WO2014032292A1 - 防御承载攻击的方法及设备 - Google Patents

Abstract

本发明涉及通信领域，特别涉及一种防御承载攻击的方法及设备，其中所述方法包括：当网络设备检测出终端的承载传输流量大于或等于所述网络设备设置的流量门限值，则停止为所述终端进行资源调度。本发明可防御终端在网络高传输要求下利用高传输性能对网络设备（包括基站）进行攻击。

Description

防御承载攻击的方法及设备 技术领域

本发明涉及通信领域， 特别涉及一种防御承载攻击的方法以及设备。 背景技术

QCI ( Qos Class Identifier, Qos类别标识）是一个标度值， 用于衡量特定的 提供给 SDF ( Service Data Flow, 服务数据流） 的包转发行为 （如丟包率， 包延 迟预算）， 它同时应用于 GBR ( Guarantee Bit Rate, 保证比特速率）和 Non-GBR

(不保证比特速率 ）承载， 用于指定访问节点内定义的控制承载级分组转发方 式 (如调度权重、 接纳门限、 队列管理门限、 链路层协议配置等)。 QCI是 EPS

( Evolved Packet System, 演进分组系统）承载最重要的 QoS参数之一， 它是一 个数量等级， 代表了 EPS应该为这个 SDF提供的 QoS特性。 陆地无线接入网络） 网络中， 有 3GPP的协议针对 QCI进行了分类， 同时也规定 了不同的 QCrF的一些行为。 表 1示出了对 QCI的一种的分类要求：

QCI Resource Type Priority Packet Delay Packet Error Loss (资源类型） (优先级） Budget (NOTE 1) Rate (NOTE 2)

(封包时延） (传输误损率）

1 2 100 ms 10"²

(NOTE 3)

2 4 150 ms lo-³

(NOTE 3) GBR

3 3 50 ms lo-³

(NOTE 3)

4 5 300 ms 10"⁶

(NOTE 3)

5 1 100 ms 10"⁶

(NOTE 3)

6

(NOTE 4) 6 300 ms 10"⁶

7 Non-GBR

(NOTE 3) 7 100 ms lo-³

8

(NOTE 5) 8

300 ms 10"⁶

9 9

(NOTE 6) 在上表中， 可以看到某些 QCI对传输要求非常高， 比如， QCI=5的情况， 对于 这种 SDF, 时延要求达到了 100ms, 传输误损率的要求也达到了 1(Τ⁶。 这样高的 传输要求必然导致基站在处理相应的 SDF的时候， 会将优先级提高到一定的高 度。 如果终端在基站的小区建立部分高传输要求的专有承载（例如 QCI5 ), 由 于此承载（例如 QCI5 ) 的传输要求较高， 极可能会导致其他传输要求较低的承 载得不到应有的调度， 亦有可能导致其他用户饿死或出现无线网络吞吐量低， 而恶意用户也有可能利用高传输性能来对基站进行攻击。 发明内容

鉴于此， 本发明提供一种防御承载攻击的方法及网络设备， 可防御终端在 网络高传输要求下利用高传输性能对网络设备 (包括基站）进行攻击。

本发明第一方面提供一种防御承载攻击的方法， 可包括：

当网络设备检测出终端的承载传输流量大于或等于所述网络设备设置的流 量门限值， 则停止为所述终端进行资源调度。

结合第一方面， 在第一种可能的实现方式中， 该防御承载攻击的方法还可 包括：

当所述网络设备检测出所述终端的承载传输流量大于或等于所述网络设备 设置的攻击门限值， 则释放所述终端。

结合第一方面的第一种可能的实现方式， 在第二种可能的实现方式中， 所 述攻击门限值大于所述流量门限值。

结合第一方面， 或第一方面的第一种可能的实现方式， 或第一方面的第二 种可能的实现方式， 在第三种可能的实现方式中， 该防御承载攻击的方法还可 包括：

终端承载配置网关为所述终端配置所述终端的承载传输流量， 所述终端的 承载传输流量小于等于所述终端承载配置网关设置的承载传输流量门限值。

结合第一方面的第三种可能的实现方式， 在第四种可能的实现方式中， 所 述终端承载配置网关对不同类型的终端设置不同的所述承载传输流量门限值。

结合第一方面， 或第一方面的第一种可能的实现方式， 或第一方面的第二 种可能的实现方式， 或第一方面的第三种可能的实现方式， 或第一方面的第四 种可能的实现方式， 在第五种可能的实现方式中， 所述网络设备对不同地域的 终端设置不同的所述流量门限值；

和 /或所述网络设备对不同类型的终端设置不同的所述流量门限值。

结合第一方面的第一种可能的实现方式， 或结合第一方面的第二种可能的 实现方式， 在第六种可能的实现方式中， 所述网络设备对不同地域的终端设置 不同的所述攻击门限值； 和 /或所述网络设备对不同类型的终端设置不同的所述攻击门限值。

结合第一方面， 或第一方面的第一种可能的实现方式， 或第一方面的第二 种可能的实现方式， 或第一方面的第三种可能的实现方式， 或第一方面的第四 种可能的实现方式， 或第一方面的第五种可能的实现方式， 或第一方面的第六 种可能的实现方式， 在第七种可能的实现方式中， 所述网络设备包括基站、 基 站控制器， 接入点中任一种。

本发明第二方面提供一种网络设备， 可包括：

检测模块， 用于检测该网络设备管辖范围内的终端的承载传输流量； 第一处理模块， 用于当所述检测模块检测出所述终端的承载传输流量大于 或等于该网络设备设置的流量门限值时， 停止为所述终端进行资源调度。

结合第二方面， 在第一种可能的实现方式中， 该网络设备还可包括： 第二处理模块， 用于当所述检测模块检测出所述终端的承载传输流量大于 或等于该网络设备设置的攻击门限值时， 释放所述终端。

结合第二方面的第一种可能的实现方式， 在第二种可能的实现方式中， 该 网络设备还可包括：

设置模块， 用于设置所述流量门限值和所述攻击门限值。

结合第二方面的第二种可能的实现方式， 在第三种可能的实现方式中， 所 述设置模块对不同地域的终端设置不同的所述流量门限值； 和 /或所述设置模块 对不同类型的终端设置不同的所述流量门限值。

结合第二方面的第一种可能的实现方式， 在第四种可能的实现方式中， 所 述设置模块对不同地域的终端设置不同的所述攻击门限值； 和 /或所述设置模块 对不同类型的终端设置不同的所述攻击门限值。

本发明第三方面提供一种防御承载攻击的系统， 可包括：

网络设备， 用于检测该网络设备管辖范围内的终端的承载传输流量， 并当 检测出所述终端的承载传输流量大于或等于该网络设备设置的流量门限值时， 停止为所述终端进行资源调度。

结合第三方面， 在第一种可能的实现方式中， 所述网络设备还用于当检测 出所述终端的承载传输流量大于或等于所述网络设备设置的攻击门限值， 则释 放所述终端。

结合第三方面， 或， 第三方面的第一种可能的实现方式， 在第二种可能的 实现方式中， 该防御 ^^载攻击系统， 还可包括：

终端承载配置网关， 用于为终端配置所述终端的承载传输流量， 所述终端 的承载传输流量小于等于所述信令网关设置的承载传输流量门限值。

结合第三方面的第二种可能的实现方式， 在第三种可能的实现方式中， 所 述终端承载配置网关对不同类型的终端设置不同的所述承载传输流量门限值。

结合第三方面， 或第三方面的第一种可能的实现方式， 或第三方面的第二 种可能的实现方式， 或第三方面的第三种可能的实现方式， 在第四种可能的实 现方式中， 所述网络设备包括基站、 基站控制及接入点中任一种。

本发明第四方面提供一种计算机存储介质， 该计算机存储介质可存储有程 序， 给程序执行时可包括本发明提供的防御承载攻击的方法的部分或全部步骤。

本发明第五方面提供一种网络设备， 可包括： 输入装置、 输出装置、 存储 器及处理器， 其中， 所述处理器执行如下步骤：

当检测出所述终端的承载传输流量大于或等于所述网络设备设置的流量门 限值， 则停止为所述终端进行资源调度。

结合第五方面， 在第一种可能的实现方式中， 所述处理器还用于执行如下 步骤：

当检测出所述终端的承载传输流量大于或等于所述网络设备设置的攻击门 限值， 则释放所述终端。

结合第五方面的第一种可能的实现方式， 在第二种可能的实现方式中， 所 述攻击门限值大于所述流量门限值。

结合第五方面， 或第五方面的第一种可能的实现方式， 或第五方面的第二 种可能的实现方式， 在第三种可能的实现方式中， 所述处理器还可执行如下步 骤： 为所述终端配置所述终端承载传输流量， 所述终端的承载传输流量小于等 于所述终端承载配置网关设置的承载传输流量门限值。

结合第五方面的第三种可能的实现方式， 在第四种可能的实现方式中， 所 述处理器对不同类型的终端设置不同的所述承载传输流量门限值。

结合第五方面， 或第五方面的第一种可能的实现方式， 或第五方面的第二 种可能的实现方式， 在第五种可能的实现方式中， 所述处理器对不同地域的终 端设置不同的所述流量门限值；

和 /或所述处理器对不同类型的终端设置不同的所述流量门限值。 结合第五方面， 或第五方面的第一种可能的实现方式， 在第六种可能的实 现方式中， 所述处理器对不同地域的终端设置不同的所述攻击门限值；

和 /或所述处理器对不同类型的终端设置不同的所述攻击门限值。

结合第五方面， 或第五方面的第一种可能的实现方式， 或第五方面的第二 种可能的实现方式， 或第五方面的第三种可能的实现方式， 或第五方面的第四 种可能的实现方式， 或第五方面的第五种可能的实现方式， 或第五方面的第六 种可能的实现方式， 在第七种可能的实现方式中， 所述网络设备包括基站。

由上可见， 在本发明的一些可行的实施方式中， 当网络设备检测出终端的 承载传输流量大于或等于所述网络设备设置的流量门限值， 则停止为所述终端 进行资源调度， 以及当所述网络设备检测出终端的承载传输流量大于或等于所 述网络设备设置的攻击门限值， 则释放所述终端， 以及终端承载配置网关为终 端配置所述终端承载传输流量， 所述终端的承载传输流量小于等于所述终端承 载配置网关设置的承载传输流量门限值。 由此可防御终端在网络高传输要求下 利用高传输性能对网络设备 (包括基站）进行攻击。 附图说明

图 1为本发明的防御承载攻击的方法的第一实施例的流程示意图； 图 2为本发明的防御承载攻击的方法的第二实施例的流程示意图； 图 3为本发明的防御承载攻击方法的第三实施例的流程示意图；

图 4为本发明的网络设备的第一实施例的结构组成示意图；

图 5为本发明的网络设备的第二实施例的结构组成示意图；

图 6为本发明的防御承载攻击的系统的第一实施例的结构组成示意图； 图 7为本发明的网络设备的第三实施例的结构组成示意图。 具体实施例

在本发明的一些可行的实施方式中， 当网络设备检测出终端的承载传输流 量大于或等于所述网络设备设置的流量门限值， 则停止为所述终端进行资源调 度， 以及当所述网络设备检测出终端的承载传输流量大于或等于所述网络设备 设置的攻击门限值， 则释放所述终端， 以及终端承载配置网关为终端配置所述 中的承载传输流量， 所述终端的承载传输流量小于等于所述终端承载配置网关 设置的承载传输流量门限值。 由此可防御终端在网络高传输要求下利用高传输 性能对网络设备 (包括基站）进行攻击。

下面将结合附图对本发明实施例作进一步地详细描述。

图 1 为本发明的防御承载攻击的方法的第一实施例的流程示意图。 如图 1 所示， 其可包括：

步骤 S110, 网络设备检测该网络设备管辖范围内的终端的承载传输流量。 在一些可行的实施方式中， 网络设备可包括基站、 基站控制器及接入点中 任一种。

步骤 S111 , 当网络设备检测出终端的承载传输流量大于或等于所述网络设 备设置的流量门限值， 则停止为所述终端进行资源调度。

在一些可行的实施方式中， 网络设备可预先设置流量门限值， 以通过该流 量门限值限制终端对资源的过度使用。

在一些可行的实施方式中， 所述网络设备可对不同地域的终端设置不同的 流量门限值；

在一些可行的实施方式中， 所述网络设备可对不同类型的终端设置不同的 流量门限值。 比如， 针对 R8/R9/R10的终端， 基站可设置不同的流量门限值。

由上可见， 在本发明的一些可行的实施方式中， 网络设备检测出终端的承 载传输流量大于或等于所述网络设备设置的流量门限值， 则停止为所述终端进 行资源调度， 由此可防御终端在网络高传输要求下（例如 QCI5 )利用高传输性 能对网络设备 (包括基站）进行攻击。

图 2 为本发明的防御^载攻击的方法的第二实施例的流程示意图， 该实施 例是在第一实施例的基础上进行的扩展。 如图 2所示， 其可包括：

步骤 S210, 网络设备检测该网络设备管辖范围内的终端的承载传输流量。 在一些可行的实施方式中， 网络设备可包括基站、 基站控制器及接入点中 任一种。

步骤 S211 , 当网络设备检测出终端的承载传输流量大于或等于所述网络设 备设置的流量门限值， 则停止为所述终端进行资源调度。

在一些可行的实施方式中， 网络设备可预先设置流量门限值， 以通过该流 量门限值限制终端对资源的过度使用。

在一些可行的实施方式中， 所述网络设备可对不同地域的终端设置不同的 流量门限值；

在一些可行的实施方式中， 所述网络设备可对不同类型的终端设置不同的 流量门限值。 比如， 针对 R8/R9/R10的终端， 基站可设置不同的流量门限值。

步骤 S212, 当所述网络设备检测出终端的承载传输流量大于或等于所述网 络设备设置的攻击门限值 , 则释放所述终端。

在一些可行的实施方式中， 网络设备可通过设置攻击门限进一步防御承载 攻击， 并通过释放终端的方式恢复系统资源。

在一些可行的实施方式中， 所述网络设备对不同地域的终端设置不同的攻 击门限值；

在一些可行的实施例中， 所述网络设备对不同类型的终端设置不同的攻击 门限值。

在一些可行的实施方式中， 所述攻击门限值大于所述流量门限值。

由上可见， 在本发明的一些可行的实施方式中， 当网络设备检测出终端的 承载传输流量大于或等于所述网络设备设置的流量门限值， 则停止为所述终端 进行资源调度， 以及当所述网络设备检测出终端的承载传输流量大于或等于所 述网络设备设置的攻击门限值， 则释放所述终端。 由此可防御终端在网络高传 输要求下利用高传输性能对网络设备 (包括基站 )进行攻击。

图 3 为本发明的防御^载攻击方法的第三实施例的流程示意图。 该实施例 是在第一实施例的基础上进行的扩展。 如图 3所示， 其可包括：

步骤 S310, 终端承载配置网关为终端配置所述终端的承载传输流量， 所述 终端的承载传输流量小于等于所述终端承载配置网关设置的承载传输流量门限 值。

在一些可行的实施方式中， 终端承载配置网关可为信令网关。

在一些可行的实施方式中， 通过终端承载配置网关在为终端开户时限制所 述终端的承载传输流量， 同样可以起到防御承载攻击的作用。

在一些可行的实施方式中， 终端承载配置网关可对不同类型的终端设置不 同的承载传输流量门限值。 比如， 针对 R8/R9/R10的终端， 基站可设置不同的 承载传输流量门限值。

步骤 S311 , 网络设备检测该网络设备管辖范围内的终端的承载传输流量。 在一些可行的实施方式中， 网络设备可包括基站、 基站控制器及接入点中 任一种。

步骤 S312, 当网络设备检测出终端的承载传输流量大于或等于所述网络设 备设置的流量门限值， 则停止为所述终端进行资源调度。

在一些可行的实施方式中， 网络设备可预先设置流量门限值， 以通过该流 量门限值限制终端对资源的过度使用。

在一些可行的实施方式中， 所述网络设备可对不同地域的终端设置不同的 流量门限值；

在一些可行的实施方式中， 所述网络设备可对不同类型的终端设置不同的 流量门限值。 比如， 针对 R8/R9/R10的终端， 基站可设置不同的流量门限值。

由上可见， 在本发明的一些可行的实施方式中， 当网络设备检测出终端的 承载传输流量大于或等于所述网络设备设置的流量门限值， 则停止为所述终端 进行资源调度， 以及终端承载配置网关为终端配置所述终端的承载传输流量， 所述终端的承载传输流量小于等于所述终端承载配置网关设置的承载传输流量 门限值。 由此可防御终端在网络高传输要求下利用高传输性能对网络设备（包 括基站）进行攻击。

可以理解的是， 在一些可行的实施方式中， 防御承载攻击方法还可在第二 实施例的基础上结合第三实施例中的步骤 S310而形成。 在此不进行赞述。

为更好实施本发明的方法实施例的各方案， 本发明实施例还提供了相关装 置。 的结构组成示意图， 在一些可行的实施方式中， 网络设备 4可为基站、 基站控 制器及接入点中任一种。如图 4所示， 本发明的网络设备 4可包括设置模块 40、 检测模块 41和第一处理模块 42, 其中：

设置模块 40, 用于设置该网络设备设置的流量门限值。

检测模块 41 , 用于检测该网络设备管辖范围内的终端的承载传输流量。 第一处理模块 42,用于当所述检测模块 41检测出终端的承载传输流量大于 或等于该网络设备设置的流量门限值时， 停止为所述终端进行资源调度。

在一些可行的实施方式中， 设置模块 40中可预先设置流量门限值， 以通过 该流量门限值限制终端对资源的过度使用。 在一些可行的实施方式中， 设置模块 40可对不同地域的终端设置不同的流 量门限值；

在一些可行的实施方式中， 设置模块 40可对不同类型的终端设置不同的流 量门限值。 比如， 针对 R8/R9/R10的终端， 基站可设置不同的流量门限值。

由上可见， 在本发明的一些可行的实施方式中， 网络设备检 4测出终端的 承载传输流量大于或等于所述网络设备设置的流量门限值， 则停止为所述终端 进行资源调度， 由此可防御终端在网络高传输要求下（例如 QCI5 )利用高传输 性能对网络设备 (包括基站）进行攻击。 的结构组成示意图， 在一些可行的实施方式中， 网络设备 5 可为基站、 基站控 制器及接入点中任一种。如图 5所示， 本发明的网络设备 5可包括设置模块 50、 检测模块 51、 第一处理模块 52以及第二处理模块 53 , 其中：

设置模块 50, 用于设置该网络设备设置的流量门限值和攻击门限值。

检测模块 51 , 用于检测该网络设备管辖范围内的终端的承载传输流量。 第一处理模块 52,用于当所述检测模块 51检测出终端的承载传输流量大于 或等于该网络设备设置的流量门限值时， 停止为所述终端进行资源调度。

第二处理模块 53 ,用于当所述检测模块 51检测出终端的承载传输流量大于 或等于所述网络设备设置的攻击门限值时 , 释放所述终端。

在一些可行的实施方式中， 设置模块 50中可预先设置流量门限值和攻击门 限值， 以通过该流量门限值限制终端对资源的过度使用。

在一些可行的实施方式中， 设置模块 50可对不同地域的终端设置不同的流 量门限值；

在一些可行的实施方式中， 设置模块 50可对不同类型的终端设置不同的流 量门限值。 比如， 针对 R8/R9/R10的终端， 基站可设置不同的流量门限值。

在一些可行的实施方式中， 设置模块 50可通过设置攻击门限进一步防御承 载攻击， 并通过释放终端的方式恢复系统资源。

在一些可行的实施方式中， 设置模块 50可对不同地域的终端设置不同的攻 击门限值；

在一些可行的实施例中， 设置模块 50可对不同类型的终端设置不同的攻击 门限值。 在一些可行的实施方式中， 所述攻击门限值可大于所述流量门限值。

由上可见， 在本发明的一些可行的实施方式中， 当网络设备 5检测出终端 的承载传输流量大于或等于所述网络设备设置的流量门限值， 则停止为所述终 端进行资源调度， 以及当所述网络设备检测出终端的承载传输流量大于或等于 所述网络设备设置的攻击门限值， 则释放所述终端。 由此可防御终端在网络高 传输要求下利用高传输性能对网络设备 (包括基站）进行攻击。 第一实施例的结构组成示意图， 如图 6所示， 本发明的防御 载攻击的系统包 括网络设备 60和终端承载配置网关 61 , 其中， 网络设备 60可为本发明的图 4 和图 5所示的网络设备中任一种， 在此， 不进行赘述。 终端承载配置网关 61用 于为终端配置所述终端承载传输流量， 所述终端的承载传输流量小于等于所述 信令网关设置的承载传输流量门限值。

在一些可行的实施方式中， 终端承载配置网关 61可为信令网关。

在一些可行的实施方式中， 通过终端承载配置网关 61在为终端开户时限制 所述终端的承载传输流量， 同样可以起到防御承载攻击的作用。

在一些可行的实施方式中， 终端承载配置网关 61可对不同类型的终端设置 不同的承载传输流量门限值。 比如， 针对 R8/R9/R10的终端， 基站可设置不同 的承载传输流量门限值。

由上可见， 在本发明的一些可行的实施方式中， 当网络设备检测出终端的 承载传输流量大于或等于所述网络设备设置的流量门限值， 则停止为所述终端 进行资源调度， 以及当所述网络设备检测出终端的承载传输流量大于或等于所 述网络设备设置的攻击门限值， 则释放所述终端， 以及终端承载配置网关为终 端配置所述终端承载传输流量， 所述终端的承载传输流量小于等于所述终端承 载配置网关设置的承载传输流量门限值。 由此可防御终端在网络高传输要求下 利用高传输性能对网络设备 (包括基站）进行攻击。

具体实现中， 本发明还提供一种计算机存储介质， 其中， 该计算机存储介 质可存储有程序， 给程序执行时可包括本发明提供的防御承载攻击的系统的方 法的各实施例中的部分或全部步骤。 所述的存储介质可为磁碟、 光盘、 只读存 储记忆体 （Read-Only Memory, ROM ) 或随机存储记忆体 （Random Access Memory, RAM )等。 具体实现中， 如图 7所示， 本发明还提供一种网络设备 7, 可包括： 输入装 置 71、 输出装置 72、 存储器 73和处理器 74 (具体实现中， 网络设备 5的处理 器 74可为多个， 图 7中仅以一个为例进行说明）；

在一些可行的实施方式中， 网络设备 7 包括基站、 基站控制器及接入点中 任一种。

在一些可行的实施例中， 输入装置 71、 输出装置 72、 存储器 73和处理器 74可通过总线或其他方式连接， 图 7中以总线连接为例。

在一些可行的实施方式中， 所述输入装置 71和所述输出装置 72包括数据 接口。

在一些可行的实施例中： 处理器 74可执行如下步骤：

当检测出终端的承载传输流量大于或等于所述网络设备设置的流量门限 值， 则停止为所述终端进行资源调度。

在一些可行的实施方式中， 所述处理器还用于执行如下步骤：

当检测出终端的承载传输流量大于或等于所述网络设备设置的攻击门限 值， 则释放所述终端。

在一些可行的实施方式中， 所述攻击门限值大于所述流量门限值。

在一些可行的实施方式中， 所述处理器还执行如下步骤： 为终端配置所述 终端承载传输流量， 所述终端的承载传输流量小于等于所述终端承载配置网关 设置的承载传输流量门限值。

在一些可行的实施方式中， 所述处理器对不同类型的终端设置不同的承载 传输流量门限值。

在一些可行的实施方式中， 所述处理器对不同地域的终端设置不同的流量 门限值；

和 /或所述处理器对不同类型的终端设置不同的流量门限值。

在一些可行的实施方式中， 所述处理器对不同地域的终端设置不同的攻击 门限值；

和 /或所述处理器对不同类型的终端设置不同的攻击门限值。 明的精神和范围。 这样， 倘若本发明的这些修改和变型属于本发明权利要求及 其等同技术的范围之内， 则本发明也意图包含这些改动和变型在内。

Claims

权 利 要 求

1、 一种防御承载攻击的方法， 其特征在于， 包括：

当网络设备检测出终端的承载传输流量大于或等于所述网络设备设置的流 量门限值， 则停止为所述终端进行资源调度。

2、 如权利要求 1所述的防御承载攻击的方法， 其特征在于， 还包括： 当所述网络设备检测出所述终端的承载传输流量大于或等于所述网络设备 设置的攻击门限值， 则释放所述终端。

3、 如权利要求 2所述的防御承载攻击的方法， 其特征在于， 所述攻击门限 值大于所述流量门限值。

4、 如权利要求 1-3中任一项所述的防御承载攻击的方法， 其特征在于， 还 包括：

终端承载配置网关为所述终端配置所述终端的承载传输流量， 所述终端的 承载传输流量小于等于所述终端承载配置网关设置的承载传输流量门限值。

5、 如权利要求 4所述的防御承载攻击的方法， 其特征在于， 所述终端承载 配置网关对不同类型的终端设置不同的所述承载传输流量门限值。

6、 如权利要求 1-5所述的防御承载攻击的方法， 其特征在于， 所述网络设 备对不同地域的终端设置不同的所述流量门限值；

和 /或所述网络设备对不同类型的终端设置不同的所述流量门限值。

7、 如权利要求 2或 3所述的防御承载攻击的方法， 其特征在于， 所述网络 设备对不同地域的终端设置不同的所述攻击门限值；

和 /或所述网络设备对不同类型的终端设置不同的所述攻击门限值。

8、 如权利要求 1-7中任一项所述的防御承载攻击的方法， 其特征在于， 所 述网络设备包括基站、 基站控制器及接入点中任一种。

9、 一种网络设备， 其特征在于， 包括：

检测模块， 用于检测该网络设备管辖范围内的终端的承载传输流量； 第一处理模块， 用于当所述检测模块检测出所述终端的承载传输流量大于 或等于该网络设备设置的流量门限值时， 停止为所述终端进行资源调度。

10、 如权利要求 9所述的网络设备， 其特征在于， 还包括：

第二处理模块， 用于当所述检测模块检测出所述终端的承载传输流量大于 或等于所述网络设备设置的攻击门限值时， 释放所述终端。

11、 如权利要求 10所述的网络设备， 其特征在于， 还包括：

设置模块， 用于设置所述流量门限值和所述攻击门限值。

12、 如权利要求 10所述的网络设备， 其特征在于， 所述设置模块对不同地 域的终端设置不同的所述流量门限值； 和 /或所述设置模块对不同类型的终端设 置不同的所述流量门限值。

13、 如权利要求 10所述的网络设备， 其特征在于， 所述设置模块对不同地 域的终端设置不同的所述攻击门限值； 和 /或所述设置模块对不同类型的终端设 置不同的所述攻击门限值。

14、 一种防御承载攻击的系统， 其特征在于， 包括：

网络设备， 用于检测该网络设备管辖范围内的终端的承载传输流量， 并当 检测出所述终端的承载传输流量大于或等于该网络设备设置的流量门限值时， 停止为所述终端进行资源调度。

15、 如权利要求 14所述的防御承载攻击的系统， 其特征在于， 所述网络设 备还用于当检测出所述终端的承载传输流量大于或等于所述网络设备设置的攻 击门限值， 则释放所述终端。

16、 如权利要求 14或 15所述的防御承载攻击的系统， 其特征在于， 还包 括：

终端承载配置网关， 用于为所述终端配置所述终端的承载传输流量， 所述 终端的承载传输流量小于等于所述信令网关设置的承载传输流量门限值。

17、 如权利要求 16所述的防御承载攻击的系统， 其特征在于， 所述终端承 载配置网关对不同类型的终端设置不同的所述承载传输流量门限值。

18、 如权利要求 14-17中任一项所述的防御承载攻击的系统， 其特征在于， 所述网络设备包括基站、 基站控制器及接入点中任一种。

19、 一种计算机存储介质， 其特征在于， 该计算机存储介质可存储有程序， 给程序执行时可包括如权利要求 1-7中任一项所述方法的部分或全部步骤。

20、 一种网络设备， 其特征在于， 包括： 输入装置、 输出装置、 存储器及 处理器， 其中， 所述处理器执行如下步骤：

当检测出终端的承载传输流量大于或等于所述网络设备设置的流量门限 值， 则停止为所述终端进行资源调度。

21、 如权利要求 20所述的网络设备， 其特征在于， 所述处理器还用于执行 如下步骤：

当检测出所述终端的承载传输流量大于或等于所述网络设备设置的攻击门 限值， 则释放所述终端。

22、 如权利要求 21所述的网络设备， 其特征在于， 所述攻击门限值大于所 述流量门限值。

23、 如权利要求 20-22中任一项所述的网络设备， 其特征在于， 所述处理器 还执行如下步骤： 为所述终端配置所述终端的承载传输流量， 所述终端的承载 传输流量小于等于所述终端承载配置网关设置的承载传输流量门限值。

24、 如权利要求 23所述的网络设备， 其特征在于， 所述处理器对不同类型 的终端设置不同的所述承载传输流量门限值。

25、 如权利要求 20-22中任一项所述的网络设备， 其特征在于， 所述处理器 对不同地域的终端设置不同的所述流量门限值；

和 /或所述处理器对不同类型的终端设置不同的所述流量门限值。

26、 如权利要求 21或 22所述的网络设备， 其特征在于， 所述处理器对不 同地域的终端设置不同的所述攻击门限值；

和 /或所述处理器对不同类型的终端设置不同的所述攻击门限值。

27、 如权利要求 20-26中任一项所述的网络设备， 其特征在于， 所述网络设 备包括基站、 基站控制器及接入点中任一种。