[0126] 请参阅图3,为本发明实施例提供的另一种自适应防攻击方法的流程示意图,该方 法包括以下步骤:
[0127] 步骤S201,自网元系统的第一端口接收第二报文,所述网元系统包括至少一个端 口,所述第一端口为所述至少一个端口中的一个,且所述网元系统内部包括多个节点。
[0128] 步骤S202,根据所述第二报文的业务类型,获取预先存储的第一路径,所述第一路 径为第一报文通过所述网元系统时,在所述网元系统内部经历的路径信息,所述第一路径 包括所述第一报文在所述网元系统内部按照时间的先后顺序经过的至少一个节点,所述第 一报文为所有具有与所述第二报文的业务类型相同的业务类型且经过所述网元系统的报 文中,首次经过所述网元系统的报文。
[0129] 步骤S203,获取第二路径,所述第二路径为所述第二报文通过所述网元系统时,在 所述网元系统内部经历的路径信息,所述第二路径包括所述第二报文在所述网元系统内部 按照时间的先后顺序经过的至少一个节点。
[0130] 步骤S201-S203与图1所示实施例的步骤S101-S103相同,在此不再赘述。
[0131] 步骤S204,将所述第一路径包括的每一节点分别与所述第二路径包括的相应节 点进行匹配,以确定所述第一路径包括的每一节点是否与所述第二路径包括的相应节点相 同,进而获取所述第二路径和所述第一路径的第一匹配度。
[0132] 在进行节点或路径匹配前,按照时间的先后顺序,将第一路径包括的至少一个节 点和第二路径包括的至少一个节点分别进行排序,则位于第一路径中的和位于第二路径中 的具有相同序位的节点是相对应的,然后,将第一路径包括的每一节点分别与第二路径包 括的相应节点进行匹配,以确定第一路径包括的每一节点是否与第二路径包括的相应节点 相同,以获取第二路径和第一路径的匹配度。
[0133] 以图2为例,A业务类型的业务报文正常应该顺序经过这些节点:(XU-〉MDU- >MIU-〉SIG-〉CSU- >IFU,假设,检测到的当前的该设定类型的业务报文所经过的第三个 和第四个节点与上述学习到的正常顺序不同,则认为其匹配度为4/6 = 66. 7%。
[0134] 步骤S205,将所述第一匹配度与第一设定阈值进行比较,若所述第一匹配度低于 所述第一设定阈值,则确定所述第二报文为异常报文,所述第一设定阈值是根据所述业务 类型对误码率或通信延时的容忍度设定的。
[0135] 步骤S206,在确定所述第二报文为异常报文的情况下,将所述第一端口的允许接 入流量减小为第一缩小值。
[0136] 针对不同的业务类型对误码率或通信延时的容忍度的不同,设置不同的匹配度阈 值,该阈值的取值范围为60%~70%。如果获取的第二报文与第一报文的路径的匹配度低 于该阈值,则可以确定该第二报文为异常报文。
[0137] 若确定为异常的业务报文,触发采取对该接收该报文的端口的允许接入流量进行 调整的方式以防报文攻击。具体地,对于匹配度高于设定阈值的报文流,判定为合法报文, 其接入流量不受控;对于匹配度低于设定阈值的报文流,判定为异常报文,并启动防御机 制,减小该端口的允许接入流量。允许接入的流量减小了,异常业务报文对系统的攻击就相 对变小了。
[0138] 本实施例进行逐级减小端口的允许接入流量,可以降低短时脉冲式攻击对报文的 影响。具体地,在确定所述第二报文为异常报文的情况下,将所述第一端口的允许接入流量 减小为第一缩小值,该第一缩小值为所述第二报文经过所述第一端口的过程中,所述第一 端口的实际接入流量的最大值与第一比例值的乘积,其中,所述第一缩小值不低于预设的 所述第一端口的最低允许接入流量,所述第一比例值的取值范围为1/5~1/2。
[0139] 步骤S207,自所述第一端口接收第三报文。
[0140] 步骤S208,获取第三路径,所述第三路径为所述第三报文通过所述网元系统时,在 所述网元系统内部经历的路径信息,所述第三路径包括所述第三报文在所述网元系统内部 按照时间的先后顺序经过的至少一个节点。
[0141] 该端口不断地接收报文,接收的第三报文的业务类型可能与第一报文或第二报文 相同,也可能不同。同样地,获取第三报文通过网元系统时,在网元系统内部经历的路径信 息。
[0142] 步骤S209,在所述第三报文的业务类型和所述第一报文的业务类型相同的情况 下,将所述第三路径包括的每一节点分别与所述第一路径包括的相应节点进行匹配,以获 取所述第三路径和所述第一路径的第二匹配度。
