CN103716305B - 一种用于无源光网络系统的智能防攻击方法 - Google Patents

一种用于无源光网络系统的智能防攻击方法 Download PDF

Info

Publication number
CN103716305B
CN103716305B CN201310677339.0A CN201310677339A CN103716305B CN 103716305 B CN103716305 B CN 103716305B CN 201310677339 A CN201310677339 A CN 201310677339A CN 103716305 B CN103716305 B CN 103716305B
Authority
CN
China
Prior art keywords
attack
skipping
optical network
processing
level
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201310677339.0A
Other languages
English (en)
Other versions
CN103716305A (zh
Inventor
邱全华
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shandong Future Group Co ltd
Original Assignee
Shanghai Feixun Data Communication Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shanghai Feixun Data Communication Technology Co Ltd filed Critical Shanghai Feixun Data Communication Technology Co Ltd
Priority to CN201310677339.0A priority Critical patent/CN103716305B/zh
Publication of CN103716305A publication Critical patent/CN103716305A/zh
Application granted granted Critical
Publication of CN103716305B publication Critical patent/CN103716305B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Abstract

本发明公开一种用于无源光网络系统的智能防攻击方法,该方法包含以下步骤:1、配置当检测攻击存在时,对攻击源处理的动作;2、定时探测攻击是否发生,以及攻击行为所处的级别;若是则跳转到步骤3,若否则继续探测;3、对攻击源的光网络单元进行处理,完成后继续探测。本发明攻击发生时候对攻击源的操作和攻击消失时候业务的恢复,全自动完成,不需要人工干扰,节省人力资源,节约成本,实现智能化操作;可以同时应用于EPON OLT设备和GPON OLT设备;检测到攻击发生时候,直接对攻击源进行处理,目前还没有防攻击,一般防攻击都是被动防御,对自己本身进行限制,防止崩溃,影响自身的正常业务。

Description

一种用于无源光网络系统的智能防攻击方法
技术领域
本发明涉及一种系统防攻击方法,具体涉及一种用于无源光网络系统的智能防攻击方法。
背景技术
当前无源光纤网络(Passive Optical Network,PON)技术,已经作为主流的接入技术得到了广泛的应用。不管是宽带无源光网络(GPON,Gigabit-Capable PON)或者以太无源光网络(EPON),都实现了光前入户,大大提高了用户带宽使用水平,但是通讯设备处在互联网中,很容易受到各种各样的攻击。如果遭受攻击导致死机,会导致大量用户业务受到影响。目前GPON标准对光线路终端(OLT)设备的安全性也有一定的要求。标准要求设备都应该具有一定的安全防攻击能力。
但是当前实现一般是当对OLT自身的报文处理进行限制。当用户发现攻击产生,对自身限速,限制自己的上送CPU的报文流量,来防止OLT收到攻击报文太多,导致CPU繁忙,系统宕机。
该现有技术有两点不足:
一是需要人为发现攻击,然后手动配置限速,需要人为检测攻击,并手动配置限速,并且等攻击消失,还要手动恢复。增加了用户操作复杂度。
二是在OLT进行抑制时候,连接ONU的用户可能还在持续攻击,比较被动。不能达到直接限制攻击源的效果。并且使OLT正常业务受到影响。
发明内容
本发明提供一种用于无源光网络系统的智能防攻击方法,实现光线路终端和光网络单元联动,探测攻击的发生,自动对攻击源进行处理,不需要人为干预。
为实现上述目的,本发明提供一种用于无源光网络系统的智能防攻击方法,其特点是,该方法包含以下步骤:
步骤1、配置当检测攻击存在时,对攻击源处理的动作;
步骤1.1、判断防攻击将攻击程度为轻度级别还是重度级别,若是轻度级别则跳转到步骤1.2,若是重度级别则跳转到步骤1.3;
步骤1.2、限制攻击源端口的带宽,跳转到步骤1.4;
步骤1.3、直接关闭攻击源的端口,或者将整个光网络单元下线,并且在一定时间内禁止登陆,跳转到步骤1.4;
步骤1.4、完成配置;
步骤2、定时探测攻击是否发生,以及攻击行为所处的级别;若是则跳转到步骤3,若否则跳转到步骤2继续探测;
步骤2.1、探测任务运行,并统计上送光线路终端设备处理器的攻击报文数量;
步骤2.2、判断攻击报文是否达到轻度攻击门限,若是,则跳转到步骤2.3,若否则跳转到步骤2.7;
步骤2.3、记录攻击状态被攻击状态;
步骤2.4、判断攻击报文是否达到重度攻击门限,若是,则跳转到步骤2.5,若否,则记录攻击级别为轻度,并跳转到步骤2.6;
步骤2.5、记录攻击级别为重度;
步骤2.6、进行攻击源处理流程,跳转到步骤3;
步骤2.7、判断当前攻击状态是否为被攻击状态,若是则跳转到步骤2.8,若否则跳转到步骤2.1;
步骤2.8、判断是否连续三个周期都未达到轻度攻击门限,若是则跳转到步骤2.9,若否,则跳转到步骤2.1;
步骤2.9、记录攻击状态为攻击状态,跳转到步骤2.1继续探测;
步骤3、对攻击源的光网络单元进行处理,并跳转到步骤2。
步骤3.1、接收攻击探测步骤结果信息;
步骤3.2、判断攻击状态是否为被攻击状态,若是,则跳转到步骤3.3,若否则跳转到步骤3.2.1;
步骤3.2.1、确认攻击消失,恢复对攻击源光网络单元所做的处理,使其正常运作,跳转到步骤3.5;
步骤3.3、判断攻击级别是否为轻度,若是,则跳转到步骤3.4,若否则跳转到步骤3.3.1;
步骤3.3.1、级别为重,执行攻击源处理的动作配置中重度级别的处理流程,跳转到步骤3.5;
步骤3.4、执行攻击源处理的动作配置中轻度级别的处理流程,跳转到步骤3.5;
步骤3.5、将处理流程指令远程发送到光网络单元进行处理;
步骤3.6、判断光线路终端设备是否为以太无源光网络,若是则跳转到步骤3.7,若否则跳转到步骤3.8;
步骤3.7、通过营运管理与维护消息将指令发送至光网络单元设备,完成处理后跳转到步骤2;
步骤3.8、光线路终端设备是宽带无源光网络,并通过光网络终端管理和控制接口信息将指令发送至光网络单元设备,完成处理后跳转到步骤2。
上述的步骤2中,探测周期为30秒。
本发明一种用于无源光网络系统的智能防攻击方法和现有技术的防攻击技术相比,其优点在于,本发明攻击发生时候对攻击源的操作和攻击消失时候业务的恢复,全自动完成,不需要人工干扰。节省人力资源,节约成本,实现智能化操作;
本发明可以同时应用于EPON OLT设备和GPON OLT设备;
本发明检测到攻击发生时候,直接对攻击源进行处理,目前还没有防攻击,一般防攻击都是被动防御,对自己本身进行限制,防止崩溃,影响自身的正常业务。
附图说明
图1为本发明一种用于无源光网络系统的智能防攻击方法的总体模块图;
图2为本发明一种用于无源光网络系统的智能防攻击方法的攻击探测流程图;
图3为本发明一种用于无源光网络系统的智能防攻击方法的攻击处理流程图。
具体实施方式
