更清楚地說明本發(fā)明實施例中的技術方案����,下面將對實施例描述中所需要使 用的附圖作簡單地介紹�����,顯而易見地����,下面描述中的附圖僅僅是本發(fā)明的一些實施例��,對于 本領域普通技術人員來講�����,在不付出創(chuàng)造性勞動的前提下��,還可以根據這些附圖獲得其他 的附圖�。
[0051] 圖1是本發(fā)明部分實施例中提供的異常訪問行為控制方法所涉及的實施環(huán)境示 意圖;
[0052] 圖2是本發(fā)明一個實施例中提供的異常訪問行為控制方法的方法流程圖����;
[0053] 圖3是本發(fā)明另一個實施例中提供的異常訪問行為控制方法的方法流程圖;
[0054] 圖4是本發(fā)明再一個實施例中提供的異常訪問行為控制方法的方法流程圖���;
[0055] 圖5A是本發(fā)明再一個實施例中提供的異常訪問行為控制方法的方法流程圖����;
[0056] 圖5B是本發(fā)明再一個實施例中提供的異常訪問行為控制方法的方法流程圖;
[0057] 圖6是本發(fā)明一個實施例中提供的異常訪問行為控制裝置的結構示意圖���;
[0058] 圖7是本發(fā)明另一個實施例中提供的異常訪問行為控制裝置的結構示意圖��;
[0059] 圖8是本發(fā)明再一個實施例中提供的異常訪問行為控制裝置的結構示意圖�����。
【具體實施方式】
[0060] 為使本發(fā)明的目的�、技術方案和優(yōu)點更加清楚�����,下面將結合附圖對本發(fā)明實施方 式作進一步地詳細描述�。
[0061] 請參見圖1所示��,其是本發(fā)明部分實施例中提供的異常訪問行為控制方法所涉及 的實施環(huán)境示意圖�,該實施環(huán)境包括接入網絡110和一體化標識網絡120。
[0062] 接入網絡110中包括至少一個用戶所持有的移動終端111�����,這里所講的移動終端 111可以包括智能手機,具有通話功能的平板電腦�����、多媒體播放器或可穿戴式設備等����。
[0063] 一體化標識網絡120可以包括接入轉發(fā)設備130,這里的接入轉發(fā)設備可以為網 關GSN(英文:GatewayGSN,簡稱:GGSN) 〇
[0064] 一體化標識網絡120還可以包括轉發(fā)設備121��、策略設備122,該策略設備122可 以是映射服務器123的一部分����,也可以是包含映射服務器123的設備,還可以是獨立于映射 服務器123的設備�。
[0065] 可選的,策略設備122可以是一個設備����,也可以是多個設備的集群,比如����,策略設 備122可以包括安全中心設備122a和中心控制器122b。
[0066] 圖1中的接入轉發(fā)設備130是同時位于接入網絡110和一體化標識網絡120中的 設備,即接入轉發(fā)設備130是接入網絡110和一體化標識網絡120融合時的邊緣節(jié)點�。[0067] 一般的,接入轉發(fā)設備130在接收到移動終端111發(fā)送的數(shù)據包之后�,會將數(shù)據包 中的源接入標識AID替換為可以在一體化標識網絡120中識別的路由標識RID,即將數(shù)據包 中的源AID替換為源RID�,類似的,還會將數(shù)據包中的目標AID替換為目標RID��,其中路由標 識RID為一體化標識網絡120中路由器的標識��。這樣�,數(shù)據包在經過接入轉發(fā)設備130替 換接入標識后,可以在一體化標識網絡120內部根據源RID和目標RID所對應的轉發(fā)路徑 進行轉發(fā)����。
[0068]可選的,接入轉發(fā)設備130在接收到數(shù)據包之后��,獲取該數(shù)據包中的源AID和目標AID�����,對于數(shù)據包的源AID來講��,接入轉發(fā)設備130根據該接入轉發(fā)設備130的地址池確定 出一個RID�,建立該源AID和確定出的該RID之間的映射關系,并將該映射關系存儲至該接 入轉發(fā)設備130的本地映射表中����,同時將建立的該映射關系上傳至映射服務器123中進行 存儲。最后利用該RID替換數(shù)據包中的源AID���。
[0069] 對于數(shù)據包的目標AID來講���,接入轉發(fā)設備130首先查找接入轉發(fā)設備130中存 儲的對端映射表,該對端映射表包括其他各個接入轉發(fā)設備的RID以及與這些接入轉發(fā)設 備連接的接入設備的AID之間的映射關系���。
[0070]-般來講����,當一個接入轉發(fā)設備A與該移動終端P建立好一次通信連接后�����,則會將 該移動終端P的AID和與該移動終端P連接的接入轉發(fā)設備的RID之間的映射關系保存至 該接入轉發(fā)設備A的對端映射表中�����。
[0071]接入轉發(fā)設備130在該對端映射表中未發(fā)現(xiàn)與該目標AID對應的映射關系時���,則 向映射/認證服務器123發(fā)送映射請求���,以請求獲取與該目標AID對應的映射關系�,并利用 獲取的映射關系中的RID替換該數(shù)據包中的目標AID�。
[0072] 而當該接入轉發(fā)設備130與具有該目標AID所連接的接入轉發(fā)設備通信過,則可 以在該對端映射表中查找到與該目標AID對應的映射關系�����,并利用查找到的映射關系中的 RID替換該數(shù)據包中的目標AID�。可選的��,該接入轉發(fā)設備130還可以將獲取的映射關系存 儲至接入轉發(fā)設備130本地中的遠端映射表中����。
[0073] 接入轉發(fā)設備130對接入標識替換后的數(shù)據包進行轉發(fā)。
[0074] 為了能夠保證對攻擊行為所涉及的數(shù)據包進行有效的控制���,本發(fā)明各個實施例中 將一體化標識網絡120分為了轉發(fā)層面的接入轉發(fā)設備130和轉發(fā)設備121�����,并新增了管 理層面的策略設備122,這樣����,根據管理層面的策略設備122可以對轉發(fā)層面的接入轉發(fā)設 備130的轉發(fā)動作進行限定和指示��,比如可以指示接入轉發(fā)設備130對攻擊行為所涉及的 數(shù)據包進行丟棄�,或者禁止接入轉發(fā)設備130轉發(fā)攻擊行為所涉及的數(shù)據包,下面通過幾 個實施例對一體化標識網絡中的異常訪問行為控制的過程進行舉例說明�����。
[0075] 請參見圖2所示�����,其是本發(fā)明一個實施例中提供的異常訪問行為控制方法的方法 流程圖����,該異常訪問行為控制方法主要以應用于圖1所示實施環(huán)境中的策略設備122中進 行舉例說明,該異常訪問行為控制方法包括:
[0076] 步驟201�����,接收至少一個接入轉發(fā)設備發(fā)送的流摘要信息����,每條流摘要信息是接入 轉發(fā)設備在接收到數(shù)據包后對各個數(shù)據包進行分流��,將任一組流所對應的關鍵信息添加至 流模板后得到的����,每組流中的數(shù)據包具有相同的關鍵信息���。
[0077] -般的�����,接入轉發(fā)設備在接收到數(shù)據包之后�����,為了能夠使得策略設備可以得知數(shù) 據包是否為攻擊行為產生的數(shù)據包�����,接入轉發(fā)設備通常會將接收到的數(shù)據包包頭中的關鍵 信息進行提取�����,并將提取后的關鍵信息發(fā)送至策略設備�。
[0078] 可選的��,為了減少接入轉發(fā)設備和策略設備之間的通信數(shù)量,以降低帶寬占用���,可 以將多個數(shù)據包所對應的關鍵信息進行合并。具體的����,接入轉發(fā)設備可以將單位時間內獲 取的各個數(shù)據包按照屬性進行分流,具有相同屬性(即關鍵信息)的數(shù)據包組成一個流����,對 于每個流,將與該流對應的關鍵信息按照流模板打包成一個流摘要信息�。由此可知,每個流 所對應的數(shù)據包的數(shù)量是不確定的�。
[0079] -般來講,每個流摘要信息除了包含對應的關鍵信息之外����,還可以包括組成該流 的各個數(shù)據包中接收到的第一個數(shù)據包的時刻,接收到最后一個數(shù)據包的時刻����,各個數(shù)據 包所占用的字節(jié)等參數(shù)。
[0080] 這里所講的關鍵信息通常包括源接入標識AID�����、目的接入標識AID、源端口號����、目 的端口號和協(xié)議類型,即常說的數(shù)據包的五元組��。
[0081] 通常來講���,同一個一體化標識網絡內通?�?梢栽O置一個策略設備����,此時該策略設 備可以接收到該一體化標識網絡內各個接入轉發(fā)設備發(fā)送的流摘要信息�����?����?蛇x的,當一體 化標識網絡中存在的接入轉發(fā)設備比較多��,為了降低對策略設備處理器的要求����,還可以再 一體化標識網絡中設置兩個或兩個以上策略設備,每個策略設備接收到與該策略設備對應 的接入轉發(fā)設備發(fā)送的流摘要信息���,這些流摘要信息可以在各個策略設備之間共享,或者 策略設備中的判定結果可以在各個策略設備之間共享����。
[0082] 步驟202,利用接收到的至少一個流摘要信息,確定網絡中是否存在攻擊行為����。
[0083] 針對每個流摘要信息,策略設備從該流摘要信息中提取出關鍵信息��,并將該關鍵 信息存儲為一條流摘要記錄��,根據預定條流摘要記錄確定網絡中是否存在攻擊行為���。
[0084] 步驟203,若確定網絡中存在攻擊行為����,則根據流摘要信息生成第一流表規(guī)則,第 一流表規(guī)則用于指示禁止轉發(fā)包頭中具有該流摘要信息中關鍵信息的數(shù)據包����。
[0085] 若確定網絡中存在攻擊行為,策略設備則根據流摘要信息生成第一流表規(guī)則�����,該 第一流表規(guī)則中用于限定禁止轉發(fā)的數(shù)據包的屬性����。
[0086] 步驟204,將第一流表規(guī)則發(fā)送給接入轉發(fā)設備,由接入轉發(fā)設備禁止轉發(fā)符合第 一流表規(guī)則限定的數(shù)據包���。
[0087] 策略設備可以將第一流表規(guī)則發(fā)送給各個接入轉發(fā)設備�,由這些接入轉發(fā)設備禁 止轉發(fā)符合第一流表規(guī)則限定的數(shù)據包���。
[0088] 綜上所述����,本發(fā)明實施例提供的異常訪問行為控制方法�,通過收集各個接入轉發(fā) 設備獲取的數(shù)據包的關鍵信息,以利用這些數(shù)據包中的關鍵信息確定網絡是否存在攻擊行 為,若存在攻擊行為��,則生成用于指示禁止轉發(fā)這些攻擊行為所產生的數(shù)據包����;由于可以根 據數(shù)據包的關鍵信息對攻擊行為進行判定,因此判定結果能比較真實的反映出網絡當前的 真實狀況�,解決了現(xiàn)有技術中映射服務器在根據映射請求分析網絡是否存在攻擊行為時, 有些情況下無法正確辨別存在的攻擊行為的問題����;達到了對各種攻擊行為均可以進行正確 辨別,并在得知網絡存在攻擊