[发明专利]一种攻击数据包的处理方法、装置及系统

说明书

本发明实施例提供一种攻击数据包的处理方法、装置及系统，涉及通信技术领域，能够限制攻击数据包在网络中传输时占用的网络带宽，保证正常的数据包的传输，该方法包括：管理节点接收感知节点发送的攻击数据包的描述信息和该攻击数据包的攻击类型，根据该攻击类型，确定对具有该攻击类型的攻击数据包的处理策略，并经由SDN控制器向交换机发送该描述信息和该处理策略，由交换机对具有该描述信息的攻击数据包执行该处理策略指示的操作，该处理策略用于指示交换机对具有该描述信息的攻击数据包执行该处理策略指示的操作。该方法应用于网络安全维护技术中。

技术领域

本发明涉及通信技术领域，尤其涉及一种攻击数据包的处理方法、装置及系统。

背景技术

随着云技术的飞速发展，云技术应用中出现的问题也越来越多。例如，云数据中心的服务器(以下简称云服务器)进行网络协议(英文：Internet Protocol，缩写：IP)通信时会受到各种攻击数据包的攻击，例如受到分布式拒绝服务(英文:distributed denial ofservice，缩写：DDoS)的攻击，假消息攻击等。因此，处理攻击数据包，保证云服务器进行安全通信成为云技术的核心技术之一。

目前，处理攻击数据包的一种常见方式为通过在云数据中心的入口云服务器上部署物理防火墙，或者在云数据中心的每台云服务器上运行的虚拟机监控器(英文：hypervisor)上部署虚拟防火墙，以保证所有待进入云服务器的数据包均经过物理/虚拟防火墙的过滤与转发，从而过滤掉攻击数据包，防止攻击数据包进入云数据中心的云服务器，进而保证云服务器能够安全通信。具体的，根据工作人员为物理/虚拟防火墙配置的安全策略，物理/虚拟防火墙通过识别待进入IP层的数据包中承载的IP层的信令，当该IP层的信令不符合该安全策略时，物理/虚拟防火墙过滤掉该数据包，从而防止攻击数据包攻击云服务器，进而保证云服务器能够安全通信。

然而，在上述通过防火墙阻止攻击数据包进入云服务器的方法中，由于只能由防火墙阻止攻击数据包进入云服务器，但是负责将数据包转发给防火墙的交换机仍然会将这些攻击数据包转发给防火墙，即攻击数据包仍然会在网络中传输，因此，这些异常的数据包会占用大量的网络带宽，从而影响了正常的数据包的传输。

发明内容

本发明的提供一种攻击数据包的处理方法、装置及系统，能够限制攻击数据包在网络中传输时占用的网络带宽，保证正常的数据包的传输。

为达到上述目的，本发明采用如下技术方案：

第一方面，本发明提供一种攻击数据包的处理方法，包括：

管理节点接收感知节点发送的攻击数据包的描述信息和所述攻击数据包的攻击类型；

所述管理节点根据所述攻击类型，确定对具有所述攻击类型的攻击数据包的处理策略，所述处理策略用于指示交换机对具有所述描述信息的攻击数据包执行所述处理策略指示的操作；

所述管理节点经由软件定义网络SDN控制器向所述交换机发送所述描述信息和所述处理策略，由所述交换机对所述具有所述描述信息的攻击数据包执行所述处理策略指示的操作。

在第一方面的第一种可能的实现方式中，所述管理节点根据所述攻击类型，确定对具有所述攻击类型的攻击数据包的处理策略，包括：

所述管理节点根据所述攻击类型，获取预设的对所述具有所述攻击类型的攻击数据包的处理策略。

结合前述的第一方面，在第一方面的第二种可能的实现方式中，所述管理节点根据所述攻击类型，确定对具有所述攻击类型的攻击数据包的处理策略，包括：

所述管理节点根据所述攻击类型和预设的算法，生成对所述具有所述攻击类型的攻击数据包的处理策略。

结合前述的第一方面或第一方面的第一种可能的实现方式至第一方面的第二种可能的实现方式中的任一种实现方式，在第三种可能的实现方式中，