地址进行认证,将认证成功的服务器的地址确定为常用服务器的地址。
[0157]通常情况下,主流网站都是有合法公司幕后经营,合法公司具有合法的企业认证的信息。因此,该注册信息是该服务器的域名信息也可以是该服务器所对应公司的企业认证信息,本实施例对注册信息的具体内容不做限定。
[0158]第二种方式,接收各个出口网关发送的目标地址的访问次数,将同一个目标地址的访问次数进行累加,得到每个目标地址的总访问次数,在判定目标地址的总访问次数达到预定阈值时,确定该目标地址为常用服务器的地址。
[0159]该目标地址的访问次数是出口网关对所包含的动态流表中具有该目标地址的流表项被访问的次数进行统计后得到的。
[0160]该目标地址被访问的访问次数达到预定阈值时,说明该目标地址所对应的服务器可能为常用服务器,但静态流表中未存储与该目标地址对应的流表项,因此,中心控制器判定该目标地址的总访问次数达到预定阈值后,确定该目标地址为常用服务器的地址,并向出口网关发送携带有该流表项的静态流表更新通知,来触发出口网关更新所存储的静态流表。
[0161]在一种可能的实现方式中,当中心控制器来不及处理出口网关发送的数据包时,出口网关会将数据包暂存入缓存队列,等待中心控制器的处理,其中该缓存队列中用于存储该出口网关接收到的且与静态流表和动态流表均不匹配的数据包。当然,缓存队列的容量是有限的,当出口网关发送至中心控制器的数据包突然增多时,可能会造成缓存队列的溢出。为了避免缓存队列溢出的情况发生,可以仅保留数据包的包头信息,并向中心控制器进行报警。具体参见图4B中的描述。
[0162]图4B是本发明再一个实施例中提供的出口网关内缓存队列饱和攻击防御方法的方法流程图,该出口网关内缓存队列饱和攻击防御方法应用于图1所示网络架构中的中心控制器121中。该出口网关内缓存队列饱和攻击防御方法包括还如下步骤:
[0163]步骤414,当出口网关的缓存队列中数据包的容量与该缓存队列的总容量的比值达到预定比值阈值时,出口网关将该缓存队列中所有数据包的包头和载荷进行拆分,丢弃拆分后得到的载荷。
[0164]当出口网关的缓存队列中数据包的容量与该缓存队列的总容量的比值达到预定比值阈值时,通常表明若出口网关再继续向缓存队列存放数据包,则有可能造成缓存队列的溢出,缓存队列中部分数据包将会被丢弃。
[0165]数据包的载荷在数据包中占据较大容量,且载荷中通常存入的是数据信息而非协议信息,因此为了减少出口网关的缓存队列中数据包的容量,出口网关可以将缓存队列中所有数据包的载荷拆分后丢弃。
[0166]数据包的包头存储有数据包的源地址和目标地址,为了加快中心控制器的查询时间,出口网关可以将将缓存队列中所有数据包的包头拆分后发送至中心控制器,这样,中心控制器可以根据包头中的源地址和目标地址,查询并生成与这些包头对应的流表项。
[0167]可选的,当出口网关的缓存队列中数据包的容量与该缓存队列的总容量的比值达到预定比值阈值时,出口网关停止向缓存队列存入数据包。
[0168]可选的,当出口网关的缓存队列中数据包的容量与该缓存队列的总容量的比值达到预定比值阈值时,出口网关将统计拆分后的目标地址相同的包头数量,并将这些目标地址相同的包头划分到同一个包头群组中,将该包头群组与该包头群组中的包头个数发送至中心控制器。
[0169]这里出口网关先将拆分后的包头进行包头归类,将目标地址相同的包头划分到同一个包头群组中,再将包头群组分别发送至中心控制器,由于同一个包头群组中所有包头的目标地址相同,因此中心控制器只需对一个包头群组中的一个包头进行处理即可。
[0170]在出口网关发送包头群组至中心控制器之前,出口网关还可以对该包头群组中的包头数量进行统计,并将统计得到的包头数量与该包头群组发送至中心控制器,同一包头群组中的包头数量即为同一目标地址的总访问次数。
[0171]步骤415,出口网关向中心控制器发送预警信息。
[0172]该预警信息中携带有拆分后得到的包头,该预警信息用于触发该中心控制器根据该包头,分析终端是否为非法终端。
[0173]步骤416,中心控制器根据包头中的源地址和目标地址,分析是否存在非法终端。
[0174]一般来讲,存在攻击行为的终端通常会向不同的目的地发送数据包,也即存在攻击行为的终端在该预定时长内发送的数据包的目标IP地址的数量超过预定数量阈值。因此,若中心控制器根据包头中的源地址和目标地址,发现同一终端短时间内访问大量不同目的地址,则判定该终端为攻击者。
[0175]步骤417,中心控制器在确定出非法终端后,向出口网关发送该非法终端的标识。
[0176]该非法终端的标识可以是该非法终端的IP地址,该非法终端的标识用于触发该出口网关向移动管理节点功能MME或归属签约用户服务器HSS发送该非法终端的标识,由该MME或该HSS通知该非法终端所接入的基站禁止该非法终端在预定时间段内进行访问。
[0177]步骤418,出口网关向移动管理节点功能MME或归属签约用户服务器HSS发送非法终端的标识,由该MME或该HSS通知该非法终端所接入的基站禁止该非法终端在预定时间段内进行访问。
[0178]出口网关在接收到攻击信息之后,可以根据攻击信息中携带的IP地址,确定出具有该IP地址的终端所具有的国际移动用户识别码(英文-1nternat1nal MobileSubscriber Identificat1n Number,简称:IMSI),而一般来讲,该终端的IP地址是出口网关在该终端接入网络时为该终端分配的。
[0179]出口网关向移动管理实体(英文:Mobility Management Entity,简称:MME)发送携带有该IP地址的禁止访问消息,该禁止访问消息用于通知该MME查找与该IP地址对应的頂SI码,向与该頂SI码对应的基站发送禁止访问指令,该禁止访问指令用于触发该基站在预定时间段内禁止具有该MSI码的终端访问所述软件定义网络。
[0180]综上所述,本发明实施例中提供的出口网关内缓存队列饱和攻击防御方法,通过中心控制器分析是否存在攻击行为的终端,将存在攻击行为的终端的标识发送至出口网关,出口网关将该标识通知给基站,以禁止具有该标识的终端继续访问网络信息;解决了因存在攻击行为造成出口网关中缓存队列容易溢出的问题,且进一步避免了中心控制器因短时间内需要处理过多的数据包而造成宕机的可能。
[0181]以下是针对本发明的装置实施例的描述,装置实施例中所涉及的相关内容可以参见上述方法实施例部分。
[0182]图5A是本发明一个实施例中提供的出口网关内缓存队列饱和攻击防御装置的结构方框图,该出口网关内缓存队列饱和攻击防御方法应用于图1所示网络架构中的出口网关130中。该出口网关内缓存队列饱和攻击防御装置包括:第一接收模块501、匹配模块502、第一发送模块503和转发模块504。
[0183]第一接收模块501,用于接收终端发送的数据包,将该数据包与出口网关中存储的静态流表进行匹配,该静态流表中每条流表项是中心控制器根据确定出的常用服务器的地址生成的;
[0184]匹配模块502,用于当该第一接收模块501接收的数据包与静态流表中的流表项均不匹配时,将该数据包与出口网关中存储的动态流表进行匹配;
[0185]第一发送模块503,用于当该第一接收模块501接收的数据包与动态流表中的流表项均不匹配时,则将数据包发送至该中心控制器,该数据包用于触发该中心控制器根据该数据包获取并反馈与该数据包内目标地址对应的流表项;
[0186]转发模块504,用于接收中心控制器反馈的流表项,根据该流表项转发该数据包。
[0187]在一种可能的实现放方式中,请参见图5B所示,其是本发明另一个实施例中提供的出口网关内缓存队列饱和攻击防御装置的结构方框图,该出口网关内缓存队列饱和攻击防御装置还包括:第一添加模块505。
[0188]第一添加模块505,用于在该接收中心控制器反馈的流表项之后,将该流表项添加至动态流表中。
[0189]在一种可能的实现放方式中,仍旧参见图5B所示,该出口网关内缓存队列饱和攻击防御装置还包括:拆分模块506和第二发送模块507。
[0190]拆分模块506,用于当出口网关的缓存队列中数据包的容量与该缓存队列的总容量的比值达到预定比值阈值时,则将该缓存队列中所有数据包的包头和载荷进行拆分,丢弃拆分后得到的载荷,该缓存队列中用于存储该出口网关接收到的且与静态流表和动态流表均不匹配的数据包;
[0191]第二发送模块507,用于向中心控制器发送预警信息,该预警信息中携带有拆分后得到的包头,该预警信息用于触发该中心控制器根据该包头,分析终端是否为非法终端。
[0192]在一种可能的实现放方式中,仍旧参见图5B所示,该出口网关内缓存队列饱和攻击防御装置还包括:累计模块508、第三发送模块509、第二添加模块510和第一删除模块511。
[0193]累计模块508,用于根据该动态流表中每个流表项被匹配成功的次数,累计该流表项所对应的目标地址被访问的访问次数;
[0194]第三发送模块509,用于将该累计模块508累积的每个目标地址的访问次数发送至中心控制器,由该中心控制器获取目标地址的总访问次数,在判定该目标地址的总访问次数达到预定阈值时,为该目标地址生成流表项,向出口网关发送静态流表更新通知,该静态流表更新通知中携带有该流表项;
[0195]第二添加模块510,用于接收中心控制器发送的静态流表更新通知,将流表中的流表项添加至出口网关的静态流表中;
[0196]第一删除模块511,用于从动态流表中删除流表项。
[0197]在一种可能的实现放方式中,仍旧参见图5B所示,该出口网关内缓存队列饱和攻击防御装置还包括:统计模块512和第二删除模块513。
[0198]统计模块512,用于统计在统计时刻前预定时长内动态流表中各个流表项被匹配成功的匹配次数;
[0199]第二删除模块513,用于从动态流