CN101197836B - 一种数据通讯控制方法以及数据通讯控制装置 - Google Patents
一种数据通讯控制方法以及数据通讯控制装置 Download PDFInfo
- Publication number
- CN101197836B CN101197836B CN2007103019334A CN200710301933A CN101197836B CN 101197836 B CN101197836 B CN 101197836B CN 2007103019334 A CN2007103019334 A CN 2007103019334A CN 200710301933 A CN200710301933 A CN 200710301933A CN 101197836 B CN101197836 B CN 101197836B
- Authority
- CN
- China
- Prior art keywords
- user terminal
- data flow
- message
- presets
- terminal identification
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种数据通讯控制方法以及数据通讯控制装置,用于提高用户体验。本发明方法包括:接收用户终端发送的数据流;判断所述数据流中的报文是否满足预置的拦截条件,若满足,则对所述用户终端发送的数据流进行流量控制。本发明还提供一种数据通讯控制装置。本发明可以有效地提高用户体验。
Description
技术领域
本发明涉及通讯安全领域,尤其涉及一种数据通讯控制方法以及数据通讯控制装置。
背景技术
随着数据通讯网络的不断发展,针对该网络的攻击也不断出现,目前对数据通讯网络的安全威胁主要来自于三个方面:蠕虫病毒、拒绝服务(DoS,Deny of Service)攻击以及黑客攻击。
这些攻击的特点都是在数据通讯的过程中产生恶意流量,这些恶意流量会影响通信网络、互联网(Internet)以及终端的安全并影响通信网络正常功能,进一步可能会浪费核心网和接入网设备处理资源和带宽资源,从而造成用户高额计费,带来纠纷,并影响运营商按流量计费业务的开展。
现有技术中一种数据通讯控制方法为:
以宽带码分多址接入系统(WCDMA,Wideband Code Division MultipleAccess)中的分组域核心网为例,核心网中的网元,例如服务通用分组无线服务支持节点(SGSN,Serving General packet radio service Support Node)或网关GPRS支持节点(GGSN,Gateway GPRS Support Node)或无线网络控制器(RNC,Radio Network Controller),会对该网元控制下的每个用户的数据流进行监控,若发现某个用户的数据流中的某个报文符合预置的恶意报文特征,则删除该报文,并且完全丢弃该数据流。
但是,在上述的技术中,由于核心网网元会完全丢弃含有恶意报文的数据流,则可能会导致该用户发送的正常数据同样被丢弃,因此会使得该用户可能在某段时间内无法正常使用网络,从而降低了用户体验。
发明内容
本发明实施例提供了一种数据通讯控制方法以及数据通讯控制装置,能够提高用户体验。
本发明实施例提供的数据通讯控制方法,包括:接收用户终端发送的数据流;判断所述数据流中的报文是否满足预置的拦截条件,若满足,则对所述用户终端发送的数据流进行流量控制。
本发明实施例提供的数据通讯控制装置,包括:数据流接收单元,用于接收用户终端发送的数据流;数据流校验单元,用于判断所述数据流中的报文是否满足预置的拦截条件;流量控制单元,用于当所述数据流中的报文满足预置的拦截条件时对所述用户终端发送的数据流进行流量控制。
从以上技术方案可以看出,本发明实施例具有以下优点:
本发明实施例中,在判断用户终端发送的数据流中包含有恶意报文(即满足预置的拦截条件的报文)时,则对该用户终端发送的数据流进行流量控制,而不是直接丢弃该用户终端发送的数据流,所以本发明实施例可以使得该用户终端仍然能够使用部分网络,因此提高了用户体验。
附图说明
图1为本发明实施例中数据通讯控制方法实施例总体流程图;
图2为本发明实施例中数据通讯控制系统实施例示意图;
图3为本发明实施例中数据通讯控制方法实施例具体流程图。
具体实施方式
本发明实施例提供了一种数据通讯控制方法以及数据通讯控制装置,用于提高用户体验。
本发明实施例中,在判断用户终端发送的数据流中包含有恶意报文(即满足预置的拦截条件的报文)时,则对该用户终端发送的数据流进行流量控制,而不是直接丢弃该用户终端发送的数据流,所以本发明实施例可以使得该用户终端仍然能够使用部分网络,因此提高了用户体验。
下面对本发明实施例中的数据通讯控制方法进行详细描述,为便于理解,本发明各实施例中均以WCDMA中的分组域核心网为例进行说明,可以理解的是,本发明实施例的具体应用范围并不限于WCDMA中的分组域核心网,还可以是其他通讯网络,例如IP网络等。
请参阅图1,本发明实施例中数据通讯方法总体实施例包括:
101、核心网网元接收用户终端发送的数据流;
在WCDMA分组域的核心网中,各用户终端之间进行通讯需要通过核心网网元,例如SGSN或GGSN,各用户终端之间传输的数据会经过这些网元。
本实施例中以SGSN为例进行说明,可以理解的是,同样可以是GGSN,或者是其他的核心网网元。
SGSN接收用户终端发送的数据流,该数据流中包含有若干个报文。
102、获取数据流中的报文信息;
SGSN获取到了用户终端发送的数据流后,从该数据流中获取该数据流所包含的报文的报文信息,报文信息中包含了该报文的传输端口,传输协议等参数。
103、判断步骤102中获取到的报文信息是否与预置的报文特征匹配,若匹配,则执行步骤104,若不匹配,则重复执行步骤101;
本实施例中,SGSN获取到报文信息之后,判断这些报文信息是否满足某些特征,从而判断该报文是否为恶意报文,具体的实现手段可以是判断该报文的传输端口是否为某一个特定的端口,或者是该报文的传输协议是否为特定的传输协议,假设某报文的传输协议为传输控制协议(TCP,TransportControl Protocol),且传输端口为4444,则可认为该报文属于“冲击波病毒”报文。
若判断该报文为恶意报文,则执行步骤104,若判断该报文不是恶意报文,则重复执行步骤101,继续监控流程。
104、对用户终端发送的数据流进行流量控制。
当SGSN判断某用户终端发送的数据流中包含有恶意报文之后,对该用户终端后续发送的数据流进行流量控制,具体的流量控制可以为:带宽限制、传输限制、访问地址限制等,具体的流量控制的流程将在后续实施例中进行详细描述。
本实施例中,在判断用户终端发送的数据流中包含有恶意报文(即满足预置的拦截条件的报文)时,则对该用户终端发送的数据流进行流量控制,而不是直接丢弃该用户终端发送的数据流,所以本实施例可以使得该用户终端仍然能够使用部分网络,因此提高了用户体验。
下面介绍本发明实施例中的数据通讯控制装置,具体请参阅图2,本发明实施例中的数据通讯控制装置包括:
数据流接收单元201,用于接收用户终端发送的数据流,并将接收到的数据流发送至数据流校验单元202进行校验;
数据流校验单元202,用于判断从数据流接收单元201接收到的数据流中的报文是否满足预置的拦截条件,并当满足预置的拦截条件时通知流量控制单元203进行流量控制;
流量控制单元203,用于根据数据流校验单元202的通知对所述用户终端发送的数据流进行流量控制。
本发明实施例中的流量控制单元203可以进一步包括以下单元中的至少一个:
带宽控制单元2033,用于从所述数据流校验单元校验的数据流中获取用户终端标识,根据所述用户终端标识查询对应的带宽控制参数,将所述带宽控制参数降低至预置的数值;
第一传输控制单元2031,用于从所述数据流校验单元校验的数据流中获取用户终端标识,根据所述用户终端标识查询对应的传输控制协议TCP连接限制参数,对所述TCP连接限制参数进行修改;
第二传输控制单元2032,用于从所述数据流校验单元校验的数据流中获取用户终端标识,根据所述用户终端标识查询对应的网间控制报文协议(ICMP,Internet Control Messages Protocol)报文限制参数,对所述ICMP报文限制参数进行修改;
访问地址控制单元2034,用于从所述数据流校验单元校验的数据流中获取用户终端标识,根据所述用户终端标识查询对应的访问地址列表,将所述访问地址列表中的地址修改为预置的安全地址。
本发明实施例中的数据通讯控制装置还可以进一步包括:
通知单元204,用于获取所述报文满足的拦截条件的类型,根据所述拦截条件的类型查询对应的处理方式,向所述用户终端发送所述拦截条件的类型以及对应的处理方式。
本发明实施例中的数据通讯控制装置还可以进一步包括:
恢复单元205,用于在对所述用户终端发送的数据流进行流量控制的同时启动计时器,判断在预置的时间周期内收到的所述用户终端发送的数据流是否包含满足预置的拦截条件的报文,若不包含,则停止对所述用户终端发送的数据流进行流量控制。
上述描述的数据通讯控制装置可以被置于SGSN或GGSN或RNC或其他核心网网元中,也可以独立地作为一个装置存在于核心网中。
为便于理解,下面以一个详细的实施例对本发明实施例中的数据通讯控制过程进行详细描述,请参阅图3,一并参阅图2,下述实施例中,数据通讯控制装置集成于SGSN中实现,本发明实施例中数据通讯控制方法实施例流程包括:
301、核心网网元接收用户终端发送的数据流;
本实施例中,数据通讯控制装置的数据流接收单元201接收用户终端发送的数据流,该数据流中包含有若干个报文。
302、获取数据流中的报文信息;
数据流接收单元201获取到了用户终端发送的数据流后,从该数据流中获取该数据流所包含的报文的报文信息,报文信息中包含了该报文的传输端口,传输协议等参数。
303、判断获取到的报文信息是否与预置的报文特征匹配,若匹配,则执行步骤304,若不匹配,则重复执行步骤301;
本实施例中,数据流接收单元201获取到报文信息之后,将这些报文信息发送至数据流校验单元202,则数据流校验单元202判断这些报文信息是否满足某些特征,从而判断该报文是否为恶意报文,具体的实现手段可以是判断该报文的传输端口是否为某一个特定的端口,或者是该报文的传输协议是否为否特定的传输协议,假设某报文的传输协议为传输控制协议(TCP,Transport Control Protocol),且传输端口为4444,则可认为该报文属于“冲击波病毒”报文。
若判断该报文为恶意报文,则执行步骤304,若判断该报文不是恶意报文,则重复执行步骤301,继续监控流程。
本实施例中,若判断该报文为恶意报文,则从该用户终端发送的数据流中删除该报文。
304、判断是否需要删除该用户终端的上下文,若需要,则执行步骤311,若不需要,则执行步骤305;
本实施例中,数据通讯控制装置根据预置的规则判断是否需要删除SGSN上保存的该用户终端的上下文,若需要删除,则执行步骤311,若不需要删除,则执行步骤305。
预置的规则可以从配置数据库中获取得到,在配置数据库中保存有数据通讯控制配置数据,可以理解的是,该配置数据库可以集成在核心网网元中,也可以独立存在,具体如下表所示:
表1
| 数据内容 | 类型 | 说明 |
| 恶意流量特征 | 可配置多个特征,比如发往某特定端口的流量 | |
| TCP连接限制参数 | 次数 | |
| ICMP报文限制参数 | 次数 | |
| 访问地址列表 | 地址范围 | 可配置多个地址段 |
| 数据内容 | 类型 | 说明 |
| 病毒恢复时长 | 时间长度 |
| 染毒用户会话处理 | 枚举 | 为“去活”或“降速” |
| 带宽控制参数 | 带宽 |
其中,“染毒用户会话处理”即是本步骤中的规则,若该参数的数值为“去活”,则需要删除该用户终端在SGSN上的上下文,同时为了进一步提高全网的安全性,还可以通知其他相邻的核心网网元(例如其他的SGSN或GGSN或RNC)删除该用户终端的上下文,若该参数的数值为“降速”,则不删除上下文,直接执行步骤305。
需要说明的是,是否需要删除该用户终端的上下文可以由当前通讯系统的整体安全性要求决定,若通讯系统对安全性要求非常严格,则可能需要删除该用户终端在SGSN上的上下文,从而使该用户终端无法再参与通讯,或者是无法再向外发送数据。
可以理解的是,在实际应用中,可以不执行步骤304,而直接执行步骤305,即始终不删除该用户终端的上下文。
305、调整该用户终端的带宽;
本实施例中,当数据通讯控制装置决定不删除用户终端上下文时,数据流校验单元202通知流量控制单元203中的带宽控制单元2033进行带宽控制,则带宽控制单元2033从该用户终端发送的数据流中获取用户终端标识,并根据该用户终端标识在配置数据库中查询对应的带宽控制参数(如表1所示),修改带宽控制参数,按照预置的规则对该参数进行限制,例如原先某用户终端的带宽控制参数为10Mbps,当该用户终端发送恶意报文之后,将该用户终端的带宽控制参数降低至1Mbps,若再次发送恶意报文,则会进一步降低,具体降低的幅度可以由实际情况决定,此处不做限定,需要说明的是,在实际应用过程中,为了使得用户保留基本的业务体验,可以只对发送恶意报文的用户降低一次带宽。
306、通知其他网元调整该用户终端的带宽;
本实施例中,带宽控制单元2033对用户终端的带宽控制参数进行修改之后,向自身SGSN相邻的其他网元,例如其他的SGSN或GGSN或RNC发送带宽调整请求,该请求中携带用户终端的标识,其他的网元在接收到该带宽调整请求后,根据该用户终端的标识查询到对应的带宽控制参数,并根据自身策略对带宽控制参数进行调整,具体的调整方式与上述描述的调整方式类似。
307、限制该用户终端的TCP连接次数和/或ICMP报文数目;
本实施例中,当数据通讯控制装置决定不删除用户终端上下文时,数据流校验单元202通知流量控制单元203中的第一传输控制单元2031和/或第二传输控制单元2032进行传输控制。
具体的控制方式为:第一传输控制单元2031从该用户终端发送的数据流中获取用户终端标识,并根据该用户终端标识在配置数据库中查询对应的TCP连接限制参数(如表1所示),并对该参数进行修改;
第二传输控制单元2032从该用户终端发送的数据流中获取用户终端标识,并根据该用户终端标识在配置数据库中查询对应的ICMP报文限制参数(如表1所示),并对该参数进行修改。
例如原先该用户终端的TCP连接限制参数为1000,则表示SGSN在单位时间内(可以为预置数值,例如1分钟)最多可以接受该用户终端发起的1000次TCP连接请求,该用户终端发送恶意报文后,可以将TCP连接限制参数修改为100,则表示SGSN在单位时间内最多只接受该用户终端发起的100次TCP连接请求;
例如原先该用户终端的ICMP报文限制参数为1000,则表示SGSN在单位时间内(可以为预置数值,例如1分钟)最多可以接收该用户终端发送的1000个ICMP报文,该用户终端发送恶意报文后,可以将ICMP报文限制参数修改为100,则表示SGSN在单位时间内最多只接收该用户终端发送的100个ICMP报文。
在修改了TCP连接限制参数和/或ICMP报文限制参数之后,
当SGSN接收到所述用户终端发送的数据流时,判断所述用户终端预置的时间周期内发起的TCP连接的数目是否达到所述修改后的TCP连接限制参数,若是,则拒绝该时间周期内该用户终端再次发起的TCP连接;
当SGSN接收到所述用户终端发送的数据流时,判断所述用户终端预置的时间周期内发送的ICMP报文的数目是否达到所述修改后的ICMP报文限制参数,若是,则丢弃该时间周期内该用户终端再次发送的ICMP报文。
308、设置该用户终端的访问地址范围;
本实施例中,数据通讯控制装置在用户终端发送过恶意报文之后,还可以通过访问地址控制单元2034对该用户终端的访问地址进行限制,即仅允许该用户终端访问一些特定的地址,具体的实现方式可以为:从接收到的数据流中获取用户终端的标识,并在配置数据库中查询该用户终端对应的访问地址列表,如表1中所示的参数“访问地址列表”,并对该参数进行修改,将该参数的参数值修改为预置的安全地址,使得用户终端只能够访问该参数中包含的地址,需要说明的是,这些地址可以认为是安全性比较高的地址,即安全防范力度比较强,可以允许发送过恶意报文的用户终端访问,且这种访问并不会对该地址对应的网元造成很大的影响。
修改了访问地址列表之后,当SGSN接收到所述用户终端发送的报文时,获取所述报文的目的地址,判断所述目的地址是否被包含于所述修改后的访问地址列表中,若不是,则丢弃所述报文。
可以理解的是,步骤305、步骤307及步骤308在具体实现过程中可以都执行,也可以执行其中的任意一个步骤或其组合,若都需要执行,可以不区分步骤305、步骤307及步骤308的执行顺序。
309、判断在预置周期内该用户终端发送的数据流是否包含满足拦截条件的报文,若是,则执行步骤304,若否,则执行步骤310。
本实施例中,当确定某个用户终端发送的数据流中的报文满足预置的报文特征匹配之后,即满足拦截条件之后,需要对其进行流量控制,同时启动计时器,并在某一个恢复周期内判断该用户终端是否还继续发送恶意报文,若是,则执行步骤304,重复上述流程,若否,则执行步骤310。
具体的恢复周期的长短可以由具体情况进行确定,若对系统安全要求比较严格,则可能需要设置比较长的恢复周期。
310、停止对该用户终端发送的数据流进行流量控制,并结束流程;
当预置周期内,该用户终端不再发送恶意报文之后,可以停止对该用户终端的流量控制,则恢复单元205停止对所述用户终端发送的数据流进行流量控制。具体的过程可以是取消前述各种对数据流的流量限制。
311、禁止该用户终端通讯。
若数据流校验单元202判断用户终端发送的数据流中包含恶意报文,且表1中的“染毒用户会话处理”参数的数值为“去活”,则删除该用户终端在SGSN上的上下文,即禁止该用户终端进行通讯,或禁止其向外发送数据,为进一步提高全网的安全性,还可以向其他相邻的核心网网元(例如其他的SGSN或GGSN或RNC)发送去激活请求,该请求中携带有需要去激活的用户终端的标识,接收到该去激活请求的核心网网元删除自身存储的该用户终端的上下文。
上述实施例中,数据通讯控制装置还需要向用户终端以及管理员发送威胁警告,该威胁警告中包含有具体的恶意报文的类型以及对该类型的恶意报文的处理方式,具体为数据通讯控制装置获取报文满足的拦截条件的类型;根据该拦截条件的类型查询对应的处理方式;向用户终端发送拦截条件的类型(即恶意报文的类型)以及对应的处理方式。获取恶意报文类型以及对该类型的恶意报文的处理方式可以在判断报文与预置的报文特征匹配之后,即满足拦截条件之后,恶意报文类型和对应的处理方式均预先置于数据通讯控制装置中,具体发送威胁警告的步骤可以在上述步骤303判断为“是”之后。需要说明的是,上述实施例中,步骤305,306,307以及308并没有固定的执行顺序。
本发明实施例中,在判断用户终端发送的数据流中包含有恶意报文时,则对该用户终端发送的数据流进行流量控制,而不是直接丢弃该用户终端发送的数据流,所以本发明实施例可以使得该用户终端仍然能够使用部分网络,因此提高了用户体验。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,该程序在执行时,包括如下步骤:
接收用户终端发送的数据流;判断所述数据流中的报文是否满足预置的拦截条件,若满足,则对所述用户终端发送的数据流进行流量控制。
上述提到的存储介质可以是只读存储器,磁盘或光盘等。
以上对本发明所提供的一种数据通讯控制方法以及数据通讯控制装置进行了详细介绍,对于本领域的一般技术人员,依据本发明实施例的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (10)
1.一种数据通讯控制方法,其特征在于,包括:
接收用户终端发送的数据流;
判断所述数据流中的报文是否满足预置的拦截条件,若满足,则对所述用户终端发送的数据流进行流量控制;
所述对用户终端发送的数据流进行流量控制的步骤包括:
从接收到的数据流中获取用户终端标识,根据所述用户终端标识查询对应的带宽控制参数,将所述带宽控制参数降低至预置的数值;
或,
从接收到的数据流中获取用户终端标识,根据所述用户终端标识查询对应的传输控制协议TCP连接限制参数,对所述TCP连接限制参数进行修改,当接收到所述用户终端发送的数据流时,判断所述用户终端预置的时间周期内发起的TCP连接的数目是否达到所述修改后的TCP连接限制参数,若是,则拒绝该时间周期内该用户终端再次发起的TCP连接;
或,
从接收到的数据流中获取用户终端标识,根据所述用户终端标识查询对应的网间控制报文协议ICMP报文限制参数,对所述ICMP报文限制参数进行修改,当接收到所述用户终端发送的数据流时,判断所述用户终端预置的时间周期内发送的ICMP报文的数目是否达到所述修改后的ICMP报文限制参数,若是,则丢弃该时间周期内该用户终端再次发送的ICMP报文;
或,
从接收到的数据流中获取用户终端标识,根据所述用户终端标识查询对应的访问地址列表,将所述访问地址列表中的地址修改为预置的安全地址,当接收到所述用户终端发送的报文时,获取所述报文的目的地址,判断所述目的地址是否被包含于所述修改后的访问地址列表中,若不是,则丢弃所述报文。
2.根据权利要求1所述的方法,其特征在于,所述将所述带宽控制参数降低至预置的数值的步骤之后包括:
向核心网内的核心网网元发送带宽调整请求,所述请求中包含需要进行带宽调整的用户终端的用户终端标识,所述带宽调整请求用于指示核心网内的核心网网元对所述用户终端的带宽控制参数进行修改。
3.根据权利要求1或2所述的方法,其特征在于,所述判断所述数据流中的报文是否满足预置的拦截条件的步骤包括:
获取所述数据流中的报文的报文信息;
判断所述报文信息是否与预置的报文特征匹配,若匹配,则确定所述报文满足预置的拦截条件。
4.根据权利要求3所述的方法,其特征在于,所述确定所述报文满足预置的拦截条件的步骤之后包括:
从所述数据流中删除所述报文。
5.根据权利要求3所述的方法,其特征在于,所述确定所述报文满足预置的拦截条件的步骤之后包括:
获取所述数据流的发送方标识;
删除所述发送方标识对应的用户终端的上下文;
向核心网网元发送去激活请求,所述请求中包含需要去激活的用户终端的标识,所述用户终端的标识为所述发送方标识,所述去激活请求用于指示所述核心网网元删除所述用户终端标识对应的用户终端的上下文。
6.根据权利要求1所述的方法,其特征在于,所述确定所述报文满足预置的拦截条件的步骤之后包括:
获取所述报文满足的拦截条件的类型;
根据所述拦截条件的类型查询对应的处理方式;
向所述用户终端发送所述拦截条件的类型以及对应的处理方式。
7.根据权利要求1所述的方法,其特征在于,所述对所述用户终端发送的数据流进行流量控制的同时启动计时器,判断在预置的时间周期内收到的所述用户终端发送的数据流是否包含满足预置的拦截条件的报文,若不包含,则停止对所述用户终端发送的数据流进行流量控制。
8.一种数据通讯控制装置,其特征在于,包括:
数据流接收单元,用于接收用户终端发送的数据流;
数据流校验单元,用于判断所述数据流中的报文是否满足预置的拦截条件;
流量控制单元,用于当所述数据流中的报文满足预置的拦截条件时对所述用户终端发送的数据流进行流量控制;
所述流量控制单元包括下列单元中的至少一个:
带宽控制单元,用于从所述数据流校验单元校验的数据流中获取用户终端标识,根据所述用户终端标识查询对应的带宽控制参数,将所述带宽控制参数降低至预置的数值;
第一传输控制单元,用于从所述数据流校验单元校验的数据流中获取用户终端标识,根据所述用户终端标识查询对应的传输控制协议TCP连接限制参数,对所述TCP连接限制参数进行修改;
第二传输控制单元,用于从所述数据流校验单元校验的数据流中获取用户终端标识,根据所述用户终端标识查询对应的ICMP报文限制参数,对所述ICMP报文限制参数进行修改;
访问地址控制单元,用于从所述数据流校验单元校验的数据流中获取用户终端标识,根据所述用户终端标识查询对应的访问地址列表,将所述访问地址列表中的地址修改为预置的安全地址。
9.根据权利要求8所述的数据通讯控制装置,其特征在于,所述数据通讯控制装置还包括:
通知单元,用于获取所述报文满足的拦截条件的类型,根据所述拦截条件的类型查询对应的处理方式,向所述用户终端发送所述拦截条件的类型以及对应的处理方式。
10.根据权利要求8或9所述的数据通讯控制装置,其特征在于,所述数据通讯控制装置还包括:
恢复单元,用于在对所述用户终端发送的数据流进行流量控制的同时启动计时器,判断在预置的时间周期内收到的所述用户终端发送的数据流是否包含满足预置的拦截条件的报文,若不包含,则停止对所述用户终端发送的数据流进行流量控制。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007103019334A CN101197836B (zh) | 2007-12-20 | 2007-12-20 | 一种数据通讯控制方法以及数据通讯控制装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007103019334A CN101197836B (zh) | 2007-12-20 | 2007-12-20 | 一种数据通讯控制方法以及数据通讯控制装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101197836A CN101197836A (zh) | 2008-06-11 |
| CN101197836B true CN101197836B (zh) | 2010-08-18 |
Family
ID=39547983
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2007103019334A Active CN101197836B (zh) | 2007-12-20 | 2007-12-20 | 一种数据通讯控制方法以及数据通讯控制装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101197836B (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8238872B2 (en) * | 2010-10-18 | 2012-08-07 | GM Global Technology Operations LLC | Vehicle data management system and method |
| CN102480477B (zh) * | 2010-11-30 | 2015-03-11 | 中国移动通信集团北京有限公司 | 一种客户端进行业务访问的方法、装置及系统 |
| CN102750462B (zh) * | 2011-12-13 | 2015-07-29 | 北京安天电子设备有限公司 | 基于环境的日志分析转换方法及装置 |
| CN105993149B (zh) * | 2013-11-28 | 2019-10-08 | Kt株式会社 | Sdn环境中动态流量控制的方法及设备 |
| CN109246002B (zh) * | 2018-09-17 | 2020-10-30 | 武汉思普崚技术有限公司 | 一种深度安全网关与网元设备 |
| CN110188294A (zh) * | 2019-05-05 | 2019-08-30 | 平安科技(深圳)有限公司 | Url拦截转换方法、装置以及计算机设备 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1411209A (zh) * | 2002-03-29 | 2003-04-16 | 华为技术有限公司 | 一种检测并监控恶意用户主机攻击的方法 |
| CN1466335A (zh) * | 2002-06-12 | 2004-01-07 | 华为技术有限公司 | 一种数据接入设备中的数据流量控制方法 |
| CN101026505A (zh) * | 2006-01-03 | 2007-08-29 | 阿尔卡特朗讯公司 | 用于监控通信网络中的恶意流量的方法和装置 |
-
2007
- 2007-12-20 CN CN2007103019334A patent/CN101197836B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1411209A (zh) * | 2002-03-29 | 2003-04-16 | 华为技术有限公司 | 一种检测并监控恶意用户主机攻击的方法 |
| CN1466335A (zh) * | 2002-06-12 | 2004-01-07 | 华为技术有限公司 | 一种数据接入设备中的数据流量控制方法 |
| CN101026505A (zh) * | 2006-01-03 | 2007-08-29 | 阿尔卡特朗讯公司 | 用于监控通信网络中的恶意流量的方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101197836A (zh) | 2008-06-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101197836B (zh) | 一种数据通讯控制方法以及数据通讯控制装置 | |
| JP4758442B2 (ja) | 無認可移動体アクセスネットワークにおけるセキュリティの提供 | |
| US9240946B2 (en) | Message restriction for diameter servers | |
| CN100555991C (zh) | 报文访问控制的方法、转发引擎装置和通信设备 | |
| KR101425107B1 (ko) | 네트워크 도메인간 보안정보 공유 장치 및 방법 | |
| US20050268332A1 (en) | Extensions to filter on IPv6 header | |
| CN101160876B (zh) | 一种网络安全控制方法及系统 | |
| CN100428689C (zh) | 一种网络安全控制方法及系统 | |
| CN101340387B (zh) | 控制转发数据报文的方法和装置 | |
| EP1519541B1 (en) | DOS attack mitigation using upstream router suggested remedies | |
| US8301712B1 (en) | System and method for protecting mail servers from mail flood attacks | |
| CN100420197C (zh) | 一种实现网络设备防攻击的方法 | |
| CN101227289A (zh) | 统一威胁管理设备及威胁防御模块的加载方法 | |
| CN113906771A (zh) | 使用域名的通信流控制 | |
| EP1804465A1 (en) | Collaborative communication traffic control network | |
| CN101605070B (zh) | 基于控制报文监听的源地址验证方法及装置 | |
| CN102594834B (zh) | 网络攻击的防御方法及装置、网络设备 | |
| US7464398B2 (en) | Queuing methods for mitigation of packet spoofing | |
| CN109167774B (zh) | 一种数据报文及在防火墙上的数据流安全互访方法 | |
| US20070071018A1 (en) | Method of filtering a plurality of data packets | |
| EP2466934A1 (en) | Method and system for message transmission control, method and system for register/update | |
| JP2008529330A (ja) | コアネットワークの方法及び装置 | |
| US7409458B2 (en) | Network system with shared filtering information | |
| KR100726814B1 (ko) | 방화벽 설정 방법 | |
| CN1321511C (zh) | 用户终端的代理服务检测方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |