流量攻击的防护方法、控制装置、处理装置及系统制造方法及图纸

本发明专利技术实施例公开了一种流量攻击的防护方法、控制装置、处理装置及系统；本发明专利技术实施例采用与流量入口处的边界路由器建立邻居关系，然后，接收该流量入口处的入侵检测系统发送的流量攻击防护请求，该流量攻击防护请求携带流量受攻击的目标网络地址，根据该流量攻击防护请求生成相应的路由信息，该路由信息包括目标网络地址和路由地址信息，基于该邻居关系向该边界路由器发送该路由信息，以使得该边界路由器根据该路由信息对该目标网络地址对应的流量进行防护处理；该方案可以提升流量攻击防护系统的可靠性、稳定性、可维护性以及防护时效性。

The protection method, control device, processing device and system of traffic attack

The implementation of protection methods, discloses an attack flow controlling device of the invention, a device and a system; the embodiment of the invention to establish relations between neighbors, the border router and flow at the entrance and then send the intrusion detection system receives the traffic flow at the entrance of the attack protection request, the target network address of the request to carry traffic attack protection the flow of the attack, according to the traffic attack protection request to generate corresponding routing information, the routing information including the destination network address and routing address information to the border router sends the routing information based on the neighbor relationship, so that the boundary router according to the protection processing of the target network address corresponding to the flow of the routing information; this scheme can improve the flow attack protection system reliability, stability, maintainability and aging protection Of.

【技术实现步骤摘要】
流量攻击的防护方法、控制装置、处理装置及系统
本专利技术涉及网络安全
，具体涉及一种流量攻击的防护方法、控制装置、处理装置及系统。
技术介绍
随着互联网技术的发展与应用普及，网络上的多业务系统面临着更多、更复杂的网络攻击行为，其中，DDoS(DistributedDenialofService，分布式拒绝服务)便是一种较为严重的网络攻击行为，它利用大量的傀儡机对某个系统同时发起攻击，使得受攻击的该系统因带宽拥塞或服务器资源耗尽等原因而无法支持正常的业务访问。目前，为了防护DDoS攻击，服务提供商通常以分布式部署的方式，通过在其每个网络流量入口处分别部署一套DDoS防护系统，通过DDoS监测，清洗以及封堵来进行DDoS防护。参考图1，对于每套DDoS防护系统，首先在网络流量入口处利用分光器将来自互联网的流量进行全部复制，并导入到入IDS（IntrusionDetectionSystem，入侵检测系统）进行攻击流量分析检测。对于受攻击IP，根据IDS检测到受攻击程度的大小进行相应的防护操作。具体地，如果攻击流量小于特定阈值，则DDoS清洗系统通过通告牵引路由给边界路由器，将受攻击IP的流量引入本地进行攻击流量清洗；如果攻击流量大于特定阈值，超出清洗能力，IDS则直接通过网管系统登陆到边界路由器上配置静态黑洞路由，直接将受攻击IP的所有流量丢弃在边界路由器。然而，目前DDoS防护系统，与边界路由器建立eBGP邻居并通告牵引路由。这需要DDoS清洗系统将安全功能模块和网络功能模块进行融合，以实现支持路由协议栈。这样就会大大提升DDoS清洗系统的复杂度，降低了流量攻击防护系统的稳定性和可维护性。另外，在进行DDoS封堵时，DDoS防护系统必须引入网管系统进行黑洞路由的配置下发。由于额外增加的中间模块进行封堵，降低了目前DDoS防护系统封堵流量的时效性；并且在短时间遭受频繁DDoS攻击的场景下，由于需要在设备上频繁配置大量黑洞路由进行封堵，因此会对某些设备的CPU造成极大冲击，降低了DDoS防护系统的可靠性和稳定性。
技术实现思路
本专利技术实施例提供一种流量攻击的防护方法、控制装置、处理装置及系统，可以提升流量攻击防护系统的可靠性、稳定性、可维护性以及防护时效性。本专利技术实施例提供一种流量攻击的防护方法，包括：与流量入口处的边界路由器建立邻居关系；接收所述流量入口处的入侵检测系统发送的流量攻击防护请求，所述流量攻击防护请求携带流量受攻击的目标网络地址；根据所述流量攻击防护请求生成相应的路由信息，所述路由通道信息包括所述目标网络地址和路由地址信息；基于所述邻居关系向所述边界路由器发送所述路由信息，以使得所述边界路由器根据所述路由信息对所述目标网络地址对应的流量进行防护处理。相应的，本专利技术实施例还提供了一种流量攻击的防护控制装置，包括：建立单元，用于与流量入口处的边界路由器建立邻居关系；接收单元，用于接收所述流量入口处的入侵检测系统发送的流量攻击防护请求，所述流量攻击防护请求携带流量受攻击的目标网络地址；生成单元，用于根据所述流量攻击防护请求生成相应的路由信息，所述路由通道信息包括所述目标网络地址和路由地址信息；发送单元，用于基于所述邻居关系向所述边界路由器发送所述路由信息，以使得所述边界路由器根据所述路由信息对所述目标网络地址对应的流量进行防护处理。本专利技术实施例还提另一种流量攻击的防护方法，包括：与控制器建立邻居关系；基于所述邻居关系接收所述控制器发送的路由信息，所述路由信息包括：路由地址信息和流量受攻击的目标网络地址；根据所述路由信息对所述目标网络地址对应的流量进行防护处理。相应的，本专利技术实施例还提供了一种流量攻击的防护处理装置，包括：建立单元，用于与控制器建立邻居关系；接收单元，用于基于所述邻居关系接收所述控制器发送的路由信息，所述路由信息包括：路由地址信息和流量受攻击的目标网络地址；防护处理单元，用于根据所述路由信息对所述目标网络地址对应的流量进行防护处理。相应的，本专利技术实施例还提供了一种流量攻击的防护系统，包括本专利技术实施例提供的任一防护控制装置和本专利技术实施例提供的任一防护处理装置。本专利技术实施例采用与流量入口处的边界路由器建立邻居关系，然后，接收该流量入口处的入侵检测系统发送的流量攻击防护请求，该流量攻击防护请求携带流量受攻击的目标网络地址，根据该流量攻击防护请求生成相应的路由信息，该路由信息包括该目标网络地址和路由地址信息，基于该邻居关系向该边界路由器发送该路由信息，以使得该边界路由器根据该路由信息对该目标网络地址对应的流量进行防护处理；由于该方案可以直接与边界路由器建立邻居关系，并向边界路由器发送路由信息，实现流量攻击的防护控制，一方面该方案可以将流量清洗系统中的网络功能模块进行剥离，简化流量清洗系统，提升了流量攻击防护系统的稳定性和可维护性；另一方面该方案无需依赖网管系统对边界路由器进行控制，即可实现流量防护，减少了中间模块的需求以及对设备CPU的冲击，提升了流量攻击防护系统的时效性和可靠性。附图说明为了更清楚地说明本专利技术实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于本领域技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1是现有流量攻击防护系统的结构示意图；图2a是本专利技术实施例提供的流量攻击的防护系统的场景示意图；图2b是本专利技术实施例提供的流量攻击的防护方法的流程示意图；图3是本专利技术实施例提供的流量攻击的防护方法的另一流程示意图；图4a是本专利技术实施例提供的流量攻击的防护系统的另一场景示意图；图4b是本专利技术实施例提供的流量攻击的防护方法的又一流程示意图；图4c是本专利技术实施例提供的流量清洗的示意图；图4d是本专利技术实施例提供的流量封堵的示意图；图4e是本专利技术实施例提供的地址关系示意图；图5是本专利技术实施例提供的控制器集群的结构示意图；图6是本专利技术实施例提供的流量攻击的防护控制装置的结构示意图；图7a是本专利技术实施例提供的流量攻击的防护处理装置的结构示意图；图7b是本专利技术实施例提供的流量攻击的防护处理装置的另一结构示意图。具体实施方式下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。本专利技术实施例提供一种流量攻击的防护方法、控制装置、处理装置及系统。该流量攻击防护系统可以包括本专利技术实施例所提供的任一种流量攻击的防护控制装置和任一种流量攻击的防护处理装置。其中，该防护控制装置可以集成在控制器等设备，比如，可以集成在SDN（SoftwareDefinedNetwork，软件定义网络）控制器中，该防护控制装置还可以集成在控制器集群内成员控制器或者总控设备内。该防护处理装置可以集成在路由器中，如流量入口处的边界路由器。以防护处理装置集成在控制器、以及防护处理装置集成在边界路由器为例，在如图2a所示，该流量攻击防护系统包括：控制器和流量入口处的边界路由器，其中，边界路由器可以位于同一个网络中，如同一个骨干网本文档来自技高网...

【技术保护点】
一种流量攻击的防护方法，其特征在于，包括：与流量入口处的边界路由器建立邻居关系；接收所述流量入口处的入侵检测系统发送的流量攻击防护请求，所述流量攻击防护请求携带流量受攻击的目标网络地址；根据所述流量攻击防护请求生成相应的路由信息，所述路由通道信息包括所述目标网络地址和路由地址信息；基于所述邻居关系向所述边界路由器发送所述路由信息，以使得所述边界路由器根据所述路由信息对所述目标网络地址对应的流量进行防护处理。

【技术特征摘要】
1.一种流量攻击的防护方法，其特征在于，包括：与流量入口处的边界路由器建立邻居关系；接收所述流量入口处的入侵检测系统发送的流量攻击防护请求，所述流量攻击防护请求携带流量受攻击的目标网络地址；根据所述流量攻击防护请求生成相应的路由信息，所述路由通道信息包括所述目标网络地址和路由地址信息；基于所述邻居关系向所述边界路由器发送所述路由信息，以使得所述边界路由器根据所述路由信息对所述目标网络地址对应的流量进行防护处理。2.如权利要求1所述的防护方法，其特征在于，所述根据所述流量攻击防护请求生成相应的路由信息，包括：对所述流量攻击防护请求进行解析，得到所述目标网络地址；设定所述目标网络地址对应的路由下一跳地址；根据所述目标网络地址和所述路由下一跳地址生成相应的路由信息，所述路由信息包括所述目标网络地址和所述路由下一跳地址。3.如权利要求2所述的防护方法，其特征在于，所述流量攻击防护请求包括：流量过滤请求，所述路由下一跳地址指向流量攻击处理系统；基于所述邻居关系向所述边界路由器通告所述路由信息，以使得所述边界路由器根据所述路由信息对所述目标网络地址对应的流量进行防护处理，包括：基于所述邻居关系向所述边界路由器通告所述路由信息，以使得所述边界路由器根据所述路由信息所述目标网络地址对应的流量引入所述流量处理系统进行流量过滤处理。4.如权利要求2所述的防护方法，其特征在于，所述流量攻击防护请求包括：流量封堵请求，所述路由下一跳地址指向空接口；基于所述邻居关系向所述边界路由器发送所述路由信息，以使得所述边界路由器根据所述路由信息对所述目标网络地址对应的流量进行防护处理，包括：基于所述邻居关系向所述边界路由器发送所述路由信息，以使得所述边界路由器根据所述路由信息对所述目标网络地址对应的流量进行丢弃。5.一种流量攻击的防护方法，其特征在于，包括：与控制器建立邻居关系；基于所述邻居关系接收所述控制器发送的路由信息，所述路由信息包括：路由地址信息和流量受攻击的目标网络地址；根据所述路由信息对所述目标网络地址对应的流量进行防护处理。6.如权利要求5所述的防护方法，其特征在于，根据所述路由信息对所述目标网络地址对应的流量进行防护处理，包括：根据所述路由信息将所述目标网络地址对应的流量引入流量攻击处理系统，以便所述流量攻击处理系统对目标网络地址对应的流量进行过滤；接收所述流量攻击处理系统返回的过滤后的流量。7.如权利要求5所述的防护方法，其特征在于，根据所述路由信息对所述目标网络地址对应的流量进行防护处理，包括：根据所述路由信息对所述目标网络地址对应的流量进行丢弃。8.如权利要求7所述的防护方法，其特征在于，所述路由地址信息包括：所述目标网络地址对应的路由下一跳地址，所述路由下一跳地址指向空接口；所述根据所述路由信息对所述目标网络地址对应的流量进行丢弃，包括：根据所述路由下一跳地址获取相应的接口；当所述接口为空接口时，对所述目标网络地址对应的流量进行丢弃。9.如权利要求5所述的防护方法，其特征在于，所述路由信息还包括路由信息对应的优先级，所述路由信息对应的优先级高于本地路由信息的优先级，所述本地路由信息为本地所述目标网络地址对应的路由信息...

【专利技术属性】
技术研发人员：米鹏辉，陆素建，
申请(专利权)人：腾讯科技深圳有限公司，
类型：发明
国别省市：广东,44