一种链路洪泛攻击防护方法及装置与流程

本发明涉及网络防护技术领域，具体涉及一种链路洪泛攻击防护方法及装置。

背景技术：

随着业务频繁跨域交互、数据长时远距传输等需求的日益增加，互联网、天地一体化网络、物联网等大规模复杂互联网络不断形成，网络中各类节点跨地域、跨时空广泛分布，互联互通且相互依赖。大规模复杂互联网络容易受到链路洪泛攻击，从而导致网络大面积区域范围内诸多节点与外部网络无法进行正常通信。

现有的网络攻击防护方案都只针对地面网络进行防护，即只能针对路由节点间物理连接关系保持不变的网络进行防护。当网络攻击目标由地面网络转为卫星网络时，由于卫星之间的传输路径是动态建立的，现有的网络攻击防护方案无法直接使用，难以实现针对链路洪泛攻击的防护。

技术实现要素：

本发明实施例提供一种链路洪泛攻击防护方法及装置，用以解决现有的链路洪泛攻击防护方法无法在卫星网络中直接使用，无法实现针对链路洪泛攻击的防护的问题。

第一方面，本发明实施例提供一种链路洪泛攻击防护方法，包括：

获取卫星网络的各个流量传输需求、所述卫星网络中各个卫星之间的星间可视性关系以及各个卫星的波束数目；

基于所述各个卫星之间的星间可视性关系以及各个卫星的波束数目，确定各个流量传输需求分别对应的若干个候选传输路径；

基于所述各个流量传输需求及其分别对应的若干个候选传输路径，确定所述各个流量传输需求分别对应的最终传输路径并进行流量分配。

可选地，所述基于所述各个卫星之间的星间可视性关系以及各个卫星的波束数目，确定各个流量传输需求分别对应的若干个候选传输路径，具体包括：

基于流量传输路径选取策略、各个卫星的波束数目，以及任一时间片中各个卫星之间的星间可视性关系，确定所述任一时间片中各个流量传输需求分别对应的若干个候选传输路径；所述任一时间片为当前时间片或后续时间片。

可选地，所述基于流量传输路径选取策略、各个卫星的波束数目，以及任一时间片中各个卫星之间的星间可视性关系，确定所述任一时间片中各个流量传输需求分别对应的若干个候选传输路径，具体包括：

基于任一时间片中各个卫星之间的星间可视性关系、各个卫星的波束数目和流量传输路径选取策略，确定任一流量传输需求的源卫星和目的卫星之间除已有候选传输路径之外的最短传输路径；

基于所述最短传输路径中各个卫星之间的星间可视性关系，确定所述最短传输路径的有效判断结果；

若有效判断结果为有效，则将所述最短传输路径作为所述任一流量传输需求对应的一个候选传输路径，并更新各个卫星之间的星间可视性关系；

若判断获知所述任一流量传输需求对应的候选传输路径不满足预设条件，则重新基于任一时间片中各个卫星之间的星间可视性关系、各个卫星的波束数目和流量传输路径选取策略，确定所述任一流量传输需求的源卫星和目的卫星之间除已有候选传输路径之外的最短传输路径，否则返回所述任一流量传输需求对应的若干个候选传输路径组成的候选传输路径集合。

可选地，所述流量传输路径选取策略包括节点不相交、边不相交和节点边均可相交中的至少一种。

可选地，所述流量传输路径选取策略来自用户自定义设置和/或安全服务能力编排系统。

可选地，所述预设条件为所述任一传输需求对应的候选传输路径的数量达到对应的源卫星和/或目的卫星的波束数目的上限，或所述任一传输需求对应的源卫星和/或目的卫星无可用波束。

可选地，所述基于所述各个流量传输需求及其分别对应的若干个候选传输路径，确定所述各个流量传输需求分别对应的最终传输路径并进行流量分配，具体包括：

基于当前时间片的各个流量传输需求分别对应的若干个候选传输路径，或基于当前时间片和后续若干个时间片的各个流量传输需求分别对应的若干个候选传输路径，建立当前时间片的各个流量传输需求分别对应的最终传输路径并进行流量分配。

可选地，所述建立当前时间片的各个流量传输需求分别对应的最终传输路径并进行流量分配，具体包括：

基于流量传输分配策略，确定所述当前时间片的各个流量传输需求分别对应的最终传输路径，并为所述当前时间片的各个流量传输需求分别对应的最终传输路径进行流量分配。

可选地，所述流量传输分配策略包括最小化全网单跳路径的最大带宽利用率、最小化全网流量的传输时延、最小化全网流量的传输距离和最小化全网流量的传输跳数中的至少一种。

可选地，所述流量传输分配策略来自用户自定义设置和/或安全服务能力编排系统。

可选地，所述获取卫星网络的各个流量传输需求、所述卫星网络中各个卫星之间的星间可视性关系以及各个卫星的波束数目，具体包括：

若所述卫星网络受到链路洪泛攻击，则获取所述卫星网络的各个流量传输需求、所述卫星网络中各个卫星之间的星间可视性关系以及各个卫星的波束数目。

可选地，所述卫星网络中各个卫星之间的星间可视性关系是基于各个卫星的位置信息和波束可扫描仰角信息确定的。

第二方面，本发明实施例提供一种链路洪泛攻击防护装置，包括：

信息获取单元，用于获取卫星网络的各个流量传输需求、所述卫星网络中各个卫星之间的星间可视性关系以及各个卫星的波束数目；

路径候选单元，用于基于所述各个卫星之间的星间可视性关系以及各个卫星的波束数目，确定各个流量传输需求分别对应的若干个候选传输路径；

选取分配单元，用于基于所述各个流量传输需求及其分别对应的若干个候选传输路径，确定所述各个流量传输需求分别对应的最终传输路径并进行流量分配。

第三方面，本发明实施例提供一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现如第一方面中所述的链路洪泛攻击防护方法的步骤。

第四方面，本发明实施例提供一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现如第一方面中所述的链路洪泛攻击防护方法的步骤。

本发明实施例提供的链路洪泛攻击防护方法及装置，通过获取卫星网络中各个卫星之间的星间可视性关系以及波束数目，实现了网络流量在卫星网络中的均衡分配，使得卫星网络能够在面对链路洪泛攻击时，尽可能重新分配网络流量负载，降低被攻击的单跳路径的拥挤程度，确保目标区域与外部网络能够进行正常通信。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的链路洪泛攻击防护方法的流程示意图；

图2为本发明实施例提供的链路洪泛攻击防护装置的结构示意图；

图3为本发明实施例提供的电子设备的结构示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

链路洪泛攻击，是指攻击者通过分布在不同物理位置上的攻击代理(例如僵尸主机)之间的协同，利用僵尸主机之间的相互通信或僵尸主机对目标区域内/外的公开服务的访问，对多条到达目标区域的“关键单跳路径”发起洪泛攻击，使得这些单跳路径发生阻塞，从而使得该区域不能对外或对内提供网络服务，即以“协同攻击少数‘线’，联合切断一大片”的攻击思路，实现对目标区域的有效攻击。由于天基网络资源极其受限，此类攻击一旦应用到天地一体化网络中，造成的损失势必更将巨大，例如当攻击目标区域为数量有限的地面关口站时，极有可能出现“片区受‘袭’，全网瘫痪”的严重后果。

单跳路径是指两个节点之间不经过其他节点的直接通信路径，节点包括卫星、卫星载荷、接入安全网关、协议网关、互联安全网关、密码设备、路由器、卫星终端、计算机终端、应用服务器、存储设备、业务系统、控制系统、硬件模块、软件组件、动态库等。

由于攻击者的恶意流量不到达目标区域，在目标区域边界或内部部署的传统检测、防护设备难以发挥作用。现有的攻击防护方案是基于流量工程的思想对其进行响应，通过数据传输路径上路由节点之间的联动，在网络路由层尽可能均匀地重新分配网络流量负载，降低被攻击的单跳路径的拥塞程度，以实现攻击的应对。

现有的攻击防护方案都只针对地面网络进行防护，即只能针对路由节点间物理连接关系保持不变的网络进行防护。当网络攻击目标由地面网络转为卫星网络时，由于卫星之间的传输路径是动态建立的，现有的网络攻击防护方案无法直接使用，难以实现针对链路洪泛攻击的防护。

图1为本发明实施例提供的链路洪泛攻击防护方法的流程示意图，如图1所示，该方法包括：

步骤101，获取卫星网络的各个流量传输需求、卫星网络中各个卫星之间的星间可视性关系以及各个卫星的波束数目；

具体地，卫星网络中的网络流量是通过网络中不同的卫星进行传输的，每一个卫星都是一个节点。每一流量传输的发送端所对应的卫星为源卫星，相应的接收端所对应的卫星为目的卫星。卫星网络的各个流量传输需求是指卫星网络中各个源卫星到目的卫星的网络传输数据量等信息。流量传输需求可以通过卫星运控系统等卫星网络控制系统得到，也可以基于流量预测算法得到，本发明实施例对此不做具体限定。

卫星网络中各个卫星之间的星间可视性关系包括几何可视性关系和波束可视性关系。几何可视性关系指星间连线是否被地球及电离层阻挡；波束可视性关系指两颗卫星是否相互处于对方的波束波束扫描范围内。只有当两颗卫星之间同时满足几何可视性关系和波束可视性关系，才称其为相互可视。只有两颗卫星相互可视，才能够相互建立星间单跳路径，也就是星间传输路径。各个卫星之间的星间可视性关系可以通过卫星运控系统得到，也可以通过卫星的实时状态参数计算得到，本发明实施例对此不做具体限定。

卫星链路包括微波链路和/或激光链路，微波链路包括但不限于：l频段、s频段、c频段、x频段、ku频段、k频段、ka频段、q/v频段中的至少一种。一条微波链路由一个或多个波束组成，一条激光链路由一个或多个激光束组成。为便于理解，无论是组成微波链路的波束还是组成激光链路的激光束，都用波束统一描述。

步骤102，基于各个卫星之间的星间可视性关系以及各个卫星的波束数目，确定各个流量传输需求分别对应的若干个候选传输路径；

具体地，卫星网络中的卫星之间没有固定的物理连接关系，网络流量的传输路径是动态建立的。每一流量传输需求可以选择多条可能的传输路径。每条可能的传输路径均受到星间可视性关系的影响，可能存在几何可视性关系和/或波束可视性关系不满足的情况，网络传输流量无法从源卫星传输至目的卫星。因此，需要从多条可能的传输路径中选出各个流量传输需求对应的若干个候选传输路径，以保证网络传输流量能够从源卫星传输至目的卫星。

候选传输路径同时受到各个卫星的波束数目的限制。例如，假设波束技术体制均为点波束，则卫星通过一个波束仅可以与一颗其他卫星建立一条星间链路，也就是一条网络流量传输路径。若通过某卫星的候选传输路径的条数超过卫星的波束数目，则超出部分的传输路径在该卫星上传输时无可用波束，是无效的传输路径。本发明实施例中，候选传输路径均为有效传输路径。

步骤103，基于各个流量传输需求及其分别对应的若干个候选传输路径，确定各个流量传输需求分别对应的最终传输路径并进行流量分配。

具体地，针对每一流量传输需求，从其对应的若干个候选传输路径选出一条或若干条传输路径作为最终传输路径，并对选出来的最终传输路径分别分配网络流量，最终使得各个流量传输需求分别对应的最终传输路径分配的网络流量总和等于各个流量传输需求的总和。

本发明实施例提供的链路洪泛攻击防护方法，通过获取卫星网络中各个卫星之间的星间可视性关系以及波束数目，实现了网络流量在卫星网络中的均衡分配，使得卫星网络能够在面对链路洪泛攻击时，尽可能重新分配网络流量负载，降低被攻击的单跳路径的拥挤程度，确保目标区域与外部网络能够进行正常通信。

基于上述实施例，基于各个卫星之间的星间可视性关系以及各个卫星的波束数目，确定各个流量传输需求分别对应的若干个候选传输路径，具体包括：

基于流量传输路径选取策略、各个卫星的波束数目，以及任一时间片中各个卫星之间的星间可视性关系，确定该时间片中各个流量传输需求分别对应的若干个候选传输路径；任一时间片为当前时间片或后续时间片。

具体地，流量传输路径选取策略为流量传输路径中节点和边的选取原则。为了避免某一节点故障或某一链路出现故障，使得多条流量传输路径受到影响，可以通过流量传输路径选取策略决定多条流量传输路径中节点是否相交和/或边是否相交。

时间片是指根据卫星运转规律对时间进行划分得到，不同时间片的持续时间可以相同，也可以不同，时间片可根据时间间隔等间隔划分，也可根据卫星之间的可视性关系划分，本发明实施例对此不做具体限定。任一时间片可以是当前时间片，也可以是后续若干个时间片中的一个。

根据一定的流量传输路径选取策略、各个卫星的波束数目，以及任一时间片中各个卫星之间的星间可视性关系，可以为任一时间片中各个流量传输需求选取若干个有效的候选传输路径。

在确定各个流量传输需求分别对应的若干个候选传输路径步骤之前还包括按照流量大小对各个流量传输需求进行正向或者反向排序。在对各个流量传输需求进行排序之前，还可以包括对各个流量传输需求组成的流量需求矩阵中的零元素进行剔除，然后根据快速排序算法对流量需求矩阵中的非零元素进行从大到小排序，本发明实施例对流量排序的算法不做具体限定。

基于上述任一实施例，基于流量传输路径选取策略、各个卫星的波束数目，以及任一时间片中各个卫星之间的星间可视性关系，确定任一时间片中各个流量传输需求分别对应的若干个候选传输路径，具体包括：

基于任一时间片中各个卫星之间的星间可视性关系、各个卫星的波束数目和流量传输路径选取策略，确定任一流量传输需求的源卫星和目的卫星之间除已有候选传输路径之外的最短传输路径；

基于最短传输路径中各个卫星之间的星间可视性关系，确定最短传输路径的有效判断结果；

若有效判断结果为有效，则将最短传输路径作为任一流量传输需求对应的一个候选传输路径，并更新各个卫星之间的星间可视性关系；

若判断获知任一流量传输需求对应的候选传输路径不满足预设条件，则重新基于任一时间片中各个卫星之间的星间可视性关系、各个卫星的波束数目和流量传输路径选取策略，确定任一流量传输需求的源卫星和目的卫星之间除已有候选传输路径之外的最短传输路径，否则返回任一流量传输需求对应的若干个候选传输路径组成的候选传输路径集合。

具体地，任一流量传输需求的源卫星和目的卫星之间的最短传输路径可以是传输距离最短的路径、跳数最短的路径、传输延时最短的路径、处理时延最短的路径中的一个或多个，本发明实施例对此不做具体限定。

下面通过示例来说明，其中一颗卫星中的一个波束仅与其他一颗卫星建立星间单跳路径。示例中最短传输路径选择为卫星之间传输距离最短的路径。假设当前时间片中各个卫星之间的星间可视性关系可以用星间可视性矩阵m表示，其中，矩阵元素值代表对应的两个卫星之间的星间可视性关系，若矩阵元素值为零，则代表两个卫星星间不可视，矩阵元素值非零，则代表两个卫星星间可视。相应地，各个卫星之间的星间距离可以用星间距离矩阵d表示，其中，当两颗卫星星间可视时，对应的矩阵元素值为两个卫星之间的星间距离，当两颗卫星星间不可视时，对应的矩阵元素值为无穷大。卫星网络中的单跳路径分配可以用单跳路径分配矩阵l表示。

当前流量传输路径选取策略为边不相交，则各候选路径相互之间不共享任何一条单跳路径，从而避免某一链路出现故障或可用带宽不足时多条传输路径的传输受到影响。

根据星间可视性矩阵m，以及星间距离矩阵d，根据路径求解算法可以得到任一流量传输需求的源卫星和目的卫星之间的最短传输路径pathk，其中，k为最短传输路径的标号。路径求解算法可以采用迪杰斯特拉(dijkstra)、弗洛伊德算法(floyd)和贝尔曼-福特(bellman-ford)算法，本发明实施例对求解算法的选取不做具体限定。

最短传输路径pathk不属于已有的候选传输路径，需要对其进行有效判断。

只有当最短传输路径中各个卫星之间的星间可视性关系为星间可视时，最短传输路径pathk才是有效的传输路径，即最短传输路径的有效判断结果为有效，否则为无效。

若最短传输路径pathk的有效判断结果为有效，则将最短传输路径pathk作为任一流量传输需求对应的一个候选传输路径，并更新各个卫星之间的星间可视性关系，更新操作具体为：若最短传输路径pathk的有效判断过程中，若各单跳路径的源卫星和/或目的卫星上的波束均已使用，则更新各个卫星之间的星间距离矩阵d，将波束已全部使用的源卫星和/或目的卫星与其他建立连接的卫星之间的距离修改为无穷大，即由于该卫星波束数已用尽，即使该卫星与其他卫星星间可视，仍然无法建立单跳路径。

将最短传输路径pathk，作为任一流量传输需求对应的一个候选传输路径，添加到候选传输路径集合path中。

按照上述步骤继续求解除已有候选传输路径之外的最短传输路径pathk+1，直至任一传输需求对应的候选传输路径满足预设条件，则求解候选传输路径过程结束，返回由若干个候选传输路径组成的候选传输路径集合path。

基于上述任一实施例，流量传输路径选取策略包括节点不相交、边不相交和节点边均可相交中的至少一种。

具体地，节点不相交是指同一源卫星到同一目的卫星之间的流量传输需求对应的多条候选传输路径之间不存在相同的中间卫星节点；边不相交是指同一源卫星到同一目的卫星之间的流量传输需求对应的多条候选流量传输路径之间不存在相同的单跳路径；节点边均可相交是指同一源卫星到同一目的卫星之间的流量传输需求对应的多条候选流量传输路径之间允许存在相同的单跳路径和/或相同的节点。

基于上述任一实施例，预设条件为任一传输需求对应的候选传输路径的数量达到对应的源卫星和/或目的卫星的波束数目的上限；或任一传输需求对应的源卫星和/或目的卫星无可用波束。

具体地，任一传输需求对应的候选传输路径满足预设条件，则表示任一传输需求对应的候选传输路径已经全部求解得到。

预设条件为任一传输需求对应的候选传输路径的数量达到对应的源卫星和/或目的卫星的波束数目的上限时，无法建立从源卫星到目的卫星的有效的传输路径。

预设条件为任一传输需求对应的源卫星和/或目的卫星无可用波束时，即使从源卫星到目的卫星之间还存在可用的传输路径，但源卫星无法发送网络流量或者目的卫星无法接收网络流量。

基于上述任一实施例，基于各个流量传输需求及其分别对应的若干个候选传输路径，确定各个流量传输需求分别对应的最终传输路径并进行流量分配，具体包括：

基于当前时间片的各个流量传输需求分别对应的若干个候选传输路径，或基于当前时间片和后续若干个时间片的各个流量传输需求分别对应的若干个候选传输路径，建立当前时间片的各个流量传输需求分别对应的最终传输路径并进行流量分配。

具体地，可以根据当前时间片的各个流量传输需求，也可以根据当前时间片和后续若干个时间片的各个流量传输需求确定最终传输路径的建立并进行流量分配。

本发明实施例提供的链路洪泛攻击防护方法，通过从多个时间片的流量传输需求对星间单跳路径的建立和流量分配进行优化求解，使得卫星网络中的流量分配更加均衡，使得卫星网络能够针对链路洪泛攻击进行防护，确保目标区域与外部网络能够进行正常通信。

基于上述任一实施例，建立当前时间片的各个流量传输需求分别对应的最终传输路径并进行流量分配，具体包括：

基于流量传输分配策略，确定当前时间片的各个流量传输需求分别对应的最终传输路径，并为当前时间片的各个流量传输需求分别对应的最终传输路径进行流量分配。

具体地，采用流量传输分配策略，在当前时间片中，对于各个流量传输需求，分别从其对应的候选传输路径中选取若干个作为最终传输路径，建立当前时间片的各个流量传输需求分别对应的最终传输路径并分配流量，使得分配的最终传输路径的流量之和等于各个流量传输需求之和。

可以采用最小化全网单跳路径的最大带宽利用率的策略建立当前时间片的各个流量传输需求分别对应的最终传输路径并分配流量。例如，首先对最大带宽利用率最小的路径进行流量分配，使得分配流量后该路径最大带宽利用率等于最大带宽利用率次小的路径。若所有待分配流量都分配给最小的一条路径后，仍未达到次小路径的最大带宽利用率，则结束分配；若分配流量后，最大带宽利用率最小的路径等于最大带宽利用率次小的路径，还有流量剩余，则继续进行迭代分配，使得最大带宽利用率最小和次小的路径在流量分配后最大带宽利用率等于次次小的路径，如此迭代进行，直至所有路径的最大带宽利用率都等于原路径中最大带宽利用率值最大的那条路径。流量分配结束可以计算该分配策略下路径最大带宽利用率。

基于上述任一实施例，流量传输分配策略包括最小化全网单跳路径的最大带宽利用率、最小化全网流量的传输时延、最小化全网流量的传输距离和最小化全网流量的传输跳数中的至少一种。

可选地，流量传输分配策略包括最小化全网单跳路径的最大带宽利用率、最小化全网流量的传输时延、最小化全网流量的传输距离和最小化全网流量的传输跳数中的至少一种。

其中，最小化全网流量的传输时延包括最小化全网流量的最大传输时延、最小化全网流量的最小传输时延和最小化全网流量的平均传输时延中的至少一种；最小化全网流量的传输距离包括最小化全网流量的最大传输距离、最小化全网流量的最小传输距离和最小化全网流量的平均传输距离中的至少一种；最小化全网流量的传输跳数包括最小化全网流量的最大传输跳数、最小化全网流量的最小传输跳数和最小化全网流量的平均传输跳数中的至少一种。

基于上述任一实施例，流量传输路径选取策略和流量传输分配策略来自用户自定义设置和/或安全服务能力编排系统。

具体地，当本发明实施例中的链路洪泛攻击防护方法单独使用时，流量传输路径选取策略和流量传输分配策略可以通过用户自定义设置。当本发明实施例中的链路洪泛攻击防护方法与其他方法组合使用时，可以接收其他方法确定的策略。例如，在网络安全防护系统中使用本发明实施例中的链路洪泛攻击防护方法时，可以使用安全服务能力编排系统制定相应的流量传输路径选取策略和流量传输分配策略。

基于上述任一实施例，获取卫星网络的各个流量传输需求、卫星网络中各个卫星之间的星间可视性关系以及各个卫星的波束数目，具体包括：

若卫星网络受到链路洪泛攻击，则获取卫星网络的各个流量传输需求、卫星网络中各个卫星之间的星间可视性关系以及各个卫星的波束数目。

具体地，卫星网络受到链路洪泛攻击，作为获取卫星网络的各个流量传输需求、卫星网络中各个卫星之间的星间可视性关系以及各个卫星的波束数目的触发条件。

具有星间单跳路径的拥塞监测能力的入侵检测系统或卫星发出的发出上述触发条件的报警信号，报警信号表明卫星网络受到链路洪泛攻击。

基于上述任一实施例，卫星网络中各个卫星之间的星间可视性关系是基于各个卫星的位置信息和波束可扫描仰角信息确定的。

具体地，卫星的位置信息是可以唯一确定某一卫星在某一时间片内的位置的信息，包括卫星的经度、纬度和高度中的至少一种。卫星的位置信息可以通过向卫星运控系统查询得到，也可以根据卫星轨道参数计算得到。卫星轨道参数包括轨道半长轴、轨道偏心率、轨道倾角、升交点赤经、近地点幅角和过近地点时刻中的至少一种。卫星波束可扫描仰角信息是卫星的波束的扫描范围。

根据任一时间片中各个卫星的位置信息和波束可扫描仰角信息可以确定相应时间片中卫星网络中各个卫星之间的星间可视性关系。

例如，已知当前时间片及后续3个时间片的各个卫星的位置信息和卫星波束可扫描仰角信息。其中，卫星的位置信息包括卫星的经度、纬度和高度，卫星波束可扫描仰角信息包括波束方位角。根据卫星经度、纬度、高度及卫星的波束方位角，可以计算当前时间片及后续3个时间片的各个卫星的星间可视性关系。

基于上述任一实施例，图2为本发明实施例提供的链路洪泛攻击防护装置的结构示意图，如图2所示，该装置包括：

信息获取单元201，用于获取卫星网络的各个流量传输需求、卫星网络中各个卫星之间的星间可视性关系以及各个卫星的波束数目；

路径候选单元202，用于基于各个卫星之间的星间可视性关系以及各个卫星的波束数目，确定各个流量传输需求分别对应的若干个候选传输路径；

选取分配单元203，用于基于各个流量传输需求及其分别对应的若干个候选传输路径，确定各个流量传输需求分别对应的最终传输路径并进行流量分配。

具体地，信息获取单元201用于获取卫星网络的各个流量传输需求、卫星网络中各个卫星之间的星间可视性关系以及各个卫星的波束数目。

卫星网络的各个流量传输需求是指卫星网络中各个源卫星到目的卫星的网络传输数据量等信息。流量传输需求可以通过卫星运控系统得到，也可以基于流量预测算法得到，本发明实施例对此不做具体限定。

卫星网络中各个卫星之间的星间可视性关系包括几何可视性关系和波束可视性关系。几何可视性关系指星间连线是否被地球及电离层阻挡；波束可视性关系指两颗卫星是否相互处于对方的波束波束扫描范围内。只有当两颗卫星之间同时满足几何可视性关系和波束可视性关系，才称其为相互可视。只有两颗卫星相互可视，才能够相互建立星间单跳路径，也就是星间传输路径。各个卫星之间的星间可视性关系可以通过卫星运控系统得到，也可以通过卫星的实时状态参数计算得到，本发明实施例对此不做具体限定。

卫星网络中各个卫星的波束数目可以相同，也可以不同；波束的技术体制可以为点波束，也可以是宽波束。本发明实施例对于卫星波束的数目和技术体制不做具体限定。

路径候选单元202，用于基于各个卫星之间的星间可视性关系以及各个卫星的波束数目，确定各个流量传输需求分别对应的若干个候选传输路径。每一流量传输需求可以选择多条可能的传输路径。但是，每条可能的传输路径受到星间可视性关系的影响，可能存在几何可视性关系和/或波束可视性关系不满足的情况，网络传输流量无法从源卫星传输至目的卫星。因此，需要从多条可能的传输路径中选出各个流量传输需求对应的若干个候选传输路径，以保证网络传输流量能够从源卫星传输至目的卫星。

候选传输路径同时受到各个卫星的波束数目的限制。例如，假设波束技术体制均为点波束，则卫星通过一个波束仅可以与一颗其他卫星建立一条星间单跳路径，也就是一条网络流量传输路径。若通过某卫星的候选传输路径的条数超过卫星的波束数目，则超出部分的候选传输路径在该卫星上传输时无可用波束，是无效的传输路径。

选取分配单元203，用于基于各个流量传输需求及其分别对应的若干个候选传输路径，确定各个流量传输需求分别对应的最终传输路径并进行流量分配。针对每一流量传输需求，从其对应的若干个候选传输路径选出一条或若干条传输路径作为最终传输路径，并对选出来的最终传输路径分别分配网络流量，最终使得各个流量传输需求分别对应的最终传输路径分配的网络流量总和等于各个流量传输需求的总和。

本发明实施例提供的链路洪泛攻击防护装置，通过获取卫星网络中各个卫星之间的星间可视性关系以及波束数目，实现了网络流量在卫星网络中的均衡分配，使得卫星网络能够在面对链路洪泛攻击时，尽可能重新分配网络流量负载，降低被攻击的单跳路径的拥挤程度，确保目标区域与外部网络能够进行正常通信。

基于上述任一实施例，路径候选单元202具体用于：

基于流量传输路径选取策略、各个卫星的波束数目，以及任一时间片中各个卫星之间的星间可视性关系，确定任一时间片中各个流量传输需求分别对应的若干个候选传输路径；任一时间片为当前时间片或后续时间片。

基于上述任一实施例，路径候选单元202具体用于：

基于任一时间片中各个卫星之间的星间可视性关系、各个卫星的波束数目和流量传输路径选取策略，确定任一流量传输需求的源卫星和目的卫星之间除已有候选传输路径之外的最短传输路径；

基于最短传输路径中各个卫星之间的星间可视性关系，确定最短传输路径的有效判断结果；

若有效判断结果为有效，则将最短传输路径作为任一流量传输需求对应的一个候选传输路径，并更新各个卫星之间的星间可视性关系；

若判断获知任一流量传输需求对应的候选传输路径不满足预设条件，则重新基于任一时间片中各个卫星之间的星间可视性关系、各个卫星的波束数目和流量传输路径选取策略，确定任一流量传输需求的源卫星和目的卫星之间除已有候选传输路径之外的最短传输路径，否则返回任一流量传输需求对应的若干个候选传输路径组成的候选传输路径集合。

基于上述任一实施例，流量传输路径选取策略包括节点不相交、边不相交和节点边均可相交中的至少一种。

基于上述任一实施例，流量传输路径选取策略来自用户自定义设置和/或安全服务能力编排系统。

基于上述任一实施例，预设条件为任一传输需求对应的候选传输路径的数量达到对应的源卫星和/或目的卫星的波束数目的上限；或任一传输需求对应的源卫星和/或目的卫星无可用波束。

基于上述任一实施例，选取分配单元203具体用于：

基于当前时间片的各个流量传输需求分别对应的若干个候选传输路径，或基于当前时间片和后续若干个时间片的各个流量传输需求分别对应的若干个候选传输路径，建立当前时间片的各个流量传输需求分别对应的最终传输路径并进行流量分配。

基于上述任一实施例，建立当前时间片的各个流量传输需求分别对应的最终传输路径并进行流量分配，具体包括：

确定当前时间片的各个流量传输需求分别对应的最终传输路径；

基于流量传输分配策略，为当前时间片的各个流量传输需求分别对应的最终传输路径进行流量分配。

基于上述任一实施例，流量传输分配策略包括最小化全网单跳路径的最大带宽利用率、最小化全网流量的传输时延、最小化全网流量的传输距离和最小化全网流量的传输跳数中的至少一种。

基于上述任一实施例，流量传输分配策略来自用户自定义设置和/或安全服务能力编排系统。

基于上述任一实施例，信息获取单元201具体用于：

若卫星网络受到链路洪泛攻击，则获取卫星网络的各个流量传输需求、卫星网络中各个卫星之间的星间可视性关系以及各个卫星的波束数目。

基于上述任一实施例，卫星网络中各个卫星之间的星间可视性关系是基于各个卫星的位置信息和波束可扫描仰角信息确定的。

基于上述任一实施例，图3为本发明实施例提供的电子设备的结构示意图，如图3所示，该电子设备可以包括：处理器(processor)301、通信接口(communicationsinterface)304、存储器(memory)302和通信总线303，其中，处理器301，通信接口304，存储器302通过通信总线303完成相互间的通信。处理器301可以调用存储器302中的逻辑指令，以执行如下方法：获取卫星网络的各个流量传输需求、卫星网络中各个卫星之间的星间可视性关系以及各个卫星的波束数目；基于各个卫星之间的星间可视性关系以及各个卫星的波束数目，确定各个流量传输需求分别对应的若干个候选传输路径；基于各个流量传输需求及其分别对应的若干个候选传输路径，确定各个流量传输需求分别对应的最终传输路径并进行流量分配。

此外，上述的存储器302中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read-onlymemory)、随机存取存储器(ram，randomaccessmemory)、磁碟或者光盘等各种可以存储程序代码的介质。

本发明实施例提供的非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时上述各实施例提供的方法，例如包括：获取卫星网络的各个流量传输需求、卫星网络中各个卫星之间的星间可视性关系以及各个卫星的波束数目；基于各个卫星之间的星间可视性关系以及各个卫星的波束数目，确定各个流量传输需求分别对应的若干个候选传输路径；基于各个流量传输需求及其分别对应的若干个候选传输路径，确定各个流量传输需求分别对应的最终传输路径并进行流量分配。

以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下，即可以理解并实施。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件。基于这样的理解，上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在计算机可读存储介质中，如rom/ram、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。

最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。