[发明专利]流量清洗架构、装置及流量牵引、流量回注方法

权利要求书

1.一种流量清洗装置，其特征在于，包括OpenFlow控制器和OpenFlow清洗交换机，其中，

OpenFlow控制器，用于根据业务管理平台上报的不同异常流量特征生成由不同的流表项以形成流量清洗流表，并下发给OpenFlow清洗交换机；将被攻击服务器的地址作为目的地址组成流表项，与将牵引的流量转发至OpenFlow清洗交换机的指令一起生成流量牵引流表，并通过OpenFlow协议下发/更新至OpenFlow核心路由器；将被攻击服务器的地址作为目的地址组成流表项，与将回注的流量转发至受保护服务器相对应的下一跳的指令一起生成流量回注流表，并下发给OpenFlow清洗交换机；

OpenFlow清洗交换机，用于在发生攻击时，根据流量清洗流表匹配来自OpenFlow核心路由器根据流量牵引流表牵引的被攻击服务器的流量，以进行流量清洗；按照流量回注流表将清洗后的“干净”流量转发至被保护服务器相对应的下一跳地址，以实现流量回注。

2.根据权利要求1所述的流量清洗装置，其特征在于，所述OpenFlow清洗交换机，还用于将经过所述流量清洗后确定为异常流量的流表项对应的清洗计数器的计数值加一。

3.根据权利要求2所述的流量清洗装置，其特征在于，

所述OpenFlow控制器，还用于定时查询所述清洗计数器；在所述流量清洗流表中的流表项记录对应的清洗计数器的计数值大于预先设置的阈值时，通知所述业务管理平台清洗停止，删除所述流量牵引流表和流量回注流表中对应所述所述清洗计数器的流表项。

4.一种核心路由器，其特征在于，支持OpenFlow协议，用于在发生攻击时，根据异常流量清洗部件中的OpenFlow控制器下发/更新的流量牵引流表，将被攻击服务器的流量转发至OpenFlow清洗交换机，以实现流量牵引。

5.一种流量清洗架构，包括异常流量探测部件、业务管理平台，其特征在于，还包括：基于OpenFlow协议的异常流量清洗部件，以及OpenFlow核心路由器；其中，异常流量清洗部件包括OpenFlow控制器和OpenFlow清洗交换机。

6.一种流量牵引方法，其特征在于，包括：当攻击发生时，业务管理平台向异常流量清洗部件中的OpenFlow控制器通知被攻击服务器的地址信息；

OpenFlow控制器将被攻击服务器的地址作为目的地址组成流表项，与将牵引的流量转发至OpenFlow清洗交换机的指令一起生成流量牵引流表，并通过OpenFlow协议下发/更新至OpenFlow核心路由器；

OpenFlow核心路由器将目的地址为被攻击服务器的流量转发至OpenFlow清洗交换机，以实现流量牵引。

7.根据权利要求6所述的流量牵引方法，其特征在于，所述被攻击服务器的地址包括IP地址和TCP端口；

所述目的地址包括目的IP地址和目的TCP端口。

8.一种流量回注方法，其特征在于，OpenFlow清洗交换机根据OpenFlow控制器下发的流量清洗流表，对OpenFlow核心路由器牵引的流量进行匹配，如果不匹配，

OpenFlow控制器将被攻击服务器的地址作为目的地址生成流表项，与将回注的流量转发至受保护服务器相对应的下一跳指令一起生成流量回注流表，并通过OpenFlow协议下发/更新至OpenFlow清洗交换机；

OpenFlow清洗交换机按照流量回注流表，将所述不匹配的流量转发目的地址，以实现流量回注。

9.根据权利要求8所述的流量回注方法，其特征在于，当所述牵引的流量在所述流量清洗流表中有匹配的流表项时，所述牵引的流量为异常流量；该方法还包括：

丢弃该所述异常流量，同时将对应该异常流量的流量清洗流表中流表项条目的清洗计数器的计数值加一。

10.根据权利要求8或9所述的流量回注方法，其特征在于，所述流量回注表的优先级为最高。

11.根据权利要求8所述的流量回注方法，其特征在于，所述清洗流表的最后一个流表项需要显示地将报文指向流量回注流表。

12.根据权利要求9所述的流量回注方法，其特征在于，该方法还包括：

所述OpenFlow控制器定时查询所述清洗计数器；

在判断出流量清洗流表中有流表项记录对应的清洗计数器的计数值大于预先设置的阈值时，通知业务管理平台清洗停止，同时分别删除所述流量牵引流表和所述流量回注流表中对应的流表项。