗价格。
[0258]
一些实施例中，所述清洗回复包括以下至少一项：清洗任务id、清洗请求发起方id、清洗应答方id、清洗回复状态。
[0259]
一些实施例中，所述清洗结果包括以下至少一项：清洗任务id、清洗请求发起方id、清洗应答方id、清洗总流量、清洗开始时间、清洗结束时间。
[0260]
一些实施例中，所述清洗确认包括以下至少一项：清洗任务id、清洗请求发起方id、清洗应答方id、已确认清洗流量。
[0261]
本发明实施例还提供了一种ddos攻击防护清洗装置，应用于第二清洗节点，如图8所示，包括存储器71、处理器72及存储在所述存储器71上并可在所述处理器72上运行的计算机程序；所述处理器72执行所述程序时实现如上所述的ddos攻击防护清洗方法。
[0262]
一些实施例中，所述处理器72具体用于读取联盟区块链中第一清洗节点的清洗请
求；将针对所述清洗请求的清洗应答响应写入所述联盟区块链；读取所述联盟区块链中所述第一清洗节点的清洗回复，在所述清洗回复指示同意进行协助清洗时，启动流量清洗过程；清洗完成后，将清洗结果写入所述联盟区块链。
[0263]
一些实施例中，所述清洗请求包括以下至少一项：清洗任务标识id、清洗请求发起方id、清洗防护ip地址、公钥、清洗有效期。
[0264]
一些实施例中，所述清洗应答响应包括以下至少一项：清洗任务id、清洗应答方id、清洗能力、流量清洗价格。
[0265]
一些实施例中，所述清洗回复包括以下至少一项：清洗任务id、清洗请求发起方id、清洗应答方id、清洗回复状态。
[0266]
一些实施例中，所述清洗结果包括以下至少一项：清洗任务id、清洗请求发起方id、清洗应答方id、清洗总流量、清洗开始时间、清洗结束时间。
[0267]
本发明实施例还提供了一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现如上所述的ddos攻击防护清洗方法中的步骤。
[0268]
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(pram)、静态随机存取存储器(sram)、动态随机存取存储器(dram)、其他类型的随机存取存储器(ram)、只读存储器(rom)、电可擦除可编程只读存储器(eeprom)、快闪记忆体或其他内存技术、只读光盘只读存储器(cd-rom)、数字多功能光盘(dvd)或其他光学存储、磁盒式磁带，磁带磁磁盘存储或其他磁性存储待检测终端设备或任何其他非传输介质，可用于存储可以被计算待检测终端设备访问的信息。按照本文中的界定，计算机可读介质不包括暂存电脑可读媒体(transitory media)，如调制的数据信号和载波。
[0269]
以上所述是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明所述原理的前提下，还可以作出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。