CN101437230A - 恶意流量处理方法及系统 - Google Patents
恶意流量处理方法及系统 Download PDFInfo
- Publication number
- CN101437230A CN101437230A CNA2008102402850A CN200810240285A CN101437230A CN 101437230 A CN101437230 A CN 101437230A CN A2008102402850 A CNA2008102402850 A CN A2008102402850A CN 200810240285 A CN200810240285 A CN 200810240285A CN 101437230 A CN101437230 A CN 101437230A
- Authority
- CN
- China
- Prior art keywords
- contamination
- traffic stream
- processing unit
- malicious traffic
- session data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
本发明涉及一种恶意流量处理方法及系统,其中本发明实施例提供的方法包括:染毒检测单元检测经过自身的会话数据是否包含恶意流量,如果经过自身的会话数据包含恶意流量,则所述染毒检测单元发送通知消息给染毒处理单元,通知染毒处理单元所述会话数据染毒的状态信息;所述染毒处理单元将会话数据染毒的状态信息发送给用户终端。本发明实施例提供的恶意流量处理方法及系统,在检测到移动通信网络中的会话数据中包括恶意流量时,及时通知用户终端,这样用户终端就可以及时发起消除恶意流量的操作,可以改善用户体验。
Description
技术领域
本发明涉及移动通信技术,尤其涉及一种恶意流量处理方法及系统。
背景技术
在移动通信网络中通常存在多种恶意流量,例如,蠕虫病毒、拒绝服务(Deny of Service,简称DOS)攻击、黑客攻击等,如果在各个通信实体间传输的数据中包含了这些恶意流量,将会严重影响网络中数据传输,甚至造成网络瘫痪,为用户带来不便。
为了减少恶意流量对网络的影响,现有技术通过各种病毒检测技术检测网络中的数据流中是否包含恶意流量,然后将检测到含有恶意流量的数据流屏蔽或直接丢弃,而用户并不知晓。
发明人在实现本发明的过程中发现:这种处理恶意流量的方式存在的问题在于,如果将包含有恶意流量的数据直接丢弃或屏蔽,可能会造成用户无法上网,而用户并不清楚造成不能上网的原因是由于数据流中包括了恶意流量;并且,由于用户不能够及时获知用户终端(User Equipment,简称UE)上数据流已经受到恶意流量的侵袭,所以用户无法及时采取消除恶意流量的行动,从而可能导致恶意流量侵袭范围扩大,给用户造成更大的影响。
发明内容
本发明实施例针对现有技术中存在的问题,提供一种恶意流量处理方法及系统,能够及时将会话数据染毒的状态信息告知用户终端,使得用户终端可以及时执行消除恶意流量的操作,减小恶意流量对用户终端的影响。
本发明实施例提供了一种恶意流量处理方法,所述恶意流量处理方法用于移动通信网络,包括:
染毒检测单元检测经过自身的会话数据是否包含恶意流量,如果经过自身的会话数据包含恶意流量,则所述染毒检测单元发送通知消息给染毒处理单元,通知染毒处理单元所述会话数据染毒的状态信息;
所述染毒处理单元将会话数据染毒的状态信息发送给用户终端。
本发明实施例还提供了一种恶意流量处理系统,所述恶意流量处理系统用于移动通信网络,包括:
染毒检测单元,用于检测经过自身的会话数据中是否包含恶意流量;
染毒处理单元,用于接收所述染毒检测单元发送的会话数据染毒的状态信息,在接收到所述染毒检测单元发送的会话数据染毒的状态信息后,将会话数据染毒的状态信息发送给用户终端。
本发明实施例提供的恶意流量处理方法及系统,在检测到移动通信网络中的会话数据中包括恶意流量时,及时通知UE,这样UE就可以及时发起消除恶意流量的操作。
下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。
附图说明
图1所示为本发明恶意流量处理方法流程图;
图2所示为本发明恶意流量处理方法实施例中涉及到的一种网络架构示意图;
图3所示为本发明恶意流量处理方法实施例一流程图;
图4所示为本发明恶意流量处理方法实施例二流程图;
图5所示为本发明恶意流量处理方法实施例三流程图;
图6所示为本发明恶意流量处理方法实施例四流程图;
图7所示为本发明恶意流量处理方法实施例五流程图;
图8所示为本发明恶意流量处理方法实施例六流程图;
图9所示为本发明恶意流量处理方法实施例七流程图;
图10所示为本发明恶意流量处理方法实施例八流程图;
图11所示为本发明恶意流量处理方法实施例中涉及到的另一种网络架构示意图;
图12所示为本发明恶意流量处理方法实施例九流程图;
图13所示为本发明恶意流量处理方法实施例十流程图;
图14所示为本发明恶意流量处理方法实施例中涉及到的再一种网络架构示意图;
图15所示为本发明恶意流量处理方法实施例十一流程图;
图16所示为本发明恶意流量处理方法实施例十二流程图;
图17所示为本发明恶意流量处理方法实施例十三流程图;
图18所示为本发明恶意流量处理系统实施例结构示意图。
具体实施方式
如图1所示为本发明恶意流量处理方法流程图,该恶意流量处理方法应用于移动通信领域,包括:
步骤1、染毒检测单元检测经过自身的会话数据是否包含恶意流量,如果经过自身的会话数据包含恶意流量,则染毒检测单元发送通知消息给染毒处理单元,通知染毒处理单元所述会话数据染毒的状态信息;
步骤2、染毒处理单元将会话数据染毒的状态信息发送给用户终端。
本发明实施例提供的恶意流量处理方法,在检测到移动通信网络中的会话数据中包括恶意流量时,及时通知UE,这样UE就可以及时发起消除恶意流量的操作。
为了防止恶意流量侵袭范围的继续扩大,染毒处理单元还可以将染毒的会话去激活,这样即使由于该会话被去激活导致了UE无法传输其他数据,UE侧也可以知道是由于该会话数据染毒了,而不至于在毫不知情的情况下被中断了与移动通信网络的数据传输。
或者,在染毒检测单元检测到会话数据中包含恶意流量之后,染毒处理单元还可以将染毒的会话进行降速处理可以尽可能减小染毒的会话数据进一步感染网络中其他会话数据的可能性,在UE进行了消除恶意流量的操作之后,染毒检测单元可以检测之前染毒的会话数据中不再包含恶意流量,染毒处理单元可以将之前染毒的会话的速度恢复。
染毒处理单元在接收到染毒检测单元发送的会话数据染毒的状态信息后,染毒处理单元还可以记录会话数据染毒的状态信息,例如可以记录会话数据的标识、恶意流量的类型、恶意流量的来源、染毒的程度等信息,然后再将会话数据染毒的状态信息发送给UE。如果UE在接收到会话数据染毒的状态信息之后进行了消除恶意流量的操作,那么染毒检测单元后续会检测到之前染毒的会话数据中恶意流量已经被消除,这时染毒处理单元可以删除之前记录的会话数据染毒的状态信息,并将会话数据中恶意流量已被消除这一消息通知UE。
染毒检测单元或染毒处理单元在获知会话数据中包含恶意流量的时候,除了进行前述的各项操作,还可以执行如下操作中的至少一种:
(1)限制该用户终端的访问范围,例如限制用户终端只能访问配置的地址或端口范围;
(2)限制用户终端的传输控制协议(Transmission ControlProtocol,简称TCP)连接次数,或对用户终端的网络控制消息协议(Internet Control Message Protocol,简称ICMP)报文个数进行流量控制;
(3)发出告警或呼叫日志来通知设备维护人员恶意流量的来源或恶意流量的类型。
通过这三种方式中的一种就可以防止恶意流量的进一步侵袭。在UE执行消除恶意流量的操作之后,染毒检测单元或染毒处理单元在获知会话数据中恶意流量已被消除的时候,还可以执行如下操作中的至少一种:
(4)取消对用户终端访问范围的限制;
(5)取消对用户终端TCP连接次数的限制,或取消对用户终端的ICMP报文个数的流量控制;
(6)发出告警或呼叫日志来通知设备维护人员恶意流量已经消除。(4)(5)(6)所提到的方式与(1)(2)(3)中提到的方式是对应的,例如,如果之前执行了方式(1),则后续需要执行方式(4)。(1)~(6)中所提的方式,可以由网络中的单个网元来实现。
在本发明实施例中,染毒检测单元和染毒处理单元都应当是移动通信网络中会话数据流经的网络实体。
下面结合具体的网元实体来说明本发明移动通信网络的恶意流量处理方法实现过程。
如图2所示为本发明恶意流量处理方法实施例中涉及到的一种网络架构示意图。图2所示的是不使用策略计费控制(Policy and ChargingControl,简称PCC)架构的GPRS网络或通用移动通信系统(UniversalMobile Telecommunication System,简称UMTS)网络,网关GPRS支持节点(Gateway GPRS Support Node,简称GGSN)是GPRS/UMTS核心网络的设备,主要完成分组数据报的路由与转发,完成GPRS/UMTS核心网络与外部分组数据网(Packet Data Networks,简称PDN)的连接;服务GPRS支持节点(Serving GPRS Support Node,简称SGSN)是GPRS/UMTS核心网络设备,主要完成分组数据报的路由与转发、加密与鉴权、会话管理、移动性管理、逻辑链路管理、话单产生和输出等;通用陆地无线接入网(Universal Terrestrial Radio Access Network,简称UTRAN)是UMTS分组与无线接入网络(Radio Access Network,简称RAN)设备,主要完成对用户的无线资源管理和空口新领域数据的路由与转发;GSM基站子系统(Base Station Subsystem,简称BSS)是GPRS的RAN设备,主要完成对用户无线资源管理和空口信令与数据的路由和转发;UE是可移动的用户终端。在图2所示的网络中,GGSN和SGSN等网络实体可以主动发起流程控制UE的行为。
具体到本发明实施例,可以在GGSN中实现染毒检测单元和染毒处理单元的功能,也可以在SGSN实现染毒检测单元和染毒处理单元的功能,也可以在位置归属寄存器(Home Location Register,简称HLR)中实现染毒处理单元的功能。
如图3所示为本发明恶意流量处理方法实施例一流程图,在实施例一中,在SGSN中实现了染毒检测单元和染毒处理单元的功能,即,染毒检测单元和染毒处理单元设置在SGSN中,该流程包括:
步骤101、SGSN中的染毒检测单元检测流经自身的会话数据中是否包含恶意流量;
步骤102、如果SGSN中的染毒检测单元检测到流经自身的会话数据中包含恶意流量,则染毒检测单元将会话数据染毒的状态信息发送给SGSN中的染毒处理单元,SGSN中的染毒处理单元发起去激活流程,具体地,SGSN中的染毒处理单元向UE发送去激活PDP上下文请求(Deactivate PDPContext Request),在该去激活PDP上下文请求(Deactivate PDP ContextRequest)中携带有会话数据染毒的状态信息,用于通知UE会话数据染毒的状态信息;然后UE向SGSN发送去激活PDP上下文接受消息(DeactivatePDP Context Accept),完成对会话的去激活流程。
如图4所示为本发明恶意流量处理方法实施例二流程图,在实施例二中,在SGSN中实现了染毒检测单元和染毒处理单元的功能,即,染毒检测单元和染毒处理单元设置在SGSN中,该流程包括:
步骤201、SGSN中的染毒检测单元检测流经自身的会话数据中是否包含恶意流量;
步骤202、如果SGSN中的染毒检测单元检测到流经自身的会话数据中包含恶意流量,则染毒检测单元将会话数据染毒的状态信息发送给SGSN中的染毒处理单元,SGSN中的染毒处理单元向UE发送修改PDP上下文请求(Modify PDP Context Request),将染毒的会话的速率降低到一个值A,该值A可以是一个固定值,可以由运营商进行配置;在修改PDP上下文请求(Modify PDP Context Request)中还携带有会话数据染毒的状态信息。然后UE发送修改PDP上下文接受消息(Modify PDP Context Accept),完成对染毒的会话的降速处理。
在步骤202中,SGSN中的染毒处理单元在接收会话数据染毒的状态信息后,可以将会话数据染毒的状态信息进行记录。在完成步骤202之后,如果SGSN中的染毒处理单元没有对染毒的会话进行去激活处理,则SGSN中的染毒检测单元仍然继续检测流经自身的会话数据中是否包含恶意流量,如果UE对染毒的会话数据进行了恶意流量消除的处理,则SGSN中的染毒检测单元会检测到流经自身的会话数据中的恶意流量已经消除,这时,SGSN中的染毒处理单元可以通过向UE发送修改PDP上下文请求(Modify PDP Context Request)来将之前经过降速处理的会话的速率恢复,并且在修改PDP上下文请求(Modify PDP Context Request)中携带会话数据中恶意流量已经被消除的信息。并且,SGSN中的染毒处理单元可以清除之前记录的会话数据染毒的状态信息。
在实施例二中,在检测到流经自身的会话数据中的恶意流量被消除之前,SGSN不允许网络中其他网元触发的提高会话速率的操作。
在检测到流经自身的会话数据中的恶意流量被消除之前,如果UE从一个SGSN迁移到了另一个SGSN,则迁移前的SGSN会将会话数据染毒的状态信息发送给迁移后的SGSN,防止迁移后的SGSN由于没有获知会话数据染毒的状态信息而重新为UE设置了较大的会话速率,造成恶意流量侵袭范围增大。具体地,迁移之前的SGSN中用于记录会话数据染毒的状态信息的模块将记录的信息发送给迁移后的SGSN中用于记录会话数据染毒的状态信息的模块。
如图5所示为本发明恶意流量处理方法实施例三流程图,在SGSN中实现了染毒检测单元和染毒处理单元的功能,即,染毒检测单元和染毒处理单元设置在SGSN中,该流程包括:
步骤301、SGSN中的染毒检测单元检测流经自身的会话数据中是否包含恶意流量;
步骤302、如果SGSN中的染毒检测检测到流经自身的会话数据中包含恶意流量,则染毒检测单元将会话数据染毒的状态信息发送给SGSN中的染毒处理单元,SGSN中的染毒处理单元向UE发送修改PDP上下文请求(Modify PDP Context Request),在修改PDP上下文请求(Modify PDPContext Request)中携带有会话数据染毒的状态信息,用于将会话数据染毒的状态信息通知给UE。
如果UE进行了消除恶意流量的操作,则SGSN中的染毒检测单元会检测到流经自身的会话数据中的恶意流量已经消除,这时,SGSN中的染毒处理单元通过向UE发送修改PDP上下文请求(Modify PDP Context Request),在修改PDP上下文请求(Modify PDP Context Request)中携带会话数据中恶意流量已经被消除的信息。并且SGSN中的染毒处理单元可以清除之前记录的会话数据染毒的状态信息。
如图6所示为本发明恶意流量处理方法实施例四流程图,在实施例四中,在GGSN中实现了染毒检测单元和染毒处理单元的功能,即,染毒检测单元和染毒处理单元设置在GGSN中,该流程包括:
步骤401、GGSN中的染毒检测单元检测流经自身的会话数据中是否包含恶意流量;
步骤402、如果GGSN中的染毒检测单元检测到流经自身的会话数据中包含恶意流量,则染毒检测单元将会话数据染毒的状态信息发送给GGSN中的染毒处理单元,GGSN中的染毒处理单元向SGSN发送删除PDP上下文请求(Delete PDP Context Request),在该删除PDP上下文请求(Delete PDPContext Request)中携带会话数据染毒的状态信息,然后SGSN向UE发送去激活PDP上下文请求(Deactivate PDP Context Request),用于将染毒的会话去激活,并且在去激活PDP上下文请求(Deact ivate PDP ContextRequest)中携带会话数据染毒的状态信息,然后UE向SGSN发送去激活PDP上下文接受消息(Deactivate PDP Context Accept),完成对会话的去激活流程。SGSN在收到UE返回的去激活PDP上下文接受消息(Deactivate PDP Context Accept)后,向GGSN中的染毒处理单元发送删除PDP上下文响应(Delete PDP Context Response)。
如图7所示为本发明恶意流量处理方法实施例五流程图,在实施例五中,在GGSN中实现了染毒检测单元和和染毒处理单元的功能,即染毒检测单元和染毒处理单元设置在GGSN中,该流程包括:
步骤501、GGSN中的染毒检测单元检测流经自身的会话数据中是否包含恶意流量;
步骤502、如果GGSN中的染毒检测单元检测到流经自身的会话数据中包含恶意流量,则染毒检测单元将会话数据染毒的状态信息发送给GGSN中的染毒处理单元,GGSN中的染毒处理单元向SGSN发送更新PDP上下文请求(Update PDP Context Request),通过该更新PDP上下文请求(UpdatePDP Context Request),要求将染毒的会话的速率降低到一个值A,并且在该更新PDP上下文请求(Update PDP Context Request)中携带有会话数据染毒的状态信息;SGSN在收到GGSN发送的更新PDP上下文请求(Update PDP Context Request)之后,发送修改PDP上下文请求(ModifyPDP Context Request)给UE,通过该修改PDP上下文请求(Modify PDPContext Request)将染毒的会话的速率降低到一个固定值A,并且在修改PDP上下文请求(Modify PDP Context Request)中携带会话数据染毒的状态信息,然后UE向SGSN返回修改PDP上下文接受消息(Modify PDPContext Accept),完成对染毒的会话的降速处理。SGSN在接收到UE发送的修改PDP上下文接受消息(Modify PDP Context Accept)后,向GGSN中的染毒处理单元发送更新PDP上下文响应(Update PDP ContextResponse)。
在步骤502中,GGSN中的染毒处理单元接收到会话数据染毒的状态信息后,GGSN中的染毒处理模块将会话数据染毒的状态信息进行记录。在完成步骤502之后,GGSN中的染毒检测单元仍然继续检测流经自身的会话数据是否包含恶意流量,如果UE对染毒的会话数据进行了处理,则GGSN中的染毒检测单元会检测流经自身的会话数据中的恶意流量已经消除,这时,GGSN中的染毒处理单元可以采用向SGSN发送更新PDP上下文请求(Update PDP Context Request),通过该更新PDP上下文请求(UpdatePDP Context Request)要求将之前经过降速处理的会话的速率恢复,并且在该更新PDP上下文请求(Update PDP Context Request)携带会话数据中恶意流量已经被消除的信息。SGSN然后向UE发送修改PDP上下文请求(Modify PDP Context Request),通过该修改PDP上下文请求(ModifyPDP Context Request)将之前经过降速的会话的速率恢复,并且在该修改PDP上下文请求(Modify PDP Context Request)中携带会话数据中恶意流量已经被消除的信息。
在检测到流经自身的会话数据中的恶意流量被消除之前,GGSN不允许网络中其他网元触发的提高会话速率的操作。
如图8所示为本发明恶意流量处理方法实施例六流程图,在实施例六中,在GGSN中实现了染毒检测单元和染毒处理单元的功能,即,染毒检测单元和染毒处理单元设置在GGSN中,包括:
步骤601、GGSN中的染毒检测单元检测流经自身的会话数据中是否包含恶意流量;
步骤602、如果GGSN中的染毒检测单元检测到流经自身的会话数据中包含恶意流量,则染毒检测单元将会话数据染毒的状态信息发送给GGSN中的染毒处理单元,GGSN中的染毒处理单元向SGSN发送更新PDP上下文请求(Update PDP Context Request),在该更新PDP上下文请求(UpdatePDP Context Request)中携带有会话数据染毒的状态信息,用于将会话数据染毒的状态信息通知给SGSN,然后SGSN发送修改PDP上下文请求(Modify PDP Context Request)给UE,在该修改PDP上下文请求(ModifyPDP Context Request)中携带有会话数据染毒的状态信息,用于将会话数据染毒的状态信息通知给UE。
如果UE进行了消除恶意流量的操作,则GGSN中的染毒检测单元会检测到流经自身的会话数据中的恶意流量已经消除,这时,GGSN中的染毒处理单元可以发送更新PDP上下文请求(Update PDP Context Request)给SGSN,在该更新PDP上下文请求(Update PDP Context Request)中携带有会话数据中的恶意流量已经被消除的信息;SGSN在收到该更新PDP上下文请求(Update PDP Context Request)后,发送修改PDP上下文请求(Modify PDP Context Request)给UE,在该修改PDP上下文请求(ModifyPDP Context Request)中携带有会话数据中的恶意流量已经被消除的信息。
如图9所示为本发明恶意流量处理方法实施例七流程图,在实施例七中,在SGSN或GGSN中实现了染毒检测单元的功能,在HLR中实现了染毒处理单元的功能,即,染毒检测单元设置在SGSN或GGSN中,染毒处理单元设置在HLR中,该流程包括:
步骤701、SGSN或GGSN中的染毒检测单元检测流经自身的会话数据中是否包含恶意流量;
步骤702、如果SGSN或GGSN中的染毒检测单元检测到流经自身的会话数据中包含恶意流量,则SGSN或GGSN中的染毒检测单元向HLR中的染毒处理单元发送病毒通知消息(Virus Notification),用于通知HLR中的染毒处理单元会话数据染毒的状态信息。
步骤703、HLR中的染毒处理单元在收到来自SGSN或GGSN的病毒通知消息(Virus Notification)之后,可以选择对会话进行去激活处理,或者可以对会话进行降速处理,或者可以选择通知UE会话数据染毒的状态信息,HLR中的染毒处理单元可以将所选择的处理方式通过病毒处理指示(Virus Process Indication)发送给SGSN或GGSN。
步骤704、SGSN或GGSN在接收到HLR发送的病毒处理指示(VirusProcess Indication)之后,可以根据该病毒处理指示(Virus ProcessIndication)中所选择的方式执行相应的操作。具体的操作可以参考步骤102、202、302、402、502、602。例如,如果HLR中的染毒处理单元向SGSN发送病毒处理指示(Virus Process Indication)中选择对会话进行降速的处理,则SGSN在收到HLR发送的病毒处理指示(Virus ProcessIndication)后,可以采用与步骤302类似的步骤,与步骤302区别之处在于:步骤704中HLR中的染毒处理单元将病毒处理指示(Virus ProcessIndication)发送给SGSN中的能够处理病毒处理指示(Virus ProcessIndication)的单元,并且由SGSN中的能够处理病毒处理指示(VirusProcess Indication)的单元发起对包含有恶意流量的会话数据涉及到的会话进行去激活的操作,而步骤302中是由SGSN中的染毒处理单元发起对包含有恶意流量的会话数据涉及到的会话进行去激活的操作。
如果SGSN或GGSN中的染毒检测单元检测到流经自身的会话数据中的恶意流量已经消除,这时SGSN或GGSN中的染毒检测单元向HLR中的染毒处理单元发送病毒清除通知(Virus Cleanup Notification)。HLR中的染毒处理单元在收到SGSN或GGSN中染毒检测单元的病毒清除通知(VirusCleanup Notification)后,通过向SGSN或GGSN发送病毒清除指示(VirusCleanup Process Indication)通知SGSN或GGSN执行相应的操作。例如,HLR中的染毒处理单元如果在步骤704中选择对会话进行降速处理,那么在会话数据中的恶意流量消除之后,HLR中的染毒处理单元可以选择对会话速率进行恢复。
SGSN或GGSN在收到HLR发送的发送病毒清除指示(Virus CleanupProcess Indication)后,根据HLR中的染毒处理单元选择的处理方式执行相应的操作。例如,如果HLR中的染毒处理单元选择对会话速率进行恢复,那么GGSN可以采用与实施例五类似的方法,GGSN可以向SGSN发送更新PDP上下文请求(Update PDP Context Request),通过该更新PDP上下文请求(Update PDP Context Request)要求将之前经过降速处理的会话的速率恢复,并且在该更新PDP上下文请求(Update PDP ContextRequest)携带会话数据中恶意流量已经被消除的信息。SGSN然后向UE发送修改PDP上下文请求(Modify PDP Context Request),通过该修改PDP上下文请求(Modify PDP Context Request)将之前经过降速的会话的速率恢复,并且在该修改PDP上下文请求(Modify PDP ContextReq uest)中携带会话数据中恶意流量已经被消除的信息。
如图10所示为本发明恶意流量处理方法实施例八流程图,在实施例八中,在SGSN实现染毒检测单元的功能,在GGSN中实现染毒处理单元的功能,即,染毒检测单元设置在SGSN中,染毒处理单元设置在GGSN中,该流程包括:
步骤801、SGSN中的染毒检测单元检测流经自身的会话数据中是否包含恶意流量;
步骤802、如果SGSN中的染毒检测单元检测到流经自身的会话数据中包含恶意流量,则SGSN中的染毒检测单元向GGSN中的染毒处理单元发送病毒通知消息(Virus Notification),用于通知GGSN中的染毒处理单元会话数据染毒的状态信息。
步骤803、GGSN中的染毒处理单元在收到来自SGSN中的染毒检测单元的病毒通知消息(Virus Notification)之后,可以选择对会话进行去激活或降速处理,可以将会话数据染毒的状态信息通知给UE,GGSN进行的操作与步骤402或502或602类似,此处不再赘述。如果SGSN中的染毒检测单元检测到流经自身的会话数据中的恶意流量已经消除,这时SGSN中的染毒检测单元向GGSN中的染毒处理单元发送病毒清除通知(VirusCleanup Notification)。
GGSN中的染毒处理单元在收到SGSN中的染毒检测单元发送的病毒清除通知(Virus Cleanup Notification)后,如果在步骤803中对会话进行了降速处理,则需要对会话速率进行恢复,如果在步骤803中通知了UE会话数据染毒的状态信息,则在步骤805中需要通知UE会话数据中恶意流量已经消除的信息。
与实施例八相反地,可以在GGSN中实现染毒检测单元的功能,在SGSN中实现染毒处理单元和染毒通知单元的功能,这时,GGSN中的染毒检测单元检测流经自身的会话数据中是否包含恶意流量,如果检测到流经自身的会话数据中包含恶意流量,则GGSN中的染毒检测单元向SGSN中的染毒处理单元发送病毒通知消息(Virus Notification),通知SGSN中的染毒处理单元会话数据染毒的状态信息。然后SGSN可以进行与步骤102或202或302类似的操作,具体步骤不再赘述。并且,如果UE在SGSN之间发生了迁移,迁移之前的SGSN中的用于记录会话数据染毒的状态信息的单元需要将记录的信息发送给迁移后的SGSN中的用于记录会话数据染毒的状态信息的单元,防止由于迁移后的SGSN中没有会话数据染毒的状态信息而将染毒的会话进行恢复速度的操作。
需要说明的是,实施例一到实施例八中所示的方法针对的是如图2所示的网络结构。如图11所示为本发明恶意流量处理方法实施例中涉及到的另一种网络架构示意图,图11所示的是使用了PCC架构的GPRS网络或UMTS网络,其中策略计费执行功能(Policy and Charging EnforcementFunction,简称PCEF)模块完成业务流数据检测、策略执行和基于业务流的计费,PCEF模块可以设置在GGSN或P-GW中;策略计费规则功能(PolicyCharging Rules Function,简称PCRF)模块完成策略控制决策和基于业务流的计费控制,PCRF模块为PCEF模块提供了网络控制、业务数据流检测、QoS和基于业务流的计费,在接收来自应用功能(ApplicationFunction,简称AF)模块的会话信息,PCRF模块还可以根据运营商的策略进行安全流程,PCRF模块决定指定的业务数据流在PCEF模块如何被处理,从而保证PCEF模块上对用户面数据的映射和处理与用户的签约数据保持一致;AF模块根据应用层的用户面数据行为动态地产生策略计费控制需求,并将所需的会话信息发送给PCRF要求其做出决策。
对于如图11所示的网络架构,可以在PCEF模块中实现染毒检测单元的功能,在PCRF模块中实现染毒处理单元的功能;或者也可以在PCEF模块中实现染毒检测单元处理的功能,在AF模块中实现染毒处理单元的功能。
对于如图11所示的网络架构,PCEF模块设置在GGSN中,则可以在GGSN中的PCEF模块中实现染毒单元模块的功能,在PCRF模块中实现染毒处理单元模块的功能。如图12所示为本发明恶意流量处理方法实施例九流程图,在实施例九中,在GGSN的PCEF模块中实现染毒检测单元的功能,在PCRF模块中实现染毒处理单元的功能,即,染毒检测单元设置在GGSN的PCEF模块中,染毒处理单元设置在PCRF模块中,该流程包括:
步骤901、GGSN中的PCEF模块中的染毒检测单元检测流经自身的会话数据中是否包含恶意流量;
步骤902、如果GGSN中的PCEF模块中的染毒检测单元检测到流经自身的会话数据中包含恶意流量,则向PCRF模块中的染毒处理单元发送病毒通知消息(Virus Notification),用于通知PCRF模块中的染毒处理单元会话数据染毒的状态信息。
步骤903、PCRF模块中的染毒处理单元在收到来自GGSN中的PCEF模块中的染毒检测单元发送的病毒通知消息(Virus Notification)之后,可以选择对会话进行去激活处理,或者可以对会话进行降速处理,或者可以选择通知UE会话数据染毒的状态信息,PCRF模块中的染毒处理单元可以将所选择的处理方式通过发送病毒处理指示(Virus ProcessIndication)给GGSN中的PCEF模块。
步骤904、GGSN中的PCEF模块在接收到PCRF模块发送的病毒处理指示(Virus Process Indication)之后,可以根据该病毒处理指示(VirusProcess Indication)中所选择的方式执行相应的操作。具体的操作可以参考步骤102、202、302、402、502、602。例如,如果PCRF模块中的染毒处理单元向GGSN发送病毒处理指示(Virus Process Indication)中选择对会话进行降速的处理,则GGSN中的PCEF模块在收到PCRF模块发送的病毒处理指示(Virus Process Indication)后,可以采用与步骤502类似的步骤,与步骤502的区别之处在于:步骤904中由PCEF模块中的能够发起对会话进行降速处理的单元发起对会话进行降速处理,步骤502中,是由GGSN中的染毒处理单元发起对会话的降速处理。
步骤905、如果GGSN中的PCEF模块中的染毒检测单元检测到流经自身的会话数据中的恶意流量已经消除,这时GGSN中的PCEF模块中的染毒检测单元向PCRF模块发送病毒清除通知(Virus Cleanup Notification)。
步骤906、PCRF模块中的染毒处理单元在收到GGSN中的PCEF模块中的染毒检测单元发送的病毒清除通知(Virus Cleanup Notification)后,通过向GGSN中的PCEF模块发送病毒清除处理指示(Virus CleanupProcess Indication),通知GGSN中的PCEF模块执行相应的操作。例如,PCRF模块中的染毒处理单元如果在步骤904中选择对会话进行降速处理,那么在会话数据中的恶意流量消除之后,PCRF模块中的染毒处理单元可以选择对会话速率进行恢复。
步骤907、GGSN中的PCEF模块在收到PCRF发送的病毒清除处理指示(Virus Cleanup Process Indication)后,根据PCRF模块选择的处理方式执行相应的操作。例如,如果PCRF模块中的染毒处理单元选择对会话速率进行恢复,那么GGSN中的PCEF模块可以采用与实施例五类似的方法,GGSN中的PCEF模块可以向SGSN发送更新PDP上下文请求(Update PDPContext Request),通过该更新PDP上下文请求(Update PDP ContextRequest)要求将之前经过降速处理的会话的速率恢复,并且在该更新PDP上下文请求(Update PDP Context Request)携带会话数据中恶意流量已经被消除的信息。SGSN然后向UE发送修改PDP上下文请求(Modify PDPContext Request),通过该修改PDP上下文请求(Modify PDP ContextRequest)将之前经过降速的会话的速率恢复,并且在该修改PDP上下文请求(Modify PDP Context Request)中携带会话数据中恶意流量已经被消除的信息。
如图13所示为本发明恶意流量处理方法实施例十流程图,在实施例十中,在GGSN的PCEF模块中实现染毒检测单元的功能,在PCRF模块中实现染毒处理单元的功能,即染毒检测单元设置在GGSN的PCEF模块中,染毒处理单元设置在PCRF模块中,该流程包括:
步骤1001、GGSN中的PCEF模块中的染毒检测单元检测流经自身的会话数据中是否包含恶意流量;
步骤1002、如果GGSN中的PCEF模块中的染毒检测单元检测到流经自身的会话数据中包含恶意流量,则GGSN中的PCEF模块中的染毒检测单元向UE发送病毒通知消息(Virus Notification),用于通知UE会话数据染毒的状态信息。
步骤1003、UE将病毒通知消息(Virus Notification)转发给AF模块中的染毒处理单元。
步骤1004、在收到病毒通知消息(Virus Notification)后,AF模块中的染毒处理单元可以选择对会话进行去激活处理,或者可以选择对会话进行降速处理,AF模块中的染毒处理单元可以将所选择的处理方式通过发送病毒处理指示(Virus Process Indication)给PCRF模块。
步骤1005、PCRF模块在收到AF模块中的染毒处理单元发送的病毒处理指示(Virus Process Indication)之后,可以根据该病毒处理指示(Virus Process Indication)中所选择的方式进行相应的操作。PCRF模块具体的操作可以参考步骤903和904。
步骤1006、如果GGSN中的PCEF模块中的染毒检测单元检测到流经自身的会话数据中的恶意流量已经消除,则GGSN中的PCEF模块中的染毒检测单元可以向UE发送病毒清除通知(Virus Cleanup Notification)。
步骤1007、UE将该病毒清除通知(Virus Cleanup Notification)转发给AF模块中的染毒处理单元。
步骤1008、AF模块中的染毒处理单元然后向PCRF模块发送病毒清除处理指示(Virus Cleanup Process Indication),通知GGSN中的PCEF模块执行相应的操作。例如,AF模块中的染毒处理单元如果在步骤1004中选择对会话进行降速处理,那么在会话数据中的恶意流量消除之后,AF模块中的染毒处理单元可以选择对会话速率进行恢复。
需要说明的是,实施例九和十中所示的方法针对的是如图11所示的网络结构。如图14所示为本发明恶意流量处理方法实施例中涉及到的再一种网络架构示意图,图14所示的是使用了PCC架构的演进后的SAE网络,其中PCEF模块设置在分组数据网(Packet Data Network,简称PDN)网关(P-GW)中。
如图15所示为本发明恶意流量处理方法实施例十一流程图,实施例十一中,在P-GW中的PCEF模块中实现染毒检测单元的功能,在PCRF模块中实现染毒处理单元的功能,即染毒检测单元设置在PCEF模块中,染毒处理单元这只在PCRF模块中,该流程包括:
步骤1101、P-GW中的PCEF模块中的染毒检测单元检测流经自身的会话数据中是否包含恶意流量。
步骤1102、如果P-GW中的PCEF模块中的染毒检测单元检测到流经自身的会话数据中包含恶意流量,则P-GW中的PCEF模块中的染毒检测单元向PCRF模块发送病毒通知消息(Virus Notification)。
步骤1103、在收到病毒通知消息(Virus Notification)后,PCRF模块中的染毒处理单元可以选择对会话进行去激活处理,具体地,PCRF模块中的染毒处理单元可以将所选择的去激活处理方式通过IP连同接入网(IP Connectivity Access Network,简称IP-CAN)会话修改消息(IP-CANSession Modification)发送给P-GW中的PCEF模块,并且在该IP-CAN会话修改消息中携带会话数据染毒的状态信息。
步骤1104、P-GW中的PCEF模块向服务网关(S-GW)发送删除承载请求(Delete Bearer Request),在该删除承载请求(Delete Bearer Request)中携带会话数据染毒的状态信息,以及PCRF选择的去激活处理方式信息。
步骤1105、S-GW将接收到的删除承载请求(Delete Bearer Request)转发给移动管理单元(MME)或SGSN。
步骤1106、MME或SGSN向UE发送去激活承载请求(Deactivate BearerRequest),在该去激活承载请求(Deactivate Bearer Request)中携带有会话数据染毒的状态信息。
步骤1107、UE向MME或SGSN返回去激活承载响应(Deactivate BearerResponse),完成对会话的去激活。
步骤1108、MME或SGSN向S-GW发送删除承载响应(Delete BearerResponse)。
步骤1109、S-GW将接收到的删除承载响应(Delete Bearer Response)转发给P-GW中的PCEF模块。
步骤1110、P-GW中的PCEF模块发送IP-CAN会话修改(IP-CAN SessionModification)。
如图16所示为本发明恶意流量处理方法实施例十二流程图,在实施例十二中,在P-GW中的PCEF模块中实现染毒检测单元的功能,在PCRF模块中实现染毒处理单元的功能,即染毒检测单元设置在PCEF模块中,染毒处理单元设置在PCRF模块中,该流程包括:
步骤1201、P-GW中的PCEF模块中的染毒检测单元检测流经自身的会话数据中是否包含恶意流量。
步骤1202、如果P-GW中的PCEF模块中的染毒检测单元检测到流经自身的会话数据中包含恶意流量,则P-GW中的PCEF模块中的染毒检测单元向PCRF模块发送病毒通知消息(Virus Notification)。
步骤1203、在收到病毒通知消息(Virus Notification)后,PCRF模块中的染毒处理单元可以选择对会话进行降速处理,具体地,PCRF模块中的染毒处理单元可以将所选择的降速处理方式通过IP-CAN会话修改消息(IP-CAN Session Modification)发送给P-GW中的PCEF模块,并且在该IP-CAN会话修改消息中携带会话数据染毒的状态信息。
步骤1204、P-GW中的PCEF模块向S-GW发送更新承载请求(UpdateBearer Request),在该更新承载请求(Update Bearer Request)中携带会话数据染毒的状态信息,以及PCRF选择的降速处理方式信息。
步骤1205、S-GW将接收到的更新承载请求(Update Bearer Request)转发给MME或SGSN。
步骤1206、MME或SGSN向UE发送修改承载请求(Modify BearerRequest),在该修改承载请求(Modify Bearer Request)中携带有会话数据染毒的状态信息,通过该修改承载请求(Modify Bearer Request)将会话的速率降低到一个值A。
步骤1207、UE向MME或SGSN返回修改承载响应(Modify BearerResponse),完成对会话的降速操作。
步骤1208、MME或SGSN向S-GW发送更新承载响应(Update BearerResponse)。
步骤1209、S-GW将接收到的更新承载响应(Update Bearer Response)转发给P-GW中的PCEF模块。
步骤1210、P-GW中的PCEF模块发送IP-CAN会话修改(IP-CAN SessionModification)。
如果P-GW中的PCEF模块中的染毒检测单元检测到流经自身的会话数据中的恶意流量已经消除,则P-GW中的PCEF模块中的染毒检测单元需要向PCRF模块中的染毒处理单元发送病毒清除通知(Virus CleanupNotification),通知PCRF中的染毒处理单元恶意流量已经消除,然后PCRF中的染毒处理单元将之前经过降速的会话速率进行恢复。具体地,P-GW中的PCEF模块向S-GW发送更新承载请求(Update Bearer Request),在该更新承载请求(Update Bearer Request)中携带有会话数据中恶意流量已经消除的信息,以及要求将会话速率恢复的信息,然后S-GW将更新承载请求(Update Bearer Request)转发给MME或SGSN,MME或SGSN向UE发送修改承载请求(Modify Bearer Request),要求将会话速率恢复,并通知UE会话数据中的恶意流量已经消除。
在检测到会话数据中的恶意流量消除之前,PCRF模块不允许网络中的其他网元触发的提高会话速率的操作。
如图17所示为本发明恶意流量处理方法实施例十三流程图,在实施例十三中,在P-GW中的PCEF模块中实现染毒检测单元的功能,在PCRF模块中实现染毒通知单元的功能,该流程包括:
步骤1301、P-GW中的PCEF模块中的染毒检测单元检测流经自身的会话数据中是否包含恶意流量。
步骤1302、如果P-GW中的PCEF模块中的染毒检测单元检测到流经自身的会话数据中包含恶意流量,则P-GW中的PCEF模块中的染毒检测单元向PCRF模块发送病毒通知消息(Virus Notification)。
步骤1303、在收到病毒通知消息(Virus Notification)后,PCRF模块中的染毒处理单元将IP-CAN会话修改消息(IP-CAN SessionModification)发送给P-GW中的PCEF模块,并且在该IP-CAN会话修改消息中携带会话数据染毒的状态信息。
步骤1304、P-GW中的PCEF模块向S-GW发送更新承载请求(UpdateBearer Request),在该更新承载请求(Update Bearer Request)中携带会话数据染毒的状态信息。
步骤1305、S-GW将接收到的更新承载请求(Update Bearer Request)转发给MME或SGSN。
步骤1306、MME或SGSN向UE发送修改承载请求(Modify BearerRequest),在该修改承载请求(Modify Bearer Request)中携带有会话数据染毒的状态信息。
UE在收到会话数据染毒的状态信息之后可以进行消除恶意流量的操作。
如果P-GW中的PCEF模块中的染毒检测单元检测到流经自身的会话数据中的恶意流量已经消除,则P-GW中的PCEF模块中的染毒检测单元需要向PCRF模块中的染毒处理单元发送病毒清除通知(Virus CleanupNotification),通知PCRF模块中的染毒处理单元恶意流量已经消除,然后PCRF模块中的染毒处理单元将之前经过降速的会话速率进行恢复。具体地,P-GW中的PCEF模块向S-GW发送更新承载请求(Update BearerRequest),在该更新承载请求(Update Bearer Request)中携带有会话数据中恶意流量已经消除的信息,然后S-GW将更新承载请求(UpdateBearer Request)转发给MME或SGSN,MME或SGSN向UE发送修改承载请求(Modify Bearer Request),通知UE会话数据中的恶意流量已经消除。
对于如图14所示的网络架构,如果PCEF模块设置在P-GW中,则可以在P-GW中的PCEF模块来实现染毒检测单元的功能,在AF模块中实现染毒处理单元的功能,具体的实现方式与实施例十类似,此处不再赘述。
如图18所示为本发明恶意流量处理系统实施例结构示意图,该系统用于移动通信网络,包括:染毒检测单元11和染毒处理单元12。染毒检测单元11检测经过自身的会话数据中是否包含恶意流量,如果染毒检测单元11检测到经过自身的会话数据中包含恶意流量,则染毒检测单元发送通知消息给染毒处理单元12,通知染毒处理单元12会话数据染毒的状态信息,染毒处理单元12将会话数据染毒的状态信息发送给用户终端;或者染毒处理单元12将会话数据染毒的状态信息发送给用户终端同时将包含有恶意流量的会话数据涉及到的会话进行去激活或降速处理。
染毒处理单元12还可以将接收到的会话数据染毒的状态信息进行记录。
如果染毒检测单元11检测到会话数据中的恶意流量已经被消除时,染毒检测单元11将会话数据中恶意流量已经被消除的信息发送给用户终端,并清除所记录的所述会话数据染毒的状态信息;或者
当染毒检测单元11检测到会话数据中的恶意流量已经被消除时,将会话数据中恶意流量已经被消除的信息发送给所述用户终端,并将包含有恶意流量的会话数据涉及到的会话的速度恢复,并清除所记录的会话数据染毒的状态信息。
对于图18中涉及到的各个单元,可以通过移动通信网络中的网络实体来实现,具体如下:
(1)染毒检测单元和染毒处理单元设置在SGSN中;或者
(2)染毒检测单元和染毒处理单元设置在GGSN中;或者
(3)染毒检测单元设置在SGSN或GGSN中,染毒处理单元设置在HLR中;或者
(4)染毒检测单元设置在GGSN中,染毒处理单元设置在SGSN中;或者
(5)染毒检测单元设置在SGSN中,染毒处理单元设置在SGSN中;或者
(6)染毒检测单元设置在GGSN的PCEF模块中,染毒处理单元设置在PCRF模块中;或者
(7)染毒检测单元设置在GGSN的PCEF模块中,染毒处理单元设置在AF模块中;或者
(8)染毒检测单元设置在P-GW的PCEF模块中,染毒处理单元设置在PCRF模块中;或者
(9)染毒检测单元设置在P-GW的PCEF模块中,染毒处理单元设置在AF中模块。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (17)
1、一种恶意流量处理方法,其特征在于,所述恶意流量处理方法用于移动通信网络,包括:
染毒检测单元检测经过自身的会话数据是否包含恶意流量,如果经过自身的会话数据包含恶意流量,则所述染毒检测单元发送通知消息给染毒处理单元,通知染毒处理单元所述会话数据染毒的状态信息;
所述染毒处理单元将会话数据染毒的状态信息发送给用户终端。
2、根据权利要求1所述的恶意流量处理方法,其特征在于,还包括:所述染毒处理单元在将会话数据染毒的状态信息发送给用户终端的同时将包含有恶意流量的会话数据涉及到的会话进行去激活或降速处理。
3、根据权利要求1所述的恶意流量处理方法,其特征在于,还包括:所述染毒处理单元记录所述会话数据染毒的状态信息。
4、根据权利要求2所述的恶意流量处理方法,其特征在于,还包括:所述染毒处理单元记录所述会话数据染毒的状态信息。
5、根据权利要求3所述的恶意流量处理方法,其特征在于,还包括:如果所述染毒检测单元检测到所述会话数据中的恶意流量已经被消除,所述染毒检测单元将会话数据中恶意流量已经被消除的信息发送给所述染毒处理单元,所述染毒处理单元将会话数据中恶意流量已经被消除的信息发送给所述用户终端,并清除所记录的所述会话数据染毒的状态信息。
6、根据权利要求4所述的恶意流量处理方法,其特征在于,还包括:
如果所述染毒检测单元检测到所述会话数据中的恶意流量已经被消除,所述染毒处理单元将会话数据中恶意流量已经被消除的信息发送给所述用户终端,并将包含有恶意流量的会话数据涉及到的会话的速度恢复,并清除所记录的所述会话数据染毒的状态信息。
7、根据权利要求5或6所述的恶意流量处理方法,其特征在于,当获取到会话数据染毒的状态信息时,所述染毒检测单元或染毒处理单元还执行如下操作中的至少一种:
(1)限制所述用户终端的访问范围;
(2)限制所述用户终端的传输控制协议连接次数,或对所述用户终端的网络控制消息协议报文个数进行流量控制;
(3)发出告警或呼叫日志来通知设备维护人员恶意流量的来源或恶意流量的类型。
8、根据权利要求7所述的恶意流量处理方法,其特征在于,当染毒检测单元或染毒处理单元获取到会话数据中的恶意流量已经被消除的信息时,所述染毒检测单元或染毒处理单元还执行如下操作中的至少一种:
取消对用户终端访问范围的限制的操作;
取消对用户终端传输控制协议连接次数的限制,或取消对用户终端的网络控制消息协议报文个数的流量控制;
发出告警或呼叫日志来通知设备维护人员恶意流量已经被消除的信息。
9、根据权利要求1-6中任意权利要求所述的恶意流量处理方法,其特征在于,
所述染毒检测单元和染毒处理单元设置在服务GPRS支持节点(SGSN)中;或者
所述染毒检测单元和染毒处理单元设置在网关GPRS支持节点(GGSN)中;或者
所述染毒检测单元设置在SGSN或GGSN中,所述染毒处理单元设置在位置归属寄存器(HLR)中;或者
所述染毒检测单元设置在GGSN中,所述染毒处理单元设置在SGSN中;或者
所述染毒检测单元设置在SGSN中,所述染毒处理单元设置在SGSN中;或者
所述染毒检测单元设置在GGSN的策略计费执行功能(PCEF)模块中,所述染毒处理单元设置在策略计费规则功能(PCRF)模块中;或者
所述染毒检测单元设置在GGSN的PCEF模块中,所述染毒处理单元设置在应用功能(AF)模块中;或者
所述染毒检测单元设置在分组数据网网关(P-GW)的PCEF模块中,所述染毒处理单元设置在PCRF模块中;或者
所述染毒检测单元设置在P-GW的PCEF模块中,所述染毒处理单元设置在AF模块中。
10、根据权利要求3或4所述的恶意流量处理方法,其特征在于,所述染毒处理单元设置在服务GPRS支持节点(SGSN)中,如果所述用户终端从一个SGSN迁移到了另一个SGSN,所述方法还包括:
迁移之前的SGSN中的染毒处理单元将记录的会话数据染毒的状态信息发送给迁移之后的SGSN中的染毒处理单元。
11、一种恶意流量处理系统,其特征在于,所述恶意流量处理系统用于移动通信网络,包括:
染毒检测单元,用于检测经过自身的会话数据中是否包含恶意流量;
染毒处理单元,用于接收所述染毒检测单元发送的会话数据染毒的状态信息,在接收到所述染毒检测单元发送的会话数据染毒的状态信息后,将会话数据染毒的状态信息发送给用户终端。
12、根据权利要求11所述的恶意流量处理系统,其特征在于,
所述染毒处理单元还用于在将会话数据染毒的状态信息发送给用户终端的同时将包含有恶意流量的会话数据涉及到的会话进行去激活或降速处理。
13、根据权利要求11所述的恶意流量处理系统,其特征在于,所述染毒处理单元还用于记录所述会话数据染毒的状态信息。
14、根据权利要求12所述的恶意流量处理系统,其特征在于,所述染毒处理单元还用于记录所述会话数据染毒的状态信息。
15、根据权利要求13所述的恶意流量处理系统,其特征在于,所述染毒处理单元还用于当所述染毒检测单元检测到所述会话数据中的恶意流量已经被消除时,将会话数据中恶意流量已经被消除的信息发送给所述用户终端,并清除所记录的所述会话数据染毒的状态信息。
16、根据权利要求14所述的恶意流量处理系统,其特征在于,
所述染毒处理单元还用于当所述染毒检测单元检测到所述会话数据中的恶意流量已经被消除时,将会话数据中恶意流量已经被消除的信息发送给所述用户终端,并将包含有恶意流量的会话数据涉及到的会话的速度恢复,并清除所记录的所述会话数据染毒的状态信息。
17、根据权利要求11-16中任意权利要求所述的恶意流量处理系统,其特征在于,
所述染毒检测单元和染毒处理单元设置在服务GPRS支持节点(SGSN)中;或者
所述染毒检测单元和染毒处理单元设置在网关GPRS支持节点(GGSN)中;或者
所述染毒检测单元设置在SGSN或GGSN中,所述染毒处理单元设置在位置归属寄存器(HLR)中;或者
所述染毒检测单元设置在GGSN中,所述染毒处理单元设置在SGSN中;或者
所述染毒检测单元设置在SGSN中,所述染毒处理单元设置在SGSN中;或者
所述染毒检测单元设置在GGSN的策略计费执行功能(PCEF)模块中,所述染毒处理单元设置在策略计费规则功能(PCRF)模块中;或者
所述染毒检测单元设置在GGSN的PCEF模块中,所述染毒处理单元设置在应用功能(AF)模块中;或者
所述染毒检测单元设置在分组数据网网关(P-GW)的PCEF模块中,所述染毒处理单元设置在PCRF模块中;或者
所述染毒检测单元设置在P-GW的PCEF模块中,所述染毒处理单元设置在AF模块中。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2008102402850A CN101437230A (zh) | 2008-12-22 | 2008-12-22 | 恶意流量处理方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2008102402850A CN101437230A (zh) | 2008-12-22 | 2008-12-22 | 恶意流量处理方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101437230A true CN101437230A (zh) | 2009-05-20 |
Family
ID=40711404
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2008102402850A Pending CN101437230A (zh) | 2008-12-22 | 2008-12-22 | 恶意流量处理方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101437230A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103067384A (zh) * | 2012-12-27 | 2013-04-24 | 华为技术有限公司 | 威胁处理方法及系统、联动客户端、安全设备及主机 |
| CN104113544A (zh) * | 2014-07-18 | 2014-10-22 | 重庆大学 | 基于模糊隐条件随机场模型的网络入侵检测方法及系统 |
| CN110691213A (zh) * | 2018-07-04 | 2020-01-14 | 视联动力信息技术股份有限公司 | 一种告警方法和装置 |
| CN116389166A (zh) * | 2023-05-29 | 2023-07-04 | 天翼云科技有限公司 | 一种恶意dos流量的检测方法、装置、电子设备及存储介质 |
-
2008
- 2008-12-22 CN CNA2008102402850A patent/CN101437230A/zh active Pending
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103067384A (zh) * | 2012-12-27 | 2013-04-24 | 华为技术有限公司 | 威胁处理方法及系统、联动客户端、安全设备及主机 |
| CN103067384B (zh) * | 2012-12-27 | 2016-12-28 | 华为技术有限公司 | 威胁处理方法及系统、联动客户端、安全设备及主机 |
| CN104113544A (zh) * | 2014-07-18 | 2014-10-22 | 重庆大学 | 基于模糊隐条件随机场模型的网络入侵检测方法及系统 |
| CN104113544B (zh) * | 2014-07-18 | 2017-10-31 | 重庆大学 | 基于模糊隐条件随机场模型的网络入侵检测方法及系统 |
| CN110691213A (zh) * | 2018-07-04 | 2020-01-14 | 视联动力信息技术股份有限公司 | 一种告警方法和装置 |
| CN110691213B (zh) * | 2018-07-04 | 2021-09-28 | 视联动力信息技术股份有限公司 | 一种告警方法和装置 |
| CN116389166A (zh) * | 2023-05-29 | 2023-07-04 | 天翼云科技有限公司 | 一种恶意dos流量的检测方法、装置、电子设备及存储介质 |
| CN116389166B (zh) * | 2023-05-29 | 2023-08-04 | 天翼云科技有限公司 | 一种恶意dos流量的检测方法、装置、电子设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102668639B (zh) | 拥塞/过载的控制方法及装置 | |
| CN101541097B (zh) | 恢复承载的方法、装置及系统 | |
| US9380446B2 (en) | Policy and charging control method supporting IP flow mobility in roaming scenario | |
| US7298697B2 (en) | Setting a communication channel | |
| EP2852096B1 (en) | Method, node, mobile terminal and system for identifying network sharing behavior | |
| US20060272025A1 (en) | Processing of packet data in a communication system | |
| CN101547168B (zh) | 设备复位通知方法及系统、服务及分组数据网关和移动管理网元 | |
| CN101730072B (zh) | 在多接入场景下分组数据网络网关标识的保存方法及系统 | |
| US11356416B2 (en) | Service flow control method and apparatus | |
| WO2011159507A1 (en) | Treatment of malicious devices in a mobile-communications network | |
| US20120106508A1 (en) | Method and System for Deleting Redundant Information of Home Policy and Charging Rules Function | |
| EP2487943B1 (en) | Method and system for policy and charging control based on time period | |
| CN101742453B (zh) | 接入控制的方法、系统及接入控制网元 | |
| CN101584160A (zh) | 唯一地标识并统一移动电信网络中用户的分组承载上下文集合的机制 | |
| CN102577449B (zh) | 优先级业务激活、去激活方法、装置和系统 | |
| CN101500222B (zh) | 实现ue的去附着方法、装置及系统 | |
| CN101437230A (zh) | 恶意流量处理方法及系统 | |
| CN102752722A (zh) | 一种永远在线能力的提供方法、系统和设备 | |
| CN103299672A (zh) | 业务恢复方法和移动管理网元 | |
| CN101355561B (zh) | Dra的会话消息管理方法和系统 | |
| CN101330720A (zh) | 一种接入用户的处理方法、用户接入系统及设备 | |
| CN101296493B (zh) | 资源释放方法和网络设备 | |
| CN102396201B (zh) | 业务流旁路方法、系统和策略与计费规则功能实体 | |
| JP4690423B2 (ja) | コアネットワークの方法及び装置 | |
| CN102083172B (zh) | 一种网络限制mtc设备移动次数的方法、装置和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Open date: 20090520 |