[0143] 步骤S210,在所述第三报文的业务类型和第四报文的业务类型相同的情况下,获 取预先存储的第四路径,所述第四路径为所述第四报文通过所述网元系统时,在所述网元 系统内部经历的路径信息,所述第四路径包括所述第四报文在所述网元系统内部按照时间 的先后顺序经过的至少一个节点,所述第四报文为所有具有与所述第三报文的业务类型相 同的业务类型且经过所述网元系统的报文中,首次经过所述网元系统的报文。
[0144] 步骤S211,将所述第三路径包括的每一节点分别与第四路径包括的相应节点进行 匹配,以获取所述第三路径和所述第四路径的第二匹配度。
[0145] 在计算新接收到的第三报文的匹配度时,如果第三报文的业务类型与第一报文相 同,则将第三报文与第一报文的路径进行匹配,获取第二匹配度,如果第三报文的业务类型 与第一报文不同,获取与第三报文的业务类型相同的、且首次经过网元系统的第四报文的 路径,将第三报文与第四报文的路径进行匹配,获取第二匹配度。
[0146] 步骤S212,在所述第二匹配度低于或者等于所述第一设定阈值的情况下,将所述 第一端口的允许接入流量减小为第二缩小值,所述第二缩小值为所述第三报文经过所述第 一端口的过程中,所述第一端口的实际接入流量的最大值与第二比例值的乘积,其中,所述 第二缩小值不低于预设的所述第一端口的最低允许接入流量,所述第二比例值的取值范围 为 1/5 ~1/2〇
[0147] 如果监控到的新接收到的报文的匹配度仍低于或等于第一设定阈值,按照一定的 比例值再次减小端口的允许接入流量。
[0148] 需要说明的是,减小端口的允许接入流量是逐级进行的,即S207-S212的过程是 循环的,直至端口的允许接入流量不低于预设的所述第一端口的最低允许接入流量。
[0149] 步骤S213,在所述第二匹配度高于第二设定阈值的情况下,将所述第一端口的允 许接入流量增大为第一增大值,所述第一增大值为所述第三报文经过所述第一端口的过程 中,所述第一端口的实际接入流量的最大值与第三比例值的乘积,其中,所述第一增大值不 高于预设的最高允许接入流量;其中,所述第二设定阈值大于所述第一设定阈值,且所述第 二设定阈值的取值范围为70%~80%,所述第三比例值的取值范围为2~5。
[0150] 但如果监控到的新接收到的报文的匹配度高于第二设定阈值,则恢复端口的允许 接入流量,且恢复的过程是逐级进行的,与逐级减小端口的允许接入流量的过程类似。
[0151] 举例说明,防御实施环节采取二进制指数退避算法,有效实现异常接入端口的流 量限制;并保持最低流量标准,在端口攻击行为消失时,能够自动实现异常恢复。
[0152] 具体地,从某端口流入系统的报文流与矢量路径迀移模型匹配度低于阈值时,将 端口的允许接入流量递减为上一周期设置阈值的1/2,抑制异常攻击对系统正常报文处理 的影响度;直至最低流量标准后(最低流量标准参考该端口正常周期中流量进行设定,默 认为5% ),不再进行下调,并实时监控该端口状态;在该异常节点报文流与矢量路径迀移 模型匹配度恢复至高于阈值时,对该端口的流量限制调整至上一周期设置阈值的2倍,逐 步恢复其接入能力,直至到达该端口允许的最大流量阈值。
[0153] 该防御算法可以尽力避免节点黑洞,即避免"无法恢复的异常",节点黑洞即指某 节点由于异常行为被系统限制接入,在某段时间后恢复正常状态时,无法消除历史异常影 响、恢复系统正常接入的情况。
[0154] 我们构造协议类型合法、业务类型异常的报文流,对系统进行大流量冲击,观测系 统异常防御能力,如图4所示,为业务报文攻击防御效果对比示意图,横坐标表示攻击报文 强度(单位:数据包每秒),纵坐标表示系统的负载程度(图示为CPU占用率,单位为百分 比;也可以使用其他关键资源的占用率来度量),曲线1为采用通用防御策略的业务报文攻 击防御效果,通用防御策略即采用独立防火墙单元,开启流量攻击相关配置;曲线2为采用 本实施例的自适应防攻击方法。可以明显地看出,采用本实施例的自适应防攻击方法,能够 有效降低异常攻击报文对系统的影响,保证正常端口的业务接入及平稳运行。
[0155] 根据本发明实施例提供的一种自适应防攻击方法,通过将从端口接收到的报文在 网元系统内部按照时间的先后顺序经过的节点,与和该报文的业务类型相同的、且首次经 过网元系统的报文的经过的节点进行匹配,获取路径的匹配度,根据该匹配度确定该接收 到的报文是否为异常报文,在该报文为异常报文的情况下,逐级减小接收报文的端口的允 许接入流量,从而达到对异常报文的自适应防攻击,消除防火墙人工配置的繁琐操作环节, 有效提升网络攻击的动态识别及拦截效果;并可在监控到匹配度增大时,可快速恢复端口 的允许接入流量,避免网元系统的不稳定。
[0156] 请参阅图5,为本发明实施例提供的又一种自适应防攻击方法的流程示意图,该方 法包括以下步骤:
[0157] 步骤S301,自网元系统的第一端口接收第二报文,所述网元系统包括至少一个端 口,所述第一端口为所述至少一个端口中的一个,且所述网元系统内部包括多个节点。
[0158] 本步骤与图1或图3所示实施例的步骤S101或S102相同,在此不再赘述。
[0159] 步骤S302,根据所述第二报文的业务类型,获取预先存储的第一路径,获取所述第 一路径包括的所述n1个节点中每一节点的流量。
[0160]获取预先存储的第一路径的步骤与图1或图3所示实施例的步骤S102或S202相 同,在此不再赘述。然而,在获取预先存储的第一路径的同时或之后,本实施例还要求获取 第一路径包括的nl个节点中每一节点的流量。报文依次经过网元系统的节点,不同的报文 在相同的节点的流量可能相同或不同。
[0161] 步骤S303,获取第二路径,并获取所述第二路径包括的所述n2个节点中每一节点 的流量。
[0162] 获取第二路径的步骤与图1或图3所示实施例的步骤S103或S203相同,在此不 再赘述。同样地,在获取第二路径的同时或之后,本实施例还要求获取第二路径包括的n2 个节点中每一节点的流量。
[0163] 步骤S304,对所述nl和n2个节点中每一节点的流量分别进行归一化处理。
[0164] 由于流量是一个较大的数值,直接进行每个节点的流量匹配,计算量大,因此,可 先对nl和n2个节点中每一节点的流量分别进行归一化处理,具体如下:
[0165] 采用如下公式(2)对所述nl个节点中每一节点的流量分别进行归一化处理:
[0166]
[0167] 其中,fx为进行归一化处理后的节点x的流量,x的取值范围为1~nl,Fx为节点 x的流量,为所述nl个节点的流量的最大值。
[0168] 采用如下公式(3)对所述n2个节点中每一节点的流量分别进行归一化处理:
[0169]
[0170] 其中,fy为进行归一化处理后的节点y的流量,y的取值范围为1~n2,Fy为节点 y的流量,}为所述n2个节点的流量的最大值。
[0171] 以业务类型A为例,基于归一化流量算法,其各节点的流量特征统计分布如图6所 不〇
[0172] 步骤S305,将所述n2个节点中每一节点的流量分别与所述nl个节点中的相应节 点的流量进行匹配,以确定所述n2个节点的流量分布与所述nl个节点的流量分布是否相 同,进而获取所述第二路径和所述第一路径的第一匹配度。
[0173] 将所述n2个节点中每一节点的流量分别与所述nl个节点中的相应节点的流量进 行匹配,从而可以确定n2个节点的流量分布与所述nl个节点的流量分布是否相同,具体的 匹配技术可参照现有技术,确定n2个节点的流量分布与所述nl个节点的流量分布是否相 同,从而可以获取第二路径和第一路径的第一匹配度。
[0174] 步骤S306,将所述第一匹配度与第一设定阈值进行比较,若所述第一匹配度低于 所述第一设定阈值,则确定所述第二报文为异常报文。
[0175] 步骤S307,在确定所述第二报文为异常报文的情况下,将所述第一端口的允许接 入流量减小为第一缩小值,所述第一缩小值为所述第二报文经过所述第一端口的过程中, 所述第一端口的实际接入流量的最大值与第一比例值的乘积,其中,所述第一缩小值不低 于预设的所述第一端口的最低允许接入流量,所述第一比例值的取值范围为1/5~1/2。
[0176] 步骤S308,自所述第一端口接收第三报文。
[0177] 步骤S309,获取第三路径,并获取所述第三路径包括的n3个节点中每一节点的流 量。
[0178] 所述第三路径为所述第三报文通过所述网元系统时,在所述网元系统内部经历的 路径信息,所述第三路径包括所述第三报文在所述网元系统内部按照时间的先后顺序经过 的至少一个节点。
[0179] 步骤S310,在所述第三报文的业务类型和所述第一报文的业务类型相同的情况 下,将所述n3个节点中每一节点的流量分别与所述nl个节点中的相应节点的流量进行匹 配,以确定所述n3个节点的流量分布与所述nl个节点的流量分布是否相同,进而获取所述 第三路径和所述第一路径的第二匹配度。
[0180] 步骤S311,在所述第三报文的业务类型和第四报文的业务类型相同的情况下,获 取预先存储的第四路径,并获取所述第四路径包括的n4个节点中每一节点的流量。
[0181] 步骤S312,将所述n3个节点中每一节点的流量分别与所述n4个节点中的相应节 点的流量进行匹配,以确定