表中删除匹配次数少于预定阈值的流表项。
[0200]在一种可能的实现放方式中,仍旧参见图5B所示,该出口网关内缓存队列饱和攻击防御装置还包括:第二接收模块514和第四发送模块515。
[0201]第二接收模块514,用于接收中心控制器发送的非法终端的标识;
[0202]第四发送模块515,用于向移动管理节点功能MME或归属签约用户服务器HSS发送该第二接收模块514接收的非法终端的标识,由该MME或该HSS通知该非法终端所接入的基站禁止该非法终端在预定时间段内进行访问。
[0203]综上所述,本发明实施例中提供的出口网关内缓存队列饱和攻击防御装置,通过出口网关存储静态流表和动态流表,当数据包与静态流表和动态流表中的流表项均不匹配时,则将该数据包发送至所述中心控制器,当接收到中心控制器反馈的流表项时,根据该流表项转发该数据包;由于静态流表存储了与常用服务器的地址生成对应的流表项,当对常用服务器进行访问时,可以避免再次将访问常用服务器的数据包存储至缓存队列,因此解决了相关技术中交换机中缓存队列的大小有限,当接收到大量目的地不同的数据包时,很容易造成缓存队列的溢出的问题;达到了使访问常用服务器的数据包直接转发,而无须加入缓存队列,避免移动网络遭到非法终端的网络攻击时,由于出口网关突然接收到大量目的地不同的数据包,而造成缓存队列溢出的效果。
[0204]此外,通过在中心控制器分析出存在攻击行为的终端后,接收中心控制器下发的非法终端的标识,出口网关将该标识通知给基站,以禁止具有该标识的终端继续访问网络信息;解决了因存在攻击行为造成出口网关中缓存队列容易溢出的问题,且进一步避免了中心控制器因短时间内需要处理过多的数据包而造成宕机的可能。
[0205]图6A本发明一个实施例中提供的出口网关内缓存队列饱和攻击防御装置的结构方框图,该出口网关内缓存队列饱和攻击防御装置应用于图1所示网络架构中的中心控制器121中。该出口网关内缓存队列饱和攻击防御装置还包括:第一接收模块601、获取模块602和第一发送模块603。
[0206]第一接收模块601,用于接收出口网关发送的数据包,该数据包是该出口网关在确定该数据包与该出口网关内的静态流表和动态流表均不匹配时发送的;
[0207]获取模块602,用于获取与该第一接收模块601接收的数据包的目标地址对应的流表项;
[0208]第一发送模块603,用于向出口网关发送该获取模块602获取的流表项,该流表项用于触发该出口网关根据流表项对该数据包进行转发。
[0209]在一种可能的实现放方式中,请参见图6B所示,其是本发明另一个实施例中提供的出口网关内缓存队列饱和攻击防御装置的结构方框图,该中心控制器还包括:确定模块604、生成模块605和第二发送模块606。
[0210]确定模块604,用于确定出各个常用服务器的地址;
[0211]生成模块605,用于以该确定模块604确定的各个地址为目标地址生成流表项;
[0212]第二发送模块606,用于将该生成模块605生成的各个流表项发送至出口网关,该流表项用于触发该出口网关将该流表项存储至该出口网关的静态流表中。
[0213]在一种可能的实现放方式中,仍旧参见图6B所示,该确定模块604包括:第一确定单元604a和第二确定单元604b。
[0214]第一确定单元604a,用于接收服务器的注册请求,对发送该注册请求的服务器的地址进行认证,将认证成功的服务器的地址确定为常用服务器的地址;和/或,
[0215]第二确定单元604b,用于接收各个出口网关发送的目标地址的访问次数,将同一个目标地址的访问次数进行累加,得到每个目标地址的总访问次数,在判定目标地址的总访问次数达到预定阈值时,确定该目标地址为常用服务器的地址,该目标地址的访问次数是出口网关对所包含的动态流表中具有该目标地址的流表项被访问的次数进行统计后得到的。
[0216]在一种可能的实现放方式中,仍旧参见图6B所示,该中心控制器还包括:第二接收模块607、分析模块608和第三发送模块609。
[0217]第二接收模块607,用于接收出口网关发送的预警信息,该预警信息中携带有包头,该包头是该出口网关在判定缓存队列中的数据包的容量与该缓存队列的总容量的比值达到预定比值阈值时,对该缓存队列中的数据包进行拆分后得到的;
[0218]分析模块608,用于根据该第二接收模块607接收的包头中的源地址和目标地址,分析是否存在非法终端;
[0219]第三发送模块609,用于在该分析模块608确定出非法终端后,向出口网关发送该非法终端的标识,该非法终端的标识用于触发该出口网关向移动管理节点功能MME或归属签约用户服务器HSS发送该非法终端的标识,由该MME或该HSS通知该非法终端所接入的基站禁止该非法终端在预定时间段内进行访问。
[0220]综上所述,本发明实施例中提供的出口网关内缓存队列饱和攻击防御装置,通过接收出口网关发送的数据包,获取与数据包的目标地址对应的流表项,向出口网关发送流表项;由于中心控制器只需处理与出口网管的流表不匹配的数据包,因此解决了相关技术中交换机的缓存队列大小有限,当恶意用户发送大量目的地不同且携带较大载荷的数据包时,很容易造成缓存队列溢出,进而加剧控制器的处理负担,使得整个SDN网络过饱和的问题;达到了实时更新出口网关所存储的静态流表和动态流表中的流表项,使常用数据包的匹配直接在出口网关中进行,而无须加入发送至中心控制器的缓存队列中,避免移动网络遭到非法终端的网络攻击时,由于出口网关突然接收到大量目的地不同的数据包,而造成缓存队列溢出的效果。
[0221]此外,通过在中心控制器分析是否存在攻击行为的终端,若存在具有攻击行为的终端,则通知出口网关,由出口网关通知基站,以禁止该具有攻击行为的终端继续访问网络信息;解决了因存在攻击行为造成出口网关中缓存队列容易溢出的问题,且进一步避免了中心控制器因短时间内需要处理过多的数据包而造成宕机的可能。
[0222]需要说明的是:上述实施例中提供的出口网关内缓存队列饱和攻击防御装置在保护出口网关时,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将出口网关、中心控制器的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。另外,上述实施例提供的出口网关内缓存队列饱和攻击防御装置为执行主体的出口网关内缓存队列饱和攻击防御方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
[0223]图7是本发明一个实施例中提供的出口网关内缓存队列饱和攻击防御系统的结构方框图,该出口网关内缓存队列饱和攻击防御系统可以为图1所示网络架构中。该出口网关内缓存队列饱和攻击防御系统包括出口网关连接的移动网络701和软件定义网络702。
[0224]该移动网络701中的出口网关可以为图5A或图5B中各种可能的实现方式中所描述的出口网关。
[0225]该软件定义网络702包括如图6A或图6B中各种可能的实现方式中所描述的中心控制器。
[0226]综上所述,本发明实施例中提供的出口网关内缓存队列饱和攻击防御系统,通过为出口网关设置预警门限值,当预定时长内无法与刘表匹配的数据包的数量达到该预警门限值时,则向中心控制器发送预警信息,中心控制器与冗余控制器共同处理出口网关上报的数据包;由于在上报的数据包比较多时,也即存在攻击隐患时,中心控制器可以唤醒冗余控制器共同处理数据包,从而减轻了大量数据包对中心控制器的处理压力,因此解决了相关技术中只能防止非法用户越权访问组织内网中的信息,无线避免组织内网中的中心控制器遭受攻击的问题;达到了可以避免因攻击中心控制器导致中心控制器宕机的风险的效果Ο
[0227]此外,通过在中心控制器分析是否存在攻击行为的终端,若存在具有攻击行为的终端,则通知出口网关,由出口网关通知基站,以禁止该具有攻击行为的终端继续访问网络信息;解决了因存在攻击行为造成出口网关中缓存队列容易溢出的问题,且进一步避免了中心控制器因短时间内需要处理过多的数据包而造成宕机的可能。
[0228]上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
[0229]本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
[0230]以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
【主权项】
1.一种出口网关内缓存队列饱和攻击防御方法,其特征在于,应用于出口网关中,所述出口网关用于连接移动网络与软件定义网络,所述方法包括: 接收终端发送的数据包,将所述数据包与所述出口网关中存储的静态流表进行匹配,所述静态流表中每条流表项是中心控制器根据确定出的常用服务器的地址生成的; 当所述数据包与所述静态流表中的流表项均不匹配时,将所述数据包与所述出口网关中存储的动态流表进行匹配; 当所述数据包与所述动态流表中的流表项均不匹配时,则将所述数据包发送至所述中心控制器,所述数据包用于触发所述中心控制器根据所述数据包获取并反馈与所述数据包内目标地址对应的流表项; 接收所述中心控制器反馈的所述流表项,根据所述流表项转发所述数据包。2.根据权利要求1所述的方法,其特征在于,在所述接收所述中心控制器反馈的所述流表项之后,所述方法包括: 将所述流表项添加至所述动态流表中。3.根据权利要求1所述的方法,其特征在于,所述方法还包括: 当所述出口网关的缓存队列中数据包的容量与所述缓存队列的总容量的比值达到预定比值阈值时,则将所述缓存队列中所有数据包的包头和载荷进行拆分,丢弃拆分后得到的载荷,所述缓存队列中用于存储所述出口网关接收到的且与所述静态流表和所述动态流表均不匹配的数据包; 向所述中心控制器发送预警信息,所述预警信息中携带有拆分后得到的包头,所述预警信息用于触发所述中心控制器根