[发明专利]一种异常流量处理方法及网管设备

说明书

本申请公开一种异常流量处理方法及网管设备，涉及通信网络技术领域，以解决因SDN控制器逐个拒收异常数据包导致的SDN控制器的处理负荷增大、性能降低，且安全性降低的问题。所述方法包括：网管设备获取转发设备转发的数据包；所述网管设备确定异常数据包；所述网管设备根据所述异常流量，确定所述异常流量的异常流量分类向量；所述网管设备确定所述异常流量分类向量与每个参考流量分类向量的欧式距离；若所述欧式距离中，最小欧式距离小于第二阈值，则所述网管设备将所述最小欧式距离对应的参考流量分类向量对应的攻击类型确定为所述异常流量的流量攻击类型，并执行与所述流量攻击类型对应的防御措施。本申请提供的方案适于处理异常流量。

技术领域

本申请涉及通信网络技术领域，尤其涉及一种异常流量处理方法及网管设备。

背景技术

软件定义网络(Software Defined Network,SDN)是一种新型网络架构，SDN将网络设备的控制平面和数据平面分离，之后SDN通过SDN控制器执行控制平面功能，且通过转发设备执行数据平面功能。其中，SDN控制器采用开放流(OpenFlow)协议更新OpenFlow流表，之后由转发设备根据OpenFlow流表中接收地址转发数据流量。若SDN控制器受到异常流量攻击，则使SDN控制器无法更新OpenFlow流表，这样数据流量无法转发到接收地址，就会导致网络瘫痪。

目前，SDN控制器将所有与OpenFlow流表中包头域不匹配的数据包确定为异常数据包，并拒收所有异常数据包。由于SDN控制器只能处理转发设备接收到的异常数据包，而通常每次异常流量攻击都由大量异常流量组成，每段异常流量中都包含大量异常数据包，逐个拒收异常数据包会大幅增加SDN控制器的处理负荷，从而降低了SDN控制器的性能，同时也降低了SDN控制器的安全性。

发明内容

本申请提供一种异常流量处理方法及网管设备，用于解决因SDN控制器逐个拒收异常数据包导致的SDN控制器的处理负荷增大、性能降低，且安全性降低的问题。

为达到上述目的，本申请采用如下技术方案：

第一方面，本申请提供一种异常流量处理方法，该方法包括：

网管设备获取转发设备转发的数据包，其中，指定时间内接收到的数据包组成数据流量；

所述网管设备确定异常数据包，其中，所述异常数据包用于表示空间中与所述数据流量中除自身外的所有数据包的欧式距离大于第一阈值的数据包，所述异常数据包组成的数据流量为异常流量；

所述网管设备根据所述异常流量，确定所述异常流量的异常流量分类向量，所述异常流量分类向量用于反映所述异常流量的攻击类型；

所述网管设备确定所述异常流量分类向量与每个参考流量分类向量的欧式距离；

若所述欧式距离中，最小欧式距离小于第二阈值，则所述网管设备将所述最小欧式距离对应的参考流量分类向量对应的攻击类型确定为所述异常流量的流量攻击类型，并执行与所述流量攻击类型对应的防御措施。

第二方面，本申请提供一种网管设备，

所述网管设备，用于获取转发设备转发的数据包，其中，指定时间内接收到的数据包组成数据流量；

所述网管设备，还用于确定异常数据包，其中，所述异常数据包用于表示空间中与所述数据流量中除自身外的所有数据包的欧式距离大于第一阈值的数据包，所述异常数据包组成的数据流量为异常流量；

所述网管设备，还用于根据所述异常流量，确定所述异常流量的异常流量分类向量，所述异常流量分类向量用于反映所述异常流量的攻击类型；

所述网管设备，还用于确定所述异常流量分类向量与每个参考流量分类向量的欧式距离；