布与所述nl个节点的流量分布是否相同,进而获取 所述第二路径和所述第一路径的第一匹配度。
[0069] 结合第二方面的第五种可能实现方式,在第二方面的第八种可能实现方式中,所 述装置还包括:
[0070] 在所述第三获取单元获取所述第一路径包括的所述nl个节点中每一节点的流量 之后,
[0071] 第一归一化处理单元,用于采用如下公式对所述nl个节点中每一节点的流量分 别进行归一化处理:
[0072]
[0073] 其中,fx为进行归一化处理后的节点x的流量,x的取值范围为1~nl,Fx为节点 x的流量,为所述nl个节点的流量的最大值。
[0074] 结合第二方面的第六种可能实现方式,在第二方面的第九种可能实现方式中,所 述装置还包括:
[0075] 在所述第四获取单元获取所述第二路径包括的所述n2个节点中每一节点的流量 之后,
[0076] 第二归一化处理单元,用于采用如下公式对所述n2个节点中每一节点的流量分 别进行归一化处理:
[0077]
[0078] 其中,fy为进行归一化处理后的节点y的流量,y的取值范围为1~n2,Fy为节点 y的流量,igikj为所述n2个节点的流量的最大值。
[0079] 结合第二方面或第二方面的第一种可能实现方式至第二方面的第九种可能实现 方式中任一种可能实现方式,在第二方面的第十种可能实现方式中,所述调整单元具体用 于:
[0080] 在确定所述第二报文为异常报文的情况下,将所述第一端口的允许接入流量减小 为第一缩小值,所述第一缩小值为所述第二报文经过所述第一端口的过程中,所述第一端 口的实际接入流量的最大值与第一比例值的乘积,其中,所述第一缩小值不低于预设的所 述第一端口的最低允许接入流量,所述第一比例值的取值范围为1/5~1/2。
[0081] 结合第二方面或第二方面的第一种可能实现方式至第二方面的第十种可能实现 方式中任一种可能实现方式,在第二方面的第十一种可能实现方式中,所述装置还包括:
[0082] 在所述调整单元减小所述第一端口的允许接入流量之后,
[0083] 第二接收单元,用于自所述第一端口接收第三报文;
[0084] 第五获取单元,用于获取第三路径,所述第三路径为所述第三报文通过所述网元 系统时,在所述网元系统内部经历的路径信息,所述第三路径包括所述第三报文在所述网 元系统内部按照时间的先后顺序经过的至少一个节点。
[0085] 结合第二方面的第^^一种可能实现方式,在第二方面的第十二种可能实现方式 中,所述装置还包括:
[0086] 第二匹配单元,用于在所述第三报文的业务类型和所述第一报文的业务类型相同 的情况下,将所述第三路径包括的每一节点分别与所述第一路径包括的相应节点进行匹 配,以获取所述第三路径和所述第一路径的第二匹配度;或者,
[0087] 所述装置包括:
[0088] 第六获取单元,用于在所述第三报文的业务类型和第四报文的业务类型相同的情 况下,获取预先存储的第四路径,所述第四路径为所述第四报文通过所述网元系统时,在所 述网元系统内部经历的路径信息,所述第四路径包括所述第四报文在所述网元系统内部按 照时间的先后顺序经过的至少一个节点,所述第四报文为所有具有与所述第三报文的业务 类型相同的业务类型且经过所述网元系统的报文中,首次经过所述网元系统的报文;
[0089] 所述第二匹配单元用于将所述第三路径包括的每一节点分别与第四路径包括的 相应节点进行匹配,以获取所述第三路径和所述第四路径的第二匹配度。
[0090] 结合第二方面的第十二种可能实现方式,在第二方面的第十三种可能的实现方式 中,所述调整单元还用于:
[0091] 在所述第二匹配度低于或者等于所述第一设定阈值的情况下,将所述第一端口的 允许接入流量减小为第二缩小值,所述第二缩小值为所述第三报文经过所述第一端口的过 程中,所述第一端口的实际接入流量的最大值与第二比例值的乘积,其中,所述第二缩小值 不低于预设的所述第一端口的最低允许接入流量,所述第二比例值的取值范围为1/5~ 1/2〇
[0092] 结合第二方面的第十二种可能实现方式,在第二方面的第十四种可能的实现方式 中,所述调整单元还用于:
[0093] 在所述第二匹配度高于第二设定阈值的情况下,将所述第一端口的允许接入流量 增大为第一增大值,所述第一增大值为所述第三报文经过所述第一端口的过程中,所述第 一端口的实际接入流量的最大值与第三比例值的乘积,其中,所述第一增大值不高于预设 的最高允许接入流量;其中,所述第二设定阈值大于所述第一设定阈值,且所述第二设定阈 值的取值范围为70%~80%,所述第三比例值的取值范围为2~5。
[0094] 可见,本发明实施例提供的一种自适应防攻击方法及装置,通过网元系统的第一 端口接收到第二报文,根据该第二报文的业务类型,获取预先存储的第一路径,该第一路径 为所有具有与该第一报文的业务类型相同的业务类型且经过所述网元系统的报文中、首次 经过所述网元系统的报文,并获取第二路径,该第二路径为该第二报文通过所述网元系统 时,在所述网元系统内部经历的路径信息,然后将第一路径包括的每一节点分别与所述第 二路径包括的相应节点进行匹配,获取第一匹配度;通过比较该第一匹配度和第一设定阈 值,判断该第二报文是否为异常报文,并在确定第二报文为异常报文的情况下,减小该第一 端口的允许接入流量。采用该方案,能够在获取报文后,自动判断该报文是否为异常报文, 并在确定该报文为异常报文的情况下,减小接收报文的端口的允许接入流量,从而达到对 异常报文的自适应防攻击,消除防火墙人工配置的繁琐操作环节,有效提升网络攻击的动 态识别及拦截效果。
【附图说明】
[0095] 为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现 有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本 发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以 根据这些附图获得其他的附图。
[0096]图1为本发明实施例提供的一种自适应防攻击方法的流程示意图;
[0097] 图2为示例的报文矢量路径示意图;
[0098] 图3为本发明实施例提供的另一种自适应防攻击方法的流程示意图;
[0099] 图4为业务报文攻击防御效果对比示意图;
[0100] 图5本发明实施例提供的又一种自适应防攻击方法的流程示意图;
[0101] 图6为不例的业务节点归一化流量分布图;
[0102] 图7为本发明实施例提供的一种自适应防攻击装置的结构示意图;
[0103] 图8为本发明实施例提供的另一种自适应防攻击装置的结构示意图;
[0104] 图9为本发明实施例提供的又一种自适应防攻击装置的结构示意图。
【具体实施方式】
[0105] 下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完 整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于 本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他 实施例,都属于本发明保护的范围。
[0106] 现有技术中,防火墙单元与网元系统独立,不具备业务类型的识别与解析能力,因 此,对于"精巧设计"的伪装的异常报文识别能力较弱,本发明涉及的自适应防攻击装置设 置在网元系统内部,对网元系统内部各节点处理报文进行监控。报文经过任一个网元系统, 网元系统内部包括的多个节点依次对报文进行处理,可以通过将从端口接收到的报文在网 元系统内部按照时间的先后顺序经过的节点,与和该报文的业务类型相同的、且首次经过 网元系统的报文的经过的节点进行匹配,获取路径的匹配度,根据该匹配度确定该接收到 的报文是否为异常报文,在该报文为异常报文的情况下,减小接收报文的端口的允许接入 流量,从而达到对异常报文的自适应防攻击,消除防火墙人工配置的繁琐操作环节,有效提 升网络攻击的动态识别及拦截效果。
[0107] 下面结合图1-图6,对本发明实施例提供的自适应防攻击方法进行详细描述:
[0108] 请参阅图1,为本发明实施例提供的一种自适应防攻击方法的流程示意图,该方法 包括以下步骤:
[0109] 步骤S101,自网元系统的第一端口接收第二报文,所述网元系统包括至少一个端 口,所述第一端口为所述至少一个端口中的一个,且所述网元系统内部包括多个节点。
[0110] 本实施例涉及的网元系统可以是路由器、交换机、移动管理实体(英文Mobility ManagementEntity,简称:MME)等任一通信网元,该网元系统包括多个端口,且其内部包括 多个节点,网元系统可以自任一端口接收其他网元系统发送的报文,报文依次经过网元系 统内部的一个或多个节点,由各个节点分别对报文进行处理,由各个节点进行鉴权、解析等 处理。这里的第二报文一般为非首次经过该网元系统的该业务类型的报文。
[0111] 步骤S102,根据所述第二报文的业务类型,获取预先存储的第一路径,所述第一路 径为第一报文通过所述网元系统时,在所述网元系统内部经历的路径信息,所述第一路径 包括所述第一报文在所述网元系统内部按照时间的先后顺序经过的至少一个节点,所述第 一报文为所有具有与所述第二报文的业务类型相同的业务类型且经过所述网元系统的报 文中,首次经过所述网元系统的报文。
[0112] 在接收第二报文之前,网元系统自所述网元系统的任一端口接收所述第一报文, 获取所述第一报文通过所述网元系统时,在所述网元系统内部经历的所述第一路径,并将 所述第一路径进行存储处理,该第一报文为首次经过该网元系统的报文。当有新注册的业 务时,或者业务的属性发生变更时,例如业务的一些配置发生变更,或者业务的版本进行了 升级,这些报文经过业务处理系统时,则业务的类型发生变化,且在系统内部所经过的处理 节点或节点路径可能会发生一些变化,需要重新学习业务报文所经过的路径,即认为该报 文为首次经过该网元系统的报文,因此,当有新注册的业务时,或者业务的属性发生变更 时,触发获取第一报文通过网元系统时,在网元系统内部经历的路径信息,该路径包括该报 文在网元系统内部按照时间的先后顺序经过的一个或多个节点。按照业务类型,将该路径 分类存储在网元系统、某个节点或云服务器等。因此,可以根据第二报文的业务类型,获取 该业务类型的报文的第一路径。
[0113] 如图2所示的报文矢量路径示意图,对于每一种业务类型的报文,网元系统内部 设置有相应的节点处理环节,以A业务类型的报文为例,正常报文进入网元系统后,需要通 过鉴权、注册、分级处理等业务环节,处理路径逐次为:(XU-〉MDU-〉MIU-〉SIG-〉CSU- >IFU,其中,CCU、MDU、MIU、SIG、CSU、IFU为该网元系统内部的节点;B业务类型的报文的处 理路径逐次为:CCU-〉CSU-〉MIU-〉MDU-〉SIG- >IFU。
[0114] 以方向矢量图对报文进行建模如下:
[0115]an+1=p1an+p2an_1+p3an_2+. . . +pkan_k+1 ......公式(1)
[0116] 其中,pk代表该类型的业务报文是否经过该节点,pk的取值为0或1,a"代表报文 在n时刻所在节点位置信息;an+1代表正常报文在下一时刻的预期路径信息。
[0117] 步骤S103,获取第二路径,所述第二路径为所述第二报文通过所述网元系统时,在 所述网元系统内部经历的路径信息,所述第二路径包括所述第二报文在所述网元系统内部 按照时间的先后顺序经过的至少一个节点。
[0118] 获取第二报文经过网元系统时,在网元系统内部经历的路径信息,即第二路径,第 二报文在网元系统内部按照时间的先后顺序经过一个或多个节点,可以获取依次经过的节 点信息。
[0119] 步骤S104,将所述第一路径包括的每一节点分别与所述第二路径包括的相应节点 进行匹配,以获取所述第二路径和所述第一路径的第一匹配度。
[0120] 在进行节点或路径匹配前,按照时间的先后顺序,将第一路径包括的至少一个节 点和第二路径包括的至少一个节点分别进行排序,则位于第一路径中的和位于第二路径中 的具有相同序位的节点是相对应的,然后,将第一路径包括的每一节点分别与第二路径包 括的相应节点进行匹配,以获取第二路径和第一路径的匹配度。
[0121] 步骤S105,将所述第一匹配度与第一设定阈值进行比较,若所述第一匹配度低于 所述第一设定阈值,则确定所述第二报文为异常报文,所述第一设定阈值是根据所述业务 类型对误码率或通信延时的容忍度设定的。
[0122] 有的业务类型的报文对误码率或通信延时的容忍度较高,即允许报文所经过的某 一网元系统内部节点的顺序与首次经过该网元系统的报文有一定差异,有的业务类型的报 文则对误码率或通信延时的容忍度较低,要求报文所经过的某一网元系统内部节点的顺序 与首次经过该网元系统的报文差异较小,因此,针对不同的业务类型,设置不同的匹配度阈 值,如果获取的第二报文与第一报文的路径的匹配度低于该阈值,则可以确定该第二报文 为异常报文。
[0123] 步骤S106,在确定所述第二报文为异常报文的情况下,减小所述第一端口的允许 接入流量。
[0124] 在确定第二报文为异常报文的情况下,通过减小接收该第二报文的端口的允许接 入流量,可以防止异常报文对网元系统发起大规模攻击。
[0125] 根据本发明实施例提供的一种自适应防攻击方法,通过将从端口接收到的报文在 网元系统内部按照时间的先后顺序经过的节点,与和该报文的业务类型相同的、且首次经 过网元系统的报文的经过的节点进行匹配,获取路径的匹配度,根据该匹配度确定该接收 到的报文是否为异常报文,在该报文为异常报文的情况下,减小接收报文的端口的允许接 入流量,从而达到对异常报文的自适应防攻击,消除防火墙人工配置的繁琐操作环节,有效 提升网络攻击的动态识别及拦截效果。