[发明专利]出口网关内缓存队列饱和攻击防御方法、装置及系统

权利要求书

1.一种出口网关内缓存队列饱和攻击防御方法，其特征在于，应用于出口网关中，所述出口网关用于连接移动网络与软件定义网络，所述方法包括：

接收终端发送的数据包，将所述数据包与所述出口网关中存储的静态流表进行匹配，所述静态流表中每条流表项是中心控制器根据确定出的常用服务器的地址生成的；

当所述数据包与所述静态流表中的流表项均不匹配时，将所述数据包与所述出口网关中存储的动态流表进行匹配，所述动态流表中每条流表项均是所述出口网关在判定接收到的所述数据包与存储的流表项均不匹配时上报给所述中心控制器，由所述中心控制器获取并反馈的与所述数据包中的目标地址对应的流表项；

当所述数据包与所述动态流表中的流表项均不匹配时，则将所述数据包发送至所述中心控制器，所述数据包用于触发所述中心控制器根据所述数据包获取并反馈与所述数据包内目标地址对应的流表项；

接收所述中心控制器反馈的所述流表项，根据所述流表项转发所述数据包；

当所述出口网关的缓存队列中数据包的容量与所述缓存队列的总容量的比值达到预定比值阈值时，则将所述缓存队列中所有数据包的包头和载荷进行拆分，丢弃拆分后得到的载荷，所述缓存队列中用于存储所述出口网关接收到的且与所述静态流表和所述动态流表均不匹配的数据包；

向所述中心控制器发送预警信息，所述预警信息中携带有拆分后得到的包头，所述预警信息用于触发所述中心控制器根据所述包头，分析所述终端是否为非法终端。

2.根据权利要求1所述的方法，其特征在于，在所述接收所述中心控制器反馈的所述流表项之后，所述方法包括：

将所述流表项添加至所述动态流表中。

3.根据权利要求1所述的方法，其特征在于，所述方法还包括：

根据所述动态流表中每个流表项被匹配成功的次数，累计所述流表项所对应的目标地址被访问的访问次数；

将每个目标地址的访问次数发送至所述中心控制器，由所述中心控制器获取所述目标地址的总访问次数，在判定所述目标地址的总访问次数达到预定阈值时，为所述目标地址生成流表项，向出口网关发送静态流表更新通知，所述静态流表更新通知中携带有所述流表项；

接收所述中心控制器发送的所述静态流表更新通知，将所述静态流表更新通知中的流表项添加至所述出口网关的所述静态流表中；

从所述动态流表中删除所述流表项。

4.根据权利要求1所述的方法，其特征在于，所述方法还包括：

统计在统计时刻前预定时长内所述动态流表中各个流表项被匹配成功的匹配次数；

从所述动态流表中删除匹配次数少于预定阈值的流表项。

5.根据权利要求1至4中任一所述的方法，其特征在于，所述方法还包括：

接收所述中心控制器发送的非法终端的标识；

向移动管理节点功能MME或归属签约用户服务器HSS发送所述非法终端的标识，由所述MME或所述HSS通知所述非法终端所接入的基站禁止所述非法终端在预定时间段内进行访问。