CN101841442B - 一种在名址分离网络中对网络异常进行检测的方法 - Google Patents

一种在名址分离网络中对网络异常进行检测的方法 Download PDF

Info

Publication number
CN101841442B
CN101841442B CN 201019087016 CN201019087016A CN101841442B CN 101841442 B CN101841442 B CN 101841442B CN 201019087016 CN201019087016 CN 201019087016 CN 201019087016 A CN201019087016 A CN 201019087016A CN 101841442 B CN101841442 B CN 101841442B
Authority
CN
China
Prior art keywords
query
network
itr
unusual
rloc
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN 201019087016
Other languages
English (en)
Other versions
CN101841442A (zh
Inventor
任婧
王晟
许都
徐世中
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
University of Electronic Science and Technology of China
Original Assignee
University of Electronic Science and Technology of China
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by University of Electronic Science and Technology of China filed Critical University of Electronic Science and Technology of China
Priority to CN 201019087016 priority Critical patent/CN101841442B/zh
Publication of CN101841442A publication Critical patent/CN101841442A/zh
Priority to US12/917,999 priority patent/US8892725B2/en
Application granted granted Critical
Publication of CN101841442B publication Critical patent/CN101841442B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

该发明属于名址分离网络安全技术中对网络异常进行检测的方法,其检测流程为:初始化处理,及在ITR中:对输入数据报文的处理,发送查询请求及是否发送增量查询请求,发送数据报文,对查询回复的处理,本地映射缓存超时处理;在ETR中:对数据报文及对查询请求的处理,判断当前发出查询请求的ITR是否异常,对查询量正常及查询量异常的ITR的回复处理。该发明针对名址分离网络需要发送查询报文的特性,利用查询报文流量代替网络数据报文流量对网络异常进行检测。而具有可有效降低检测设备投资、通信开销费用及检测系统的维护成本,其可靠性高,方便跨域协作,对网络运行中出现的故障能进行及时处理,以及有利于在大范围内广泛推广应用等特点。

Description

一种在名址分离网络中对网络异常进行检测的方法
技术领域
本发明属于名址分离网络中的网络安全技术,特别是一种利用名址分离网络中的映射系统存在查询过程这一特性,对名址分离网络的异常情况进行检测、处理的方法。
背景技术
现有互联网路由体系是在假设所有网络节点处于一个互相信任的环境条件下建立的,网络只提供尽力而为的数据转发服务,因而网络本身的可控、可管能力差,加之其可任意接入性和给予主机填写源宿地址的权利,使得攻击者极易利用源地址伪装来逃避对其的追溯查;互联网中IP(Internet Protocol,网际协议)地址具有语义的双重性,即IP地址同时表示主机的身份信息和位置信息,因此无法有效地支持移动性,网络多归属,业务量工程等。而要实现上述功能,又会导致互联网中DFZ(Default Free Zone,无缺省路由域)的路由表项呈非线性增长。
名址分离网络是针对传统互联网的IP地址语义双重性、网络可控可管能力差等缺陷提出的一类下一代互联网方案;其基本原理是将主机的身份标识和在核心网中用于路由的标识分离。以附图2所示LISP(Locator/ID Separation Protocol,定位符/标识符分离协议)名址分离网络的结构示意图为例,说明相关概念:
EID(Endpoint Identify,主机的身份标识),即“名”,EID和其所在站点的其他主机具有相同的EID-prefix(主机身份标识符前缀);EID和核心网中的路由无关,且在核心网络中是不可见的;同时EID还承担在站点内路由的功能。
EID-prefix,同一站点内主机具有相同的EID前缀。
RLOC(Routing Locator,路由定位符),即“址”,亦即TR(Tunnel Router,隧道路由器)在核心网络中的地址。一个EID-prefix可以映射到一个或多个RLOC。RLOC具有在核心网中可路由的特性,是由其接入的网络提供商分配的拓扑可聚合(topological-aggregatable)的地址。
TR(TunnelRouter,隧道路由器),从其完成的功能上看,可以包括ITR(IngressTunnel Router,隧道入口路由器)和ETR(Egress Tunnel Router,隧道出口路由器);
ITR(Ingress Tunnel Router,隧道入口路由器),主机使用EID在站点内路由,报文在到达ITR后,ITR对原始报文进行封装,添加一个使用RLOC作为路由标识的头部;而为了进行封装,ITR需要发出对EID-prefix到RLOC映射关系的查询请求,并对其映射关系进行本地缓存。
ETR(Egress Tunnel Router,隧道出口路由),接收来自核心网络的报文,进行解封装,然后递交给主机;同时,从映射系统的功能看,ETR还要维护自己所在站点的EID-prefix和RLOC间映射关系数据库,并对查询请求进行回复;即与ITR形成一个逆操作。
映射系统(mapping system):完成EID-prefix到RLOC映射关系查询的系统。采用ETR管理映射关系数据库,由ETR对查询请求进行回复,在映射系统的其他节点仅记录映射关系的可达性信息,同时ITR也需将映射关系进行本地缓存。
数据平面(Data Plane),数据报文的传送网络,由多个网络运营商的网络构成。
以上为LISP网络的基本组成(结构),无论哪种名址分离网络,基本上都包括以上几部分。虽然名址分离网络将表示主机身份信息的“名”和表示位置信息的“址”进行了分离,可以有效地支持移动性、减少路由表项,使攻击者无法伪装自己的源地址而逃避追查等。但是对于采用分布式的攻击方式、通过控制多台主机,发送大量虚假数据或请求占用被攻击目标资源的分布式拒绝服务攻击(DDoS,Distributed Denial of services),名址分离网络对此仍无法避免,因而对于此类安全问题仍需进行实时检测、处理。
根据检测对象,传统的异常检测方法可以分为深度包检测和网络流量异常检测。所谓深度包检测,就是对网络中数据报文包进行限速,将网络中的报文包逐个按预先制定的规则检测其特定字段是否设置合理;此类检测方式存在在高速网络中进行限速会导致大量的丢包发生,且处理开销过大等缺陷。后者则是通过对网络的实际数据报文流量进行分析,根据其行为特征判断网络是否存在异常。此外,由于分布式拒绝服务攻击的特性,使得单个异常检测设备无法获知全网的整体情况,因此对此类攻击无法进行实时检测、处理;而构建分布式异常检测系统就需要增设大量的检测设备。以该类检测中普遍采用的统计检测系统为例(附图3为该检测系统在名址分离网络中的运行示意图),其检测方式是将若干数据采集器采集的流量信息传送给数据处理器,然后进行统一分析判断其流量的异常与否。此类方式由于需要增设大量网络基础架构以外的检测设备,这些检测设备之间又需信息交互,同时其检测效果又受制于设备的设置量及设置区域合理与否的影响;因而又存在检测设备、通信开销大,检测系统维护成本高,跨域协作难,可靠性也较差等缺陷;因而通常仅在子网中配置,很难用于对整个网络系统进行实时检测、处理。
发明内容
本发明的目的是针对背景技术存在的缺陷,研究设计一种在名址分离网络中对网络异常进行检测的方法,有效降低检测设备投资、通信开销费用及检测系统的维护成本,提高其可靠性,方便跨域协作,以及对网络运行中出现的故障能进行及时、有效地处理,有利于在大范围内广泛推广应用等目的。
本发明的解决方案是利用名址分离网络中的映射系统存在查询过程的特性,通过检测查询报文的流量代替传统利用网络数据报文流量对网络的异常进行检测,即ITR收集本地流量信息,并灵活调整其发送查询请求的时机;而ETR根据收到的映射关系查询请求报文的流量特征来判断实际数据报文的流量,从而实现对网络实际数据报文流量出现的异常情况进行有效检测,并且通过主动回复EID前缀对应的RLOC为无效地址,迫使具有异常行为的ITR在下一个缓存期内丢弃到本ETR的攻击报文,以抑制ITR的数据报文流量;从而实现本发明的。因而本发明的检测方法包括:
系统初始化处理:ETR的初始化处理为通过配置文件将EID前缀到RLOC的映射关系写入数据库,并设定查询流量异常的门限值;ITR的初始化处理则是将EID前缀到RLOC的映射关系本地缓存表初始化为空,设定本地缓存时限和本地流量判决门限值;
其检测流程为:
A.ITR本地流量监测和发送查询请求:
A1.对输入数据报文的处理:当ITR收到来自主机的数据报文,并记录当前要递交到EID前缀的原始数据报文流量,然后查询EID前缀和RLOC的映射关系本地缓存表,如果对应的记录存在,转步骤A3;如果数据报文中要递送的目的EID前缀记录不存在,转步骤A2
A2.发送查询请求:在EID前缀和RLOC映射关系本地缓存表中添加该EID前缀的记录,并将记录中的RLOC作为无效地址(等同于该EID前缀不可达),然后启动计时器后转A6,同时生成查询请求报文并发送到ETR中的步骤B2,并转步骤A5等待查询回复;
A3.是否发送增量查询请求:根据本地主机到该EID前缀的流量判断是否存在异常,如果异常,发送增量查询请求报文到步骤B2、并转步骤A4;如无异常,则直接转步骤A4
A4.数据报文的发送:对本地缓存表中存在的记录,判断记录中的RLOC地址是否有效,如果有效、则按RLOC记录对数据报文进行封装后(经核心网络的数据平面)发送到步骤B1;如果无效,则丢弃该数据报文;
A5.对查询回复的处理:当收到步骤B4或B5返回的查询回复后,根据查询回复中的EID前缀信息更新EID前缀和RLOC映射关系本地缓存表中对应的记录;
A6.本地映射缓存超时处理:记录超时,撤销步骤A2原添加的EID前缀在映射关系本地缓存表中的记录;
B.ETR对数据报文的处理及利用查询量进行检测和查询回复:
B1.对数据报文的处理:当收到步骤A4发送的数据报文,对该数据报文进行解封装,并转发到接收机;
B2.对查询请求的处理:收到一查询请求后,根据请求所指的EID前缀,判断当前全网所有针对该EID前缀的查询量是否异常,如果异常、转步骤B3,否则转步骤B4
B3.判断当前发出查询请求的ITR是否异常:根据各个ITR到该EID前缀的查询流量的统计值,分别判断各个ITR的行为是否异常,如果当前发出查询请求的ITR异常,转步骤B5,否则转步骤B4
B4.对查询量正常的ITR的回复:根据查询请求所指的EID前缀,从EID前缀和RLOC映射关系数据库提取与之对应的RLOC信息,并反馈到步骤A5
B5.对查询量异常的ITR的回复:当查询量异常时,则回复其查询的EID前缀对应的RLOC为无效地址,并将其反馈到步骤A5
所述设定查询流量异常的门限值,其门限值根据网络模拟运行状况设定,即网络负荷处于正常运行的上限时,在设定的时间段内、当50-90%以上的时间段网络中所有ITR到同一ETR的总查询量都不大于其中的最大值N时,则设定查询流量异常的门限值为≥N+1;或者根据拟建网络中所设置的ETR对查询报文处理能力上限的60-90%作为门限。在步骤A3中所述根据本地主机到该EID前缀的流量判断是否存在异常,其异常的标准为从当前缓存期开始到统计时为止,以网络正常运行时本地主机到该EID前缀的数据报文数为基数,当流量等于其整数倍时,则为流量异常而发送增量查询请求。所述计时器超时,其时限为3-30分钟。而在步骤B3中,所述分别判断各个ITR的行为是否异常,其异常的标准为在当前缓存期内收到该ITR的查询报文个数超过1个时即为异常。
本发明由于充分利用名址分离网络中,为了完成“名”、“址”的映射,必须配置ITR、ETR和映射系统,且需要发送查询报文的特性,利用查询报文的流量代替传统利用网络数据报文流量对网络异常进行检测,因此有效降低了检测设备的投资,且不会产生额外的通信开销;通过查询请求和查询回复的交互关系使得检测系统不但支持跨域协作,且可靠性较高、易于维护;而ETR根据收到的映射关系查询请求报文的流量特征来判断实际数据报文的流量,当查询量异常时通过主动回复EID前缀对应的RLOC为无效地址,迫使具有异常行为的ITR在下一个缓存期内丢弃所有到本ETR的数据报文,以抑制ITR的数据报文流量。因而,本发明具有可有效降低检测设备投资、通信开销费用及检测系统的维护成本,提高其可靠性,方便跨域协作,以及对网络运行中出现的故障能进行及时处理,有利于在大范围内广泛推广应用等特点。
附图说明
图1为本发明方法流程示意图(方框图);
图2为实施例2网络结构示意图;
图3为名址分离网络中传统分布式异常检测方法示意图。
具体实施方式
实施例1:
本实施例以由50个站点的名址分离网络为例。而本实施例利用麻省理工学院林肯实验室(MIT Lincoln Laboratory)公开的入侵检测数据集(1998DARPA Intrusion DetectionEvaluation.http://www.ll.mit.edu/mission/communications/ist/corpora/ideval/data/1998data.html)中的传统网络结构来构建本实施方式的名址分离网络,并生成主机间的数据流量。即将原IP地址作为EID,根据EID前缀个数,整个网络设置50个站点,每个站点都分别配备含ITR和ETR的TR(隧道路由器)。
首先对隧道出、入口路由器分别进行初始化处理:各个站点的ETR读取配置文件,将其负责的EID前缀到RLOC的映射关系写入数据库,以0-5分钟为一时间段,根据模拟运行网络负荷处于正常运行的上限时、其中80%的时间段内所有ITR到同一ETR的总查询量都≤5个,因此将查询请求报文流量异常的门限值设为C=6个/5分钟;
各个站点的ITR首先将EID前缀到RLOC的映射关系本地缓存表初始化为空,设定本地缓存时限为T=5分钟;本地流量判决门限值,根据模拟运行,从当前缓存期开始到统计时为止,网络负荷处于正常运行的上限时、本地主机到该EID前缀的数据报文数CL=65个/5分钟,本实施例即以此为基数、当流量等于其整数倍时,则为流量异常而发送增量查询请求;
整个网络从t=0时刻开始运行,在运行中只有站点17在t=8-25分钟时受到来自站点1、12、14、32的流量攻击;站点1、12、14、32分别在t=8、9、9、11分钟时本地流量第一次等于本地流量判决门限的整数倍,第一次发送增量查询请求报文,且攻击均持续到t=25分钟;以下为其余站点向站点17发送数据报文和查询请求的流程:
t=0-7分钟(网络流量处于正常状态的情况,此阶段网络均按照正常状态的流程运行):
1、此时各个站点的ITR第一次收到本地发往站点17的数据报文时:经步骤A1查询EID前缀和RLOC的映射关系本地缓存表,对应关系不存在,经步骤A2在EID前缀和RLOC映射关系本地缓存表中添加该EID前缀的记录,并将记录中的RLOC作为无效地址(等同于该EID前缀不可达),然后启动计时器,同时发送查询请求报文;
2、站点17的ETR收到查询请求报文后:经步骤B2得到统计期内收到的查询请求小于等于C=6,全网状态正常,然后经B4,根据查询请求所指的EID前缀,从EID前缀和RLOC映射关系数据库提取与之对应的RLOC信息,并反馈给相应的ITR,确认ITR可以继续向该ETR发送数据;
3、各站点的ITR在收到ETR的反馈信息后,经步骤A5根据查询回复中的EID前缀信息更新EID前缀和RLOC映射关系本地缓存表中对应的记录;
4、各站点的ITR在收到查询回复后,对于随后到达的数据报文:经步骤A1查询该EID前缀的记录存在,经步骤A3判断本缓存期内FL由于不是CL的整数倍,因此不发送增量查询请求,而经步骤A4直接发送数据报文;
5、站点17的ETR在收到数据报文后,经步骤B1对该数据报文进行解封装,并转发到接收机;
6、各个站点在本地缓存超时后,经步骤A6、撤销步骤A2在映射关系本地缓存表中原添加的EID前缀的记录;
t=8-25分钟:网络流量处于异常状态,此阶段行为正常站点的ITR运行,以及站点17的ETR的运行同t=0-7分钟、不再赘述,以下仅就处于异常状态的站点1、12、14、32的ITR及站点17的流程给予说明:
1、站点1、12、14、32的ITR第一次数据报文流量达到本地判决门限值时收到数据报文(分别为t=8、9、9、11分钟):经步骤A1查询该EID前缀的记录存在,经步骤A3判断本缓存期内FL为CL的整数倍,发送增量查询请求,然后再经A4直接发送数据报文(在此之前网络流量正常时曾发送过一次查询请求,当时站点17的ETR回复为正确的RLOC地址,因而此时还会发送数据报文);
2、站点17的ETR在收到来自站点1、12、14、32的查询请求报文时,经B2判断全网存在流量异常(此时,在t=9时,收到站点14的查询请求报文,在统计区间t=5-9分钟的内的查询请求报文一共是9个,站点1有3个,站点12、14分别有2个,站点8、11分别有1个;在t=23分钟时,在统计区间t=19-23分钟的内的查询请求报文一共是12个,其中站点32有4个,站点1、12、14分别有2个,站点41、25分别有1个),又经步骤B3判断在当前缓存期内ITR发送的查询请求报文个数大于1,因此经B5回复其查询的EID前缀对应的RLOC为无效地址;
3、站点17的ETR在收到来自除站点1、12、14、32外的其余站点的查询请求报文时:经步骤B2判断全网存在流量异常,然后经步骤B3判断当前缓存期内除站点1、12、14、32外的其余ITR发送的查询请求报文个数仅为1个,因此经步骤B4回复正确的RLOC地址给相应(其余站)的ITR(即在下一缓存期内不对这些ITR的流量进行限制);
4、站点1、12、14、32的ITR在收到查询回复后,对于随后到达的数据报文:经A1查询该EID前缀的记录存在,然后转步骤A3并经步骤A4后直接将数据报文丢弃(因ETR回复这四个站点为无效的RLOC地址)。
实施例2:
本实施例仍以麻省理工学院林肯实验室(MIT Lincoln Laboratory)公开的入侵检测数据集(1998 DARPA Intrusion Detection Evaluation.http://www.ll.mit.edu/mission/communications/ist/corpora/ideval/data/1998data.html)来构建一个6个站点的名址分离网络,附图2为本实施例网络结构和各站点的EID前缀、RLOC的配置示意图,每个站点都分别配备含ITR和ETR的TR(隧道路由器)。
首先对隧道出、入口路由器分别进行初始化处理:
各个站点的ETR读取配置文件,将其负责的EID前缀到RLOC的映射关系写入数据库,以0-5分钟为一时间段,根据模拟运行、其中80%的时间段内所有ITR到同一ETR的总查询量都≤3个,因此将查询请求报文流量异常的门限值设为C=4个/5分钟;
各个站点的ITR首先将EID前缀到RLOC的映射关系本地缓存表初始化为空,设定本地缓存时限为T=5分钟;本地流量判决门限值根据模拟运行,从当前缓存期开始到统计时为止,网络正常运行时本地主机到该EID前缀的数据报文数CL=36个/5分钟为基数,当流量等于其整数倍时,则为流量异常而发送增量查询请求;
整个网络从t=0时刻开始运行,在运行中只有站点4在t=12-30分钟受到来自站点1和5的流量攻击;站点1、2、3、5、6第一次向站点4发送数据的时间分别为t=1、2、5、11、15分钟,而站点1、5分别在t=12、13分钟时本地流量第一次等于本地流量判决门限的整数倍,第一次发送增量查询请求报文,且攻击均持续到t=30分钟。以下为站点1、2、3、5、6向站点4发送数据报文和查询请求的流程:
A.ITR本地流量监测和发送查询请求;
A1.对输入数据报文的处理:ITR收到来自主机的数据报文,首先查询EID前缀和RLOC的映射关系本地缓存表,在第一次收到某个EID前缀的数据报文时,数据报文中要递送的目的EID前缀记录不存在,转步骤A2,否则,转步骤A3
A2.发送查询请求:经A1查询在EID前缀和RLOC映射关系本地缓存表无该EID前缀的记录,因此添加该EID前缀的记录,并将记录中的RLOC作为无效地址(等同于该EID前缀不可达),然后启动计时器后转A6,同时生成查询请求报文并发送到ETR中的步骤B2,并转步骤A5等待查询回复;
A3.是否发送增量查询请求:累积本缓存期间到该EID前缀的数据报文个数FL,站点1、5分别在t=12、13分钟时第一次出现FL是CL的整数倍(其他本地流量异常点的处理方法相同),则需发送增量查询请求报文到步骤B2、并转步骤A4;否则直接转步骤A4
A4.数据报文的发送:对本地缓存表中存在的记录,在t=12-30分钟站点1、5因为站点ETR经B5回复的RLOC地址无效,因此丢弃该数据报文(实现了对数据报文的流量控制);而该时段的站点2、3、6以及其他时段的所有ITR,因为ETR经B4回复的为有效的RLOC,因此按RLOC记录对数据报文进行封装后(经核心网络的数据平面)发送到步骤B1
A5.对查询回复的处理:当收到步骤B4或B5返回的查询回复后,根据查询回复中的EID前缀信息更新EID前缀和RLOC映射关系本地缓存表中对应的记录;
A6.本地映射缓存超时处理:记录超时,撤销步骤A2原添加的EID前缀在映射关系本地缓存表中的记录;
B.ETR对数据报文的处理及利用查询量进行异常检测和查询回复:
B1.对数据报文的处理:当收到步骤A4发送的数据报文,对该数据报文进行解封装,并转发到接收机(而不必像传统方法一样对数据流量进行监测);
B2.对查询请求的处理:在t=12-30分钟,收到一查询请求后,根据请求所指的EID前缀,将当前查询请求的量与之前T=5分钟内全网到该EID前缀的查询量进行累积,超过预先设定的判决门限C=4,即全网异常、转步骤B3,而其他时间全网流量均正常故转步骤B4
B3.判断当前发出查询请求的ITR是否异常:在t=12-30分钟时,对于站点1、5,在统计期间内发送的查询请求报文超过1个,为异常、转步骤B5,而其他ITR为正常、则转步骤B4
B4.对查询量正常的ITR的回复:(t=12-30分钟,经过B2判断全网状态为异常,但经B3判断该ITR行为正常,进入本步骤;在其他时间点经过B2判断全网状态为正常,亦进入本步骤)根据查询请求所指的EID前缀,从EID前缀和RLOC映射关系数据库提取与之对应的RLOC信息,并反馈到步骤A5(在下一缓存期内,将允许该ITR继续向本ETR发送数据报文);
B5.对查询量异常的ITR的回复:在t=12-30分钟,经过步骤B2判断全网异常,且经过B3判断该ITR行为也异常时,回复其查询的EID前缀对应的RLOC为无效地址,并将其反馈到步骤A5,以对ITR下一缓存期内进行流量限制。

Claims (5)

1.一种在名址分离网络中对网络异常进行检测的方法,包括:
系统初始化处理:ETR的初始化处理为通过配置文件将EID前缀到RLOC的映射关系写入数据库,并设定查询流量异常的门限值;ITR的初始化处理则是将EID前缀到RLOC的映射关系本地缓存表初始化为空,设定本地缓存时限和本地流量判决门限值;
其检测流程为:
A.ITR本地流量监测和发送查询请求:
A1.对输入数据报文的处理:当ITR收到来自主机的数据报文,并记录当前要递交到EID前缀的原始数据报文流量,然后查询EID前缀和RLOC的映射关系本地缓存表,如果对应的记录存在,转步骤A3;如果数据报文中要递送的目的EID前缀记录不存在,转步骤A2
A2.发送查询请求:在EID前缀和RLOC映射关系本地缓存表中添加该EID前缀的记录,并将记录中的RLOC作为无效地址,然后启动计时器后转A6,同时生成查询请求报文并发送到ETR中的步骤B2,并转步骤A5等待查询回复;
A3.是否发送增量查询请求:根据本地主机到该EID前缀的流量判断是否存在异常,如果异常,发送增量查询请求报文到步骤B2、同时转步骤A4;如无异常,则直接转步骤A4
A4.数据报文的发送:对本地缓存表中存在的记录,判断记录中的RLOC地址是否有效,如果有效、则按RLOC记录对数据报文进行封装后发送到步骤B1;如果无效,则丢弃该数据报文;
A5.对查询回复的处理:当收到步骤B4或B5返回的查询回复后,根据查询回复中的EID前缀信息更新EID前缀和RLOC映射关系本地缓存表中对应的记录;
A6.本地映射缓存超时处理:记录超时,撤销步骤A2原添加的EID前缀在映射关系本地缓存表中的记录;
B.ETR对数据报文的处理及利用查询量进行检测和查询回复:
B1.对数据报文的处理:当收到步骤A4发送的数据报文,对该数据报文进行解封装,并转发到接收机;
B2.对查询请求的处理:收到一查询请求后,根据请求所指的EID前缀,判断当前全网所有针对该EID前缀的查询量是否异常,如果异常、转步骤B3,否则转步骤B4
B3.判断当前发出查询请求的ITR是否异常:根据各个ITR到该EID前缀的查询流量的统计值,分别判断各个ITR的行为是否异常,如果当前发出查询请求的ITR异常,转步骤B5,否则转步骤B4; 
B4.对查询量正常的ITR的回复:根据查询请求所指的EID前缀,从EID前缀和RLOC映射关系数据库提取与之对应的RLOC信息,并反馈到步骤A5
B5.对查询量异常的ITR的回复:当查询量异常时,则回复其查询的EID前缀对应的RLOC为无效地址,并将其反馈到步骤A5
2.按权利要求1所述在名址分离网络中对网络异常进行检测的方法;其特征在于所述设定查询流量异常的门限值,其门限值根据网络模拟运行状况设定,即网络负荷处于正常运行的上限时,在设定的时间段内、当50-90%以上的时间段网络中所有ITR到同一ETR的总查询量都不大于其中的最大值N时,则设定查询流量异常的门限值为≥N+1;或者根据拟建网络中所设置的ETR对查询报文处理能力上限的60-90%作为门限。
3.按权利要求1所述在名址分离网络中对网络异常进行检测的方法;其特征在于在步骤A3中所述根据本地主机到该EID前缀的流量判断是否存在异常,其异常的标准为从当前缓存期开始到统计时为止,以网络正常运行时本地主机到该EID前缀的数据报文数为基数,当流量等于其整数倍时,则为流量异常而发送增量查询请求。
4.按权利要求1所述在名址分离网络中对网络异常进行检测的方法;其特征在于所述计时器超时,其时限为3-30分钟。
5.按权利要求1所述在名址分离网络中对网络异常进行检测的方法;其特征在于在步骤B3中,所述分别判断各个ITR的行为是否异常,其异常的标准为在当前缓存期内收到该ITR的查询报文个数超过1个时即为异常。 
CN 201019087016 2010-02-08 2010-02-08 一种在名址分离网络中对网络异常进行检测的方法 Expired - Fee Related CN101841442B (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN 201019087016 CN101841442B (zh) 2010-02-08 2010-02-08 一种在名址分离网络中对网络异常进行检测的方法
US12/917,999 US8892725B2 (en) 2010-02-08 2010-11-02 Method for network anomaly detection in a network architecture based on locator/identifier split

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN 201019087016 CN101841442B (zh) 2010-02-08 2010-02-08 一种在名址分离网络中对网络异常进行检测的方法

Publications (2)

Publication Number Publication Date
CN101841442A CN101841442A (zh) 2010-09-22
CN101841442B true CN101841442B (zh) 2011-11-16

Family

ID=42744581

Family Applications (1)

Application Number Title Priority Date Filing Date
CN 201019087016 Expired - Fee Related CN101841442B (zh) 2010-02-08 2010-02-08 一种在名址分离网络中对网络异常进行检测的方法

Country Status (2)

Country Link
US (1) US8892725B2 (zh)
CN (1) CN101841442B (zh)

Families Citing this family (46)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8495719B2 (en) * 2008-10-02 2013-07-23 International Business Machines Corporation Cross-domain access prevention
CN102196402B (zh) * 2010-03-08 2016-06-15 中兴通讯股份有限公司 无线通信系统中终端切换的方法及系统
CN102546372B (zh) * 2010-12-24 2016-01-20 中兴通讯股份有限公司 一种提高映射路由表使用效率的方法及系统
CN103095786B (zh) * 2011-11-08 2016-04-06 阿里巴巴集团控股有限公司 在线业务请求识别方法、系统、服务器及在线服务器集群
US8925079B2 (en) * 2011-11-14 2014-12-30 Telcordia Technologies, Inc. Method, apparatus and program for detecting spoofed network traffic
US9049233B2 (en) 2012-10-05 2015-06-02 Cisco Technology, Inc. MPLS segment-routing
US10404582B1 (en) 2012-12-27 2019-09-03 Sitting Man, Llc Routing methods, systems, and computer program products using an outside-scope indentifier
US10397101B1 (en) 2012-12-27 2019-08-27 Sitting Man, Llc Routing methods, systems, and computer program products for mapping identifiers
US10476787B1 (en) 2012-12-27 2019-11-12 Sitting Man, Llc Routing methods, systems, and computer program products
US10447575B1 (en) 2012-12-27 2019-10-15 Sitting Man, Llc Routing methods, systems, and computer program products
US10411997B1 (en) 2012-12-27 2019-09-10 Sitting Man, Llc Routing methods, systems, and computer program products for using a region scoped node identifier
US10419335B1 (en) 2012-12-27 2019-09-17 Sitting Man, Llc Region scope-specific outside-scope indentifier-equipped routing methods, systems, and computer program products
US10374938B1 (en) 2012-12-27 2019-08-06 Sitting Man, Llc Routing methods, systems, and computer program products
US10904144B2 (en) 2012-12-27 2021-01-26 Sitting Man, Llc Methods, systems, and computer program products for associating a name with a network path
US10404583B1 (en) 2012-12-27 2019-09-03 Sitting Man, Llc Routing methods, systems, and computer program products using multiple outside-scope identifiers
US10212076B1 (en) 2012-12-27 2019-02-19 Sitting Man, Llc Routing methods, systems, and computer program products for mapping a node-scope specific identifier
US10587505B1 (en) 2012-12-27 2020-03-10 Sitting Man, Llc Routing methods, systems, and computer program products
US10419334B1 (en) 2012-12-27 2019-09-17 Sitting Man, Llc Internet protocol routing methods, systems, and computer program products
US10411998B1 (en) 2012-12-27 2019-09-10 Sitting Man, Llc Node scope-specific outside-scope identifier-equipped routing methods, systems, and computer program products
US10397100B1 (en) 2012-12-27 2019-08-27 Sitting Man, Llc Routing methods, systems, and computer program products using a region scoped outside-scope identifier
US9537718B2 (en) 2013-03-15 2017-01-03 Cisco Technology, Inc. Segment routing over label distribution protocol
US9762488B2 (en) 2014-03-06 2017-09-12 Cisco Technology, Inc. Segment routing extension headers
CN103973574B (zh) * 2014-05-19 2017-12-15 新华三技术有限公司 位置与身份分离协议网络中的数据报文转发方法及装置
CN104796395A (zh) * 2014-06-11 2015-07-22 合肥星服信息科技有限责任公司 一种瞬间大规模网络连接的处理方法
AU2015279883B2 (en) 2014-06-24 2016-06-02 Google Llc Mesh network commissioning
US9807001B2 (en) 2014-07-17 2017-10-31 Cisco Technology, Inc. Segment routing using a remote forwarding adjacency identifier
US9800592B2 (en) 2014-08-04 2017-10-24 Microsoft Technology Licensing, Llc Data center architecture that supports attack detection and mitigation
US9300581B1 (en) * 2015-02-03 2016-03-29 Google Inc. Mesh network addressing
US10341221B2 (en) 2015-02-26 2019-07-02 Cisco Technology, Inc. Traffic engineering for bit indexed explicit replication
US9769201B2 (en) 2015-03-06 2017-09-19 Radware, Ltd. System and method thereof for multi-tiered mitigation of cyber-attacks
CN105025028B (zh) * 2015-07-28 2018-07-24 中国工程物理研究院计算机应用研究所 基于流量分析的ip黑洞发现方法
US9906543B2 (en) 2015-10-27 2018-02-27 International Business Machines Corporation Automated abnormality detection in service networks
CN105262535B (zh) * 2015-10-29 2017-07-18 电子科技大学 一种全光网络中基于随机下一节点的监测迹设计方法
CN105429700B (zh) * 2015-11-26 2017-09-12 电子科技大学 一种全光网络中结合波长分配的监测迹生成联合优化方法
CN106130907B (zh) * 2016-05-11 2019-08-06 新华三技术有限公司 一种lisp组网双归属的实现方法及装置
US10263881B2 (en) 2016-05-26 2019-04-16 Cisco Technology, Inc. Enforcing strict shortest path forwarding using strict segment identifiers
CN106059928B (zh) * 2016-05-31 2021-03-02 新华三技术有限公司 主机迁移方法及装置
CN107547401B (zh) * 2017-06-27 2021-06-22 新华三技术有限公司 一种数据转发方法及装置
CN107786443B (zh) * 2017-09-19 2020-04-03 新华三技术有限公司 Lisp业务抑制请求状态的解除方法及装置
US11129061B1 (en) 2018-11-07 2021-09-21 Telefonaktiebolaget Lm Ericsson (Publ) Local identifier locator network protocol (ILNP) breakout
US11140074B2 (en) 2019-09-24 2021-10-05 Cisco Technology, Inc. Communicating packets across multi-domain networks using compact forwarding instructions
US11418395B2 (en) * 2020-01-08 2022-08-16 Servicenow, Inc. Systems and methods for an enhanced framework for a distributed computing system
CN112765204B (zh) * 2021-02-04 2023-04-07 西安电子科技大学 基于神经网络预测rloc的方法、装置、设备及计算机存储介质
CN113904804B (zh) * 2021-09-06 2023-07-21 河南信大网御科技有限公司 基于行为策略的内网安全防护方法、系统及介质
US20230308389A1 (en) * 2022-03-24 2023-09-28 Cisco Technology, Inc. Inter-compatible forwarding modes in network fabric overlays
CN115168690B (zh) * 2022-09-06 2022-12-27 深圳市明源云科技有限公司 基于浏览器插件的资料查询方法、装置、电子设备及介质

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101360014A (zh) * 2008-09-22 2009-02-04 电子科技大学 一种利用多点错位联合检测实现网络异常定位的方法
CN101394343A (zh) * 2008-10-27 2009-03-25 电子科技大学 并行计算机系统通信中网络存在故障域时的路由方法

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040260947A1 (en) * 2002-10-21 2004-12-23 Brady Gerard Anthony Methods and systems for analyzing security events
US7761607B2 (en) * 2004-04-23 2010-07-20 Microsoft Corporation User based communication mode selection on a device capable of carrying out network communications
WO2008121945A2 (en) * 2007-03-30 2008-10-09 Netqos, Inc. Statistical method and system for network anomaly detection
US8843588B2 (en) * 2009-07-10 2014-09-23 Nokia Siemens Networks Oy Methods, apparatuses, related computer program product and data structure for distributed storage of service provision-related information

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101360014A (zh) * 2008-09-22 2009-02-04 电子科技大学 一种利用多点错位联合检测实现网络异常定位的方法
CN101394343A (zh) * 2008-10-27 2009-03-25 电子科技大学 并行计算机系统通信中网络存在故障域时的路由方法

Also Published As

Publication number Publication date
US8892725B2 (en) 2014-11-18
US20110196961A1 (en) 2011-08-11
CN101841442A (zh) 2010-09-22

Similar Documents

Publication Publication Date Title
CN101841442B (zh) 一种在名址分离网络中对网络异常进行检测的方法
US7756140B2 (en) Relay device, path control method, and path control program
Shirali-Shahreza et al. Flexam: Flexible sampling extension for monitoring and security applications in openflow
EP2612488B1 (en) Detecting botnets
CN101155072B (zh) 用于检测第2层循环的方法、装置和系统
CN102045214B (zh) 僵尸网络检测方法、装置和系统
CN101267313B (zh) 泛洪攻击检测方法及检测装置
CN101227407B (zh) 基于二层隧道协议的报文发送方法及装置
CN1875585B (zh) 利用mac限制来控制动态未知l2泛滥的方法和系统
CN102447694B (zh) 一种IPv6网络虚假源地址数据包追溯方法和装置
US10735501B2 (en) System and method for limiting access request
CN102299969A (zh) 一种Web访问方法、七层交换设备和服务网络
CN104506511A (zh) 一种sdn网络动态目标防御系统及方法
CN103685584B (zh) 一种基于隧道技术的反域名劫持方法和系统
US20070234425A1 (en) Multistep integrated security management system and method using intrusion detection log collection engine and traffic statistic generation engine
CN102165741A (zh) 在ipv6网络中用于封锁和搜索主机的方法
EP3567813A1 (en) Method, apparatus and system for determining content acquisition path and processing request
CN101505219A (zh) 一种防御拒绝服务攻击的方法和防护装置
CN100561954C (zh) 控制连通性检测的方法、系统和设备
CN106411819A (zh) 一种识别代理互联网协议地址的方法及装置
CN101599857A (zh) 检测共享接入主机数目的方法、装置及网络检测系统
CN102970391B (zh) 域名查询处理方法、服务器及系统
CN101989975A (zh) 一种分布式非法计算机接入的阻断方法
CN102752266B (zh) 访问控制方法及其设备
CN102804703B (zh) 通信系统、交换式集线器、以及路由器

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20111116

Termination date: 20160208