出口网关内缓存队列饱和攻击防御方法、装置及系统的制作方法
【技术领域】
[0001]本发明涉及网络安全领域,特别涉及一种出口网关内缓存队列饱和攻击防御方法、装置及系统。
【背景技术】
[0002]为了更好的为第四代移动通信用户提供可靠互联网服务,在未来移动互联网设计中提出了通过集中控制来进行移动通信用户的访问。软件定义网络(英文-SoftwareDefined Network,简称:SDN)采用了集中控制的思想,其核心技术OpenFlow通过将网络设备控制面与数据面分离开来,从而实现了网络流量的灵活控制。
[0003]当来自用户平面的数据流到达交换机时,若交换机上存在与该数据流匹配的流表则进行转发,若没有与该数据流匹配的流表则在缓存队列中暂时缓存这些数据包,并把缓存队列中的数据包上传给中心控制器进行流表查询。中心控制器将查询到的流表发送给交换机,由交换机存储该流表。
[0004]在实现本发明的过程中,发明人发现相关技术至少存在以下问题:交换机中缓存队列的大小有限,当接收到大量目的地不同的数据包时,很容易造成缓存队列的溢出。
【发明内容】
[0005]为了解决现有技术中交换机的缓存队列大小有限,当恶意用户发送大量目的地不同且携带较大载荷的数据包时,很容易造成缓存队列溢出,进而加剧控制器的处理负担,使得整个SDN网络过饱和的问题,本发明实施例提供了一种出口网关内缓存队列饱和攻击防御方法、装置及系统。所述技术方案如下:
[0006]第一方面,提供了一种出口网关内缓存队列饱和攻击防御方法,应用于出口网关中,所述出口网关用于连接移动网络与软件定义网络,所述方法包括:
[0007]接收终端发送的数据包,将所述数据包与所述出口网关中存储的静态流表进行匹配,所述静态流表中每条流表项是中心控制器根据确定出的常用服务器的地址生成的;
[0008]当所述数据包与所述静态流表中的流表项均不匹配时,将所述数据包与所述出口网关中存储的动态流表进行匹配;
[0009]当所述数据包与所述动态流表中的流表项均不匹配时,则将所述数据包发送至所述中心控制器,所述数据包用于触发所述中心控制器根据所述数据包获取并反馈与所述数据包内目标地址对应的流表项;
[0010]接收所述中心控制器反馈的所述流表项,根据所述流表项转发所述数据包。
[0011]可选的,在所述接收所述中心控制器反馈的所述流表项之后,所述方法包括:
[0012]将所述流表项添加至所述动态流表中。
[0013]可选的,所述方法还包括:
[0014]当所述出口网关的缓存队列中数据包的容量与所述缓存队列的总容量的比值达到预定比值阈值时,则将所述缓存队列中所有数据包的包头和载荷进行拆分,丢弃拆分后得到的载荷,所述缓存队列中用于存储所述出口网关接收到的且与所述静态流表和所述动态流表均不匹配的数据包;
[0015]向所述中心控制器发送预警信息,所述预警信息中携带有拆分后得到的包头,所述预警信息用于触发所述中心控制器根据所述包头,分析所述终端是否为非法终端。
[0016]可选的,所述方法还包括:
[0017]根据所述动态流表中每个流表项被匹配成功的次数,累计所述流表项所对应的目标地址被访问的访问次数;
[0018]将每个目标地址的访问次数发送至所述中心控制器,由所述中心控制器获取所述目标地址的总访问次数,在判定所述目标地址的总访问次数达到预定阈值时,为所述目标地址生成流表项,向出口网关发送静态流表更新通知,所述静态流表更新通知中携带有所述流表项;
[0019]接收所述中心控制器发送的所述静态流表更新通知,将所述流表中的流表项添加至所述出口网关的所述静态流表中;
[0020]从所述动态流表中删除所述流表项。
[0021 ] 可选的,所述方法还包括:
[0022]统计在统计时刻前预定时长内所述动态流表中各个流表项被匹配成功的匹配次数;
[0023]从所述动态流表中删除匹配次数少于预定阈值的流表项。
[0024]可选的,所述方法还包括:
[0025]接收所述中心控制器发送的非法终端的标识;
[0026]向移动管理实体(英文:Mobility Management Entity,简称:MME)或归属签约用户服务器(英文:Home Subscriber Server,简称:HSS)发送所述非法终端的标识,由所述MME或所述HSS通知所述非法终端所接入的基站禁止所述非法终端在预定时间段内进行访问。
[0027]第二方面,提供了一种出口网关内缓存队列饱和攻击防御方法,应用于中心控制器中,所述中心控制器位于通过出口网关与移动网络连接的软件定义网络中,所述方法包括:
[0028]接收所述出口网关发送的数据包,所述数据包是所述出口网关在确定所述数据包与所述出口网关内的静态流表和动态流表均不匹配时发送的;
[0029]获取与所述数据包的目标地址对应的流表项;
[0030]向所述出口网关发送所述流表项,所述流表项用于触发所述出口网关根据所述流表项对所述数据包进行转发。
[0031 ] 可选的,所述方法还包括:
[0032]确定出各个常用服务器的地址;
[0033]以各个所述地址为目标地址生成流表项;
[0034]将生成的各个所述流表项发送至所述出口网关,所述流表项用于触发所述出口网关将所述流表项存储至所述出口网关的静态流表中。
[0035]可选的,所述确定出各个常用服务器的地址,包括:
[0036]接收服务器的注册请求,对发送所述注册请求的服务器的地址进行认证,将认证成功的服务器的地址确定为所述常用服务器的地址;和/或,
[0037]接收各个出口网关发送的目标地址的访问次数,将同一个目标地址的访问次数进行累加,得到每个目标地址的总访问次数,在判定所述目标地址的总访问次数达到预定阈值时,确定所述目标地址为所述常用服务器的地址,所述目标地址的访问次数是所述出口网关对所包含的动态流表中具有所述目标地址的流表项被访问的次数进行统计后得到的。
[0038]可选的,所述方法还包括:
[0039]接收所述出口网关发送的预警信息,所述预警信息中携带有包头,所述包头是所述出口网关在判定缓存队列中的数据包的容量与所述缓存队列的总容量的比值达到预定比值阈值时,对所述缓存队列中的数据包进行拆分后得到的;
[0040]根据所述包头中的源地址和目标地址,分析是否存在非法终端;
[0041]在确定出非法终端后,向所述出口网关发送所述非法终端的标识,所述非法终端的标识用于触发所述出口网关向移动管理节点功能MME或归属签约用户服务器HSS发送所述非法终端的标识,由所述MME或所述HSS通知所述非法终端所接入的基站禁止所述非法终端在预定时间段内进行访问。
[0042]第三方面,提供了一种出口网关内缓存队列饱和攻击防御装置,应用于出口网关中,所述出口网关用于连接移动网络与软件定义网络,所述装置包括:
[0043]第一接收模块,用于接收终端发送的数据包,将所述数据包与所述出口网关中存储的静态流表进行匹配,所述静态流表中每条流表项是中心控制器根据确定出的常用服务器的地址生成的;
[0044]匹配模块,用于当所述第一接收模块接收的所述数据包与所述静态流表中的流表项均不匹配时,将所述数据包与所述出口网关中存储的动态流表进行匹配;
[0045]第一发送模块,用于当所述第一接收模块接收的所述数据包与所述动态流表中的流表项均不匹配时,则将所述数据包发送至所述中心控制器,所述数据包用于触发所述中心控制器根据所述数据包获取并反馈与所述数据包内目标地址对应的流表项;
[0046]转发模块,用于接收所述中心控制器反馈的所述流表项,根据所述流表项转发所述数据包。
[0047]可选的,所述装置包括:
[0048]第一添加模块,用于在所述接收所述中心控制器反馈的所述流表项之后,将所述流表项添加至所述动态流表中。
[0049]可选的,所述装置还包括:
[0050]拆分模块,用于当所述出口网关的缓存队列中数据包的容量与所述缓存队列的总容量的比值达到预定比值阈值时,则将所述缓存队列中所有数据包的包头和载荷进行拆分,丢弃拆分后得到的载荷,所述缓存队列中用于存储所述出口网关接收到的且与所述静态流表和所述动态流表均不匹配的数据包;
[0051]第二发送模块,用于向所述中心控制器发送预警信息,所述预警信息中携带有拆分后得到的包头,所述预警信息用于触发所述中心控制器根据所述包头,分析所述终端是否为非法终端。
[0052]可选的,所述装置还包括:
[0053]累计模块,用于根据所述动态流表中每个流表项被匹配成功的次数,累计所述流表项所对应的目标地址被访问的访问次数;
[0054]第三发送模块,用于将所述累计模块累积的每个目标地址的访问次数发送至所述中心控制器,由所述中心控制器获取所述目标地址的总访问次数,在判定所述目标地址的总访问次数达到预定阈值时,为所述目标地址生成流表项,向出口网关发送静态流表更新通知,所述静态流表更新通知中携带有所述流表项;
[0055]第二添加模块,用于接收所述中心控制器发送的所述静态流表更新通知,将所述流表中的流表项添加至所述出口网关的所述静态流表中;
[0056]第一删除模块,用于从所述动态流表中删除所述流表项。
[0057]可选的,所述装置还包括:
[0058]统计模块,用于统计在统计时刻前预定时长内所述动态流表中各个流表项被匹配成功的匹配次数;
[0059]第二删除模块,用于从所述动态流表中删除匹配次数少于预定阈值的流表项。
[0060]可选的,所述装置还包括:
[0061]第二接收模块,用于接收所述中心控制器发送的非法终端的标识;
[0062]第四发送模块,用于向移动管理节点功能MME或归属签约用户服务器HSS发送所述第二接收模块接收的所述非法终端的标