[发明专利]一种攻击处理方法及装置

说明书

本发明公开了一种攻击处理方法及装置，属于通信技术领域。该攻击处理方法包括：从接收的报文流中搜索请求响应报文对，基于请求响应报文对制定流表，并将流表下发至交换机，以使交换机按照流表对报文流执行相应操作，可以在阻止定向攻击报文传输的同时正常传输其他报文，保障傀儡机受到攻击时正常业务不中断。

技术领域

本发明涉及通信技术领域，具体涉及一种攻击处理方法及装置。

背景技术

随着信息技术的发展，越来越多的企业和校园建立了自己的内部网，这些内部网属于园区网的范畴。园区网的接入终端数量巨大，且业务种类较多，网络安全问题频发，因此，保障园区网的网络安全非常重要。DDoS(Distributed Denial of Service，分布式拒绝服务)攻击是威胁网络安全的主要攻击手段之一，该类攻击由黑客控制傀儡机向受害者主机发送大量虚假报文，从而造成网络拥塞或者受害者主机崩溃。在网络中安装分布式拒绝服务攻击物理清洗设备是检测和处理分布式拒绝服务攻击的重要手段，然而，由于分布式拒绝服务攻击物理清洗设备价格昂贵，所以一般不会在园区网中配置。随着云数据中心的发展以及软件定义网络技术广泛应用，利用软件定义网络技术仅需较小成本即可检测DDoS攻击，因此，利用软件定义网络技术检测DDoS攻击已经成为新趋势。但是，目前利用软件定义网络技术检测到网络中存在DDoS攻击时的处理方式通常是对傀儡机所连接的交换机端口进行限速。这种处理方式虽然避免了DDoS报文在网络中的传播，但是也会导致傀儡机正常业务的中断。

因此，在网络受到DDoS攻击时，如何在避免DDoS报文传输的同时保障傀儡机的正常业务不中断，成为本领域亟待解决的问题。

发明内容

为此，本发明提供一种攻击处理方法及装置，以解决网络受到DDoS攻击时，通过对傀儡机连接交换机端口限速以避免DDoS报文传输的同时，也会导致傀儡机正常业务中断的问题。

为了实现上述目的，本发明第一方面提供一种攻击处理方法，包括：

从接收的报文流中搜索请求响应报文对；

基于所述请求响应报文对制定流表；

将所述流表下发至交换机，以使所述交换机按照所述流表对所述报文流执行相应操作。

进一步地，所述基于所述请求响应报文对制定流表，包括：

将符合所述请求响应报文对四元组信息的用户设置为白名单；

确定报文流表规则；其中，所述报文流表规则为对报文发送用户或报文接收用户位于所述白名单的报文执行转发操作，对报文发送用户或报文接收用户没有位于所述白名单的报文执行丢弃操作；

基于所述白名单和所述报文流表规则获得所述流表。

进一步地，将所述转发操作设置为第一优先级，将所述丢弃操作设置为第二优先级。

进一步地，所述从接收的报文流中搜索请求响应报文对，包括：

接收所述报文流；

从所述报文流中提取四元组信息；其中，所述四元组信息包括源IP、目标IP、源端口和目的端口；

搜索所述四元组信息，并将所述源IP与所述目标IP相同，且所述源端口与所述目的端口相同的报文对作为所述请求响应报文对。

进一步地，所述从接收的报文流中搜索请求响应报文对之前，还包括：

判断接收的所述报文流中是否存在定向攻击报文；

当确定存在所述定向攻击报文时，搜索所述报文流以获取所述请求响应报文对。

进一步地，所述判断接收的所述报文流中是否存在定向攻击报文，包括：

在预设时间窗口内接收所述报文流；