专利名称:一种网络流量清洗系统的制作方法
技术领域:
本发明涉及网络流量清洗系统,特别涉及 一 种将决策与控制相分离的 网络流量清洗系统。
背景技术:
流量清洗技术是一种近年来新兴的异常流量4企测控制技术,对DDoS 攻击(分布式拒绝服务攻击)和网络入侵的监控具有极佳的效果。流量清 洗的原理是在发现网络攻击行为后,采用BGP路由通告的方式改变流量 转发方向,将流量牵引至指定节点,然后用异常流量过滤设备处理重定向 流量,对重定向流量中的异常流量进行过滤、限速,而将合法流量回注到 网络中,从而避免了DDoS攻击。
根据流量清洗的上述原理,现有技术中提出了相应的流量清洗系统, 如思科公司提出的流量清洗中心。在图1中给出了思科的流量清洗中心的 组成以及在网络环境中的应用。如图所示,思科的流量清洗中心包括DDoS 攻击检测器和流量清洗设备两部分,其中流量清洗设备还要求部署一个附 属路由器。将靠近DDoS攻击源的路由器称为远端路由器,将靠近受攻击 目标的路由器称为近端路由器,所述的流量清洗中心实现流量清洗的步骤 包括
步骤1 )、 DDoS攻击检测器在实时监测中发现DDoS等攻击行为或被 攻击目标的申告;
步骤2 )、 DDoS攻击检测器报警并激活流量清洗设备;
步骤3)、流量清洗设备首先通过BGP协议(或其它私有协议)来调整 网络中向攻击目标发送的数据包的路由,将这些数据包的目标地址从近端路 由器转换为流量清洗设备的附属路由器;
步骤4)、对目的IP为攻击目标的流量做流量牵引,即将目的IP为攻击 目标的流量经由附属路由器转发到清洗设备中,而对其它流量则正常转发;
步骤5 )、流量清洗设备从经由流量牵引所得到的流量中识别并过滤攻击
流量;步骤6)、流量清洗设备将清洗后得到的正常流量传送回附属路由器,由
附属路由器回注到网络中并正常转发到达目标(如通过VPN )。
以上是对思科公司的流量清洗中心的结构及其工作过程的说明,从上
述说明可以看出,这种类型的流量清洗系统存在着以下不足
a) 、流量清洗系统在运行过程中局部改变了网络的拓朴结构(如通过 BGP路由通告的方式改变路由),这种改变对配置与使用的要求较高,一 旦配置与使用不当,就会给网络的稳定性带来极大的影响。
b) 、流量清洗后正常流量的回注比较复杂。因为网络中到达目的IP 的路由已经被改变,因此不能通过把干净流量直接回送到网络中的方式实 现流量的回送。目前回送流量采用VRF或者GRE隧道两种方式,GRE隧道数 据转发效率低下,不能满足高速网络应用的需要,而VRF实现对设备要求较 高,对网络设备(如接入路由器)提出了较高的功能与性能要求,不能适 应网络的现状。
c) 、流量清洗设备将决策与控制集于一身,导致系统性能较低。本申 请中所涉及的决策是指攻击流量与正常流量间识别,而所涉及的控制是指 正常流量与攻击流量的分离。现有的流量清洗系统中的流量清洗设备需要 在网络层和应用层上对流量牵引所得到的所有流量做决策操作,再实现对 流量的控制,要同时完成两种操作不仅资源消耗严重,而且网络时延大, 影响了系统处理能力的提升。
d) 、流量清洗系统过于封闭。现有的流量清洗系统,仅仅适用于某一 厂商自己的路由器,系统内各模块间因为采用了一些专有协议而不能支持 其他清洗设备的接入。开放性和标准化方面的缺陷已经不能适应运营商网 络设备来源多样化的现状与需要。以思科的流量清洗中心为例,前述图1 中的路由器,包括远端、近端以及附属路由器必须采用思科的相关路由器 才能完成网络的流量清洗,这就限制了流量清洗系统的推广和使用。
现有技术中,除了思科公司的流量清洗中心外,还存在其他类型的流 量清洗系统,但这些现有的流量清洗系统或者与思科公司的产品大同小 异,或者在实现原理上完全不同,属于完全不同结构和类型的流量清洗系 统,并不能很好地克服前述流量清洗系统中所存在的缺陷。
发明内容
本发明的目的是克服现有的流量清洗系统由于自身结构以及工作原理给网络流量清洗的实现所带来的不足,从而提供一种效率高、稳定性好 的流量清洗设备。
为了实现上述目的,本发明提供了一种流童清洗系统,用于对网络应 用环境中的网络流量进行监控管理,包括异常检测模块、攻击检测与识别 模块,以及流量清洗设备;其中,
所述的异常检测模块对所述网络应用环境中的网络流量做监测,对可 疑网络流量生成策略路由并发送到所述网络应用环境中的指定路由器上,
由所述指定路由器将所述的可疑网络流量牵引到所述的流量清洗设备;所 述的流量清洗设备将所接收到的可疑网络流量镜像到所述的攻击检测与 识别模块,由该模块识别出攻击流量,并根据所述攻击流量的相关信息生 成ACL规则,然后发送到所述的流量清洗设备;所述的流量清洗设备根 据所得到的ACL规则实现可疑网络流量中正常流量与攻击流量的分离。
上述技术方案中,所述的异常检测模块包括用于对网络流量进行实时 分析并预警可疑网络流量的异常^r测服务器,以及用于根据可疑网络流量 的信息生成策略路由的策略路由管理器。
上述技术方案中,所述的异常检测服务器根据异常检测规则实现对可 疑网络流量的检测,所述异常检测规则中定义了某类异常网络流量的特点 与检测方法。
上述技术方案中,所述的异常检测模块还包括用于存储所述异常检测 规则的异常检测规则库。
上述技术方案中,所述的策略路由管理器根据需要操作的路由器地 址、连接流量清洗设备的路由器接口信息、路由器型号以及识别方式、策 略路由设置方法以及受攻击目标在内的相关信息生成策略路由。
上述技术方案中,所述的异常^r测模块还包括用于存储生成所述策略 路由所需要的信息的策略路由信息库。
上述技术方案中,所述的攻击检测与识别模块包括攻击检测与识别引 擎,所述的攻击检测与识别引擎根据攻击检测与识别规则对可疑网络流量 进行检测,识别出其中的网络攻击,然后针对网络攻击的攻击源生成用于 在网络上控制攻击源所产生的攻击流量的ACL规则,并将所生成的ACL 规则提交给所述的流量清洗设备。
上述技术方案中,所述的攻击检测与识别引擎还根据IP地址白名单 和攻击检测与识别规则生成所述的ACL规则。上述技术方案中,所述的攻击检测与识别模块还包括用于存储所述攻 击检测与识别规则和/或IP地址白名单的攻击识别规则库。
上述技术方案中,还包括业务管理模块,所述的业务管理模块用于对 所述异常检测模块或攻击检测与识别模块进行包括信息增删改操作、自动 升级以及人工控制在内的管理活动。
上述技术方案中,所述的业务管理模块对所述异常检测规则库中的异 常检测规则做包括增删改在内的维护操作,或对所述异常检测规则库做自 动升级。
上述技术方案中,所述的业务管理模块对所述策略路由信息库中的策 略路由信息做包括增删改在内的操作,或对所述策略路由信息库做自动升 级,或在人工操作的模式下实现网络流量的牵引。
上述技术方案中,所述的业务管理模块对所述攻击识别规则库中的信 息做包括增删改在内的操作,或对所述攻击识别规则库做自动升级。
本发明的优点在于
1、 本发明的流量清洗系统采用决策与控制相分离的机制,使得作为 决策的攻击检测与识别过程具有极大的灵活性,而作为控制的ACL控制 过程具有实时响应能力,并且可以在不增加网络时延的情况下大大提升流 量处理能力。2、 本发明的流量清洗系统在^f故流量清洗时并不改变所在网络中的网 络拓朴结构,数据流回注简单,网络的稳定性好。
3、 本发明的流量清洗系统采用了标准化接口连接系统中的各个部分, 不依赖于某一类路由器,允许运营商自由采购符合标准的清洗模块,可以 大幅节省系统成本。
图1为现有技术中的流量清洗系统的示意图2为本发明的流量清洗系统应用在网络应用环境中的示意图3为本发明的流量清洗系统的结构图4为攻击检测与识别模块与流量清洗设备的ACL控制接口间所要 完成的操作。
具体实施方式
下面结合附图和具体实施方式
对本发明加以i兌明。
为了提高整个流量清洗系统的流量清洗效率,本发明将流量清洗系统 中的决策与控制相分离,由不同的装置实现决策与控制。下面结合具体的 网络应用环境对本发明的流量清洗系统的组成及其工作流程加以说明。
在图2中,所涉及的网络应用环境与图1相类似,同样的,将与攻击 源相邻近的路由器称为远端路由器,将与攻击目标相邻近的路由器称为近 端路由器,由本发明的流量清洗系统对该网络应用环境做流量清洗。用于 所述网络中的流量清洗系统包括异常检测模块、攻击检测与识别模块、以 及流量清洗设备。其中,所述的异常检测模块对网络应用环境中的网络流 量进行监测, 一旦发现有可疑的流量,就将所生成的策略路由发送到网络
中的某一指定路由器上,由该路由器将可疑流量牵引到流量清洗设备;流 量清洗设备将所接收到的可疑流量镜像到所述的攻击检测与识别模块,由 该模块识别攻击流量,并根据攻击流量的相关信息生成ACL规则,然后 发送到所述的流量清洗设备;流量清洗设备根据所得到的ACL规则实现 正常流量与攻击流量的分离。
以上是本发明的流量清洗系统的基本组成结构与工作流程,下面对流 量清洗系统中的各个部分的进一步组成做如下说明。
异常检测模块用于对网络中的流量做检测分析,将其中具有异常的流 量做流量牵引。在图3中对异常检测模块的组成做了说明,由图中可以看 出,异常检测模块包括有异常检测服务器(ADS),以及策略路由管理器 (腿)。
异常检测服务器(ADS)对路由器提供的网络流数据进行实时分析, 在发现包含有诸如DDoS攻击的可疑流量后发出预警,并初步确定可疑流 量的攻击目标。所述的ADS对异常流量的检测通过异常检测规则实现。 在一个异常检测规则中,定义了某类异常流量的特点与检测方法,异常检 测服务器根据所述的检测方法查找到具有对应特点的流量后,就可以实现 对该类异常流量的检测。ADS所分析的网络流数据可以是目前市场上主流 路由器所支持的各种流数据,如满足Netflow/JFlow/CFlow等协议的流数 据,从而具有较广的适用性。ADS能够检测出网络上存在疑似DDoS攻击 行为,但是却不能精确地确定DDoS攻击的存在,特别是不能够将正常流 量与攻击流量区分开,因此事实上只是起到了 一个预警平台的作用。
异常检测服务器(ADS)发现网络上存在可疑流量并初步确定该可疑流量的攻击目标后,驱动所述的策略路由管理器(RM),由所述的策略路
实现对相关网络流量的牵引。在现有的流量清洗系统中,对网络中数据流 量的牵引是由流量清洗设备中的附属路由器实现的,而在本发明中,则由 整个网络应用环境中到攻击目标的关键路径上的核心路由器实现。核心路 由器执行策略路由实现对网络流量的牵引,所述的策略路由包括了对连接 指定路由器、登录、设置策略路由在内的操作的描述,它以脚本的形式出
现。策略路由管理器(RM)需要一定的信息下才能生成所述的策略路由 的脚本。这里所涉及的一定信息包括需要操作的路由器地址、连接流量 清洗设备的路由器接口信息、路由器型号以及识别方式、策略路由设置方 法等;此外还包括受攻击目标的相关信息。前述的核心路由器成功执行脚 本后,网络上进入指定路由器、且IP地址为受攻击目标的IP包被牵引到 流量清洗设备上进行处理。在异常流量消失并在 一段时间内不再出现以 后,所述RM还要生成新的取消已设置策略路由的脚本,使用该脚本完成 取消前述流量牵引设置的功能。本申请通过在核心路由器上执行策略路由 的方式实现对网络流量的牵引,仅改变了核心路由器内部的路由,网络自 身的路由未发生任何改变,也未增加其他路由器,从而避免了对网络拓朴 结构的局部改变所带来的诸多问题。
上述的异常检测服务器(ADS)与策略路由管理器(RM)是本发明 的异常检测模块的基本组成。由于在异常流量检测与网络牵引中分别要用 到异常检测规则和策略路由,因此异常检测模块还可包括用于存储异常检 测规则的异常检测规则库(ADRDB),以及用于存储生成策略路由所需要 的相关信息的策略路由信息库(RMDB)。其中,存储在异常检测规则库 中的异常检测规则通常以XML文本描述。异常4全测规则库中所存储的生 成策略路由所需要的相关信息包括需要操作的路由器地址、连接流量清 洗设备的路由器接口信息、路由器型号以及识别方式、策略路由设置方法 等。当所述的ADS或RM需要相关的信息时,可从上述异常检测规则库 (ADRDB)或策略路由信息库(RMDB)中提取。为了降低对RMDB和 ADRDB的依赖,减少对两者的访问频次,在所述的ADS和RM中还可以 各自包含一个存储器,将部分所述的异常检测规则和与策略路由相关的信 息分别存储在所述存储器中。
攻击检测与识别模块的作用是实现对正常流量与攻击流量的区分,并根据攻击流量中攻击源的信息,生成用于控制攻击流量的ACL规则。其 中,所述的ACL规则包括IP五元组以及规定的动作。IP五元组包括源IP、 源端口、目的IP、目的端口、协议类型,^见定的动作主要包括阻塞和》文行 两种。根据攻击检测与识别模块的上述功能,该模块也可以做进一步的划 分,如图3所示,它包括攻击检测与识别引擎(ADE)。当牵引后的流量 到达流量清洗设备时,流量清洗设备会将所接收到的流量镜像到所述的 ADE,由所述的ADE对攻击流量进行检测,识别出其中的每一次网络攻 击,然后针对每一次攻击的攻击源生成可用于在网络上控制攻击源所产生 的攻击流量的ACL规则,最后将所生成的ACL规则提交给流量清洗设备。 上述过程中,ADE在对攻击流量做检测时采用了攻击检测与识别规则来识 别网络攻击。攻击检测与识别规则中可以包括网络攻击的协议类型、攻击 报文的包头特征、和/或部分类型报文的内容特征以及一些数量特征等信 息。该规则可以用XML文本的方式描述。
为了存储所述的攻击检测与识别规则,所述的攻击检测与识别模块还 包括攻击识别规则库(ARDB), ADE可轻易地存取所述ARDB中的各类 规则,ARDB中各类规则内容的增删改等变化不会对ADE自身带来影响。 为了避免ADE在识别攻击时的误判给一些重点用户所带来的通信损失, 所述的ARDB中还包括了不允许通过ACL阻断通信的IP地址集合,这种 IP地址集合也被称为IP地址白名单。所述ADE在生成ACL规则时要从 ARDB读取IP地址白名单,参考该名单中的IP地址,如果所4全测到的"攻 击源"的IP地址包含在所述IP地址白名单中,则不予生成对应的ACL规 则。这样,流量清洗设备就不会对这一IP地址所发出的数据流做过滤。
与异常检测模块相类似,为了减少对ARDB的依赖,在所述的ADE 中还可包括用于暂时存储所述攻击检测与识别规则和所述IP白名单的存 储器。
流量清洗设备根据异常检测模块所生成的ACL规则实现对攻击流量 的清洗,并将清洗后的流量重新返回到核心路由器,由核心路由器依据普 通路由转发到目的主机。与背景技术中所提到的现有的流量清洗设备不 同,本发明中的流量清洗设备只完成控制操作,即只负责正常流量与攻击 流量的分离,而不涉及正常流量与攻击流量的区分。本发明的流量清洗设 备本质上是一个ACL控制器,根据攻击检测与识别模块所生成的ACL规 则对到达的流量做正常流量与攻击流量的分离。流量清洗设备收到ACL规则后,规定了与MJ'j中五元组匹配的IP包必须4要照规定的动作执行处 理,未命中的IP包则要镜像给所述的攻击检测与识别模块处理。
在前面的说明中已经提到,开始时,当牵引后的流量到达流量清洗设
备时,流量清洗设备会将所接收到的流量镜像到所述的ADE,由所述的 ADE区分正常流量与攻击流量,并生成相应的ACL规则,然后将所得到 的ACL规则返回给流量清洗设备。在初始阶段,流量清洗设备中不存在 与受攻击目标有关的ACL规则,因此,到达流量清洗设备的目标地址为 受攻击目标的所有流量都会被镜像到ADE,但当有ACL规则发送给流量 清洗设备后,新到达的流量就会分三种情况, 一是根据ACL规则确认为 攻击流量,此类流量会被屏蔽,二是#4居ACL MJ'j确认为正常流量,此 类流量会被放行,三是根据已知的ACL规则无法确认其类别,这类流量 需要镜像到ADE,由ADE做攻击流量与正常流量的区别,若存在攻击流 量,则生成新的ACL规则后再返回给流量清洗设备。从上面的说明中可 以看出,由于ADE在整个流量清洗过程中并不需要对所有到达流量清洗 设备的流量做攻击^r测与识别,因此大大降低了其工作强度,也使得它能 够实时地生成用于流量控制的ACL规则。而流量清洗设备与现有技术中 的相应设备相比,也只需要专注地完成正常流量与攻击流量的分离,也大 大提高了流量清洗的效率,从而也提高了整个网络应用环境的传输效率。
通过前述的异常检测模块、攻击检测与识别模块、以及流量清洗设备 已经可以实现流量清洗的基本操作,为了更好地对整个流量清洗系统进行 管理,本发明的流量清洗系统还可以包括业务管理模块。所述的业务管理 模块对异常检测模块、攻击检测与识别模块都要做相应的管理。具体如下
业务管理模块对异常检测模块的管理
1、 业务管理模块对异常检测模块中的异常检测规则库加以维护,用 户使用所述业务管理模块实现对异常检测规则库中的异常检测规则做增 删改等维护操作;如果异常检测服务器所监控的路由器发生了变化,还要 通过所述的业务管理模块同步修改所述异常检测规则库的对应信息。业务 管理模块还可以对异常检测规则库做自动升级,这样无需用户的干预就可 以实现对异常检测规则库中规则信息的更新。
2、 业务管理;漠块对异常检测模块的策略路由信息库中的策略路由信 息加以维护,实现这些信息的增删改等操作。此外,用户也可以直接操作 所述业务管理模块,选定需要进行流量牵引的路由器,创建相应的脚本,在路由器上设置或取消策略路由。这样,系统自身也可以不依赖于异常检 溯'J,而是通过其它途径获得受攻击目标信息,之后通过人工操作的模式完 成流量牵引,以达到流量清洗的目的。如果可控路由器以及所述流量清洗 设备发生变化,必须同步更新对应的策略路由信息。所述业务管理模块还
可对所述RMDB ^L自动升级,这样,无需用户的干预就可以实现所述 RMDB中信息的更新。
业务管理模块对攻击检测与识别模块的管理用户通过所述业务管理 模块提供的用户界面完成对攻击检测与识别模块中各类规则信息的增删 改和查询等维护与管理操作。所述业务管理模块还对所述ARDB做自动升 级,这样,无需用户的干预就可以实现所述ARDB中规则信息的更新。
本发明的流量清洗系统中,各个组成部分之间采用一定的接口实现各 部分的连接。例如,所述异常检测模块与其监测的路由器之间通过路由器 厂商提供的流采样协议接收路由器产生的流采样数据;异常检测模块通过 流量牵引路由器提供的控制命令接口或控制协议实现对路由器策略路由 的控制管理;所述流量清洗设备与流量牵引路由器间通过同型号的物理接 口互连。而在图4中则示出了所述攻击检测与识别模块与所述流量清洗设 备间的ACL控制接口。其中,图4 (1)示出了所述攻击检测与识别模块 在设置ACL规则前必须在所述流量清洗设备进行鉴权的流程,图4 ( 2 ) 示出了所述攻击检测与识别模块通过鉴权后设置ACL规则的流程,图4 (3)示出了在所述流量清洗设备上查询现有ACL规则的流程。
以上是对本发明的流量清洗系统的组成的详细说明。虽然在前文中已 经就系统中各个部分的工作流程分别作了说明,但为了方便理解,在此再 对整个系统的完整工作过程加以说明。
步骤1 )、流量清洗系统中的异常检测模块接收靠近攻击目标的近端路 由器所生成的流量分析协议数据(如Netflow数据),对这些数据分析后, 根据到达攻击目标的报文的种类与数量发生异常变化等因素判定可能发 生了针对攻击目标的攻击行为,需要进行流量清洗;
步骤2)、确定要进行流量清洗后,依据路由器类型等信息生成关于攻 击目标的策略路由并在对应路由器上完成设置;
步骤3 )、目的IP为攻击目标的IP包在策略路由的指示下均被转发到 路由器与流量清洗设备连接的接口 ,实现流量的牵引;
步骤4)、被牵引过来的流量进入流量清洗设备进行处理;步骤5)、进入流量清洗设备的IP包在进行其他处理的同时,还通过
镜像口交给所述攻击检测与识别模块进行分析;
步骤6)、所述攻击检测与识别模块分析镜像流量,区分正常流量与攻 击流量,获取攻击流量中的每一次攻击源等信息,据此生成用于控制攻击 流量的ACL规则,并设置到流量清洗设备内;
步骤7)、流量清洗设备根据ACL控制攻击流量,实现对恶意流量的 清洗;
步骤8)、清洗后的流量重新回到核心路由器,由核心路由器依据普通 路由转发到目的主机,实现流量的回注。
最后所应说明的是,以上实施例仅用以说明本发明的技术方案而非限制。 尽管参照实施例对本发明进行了详细说明,本领域的普通技术人员应当理 解,对本发明的技术方案进行修改或者等同替换,都不脱离本发明技术方案 的精神和范围,其均应涵盖在本发明的权利要求范围当中。
1权利要求
1、一种流量清洗系统,用于对网络应用环境中的网络流量进行监控管理,其特征在于,包括异常检测模块、攻击检测与识别模块,以及流量清洗设备;其中,所述的异常检测模块对所述网络应用环境中的网络流量做监测,对可疑网络流量生成策略路由并发送到所述网络应用环境中的指定路由器上,由所述指定路由器将所述的可疑网络流量牵引到所述的流量清洗设备;所述的流量清洗设备将所接收到的可疑网络流量镜像到所述的攻击检测与识别模块,由该模块识别出攻击流量,并根据所述攻击流量的相关信息生成ACL规则,然后发送到所述的流量清洗设备;所述的流量清洗设备根据所得到的ACL规则实现可疑网络流量中正常流量与攻击流量的分离。
2、 根据权利要求1所述的流量清洗系统,其特征在于,所述的异常 检测模块包括用于对网络流量进行实时分析并预警可疑网络流量的异常 检测服务器,以及用于根据可疑网络流量的信息生成策略路由的策略路由 管理器。
3、 根据权利要求2所述的流量清洗系统,其特征在于,所述的异常 检测服务器根据异常检测规则实现对可疑网络流量的检测,所述异常检测 规则中定义了某类异常网络流量的特点与检测方法。
4、 根据权利要求3所述的流量清洗系统,其特征在于,所述的异常 检测模块还包括用于存储所述异常检测规则的异常检测规则库。
5、 根据权利要求2所述的流量清洗系统,其特征在于,所述的策略 路由管理器根据需要操作的路由器地址、连接流量清洗设备的路由器接口 信息、路由器型号以及识别方式、策略路由设置方法以及受攻击目标在内 的相关信息生成策略路由。
6、 根据权利要求5所述的流量清洗系统,其特征在于,所述的异常 检测模块还包括用于存储生成所述策略路由所需要的信息的策略路由信 息库。
7、 根据权利要求1所述的流量清洗系统,其特征在于,所述的攻击 检测与识别模块包括攻击检测与识别引擎,所述的攻击检测与识别引擎根 据攻击检测与识别规则对可疑网络流量进行检测,识别出其中的网络攻 击,然后针对网络攻击的攻击源生成用于在网络上控制攻击源所产生的攻击流量的ACL规则,并将所生成的ACL规则提交给所述的流量清洗设备。
8、 根据权利要求7所述的流量清洗系统,其特征在于,所述的攻击 检测与识别引擎还根据IP地址白名单和攻击检测与识别规则生成所述的 ACL规则。
9、 根据权利要求7或8所述的流量清洗系统,其特征在于,所述的 攻击检测与识别模块还包括用于存储所述攻击检测与识别规则和/或IP地 址白名单的攻击识别规则库。
10、 根据权利要求l-9之一所述的流量清洗系统,其特征在于,还包 括业务管理模块,所述的业务管理模块用于对所述异常检测模块或攻击检 测与识别模块进行包括信息增删改操作、自动升级以及人工控制在内的管 理活动。
11、 根据权利要求10所述的流量清洗系统,其特征在于,所述的业 务管理模块对所述异常检测规则库中的异常检测规则做包括增删改在内 的维护操作,或对所述异常检测规则库做自动升级。
12、 根据权利要求10所述的流量清洗系统,其特征在于,所述的业 务管理模块对所迷策略路由信息库中的策略路由信息做包括增删改在内 的操作,或对所述策略路由信息库做自动升级,或在人工操作的模式下实 现网络流量的牵引。
13、 根据权利要求10所述的流量清洗系统,其特征在于,所述的业 务管理模块对所述攻击识别规则库中的信息做包括增删改在内的操作,或 对所述攻击识别规则库做自动升级。
全文摘要
本发明提供一种流量清洗系统,用于对网络应用环境中的网络流量进行监控管理,包括异常检测模块、攻击检测与识别模块,以及流量清洗设备;其中,异常检测模块对网络应用环境中的网络流量做监测,一旦发现可疑网络流量,则生成策略路由并发送到网络应用环境中的指定路由器上,由指定路由器将可疑网络流量牵引到流量清洗设备;流量清洗设备将所接收到的可疑网络流量镜像到攻击检测与识别模块,由该模块识别出攻击流量,并根据攻击流量的相关信息生成ACL规则,然后发送到流量清洗设备;流量清洗设备根据所得到的ACL规则实现可疑网络流量中正常流量与攻击流量的分离。本发明采用决策与控制相分离的机制,使得作为决策的攻击检测与识别过程具有极大的灵活性。
文档编号H04L12/26GK101431449SQ20081022602
公开日2009年5月13日 申请日期2008年11月4日 优先权日2008年11月4日
发明者云晓春, 吴志刚, 翔 崔, 张永铮, 王树鹏, 浩 罗, 郝志宇, 金书源 申请人:中国科学院计算技术研究所