異常訪問行為控制方法及裝置的制造方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及網(wǎng)絡安全領(lǐng)域,特別涉及一種異常訪問行為控制方法及裝置。
【背景技術(shù)】
[0002] -體化標識網(wǎng)絡將網(wǎng)絡分為接入網(wǎng)與骨干網(wǎng),引入了接入網(wǎng)標識(Access Identifier,AID)與路由標識(RoutingIdentifier,RID),從根本上解決了互聯(lián)網(wǎng)協(xié)議地 址(InternetProtocolAddress,IP)雙重屬性的問題,且能很好的與現(xiàn)有的互聯(lián)網(wǎng)與網(wǎng)絡 架構(gòu)進行融合。
[0003] 在一體化標識網(wǎng)絡中,接入轉(zhuǎn)發(fā)設備在接收到數(shù)據(jù)包后,會查詢接入轉(zhuǎn)發(fā)設備中 是否存在該數(shù)據(jù)包的目標AID與需要替換的RID之間的映射關(guān)系,若不存在,則向映射服務 器發(fā)送用于獲取與該目標AID對應的RID之間的映射關(guān)系的映射請求,以便于對接收到的 數(shù)據(jù)包中的目標AID進行替換,并利用替換后的RID進行轉(zhuǎn)發(fā)。映射服務器可以根據(jù)各個 接入轉(zhuǎn)發(fā)設備發(fā)送的映射請求分析出當前網(wǎng)絡是否存在攻擊行為,比如,當映射請求中請 求相同的目標AID,則表明存在分布式拒絕服務(英文〖DistributedDenialofService, 簡稱:DDoS)攻擊行為。
[0004] 在實現(xiàn)本發(fā)明的過程中,發(fā)明人發(fā)現(xiàn)現(xiàn)有技術(shù)至少存在以下問題:映射服務器在 根據(jù)映射請求分析網(wǎng)絡是否存在攻擊行為時,有些情況下無法正確辨別存在的攻擊行為。 比如,多個攻擊終端在不同時刻向接入轉(zhuǎn)發(fā)設備發(fā)送具有相同目標AID的數(shù)據(jù)包,這種情 況下,接入轉(zhuǎn)發(fā)設備并不在同一個時刻向映射服務器請求獲取目標AID的映射關(guān)系,而是 分別從映射服務器獲取,此時映射服務器并不會判定這些行為為攻擊行為,當各個接入轉(zhuǎn) 發(fā)設備從映射服務器成功獲取到同一個目標AID的映射關(guān)系后,則可以直接利用獲取的映 射關(guān)系對攻擊終端后續(xù)發(fā)送的數(shù)據(jù)包進行轉(zhuǎn)發(fā),各個攻擊終端完成DDoS攻擊。
【發(fā)明內(nèi)容】
[0005] 為了解決現(xiàn)有技術(shù)中映射服務器在根據(jù)映射請求分析網(wǎng)絡是否存在攻擊行為時, 有些情況下無法正確辨別存在的攻擊行為的問題,本發(fā)明實施例提供了一種異常訪問行為 控制方法及裝置。所述技術(shù)方案如下:
[0006] 第一方面,提供了一種異常訪問行為控制方法,所述方法包括:
[0007] 接收至少一個接入轉(zhuǎn)發(fā)設備發(fā)送的流摘要信息,所述流摘要信息是所述接入轉(zhuǎn)發(fā) 設備在接收到數(shù)據(jù)包后對各個數(shù)據(jù)包進行分流,將任一組流所對應的關(guān)鍵信息添加至流模 板后得到的,每組流中的數(shù)據(jù)包具有相同的關(guān)鍵信息;
[0008] 利用接收到的至少一個流摘要信息,確定網(wǎng)絡中是否存在攻擊行為;
[0009] 若確定所述網(wǎng)絡中存在攻擊行為,則根據(jù)所述流摘要信息生成第一流表規(guī)則,所 述第一流表規(guī)則用于指示禁止轉(zhuǎn)發(fā)包頭中具有所述流摘要信息中關(guān)鍵信息的數(shù)據(jù)包;
[0010] 將所述第一流表規(guī)則發(fā)送給所述接入轉(zhuǎn)發(fā)設備,由所述接入轉(zhuǎn)發(fā)設備禁止轉(zhuǎn)發(fā)符 合所述第一流表規(guī)則限定的數(shù)據(jù)包;
[0011] 其中,所述關(guān)鍵信息包括源接入標識、目的接入標識、源端口號、目的端口號和協(xié) 議類型。
[0012] 可選的,所述利用接收到的至少一個流摘要信息,確定網(wǎng)絡中是否存在攻擊行為, 包括:
[0013] 提取所述流摘要信息中的關(guān)鍵信息,將提取出的所述關(guān)鍵信息存儲為一條流摘要 記錄;
[0014] 對所預定個所述流摘要記錄進行熵值量化,得到熵值向量;
[0015] 將得到的熵值向量輸入至分類模型中,得到分類后的訪問行為類型,所述訪問行 為類型為正常訪問行為或攻擊訪問行為,所述攻擊訪問行為為拒絕服務DoS攻擊行為、分 布式拒絕服務DDoS攻擊行為或分布式反射拒絕服務DRD0S攻擊行為。
[0016] 可選的,所述根據(jù)所述流摘要信息生成第一流表規(guī)則,包括:
[0017] 根據(jù)所述流摘要信息中的關(guān)鍵信息,生成用于指示禁止轉(zhuǎn)發(fā)包頭中具有所述關(guān)鍵 信息的數(shù)據(jù)包的第一流表規(guī)則。
[0018] 可選的,所述方法還包括:
[0019] 連續(xù)接收至少兩個接入轉(zhuǎn)發(fā)設備在接收到數(shù)據(jù)包后發(fā)送的映射請求,所述映射請 求用于請求獲取所述數(shù)據(jù)包包頭內(nèi)接入標識與一體化標識網(wǎng)絡中路由的路由標識的映射 關(guān)系以及所述數(shù)據(jù)包的轉(zhuǎn)發(fā)路徑;
[0020] 根據(jù)各個映射請求預判網(wǎng)絡中是否將要產(chǎn)生攻擊行為;
[0021] 若根據(jù)所述映射請求預判定所述網(wǎng)絡中將要產(chǎn)生攻擊行為,則生成用于禁止包頭 中具有所述接入標識的數(shù)據(jù)包進行轉(zhuǎn)發(fā)的第二流表規(guī)則;
[0022] 向各個接入轉(zhuǎn)發(fā)設備發(fā)送所述第二流表規(guī)則。
[0023] 可選的,所述根據(jù)各個映射請求預判網(wǎng)絡中是否將要產(chǎn)生攻擊行為,包括:
[0024] 檢測各個映射請求中的接入標識中的目標接入標識是否相同,若各個映射請求中 的目標接入標識均相同,則判定所述網(wǎng)絡中將要產(chǎn)生類型為DD0S攻擊行為;
[0025]或者,
[0026] 檢測各個映射請求中的接入標識中的源接入標識是否相同,若各個映射請求中的 源目標接入標識均相同,則判定所述網(wǎng)絡中將要產(chǎn)生類型為DRDoS攻擊行為。
[0027] 第二方面,提供了一種異常訪問行為控制裝置,所述裝置包括:
[0028] 第一接收模塊,用于接收至少一個接入轉(zhuǎn)發(fā)設備發(fā)送的流摘要信息,所述流摘要 信息是所述接入轉(zhuǎn)發(fā)設備在接收到數(shù)據(jù)包后對各個數(shù)據(jù)包進行分流,將任一組流所對應的 關(guān)鍵信息添加至流模板后得到的,每組流中的數(shù)據(jù)包具有相同的關(guān)鍵信息;
[0029] 確定模塊,用于利用所述第一接收模塊接收到的至少一個流摘要信息,確定網(wǎng)絡 中是否存在攻擊行為;
[0030] 第一生成模塊,用于在所述確定模塊確定所述網(wǎng)絡中存在攻擊行為時,根據(jù)所述 流摘要信息生成第一流表規(guī)則,所述第一流表規(guī)則用于指示禁止轉(zhuǎn)發(fā)包頭中具有所述流摘 要信息中關(guān)鍵信息的數(shù)據(jù)包;
[0031] 第一發(fā)送模塊,用于將所述第一生成模塊生成的所述第一流表規(guī)則發(fā)送給所述接 入轉(zhuǎn)發(fā)設備,由所述接入轉(zhuǎn)發(fā)設備禁止轉(zhuǎn)發(fā)符合所述第一流表規(guī)則限定的數(shù)據(jù)包;
[0032] 其中,所述關(guān)鍵信息包括源接入標識、目的接入標識、源端口號、目的端口號和協(xié) 議類型。
[0033] 可選的,所述確定模塊,包括:
[0034] 提取單元,用于提取所述流摘要信息中的關(guān)鍵信息,將提取出的所述關(guān)鍵信息存 儲為一條流摘要記錄;
[0035] 量化單元,用于對所述預定個所述流摘要記錄進行熵值量化,得到熵值向量;
[0036] 分類單元,用于將所述量化單元量化得到的熵值向量輸入至分類模型中,得到分 類后的訪問行為類型,所述訪問行為類型為正常訪問行為或攻擊訪問行為,所述攻擊訪問 行為為拒絕服務DoS攻擊行為、分布式拒絕服務DDoS攻擊行為或分布式反射拒絕服務 DRD0S攻擊行為。
[0037] 可選的,所述第一生成模塊,還用于:
[0038] 根據(jù)所述流摘要信息中的關(guān)鍵信息,生成用于指示禁止轉(zhuǎn)發(fā)包頭中具有所述關(guān)鍵 信息的數(shù)據(jù)包的第一流表規(guī)則。
[0039] 可選的,所述裝置還包括:
[0040] 第二接收模塊,用于連續(xù)接收至少兩個接入轉(zhuǎn)發(fā)設備在接收到數(shù)據(jù)包后發(fā)送的映 射請求,所述映射請求用于請求獲取所述數(shù)據(jù)包包頭內(nèi)接入標識與一體化標識網(wǎng)絡中路由 的路由標識的映射關(guān)系以及所述數(shù)據(jù)包的轉(zhuǎn)發(fā)路徑;
[0041] 預判模塊,用于根據(jù)所述第二接收模塊接收到的各個映射請求預判網(wǎng)絡中是否將 要產(chǎn)生攻擊行為;
[0042] 第二生成模塊,用于在所述預判模塊根據(jù)所述映射請求預判定所述網(wǎng)絡中將要產(chǎn) 生攻擊行為時,生成用于禁止包頭中具有所述接入標識的數(shù)據(jù)包進行轉(zhuǎn)發(fā)的第二流表規(guī) 則;
[0043] 第二發(fā)送模塊,用于向各個接入轉(zhuǎn)發(fā)設備發(fā)送所述第二生成模塊生成的所述第二 流表規(guī)則。
[0044] 可選的,所述預判模塊,包括:
[0045] 第一判定單元,用于檢測所述第二接收模塊接收到的各個映射請求中的接入標識 中的目標接入標識是否相同,若各個映射請求中的目標接入標識均相同,則判定所述網(wǎng)絡 中將要產(chǎn)生類型為DD0S攻擊行為;
[0046]或者,
[0047] 第二判定單元,用于檢測所述第二接收模塊接收到的各個映射請求中的接入標識 中的源接入標識是否相同,若各個映射請求中的源目標接入標識均相同,則判定所述網(wǎng)絡 中將要產(chǎn)生類型為DRDoS攻擊行為。
[0048] 本發(fā)明實施例提供的技術(shù)方案帶來的有益效果是:
[0049] 通過收集各個接入轉(zhuǎn)發(fā)設備獲取的數(shù)據(jù)包的關(guān)鍵信息,以利用這些數(shù)據(jù)包中的關(guān) 鍵信息確定網(wǎng)絡是否存在攻擊行為,若存在攻擊行為,則生成用于指示禁止轉(zhuǎn)發(fā)這些攻擊 行為所產(chǎn)生的數(shù)據(jù)包;由于可以根據(jù)數(shù)據(jù)包的關(guān)鍵信息對攻擊行為進行判定,因此判定結(jié) 果能比較真實的反映出網(wǎng)絡當前的真實狀況,解決了現(xiàn)有技術(shù)中映射服務器在根據(jù)映射請 求分析網(wǎng)絡是否存在攻擊行為時,有些情況下無法正確辨別存在的攻擊行為的問題;達到 了對各種攻擊行為均可以進行正確辨別,并在得知網(wǎng)絡存在攻擊行為時,指示接入轉(zhuǎn)發(fā)設 備禁止這些攻擊行為所對應的數(shù)據(jù)包的轉(zhuǎn)發(fā),保障了網(wǎng)絡的安全性的效果。
【附圖說明】
[0050] 為了