[发明专利]异常访问行为控制方法及装置

说明书

技术领域

本发明涉及网络安全领域，特别涉及一种异常访问行为控制方法及装置。

背景技术

一体化标识网络将网络分为接入网与骨干网，引入了接入网标识(Access Identifier，AID)与路由标识(Routing Identifier，RID)，从根本上解决了互联网协议地址(Internet Protocol Address，IP)双重属性的问题，且能很好的与现有的互联网与网络架构进行融合。

在一体化标识网络中，接入转发设备在接收到数据包后，会查询接入转发设备中是否存在该数据包的目标AID与需要替换的RID之间的映射关系，若不存在，则向映射服务器发送用于获取与该目标AID对应的RID之间的映射关系的映射请求，以便于对接收到的数据包中的目标AID进行替换，并利用替换后的RID进行转发。映射服务器可以根据各个接入转发设备发送的映射请求分析出当前网络是否存在攻击行为，比如，当映射请求中请求相同的目标AID，则表明存在分布式拒绝服务(英文：Distributed Denial of Service，简称：DDoS)攻击行为。

在实现本发明的过程中，发明人发现现有技术至少存在以下问题：映射服务器在根据映射请求分析网络是否存在攻击行为时，有些情况下无法正确辨别存在的攻击行为。比如，多个攻击终端在不同时刻向接入转发设备发送具有相同目标AID的数据包，这种情况下，接入转发设备并不在同一个时刻向映射服务器请求获取目标AID的映射关系，而是分别从映射服务器获取，此时映射服务器并不会判定这些行为为攻击行为，当各个接入转发设备从映射服务器成功获取到同一个目标AID的映射关系后，则可以直接利用获取的映射关系对攻击终端后续发送的数据包进行转发，各个攻击终端完成DDoS攻击。

发明内容

为了解决现有技术中映射服务器在根据映射请求分析网络是否存在攻击行为时，有些情况下无法正确辨别存在的攻击行为的问题，本发明实施例提供了一种异常访问行为控制方法及装置。所述技术方案如下：

第一方面，提供了一种异常访问行为控制方法，所述方法包括：

接收至少一个接入转发设备发送的流摘要信息，所述流摘要信息是所述接入转发设备在接收到数据包后对各个数据包进行分流，将任一组流所对应的关键信息添加至流模板后得到的，每组流中的数据包具有相同的关键信息；

利用接收到的至少一个流摘要信息，确定网络中是否存在攻击行为；

若确定所述网络中存在攻击行为，则根据所述流摘要信息生成第一流表规则，所述第一流表规则用于指示禁止转发包头中具有所述流摘要信息中关键信息的数据包；

将所述第一流表规则发送给所述接入转发设备，由所述接入转发设备禁止转发符合所述第一流表规则限定的数据包；

其中，所述关键信息包括源接入标识、目的接入标识、源端口号、目的端口号和协议类型。

可选的，所述利用接收到的至少一个流摘要信息，确定网络中是否存在攻击行为，包括：

提取所述流摘要信息中的关键信息，将提取出的所述关键信息存储为一条流摘要记录；

对所预定个所述流摘要记录进行熵值量化，得到熵值向量；

将得到的熵值向量输入至分类模型中，得到分类后的访问行为类型，所述访问行为类型为正常访问行为或攻击访问行为，所述攻击访问行为为拒绝服务DoS攻击行为、分布式拒绝服务DDoS攻击行为或分布式反射拒绝服务DRDOS攻击行为。

可选的，所述根据所述流摘要信息生成第一流表规则，包括：

根据所述流摘要信息中的关键信息，生成用于指示禁止转发包头中具有所述关键信息的数据包的第一流表规则。

可选的，所述方法还包括：

连续接收至少两个接入转发设备在接收到数据包后发送的映射请求，所述映射请求用于请求获取所述数据包包头内接入标识与一体化标识网络中路由的路由标识的映射关系以及所述数据包的转发路径；

根据各个映射请求预判网络中是否将要产生攻击行为；

若根据所述映射请求预判定所述网络中将要产生攻击行为，则生成用于禁止包头中具有所述接入标识的数据包进行转发的第二流表规则；

向各个接入转发设备发送所述第二流表规则。

可选的，所述根据各个映射请求预判网络中是否将要产生攻击行为，包括：

检测各个映射请求中的接入标识中的目标接入标识是否相同，若各个映射请求中的目标接入标识均相同，则判定所述网络中将要产生类型为DDOS攻击行为；

或者，