WO2018076949A1

WO2018076949A1 - 流量攻击的防护方法及系统、控制器、路由器、存储介质

Info

Publication number: WO2018076949A1
Application number: PCT/CN2017/101512
Authority: WO
Inventors: 米鹏辉; 陆素建
Original assignee: 腾讯科技（深圳）有限公司
Priority date: 2016-10-31
Filing date: 2017-09-13
Publication date: 2018-05-03
Also published as: US10951640B2; US20190173901A1; CN107743109B; CN107743109A

Abstract

本发明实施例公开了一种流量攻击的防护方法及系统、控制器、边界路由器、存储介质。本发明实施例提供的方法包括：接收所述一个或多个流量入口中任意流量入口处的入侵检测系统发送的流量攻击防护请求，所述流量攻击防护请求携带流量受攻击的目标网络地址；根据所述流量攻击防护请求生成相应的路由信息，所述路由通道信息包括所述目标网络地址和路由地址信息；基于所述邻居关系向相应边界路由器发送所述路由信息，以使得所述相应边界路由器根据所述路由地址信息对所述目标网络地址对应的流量进行防护处理；所述相应边界路由器为发送所述流量攻击防护请求的入侵检测系统所在的流量入口处的边界路由器。

Description

流量攻击的防护方法及系统、控制器、路由器、存储介质

本申请要求于2016年10月31日提交中国专利局、申请号为201610934282.1、发明名称为“流量攻击的防护方法、控制装置、处理装置及系统”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本发明涉及网络安全技术领域，具体涉及一种流量攻击的防护方法、控制器、边界路由器、存储介质、流量攻击的防护系统。

背景

随着互联网技术的发展与应用普及，网络上的多业务系统面临着更多、更复杂的网络攻击行为，其中，DDoS(Distributed Denial of Service，分布式拒绝服务)便是一种较为严重的网络攻击行为，它利用大量的傀儡机对某个系统同时发起攻击，使得受攻击的该系统因带宽拥塞或服务器资源耗尽等原因而无法支持正常的业务访问。

技术内容

本发明实施例提供一种流量攻击的防护方法及系统、控制器、边界路由器统、存储介质。

本发明实施例提供一种流量攻击的防护方法，包括：

与一个或多个流量入口处的边界路由器建立邻居关系；

接收所述一个或多个流量入口中任意流量入口处的入侵检测系统发送的流量攻击防护请求，所述流量攻击防护请求携带流量受攻击的目标网络地址；

根据所述流量攻击防护请求生成相应的路由信息，所述路由通道信息包括所述目标网络地址和路由地址信息；

基于所述邻居关系向相应边界路由器发送所述路由信息，以使得所述相应边界路由器根据所述路由地址信息对所述目标网络地址对应的流量进行防护处理；所述相应边界路由器为发送所述流量攻击防护请求的入侵检测系统所在的流量入口处的边界路由器。

相应的，本发明实施例还提供了一种流量攻击的防护控制装置，该装置可以集成在控制器上，该装置或者该控制器包括：

一个或一个以上存储器；

一个或一个以上处理器；其中，

所述一个或一个以上存储器存储有一个或者一个以上指令模块，经配置由所述一个或者一个以上处理器执行；其中，

所述一个或者一个以上指令模块包括：

建立单元，用于与一个或多个流量入口处的边界路由器建立邻居关系；

接收单元，用于接收所述一个或多个流量入口中任意流量入口处的入侵检测系统发送的流量攻击防护请求，所述流量攻击防护请求携带流量受攻击的目标网络地址；

生成单元，用于根据所述流量攻击防护请求生成相应的路由信息，所述路由通道信息包括所述目标网络地址和路由地址信息；

发送单元，用于基于所述邻居关系向相应边界路由器发送所述路由信息，以使得所述相应边界路由器根据所述路由地址信息对所述目标网络地址对应的流量进行防护处理；所述相应边界路由器为发送所述流量攻击防护请求的入侵检测系统所在的流量入口处的边界路由器。

在一些实例中，所述路由地址信息包括所述目标网络地址对应的路由下一跳地址；所述生成单元具体包括：

解析子单元，用于对所述流量攻击防护请求进行解析，得到所述目标网络地址；

设定子单元，用于设定所述目标网络地址对应的路由下一跳地址；

生成子单元，用于根据所述目标网络地址和所述路由下一跳地址生成相应的路由信息，所述路由信息包括所述目标网络地址和所述路由下一跳地址。

本发明实施例还提另一种流量攻击的防护方法，包括：

与控制器建立邻居关系；

基于所述邻居关系接收所述控制器发送的路由信息，所述路由信息包括：路由地址信息和流量受攻击的目标网络地址；

根据所述路由信息对所述目标网络地址对应的流量进行防护处理。

相应的，本发明实施例还提供了一种流量攻击的防护处理装置，该装置可集成在边界路由器上，该防护处理装置或者该边界路由器包括：

一个或一个以上存储器；

一个或一个以上处理器；其中，

所述一个或者一个以上指令模块包括：

建立单元，用于与控制器建立邻居关系；

接收单元，用于基于所述邻居关系接收所述控制器发送的路由信息，所述路由信息包括：路由地址信息和流量受攻击的目标网络地址；

防护处理单元，用于根据所述路由信息对所述目标网络地址对应的流量进行防护处理。

在一些实例中，所述路由地址信息包括所述目标网络地址对应的路由下一跳地址，所述路由下一跳地址指向流量攻击处理系统；

所述防护处理单元包括：

引入子单元，用于根据所述路由信息将所述目标网络地址对应的流量引入所述流量攻击处理系统，以便所述流量攻击处理系统对所述目标网络地址对应的流量进行过滤；

接收子单元，用于接收所述流量攻击处理系统返回的过滤后的流量。

在一些实例中，所述路由地址信息包括所述目标网络地址对应的路由下一跳地址，所述路由下一跳地址指向空接口；

所述防护处理单元具体用于根据所述路由信息将所述目标网络地址对应的流量发送至所述空接口。

在一些实例中，所述防护处理装置还包括：获取单元；

所述获取单元，用于在接收单元接收到路由信息之后，所述防护处理单元进行防护处理之前，获取所述目标网络地址对应的本地路由信息的优先级；

所述防护处理单元，用于若所述路由信息对应的优先级高于所述本地路由信息的优先级，则根据所述路由信息对所述目标网络地址对应的流量进行防护处理的步骤。

本发明实施例还提供一种流量攻击的防护方法，该方法由控制器执行，该方法包括：

与一个或多个流量入口处的边界路由器建立邻居关系；

本发明实施例还提供一种流量攻击的防护方法，由边界路由器执行，该方法包括：

与控制器建立邻居关系；

本发明实施例还提供了一种流量攻击的防护系统，包括本发明实施例提供的任一防护控制装置(或者控制器)和本发明实施例提供的任一防护处理装置(或者边界路由器)。

本发明实施例还提供一种非易失性计算机可读存储介质，其上存储有计算机可读指令，可以使至少一个处理器执行上述的方法。

附图简要说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1a是本发明实施例提供的流量攻击的防护系统的场景示意图；

图1b是本发明实施例提供的流量攻击的防护方法的流程示意图；

图2是本发明实施例提供的流量攻击的防护方法的另一流程示意图；

图3a是本发明实施例提供的流量攻击的防护系统的另一场景示意图；

图3b是本发明实施例提供的流量攻击的防护方法的又一流程示意图；

图3c是本发明实施例提供的流量清洗的示意图；

图3d是本发明实施例提供的流量封堵的示意图；

图3e是本发明实施例提供的地址关系示意图；

图4是本发明实施例提供的控制器集群的结构示意图；

图5是本发明实施例提供的流量攻击的防护控制装置的结构示意图；

图6a是本发明实施例提供的流量攻击的防护处理装置的结构示意图；

图6b是本发明实施例提供的流量攻击的防护处理装置的另一结构示意图；

图7是本发明实施例提供的计算机设备的结构示意图。

实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明实施例提供一种流量攻击的防护方法、控制装置、处理装置及系统。

该流量攻击防护系统可以包括本发明实施例所提供的任一种流量攻击的防护控制装置和任一种流量攻击的防护处理装置。其中，该防护控制装置可以集成在控制器等设备中，比如，可以集成在SDN(Software Defined Network，软件定义网络)控制器中，该防护控制装置还可以集成在控制器集群内成员控制器或者总控设备内。该防护处理装置可以集成在路由器中，如流量入口处的边界路由器。

以防护控制装置集成在控制器中、以及防护处理装置集成在边界路由器中为例，如图1a所示，该流量攻击防护系统包括：控制器和流量入口处的边界路由器，其中，边界路由器可以位于同一个网络中，如同一个骨干网络中。

此外，参考图1a，该流量攻击防护系统还可以包括每个流量入口处的流量攻击处理系统，该流量攻击处理系统可以为DDoS清洗系统等，该流量攻击防护系统中每一个流量入口处可以部署一个边界路由器和一个流量攻击处理系统，以实现流量攻击防护。

在需要进行流量攻击防护时，该控制器用于与流量入口处的边界路由器建立邻居关系，然后，接收该流量入口处的入侵检测系统发送的流量攻击防护请求，该流量攻击防护请求携带流量受攻击的目标网络地址，根据该流量攻击防护请求生成相应的路由信息，该路由信息包括该目标网络地址和路由地址信息，基于该邻居关系向该边界路由器发送该路由信息，以使得该边界路由器根据该路由信息对该目标网络地址对应的流量进行防护处理。其中，该流量攻击防护请求可以包括流量过滤请求、或者流量封堵请求、或者其他类型的防护请求。

该流量攻击防护系统中边界路由器可以用于与控制器建立邻居关系，然后，基于该邻居关系接收该控制器发送的路由信息，该路由信息包括：路由地址信息和流量受攻击的目标网络地址，根据该路由信息对该目标网络地址对应的流量进行防护处理。其中，该边界路由器可以根据路由信息对目标网络地址的流量进行过滤或者丢弃。

比如，边界路由器可根据路由信息将该目标网络地址对应的流量引入流量攻击处理系统，此时，流量攻击处理系统可以用于对目标网络地址对应的流量进行过滤，然后，将过滤后的流量返回给边界路由器。边界路由器在接收到过滤后的流量之后可以将该流量发回数据中心。

以下分别进行详细说明。

实施例一、

本实施例将流量攻击的防护装置的角度进行描述，该防护装置可以对流量攻击进行防护控制，因此，也可以称为流量攻击的防护控制装置。该防护控制装置可以集成在控制器中，如集成在SDN控制器中。

一种流量攻击的防护方法，包括：与流量入口处的边界路由器建立邻居关系，然后，接收该流量入口处的入侵检测系统发送的流量攻击防护请求，该流量攻击防护请求携带流量受攻击的目标网络地址，根据该流量攻击防护请求生成相应的路由信息，该路由信息包括该目标网络地址和路由地址信息，基于该邻居关系向该边界路由器发送该路由信息，以使得该边界路由器根据该路由信息对该目标网络地址对应的流量进行防护处理。

如图1b所示，一种流量攻击的防护方法，具体流程可以如下：

101、与流量入口处的边界路由器建立邻居关系。

可理解的是，可以与一个或者多个流量入口处的边界路由器建立邻居关系。例如，参见图1a，控制器与网络中的多个边界路由器建立BGP邻居关系。

具体地，可以基于路由协议与流量入口处的边界路由器建立邻居关系。

其中，路由协议可以为BGP(Border Gateway Protocol，边界网关协议)该BGP是用于自治系统之间动态交换路由信息的路由协议；也可以为IBGP((Internal Border Gateway Protocol，内部BGP协议)，该IBGP属于BGP关系的一种，在同一个自治系统内部各路由器之间存在。该IBGP用于在各路由器之间通过BGP协议传播路由信息。

此时，可以基于IBGP协议与边界路由器建立IBGP邻居关系。

具体地，步骤“与流量入口处的边界路由器建立邻居关系”可以包括：

向流量入口处的边界路由器发送邻居关系建立请求；

接收边界路由器根据该邻居关系建立请求返回的响应信息；

根据该响应信息建立邻居关系。

102、接收该流量入口处的入侵检测系统发送的流量攻击防护请求，该流量攻击防护请求携带流量受攻击的目标网络地址。

由于控制器可以与多个边界路由器建立邻居关系，因此可以接收到多个流量入口处的入侵检测系统发送来的流量攻击防护请求。在该步骤中，控制器可以接收到所述一个或多个流量入口中任意流量入口处的入侵检测系统发送的流量攻击防护请求。在接收到任意流量入口处的入侵检测系统发送的流量攻击防护请求时，都会执行下面的步骤。因此步骤S102也可以描述成“接收所述一个或多个流量入口中任意流量入口处的入侵检测系统发送的流量攻击防护请求，所述流量攻击防护请求携带流量受攻击的目标网络地址”。

具体地，可以通过北向Restful(Representational State Transfer)接口接收该流量入口处的入侵检测系统发送的流量攻击防护请求。

其中，目标网络地址可以为流量受到DDoS攻击的网络地址。该目标网络地址可以为IP(互联网协议)地址，如1.2.3.4/32等。

本实施例中流量攻击防护请求由IDS发送，具体地，IDS对网络地址的网络流量进行攻击流量分析检测，然后，根据该检测结果发送相应的流量攻击防护请求给该流量控制装置。

其中，流量攻击防护请求可以有多种，比如，该流量攻击防护请求可以包括：流量过滤(或清洗)请求、或者流量封堵(或丢弃)请求。如当IDS检测到某个IP的攻击流量小于预设阈值时，则向流量控制装置发送流量清洗请求，当IDS检测到某个IP的攻击流量大于预设阈值时，则向流量控制装置发送流量封堵请求。

103、根据该流量攻击防护请求生成相应的路由信息，该路由信息包括该目标网络地址和路由地址信息。

比如，可以根据流量攻击防护请求生成相应的IBGP路由信息。该目标网络地址为路由信息的前缀，表示该路由信息可以目标网络地址对应的路由。

其中，路由地址信息可以为目标网络地址对应的路由地址信息，比如，可以包括路由下一跳地址。该路由下一跳地址可以为与边界路由器直连的设备或者系统的地址，如与边界路由器直连的设备或系统的接口地址；也即该路由下一跳地址为目标网络地址的流量经过边界路由器所要到达的下一个设备或者系统的接口地址。

比如，当路由下一跳地址为设备H的地址，那么边界路由器会将目标IP的流量发送至设备H。

具体地，步骤“根据该流量攻击防护请求生成相应的路由信息”可以包括：

对该流量攻击防护请求进行解析，得到该目标网络地址；

设定该目标网络地址对应的路由下一跳地址；

根据该目标网络地址和该路由下一跳地址生成相应的路由信息，该路由信息包括该目标网络地址和该路由下一跳地址。

本实施例中，对于不同类型的流量攻击防护请求，设定的路由下一跳地址不同，具体地：

当流量攻击防护请求为流量过滤请求时，由于需要对流量进行过滤或者清洗，因此，可以设定路由下一跳地址指向流量攻击处理系统(如DDoS清洗系统)，此时，该路由下一跳地址可以为流量攻击处理系统(如DDoS清洗系统)的地址或者接口地址。这样可以使得边界路由器在接收到路由信息之后可以将目标网络地址的流量引入流量攻击处理系统进行过滤或清洗。

例如，DDoS清洗系统的地址为2.2.2.2时，可以设定路由下一跳地址为2.2.2.2。

当流量攻击防护请求为流量封堵请求时，由于需要对流量进行封堵或者丢弃，因此可以设定路由下一跳地址指向空，即Null0，比如，可以设定路由下一跳地址指向空接口。这样可以使得边界路由器在接收到路由信息之后对目标网络地址的流量进行丢弃，实现流量封堵。

实际应用中，可以预先配置某个地址指向空接口，此时，可以将该地址设置为路由下一跳地址。例如，边界路由器预先配置地址10.10.10.10指向Null0时，可以设定路由下一跳地址为地址10.10.10.10。

104、基于该邻居关系向该边界路由器发送该路由信息，以使得该边界路由器根据该路由信息对该目标网络地址对应的流量进行防护处理。

由于可能接收到多个流量入口的入侵检测系统发来的流量攻击防护请求，因此针对每一请求所生成的路由信息要发送至发送该请求的入侵检测系统所在的流量入口处的边界路由器。因此该步骤可以描述成“基于所述邻居关系向相应边界路由器发送所述路由信息，以使得所述相应边界路由器根据所述路由地址信息对所述目标网络地址对应的流量进行防护处理；所述相应边界路由器为发送所述流量攻击防护请求的入侵检测系统所在的流量入口处的边界路由器”。例如，流量入口A处的入侵检测系统向控制器发送一流量攻击防护请求，当控制器根据该请求生成路由信息后，将该路由信息发送至流量入口A处的边界路由器，而非其他流量入口的边界路由器。

比如，基于该邻居关系向边界路由器通告IBGP路由信息，该IBGP路由信息可以包括目标IP和路由下一跳地址。

具体地，当流量攻击防护请求包括：流量过滤请求，该路由下一跳地址指向流量攻击处理系统时，可以基于该邻居关系向该边界路由器通告该路由信息，以使得该边界路由器根据该路由信息该目标网络地址对应的流量引入该流量处理系统(即流量攻击处理系统)进行流量过滤处理。举例来说，对于流量入口A处的入侵检测系统发送来的流量过滤请求，控制器生成的路由下一跳地址为流量入口A处的边界路由器所连接的流量攻击处理系统A。因此控制器在将路由信息发送给流量入口A处的边界路由器后，该边界路由器会将目标网络地址对应的流量引入该边界路由器所连接的该流量攻击处理系统A。

当该流量攻击防护请求包括：流量封堵请求，该路由下一跳地址指向空接口时，基于该邻居关系向该边界路由器发送该路由信息，以使得该边界路由器根据该路由信息对该目标网络地址对应的流量进行丢弃。

可理解的是，所谓的丢弃，实际上是将目标网络地址对应的流量发送至路由下一跳地址所指向的地址，由于该地址为一空接口，因此可以将目标网络地址对应的流量丢弃。因此，上述基于该邻居关系向该边界路由器发送该路由信息，以使得该边界路由器根据该路由信息对该目标网络地址对应的流量进行丢弃，也可以描述成“基于所述邻居关系向所述相应边界路由器发送所述路由信息，以使得所述相应边界路由器根据所述路由信息将所述目标网络地址对应的流量发送至所述空接口”。

可选地，考虑到边界路由器本地可能存在目标网络地址对应的路由，为了能够提高流量攻击防护的成功率和适用性，需要对目标网络地址对应的本地已有路由进行覆盖。具体地，可以通过设置优先级的方式来实现对本地已有路由进行覆盖。如可以设置该路由信息的优先级高于边界路由器中目标网络地址对应的本地路由信息。也即，本实施例的路由信息还可以包括：路由信息对应的优先级，该路由信息对应的优先级高于边界路由器中本地路由信息的优先级，该本地路由信息可以为边界路由器中目标网络地址对应的本地路由信息。

此时，步骤“根据该目标网络地址和该路由下一跳地址生成相应的路由信息”可以包括：

获取待生成路由信息的优先级，该优先级高于边界路由器中本地路由信息的优先级；

根据该优先级、该目标网络地址和该路由下一跳地址生成相应的路由信息，该路由信息包括该目标网络地址、路由信息的优先级和该路由下一跳地址。

由上可知，本发明实施例采用与流量入口处的边界路由器建立邻居关系，然后，接收该流量入口处的入侵检测系统发送的流量攻击防护请求，该流量攻击防护请求携带流量受攻击的目标网络地址，根据该流量攻击防护请求生成相应的路由信息，该路由信息包括该目标网络地址和路由地址信息，基于该邻居关系向该边界路由器发送该路由信息，以使得该边界路由器根据该路由信息对该目标网络地址对应的流量进行防护处理；由于该方案可以直接与边界路由器建立邻居关系，并向边界路由器发送路由信息，实现流量攻击的防护控制，一方面该方案可以将流量清洗系统中的网络功能模块进行剥离，简化流量清洗系统，提升了流量攻击防护系统的稳定性和可维护性；另一方面该方案无需依赖网管系统对边界路由器进行控制，即可实现流量防护，减少了中间模块的需求以及在短时间遭受频繁攻击场景下对设备CPU的冲击，提升了流量攻击防护系统的时效性和可靠性。

而且，本发明实施例提供的方案避免了采用配置黑洞路由的方式进行封堵流量，因此，可以提高流量攻击防护的效率和成功率，同时降低了系统运维的成本和难度。

此外，该方案还可以实现集中化地对边界路由器管理，可以带来快速的故障诊断和便捷的运维等效果，并且该方案可以采用路由协议控制流量防护，由于BGP协议的快速路由通告能力和稳定性，以及因此，该方案可以提高流量攻击防护的效率，如可以将传统的近十秒的封堵流程提高至毫秒级，性能提升近百倍；另外，由于BGP协议是在控制协议面完成封堵路由通告，无需大量CPU资源消耗，从根本上解决了流量攻击防护系统对路由设备本身CPU的冲击，大大的提高了运营设备的稳定性。

实施例二、

本实施例将从另一种流量攻击的防护装置的角度描述另一种流量攻击的防护方法，该防护装置可以对流量攻击进行防护处理，因此，也可以称为流量攻击的防护处理装置。该防护处理装置可以集成在边界路由器中，或者其他位于流量入口处的边界路由设备。

一种流量攻击的防护方法，包括：与控制器建立邻居关系，然后，基于该邻居关系接收该控制器发送的路由信息，该路由信息包括路由地址信息和流量受攻击的目标网络地址，根据该路由信息对该目标网络地址对应的流量进行防护处理。

如图2所示，一种流量攻击的防护方法，具体流程如下：

201、与控制器建立邻居关系。

具体地，可以基于路由协议与控制器建立邻居关系。比如，可以基于IBGP协议与控制器建立IBGP邻居关系。

202、基于该邻居关系接收该控制器发送的路由信息，该路由信息包括路由地址信息和流量受攻击的目标网络地址。

其中，目标网络地址可以为流量受到DDoS攻击的网络地址。该目标网络地址可以为IP(互联网协议)地址，如1.5.3.4/32等。

该路由信息可以控制器通告的路由信息，该路由信息中的路由地址信息可以为目标网络地址对应的路由地址信息，比如，可以包括路由下一跳地址。该路由下一跳地址可以为与边界路由器直连的设备或者系统的地址，如与边界路由器直连的设备或系统的接口地址；也即该路由下一跳地址为目标网络地址的流量经过边界路由器所要到达的下一个设备或者系统的接口地址。

比如，当路由下一跳地址为设备F的接口地址，那么边界路由器会将目标IP的流量发送至设备F。

203、根据该路由信息对该目标网络地址对应的流量进行防护处理。

其中，流量的防护处理可以有多种，比如，可以对流量进行过滤或清洗，也可以对流量进行丢弃或封堵。

(1)、流量清洗；

本实施例中，可以由边界路由器自己对流量进行过滤，也可以通过流量攻击处理系统如DDoS清洗系统对流量进行过滤。

也即，步骤“根据该路由信息对该目标网络地址对应的流量进行防护处理”可以包括：

根据该路由信息将该目标网络地址对应的流量引入流量攻击处理系统，以便该流量攻击处理系统对目标网络地址对应的流量进行过滤或清洗；

接收该流量攻击处理系统返回的过滤后或清洗的流量。

比如，路由地址信息包括路由下一跳地址，且该路由下一跳地址指向流量攻击处理系统时，步骤“根据该路由信息将该目标网络地址对应的流量引入流量攻击处理系统”可以包括：

提取目标网络地址对应的流量；

将该流量引入路由下一跳地址指向的流量攻击处理系统。

例如，DDoS清洗系统的地址为2.2.2.2，该路由下一跳地址为2.2.2.2时，边界路由器在接收到路由信息之后，即可将目标网络地址对应的流量引入DDoS清洗系统，以进行流量清洗，接收DDoS清洗系统返回的经过清洗后的流量，即正常流量。

(2)流量封堵；

具体地，步骤“根据该路由信息对该目标网络地址对应的流量进行防护处理”可以包括：根据该路由信息对该目标网络地址对应的流量进行丢弃。即，根据所述路由信息将所述目标网络地址对应的流量发送至所述空接口。

其中，当路由地址信息可以包括该目标网络地址对应的路由下一跳地址，且路由下一跳地址指向空接口时，步骤“根据该路由信息对该目标网络地址对应的流量进行丢弃”可以包括：

根据该路由下一跳地址获取相应的接口；

当该接口为空接口时，对该目标网络地址对应的流量进行丢弃。

例如，预先配置地址10.10.10.10指向Null0，路由下一跳地址为10.10.10.10时，边界路由器根据路由下一跳地址获取一空接口，此时，边界路由器将会对目标IP的流量进行丢弃。

可选地，考虑到边界路由器本地可能存在目标网络地址对应的路由，为了能够提高流量攻击防护的成功率和适用性，需要对目标网络地址对应的本地已有路由进行覆盖。本实施例可以采用优先级的方式来实现对本地已有路由的覆盖。也即路由信息还可以包括：路由信息对应的优先级，该路由信息对应的优先级高于本地路由信息的优先级，该本地路由信息为本地该目标网络地址对应的路由信息；此时，本实施例方法在步骤202和203之间还可以包括：

获取本地路由信息的优先级；

判断该路由信息对应的优先级是否高于本地路由信息的优先级；

若是，则执行根据该路由信息对该目标网络地址对应的流量进行防护处理的步骤。

由上可知，本发明实施例采用与控制器建立邻居关系，然后，基于该邻居关系接收该控制器发送的路由信息，该路由信息包括路由地址信息和流量受攻击的目标网络地址，根据该路由信息对该目标网络地址对应的流量进行防护处理；该方案可以基于邻居控制器发送的路由信息对流量进行防护处理，即在控制器的直接控制下进行防护处理；一方面该方案可以实现将流量清洗系统中的网络功能模块进行剥离，使用控制器替代，大大简化了流量清洗系统，提升了流量攻击防护系统的稳定性和可维护性；另一方面该方案无需依赖网管系统的黑洞路由配置，即可实现流量防护，减少了中间模块的需求以及在短时间遭受频繁攻击场景下对设备CPU的冲击，提升了流量攻击防护系统的时效性和可靠性。

此外，该方案避免了采用配置黑洞路由的方式进行封堵流量，因此，可以提高流量攻击防护的效率和成功率，同时降低了系统运维的成本和难度；并且该方案可以采用路由协议控制流量防护，由于BGP协议的快速路由通告能力和稳定性，以及因此，该方案可以提高流量攻击防护的效率，如可以将传统的近十秒的封堵流程提高至毫秒级，性能提升近百倍；另外，由于BGP协议是在控制协议面完成封堵路由通告，无需大量CPU资源消耗，从根本上解决了流量攻击防护系统对路由设备本身CPU的冲击，大大的提高了运营设备的稳定性。

实施例三、

根据实施例一和二所描述的方法，以下将举例作进一步详细说明。

在本实施例中，将以流量攻击的防护控制装置集成在控制器、流量攻击防护处理装置集成在边界路由器中为例进行说明。

如图3a所示，一种流量攻击的防护系统包括：分光器、入侵检测系统IDS、控制器、网络流量入口处的DDoS清洗系统和边界路由器；其中，分光器与ISP(Internet Service Provider，互联网服务提供商)连接，边界路由器与IDC(Internet Data Center，互联网数据中心)连接。

下面将基于图3a所示的系统来介绍本发明实施例提供的防护方法，如图3b所示，一种流量攻击的防护方法，具体流程如下：

300、控制器分别与每个流量入口处的边界路由器建立BGP邻居关系。

其中，该BGP协议可以为IBGP协议，或者其他边界路由协议。

301、分光器将网络流量入口处将来自ISP的流量复制到IDS。

302、IDS获取受攻击IP的攻击流量，并判断该攻击流量是否小于预设阈值，若是，则执行步骤303，若否，则执行步骤308。

303、IDS向控制器发送流量清洗请求，该流量清洗请求携带该IP。

其中，控制器可以提供北向Restful接口供IDS输入流量清洗请求，也即IDS通过北向Restful接口向控制器发送流量清洗请求。

参考图3c，假设受攻击IP：1.2.3.4/32,边界路由器ID：1.1.1.1，DDoS清洗系统ID：2.2.2.2，IDS可以向控制器发送携带1.2.3.4/32的清洗请求。

304、控制器根据该流量清洗请求向边界路由器通告BGP路由信息，该BGP路由信息携带该IP及其对应的下一跳路由地址，该下一跳路由地址为DDoS清洗系统的地址。

具体地，控制器可以根据流量清洗请求生成相应的BGP路由信息，然后，基于邻居关系向边界路由器通告该BGP信息。

参考图3c，控制器向边界路由通告BGP路由信息，该BGP路由信息包括IP 1.2.3.4/32和下一跳路由地址2.2.2.2，此时，下一跳路由地址与DDoS清洗系统ID：2.2.2.2相同，即下一跳路由地址指向DDoS清洗系统。其中，IP可以为BGP路由信息的前缀信息。

为了提高流量攻击防护的成功率和适用性，该BGP路由信息还可以包括BGP路由信息的优先级，该优先级高于边界路由器本地IP的路由信息；这样可以达到对边界路由器本地BGP路由的覆盖。

例如，将iBGP路由的LP(Local Preference，本地优先级)设置高于边界路由器本地iBGP路由的LP，以达到对本地已有BGP路由的覆盖。

305、边界路由器根据该BGP路由信息向该IP的流量引入DDoS清洗系统。

具体地，边界路由器可以从网络流量中提取该IP的流量，然后，将该流量引入下一跳路由地址指向的DDoS清洗系统。

参考图3c，地址为1.1.1.1的边界路由器可以根据BGP路由信息将 1.2.3.4/32的流量牵引至地址为2.2.2.2的DDoS清洗系统。

在存在路由信息的优先级时，边界路由器可以获取该IP的本地BGP路由信息，然后，将接收到BGP路由与本地BGP路由信息进行比较，若高于，则根据该BGP路由信息向该IP的流量引入DDoS清洗系统。

306、DDoS清洗系统对该IP的流量进行清洗，得到该IP的正常流量，并将该正常流量返回至边界路由器。

具体地，DDoS清洗系统可以根据静态默认路由信息将该正常流量返回至边界路由器。该静态默认路由信息包括边界路由器的地址。

参考图3c，该DDoS清洗系统在对1.2.3.4/32的流量清洗后，通过静态默认路由的方式将清洗后的1.2.3.4/32的正常流量发回边界路由器。

307、边界路由器将该正常流量发送至IDC，结束流程。

308、IDS向控制器发送流量封堵请求，该流量封堵请求携带该IP。

参考图3c，假设受攻击IP：1.2.3.4/32,边界路由器ID：1.1.1.1，DDoS清洗系统ID：2.2.2.2，IDS可以向控制器发送携带1.2.3.4/32的流量封堵请求。

309、控制器根据该流量封堵请求向边界路由器通告BGP路由信息，该BGP路由信息携带该IP及其对应的下一跳路由地址，该下一跳路由地址指向空接口。

参考图3d，控制器向边界路由通告BGP路由信息，该BGP路由信息包括IP 1.2.3.4/32和下一跳路由地址10.10.10.10，其中，该下一跳路由地址10.10.10.10指向Null0。其中，IP可以为BGP路由信息的前缀信息。

实际应用中，可以预先在边界路由器上固化静态配置一条特殊的静态黑洞路由，将一指定IP(i.e.10.10.10.10)的出接口指向Null0。

310、边界路由器根据该BGP路由信息对该IP的流量进行丢弃。

边界路由器可以根据IP的下一跳路由地址计算相应的接口，当该接口为空接口时，对该IP的流量进行丢弃。本实施例中由于该IP的下一跳路由地址指向空接口，因此，边界路由可以对该IP的流量进行丢弃。

参考图3d和图3e，通过BGP的路由迭代，该BGP路由的下一跳(nexthop)会指向Null0，实现边界路由器对1.2.3.4/32的流量丢弃。

在存在路由信息的优先级时，边界路由器可以获取该IP的本地BGP路由信息，然后，将接收到BGP路由与本地BGP路由信息进行比较，若高于，则根据该BGP路由信息对该IP的流量进行丢弃。

可选地，为了保证系统的高可用性和ISSU(In-Service Software Upgrade，无中断业务升级),本发明实施例采用双主集群架构的控制器集群。双主控制器同时北向对接IDS系统，南向对接边界路由器。在其中一台控制器发生故障时，另外一台仍然能够保证业务的不中断。双主间保持周期性同步，进行可靠性校验。在其中一台故障恢复时，或者软件升级后，通过集群间的同步机制，自动从另外一台控制器获取所有BGP路由下发记录，然后本地生成并重新下发，恢复系统的集群高可用性。参考图4，在控制器A故障或者软件升级时，可以采用控制器来实现流量防护。可见，防护系统中的控制器可以有多个，每一个控制器都能执行流量攻击的防护方法。

其中，IDS在向集群内控制器下引流或者封堵请求时，将当前时间戳作为参数之一放入请求中。该时间戳后续在进行集群间数据一致性校验时，作为参考基准

在单台控制器故障时(如控制器A)，IDS集群仍然可以通过控制器B进行DDoS清洗引流路由和封堵路由发放。在控制器故障恢复时，其通过集群内控制器间的Restful数据同步通道，从另外一台控制器中获取全部的BGP路由下发记录，本地生成后重新下发至设备，使整套集群系统重新恢复高可用性。

在进行系统软件升级时，先对其中一台控制器升级，完成后采用进行数据同步。待集群系统恢复高可用性后，再进行另外一台控制器升级。在升级过程中，由于始终有一台控制器处于工作状态，并且系统最终都能够恢复至高可用性状态，业务不会遭受任何影响，整套系统可以实现无中断业务升级(ISSU)。

在稳定状态下，集群内的控制器会进行周期性的数据校验，并以时间戳为基准，将集群内的控制器数据全部同步至最新，保证一致性。具体的校验流程如下：

a、集群内控制器互相发送当前最新记录的时间戳。

b、控制器将对方发送的时间戳与本地最新的时间戳进行对比：

b1、如果对方时间戳早于本地最新间戳，则表明本地记录已经为最新，无需任何操作。

B2、如果对方时间戳晚于本地最新时间戳，则调用对端控制器提供的Restful接口，获取从本地最新时间戳到对方提供时间戳之间的所有路由下发记录，本地生成后下发到设备，达到集群间数据一致性。

本实施例中，IDS可以采用集群，即本实施例中IDS为IDS集群中的一个成员系统。比如，如IDS集群可以为包括至少两个IDS的IDS集群。

由上可知，本发明实施例提供的防护系统与传统攻击防护系统相比至少有以下优点：

(1)采用了集中式一体化的DDoS引流和封堵网络系统。将攻击流量牵引和封堵一体化，一方面将DDoS清洗系统中的网络功能模块成功进行剥离，简化了清洗系统；另一方面整套系统不再依赖于网管系统，减少了中间模块的需求。从多个维度提升了整套系统的稳定性和时效性。

(2)集中式的引流以及封堵路由管理，提升了系统的故障诊断能力，降低了运维的复杂度。集中式一体化的系统也更加便于系统的部署，以及新的DDoS防御节点的上线。

(3)集中式BGP路由通告的方式进行DDoS封堵，摆脱了传统方法对设备进行配置的需求，支持并发能力的同时，也大大提升了封堵的时效性和可靠性，降低了对网络设备的冲击。

(4)基于SDN控制器以及BGP路由通告的DDoS封堵，软件化的多线程架构使系统具有支持并发封堵的能力(注:测试表明本发明实施例提供的系统可最大支持超过1000个IP的并行封堵)。在封堵时效上，由于BGP协议的快速路由通告能力和稳定性，可将传统的近十秒的封堵流程提高至毫秒级，性能提升近百倍。封堵/解封成功率提升至100％。

(5)由于BGP协议在控制协议面完成封堵路由通告，无需大量CPU资源消耗，本发明实施例提供的系统也从根本上解决了封堵系统对路由设备本身CPU的冲击，大大的提高了运营设备的稳定性。

(6)双主集群架构及集群间的周期性校验和上线同步机制，保证了系统的高可用性和无中断业务升级。

实施例四、

为了更好地实施上述方法，本发明实施例还提供一种流量攻击的防护装置，该防护装置可以对流量攻击进行防护控制，因此，也可以称为流量攻击的防护控制装置；如图5所示，该流量攻击的防护控制装置可以包括以下结构(由于防护控制装置可集成在控制器上，因此控制器也可以包括以下结构)：

一个或一个以上存储器；

一个或一个以上处理器；其中，

所述一个或者一个以上指令模块包括：建立单元401、接收单元402、生成单元403和发送单元404，如下：

(1)建立单元401；

建立单元401，用于与流量入口处的边界路由器建立邻居关系。即用于与一个或多个流量入口处的边界路由器建立邻居关系。

比如，建立单元401用于基于BGP协议与边界路由器建立邻居关系。

建立单元401具体可以用于：向流量入口处的边界路由器发送邻居关系建立请求，接收边界路由器根据该邻居关系建立请求返回的响应信息；根据该响应信息建立邻居关系。

(2)接收单元402；

接收单元402，用于接收该流量入口处的入侵检测系统发送的流量攻击防护请求，该流量攻击防护请求携带流量受攻击的目标网络地址。即用于接收所述一个或多个流量入口中任意流量入口处的入侵检测系统发送的流量攻击防护请求，所述流量攻击防护请求携带流量受攻击的目标网络地址。

其中，目标网络地址可以为流量受到DDoS攻击的网络地址。该目标网络地址可以为IP(互联网协议)地址。

比如，接收单元402可以用于通过北向接口接收该流量入口处的入侵检测系统发送的流量攻击防护请求。

其中，流量攻击防护请求可以有多种，比如，该流量攻击防护请求可以包括：流量过滤(或清洗)请求、或者流量封堵(或丢弃)请求。

(3)生成单元403；

生成单元403，用于根据该流量攻击防护请求生成相应的路由信息，该路由通道信息包括该目标网络地址和路由地址信息。即用于根据所述流量攻击防护请求生成相应的路由信息，所述路由通道信息包括所述目标网络地址和路由地址信息。

比如，生成单元403可以用于根据流量攻击防护请求生成相应的IBGP路由信息。该目标网络地址为路由信息的前缀，表示该路由信息可以目标网络地址对应的路由。

具体地，该生成单元403可以包括：

解析子单元，用于对该流量攻击防护请求进行解析，得到该目标网络地址；

设定子单元，用于设定该目标网络地址对应的路由下一跳地址；

生成子单元，用于根据该目标网络地址和该路由下一跳地址生成相应的路由信息，该路由信息包括该目标网络地址和该路由下一跳地址。

其中，路由地址信息可以为目标网络地址对应的路由地址信息，比如，可以包括路由下一跳地址。该路由下一跳地址可以为与边界路由器直连的设备或者系统的地址。

对于不同类型的流量攻击防护请求，设定的路由下一跳地址不同，当流量攻击防护请求为流量过滤请求时，可以设定路由下一跳地址指向流量攻击处理系统(如DDoS清洗系统)；当流量攻击防护请求为流量封堵请求时，可以设定路由下一跳地址指向空接口。

(4)发送单元404；

发送单元404，用于基于该邻居关系向该边界路由器发送该路由信息，以使得该边界路由器根据该路由信息对该目标网络地址对应的流量进行防护处理。即用于基于所述邻居关系向相应边界路由器发送所述路由信息，以使得所述相应边界路由器根据所述路由地址信息对所述目标网络地址对应的流量进行防护处理；所述相应边界路由器为发送所述流量攻击防护请求的入侵检测系统所在的流量入口处的边界路由器。

比如，该流量攻击防护请求包括：流量过滤请求，该路由下一跳地址指向流量攻击处理系统；该发送单元404用于基于该邻居关系向该边界路由器通告该路由信息，以使得该边界路由器根据该路由信息该目标网络地址对应的流量引入该流量处理系统进行流量过滤处理。

又比如，该流量攻击防护请求包括：流量封堵请求，该路由下一跳地址指向空接口；发送单元404用于基于该邻居关系向该边界路由器通告该路由信息，以使得该边界路由器根据该路由信息对该目标网络地址对应的流量进行丢弃。

具体实施时，以上各个单元可以作为独立的实体来实现，也可以进行任意组合，作为同一或若干个实体来实现，以上各个单元的具体实施可参见前面的方法实施例，在此不再赘述。

由上可知，本发明实施例采用建立单元401与流量入口处的边界路由器建立邻居关系，然后，接收单元402接收该流量入口处的入侵检测系统发送的流量攻击防护请求，该流量攻击防护请求携带流量受攻击的目标网络地址，生成单元403根据该流量攻击防护请求生成相应的路由信息，该路由信息包括该目标网络地址和路由地址信息，发送单元404基于该邻居关系向该边界路由器发送该路由信息，以使得该边界路由器根据该路由信息对该目标网络地址对应的流量进行防护处理；由于该方案可以直接与边界路由器建立邻居关系，并向边界路由器发送路由信息，实现流量攻击的防护控制，一方面该方案可以将流量清洗系统中的网络功能模块进行剥离，简化流量清洗系统，提升了流量攻击防护系统的稳定性和可维护性；另一方面该方案无需依赖网管系统对边界路由器进行控制，即可实现流量防护，减少了中间模块的需求以及在短时间遭受频繁攻击场景下对设备CPU的冲击，提升了流量攻击防护系统的时效性和可靠性。

实施例五、

为了更好地实施上述方法，本发明实施例还提供一种流量攻击的防护装置，该防护装置可以对流量攻击进行防护处理，因此，也可以称为流量攻击的防护处理装置；如图6a所示，该流量攻击的防护处理装置可以包括以下结构(由于防护处理装置可以集成在边界路由器上，因此边界路由器也可以包括以下结构)：

一个或一个以上存储器；

一个或一个以上处理器；其中，

所述一个或者一个以上指令模块包括：建立单元501、接收单元502 和防护处理单元503，如下：

(1)建立单元501；

建立单元501，用于与控制器建立邻居关系。

比如，建立单元501可以用于基于路由协议与控制器建立邻居关系。比如，可以基于IBGP协议与控制器建立IBGP邻居关系。

(2)接收单元502；

接收单元502，用于基于该邻居关系接收该控制器发送的路由信息，该路由信息包括：路由地址信息和流量受攻击的目标网络地址。

(3)防护处理单元503；

防护处理单元503，用于根据该路由信息对该目标网络地址对应的流量进行防护处理。

比如，所述路由地址信息包括所述目标网络地址对应的路由下一跳地址，所述路由下一跳地址指向流量攻击处理系统，该防护处理单元503可以包括：

引入子单元，用于根据该路由信息将该目标网络地址对应的流量引入流量攻击处理系统，以便该流量攻击处理系统对目标网络地址对应的流量进行过滤；

接收子单元，用于接收该流量攻击处理系统返回的过滤后的流量。

又比如，所述路由地址信息包括所述目标网络地址对应的路由下一跳地址，所述路由下一跳地址指向空接口，该防护处理单元503，具体用于根据该路由信息对该目标网络地址对应的流量进行丢弃。即所述防护处理单元具体用于根据所述路由信息将所述目标网络地址对应的流量发送至所述空接口。

具体地，该路由地址信息包括：该目标网络地址对应的路由下一跳地址，该路由下一跳地址指向空接口；此时，防护处理单元503可以包括：

获取子单元，用于根据该路由下一跳地址获取相应的接口；

丢弃子单元，用于当该接口为空接口时，对该目标网络地址对应的流量进行丢弃。

可选地，该路由信息还包括路由信息对应的优先级，该路由信息对应的优先级高于本地路由信息的优先级，该本地路由信息为本地该目标网络地址对应的路由信息；参考图6b，本发明实施例的防护处理装置还包括：判断单元504；

该判断单元504，用于在接收单元502接收到路由信息之后，该防护处理单元503进行防护处理之前，获取本地路由信息的优先级；

该防护处理单元503，用于在判断单元504判断为是时，根据该路由信息对该目标网络地址对应的流量进行防护处理。

上述判断单元504也可以称为获取单元，获取单元用于在接收单元接收到路由信息之后，所述防护处理单元进行防护处理之前，获取所述目标网络地址对应的本地路由信息的优先级；其中，所述防护处理单元用于若所述路由信息对应的优先级高于所述本地路由信息的优先级，则根据所述路由信息对所述目标网络地址对应的流量进行防护处理的步骤。

由上可知，本发明实施例采用建立单元501与控制器建立邻居关系，然后，由接收单元502基于该邻居关系接收该控制器发送的路由信息，该路由信息包括路由地址信息和流量受攻击的目标网络地址，由防护处理单元503根据该路由信息对该目标网络地址对应的流量进行防护处理；该方案可以基于邻居控制器发送的路由信息对流量进行防护处理，即在控制器的直接控制下进行防护处理；一方面该方案可以实现将流量清洗系统中的网络功能模块进行剥离，使用控制器替代，大大简化了流量清洗系统，提升了流量攻击防护系统的稳定性和可维护性；另一方面该方案无需依赖网管系统的黑洞路由配置，即可实现流量防护，减少了中间模块的需求，提升了流量攻击防护系统的时效性和可靠性。

实施例六、

此外，本发明实施例还提供一种流量攻击的防护系统包括本发明实施例所提供的任一种防护控制装置(或控制器)和任一种防护处理装置(或边界路由器)，具体可参见实施例四和五，例如，可以如下：

防护控制装置(或控制器)，用于采用与流量入口处的边界路由器建立邻居关系，然后，接收该流量入口处的入侵检测系统发送的流量攻击防护请求，该流量攻击防护请求携带流量受攻击的目标网络地址，根据该流量攻击防护请求生成相应的路由信息，该路由信息包括该目标网络地址和路由地址信息，基于该邻居关系向该边界路由器发送该路由信息，以使得该边界路由器根据该路由信息对该目标网络地址对应的流量进行防护处理。

防护处理装置(或边界路由器)，用于与控制器建立邻居关系，然后，基于该邻居关系接收该控制器发送的路由信息，该路由信息包括路由地址信息和流量受攻击的目标网络地址，根据该路由信息对该目标网络地址对应的流量进行防护处理；该方案可以基于邻居控制器发送的路由信息对流量进行防护处理。

其中，防护控制装置可以以客户端或其他软体的形式集成在控制器中，该防护处理装置则可以集成在边界路由器中。

以上各个设备的具体实施可参见前面的实施例，在此不再赘述。

此外，流量攻击的防护系统还可以包括其他设备或者系统，如还可以包括流量处理系统(DDoS清洗系统)、分光器、IDS等等。

由于该流量攻击的防护系统可以包括本发明实施例所提供的任一种防护控制装置和防护处理装置，因此，可以实现本发明实施例所提供的任一种防护控制装置和防护处理装置所能实现的有益效果，详见前面的实施例，在此不再赘述。

本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成，该程序可以存储于一计算机可读存储介质中，存储介质可以包括：只读存储器(ROM，Read Only Memory)、随机存取记忆体(RAM，Random Access Memory)、磁盘或光盘等。

本发明实施例还提供一种非易失性计算机可读存储介质，其上存储有计算机可读指令，可以使至少一个处理器执行如上述方法。

本发明实施例还提供一种计算机设备，该设备可以为控制器，也可以为边界路由器，如图7所示，该计算机设备包括一个或者多个处理器 (CPU)702、通信模块704、存储器706、用户接口710，以及用于互联这些组件的通信总线708，其中：

处理器702可通过通信模块704接收和发送数据以实现网络通信和/或本地通信。

用户接口710包括一个或多个输出设备712，其包括一个或多个扬声器和/或一个或多个可视化显示器。用户接口710也包括一个或多个输入设备714，其包括诸如，键盘，鼠标，声音命令输入单元或扩音器，触屏显示器，触敏输入板，姿势捕获摄像机或其他输入按钮或控件等。

存储器706可以是高速随机存取存储器，诸如DRAM、SRAM、DDR RAM、或其他随机存取固态存储设备；或者非易失性存储器，诸如一个或多个磁盘存储设备、光盘存储设备、闪存设备，或其他非易失性固态存储设备。

存储器706存储处理器702可执行的指令集，包括：

操作系统716，包括用于处理各种基本系统服务和用于执行硬件相关任务的程序；

应用718，包括用于流量防护的各种应用程序，这种应用程序能够实现上述各实例中的处理流程，比如可以包括控制器或者边界路由器中的部分或者全部指令模块或单元。处理器702通过执行存储器706中各单元中至少一个单元中的机器可执行指令，进而能够实现上述各单元或模块中的至少一个模块的功能。

需要说明的是，上述各流程和各结构图中不是所有的步骤和模块都是必须的，可以根据实际的需要忽略某些步骤或模块。各步骤的执行顺序不是固定的，可以根据需要进行调整。各模块的划分仅仅是为了便于描述采用的功能上的划分，实际实现时，一个模块可以分由多个模块实现，多个模块的功能也可以由同一个模块实现，这些模块可以位于同一个设备中，也可以位于不同的设备中。

各实例中的硬件模块可以以硬件方式或硬件平台加软件的方式实现。上述软件包括机器可读指令，存储在非易失性存储介质中。因此，各实例也可以体现为软件产品。

各例中，硬件可以由专门的硬件或执行机器可读指令的硬件实现。例如，硬件可以为专门设计的永久性电路或逻辑器件(如专用处理器，如FPGA或ASIC)用于完成特定的操作。硬件也可以包括由软件临时配置的可编程逻辑器件或电路(如包括通用处理器或其它可编程处理器)用于执行特定操作。

另外，本申请的每个实例可以通过由数据处理设备如计算机执行的数据处理程序来实现。显然，数据处理程序构成了本申请。此外，通常存储在一个存储介质中的数据处理程序通过直接将程序读取出存储介质或者通过将程序安装或复制到数据处理设备的存储设备(如硬盘和/或内存)中执行。因此，这样的存储介质也构成了本申请，本申请还提供了一种非易失性存储介质，其中存储有数据处理程序，这种数据处理程序可用于执行本申请上述方法实例中的任何一种实例。

图7模块对应的机器可读指令可以使计算机上操作的操作系统等来完成这里描述的部分或者全部操作。非易失性计算机可读存储介质可以是插入计算机内的扩展板中所设置的存储器中或者写到与计算机相连接的扩展单元中设置的存储器。安装在扩展板或者扩展单元上的CPU等可以根据指令执行部分和全部实际操作。

以上对本发明实施例所提供的一种流量攻击的防护方法、控制装置、处理装置及系统进行了详细介绍，本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。

Claims

一种流量攻击的防护方法，包括：

与一个或多个流量入口处的边界路由器建立邻居关系；

接收所述一个或多个流量入口中任意流量入口处的入侵检测系统发送的流量攻击防护请求，所述流量攻击防护请求携带流量受攻击的目标网络地址；

根据所述流量攻击防护请求生成相应的路由信息，所述路由通道信息包括所述目标网络地址和路由地址信息；

基于所述邻居关系向相应边界路由器发送所述路由信息，以使得所述相应边界路由器根据所述路由地址信息对所述目标网络地址对应的流量进行防护处理；所述相应边界路由器为发送所述流量攻击防护请求的入侵检测系统所在的流量入口处的边界路由器。
如权利要求1所述的防护方法，其中，所述路由地址信息包括所述目标网络地址对应的路由下一跳地址；

所述根据所述流量攻击防护请求生成相应的路由信息，包括：

对所述流量攻击防护请求进行解析，得到所述目标网络地址；

设定所述目标网络地址对应的路由下一跳地址；

根据所述目标网络地址和所述路由下一跳地址生成相应的路由信息，所述路由信息包括所述目标网络地址和所述路由下一跳地址。
如权利要求2所述的防护方法，其中，所述流量攻击防护请求包括：流量过滤请求，所述路由下一跳地址指向流量攻击处理系统；

所述基于所述邻居关系向相应边界路由器发送所述路由信息，以使得所述相应边界路由器根据所述路由地址信息对所述目标网络地址对应的流量进行防护处理，包括：

基于所述邻居关系向所述相应边界路由器通告所述路由信息，以使得所述相应边界路由器根据所述路由信息将所述目标网络地址对应的流量引入所述流量攻击处理系统中进行流量过滤处理。
如权利要求2所述的防护方法，其中，所述流量攻击防护请求包括：流量封堵请求，所述路由下一跳地址指向空接口；

所述基于所述邻居关系向相应边界路由器发送所述路由信息，以使得所述相应边界路由器根据所述路由地址信息对所述目标网络地址对应的流量进行防护处理，包括：

基于所述邻居关系向所述相应边界路由器发送所述路由信息，以使得所述相应边界路由器根据所述路由信息将所述目标网络地址对应的流量发送至所述空接口。
一种流量攻击的防护方法，包括：

与控制器建立邻居关系；

基于所述邻居关系接收所述控制器发送的路由信息，所述路由信息包括：路由地址信息和流量受攻击的目标网络地址；

根据所述路由信息对所述目标网络地址对应的流量进行防护处理。
如权利要求5所述的防护方法，其中，所述路由地址信息包括所述目标网络地址对应的路由下一跳地址，所述路由下一跳地址指向流量攻击处理系统；

所述根据所述路由信息对所述目标网络地址对应的流量进行防护处理，包括：

根据所述路由信息将所述目标网络地址对应的流量引入所述流量攻击处理系统，以便所述流量攻击处理系统对所述目标网络地址对应的流量进行过滤；

接收所述流量攻击处理系统返回的过滤后的流量。
如权利要求5所述的防护方法，其中，所述路由地址信息包括所述目标网络地址对应的路由下一跳地址，所述路由下一跳地址指向空接口；

所述根据所述路由信息对所述目标网络地址对应的流量进行防护处理，包括：根据所述路由信息将所述目标网络地址对应的流量发送至所述空接口。
如权利要求5所述的防护方法，其中，所述路由信息还包括所述路由信息对应的优先级；

在接收到所述路由信息之后，进行防护处理之前，所述防护方法还包括：

获取所述目标网络地址对应的本地路由信息的优先级；

若所述路由信息对应的优先级高于所述本地路由信息的优先级，则执行所述根据所述路由信息对所述目标网络地址对应的流量进行防护处理的步骤。
一种控制器，包括：

一个或一个以上存储器；

一个或一个以上处理器；其中，

所述一个或一个以上存储器存储有一个或者一个以上指令模块，经配置由所述一个或者一个以上处理器执行；其中，

所述一个或者一个以上指令模块包括：

建立单元，用于与一个或多个流量入口处的边界路由器建立邻居关系；

接收单元，用于接收所述一个或多个流量入口中任意流量入口处的入侵检测系统发送的流量攻击防护请求，所述流量攻击防护请求携带流量受攻击的目标网络地址；

生成单元，用于根据所述流量攻击防护请求生成相应的路由信息，所述路由通道信息包括所述目标网络地址和路由地址信息；

发送单元，用于基于所述邻居关系向相应边界路由器发送所述路由信息，以使得所述相应边界路由器根据所述路由地址信息对所述目标网络地址对应的流量进行防护处理；所述相应边界路由器为发送所述流量攻击防护请求的入侵检测系统所在的流量入口处的边界路由器。
一种边界路由器，包括：

一个或一个以上存储器；

一个或一个以上处理器；其中，

所述一个或一个以上存储器存储有一个或者一个以上指令模块，经配置由所述一个或者一个以上处理器执行；其中，

所述一个或者一个以上指令模块包括：

建立单元，用于与控制器建立邻居关系；

接收单元，用于基于所述邻居关系接收所述控制器发送的路由信息，所述路由信息包括：路由地址信息和流量受攻击的目标网络地址；

防护处理单元，用于根据所述路由信息对所述目标网络地址对应的流量进行防护处理。
一种流量攻击的防护方法，由控制器执行，所述方法包括：

与一个或多个流量入口处的边界路由器建立邻居关系；

接收所述一个或多个流量入口中任意流量入口处的入侵检测系统发送的流量攻击防护请求，所述流量攻击防护请求携带流量受攻击的目标网络地址；

根据所述流量攻击防护请求生成相应的路由信息，所述路由通道信息包括所述目标网络地址和路由地址信息；

基于所述邻居关系向相应边界路由器发送所述路由信息，以使得所述相应边界路由器根据所述路由地址信息对所述目标网络地址对应的流量进行防护处理；所述相应边界路由器为发送所述流量攻击防护请求的入侵检测系统所在的流量入口处的边界路由器。
一种流量攻击的防护方法，由边界路由器执行，该方法包括：

与控制器建立邻居关系；

基于所述邻居关系接收所述控制器发送的路由信息，所述路由信息包括：路由地址信息和流量受攻击的目标网络地址；

根据所述路由信息对所述目标网络地址对应的流量进行防护处理。
一种流量攻击的防护系统，包括：一个或者多个如权利要求9所述的控制器以及一个或者多个如权利要求10所述的边界路由器。
一种非易失性计算机可读存储介质，其上存储有计算机可读指令，可以使至少一个处理器执行如权利要求1-8任一项所述的方法。