网络攻击的防御方法、网元设备及计算机可读存储介质与流程

本申请涉及网络安全，尤其涉及网络攻击的防御方法、网元设备及计算机可读存储介质。

背景技术：

1、近年来，互联网行业不断遭受大规模的ddos（distributed denial of service，分布式拒绝服务）网络攻击。ddos攻击可使sdn（software defined network，软件定义网络）网络中被攻击主机的关键资源（如带宽、缓冲区、处理器资源等）迅速耗尽，使其崩溃或因需要花费大量时间处理攻击包，导致网络服务不能正常提供，形成拒绝式服务攻击，给sdn网络中的网络设备和网络服务带来不容忽视的威胁，对sdn网络的安全造成较大的影响。因此，需要对网络攻击进行检测、溯源并防御。

2、目前，防攻击方案一般是对网元设备额外配置ddos检测设备来监控流量，并将其引流到状态防火墙，ddos检测设备由于成本和规模问题不能监控所有的网络流量，在实际应用场景下，随着分布性强且复杂的攻击行为，目前的网络防攻击方案已经无法在较短的时间内，确保网络攻击源的有效防御，即，要么以较长的时间确保网络攻击源才能对网络攻击源进行检测以及防御，要么牺牲网络攻击源的检测精度，来提高检测效率，无法同时兼顾网络攻击源的检测效率和检测精度。

技术实现思路

1、本申请的主要目的在于提供一种网络攻击的防御方法、网元设备及计算机可读存储介质，旨在解决目前无法同时兼顾网络攻击源的检测效率和检测精度的技术问题。

2、为实现上述目的，本申请提供一种网络攻击的防御方法，包括：

3、检测当前周期的系统运行状态；

4、在确定所述系统运行状态为运行异常后，将当前周期内的报文数据流作为待检测数据流，并依据所述待检测数据流对应的报文频率信息、报文载荷信息和源地址信息，检查所述待检测数据流中是否存在攻击报文，其中，所述源地址信息包括源ip地址和源端口；

5、在确定存在攻击报文后，识别所述攻击报文对应的源发送地址，对所述源发送地址发送的报文进行抑制处理。

6、此外，为实现上述目的，本申请还提供一种网元设备，所述网元设备包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的网络攻击的防御程序，所述网络攻击的防御程序被所述处理器执行时实现如上述的网络攻击的防御方法。

7、此外，为实现上述目的，本申请还提供一种计算机可读存储介质，所述计算机可读存储介质上存储有网络攻击的防御程序，所述网络攻击的防御程序被处理器执行时实现如上述的网络攻击的防御方法。

8、本申请提出一种网络攻击的防御方法、网元设备及计算机可读存储介质，在网络攻击的防御方法中，本申请实施例的技术方案是通过检测当前周期的系统运行状态，从而在对报文数据流进行网络攻击检测之前，先对系统运行状态，在确定系统运行状态为运行异常后，才执行后续的网络攻击检测步骤，避免盲目开启网络攻击检测而提高系统运行负载，进而降低对实际网络攻击源进行检测的效率，并在确定系统运行状态为运行异常后，将当前周期内的报文数据流作为待检测数据流，依据该检测数据流对应的报文频率信息、报文载荷信息和源地址信息，检查待检测数据流中是否存在攻击报文，从而基于多维度分析确定网元设备是否遭受网络攻击，进而提高了网络攻击识别的准确性，提升了网络攻击源的检测效率，然后在确定存在攻击报文后，识别攻击报文对应的源发送地址，从而对网络攻击完成溯源识别，再通过对源发送地址发送的报文进行抑制处理，从而实现在检测到攻击或溯源到攻击源后，还提供攻击防御或抑制的功能，保护网元设备正常运行。

9、而目前的防攻击方案一般是对网元设备额外配置ddos检测设备来监控流量，并将其引流到状态防火墙，ddos检测设备由于成本和规模问题不能监控所有的网络流量，在实际应用场景下，随着分布性强且复杂的攻击行为，目前的网络防攻击方案已经无法在较短的时间内，确保网络攻击源的有效防御，无法同时兼顾网络攻击源的检测效率和检测精度。

10、相比于目前的该防攻击方案，本申请实施例无需配置ddos检测设备，本申请实施例可将网络攻击的防御方法的逻辑程序集成于网元设备中，直接对报文数据流进行网络攻击的检测、溯源和防御，无需将其引流到状态防火墙，因此提高了对网络攻击源的检测效率，并且本申请实施例通过在网元设备侧监控数据流的报文频率信息、报文载荷信息和源地址信息等关键kpi（key performance indicator），验证分析出系统是否遭受网络攻击，从而基于多维度分析提升了网络攻击的检测准确性和检测效率，实现在提高网络攻击源的检测效率的同时，提升网络攻击源的检测精度，兼顾了网络攻击源的检测效率和检测精度。在本申请实施例中，通过网元设备本身就可以完成攻击包的检测，而且不需要将数据流上传至状态防火墙处理，在网元设备侧就可以完成检测，可以满足高速转发的要求，有效提高对网络攻击的检测精度和检测效率，解决目前无法同时兼顾网络攻击源的检测效率和检测精度的技术问题。

技术特征：

1.一种网络攻击的防御方法，其特征在于，包括：

2.如权利要求1所述的网络攻击的防御方法，其特征在于，所述检测当前周期的系统运行状态的步骤包括：

3.如权利要求2所述的网络攻击的防御方法，其特征在于，所述根据所述cpu利用率、所述系统报文流量值和所述业务运行状态，确定当前周期的系统运行状态的步骤包括：

4.如权利要求1所述的网络攻击的防御方法，其特征在于，所述依据所述待检测数据流对应的报文频率信息、报文载荷信息和源地址信息，检查所述待检测数据流中是否存在攻击报文的步骤包括：

5.如权利要求4所述的网络攻击的防御方法，其特征在于，所述基于所述服务请求数量与预设数量阈值的比较结果，确定所述待检测数据流中是否存在攻击报文的步骤包括：

6.如权利要求4所述的网络攻击的防御方法，其特征在于，所述根据所述实际协议结构特征，确定所述待检测数据流中是否存在攻击报文的步骤包括：

7.如权利要求4所述的网络攻击的防御方法，其特征在于，所述根据所述信息熵值，确定所述待检测数据流中是否为攻击报文的步骤包括：

8.如权利要求1所述的网络攻击的防御方法，其特征在于，在所述检查所述待检测数据流中是否存在攻击报文的步骤之后，所述方法还包括：

9.如权利要求1至8中任一项所述的网络攻击的防御方法，其特征在于，在确定存在攻击报文后，所述方法还包括：

10.一种网元设备，其特征在于，包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的网络攻击的防御程序，所述网络攻击的防御程序被所述处理器执行时实现如权利要求1至9中任一项所述的网络攻击的防御方法。

11.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质上存储有网络攻击的防御程序，所述网络攻击的防御程序被处理器执行时实现如权利要求1至9中任一项所述的网络攻击的防御方法。

技术总结本申请公开了一种网络攻击的防御方法、网元设备及计算机可读存储介质，属于网络安全技术领域。本申请通过检测当前周期的系统运行状态，在确定系统运行状态为运行异常后，将当前周期内的报文数据流作为待检测数据流，并依据待检测数据流对应的报文频率信息、报文载荷信息和源地址信息，检查待检测数据流中是否存在攻击报文，然后在确定存在攻击报文后，识别攻击报文对应的源发送地址，对源发送地址发送的报文进行抑制处理，从而实现在提高网络攻击源的检测效率的同时，提升网络攻击源的检测精度，解决目前无法同时兼顾网络攻击源的检测效率和检测精度的技术问题。技术研发人员：施云涛受保护的技术使用者：中兴通讯股份有限公司技术研发日：技术公布日：2024/8/1