[发明专利]针对分段路由标签探测的防御方法及装置

权利要求书

1.一种针对分段路由标签探测的防御方法，其特征在于，包括：

集中式认证服务器验证网络中的所有接入设备的身份，若通过验证则将其加入白名单，并设置身份有效期；

接入设备根据设备信息生成设备指纹；

获取转发流量包的特征；所述特征为预设时间内向路由器发送的流量包的次数以及所述流量包的IPv4层的TTL值；所述流量包带有分段路由标签；

根据所述特征确定恶意流量；

确定所述恶意流量的源IP地址，将源IP地址加入黑名单并设置期限；

确定当前网络中的接入设备的设备指纹是否改变，若设备指纹发生改变集中式认证服务器重新验证其身份，否则续约白名单。

2.根据权利要求1所述的防御方法，其特征在于，接入设备根据设备信息生成设备指纹，进一步包括：

接入设备利用设备信息做哈希；所述设备信息包括系统的进程、开放的端口、开启的服务、依赖库、硬件版本、系统版本、软件版本和设备配置中的一项或多项；

根据哈希生成设备指纹。

3.根据权利要求1所述的防御方法，其特征在于，在获取转发流量包的特征，之前还包括：确定当前网络是否拥塞，若拥塞，则镜像通过路由器的流量，优先让流量拥塞的路由器快速转发流量。

4.根据权利要求1所述的防御方法，其特征在于：所述恶意流量包的特征为预设时间内多次向路由器发送的流量包且该流量包的IPv4层的TTL值为1。

5.根据权利要求1所述的防御方法，其特征在于，集中式认证服务器验证网络中的所有接入设备的身份，进一步包括：

集中式认证服务器通过密码验证网络中的所有接入设备的身份。

6.根据权利要求5所述的防御方法，其特征在于：身份验证在设备上进行认证或在控制器上统一认证。

7.一种针对分段路由标签探测的防御装置，其特征在于，包括：

验证单元，用于验证网络中的所有接入设备的身份；若通过验证则将其加入白名单，并设置身份有效期；

生成单元，用于根据设备信息生成设备指纹；

获取单元，用于获取转发流量包的特征；所述特征为预设时间内向路由器发送的流量包的次数以及所述流量包的IPv4层的TTL值；所述流量包带有分段路由标签；

第一确定单元，用于根据所述特征确定恶意流量；

第二确定单元，用于确定所述恶意流量的源IP地址，将源IP地址加入黑名单并设置期限；

第三确定单元，用于确定当前网络中的接入设备的设备指纹是否改变，若设备指纹发生改变集中式认证服务器重新验证其身份，否则续约白名单。

8.根据权利要求7所述的防御装置，其特征在于，所述生成单元包括：

哈希计算模块，用于利用设备信息做哈希；所述设备信息包括系统的进程、开放的端口、开启的服务、依赖库、硬件版本、系统版本、软件版本和设备配置中的一项或多项；

设备指纹生成模块，用于根据哈希生成设备指纹。

9.根据权利要求7所述的防御装置，其特征在于，还包括：

第四确定单元，用于确定当前网络是否拥塞，若拥塞，则镜像通过路由器的流量，优先让流量拥塞的路由器快速转发流量。

10.根据权利要求7所述的防御装置，其特征在于：所述恶意流量包的特征为预设时间内多次向路由器发送的流量包且该流量包的IPv4层的TTL值为1。

11.一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现如权利要求1至6任一项所述的一种针对分段路由标签探测的防御方法的步骤。