CN105208022A - 报警信息生成方法及装置 - Google Patents
报警信息生成方法及装置 Download PDFInfo
- Publication number
- CN105208022A CN105208022A CN201510583765.7A CN201510583765A CN105208022A CN 105208022 A CN105208022 A CN 105208022A CN 201510583765 A CN201510583765 A CN 201510583765A CN 105208022 A CN105208022 A CN 105208022A
- Authority
- CN
- China
- Prior art keywords
- corresponding relation
- private network
- access
- warning message
- terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
Abstract
本发明公开了一种报警信息生成方法及装置,属于网络安全领域。所述方法包括:接收用于请求专网服务的访问请求包,访问请求包的包头中携带终端的终端标识和所请求访问的专网服务的服务标识;计算具有该终端标识的终端对具有该服务标识的专网服务进行访问的访问速率;当访问速率达到预定速率阈值时,则生成报警信息,并将该报警信息发送至MME,该报警信息用于触发该MME限制具有该终端标识的终端对与具有该服务标识的专网服务进行访问的访问速度。本发明解决了相关技术中在通过用户身份认证以防止服务进行泛洪攻击时,无法避免用户成功入网后进行的恶意攻击的问题;达到了可以有效避免对专网服务进行的泛洪攻击的效果。
Description
技术领域
本发明涉及网络安全领域,特别涉及一种报警信息生成方法及装置。
背景技术
一体化标识网络将网络分为接入网与骨干网,引入了接入网标识(AccessIdentifier,AID)与路由标识(RoutingIdentifier,RID),从根本上解决了互联网协议地址(InternetProtocolAddress,IP)双重属性的问题,且能很好的与现有的互联网与网络架构进行融合。
LTE(LongTermEvolution,长期演进)网络架构是基于IP的回程,随着越来越多的基于IP的通信进入移动基础设施,LTE网络架构也变得更易受到来自互联网的攻击。而一体化标识网络中提出了基础设施层和普适服务层分离的概念,这种分层使得在一体化标识网络内部通信时不再基于IP,因此为了降低因基于IP导致的攻击,可以将LTE网络与一体化标识网络进行融合。
其中,普适服务层负责各种业务的会话、控制和管理,这些业务包括由运营商或第三方增值服务商提供的各种网络业务,主要是语音、数据、流媒体等。普适服务层创建了虚拟服务部分、虚拟连接部分、服务标识解析映射以及连接标识解析映射,以实现对各种业务的统一控制和管理等。虚拟服务部分引入服务标识(英文:ServiceIdentification,简称:SID)来描述和表示多种业务的服务;虚拟连接部分为每个业务提供多种连接;服务标识解析映射将服务对象映射到多个服务连接,以支持多种业务;连接标识解析映射将服务连接映射到基础设施层的多个连接,体现了一次服务可对应多个连接、多种路径选择的思想,从而使服务的实现更加可靠。
通过上述层面的分离,当终端需要某种服务时,可以不再需要该服务所在的IP地址,而是直接请求该项服务的服务标识。但该种请求访问的方式亦会带来特殊的安全问题,如对服务进行的泛洪攻击等。
为了避免终端对服务的攻击,相关技术中采用的方式是对用户的身份进行认证,只有认证通过的用户才可以入网访问。但此方法并不能抵御用户接入专网后进行的恶意攻击行为,比如,当合法用户被黑客当作傀儡主机对专网发起攻击时,因该方法已经完成了对身份的认证,并无后续处理机制,专网安全仍可能被长时间攻击导致瘫痪。
发明内容
为了解决相关技术中在通过用户身份认证以防止服务进行泛洪攻击时,无法避免用户成功入网后进行的恶意攻击的问题,本发明实施例提供了一种报警信息生成方法及装置。所述技术方案如下:
第一方面,提供了一种报警信息生成方法,应用于位于一体化标识网络中的专网路由器中,所述方法包括:
接收用于请求专网服务的访问请求包,所述访问请求包的包头中携带终端的终端标识和所请求访问的专网服务的服务标识;
计算具有所述终端标识的终端对具有所述服务标识的专网服务进行访问的访问速率;
当所述访问速率达到预定速率阈值时,则生成报警信息,并将所述报警信息发送至移动管理实体MME,所述报警信息用于触发所述MME限制具有所述终端标识的终端对与具有所述服务标识的专网服务进行访问的访问速度。
可选的,所述方法还包括:
对所述访问请求包进行解析,得到所述访问请求包的包头中携带的所述终端标识和所述服务标识;
若所述专网路由器已经存储有包含所述终端标识和所述服务标识的对应关系,则将与所述对应关系对应的计数值累加,记录累加时的时刻,所述计数值用于指示接收到的具有所述终端标识和所述服务标识的访问请求包的数量;
若所述专网路由器尚未存储有包含所述终端标识和所述服务标识的对应关系,则将所述终端标识和所述服务标识作为一组对应关系进行存储,设置与所述对应关系对应的计数值为初始值,记录存储时的时刻。
可选的,所述计算具有所述终端标识的终端对具有所述服务标识的专网服务进行访问的访问速率,包括:
确定同时具有所述终端标识和所述服务标识的对应关系;
获取所述对应关系的计数值;
获取与所述对应关系对应的最早的记录时刻和最晚的记录时刻,所述记录时刻为存储所述对应关系的时刻,或者累加所述对应关系的计数值的时刻;
将所述最晚的记录时刻减去所述最早的记录时刻,得到与所述对应关系对应的记录时长;
将所述计数值除以所述记录时长,得到所述访问速率。
可选的,所述访问请求包的包头中还携带为所述终端分配的内网标识RID,所述报警信息中包含所述RID、所述终端标识、所述服务标识以及限制策略,
所述将所述报警信息发送至移动管理实体MME,包括:
向具有所述RID的路由器发送所述报警信息,所述报警信息用于触发所述路由器查询与所述RID对应的外网标识AID,将所述报警信息的所述RID更改为所述AID,向所述MME发送更改后的所述报警信息,更改后的所述报警信息用于触发所述MME限制具有所述终端标识的终端对所述专网服务的访问速度。
可选的,所述方法还包括:
每隔预定时间间隔,清除访问速率低于预定阈值的对应关系,或者,清除预定个对应关系,被清除的所述预定个对应关系的访问速率低于未被清除的对应关系的访问速率。
第二方面,提供了一种报警信息生成装置,应用于位于一体化标识网络中的专网路由器中,所述装置包括:
接收模块,用于接收用于请求专网服务的访问请求包,所述访问请求包的包头中携带终端的终端标识和所请求访问的专网服务的服务标识;
计算模块,用于计算具有所述终端标识的终端对具有所述服务标识的专网服务进行访问的访问速率;
生成模块,用于在所述计算模块计算得到所述访问速率达到预定速率阈值时,则生成报警信息;
发送模块,用于将所述生成模块生成的所述报警信息发送至移动管理实体MME,所述报警信息用于触发所述MME限制具有所述终端标识的终端对与具有所述服务标识的专网服务进行访问的访问速度。
可选的,所述装置还包括:
解析模块,用于对所述访问请求包进行解析,得到所述访问请求包的包头中携带的所述终端标识和所述服务标识;
累加模块,用于在所述专网路由器已经存储有包含所述终端标识和所述服务标识的对应关系时,将与所述对应关系对应的计数值累加,记录累加时的时刻,所述计数值用于指示接收到的具有所述终端标识和所述服务标识的访问请求包的数量;
存储模块,用于在所述专网路由器尚未存储有包含所述终端标识和所述服务标识的对应关系时,将所述终端标识和所述服务标识作为一组对应关系进行存储,设置与所述对应关系对应的计数值为初始值,记录存储时的时刻。
可选的,所述计算模块,包括:
确定单元,用于确定同时具有所述终端标识和所述服务标识的对应关系;
第一获取单元,用于获取所述确定单元确定出的所述对应关系的计数值;
第二获取单元,用于获取与所述确定单元确定出的所述对应关系对应的最早的记录时刻和最晚的记录时刻,所述记录时刻为存储所述对应关系的时刻,或者累加所述对应关系的计数值的时刻;
第一计算单元,用于将所述第二获取单元获取到的所述最晚的记录时刻减去所述第二获取单元获取到的所述最早的记录时刻,得到与所述对应关系对应的记录时长;
第二计算单元,用于将所述第一获取单元获取的所述计数值除以所述第一计算单元计算得到的所述记录时长,得到所述访问速率。
可选的,所述访问请求包的包头中还携带为所述终端分配的内网标识RID,所述报警信息中包含所述RID、所述终端标识、所述服务标识以及限制策略,
所述发送模块,还用于:
向具有所述RID的路由器发送所述报警信息,所述报警信息用于触发所述路由器查询与所述RID对应的外网标识AID,将所述报警信息的所述RID更改为所述AID,向所述MME发送更改后的所述报警信息,更改后的所述报警信息用于触发所述MME限制具有所述终端标识的终端对所述专网服务的访问速度。
可选的,所述装置还包括:
清除模块,用于每隔预定时间间隔,清除访问速率低于预定阈值的对应关系,或者,清除预定个对应关系,被清除的所述预定个对应关系的访问速率低于未被清除的对应关系的访问速率。
本发明实施例提供的技术方案带来的有益效果是:
通过在专网路由器中计算同一个终端请求访问同一个专网服务的访问速率,在访问速率过高时,限制该终端访问该专网服务的访问速度;由于访问速率过高,通常意味着泛洪攻击,在通知MME限制终端对专网服务的访问速度,可以降低对专网服务的泛洪攻击,因此解决了相关技术中在通过用户身份认证以防止服务进行泛洪攻击时,无法避免用户成功入网后进行的恶意攻击的问题;达到了可以有效避免对专网服务进行的泛洪攻击的效果。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明一个实施例中提供的报警信息生成方法所涉及的网络架构图;
图2是本发明一个实施例中提供的报警信息生成方法的方法流程图;
图3A是本发明另一个实施例中提供的报警信息生成方法的方法流程图;
图3B是本发明一个实施例中提供的在计算终端对专网服务进行访问的访问速率时的方法流程图;
图4A是本发明一个实施例中提供的在融合网络中实现报警信息生成方法的方法流程图;
图4B是本发明另一个实施例中提供的在融合网络中实现报警信息生成方法的方法流程图;
图5是本发明一个实施例中提供的报警信息生成装置的结构方框图;
图6是本发明另一个实施例中提供的报警信息生成装置的结构方框图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方式作进一步地详细描述。
图1是本发明一个实施例中提供的报警信息生成方法所涉及的网络架构图。该网络架构包括接入网络110和一体化标识网络120。
这里所讲的接入网络110可以为LTE网络。
接入网络110中包括至少一个用户所持有的终端111,这里所讲的终端111可以包括智能手机,具有移动通讯功能的平板电脑、多媒体播放器或可穿戴式设备等。
接入网络110中还包括基站112、移动管理实体(英文:MobilityManagementEntity,简称:MME)113、服务网关(英文:ServingGateWay,简称:SGW)114、SID解析服务器115。
基站112用于连接终端111,终端111可以向MME113请求PDN(PublicDataNetwork,公用数据网)连接请求,MME113用于对终端111上登录的用户进行身份认证,并向基站112发送对终端111进行的相关策略。
SGW114用于通过路由转发终端111发送的访问数据包。
SID解析服务器115为终端111发送的访问数据包中的SID配置相关的AID,以便访问数据包在LTE网络中正确传输。
一体化标识网络120中包括专网路由器121、专网服务器122和映射服务器123。
专网路由器121与其他专网路由器或者专网服务器122进行连接。
此外,在上述网络架构中,还包括用于连接接入网络110和一体化标识网络120的移动专网安全网关130,该移动专网安全网关130可以为PGW(PDNGateWay,PDN网关)或者路由器。
移动专网安全网关130可以通过映射服务器123为接入网络110中的外网标识AID配置可供在一体化标识网络120中识别的内网标识RID。
下面各个实施例中均以应用于图1所示的网络架构中进行举例说明。
图2是本发明一个实施例中提供的报警信息生成方法的方法流程图,该报警信息生成方法应用于图1所示的网络架构中的专网路由器121中。该报警信息生成方法包括如下步骤:
在步骤201中,接收用于请求专网服务的访问请求包,该访问请求包的包头中携带终端的终端标识和所请求访问的专网服务的服务标识。
在步骤202中,计算具有该终端标识的终端对具有该服务标识的专网服务进行访问的访问速率。
在步骤203中,当该访问速率达到预定速率阈值时,则生成报警信息,并将该报警信息发送至移动管理实体MME,该报警信息用于触发该MME限制具有该终端标识的终端对与具有该服务标识的专网服务进行访问的访问速度。
综上所述,本发明实施例中提供的报警信息生成方法,通过在专网路由器中计算同一个终端请求访问同一个专网服务的访问速率,在访问速率过高时,限制该终端访问该专网服务的访问速度;由于访问速率过高,通常意味着泛洪攻击,在通知MME限制终端对专网服务的访问速度,可以降低对专网服务的泛洪攻击,因此解决了相关技术中在通过用户身份认证以防止服务进行泛洪攻击时,无法避免用户成功入网后进行的恶意攻击的问题;达到了可以有效避免对专网服务进行的泛洪攻击的效果。
图3A是本发明另一个实施例中提供的报警信息生成方法的方法流程图,该报警信息生成方法应用于图1所示的网络架构中的专网路由器121中。该报警信息生成方法包括如下步骤:
在步骤301中,接收用于请求专网服务的访问请求包,该访问请求包的包头中携带终端的终端标识和所请求访问的专网服务的服务标识。
这里的终端标识可以为用于唯一标识终端的标识,比如终端所具有的IMSI码(InternationalMobileSubscriberIdentificationNumber,国际移动用户识别码)。当用户通过终端进行访问时,该终端标识还可以为进行访问的用户的标识UID(全称:UserIdentification)
不论是终端的标识还是用户的标识,在进行泛洪攻击时,均应当被禁止攻击。
在基于转发服务的访问时,终端会发送用于请求专网服务的访问请求包,一般来讲,终端会利用终端标识发送具有专网服务的SID的访问请求包。
可选的,该访问请求包的包头中可以携带终端的终端标识和所请求访问的专网服务的SID。
可选的,该访问请求包中还可以携带在内网传送所需的RID。
在步骤302中,对该访问请求包进行解析,得到该访问请求包的包头中携带的该终端标识和该服务标识。
当专网路由器接收到访问请求包后,会记录与访问请求包对应的相关信息。
可选的,专网路由器可以对访问请求包的包头进行解析,得到包头中携带的终端标识和SID。
在步骤303中,若该专网路由器已经存储有包含该终端标识和该服务标识的对应关系,则将与该对应关系对应的计数值累加,记录累加时的时刻。
这里与对应关系对应的计数值用于指示接收到的具有该终端标识和该服务标识的访问请求包的数量。
也就是说,每当接收携带相同终端标识和服务标识的访问请求包后,与保护该终端标识和服务标识的对应关系的计数值就会被累加。
若该专网路由器已经存储有包含该终端标识和该服务标识的对应关系,表明接收过具有该终端标识的终端发送的请求具有该服务标识的专网服务的访问请求包,此时,则将与该对应关系对应的计数值累加。
可选的,专网路由器可以将各个对应关系存储至SID状态表中,该SID状态表包括至少一组对应关系,每组对应关系至少包括终端标识、SID和RID,可选的,对应关系还可以包括访问速率。
SID状态表存储格式如下表1:
表1
在累加计数值之后,记录下累加该对应关系所对应的计数值时的时刻,该时刻称为记录时刻。
在步骤304中,若该专网路由器尚未存储有包含该终端标识和该服务标识的对应关系,则将该终端标识和该服务标识作为一组对应关系进行存储,设置与该对应关系对应的计数值为初始值,记录存储时的时刻。
若该专网路由器尚未存储有包含该终端标识和该服务标识的对应关系,则表明专网路由器尚未接收过具有该终端标识的终端发送的请求具有该服务标识的专网服务的访问请求包,此时,为了后期判定该终端是否存在对该专网服务的攻击,则先将该终端标识和该服务标识作为一组对应关系进行存储。
在实际实现时,由于专网路由器是在存储对应关系时,设置与该对应关系对应的计数值,而专网路由器在存储对应关系,表明已经接收到了一个与该对应关系对应的访问请求包,因此在为对应关系设置计数值的初始值,通常可以设置为1,以表明已经接收到了一个与该对应关系对应的访问请求包。
在将该终端标识和该服务标识作为一组对应关系进行存储后,记录存储该对应关系的存储时刻,该时刻称为记录时刻。
在步骤305中,计算具有该终端标识的终端对具有该服务标识的专网服务进行访问的访问速率。
可选的,为了尽可能避免对专网服务的泛洪攻击,可以每隔预定时长计算终端对专网服务进行访问的访问速率。
