CN112769857B - 一种用于电子政务外网的异常流量管控系统 - Google Patents
一种用于电子政务外网的异常流量管控系统 Download PDFInfo
- Publication number
- CN112769857B CN112769857B CN202110088673.7A CN202110088673A CN112769857B CN 112769857 B CN112769857 B CN 112769857B CN 202110088673 A CN202110088673 A CN 202110088673A CN 112769857 B CN112769857 B CN 112769857B
- Authority
- CN
- China
- Prior art keywords
- node
- management
- control
- traffic
- module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/12—Shortest path evaluation
- H04L45/123—Evaluation of link metrics
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/38—Flow based routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/12—Avoiding congestion; Recovering from congestion
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供一种用于电子政务外网的异常流量管控系统,在现有系统包括检测模块、管理模块和管控模块的基础上增加了算路模块,能够基于链路利用率,及现网拓扑,集中计算并控制引流路径,从而减少链路拥塞、丢包的情况出现,提升异常流量管控的效果。
Description
技术领域
本申请涉及网络流量管理领域,具体涉及一种用于电子政务外网的异常流量管控系统。
背景技术
异常流量管控系统目前主要是通过在现网注入引流路由的方式实现,如图2所示:
现有流量管理系统通常由三个功能点组成:
1)检测节点:负责从路由交换节点收集流量采样信息,分析识别现网是否有异常流量,并将检测结果上报到管理节点进行分析呈现。
2)管控节点:负责对进入本节点的流量进行管控,如对DDOS攻击流量进行拦截,阻断等。对于系统识别的正常流量则重新回注到现有网络中继续转发。
3)管理节点:负责对现网的流量情况进行记录,呈现,同时允许管理人员配置异常流量识别策略,管控策略,例如:是否自动对异常流量进行拦截等。
现有系统的工作过程大致如下:
1)管理人员预先配置异常流量的识别策略和管控策略,比如要识别大流量DDOS攻击,针对此类攻击进行告警但不自动进行拦截,需要管理员确认后手动下发拦截策略。
2)检测节点根据管理人员配置的检测策略实时监控现网流量,分析识别是否有异常流量产生,并将检测结果上报到管理节点。
3)管理节点接受检测节点上报的检测结果并进行保存和可视化呈现,如发现异常则通过某种方式告知管理人员。如拦截策略为手动确认方式,则等待管理人员根据人工审核结果下发指令。当管理人员下发拦截指令后,管理节点将指令转达到管控节点。
4)管控节点根据管理节点下达的拦截指令生成一条32位的主机路由,并通过BGP路由协议发布到现网。
5)该主机路由在现网扩散后将会把到此目的地节点的所有流量引导至管控节点。管控节点根据配置策略对其中的异常流量进行处理,并放行正常流量重新回到现网。
6)正常流量经过现网转发后到达目的应用服务器。
现有系统通过以上步骤实现了异常流量的管控,但是,存在一个共同的问题在于:为了达到异常流量管控的目的,必须要将到某个目的地的所有流量通过路由的方式引导到管控节点进行识别处理,而目前的路由计算方式是分布式的,即需要现网的各个路由交换节点分别完成,且当前的路由算法基本未考虑现网链路利用率的问题,因此可能出现将异常流量引导到高负载的链路上去从而导致链路拥塞,丢包的问题。当现网出现丢包后,其实现网的业务已经受到了影响。随着DDOS攻击越来越普遍,攻击流量越来越大,这种现象将更加普遍,但现有系统无法解决此问题。
发明内容
本申请提供一种用于电子政务外网的异常流量管控系统,解决现有技术的路由算法未考虑现网链路利用率,从而导致将异常流量引导到高负载的链路上去从而导致链路拥塞,丢包的问题。
本申请提供一种用于电子政务外网的异常流量管控系统,包括:
检测模块,通过检测节点采集现网路由交换节点的流量采样信息,根据管理模块配置的异常流量的识别策略识别现网的异常流量;
管控模块,对进入管控节点的异常流量根据管理模块配置的管控策略进行管控;管控的内容包括对进入管控节点的正常流量重新回注到现网中继续转发以及在异常流量需要引流时,管控节点获取需要保护的目的地信息,并将所述目的地信息通知算路模块;
管理模块,通过管理节点对现网的流量情况进行记录,对算路结点上报的现网的拓扑信息和链路利用率信息进行可视化呈现;配置异常流量的识别策略和管控策略,配置算路节点的算路策略;
算路模块,通过算路节点采集现网的拓扑信息和链路利用率信息并上报给管理模块;在网络流量异常时,算路节点基于管控节点通知的目的地信息、管理节点下发的算路策略,以及所述拓扑信息和链路利用率信息进行集中算路,获得从网络入口节点到管控节点的合理路径。
优选的,管控模块的管控内容还包括:
对攻击流量进行拦截和阻断。
优选的,在异常流量需要引流时,管控节点获取需要保护的目的地信息,并将所述目的地信息通知算路模块,包括:
在异常流量需要引流时,管控节点通过BGP路由协议向现网注入指向特定目的地的一个32位主机路由;
管控节点通知算路节点需要计算、控制到所述目的地的引流路径。
优选的,配置异常流量的识别策略包括:是否自动对异常流量进行拦截;
配置算路节点的算路策略包括:引流流量只能经过链路利用率不超过50%的链路。
优选的,算路模块,在获得从网络入口节点到管控节点的合理路径的步骤之后,还包括:
算路节点根据所述合理路径,向路由交换节点下发控制策略,逐条控制从入口节点到管控节点的转发路径。
优选的,所述控制策略,用于使转发路径不经过重负载链路从而避免链路拥塞和丢包。
优选的,还包括:
算路节点在无法获得有效路径时,向特定入口节点下发限流策略,对从所述特定入口进入的去目的地的流量进行限流。
优选的,对从所述特定入口进入的去往目的地的流量进行限流的目的,用于保护目标应用被访问,以及现网承载的相关业务免受影响。
优选的,算路模块的功能,还包括:
在网络流量异常消除后,算路节点通知路由交换节点撤销相应的控制策略,使现网的转发恢复原始状态。
优选的,管理模块,还用于可视化呈现异常流量的转发或者引流路径。
本申请提供一种用于电子政务外网的异常流量管控系统,在现有系统包括检测模块、管理模块和管控模块的基础上增加了算路模块,能够基于链路利用率,及现网拓扑,集中计算并控制引流路径,从而减少链路拥塞、丢包的情况出现,提升异常流量管控的效果。
附图说明
图1是本申请实施例提供的一种用于电子政务外网的异常流量管控系统的结构示意图;
图2是本申请实施例涉及的现有流量管理系统的结构示意图。
具体实施方式
在下面的描述中阐述了很多具体细节以便于充分理解本申请。但是本申请能够以很多不同于在此描述的其它方式来实施,本领域技术人员可以在不违背本申请内涵的情况下做类似推广,因此本申请不受下面公开的具体实施的限制。
图1是本申请实施例提供的一种用于电子政务外网的异常流量管控系统的结构示意图,下面结合图1对本申请实施例提供的方法进行详细说明。
本申请提供的一种用于电子政务外网的异常流量管控系统,包括检测模块、管控模块、管理模块和算路模块。
检测模块,通过检测节点采集现网路由交换节点的流量采样信息,根据管理模块配置的异常流量的识别策略识别现网的异常流量;
管控模块,对进入管控节点的异常流量根据管理模块配置的管控策略进行管控;管控的内容包括对进入管控节点的正常流量重新回注到现网中继续转发以及在异常流量需要引流时,管控节点获取需要保护的目的地信息,并将所述目的地信息通知算路模块;
管理模块,通过管理节点对现网的流量情况进行记录,对算路结点上报的现网的拓扑信息和链路利用率信息进行可视化呈现;配置异常流量的识别策略和管控策略,配置算路节点的算路策略;
算路模块,通过算路节点采集现网的拓扑信息和链路利用率信息并上报给管理模块;在网络流量异常时,算路节点基于管控节点通知的目的地信息、管理节点下发的算路策略,以及所述拓扑信息和链路利用率信息进行集中算路,获得从网络入口节点到管控节点的合理路径。
本申请的系统如图1所示,实现流程如下:
1)检测模块:通过检测节点从路由交换节点收集流量采样信息,分析识别现网是否有异常流量,并将检测结果上报到管理节点进行分析呈现。
2)管控模块:对进入管控节点的流量进行管控,如对DDOS攻击流量进行拦截、阻断等。对于系统识别的正常流量则重新回注到现网中继续转发。在异常流量需要引流时,管控节点通过BGP路由协议向现网注入指向特定目的地的一个32位主机路由,同时告知算路节点需要计算、控制到所述目的地的引流路径。
3)管理模块:通过管理节点对现网的流量情况进行记录,对算路结点上报的现网的拓扑信息和链路利用率信息进行可视化呈现,同时,允许管理人员配置异常流量的识别策略和管控策略,配置算路节点的算路策略,例如,识别策略包括:是否自动对异常流量进行拦截等;配置算路节点的算路策略包括:引流流量只能经过链路利用率不超过50%的链路等。
4)算路模块:通过算路节点采集现网的拓扑信息以及链路利用率信息。正常情况下,算路节点将拓扑信息及链路利用率信息上报管理节点进行拓扑呈现。
在发现异常流量时,算路节点从管控节点收到需要保护的目的地信息,基于管理节点设置的算路规则、现网拓扑和链路利用率计算从网络入口节点到管控节点的合理路径。
算路节点根据所述合理路径,向路由交换节点下发控制策略,逐条控制从入口节点到管控节点的转发路径。使转发路径不经过重负载链路从而避免链路拥塞和丢包。
算路节点在无法获得有效路径时,可以向特定入口节点下发限流策略,对从所述特定入口进入的去目的地的流量进行限流。以最小的牺牲,保护目标应用被访问,以及现网承载的相关业务免受影响。
在网络流量异常消除后,算路节点通知路由交换节点撤销相应的控制策略,使现网的转发恢复原始状态。
本申请提供一种用于电子政务外网的异常流量管控系统,在现有系统包括检测模块、管理模块和管控模块的基础上增加了算路模块,能够基于链路利用率,及现网拓扑,集中计算并控制引流路径,从而减少链路拥塞、丢包的情况出现,提升异常流量管控的效果。集中计算路径,同时参考网络的链路负载情况,因此在异常流量管控时可以最大限度的避免链路拥塞,从而不会影响现网业务。在无法获得合适路径的最坏情况下,可以在网络入口针对特定目的地下发策略,限制其进入网络的流量,到该目的地的业务会受到影响,但网络承载的其他业务可以正常运行。在网络流量异常时,可以可视化呈现异常流量的转发或者引流路径,具有网络内攻击溯源的能力。
最后应该说明的是:以上实施例仅用以说明本发明的技术方案而非对其限制,尽管参照上述实施例对本发明进行了详细的说明,所属领域的普通技术人员应当理解依然可以对本发明的具体实施方式进行修改或者等同替换,而未脱离本发明精神和范围的任何修改或者等同替换,其均应涵盖在本发明的权利要求范围当中。
Claims (10)
1.一种用于电子政务外网的异常流量管控系统,其特征在于,包括:
检测模块,通过检测节点采集现网路由交换节点的流量采样信息,根据管理模块配置的异常流量的识别策略识别现网的异常流量;
管控模块,对进入管控节点的异常流量根据管理模块配置的管控策略进行管控;管控的内容包括对进入管控节点的正常流量重新回注到现网中继续转发以及在异常流量需要引流时,管控节点获取需要保护的目的地信息,并将所述目的地信息通知算路模块;
管理模块,通过管理节点对现网的流量情况进行记录,对算路结点上报的现网的拓扑信息和链路利用率信息进行可视化呈现;配置异常流量的识别策略和管控策略,配置算路节点的算路策略;
算路模块,通过算路节点采集现网的拓扑信息和链路利用率信息并上报给管理模块;在网络流量异常时,算路节点基于管控节点通知的目的地信息、管理节点下发的算路策略,以及所述拓扑信息和链路利用率信息进行集中算路,获得从网络入口节点到管控节点的合理路径。
2.根据权利要求1所述的系统,其特征在于,管控模块的管控内容还包括:
对攻击流量进行拦截和阻断。
3.根据权利要求1所述的系统,其特征在于,在异常流量需要引流时,管控节点获取需要保护的目的地信息,并将所述目的地信息通知算路模块,包括:
在异常流量需要引流时,管控节点通过BGP路由协议向现网注入指向特定目的地的一个32位主机路由;
管控节点通知算路节点需要计算、控制到所述目的地的引流路径。
4.根据权利要求1所述的系统,其特征在于,配置异常流量的识别策略包括:是否自动对异常流量进行拦截;
配置算路节点的算路策略包括:引流流量只能经过链路利用率不超过50%的链路。
5.根据权利要求1所述的系统,其特征在于,算路模块,在获得从网络入口节点到管控节点的合理路径的步骤之后,还包括:
算路节点根据所述合理路径,向路由交换节点下发控制策略,逐条控制从入口节点到管控节点的转发路径。
6.根据权利要求5所述的系统,其特征在于,所述控制策略,用于使转发路径不经过重负载链路从而避免链路拥塞和丢包。
7.根据权利要求5所述的系统,其特征在于,还包括:
算路节点在无法获得有效路径时,向特定入口节点下发限流策略,对从所述特定入口进入的去目的地的流量进行限流。
8.根据权利要求7所述的系统,其特征在于,对从所述特定入口进入的去往目的地的流量进行限流的目的,用于保护目标应用被访问,以及现网承载的相关业务免受影响。
9.根据权利要求1所述的系统,其特征在于,算路模块的功能,还包括:
在网络流量异常消除后,算路节点通知路由交换节点撤销相应的控制策略,使现网的转发恢复原始状态。
10.根据权利要求1所述的系统,其特征在于,管理模块,还用于可视化呈现异常流量的转发或者引流路径。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110088673.7A CN112769857B (zh) | 2021-01-22 | 2021-01-22 | 一种用于电子政务外网的异常流量管控系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110088673.7A CN112769857B (zh) | 2021-01-22 | 2021-01-22 | 一种用于电子政务外网的异常流量管控系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112769857A CN112769857A (zh) | 2021-05-07 |
| CN112769857B true CN112769857B (zh) | 2022-09-27 |
Family
ID=75705692
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110088673.7A Active CN112769857B (zh) | 2021-01-22 | 2021-01-22 | 一种用于电子政务外网的异常流量管控系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112769857B (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1529462A (zh) * | 2003-10-21 | 2004-09-15 | 中兴通讯股份有限公司 | 一种实现异常流量控制的装置及方法 |
| JP2008206115A (ja) * | 2007-02-23 | 2008-09-04 | Nippon Telegr & Teleph Corp <Ntt> | ネットワーク制御方法 |
| CN106961387A (zh) * | 2017-03-30 | 2017-07-18 | 中国科学院信息工程研究所 | 一种基于转发路径自迁移的链路型DDoS防御方法及系统 |
| CN111294365A (zh) * | 2020-05-12 | 2020-06-16 | 腾讯科技(深圳)有限公司 | 攻击流量防护系统、方法、装置、电子设备和存储介质 |
| CN111385326A (zh) * | 2018-12-28 | 2020-07-07 | 比亚迪股份有限公司 | 轨道交通通信系统 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100609710B1 (ko) * | 2004-11-25 | 2006-08-08 | 한국전자통신연구원 | 이상 트래픽 분석을 위한 네트워크 시뮬레이션 장치 및 그방법 |
-
2021
- 2021-01-22 CN CN202110088673.7A patent/CN112769857B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1529462A (zh) * | 2003-10-21 | 2004-09-15 | 中兴通讯股份有限公司 | 一种实现异常流量控制的装置及方法 |
| JP2008206115A (ja) * | 2007-02-23 | 2008-09-04 | Nippon Telegr & Teleph Corp <Ntt> | ネットワーク制御方法 |
| CN106961387A (zh) * | 2017-03-30 | 2017-07-18 | 中国科学院信息工程研究所 | 一种基于转发路径自迁移的链路型DDoS防御方法及系统 |
| CN111385326A (zh) * | 2018-12-28 | 2020-07-07 | 比亚迪股份有限公司 | 轨道交通通信系统 |
| CN111294365A (zh) * | 2020-05-12 | 2020-06-16 | 腾讯科技(深圳)有限公司 | 攻击流量防护系统、方法、装置、电子设备和存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112769857A (zh) | 2021-05-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8644151B2 (en) | Processing packet flows | |
| CN108040057B (zh) | 适于保障网络安全、网络通信质量的sdn系统的工作方法 | |
| US7835348B2 (en) | Method and apparatus for dynamic anomaly-based updates to traffic selection policies in a switch | |
| US8181240B2 (en) | Method and apparatus for preventing DOS attacks on trunk interfaces | |
| US7788721B2 (en) | Traffic control method, apparatus, and system | |
| CN106817275B (zh) | 一种自动化预防和编排处理策略冲突的系统和方法 | |
| US20110138463A1 (en) | Method and system for ddos traffic detection and traffic mitigation using flow statistics | |
| JP2003533941A (ja) | インテリジェントフィードバックループプロセス制御システム | |
| US7773507B1 (en) | Automatic tiered services based on network conditions | |
| CN112202646B (zh) | 一种流量分析方法和系统 | |
| US9019863B2 (en) | Ibypass high density device and methods thereof | |
| KR100523483B1 (ko) | 네트워크에서의 유해 트래픽 탐지 및 대응 시스템 및 방법 | |
| CN112787959A (zh) | 一种流量调度方法和系统 | |
| KR101352553B1 (ko) | 플로우별 통계정보를 이용한 분산 서비스 거부 공격(ddos) 탐지 및 트래픽 경감 방법 및 그 시스템 | |
| US10771499B2 (en) | Automatic handling of device group oversubscription using stateless upstream network devices | |
| Noh et al. | Protection against flow table overflow attack in software defined networks | |
| CN112769857B (zh) | 一种用于电子政务外网的异常流量管控系统 | |
| CN107682342B (zh) | 一种基于openflow的DDoS流量牵引的方法和系统 | |
| KR20110028106A (ko) | 접속 이력 기반 분산 서비스 공격 트래픽 제어 장치 및 그 방법 | |
| KR20060130892A (ko) | 광대역 네트워크에서의 분산 서비스 거부 공격 탐지 및대응 방법 | |
| JP4279324B2 (ja) | ネットワーク制御方法 | |
| CN101300807B (zh) | 对于通信网络的网络接入节点计算机、通信系统以及操作通信系统的方法 | |
| KR100756462B1 (ko) | 침입방지시스템에서의 자기 학습 데이터 관리방법 및 그를이용한 이상 트래픽 대응방법 | |
| JP4260848B2 (ja) | ネットワーク制御方法 | |
| KR100977124B1 (ko) | 트래픽 폭주 및 불법 트래픽 감시 제어를 통한 고객망관리 서비스 시스템 및 그 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |