[发明专利]一种面向目标网络的流量控制装置及方法

权利要求书

1.一种面向目标网络的流量控制装置，包括：用于转发网络数据包的 转发引擎；其特征在于：还包括流量分析单元；

所述转发引擎还用于统计进出各目标主机的网络流量；当检测到异常流 量时，采样送入具有异常流量的目标主机的网络数据包并将样本发给流量分 析单元，以及根据流量分析单元返回的异常流量过滤规则对发往该目标主机 的网络数据包进行流量控制；

所述流量分析单元根据接收的网络数据包样本统计，以各TCP/IP协议包 头字段值为项，提取满足预设最小支持度的频繁项目集作为应用于该目标主 机的异常流量过滤规则，并发送给转发引擎。

2.如权利要求1所述的装置，其特征在于，所述转发引擎检测统计进 出各目标主机的网络流量是指：

转发引擎按传输控制协议TCP、用户数据包协议UDP和网际控制消息协 议ICMP三种报文类型对进出目标主机的网络数据包分类进行统计；

所述转发引擎检测到异常流量是指：

转发引擎当检测到进入目标主机的某类型网络数据包流量超过了预定流 量阈值，并且进、出该目标主机的该类型网络数据包流量比率值超过了预定 比例阈值时，认为检测到了针对该目标主机的基于该类型网络数据包的异常 流量攻击；

转发引擎采样送入具有异常流量的目标主机的网络数据包并将样本发给 流量分析单元是指：

转发引擎从发往具有异常流量的目标主机的网络数据包中，采样该类型 的网络数据包；将采样到的网络数据包发送给流量分析单元，并指明该样本 对应的目标主机和网络数据包类型；

流量分析单元发送异常流量过滤规则时，指明本规则对应的目标主机和 网络数据包类型。

3.如权利要求2所述的装置，其特征在于，还包括：绩效评估单元；

所述转发引擎还用于在接收到异常流量过滤规则时发送启动指示给绩效 评估单元，其中携带所发送的异常流量过滤规则所针对的目标主机的名称或 标识，及网络数据包类型；还用于在收到绩效评估单元的采样指示后采样相 应的网络数据包并将样本发给流量分析单元；还用于在收到绩效评估单元的 合并指示后将新收到的异常流量过滤规则和原先相应的异常流量过滤规则合 并，并按合并后的异常流量过滤规则对发往相应目标主机的网络数据包进行 流量控制；

所述绩效评估单元用于收到启动指示后，判断启动指示中携带的名称或 标识及网络数据包类型判断是否已被记录；如果已被记录则发送合并指示给 转发引擎，合并指示中携带目标主机名称或标识及网络数据包类型；如果未 被记录则记录启动指示中携带的名称或标识及网络数据包类型，并按照启动 指示中携带的名称或标识对进出相应目标主机的、过滤后的网络数据包进行 监测，如果仍存在异常流量，则发送采样指示给转发引擎，采样指示中携带 所述目标主机的名称或标识，及网络数据包类型。

4.如权利要求3所述的装置，其特征在于，还包括：

与目标主机一一对应的定时器；定时器的时长为一预设值；

所述转发引擎还用于当对一目标主机开始进行流量控制时，启动该目标 主机对应的定时器；当定时器到时后，检测送入该目标主机的过滤前的网络 流量，如果不异常则删除应用于该目标主机的异常流量过滤规则，并发送删 除指示给绩效评估单元，其中携带所要删除的异常流量过滤规则对应的目标 主机和网络数据包类型；否则继续对目标主机进行流量控制并重启定时器；

所述绩效评估单元根据删除指示删除相应记录。