CN109995714B - 一种处置流量的方法、装置和系统 - Google Patents

一种处置流量的方法、装置和系统 Download PDF

Info

Publication number
CN109995714B
CN109995714B CN201711486602.2A CN201711486602A CN109995714B CN 109995714 B CN109995714 B CN 109995714B CN 201711486602 A CN201711486602 A CN 201711486602A CN 109995714 B CN109995714 B CN 109995714B
Authority
CN
China
Prior art keywords
traffic
flow
target
service gateway
router
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201711486602.2A
Other languages
English (en)
Other versions
CN109995714A (zh
Inventor
王易戈
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Mobile Communications Group Co Ltd
China Mobile Hangzhou Information Technology Co Ltd
Original Assignee
China Mobile Communications Group Co Ltd
China Mobile Hangzhou Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Mobile Communications Group Co Ltd, China Mobile Hangzhou Information Technology Co Ltd filed Critical China Mobile Communications Group Co Ltd
Priority to CN201711486602.2A priority Critical patent/CN109995714B/zh
Publication of CN109995714A publication Critical patent/CN109995714A/zh
Application granted granted Critical
Publication of CN109995714B publication Critical patent/CN109995714B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及通信技术领域,特别涉及一种处置流量的方法、装置和系统。根据本发明实施例提供的一种处置流量的方法,出口路由器在收到用户设备发送的目标流量后,根据预设的出口路由器与业务网关的对应关系,向所述出口路由器对应的业务网关发送所述目标流量,使得业务网关根据网关管理平台针对目标流量下发的处置命令将目标流量发送至出口路由器,由出口路由器旁挂的流量清洗设备对目标流量进行清洗,并由出口路由器将清洗后的目标流量发送至省核心网,从而提供了一种基于运营商网络架构的流量处置方法,在用户流量进入核心网之前进行恶意流量的预分析并进行恶意流量的清洗,能够避免恶意流量绕过运营商SR下行通道的防护节点导致防护失效的问题。

Description

一种处置流量的方法、装置和系统
技术领域
本发明涉及通信技术领域,特别涉及一种处置流量的方法、装置和系统。
背景技术
DDoS(Distributed Denial of Service,分布式拒绝服务)攻击是一种可以造成大规模破坏的黑客武器,它通过制造伪造的流量,使得被攻击的服务器、网络链路或是网络设备(如防火墙、路由器等)负载过高,从而最终导致系统崩溃,无法提供正常的服务。
现有技术方案中对DDoS攻击等恶意流量的处置方式是在防护节点部署专用设备,用于避免防护节点受到恶意流量的攻击,这样的处置方法大多通过专用设备进行恶意流量的检测、清洗与回注能力。然而现有技术中由于防护节点部署在运营商SR(ServiceRouter,全业务路由器)下行通道,仅能在恶意流量到达时进行检测与处置,因此恶意流量攻击发起者在得知防护逻辑与部署的情况下,可操纵攻击流量从其他运营商上层SR节点进行转发绕过,导致了TCP/IP(Transmission Control Protocol/Internet Protocol,传输控制协议/网际协议)模型中的网络层与传输层防护失效问题。
综上,现有技术中在防护节点部署专用设备的恶意流量攻击防护方式,存在被恶意流量绕过导致防护失效。
发明内容
本发明提供一种处置流量的方法、装置和系统,用以解决现有技术中存在的在防护节点部署专用设备的恶意流量攻击防护方式,存在被恶意流量绕过导致防护失效的问题。
本发明实施例提供的一种处置流量的方法,包括:
出口路由器在收到用户设备发送的目标流量后,根据预设的出口路由器与业务网关的对应关系,向所述出口路由器对应的业务网关发送所述目标流量;
所述出口路由器接收所述业务网关发送的所述目标流量,所述目标流量是所述业务网关根据处置命令发送至所述出口路由器的,所述处置命令是所述业务网关在向网关管理平台发送所述目标流量的流量分析数据,且所述网关管理平台在根据所述流量分析数据确定所述目标流量中存在恶意流量后,所述网关管理平台根据所述流量分析数据确定并发送至所述业务网关的,所述流量分析数据是所述业务网关旁挂的流量分析溯源能力设备根据发送至所述业务网关的所述目标流量确定并发送至所述业务网关的;
所述出口路由器将所述目标流量发送至所述出口路由器对应的流量清洗设备;
所述出口路由器接收所述流量清洗设备发送的清洗后的目标流量;
所述出口路由器将清洗后的目标流量发送至省核心网;
其中,所述出口路由器为省核心网出口路由器。
可选地,所述出口路由器根据预设的出口路由器与业务网关的对应关系,向所述出口路由器对应的业务网关发送所述目标流量,包括:
所述出口路由器根据预先建立的出口路由器边界网关协议BGP邻居关系确定与所述出口路由器具有BGP Flow对等体关系的业务网关,将用户设备发送的目标流量牵引至所述业务网关。
可选地,所述出口路由器将所述回注流量发送至省核心网,包括:
所述出口路由器通过预先确定的标签交换路径LSP将清洗后的目标流量发送至省核心网。
本发明实施例提供的一种处置流量的方法,包括:
业务网关接收出口路由器发送的目标流量;
所述业务网关将所述目标流量发送至所述业务网关旁挂的流量分析溯源能力设备;
所述业务网关接收所述流量分析溯源能力设备根据所述目标流量确定发送的流量分析数据,以及接收所述流量分析溯源能力设备确定所述流量分析数据后发送的所述目标流量;
所述业务网关将所述流量分析数据发送至网关管理平台;
所述业务网关接收所述网关管理平台发送的处置命令,所述处置命令是所述网关管理平台根据所述流量分析数据确定所述目标流量中存在恶意流量后,根据所述流量分析数据确定的;
所述业务网关根据所述处置命令将所述目标流量发送至所述出口路由器,以使所述出口路由器在收到所述目标流量后,将所述目标流量发送至所述出口路由器对应的流量清洗设备,以及使所述出口路由器将所述流量清洗设备发送的清洗后的目标流量发送至省核心网;
其中,所述出口路由器为省核心网出口路由器。
本发明实施例提供的一种处置流量的方法,包括:
流量分析溯源能力设备接收业务网关发送的目标流量;
所述流量分析溯源能力设备根据所述目标流量确定流量分析数据;
所述流量分析溯源能力设备将所述流量分析数据发送至所述业务网关,以及将所述目标流量发送至所述业务网关,所述流量分析数据用于所述业务网关确定所述目标流量的处置命令,所述处置命令是所述业务网关在向网关管理平台发送所述目标流量的流量分析数据,且所述网关管理平台在根据所述流量分析数据确定所述目标流量中存在恶意流量后,所述网关管理平台根据所述流量分析数据确定并发送至所述业务网关的,所述处置命令用于所述出口路由器将所述目标流量发送至所述出口路由器,以使所述出口路由器将所述目标流量发送至所述出口路由器对应的流量清洗设备并将所述流量清洗设备发送的清洗后的目标流量发送至省核心网;
其中,所述出口路由器为省核心网出口路由器。
本发明实施例提供的一种处置流量的方法,包括:
网关管理平台接收业务网关发送的目标流量的流量分析数据,所述流量分析数据是所述业务网关旁挂的流量分析溯源能力设备根据发送至所述业务网关的所述目标流量确定并发送至所述业务网关的;
所述网关管理平台在根据所述流量分析数据确定所述目标流量中存在恶意流量后,所述网关管理平台根据所述流量分析数据确定所述目标流量的处置命令;
所述网关管理平台将所述处置命令发送至所述业务网关,以使所述业务网关将所述处置命令根据所述处置命令将所述目标流量发送至所述出口路由器,以使所述出口路由器在收到所述目标流量后将所述目标流量发送至所述出口路由器对应的流量清洗设备,以及使所述出口路由器将所述流量清洗设备发送的清洗后的目标流量发送至省核心网;
其中,所述出口路由器为省核心网出口路由器。
可选地,该方法还包括:
所述网关管理平台接收多个备选业务网关发送的所述备选业务网关对应的备选出口路由器所对应的备选流量清洗设备的流量清洗状态信息,以及接收至少一个受攻击业务网关发送的受攻击出口路由器对应的流量清洗设备的流量清洗状态信息和所述受攻击出口路由器受到的攻击流量的流量信息,所述受攻击业务网关为所述受攻击出口路由器对应的业务网关;
所述网关管理平台根据所述流量清洗状态信息和所述流量信息,确定目标流量清洗设备;
所述网关管理平台指示所述受攻击业务网关将所述流量信息所属的攻击流量发送至所述目标流量清洗设备进行清洗。
可选地,若所述流量清洗状态信息包括流量清洗设备的占用率和流量清洗设备的最大清洗能力值,所述流量信息包括所述攻击流量的流量峰值,所述确定目标流量清洗设备,包括:
所述网关管理平台根据所述受攻击出口路由器的流量清洗设备的流量清洗状态信息,判断所述受攻击出口路由器对应的流量清洗设备的剩余清洗能力值是否不低于所述攻击流量的流量峰值,若是,则将所述受攻击出口路由器对应的流量清洗设备作为所述目标流量清洗设备;
否则,所述网关管理平台采用迭代方式从备选流量清洗设备中确定所述目标流量清洗设备。
本发明实施例提供的一种处置流量的出口路由器,包括:
第一目标流量发送模块,用于在收到用户设备发送的目标流量后,根据预设的出口路由器与业务网关的对应关系,向所述出口路由器对应的业务网关发送所述目标流量;
第一目标流量接收模块,用于接收所述业务网关发送的所述目标流量,所述目标流量是所述业务网关根据处置命令发送至所述出口路由器的,所述处置命令是所述业务网关在向网关管理平台发送所述目标流量的流量分析数据,且所述网关管理平台在根据所述流量分析数据确定所述目标流量中存在恶意流量后,所述网关管理平台根据所述流量分析数据确定并发送至所述业务网关的,所述流量分析数据是所述业务网关旁挂的流量分析溯源能力设备根据发送至所述业务网关的所述目标流量确定并发送至所述业务网关的;
第二流量发送模块,用于将所述目标流量发送至所述出口路由器对应的流量清洗设备;
第二目标流量接收模块,用于接收所述流量清洗设备发送的清洗后的目标流量;
第三目标流量发送模块,用于将清洗后的目标流量发送至省核心网;
其中,所述出口路由器为省核心网出口路由器。
可选地,所述第一目标流量发送模块具体用于:
根据预先建立的出口路由器边界网关协议BGP邻居关系确定与所述出口路由器具有BGP Flow对等体关系的业务网关,将用户设备发送的目标流量牵引至所述业务网关。
可选地,所述第三目标流量发送模块具体用于:
通过预先确定的标签交换路径LSP将清洗后的目标流量发送至省核心网。
本发明实施例提供的一种处置流量的业务网关,包括:
第三目标流量接收模块,用于接收出口路由器发送的目标流量;
第四目标流量发送模块,用于将所述目标流量发送至所述业务网关旁挂的流量分析溯源能力设备;
第四目标流量接收模块,用于接收所述流量分析溯源能力设备根据所述目标流量确定发送的流量分析数据,以及接收所述流量分析溯源能力设备确定所述流量分析数据后发送的所述目标流量;
流量分析数据发送模块,用于将所述流量分析数据发送至网关管理平台;
处置命令接收模块,接收所述网关管理平台发送的处置命令,所述处置命令是所述网关管理平台根据所述流量分析数据确定所述目标流量中存在恶意流量后,根据所述流量分析数据确定的;
第五目标流量发送模块,用于根据所述处置命令将所述目标流量发送至所述出口路由器,以使所述出口路由器在收到所述目标流量后,将所述目标流量发送至所述出口路由器对应的流量清洗设备,以及使所述出口路由器将所述流量清洗设备发送的清洗后的目标流量发送至省核心网;
其中,所述出口路由器为省核心网出口路由器。
本发明实施例提供的一种处置流量的流量分析溯源能力设备,包括:
第五目标流量接收模块,用于接收业务网关发送的目标流量;
流量分析数据确定模块,用于根据所述目标流量确定流量分析数据;
第六目标流量接收模块,用于将所述流量分析数据发送至所述业务网关,以及将所述目标流量发送至所述业务网关,所述流量分析数据用于所述业务网关确定所述目标流量的处置命令,所述处置命令是所述业务网关在向网关管理平台发送所述目标流量的流量分析数据,且所述网关管理平台在根据所述流量分析数据确定所述目标流量中存在恶意流量后,所述网关管理平台根据所述流量分析数据确定并发送至所述业务网关的,所述处置命令用于所述出口路由器将所述目标流量发送至所述出口路由器,以使所述出口路由器将所述目标流量发送至所述出口路由器对应的流量清洗设备并将所述流量清洗设备发送的清洗后的目标流量发送至省核心网;
其中,所述出口路由器为省核心网出口路由器。
本发明实施例提供的一种处置流量的网关管理平台,包括:
流量分析数据接收模块,用于接收业务网关发送的目标流量的流量分析数据,所述流量分析数据是所述业务网关旁挂的流量分析溯源能力设备根据发送至所述业务网关的所述目标流量确定并发送至所述业务网关的;
处置命令确定模块,用于在根据所述流量分析数据确定所述目标流量中存在恶意流量后,所述网关管理平台根据所述流量分析数据确定所述目标流量的处置命令;
处置命令发送模块,用于将所述处置命令发送至所述业务网关,以使所述业务网关将所述处置命令根据所述处置命令将所述目标流量发送至所述出口路由器,以使所述出口路由器在收到所述目标流量后将所述目标流量发送至所述出口路由器对应的流量清洗设备,以及使所述出口路由器将所述流量清洗设备发送的清洗后的目标流量发送至省核心网;
其中,所述出口路由器为省核心网出口路由器。
可选地,所述网关管理平台还包括目标流量清洗设备确定模块,所述目标流量清洗设备确定模块具体用于:
接收多个备选业务网关发送的所述备选业务网关对应的备选出口路由器所对应的备选流量清洗设备的流量清洗状态信息,以及接收至少一个受攻击业务网关发送的受攻击出口路由器对应的流量清洗设备的流量清洗状态信息和所述受攻击出口路由器受到的攻击流量的流量信息,所述受攻击业务网关为所述受攻击出口路由器对应的业务网关;
根据所述流量清洗状态信息和所述流量信息,确定目标流量清洗设备;
指示所述受攻击业务网关将所述流量信息所属的攻击流量发送至所述目标流量清洗设备进行清洗。
可选地,若所述流量清洗状态信息包括流量清洗设备的占用率和流量清洗设备的最大清洗能力值,所述目标流量清洗设备确定模块具体用于:
根据所述受攻击出口路由器的流量清洗设备的流量清洗状态信息,判断所述受攻击出口路由器对应的流量清洗设备的剩余清洗能力值是否不低于所述攻击流量的流量峰值,若是,则将所述受攻击出口路由器对应的流量清洗设备作为所述目标流量清洗设备;
否则,采用迭代方式从备选流量清洗设备中确定所述目标流量清洗设备。
本发明实施例提供的一种处置流量的系统,包括:
出口路由器,用于在收到用户设备发送的目标流量后,根据预设的出口路由器与业务网关的对应关系,向所述出口路由器对应的业务网关发送所述目标流量,接收所述业务网关发送的所述目标流量,将所述目标流量发送至所述出口路由器对应的流量清洗设备,接收所述流量清洗设备发送的清洗后的目标流量,并将清洗后的目标流量发送至省核心网;
所述业务网关,用于接收出口路由器发送的目标流量,将所述目标流量发送至所述业务网关旁挂的流量分析溯源能力设备,接收所述流量分析溯源能力设备根据所述目标流量确定发送的流量分析数据,接收所述流量分析溯源能力设备确定所述流量分析数据后发送的所述目标流量,将所述流量分析数据发送至网关管理平台,接收所述网关管理平台发送的处置命令,以及根据所述处置命令将所述目标流量发送至所述出口路由器;
所述流量分析溯源能力设备,用于接收业务网关发送的目标流量,根据所述目标流量确定流量分析数据,并将所述流量分析数据发送至所述业务网关,以及将所述目标流量发送至所述业务网关;
所述网关管理平台接收业务网关发送的目标流量的流量分析数据,在根据所述流量分析数据确定所述目标流量中存在恶意流量后,根据所述流量分析数据确定所述目标流量的处置命令,将所述处置命令发送至所述业务网关;
其中,所述出口路由器为省核心网出口路由器。
根据本发明实施例提供的一种处置流量的方法,出口路由器在收到用户设备发送的目标流量后,根据预设的出口路由器与业务网关的对应关系,向所述出口路由器对应的业务网关发送所述目标流量,并通过业务网关对应的流量分析溯源能力设备对所述目标流量进行分析,业务网关将流量分析溯源能力设备对所述目标流量进行分析得到的流量分析数据发送至业务网关的网关管理平台,网关管理平台根据流量分析数据生成处置命令发送至业务网关,业务网关根据处置命令将目标流量发送至出口路由器,由出口路由器旁挂的流量清洗设备对目标流量进行清洗,并由出口路由器将清洗后的目标流量发送至省核心网,从而提供了一种基于运营商网络架构的流量处置方法,在用户流量进入核心网之前进行恶意流量的预分析并进行恶意流量的清洗,能够避免恶意流量绕过运营商SR下行通道的防护节点导致防护失效的问题。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简要介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种进行流量处置的方法的流程示意图(一);
图2为本发明实施例提供的一种进行流量处置的方法的流程示意图(二);
图3为本发明实施例提供的一种确定目标流量清洗设备并清洗流量的方法的流程示意图;
