[发明专利]流量监测方法及系统

说明书

技术领域

本发明涉及网络流量监测技术，特别涉及一种流量监测方法及系统。

背景技术

在互联网不断发展的同时，黑客技术也在不断发展，利用后门软件的植入，越来越多的宽带用户已沦为助纣为虐的“傀儡机”，傀儡网络越来越庞大，经济利益的引诱、攻击源的难于追查，使越来越多的黑客铤而走险，把利用傀儡网路发动攻击当成发财致富的不二法宝。这些因素都导致网络中的分布式拒绝服务(Distributed Denial of Service；以下简称：DDoS)攻击越来越频繁、规模越来越大，这些DDoS攻击不仅造成目标客户服务器、网络的瘫痪，而且还严重威胁到运营商城域网的安全，并引起全社会的广泛关注。

针对这种情况，由于无法实现对数据包的溯源，因此，无法对数据流的源头进行控制或封堵。目前，流量监测和控制系统，大多部署在关键网络出口或被保护的系统前段，通常部署分散，只能实现对部分流量的监测和控制，无法实现对全网流量的监测和控制。针对异常数据流通常的应对措施包括：黑洞路由和流量清洗等。

黑洞路由，通过设置路由黑洞，将DDoS等攻击数据流引入到路由黑洞，防止超大流量影响网络正常运行，充分利用了路由器的包转发功能，对系统负载影响小。

流量清洗，流量清洗设备与出口路由器之间建立边界网关协议对等(Border Gateway Protocol Peer；以下简称：BGP Peer)关系，一旦流量监测设备监测出某个区域的攻击或异常数据流，流量监测设备将自动或手动启动流量清洗设备对受攻击的区域进行保护，流量清洗设备将发起边界网关协议(Border Gateway Protocol；以下简称：BGP)路由宣告，修改出口路由器中指向受攻击区域的路由，转而指向流量清洗设备，异常数据流将被引入流量清洗设备进行清洗，而到其它区域的正常数据流不受影响。

但是，在上述应对措施中，黑洞路由是对目的地址的过滤，直接导致去往目的地址的流量丢弃，使得目的地址不可用；流量清洗是也是基于目的地址，无法实现对流量的溯源、定位和封堵。

发明内容

本发明的目的是提供一种流量监测方法及系统，以解决无法对流量溯源的问题，实现主动的流量监测和防御。

为实现上述目的，本发明提供了一种流量监测方法，包括：

步骤100、路由器向经过的数据流中的数据包加入包标识；

步骤200、流量监测设备对被保护系统的进出数据流的流量进行实时监测，当监测到异常数据流时，从所述异常数据流中抽取异常数据流样本，并将所述异常数据流样本发送到流量管理服务器；

步骤300、所述流量管理服务器接收所述流量监测设备发送的异常数据流样本，对所述异常数据流样本进行分析处理，根据所述异常数据流样本中数据包的包标记，定位所述异常数据流的接入路由器；

步骤400、所述接入路由器根据所述流量管理服务器发送的控制指令，对异常数据流进行处理。

本发明还提供了一种流量监测系统，包括：

一个以上路由器，用于对经过的数据包加入包标记，所述一个以上路由器包括用于接收控制指令，对异常数据流进行处理的接入路由器；

流量监测设备，用于对被保护系统的进出数据流的流量进行实时监测，当监测到异常数据流时，从所述异常数据流中抽取异常数据流样本，并发送所述异常数据流样本；

流量管理服务器，用于接收所述流量监测设备发送的所述异常数据流样本，对所述异常数据流样本进行分析处理，根据所述异常数据流样本中数据包的包标记，定位所述异常数据流的接入路由器，发送控制指令。

本发明通过提供一种流量监测方法及系统，利用包标记技术对异常数据流进行溯源，在异常数据流经过的接入路由器对其进行处理，实现了对异常数据流的源头进行控制和封堵，能够有效地应对DDoS攻击。

附图说明

图1为本发明流量监测方法第一实施例的流程图；

图2为本发明流量监测方法第二实施例的流程图；

图3为本发明流量监测方法第三实施例的流程图；

图4为本发明流量监测系统第一实施例的系统框图；

图5为本发明流量监测系统第二实施例的系统框图。

附图标记说明：

1—路由器；           2—流量监测设备；    3—流量管理服务器；

4—流量清洗设备；     11—接入路由器；     111—限制单元；

112—转发单元。

具体实施方式

下面通过附图和实施例，对本发明的技术方案做进一步的详细描述。