CN111478860A - 一种网络控制方法、装置、设备及机器可读存储介质 - Google Patents
一种网络控制方法、装置、设备及机器可读存储介质 Download PDFInfo
- Publication number
- CN111478860A CN111478860A CN202010247674.7A CN202010247674A CN111478860A CN 111478860 A CN111478860 A CN 111478860A CN 202010247674 A CN202010247674 A CN 202010247674A CN 111478860 A CN111478860 A CN 111478860A
- Authority
- CN
- China
- Prior art keywords
- suspicious
- source
- address
- value
- network control
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/25—Flow control; Congestion control with rate being modified by the source upon detecting a change of network conditions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开提供一种网络控制方法、装置、设备及机器可读存储介质,该方法包括:分析报文,若存在可疑行为,则记录该可疑行为和对应的源IP地址;根据各源IP地址记录的对应的可疑行为,计算对应的可疑值;根据可疑值,对对应的源IP地址进行网络控制。通过本公开的技术方案,分析各源IP地址的可疑行为并据此得出可疑值,根据可疑值,可得到可疑度较高的源IP地址,从而对其进行网络控制,减少正常用户被误限制的可能性。
Description
技术领域
本公开涉及通信技术领域,尤其是涉及一种网络控制方法、装置、设备及机器可读存储介质。
背景技术
DDoS(Distributed Denial of Service,分布式阻断服务),黑客利用DDoS攻击器控制多台机器同时攻击来达到“妨碍正常使用者使用服务”的目的,这样就形成了DDoS攻击,随着互联网的不断发展,竞争越来越激烈,各式各样的DDoS攻击器开始出现。常见的有以下几种:
带宽消耗攻击,DDoS带宽消耗攻击主要为直接洪流攻击。直接洪流攻击采取了简单自然的攻击方式,它利用了攻击方的资源优势,当大量代理发出的攻击流汇聚于目标时,足以耗尽其Internet接入带宽。通常用于发送的攻击报文类型有:TCP报文(可含TCP SYN报文),UDP报文,ICMP报文,三者可以单独使用,也可同时使用。
系统资源消耗攻击,DDoS系统资源消耗攻击包括恶意误用TCP/IP(TransmissionControl Protocol/Internet Protocol,传输控制协议/网际协议)协议通信和发送畸形报文两种攻击方式。两者都能起到占用系统资源的效果。
应用层攻击,典型如国内流行的传奇假人攻击,这种攻击利用傀儡机,模拟了传奇服务器的数据流,能够完成普通传奇戏服务器的注册、登陆等功能,使得服务器运行的传奇游戏内出现大量的假人,影响了正常玩家的登陆和游戏,严重时完全无法登陆。
对于抗DDoS攻击,一般最终需要对流量进行限速,但一般流量限速是简单粗暴的,超过用户配置阈值的出口流量被随机丢弃,最终结果是有很多正常访问的用户被无差别限制,即防护掉了。
发明内容
有鉴于此,本公开提供一种网络控制方法、装置及电子设备、机器可读存储介质,以改善上述正常用户被误限制的问题。
具体地技术方案如下:
本公开提供了一种网络控制方法,应用于网络设备,所述方法包括:分析报文,若存在可疑行为,则记录该可疑行为和对应的源IP地址;根据各源IP地址记录的对应的可疑行为,计算对应的可疑值;根据可疑值,对对应的源IP地址进行网络控制。
作为一种技术方案,所述根据各源IP地址记录的对应的可疑行为,计算对应的可疑值,包括:设定统计周期,根据当前统计周期内的可疑行为,计算对应的可疑值。
作为一种技术方案,所述根据可疑值,对对应的源IP地址进行网络控制,包括:在总流量超过阈值时,根据可疑值,对对应的源IP地址进行限速。
作为一种技术方案,所述在总流量超过阈值时,根据可疑值,对对应的源IP地址进行限速,包括;对对应的源IP地址进行限速,以使总流量低于等于阈值。
作为一种技术方案,所述在总流量超过阈值时,根据可疑值,对对应的源IP地址进行限速,包括;根据设备负载,设定所述阈值。
作为一种技术方案,所述根据可疑值,对对应的源IP地址进行网络控制,包括:根据可疑值的高低,从高到低对对应的源IP地址进行网络控制。
作为一种技术方案,所述根据各源IP地址记录的对应的可疑行为,计算对应的可疑值,包括:预先为各可疑行为设定可疑度,根据源IP地址记录的对应的可疑行为及可疑行为对应的可疑度,计算对应的可疑值。
本公开同时提供了一种网络控制装置,应用于网络设备,所述装置包括:分析单元,用于分析报文,若存在可疑行为,则记录该可疑行为和对应的源IP地址;计算单元,用于根据各源IP地址记录的对应的可疑行为,计算对应的可疑值;控制单元,用于根据可疑值,对对应的源IP地址进行网络控制。
本公开同时提供了一种电子设备,包括处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,处理器执行所述机器可执行指令以实现前述的网络控制方法。
本公开同时提供了一种机器可读存储介质,所述机器可读存储介质存储有机器可执行指令,所述机器可执行指令在被处理器调用和执行时,所述机器可执行指令促使所述处理器实现前述的网络控制方法。
本公开提供的上述技术方案至少带来了以下有益效果:
分析各源IP地址的可疑行为并据此得出可疑值,根据可疑值,可得到可疑度较高的源IP地址,从而对其进行网络控制,减少正常用户被误限制的可能性。
附图说明
为了更加清楚地说明本公开实施方式或者现有技术中的技术方案,下面将对本公开实施方式或者现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本公开中记载的一些实施方式,对于本领域普通技术人员来讲,还可以根据本公开实施方式的这些附图获得其他的附图。
图1是本公开一种实施方式中的网络控制方法的流程图;
图2是本公开一种实施方式中的网络控制装置的结构图;
图3是本公开一种实施方式中的电子设备的硬件结构图。
具体实施方式
在本公开实施方式使用的术语仅仅是出于描述特定实施方式的目的,而非限制本公开。本公开和权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其它含义。还应当理解,本文中使用的术语“和/或”是指包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本公开实施方式可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本公开范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,此外,所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
对于抗DDoS攻击,方法多种多样,如在内网服务器出口设置应用网关,网关设备对于流量做一系列筛选鉴别工作。常见的有先做精确的防护,如flood类攻击防护、指纹防护、源探测等,最后做粗略的防护,如出口流量限速,保证服务器带宽不会被过大的访问量攻击,导致瘫痪。
然而最后一步的流量限速是简单粗暴的,超过用户配置阈值的出口流量被随机丢弃。即使目前很多厂商已经可以根据TCP、UDP这样的报文类型分别限速,然而,我们还是没有解决这种丢包对正常善意流量的访问的伤害,最终结果还是有很多正常访问的用户被“无差别”防护掉了。
目前,很多厂商为了解决上述问题,细化了对出口流量的限速配置。比如:可以分别配置对不同四层类型报文的限速,从而可以根据网络实际状况,更大程度的调整网络报文的比例,比如对内网的https server,当带宽超限时,网关把UDP限速调小,更多的丢弃UDP类报文,保留TCP类报文,从而更多的保留正常报文,过滤异常流量。
此方法虽然可以根据报文类型做流量控制,但是网络中的正常流量通常是各种协议类型混合的,仅根据报文类型过滤比较简单粗暴,正常用户的访问容易被DDos网关误伤。而且当内网服务器存在多种不同类型的服务时候,其流量模型就不再单一,无法仅根据报文类型做进一步的流量比例控制。
此外,DDos的限速阈值一般由用户参考内网服务器总带宽手工设置,不够准确、智能,不能随网络状态变化而实时调整。
有鉴于此,本公开提供一种网络控制方法、装置及电子设备、机器可读存储介质,以改善上述正常用户被误限制的问题。
具体地技术方案如后述。
在一种实施方式中,本公开提供了一种网络控制方法,应用于网络设备,所述方法包括:分析报文,若存在可疑行为,则记录该可疑行为和对应的源IP地址;根据各源IP地址记录的对应的可疑行为,计算对应的可疑值;根据可疑值,对对应的源IP地址进行网络控制。
具体地,如图1,本实施方式包括以下步骤:
步骤S11,分析报文,若存在可疑行为,则记录该可疑行为和对应的源IP地址。
在本步骤中,分析报文,判断是否存在可疑行为,这里报文指的是网络设备接收到的、或转发的报文,网络设备可以是网关设备,或其他具有防火墙功能的网络设备。分析维度可以根据实际需要从不同的角度入手,如根据报文的类型、根据报文的大小、根据报文的重复频率等,若根据设定的标准,认为该报文存在可疑行为,则根据报文的源IP地址,将该次可疑行为记录到保存的记录表中,这里记录表是用于记录有报文通过本网络设备的其他设备的IP地址(即报文的源IP地址)及其对应的可疑行为的记录表,记录表可以保存于本地,也可以保存于其他任意实施本实施方式的网络设备可以读取、写入、修改的存储设备中。
步骤S12,根据各源IP地址记录的对应的可疑行为,计算对应的可疑值。
根据记录表中记录的各源IP地址对应的可疑行为,以设定的计算规则计算出各源IP地址对应的可疑值,以为后续的网络控制提供依据。这里的计算规则可以根据需要设定,可以与判定报文是否存在可疑行为的规则相关,也可以用其他任意满足实际需要的方式设定。
步骤S13,根据可疑值,对对应的源IP地址进行网络控制。
根据上一步骤计算得到的可疑值,对各源IP地址进行网络控制,网络控制的手段包括限速、丢包及不限制等,如对可疑值较高的源IP地址进行限速,可疑值最高的源IP地址进行全部丢包处理,对可疑值较低的源IP地址不限制等。
以上就完成了网络控制,从而使正常用户被误限制的可能性降低。
在一种实施方式中,所述根据各源IP地址记录的对应的可疑行为,计算对应的可疑值,包括:设定统计周期,根据当前统计周期内的可疑行为,计算对应的可疑值。
设定一个统计周期,仅保留记录当前统计周期内的可疑行为,对于超期可疑行为不再记录,根据当前统计周期内的可疑行为,计算对应的可疑值,可提高计算效率,同时降低长时间累计的数据使正常用户的可疑值高于非正常用户的可能性。
这里可以指的是统计离当前时间一定时间范围内的可疑行为,或指的是每隔一定时间,重新统计可疑行为。
在一种实施方式中,所述根据可疑值,对对应的源IP地址进行网络控制,包括:在总流量超过阈值时,根据可疑值,对对应的源IP地址进行限速。
在总流量超过阈值时,再根据可疑值,对对应的源IP地址进行限速,再总流量未超过阈值时,即使存在可疑行为,也不进行网络控制,以降低误限制正常用户的可能性。
在一种实施方式中,所述在总流量超过阈值时,根据可疑值,对对应的源IP地址进行限速,包括;对对应的源IP地址进行限速,以使总流量低于等于阈值。
在进行网络控制时,根据可疑值对对应的源IP地址进行限速以使总流量低于等于阈值后,不再进一步进行降速限速,从而在正常范围内保持最大程度运行,降低正常用户受影响的可能性。
在一种实施方式中,所述在总流量超过阈值时,根据可疑值,对对应的源IP地址进行限速,包括;根据设备负载,设定所述阈值。
可以综合地评估设备的负载,根据当前的情况调整阈值,从而最大程度利用资源,降低正常用户受影响的可能性。
在一种实施方式中,所述根据可疑值,对对应的源IP地址进行网络控制,包括:根据可疑值的高低,从高到低对对应的源IP地址进行网络控制。
仅根据可疑值的高低,从高到低对对应的源IP地址进行网络控制,降低正常用户受影响的可能性。
在一种实施方式中,所述根据各源IP地址记录的对应的可疑行为,计算对应的可疑值,包括:预先为各可疑行为设定可疑度,根据源IP地址记录的对应的可疑行为及可疑行为对应的可疑度,计算对应的可疑值。
根据不同的可疑行为,设定加权的可疑值,从而更准确地过滤掉正常用户,降低正常用户受影响的可能性。
在DDoS网关设备上开启一种流量行为记录功能。即本地维护一张记录表Table,记录最近一个周期T内,访问网关设备后的内网服务器的流量的源IP地址的异常行为,给每个源IP地址的每个攻击行为、或疑似攻击行为计分。当系统判断出接口流量速率已经超过阈值,则根据维护的源IP地址可疑行为及可疑值的记录表,从可疑值最高的源IP地址对应的报文开始丢包,直到流量恢复到阈值以下。为了保证源IP地址可疑行为的记录表的时效性,并控制表格本身的规模不会无限增加,本表内记录的源IP地址,在定时器T超时后且此前一定时间内没有新增可疑度的情况下,会自动老化,从表格中删除。
用户配置源IP地址行为记录周期T,在DDoS网关上开启源IP可疑行为记录功能;设备对于经过DDoS网关前置模块,诸如flood检测、指纹防护,及其他用户定义的攻击检测项,已经检测出攻击的源IP,添加到记录表中;一旦设备检测到出口流量大于阈值,需要采用加权轮询的方式从下表中可疑值最大的源IP开始进行丢包,直到流量小于阈值。
在一种实施方式中,可疑根据内网服务器的实际使用/负载情况,合理的动态设置前述阈值。
DDoS网关设备可以合理的分发去往各个内网服务器的流量,同时周期性的获取内网各个服务器的CPU和内存等健康情况,根据各个服务器的真实负载情况使用情况调整DDoS网关的阈值。同时,DDoS网关设备自身也会存在CPU和内存利用率过高而导致转发异常的情况,因此,设置阈值时可考虑包括这两个方面的因素。
内网服务器根据自身服务能力和被访问的集中度设置初始权值,DDoS网关可以通过加权轮询的方式,引导流量均衡的分布在内网服务器群中。
同时,DDos网关周期性的获取各个内网服务器和自身的CPU、内存利用率、应答响应时间,来评定出当前各个内网服务器和自身的的健康指标。
其中所有内网服务器的综合健康指标加权计算得到a,DDos网关自身的综合健康指标为b。根据用户配置的比例c,计算出当前网络综合健康指数d,一种举例地计算方式中,d=a*c+b(1-c)。
最终阈值S,和当前网络综合健康指数d成正相关,当前网络综合健康指数越好d,DDos出口带宽限速S越高,反之越低。
DDoS网关的综合健康指标b,还可以影响统计周期T,T与b成正相关。即,DDos网关综合健康度变好时,可以在用户配置的基础时间T上适当增长时间,当DDos网关综合健康度变差时,可以在用户配置的基础时间T上适当缩短时间。
在一种实施方式中,本公开提供了一种网络控制装置,应用于网络设备,所述装置包括:分析单元,用于分析报文,若存在可疑行为,则记录该可疑行为和对应的源IP地址;计算单元,用于根据各源IP地址记录的对应的可疑行为,计算对应的可疑值;控制单元,用于根据可疑值,对对应的源IP地址进行网络控制。
分析单元21,分析报文,若存在可疑行为,则记录该可疑行为和对应的源IP地址。
在本步骤中,分析报文,判断是否存在可疑行为,这里报文指的是网络设备接收到的、或转发的报文,网络设备可以是网关设备,或其他具有防火墙功能的网络设备。分析维度可以根据实际需要从不同的角度入手,如根据报文的类型、根据报文的大小、根据报文的重复频率等,若根据设定的标准,认为该报文存在可疑行为,则根据报文的源IP地址,将该次可疑行为记录到保存的记录表中,这里记录表是用于记录有报文通过本网络设备的其他设备的IP地址(即报文的源IP地址)及其对应的可疑行为的记录表,记录表可以保存于本地,也可以保存于其他任意实施本实施方式的网络设备可以读取、写入、修改的存储设备中。
计算单元22,根据各源IP地址记录的对应的可疑行为,计算对应的可疑值。
根据记录表中记录的各源IP地址对应的可疑行为,以设定的计算规则计算出各源IP地址对应的可疑值,以为后续的网络控制提供依据。这里的计算规则可以根据需要设定,可以与判定报文是否存在可疑行为的规则相关,也可以用其他任意满足实际需要的方式设定。
控制单元23,根据可疑值,对对应的源IP地址进行网络控制。
根据上一步骤计算得到的可疑值,对各源IP地址进行网络控制,网络控制的手段包括限速、丢包及不限制等,如对可疑值较高的源IP地址进行限速,可疑值最高的源IP地址进行全部丢包处理,对可疑值较低的源IP地址不限制等。
在一种实施方式中,所述根据各源IP地址记录的对应的可疑行为,计算对应的可疑值,包括:设定统计周期,根据当前统计周期内的可疑行为,计算对应的可疑值。
设定一个统计周期,仅保留记录当前统计周期内的可疑行为,对于超期可疑行为不再记录,根据当前统计周期内的可疑行为,计算对应的可疑值,可提高计算效率,同时降低长时间累计的数据使正常用户的可疑值高于非正常用户的可能性。
这里可以指的是统计离当前时间一定时间范围内的可疑行为,或指的是每隔一定时间,重新统计可疑行为。
在一种实施方式中,所述根据可疑值,对对应的源IP地址进行网络控制,包括:在总流量超过阈值时,根据可疑值,对对应的源IP地址进行限速。
在总流量超过阈值时,再根据可疑值,对对应的源IP地址进行限速,再总流量未超过阈值时,即使存在可疑行为,也不进行网络控制,以降低误限制正常用户的可能性。
在一种实施方式中,所述在总流量超过阈值时,根据可疑值,对对应的源IP地址进行限速,包括;对对应的源IP地址进行限速,以使总流量低于等于阈值。
在进行网络控制时,根据可疑值对对应的源IP地址进行限速以使总流量低于等于阈值后,不再进一步进行降速限速,从而在正常范围内保持最大程度运行,降低正常用户受影响的可能性。
在一种实施方式中,所述在总流量超过阈值时,根据可疑值,对对应的源IP地址进行限速,包括;根据设备负载,设定所述阈值。
可以综合地评估设备的负载,根据当前的情况调整阈值,从而最大程度利用资源,降低正常用户受影响的可能性。
在一种实施方式中,所述根据可疑值,对对应的源IP地址进行网络控制,包括:根据可疑值的高低,从高到低对对应的源IP地址进行网络控制。
仅根据可疑值的高低,从高到低对对应的源IP地址进行网络控制,降低正常用户受影响的可能性。
在一种实施方式中,所述根据各源IP地址记录的对应的可疑行为,计算对应的可疑值,包括:预先为各可疑行为设定可疑度,根据源IP地址记录的对应的可疑行为及可疑行为对应的可疑度,计算对应的可疑值。
根据不同的可疑行为,设定加权的可疑值,从而更准确地过滤掉正常用户,降低正常用户受影响的可能性。
在一种实施方式中,本公开提供了一种电子设备,包括处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,处理器执行所述机器可执行指令以实现前述的网络控制方法,从硬件层面而言,硬件架构示意图可以参见图3所示。
在一种实施方式中,本公开提供了一种机器可读存储介质,所述机器可读存储介质存储有机器可执行指令,所述机器可执行指令在被处理器调用和执行时,所述机器可执行指令促使所述处理器实现前述的网络控制方法。
这里,机器可读存储介质可以是任何电子、磁性、光学或其它物理存储装置,可以包含或存储信息,如可执行指令、数据,等等。例如,机器可读存储介质可以是:RAM(RadomAccess Memory,随机存取存储器)、易失存储器、非易失性存储器、闪存、存储驱动器(如硬盘驱动器)、固态硬盘、任何类型的存储盘(如光盘、dvd等),或者类似的存储介质,或者它们的组合。
上述实施方式阐明的系统、装置、模块或单元,具体可以由计算机芯片或实体实现,或者由具有某种功能的产品来实现。一种典型的实现设备为计算机,计算机的具体形式可以是个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件收发设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任意几种设备的组合。
为了描述的方便,描述以上装置时以功能分为各种单元分别描述。当然,在实施本公开时可以把各单元的功能在同一个或多个软件和/或硬件中实现。
本领域内的技术人员应明白,本公开的实施方式可提供为方法、系统、或计算机程序产品。因此,本公开可采用完全硬件实施方式、完全软件实施方式、或结合软件和硬件方面的实施方式的形式。而且,本公开实施方式可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本公开是参照根据本公开实施方式的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可以由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其它可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其它可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
而且,这些计算机程序指令也可以存储在能引导计算机或其它可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或者多个流程和/或方框图一个方框或者多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其它可编程数据处理设备上,使得在计算机或者其它可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其它可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
本领域技术人员应明白,本公开的实施方式可提供为方法、系统或计算机程序产品。因此,本公开可以采用完全硬件实施方式、完全软件实施方式、或者结合软件和硬件方面的实施方式的形式。而且,本公开可以采用在一个或者多个其中包含有计算机可用程序代码的计算机可用存储介质(可以包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
以上所述仅为本公开的实施方式而已,并不用于限制本公开。对于本领域技术人员来说,本公开可以有各种更改和变化。凡在本公开的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本公开的权利要求范围之内。
Claims (10)
1.一种网络控制方法,其特征在于,应用于网络设备,所述方法包括:
分析报文,若存在可疑行为,则记录该可疑行为和对应的源IP地址;
根据各源IP地址记录的对应的可疑行为,计算对应的可疑值;
根据可疑值,对对应的源IP地址进行网络控制。
2.根据权利要求1所述的方法,其特征在于,所述根据各源IP地址记录的对应的可疑行为,计算对应的可疑值,包括:
设定统计周期,根据当前统计周期内的可疑行为,计算对应的可疑值。
3.根据权利要求1所述的方法,其特征在于,所述根据可疑值,对对应的源IP地址进行网络控制,包括:
在总流量超过阈值时,根据可疑值,对对应的源IP地址进行限速。
4.根据权利要求3所述的方法,其特征在于,所述在总流量超过阈值时,根据可疑值,对对应的源IP地址进行限速,包括;
对对应的源IP地址进行限速,以使总流量低于等于阈值。
5.根据权利要求3所述的方法,其特征在于,所述在总流量超过阈值时,根据可疑值,对对应的源IP地址进行限速,包括;
根据设备负载,设定所述阈值。
6.根据权利要求1所述的方法,其特征在于,所述根据可疑值,对对应的源IP地址进行网络控制,包括:
根据可疑值的高低,从高到低对对应的源IP地址进行网络控制。
7.根据权利要求1所述的方法,其特征在于,所述根据各源IP地址记录的对应的可疑行为,计算对应的可疑值,包括:
预先为各可疑行为设定可疑度,根据源IP地址记录的对应的可疑行为及可疑行为对应的可疑度,计算对应的可疑值。
8.一种网络控制装置,其特征在于,应用于网络设备,所述装置包括:
分析单元,用于分析报文,若存在可疑行为,则记录该可疑行为和对应的源IP地址;
计算单元,用于根据各源IP地址记录的对应的可疑行为,计算对应的可疑值;
控制单元,用于根据可疑值,对对应的源IP地址进行网络控制。
9.一种电子设备,其特征在于,包括:处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器执行所述机器可执行指令,以实现权利要求1-7任一所述的方法。
10.一种机器可读存储介质,其特征在于,所述机器可读存储介质存储有机器可执行指令,所述机器可执行指令在被处理器调用和执行时,所述机器可执行指令促使所述处理器实现权利要求1-7任一所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010247674.7A CN111478860A (zh) | 2020-03-31 | 2020-03-31 | 一种网络控制方法、装置、设备及机器可读存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010247674.7A CN111478860A (zh) | 2020-03-31 | 2020-03-31 | 一种网络控制方法、装置、设备及机器可读存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN111478860A true CN111478860A (zh) | 2020-07-31 |
Family
ID=71749523
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010247674.7A Withdrawn CN111478860A (zh) | 2020-03-31 | 2020-03-31 | 一种网络控制方法、装置、设备及机器可读存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111478860A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112667425A (zh) * | 2020-12-30 | 2021-04-16 | 锐捷网络股份有限公司 | 端口震荡的处理方法及装置 |
CN113271257A (zh) * | 2020-08-03 | 2021-08-17 | 单中妹 | 采用中继设备的通信流量控制系统 |
-
2020
- 2020-03-31 CN CN202010247674.7A patent/CN111478860A/zh not_active Withdrawn
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113271257A (zh) * | 2020-08-03 | 2021-08-17 | 单中妹 | 采用中继设备的通信流量控制系统 |
CN112667425A (zh) * | 2020-12-30 | 2021-04-16 | 锐捷网络股份有限公司 | 端口震荡的处理方法及装置 |
CN112667425B (zh) * | 2020-12-30 | 2022-11-11 | 锐捷网络股份有限公司 | 端口震荡的处理方法及装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11405359B2 (en) | Network firewall for mitigating against persistent low volume attacks | |
CN111181932B (zh) | Ddos攻击检测与防御方法、装置、终端设备及存储介质 | |
AU2017268608B2 (en) | Method, device, server and storage medium of detecting DoS/DDoS attack | |
US9071576B1 (en) | Application rate limiting without overhead | |
US11671402B2 (en) | Service resource scheduling method and apparatus | |
WO2017071551A1 (zh) | 一种防止恶意访问登录/注册接口的行为的方法和装置 | |
CN103428224B (zh) | 一种智能防御DDoS攻击的方法和装置 | |
EP2528005B1 (en) | System and method for reducing false positives during detection of network attacks | |
US8844034B2 (en) | Method and apparatus for detecting and defending against CC attack | |
CN109194680B (zh) | 一种网络攻击识别方法、装置及设备 | |
CN105577608B (zh) | 网络攻击行为检测方法和装置 | |
WO2015126410A1 (en) | Scoring for threat observables | |
US20150121450A1 (en) | Method and system for defending against malware and method for updating filtering table thereof | |
Zhang et al. | FTGuard: A priority-aware strategy against the flow table overflow attack in SDN | |
US20090222917A1 (en) | Detecting spam from metafeatures of an email message | |
CN108390870B (zh) | 一种防御网络攻击的方法、装置、存储介质及设备 | |
CN106790299B (zh) | 一种在无线接入点ap上应用的无线攻击防御方法和装置 | |
CN111478860A (zh) | 一种网络控制方法、装置、设备及机器可读存储介质 | |
CN113329029A (zh) | 一种针对apt攻击的态势感知节点防御方法及系统 | |
US8204983B2 (en) | Allocation of on-line monitoring resources | |
CN112532636A (zh) | 一种基于T-Pot蜜罐和主干网流量的恶意域名检测方法及装置 | |
CN105591832B (zh) | 应用层慢速攻击检测方法和相关装置 | |
CN107454065A (zh) | 一种UDP Flood攻击的防护方法及装置 | |
CN109474623A (zh) | 网络安全防护及其参数确定方法、装置及设备、介质 | |
CN107528859B (zh) | 一种DDoS攻击的防御方法及设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WW01 | Invention patent application withdrawn after publication | ||
WW01 | Invention patent application withdrawn after publication |
Application publication date: 20200731 |