网络攻击防护系统及方法、流量控制装置与流程

本发明涉及互联网领域，尤其涉及一种网络攻击防护装置及方法、流量控制装置。

背景技术：

网络攻击是多变的，攻击时间也不是固定的，目前攻击都是在系统受到影响后才能被发现并处理，在发现前系统可能就受到了不可预估的影响了。因此，目前缺乏一种自动检测并防护网络攻击的方法。

技术实现要素：

本发明实施例提出一种网络攻击防护系统，用以在目标系统受到影响前防护网络攻击，防护效率高，该系统包括：

路由器，用于接收发送至目标系统的网络流量；在接收到流量控制装置的第一牵引指令后，获得网络流量的备份流量并发送至检测装置；在接收到第二流量牵引指令后，将网络流量牵引至清洗装置；在接收到流量丢弃指令后，丢弃网络流量；

检测装置，用于分析接收到的备份流量，获得备份流量的特征信息，并将备份流量的特征信息发送至流量控制装置；

流量控制装置，用于向路由器发送第一流量牵引指令；根据备份流量的特征信息判断网络流量是否满足预设丢弃条件，在判断结果为网络流量不满足预设丢弃条件时，向路由器发送第二流量牵引指令；在判断结果为网络流量满足预设丢弃条件时，向路由器发送流量丢弃指令；

清洗装置，用于对接收的网络流量进行攻击识别和防护。

本发明实施例提出一种流量控制装置，用以在目标系统受到影响前防护网络攻击，防护效率高，该流量控制装置包括：

第一指令发送模块，用于向路由器发送第一流量牵引指令，所述路由器在接收到流量控制装置的第一牵引指令后，获得网络流量的备份流量并发送至检测装置；

判断模块，用于根据备份流量的特征信息判断网络流量是否满足预设丢弃条件，所述备份流量的特征信息是检测装置对备份流量分析后获得的；

第二指令发送模块，用于在判断结果为网络流量不满足预设丢弃条件时，向路由器发送第二流量牵引指令，所述路由器在接收到第二流量牵引指令后，将网络流量牵引至清洗装置，所述清洗装置对接收的网络流量进行攻击识别和防护；在判断结果为网络流量满足预设丢弃条件时，向路由器发送流量丢弃指令，所述路由器在接收到流量丢弃指令后，丢弃网络流量。

本发明实施例提出一种网络攻击防护方法，用以在目标系统受到影响前防护网络攻击，防护效率高，该方法包括：

向路由器发送第一流量牵引指令，所述路由器在接收到流量控制装置的第一牵引指令后，获得网络流量的备份流量并发送至检测装置；

根据备份流量的特征信息判断网络流量是否满足预设丢弃条件，所述备份流量的特征信息是检测装置对备份流量分析后获得的；

在判断结果为网络流量不满足预设丢弃条件时，向路由器发送第二流量牵引指令，所述路由器在接收到第二流量牵引指令后，将网络流量牵引至清洗装置，所述清洗装置对接收的网络流量进行攻击识别和防护；

在判断结果为网络流量满足预设丢弃条件时，向路由器发送流量丢弃指令，所述路由器在接收到流量丢弃指令后，丢弃网络流量。

本发明实施例还提出了一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现上述网络攻击防护方法。

本发明实施例还提出了一种计算机可读存储介质，所述计算机可读存储介质存储有执行上述网络攻击防护方法的计算机程序。

在本发明实施例中，路由器，用于接收发送至目标系统的网络流量；在接收到流量控制装置的第一牵引指令后，获得网络流量的备份流量并发送至检测装置；在接收到第二流量牵引指令后，将网络流量牵引至清洗装置；在接收到流量丢弃指令后，丢弃网络流量；检测装置，用于分析接收到的备份流量，获得备份流量的特征信息，并将备份流量的特征信息发送至流量控制装置；流量控制装置，用于向路由器发送第一流量牵引指令；根据备份流量的特征信息判断网络流量是否满足预设丢弃条件，在判断结果为网络流量不满足预设丢弃条件时，向路由器发送第二流量牵引指令；在判断结果为网络流量满足预设丢弃条件时，向路由器发送流量丢弃指令；清洗装置，用于对接收的网络流量进行攻击识别和防护。在上述过程中，流量控制装置通过给路由器下发第一流量牵引指令、第二流量牵引指令和流量丢弃指令，来自动识别攻击并进行防护，提高了防护效率，降低了目标系统的风险。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。在附图中：

图1为本发明实施例中网络攻击防护系统的示意图；

图2为本发明实施例中网络攻击防护的过程示意图；

图3为本发明实施例中流量控制装置的示意图；

图4为本发明实施例中网络攻击防护方法的流程图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚明白，下面结合附图对本发明实施例做进一步详细说明。在此，本发明的示意性实施例及其说明用于解释本发明，但并不作为对本发明的限定。

在本说明书的描述中，所使用的“包含”、“包括”、“具有”、“含有”等，均为开放性的用语，即意指包含但不限于。参考术语“一个实施例”、“一个具体实施例”、“一些实施例”、“例如”等的描述意指结合该实施例或示例描述的具体特征、结构或者特点包含于本申请的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不一定指的是相同的实施例或示例。而且，描述的具体特征、结构或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。各实施例中涉及的步骤顺序用于示意性说明本申请的实施，其中的步骤顺序不作限定，可根据需要作适当调整。

图1为本发明实施例中网络攻击防护系统的示意图，如图1所示，该系统包括：

路由器，用于接收发送至目标系统的网络流量；在接收到流量控制装置的第一牵引指令后，获得网络流量的备份流量并发送至检测装置；在接收到第二流量牵引指令后，将网络流量牵引至清洗装置；在接收到流量丢弃指令后，丢弃网络流量；

检测装置，用于分析接收到的备份流量，获得备份流量的特征信息，并将备份流量的特征信息发送至流量控制装置；

流量控制装置，用于向路由器发送第一流量牵引指令；根据备份流量的特征信息判断网络流量是否满足预设丢弃条件，在判断结果为网络流量不满足预设丢弃条件时，向路由器发送第二流量牵引指令；在判断结果为网络流量满足预设丢弃条件时，向路由器发送流量丢弃指令；

清洗装置，用于对接收的网络流量进行攻击识别和防护。

在上述过程中，流量控制装置通过给路由器下发第一流量牵引指令、第二流量牵引指令和流量丢弃指令，来自动识别攻击并进行防护，提高了防护效率，降低了目标系统的风险。

具体实施时，流量控制装置是网络攻击防护系统的核心装置，控制路由器、检测装置、清洗装置实现网络攻击识别和防护。一般过程为，路由器首先会接收发送至目标系统的网络流量，之后流量控制装置向路由器发送第一流量牵引指令，路由器在接收到流量控制装置的第一牵引指令后，获得网络流量的备份流量并发送至检测装置，检测装置分析接收到的备份流量，获得备份流量的特征信息，并将备份流量的特征信息发送至流量控制装置；之后，流量控制装置据备份流量的特征信息判断网络流量是否满足预设丢弃条件，在判断结果为网络流量不满足预设丢弃条件时，向路由器发送第二流量牵引指令，路由器在接收到第二流量牵引指令后，将网络流量牵引至清洗装置，清洗装置，对接收的网络流量进行攻击识别和防护，这是第一类对网络攻击的识别和防护；流量控制装置在判断结果为网络流量满足预设丢弃条件时，向路由器发送流量丢弃指令，在接收到流量丢弃指令后，丢弃网络流量，这是第二类对网络攻击的防护，相当于对于满足预设丢弃条件的流量，为了避免大流量搞垮系统，丢弃这类网络流量。

在一实施例中，备份流量的特征信息包括流量类型、流量大小、流量来源其中之一或任意组合。

在上述实施例中，上述备份流量的特征信息可以是流量控制装置给检测模块下发的，其通过流量控制装置来控制对备份流量的分析，即支持自定义的检测内容，提高检测的灵活性。

在一实施例中，所述预设丢弃条件为网络流量超过目标系统负荷。

在上述实施例中，由于检测装置一般都会检测出流量类型，而不同流量类型对应的目标系统负荷是不同的，因此，需要先获取预先配置的不同流量类型对应的目标系统负荷，然后，流量控制装置即可判断网络流量是否超过目标系统负荷，当然，可以理解的是，预设丢弃条件也可以为根据备份流量的特征信息定制的其他丢弃条件，相关变化例均应落入本发明的保护范围。