以下结合附图,进一步说明本发明的具体实施例。
如图1所示,本发明公开一种用于无源光网络系统的智能防攻击方法,该方法包含三个模块:智能防攻击配置模块、攻击探测模块、对攻击源的处理模块。
智能防攻击配置模块主要作用是配置当检测攻击存在,对攻击源处理的动作。动作包括攻击源的端口限速,端口关闭,让ONU下线并设置禁止重新上线的时长。智能防攻击将攻击程度分轻度和严重两个级别,不同的级别可以配置不同的动作。区分级别的防攻击动作可以使防攻击更精细化。
攻击探测模块为智能防攻击功能中一个比较核心的模块。用来定时探测攻击是否发生攻击行为所处的级别和攻击是否消失。默认探测周期为30秒。并在攻击发生时候和恢复时候调用攻击源处理模块对攻击源进行处理。探测模块为一个定时轮询的探测任务,定时统计上送CPU的攻击报文,查看攻击报文的是否超过初级攻击门限和严重攻击门限,当发生攻击时候,记录攻击的级别,并将OLT设备的攻击状态值为被攻击状态,然后调用攻击源处理模块进行对应的处理。当连续三个周期上送CPU的攻击报文都没有到达攻击的轻度攻击门限时候,认为攻击消失,将设备的状态置未被攻击状态,之所以等要连续三个周期都正常,才将设备攻击状态改为正常。是因为当攻击发生时候,由于对攻击源采取了措施,所以有可能攻击报文会减少,并不一定是攻击消失了,所以采取查询三个周期一直无攻击,才判断攻击消失。
攻击源的处理模块主要对攻击源ONU的处理,处理分为三种:端口限速,关闭端口,踢用户下线一段时间不让该ONU上线。攻击源处理模块主要接受探测模块的消失,先查看消息是配置下发还是攻击发现消息,还是攻击消失消息。攻击发现消息的话,会根据攻击级别,对攻击源采取配置模块配置好的行为。如果是攻击消失消息的话,会恢复攻击源的业务。
本发明一种用于无源光网络系统的智能防攻击方法分步骤流程如下:
步骤1、配置当检测攻击存在时,对攻击源处理的动作。
步骤1.1、判断防攻击将攻击程度为轻度级别还是重度级别,若是轻度级别则跳转到步骤1.2,若是重度级别则跳转到步骤1.3。
步骤1.2、限制攻击源端口的带宽,跳转到步骤1.4。
步骤1.3、直接关闭攻击源的端口,或者将整个光网络单元下线,并且在一定时间内禁止登陆,跳转到步骤1.4。
步骤1.4、完成配置。
步骤2、如图2所示,定时探测攻击是否发生,以及攻击行为所处的级别;若是则跳转到步骤3,若否则跳转到步骤2继续探测,探测周期为30秒。
步骤2.1、探测任务运行,并统计上送光线路终端设备处理器的攻击报文数量。
步骤2.2、判断攻击报文是否达到轻度攻击门限,若是,则跳转到步骤2.3,若否则跳转到步骤2.7。
步骤2.3、记录攻击状态被攻击状态。
步骤2.4、判断攻击报文是否达到重度攻击门限,若是,则跳转到步骤2.5,若否,则记录攻击级别为轻度,并跳转到步骤2.6。
步骤2.5、记录攻击级别为重度。
步骤2.6、进行攻击源处理流程,跳转到步骤3。
步骤2.7、判断当前攻击状态是否为被攻击状态,若是则跳转到步骤2.8,若否则跳转到步骤2.1。
步骤2.8、判断是否连续三个周期都未达到轻度攻击门限,若是则跳转到步骤2.9,若否,则跳转到步骤2.1。一个周期为30秒。
步骤2.9、记录攻击状态为攻击状态,跳转到步骤2.1继续探测。
步骤3、如图3所示,对攻击源的光网络单元进行处理,并跳转到步骤2。
步骤3.1、接收攻击探测步骤结果信息。
步骤3.2、判断攻击状态是否为被攻击状态,若是,则跳转到步骤3.3,若否则跳转到步骤3.2.1。
步骤3.2.1、确认攻击消失,恢复对攻击源光网络单元所做的处理,使其正常运作,跳转到步骤3.5。
步骤3.3、判断攻击级别是否为轻度,若是,则跳转到步骤3.4,若否则跳转到步骤3.3.1。
步骤3.3.1、级别为重,执行攻击源处理的动作配置中重度级别的处理流程,跳转到步骤3.5。
步骤3.4、执行攻击源处理的动作配置中轻度级别的处理流程,跳转到步骤3.5。
步骤3.5、将处理流程指令远程发送到光网络单元进行处理。
步骤3.6、判断光线路终端设备是否为以太无源光网络,若是则跳转到步骤3.7,若否则跳转到步骤3.8。
步骤3.7、通过营运管理与维护(OAM,Operation Administration andMaintenance)消息将指令发送至光网络单元设备,完成处理后跳转到步骤2。
步骤3.8、光线路终端设备是宽带无源光网络,并通过光网络终端管理和控制接口(omci,ONT(Optical Network Terminal) Management and Control Interface)消息将指令发送至光网络单元设备,完成处理后跳转到步骤2。
尽管本发明的内容已经通过上述优选实施例作了详细介绍,但应当认识到上述的描述不应被认为是对本发明的限制。在本领域技术人员阅读了上述内容后,对于本发明的多种修改和替代都将是显而易见的。因此,本发明的保护范围应由所附的权利要求来限定。

Claims (4)

1.一种用于无源光网络系统的智能防攻击方法,其特征在于,该方法包含以下步骤:
步骤1、配置当检测攻击存在时,对攻击源处理的动作;
步骤2、定时探测攻击是否发生,以及攻击行为所处的级别;若是则跳转到步骤3,若否则跳转到步骤2继续探测;
步骤2.1、探测任务运行,并统计上送光线路终端设备处理器的攻击报文数量;
步骤2.2、判断攻击报文是否达到轻度攻击门限,若是,则跳转到步骤2.3,若否则跳转到步骤2.7;
步骤2.3、记录攻击状态被攻击状态;
步骤2.4、判断攻击报文是否达到重度攻击门限,若是,则跳转到步骤2.5,若否,则记录攻击级别为轻度,并跳转到步骤2.6;
步骤2.5、记录攻击级别为重度;
步骤2.6、进行攻击源处理流程,跳转到步骤3;
步骤2.7、判断当前攻击状态是否为被攻击状态,若是则跳转到步骤2.8,若否则跳转到步骤2.1;
步骤2.8、判断是否连续三个周期都未达到轻度攻击门限,若是则跳转到步骤2.9,若否,则跳转到步骤2.1;
步骤2.9、记录攻击状态为攻击状态,跳转到步骤2.1继续探测;
步骤3、对攻击源的光网络单元进行处理,并跳转到步骤2。
2.如权利要求1所述的用于无源光网络系统的智能防攻击方法,其特征在于,所述的步骤1包含以下步骤:
步骤1.1、判断防攻击将攻击程度为轻度级别还是重度级别,若是轻度级别则跳转到步骤1.2,若是重度级别则跳转到步骤1.3;
步骤1.2、限制攻击源端口的带宽,跳转到步骤1.4;
步骤1.3、直接关闭攻击源的端口,或者将整个光网络单元下线,并且在一定时间内禁止登陆,跳转到步骤1.4;
步骤1.4、完成配置。
3.如权利要求1所述的用于无源光网络系统的智能防攻击方法,其特征在于,所述的步骤2中,探测周期为30秒。
4.如权利要求2所述的用于无源光网络系统的智能防攻击方法,其特征在于,所述的步骤3包含以下步骤:
步骤3.1、接收攻击探测步骤结果信息;
步骤3.2、判断攻击状态是否为被攻击状态,若是,则跳转到步骤3.3,若否则跳转到步骤3.2.1;
步骤3.2.1、确认攻击消失,恢复对攻击源光网络单元所做的处理,使其正常运作,跳转到步骤3.5;
步骤3.3、判断攻击级别是否为轻度,若是,则跳转到步骤3.4,若否则跳转到步骤3.3.1;
步骤3.3.1、级别为重,执行攻击源处理的动作配置中重度级别的处理流程,跳转到步骤3.5;
步骤3.4、执行攻击源处理的动作配置中轻度级别的处理流程,跳转到步骤3.5;
步骤3.5、将处理流程指令远程发送到光网络单元进行处理;
步骤3.6、判断光线路终端设备是否为以太无源光网络,若是则跳转到步骤3.7,若否则跳转到步骤3.8;
步骤3.7、通过营运管理与维护消息将指令发送至光网络单元设备,完成处理后跳转到步骤2;
步骤3.8、光线路终端设备是宽带无源光网络,并通过光网络终端管理和控制接口信息将指令发送至光网络单元设备,完成处理后跳转到步骤2。
CN201310677339.0A 2013-12-13 2013-12-13 一种用于无源光网络系统的智能防攻击方法 Active CN103716305B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201310677339.0A CN103716305B (zh) 2013-12-13 2013-12-13 一种用于无源光网络系统的智能防攻击方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201310677339.0A CN103716305B (zh) 2013-12-13 2013-12-13 一种用于无源光网络系统的智能防攻击方法

Publications (2)

Publication Number Publication Date
CN103716305A CN103716305A (zh) 2014-04-09
CN103716305B true CN103716305B (zh) 2019-12-20

Family

ID=50408888

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201310677339.0A Active CN103716305B (zh) 2013-12-13 2013-12-13 一种用于无源光网络系统的智能防攻击方法

Country Status (1)

Country Link
CN (1) CN103716305B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109039612B (zh) * 2018-09-11 2021-03-12 北京智芯微电子科技有限公司 软件定义光网络的安全交互方法及系统
CN113422787B (zh) * 2021-08-24 2021-11-09 广州乐盈信息科技股份有限公司 一种用于无源光网络系统的智能防攻击方法

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101459519A (zh) * 2009-01-08 2009-06-17 西安交通大学 一种基于网络流量的泛洪拒绝服务攻击防御方法
CN101483515A (zh) * 2009-02-26 2009-07-15 杭州华三通信技术有限公司 Dhcp攻击防护方法和客户端设备
CN102026199A (zh) * 2010-12-03 2011-04-20 中兴通讯股份有限公司 一种WiMAX系统及其防御DDoS攻击的装置和方法
CN102111394A (zh) * 2009-12-28 2011-06-29 成都市华为赛门铁克科技有限公司 网络攻击防护方法、设备及系统

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101459519A (zh) * 2009-01-08 2009-06-17 西安交通大学 一种基于网络流量的泛洪拒绝服务攻击防御方法
CN101483515A (zh) * 2009-02-26 2009-07-15 杭州华三通信技术有限公司 Dhcp攻击防护方法和客户端设备
CN102111394A (zh) * 2009-12-28 2011-06-29 成都市华为赛门铁克科技有限公司 网络攻击防护方法、设备及系统
CN102026199A (zh) * 2010-12-03 2011-04-20 中兴通讯股份有限公司 一种WiMAX系统及其防御DDoS攻击的装置和方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
EPON系统安全机制研究及实现;杨宗凯;《重庆邮电学院学报(2006)》;20061015(第5期);全文 *

Also Published As

Publication number Publication date
CN103716305A (zh) 2014-04-09

Similar Documents

Publication Publication Date Title
CN106533805B (zh) 一种微服务请求处理方法、微服务控制器及微服务架构
CN106301544B (zh) 光网络单元onu掉电告警信息的处理方法及装置
EP2800024A1 (en) System and methods for identifying applications in mobile networks
US9363013B2 (en) Mitigating rogue optical network unit (ONU) behavior in a passive optical network (PON)
JP2016027752A (ja) 光ネットワークユニット検出方法および装置、ならびに受動光ネットワークシステム
CN106301837B (zh) 无源光网络告警检测方法及装置
JP6431184B2 (ja) Ponにおける不正なonuを決定するための方法および装置
CN102932380A (zh) 基于内容分发网络的分布式防恶意攻击方法和系统
CN103747512A (zh) 数据业务的处理方法、处理系统和终端
US20170187452A1 (en) Method and apparatus for processing upstream data anomaly
CN103716305B (zh) 一种用于无源光网络系统的智能防攻击方法
WO2016139910A1 (ja) 通信システム、通信方法、及びプログラムを格納した非一時的なコンピュータ可読媒体
KR102061498B1 (ko) 슬립모드 onu 제어 기법
CN104104542B (zh) 一种基于rs485的实时智能排障方法
CN105791027B (zh) 一种工业网络异常中断的检测方法
EP3220557A1 (en) Burr removing method and apparatus for optical signal loss signal
JP6551893B2 (ja) 不正光ネットワークユニットを検出するための方法、装置およびシステム
EP3089400A1 (en) Optical network unit (onu) data processing method, device and system
CN102098174A (zh) 电网监控系统的安全通信方法及系统
KR101927100B1 (ko) 순환 신경망 기반 네트워크 패킷의 위험요소 분석 방법, 이를 수행하는 순환 신경망 기반 네트워크 패킷의 위험요소 분석 장치
CN105991320B (zh) 无源光网络设备告警信息处理方法及光线路终端
US9705809B2 (en) Method and device for adjusting rate of data transmission in Ethernet
CN110166858B (zh) Pon网络的onu自适应切换方法
CN104410643A (zh) 一种sdn控制器基于统计值的防攻击方法
US20080138062A1 (en) Automatic ONT Self Disabling System, Method, and Computer Readable Medium

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20201104

Address after: 318015 no.2-3167, zone a, Nonggang City, no.2388, Donghuan Avenue, Hongjia street, Jiaojiang District, Taizhou City, Zhejiang Province

Patentee after: Taizhou Jiji Intellectual Property Operation Co.,Ltd.

Address before: 201620 Shanghai city Songjiang District Guangfulin road 4855 Lane 20, No. 90

Patentee before: Phicomm (Shanghai) Co.,Ltd.

EE01 Entry into force of recordation of patent licensing contract
EE01 Entry into force of recordation of patent licensing contract

Application publication date: 20140409

Assignee: Hangzhou Bolian Intelligent Technology Co.,Ltd.

Assignor: Taizhou Jiji Intellectual Property Operation Co.,Ltd.

Contract record no.: X2021330000763

Denomination of invention: An intelligent anti attack method for passive optical network system

Granted publication date: 20191220

License type: Common License

Record date: 20211117

Application publication date: 20140409

Assignee: ZHEJIANG SUPCON TECHNOLOGY Co.,Ltd.

Assignor: Taizhou Jiji Intellectual Property Operation Co.,Ltd.

Contract record no.: X2021330000764

Denomination of invention: An intelligent anti attack method for passive optical network system

Granted publication date: 20191220

License type: Common License

Record date: 20211117

TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20230913

Address after: Building 5, Guohua Times Square, No. 29666 Youyou Road, Shizhong District, Jinan City, Shandong Province, 250002

Patentee after: Shandong Future Group Co.,Ltd.

Address before: 318015 no.2-3167, area a, nonggangcheng, 2388 Donghuan Avenue, Hongjia street, Jiaojiang District, Taizhou City, Zhejiang Province

Patentee before: Taizhou Jiji Intellectual Property Operation Co.,Ltd.