本發(fā)明涉及通信技術(shù),尤其涉及一種基于軟件定義網(wǎng)絡(luò)(SoftwareDefinedNetwork,簡(jiǎn)稱:SDN)的分布式拒絕服務(wù)(DistributedDenialofService,簡(jiǎn)稱:DDOS)攻擊防護(hù)方法、裝置及系統(tǒng)。
背景技術(shù):
::圖1為DDoS攻擊的示意圖。參照?qǐng)D1,DDoS的主要實(shí)施原理是攻擊者利用一級(jí)或多級(jí)主控主機(jī)做跳板,控制大量受感染的受控主機(jī)從而組成攻擊網(wǎng)絡(luò)來(lái)對(duì)受害主機(jī)實(shí)施大規(guī)模的拒絕服務(wù)攻擊。這種攻擊往往能把單個(gè)攻擊者的攻擊效果以級(jí)數(shù)形式進(jìn)行放大,從而對(duì)受害主機(jī)造成重大影響,對(duì)網(wǎng)絡(luò)也會(huì)造成嚴(yán)重?fù)砣?。DDoS利用攻擊網(wǎng)絡(luò)對(duì)受害主機(jī)發(fā)起網(wǎng)間控制報(bào)文協(xié)議(InternetControlMessagesProtocol,簡(jiǎn)稱ICMP)洪水攻擊、同步(Synchronous,簡(jiǎn)稱:Syn)洪水攻擊、用戶數(shù)據(jù)報(bào)協(xié)議(UserDatagramProtocol,簡(jiǎn)稱:UDP)洪水攻擊等多種攻擊形式,使得受害主機(jī)消耗大量處理資源來(lái)處理這些突增請(qǐng)求而無(wú)法正常響應(yīng)合法用戶請(qǐng)求,從而造成癱瘓?,F(xiàn)有技術(shù)中,DDoS防護(hù)方案通常在網(wǎng)絡(luò)匯聚節(jié)點(diǎn)部署清洗設(shè)備,通過該清洗設(shè)備對(duì)匯聚到該節(jié)點(diǎn)的DDoS攻擊流量進(jìn)行清洗,從而實(shí)現(xiàn)DDoS防護(hù)。其中,網(wǎng)絡(luò)匯聚節(jié)點(diǎn)可以為互聯(lián)互通網(wǎng)關(guān)、國(guó)內(nèi)的城域網(wǎng)出口設(shè)備、各類數(shù)據(jù)中心的出口設(shè)備等。但是對(duì)于無(wú)明顯網(wǎng)絡(luò)匯聚節(jié)點(diǎn)的主干網(wǎng),網(wǎng)絡(luò)中的節(jié)點(diǎn)數(shù)量較多,此時(shí),現(xiàn)有技術(shù)通常針對(duì)特定的IP地址部署清洗設(shè)備,即在與具有該特定的IP地址的主機(jī)連接的流量匯聚的節(jié)點(diǎn)上部署清洗設(shè)備。其中,特定的IP地址可以是根據(jù)客戶需求、客戶的優(yōu)先級(jí)進(jìn)行設(shè)定的;例如,客戶需要保護(hù)某個(gè)服務(wù)器的一個(gè)IP地址或一段IP地址段;則將與該服務(wù)器連接的流量匯聚的節(jié)點(diǎn)作為部署清洗設(shè)備的節(jié)點(diǎn)。對(duì)于上述無(wú)明顯匯聚節(jié)點(diǎn)的主干網(wǎng)場(chǎng)景,雖然采用針對(duì)特定IP地址部署清洗設(shè)備的方式,但是當(dāng)發(fā)生DDoS攻擊時(shí),無(wú)論受害主機(jī)的IP地 址是否為特定IP地址,都需要將針對(duì)受害主機(jī)的DDoS攻擊流量引流至該清洗設(shè)備,導(dǎo)致IP地址并非特定IP地址的受害主機(jī)的流量需要經(jīng)過網(wǎng)絡(luò)中的多個(gè)路由轉(zhuǎn)發(fā)節(jié)點(diǎn)才能被引流至該清洗設(shè)備。從而占用了這些路由轉(zhuǎn)發(fā)節(jié)點(diǎn)的網(wǎng)絡(luò)資源,擴(kuò)大了DDoS攻擊對(duì)主干網(wǎng)的影響范圍,從而降低了網(wǎng)絡(luò)的安全性。技術(shù)實(shí)現(xiàn)要素:本發(fā)明提供一種基于SDN的DDOS攻擊防護(hù)方法、裝置及系統(tǒng),用于提高網(wǎng)絡(luò)安全性。本發(fā)明的第一個(gè)方面是提供一種基于軟件定義網(wǎng)絡(luò)SDN的分布式拒絕服務(wù)DDoS攻擊防護(hù)方法,包括:控制器向第一報(bào)文轉(zhuǎn)發(fā)設(shè)備下發(fā)流量統(tǒng)計(jì)指令,所述流量統(tǒng)計(jì)指令用于指示所述第一報(bào)文轉(zhuǎn)發(fā)設(shè)備進(jìn)行流量統(tǒng)計(jì);其中,所述流量統(tǒng)計(jì)指令攜帶目的地IP地址;所述控制器收集所述第一報(bào)文轉(zhuǎn)發(fā)設(shè)備根據(jù)所述流量統(tǒng)計(jì)指令上報(bào)的統(tǒng)計(jì)數(shù)據(jù),所述統(tǒng)計(jì)數(shù)據(jù)包含流向所述目的地IP地址的流量統(tǒng)計(jì)信息;所述控制器根據(jù)所述統(tǒng)計(jì)數(shù)據(jù),獲得流向所述目的地IP地址的全局流量統(tǒng)計(jì)值;其中,所述全局流量統(tǒng)計(jì)值表示所述控制器對(duì)包括所述第一報(bào)文轉(zhuǎn)發(fā)設(shè)備在內(nèi)的至少兩個(gè)報(bào)文轉(zhuǎn)發(fā)設(shè)備上報(bào)的統(tǒng)計(jì)數(shù)據(jù)進(jìn)行匯總后,獲得的用于反映所述SDN范圍內(nèi)流向所述目的地IP地址的流量的統(tǒng)計(jì)值;所述控制器判斷所述全局流量統(tǒng)計(jì)值是否超過預(yù)定閾值,基于所述全局流量統(tǒng)計(jì)值超過預(yù)定閾值的判斷結(jié)果,向第二報(bào)文轉(zhuǎn)發(fā)設(shè)備下發(fā)DDoS防護(hù)策略。結(jié)合第一個(gè)方面,在第一方面的第一種可能的實(shí)現(xiàn)方式中,所述流量統(tǒng)計(jì)指令還攜帶:檢測(cè)起始時(shí)刻;其中,所述檢測(cè)起始時(shí)刻用于告知所述第一報(bào)文轉(zhuǎn)發(fā)設(shè)備進(jìn)行所述流量統(tǒng)計(jì)的起始時(shí)刻,所述流量統(tǒng)計(jì)被所述第一報(bào)文轉(zhuǎn)發(fā)設(shè)備以檢測(cè)周期的方式持續(xù)執(zhí)行,所述統(tǒng)計(jì)數(shù)據(jù)被所述第一報(bào)文轉(zhuǎn)發(fā)設(shè)備以所述檢測(cè)周期上報(bào)給所述控制器。結(jié)合第一個(gè)方面的第一種可能的實(shí)現(xiàn)方式,在第一方面的第二種可能的實(shí)現(xiàn)方式中,還包括:所述控制器確定在至少兩個(gè)連續(xù)的檢測(cè)周期內(nèi)所述全局流量統(tǒng)計(jì)值未超過所述預(yù)定閾值,則所述控制器向所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備下發(fā)防護(hù)消除指示消息;所述防護(hù)消除指示消息用于指示所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備結(jié)束執(zhí)行所述DDoS防護(hù)策略。結(jié)合第一個(gè)方面或第一個(gè)方面的上述任意一種可能的實(shí)現(xiàn)方式,在第一方面的第三種可能的實(shí)現(xiàn)方式中,在所述控制器向所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備下發(fā)DDoS防護(hù)策略之前,還包括:所述控制器根據(jù)所述統(tǒng)計(jì)數(shù)據(jù),確定攻擊路徑上距離攻擊源最近的報(bào)文轉(zhuǎn)發(fā)設(shè)備,將所述距離攻擊源最近的報(bào)文轉(zhuǎn)發(fā)設(shè)備作為所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備。結(jié)合第一個(gè)方面的第三種可能的實(shí)現(xiàn)方式,在第一方面的第四種可能的實(shí)現(xiàn)方式中,所述流向所述目的地IP地址的流量統(tǒng)計(jì)信息,包括:所述第一報(bào)文轉(zhuǎn)發(fā)設(shè)備上流向所述目的地IP地址的流量值;所述控制器根據(jù)所述統(tǒng)計(jì)數(shù)據(jù),確定攻擊路徑上距離攻擊源最近的報(bào)文轉(zhuǎn)發(fā)設(shè)備,包括:所述控制器根據(jù)所述第一報(bào)文轉(zhuǎn)發(fā)設(shè)備上流向所述目的地IP地址的流量值,確定第一攻擊路徑;所述第一攻擊路徑為流向所述目的地IP地址的至少一條攻擊路徑中流量值最大的攻擊路徑;所述控制器根據(jù)所述第一攻擊路徑,確定所述距離攻擊源最近的報(bào)文轉(zhuǎn)發(fā)設(shè)備所述距離攻擊源最近的報(bào)文轉(zhuǎn)發(fā)設(shè)備位于所述第一攻擊路徑上的、所述流向所述目的地IP地址的流量的源地址側(cè)的SDN邊界處。結(jié)合第一個(gè)方面或第一個(gè)方面的上述任意一種可能的實(shí)現(xiàn)方式,在第五種可能的實(shí)現(xiàn)方式中,所述DDoS防護(hù)策略包含如下任意一種響應(yīng)策略:黑洞路由響應(yīng)策略、限流響應(yīng)策略、限速響應(yīng)策略、丟棄響應(yīng)策略、本地清洗響應(yīng)策略、動(dòng)態(tài)引流清洗響應(yīng)策略;其中,所述黑洞路由響應(yīng)策略用于指示所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備通過配置 黑洞路由對(duì)所述流向所述目的地IP地址的流量進(jìn)行報(bào)文丟棄處理;所述限流響應(yīng)策略用于指示所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備對(duì)所述流向所述目的地IP地址的流量進(jìn)行限流處理;所述限速響應(yīng)策略用于指示所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備對(duì)所述流向所述目的地IP地址的流量進(jìn)行限速處理;所述丟棄響應(yīng)策略用于指示所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備對(duì)所述流向所述目的地IP地址的流量進(jìn)行報(bào)文丟棄處理;所述本地清洗響應(yīng)策略用于指示所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備在本地對(duì)流向所述目的地IP地址的流量進(jìn)行清洗處理;所述動(dòng)態(tài)引流清洗響應(yīng)策略用于指示所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備將所述流向所述目的地IP地址的流量發(fā)送到清洗設(shè)備上進(jìn)行清洗處理。結(jié)合第一個(gè)方面的第五種可能的實(shí)現(xiàn)方式,在第一個(gè)方面的第六種可能的實(shí)現(xiàn)方式中,所述統(tǒng)計(jì)數(shù)據(jù)還包含:所述第一報(bào)文轉(zhuǎn)發(fā)設(shè)備的負(fù)載值;在所述控制器向所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備下發(fā)DDoS防護(hù)策略之前,包括:所述控制器根據(jù)所述第一報(bào)文轉(zhuǎn)發(fā)設(shè)備的負(fù)載值確定第一引流路徑;其中,所述第一引流路徑為所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備至所述清洗設(shè)備之間負(fù)載最小的路徑;所述第一引流路徑包含所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備和所述清洗設(shè)備;所述控制器向所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備下發(fā)的DDoS防護(hù)策略為所述動(dòng)態(tài)引流清洗響應(yīng)策略,所述動(dòng)態(tài)引流清洗響應(yīng)策略包含第一引流路徑指示信息,所述第一引流路徑指示信息用于指示所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備將所述流向所述目的地IP地址的流量通過所述第一引流路徑發(fā)送到所述清洗設(shè)備上進(jìn)行清洗處理。結(jié)合第一個(gè)方面的第五種可能的實(shí)現(xiàn)方式,在第一個(gè)方面的第七種可能的實(shí)現(xiàn)方式中,在所述控制器向所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備下發(fā)DDoS防護(hù)策略之前,包括:所述控制器根據(jù)SDN拓?fù)潢P(guān)系確定第二引流路徑,所述第二引流路徑為所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備至所述清洗設(shè)備之間距離最近的路徑,所述SDN拓?fù)潢P(guān)系包含所述SDN中各個(gè)報(bào)文轉(zhuǎn)發(fā)設(shè)備以及所述清洗設(shè)備的連接關(guān)系;所述控制器向所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備下發(fā)DDoS防護(hù)策略為所述動(dòng)態(tài)引 流清洗響應(yīng)策略,所述動(dòng)態(tài)引流清洗響應(yīng)策略包含第二引流路徑指示信息,所述第二引流路徑指示信息用于指示所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備將所述流向所述目的地IP地址的流量通過所述第二引流路徑發(fā)送到所述清洗設(shè)備上進(jìn)行清洗處理。本發(fā)明的第二個(gè)方面是提供一種基于SDN的DDoS攻擊防護(hù)方法,所述方法應(yīng)用于SDN系統(tǒng)中,所述SDN系統(tǒng)包括控制器和報(bào)文轉(zhuǎn)發(fā)設(shè)備,所述方法由所述報(bào)文轉(zhuǎn)發(fā)設(shè)備執(zhí)行,包括:接收所述控制器發(fā)送的流量統(tǒng)計(jì)指令,所述流量統(tǒng)計(jì)指令用于指示所述報(bào)文轉(zhuǎn)發(fā)設(shè)備進(jìn)行流量統(tǒng)計(jì);其中,所述流量統(tǒng)計(jì)指令攜帶目的地IP地址;根據(jù)所述流量統(tǒng)計(jì)指令統(tǒng)計(jì)流向所述目的地IP地址的流量統(tǒng)計(jì)信息;向所述控制器上報(bào)統(tǒng)計(jì)數(shù)據(jù),所述統(tǒng)計(jì)數(shù)據(jù)包含所述流向所述目的地IP地址的流量統(tǒng)計(jì)信息。結(jié)合第二個(gè)方面,在第二個(gè)方面的第一種可能的實(shí)現(xiàn)方式中,所述流量統(tǒng)計(jì)指令還攜帶:檢測(cè)起始時(shí)刻;其中,所述檢測(cè)起始時(shí)刻用于告知所述報(bào)文轉(zhuǎn)發(fā)設(shè)備進(jìn)行所述流量統(tǒng)計(jì)的起始時(shí)刻,以檢測(cè)周期的方式持續(xù)進(jìn)行所述流量統(tǒng)計(jì),以所述檢測(cè)周期上報(bào)所述統(tǒng)計(jì)數(shù)據(jù)給所述控制器。結(jié)合第二個(gè)方面或第二個(gè)方面的第一種可能的實(shí)現(xiàn)方式,在第二個(gè)方面的第二種可能的實(shí)現(xiàn)方式中,在所述向所述控制器上報(bào)統(tǒng)計(jì)數(shù)據(jù)之后,還包括:接收所述控制器發(fā)送的DDoS防護(hù)策略;根據(jù)所述DDoS防護(hù)策略對(duì)所述流向所述目的地IP地址的流量進(jìn)行防護(hù)處理。結(jié)合第二個(gè)方面的第二種可能的實(shí)現(xiàn)方式,在第二個(gè)方面的第三種可能的實(shí)現(xiàn)方式中,在所述接收所述控制器發(fā)送的DDoS防護(hù)策略之后,還包括:接收所述控制器發(fā)送的防護(hù)消除指示消息;所述防護(hù)消除指示消息用于指示所述報(bào)文轉(zhuǎn)發(fā)設(shè)備結(jié)束執(zhí)行所述DDoS防護(hù)策略;根據(jù)所述防護(hù)消除指示消息停止對(duì)所述流向所述目的地IP地址的流量進(jìn)行防護(hù)處理。結(jié)合第二個(gè)方面的第二種可能的實(shí)現(xiàn)方式或第二個(gè)方面的第三種可能的實(shí)現(xiàn)方式,在第二個(gè)方面的第四種可能的實(shí)現(xiàn)方式中,所述DDoS防護(hù)策略包含如下任意一種響應(yīng)策略:黑洞路由響應(yīng)策略、限流響應(yīng)策略、限速響應(yīng)策略、丟棄響應(yīng)策略、本地清洗響應(yīng)策略、動(dòng)態(tài)引流清洗響應(yīng)策略;其中,所述黑洞路由響應(yīng)策略用于指示所述報(bào)文轉(zhuǎn)發(fā)設(shè)備通過配置黑洞路由對(duì)所述流向所述目的地IP地址的流量進(jìn)行報(bào)文丟棄處理;則所述根據(jù)所述DDoS防護(hù)策略對(duì)所述流向所述目的地IP地址的流量進(jìn)行防護(hù)處理,具體為:根據(jù)所述黑洞路由響應(yīng)策略采用黑洞路由對(duì)所述流向所述目的地IP地址的流量進(jìn)行報(bào)文丟棄處理;所述限流響應(yīng)策略用于指示所述報(bào)文轉(zhuǎn)發(fā)設(shè)備對(duì)所述流向所述目的地IP地址的流量進(jìn)行限流處理;則所述根據(jù)所述DDoS防護(hù)策略對(duì)所述流向所述目的地IP地址的流量進(jìn)行防護(hù)處理,具體為:根據(jù)所述限流響應(yīng)策略對(duì)所述流向所述目的地IP地址的流量進(jìn)行限流處理;所述限速響應(yīng)策略用于指示所述報(bào)文轉(zhuǎn)發(fā)設(shè)備對(duì)所述流向所述目的地IP地址的流量進(jìn)行限速處理;則所述根據(jù)所述DDoS防護(hù)策略對(duì)所述流向所述目的地IP地址的流量進(jìn)行防護(hù)處理,具體為:根據(jù)所述限速響應(yīng)策略對(duì)所述流向所述目的地IP地址的流量進(jìn)行限速處理;所述丟棄響應(yīng)策略用于指示所述報(bào)文轉(zhuǎn)發(fā)設(shè)備對(duì)所述流向所述目的地IP地址的流量進(jìn)行報(bào)文丟棄處理;則所述根據(jù)所述DDoS防護(hù)策略對(duì)所述流向所述目的地IP地址的流量進(jìn)行防護(hù)處理,具體為:根據(jù)所述丟棄響應(yīng)策略對(duì)所述流向所述目的地IP地址的流量進(jìn)行報(bào)文丟棄處理;所述本地清洗響應(yīng)策略用于指示所述報(bào)文轉(zhuǎn)發(fā)設(shè)備在本地對(duì)所述流向所述目的地IP地址的流量進(jìn)行清洗處理;則所述根據(jù)所述DDoS防護(hù)策略對(duì)所述流向所述目的地IP地址的流量進(jìn)行防護(hù)處理,具體為:根據(jù)所述本地清洗響應(yīng)策略在本地對(duì)所述流向所述目的地IP地址的流量進(jìn)行清洗處理;所述動(dòng)態(tài)引流清洗響應(yīng)策略用于指示所述報(bào)文轉(zhuǎn)發(fā)設(shè)備將所述流向所述 目的地IP地址的流量發(fā)送到清洗設(shè)備上進(jìn)行清洗處理;則所述根據(jù)所述DDoS防護(hù)策略對(duì)所述流向所述目的地IP地址的流量進(jìn)行防護(hù)處理,具體為:根據(jù)所述動(dòng)態(tài)引流清洗響應(yīng)策略將所述流向所述目的地IP地址的流量發(fā)送到清洗設(shè)備上進(jìn)行清洗處理。結(jié)合第二個(gè)方面的第四種可能的實(shí)現(xiàn)方式,在第二個(gè)方面的第五種可能的實(shí)現(xiàn)方式中,所述統(tǒng)計(jì)數(shù)據(jù)還包含:所述第一報(bào)文轉(zhuǎn)發(fā)設(shè)備的負(fù)載值;所述動(dòng)態(tài)引流清洗響應(yīng)策略包含第一引流路徑指示信息,所述第一引流路徑指示信息用于指示所述報(bào)文轉(zhuǎn)發(fā)設(shè)備將所述流向所述目的地IP地址的流量通過所述第一引流路徑發(fā)送到所述清洗設(shè)備上進(jìn)行清洗處理;所述第一引流路徑為所述報(bào)文轉(zhuǎn)發(fā)設(shè)備至所述清洗設(shè)備之間負(fù)載最小的路徑;所述第一引流路徑包含所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備和所述清洗設(shè)備;則所述根據(jù)所述動(dòng)態(tài)引流清洗響應(yīng)策略將所述流向所述目的地IP地址的流量發(fā)送到清洗設(shè)備上進(jìn)行清洗處理,具體為:根據(jù)所述動(dòng)態(tài)引流清洗響應(yīng)策略,將所述流向所述目的地IP地址的流量通過所述第一引流路徑發(fā)送到所述清洗設(shè)備上進(jìn)行清洗處理。結(jié)合第二個(gè)方面的第四種可能的實(shí)現(xiàn)方式,在第二個(gè)方面的第六種可能的實(shí)現(xiàn)方式中,所述動(dòng)態(tài)引流清洗響應(yīng)策略包含第二引流路徑指示信息,所述第二引流路徑指示信息用于指示所述報(bào)文轉(zhuǎn)發(fā)設(shè)備將所述流向所述目的地IP地址的流量通過所述第二引流路徑發(fā)送到所述清洗設(shè)備上進(jìn)行清洗處理;所述第二引流路徑為所述報(bào)文轉(zhuǎn)發(fā)設(shè)備至所述清洗設(shè)備之間距離最近的路徑;則所述根據(jù)所述動(dòng)態(tài)引流清洗響應(yīng)策略將所述流向所述目的地IP地址的流量發(fā)送到清洗設(shè)備上進(jìn)行清洗處理,具體為:根據(jù)所述動(dòng)態(tài)引流清洗響應(yīng)策略,將所述流向所述目的地IP地址的流量通過所述第二引流路徑發(fā)送到所述清洗設(shè)備上進(jìn)行清洗處理。本發(fā)明的第三個(gè)方面是提供一種控制器,包括:發(fā)送模塊,用于向第一報(bào)文轉(zhuǎn)發(fā)設(shè)備下發(fā)流量統(tǒng)計(jì)指令,所述流量統(tǒng)計(jì)指令用于指示所述第一報(bào)文轉(zhuǎn)發(fā)設(shè)備進(jìn)行流量統(tǒng)計(jì);其中,所述流量統(tǒng)計(jì)指令攜帶目的地IP地址;接收模塊,用于收集所述第一報(bào)文轉(zhuǎn)發(fā)設(shè)備根據(jù)所述發(fā)送模塊發(fā)送的所 述流量統(tǒng)計(jì)指令上報(bào)的統(tǒng)計(jì)數(shù)據(jù),所述統(tǒng)計(jì)數(shù)據(jù)包含流向所述目的地IP地址的流量統(tǒng)計(jì)信息;處理模塊,用于:根據(jù)所述接收模塊接收到的所述統(tǒng)計(jì)數(shù)據(jù),獲得流向所述目的地IP地址的所述全局流量統(tǒng)計(jì)值;其中,所述全局流量統(tǒng)計(jì)值表示所述控制器對(duì)包括所述第一報(bào)文轉(zhuǎn)發(fā)設(shè)備在內(nèi)的至少兩個(gè)報(bào)文轉(zhuǎn)發(fā)設(shè)備上報(bào)的統(tǒng)計(jì)數(shù)據(jù)進(jìn)行匯總后,獲得的用于反映所述SDN范圍內(nèi)流向所述目的地IP地址的流量的統(tǒng)計(jì)值;判斷所述全局流量統(tǒng)計(jì)值是否超過預(yù)定閾值;所述發(fā)送模塊,還用于基于處理模塊確定的全局流量統(tǒng)計(jì)值超過預(yù)定閾值的判斷結(jié)果,向第二報(bào)文轉(zhuǎn)發(fā)設(shè)備下發(fā)DDoS防護(hù)策略。結(jié)合第三個(gè)方面,在第三個(gè)方面的第一種可能的實(shí)現(xiàn)方式中,所述流量統(tǒng)計(jì)指令還攜帶:檢測(cè)起始時(shí)刻;其中,所述檢測(cè)起始時(shí)刻用于告知所述第一報(bào)文轉(zhuǎn)發(fā)設(shè)備進(jìn)行所述流量統(tǒng)計(jì)的起始時(shí)刻,所述流量統(tǒng)計(jì)被所述第一報(bào)文轉(zhuǎn)發(fā)設(shè)備以檢測(cè)周期的方式持續(xù)執(zhí)行,所述統(tǒng)計(jì)數(shù)據(jù)被所述第一報(bào)文轉(zhuǎn)發(fā)設(shè)備以所述檢測(cè)周期上報(bào)給所述控制器;所述處理模塊,還用于:確定在至少兩個(gè)連續(xù)的檢測(cè)周期內(nèi)所述全局流量統(tǒng)計(jì)值未超過所述預(yù)定閾值;所述發(fā)送模塊,還用于基于所述處理模塊確定的至少兩個(gè)連續(xù)的檢測(cè)周期內(nèi)所述全局流量統(tǒng)計(jì)值未超過所述預(yù)定閾值的結(jié)果,向所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備下發(fā)防護(hù)消除指示消息;所述防護(hù)消除指示消息用于指示所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備結(jié)束執(zhí)行所述DDoS防護(hù)策略。結(jié)合第三個(gè)方面或第三個(gè)方面的第一種可能的實(shí)現(xiàn)方式,在第三個(gè)方面的第二種可能的實(shí)現(xiàn)方式中,所述處理模塊,在所述發(fā)送模塊向所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備下發(fā)DDoS防護(hù)策略之前,還用于:根據(jù)所述接收模塊接收的所述統(tǒng)計(jì)數(shù)據(jù),確定攻擊路徑上距離攻擊源最近的報(bào)文轉(zhuǎn)發(fā)設(shè)備,將所述距離攻擊源最近的報(bào)文轉(zhuǎn)發(fā)設(shè)備作為所述第二報(bào) 文轉(zhuǎn)發(fā)設(shè)備。結(jié)合第三個(gè)方面的第二種可能的實(shí)現(xiàn)方式,在第三個(gè)方面的第三種可能的實(shí)現(xiàn)方式中,所述流向所述目的地IP地址的流量統(tǒng)計(jì)信息,包括:所述第一報(bào)文轉(zhuǎn)發(fā)設(shè)備上流向所述目的地IP地址的流量值;所述處理模塊,還用于根據(jù)所述統(tǒng)計(jì)數(shù)據(jù),確定攻擊路徑上距離攻擊源最近的報(bào)文轉(zhuǎn)發(fā)設(shè)備,具體為:根據(jù)所述接收模塊接收的所述第一報(bào)文轉(zhuǎn)發(fā)設(shè)備上流向所述目的地IP地址的流量值,確定第一攻擊路徑;所述第一攻擊路徑為流向所述目的地IP地址的至少一條攻擊路徑中流量值最大的攻擊路徑;根據(jù)所述第一攻擊路徑,確定所述距離攻擊源最近的報(bào)文轉(zhuǎn)發(fā)設(shè)備;所述距離攻擊源最近的報(bào)文轉(zhuǎn)發(fā)設(shè)備位于所述第一攻擊路徑上的、所述流向所述目的地IP地址的流量的源地址側(cè)的SDN邊界處。結(jié)合第三個(gè)方面或第三個(gè)方面的上述任意一種可能的實(shí)現(xiàn)方式,在第三個(gè)方面的第四種可能的實(shí)現(xiàn)方式中,所述DDoS防護(hù)策略包含如下任意一種響應(yīng)策略:黑洞路由響應(yīng)策略、限流響應(yīng)策略、限速響應(yīng)策略、丟棄響應(yīng)策略、本地清洗響應(yīng)策略、動(dòng)態(tài)引流清洗響應(yīng)策略;其中,所述黑洞路由響應(yīng)策略用于指示所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備通過配置黑洞路由對(duì)流向所述目的地IP地址的流量進(jìn)行報(bào)文丟棄處理;所述限流響應(yīng)策略用于指示所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備對(duì)流向所述目的地IP地址的流量進(jìn)行限流處理;所述限速響應(yīng)策略用于指示所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備對(duì)流向所述目的地IP地址的流量進(jìn)行限速處理;所述丟棄響應(yīng)策略用于指示所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備對(duì)流向所述目的地IP地址的流量進(jìn)行報(bào)文丟棄處理;所述本地清洗響應(yīng)策略用于指示所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備在本地對(duì)流向所述目的地IP地址的流量進(jìn)行清洗處理;所述動(dòng)態(tài)引流清洗響應(yīng)策略用于指示所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備將流向所述目的地IP地址的流量發(fā)送到清洗設(shè)備上進(jìn)行清洗處理。結(jié)合第三個(gè)方面的第四種可能的實(shí)現(xiàn)方式,在第三個(gè)方面的第五種可能 的實(shí)現(xiàn)方式中,所述統(tǒng)計(jì)數(shù)據(jù)還包含:所述第一報(bào)文轉(zhuǎn)發(fā)設(shè)備的負(fù)載值;所述處理模塊,在所述發(fā)送模塊向所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備下發(fā)DDoS防護(hù)策略之前,還用于:根據(jù)所述第一報(bào)文轉(zhuǎn)發(fā)設(shè)備的負(fù)載值確定第一引流路徑,所述第一引流路徑為所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備至所述清洗設(shè)備之間負(fù)載最小的路徑;所述第一引流路徑包含所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備和所述清洗設(shè)備;則所述發(fā)送模塊根據(jù)所述處理模塊確定的所述第一引流路徑,向所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備下發(fā)的DDoS防護(hù)策略為所述動(dòng)態(tài)引流清洗響應(yīng)策略,所述動(dòng)態(tài)引流清洗響應(yīng)策略包含第一引流路徑指示信息,所述第一引流路徑指示信息用于指示所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備將所述流向所述目的地IP地址的流量通過所述第一引流路徑發(fā)送到所述清洗設(shè)備上進(jìn)行清洗處理。結(jié)合第三個(gè)方面的第四種可能的實(shí)現(xiàn)方式,在第三個(gè)方面的第六種可能的實(shí)現(xiàn)方式中,所述處理模塊,在所述發(fā)送模塊向所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備下發(fā)DDoS防護(hù)策略之前,還用于:根據(jù)SDN拓?fù)潢P(guān)系確定第二引流路徑,所述第二引流路徑為所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備至所述清洗設(shè)備之間距離最近的路徑,所述SDN拓?fù)潢P(guān)系包含所述SDN中各個(gè)報(bào)文轉(zhuǎn)發(fā)設(shè)備以及所述清洗設(shè)備的連接關(guān)系;則所述發(fā)送模塊根據(jù)所述處理模塊確定的所述第二引流路徑,向所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備下發(fā)DDoS防護(hù)策略為所述動(dòng)態(tài)引流清洗響應(yīng)策略,所述動(dòng)態(tài)引流清洗響應(yīng)策略包含第二引流路徑指示信息,所述第二引流路徑指示信息用于指示所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備將所述流向所述目的地IP地址的流量通過所述第二引流路徑發(fā)送到所述清洗設(shè)備上進(jìn)行清洗處理。本發(fā)明的第四個(gè)方面是提供一種報(bào)文轉(zhuǎn)發(fā)設(shè)備,所述報(bào)文轉(zhuǎn)發(fā)設(shè)備應(yīng)用于SDN系統(tǒng)中,所述SDN系統(tǒng)包括控制器和所述報(bào)文轉(zhuǎn)發(fā)設(shè)備,所述報(bào)文轉(zhuǎn)發(fā)設(shè)備,包括:接收模塊,用于接收所述控制器發(fā)送的流量統(tǒng)計(jì)指令,所述流量統(tǒng)計(jì)指令用于指示處理模塊進(jìn)行流量統(tǒng)計(jì);其中,所述流量統(tǒng)計(jì)指令攜帶目的地IP地址;所述處理模塊,用于根據(jù)所述接收模塊接收的所述流量統(tǒng)計(jì)指令統(tǒng)計(jì)流向所述目的地IP地址的流量統(tǒng)計(jì)信息;發(fā)送模塊,用于根據(jù)所述處理模塊統(tǒng)計(jì)的所述流向所述目的地IP地址的流量統(tǒng)計(jì)信息,向所述控制器上報(bào)統(tǒng)計(jì)數(shù)據(jù),所述統(tǒng)計(jì)數(shù)據(jù)包含所述流向所述目的地IP地址的流量統(tǒng)計(jì)信息。結(jié)合第四個(gè)方面,在第四個(gè)方面的第一種可能的實(shí)現(xiàn)方式中,所述流量統(tǒng)計(jì)指令還攜帶:檢測(cè)起始時(shí)刻;其中,所述檢測(cè)起始時(shí)刻用于告知所述處理模塊進(jìn)行所述流量統(tǒng)計(jì)的起始時(shí)刻,以檢測(cè)周期的方式持續(xù)進(jìn)行所述流量統(tǒng)計(jì),以所述檢測(cè)周期上報(bào)所述統(tǒng)計(jì)數(shù)據(jù)給所述控制器。結(jié)合第四個(gè)方面或第四個(gè)方面的第一種可能的實(shí)現(xiàn)方式,在第四個(gè)方面的第二種可能的實(shí)現(xiàn)方式中,所述接收模塊,在所述發(fā)送模塊向所述控制器上報(bào)統(tǒng)計(jì)數(shù)據(jù)之后,還用于:接收所述控制器發(fā)送的DDoS防護(hù)策略;所述處理模塊,還用于根據(jù)所述接收模塊接收的所述DDoS防護(hù)策略,對(duì)所述流向所述目的地IP地址的流量進(jìn)行防護(hù)處理。結(jié)合第四個(gè)方面的第二種可能的實(shí)現(xiàn)方式,在第四個(gè)方面的第三種可能的實(shí)現(xiàn)方式中,所述接收模塊,在所述接收所述控制器發(fā)送的DDoS防護(hù)策略之后,還用于:接收所述控制器發(fā)送的防護(hù)消除指示消息;所述防護(hù)消除指示消息用于指示所述處理模塊結(jié)束執(zhí)行所述DDoS防護(hù)策略;所述處理模塊,還用于根據(jù)所述接收模塊接收的所述防護(hù)消除指示消息停止對(duì)所述流向所述目的地IP地址的流量進(jìn)行防護(hù)處理。結(jié)合第四個(gè)方面的第一種可能的實(shí)現(xiàn)方式或第四個(gè)方面的第二種可能的實(shí)現(xiàn)方式,在第四個(gè)方面的第四種可能的實(shí)現(xiàn)方式中,所述DDoS防護(hù)策略包含如下任意一種響應(yīng)策略:黑洞路由響應(yīng)策略、限流響應(yīng)策略、限速響應(yīng)策略、丟棄響應(yīng)策略、本地清洗響應(yīng)策略、動(dòng)態(tài)引流清洗響應(yīng)策略;其中,所述黑洞路由響應(yīng)策略用于指示所述處理模塊通過配置黑洞路由對(duì)所述流向所述目的地IP地址的流量進(jìn)行報(bào)文丟棄處理;則所述處理模塊根據(jù)所述DDoS防護(hù)策略對(duì)所述流向所述目的地IP地址的流量進(jìn)行防護(hù)處理,具體為:根據(jù)所述接收模塊接收的所述黑洞路由響應(yīng)策略采用黑洞路由對(duì)所述流向所述目的地IP地址的流量進(jìn)行報(bào)文丟棄處理;所述限流響應(yīng)策略用于指示所述處理模塊對(duì)所述流向所述目的地IP地址的流量進(jìn)行限流處理;則所述處理模塊根據(jù)所述DDoS防護(hù)策略對(duì)所述流向所述目的地IP地址的流量進(jìn)行防護(hù)處理,具體為:根據(jù)所述接收模塊接收的所述限流響應(yīng)策略對(duì)所述流向所述目的地IP地址的流量進(jìn)行限流處理;所述限速響應(yīng)策略用于指示所述處理模塊對(duì)所述流向所述目的地IP地址的流量進(jìn)行限速處理;則所述處理模塊根據(jù)所述DDoS防護(hù)策略對(duì)所述流向所述目的地IP地址的流量進(jìn)行防護(hù)處理,具體為:根據(jù)所述接收模塊接收的所述限速響應(yīng)策略對(duì)所述流向所述目的地IP地址的流量進(jìn)行限速處理;所述丟棄響應(yīng)策略用于指示所述處理模塊對(duì)所述流向所述目的地IP地址的流量進(jìn)行報(bào)文丟棄處理;則所述處理模塊根據(jù)所述DDoS防護(hù)策略對(duì)所述流向所述目的地IP地址的流量進(jìn)行防護(hù)處理,具體為:根據(jù)所述接收模塊接收的所述丟棄響應(yīng)策略對(duì)所述流向所述目的地IP地址的流量進(jìn)行報(bào)文丟棄處理;所述本地清洗響應(yīng)策略用于指示所述處理模塊在本地對(duì)所述流向所述目的地IP地址的流量進(jìn)行清洗處理;則所述處理模塊根據(jù)所述DDoS防護(hù)策略對(duì)所述流向所述目的地IP地址的流量進(jìn)行防護(hù)處理,具體為:根據(jù)所述接收模塊接收的所述本地清洗響應(yīng)策略在本地對(duì)所述流向所述目的地IP地址的流量進(jìn)行清洗處理;所述動(dòng)態(tài)引流清洗響應(yīng)策略用于指示所述處理模塊將所述流向所述目的地IP地址的流量發(fā)送到清洗設(shè)備上進(jìn)行清洗處理;則所述處理模塊根據(jù)所述DDoS防護(hù)策略對(duì)所述流向所述目的地IP地址的流量進(jìn)行防護(hù)處理,具體為:根據(jù)所述接收模塊接收的所述動(dòng)態(tài)引流清洗響應(yīng)策略指示所述發(fā)送模塊將所述流向所述目的地IP地址的流量發(fā)送到所述清洗設(shè)備上進(jìn)行清洗處理。結(jié)合第四個(gè)方面的第四種可能的實(shí)現(xiàn)方式,在第四個(gè)方面的第五種可能的實(shí)現(xiàn)方式中,所述統(tǒng)計(jì)數(shù)據(jù)還包含:所述第一報(bào)文轉(zhuǎn)發(fā)設(shè)備的負(fù)載值;所述動(dòng)態(tài)引流清洗響應(yīng)策略包含第一引流路徑指示信息,所述第一引流路徑指示信息用于指示將所述流向所述目的地IP地址的流量通過所述第一引流路徑 發(fā)送到所述清洗設(shè)備上進(jìn)行清洗處理;所述第一引流路徑為所述報(bào)文轉(zhuǎn)發(fā)設(shè)備至所述清洗設(shè)備之間負(fù)載最小的路徑;所述第一引流路徑包含所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備和所述清洗設(shè)備;則所述處理模塊根據(jù)所述接收模塊接收的所述動(dòng)態(tài)引流清洗響應(yīng)策略指示所述發(fā)送模塊將所述流向所述目的地IP地址的流量發(fā)送到所述清洗設(shè)備上進(jìn)行清洗處理,具體為:根據(jù)所述接收模塊接收的所述動(dòng)態(tài)引流清洗響應(yīng)策略,指示所述發(fā)送模塊將所述流向所述目的地IP地址的流量通過所述第一引流路徑發(fā)送到所述清洗設(shè)備上進(jìn)行清洗處理。結(jié)合第四個(gè)方面的第四種可能的實(shí)現(xiàn)方式,在第四個(gè)方面的第六種可能的實(shí)現(xiàn)方式中,所述動(dòng)態(tài)引流清洗響應(yīng)策略包含第二引流路徑指示信息,所述第二引流路徑指示信息用于指示將所述流向所述目的地IP地址的流量通過所述第二引流路徑發(fā)送到所述清洗設(shè)備上進(jìn)行清洗處理;所述第二引流路徑為所述報(bào)文轉(zhuǎn)發(fā)設(shè)備至所述清洗設(shè)備之間距離最近的路徑;則所述處理模塊根據(jù)所述接收模塊接收的所述動(dòng)態(tài)引流清洗響應(yīng)策略指示所述發(fā)送模塊將所述流向所述目的地IP地址的流量發(fā)送到所述清洗設(shè)備上進(jìn)行清洗處理,具體為:根據(jù)所述接收模塊接收的所述動(dòng)態(tài)引流清洗響應(yīng)策略,指示所述發(fā)送模塊將所述流向所述目的地IP地址的流量通過所述第二引流路徑發(fā)送到所述清洗設(shè)備上進(jìn)行清洗處理。本發(fā)明的第五個(gè)方面是提供一種SDN系統(tǒng),包括:控制器、第一報(bào)文轉(zhuǎn)發(fā)設(shè)備和第二報(bào)文轉(zhuǎn)發(fā)設(shè)備;其中,所述控制器,用于:向所述第一報(bào)文轉(zhuǎn)發(fā)設(shè)備下發(fā)流量統(tǒng)計(jì)指令,所述流量統(tǒng)計(jì)指令用于指示所述第一報(bào)文轉(zhuǎn)發(fā)設(shè)備進(jìn)行流量統(tǒng)計(jì);所述流量統(tǒng)計(jì)指令攜帶目的地IP地址;收集所述第一報(bào)文轉(zhuǎn)發(fā)設(shè)備根據(jù)所述流量統(tǒng)計(jì)指令上報(bào)的統(tǒng)計(jì)數(shù)據(jù),所述統(tǒng)計(jì)數(shù)據(jù)包含流向所述目的地IP地址的流量統(tǒng)計(jì)信息;根據(jù)所述統(tǒng)計(jì)數(shù)據(jù),獲得流向所述目的地IP地址的全局流量統(tǒng)計(jì)值;其中,所述全局流量統(tǒng)計(jì)值表示所述控制器對(duì)包括所述第一報(bào)文轉(zhuǎn)發(fā)設(shè) 備在內(nèi)的至少兩個(gè)報(bào)文轉(zhuǎn)發(fā)設(shè)備上報(bào)的統(tǒng)計(jì)數(shù)據(jù)進(jìn)行匯總后,獲得的用于反映所述SDN范圍內(nèi)流向所述目的地IP地址的流量的統(tǒng)計(jì)值;判斷所述全局流量統(tǒng)計(jì)值是否超過預(yù)定閾值,基于所述全局流量統(tǒng)計(jì)值超過預(yù)定閾值的判斷結(jié)果,向所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備下發(fā)DDoS防護(hù)策略;所述第一報(bào)文轉(zhuǎn)發(fā)設(shè)備,用于:接收所述控制器發(fā)送的所述流量統(tǒng)計(jì)指令;根據(jù)所述流量統(tǒng)計(jì)指令統(tǒng)計(jì)所述流向所述目的地IP地址的流量統(tǒng)計(jì)信息;向所述控制器上報(bào)所述統(tǒng)計(jì)數(shù)據(jù);所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備,用于:接收所述控制器發(fā)送的所述DDoS防護(hù)策略;根據(jù)所述DDoS防護(hù)策略對(duì)所述流向所述目的地IP地址的流量進(jìn)行防護(hù)處理。結(jié)合第五個(gè)方面,在第五個(gè)方面的第一種可能的實(shí)現(xiàn)方式中,所述流量統(tǒng)計(jì)指令還攜帶:檢測(cè)起始時(shí)刻;其中,所述檢測(cè)起始時(shí)刻用于告知所述第一報(bào)文轉(zhuǎn)發(fā)設(shè)備進(jìn)行所述流量統(tǒng)計(jì)的起始時(shí)刻,所述流量統(tǒng)計(jì)被所述第一報(bào)文轉(zhuǎn)發(fā)設(shè)備以檢測(cè)周期的方式持續(xù)執(zhí)行,所述統(tǒng)計(jì)數(shù)據(jù)被所述第一報(bào)文轉(zhuǎn)發(fā)設(shè)備以所述檢測(cè)周期上報(bào)給所述控制器。結(jié)合第五個(gè)方面的第一種可能的實(shí)現(xiàn)方式,在第五個(gè)方面的第二種可能的實(shí)現(xiàn)方式中,所述控制器,還用于:確定在至少兩個(gè)連續(xù)的檢測(cè)周期內(nèi)所述全局流量統(tǒng)計(jì)值未超過所述預(yù)定閾值;向所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備下發(fā)防護(hù)消除指示消息;所述防護(hù)消除指示消息用于指示所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備結(jié)束執(zhí)行所述DDoS防護(hù)策略;所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備,還用于:接收所述防護(hù)消除指示消息;結(jié)束執(zhí)行所述DDoS防護(hù)策略。結(jié)合第五個(gè)方面或第五個(gè)方面的上述任意一種可能的實(shí)現(xiàn)方式,在第五 個(gè)方面的第三種可能的實(shí)現(xiàn)方式中,所述控制器,在所述向所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備下發(fā)DDoS防護(hù)策略之前,還用于:根據(jù)所述統(tǒng)計(jì)數(shù)據(jù),確定攻擊路徑上距離攻擊源最近的報(bào)文轉(zhuǎn)發(fā)設(shè)備,將所述距離攻擊源最近的報(bào)文轉(zhuǎn)發(fā)設(shè)備作為所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備。結(jié)合第五個(gè)方面的第三種可能的實(shí)現(xiàn)方式,在第五個(gè)方面的第四種可能的實(shí)現(xiàn)方式中,所述流向所述目的地IP地址的流量統(tǒng)計(jì)信息,包括:所述第一報(bào)文轉(zhuǎn)發(fā)設(shè)備上流向所述目的地IP地址的流量值;所述控制器根據(jù)所述統(tǒng)計(jì)數(shù)據(jù),確定攻擊路徑上距離攻擊源最近的報(bào)文轉(zhuǎn)發(fā)設(shè)備,具體為:根據(jù)所述第一報(bào)文轉(zhuǎn)發(fā)設(shè)備上流向所述目的地IP地址的流量值,確定第一攻擊路徑;所述第一攻擊路徑為流向所述目的地IP地址的至少一條攻擊路徑中流量值最大的攻擊路徑;根據(jù)所述第一攻擊路徑,確定所述距離攻擊源最近的報(bào)文轉(zhuǎn)發(fā)設(shè)備;所述距離攻擊源最近的報(bào)文轉(zhuǎn)發(fā)設(shè)備位于所述第一攻擊路徑上的、所述流向所述目的地IP地址的流量的源地址側(cè)的SDN邊界處。結(jié)合第五個(gè)方面或第五個(gè)方面的上述任意一種可能的實(shí)現(xiàn)方式,在第五個(gè)方面的第五種可能的實(shí)現(xiàn)方式中,所述DDoS防護(hù)策略包含如下任意一種響應(yīng)策略:黑洞路由響應(yīng)策略、限流響應(yīng)策略、限速響應(yīng)策略、丟棄響應(yīng)策略、本地清洗響應(yīng)策略、動(dòng)態(tài)引流清洗響應(yīng)策略;其中,所述黑洞路由響應(yīng)策略用于指示所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備通過配置黑洞路由對(duì)流向所述目的地IP地址的流量進(jìn)行報(bào)文丟棄處理;則所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備根據(jù)所述DDoS防護(hù)策略對(duì)流向所述目的地IP地址的流量進(jìn)行防護(hù)處理,具體為:根據(jù)所述黑洞路由響應(yīng)策略采用黑洞路由對(duì)流向所述目的地IP地址的流量進(jìn)行報(bào)文丟棄處理;所述限流響應(yīng)策略用于指示所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備對(duì)流向所述目的地IP地址的流量進(jìn)行限流處理;則所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備根據(jù)所述DDoS防護(hù)策略對(duì)流向所述目的地IP地址的流量進(jìn)行防護(hù)處理,具體為:根據(jù)所述限流響應(yīng)策略對(duì)流向所述目的地IP地址的流量進(jìn)行限流處理;所述限速響應(yīng)策略用于指示所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備對(duì)流向所述目的地IP地址的流量進(jìn)行限速處理;則所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備根據(jù)所述DDoS防護(hù)策略對(duì)流向所述目的地IP地址的流量進(jìn)行防護(hù)處理,具體為:根據(jù)所述限速響應(yīng)策略對(duì)流向所述目的地IP地址的流量進(jìn)行限速處理;所述丟棄響應(yīng)策略用于指示所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備對(duì)流向所述目的地IP地址的流量進(jìn)行報(bào)文丟棄處理;則所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備根據(jù)所述DDoS防護(hù)策略對(duì)流向所述目的地IP地址的流量進(jìn)行防護(hù)處理,具體為:根據(jù)所述丟棄響應(yīng)策略對(duì)流向所述目的地IP地址的流量進(jìn)行報(bào)文丟棄處理;所述本地清洗響應(yīng)策略用于指示所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備在本地對(duì)流向所述目的地IP地址的流量進(jìn)行清洗處理;則所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備根據(jù)所述DDoS防護(hù)策略對(duì)流向所述目的地IP地址的流量進(jìn)行防護(hù)處理,具體為:根據(jù)所述本地清洗響應(yīng)策略對(duì)流向所述目的地IP地址的流量進(jìn)行清洗處理;所述動(dòng)態(tài)引流清洗響應(yīng)策略用于指示所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備將流向所述目的地IP地址的流量發(fā)送到清洗設(shè)備上進(jìn)行清洗處理;則所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備根據(jù)所述DDoS防護(hù)策略對(duì)流向所述目的地IP地址的流量進(jìn)行防護(hù)處理,具體為:根據(jù)所述動(dòng)態(tài)引流清洗響應(yīng)策略將流向所述目的地IP地址的流量發(fā)送到清洗設(shè)備上進(jìn)行清洗處理。結(jié)合第五個(gè)方面的第五種可能的實(shí)現(xiàn)方式,在第五個(gè)方面的第六種可能的實(shí)現(xiàn)方式中,所述統(tǒng)計(jì)數(shù)據(jù)還包含:所述第一報(bào)文轉(zhuǎn)發(fā)設(shè)備的負(fù)載值;所述控制器,在所述向所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備下發(fā)DDoS防護(hù)策略之前,還用于:根據(jù)所述第一報(bào)文轉(zhuǎn)發(fā)設(shè)備的負(fù)載值確定第一引流路徑,所述第一引流路徑為所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備至所述清洗設(shè)備之間負(fù)載最小的路徑;所述第一引流路徑包含所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備和所述清洗設(shè)備;向所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備下發(fā)的DDoS防護(hù)策略為所述動(dòng)態(tài)引流清洗響應(yīng)策略,所述動(dòng)態(tài)引流清洗響應(yīng)策略包含第一引流路徑指示信息,所述第一引流路徑指示信息用于指示所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備將所述流向所述目的地IP 地址的流量通過所述第一引流路徑發(fā)送到所述清洗設(shè)備上進(jìn)行清洗處理;所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備根據(jù)所述DDoS防護(hù)策略對(duì)流向所述目的地IP地址的流量進(jìn)行防護(hù)處理,具體為:將所述流向所述目的地IP地址的流量通過所述第一引流路徑發(fā)送到所述清洗設(shè)備上進(jìn)行清洗處理。結(jié)合第五個(gè)方面的第五種可能的實(shí)現(xiàn)方式,在第五個(gè)方面的第七種可能的實(shí)現(xiàn)方式中,所述控制器,在所述向所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備下發(fā)DDoS防護(hù)策略之前,還用于:根據(jù)SDN拓?fù)潢P(guān)系確定第二引流路徑,所述第二引流路徑為所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備至所述清洗設(shè)備之間距離最近的路徑,所述SDN拓?fù)潢P(guān)系包含所述SDN中各個(gè)報(bào)文轉(zhuǎn)發(fā)設(shè)備以及所述清洗設(shè)備的連接關(guān)系;向所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備下發(fā)DDoS防護(hù)策略為所述動(dòng)態(tài)引流清洗響應(yīng)策略,所述動(dòng)態(tài)引流清洗響應(yīng)策略包含第二引流路徑指示信息,所述第二引流路徑指示信息用于指示所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備將所述流向所述目的地IP地址的流量通過所述第二引流路徑發(fā)送到所述清洗設(shè)備上進(jìn)行清洗處理;所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備根據(jù)所述DDoS防護(hù)策略對(duì)流向所述目的地IP地址的流量進(jìn)行防護(hù)處理,具體為:將所述流向所述目的地IP地址的流量通過所述第二引流路徑發(fā)送到所述清洗設(shè)備上進(jìn)行清洗處理。