[发明专利]SFC覆盖网络中的攻击源追踪

权利要求书

1.一种追踪攻击源的方法，包括：

在攻击追踪器处，向多个服务功能链域中的第一服务功能链域发送针对追踪相继经过所述多个服务功能链域的攻击数据流的攻击源的请求，所述请求包括所述攻击数据流的流特性；

从所述第一服务功能链域接收基于所述流特性进行的流匹配的第一组结果；以及

至少部分地基于所述第一组结果，在所述多个服务功能链域中标识所述攻击源。

2.根据权利要求1所述的方法，其中发送所述请求包括：

向所述第一服务功能链域中的服务功能链控制器发送所述请求。

3.根据权利要求1或2所述的方法，其中所述第一组结果包括关于所述攻击数据流的所述流特性是否与所述第一服务功能链域中的分类器处所存储的所述攻击数据流的流特性相匹配的指示，并且接收所述第一组结果包括：

从所述第一服务功能链域中的所述分类器接收所述指示。

4.根据权利要求3所述的方法，其中标识所述攻击源包括：

响应于关于所述攻击数据流的所述流特性与所存储的流特性相匹配的所述指示，确定所述攻击源不存在于所述第一服务功能链域中；

向所述多个服务功能链域中的第二服务功能链域发送针对追踪所述攻击源的所述请求，所述攻击数据流连续经过所述第二服务功能链域和所述第一服务功能链域；

从所述第二服务功能链域接收基于所述流特性进行的流匹配的第二组结果；以及

至少部分地基于所述第二组结果，在所述多个服务功能链域中标识所述攻击源。

5.根据权利要求4所述的方法，还包括：

从所述第一服务功能链域中的所述分类器接收所述第二服务功能链域的标识。

6.根据权利要求3所述的方法，其中标识所述攻击源包括：

响应于所述指示指明所述攻击数据流的所述流特性与所存储的流特性不匹配，确定所述攻击源存在于所述第一服务功能链域中。

7.根据权利要求1、2和4至6中任一项所述的方法，其中所述第一组结果包括关于所述攻击数据流的所述流特性是否与所述第一服务功能链域中的一组服务功能转发器处所存储的所述攻击数据流的流特性相匹配的一组指示，并且接收所述第一组结果包括：

从所述第一服务功能链域中的所述一组服务功能转发器接收所述一组指示。

8.根据权利要求7所述的方法，其中标识所述攻击源包括：

从所述第一服务功能链域中的服务功能链控制器接收所述攻击数据流在所述第一服务功能链域中的服务功能路径；以及

基于所述一组指示和所述服务功能路径，在所述第一服务功能链域中标识所述攻击源。

9.一种追踪攻击源的方法，包括：

在多个服务功能链域中的第一服务功能链域中的分类器处接收针对基于相继经过所述多个服务功能链域的攻击数据流的流特性进行流匹配的指令；

确定所述攻击数据流的所述流特性是否与所述分类器处所存储的与所述攻击数据流相关联的流特性相匹配；以及

响应于确定所述攻击数据流的所述流特性与所存储的流特性相匹配，向攻击追踪器发送对所述多个服务功能链域中的第二服务功能链域的指示以及关于所述攻击数据流的所述流特性与所存储的流特性相匹配的指示，所述攻击数据流连续经过所述第二服务功能链域和所述第一服务功能链域。

10.根据权利要求9所述的方法，其中所述攻击数据流的所述流特性包括所述攻击数据流的源互联网协议地址，并且确定所述攻击数据流的所述流特性是否与所存储的流特性相匹配包括：

基于所述攻击数据流的所述源互联网协议地址从所述分类器处所存储的流特性中选择与所述攻击数据流相关联的流特性；以及

确定所述攻击数据流的所述流特性是否与所选择的流特性相匹配。