CN113114650A - 网络攻击的解决方法、装置、设备及介质 - Google Patents
网络攻击的解决方法、装置、设备及介质 Download PDFInfo
- Publication number
- CN113114650A CN113114650A CN202110363832.XA CN202110363832A CN113114650A CN 113114650 A CN113114650 A CN 113114650A CN 202110363832 A CN202110363832 A CN 202110363832A CN 113114650 A CN113114650 A CN 113114650A
- Authority
- CN
- China
- Prior art keywords
- terminal
- smf
- network attack
- pdu session
- target
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 135
- 230000002159 abnormal effect Effects 0.000 claims abstract description 14
- 230000006870 function Effects 0.000 claims description 30
- 230000005540 biological transmission Effects 0.000 claims description 24
- 230000008569 process Effects 0.000 claims description 17
- 101150119040 Nsmf gene Proteins 0.000 claims description 11
- 238000004590 computer program Methods 0.000 claims description 11
- 238000012545 processing Methods 0.000 claims description 11
- 230000000977 initiatory effect Effects 0.000 claims description 7
- 230000009471 action Effects 0.000 claims description 4
- 238000007405 data analysis Methods 0.000 claims description 2
- 238000010295 mobile communication Methods 0.000 abstract description 16
- 238000013461 design Methods 0.000 description 27
- 238000007726 management method Methods 0.000 description 20
- 230000011664 signaling Effects 0.000 description 11
- 238000010586 diagram Methods 0.000 description 9
- 238000004891 communication Methods 0.000 description 8
- 230000004048 modification Effects 0.000 description 6
- 238000012986 modification Methods 0.000 description 6
- 230000003993 interaction Effects 0.000 description 4
- 230000006399 behavior Effects 0.000 description 3
- 230000004044 response Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 2
- 238000003780 insertion Methods 0.000 description 2
- 230000037431 insertion Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000001960 triggered effect Effects 0.000 description 2
- 230000005856 abnormality Effects 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000013523 data management Methods 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- GVVPGTZRZFNKDS-JXMROGBWSA-N geranyl diphosphate Chemical compound CC(C)=CCC\C(C)=C\CO[P@](O)(=O)OP(O)(O)=O GVVPGTZRZFNKDS-JXMROGBWSA-N 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000010365 information processing Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000002715 modification method Methods 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
- H04W12/082—Access security using revocation of authorisation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/121—Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/121—Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
- H04W12/122—Counter-measures against attacks; Protection against rogue devices
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种网络攻击的解决方法、装置、设备及介质,属于移动通信领域。所述方法包括:SMF在识别到终端的网络攻击的情况下,限制所述终端对目标协议数据单元PDU会话的使用;其中,所述目标PDU会话承载有目标消息,所述目标消息是触发核心网网元向所述SMF发起所述网络攻击的消息。本申请使得UE不能无限制地向核心网发送具有网络攻击能力的目标消息,从而防御异常UE发起的DOS攻击,尽可能保障移动通信系统为更多的UE提供服务。
Description
技术领域
本申请实施例涉及移动通信领域,特别涉及一种网络攻击的解决方法、装置、设备及介质。
背景技术
在边缘计算场景下,用户设备(User Equipment,UE)发送的域名系统(DomainName System,DNS)查询可能由边缘应用服务器发现功能(Edge Application ServerDiscovery Function,EASDF)来处理。
会话管理功能(Session Management Function,SMF)向EASDF提供报告(Reporting)规则和转发(Forwarding)规则。报告规则提供了EASDF向SMF发送报告的规则,转发规则提供了EASDF转发消息的规则。在UE向EASDF发送一个DNS查询后,EASDF会根据报告规则向SMF发送报告。
在上行峰值速率较高的情况下,若UE采用恶意方式在短时间内向EASDF频繁发送DNS查询,从而EASDF频繁向SMF发送报告并且触发控制面的多个信令消息,会形成了移动通信系统的信令风暴,造成拒绝服务(Denial OfService,DOS)攻击,导致移动通信系统无法为所有正常的UE的服务。
发明内容
本申请提供了一种网络攻击的解决方法、装置、设备及介质,提供了一种基于SMF对终端对目标PDU会话的使用进行控制,以防御网络攻击的控制方案。所述技术方案如下:
根据本申请的一个方面,提供了一种网络攻击的解决方法,所述方法包括:
SMF在识别到终端的网络攻击的情况下,限制所述终端对目标协议数据单元PDU会话的使用;
其中,所述目标PDU会话承载有目标消息,所述目标消息是触发核心网网元向所述SMF发起所述网络攻击的消息。
根据本申请的另一方面,提供了一种网络攻击的解决方法,所述方法包括:
在SMF识别到终端的网络攻击的情况下,基于所述SMF发起的控制,终端限制对目标PDU会话的使用;
其中,所述目标PDU会话承载有目标消息,所述目标消息是触发核心网网元向所述SMF发起所述网络攻击的消息。
根据本申请的一个方面,提供了一种网络攻击的解决装置,所述装置包括:
第一处理模块,用于在识别到终端的网络攻击的情况下,限制所述终端对目标PDU会话的使用;
其中,所述目标PDU会话承载有目标消息,所述目标消息是触发核心网网元向所述SMF发起所述网络攻击的消息。
根据本申请的另一方面,提供了一种网络攻击的解决装置,所述装置包括:
第二处理模块,用于在会话管理功能SMF识别到终端的网络攻击的情况下,基于所述SMF发起的控制,限制对目标PDU会话的使用;
其中,所述目标PDU会话承载有目标消息,所述目标消息是触发核心网网元向所述SMF发起所述网络攻击的消息。
根据本申请的一个方面,提供了一种网元设备,所述网元设备包括:处理器和存储器,所述存储器存储有计算机程序,所述计算机程序由所述处理器加载并执行以实现如上所述的网络攻击的解决方法。
根据本申请的一个方面,提供了一种终端,所述终端包括:处理器和存储器,所述存储器存储有计算机程序,所述计算机程序由所述处理器加载并执行以实现如上所述的网络攻击的解决方法。
根据本申请的另一方面,提供了一种计算机可读存储介质,所述存储介质存储有计算机程序,所述计算机程序由处理器加载并执行以实现如上所述的网络攻击的解决方法。
根据本申请的另一方面,提供了一种计算机程序产品,所述计算机程序产品包括计算机指令,该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该计算机设备执行上述方面提供的网络攻击的解决方法。
本申请实施例提供的技术方案带来的有益效果至少包括:
在识别到终端的网络攻击的情况下,由SMF限制终端对目标PDU会话的使用,能够限制终端对目标PDU会话的滥用,避免终端频繁发送目标消息而导致的DOS攻击或DDOS攻击,从而防御异常UE发起的DOS攻击或DDOS攻击,尽可能保障移动通信系统为更多的UE提供服务。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本申请一个示例性实施例提供的通信系统的框图;
图2是本申请一个示例性实施例提供的通信系统的框图;
图3是本申请一个示例性实施例提供的网络攻击的解决方法的流程图;
图4是本申请一个示例性实施例提供的网络攻击的解决方法的流程图;
图5示出了本申请一个示例性实施例提供的PDU会话释放流程的流程图;
图6示出了本申请另一个示例性实施例提供的网络攻击的解决方法的流程图;
图7示出了本申请另一个示例性实施例提供的基于网络发起的去注册流程的流程图;
图8示出了本申请一个示例性实施例提供的网络攻击的解决方法的流程图;
图9示出了本申请另一个示例性实施例提供的网络攻击的解决方法的流程图;
图10示出了本申请一个示例性实施例提供的PDU会话修改方法的流程图;
图11示出了本申请一个示例性实施例提供的网络攻击的解决装置的框图;
图12示出了本申请一个示例性实施例提供的网络攻击的解决装置的框图;
图13示出了本申请一个示例性实施例提供的网元设备的框图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
应当理解的是,在本文中提及的“若干个”是指一个或者多个,“多个”是指两个或两个以上。“和/或”,描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。
在边缘计算场景下,UE向SMF发送目标PDU会话建立请求。SMF为UE定位和选择一个EASDF,SMF向选择的EASDF发送消息,该消息中携带有:UE的IP地址,回调统一资源标识符(Uniform Resource Identifier,URI),处理DNS消息的规则。其中,回调地址是指EASDF主动发起到SMF的消息时所请求的目标资源URI。
可选的,SMF向EASDF提供报告规则,EASDF向SMF的报告由以下至少两类报告规则下发送:
1.基于DNS查询触发的报告;
如果DNS查询中的边缘应用服务器(Edge Application Server,EAS)的全限定域名(s)(Fully Qualified Domain Name,FQDN)与报告规则中的FQDN(s)过滤器匹配,则SMF可以提供报告规则指示EASDF将EAS FQDN(s)发送给SMF。然后,SMF向EASDF提供转发规则。然后EASDF向本地DNS转发DNS查询或增加ECS属性后向C-DNS转发DNS查询。
2.基于DNS响应触发的报告;
SMF提供报告规则来指导EASDF向SMF报告EASIP地址/FQDN,如果DNS响应中的EASIP地址匹配报告规则的IP地址范围,或DNS响应的FQDN与DNS消息报告规则的FQDN匹配。然后SMF可能会进行UL CL插入的操作,而这个操作将引入比较多的信令交互。特别是UE,RAN,AMF,I-UPF,L-PSA等都参与了信令交互。
由于SMF向EASDF配置了报告规则,导致若UE向EASDF发送一个DNS查询时,可能会引发EASDF向SMF发送报告(或报告消息)。该报告会引发较多的后续信令及消息。比如,5G的上行峰值速率可达到300Mbps.即一个UE可以在一秒内上传300Mb数据,计算一下:
300M/8/1500=25000条DNS查询每秒每个UE。其中,8为一个字节里面的比特数量,同时假设一个DNS查询的长度是1500字节。
因一个DNS查询可以触发与SMF的信令交互,同时可能触发SMF的上行分类器(Uplink Classifier,ULCL)插入操作的信令,因而形成了移动通信系统的信令风暴,造成DOS攻击,移动通信系统无法为所有正常的UE的服务(因为5G系统的信令容易被DOS所占用,移动通信系统可能只有一部分正常的UE服务或完全无法为正常的UE服务)。
另外,多个UE可以通过不同的小区协作同时向EASDF发送DNS查询。这样可能造成DDOS攻击,形成更为严重的攻击,造成移动通信系统几乎无法为正常的UE服务。
除此之外,由于SMF还能够实现DHCP服务的功能,DHCP服务用于给UE分配IP地址或给UE分配IP相关的参数。UE利用用户面的高速率而能够发送大量的DHCP请求数据包包来通过N4接口发送到SMF,从而产生大量的UPF与SMF之间的N4接口的信令,同时通过这种大量的DHCP请求数据报来请求SMF处理,能够占据SMF处理DHCP的时间与资源,从而实现DOS的攻击。同样,多个UE通过协作,同时向一个UPF及SMF发送大量的DHCP请求数据包时,就可实现DDOS攻击。本申请提供了网络攻击的解决方案,以解决上述技术问题。
图1示出了本申请一个示例性实施例提供的通信系统的架构示意图。如图1所示,该系统架构100可以包括:用户设备(User Equipment,UE)、无线接入网(Radio AccessNetwork,RAN)、核心网(Core)和数据网络(DataNetwork,DN)构成。其中,UE、RAN、Core是构成架构的主要成分,逻辑上它们可以分为用户面和控制面两部分,控制面负责移动网络的管理,用户面负责业务数据的传输。在图1中,NG2参考点位于RAN控制面和Core控制面之间,NG3参考点位于RAN用户面和Core用户面之间,NG6参考点位于Core用户面和数据网络之间。
UE:是移动用户与网络交互的入口,能够提供基本的计算能力、存储能力,向用户显示业务窗口,接受用户操作输入。UE会采用下一代空口技术,与RAN建立信号连接、数据连接,从而传输控制信号和业务数据到移动网络。
RAN:类似于传统网络里面的基站,部署在靠近UE的位置,为小区覆盖范围的授权用户提供入网功能,并能够根据用户的级别,业务的需求等使用不同质量的传输隧道传输用户数据。RAN能够管理自身的资源,合理利用,按需为UE提供接入服务,把控制信号和用户数据在UE和核心网之间转发。
Core:负责维护移动网络的签约数据,管理移动网络的网元,为UE提供会话管理、移动性管理、策略管理、安全认证等功能。在UE附着的时候,为UE提供入网认证;在UE有业务请求时,为UE分配网络资源;在UE移动的时候,为UE更新网络资源;在UE空闲的时候,为UE提供快恢复机制;在UE去附着的时候,为UE释放网络资源;在UE有业务数据时,为UE提供数据路由功能,如转发上行数据到DN;或者从DN接收UE下行数据,转发到RAN,从而发送给UE。
DN:是为用户提供业务服务的数据网络,一般客户端位于UE,服务端位于数据网络。数据网络可以是私有网络,如局域网,也可以是不受运营商管控的外部网络,如Internet,还可以是运营商共同部署的专有网络,如为了配置IP多媒体网络子系统(IPMultimedia Core Network Subsystem,IMS)服务。
图2是在图1的基础上确定的详细架构,其中核心网用户面包括用户面功能(UserPlane Function,UPF);核心网控制面包括认证服务器功能(Authentication ServerFunction,AUSF)、接入和移动管理(Access and Mobility Management Function,AMF)、SMF、网络切片选择功能(Network Slice Selection Function,NSSF)、网络开放功能(Network Exposure Function,NEF)、网络仓储功能(NF Repository Function,NRF)、统一数据管理(Unified Data Management,UDM)、策略控制功能(Policy Control Function,PCF)、应用功能(Application Function,AF)。这些功能实体的功能如下:
UPF:根据SMF的路由规则执行用户数据包转发;
AUSF:执行UE的安全认证;
AMF:接入和移动性管理;
SMF:会话管理;
NSSF:为UE选择网络切片;
NEF:以API接口的方式向第三方开放网络功能;
NRF:为其他网元提供网络功能实体信息的存储功能和选择功能;
UDM:用户签约上下文管理;
PCF:用户策略管理;
AF:用户应用管理。
在图2所示架构中,N1接口为UE与AMF之间的参考点;N2接口为RAN和AMF的参考点,用于NAS消息的发送等;N3接口为RAN和UPF之间的参考点,用于传输用户面的数据等;N4接口为SMF和UPF之间的参考点,用于传输例如N3连接的隧道标识信息、数据缓存指示信息,以及下行数据通知消息等信息;N6接口为UPF和DN之间的参考点,用于传输用户面的数据等。NG接口:无线接入网和5G核心网之间的接口。
需要说明的是,图1和图2中的各个网元之间的接口名称只是一个示例,具体实现中接口的名称可能为其他的名称,本申请实施例对此不作具体限定。图1和图2中包括的各个网元(比如SMF、AF、UPF等)的名称也仅是一个示例,对网元本身的功能不构成限定。在5GS以及未来其它的网络中,上述各个网元也可以是其他的名称,本申请实施例对此不作具体限定。例如,在6G网络中,上述各个网元中的部分或全部可以沿用5G中的术语,也可能采用其他名称,等等,在此进行统一说明,以下不再赘述。此外,应理解,上述各个网元之间的所传输的消息(或信令)的名称也仅仅是一个示例,对消息本身的功能不构成任何限定。
图3示出了本申请一个示例性实施例提供的网络攻击的解决方法的流程图。本实施例以该方法由SMF和UE执行来举例说明。所述方法包括:
步骤120:SMF在识别到终端的网络攻击的情况下,限制终端对目标PDU会话的使用;
网络攻击包括:终端基于目标PDU会话向SMF发起的DOS攻击或DDOS攻击的行为。
示意性的,可能引起网络攻击的行为包括:发送DNS查询和发送DHCP请求中的至少一种。
发送DNS查询是触发EASDF向SMF发送报告的行为。发送DHCP请求是触发UPF向SMF转发消息的行为。
在一个示例中,SMF在DNS查询的发送速率达到第一门限的情况下,确定识别到终端的网络攻击。在一个示例中,在DHCP请求的发送速率达到第二门限的情况下,确定识别到终端的网络攻击。在一个示例中,在属于异常类型的DHCP请求的发送速率达到第三门限的情况下,确定识别到终端的网络攻击。异常类型的DHCP请求包括:重复的DHCP请求和无效的DHCP请求中的至少一种。重复的DHCP请求是指相同的DHCP请求,无效的DHCP请求是指对无意义的DHCP请求,或,恶意构造的DHCP请求。
其中,DNS查询的发送速率可以由SMF接收到的EASDF发送的报告计算得到的,该报告是由UE向EASDF发送的DNS查询触发上报的。DHCP请求的发送速率可以由SMF根据UPF转发的DHCP请求计算得到。
其中,限制终端对目标PDU会话的使用包括如下至少之一:
·释放终端的目标PDU会话;
·将终端去注册,以限制终端停止使用目标PDU会话;
·删除目标PDU会话中的数据无线承载(DataRadioBear,DRB)
·限制最大上行发送速率。
比如,限制终端的聚合最大上行发送速率(AMBR),目标PDU会话的AMBR或者特定QoS流的最大上行发送速率(MBR)。
其中,目标PDU会话承载有目标消息,目标消息是触发目标核心网网元向SMF发起网络攻击的数据包。
可选地,目标消息包括:DNS查询和DHCP请求中的至少一种。
步骤140:终端基于SMF发起的控制,限制对目标PDU会话的使用。
综上所述,本实施例提供的方法,通过在识别到终端的网络攻击的情况下,由SMF限制终端对目标PDU会话的使用,能够限制终端对目标PDU会话的滥用,避免终端频繁发送目标消息而导致的DOS攻击或DDOS攻击,从而防御异常UE发起的DOS攻击或DDOS攻击,尽可能保障移动通信系统为更多的UE提供服务。
针对实现方式一:释放终端的目标PDU会话。
图4示出了本申请一个示例性实施例提供的网络攻击的解决方法的流程图。本实施例以该方法由SMF和UE执行来举例说明。所述方法包括:
步骤220:SMF在识别到终端的网络攻击的情况下,释放终端的目标PDU会话;
SMF在识别到终端的网络攻击的情况下,向UPF发起终端的目标PDU会话的释放流程。
可选地,释放流程中向终端指示有第一回退时间,第一回退时间是禁止终端建立目标PDU会话的时长。
图5示出了第三代合作伙伴项目(Third Generation Partnership Project,3GPP)的通信协议TS23.502的章节4.3.4.2所定义的PDU会话释放流程(本申请不再逐一步骤介绍)。本实施例与相关技术不同的部分包括:
SMF在识别到终端的网络攻击的情况下,SMF在步骤1e中发起目标PDU会话的释放过程。
同时,在步骤3b、步骤4和步骤5所示出的三条消息中均携带有PDU会话释放命令,PDU会话释放命令的消息结构如下表一所示:
表一
可选地,在PDU会话释放命令的回退时间域中,向UE指示第一回退时间。
可选地,在PDU会话释放命令的5GSM原因中增加一个原因值:异常的UE原因。
可选地,在PDU会话释放命令的5GSM拥塞重试指示器的取值为0或1。其中,0代表第一回退时间适用于历史接入的公共陆地移动网(Public Land Mobile Network,PLMN);1代表第一回退时间适用于所有的PLMN。
步骤240:终端基于SMF发起的控制,与UPF执行目标PDU会话的释放流程。
UPF在接收到SMF的发起后,UPF与终端之间执行目标PDU会话的释放流程。
若释放流程中向终端指示有第一回退时间,则终端在第一回退时间超时前,禁止重新建立目标PDU会话。
综上所述,本实施例提供的方法,通过在识别到终端的网络攻击的情况下,由SMF发起释放流程,来释放掉终端上的目标PDU会话,从而限制终端对目标PDU会话的滥用,避免终端频繁发送目标消息而导致的DOS攻击或DDOS攻击,从而防御异常UE发起的DOS攻击或DDOS攻击,尽可能保障移动通信系统为更多的UE提供服务。
针对实现方式二:将终端去注册。
图6示出了本申请一个示例性实施例提供的网络攻击的解决方法的流程图。本实施例以该方法由SMF和UE执行来举例说明。所述方法包括:
步骤520:SMF在识别到终端的网络攻击的情况下,触发终端对应的AMF与终端执行去注册流程;
SMF在识别到终端的网络攻击的情况下,触发终端对应的AMF与终端执行去注册流程。
可选地,去注册流程中向终端指示有第二回退时间,第二回退时间是禁止终端发起注册流程的时长。
图7示出了3GPP的通信协议TS23.502的章节4.2.2.3.3-1所定义的网络发起的去注册流程(本申请不再逐一步骤介绍)。本实施例与相关技术不同的部分包括:
其中的步骤1不需要执行。在步骤2中的注销请求内还包含第二回退时间,在第二回退时间超时前,UE不允许向5G网络发起注册过程,即使UE关机,第二回退时间也不会失效,即UE不能通过关机后再次开机避开第二回退时间。
在一种可能的设计中,SMF在识别到终端的网络攻击的情况下,向网管系统发送网络攻击事件,网络攻击事件用于触发网管系统向终端对应的AMF发起去注册流程。示意性的,SMF向网管系统发送Nsmf接口的事件曝光通知,该事件曝光通知用于向网管系统通知网络攻击事件。
在一种可能的设计中,SMF在识别到终端的网络攻击的情况下,向网络数据分析功能(Network Data Analytics Function,NWDAF)发送网络攻击事件,网络攻击事件用于触发NWDAF向终端对应的AMF发起去注册流程。示意性的,SMF向NWDAF发送Nsmf接口的事件曝光通知,事件曝光通知用于向NWDAF通知网络攻击事件。
可选地,Nsmf接口的事件曝光通知携带有终端的标识。
可选地,Nsmf接口的事件曝光通知携带有DOS指示域。该DOS指示域用于指示DOS攻击的类型,如DHCP请求攻击或DNS查询攻击。Nsmf接口的事件曝光还携带有DOS信息。DOS信息携带有本次网络攻击的数据包特征。比如这些数据包的五元组信息。网管系统或NWDAF可以根据移动通信系统中其它的信息进一步确定是否存在着DOS攻击。
若网管系统或NWDAF识别出UE的网络攻击行为后,网管系统将根据UE的标识查找到UE的AMF,并将UE DOS攻击的指示信息发送给AMF。其中NWDAF通过Nnwdaf接口的分析订阅通知请求将UE DOS攻击的指示信息发送给AMF。
AMF收到UE DOS攻击的指示信息后,AMF根据网络配置或操作维护管理(OperationAdministration and Maintenance,OAM)的指示,决定执行AMF发起的去注册流程。
图7中的步骤2的去注册请求的消息结构如下表二所示:
表二
在该去注册消息中,T3346值被用于设置第二回退时间,即当T3346值这个定时器还在运行期间时,UE不允许发起注册过程。
在该去注册消息中,5GMM原因中可以指示:异常UE行为。
需要说明的是,上述表一和表二中的格式TLV:Type,Length,Value。Type为报文类型;Length是数值的长度,Value是实际的数值。T和L的长度固定,V的长度由Length指定。TLV-E是指扩展的TLV格式,TV是报文类型和实际的数值,V为实际的数值。
步骤540:终端基于SMF发起的控制,与终端对应的AMF执行去注册流程。
AMF在接收到SMF的发起后,AMF与终端之间执行去注册流程。之后,终端处于空闲(idle)状态。
若去注册流程中向终端指示有第二回退时间,则终端在第二回退时间超时前,禁止与AMF执行注册流程。
综上所述,本实施例提供的方法,通过在识别到终端的网络攻击的情况下,由SMF发送去注册流程,将终端去注册为idle态,能够限制终端不能发送任何数据,避免终端频繁发送目标消息而导致的DOS攻击或DDOS攻击,从而防御异常UE发起的DOS攻击或DDOS攻击,尽可能保障移动通信系统为更多的UE提供服务。
针对实现方式三:删除目标PDU会话中的数据无线承载。
图8示出了本申请一个示例性实施例提供的网络攻击的解决方法的流程图。本实施例以该方法由SMF和UE执行来举例说明。所述方法包括:
步骤620:SMF在识别到终端的网络攻击的情况下,删除目标PDU会话中的数据无线承载;
SMF在识别到终端的网络攻击的情况下,删除目标PDU会话中的DRB。
可选地,删除DRB流程中向终端指示有第三回退时间,第三回退时间是禁止终端建立目标PDU会话中的数据无线承载的时长。
步骤640:终端基于SMF发起的控制,删除目标PDU会话中的数据无线承载。
在此种情况下,终端虽然保持有目标PDU会话,但是由于DRB被删除,因此无法发送上行数据。
综上所述,本实施例提供的方法,通过在识别到终端的网络攻击的情况下,由SMF删除目标PDU会话中的数据无线承载,从而限制终端处于idle态,能够限制终端对目标PDU会话的滥用,避免终端频繁发送目标消息而导致的DOS攻击或DDOS攻击,从而防御异常UE发起的DOS攻击或DDOS攻击,尽可能保障移动通信系统为更多的UE提供服务。
针对实现方式四:限制最大上行发送速率。
图9示出了本申请一个示例性实施例提供的网络攻击的解决方法的流程图。本实施例以该方法由SMF和UE执行来举例说明。所述方法包括:
步骤720:SMF在识别到终端的网络攻击的情况下,限制终端的最大上行发送速率;
SMF在识别到终端的网络攻击的情况下,限制终端的最大上行发送速率,以限制目标PDU会话的最大上行发送速率。
可选地,终端与网络侧建立有至少一个PDU会话,每个PDU会话中具有至少一个QoS流。上述限制终端的最大上行发送速率,可以采用终端粒度、PDU会话粒度或QoS流粒度来进行最大上行发送速率的控制。
以终端粒度为例,SMF通过PCF控制终端的聚合最大上行发送速率(AggregateMaximum Bit Rate,AMBR)。在终端上建立有一个PDU会话,也即目标PDU会话。SMF通过PCF向终端设置UE-AMBR,终端根据该UE-AMBR调整整个UE的最大上行发送速率,相当于直接调整了目标PDU会话的最大上行发送速率。
以会话粒度为例,SMF通过PCF控制目标PDU会话(Session)的上行会话AMBR。SMF通过PCF向终端设置上行会话AMBR,终端根据该上行会话AMBR调整目标PDU会话的最大上行发送速率。
以QoS粒度为例,SMF通过PCF控制目标消息所在的QoS流的最大上行发送速率(Maximum Bit Rate,MBR)。SMF通过PCF向终端设置QoS流的MBR,终端根据该QoS流的MBR调整目标消息所在的QoS流的最大上行发送速率。可选地,目标消息被配置为在专用的QoS流中传输。
由于目标消息是UE通过UPF转发给EASDF或者SMF的,SMF也可以通过UPF来限制终端的最大上行发送速率。此时,UPF需要识别目标消息。可选地,SMF向UPF设置(PacketDetection Rule,PDR)。
目标消息包括DNS查询和DHCP请求中的至少一种。相应的,PDR包括第一PDR和第二PDR中的至少一种。第一PDR用于识别DNS查询。第二PDR用于识别DHCP请求。
示例性的,第一PDR包括如下至少之一:
·数据包类型为UDP数据包且UDP数据包的目的端口号为53;
·数据包类型为UDP数据包、UDP数据包的目的IP地址为EASDF的IP地址且UDP数据包的目的端口号为53;
·数据包类型为TCP数据包且TCP数据包的目的端口号为853;
·数据包类型为TCP数据包、TCP数据包的目的IP地址为EASDF的IP地址、且TCP数据包的目的端口为853或443。
示例性的,第二PDR包括:
数据包类型为UDP数据包且UDP数据包的目的端口号为68。
UPR根据上述最大上行发送速率,对识别到的目标消息的目标PDU会话或QoS流进行限速转发。
图10示出了3GPP的通信协议TS23.502的章节4.3.3.2-1所定义的PDU会话修改流程(本申请不再逐一步骤介绍)。SMF可以根据图10所示的流程对终端的最大上行发送速率进行设置。
图10示出的PDU会话修改命令的消息结构如下表三所示:
表三
在上述PDU会话修改命令中的授权QoS规则信元,可以创建目标消息专用的QoS流,比如配置该目标消息专用的QoS流的PDR规则及其对应QoS流标识(QoS Flow ID,QFI)。
而目标消息专用的QoS流的MBR可以携带在上述PDU会话修改命令中的授权QoS流属性信元中。而上述的目标PDU会话的上行会话AMBR,则可以携带在上述PDU会话修改命令中的会话AMBR信元中。
步骤740:终端基于SMF发起的控制,限制终端的最大上行发送速率。
终端在获取到UE-AMBR的情况下,终端根据该UE-AMBR调整整个UE的最大上行发送速率,相当于间接调整了目标PDU会话的最大上行发送速率。
终端在获取到上行会话AMBR的情况下,终端根据该上行会话AMBR调整目标PDU会话的最大上行发送速率。
终端在获取到QoS流的MBR的情况下,终端根据该QoS流的MBR调整目标消息所在的QoS流的最大上行发送速率。可选地,目标消息被配置为在专用的QoS流中传输。
综上所述,本实施例提供的方法,通过在识别到终端的网络攻击的情况下,由SMF限制终端的最大上行发送速率,从而避免终端频繁发送目标消息而导致的DOS攻击或DDOS攻击,从而防御异常UE发起的DOS攻击或DDOS攻击,尽可能保障移动通信系统为更多的UE提供服务。
图11示出了本申请一个实施例提供的网络攻击的解决装置的框图。该装置可以实现成为SMF的全部或一部分,或者应用在SMF中,该装置包括:
第一处理模块1120,用于在识别到终端的网络攻击的情况下,限制所述终端对目标协议数据单元PDU会话的使用;
其中,所述目标PDU会话承载有目标消息,所述目标消息是触发核心网网元向所述SMF发起所述网络攻击的消息。
在一个可能的设计中,所述第一处理模块1120,用于在识别到所述终端的网络攻击的情况下,释放所述终端的所述目标PDU会话。
在一个可能的设计中,所述第一处理模块1120,用于在识别到所述终端的网络攻击的情况下,向UPF发起所述终端的所述目标PDU会话的释放流程。
在一个可能的设计中,所述释放流程中向所述终端指示有第一回退时间,所述第一回退时间是禁止所述终端建立所述目标PDU会话的时长。
在一个可能的设计中,所述第一处理模块1120,用于在识别到所述终端的网络攻击的情况下,触发所述终端对应的AMF与所述终端执行去注册流程,以控制所述终端停止使用所述目标PDU会话。
在一个可能的设计中,所述去注册流程中向所述终端指示有第二回退时间,所述第二回退时间是禁止所述终端发起注册流程的时长。
在一个可能的设计中,所述第一发送模块1140,用于在识别到所述终端的网络攻击的情况下,向网管系统发送网络攻击事件,所述网络攻击事件用于触发所述网管系统向所述终端对应的AMF发起所述去注册流程;
或,
在一个可能的设计中,所述第一发送模块1140,用于在识别到所述终端的网络攻击的情况下,向NWDAF发送网络攻击事件,所述网络攻击事件用于触发所述NWDAF向所述终端对应的AMF发起所述去注册流程。
在一个可能的设计中,所述第一发送模块1140,用于向所述网管系统发送Nsmf接口的事件曝光通知,所述事件曝光通知用于向所述网管系统通知所述网络攻击事件;在一个可能的设计中,所述第一发送模块1140,用于向所述NWDAF发送Nsmf接口的事件曝光通知,所述事件曝光通知用于向所述NWDAF通知所述网络攻击事件。
在一个可能的设计中,所述Nsmf接口的事件曝光通知携带有所述终端的标识。
在一个可能的设计中,所述第一发送模块1140,用于所述SMF在识别到所述终端的网络攻击的情况下,删除所述终端的所述目标PDU会话中的数据承载DRB。
在一个可能的设计中,所述第一发送模块1140,用于在识别到所述终端的网络攻击的情况下,限制所述终端的最大上行发送速率,以限制所述目标PDU会话的最大上行发送速率。
在一个可能的设计中,所述终端的最大上行速率包括如下至少之一:
所述终端的聚合最大上行速率AMBR;
所述目标PDU会话的AMBR;
所述目标消息所在的QoS流的最大上行速率MBR。
在一个可能的设计中,所述第一发送模块1140,用于在所述终端的DNS查询的发送速率达到第一门限的情况下,确定识别到所述终端的网络攻击。
在一个可能的设计中,所述第一发送模块1140,用于在所述终端的DHCP请求的发送速率达到第二门限的情况下,确定识别到所述终端的网络攻击。
在一个可能的设计中,所述第一发送模块1140,用于在所述终端的异常类型的DHCP请求的发送速率达到第三门限的情况下,确定识别到所述终端的网络攻击;
其中,所述异常类型的DHCP请求包括如下至少之一:重复的DHCP请求,无效的DHCP请求。
图12示出了本申请一个实施例提供的网络攻击的解决装置的框图。该装置可以实现成为终端的全部或一部分,或者应用在终端中,该装置包括:
第二处理模块1220,用于在所述SMF识别到终端的网络攻击的情况下,基于所述SMF发起的控制,限制对目标PDU会话的使用;
其中,所述目标PDU会话承载有目标消息,所述目标消息是触发核心网网元向所述SMF发起所述网络攻击的消息;
在一个可能的设计中,所述第二发送模块1220,用于在所述SMF识别到终端的网络攻击的情况下,所述终端基于所述SMF发起的控制,释放所述目标PDU会话。
在一个可能的设计中,所述第二发送模块1220,用于在所述SMF识别到终端的网络攻击的情况下,所述终端基于所述SMF发起的控制,与用户平面功能UPF执行所述目标PDU会话的释放流程。
在一个可能的设计中,所述释放流程中指示有第一回退时间,所述第一回退时间是禁止所述终端建立所述目标PDU会话的时长。
在一个可能的设计中,所述第二发送模块1220,用于在所述SMF识别到所述终端的网络攻击的情况下,所述终端基于所述SMF发起的控制,与所述终端对应的AMF执行去注册流程。
在一个可能的设计中,在所述去注册流程中指示有第二回退时间,所述第二回退时间是禁止所述终端发起注册流程的时长。
在一个可能的设计中,所述第二发送模块1220,用于在所述SMF识别到所述终端的网络攻击的情况下,基于所述SMF发起的控制,删除所述终端的所述目标PDU会话中的数据承载DRB。
在一个可能的设计中,所述第二发送模块1220,用于在所述SMF识别到所述终端的网络攻击的情况下,基于所述SMF发起的控制,限制所述目标PDU会话的最大上行发送速率。
在一个可能的设计中,所述终端的最大上行速率包括如下至少之一:
所述终端的聚合最大上行速率AMBR;
所述目标PDU会话的AMBR;
所述目标消息所在的QoS流的最大上行速率MBR。
在一个可能的设计中,所述目标消息包括:DNS查询和DHCP请求中的至少一种。
图13示出了本申请一个实施例提供的通信设备(终端或网元设备)的结构示意图,例如,该通信设备可以用于执行上述网络攻击的解决方法。具体来讲:该网元设备1300可以包括:处理器1301、接收器1302、发射器1303、存储器1304和总线1305。
处理器1301包括一个或者一个以上处理核心,处理器1301通过运行软件程序以及模块,从而执行各种功能应用以及信息处理。
接收器1302和发射器1303可以实现为一个收发器1306,该收发器1306可以是一块通信芯片。
存储器1304通过总线1305与处理器1301相连。
存储器1304可用于存储计算机程序,处理器1301用于执行该计算机程序,以实现上述方法实施例中的网元设备、接入网实体、核心网网元或核心网实体执行的各个步骤。
其中,发射器1303用于执行上述各个方法实施例中与发送相关的步骤;接收器1302用于执行上述各个方法实施例中与接收相关的步骤;处理器1301用于执行上述各个实施例中除发送和接收步骤之外的其它步骤。
此外,存储器1304可以由任何类型的易失性或非易失性存储设备或者它们的组合实现,易失性或非易失性存储设备包括但不限于:RAM(Random-Access Memory,随机存储器)和ROM(Read-Only Memory,只读存储器)、EPROM(Erasable Programmable Read-OnlyMemory,可擦写可编程只读存储器)、EEPROM(Electrically Erasable ProgrammableRead-Only Memory,电可擦写可编程只读存储器)、闪存或其他固态存储其技术,CD-ROM(Compact Disc Read-Only Memory,只读光盘)、DVD(Digital Video Disc,高密度数字视频光盘)或其他光学存储、磁带盒、磁带、磁盘存储或其他磁性存储设备。
在示例性实施例中,还提供了一种网元设备,所述网元设备包括:处理器和存储器,所述存储器存储有计算机程序,所述计算机程序由所述处理器加载并执行以实现如上所述的网络攻击的解决方法。
在示例性实施例中,还提供了一种终端,所述终端包括:处理器和存储器,所述存储器存储有计算机程序,所述计算机程序由所述处理器加载并执行以实现如上所述的网络攻击的解决方法。
本申请还提供一种计算机可读存储介质,所述存储介质中存储有至少一条指令、至少一段程序、代码集或指令集,所述至少一条指令、所述至少一段程序、所述代码集或指令集由处理器加载并执行以实现上述方法实施例提供的网络攻击的解决方法。
可选地,本申请还提供了一种计算机程序产品,所述计算机程序产品包括计算机指令,该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该计算机设备执行上述方面提供的网络攻击的解决方法。
上述本申请实施例序号仅仅为了描述,不代表实施例的优劣。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
以上所述仅为本申请的可选实施例,并不用以限制本申请,凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (28)
1.一种网络攻击的解决方法,其特征在于,所述方法包括:
会话管理功能SMF在识别到终端的网络攻击的情况下,限制所述终端对目标协议数据单元PDU会话的使用;
其中,所述目标PDU会话承载有目标消息,所述目标消息是触发核心网网元向所述SMF发起所述网络攻击的消息。
2.根据权利要求1所述的方法,其特征在于,所述SMF在识别到终端的网络攻击的情况下,限制所述终端对所述目标PDU会话的使用,包括:
所述SMF在识别到所述终端的网络攻击的情况下,向用户平面功能UPF发起所述终端的所述目标PDU会话的释放流程。
3.根据权利要求2所述的方法,其特征在于,所述释放流程中向所述终端指示有第一回退时间,所述第一回退时间是禁止所述终端建立所述目标PDU会话的时长。
4.根据权利要求1所述的方法,其特征在于,所述SMF在识别到终端的网络攻击的情况下,限制所述终端对目标PDU会话的使用,包括:
所述SMF在识别到所述终端的网络攻击的情况下,触发所述终端对应的接入和移动性管理AMF与所述终端执行去注册流程,以控制所述终端停止使用所述目标PDU会话。
5.根据权利要求4所述的方法,其特征在于,所述去注册流程中向所述终端指示有第二回退时间,所述第二回退时间是禁止所述终端发起注册流程的时长。
6.根据权利要求4所述的方法,其特征在于,所述SMF在识别到所述终端的网络攻击的情况下,触发所述终端对应的AMF与所述终端执行去注册流程,以控制所述终端停止使用所述目标PDU会话,包括:
所述SMF在识别到所述终端的网络攻击的情况下,向网管系统发送网络攻击事件,所述网络攻击事件用于触发所述网管系统向所述终端对应的AMF发起所述去注册流程;
或,
所述SMF在识别到所述终端的网络攻击的情况下,向网络数据分析功能NWDAF发送网络攻击事件,所述网络攻击事件用于触发所述NWDAF向所述终端对应的AMF发起所述去注册流程。
7.根据权利要求6所述的方法,其特征在于,
所述向网管系统发送网络攻击事件,包括:
向所述网管系统发送Nsmf接口的事件曝光通知,所述事件曝光通知用于向所述网管系统通知所述网络攻击事件;
所述向NWDAF发送网络攻击事件,包括:
向所述NWDAF发送Nsmf接口的事件曝光通知,所述事件曝光通知用于向所述NWDAF通知所述网络攻击事件。
8.根据权利要求7所述的方法,其特征在于,所述Nsmf接口的事件曝光通知携带有所述终端的标识。
9.根据权利要求1所述的方法,其特征在于,所述SMF在识别到所述终端的网络攻击的情况下,限制所述终端对目标PDU会话的使用,包括:
所述SMF在识别到所述终端的网络攻击的情况下,删除所述终端的所述目标PDU会话中的数据无线承载DRB。
10.根据权利要求1所述的方法,其特征在于,所述SMF在识别到所述终端的网络攻击的情况下,限制所述终端对目标PDU会话的使用,包括:
所述SMF在识别到所述终端的网络攻击的情况下,限制所述终端的最大上行发送速率,以限制所述目标PDU会话的最大上行发送速率。
11.根据权利要求1所述的方法,其特征在于,所述终端的最大上行速率包括如下至少之一:
所述终端的聚合最大上行速率AMBR;
所述目标PDU会话的AMBR;
所述目标消息所在的QoS流的最大上行速率MBR。
12.根据权利要求1至11任一所述的方法,其特征在于,
所述方法还包括:
所述SMF在所述终端的DNS查询的发送速率达到第一门限的情况下,确定识别到所述终端的网络攻击。
13.根据权利要求1至11任一所述的方法,其特征在于,所述第一行为包括发送动态主机配置协议DHCP请求;
所述方法还包括:
所述SMF在所述终端的DHCP请求的发送速率达到第二门限的情况下,确定识别到所述终端的网络攻击。
14.根据权利要求1至11任一所述的方法,其特征在于,所述第一行为包括发送DHCP请求;
所述方法还包括:
所述SMF在所述终端的异常类型的DHCP请求的发送速率达到第三门限的情况下,确定识别到所述终端的网络攻击;
其中,所述异常类型的DHCP请求包括如下至少之一:重复的DHCP请求,无效的DHCP请求。
15.一种网络攻击的解决方法,其特征在于,所述方法包括:
在会话管理功能SMF识别到终端的网络攻击的情况下,基于所述SMF发起的控制,终端限制对目标协议数据单元PDU会话的使用;
其中,所述目标PDU会话承载有目标消息,所述目标消息是触发核心网网元向所述SMF发起所述网络攻击的消息。
16.根据权利要求15所述的方法,其特征在于,所述在SMF识别到终端的网络攻击的情况下,基于所述SMF发起的控制,终端限制对目标PDU会话的使用,包括:
在所述SMF识别到终端的网络攻击的情况下,所述终端基于所述SMF发起的控制,释放所述目标PDU会话。
17.根据权利要求16所述的方法,其特征在于,所述在所述SMF识别到终端的网络攻击的情况下,所述终端基于所述SMF发起的控制,释放所述目标PDU会话,包括:
在所述SMF识别到终端的网络攻击的情况下,所述终端基于所述SMF发起的控制,与用户平面功能UPF执行所述目标PDU会话的释放流程。
18.根据权利要求17所述的方法,其特征在于,所述释放流程中指示有第一回退时间,所述第一回退时间是禁止所述终端建立所述目标PDU会话的时长。
19.根据权利要求15所述的方法,其特征在于,所述在所述SMF识别到终端的网络攻击的情况下,所述终端基于所述SMF发起的控制,释放所述目标PDU会话,包括:
在所述SMF识别到所述终端的网络攻击的情况下,所述终端基于所述SMF发起的控制,与所述终端对应的接入和移动性管理AMF执行去注册流程。
20.根据权利要求19所述的方法,其特征在于,所述去注册流程中指示有第二回退时间,所述第二回退时间是禁止所述终端发起注册流程的时长。
21.根据权利要求15所述的方法,其特征在于,所述在SMF识别到终端的网络攻击的情况下,基于所述SMF发起的控制,终端限制对目标PDU会话的使用,包括:
在所述SMF识别到所述终端的网络攻击的情况下,所述终端基于所述SMF发起的控制,删除所述终端的所述目标PDU会话中的数据无线承载DRB。
22.根据权利要求15所述的方法,其特征在于,所述在SMF识别到终端的网络攻击的情况下,基于所述SMF发起的控制,终端限制对目标PDU会话的使用,包括:
在所述SMF识别到所述终端的网络攻击的情况下,所述终端基于所述SMF发起的控制,限制所述目标PDU会话的最大上行发送速率。
23.根据权利要求22所述的方法,其特征在于,所述终端的最大上行速率包括如下至少之一:
所述终端的聚合最大上行速率AMBR;
所述目标PDU会话的AMBR;
所述目标消息所在的QoS流的最大上行速率MBR。
24.根据权利要求12至23任一所述的方法,其特征在于,所述目标消息包括:域名系统DNS查询和动态主机配置协议DHCP请求中的至少一种。
25.一种网络攻击的解决装置,其特征在于,所述装置包括:
第一处理模块,用于在识别到终端的网络攻击的情况下,限制所述终端对目标协议数据单元PDU会话的使用;
其中,所述目标PDU会话承载有目标消息,所述目标消息是触发核心网网元向所述SMF发起所述网络攻击的消息。
26.一种网络攻击的解决装置,其特征在于,所述装置包括:
第二处理模块,用于在会话管理功能SMF识别到终端的网络攻击的情况下,基于所述SMF发起的控制,限制对目标PDU会话的使用;
其中,所述目标PDU会话承载有目标消息,所述目标消息是触发核心网网元向所述SMF发起所述网络攻击的消息。
27.一种网元设备,其特征在于,所述网元设备包括:处理器和存储器,所述存储器存储有计算机程序,所述计算机程序由所述处理器加载并执行以实现如权利要求1至24任一所述的网络攻击的解决方法。
28.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机程序,所述计算机程序由处理器加载并执行以实现如权利要求1至24任一所述的网络攻击的解决方法。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110363832.XA CN113114650B (zh) | 2021-04-02 | 2021-04-02 | 网络攻击的解决方法、装置、设备及介质 |
| PCT/CN2022/078330 WO2022206252A1 (zh) | 2021-04-02 | 2022-02-28 | 一种网络攻击的处理方法、装置、设备、计算机可读存储介质及计算机程序产品 |
| US17/986,844 US20230164566A1 (en) | 2021-04-02 | 2022-11-14 | Network attack handling method and apparatus, device, computer-readable storage medium, and computer program product |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110363832.XA CN113114650B (zh) | 2021-04-02 | 2021-04-02 | 网络攻击的解决方法、装置、设备及介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113114650A true CN113114650A (zh) | 2021-07-13 |
| CN113114650B CN113114650B (zh) | 2024-04-23 |
Family
ID=76713869
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110363832.XA Active CN113114650B (zh) | 2021-04-02 | 2021-04-02 | 网络攻击的解决方法、装置、设备及介质 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US20230164566A1 (zh) |
| CN (1) | CN113114650B (zh) |
| WO (1) | WO2022206252A1 (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114007194A (zh) * | 2021-11-03 | 2022-02-01 | 中国电信股份有限公司 | 订阅消息发送方法、装置、电子设备及存储介质 |
| WO2022206252A1 (zh) * | 2021-04-02 | 2022-10-06 | 腾讯科技(深圳)有限公司 | 一种网络攻击的处理方法、装置、设备、计算机可读存储介质及计算机程序产品 |
| WO2023098227A1 (zh) * | 2021-12-03 | 2023-06-08 | 华为技术有限公司 | 检测网络攻击的方法和通信装置 |
Citations (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104660572A (zh) * | 2013-11-25 | 2015-05-27 | 上海益尚信息科技有限公司 | 新型接入网络中拒绝服务攻击的模式数据的控制方法及装置 |
| WO2019011190A1 (zh) * | 2017-07-12 | 2019-01-17 | 维沃移动通信有限公司 | 处理网络切片拥塞的方法、相关设备和系统 |
| CN109863784A (zh) * | 2018-05-14 | 2019-06-07 | Oppo广东移动通信有限公司 | 控制网络拥塞的方法、终端设备和网络设备 |
| CN110035423A (zh) * | 2018-01-12 | 2019-07-19 | 华为技术有限公司 | 会话管理方法、设备及系统 |
| WO2019154036A1 (zh) * | 2018-02-12 | 2019-08-15 | 华为技术有限公司 | QoS流处理方法、设备及系统 |
| CN110199513A (zh) * | 2017-07-20 | 2019-09-03 | 华为国际有限公司 | 一种会话处理方法及设备 |
| CN110235505A (zh) * | 2017-01-23 | 2019-09-13 | Oppo广东移动通信有限公司 | 随机接入的方法、终端设备和网络设备 |
| CN110351229A (zh) * | 2018-04-04 | 2019-10-18 | 电信科学技术研究院有限公司 | 一种终端ue管控方法及装置 |
| CN110419249A (zh) * | 2017-03-21 | 2019-11-05 | 华为技术有限公司 | 一种移动性管理的处理方法及装置 |
| CN110447247A (zh) * | 2017-03-20 | 2019-11-12 | 康维达无线有限责任公司 | 用户设备处的服务能力开放 |
| CN111465018A (zh) * | 2019-01-21 | 2020-07-28 | 华为技术有限公司 | 一种增强跨网络访问安全的方法、设备及系统 |
| CN111641947A (zh) * | 2019-03-01 | 2020-09-08 | 华为技术有限公司 | 密钥配置的方法、装置和终端 |
| CN111770490A (zh) * | 2019-04-02 | 2020-10-13 | 电信科学技术研究院有限公司 | 一种确定终端行为分析的方法和设备 |
| US20200389935A1 (en) * | 2019-06-10 | 2020-12-10 | Samsung Electronics Co., Ltd. | Method and apparatus for improving service reliability in wireless communication system |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110830422B (zh) * | 2018-08-10 | 2022-04-01 | 中国移动通信有限公司研究院 | 一种终端行为数据处理方法及设备 |
| CN113114650B (zh) * | 2021-04-02 | 2024-04-23 | 腾讯科技(深圳)有限公司 | 网络攻击的解决方法、装置、设备及介质 |
-
2021
- 2021-04-02 CN CN202110363832.XA patent/CN113114650B/zh active Active
-
2022
- 2022-02-28 WO PCT/CN2022/078330 patent/WO2022206252A1/zh unknown
- 2022-11-14 US US17/986,844 patent/US20230164566A1/en active Pending
Patent Citations (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104660572A (zh) * | 2013-11-25 | 2015-05-27 | 上海益尚信息科技有限公司 | 新型接入网络中拒绝服务攻击的模式数据的控制方法及装置 |
| CN110235505A (zh) * | 2017-01-23 | 2019-09-13 | Oppo广东移动通信有限公司 | 随机接入的方法、终端设备和网络设备 |
| CN110447247A (zh) * | 2017-03-20 | 2019-11-12 | 康维达无线有限责任公司 | 用户设备处的服务能力开放 |
| CN110419249A (zh) * | 2017-03-21 | 2019-11-05 | 华为技术有限公司 | 一种移动性管理的处理方法及装置 |
| WO2019011190A1 (zh) * | 2017-07-12 | 2019-01-17 | 维沃移动通信有限公司 | 处理网络切片拥塞的方法、相关设备和系统 |
| CN110199513A (zh) * | 2017-07-20 | 2019-09-03 | 华为国际有限公司 | 一种会话处理方法及设备 |
| CN110035423A (zh) * | 2018-01-12 | 2019-07-19 | 华为技术有限公司 | 会话管理方法、设备及系统 |
| WO2019154036A1 (zh) * | 2018-02-12 | 2019-08-15 | 华为技术有限公司 | QoS流处理方法、设备及系统 |
| CN110351229A (zh) * | 2018-04-04 | 2019-10-18 | 电信科学技术研究院有限公司 | 一种终端ue管控方法及装置 |
| CN109863784A (zh) * | 2018-05-14 | 2019-06-07 | Oppo广东移动通信有限公司 | 控制网络拥塞的方法、终端设备和网络设备 |
| CN111465018A (zh) * | 2019-01-21 | 2020-07-28 | 华为技术有限公司 | 一种增强跨网络访问安全的方法、设备及系统 |
| CN111641947A (zh) * | 2019-03-01 | 2020-09-08 | 华为技术有限公司 | 密钥配置的方法、装置和终端 |
| CN111770490A (zh) * | 2019-04-02 | 2020-10-13 | 电信科学技术研究院有限公司 | 一种确定终端行为分析的方法和设备 |
| US20200389935A1 (en) * | 2019-06-10 | 2020-12-10 | Samsung Electronics Co., Ltd. | Method and apparatus for improving service reliability in wireless communication system |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2022206252A1 (zh) * | 2021-04-02 | 2022-10-06 | 腾讯科技(深圳)有限公司 | 一种网络攻击的处理方法、装置、设备、计算机可读存储介质及计算机程序产品 |
| CN114007194A (zh) * | 2021-11-03 | 2022-02-01 | 中国电信股份有限公司 | 订阅消息发送方法、装置、电子设备及存储介质 |
| WO2023098227A1 (zh) * | 2021-12-03 | 2023-06-08 | 华为技术有限公司 | 检测网络攻击的方法和通信装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20230164566A1 (en) | 2023-05-25 |
| WO2022206252A1 (zh) | 2022-10-06 |
| CN113114650B (zh) | 2024-04-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP7192928B2 (ja) | Non-3GPP InterWorking Functionノード、UE、Non-3GPP InterWorking Functionノードの方法、及びUEの方法 | |
| EP4213577A1 (en) | Address information sending method and apparatus, address information obtaining method and apparatus, device, and medium | |
| CN113114651B (zh) | 报告控制方法、装置、设备及介质 | |
| CN113114650B (zh) | 网络攻击的解决方法、装置、设备及介质 | |
| JP4758442B2 (ja) | 無認可移動体アクセスネットワークにおけるセキュリティの提供 | |
| US20160227468A1 (en) | Execution method and user equipment for service request procedure | |
| US11689565B2 (en) | Device monitoring method and apparatus and deregistration method and apparatus | |
| US20220256396A1 (en) | Congestion control method and apparatus | |
| WO2020088601A1 (zh) | 控制终端与网络连接的方法及装置 | |
| WO2022206251A1 (zh) | 拒绝服务攻击的解决方法、装置、设备、介质和计算机程序产品 | |
| US20240224098A1 (en) | Network verification method and apparatus | |
| WO2016201707A1 (zh) | 一种网络状态信息传递方法和网络设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 40048758 Country of ref document: HK |
|
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |