CN110233834B - 网络系统、攻击报文的拦截方法、装置和设备 - Google Patents
网络系统、攻击报文的拦截方法、装置和设备 Download PDFInfo
- Publication number
- CN110233834B CN110233834B CN201910435800.9A CN201910435800A CN110233834B CN 110233834 B CN110233834 B CN 110233834B CN 201910435800 A CN201910435800 A CN 201910435800A CN 110233834 B CN110233834 B CN 110233834B
- Authority
- CN
- China
- Prior art keywords
- equipment
- information
- network server
- gateway
- interception request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
Abstract
本发明公开了一种网络系统、攻击报文的拦截方法、装置和设备,属于通信技术领域。方法包括:接收网络服务器发送的第一拦截请求;根据信息数据库,查询第一设备信息对应的控制设备标识;根据控制设备标识,向控制设备发送第二拦截请求,使得控制设备向网关设备发送第三拦截请求,第三拦截请求至少携带第一设备信息,使得网关设备根据第三拦截请求,对源设备发送的第二攻击报文进行拦截。本发明在网络服务器的远端,实现了对攻击报文的主动拦截,避免了网络服务器再次接收到攻击报文,无需该网络服务器对攻击报文进行处理,节省了处理攻击报文所耗费的时间,避免了攻击报文所造成的信息泄露或者对网络服务器的运行造成的影响,提高了安全性能。
Description
技术领域
本发明涉及通信技术领域,特别涉及一种网络系统、攻击报文的拦截方法、装置和设备。
背景技术
随着互联网技术的发展,网络系统中各个设备之间的交互越来越便捷,而其中的网络服务器作为提供服务的设备,会开放给多个用户设备,与多个用户设备进行交互,这就为攻击者提供了可乘之机。
通常情况下,攻击者会向网络服务器发送攻击报文,以使网络服务器对攻击报文进行响应,从而影响网络服务器的正常运行。该攻击报文可以包括大流量报文和畸形报文两种,如果攻击者向网络服务器发送大流量报文,网络服务器的入口很容易被大流量报文堵满,一旦入口被大流量报文堵满,网络服务器将不能接收合法设备发送的合法请求,这会导致合法请求得不到网络服务器的响应。此时,网络服务器只能增加带宽,利用增加的带宽来接收合法请求,以保证对合法请求的正常响应。如果攻击者向网络服务器发送畸形报文,网络服务器在对畸形报文进行响应时,很容易出现异常,甚至会导致网络服务器瘫痪。此时,网络服务器只能采用升级打补丁的方式,修改当前运行的代码,以识别出该畸形报文,并将该畸形报文丢弃。
在实现本发明的过程中,发明人发现现有技术中至少存在以下问题:
网络服务器只能在接收到攻击报文之后,被动地对接收到的每个攻击报文进行处理,而该处理过程需要耗费一定的时间,在处理过程中就很容易造成信息泄露,影响网络服务器的正常运行。
发明内容
为了解决现有技术的问题,本发明实施例提供了一种网络系统、攻击报文的拦截方法、装置和设备。所述技术方案如下:
第一方面,提供了一种网络系统,所述网络系统包括:
源设备、网关设备、控制设备、安全控制实体、网络服务器、信息数据库,所述信息数据库至少包括设备信息以及对应的控制设备标识和网关设备标识;
所述源设备与所述网关设备连接,所述网关设备与所述控制设备连接,所述控制设备与所述安全控制实体连接,所述安全控制实体与所述网络服务器连接;所述网络服务器与所述网关设备连接,所述安全控制实体和所述控制设备分别与所述信息数据库连接;
所述源设备用于向所述网关设备发送第一攻击报文,所述第一攻击报文包括所述源设备的第一设备信息和所述网络服务器的第二设备信息;
所述网关设备用于当接收到所述第一攻击报文时,根据所述第二设备信息,向所述网络服务器发送所述第一攻击报文;
所述网络服务器用于当接收到所述第一攻击报文时,向所述安全控制实体发送第一拦截请求,所述第一拦截请求至少携带所述第一设备信息;
所述安全控制实体用于当接收到所述第一拦截请求时,根据所述信息数据库,查询所述第一设备信息对应的控制设备标识,根据所述控制设备标识,向所述控制设备发送第二拦截请求,所述第二拦截请求至少携带所述第一设备信息;
所述控制设备用于当接收到所述第二拦截请求时,根据所述信息数据库,查询所述第一设备信息对应的网关设备标识,根据所述网关设备标识,向所述网关设备发送第三拦截请求,所述第三拦截请求至少携带所述第一设备信息;
所述网关设备用于当接收到所述第三拦截请求时,根据所述第三拦截请求,对所述源设备发送的第二攻击报文进行拦截。
第二方面,提供了一种攻击报文的拦截方法,所述方法包括:
安全控制实体接收网络服务器发送的第一拦截请求,所述第一拦截请求至少携带向所述网络服务器发送的第一攻击报文中的第一设备信息,所述第一设备信息用于指示发送所述第一攻击报文的源设备;
根据信息数据库,查询所述第一设备信息对应的控制设备标识,所述信息数据库至少包括设备信息以及对应的控制设备标识;
根据所述控制设备标识,向控制设备发送第二拦截请求,所述第二拦截请求至少携带所述第一设备信息,使得所述控制设备向网关设备发送第三拦截请求,所述第三拦截请求至少携带所述第一设备信息,使得所述网关设备根据所述第三拦截请求,对所述源设备发送的第二攻击报文进行拦截。
结合第二方面,在第二方面的第一种可能实现方式中,所述根据信息数据库,查询所述第一设备信息对应的控制设备标识,包括:
根据所述第一设备信息,判断所述网络服务器与所述网关设备之间是否通过转换设备连接;
当确定所述网络服务器与所述网关设备之间未通过转换设备连接时,根据所述信息数据库,查询所述第一设备信息对应的控制设备标识;
当确定所述网络服务器与所述网关设备之间通过转换设备连接时,根据转换数据库,查询所述第一设备信息对应的原始设备信息,根据所述信息数据库,查询所述原始设备信息对应的控制设备标识,所述转换数据库包括每个原始设备信息转换后的设备信息。
结合第二方面,在第二方面的第二种可能实现方式中,根据所述控制设备标识,向控制设备发送第二拦截请求,包括:
生成安全控制参数,所述安全控制参数至少包括所述网络服务器的第二设备信息、协议类型、拦截时间段和路由控制深度中的至少一项;
根据所述控制设备标识,向所述控制设备发送所述第二拦截请求,所述第二拦截请求至少携带所述第一设备信息和所述安全控制参数,使得所述第三拦截请求至少携带所述第一设备信息和所述安全控制参数,所述网关设备根据所述第三拦截请求,对所述源设备发送的与所述安全控制参数匹配的第二攻击报文进行拦截。
结合第二方面或第二方面的第二种可能实现方式,在第二方面的第三种可能实现方式中,所述根据所述控制设备标识,向控制设备发送第二拦截请求,包括:
根据所述控制设备标识,调用与所述控制设备之间的接口;
通过所述接口,向所述控制设备发送所述第二拦截请求。
结合第二方面,在第二方面的第四种可能实现方式中,所述第一设备信息至少包括所述源设备的网络互连协议IP地址和用于发送所述第一攻击报文的端口;
所述第一攻击报文还包括所述网络服务器的第二设备信息,所述第二设备信息至少包括所述网络服务器的IP地址和用于接收所述第一攻击报文的端口。
第三方面,提供了一种攻击报文的拦截方法,所述方法包括:
当网络服务器接收到第一攻击报文时,获取所述第一攻击报文中的第一设备信息,所述第一设备信息用于指示发送所述第一攻击报文的源设备;
向安全控制实体发送第一拦截请求,所述第一拦截请求至少携带所述第一设备信息,使得所述安全控制实体接收到所述第一拦截请求时,向控制设备发送第二拦截请求,所述第二拦截请求至少携带所述第一设备信息,使得所述控制设备向网关设备发送第三拦截请求,所述第三拦截请求至少携带所述第一设备信息,使得所述网关设备根据所述第三拦截请求,对所述源设备发送的第二攻击报文进行拦截。
第四方面,提供了一种攻击报文的拦截方法,所述方法包括:
控制设备接收安全控制实体发送的第二拦截请求,所述第二拦截请求至少携带第一设备信息,所述第一设备信息用于指示向网络服务器发送第一攻击报文的源设备;
根据信息数据库,查询所述第一设备信息对应的网关设备标识,所述信息数据库至少包括每个设备信息对应的网关设备标识;
根据所述网关设备标识,向网关设备发送第三拦截请求,所述第三拦截请求至少携带所述第一设备信息,使得所述网关设备根据所述第三拦截请求,对所述源设备发送的第二攻击报文进行拦截。
结合第四方面,在第四方面的第一种可能实现方式中,所述根据信息数据库,查询所述第一设备信息对应的网关设备标识,包括:
所述第二拦截请求还包括所述网络服务器的第二设备信息时,根据所述第一设备信息、所述第二设备信息和预设路由表,确定所述源设备与所述网络服务器之间的路由路径,所述路由路径中包括至少一个网关设备标识;
相应的,所述根据所述网关设备标识,向网关设备发送第三拦截请求,包括:
向所述至少一个网关设备标识对应的至少一个网关设备发送所述第三拦截请求,使得接收到所述第三拦截请求的每个网关设备根据所述第三拦截请求,对所述源设备发送的第二攻击报文进行拦截。
结合第四方面的第一种可能实现方式,在第四方面的第二种可能实现方式中,当所述第二拦截请求中包括安全控制参数时,所述确定所述源设备与所述网络服务器之间的路由路径之后,所述方法还包括:
获取所述安全控制参数中的路由控制深度;
根据所述路由路径中各个网关设备标识的先后顺序,从所述至少一个网关设备标识中,选取与所述路由控制深度对应的网关设备标识;
向所述选取的网关设备标识对应的网关设备发送所述第三拦截请求,使得接收到所述第三拦截请求的每个网关设备根据所述第三拦截请求,对所述源设备发送的第二攻击报文进行拦截。
结合第四方面,在第四方面的第三种可能实现方式中,所述根据信息数据库,查询所述第一设备信息对应的网关设备标识之前,所述方法还包括:
接收所述网关设备发送的网关设备标识和第一设备信息,所述第一设备信息由所述网关设备在与所述源设备连接时获取;
将所述第一设备信息、控制设备标识和所述网关设备标识对应存储于所述信息数据库中。
第五方面,提供了一种攻击报文的拦截方法,所述方法包括:
网关设备接收控制设备发送的第三拦截请求,所述第三拦截请求至少携带第一设备信息,所述第一设备信息用于指示向网络服务器发送第一攻击报文的源设备;
当接收到所述源设备发送的第二攻击报文时,对所述第二攻击报文进行拦截。
结合第五方面,在第五方面的第一种可能实现方式中,所述当接收到所述源设备发送的第二攻击报文时,对所述第二攻击报文进行拦截,包括:
获取所述第三拦截请求中的安全控制参数;
当接收到所述源设备发送的报文时,判断所述报文与所述安全控制参数是否匹配;
当所述报文与所述安全控制参数匹配时,对所述报文进行拦截。
结合第五方面的第一种可能实现方式,在第五方面的第二种可能实现方式中,所述判断所述报文是否与所述安全控制参数匹配,包括:
所述安全控制参数包括所述网络服务器的第二设备信息时,判断所述报文的目标设备信息与所述第二设备信息是否相同;或者,
所述安全控制参数包括协议类型时,判断所述报文的协议类型与所述安全控制参数中的协议类型是否相同;或者,
所述安全控制参数包括拦截时间段时,判断当前时间点是否属于所述拦截时间段。
第六方面,提供了一种攻击报文的拦截装置,所述装置包括:
接收模块,用于接收网络服务器发送的第一拦截请求,所述第一拦截请求至少携带向所述网络服务器发送的第一攻击报文中的第一设备信息,所述第一设备信息用于指示发送所述第一攻击报文的源设备;
查询模块,用于根据信息数据库,查询所述第一设备信息对应的控制设备标识,所述信息数据库至少包括设备信息以及对应的控制设备标识;
发送模块,用于根据所述控制设备标识,向控制设备发送第二拦截请求,所述第二拦截请求至少携带所述第一设备信息,使得所述控制设备向网关设备发送第三拦截请求,所述第三拦截请求至少携带所述第一设备信息,使得所述网关设备根据所述第三拦截请求,对所述源设备发送的第二攻击报文进行拦截。
结合第六方面,在第六方面的第一种可能实现方式中,所述查询模块包括:
判断单元,用于根据所述第一设备信息,判断所述网络服务器与所述网关设备之间是否通过转换设备连接;
第一查询单元,用于当确定所述网络服务器与所述网关设备之间未通过转换设备连接时,根据所述信息数据库,查询所述第一设备信息对应的控制设备标识;
第二查询单元,用于当确定所述网络服务器与所述网关设备之间通过转换设备连接时,根据转换数据库,查询所述第一设备信息对应的原始设备信息,根据所述信息数据库,查询所述原始设备信息对应的控制设备标识,所述转换数据库包括每个原始设备信息转换后的设备信息。
结合第六方面,在第六方面的第二种可能实现方式中,所述装置还包括:
参数生成模块,用于生成安全控制参数,所述安全控制参数至少包括所述网络服务器的第二设备信息、协议类型、拦截时间段和路由控制深度中的至少一项;
所述发送模块,用于根据所述控制设备标识,向所述控制设备发送所述第二拦截请求,所述第二拦截请求至少携带所述第一设备信息和所述安全控制参数,使得所述第三拦截请求至少携带所述第一设备信息和所述安全控制参数,所述网关设备根据所述第三拦截请求,对所述源设备发送的与所述安全控制参数匹配的第二攻击报文进行拦截。
结合第六方面或第六方面的第二种可能实现方式,在第六方面的第三种可能实现方式中,所述发送模块还用于根据所述控制设备标识,调用与所述控制设备之间的接口;通过所述接口,向所述控制设备发送所述第二拦截请求。
结合第六方面,在第六方面的第四种可能实现方式中,所述第一设备信息至少包括所述源设备的网络互连协议IP地址和用于发送所述第一攻击报文的端口;
所述第一攻击报文还包括所述网络服务器的第二设备信息,所述第二设备信息至少包括所述网络服务器的IP地址和用于接收所述第一攻击报文的端口。
第七方面,提供了一种攻击报文的拦截装置,所述装置包括:
信息获取模块,用于当接收到第一攻击报文时,获取所述第一攻击报文中的第一设备信息,所述第一设备信息用于指示发送所述第一攻击报文的源设备;
发送模块,用于向安全控制实体发送第一拦截请求,所述第一拦截请求至少携带所述第一设备信息,使得所述安全控制实体接收到所述第一拦截请求时,向控制设备发送第二拦截请求,所述第二拦截请求至少携带所述第一设备信息,使得所述控制设备向网关设备发送第三拦截请求,所述第三拦截请求至少携带所述第一设备信息,使得所述网关设备根据所述第三拦截请求,对所述源设备发送的第二攻击报文进行拦截。
第八方面,提供了一种攻击报文的拦截装置,所述装置包括:
接收模块,用于接收安全控制实体发送的第二拦截请求,所述第二拦截请求至少携带第一设备信息,所述第一设备信息用于指示向网络服务器发送第一攻击报文的源设备;
查询模块,用于根据信息数据库,查询所述第一设备信息对应的网关设备标识,所述信息数据库至少包括每个设备信息对应的网关设备标识;
发送模块,用于根据所述网关设备标识,向网关设备发送第三拦截请求,所述第三拦截请求至少携带所述第一设备信息,使得所述网关设备根据所述第三拦截请求,对所述源设备发送的第二攻击报文进行拦截。
结合第八方面,在第八方面的第一种可能实现方式中,所述查询模块包括:
路径查询单元,用于所述第二拦截请求还包括所述网络服务器的第二设备信息时,根据所述第一设备信息、所述第二设备信息和预设路由表,确定所述源设备与所述网络服务器之间的路由路径,所述路由路径中包括至少一个网关设备标识;
相应的,所述发送模块用于向所述至少一个网关设备标识对应的至少一个网关设备发送所述第三拦截请求,使得接收到所述第三拦截请求的每个网关设备根据所述第三拦截请求,对所述源设备发送的第二攻击报文进行拦截。
结合第八方面的第一种可能实现方式,在第八方面的第二种可能实现方式中,当所述第二拦截请求中包括安全控制参数时,所述查询模块还包括:
控制深度获取单元,用于获取所述安全控制参数中的路由控制深度;
设备选取单元,用于根据所述路由路径中各个网关设备标识的先后顺序,从所述至少一个网关设备标识中,选取与所述路由控制深度对应的网关设备标识;
所述发送模块,还用于向所述选取的网关设备标识对应的网关设备发送所述第三拦截请求,使得接收到所述第三拦截请求的每个网关设备根据所述第三拦截请求,对所述源设备发送的第二攻击报文进行拦截。
结合第八方面,在第八方面的第三种可能实现方式中,所述查询模块包括:
接收单元,用于接收所述网关设备发送的网关设备标识和第一设备信息,所述第一设备信息由所述网关设备在与所述源设备连接时获取;
存储单元,用于将所述第一设备信息、控制设备标识和所述网关设备标识对应存储于所述信息数据库中。
第九方面,提供了一种攻击报文的拦截装置,所述装置包括:
接收模块,用于接收控制设备发送的第三拦截请求,所述第三拦截请求至少携带第一设备信息,所述第一设备信息用于指示向网络服务器发送第一攻击报文的源设备;
拦截模块,用于当接收到所述源设备发送的第二攻击报文时,对所述第二攻击报文进行拦截。
结合第九方面,在第九方面的第一种可能实现方式中,所述拦截模块包括:
参数获取单元,用于获取所述第三拦截请求中的安全控制参数;
判断单元,用于当接收到所述源设备发送的报文时,判断所述报文与所述安全控制参数是否匹配;
拦截单元,用于当所述报文与所述安全控制参数匹配时,对所述报文进行拦截。
结合第九方面的第一种可能实现方式,在第九方面的第二种可能实现方式中,所述判断单元还用于所述安全控制参数包括所述网络服务器的第二设备信息时,判断所述报文的目标设备信息与所述第二设备信息是否相同;或者,所述安全控制参数包括协议类型时,判断所述报文的协议类型与所述安全控制参数中的协议类型是否相同;或者,所述安全控制参数包括拦截时间段时,判断当前时间点是否属于所述拦截时间段。
第十方面,提供了一种安全控制实体,所述安全控制实体包括:接收器、发射器,存储器和处理器,所述接收器、所述发射器和所述存储器分别与所述处理器连接,所述存储器存储有程序代码,所述处理器用于调用所述程序代码,执行以下操作:
接收网络服务器发送的第一拦截请求,所述第一拦截请求至少携带向所述网络服务器发送的第一攻击报文中的第一设备信息,所述第一设备信息用于指示发送所述第一攻击报文的源设备;
根据信息数据库,查询所述第一设备信息对应的控制设备标识,所述信息数据库至少包括设备信息以及对应的控制设备标识;
根据所述控制设备标识,向控制设备发送第二拦截请求,所述第二拦截请求至少携带所述第一设备信息,使得所述控制设备向网关设备发送第三拦截请求,所述第三拦截请求至少携带所述第一设备信息,使得所述网关设备根据所述第三拦截请求,对所述源设备发送的第二攻击报文进行拦截。
第十一方面,提供了一种网络服务器,所述网络服务器包括:接收器、发射器,存储器和处理器,所述接收器、所述发射器和所述存储器分别与所述处理器连接,所述存储器存储有程序代码,所述处理器用于调用所述程序代码,执行以下操作:
当接收到第一攻击报文时,获取所述第一攻击报文中的第一设备信息,所述第一设备信息用于指示发送所述第一攻击报文的源设备;
向安全控制实体发送第一拦截请求,所述第一拦截请求至少携带所述第一设备信息,使得所述安全控制实体接收到所述第一拦截请求时,向控制设备发送第二拦截请求,所述第二拦截请求至少携带所述第一设备信息,使得所述控制设备向网关设备发送第三拦截请求,所述第三拦截请求至少携带所述第一设备信息,使得所述网关设备根据所述第三拦截请求,对所述源设备发送的第二攻击报文进行拦截。
第十二方面,提供了一种控制设备,所述控制设备包括:接收器、发射器,存储器和处理器,所述接收器、所述发射器和所述存储器分别与所述处理器连接,所述存储器存储有程序代码,所述处理器用于调用所述程序代码,执行以下操作:
接收安全控制实体发送的第二拦截请求,所述第二拦截请求至少携带第一设备信息,所述第一设备信息用于指示向网络服务器发送第一攻击报文的源设备;
根据信息数据库,查询所述第一设备信息对应的网关设备标识,所述信息数据库至少包括每个设备信息对应的网关设备标识;
根据所述网关设备标识,向网关设备发送第三拦截请求,所述第三拦截请求至少携带所述第一设备信息,使得所述网关设备根据所述第三拦截请求,对所述源设备发送的第二攻击报文进行拦截。
第十三方面,提供了一种网关设备,所述网关设备包括:接收器、发射器,存储器和处理器,所述接收器、所述发射器和所述存储器分别与所述处理器连接,所述存储器存储有程序代码,所述处理器用于调用所述程序代码,执行以下操作:
接收控制设备发送的第三拦截请求,所述第三拦截请求至少携带第一设备信息,所述第一设备信息用于指示向网络服务器发送第一攻击报文的源设备;
当接收到所述源设备发送的第二攻击报文时,对所述第二攻击报文进行拦截。
本发明实施例提供的技术方案带来的有益效果是:
本发明实施例提供的系统、方法、装置和设备,通过网络服务器接收到第一攻击报文时,向安全控制实体发送第一拦截请求,安全控制实体接收到该第一拦截请求时,根据信息数据库,查询第一设备信息对应的控制设备标识,从而根据该控制设备标识,向控制设备下发拦截请求,以便网关设备对源设备发送的攻击报文进行拦截。在网络服务器的远端,实现了对攻击报文的主动拦截,避免了网络服务器再次接收到攻击报文,无需该网络服务器对攻击报文进行处理,节省了处理攻击报文所耗费的时间,避免了攻击报文所造成的信息泄露或者对网络服务器的运行造成的影响,提高了安全性能。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的一种网络系统的结构示意图。
图2是本发明实施例提供的一种安全控制实体的结构示意图;
图3是本发明实施例提供的一种网络服务器的结构示意图;
图4是本发明实施例提供的一种控制设备的结构示意图;
图5是本发明实施例提供的一种网关设备的结构示意图;
图6是本发明实施例提供的一种攻击报文的拦截方法的流程图;
图7是本发明实施例提供的一种攻击报文的拦截方法的流程图;
图8是本发明实施例提供的一种攻击报文的拦截方法的流程图;
图9是本发明实施例提供的一种攻击报文的拦截方法的流程图;
图10A是本发明实施例提供的一种LTE网络系统的结构示意图;
图10B是本发明实施例提供的一种攻击报文的拦截方法的流程图;
图10C是本发明实施例提供的一种操作流程示意图;
图11A是本发明实施例提供的一种固定网络系统的结构示意图;
图11B是本发明实施例提供的一种攻击报文的拦截方法的流程图;
图11C是本发明实施例提供的一种操作流程示意图;
图12是本发明实施例提供的一种攻击报文的拦截装置结构示意图;
图13是本发明实施例提供的一种攻击报文的拦截装置结构示意图;
图14是本发明实施例提供的一种攻击报文的拦截装置结构示意图;
图15是本发明实施例提供的一种攻击报文的拦截装置结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1是本发明实施例提供的一种网络系统的结构示意图。参见图1,该网络系统包括:
源设备101、网关设备102、控制设备103、安全控制实体104、网络服务器105、信息数据库106,该信息数据库106至少包括设备信息以及对应的控制设备标识和网关设备标识;
该源设备101与该网关设备102连接,该网关设备102与该控制设备103连接,该控制设备103与该安全控制实体104连接,该安全控制实体104与该网络服务器105连接;该网络服务器105与该网关设备102连接,该安全控制实体104和该控制设备103分别与该信息数据库106连接;
该源设备101用于向该网关设备102发送第一攻击报文,该第一攻击报文包括该源设备101的第一设备信息和该网络服务器105的第二设备信息;
该网关设备102用于当接收到该第一攻击报文时,根据该第二设备信息,向该网络服务器105发送该第一攻击报文;
该网络服务器105用于当接收到该第一攻击报文时,向该安全控制实体104发送第一拦截请求,该第一拦截请求至少携带该第一设备信息;
该安全控制实体104用于当接收到该第一拦截请求时,根据该信息数据库106,查询该第一设备信息对应的控制设备标识,根据该控制设备标识,向该控制设备103发送第二拦截请求,该第二拦截请求至少携带该第一设备信息;
该控制设备103用于当接收到该第二拦截请求时,根据该信息数据库106,查询该第一设备信息对应的网关设备标识,根据该网关设备标识,向该网关设备102发送第三拦截请求,该第三拦截请求至少携带该第一设备信息;
该网关设备102用于当接收到该第三拦截请求时,根据该第三拦截请求,对该源设备101发送的第二攻击报文进行拦截。
本发明实施例提供的系统,通过网络服务器接收到第一攻击报文时,向安全控制实体发送第一拦截请求,安全控制实体接收到该第一拦截请求时,根据信息数据库,查询第一设备信息对应的控制设备标识,从而根据该控制设备标识,向控制设备下发拦截请求,以便网关设备对源设备发送的攻击报文进行拦截。在网络服务器的远端,实现了对攻击报文的主动拦截,避免了网络服务器再次接收到攻击报文,无需该网络服务器对攻击报文进行处理,节省了处理攻击报文所耗费的时间,避免了攻击报文所造成的信息泄露或者对网络服务器的运行造成的影响,提高了安全性能。
可选地,该网络系统还包括转换设备,该网关设备102与该转换设备连接,该转换设备与该网络服务器105连接;
该网关设备102还用于当接收到该第一攻击报文时,向该转换设备发送该第一攻击报文;该转换设备用于将该第一攻击报文中的第一设备信息转换为第三设备信息,得到第三攻击报文,向该网络服务器105发送该第三攻击报文。
可选地,该网络服务器105还用于当接收到攻击报文时,向该安全控制实体104发送第一拦截请求,该第一拦截请求至少携带用于指示发送该攻击报文的源设备的设备信息;相应的,该安全控制实体104还用于当接收到该第一拦截请求时,根据该第一拦截请求携带的设备信息,判断该网络服务器与该网关设备之间是否通过转换设备连接;当确定该网络服务器与该网关设备之间未通过转换设备连接时,根据该信息数据库,查询该设备信息对应的控制设备标识;当确定该网络服务器与该网关设备之间通过转换设备连接时,根据转换数据库,查询该设备信息对应的原始设备信息,根据该信息数据库,查询该原始设备信息对应的控制设备标识,该转换数据库包括每个原始设备信息转换后的设备信息。
可选地,该安全控制实体104还用于生成安全控制参数,该安全控制参数至少包括该网络服务器105的第二设备信息、协议类型、拦截时间段和路由控制深度中的至少一项;根据该控制设备标识,向该控制设备103发送该第二拦截请求,该第二拦截请求至少携带该第一设备信息和该安全控制参数,使得该第三拦截请求至少携带该第一设备信息和该安全控制参数,该网关设备102根据该第三拦截请求,对该源设备101发送的与该安全控制参数匹配的第二攻击报文进行拦截。
可选地,该安全控制实体104还用于根据该控制设备标识,调用与该控制设备103之间的接口;通过该接口,向该控制设备103发送该第二拦截请求。
可选地,该第一设备信息至少包括该源设备101的IP(Internet Protocol,网络互连协议)地址和用于发送该第一攻击报文的端口;
该第一攻击报文还包括该网络服务器105的第二设备信息,该第二设备信息至少包括该网络服务器105的IP地址和用于接收该第一攻击报文的端口。
可选地,该控制设备103还用于该第二拦截请求还包括该网络服务器105的第二设备信息时,根据该第一设备信息、该第二设备信息和预设路由表,确定该源设备101与该网络服务器105之间的路由路径,该路由路径中包括至少一个网关设备标识;
相应的,该控制设备103还用于向该至少一个网关设备标识对应的至少一个网关设备102发送该第三拦截请求,使得接收到该第三拦截请求的每个网关设备102根据该第三拦截请求,对该源设备101发送的第二攻击报文进行拦截。
可选地,该控制设备103还用于获取该安全控制参数中的路由控制深度;根据该路由路径中各个网关设备标识的先后顺序,从该至少一个网关设备标识中,选取与该路由控制深度对应的网关设备标识;向该选取的网关设备标识对应的网关设备102发送该第三拦截请求,使得接收到该第三拦截请求的每个网关设备102根据该第三拦截请求,对该源设备101发送的第二攻击报文进行拦截。
可选地,该控制设备103还用于接收该网关设备102发送的网关设备标识和第一设备信息,该第一设备信息由该网关设备102在与该源设备101连接时获取;将该第一设备信息、控制设备标识和该网关设备标识对应存储于该信息数据库106中。
可选地,该网关设备102还用于获取该第三拦截请求中的安全控制参数;当接收到该源设备101发送的报文时,判断该报文与该安全控制参数是否匹配;当该报文与该安全控制参数匹配时,对该报文进行拦截。
可选地,该网关设备102还用于该安全控制参数包括该网络服务器105的第二设备信息时,判断该报文的目标设备信息与该第二设备信息是否相同;或者,该安全控制参数包括协议类型时,判断该报文的协议类型与该安全控制参数中的协议类型是否相同;或者,该安全控制参数包括拦截时间段时,判断当前时间点是否属于该拦截时间段。
上述所有可选技术方案,可以采用任意结合形成本发明的可选实施例,在此不再一一赘述。
图2是本发明实施例提供的一种安全控制实体的结构示意图,参见图2,包括:接收器201、发射器202、存储器203和处理器204,该接收器201和该发射器202分别与该处理器204连接,该存储器203存储有程序代码,该处理器204用于调用该程序代码,执行以下操作:
通过该接收器201,接收网络服务器发送的第一拦截请求,该第一拦截请求至少携带向该网络服务器发送的第一攻击报文中的第一设备信息,该第一设备信息用于指示发送该第一攻击报文的源设备;
根据信息数据库,查询该第一设备信息对应的控制设备标识,该信息数据库至少包括设备信息以及对应的控制设备标识;
通过该发射器202,根据该控制设备标识,向控制设备发送第二拦截请求,该第二拦截请求至少携带该第一设备信息,使得该控制设备向网关设备发送第三拦截请求,该第三拦截请求至少携带该第一设备信息,使得该网关设备根据该第三拦截请求,对该源设备发送的第二攻击报文进行拦截。
本发明实施例提供的安全控制实体,通过网络服务器接收到第一攻击报文时,向安全控制实体发送第一拦截请求,安全控制实体接收到该第一拦截请求时,根据信息数据库,查询第一设备信息对应的控制设备标识,从而根据该控制设备标识,向控制设备下发拦截请求,以便网关设备对源设备发送的攻击报文进行拦截。在网络服务器的远端,实现了对攻击报文的主动拦截,避免了网络服务器再次接收到攻击报文,无需该网络服务器对攻击报文进行处理,节省了处理攻击报文所耗费的时间,避免了攻击报文所造成的信息泄露或者对网络服务器的运行造成的影响,提高了安全性能。
可选地,该处理器204用于调用该程序代码,执行以下操作:
根据该第一设备信息,判断该网络服务器与该网关设备之间是否通过转换设备连接;
当确定该网络服务器与该网关设备之间未通过转换设备连接时,根据该信息数据库,查询该第一设备信息对应的控制设备标识;
当确定该网络服务器与该网关设备之间通过转换设备连接时,根据转换数据库,查询该第一设备信息对应的原始设备信息,根据该信息数据库,查询该原始设备信息对应的控制设备标识,该转换数据库包括每个原始设备信息转换后的设备信息。
可选地,该处理器204用于调用该程序代码,执行以下操作:
生成安全控制参数,该安全控制参数至少包括该网络服务器的第二设备信息、协议类型、拦截时间段和路由控制深度中的至少一项;
根据该控制设备标识,向该控制设备发送该第二拦截请求,该第二拦截请求至少携带该第一设备信息和该安全控制参数,使得该第三拦截请求至少携带该第一设备信息和该安全控制参数,该网关设备根据该第三拦截请求,对该源设备发送的与该安全控制参数匹配的第二攻击报文进行拦截。
可选地,该处理器204用于调用该程序代码,执行以下操作:
根据该控制设备标识,调用与该控制设备之间的接口;
通过该接口,向该控制设备发送该第二拦截请求。
可选地,该第一设备信息至少包括该源设备的网络互连协议IP地址和用于发送该第一攻击报文的端口;
该第一攻击报文还包括该网络服务器的第二设备信息,该第二设备信息至少包括该网络服务器的IP地址和用于接收该第一攻击报文的端口。
上述所有可选技术方案,可以采用任意结合形成本发明的可选实施例,在此不再一一赘述。
图3是本发明实施例提供的一种网络服务器的结构示意图,参见图3,包括:接收器301、发射器302、存储器303和处理器304,该接收器301和该发射器302分别与该处理器304连接,该存储器303存储有程序代码,该处理器304用于调用该程序代码,执行以下操作:
通过接收器301接收到第一攻击报文时,获取该第一攻击报文中的第一设备信息,该第一设备信息用于指示发送该第一攻击报文的源设备;
通过该发射器302,向安全控制实体发送第一拦截请求,该第一拦截请求至少携带该第一设备信息,使得该安全控制实体接收到该第一拦截请求时,向控制设备发送第二拦截请求,该第二拦截请求至少携带该第一设备信息,使得该控制设备向网关设备发送第三拦截请求,该第三拦截请求至少携带该第一设备信息,使得该网关设备根据该第三拦截请求,对该源设备发送的第二攻击报文进行拦截。
本发明实施例提供的网络服务器,通过网络服务器接收到第一攻击报文时,向安全控制实体发送第一拦截请求,安全控制实体接收到该第一拦截请求时,根据信息数据库,查询第一设备信息对应的控制设备标识,从而根据该控制设备标识,向控制设备下发拦截请求,以便网关设备对源设备发送的攻击报文进行拦截。在网络服务器的远端,实现了对攻击报文的主动拦截,避免了网络服务器再次接收到攻击报文,无需该网络服务器对攻击报文进行处理,节省了处理攻击报文所耗费的时间,避免了攻击报文所造成的信息泄露或者对网络服务器的运行造成的影响,提高了安全性能。
图4是本发明实施例提供的一种控制设备的结构示意图,参见图4,包括:接收器401、发射器402、存储器403和处理器404,该接收器401和该发射器402分别与该处理器404连接,该存储器403存储有程序代码,该处理器404用于调用该程序代码,执行以下操作:
通过该接收器401,接收安全控制实体发送的第二拦截请求,该第二拦截请求至少携带第一设备信息,该第一设备信息用于指示向网络服务器发送第一攻击报文的源设备;
根据信息数据库,查询该第一设备信息对应的网关设备标识,该信息数据库至少包括每个设备信息对应的网关设备标识;
通过该发射器404,根据该网关设备标识,向网关设备发送第三拦截请求,该第三拦截请求至少携带该第一设备信息,使得该网关设备根据该第三拦截请求,对该源设备发送的第二攻击报文进行拦截。
本发明实施例提供的控制设备,通过网络服务器接收到第一攻击报文时,向安全控制实体发送第一拦截请求,安全控制实体接收到该第一拦截请求时,根据信息数据库,查询第一设备信息对应的控制设备标识,根据该控制设备标识,向控制设备下发第二拦截请求,该控制设备根据信息数据库,查询第一设备信息对应的网关设备标识,根据该网关设备标识,向该网关设备下发第三拦截请求,以便网关设备对源设备发送的攻击报文进行拦截。在网络服务器的远端,实现了对攻击报文的主动拦截,避免了网络服务器再次接收到攻击报文,无需该网络服务器对攻击报文进行处理,节省了处理攻击报文所耗费的时间,避免了攻击报文所造成的信息泄露或者对网络服务器的运行造成的影响,提高了安全性能。
可选地,该处理器404用于调用该程序代码,执行以下操作:
该第二拦截请求还包括该网络服务器的第二设备信息时,根据该第一设备信息、该第二设备信息和预设路由表,确定该源设备与该网络服务器之间的路由路径,该路由路径中包括至少一个网关设备标识;
相应的,该处理器404用于调用该程序代码,执行以下操作:
通过该发射器402,向该至少一个网关设备标识对应的至少一个网关设备发送该第三拦截请求,使得接收到该第三拦截请求的每个网关设备根据该第三拦截请求,对该源设备发送的第二攻击报文进行拦截。
可选地,该第二拦截请求中包括安全控制参数时,该处理器404用于调用该程序代码,执行以下操作:
获取该安全控制参数中的路由控制深度;
根据该路由路径中各个网关设备标识的先后顺序,从该至少一个网关设备标识中,选取与该路由控制深度对应的网关设备标识;
向该选取的网关设备标识对应的网关设备发送该第三拦截请求,使得接收到该第三拦截请求的每个网关设备根据该第三拦截请求,对该源设备发送的第二攻击报文进行拦截。
可选地,该处理器404用于调用该程序代码,执行以下操作:
接收该网关设备发送的网关设备标识和第一设备信息,该第一设备信息由该网关设备在与该源设备连接时获取;
将该第一设备信息、控制设备标识和该网关设备标识对应存储于该信息数据库中。
上述所有可选技术方案,可以采用任意结合形成本发明的可选实施例,在此不再一一赘述。
图5是本发明实施例提供的一种网关设备的结构示意图,参见图5,包括:接收器501、发射器502、存储器503和处理器504,该接收器501和该发射器502分别与该处理器505连接,该存储器503存储有程序代码,该处理器504用于调用该程序代码,执行以下操作:
通过该接收器501,接收控制设备发送的第三拦截请求,该第三拦截请求至少携带第一设备信息,该第一设备信息用于指示向网络服务器发送第一攻击报文的源设备;
通过该处理器504,当接收到该源设备发送的第二攻击报文时,对该第二攻击报文进行拦截。
本发明实施例提供的网关设备,通过网络服务器接收到第一攻击报文时,通过安全控制实体和控制设备,向网关设备下发第三拦截请求,则网关设备在接收到源设备发送的第二攻击报文时,对该第二攻击报文进行拦截。在网络服务器的远端,实现了对攻击报文的主动拦截,避免了网络服务器再次接收到攻击报文,无需该网络服务器对攻击报文进行处理,节省了处理攻击报文所耗费的时间,避免了攻击报文所造成的信息泄露或者对网络服务器的运行造成的影响,提高了安全性能。
可选地,该当接收到该源设备发送的第二攻击报文时,该处理器504用于调用该程序代码,执行以下操作:
获取该第三拦截请求中的安全控制参数;
当接收到该源设备发送的报文时,判断该报文与该安全控制参数是否匹配;
当该报文与该安全控制参数匹配时,对该报文进行拦截。
可选地,该处理器504用于调用该程序代码,执行以下操作:
该安全控制参数包括该网络服务器的第二设备信息时,判断该报文的目标设备信息与该第二设备信息是否相同;或者,
该安全控制参数包括协议类型时,判断该报文的协议类型与该安全控制参数中的协议类型是否相同;或者,
该安全控制参数包括拦截时间段时,判断当前时间点是否属于该拦截时间段。
上述所有可选技术方案,可以采用任意结合形成本发明的可选实施例,在此不再一一赘述。
图6是本发明实施例提供的一种攻击报文的拦截方法的流程图。该发明实施例的执行主体为安全控制实体,参见图6,该方法包括:
601、安全控制实体接收网络服务器发送的第一拦截请求,该第一拦截请求至少携带向该网络服务器发送第一攻击报文的源设备的第一设备信息。
602、根据信息数据库,查询第一设备信息对应的控制设备标识,信息数据库至少包括设备信息以及对应的控制设备标识。
603、根据该控制设备标识,向控制设备发送第二拦截请求,该第二拦截请求至少携带该第一设备信息,使得该控制设备向网关设备发送第三拦截请求,第三拦截请求至少携带该第一设备信息,使得该网关设备根据第三拦截请求,对该源设备发送的第二攻击报文进行拦截。
本发明实施例提供的方法,通过网络服务器接收到第一攻击报文时,向安全控制实体发送第一拦截请求,安全控制实体接收到该第一拦截请求时,根据信息数据库,查询第一设备信息对应的控制设备标识,从而根据该控制设备标识,向控制设备下发拦截请求,以便网关设备对源设备发送的攻击报文进行拦截。在网络服务器的远端,实现了对攻击报文的主动拦截,避免了网络服务器再次接收到攻击报文,无需该网络服务器对攻击报文进行处理,节省了处理攻击报文所耗费的时间,避免了攻击报文所造成的信息泄露或者对网络服务器的运行造成的影响,提高了安全性能。
可选地,第一拦截请求还包括网络服务器的第二设备信息,根据信息数据库,查询第一设备信息对应的控制设备标识,包括:
根据信息数据库,查询第一设备信息对应的网关设备标识,信息数据库至少包括设备信息以及对应的网关设备标识;
根据网关设备标识和第二设备信息,判断网络服务器与网关设备之间是否通过转换设备连接;
当确定网络服务器与网关设备之间未通过转换设备连接时,根据信息数据库,查询第一设备信息对应的控制设备标识;
当确定网络服务器与网关设备之间通过转换设备连接时,根据转换数据库,查询第一设备信息对应的原始设备信息,根据信息数据库,查询原始设备信息对应的控制设备标识,转换数据库包括每个原始设备信息转换后的设备信息。
可选地,根据控制设备标识,向控制设备发送第二拦截请求,包括:
生成安全控制参数,安全控制参数至少包括网络服务器的第二设备信息、协议类型、拦截时间段和路由控制深度中的至少一项;
根据控制设备标识,向控制设备发送第二拦截请求,第二拦截请求至少携带第一设备信息和安全控制参数,使得第三拦截请求至少携带第一设备信息和安全控制参数,网关设备根据第三拦截请求,对源设备发送的与安全控制参数匹配的第二攻击报文进行拦截。
可选地,根据该控制设备标识,向控制设备发送第二拦截请求,包括:
根据控制设备标识,调用与控制设备之间的接口;
通过该接口,向控制设备发送该第二拦截请求。
可选地,第一设备信息至少包括源设备的网络互连协议IP地址和用于发送第一攻击报文的端口;
第一攻击报文还包括网络服务器的第二设备信息,第二设备信息至少包括网络服务器的IP地址和用于接收第一攻击报文的端口。
上述所有可选技术方案,可以采用任意结合形成本发明的可选实施例,在此不再一一赘述。
图7是本发明实施例提供的一种攻击报文的拦截方法的流程图。该发明实施例的执行主体为网络服务器,参见图7,该方法包括:
701、网络服务器接收到第一攻击报文时,获取第一攻击报文中的第一设备信息,第一设备信息用于指示发送第一攻击报文的源设备。
702、向安全控制实体发送第一拦截请求,第一拦截请求至少携带第一设备信息,使得安全控制实体接收到第一拦截请求时,向控制设备发送第二拦截请求,第二拦截请求至少携带第一设备信息,使得控制设备向网关设备发送第三拦截请求,第三拦截请求至少携带第一设备信息,使得网关设备根据第三拦截请求,对源设备发送的第二攻击报文进行拦截。
本发明实施例提供的方法,通过网络服务器接收到第一攻击报文时,向安全控制实体发送第一拦截请求,安全控制实体接收到该第一拦截请求时,根据信息数据库,查询第一设备信息对应的控制设备标识,从而根据该控制设备标识,向控制设备下发拦截请求,以便网关设备对源设备发送的攻击报文进行拦截。在网络服务器的远端,实现了对攻击报文的主动拦截,避免了网络服务器再次接收到攻击报文,无需该网络服务器对攻击报文进行处理,节省了处理攻击报文所耗费的时间,避免了攻击报文所造成的信息泄露或者对网络服务器的运行造成的影响,提高了安全性能。
图8是本发明实施例提供的一种攻击报文的拦截方法的流程图。该发明实施例的执行主体为控制设备,参见图8,该方法包括:
801、控制设备接收安全控制实体发送的第二拦截请求,第二拦截请求至少携带第一设备信息,第一设备信息用于指示向网络服务器发送第一攻击报文的源设备。
802、根据信息数据库,查询第一设备信息对应的网关设备标识,信息数据库至少包括每个设备信息对应的网关设备标识。
803、根据网关设备标识,向网关设备发送第三拦截请求,第三拦截请求至少携带第一设备信息,使得网关设备根据第三拦截请求,对源设备发送的第二攻击报文进行拦截。
本发明实施例提供的方法,通过网络服务器接收到第一攻击报文时,向安全控制实体发送第一拦截请求,安全控制实体接收到该第一拦截请求时,根据信息数据库,查询第一设备信息对应的控制设备标识,根据该控制设备标识,向控制设备下发第二拦截请求,该控制设备根据信息数据库,查询第一设备信息对应的网关设备标识,根据该网关设备标识,向该网关设备下发第三拦截请求,以便网关设备对源设备发送的攻击报文进行拦截。在网络服务器的远端,实现了对攻击报文的主动拦截,避免了网络服务器再次接收到攻击报文,无需该网络服务器对攻击报文进行处理,节省了处理攻击报文所耗费的时间,避免了攻击报文所造成的信息泄露或者对网络服务器的运行造成的影响,提高了安全性能。
可选地,根据信息数据库,查询该第一设备信息对应的网关设备标识,包括:
第二拦截请求还包括该网络服务器的第二设备信息时,根据第一设备信息、第二设备信息和预设路由表,确定源设备与网络服务器之间的路由路径,该路由路径中包括至少一个网关设备标识;
相应的,根据该网关设备标识,向网关设备发送第三拦截请求,包括:
向至少一个网关设备标识对应的至少一个网关设备发送第三拦截请求,使得接收到第三拦截请求的每个网关设备根据第三拦截请求,对源设备发送的第二攻击报文进行拦截。
可选地,当该第二拦截请求中包括安全控制参数时,该确定该源设备与该网络服务器之间的路由路径之后,该方法还包括:
获取该安全控制参数中的路由控制深度;
根据该路由路径中各个网关设备标识的先后顺序,从该至少一个网关设备标识中,选取与该路由控制深度对应的网关设备标识;
向该选取的网关设备标识对应的网关设备发送该第三拦截请求,使得接收到该第三拦截请求的每个网关设备根据该第三拦截请求,对该源设备发送的第二攻击报文进行拦截。
可选地,根据信息数据库,查询该第一设备信息对应的网关设备标识之前,该方法还包括:
接收网关设备发送的网关设备标识和第一设备信息,第一设备信息由网关设备在与源设备连接时获取;
将第一设备信息、控制设备标识和网关设备标识对应存储于信息数据库中。
上述所有可选技术方案,可以采用任意结合形成本发明的可选实施例,在此不再一一赘述。
图9是本发明实施例提供的一种攻击报文的拦截方法的流程图。该发明实施例的执行主体为网关设备,参见图9,该方法包括:
901、网关设备接收控制设备发送的第三拦截请求,第三拦截请求至少携带第一设备信息,第一设备信息用于指示向网络服务器发送第一攻击报文的源设备。
902、当接收到源设备发送的第二攻击报文时,对第二攻击报文进行拦截。
本发明实施例提供的方法,通过网络服务器接收到第一攻击报文时,通过安全控制实体和控制设备,向网关设备下发第三拦截请求,则网关设备在接收到源设备发送的第二攻击报文时,对该第二攻击报文进行拦截。在网络服务器的远端,实现了对攻击报文的主动拦截,避免了网络服务器再次接收到攻击报文,无需该网络服务器对攻击报文进行处理,节省了处理攻击报文所耗费的时间,避免了攻击报文所造成的信息泄露或者对网络服务器的运行造成的影响,提高了安全性能。
可选地,当接收到该源设备发送的第二攻击报文时,对第二攻击报文进行拦截,包括:
获取第三拦截请求中的安全控制参数;
当接收到源设备发送的报文时,判断报文与安全控制参数是否匹配;
当报文与安全控制参数匹配时,对该报文进行拦截。
可选地,该判断该报文是否与该安全控制参数匹配,包括:
该安全控制参数包括该网络服务器的第二设备信息时,判断该报文的目标设备信息与该第二设备信息是否相同;或者,
该安全控制参数包括协议类型时,判断该报文的协议类型与该安全控制参数中的协议类型是否相同;或者,
该安全控制参数包括拦截时间段时,判断当前时间点是否属于该拦截时间段。
上述所有可选技术方案,可以采用任意结合形成本发明的可选实施例,在此不再一一赘述。
本发明实施例提供的攻击报文的拦截方法可以应用于不同类型的网络系统中,且在不同类型的网络系统中,本发明实施例的具体实施过程也不同。以下将以LTE(Long TermEvolution,长期演进)网络系统为例,对本发明实施例进行详细说明。
本发明实施例应用于LTE网络系统中时,该源设备可以为用户设备,该网关设备可以为PGW(PDN Gate Way,PDN网关),该控制设备可以为PCRF(Policy and Charging RulesFunction,策略和计费规则功能)设备,该安全控制实体可以为SPC(Security PolicyCenter,安全策略中心)。
图10A是本发明实施例提供的一种LTE网络系统的结构示意图,参见图10A,该LTE网络系统包括用户设备、PGW、PCRF设备、SPC和网络服务器。其中,PCRF设备与PGW之间通过网络连接,PGW本身内置PCEF(Policy and Charging Enforcement Function,策略和计费执行功能)功能,可以通过接口接受PCRF设备的QOS(Quality of Service,服务质量)控制。PCRF设备与SPC之间通过网络连接,通过接口接受SPC的QOS控制。SPC与网络服务器之间通过网络连接。用户设备与PGW之间通过网络连接,可选地,该用户设备通过接入网与基站连接,由基站通过核心网与PGW连接。且PGW与网络服务器之间通过网络连接,该用户设备可以接入PGW,通过PGW,与该网络服务器进行通信。
图10B是本发明实施例提供的一种攻击报文的拦截方法的流程图。本发明实施例应用于图10A所示的LTE网络系统中,交互主体为用户设备、PGW、PCRF设备、SPC和网络服务器,参见图10B,该方法包括:
1001、用户设备生成攻击报文,向PGW发送该攻击报文,该攻击报文包括该用户设备的第一设备信息和网络服务器的第二设备信息。
其中,该用户设备可以为手机、计算机等设备,本发明实施例对此不做限定。该用户设备可以接入PGW,与PGW连接,PGW会为该用户设备分配IP地址,之后,该用户设备即可通过PGW,访问网络服务器。该网络服务器用于为用户设备提供服务,可以为应用服务器、网站服务器等,本发明实施例对此也不做限定。
用户设备要攻击网络服务器时,可以生成攻击报文,向PGW发送该攻击报文,由PGW向该网络服务器转发该攻击报文。可选地,该用户设备向基站发送攻击报文,该基站接收到该攻击报文时,向PGW发送该攻击报文,该PGW接收到该攻击报文时,向该网络服务器发送该攻击报文。
其中,该攻击报文可以为大流量报文,大流量报文由大量的报文组成,该网络服务器接收该大流量报文时,会耗费过多的流量。该攻击报文还可以为一个或多个畸形报文,该畸形报文可以为包含异常数据的报文,或者协议类型与该网络服务器预设的协议类型不符的报文等。另外,该攻击报文可以为DOS(Denial of Service,拒绝服务)攻击报文或DDOS(Distributed Denial of Service,分布式拒绝服务)攻击报文,本发明实施例对该攻击报文的类型和数目均不做限定。
进一步地,该攻击报文中包括第一设备信息和第二设备信息,该第一设备信息用于指示发送该攻击报文的源设备,即用于指示该用户设备,该第二设备信息用于指示接收该攻击报文的目标设备,即用于指示该网络服务器。
其中,该第一设备信息可以包括该用户设备的设备标识,该用户设备的设备标识可以包括该用户设备的设备序列号、设备名称或者地址信息等,该地址信息可以包括该用户设备的IP地址、MAC(Media Access Control,介质访问控制)地址等,该第一设备信息还可以包括该用户设备发送该攻击报文的端口或者其他信息。该第二设备信息可以包括该网络服务器的设备标识,该网络服务器的设备标识可以为该网络服务器的设备序列号、设备名称或者地址信息等,该地址信息可以包括该网络服务器的IP地址、MAC地址等,该第二设备信息还可以包括该网络服务器接收该攻击报文的端口或者其他信息。本发明实施例对该第一设备信息和该第二设备信息不做限定。
1002、当PGW接收到该攻击报文时,根据该第二设备信息,向该网络服务器发送该攻击报文。
当PGW接收到该攻击报文时,可以获取该攻击报文中的目标设备信息,即该第二设备信息,并根据该第二设备信息,确定待接收该攻击报文的网络服务器,向该网络服务器发送该攻击报文。
1003、当该网络服务器接收到该攻击报文时,向SPC发送第一拦截请求,该第一拦截请求携带该第一设备信息和该第二设备信息。
当该网络服务器接收到该攻击报文时,会先将该攻击报文看作正常报文,对该攻击报文进行响应,但是,在响应的过程中,该攻击报文会导致该网络服务器的运行出现异常,此时,该网络服务器可以识别出当前接收到的报文为攻击报文,则该网络服务器获取该攻击报文中的该第一设备信息,并向SPC发送第一拦截请求,该第一拦截请求携带该第一设备信息和该第二设备信息,该第一拦截请求用于请求SPC对该第一设备信息所指示的用户设备发送的报文进行拦截,从而避免再次接收到该用户设备发送的攻击报文。
本发明实施例仅以该网络服务器接收到该用户设备发送的攻击报文时,即向SPC发送第一拦截请求为例进行说明,实际上,该网络服务器在第一次接收到该用户设备发送的攻击报文时,可以丢弃该攻击报文,而不向SPC发送第一拦截请求,后续过程中,当该网络服务器接收到该用户设备发送的攻击报文的数目已达到预设数目时,再向SPC发送第一拦截请求,请求对该用户设备发送的报文进行拦截。或者,当该网络服务器接收到该用户设备发送的攻击报文的次数已达到预设次数时,再向SPC发送第一拦截请求,请求对该用户设备发送的报文进行拦截。
其中,该预设数目和该预设次数可以由该网络服务器根据处理能力预先确定,也可以由SPC确定并发送给该网络服务器,本发明实施例对此不做限定。
需要说明的是,本发明实施例以该第一拦截请求携带该第一设备信息和该第二设备信息为例,则可以根据该第一设备信息和该第二设备信息,对该用户设备要发送给该网络服务器的报文进行拦截。而在实际应用时,该第一拦截请求还可以仅携带该第一设备信息,而不携带该第二设备信息,则可以根据该第一设备信息,对该用户设备发送的报文进行拦截,本发明实施例对此不做限定。
另外,该网络服务器还可以获取该攻击报文的攻击流量,该攻击流量是指该网络服务器接收该攻击报文和响应该攻击报文时所耗费的数据流量,该网络服务器还可以获取该攻击报文中报文的总数目、拦截时间段或者其他信息,则该网络服务器向SPC发送该第一拦截请求时,该第一拦截请求还可以包括该攻击报文的攻击流量和该攻击报文中报文的总数目、拦截时间段等信息,本发明实施例对此也不做限定。
1004、当SPC接收到第一拦截请求时,根据信息数据库,查询该第一设备信息对应的控制设备标识,并根据该第二设备信息,生成安全控制参数。
SPC接收到该第一拦截请求时,需要确定该用户设备连接的控制设备,才能对该控制设备下发拦截请求,以对该用户设备所发送的报文进行拦截。为此,当SPC接收到第一拦截请求时,根据信息数据库,查询该第一设备信息对应的控制设备标识。
其中,该信息数据库中包括设备信息以及对应的控制设备标识,该控制设备标识用于指示与该设备信息所指示设备连接的PCRF设备,可以为PCRF设备的设备序列号、设备名称或者地址信息等,该地址信息可以为PCRF设备的IP地址等,本发明实施例对此不做限定。
例如,该信息数据库中的设备信息可以为设备的IP地址,该控制设备标识可以为PCRF设备的IP地址,则该信息数据库可以如下表1所示,该信息数据库中包括用户设备的IP地址,以及与该用户设备连接的PCRF设备的IP地址。
表1
| 用户设备的IP地址 | PCRF设备的IP地址 |
| IP 11 | IP 21 |
| IP 12 | IP 22 |
SPC接收到该第一拦截请求时,可以获取该第一设备信息,根据该信息数据库,查询该第一设备信息对应的控制设备标识,根据该控制设备标识,即可确定与该用户设备连接的PCRF设备,以便向PCRF设备发送第二拦截请求。
另外,该信息数据库中还包括设备信息以及对应的网关设备标识,该网关设备标识用于指示与该设备信息所指示设备连接的PGW,可以为PGW的设备序列号、设备名称或者地址信息等,本发明实施例对此不做限定。
例如,该信息数据库中的设备信息可以为设备的IP地址,该控制设备标识可以为PGW的IP地址,则该信息数据库可以如下表2所示,该信息数据库中包括用户设备的IP地址与该用户设备连接的PGW的IP地址。
表2
| 用户设备的IP地址 | PGW的IP地址 |
| IP 11 | IP 31 |
| IP 12 | IP 32 |
需要说明的是,该信息数据库中既可以包括设备信息以及对应的控制设备标识,也可以包括设备信息以及对应的网关设备标识。以上述表1和表2中的IP地址为例,当该信息数据库同时包括设备信息对应的控制设备标识和网关设备标识时,该信息数据库还可以如下表3所示。
表3
| 用户设备的IP地址 | PCRF设备的IP地址 | PGW的IP地址 |
| IP 11 | IP 21 | IP 31 |
| IP 12 | IP 22 | IP 32 |
实际应用时,该用户设备与PGW连接,接入PGW时,PGW为该用户设备分配IP地址,并获取该用户设备的第一设备信息和该网关设备标识,向该PCRF设备发送该第一设备信息和该网关设备标识,该PCRF设备接收到该第一设备信息和该网关设备标识时,获取该PCRF设备的控制设备标识,将该第一设备信息、该控制设备标识和该网关设备标识对应存储于该信息数据库中。则后续过程中,PCRF设备、PGW均可访问该信息数据库,查询设备信息对应的控制设备标识和网关设备标识。
需要说明的是,本发明实施例仅以该PGW直接向该网络服务器发送该攻击报文为例进行说明,该网络服务器从该攻击报文中获取到该第一设备信息,认为该第一设备信息即为该用户设备的设备信息,则该网络服务器向SPC发送的第一拦截请求中携带该第一设备信息,以便根据该第一设备信息,对该用户设备发送的报文进行拦截。
然而,在实际应用中,PGW与该网络服务器之间还可以通过转换设备连接,则PGW向该网络服务器发送该攻击报文时,该攻击报文会先经过该转换设备,该转换设备会将该攻击报文中包含的该用户设备的原始设备信息进行转换,再将转换设备信息后的攻击报文发送给该网络服务器,那么,当该网络服务器接收到该攻击报文时,仅能从该攻击报文中获取到转换后的设备信息,而不能获取到该用户设备的原始设备信息,此时,该网络服务器会将转换后的设备信息误认为是该用户设备的原始设备信息。
其中,该转换设备可以为NAT(Network Address Translation,网络地址转换)设备或者防火墙设备等,本发明实施例对此不做限定。
例如,该用户设备的IP地址为220.231.00.22,该攻击报文中包括该IP地址,该转换设备接收到该攻击报文时,会对该IP地址进行转换,得到另一IP地址220.211.11.00,并将转换IP地址后的攻击报文发送给该网络服务器,网络服务器接收到该攻击报文时,会将转换以后的IP地址220.211.11.00误认为是该用户设备的IP地址。
为了避免将转换设备转换后的设备信息误认为是该用户设备的设备信息,当SPC接收到该第一拦截请求,且该第一拦截请求携带第一设备信息时,查询该第一设备信息对应的控制设备标识具体可以包括以下步骤1004-1至1004-3:
1004-1、SPC根据该第一设备信息,判断该网络服务器与该PGW之间是否通过转换设备连接,执行下述步骤1004-2或1004-3。
在本发明实施例中,SPC可以判断该网络服务器与该用户设备对应的PGW之间是否通过转换设备连接,以确定该第一设备信息是否为该用户设备的设备信息。
具体地,当前应用的网络系统还包括转换数据库,该转换数据库包括每个原始设备信息转换后的设备信息。每当该转换设备接收到报文,将报文中的原始设备信息转换为另一设备信息时,可以将该原始设备信息和转换后的设备信息对应存储于该转换数据库中,后续过程中,SPC即可访问该转换数据库,根据该转换数据库,查询到设备信息对应的原始设备信息。
那么,在判断该网络服务器与该PGW之间是否通过转换设备连接时,SPC可以根据该第一设备信息,查询该转换数据库,如果在该转换数据库中查询到该第一设备信息,则表示该第一设备信息是由转换设备转换以后的设备信息,也即是,该网络服务器与该PGW之间通过转换设备连接,该第一设备信息不是该用户设备的设备信息。
而如果在该转换数据库中未查询到该第一设备信息,则可以认为该第一设备信息未通过转换设备进行转换,则SPC确定该网络服务器与该PGW之间未通过转换设备连接,该第一设备信息即为该用户设备的设备信息。
进一步地,如果在该转换数据库中未查询到该第一设备信息,SPC还可以根据该第一设备信息,查询该信息数据库,判断在该信息数据库中是否包括该第一设备信息对应的网关设备标识,如果该信息数据库中包括该第一设备信息对应的网关设备标识,表示该第一设备信息所指示的设备与PGW连接,是PGW接入的设备,则可以确定该网络服务器与该PGW之间未通过转换设备连接,该第一设备信息即为该用户设备的设备信息。
1004-2、当SPC确定该网络服务器与该网关设备之间未通过转换设备连接时,根据该信息数据库,查询该第一设备信息对应的控制设备标识。
如果该网络服务器与该PGW之间未通过转换设备连接,表示该第一设备信息即为该用户设备的设备信息,则SPC根据该信息数据库,查询该第一设备信息对应的控制设备标识即可。
1004-3、当SPC确定该网络服务器与该网关设备之间通过转换设备连接时,根据转换数据库,查询该第一设备信息对应的原始设备信息,根据该信息数据库,查询该原始设备信息对应的控制设备标识。
如果该网络服务器与该PGW之间通过转换设备连接,表示该第一设备信息不是该用户设备的设备信息,则SPC根据转换数据库,查询该第一设备信息对应的原始设备信息,也即是该第一设备信息转换之前的设备信息,再根据该信息数据库,查询该原始设备信息对应的控制设备标识。该原始设备信息即为该用户设备实际的设备信息,该控制设备标识即可用于指示该用户设备连接的PCRF设备。
另外,当该第一拦截请求包括该网络服务器的第二设备信息时,该SPC可以根据该第二设备信息和预设安全控制策略,生成安全控制参数,该安全控制参数用于规定需拦截的报文所符合的条件。该预设安全控制策略可以由SPC预先确定,本发明实施例对此不做限定。
其中,该安全控制参数至少包括该网络服务器的第二设备信息、协议类型、拦截时间段中的至少一项。该安全控制参数包括该网络服务器的第二设备信息时,表示需对该用户设备发送给该网络服务器的报文进行拦截,该安全控制参数包括该协议类型时,表示需对符合该协议类型的报文进行拦截,该安全控制参数包括该拦截时间段时,表示需对该拦截时间段内的报文进行拦截。当然,该安全控制参数也可以包括其他类型的参数,本发明实施例对此不做限定。
1005、该SPC根据该控制设备标识,向该控制设备标识对应的PCRF设备发送第二拦截请求,该第二拦截请求携带该第一设备信息和该安全控制参数。
SPC查询到该控制设备标识后,即可确定该控制设备标识对应的PCRF设备,则SPC根据该控制设备标识,向确定的PCRF设备发送该第二拦截请求,该第二拦截请求携带该第一设备信息和该安全控制参数。
可选地,SPC根据该控制设备标识,调用与该PCRF设备之间的接口,通过该接口,向该PCRF设备发送该第二拦截请求。其中,该接口可以为PCRF设备的Rx接口,本发明实施例对此不做限定。
进一步地,SPC可以采用AVP(Attribute Value Pair,属性值对)的形式,对PCRF设备的接口进行扩展,扩展出安全控制表项,该SPC通过该接口发送第二拦截请求时,可以将确定的安全控制参数添加至扩展的安全控制表项中,则该第二拦截请求携带该安全控制参数。
本发明实施例中,在LTE网络系统中引入SPC,由PCRF设备向SPC开放接口,并对PCRF设备的接口进行扩展,SPC可以通过该接口,向PCRF设备发送该第二拦截请求,能够以PCRF设备为媒介,通过PCRF设备,实现对PGW的控制,最终由PGW对该用户设备发送的报文进行拦截。
需要说明的是,本发明实施例以SPC生成安全控制参数,且该第二拦截请求携带该第一设备信息和该安全控制参数为例进行说明,根据该第一设备信息和该安全控制参数,可以对该用户设备发送的、与该安全控制参数匹配的报文进行拦截。而在实际应用中,当SPC接收到的第一拦截请求仅携带该第一设备信息而未携带第二设备信息时,该第二拦截请求可以仅携带该第一设备信息,而不携带该第二设备信息,则根据该第一设备信息可以对该用户设备发送的报文进行拦截。而当SPC接收到的第一拦截请求携带该第一设备信息和该第二设备信息时,该第二拦截请求可以携带该第一设备信息和该第二设备信息,根据该第一设备信息和该第二设备信息,可以对该用户设备要发送给该网络服务器的报文进行拦截,本发明实施例对该第二拦截请求不做限定。
1006、当PCRF设备接收到该第二拦截请求时,根据该信息数据库,查询该第一设备信息对应的网关设备标识。
该步骤1006与上述步骤1004-1类似,在此不再赘述。
1007、PCRF设备根据该网关设备标识,向该网关设备标识对应的PGW发送第三拦截请求,该第三拦截请求携带该第一设备信息和该安全控制参数。
查询到该网关设备标识后,PCRF设备向该网关设备标识对应的PGW发送第三拦截请求,以便指示PGW根据该第三拦截请求,对该用户设备发送的报文进行拦截。
可选地,PCRF设备根据该网关设备标识,调用与该PGW之间的接口,通过该接口,向该PGW发送该第三拦截请求。其中,该接口可以为Gx接口,本发明实施例对此不做限定。
进一步地,PCRF设备可以采用AVP的形式,对PCRF设备与PGW之间的接口进行扩展,扩展出安全控制表项,该PCRF设备通过该接口发送第三拦截请求时,可以将确定的安全控制参数添加至扩展的安全控制表项中,则该第三拦截请求携带该安全控制参数。
1008、当PGW接收到该第三拦截请求时,对应存储该第一设备信息和该安全控制参数,当根据该第一设备信息确定接收到该用户设备发送的报文时,判断该报文与该安全控制参数是否匹配。
当PGW接收到该第三拦截请求时,获取该第一设备信息和该安全控制参数,并对应存储该第一设备信息和该安全控制参数。后续过程中,当PGW接收到报文时,获取发送该报文的源设备的设备信息,判断获取到的设备信息与该第一设备信息是否相同,如果获取到的设备信息与该第一设备信息相同,表示该报文由该用户设备发送,则PGW判断该报文与该安全控制参数是否匹配。
具体地,判断该报文与该安全控制参数是否匹配可以包括以下步骤(1)-(3)中的至少一项:
(1)该安全控制参数包括该网络服务器的第二设备信息时,判断该报文的目标设备信息与该第二设备信息是否相同。
该安全控制参数包括该网络服务器的第二设备信息时,表示需要对该用户设备发送给该网络服务器的报文进行拦截,则当PGW接收到该用户设备发送的报文时,获取该报文中的目标设备信息,判断该目标设备信息与该第二设备信息是否相同,当该目标设备信息与该第二设备信息相同时,表示该报文是该用户设备要发送给该网络服务器的报文,则确定该报文与该安全控制参数匹配。
例如,该PGW可以判断该目标设备信息中的地址信息与该第二设备信息中的地址信息是否相同,如果是,确定该报文与该安全控制参数匹配。或者,该该PGW可以判断该目标设备信息中的各项参数与该第二设备信息中的各项参数是否均相同,如果各项参数均相同,确定该报文与该安全控制参数匹配。本发明实施例对此不做限定。
其中,如果该目标设备信息中的各项参数与该第二设备信息中的各项参数均相同时,才确定该报文与该安全控制参数匹配,那么,当该安全控制参数包括该网络服务器的IP地址时,PGW根据该IP地址,对该用户设备要发送给该网络服务器的报文进行拦截。而当该安全控制参数包括该网络服务器的IP地址和端口时,PGW可以对该用户设备要发送给该网络服务器上该端口的报文进行拦截,而不对该用户设备要发送给该网络服务器的其他端口的报文进行拦截。
(2)该安全控制参数包括协议类型时,判断该报文的协议类型与该安全控制参数中的协议类型是否相同。
该安全控制参数包括协议类型时,表示需要对该用户设备发送的、符合该协议类型的报文进行拦截,则当PGW接收到该用户设备发送的报文时,对该报文进行解析,确定该报文的协议类型,判断该报文的协议类型与该安全控制参数中的协议类型是否相同,如果该报文的协议类型与该安全控制参数中的协议类型相同,则确定该报文与该安全控制参数匹配。
(3)该安全控制参数包括拦截时间段时,判断当前时间点是否属于该拦截时间段。
该安全控制参数包括拦截时间段时,表示要在该拦截时间段内,对该用户设备发送的报文进行拦截,则当PGW接收到该用户设备发送的报文时,获取当前时间点,判断当前时间点是否属于该拦截时间段,如果当前时间点属于该拦截时间段,则确定该报文与该安全控制参数匹配。
需要说明的是,本发明实施例以上述三种参数:第二设备信息、协议类型和拦截时间段为例,当PGW接收到该用户设备发送的报文时,只要确定该报文与上述三种参数中的任一种匹配,即可确定该报文与该安全控制参数匹配,则对该报文进行拦截。而在实际应用中,PGW还可以在确定该报文与该安全控制参数中的每种参数均匹配时,才确定该报文与该安全控制参数匹配,才会对该报文进行拦截。具体采用哪种匹配方式可以由SPC确定,并通过PCRF设备发送给PGW,本发明实施例对此不做限定。
1009、当PGW确定该报文与该安全控制参数匹配时,对该报文进行拦截。
如果该报文与该安全控制参数匹配,则对该报文进行拦截,如果该报文与该安全控制参数不匹配,则确定无需对该报文进行拦截,获取该报文中的目标设备信息,根据该目标设备信息,向对应的目标设备发送该报文即可。
需要补充说明的是,本发明实施例以第一拦截请求、第二拦截请求、第三拦截请求为例进行说明,实际上,该第一拦截请求、该第二拦截请求和该第三拦截请求可以为相同的请求,即该网络服务器向SPC发送拦截请求时,SPC向PCRF设备转发该拦截请求,PCRF设备向PGW转发该拦截请求即可。或者,该第二拦截请求和该第三拦截请求可以为相同的请求,该网络服务器向SPC发送第一拦截请求时,SPC生成安全控制参数,向PCRF设备发送携带该安全控制参数的第二拦截请求,PCRF设备向PGW转发该第二拦截请求即可。本发明实施例对第一拦截请求、第二拦截请求和第三拦截请求不做限定。
本发明实施例的操作流程可以如图10C所示,参见图10C,该操作流程可以包括以下步骤(1)-(4):
(1)用户设备上线后,PGW向PCRF设备发送为该用户设备分配的IP地址和PGW的ID(Identity,序列号),由PCRF设备将用户设备的IP地址、PGW的ID和PCRF设备的ID上传至信息数据库。
(2)用户设备向网络服务器发送攻击报文,攻击报文包括第一设备信息和第二设备信息。
(3)网络服务器识别出攻击报文时,向SPC发送拦截请求,SPC找到用户设备对应的PCRF设备,通过Rx接口,向PCRF设备下发拦截请求,PCRF设备找到用户设备对应的PGW,通过Gx接口,向PGW下发拦截请求。
(4)用户设备再次向网络服务器发送报文时,PGW会对该报文进行拦截,将该报文丢弃。
本发明实施例通过网络服务器在接收到攻击报文时,向SPC发送网络级别的安全防御请求,实现了网络级别的攻击防御,通过多个网元共同配合,能够在网络服务器的远端实现对攻击报文的主动拦截,使得网络服务器不会再接收到用户设备发送的攻击报文,彻底解决了攻击问题。
本发明实施例提供的方法,通过在LTE网络系统中,网络服务器接收到用户设备发送的第一攻击报文时,向SPC发送第一拦截请求,SPC接收到该第一拦截请求时,根据信息数据库,查询第一设备信息对应的控制设备标识,根据该控制设备标识,向PCRF设备下发第二拦截请求,PCRF设备根据信息数据库,查询第一设备信息对应的网关设备标识,根据该网关设备标识,向PGW下发第三拦截请求,以便网关设备对用户设备发送的攻击报文进行拦截。在网络服务器的远端,实现了对攻击报文的主动拦截,避免了网络服务器再次接收到攻击报文,无需该网络服务器对攻击报文进行处理,节省了处理攻击报文所耗费的时间,避免了攻击报文所造成的信息泄露或者对网络服务器的运行造成的影响,提高了安全性能。进一步地,对该SPC与PCRF设备之间的接口进行扩展,并对PCRF设备与PGW之间的接口进行扩展,则SPC可以通过与PCRF设备之间的接口以及PCRF设备与PGW之间的接口,下发安全控制参数,该网关设备接收到该用户设备发送的报文时,即可根据该安全控制参数,对与该安全控制参数匹配的报文进行拦截,而不对与该安全控制参数不匹配的报文进行拦截,增强了拦截报文的准确性。
本发明实施例提供的攻击报文的拦截方法还可以应用于固定网络系统中,以下将以固定网络系统为例,对本发明实施例进行详细说明。
本发明实施例应用于固定网络系统中时,该源设备可以为用户设备,该网关设备可以包括至少一个路由器,该控制设备可以为SDN(Software Defined Network,软件定义网络)控制器,该安全控制实体可以为SPC。
图11A是本发明实施例提供的一种固定网络系统的结构示意图,参见图11A,该固定网络系统包括用户设备、至少一个路由器、SDN控制器、SPC和网络服务器。其中,SDN控制器与至少一个路由器之间通过网络连接,SDN控制器与SPC之间通过网络连接,SPC与网络服务器之间通过网络连接。用户设备与至少一个路由器之间通过网络连接,该至少一个路由器与网络服务器之间通过网络连接,该用户设备可以通过该至少一个路由器,与该网络服务器进行通信。
图11B是本发明实施例提供的一种攻击报文的拦截方法的流程图。本发明实施例应用于图11A所示的网络系统中,交互主体为用户设备、路由器、SDN控制器、SPC和网络服务器,参见图11B,该方法包括:
1101、用户设备生成攻击报文,通过至少一个路由器,向网络服务器发送该攻击报文,该攻击报文包括该用户设备的第一设备信息和网络服务器的第二设备信息。
该用户设备生成攻击报文的步骤与上述步骤1001类似,在此不再赘述。
本发明实施例中,该用户设备发送该攻击报文时,该攻击报文会经过该至少一个路由器到达该网络服务器。
具体地,SDN控制器可以预先确定预设路由表,该预设路由表中包括网络系统中任两个设备之间的路由路径,每个路由路径中包括至少一个路由器,由该至少一个路由器按照先后顺序连接而成。该SDN控制器会将该预设路由表下发至每个路由器,则对于每个路由器来说,该路由器可以根据该预设路由表确定下一跳路由器。进一步地,当路由器接收到该攻击报文时,可以根据该攻击报文,确定该网络服务器的第二设备信息,根据该网络服务器的第二设备信息和该预设路由表,确定下一跳路由器,向下一跳路由器发送该攻击报文,则下一跳路由器也会重复执行上述步骤,向下下一跳路由器发送该攻击报文,以此类推,直至该攻击报文发送至该网络服务器时为止。
1102、当该网络服务器接收到该攻击报文时,向SPC发送第一拦截请求,该第一拦截请求携带该第一设备信息和该第二设备信息。
步骤1102与上述步骤1003类似,在此不再赘述。
1103、当SPC接收到第一拦截请求时,根据信息数据库,查询该第一设备信息对应的控制设备标识,并根据该第二设备信息,生成安全控制参数。
步骤1103与上述步骤1004类似,其不同之处在于,在本发明实施例中,该控制设备标识用于指示与该设备信息所指示设备连接的SDN控制器,可以为SDN控制器的设备序列号、设备名称或者地址信息等,该地址信息可以为SDN控制器的IP地址等,本发明实施例对此不做限定。
另外,该安全控制参数可以包括该网络服务器的第二设备信息、协议类型、拦截时间段和路由控制深度中的至少一项,该路由控制深度用于确定该用户设备与该网络服务器之间的路由路径中用于拦截报文的路由器的数目,可以由SPC根据预设安全控制策略、该第一拦截请求中的该第一攻击报文的攻击流量和报文总数目等确定,本发明实施例对此不做限定。
1104、该SPC根据该控制设备标识,向该控制设备标识对应的SDN控制器发送第二拦截请求,该第二拦截请求携带该第一设备信息和该安全控制参数。
可选地,SPC根据该控制设备标识,调用与SDN控制器之间的接口,通过该接口,向该SDN控制器发送该第二拦截请求。其中,该接口可以为SDN控制器的OpenFlow接口,本发明实施例对此不做限定。
进一步地,SPC可以采用AVP的形式,对SDN控制器的接口进行扩展,扩展出安全控制表项,该SPC通过该接口发送第二拦截请求时,可以将确定的安全控制参数添加至扩展的安全控制表项中,则该第二拦截请求携带该安全控制参数。
1105、当SDN控制器接收到该第二拦截请求时,根据该信息数据库,查询该第一设备信息对应的网关设备标识。
在本发明实施例中,该网关设备标识用于指示与该设备信息所指示设备连接的路由器,可以为路由器的设备序列号、设备名称或者地址信息等,该地址信息可以为路由器的IP地址等,本发明实施例对此不做限定。
具体地,SDN控制器接收到该第二拦截请求时,根据该第一设备信息、该第二设备信息和预设路由表,确定该用户设备与该网络服务器之间的路由路径,该路由路径中包括至少一个网关设备标识,则可以向该至少一个网关设备标识对应的至少一个路由器发送该第三拦截请求,使得接收到该第三拦截请求的每个路由器根据该第三拦截请求,对该用户设备发送的攻击报文进行拦截。
进一步地,该用户设备与该网络服务器之间可能具有多条路由路径,则该SDN控制器根据该第一设备信息、该第二设备信息和预设路由表,确定该用户设备与该网络服务器之间的多条路由路径,向每条路由路径中的每个路由器发送该第三拦截请求。
另外,当该安全控制参数中包括路由控制深度时,对于确定的每条路由路径,SDN控制器获取该路由控制深度,根据该路由路径中各个网关设备标识的先后顺序,从该至少一个网关设备标识中,选取与该路由控制深度对应的网关设备标识,向该选取的网关设备标识对应的路由器发送该第三拦截请求,使得接收到该第三拦截请求的每个路由器根据该第三拦截请求,对该用户设备发送的攻击报文进行拦截。
例如,该路由控制深度为3,则在该用户设备与该网络服务器之间的路由路径中,从该用户设备直接连接的路由器开始,根据该路由路径中各个路由器的先后顺序,选取3个路由器,向选取的3个路由器发送该第三拦截请求。
1106、SDN控制器根据该网关设备标识,向该网关设备标识对应的路由器发送第三拦截请求,该第三拦截请求携带该第一设备信息和该安全控制参数。
向路由器发送该第三拦截请求时,SDN控制器可以根据该网关设备标识,调用与该路由器之间的接口,通过该接口,向该路由器发送该第三拦截请求。
SDN控制器可以采用AVP的形式,对SDN控制器与路由器之间的接口进行扩展,扩展出安全控制表项,该SDN控制器通过该接口发送第三拦截请求时,可以将确定的安全控制参数添加至扩展的安全控制表项中,则该第三拦截请求携带该安全控制参数。
1107、接收到该第三拦截请求的每个路由器对应存储该第一设备信息和该安全控制参数,当根据该第一设备信息确定接收到该用户设备发送的报文时,判断该报文与该安全控制参数是否匹配,当该报文与该安全控制参数匹配时,对该报文进行拦截。
步骤1107与上述步骤1008-1009类似,在此不再赘述。
本发明实施例的操作流程可以如图11C所示,参见图11C,该操作流程可以包括以下步骤(1)-(3):
(1)用户设备向网络服务器发送攻击报文,攻击报文包括第一设备信息和第二设备信息。
(2)网络服务器识别出攻击报文时,向SPC发送拦截请求,SPC找到用户设备对应的SDN控制器,通过OpenFlow接口,向SDN控制器下发拦截请求。SDN控制器找到用户设备对应的路由器,向路由器下发拦截请求。
(3)用户设备再次向网络服务器发送报文时,路由器会对该报文进行拦截,将该报文丢弃。
本发明实施例提供的方法,通过在固定网络系统中,网络服务器接收到用户设备发送的第一攻击报文时,向SPC发送第一拦截请求,SPC接收到该第一拦截请求时,根据信息数据库,查询第一设备信息对应的控制设备标识,根据该控制设备标识,向SDN控制器下发第二拦截请求,SDN控制器根据信息数据库,查询第一设备信息对应的网关设备标识,根据该网关设备标识,向路由器下发第三拦截请求,以便网关设备对用户设备发送的攻击报文进行拦截。在网络服务器的远端,实现了对攻击报文的主动拦截,避免了网络服务器再次接收到攻击报文,无需该网络服务器对攻击报文进行处理,节省了处理攻击报文所耗费的时间,避免了攻击报文所造成的信息泄露或者对网络服务器的运行造成的影响,提高了安全性能。进一步地,对该SPC与SDN控制器之间的接口进行扩展,并对SDN控制器与路由器之间的接口进行扩展,则SPC可以通过与SDN控制器之间的接口以及SDN控制器与路由器之间的接口,下发安全控制参数,该网关设备接收到该用户设备发送的报文时,即可根据该安全控制参数,对与该安全控制参数匹配的报文进行拦截,而不对与该安全控制参数不匹配的报文进行拦截,增强了拦截报文的准确性。
图12是本发明实施例提供的一种攻击报文的拦截装置结构示意图,参见图12,该装置包括:
接收模块1201,用于接收网络服务器发送的第一拦截请求,该第一拦截请求至少携带向该网络服务器发送的第一攻击报文中的第一设备信息,该第一设备信息用于指示发送该第一攻击报文的源设备;
查询模块1202,用于根据信息数据库,查询该第一设备信息对应的控制设备标识,该信息数据库至少包括设备信息以及对应的控制设备标识;
发送模块1203,用于根据该控制设备标识,向控制设备发送第二拦截请求,该第二拦截请求至少携带该第一设备信息,使得该控制设备向网关设备发送第三拦截请求,该第三拦截请求至少携带该第一设备信息,使得该网关设备根据该第三拦截请求,对该源设备发送的第二攻击报文进行拦截。
本发明实施例提供的装置,通过网络服务器接收到第一攻击报文时,向该装置发送第一拦截请求,该装置接收到该第一拦截请求时,根据信息数据库,查询第一设备信息对应的控制设备标识,从而根据该控制设备标识,向控制设备下发拦截请求,以便网关设备对源设备发送的攻击报文进行拦截。在网络服务器的远端,实现了对攻击报文的主动拦截,避免了网络服务器再次接收到攻击报文,无需该网络服务器对攻击报文进行处理,节省了处理攻击报文所耗费的时间,避免了攻击报文所造成的信息泄露或者对网络服务器的运行造成的影响,提高了安全性能。
可选地,该查询模块1202包括:
判断单元,用于根据该第一设备信息,判断该网络服务器与该网关设备之间是否通过转换设备连接;
第一查询单元,用于当确定该网络服务器与该网关设备之间未通过转换设备连接时,根据该信息数据库,查询该第一设备信息对应的控制设备标识;
第二查询单元,用于当确定该网络服务器与该网关设备之间通过转换设备连接时,根据转换数据库,查询该第一设备信息对应的原始设备信息,根据该信息数据库,查询该原始设备信息对应的控制设备标识,该转换数据库包括每个原始设备信息转换后的设备信息。
可选地,该装置还包括:
参数生成模块,用于生成安全控制参数,该安全控制参数至少包括该网络服务器的第二设备信息、协议类型、拦截时间段和路由控制深度中的至少一项;
该发送模块1203,用于根据该控制设备标识,向该控制设备发送该第二拦截请求,该第二拦截请求至少携带该第一设备信息和该安全控制参数,使得该第三拦截请求至少携带该第一设备信息和该安全控制参数,该网关设备根据该第三拦截请求,对该源设备发送的与该安全控制参数匹配的第二攻击报文进行拦截。
可选地,该发送模块1203还用于根据该控制设备标识,调用与该控制设备之间的接口;通过该接口,向该控制设备发送该第二拦截请求。
可选地,该第一设备信息至少包括该源设备的网络互连协议IP地址和用于发送该第一攻击报文的端口;
该第一攻击报文还包括该网络服务器的第二设备信息,该第二设备信息至少包括该网络服务器的IP地址和用于接收该第一攻击报文的端口。
上述所有可选技术方案,可以采用任意结合形成本发明的可选实施例,在此不再一一赘述。
图13是本发明实施例提供的一种攻击报文的拦截装置结构示意图,参见图13,该装置包括:
信息获取模块1301,用于当网络服务器接收到第一攻击报文时,获取该第一攻击报文中的第一设备信息,该第一设备信息用于指示发送该第一攻击报文的源设备;
发送模块1302,用于向安全控制实体发送第一拦截请求,该第一拦截请求至少携带该第一设备信息,使得该安全控制实体接收到该第一拦截请求时,向控制设备发送第二拦截请求,该第二拦截请求至少携带该第一设备信息,使得该控制设备向网关设备发送第三拦截请求,该第三拦截请求至少携带该第一设备信息,使得该网关设备根据该第三拦截请求,对该源设备发送的第二攻击报文进行拦截。
本发明实施例提供的装置,通过网络服务器接收到第一攻击报文时,向安全控制实体发送第一拦截请求,安全控制实体接收到该第一拦截请求时,根据信息数据库,查询第一设备信息对应的控制设备标识,从而根据该控制设备标识,向控制设备下发拦截请求,以便网关设备对源设备发送的攻击报文进行拦截。在网络服务器的远端,实现了对攻击报文的主动拦截,避免了网络服务器再次接收到攻击报文,无需该网络服务器对攻击报文进行处理,节省了处理攻击报文所耗费的时间,避免了攻击报文所造成的信息泄露或者对网络服务器的运行造成的影响,提高了安全性能。
图14是本发明实施例提供的一种攻击报文的拦截装置结构示意图,参见图14,该装置包括:
接收模块1401,用于接收安全控制实体发送的第二拦截请求,该第二拦截请求至少携带第一设备信息,该第一设备信息用于指示向网络服务器发送第一攻击报文的源设备;
查询模块1402,用于根据信息数据库,查询该第一设备信息对应的网关设备标识,该信息数据库至少包括每个设备信息对应的网关设备标识;
发送模块1403,用于根据该网关设备标识,向网关设备发送第三拦截请求,该第三拦截请求至少携带该第一设备信息,使得该网关设备根据该第三拦截请求,对该源设备发送的第二攻击报文进行拦截。
本发明实施例提供的装置,通过网络服务器接收到第一攻击报文时,向安全控制实体发送第一拦截请求,安全控制实体接收到该第一拦截请求时,根据信息数据库,查询第一设备信息对应的控制设备标识,根据该控制设备标识,向控制设备下发第二拦截请求,该控制设备根据信息数据库,查询第一设备信息对应的网关设备标识,根据该网关设备标识,向该网关设备下发第三拦截请求,以便网关设备对源设备发送的攻击报文进行拦截。在网络服务器的远端,实现了对攻击报文的主动拦截,避免了网络服务器再次接收到攻击报文,无需该网络服务器对攻击报文进行处理,节省了处理攻击报文所耗费的时间,避免了攻击报文所造成的信息泄露或者对网络服务器的运行造成的影响,提高了安全性能。
可选地,该查询模块1402包括:
路径查询单元,用于该第二拦截请求还包括该网络服务器的第二设备信息时,根据该第一设备信息、该第二设备信息和预设路由表,确定该源设备与该网络服务器之间的路由路径,该路由路径中包括至少一个网关设备标识;
相应的,该发送模块1403还用于向该至少一个网关设备标识对应的至少一个网关设备发送该第三拦截请求,使得接收到该第三拦截请求的每个网关设备根据该第三拦截请求,对该源设备发送的第二攻击报文进行拦截。
可选地,当该第二拦截请求中包括安全控制参数时,该查询模块1402还包括:
控制深度获取单元,用于获取该安全控制参数中的路由控制深度;
设备选取单元,用于根据该路由路径中各个网关设备标识的先后顺序,从该至少一个网关设备标识中,选取与该路由控制深度对应的网关设备标识;
该发送模块,还用于向该选取的网关设备标识对应的网关设备发送该第三拦截请求,使得接收到该第三拦截请求的每个网关设备根据该第三拦截请求,对该源设备发送的第二攻击报文进行拦截。
可选地,该查询模块1402包括:
接收单元,用于接收该网关设备发送的网关设备标识和第一设备信息,该第一设备信息由该网关设备在与该源设备连接时获取;
存储单元,用于将该第一设备信息、控制设备标识和该网关设备标识对应存储于该信息数据库中。
上述所有可选技术方案,可以采用任意结合形成本发明的可选实施例,在此不再一一赘述。
图15是本发明实施例提供的一种攻击报文的拦截装置结构示意图,参见图15,该装置包括:
接收模块1501,用于接收控制设备发送的第三拦截请求,该第三拦截请求至少携带第一设备信息,该第一设备信息用于指示向网络服务器发送第一攻击报文的源设备;
拦截模块1502,用于当接收到该源设备发送的第二攻击报文时,对该第二攻击报文进行拦截。
本发明实施例提供的装置,通过网络服务器接收到第一攻击报文时,通过安全控制实体和控制设备,向网关设备下发第三拦截请求,则网关设备在接收到源设备发送的第二攻击报文时,对该第二攻击报文进行拦截。在网络服务器的远端,实现了对攻击报文的主动拦截,避免了网络服务器再次接收到攻击报文,无需该网络服务器对攻击报文进行处理,节省了处理攻击报文所耗费的时间,避免了攻击报文所造成的信息泄露或者对网络服务器的运行造成的影响,提高了安全性能。
可选地,该拦截模块1502包括:
参数获取单元,用于获取该第三拦截请求中的安全控制参数;
判断单元,用于当接收到该源设备发送的报文时,判断该报文与该安全控制参数是否匹配;
拦截单元,用于当该报文与该安全控制参数匹配时,对该报文进行拦截。
可选地,该判断单元还用于该安全控制参数包括该网络服务器的第二设备信息时,判断该报文的目标设备信息与该第二设备信息是否相同;或者,该安全控制参数包括协议类型时,判断该报文的协议类型与该安全控制参数中的协议类型是否相同;或者,该安全控制参数包括拦截时间段时,判断当前时间点是否属于该拦截时间段。
上述所有可选技术方案,可以采用任意结合形成本发明的可选实施例,在此不再一一赘述。
需要说明的是:上述实施例提供的攻击报文的拦截装置在拦截攻击报文时,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将安全控制实体、网络服务器、控制设备和网关设备的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。另外,上述实施例提供的攻击报文的拦截装置与攻击报文的拦截方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (21)
1.一种攻击报文的拦截方法,其特征在于,所述方法包括:
安全控制实体接收来自网络服务器的第一拦截请求,所述第一拦截请求至少携带向所述网络服务器发送的第一攻击报文中的第一设备信息,所述第一设备信息用于指示发送所述第一攻击报文的源设备;
根据信息数据库,查询所述第一设备信息对应的控制设备标识,所述信息数据库至少包括所述第一设备信息以及对应的控制设备标识;
生成安全控制参数,所述安全控制参数至少包括所述网络服务器的第二设备信息和路由控制深度,所述第二设备信息用于指示对发送给所述网络服务器的报文进行拦截,所述路由控制深度用于指示所述源设备与所述网络服务器之间的路由路径中用于拦截报文的网关设备的数目;
根据所述控制设备标识,向所述控制设备标识对应的控制设备发送第二拦截请求,所述第二拦截请求至少携带所述第一设备信息和所述安全控制参数,所述第二拦截请求用于触发N个网关设备对所述源设备发送的与所述第一设备信息和所述第二设备信息匹配的第二攻击报文进行拦截,所述N是由所述路由控制深度所指示的网关设备的数目所确定的。
2.根据权利要求1所述的方法,其特征在于,所述根据信息数据库,查询所述第一设备信息对应的控制设备标识,包括:
根据所述第一设备信息,判断所述网络服务器与所述网关设备之间是否通过转换设备连接;
当确定所述网络服务器与所述网关设备之间未通过转换设备连接时,根据所述信息数据库,查询所述第一设备信息对应的控制设备标识;
当确定所述网络服务器与所述网关设备之间通过转换设备连接时,根据转换数据库,查询所述第一设备信息对应的原始设备信息,根据所述信息数据库,查询所述原始设备信息对应的控制设备标识,所述转换数据库包括每个原始设备信息转换后的设备信息。
3.根据权利要求1所述的方法,其特征在于,所述安全控制参数还包括协议类型和拦截时间段中的至少一项,所述协议类型用于指示对符合所述协议类型的报文进行拦截,所述拦截时间段用于指示对所述拦截时间段内的报文进行拦截。
4.根据权利要求1所述的方法,其特征在于,所述根据所述控制设备标识,向控制设备发送第二拦截请求,包括:
根据所述控制设备标识,调用与所述控制设备之间的接口;
通过所述接口,向所述控制设备发送所述第二拦截请求。
5.根据权利要求1所述的方法,其特征在于,所述第一设备信息至少包括所述源设备的网络互连协议IP地址和用于发送所述第一攻击报文的端口;
所述第一攻击报文还包括所述网络服务器的第二设备信息,所述第二设备信息至少包括所述网络服务器的IP地址和用于接收所述第一攻击报文的端口。
6.一种攻击报文的拦截方法,其特征在于,所述方法包括:
控制设备接收来自安全控制实体的第二拦截请求,所述第二拦截请求至少携带第一设备信息和安全控制参数,所述第一设备信息用于指示向网络服务器发送第一攻击报文的源设备,所述安全控制参数至少包括所述网络服务器的第二设备信息和路由控制深度,所述第二设备信息用于指示对发送给所述网络服务器的报文进行拦截,所述路由控制深度用于指示所述源设备与所述网络服务器之间的路由路径中用于拦截报文的网关设备的数目;
根据信息数据库,查询所述第一设备信息对应的N个网关设备标识,所述信息数据库至少包括所述第一设备信息以及对应的网关设备标识,所述N是由所述路由控制深度所指示的网关设备的数目确定的;
根据所述N个网关设备标识,向所述N个网关设备标识对应的网关设备发送第三拦截请求,所述第三拦截请求至少携带所述第一设备信息和所述第二设备信息,所述第三拦截请求用于对所述源设备发送的与所述第一设备信息和所述第二设备信息匹配的第二攻击报文进行拦截。
7.根据权利要求6所述的方法,其特征在于,所述根据信息数据库,查询所述第一设备信息对应的N个网关设备标识,包括:
所述第二拦截请求还包括所述网络服务器的第二设备信息时,根据所述第一设备信息、所述第二设备信息和预设路由表,确定所述源设备与所述网络服务器之间的路由路径,所述路由路径中包括至少一个网关设备标识;
根据所述路由控制深度,从所述路由路径包括的至少一个网关设备标识中选取N个网关设备标识;
相应的,所述根据所述N个网关设备标识,向网关设备发送第三拦截请求,包括:
向所述N个网关设备标识对应的网关设备发送所述第三拦截请求,使得接收到所述第三拦截请求的每个网关设备根据所述第三拦截请求,对所述源设备发送的第二攻击报文进行拦截。
8.根据权利要求6所述的方法,其特征在于,所述根据信息数据库,查询所述第一设备信息对应的N个网关设备标识之前,所述方法还包括:
接收来自所述网关设备的网关设备标识和第一设备信息,所述第一设备信息由所述网关设备在与所述源设备连接时获取;
将所述第一设备信息、控制设备标识和所述网关设备标识对应存储于所述信息数据库中。
9.一种攻击报文的拦截方法,其特征在于,所述方法包括:
网关设备接收来自控制设备的第三拦截请求,所述第三拦截请求至少携带第一设备信息和第二设备信息,所述第一设备信息用于指示向网络服务器发送第一攻击报文的源设备,所述第二设备信息用于指示对发送给所述网络服务器的报文进行拦截,所述网关设备为N个网关设备中的任一个网关设备,所述N是由路由控制深度所指示的网关设备的数目确定的,所述路由控制深度用于指示源设备与网络服务器之间的路由路径中用于拦截报文的网关设备的数目;
当接收到来自所述源设备的与所述第一设备信息和所述第二设备信息匹配的第二攻击报文时,对所述第二攻击报文进行拦截。
10.根据权利要求9所述的方法,其特征在于,所述当接收到来自所述源设备的与所述第一设备信息和所述第二设备信息匹配的第二攻击报文时,对所述第二攻击报文进行拦截,包括:
获取所述第三拦截请求中的所述第二设备信息;
当接收到来自所述源设备的报文时,判断所述报文与所述第二设备信息是否匹配;
当所述报文与所述第二设备信息匹配时,对所述报文进行拦截。
11.根据权利要求9所述的方法,其特征在于,所述方法还包括:
安全控制参数包括协议类型时,判断所述报文的协议类型与所述安全控制参数中的协议类型是否相同;或者,所述安全控制参数包括拦截时间段时,判断当前时间点是否属于所述拦截时间段。
12.一种安全控制实体,其特征在于,所述安全控制实体包括:接收器、发射器,存储器和处理器,所述接收器、所述发射器和所述存储器分别与所述处理器连接,所述存储器存储有程序代码,所述处理器用于调用所述程序代码,执行以下操作:
接收来自网络服务器的第一拦截请求,所述第一拦截请求至少携带向所述网络服务器发送的第一攻击报文中的第一设备信息,所述第一设备信息用于指示发送所述第一攻击报文的源设备;
根据信息数据库,查询所述第一设备信息对应的控制设备标识,所述信息数据库至少包括所述第一设备信息以及对应的控制设备标识;
生成安全控制参数,所述安全控制参数至少包括所述网络服务器的第二设备信息和路由控制深度,所述第二设备信息用于指示对发送给所述网络服务器的报文进行拦截,所述路由控制深度用于指示所述源设备与所述网络服务器之间的路由路径中用于拦截报文的网关设备的数目;
根据所述控制设备标识,向所述控制设备标识对应的控制设备发送第二拦截请求,所述第二拦截请求至少携带所述第一设备信息和所述安全控制参数,所述第二拦截请求用于触发N个网关设备对所述源设备发送的与所述第一设备信息和所述第二设备信息匹配的第二攻击报文进行拦截,所述N是由所述路由控制深度所指示的网关设备的数目所确定的。
13.根据权利要求12所述的安全控制实体,其特征在于,所述安全控制参数还包括协议类型和拦截时间段中的至少一项,所述协议类型用于指示对符合所述协议类型的报文进行拦截,所述拦截时间段用于指示对所述拦截时间段内的报文进行拦截。
14.一种控制设备,其特征在于,所述控制设备包括:接收器、发射器,存储器和处理器,所述接收器、所述发射器和所述存储器分别与所述处理器连接,所述存储器存储有程序代码,所述处理器用于调用所述程序代码,执行以下操作:
接收来自安全控制实体的第二拦截请求,所述第二拦截请求至少携带第一设备信息和安全控制参数,所述第一设备信息用于指示向网络服务器发送第一攻击报文的源设备,所述安全控制参数至少包括所述网络服务器的第二设备信息和路由控制深度,所述第二设备信息用于指示对发送给所述网络服务器的报文进行拦截,所述路由控制深度用于指示所述源设备与所述网络服务器之间的路由路径中用于拦截报文的网关设备的数目;
根据信息数据库,查询所述第一设备信息对应的N个网关设备标识,所述信息数据库至少包括所述第一设备信息以及对应的网关设备标识,所述N是由所述路由控制深度所指示的网关设备的数目确定的;
根据所述N个网关设备标识,向所述N个网关设备标识对应的网关设备发送第三拦截请求,所述第三拦截请求至少携带所述第一设备信息和所述第二设备信息,所述第三拦截请求用于对所述源设备发送的与所述第一设备信息和所述第二设备信息匹配的第二攻击报文进行拦截。
15.一种网关设备,其特征在于,所述网关设备包括:接收器、发射器,存储器和处理器,所述接收器、所述发射器和所述存储器分别与所述处理器连接,所述存储器存储有程序代码,所述处理器用于调用所述程序代码,执行以下操作:
接收来自控制设备的第三拦截请求,所述第三拦截请求至少携带第一设备信息和第二设备信息,所述第一设备信息用于指示向网络服务器发送第一攻击报文的源设备,所述第二设备信息用于指示对发送给所述网络服务器的报文进行拦截,所述网关设备为N个网关设备中的任一个网关设备,所述N是由路由控制深度所指示的网关设备的数目确定的,所述路由控制深度用于指示源设备与网络服务器之间的路由路径中用于拦截报文的网关设备的数目;
当接收到来自所述源设备的与所述第一设备信息和所述第二设备信息匹配的第二攻击报文时,对所述第二攻击报文进行拦截。
16.根据权利要求15所述的网关设备,其特征在于,所述处理器用于调用所述程序代码,还执行以下操作:
安全控制参数包括协议类型时,判断所述报文的协议类型与所述安全控制参数中的协议类型是否相同;或者,所述安全控制参数包括拦截时间段时,判断当前时间点是否属于所述拦截时间段。
17.一种安全控制实体,其特征在于,所述安全控制实体包括:
接收模块,用于接收来自网络服务器的第一拦截请求,所述第一拦截请求至少携带向所述网络服务器发送的第一攻击报文中的第一设备信息,所述第一设备信息用于指示发送所述第一攻击报文的源设备;
查询模块,用于根据信息数据库,查询所述第一设备信息对应的控制设备标识,所述信息数据库至少包括所述第一设备信息以及对应的控制设备标识;
参数生成模块,用于生成安全控制参数,所述安全控制参数至少包括所述网络服务器的第二设备信息和路由控制深度,所述第二设备信息用于指示对发送给所述网络服务器的报文进行拦截,所述路由控制深度用于指示所述源设备与所述网络服务器之间的路由路径中用于拦截报文的网关设备的数目;
发送模块,用于根据所述控制设备标识,向所述控制设备标识对应的控制设备发送第二拦截请求,所述第二拦截请求至少携带所述第一设备信息和所述安全控制参数,所述第二拦截请求用于触发N个网关设备对所述源设备发送的与所述第一设备信息和所述第二设备信息匹配的第二攻击报文进行拦截,所述N是由所述路由控制深度所指示的网关设备的数目所确定的。
18.根据权利要求17所述的安全控制实体,其特征在于,所述第一设备信息至少包括所述源设备的网络互连协议IP地址和用于发送所述第一攻击报文的端口;
所述第一攻击报文还包括所述网络服务器的第二设备信息,所述第二设备信息至少包括所述网络服务器的IP地址和用于接收所述第一攻击报文的端口。
19.一种控制设备,其特征在于,所述控制设备包括:
接收模块,用于接收来自安全控制实体的第二拦截请求,所述第二拦截请求至少携带第一设备信息和安全控制参数,所述第一设备信息用于指示向网络服务器发送第一攻击报文的源设备,所述安全控制参数至少包括所述网络服务器的第二设备信息和路由控制深度,所述第二设备信息用于指示对发送给所述网络服务器的报文进行拦截,所述路由控制深度用于指示所述源设备与所述网络服务器之间的路由路径中用于拦截报文的网关设备的数目;
查询模块,用于根据信息数据库,查询所述第一设备信息对应的N个网关设备标识,所述信息数据库至少包括所述第一设备信息以及对应的网关设备标识,所述N是由所述路由控制深度所指示的网关设备的数目确定的;
发送模块,用于根据所述N个网关设备标识,向所述N个网关设备标识对应的网关设备发送第三拦截请求,所述第三拦截请求至少携带所述第一设备信息和所述第二设备信息,所述第三拦截请求用于对所述源设备发送的与所述第一设备信息和所述第二设备信息匹配的第二攻击报文进行拦截。
20.根据权利要求19所述的控制设备,其特征在于,所述查询模块,包括:
路径查询单元,用于所述第二拦截请求还包括所述网络服务器的第二设备信息时,根据所述第一设备信息、所述第二设备信息和预设路由表,确定所述源设备与所述网络服务器之间的路由路径,所述路由路径中包括至少一个网关设备标识;
设备选取单元,用于根据所述路由控制深度,从所述路由路径包括的至少一个网关设备标识中选取N个网关设备标识;
相应的,所述发送模块用于:向所述N个网关设备标识对应的网关设备发送所述第三拦截请求,使得接收到所述第三拦截请求的每个网关设备根据所述第三拦截请求,对所述源设备发送的第二攻击报文进行拦截。
21.一种网关设备,其特征在于,所述网关设备包括:
接收模块,用于接收来自控制设备的第三拦截请求,所述第三拦截请求至少携带第一设备信息和第二设备信息,所述第一设备信息用于指示向网络服务器发送第一攻击报文的源设备,所述第二设备信息用于指示对发送给所述网络服务器的报文进行拦截,所述网关设备为N个网关设备中的任一个网关设备,所述N是由路由控制深度所指示的网关设备的数目确定的,所述路由控制深度用于指示源设备与网络服务器之间的路由路径中用于拦截报文的网关设备的数目;
拦截模块,用于当接收到来自所述源设备的与所述第一设备信息和所述第二设备信息匹配的第二攻击报文时,对所述第二攻击报文进行拦截。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910435800.9A CN110233834B (zh) | 2015-09-30 | 2015-09-30 | 网络系统、攻击报文的拦截方法、装置和设备 |
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910435800.9A CN110233834B (zh) | 2015-09-30 | 2015-09-30 | 网络系统、攻击报文的拦截方法、装置和设备 |
| CN201510639557.4A CN105357180B (zh) | 2015-09-30 | 2015-09-30 | 网络系统、攻击报文的拦截方法、装置和设备 |
Related Parent Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510639557.4A Division CN105357180B (zh) | 2015-09-30 | 2015-09-30 | 网络系统、攻击报文的拦截方法、装置和设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110233834A CN110233834A (zh) | 2019-09-13 |
| CN110233834B true CN110233834B (zh) | 2021-11-30 |
Family
ID=55333044
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910435800.9A Active CN110233834B (zh) | 2015-09-30 | 2015-09-30 | 网络系统、攻击报文的拦截方法、装置和设备 |
| CN201510639557.4A Active CN105357180B (zh) | 2015-09-30 | 2015-09-30 | 网络系统、攻击报文的拦截方法、装置和设备 |
Family Applications After (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510639557.4A Active CN105357180B (zh) | 2015-09-30 | 2015-09-30 | 网络系统、攻击报文的拦截方法、装置和设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (2) | CN110233834B (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107241297B (zh) * | 2016-03-28 | 2021-04-27 | 阿里巴巴集团控股有限公司 | 通信拦截方法及装置、服务器 |
| WO2017166047A1 (zh) * | 2016-03-29 | 2017-10-05 | 华为技术有限公司 | 网络攻击防御策略发送、网络攻击防御的方法和装置 |
| CN107493282B (zh) * | 2017-08-16 | 2020-01-21 | 北京新网数码信息技术有限公司 | 一种分布式攻击的处理方法及装置 |
| CN109428870B (zh) * | 2017-08-31 | 2021-10-12 | 阿里巴巴集团控股有限公司 | 基于物联网的网络攻击处理方法、装置及系统 |
| CN111490961B (zh) * | 2019-01-25 | 2022-06-21 | 阿里巴巴集团控股有限公司 | 通信连接的阻断系统、方法、装置和设备 |
| CN110535790B (zh) * | 2019-08-23 | 2022-03-18 | 天津芯海创科技有限公司 | 基于semaphore的交换芯片异常报文处理方法 |
| CN115514501A (zh) * | 2021-06-03 | 2022-12-23 | 中国移动通信集团四川有限公司 | 一种封堵网络攻击的方法和装置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8281400B1 (en) * | 2002-07-23 | 2012-10-02 | Juniper Networks, Inc. | Systems and methods for identifying sources of network attacks |
| CN102724166A (zh) * | 2011-03-29 | 2012-10-10 | 国基电子(上海)有限公司 | 防御攻击的网络连接系统及路由器 |
| CN103001942A (zh) * | 2012-09-14 | 2013-03-27 | 北京奇虎科技有限公司 | 一种虚拟服务器和一种防御网络攻击的方法 |
| CN103391272A (zh) * | 2012-05-08 | 2013-11-13 | 深圳市腾讯计算机系统有限公司 | 检测虚假攻击源的方法及系统 |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6320874B1 (en) * | 1998-10-07 | 2001-11-20 | Nortel Networks Limited | Establishing and terminating connections in a mixed protocol network |
| US6779033B1 (en) * | 2000-12-28 | 2004-08-17 | Networks Associates Technology, Inc. | System and method for transacting a validated application session in a networked computing environment |
| CN101175013B (zh) * | 2006-11-03 | 2012-07-04 | 飞塔公司 | 一种拒绝服务攻击防护方法、网络系统和代理服务器 |
| CN101217482B (zh) * | 2008-01-18 | 2010-09-08 | 杭州华三通信技术有限公司 | 一种穿越nat下发策略的方法和一种通信装置 |
| CN102111394B (zh) * | 2009-12-28 | 2015-03-11 | 华为数字技术(成都)有限公司 | 网络攻击防护方法、设备及系统 |
| CN102594834B (zh) * | 2012-03-09 | 2014-09-10 | 北京星网锐捷网络技术有限公司 | 网络攻击的防御方法及装置、网络设备 |
| CN103347016A (zh) * | 2013-06-28 | 2013-10-09 | 天津汉柏汉安信息技术有限公司 | 一种攻击的防御方法 |
| CN104468554A (zh) * | 2014-11-28 | 2015-03-25 | 北京奇虎科技有限公司 | 基于ip和host的攻击检测方法和装置 |
| CN104853001B (zh) * | 2015-04-21 | 2019-06-07 | 新华三技术有限公司 | 一种arp报文的处理方法和设备 |
| CN104836702B (zh) * | 2015-05-06 | 2018-06-19 | 华中科技大学 | 一种大流量环境下主机网络异常行为检测及分类方法 |
-
2015
- 2015-09-30 CN CN201910435800.9A patent/CN110233834B/zh active Active
- 2015-09-30 CN CN201510639557.4A patent/CN105357180B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8281400B1 (en) * | 2002-07-23 | 2012-10-02 | Juniper Networks, Inc. | Systems and methods for identifying sources of network attacks |
| CN102724166A (zh) * | 2011-03-29 | 2012-10-10 | 国基电子(上海)有限公司 | 防御攻击的网络连接系统及路由器 |
| CN103391272A (zh) * | 2012-05-08 | 2013-11-13 | 深圳市腾讯计算机系统有限公司 | 检测虚假攻击源的方法及系统 |
| CN103001942A (zh) * | 2012-09-14 | 2013-03-27 | 北京奇虎科技有限公司 | 一种虚拟服务器和一种防御网络攻击的方法 |
Non-Patent Citations (3)
| Title |
|---|
| A Design of History Based Traffic Filtering with Probabilistic Packet Marking against DoS Attacks;Tadashi Kiuchi;Yoshiaki Hori;Kouichi Sakurai;《2010 10th IEEE/IPSJ International Symposium on Applications and the Internet》;20101007;261-264页 * |
| 利用路由器防御DoS攻击;石景山;《福建电脑》;20101025;第26卷(第10期);77-78页 * |
| 拒绝服务攻击及防御措施;高永仁;《信息技术》;20090325;第2009年卷(第3期);85-87页 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105357180A (zh) | 2016-02-24 |
| CN105357180B (zh) | 2019-06-07 |
| CN110233834A (zh) | 2019-09-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110233834B (zh) | 网络系统、攻击报文的拦截方法、装置和设备 | |
| US10334419B2 (en) | Methods, systems, and computer readable media for optimizing machine type communication (MTC) device signaling | |
| CN108781361B (zh) | 用于处理数据包的方法及设备 | |
| US11233856B2 (en) | Selecting an address of a device | |
| AU2013349289B2 (en) | Identifying NATed devices for device-specific traffic flow steering | |
| CN105828413B (zh) | 一种d2d模式b发现的安全方法、终端和系统 | |
| US9832029B2 (en) | Policy control method and device | |
| US20140204950A1 (en) | Differentiated handling of data traffic with user-class dependent adaptation of network address lookup | |
| US20130156038A1 (en) | Differentiated Handling of Data Traffic with Adaptation of Network Address Lookup | |
| US11895083B2 (en) | Address obtaining method and an address obtaining apparatus | |
| WO2014119715A1 (ja) | 通信端末、通信方法、プログラム、通信システムおよび情報処理装置 | |
| CN109495594B (zh) | 一种数据传输方法、pnf sdn控制器、vnf sdn控制器及系统 | |
| US20200228618A1 (en) | Content delivery method, device, and system | |
| CN105101176A (zh) | 一种漫游场景下的会话绑定方法、装置和系统 | |
| CA2975407C (en) | Processing method for service flow packet, and apparatus | |
| CN114126085B (zh) | 工业现场总线通信方法、装置、电子设备及存储介质 | |
| KR101929804B1 (ko) | 세션 자원 관리 방법 및 장치 | |
| CN109076381B (zh) | 业务数据流发送方法及装置 | |
| CN116803112A (zh) | 用于动态发现核心网络中的服务网络节点的方法、网络节点和计算机可读介质 | |
| US20170019845A1 (en) | Communication terminal, communication method, and program-containing storage medium | |
| CN115190104B (zh) | 信息传输方法、装置、通信设备和存储介质 | |
| CN114125038B (zh) | 一种服务调度方法、装置及存储介质 | |
| CN112153579A (zh) | 管理用户组的方法和装置 | |
| CN115277632B (zh) | 查询、信息处理方法、装置及通信设备 | |
| CN116744246A (zh) | 计费方法、系统和会话管理功能 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |