CN117254978A - 一种异常扫描行为的处理方法及装置 - Google Patents

一种异常扫描行为的处理方法及装置 Download PDF

Info

Publication number
CN117254978A
CN117254978A CN202311532051.4A CN202311532051A CN117254978A CN 117254978 A CN117254978 A CN 117254978A CN 202311532051 A CN202311532051 A CN 202311532051A CN 117254978 A CN117254978 A CN 117254978A
Authority
CN
China
Prior art keywords
flow table
new flow
new
unit time
newly
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202311532051.4A
Other languages
English (en)
Other versions
CN117254978B (zh
Inventor
薛博
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Suzhou Metabrain Intelligent Technology Co Ltd
Original Assignee
Suzhou Metabrain Intelligent Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Suzhou Metabrain Intelligent Technology Co Ltd filed Critical Suzhou Metabrain Intelligent Technology Co Ltd
Priority to CN202311532051.4A priority Critical patent/CN117254978B/zh
Publication of CN117254978A publication Critical patent/CN117254978A/zh
Application granted granted Critical
Publication of CN117254978B publication Critical patent/CN117254978B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明实施例提供了一种异常扫描行为的处理方法及装置,所述方法包括:在基于开放流表的虚拟网络中,当数据包与虚拟交换机的流表不匹配时,新建流表并获取单位时间内的新建流表数;根据预设规则计算标准新建流表数,并根据所述标准新建流表数与所述单位时间内的新建流表数,计算新建流表波动偏差率;获取单位时间内的转发规则为直接丢弃的流表数,并根据所述转发规则为直接丢弃的流表数与所述单位时间内的新建流表数,计算无效建表率;根据所述新建流表波动偏差率与所述无效建表率,判断是否发生异常扫描行为,若发生所述异常扫描行为,则对所述异常扫描行为进行限制;提高了虚拟网络中异常扫描行为的识别效率,并减少了对资源的浪费。

Description

一种异常扫描行为的处理方法及装置
技术领域
本发明涉及网络安全技术领域,特别是涉及一种异常扫描行为的处理方法及装置。
背景技术
随着计算机的日益普及,计算机网络安全显得尤为重要。网络面临的威胁有很多,其中大多数攻击手段的目的都是获取目标网络的网络拓扑,或者目标主机的开放端口,从而更好的掌握目标网络和目标主机的有效信息。因此绝大多数黑客的网络攻击都是从扫描开始,扫描主要分为IP扫描和端口扫描两种。IP扫描一般为向同一网段的多个主机发起扫描。攻击者通常使用ICMP(Internet Control Message Protocol,互联网控制消息协议)协议进行IP扫描。端口扫描则是向同一IP的不同端口进行扫描。攻击者通常使用UDP(UserDatagram Protocol,用户数据报协议)报文进行扫描。
而随着虚拟化网络的普及,越来越多的企业、组织开始把自己的业务迁移到虚拟化或超融合系统。许多虚拟化或超融合系统的网络都是基于openflow(开放流表)实现的虚拟网络。
传统网络中一般是靠局域网入口的硬件防火墙来对外来入侵行为进行防御。硬件防火墙可以防御各种网络攻击,也可以过滤有病毒的文件。然而虚拟网络与传统物理网络有很大不同,当有外部主机对内部虚拟机网络进行IP扫描时,会被物理防火墙隔绝在虚拟机网络之外。但如果在这之前黑客已经控制了虚拟网络中的一台虚拟机,并通过这台主机在虚拟网络内部进行IP扫描,由于虚拟网络内部的通信是基于openflow的,会通过一个虚拟交换机进行转发,而不会经过物理防火墙,所以物理防火墙也无法对这种行为进行有效阻止。目前在openflow网络上实现防扫描的方法一般都是通过关注流表中具体主机的具体IP和端口的变化,跟踪相同源IP的目的IP和端口的分布实现的;但在主机IP数过多的情况下需要消耗大量的资源来进行防扫描跟踪,容易造成资源的浪费。
发明内容
鉴于上述问题,提出了以便提供克服上述问题或者至少部分地解决上述问题的一种异常扫描行为的处理方法及装置,包括:
一种异常扫描行为的处理方法,所述方法包括:
在基于开放流表的虚拟网络中,当数据包与虚拟交换机的流表不匹配时,新建流表并获取单位时间内的新建流表数;
根据预设规则计算标准新建流表数,并根据所述标准新建流表数与所述单位时间内的新建流表数,计算新建流表波动偏差率;
获取单位时间内的转发规则为直接丢弃的流表数,并根据所述转发规则为直接丢弃的流表数与所述单位时间内的新建流表数,计算无效建表率;
根据所述新建流表波动偏差率与所述无效建表率,判断是否发生异常扫描行为,若发生所述异常扫描行为,则对所述异常扫描行为进行限制。
可选的,所述根据预设规则计算标准新建流表数的步骤包括:
周期性的统计预设时间段内的新建流表数平均值,并将所述平均值作为标准新建流表数。
可选的,所述获取单位时间内的转发规则为直接丢弃的流表数,并根据所述转发规则为直接丢弃的流表数与所述单位时间内的新建流表数计算无效建表率之前,还包括:
判断所述新建流表波动偏差率是否大于第一阈值,若所述新建流表波动偏差率大于第一阈值,则获取单位时间内的转发规则为直接丢弃的流表数,并根据所述转发规则为直接丢弃的流表数与所述单位时间内的新建流表数计算无效建表率。
可选的,所述根据所述新建流表波动偏差率与所述无效建表率,判断是否发生异常扫描行为之前,还包括:
判断所述无效建表率是否大于第二阈值,若所述无效建表率大于第二阈值,则根据所述新建流表波动偏差率与所述无效建表率,判断是否发生异常扫描行为。
可选的,所述根据所述新建流表波动偏差率与所述无效建表率,判断是否发生异常扫描行为的步骤包括:
计算所述新建流表波动偏差率与所述无效建表率的结合值,并判断所述结合值是否大于第三阈值,若所述结合值大于所述第三阈值,则判断发生了异常扫描行为。
可选的,所述对所述异常扫描行为进行限制的方法至少包括以下任一种或多种:
限制新建流表的频率;直接禁止某一IP新建流表。
可选的,所述周期性的统计预设时间段内的新建流表数平均值,并将所述平均值作为标准新建流表数的步骤包括:
每经过第一规定时长进行一次新建流表数的样本抽样检查;其中,所述样本抽样检查为在第二规定时长内持续统计新建流表数,
计算出在所述第二规定时长内持续统计的新建流表数的平均值,并将所述平均值作为标准新建流表数。
可选的,所述当数据包与虚拟交换机的流表不匹配时,新建流表并获取单位时间内的新建流表数的步骤包括:
通过五元组判断所述数据包与虚拟交换机的流表是否匹配,若所述数据包与虚拟交换机的流表不匹配,则新建流表并获取单位时间内的新建流表数。
可选的,所述当数据包与虚拟交换机的流表不匹配时,新建流表并获取单位时间内的新建流表数的步骤还包括:
若所述数据包与虚拟交换机的流表匹配,则将所述数据包按照所述流表的转发规则进行转发处理。
可选的,所述获取单位时间内的转发规则为直接丢弃的流表数之前,还包括:
判断所述新建流表对应的数据包能否进行回复,若不能进行回复,则将所述新建流表的转发规则设定为直接丢弃。
可选的,所述第二规定时长小于所述第一规定时长。
可选的,所述第一阈值和所述第二阈值均小于所述第三阈值。
一种异常扫描行为的处理装置,所述装置包括:
新建流表数获取模块,用于在基于开放流表的虚拟网络中,当数据包与虚拟交换机的流表不匹配时,新建流表并获取单位时间内的新建流表数;
新建流表波动偏差率获取模块,根据预设规则计算标准新建流表数,并根据所述标准新建流表数与所述单位时间内的新建流表数,计算新建流表波动偏差率;
无效建表率获取模块,用于获取单位时间内的转发规则为直接丢弃的流表数,并根据所述转发规则为直接丢弃的流表数与所述单位时间内的新建流表数计算无效建表率;
异常扫描行为判断模块,用于根据所述新建流表波动偏差率与所述无效建表率,判断是否发生异常扫描行为,若发生所述异常扫描行为,则对所述异常扫描行为进行限制。
一种电子设备,包括处理器、存储器及存储在所述存储器上并能够在所述处理器上运行的计算机程序,所述计算机程序被所述处理器执行时实现如上所述的异常扫描行为的处理方法。
一种计算机可读存储介质,所述计算机可读存储介质上存储计算机程序,所述计算机程序被处理器执行时实现如上所述的异常扫描行为的处理方法。
本发明实施例具有以下优点:
在本发明实施例中,通过在基于开放流表的虚拟网络中,当数据包与虚拟交换机的流表不匹配时,新建流表并获取单位时间内的新建流表数;之后根据预设规则计算标准新建流表数,并根据标准新建流表数与单位时间内的新建流表数,计算新建流表波动偏差率;随后获取单位时间内的转发规则为直接丢弃的流表数,并根据转发规则为直接丢弃的流表数与单位时间内的新建流表数,计算无效建表率;根据新建流表波动偏差率与无效建表率,判断是否发生异常扫描行为,若发生异常扫描行为,则对异常扫描行为进行限制,实现了通过对虚拟网络中流表的变化数据进行统计来判断是否发生了异常扫描行为并做出相应的处理,提高了虚拟网络中异常扫描行为的识别效率,相比于现有技术减少了对资源的浪费,大大提升了虚拟网络中反扫描的网络防御效果。
附图说明
为了更清楚地说明本发明的技术方案,下面将对本发明的描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本发明提供的相关技术中的虚拟网络示意图;
图2是本发明一实施例提供的一种异常扫描行为的处理方法的步骤流程图;
图3是本发明提供的异常扫描行为的处理功能的实现原理图;
图4是本发明提供的异常扫描行为的处理流程图;
图5是本发明一实施例提供的另一种异常扫描行为的处理方法的步骤流程图;
图6是本发明一实施例提供的另一种异常扫描行为的处理方法的步骤流程图;
图7本发明一实施例提供的一种异常扫描行为的处理装置的结构示意图。
具体实施方式
为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本发明作进一步详细的说明。显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
随着计算机的日益普及,计算机网络安全显得尤为重要。网络面临的威胁有很多,其中大多数攻击手段的目的都是获取目标网络的网络拓扑,或者目标主机的开放端口,从而更好的掌握目标网络和目标主机的有效信息。因此绝大多数黑客的网络攻击都是从扫描开始,扫描主要分为IP扫描和端口扫描两种。IP扫描一般为向同一网段的多个主机发起扫描。攻击者通常使用ICMP协议进行IP扫描。端口扫描则是向同一IP的不同端口进行扫描。攻击者通常使用UDP报文进行扫描。
而随着虚拟化网络的普及,越来越多的企业、组织开始把自己的业务迁移到虚拟化或超融合系统。许多虚拟化或超融合系统的网络都是基于openflow实现的虚拟网络。
传统网络中一般是靠局域网入口的硬件防火墙来对外来入侵行为进行防御。硬件防火墙可以防御各种网络攻击,也可以过滤有病毒的文件。然而虚拟网络与传统物理网络有很大不同,如图1所示,为相关技术中的虚拟网络示意图,在网络入口(或边界)的FireWall是一台物理防火墙,当有外部主机对内部虚拟机网络进行IP扫描时,会被物理防火墙隔绝在虚拟机网络之外。但如果在这之前黑客已经控制了虚拟网络中的一台虚拟机,并通过这台主机在虚拟网络内部进行IP扫描,由于虚拟网络内部的通信是基于openflow的,会通过一个虚拟交换机进行转发,而不会经过物理防火墙,所以物理防火墙也无法对这种行为进行有效阻止。目前在openflow网络上实现防扫描的方法一般为:针对每个IP进行跟踪统计,当统计数据达到某个阈值的时候则判断为异常扫描行为,同时限制异常扫描行为也是根据IP进行的;但在主机IP数过多的情况下需要消耗大量的资源来进行防扫描跟踪,容易造成资源的浪费。
为了解决上述问题,本发明基于虚拟网络中数据包传输时流表条目的变化对相关技术中异常扫描行为的处理方法进行了改进,以下将结合附图对本发明进行详细地说明:
参照图2,示出了本发明一实施例提供的一种异常扫描行为的处理方法的步骤流程图,具体可以包括如下步骤:
步骤201,在基于开放流表的虚拟网络中,当数据包与虚拟交换机的流表不匹配时,新建流表并获取单位时间内的新建流表数;
在基于openflow的虚拟网络中,如图3所示为本发明所提供的异常扫描行为的处理功能在相关技术中的实现原理图,当有数据包通过虚拟交换机的时候,会先匹配所述交换机的流表,而一条流表的匹配会包含五元组的匹配(即源IP,目的IP,源端口,目的端口,协议);如果匹配到流表,则按照所述流表的转发规则进行转发处理;如果没有匹配到,则发送相应信息给控制器;控制器会决定如何转发并计算下发流表给虚拟交换机;而虚拟交换机会接收下发的流表并对流表进行更新;如果是无法回复的数据包会产生转发规则为直接丢弃的流表。
在上述内容的基础上,为了便于理解本发明的技术方案,以下对扫描行为进行更精确的描述:IP扫描通常是对同一网段的不同主机进行扫描,这就意味着其源IP往往是相同的而目的IP却是不同的;而端口扫描通常是对相同主机的不同端口进行扫描,这就意味着其目的IP的主机段是有变化的,也就是其IP的后几位应该是不同的;而在扫描的时候,因为扫描的发起者原本是不知道网络内部的拓扑和主机所开放的端口的,也就是说扫描行为相当于投石问路,大部分扫描数据包并不会得到回应。
由此可以得出,如果一个主机进行扫描行为,若是IP扫描,则目的IP会变,若是端口扫描,则目的端口会变;而目的IP和目的端口都是五元组的组成部分,也就是会所发生扫描时的五元组是不同的。而根据上述内容可知流表的建立是基于五元组的,五元组不同时意味着要产生一条新的流表;综上所述可以得出以下结论:当发生异常扫描行为的时候会伴随着大量的新建流表行为;同时,又因为扫描的时候会有大量数据包不会得到回复,则会产生大量转发规则为直接丢弃的流表。具体而言,当入侵者控制内网的一台主机后想要进行IP扫描时,会控制主机发送同一网段下的不同IP和不同端口的数据包,例如:192.168.1.1:1~192.168.1.254:5000;并通过每个主机的回复报文来判断此网络内的IP和端口开放情况;而由于扫描过程是发生在虚拟网络中,所以所发送的数据包会根据openflow的流表进行转发,同时因为所发数据包的目的IP和端口不同,会大量建立流表;但因为异常扫描行为的本质使得新建流表中会有相当部分是需要直接丢弃的流表。
因此,在具体实现中,可以将异常扫描行为的处理功能基于流表的建立流程来实现;当数据包与虚拟交换机的流表不匹配时,可以新建流表并获取单位时间内的新建流表数,从而便于根据所述新建流表数计算相应指标以用于后续步骤中对异常扫描行为进行判断,其中获取单位时间内的新建流表数的步骤可以在新建流表时同时同步进行,也可以在新建流表之后再进行统计,本发明对此不作限制。
在本发明一实施例中,所述当数据包与虚拟交换机的流表不匹配时,新建流表并获取单位时间内的新建流表数的步骤包括:
通过五元组判断所述数据包与虚拟交换机的流表是否匹配,若所述数据包与虚拟交换机的流表不匹配,则新建流表并获取单位时间内的新建流表数。
在具体实现中,当有数据包通过虚拟交换机的时候,可以通过五元组判断所述数据包与虚拟交换机的流表是否匹配;如果判断匹配,则可以按照所述流表的转发规则进行转发处理;如果判断为不匹配,则可以通过发送相应信息给控制器;让控制器决定如何转发并计算下发流表给虚拟交换机;而虚拟交换机会接收下发的流表并对流表进行更新;如果是无法回复的数据包会产生转发规则为直接丢弃的流表。
在本发明一实施例中,所述当数据包与虚拟交换机的流表不匹配时,新建流表并获取单位时间内的新建流表数的步骤还包括:
若所述数据包与虚拟交换机的流表匹配,则将所述数据包按照所述流表的转发规则进行转发处理。
在具体实现中,当有数据包通过虚拟交换机的时候,可以通过五元组判断所述数据包与虚拟交换机的流表是否匹配;如果判断匹配,则可以按照所述流表的转发规则进行转发处理。
步骤202,根据预设规则计算标准新建流表数,并根据所述标准新建流表数与所述单位时间内的新建流表数,计算新建流表波动偏差率;
在实际应用中,可以根据预设规则计算标准新建流表数,其中预设规则可以由用户自行设定,例如可以每过一个小时便进行一次新建流表数的样本抽样检查,具体的抽样检查步骤可以是每秒统计新建流表数,持续五分钟。然后计算出平均值,并将所述平均值作为标准新建表数;在得到所述标准新建流表数与所述单位时间内的新建流表数,便可以在此基础上计算新建流表波动偏差率;例如可以将每分钟的新建流表数与标准新建流表数做差,并将结果除以标准新建流表数得到新建流表波动偏差率X,即(|每分钟新建流表数–标准新建流表数|)/标准新建流表数,例如具体公式可以为:
其中,X为新建流表波动偏差率,A为单位时间内的新建流表数,B为标准新建流表数;如果新建流表波动偏差率大于50%,说明新建流表数起伏很大,可能是异常扫描行为;如果这个数大于100%,说明新建流表数起伏非常大,极可能是异常扫描行为,并可以将计算出的新建流表波动偏差率用于后续的判断步骤中,从而更准确的判断异常扫描行为。
在本发明一实施例中,所述根据预设规则计算标准新建流表数的步骤包括:
周期性的统计预设时间段内的新建流表数平均值,并将所述平均值作为标准新建流表数。
在实际应用中,可以周期性的统计预设时间段内的新建流表数平均值,并将所述平均值作为标准新建流表数,例如可以每过一个小时便进行一次新建流表数的样本抽样检查,具体的抽样检查步骤可以是每秒统计新建流表数,所述预设时间段可以设定为五分钟;然后计算出平均值,并将所述平均值作为标准新建表数,进而更合理的计算出新建流表波动偏差率并用于后续的判断步骤。
在本发明一实施例中,所述周期性的统计预设时间段内的新建流表数平均值,并将所述平均值作为标准新建流表数的步骤包括:
每经过第一规定时长进行一次新建流表数的样本抽样检查;其中,所述样本抽样检查为在第二规定时长内持续统计新建流表数,
计算出在所述第二规定时长内持续统计的新建流表数的平均值,并将所述平均值作为标准新建流表数。
在具体实现中,可以每经过第一规定时长进行一次新建流表数的样本抽样检查;其中,所述样本抽样检查为在第二规定时长内持续统计新建流表数,并计算出在所述第二规定时长内持续统计的新建流表数的平均值,并将所述平均值作为标准新建流表数;例如可以每过一个小时便进行一次新建流表数的样本抽样检查,具体的抽样检查步骤可以是每秒统计新建流表数,所述第二规定时长可以设定为五分钟;然后计算出平均值,并将所述平均值作为标准新建表数,进而更合理的计算出新建流表波动偏差率并用于后续的判断步骤。
在本发明一实施例中,所述第二规定时长小于所述第一规定时长。
在具体实现中,所述第二规定时长可以小于所述第一规定时长,以使算出的数值更加合理且准确,进而更合理的计算出新建流表波动偏差率并用于后续的判断步骤。
步骤203,获取单位时间内的转发规则为直接丢弃的流表数,并根据所述转发规则为直接丢弃的流表数与所述单位时间内的新建流表数,计算无效建表率;
在实际应用中,可以获取单位时间内的转发规则为直接丢弃的流表数,并根据所述转发规则为直接丢弃的流表数与所述单位时间内的新建流表数,计算无效建表率;例如可以同时统计最近五分钟内的新建转发规则为直接丢弃的流表数占总新建流表数的平均值来得到标准无效建表率;之后每分钟统计一次新建流表数和新建转发规则为直接丢弃的流表数,将每分钟的新建转发规则为直接丢弃的流表数/新建流表数,结果得到无效建表率Y;例如具体公式可以为:
其中,Y为无效建表率,C为新建转发规则为直接丢弃的流表数,A为单位时间内的新建流表数;如果无效建表率大于50%,说明新建流表很多都是废弃的表,可能是异常扫描行为;如果无效建表率大于80%,说明新建废弃流表占比非常大,极可能是异常扫描行为;并可以将计算出的无效建表率用于后续的判断步骤中,从而更准确的判断异常扫描行为。
在本发明一实施例中,所述获取单位时间内的转发规则为直接丢弃的流表数,并根据所述转发规则为直接丢弃的流表数与所述单位时间内的新建流表数计算无效建表率之前,还包括:
判断所述新建流表波动偏差率是否大于第一阈值,若所述新建流表波动偏差率大于第一阈值,则获取单位时间内的转发规则为直接丢弃的流表数,并根据所述转发规则为直接丢弃的流表数与所述单位时间内的新建流表数计算无效建表率。
在实际应用中,可以判断所述新建流表波动偏差率是否大于第一阈值,若所述新建流表波动偏差率大于第一阈值,则获取单位时间内的转发规则为直接丢弃的流表数,并根据所述转发规则为直接丢弃的流表数与所述单位时间内的新建流表数计算无效建表率,例如可以将第一阈值设为50%,若新建流表波动偏差率大于50%,则说明新建流表数起伏很大,可能是异常扫描行为;如果这个数大于100%,则说明新建流表数起伏非常大,极可能是异常扫描行为,并可以将计算出的新建流表波动偏差率用于后续的判断步骤中,从而更准确的判断异常扫描行为。
在本发明一实施例中,所述获取单位时间内的转发规则为直接丢弃的流表数之前,还包括:
判断所述新建流表对应的数据包能否进行回复,若不能进行回复,则将所述新建流表的转发规则设定为直接丢弃。
在具体实现中,当有数据包通过虚拟交换机的时候,可以通过五元组判断所述数据包与虚拟交换机的流表是否匹配;如果判断匹配,则可以按照所述流表的转发规则进行转发处理;如果判断为不匹配,则可以通过发送相应信息给控制器;让控制器决定如何转发并计算下发流表给虚拟交换机;而虚拟交换机会接收下发的流表并对流表进行更新;如果是无法回复的数据包会产生转发规则为直接丢弃的流表。
步骤204,根据所述新建流表波动偏差率与所述无效建表率,判断是否发生异常扫描行为,若发生所述异常扫描行为,则对所述异常扫描行为进行限制。
在实际应用中,可以通过新建流表波动偏差率与所述无效建表率的结合值来判断扫描是否发生,例如可以按照如下公式计算所述结合值:
其中,D为新建流表波动偏差率与所述无效建表率的结合值,X为新建流表波动偏差率,Y为无效建表率;若所述结合值大于80%,则说明新建流表波动偏差率与无效建表率平均都大于80%,这两个值的平均数达到80%可以证明扫描风险已经足够高,因此可以直接认定为是异常扫描行为;而在判断发生了异常扫描行为之后,可以通过限制新建流表的频率;直接禁止某一IP新建流表等方式对异常扫描行为进行限制;而上述限制过程可以主要限制新建流表行为,而不是限制新建转发规则为直接丢弃的流表,因为正是这一部分流表规定了要对扫描者的异常扫描行为进行回复,从而使扫描者达到目的,所以要进行对应限制。
在本发明一实施例中,所述根据所述新建流表波动偏差率与所述无效建表率,判断是否发生异常扫描行为之前,还包括:
判断所述无效建表率是否大于第二阈值,若所述无效建表率大于第二阈值,则根据所述新建流表波动偏差率与所述无效建表率,判断是否发生异常扫描行为。
在实际应用中,可以判断所述无效建表率是否大于第二阈值,若所述无效建表率大于第二阈值,则根据所述新建流表波动偏差率与所述无效建表率,判断是否发生异常扫描行为;例如可以将所述第二阈值设置为50%,如果无效建表率大于50%,则说明新建流表很多都是废弃的表,可能是异常扫描行为;如果无效建表率大于80%,说明新建废弃流表占比非常大,极可能是异常扫描行为;并可以将计算出的无效建表率用于后续的判断步骤中,从而更准确的判断异常扫描行为。
在本发明一实施例中,所述根据所述新建流表波动偏差率与所述无效建表率,判断是否发生异常扫描行为的步骤包括:
计算所述新建流表波动偏差率与所述无效建表率的结合值,并判断所述结合值是否大于第三阈值,若所述结合值大于所述第三阈值,则判断发生了异常扫描行为。
在具体实现中,可以计算所述新建流表波动偏差率与所述无效建表率的结合值,并判断所述结合值是否大于第三阈值,若所述结合值大于所述第三阈值,则判断发生了异常扫描行为;例如可以将第三阈值设置为80%,若所述结合值大于80%,则说明新建流表波动偏差率与无效建表率平均都大于80%,这两个值的平均数达到80%可以证明扫描风险已经足够高,因此可以直接认定为是异常扫描行为;而在判断发生了异常扫描行为之后,可以通过限制新建流表的频率;直接禁止某一IP新建流表等方式对异常扫描行为进行限制。
在本发明一实施例中,所述对所述异常扫描行为进行限制的方法至少包括以下任一种或多种:
限制新建流表的频率;直接禁止某一IP新建流表。
在实际应用中,在判断发生了异常扫描行为之后,可以通过限制新建流表的频率;直接禁止某一IP新建流表等方式对异常扫描行为进行限制;而上述限制过程可以主要限制新建流表行为,而不是限制新建转发规则为直接丢弃的流表,因为正是这一部分流表规定了要对扫描者的异常扫描行为进行回复,从而使扫描者达到目的,所以要进行对应限制。
在本发明一实施例中,所述第一阈值和所述第二阈值均小于所述第三阈值。
在具体实现中,所述第一阈值和所述第二阈值可以均小于所述第三阈值;以使判断结果更加合理且准确,进而更精准的识别出异常扫描行为并及时对所述异常扫描行为进行对应限制。
在上述内容的基础上,为了便于理解以及更详细地说明本发明的技术方案,参照图4,示出了本发明提供的异常扫描行为的处理流程图,所述流程可以总结为以下步骤:
首先,可以利用令牌桶算法计算单位时间内的各项指标,并判断单位时间内新增流表数是否达到阈值,若未达到阈值则可以正常进行下一步,若达到阈值,则可以继续判断单位时间内有效流表率是否达到阈值,若未达到阈值则可以正常进行下一步,若达到阈值,则判断为异常扫描行为,可以按照对应处理流程进行下一步的操作。
参照图5,示出了本发明一实施例提供的另一种异常扫描行为的处理方法的步骤流程图,具体可以包括如下步骤:
步骤501,在基于开放流表的虚拟网络中,通过五元组判断所述数据包与虚拟交换机的流表是否匹配,当数据包与虚拟交换机的流表不匹配时,新建流表并获取单位时间内的新建流表数;
在具体实现中,当有数据包通过虚拟交换机的时候,可以通过五元组判断所述数据包与虚拟交换机的流表是否匹配;如果判断匹配,则可以按照所述流表的转发规则进行转发处理;如果判断为不匹配,则可以通过发送相应信息给控制器;让控制器决定如何转发并计算下发流表给虚拟交换机;而虚拟交换机会接收下发的流表并对流表进行更新;如果是无法回复的数据包会产生转发规则为直接丢弃的流表;进而可以新建流表并获取单位时间内的新建流表数,从而便于根据所述新建流表数计算相应指标以用于后续步骤中对异常扫描行为进行判断,其中获取单位时间内的新建流表数的步骤可以在新建流表时同时同步进行,也可以在新建流表之后再进行统计,本发明对此不作限制。
步骤502,周期性的统计预设时间段内的新建流表数平均值,并将所述平均值作为标准新建流表数,并根据所述标准新建流表数与所述单位时间内的新建流表数,计算新建流表波动偏差率;
在实际应用中,可以周期性的统计预设时间段内的新建流表数平均值,并将所述平均值作为标准新建流表数,例如可以每过一个小时便进行一次新建流表数的样本抽样检查,具体的抽样检查步骤可以是每秒统计新建流表数,所述预设时间段可以设定为五分钟;然后计算出平均值,并将所述平均值作为标准新建表数,进而更合理的计算出新建流表波动偏差率并用于后续的判断步骤;例如可以将每分钟的新建流表数与标准新建流表数做差,并将结果除以标准新建流表数得到新建流表波动偏差率X,即(|每分钟新建流表数–标准新建流表数|)/标准新建流表数,例如具体公式可以为:
其中,X为新建流表波动偏差率,A为单位时间内的新建流表数,B为标准新建流表数;如果新建流表波动偏差率大于50%,说明新建流表数起伏很大,可能是异常扫描行为;如果这个数大于100%,说明新建流表数起伏非常大,极可能是异常扫描行为,并可以将计算出的新建流表波动偏差率用于后续的判断步骤中,从而更准确的判断异常扫描行为。
步骤503,判断所述新建流表对应的数据包能否进行回复,若不能进行回复,则将所述新建流表的转发规则设定为直接丢弃;获取单位时间内的转发规则为直接丢弃的流表数,并根据所述转发规则为直接丢弃的流表数与所述单位时间内的新建流表数,计算无效建表率;
当有数据包通过虚拟交换机的时候,可以通过五元组判断所述数据包与虚拟交换机的流表是否匹配;如果判断匹配,则可以按照所述流表的转发规则进行转发处理;如果判断为不匹配,则可以通过发送相应信息给控制器;让控制器决定如何转发并计算下发流表给虚拟交换机;而虚拟交换机会接收下发的流表并对流表进行更新;如果是无法回复的数据包会产生转发规则为直接丢弃的流表;进一步的,可以获取单位时间内的转发规则为直接丢弃的流表数,并根据所述转发规则为直接丢弃的流表数与所述单位时间内的新建流表数,计算无效建表率;例如可以同时统计最近五分钟内的新建转发规则为直接丢弃的流表数占总新建流表数的平均值来得到标准无效建表率;之后每分钟统计一次新建流表数和新建转发规则为直接丢弃的流表数,将每分钟的新建转发规则为直接丢弃的流表数/新建流表数,结果得到无效建表率Y;例如具体公式可以为:
其中,Y为无效建表率,C为新建转发规则为直接丢弃的流表数,A为单位时间内的新建流表数;如果无效建表率大于50%,说明新建流表很多都是废弃的表,可能是异常扫描行为;如果无效建表率大于80%,说明新建废弃流表占比非常大,极可能是异常扫描行为;并可以将计算出的无效建表率用于后续的判断步骤中,从而更准确的判断异常扫描行为。
步骤504,根据所述新建流表波动偏差率与所述无效建表率,判断是否发生异常扫描行为,若发生所述异常扫描行为,则对所述异常扫描行为进行限制;其中,所述对所述异常扫描行为进行限制的方法至少包括以下任一种或多种:限制新建流表的频率;直接禁止某一IP新建流表。
在实际应用中,可以通过新建流表波动偏差率与所述无效建表率的结合值来判断扫描是否发生,例如可以按照如下公式计算所述结合值:
其中,D为新建流表波动偏差率与所述无效建表率的结合值,X为新建流表波动偏差率,Y为无效建表率;若所述结合值大于80%,则说明新建流表波动偏差率与无效建表率平均都大于80%,这两个值的平均数达到80%可以证明扫描风险已经足够高,因此可以直接认定为是异常扫描行为;而在判断发生了异常扫描行为之后,可以通过限制新建流表的频率;直接禁止某一IP新建流表等方式对异常扫描行为进行限制;而上述限制过程可以主要限制新建流表行为,而不是限制新建转发规则为直接丢弃的流表,因为正是这一部分流表规定了要对扫描者的异常扫描行为进行回复,从而使扫描者达到目的,所以要进行对应限制。
参照图6,示出了本发明一实施例提供的另一种异常扫描行为的处理方法的步骤流程图,具体可以包括如下步骤:
步骤601,在基于开放流表的虚拟网络中,当数据包与虚拟交换机的流表不匹配时,新建流表并获取单位时间内的新建流表数;
在具体实现中,可以将异常扫描行为的处理功能基于流表的建立流程来实现;当数据包与虚拟交换机的流表不匹配时,可以新建流表并获取单位时间内的新建流表数,从而便于根据所述新建流表数计算相应指标以用于后续步骤中对异常扫描行为进行判断,其中获取单位时间内的新建流表数的步骤可以在新建流表时同时同步进行,也可以在新建流表之后再进行统计,本发明对此不作限制。
步骤602,根据预设规则计算标准新建流表数,并根据所述标准新建流表数与所述单位时间内的新建流表数,计算新建流表波动偏差率;
在实际应用中,可以根据预设规则计算标准新建流表数,其中预设规则可以由用户自行设定,例如可以每过一个小时便进行一次新建流表数的样本抽样检查,具体的抽样检查步骤可以是每秒统计新建流表数,持续五分钟。然后计算出平均值,并将所述平均值作为标准新建表数;在得到所述标准新建流表数与所述单位时间内的新建流表数,便可以在此基础上计算新建流表波动偏差率;例如可以将每分钟的新建流表数与标准新建流表数做差,并将结果除以标准新建流表数得到新建流表波动偏差率X,即(|每分钟新建流表数–标准新建流表数|)/标准新建流表数,例如具体公式可以为:
其中,X为新建流表波动偏差率,A为单位时间内的新建流表数,B为标准新建流表数;如果新建流表波动偏差率大于50%,说明新建流表数起伏很大,可能是异常扫描行为;如果这个数大于100%,说明新建流表数起伏非常大,极可能是异常扫描行为,并可以将计算出的新建流表波动偏差率用于后续的判断步骤中,从而更准确的判断异常扫描行为。
步骤603,判断所述新建流表波动偏差率是否大于第一阈值,若所述新建流表波动偏差率大于第一阈值,则获取单位时间内的转发规则为直接丢弃的流表数,并根据所述转发规则为直接丢弃的流表数与所述单位时间内的新建流表数,计算无效建表率;
在实际应用中,可以判断所述新建流表波动偏差率是否大于第一阈值,若所述新建流表波动偏差率大于第一阈值,则获取单位时间内的转发规则为直接丢弃的流表数,并根据所述转发规则为直接丢弃的流表数与所述单位时间内的新建流表数计算无效建表率,例如可以将第一阈值设为50%,若新建流表波动偏差率大于50%,则说明新建流表数起伏很大,可能是异常扫描行为;如果这个数大于100%,则说明新建流表数起伏非常大,极可能是异常扫描行为,并可以将计算出的新建流表波动偏差率用于后续的判断步骤中,从而更准确的判断异常扫描行为;进而可以获取单位时间内的转发规则为直接丢弃的流表数,并根据所述转发规则为直接丢弃的流表数与所述单位时间内的新建流表数,计算无效建表率;例如可以同时统计最近五分钟内的新建转发规则为直接丢弃的流表数占总新建流表数的平均值来得到标准无效建表率;之后每分钟统计一次新建流表数和新建转发规则为直接丢弃的流表数,将每分钟的新建转发规则为直接丢弃的流表数/新建流表数,结果得到无效建表率Y;例如具体公式可以为:
其中,Y为无效建表率,C为新建转发规则为直接丢弃的流表数,A为单位时间内的新建流表数;如果无效建表率大于50%,说明新建流表很多都是废弃的表,可能是异常扫描行为;如果无效建表率大于80%,说明新建废弃流表占比非常大,极可能是异常扫描行为;并可以将计算出的无效建表率用于后续的判断步骤中,从而更准确的判断异常扫描行为。
步骤604,判断所述无效建表率是否大于第二阈值,若所述无效建表率大于第二阈值;则根据所述新建流表波动偏差率与所述无效建表率,判断是否发生异常扫描行为,若发生所述异常扫描行为,则对所述异常扫描行为进行限制。
在实际应用中,可以判断所述无效建表率是否大于第二阈值,若所述无效建表率大于第二阈值,则根据所述新建流表波动偏差率与所述无效建表率,判断是否发生异常扫描行为;例如可以将所述第二阈值设置为50%,如果无效建表率大于50%,则说明新建流表很多都是废弃的表,可能是异常扫描行为;如果无效建表率大于80%,说明新建废弃流表占比非常大,极可能是异常扫描行为;并可以将计算出的无效建表率用于后续的判断步骤中,从而更准确的判断异常扫描行为;进而可以通过新建流表波动偏差率与所述无效建表率的结合值来判断扫描是否发生,例如可以按照如下公式计算所述结合值:
其中,D为新建流表波动偏差率与所述无效建表率的结合值,X为新建流表波动偏差率,Y为无效建表率;若所述结合值大于80%,则说明新建流表波动偏差率与无效建表率平均都大于80%,这两个值的平均数达到80%可以证明扫描风险已经足够高,因此可以直接认定为是异常扫描行为;而在判断发生了异常扫描行为之后,可以通过限制新建流表的频率;直接禁止某一IP新建流表等方式对异常扫描行为进行限制;而上述限制过程可以主要限制新建流表行为,而不是限制新建转发规则为直接丢弃的流表,因为正是这一部分流表规定了要对扫描者的异常扫描行为进行回复,从而使扫描者达到目的,所以要进行对应限制。
需要说明的是,对于方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明实施例并不受所描述的动作顺序的限制,因为依据本发明实施例,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作并不一定是本发明实施例所必须的。
参照图7,示出了本发明一实施例提供的一种异常扫描行为的处理装置的结构示意图,具体可以包括如下模块:
新建流表数获取模块701,用于在基于开放流表的虚拟网络中,当数据包与虚拟交换机的流表不匹配时,新建流表并获取单位时间内的新建流表数;
新建流表波动偏差率获取模块702,根据预设规则计算标准新建流表数,并根据所述标准新建流表数与所述单位时间内的新建流表数,计算新建流表波动偏差率;
无效建表率获取模块703,用于获取单位时间内的转发规则为直接丢弃的流表数,并根据所述转发规则为直接丢弃的流表数与所述单位时间内的新建流表数计算无效建表率;
异常扫描行为判断模块704,用于根据所述新建流表波动偏差率与所述无效建表率,判断是否发生异常扫描行为,若发生所述异常扫描行为,则对所述异常扫描行为进行限制。
在本发明另一实施例中,所述新建流表波动偏差率获取模块702包括:
标准新建流表数获取子模块,用于周期性的统计预设时间段内的新建流表数平均值,并将所述平均值作为标准新建流表数。
在本发明另一实施例中,所述无效建表率获取模块703还包括:
新建流表波动偏差率判断子模块,用于判断所述新建流表波动偏差率是否大于第一阈值,若所述新建流表波动偏差率大于第一阈值,则获取单位时间内的转发规则为直接丢弃的流表数,并根据所述转发规则为直接丢弃的流表数与所述单位时间内的新建流表数计算无效建表率。
在本发明另一实施例中,所述标准新建流表数获取子模块包括:
标准新建流表数获取单元,用于每经过第一规定时长进行一次新建流表数的样本抽样检查;其中,所述样本抽样检查为在第二规定时长内持续统计新建流表数,
计算出在所述第二规定时长内持续统计的新建流表数的平均值,并将所述平均值作为标准新建流表数。
在本发明另一实施例中,所述新建流表数获取模块701包括:
流表匹配判断子模块,用于通过五元组判断所述数据包与虚拟交换机的流表是否匹配,若所述数据包与虚拟交换机的流表不匹配,则新建流表并获取单位时间内的新建流表数。
在本发明另一实施例中,所述新建流表数获取模块701还包括:
数据包转发子模块,用于若所述数据包与虚拟交换机的流表匹配,则将所述数据包按照所述流表的转发规则进行转发处理。
在本发明另一实施例中,所述异常扫描行为判断模块704还包括:
无效建表率判断子模块,用于判断所述无效建表率是否大于第二阈值,若所述无效建表率大于第二阈值,则根据所述新建流表波动偏差率与所述无效建表率,判断是否发生异常扫描行为。
在本发明另一实施例中,所述异常扫描行为判断模块704包括:
结合值获取子模块,用于计算所述新建流表波动偏差率与所述无效建表率的结合值,并判断所述结合值是否大于第三阈值,若所述结合值大于所述第三阈值,则判断发生了异常扫描行为。
本发明一实施例还提供了一种电子设备,可以包括处理器、存储器及存储在存储器上并能够在处理器上运行的计算机程序,计算机程序被处理器执行时实现如上异常扫描行为的处理方法。
本发明一实施例还提供了一种计算机可读存储介质,计算机可读存储介质上存储计算机程序,计算机程序被处理器执行时实现如上异常扫描行为的处理方法。
对于装置实施例而言,由于其与方法实施例基本相似,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。
本领域内的技术人员应明白,本发明实施例可提供为方法、装置、或计算机程序产品。因此,本发明实施例可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明实施例是参照根据本发明实施例的方法、终端设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理终端设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理终端设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理终端设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理终端设备上,使得在计算机或其他可编程终端设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程终端设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明实施例的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明实施例范围的所有变更和修改。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者终端设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者终端设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括上述要素的过程、方法、物品或者终端设备中还存在另外的相同要素。
以上对所提供的一种异常扫描行为的处理方法及装置,进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上,本说明书内容不应理解为对本发明的限制。

Claims (15)

1.一种异常扫描行为的处理方法,其特征在于,所述方法包括:
在基于开放流表的虚拟网络中,当数据包与虚拟交换机的流表不匹配时,新建流表并获取单位时间内的新建流表数;
根据预设规则计算标准新建流表数,并根据所述标准新建流表数与所述单位时间内的新建流表数,计算新建流表波动偏差率;
获取单位时间内的转发规则为直接丢弃的流表数,并根据所述转发规则为直接丢弃的流表数与所述单位时间内的新建流表数,计算无效建表率;
根据所述新建流表波动偏差率与所述无效建表率,判断是否发生异常扫描行为,若发生所述异常扫描行为,则对所述异常扫描行为进行限制。
2.根据权利要求1所述的方法,其特征在于,所述根据预设规则计算标准新建流表数的步骤包括:
周期性的统计预设时间段内的新建流表数平均值,并将所述平均值作为标准新建流表数。
3.根据权利要求1所述的方法,其特征在于,所述获取单位时间内的转发规则为直接丢弃的流表数,并根据所述转发规则为直接丢弃的流表数与所述单位时间内的新建流表数计算无效建表率之前,还包括:
判断所述新建流表波动偏差率是否大于第一阈值,若所述新建流表波动偏差率大于第一阈值,则获取单位时间内的转发规则为直接丢弃的流表数,并根据所述转发规则为直接丢弃的流表数与所述单位时间内的新建流表数计算无效建表率。
4.根据权利要求3所述的方法,其特征在于,所述根据所述新建流表波动偏差率与所述无效建表率,判断是否发生异常扫描行为之前,还包括:
判断所述无效建表率是否大于第二阈值,若所述无效建表率大于第二阈值,则根据所述新建流表波动偏差率与所述无效建表率,判断是否发生异常扫描行为。
5.根据权利要求4所述的方法,其特征在于,所述根据所述新建流表波动偏差率与所述无效建表率,判断是否发生异常扫描行为的步骤包括:
计算所述新建流表波动偏差率与所述无效建表率的结合值,并判断所述结合值是否大于第三阈值,若所述结合值大于所述第三阈值,则判断发生了异常扫描行为。
6.根据权利要求1所述的方法,其特征在于,所述对所述异常扫描行为进行限制的方法至少包括以下任一种或多种:
限制新建流表的频率;直接禁止某一IP新建流表。
7.根据权利要求2所述的方法,其特征在于,所述周期性的统计预设时间段内的新建流表数平均值,并将所述平均值作为标准新建流表数的步骤包括:
每经过第一规定时长进行一次新建流表数的样本抽样检查;其中,所述样本抽样检查为在第二规定时长内持续统计新建流表数,
计算出在所述第二规定时长内持续统计的新建流表数的平均值,并将所述平均值作为标准新建流表数。
8.根据权利要求1所述的方法,其特征在于,所述当数据包与虚拟交换机的流表不匹配时,新建流表并获取单位时间内的新建流表数的步骤包括:
通过五元组判断所述数据包与虚拟交换机的流表是否匹配,若所述数据包与虚拟交换机的流表不匹配,则新建流表并获取单位时间内的新建流表数。
9.根据权利要求8所述的方法,其特征在于,所述当数据包与虚拟交换机的流表不匹配时,新建流表并获取单位时间内的新建流表数的步骤还包括:
若所述数据包与虚拟交换机的流表匹配,则将所述数据包按照所述流表的转发规则进行转发处理。
10.根据权利要求1所述的方法,其特征在于,所述获取单位时间内的转发规则为直接丢弃的流表数之前,还包括:
判断所述新建流表对应的数据包能否进行回复,若不能进行回复,则将所述新建流表的转发规则设定为直接丢弃。
11.根据权利要求7所述的方法,其特征在于,所述第二规定时长小于所述第一规定时长。
12.根据权利要求5所述的方法,其特征在于,所述第一阈值和所述第二阈值均小于所述第三阈值。
13.一种异常扫描行为的处理装置,其特征在于,所述装置包括:
新建流表数获取模块,用于在基于开放流表的虚拟网络中,当数据包与虚拟交换机的流表不匹配时,新建流表并获取单位时间内的新建流表数;
新建流表波动偏差率获取模块,根据预设规则计算标准新建流表数,并根据所述标准新建流表数与所述单位时间内的新建流表数,计算新建流表波动偏差率;
无效建表率获取模块,用于获取单位时间内的转发规则为直接丢弃的流表数,并根据所述转发规则为直接丢弃的流表数与所述单位时间内的新建流表数计算无效建表率;
异常扫描行为判断模块,用于根据所述新建流表波动偏差率与所述无效建表率,判断是否发生异常扫描行为,若发生所述异常扫描行为,则对所述异常扫描行为进行限制。
14.一种电子设备,其特征在于,包括处理器、存储器及存储在所述存储器上并能够在所述处理器上运行的计算机程序,所述计算机程序被所述处理器执行时实现如权利要求1至12中任一项所述的异常扫描行为的处理方法。
15.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储计算机程序,所述计算机程序被处理器执行时实现如权利要求1至12中任一项所述的异常扫描行为的处理方法。
CN202311532051.4A 2023-11-16 2023-11-16 一种异常扫描行为的处理方法及装置 Active CN117254978B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202311532051.4A CN117254978B (zh) 2023-11-16 2023-11-16 一种异常扫描行为的处理方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202311532051.4A CN117254978B (zh) 2023-11-16 2023-11-16 一种异常扫描行为的处理方法及装置

Publications (2)

Publication Number Publication Date
CN117254978A true CN117254978A (zh) 2023-12-19
CN117254978B CN117254978B (zh) 2024-02-09

Family

ID=89129851

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202311532051.4A Active CN117254978B (zh) 2023-11-16 2023-11-16 一种异常扫描行为的处理方法及装置

Country Status (1)

Country Link
CN (1) CN117254978B (zh)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104506385A (zh) * 2014-12-25 2015-04-08 西安电子科技大学 一种软件定义网络安全态势评估方法
CN106453367A (zh) * 2016-10-27 2017-02-22 上海斐讯数据通信技术有限公司 一种基于sdn的防地址扫描攻击的方法及系统
CN106453298A (zh) * 2016-09-30 2017-02-22 北京邮电大学 一种扫描防御方法和装置
RU2016109071A (ru) * 2016-03-11 2017-09-14 Государственное казенное образовательное учреждение высшего профессионального образования Академия Федеральной службы охраны Российской Федерации (Академия ФСО России) Способ защиты элементов виртуальных частных сетей связи от ddos-атак
WO2021088372A1 (zh) * 2019-11-04 2021-05-14 重庆邮电大学 SDN网络中基于神经网络的DDoS检测方法及系统
CN115664777A (zh) * 2022-10-21 2023-01-31 湖南大学重庆研究院 基于两级阈值的慢速流表溢出攻击检测与缓解方法

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104506385A (zh) * 2014-12-25 2015-04-08 西安电子科技大学 一种软件定义网络安全态势评估方法
RU2016109071A (ru) * 2016-03-11 2017-09-14 Государственное казенное образовательное учреждение высшего профессионального образования Академия Федеральной службы охраны Российской Федерации (Академия ФСО России) Способ защиты элементов виртуальных частных сетей связи от ddos-атак
CN106453298A (zh) * 2016-09-30 2017-02-22 北京邮电大学 一种扫描防御方法和装置
CN106453367A (zh) * 2016-10-27 2017-02-22 上海斐讯数据通信技术有限公司 一种基于sdn的防地址扫描攻击的方法及系统
WO2021088372A1 (zh) * 2019-11-04 2021-05-14 重庆邮电大学 SDN网络中基于神经网络的DDoS检测方法及系统
CN115664777A (zh) * 2022-10-21 2023-01-31 湖南大学重庆研究院 基于两级阈值的慢速流表溢出攻击检测与缓解方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
吴若豪;董平;郑涛;: "基于OpenDayLight的恶意扫描防护技术", 计算机应用, no. 01 *

Also Published As

Publication number Publication date
CN117254978B (zh) 2024-02-09

Similar Documents

Publication Publication Date Title
US11438351B1 (en) Efficient threat context-aware packet filtering for network protection
WO2017148263A1 (zh) 网络攻击的防控方法、装置及系统
US9882904B2 (en) System and method for filtering network traffic
RU2480937C2 (ru) Система и способ уменьшения ложных срабатываний при определении сетевой атаки
CN109587167B (zh) 一种报文处理的方法和装置
Liu et al. Defending systems against tilt DDoS attacks
CN108810008B (zh) 传输控制协议流量过滤方法、装置、服务器及存储介质
Haddadi et al. DoS-DDoS: taxonomies of attacks, countermeasures, and well-known defense mechanisms in cloud environment
CN107347051B (zh) 一种业务报文处理方法及系统
CN110661763B (zh) 一种DDoS反射攻击防御方法、装置及其设备
CN111193594B (zh) 筛选服务基础设施接收的数据包的方法和数据包清理系统
CN117254978B (zh) 一种异常扫描行为的处理方法及装置
Naik et al. D-FRI-CiscoFirewall: Dynamic fuzzy rule interpolation for Cisco ASA Firewall
CN113992421B (zh) 一种报文处理方法、装置及电子设备
Callau-Zori et al. STONE: a stream-based DDoS defense framework
Vasu et al. Improving firewall performance by eliminating redundancies in access control lists
Khirwadkar Defense against network attacks using game theory
Thang et al. Synflood spoofed source DDoS attack defense based on packet ID anomaly detection with bloom filter
CN114745142A (zh) 一种异常流量处理方法、装置、计算机设备及存储介质
EP4080822B1 (en) Methods and systems for efficient threat context-aware packet filtering for network protection
Sun et al. RateGuard: A robust distributed denial of service (DDoS) defense system
RU2704741C2 (ru) СПОСОБ ЗАЩИТЫ ОТ DDoS-АТАК НА ОСНОВЕ КЛАССИФИКАЦИИ ТРАФИКА
EP4087216A1 (en) Method for detecting systematic communications in a communications network, corresponding device, and computer program product
Ayres et al. A high-speed PacketScore DDoS defense system
CN113810428A (zh) 边缘计算设备的安全控制系统和安全控制方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant