本申請提供一種用于電子政務外網的異常流量管控系統，在現有系統包括檢測模塊、管理模塊和管控模塊的基礎上增加了算路模塊，能夠基于鏈路利用率，及現網拓撲，集中計算并控制引流路徑，從而減少鏈路擁塞、丟包的情況出現，提升異常流量管控的效果。

技術領域

本申請涉及網絡流量管理領域，具體涉及一種用于電子政務外網的異常流量管控系統。

背景技術

異常流量管控系統目前主要是通過在現網注入引流路由的方式實現，如圖2所示：

現有流量管理系統通常由三個功能點組成：

1)檢測節點：負責從路由交換節點收集流量采樣信息，分析識別現網是否有異常流量，并將檢測結果上報到管理節點進行分析呈現。

2)管控節點：負責對進入本節點的流量進行管控，如對DDOS攻擊流量進行攔截，阻斷等。對于系統識別的正常流量則重新回注到現有網絡中繼續轉發。

3)管理節點：負責對現網的流量情況進行記錄，呈現，同時允許管理人員配置異常流量識別策略，管控策略，例如：是否自動對異常流量進行攔截等。

現有系統的工作過程大致如下：

1)管理人員預先配置異常流量的識別策略和管控策略，比如要識別大流量DDOS攻擊，針對此類攻擊進行告警但不自動進行攔截，需要管理員確認后手動下發攔截策略。

2)檢測節點根據管理人員配置的檢測策略實時監控現網流量，分析識別是否有異常流量產生，并將檢測結果上報到管理節點。

3)管理節點接受檢測節點上報的檢測結果并進行保存和可視化呈現，如發現異常則通過某種方式告知管理人員。如攔截策略為手動確認方式，則等待管理人員根據人工審核結果下發指令。當管理人員下發攔截指令后，管理節點將指令轉達到管控節點。

4)管控節點根據管理節點下達的攔截指令生成一條32位的主機路由，并通過BGP路由協議發布到現網。

5)該主機路由在現網擴散后將會把到此目的地節點的所有流量引導至管控節點。管控節點根據配置策略對其中的異常流量進行處理，并放行正常流量重新回到現網。

6)正常流量經過現網轉發后到達目的應用服務器。

現有系統通過以上步驟實現了異常流量的管控，但是，存在一個共同的問題在于：為了達到異常流量管控的目的，必須要將到某個目的地的所有流量通過路由的方式引導到管控節點進行識別處理，而目前的路由計算方式是分布式的，即需要現網的各個路由交換節點分別完成，且當前的路由算法基本未考慮現網鏈路利用率的問題，因此可能出現將異常流量引導到高負載的鏈路上去從而導致鏈路擁塞，丟包的問題。當現網出現丟包后，其實現網的業務已經受到了影響。隨著DDOS攻擊越來越普遍，攻擊流量越來越大，這種現象將更加普遍，但現有系統無法解決此問題。

發明內容

本申請提供一種用于電子政務外網的異常流量管控系統，解決現有技術的路由算法未考慮現網鏈路利用率，從而導致將異常流量引導到高負載的鏈路上去從而導致鏈路擁塞，丟包的問題。

本申請提供一種用于電子政務外網的異常流量管控系統，包括：

檢測模塊，通過檢測節點采集現網路由交換節點的流量采樣信息，根據管理模塊配置的異常流量的識別策略識別現網的異常流量；

管控模塊，對進入管控節點的異常流量根據管理模塊配置的管控策略進行管控；管控的內容包括對進入管控節點的正常流量重新回注到現網中繼續轉發以及在異常流量需要引流時，管控節點獲取需要保護的目的地信息，并將所述目的地信息通知算路模塊；

管理模塊，通過管理節點對現網的流量情況進行記錄，對算路結點上報的現網的拓撲信息和鏈路利用率信息進行可視化呈現；配置異常流量的識別策略和管控策略，配置算路節點的算路策略；