[发明专利]流量攻击的防护方法、控制装置、处理装置及系统

说明书

本发明实施例公开了一种流量攻击的防护方法、控制装置、处理装置及系统；本发明实施例采用与流量入口处的边界路由器建立邻居关系，然后，接收该流量入口处的入侵检测系统发送的流量攻击防护请求，该流量攻击防护请求携带流量受攻击的目标网络地址，根据该流量攻击防护请求生成相应的路由信息，该路由信息包括目标网络地址和路由地址信息，基于该邻居关系向该边界路由器发送该路由信息，以使得该边界路由器根据该路由信息对该目标网络地址对应的流量进行防护处理；该方案可以提升流量攻击防护系统的可靠性、稳定性、可维护性以及防护时效性。

技术领域

本发明涉及网络安全技术领域，具体涉及一种流量攻击的防护方法、控制装置、处理装置及系统。

背景技术

随着互联网技术的发展与应用普及，网络上的多业务系统面临着更多、更复杂的网络攻击行为，其中，DDoS(Distributed Denial of Service，分布式拒绝服务)便是一种较为严重的网络攻击行为，它利用大量的傀儡机对某个系统同时发起攻击，使得受攻击的该系统因带宽拥塞或服务器资源耗尽等原因而无法支持正常的业务访问。

目前，为了防护DDoS攻击，服务提供商通常以分布式部署的方式，通过在其每个网络流量入口处分别部署一套DDoS防护系统，通过DDoS监测，清洗以及封堵来进行DDoS防护。

参考图1，对于每套DDoS防护系统，首先在网络流量入口处利用分光器将来自互联网的流量进行全部复制，并导入到入IDS（Intrusion Detection System，入侵检测系统）进行攻击流量分析检测。对于受攻击IP，根据IDS检测到受攻击程度的大小进行相应的防护操作。

具体地，如果攻击流量小于特定阈值，则DDoS清洗系统通过通告牵引路由给边界路由器，将受攻击IP的流量引入本地进行攻击流量清洗；如果攻击流量大于特定阈值，超出清洗能力，IDS则直接通过网管系统登陆到边界路由器上配置静态黑洞路由，直接将受攻击IP的所有流量丢弃在边界路由器。

然而，目前DDoS防护系统，与边界路由器建立eBGP邻居并通告牵引路由。这需要DDoS清洗系统将安全功能模块和网络功能模块进行融合，以实现支持路由协议栈。这样就会大大提升DDoS清洗系统的复杂度，降低了流量攻击防护系统的稳定性和可维护性。

另外，在进行DDoS封堵时，DDoS防护系统必须引入网管系统进行黑洞路由的配置下发。由于额外增加的中间模块进行封堵，降低了目前DDoS防护系统封堵流量的时效性；并且在短时间遭受频繁DDoS攻击的场景下，由于需要在设备上频繁配置大量黑洞路由进行封堵，因此会对某些设备的CPU造成极大冲击，降低了DDoS防护系统的可靠性和稳定性。

发明内容

本发明实施例提供一种流量攻击的防护方法、控制装置、处理装置及系统，可以提升流量攻击防护系统的可靠性、稳定性、可维护性以及防护时效性。

本发明实施例提供一种流量攻击的防护方法，包括：

与流量入口处的边界路由器建立邻居关系；

接收所述流量入口处的入侵检测系统发送的流量攻击防护请求，所述流量攻击防护请求携带流量受攻击的目标网络地址；

根据所述流量攻击防护请求生成相应的路由信息，所述路由通道信息包括所述目标网络地址和路由地址信息；

基于所述邻居关系向所述边界路由器发送所述路由信息，以使得所述边界路由器根据所述路由信息对所述目标网络地址对应的流量进行防护处理。

相应的，本发明实施例还提供了一种流量攻击的防护控制装置，包括：

建立单元，用于与流量入口处的边界路由器建立邻居关系；

接收单元，用于接收所述流量入口处的入侵检测系统发送的流量攻击防护请求，所述流量攻击防护请求携带流量受攻击的目标网络地址；