图4为本发明实施例提供的一种攻击流量协商处置的方法的流程示意图;
图5为本发明实施例提供的一种进行流量处置的出口路由器的结构示意图;
图6为本发明实施例提供的一种进行流量处置的业务网关的结构示意图;
图7为本发明实施例提供的一种进行流量处置的流量分析溯源能力设备的结构示意图;
图8为本发明实施例提供的一种进行流量处置的网关管理平台的结构示意图;
图9为本发明实施例提供的一种进行流量处置的系统的结构示意图。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作进一步地详细描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
如图1所示,本发明实施例提供的一种处置流量的方法包括以下步骤:
S101:出口路由器102接收用户设备101发送的目标流量,其中出口路由器102是省核心网出口路由器;
S102:出口路由器102根据预设的出口路由器102与业务网关103的对应关系,将用户设备101发送的目标流量发送至出口路由器102对应的业务网关103;
S103:业务网关103接收出口路由器102发送的目标流量后,将目标流量发送至业务网关103旁挂的流量分析溯源能力设备104;
S104:流量分析溯源能力设备104接收目标流量后,根据目标流量确定目标流量的流量分析数据;
S105:流量分析溯源能力设备104将目标流量以及目标流量的流量分析数据发送至业务网关103;
S106:业务网关103接收目标流量以及目标流量的流量分析数据后,将目标流量的流量分析数据发送至网关管理平台105;
S107:网关管理平台105在根据目标流量的流量分析数据确定目标流量中存在恶意流量后,根据流量分析数据确定目标流量的处置命令;
S108:网关管理平台105将处置命令发送至业务网关103;
S109:业务网关103接收网关管理平台105发送的处置命令后,根据处置命令将目标流量发送至出口路由器102;
S110:出口路由器102将目标流量发送至出口路由器102对应的流量清洗设备105;
S111:流量清洗设备106接收目标流量后,对目标流量中的恶意流量进行清洗;
S112:流量清洗设备106将清洗后的目标流量发送至出口路由器102;
S113:出口路由器102将清洗后的目标流量发送至省核心网。
采用以上步骤,本发明实施例提供了一种流量处置方法,在用户发送的目标流量进入核心网之前,由省核心网出口路由器将目标流量发送至对应的业务网关,由业务网关旁挂的流量分析溯源能力设备确定目标流量的分析数据,由网关管理平台根据分析数据确定目标流量的处置命令,并由业务网关根据处置命令将目标流量回注至省核心网出口路由器,通过省核心网出口路由器对应的流量清洗设备对目标流量进行清洗,并将清洗后的目标流量回注至省核心网,从而能够在用户流量进入省核心网之前进行恶意流量的预分析并进行恶意流量的清洗,能够避免恶意流量绕过运营商SR下行通道的防护节点导致防护失效的问题。其中,出口路由器对应的流量清洗设备可以是出口路由器旁挂的流量清洗设备。
在实施中,目标流量在经由业务网关的专用牵引路由器的转发到达业务网关后,由业务网关旁挂的流量分析溯源能力设备对目标流量进行预分析,确定出目标流量的分析数据,分析数据能够用于确定目标流量中的恶意流量,从而能够在目标流量进入核心网之前,针对目的地址为不同业务平台的目标流量进行预分析并进行针对性处置,从而本发明实施例提供了一种针对不同业务区域和不同防护节点的无差别恶意流量预分析和处置方法,避免了在针对不同厂商业务平台和针对不同防护节点部署专用防护设备的方案中,成本开销较大的问题。其中,流量分析溯源能力设备能够根据目标流量确定其分析数据,例如,分析目标流量中的峰值异常流量和报文异常流量,将分析结果作为分析数据发送至业务网关。
在实施中,流量分析溯源能力设备确定出目标流量的分析数据后,将分析数据发送至业务网关,由业务网关将分析数据发送至业务网关的网关管理平台,从而由网关管理平台根据目标流量的分析数据确定出目标流量的处置命令。
可选地,在一种实施方式中,根据预设的出口路由器与业务网关的对应关系,向所述出口路由器对应的业务网关发送所述目标流量,包括:所述出口路由器根据预先建立的出口路由器BGP(BGP,Border Gateway Protocol,边界网关协议)邻居关系确定与所述出口路由器具有BGP Flow(BGP流量)对等体关系的业务网关,将用户设备发送的目标流量牵引至所述业务网关。
具体来说,可以通过BGP Flow技术在业务网关的专用牵引路由器与省核心网出口路由器之间建立动态BGP Flow对等体关系,从而使得原本不经由业务网关的专用牵引路由器的目标流量,强制经由业务安全网关的专用牵引路由器牵引至业务网关,从而本申请实施例提供了一种用户流量的强制牵引机制,将用户通过核心网向业务平台发送的目标流量强制牵引至业务网关进行恶意流量的检测和分析。
在实施中,可以在通过BGP Flow技术在业务网关的处置路由器与省核心网出口路由器之间建立动态BGP Flow对等体关系之后,使能路由验证功能以防止牵引流量形成回环。另外,还可以保持业务网关的处置路由器与省核心网出口路由器之间的对等体关系能够进行更新,从而确保建立的对等体关系的稳定,保持路由的全网转发能力。
另外,还可以根据现网需求配置相关策略路由过滤能力,例如根据现网组网架构,确定业务网关的处置路由器与出口路由器的BGP邻居关系的建立形式,包括确定处置路由器与出口路由器的端peer(对等)值和互联地址等,在处置路由器上配置处置路由器的牵引/回注到处置路由器处置模板,明确源地址、目的地址、源端口、目的端口,形成流量过滤策略。
另外在实施中,可以基于网关管理平台发布强制路由牵引,使得目标流量由业务网关发送至出口路由器并经由出口路由器旁挂的流量清洗设备进行流量清洗,例如,向出口路由器进行32位明细路由牵引,在出口路由器旁挂的流量清洗设备上配置相同的虚拟下一跳IP地址;另外,可以在RR路由器(Route Reflector,路由反射器)上配置相同的虚拟下一跳IP地址,从而目标流量可负载分担到各个业务网关的牵引路由器地址以及出口路由器旁挂的流量清洗设备。
可选地,在一种实施方式中,所述出口路由器将所述回注流量发送至省核心网,包括:所述出口路由器通过预先确定的LSP(Label Switching Path,标签交换路径)将清洗后的目标流量发送至省核心网。
在实施中,出口路由器在收到流量清洗设备发送的清洗后的目标流量后,可以通过MPLS(Multi-Protocol Label Switch,多协议标签交换)LSP方式将清洗后的目标流量进行回注,例如,可以由省核心网通过EBGP(External Border Gateway Protocol,外部边界网关协议)发布带LABEL(标签)的明细路由给业务网关处置路由器,建立从出口路由器到省核心网的LSP隧道,流量回注时,流量清洗设备回注的流量到达出口路由器,出口路由器根据VRF(Virtual Routing and Forwarding,虚拟路由及转发)选路,对数据包打上LABEL发至省网核心,然后省网路由器根据LABEL转发,避免环路。
下面以图2中的用户设备A、出口路由器A、业务网关A、流量分析溯源能力设备A以及网关管理平台为例,说明本发明实施例提供的一种处置流量的方法中用户流量的牵引/回注方式:
步骤201:用户设备A向出口路由器发送目标流量;
步骤202:出口路由器A将用户设备A发送的目标流量发送至业务网关A;
步骤203:业务网关A接收目标流量后,将目标流量发送至业务网关A旁挂的流量分析溯源能力设备A;
步骤204:流量分析溯源能力设备A根据业务网关A发送的目标流量进行分析,确定目标流量的流量分析数据,将确定的流量分析数据和目标流量发送至业务网关A;
步骤205:业务网关A将流量分析溯源能力设备A发送的流量分析数据发送至业务网关A的网关管理平台;
步骤206:网关管理平台根据业务网关A发送的流量分析数据确定目标流量中存在恶意流量,根据流量分析数据确定目标流量的处置命令,将目标流量的出致命发送至业务网关A;
步骤207:业务网关A根据目标流量的处置命令,将目标流量回注至出口路由器A,从而由出口路由器A旁挂的流量清洗设备对目标流量进行清洗,并由出口路由器A将清洗后的目标流量回注至核心网。
采用上述方法,出口路由器A能够将用户设备A发送的目标流量强制牵引至业务网关A,从而实现用户流量的强制牵引,和发送至核心网之前的容易流量预分析,业务网关A还会根据网关管理平台发送的目标流量的处置命令,将目标流量回注至出口路由器A,由出口路由器A对应的流量清洗设备进行流量清洗,避免恶意流量进入核心网后绕过运营商SR下行通道的防护节点导致防护失效的问题。
可选地,如图3所示,本发明实施例还提供一种攻击流量协商处置的方法,该方法包括以下步骤:
步骤301:网关管理平台接收多个备选业务网关发送的备选业务网关对应的备选出口路由器所对应的备选流量清洗设备的流量清洗状态信息,以及接收至少一个受攻击业务网关发送的受攻击出口路由器对应的流量清洗设备的流量清洗状态信息和受攻击出口路由器受到的攻击流量的流量信息,受攻击业务网关为受攻击出口路由器对应的业务网关;
步骤302:网关管理平台根据流量清洗状态信息和流量信息,确定目标流量清洗设备;
步骤303:网关管理平台指示受攻击业务网关将流量信息所属的攻击流量发送至目标流量清洗设备进行清洗。
采用以上方法,网关管理平台能够根据业务平台发送的备选流量清洗设备的流量清洗状态信息、受攻击出口路由器对应的流量清洗设备的流量清洗状态信息以及攻击流量的流量信息,从多个出口路由器旁挂的流量清洗设备中多个确定目标流量清洗设备,并通过确定的目标流量清洗设备对攻击流量进行清洗处置,从而实现多个业务网关对应的流量清洗设备之间流量处置能力的均衡以提高多流量清洗设备之间流量处置的联动能力。
可选地,网关管理平台可以根据以下方法确定目标流量清洗设备:网关管理平台根据受攻击出口路由器的流量清洗设备的流量清洗状态信息,判断受攻击出口路由器对应的流量清洗设备的剩余清洗能力值是否不低于攻击流量的流量峰值,若是,则将受攻击出口路由器对应的流量清洗设备作为目标流量清洗设备;否则,网关管理平台采用迭代方式从备选流量清洗设备中确定目标流量清洗设备。
在实施中,网关管理平台可以先判断受攻击出口路由器旁挂的流量清洗设备的剩余清洗能力值是否不低于攻击流量的流量峰值,若是,则判断该流量清洗设备有能力应对攻击流量的攻击,从而不需要请求其他出口路由器旁挂的流量清洗设备提供协助,因此可以将受攻击出口路由器旁挂的流量清洗设备作为目标流量清洗设备;若网关管理平台判断受攻击出口路由器旁挂的流量清洗设备的剩余清洗能力值低于攻击流量的流量峰值,网关管理平台可以从其他备选流量清洗设备中选择一个流量清洗设备,判断该流量清洗设备的剩余清洗能力值是否不低于攻击流量的流量峰值,若是,则网关管理平台可以将选择的这一个流量清洗设备作为目标流量清洗设备,否则,网关管理平台可以继续从其他未选择过的备选流量清洗设备中选择一个流量清洗设备,重复上述过程直至确定出目标流量清洗设备。其中,网关管理平台可以根据流量清洗设备的占用率和流量清洗设备的最大清洗能力值确定流量清洗设备的剩余清洗能力值。
在实施中,网关管理平台可以根据以下公式确定流量清洗设备的剩余清洗能力值:
Pi=Di*Gi (公式一)
其中,Pi为第i个流量清洗设备的剩余清洗能力值,D为第i个流量清洗设备的最大清洗能力值,Gi为第i个流量清洗设备的占用率。
在一种实施方式中,可以网关管理平台获取31个省出口路由器分别对应的备选业务网关发送的省出口路由器对应的备选流量清洗设备的流量清洗状态信息,从而在检测到异常流量的攻击时,在判断受攻击的出口路由器对应的流量清洗设备不是目标流量清洗设备后,迭代判断其他全部的省级出口路由器对应的流量清洗设备是否能够作为目标流量清洗设备。
在一种实施方式中,在确定目标流量清洗设备后,网关管理平台可以通过业务网关牵引路由器,将攻击流量牵引至确定的目标流量清洗设备;在目标流量清洗设备清洗攻击流量后,可以由目标流量清洗设备对应的出口路由器将清洗后的攻击流量进行回注,其中可以通过VRF隧道进行流量回注。
如图4所示,本发明实施例提供的一种攻击流量协商处置的方法包括:
步骤401:网关管理平台接收多个备选业务网关发送的备选业务网关对应的备选出口路由器所对应的备选流量清洗设备的流量清洗状态信息,以及接收至少一个受攻击业务网关发送的受攻击出口路由器对应的流量清洗设备的流量清洗状态信息和受攻击出口路由器受到的攻击流量的流量信息;
步骤402:网关管理平台根据受攻击出口路由器对应的流量清洗设备的流量清洗状态信息和受攻击出口路由器受到的攻击流量的流量信息,判断受攻击出口路由器对应的流量清洗设备的剩余清洗能力值是否不低于攻击流量的流量峰值,若是,则执行步骤403,否则执行步骤404;
步骤403:网关管理平台将受攻击出口路由器对应的流量清洗设备作为目标流量清洗设备,之后执行步骤405;
步骤404:网关管理平台从备选流量清洗设备中选择一个未判断过是否是目标流量清洗设备的备选流量清洗设备,之后执行步骤406;
步骤405:网关管理平台指示受攻击业务网关将流量信息所属的攻击流量发送至目标流量清洗设备进行清洗,之后执行步骤408;
步骤406:网关管理平台根据选择的备选流量清洗设备的流量清洗状态信息和受攻击出口路由器受到的攻击流量的流量信息,判断选择的备选流量清洗设备不是受攻击的剩余清洗能力值是否不低于攻击流量的流量峰值,若是,则执行步骤407,否则执行步骤404;
步骤407:网关管理平台将选择的备选流量清洗设备作为目标流量清洗设备,之后执行步骤405;
步骤408:目标流量清洗设备对应的出口路由器将目标流量清洗设备清洗后的攻击流量进行回注,之后结束本流程。
采用以上方法,能够由网关管理平台根据各出口路由器对应的业务平台上报的出口路由器旁挂的流量清洗设备的流量清洗状态信息,在确定受攻击出口路由器受到攻击流量的攻击后,从受攻击出口路由器旁挂的流量清洗设备以及其他未受攻击的出口路由器旁挂的流量清洗设备中确定目标流量清洗设备,从而实现攻击流量的联动处置,提高面对高流量攻击时省级出口路由器旁挂的流量清洗设备的联动处置能力。
基于同一发明构思,本发现实施例还提供了一种处置流量的出口路由器,由于该出口路由器解决问题的原理与本发明实施例提供的处置流量的方法相似,因此该出口路由器的实施可以参见方法的实施,重复之处不再赘述。
如图5所示,本发现实施例提供的处置流量的出口路由器包括:
第一目标流量发送模块501,用于在收到用户设备发送的目标流量后,根据预设的出口路由器与业务网关的对应关系,向所述出口路由器对应的业务网关发送所述目标流量;
第一目标流量接收模块502,用于接收所述业务网关发送的所述目标流量,所述目标流量是所述业务网关根据处置命令发送至所述出口路由器的,所述处置命令是所述业务网关在向网关管理平台发送所述目标流量的流量分析数据,且所述网关管理平台在根据所述流量分析数据确定所述目标流量中存在恶意流量后,所述网关管理平台根据所述流量分析数据确定并发送至所述业务网关的,所述流量分析数据是所述业务网关旁挂的流量分析溯源能力设备根据发送至所述业务网关的所述目标流量确定并发送至所述业务网关的;
第二流量发送模块503,用于将所述目标流量发送至所述出口路由器对应的流量清洗设备;
第二目标流量接收模块504,用于接收所述流量清洗设备发送的清洗后的目标流量;
第三目标流量发送模块505,用于将清洗后的目标流量发送至省核心网;
其中,所述出口路由器为省核心网出口路由器。
可选地,所述第一目标流量发送模块501具体用于:
根据预先建立的出口路由器边界网关协议BGP邻居关系确定与所述出口路由器具有BGP Flow对等体关系的业务网关,将用户设备发送的目标流量牵引至所述业务网关。
可选地,所述第三目标流量发送模块505具体用于:
通过预先确定的标签交换路径LSP将清洗后的目标流量发送至省核心网。
基于同一发明构思,本发现实施例还提供了一种处置流量的业务网关,由于该业务网关解决问题的原理与本发明实施例提供的处置流量的方法相似,因此该业务网关的实施可以参见方法的实施,重复之处不再赘述。
如图6所示,本发现实施例提供的处置流量的业务网关包括:
第三目标流量接收模块601,用于接收出口路由器发送的目标流量;
第四目标流量发送模块602,用于将所述目标流量发送至所述业务网关旁挂的流量分析溯源能力设备;
第四目标流量接收模块603,用于接收所述流量分析溯源能力设备根据所述目标流量确定发送的流量分析数据,以及接收所述流量分析溯源能力设备确定所述流量分析数据后发送的所述目标流量;
流量分析数据发送模块604,用于将所述流量分析数据发送至网关管理平台;
处置命令接收模块605,接收所述网关管理平台发送的处置命令,所述处置命令是所述网关管理平台根据所述流量分析数据确定所述目标流量中存在恶意流量后,根据所述流量分析数据确定的;
第五目标流量发送模块606,用于根据所述处置命令将所述目标流量发送至所述出口路由器,以使所述出口路由器在收到所述目标流量后,将所述目标流量发送至所述出口路由器对应的流量清洗设备,以及使所述出口路由器将所述流量清洗设备发送的清洗后的目标流量发送至省核心网;
其中,所述出口路由器为省核心网出口路由器。
基于同一发明构思,本发现实施例还提供了一种处置流量的流量分析溯源能力设备,由于该流量分析溯源能力设备解决问题的原理与本发明实施例提供的处置流量的方法相似,因此该流量分析溯源能力设备的实施可以参见方法的实施,重复之处不再赘述。
如图7所示,本发现实施例提供的处置流量的流量分析溯源能力设备包括:
第五目标流量接收模块701,用于接收业务网关发送的目标流量;
流量分析数据确定模块702,用于根据所述目标流量确定流量分析数据;
第六目标流量接收模块703,用于将所述流量分析数据发送至所述业务网关,以及将所述目标流量发送至所述业务网关,所述流量分析数据用于所述业务网关确定所述目标流量的处置命令,所述处置命令是所述业务网关在向网关管理平台发送所述目标流量的流量分析数据,且所述网关管理平台在根据所述流量分析数据确定所述目标流量中存在恶意流量后,所述网关管理平台根据所述流量分析数据确定并发送至所述业务网关的,所述处置命令用于所述出口路由器将所述目标流量发送至所述出口路由器,以使所述出口路由器将所述目标流量发送至所述出口路由器对应的流量清洗设备并将所述流量清洗设备发送的清洗后的目标流量发送至省核心网;
其中,所述出口路由器为省核心网出口路由器。
基于同一发明构思,本发现实施例还提供了一种处置流量的网关管理平台,由于该网关管理平台解决问题的原理与本发明实施例提供的处置流量的方法相似,因此该网关管理平台的实施可以参见方法的实施,重复之处不再赘述。
如图8所示,本发现实施例提供的处置流量的网关管理平台包括:
流量分析数据接收模块801,用于接收业务网关发送的目标流量的流量分析数据,所述流量分析数据是所述业务网关旁挂的流量分析溯源能力设备根据发送至所述业务网关的所述目标流量确定并发送至所述业务网关的;
处置命令确定模块802,用于在根据所述流量分析数据确定所述目标流量中存在恶意流量后,所述网关管理平台根据所述流量分析数据确定所述目标流量的处置命令;
处置命令发送模块803,用于将所述处置命令发送至所述业务网关,以使所述业务网关将所述处置命令根据所述处置命令将所述目标流量发送至所述出口路由器,以使所述出口路由器在收到所述目标流量后将所述目标流量发送至所述出口路由器对应的流量清洗设备,以及使所述出口路由器将所述流量清洗设备发送的清洗后的目标流量发送至省核心网;
其中,所述出口路由器为省核心网出口路由器。
可选地,所述网关管理平台还包括目标流量清洗设备确定模块804,所述目标流量清洗设备确定模块804具体用于:
接收多个备选业务网关发送的所述备选业务网关对应的备选出口路由器所对应的备选流量清洗设备的流量清洗状态信息,以及接收至少一个受攻击业务网关发送的受攻击出口路由器对应的流量清洗设备的流量清洗状态信息和所述受攻击出口路由器受到的攻击流量的流量信息,所述受攻击业务网关为所述受攻击出口路由器对应的业务网关;
根据所述流量清洗状态信息和所述流量信息,确定目标流量清洗设备;
指示所述受攻击业务网关将所述流量信息所属的攻击流量发送至所述目标流量清洗设备进行清洗。
可选地,若所述流量清洗状态信息包括流量清洗设备的占用率和流量清洗设备的最大清洗能力值,所述目标流量清洗设备确定模块804具体用于:
根据所述受攻击出口路由器的流量清洗设备的流量清洗状态信息,判断所述受攻击出口路由器对应的流量清洗设备的剩余清洗能力值是否不低于所述攻击流量的流量峰值,若是,则将所述受攻击出口路由器对应的流量清洗设备作为所述目标流量清洗设备;
否则,采用迭代方式从备选流量清洗设备中确定所述目标流量清洗设备。
基于同一发明构思,本发现实施例还提供了一种处置流量的系统,由于该系统解决问题的原理与本发明实施例提供的处置流量的方法相似,因此该系统的实施可以参见方法的实施,重复之处不再赘述。
如图9所示,本发现实施例提供的处置流量的系统包括:
出口路由器901,用于在收到用户设备发送的目标流量后,根据预设的出口路由器与业务网关的对应关系,向所述出口路由器对应的业务网关发送所述目标流量,接收所述业务网关发送的所述目标流量,将所述目标流量发送至所述出口路由器对应的流量清洗设备,接收所述流量清洗设备发送的清洗后的目标流量,并将清洗后的目标流量发送至省核心网;
业务网关902,用于接收出口路由器发送的目标流量,将所述目标流量发送至所述业务网关旁挂的流量分析溯源能力设备,接收所述流量分析溯源能力设备根据所述目标流量确定发送的流量分析数据,接收所述流量分析溯源能力设备确定所述流量分析数据后发送的所述目标流量,将所述流量分析数据发送至网关管理平台,接收所述网关管理平台发送的处置命令,以及根据所述处置命令将所述目标流量发送至所述出口路由器;
流量分析溯源能力设备903,用于接收业务网关发送的目标流量,根据所述目标流量确定流量分析数据,并将所述流量分析数据发送至所述业务网关,以及将所述目标流量发送至所述业务网关;
网关管理平台904,用于接收业务网关发送的目标流量的流量分析数据,在根据所述流量分析数据确定所述目标流量中存在恶意流量后,根据所述流量分析数据确定所述目标流量的处置命令,将所述处置命令发送至所述业务网关;
其中,所述出口路由器为省核心网出口路由器。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。

Claims (7)

1.一种处置流量的方法,其特征在于,该方法包括:
业务网关接收出口路由器发送的目标流量;
所述业务网关将所述目标流量发送至所述业务网关旁挂的流量分析溯源能力设备;
所述业务网关接收所述流量分析溯源能力设备根据所述目标流量确定发送的流量分析数据,以及接收所述流量分析溯源能力设备确定所述流量分析数据后发送的所述目标流量;
所述业务网关将所述流量分析数据发送至网关管理平台;
所述业务网关接收所述网关管理平台发送的处置命令,所述处置命令是所述网关管理平台根据所述流量分析数据确定所述目标流量中存在恶意流量后,根据所述流量分析数据确定的;
所述业务网关根据所述处置命令将所述目标流量发送至所述出口路由器,以使所述出口路由器在收到所述目标流量后,将所述目标流量发送至所述出口路由器对应的流量清洗设备,以及使所述出口路由器将所述流量清洗设备发送的清洗后的目标流量发送至省核心网;
其中,所述出口路由器为省核心网出口路由器;
所述方法还包括:
所述业务网关发送所述业务网关对应的出口路由器所对应的流量清洗设备的流量清洗状态信息;
在所述业务网关受攻击时,所述方法还包括:
所述业务网关发送所述业务网关对应的出口路由器受到的攻击流量的流量信息;
其中,所述流量清洗状态信息和所述流量信息用于所述网关管理平台从至少一个业务网关对应的出口路由器所对应的流量清洗设备中确定目标流量清洗设备,所述至少一个业务网关包括至少一个备选业务网关和受攻击业务网关,在所述业务网关受攻击时,所述业务网关为所述受攻击业务网关,否则,在未受攻击时,所述业务网关为所述备选业务网关;
在所述业务网关受攻击时,还包括:
所述业务网关根据所述网关管理平台的指示将所述流量信息所属的攻击流量发送至所述目标流量清洗设备进行清洗。
2.一种处置流量的方法,其特征在于,该方法包括:
网关管理平台接收业务网关发送的目标流量的流量分析数据,所述流量分析数据是所述业务网关旁挂的流量分析溯源能力设备根据发送至所述业务网关的所述目标流量确定并发送至所述业务网关的;
所述网关管理平台在根据所述流量分析数据确定所述目标流量中存在恶意流量后,所述网关管理平台根据所述流量分析数据确定所述目标流量的处置命令;
所述网关管理平台将所述处置命令发送至所述业务网关,以使所述业务网关根据所述处置命令将所述目标流量发送至所述出口路由器,以使所述出口路由器在收到所述目标流量后将所述目标流量发送至所述出口路由器对应的流量清洗设备,以及使所述出口路由器将所述流量清洗设备发送的清洗后的目标流量发送至省核心网;
其中,所述出口路由器为省核心网出口路由器;
所述方法还包括:
所述网关管理平台接收多个备选业务网关发送的所述备选业务网关对应的备选出口路由器所对应的备选流量清洗设备的流量清洗状态信息,以及接收至少一个受攻击业务网关发送的受攻击出口路由器对应的流量清洗设备的流量清洗状态信息和所述受攻击出口路由器受到的攻击流量的流量信息,所述受攻击业务网关为所述受攻击出口路由器对应的业务网关;
所述网关管理平台根据所述流量清洗状态信息和所述流量信息,确定目标流量清洗设备;
所述网关管理平台指示所述受攻击业务网关将所述流量信息所属的攻击流量发送至所述目标流量清洗设备进行清洗。
3.如权利要求2所述的方法,其特征在于,若所述流量清洗状态信息包括流量清洗设备的占用率和流量清洗设备的最大清洗能力值,所述流量信息包括所述攻击流量的流量峰值,所述确定目标流量清洗设备,包括:
所述网关管理平台根据所述受攻击出口路由器的流量清洗设备的流量清洗状态信息,判断所述受攻击出口路由器对应的流量清洗设备的剩余清洗能力值是否不低于所述攻击流量的流量峰值,若是,则将所述受攻击出口路由器对应的流量清洗设备作为所述目标流量清洗设备;
否则,所述网关管理平台采用迭代方式从备选流量清洗设备中确定所述目标流量清洗设备。
4.一种处置流量的业务网关,其特征在于,该业务网关包括:
第三目标流量接收模块,用于接收出口路由器发送的目标流量;
第四目标流量发送模块,用于将所述目标流量发送至所述业务网关旁挂的流量分析溯源能力设备;
第四目标流量接收模块,用于接收所述流量分析溯源能力设备根据所述目标流量确定发送的流量分析数据,以及接收所述流量分析溯源能力设备确定所述流量分析数据后发送的所述目标流量;
流量分析数据发送模块,用于将所述流量分析数据发送至网关管理平台;
处置命令接收模块,接收所述网关管理平台发送的处置命令,所述处置命令是所述网关管理平台根据所述流量分析数据确定所述目标流量中存在恶意流量后,根据所述流量分析数据确定的;
第五目标流量发送模块,用于根据所述处置命令将所述目标流量发送至所述出口路由器,以使所述出口路由器在收到所述目标流量后,将所述目标流量发送至所述出口路由器对应的流量清洗设备,以及使所述出口路由器将所述流量清洗设备发送的清洗后的目标流量发送至省核心网;
其中,所述出口路由器为省核心网出口路由器;
所述第四目标流量发送模块,还用于:
发送所述业务网关对应的出口路由器所对应的流量清洗设备的流量清洗状态信息;
在所述业务网关受攻击时,所述第四目标流量发送模块还用于:
发送所述业务网关对应的出口路由器受到的攻击流量的流量信息;
其中,所述流量清洗状态信息和所述流量信息用于所述网关管理平台从至少一个业务网关对应的出口路由器所对应的流量清洗设备中确定目标流量清洗设备,所述至少一个业务网关包括至少一个备选业务网关和受攻击业务网关,在所述业务网关受攻击时,所述业务网关为所述受攻击业务网关,否则,在未受攻击时,所述业务网关为所述备选业务网关;
在所述业务网关受攻击时,所述第五目标流量发送模块还用于:
根据所述网关管理平台的指示将所述流量信息所属的攻击流量发送至所述目标流量清洗设备进行清洗。
5.一种处置流量的网关管理平台,其特征在于,该网关管理平台包括:
流量分析数据接收模块,用于接收业务网关发送的目标流量的流量分析数据,所述流量分析数据是所述业务网关旁挂的流量分析溯源能力设备根据发送至所述业务网关的所述目标流量确定并发送至所述业务网关的;
处置命令确定模块,用于在根据所述流量分析数据确定所述目标流量中存在恶意流量后,所述网关管理平台根据所述流量分析数据确定所述目标流量的处置命令;
处置命令发送模块,用于将所述处置命令发送至所述业务网关,以使所述业务网关根据所述处置命令将所述目标流量发送至所述出口路由器,以使所述出口路由器在收到所述目标流量后将所述目标流量发送至所述出口路由器对应的流量清洗设备,以及使所述出口路由器将所述流量清洗设备发送的清洗后的目标流量发送至省核心网;
其中,所述出口路由器为省核心网出口路由器;
所述网关管理平台还包括目标流量清洗设备确定模块,所述目标流量清洗设备确定模块具体用于:
接收多个备选业务网关发送的所述备选业务网关对应的备选出口路由器所对应的备选流量清洗设备的流量清洗状态信息,以及接收至少一个受攻击业务网关发送的受攻击出口路由器对应的流量清洗设备的流量清洗状态信息和所述受攻击出口路由器受到的攻击流量的流量信息,所述受攻击业务网关为所述受攻击出口路由器对应的业务网关;
根据所述流量清洗状态信息和所述流量信息,确定目标流量清洗设备;
指示所述受攻击业务网关将所述流量信息所属的攻击流量发送至所述目标流量清洗设备进行清洗。
6.如权利要求5所述的网关管理平台,其特征在于,若所述流量清洗状态信息包括流量清洗设备的占用率和流量清洗设备的最大清洗能力值,所述目标流量清洗设备确定模块具体用于:
根据所述受攻击出口路由器的流量清洗设备的流量清洗状态信息,判断所述受攻击出口路由器对应的流量清洗设备的剩余清洗能力值是否不低于所述攻击流量的流量峰值,若是,则将所述受攻击出口路由器对应的流量清洗设备作为所述目标流量清洗设备;
否则,采用迭代方式从备选流量清洗设备中确定所述目标流量清洗设备。
7.一种处置流量的系统,其特征在于,该系统包括:
出口路由器,用于在收到用户设备发送的目标流量后,根据预设的出口路由器与业务网关的对应关系,向所述出口路由器对应的业务网关发送所述目标流量,接收所述业务网关发送的所述目标流量,将所述目标流量发送至所述出口路由器对应的流量清洗设备,接收所述流量清洗设备发送的清洗后的目标流量,并将清洗后的目标流量发送至省核心网;
所述业务网关,用于接收出口路由器发送的目标流量,将所述目标流量发送至所述业务网关旁挂的流量分析溯源能力设备,接收所述流量分析溯源能力设备根据所述目标流量确定发送的流量分析数据,接收所述流量分析溯源能力设备确定所述流量分析数据后发送的所述目标流量,将所述流量分析数据发送至网关管理平台,接收所述网关管理平台发送的处置命令,以及根据所述处置命令将所述目标流量发送至所述出口路由器;
所述流量分析溯源能力设备,用于接收业务网关发送的目标流量,根据所述目标流量确定流量分析数据,并将所述流量分析数据发送至所述业务网关,以及将所述目标流量发送至所述业务网关;
所述网关管理平台接收业务网关发送的目标流量的流量分析数据,在根据所述流量分析数据确定所述目标流量中存在恶意流量后,根据所述流量分析数据确定所述目标流量的处置命令,将所述处置命令发送至所述业务网关;
其中,所述出口路由器为省核心网出口路由器;
所述业务网关还用于,发送所述业务网关对应的出口路由器所对应的流量清洗设备的流量清洗状态信息;以及在受攻击时,发送所述业务网关对应的出口路由器受到的攻击流量的流量信息;其中,所述流量清洗状态信息和所述流量信息用于所述网关管理平台从至少一个业务网关对应的出口路由器所对应的流量清洗设备中确定目标流量清洗设备,所述至少一个业务网关包括至少一个备选业务网关和受攻击业务网关,在所述业务网关受攻击时,所述业务网关为所述受攻击业务网关,否则,在未受攻击时,所述业务网关为所述备选业务网关;
在所述业务网关受攻击时,所述业务网关还用于,根据所述网关管理平台的指示将所述流量信息所属的攻击流量发送至所述目标流量清洗设备进行清洗;
所述网关管理平台还用于,接收多个备选业务网关发送的所述备选业务网关对应的备选出口路由器所对应的备选流量清洗设备的流量清洗状态信息,以及接收至少一个受攻击业务网关发送的受攻击出口路由器对应的流量清洗设备的流量清洗状态信息和所述受攻击出口路由器受到的攻击流量的流量信息,所述受攻击业务网关为所述受攻击出口路由器对应的业务网关;
所述网关管理平台还用于,根据所述流量清洗状态信息和所述流量信息,确定目标流量清洗设备,并指示所述受攻击业务网关将所述流量信息所属的攻击流量发送至所述目标流量清洗设备进行清洗。
CN201711486602.2A 2017-12-29 2017-12-29 一种处置流量的方法、装置和系统 Active CN109995714B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201711486602.2A CN109995714B (zh) 2017-12-29 2017-12-29 一种处置流量的方法、装置和系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201711486602.2A CN109995714B (zh) 2017-12-29 2017-12-29 一种处置流量的方法、装置和系统

Publications (2)

Publication Number Publication Date
CN109995714A CN109995714A (zh) 2019-07-09
CN109995714B true CN109995714B (zh) 2021-10-29

Family

ID=67110786

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201711486602.2A Active CN109995714B (zh) 2017-12-29 2017-12-29 一种处置流量的方法、装置和系统

Country Status (1)

Country Link
CN (1) CN109995714B (zh)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112398781B (zh) * 2019-08-14 2022-04-08 大唐移动通信设备有限公司 一种攻击测试方法、主机服务器及控制服务器
CN110768975B (zh) * 2019-10-21 2022-05-31 杭州迪普科技股份有限公司 流量清洗方法、装置、电子设备及机器可读存储介质
CN110855566B (zh) * 2019-11-26 2021-10-29 杭州迪普科技股份有限公司 上行流量的牵引方法和装置
CN113497756B (zh) * 2020-04-08 2023-04-07 中国移动通信集团广东有限公司 一种分流处理方法和网络设备
CN112165428B (zh) * 2020-10-23 2022-07-22 新华三信息安全技术有限公司 一种流量清洗方法、装置及第一边界路由设备

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CA2540802A1 (en) * 2005-03-25 2006-09-25 At&T Corp. Method and apparatus for traffic control of dynamic denial of service attacks within a communications network
CN101309150A (zh) * 2008-06-30 2008-11-19 华为技术有限公司 分布式拒绝服务攻击的防御方法、装置和系统
CN101453389A (zh) * 2008-11-19 2009-06-10 中国网络通信集团公司 流量监测方法及系统
CN102263788A (zh) * 2011-07-14 2011-11-30 百度在线网络技术(北京)有限公司 一种用于防御指向多业务系统的DDoS攻击的方法与设备
CN103491095A (zh) * 2013-09-25 2014-01-01 中国联合网络通信集团有限公司 流量清洗架构、装置及流量牵引、流量回注方法
CN106131031A (zh) * 2016-07-19 2016-11-16 北京兰云科技有限公司 一种DDoS流量清洗处理的方法及装置
CN106685823A (zh) * 2016-12-16 2017-05-17 杭州迪普科技股份有限公司 一种流量清洗方法及装置
CN107135187A (zh) * 2016-02-29 2017-09-05 阿里巴巴集团控股有限公司 网络攻击的防控方法、装置及系统
CN107493272A (zh) * 2017-08-01 2017-12-19 杭州迪普科技股份有限公司 一种流量清洗方法、装置和系统

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040047356A1 (en) * 2002-09-06 2004-03-11 Bauer Blaine D. Network traffic monitoring
CN101431449B (zh) * 2008-11-04 2011-05-04 中国科学院计算技术研究所 一种网络流量清洗系统
CN107347056A (zh) * 2016-05-06 2017-11-14 阿里巴巴集团控股有限公司 一种数据处理方法、装置及系统

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CA2540802A1 (en) * 2005-03-25 2006-09-25 At&T Corp. Method and apparatus for traffic control of dynamic denial of service attacks within a communications network
CN101309150A (zh) * 2008-06-30 2008-11-19 华为技术有限公司 分布式拒绝服务攻击的防御方法、装置和系统
CN101453389A (zh) * 2008-11-19 2009-06-10 中国网络通信集团公司 流量监测方法及系统
CN102263788A (zh) * 2011-07-14 2011-11-30 百度在线网络技术(北京)有限公司 一种用于防御指向多业务系统的DDoS攻击的方法与设备
CN103491095A (zh) * 2013-09-25 2014-01-01 中国联合网络通信集团有限公司 流量清洗架构、装置及流量牵引、流量回注方法
CN107135187A (zh) * 2016-02-29 2017-09-05 阿里巴巴集团控股有限公司 网络攻击的防控方法、装置及系统
CN106131031A (zh) * 2016-07-19 2016-11-16 北京兰云科技有限公司 一种DDoS流量清洗处理的方法及装置
CN106685823A (zh) * 2016-12-16 2017-05-17 杭州迪普科技股份有限公司 一种流量清洗方法及装置
CN107493272A (zh) * 2017-08-01 2017-12-19 杭州迪普科技股份有限公司 一种流量清洗方法、装置和系统

Also Published As

Publication number Publication date
CN109995714A (zh) 2019-07-09

Similar Documents

Publication Publication Date Title
CN109995714B (zh) 一种处置流量的方法、装置和系统
US9258323B1 (en) Distributed filtering for networks
US10110485B2 (en) Techniques for traffic diversion in software defined networks for mitigating denial of service attacks
US7120931B1 (en) System and method for generating filters based on analyzed flow data
US7225270B2 (en) Selective diversion and injection of communication traffic
CN100474819C (zh) 一种深度报文检测方法、网络设备及系统
CN106161333B (zh) 基于sdn的ddos攻击防护方法、装置及系统
Bremler-Barr et al. Improved BGP convergence via ghost flushing
CN101431449B (zh) 一种网络流量清洗系统
EP1463239B1 (en) Method and apparatus for protection of network infrastructure and for secure communication of control information
US8340092B2 (en) Switching system and method in switching system
US20100223669A1 (en) Automated Containment Of Network Intruder
CN110213214B (zh) 一种攻击防护方法、系统、装置和存储介质
EP1616269B1 (en) Selective diversion and injection of communication traffic
US10536379B2 (en) System and method for control traffic reduction between SDN controller and switch
CN113037731B (zh) 基于sdn架构和蜜网的网络流量控制方法及系统
Afek et al. Improved BGP convergence via ghost flushing
Sriram et al. Study of BGP peering session attacks and their impacts on routing performance
JP5178573B2 (ja) 通信システムおよび通信方法
CN107682342A (zh) 一种基于openflow的DDoS流量牵引的方法和系统
CN106059939B (zh) 一种报文转发方法及装置
JP4244356B2 (ja) トラヒック分析・制御システム
JP2008211690A (ja) ネットワーク制御方法
CN112751701B (zh) 用于管理网络装置的系统、方法及计算机可读介质
Cisco Cisco IOS Profiled Release 12.0(23)S System Testing for Service Provider/IP Backbone Customer June 2003

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant