异常访问行为控制方法及装置的制造方法
【技术领域】
[0001] 本发明涉及网络安全领域,特别涉及一种异常访问行为控制方法及装置。
【背景技术】
[0002] -体化标识网络将网络分为接入网与骨干网,引入了接入网标识(Access Identifier,AID)与路由标识(RoutingIdentifier,RID),从根本上解决了互联网协议地 址(InternetProtocolAddress,IP)双重属性的问题,且能很好的与现有的互联网与网络 架构进行融合。
[0003] 在一体化标识网络中,接入转发设备在接收到数据包后,会查询接入转发设备中 是否存在该数据包的目标AID与需要替换的RID之间的映射关系,若不存在,则向映射服务 器发送用于获取与该目标AID对应的RID之间的映射关系的映射请求,以便于对接收到的 数据包中的目标AID进行替换,并利用替换后的RID进行转发。映射服务器可以根据各个 接入转发设备发送的映射请求分析出当前网络是否存在攻击行为,比如,当映射请求中请 求相同的目标AID,则表明存在分布式拒绝服务(英文〖DistributedDenialofService, 简称:DDoS)攻击行为。
[0004] 在实现本发明的过程中,发明人发现现有技术至少存在以下问题:映射服务器在 根据映射请求分析网络是否存在攻击行为时,有些情况下无法正确辨别存在的攻击行为。 比如,多个攻击终端在不同时刻向接入转发设备发送具有相同目标AID的数据包,这种情 况下,接入转发设备并不在同一个时刻向映射服务器请求获取目标AID的映射关系,而是 分别从映射服务器获取,此时映射服务器并不会判定这些行为为攻击行为,当各个接入转 发设备从映射服务器成功获取到同一个目标AID的映射关系后,则可以直接利用获取的映 射关系对攻击终端后续发送的数据包进行转发,各个攻击终端完成DDoS攻击。
【发明内容】
[0005] 为了解决现有技术中映射服务器在根据映射请求分析网络是否存在攻击行为时, 有些情况下无法正确辨别存在的攻击行为的问题,本发明实施例提供了一种异常访问行为 控制方法及装置。所述技术方案如下:
[0006] 第一方面,提供了一种异常访问行为控制方法,所述方法包括:
[0007] 接收至少一个接入转发设备发送的流摘要信息,所述流摘要信息是所述接入转发 设备在接收到数据包后对各个数据包进行分流,将任一组流所对应的关键信息添加至流模 板后得到的,每组流中的数据包具有相同的关键信息;
[0008] 利用接收到的至少一个流摘要信息,确定网络中是否存在攻击行为;
[0009] 若确定所述网络中存在攻击行为,则根据所述流摘要信息生成第一流表规则,所 述第一流表规则用于指示禁止转发包头中具有所述流摘要信息中关键信息的数据包;
[0010] 将所述第一流表规则发送给所述接入转发设备,由所述接入转发设备禁止转发符 合所述第一流表规则限定的数据包;
[0011] 其中,所述关键信息包括源接入标识、目的接入标识、源端口号、目的端口号和协 议类型。
[0012] 可选的,所述利用接收到的至少一个流摘要信息,确定网络中是否存在攻击行为, 包括:
[0013] 提取所述流摘要信息中的关键信息,将提取出的所述关键信息存储为一条流摘要 记录;
[0014] 对所预定个所述流摘要记录进行熵值量化,得到熵值向量;
[0015] 将得到的熵值向量输入至分类模型中,得到分类后的访问行为类型,所述访问行 为类型为正常访问行为或攻击访问行为,所述攻击访问行为为拒绝服务DoS攻击行为、分 布式拒绝服务DDoS攻击行为或分布式反射拒绝服务DRD0S攻击行为。
[0016] 可选的,所述根据所述流摘要信息生成第一流表规则,包括:
[0017] 根据所述流摘要信息中的关键信息,生成用于指示禁止转发包头中具有所述关键 信息的数据包的第一流表规则。
[0018] 可选的,所述方法还包括:
[0019] 连续接收至少两个接入转发设备在接收到数据包后发送的映射请求,所述映射请 求用于请求获取所述数据包包头内接入标识与一体化标识网络中路由的路由标识的映射 关系以及所述数据包的转发路径;
[0020] 根据各个映射请求预判网络中是否将要产生攻击行为;
[0021] 若根据所述映射请求预判定所述网络中将要产生攻击行为,则生成用于禁止包头 中具有所述接入标识的数据包进行转发的第二流表规则;
[0022] 向各个接入转发设备发送所述第二流表规则。
[0023] 可选的,所述根据各个映射请求预判网络中是否将要产生攻击行为,包括:
[0024] 检测各个映射请求中的接入标识中的目标接入标识是否相同,若各个映射请求中 的目标接入标识均相同,则判定所述网络中将要产生类型为DD0S攻击行为;
[0025]或者,
[0026] 检测各个映射请求中的接入标识中的源接入标识是否相同,若各个映射请求中的 源目标接入标识均相同,则判定所述网络中将要产生类型为DRDoS攻击行为。
[0027] 第二方面,提供了一种异常访问行为控制装置,所述装置包括:
[0028] 第一接收模块,用于接收至少一个接入转发设备发送的流摘要信息,所述流摘要 信息是所述接入转发设备在接收到数据包后对各个数据包进行分流,将任一组流所对应的 关键信息添加至流模板后得到的,每组流中的数据包具有相同的关键信息;
[0029] 确定模块,用于利用所述第一接收模块接收到的至少一个流摘要信息,确定网络 中是否存在攻击行为;
[0030] 第一生成模块,用于在所述确定模块确定所述网络中存在攻击行为时,根据所述 流摘要信息生成第一流表规则,所述第一流表规则用于指示禁止转发包头中具有所述流摘 要信息中关键信息的数据包;
[0031] 第一发送模块,用于将所述第一生成模块生成的所述第一流表规则发送给所述接 入转发设备,由所述接入转发设备禁止转发符合所述第一流表规则限定的数据包;
[0032] 其中,所述关键信息包括源接入标识、目的接入标识、源端口号、目的端口号和协 议类型。
[0033] 可选的,所述确定模块,包括:
[0034] 提取单元,用于提取所述流摘要信息中的关键信息,将提取出的所述关键信息存 储为一条流摘要记录;
[0035] 量化单元,用于对所述预定个所述流摘要记录进行熵值量化,得到熵值向量;
[0036] 分类单元,用于将所述量化单元量化得到的熵值向量输入至分类模型中,得到分 类后的访问行为类型,所述访问行为类型为正常访问行为或攻击访问行为,所述攻击访问 行为为拒绝服务DoS攻击行为、分布式拒绝服务DDoS攻击行为或分布式反射拒绝服务 DRD0S攻击行为。
[0037] 可选的,所述第一生成模块,还用于:
[0038] 根据所述流摘要信息中的关键信息,生成用于指示禁止转发包头中具有所述关键 信息的数据包的第一流表规则。
[0039] 可选的,所述装置还包括:
[0040] 第二接收模块,用于连续接收至少两个接入转发设备在接收到数据包后发送的映 射请求,所述映射请求用于请求获取所述数据包包头内接入标识与一体化标识网络中路由 的路由标识的映射关系以及所述数据包的转发路径;
[0041] 预判模块,用于根据所述第二接收模块接收到的各个映射请求预判网络中是否将 要产生攻击行为;
[0042] 第二生成模块,用于在所述预判模块根据所述映射请求预判定所述网络中将要产 生攻击行为时,生成用于禁止包头中具有所述接入标识的数据包进行转发的第二流表规 则;
[0043] 第二发送模块,用于向各个接入转发设备发送所述第二生成模块生成的所述第二 流表规则。
[0044] 可选的,所述预判模块,包括:
[0045] 第一判定单元,用于检测所述第二接收模块接收到的各个映射请求中的接入标识 中的目标接入标识是否相同,若各个映射请求中的目标接入标识均相同,则判定所述网络 中将要产生类型为DD0S攻击行为;
[0046]或者,
[0047] 第二判定单元,用于检测所述第二接收模块接收到的各个映射请求中的接入标识 中的源接入标识是否相同,若各个映射请求中的源目标接入标识均相同,则判定所述网络 中将要产生类型为DRDoS攻击行为。
[0048] 本发明实施例提供的技术方案带来的有益效果是:
[0049] 通过收集各个接入转发设备获取的数据包的关键信息,以利用这些数据包中的关 键信息确定网络是否存在攻击行为,若存在攻击行为,则生成用于指示禁止转发这些攻击 行为所产生的数据包;由于可以根据数据包的关键信息对攻击行为进行判定,因此判定结 果能比较真实的反映出网络当前的真实状况,解决了现有技术中映射服务器在根据映射请 求分析网络是否存在攻击行为时,有些情况下无法正确辨别存在的攻击行为的问题;达到 了对各种攻击行为均可以进行正确辨别,并在得知网络存在攻击行为时,指示接入转发设 备禁止这些攻击行为所对应的数据包的转发,保障了网络的安全性的效果。
【附图说明】
[0050] 为了