講�����,每個(gè)流摘要信息除了包含對(duì)應(yīng)的關(guān)鍵信息之外�����,還可以包括組成該流 的各個(gè)數(shù)據(jù)包中接收到的第一個(gè)數(shù)據(jù)包的時(shí)刻�,接收到最后一個(gè)數(shù)據(jù)包的時(shí)刻����,各個(gè)數(shù)據(jù) 包所占用的字節(jié)等。
[0129] 步驟502,對(duì)于每組流��,接入轉(zhuǎn)發(fā)設(shè)備將與該組流對(duì)應(yīng)的關(guān)鍵信息按照流模板打包 成流摘要信息�。
[0130]與步驟201中的描述類似,接入轉(zhuǎn)發(fā)設(shè)備在接收到數(shù)據(jù)包之后�����,為了能夠使得安 全中心設(shè)備可以得知數(shù)據(jù)包是否為攻擊行為產(chǎn)生的數(shù)據(jù)包�,接入轉(zhuǎn)發(fā)設(shè)備通常會(huì)將接收到 的數(shù)據(jù)包包頭中的關(guān)鍵信息進(jìn)行提取,并將提取后的關(guān)鍵信息發(fā)送至安全中心設(shè)備����。
[0131] 可選的���,為了減少接入轉(zhuǎn)發(fā)設(shè)備和安全中心設(shè)備之間的通信數(shù)量,以降低帶寬占 用�,可以將多個(gè)數(shù)據(jù)包所對(duì)應(yīng)的關(guān)鍵信息進(jìn)行合并。具體的�����,接入轉(zhuǎn)發(fā)設(shè)備可以將單位時(shí)間 內(nèi)獲取的各個(gè)數(shù)據(jù)包按照屬性進(jìn)行分流�,具有相同屬性(即關(guān)鍵信息)的數(shù)據(jù)包組成一個(gè) 流,對(duì)于每個(gè)流����,將與該流對(duì)應(yīng)的關(guān)鍵信息按照流模板打包成一個(gè)流摘要信息。由此可知�, 每個(gè)流所對(duì)應(yīng)的數(shù)據(jù)包的數(shù)量是不確定的。
[0132] 一般來講�����,每個(gè)流摘要信息除了包含對(duì)應(yīng)的關(guān)鍵信息之外�����,還可以包括組成該流 的各個(gè)數(shù)據(jù)包中接收到的第一個(gè)數(shù)據(jù)包的時(shí)刻���,接收到最后一個(gè)數(shù)據(jù)包的時(shí)刻�,各個(gè)數(shù)據(jù) 包所占用的字節(jié)等參數(shù)����。
[0133] 步驟503,接入轉(zhuǎn)發(fā)設(shè)備將流摘要信息以及流模板發(fā)送至安全中心設(shè)備。
[0134] 步驟504,安全中心設(shè)備接收接入點(diǎn)發(fā)送的流摘要信息以及流模板���。
[0135] 步驟505,安全中心設(shè)備提取各個(gè)流摘要信息中的關(guān)鍵信息��,將提取出的關(guān)鍵信息 存儲(chǔ)為一條流摘要記錄����。
[0136] 步驟506,安全中心設(shè)備對(duì)預(yù)定個(gè)流摘要記錄進(jìn)行熵值量化�����,得到熵值向量����;將得 到的熵值向量輸入至分類模型中,得到分類后的訪問行為類型�。
[0137] 訪問行為類型可以為正常訪問行為或攻擊訪問行為����,所述攻擊訪問行為為DoS攻 擊行為����、DDoS攻擊行為或DRDoS攻擊行為。
[0138] 步驟507,安全中心設(shè)備將得到的訪問行為類型以及流摘要信息中的關(guān)鍵信息發(fā) 送至中心控制器����。
[0139] 步驟508,中心控制器根據(jù)訪問行為類型以及關(guān)鍵信息生成第一流表規(guī)則。
[0140] 第一流表規(guī)則用于指示禁止轉(zhuǎn)發(fā)包頭中具有該關(guān)鍵信息的數(shù)據(jù)包�。
[0141] 步驟509,中心控制器將第一流表規(guī)則發(fā)送給接入轉(zhuǎn)發(fā)設(shè)備,由接入轉(zhuǎn)發(fā)設(shè)備禁止 轉(zhuǎn)發(fā)符合第一流表規(guī)則限定的數(shù)據(jù)包��。
[0142] 綜上所述����,本發(fā)明實(shí)施例提供的異常訪問行為控制方法,通過獲取用戶訪問時(shí)的 數(shù)據(jù)包的特征信息�,確定用戶的訪問行為是否為異常訪問行為,若用戶的訪問行為是異常 訪問行為���,則根據(jù)與異常訪問行為對(duì)應(yīng)的調(diào)整方式調(diào)低用戶的信譽(yù)值��;由于可以實(shí)時(shí)的根 據(jù)用戶的異常訪問行為調(diào)整用戶的信譽(yù)值�,以便于確定出用戶的訪問等級(jí),進(jìn)而根據(jù)用戶 的訪問等級(jí)為用戶提供與訪問等級(jí)匹配的服務(wù)���,因此解決了現(xiàn)有技術(shù)中在實(shí)現(xiàn)服務(wù)管理 時(shí),僅限于為用戶提供針對(duì)性服務(wù)的問題��;達(dá)到了可以實(shí)時(shí)為用戶確定最新的訪問等級(jí)����,保 證了用戶訪問的安全性的效果。
[0143] 在一種可能的實(shí)現(xiàn)方式中��,策略設(shè)備122還可以根據(jù)接入轉(zhuǎn)發(fā)設(shè)備發(fā)送的映射請(qǐng) 求�,對(duì)網(wǎng)絡(luò)的攻擊行為進(jìn)行預(yù)判,并在預(yù)判該網(wǎng)絡(luò)將要產(chǎn)生攻擊行為時(shí)�����,產(chǎn)生第二流表規(guī) 貝1J����,以用于指示接入轉(zhuǎn)發(fā)設(shè)備禁止對(duì)攻擊行為所產(chǎn)生數(shù)據(jù)包的轉(zhuǎn)發(fā)。在圖5B中�����,該異常訪 問行為控制方法還可以包括:
[0144] 步驟510,接入轉(zhuǎn)發(fā)設(shè)備接收數(shù)據(jù)包。
[0145] 步驟511��,接入轉(zhuǎn)發(fā)設(shè)備在查找到接入轉(zhuǎn)發(fā)設(shè)備中未存儲(chǔ)有該數(shù)據(jù)包內(nèi)接入標(biāo)識(shí) 的映射關(guān)系時(shí)�����,向中心控制器發(fā)送映射請(qǐng)求����。
[0146] 映射請(qǐng)求用于請(qǐng)求獲取該數(shù)據(jù)包包頭內(nèi)接入標(biāo)識(shí)與一體化標(biāo)識(shí)網(wǎng)絡(luò)中路由的路 由標(biāo)識(shí)的映射關(guān)系以及該數(shù)據(jù)包的轉(zhuǎn)發(fā)路徑。
[0147] 步驟512,中心控制器連續(xù)接收至少兩個(gè)接入轉(zhuǎn)發(fā)設(shè)備在接收到數(shù)據(jù)包后發(fā)送的 映射請(qǐng)求���。
[0148] 映射請(qǐng)求用于請(qǐng)求獲取該數(shù)據(jù)包包頭內(nèi)接入標(biāo)識(shí)與一體化標(biāo)識(shí)網(wǎng)絡(luò)中路由的路 由標(biāo)識(shí)的映射關(guān)系以及該數(shù)據(jù)包的轉(zhuǎn)發(fā)路徑��。
[0149] 可選的��,當(dāng)策略設(shè)備122獨(dú)立于映射服務(wù)器123時(shí)�����,這里所講的映射關(guān)系以及轉(zhuǎn)發(fā) 路徑可以是向映射服務(wù)器123中請(qǐng)求后獲取到的��。當(dāng)策略設(shè)備122包含映射服務(wù)器123時(shí)����, 這里所講的映射關(guān)系以及轉(zhuǎn)發(fā)路徑可以是直接從映射服務(wù)器123中提取出的。
[0150] 步驟513,中心控制器根據(jù)各個(gè)映射請(qǐng)求預(yù)判網(wǎng)絡(luò)中是否將要產(chǎn)生攻擊行為�����。
[0151] 具體可以參見步驟402的實(shí)現(xiàn)�����,這里就不再贅述�。
[0152] 步驟514,若根據(jù)映射請(qǐng)求預(yù)判定網(wǎng)絡(luò)中將要產(chǎn)生攻擊行為�,中心控制器則生成用 于禁止包頭中具有該接入標(biāo)識(shí)的數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)的第二流表規(guī)則。
[0153] 步驟515,中心控制器向各個(gè)接入轉(zhuǎn)發(fā)設(shè)備發(fā)送第二流表規(guī)則�。
[0154] 綜上所述,本發(fā)明實(shí)施例中提供的異常訪問行為控制方法��,通過接入轉(zhuǎn)發(fā)設(shè)備發(fā) 送的映射請(qǐng)求���,對(duì)網(wǎng)絡(luò)的攻擊行為進(jìn)行預(yù)判�,并在預(yù)判該網(wǎng)絡(luò)將要產(chǎn)生攻擊行為時(shí)�,產(chǎn)生第 二流表規(guī)則,以用于指示接入轉(zhuǎn)發(fā)設(shè)備禁止對(duì)攻擊行為所產(chǎn)生數(shù)據(jù)包的轉(zhuǎn)發(fā)���,從而保障了 網(wǎng)絡(luò)的安全性��。
[0155] 需要補(bǔ)充說明的是�����,對(duì)于一些需要高解析度的攻擊行為�,安全中心設(shè)備可以命令 中心控制器收集指定時(shí)間窗的網(wǎng)絡(luò)數(shù)據(jù)包,返回給安全中心設(shè)備中高解析應(yīng)用進(jìn)行進(jìn)一步 深度包分析��,最后根據(jù)分析結(jié)果確定攻擊類型和防御手段���,并將分析出攻擊類型和防御手 段反饋給中心控制器��。中心控制器根據(jù)攻擊類型和防御手段生成對(duì)應(yīng)的流表規(guī)則�,并將流 表規(guī)則下發(fā)給接入轉(zhuǎn)發(fā)設(shè)備����,以對(duì)網(wǎng)絡(luò)中的攻擊行為進(jìn)行限制。
[0156] 請(qǐng)參見圖6所示���,其是本發(fā)明一個(gè)實(shí)施例中提供的異常訪問行為控制裝置的結(jié)構(gòu) 示意圖���,該異常訪問行為控制裝置可以應(yīng)用于一體化標(biāo)識(shí)網(wǎng)絡(luò)中的認(rèn)證服務(wù)器中��。該異常 訪問行為控制裝置包括:第一接收模塊610�����、確定模塊620��、第一生成模塊630和第一發(fā)送模 塊 640���。
[0157] 第一接收模塊610,用于接收至少一個(gè)接入轉(zhuǎn)發(fā)設(shè)備發(fā)送的流摘要信息,所述流摘 要信息是所述接入轉(zhuǎn)發(fā)設(shè)備在接收到數(shù)據(jù)包后對(duì)各個(gè)數(shù)據(jù)包進(jìn)行分流�����,將任一組流所對(duì)應(yīng) 的關(guān)鍵信息添加至流模板后得到的�����,每組流中的數(shù)據(jù)包具有相同的關(guān)鍵信息�;
[0158] 確定模塊620,用于利用所述第一接收模塊610接收到的至少一個(gè)流摘要信息���,確 定網(wǎng)絡(luò)中是否存在攻擊行為����;
[0159] 第一生成模塊630,用于在所述確定模塊620確定所述網(wǎng)絡(luò)中存在攻擊行為時(shí),根 據(jù)所述流摘要信息生成第一流表規(guī)則�,所述第一流表規(guī)則用于指示禁止轉(zhuǎn)發(fā)包頭中具有所 述流摘要信息中關(guān)鍵信息的數(shù)據(jù)包;
[0160] 第一發(fā)送模塊640,用于將所述第一生成模塊630生成的所述第一流表規(guī)則發(fā)送 給所述接入轉(zhuǎn)發(fā)設(shè)備�����,由所述接入轉(zhuǎn)發(fā)設(shè)備禁止轉(zhuǎn)發(fā)符合所述第一流表規(guī)則限定的數(shù)據(jù) 包�;
[0161] 其中,所述關(guān)鍵信息包括源接入標(biāo)識(shí)���、目的接入標(biāo)識(shí)�����、源端口號(hào)����、目的端口號(hào)和協(xié) 議類型����。
[0162] 在一種可能的實(shí)現(xiàn)方式中,請(qǐng)參見圖7所示�����,確定模塊620,包括:提取單元622、量 化單元623和分類單元624���。
[0163] 提取單元622,用于提取所述流摘要信息中的關(guān)鍵信息���,將提取出的所述關(guān)鍵信息 存儲(chǔ)為一條流摘要記錄;
[0164] 量化單元623,用于對(duì)所述提取單元622提取的預(yù)定個(gè)所述流摘要記錄進(jìn)行熵值 量化�����,得到熵值向量�;
[0165] 分類單元624,用于將所述量化單元623量化得到的熵值向量輸入至分類模型中, 得到分類后的訪問行為類型�����,所述訪問行為類型為正常訪問行為或攻擊訪問行為�,所述攻 擊訪問行為為拒絕服務(wù)DoS攻擊行為�、分布式拒絕服務(wù)DDoS攻擊行為或分布式反射拒絕服 務(wù)DRD0S攻擊行為。
[0166] 在一種可能的實(shí)現(xiàn)方式中�,第一生成模塊630還用于:
[0167] 根據(jù)所述流摘要信息中的關(guān)鍵信息,生成用于指示禁止轉(zhuǎn)發(fā)包頭中具有所述關(guān)鍵 信息的數(shù)據(jù)包的第一流表規(guī)則���。
[0168] 在一種可能的實(shí)現(xiàn)方式中����,請(qǐng)參見圖8所示,該異常訪問行為控制裝置還包括:第 二接收模塊650����、預(yù)判模塊660、第二生成模塊670和第二發(fā)送模塊680����。
[0169] 第二接收模塊650,用于連續(xù)接收至少兩個(gè)接入轉(zhuǎn)發(fā)設(shè)備在接收到數(shù)據(jù)包后發(fā)送 的映射請(qǐng)求,所述映射請(qǐng)求用于請(qǐng)求獲取所述數(shù)據(jù)包包頭內(nèi)接入標(biāo)識(shí)與一體化標(biāo)識(shí)網(wǎng)絡(luò)中 路由的路由標(biāo)識(shí)的映射關(guān)系以及所述數(shù)據(jù)包的轉(zhuǎn)發(fā)路徑�����;
[0170] 預(yù)判模塊660,用于根據(jù)所述第二接收模塊650接收到的各個(gè)映射請(qǐng)求預(yù)判網(wǎng)絡(luò) 中是否將要產(chǎn)生攻擊行為��;
[0171] 第二生成模塊670,用于在所述預(yù)判模塊660根據(jù)所述映射請(qǐng)求預(yù)判定所述網(wǎng)絡(luò) 中將要產(chǎn)生攻擊行為時(shí)���,生成用于禁止包頭中具有所述接入標(biāo)識(shí)的數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)的第二 流表規(guī)則��;
[0172] 第二發(fā)送模塊680,用于向各個(gè)接入轉(zhuǎn)發(fā)設(shè)備發(fā)送所述第二生成模塊670生成的 所述第二流表規(guī)則�����。
[0173] 在一種可能的實(shí)現(xiàn)方式中���,仍舊參見圖8所示���,預(yù)判模塊660,包括:第一判定單元 661,或者��,第二判定單元662����。
[0174] 第一判定單元661,用