本申請(qǐng)涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，特別涉及一種基于調(diào)度系統(tǒng)的DDoS防御方法和一種DDoS防御系統(tǒng)。

背景技術(shù)：

DDoS(Distributed Denial of Service，分布式拒絕服務(wù))攻擊指借助于客戶(hù)/服務(wù)器技術(shù)，將多個(gè)計(jì)算機(jī)聯(lián)合起來(lái)作為攻擊平臺(tái)，對(duì)一個(gè)或多個(gè)目標(biāo)發(fā)動(dòng)DDoS攻擊，從而成倍地提高拒絕服務(wù)攻擊的威力。DDoS攻擊的原理是找到被攻擊者的資源瓶頸，通過(guò)消耗資源的方式達(dá)到使被攻擊者業(yè)務(wù)不可用的目的。目前相關(guān)的防御方案包括：

DDoS流量清洗：目前最常用的防御DDoS方法，通過(guò)DDoS檢測(cè)設(shè)備發(fā)現(xiàn)DDoS攻擊并預(yù)警，當(dāng)發(fā)現(xiàn)DDoS攻擊時(shí)通知旁路的流量清洗設(shè)備牽引被攻擊目的IP的流量，清洗攻擊流量，回注正常流量。但DDoS流量清洗為防御更高級(jí)別的DDoS攻擊而不斷升級(jí)的清洗設(shè)備和帶寬容量帶來(lái)成本的大幅攀升，而且在清洗中伴隨的誤殺和漏殺對(duì)正常的業(yè)務(wù)訪(fǎng)問(wèn)造成影響。

在運(yùn)營(yíng)商網(wǎng)絡(luò)發(fā)布黑洞路由：當(dāng)攻擊流量超過(guò)業(yè)務(wù)方的承受范圍時(shí)，為了不影響同一機(jī)房的其他業(yè)務(wù)，業(yè)務(wù)方有時(shí)會(huì)通過(guò)在運(yùn)營(yíng)商網(wǎng)絡(luò)中發(fā)布黑洞路由的方式屏蔽被攻擊IP的訪(fǎng)問(wèn)，在骨干網(wǎng)丟棄所有的DDoS流量。但同時(shí)限制了正常的業(yè)務(wù)訪(fǎng)問(wèn)，即使通過(guò)DNS(Domain Name System，域名系統(tǒng))等方式更改了訪(fǎng)問(wèn)IP，也會(huì)在一段時(shí)間內(nèi)導(dǎo)致部分業(yè)務(wù)完全不可用。

CDN(Content Delivery Network，內(nèi)容分發(fā)網(wǎng)絡(luò))：CDN通過(guò)提供大量的緩存代理節(jié)點(diǎn)優(yōu)化用戶(hù)訪(fǎng)問(wèn)，由于采用了分布式節(jié)點(diǎn)，DDoS攻擊造成的影響比較有限，往往只會(huì)影響某一個(gè)或幾個(gè)地區(qū)的訪(fǎng)問(wèn)。但CDN對(duì)于靜態(tài)資源的DDoS防御效果很好，而對(duì)于常見(jiàn)的動(dòng)態(tài)資源，該方法會(huì)引起大量的回源訪(fǎng)問(wèn)，導(dǎo)致大量誤殺的同時(shí)占用了大量的帶寬。

綜上所述，有待提出一種對(duì)業(yè)務(wù)訪(fǎng)問(wèn)影響小且高效、誤殺漏殺率低的DDoS防御技術(shù)。

技術(shù)實(shí)現(xiàn)要素：

本申請(qǐng)旨在至少在一定程度上解決相關(guān)技術(shù)中的技術(shù)問(wèn)題之一。為此，本申請(qǐng)的第一方面的目的在于提出一種基于調(diào)度系統(tǒng)的分布式拒絕服務(wù)DDoS防御方法，能夠減小DDoS攻 擊的影響至可控范圍，降低防御成本，并大大改善受DDoS攻擊用戶(hù)的體驗(yàn)效果。

本申請(qǐng)第二方面的目的在于提出一種DDoS防御系統(tǒng)。

為達(dá)上述目的，根據(jù)本申請(qǐng)第一方面實(shí)施例提出的一種基于調(diào)度系統(tǒng)的分布式拒絕服務(wù)DDoS防御方法，其中所述調(diào)度系統(tǒng)為業(yè)務(wù)目標(biāo)分配多個(gè)IP地址，以使用戶(hù)終端通過(guò)所述多個(gè)IP地址訪(fǎng)問(wèn)所述業(yè)務(wù)目標(biāo)，所述方法包括以下步驟：當(dāng)監(jiān)測(cè)到對(duì)第一IP地址的DDoS攻擊時(shí)，獲取當(dāng)前可用的第二IP地址；當(dāng)接收到訪(fǎng)問(wèn)所述第一IP地址的用戶(hù)終端發(fā)送的調(diào)度請(qǐng)求時(shí)，將所述第二IP地址返回至所述用戶(hù)終端，以使所述用戶(hù)終端通過(guò)所述第二IP地址訪(fǎng)問(wèn)所述業(yè)務(wù)目標(biāo)。

本申請(qǐng)實(shí)施例的基于調(diào)度系統(tǒng)的DDoS防御方法，可為業(yè)務(wù)目標(biāo)分配多個(gè)IP地址，當(dāng)其中的第一IP地址受到DDoS攻擊時(shí)，如果接受到對(duì)第一IP地址的訪(fǎng)問(wèn)請(qǐng)求，可返回當(dāng)前可用的第二IP地址，由此，業(yè)務(wù)目標(biāo)通過(guò)將用戶(hù)訪(fǎng)問(wèn)流量分散到多個(gè)IP地址，在其中一個(gè)IP地址收到攻擊時(shí)，只是一部分用戶(hù)受到影響，減小了影響范圍；可通過(guò)切換IP地址，使用戶(hù)終端通過(guò)未受DDoS攻擊的IP地址進(jìn)行訪(fǎng)問(wèn)，從而直接避開(kāi)與攻擊者爭(zhēng)搶資源，降低了防御成本；用戶(hù)可通過(guò)切換后的IP地址繼續(xù)訪(fǎng)問(wèn)業(yè)務(wù)目標(biāo)，絕大部分用戶(hù)在受到DDoS攻擊時(shí)不會(huì)受到明顯影響，同時(shí)大大減小了因誤殺對(duì)用戶(hù)訪(fǎng)問(wèn)業(yè)務(wù)目標(biāo)造成的影響，提高了用戶(hù)體驗(yàn)。

根據(jù)本申請(qǐng)第二方面實(shí)施例提出的一種DDoS防御系統(tǒng)，其中所述系統(tǒng)為業(yè)務(wù)目標(biāo)分配多個(gè)IP地址，以使用戶(hù)終端通過(guò)所述多個(gè)IP地址訪(fǎng)問(wèn)所述業(yè)務(wù)目標(biāo)，所述系統(tǒng)包括：獲取模塊，用于當(dāng)監(jiān)測(cè)到對(duì)第一IP地址的DDoS攻擊時(shí)，獲取當(dāng)前可用的第二IP地址；返回模塊，用于當(dāng)接收到訪(fǎng)問(wèn)所述第一IP地址的用戶(hù)終端發(fā)送的調(diào)度請(qǐng)求時(shí)，將所述第二IP地址返回至所述用戶(hù)終端，以使所述用戶(hù)終端通過(guò)所述第二IP地址訪(fǎng)問(wèn)所述業(yè)務(wù)目標(biāo)。

根據(jù)本申請(qǐng)實(shí)施例的DDoS防御系統(tǒng)，可為業(yè)務(wù)目標(biāo)分配多個(gè)IP地址，當(dāng)其中的第一IP地址受到DDoS攻擊時(shí)，如果接受到對(duì)第一IP地址的訪(fǎng)問(wèn)請(qǐng)求，可返回當(dāng)前可用的第二IP地址，由此，業(yè)務(wù)目標(biāo)通過(guò)將用戶(hù)訪(fǎng)問(wèn)流量分散到多個(gè)IP地址，在其中一個(gè)IP地址收到攻擊時(shí)，只是一部分用戶(hù)受到影響，減小了影響范圍；可通過(guò)切換IP地址，使用戶(hù)終端通過(guò)未受DDoS攻擊的IP地址進(jìn)行訪(fǎng)問(wèn)，從而直接避開(kāi)與攻擊者爭(zhēng)搶資源，降低了防御成本；用戶(hù)可通過(guò)切換后的IP地址繼續(xù)訪(fǎng)問(wèn)業(yè)務(wù)目標(biāo)，絕大部分用戶(hù)在受到DDoS攻擊時(shí)不會(huì)受到明顯影響，同時(shí)大大減小了因誤殺對(duì)用戶(hù)訪(fǎng)問(wèn)業(yè)務(wù)目標(biāo)造成的影響，提高了用戶(hù)體驗(yàn)。

附圖說(shuō)明

本申請(qǐng)的上述和/或附加的方面和優(yōu)點(diǎn)從結(jié)合下面附圖對(duì)實(shí)施例的描述中將變得明顯和容易理解，其中：

圖1為根據(jù)本申請(qǐng)一個(gè)實(shí)施例的基于調(diào)度系統(tǒng)的分布式拒絕服務(wù)DDoS防御方法的流程圖；

圖2為根據(jù)本申請(qǐng)一個(gè)實(shí)施例的基于調(diào)度系統(tǒng)的分布式拒絕服務(wù)DDoS防御過(guò)程的示意圖；

圖3為根據(jù)本申請(qǐng)另一個(gè)實(shí)施例的基于調(diào)度系統(tǒng)的分布式拒絕服務(wù)DDoS防御方法的流程圖；

圖4為根據(jù)本申請(qǐng)一個(gè)實(shí)施例的調(diào)度系統(tǒng)工作示意圖；

圖5為根據(jù)本申請(qǐng)一個(gè)實(shí)施例的通過(guò)DNS解析方式接收調(diào)度請(qǐng)求和返回第二IP地址示意圖；

圖6為根據(jù)本申請(qǐng)一個(gè)實(shí)施例的通過(guò)CDN方式接收調(diào)度請(qǐng)求和返回第二IP地址的示意圖；

圖7為根據(jù)本申請(qǐng)一個(gè)實(shí)施例的DDoS防御系統(tǒng)的結(jié)構(gòu)框圖；

圖8為根據(jù)本申請(qǐng)另一個(gè)實(shí)施例的DDoS防御系統(tǒng)的結(jié)構(gòu)框圖；

圖9為根據(jù)本申請(qǐng)又一個(gè)實(shí)施例的DDoS防御系統(tǒng)的結(jié)構(gòu)框圖。

具體實(shí)施方式

下面詳細(xì)描述本申請(qǐng)的實(shí)施例，所述實(shí)施例的示例在附圖中示出，其中自始至終相同或類(lèi)似的標(biāo)號(hào)表示相同或類(lèi)似的元件或具有相同或類(lèi)似功能的元件。下面通過(guò)參考附圖描述的實(shí)施例是示例性的，僅用于解釋本申請(qǐng)，而不能理解為對(duì)本申請(qǐng)的限制。

下面參考附圖描述根據(jù)本申請(qǐng)實(shí)施例的基于調(diào)度系統(tǒng)的分布式拒絕服務(wù)DDoS防御方法和DDoS防御系統(tǒng)。

圖1為根據(jù)本申請(qǐng)一個(gè)實(shí)施例的基于調(diào)度系統(tǒng)的分布式拒絕服務(wù)DDoS防御方法的流程圖。

圖2為根據(jù)本申請(qǐng)一個(gè)實(shí)施例的基于調(diào)度系統(tǒng)的分布式拒絕服務(wù)DDoS防御過(guò)程的示意圖。

如圖1所示，根據(jù)本申請(qǐng)實(shí)施例的基于調(diào)度系統(tǒng)的分布式拒絕服務(wù)DDoS防御方法，包括以下步驟：

S101，當(dāng)監(jiān)測(cè)到對(duì)第一IP地址的DDoS攻擊時(shí)，獲取當(dāng)前可用的第二IP地址。

在本申請(qǐng)的一個(gè)實(shí)施例中，如圖2所示，調(diào)度系統(tǒng)可為業(yè)務(wù)目標(biāo)分配多個(gè)IP地址。業(yè)務(wù)目標(biāo)為用戶(hù)終端的訪(fǎng)問(wèn)目標(biāo)，例如可以是服務(wù)器等。具體地，調(diào)度系統(tǒng)隱藏了業(yè)務(wù)目標(biāo)的真實(shí)IP地址，并為業(yè)務(wù)目標(biāo)分配多個(gè)IP地址，以使用戶(hù)終端通過(guò)多個(gè)IP地址訪(fǎng)問(wèn)業(yè)務(wù)目標(biāo)，從而將用戶(hù)終端對(duì)業(yè)務(wù)目標(biāo)的訪(fǎng)問(wèn)流量分散到多個(gè)IP地址上。

調(diào)度系統(tǒng)可監(jiān)測(cè)多個(gè)IP地址的狀態(tài)，當(dāng)監(jiān)測(cè)到對(duì)第一IP地址的DDoS攻擊時(shí)，獲取當(dāng)前可用的第二IP地址。其中，獲取當(dāng)前可用的第二IP地址可具體包括：

分別判斷每個(gè)當(dāng)前可用IP地址是否受到DDoS攻擊或者被黑洞。其中，IP地址是否受到DDoS攻擊或者被黑洞可通過(guò)監(jiān)測(cè)多個(gè)IP地址的流量狀態(tài)來(lái)判斷。更具體地，監(jiān)測(cè)多個(gè)IP地址的流量狀態(tài)，并判斷每個(gè)IP地址的流量狀態(tài)是否出現(xiàn)異常，如果出現(xiàn)異常，則判斷流量出現(xiàn)異常的IP地址受到DDoS攻擊或者被黑洞。

根據(jù)判斷結(jié)果獲取未受到DDoS攻擊且未被黑洞的至少一個(gè)IP地址，并從至少一個(gè)IP地址中選擇一個(gè)作為第二IP地址。

具體地，可將至少一個(gè)IP地址中資源空閑最多的IP地址作為第二IP地址，或者將與用戶(hù)終端的IP地址距離最近的IP地址作為第二IP地址，當(dāng)然，也可通過(guò)其他方式從至少一個(gè)IP地址中選擇第二IP地址，本申請(qǐng)對(duì)此不作限定。

S102，當(dāng)接收到訪(fǎng)問(wèn)第一IP地址的用戶(hù)終端發(fā)送的調(diào)度請(qǐng)求時(shí)，將第二IP地址返回至用戶(hù)終端，以使用戶(hù)終端通過(guò)第二IP地址訪(fǎng)問(wèn)業(yè)務(wù)目標(biāo)。

如圖2所示，調(diào)度系統(tǒng)接收到來(lái)自用戶(hù)終端1的訪(fǎng)問(wèn)IP地址1的請(qǐng)求后，由于IP地址1正在遭受來(lái)自肉雞的DDoS攻擊，調(diào)度系統(tǒng)將IP地址2返回至用戶(hù)終端，使用戶(hù)終端通過(guò)IP地址2訪(fǎng)問(wèn)業(yè)務(wù)目標(biāo)。由于用戶(hù)終端1未能成功通過(guò)IP地址1訪(fǎng)問(wèn)業(yè)務(wù)目標(biāo)，用戶(hù)終端1訪(fǎng)問(wèn)IP地址1的過(guò)程用虛線(xiàn)箭頭表示。其中，肉雞也稱(chēng)傀儡機(jī)，是指可以被黑客遠(yuǎn)程控制的機(jī)器。肉雞通常被用來(lái)發(fā)動(dòng)DDoS攻擊。

本申請(qǐng)實(shí)施例的基于調(diào)度系統(tǒng)的分布式拒絕服務(wù)DDoS防御方法，可為業(yè)務(wù)目標(biāo)分配多個(gè)IP地址，當(dāng)其中的第一IP地址受到DDoS攻擊時(shí)，如果接受到對(duì)第一IP地址的訪(fǎng)問(wèn)請(qǐng)求，可返回當(dāng)前可用的第二IP地址，由此，業(yè)務(wù)目標(biāo)通過(guò)將用戶(hù)訪(fǎng)問(wèn)流量分散到多個(gè)IP地址，在其中一個(gè)IP地址收到攻擊時(shí)，只是一部分用戶(hù)受到影響，減小了影響范圍；可通過(guò)切換IP地址，使用戶(hù)終端通過(guò)未受DDoS攻擊的IP地址進(jìn)行訪(fǎng)問(wèn)，從而直接避開(kāi)與攻擊者爭(zhēng)搶資源，降低了防御成本；用戶(hù)可通過(guò)切換后的IP地址繼續(xù)訪(fǎng)問(wèn)業(yè)務(wù)目標(biāo)，絕大部分用戶(hù)在受到DDoS攻擊時(shí)不會(huì)受到明顯影響，同時(shí)大大減小了因誤殺對(duì)用戶(hù)訪(fǎng)問(wèn)業(yè)務(wù)目標(biāo)造成的影響，提高了用戶(hù)體驗(yàn)。

在本申請(qǐng)的一個(gè)實(shí)施例中，在用戶(hù)終端通過(guò)第二IP地址訪(fǎng)問(wèn)業(yè)務(wù)目標(biāo)之后，還可包括：通過(guò)發(fā)布黑洞路由屏蔽第一IP地址，具體指admin將接到的某個(gè)源地址轉(zhuǎn)向null0接口。在本申請(qǐng)的一個(gè)實(shí)施例中，由于被黑洞的IP地址已確定且不再使用，而是通過(guò)可用的第二IP地址訪(fǎng)問(wèn)業(yè)務(wù)目標(biāo)，所以不會(huì)終止正常的用戶(hù)終端對(duì)業(yè)務(wù)目標(biāo)的訪(fǎng)問(wèn)。在所有訪(fǎng)問(wèn)第一IP地址的用戶(hù)終端通過(guò)第二IP地址訪(fǎng)問(wèn)業(yè)務(wù)目標(biāo)之后，通過(guò)發(fā)布黑洞路由屏蔽所述第一IP地址，使得DDoS流量立即失效，從而不需要和攻擊者拼資源，降低防御成本。

在本申請(qǐng)的一個(gè)實(shí)施例中，如果獲取到多個(gè)可用的IP地址，則對(duì)多個(gè)可用的IP地址進(jìn)一步進(jìn)行篩選。舉例來(lái)說(shuō)，可根據(jù)每個(gè)IP地址的CPU空閑量、寬帶空閑量、上一次調(diào)度時(shí)間以及與用戶(hù)終端所在IP地址的距離等進(jìn)行篩選。

圖3為根據(jù)本申請(qǐng)的另一個(gè)實(shí)施例的基于調(diào)度系統(tǒng)的分布式拒絕服務(wù)DDoS防御方法的流程圖。

如圖3所示，基于調(diào)度系統(tǒng)的DDoS防御方法可包括以下步驟：

S301，當(dāng)監(jiān)測(cè)到對(duì)第一IP地址的DDoS攻擊時(shí)，分別判斷每個(gè)當(dāng)前可用IP地址是否受到DDoS攻擊或者被黑洞。

在本申請(qǐng)的一個(gè)實(shí)施例中，如圖2所示，調(diào)度系統(tǒng)為業(yè)務(wù)目標(biāo)分配多個(gè)IP地址。業(yè)務(wù)目標(biāo)為用戶(hù)終端的訪(fǎng)問(wèn)目標(biāo)，例如可以是服務(wù)器等。具體地，調(diào)度系統(tǒng)隱藏了業(yè)務(wù)目標(biāo)的真實(shí)IP地址，并為業(yè)務(wù)目標(biāo)分配多個(gè)IP地址，以使用戶(hù)終端通過(guò)多個(gè)IP地址訪(fǎng)問(wèn)業(yè)務(wù)目標(biāo)，從而將用戶(hù)終端對(duì)業(yè)務(wù)目標(biāo)的訪(fǎng)問(wèn)流量分散到多個(gè)IP地址上。

調(diào)度系統(tǒng)可監(jiān)測(cè)多個(gè)IP地址的狀態(tài)，當(dāng)監(jiān)測(cè)到對(duì)第一IP地址的DDoS攻擊時(shí)，分別判斷每個(gè)當(dāng)前可用IP地址是否受到DDoS攻擊或者被黑洞。其中，IP地址是否受到DDoS攻擊或者被黑洞可通過(guò)監(jiān)測(cè)多個(gè)IP地址的流量狀態(tài)來(lái)判斷。更具體地，監(jiān)測(cè)多個(gè)IP地址的流量狀態(tài)，并判斷每個(gè)IP地址的流量狀態(tài)是否出現(xiàn)異常，如果出現(xiàn)異常，則判斷流量出現(xiàn)異常的IP地址受到DDoS攻擊或者被黑洞。

S302，根據(jù)判斷結(jié)果獲取未受到DDoS攻擊且未被黑洞的至少一個(gè)IP地址。

S303，獲取未受到DDoS攻擊且未被黑洞的至少一個(gè)IP地址的CPU空閑排名、寬帶空閑排名、與用戶(hù)終端的IP地址的距離和上一次的調(diào)度時(shí)間。

在本申請(qǐng)的一個(gè)實(shí)施例中，調(diào)度系統(tǒng)可對(duì)每個(gè)IP地址的CPU空閑排名、寬帶空閑排名、與用戶(hù)終端的IP地址的距離和上一次的調(diào)度時(shí)間進(jìn)行監(jiān)測(cè)。從而，可通過(guò)調(diào)度系統(tǒng)獲取未受到DDoS攻擊且未被黑洞的至少一個(gè)IP地址的CPU空閑排名、寬帶空閑排名、與用戶(hù)終端的IP地址的距離和上一次的調(diào)度時(shí)間。

圖4為根據(jù)本申請(qǐng)一個(gè)實(shí)施例的調(diào)度系統(tǒng)工作示意圖。如圖4所示，調(diào)度系統(tǒng)可包括流量監(jiān)測(cè)模塊、IP地址健康檢查模塊、IP地址區(qū)域信息模塊和調(diào)度模塊。

其中，流量監(jiān)測(cè)模塊用于監(jiān)測(cè)多個(gè)IP地址的流量狀態(tài)，并以此確定可用的至少一個(gè)IP地址。IP地址健康檢查模塊用于檢查至少一個(gè)IP地址的CPU空閑、寬帶空閑狀況。IP地址區(qū)域信息模塊用于提供至少一個(gè)IP地址的區(qū)域信息，以確定至少一個(gè)IP地址與用戶(hù)終端IP地址的距離。調(diào)度模塊用于記錄用戶(hù)終端每次調(diào)用IP地址的調(diào)度時(shí)間。由此，調(diào)度系統(tǒng)可從DDoS流量監(jiān)測(cè)模塊上查詢(xún)到當(dāng)前可用IP地址列表后，獲取未受到DDoS攻擊且未被黑洞的至少一個(gè)IP地址，并通過(guò)IP地址健康檢查模塊、IP地址區(qū)域信息模塊和調(diào)度模塊獲取 至少一個(gè)IP地址的CPU空閑排名、寬帶空閑排名、與用戶(hù)終端的IP地址的距離和上一次的調(diào)度時(shí)間。

S304，通過(guò)公式(1)計(jì)算至少一個(gè)IP地址的調(diào)度權(quán)值，并根據(jù)調(diào)度權(quán)值選擇第二IP地址。

W＝N*C+P*WB+Q*D+S*T (1)

其中，W為調(diào)度權(quán)值，C為CPU空閑排名、WB為寬帶空閑排名、D為與用戶(hù)終端的IP地址的距離，T為上一次的調(diào)度時(shí)間，N、P、Q、S分別為C、WB、D、T的權(quán)重系數(shù)。計(jì)算得到至少一個(gè)IP地址的調(diào)度權(quán)值后，將權(quán)值最小的IP作為當(dāng)前可用的第二IP地址。由公式可知，權(quán)值最小，即CPU相對(duì)空閑、帶寬相對(duì)空閑、與用戶(hù)終端的IP地址的距離相對(duì)較小、上一次的調(diào)度時(shí)間較短。以此保證該第二IP地址為可用最優(yōu)IP地址。

未受到DDoS攻擊且未被黑洞的IP地址皆為可用IP地址，在本申請(qǐng)的一個(gè)實(shí)施例中，可通過(guò)選擇調(diào)度權(quán)值最低的一個(gè)IP地址作為第二IP地址來(lái)獲取可用的最優(yōu)IP地址。

S305，當(dāng)接收到訪(fǎng)問(wèn)第一IP地址的用戶(hù)終端發(fā)送的調(diào)度請(qǐng)求時(shí)，對(duì)訪(fǎng)問(wèn)第一IP的用戶(hù)終端進(jìn)行身份驗(yàn)證。

在本申請(qǐng)的一個(gè)實(shí)施例中，當(dāng)調(diào)度系統(tǒng)接收到訪(fǎng)問(wèn)第一IP地址的用戶(hù)終端發(fā)送的調(diào)度請(qǐng)求時(shí)，可對(duì)用戶(hù)終端進(jìn)行身份驗(yàn)證。如果用戶(hù)終端為發(fā)動(dòng)攻擊的被黑客控制的機(jī)器，則不通過(guò)驗(yàn)證，不會(huì)將第二IP地址返回至該用戶(hù)終端。如果用戶(hù)終端為正常的用戶(hù)終端，則通過(guò)身份驗(yàn)證。具體地，可通過(guò)用戶(hù)終端的身份標(biāo)識(shí)碼或者通過(guò)校驗(yàn)碼對(duì)用戶(hù)終端進(jìn)行身份驗(yàn)證，具體的驗(yàn)證方式可參照相關(guān)技術(shù)，在此不再贅述。

S306，在通過(guò)身份驗(yàn)證后，將第二IP地址返回至所述用戶(hù)終端，以使用戶(hù)終端通過(guò)第二IP地址訪(fǎng)問(wèn)業(yè)務(wù)目標(biāo)。

如圖2所示，調(diào)度系統(tǒng)接收到來(lái)自用戶(hù)終端的訪(fǎng)問(wèn)IP地址1的請(qǐng)求后，由于IP地址1正在遭受來(lái)自肉雞的DDoS攻擊，調(diào)度系統(tǒng)將IP地址2返回至用戶(hù)終端，使用戶(hù)終端通過(guò)IP地址2訪(fǎng)問(wèn)業(yè)務(wù)目標(biāo)。由于用戶(hù)終端1未能成功通過(guò)IP地址1訪(fǎng)問(wèn)業(yè)務(wù)目標(biāo)，用戶(hù)終端1訪(fǎng)問(wèn)IP地址1的過(guò)程用虛線(xiàn)箭頭表示。其中，肉雞也稱(chēng)傀儡機(jī)，是指可以被黑客遠(yuǎn)程控制的機(jī)器。肉雞通常被用來(lái)發(fā)動(dòng)DDoS攻擊。

S307，通過(guò)發(fā)布黑洞路由屏蔽第一IP地址。

通過(guò)發(fā)布黑洞路由屏蔽第一IP地址，具體指admin將接到的某個(gè)源地址轉(zhuǎn)向null0接口。在本申請(qǐng)的一個(gè)實(shí)施例中，由于被黑洞的IP地址已確定且不再使用，而是通過(guò)可用的第二IP地址訪(fǎng)問(wèn)業(yè)務(wù)目標(biāo)，所以不會(huì)終止正常的用戶(hù)終端對(duì)業(yè)務(wù)目標(biāo)的訪(fǎng)問(wèn)。

在所有訪(fǎng)問(wèn)第一IP地址的用戶(hù)終端通過(guò)第二IP地址訪(fǎng)問(wèn)業(yè)務(wù)目標(biāo)之后，通過(guò)發(fā)布黑洞路由屏蔽第一IP地址，使得DDoS流量立即失效，從而不需要和攻擊者拼資源，降低防御 成本。

為了避免因調(diào)度系統(tǒng)受到攻擊而導(dǎo)致業(yè)務(wù)目標(biāo)無(wú)法正常訪(fǎng)問(wèn)，在本申請(qǐng)的一個(gè)實(shí)施例中，調(diào)度系統(tǒng)接收調(diào)度請(qǐng)求和返回第二IP地址可以通過(guò)兩種不同的方式實(shí)現(xiàn)：通過(guò)DNS解析方式、通過(guò)CDN方式。通過(guò)CDN接收調(diào)度請(qǐng)求和返回第二IP地址，可快速切換IP地址。但由于CDN基于緩存服務(wù)器，只適合用于靜態(tài)資源，因此該方法只能在用戶(hù)終端為客戶(hù)端或者應(yīng)用程序App的情況下實(shí)現(xiàn)。通過(guò)DNS解析方式接收調(diào)度請(qǐng)求和返回第二IP地址，切換IP地址的速度比通過(guò)CDN慢，但是該方法通用性好。

DNS解析是互聯(lián)網(wǎng)中被廣泛應(yīng)用的尋址方式。具體地，如圖5所示，用戶(hù)終端向調(diào)度系統(tǒng)發(fā)送DNS請(qǐng)求，由于在該調(diào)度系統(tǒng)中，一個(gè)域名對(duì)應(yīng)多個(gè)IP地址，若第一IP地址受到DDoS攻擊，則調(diào)度系統(tǒng)獲取域名對(duì)應(yīng)的可用第二IP地址并將第二IP地址返回至用戶(hù)終端，以使用戶(hù)終端通過(guò)第二IP地址訪(fǎng)問(wèn)業(yè)務(wù)目標(biāo)。

圖6為通過(guò)CDN方式接收調(diào)度請(qǐng)求和返回第二IP地址的示意圖。CDN采用流媒體服務(wù)器集群技術(shù)，能夠?qū)崟r(shí)地根據(jù)網(wǎng)絡(luò)流量和各節(jié)點(diǎn)的連接、負(fù)載狀況以及到用戶(hù)的距離和響應(yīng)時(shí)間等綜合信息將用戶(hù)的請(qǐng)求重新導(dǎo)向離用戶(hù)最近的服務(wù)節(jié)點(diǎn)上。如圖6所示，客戶(hù)端或應(yīng)用程序App可通過(guò)內(nèi)置的軟件API(Application Programming Interface，應(yīng)用程序編程接口)或者SDK(Software Development Kit，軟件開(kāi)發(fā)工具包)的方式，通過(guò)發(fā)送http get請(qǐng)求獲取IP地址。其中將調(diào)度系統(tǒng)的請(qǐng)求響應(yīng)結(jié)果緩存在CDN上，同時(shí)隱藏調(diào)度系統(tǒng)的真實(shí)IP地址，從而可避免調(diào)度系統(tǒng)受到攻擊。

本申請(qǐng)實(shí)施例的基于調(diào)度系統(tǒng)的分布式拒絕服務(wù)DDoS防御方法，可為業(yè)務(wù)目標(biāo)分配多個(gè)IP地址，當(dāng)其中的第一IP地址受到DDoS攻擊時(shí)，如果接受到對(duì)第一IP地址的訪(fǎng)問(wèn)請(qǐng)求，可返回當(dāng)前可用的第二IP地址，其中當(dāng)前可用的第二IP地址是對(duì)多個(gè)可用的IP地址進(jìn)行進(jìn)一步篩選而獲得。本申請(qǐng)實(shí)施例的基于調(diào)度系統(tǒng)的DDoS防御方法，能夠減小DDoS攻擊的影響至可控范圍，降低防御成本，并大大減小了因誤殺對(duì)用戶(hù)訪(fǎng)問(wèn)業(yè)務(wù)目標(biāo)造成的影響，改善了受DDoS攻擊用戶(hù)的體驗(yàn)效果。同時(shí)，通過(guò)計(jì)算調(diào)度權(quán)值來(lái)篩選最優(yōu)IP地址，提高了調(diào)度系統(tǒng)的調(diào)度質(zhì)量，進(jìn)一步提高了用戶(hù)體驗(yàn)；通過(guò)兩種方式實(shí)現(xiàn)調(diào)度系統(tǒng)接收調(diào)度請(qǐng)求和返回第二IP地址，能夠有效地防止調(diào)度系統(tǒng)受到攻擊。

為實(shí)現(xiàn)上述實(shí)施例，本申請(qǐng)還提出一種DDoS防御系統(tǒng)。

圖7為本申請(qǐng)一個(gè)實(shí)施例的DDoS防御系統(tǒng)的結(jié)構(gòu)框圖。

如圖7所示，本申請(qǐng)實(shí)施例的DDoS防御系統(tǒng)，包括：獲取模塊10和返回模塊20。

在本申請(qǐng)的一個(gè)實(shí)施例中，獲取模塊10用于當(dāng)監(jiān)測(cè)到對(duì)第一IP地址的DDoS攻擊時(shí)，獲取當(dāng)前可用的第二IP地址。

在本申請(qǐng)的一個(gè)實(shí)施例中，DDoS防御系統(tǒng)的防御過(guò)程可參照?qǐng)D2，調(diào)度系統(tǒng)為業(yè)務(wù)目 標(biāo)分配多個(gè)IP地址。業(yè)務(wù)目標(biāo)為用戶(hù)終端的訪(fǎng)問(wèn)目標(biāo)，例如可以是服務(wù)器等。具體地，調(diào)度系統(tǒng)隱藏了業(yè)務(wù)目標(biāo)的真實(shí)IP地址，并為業(yè)務(wù)目標(biāo)分配多個(gè)IP地址，以使用戶(hù)終端通過(guò)多個(gè)IP地址訪(fǎng)問(wèn)業(yè)務(wù)目標(biāo)，從而將用戶(hù)終端對(duì)業(yè)務(wù)目標(biāo)的訪(fǎng)問(wèn)流量分散到多個(gè)IP地址上。

獲取模塊10具體包括判斷單元11和選擇單元12。

其中判斷單元11用于分別判斷每個(gè)IP地址是否受到DDoS攻擊或者被黑洞。其中，IP地址是否受到DDoS攻擊或者被黑洞可通過(guò)監(jiān)測(cè)多個(gè)IP地址的流量狀態(tài)來(lái)判斷。更具體地，監(jiān)測(cè)多個(gè)IP地址的流量狀態(tài)，并判斷每個(gè)IP地址的流量狀態(tài)是否出現(xiàn)異常，如果出現(xiàn)異常，則判斷流量出現(xiàn)異常的IP地址受到DDoS攻擊或者被黑洞。

選擇單元12用于根據(jù)判斷結(jié)果獲取未受到DDoS攻擊且未被黑洞的至少一個(gè)IP地址，并從至少一個(gè)IP地址中選擇第二IP地址。

未受到DDoS攻擊且未被黑洞的IP地址皆為可用IP地址，在本申請(qǐng)的一個(gè)實(shí)施例中，可通過(guò)選擇調(diào)度權(quán)值最低的一個(gè)IP地址作為第二IP地址來(lái)獲取可用的最優(yōu)IP地址。在本申請(qǐng)的一個(gè)實(shí)施例中，選擇單元12具體用于：

獲取未受到DDoS攻擊且未被黑洞的至少一個(gè)IP地址的CPU空閑排名、寬帶空閑排名、與用戶(hù)終端的IP地址的距離和上一次的調(diào)度時(shí)間。

在本申請(qǐng)的一個(gè)實(shí)施例中，DDoS防御系統(tǒng)可對(duì)每個(gè)IP地址的CPU空閑排名、寬帶空閑排名、與用戶(hù)終端的IP地址的距離和上一次的調(diào)度時(shí)間進(jìn)行監(jiān)測(cè)。從而，可通過(guò)調(diào)度系統(tǒng)獲取未受到DDoS攻擊且未被黑洞的至少一個(gè)IP地址的CPU空閑排名、寬帶空閑排名、與用戶(hù)終端的IP地址的距離和上一次的調(diào)度時(shí)間。

具體地，DDoS防御系統(tǒng)的工作過(guò)程可參照?qǐng)D4所示的調(diào)度系統(tǒng)的工作過(guò)程，如圖4所示，調(diào)度系統(tǒng)可包括流量監(jiān)測(cè)模塊、IP地址健康檢查模塊、IP地址區(qū)域信息模塊和調(diào)度模塊。

其中，流量監(jiān)測(cè)模塊用于監(jiān)測(cè)多個(gè)IP地址的流量狀態(tài)，并以此確定可用的至少一個(gè)IP地址。IP地址健康檢查模塊用于檢查至少一個(gè)IP地址的CPU空閑、寬帶空閑狀況。IP地址區(qū)域信息模塊用于提供至少一個(gè)IP地址的區(qū)域信息，以確定至少一個(gè)IP地址與用戶(hù)終端IP地址的距離。調(diào)度模塊用于記錄用戶(hù)終端每次調(diào)用IP地址的調(diào)度時(shí)間。由此，DDoS防御系統(tǒng)可從DDoS流量監(jiān)測(cè)模塊上查詢(xún)到當(dāng)前可用IP地址列表后，獲取未受到DDoS攻擊且未被黑洞的至少一個(gè)IP地址，并通過(guò)IP地址健康檢查模塊、IP地址區(qū)域信息模塊和調(diào)度模塊獲取至少一個(gè)IP地址的CPU空閑排名、寬帶空閑排名、與用戶(hù)終端的IP地址的距離和上一次的調(diào)度時(shí)間。通過(guò)公式(1)計(jì)算至少一個(gè)IP地址的調(diào)度權(quán)值，并根據(jù)調(diào)度權(quán)值選擇第二IP地址。

W＝N*C+P*WB+Q*D+S*T (1)

其中，W為調(diào)度權(quán)值，C為CPU空閑排名、WB為寬帶空閑排名、D為與用戶(hù)終端的IP地址的距離，T為上一次的調(diào)度時(shí)間，N、P、Q、S分別為C、WB、D、T的權(quán)重系數(shù)。計(jì)算得到至少一個(gè)IP地址的調(diào)度權(quán)值后，將權(quán)值最小的IP作為當(dāng)前可用的第二IP地址。由公式可知，權(quán)值最小，即CPU相對(duì)空閑、帶寬相對(duì)空閑、與用戶(hù)終端的IP地址的距離相對(duì)較小、上一次的調(diào)度時(shí)間較短。以此保證該第二IP地址為可用最優(yōu)IP地址。

在本申請(qǐng)的一個(gè)實(shí)施例中，返回模塊20用于當(dāng)接收到訪(fǎng)問(wèn)第一IP地址的用戶(hù)終端發(fā)送的調(diào)度請(qǐng)求時(shí)，將第二IP地址返回至用戶(hù)終端，以使用戶(hù)終端通過(guò)第二IP地址訪(fǎng)問(wèn)所述業(yè)務(wù)目標(biāo)。

在本申請(qǐng)的一個(gè)實(shí)施例中，如圖8所示，該系統(tǒng)還可包括黑洞模塊30，黑洞模塊30用于在所有訪(fǎng)問(wèn)第一IP地址的用戶(hù)終端通過(guò)第二IP地址訪(fǎng)問(wèn)業(yè)務(wù)目標(biāo)之后，通過(guò)發(fā)布黑洞路由屏蔽第一IP地址，使得DDoS流量立即失效，從而不需要和攻擊者拼資源，降低防御成本。

其中，通過(guò)發(fā)布黑洞路由屏蔽第一IP地址，具體指admin將接到的某個(gè)源地址轉(zhuǎn)向null0接口。在本申請(qǐng)的一個(gè)實(shí)施例中，由于被黑洞的IP地址已確定且不再使用，而是通過(guò)可用的第二IP地址訪(fǎng)問(wèn)業(yè)務(wù)目標(biāo)，所以不會(huì)終止正常的用戶(hù)終端對(duì)業(yè)務(wù)目標(biāo)的訪(fǎng)問(wèn)。

如圖9所示，根據(jù)本申請(qǐng)實(shí)施例的DDoS防御系統(tǒng)，還可包括：驗(yàn)證模塊40。

驗(yàn)證模塊40用于：當(dāng)DDoS防御系統(tǒng)接收到訪(fǎng)問(wèn)第一IP地址的用戶(hù)終端發(fā)送的調(diào)度請(qǐng)求時(shí)，對(duì)用戶(hù)終端進(jìn)行身份驗(yàn)證。如果用戶(hù)終端為發(fā)動(dòng)攻擊的被黑客控制的機(jī)器，則不通過(guò)驗(yàn)證，不會(huì)將第二IP地址返回至該用戶(hù)終端。如果用戶(hù)終端為正常的用戶(hù)終端，則通過(guò)身份驗(yàn)證。具體地，可通過(guò)用戶(hù)終端的身份標(biāo)識(shí)碼或者通過(guò)校驗(yàn)碼對(duì)用戶(hù)終端進(jìn)行身份驗(yàn)證，具體的驗(yàn)證方式可參照相關(guān)技術(shù)，在此不再贅述。

返回模塊20在用戶(hù)終端通過(guò)身份驗(yàn)證后，將第二IP地址返回至用戶(hù)終端，以使用戶(hù)終端通過(guò)第二IP地址訪(fǎng)問(wèn)業(yè)務(wù)目標(biāo)。通過(guò)對(duì)用戶(hù)終端進(jìn)行身份驗(yàn)證，可在一定程度上防止業(yè)務(wù)目標(biāo)遭受攻擊。

為了避免因DDoS防御系統(tǒng)受到攻擊而導(dǎo)致業(yè)務(wù)目標(biāo)無(wú)法正常訪(fǎng)問(wèn)，在本申請(qǐng)的一個(gè)實(shí)施例中，DDoS防御系統(tǒng)接收調(diào)度請(qǐng)求和返回第二IP地址可以通過(guò)兩種不同的方式實(shí)現(xiàn)：通過(guò)DNS解析方式、通過(guò)CDN方式。通過(guò)CDN接收調(diào)度請(qǐng)求和返回第二IP地址，可快速切換IP地址。但由于CDN基于緩存服務(wù)器，只適合用于靜態(tài)資源，因此該方法只能在用戶(hù)終端為客戶(hù)端或者應(yīng)用程序App的情況下實(shí)現(xiàn)。通過(guò)DNS解析方式接收調(diào)度請(qǐng)求和返回第二IP地址，切換IP地址的速度比通過(guò)CDN慢，但是該方法通用性好。

DNS解析是互聯(lián)網(wǎng)中被廣泛應(yīng)用的尋址方式。具體地，可參照?qǐng)D5，用戶(hù)終端向DDoS防御系統(tǒng)發(fā)送DNS請(qǐng)求，由于在該DDoS防御系統(tǒng)中，一個(gè)域名對(duì)應(yīng)多個(gè)IP地址，若第一 IP地址受到DDoS攻擊，則DDoS防御系統(tǒng)獲取域名對(duì)應(yīng)的可用第二IP地址并將第二IP地址返回至用戶(hù)終端，以使用戶(hù)終端通過(guò)第二IP地址訪(fǎng)問(wèn)業(yè)務(wù)目標(biāo)。

CDN采用流媒體服務(wù)器集群技術(shù)，能夠?qū)崟r(shí)地根據(jù)網(wǎng)絡(luò)流量和各節(jié)點(diǎn)的連接、負(fù)載狀況以及到用戶(hù)的距離和響應(yīng)時(shí)間等綜合信息將用戶(hù)的請(qǐng)求重新導(dǎo)向離用戶(hù)最近的服務(wù)節(jié)點(diǎn)上。具體地，可參照?qǐng)D6，客戶(hù)端或應(yīng)用程序App可通過(guò)內(nèi)置的軟件API(Application Programming Interface，應(yīng)用程序編程接口)或者SDK(Software Development Kit，軟件開(kāi)發(fā)工具包)的方式，通過(guò)發(fā)送http get請(qǐng)求獲取IP地址。其中將調(diào)度系統(tǒng)的請(qǐng)求響應(yīng)結(jié)果緩存在CDN上，同時(shí)隱藏調(diào)度系統(tǒng)的真實(shí)IP地址，從而可避免調(diào)度系統(tǒng)受到攻擊。

本申請(qǐng)實(shí)施例的DDoS防御系統(tǒng)，可為業(yè)務(wù)目標(biāo)分配多個(gè)IP地址，當(dāng)其中的第一IP地址受到DDoS攻擊時(shí)，如果接受到對(duì)第一IP地址的訪(fǎng)問(wèn)請(qǐng)求，可返回當(dāng)前可用的第二IP地址，其中當(dāng)前可用的第二IP地址是對(duì)多個(gè)可用的IP地址進(jìn)行進(jìn)一步篩選而獲得。本申請(qǐng)實(shí)施例的基于調(diào)度系統(tǒng)的DDoS防御方法，能夠減小DDoS攻擊的影響至可控范圍，降低防御成本，并大大減小了因誤殺對(duì)用戶(hù)訪(fǎng)問(wèn)業(yè)務(wù)目標(biāo)造成的影響，改善了受DDoS攻擊用戶(hù)的體驗(yàn)效果。同時(shí)，通過(guò)計(jì)算調(diào)度權(quán)值來(lái)篩選最優(yōu)IP地址，提高了調(diào)度系統(tǒng)的調(diào)度質(zhì)量，進(jìn)一步提高了用戶(hù)體驗(yàn)；通過(guò)兩種方式實(shí)現(xiàn)調(diào)度系統(tǒng)接收調(diào)度請(qǐng)求和返回第二IP地址，能夠有效地防止調(diào)度系統(tǒng)受到攻擊。

流程圖中或在此以其他方式描述的任何過(guò)程或方法描述可以被理解為，表示包括一個(gè)或更多個(gè)用于實(shí)現(xiàn)特定邏輯功能或過(guò)程的步驟的可執(zhí)行指令的代碼的模塊、片段或部分，并且本申請(qǐng)的優(yōu)選實(shí)施方式的范圍包括另外的實(shí)現(xiàn)，其中可以不按所示出或討論的順序，包括根據(jù)所涉及的功能按基本同時(shí)的方式或按相反的順序，來(lái)執(zhí)行功能，這應(yīng)被本申請(qǐng)的實(shí)施例所屬技術(shù)領(lǐng)域的技術(shù)人員所理解。

在流程圖中表示或在此以其他方式描述的邏輯和/或步驟，例如，可以被認(rèn)為是用于實(shí)現(xiàn)邏輯功能的可執(zhí)行指令的定序列表，可以具體實(shí)現(xiàn)在任何計(jì)算機(jī)可讀介質(zhì)中，以供指令執(zhí)行系統(tǒng)、裝置或設(shè)備(如基于計(jì)算機(jī)的系統(tǒng)、包括處理器的系統(tǒng)或其他可以從指令執(zhí)行系統(tǒng)、裝置或設(shè)備取指令并執(zhí)行指令的系統(tǒng))使用，或結(jié)合這些指令執(zhí)行系統(tǒng)、裝置或設(shè)備而使用。就本說(shuō)明書(shū)而言，"計(jì)算機(jī)可讀介質(zhì)"可以是任何可以包含、存儲(chǔ)、通信、傳播或傳輸程序以供指令執(zhí)行系統(tǒng)、裝置或設(shè)備或結(jié)合這些指令執(zhí)行系統(tǒng)、裝置或設(shè)備而使用的裝置。計(jì)算機(jī)可讀介質(zhì)的更具體的示例(非窮盡性列表)包括以下：具有一個(gè)或多個(gè)布線(xiàn)的電連接部(電子裝置)，便攜式計(jì)算機(jī)盤(pán)盒(磁裝置)，隨機(jī)存取存儲(chǔ)器(RAM)，只讀存儲(chǔ)器(ROM)，可擦除可編輯只讀存儲(chǔ)器(EPROM或閃速存儲(chǔ)器)，光纖裝置，以及便攜式光盤(pán)只讀存儲(chǔ)器(CDROM)。另外，計(jì)算機(jī)可讀介質(zhì)甚至可以是可在其上打印所述程序的紙或其他合適的介質(zhì)，因?yàn)榭梢岳缤ㄟ^(guò)對(duì)紙或其他介質(zhì)進(jìn)行光學(xué)掃描，接著進(jìn)行編輯、解譯或必要時(shí)以其 他合適方式進(jìn)行處理來(lái)以電子方式獲得所述程序，然后將其存儲(chǔ)在計(jì)算機(jī)存儲(chǔ)器中。

應(yīng)當(dāng)理解，本申請(qǐng)的各部分可以用硬件、軟件、固件或它們的組合來(lái)實(shí)現(xiàn)。在上述實(shí)施方式中，多個(gè)步驟或方法可以用存儲(chǔ)在存儲(chǔ)器中且由合適的指令執(zhí)行系統(tǒng)執(zhí)行的軟件或固件來(lái)實(shí)現(xiàn)。例如，如果用硬件來(lái)實(shí)現(xiàn)，和在另一實(shí)施方式中一樣，可用本領(lǐng)域公知的下列技術(shù)中的任一項(xiàng)或他們的組合來(lái)實(shí)現(xiàn)：具有用于對(duì)數(shù)據(jù)信號(hào)實(shí)現(xiàn)邏輯功能的邏輯門(mén)電路的離散邏輯電路，具有合適的組合邏輯門(mén)電路的專(zhuān)用集成電路，可編程門(mén)陣列(PGA)，現(xiàn)場(chǎng)可編程門(mén)陣列(FPGA)等。

本技術(shù)領(lǐng)域的普通技術(shù)人員可以理解實(shí)現(xiàn)上述實(shí)施例方法攜帶的全部或部分步驟是可以通過(guò)程序來(lái)指令相關(guān)的硬件完成，所述的程序可以存儲(chǔ)于一種計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)中，該程序在執(zhí)行時(shí)，包括方法實(shí)施例的步驟之一或其組合。

此外，在本申請(qǐng)各個(gè)實(shí)施例中的各功能單元可以集成在一個(gè)處理模塊中，也可以是各個(gè)單元單獨(dú)物理存在，也可以?xún)蓚€(gè)或兩個(gè)以上單元集成在一個(gè)模塊中。上述集成的模塊既可以采用硬件的形式實(shí)現(xiàn)，也可以采用軟件功能模塊的形式實(shí)現(xiàn)。所述集成的模塊如果以軟件功能模塊的形式實(shí)現(xiàn)并作為獨(dú)立的產(chǎn)品銷(xiāo)售或使用時(shí)，也可以存儲(chǔ)在一個(gè)計(jì)算機(jī)可讀取存儲(chǔ)介質(zhì)中。

上述提到的存儲(chǔ)介質(zhì)可以是只讀存儲(chǔ)器，磁盤(pán)或光盤(pán)等。

在本說(shuō)明書(shū)的描述中，參考術(shù)語(yǔ)“一個(gè)實(shí)施例”、“一些實(shí)施例”、“示例”、“具體示例”、或“一些示例”等的描述意指結(jié)合該實(shí)施例或示例描述的具體特征、結(jié)構(gòu)、材料或者特點(diǎn)包含于本申請(qǐng)的至少一個(gè)實(shí)施例或示例中。在本說(shuō)明書(shū)中，對(duì)上述術(shù)語(yǔ)的示意性表述不一定指的是相同的實(shí)施例或示例。而且，描述的具體特征、結(jié)構(gòu)、材料或者特點(diǎn)可以在任何的一個(gè)或多個(gè)實(shí)施例或示例中以合適的方式結(jié)合。

盡管已經(jīng)示出和描述了本申請(qǐng)的實(shí)施例，本領(lǐng)域的普通技術(shù)人員可以理解：在不脫離本申請(qǐng)的原理和宗旨的情況下可以對(duì)這些實(shí)施例進(jìn)行多種變化、修改、替換和變型，本申請(qǐng)的范圍由權(quán)利要求及其等同限定。