[发明专利]攻击流量防护系统、方法、装置、电子设备和存储介质

权利要求书

1.一种攻击流量防护系统，其特征在于，该系统包括攻击检测模块、中央集中控制模块、核心路由器集群和清洗模块，其中所述核心路由器集群包含至少一个核心路由器；

所述核心路由器集群，用于将接收到的待处理流量的镜像流量转发给所述攻击检测模块；

所述攻击检测模块，用于对所述镜像流量进行检测；在检测到所述镜像流量中包含攻击流量后生成告警信息，并将所述告警信息上报给所述中央集中控制模块，所述告警信息中包含所述攻击流量的流量特征信息；

所述中央集中控制模块，用于根据所述告警信息中的流量特征信息，确定所述攻击流量的攻击类型；若所述攻击类型包括带宽消耗型攻击，则使所述核心路由器集群中的核心路由器对所述待处理流量进行防护处理；若所述攻击类型包括资源消耗型攻击，则使所述清洗模块对所述待处理流量进行防护处理。

2.如权利要求1所述的系统，其特征在于，所述攻击类型包括带宽消耗型攻击，所述系统还包括路由策略下发控制模块；所述中央集中控制模块，具体用于：

在确定所述攻击流量的攻击类型为带宽消耗型攻击后，通过调用所述路由策略下发控制模块，将第一防护策略下发至所述核心路由器集群，以使所述核心路由器集群中的核心路由器根据所述第一防护策略对所述待处理流量进行防护处理。

3.如权利要求2所述的系统，其特征在于，所述路由策略下发控制模块具体用于：

根据预先配置的边界网关协议流规则确定与所述攻击流量匹配的第一防护策略；并将所述第一防护策略下发至所述核心路由器集群。

4.如权利要求3所述的系统，其特征在于，所述路由策略下发控制模块具体用于：

获取所述攻击流量对应的匹配字段，其中所述匹配字段是用于表示边界网关协议BGP路由属性的字段；

基于所述边界网关协议流规则，将与所述匹配字段对应的策略作为所述第一防护策略，其中所述边界网关协议流规则中定义有不同匹配字段对应的策略。

5.如权利要求1所述的系统，其特征在于，所述攻击类型包括资源消耗型攻击，所述系统还包括边界路由器集群，其中所述边界路由器集群包含至少一个边界路由器；所述中央集中控制模块，具体用于：

在确定所述攻击流量的攻击类型为资源消耗型攻击后，通过所述边界路由器集群中的边界路由器与所述清洗模块建立BGP邻居，将所述待处理流量牵引至所述清洗模块，以使所述清洗模块根据第二防护策略对所述待处理流量进行防护处理。

6.如权利要求5所述的系统，其特征在于，所述清洗模块具体用于：

接收到所述中央集中控制模块下发的路由牵引通告后，通过BGP协议发送牵引路由至边界服务器集群中的边界路由器，其中所述路由牵引通告是所述中央集中控制模块在确定所述攻击流量的攻击类型为资源消耗型攻击后发送给所述清洗模块的；

在接收到所述边界路由器根据所述牵引路由牵引的所述待处理流量后，基于自身防护能力对所述待处理流量进行分析，确定所述待处理流量中的攻击流量；

根据所述第二防护策略对确定出的攻击流量进行防护处理后，将所述待处理流量中除攻击流量以外的剩余流量进行回注。

7.如权利要求6所述的系统，其特征在于，所述清洗模块具体用于：

根据确定出的攻击流量的业务属性，从预设防护策略集合中获取与所述攻击流量的业务属性匹配的所述第二防护策略，其中所述攻击流量的业务属性为所述攻击流量的目的地址与所述攻击流量对应的业务所属业务群组中的一种或多种。

8.如权利要求7所述的系统，其特征在于，所述清洗模块还用于：

根据自身防护能力确定无法对所述待处理流量进行防护处理时，通知所述中央集中控制模块，以使所述中央集中控制模块调用所述路由策略下发控制模块下发第三防护策略至所述核心路由器集群，由所述核心路由器集群中的核心路由器根据所述第三防护策略对牵引至所述核心路由器集群的所述待处理流量进行防护处理。