[发明专利]一种攻击流量统计方法及装置

权利要求书

1.一种攻击流量统计方法，其特征在于，应用于流量清洗系统中的统一管理平台，所述流量清洗系统还包括攻击流量检测设备，所述攻击流量检测设备用于对流经目标路由器的流量进行检测，所述方法包括：

接收所述攻击流量检测设备发送的流量构成信息，所述流量构成信息由所述攻击流量检测设备根据流量检测结果生成；

根据所述流量构成信息生成对应的告警数据，并对所述告警数据进行存储；

根据接收到的查询请求，从已存储的告警数据中确定符合所述查询请求中描述的查询条件的目标告警数据；

所述统一管理平台维护有内存表和数据库，所述告警数据包括当前告警数据以及历史告警数据，所述当前告警数据为正在发生的流量攻击事件对应的告警数据，所述历史告警数据为已结束的流量攻击事件对应的告警数据；所述对所述告警数据进行存储，包括：

将所述当前告警数据写入所述内存表，以及将所述历史告警数据写入所述数据库；

所述告警数据包括所述流量构成信息、告警开始时间点和告警下次更新时间点，其中，所述告警下次更新时间点的初始值为所述告警开始时间点与预设更新间隔之和，所述方法还包括：

定期遍历所述内存表中记录的当前告警数据；

如果遍历到的任一当前告警数据所含的下次更新时间点尚未到达，则等待至所述下次更新时间点并启动线程池中的空闲线程，所述空闲线程用于统计与所述任一当前告警数据对应的攻击流量；

如果遍历到的所述任一当前告警数据所含的下次更新时间点已到达或已过期，则直接启动所述线程池中的所述空闲线程；

将所述空闲线程产生的统计结果更新至所述任一当前告警数据，并将所述任一当前告警数据所含的下次更新时间点递增所述预设更新间隔；

所述方法还包括：

如果所述当前告警数据对应的攻击流量已停止攻击，则从所述内存表中删除所述当前告警数据，并将所述当前告警数据转换为历史告警数据后存储至所述数据库。

2.根据权利要求1所述的方法，其特征在于，所述统一管理平台维护有内存表或数据库；所述对所述告警数据进行存储，包括：

将所述告警数据写入所述内存表或所述数据库。

3.根据权利要求1所述的方法，其特征在于，还包括：

接收所述攻击流量检测设备发送的与所述流量构成信息相关联的流量状态信息；

当所述流量状态信息为攻击状态时，确定所述告警数据为当前告警数据，当所述流量状态信息为结束状态时，确定所述告警数据为历史告警数据。

4.根据权利要求1的方法，其特征在于，所述根据接收到的查询请求，从已存储的告警数据中确定符合所述查询请求中描述的查询条件的目标告警数据，包括：

如果所述查询条件指示正在进行攻击的攻击流量，则在所述内存表中搜索符合所述查询条件的当前告警数据，以作为所述目标告警数据；

如果所述查询条件指示已停止攻击的攻击流量，则在所述数据库中搜索符合所述查询条件的历史告警数据，以作为所述目标告警数据。