类型与第一报文相 同,则第二匹配单元28将第三报文与第一报文的路径进行匹配,获取第二匹配度,如果第 三报文的业务类型与第一报文不同,获取与第三报文的业务类型相同的、且首次经过网元 系统的第四报文的路径,将第三报文与第四报文的路径进行匹配,获取第二匹配度。
[0225] 调整单元25还用于在所述第二匹配度低于或者等于所述第一设定阈值的情况 下,将所述第一端口的允许接入流量减小为第二缩小值,所述第二缩小值为所述第三报文 经过所述第一端口的过程中,所述第一端口的实际接入流量的最大值与第二比例值的乘 积,其中,所述第二缩小值不低于预设的所述第一端口的最低允许接入流量,所述第二比例 值的取值范围为1/5~1/2。
[0226] 如果监控到的新接收到的报文的匹配度仍低于或等于第一设定阈值,按照一定的 比例值再次减小端口的允许接入流量。
[0227] 需要说明的是,减小端口的允许接入流量是逐级进行的,即该过程是循环的,直至 端口的允许接入流量不低于预设的所述第一端口的最低允许接入流量。
[0228] 调整单元25还用于在所述第二匹配度高于第二设定阈值的情况下,将所述第一 端口的允许接入流量增大为第一增大值,所述第一增大值为所述第三报文经过所述第一端 口的过程中,所述第一端口的实际接入流量的最大值与第三比例值的乘积,其中,所述第一 增大值不高于预设的最高允许接入流量;其中,所述第二设定阈值大于所述第一设定阈值, 且所述第二设定阈值的取值范围为70%~80%,所述第三比例值的取值范围为2~5。
[0229] 但如果监控到的新接收到的报文的匹配度高于第二设定阈值,则恢复端口的允许 接入流量,且恢复的过程是逐级进行的,与逐级减小端口的允许接入流量的过程类似。
[0230] 举例说明,防御实施环节采取二进制指数退避算法,有效实现异常接入端口的流 量限制;并保持最低流量标准,在端口攻击行为消失时,能够自动实现异常恢复。
[0231] 具体地,从某端口流入系统的报文流与矢量路径迀移模型匹配度低于阈值时,将 端口的允许接入流量递减为上一周期设置阈值的1/2,抑制异常攻击对系统正常报文处理 的影响度;直至最低流量标准后(最低流量标准参考该端口正常周期中流量进行设定,默 认为5% ),不再进行下调,并实时监控该端口状态;在该异常节点报文流与矢量路径迀移 模型匹配度恢复至高于阈值时,对该端口的流量限制调整至上一周期设置阈值的2倍,逐 步恢复其接入能力,直至到达该端口允许的最大流量阈值。
[0232] 该防御算法可以尽力避免节点黑洞,即避免"无法恢复的异常",节点黑洞即指某 节点由于异常行为被系统限制接入,在某段时间后恢复正常状态时,无法消除历史异常影 响、恢复系统正常接入的情况。
[0233] 我们构造协议类型合法、业务类型异常的报文流,对系统进行大流量冲击,观测系 统异常防御能力,如图4所示,为业务报文攻击防御效果对比示意图,横坐标表示攻击报文 强度(单位:数据包每秒),纵坐标表示系统的负载程度(图示为CPU占用率,单位为百分 比;也可以使用其他关键资源的占用率来度量),曲线1为采用通用防御策略的业务报文攻 击防御效果,通用防御策略即采用独立防火墙单元,开启流量攻击相关配置;曲线2为采用 本实施例的自适应防攻击方法。可以明显地看出,采用本实施例的自适应防攻击方法,能够 有效降低异常攻击报文对系统的影响,保证正常端口的业务接入及平稳运行。
[0234] 根据本发明实施例提供的一种自适应防攻击装置,通过将从端口接收到的报文在 网元系统内部按照时间的先后顺序经过的节点,与和该报文的业务类型相同的、且首次经 过网元系统的报文的经过的节点进行匹配,获取路径的匹配度,根据该匹配度确定该接收 到的报文是否为异常报文,在该报文为异常报文的情况下,逐级减小接收报文的端口的允 许接入流量,从而达到对异常报文的自适应防攻击,消除防火墙人工配置的繁琐操作环节, 有效提升网络攻击的动态识别及拦截效果;并可在监控到匹配度增大时,可快速恢复端口 的允许接入流量,避免网元系统的不稳定。
[0235] 请参阅图9,为本发明实施例提供的又一种自适应防攻击装置的结构示意图,该装 置3000包括:
[0236] 第一接收单元31,用于自网元系统的第一端口接收第二报文,所述网元系统包括 至少一个端口,所述第一端口为所述至少一个端口中的一个,且所述网元系统内部包括多 个节点。
[0237] 该第一接收单元31与图7所示的第一接收单元11或图8所示的第一接收单元20 的功能相同,在此不再赘述。
[0238] 第一获取单元32,用于根据所述第二报文的业务类型,获取预先存储的第一路径。
[0239] 第三获取单元33,用于获取所述第一路径包括的所述nl个节点中每一节点的流 量。
[0240] 在第一获取单元32获取预先存储的第一路径的同时或之后,本实施例还要求第 三获取单元33获取第一路径包括的nl个节点中每一节点的流量。报文依次经过网元系统 的节点,不同的报文在相同的节点的流量可能相同或不同。
[0241] 在所述第三获取单元获取所述第一路径包括的所述nl个节点中每一节点的流量 之后,第一归一化处理单元34,用于对所述nl个节点中每一节点的流量分别进行归一化处 理。
[0242] 由于流量是一个较大的数值,直接进行每个节点的流量匹配,计算量大,因此,可 先对nl个节点中每一节点的流量分别进行归一化处理,具体如下:
[0243] 采用如下公式(2)对所沭nl个节点中每一节点的流量分别进行归一化处理:
[0244]
[0245] 其中,fx为进行归一化处理后的节点x的流量,x的取值范围为1~nl,Fx为节点 x的流量,为所述nl个节点的流量的最大值。
[0246] 第二获取单元35,用于获取第二路径。
[0247] 第四获取单元36,用于获取所述第二路径包括的所述n2个节点中每一节点的流 量。
[0248] 同样地,在第二获取单元33获取第二路径的同时或之后,本实施例还要求第四获 取单元36获取第二路径包括的n2个节点中每一节点的流量。
[0249] 在所述第四获取单元获取所述第二路径包括的所述n2个节点中每一节点的流量 之后,第二归一化处理单元37,用于对所述n2个节点中每一节点的流量分别进行归一化处 理。
[0250] 采用如下公式(3)对所述n2个节点中每一节点的流量分别进行归一化处理:
[0251]
[0252] 其中,fy为进行归一化处理后的节点y的流量,y的取值范围为1~n2,Fy为节点 y的流量,为所述n2个节点的流量的最大值。
[0253] 以业务类型A为例,基于归一化流量算法,其各节点的流量特征统计分布如图6所 不〇
[0254] 第一匹配单元38,用于将所述n2个节点中每一节点的流量分别与所述nl个节点 中的相应节点的流量进行匹配,以确定所述n2个节点的流量分布与所述nl个节点的流量 分布是否相同,进而获取所述第二路径和所述第一路径的第一匹配度。
[0255] 第一匹配单元38将所述n2个节点中每一节点的流量分别与所述nl个节点中的 相应节点的流量进行匹配,从而可以确定n2个节点的流量分布与所述nl个节点的流量分 布是否相同,具体的匹配技术可参照现有技术,确定n2个节点的流量分布与所述nl个节点 的流量分布是否相同,从而可以获取第二路径和第一路径的第一匹配度。
[0256] 比较单元39,用于将所述第一匹配度与第一设定阈值进行比较,若所述第一匹配 度低于所述第一设定阈值,则确定所述第二报文为异常报文。
[0257] 调整单元40,用于在确定所述第二报文为异常报文的情况下,将所述第一端口的 允许接入流量减小为第一缩小值,所述第一缩小值为所述第二报文经过所述第一端口的过 程中,所述第一端口的实际接入流量的最大值与第一比例值的乘积,其中,所述第一缩小 值不低于预设的所述第一端口的最低允许接入流量,所述第一比例值的取值范围为1/5~ 1/2〇
[0258] 在所述调整单元减小所述第一端口的允许接入流量之后,第二接收单元41,用于 自所述第一端口接收第三报文。
[0259] 第五获取单元42,用于获取第三路径,并获取所述第三路径包括的n3个节点中每 一节点的流量。
[0260] 所述第三路径为所述第三报文通过所述网元系统时,在所述网元系统内部经历的 路径信息,所述第三路径包括所述第三报文在所述网元系统内部按照时间的先后顺序经过 的至少一个节点。
[0261] 第二匹配单元43,用于在所述第三报文的业务类型和所述第一报文的业务类型相 同的情况下,将所述n3个节点中每一节点的流量分别与所述nl个节点中的相应节点的流 量进行匹配,以确定所述n3个节点的流量分布与所述nl个节点的流量分布是否相同,进而 获取所述第三路径和所述第一路径的第二匹配度。
[0262] 第六获取单元44,用于在所述第三报文的业务类型和第四报文的业务类型相同的 情况下,获取预先存储的第四路径,并获取所述第四路径包括的n4个节点中每一节点的流 量。
[0263] 第二匹配单元43还用于将所述n3个节点中每一节点的流量分别与所述n4个节 点中的相应节点的流量进行匹配,以确定所述n3个节点的流量分布与所述n4个节点的流 量分布是否相同,进而获取所述第三路径和所述第四路径的第二匹配度。
[0264] 调整单元40还用于在所述第二匹配度低于或者等于所述第一设定阈值的情况 下,将所述第一端口的允许接入流量减小为第二缩小值,所述第二缩小值为所述第三报文 经过所述第一端口的过程中,所述第一端口的实际接入流量的最大值与第二比例值的乘 积,其中,所述第二缩小值不低于预设的所述第一端口的最低允许接入流量,所述第二比例 值的取值范围为1/5~1/2。
[0265] 调整单元40还用于在所述第二匹配度高于第二设定阈值的情况下,将所述第一 端口的允许接入流量增大为第一增大值,所述第一增大值为所述第三报文经过所述第一端 口的过程中,所述第一端口的实际接入流量的最大值与第三比例值的乘积,其中,所述第一 增大值不高于预设的最高允许接入流量;其中,所述第二设定阈值大于所述第一设定阈值, 且所述第二设定阈值的取值范围为70%~80%,所述第三比例值的取值范围为2~5。
[0266] 以上单元的功能为进行异常报文的判断和端口的允许接入流量的调整过程,与前 述实施例类似,所不同的是,在获取新接收到的报文的匹配度时,是获取新接收到的报文所 经过的网元系统中的多个节点中的每个节点的流量,将每个节点的流量与该业务类型的首 次经过网元系统的报文所经过的网页系统中的多个节点的每个节点的流量进行比较,以确 定其流量分布是否相同,从而获取路径的匹配度。
[0267] 根据本发明实施例提供的一种自适应防攻击装置,通过将从端口接收到的报文在 网元系统内部按照时间的先后顺序经过的节点,与和该报文的业务类型相同的、且首次经 过网元系统的报文的经过的节点的流量进行匹配,获取路径的匹配度,根据该匹配度确定 该接收到的报文是否为异常报文,在该报文为异常报文的情况下,逐级减小接收报文的端 口的允许接入流量,从而达到对异常报文的自适应防攻击,消除防火墙人工配置的繁琐操 作环节,有效提升网络攻击的动态识别及拦截效果;并可在监控到匹配度增大时,可快速恢 复端口的允许接入流量,避免网元系统的不稳定。
[0268] 需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列 的动作组合,但是本领域技术人员应该知悉,本发明并不受所描述的动作顺序的限制,因为 根据本发明,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知 悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本发明 所必须的。
[0269] 在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部 分,可以参见其他实施例的相关描述。
[0270] 通过以上的实施方式的描述,所属领域的技术人员可以清楚地了解到本发明可以 用硬件实现,或固件实现,或它们的组合方式来实现。当使用软件实现时,可以将上述功能 存储在计算机可读介质中或作为计算机可读介质上的一个或多个指令或代码进行传输。计 算机可读介质包括计算机存储介质和通信介质,其中通信介质包括便于从一个地方向另 一个地方传送计算机程序的任何介质。存储介质可以是计算机能够存取的任何可用介质。 以此为例但不限于:计算机可读介质可以包括随机存取存储器(Random Access Memory, RAM)、只读存储器(Read-Only Memory,ROM)、电可擦可编程只读存储器(Electrically Erasable Programmable Read-Only Memory,EEPR0M)、只读光盘(Compact Disc Read-Only Memory,CD-ROM)或其他光盘存储、磁盘存储介质或者其他磁存储设备、或者能够用于携带 或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质。 此外。任何连接可以适当的成为计算机可读介质。例如,如果软件是使用同轴电缆、光纤光 缆、双绞线、数字用户线(^Digital Subscriber Line,DSL)或者诸如红外线、无线电和微波 之类的无线技术从网站、服务器或者其他远程源传输的,那么同轴电缆、光纤光缆、双绞线、DSL或者诸如红外线、无线和微波之类的无线技术包括在所属介质的定影中。如本发明所使 用的,盘(Disk)和碟(disc)包括压缩光碟(⑶)、激光碟、光碟、数字通用光碟(DVD)、软盘 和蓝光光碟,其中盘通常磁性的复制数据,而碟则用激光来光学的复制数据。上面的组合也 应当包括在计算机可读介质的保护范围之内。
[0271]总之,以上所述仅为本发明技术方案的较佳实施例而已,并非用于限定本发明的 保护范围。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在 本发明的保护范围之内。
【主权项】
1. 一种自适应防攻击方法,其特征在于,包括: 自网元系统