一种异常流量处理方法及网管设备技术

本申请公开一种异常流量处理方法及网管设备，涉及通信网络技术领域，以解决因SDN控制器逐个拒收异常数据包导致的SDN控制器的处理负荷增大、性能降低，且安全性降低的问题。所述方法包括：网管设备获取转发设备转发的数据包；所述网管设备确定异常数据包；所述网管设备根据所述异常流量，确定所述异常流量的异常流量分类向量；所述网管设备确定所述异常流量分类向量与每个参考流量分类向量的欧式距离；若所述欧式距离中，最小欧式距离小于第二阈值，则所述网管设备将所述最小欧式距离对应的参考流量分类向量对应的攻击类型确定为所述异常流量的流量攻击类型，并执行与所述流量攻击类型对应的防御措施。本申请提供的方案适于处理异常流量。

【技术实现步骤摘要】
一种异常流量处理方法及网管设备
本申请涉及通信网络
，尤其涉及一种异常流量处理方法及网管设备。
技术介绍
软件定义网络(SoftwareDefinedNetwork,SDN)是一种新型网络架构，SDN将网络设备的控制平面和数据平面分离，之后SDN通过SDN控制器执行控制平面功能，且通过转发设备执行数据平面功能。其中，SDN控制器采用开放流(OpenFlow)协议更新OpenFlow流表，之后由转发设备根据OpenFlow流表中接收地址转发数据流量。若SDN控制器受到异常流量攻击，则使SDN控制器无法更新OpenFlow流表，这样数据流量无法转发到接收地址，就会导致网络瘫痪。目前，SDN控制器将所有与OpenFlow流表中包头域不匹配的数据包确定为异常数据包，并拒收所有异常数据包。由于SDN控制器只能处理转发设备接收到的异常数据包，而通常每次异常流量攻击都由大量异常流量组成，每段异常流量中都包含大量异常数据包，逐个拒收异常数据包会大幅增加SDN控制器的处理负荷，从而降低了SDN控制器的性能，同时也降低了SDN控制器的安全性。
技术实现思路
本申请提供一种异常流量处理方法及网管设备，用于解决因SDN控制器逐个拒收异常数据包导致的SDN控制器的处理负荷增大、性能降低，且安全性降低的问题。为达到上述目的，本申请采用如下技术方案：第一方面，本申请提供一种异常流量处理方法，该方法包括：网管设备获取转发设备转发的数据包，其中，指定时间内接收到的数据包组成数据流量；所述网管设备确定异常数据包，其中，所述异常数据包用于表示空间中与所述数据流量中除自身外的所有数据包的欧式距离大于第一阈值的数据包，所述异常数据包组成的数据流量为异常流量；所述网管设备根据所述异常流量，确定所述异常流量的异常流量分类向量，所述异常流量分类向量用于反映所述异常流量的攻击类型；所述网管设备确定所述异常流量分类向量与每个参考流量分类向量的欧式距离；若所述欧式距离中，最小欧式距离小于第二阈值，则所述网管设备将所述最小欧式距离对应的参考流量分类向量对应的攻击类型确定为所述异常流量的流量攻击类型，并执行与所述流量攻击类型对应的防御措施。第二方面，本申请提供一种网管设备，所述网管设备，用于获取转发设备转发的数据包，其中，指定时间内接收到的数据包组成数据流量；所述网管设备，还用于确定异常数据包，其中，所述异常数据包用于表示空间中与所述数据流量中除自身外的所有数据包的欧式距离大于第一阈值的数据包，所述异常数据包组成的数据流量为异常流量；所述网管设备，还用于根据所述异常流量，确定所述异常流量的异常流量分类向量，所述异常流量分类向量用于反映所述异常流量的攻击类型；所述网管设备，还用于确定所述异常流量分类向量与每个参考流量分类向量的欧式距离；所述网管设备，还用于若所述欧式距离中，最小欧式距离小于第二阈值，则将所述最小欧式距离对应的参考流量分类向量对应的攻击类型确定为所述异常流量的流量攻击类型，并执行与所述流量攻击类型对应的防御措施。本申请提供的异常流量处理方法及网管设备，相比较于现有技术中由SDN控制器独自完成数据包的匹配过程与异常数据包的处理过程，本申请利用与SDN控制器连接的网管设备处理异常流量，减轻了SDN控制器的处理负荷，提升了SDN控制器的性能；并且，相比较于现有技术中SDN控制器逐个处理异常流量攻击产生的所有异常数据包，本申请中网管设备能够分析异常流量，并识别出异常流量的攻击类型，之后网管设备能够针对异常流量的攻击类型采取相应的防御措施，从源头上阻断异常数据包的产生，这样就减少了SDN控制器所需处理的异常数据包的数量，减轻了SDN控制器的处理负荷，同时提高了SDN控制器的安全性。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1为本专利技术实施例提供的一种异常流量处理系统的结构示意图；图2为本专利技术实施例提供的一种异常流量处理方法的流程图；图3为本专利技术实施例提供的另一种异常流量处理方法的流程图；图4为本专利技术实施例提供的另一种异常流量处理方法的流程图；图5为本专利技术实施例提供的另一种异常流量处理方法的流程图。具体实施方式下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述。本专利技术实施例提供一种异常流量处理方法，该方法应用于一种网管设备21，如图1所示，该网管设备21至少包括基础功能模块211、安全管理模块212和告警模块213，基础功能模块211用于实现拓扑管理等功能；安全管理模块212用于实现流量数据的采集与处理等功能；告警模块213用于在安全管理模块检测出异常流量之后，发出告警信息并采取防御措施。网管设备21与SDN可以组成异常流量处理系统20，其中，SDN由SDN控制器22，以及至少两个转发设备23组成，SDN具有南向接口、北向接口以及东西向接口，SDN控制器22通过东西向接口与网管设备21连接，实现与网管设备21的信息交互；转发设备23通过南向接口与网管设备21连接，以供网管设备21获取流量数据。其中，如图2所示，该方法由网管设备21完成，该方法流程包括：步骤101、网管设备获取转发设备转发的数据包。其中，指定时间内接收到的数据包组成数据流量。需要说明的是，网管设备21获取转发设备23所转发的数据包，并且记录数据流量中每个数据包的获取时间，之后网管设备21将指定时间内接收到的数据包确定为数据流量。其中，指定时间可以人为设定，如30秒或者1分钟等。在设置指定时间时，可以根据网管设备21接收数据包的频率来确定，若网管设备21接收数据包的频率较高，则可以设置较短的指定时间，以避免组成数据流量的数据包数量过多，使得网管设备21需要分析大量数据包才能确定该数据流量是否为异常流量；若网管设备21接收数据包的频率较低，则可以设置较长的指定时间，以避免因组成数据流量的数据包数量过少，网管设备21无法获取充足的数据包来确定数据流量是否为异常流量，且无法确定异常流量的攻击类型。步骤102、网管设备确定异常数据包。其中，异常数据包用于表示空间中与数据流量中除自身外的所有数据包的欧式距离大于第一阈值的数据包，异常数据包组成的数据流量为异常流量。其中，空间由七个维度数据中至少四个维度数据构成，七个维度数据包括源互联网协议(InternetProtocol，IP)地址、源端口地址、目的IP地址、目的端口地址、入度、出度和流大小，入度用于表示目的IP地址对应的接收端设备在指定时间中接收数据包的概率，出度用于表示源IP地址对应的发送端设备在指定时间中发送数据包的概率，流大小用于表示网管设备在指定时间的各个单位时间中，接收到数据流量的分布变化。需要说明的是，一个转发设备具有一个IP地址以及多个端口地址。需要说明的是，在本专利技术实施例中，还可以采用聚类分析的方法，利用聚类算法确定异常数据包。聚类分析用于将物理或抽象对象分组为由类似对象组成的多个类，聚类算法用于执行上述分类过程，其中，每个相似对象组成的类被称为一个簇。在使用聚类算法进行分类本文档来自技高网...

【技术保护点】
一种异常流量处理方法，其特征在于，所述方法包括：网管设备获取转发设备转发的数据包，其中，指定时间内接收到的数据包组成数据流量；所述网管设备确定异常数据包，其中，所述异常数据包用于表示空间中与所述数据流量中除自身外的所有数据包的欧式距离大于第一阈值的数据包，所述异常数据包组成的数据流量为异常流量；所述网管设备根据所述异常流量，确定所述异常流量的异常流量分类向量，所述异常流量分类向量用于反映所述异常流量的攻击类型；所述网管设备确定所述异常流量分类向量与每个参考流量分类向量的欧式距离；若所述欧式距离中，最小欧式距离小于第二阈值，则所述网管设备将所述最小欧式距离对应的参考流量分类向量对应的攻击类型确定为所述异常流量的流量攻击类型，并执行与所述流量攻击类型对应的防御措施。

【技术特征摘要】
1.一种异常流量处理方法，其特征在于，所述方法包括：网管设备获取转发设备转发的数据包，其中，指定时间内接收到的数据包组成数据流量；所述网管设备确定异常数据包，其中，所述异常数据包用于表示空间中与所述数据流量中除自身外的所有数据包的欧式距离大于第一阈值的数据包，所述异常数据包组成的数据流量为异常流量；所述网管设备根据所述异常流量，确定所述异常流量的异常流量分类向量，所述异常流量分类向量用于反映所述异常流量的攻击类型；所述网管设备确定所述异常流量分类向量与每个参考流量分类向量的欧式距离；若所述欧式距离中，最小欧式距离小于第二阈值，则所述网管设备将所述最小欧式距离对应的参考流量分类向量对应的攻击类型确定为所述异常流量的流量攻击类型，并执行与所述流量攻击类型对应的防御措施。2.根据权利要求1所述的方法，其特征在于，所述空间由所述七个维度数据中至少四个维度数据构成，所述七个维度数据包括源互联网协议IP地址、源端口地址、目的IP地址、目的端口地址、入度、出度和流大小，所述入度用于表示所述目的IP地址对应的接收端设备在所述指定时间中接收数据包的概率，所述出度用于表示所述源IP地址对应的发送端设备在所述指定时间中发送数据包的概率，所述流大小用于表示所述网管设备在所述指定时间的各个单位时间中，接收到数据流量的分布变化。3.根据权利要2所述的方法，其特征在于，所述网管设备根据所述异常流量，确定所述异常流量的异常流量分类向量，包括：所述网管设备从所述异常流量中每个数据包中提取所述七个维度数据；所述网管设备根据所述七个维度数据，计算所述七个维度数据中每个维度数据的熵值；所述网管设备将所述每个维度数据的熵值作为所述异常流量分类向量中的元素，得到所述异常流量分类向量。4.根据权利要求1至3中任意一项所述的方法，其特征在于，在所述网管设备确定所述异常流量分类向量与每个参考流量分类向量的欧式距离之前，所述方法还包括：所述网管设备获取已知攻击类型的异常流量；所述网管设备计算每种已知攻击类型的异常流量的参考流量分类向量，并存储每种已知攻击类型与参考流量分类向量的对应关系。5.根据权利要求4所述的方法，其特征在于，在所述网管设备确定所述异常流量分类向量与每个参考流量分类向量的欧式距离之后，所述方法还包括：若所述最小欧式距离大于或等于所述第二阈值，则所述网管设备将所述异常流量确定为未知类型异常流量；在确定所述未知类型异常流量的攻击类型以及对应的防御措施后，所述网管设备存储...

【专利技术属性】
技术研发人员：张帅，唐雄燕，赫罡，马季春，陈颖霞，
申请(专利权)人：中国联合网络通信集团有限公司，中讯邮电咨询设计院有限公司，
类型：发明
国别省市：北京,11