【技术实现步骤摘要】
一种链路流量感知的方法和装置
[0001]本申请涉及网络安全
,更具体地,涉及一种链路流量感知的方法和装置。
技术介绍
[0002]分布式拒绝服务(distributed denial of service,DDoS)指利用大量合法的分布式服务器对目标发送请求,从而导致正常用户无法获得服务的一种攻击手段。DDoS使得攻击者有可能控制一部分节点发送大量的服务请求,耗尽目的端的资源,使得目的端无法响应正常的服务请求,给攻击目标造成巨大的经济和信誉损失。
[0003]传统的DDoS检测和防御负载主要集中在目的端,由于合法流量和非法流量都在目的端汇聚,目前的DDoS防御策略给目的端带来了难以忍受的时间和资源开销。另外,利用网际互连协议(internet protocol,IP)回溯和路径验证来确定DDoS攻击的源头也只能实现事后追踪,无法及时检测到DDoS攻击。
[0004]因此,在面对DDoS攻击时,如何及时检测到DDoS攻击,并采取控制策略来防御攻击,仍是一个需要解决的问题。
技术实现思路
...
【技术保护点】
【技术特征摘要】
1.一种链路流量感知的方法,其特征在于,包括:第一设备获取至少一个第一标签,所述第一标签包括用于计算第一链路的流量特征的参数,所述第一标签为第二设备在第一时间段内为所述第一链路上传输的第一数据包添加的标签,所述第二设备为所述第一链路上的上游网络转发设备,所述第一数据包为发往所述第一设备的数据包;所述第一设备根据第一记录确定所述第一时间段内所述第一链路的流量特征,所述第一记录由至少一个所述第一标签确定。2.根据权利要求1所述的方法,其特征在于,所述方法还包括:所述第一设备根据第二记录确定第二时间段所述第一链路的流量特征,所述第二记录由至少一个第二标签确定,所述第二标签为所述第二设备在所述第二时间段内为所述第一链路上传输的第一数据包添加的标签,所述第二时间段包括所述第一时间段之前所述第一设备未受到攻击的时间段,所述流量特征包括流量速率和/或流量规模;当所述第一时间段内所述第一链路上的流量速率与所述第二时间段内所述第一链路上的流量速率的差值大于或等于第一阈值时,并且/或者,当所述第一时间段内通过所述第一链路的流量规模与所述第二时间段内通过所述第一链路的流量规模的差值大于或等于第二阈值时,所述第一设备向所述第二设备发送第一信息,所述第一信息用于指示第一链路的流量控制策略。3.根据权利要求2所述的方法,其特征在于,所述流量控制策略用于指示所述第二设备在单位时间内转发第一数量的数据包,所述第一数量的值小于或等于最大转发数量,所述最大转发数量由所述第一设备确定,所述方法还包括:所述第一设备向所述第二设备发送所述最大转发数量。4.根据权利要求1所述的方法,其特征在于,所述方法还包括:所述第一设备根据第二记录确定第二时间段第一链路的流量特征,所述第二记录由至少一个第二标签确定,所述第二标签为所述第二设备在第二时间段内为所述第一链路上传输的第一数据包添加的标签,所述第二时间段包括所述第一时间段之前所述第一设备未受到攻击的时间段,所述流量特征包括流量速率和/或流量规模;当所述第一链路上所述第一时间段内的流量速率与所述第二时间段内第一链路上的流量速率的差值大于或等于第一阈值时,并且/或者,当所述第一时间段内通过所述第一链路的流量规模与所述第二时间段内通过所述第一链路的流量规模的差值大于或等于第二阈值时,所述第一设备执行流量控制策略。5.根据权利要求4所述的方法,其特征在于,所述流量控制策略用于指示所述第一设备在单位时间内转发第一数量的数据包,所述第一数量的值小于或等于最大转发数量,所述最大转发数量由所述第一设备确定。6.根据权利要求4或5所述的方法,其特征在于,所述流量控制策略用于指示所述第一设备过滤所述第一链路上来自伪IP地址的数据包,所述来自伪IP地址的数据包由源IP地址的取值范围信息确定,所述源IP地址的取值范围信息由所述第一设备在第二时间段内接收到的数据包的源IP地址确定,所述第二时间段包括所述第一设备未受到攻击的时间段,所述源IP地址的取值范围信息包括以下至少一项:源IP地址、源IP地址列表或源IP地址聚合
后的范围。7.根据权利要求4至6中任一项所述的方法,其特征在于,所述流量控制策略用于指示所述第一设备过滤携带有伪造标签的数据包,所述携带有伪造标签的数据包由所述第一设备根据第一密钥确定,所述第一密钥为所述第一设备与上一跳转发设备之间的共享密钥。8.根据权利要求1至7中任一项所述的方法,其特征在于,所述第一标签位于所述第一数据包的网络层首部,传输层首部,或者,网络层首部与传输层首部之间的位置。9.根据权利要求1至8中任一项所述的方法,其特征在于,所述第一标签包括第一链路上的两个网络转发设备的地址信息和第一时间戳,所述第一时间戳用于确定所述第一数据包在所述第一链路上的传输时间段。10.根据权利要求1至9中任一项所述的方法,其特征在于,所述第一记录包括第一标记周期、第一标签数量、第二时间戳和第三时间戳,所述第一标记周期为所述第二设备在所述第一数据包中添加所述第一标签的周期,所述第一标签数量为所述第一设备在第一时间段接收到的携带有所述第一标签的数据包的数量,所述第二时间戳和所述第三时间戳用于确定所述第一时间段。11.根据权利要求10所述的方法,其特征在于,所述第一设备根据第一记录确定第一时间段内所述第一链路的流量特征,包括:所述第一设备根据所述第一标记周期、所述第二时间戳和所述第三时间戳确定所述第一时间段内所述第一链路上的流量速率,所述流量速率为单位时间内转发数据包的数量;或者,所述第一设备根据所述第一标记周期和所述第一标签数量确定所述第一时间段内第一链路上的流量规模,所述流量规模为所述第一时间段内通过所述第一链路传输的数据包的数量。12.一种链路流量感知的方法,其特征在于,包括:第二设备在第一时间段内为第一链路上传输的第一数据包添加第一标签,所述第一标签包括用于计算所述第一链路的流量特征的参数,所述第二设备为所述第一链路上的上游网络转发设备,所述第一数据包为发往第一设备的数据包;所述第二设备发送所述第一数据包。13.根据权利要求12所述的方法,其特征在于,所述方法还包括:所述第二设备对转发的数据包进行计数;所述第二设备在第...
【专利技术属性】
技术研发人员:徐恪,江伟玉,刘明星,郑秀丽,王晓亮,
申请(专利权)人:清华大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。