[发明专利]SFC覆盖网络中的攻击源追踪

说明书

本公开的实施例涉及用于在服务功能链覆盖网络中追踪攻击源的方法、设备和计算机可读存储介质。在示例实施例中，在攻击追踪器处向攻击数据流相继经过的多个服务功能链域中的第一服务功能链域发送针对追踪攻击数据的攻击源的请求。该请求包括攻击数据流的流特性。然后，攻击追踪器从第一服务功能链域接收基于流特性进行的流匹配的第一组结果。攻击追踪器至少部分地基于第一组结果在多个服务功能链域中标识攻击源。以这种方式，可以在服务功能链覆盖网络中有效地追踪攻击源。

技术领域

本公开的实施例总体上涉及攻击源追踪领域，并且具体地涉及用于在服务功能链(SFC)覆盖网络中追踪攻击源的方法、设备和计算机可读存储介质。

背景技术

已经由数据服务提供商通过从各种数据资源收集多样性数据提供了基于云的数据服务。但是，某些物联网(IoT)设备(诸如交通摄像头、电表和煤气表)的安全能力有限，并且因此攻击方可以轻松利用这些IoT设备对服务、系统和基于云的数据中心进行故意攻击，例如拒绝服务(DoS)攻击。除了通过具有有限安全功能的IoT设备的潜在攻击，通过其他网络设备(诸如路由器和服务功能)进行的攻击也很常见。

通常，为了阻止或减轻网络攻击，特别是DoS攻击，首先由安全设备检测攻击，然后追踪攻击源并且阻挡攻击。已经提出了很多安全设施来阻挡网络攻击。某些安全设施，诸如防火墙和入侵防御系统(IPS)，无法阻挡某些特定攻击，诸如传输控制协议(TCP)同步(SYN)泛洪和DoS攻击。入侵检测系统(IDS)已经被广泛部署以检测网络攻击，但无法标识网络攻击源。

然而，追踪DoS攻击的攻击源是一个大问题。在DoS攻击中，攻击方可以不接收来自被攻击目标的报文，从而可以保持隐藏。对于DoS攻击，标识网络攻击源以阻挡攻击源并且阻止或减轻攻击是非常重要的。

发明内容

总体上，本公开的示例实施例提供了用于追踪在服务功能链(SFC)覆盖网络中追踪攻击源的方法、设备和计算机可读存储介质。

在第一方面，提供了一种在攻击追踪器处的方法。在攻击追踪器处，向攻击数据流相继经过的多个SFC域中的第一SFC域发送针对追踪攻击数据的攻击源的请求。该请求包括攻击数据流的流特性。然后，攻击追踪器从第一SFC域接收基于流特性进行的流匹配的第一组结果。攻击追踪器至少部分基于第一组结果在多个SFC域中标识攻击源。

在第二方面，提供了一种在SFC域中的SFC控制器处的方法。分类器接收针对基于相继经过多个SFC域的攻击数据流的流特性进行流匹配的指令。分类器确定攻击数据流的流特性是否与分类器处所存储的与攻击数据流相关的流特性相匹配。如果攻击数据流的流特性与所存储的流特性相匹配，则分类器发送关于攻击数据流的流特性与所存储的流特性相匹配的指示。分类器还发送对多个SFC域中的第二SFC域的指示。攻击数据流连续经过第二SFC域和第一SFC域。

在第三方面，提供了在SFC域中的SFC控制器处的一种方法。SFC控制器从攻击追踪器接收针对追踪经过SFC域的攻击数据流的攻击源的请求。该请求包括攻击数据流的流特性。基于流特性，SFC控制器确定攻击数据流在SFC域中的服务功能路径(SFP)。SFC控制器至少向SFP中所包括的分类器发送针对基于流特性进行流匹配的指令。

在第四方面，提供了一种设备，该设备包括至少一个处理器和包括计算机程序代码的至少一个存储器。至少一个存储器和计算机程序代码被配置为与至少一个处理器一起使该设备执行根据第一方面、第二方面或第三方面的方法。

在第五方面，提供了一种在其上存储有计算机程序的计算机可读存储介质。该计算机程序在由处理器执行时使处理器执行根据第一方面、第二方面或第三方面的方法。

应当理解，“发明内容”部分不旨在标识本公开的实施例的关键或必要特征，也不旨在用于限制本公开的范围。通过以下描述，本公开的其他特征将变得容易理解。

附图说明

现在将参考附图描述一些示例实施例，在附图中：