一种自适应防攻击方法及装置的制造方法
【技术领域】
[0001] 本发明涉及通信安全技术领域,尤其涉及一种自适应防攻击方法及装置。
【背景技术】
[0002] 在电信设备中,不同的网元间通过路由器、交换机、快速以太网(英文:Fast Ethernet,简称:FE)接口、千兆以太网(英文:Gigabit Ethernet,简称:GE)接口等设备/ 端口实现互联互通,为用户提供多样化的电信服务。随着IT、CT组网的不断融合,电信网络 遭遇外部异常报文攻击的情况不断出现,进而引起单板复位、业务阻塞等问题。
[0003] 常见的网络防攻击方案,就是在网元入口部署防火墙。通过防火墙的预置策略,对 接入的数据报文进行甄别。对于符合预置策略的报文允许接入网络,不符合预置策略的报 文予以丢弃。预置策略需要人工配置生成,业务频繁变更场景下灵活性不足。且由于防火 墙单元与业务单元独立,不具备业务类型的识别与解析能力,因此,对于"精巧设计"的伪装 的异常业务报文识别能力较弱,对于此类型的攻击行为,防火墙通过对异常流量行为、碎片 报文识别等技术,只能实现部分性的防护能力。因此,如何消除人工配置防火墙的繁琐操作 环节,有效提升网络攻击的动态识别及拦截效果,是当前需要解决的问题。
【发明内容】
[0004] 本发明提供了一种自适应防攻击方法及装置,以对异常报文进行自适应防攻击, 有效提升网络攻击的动态识别及拦截效果。
[0005] 第一方面,提供了一种自适应防攻击方法,包括:
[0006]自网元系统的第一端口接收第二报文,所述网元系统包括至少一个端口,所述第 一端口为所述至少一个端口中的一个,且所述网元系统内部包括多个节点;
[0007] 根据所述第二报文的业务类型,获取预先存储的第一路径,所述第一路径为第一 报文通过所述网元系统时,在所述网元系统内部经历的路径信息,所述第一路径包括所述 第一报文在所述网元系统内部按照时间的先后顺序经过的至少一个节点,所述第一报文为 所有具有与所述第二报文的业务类型相同的业务类型且经过所述网元系统的报文中,首次 经过所述网元系统的报文;
[0008] 获取第二路径,所述第二路径为所述第二报文通过所述网元系统时,在所述网元 系统内部经历的路径信息,所述第二路径包括所述第二报文在所述网元系统内部按照时间 的先后顺序经过的至少一个节点;
[0009] 将所述第一路径包括的每一节点分别与所述第二路径包括的相应节点进行匹配, 以获取所述第二路径和所述第一路径的第一匹配度;
[0010] 将所述第一匹配度与第一设定阈值进行比较,若所述第一匹配度低于所述第一设 定阈值,则确定所述第二报文为异常报文,所述第一设定阈值是根据所述业务类型对误码 率或通信延时的容忍度设定的;
[0011] 在确定所述第二报文为异常报文的情况下,减小所述第一端口的允许接入流量。
[0012] 结合第一方面,在第一方面的第一种可能实现方式中,按照时间的先后顺序,将所 述第一路径包括的至少一个节点和所述第二路径包括的至少一个节点分别进行排序,则位 于所述第一路径中的和位于所述第二路径中的具有相同序位的节点是相对应的。
[0013] 结合第一方面或第一方面的第一种可能实现方式,在第一方面的第二种可能实现 方式中,所述第一设定阈值的取值范围为60 %~70 %。
[0014] 结合第一方面、第一方面的第一种可能实现方式或第一方面的第二种可能实现方 式,在第一方面的第三种可能实现方式中,在所述自网元系统的第一端口接收第二报文之 前,所述方法还包括:
[0015] 自所述网元系统的任一端口接收所述第一报文;
[0016] 获取所述第一报文通过所述网元系统时,在所述网元系统内部经历的所述第一路 径,并将所述第一路径进行存储处理。
[0017] 结合第一方面或第一方面的第一种可能实现方式至第一方面的第三种可能实现 方式中任一种可能实现方式,在第一方面的第四种可能实现方式中,所述将所述第一路径 包括的每一节点分别与所述第二路径包括的相应节点进行匹配,以获取所述第二路径和所 述第一路径的第一匹配度,具体包括:
[0018] 将所述第一路径包括的每一节点分别与所述第二路径包括的相应节点进行匹配, 以确定所述第一路径包括的每一节点是否与所述第二路径包括的相应节点相同,进而获取 所述第二路径和所述第一路径的第一匹配度。
[0019] 结合第一方面或第一方面的第一种可能实现方式至第一方面的第三种可能实现 方式中任一种可能实现方式,在第一方面的第五种可能实现方式中,所述第一路径包括nl 个节点,
[0020] 则所述获取预先存储的第一路径之后,所述方法还包括:
[0021] 获取所述第一路径包括的所述nl个节点中每一节点的流量。
[0022] 结合第一方面的第五种可能实现方式,在第一方面的第六种可能实现方式中,所 述第二路径包括n2个节点,
[0023] 则所述获取第二路径之后,所述方法还包括:
[0024] 获取所述第二路径包括的所述n2个节点中每一节点的流量。
[0025] 结合第一方面的第六种可能实现方式,在第一方面的第七种可能实现方式中,所 述将所述第一路径包括的每一节点分别与所述第二路径包括的相应节点进行匹配,以获取 所述第二路径和所述第一路径的第一匹配度,具体包括:
[0026] 将所述n2个节点中每一节点的流量分别与所述n1个节点中的相应节点的流量进 行匹配,以确定所述n2个节点的流量分布与所述nl个节点的流量分布是否相同,进而获取 所述第二路径和所述第一路径的第一匹配度。
[0027] 结合第一方面的第五种可能实现方式,在第一方面的第八种可能实现方式中,所 述获取所述第一路径包括的所述nl个节点中每一节点的流量之后,所述方法还包括:
[0028] 采用如下公式对所述nl个节点中每一节点的流量分别进行归一化处理:
[0029] fx=FJMax^}
[0030] 其中,fx为进行归一化处理后的节点x的流量,x的取值范围为1~nl,Fx为节点 X的流量,为所述nl个节点的流量的最大值。
[0031] 结合第一方面的第六种可能实现方式,在第一方面的第九种可能实现方式中,所 述获取所述第二路径包括的所述n2个节点中每一节点的流量之后,所述方法还包括:
[0032] 采用如下公式对所述n2个节点中每一节点的流量分别进行归一化处理:
[0033]
[0034] 其中,fy为进行归一化处理后的节点y的流量,y的取值范围为1~n2,Fy为节点 y的流量,为所述n2个节点的流量的最大值。
[0035] 结合第一方面或第一方面的第一种可能实现方式至第一方面的第九种可能实现 方式中任一种可能实现方式,在第一方面的第十种可能实现方式中,所述在确定所述第二 报文为异常报文的时刻起,减小所述第一端口的允许接入流量,具体包括:
[0036] 在确定所述第二报文为异常报文的情况下,将所述第一端口的允许接入流量减小 为第一缩小值,所述第一缩小值为所述第二报文经过所述第一端口的过程中,所述第一端 口的实际接入流量的最大值与第一比例值的乘积,其中,所述第一缩小值不低于预设的所 述第一端口的最低允许接入流量,所述第一比例值的取值范围为1/5~1/2。
[0037] 结合第一方面或第一方面的第一种可能实现方式至第一方面的第十种可能实现 方式中任一种可能实现方式,在第一方面的第十一种可能实现方式中,所述在确定所述第 二报文为异常报文的时刻起,减小所述第一端口的允许接入流量之后,所述方法还包括: [0038]自所述第一端口接收第三报文;
[0039] 获取第三路径,所述第三路径为所述第三报文通过所述网元系统时,在所述网元 系统内部经历的路径信息,所述第三路径包括所述第三报文在所述网元系统内部按照时间 的先后顺序经过的至少一个节点。
[0040] 结合第一方面的第^^一种可能实现方式,在第一方面的第十二种可能实现方式 中,所述方法还包括:
[0041] 在所述第三报文的业务类型和所述第一报文的业务类型相同的情况下,将所述第 三路径包括的每一节点分别与所述第一路径包括的相应节点进行匹配,以获取所述第三路 径和所述第一路径的第二匹配度;或者,
[0042] 在所述第三报文的业务类型和第四报文的业务类型相同的情况下,获取预先存储 的第四路径,所述第四路径为所述第四报文通过所述网元系统时,在所述网元系统内部经 历的路径信息,所述第四路径包括所述第四报文在所述网元系统内部按照时间的先后顺序 经过的至少一个节点,所述第四报文为所有具有与所述第三报文的业务类型相同的业务类 型且经过所述网元系统的报文中,首次经过所述网元系统的报文;并将所述第三路径包括 的每一节点分别与第四路径包括的相应节点进行匹配,以获取所述第三路径和所述第四路 径的第二匹配度。
[0043] 结合第一方面的第十二种可能实现方式,在第一方面的第十三种可能实现方式 中,所述方法还包括:
[0044] 在所述第二匹配度低于或者等于所述第一设定阈值的情况下,将所述第一端口的 允许接入流量减小为第二缩小值,所述第二缩小值为所述第三报文经过所述第一端口的过 程中,所述第一端口的实际接入流量的最大值与第二比例值的乘积,其中,所述第二缩小值 不低于预设的所述第一端口的最低允许接入流量,所述第二比例值的取值范围为1/5~ 1/2〇
[0045] 结合第一方面的第十二种可能实现方式,在第一方面的第十四种可能实现方式 中,所述方法还包括:
[0046] 在所述第二匹配度高于第二设定阈值的情况下,将所述第一端口的允许接入流量 增大为第一增大值,所述第一增大值为所述第三报文经过所述第一端口的过程中,所述第 一端口的实际接入流量的最大值与第三比例值的乘积,其中,所述第一增大值不高于预设 的最高允许接入流量;其中,所述第二设定阈值大于所述第一设定阈值,且所述第二设定阈 值的取值范围为70%~80%,所述第三比例值的取值范围为2~5。
[0047] 第二方面,提供了一种自适应防攻击装置,应用于网元系统,所述装置包括:
[0048] 第一接收单元,用于自所述网元系统的第一端口接收第二报文,所述网元系统包 括至少一个端口,所述第一端口为所述至少一个端口中的一个,且所述网元系统内部包括 多个节点;
[0049] 第一获取单元,用于根据所述第二报文的业务类型,获取预先存储的第一路径,所 述第一路径为第一报文通过所述网元系统时,在所述网元系统内部经历的路径信息,所述 第一路径包括所述第一报文在所述网元系统内部按照时间的先后顺序经过的至少一个节 点,所述第一报文为所有具有与所述第二报文的业务类型相同的业务类型且经过所述网元 系统的报文中,首次经过所述网元系统的报文;
[0050] 第二获取单元,用于获取第二路径,所述第二路径为所述第二报文通过所述网元 系统时,在所述网元系统内部经历的路径信息,所述第二路径包括所述第二报文在所述网 元系统内部按照时间的先后顺序经过的至少一个节点;
[0051] 第一匹配单元,用于将所述第一路径包括的每一节点分别与所述第二路径包括的 相应节点进行匹配,以获取所述第二路径和所述第一路径的第一匹配度;
[0052] 比较单元,用于将所述第一匹配度与第一设定阈值进行比较,若所述第一匹配度 低于所述第一设定阈值,则确定所述第二报文为异常报文,所述第一设定阈值是根据所述 业务类型对误码率或通信延时的容忍度设定的;
[0053] 在所述比较单元确定所述第二报文为异常报文的情况下,调整单元,用于减小所 述第一端口的允许接入流量。
[0054] 结合第二方面,在第二方面的第一种可能实现方式中,按照时间的先后顺序,将所 述第一路径包括的至少一个节点和所述第二路径包括的至少一个节点分别进行排序,则位 于所述第一路径中的和位于所述第二路径中的具有相同序位的节点是相对应的。
[0055] 结合第二方面或第二方面的第一种可能实现方式,在第二方面的第二种可能实现 方式中,所述第一设定阈值的取值范围为60 %~70 %。
[0056] 结合第二方面、第二方面的第一种可能实现方式或第二方面的第二种可能实现方 式,在第二方面的第三种可能实现方式中,所述装置还包括:
[0057] 第三接收单元,用于自所述网元系统的任一端口接收所述第一报文;
[0058] 第七获取单元,用于获取所述第一报文通过所述网元系统时,在所述网元系统内 部经历的所述第一路径,并将所述第一路径进行存储处理。
[0059] 结合第二方面或第二方面的第一种可能实现方式至第二方面的第三种可能实现 方式中任一种可能实现方式在第二方面的第四种可能实现方式中,所述第一匹配单元具体 用于:
[0060] 将所述第一路径包括的每一节点分别与所述第二路径包括的相应节点进行匹配, 以确定所述第一路径包括的每一节点是否与所述第二路径包括的相应节点相同,进而获取 所述第二路径和所述第一路径的第一匹配度。
[0061] 结合第二方面或第二方面的第一种可能实现方式至第二方面的第三种可能实现 方式中任一种可能实现方式,在第二方面的第五种可能实现方式中,所述第一路径包括nl 个节点,
[0062] 则所述装置还包括:
[0063] 第三获取单元,用于获取所述第一路径包括的所述nl个节点中每一节点的流量。
[0064] 结合第二方面的第五种可能实现方式,在第二方面的第六种可能实现方式中,所 述第二路径包括n2个节点,
[0065] 则所述装置还包括:
[0066] 第四获取单元,用于获取所述第二路径包括的所述n2个节点中每一节点的流量。
[0067] 结合第二方面的第六种可能实现方式,在第二方面的第七种可能实现方式中,所 述第一匹配单元具体用于:
[0068] 将所述n2个节点中每一节点的流量分别与所述n 1个节点中的相应节点的流量进 行匹配,以确定所述n2个节点的流量分