专网路由器内存储资源恶意占用抵御方法及装置制造方法及图纸

技术编号:13039069 阅读:55 留言:0更新日期:2016-03-23 10:44
本发明专利技术公开了一种专网路由器内存储资源恶意占用抵御方法及装置,属于网络安全领域。所述方法包括:接收用于请求专网服务的访问请求包;计算对具有该服务标识的专网服务进行访问的访问频率的变化率;当该访问频率的变化率大于预定变化率阈值时,按照得到的存储概率对具有该服务标识的专网服务反馈的数据包进行存储。本发明专利技术解决了相关技术中当非法终端在短时间内集中请求大量不流行的数据包时,节点路由器中存储了越来越多的不流行的数据包,而删除了流行的数据包的问题;达到了可以有效避免移动网络遭到非法终端的网络攻击时,专网路由器存储了越来越多的不流行的数据包,而造成所缓存的数据包流行度被破坏的效果。

【技术实现步骤摘要】

本专利技术设及网络安全领域,特别设及一种专网路由器内存储资源恶意占用抵御方 法及装置。
技术介绍
一体化标识网络将网络分为接入网与骨干网,引入了接入网标识 (AccessIdentifie;r,AID)与路由标识(RoutingIdentifier,RID),从根本上解决了互联网 协议地址(InternetProtocolAcMress,I巧双重属性的问题,且能很好的与现有的互联网 与网络架构进行融合。[000引LTE化ongTermEvolution,长期演进)网络架构是基于IP的回程,随着越来越多 的基于IP的通信进入移动基础设施,LTE网络架构也变得更易受到来自互联网的攻击。而 一体化标识网络中提出了基础设施层和普适服务层分离的概念,运种分层使得在一体化标 识网络内部通信时不再基于IP,因此为了降低因基于IP导致的攻击,可W将LTE网络与一 体化标识网络进行融合。 其中,普适服务层负责各种业务的会话、控制和管理,运些业务包括由运营商或第 =方增值服务商提供的各种网络业务,主要是语音、数据、流媒体等。普适服务层创建了虚 拟服务部分、虚拟连接部分、服务标识解析映射W及连接标识解析映射,W实现对各种业务 的统一控制和管理等。虚拟服务部分引入服务标识(英文ServiceIdentification,简 称:SID)来描述和表示多种业务的服务;虚拟连接部分为每个业务提供多种连接;服务标 识解析映射将服务对象映射到多个服务连接,W支持多种业务;连接标识解析映射将服务 连接映射到基础设施层的多个连接,体现了一次服务可对应多个连接、多种路径选择的思 想,从而使服务的实现更加可靠。 -体化标识网络中每个节点路由器都包含内容存储器用来缓存数据包,而每个节 点路由器的存储空间是有限的,当缓存的数据包达到节点路由器的存储空间所能承受的最 大值时,若节点路由器继续接收到新的数据包,就需要丢弃旧的数据包,W保证节点路由器 的存储空间不被占满,降低内容请求失败的概率。针对一体化标识网络的基于节点缓存的 通信过程,非法终端开始采用一些新型的攻击手段,主要破坏节点路由器、链路带宽及内容 源,如请求不流行的数据包,让流行的数据包不能高效返回,破坏节点路由器中数据包流行 度。 为了避免非法终端对服务的攻击,相关技术中采用的方式是采用单一的缓存置换 策略来平衡大部分情况内容内网络各节点路由器中的存储。但此策略对内容请求流行度的 适应性较差,当非法终端在短时间内集中请求大量不流行的数据包时,若仍采用上述单一 方式的置换策略,将出现的问题则是,节点路由器中存储了越来越多的不流行的数据包,而 删除了流行的数据包。此时,当合法终端进行正常请求时,因原节点路由器不再能向其提供 服务,该合法终端不得不向更远的节点路由器请求数据,因而大大降低了合法终端的请求 效率。
技术实现思路
为了解决现有技术中当非法终端在短时间内集中请求大量不流行的数据包时,节 点路由器中存储了越来越多的不流行的数据包,而删除了流行的数据包的问题,本专利技术实 施例提供了一种专网路由器内存储资源恶意占用抵御方法及装置。所述技术方案如下: 第一方面,提供了一种专网路由器内存储资源恶意占用抵御方法,应用于位于一 体化标识网络中的专网路由器中,所述方法包括: 接收用于请求专网服务的访问请求包,每个访问请求包的包头中至少携带所请求 访问的专网服务的服务标识; 计算对具有所述服务标识的专网服务进行访问的访问频率的变化率; 当所述访问频率的变化率大于预定变化率阔值时,按照得到的存储概率对具有所 述服务标识的专网服务反馈的数据包进行存储。 可选的,所述计算对具有所述服务标识的专网服务进行访问的访问频率的变化 率,包括: 获取最后两次统计得到的对具有所述服务标识的专网服务进行访问的访问频 率. 将在后统计得到的访问频率减去在前统计得到的访问频率; 将得到的差值除W所述在前统计得到的访问频率,得到对具有所述服务标识的专 网服务进行访问的所述访问频率的变化率。 可选的,所述按照得到的存储概率对具有所述服务标识的专网服务反馈的数据包 进行存储,包括: 按照所述访问频率的变化率与存储概率的对应关系,确定与所述访问频率的变化 率对应的存储概率,所述存储概率与所述访问频率的变化率成负向相关性; 按照确定出的与所述访问频率的变化率对应的存储概率,对具有所述服务标识的 专网服务反馈的数据包进行存储。 可选的,所述按照得到的存储概率对具有所述服务标识的专网服务反馈的数据包 进行存储,包括: 按照所述访问频率的变化率与存储概率的对应关系,确定与所述访问频率的变化 率对应的存储概率,所述存储概率与所述访问频率的变化率成负向相关性; 向与所述专网路由器相邻的路由器发送询问请求,所述询问请求用于触发所述相 邻的路由器反馈与所述服务标识对应的访问频率的变化率; 接收所述相邻的路由器反馈的与所述服务标识对应的访问频率的变化率; 当所述相邻的路由器反馈的所述访问频率的变化率大于所述预定变化率阔值时, 减小确定出的与所述访问频率的变化率对应的存储概率; 按照减小后得到的存储概率,对具有所述服务标识的专网服务反馈的数据包进行 存储。可选的,所述方法还包括: 存储对每个服务标识所对应的专网服务进行访问的访问频率表,所述访问频率表 中包括至少一组对应关系,每组对应关系中至少包括请求访问的专网服务的服务标识、所 述专网路由器在最后一次统计时长内统计到的请求访问所述专网服务的访问频率和所述 专网服务所对应的访问频率的变化率。 可选的,所述方法还包括: 确定出访问频率的变化率大于所述预定变化率阔值的服务标识; 向接入网络中的基站发送所述服务标识,所述服务标识用于触发所述基站过滤掉 对请求向具有所述服务标识的专网服务进行访问的访问请求。 第二方面,提供了一种专网路由器内存储资源恶意占用抵御装置,应用于位于一 体化标识网络中的专网路由器中,所述装置包括: 接收模块,用于接收用于请求专网服务的访问请求包,每个访问请求包的包头中 至少携带所请求访问的专网服务的服务标识; 计算模块,用于计算对具有所述服务标识的专网服务进行访问的访问频率的变化 率. 第一存储模块,用于在所述计算模块计算得到所述访问频率的变化率大于预定变 化率阔值时,按照得到的存储概率对具有所述服务标识的专网服务反馈的数据包进行存 储。 可选的,所述计算模块,包括: 获取单元,用于获取最后两次统计得到的对具有所述服务标识的专网服务进行访 问的访问频率; 第一计算单元,用于将所述获取单元获取的在后统计得到的访问频率减去在前统 计得到的访问频率; 第二计算单元,用于将所述第一计算单元计算得到的差值除W所述在前统计得到 的访问频率,得到对具有所述服务标识的专网服务进行访问的所述访问频率的变化率。 可选的,所述第一存储模块,包括: 第一确定单元,用于按照所述访问频率的变化率与存储概率的对应关系,确定与 所述访问频率的变化率对应的存储概率,所述存储概率与所述访问频率的变化率成负向相 关性; 第一存储单元,用于按照确定出的与所述访问频率的变化率对应的存储概率,对 具有所述服务标识的专网服务反馈的数据包进行存储。 可选的,所述第一存储模块,包括: 第二确定单元,用于按照所述本文档来自技高网
...

【技术保护点】
一种专网路由器内存储资源恶意占用抵御方法,其特征在于,应用于位于一体化标识网络中的专网路由器中,所述方法包括:接收用于请求专网服务的访问请求包,每个访问请求包的包头中至少携带所请求访问的专网服务的服务标识;计算对具有所述服务标识的专网服务进行访问的访问频率的变化率;当所述访问频率的变化率大于预定变化率阈值时,按照得到的存储概率对具有所述服务标识的专网服务反馈的数据包进行存储。

【技术特征摘要】

【专利技术属性】
技术研发人员:陈佳岳亮苏伟张宏科王铭鑫童博
申请(专利权)人:北京交通大学
类型:发明
国别省市:北京;11

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1