CN111092840B - 处理策略的生成方法、系统及存储介质 - Google Patents
处理策略的生成方法、系统及存储介质 Download PDFInfo
- Publication number
- CN111092840B CN111092840B CN201811236591.7A CN201811236591A CN111092840B CN 111092840 B CN111092840 B CN 111092840B CN 201811236591 A CN201811236591 A CN 201811236591A CN 111092840 B CN111092840 B CN 111092840B
- Authority
- CN
- China
- Prior art keywords
- network
- network node
- statistical information
- attack
- processing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种处理策略的生成方法、系统及存储介质,其中,上述处理策略的生成方法包括:接收当网络中的指定网络节点满足预设条件时,所述网络中的网络节点发送的统计信息,其中,所述指定网络节点满足所述预设条件用于指示所述网络中存在攻击报文;根据所述统计信息和所述网络的网络拓扑信息生成对所述网络中的攻击报文的处理策略,其中,所述处理策略用于对所述网络中攻击报文的源网络节点进行限速处理。采用上述步骤,解决了相关技术中存在的当网络受到报文攻击时,只能单一地对攻击报文进行丢弃处理,缺乏灵活性的问题,达到了灵活处理攻击报文的效果。
Description
技术领域
本发明涉及通信领域,具体而言,涉及一种处理策略的生成方法、系统及存储介质。
背景技术
软件定义网络((Software Defined Network,简称为SDN)解决了传统网络中无法避免的一些问题,相比于传统网络具有极大的应用优势。但,传统网络面临的各种安全问题在SDN中依然存在,由于SDN在其网络安全领域的发展不及传统网络,当网络中的某节点设备受到报文攻击时,相关技术中,为了解决被攻击的问题,只能限制该节点设备的对攻击报文的接收速率,这种方式只能被动地限速,不能从根源上解决被攻击的问题。
针对相关技术中存在的当网络受到报文攻击时,限制该节点设备的对攻击报文的接收速率,这种方式只能被动地限速,不能从根源上解决被攻击的问题,目前尚未提供有效的解决方案。
发明内容
本发明实施例提供了一种处理策略的生成方法、系统及存储介质,以至少解决相关技术中存在的当网络受到报文攻击时,只能单一地对攻击报文进行丢弃处理,缺乏灵活性的问题。
根据本发明的一个实施例,提供了一种处理策略的生成方法,包括:
接收当网络中的指定网络节点满足预设条件时,所述网络中的网络节点发送的统计信息,其中,所述指定网络节点满足所述预设条件用于指示所述网络中存在攻击报文;根据所述统计信息和所述网络的网络拓扑信息生成对所述网络中的攻击报文的处理策略,其中,所述处理策略用于对所述网络中攻击报文的源网络节点进行限速处理。
可选地,所述预设条件包括:所述统计信息中包括的网络节点中央处理器CPU的利用率是否超过了预设阈值,其中,在所述网络节点CPU利用率超过预设阈值时,判定所述指定网络节点满足预设条件。
可选地,通过以下方式确定接收所述攻击报文的源网络节点:根据所述统计信息确定攻击报文的报文特征;根据所述报文特征与所述网络拓扑信息确定所述攻击报文的源网络节点。
可选地,根据所述统计信息和所述网络拓扑信息生成对所述指定网络节点的攻击报文的处理策略,包括:根据所述网络拓扑信息和所述统计信息确定所述攻击报文的攻击类型;根据攻击类型生成与所述攻击类型对应的攻击报文的处理策略。
可选地,对所述网络中攻击报文的源网络节点进行限速处理时,所述处理策略还至少包括以下之一:
当所述统计信息指示所述统计信息中的网络节点CPU利用率超过限速阈值,对所述网络节点CPU利用率超过所述限速阈值的网络节点的攻击报文进行限制速度处理;
当所述统计信息指示所述统计信息中的网络节点CPU利用率低于恢复阈值,且所述网络节点CPU利用率低于所述恢复阈值的网络节点的攻击报文正在被限速,则对所述网络节点CPU利用率低于所述恢复阈值的网络节点的的攻击报文进行恢复速度处理。
可选地,当对所述网络节点CPU利用率超过所述限速阈值的网络节点的攻击报文进行限制速度处理时,同时对所述源网络节点的攻击报文也进行限制速度处理;当对所述被限速的攻击报文进行恢复速度处理时,同时对所述源网络节点的攻击报文也进行恢复速度处理。
可选地,对所述网络中攻击报文的源网络节点进行限速处理,包括:根据所述统计信息中的网络节点的CPU使用情况与所述攻击报文的收发速率设定当前的限速比率,按照所述限速比率对所述攻击报文进行限速处理。
根据本发明的另一个实施例,提供了一种处理策略的生成装置,包括:
接收模块,用于接收当网络中的指定网络节点满足预设条件时,所述网络中的网络节点发送的统计信息,其中,所述指定网络节点满足所述预设条件用于指示所述网络中存在攻击报文;
生成模块,用于根据所述统计信息和所述网络的网络拓扑信息生成对所述网络中的攻击报文的处理策略,其中,所述处理策略用于对所述网络中攻击报文的源网络节点进行限速处理。
根据本发明的另一个实施例,提供了一种信息发送方法,包括:获取网络中每个网络节点的统计信息;在所述统计信息指示在所述每个网络节点中的指定网络节点的统计信息满足预设条件时,将所述统计信息发送至控制器,其中,所述指定网络节点满足所述预设条件用于指示所述网络中存在攻击报文,所述统计信息用于指示所述控制器根据所述统计信息和所述网络的网络拓扑信息生成对所述网络中的攻击报文的处理策略,所述处理策略用于对所述网络中攻击报文的源网络节点进行限速处理。
根据本发明的另一个实施例,提供了一种信息发送装置,包括:
获取模块,用于获取网络中每个网络节点的统计信息;
发送模块,用于在所述统计信息指示在所述每个网络节点中的指定网络节点的统计信息满足预设条件时,将所述统计信息发送至控制器,其中,所述指定网络节点满足所述预设条件用于指示所述网络中存在攻击报文,所述统计信息用于指示所述控制器根据所述统计信息和所述网络的网络拓扑信息生成对所述网络中的攻击报文的处理策略,所述处理策略用于对所述网络中攻击报文的源网络节点进行限速处理。
根据本发明的另一个实施例,提供了一种处理策略的生成系统,包括:
当前网络中的网络节点,控制器,其中,每个所述网络节点,用于分别获取每个网络节点的统计信息,并在所述网络节点中的指定网络节点的统计信息满足预设条件时,将所述统计信息发送至所述控制器,所述网络节点中的指定网络节点的统计信息满足所述预设条件用于指示所述网络中存在攻击报文;根据所述统计信息生成对所述网络中的攻击报文的处理策略,所述处理策略用于对所述网络中攻击报文的源网络节点进行限速处理。
可选地,所述预设条件包括:所述统计信息中包括的网络节点中央处理器CPU的利用率是否超过了预设阈值,其中,在所述网络节点CPU利用率超过预设阈值时,判定所述指定网络节点满足预设条件。
根据本发明的又一个实施例,还提供了一种存储介质,所述存储介质中存储有计算机程序,其中,所述计算机程序被设置为运行时执行上述任一项方法实施例中的步骤。
通过本发明的实施例,接收当网络中的指定网络节点满足预设条件时,所述网络中的网络节点发送的统计信息,其中,所述指定网络节点满足所述预设条件用于指示所述网络中存在攻击报文;根据统计信息和所述网络的网络拓扑信息生成对攻击报文的处理策略,对所述网络中攻击报文的源网络节点进行限速处理,从而可以解决相关技术中存在的当网络受到报文攻击时,只能单一地对攻击报文进行丢弃处理,缺乏灵活性的问题,达到了灵活处理攻击报文的效果。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是根据本发明实施例的处理策略的生成方法的流程图;
图2是根据本发明实施例的处理策略的生成装置的结构框图;
图3是根据本发明实施例的信息发送方法的流程图;
图4是根据本发明实施例的信息发送装置的结构框图;
图5是根据本发明可选实施例的模块部署示意图;
图6是根据本发明可选实施例的基于数据统计模块的流程图;
图7是根据本发明可选实施例的实例应用场景示意图;
图8是根据本发明可选实施例的基于控制器接收模块的流程图;
图9是根据本发明可选实施例的控制器接收模块与策略生成模块的交互图;
图10是根据本发明可选实施例的基于策略执行模块的流程图。
具体实施方式
下文中将参考附图并结合实施例来详细说明本发明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。
实施例1
本发明实施例针对相关技术中存在的当网络受到报文攻击时,只能单一地对攻击报文进行丢弃处理,缺乏灵活性的问题,提供了一种处理策略的生成方法,图1是根据本发明实施例的处理策略的生成方法的流程图,如图1所示,该流程包括如下步骤:
步骤S101,接收当网络中的指定网络节点满足预设条件时,网络中的网络节点发送的统计信息,其中,指定网络节点满足预设条件用于指示网络中存在攻击报文;
步骤S103,根据统计信息和网络的网络拓扑信息生成对网络中的攻击报文的处理策略,其中,处理策略用于对网络中攻击报文的源网络节点进行限速处理。
通过上述步骤S101至S103,接收当网络中的指定网络节点满足预设条件时,网络中的网络节点发送的统计信息,其中,指定网络节点满足预设条件用于指示网络中存在攻击报文;根据统计信息和网络的网络拓扑信息生成对攻击报文的处理策略,对网络中攻击报文的源网络节点进行限速处理,从而可以解决相关技术中存在的当网络受到报文攻击时,只能单一地对攻击报文进行丢弃处理,缺乏灵活性的问题,达到了灵活处理攻击报文的效果。
在本实施例的可选实施方式中,预设条件包括:统计信息中包括的网络节点中央处理器CPU的利用率是否超过了预设阈值,其中,在网络节点 CPU利用率超过预设阈值时,判定指定网络节点满足预设条件。
在本实施例的可选实施方式中,通过以下方式确定接收攻击报文的源网络节点:根据统计信息确定攻击报文的报文特征;根据报文特征与网络拓扑信息确定攻击报文的源网络节点。
在本实施例的可选实施方式中,根据统计信息和网络拓扑信息生成对指定网络节点的攻击报文的处理策略,包括:根据网络拓扑信息和统计信息确定攻击报文的攻击类型;根据攻击类型生成与攻击类型对应的攻击报文的处理策略。
在本实施例的可选实施方式中,对网络中攻击报文的源网络节点进行限速处理时,处理策略还至少包括以下之一:
当统计信息指示统计信息中的网络节点CPU利用率超过限速阈值,对网络节点CPU利用率超过限速阈值的网络节点的攻击报文进行限制速度处理;
当统计信息指示统计信息中的网络节点CPU利用率低于恢复阈值,且网络节点CPU利用率低于恢复阈值的网络节点的攻击报文正在被限速,则对网络节点CPU利用率低于恢复阈值的网络节点的的攻击报文进行恢复速度处理。
在本实施例的可选实施方式中,当对网络节点CPU利用率超过限速阈值的网络节点的攻击报文进行限制速度处理时,同时对源网络节点的攻击报文也进行限制速度处理;当对被限速的攻击报文进行恢复速度处理时,同时对源网络节点的攻击报文也进行恢复速度处理。
在本实施例的可选实施方式中,对网络中攻击报文的源网络节点进行限速处理,包括:根据统计信息中的网络节点的CPU使用情况与攻击报文的收发速率设定当前的限速比率,按照限速比率对攻击报文进行限速处理。
需要说明的是,上述的限速处理可以是将报文的速率限制到某个范围之内,也可以是控制报文的速率以使网络节点的CPU利用率位于某个范围之内,例如位于第一阈值和第二阈值之间,第一阈值是低阈值,第二阈值是高阈值。上述的限制速度处理可以是降低报文的速率以使网络节点的 CPU利用率被限制在某个阈值之下,例如第二阈值之下;而恢复速度处理可以是减少对报文速率的限制,或者说减轻对报文速率的降低程度,以将网络节点的CPU利用率限制在某个阈值之上,例如第一阈值之上,第二阈值之下。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如 ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本发明各个实施例的方法。
实施例2
在本实施例中还提供了一种处理策略的生成装置,该装置用于实现上述实施例1及可选实施方式,已经进行过说明的不再赘述。如以下所使用的,术语“模块”、“单元”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
图2是根据本发明实施例的处理策略的生成装置的结构框图,如图2 所示,该装置包括:
接收模块22,用于接收当网络中的指定网络节点满足预设条件时,网络中的网络节点发送的统计信息,其中,指定网络节点满足预设条件用于指示网络中存在攻击报文;
生成模块24,用于根据统计信息和网络的网络拓扑信息生成对网络中的攻击报文的处理策略,其中,处理策略用于对网络中攻击报文的源网络节点进行限速处理。
通过上述接收模块22与生成模块24,接收当网络中的指定网络节点满足预设条件时,网络中的网络节点发送的统计信息,其中,指定网络节点满足预设条件用于指示网络中存在攻击报文;根据统计信息和网络的网络拓扑信息生成对攻击报文的处理策略,对网络中攻击报文的源网络节点进行限速处理,从而可以解决相关技术中存在的当网络受到报文攻击时,只能单一地对攻击报文进行丢弃处理,缺乏灵活性的问题,达到了灵活处理攻击报文的效果。
在本实施例的可选实施方式中,预设条件包括:统计信息中包括的中央处理器CPU的利用率是否超过了预设阈值,其中,在利用率超过预设阈值时,判定指定网络节点满足预设条件。
在本实施例的可选实施方式中,生成模块24,还用于:获取网络的网络拓扑信息。在本实施例的可选实施方式中,生成模块24,还用于:根据网络拓扑信息和统计信息确定攻击报文的攻击类型;根据攻击类型生成与攻击类型对应的攻击报文的处理策略。
在本实施例的可选实施方式中,生成模块24,还用于:
当统计信息指示以下至少之一情况时:统计信息中的CPU利用率超过限速阈值,统计信息中指定网络节点的报文收发速率超过指定网络节点的 CPU所能处理的最大能力,对攻击报文进行限制速度处理;
当统计信息指示统计信息中的CPU利用率低于恢复阈值,且指定网络节点的攻击报文正在被限速,则对被限速的攻击报文进行恢复速度处理。
需要说明的是,上述各个模块是可以通过软件或硬件来实现的,对于后者,可以通过以下方式实现,但不限于此:上述模块均位于同一处理器中;或者,上述各个模块以任意组合的形式分别位于不同的处理器中。
实施例3
根据本发明的又一个实施例,提供了一种信息发送方法,图3是根据本发明实施例的信息发送方法的流程图,如图3所示,该流程包括如下步骤:
步骤S301,获取网络中每个网络节点的统计信息;
步骤S303,在统计信息指示在每个网络节点中的指定网络节点的统计信息满足预设条件时,将统计信息发送至控制器,其中,指定网络节点满足预设条件用于指示网络中存在攻击报文,统计信息用于指示控制器根据统计信息和网络的网络拓扑信息生成对网络中的攻击报文的处理策略,处理策略用于对网络中攻击报文的源网络节点进行限速处理。
通过上述步骤S301至步骤S303,获取网络中每个网络节点的统计信息,在统计信息指示在每个网络节点中的指定网络节点的统计信息满足预设条件时,将统计信息发送至控制器,其中,指定网络节点满足预设条件用于指示网络中存在攻击报文,统计信息用于指示控制器根据统计信息和网络的网络拓扑信息生成对网络中的攻击报文的处理策略,处理策略用于对网络中攻击报文的源网络节点进行限速处理,从而可以解决相关技术中存在的当网络受到报文攻击时,只能单一地对攻击报文进行丢弃处理,缺乏灵活性的问题,达到了灵活处理攻击报文的效果。
在本实施例的可选实施方式中,预设条件包括:统计信息中包括的中央处理器CPU的利用率是否超过了预设阈值,其中,在利用率超过预设阈值时,判定指定网络节点满足预设条件。
实施例4
根据本发明的又一个实施例,提供了一种信息发送装置,该装置用于实现上述实施例3及可选实施方式,已经进行过说明的不再赘述。如以下所使用的,术语“模块”、“单元”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
图4是根据本发明实施例的信息发送装置的结构框图,如图4所示,该装置包括:
获取模块42,用于获取网络中每个网络节点的统计信息;
发送模块44,用于在统计信息指示在每个网络节点中的指定网络节点的统计信息满足预设条件时,将统计信息发送至控制器,其中,指定网络节点满足预设条件用于指示网络中存在攻击报文,统计信息用于指示控制器根据统计信息和网络的网络拓扑信息生成对网络中的攻击报文的处理策略,处理策略用于对网络中攻击报文的源网络节点进行限速处理。
通过上述获取模块42 与发送模块44 ,获取网络中每个网络节点的统计信息,在统计信息指示在每个网络节点中的指定网络节点的统计信息满足预设条件时,将统计信息发送至控制器,其中,指定网络节点满足预设条件用于指示网络中存在攻击报文,统计信息用于指示控制器根据统计信息和网络的网络拓扑信息生成对网络中的攻击报文的处理策略,处理策略用于对网络中攻击报文的源网络节点进行限速处理,从而可以解决相关技术中存在的当网络受到报文攻击时,只能单一地对攻击报文进行丢弃处理,缺乏灵活性的问题,达到了灵活处理攻击报文的效果。
在本实施例的可选实施方式中,预设条件包括:统计信息中包括的中央处理器CPU的利用率是否超过了预设阈值,其中,在利用率超过预设阈值时,判定指定网络节点满足预设条件。
需要说明的是,上述各个模块是可以通过软件或硬件来实现的,对于后者,可以通过以下方式实现,但不限于此:上述模块均位于同一处理器中;或者,上述各个模块以任意组合的形式分别位于不同的处理器中。
实施例5
根据本发明的又一个实施例,提供一种处理策略的生成系统,该系统包括:当前网络中的网络节点,控制器,其中,每个网络节点,用于分别获取每个网络节点的统计信息,并在网络节点中的指定网络节点的统计信息满足预设条件时,将统计信息发送至控制器,网络节点中的指定网络节点的统计信息满足预设条件用于指示网络中存在攻击报文;根据统计信息生成对网络中的攻击报文的处理策略,处理策略用于对网络中攻击报文的源网络节点进行限速处理。在本实施例的可选实施方式中,预设条件包括:统计信息中包括的中央处理器CPU的利用率是否超过了预设阈值,其中,在利用率超过预设阈值时,判定指定网络节点满足预设条件。
通过本发明的实施例,获取每个网络节点的统计信息,并在统计信息指示在每个网络节点中的指定网络节点的统计信息满足预设条件时,将统计信息发送至控制器,其中,指定网络节点满足预设条件用于指示网络中存在攻击报文,统计信息用于指示控制器根据统计信息和网络的网络拓扑信息生成对网络中的攻击报文的处理策略,处理策略用于对网络中攻击报文的源网络节点进行限速处理,从而可以解决相关技术中存在的当网络受到报文攻击时,只能单一地对攻击报文进行丢弃处理,缺乏灵活性的问题,达到了灵活处理攻击报文的效果。
为了更好的理解上述处理策略的生成过程,以下结合可选实施例对上述技术方案进行解释说明。
需要说明的是,本发明可选实施例中的“网络节点”与“网络节点设备”、“节点设备”具有相同的含义。
可选实施例一
在本发明可选实施例中,将结合具体的网络场景,对本发明可选实施例的方案进行介绍:
本发明可选实施例公开了一种处理策略的生成装置,图5是根据本发明可选实施例的模块部署示意图,如图5所示,该装置包括:部署在SDN 控制器内的控制器接收模块54(相当于上述实施例中接收模块所完成的功能)、策略生成模块56(相当于上述实施例中生成模块所完成的功能),以及,部署在各网络节点设备内的数据统计模块52(相当于上述实施例中的获取模块与发送模块所完成的功能)和策略执行模块58(相当于上述实施例中生成模块所完成的功能)。
数据统计模块52与控制器接收模块54构成了设备监控系统,策略生成模块56与策略执行模块58构成了限速防攻击处理系统。
在设备监控系统中,数据统计模块52可以复用传统控制面,用于统计、采集各网络节点设备运行状况等统计信息,包括各网络节点设备的CPU 使用情况、CPU各类协议报文收包统计与CPU利用率。可选地,可以根据需要设置采集周期与各网络节点设备的CPU利用率的监控阈值,例如:采集周期可以设置为1s,CPU利用率的监控阈值可以设置为70%。如果采集到某个或某些网络节点设备的统计信息异常,例如CPU利用率超过了所设的监控阈值,则将每个网络节点设备的采集信息封装成pkt in报文,发送给SDN控制器。SDN控制器内的控制器接收模块54接收数据统计模块 52发送的pkt-in报文,对其进行解析处理,提取出其中的统计信息。
在限速防攻击处理系统中,策略生成模块56根据解析处理的统计信息结合当前网络拓扑分析攻击类型,根据攻击类型生成对应的策略(即上述实施例中的处理策略),并把策略封装成pkt out报文,发送给网络节点设备。策略可以根据限速算法自动生成,例如:可以基于端口收包速率、报文类型、报文长度,VLAN、MAC等生成,也可以人工手动配置。策略执行模块58接收到pkt-out报文解析出策略,例如策略中包含的限速信息,网络节点设备根据解析出的策略设置相应动作,对攻击报文进行处理。
具体实现流程如图5所示,数据统计模块52将统计的信息封装成pkt in报文发给控制器接收模块54,控制器接收模块54收到pkt in报文后剥掉无用报头解析出统计信息;策略生成模块56根据统计信息生成相应的策略并封装成pkt out报文下发给节点设备,具体地,例如下发到了节点设备的策略执行模块58。
具体地,图6是根据本发明可选实施例的基于数据统计模块52的流程图,如图6所示,数据统计模块52中部署有统计策略,该统计策略对应报文统计功能与CPU利用率统计功能,主要统计网络节点设备的报文接收、报文发送、CPU使用情况,具体地,主要包括但不限于:网络节点设备的CPU利用率、端口流量收发、基于Port与vlan的CPU收包速率,基于Port与vlan的CPU发包速率等。该统计策略可以是设置的默认策略,也可以是控制器下发的统计策略。数据统计模块52按协议类型实时统计每个端口与vlan的协议报文的接收与发送情况以及CPU使用情况,将统计信息封装成pkt in报文,发送给控制器接收模块54。
图7是根据本发明可选实施例的实例应用场景示意图,以图7为例, SDN控制器控制节点设备1、2、3三台设备,其中节点设备1分别具有A、 B两个端口,其中节点设备2分别具有C、D两个端口,其中节点设备3 具有E端口。服务器1可与节点设备1直接通信,节点设备3可与服务器 2直接通信。节点设备1中包括MAC表1、路由表1、VLAN映射表1;节点设备2中包括MAC表2、路由表2、VLAN映射表2;节点设备3中包括MAC 表3、路由表3、VLAN映射表3。
网络节点设备的CPU利用率监控阈值均由SDN控制器部署为50%。当其中某一台设备,例如是节点设备2的CPU利用率突然持续为90%,此时已超过监控阈值50%,则同时收集节点设备1、2、3的数据统计模块的统计信息,三台设备将统计信息封装到pkt in报文中上送到SDN控制器。除此之外,封装信息还包括报文类型标志码,协议类型,报文样本,报文上送方式,可选择的处理方式等报文特征,还可以包括当前的CPU使用情况等等。
图8是根据本发明可选实施例的基于控制器接收模块54的流程图,如图8所示,控制器接收模块54接收到pkt in报文后,解析数据统计模块的统计信息,根据统计信息生成端口、vlan、收发速率、协议特征的对应关系表,并获取当前的CPU利用率,例如下表1所示:
表1:
需要说明的是,控制器接收模块也可以根据数据统计模块的统计信息,生成五元组,即源IP地址,源端口,目的IP地址,目的端口和传输层协议,由此实现更多功能,例如可据此得到路由信息,可追踪到报文的传输路径。
图9是根据本发明可选实施例的控制器接收模块54与策略生成模块的56交互图,如图9所示,控制器接收模块54与策略生成模块56交互,其中,策略生成模块56包括条件判断子模块561、网元拓扑比对子模块 562、策略计算子模块563、策略生成子模块564、封装子模块565。
策略生成模块56分析各节点的统计信息或处理后的统计信息,例如上述的表1和当前各网络节点设备的CPU利用率,然后综合各节点的统计信息并结合拓扑分析当前网络运行状况,据此生成处理策略。其中,各子模块分别执行如下流程:
条件判断子模块561判断是否满足限速条件或恢复条件。具体来说,如果某个或某些网络节点设备的CPU利用率超过限速阈值或协议报文接收速率超过CPU所能处理的最大能力,则进行限速处理;如果CPU利用率低于恢复阈值并且当前网络节点设备存在协议报文被限速时,则对被限速的报文进行恢复处理。需要说明的是,CPU利用率的限速阈值与恢复阈值可以预先设定,可选地,限速阈值大于等于恢复阈值。
网元拓扑比对子模块562结合拓扑分析,首先检查CPU利用率高的节点设备在拓扑中的位置,如果这些CPU利用率高的节点设备之间能连接成闭合回路,则可能是环路攻击,需要给节点设备下发指令,检测环路状态;如果这些节点设备处于同一网关,则可能是路由攻击,需要进一步分析报文中的IP信息。需要说明的是,此处的“CPU利用率高”可以指CPU利用率超过上述的限速阈值,也可以是超过设定的与上述的限速阈值不一样的其他阈值。
策略计算子模块563根据统计信息生成相应的方案,若满足限速条件,则对控制器接收模块生成的对应关系表分别按端口,vlan进行排序比较,确定需要限速的报文特征,限速可以基于端口、vlan,也可以分别对收发进行限速。若满足恢复条件,则根据限速方案生成相应恢复方案。需要说明的是,如果控制器接收模块根据数据统计模块的统计信息生成了五元组,则策略计算子模块也可以根据对应关系表和五元组信息排序比较,确定需要限速的报文特征,同样地,限速可以基于五元组、端口、vlan,也可以分别对收发进行限速。另外,此处的“排序比较”可以是根据协议报文的收发速率由高到低进行排序,确定需要限速的报文特征,另外,可选地,需要限速的报文可以是一种类型的报文,也可以是多种类型的报文。
策略生成子模块564根据策略计算子模块563的计算结果生成相应得出策略,根据CPU使用情况与统计的报文收发速率对需要限速的报文设置不同的限速权重,比如当前收发速率的90%、80%、70%等;如果是恢复处理,为防止流量瞬间增大冲击CPU,可以采用慢恢复策略,例如在当前速率的基础上按固定比率对速率逐级恢复,例如按照10%逐级恢复。需要说明的是,上述的“对需要限速的报文设置不同的限速权重”,可以是对一种类型的报文在不同的情况下设置不同的限速权重,也可以是对需要限速的多种类型的报文分别设置不同的限速权重。
封装子模块565用于封装pkt out报文。
以下结合上述表1具体举例解释说明本实施例。例如:图7中节点设备2的CPU利用率突然高到90%以上,从报文统计信息查看来自C端口的报文DHCP收包速率很大,相关技术中,处理攻击报文的方式是:对节点设备2的C端口的DHCP报文进行丢弃,而本实施例的方案不仅仅是对节点设备2的C端口进行限速处理,还会继续通过生成的对应关系表(例如上述的表1)结合网络拓扑分析,该DHCP报文中所带源MAC却并非节点设备1的MAC。通过查找设备1的MAC表确定是A端口所连接的服务器的地址,即攻击源为服务器1。SDN控制器会对节点设备1也生成相应的限速策略,并下发到节点设备1,对端口A的DHCP报文进行限速,同时会发告警信息给服务器1。这样,就实现了对攻击源的限制,此外,由于本实施例的策略是基于SDN拓扑与各网络节点设备的统计信息生成,因此可以确定攻击报文的源头、传输路径,进而可以实现对攻击源的限制。
图10是根据本发明可选实施例的基于策略执行模块的流程图,如图 10所示,策略执行模块将策略生成的信息封装成pkt out报文,并发送 pkt out报文到相应节点设备,之后,对应网元接收,即相应节点设备收到pkt out报文后生成相关流表,即解析报文得到相应流表,然后节点设备根据流表信息下发相应访问控制列表(Access Control List,简称ACL) 到该节点设备的驱动,来控制报文的上送速率。当然,控制报文收发速率的方法不限于此,例如还可以通过设置相应带宽等手段,具体地,例如:报文是基于ACL匹配上送CPU的,则采用ACL+meter方式进行限速;如果是通过路由查找上送的,则对报文转发队列进行带宽设置;DHCP报文是通过ACL匹配上送的,可以采用ACL匹配特征进行限速处理。本可选实施例中,由于SDN控制器获得了网络中每个节点设备的统计信息,并生成处理策略,下发到相应网络节点设备,实现了对各网络节点设备的统一管理。
实施例6
根据本发明的又一个实施例,还提供了一种存储介质,存储介质中存储有计算机程序,其中,计算机程序被设置为运行时执行上述任一项方法实施例中的步骤。
可选地,在本实施例中,上述存储介质可以被设置为存储用于执行以下步骤的计算机程序:
S1,接收当网络中的指定网络节点满足预设条件时,网络中的网络节点发送的统计信息,其中,指定网络节点满足预设条件用于指示网络中存在攻击报文;
S2,根据统计信息和网络的网络拓扑信息生成对网络中的攻击报文的处理策略,其中,处理策略用于对网络中攻击报文的源网络节点进行限速处理。
本实施例还提供了一种存储介质,该存储介质可以被设置为存储用于执行以下步骤的计算机程序:
S1,获取网络中每个网络节点的统计信息;
S2,在统计信息指示在每个网络节点中的指定网络节点的统计信息满足预设条件时,将统计信息发送至控制器,其中,指定网络节点满足预设条件用于指示网络中存在攻击报文,统计信息用于指示控制器根据统计信息和网络的网络拓扑信息生成对网络中的攻击报文的处理策略,处理策略用于对网络中攻击报文的源网络节点进行限速处理。
可选地,在本实施例中,上述存储介质可以包括但不限于:U盘、只读存储器(Read-Only Memory,简称为ROM)、随机存取存储器(Random Access Memory,简称为RAM)、移动硬盘、磁碟或者光盘等各种可以存储计算机程序的介质。
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,并且在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
以上仅为本发明的可选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (9)
1.一种处理策略的生成方法,其特征在于,包括:
接收当网络中的指定网络节点满足预设条件时,所述网络中的网络节点发送的统计信息,其中,所述指定网络节点满足所述预设条件用于指示所述网络中存在攻击报文;
根据所述统计信息和所述网络的网络拓扑信息生成对所述网络中的攻击报文的处理策略,其中,所述处理策略用于对所述网络中攻击报文的源网络节点进行限速处理;
其中,所述根据所述统计信息和所述网络拓扑信息生成对所述网络中的攻击报文的处理策略,包括:
根据所述网络拓扑信息和所述统计信息确定所述攻击报文的攻击类型;
根据攻击类型生成与所述攻击类型对应的攻击报文的处理策略。
2.根据权利要求1所述的方法,其特征在于,所述预设条件包括:
所述统计信息中包括的网络节点中央处理器CPU的利用率是否超过了预设阈值,其中,在所述网络节点CPU利用率超过预设阈值时,判定所述指定网络节点满足预设条件。
3.根据权利要求1所述的方法,其特征在于,通过以下方式确定接收所述攻击报文的源网络节点:
根据所述统计信息确定攻击报文的报文特征;
根据所述报文特征与所述网络拓扑信息确定接收所述攻击报文的源网络节点。
4.根据权利要求1所述的方法,其特征在于,对所述网络中攻击报文的源网络节点进行限速处理时,所述处理策略还至少包括以下之一:
当所述统计信息指示所述统计信息中的网络节点CPU利用率超过限速阈值,对所述网络节点CPU利用率超过所述限速阈值的网络节点的攻击报文进行限制速度处理;
当所述统计信息指示所述统计信息中的网络节点CPU利用率低于恢复阈值,且所述网络节点CPU利用率低于所述恢复阈值的网络节点的攻击报文正在被限速,则对所述网络节点CPU利用率低于所述恢复阈值的网络节点的的攻击报文进行恢复速度处理。
5.根据权利要求4所述的方法,其特征在于,当对所述网络节点CPU利用率超过所述限速阈值的网络节点的攻击报文进行限制速度处理时,同时对所述源网络节点的攻击报文也进行限制速度处理;
当对所述被限速的攻击报文进行恢复速度处理时,同时对所述源网络节点的攻击报文也进行恢复速度处理。
6.根据权利要求1所述的方法,其特征在于,对所述网络中攻击报文的源网络节点进行限速处理,包括:
根据所述统计信息中的网络节点的CPU使用情况与所述攻击报文的收发速率设定当前的限速比率,按照所述限速比率对所述攻击报文进行限速处理。
7.一种处理策略的生成系统,其特征在于,包括:
当前网络中的网络节点,控制器,其中,
每个所述网络节点,用于分别获取每个网络节点的统计信息,并在所述网络节点中的指定网络节点的统计信息满足预设条件时,将所述统计信息发送至所述控制器,其中,所述网络节点中的指定网络节点的统计信息满足所述预设条件用于指示所述网络中存在攻击报文;
根据所述统计信息和所述网络的网络拓扑信息生成对所述网络中的攻击报文的处理策略,其中,所述处理策略用于对所述网络中攻击报文的源网络节点进行限速处理;
其中,所述根据所述统计信息和所述网络拓扑信息生成对所述网络中的攻击报文的处理策略,包括:
根据所述网络拓扑信息和所述统计信息确定所述攻击报文的攻击类型;
根据攻击类型生成与所述攻击类型对应的攻击报文的处理策略。
8.根据权利要求7所述的系统,其特征在于,所述预设条件包括:所述统计信息中包括的网络节点中央处理器CPU的利用率是否超过了预设阈值,其中,在所述网络节点CPU利用率超过预设阈值时,判定所述指定网络节点满足预设条件。
9.一种存储介质,其特征在于,所述存储介质中存储有计算机程序,其中,所述计算机程序被设置为运行时执行所述权利要求1至6任一项中所述的方法。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811236591.7A CN111092840B (zh) | 2018-10-23 | 2018-10-23 | 处理策略的生成方法、系统及存储介质 |
PCT/CN2019/112477 WO2020083272A1 (zh) | 2018-10-23 | 2019-10-22 | 处理策略的生成方法、系统及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811236591.7A CN111092840B (zh) | 2018-10-23 | 2018-10-23 | 处理策略的生成方法、系统及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111092840A CN111092840A (zh) | 2020-05-01 |
CN111092840B true CN111092840B (zh) | 2022-06-21 |
Family
ID=70330833
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201811236591.7A Active CN111092840B (zh) | 2018-10-23 | 2018-10-23 | 处理策略的生成方法、系统及存储介质 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN111092840B (zh) |
WO (1) | WO2020083272A1 (zh) |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114268592A (zh) * | 2020-09-15 | 2022-04-01 | 华为技术有限公司 | 一种报文的处理方法、系统及设备 |
CN112437077A (zh) * | 2020-11-19 | 2021-03-02 | 迈普通信技术股份有限公司 | 第三方arp攻击、异常处理方法、vrrp网络及系统 |
CN113285918B (zh) * | 2021-04-08 | 2023-10-24 | 锐捷网络股份有限公司 | 针对网络攻击的acl过滤表项建立方法及装置 |
CN115603922A (zh) * | 2021-06-28 | 2023-01-13 | 中兴通讯股份有限公司(Cn) | 安全防御方法、装置、设备及存储介质 |
CN113904835B (zh) * | 2021-09-30 | 2023-10-24 | 新华三信息安全技术有限公司 | 一种报文上送cpu的防攻击方法及装置 |
CN116339288B (zh) * | 2023-04-24 | 2024-01-12 | 华能淮阴第二发电有限公司 | 一种dcs工控系统仿真靶场测试方法及装置 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108429731A (zh) * | 2018-01-22 | 2018-08-21 | 新华三技术有限公司 | 防攻击方法、装置及电子设备 |
Family Cites Families (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102045302A (zh) * | 2009-10-10 | 2011-05-04 | 中兴通讯股份有限公司 | 网络攻击的防范方法、业务控制节点及接入节点 |
US9306840B2 (en) * | 2012-09-26 | 2016-04-05 | Alcatel Lucent | Securing software defined networks via flow deflection |
CN104506531B (zh) * | 2014-12-19 | 2018-05-01 | 上海斐讯数据通信技术有限公司 | 针对流量攻击的安全防御系统及方法 |
CN104539625B (zh) * | 2015-01-09 | 2017-11-14 | 江苏理工学院 | 一种基于软件定义的网络安全防御系统及其工作方法 |
CN105871771A (zh) * | 2015-01-18 | 2016-08-17 | 吴正明 | 一种针对ddos网络攻击的sdn网络架构 |
CN105939339A (zh) * | 2016-03-22 | 2016-09-14 | 杭州迪普科技有限公司 | 攻击协议报文流的防护方法及装置 |
CN107800711B (zh) * | 2017-06-16 | 2020-08-11 | 南京航空航天大学 | 一种OpenFlow控制器抵御DDoS攻击的方法 |
-
2018
- 2018-10-23 CN CN201811236591.7A patent/CN111092840B/zh active Active
-
2019
- 2019-10-22 WO PCT/CN2019/112477 patent/WO2020083272A1/zh active Application Filing
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108429731A (zh) * | 2018-01-22 | 2018-08-21 | 新华三技术有限公司 | 防攻击方法、装置及电子设备 |
Also Published As
Publication number | Publication date |
---|---|
WO2020083272A1 (zh) | 2020-04-30 |
CN111092840A (zh) | 2020-05-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111092840B (zh) | 处理策略的生成方法、系统及存储介质 | |
US11792046B2 (en) | Method for generating forwarding information, controller, and service forwarding entity | |
EP2933954B1 (en) | Network anomaly notification method and apparatus | |
US10193807B1 (en) | Penalty-box policers for network device control plane protection | |
JP4774357B2 (ja) | 統計情報収集システム及び統計情報収集装置 | |
US9680870B2 (en) | Software-defined networking gateway | |
Hyun et al. | Towards knowledge-defined networking using in-band network telemetry | |
US9276852B2 (en) | Communication system, forwarding node, received packet process method, and program | |
EP3198801B1 (en) | Adaptive network function chaining | |
US10440577B1 (en) | Hard/soft finite state machine (FSM) resetting approach for capturing network telemetry to improve device classification | |
CN113812126A (zh) | 报文传输方法、装置及系统 | |
US11272396B2 (en) | Frame aggregation method, network setting frame sending method, and device | |
EP4024778A1 (en) | Method for determining required bandwidth for data stream transmission, and devices and system | |
US20130286845A1 (en) | Transmission rate control | |
JP2005277804A (ja) | 情報中継装置 | |
CN107210933B (zh) | 用于向附接的装备提供硬件资源信息的机制 | |
EP3419221A1 (en) | Drop detection and protection for network packet monitoring in virtual processing environments | |
US9800479B2 (en) | Packet processing method, forwarder, packet processing device, and packet processing system | |
US20150229574A1 (en) | Communication system, communication method, information processing apparatus, communication control method, and program | |
US20230224382A1 (en) | Metadata prioritization | |
US10965605B2 (en) | Communication system, communication control method, and communication apparatus | |
CN115484047A (zh) | 云平台中的泛洪攻击的识别方法、装置、设备及存储介质 | |
CN111245740A (zh) | 配置业务的服务质量策略方法、装置和计算设备 | |
KR20220029142A (ko) | Sdn 컨트롤러 서버 및 이의 sdn 기반 네트워크 트래픽 사용량 분석 방법 | |
CN113037691A (zh) | 报文处理方法、装置及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |