本发明专利技术实施例提供了一种异常扫描行为的处理方法及装置,所述方法包括:在基于开放流表的虚拟网络中,当数据包与虚拟交换机的流表不匹配时,新建流表并获取单位时间内的新建流表数;根据预设规则计算标准新建流表数,并根据所述标准新建流表数与所述单位时间内的新建流表数,计算新建流表波动偏差率;获取单位时间内的转发规则为直接丢弃的流表数,并根据所述转发规则为直接丢弃的流表数与所述单位时间内的新建流表数,计算无效建表率;根据所述新建流表波动偏差率与所述无效建表率,判断是否发生异常扫描行为,若发生所述异常扫描行为,则对所述异常扫描行为进行限制;提高了虚拟网络中异常扫描行为的识别效率,并减少了对资源的浪费
【技术实现步骤摘要】
一种异常扫描行为的处理方法及装置
[0001]本专利技术涉及网络安全
,特别是涉及一种异常扫描行为的处理方法及装置
。
技术介绍
[0002]随着计算机的日益普及,计算机网络安全显得尤为重要
。
网络面临的威胁有很多,其中大多数攻击手段的目的都是获取目标网络的网络拓扑,或者目标主机的开放端口,从而更好的掌握目标网络和目标主机的有效信息
。
因此绝大多数黑客的网络攻击都是从扫描开始,扫描主要分为
IP
扫描和端口扫描两种
。IP
扫描一般为向同一网段的多个主机发起扫描
。
攻击者通常使用
ICMP
(
Internet Control Message Protocol
,互联网控制消息协议)协议进行
IP
扫描
。
端口扫描则是向同一
IP
的不同端口进行扫描
。
攻击者通常使用
UDP
(
User Datagram Protocol
,用户数据报协议)报文进行扫描
。
[0003]而随着虚拟化网络的普及,越来越多的企业
、
组织开始把自己的业务迁移到虚拟化或超融合系统
。
许多虚拟化或超融合系统的网络都是基于
openflow
(开放流表)实现的虚拟网络
。
[0004]传统网络中一般是靠局域网入口的硬件防火墙来对外来入侵行为进行防御
。
硬件防火墙可以防御各种网络攻击,也可以过滤有病毒的文件
。
然而虚拟网络与传统物理网络有很大不同,当有外部主机对内部虚拟机网络进行
IP
扫描时,会被物理防火墙隔绝在虚拟机网络之外
。
但如果在这之前黑客已经控制了虚拟网络中的一台虚拟机,并通过这台主机在虚拟网络内部进行
IP
扫描,由于虚拟网络内部的通信是基于
openflow
的,会通过一个虚拟交换机进行转发,而不会经过物理防火墙,所以物理防火墙也无法对这种行为进行有效阻止
。
目前在
openflow
网络上实现防扫描的方法一般都是通过关注流表中具体主机的具体
IP
和端口的变化,跟踪相同源
IP
的目的
IP
和端口的分布实现的;但在主机
IP
数过多的情况下需要消耗大量的资源来进行防扫描跟踪,容易造成资源的浪费
。
技术实现思路
[0005]鉴于上述问题,提出了以便提供克服上述问题或者至少部分地解决上述问题的一种异常扫描行为的处理方法及装置,包括:一种异常扫描行为的处理方法,所述方法包括:在基于开放流表的虚拟网络中,当数据包与虚拟交换机的流表不匹配时,新建流表并获取单位时间内的新建流表数;根据预设规则计算标准新建流表数,并根据所述标准新建流表数与所述单位时间内的新建流表数,计算新建流表波动偏差率;获取单位时间内的转发规则为直接丢弃的流表数,并根据所述转发规则为直接丢弃的流表数与所述单位时间内的新建流表数,计算无效建表率;根据所述新建流表波动偏差率与所述无效建表率,判断是否发生异常扫描行为,
若发生所述异常扫描行为,则对所述异常扫描行为进行限制
。
[0006]可选的,所述根据预设规则计算标准新建流表数的步骤包括:周期性的统计预设时间段内的新建流表数平均值,并将所述平均值作为标准新建流表数
。
[0007]可选的,所述获取单位时间内的转发规则为直接丢弃的流表数,并根据所述转发规则为直接丢弃的流表数与所述单位时间内的新建流表数计算无效建表率之前,还包括:判断所述新建流表波动偏差率是否大于第一阈值,若所述新建流表波动偏差率大于第一阈值,则获取单位时间内的转发规则为直接丢弃的流表数,并根据所述转发规则为直接丢弃的流表数与所述单位时间内的新建流表数计算无效建表率
。
[0008]可选的,所述根据所述新建流表波动偏差率与所述无效建表率,判断是否发生异常扫描行为之前,还包括:判断所述无效建表率是否大于第二阈值,若所述无效建表率大于第二阈值,则根据所述新建流表波动偏差率与所述无效建表率,判断是否发生异常扫描行为
。
[0009]可选的,所述根据所述新建流表波动偏差率与所述无效建表率,判断是否发生异常扫描行为的步骤包括:计算所述新建流表波动偏差率与所述无效建表率的结合值,并判断所述结合值是否大于第三阈值,若所述结合值大于所述第三阈值,则判断发生了异常扫描行为
。
[0010]可选的,所述对所述异常扫描行为进行限制的方法至少包括以下任一种或多种:限制新建流表的频率;直接禁止某一
IP
新建流表
。
[0011]可选的,所述周期性的统计预设时间段内的新建流表数平均值,并将所述平均值作为标准新建流表数的步骤包括:每经过第一规定时长进行一次新建流表数的样本抽样检查;其中,所述样本抽样检查为在第二规定时长内持续统计新建流表数,计算出在所述第二规定时长内持续统计的新建流表数的平均值,并将所述平均值作为标准新建流表数
。
[0012]可选的,所述当数据包与虚拟交换机的流表不匹配时,新建流表并获取单位时间内的新建流表数的步骤包括:通过五元组判断所述数据包与虚拟交换机的流表是否匹配,若所述数据包与虚拟交换机的流表不匹配,则新建流表并获取单位时间内的新建流表数
。
[0013]可选的,所述当数据包与虚拟交换机的流表不匹配时,新建流表并获取单位时间内的新建流表数的步骤还包括:若所述数据包与虚拟交换机的流表匹配,则将所述数据包按照所述流表的转发规则进行转发处理
。
[0014]可选的,所述获取单位时间内的转发规则为直接丢弃的流表数之前,还包括:判断所述新建流表对应的数据包能否进行回复,若不能进行回复,则将所述新建流表的转发规则设定为直接丢弃
。
[0015]可选的,所述第二规定时长小于所述第一规定时长
。
[0016]可选的,所述第一阈值和所述第二阈值均小于所述第三阈值
。
[0017]一种异常扫描行为的处理装置,所述装置包括:
新建流表数获取模块,用于在基于开放流表的虚拟网络中,当数据包与虚拟交换机的流表不匹配时,新建流表并获取单位时间内的新建流表数;新建流表波动偏差率获取模块,根据预设规则计算标准新建流表数,并根据所述标准新建流表数与所述单位时间内的新建流表数,计算新建流表波动偏差率;无效建表率获取模块,用于获取单位时间内的转发规则为直接丢弃的流表数,并根据所述转发规则为直接丢弃的流表数与所述单位时间内的新建流表数计算无效建表率;异常扫描行为判断模块,用于根据所述新建流表波动偏差率与所述无效建表率,判断是否发生异常扫描行为,若发生所述异常扫描行为,则对所述异常扫描行本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.
一种异常扫描行为的处理方法,其特征在于,所述方法包括:在基于开放流表的虚拟网络中,当数据包与虚拟交换机的流表不匹配时,新建流表并获取单位时间内的新建流表数;根据预设规则计算标准新建流表数,并根据所述标准新建流表数与所述单位时间内的新建流表数,计算新建流表波动偏差率;获取单位时间内的转发规则为直接丢弃的流表数,并根据所述转发规则为直接丢弃的流表数与所述单位时间内的新建流表数,计算无效建表率;根据所述新建流表波动偏差率与所述无效建表率,判断是否发生异常扫描行为,若发生所述异常扫描行为,则对所述异常扫描行为进行限制
。2.
根据权利要求1所述的方法,其特征在于,所述根据预设规则计算标准新建流表数的步骤包括:周期性的统计预设时间段内的新建流表数平均值,并将所述平均值作为标准新建流表数
。3.
根据权利要求1所述的方法,其特征在于,所述获取单位时间内的转发规则为直接丢弃的流表数,并根据所述转发规则为直接丢弃的流表数与所述单位时间内的新建流表数计算无效建表率之前,还包括:判断所述新建流表波动偏差率是否大于第一阈值,若所述新建流表波动偏差率大于第一阈值,则获取单位时间内的转发规则为直接丢弃的流表数,并根据所述转发规则为直接丢弃的流表数与所述单位时间内的新建流表数计算无效建表率
。4.
根据权利要求3所述的方法,其特征在于,所述根据所述新建流表波动偏差率与所述无效建表率,判断是否发生异常扫描行为之前,还包括:判断所述无效建表率是否大于第二阈值,若所述无效建表率大于第二阈值,则根据所述新建流表波动偏差率与所述无效建表率,判断是否发生异常扫描行为
。5.
根据权利要求4所述的方法,其特征在于,所述根据所述新建流表波动偏差率与所述无效建表率,判断是否发生异常扫描行为的步骤包括:计算所述新建流表波动偏差率与所述无效建表率的结合值,并判断所述结合值是否大于第三阈值,若所述结合值大于所述第三阈值,则判断发生了异常扫描行为
。6.
根据权利要求1所述的方法,其特征在于,所述对所述异常扫描行为进行限制的方法至少包括以下任一种或多种:限制新建流表的频率;直接禁止某一
IP
新建流表
。7.
根据权利要求2所述的方法,其特征在于,所述周期性的统计预设时间段内的新建流表数平均值,并将所述平均值作为标准新建流表数的步骤包括:每经过第一规定时长进行一次新建流表数的样本抽样检查;其中,所述样本抽样检查为在第二规定时长内持续统计新建流表数,计算出在所述第二规定时长内持续统计...
【专利技术属性】
技术研发人员:薛博,
申请(专利权)人:苏州元脑智能科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。