CN112154635B - Sfc覆盖网络中的攻击源追踪 - Google Patents

Abstract

本公开的实施例涉及用于在服务功能链覆盖网络中追踪攻击源的方法、设备和计算机可读存储介质。在示例实施例中，在攻击追踪器处向攻击数据流相继经过的多个服务功能链域中的第一服务功能链域发送针对追踪攻击数据的攻击源的请求。该请求包括攻击数据流的流特性。然后，攻击追踪器从第一服务功能链域接收基于流特性进行的流匹配的第一组结果。攻击追踪器至少部分地基于第一组结果在多个服务功能链域中标识攻击源。以这种方式，可以在服务功能链覆盖网络中有效地追踪攻击源。

Description

SFC覆盖网络中的攻击源追踪

技术领域

本公开的实施例总体上涉及攻击源追踪领域，并且具体地涉及用于在服务功能链(SFC)覆盖网络中追踪攻击源的方法、设备和计算机可读存储介质。

背景技术

已经由数据服务提供商通过从各种数据资源收集多样性数据提供了基于云的数据服务。但是，某些物联网(IoT)设备(诸如交通摄像头、电表和煤气表)的安全能力有限，并且因此攻击方可以轻松利用这些IoT设备对服务、系统和基于云的数据中心进行故意攻击，例如拒绝服务(DoS)攻击。除了通过具有有限安全功能的IoT设备的潜在攻击，通过其他网络设备(诸如路由器和服务功能)进行的攻击也很常见。

通常，为了阻止或减轻网络攻击，特别是DoS攻击，首先由安全设备检测攻击，然后追踪攻击源并且阻挡攻击。已经提出了很多安全设施来阻挡网络攻击。某些安全设施，诸如防火墙和入侵防御系统(IPS)，无法阻挡某些特定攻击，诸如传输控制协议(TCP)同步(SYN)泛洪和DoS攻击。入侵检测系统(IDS)已经被广泛部署以检测网络攻击，但无法标识网络攻击源。

然而，追踪DoS攻击的攻击源是一个大问题。在DoS攻击中，攻击方可以不接收来自被攻击目标的报文，从而可以保持隐藏。对于DoS攻击，标识网络攻击源以阻挡攻击源并且阻止或减轻攻击是非常重要的。

发明内容

总体上，本公开的示例实施例提供了用于追踪在服务功能链(SFC)覆盖网络中追踪攻击源的方法、设备和计算机可读存储介质。

在第一方面，提供了一种在攻击追踪器处的方法。在攻击追踪器处，向攻击数据流相继经过的多个SFC域中的第一SFC域发送针对追踪攻击数据的攻击源的请求。该请求包括攻击数据流的流特性。然后，攻击追踪器从第一SFC域接收基于流特性进行的流匹配的第一组结果。攻击追踪器至少部分基于第一组结果在多个SFC域中标识攻击源。

在第二方面，提供了一种在SFC域中的SFC控制器处的方法。分类器接收针对基于相继经过多个SFC域的攻击数据流的流特性进行流匹配的指令。分类器确定攻击数据流的流特性是否与分类器处所存储的与攻击数据流相关的流特性相匹配。如果攻击数据流的流特性与所存储的流特性相匹配，则分类器发送关于攻击数据流的流特性与所存储的流特性相匹配的指示。分类器还发送对多个SFC域中的第二SFC域的指示。攻击数据流连续经过第二SFC域和第一SFC域。

在第三方面，提供了在SFC域中的SFC控制器处的一种方法。SFC控制器从攻击追踪器接收针对追踪经过SFC域的攻击数据流的攻击源的请求。该请求包括攻击数据流的流特性。基于流特性，SFC控制器确定攻击数据流在SFC域中的服务功能路径(SFP)。SFC控制器至少向SFP中所包括的分类器发送针对基于流特性进行流匹配的指令。

在第四方面，提供了一种设备，该设备包括至少一个处理器和包括计算机程序代码的至少一个存储器。至少一个存储器和计算机程序代码被配置为与至少一个处理器一起使该设备执行根据第一方面、第二方面或第三方面的方法。

在第五方面，提供了一种在其上存储有计算机程序的计算机可读存储介质。该计算机程序在由处理器执行时使处理器执行根据第一方面、第二方面或第三方面的方法。

应当理解，“发明内容”部分不旨在标识本公开的实施例的关键或必要特征，也不旨在用于限制本公开的范围。通过以下描述，本公开的其他特征将变得容易理解。

附图说明

现在将参考附图描述一些示例实施例，在附图中：

图1示出了可以在其中实现本公开的实施例的示例性的启用SFC的网络；

图2示出了根据本公开的实施例的在启用SFC的网络中跨多个SFC域追踪攻击源的示例过程；

图3示出了根据本公开的一些实施例的扩展的NSH的示例；

图4(a)示出了根据本公开的一些实施例的在启用SFC的网络中的信号SFC域中追踪攻击源的示例过程；

图4(b)示出了根据本公开的一些其他实施例的在启用SFC的网络中的信号SFC域中追踪攻击源的示例过程；

图5示出了根据本公开的一些实施例的示例方法的流程图；

图6示出了根据本公开的一些其他实施例的示例方法的流程图；

图7示出了根据本公开的一些其他实施例的示例方法的流程图；以及

图8示出了适合于实现本公开的实施例的设备的简化框图。

在所有附图中，相同或相似的附图标记表示相同或相似的元素。

具体实施方式

现在将参考一些示例实施例描述本公开的原理。应当理解，这些实施例仅出于说明目的而被描述，并且要帮助本领域技术人员理解和实现本公开，而无意于对本公开的范围提出任何限制。本文中描述的公开可以以除了下面描述的方式以外的各种其他方式来实现。

在下面的描述和权利要求中，除非另有定义，否则本文中使用的所有技术和科学术语具有与本公开所属领域的普通技术人员通常所理解的相同的含义。

如本文中使用的，术语“SFC域”是指实现SFC的网络的区域或区。SFC域可以限于单个网络管理域。

如本文中使用的，术语“服务功能路径”或“SFP”是指报文通过SFC域所经过的路径。SFP由SFC域中的实体组成，包括例如分类器、服务功能转发器(SFF)、服务功能(SF)和其他实体。

如本文中使用，术语“服务功能链”或“SFC”是指SFC域中的SF、SFF以及将被应用于作为分类的结果而选择的报文、帧和/或流的其他实体的有序集合。

如本文中使用的，术语“分类器”是指用于在SFC域中执行分类的实体。分类可以涉及业务流相对于策略的本地实例化匹配，以用于相继应用于针对所需要的网络服务功能集合相继。策略可以是客户、网络或服务特定的。

如本文中使用的，术语“服务功能”或“SF”是指负责对所接收的报文进行特定处理的功能或实体。SF可以在协议栈的各个层起作用。作为逻辑组件，SF可以实现为虚拟元件或嵌入在物理网络元件中。一个或多个SF可以嵌入同一网络元件中。服务功能的多个实例可以存在于同一管理域中。一个或多个SF可以参与服务的传递。SF的非详尽列表包括：防火墙、广域网(WAN)和应用加速、深度报文检测(DPI)、合法拦截(LI)、服务器负载均衡、HOST_ID注入、超文本传输协议(HTTP)报头丰富功能和传输控制协议(TCP)优化器。