这里所讲的预定时长可以由路由器的计算能力和对泛洪攻击的容忍度来限定,比如路由器的计算能力较弱时,该预定时长则可以设置的较长些,还比如,对泛洪攻击的容忍度较低时,该预定时长则可以设置的较短些。本实施例不对预定时长的具体取值进行限定。
在每隔预定时长所对应的计算时刻,专网路由器会为各组对应关系进行访问速率的计算。
在一种可能的实现方式中,专网路由器在计算终端对专网服务进行访问的访问速率时,可以参见图3B中的各个步骤。
在步骤305a中,确定同时具有该终端标识和该服务标识的对应关系。
专网路由器获取存储的各个对应关系,每个对应关系具有不同的终端标识或不同的服务标识。
在步骤305b中,获取该对应关系的计数值。
在计算一个对应关系所对应的访问速率时,可以先获取该对应关系的计数值。
在步骤305c中,获取与该对应关系对应的最早的记录时刻和最晚的记录时刻。
这里所讲的记录时刻为存储该对应关系的时刻,或者累加该对应关系的计数值的时刻。
由步骤303和步骤304可知,每个对应关系在存储和累积时均记录有存储时和累积时的时刻。而实际应用中,最早的记录时刻通常为存储该对应关系的时刻,最晚的记录时刻通常为最好一次累加该对应关系的计数值的时刻。
由于访问速率是根据选定的时长内的访问数量来计算的,而对应关系的计数值是从最早的记录时刻开始累加至最晚的记录时刻结束的,因此可以先获取对应关系中最早的记录时刻和最晚的记录时刻,以确定与计数值对应的时长。
在步骤305d中,将该最晚的记录时刻减去该最早的记录时刻,得到与该对应关系对应的记录时长。
在步骤305e中,将该计数值除以该记录时长,得到该访问速率。
最早的记录时刻通常为存储对应关系的存储时刻,而最晚的记录时刻通常为最后一次累加对应关系的计数值的累加时刻,也即,对应关系的计数值可以代表从最早的记录时刻到最晚的记录时刻期间,该专网路由器接收到的与该对应关系对应的访问请求包的数量。
在步骤306中,当该访问速率达到预定速率阈值时,则生成报警信息,并将该报警信息发送至移动管理实体MME,该报警信息用于触发该MME限制具有该终端标识的终端对与具有该服务标识的专网服务进行访问的访问速度。
这里所讲的预定速率阈值可以根据实际情况进行设定,比如可以为30/s。本实施例不对预定速率阈值的具体取值进行限定。
可选的,访问请求包的包头中还携带为终端分配的RID,该报警信息中包含该RID、该终端标识、该SID以及限制策略。
该将该报警信息发送至移动管理实体MME时,可以向具有该RID的路由器发送该报警信息,该报警信息用于触发该路由器查询与该RID对应的外网标识AID,将该报警信息的该RID更改为该AID,向该MME发送更改后的该报警信息,更改后的该报警信息用于触发该MME限制具有该终端标识的终端对该专网服务的访问速度。
需要补充说明的是,在每次计算一个对应关系所对应的访问速率后,可以将最新计算得到的访问速率替换该对应关系所对应的原有的访问速率后进行存储。
综上所述,本发明实施例中提供的报警信息生成方法,通过在专网路由器中计算同一个终端请求访问同一个专网服务的访问速率,在访问速率过高时,限制该终端访问该专网服务的访问速度;由于访问速率过高,通常意味着泛洪攻击,在通知MME限制终端对专网服务的访问速度,可以降低对专网服务的泛洪攻击,因此解决了相关技术中在通过用户身份认证以防止服务进行泛洪攻击时,无法避免用户成功入网后进行的恶意攻击的问题;达到了可以有效避免对专网服务进行的泛洪攻击的效果。
在一种可能的实现场景中,为了避免专网路由器中用于存储上述对应关系的状态表溢出,需要定时清除存储的部分对应关系。在实际实现时,可以每隔预定时间间隔,清除访问速率低于预定阈值的对应关系,或者,清除预定个对应关系,被清除的这些预定个对应关系的访问速率低于未被清除的对应关系的访问速率。
在清除对应关系时,会清除对应关系中存储的终端标识、SID、RID,还会清除与对应关系对应的记录时刻以及计数值、访问速率等。
由于访问速率较低的终端在访问专网服务时存在泛洪攻击的可能性比较小,相对安全,因此在清除对应关系时,可以将访问速率较低的对应关系进行清除。
基于服务请求的通信方式不同传统基于地址的通信方式:首先终端发出的访问请求包格式不同,访问请求包中所包含的字段主要包括SID、终端标识及其他各项;其次通信流程存在差异,用户发出的基于服务请求的访问请求包,需要先经过SID解析服务器,来解析访问请求包中的SID字段,并将SID对应的AID或AID组合返回给终端,然后终端再用对应的AID请求通信。第三,当访问请求包传输到移动专网安全网关时,访问请求包中的AID字段将被替换成RID,该RID由映射服务器为相应的AID分配。下图4A详细描述了基于服务请求的通信流程。
图4A是本发明一个实施例中提供的在融合网络中实现报警信息生成方法的方法流程图。在融合网络中实现报警信息生成方法包括如下步骤:
在步骤401中,终端向MME发送PDN连接请求。
在步骤402中,MME向SGW发送会话请求。
在步骤403中,SGW向移动专网安全网关发送创建会话请求。
在步骤404中,移动专网安全网关向映射服务器发送请求映射关系。
在步骤405中,映射服务器向移动专网安全网关分配映射关系。
在步骤406中,移动专网安全网关向SGW发送创建会话响应。
在步骤407中,SGW向MME发送创建会话响应。
在步骤408中,MME向基站发送承载PDN连接请求。
在步骤409中,基站向终端发送无线资源控制连接重配置。
这里所讲的无线资源控制为RRC(英文RadioResourceControl)。
在步骤410中,终端向SID解析服务器发送SID解析请求。
在步骤411中,SID解析服务器向终端反馈SID解析请求响应。
SID解析服务器中会存储有SID和AID之间的对应关系,SID解析服务器在向终端反馈SID解析请求响应中会携带该SID对应的AID,以便于终端通过AID在接入网以及一体化网络中进行访问。
上述步骤401至步骤411是终端请求访问专网服务时的认证过程,是本领域普通技术人员都能够实现的,本实施例对各个步骤的具体实现不再详述。
为了避免对专网服务的泛洪攻击,在步骤411后,对终端请求访问专网服务的访问数据包进行解析,判定该终端是否存在对专网服务进行泛洪攻击的行为,具体步骤可以参见对下图4B的描述。
图4B是本发明另一个实施例中提供的在融合网络中实现报警信息生成方法的方法流程图。在融合网络中实现报警信息生成方法包括如下步骤:
在步骤412中,终端向SGW发送请求SID服务的访问请求包。
该访问请求包中会携带请求访问的专网服务的SID以及步骤411中查询到的AID。
在步骤413中,SGW向移动专网安全网关转发访问请求包。
在步骤414中,移动专网安全网关将该访问请求包转发至SID服务器。
由于移动专网安全网关是连接接入网络和一体化网络的网关,为了能保证访问请求包可以在一体化网络中传输,需要将访问请求包中携带的AID替换为为其分配的RID。
在步骤415中,专网路由器记录SID请求,在终端大量异常请求时,专网路由器确定该终端访问同一个SID服务的速率是否达到预定速率阈值。
专网路由器根据从SGW接收到的访问请求包,记录SID请求的相关信息,也即记录上述实施例中讲述的对应关系中的各个信息。
在步骤416中,专网路由器在确定该终端访问同一个SID服务的速率是否达到预定速率阈值后,向移动专网安全网关发送异常SID信息。
这里所讲的异常SID信息即为上述实施例中讲述的报警信息,或者,异常SID信息中携带有报警信息中携带的字段。
上述报警信息或者异常SID信息的字段可以参加下表2:
UID/IMSI | SID | RID |
TODO | Date | Option |
表2
表2中,字段RID为用户内网标识(即路由标识);SID为发生异常的服务标识;字段UID为发起攻击用户的用户专用标识,也可以替换为终端标识MISI码;字段TODO为SGSN需执行的操作,包括直接断开连接,要求用户输入验证码,和限制TCP连接数等;字段Date为判定时间;字段OPTION为可选项。
在步骤417中,移动专网安全网关将异常SID所属的RID映射到AID,并向SGW发送异常SID信息。
该异常SID信息中携带AID。
在步骤418中,SGW向MME返回该异常SID信息。
在步骤419中,MME限制该SID接入速率,向基站发送限制信息。
在步骤420中,基站限制终端请求该SID服务的速度。
通过步骤414至步骤420实现了对请求SID服务的异常监控,并在确定请求SID服务异常时,限制终端访问该SID服务的速度。
下面为本发明中的装置实施例,对于装置实施例中未详尽描述的细节,可以结合参考上述一一对应的方法实施例。
图5是本发明一个实施例中提供的报警信息生成装置的结构方框图,该报警信息生成装置应用于图1所示的网络架构中的专网路由器121中。该报警信息生成装置包括:接收模块510、计算模块520、生成模块530和发送模块540。
接收模块510,用于接收用于请求专网服务的访问请求包,该访问请求包的包头中携带终端的终端标识和所请求访问的专网服务的服务标识;
计算模块520,用于计算具有该终端标识的终端对具有该服务标识的专网服务进行访问的访问速率;
生成模块530,用于在该计算模块520计算得到该访问速率达到预定速率阈值时,则生成报警信息;
发送模块540,用于将该生成模块530生成的该报警信息发送至移动管理实体MME,该报警信息用于触发该MME限制具有该终端标识的终端对与具有该服务标识的专网服务进行访问的访问速度。
在一种可能的实现方式中,请参见图6所示,其是本发明另一个实施例中提供的报警信息生成装置的结构方框图,在图6中,该报警信息生成装置还可以包括:
解析模块550,用于对该访问请求包进行解析,得到该访问请求包的包头中携带的该终端标识和该服务标识;
累加模块560,用于在该专网路由器已经存储有包含该终端标识和该服务标识的对应关系时,将与该对应关系对应的计数值累加,记录累加时的时刻,该计数值用于指示接收到的具有该终端标识和该服务标识的访问请求包的数量;
存储模块570,用于在该专网路由器尚未存储有包含该终端标识和该服务标识的对应关系时,将该终端标识和该服务标识作为一组对应关系进行存储,设置与该对应关系对应的计数值为初始值,记录存储时的时刻。
在一种可能的实现方式中,仍旧参见图6所示,该计算模块520,包括:确定单元521、第一获取单元522、第二获取单元523、第一计算单元524和第二计算单元525。
确定单元521,用于确定同时具有该终端标识和该服务标识的对应关系;
第一获取单元522,用于获取该确定单元521确定出的该对应关系的计数值;
第二获取单元523,用于获取与该确定单元521确定出的该对应关系对应的最早的记录时刻和最晚的记录时刻,该记录时刻为存储该对应关系的时刻,或者累加该对应关系的计数值的时刻;
第一计算单元524,用于将该第二获取单元523获取到的该最晚的记录时刻减去该第二获取单元获取到的该最早的记录时刻,得到与该对应关系对应的记录时长;
第二计算单元525,用于将该第一获取单元522获取的该计数值除以该第一计算单元524计算得到的该记录时长,得到该访问速率。
在一种可能的实现方式中,该访问请求包的包头中还携带为该终端分配的内网标识RID,该报警信息中包含该RID、该终端标识、该服务标识以及限制策略,
该发送模块540,还用于:
向具有该RID的路由器发送该报警信息,该报警信息用于触发该路由器查询与该RID对应的外网标识AID,将该报警信息的该RID更改为该AID,向该MME发送更改后的该报警信息,更改后的该报警信息用于触发该MME限制具有该终端标识的终端对该专网服务的访问速度。
在一种可能的实现方式中,仍旧参见图6所示,该报警信息生成装置还可以包括:
清除模块580,用于每隔预定时间间隔,清除访问速率低于预定阈值的对应关系,或者,清除预定个对应关系,被清除的该预定个对应关系的访问速率低于未被清除的对应关系的访问速率。
综上所述,本发明实施例中提供的报警信息生成装置,通过在专网路由器中计算同一个终端请求访问同一个专网服务的访问速率,在访问速率过高时,限制该终端访问该专网服务的访问速度;由于访问速率过高,通常意味着泛洪攻击,在通知MME限制终端对专网服务的访问速度,可以降低对专网服务的泛洪攻击,因此解决了相关技术中在通过用户身份认证以防止服务进行泛洪攻击时,无法避免用户成功入网后进行的恶意攻击的问题;达到了可以有效避免对专网服务进行的泛洪攻击的效果。
需要说明的是:上述实施例中提供的报警信息生成装置在生成报警信息时,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将专网路由器的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。另外,上述实施例提供的报警信息生成装置与报警信息生成方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种报警信息生成方法,其特征在于,应用于位于一体化标识网络中的专网路由器中,所述方法包括:
接收用于请求专网服务的访问请求包,所述访问请求包的包头中携带终端的终端标识和所请求访问的专网服务的服务标识;
计算具有所述终端标识的终端对具有所述服务标识的专网服务进行访问的访问速率;
当所述访问速率达到预定速率阈值时,则生成报警信息,并将所述报警信息发送至移动管理实体MME,所述报警信息用于触发所述MME限制具有所述终端标识的终端对与具有所述服务标识的专网服务进行访问的访问速度。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
对所述访问请求包进行解析,得到所述访问请求包的包头中携带的所述终端标识和所述服务标识;
若所述专网路由器已经存储有包含所述终端标识和所述服务标识的对应关系,则将与所述对应关系对应的计数值累加,记录累加时的时刻,所述计数值用于指示接收到的具有所述终端标识和所述服务标识的访问请求包的数量;
若所述专网路由器尚未存储有包含所述终端标识和所述服务标识的对应关系,则将所述终端标识和所述服务标识作为一组对应关系进行存储,设置与所述对应关系对应的计数值为初始值,记录存储时的时刻。
3.根据权利要求2所述的方法,其特征在于,所述计算具有所述终端标识的终端对具有所述服务标识的专网服务进行访问的访问速率,包括:
确定同时具有所述终端标识和所述服务标识的对应关系;
获取所述对应关系的计数值;
获取与所述对应关系对应的最早的记录时刻和最晚的记录时刻,所述记录时刻为存储所述对应关系的时刻,或者累加所述对应关系的计数值的时刻;
将所述最晚的记录时刻减去所述最早的记录时刻,得到与所述对应关系对应的记录时长;
将所述计数值除以所述记录时长,得到所述访问速率。
4.根据权利要求1所述的方法,其特征在于,所述访问请求包的包头中还携带为所述终端分配的内网标识RID,所述报警信息中包含所述RID、所述终端标识、所述服务标识以及限制策略,
所述将所述报警信息发送至移动管理实体MME,包括:
向具有所述RID的路由器发送所述报警信息,所述报警信息用于触发所述路由器查询与所述RID对应的外网标识AID,将所述报警信息的所述RID更改为所述AID,向所述MME发送更改后的所述报警信息,更改后的所述报警信息用于触发所述MME限制具有所述终端标识的终端对所述专网服务的访问速度。
5.根据权利要求1至4中任一所述的方法,其特征在于,所述方法还包括:
每隔预定时间间隔,清除访问速率低于预定阈值的对应关系,或者,清除预定个对应关系,被清除的所述预定个对应关系的访问速率低于未被清除的对应关系的访问速率。
6.一种报警信息生成装置,其特征在于,应用于位于一体化标识网络中的专网路由器中,所述装置包括:
接收模块,用于接收用于请求专网服务的访问请求包,所述访问请求包的包头中携带终端的终端标识和所请求访问的专网服务的服务标识;
计算模块,用于计算具有所述终端标识的终端对具有所述服务标识的专网服务进行访问的访问速率;
生成模块,用于在所述计算模块计算得到所述访问速率达到预定速率阈值时,则生成报警信息;
发送模块,用于将所述生成模块生成的所述报警信息发送至移动管理实体MME,所述报警信息用于触发所述MME限制具有所述终端标识的终端对与具有所述服务标识的专网服务进行访问的访问速度。
7.根据权利要求6所述的装置,其特征在于,所述装置还包括:
解析模块,用于对所述访问请求包进行解析,得到所述访问请求包的包头中携带的所述终端标识和所述服务标识;
累加模块,用于在所述专网路由器已经存储有包含所述终端标识和所述服务标识的对应关系时,将与所述对应关系对应的计数值累加,记录累加时的时刻,所述计数值用于指示接收到的具有所述终端标识和所述服务标识的访问请求包的数量;
存储模块,用于在所述专网路由器尚未存储有包含所述终端标识和所述服务标识的对应关系时,将所述终端标识和所述服务标识作为一组对应关系进行存储,设置与所述对应关系对应的计数值为初始值,记录存储时的时刻。
8.根据权利要求7所述的装置,其特征在于,所述计算模块,包括:
确定单元,用于确定同时具有所述终端标识和所述服务标识的对应关系;
第一获取单元,用于获取所述确定单元确定出的所述对应关系的计数值;
第二获取单元,用于获取与所述确定单元确定出的所述对应关系对应的最早的记录时刻和最晚的记录时刻,所述记录时刻为存储所述对应关系的时刻,或者累加所述对应关系的计数值的时刻;
第一计算单元,用于将所述第二获取单元获取到的所述最晚的记录时刻减去所述第二获取单元获取到的所述最早的记录时刻,得到与所述对应关系对应的记录时长;
第二计算单元,用于将所述第一获取单元获取的所述计数值除以所述第一计算单元计算得到的所述记录时长,得到所述访问速率。
9.根据权利要求6所述的装置,其特征在于,所述访问请求包的包头中还携带为所述终端分配的内网标识RID,所述报警信息中包含所述RID、所述终端标识、所述服务标识以及限制策略,
所述发送模块,还用于:
向具有所述RID的路由器发送所述报警信息,所述报警信息用于触发所述路由器查询与所述RID对应的外网标识AID,将所述报警信息的所述RID更改为所述AID,向所述MME发送更改后的所述报警信息,更改后的所述报警信息用于触发所述MME限制具有所述终端标识的终端对所述专网服务的访问速度。
10.根据权利要求6至9中任一所述的装置,其特征在于,所述装置还包括:
清除模块,用于每隔预定时间间隔,清除访问速率低于预定阈值的对应关系,或者,清除预定个对应关系,被清除的所述预定个对应关系的访问速率低于未被清除的对应关系的访问速率。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510583765.7A CN105208022A (zh) | 2015-09-14 | 2015-09-14 | 报警信息生成方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510583765.7A CN105208022A (zh) | 2015-09-14 | 2015-09-14 | 报警信息生成方法及装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN105208022A true CN105208022A (zh) | 2015-12-30 |
Family
ID=54955455
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510583765.7A Pending CN105208022A (zh) | 2015-09-14 | 2015-09-14 | 报警信息生成方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105208022A (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105975873A (zh) * | 2016-04-28 | 2016-09-28 | 深圳前海微众银行股份有限公司 | 数据泄露侦测方法和装置 |
CN106326389A (zh) * | 2016-08-17 | 2017-01-11 | 深圳市金证科技股份有限公司 | 一种基于数据缓存的业务请求处理方法及系统 |
CN114157601A (zh) * | 2021-11-29 | 2022-03-08 | 中国联合网络通信集团有限公司 | 一种报文传输方法、装置及存储介质 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101237442A (zh) * | 2007-01-29 | 2008-08-06 | 华为技术有限公司 | 一体化网络中终端标识解析和业务传输方法、系统及装置 |
US20110016523A1 (en) * | 2009-07-14 | 2011-01-20 | Electronics And Telecommunications Research Institute | Apparatus and method for detecting distributed denial of service attack |
CN102447707A (zh) * | 2011-12-30 | 2012-05-09 | 北京交通大学 | 一种基于映射请求的DDoS检测与响应方法 |
CN103391274A (zh) * | 2012-05-08 | 2013-11-13 | 北京邮电大学 | 一种一体化网络安全管理方法和装置 |
-
2015
- 2015-09-14 CN CN201510583765.7A patent/CN105208022A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101237442A (zh) * | 2007-01-29 | 2008-08-06 | 华为技术有限公司 | 一体化网络中终端标识解析和业务传输方法、系统及装置 |
US20110016523A1 (en) * | 2009-07-14 | 2011-01-20 | Electronics And Telecommunications Research Institute | Apparatus and method for detecting distributed denial of service attack |
CN102447707A (zh) * | 2011-12-30 | 2012-05-09 | 北京交通大学 | 一种基于映射请求的DDoS检测与响应方法 |
CN103391274A (zh) * | 2012-05-08 | 2013-11-13 | 北京邮电大学 | 一种一体化网络安全管理方法和装置 |
Non-Patent Citations (1)
Title |
---|
ALBERTO COMPAGNO等: "Poseidon Mitigating interest flooding DDoS attacks in Named Data Networking", 《LOCAL COMPUTER NETWORKS 2013 IEEE 38TH CONFERENCE》 * |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105975873A (zh) * | 2016-04-28 | 2016-09-28 | 深圳前海微众银行股份有限公司 | 数据泄露侦测方法和装置 |
CN106326389A (zh) * | 2016-08-17 | 2017-01-11 | 深圳市金证科技股份有限公司 | 一种基于数据缓存的业务请求处理方法及系统 |
CN114157601A (zh) * | 2021-11-29 | 2022-03-08 | 中国联合网络通信集团有限公司 | 一种报文传输方法、装置及存储介质 |
CN114157601B (zh) * | 2021-11-29 | 2024-03-29 | 中国联合网络通信集团有限公司 | 一种报文传输方法、装置及存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP7133010B2 (ja) | Diameterエッジエージェント(DEA:DIAMETER EDGE AGENT)を用いる、アウトバウンドローミング加入者に対するモビリティ管理エンティティ(MME:MOBILITY MANAGEMENT ENTITY)認証のための、方法、システム、およびコンピュータ読み取り可能な媒体 | |
CN102754409B (zh) | 用于直径协议协调的方法、系统和计算机可读介质 | |
JP5732550B2 (ja) | ダイアメータシグナリングメッセージを強化するための方法、システム、およびコンピュータ可読媒体 | |
CN112567779A (zh) | 用diameter边缘代理为出站漫游订户执行时间距离安全对策的方法、系统和计算机可读介质 | |
CN111107171B (zh) | Dns服务器的安全防御方法及装置、通信设备及介质 | |
US8977240B2 (en) | Method for the control and evaluation of a message traffic of a communication unit by means of a first network unit within a mobile radio system, pertaining communication unit and first network unit | |
US20170033938A1 (en) | Method and Apparatus for Machine-to-Machine Event Data Recording | |
US10951519B2 (en) | Methods, systems, and computer readable media for multi-protocol stateful routing | |
EP4085676A1 (en) | Methods, systems, and computer readable media for implementing indirect general packet radio service (gprs) tunneling protocol (gtp) firewall filtering using diameter agent and signal transfer point (stp) | |
EP2642815A1 (en) | Method for establishing and using public path and m2m communication method and system | |
CN103477662A (zh) | 用于动态掌握的Diameter绑定信息的方法、系统和计算机可读介质 | |
CN103477661A (zh) | 用于基于混合会话的Diameter路由的方法、系统和计算机可读介质 | |
CN117280656A (zh) | 用于隐藏网络功能实例标识符的方法、系统和计算机可读介质 | |
CN105429936B (zh) | 专网路由器内存储资源恶意占用抵御方法及装置 | |
JP5451902B2 (ja) | 公共設備におけるネットワークアクセス方法及びシステム | |
JP5930438B2 (ja) | アクセス方法、モビリティ管理デバイス、およびユーザ機器 | |
CN105208022A (zh) | 报警信息生成方法及装置 | |
US8661517B2 (en) | Method and system for accessing network through public equipment | |
CN101873330B (zh) | 支持IPv6/IPv4双栈接入的访问控制方法和服务器 | |
CN106921570B (zh) | Diameter信令发送方法和装置 | |
WO2015184840A1 (zh) | 响应消息的获取、响应消息的路由方法、装置及系统 | |
CN111277552B (zh) | 一种对直径信令安全威胁识别的方法、装置及存储介质 | |
CN105393503A (zh) | 消息处理方法和装置 | |
CN108270808B (zh) | 一种实现应用检测与控制的方法、装置和系统 | |
JP2010501131A (ja) | 通信ネットワークにおける端末機器の緊急メッセージを転送する方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20151230 |
|
RJ01 | Rejection of invention patent application after publication |