CN111327590A - 一种攻击处理方法及装置 - Google Patents

一种攻击处理方法及装置 Download PDF

Info

Publication number
CN111327590A
CN111327590A CN202010057813.XA CN202010057813A CN111327590A CN 111327590 A CN111327590 A CN 111327590A CN 202010057813 A CN202010057813 A CN 202010057813A CN 111327590 A CN111327590 A CN 111327590A
Authority
CN
China
Prior art keywords
message
entropy
flow
port
source
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202010057813.XA
Other languages
English (en)
Inventor
侯乐
贾宝军
徐雷
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China United Network Communications Group Co Ltd
Original Assignee
China United Network Communications Group Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China United Network Communications Group Co Ltd filed Critical China United Network Communications Group Co Ltd
Priority to CN202010057813.XA priority Critical patent/CN111327590A/zh
Publication of CN111327590A publication Critical patent/CN111327590A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种攻击处理方法及装置,属于通信技术领域。该攻击处理方法包括:从接收的报文流中搜索请求响应报文对,基于请求响应报文对制定流表,并将流表下发至交换机,以使交换机按照流表对报文流执行相应操作,可以在阻止定向攻击报文传输的同时正常传输其他报文,保障傀儡机受到攻击时正常业务不中断。

Description

一种攻击处理方法及装置
技术领域
本发明涉及通信技术领域,具体涉及一种攻击处理方法及装置。
背景技术
随着信息技术的发展,越来越多的企业和校园建立了自己的内部网,这些内部网属于园区网的范畴。园区网的接入终端数量巨大,且业务种类较多,网络安全问题频发,因此,保障园区网的网络安全非常重要。DDoS(Distributed Denial of Service,分布式拒绝服务)攻击是威胁网络安全的主要攻击手段之一,该类攻击由黑客控制傀儡机向受害者主机发送大量虚假报文,从而造成网络拥塞或者受害者主机崩溃。在网络中安装分布式拒绝服务攻击物理清洗设备是检测和处理分布式拒绝服务攻击的重要手段,然而,由于分布式拒绝服务攻击物理清洗设备价格昂贵,所以一般不会在园区网中配置。随着云数据中心的发展以及软件定义网络技术广泛应用,利用软件定义网络技术仅需较小成本即可检测DDoS攻击,因此,利用软件定义网络技术检测DDoS攻击已经成为新趋势。但是,目前利用软件定义网络技术检测到网络中存在DDoS攻击时的处理方式通常是对傀儡机所连接的交换机端口进行限速。这种处理方式虽然避免了DDoS报文在网络中的传播,但是也会导致傀儡机正常业务的中断。
因此,在网络受到DDoS攻击时,如何在避免DDoS报文传输的同时保障傀儡机的正常业务不中断,成为本领域亟待解决的问题。
发明内容
为此,本发明提供一种攻击处理方法及装置,以解决网络受到DDoS攻击时,通过对傀儡机连接交换机端口限速以避免DDoS报文传输的同时,也会导致傀儡机正常业务中断的问题。
为了实现上述目的,本发明第一方面提供一种攻击处理方法,包括:
从接收的报文流中搜索请求响应报文对;
基于所述请求响应报文对制定流表;
将所述流表下发至交换机,以使所述交换机按照所述流表对所述报文流执行相应操作。
进一步地,所述基于所述请求响应报文对制定流表,包括:
将符合所述请求响应报文对四元组信息的用户设置为白名单;
确定报文流表规则;其中,所述报文流表规则为对报文发送用户或报文接收用户位于所述白名单的报文执行转发操作,对报文发送用户或报文接收用户没有位于所述白名单的报文执行丢弃操作;
基于所述白名单和所述报文流表规则获得所述流表。
进一步地,将所述转发操作设置为第一优先级,将所述丢弃操作设置为第二优先级。
进一步地,所述从接收的报文流中搜索请求响应报文对,包括:
接收所述报文流;
从所述报文流中提取四元组信息;其中,所述四元组信息包括源IP、目标IP、源端口和目的端口;
搜索所述四元组信息,并将所述源IP与所述目标IP相同,且所述源端口与所述目的端口相同的报文对作为所述请求响应报文对。
进一步地,所述从接收的报文流中搜索请求响应报文对之前,还包括:
判断接收的所述报文流中是否存在定向攻击报文;
当确定存在所述定向攻击报文时,搜索所述报文流以获取所述请求响应报文对。
进一步地,所述判断接收的所述报文流中是否存在定向攻击报文,包括:
在预设时间窗口内接收所述报文流;
从所述报文流中提取四元组信息;其中,所述四元组信息包括源IP、目标IP、源端口和目的端口;
计算所述源IP的熵、所述目的IP的熵、所述源端口的熵和所述目的端口的熵;
将所述源IP的熵、所述目的IP的熵、所述源端口的熵、所述目的端口的熵分别与对应的源IP熵阈值、目的IP熵阈值、源端口熵阈值和目的端口熵阈值比较;
根据比较结果判断接收的所述报文流中是否存在所述定向攻击报文。
进一步地,所述根据比较结果判断接收的所述报文流中是否存在所述定向攻击报文,包括:
若所述源IP的熵大于所述源IP熵阈值,且所述目的IP的熵小于所述目的IP熵阈值,且所述源端口的熵大于所述源端口熵阈值,且所述目的端口的熵小于所述目的端口熵阈值,则判定报文流中存在所述定向攻击报文。
进一步地,所述在预设时间窗口内接收所述报文流,从所述报文流中提取四元组信息,包括:
接收所述交换机上传的请求报文流;其中,所述请求报文流包括正常请求报文流和定向攻击请求报文流;
对所述请求报文流进行报文解析,提取所述请求报文流的四元组信息,并将所述请求报文流下发至所述交换机以执行转发操作;
接收响应报文流;其中,所述响应报文流为响应于所述正常请求报文流返回的报文;
对所述响应报文流进行报文解析,提取所述响应报文流的四元组信息,并将所述响应报文流下发至所述交换机以执行转发操作。
进一步地,所述接收所述交换机上传的请求报文流之前,还包括:
清空所述交换机中所述流表的流表项。
为了实现上述目的,本发明第二方面提供一种攻击处理装置,包括:
搜索模块,用于从接收的报文流中搜索请求响应报文对;
制定模块,用于基于所述请求响应报文对制定流表;
下发模块,用于将所述流表下发至交换机,以使所述交换机按照所述流表对所述报文流执行相应操作。
本发明具有如下优点:
本发明提供的攻击处理方法,从接收的报文流中搜索请求响应报文对,基于请求响应报文对制定流表,将流表下发至交换机,以使交换机按照流表对报文流执行相应操作,可以在网络受到攻击时,阻止定向攻击报文传输的同时正常传输其他报文,从而保障傀儡机的正常业务不中断。
附图说明
附图是用来提供对本发明的进一步理解,并且构成说明书的一部分,与下面的具体实施方式一起用于解释本发明,但并不构成对本发明的限制。
图1为本发明第一实施例提供的一种攻击处理方法的流程图;
图2为本发明第二实施例提供的一种攻击处理方法的流程图;
图3为本发明第三实施例提供的一种攻击判断方法的流程图;
图4为本发明第四实施例提供的一种攻击处理装置的原理框图。
具体实施方式
以下结合附图对本发明的具体实施方式进行详细说明。应当理解的是,此处所描述的具体实施方式仅用于说明和解释本发明,并不用于限制本发明。
本发明实施例提供的攻击处理方法,考虑到网络受到攻击时,通过对傀儡机连接交换机端口限速以避免定向攻击报文传输的同时,会导致傀儡机正常报文无法传输,因此,提出一种攻击处理方法,可以在阻止定向攻击报文传输的同时正常传输其他报文,保障傀儡机受到攻击时正常业务不中断。
图1是本发明第一实施例提供的一种攻击处理方法的流程图。如图1所示,该攻击处理方法可包括如下步骤:
步骤S101,从接收的报文流中搜索请求响应报文对。
其中,请求响应报文对包括请求报文和与该请求报文对应的响应报文。
在传输网络中,源主机将请求报文通过交换机等物理设备发送至目的主机,但是交换机本身不具有直接执行报文流的转发、丢弃等操作的能力,而是需要根据软件定义网络控制器(以下简称网络控制器)制定的流表来对报文流执行相应的操作。其中,网络控制器为软件定义网络中的应用程序,负责流量控制以确保智能网络。在一些实施例中,交换机将接收到的请求报文上传至网络控制器。网络控制器收到请求报文后,根据请求报文的目的IP和目的端口等信息,通过交换机执行转发操作。目的主机收到交换机转发的请求报文后,响应于请求报文生成响应报文,并通过交换机将响应报文上传至网络控制器。网络控制器收到响应报文后,将响应报文通过交换机转发至相应的主机。由此可知,在报文传输过程中,网络控制器会接收主机发送的、经交换机上传的请求报文和响应报文,这些请求报文和响应报文构成报文流。
需要说明的是,正常情况下,源主机发送的请求报文具有真实可信的源IP、源端口与目的IP、目的端口。目的主机收到该请求报文后,响应于请求报文,会返回正常的响应报文。当传输网络受到定向攻击时,如果源主机被控制成为傀儡机,那么源主机除发送正常的请求报文外,还会发送定向攻击请求报文。其中,定向攻击请求报文流的源IP和源端口一般均为虚构,目的IP和目的端口为其要攻击的对象,其目的在于恶意占用网络资源或获得非法访问权等。被攻击的目的主机收到定向攻击请求报文后,基于网络安全机制,其返回的不是正常的响应报文,或者不返回响应报文。在本实施例中,针对定向攻击请求报文返回的不正常的响应报文不属于响应报文的范畴。
在一个实施方式中,网络控制器从接收的报文流中搜索请求响应报文对的步骤,包括:
接收交换机上传的报文流;
从报文流中提取四元组信息;其中,四元组信息包括源IP、目标IP、源端口和目的端口;
搜索四元组信息,并将源IP与目标IP相同,且源端口与目的端口相同的报文对作为请求响应报文对。
如,主机h1作为傀儡机发起攻击,向网络中的其他主机发送请求报文,请求报文包括正常请求报文和定向攻击请求报文。其中,正常请求报文得到相应,并返回响应报文。假设在某一窗口时间内,网络控制器接收到六条报文流,并从报文流中提取的四元组信息如表1所示。
表1
报文序号 源IP 目的IP 源端口 目的端口
第一报文 IP-h1 IP-h2 Port-h1 Port-h2
第二报文 IP-h2 IP-h1 Port-h2 Port-h1
第三报文 虚假IP-h1 IP-h3 虚假Port-h1 Port-h3
第四报文 虚假IP-h1 IP-h3 虚假Port-h1 Port-h3
第五报文 IP-h1 IP-h4 Port-h1 Port-h4
第六报文 IP-h4 IP-h1 Port-h4 Port-h1
第七报文 虚假IP-h1 IP-h3 虚假Port-h1 Port-h3
搜索该四元组信息发现,第一报文的源IP与第二报文的目标IP相同,且第一报文的目的IP与第二报文的源IP相同,且第一报文的源端口与第二报文的目的端口相同,且第一报文的目的端口与第二报文的源端口相同,因此,第一报文与第二报文为一对请求响应报文对。同理可得,第五报文与第六报文也是一对请求响应报文对。
综上所述,表1对应的报文流中存在两对请求响应报文对,分别是第一报文与第二报文、第五报文与第六报文。
步骤S102,基于请求响应报文对制定流表。
其中,流表为软件定义网络架构中交换机实现数据转发的依据,类似传统网络的路由器中的路由表。流表由若干个流表项组成,每个流表项包括包头域、计数器和动作。其中,包头域用于对交换机接收到的数据包的包头内容进行匹配;计数器可以针对交换机中的每张流表、每个数据流、每个设备端口、每个转发队列进行维护,还可用于统计数据流量相关信息;动作用于指示交换机在收到匹配的数据包后应该对其执行何种类型操作。交换机根据流表即可获知对收到的报文应执行何种类型操作。
在本实施例中,仅关心对何种类型的报文流执行何种类型操作,因此,为描述方便,将流表内容简化为白名单和相应的报文流表规则。
在一个实施方式中,网络控制器基于请求响应报文对制定流表的步骤,包括:
首先,将符合请求响应报文对四元组信息的用户设置为白名单;
其次,确定报文流表规则;
在一个实施方式中,报文流表规则为对报文发送用户或报文接收用户位于白名单的报文执行转发操作,对报文发送用户或报文接收用户没有位于白名单的报文执行丢弃操作。
一般情况下,将报文流表规则中的转发操作设置为第一优先级,将丢弃操作设置为第二优先级。
最后,基于白名单和报文流表规则获得流表。
如,网络控制器获得的请求响应报文对如表2所示。
表2
报文序号 源IP 目的IP 源端口 目的端口
第一报文 IP-h1 IP-h2 Port-h1 Port-h2
第二报文 IP-h2 IP-h1 Port-h2 Port-h1
第三报文 IP-h1 IP-h4 Port-h1 Port-h4
第四报文 IP-h4 IP-h1 Port-h4 Port-h1
由表2可知,从主机h1发往主机h2的请求报文得到正常响应,从主机h1发往主机h4的请求报文也得到正常响应,因此,对于主机h1来说,其白名单包括两位用户,分别是主机h2和主机h4。
获得白名单后,确定报文流规则。具体地,对于主机h1来说,对报文发送用户或报文接收用户为主机h2或主机h4的报文执行转发操作,对报文发送用户或报文接收用户不是主机h2和主机h4的报文执行丢弃操作。
最后,基于上述白名单和报文流表规则获得了流表。
步骤S103,将流表下发至交换机,以使交换机按照流表对报文流执行相应操作。
交换机作为底层的物理设备,其本身不具有直接执行报文流的转发、丢弃等操作的能力,而是需要根据网络控制器下发的流表来对报文流执行相应的操作。
在一个实施方式中,网络控制器根据白名单和报文流表规则获得流表后,将流表下发至交换机。交换机接收网络控制器下发的流表后,针对发送到交换机的报文,首先根据报文的四元组信息判断报文的发送用户或接收用户是否位于白名单中。如果报文的发送用户或接收用户位于白名单中,说明该报文为正常报文,对该报文执行转发操作;如果报文的发送用户或者接收用户不在白名单中,说明该报文为定向攻击请求报文,对该报文执行丢弃操作。
图2是本发明第二实施例提供的一种攻击处理方法的流程图,与本发明第一实施例基本相同,区别之处在于:在从接收的报文流中搜索请求响应报文对之前,先判断网络中是否存在定向攻击。如图2所示,该攻击处理方法可包括如下步骤:
步骤S201,判断接收的报文流中是否存在定向攻击报文。
其中,定向攻击报文为通过傀儡机向网络中其他主机定向发送的虚假报文。在一些常见的网络攻击中,攻击者通过控制某一台主机作为傀儡机,并通过傀儡机向其他主机发送大量的虚假报文以达到网络攻击的目的。这类网络攻击行为会导致报文流四元组的熵呈现以下特点:源IP的熵大于源IP熵阈值,且目的IP的熵小于目的IP熵阈值,且源端口的熵大于源端口熵阈值,且目的端口的熵小于目的端口熵阈值。根据这个特点即可判断报文流中是否存在定向攻击报文。
在一个实施方式中,网络控制器判断接收的报文流中是否存在定向攻击报文的步骤包括:
首先,在预设时间窗口内接收报文流,并从报文流中提取四元组信息。
其次,根据提取的四元组信息,计算源IP的熵、目的IP的熵、源端口的熵和目的端口的熵。
再次,将源IP的熵、目的IP的熵、源端口的熵、目的端口的熵分别与对应的源IP熵阈值、目的IP熵阈值、源端口熵阈值和目的端口熵阈值比较。
其中,源IP熵阈值、目的IP熵阈值、源端口熵阈值和目的端口熵阈值为管理员根据经验或实际需求预先设置的。
最后,根据比较结果判断接收的报文流中是否存在定向攻击报文。
在一个实施方式中,如果源IP的熵大于源IP熵阈值,且目的IP的熵小于目的IP熵阈值,且源端口的熵大于源端口熵阈值,且目的端口的熵小于目的端口熵阈值,则判定报文流中存在定向攻击报文。
如,网络控制器在预设时间窗口内接收报文流,并从报文流中提取的四元组信息如表3所示。
表3
报文序号 源IP 目的IP 源端口 目的端口
第一报文 IP-h1 IP-h2 Port-h1 Port-h2
第二报文 IP-h2 IP-h1 Port-h2 Port-h1
第三报文 虚假IP-h1 IP-h3 虚假Port-h1 Port-h3
第四报文 虚假IP-h1 IP-h3 虚假Port-h1 Port-h3
第五报文 虚假IP-h1 IP-h3 虚假Port-h1 Port-h3
首先,计算源IP的熵、目的IP的熵、源端口的熵和目的端口的熵。
I1=-log2(p(IP-h1))
其中,I1为源IP为IP-h1的信息量,p(IP-h1)为源IP为IP-h1的概率,在本例中p(IP-h1)=1/5。
I2=-log2(p(IP-h2))
其中,I2为源IP为IP-h2的信息量,p(IP-h2)为源IP为IP-h2的概率,在本例中p(IP-h2)=1/5。
I1_3=-log2(p(虚假IP-h1))
其中,I3为源IP为虚假IP-h1的信息量,p(虚假IP-h1)为源IP为虚假IP-h1的概率,在本例中p(虚假IP-h1)=3/5。
根据熵的计算公式可得:
H1=p(IP-h1)*I1+p(IP-h2)*I2+p(虚假IP-h1)*I3
其中,H1为源IP的熵。
同理,可以计算获得目的IP的熵H2,源端口的熵H3和目的端口的熵H4。
假设预设的源IP熵阈值为H1thr,目的IP熵阈值为H2thr,源端口熵阈值为H3thr,目的端口熵阈值为H4thr。分别将计算得到的熵与预设的熵阈值进行比较。
当H1>H1thr,且H2<H2thr,且H3>H3thr,且H4<H4thr时,则判定报文流中存在定向攻击报文。
步骤S202,当确定存在定向攻击报文时,从接收的报文流中搜索请求响应报文。
本实施例中的步骤S202与本发明第一实施例中步骤S101的内容相同,在此不再赘述。
步骤S203,基于请求响应报文对制定流表。
本实施例中的步骤S203与本发明第一实施例中步骤S102的内容相同,在此不再赘述。
步骤S204,将流表下发至交换机,以使交换机按照流表对报文流执行相应操作。
本实施例中的步骤S204与本发明第一实施例中步骤S103的内容相同,在此不再赘述。
图3是本发明第三实施例提供的一种攻击判断方法的流程图,是本发明第二实施例中步骤S210的具体实施。如图3所示,该攻击判断方法可包括如下步骤:
步骤S211,在预设时间窗口内接收报文流。
其中,时间窗口为管理员根据经验或业务需要提前设置的时间间隔,该时间间隔是网络控制器判断网络中是否存在定向攻击的时间单位。一般情况下,如果对网络安全性能要求较高时,时间窗口宜设置为较短的时间间隔以便能及时检测出网络中的定向攻击行为;如果对网络安全性能要求不高时,时间窗口可以设置为较长的时间间隔以节省相应的网络资源。
在一个实施方式中,源主机在预设时间窗口内通过交换机等物理设备向目的主机发送请求报文流,该请求报文流可能包括正常请求报文流和定向攻击请求报文流。其中,正常请求报文流可以得到目标主机返回的、正常的响应报文流,而定向攻击请求报文流则无法得到正常的响应报文流。因此,在预设时间窗口内,网络控制器从交换机接收的报文流包括源主机发送的正常请求报文流和定向攻击请求报文流,以及目标主机响应于正常请求报文流返回的响应报文流。
步骤S212,从报文流中提取四元组信息。
其中,四元组信息包括源IP、目标IP、源端口和目的端口。
在一个实施方式中,网络控制器收到报文流后,对报文流进行报文解析,然后提取报文流的四元组信息,包括报文流的源IP、目标IP、源端口和目的端口。
步骤S213,计算源IP的熵、目的IP的熵、源端口的熵和目的端口的熵。
根据报文流的四元组信息,通过熵的计算公式,可以计算得到源IP的熵、目的IP的熵、源端口的熵和目的端口的熵。
步骤S214,将源IP的熵、目的IP的熵、源端口的熵、目的端口的熵分别与对应的源IP熵阈值、目的IP熵阈值、源端口熵阈值和目的端口熵阈值比较。
其中,源IP熵阈值、目的IP熵阈值、源端口熵阈值和目的端口熵阈值为管理员根据经验或实际需求预先设置的。
步骤S215,根据比较结果判断接收的报文流中是否存在定向攻击报文。
在一个实施方式中,如果源IP的熵大于源IP熵阈值,且目的IP的熵小于目的IP熵阈值,且源端口的熵大于源端口熵阈值,且目的端口的熵小于目的端口熵阈值,则判定网络中存在定向攻击报文。
需要说明的是,在网络控制器接收交换机上传的请求报文流之前,需要清空交换机中流表中之前配置的流表项以避免其影响对报文流所要执行的操作。
上面各种方法的步骤划分,只是为了描述清楚,实现时可以合并为一个步骤或者对某些步骤进行拆分,分解为多个步骤,只要包括相同的逻辑关系,都在本专利的保护范围内;对算法中或者流程中添加无关紧要的修改或者引入无关紧要的设计,但不改变其算法和流程的核心设计都在该专利的保护范围内。
图4是本发明第四实施例提供的一种攻击处理装置的原理框图。如图4所示,该攻击处理装置包括:搜索模块301、制定模块302和下发模块303。
搜索模块301,用于从接收的报文流中搜索请求响应报文对。
其中,请求响应报文对包括请求报文和与该请求报文对应的响应报文。
在传输网络中,源主机将请求报文通过交换机等物理设备发送至目的主机,但是交换机本身不具有直接执行报文流的转发、丢弃等操作的能力,而是需要根据网络控制器制定的流表来对报文流执行相应的操作。其中,网络控制器为软件定义网络中的应用程序,负责流量控制以确保智能网络。在一些实施例中,交换机将接收到的请求报文上传至网络控制器。网络控制器收到请求报文后,根据请求报文的目的IP和目的端口等信息,通过交换机执行转发操作。目的主机收到交换机转发的请求报文后,响应于请求报文生成响应报文,并通过交换机将响应报文上传至网络控制器。网络控制器收到响应报文后,将响应报文通过交换机转发至相应的主机。由此可知,在报文传输过程中,网络控制器会接收主机发送的、经交换机上传的请求报文和响应报文,这些请求报文和响应报文构成报文流。
需要说明的是,正常情况下,目的主机收到源主机发送的请求报文后,响应于请求报文,会返回正常的响应报文。当传输网络受到定向攻击时,如果源主机被控制成为傀儡机,那么源主机除发送正常的请求报文外,还会发送定向攻击请求报文。被攻击的目的主机收到定向攻击请求报文后,基于网络安全机制,其返回的不是正常的响应报文,或者不返回响应报文。在本实施例中,针对定向攻击请求报文返回的不正常的响应报文不属于响应报文的范畴。
在一个实施方式中,搜索模块301从接收的报文流中搜索请求响应报文对,包括:
接收交换机上传的报文流;
从报文流中提取四元组信息;
搜索四元组信息,并将源IP与目标IP相同,且源端口与目的端口相同的报文对作为请求响应报文对。
制定模块302,用于基于请求响应报文对制定流表。
其中,流表为软件定义网络架构中交换机实现数据转发的依据,类似传统网络的路由器中的路由表。流表由若干个流表项组成,每个流表项包括包头域、计数器和动作。在本实施例中,仅关心对何种类型的报文流执行何种类型操作,因此,为描述方便,将流表内容简化为白名单和相应的报文流表规则。
在一个实施方式中,制定模块302基于请求响应报文对制定流表,包括:
首先,将符合请求响应报文对四元组信息的用户设置为白名单;
其次,确定报文流表规则;
在一个实施方式中,报文流表规则为对报文发送用户或报文接收用户位于白名单的报文执行转发操作,对报文发送用户或报文接收用户没有位于白名单的报文执行丢弃操作。
一般情况下,将报文流表规则中的转发操作设置为第一优先级,将丢弃操作设置为第二优先级。
最后,基于白名单和报文流表规则获得流表。
下发模块303,用于将流表下发至交换机,以使交换机按照流表对报文流执行相应操作。
交换机作为底层的物理设备,其本身不具有直接执行报文流的转发、丢弃等操作的能力,而是需要根据网络控制器通过下发模块303下发的流表来对报文流执行相应的操作。
在一个实施方式中,网络控制器根据白名单和报文流表规则获得流表后,通过下发模块303将流表下发至交换机。交换机接收网络控制器下发的流表后,针对发送到交换机的报文,首先根据报文的四元组信息判断报文的发送用户或接收用户是否位于白名单中。如果报文的发送用户或接收用户位于白名单中,说明该报文为正常报文,对该报文执行转发操作;如果报文的发送用户或者接收用户不在白名单中,说明该报文为定向攻击请求报文,对该报文执行丢弃操作。
值得一提的是,本实施方式中所涉及到的各模块均为逻辑模块,在实际应用中,一个逻辑单元可以是一个物理单元,也可以是一个物理单元的一部分,还可以以多个物理单元的组合实现。此外,为了突出本发明的创新部分,本实施方式中并没有将与解决本发明所提出的技术问题关系不太密切的单元引入,但这并不表明本实施方式中不存在其它的单元。
可以理解的是,以上实施方式仅仅是为了说明本发明的原理而采用的示例性实施方式,然而本发明并不局限于此。对于本领域内的普通技术人员而言,在不脱离本发明的精神和实质的情况下,可以做出各种变型和改进,这些变型和改进也视为本发明的保护范围。

Claims (10)

1.一种攻击处理方法,其特征在于,包括:
从接收的报文流中搜索请求响应报文对;
基于所述请求响应报文对制定流表;
将所述流表下发至交换机,以使所述交换机按照所述流表对所述报文流执行相应操作。
2.根据权利要求1所述的攻击处理方法及装置,其特征在于,所述基于所述请求响应报文对制定流表,包括:
将符合所述请求响应报文对四元组信息的用户设置为白名单;
确定报文流表规则;其中,所述报文流表规则为对报文发送用户或报文接收用户位于所述白名单的报文执行转发操作,对报文发送用户或报文接收用户没有位于所述白名单的报文执行丢弃操作;
基于所述白名单和所述报文流表规则获得所述流表。
3.根据权利要求2所述的攻击处理方法及装置,其特征在于,将所述转发操作设置为第一优先级,将所述丢弃操作设置为第二优先级。
4.根据权利要求1所述的攻击处理方法及装置,其特征在于,所述从接收的报文流中搜索请求响应报文对,包括:
接收所述报文流;
从所述报文流中提取四元组信息;其中,所述四元组信息包括源IP、目标IP、源端口和目的端口;
搜索所述四元组信息,并将所述源IP与所述目标IP相同,且所述源端口与所述目的端口相同的报文对作为所述请求响应报文对。
5.根据权利要求1所述的攻击处理方法及装置,其特征在于,所述从接收的报文流中搜索请求响应报文对之前,还包括:
判断接收的所述报文流中是否存在定向攻击报文;
当确定存在所述定向攻击报文时,搜索所述报文流以获取所述请求响应报文对。
6.根据权利要求5所述的攻击处理方法及装置,其特征在于,所述判断接收的所述报文流中是否存在定向攻击报文,包括:
在预设时间窗口内接收所述报文流;
从所述报文流中提取四元组信息;其中,所述四元组信息包括源IP、目标IP、源端口和目的端口;
计算所述源IP的熵、所述目的IP的熵、所述源端口的熵和所述目的端口的熵;
将所述源IP的熵、所述目的IP的熵、所述源端口的熵、所述目的端口的熵分别与对应的源IP熵阈值、目的IP熵阈值、源端口熵阈值和目的端口熵阈值比较;
根据比较结果判断接收的所述报文流中是否存在所述定向攻击报文。
7.根据权利要求6所述的攻击处理方法及装置,其特征在于,所述根据比较结果判断接收的所述报文流中是否存在所述定向攻击报文,包括:
若所述源IP的熵大于所述源IP熵阈值,且所述目的IP的熵小于所述目的IP熵阈值,且所述源端口的熵大于所述源端口熵阈值,且所述目的端口的熵小于所述目的端口熵阈值,则判定报文流中存在所述定向攻击报文。
8.根据权利要求6所述的攻击处理方法及装置,其特征在于,所述在预设时间窗口内接收所述报文流,从所述报文流中提取四元组信息,包括:
接收所述交换机上传的请求报文流;其中,所述请求报文流包括正常请求报文流和定向攻击请求报文流;
对所述请求报文流进行报文解析,提取所述请求报文流的四元组信息,并将所述请求报文流下发至所述交换机以执行转发操作;
接收响应报文流;其中,所述响应报文流为响应于所述正常请求报文流返回的报文;
对所述响应报文流进行报文解析,提取所述响应报文流的四元组信息,并将所述响应报文流下发至所述交换机以执行转发操作。
9.根据权利要求8所述的攻击处理方法及装置,其特征在于,所述接收所述交换机上传的请求报文流之前,还包括:
清空所述交换机中所述流表的流表项。
10.一种攻击处理方法,其特征在于,包括:
搜索模块,用于从接收的报文流中搜索请求响应报文对;
制定模块,用于基于所述请求响应报文对制定流表;
下发模块,用于将所述流表下发至交换机,以使所述交换机按照所述流表对所述报文流执行相应操作。
CN202010057813.XA 2020-01-19 2020-01-19 一种攻击处理方法及装置 Pending CN111327590A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010057813.XA CN111327590A (zh) 2020-01-19 2020-01-19 一种攻击处理方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010057813.XA CN111327590A (zh) 2020-01-19 2020-01-19 一种攻击处理方法及装置

Publications (1)

Publication Number Publication Date
CN111327590A true CN111327590A (zh) 2020-06-23

Family

ID=71171204

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010057813.XA Pending CN111327590A (zh) 2020-01-19 2020-01-19 一种攻击处理方法及装置

Country Status (1)

Country Link
CN (1) CN111327590A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111885092A (zh) * 2020-09-10 2020-11-03 中国联合网络通信集团有限公司 一种边缘节点的DDoS攻击检测方法、处理方法及SDN

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104378380A (zh) * 2014-11-26 2015-02-25 南京晓庄学院 一种基于SDN架构的识别与防护DDoS攻击的系统及方法
WO2017035717A1 (zh) * 2015-08-29 2017-03-09 华为技术有限公司 一种分布式拒绝服务DDoS攻击检测方法及相关设备
CN109274673A (zh) * 2018-09-26 2019-01-25 广东工业大学 一种网络流量异常检测和防御方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104378380A (zh) * 2014-11-26 2015-02-25 南京晓庄学院 一种基于SDN架构的识别与防护DDoS攻击的系统及方法
WO2017035717A1 (zh) * 2015-08-29 2017-03-09 华为技术有限公司 一种分布式拒绝服务DDoS攻击检测方法及相关设备
CN109274673A (zh) * 2018-09-26 2019-01-25 广东工业大学 一种网络流量异常检测和防御方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
GIOTIS K,ARGYROPOULOS C,ANDROULIDAKIS G等: "CombiningOpenFlow and sFlow for an effective and scalable anomaly detection andmitigation mechanism on SDN environments", 《COMPUTER NETWORKS》 *
施江勇,杨岳湘,李文华,王森: "基于SDN的云安全应用研究综述", 《网络与信息安全学报》 *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111885092A (zh) * 2020-09-10 2020-11-03 中国联合网络通信集团有限公司 一种边缘节点的DDoS攻击检测方法、处理方法及SDN

Similar Documents

Publication Publication Date Title
CN108701187B (zh) 用于混合硬件软件分布式威胁分析的设备和方法
CN108040057B (zh) 适于保障网络安全、网络通信质量的sdn系统的工作方法
US8661544B2 (en) Detecting botnets
CN109768955B (zh) 基于软件定义网络防御分布式拒绝服务攻击的系统及方法
CN101589595B (zh) 用于潜在被污染端系统的牵制机制
CN109617931B (zh) 一种SDN控制器的DDoS攻击防御方法及防御系统
CN113285882B (zh) 报文处理的方法、装置及相关设备
CN107710680B (zh) 网络攻击防御策略发送、网络攻击防御的方法和装置
CN101800707B (zh) 建立流转发表项的方法及数据通信设备
US20130322438A1 (en) System and method for identifying frames
Sanmorino et al. DDoS attack detection method and mitigation using pattern of the flow
CN112134894A (zh) 一种DDoS攻击的移动目标防御方法
US7854000B2 (en) Method and system for addressing attacks on a computer connected to a network
JP2007184799A (ja) パケット通信装置
CN111049859A (zh) 一种基于拓扑分析的攻击流量分流和阻断方法
Wang et al. Efficient and low‐cost defense against distributed denial‐of‐service attacks in SDN‐based networks
EP4391476A1 (en) Network traffic control method and related system
CN113890746B (zh) 攻击流量识别方法、装置、设备以及存储介质
CN108650237B (zh) 一种基于存活时间的报文安全检查方法及系统
Gao et al. Defense against software-defined network topology poisoning attacks
CN111327590A (zh) 一种攻击处理方法及装置
CN113612698A (zh) 一种数据包发送方法及装置
CN106453367B (zh) 一种基于sdn的防地址扫描攻击的方法及系统
JP2010193083A (ja) 通信システムおよび通信方法
CN111885092A (zh) 一种边缘节点的DDoS攻击检测方法、处理方法及SDN

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20200623

RJ01 Rejection of invention patent application after publication