WO2020258980A1

WO2020258980A1 - 网络攻击防御方法、装置、接收设备及计算机存储介质

Info

Publication number: WO2020258980A1
Application number: PCT/CN2020/083583
Authority: WO
Inventors: 刘仓明; 洪先进
Original assignee: 中兴通讯股份有限公司
Priority date: 2019-06-26
Filing date: 2020-04-07
Publication date: 2020-12-30
Also published as: EP3968595A4; US20220263859A1; US12088622B2; CN112152964A; EP3968595A1

Abstract

本申请实施例提供一种网络攻击防御方法、系统以及计算机存储介质，网络攻击防御装置随机生成新关键字；将新关键字分别发送给发送设备和接收设备，接收设备将新关键字更新到接收设备的关键字集合，获取发送设备发送的通信报文中携带的关键字，根据携带的关键字和关键字集合确定通信报文是否为网络攻击报文；当通信报文是网络攻击报文时，丢弃通信报文。

Description

网络攻击防御方法、装置、接收设备及计算机存储介质

相关申请的交叉引用

本申请基于申请号为201910563848.8、申请日为2019年6月26日的中国专利申请提出，并要求该中国专利申请的优先权，该中国专利申请的全部内容在此以引入方式并入本申请。

技术领域

本申请实施例涉及但不限于通信领域，具体而言，涉及但不限于一种网络攻击防御方法、装置、接收设备及计算机存储介质。

背景技术

随着宽带城域网和宽带IP业务的发展，宽带接入服务器(BAS)作为一种宽带接入设备，提供用户的认证、授权、计费以及多种业务的汇聚与转发，实现商业楼宇及小区住户的宽带IP上网，是宽带用户接入的核心设备。

宽带接入服务分为控制面和转发面，控制面是控制宽带用户接入的核心部分，包括宽带用户接入协议处理，对宽带用户接入进行认证、授权和计费，下发转发表到转发面，提供设备的管理和维护功能。控制面和转发面可以采用分布式部署，一个控制面可以控制和管理多个转发面，以满足更多的宽带用户接入需求。

控制面作为宽带接入服务的核心部分，对可靠性要求很高，其中包括快速防止网络攻击报文的攻击，即在承受大量网络攻击报文的攻击情形下，仍然能够满足宽带用户的接入性能要求。

传统的宽带接入服务器接收到宽带用户接入报文后，通过多次查表确认，如果是上送控制面的报文，则经过限速，然后上送控制面，达到防止攻击控制面的效果。但是限速处理也会对部分正常用户接入报文进行了丢弃，原因是宽带接入服务器不能有效区分正常用户接入报文和网络攻击报文，例如，攻击者通过网络复制正常的用户上线报文，然后将复制到的报文作为网络攻击报文大量地发送到宽带接入服务器，导致宽带接入服务器难以区分正常用户接入报文和网络攻击报文。

另一方面，随着NFV(Network Functions Virtualization,网络功能虚拟化)技术的发展和普及，基于行业标准的X86服务器、存储和交换设备，逐渐取代通信网中专用的网络设备，为运营商节省了巨大的投资成本和获得更灵活的网络能力，宽带接入设备也不例外，因此对于防止控制面攻击方面，采用传统宽带接入设备的多次查表和限速的方法，在虚拟化环境下，需要消耗大量的CPU(Central Processing Unit，中央处理器)处理能力，因此大量网络攻击报文存在的情况下，直接影响到正常用户接入处理。

发明内容

本申请实施例提供的一种网络攻击防御方法、装置、接收设备及计算机存储介质。

本申请实施例提供一种网络攻击防御方法，包括：网络攻击防御装置随机生成新关键字；所述网络攻击防御装置将所述新关键字分别发送给发送设备和接收设备；接收设备将所述新关键字更新到所述接收设备的关键字集合；获取所述发送设备发送的通信报文中携带的关键字，根据所述携带的关键字和关键字集合确定所述通信报文是否为网络攻击报文；当所述通信报文是网络攻击报文时，所述接收设备丢弃所述通信报文。

本申请实施例还提供一种网络攻击防御装置，包括第一处理器、第一存储器及第一通信总线；所述第一通信总线用于实现第一处理器和第一存储器之间的连接通信；所述第一处理器用于执行存储器中存储的一个或者多个计算机程序，以实现上所述的网络攻击防御装置实现的网络攻击防御方法的步骤。

本申请实施例还提供一种接收设备，包括第二处理器、第二存储器及第二通信总线；所述第二通信总线用于实现第二处理器和第二存储器之间的连接通信；所述第二处理器用于执行存储器中存储的一个或者多个计算机程序，以实现上所述的网络攻击防御装置实现的网络攻击防御方法的步骤。

本申请实施例还提供一种计算机存储介质，所述计算机可读存储介质存储有一个或者多个程序，所述一个或者多个程序可被一个或者多个处理器执行，以实现如上所述的网络攻击防御方法的至少一个步骤。

其他特征和相应的有益效果在说明书的后面部分进行阐述说明，且应当理解，至少部分有益效果从本申请说明书中的记载变的显而易见。

附图说明

图1为本申请实施例一的网络攻击防御方法的流程图；

图2为本申请实施例二的网络攻击防御装置的结构示意图；

图3为本申请实施例二的接收设备的结构示意图；

图4为本申请实施例二的网络攻击防御装置、接收设备、发送设备的连接示意图；

图5为本申请实施例三的vBRAS控制面防攻击部署的组网示意图；

图6为本申请实施例三的网络攻击防御方法的流程图；

图7为本申请实施例四的vBRAS设备VxLAN接入防攻击部署的组网示意图；

图8为本申请实施例四的网络攻击防御方法的流程图。

具体实施方式

为了使本申请的目的、技术方案及优点更加清楚明白，下面通过具体实施方式结合附图对本申请实施例作进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本申请，并不用于限定本申请。

实施例一：

传统的宽带接入服务器接收到宽带用户接入报文后，通过多次查表确认，如果是上送控制面的报文，则经过限速，然后上送控制面，达到防止攻击控制面的效果。但是宽带接入服务器不能有效区分正常用户接入报文和网络攻击报文，也会对部分正常用户接入报文进行了丢弃。另一方面，对于防止控制面攻击方面，采用传统宽带接入设备的多次查表和限速的方法，在虚拟化环境下，需要消耗大量的CPU处理能力，因此大量网络攻击报文存在的情况下，直接影响到正常用户接入处理。为了解决上述问题，本申请实施例提供一种网络攻击防御方法，通过定时随机产生新关键字，并将不断变化的新关键字下发到发端和收端通信设备中，当发端通信设备发送报文时，报文中携带关键字，收端通信设备接收到携带关键字报文后，首先比较报文中的关键字是否和本地保存的关键字一致，如果一致，报文正常处理，如果不一致，则判断为攻击报文，并立即丢弃攻击报文，达到防攻击的目的。如图1所示，图1为网络攻击防御方法的流程图，该网络攻击防御方法包括：

S101、网络攻击防御装置随机生成新关键字。

在本申请实施例中，生成的新关键字具有随机性，关键字用于标识一段信息，其可以是可携带在通信报文的数字或字符串，使得攻击者无法预测到下一个关键字，例如在t1时刻生成新关键字1(如数字“30)”，在t2时刻生成新关键字2(如字符串“abcd123”)，新关键字1和新关键字2不同，且不存在任何规律，可以理解的是，该新关键字可以是定时生成的，两个相邻时间点生成的新关键字之前的时间间隔是固定的，例如时间间隔为20s，60s、90s、150s等；当然t1时刻与t2时刻之间的时间间隔，与t2时刻与后续t3时刻之间的时间间隔可以不同，具体可根据实际需求进行灵活调整。

S102、网络攻击防御装置将新关键字分别发送给发送设备和接收设备。

值得注意的是，网络攻击防御装置先将新关键字发送给接收设备，网络攻击防御装置再将新关键字发送给发送设备。具体的，网络攻击防御装置将新关键字发给接收设备；在接收设备将新关键字添加到接收设备的关键字集合后，接收设备向上报确认信息，网络攻击防御装置接收到确认信息后，网络攻击防御装置将新关键字发送给发送设备，此时若发送设备发送的通信报文携带有该最新的新关键字，则接收设备的关键字集合中一定包括最新的新关键字，避免了接收设备对正常的通信报文进行丢弃，因此本申请实施例中的关键字集合包括至少一个最新生成的关键字。

网络攻击防御装置将新关键字发送给发送设备之后，发送设备将本地保存的一个旧关键字更新为新关键字，由于攻击者可以通过网络复制正常的包括旧关键字用户通信报文，为了便于接收设备更好的区分正常通信报文和网络攻击报文，在发送设备的关键字更新为新关键字后，发送设备返回应答信息，网络攻击防御装置接收到发送设备对新关键字更新保存的应答信息后，通知接收设备删除关键字集合中最旧的关键字，关键字的新旧是根据关键字添加的时间进行确定，最近添加的关键字最新，例如接收设备当前包括关键字集合{key-n-2，key-n-1，key-n}，关键字集合中key-n-1比key-n-2新，key-n是集合中最新添加的新关键字，则将关键字key-n-2删除。

在本申请实施例中，一个发送设备可以是对应一个接收设备，也可以是多个发送设备对应一个接收设备，则接收设备包括与多个发送设备对应的多个通信通道，每个通信通道对应接收设备的每个关键字集合，因此接收设备接收到新关键字后，将新关键字添加到每个关键字集合中。可以理解的是，接收设备的各个关键字集合可以完全相同，也可以部分相同。例如对应通信通道1的关键字集合为{key-n-2，key-n-1，key-n}，对应通信通道2的关键字集合为{m-2，m-1，key-n}。

在一些实施例中，新关键字也可以是网络攻击防御装置同时下发给发送设备和接收设备，之后发送设备更新保存新关键字，同时接收设备将关键字集合中的最旧的关键字替换为新关键字，若发送设备发送的通信报文携带有新关键字，接收设备的关键字集合中也有该新关键字，则此时该关键字集合至少包括一个最新生成的关键字。

S103、接收设备将新关键字更新到接收设备的关键字集合，获取发送设备发送的通信报文中携带的关键字，根据携带的关键字和关键字集合确定通信报文是否为网络攻击报文。

在本申请实施例中，发送设备会通过发送设备与接收设备之间的数据传输通路将通信报文发送给接收设备，接收设备获取发送设备发送的通信报文，从通信报文中提取出携带的关键字，判断与数据传输通路对应的关键字集合是否包括携带的关键字，进而确定该通信报文是否为网络攻击报文。可以理解的是，发送设备与接收设备之间的数据传输通路不同，接收设备中与该数据接收传输通路的关键字集合可能不同，因此通过与数据传输通路对应的关键字集合对通信报文进行判断，若发送设备发送的用户正常的通信报文，则携带的关键字为接收的新关键字，此时当接收设备中的对应的关键字集合中也包括新关键字时，接收设备可以确定该通信报文为正常的通信报文；若发送设备发送的通信报文是通过网络复制的网络攻击报文时，该关键字为旧关键字，而接收设备中的关键字集合中不包括该旧关键字时，则表示该通信报文为网络攻击报文。

在本申请实施例中，为了防止发送设备和接收设备更新关键字时间不一致而导致正常通信报文丢弃，需要在接收设备保留一个关键字集合，可设置关键字集合中最大保留2个或2个以上最新的关键字。例如接收设备在ta时刻接收到第一新关键字，发送设备在tb时刻接收第一新关键字，而接收设备在tc时刻接收到第二新关键字，发送设备td时刻之前还未接收到第二新关键字，当发送设备在td时刻发送携带第一新关键字的正常的通信报文，其中ta时刻先于tb时刻先于tc时刻先于td时刻，则接收设备接收到通信报文时，接收设备的关键字集合中至少包括{第一新关键字、第二新关键字}，接收设备与发送设备的关键字更新存在时间差，此时根据该关键字集合中的第一新关键字可以区分出该通信报文为非网络攻击，避免了正常通信报文的丢弃。

在一些实施例中，当接收设备和发送设备同时接收到新关键字，并进行更新保存时，发送设备与接收设备的关键字更新不存在时间差异，此时，接收设备的关键字集合可以只包括新关键字，进而判断发送设备的通信报文携带的关键字与接收设备的关键字是否相同，对该通信报文进行区分，若发送设备发送的通信报文为正常的通信报文时，则一定会携带新关键字。

在本实施例中，发送设备包括但不限于用户侧设备(Customer Premise Equipment，简称为CPE)、宽带远程接入服务器(Broadband Remote Access Server，简称为BRAS)，宽带网络网关(Broadband Network Gateway，简称为BNG)，宽带业务网关(Broadband Service Gateway，简称为BSG)，业务路由器(Service Router，简称为SR)，宽带接入服务器(Broadband Access Server，简称为BAS)，开放流逻辑交换机(Openflow Logical Switch，简称为OFLS)、开放流交换机(Openflow Switch，简称为OFS)，无线接入控制器(Access Controller，简称为AC)，光线路终端设备(optical line terminal,简称为OLT),汇聚交换机，虚拟BRAS(virtual Broadband Remote Access Server，简称为vBRAS)转发面设备，虚拟BAS(virtual Broadband Access Server，简称为vBAS)转发面设备，虚拟BNG(virtual Broadband Network Gateway，简称为vBNG)转发面设备。接收设备包括但不限于宽带远程接入服务器(Broadband Remote Access Server，简称为BRAS)，宽带网络网关(Broadband Network Gateway，简称为BNG)，宽带业务网关(Broadband Service Gateway，简称为BSG)，业务路由器(Service Router，简称为SR)，宽带接入服务器(Broadband Access Server，简称为BAS)，开放流逻辑交换机(Openflow Logical Switch，简称为OFLS)、开放流交换机(Openflow Switch，简称为OFS)，无线接入控制器(Access Controller，简称为AC)，虚拟BRAS(virtual Broadband Remote Access Server，简称为vBRAS)控制面设备，虚拟BAS(virtual Broadband Access Server，简称为vBAS)控制面设备，虚拟BNG(virtual Broadband Network Gateway，简称为vBNG)控制面设备。

值得注意的是，获取所述发送设备发送的通信报文，提取所述通信报文中携带的关键字，包括：所述接收设备从标准通信协议定义的已知字段，或扩展字段，或在通信报文中添加的厂商私有定义字段中提取所述关键字。例如当发送设备包括vBRAS转发面设备时，所述接收设备从所述通信报文中获取NSH信息和宽带用户接入协议报文，从所述NSH信息中提取所述关键字。例如宽带用户上线时，先向vBRAS发送宽带接入协议报文，经过接入网传输，发送到vBRAS转发面设备，vBRAS转发面设备再将宽带接入协议报文(例如PPPoE， DHCP等)和NSH信息(见IETF定义的Network Service Header)一起封装，其中NSH信息中包括发送设备的关键字，进而接收设备接收到通信报文，并解析得到宽带接入协议报文和NSH信息，从NSH信息中提取关键字。

当发送设备包括OLT设备时，所述接收设备从所述通信报文中的UDP源端口号获取所述关键字。例如宽带用户上线时，先通过ONU设备，经过接入网，将宽带接入协议报文发送到OLT设备，OLT再将宽带接入协议报文封装到OLT和vBRAS转发面之间的VxLAN隧道，其中VxLAN隧道的UDP源端口号设置为关键字，进而接收设备vBRAS转发面从报文中的UDP源端口号，该UDP源端口号为关键字。

S104、当通信报文是网络攻击报文时，接收设备丢弃通信报文。

当区分出该通信报文包括网络攻击报文时，丢弃该通信报文，当通信报文为正常的通信报文时，则将该通信报文上报到控制面进行后续处理。

本申请实施例提供的网络攻击防御方法，将具有随机性的关键字发送给接收设备和发送设备，发送设备和接收设备分别根据新关键字进行更新保存，将发送设备发送的通信报文中携带有该新关键字，使得攻击者发送的网络攻击报文和正常的通信报文很容易被识别出来，并且关键字具有随机性，也使得攻击者无法预测到下一个正常通信报文所携带的关键字，解决了不能有效区分正常用户接入报文和网络攻击报文问题，避免了用户正常的通信报文被丢弃。

实施例二：

本实施例提供一种网络攻击防御装置，如图2所示，该网络攻击防御装置包括第一处理器201、第一存储器202及第一通信总线203；

所述第一通信总线203用于实现第一处理器201和第一存储器202之间的连接通信；

所述第一处理器201用于执行存储器中存储的一个或者多个计算机程序，以实现如下步骤：

随机生成新关键字；

将所述新关键字分别发送给发送设备和接收设备。

在本实施例中，将所述新关键字发给所述接收设备；在所述新关键字添加到所述接收设备的关键字集合后，将所述新关键字发送给发送设备。在所述发送设备的关键字更新为所述新关键字后，通知所述接收设备删除所述关键字集合中最旧的关键字。在一些实施例中，也可以同时将所述关键字发给所述发送设备和接收设备。

本实施例提供一种接收设备，如图3所示，该接收设备包括第二处理器301、第二存储器302及第二通信总线303；

所述第二通信总线303用于实现第二处理器301和第二存储器302之间的连接通信；

所述第二处理器301用于执行存储器中存储的一个或者多个计算机程序，以实现如下步骤：

将所述新关键字更新到关键字集合，获取所述发送设备发送的通信报文中携带的关键字，根据携带的所述关键字和关键字集合确定所述通信报文是否为网络攻击报文；

当所述通信报文是网络攻击报文时，所述丢弃所述通信报文。

需要说明的是，在本实施例中第二处理器302获取所述发送设备发送的通信报文中携带的关键字，判断所述关键字集合是否包括所述关键字，包括：获取所述发送设备发送的通信报文，所述通信报文通过所述发送设备与所述接收设备之间的数据传输通路发送；提取所述通信报文中携带的关键字；判断与所述数据传输通路对应的关键字集合是否包括所述携带的关键字；当不包括时，所述通信报文是网络攻击报文。其中当发送设备包括vBRAS转发面设备时，所述接收设备从所述通信报文中获取NSH信息和宽带用户接入协议报文，从所述NSH信息中提取所述关键字；当发送设备包括OLT设备时，所述接收设备从所述通信报文中的UDP源端口号获取所述关键字。

如图4所示，图4为本申请实施例提供的网络攻击防御装置、发送设备、接收设备的关系示意图。网络攻击防御装置包括随机关键字发送器和通道关键字管理实例；随机关键字发生器定时产生随机关键字，并将产生的关键字下发到每个通道关键字管理实例中，通道关键字管理实例接收到关键字后，先下发新关键字到接收设备，接收设备接收到新关键字后，将新关键字添加到关键字集合中，并返回确认应答，通道关键字管理实例接收到接收设备的确认应答后，再下发新关键字到发送设备，发送设备接收到新关键字后，用新关键字替换到旧关键字，并返回确认应答。通道关键字管理实例接收到发送设备的确认应答后，再通知接收设备删除关键字集合中最旧的关键字。当发送设备发送通信报文时，通信报文中携带关键字，接收设备接收到通信报文后，首先判断通信报文携带的关键字是否属于关键字集合中的一个元素，如果属于，则判为正常通信报文，后续继续处理；如果不属于，则判为网络攻击报文，立即丢弃。

本申请实施例提供了一种网络攻击防御装置、接收设备，网络攻击防御装置产生新关键字，并将不断变化的新关键字下发到发送和接收通信设备中，接收设备将本地保存的关键字集合中的旧关键字替换为新的新关键字，当发送通信设备发送报文时，报文中携带最新关键字，接收通信设备接收到携带关键字报文后，首先比较报文中的关键字是否和本地保存的关键字集合中的关键字一致，如果一致，报文正常处理，如果不一致，则判断为攻击报文，并立即丢弃攻击报文，达到防攻击的目的；在虚拟化环境下，能够明显减少识别网络攻击报文所需消耗的CPU处理资源，提升了大量网络攻击报文存在的情况下正常用户的接入性能。

实施例三：

本申请实施例以一个具体的实现场景对网络攻击防御方法和系统进行说明，如图5所示，本申请实施例描述了一种vBRAS控制面防攻击部署场景，vBRAS控制面设备部署在数据中心，通过城域网集中控制vBRAS转发面设备，vBRAS转发面设备部署在城域网边缘，通过vBRAS控制面和vBRAS转发面之间的VxLAN隧道，经过CR(Core Router，核心路由器)，vBRAS转发面将宽带用户的接入协议报文(例如PPPoE，DHCP等)和NSH信息(见IETF定义的Network Service Header)上送到vBRAS控制面，vBRAS控制面收发报文处理模块接收到VxLAN报文后，解封装VxLAN和NSH信息后，获取宽带用户接入协议报文，然后将宽带用户接入协议报文上送到vBRAS控制面业务处理模块。而vBRAS控制面是宽带用户接入的集中控制点，如果受到大量VxLAN攻击报文的攻击，将直接影响vBRAS控制面的处理性能，更严重的后果是导致正常宽带用户接入报文无法及时处理，导致大量宽带用户上线失败。

本申请实施例中的随机关键字发生器和通道关键字管理作为软件模块部署在vBRAS控制面设备中，而发送设备是vBRAS转发面设备，接收设备是vBRAS控制面设备中的收发报文处理模块，通道是指vBRAS转发面和vBRAS控制面之间的VxLAN隧道。每个逻辑上的通道关键字管理实例管理着一个vBRAS转发面和vBRAS控制面之间的VxLAN隧道通信的关键字。在本申请实施例中，vBRAS控制面设备的硬件模块可以通过X86服务器实现，vBRAS转发面设备的硬件模块可以通过BRAS设备实现。

如图6所示，基于网络攻击防御系统的防御方法包括：

S601、vBRAS控制面中随机关键字发生器定时产生新关键字，并将产生的关键字下发到每个通道关键字管理实例中。

在本申请实施例中，随机关键字发生器可以每隔20s产生新关键字，例如下发的新关键字key-n。

S602、通道关键字管理实例将接收到的新关键字通过内部模块之间的接口下发到收发报文处理模块。

S603、收发报文处理模块接收新关键字并添加到对应每个VxLAN通道的通道关键字集合中，添加成功后，返回添加结果给通道关键字管理实例。

例如，添加新关键字后的通道关键字集合信息如下：vlan隧道1对应的通道关键字集合为{key-n-2，key-n-1,key-n}，vlan隧道2对应的通道关键字集合为{key-m-2，key-m-1，key-n}，其中通道关键字集合中key-n-1比key-n-2新，key-m-2比key-m-1新，key-n是集合中最新添加的关键字。

S604、通道关键字管理实例接收到收发报文处理模块的成功应答后，将新关键字下发到vBRAS转发面设备。

通过连接到对应vBRAS转发面的OpenFlow通道将新关键字key-n下发到vBRAS转发面设备。

S605、vBRAS转发面设备通过OpenFlow通道接收到新关键字，对关键字进行更新保存后，向vBRAS控制面应答关键字更新结果。

S606、vBRAS控制面中通道关键字管理实例接收到vBRAS转发面的关键字更新成功应答后，通过内部模块之间的接口，通知收发报文处理模块删除对应vBRAS转发面设备的VxLAN通道关键字集合中最老的关键字。

当接收到连接VxLAN隧道1的vBRAS转发面设备应答的关键字更新结果后，通过内部模块之间的接口，通知收发报文处理模块删除对应VxLAN隧道1的通道关键字集合中的关键字key-n-2。

S607、vBRAS转发面设备发送携带关键字的通信报文。

宽带用户上线时，先向vBRAS发送宽带接入协议报文，经过接入网传输，发送到vBRAS转发面设备，vBRAS转发面设备再将宽带接入协议报文和NSH信息一起封装到VxLAN隧道中，其中NSH信息中包含关键字，例如，设置NSH协议中定义的MD-type值为0x1，Context data值为关键字key-n。

S608、收发报文处理模块接收到携带关键字的通信报文后，判断接收关键字是否属于关键字集合中的一个元素，如是，转S409，如否，转S410。

vBRAS控制面的收发报文处理模块从VxLAN隧道接收到vBRAS转发面设备发送的VxLAN报文后，对VxLAN报文进行解封装处理，获取NSH信息和宽带用户接入协议报文。收发报文处理模块首先提取NSH信息中的关键字，判断接收报文中携带的关键字是否属于对应VxLAN隧道的通道关键字集合中的关键字，如果属于，则将宽带用户接入协议报文上送到vBRAS控制面业务处理模块继续处理；如果不属于，则判为网络攻击报文，立即丢弃。例如，vBRAS控制面收发报文处理模块从VxLAN隧道1接收到VxLAN报文，从接收报文携带的NSH的Context data中获取关键字key-n，然后查找VxLAN隧道1对应的通道关键字集合{key-n-1，key-n}，发现key-n属于关键字集合{key-n-1，key-n}中的元素，则判断为合法报文。而从攻击源接收到的VxLAN报文，NSH的 Context data中获取的关键字不属于关键字集合{key-n-1，key-n}中的元素，则判断为攻击报文，立即丢弃。

S609、收发报文处理模块将通信报文上报到vBRAS控制面业务处理模块继续处理。

S610、丢弃该通信报文。

实施例四：

本申请实施例以一种vBRAS设备VxLAN接入防攻击部署场景对网络攻击防御方法和系统进行说明，如图7所示，vBRAS设备(vBRAS控制面和转发面集中部署)部署在边缘数据中心，当宽带用户上线，宽带用户接入协议报文通过ONU(Optical Network Unit，光网络单元)设备，经过接入网，送到OLT设备，OLT设备再通过VxLAN隧道将宽带用户接入协议报文上送到部署在边缘数据中心的vBRAS转发面，vBRAS转发面接收到VxLAN报文后，判断是宽带接入侧VxLAN报文，则解封装VxLAN报文，获取宽带用户接入协议报文，然后上送到vBRAS控制面处理。如果此时攻击源通过发送大量VxLAN报文攻击vBRAS转发面设备的宽带接入侧接口，将导致vBRAS转发面消耗大量CPU处理资源进行攻击报文处理，影响正常宽带用户接入，甚至造成vBRAS控制面处理异常。

在本申请实施例中随机关键字发生器和通道关键字管理作为软件模块部署在SD-WAN(软件定义的广域网)控制器设备中，而发送设备是OLT设备，接收设备是vBRAS转发面设备，通道是指OLT和vBRAS转发面之间的VxLAN隧道。每个逻辑上的通道关键字管理实例管理着一个OLT和vBRAS转发面之间的VxLAN隧道通信的关键字。SD-WAN控制器设备可以通过X86服务器的硬件模块进行实现，发送设备可以为OLT设备(optical line terminal,光线路终端)。

如图8所示，基于网络攻击防御系统的防御方法包括：

S801、SD-WAN控制器中随机关键字发生器定时随机产生新关键字，并将产生的关键字下发到每个通道关键字管理实例中。

S802、通道关键字管理实例将接收到的新关键字通过OpenFlow通道下发到位于边缘数据中心的vBRAS转发面设备。

S803、vBRAS转发面设备接收新关键字并添加到对应每个VxLAN通道的通道关键字集合中，添加成功后，返回添加结果给通道关键字管理实例。

S804、通道关键字管理实例接收到vBRAS转发面设备的成功应答后，将新关键字通过连接到对应OLT设备的NETCONF通道下发到OLT设备。

S805、OLT设备通过NETCONF通道接收到新关键字，对关键字进行更新保存后，向SD-WAN控制器应答关键字更新结果。

S806、SD-WAN控制器中通道关键字管理实例接收到OLT设备的关键字更新成功应答后，通过OpenFlow通道，通知vBRAS转发面设备删除对应VxLAN通道的通道关键字集合中最老的关键字。

S807、OLT将宽度用户发送的宽带接入协议报文封装到VxLAN隧道，发送VxLAN报文。

在本申请实施例中，宽带用户上线时，先通过ONU设备，经过接入网，将宽带接入协议报文发送到OLT设备，OLT再将宽带接入协议报文封装到VxLAN隧道中，其中VxLAN隧道的UDP源端口号设置为新关键字，例如将通过将新关键字3000作为VxLAN隧道的UDP源端口号，进而该VxLAN报文中携带有新关键字。

S808、vBRAS转发面设备从VxLAN隧道接收到OLT设备发送的VxLAN报文，获取关键字，并对关键字进行判断。

vBRAS转发面设备从VxLAN隧道接收到OLT设备发送的VxLAN报文后，获取VxLAN报文中的UDP源端口号，并将UDP源端口号3000作为接收的关键字，判断关键字3000是否属于对应VxLAN隧道的关键字集合中的元素，由于对应VxLAN隧道的关键字集合包括关键字3000，则将宽带用户接入协议报文上送到vBRAS控制面继续处理；如果不包括，则判为网络攻击报文，立即丢弃。

实施例五：

本实施例提供了一种计算机存储介质，该计算机存储介质包括在用于存储信息(诸如计算机可读指令、数据结构、计算机程序模块或其他数据)的任何方法或技术中实施的易失性或非易失性、可移除或不可移除的介质。计算机存储介质包括但不限于RAM(Random Access Memory，随机存取存储器),ROM(Read-Only Memory，只读存储器),EEPROM(Electrically Erasable Programmable read only memory，带电可擦可编程只读存储器)、闪存或其他存储器技术、CD-ROM(Compact Disc Read-Only Memory，光盘只读存储器)，数字多功能盘(DVD)或其他光盘存储、磁盒、磁带、磁盘存储或其他磁存储装置、或者可以用于存储期望的信息并且可以被计算机访问的任何其他的介质。

本实施例中的计算机存储介质可用于存储一个或者多个计算机程序，其存储的一个或者多个计算机程序可被处理器执行，以实现上述实施例一至实施例四中的网络攻击防御方法的至少一个步骤。

本实施例还提供了一种计算机程序产品，包括计算机可读装置，该计算机可读装置上存储有如上所示的计算机程序。本实施例中该计算机可读装置可包括如上所示的计算机存储介质。

可见，本领域的技术人员应该明白，上文中所公开方法中的全部或某些步骤、系统、装置中的功能模块/单元可以被实施为软件(可以用计算装置可执行的计算机程序代码来实现)、固件、硬件及其适当的组合。在硬件实施方式中，在以上描述中提及的功能模块/单元之间的划分不一定对应于物理组件的划分；例如，一个物理组件可以具有多个功能，或者一个功能或步骤可以由若干物理组件合作执行。某些物理组件或所有物理组件可以被实施为由处理器，如中央处理器、数字信号处理器或微处理器执行的软件，或者被实施为硬件，或者被实施为集成电路，如专用集成电路。

此外，本领域普通技术人员公知的是，通信介质通常包含计算机可读指令、数据结构、计算机程序模块或者诸如载波或其他传输机制之类的调制数据信号中的其他数据，并且可包括任何信息递送介质。所以，本申请不限制于任何特定的硬件和软件结合。

以上内容是结合具体的实施方式对本申请实施例所作的进一步详细说明，不能认定本申请的具体实施只局限于这些说明。对于本申请所属技术领域的普通技术人员来说，在不脱离本申请构思的前提下，还可以做出若干简单推演或替换，都应当视为属于本申请的保护范围。

Claims

一种网络攻击防御方法，包括：

网络攻击防御装置随机生成新关键字；

所述网络攻击防御装置将所述新关键字分别发送给发送设备和接收设备；

接收设备将所述新关键字更新到所述接收设备的关键字集合，获取所述发送设备发送的通信报文中携带的关键字，根据携带的所述关键字和关键字集合确定所述通信报文是否为网络攻击报文；

当所述通信报文是网络攻击报文时，所述接收设备丢弃所述通信报文。
如权利要求1所述的网络攻击防御方法，其中，所述将所述新关键字分别发送给发送设备和接收设备，包括：

所述网络攻击防御装置将所述新关键字发给所述接收设备；

在所述新关键字添加到所述接收设备的关键字集合后，所述网络攻击防御装置将所述新关键字发送给发送设备。
如权利要求2所述的网络攻击防御方法，其中，所述网络攻击防御装置将所述新关键字发送给发送设备之后，所述接收设备获取所述发送设备发送的通信报文中的携带关键字之前，包括：

在所述发送设备的关键字更新为所述新关键字后，所述网络攻击防御装置通知所述接收设备删除所述关键字集合中最旧的关键字。
如权利要求1所述的网络攻击防御方法，其中，所述将所述新关键字分别发送给发送设备和接收设备，包括：

所述网络攻击防御装置同时将所述关键字发给所述发送设备和接收设备；

所述接收设备将所述新关键字更新到所述接收设备的关键字集合，包括：

所述接收设备将所述关键字集合中最旧的关键字替换为所述新关键字，同时所述发送设备更新保存所述新关键字。
如权利要求1-4任一项所述的网络攻击防御方法，其中，所述获取所述发送设备发送的通信报文中携带的关键字，判断所述关键字集合是否包括所述关键字，包括：

获取所述发送设备发送的通信报文，所述通信报文通过所述发送设备与所述接收设备之间的数据传输通路发送；

提取所述通信报文中携带的关键字；

判断与所述数据传输通路对应的关键字集合是否包括所述携带的关键字；

当不包括时，所述通信报文是网络攻击报文。
如权利要求5所述的网络攻击防御方法，其中，获取所述发送设备发送的通信报文，提取所述通信报文中携带的关键字，包括：

所述接收设备从标准通信协议定义的已知字段，或扩展字段，或在通信报文中添加的厂商私有定义字段中提取所述关键字。
如权利要求1-4任一项所述的网络攻击防御方法，其中，所述，所述关键字集合包括至少一个最新生成的关键字，所述关键字包括数字或字符串。
一种网络攻击防御装置，包括第一处理器、第一存储器及第一通信总线；

所述第一通信总线用于实现第一处理器和第一存储器之间的连接通信；

所述第一处理器用于执行存储器中存储的一个或者多个计算机程序，以实现如权利要求1-7任一项网络攻击防御装置实现的网络攻击防御方法的步骤。
一种接收设备，包括第二处理器、第二存储器及第二通信总线；

所述第二通信总线用于实现第二处理器和第二存储器之间的连接通信；

所述第二处理器用于执行存储器中存储的一个或者多个计算机程序，以实现如权利要求1-7任一项接收设备实现的网络攻击防御方法的步骤。
一种计算机存储介质，其中，所述计算机可读存储介质存储有一个或者多个程序，所述一个或者多个程序可被一个或者多个处理器执行，以实现如权利要求1至7中任一项所述的网络攻击防御方法的至少一个步骤。