据所述包头,分析所述终端是否为非法终端。4.根据权利要求1所述的方法,其特征在于,所述方法还包括: 根据所述动态流表中每个流表项被匹配成功的次数,累计所述流表项所对应的目标地址被访问的访问次数; 将每个目标地址的访问次数发送至所述中心控制器,由所述中心控制器获取所述目标地址的总访问次数,在判定所述目标地址的总访问次数达到预定阈值时,为所述目标地址生成流表项,向出口网关发送静态流表更新通知,所述静态流表更新通知中携带有所述流表项; 接收所述中心控制器发送的所述静态流表更新通知,将所述流表中的流表项添加至所述出口网关的所述静态流表中; 从所述动态流表中删除所述流表项。5.根据权利要求1所述的方法,其特征在于,所述方法还包括: 统计在统计时刻前预定时长内所述动态流表中各个流表项被匹配成功的匹配次数; 从所述动态流表中删除匹配次数少于预定阈值的流表项。6.根据权利要求1至5中任一所述的方法,其特征在于,所述方法还包括: 接收所述中心控制器发送的非法终端的标识; 向移动管理节点功能MME或归属签约用户服务器HSS发送所述非法终端的标识,由所述MME或所述HSS通知所述非法终端所接入的基站禁止所述非法终端在预定时间段内进行访问。7.—种出口网关内缓存队列饱和攻击防御方法,其特征在于,应用于中心控制器中,所述中心控制器位于通过出口网关与移动网络连接的软件定义网络中,所述方法包括: 接收所述出口网关发送的数据包,所述数据包是所述出口网关在确定所述数据包与所述出口网关内的静态流表和动态流表均不匹配时发送的; 获取与所述数据包的目标地址对应的流表项; 向所述出口网关发送所述流表项,所述流表项用于触发所述出口网关根据所述流表项对所述数据包进行转发。8.根据权利要求7所述的方法,其特征在于,所述方法还包括: 确定出各个常用服务器的地址; 以各个所述地址为目标地址生成流表项; 将生成的各个所述流表项发送至所述出口网关,所述流表项用于触发所述出口网关将所述流表项存储至所述出口网关的静态流表中。9.根据权利要求8所述的方法,其特征在于,所述确定出各个常用服务器的地址,包括: 接收服务器的注册请求,对发送所述注册请求的服务器的地址进行认证,将认证成功的服务器的地址确定为所述常用服务器的地址;和/或, 接收各个出口网关发送的目标地址的访问次数,将同一个目标地址的访问次数进行累加,得到每个目标地址的总访问次数,在判定所述目标地址的总访问次数达到预定阈值时,确定所述目标地址为所述常用服务器的地址,所述目标地址的访问次数是所述出口网关对所包含的动态流表中具有所述目标地址的流表项被访问的次数进行统计后得到的。10.根据权利要求7至9中任一所述的方法,其特征在于,所述方法还包括: 接收所述出口网关发送的预警信息,所述预警信息中携带有包头,所述包头是所述出口网关在判定缓存队列中的数据包的容量与所述缓存队列的总容量的比值达到预定比值阈值时,对所述缓存队列中的数据包进行拆分后得到的; 根据所述包头中的源地址和目标地址,分析是否存在非法终端; 在确定出非法终端后,向所述出口网关发送所述非法终端的标识,所述非法终端的标识用于触发所述出口网关向移动管理节点功能MME或归属签约用户服务器HSS发送所述非法终端的标识,由所述MME或所述HSS通知所述非法终端所接入的基站禁止所述非法终端在预定时间段内进行访问。11.一种出口网关内缓存队列饱和攻击防御装置,其特征在于,应用于出口网关中,所述出口网关用于连接移动网络与软件定义网络,所述装置包括: 第一接收模块,用于接收终端发送的数据包,将所述数据包与所述出口网关中存储的静态流表进行匹配,所述静态流表中每条流表项是中心控制器根据确定出的常用服务器的地址生成的; 匹配模块,用于当所述第一接收模块接收的所述数据包与所述静态流表中的流表项均不匹配时,将所述数据包与所述出口网关中存储的动态流表进行匹配; 第一发送模块,用于当所述第一接收模块接收的所述数据包与所述动态流表中的流表项均不匹配时,则将所述数据包发送至所述中心控制器,所述数据包用于触发所述中心控制器根据所述数据包获取并反馈与所述数据包内目标地址对应的流表项; 转发模块,用于接收所述中心控制器反馈的所述流表项,根据所述流表项转发所述数据包。12.根据权利要求11所述的装置,其特征在于,所述装置包括: 第一添加模块,用于在所述接收所述中心控制器反馈的所述流表项之后,将所述流表项添加至所述动态流表中。13.根据权利要求11所述的装置,其特征在于,所述装置还包括: 拆分模块,用于当所述出口网关的缓存队列中数据包的容量与所述缓存队列的总容量的比值达到预定比值阈值时,则将所述缓存队列中所有数据包的包头和载荷进行拆分,丢弃拆分后得到的载荷,所述缓存队列中用于存储所述出口网关接收到的且与所述静态流表和所述动态流表均不匹配的数据包; 第二发送模块,用于向所述中心控制器发送预警信息,所述预警信息中携带有拆分后得到的包头,所述预警信息用于触发所述中心控制器根据所述包头,分析所述终端是否为非法终端。14.根据权利要求11所述的装置,其特征在于,所述装置还包括: 累计模块,用于根据所述动态流表中每个流表项被匹配成功的次数,累计所述流表项所对应的目标地址被访问的访问次数; 第三发送模块,用于将所述累计模块累积的每个目标地址的访问次数发送至所述中心控制器,由所述中心控制器获取所述目标地址的总访问次数,在判定所述目标地址的总访问次数达到预定阈值时,为所述目标地址生成流表项,向出口网关发送静态流表更新通知,所述静态流表更新通知中携带有所述流表项; 第二添加模块,用于接收所述中心控制器发送的所述静态流表更新通知,将所述流表中的流表项添加至所述出口网关的所述静态流表中; 第一删除模块,用于从所述动态流表中删除所述流表项。15.根据权利要求11所述的装置,其特征在于,所述装置还包括: 统计模块,用于统计在统计时刻前预定时长内所述动态流表中各个流表项被匹配成功的匹配次数; 第二删除模块,用于从所述动态流表中删除匹配次数少于预定阈值的流表项。16.根据权利要求11至15中任一所述的装置,其特征在于,所述装置还包括: 第二接收模块,用于接收所述中心控制器发送的非法终端的标识; 第四发送模块,用于向移动管理节点功能MME或归属签约用户服务器HSS发送所述第二接收模块接收的所述非法终端的标识,由所述MME或所述HSS通知所述非法终端所接入的基站禁止所述非法终端在预定时间段内进行访问。17.—种出口网关内缓存队列饱和攻击防御装置,其特征在于,应用于中心控制器中,所述中心控制器位于通过出口网关与移动网络连接的软件定义网络中,所述装置包括: 第一接收模块,用于接收所述出口网关发送的数据包,所述数据包是所述出口网关在确定所述数据包与所述出口网关内的静态流表和动态流表均不匹配时发送的; 获取模块,用于获取与所述第一接收模块接收的所述数据包的目标地址对应的流表项; 第一发送模块,用于向所述出口网关发送所述获取模块获取的所述流表项,所述流表项用于触发所述出口网关根据所述流表项对所述数据包进行转发。18.根据权利要求17所述的装置,其特征在于,所述装置还包括: 确定模块,用于确定出各个常用服务器的地址; 生成模块,用于以所述确定模块确定的各个所述地址为目标地址生成流表项; 第二发送模块,用于将所述生成模块生成的各个所述流表项发送至所述出口网关,所述流表项用于触发所述出口网关将所述流表项存储至所述出口网关的静态流表中。19.根据权利要求18所述的装置,其特征在于,所述确定模块,包括: 第一确定单元,用于接收服务器的注册请求,对发送所述注册请求的服务器的地址进行认证,将认证成功的服务器的地址确定为所述常用服务器的地址;和/或, 第二确定单元,用于接收各个出口网关发送的目标地址的访问次数,将同一个目标地址的访问次数进行累加,得到每个目标地址的总访问次数,在判定所述目标地址的总访问次数达到预定阈值时,确定所述目标地址为所述常用服务器的地址,所述目标地址的访问次数是所述出口网关对所包含的动态流表中具有所述目标地址的流表项被访问的次数进行统计后得到的。20.根据权利要求17至19中任一所述的装置,其特征在于,所述装置还包括: 第二接收模块,用于接收所述出口网关发送的预警信息,所述预警信息中携带有包头,所述包头是所述出口网关在判定缓存队列中的数据包的容量与所述缓存队列的总容量的比值达到预定比值阈值时,对所述缓存队列中的数据包进行拆分后得到的; 分析模块,用于根据所述第二接收模块接收的所述包头中的源地址和目标地址,分析是否存在非法终端; 第三发送模块,用于在所述分析模块确定出非法终端后,向所述出口网关发送所述非法终端的标识,所述非法终端的标识用于触发所述出口网关向移动管理节点功能MME或归属签约用户服务器HSS发送所述非法终端的标识,由所述MME或所述HSS通知所述非法终端所接入的基站禁止所述非法终端在预定时间段内进行访问。21.—种出口网关内缓存队列饱和攻击防御系统,其特征在于,所述系统包括由如权利要求11-16中任一所述的出口网关连接的移动网络和软件定义网络; 所述软件定义网络包括如权利要求17-20中任一所述的中心控制器。
【专利摘要】本发明公开了一种出口网关内缓存队列饱和攻击防御方法、设备及系统,属于网络安全领域。所述方法包括:接收终端发送的数据包;当数据包静态流表与动态流表中的流表项均不匹配时,则将该数据包发送至中心控制器;根据中心控制器反馈的流表项转发该数据包。本发明解决了当恶意用户发送大量目的地不同且携带较大载荷的数据包时,很容易造成缓存队列溢出,使得整个SDN网络过饱和的问题;达到了使常用数据包的匹配直接在出口网关中进行,而无须加入发送至中心控制器的缓存队列中,避免移动网络遭到非法终端的网络攻击时,由于出口网关突然接收到大量目的地不同的数据包,而造成缓存队列溢出的效果。
【IPC分类】H04L29/06, H04L12/721, H04L12/861
【公开号】CN105357146
【申请号】CN201510695082
【发明人】陈佳, 王铭鑫, 周华春, 苏伟, 梁缘, 王烽
【申请人】北京交通大学
【公开日】2016年2月24日
【申请日】2015年10月21日