CN104954376B - 一种自适应防攻击方法及装置 - Google Patents

Abstract

本发明公开了一种自适应防攻击方法及装置。通过将从端口接收到的报文在网元***内部按照时间的先后顺序经过的节点，与和该报文的业务类型相同的、且首次经过网元***的报文的经过的节点进行匹配，获取路径的匹配度，根据该匹配度确定该接收到的报文是否为异常报文，在该报文为异常报文的情况下，减小接收报文的端口的允许接入流量，从而达到对异常报文的自适应防攻击，消除防火墙人工配置的繁琐操作环节，有效提升网络攻击的动态识别及拦截效果。

Description

一种自适应防攻击方法及装置

技术领域

本发明涉及通信安全技术领域，尤其涉及一种自适应防攻击方法及装置。

背景技术

在电信设备中，不同的网元间通过路由器、交换机、快速以太网(英文：FastEthernet，简称：FE)接口、千兆以太网(英文：Gigabit Ethernet，简称：GE)接口等设备/端口实现互联互通，为用户提供多样化的电信服务。随着IT、CT组网的不断融合，电信网络遭遇外部异常报文攻击的情况不断出现，进而引起单板复位、业务阻塞等问题。

常见的网络防攻击方案，就是在网元入口部署防火墙。通过防火墙的预置策略，对接入的数据报文进行甄别。对于符合预置策略的报文允许接入网络，不符合预置策略的报文予以丢弃。预置策略需要人工配置生成，业务频繁变更场景下灵活性不足。且由于防火墙单元与业务单元独立，不具备业务类型的识别与解析能力，因此，对于“精巧设计”的伪装的异常业务报文识别能力较弱，对于此类型的攻击行为，防火墙通过对异常流量行为、碎片报文识别等技术，只能实现部分性的防护能力。因此，如何消除人工配置防火墙的繁琐操作环节，有效提升网络攻击的动态识别及拦截效果，是当前需要解决的问题。

发明内容

本发明提供了一种自适应防攻击方法及装置，以对异常报文进行自适应防攻击，有效提升网络攻击的动态识别及拦截效果。

第一方面，提供了一种自适应防攻击方法，包括：

自网元***的第一端口接收第二报文，所述网元***包括至少一个端口，所述第一端口为所述至少一个端口中的一个，且所述网元***内部包括多个节点；

根据所述第二报文的业务类型，获取预先存储的第一路径，所述第一路径为第一报文通过所述网元***时，在所述网元***内部经历的路径信息，所述第一路径包括所述第一报文在所述网元***内部按照时间的先后顺序经过的至少一个节点，所述第一报文为所有具有与所述第二报文的业务类型相同的业务类型且经过所述网元***的报文中，首次经过所述网元***的报文；

获取第二路径，所述第二路径为所述第二报文通过所述网元***时，在所述网元***内部经历的路径信息，所述第二路径包括所述第二报文在所述网元***内部按照时间的先后顺序经过的至少一个节点；

将所述第一路径包括的每一节点分别与所述第二路径包括的相应节点进行匹配，以获取所述第二路径和所述第一路径的第一匹配度；

将所述第一匹配度与第一设定阈值进行比较，若所述第一匹配度低于所述第一设定阈值，则确定所述第二报文为异常报文，所述第一设定阈值是根据所述业务类型对误码率或通信延时的容忍度设定的；

在确定所述第二报文为异常报文的情况下，减小所述第一端口的允许接入流量。

结合第一方面，在第一方面的第一种可能实现方式中，按照时间的先后顺序，将所述第一路径包括的至少一个节点和所述第二路径包括的至少一个节点分别进行排序，则位于所述第一路径中的和位于所述第二路径中的具有相同序位的节点是相对应的。

结合第一方面或第一方面的第一种可能实现方式，在第一方面的第二种可能实现方式中，所述第一设定阈值的取值范围为60％～70％。

结合第一方面、第一方面的第一种可能实现方式或第一方面的第二种可能实现方式，在第一方面的第三种可能实现方式中，在所述自网元***的第一端口接收第二报文之前，所述方法还包括：

自所述网元***的任一端口接收所述第一报文；

获取所述第一报文通过所述网元***时，在所述网元***内部经历的所述第一路径，并将所述第一路径进行存储处理。

结合第一方面或第一方面的第一种可能实现方式至第一方面的第三种可能实现方式中任一种可能实现方式，在第一方面的第四种可能实现方式中，所述将所述第一路径包括的每一节点分别与所述第二路径包括的相应节点进行匹配，以获取所述第二路径和所述第一路径的第一匹配度，具体包括：

将所述第一路径包括的每一节点分别与所述第二路径包括的相应节点进行匹配，以确定所述第一路径包括的每一节点是否与所述第二路径包括的相应节点相同，进而获取所述第二路径和所述第一路径的第一匹配度。

结合第一方面或第一方面的第一种可能实现方式至第一方面的第三种可能实现方式中任一种可能实现方式，在第一方面的第五种可能实现方式中，所述第一路径包括n1个节点，

则所述获取预先存储的第一路径之后，所述方法还包括：

获取所述第一路径包括的所述n1个节点中每一节点的流量。

结合第一方面的第五种可能实现方式，在第一方面的第六种可能实现方式中，所述第二路径包括n2个节点，

则所述获取第二路径之后，所述方法还包括：

获取所述第二路径包括的所述n2个节点中每一节点的流量。

结合第一方面的第六种可能实现方式，在第一方面的第七种可能实现方式中，所述将所述第一路径包括的每一节点分别与所述第二路径包括的相应节点进行匹配，以获取所述第二路径和所述第一路径的第一匹配度，具体包括：

将所述n2个节点中每一节点的流量分别与所述n1个节点中的相应节点的流量进行匹配，以确定所述n2个节点的流量分布与所述n1个节点的流量分布是否相同，进而获取所述第二路径和所述第一路径的第一匹配度。

结合第一方面的第五种可能实现方式，在第一方面的第八种可能实现方式中，所述获取所述第一路径包括的所述n1个节点中每一节点的流量之后，所述方法还包括：

采用如下公式对所述n1个节点中每一节点的流量分别进行归一化处理：

其中，f_x为进行归一化处理后的节点x的流量，x的取值范围为1～n1，F_x为节点x的流量，为所述n1个节点的流量的最大值。

结合第一方面的第六种可能实现方式，在第一方面的第九种可能实现方式中，所述获取所述第二路径包括的所述n2个节点中每一节点的流量之后，所述方法还包括：

采用如下公式对所述n2个节点中每一节点的流量分别进行归一化处理：

其中，f_y为进行归一化处理后的节点y的流量，y的取值范围为1～n2，F_y为节点y的流量，为所述n2个节点的流量的最大值。

结合第一方面或第一方面的第一种可能实现方式至第一方面的第九种可能实现方式中任一种可能实现方式，在第一方面的第十种可能实现方式中，所述在确定所述第二报文为异常报文的时刻起，减小所述第一端口的允许接入流量，具体包括：

在确定所述第二报文为异常报文的情况下，将所述第一端口的允许接入流量减小为第一缩小值，所述第一缩小值为所述第二报文经过所述第一端口的过程中，所述第一端口的实际接入流量的最大值与第一比例值的乘积，其中，所述第一缩小值不低于预设的所述第一端口的最低允许接入流量，所述第一比例值的取值范围为1/5～1/2。

结合第一方面或第一方面的第一种可能实现方式至第一方面的第十种可能实现方式中任一种可能实现方式，在第一方面的第十一种可能实现方式中，所述在确定所述第二报文为异常报文的时刻起，减小所述第一端口的允许接入流量之后，所述方法还包括：

自所述第一端口接收第三报文；

获取第三路径，所述第三路径为所述第三报文通过所述网元***时，在所述网元***内部经历的路径信息，所述第三路径包括所述第三报文在所述网元***内部按照时间的先后顺序经过的至少一个节点。

结合第一方面的第十一种可能实现方式，在第一方面的第十二种可能实现方式中，所述方法还包括：

在所述第三报文的业务类型和所述第一报文的业务类型相同的情况下，将所述第三路径包括的每一节点分别与所述第一路径包括的相应节点进行匹配，以获取所述第三路径和所述第一路径的第二匹配度；或者，

在所述第三报文的业务类型和第四报文的业务类型相同的情况下，获取预先存储的第四路径，所述第四路径为所述第四报文通过所述网元***时，在所述网元***内部经历的路径信息，所述第四路径包括所述第四报文在所述网元***内部按照时间的先后顺序经过的至少一个节点，所述第四报文为所有具有与所述第三报文的业务类型相同的业务类型且经过所述网元***的报文中，首次经过所述网元***的报文；并将所述第三路径包括的每一节点分别与第四路径包括的相应节点进行匹配，以获取所述第三路径和所述第四路径的第二匹配度。

结合第一方面的第十二种可能实现方式，在第一方面的第十三种可能实现方式中，所述方法还包括：

在所述第二匹配度低于或者等于所述第一设定阈值的情况下，将所述第一端口的允许接入流量减小为第二缩小值，所述第二缩小值为所述第三报文经过所述第一端口的过程中，所述第一端口的实际接入流量的最大值与第二比例值的乘积，其中，所述第二缩小值不低于预设的所述第一端口的最低允许接入流量，所述第二比例值的取值范围为1/5～1/2。

结合第一方面的第十二种可能实现方式，在第一方面的第十四种可能实现方式中，所述方法还包括：

在所述第二匹配度高于第二设定阈值的情况下，将所述第一端口的允许接入流量增大为第一增大值，所述第一增大值为所述第三报文经过所述第一端口的过程中，所述第一端口的实际接入流量的最大值与第三比例值的乘积，其中，所述第一增大值不高于预设的最高允许接入流量；其中，所述第二设定阈值大于所述第一设定阈值，且所述第二设定阈值的取值范围为70％～80％，所述第三比例值的取值范围为2～5。

第二方面，提供了一种自适应防攻击装置，应用于网元***，所述装置包括：

第一接收单元，用于自所述网元***的第一端口接收第二报文，所述网元***包括至少一个端口，所述第一端口为所述至少一个端口中的一个，且所述网元***内部包括多个节点；

第一获取单元，用于根据所述第二报文的业务类型，获取预先存储的第一路径，所述第一路径为第一报文通过所述网元***时，在所述网元***内部经历的路径信息，所述第一路径包括所述第一报文在所述网元***内部按照时间的先后顺序经过的至少一个节点，所述第一报文为所有具有与所述第二报文的业务类型相同的业务类型且经过所述网元***的报文中，首次经过所述网元***的报文；

第二获取单元，用于获取第二路径，所述第二路径为所述第二报文通过所述网元***时，在所述网元***内部经历的路径信息，所述第二路径包括所述第二报文在所述网元***内部按照时间的先后顺序经过的至少一个节点；

第一匹配单元，用于将所述第一路径包括的每一节点分别与所述第二路径包括的相应节点进行匹配，以获取所述第二路径和所述第一路径的第一匹配度；

比较单元，用于将所述第一匹配度与第一设定阈值进行比较，若所述第一匹配度低于所述第一设定阈值，则确定所述第二报文为异常报文，所述第一设定阈值是根据所述业务类型对误码率或通信延时的容忍度设定的；

在所述比较单元确定所述第二报文为异常报文的情况下，调整单元，用于减小所述第一端口的允许接入流量。

结合第二方面，在第二方面的第一种可能实现方式中，按照时间的先后顺序，将所述第一路径包括的至少一个节点和所述第二路径包括的至少一个节点分别进行排序，则位于所述第一路径中的和位于所述第二路径中的具有相同序位的节点是相对应的。

结合第二方面或第二方面的第一种可能实现方式，在第二方面的第二种可能实现方式中，所述第一设定阈值的取值范围为60％～70％。

结合第二方面、第二方面的第一种可能实现方式或第二方面的第二种可能实现方式，在第二方面的第三种可能实现方式中，所述装置还包括：

第三接收单元，用于自所述网元***的任一端口接收所述第一报文；

第七获取单元，用于获取所述第一报文通过所述网元***时，在所述网元***内部经历的所述第一路径，并将所述第一路径进行存储处理。

结合第二方面或第二方面的第一种可能实现方式至第二方面的第三种可能实现方式中任一种可能实现方式在第二方面的第四种可能实现方式中，所述第一匹配单元具体用于：

将所述第一路径包括的每一节点分别与所述第二路径包括的相应节点进行匹配，以确定所述第一路径包括的每一节点是否与所述第二路径包括的相应节点相同，进而获取所述第二路径和所述第一路径的第一匹配度。

结合第二方面或第二方面的第一种可能实现方式至第二方面的第三种可能实现方式中任一种可能实现方式，在第二方面的第五种可能实现方式中，所述第一路径包括n1个节点，

则所述装置还包括：

第三获取单元，用于获取所述第一路径包括的所述n1个节点中每一节点的流量。

结合第二方面的第五种可能实现方式，在第二方面的第六种可能实现方式中，所述第二路径包括n2个节点，

则所述装置还包括：

第四获取单元，用于获取所述第二路径包括的所述n2个节点中每一节点的流量。

结合第二方面的第六种可能实现方式，在第二方面的第七种可能实现方式中，所述第一匹配单元具体用于：

将所述n2个节点中每一节点的流量分别与所述n1个节点中的相应节点的流量进行匹配，以确定所述n2个节点的流量分布与所述n1个节点的流量分布是否相同，进而获取所述第二路径和所述第一路径的第一匹配度。

结合第二方面的第五种可能实现方式，在第二方面的第八种可能实现方式中，所述装置还包括：

在所述第三获取单元获取所述第一路径包括的所述n1个节点中每一节点的流量之后，

第一归一化处理单元，用于采用如下公式对所述n1个节点中每一节点的流量分别进行归一化处理：

其中，f_x为进行归一化处理后的节点x的流量，x的取值范围为1～n1，F_x为节点x的流量，为所述n1个节点的流量的最大值。

结合第二方面的第六种可能实现方式，在第二方面的第九种可能实现方式中，所述装置还包括：

在所述第四获取单元获取所述第二路径包括的所述n2个节点中每一节点的流量之后，

第二归一化处理单元，用于采用如下公式对所述n2个节点中每一节点的流量分别进行归一化处理：

其中，f_y为进行归一化处理后的节点y的流量，y的取值范围为1～n2，F_y为节点y的流量，为所述n2个节点的流量的最大值。

结合第二方面或第二方面的第一种可能实现方式至第二方面的第九种可能实现方式中任一种可能实现方式，在第二方面的第十种可能实现方式中，所述调整单元具体用于：

在确定所述第二报文为异常报文的情况下，将所述第一端口的允许接入流量减小为第一缩小值，所述第一缩小值为所述第二报文经过所述第一端口的过程中，所述第一端口的实际接入流量的最大值与第一比例值的乘积，其中，所述第一缩小值不低于预设的所述第一端口的最低允许接入流量，所述第一比例值的取值范围为1/5～1/2。

结合第二方面或第二方面的第一种可能实现方式至第二方面的第十种可能实现方式中任一种可能实现方式，在第二方面的第十一种可能实现方式中，所述装置还包括：

在所述调整单元减小所述第一端口的允许接入流量之后，

第二接收单元，用于自所述第一端口接收第三报文；

第五获取单元，用于获取第三路径，所述第三路径为所述第三报文通过所述网元***时，在所述网元***内部经历的路径信息，所述第三路径包括所述第三报文在所述网元***内部按照时间的先后顺序经过的至少一个节点。

结合第二方面的第十一种可能实现方式，在第二方面的第十二种可能实现方式中，所述装置还包括：

第二匹配单元，用于在所述第三报文的业务类型和所述第一报文的业务类型相同的情况下，将所述第三路径包括的每一节点分别与所述第一路径包括的相应节点进行匹配，以获取所述第三路径和所述第一路径的第二匹配度；或者，

所述装置包括：

第六获取单元，用于在所述第三报文的业务类型和第四报文的业务类型相同的情况下，获取预先存储的第四路径，所述第四路径为所述第四报文通过所述网元***时，在所述网元***内部经历的路径信息，所述第四路径包括所述第四报文在所述网元***内部按照时间的先后顺序经过的至少一个节点，所述第四报文为所有具有与所述第三报文的业务类型相同的业务类型且经过所述网元***的报文中，首次经过所述网元***的报文；

所述第二匹配单元用于将所述第三路径包括的每一节点分别与第四路径包括的相应节点进行匹配，以获取所述第三路径和所述第四路径的第二匹配度。

结合第二方面的第十二种可能实现方式，在第二方面的第十三种可能的实现方式中，所述调整单元还用于：

在所述第二匹配度低于或者等于所述第一设定阈值的情况下，将所述第一端口的允许接入流量减小为第二缩小值，所述第二缩小值为所述第三报文经过所述第一端口的过程中，所述第一端口的实际接入流量的最大值与第二比例值的乘积，其中，所述第二缩小值不低于预设的所述第一端口的最低允许接入流量，所述第二比例值的取值范围为1/5～1/2。

结合第二方面的第十二种可能实现方式，在第二方面的第十四种可能的实现方式中，所述调整单元还用于：

在所述第二匹配度高于第二设定阈值的情况下，将所述第一端口的允许接入流量增大为第一增大值，所述第一增大值为所述第三报文经过所述第一端口的过程中，所述第一端口的实际接入流量的最大值与第三比例值的乘积，其中，所述第一增大值不高于预设的最高允许接入流量；其中，所述第二设定阈值大于所述第一设定阈值，且所述第二设定阈值的取值范围为70％～80％，所述第三比例值的取值范围为2～5。

可见，本发明实施例提供的一种自适应防攻击方法及装置，通过网元***的第一端口接收到第二报文，根据该第二报文的业务类型，获取预先存储的第一路径，该第一路径为所有具有与该第一报文的业务类型相同的业务类型且经过所述网元***的报文中、首次经过所述网元***的报文，并获取第二路径，该第二路径为该第二报文通过所述网元***时，在所述网元***内部经历的路径信息，然后将第一路径包括的每一节点分别与所述第二路径包括的相应节点进行匹配，获取第一匹配度；通过比较该第一匹配度和第一设定阈值，判断该第二报文是否为异常报文，并在确定第二报文为异常报文的情况下，减小该第一端口的允许接入流量。采用该方案，能够在获取报文后，自动判断该报文是否为异常报文，并在确定该报文为异常报文的情况下，减小接收报文的端口的允许接入流量，从而达到对异常报文的自适应防攻击，消除防火墙人工配置的繁琐操作环节，有效提升网络攻击的动态识别及拦截效果。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的一种自适应防攻击方法的流程示意图；

图2为示例的报文矢量路径示意图；

图3为本发明实施例提供的另一种自适应防攻击方法的流程示意图；

图4为业务报文攻击防御效果对比示意图；

图5本发明实施例提供的又一种自适应防攻击方法的流程示意图；

图6为示例的业务节点归一化流量分布图；

图7为本发明实施例提供的一种自适应防攻击装置的结构示意图；

图8为本发明实施例提供的另一种自适应防攻击装置的结构示意图；

图9为本发明实施例提供的又一种自适应防攻击装置的结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

现有技术中，防火墙单元与网元***独立，不具备业务类型的识别与解析能力，因此，对于“精巧设计”的伪装的异常报文识别能力较弱，本发明涉及的自适应防攻击装置设置在网元***内部，对网元***内部各节点处理报文进行监控。报文经过任一个网元***，网元***内部包括的多个节点依次对报文进行处理，可以通过将从端口接收到的报文在网元***内部按照时间的先后顺序经过的节点，与和该报文的业务类型相同的、且首次经过网元***的报文的经过的节点进行匹配，获取路径的匹配度，根据该匹配度确定该接收到的报文是否为异常报文，在该报文为异常报文的情况下，减小接收报文的端口的允许接入流量，从而达到对异常报文的自适应防攻击，消除防火墙人工配置的繁琐操作环节，有效提升网络攻击的动态识别及拦截效果。

下面结合图1-图6，对本发明实施例提供的自适应防攻击方法进行详细描述：

请参阅图1，为本发明实施例提供的一种自适应防攻击方法的流程示意图，该方法包括以下步骤：

步骤S101，自网元***的第一端口接收第二报文，所述网元***包括至少一个端口，所述第一端口为所述至少一个端口中的一个，且所述网元***内部包括多个节点。

本实施例涉及的网元***可以是路由器、交换机、移动管理实体(英文：MobilityManagement Entity，简称：MME)等任一通信网元，该网元***包括多个端口，且其内部包括多个节点，网元***可以自任一端口接收其他网元***发送的报文，报文依次经过网元***内部的一个或多个节点，由各个节点分别对报文进行处理，由各个节点进行鉴权、解析等处理。这里的第二报文一般为非首次经过该网元***的该业务类型的报文。

步骤S102，根据所述第二报文的业务类型，获取预先存储的第一路径，所述第一路径为第一报文通过所述网元***时，在所述网元***内部经历的路径信息，所述第一路径包括所述第一报文在所述网元***内部按照时间的先后顺序经过的至少一个节点，所述第一报文为所有具有与所述第二报文的业务类型相同的业务类型且经过所述网元***的报文中，首次经过所述网元***的报文。

在接收第二报文之前，网元***自所述网元***的任一端口接收所述第一报文，获取所述第一报文通过所述网元***时，在所述网元***内部经历的所述第一路径，并将所述第一路径进行存储处理，该第一报文为首次经过该网元***的报文。当有新注册的业务时，或者业务的属性发生变更时，例如业务的一些配置发生变更，或者业务的版本进行了升级，这些报文经过业务处理***时，则业务的类型发生变化，且在***内部所经过的处理节点或节点路径可能会发生一些变化，需要重新学习业务报文所经过的路径，即认为该报文为首次经过该网元***的报文，因此，当有新注册的业务时，或者业务的属性发生变更时，触发获取第一报文通过网元***时，在网元***内部经历的路径信息，该路径包括该报文在网元***内部按照时间的先后顺序经过的一个或多个节点。按照业务类型，将该路径分类存储在网元***、某个节点或云服务器等。因此，可以根据第二报文的业务类型，获取该业务类型的报文的第一路径。

如图2所示的报文矢量路径示意图，对于每一种业务类型的报文，网元***内部设置有相应的节点处理环节，以A业务类型的报文为例，正常报文进入网元***后，需要通过鉴权、注册、分级处理等业务环节，处理路径逐次为：CCU—>MDU—>MIU—>SIG—>CSU—>IFU，其中，CCU、MDU、MIU、SIG、CSU、IFU为该网元***内部的节点；B业务类型的报文的处理路径逐次为：CCU—>CSU—>MIU—>MDU—>SIG—>IFU。

以方向矢量图对报文进行建模如下：

a_n+1＝p₁a_n+p₂a_n-1+p₃a_n-2+...+p_ka_n-k+₁……公式(1)

其中，p_k代表该类型的业务报文是否经过该节点，p_k的取值为0或1，a_n代表报文在n时刻所在节点位置信息；a_n+1代表正常报文在下一时刻的预期路径信息。

步骤S103，获取第二路径，所述第二路径为所述第二报文通过所述网元***时，在所述网元***内部经历的路径信息，所述第二路径包括所述第二报文在所述网元***内部按照时间的先后顺序经过的至少一个节点。

获取第二报文经过网元***时，在网元***内部经历的路径信息，即第二路径，第二报文在网元***内部按照时间的先后顺序经过一个或多个节点，可以获取依次经过的节点信息。

步骤S104，将所述第一路径包括的每一节点分别与所述第二路径包括的相应节点进行匹配，以获取所述第二路径和所述第一路径的第一匹配度。

在进行节点或路径匹配前，按照时间的先后顺序，将第一路径包括的至少一个节点和第二路径包括的至少一个节点分别进行排序，则位于第一路径中的和位于第二路径中的具有相同序位的节点是相对应的，然后，将第一路径包括的每一节点分别与第二路径包括的相应节点进行匹配，以获取第二路径和第一路径的匹配度。

步骤S105，将所述第一匹配度与第一设定阈值进行比较，若所述第一匹配度低于所述第一设定阈值，则确定所述第二报文为异常报文，所述第一设定阈值是根据所述业务类型对误码率或通信延时的容忍度设定的。

有的业务类型的报文对误码率或通信延时的容忍度较高，即允许报文所经过的某一网元***内部节点的顺序与首次经过该网元***的报文有一定差异，有的业务类型的报文则对误码率或通信延时的容忍度较低，要求报文所经过的某一网元***内部节点的顺序与首次经过该网元***的报文差异较小，因此，针对不同的业务类型，设置不同的匹配度阈值，如果获取的第二报文与第一报文的路径的匹配度低于该阈值，则可以确定该第二报文为异常报文。

步骤S106，在确定所述第二报文为异常报文的情况下，减小所述第一端口的允许接入流量。

在确定第二报文为异常报文的情况下，通过减小接收该第二报文的端口的允许接入流量，可以防止异常报文对网元***发起大规模攻击。

根据本发明实施例提供的一种自适应防攻击方法，通过将从端口接收到的报文在网元***内部按照时间的先后顺序经过的节点，与和该报文的业务类型相同的、且首次经过网元***的报文的经过的节点进行匹配，获取路径的匹配度，根据该匹配度确定该接收到的报文是否为异常报文，在该报文为异常报文的情况下，减小接收报文的端口的允许接入流量，从而达到对异常报文的自适应防攻击，消除防火墙人工配置的繁琐操作环节，有效提升网络攻击的动态识别及拦截效果。

请参阅图3，为本发明实施例提供的另一种自适应防攻击方法的流程示意图，该方法包括以下步骤：

步骤S201，自网元***的第一端口接收第二报文，所述网元***包括至少一个端口，所述第一端口为所述至少一个端口中的一个，且所述网元***内部包括多个节点。

步骤S202，根据所述第二报文的业务类型，获取预先存储的第一路径，所述第一路径为第一报文通过所述网元***时，在所述网元***内部经历的路径信息，所述第一路径包括所述第一报文在所述网元***内部按照时间的先后顺序经过的至少一个节点，所述第一报文为所有具有与所述第二报文的业务类型相同的业务类型且经过所述网元***的报文中，首次经过所述网元***的报文。

步骤S203，获取第二路径，所述第二路径为所述第二报文通过所述网元***时，在所述网元***内部经历的路径信息，所述第二路径包括所述第二报文在所述网元***内部按照时间的先后顺序经过的至少一个节点。

步骤S201-S203与图1所示实施例的步骤S101-S103相同，在此不再赘述。

步骤S204，将所述第一路径包括的每一节点分别与所述第二路径包括的相应节点进行匹配，以确定所述第一路径包括的每一节点是否与所述第二路径包括的相应节点相同，进而获取所述第二路径和所述第一路径的第一匹配度。

在进行节点或路径匹配前，按照时间的先后顺序，将第一路径包括的至少一个节点和第二路径包括的至少一个节点分别进行排序，则位于第一路径中的和位于第二路径中的具有相同序位的节点是相对应的，然后，将第一路径包括的每一节点分别与第二路径包括的相应节点进行匹配，以确定第一路径包括的每一节点是否与第二路径包括的相应节点相同，以获取第二路径和第一路径的匹配度。

以图2为例，A业务类型的业务报文正常应该顺序经过这些节点：CCU—>MDU—>MIU—>SIG—>CSU—>IFU，假设，检测到的当前的该设定类型的业务报文所经过的第三个和第四个节点与上述学习到的正常顺序不同，则认为其匹配度为4/6＝66.7％。

步骤S205，将所述第一匹配度与第一设定阈值进行比较，若所述第一匹配度低于所述第一设定阈值，则确定所述第二报文为异常报文，所述第一设定阈值是根据所述业务类型对误码率或通信延时的容忍度设定的。

步骤S206，在确定所述第二报文为异常报文的情况下，将所述第一端口的允许接入流量减小为第一缩小值。

针对不同的业务类型对误码率或通信延时的容忍度的不同，设置不同的匹配度阈值，该阈值的取值范围为60％～70％。如果获取的第二报文与第一报文的路径的匹配度低于该阈值，则可以确定该第二报文为异常报文。

若确定为异常的业务报文，触发采取对该接收该报文的端口的允许接入流量进行调整的方式以防报文攻击。具体地，对于匹配度高于设定阈值的报文流，判定为合法报文，其接入流量不受控；对于匹配度低于设定阈值的报文流，判定为异常报文，并启动防御机制，减小该端口的允许接入流量。允许接入的流量减小了，异常业务报文对***的攻击就相对变小了。

本实施例进行逐级减小端口的允许接入流量，可以降低短时脉冲式攻击对报文的影响。具体地，在确定所述第二报文为异常报文的情况下，将所述第一端口的允许接入流量减小为第一缩小值，该第一缩小值为所述第二报文经过所述第一端口的过程中，所述第一端口的实际接入流量的最大值与第一比例值的乘积，其中，所述第一缩小值不低于预设的所述第一端口的最低允许接入流量，所述第一比例值的取值范围为1/5～1/2。

步骤S207，自所述第一端口接收第三报文。

步骤S208，获取第三路径，所述第三路径为所述第三报文通过所述网元***时，在所述网元***内部经历的路径信息，所述第三路径包括所述第三报文在所述网元***内部按照时间的先后顺序经过的至少一个节点。

该端口不断地接收报文，接收的第三报文的业务类型可能与第一报文或第二报文相同，也可能不同。同样地，获取第三报文通过网元***时，在网元***内部经历的路径信息。

步骤S209，在所述第三报文的业务类型和所述第一报文的业务类型相同的情况下，将所述第三路径包括的每一节点分别与所述第一路径包括的相应节点进行匹配，以获取所述第三路径和所述第一路径的第二匹配度。

步骤S210，在所述第三报文的业务类型和第四报文的业务类型相同的情况下，获取预先存储的第四路径，所述第四路径为所述第四报文通过所述网元***时，在所述网元***内部经历的路径信息，所述第四路径包括所述第四报文在所述网元***内部按照时间的先后顺序经过的至少一个节点，所述第四报文为所有具有与所述第三报文的业务类型相同的业务类型且经过所述网元***的报文中，首次经过所述网元***的报文。

步骤S211，将所述第三路径包括的每一节点分别与第四路径包括的相应节点进行匹配，以获取所述第三路径和所述第四路径的第二匹配度。

在计算新接收到的第三报文的匹配度时，如果第三报文的业务类型与第一报文相同，则将第三报文与第一报文的路径进行匹配，获取第二匹配度，如果第三报文的业务类型与第一报文不同，获取与第三报文的业务类型相同的、且首次经过网元***的第四报文的路径，将第三报文与第四报文的路径进行匹配，获取第二匹配度。

步骤S212，在所述第二匹配度低于或者等于所述第一设定阈值的情况下，将所述第一端口的允许接入流量减小为第二缩小值，所述第二缩小值为所述第三报文经过所述第一端口的过程中，所述第一端口的实际接入流量的最大值与第二比例值的乘积，其中，所述第二缩小值不低于预设的所述第一端口的最低允许接入流量，所述第二比例值的取值范围为1/5～1/2。

如果监控到的新接收到的报文的匹配度仍低于或等于第一设定阈值，按照一定的比例值再次减小端口的允许接入流量。

需要说明的是，减小端口的允许接入流量是逐级进行的，即S207-S212的过程是循环的，直至端口的允许接入流量不低于预设的所述第一端口的最低允许接入流量。

步骤S213，在所述第二匹配度高于第二设定阈值的情况下，将所述第一端口的允许接入流量增大为第一增大值，所述第一增大值为所述第三报文经过所述第一端口的过程中，所述第一端口的实际接入流量的最大值与第三比例值的乘积，其中，所述第一增大值不高于预设的最高允许接入流量；其中，所述第二设定阈值大于所述第一设定阈值，且所述第二设定阈值的取值范围为70％～80％，所述第三比例值的取值范围为2～5。

但如果监控到的新接收到的报文的匹配度高于第二设定阈值，则恢复端口的允许接入流量，且恢复的过程是逐级进行的，与逐级减小端口的允许接入流量的过程类似。

举例说明，防御实施环节采取二进制指数退避算法，有效实现异常接入端口的流量限制；并保持最低流量标准，在端口攻击行为消失时，能够自动实现异常恢复。

具体地，从某端口流入***的报文流与矢量路径迁移模型匹配度低于阈值时，将端口的允许接入流量递减为上一周期设置阈值的1/2，抑制异常攻击对***正常报文处理的影响度；直至最低流量标准后(最低流量标准参考该端口正常周期中流量进行设定，默认为5％)，不再进行下调，并实时监控该端口状态；在该异常节点报文流与矢量路径迁移模型匹配度恢复至高于阈值时，对该端口的流量限制调整至上一周期设置阈值的2倍，逐步恢复其接入能力，直至到达该端口允许的最大流量阈值。

该防御算法可以尽力避免节点黑洞，即避免“无法恢复的异常”，节点黑洞即指某节点由于异常行为被***限制接入，在某段时间后恢复正常状态时，无法消除历史异常影响、恢复***正常接入的情况。

我们构造协议类型合法、业务类型异常的报文流，对***进行大流量冲击，观测***异常防御能力，如图4所示，为业务报文攻击防御效果对比示意图，横坐标表示攻击报文强度(单位：数据包每秒)，纵坐标表示***的负载程度(图示为CPU占用率，单位为百分比；也可以使用其他关键资源的占用率来度量)，曲线1为采用通用防御策略的业务报文攻击防御效果，通用防御策略即采用独立防火墙单元，开启流量攻击相关配置；曲线2为采用本实施例的自适应防攻击方法。可以明显地看出，采用本实施例的自适应防攻击方法，能够有效降低异常攻击报文对***的影响，保证正常端口的业务接入及平稳运行。

根据本发明实施例提供的一种自适应防攻击方法，通过将从端口接收到的报文在网元***内部按照时间的先后顺序经过的节点，与和该报文的业务类型相同的、且首次经过网元***的报文的经过的节点进行匹配，获取路径的匹配度，根据该匹配度确定该接收到的报文是否为异常报文，在该报文为异常报文的情况下，逐级减小接收报文的端口的允许接入流量，从而达到对异常报文的自适应防攻击，消除防火墙人工配置的繁琐操作环节，有效提升网络攻击的动态识别及拦截效果；并可在监控到匹配度增大时，可快速恢复端口的允许接入流量，避免网元***的不稳定。

请参阅图5，为本发明实施例提供的又一种自适应防攻击方法的流程示意图，该方法包括以下步骤：

步骤S301，自网元***的第一端口接收第二报文，所述网元***包括至少一个端口，所述第一端口为所述至少一个端口中的一个，且所述网元***内部包括多个节点。

本步骤与图1或图3所示实施例的步骤S101或S102相同，在此不再赘述。

步骤S302，根据所述第二报文的业务类型，获取预先存储的第一路径，获取所述第一路径包括的所述n1个节点中每一节点的流量。

获取预先存储的第一路径的步骤与图1或图3所示实施例的步骤S102或S202相同，在此不再赘述。然而，在获取预先存储的第一路径的同时或之后，本实施例还要求获取第一路径包括的n1个节点中每一节点的流量。报文依次经过网元***的节点，不同的报文在相同的节点的流量可能相同或不同。

步骤S303，获取第二路径，并获取所述第二路径包括的所述n2个节点中每一节点的流量。

获取第二路径的步骤与图1或图3所示实施例的步骤S103或S203相同，在此不再赘述。同样地，在获取第二路径的同时或之后，本实施例还要求获取第二路径包括的n2个节点中每一节点的流量。

步骤S304，对所述n1和n2个节点中每一节点的流量分别进行归一化处理。

由于流量是一个较大的数值，直接进行每个节点的流量匹配，计算量大，因此，可先对n1和n2个节点中每一节点的流量分别进行归一化处理，具体如下：

采用如下公式(2)对所述n1个节点中每一节点的流量分别进行归一化处理：

其中，f_x为进行归一化处理后的节点x的流量，x的取值范围为1～n1，F_x为节点x的流量，为所述n1个节点的流量的最大值。

采用如下公式(3)对所述n2个节点中每一节点的流量分别进行归一化处理：

其中，f_y为进行归一化处理后的节点y的流量，y的取值范围为1～n2，F_y为节点y的流量，为所述n2个节点的流量的最大值。

以业务类型A为例，基于归一化流量算法，其各节点的流量特征统计分布如图6所示。

步骤S305，将所述n2个节点中每一节点的流量分别与所述n1个节点中的相应节点的流量进行匹配，以确定所述n2个节点的流量分布与所述n1个节点的流量分布是否相同，进而获取所述第二路径和所述第一路径的第一匹配度。

将所述n2个节点中每一节点的流量分别与所述n1个节点中的相应节点的流量进行匹配，从而可以确定n2个节点的流量分布与所述n1个节点的流量分布是否相同，具体的匹配技术可参照现有技术，确定n2个节点的流量分布与所述n1个节点的流量分布是否相同，从而可以获取第二路径和第一路径的第一匹配度。

步骤S306，将所述第一匹配度与第一设定阈值进行比较，若所述第一匹配度低于所述第一设定阈值，则确定所述第二报文为异常报文。

步骤S307，在确定所述第二报文为异常报文的情况下，将所述第一端口的允许接入流量减小为第一缩小值，所述第一缩小值为所述第二报文经过所述第一端口的过程中，所述第一端口的实际接入流量的最大值与第一比例值的乘积，其中，所述第一缩小值不低于预设的所述第一端口的最低允许接入流量，所述第一比例值的取值范围为1/5～1/2。

步骤S308，自所述第一端口接收第三报文。

步骤S309，获取第三路径，并获取所述第三路径包括的n3个节点中每一节点的流量。

所述第三路径为所述第三报文通过所述网元***时，在所述网元***内部经历的路径信息，所述第三路径包括所述第三报文在所述网元***内部按照时间的先后顺序经过的至少一个节点。

步骤S310，在所述第三报文的业务类型和所述第一报文的业务类型相同的情况下，将所述n3个节点中每一节点的流量分别与所述n1个节点中的相应节点的流量进行匹配，以确定所述n3个节点的流量分布与所述n1个节点的流量分布是否相同，进而获取所述第三路径和所述第一路径的第二匹配度。

步骤S311，在所述第三报文的业务类型和第四报文的业务类型相同的情况下，获取预先存储的第四路径，并获取所述第四路径包括的n4个节点中每一节点的流量。

步骤S312，将所述n3个节点中每一节点的流量分别与所述n4个节点中的相应节点的流量进行匹配，以确定所述n3个节点的流量分布与所述n4个节点的流量分布是否相同，进而获取所述第三路径和所述第四路径的第二匹配度。

步骤S313，在所述第二匹配度低于或者等于所述第一设定阈值的情况下，将所述第一端口的允许接入流量减小为第二缩小值，所述第二缩小值为所述第三报文经过所述第一端口的过程中，所述第一端口的实际接入流量的最大值与第二比例值的乘积，其中，所述第二缩小值不低于预设的所述第一端口的最低允许接入流量，所述第二比例值的取值范围为1/5～1/2。

步骤S314，在所述第二匹配度高于第二设定阈值的情况下，将所述第一端口的允许接入流量增大为第一增大值，所述第一增大值为所述第三报文经过所述第一端口的过程中，所述第一端口的实际接入流量的最大值与第三比例值的乘积，其中，所述第一增大值不高于预设的最高允许接入流量；其中，所述第二设定阈值大于所述第一设定阈值，且所述第二设定阈值的取值范围为70％～80％，所述第三比例值的取值范围为2～5。

步骤S306-S314的过程为进行异常报文的判断和端口的允许接入流量的调整过程，与前述实施例类似，所不同的是，在获取新接收到的报文的匹配度时，是获取新接收到的报文所经过的网元***中的多个节点中的每个节点的流量，将每个节点的流量与该业务类型的首次经过网元***的报文所经过的网页***中的多个节点的每个节点的流量进行比较，以确定其流量分布是否相同，从而获取路径的匹配度。

根据本发明实施例提供的一种自适应防攻击方法，通过将从端口接收到的报文在网元***内部按照时间的先后顺序经过的节点，与和该报文的业务类型相同的、且首次经过网元***的报文的经过的节点的流量进行匹配，获取路径的匹配度，根据该匹配度确定该接收到的报文是否为异常报文，在该报文为异常报文的情况下，逐级减小接收报文的端口的允许接入流量，从而达到对异常报文的自适应防攻击，消除防火墙人工配置的繁琐操作环节，有效提升网络攻击的动态识别及拦截效果；并可在监控到匹配度增大时，可快速恢复端口的允许接入流量，避免网元***的不稳定。

下面结合图7-图9，对本发明实施例提供的自适应防攻击装置进行详细描述：

请参阅图7，为本发明实施例提供的一种自适应防攻击装置的结构示意图，该装置1000位于网元***内部，是与网页***的业务处理节点独立的监控装置，该装置1000包括：

第一接收单元11，用于自网元***的第一端口接收第二报文，所述网元***包括至少一个端口，所述第一端口为所述至少一个端口中的一个，且所述网元***内部包括多个节点。

本实施例涉及的网元***可以是路由器、交换机、移动管理实体(英文：MobilityManagement Entity，简称：MME)等任一通信网元，该网元***包括多个端口，且其内部包括多个节点，第一接收单元11可以自任一端口接收其他网元***发送的报文，报文依次经过网元***内部的一个或多个节点，由各个节点分别对报文进行处理，由各个节点进行鉴权、解析等处理。这里的第二报文一般为非首次经过该网元***的该业务类型的报文。

第一获取单元12，用于根据所述第二报文的业务类型，获取预先存储的第一路径，所述第一路径为第一报文通过所述网元***时，在所述网元***内部经历的路径信息，所述第一路径包括所述第一报文在所述网元***内部按照时间的先后顺序经过的至少一个节点，所述第一报文为所有具有与所述第二报文的业务类型相同的业务类型且经过所述网元***的报文中，首次经过所述网元***的报文。

在接收第二报文之前，第三接收单元(图中未示出)用于自所述网元***的任一端口接收所述第一报文，第七获取单元(图中未示出)用于获取所述第一报文通过所述网元***时，在所述网元***内部经历的所述第一路径，并将所述第一路径进行存储处理，该第一报文为首次经过该网元***的报文。当有新注册的业务时，或者业务的属性发生变更时，例如业务的一些配置发生变更，或者业务的版本进行了升级，这些报文经过业务处理***时，则业务的类型发生变化，且在***内部所经过的处理节点或节点路径可能会发生一些变化，需要重新学习业务报文所经过的路径，即认为该报文为首次经过该网元***的报文，因此，当有新注册的业务时，或者业务的属性发生变更时，触发获取第一报文通过网元***时，在网元***内部经历的路径信息，该路径包括该报文在网元***内部按照时间的先后顺序经过的一个或多个节点。按照业务类型，将该路径分类存储在网元***、某个节点或云服务器等。因此，第一获取单元12可以根据第二报文的业务类型，获取该业务类型的报文的第一路径。

如图2所示的报文矢量路径示意图，对于每一种业务类型的报文，网元***内部设置有相应的节点处理环节，以A业务类型的报文为例，正常报文进入网元***后，需要通过鉴权、注册、分级处理等业务环节，处理路径逐次为：CCU—>MDU—>MIU—>SIG—>CSU—>IFU，其中，CCU、MDU、MIU、SIG、CSU、IFU为该网元***内部的节点；B业务类型的报文的处理路径逐次为：CCU—>CSU—>MIU—>MDU—>SIG—>IFU。

以方向矢量图对报文进行建模如下：

a_n+1＝p₁a_n+p₂a_n-1+p₃a_n-2+...+p_ka_n-k+1……公式(1)

其中，p_k代表该类型的业务报文是否经过该节点，p_k的取值为0或1，a_n代表报文在n时刻所在节点位置信息；a_n+1代表正常报文在下一时刻的预期路径信息。

第二获取单元13，用于获取第二路径，所述第二路径为所述第二报文通过所述网元***时，在所述网元***内部经历的路径信息，所述第二路径包括所述第二报文在所述网元***内部按照时间的先后顺序经过的至少一个节点。

第二获取单元13获取第二报文经过网元***时，在网元***内部经历的路径信息，即第二路径，第二报文在网元***内部按照时间的先后顺序经过一个或多个节点，可以获取依次经过的节点信息。

第一匹配单元14，用于将所述第一路径包括的每一节点分别与所述第二路径包括的相应节点进行匹配，以获取所述第二路径和所述第一路径的第一匹配度。

在进行节点或路径匹配前，第一匹配单元14按照时间的先后顺序，将第一路径包括的至少一个节点和第二路径包括的至少一个节点分别进行排序，则位于第一路径中的和位于第二路径中的具有相同序位的节点是相对应的，然后，第一匹配单元14将第一路径包括的每一节点分别与第二路径包括的相应节点进行匹配，以获取第二路径和第一路径的匹配度。

比较单元15，用于将所述第一匹配度与第一设定阈值进行比较，若所述第一匹配度低于所述第一设定阈值，则确定所述第二报文为异常报文，所述第一设定阈值是根据所述业务类型对误码率或通信延时的容忍度设定的。

有的业务类型的报文对误码率或通信延时的容忍度较高，即允许报文所经过的某一网元***内部节点的顺序与首次经过该网元***的报文有一定差异，有的业务类型的报文则对误码率或通信延时的容忍度较低，要求报文所经过的某一网元***内部节点的顺序与首次经过该网元***的报文差异较小，因此，针对不同的业务类型，设置不同的匹配度阈值，如果获取的第二报文与第一报文的路径的匹配度低于该阈值，则比较单元15可以确定该第二报文为异常报文。

在比较单元15确定所述第二报文为异常报文的情况下，调整单元16，用于减小所述第一端口的允许接入流量。

在确定第二报文为异常报文的情况下，调整单元16通过减小接收该第二报文的端口的允许接入流量，可以防止异常报文对网元***发起大规模攻击。

根据本发明实施例提供的一种自适应防攻击装置，通过将从端口接收到的报文在网元***内部按照时间的先后顺序经过的节点，与和该报文的业务类型相同的、且首次经过网元***的报文的经过的节点进行匹配，获取路径的匹配度，根据该匹配度确定该接收到的报文是否为异常报文，在该报文为异常报文的情况下，减小接收报文的端口的允许接入流量，从而达到对异常报文的自适应防攻击，消除防火墙人工配置的繁琐操作环节，有效提升网络攻击的动态识别及拦截效果。

请参阅图8，为本发明实施例提供的另一种自适应防攻击装置的结构示意图，该装置2000包括：

第一接收单元20，用于自网元***的第一端口接收第二报文，所述网元***包括至少一个端口，所述第一端口为所述至少一个端口中的一个，且所述网元***内部包括多个节点。

第一获取单元21，用于根据所述第二报文的业务类型，获取预先存储的第一路径，所述第一路径为第一报文通过所述网元***时，在所述网元***内部经历的路径信息，所述第一路径包括所述第一报文在所述网元***内部按照时间的先后顺序经过的至少一个节点，所述第一报文为所有具有与所述第二报文的业务类型相同的业务类型且经过所述网元***的报文中，首次经过所述网元***的报文。

第二获取单元22，用于获取第二路径，所述第二路径为所述第二报文通过所述网元***时，在所述网元***内部经历的路径信息，所述第二路径包括所述第二报文在所述网元***内部按照时间的先后顺序经过的至少一个节点。

第一接收单元20、第一获取单元21、第二获取单元22的功能分别与图7所示实施例的第一接收单元11、第一获取单元12、第二获取单元13相同，在此不再赘述。

第一匹配单元23，用于将所述第一路径包括的每一节点分别与所述第二路径包括的相应节点进行匹配，以确定所述第一路径包括的每一节点是否与所述第二路径包括的相应节点相同，进而获取所述第二路径和所述第一路径的第一匹配度。

在进行节点或路径匹配前，第一匹配单元23按照时间的先后顺序，将第一路径包括的至少一个节点和第二路径包括的至少一个节点分别进行排序，则位于第一路径中的和位于第二路径中的具有相同序位的节点是相对应的，然后，第一匹配单元23将第一路径包括的每一节点分别与第二路径包括的相应节点进行匹配，以确定第一路径包括的每一节点是否与第二路径包括的相应节点相同，以获取第二路径和第一路径的匹配度。

以图2为例，A业务类型的业务报文正常应该顺序经过这些节点：CCU—>MDU—>MIU—>SIG—>CSU—>IFU，假设，检测到的当前的该设定类型的业务报文所经过的第三个和第四个节点与上述学习到的正常顺序不同，则认为其匹配度为4/6＝66.7％。

比较单元24，用于将所述第一匹配度与第一设定阈值进行比较，若所述第一匹配度低于所述第一设定阈值，则确定所述第二报文为异常报文，所述第一设定阈值是根据所述业务类型对误码率或通信延时的容忍度设定的。

调整单元25，用于在确定所述第二报文为异常报文的情况下，将所述第一端口的允许接入流量减小为第一缩小值。

针对不同的业务类型对误码率或通信延时的容忍度的不同，设置不同的匹配度阈值，该阈值的取值范围为60％～70％。如果获取的第二报文与第一报文的路径的匹配度低于该阈值，则比较单元24可以确定该第二报文为异常报文。

若确定为异常的业务报文，触发调整单元25采取对该接收该报文的端口的允许接入流量进行调整的方式以防报文攻击。具体地，对于匹配度高于设定阈值的报文流，判定为合法报文，其接入流量不受控；对于匹配度低于设定阈值的报文流，判定为异常报文，并启动防御机制，减小该端口的允许接入流量。允许接入的流量减小了，异常业务报文对***的攻击就相对变小了。

本实施例进行逐级减小端口的允许接入流量，可以降低短时脉冲式攻击对报文的影响。具体地，在确定所述第二报文为异常报文的情况下，将所述第一端口的允许接入流量减小为第一缩小值，该第一缩小值为所述第二报文经过所述第一端口的过程中，所述第一端口的实际接入流量的最大值与第一比例值的乘积，其中，所述第一缩小值不低于预设的所述第一端口的最低允许接入流量，所述第一比例值的取值范围为1/5～1/2。

在所述调整单元减小所述第一端口的允许接入流量之后，第二接收单元26，用于自所述第一端口接收第三报文。

第五获取单元27，用于获取第三路径，所述第三路径为所述第三报文通过所述网元***时，在所述网元***内部经历的路径信息，所述第三路径包括所述第三报文在所述网元***内部按照时间的先后顺序经过的至少一个节点。

