专利名称:流量监测方法及系统的制作方法
技术领域:
本发明涉及网络流量监测技术,特别涉及一种流量监测方法及系统。
背景技术:
在互联网不断发展的同时,黑客技术也在不断发展,利用后门软件的植 入,越来越多的宽带用户已沦为助对为虐的"傀儡机",^鬼儡网络越来越庞 大,经济利益的引诱、攻击源的难于追查,使越来越多的黑客铤而走险,把 利用傀儡网路发动攻击当成发财致富的不二法宝。这些因素都导致网络中的
分布式拒绝服务(Distributed Denial of Service;以下简称DDoS )攻击 越来越频繁、规模越来越大,这些DDoS攻击不仅造成目标客户服务器、网络 的瘫痪,而且还严重威胁到运营商城域网的安全,并引起全社会的广泛关注。
针对这种情况,由于无法实现对数据包的溯源,因此,无法对数据流的 源头进行控制或封堵。目前,流量监测和控制系统,大多部署在关键网络出 口或被保护的系统前段,通常部署分散,只能实现对部分流量的监测和控制, 无法实现对全网流量的监测和控制。针对异常数据流通常的应对措施包括 黑洞路由和流量清洗等。
黑洞路由,通过设置路由黑洞,将DDoS等攻击数据流引入到路由黑洞, 防止超大流量影响网络正常运行,充分利用了路由器的包转发功能,对系统 负载影响小。
流量清洗,流量清洗设备与出口路由器之间建立边界网关协议对等 (Border Gateway Protocol Peer;以下简称BGP Peer)关系, 一旦流量 监测设备监测出某个区域的攻击或异常数据流,流量监测设备将自动或手动 启动流量清洗设备对受攻击的区域进行保护,流量清洗设备将发起边界网关协议(Border Gateway Protocol;以下简称BGP)路由宣告,修改出口路 由器中指向受攻击区域的路由,转而指向流量清洗设备,异常数据流将被引 入流量清洗设备进行清洗,而到其它区域的正常数据流不受影响。
但是,在上述应对措施中,黑洞路由是对目的地址的过滤,直接导致去 往目的地址的流量丢弃,使得目的地址不可用;流量清洗是也是基于目的地 址,无法实现对流量的溯源、定位和封堵。
发明内容
本发明的目的是提供一种流量监测方法及系统,以解决无法对流量溯源 的问题,实现主动的流量监测和防御。
为实现上述目的,本发明提供了一种流量监测方法,包括
步骤100、路由器向经过的数据流中的数据包加入包标识;
步骤200、流量监测设备对被保护系统的进出数据流的流量进行实时监 测,当监测到异常数据流时,从所述异常数据流中抽取异常数据流样本,并 将所述异常数据流样本发送到流量管理服务器;
步骤300、所述流量管理服务器接收所述流量监测设备发送的异常数据 流样本,对所述异常数据流样本进行分析处理,根据所述异常数据流样本中 数据包的包标记,定位所述异常数据流的接入路由器;
步骤400、所述接入路由器根据所述流量管理服务器发送的控制指令, 对异常数据流进行处理。
本发明还提供了一种流量监测系统,包括
一个以上^^由器,用于对经过的数据包加入包标记,所述一个以上路由 器包括用于接收控制指令,对异常数据流进行处理的接入路由器;
流量监测设备,用于对被保护系统的进出数据流的流量进行实时监测, 当监测到异常数据流时,从所述异常数据流中抽取异常数据流样本,并发送 所述异常数据流样本;流量管理服务器,用于接收所述流量监测设备发送的所述异常数据流样 本,对所述异常数据流样本进行分析处理,根据所述异常数据流样本中数据 包的包标记,定位所述异常数据流的接入路由器,发送控制指令。
本发明通过提供一种流量监测方法及系统,利用包标记技术对异常数据 流进行溯源,在异常数据流经过的接入路由器对其进行处理,实现了对异常
数据流的源头进行控制和封堵,能够有效地应对DDoS攻击。
图1为本发明流量监测方法第一实施例的流程图; 图2为本发明流量监测方法第二实施例的流程图; 图3为本发明流量监测方法第三实施例的流程图; 图4为本发明流量监测系统第一实施例的系统框图; 图5为本发明流量监测系统第二实施例的系统框图。 附图标记说明
l一路由器; 2 —流量监测设备; 3—流量管理服务器;
4 一流量清洗设备; 11 一接入路由器; 111 —限制单元;
112—转发单元。
具体实施例方式
下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。 图1为本发明流量监测方法第一实施例的流程图。如图1所示,本发明
流量监测方法包括
步骤100、路由器向经过的数据流中的数据包加入包标识;
步骤200、流量监测设备对被保护系统的进出数据流的流量进行实时监
测,当监测到异常数据流时,从异常数据流中抽取异常数据流样本,并将异常数据流样本发送到流量管理服务器;
步骤300、流量管理服务器接收流量监测设备发送的异常数据流样本, 对异常数据流样本进行分析处理,根据异常数据流样本中数据包的包标记, 定位异常数据流的接入路由器;
步骤400、接入路由器根据流量管理服务器发送的控制指令,对异常数 据流进行处理。
其中,在步骤200中,由于监测到的异常数据流的流量相当大,因此, 只须从中抽取部分数据流作为异常数据流样本,对其进行后续分析处理。
步骤300中,流量管理服务器对异常数据流样本进行分析处理,包括 流量管理服务器获取异常数据流样本中数据包的包标识;及流量管理服务器 获取异常数据流的类型。流量管理服务器从异常数据流样本中获取数据包的 包标识,进而定位该异常数据流的接入路由器;流量管理服务器从异常数据 流中获取其类型,以便于接入路由器对相同类型的异常数据流进行处理。
本发明流量监测方法实施例,利用包标记技术对异常数据流进行溯源, 在异常数据流经过的接入路由器中对其进行处理,实现了对异常数据流的源 头进行控制和封堵,能够有效地应对DDoS攻击。
图2为本发明流量监测方法第二实施例的流程图。如图2所示,在上述 第一实施例的基础上,本实施例的步骤400具体为
步骤401、接入路由器接收流量管理服务器发送的控制指令,根据预定 策略对相同类型的数据流进行限制处理。
当流量管理服务器根据异常数据流样本中数据包的包标识定位到该异常 数据流的接入路由器时,向该接入路由器发送限制处理的控制指令。接入路 由器接收到该控制指令时,对相同类型的异常数据流进行限制处理。可依据 预定策略,根据异常数据流的类型、流量等因素,进行不同程度的限制或阻 断处理等。
图3为本发明流量监测方法第三实施例的流程图。如图3所示,在上述第一实施例的基础上,本实施例的步骤400也可以为
步骤402、接入路由器接收流量管理服务器发送的控制指令,将异常数 据流转发给流量清洗设备;
步骤403、流量清洗设备接收流量管理服务器发送的控制指令,清洗接 入路由器转发的异常数据流,将清洗之后的数据流发送给被保护系统。
当流量管理服务器根据异常数据流样本中数据包的包标识定位到该异常 数据流的接入路由器时,向该接入路由器和流量清洗设备发送清洗处理的控 制指令。接入路由器接收到该控制指令时,将相同类型的异常数据流转发给 流量清洗设备。流量清洗设备对异常数据流进行清洗,并将清洗后的数据流 发送给被保护系统。
上述实施例中的包标记可以为概率标记、确定性标记或自适应标记中的 任意一种。其中,概率标记为路由器以一定的概率向经过的数据流中的数据 包加入的包标记;确定性标记为路由器向每个经过的数据流中的数据包加入 的包标记;自适应标记为路由器自适应地对经过的数据流中的数据包加入的 包标记。
本发明流量监测方法实施例,利用包标记技术对异常数据流进行溯源, 在异常数据流经过的接入路由器中对其进行限制处理或将其转发到流量清洗 设备,实现了对异常数据流的源头进行控制和封堵,能够有效地应对DDoS攻 击。
图4为本发明流量监测系统第一实施例的系统框图。如图4所示,本发 明流量监测系统包括 一个以上路由器、流量监测设备2和流量管理服务器 3,在本实施例中, 一个以上路由器具体包括路由器1和接入路由器11。需 要说明的是,本发明流量监测系统中 一个以上路由器可以具体为接入路由器, 也可以包括接入路由器以及一个以上的其他路由器。
路由器1用于对经过的数据包加入包标记,路由器1可以以一定的概率 向经过的数据流中的数据包加入包标记,也可以向每个经过的数据流中的数
8据包加入包标记,还可以自适应地对经过的数据流中的数据包加入包标记。 将数据流接入到流量监测系统的接入路由器11用于接收流量管理服务器3发 送的控制指令,对异常数据流进行处理,接入路由器11也可以向数据流中的
数据包加入包标记;流量监测设备2用于对被保护系统的进出数据流的流量 进行实时监测,当监测到异常数据流时,从异常数据流中抽取异常数据流样 本,并将异常数据流样本发送到流量管理服务器3;流量管理服务器3用于 接收流量监测设备2发送的异常数据流样本,对异常数据流样本进行分析处 理,根据异常数据流样本中数据包的包标记,定位异常数据流的接入路由器 11,发送控制指令。
其中,接入路由器11可以包括限制单元111,限制单元lll用于根据预 定策略对数据流进行限制处理。
路由器1对经过的数据包加入包标记。流量监测设备2对被保护系统的进 出数据流的流量进行实时监测,当监测到异常数据流时,从异常数据流中抽取 异常数据流样本,并发送到流量管理服务器3,流量管理服务器3 一艮据异常数 据流样本中数据包的包标识定位到该异常数据流的接入路由器11,向该接入 路由器11发送限制处理的控制指令。接入路由器11接收到该控制指令时,限 制单元lll对相同类型的异常数据流进行限制处理。可依据预定策略,根据异 常数据流的类型、流量等因素,进行不同程度的限制或阻断处理等。
本发明实施例,利用包标记技术对异常数据流进行溯源,在异常数据流 经过的接入路由器对其进行限制处理,实现了对异常数据流的源头进行控制 和封堵,能够有效地应对DDoS攻击。
图5为本发明流量监测系统第二实施例的系统框图。如图5所示,在上述 技术方案的勤出上,接入路由器11也可以包括转发单元112,转发单元112用 于转发异常数据流。在本实施例中,流量监测系统还包括流量清洗设备4,流 量清洗设备4用于接收流量管理服务器3发送的控制指令,清洗接入路由器11 的转发单元112所转发的异常数据流,将清洗之后的数据流发送给被保护系统。当流量管理服务器3根据异常数据流样本中数据包的包标识定位到该异
常数据流的接入路由器11时,向该接入路由器11和流量清洗设备4发送清 洗处理的控制指令。接入路由器11接收到该控制指令时,转发单元112将相 同类型的异常数据流转发给流量清洗设备4。流量清洗设备4对异常数据流 进行清洗,并将清洗后的数据流发送给被保护系统。
本发明实施例,利用包标记技术对异常数据流进行溯源,异常数据流经 过的接入路由器将其转发到流量清洗设备,实现了对异常数据流的源头进行 控制和封堵,能够有效地应对DDoS攻击。
在上述流量监测系统实施例中,接入路由器和流量监测设备位于承载网 络;流量管理服务器位于流量调度层;流量清洗设备位于流量执行层。
本发明通过提供一种流量监测方法及系统,利用包标记技术对异常数据 流进行溯源,在异常数据流经过的接入路由器中对其进行限制处理或将其转 发到流量清洗设备,实现了对异常数据流的源头进行控制和封堵,能够有效 应对DDoS攻击;同时,构建流量调度层和流量执行层分离的流量监测系统, 避免了大量异常流量在核心网络中的穿越和扩散,对数据流分布控制、集中 分析,实现了网络的统一监测和调度。
最后应说明的是以上实施例仅用以说明本发明的技术方案而非对其进 行限制,尽管参照较佳实施例对本发明进行了详细的说明,本领域的普通技 术人员应当理解其依然可以对本发明的技术方案进行修改或者等同替换, 而这些修改或者等同替换亦不能使修改后的技术方案脱离本发明技术方案的 精神和范围。
10
权利要求
1、一种流量监测方法,其特征在于,包括步骤100、路由器向经过的数据流中的数据包加入包标识;步骤200、流量监测设备对被保护系统的进出数据流的流量进行实时监测,当监测到异常数据流时,从所述异常数据流中抽取异常数据流样本,并将所述异常数据流样本发送到流量管理服务器;步骤300、所述流量管理服务器接收所述流量监测设备发送的异常数据流样本,对所述异常数据流样本进行分析处理,根据所述异常数据流样本中数据包的包标记,定位所述异常数据流的接入路由器;步骤400、所述接入路由器根据所述流量管理服务器发送的控制指令,对异常数据流进行处理。
2、 根据权利要求1所述的流量监测方法,其特征在于,步骤300中所述 对所述异常数据流样本进行分析处理,包括获取所述异常数据流样本中数据包的包标记;及 获取所述异常数据流样本的类型。
3、 根据权利要求2所迷的流量监测方法,其特征在于,所述步骤400包括..步骤401、所述接入路由器接收所述流量管理服务器发送的控制指令, 根据预定策略对相同类型的数据流进行限制处理。
4、 根据权利要求1或2所述的流量监测方法,其特征在于,所述步骤 400包括步骤402、所述接入路由器接收所述流量管理服务器发送的控制指令, 将所述异常数据流转发给流量清洗设备;步骤403、所述流量清洗设备接收所述流量管理服务器发送的控制指令, 清洗所述接入路由器转发的异常数据流,将清洗之后的数据流发送给所述被 保护系统。
5、 根据权利要求1或2所述的流量监测方法,其特征在于,所述包标记为概率标记、确定性标记或自适应标记。
6、 一种流量监测系统,其特征在于,包括一个以上路由器,用于对经过的数据包加入包标记,所述一个以上路由 器包括用于接收控制指令,对异常数据流进行处理的接入路由器;流量监测设备,用于对被保护系统的进出数据流的流量进行实时监测, 当监测到异常数据流时,从所述异常数据流中抽取异常数据流样本,并发送 所述异常数据流样本;流量管理服务器,用于接收所述流量监测设备发送的所述异常数据流样 本,对所述异常数据流样本进行分析处理,根据所述异常数据流样本中数据 包的包标记,定位所述异常数据流的接入路由器,发送控制指令。
7、 根据权利要求6所述的流量监测系统,其特征在于,所述接入路由器 包括限制单元,用于根据预定策略对数据流进行限制处理。
8、 根据权利要求6所述的流量监测系统,其特征在于,所述接入路由器 包括转发单元,用于转发所述异常数据流。
9、 根据权利要求8所述的流量监测系统,其特征在于,还包括 流量清洗设备,用于接收所述流量管理服务器发送的控制指令,清洗所述接入路由器的转发单元所转发的异常数据流,将清洗之后的数据流发送给 所述被保护系统。
10、 根据权利要求9所述的流量监测系统,其特征在于,所述接入路由 器和所述流量监测设备位于承载网络;所述流量管理服务器位于流量调度层; 所述流量清洗设备位于流量执行层。
全文摘要
本发明公开了一种流量监测方法及系统,该方法包括路由器向经过的数据流中的数据包加入包标识;流量监测设备对被保护系统的进出数据流的流量进行实时监测,当监测到异常数据流时,从异常数据流中抽取异常数据流样本并发送到流量管理服务器;流量管理服务器对异常数据流样本进行分析处理,根据异常数据流样本中数据包的包标记,定位异常数据流的接入路由器;接入路由器根据流量管理服务器发送的控制指令,对异常数据流进行处理。该系统包括路由器、流量监测设备和流量管理服务器。本发明利用包标记技术对异常数据流进行溯源,在异常数据流经过的接入路由器对其进行处理,实现了对异常数据流的源头进行控制和封堵,能够有效应对DDoS攻击。
文档编号H04L12/26GK101453389SQ20081022690
公开日2009年6月10日 申请日期2008年11月19日 优先权日2008年11月19日
发明者刘惠明 申请人:中国网络通信集团公司;北京电信规划设计院有限公司