[发明专利]一种安全防护系统

权利要求书

1.一种安全防护系统，其特征在于，包括：

与被防护网络相连的软件定义网络SDN交换机，与所述SDN交换机相连的攻击检测装置以及流量清洗装置；

所述攻击检测装置用于检测当前攻击的状态；

所述流量清洗装置用于在所述当前攻击的状态由第一状态转换为第二状态后，将第一流量牵引策略更新为第二流量牵引策略，并下发所述第二流量迁移策略，所述第一流量牵引策略与所述第一状态对应，所述第二流量牵引策略与所述第二状态对应；

所述SDN交换机用于将所述被防护网络中的、所述第二流量牵引策略中指示的流量牵引到所述流量清洗装置；

所述流量清洗装置还用于去除被牵引的流量中的异常流量并将正常流量回注到所述被防护网络中。

2.根据权利要求1所述的系统，其特征在于，所述攻击检测装置还用于：

检测是否有攻击出现；

所述流量清洗装置还用于：

在所述攻击检测装置检测到所述第一攻击出现后，下发所述第一流量牵引策略；

所述SDN交换机还用于：将所述被防护网络中的、所述第一流量牵引策略中指示的流量牵引到所述流量清洗装置。

3.根据权利要求2所述的系统，其特征在于，还包括：与所述SDN交换机相连的SDN控制器；

所述攻击检测装置还用于：

检测攻击是否停止；

所述流量清洗装置还用于：

在所述攻击停止后，清除流量牵引策略，并向所述SDN控制器下发取消所有流量牵引策略的通知；

所述SDN控制器用于通知所述交换机取消所有流量牵引策略。

4.根据权利要求3所述的系统，其特征在于，所述流量清洗装置用于下发所述第二流量迁移策略包括：

所述流量清洗装置具体用于，通过所述SDN控制器向所述SDN交换机下发所述第二流量迁移策略；

所述流量清洗装置用于下发所述第一流量牵引策略包括：

所述流量清洗装置具体用于，通过所述SDN控制器向所述SDN交换机下发所述第一流量迁移策略。

5.根据权利要求4所述的系统，其特征在于，所述第一状态为对第一业务进行攻击的状态，所述第二状态为对第二业务进行攻击的状态；

所述第一流量牵引策略为针对所述第一业务的流量进行牵引的策略，所述第二流量牵引策略为针对所述第二业务的流量进行牵引的策略。

6.根据权利要求5所述的系统，其特征在于，所述攻击检测装置用于检测当前攻击的状态包括：

所述攻击检测装置具体用于，依据所述被防护网络的中的流量的镜像流量、所述被防护网络的业务系统的指标以及所述SDN交换机的运行数据，分析出攻击源统计数据；

所述攻击检测装置用于检测是否有攻击出现包括：

所述攻击检测装置具体用于，在满足第一条件时，确定攻击出现，所述第一条件至少包括以下一种：所述被防护网络的中的流量的镜像流量异常、所述被防护网络的业务系统的指标异常以及所述SDN交换机的运行数据异常；

所述攻击检测装置用于检测攻击是否停止包括：

所述攻击检测装置具体用于，在满足第二条件时，确定攻击停止，所述第二条件包括以下至少一项：所述被防护网络的中的流量的镜像流量正常、所述被防护网络的业务系统的指标正常、所述SDN交换机的运行数据正常以及清洗统计数据正常。

7.根据权利6所述的系统，其特征在于，所述攻击检测装置还用于：

从所述SDN交换机获取所述被防护网络的中的流量的镜像流量。

8.根据权利6所述的系统，其特征在于，所述攻击检测装置还用于：

从本地获得已确定的判定条件，所述判定条件包括以下至少一种：判定攻击状态、攻击开始、攻击结束的条件；或者，

依据系统的数据，确定所述判定条件。

9.根据权利要求8所述的系统，其特征在于，还包括：

监控告警装置，用于在所述攻击检测装置检测到攻击后，发出告警信号；和/或，在监控数据发生异常时，发出告警信号，所述监控数据至少包括以下一项：所述被防护网络中的业务主机在单位时间内的报文总数、所述业务主机在单位时间内的报文的字节大小以及所述业务主机的系统指标。

10.根据权利要求9所述的系统，其特征在于，所述SDN交换机还用于：

接收用户输入的维护数据。