本發(fā)明的第六個(gè)方面是提供一種控制器,包括:處理器、存儲(chǔ)器、收發(fā)器和總線;其中,所述收發(fā)器,包括:南向接口單元;所述南向接口單元,用于:向第一報(bào)文轉(zhuǎn)發(fā)設(shè)備下發(fā)流量統(tǒng)計(jì)指令,所述流量統(tǒng)計(jì)指令用于指示所述第一報(bào)文轉(zhuǎn)發(fā)設(shè)備進(jìn)行流量統(tǒng)計(jì);其中,所述流量統(tǒng)計(jì)指令攜帶目的地IP地址;收集所述第一報(bào)文轉(zhuǎn)發(fā)設(shè)備根據(jù)所述流量統(tǒng)計(jì)指令上報(bào)的統(tǒng)計(jì)數(shù)據(jù),所述統(tǒng)計(jì)數(shù)據(jù)包含流向所述目的地IP地址的流量統(tǒng)計(jì)信息;處理器,用于:根據(jù)所述接收模塊接收到的所述統(tǒng)計(jì)數(shù)據(jù),獲得流向所述目的地IP地址 的所述全局流量統(tǒng)計(jì)值;其中,所述全局流量統(tǒng)計(jì)值表示所述控制器對(duì)包括所述第一報(bào)文轉(zhuǎn)發(fā)設(shè)備在內(nèi)的至少兩個(gè)報(bào)文轉(zhuǎn)發(fā)設(shè)備上報(bào)的統(tǒng)計(jì)數(shù)據(jù)進(jìn)行匯總后,獲得的用于反映所述SDN范圍內(nèi)流向所述目的地IP地址的流量的統(tǒng)計(jì)值;判斷所述全局流量統(tǒng)計(jì)值是否超過預(yù)定閾值;所述南向接口單元,還用于基于處理器確定的全局流量統(tǒng)計(jì)值超過預(yù)定閾值的判斷結(jié)果,向第二報(bào)文轉(zhuǎn)發(fā)設(shè)備下發(fā)DDoS防護(hù)策略;所述存儲(chǔ)器,用于存儲(chǔ)所述統(tǒng)計(jì)數(shù)據(jù)、所述DDoS防護(hù)策略。結(jié)合第六個(gè)方面,在第六個(gè)方面的第一種可能的實(shí)現(xiàn)方式中,所述流量統(tǒng)計(jì)指令還攜帶:檢測(cè)起始時(shí)刻;其中,所述檢測(cè)起始時(shí)刻用于告知所述第一報(bào)文轉(zhuǎn)發(fā)設(shè)備進(jìn)行所述流量統(tǒng)計(jì)的起始時(shí)刻,所述流量統(tǒng)計(jì)被所述第一報(bào)文轉(zhuǎn)發(fā)設(shè)備以檢測(cè)周期的方式持續(xù)執(zhí)行,所述統(tǒng)計(jì)數(shù)據(jù)被所述第一報(bào)文轉(zhuǎn)發(fā)設(shè)備以所述檢測(cè)周期上報(bào)給所述控制器;所述處理器,還用于:確定在至少兩個(gè)檢測(cè)周期內(nèi)所述全局流量統(tǒng)計(jì)值未超過所述預(yù)定閾值;所述南向接口單元,還用于基于所述處理器確定的至少兩個(gè)連續(xù)的檢測(cè)周期內(nèi)所述全局流量統(tǒng)計(jì)值未超過所述預(yù)定閾值的結(jié)果,向所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備下發(fā)防護(hù)消除指示消息;所述防護(hù)消除指示消息用于指示所述報(bào)文轉(zhuǎn)發(fā)設(shè)備結(jié)束執(zhí)行所述DDoS防護(hù)策略。結(jié)合第六個(gè)方面或第六個(gè)方面的第一種可能的實(shí)現(xiàn)方式,在第六個(gè)方面的第二種可能的實(shí)現(xiàn)方式中,所述處理器在所述南向接口單元向所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備下發(fā)DDoS防護(hù)策略之前,還用于:根據(jù)所述南向接口單元接收的所述統(tǒng)計(jì)數(shù)據(jù),確定攻擊路徑上距離攻擊源最近的報(bào)文轉(zhuǎn)發(fā)設(shè)備,將所述距離攻擊源最近的報(bào)文轉(zhuǎn)發(fā)設(shè)備作為所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備。所述南向接口單元,還用于向所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備下發(fā)DDoS防護(hù)策略。結(jié)合第六個(gè)方面的第二種可能的實(shí)現(xiàn)方式,在第六個(gè)方面的第三種可能 的實(shí)現(xiàn)方式中,所述流向所述目的地IP地址的流量統(tǒng)計(jì)信息,包括:所述第一報(bào)文轉(zhuǎn)發(fā)設(shè)備上流向所述目的地IP地址的流量值;所述處理器,根據(jù)所述南向接口單元接收的所述統(tǒng)計(jì)數(shù)據(jù),確定攻擊路徑上距離攻擊源最近的報(bào)文轉(zhuǎn)發(fā)設(shè)備,具體為:根據(jù)所述南向接口單元接收的所述第一報(bào)文轉(zhuǎn)發(fā)設(shè)備上流向所述目的地IP地址的流量值,確定第一攻擊路徑;所述第一攻擊路徑為流向所述目的地IP地址的至少一條攻擊路徑中流量值最大的攻擊路徑;根據(jù)所述第一攻擊路徑,確定所述距離攻擊源最近的報(bào)文轉(zhuǎn)發(fā)設(shè)備;所述距離攻擊源最近的報(bào)文轉(zhuǎn)發(fā)設(shè)備位于所述第一攻擊路徑上的、所述流向所述目的地IP地址的流量的源地址側(cè)的SDN邊界處。結(jié)合第六個(gè)方面或第六個(gè)方面的上述任意一種可能的實(shí)現(xiàn)方式,在第六個(gè)方面的第四種可能的實(shí)現(xiàn)方式中,所述DDoS防護(hù)策略包含如下任意一種響應(yīng)策略:黑洞路由響應(yīng)策略、限流響應(yīng)策略、限速響應(yīng)策略、丟棄響應(yīng)策略、本地清洗響應(yīng)策略、動(dòng)態(tài)引流清洗響應(yīng)策略;其中,所述黑洞路由響應(yīng)策略用于指示所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備通過配置黑洞路由對(duì)流向所述目的地IP地址的流量進(jìn)行報(bào)文丟棄處理;所述限流響應(yīng)策略用于指示所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備對(duì)流向所述目的地IP地址的流量進(jìn)行限流處理;所述限速響應(yīng)策略用于指示所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備對(duì)流向所述目的地IP地址的流量進(jìn)行限速處理;所述丟棄響應(yīng)策略用于指示所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備對(duì)流向所述目的地IP地址的流量進(jìn)行報(bào)文丟棄處理;所述本地清洗響應(yīng)策略用于指示所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備在本地對(duì)流向所述目的地IP地址的流量進(jìn)行清洗處理;所述動(dòng)態(tài)引流清洗響應(yīng)策略用于指示所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備將流向所述目的地IP地址的流量發(fā)送到清洗設(shè)備上進(jìn)行清洗處理。結(jié)合第六個(gè)方面的第四種可能的實(shí)現(xiàn)方式,在第六個(gè)方面的第五種可能的實(shí)現(xiàn)方式中,所述統(tǒng)計(jì)數(shù)據(jù)還包含:所述第一報(bào)文轉(zhuǎn)發(fā)設(shè)備的負(fù)載值;所述處理器,在所述南向接口單元向所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備下發(fā)DDoS 防護(hù)策略之前,還用于:根據(jù)所述第一報(bào)文轉(zhuǎn)發(fā)設(shè)備的負(fù)載值確定第一引流路徑;其中,所述第一引流路徑為所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備至所述清洗設(shè)備之間負(fù)載最小的路徑;所述第一引流路徑包含所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備和所述清洗設(shè)備;則所述南向接口單元根據(jù)所述處理器確定的所述第一引流路徑,向所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備下發(fā)的DDoS防護(hù)策略為動(dòng)態(tài)引流清洗響應(yīng)策略,所述動(dòng)態(tài)引流清洗響應(yīng)策略包含第一引流路徑指示信息,所述第一引流路徑指示信息用于指示所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備將所述流向所述目的地IP地址的流量通過所述第一引流路徑發(fā)送到所述清洗設(shè)備上進(jìn)行清洗處理。結(jié)合第六個(gè)方面的第四種可能的實(shí)現(xiàn)方式,在第六個(gè)方面的第六種可能的實(shí)現(xiàn)方式中,所述處理器,在所述南向接口單元向所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備下發(fā)DDoS防護(hù)策略之前,還用于:根據(jù)SDN拓?fù)潢P(guān)系確定第二引流路徑,所述第二引流路徑為所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備至所述清洗設(shè)備之間距離最近的路徑,所述SDN拓?fù)潢P(guān)系包含所述SDN中各個(gè)報(bào)文轉(zhuǎn)發(fā)設(shè)備以及所述清洗設(shè)備的連接關(guān)系;則所述南向接口單元根據(jù)所述處理器確定的所述第二引流路徑,向所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備下發(fā)DDoS防護(hù)策略為動(dòng)態(tài)引流清洗響應(yīng)策略,所述動(dòng)態(tài)引流清洗響應(yīng)策略包含第二引流路徑指示信息,所述第二引流路徑指示信息用于指示所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備將所述流向所述目的地IP地址的流量通過所述第二引流路徑發(fā)送到所述清洗設(shè)備上進(jìn)行清洗處理。本發(fā)明的第七個(gè)方面是提供一種報(bào)文轉(zhuǎn)發(fā)設(shè)備,所述報(bào)文轉(zhuǎn)發(fā)設(shè)備應(yīng)用于SDN系統(tǒng)中,所述SDN系統(tǒng)包括控制器和所述報(bào)文轉(zhuǎn)發(fā)設(shè)備,所述報(bào)文轉(zhuǎn)發(fā)設(shè)備,包括:處理器、存儲(chǔ)器、收發(fā)器和總線;其中,所述收發(fā)器,包括:北向接口單元;所述北向接口單元,用于接收所述控制器發(fā)送的流量統(tǒng)計(jì)指令,所述流量統(tǒng)計(jì)指令用于指示處理模塊進(jìn)行流量統(tǒng)計(jì);其中,所述流量統(tǒng)計(jì)指令攜帶目的地IP地址;所述處理器,用于根據(jù)所述北向接口單元接收的所述流量統(tǒng)計(jì)指令統(tǒng)計(jì)流向所述目的地IP地址的流量統(tǒng)計(jì)信息;所述北向接口單元,還用于根據(jù)所述處理器統(tǒng)計(jì)的所述流向所述目的地IP地址的流量統(tǒng)計(jì)信息,向所述控制器上報(bào)統(tǒng)計(jì)數(shù)據(jù),所述統(tǒng)計(jì)數(shù)據(jù)包含所述流向所述目的地IP地址的流量統(tǒng)計(jì)信息;所述存儲(chǔ)器,用于存儲(chǔ)所述流量統(tǒng)計(jì)指令和所述流向所述目的地IP地址的流量統(tǒng)計(jì)信息。結(jié)合第七個(gè)方面,在第七個(gè)方面的第一種可能的實(shí)現(xiàn)方式中,所述流量統(tǒng)計(jì)指令還攜帶:檢測(cè)起始時(shí)刻;其中,所述檢測(cè)起始時(shí)刻用于告知所述處理器進(jìn)行所述流量統(tǒng)計(jì)的起始時(shí)刻,以檢測(cè)周期的方式持續(xù)進(jìn)行所述流量統(tǒng)計(jì),以所述檢測(cè)周期上報(bào)所述統(tǒng)計(jì)數(shù)據(jù)給所述控制器。結(jié)合第七個(gè)方面或第七個(gè)方面的第一種可能的實(shí)現(xiàn)方式,在第二種可能的實(shí)現(xiàn)方式中,所述北向接口單元,在向所述控制器上報(bào)統(tǒng)計(jì)數(shù)據(jù)之后,還用于接收所述控制器發(fā)送的DDoS防護(hù)策略;所述處理器,還用于根據(jù)所述北向接口單元接收的所述DDoS防護(hù)策略,對(duì)所述流向所述目的地IP地址的流量進(jìn)行防護(hù)處理。結(jié)合第七個(gè)方面的第二種可能的實(shí)現(xiàn)方式,在第七個(gè)方面的第三種可能的實(shí)現(xiàn)方式中,所述北向接口單元,在接收所述控制器發(fā)送的DDoS防護(hù)策略之后,還用于:接收所述控制器發(fā)送的防護(hù)消除指示消息;所述防護(hù)消除指示消息用于指示所述處理器結(jié)束執(zhí)行所述DDoS防護(hù)策略;所述處理器,還用于根據(jù)所述北向接口單元接收的所述防護(hù)消除指示消息停止對(duì)所述流向所述目的地IP地址的流量進(jìn)行防護(hù)處理。結(jié)合第七個(gè)方面的第一種可能的實(shí)現(xiàn)方式或第七個(gè)方面的第二種可能的實(shí)現(xiàn)方式,在第七個(gè)方面的第四種可能的實(shí)現(xiàn)方式中,所述DDoS防護(hù)策略包含如下任意一種響應(yīng)策略:黑洞路由響應(yīng)策略、限流響應(yīng)策略、限速響應(yīng)策略、丟棄響應(yīng)策略、本地清洗響應(yīng)策略、動(dòng)態(tài)引流清洗響應(yīng)策略;其中,所述黑洞路由響應(yīng)策略用于指示所述處理器通過配置黑洞路由對(duì)所述流向所述目的地IP地址的流量進(jìn)行報(bào)文丟棄處理;則所述處理器根據(jù)所述DDoS防護(hù)策略對(duì)所述流向所述目的地IP地址的 流量進(jìn)行防護(hù)處理,具體為:根據(jù)所述北向接口單元接收的所述黑洞路由響應(yīng)策略采用黑洞路由對(duì)所述流向所述目的地IP地址的流量進(jìn)行報(bào)文丟棄處理;所述限流響應(yīng)策略用于指示所述處理器對(duì)所述流向所述目的地IP地址的流量進(jìn)行限流處理;則所述處理器根據(jù)所述DDoS防護(hù)策略對(duì)所述流向所述目的地IP地址的流量進(jìn)行防護(hù)處理,具體為:根據(jù)所述北向接口單元接收的所述限流響應(yīng)策略對(duì)所述流向所述目的地IP地址的流量進(jìn)行限流處理;所述限速響應(yīng)策略用于指示所述處理器對(duì)所述流向所述目的地IP地址的流量進(jìn)行限速處理;則所述處理器根據(jù)所述DDoS防護(hù)策略對(duì)所述流向所述目的地IP地址的流量進(jìn)行防護(hù)處理,具體為:根據(jù)所述北向接口單元接收的所述限速響應(yīng)策略對(duì)所述流向所述目的地IP地址的流量進(jìn)行限速處理;所述丟棄響應(yīng)策略用于指示所述處理器對(duì)所述流向所述目的地IP地址的流量進(jìn)行報(bào)文丟棄處理;則所述處理器根據(jù)所述DDoS防護(hù)策略對(duì)所述流向所述目的地IP地址的流量進(jìn)行防護(hù)處理,具體為:根據(jù)所述北向接口單元接收的所述丟棄響應(yīng)策略對(duì)所述流向所述目的地IP地址的流量進(jìn)行報(bào)文丟棄處理;所述本地清洗響應(yīng)策略用于指示所述處理器在本地對(duì)所述流向所述目的地IP地址的流量進(jìn)行清洗處理;則所述處理器根據(jù)所述DDoS防護(hù)策略對(duì)所述流向所述目的地IP地址的流量進(jìn)行防護(hù)處理,具體為:根據(jù)所述北向接口單元接收的所述本地清洗響應(yīng)策略在本地對(duì)所述流向所述目的地IP地址的流量進(jìn)行清洗處理;所述動(dòng)態(tài)引流清洗響應(yīng)策略用于指示所述處理器將所述流向所述目的地IP地址的流量發(fā)送到清洗設(shè)備上進(jìn)行清洗處理;則所述處理器根據(jù)所述DDoS防護(hù)策略對(duì)所述流向所述目的地IP地址的流量進(jìn)行防護(hù)處理,具體為:根據(jù)所述北向接口單元接收的所述動(dòng)態(tài)引流清洗響應(yīng)策略指示所述北向接口單元將所述流向所述目的地IP地址的流量發(fā)送到所述清洗設(shè)備上進(jìn)行清洗處理。結(jié)合第七個(gè)方面的第四種可能的實(shí)現(xiàn)方式,在第七個(gè)方面的第五種可能 的實(shí)現(xiàn)方式中,所述統(tǒng)計(jì)數(shù)據(jù)還包含:所述第一報(bào)文轉(zhuǎn)發(fā)設(shè)備的負(fù)載值;所述動(dòng)態(tài)引流清洗響應(yīng)策略包含第一引流路徑指示信息,所述第一引流路徑指示信息用于指示將所述流向所述目的地IP地址的流量通過所述第一引流路徑發(fā)送到所述清洗設(shè)備上進(jìn)行清洗處理;所述第一引流路徑為所述報(bào)文轉(zhuǎn)發(fā)設(shè)備至所述清洗設(shè)備之間負(fù)載最小的路徑;所述第一引流路徑包含所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備和所述清洗設(shè)備;則所述處理器根據(jù)所述北向接口單元接收的所述動(dòng)態(tài)引流清洗響應(yīng)策略指示所述北向接口單元將所述流向所述目的地IP地址的流量發(fā)送到所述清洗設(shè)備上進(jìn)行清洗處理,具體為:根據(jù)所述北向接口單元接收的所述動(dòng)態(tài)引流清洗響應(yīng)策略,指示所述北向接口單元將所述流向所述目的地IP地址的流量通過所述第一引流路徑發(fā)送到所述清洗設(shè)備上進(jìn)行清洗處理。結(jié)合第七個(gè)方面的第四種可能的實(shí)現(xiàn)方式,在第七個(gè)方面的第六種可能的實(shí)現(xiàn)方式中,所述動(dòng)態(tài)引流清洗響應(yīng)策略包含第二引流路徑指示信息,所述第二引流路徑指示信息用于指示將所述流向所述目的地IP地址的流量通過所述第二引流路徑發(fā)送到所述清洗設(shè)備上進(jìn)行清洗處理;所述第二引流路徑為所述報(bào)文轉(zhuǎn)發(fā)設(shè)備至所述清洗設(shè)備之間距離最近的路徑;則所述處理器根據(jù)所述北向接口單元接收的所述動(dòng)態(tài)引流清洗響應(yīng)策略指示所述北向接口單元將所述流向所述目的地IP地址的流量發(fā)送到所述清洗設(shè)備上進(jìn)行清洗處理,具體為:根據(jù)所述北向接口單元接收的所述動(dòng)態(tài)引流清洗響應(yīng)策略,指示所述北向接口單元將所述流向所述目的地IP地址的流量通過所述第二引流路徑發(fā)送到所述清洗設(shè)備上進(jìn)行清洗處理。本發(fā)明實(shí)施例提供的基于SDN的DDOS攻擊防護(hù)方法、裝置及系統(tǒng),通過控制器向所述第一報(bào)文轉(zhuǎn)發(fā)設(shè)備下發(fā)流量統(tǒng)計(jì)指令,所述流量統(tǒng)計(jì)指令用于指示所述第一報(bào)文轉(zhuǎn)發(fā)設(shè)備進(jìn)行流量統(tǒng)計(jì);所述流量統(tǒng)計(jì)指令攜帶目的地IP地址;控制器收集所述第一報(bào)文轉(zhuǎn)發(fā)設(shè)備根據(jù)所述流量統(tǒng)計(jì)指令上報(bào)的統(tǒng)計(jì)數(shù)據(jù),所述統(tǒng)計(jì)數(shù)據(jù)包含流向所述目的地IP地址的流量統(tǒng)計(jì)信息;控制器根據(jù)所述統(tǒng)計(jì)數(shù)據(jù),獲得流向所述目的地IP地址的全局流量統(tǒng)計(jì)值;并判斷所述全局流量統(tǒng)計(jì)值是否超過預(yù)定閾值,基于所述全局流量統(tǒng)計(jì)值超過預(yù) 定閾值的判斷結(jié)果,向所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備下發(fā)DDoS防護(hù)策略;相應(yīng)的,所述第一報(bào)文轉(zhuǎn)發(fā)設(shè)備接收所述控制器發(fā)送的所述流量統(tǒng)計(jì)指令;并根據(jù)所述流量統(tǒng)計(jì)指令統(tǒng)計(jì)所述流向所述目的地IP地址的流量統(tǒng)計(jì)信息;最終向所述控制器上報(bào)所述統(tǒng)計(jì)數(shù)據(jù);相應(yīng)的,所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備,接收所述控制器發(fā)送的所述DDoS防護(hù)策略;根據(jù)所述DDoS防護(hù)策略對(duì)所述流向所述目的地IP地址的流量進(jìn)行防護(hù)處理。降低了DDoS攻擊對(duì)網(wǎng)絡(luò)的影響范圍,提高了網(wǎng)絡(luò)安全性。附圖說明為了更清楚地說明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案,下面將對(duì)實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖做一簡(jiǎn)單地介紹,顯而易見地,下面描述中的附圖是本發(fā)明的一些實(shí)施例,對(duì)于本領(lǐng)域普通技術(shù)人員來(lái)講,在不付出創(chuàng)造性勞動(dòng)性的前提下,還可以根據(jù)這些附圖獲得其他的附圖。圖1為DDoS攻擊的示意圖;圖2為本發(fā)明實(shí)施例提供的一種基于SDN網(wǎng)絡(luò)的DDoS攻擊防護(hù)系統(tǒng)部署示意圖;圖3為本發(fā)明實(shí)施例提供的一種SDN系統(tǒng)的部署示意圖;圖4為本發(fā)明實(shí)施例提供的一種控制器的結(jié)構(gòu)示意圖;圖5為本發(fā)明實(shí)施例提供的一種報(bào)文轉(zhuǎn)發(fā)設(shè)備的結(jié)構(gòu)示意圖;圖6為本發(fā)明實(shí)施例提供的一種獨(dú)立的調(diào)度設(shè)備的結(jié)構(gòu)示意圖;圖7為本發(fā)明實(shí)施例提供的一種控制器的結(jié)構(gòu)示意圖;圖8為本發(fā)明實(shí)施例提供的另一種報(bào)文轉(zhuǎn)發(fā)設(shè)備的結(jié)構(gòu)示意圖;圖9為本發(fā)明實(shí)施例提供的一種基于SDN的DDOS攻擊防護(hù)方法的流程示意圖;圖10為本發(fā)明實(shí)施例提供的另一種基于SDN的DDoS攻擊防護(hù)方法的流程示意圖;圖11為本發(fā)明實(shí)施例提供的另一種基于SDN的DDoS攻擊防護(hù)方法的流程示意圖;圖12為本發(fā)明實(shí)施例提供的另一種基于SDN的DDoS攻擊防護(hù)方法的流程示意圖;圖13為攻擊路徑及最近攻擊源頭判定示意圖;圖14為本發(fā)明實(shí)施例提供的另一種基于SDN的DDoS攻擊防護(hù)方法的流程示意圖圖15為本發(fā)明實(shí)施例提供的另一種基于SDN的DDoS攻擊防護(hù)方法的流程示意圖;圖16為本發(fā)明實(shí)施例提供的另一種基于SDN的DDoS攻擊防護(hù)方法的流程示意圖;圖17為本發(fā)明實(shí)施例提供的另一種基于SDN的DDoS攻擊防護(hù)方法的流程示意圖;圖18為本發(fā)明實(shí)施例提供的另一種基于SDN的DDoS攻擊防護(hù)方法的流程示意圖;圖19為本地清洗處理流程示意圖;圖20為本發(fā)明實(shí)施例提供的一種基于SDN的DDoS攻擊防護(hù)方法的交互流程示意圖;圖21為本發(fā)明實(shí)施例提供的另一種基于SDN網(wǎng)絡(luò)的DDoS攻擊防護(hù)方法的交互示意圖。具體實(shí)施方式為使本發(fā)明實(shí)施例的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚,下面將結(jié)合本發(fā)明實(shí)施例中的附圖,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述,顯然,所描述的實(shí)施例是本發(fā)明一部分實(shí)施例,而不是全部的實(shí)施例?;诒景l(fā)明中的實(shí)施例,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例,都屬于本發(fā)明保護(hù)的范圍。本發(fā)明提供了一種基于SDN的DDoS攻擊防護(hù)的技術(shù)方案。SDN中的控制器指示報(bào)文轉(zhuǎn)發(fā)設(shè)備進(jìn)行基于目的IP的流量統(tǒng)計(jì),通過控制器收集報(bào)文轉(zhuǎn)發(fā)設(shè)備的統(tǒng)計(jì)數(shù)據(jù),并判定是否發(fā)生網(wǎng)絡(luò)攻擊;若判斷發(fā)生攻擊,本方案提供多種可能的DDoS防護(hù)方式。例如,由于SDN支持網(wǎng)絡(luò)拓?fù)洹顟B(tài)的集中管理,控制器具有感知全局拓?fù)涞哪芰?,因此控制器能夠獲知哪些報(bào)文轉(zhuǎn)發(fā)設(shè)備用于與其他網(wǎng)絡(luò)連接,即獲知哪些報(bào)文轉(zhuǎn)發(fā)設(shè)備位于SDN的邊界;從而指示位于SDN邊界靠近攻擊源的報(bào)文轉(zhuǎn)發(fā)設(shè)備對(duì)攻擊流量進(jìn)行限流或丟 棄或阻斷,或者,控制器指示將疑似攻擊流量引流至專業(yè)的清洗設(shè)備,對(duì)該疑似攻擊流量進(jìn)行清洗,從而降低攻擊流量在對(duì)網(wǎng)絡(luò)影響。圖2為本發(fā)明實(shí)施例提供的一種基于SDN網(wǎng)絡(luò)的DDoS攻擊防護(hù)系統(tǒng)部署示意圖。參照?qǐng)D2,該系統(tǒng)包括:報(bào)文轉(zhuǎn)發(fā)設(shè)備、控制器、清洗設(shè)備。其中,控制器通過南向接口與報(bào)文轉(zhuǎn)發(fā)設(shè)備及清洗設(shè)備進(jìn)行通信,南向接口可以為OpenFlow協(xié)議、轉(zhuǎn)發(fā)件和控制件的分離(ForwardingandControlElementSeparation,簡(jiǎn)稱:ForCES)協(xié)議、路徑計(jì)算件(PathComputationElement-CommunicationProtocol,簡(jiǎn)稱:PCE-P)協(xié)議等??蛇x的,當(dāng)SDN中只有一個(gè)控制器時(shí),該控制器可以具有控制器調(diào)度功能,控制器調(diào)度功能用于對(duì)整個(gè)SDN中的報(bào)文轉(zhuǎn)發(fā)設(shè)備進(jìn)行管控與調(diào)度,包括鏈路發(fā)現(xiàn)、拓?fù)涔芾?、策略制定、表?xiàng)下發(fā)等功能?;蛘撸瑢?duì)于SDN中多個(gè)控制器組成的集群,可以將控制器調(diào)度功能單獨(dú)設(shè)置在一個(gè)獨(dú)立的調(diào)度設(shè)備上,例如在多個(gè)控制器中選舉一個(gè)控制器作為主控制器,該主控制器既可以作為該獨(dú)立的調(diào)度設(shè)備,由該主控制器通過東西向接口與各個(gè)控制器進(jìn)行通信。該主控制器主要負(fù)責(zé)生成和維護(hù)全網(wǎng)范圍內(nèi)副控制器、報(bào)文轉(zhuǎn)發(fā)設(shè)備及清洗設(shè)備的狀態(tài)信息,一旦出現(xiàn)失效,則從集群的其他副控制器中選舉一個(gè)成為新的主控制器。并且控制器的集群對(duì)報(bào)文轉(zhuǎn)發(fā)設(shè)備及清洗設(shè)備是透明的,即在SDN的運(yùn)行過程中,報(bào)文轉(zhuǎn)發(fā)設(shè)備及清洗設(shè)備無(wú)需關(guān)心其接收的是哪一臺(tái)控制器發(fā)來(lái)的命令,同時(shí)在其向控制器發(fā)送數(shù)據(jù)包時(shí),能保持之前單一控制器的操作方式,從而保證控制器在邏輯上的集中。目前,用于多個(gè)控制器以及調(diào)度設(shè)備之間溝通和聯(lián)系的東西向接口還未具有明確的定義標(biāo)準(zhǔn),通??梢岳矛F(xiàn)有成熟的集群技術(shù),例如服務(wù)器集群技術(shù),來(lái)實(shí)現(xiàn)東西向接口的通信。進(jìn)一步的,控制器可以裝載DDoS控制程序,控制器執(zhí)行DDoS控制程序以實(shí)現(xiàn)上述DDoS防護(hù)方案的相關(guān)配置,可選的,該DDoS控制程序還可以裝載在其他用戶設(shè)備上,用戶通過用戶設(shè)備的應(yīng)用調(diào)用DDoS控制程序,用戶設(shè)備執(zhí)行DDoS控制程序,并與控制器進(jìn)行交互,以實(shí)現(xiàn)上述DDOS防護(hù)方案的相關(guān)配置。其中,控制器與用戶設(shè)備通過控制器的北向接口進(jìn)行通信。需要說明的是,北向接口的協(xié)議制定基于不同的需求可以有多種方案。例如應(yīng)用編程接口(RESTApplicationProgrammingInterface,簡(jiǎn)稱:RESTAPI) 就是一種常用的北向接口形式。部分傳統(tǒng)的網(wǎng)絡(luò)設(shè)備廠商在其現(xiàn)有設(shè)備上提供了編程接口供業(yè)務(wù)應(yīng)用直接調(diào)用,也可被視作是北向接口,其目的是在不改變其現(xiàn)有設(shè)備架構(gòu)的條件下提升配置管理靈活性,應(yīng)對(duì)開放協(xié)議的競(jìng)爭(zhēng)。報(bào)文轉(zhuǎn)發(fā)設(shè)備可以是轉(zhuǎn)發(fā)器,也可以為傳統(tǒng)網(wǎng)絡(luò)中的交換機(jī)、路由器、防火墻等設(shè)備,該報(bào)文轉(zhuǎn)發(fā)設(shè)備具有流量監(jiān)測(cè)功能和清洗功能。其中,報(bào)文轉(zhuǎn)發(fā)設(shè)備的流量監(jiān)測(cè)功能用于基于控制器下發(fā)的流量統(tǒng)計(jì)指令對(duì)流經(jīng)該報(bào)文轉(zhuǎn)發(fā)設(shè)備的流量進(jìn)行監(jiān)控,該流量統(tǒng)計(jì)指令攜帶目的地IP地址,該目的地IP地址可以為需要保護(hù)的某個(gè)服務(wù)器的一個(gè)IP地址或一段IP地址段;而報(bào)文轉(zhuǎn)發(fā)設(shè)備的流量監(jiān)測(cè)功能會(huì)檢測(cè)流向所述目的地IP地址的流量統(tǒng)計(jì)信息,并將統(tǒng)計(jì)數(shù)據(jù)上報(bào)給控制器。報(bào)文轉(zhuǎn)發(fā)設(shè)備的清洗功能用于當(dāng)控制器下發(fā)攻擊防護(hù)策略時(shí),例如DDoS防護(hù)策略,基于攻擊防護(hù)策略對(duì)疑似攻擊流量進(jìn)行清洗處理,剔除其中可疑的攻擊流量。另外,基于不同的攻擊防護(hù)策略,報(bào)文轉(zhuǎn)發(fā)設(shè)備可以進(jìn)行流量的限流或丟棄或阻斷;或者,將疑似攻擊流量引流至清洗設(shè)備。需要說明的是,對(duì)于本發(fā)明實(shí)施例提供的方案,在網(wǎng)絡(luò)攻擊防護(hù)過程中,基于不同環(huán)節(jié)的不同功能,可以將報(bào)文轉(zhuǎn)發(fā)設(shè)備劃分成兩類:第一報(bào)文轉(zhuǎn)發(fā)設(shè)備和第二報(bào)文轉(zhuǎn)發(fā)設(shè)備。其中,第一報(bào)文轉(zhuǎn)發(fā)設(shè)備具有流量監(jiān)測(cè)功能,SDN系統(tǒng)的全部報(bào)文轉(zhuǎn)發(fā)設(shè)備都可以作為第一報(bào)文轉(zhuǎn)發(fā)設(shè)備;第二報(bào)文轉(zhuǎn)發(fā)設(shè)備具有清洗功能。例如,為了有效的對(duì)疑似攻擊流量進(jìn)行防護(hù)處理,控制器會(huì)指示位于SDN邊界靠近攻擊源的報(bào)文轉(zhuǎn)發(fā)設(shè)備對(duì)攻擊流量進(jìn)行防護(hù)處理,對(duì)于這種場(chǎng)景,位于SDN邊界靠近攻擊源的報(bào)文轉(zhuǎn)發(fā)設(shè)備即為上述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備;通常情況下,第二報(bào)文轉(zhuǎn)發(fā)設(shè)備也會(huì)具有流量監(jiān)測(cè)功能,即第一報(bào)文轉(zhuǎn)發(fā)設(shè)備和第二報(bào)文轉(zhuǎn)發(fā)設(shè)備可以為同一個(gè)實(shí)體設(shè)備,也可以為不同的實(shí)體設(shè)備。清洗設(shè)備,用于接收?qǐng)?bào)文轉(zhuǎn)發(fā)設(shè)備引流的疑似攻擊流量,并對(duì)該疑似攻擊流量進(jìn)行清洗,并將清洗后的流量回注到SDN中。需要說明的是,本發(fā)明實(shí)施例提供的引流方案與現(xiàn)有的引流方案相比,優(yōu)勢(shì)在于:由于SDN中控制器具有鏈路發(fā)現(xiàn)和拓?fù)涔芾淼墓δ?,因此,在采用引流方案時(shí),控制器可以根據(jù)SDN拓?fù)潢P(guān)系或統(tǒng)計(jì)數(shù)據(jù)配置第二報(bào)文轉(zhuǎn)發(fā) 設(shè)備采用對(duì)SDN網(wǎng)絡(luò)沖擊最小的路徑,將疑似攻擊流量引流至清洗設(shè)備。例如,選擇距離清洗設(shè)備最近的路徑進(jìn)行引流;或者,選擇負(fù)載較小的路徑進(jìn)行引流;從而降低了現(xiàn)有技術(shù)中由于引流而增加的攻擊影響。即,本發(fā)明提供的引流方案可以基于SDN的鏈路狀況隨時(shí)進(jìn)行動(dòng)態(tài)調(diào)整,故在下文中將這種方案對(duì)應(yīng)的策略命名為動(dòng)態(tài)引流清洗響應(yīng)策略。進(jìn)一步的,圖3為本發(fā)明實(shí)施例提供的一種SDN系統(tǒng)的部署示意圖,參照?qǐng)D3,該SDN系統(tǒng),包括:控制器、第一報(bào)文轉(zhuǎn)發(fā)設(shè)備和第二報(bào)文轉(zhuǎn)發(fā)設(shè)備;其中,所述控制器,用于:向所述第一報(bào)文轉(zhuǎn)發(fā)設(shè)備下發(fā)流量統(tǒng)計(jì)指令,所述流量統(tǒng)計(jì)指令用于指示所述第一報(bào)文轉(zhuǎn)發(fā)設(shè)備進(jìn)行流量統(tǒng)計(jì);所述流量統(tǒng)計(jì)指令攜帶目的地IP地址;收集所述第一報(bào)文轉(zhuǎn)發(fā)設(shè)備根據(jù)所述流量統(tǒng)計(jì)指令上報(bào)的統(tǒng)計(jì)數(shù)據(jù),所述統(tǒng)計(jì)數(shù)據(jù)包含流向所述目的地IP地址的流量統(tǒng)計(jì)信息;根據(jù)所述統(tǒng)計(jì)數(shù)據(jù),獲得流向所述目的地IP地址的全局流量統(tǒng)計(jì)值;其中,所述全局流量統(tǒng)計(jì)值表示所述控制器對(duì)包括所述第一報(bào)文轉(zhuǎn)發(fā)設(shè)備在內(nèi)的至少兩個(gè)報(bào)文轉(zhuǎn)發(fā)設(shè)備上報(bào)的統(tǒng)計(jì)數(shù)據(jù)進(jìn)行匯總后,獲得的用于反映所述SDN范圍內(nèi)流向所述目的地IP地址的流量的統(tǒng)計(jì)值;判斷所述全局流量統(tǒng)計(jì)值是否超過預(yù)定閾值,基于所述全局流量統(tǒng)計(jì)值超過預(yù)定閾值的判斷結(jié)果,向所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備下發(fā)DDoS防護(hù)策略;所述第一報(bào)文轉(zhuǎn)發(fā)設(shè)備,用于:接收所述控制器發(fā)送的所述流量統(tǒng)計(jì)指令;根據(jù)所述流量統(tǒng)計(jì)指令統(tǒng)計(jì)所述流向所述目的地IP地址的流量統(tǒng)計(jì)信息;向所述控制器上報(bào)所述統(tǒng)計(jì)數(shù)據(jù);所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備,用于:接收所述控制器發(fā)送的所述DDoS防護(hù)策略;根據(jù)所述DDoS防護(hù)策略對(duì)所述流向所述目的地IP地址的流量進(jìn)行防護(hù)處理。本發(fā)明實(shí)施例提供的SDN系統(tǒng),通過控制器向所述第一報(bào)文轉(zhuǎn)發(fā)設(shè)備下 發(fā)流量統(tǒng)計(jì)指令,所述流量統(tǒng)計(jì)指令用于指示所述第一報(bào)文轉(zhuǎn)發(fā)設(shè)備進(jìn)行流量統(tǒng)計(jì);所述流量統(tǒng)計(jì)指令攜帶目的地IP地址;控制器收集所述第一報(bào)文轉(zhuǎn)發(fā)設(shè)備根據(jù)所述流量統(tǒng)計(jì)指令上報(bào)的統(tǒng)計(jì)數(shù)據(jù),所述統(tǒng)計(jì)數(shù)據(jù)包含流向所述目的地IP地址的流量統(tǒng)計(jì)信息;控制器根據(jù)所述統(tǒng)計(jì)數(shù)據(jù),獲得流向所述目的地IP地址的全局流量統(tǒng)計(jì)值;并判斷所述全局流量統(tǒng)計(jì)值是否超過預(yù)定閾值,基于所述全局流量統(tǒng)計(jì)值超過預(yù)定閾值的判斷結(jié)果,向所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備下發(fā)DDoS防護(hù)策略;相應(yīng)的,所述第一報(bào)文轉(zhuǎn)發(fā)設(shè)備接收所述控制器發(fā)送的所述流量統(tǒng)計(jì)指令;并根據(jù)所述流量統(tǒng)計(jì)指令統(tǒng)計(jì)所述流向所述目的地IP地址的流量統(tǒng)計(jì)信息;最終向所述控制器上報(bào)所述統(tǒng)計(jì)數(shù)據(jù);相應(yīng)的,所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備,接收所述控制器發(fā)送的所述DDoS防護(hù)策略;根據(jù)所述DDoS防護(hù)策略對(duì)所述流向所述目的地IP地址的流量進(jìn)行防護(hù)處理。降低了DDoS攻擊對(duì)網(wǎng)絡(luò)的影響范圍,提高了網(wǎng)絡(luò)安全性。可選的,所述流量統(tǒng)計(jì)指令還攜帶:檢測(cè)起始時(shí)刻;其中,所述檢測(cè)起始時(shí)刻用于告知所述第一報(bào)文轉(zhuǎn)發(fā)設(shè)備進(jìn)行所述流量統(tǒng)計(jì)的起始時(shí)刻,所述流量統(tǒng)計(jì)被所述第一報(bào)文轉(zhuǎn)發(fā)設(shè)備以檢測(cè)周期的方式持續(xù)執(zhí)行,所述統(tǒng)計(jì)數(shù)據(jù)被所述第一報(bào)文轉(zhuǎn)發(fā)設(shè)備以所述檢測(cè)周期上報(bào)給所述控制器。進(jìn)一步的,控制器需要一種判斷網(wǎng)絡(luò)攻擊是否停止的機(jī)制,一種可能的實(shí)現(xiàn)方式為:確定在至少兩個(gè)連續(xù)的檢測(cè)周期內(nèi)所述全局流量統(tǒng)計(jì)值未超過所述預(yù)定閾值;向所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備下發(fā)防護(hù)消除指示消息;所述防護(hù)消除指示消息用于指示所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備結(jié)束執(zhí)行所述DDoS防護(hù)策略;所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備,還用于:接收所述防護(hù)消除指示消息;結(jié)束執(zhí)行所述DDoS防護(hù)策略。可選的,控制器還可以針對(duì)位于SDN邊界靠近攻擊源的報(bào)文轉(zhuǎn)發(fā)設(shè)備下發(fā)DDoS防護(hù)策略,一種可能的實(shí)現(xiàn)方式為:所述控制器,在所述向所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備下發(fā)DDoS防護(hù)策略之前, 還用于:根據(jù)所述統(tǒng)計(jì)數(shù)據(jù),確定攻擊路徑上距離攻擊源最近的報(bào)文轉(zhuǎn)發(fā)設(shè)備,將所述距離攻擊源最近的報(bào)文轉(zhuǎn)發(fā)設(shè)備作為所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備。具體的,所述流向所述目的地IP地址的流量統(tǒng)計(jì)信息,包括:所述第一報(bào)文轉(zhuǎn)發(fā)設(shè)備上流向所述目的地IP地址的流量值;所述控制器根據(jù)所述統(tǒng)計(jì)數(shù)據(jù),確定攻擊路徑上距離攻擊源最近的報(bào)文轉(zhuǎn)發(fā)設(shè)備,具體為:根據(jù)所述第一報(bào)文轉(zhuǎn)發(fā)設(shè)備上流向所述目的地IP地址的流量值,確定第一攻擊路徑;所述第一攻擊路徑為流向所述目的地IP地址的至少一條攻擊路徑中流量值最大的攻擊路徑;根據(jù)所述第一攻擊路徑,確定所述距離攻擊源最近的報(bào)文轉(zhuǎn)發(fā)設(shè)備;所述距離攻擊源最近的報(bào)文轉(zhuǎn)發(fā)設(shè)備位于所述第一攻擊路徑上的、所述流向所述目的地IP地址的流量的源地址側(cè)的SDN邊界處??蛇x的,所述DDoS防護(hù)策略包含如下任意一種響應(yīng)策略:黑洞路由響應(yīng)策略、限流響應(yīng)策略、限速響應(yīng)策略、丟棄響應(yīng)策略、本地清洗響應(yīng)策略、動(dòng)態(tài)引流清洗響應(yīng)策略;具體的,對(duì)上述響應(yīng)策略進(jìn)行說明。黑洞(blackhole)路由指報(bào)文轉(zhuǎn)發(fā)設(shè)備的訪問控制列表(AccessControlList,簡(jiǎn)稱:ACL)中的不指向任何下一跳的路由表項(xiàng)。與通常的路由表項(xiàng)類似,黑洞路由也包括匹配項(xiàng)和動(dòng)作。與黑洞路由的匹配項(xiàng)相匹配的報(bào)文將被指報(bào)文轉(zhuǎn)發(fā)設(shè)備丟棄,而不會(huì)被轉(zhuǎn)發(fā)至下一跳。黑洞路由中的動(dòng)作可以通過多種方式來(lái)實(shí)現(xiàn),例如路由設(shè)備將報(bào)文轉(zhuǎn)發(fā)至以0.0.0.0為例的非法IP地址、或回環(huán)地址,也可以通過null0接口來(lái)實(shí)現(xiàn)。該null0為路由設(shè)備上的一個(gè)邏輯接口,null0接口總是處于“上(Up)”狀態(tài),但不轉(zhuǎn)發(fā)任何報(bào)文。報(bào)文轉(zhuǎn)發(fā)設(shè)備將報(bào)文轉(zhuǎn)發(fā)至該報(bào)文轉(zhuǎn)發(fā)設(shè)備的null0接口,null0接口接收到報(bào)文后,將報(bào)文丟棄?;诤诙绰酚傻纳鲜鎏攸c(diǎn),當(dāng)發(fā)生網(wǎng)絡(luò)攻擊時(shí),控制器可以配置相應(yīng)的黑洞路由響應(yīng)策略,并將黑洞路由響應(yīng)策略下發(fā)給報(bào)文轉(zhuǎn)發(fā)設(shè)備,所述黑洞路由響應(yīng)策略用于指示所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備通過配置黑洞路由對(duì)流向所述目的地IP地址的流量進(jìn)行報(bào)文丟棄處理,從而實(shí)現(xiàn)DDoS攻擊防護(hù)。具體的,黑洞路由響應(yīng)策略可以包含:目的地IP地址、報(bào)文支持的協(xié)議類型等信息。則所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備根據(jù)所述DDoS防護(hù)策略對(duì)所述流向所述目的地IP地址的流量進(jìn)行防護(hù)處理,具體為:根據(jù)所述黑洞路由響應(yīng)策略采用黑洞路由對(duì)所述流向所述目的地IP地址的流量進(jìn)行報(bào)文丟棄處理;由于,第二報(bào)文轉(zhuǎn)發(fā)設(shè)備中設(shè)置黑洞路由可以實(shí)現(xiàn)對(duì)報(bào)文丟棄,并且無(wú)需指明丟棄的原因,可以化簡(jiǎn)處理攻擊流量的復(fù)雜度,提高處理效率。所述限流響應(yīng)策略用于指示所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備對(duì)所述流向所述目的地IP地址的流量進(jìn)行限流處理;具體的:第二報(bào)文轉(zhuǎn)發(fā)設(shè)備基于限流響應(yīng)策略對(duì)單位時(shí)間內(nèi)報(bào)文的收發(fā)帶寬進(jìn)行限制,比如每秒最多發(fā)送多少字節(jié)的報(bào)文。該限流響應(yīng)策略可以包含:目的地IP地址、報(bào)文支持的協(xié)議類型、報(bào)文的五元組信息等;報(bào)文轉(zhuǎn)發(fā)設(shè)備可以基于報(bào)文的五元組信息進(jìn)行上述限制,例如,針對(duì)傳輸控制協(xié)議(TransmissionControlProtocol,簡(jiǎn)稱:TCP)報(bào)文和/或用戶數(shù)據(jù)報(bào)協(xié)議(UserDatagramProtocol,簡(jiǎn)稱:UDP)報(bào)文進(jìn)行上述限制,針對(duì)特定的報(bào)文的源端口進(jìn)行上述限制,針對(duì)特定的報(bào)文的目的端口進(jìn)行上述限制,設(shè)置特定的速率上限對(duì)報(bào)文的傳輸速率進(jìn)行限制等。則所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備根據(jù)所述DDoS防護(hù)策略對(duì)所述流向所述目的地IP地址的流量進(jìn)行防護(hù)處理,具體為:根據(jù)所述限流響應(yīng)策略對(duì)所述流向所述目的地IP地址的流量進(jìn)行限流處理;所述限速響應(yīng)策略用于指示所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備對(duì)所述流向所述目的地IP地址的流量進(jìn)行限速處理;例如,第二報(bào)文轉(zhuǎn)發(fā)設(shè)備基于限速響應(yīng)策略設(shè)置收發(fā)帶寬的大小。則所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備根據(jù)所述DDoS防護(hù)策略對(duì)所述流向所述目的地IP地址的流量進(jìn)行防護(hù)處理,具體為:根據(jù)所述限速響應(yīng)策略對(duì)所述流向所述目的地IP地址的流量進(jìn)行限速處理;所述丟棄響應(yīng)策略用于指示所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備對(duì)所述流向所述目的地IP地址的流量進(jìn)行報(bào)文丟棄處理;具體的:第二報(bào)文轉(zhuǎn)發(fā)設(shè)備基于丟棄響應(yīng)策略對(duì)接收到的疑似網(wǎng)絡(luò)攻擊流量的報(bào)文或準(zhǔn)備發(fā)送的疑似網(wǎng)絡(luò)攻擊流量的報(bào)文進(jìn)行丟棄。該丟棄響應(yīng)策略可以包含:目的地IP地址、報(bào)文支持的協(xié)議類型、報(bào)文的五元組信息等;該報(bào)文的五元組信息可以包含:報(bào)文的TCP信息或報(bào)文的UDP信息,報(bào)文的源端口信息,報(bào)文的目的端口信息,壞包(droppacket)信息等。則所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備根據(jù)所述DDoS防護(hù)策略對(duì)所述流向所述目的地IP地址的流量進(jìn)行防護(hù)處理,具體為:根據(jù)所述丟棄響應(yīng)策略對(duì)所述流向所述目的地IP地址的流量進(jìn)行報(bào)文丟棄處理;所述本地清洗響應(yīng)策略用于指示所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備在本地對(duì)所述流向所述目的地IP地址的流量進(jìn)行清洗處理;具體的,所述本地清洗響應(yīng)策略用于指示所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備在本地對(duì)流向所述目的地IP地址的流量進(jìn)行清洗處理;第二報(bào)文轉(zhuǎn)發(fā)設(shè)備基于本地清洗響應(yīng)策略在本地對(duì)接收到的疑似網(wǎng)絡(luò)攻擊流量的報(bào)文或準(zhǔn)備發(fā)送的疑似網(wǎng)絡(luò)攻擊流量的報(bào)文進(jìn)行清洗處理,可選的,該本地清洗響應(yīng)策略可以包括:目的地IP地址、報(bào)文支持的協(xié)議類型、報(bào)文的五元組信息等;則所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備根據(jù)所述DDoS防護(hù)策略對(duì)所述流向所述目的地IP地址的流量進(jìn)行防護(hù)處理,具體為:根據(jù)所述本地清洗響應(yīng)策略在本地對(duì)所述流向所述目的地IP地址的流量進(jìn)行清洗處理;所述動(dòng)態(tài)引流清洗響應(yīng)策略用于指示所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備將所述流向所述目的地IP地址的流量發(fā)送到清洗設(shè)備上進(jìn)行清洗處理;可選的,動(dòng)態(tài)引流清洗響應(yīng)策略可以包含目的地IP地址和引流路徑指示信息;則所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備根據(jù)所述DDoS防護(hù)策略對(duì)所述流向所述目的地IP地址的流量進(jìn)行防護(hù)處理,具體為:根據(jù)所述動(dòng)態(tài)引流清洗響應(yīng)策略將所述流向所述目的地IP地址的流量發(fā)送到清洗設(shè)備上進(jìn)行清洗處理。對(duì)于所述動(dòng)態(tài)引流清洗響應(yīng)策略,在所述南向接口單元下發(fā)動(dòng)態(tài)引流清洗響應(yīng)策略之前,需要控制器確定一條對(duì)網(wǎng)絡(luò)沖擊最小的路徑來(lái)進(jìn)行流量的引流,下面給出幾種可能的實(shí)現(xiàn)方式進(jìn)行說明:方式一:所述統(tǒng)計(jì)數(shù)據(jù)還包含:所述第一報(bào)文轉(zhuǎn)發(fā)設(shè)備的負(fù)載值;所述控制器,在所述向所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備下發(fā)DDoS防護(hù)策略之前,還用于:根據(jù)所述第一報(bào)文轉(zhuǎn)發(fā)設(shè)備的負(fù)載值確定第一引流路徑,所述第一引流路徑為所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備至所述清洗設(shè)備之間負(fù)載最小的路徑;所述第一引流路徑包含所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備和所述清洗設(shè)備;向所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備下發(fā)的DDoS防護(hù)策略為所述動(dòng)態(tài)引流清洗響應(yīng)策略,所述動(dòng)態(tài)引流清洗響應(yīng)策略包含第一引流路徑指示信息,所述第一 引流路徑指示信息用于指示所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備將所述流向所述目的地IP地址的流量通過所述第一引流路徑發(fā)送到所述清洗設(shè)備上進(jìn)行清洗處理;所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備根據(jù)所述DDoS防護(hù)策略對(duì)所述流向所述目的地IP地址的流量進(jìn)行防護(hù)處理,具體為:將所述流向所述目的地IP地址的流量通過所述第一引流路徑發(fā)送到所述清洗設(shè)備上進(jìn)行清洗處理。方式二:,所述控制器,在所述向所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備下發(fā)DDoS防護(hù)策略之前,還用于:根據(jù)SDN拓?fù)潢P(guān)系確定第二引流路徑,所述第二引流路徑為所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備至所述清洗設(shè)備之間距離最近的路徑,所述SDN拓?fù)潢P(guān)系包含所述SDN中各個(gè)報(bào)文轉(zhuǎn)發(fā)設(shè)備以及所述清洗設(shè)備的連接關(guān)系;向所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備下發(fā)DDoS防護(hù)策略為所述動(dòng)態(tài)引流清洗響應(yīng)策略,所述動(dòng)態(tài)引流清洗響應(yīng)策略包含第二引流路徑指示信息,所述第二引流路徑指示信息用于指示所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備將所述流向所述目的地IP地址的流量通過所述第二引流路徑發(fā)送到所述清洗設(shè)備上進(jìn)行清洗處理;所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備根據(jù)所述DDoS防護(hù)策略對(duì)所述流向所述目的地IP地址的流量進(jìn)行防護(hù)處理,具體為:將所述流向所述目的地IP地址的流量通過所述第二引流路徑發(fā)送到所述清洗設(shè)備上進(jìn)行清洗處理。在圖2和圖3的基礎(chǔ)上,下面分別對(duì)基于SDN網(wǎng)絡(luò)的DDOS攻擊防護(hù)系統(tǒng)中的各個(gè)節(jié)點(diǎn)進(jìn)行說明。圖4為本發(fā)明實(shí)施例提供的一種控制器的結(jié)構(gòu)示意圖,參照?qǐng)D4,該控制器包括:處理器10、存儲(chǔ)器11、收發(fā)器12和總線13;其中,收發(fā)器12,包括:北向接口單元12a、南向接口單元12b、東西向接口單元12c;處理器10,用于執(zhí)行DDoS控制程序獲得DDoS防護(hù)配置參數(shù),并基于DDoS防護(hù)配置參數(shù)指示南向接口單元12b與報(bào)文轉(zhuǎn)發(fā)設(shè)備及清洗設(shè)備進(jìn)行交互,以實(shí)現(xiàn)上述DDoS防護(hù)方案的相關(guān)配置,例如,DDoS防護(hù)配置參數(shù)為目的地IP地址,處理器10指示該南向接口單元12b向第一報(bào)文轉(zhuǎn)發(fā)設(shè)備下發(fā)流量統(tǒng)計(jì)指令,該流量統(tǒng)計(jì)指令攜帶目的地IP地址;該南向接口單元12b 接收所述第一報(bào)文轉(zhuǎn)發(fā)設(shè)備發(fā)送的統(tǒng)計(jì)數(shù)據(jù),所述統(tǒng)計(jì)數(shù)據(jù)包含流向所述目的地IP地址的流量統(tǒng)計(jì)信息;需要說明的是,DDoS防護(hù)配置參數(shù)可以通過北向接口單元12a從用戶設(shè)備處獲得。進(jìn)一步的,處理器10根據(jù)所述南向接口單元12b接收的所述統(tǒng)計(jì)數(shù)據(jù),獲得流向所述目的地IP地址的所述全局流量統(tǒng)計(jì)值;判斷所述全局流量統(tǒng)計(jì)值是否超過預(yù)定閾值;其中,所述全局流量統(tǒng)計(jì)值表示所述控制器對(duì)包括所述第一報(bào)文轉(zhuǎn)發(fā)設(shè)備在內(nèi)的至少兩個(gè)報(bào)文轉(zhuǎn)發(fā)設(shè)備上報(bào)的統(tǒng)計(jì)數(shù)據(jù)進(jìn)行匯總后,獲得的用于反映所述SDN范圍內(nèi)流向所述目的地IP地址的流量的統(tǒng)計(jì)值;進(jìn)一步的,若發(fā)生網(wǎng)絡(luò)攻擊,則基于所述全局流量統(tǒng)計(jì)值超過預(yù)定閾值的判斷結(jié)果,處理器10指示所述南向接口單元12b向第二報(bào)文轉(zhuǎn)發(fā)設(shè)備發(fā)送DDoS防護(hù)策略??蛇x的,當(dāng)控制器具有上文所述控制器調(diào)度功能時(shí),處理器10直接指示南向接口單元12b與報(bào)文轉(zhuǎn)發(fā)設(shè)備及清洗設(shè)備進(jìn)行交互,以實(shí)現(xiàn)上述DDoS防護(hù)方案的相關(guān)配置;若系統(tǒng)中還包含上文所述獨(dú)立的調(diào)度設(shè)備,則處理器10指示東西向接口單元12c與獨(dú)立的調(diào)度設(shè)備進(jìn)行交互,以實(shí)現(xiàn)上文所述控制器調(diào)度功能的相關(guān)配置。需要說明的是,北向接口單元12a和東西向接口單元12c為可選單元:對(duì)于能夠自行執(zhí)行DDoS控制程序的控制器來(lái)說,可以不設(shè)置北向接口單元12a;對(duì)于具有上文所述控制器調(diào)度功能的控制器來(lái)說,可以不設(shè)置東西向接口單元12c。存儲(chǔ)器11,用于存儲(chǔ)DDoS防護(hù)配置參數(shù)、DDoS控制程序和第一報(bào)文轉(zhuǎn)發(fā)設(shè)備上報(bào)的統(tǒng)計(jì)數(shù)據(jù)、DDoS防護(hù)策略等,以便處理器10在進(jìn)行相應(yīng)操作時(shí)進(jìn)行調(diào)用。本發(fā)明實(shí)施例提供的控制器,通過處理器指示南向接口單元向第一報(bào)文轉(zhuǎn)發(fā)設(shè)備下發(fā)流量統(tǒng)計(jì)指令,所述流量統(tǒng)計(jì)指令用于指示所述第一報(bào)文轉(zhuǎn)發(fā)設(shè)備進(jìn)行流量統(tǒng)計(jì);其中,所述流量統(tǒng)計(jì)指令攜帶目的地IP地址;南向接口單元接收所述第一報(bào)文轉(zhuǎn)發(fā)設(shè)備根據(jù)所述流量統(tǒng)計(jì)指令上報(bào)的統(tǒng)計(jì)數(shù)據(jù),所述統(tǒng)計(jì)數(shù)據(jù)包含流向所述目的地IP地址的流量統(tǒng)計(jì)信息;處理器根據(jù)所述南向接口單元接收的所述統(tǒng)計(jì)數(shù)據(jù),獲得流向所述目的地IP地址的全局流量統(tǒng) 計(jì)值;其中,所述全局流量統(tǒng)計(jì)值表示所述控制器對(duì)包括所述第一報(bào)文轉(zhuǎn)發(fā)設(shè)備在內(nèi)的至少兩個(gè)報(bào)文轉(zhuǎn)發(fā)設(shè)備上報(bào)的統(tǒng)計(jì)數(shù)據(jù)進(jìn)行匯總后,獲得的用于反映所述SDN范圍內(nèi)流向所述目的地IP地址的流量的統(tǒng)計(jì)值;處理器判斷所述全局流量統(tǒng)計(jì)值是否超過預(yù)定閾值,基于所述全局流量統(tǒng)計(jì)值超過預(yù)定閾值的判斷結(jié)果,處理器指示所述南向接口單元向所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備下發(fā)DDoS防護(hù)策略。降低了DDoS攻擊對(duì)網(wǎng)絡(luò)的影響范圍,提高了網(wǎng)絡(luò)安全性??蛇x的,所述流量統(tǒng)計(jì)指令還攜帶:檢測(cè)起始時(shí)刻;其中,所述檢測(cè)起始時(shí)刻用于告知所述第一報(bào)文轉(zhuǎn)發(fā)設(shè)備進(jìn)行所述流量統(tǒng)計(jì)的起始時(shí)刻,所述流量統(tǒng)計(jì)被所述第一報(bào)文轉(zhuǎn)發(fā)設(shè)備以檢測(cè)周期的方式持續(xù)執(zhí)行,所述統(tǒng)計(jì)數(shù)據(jù)被所述第一報(bào)文轉(zhuǎn)發(fā)設(shè)備以所述檢測(cè)周期上報(bào)給所述控制器。進(jìn)一步的,控制器需要一種判斷網(wǎng)絡(luò)攻擊是否停止的機(jī)制,一種可能的實(shí)現(xiàn)方式為:所述處理器10,還用于確定在至少兩個(gè)檢測(cè)周期內(nèi)所述全局流量統(tǒng)計(jì)值未超過所述預(yù)定閾值;所述南向接口單元12b,還用于基于所述處理器10確定的至少兩個(gè)連續(xù)的檢測(cè)周期內(nèi)所述全局流量統(tǒng)計(jì)值未超過所述預(yù)定閾值的結(jié)果,向所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備下發(fā)防護(hù)消除指示消息;所述防護(hù)消除指示消息用于指示所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備結(jié)束執(zhí)行所述DDoS防護(hù)策略。可選的,控制器還可以針對(duì)位于SDN邊界靠近攻擊源的報(bào)文轉(zhuǎn)發(fā)設(shè)備下發(fā)DDoS防護(hù)策略,一種可能的實(shí)現(xiàn)方式為:在所述南向接口單元12b向所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備下發(fā)DDoS防護(hù)策略之前,所述處理器10,還用于根據(jù)所述南向接口單元12b接收的所述統(tǒng)計(jì)數(shù)據(jù),確定攻擊路徑上距離攻擊源最近的報(bào)文轉(zhuǎn)發(fā)設(shè)備,將所述距離攻擊源最近的報(bào)文轉(zhuǎn)發(fā)設(shè)備作為所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備。所述南向接口單元12b,還用于向所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備下發(fā)DDoS防護(hù)策略。具體的,所述流向所述目的地IP地址的流量統(tǒng)計(jì)信息,包括:所述第一 報(bào)文轉(zhuǎn)發(fā)設(shè)備上流向所述目的地IP地址的流量值;所述處理器10根據(jù)所述南向接口單元12b接收的所述第一報(bào)文轉(zhuǎn)發(fā)設(shè)備上流向所述目的地IP地址的流量值,確定第一攻擊路徑;所述第一攻擊路徑為流向所述目的地IP地址的至少一條攻擊路徑中流量值最大的攻擊路徑;所述處理器10根據(jù)所述第一攻擊路徑,確定所述距離攻擊源最近的報(bào)文轉(zhuǎn)發(fā)設(shè)備;所述距離攻擊源最近的報(bào)文轉(zhuǎn)發(fā)設(shè)備位于所述第一攻擊路徑上的、所述流向所述目的地IP地址的流量的源地址側(cè)的SDN邊界處??蛇x的,所述DDoS防護(hù)策略包含如下任意一種響應(yīng)策略:黑洞路由響應(yīng)策略、限流響應(yīng)策略、限速響應(yīng)策略、丟棄響應(yīng)策略、本地清洗響應(yīng)策略、動(dòng)態(tài)引流清洗響應(yīng)策略;控制器發(fā)下響應(yīng)指令如流向3所示。對(duì)于所述動(dòng)態(tài)引流清洗響應(yīng)策略,在所述南向接口單元12b下發(fā)動(dòng)態(tài)引流清洗響應(yīng)策略之前,需要控制器確定一條對(duì)網(wǎng)絡(luò)沖擊最小的路徑來(lái)進(jìn)行流量的引流,下面給出幾種可能的實(shí)現(xiàn)方式進(jìn)行說明:方式一:所述統(tǒng)計(jì)數(shù)據(jù)還包含:所述第一報(bào)文轉(zhuǎn)發(fā)設(shè)備的負(fù)載值;所述處理器10,用于根據(jù)所述第一報(bào)文轉(zhuǎn)發(fā)設(shè)備的負(fù)載值確定第一引流路徑;其中,所述第一引流路徑為所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備至所述清洗設(shè)備之間負(fù)載最小的路徑;所述第一引流路徑包含所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備和所述清洗設(shè)備;則所述南向接口單元12b根據(jù)所述處理器10確定的所述第一引流路徑,向所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備下發(fā)動(dòng)態(tài)引流清洗響應(yīng)策略,所述動(dòng)態(tài)引流清洗響應(yīng)策略包含第一引流路徑指示信息,所述第一引流路徑指示信息用指示所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備將所述流向所述目的地IP地址的流量通過所述第一引流路徑發(fā)送到所述清洗設(shè)備上進(jìn)行清洗處理。方式二:所述處理器10,用于根據(jù)SDN拓?fù)潢P(guān)系確定第二引流路徑,所述第二引流路徑為所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備至所述清洗設(shè)備之間距離最近的路徑,所述SDN拓?fù)潢P(guān)系包含所述SDN中各個(gè)報(bào)文轉(zhuǎn)發(fā)設(shè)備以及所述清洗設(shè)備的連接關(guān)系;所述南向接口單元12b根據(jù)所述處理器10確定的所述第二引流路徑,向所述報(bào)文轉(zhuǎn)發(fā)設(shè)備下發(fā)動(dòng)態(tài)引流清洗響應(yīng)策略,所述動(dòng)態(tài)引流清洗響應(yīng)策略 包含第二引流路徑指示信息,所述第二引流路徑指示信息用指示所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備將所述流向所述目的地IP地址的流量通過所述第二引流路徑發(fā)送到所述清洗設(shè)備上進(jìn)行清洗處理。進(jìn)一步的,對(duì)于控制器與獨(dú)立的調(diào)度設(shè)備之間的交互,下面以副控制器與主控制器作為示例進(jìn)行說明,其中主控制器與副控制器協(xié)作實(shí)現(xiàn)攻擊防護(hù)方案可以有兩種可能的實(shí)現(xiàn)方式。方式一:主控制器獲得SDN中全部的副控制器、報(bào)文轉(zhuǎn)發(fā)設(shè)備及清洗設(shè)備的工作情況。各個(gè)副控制器周期性地通過南向接口單元與第一報(bào)文轉(zhuǎn)發(fā)設(shè)備進(jìn)行交互獲得統(tǒng)計(jì)數(shù)據(jù),各個(gè)副控制器再將采集回來(lái)的統(tǒng)計(jì)數(shù)據(jù)通過各自的東西向接口單元發(fā)送給主控制器,再由主控制器匯總處理后獲得全局流量統(tǒng)計(jì)值,并根據(jù)該全局流量統(tǒng)計(jì)值判斷是否發(fā)生網(wǎng)絡(luò)攻擊。主控制器與副控制器進(jìn)行協(xié)商制定一致的網(wǎng)絡(luò)攻擊防護(hù)策略,例如DDoS防護(hù)策略,并由副控制器通過南向接口單元將該網(wǎng)絡(luò)攻擊防護(hù)策略統(tǒng)一下發(fā)給第二報(bào)文轉(zhuǎn)發(fā)設(shè)備。方式二:由主控制器選擇空閑的副控制器完成攻擊防護(hù)方案,例如,主控制器通過東西向接口單元與某副控制器進(jìn)行交互,由主控制器指示該副控制器負(fù)責(zé)完成攻擊防護(hù)方案。則該副控制器周期性地通過南向接口單元與第一報(bào)文轉(zhuǎn)發(fā)設(shè)備進(jìn)行交互獲得統(tǒng)計(jì)數(shù)據(jù),該副控制器再將采集回來(lái)的統(tǒng)計(jì)數(shù)據(jù)匯總處理后,獲得全局流量統(tǒng)計(jì)值,并根據(jù)該全局流量統(tǒng)計(jì)值判斷是否發(fā)生網(wǎng)絡(luò)攻擊,并由該副控制器通過南向接口單元將網(wǎng)絡(luò)攻擊防護(hù)策略統(tǒng)一下發(fā)給第二報(bào)文轉(zhuǎn)發(fā)設(shè)備。圖5為本發(fā)明實(shí)施例提供的一種報(bào)文轉(zhuǎn)發(fā)設(shè)備的結(jié)構(gòu)示意圖,該報(bào)文轉(zhuǎn)發(fā)設(shè)備在流量統(tǒng)計(jì)過程中為上述第一報(bào)文轉(zhuǎn)發(fā)設(shè)備,在執(zhí)行DDoS防護(hù)策略的過程中,為上述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備;參照?qǐng)D5,該報(bào)文轉(zhuǎn)發(fā)設(shè)備包括:處理器20、存儲(chǔ)器21、收發(fā)器22和總線23;其中,收發(fā)器22包括:北向接口單元22a;首先,當(dāng)該報(bào)文轉(zhuǎn)發(fā)設(shè)備作為第一報(bào)文轉(zhuǎn)發(fā)設(shè)備時(shí),其具有如下功能:該北向接口單元22a與控制器的南向接口單元12b連接,用于接收控制器針對(duì)DDoS攻擊配置的相關(guān)參數(shù),例如流量統(tǒng)計(jì)指令,該流量統(tǒng)計(jì)指令攜帶目的地IP地址,用于指示處理器20進(jìn)行流量統(tǒng)計(jì);向控制器上報(bào)針對(duì)DDoS 攻擊檢測(cè)的相關(guān)數(shù)據(jù),例如統(tǒng)計(jì)數(shù)據(jù),該統(tǒng)計(jì)數(shù)據(jù)包含流向所述目的地IP地址的流量統(tǒng)計(jì)信息;處理器20,用于根據(jù)所述北向接口單元22a接收的流量統(tǒng)計(jì)指令對(duì)流向該目的地IP地址的流量進(jìn)行統(tǒng)計(jì),獲得流向所述目的地IP地址的流量統(tǒng)計(jì)信息。存儲(chǔ)器21,用于存儲(chǔ)控制器針對(duì)DDoS攻擊配置的相關(guān)參數(shù)、統(tǒng)計(jì)數(shù)據(jù)等。本發(fā)明實(shí)施例提供的第一報(bào)文轉(zhuǎn)發(fā)設(shè)備,通過該北向接口單元接收控制器針對(duì)DDoS攻擊配置的相關(guān)參數(shù),例如流量統(tǒng)計(jì)指令,該流量統(tǒng)計(jì)指令攜帶目的地IP地址,用于指示處理器進(jìn)行流量統(tǒng)計(jì);進(jìn)一步的,處理器根據(jù)所述北向接口單元接收的流量統(tǒng)計(jì)指令對(duì)流向該目的地IP地址的流量進(jìn)行統(tǒng)計(jì),獲得流向所述目的地IP地址的流量統(tǒng)計(jì)信息。北向接口單元向控制器上報(bào)針對(duì)DDoS攻擊檢測(cè)的相關(guān)數(shù)據(jù),例如統(tǒng)計(jì)數(shù)據(jù),該統(tǒng)計(jì)數(shù)據(jù)包含流向所述目的地IP地址的流量統(tǒng)計(jì)信息;由于第一報(bào)文轉(zhuǎn)發(fā)設(shè)備針對(duì)流向該目的地IP地址的流量進(jìn)行流量統(tǒng)計(jì),并將統(tǒng)計(jì)數(shù)據(jù)上報(bào)給控制器,使得控制器能夠基于該統(tǒng)計(jì)數(shù)據(jù)判斷是否發(fā)生DDoS攻擊,從而觸發(fā)相應(yīng)的DDoS防護(hù)策略;從而降低了DDoS攻擊對(duì)網(wǎng)絡(luò)的影響范圍,提高了網(wǎng)絡(luò)安全性??蛇x的,所述流量統(tǒng)計(jì)指令還攜帶:檢測(cè)起始時(shí)刻;其中,所述檢測(cè)起始時(shí)刻用于告知所述處理器20進(jìn)行所述流量統(tǒng)計(jì)的起始時(shí)刻,以檢測(cè)周期的方式持續(xù)進(jìn)行所述流量統(tǒng)計(jì),以所述檢測(cè)周期上報(bào)所述統(tǒng)計(jì)數(shù)據(jù)給所述控制器。繼續(xù)參照?qǐng)D5,當(dāng)該報(bào)文轉(zhuǎn)發(fā)設(shè)備作為第二報(bào)文轉(zhuǎn)發(fā)設(shè)備時(shí),其具有如下功能:所述北向接口單元22a,在向所述控制器上報(bào)統(tǒng)計(jì)數(shù)據(jù)之后,還用于:接收所述控制器發(fā)送的DDoS防護(hù)策略;所述處理器20,還用于根據(jù)所述北向接口單元22a接收的所述DDoS防護(hù)策略,對(duì)所述流向所述目的地IP地址的流量進(jìn)行防護(hù)處理。本實(shí)施例提供的第二報(bào)文轉(zhuǎn)發(fā)設(shè)備,在北向接口單元向所述控制器上報(bào)統(tǒng)計(jì)數(shù)據(jù)之后,通過北向接口單元接收所述控制器發(fā)送的DDoS防護(hù)策略,并由處理器根據(jù)所述北向接口單元接收的所述DDoS防護(hù)策略,對(duì)所述流向 所述目的地IP地址的流量進(jìn)行防護(hù)處理,實(shí)現(xiàn)了對(duì)流向所述目的地IP地址的流量的DDoS防護(hù),從而降低了DDoS攻擊對(duì)網(wǎng)絡(luò)的影響范圍,提高了網(wǎng)絡(luò)安全性。需要說明的是,對(duì)于SDN中的報(bào)文轉(zhuǎn)發(fā)設(shè)備,有一些報(bào)文轉(zhuǎn)發(fā)設(shè)備同時(shí)具有第一報(bào)文轉(zhuǎn)發(fā)設(shè)備和第二報(bào)文轉(zhuǎn)發(fā)設(shè)備的功能,這些報(bào)文轉(zhuǎn)發(fā)設(shè)備往往為能夠?qū)?zhí)行DDoS防護(hù)策略的防護(hù)效果最大化的報(bào)文轉(zhuǎn)發(fā)設(shè)備,例如,位于SDN邊界靠近攻擊源的報(bào)文轉(zhuǎn)發(fā)設(shè)備;另一些報(bào)文轉(zhuǎn)發(fā)設(shè)備僅具有第一報(bào)文轉(zhuǎn)發(fā)設(shè)備的功能,例如,并不位于SDN邊界的報(bào)文轉(zhuǎn)發(fā)設(shè)備;當(dāng)然,根據(jù)SDN具體的部署和網(wǎng)絡(luò)攻擊發(fā)生時(shí)的具體情況,控制器可以根據(jù)需求配置SDN中的報(bào)文轉(zhuǎn)發(fā)設(shè)備具有第一報(bào)文轉(zhuǎn)發(fā)設(shè)備和/或第二報(bào)文轉(zhuǎn)發(fā)設(shè)備的功能,本發(fā)明實(shí)施例并不予以限制。進(jìn)一步的,對(duì)應(yīng)控制器判斷網(wǎng)絡(luò)攻擊是否停止的機(jī)制,第二報(bào)文轉(zhuǎn)發(fā)設(shè)備側(cè)相應(yīng)的功能如下:所述北向接口單元22a,在接收所述控制器發(fā)送的DDoS防護(hù)策略之后,還用于:接收所述控制器發(fā)送的防護(hù)消除指示消息;所述防護(hù)消除指示消息用于指示所述處理器20結(jié)束執(zhí)行所述DDoS防護(hù)策略;所述處理器20,還用于根據(jù)所述北向接口單元22a接收的所述防護(hù)消除指示消息停止對(duì)所述流向所述目的地IP地址的流量進(jìn)行防護(hù)處理。可選的,所述DDoS防護(hù)策略包含如下任意一種響應(yīng)策略:黑洞路由響應(yīng)策略、限流響應(yīng)策略、限速響應(yīng)策略、丟棄響應(yīng)策略、本地清洗響應(yīng)策略、動(dòng)態(tài)引流清洗響應(yīng)策略;其中,所述黑洞路由響應(yīng)策略用于指示所述處理器20通過配置黑洞路由對(duì)所述流向所述目的地IP地址的流量進(jìn)行報(bào)文丟棄處理;則所述處理器20根據(jù)所述DDoS防護(hù)策略對(duì)所述流向所述目的地IP地址的流量進(jìn)行防護(hù)處理,具體為:根據(jù)所述北向接口單元22a接收的所述黑洞路由響應(yīng)策略采用黑洞路由對(duì)所述流向所述目的地IP地址的流量進(jìn)行報(bào)文丟棄處理;所述限流響應(yīng)策略用于指示所述處理器20對(duì)所述流向所述目的地IP地址的流量進(jìn)行限流處理;則所述處理器20根據(jù)所述DDoS防護(hù)策略對(duì)所述流向所述目的地IP地址的流量進(jìn)行防護(hù)處理,具體為:根據(jù)所述北向接口單元22a接收的所述限流響應(yīng)策略對(duì)所述流向所述目的地IP地址的流量進(jìn)行限流處理;所述限速響應(yīng)策略用于指示所述處理器20對(duì)所述流向所述目的地IP地址的流量進(jìn)行限速處理;則所述處理器20根據(jù)所述DDoS防護(hù)策略對(duì)所述流向所述目的地IP地址的流量進(jìn)行防護(hù)處理,具體為:根據(jù)所述北向接口單元22a接收的所述限速響應(yīng)策略對(duì)所述流向所述目的地IP地址的流量進(jìn)行限速處理;所述丟棄響應(yīng)策略用于指示所述處理器20對(duì)所述流向所述目的地IP地址的流量進(jìn)行報(bào)文丟棄處理;則所述處理器20根據(jù)所述DDoS防護(hù)策略對(duì)所述流向所述目的地IP地址的流量進(jìn)行防護(hù)處理,具體為:根據(jù)所述北向接口單元22a接收的所述丟棄響應(yīng)策略對(duì)所述流向所述目的地IP地址的流量進(jìn)行報(bào)文丟棄處理;所述本地清洗響應(yīng)策略用于指示所述處理器20在本地對(duì)所述流向所述目的地IP地址的流量進(jìn)行清洗處理;則所述處理器20根據(jù)所述DDoS防護(hù)策略對(duì)所述流向所述目的地IP地址的流量進(jìn)行防護(hù)處理,具體為:根據(jù)所述北向接口單元22a接收的所述本地清洗響應(yīng)策略在本地對(duì)所述流向所述目的地IP地址的流量進(jìn)行清洗處理;所述動(dòng)態(tài)引流清洗響應(yīng)策略用于指示所述處理器20將所述流向所述目的地IP地址的流量發(fā)送到清洗設(shè)備上進(jìn)行清洗處理;則所述處理器20根據(jù)所述DDoS防護(hù)策略對(duì)所述流向所述目的地IP地址的流量進(jìn)行防護(hù)處理,具體為:根據(jù)所述北向接口單元22a接收的所述動(dòng)態(tài)引流清洗響應(yīng)策略指示所述北向接口單元22a將所述流向所述目的地IP地址的流量發(fā)送到所述清洗設(shè)備上進(jìn)行清洗處理。對(duì)于所述動(dòng)態(tài)引流清洗響應(yīng)策略,在所述控制器下發(fā)動(dòng)態(tài)引流清洗響應(yīng)策略之前,需要控制器確定一條對(duì)網(wǎng)絡(luò)沖擊最小的路徑來(lái)進(jìn)行流量的引流,第二報(bào)文轉(zhuǎn)發(fā)設(shè)備側(cè)相應(yīng)的功能如下:方式一:所述統(tǒng)計(jì)數(shù)據(jù)還包含:所述第一報(bào)文轉(zhuǎn)發(fā)設(shè)備的負(fù)載值;所述動(dòng)態(tài)引流清洗響應(yīng)策略包含第一引流路徑指示信息,所述第一引流 路徑指示信息用于指示將所述流向所述目的地IP地址的流量通過所述第一引流路徑發(fā)送到所述清洗設(shè)備上進(jìn)行清洗處理;所述第一引流路徑為所述報(bào)文轉(zhuǎn)發(fā)設(shè)備至所述清洗設(shè)備之間負(fù)載最小的路徑;所述第一引流路徑包含所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備和所述清洗設(shè)備;其中,報(bào)文轉(zhuǎn)發(fā)設(shè)備為第二報(bào)文轉(zhuǎn)發(fā)設(shè)備。則所述處理器20根據(jù)所述北向接口單元22a接收的所述動(dòng)態(tài)引流清洗響應(yīng)策略指示所述北向接口單元22a將所述流向所述目的地IP地址的流量發(fā)送到所述清洗設(shè)備上進(jìn)行清洗處理,具體為:根據(jù)所述北向接口單元22a接收的所述動(dòng)態(tài)引流清洗響應(yīng)策略,指示所述北向接口單元22a將所述流向所述目的地IP地址的流量通過所述第一引流路徑發(fā)送到所述清洗設(shè)備上進(jìn)行清洗處理。方式二:所述動(dòng)態(tài)引流清洗響應(yīng)策略包含第二引流路徑指示信息,所述第二引流路徑指示信息用于指示將所述流向所述目的地IP地址的流量通過所述第二引流路徑發(fā)送到所述清洗設(shè)備上進(jìn)行清洗處理;所述第二引流路徑為所述報(bào)文轉(zhuǎn)發(fā)設(shè)備至所述清洗設(shè)備之間距離最近的路徑;其中,報(bào)文轉(zhuǎn)發(fā)設(shè)備為第二報(bào)文轉(zhuǎn)發(fā)設(shè)備。則所述處理器20根據(jù)所述北向接口單元22a接收的所述動(dòng)態(tài)引流清洗響應(yīng)策略指示所述北向接口單元22a將所述流向所述目的地IP地址的流量發(fā)送到所述清洗設(shè)備上進(jìn)行清洗處理,具體為:根據(jù)所述北向接口單元22a接收的所述動(dòng)態(tài)引流清洗響應(yīng)策略,指示所述北向接口單元22a將所述流向所述目的地IP地址的流量通過所述第二引流路徑發(fā)送到所述清洗設(shè)備上進(jìn)行清洗處理。圖6為本發(fā)明實(shí)施例提供的一種獨(dú)立的調(diào)度設(shè)備的結(jié)構(gòu)示意圖,參照?qǐng)D6,該獨(dú)立的調(diào)度設(shè)備包括:處理器30、存儲(chǔ)器31、收發(fā)器32和總線33;其中,收發(fā)器32包括:東西向接口單元32a;進(jìn)一步的,該獨(dú)立的調(diào)度設(shè)備可以具有兩種可能的實(shí)現(xiàn)方式,下面分別對(duì)兩種方式進(jìn)行說明。方式一:該獨(dú)立的調(diào)度設(shè)備的東西向接口單元32a與控制器的東西向接口單元 12c連接;處理器30,用于指示東西向接口單元32a向控制器發(fā)送流量統(tǒng)計(jì)指令,以使控制器向第一報(bào)文轉(zhuǎn)發(fā)設(shè)備下發(fā)該流量統(tǒng)計(jì)指令;可選的,也可以由控制器自行向第一報(bào)文轉(zhuǎn)發(fā)設(shè)備下發(fā)該流量統(tǒng)計(jì)指令,不需要東西向接口單元32a向控制器發(fā)送流量統(tǒng)計(jì)指令。東西向接口單元32a,還用于接收控制器發(fā)送的統(tǒng)計(jì)數(shù)據(jù);具體的,控制器收集所述第一報(bào)文轉(zhuǎn)發(fā)設(shè)備根據(jù)所述流量統(tǒng)計(jì)指令上報(bào)的統(tǒng)計(jì)數(shù)據(jù),并將所述統(tǒng)計(jì)數(shù)據(jù)發(fā)送給獨(dú)立的調(diào)度設(shè)備的東西向接口單元32a。處理器30,用于根據(jù)東西向接口單元32a接收的統(tǒng)計(jì)數(shù)據(jù),獲得流向所述目的地IP地址的全局流量統(tǒng)計(jì)值;根據(jù)該全局流量統(tǒng)計(jì)值判斷是否發(fā)生網(wǎng)絡(luò)攻擊;其中,所述全局流量統(tǒng)計(jì)值表示所述控制器對(duì)包括所述第一報(bào)文轉(zhuǎn)發(fā)設(shè)備在內(nèi)的至少兩個(gè)報(bào)文轉(zhuǎn)發(fā)設(shè)備上報(bào)的統(tǒng)計(jì)數(shù)據(jù)進(jìn)行匯總后,獲得的用于反映所述SDN范圍內(nèi)流向所述目的地IP地址的流量的統(tǒng)計(jì)值;若發(fā)生網(wǎng)絡(luò)攻擊,則處理器30通過東西向接口單元32a與控制器協(xié)商確定DDoS防護(hù)策略,并指示控制器將確定的DDoS防護(hù)策略下發(fā)給第二報(bào)文轉(zhuǎn)發(fā)設(shè)備;方式二:該獨(dú)立的調(diào)度設(shè)備的東西向接口單元32a與控制器的東西向接口單元12c連接;東西向接口單元32a接收控制器發(fā)送的DDoS防護(hù)請(qǐng)求消息;處理器30,根據(jù)DDoS防護(hù)請(qǐng)求消息和控制器狀況信息,確定用于執(zhí)行DDoS防護(hù)功能的控制器。具體的,通常多個(gè)控制器組成一個(gè)集群時(shí),為了便于管理多個(gè)控制器,會(huì)設(shè)置獨(dú)立的調(diào)度設(shè)備。因此,處理器30需要基于控制器狀況信息選擇滿足執(zhí)行DDoS防護(hù)功能的控制器;控制器狀況信息可以包含集群中每個(gè)控制器的處理能力的信息、負(fù)載狀況、空閑狀況等,確定滿足執(zhí)行DDoS防護(hù)功能的控制器后,獨(dú)立的調(diào)度設(shè)備向該控制器發(fā)送DDoS防護(hù)響應(yīng)消息;該DDoS防護(hù)響應(yīng)消息包含DDoS防護(hù)執(zhí)行指示;該控制器根據(jù)該DDoS防護(hù)執(zhí)行指 示,執(zhí)行DDoS防護(hù)功能,具體的功能參照上文圖4對(duì)應(yīng)實(shí)施例的方案。對(duì)于方式一,具體的:獨(dú)立的調(diào)度設(shè)備與控制器的協(xié)商機(jī)制可以有多種,例如,所述流向所述目的地IP地址的流量統(tǒng)計(jì)信息,包括:所述第一報(bào)文轉(zhuǎn)發(fā)設(shè)備上流向所述目的地IP地址的流量值;獨(dú)立的調(diào)度設(shè)備根據(jù)所述第一報(bào)文轉(zhuǎn)發(fā)設(shè)備上流向所述目的地IP地址的流量值,確定第一攻擊路徑;所述第一攻擊路徑為流向所述目的地IP地址的至少一條攻擊路徑中流量值最大的攻擊路徑;根據(jù)所述第一攻擊路徑,確定所述距離攻擊源最近的報(bào)文轉(zhuǎn)發(fā)設(shè)備。所述距離攻擊源最近的報(bào)文轉(zhuǎn)發(fā)設(shè)備位于所述第一攻擊路徑上的、所述流向所述目的地IP地址的流量的源地址側(cè)的SDN邊界處。獨(dú)立的調(diào)度設(shè)備指示控制器將所述距離攻擊源最近的報(bào)文轉(zhuǎn)發(fā)設(shè)備作為第二報(bào)文轉(zhuǎn)發(fā)設(shè)備,并向該第二報(bào)文轉(zhuǎn)發(fā)設(shè)備下發(fā)DDoS防護(hù)策略;又例如,獨(dú)立的調(diào)度設(shè)備在確定使用動(dòng)態(tài)引流清洗響應(yīng)策略后,根據(jù)所述所述第一報(bào)文轉(zhuǎn)發(fā)設(shè)備的負(fù)載值確定第一引流路徑,所述第一引流路徑為所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備至所述清洗設(shè)備之間負(fù)載最小的路徑;獨(dú)立的調(diào)度設(shè)備向所述控制器下發(fā)所述動(dòng)態(tài)引流清洗響應(yīng)策略,該策略包含第一引流路徑指示信息,所述第一引流路徑指示信息用于指示所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備將所述流向所述目的地IP地址的流量通過所述第一引流路徑發(fā)送到所述清洗設(shè)備上進(jìn)行清洗處理;又例如,獨(dú)立的調(diào)度設(shè)備在確定使用動(dòng)態(tài)引流清洗響應(yīng)策略后,根據(jù)SDN拓?fù)潢P(guān)系確定第二引流路徑,所述第二引流路徑為所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備至所述清洗設(shè)備之間距離最近的路徑,所述SDN拓?fù)潢P(guān)系包含所述SDN中各個(gè)報(bào)文轉(zhuǎn)發(fā)設(shè)備以及所述清洗設(shè)備的連接關(guān)系;獨(dú)立的調(diào)度設(shè)備向控制器下發(fā)動(dòng)態(tài)引流清洗響應(yīng)策略,該策略包含第二引流路徑指示信息,所述第二引流路徑指示信息用于指示所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備將所述流向所述目的地IP地址的流量通過所述第二引流路徑發(fā)送到所述清洗設(shè)備上進(jìn)行清洗處理。當(dāng)然,獨(dú)立的調(diào)度設(shè)備與控制器之間還可以采用多種可能的協(xié)商機(jī)制,本發(fā)明實(shí)施例不予限定??蛇x的,上文所述控制器還具有另一種可能的實(shí)現(xiàn)方式,具體的,圖7為本發(fā)明實(shí)施例提供的一種控制器的結(jié)構(gòu)示意圖,參照?qǐng)D7,該控制器包括:發(fā)送模塊40、處理模塊41、接收模塊42;發(fā)送模塊40,用于向第一報(bào)文轉(zhuǎn)發(fā)設(shè)備下發(fā)流量統(tǒng)計(jì)指令,所述流量統(tǒng)計(jì)指令用于指示所述第一報(bào)文轉(zhuǎn)發(fā)設(shè)備進(jìn)行流量統(tǒng)計(jì);其中,所述流量統(tǒng)計(jì) 指令攜帶目的地IP地址;接收模塊42,用于收集所述第一報(bào)文轉(zhuǎn)發(fā)設(shè)備根據(jù)所述流量統(tǒng)計(jì)指令上報(bào)的統(tǒng)計(jì)數(shù)據(jù),所述統(tǒng)計(jì)數(shù)據(jù)包含流向所述目的地IP地址的流量統(tǒng)計(jì)信息;處理模塊41,用于:根據(jù)所述接收模塊42接收的所述統(tǒng)計(jì)數(shù)據(jù),獲得流向所述目的地IP地址的所述全局流量統(tǒng)計(jì)值;其中,所述全局流量統(tǒng)計(jì)值表示所述控制器對(duì)包括所述第一報(bào)文轉(zhuǎn)發(fā)設(shè)備在內(nèi)的至少兩個(gè)報(bào)文轉(zhuǎn)發(fā)設(shè)備上報(bào)的統(tǒng)計(jì)數(shù)據(jù)進(jìn)行匯總后,獲得的用于反映所述SDN范圍內(nèi)流向所述目的地IP地址的流量的統(tǒng)計(jì)值;判斷所述全局流量統(tǒng)計(jì)值是否超過預(yù)定閾值;所述發(fā)送模塊40,還用于基于處理模塊41確定的全局流量統(tǒng)計(jì)值超過預(yù)定閾值的判斷結(jié)果,向第二報(bào)文轉(zhuǎn)發(fā)設(shè)備下發(fā)DDoS防護(hù)策略。本發(fā)明實(shí)施例提供的控制器,通過處理模塊指示發(fā)送模塊向第一報(bào)文轉(zhuǎn)發(fā)設(shè)備下發(fā)流量統(tǒng)計(jì)指令,所述流量統(tǒng)計(jì)指令用于指示所述第一報(bào)文轉(zhuǎn)發(fā)設(shè)備進(jìn)行流量統(tǒng)計(jì);其中,所述流量統(tǒng)計(jì)指令攜帶目的地IP地址;接收模塊接收所述第一報(bào)文轉(zhuǎn)發(fā)設(shè)備根據(jù)所述流量統(tǒng)計(jì)指令上報(bào)的統(tǒng)計(jì)數(shù)據(jù),所述統(tǒng)計(jì)數(shù)據(jù)包含流向所述目的地IP地址的流量統(tǒng)計(jì)信息;處理模塊根據(jù)所述接收模塊接收的所述統(tǒng)計(jì)數(shù)據(jù),獲得流向所述目的地IP地址的全局流量統(tǒng)計(jì)值其中,所述全局流量統(tǒng)計(jì)值表示所述控制器對(duì)包括所述第一報(bào)文轉(zhuǎn)發(fā)設(shè)備在內(nèi)的至少兩個(gè)報(bào)文轉(zhuǎn)發(fā)設(shè)備上報(bào)的統(tǒng)計(jì)數(shù)據(jù)進(jìn)行匯總后,獲得的用于反映所述SDN范圍內(nèi)流向所述目的地IP地址的流量的統(tǒng)計(jì)值;處理模塊判斷所述全局流量統(tǒng)計(jì)值是否超過預(yù)定閾值,所述發(fā)送模塊基于處理模塊確定的全局流量統(tǒng)計(jì)值超過預(yù)定閾值的判斷結(jié)果,向第二報(bào)文轉(zhuǎn)發(fā)設(shè)備下發(fā)DDoS防護(hù)策略。降低了DDoS攻擊對(duì)網(wǎng)絡(luò)的影響范圍,提高了網(wǎng)絡(luò)安全性??蛇x的,所述流量統(tǒng)計(jì)指令還攜帶:上文所述檢測(cè)起始時(shí)刻;進(jìn)一步的,控制器需要一種判斷網(wǎng)絡(luò)攻擊是否停止的機(jī)制,一種可能的實(shí)現(xiàn)方式為:所述處理模塊41,還用于:確定在至少兩個(gè)連續(xù)的檢測(cè)周期內(nèi)所述全局流量統(tǒng)計(jì)值未超過所述預(yù)定閾值;所述發(fā)送模塊40,還用于基于所述處理模塊41確定的至少兩個(gè)連續(xù)的檢測(cè)周期內(nèi)所述全局流量統(tǒng)計(jì)值未超過所述預(yù)定閾值的結(jié)果,向所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備下發(fā)上文所述防護(hù)消除指示消息;可選的,控制器還可以針對(duì)位于SDN邊界靠近攻擊源的報(bào)文轉(zhuǎn)發(fā)設(shè)備下發(fā)DDoS防護(hù)策略,一種可能的實(shí)現(xiàn)方式為:根據(jù)所述接收模塊42接收的所述統(tǒng)計(jì)數(shù)據(jù),確定攻擊路徑上距離攻擊源最近的報(bào)文轉(zhuǎn)發(fā)設(shè)備,將所述距離攻擊源最近的報(bào)文轉(zhuǎn)發(fā)設(shè)備作為所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備。具體的,所述流向所述目的地IP地址的流量統(tǒng)計(jì)信息,包括:所述第一報(bào)文轉(zhuǎn)發(fā)設(shè)備上流向所述目的地IP地址的流量值;所述處理模塊41,還用于根據(jù)所述統(tǒng)計(jì)數(shù)據(jù),確定攻擊路徑上距離攻擊源最近的報(bào)文轉(zhuǎn)發(fā)設(shè)備,具體為:根據(jù)所述接收模塊42接收的所述第一報(bào)文轉(zhuǎn)發(fā)設(shè)備上流向所述目的地IP地址的流量值,確定第一攻擊路徑;所述第一攻擊路徑為流向所述目的地IP地址的至少一條攻擊路徑中流量值最大的攻擊路徑;根據(jù)所述第一攻擊路徑,確定所述距離攻擊源最近的報(bào)文轉(zhuǎn)發(fā)設(shè)備;所述距離攻擊源最近的報(bào)文轉(zhuǎn)發(fā)設(shè)備位于所述第一攻擊路徑上的、所述流向所述目的地IP地址的流量的源地址側(cè)的SDN邊界處??蛇x的,所述DDoS防護(hù)策略包含如下任意一種響應(yīng)策略:黑洞路由響應(yīng)策略、限流響應(yīng)策略、限速響應(yīng)策略、丟棄響應(yīng)策略、本地清洗響應(yīng)策略、動(dòng)態(tài)引流清洗響應(yīng)策略;具體的,對(duì)于各種響應(yīng)策略,上進(jìn)行了詳細(xì)說明,此處不再贅述。對(duì)于所述動(dòng)態(tài)引流清洗響應(yīng)策略,在所述控制器下發(fā)動(dòng)態(tài)引流清洗響應(yīng)策略之前,需要控制器確定一條對(duì)網(wǎng)絡(luò)沖擊最小的路徑來(lái)進(jìn)行流量的引流,下面給出幾種可能的實(shí)現(xiàn)方式進(jìn)行說明:方式一:所述統(tǒng)計(jì)數(shù)據(jù)還包含:所述第一報(bào)文轉(zhuǎn)發(fā)設(shè)備的負(fù)載值;所述處理模塊41,在所述發(fā)送模塊40向所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備下發(fā)DDoS防護(hù)策略之前,還用于:根據(jù)所述第一報(bào)文轉(zhuǎn)發(fā)設(shè)備的負(fù)載值確定第一引流路徑;所述第一引流路徑為所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備至所述清洗設(shè)備之間負(fù)載最 小的路徑;所述第一引流路徑包含所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備和所述清洗設(shè)備;則所述發(fā)送模塊40根據(jù)所述處理模塊41確定的所述第一引流路徑,向所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備下發(fā)的DDoS防護(hù)策略為所述動(dòng)態(tài)引流清洗響應(yīng)策略,所述動(dòng)態(tài)引流清洗響應(yīng)策略包含第一引流路徑指示信息,所述第一引流路徑指示信息用于指示所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備將所述流向所述目的地IP地址的流量通過所述第一引流路徑發(fā)送到所述清洗設(shè)備上進(jìn)行清洗處理。方式二:所述處理模塊41,在所述發(fā)送模塊40向所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備下發(fā)DDoS防護(hù)策略之前,還用于:根據(jù)SDN拓?fù)潢P(guān)系確定第二引流路徑,所述第二引流路徑為所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備至所述清洗設(shè)備之間距離最近的路徑,所述SDN拓?fù)潢P(guān)系包含所述SDN中各個(gè)報(bào)文轉(zhuǎn)發(fā)設(shè)備以及所述清洗設(shè)備的連接關(guān)系;則所述發(fā)送模塊40根據(jù)所述處理模塊41確定的所述第二引流路徑,向所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備下發(fā)DDoS防護(hù)策略為所述動(dòng)態(tài)引流清洗響應(yīng)策略,所述動(dòng)態(tài)引流清洗響應(yīng)策略包含第二引流路徑指示信息,所述第二引流路徑指示信息用于指示所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備將所述流向所述目的地IP地址的流量通過所述第二引流路徑發(fā)送到所述清洗設(shè)備上進(jìn)行清洗處理??蛇x的,上文所述報(bào)文轉(zhuǎn)發(fā)設(shè)備還具有另一種可能的實(shí)現(xiàn)方式,具體的,圖8為本發(fā)明實(shí)施例提供的另一種報(bào)文轉(zhuǎn)發(fā)設(shè)備的結(jié)構(gòu)示意圖,參照?qǐng)D8,該控制器包括:發(fā)送模塊50、處理模塊51、接收模塊52;接收模塊52,用于接收所述控制器發(fā)送的流量統(tǒng)計(jì)指令,所述流量統(tǒng)計(jì)指令用于指示處理模塊51進(jìn)行流量統(tǒng)計(jì);其中,所述流量統(tǒng)計(jì)指令攜帶目的地IP地址;所述處理模塊51,用于根據(jù)所述接收模塊52接收的所述流量統(tǒng)計(jì)指令統(tǒng)計(jì)流流向所述目的地IP地址的流量統(tǒng)計(jì)信息;發(fā)送模塊50,用于根據(jù)所述處理模塊51統(tǒng)計(jì)的所述流向所述目的地IP地址的流量統(tǒng)計(jì)信息,向所述控制器上報(bào)統(tǒng)計(jì)數(shù)據(jù),所述統(tǒng)計(jì)數(shù)據(jù)包含所述流向所述目的地IP地址的流量統(tǒng)計(jì)信息。本發(fā)明實(shí)施例提供的報(bào)文轉(zhuǎn)發(fā)設(shè)備即為上文所述第一報(bào)文轉(zhuǎn)發(fā)設(shè)備,通過接收模塊接收控制器發(fā)送的流量統(tǒng)計(jì)指令,該流量統(tǒng)計(jì)指令攜帶目的地IP地址,用于指示處理模塊進(jìn)行流量統(tǒng)計(jì);進(jìn)一步的,處理模塊根據(jù)所述接收 模塊接收的流量統(tǒng)計(jì)指令對(duì)流向該目的地IP地址的流量進(jìn)行統(tǒng)計(jì),獲得流向所述目的地IP地址的流量統(tǒng)計(jì)信息。發(fā)送模塊向控制器上報(bào)統(tǒng)計(jì)數(shù)據(jù),該統(tǒng)計(jì)數(shù)據(jù)包含流向所述目的地IP地址的流量統(tǒng)計(jì)信息;由于第一報(bào)文轉(zhuǎn)發(fā)設(shè)備針對(duì)流向該目的地IP地址的流量進(jìn)行流量統(tǒng)計(jì),并將統(tǒng)計(jì)數(shù)據(jù)上報(bào)給控制器,使得控制器能夠基于該統(tǒng)計(jì)數(shù)據(jù)判斷是否發(fā)生DDoS攻擊,從而觸發(fā)相應(yīng)的DDoS防護(hù)策略;從而降低了DDoS攻擊對(duì)網(wǎng)絡(luò)的影響范圍,提高了網(wǎng)絡(luò)安全性??蛇x的,所述流量統(tǒng)計(jì)指令還攜帶:上文所述檢測(cè)起始時(shí)刻;進(jìn)一步的,當(dāng)圖8所示報(bào)文轉(zhuǎn)發(fā)設(shè)備作為第二報(bào)文轉(zhuǎn)發(fā)設(shè)備時(shí),其具有如下功能:所述接收模塊52,在所述發(fā)送模塊50向所述控制器上報(bào)統(tǒng)計(jì)數(shù)據(jù)之后,還用于:接收所述控制器發(fā)送的DDoS防護(hù)策略;所述處理模塊51,還用于根據(jù)所述接收模塊52接收的所述DDoS防護(hù)策略,對(duì)所述流向所述目的地IP地址的流量進(jìn)行防護(hù)處理。本實(shí)施例提供的第二報(bào)文轉(zhuǎn)發(fā)設(shè)備,在發(fā)送模塊向所述控制器上報(bào)統(tǒng)計(jì)數(shù)據(jù)之后,通過接收模塊接收所述控制器發(fā)送的DDoS防護(hù)策略,并由處理模塊根據(jù)所述接收模塊接收的所述DDoS防護(hù)策略,對(duì)所述流向所述目的地IP地址的流量進(jìn)行防護(hù)處理,實(shí)現(xiàn)了對(duì)流向所述目的地IP地址的流量的DDoS防護(hù),從而降低了DDoS攻擊對(duì)網(wǎng)絡(luò)的影響范圍,提高了網(wǎng)絡(luò)安全性。進(jìn)一步的,對(duì)應(yīng)控制器判斷網(wǎng)絡(luò)攻擊是否停止的機(jī)制,第二報(bào)文轉(zhuǎn)發(fā)設(shè)備側(cè)相應(yīng)的功能如下:所述接收模塊52,在所述接收所述控制器發(fā)送的DDoS防護(hù)策略之后,還用于:接收所述控制器發(fā)送的防護(hù)消除指示消息;所述處理模塊51,還用于根據(jù)所述接收模塊52接收的所述防護(hù)消除指示消息停止對(duì)所述流向所述目的地IP地址的流量進(jìn)行防護(hù)處理??蛇x的,所述DDoS防護(hù)策略包含如下任意一種響應(yīng)策略:黑洞路由響應(yīng)策略、限流響應(yīng)策略、限速響應(yīng)策略、丟棄響應(yīng)策略、本地清洗響應(yīng)策略、動(dòng)態(tài)引流清洗響應(yīng)策略;其中,所述黑洞路由響應(yīng)策略用于指示所述處理模塊51通過配置黑洞路由對(duì)所述流向所述目的地IP地址的流量進(jìn)行報(bào)文丟棄處理;則所述處理模塊51根據(jù)所述DDoS防護(hù)策略對(duì)所述流向所述目的地IP地址的流量進(jìn)行防護(hù)處理,具體為:根據(jù)所述接收模塊52接收的所述黑洞路由響應(yīng)策略采用黑洞路由對(duì)所述流向所述目的地IP地址的流量進(jìn)行報(bào)文丟棄處理;所述限流響應(yīng)策略用于指示所述處理模塊51對(duì)所述流向所述目的地IP地址的流量進(jìn)行限流處理;則所述處理模塊51根據(jù)所述DDoS防護(hù)策略對(duì)所述流向所述目的地IP地址的流量進(jìn)行防護(hù)處理,具體為:根據(jù)所述接收模塊52接收的所述限流響應(yīng)策略對(duì)所述流向所述目的地IP地址的流量進(jìn)行限流處理;所述限速響應(yīng)策略用于指示所述處理模塊51對(duì)所述流向所述目的地IP地址的流量進(jìn)行限速處理;則所述處理模塊51根據(jù)所述DDoS防護(hù)策略對(duì)所述流向所述目的地IP地址的流量進(jìn)行防護(hù)處理,具體為:根據(jù)所述接收模塊52接收的所述限速響應(yīng)策略對(duì)所述流向所述目的地IP地址的流量進(jìn)行限速處理;所述丟棄響應(yīng)策略用于指示所述處理模塊51對(duì)所述流向所述目的地IP地址的流量進(jìn)行報(bào)文丟棄處理;則所述處理模塊51根據(jù)所述DDoS防護(hù)策略對(duì)所述流向所述目的地IP地址的流量進(jìn)行防護(hù)處理,具體為:根據(jù)所述接收模塊52接收的所述丟棄響應(yīng)策略對(duì)所述流向所述目的地IP地址的流量進(jìn)行報(bào)文丟棄處理;所述本地清洗響應(yīng)策略用于指示所述處理模塊51在本地對(duì)所述流向所述目的地IP地址的流量進(jìn)行清洗處理;則所述處理模塊51根據(jù)所述DDoS防護(hù)策略對(duì)所述流向所述目的地IP地址的流量進(jìn)行防護(hù)處理,具體為:根據(jù)所述接收模塊52接收的所述本地清洗響應(yīng)策略在本地對(duì)所述流向所述目的地IP地址的流量進(jìn)行清洗處理;所述動(dòng)態(tài)引流清洗響應(yīng)策略用于指示所述處理模塊51將所述流向所述目的地IP地址的流量發(fā)送到清洗設(shè)備上進(jìn)行清洗處理;則所述處理模塊51根據(jù)所述DDoS防護(hù)策略對(duì)所述流向所述目的地IP地址的流量進(jìn)行防護(hù)處理,具體為:根據(jù)所述接收模塊52接收的所述動(dòng)態(tài)引 流清洗響應(yīng)策略指示所述發(fā)送模塊50將所述流向所述目的地IP地址的流量發(fā)送到所述清洗設(shè)備上進(jìn)行清洗處理。對(duì)于所述動(dòng)態(tài)引流清洗響應(yīng)策略,在所述控制器下發(fā)動(dòng)態(tài)引流清洗響應(yīng)策略之前,需要控制器確定一條對(duì)網(wǎng)絡(luò)沖擊最小的路徑來(lái)進(jìn)行流量的引流,第二報(bào)文轉(zhuǎn)發(fā)設(shè)備側(cè)相應(yīng)的功能如下:方式一:所述動(dòng)態(tài)引流清洗響應(yīng)策略包含第一引流路徑指示信息,所述第一引流路徑指示信息用于指示將所述流向所述目的地IP地址的流量通過所述第一引流路徑發(fā)送到所述清洗設(shè)備上進(jìn)行清洗處理;所述第一引流路徑為所述報(bào)文轉(zhuǎn)發(fā)設(shè)備至所述清洗設(shè)備之間負(fù)載最小的路徑;所述第一引流路徑包含所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備和所述清洗設(shè)備;則所述處理模塊51根據(jù)所述接收模塊52接收的所述動(dòng)態(tài)引流清洗響應(yīng)策略指示所述發(fā)送模塊50將所述流向所述目的地IP地址的流量發(fā)送到所述清洗設(shè)備上進(jìn)行清洗處理,具體為:根據(jù)所述接收模塊52接收的所述動(dòng)態(tài)引流清洗響應(yīng)策略,指示所述發(fā)送模塊50將所述流向所述目的地IP地址的流量通過所述第一引流路徑發(fā)送到所述清洗設(shè)備上進(jìn)行清洗處理。方式二:所述動(dòng)態(tài)引流清洗響應(yīng)策略包含第二引流路徑指示信息,所述第二引流路徑指示信息用于指示將所述流向所述目的地IP地址的流量通過所述第二引流路徑發(fā)送到所述清洗設(shè)備上進(jìn)行清洗處理;所述第二引流路徑為所述報(bào)文轉(zhuǎn)發(fā)設(shè)備至所述清洗設(shè)備之間距離最近的路徑;則所述處理模塊51根據(jù)所述接收模塊52接收的所述動(dòng)態(tài)引流清洗響應(yīng)策略指示所述發(fā)送模塊50將所述流向所述目的地IP地址的流量發(fā)送到所述清洗設(shè)備上進(jìn)行清洗處理,具體為:根據(jù)所述接收模塊52接收的所述動(dòng)態(tài)引流清洗響應(yīng)策略,指示所述發(fā)送模塊50將所述流向所述目的地IP地址的流量通過所述第二引流路徑發(fā)送到所述清洗設(shè)備上進(jìn)行清洗處理。在圖2至8的基礎(chǔ)上,圖9為本發(fā)明實(shí)施例提供的一種基于SDN的DDOS攻擊防護(hù)方法的流程示意圖,參照?qǐng)D9,該流程包括:步驟1、數(shù)據(jù)流量正常情況按照1-〉4-〉5到達(dá)服務(wù)器。步驟2、控制器識(shí)別處于SDN邊界的報(bào)文轉(zhuǎn)發(fā)設(shè)備,當(dāng)控制器執(zhí)行DDoS控制程序時(shí)或用戶設(shè)備的應(yīng)用調(diào)用DDoS控制程序時(shí),控制器向處于SDN邊界的報(bào)文轉(zhuǎn)發(fā)設(shè)備下發(fā)流量統(tǒng)計(jì)指令,該流量統(tǒng)計(jì)指令用于指示所述報(bào)文轉(zhuǎn)發(fā)設(shè)備進(jìn)行流量統(tǒng)計(jì),此時(shí),處于SDN邊界的報(bào)文轉(zhuǎn)發(fā)設(shè)備即為第一報(bào)文轉(zhuǎn)發(fā)設(shè)備;可選的,控制器也可以向SDN內(nèi)全部的報(bào)文轉(zhuǎn)發(fā)設(shè)備下發(fā)流量統(tǒng)計(jì)指令。具體的,該流量統(tǒng)計(jì)指令攜帶目的地IP地址,該目的地IP地址為所述服務(wù)器的某個(gè)IP地址或某段IP地址段;第一報(bào)文轉(zhuǎn)發(fā)設(shè)備基于該流量統(tǒng)計(jì)指令從某個(gè)時(shí)間開始對(duì)流向該目的地IP地址的流量進(jìn)行統(tǒng)計(jì),獲得統(tǒng)計(jì)數(shù)據(jù),該統(tǒng)計(jì)數(shù)據(jù)包含流向所述目的地IP地址的流量統(tǒng)計(jì)信息;控制器在統(tǒng)計(jì)周期T結(jié)束的時(shí)候可以向第一報(bào)文轉(zhuǎn)發(fā)設(shè)備查詢?cè)摻y(tǒng)計(jì)數(shù)據(jù)。控制器下發(fā)策略和查詢統(tǒng)計(jì)結(jié)果例如流向3所示;步驟3、第一報(bào)文轉(zhuǎn)發(fā)設(shè)備收到該流量統(tǒng)計(jì)指令后,建立基于該目的地IP地址的目的IP監(jiān)控表,該表采用哈希表形式,包含了該目的地IP地址的各種統(tǒng)計(jì)項(xiàng)目。第一報(bào)文轉(zhuǎn)發(fā)設(shè)備在每個(gè)統(tǒng)計(jì)周期內(nèi)對(duì)轉(zhuǎn)發(fā)的數(shù)據(jù)報(bào)文目的地址為該目的地IP地址的流量進(jìn)行統(tǒng)計(jì),統(tǒng)計(jì)周期結(jié)束時(shí),控制器向第一報(bào)文轉(zhuǎn)發(fā)設(shè)備查詢?cè)摻y(tǒng)計(jì)數(shù)據(jù)。第一報(bào)文轉(zhuǎn)發(fā)設(shè)備上報(bào)該統(tǒng)計(jì)數(shù)據(jù)例如流向2所示;步驟4、控制器搜集到所有第一報(bào)文轉(zhuǎn)發(fā)設(shè)備在某檢測(cè)周期T內(nèi)的統(tǒng)計(jì)數(shù)據(jù),控制器對(duì)該流向所述目的地IP地址的流量統(tǒng)計(jì)信息進(jìn)行匯總,獲得流向該目的地IP地址的全局流量統(tǒng)計(jì)值;具體的,控制器可以對(duì)統(tǒng)計(jì)數(shù)據(jù)進(jìn)行求和等運(yùn)算處理獲得流向該目的地IP地址的全局流量統(tǒng)計(jì)值??刂破鲗⒃撊至髁拷y(tǒng)計(jì)值與預(yù)定閾值進(jìn)行比較,如果超過該預(yù)定閾值,則認(rèn)為網(wǎng)絡(luò)攻擊發(fā)生;如果持續(xù)幾個(gè)特定周期,該全局流量統(tǒng)計(jì)值連續(xù)小于該預(yù)定閾值,則認(rèn)為網(wǎng)絡(luò)攻擊消除;步驟5、若判斷網(wǎng)絡(luò)攻擊發(fā)生,則控制器向第二報(bào)文轉(zhuǎn)發(fā)設(shè)備下發(fā)網(wǎng)絡(luò)攻擊防護(hù)策略,例如DDoS防護(hù)策略。進(jìn)一步的,對(duì)于步驟5,控制器可以確定距離攻擊源最近的報(bào)文轉(zhuǎn)發(fā)設(shè)備,將該距離攻擊源最近的報(bào)文轉(zhuǎn)發(fā)設(shè)備作為第二報(bào)文轉(zhuǎn)發(fā)設(shè)備。步驟6、第二報(bào)文轉(zhuǎn)發(fā)設(shè)備接收DDoS防護(hù)策略后,可以基于DDoS防護(hù)策略進(jìn)行黑洞路由、限流(限速)、丟棄、本地清洗、動(dòng)態(tài)引流清洗、本地清洗等DDoS防護(hù)策略。其中,本地清洗指報(bào)文轉(zhuǎn)發(fā)設(shè)備對(duì)符合DDoS防護(hù)策略的流量進(jìn)行DDoS防護(hù)清洗處理;動(dòng)態(tài)引流清洗指報(bào)文轉(zhuǎn)發(fā)設(shè)備將符合DDoS防護(hù)策略的流量引流至專業(yè)清洗設(shè)備進(jìn)行清洗,清洗后的流量由該清洗設(shè)備回注到SDN中。步驟7、第二報(bào)文轉(zhuǎn)發(fā)設(shè)備接收控制器發(fā)送的防護(hù)消除指示消息后,恢復(fù)流量正常轉(zhuǎn)發(fā)路徑,關(guān)閉引流,清洗設(shè)備停止清洗處理。需要說明的是,所述第一報(bào)文轉(zhuǎn)發(fā)設(shè)備針對(duì)流向所述目的地IP地址的流量的所進(jìn)行的流量統(tǒng)計(jì),在OpenFlow協(xié)議規(guī)定的流程中通過流水線處理實(shí)現(xiàn)。具體的:首先,第一報(bào)文轉(zhuǎn)發(fā)設(shè)備定義目的IP監(jiān)控表為流表,當(dāng)某個(gè)流量的目的IP地址命中IP監(jiān)控表中的目的地IP地址時(shí),則認(rèn)為命中該流表表項(xiàng),第一報(bào)文轉(zhuǎn)發(fā)設(shè)備提取該流量數(shù)據(jù)報(bào)文的信息,刷新該表項(xiàng)的統(tǒng)計(jì)結(jié)果,通常,統(tǒng)計(jì)結(jié)果的形式為:第一報(bào)文轉(zhuǎn)發(fā)設(shè)備的統(tǒng)計(jì)數(shù)值=第一報(bào)文轉(zhuǎn)發(fā)設(shè)備的統(tǒng)計(jì)原數(shù)值+數(shù)據(jù)包個(gè)數(shù);第一報(bào)文轉(zhuǎn)發(fā)設(shè)備同時(shí)檢查監(jiān)測(cè)周期是否到達(dá),若到達(dá),則把動(dòng)作項(xiàng)(action)設(shè)置為發(fā)該第一報(bào)文轉(zhuǎn)發(fā)設(shè)備的統(tǒng)計(jì)數(shù)據(jù)的日志給控制器,并清空該第一報(bào)文轉(zhuǎn)發(fā)設(shè)備緩存的統(tǒng)計(jì)結(jié)果,進(jìn)入下一個(gè)統(tǒng)計(jì)周期。下面通過具體實(shí)施例對(duì)上述SDN中的控制器和報(bào)文轉(zhuǎn)發(fā)設(shè)備進(jìn)行說明。圖10為本發(fā)明實(shí)施例提供的另一種基于SDN的DDoS攻擊防護(hù)方法的流程示意圖,該方法執(zhí)行主體為上述控制器,該控制器可以采用圖4或圖7所示的結(jié)構(gòu),參照?qǐng)D10,該方法包括如下流程:步驟100、控制器向第一報(bào)文轉(zhuǎn)發(fā)設(shè)備下發(fā)流量統(tǒng)計(jì)指令,所述流量統(tǒng)計(jì)指令用于指示所述第一報(bào)文轉(zhuǎn)發(fā)設(shè)備進(jìn)行流量統(tǒng)計(jì);其中,所述流量統(tǒng)計(jì)指令攜帶目的地IP地址。步驟101、所述控制器收集所述第一報(bào)文轉(zhuǎn)發(fā)設(shè)備根據(jù)所述流量統(tǒng)計(jì)指令上報(bào)的統(tǒng)計(jì)數(shù)據(jù),所述統(tǒng)計(jì)數(shù)據(jù)包含流向所述目的地IP地址的流量統(tǒng)計(jì)信息;步驟102、所述控制器根據(jù)所述統(tǒng)計(jì)數(shù)據(jù),獲得流向所述目的地IP地址的全局流量統(tǒng)計(jì)值;其中,所述全局流量統(tǒng)計(jì)值表示所述控制器對(duì)包括所述第一報(bào)文轉(zhuǎn)發(fā)設(shè)備在內(nèi)的至少兩個(gè)報(bào)文轉(zhuǎn)發(fā)設(shè)備上報(bào)的統(tǒng)計(jì)數(shù)據(jù)進(jìn)行匯總后,獲得的用于反映所述SDN范圍內(nèi)流向所述目的地IP地址的流量的統(tǒng)計(jì)值;步驟103、所述控制器判斷所述全局流量統(tǒng)計(jì)值是否超過預(yù)定閾值;步驟104、所述控制器基于所述全局流量統(tǒng)計(jì)值超過預(yù)定閾值的判斷結(jié)果,向第二報(bào)文轉(zhuǎn)發(fā)設(shè)備下發(fā)DDoS防護(hù)策略。本發(fā)明實(shí)施例提供的基于SDN的DDoS攻擊防護(hù)方法,通過控制器向第一報(bào)文轉(zhuǎn)發(fā)設(shè)備下發(fā)流量統(tǒng)計(jì)指令,所述流量統(tǒng)計(jì)指令用于指示所述第一報(bào)文轉(zhuǎn)發(fā)設(shè)備進(jìn)行流量統(tǒng)計(jì);其中,所述流量統(tǒng)計(jì)指令攜帶目的地IP地址;所述控制器收集所述第一報(bào)文轉(zhuǎn)發(fā)設(shè)備根據(jù)所述流量統(tǒng)計(jì)指令上報(bào)的統(tǒng)計(jì)數(shù)據(jù),所述統(tǒng)計(jì)數(shù)據(jù)包含流向所述目的地IP地址的流量統(tǒng)計(jì)信息;所述控制器根據(jù)所述統(tǒng)計(jì)數(shù)據(jù),獲得流向所述目的地IP地址的全局流量統(tǒng)計(jì)值;其中,所述全局流量統(tǒng)計(jì)值表示所述控制器對(duì)包括所述第一報(bào)文轉(zhuǎn)發(fā)設(shè)備在內(nèi)的至少兩個(gè)報(bào)文轉(zhuǎn)發(fā)設(shè)備上報(bào)的統(tǒng)計(jì)數(shù)據(jù)進(jìn)行匯總后,獲得的用于反映所述SDN范圍內(nèi)流向所述目的地IP地址的流量的統(tǒng)計(jì)值;所述控制器判斷所述全局流量統(tǒng)計(jì)值是否超過預(yù)定閾值,基于所述全局流量統(tǒng)計(jì)值超過預(yù)定閾值的判斷結(jié)果,向第二報(bào)文轉(zhuǎn)發(fā)設(shè)備下發(fā)DDoS防護(hù)策略。降低了DDoS攻擊對(duì)網(wǎng)絡(luò)的影響范圍,提高了網(wǎng)絡(luò)安全性。可選的,所述流量統(tǒng)計(jì)指令還攜帶:檢測(cè)起始時(shí)刻;其中,所述檢測(cè)起始時(shí)刻用于告知所述第一報(bào)文轉(zhuǎn)發(fā)設(shè)備進(jìn)行所述流量統(tǒng)計(jì)的起始時(shí)刻,所述流量統(tǒng)計(jì)被所述第一報(bào)文轉(zhuǎn)發(fā)設(shè)備以檢測(cè)周期的方式持續(xù)執(zhí)行,所述統(tǒng)計(jì)數(shù)據(jù)被所述第一報(bào)文轉(zhuǎn)發(fā)設(shè)備以所述檢測(cè)周期上報(bào)給所述控制器。進(jìn)一步的,控制器需要一種判斷網(wǎng)絡(luò)攻擊是否停止的機(jī)制,具體的,在圖10的基礎(chǔ)上,圖11為本發(fā)明實(shí)施例提供的另一種基于SDN的DDoS攻擊防護(hù)方法的流程示意圖,參照?qǐng)D11,在步驟104之后,還包括:步驟105、所述控制器確定在至少兩個(gè)連續(xù)的檢測(cè)周期內(nèi)所述全局流量統(tǒng)計(jì)值未超過所述預(yù)定閾值;步驟106、所述控制器向所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備下發(fā)防護(hù)消除指示消息;所述防護(hù)消除指示消息用于指示所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備結(jié)束執(zhí)行所述 DDoS防護(hù)策略。可選的,控制器還可以針對(duì)位于SDN邊界靠近攻擊源的報(bào)文轉(zhuǎn)發(fā)設(shè)備下發(fā)DDoS防護(hù)策略,具體的,具體的,在圖10的基礎(chǔ)上,圖12為本發(fā)明實(shí)施例提供的另一種基于SDN的DDoS攻擊防護(hù)方法的流程示意圖,參照?qǐng)D12,在步驟104之前,還包括:步驟107、所述控制器根據(jù)所述統(tǒng)計(jì)數(shù)據(jù),確定攻擊路徑上距離攻擊源最近的報(bào)文轉(zhuǎn)發(fā)設(shè)備,將所述距離攻擊源最近的報(bào)文轉(zhuǎn)發(fā)設(shè)備作為所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備。進(jìn)一步的,所述流向所述目的地IP地址的流量統(tǒng)計(jì)信息,包括:所述第一報(bào)文轉(zhuǎn)發(fā)設(shè)備上流向所述目的地IP地址的流量值;步驟107的一種可能的實(shí)現(xiàn)方式為:所述控制器根據(jù)所述第一報(bào)文轉(zhuǎn)發(fā)設(shè)備上流向所述目的地IP地址的流量值,確定第一攻擊路徑;所述第一攻擊路徑為流向所述目的地IP地址的至少一條攻擊路徑中流量值最大的攻擊路徑;所述控制器根據(jù)所述第一攻擊路徑,確定所述距離攻擊源最近的報(bào)文轉(zhuǎn)發(fā)設(shè)備;所述距離攻擊源最近的報(bào)文轉(zhuǎn)發(fā)設(shè)備位于所述第一攻擊路徑上的、所述流向所述目的地IP地址的流量的源地址側(cè)的SDN邊界處。下面對(duì)方式二中“所述控制器根據(jù)所述統(tǒng)計(jì)數(shù)據(jù)確定攻擊路徑上距離攻擊源最近的報(bào)文轉(zhuǎn)發(fā)設(shè)備”做進(jìn)一步說明,圖13為攻擊路徑及最近攻擊源頭判定示意圖,參照?qǐng)D13,其中SDN包括:報(bào)文轉(zhuǎn)發(fā)設(shè)備A至G、控制器;其中,報(bào)文轉(zhuǎn)發(fā)設(shè)備A與ISP網(wǎng)絡(luò)1連接,并且網(wǎng)絡(luò)攻擊的攻擊源處于該ISP網(wǎng)絡(luò)1中,報(bào)文轉(zhuǎn)發(fā)設(shè)備B與ISP網(wǎng)絡(luò)2連接,報(bào)文轉(zhuǎn)發(fā)設(shè)備F與ISP網(wǎng)絡(luò)3連接,報(bào)文轉(zhuǎn)發(fā)設(shè)備F與目的地IP所處的網(wǎng)絡(luò)連接,該目的地IP為網(wǎng)絡(luò)攻擊的流量的目的地IP,即受害主機(jī)的IP;由于報(bào)文轉(zhuǎn)發(fā)設(shè)備A、報(bào)文轉(zhuǎn)發(fā)設(shè)備B、報(bào)文轉(zhuǎn)發(fā)設(shè)備E和報(bào)文轉(zhuǎn)發(fā)設(shè)備F分別用于其他網(wǎng)絡(luò)接入SDN,因此這些報(bào)文轉(zhuǎn)發(fā)設(shè)備處于SDN的邊界。參照?qǐng)D13,首先,控制器根據(jù)SDN的拓?fù)潢P(guān)系,確定距離目的地IP最近的報(bào)文轉(zhuǎn)發(fā)設(shè)備E和上述幾個(gè)處于SDN邊界的報(bào)文轉(zhuǎn)發(fā)設(shè)備,由于在SDN 中,從攻擊源流向目的地IP的網(wǎng)絡(luò)攻擊流量可能存在多種路徑,例如,該流量路徑可以為:報(bào)文轉(zhuǎn)發(fā)設(shè)備A→報(bào)文轉(zhuǎn)發(fā)設(shè)備G→報(bào)文轉(zhuǎn)發(fā)設(shè)備E,下文簡(jiǎn)稱第一攻擊路徑;報(bào)文轉(zhuǎn)發(fā)設(shè)備F→報(bào)文轉(zhuǎn)發(fā)設(shè)備E,下文簡(jiǎn)稱第二攻擊路徑;報(bào)文轉(zhuǎn)發(fā)設(shè)備B→報(bào)文轉(zhuǎn)發(fā)設(shè)備G→報(bào)文轉(zhuǎn)發(fā)設(shè)備E,下文簡(jiǎn)稱第三攻擊路徑;控制器統(tǒng)計(jì)各個(gè)攻擊路徑上流向目的地IP的流量的統(tǒng)計(jì)數(shù)據(jù),控制器對(duì)各個(gè)攻擊路徑上流向目的地IP的流量大小進(jìn)行排序,確定第一攻擊路徑為流量最大的攻擊路徑,則控制器確定報(bào)文轉(zhuǎn)發(fā)設(shè)備A距離攻擊源頭最近。繼續(xù)參照?qǐng)D13,對(duì)上文所述第一報(bào)文轉(zhuǎn)發(fā)設(shè)備和第一報(bào)文轉(zhuǎn)發(fā)設(shè)備進(jìn)行說明。當(dāng)控制器向第一報(bào)文轉(zhuǎn)發(fā)設(shè)備下發(fā)流量統(tǒng)計(jì)指令后,第一報(bào)文轉(zhuǎn)發(fā)設(shè)備根據(jù)該流量統(tǒng)計(jì)指令進(jìn)行流量統(tǒng)計(jì),對(duì)于圖13中的報(bào)文轉(zhuǎn)發(fā)設(shè)備,報(bào)文轉(zhuǎn)發(fā)設(shè)備A至G均可以進(jìn)行流量統(tǒng)計(jì),因此報(bào)文轉(zhuǎn)發(fā)設(shè)備A至G都可以作為第一報(bào)文轉(zhuǎn)發(fā)設(shè)備;進(jìn)一步的,當(dāng)控制器確定報(bào)文轉(zhuǎn)發(fā)設(shè)備A距離攻擊源頭最近后,控制器向報(bào)文轉(zhuǎn)發(fā)設(shè)備A下發(fā)DDoS防護(hù)策略,則將報(bào)文轉(zhuǎn)發(fā)設(shè)備A作為第二報(bào)文轉(zhuǎn)發(fā)設(shè)備;或者,由于流向目的地IP的網(wǎng)絡(luò)攻擊流量可能分別經(jīng)過報(bào)文轉(zhuǎn)發(fā)設(shè)備A、B和F,控制器可以分別向報(bào)文轉(zhuǎn)發(fā)設(shè)備A、B和F下發(fā)DDoS防護(hù)策略,則將報(bào)文轉(zhuǎn)發(fā)設(shè)備A、B和F都作為第二報(bào)文轉(zhuǎn)發(fā)設(shè)備??蛇x的,所述DDoS防護(hù)策略包含如下任意一種響應(yīng)策略:黑洞路由響應(yīng)策略、限流響應(yīng)策略、限速響應(yīng)策略、丟棄響應(yīng)策略、本地清洗響應(yīng)策略、動(dòng)態(tài)引流清洗響應(yīng)策略;其中,所述黑洞路由響應(yīng)策略用于指示所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備通過配置黑洞路由對(duì)所述流向所述目的地IP地址的流量進(jìn)行報(bào)文丟棄處理;所述限流響應(yīng)策略用于指示所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備對(duì)所述流向所述目的地IP地址的流量進(jìn)行限流處理;所述限速響應(yīng)策略用于指示所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備對(duì)所述流向所述目的地IP地址的流量進(jìn)行限速處理;所述丟棄響應(yīng)策略用于指示所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備對(duì)所述流向所述目的地IP地址的流量進(jìn)行報(bào)文丟棄處理;所述本地清洗響應(yīng)策略用于指示所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備在本地對(duì)流向所述目的地IP地址的流量進(jìn)行清洗處理;所述動(dòng)態(tài)引流清洗響應(yīng)策略用于指示所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備將所述流向所述目的地IP地址的流量發(fā)送到清洗設(shè)備上進(jìn)行清洗處理。對(duì)于所述動(dòng)態(tài)引流清洗響應(yīng)策略,在所述控制器下發(fā)動(dòng)態(tài)引流清洗響應(yīng)策略之前,需要控制器確定一條對(duì)網(wǎng)絡(luò)沖擊最小的路徑來(lái)進(jìn)行流量的引流,下面給出幾種可能的實(shí)現(xiàn)方式進(jìn)行說明。方式一:在圖10的基礎(chǔ)上,圖14為本發(fā)明實(shí)施例提供的另一種基于SDN的DDoS攻擊防護(hù)方法的流程示意圖,參照?qǐng)D14,所述統(tǒng)計(jì)數(shù)據(jù)還包含:所述第一報(bào)文轉(zhuǎn)發(fā)設(shè)備的負(fù)載值;進(jìn)一步的,在步驟104之前,還包括:步驟108、所述控制器根據(jù)所述第一報(bào)文轉(zhuǎn)發(fā)設(shè)備的負(fù)載值確定第一引流路徑;所述第一引流路徑為所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備至所述清洗設(shè)備之間負(fù)載最小的路徑;所述第一引流路徑包含所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備和所述清洗設(shè)備;則所述控制器向所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備下發(fā)的DDoS防護(hù)策略為所述動(dòng)態(tài)引流清洗響應(yīng)策略;具體的,所述動(dòng)態(tài)引流清洗響應(yīng)策略包含第一引流路徑指示信息,所述第一引流路徑指示信息用于指示所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備將所述流向所述目的地IP地址的流量通過所述第一引流路徑發(fā)送到所述清洗設(shè)備上進(jìn)行清洗處理。方式二:在圖10的基礎(chǔ)上,圖15為本發(fā)明實(shí)施例提供的另一種基于SDN的DDoS攻擊防護(hù)方法的流程示意圖,參照?qǐng)D15,在步驟104之前,還包括:步驟109、所述控制器根據(jù)SDN拓?fù)潢P(guān)系確定第二引流路徑;具體的,所述第二引流路徑為所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備至所述清洗設(shè)備之間距離最近的路徑,所述SDN拓?fù)潢P(guān)系包含所述SDN中各個(gè)報(bào)文轉(zhuǎn)發(fā)設(shè)備以及所述清洗設(shè)備的連接關(guān)系;則所述控制器向所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備下發(fā)DDoS防護(hù)策略為所述動(dòng)態(tài)引流清洗響應(yīng)策略;具體的,所述動(dòng)態(tài)引流清洗響應(yīng)策略包含第二引流路徑指示信息,所述第二引流路徑指示信息用于指示所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備將所述流向所述目的地IP地址的流量通過所述第二引流路徑發(fā)送到所述清洗設(shè)備上進(jìn)行清洗處 理。參照?qǐng)D13,對(duì)方式一中的“第一引流路徑”進(jìn)行說明:例如,假設(shè)報(bào)文轉(zhuǎn)發(fā)設(shè)備F收到控制器發(fā)送的流量統(tǒng)計(jì)指令,該F作為第一報(bào)文轉(zhuǎn)發(fā)設(shè)備進(jìn)行流量統(tǒng)計(jì);并將統(tǒng)計(jì)數(shù)據(jù)上報(bào)給控制器;若控制器向該F下發(fā)動(dòng)態(tài)引流清洗響應(yīng)策略,則該F作為第二報(bào)文轉(zhuǎn)發(fā)設(shè)備執(zhí)行該動(dòng)態(tài)引流清洗響應(yīng)策略;該F與清洗設(shè)備連接;由于動(dòng)態(tài)引流清洗響應(yīng)策略包含第一引流路徑指示信息,所述第一引流路徑指示信息用于指示該F將所述流向所述目的地IP地址的流量通過所述第一引流路徑發(fā)送到所述清洗設(shè)備上進(jìn)行清洗處理。由于該F直接與清洗設(shè)備連接,顯然F-清洗設(shè)備的引流路徑為該F至所述清洗設(shè)備之間負(fù)載最小的路徑,則第一引流路徑包含又例如,假設(shè)清洗設(shè)備與報(bào)文轉(zhuǎn)發(fā)設(shè)備D連接,若控制器向該F下發(fā)動(dòng)態(tài)引流清洗響應(yīng)策略,則該F作為第二報(bào)文轉(zhuǎn)發(fā)設(shè)備執(zhí)行該動(dòng)態(tài)引流清洗響應(yīng)策略,此時(shí)從F將流量引向清洗設(shè)備包含多種可能的引流路徑,如:F-E-G-D-清洗設(shè)備;F-A-G-D-清洗設(shè)備等;不同引流路徑的負(fù)載不一樣,控制器基于上述路徑的報(bào)文轉(zhuǎn)發(fā)設(shè)備作為第一報(bào)文轉(zhuǎn)發(fā)設(shè)備時(shí)上報(bào)的統(tǒng)計(jì)數(shù)據(jù),確定第一引流路徑,例如F-E-G-D-清洗設(shè)備的負(fù)載最小,則第一引流路徑包含F(xiàn)、E、G、D和清洗設(shè)備。需要說明的是,圖14和圖15所示的步驟可以結(jié)合圖10所示的步驟實(shí)現(xiàn),也可以結(jié)合圖11和圖12所示的步驟實(shí)現(xiàn)。對(duì)于上文所示控制器側(cè)的實(shí)施例,下面對(duì)報(bào)文轉(zhuǎn)發(fā)設(shè)備側(cè)的方法流程進(jìn)行說明。圖16為本發(fā)明實(shí)施例提供的另一種基于SDN的DDoS攻擊防護(hù)方法的流程示意圖,所述方法應(yīng)用于SDN系統(tǒng)中,所述SDN系統(tǒng)包括控制器和報(bào)文轉(zhuǎn)發(fā)設(shè)備,該方法執(zhí)行主體為上述報(bào)文轉(zhuǎn)發(fā)設(shè)備,該報(bào)文轉(zhuǎn)發(fā)設(shè)備可以采用圖5或圖8所示的結(jié)構(gòu),參照?qǐng)D16,該方法包括如下流程:步驟200、接收所述控制器發(fā)送的流量統(tǒng)計(jì)指令,所述流量統(tǒng)計(jì)指令用于指示所述報(bào)文轉(zhuǎn)發(fā)設(shè)備進(jìn)行流量統(tǒng)計(jì);其中,所述流量統(tǒng)計(jì)指令攜帶目的地IP地址;步驟201、根據(jù)所述流量統(tǒng)計(jì)指令統(tǒng)計(jì)流向所述目的地IP地址的流量統(tǒng)計(jì)信息;步驟202、向所述控制器上報(bào)統(tǒng)計(jì)數(shù)據(jù),所述統(tǒng)計(jì)數(shù)據(jù)包含所述流向所述目的地IP地址的流量統(tǒng)計(jì)信息。本發(fā)明實(shí)施例提供的基于SDN的DDoS攻擊防護(hù)方法,通過報(bào)文轉(zhuǎn)發(fā)設(shè)備接收所述控制器發(fā)送的流量統(tǒng)計(jì)指令,所述流量統(tǒng)計(jì)指令用于指示所述報(bào)文轉(zhuǎn)發(fā)設(shè)備進(jìn)行流量統(tǒng)計(jì);其中,所述流量統(tǒng)計(jì)指令攜帶目的地IP地址;報(bào)文轉(zhuǎn)發(fā)設(shè)備根據(jù)所述流量統(tǒng)計(jì)指令統(tǒng)計(jì)流向所述目的地IP地址的流量統(tǒng)計(jì)信息;報(bào)文轉(zhuǎn)發(fā)設(shè)備向所述控制器上報(bào)統(tǒng)計(jì)數(shù)據(jù),所述統(tǒng)計(jì)數(shù)據(jù)包含所述流向所述目的地IP地址的流量統(tǒng)計(jì)信息。由于報(bào)文轉(zhuǎn)發(fā)設(shè)備針對(duì)流向該目的地IP地址的流量進(jìn)行流量統(tǒng)計(jì),并將統(tǒng)計(jì)數(shù)據(jù)上報(bào)給控制器,使得控制器能夠基于該統(tǒng)計(jì)數(shù)據(jù)判斷是否發(fā)生DDoS攻擊,從而觸發(fā)相應(yīng)的DDoS防護(hù)策略;從而降低了DDoS攻擊對(duì)網(wǎng)絡(luò)的影響范圍,提高了網(wǎng)絡(luò)安全性。需要說明的是,執(zhí)行上述步驟200至202的報(bào)文轉(zhuǎn)發(fā)設(shè)備,根據(jù)其功能可以被定義為上文所述第一報(bào)文轉(zhuǎn)發(fā)設(shè)備;可選的,所述流量統(tǒng)計(jì)指令還攜帶:檢測(cè)起始時(shí)刻;其中,所述檢測(cè)起始時(shí)刻用于告知所述報(bào)文轉(zhuǎn)發(fā)設(shè)備進(jìn)行所述流量統(tǒng)計(jì)的起始時(shí)刻,以檢測(cè)周期的方式持續(xù)進(jìn)行所述流量統(tǒng)計(jì),以所述檢測(cè)周期上報(bào)所述統(tǒng)計(jì)數(shù)據(jù)給所述控制器。進(jìn)一步的,當(dāng)控制器執(zhí)行判斷網(wǎng)絡(luò)攻擊是否停止的機(jī)制時(shí),具體的,在圖16的基礎(chǔ)上,圖17為本發(fā)明實(shí)施例提供的另一種基于SDN的DDoS攻擊防護(hù)方法的流程示意圖,在步驟202之后,還包括:步驟203、接收所述控制器發(fā)送的DDoS防護(hù)策略;步驟204、根據(jù)所述DDoS防護(hù)策略對(duì)所述流向所述目的地IP地址的流量進(jìn)行防護(hù)處理。在圖17的基礎(chǔ)上,圖18為本發(fā)明實(shí)施例提供的另一種基于SDN的DDoS攻擊防護(hù)方法的流程示意圖,在步驟204之后,還包括:步驟205、接收所述控制器發(fā)送的防護(hù)消除指示消息;所述防護(hù)消除指示消息用于指示所述報(bào)文轉(zhuǎn)發(fā)設(shè)備結(jié)束執(zhí)行所述DDoS防護(hù)策略;步驟206、根據(jù)所述防護(hù)消除指示消息停止對(duì)所述流向所述目的地IP地址的流量進(jìn)行防護(hù)處理。可選的,所述DDoS防護(hù)策略包含如下任意一種響應(yīng)策略:黑洞路由響 應(yīng)策略、限流響應(yīng)策略、限速響應(yīng)策略、丟棄響應(yīng)策略、本地清洗響應(yīng)策略、動(dòng)態(tài)引流清洗響應(yīng)策略;其中,所述黑洞路由響應(yīng)策略用于指示所述報(bào)文轉(zhuǎn)發(fā)設(shè)備通過配置黑洞路由對(duì)所述流向所述目的地IP地址的流量進(jìn)行報(bào)文丟棄處理;則步驟204的一種可能的實(shí)現(xiàn)方式為:根據(jù)所述黑洞路由響應(yīng)策略采用黑洞路由對(duì)所述流向所述目的地IP地址的流量進(jìn)行報(bào)文丟棄處理;所述限流響應(yīng)策略用于指示所述報(bào)文轉(zhuǎn)發(fā)設(shè)備對(duì)所述流向所述目的地IP地址的流量進(jìn)行限流處理;則步驟204的一種可能的實(shí)現(xiàn)方式為:根據(jù)所述限流響應(yīng)策略對(duì)所述流向所述目的地IP地址的流量進(jìn)行限流處理;所述限速響應(yīng)策略用于指示所述報(bào)文轉(zhuǎn)發(fā)設(shè)備對(duì)所述流向所述目的地IP地址的流量進(jìn)行限速處理;則步驟204的一種可能的實(shí)現(xiàn)方式為:根據(jù)所述限速響應(yīng)策略對(duì)所述流向所述目的地IP地址的流量進(jìn)行限速處理;所述丟棄響應(yīng)策略用于指示所述報(bào)文轉(zhuǎn)發(fā)設(shè)備對(duì)所述流向所述目的地IP地址的流量進(jìn)行報(bào)文丟棄處理;則步驟204的一種可能的實(shí)現(xiàn)方式為:根據(jù)所述丟棄響應(yīng)策略對(duì)所述流向所述目的地IP地址的流量進(jìn)行報(bào)文丟棄處理;所述本地清洗響應(yīng)策略用于指示所述報(bào)文轉(zhuǎn)發(fā)設(shè)備在本地對(duì)所述流向所述目的地IP地址的流量進(jìn)行清洗處理;則步驟204的一種可能的實(shí)現(xiàn)方式為:根據(jù)所述本地清洗響應(yīng)策略在本地對(duì)所述流向所述目的地IP地址的流量進(jìn)行清洗處理;所述動(dòng)態(tài)引流清洗響應(yīng)策略用于指示所述報(bào)文轉(zhuǎn)發(fā)設(shè)備將所述流向所述目的地IP地址的流量發(fā)送到清洗設(shè)備上進(jìn)行清洗處理;則步驟204的一種可能的實(shí)現(xiàn)方式為:根據(jù)所述動(dòng)態(tài)引流清洗響應(yīng)策略將所述流向所述目的地IP地址的流量發(fā)送到清洗設(shè)備上進(jìn)行清洗處理。對(duì)于所述動(dòng)態(tài)引流清洗響應(yīng)策略,在所述控制器下發(fā)動(dòng)態(tài)引流清洗響應(yīng)策略之前,需要控制器確定一條對(duì)網(wǎng)絡(luò)沖擊最小的路徑來(lái)進(jìn)行流量的引流,為了配合控制器側(cè)實(shí)現(xiàn)基于對(duì)網(wǎng)絡(luò)沖擊最小的路徑進(jìn)行引流的方案,下面對(duì)報(bào)文轉(zhuǎn)發(fā)設(shè)備需要執(zhí)行的方法流程進(jìn)行說明。方式一:所述統(tǒng)計(jì)數(shù)據(jù)還包含:所述第一報(bào)文轉(zhuǎn)發(fā)設(shè)備的負(fù)載值;所述動(dòng)態(tài)引流清洗響應(yīng)策略包含第一引流路徑指示信息,所述第一引流路徑指示信息用于指示所述報(bào)文轉(zhuǎn)發(fā)設(shè)備將所述流向所述目的地IP地址的流量通過所述第一引流路徑發(fā)送到所述清洗設(shè)備上進(jìn)行清洗處理;所述第一引流路徑為所述報(bào)文轉(zhuǎn)發(fā)設(shè)備至所述清洗設(shè)備之間負(fù)載最小的路徑;所述第一引流路徑包含所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備和所述清洗設(shè)備;則步驟204的一種可能的實(shí)現(xiàn)方式為:根據(jù)所述動(dòng)態(tài)引流清洗響應(yīng)策略,將所述流向所述目的地IP地址的流量通過所述第一引流路徑發(fā)送到所述清洗設(shè)備上進(jìn)行清洗處理。方式二:所述動(dòng)態(tài)引流清洗響應(yīng)策略包含第二引流路徑指示信息,所述第二引流路徑指示信息用于指示所述報(bào)文轉(zhuǎn)發(fā)設(shè)備將所述流向所述目的地IP地址的流量通過所述第二引流路徑發(fā)送到所述清洗設(shè)備上進(jìn)行清洗處理;所述第二引流路徑為所述報(bào)文轉(zhuǎn)發(fā)設(shè)備至所述清洗設(shè)備之間距離最近的路徑;則步驟204的一種可能的實(shí)現(xiàn)方式為:根據(jù)所述動(dòng)態(tài)引流清洗響應(yīng)策略,將所述流向所述目的地IP地址的流量通過所述第二引流路徑發(fā)送到所述清洗設(shè)備上進(jìn)行清洗處理。對(duì)于本地清洗指示,下面給出一種可能的處理方式,圖19為本地清洗處理流程示意圖,參照?qǐng)D19,該流程包括對(duì)數(shù)據(jù)報(bào)文分類的處理過程:步驟300、判斷數(shù)據(jù)報(bào)文是否屬于傳輸控制協(xié)議(TransmissionControlProtocol,簡(jiǎn)稱:TCP)協(xié)議;若是則執(zhí)行步驟301,否則執(zhí)行步驟308;步驟301、判斷所述數(shù)據(jù)報(bào)文是否是超文本傳送協(xié)議(HyperTextTransferProtocol,簡(jiǎn)稱;HTTP)報(bào)文;若是,則采用HTTP報(bào)文處理函數(shù)對(duì)數(shù)據(jù)報(bào)文進(jìn)行清洗處理;否則執(zhí)行步驟302;步驟302、判斷所述數(shù)據(jù)報(bào)文是否是域名系統(tǒng)(DomainNameSystem,簡(jiǎn)稱:DNS)報(bào)文;若是,則采用DNS報(bào)文處理函數(shù)對(duì)數(shù)據(jù)報(bào)文進(jìn)行清洗處理;否則執(zhí)行步 驟303;步驟303、判斷所述數(shù)據(jù)報(bào)文是否是TCP分片報(bào)文;若是,則采用TCP分片報(bào)文處理函數(shù)對(duì)數(shù)據(jù)報(bào)文進(jìn)行清洗處理;否則執(zhí)行步驟304;步驟304、判斷所述數(shù)據(jù)報(bào)文是否是同步(Synchronous,簡(jiǎn)稱:Syn)報(bào)文;若是,則采用Syn報(bào)文處理函數(shù)對(duì)數(shù)據(jù)報(bào)文進(jìn)行清洗處理;否則執(zhí)行步驟305;步驟305、判斷所述數(shù)據(jù)報(bào)文是否是確認(rèn)(Acknowledgement,簡(jiǎn)稱:ACK)報(bào)文;若是,則采用ACK報(bào)文處理函數(shù)對(duì)數(shù)據(jù)報(bào)文進(jìn)行清洗處理;否則執(zhí)行步驟306;步驟306、判斷所述數(shù)據(jù)報(bào)文是否是Syn-ACK報(bào)文;若是,則采用Syn-ACK報(bào)文處理函數(shù)對(duì)數(shù)據(jù)報(bào)文進(jìn)行清洗處理;否則執(zhí)行步驟307;步驟307、判斷所述數(shù)據(jù)報(bào)文是否是復(fù)位(RST)報(bào)文;若是,則采用復(fù)位報(bào)文處理函數(shù)對(duì)數(shù)據(jù)報(bào)文進(jìn)行清洗處理;否則執(zhí)行返回步驟;步驟308、判斷所述數(shù)據(jù)報(bào)文是否屬于用戶數(shù)據(jù)包協(xié)議(UserDatagramProtocol,簡(jiǎn)稱:UDP)協(xié)議;若是,則執(zhí)行步驟309;否則執(zhí)行返回步驟;步驟309、判斷所述數(shù)據(jù)報(bào)文是否是DNS詢問報(bào)文;若是,則采用詢問報(bào)文處理函數(shù)對(duì)數(shù)據(jù)報(bào)文進(jìn)行清洗處理;否則執(zhí)行步驟310;步驟310、判斷所述數(shù)據(jù)報(bào)文是否是DNS響應(yīng)報(bào)文;若是,則采用詢問報(bào)文處理函數(shù)對(duì)數(shù)據(jù)報(bào)文進(jìn)行清洗處理;否則執(zhí)行步驟311;步驟311、判斷所述數(shù)據(jù)報(bào)文是否是會(huì)話初始協(xié)議(SessionInitiationProtocol,簡(jiǎn)稱:SIP)報(bào)文;若是,則采用SIP報(bào)文處理函數(shù)對(duì)數(shù)據(jù)報(bào)文進(jìn)行清洗處理;否則執(zhí)行步 驟312;步驟312、判斷所述數(shù)據(jù)報(bào)文是否是UDP分片報(bào)文;若是,則采用UDP分片報(bào)文處理函數(shù)對(duì)數(shù)據(jù)報(bào)文進(jìn)行清洗處理;否則采用UDP報(bào)文對(duì)所述數(shù)據(jù)報(bào)文進(jìn)行清洗處理。需要說明的是,圖19所示方案僅為一種可能的實(shí)現(xiàn)方案,對(duì)于其他能夠?qū)崿F(xiàn)本地清理的處理流程,本實(shí)施例不予限定。需要說明的是,執(zhí)行上述步驟203至206的報(bào)文轉(zhuǎn)發(fā)設(shè)備,根據(jù)其功能可以被定義為上文所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備。針對(duì)圖10至圖15對(duì)應(yīng)實(shí)施例所示的控制器執(zhí)行的流程,和圖16至圖19對(duì)應(yīng)實(shí)施例所示的報(bào)文轉(zhuǎn)發(fā)設(shè)備執(zhí)行的流程,下面通過具體實(shí)施例對(duì)控制器與報(bào)文轉(zhuǎn)發(fā)設(shè)備之間的交互進(jìn)行說明,圖20為本發(fā)明實(shí)施例提供的一種基于SDN的DDoS攻擊防護(hù)方法的交互流程示意圖,參照?qǐng)D20,該交互流程包括:步驟400、控制器向第一報(bào)文轉(zhuǎn)發(fā)設(shè)備下發(fā)流量統(tǒng)計(jì)指令;步驟401、第一報(bào)文轉(zhuǎn)發(fā)設(shè)備根據(jù)所述流量統(tǒng)計(jì)指令統(tǒng)計(jì)流向所述目的地IP地址的流量統(tǒng)計(jì)信息;步驟402、控制器接收第一報(bào)文轉(zhuǎn)發(fā)設(shè)備發(fā)送的統(tǒng)計(jì)數(shù)據(jù);步驟403、所述控制器根據(jù)所述統(tǒng)計(jì)數(shù)據(jù),獲得流向所述目的地IP地址的全局流量統(tǒng)計(jì)值;步驟404、所述控制器判斷所述全局流量統(tǒng)計(jì)值是否超過預(yù)定閾值;步驟405、所述控制器基于所述全局流量統(tǒng)計(jì)值超過預(yù)定閾值的判斷結(jié)果,向第二報(bào)文轉(zhuǎn)發(fā)設(shè)備下發(fā)DDoS防護(hù)策略;步驟406、第二報(bào)文轉(zhuǎn)發(fā)設(shè)備根據(jù)所述DDoS防護(hù)策略對(duì)所述流向所述目的地IP地址的流量進(jìn)行防護(hù)處理。步驟407、所述控制器確定在至少兩個(gè)連續(xù)的檢測(cè)周期內(nèi)所述全局流量統(tǒng)計(jì)值未超過所述預(yù)定閾值;步驟408、所述控制器向所述第二報(bào)文轉(zhuǎn)發(fā)設(shè)備下發(fā)防護(hù)消除指示消息;步驟409、第二報(bào)文轉(zhuǎn)發(fā)設(shè)備根據(jù)所述防護(hù)消除指示消息停止對(duì)所述流向所述目的地IP地址的流量進(jìn)行防護(hù)處理。下面通過具體實(shí)施例對(duì)控制器與報(bào)文轉(zhuǎn)發(fā)設(shè)備之間的交互進(jìn)行說明,圖 21為本發(fā)明實(shí)施例提供的另一種基于SDN網(wǎng)絡(luò)的DDoS攻擊防護(hù)方法的交互示意圖,參照?qǐng)D21,該交互包括如下流程:步驟500、控制器向報(bào)文轉(zhuǎn)發(fā)設(shè)備下發(fā)流量統(tǒng)計(jì)指令;步驟501、報(bào)文轉(zhuǎn)發(fā)設(shè)備向報(bào)文轉(zhuǎn)發(fā)設(shè)備發(fā)送流量統(tǒng)計(jì)指令應(yīng)答消息;步驟502、報(bào)文轉(zhuǎn)發(fā)設(shè)備構(gòu)建目的IP監(jiān)控表進(jìn)行流量監(jiān)控;步驟503、控制器周期下發(fā)查詢消息;需要說明的是,步驟503也可以為報(bào)文轉(zhuǎn)發(fā)設(shè)備周期性主動(dòng)上報(bào)統(tǒng)計(jì)數(shù)據(jù)。步驟504、報(bào)文轉(zhuǎn)發(fā)設(shè)備向控制器發(fā)送應(yīng)答消息,該應(yīng)答消息包含統(tǒng)計(jì)數(shù)據(jù);步驟505、控制器周期性地進(jìn)行基于目的IP監(jiān)控的流量統(tǒng)計(jì)信息進(jìn)行匯總并判斷是否超過設(shè)定閾值,若超過則判定進(jìn)入DDoS攻擊開始狀態(tài);未超過則繼續(xù)監(jiān)測(cè);步驟506、進(jìn)入DDoS攻擊開始狀態(tài),則控制器根據(jù)監(jiān)測(cè)結(jié)果,找到距離攻擊最近的報(bào)文轉(zhuǎn)發(fā)設(shè)備,下發(fā)DDoS防護(hù)策略;步驟507、報(bào)文轉(zhuǎn)發(fā)設(shè)備向控制器發(fā)送DDoS防護(hù)策略響應(yīng)消息;步驟508、報(bào)文轉(zhuǎn)發(fā)設(shè)備啟動(dòng)防護(hù)動(dòng)作;步驟509、進(jìn)入DDoS攻擊開始狀態(tài),繼續(xù)多個(gè)周期后,控制器發(fā)現(xiàn)流量恢復(fù)正常,則判定攻擊結(jié)束狀態(tài),繼續(xù)監(jiān)控流量;步驟510、進(jìn)入攻擊結(jié)束狀態(tài),則控制器向響應(yīng)的報(bào)文轉(zhuǎn)發(fā)設(shè)備下發(fā)防護(hù)消除指示消息;步驟511、報(bào)文轉(zhuǎn)發(fā)設(shè)備向控制器發(fā)送防護(hù)消除指示響應(yīng)消息。下面對(duì)于圖20或21中交互的消息、信令及信元給出具體的實(shí)現(xiàn)方式:在報(bào)文轉(zhuǎn)發(fā)設(shè)備構(gòu)建基于上述目的地IP地址的目的IP監(jiān)控表(ddos-grouptable),該表采用哈希表形式,建立算法采用流量數(shù)據(jù)包的目的地IP地址命中指定的目的地IP地址,則認(rèn)為命中該表,報(bào)文轉(zhuǎn)發(fā)設(shè)備則可以進(jìn)行流量統(tǒng)計(jì);流向所述目的地IP地址的流量統(tǒng)計(jì)信息的一種可能的實(shí)現(xiàn)方式中,其包含的字段可以包括如下信息:總報(bào)文數(shù)(ULONGulPacketSum)、總字節(jié)數(shù)(ULONGulByteSum)、報(bào) 文包速率(ULONGulICMPPktRate)、ICMP帶寬(ULONGulICMPBand)、TCP報(bào)文包速率(ULONGulTcpPktRate)、TCP帶寬(ULONGulTcpBand)、UDP報(bào)文包速率(ULONGulUdpPktRate)、UDP帶寬(ULONGulUdpBand);可選的,對(duì)于各類TCP報(bào)文,流量統(tǒng)計(jì)信息包含的字段可以包括如下至少一種信息:SYN報(bào)文包速率(ULONGulSynPktRate)、SYN報(bào)文的帶寬(ULONGulSynBand)、ACK報(bào)文的包速率(ULONGulAckPktRate)、ACK報(bào)文的帶寬(ULONGulAckBand)、SYN/ACK包速率(ULONGulSynAckPktRate)、SYN/ACK報(bào)文的帶寬(ULONGulSynAckBand)、FIN報(bào)文包速率(ULONGulFinPktRate)、FIN報(bào)文的帶寬(ULONGulFinBand)、RST報(bào)文包速率(ULONGulRstPktRate)、RST報(bào)文的帶寬(ULONGulRstBand)、錯(cuò)誤報(bào)文的包速率(ULONGulErrPktRate)、錯(cuò)誤報(bào)文的帶寬(ULONGulErrBand)、分片報(bào)文的包速率(ULONGulFragPktRate)、分片報(bào)文的帶寬(ULONGulFragBand)、HTTPGET報(bào)文的包速率(ULONGulHttpGetPktRate)、HTTPGET報(bào)文的帶寬(ULONGulHttpGetBand)、DNS報(bào)文的包速率(ULONGulDnsByteNum)、DNS報(bào)文帶寬(ULONGulDnsBand)、流數(shù)目(ULONGulFlowCnt);另外,上文統(tǒng)計(jì)數(shù)據(jù)還包含:所述第一報(bào)文轉(zhuǎn)發(fā)設(shè)備的負(fù)載值:具體的,該第一報(bào)文轉(zhuǎn)發(fā)設(shè)備的負(fù)載值的實(shí)現(xiàn)形式可以為:該第一報(bào)文轉(zhuǎn)發(fā)設(shè)備的吞吐量;或者,該第一報(bào)文轉(zhuǎn)發(fā)設(shè)備的帶寬占用率等。進(jìn)一步的,該第一報(bào)文轉(zhuǎn)發(fā)設(shè)備的負(fù)載值可以設(shè)置在流量統(tǒng)計(jì)信息的字段內(nèi);也可以設(shè)置在統(tǒng)計(jì)數(shù)據(jù)的空閑字段內(nèi)。對(duì)于控制器與報(bào)文轉(zhuǎn)發(fā)設(shè)備之間交互的消息,下面給出一種可能的實(shí)現(xiàn)方式:控制器向報(bào)文轉(zhuǎn)發(fā)設(shè)備發(fā)送流量統(tǒng)計(jì)指令,相應(yīng)的,報(bào)文轉(zhuǎn)發(fā)設(shè)備向控制器發(fā)送流量統(tǒng)計(jì)指令應(yīng)答消息,對(duì)于這些交互消息,基于OpenFlow協(xié)議其可以具有如下數(shù)據(jù)結(jié)構(gòu):具體的,采用該數(shù)據(jù)結(jié)構(gòu)的交互消息中攜帶如下字段:消息類型字段(TypeOFPT_ROLE_REQUEST/OFPT_ROLE_REPLY)、目的地IP地址、子網(wǎng)掩碼、統(tǒng)計(jì)使能、統(tǒng)計(jì)周期、統(tǒng)計(jì)子功能項(xiàng)開關(guān);其中,目的地IP地址的字段為4字節(jié);子網(wǎng)掩碼的字段為4字節(jié);統(tǒng)計(jì)使能的字段為8字節(jié),其用于指示啟動(dòng)流量統(tǒng)計(jì)或關(guān)閉流量統(tǒng)計(jì);統(tǒng)計(jì)周期的字段為8字節(jié),其用于指示流量統(tǒng)計(jì)的周期,其時(shí)間單位可以為秒或其他符合SDN需求的時(shí)間單位;統(tǒng)計(jì)子功能項(xiàng)開關(guān)的字段為8字節(jié),其用于指示統(tǒng)計(jì)流量的相關(guān)功能的開啟或關(guān)閉,按位使能。所述控制器收集報(bào)文轉(zhuǎn)發(fā)設(shè)備根據(jù)流量統(tǒng)計(jì)指令上報(bào)的統(tǒng)計(jì)數(shù)據(jù)。具體的,控制器可以采用向報(bào)文轉(zhuǎn)發(fā)設(shè)備發(fā)送查詢消息,并接收?qǐng)?bào)文轉(zhuǎn)發(fā)設(shè)備發(fā)送的應(yīng)答消息,該應(yīng)答消息包含統(tǒng)計(jì)數(shù)據(jù)?;贠penFlow協(xié)議,查詢消息和應(yīng)答消息可以具有如下數(shù)據(jù)結(jié)構(gòu):具體的,采用該數(shù)據(jù)結(jié)構(gòu)的查詢消息和應(yīng)答消息中攜帶如下字段:消息類型字段(TypeOFPT_ROLE_REQUEST/OFPT_ROLE_REPLY)、目的地IP地址、子網(wǎng)掩碼、統(tǒng)計(jì)周期、當(dāng)前已經(jīng)統(tǒng)計(jì)上報(bào)的周期次數(shù)、流量統(tǒng)計(jì)信息的集合;其中,目的地IP地址的字段為4字節(jié);子網(wǎng)掩碼的字段為4字節(jié);統(tǒng)計(jì)周期的字段為8字節(jié),其用于指示流量統(tǒng)計(jì)的周期,其時(shí)間單位可以為秒或其他符合SDN需求的時(shí)間單位;當(dāng)前已經(jīng)統(tǒng)計(jì)上報(bào)的周期次數(shù)的字段為4字節(jié);流量統(tǒng)計(jì)信息的集合包含報(bào)文轉(zhuǎn)發(fā)設(shè)備包含的統(tǒng)計(jì)項(xiàng),各統(tǒng)計(jì)項(xiàng)按照統(tǒng)計(jì)變量名稱和統(tǒng)計(jì)變量數(shù)值的形式包含在該數(shù)據(jù)結(jié)構(gòu)中。在確定網(wǎng)絡(luò)攻擊發(fā)生后,控制器會(huì)向報(bào)文轉(zhuǎn)發(fā)設(shè)備下發(fā)DDoS防護(hù)策略、報(bào)文轉(zhuǎn)發(fā)設(shè)備會(huì)向控制器發(fā)送DDoS防護(hù)策略響應(yīng)消息,當(dāng)網(wǎng)絡(luò)攻擊結(jié)束后,控制器會(huì)向報(bào)文轉(zhuǎn)發(fā)設(shè)備下發(fā)防護(hù)消除指示消息,報(bào)文轉(zhuǎn)發(fā)設(shè)備會(huì)向控制器發(fā)送防護(hù)消除指示響應(yīng)消息,對(duì)于這些交互消息,基于OpenFlow協(xié)議其可以具有如下數(shù)據(jù)結(jié)構(gòu):具體的,采用該數(shù)據(jù)結(jié)構(gòu)的交互消息中攜帶如下字段:消息類型字段(TypeOFPT_ROLE_REQUEST/OFPT_ROLE_REPLY)、目的地IP地址、子網(wǎng)掩碼、動(dòng)作使能、響應(yīng)動(dòng)作的類型、響應(yīng)動(dòng)作參數(shù)集合;其中,目的地IP地址的字段為4字節(jié);子網(wǎng)掩碼的字段為4字節(jié);動(dòng)作使能的字段為8字節(jié),其用于指示動(dòng)作為“開啟”態(tài)或“關(guān)閉”態(tài);響應(yīng)動(dòng)作的類型的字段為8字節(jié),其包含黑洞路由、限流(限速)、丟棄、本地清洗、引流清洗;響應(yīng)動(dòng)作參數(shù)集合包含與具體的響應(yīng)動(dòng)作相關(guān)的參數(shù)。本領(lǐng)域普通技術(shù)人員可以理解:實(shí)現(xiàn)上述各方法實(shí)施例的全部或部分步驟可以通過程序指令相關(guān)的硬件來(lái)完成。前述的程序可以存儲(chǔ)于一計(jì)算機(jī)可讀取存儲(chǔ)介質(zhì)中。該程序在執(zhí)行時(shí),執(zhí)行包括上述各方法實(shí)施例的步驟;而 前述的存儲(chǔ)介質(zhì)包括:ROM、RAM、磁碟或者光盤等各種可以存儲(chǔ)程序代碼的介質(zhì)。最后應(yīng)說明的是:以上各實(shí)施例僅用以說明本發(fā)明的技術(shù)方案,而非對(duì)其限制;盡管參照前述各實(shí)施例對(duì)本發(fā)明進(jìn)行了詳細(xì)的說明,本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解:其依然可以對(duì)前述各實(shí)施例所記載的技術(shù)方案進(jìn)行修改,或者對(duì)其中部分或者全部技術(shù)特征進(jìn)行等同替換;而這些修改或者替換,并不使相應(yīng)技術(shù)方案的本質(zhì)脫離本發(fā)明各實(shí)施例技術(shù)方案的范圍。當(dāng)前第1頁(yè)1 2 3 當(dāng)前第1頁(yè)1 2 3