如本文中使用的，术语“服务功能转发器”或“SFF”是指负责根据SFC封装中携带的信息将业务转发到一个或多个连接的服务功能以及处理从SF返回的业务的实体。此外，SFF负责在需要和支持时将业务传递到分类器，将业务传送到另一SFF(相同或不同的叠加类型)，并且终止SFP。

如本文中使用的，术语“电路系统”可以是指以下中的一个或多个或全部：

(a)纯硬件电路实现(诸如仅在模拟和/或数字电路系统中的实现)，以及

(b)硬件电路和软件的组合，诸如(如适用)：(i)模拟和/或数字硬件电路与软件/固件的组合，以及(ii)具有软件的硬件处理器(包括数字信号处理器)、软件和存储器的任何部分，这些部分一起工作以使诸如移动电话或服务器等装置执行各种功能，以及

(c)需要软件(例如，固件)来操作但是在不需要操作时可以不存在的硬件电路和/或处理器，诸如微处理器或微处理器的一部分。

电路系统的这种定义适用于该术语在本申请中的所有使用，包括在任意权利要求中。作为另外的示例，如本申请中使用的，术语“电路系统”也涵盖仅硬件电路或处理器(或多个处理器)或硬件电路或处理器及其(或它们的)随附软件和/或固件的一部分的实现。术语电路系统还涵盖(例如并且在适用于特定权利要求元素的情况下)用于移动设备的基带集成电路或处理器集成电路、或者在服务器、蜂窝网络设备或其他计算或网络设备中的类似集成电路。

如本文中使用的，单数形式“一”、“一个”和“该”也旨在包括复数形式，除非上下文另外明确指出。术语“包括”及其变型应当理解为开放术语，表示“包括但不限于”。术语“基于”应当理解为“至少部分地基于”。术语“一个实施例”和“实施例”应当被理解为“至少一个实施例”。术语“另一实施例”应当被理解为“至少一个其他实施例”。下面可以包括其他定义(显式和隐式)。

如上所述，为了阻止或减轻网络攻击，特别是DoS攻击，标识攻击源非常重要。已经使用了两类追踪系统，包括主动追踪系统和被动追踪系统。

在主动追踪系统中，用于追踪的信息在传输报文时就准备好了。已经提出了一些用于主动追踪系统的方案。方案之一是报文标记方案。利用报文标记方案，可以记录报文信息，以便在网络中发生可疑活动时追溯到报文源。例如，路由器信息存储在报文中。通过使用该路由器信息，可以沿对应路由器路径追溯报文的源。

互联网控制消息协议(ICMP)追溯方案是用于主动追踪系统的另一种方案，该方案要求可疑报文经过的每个路由器都生成ICMP追溯消息。追溯消息通常包括跃点信息和时间戳，时间戳可以用于路径恢复以将路由路径标识回到原始源。用于主动追踪系统的基于哈希的互联网协议(IP)追溯方案提出了一种基于哈希的IP追溯技术，该技术可以生成网络中业务的审核跟踪。这个方案可以追踪最近通过网络传递的单个IP报文的来源。

与主动追踪系统不同，在被动追踪系统中，在检测到DoS攻击之后开始追踪。对于被动追踪系统，提出了逐跳追踪。例如，可以将追踪程序安装到每个路由器中。最靠近攻击方的路由器中的追踪程序可以首先用于监测传入报文。如果攻击方使用欺骗性IP地址发起攻击，则具有这些IP地址的报文可以被存储到路由器中以进行监测。将在相邻路由器中逐跳重复这个监测过程，直到标识出攻击方的原始IP地址。对于覆盖网络，提出了一种向路由器添加可追踪性以将攻击路径恢复回攻击方的技术。这种技术可以通过添加被称为追踪路由器的设备以监测穿过该网络的所有业务来实现。

发明人发现，根据SFC架构，SFC控制平面知晓每个流或报文的服务功能路径(SFP)。当检测到网络攻击时，可以使用SFP追踪攻击源。传统的追踪技术都不是基于SFP的。

本公开的实施例提供了一种在启用SFC的网络中对网络攻击追踪溯源的方案。该方案提供了用于在多个SFC域中追踪攻击数据流的攻击源的攻击追踪器。攻击追踪器向SFC域之一发送针对追踪攻击源的请求。该请求包括攻击数据流的流特性。流特性可以包括服务路径标识符(SPI)、分类器标识符(ID)、SFF ID等。该请求将触发基于SFC域中的流特性进行的流匹配。基于流匹配的结果，攻击追踪器可以在多个SFC域中标识攻击源。

图1示出了可以在其中实现本公开的实施例的示例性的启用SFC的网络100。在网络100中，仅用于说明目的、而无意于提出任何限制地示出了SFC域105。网络100中可以部署多个SFC域。

SFC域105包括用作SFC域105的入口的分类器110。SFC域105还包括多个SFF 115-1、115-2、115-3和115-4，统称为SFF 115。如图所示，SFF 115可以由诸如虚拟交换机和路由器等任何合适的物理机器或虚拟机来实现。分类器和SFF的数目仅是示例性的，而不是限制的。例如，在一些实施例中，SFC域105中可以布置更多分类器。

在该示例中，SFC域105还可以包括SFC控制器120，该SFC控制器120包括攻击源追踪模块125。攻击源追踪模块125可以与分类器110和SFF 115通信以在SFC域105中发起攻击源追踪。

在网络100中，攻击追踪器130被布置用于在SFC域105内或跨多个SFC域(未示出)追踪攻击源。如果检测到攻击，则攻击追踪器130可以被攻击追踪触发器135触发以执行攻击追踪。攻击追踪器130还可以与SFC域105中的分类器110和SFF 115通信以进行攻击源追踪。

仅用于说明目的，而无意于提出任何限制，示出了攻击源追踪模块125、攻击追踪器130和攻击追踪触发器135的分布式布置。在一些实施例中，攻击源追踪模块125、攻击追踪器130和攻击追踪触发器135可以集成在一个或两个实体中。例如，攻击源追踪模块125、攻击追踪器130和攻击追踪触发器135的功能可以集成在SFC控制器120中，或者分布在SFC域105外部的一个或多个实体中。

网络100中的通信可以以有线或无线方式实现。可以使用已有的或将来将要开发的任何合适的通信技术。

在本公开的各实施例中，如果在网络100中检测到穿过SFC域105的攻击数据流，则攻击追踪器130向SFC域105发送针对追踪攻击数据流的攻击源的请求。该请求包括攻击数据流的流特性，诸如SPI、分类器ID、SFF ID等。然后，攻击追踪器130接收由分类器110和/或SFF 115基于流特性而执行的流匹配的一组结果。基于这些结果，攻击追踪器130可以在攻击数据流正在穿过的SFC域105或另一SFC域(未示出)中标识攻击源。启用SFC的实体的详细操作和动作将在下面参考图2、3、4(a)和4(b)进行描述。

图2示出了根据本公开的实施例的在启用SFC的网络200中跨多个SFC域追踪攻击源的示例过程。

如图2所示，网络200包括四个SFC域205-1、205-2、205-3和205-4。在该示例中，SFC域205-1、205-2、205-3或205-4中的每个包括一个分类器210-1、210-2、210-3或210-4以及多个SFF 215-1、215-2、……、215-7和SF 218-1、……、218-8。数据流可以经由分类器以及SFF和SF进行传输。SFC域205-1、205-2或205-4中的每个还具有用于实现控制功能的SFC控制器220-1、220-2或220-3。每个SFC控制器220-1、220-2或220-3包括可以与SFC域205-1、205-2和205-4外部的攻击追踪器230通信的攻击源追踪模块225-1、225-2或225-3。

在入侵检测系统(IDS)240中定位/部署有攻击追踪触发器235。在该示例中，攻击方操纵SFC域205-1中的SF 218-2以攻击服务器245。当IDS 240检测到了到服务器245的攻击数据流时，攻击追踪触发器235向攻击追踪器发送(250)针对追踪攻击数据流的攻击源的请求，以发起追踪攻击源的过程。该请求包括流特性，诸如流的SPI和流的源IP地址。然后，攻击追踪器230将该请求发送(255)给最靠近服务器245的SFC域205-4，例如，发送给SFC控制器220-3中的攻击源追踪模块225-3。此外，攻击追踪器230可以对追踪事件进行日志记录。

在该示例中，在接收到针对利用诸如流的SPI和流的源IP地址等流特性来追踪攻击源的请求之后，攻击源追踪模块225-3向SFC域205-4中的分类器210-4发送(260)针对基于流特性执行流匹配以确定在进入SFC域205-4之前是否已经发生攻击数据流的指令。在攻击追踪器230和攻击源追踪模块225-3的功能被集成的实施例中，攻击追踪器230可以将该请求直接发送给分类器210-4以指示流匹配。

分类器210-4确定攻击数据流的流特性是否与本地存储的与攻击数据流相关联的流特性相匹配。例如，分类器210-4可以对照所记录的经过的流的源IP地址和SPI来检查流的源IP地址和SPI。

在一些实施例中，检查可以利用哈希函数。例如，当分类器210-4从SFC域205-4外部接收到数据流时，分类器210-4可以使用对称密钥(称为“SFC密钥”)来计算HASH_Classifier＝哈希(SPI，SFC ID，分类器ID，流/报文ID，流/报文的源IP地址，SFC密钥)。SFC密钥可以是空的，或者是为SFC域205-4而预定义的值，又或者是特定于启用SFC的实体(诸如SFC域205-4中的分类器210-4)的值。

然后，分类器210-4存储所接收的数据流的流特性，包括例如SPI、SFC ID、分类器ID、流/报文ID、流/报文的源IP地址、以及HASH_Classifier。在这种情况下，在分类器210-4接收到进行流匹配的指令之后，分类器210-4通过使用所接收的流特性来计算HASH_TRACE_Classifier＝哈希值(SPI，SFC ID，分类器ID，流/报文ID，用于追踪的流/报文的源IP地址，SFC密钥)，然后将HASH_TRACE_Classifier与存储在分类器210-4处的HASH_Classifier进行比较。

在一些实施例中，分类器210-4可以将域间信息记录为所接收的数据流的流特性。域间信息可以包括例如相邻上游SFC域的标识符(称为pre_SFC_ID)以及相邻上游SFC域中的SPI(称为pre_SPI)。在本公开的上下文中，相邻上游SFC域是数据流连续穿过的两个SFC域中的前一SFC域。

该域间信息可以携带在数据流的元数据中，诸如网络服务报头(NSH)。图3示出了根据本公开的一些实施例的扩展的NSH 300的示例。如图3所示，选择MD类型＝0×1的NSH中的四个固定长度上下文报头中的最后的固定长度上下文报头来携带相邻上游SFC域的元数据。在该示例中，所选择的固定长度上下文报头的前4位用作“SFC ID”字段305以记录所指定的SFC域的ID。所选择的固定长度上下文报头的接下来的4位用作“分类器ID”字段310以记录所指定的SFC域中的分类器的ID。所选择的固定长度上下文报头的接下来的8位用作“SFF ID”字段315以记录所指定的SFC域中的SFF的ID。

此外，常规NSH基本报头中的五个未分配的比特之一被选择并且被标记为“TR”字段320以指示该NSH是否是扩展的NSH。基于这个字段，流的接收方可以确定流/报文的特性是否被处理和记录以支持追踪攻击源。

应当理解，仅用于说明目的，而无意于提出任何限制，而示出了NSH的扩展。可以在NSH的任何合适的位中扩展相邻上游SFC域的任何合适的元数据。例如，对于MD类型＝0×2的NSH，可以使用四个或更多个可变上下文报头来在传输过程中针对NSH信息启用安全保护。

当接收到流时，分类器(例如，SFC域205-4中的分类器210-4)读取扩展的NSH元数据，诸如SFC ID、分类器ID、SFF ID和SPI。所接收的流/报文中的SFC ID是相邻上游SFC域的标识符，称为pre_SFC_ID。所接收的流/报文中的分类器ID是相邻上游SFC域中的分类器的标识符，称为pre_Classifier_ID。所接收的流/报文中的SFF ID是相邻上游SFC域的SFF标识符，称为pre_SFF_ID。SPI是相邻上游SFC域的服务路径标识符，称为pre_SPI。在一些实施例中，不同SFC域中的SPI是不同的以进一步在不同SFC域之间进行区分。

然后，分类器210-4记录或保留从相邻上游SFC域(例如，SFC域205-2)接收的流/报文的pre_SPI、pre_SFC_ID、pre_Classifier_ID、pre_SFF_ID。如果所接收的流/报文来自非SFC网络，则pre_SPI、pre_SFC_ID、pre_Classifier_ID、pre_SFF_ID的值无效。然后，分类器210-4进一步将流/报文的SPI、SFC ID、分类器ID记录或保留在当前SFC域205-4中，并且记录或保留流/报文ID和流/报文的源IP地址。

在分类器210-4记录所接收的流/报文的pre_SPI、pre_SFC_ID、pre_Classifier_ID、pre_SFF_ID的情况下，分类器210-4记录哈希(pre_SPI，pre_SFC_ID，pre_Classifier_ID，pre_SFF_ID，SPI，SFC ID，分类器ID，流/报文ID，流/报文的源IP地址，SFC密钥)。在将所接收的流/报文转发给下一跳(诸如SFF 215-7)之前，分类器210-4将当前SFC域205-4的ID插入SFC ID字段中并且将其自己的ID插入分类器ID字段中。

在SFF 215-7从分类器210-4接收到流之后，SFF 215-7可以采取与分类器210-4的动作相似的动作。SFF 215-7将SPI、SFC ID、分类器ID记录在当前SFC域205-4中，并且记录流的ID和源IP地址。SFF 215-7使用SFC密钥(它是空的，或者是为SFC域205-4而预定义的值，或者是特定于SFF 215-7的)来计算HASH_SFF＝(SPI，SFF ID，流/报文ID，流/报文的源IP地址，SFC密钥)并且记录哈希值。在将所接收的流/报文转发给下一跳之前，SFF 215-7将其自己的ID插入在SFF ID中。在一些实施例中，SFC域中的最后的SFF可以将当前SFC域的ID插入到SFC ID字段中。

在分类器210-4记录哈希(pre_SPI，pre_SFC_ID，pre_Classifier_ID，pre_SFF_ID，SPI，SFC ID，分类器ID，流/报文ID，流/报文的源IP地址，SFC密钥)的值这种情况下，当分类器210-4接收到进行流匹配的指令时，分类器210-4使用攻击流的SPI和源IP地址来计算HASH_TRACE_Classifier＝hash(pre_SPI，pre_SFC_ID，pre_Classifier_ID，pre_SFF_ID，SPI，SFC ID，分类器ID，流/报文ID，用于追踪的流/报文的源IP地址，SFC密钥)，并且将HASH_TRACE_Classifier与所记录的哈希值进行比较。

仍然参考图2，如果HASH_TRACE_Classifier等于HASH_Classifier，则分类器210-4向攻击追踪器230发送(265)指示“Yes_Matching”的流匹配的结果。因此，攻击追踪器230可以确定攻击数据流是通过分类器210-4传输的，这表明在SFC域205-4中不存在攻击源。

攻击追踪器230向另外的SFC域发送对于追踪攻击源的请求，以继续进行攻击源追踪。在该示例中，攻击追踪器230将该请求发送(270)到SFC域205-2中的攻击源追踪模块225-2，该SFC域205-2是SFC 205-4的相邻上游SFC域。攻击追踪器230可以以任何合适的方式确定SFC域的邻接。在分类器210-4记录诸如SFC ID等相邻上游SFC域的信息的实施例中，攻击追踪器230可以例如从分类器210接收SFC ID以及流匹配的结果。

SFC域205-2内的操作类似于SFC域205-4内的操作。在确定攻击流的SPI为分类器210-2->SFF 215-3->SF 218-4->SFF 215-3->SFF 215-4->SF 218-5->SFF 215-4之后，网络攻击源追踪模块225-2向分类器210-2发送(275)用以执行流匹配的指令。

分类器210-2计算HASH_TRACE_Classifier＝哈希(pre_SPI，pre_SFC_ID，pre_Classifier_ID，pre_SFF_ID，SPI，SFC ID，分类器ID，流/报文ID，用于追踪的流/报文的源IP地址，SFC密钥)，并且将HASH_TRACE_Classifier与存储在分类器210-2处的HASH_Classifier进行比较。在该示例中，分类器210-2向攻击追踪器230发送(280)指示“Yes_Matching”的流匹配的结果和最后一跳信息(例如，pre_SPI、pre_SFC_ID、pre_Classifier_ID、pre_SFF_ID)。

在从SFC域205-2中的分类器210-2接收到“Yes_Matching”的结果和最后一跳信息(例如，pre_SPI、pre_SFC_ID、pre_Classifier_ID、pre_SFF_ID)之后，攻击追踪器230确定该攻击可能来自相邻上游SFC域205-1。然后，攻击追踪器230向SFC域205-1中的网络攻击源追踪模块225-1发送(285)具有流特性的请求。攻击追踪器230也可以日志记录该事件。

然后，攻击源追踪模块225-1根据SFC域205-1中的SPI标识符来确定服务链为分类器210-1->SFF 215-1->SF 218-2->SFF 215-1->SFF 215-2->SF 218-3->SFF 215-2。攻击源追踪模块225-1向分类器210-1发送(290)用以执行流匹配的指令。

分类器210-1计算HASH_TRACE_Classifier＝哈希(pre_SPI，pre_SFC_ID，pre_Classifier_ID，pre_SFF_ID，SPI，SFC ID，分类器ID，流/报文ID，用于追踪的流/报文的源IP地址，SFC密钥)，并且将HASH_TRACE_Classifier与本地存储的HASH_Classifier进行比较。由于SF 218-2被攻击方劫持，因此HASH_TRACE_Classifier不等于HASH_Classifier。然后，由于未通过分类器210-1传输用于追踪的流/报文的源IP地址，因此分类器210-1向攻击追踪器230发送(295)指示“No_Matching”的流匹配的结果。

然后，攻击追踪器230确定该攻击的起源在SFC域205-1中。在单个SFC域中追踪攻击源的过程将被发起。在一些实施例中，攻击源追踪可以由攻击追踪器230通过向SFC域205-1中的SFC控制器220-1再次发送对于追踪攻击源的请求来发起。SFC控制器220-1可以从分类器210-1获取“No_Matching”指示，并且确定攻击源位于SFC域205-1内。然后，SFC控制器220-1指示SPI中的SFC组件或实体执行流匹配。

下面将参考图4(a)和4(b)讨论在单个SFC域中追踪攻击源的示例过程。图4(a)示出了根据本公开的一些实施例的在启用SFC的网络400中的信号SFC域中追踪攻击源的示例过程。在网络400中，网络攻击发生在SFC域405中，该SFC域405包括分类器410、三个SFF415-1、415-2和415-3、以及四个SF 418-1、418-2、418-3和418-4。SFC域405还包括具有攻击源追踪模块425的SFC控制器420。攻击追踪器430负责SFC域405内的攻击源追踪。IDS 440中包括攻击追踪触发器435，该IDS 440布置在SFC域405中。数据流经由IDS 440传输到服务器445。

在该示例中，如图所示，SF 418-2被攻击方劫持。当IDS 440检测到对服务器445的攻击时，攻击追踪触发器435触发攻击追踪器430发起SFC域405中的攻击源追踪。例如，攻击追踪触发器435向攻击追踪器430发送(450)对于追踪具有流特性(例如，用于追踪的流的SPI和源IP地址)的攻击源的请求。

在接收到请求之后，攻击追踪器430将具有流特性的请求转发(455)给SFC控制器420中的攻击源追踪模块425。攻击源追踪模块425确定攻击数据流的服务链是分类器410->SFF 415-1->SF 418-2->SFF 415-1->SFF 415-2->SF 418-3->SFF 415-2->IDS->Server。然后，攻击源追踪模块425并发地向分类器410、SFF 415-1和SFF 415-2发送(460、465、470)用以基于流特性进行流匹配的指令。

分类器410计算HASH_TRACE_Classifier＝哈希(SPI，SFC ID，分类器ID，流/报文ID，用于追踪的流/报文的源IP地址，SFC密钥)。在该示例中，为SFC域405预定义有SFC密钥。分类器410将HASH_TRACE_Classifier与存储在分类器410处的HASH_Classifier进行比较。然后，因为用于追踪的流的源IP地址没有通过分类器410进行传输，分类器410向攻击追踪器430发送(475)“Not_Matching”结果。

SFF 415-1计算HASH_TRACE_SFF1＝哈希(SPI，SFF1 ID，流/报文ID，用于追踪的流/报文的源IP地址，SFC密钥)，并且将HASH_TRACE_SFF1与存储在SFF 415-1处的HASH_SFF1进行比较。然后，因为用于追踪的流的源IP地址通过SFF 415-1被传输，SFF 415-1向攻击追踪器430发送(480)“Yes_Matching”结果。SFF 415-2执行与SFF 415-1相同的操作，并且向攻击追踪器430发送(485)“Yes_Matching”结果。

基于流匹配的结果，攻击追踪器430可以确定攻击来自哪个SFF。例如，在一些实施例中，攻击源追踪模块425可以将所确定的SFP发送给攻击追踪器430。基于该结果和SFP，攻击追踪器430可以确定攻击来自SFF 415-1，并且最终标识出攻击源是SF 418-2。

图4(b)示出了启用SFC的网络400的另一布置。在该示例中，IDS 440布置在SFC域405外部，并且数据流绕过IDS从SFC域405直接发送到服务器445。操作和处理与以上参考图4(a)所述的那些类似，并且其细节将被省略。

应当理解，除了攻击追踪器，其他SFC组件或实体也可以在单个SFC域中发起攻击源追踪。例如，分类器可以将“No_Matching”指示发送给对应SFC控制器，以便SFC控制器确定攻击源位于SFC域内并且向SFP中所包括的SFF并发地发送用以执行流匹配的指令。

根据本公开的实施例，在流或报文传输期间，诸如分类器和SFF等SFC组件或实体可以在本地存储装置处记录流或报文特性，例如，有效载荷的一部分、服务路径标识符(SPI)、分类器标识符、SFF标识符等。在检测到网络攻击时，可以根据SPI标识攻击流或报文的SFP，然后将并行地标识和通知对应SFC组件(例如，分类器或SFF)来发送流/报文匹配结果(通过与经过的流/报文的日志进行比较)。此外，在攻击追踪器处分析流/报文匹配结果，并且最终可以标识发起攻击报文的SFC组件(例如，SF)。与基于IP的追溯方案相比，跳数(例如，路由器、SFF、分类器)可以减少，并且系统性能可以提高，因为流/报文匹配是并行地、而不是逐跳地进行。

图5示出了根据本公开的一些实施例的示例方法500的流程图。方法500可以在图2、4(a)或4(b)中的攻击追踪器230或430处实现。

在框505处，向多个服务功能链(SFC)域中的SFC域(称为第一SFC域)发送针对追踪攻击数据流的攻击源的请求。攻击数据流相继经过多个SFC域。该请求包括攻击数据流的流特性。在框510处，从第一SFC域接收基于流特性进行的流匹配的第一组结果。在框515处，至少部分地基于第一组结果在多个SFC域中标识攻击源。

在一些实施例中，该请求可以被发送到第一SFC域中的SFC控制器。

在一些实施例中，第一组结果可以包括关于攻击数据流的流特性是否与第一SFC域中的分类器处所存储的攻击数据流的流特性相匹配的指示。在这些实施例中，第一指示可以从第一SFC域中的分类器接收。

在一些实施例中，响应于关于攻击数据流的流特性与所存储的流特性相匹配的指示，可以确定攻击源不存在于第一SFC域中。然后，可以向多个SFC域中的另一SFC域(称为第二SFC域)发送针对追踪攻击源的请求。攻击数据流连续经过第二SFC域和第一SFC域。可以从第二SFC域接收基于流特性进行的流匹配的第二组结果。攻击源可以至少部分地基于第二组结果在多个SFC域中被标识。

在一些实施例中，可以从第一SFC域中的分类器接收第二SFC域的标识。

在一些实施例中，响应于第一指示指明攻击数据流的流特性与所存储的流特性不匹配，可以确定攻击源存在于第一SFC域中。

在一些实施例中，第一组结果可以包括关于攻击数据流的流特性是否与第一SFC域中的第一组服务功能转发器(SFF)处所存储的攻击数据流的流特性相匹配的一组指示。在这些实施例中，可以从第一SFC域中的一组SFF接收一组指示。

在一些实施例中，可以从第一SFC域中的SFC控制器接收攻击数据流在第一SFC域中的服务功能路径(SFP)。然后，可以基于一组指示和SFP在第一域中标识攻击源。

图6示出了根据本公开的一些实施例的示例方法600的流程图。方法600可以在多个SFC域中的SFC域中的分类器处实现。

在框605处，接收针对基于相继经过多个SFC域的攻击数据流的流特性进行流匹配的指令。在框610处，确定攻击数据流的流特性是否与分类器处所存储的与攻击数据流相关联的流特性相匹配。在框615处，响应于确定攻击数据流的流特性与所存储的流特性相匹配，向攻击追踪器发送对多个SFC域中的第二SFC域的指示以及关于攻击数据流的流特性与所存储的流特性相匹配的指示。攻击数据流连续经过第二SFC域和第一SFC域。

在一些实施例中，攻击数据流的流特性可以包括攻击数据流的源互联网协议(IP)地址。在这些实施例中，基于攻击数据的源IP地址从分类器处所存储的流特性中选择与攻击数据流相关联的流特性。然后，确定攻击数据流的流特性是否与所选择的流特性相匹配。

在一些实施例中，可以基于攻击数据流的流特性计算哈希值。然后，可以将所计算的哈希值与基于所选择的流特性而计算的哈希值进行比较。

在一些实施例中，可以针对数据流存储关于第一SFC域的相邻上游SFC域的信息。

在一些实施例中，第一SFC域的标识符可以被记录到数据流的元数据中。

在一些实施例中，可以从第一SFC域中的SFC控制器接收针对追踪攻击源的请求。

图7示出了根据本公开的一些实施例的示例方法700的流程图。方法700可以在SFC域中的服务功能链(SFC)控制器处实现。

在框705处，从攻击追踪器接收针对追踪经过SFC域的攻击数据流的攻击源的请求。该请求包括攻击数据流的流特性。在框710处，基于流特性确定攻击数据流在SFC域中的服务功能路径(SFP)。在框715处，至少向SFP中所包括的分类器发送针对基于流特性进行流匹配的指令。

在一些实施例中，响应于攻击源存在于SFC域中，向分类器和SFP中所包括的一组服务功能转发器(SFF)并发地发送针对基于流特性进行流匹配的指令。

在一些实施例中，SFP被发送到攻击追踪器。

应当理解，与以上参考图2、3、4(a)和4(b)描述的攻击追踪器、分类器和SFC控制器有关的所有操作和特征同样适用于方法500、600和700并且具有相似的效果。为了简化的目的，将省略细节。

在一些实施例中，能够执行方法500、600或700的装置可以包括用于执行方法500、600或700的各个步骤的模块。该模块可以以任何合适的形式实现。例如，该模块可以在电路系统或软件模块中实现。

在一些实施例中，能够执行方法500的装置包括：用于在攻击追踪器处向多个服务功能链(SFC)域中的第一SFC域发送针对追踪相继经过多个SFC域的攻击数据流的攻击源的请求的模块，该请求包括攻击数据流的流特性；用于从第一SFC域接收基于流特性进行的流匹配的第一组结果的模块；以及用于至少部分地基于第一组结果在多个SFC域中标识攻击源的模块。

在一些实施例中，用于发送请求的模块包括用于向第一SFC域中的SFC控制器发送请求的模块。

在一些实施例中，第一组结果包括关于攻击数据流的流特性是否与第一SFC域中的分类器处所存储的攻击数据流的流特性相匹配的指示。用于接收第一组结果的模块包括用于从第一SFC域中的分类器接收第一指示的模块。

在一些实施例中，用于标识攻击源的模块包括：用于响应于关于攻击数据流的流特性与所存储的流特性相匹配的指示来确定攻击源不存在于第一SFC域中的模块；用于向多个SFC域中的第二SFC域发送针对追踪攻击源的请求的模块，攻击数据流连续经过第二SFC域和第一SFC域；用于从第二SFC域接收基于流特性进行的流匹配的第二组结果的模块；以及用于至少部分基于第二组结果在多个SFC域中标识攻击源的模块。

在一些实施例中，该装置可以包括用于从第一SFC域中的分类器接收第二SFC域的标识的模块。

在一些实施例中，用于标识攻击源的模块包括用于响应于第一指示指明攻击数据流的流特性与所存储的流特性不匹配而确定攻击源存在于第一SFC域中的模块。

在一些实施例中，第一组结果包括关于攻击数据流的流特性是否与第一SFC域中的第一组服务功能转发器(SFF)处所存储的攻击数据流的流特性相匹配的一组指示。接收第一组结果的模块包括用于从第一SFC域中的一组SFF接收一组指示的模块。

在一些实施例中，用于标识攻击源的模块包括：用于从第一SFC域中的SFC控制器接收攻击数据流在第一SFC域中的服务功能路径(SFP)的模块；以及用于基于一组指示和SFP在第一域中标识攻击源的模块。

在一些实施例中，能够执行方法600的装置包括：用于在多个服务功能链(SFC)域中的第一SFC域中的分类器处接收针对基于相继经过多个SFC域的攻击数据流的流特性进行流匹配的指令的模块；用于确定攻击数据流的流特性是否与分类器处所存储的与攻击数据流相关联的流特性相匹配的模块；以及用于响应于确定攻击数据流的流特性与所存储的流特性相匹配而向攻击追踪器发送对多个SFC域中的第二SFC域的指示以及关于攻击数据流的流特性与所存储的流特性相匹配的指示的模块，攻击数据流连续经过第二SFC域和第一SFC域。

在一些实施例中，攻击数据流的流特性包括攻击数据流的源互联网协议(IP)地址。用于确定攻击数据流的流特性是否与所存储的流特性相匹配的模块包括用于基于攻击数据的源IP地址从分类器处所存储的流特性中选择与攻击数据流相关联的流特性的模块；以及用于确定攻击数据流的流特性是否与所选择的流特性相匹配的模块。

在一些实施例中，用于确定攻击数据流的流特性是否与所选择的流特性相匹配的模块可以包括：用于基于攻击数据流的流特性计算哈希值的模块；以及用于将所计算的哈希值与基于所选择的流特性而计算的哈希值进行比较的模块。

在一些实施例中，该装置还可以包括用于针对数据流存储关于第一SFC域的相邻上游SFC域的信息的模块。

在一些实施例中，该装置还可以包括用于将第一SFC域的标识符记录到数据流的元数据中的模块。

在一些实施例中，用于接收针对追踪攻击源的请求的模块可以包括用于从第一SFC域中的SFC控制器接收针对追踪攻击源的请求的模块。

在一些实施例中，能够执行方法700的装置包括：用于在SFC域中的服务功能链(SFC)控制器处从攻击追踪器接收针对追踪经过SFC域的攻击数据流的攻击源的请求的模块，该请求包括攻击数据流的流特性；用于基于流特性确定攻击数据流在SFC域中的服务功能路径(SFP)的模块；以及用于至少向SFP中所包括的分类器发送针对基于流特性进行流匹配的指令的模块。

在一些实施例中，用于至少向分类器发送针对流匹配的指令的模块包括用于响应于攻击源存在于SFC域中而向分类器和SFP中所包括的一组服务功能转发器(SFF)并发地发送针对基于流特性进行流匹配的指令的模块。

在一些实施例中，该装置还可以包括用于向攻击追踪器发送SFP的模块。

图8是适合于实现本公开的实施例的设备800的简化框图。设备800可以在攻击追踪器、分类器或SFC控制器处实现或者实现为其至少一部分。

如图所示，设备800包括处理器810、耦合到处理器810的存储器820、耦合到处理器810的通信模块840、以及耦合到通信模块840的通信接口(未示出)。存储器820至少存储程序830。通信模块840用于双向通信。通信接口可以表示通信所必需的任何接口。

假定程序830包括在由相关联的处理器810执行时使得设备800能够根据本公开的实施例进行操作的程序指令，如本文中参考图4到图8讨论的。本文中的实施例可以通过由设备800的处理器810可执行的计算机软件，或者通过硬件，或者通过软件和硬件的组合来实现。处理器810可以被配置为实现本公开的各种实施例。

存储器820可以是适合于本地技术网络的任何类型，并且作为非限制性示例，可以使用任何合适的数据存储技术来实现，诸如非瞬态计算机可读存储介质、基于半导体的存储器设备、磁存储器设备和系统、光学存储器设备和系统、固定存储器和可移动存储器。尽管在设备800中仅示出了一个存储器820，但是在设备800中可以存在几个物理上不同的存储器模块。处理器810可以是适合于本地技术网络的任何类型，并且作为非限制性示例，可以包括通用计算机、专用计算机、微处理器、数字信号处理器(DSP)和基于多核处理器架构的处理器中的一种或多种。设备800可以具有多个处理器，诸如专用集成电路芯片，其在时间上从属于与主处理器同步的时钟。

当设备800充当攻击追踪器时，处理器810和存储器820可以协作以使设备800实现如本文中参考图5讨论的方法500。当设备800充当分类器时，处理器810和存储器820可以协作以使设备800实现如本文中参考图6讨论的方法600。当设备800充当SFC控制器时，处理器810和存储器820可以协作以使设备800实现如本文中参考图7讨论的方法700。

与以上参考图2到图7描述的攻击追踪器、分类器和SFC控制器有关的所有操作和特征同样适用于设备800并且具有类似的效果。为了简化的目的，将省略细节。

通常，本公开的各种实施例可以以硬件或专用电路、软件、逻辑或其任何组合来实现。一些方面可以以硬件来实现，而其他方面可以用可以由控制器、微处理器或其他计算设备执行的固件或软件来实现。尽管本公开的实施例的各个方面被示出并且描述为框图、流程图或使用一些其他图形表示，但是应当理解，作为非限制性示例，本文中描述的框、装置、系统、技术或方法可以以硬件、软件、固件、专用电路或逻辑、通用硬件或控制器或其他计算设备、或其某种组合来实现。

本公开还提供了有形地存储在非瞬态计算机可读存储介质上的至少一个计算机程序产品。该计算机程序产品包括计算机可执行指令，诸如程序模块中所包括的计算机可执行指令，该计算机可执行指令在目标真实或虚拟处理器上的设备中执行，以执行如以上参考图5到图7描述的方法500、600和700。通常，程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、库、对象、类、组件、数据结构等。在各种实施例中，程序模块的功能可以根据需要在程序模块之间组合或分割。用于程序模块的机器可执行指令可以在本地或分布式设备内执行。在分布式设备中，程序模块可以位于本地和远程存储介质两者中。

用于执行本公开的方法的程序代码可以以一种或多种编程语言的任何组合来编写。这些程序代码可以被提供给通用计算机、专用计算机或其他可编程数据处理设备的处理器或控制器，使得该程序代码在由处理器或控制器执行时使流程图和/或框图中指定的功能/操作被实现。程序代码可以完全在机器上执行，部分在机器上执行，作为独立软件包执行，部分在机器上并且部分在远程机器上执行，或者完全在远程机器或服务器上执行。

在本公开的上下文中，计算机程序代码或相关数据可以由任何合适的载体来携带，以使得设备、装置或处理器能够执行如上所述的各种处理和操作。载体的示例包括信号、计算机可读介质。

计算机可读介质可以是计算机可读信号介质或计算机可读存储介质。计算机可读介质可以包括但不限于电子、磁性、光学、电磁、红外或半导体系统、装置或设备、或前述各项的任何合适的组合。计算机可读存储介质的更具体示例将包括具有一根或多根电线的电连接、便携式计算机软盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程读取器只读存储器(EPROM或闪存)、光纤、便携式光盘只读存储器(CD-ROM)、光学存储设备、磁存储设备、或前述各项的任何合适的组合。

此外，尽管以特定顺序描绘了操作，但是这不应当理解为要求以所示出的特定顺序或以顺次的顺序执行这样的操作，或者执行所有示出的操作以实现期望的结果。在某些情况下，多任务和并行处理可能是有利的。同样地，尽管以上讨论中包含几个具体实现细节，但是这些细节不应当被解释为对本公开的范围的限制，而应当被解释为对可以特定于特定实施例的特征的描述。在单独的实施例的上下文中描述的某些特征也可以在单个实施例中组合实现。相反，在单个实施例的上下文中描述的各种特征也可以分别在多个实施例中或以任何合适的子组合来实现。

尽管已经以特定于结构特征和/或方法动作的语言描述了本公开，但是应当理解，所附权利要求书中定义的本公开不必限于上述特定特征或动作。相反，上述特定特征和动作被公开作为实现权利要求的示例形式。

已经描述了技术的各种实施例。作为上述内容的补充或替代，描述了以下示例。以下任何示例中描述的特征均可以与本文中描述的任何其他示例一起使用。

Claims (37)

1.一种追踪攻击源的方法，包括：

在攻击追踪器处，向多个服务功能链域中的第一服务功能链域发送针对追踪相继经过所述多个服务功能链域的攻击数据流的攻击源的请求，所述请求包括所述攻击数据流的流特性；

从所述第一服务功能链域接收基于所述流特性进行的流匹配的第一组结果；以及

至少部分地基于所述第一组结果，在所述多个服务功能链域中标识所述攻击源。

2.根据权利要求1所述的方法，其中发送所述请求包括：

向所述第一服务功能链域中的服务功能链控制器发送所述请求。

3.根据权利要求1或2所述的方法，其中所述第一组结果包括关于所述攻击数据流的所述流特性是否与所述第一服务功能链域中的分类器处所存储的所述攻击数据流的流特性相匹配的指示，并且接收所述第一组结果包括：

从所述第一服务功能链域中的所述分类器接收所述指示。

4.根据权利要求3所述的方法，其中标识所述攻击源包括：

响应于关于所述攻击数据流的所述流特性与所存储的流特性相匹配的所述指示，确定所述攻击源不存在于所述第一服务功能链域中；

向所述多个服务功能链域中的第二服务功能链域发送针对追踪所述攻击源的所述请求，所述攻击数据流连续经过所述第二服务功能链域和所述第一服务功能链域；

从所述第二服务功能链域接收基于所述流特性进行的流匹配的第二组结果；以及

至少部分地基于所述第二组结果，在所述多个服务功能链域中标识所述攻击源。

5.根据权利要求4所述的方法，还包括：

从所述第一服务功能链域中的所述分类器接收所述第二服务功能链域的标识。

6.根据权利要求3所述的方法，其中标识所述攻击源包括：

响应于所述指示指明所述攻击数据流的所述流特性与所存储的流特性不匹配，确定所述攻击源存在于所述第一服务功能链域中。

7.根据权利要求1、2和4至6中任一项所述的方法，其中所述第一组结果包括关于所述攻击数据流的所述流特性是否与所述第一服务功能链域中的一组服务功能转发器处所存储的所述攻击数据流的流特性相匹配的一组指示，并且接收所述第一组结果包括：

从所述第一服务功能链域中的所述一组服务功能转发器接收所述一组指示。

8.根据权利要求7所述的方法，其中标识所述攻击源包括：

从所述第一服务功能链域中的服务功能链控制器接收所述攻击数据流在所述第一服务功能链域中的服务功能路径；以及

基于所述一组指示和所述服务功能路径，在所述第一服务功能链域中标识所述攻击源。

9.一种追踪攻击源的方法，包括：

在多个服务功能链域中的第一服务功能链域中的分类器处接收针对基于相继经过所述多个服务功能链域的攻击数据流的流特性进行流匹配的指令；

确定所述攻击数据流的所述流特性是否与所述分类器处所存储的与所述攻击数据流相关联的流特性相匹配；以及

响应于确定所述攻击数据流的所述流特性与所存储的流特性相匹配，向攻击追踪器发送对所述多个服务功能链域中的第二服务功能链域的指示以及关于所述攻击数据流的所述流特性与所存储的流特性相匹配的指示，所述攻击数据流连续经过所述第二服务功能链域和所述第一服务功能链域。

10.根据权利要求9所述的方法，其中所述攻击数据流的所述流特性包括所述攻击数据流的源互联网协议地址，并且确定所述攻击数据流的所述流特性是否与所存储的流特性相匹配包括：

基于所述攻击数据流的所述源互联网协议地址从所述分类器处所存储的流特性中选择与所述攻击数据流相关联的流特性；以及

确定所述攻击数据流的所述流特性是否与所选择的流特性相匹配。

11.根据权利要求10所述的方法，其中确定所述攻击数据流的所述流特性是否与所选择的流特性相匹配包括：

基于所述攻击数据流的所述流特性来计算哈希值；以及

将所计算的哈希值与基于所选择的流特性而计算的哈希值进行比较。

12.根据权利要求9至11中任一项所述的方法，还包括：

针对数据流存储关于所述第一服务功能链域的相邻上游服务功能链域的信息。

13.根据权利要求9至11中任一项所述的方法，还包括：

将所述第一服务功能链域的标识符记录到数据流的元数据中。

14.根据权利要求9至11中任一项所述的方法，其中接收针对所述流匹配的所述指令包括：

从所述第一服务功能链域中的服务功能链控制器接收针对所述流匹配的所述指令。

15.一种追踪攻击源的方法，包括：

在服务功能链域中的服务功能链控制器处，从攻击追踪器接收针对追踪经过所述服务功能链域的攻击数据流的攻击源的请求，所述请求包括所述攻击数据流的流特性；

基于所述流特性来确定所述攻击数据流在所述服务功能链域中的服务功能路径；以及

至少向所述服务功能路径中所包括的分类器发送针对基于所述流特性进行流匹配的指令。

16.根据权利要求15所述的方法，其中至少向所述分类器发送针对所述流匹配的所述指令包括：

响应于所述攻击源存在于所述服务功能链域中，向所述分类器和所述服务功能路径中所包括的一组服务功能转发器并发地发送针对基于所述流特性进行所述流匹配的指令。

17.根据权利要求15或16所述的方法，还包括：

向所述攻击追踪器发送所述服务功能路径。

18.一种追踪攻击源的设备，包括：

至少一个处理器；以及

至少一个存储器，包括计算机程序代码；

所述至少一个存储器和所述计算机程序代码被配置为与所述至少一个处理器一起使所述设备：

在攻击追踪器处，向多个服务功能链域中的第一服务功能链域发送针对追踪相继经过所述多个服务功能链域的攻击数据流的攻击源的请求，所述请求包括所述攻击数据流的流特性；

从所述第一服务功能链域接收基于所述流特性进行的流匹配的第一组结果；以及

至少部分地基于所述第一组结果在所述多个服务功能链域中标识所述攻击源。

19.根据权利要求18所述的设备，其中发送所述请求包括：

向所述第一服务功能链域中的服务功能链控制器发送所述请求。

20.根据权利要求18或19所述的设备，其中所述第一组结果包括关于所述攻击数据流的所述流特性是否与所述第一服务功能链域中的分类器处所存储的所述攻击数据流的流特性相匹配的指示，并且接收所述第一组结果包括：

从所述第一服务功能链域中的所述分类器接收所述指示。

21.根据权利要求20所述的设备，其中标识所述攻击源包括：

响应于关于所述攻击数据流的所述流特性与所存储的流特性相匹配的指示，确定所述攻击源不存在于所述第一服务功能链域；

向所述多个服务功能链域中的第二服务功能链域发送针对追踪所述攻击源的所述请求，所述攻击数据流连续经过所述第二服务功能链域和所述第一服务功能链域；

从所述第二服务功能链域接收基于所述流特性进行的流匹配的第二组结果；以及

至少部分基于所述第二组结果在所述多个服务功能链域中标识所述攻击源。

22.根据权利要求21所述的设备，其中还使所述设备：

从所述第一服务功能链域中的所述分类器接收所述第二服务功能链域的标识。

23.根据权利要求20所述的设备，其中标识所述攻击源包括：

响应于所述指示指明所述攻击数据流的所述流特性与所存储的流特性不匹配，确定所述攻击源存在于所述第一服务功能链域中。

24.根据权利要求18、19和21至23中任一项所述的设备，其中所述第一组结果包括关于所述攻击数据流的所述流特性是否与所述第一服务功能链域中的一组服务功能转发器处所存储的所述攻击数据流的流特性相匹配的一组指示，并且接收所述第一组结果包括：

从所述第一服务功能链域中的所述一组服务功能转发器接收所述一组指示。

25.根据权利要求24所述的设备，其中标识所述攻击源包括：

从所述第一服务功能链域中的服务功能链控制器接收所述攻击数据流在所述第一服务功能链域中的服务功能路径；以及

基于所述一组指示和所述服务功能路径在所述第一服务功能链域中标识所述攻击源。

26.一种用于追踪攻击源的设备，包括：

至少一个处理器；以及

至少一个存储器，包括计算机程序代码；

所述至少一个存储器和所述计算机程序代码被配置为与所述至少一个处理器一起使所述设备：

在多个服务功能链域中的第一服务功能链域中的分类器处接收针对基于相继经过所述多个服务功能链域的攻击数据流的流特性进行流匹配的指令；

确定所述攻击数据流的所述流特性是否与所述分类器处所存储的与所述攻击数据流相关联的流特性相匹配；以及

响应于确定所述攻击数据流的所述流特性与所存储的流特性相匹配，向攻击追踪器发送对所述多个服务功能链域中的第二服务功能链域的指示以及关于所述攻击数据流的所述流特性与所存储的流特性相匹配的指示，所述攻击数据流连续经过所述第二服务功能链域和所述第一服务功能链域。

27.根据权利要求26所述的设备，其中所述攻击数据流的所述流特性包括所述攻击数据流的源互联网协议地址，并且确定所述攻击数据流的所述流特性是否与所存储的流特性相匹配包括：

基于所述攻击数据流的所述源互联网协议地址从存储在所述分类器处的流特性中选择与所述攻击数据流相关联的流特性；以及

确定所述攻击数据流的所述流特性是否与所选择的流特性相匹配。

28.根据权利要求27所述的设备，其中确定所述攻击数据流的所述流特性是否与所选择的流特性相匹配包括：

基于所述攻击数据流的所述流特性来计算哈希值；以及

将所计算的哈希值与基于所选择的流特性而计算的哈希值进行比较。

29.根据权利要求26至28中任一项所述的设备，其中还使所述设备：

针对数据流存储关于所述第一服务功能链域的相邻上游服务功能链域的信息。

30.根据权利要求26至28中任一项所述的设备，其中还使所述设备：

将所述第一服务功能链域的标识符记录到数据流的元数据中。

31.根据权利要求26至28中任一项所述的设备，其中接收针对所述流匹配的所述指示包括：

从所述第一服务功能链域中的服务功能链控制器接收针对所述流匹配的所述指示。

32.一种用于追踪攻击源的设备，包括：

至少一个处理器；以及

至少一个存储器，包括计算机程序代码；

所述至少一个存储器和所述计算机程序代码被配置为与所述至少一个处理器一起使所述设备：

在服务功能链域中的服务功能链控制器处，从攻击追踪器接收针对追踪经过所述服务功能链域的攻击数据流的攻击源的请求，所述请求包括所述攻击数据流的流特性；

基于所述流特性来确定所述攻击数据流在所述服务功能链域中的服务功能路径；以及

至少向所述服务功能路径中所包括的分类器发送针对基于所述流特性进行流匹配的指令。

33.根据权利要求32所述的设备，其中至少向所述分类器发送针对所述流匹配的所述指令包括：

响应于所述攻击源存在于所述服务功能链域中，向所述分类器和所述服务功能路径中所包括的一组服务功能转发器并发地发送针对基于所述流特性进行所述流匹配的指令。

34.根据权利要求32或33所述的设备，其中还使所述设备：

向所述攻击追踪器发送所述服务功能路径。

35.一种计算机可读存储介质，在其上存储有计算机程序，所述计算机程序在由处理器执行时使所述处理器：

在攻击追踪器处，向多个服务功能链域中的第一服务功能链域发送针对追踪相继经过所述多个服务功能链域的攻击数据流的攻击源的请求，所述请求包括所述攻击数据流的流特性；

从所述第一服务功能链域接收基于所述流特性进行的流匹配的第一组结果；以及

至少部分基于所述第一组结果在所述多个服务功能链域中标识所述攻击源。

36.一种计算机可读存储介质，在其上存储有计算机程序，所述计算机程序在由处理器执行时使所述处理器：

在多个服务功能链域中的第一服务功能链域中的分类器处，接收针对基于相继经过所述多个服务功能链域的攻击数据流的流特性进行流匹配的指令；

确定所述攻击数据流的所述流特性是否与所述分类器处所存储的与所述攻击数据流相关联的流特性相匹配；以及

响应于确定所述攻击数据流的所述流特性与所存储的流特性相匹配，向攻击追踪器发送对所述多个服务功能链域中的第二服务功能链域的指示以及关于所述攻击数据流的所述流特性与所存储的流特性相匹配的指示，所述攻击数据流连续经过所述第二服务功能链域和所述第一服务功能链域。

37.一种计算机可读存储介质，在其上存储有计算机程序，所述计算机程序在由处理器执行时使所述处理器：

在服务功能链域中的服务功能链控制器处，从攻击追踪器接收针对追踪经过所述服务功能链域的攻击数据流的攻击源的请求，所述请求包括所述攻击数据流的流特性；

基于所述流特性确定所述服务功能链域中的所述攻击数据流的服务功能路径；以及

至少向所述服务功能路径中所包括的分类器发送针对基于所述流特性进行流匹配的指令。