该端口不断地接收报文，第二接收单元26接收的第三报文的业务类型可能与第一报文或第二报文相同，也可能不同。同样地，第五获取单元27获取第三报文通过网元***时，在网元***内部经历的路径信息。

第二匹配单元28，用于在所述第三报文的业务类型和所述第一报文的业务类型相同的情况下，将所述第三路径包括的每一节点分别与所述第一路径包括的相应节点进行匹配，以获取所述第三路径和所述第一路径的第二匹配度。

第六获取单元29，用于在所述第三报文的业务类型和第四报文的业务类型相同的情况下，获取预先存储的第四路径，所述第四路径为所述第四报文通过所述网元***时，在所述网元***内部经历的路径信息，所述第四路径包括所述第四报文在所述网元***内部按照时间的先后顺序经过的至少一个节点，所述第四报文为所有具有与所述第三报文的业务类型相同的业务类型且经过所述网元***的报文中，首次经过所述网元***的报文。

第二匹配单元28还用于将所述第三路径包括的每一节点分别与第四路径包括的相应节点进行匹配，以获取所述第三路径和所述第四路径的第二匹配度。

在计算新接收到的第三报文的匹配度时，如果第三报文的业务类型与第一报文相同，则第二匹配单元28将第三报文与第一报文的路径进行匹配，获取第二匹配度，如果第三报文的业务类型与第一报文不同，获取与第三报文的业务类型相同的、且首次经过网元***的第四报文的路径，将第三报文与第四报文的路径进行匹配，获取第二匹配度。

调整单元25还用于在所述第二匹配度低于或者等于所述第一设定阈值的情况下，将所述第一端口的允许接入流量减小为第二缩小值，所述第二缩小值为所述第三报文经过所述第一端口的过程中，所述第一端口的实际接入流量的最大值与第二比例值的乘积，其中，所述第二缩小值不低于预设的所述第一端口的最低允许接入流量，所述第二比例值的取值范围为1/5～1/2。

如果监控到的新接收到的报文的匹配度仍低于或等于第一设定阈值，按照一定的比例值再次减小端口的允许接入流量。

需要说明的是，减小端口的允许接入流量是逐级进行的，即该过程是循环的，直至端口的允许接入流量不低于预设的所述第一端口的最低允许接入流量。

调整单元25还用于在所述第二匹配度高于第二设定阈值的情况下，将所述第一端口的允许接入流量增大为第一增大值，所述第一增大值为所述第三报文经过所述第一端口的过程中，所述第一端口的实际接入流量的最大值与第三比例值的乘积，其中，所述第一增大值不高于预设的最高允许接入流量；其中，所述第二设定阈值大于所述第一设定阈值，且所述第二设定阈值的取值范围为70％～80％，所述第三比例值的取值范围为2～5。

但如果监控到的新接收到的报文的匹配度高于第二设定阈值，则恢复端口的允许接入流量，且恢复的过程是逐级进行的，与逐级减小端口的允许接入流量的过程类似。

举例说明，防御实施环节采取二进制指数退避算法，有效实现异常接入端口的流量限制；并保持最低流量标准，在端口攻击行为消失时，能够自动实现异常恢复。

具体地，从某端口流入***的报文流与矢量路径迁移模型匹配度低于阈值时，将端口的允许接入流量递减为上一周期设置阈值的1/2，抑制异常攻击对***正常报文处理的影响度；直至最低流量标准后(最低流量标准参考该端口正常周期中流量进行设定，默认为5％)，不再进行下调，并实时监控该端口状态；在该异常节点报文流与矢量路径迁移模型匹配度恢复至高于阈值时，对该端口的流量限制调整至上一周期设置阈值的2倍，逐步恢复其接入能力，直至到达该端口允许的最大流量阈值。

该防御算法可以尽力避免节点黑洞，即避免“无法恢复的异常”，节点黑洞即指某节点由于异常行为被***限制接入，在某段时间后恢复正常状态时，无法消除历史异常影响、恢复***正常接入的情况。

我们构造协议类型合法、业务类型异常的报文流，对***进行大流量冲击，观测***异常防御能力，如图4所示，为业务报文攻击防御效果对比示意图，横坐标表示攻击报文强度(单位：数据包每秒)，纵坐标表示***的负载程度(图示为CPU占用率，单位为百分比；也可以使用其他关键资源的占用率来度量)，曲线1为采用通用防御策略的业务报文攻击防御效果，通用防御策略即采用独立防火墙单元，开启流量攻击相关配置；曲线2为采用本实施例的自适应防攻击方法。可以明显地看出，采用本实施例的自适应防攻击方法，能够有效降低异常攻击报文对***的影响，保证正常端口的业务接入及平稳运行。

根据本发明实施例提供的一种自适应防攻击装置，通过将从端口接收到的报文在网元***内部按照时间的先后顺序经过的节点，与和该报文的业务类型相同的、且首次经过网元***的报文的经过的节点进行匹配，获取路径的匹配度，根据该匹配度确定该接收到的报文是否为异常报文，在该报文为异常报文的情况下，逐级减小接收报文的端口的允许接入流量，从而达到对异常报文的自适应防攻击，消除防火墙人工配置的繁琐操作环节，有效提升网络攻击的动态识别及拦截效果；并可在监控到匹配度增大时，可快速恢复端口的允许接入流量，避免网元***的不稳定。

请参阅图9，为本发明实施例提供的又一种自适应防攻击装置的结构示意图，该装置3000包括：

第一接收单元31，用于自网元***的第一端口接收第二报文，所述网元***包括至少一个端口，所述第一端口为所述至少一个端口中的一个，且所述网元***内部包括多个节点。

该第一接收单元31与图7所示的第一接收单元11或图8所示的第一接收单元20的功能相同，在此不再赘述。

第一获取单元32，用于根据所述第二报文的业务类型，获取预先存储的第一路径。

第三获取单元33，用于获取所述第一路径包括的所述n1个节点中每一节点的流量。

在第一获取单元32获取预先存储的第一路径的同时或之后，本实施例还要求第三获取单元33获取第一路径包括的n1个节点中每一节点的流量。报文依次经过网元***的节点，不同的报文在相同的节点的流量可能相同或不同。

在所述第三获取单元获取所述第一路径包括的所述n1个节点中每一节点的流量之后，第一归一化处理单元34，用于对所述n1个节点中每一节点的流量分别进行归一化处理。

由于流量是一个较大的数值，直接进行每个节点的流量匹配，计算量大，因此，可先对n1个节点中每一节点的流量分别进行归一化处理，具体如下：

采用如下公式(2)对所述n1个节点中每一节点的流量分别进行归一化处理：

其中，f_x为进行归一化处理后的节点x的流量，x的取值范围为1～n1，F_x为节点x的流量，为所述n1个节点的流量的最大值。

第二获取单元35，用于获取第二路径。

第四获取单元36，用于获取所述第二路径包括的所述n2个节点中每一节点的流量。

同样地，在第二获取单元35获取第二路径的同时或之后，本实施例还要求第四获取单元36获取第二路径包括的n2个节点中每一节点的流量。

在所述第四获取单元获取所述第二路径包括的所述n2个节点中每一节点的流量之后，第二归一化处理单元37，用于对所述n2个节点中每一节点的流量分别进行归一化处理。

采用如下公式(3)对所述n2个节点中每一节点的流量分别进行归一化处理：

其中，f_y为进行归一化处理后的节点y的流量，y的取值范围为1～n2，F_y为节点y的流量，为所述n2个节点的流量的最大值。

以业务类型A为例，基于归一化流量算法，其各节点的流量特征统计分布如图6所示。

第一匹配单元38，用于将所述n2个节点中每一节点的流量分别与所述n1个节点中的相应节点的流量进行匹配，以确定所述n2个节点的流量分布与所述n1个节点的流量分布是否相同，进而获取所述第二路径和所述第一路径的第一匹配度。

第一匹配单元38将所述n2个节点中每一节点的流量分别与所述n1个节点中的相应节点的流量进行匹配，从而可以确定n2个节点的流量分布与所述n1个节点的流量分布是否相同，具体的匹配技术可参照现有技术，确定n2个节点的流量分布与所述n1个节点的流量分布是否相同，从而可以获取第二路径和第一路径的第一匹配度。

比较单元39，用于将所述第一匹配度与第一设定阈值进行比较，若所述第一匹配度低于所述第一设定阈值，则确定所述第二报文为异常报文。

调整单元40，用于在确定所述第二报文为异常报文的情况下，将所述第一端口的允许接入流量减小为第一缩小值，所述第一缩小值为所述第二报文经过所述第一端口的过程中，所述第一端口的实际接入流量的最大值与第一比例值的乘积，其中，所述第一缩小值不低于预设的所述第一端口的最低允许接入流量，所述第一比例值的取值范围为1/5～1/2。

在所述调整单元减小所述第一端口的允许接入流量之后，第二接收单元41，用于自所述第一端口接收第三报文。

第五获取单元42，用于获取第三路径，并获取所述第三路径包括的n3个节点中每一节点的流量。

所述第三路径为所述第三报文通过所述网元***时，在所述网元***内部经历的路径信息，所述第三路径包括所述第三报文在所述网元***内部按照时间的先后顺序经过的至少一个节点。

第二匹配单元43，用于在所述第三报文的业务类型和所述第一报文的业务类型相同的情况下，将所述n3个节点中每一节点的流量分别与所述n1个节点中的相应节点的流量进行匹配，以确定所述n3个节点的流量分布与所述n1个节点的流量分布是否相同，进而获取所述第三路径和所述第一路径的第二匹配度。

第六获取单元44，用于在所述第三报文的业务类型和第四报文的业务类型相同的情况下，获取预先存储的第四路径，并获取所述第四路径包括的n4个节点中每一节点的流量。

第二匹配单元43还用于将所述n3个节点中每一节点的流量分别与所述n4个节点中的相应节点的流量进行匹配，以确定所述n3个节点的流量分布与所述n4个节点的流量分布是否相同，进而获取所述第三路径和所述第四路径的第二匹配度。

调整单元40还用于在所述第二匹配度低于或者等于所述第一设定阈值的情况下，将所述第一端口的允许接入流量减小为第二缩小值，所述第二缩小值为所述第三报文经过所述第一端口的过程中，所述第一端口的实际接入流量的最大值与第二比例值的乘积，其中，所述第二缩小值不低于预设的所述第一端口的最低允许接入流量，所述第二比例值的取值范围为1/5～1/2。

调整单元40还用于在所述第二匹配度高于第二设定阈值的情况下，将所述第一端口的允许接入流量增大为第一增大值，所述第一增大值为所述第三报文经过所述第一端口的过程中，所述第一端口的实际接入流量的最大值与第三比例值的乘积，其中，所述第一增大值不高于预设的最高允许接入流量；其中，所述第二设定阈值大于所述第一设定阈值，且所述第二设定阈值的取值范围为70％～80％，所述第三比例值的取值范围为2～5。

以上单元的功能为进行异常报文的判断和端口的允许接入流量的调整过程，与前述实施例类似，所不同的是，在获取新接收到的报文的匹配度时，是获取新接收到的报文所经过的网元***中的多个节点中的每个节点的流量，将每个节点的流量与该业务类型的首次经过网元***的报文所经过的网页***中的多个节点的每个节点的流量进行比较，以确定其流量分布是否相同，从而获取路径的匹配度。

根据本发明实施例提供的一种自适应防攻击装置，通过将从端口接收到的报文在网元***内部按照时间的先后顺序经过的节点，与和该报文的业务类型相同的、且首次经过网元***的报文的经过的节点的流量进行匹配，获取路径的匹配度，根据该匹配度确定该接收到的报文是否为异常报文，在该报文为异常报文的情况下，逐级减小接收报文的端口的允许接入流量，从而达到对异常报文的自适应防攻击，消除防火墙人工配置的繁琐操作环节，有效提升网络攻击的动态识别及拦截效果；并可在监控到匹配度增大时，可快速恢复端口的允许接入流量，避免网元***的不稳定。

需要说明的是，对于前述的各方法实施例，为了简单描述，故将其都表述为一系列的动作组合，但是本领域技术人员应该知悉，本发明并不受所描述的动作顺序的限制，因为根据本发明，某些步骤可以采用其他顺序或者同时进行。其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于优选实施例，所涉及的动作和模块并不一定是本发明所必须的。

在上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述的部分，可以参见其他实施例的相关描述。

通过以上的实施方式的描述，所属领域的技术人员可以清楚地了解到本发明可以用硬件实现，或固件实现，或它们的组合方式来实现。当使用软件实现时，可以将上述功能存储在计算机可读介质中或作为计算机可读介质上的一个或多个指令或代码进行传输。计算机可读介质包括计算机存储介质和通信介质，其中通信介质包括便于从一个地方向另一个地方传送计算机程序的任何介质。存储介质可以是计算机能够存取的任何可用介质。以此为例但不限于：计算机可读介质可以包括随机存取存储器(Random Access Memory，RAM)、只读存储器(Read-Only Memory，ROM)、电可擦可编程只读存储器(ElectricallyErasable Programmable Read-Only Memory，EEPROM)、只读光盘(Compact Disc Read-Only Memory，CD-ROM)或其他光盘存储、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质。此外。任何连接可以适当的成为计算机可读介质。例如，如果软件是使用同轴电缆、光纤光缆、双绞线、数字用户线(Digital SubscriberLine，DSL)或者诸如红外线、无线电和微波之类的无线技术从网站、服务器或者其他远程源传输的，那么同轴电缆、光纤光缆、双绞线、DSL或者诸如红外线、无线和微波之类的无线技术包括在所属介质的定影中。如本发明所使用的，盘(Disk)和碟(disc)包括压缩光碟(CD)、激光碟、光碟、数字通用光碟(DVD)、软盘和蓝光光碟，其中盘通常磁性的复制数据，而碟则用激光来光学的复制数据。上面的组合也应当包括在计算机可读介质的保护范围之内。

总之，以上所述仅为本发明技术方案的较佳实施例而已，并非用于限定本发明的保护范围。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims (29)

1.一种自适应防攻击方法，其特征在于，包括：

自网元***的第一端口接收第二报文，所述网元***包括至少一个端口，所述第一端口为所述至少一个端口中的一个，且所述网元***内部包括多个节点；

根据所述第二报文的业务类型，获取预先存储的第一路径，所述第一路径为第一报文通过所述网元***时，在所述网元***内部经历的路径信息，所述第一路径包括所述第一报文在所述网元***内部按照时间的先后顺序经过的至少一个节点，所述第一报文为所有具有与所述第一报文的业务类型相同的业务类型且经过所述网元***的报文中，首次经过所述网元***的报文；

获取第二路径，所述第二路径为所述第二报文通过所述网元***时，在所述网元***内部经历的路径信息，所述第二路径包括所述第二报文在所述网元***内部按照时间的先后顺序经过的至少一个节点；

将所述第一路径包括的每一节点分别与所述第二路径包括的相应节点进行匹配，以获取所述第二路径和所述第一路径的第一匹配度；

将所述第一匹配度与第一设定阈值进行比较，若所述第一匹配度低于所述第一设定阈值，则确定所述第二报文为异常报文，所述第一设定阈值是根据所述业务类型对误码率或通信延时的容忍度设定的；

在确定所述第二报文为异常报文的情况下，减小所述第一端口的允许接入流量。

2.根据权利要求1所述的方法，其特征在于：

按照时间的先后顺序，将所述第一路径包括的至少一个节点和所述第二路径包括的至少一个节点分别进行排序，则位于所述第一路径中的和位于所述第二路径中的具有相同序位的节点是相对应的。

3.根据权利要求1或2所述的方法，其特征在于：

所述第一设定阈值的取值范围为60％～70％。

4.根据权利要求1或2所述的方法，其特征在于，在所述自网元***的第一端口接收第二报文之前，所述方法还包括：

自所述网元***的任一端口接收所述第一报文；

获取所述第一报文通过所述网元***时，在所述网元***内部经历的所述第一路径，并将所述第一路径进行存储处理。

5.根据权利要求1或2所述的方法，其特征在于，所述将所述第一路径包括的每一节点分别与所述第二路径包括的相应节点进行匹配，以获取所述第二路径和所述第一路径的第一匹配度，具体包括：

将所述第一路径包括的每一节点分别与所述第二路径包括的相应节点进行匹配，以确定所述第一路径包括的每一节点是否与所述第二路径包括的相应节点相同，进而获取所述第二路径和所述第一路径的第一匹配度。

6.根据权利要求1或2所述的方法，其特征在于，所述第一路径包括n1个节点，

则所述获取预先存储的第一路径之后，还包括：

获取所述第一路径包括的所述n1个节点中每一节点的流量。

7.根据权利要求6所述的方法，其特征在于，所述第二路径包括n2个节点，

则所述获取第二路径之后，还包括：

获取所述第二路径包括的所述n2个节点中每一节点的流量。

8.根据权利要求7所述的方法，其特征在于，所述将所述第一路径包括的每一节点分别与所述第二路径包括的相应节点进行匹配，以获取所述第二路径和所述第一路径的第一匹配度，具体包括：

将所述n2个节点中每一节点的流量分别与所述n1个节点中的相应节点的流量进行匹配，以确定所述n2个节点的流量分布与所述n1个节点的流量分布是否相同，进而获取所述第二路径和所述第一路径的第一匹配度。

9.根据权利要求6所述的方法，其特征在于，所述获取所述第一路径包括的所述n1个节点中每一节点的流量之后，还包括：

采用如下公式对所述n1个节点中每一节点的流量分别进行归一化处理：

<mrow> <msub> <mi>f</mi> <mi>x</mi> </msub> <mo>=</mo> <msub> <mi>F</mi> <mi>x</mi> </msub> <mo>/</mo> <munder> <mrow> <mi>M</mi> <mi>a</mi> <mi>x</mi> </mrow> <mrow> <mi>x</mi> <mo>=</mo> <mn>1</mn> <mo>,</mo> <mn>2</mn> <mo>...</mo> <mi>n</mi> <mn>1</mn> </mrow> </munder> <mrow> <mo>{</mo> <msub> <mi>F</mi> <mi>x</mi> </msub> <mo>}</mo> </mrow> </mrow>

其中，f_x为进行归一化处理后的节点x的流量，x的取值范围为1～n1，F_x为节点x的流量，为所述n1个节点的流量的最大值。

10.根据权利要求7所述的方法，其特征在于，所述获取所述第二路径包括的所述n2个节点中每一节点的流量之后，还包括：

采用如下公式对所述n2个节点中每一节点的流量分别进行归一化处理：

<mrow> <msub> <mi>f</mi> <mi>y</mi> </msub> <mo>=</mo> <msub> <mi>F</mi> <mi>y</mi> </msub> <mo>/</mo> <munder> <mrow> <mi>M</mi> <mi>a</mi> <mi>x</mi> </mrow> <mrow> <mi>y</mi> <mo>=</mo> <mn>1</mn> <mo>,</mo> <mn>2</mn> <mo>...</mo> <mi>n</mi> <mn>2</mn> </mrow> </munder> <mrow> <mo>{</mo> <msub> <mi>F</mi> <mi>y</mi> </msub> <mo>}</mo> </mrow> </mrow>

其中，f_y为进行归一化处理后的节点y的流量，y的取值范围为1～n2，F_y为节点y的流量，为所述n2个节点的流量的最大值。

11.根据权利要求1或2所述的方法，其特征在于，所述在确定所述第二报文为异常报文的情况下，减小所述第一端口的允许接入流量，具体包括：

在确定所述第二报文为异常报文的情况下，将所述第一端口的允许接入流量减小为第一缩小值，所述第一缩小值为所述第二报文经过所述第一端口的过程中，所述第一端口的实际接入流量的最大值与第一比例值的乘积，其中，所述第一缩小值不低于预设的所述第一端口的最低允许接入流量，所述第一比例值的取值范围为1/5～1/2。

12.根据权利要求1或2所述的方法，其特征在于，所述在确定所述第二报文为异常报文的情况下，减小所述第一端口的允许接入流量之后，还包括：

自所述第一端口接收第三报文；

获取第三路径，所述第三路径为所述第三报文通过所述网元***时，在所述网元***内部经历的路径信息，所述第三路径包括所述第三报文在所述网元***内部按照时间的先后顺序经过的至少一个节点。

13.根据权利要求12所述的方法，其特征在于，还包括：

在所述第三报文的业务类型和所述第一报文的业务类型相同的情况下，将所述第三路径包括的每一节点分别与所述第一路径包括的相应节点进行匹配，以获取所述第三路径和所述第一路径的第二匹配度；或者，

在所述第三报文的业务类型和第四报文的业务类型相同的情况下，获取预先存储的第四路径，所述第四路径为所述第四报文通过所述网元***时，在所述网元***内部经历的路径信息，所述第四路径包括所述第四报文在所述网元***内部按照时间的先后顺序经过的至少一个节点，所述第四报文为所有具有与所述第三报文的业务类型相同的业务类型且经过所述网元***的报文中，首次经过所述网元***的报文；并将所述第三路径包括的每一节点分别与第四路径包括的相应节点进行匹配，以获取所述第三路径和所述第四路径的第二匹配度。

14.根据权利要求13所述的方法，其特征在于，还包括：

在所述第二匹配度低于或者等于所述第一设定阈值的情况下，将所述第一端口的允许接入流量减小为第二缩小值，所述第二缩小值为所述第三报文经过所述第一端口的过程中，所述第一端口的实际接入流量的最大值与第二比例值的乘积，其中，所述第二缩小值不低于预设的所述第一端口的最低允许接入流量，所述第二比例值的取值范围为1/5～1/2。

15.根据权利要求13所述的方法，其特征在于，还包括：

在所述第二匹配度高于第二设定阈值的情况下，将所述第一端口的允许接入流量增大为第一增大值，所述第一增大值为所述第三报文经过所述第一端口的过程中，所述第一端口的实际接入流量的最大值与第三比例值的乘积，其中，所述第一增大值不高于预设的最高允许接入流量；其中，所述第二设定阈值大于所述第一设定阈值，且所述第二设定阈值的取值范围为70％～80％，所述第三比例值的取值范围为2～5。

16.一种自适应防攻击装置，应用于网元***，其特征在于，包括：

第一接收单元，用于自所述网元***的第一端口接收第二报文，所述网元***包括至少一个端口，所述第一端口为所述至少一个端口中的一个，且所述网元***内部包括多个节点；

第一获取单元，用于根据所述第二报文的业务类型，获取预先存储的第一路径，所述第一路径为第一报文通过所述网元***时，在所述网元***内部经历的路径信息，所述第一路径包括所述第一报文在所述网元***内部按照时间的先后顺序经过的至少一个节点，所述第一报文为所有具有与所述第二报文的业务类型相同的业务类型且经过所述网元***的报文中，首次经过所述网元***的报文；

第二获取单元，用于获取第二路径，所述第二路径为所述第二报文通过所述网元***时，在所述网元***内部经历的路径信息，所述第二路径包括所述第二报文在所述网元***内部按照时间的先后顺序经过的至少一个节点；

第一匹配单元，用于将所述第一路径包括的每一节点分别与所述第二路径包括的相应节点进行匹配，以获取所述第二路径和所述第一路径的第一匹配度；

比较单元，用于将所述第一匹配度与第一设定阈值进行比较，若所述第一匹配度低于所述第一设定阈值，则确定所述第二报文为异常报文，所述第一设定阈值是根据所述业务类型对误码率或通信延时的容忍度设定的；

在所述比较单元确定所述第二报文为异常报文的情况下，调整单元，用于减小所述第一端口的允许接入流量。

17.根据权利要求16所述的装置，其特征在于：

按照时间的先后顺序，将所述第一路径包括的至少一个节点和所述第二路径包括的至少一个节点分别进行排序，则位于所述第一路径中的和位于所述第二路径中的具有相同序位的节点是相对应的。

18.根据权利要求16或17所述的装置，其特征在于：

所述第一设定阈值的取值范围为60％～70％。

19.根据权利要求16或17所述的装置，其特征在于，所述第一匹配单元具体用于：

将所述第一路径包括的每一节点分别与所述第二路径包括的相应节点进行匹配，以确定所述第一路径包括的每一节点是否与所述第二路径包括的相应节点相同，进而获取所述第二路径和所述第一路径的第一匹配度。

20.根据权利要求16或17所述的装置，其特征在于，所述第一路径包括n1个节点，

则所述装置还包括：

第三获取单元，用于获取所述第一路径包括的所述n1个节点中每一节点的流量。

21.根据权利要求20所述的装置，其特征在于，所述第二路径包括n2个节点，

则所述装置还包括：

第四获取单元，用于获取所述第二路径包括的所述n2个节点中每一节点的流量。

22.根据权利要求21所述的装置，其特征在于，所述第一匹配单元具体用于：

将所述n2个节点中每一节点的流量分别与所述n1个节点中的相应节点的流量进行匹配，以确定所述n2个节点的流量分布与所述n1个节点的流量分布是否相同，进而获取所述第二路径和所述第一路径的第一匹配度。

23.根据权利要求20所述的装置，其特征在于，所述装置还包括：

在所述第三获取单元获取所述第一路径包括的所述n1个节点中每一节点的流量之后，

第一归一化处理单元，用于采用如下公式对所述n1个节点中每一节点的流量分别进行归一化处理：

<mrow> <msub> <mi>f</mi> <mi>x</mi> </msub> <mo>=</mo> <msub> <mi>F</mi> <mi>x</mi> </msub> <mo>/</mo> <munder> <mrow> <mi>M</mi> <mi>a</mi> <mi>x</mi> </mrow> <mrow> <mi>x</mi> <mo>=</mo> <mn>1</mn> <mo>,</mo> <mn>2</mn> <mo>...</mo> <mi>n</mi> <mn>1</mn> </mrow> </munder> <mrow> <mo>{</mo> <msub> <mi>F</mi> <mi>x</mi> </msub> <mo>}</mo> </mrow> </mrow>

其中，f_x为进行归一化处理后的节点x的流量，x的取值范围为1～n1，F_x为节点x的流量，为所述n1个节点的流量的最大值。

24.根据权利要求21所述的装置，其特征在于，所述装置还包括：

在所述第四获取单元获取所述第二路径包括的所述n2个节点中每一节点的流量之后，

第二归一化处理单元，用于采用如下公式对所述n2个节点中每一节点的流量分别进行归一化处理：

<mrow> <msub> <mi>f</mi> <mi>y</mi> </msub> <mo>=</mo> <msub> <mi>F</mi> <mi>y</mi> </msub> <mo>/</mo> <munder> <mrow> <mi>M</mi> <mi>a</mi> <mi>x</mi> </mrow> <mrow> <mi>y</mi> <mo>=</mo> <mn>1</mn> <mo>,</mo> <mn>2</mn> <mo>...</mo> <mi>n</mi> <mn>2</mn> </mrow> </munder> <mrow> <mo>{</mo> <msub> <mi>F</mi> <mi>y</mi> </msub> <mo>}</mo> </mrow> </mrow>

其中，f_y为进行归一化处理后的节点y的流量，y的取值范围为1～n2，F_y为节点y的流量，为所述n2个节点的流量的最大值。

25.根据权利要求16或17所述的装置，其特征在于，所述调整单元具体用于：

在确定所述第二报文为异常报文的情况下，将所述第一端口的允许接入流量减小为第一缩小值，所述第一缩小值为所述第二报文经过所述第一端口的过程中，所述第一端口的实际接入流量的最大值与第一比例值的乘积，其中，所述第一缩小值不低于预设的所述第一端口的最低允许接入流量，所述第一比例值的取值范围为1/5～1/2。

26.根据权利要求16或17所述的装置，其特征在于，所述装置还包括：

在所述调整单元减小所述第一端口的允许接入流量之后，

第二接收单元，用于自所述第一端口接收第三报文；

第五获取单元，用于获取第三路径，所述第三路径为所述第三报文通过所述网元***时，在所述网元***内部经历的路径信息，所述第三路径包括所述第三报文在所述网元***内部按照时间的先后顺序经过的至少一个节点。

27.根据权利要求26所述的装置，其特征在于，还包括：

第二匹配单元，用于在所述第三报文的业务类型和所述第一报文的业务类型相同的情况下，将所述第三路径包括的每一节点分别与所述第一路径包括的相应节点进行匹配，以获取所述第三路径和所述第一路径的第二匹配度；或者，

所述装置包括：

第六获取单元，用于在所述第三报文的业务类型和第四报文的业务类型相同的情况下，获取预先存储的第四路径，所述第四路径为所述第四报文通过所述网元***时，在所述网元***内部经历的路径信息，所述第四路径包括所述第四报文在所述网元***内部按照时间的先后顺序经过的至少一个节点，所述第四报文的业务类型与所述第三报文的业务类型相同，且所述第四报文为所有具有与所述第三报文的业务类型相同的业务类型且经过所述网元***的报文中，首次经过所述网元***的报文；

所述第二匹配单元用于将所述第三路径包括的每一节点分别与第四路径包括的相应节点进行匹配，以获取所述第三路径和所述第四路径的第二匹配度。

28.根据权利要求27所述的装置，其特征在于，所述调整单元还用于：

在所述第二匹配度低于或者等于所述第一设定阈值的情况下，将所述第一端口的允许接入流量减小为第二缩小值，所述第二缩小值为所述第三报文经过所述第一端口的过程中，所述第一端口的实际接入流量的最大值与第二比例值的乘积，其中，所述第二缩小值不低于预设的所述第一端口的最低允许接入流量，所述第二比例值的取值范围为1/5～1/2。

29.根据权利要求27所述的装置，其特征在于，所述调整单元还用于：

在所述第二匹配度高于第二设定阈值的情况下，将所述第一端口的允许接入流量增大为第一增大值，所述第一增大值为所述第三报文经过所述第一端口的过程中，所述第一端口的实际接入流量的最大值与第三比例值的乘积，其中，所述第一增大值不高于预设的最高允许接入流量；其中，所述第二设定阈值大于所述第一设定阈值，且所述第二设定阈值的取值范围为70％～80％，所述第三比例值的取值范围为2～5。