在一实施例中，路由器具体用于：

复制设定比例的网络流量，生成备份流量。

在上述实施例中，复制设定比例的网络流量，生成备份流量，而后将备份流量并发送至检测装置，可不影响路由器的原网络流量，保证防护的准确性。

在一实施例中，清洗装置具体用于：

判断接收的网络流量是否为攻击流量；

在网络流量为攻击流量时，丢弃网络流量；

在网络流量为非攻击流量时，将网络流量回注给路由器；

路由器具体用于：将清洗装置回注的网络流量发送至目标系统。

在上述实施例中，给出了清洗装置进行防护的具体过程，首先要判断接收的网络流量是否为攻击流量，而判断接收的网络流量是否为攻击流量的方法有多种。图2为本发明实施例中网络攻击防护的过程示意图，首先路由器在接收到流量控制装置的第一牵引指令后，复制设定比例的网络流量，生成备份流量，并发送至检测装置，检测装置分析接收到的备份流量，获得备份流量的特征信息，并将备份流量的特征信息发送至流量控制装置，流量控制装置根据备份流量的特征信息判断网络流量是否满足预设丢弃条件，在判断结果为网络流量不满足预设丢弃条件时，向路由器发送第二流量牵引指令；在判断结果为网络流量满足预设丢弃条件时，向路由器发送流量丢弃指令；路由器在接收到第二流量牵引指令后，将网络流量牵引至清洗装置，清洗装置在网络流量为攻击流量时，丢弃网络流量；在网络流量为非攻击流量时，将网络流量回注给路由器；路由器将清洗装置回注的网络流量发送至目标系统。另外，路由器在接收到流量丢弃指令后，丢弃网络流量。

在一实施例中，流量控制装置还用于：

向清洗装置发送配置信息，所述配置信息包括多种攻击的识别方式；

清洗装置具体用于：根据接收的配置信息判断接收的网络流量是否为攻击流量。

在上述实施例中，多种攻击的识别方式是由流量控制装置来下发的，实现了流量控制装置对网络攻击识别和防护的总控制。

在一实施例中，所述系统还包括通知模块，用于接收流量控制装置和/或清洗装置反馈的防护结果，并将所述防护结果发送至防护显示装置，以通知防护管理人员。

综上所述，在本发明实施例提出的系统中，路由器，用于接收发送至目标系统的网络流量；在接收到流量控制装置的第一牵引指令后，获得网络流量的备份流量并发送至检测装置；在接收到第二流量牵引指令后，将网络流量牵引至清洗装置；在接收到流量丢弃指令后，丢弃网络流量；检测装置，用于分析接收到的备份流量，获得备份流量的特征信息，并将备份流量的特征信息发送至流量控制装置；流量控制装置，用于向路由器发送第一流量牵引指令；根据备份流量的特征信息判断网络流量是否满足预设丢弃条件，在判断结果为网络流量不满足预设丢弃条件时，向路由器发送第二流量牵引指令；在判断结果为网络流量满足预设丢弃条件时，向路由器发送流量丢弃指令；清洗装置，用于对接收的网络流量进行攻击识别和防护。在上述过程中，流量控制装置通过给路由器下发第一流量牵引指令、第二流量牵引指令和流量丢弃指令，来自动识别攻击并进行防护，提高了防护效率，降低了目标系统的风险。另外，通过流量控制装置来控制对备份流量的分析，即支持自定义的检测内容，提高检测的灵活性。生成备份流量，而后将备份流量并发送至检测装置，可不影响路由器的原网络流量，保证防护的准确性。多种攻击的识别方式是由流量控制装置来下发的，实现了流量控制装置对网络攻击识别和防护的总控制。

本发明实施例还提出一种流量控制装置，图3为本发明实施例中流量控制装置的示意图，如图3所示，该装置包括：

第一指令发送模块，用于向路由器发送第一流量牵引指令，所述路由器在接收到流量控制装置的第一牵引指令后，获得网络流量的备份流量并发送至检测装置；

判断模块，用于根据备份流量的特征信息判断网络流量是否满足预设丢弃条件，所述备份流量的特征信息是检测装置对备份流量分析后获得的；

第二指令发送模块，用于在判断结果为网络流量不满足预设丢弃条件时，向路由器发送第二流量牵引指令，所述路由器在接收到第二流量牵引指令后，将网络流量牵引至清洗装置，所述清洗装置对接收的网络流量进行攻击识别和防护；在判断结果为网络流量满足预设丢弃条件时，向路由器发送流量丢弃指令，所述路由器在接收到流量丢弃指令后，丢弃网络流量。

在一实施例中，所述预设丢弃条件为网络流量超过目标系统负荷。

在一实施例中，所述装置还包括配置信息发送模块，用于：

向清洗装置发送配置信息，所述配置信息包括多种攻击的识别方式，所述清洗装置根据接收的配置信息判断接收的网络流量是否为攻击流量。

综上所述，在本发明实施例提出的流量控制装置中，第一指令发送模块，用于向路由器发送第一流量牵引指令，所述路由器在接收到流量控制装置的第一牵引指令后，获得网络流量的备份流量并发送至检测装置；判断模块，用于根据备份流量的特征信息判断网络流量是否满足预设丢弃条件，所述备份流量的特征信息是检测装置对备份流量分析后获得的；第二指令发送模块，用于在判断结果为网络流量不满足预设丢弃条件时，向路由器发送第二流量牵引指令，所述路由器在接收到第二流量牵引指令后，将网络流量牵引至清洗装置，所述清洗装置对接收的网络流量进行攻击识别和防护；在判断结果为网络流量满足预设丢弃条件时，向路由器发送流量丢弃指令，所述路由器在接收到流量丢弃指令后，丢弃网络流量。在上述过程中，流量控制装置通过给路由器下发第一流量牵引指令、第二流量牵引指令和流量丢弃指令，来自动识别攻击并进行防护，提高了防护效率，降低了目标系统的风险。另外，通过流量控制装置来控制对备份流量的分析，即支持自定义的检测内容，提高检测的灵活性。生成备份流量，而后将备份流量并发送至检测装置，可不影响路由器的原网络流量，保证防护的准确性。多种攻击的识别方式是由流量控制装置来下发的，实现了流量控制装置对网络攻击识别和防护的总控制。

基于同样的发明构思，本发明实施例还提供了一种网络攻击防护方法，如下面的实施例所述。由于这些解决问题的原理与网络攻击防护装置相似，因此方法的实施可以参见装置的实施，重复之处不在赘述。

图4为本发明实施例中网络攻击防护方法的流程图，如图4所示，所述方法包括：

步骤401，向路由器发送第一流量牵引指令，所述路由器在接收到流量控制装置的第一牵引指令后，获得网络流量的备份流量并发送至检测装置；

步骤402，根据备份流量的特征信息判断网络流量是否满足预设丢弃条件，所述备份流量的特征信息是检测装置对备份流量分析后获得的；

步骤403，在判断结果为网络流量不满足预设丢弃条件时，向路由器发送第二流量牵引指令，所述路由器在接收到第二流量牵引指令后，将网络流量牵引至清洗装置，所述清洗装置对接收的网络流量进行攻击识别和防护；

步骤404，在判断结果为网络流量满足预设丢弃条件时，向路由器发送流量丢弃指令，所述路由器在接收到流量丢弃指令后，丢弃网络流量。

综上所述，在本发明实施例提出的方法中，向路由器发送第一流量牵引指令，所述路由器在接收到流量控制装置的第一牵引指令后，获得网络流量的备份流量并发送至检测装置；根据备份流量的特征信息判断网络流量是否满足预设丢弃条件，所述备份流量的特征信息是检测装置对备份流量分析后获得的；在判断结果为网络流量不满足预设丢弃条件时，向路由器发送第二流量牵引指令，所述路由器在接收到第二流量牵引指令后，将网络流量牵引至清洗装置，所述清洗装置对接收的网络流量进行攻击识别和防护；在判断结果为网络流量满足预设丢弃条件时，向路由器发送流量丢弃指令，所述路由器在接收到流量丢弃指令后，丢弃网络流量。在上述过程中，通过给路由器下发第一流量牵引指令、第二流量牵引指令和流量丢弃指令，来自动识别攻击并进行防护，提高了防护效率，降低了目标系统的风险。另外，通过流量控制装置来控制对备份流量的分析，即支持自定义的检测内容，提高检测的灵活性。生成备份流量，而后将备份流量并发送至检测装置，可不影响路由器的原网络流量，保证防护的准确性。确定多种攻击的识别方式，实现了流量控制装置对网络攻击识别和防护的总控制。

本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。

本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

以上所述的具体实施例，对本发明的目的、技术方案和有益效果进行了进一步详细说明，所应理解的是，以上所述仅为本发明的具体实施例而已，并不用于限定本发明的保护范围，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。