的第一端口接收第二报文,所述网元系统包括至少一个端口,所述第一端 口为所述至少一个端口中的一个,且所述网元系统内部包括多个节点; 根据所述第二报文的业务类型,获取预先存储的第一路径,所述第一路径为第一报文 通过所述网元系统时,在所述网元系统内部经历的路径信息,所述第一路径包括所述第一 报文在所述网元系统内部按照时间的先后顺序经过的至少一个节点,所述第一报文为所有 具有与所述第一报文的业务类型相同的业务类型且经过所述网元系统的报文中,首次经过 所述网元系统的报文; 获取第二路径,所述第二路径为所述第二报文通过所述网元系统时,在所述网元系统 内部经历的路径信息,所述第二路径包括所述第二报文在所述网元系统内部按照时间的先 后顺序经过的至少一个节点; 将所述第一路径包括的每一节点分别与所述第二路径包括的相应节点进行匹配,以获 取所述第二路径和所述第一路径的第一匹配度; 将所述第一匹配度与第一设定阈值进行比较,若所述第一匹配度低于所述第一设定阈 值,则确定所述第二报文为异常报文,所述第一设定阈值是根据所述业务类型对误码率或 通信延时的容忍度设定的; 在确定所述第二报文为异常报文的情况下,减小所述第一端口的允许接入流量。2. 根据权利要求1所述的方法,其特征在于: 按照时间的先后顺序,将所述第一路径包括的至少一个节点和所述第二路径包括的至 少一个节点分别进行排序,则位于所述第一路径中的和位于所述第二路径中的具有相同序 位的节点是相对应的。3. 根据权利要求1或2所述的方法,其特征在于: 所述第一设定阈值的取值范围为60%~70%。4. 根据权利要求1至3任一项所述的方法,其特征在于,在所述自网元系统的第一端口 接收第二报文之前,所述方法还包括: 自所述网元系统的任一端口接收所述第一报文; 获取所述第一报文通过所述网元系统时,在所述网元系统内部经历的所述第一路径, 并将所述第一路径进行存储处理。5. 根据权利要求1至4任一项所述的方法,其特征在于,所述将所述第一路径包括的每 一节点分别与所述第二路径包括的相应节点进行匹配,以获取所述第二路径和所述第一路 径的第一匹配度,具体包括: 将所述第一路径包括的每一节点分别与所述第二路径包括的相应节点进行匹配,以确 定所述第一路径包括的每一节点是否与所述第二路径包括的相应节点相同,进而获取所述 第二路径和所述第一路径的第一匹配度。6. 根据权利要求1至4任一项所述的方法,其特征在于,所述第一路径包括nl个节点, 则所述获取预先存储的第一路径之后,还包括: 获取所述第一路径包括的所述nl个节点中每一节点的流量。7. 根据权利要求6所述的方法,其特征在于,所述第二路径包括n2个节点, 则所述获取第二路径之后,还包括: 获取所述第二路径包括的所述n2个节点中每一节点的流量。8. 根据权利要求7所述的方法,其特征在于,所述将所述第一路径包括的每一节点分 别与所述第二路径包括的相应节点进行匹配,以获取所述第二路径和所述第一路径的第一 匹配度,具体包括: 将所述n2个节点中每一节点的流量分别与所述nl个节点中的相应节点的流量进行匹 配,以确定所述n2个节点的流量分布与所述nl个节点的流量分布是否相同,进而获取所述 第二路径和所述第一路径的第一匹配度。9. 根据权利要求6所述的方法,其特征在于,所述获取所述第一路径包括的所述nl个 节点中每一节点的流量之后,还包括: 采用如下公式对所述nl个节点中毎一书古的流量分别进行归一化处理:其中,fx为进行归一化处理后的节点x的流量,x的取值范围为1~nl,Fx为节点x的 is,力戶斤ainl+f点、白勺白勺;1力{I。10. 根据权利要求7所述的方法,其特征在于,所述获取所述第二路径包括的所述n2个 节点中每一节点的流量之后,还包括: 采用如下公式对所述n2个节点中每一节点的流量分别进行归一化处理:其中,fy为进行归一化处理后的节点y的流量,y的取值范围为1~n2,Fy为节点y的 ^胃,为所$n2个节点勺最大值。11. 根据权利要求1至10任意一项所述的方法,其特征在于,所述在确定所述第二报文 为异常报文的时刻起,减小所述第一端口的允许接入流量,具体包括: 在确定所述第二报文为异常报文的情况下,将所述第一端口的允许接入流量减小为第 一缩小值,所述第一缩小值为所述第二报文经过所述第一端口的过程中,所述第一端口的 实际接入流量的最大值与第一比例值的乘积,其中,所述第一缩小值不低于预设的所述第 一端口的最低允许接入流量,所述第一比例值的取值范围为1/5~1/2。12. 根据权利要求1至11任一项所述的方法,其特征在于,所述在确定所述第二报文为 异常报文的时刻起,减小所述第一端口的允许接入流量之后,还包括: 自所述第一端口接收第三报文; 获取第三路径,所述第三路径为所述第三报文通过所述网元系统时,在所述网元系统 内部经历的路径信息,所述第三路径包括所述第三报文在所述网元系统内部按照时间的先 后顺序经过的至少一个节点。13. 根据权利要求12所述的方法,其特征在于,还包括: 在所述第三报文的业务类型和所述第一报文的业务类型相同的情况下,将所述第三路 径包括的每一节点分别与所述第一路径包括的相应节点进行匹配,以获取所述第三路径和 所述第一路径的第二匹配度;或者, 在所述第三报文的业务类型和第四报文的业务类型相同的情况下,获取预先存储的第 四路径,所述第四路径为所述第四报文通过所述网元系统时,在所述网元系统内部经历的 路径信息,所述第四路径包括所述第四报文在所述网元系统内部按照时间的先后顺序经过 的至少一个节点,所述第四报文为所有具有与所述第三报文的业务类型相同的业务类型且 经过所述网元系统的报文中,首次经过所述网元系统的报文;并将所述第三路径包括的每 一节点分别与第四路径包括的相应节点进行匹配,以获取所述第三路径和所述第四路径的 第二匹配度。14. 根据权利要求13所述的方法,其特征在于,还包括: 在所述第二匹配度低于或者等于所述第一设定阈值的情况下,将所述第一端口的允 许接入流量减小为第二缩小值,所述第二缩小值为所述第三报文经过所述第一端口的过程 中,所述第一端口的实际接入流量的最大值与第二比例值的乘积,其中,所述第二缩小值不 低于预设的所述第一端口的最低允许接入流量,所述第二比例值的取值范围为1/5~1/2。15. 根据权利要求13所述的方法,其特征在于,还包括: 在所述第二匹配度高于第二设定阈值的情况下,将所述第一端口的允许接入流量增大 为第一增大值,所述第一增大值为所述第三报文经过所述第一端口的过程中,所述第一端 口的实际接入流量的最大值与第三比例值的乘积,其中,所述第一增大值不高于预设的最 高允许接入流量;其中,所述第二设定阈值大于所述第一设定阈值,且所述第二设定阈值的 取值范围为70%~80%,所述第三比例值的取值范围为2~5。16. -种自适应防攻击装置,应用于网元系统,其特征在于,包括: 第一接收单元,用于自所述网元系统的第一端口接收第二报文,所述网元系统包括至 少一个端口,所述第一端口为所述至少一个端口中的一个,且所述网元系统内部包括多个 节点; 第一获取单元,用于根据所述第二报文的业务类型,获取预先存储的第一路径,所述第 一路径为第一报文通过所述网元系统时,在所述网元系统内部经历的路径信息,所述第一 路径包括所述第一报文在所述网元系统内部按照时间的先后顺序经过的至少一个节点,所 述第一报文为所有具有与所述第二报文的业务类型相同的业务类型且经过所述网元系统 的报文中,首次经过所述网元系统的报文; 第二获取单元,用于获取第二路径,所述第二路径为所述第二报文通过所述网元系统 时,在所述网元系统内部经历的路径信息,所述第二路径包括所述第二报文在所述网元系 统内部按照时间的先后顺序经过的至少一个节点; 第一匹配单元,用于将所述第一路径包括的每一节点分别与所述第二路径包括的相应 节点进行匹配,以获取所述第二路径和所述第一路径的第一匹配度; 比较单元,用于将所述第一匹配度与第一设定阈值进行比较,若所述第一匹配度低于 所述第一设定阈值,则确定所述第二报文为异常报文,所述第一设定阈值是根据所述业务 类型对误码率或通信延时的容忍度设定的; 在所述比较单元确定所述第二报文为异常报文的情况下,调整单元,用于减小所述第 一端口的允许接入流量。17. 根据权利要求16所述的装置,其特征在于: 按照时间的先后顺序,将所述第一路径包括的至少一个节点和所述第二路径包括的至 少一个节点分别进行排序,则位于所述第一路径中的和位于所述第二路径中的具有相同序 位的节点是相对应的。18. 根据权利要求16或17所述的装置,其特征在于: 所述第一设定阈值的取值范围为60%~70%。19. 根据权利要求16至18任一项所述的装置,其特征在于,所述第一匹配单元具体用 于: 将所述第一路径包括的每一节点分别与所述第二路径包括的相应节点进行匹配,以确 定所述第一路径包括的每一节点是否与所述第二路径包括的相应节点相同,进而获取所述 第二路径和所述第一路径的第一匹配度。20. 根据权利要求16至18任一项所述的装置,其特征在于,所述第一路径包括nl个节 点, 则所述装置还包括: 第三获取单元,用于获取所述第一路径包括的所述nl个节点中每一节点的流量。21. 根据权利要求20所述的装置,其特征在于,所述第二路径包括n2个节点, 则所述装置还包括: 第四获取单元,用于获取所述第二路径包括的所述n2个节点中每一节点的流量。22. 根据权利要求21所述的装置,其特征在于,所述第一匹配单元具体用于: 将所述n2个节点中每一节点的流量分别与所述nl个节点中的相应节点的流量进行匹 配,以确定所述n2个节点的流量分布与所述nl个节点的流量分布是否相同,进而获取所述 第二路径和所述第一路径的第一匹配度。23. 根据权利要求20所述的装置,其特征在于,所述装置还包括: 在所述第三获取单元获取所述第一路径包括的所述nl个节点中每一节点的流量之 后, 第一归一化处理单元,用于采用如下公式对所述nl个节点中每一节点的流量分别进 行归一化处理:其中,fx为进行归一化处理后的节点x的流量,x的取值范围为1~nl,Fx为节点x的 流量,为所述nl个节点的流量的最大值。24. 根据权利要求21所述的装置,其特征在于,所述装置还包括: 在所述第四获取单元获取所述第二路径包括的所述n2个节点中每一节点的流量之 后, 第二归一化处理单元,用于采用如下公式对所述n2个节点中每一节点的流量分别进 行归一化处理:其中,fy为进行归一化处理后的节点y的沭重,y的取值泡围为1~n2, F y为节点y的 流量,为所述n2个节点的流量的最大值。25. 根据权利要求16至24任意一项所述的装置,其特征在于,所述调整单元具体用 于: 在确定所述第二报文为异常报文的情况下,将所述第一端口的允许接入流量减小为第 一缩小值,所述第一缩小值为所述第二报文经过所述第一端口的过程中,所述第一端口的 实际接入流量的最大值与第一比例值的乘积,其中,所述第一缩小值不低于预设的所述第 一端口的最低允许接入流量,所述第一比例值的取值范围为1/5~1/2。26. 根据权利要求16至25任一项所述的装置,其特征在于,所述装置还包括: 在所述调整单元减小所述第一端口的允许接入流量之后, 第二接收单元,用于自所述第一端口接收第三报文; 第五获取单元,用于获取第三路径,所述第三路径为所述第三报文通过所述网元系统 时,在所述网元系统内部经历的路径信息,所述第三路径包括所述第三报文在所述网元系 统内部按照时间的先后顺序经过的至少一个节点。27. 根据权利要求26所述的装置,其特征在于,还包括: 第二匹配单元,用于在所述第三报文的业务类型和所述第一报文的业务类型相同的情 况下,将所述第三路径包括的每一节点分别与所述第一路径包括的相应节点进行匹配,以 获取所述第三路径和所述第一路径的第二匹配度;或者, 所述装置包括: 第六获取单元,用于在所述第三报文的业务类型和第四报文的业务类型相同的情况 下,获取预先存储的第四路径,所述第四路径为所述第四报文通过所述网元系统时,在所述 网元系统内部经历的路径信息,所述第四路径包括所述第四报文在所述网元系统内部按照 时间的先后顺序经过的至少一个节点,所述第四报文的业务类型与所述第三报文的业务类 型相同,且所述第四报文为所有具有与所述第三报文的业务类型相同的业务类型且经过所 述网元系统的报文中,首次经过所述网元系统的报文; 所述第二匹配单元用于将所述第三路径包括的每一节点分别与第四路径包括的相应 节点进行匹配,以获取所述第三路径和所述第四路径的第二匹配度。28. 根据权利要求27所述的装置,其特征在于,所述调整单元还用于: 在所述第二匹配度低于或者等于所述第一设定阈值的情况下,将所述第一端口的允 许接入流量减小为第二缩小值,所述第二缩小值为所述第三报文经过所述第一端口的过程 中,所述第一端口的实际接入流量的最大值与第二比例值的乘积,其中,所述第二缩小值不 低于预设的所述第一端口的最低允许接入流量,所述第二比例值的取值范围为1/5~1/2。29. 根据权利要求27所述的装置,其特征在于,所述调整单元还用于: 在所述第二匹配度高于第二设定阈值的情况下,将所述第一端口的允许接入流量增大 为第一增大值,所述第一增大值为所述第三报文经过所述第一端口的过程中,所述第一端 口的实际接入流量的最大值与第三比例值的乘积,其中,所述第一增大值不高于预设的最 高允许接入流量;其中,所述第二设定阈值大于所述第一设定阈值,且所述第二设定阈值的 取值范围为70%~80%,所述第三比例值的取值范围为2~5。
【专利摘要】本发明公开了一种自适应防攻击方法及装置。通过将从端口接收到的报文在网元系统内部按照时间的先后顺序经过的节点,与和该报文的业务类型相同的、且首次经过网元系统的报文的经过的节点进行匹配,获取路径的匹配度,根据该匹配度确定该接收到的报文是否为异常报文,在该报文为异常报文的情况下,减小接收报文的端口的允许接入流量,从而达到对异常报文的自适应防攻击,消除防火墙人工配置的繁琐操作环节,有效提升网络攻击的动态识别及拦截效果。
【IPC分类】H04L29/06
【公开号】CN104954376
【申请号】CN201510337388
【发明人】惠卫锋
【申请人】华为技术有限公司
【公开日】2015年9月30日
【申请日】2015年6月17日