专利名称:恶意流量处理方法及系统的制作方法
技术领域:
本发明涉及移动通信技术,尤其涉及一种恶意流量处理方法及系统。
背景技术:
在移动通信网络中通常存在多种恶意流量,例如,蠕虫病毒、拒绝服务
(Deny of Service,简称D0S)攻击、黑客攻击等,如果在各个通信实体间 传输的数据中包含了这些恶意流量,将会严重影响网络中数据传输,甚至造 成网络瘫痪,为用户带来不便。
为了减少恶意流量对网络的影响,现有技术通过各种病毒检测技术检测 网络中的数据流中是否包含恶意流量,然后将检测到含有恶意流量的数据流 屏蔽或直接丟弃,而用户并不知晓。
发明人在实现本发明的过程中发现这种处理恶意流量的方式存在的问 题在于,如果将包含有恶意流量的数据直接丢弃或屏蔽,可能会造成用户无 法上网,而用户并不清楚造成不能上网的原因是由于数据流中包括了恶意流 量;并且,由于用户不能够及时获知用户终端(User Equipment,简称UE) 上数据流已经受到恶意流量的侵袭,所以用户无法及时采取消除恶意流量的 行动,从而可能导致恶意流量侵袭范围扩大,给用户造成更大的影响。
发明内容
本发明实施例针对现有技术中存在的问题,提供一种恶意流量处理方法 及系统,能够及时将会话数据染毒的状态信息告知用户终端,使得用户终端 可以及时执行消除恶意流量的操作,减小恶意流量对用户终端的影响。
本发明实施例提供了 一种恶意流量处理方法,所述恶意流量处理方法用于移动通信网络,包括
染毒检测单元检测经过自身的会话数据是否包含恶意流量,如果经过 自身的会话数据包含恶意流量,则所述染毒检测单元发送通知消息给染毒
处理单元,通知染毒处理单元所述会话数据染毒的状态信息;
所述染毒处理单元将会话数据染毒的状态信息发送给用户终端。 本发明实施例还提供了 一种恶意流量处理系统,所述恶意流量处理系
统用于移动通信网络,包括
染毒检测单元,用于检测经过自身的会话数据中是否包含恶意流量; 染毒处理单元,用于接收所述染毒检测单元发送的会话数据染毒的状
态信息,在接收到所述染毒检测单元发送的会话数据染毒的状态信息后,
将会话数据染毒的状态信息发送给用户终端。
本发明实施例提供的恶意流量处理方法及系统,在检测到移动通信网
络中的会话数据中包括恶意流量时,及时通知UE,这样UE就可以及时发
起消除恶意流量的操作。
下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。
图1所示为本发明恶意流量处理方法流程图2所示为本发明恶意流量处理方法实施例中涉及到的一种网络架构 示意图3所示为本发明恶意流量处理方法实施例一流程图; 图4所示为本发明恶意流量处理方法实施例二流程图; 图5所示为本发明恶意流量处理方法实施例三流程图; 图6所示为本发明恶意流量处理方法实施例四流程图; 图7所示为本发明恶意流量处理方法实施例五流程图; 图8所示为本发明恶意流量处理方法实施例六流程图;图9所示为本发明恶意流量处理方法实施例七流程图; 图10所示为本发明恶意流量处理方法实施例八流程图; 图11所示为本发明恶意流量处理方法实施例中涉及到的另一种网络 架构示意图12所示为本发明恶意流量处理方法实施例九流程图; 图13所示为本发明恶意流量处理方法实施例十流程图; 图14所示为本发明恶意流量处理方法实施例中涉及到的再一种网络 架构示意图15所示为本发明恶意流量处理方法实施例十一流程图; 图16所示为本发明恶意流量处理方法实施例十二流程图; 图17所示为本发明恶意流量处理方法实施例十三流程图; 图18所示为本发明恶意流量处理系统实施例结构示意图。
具体实施例方式
如图1所示为本发明恶意流量处理方法流程图,该恶意流量处理方法应 用于移动通信领域,包括
步骤1、染毒检测单元检测经过自身的会话数据是否包含恶意流量, 如果经过自身的会话数据包含恶意流量,则染毒检测单元发送通知消息给 染毒处理单元,通知染毒处理单元所述会话数据染毒的状态信息;
步骤2、染毒处理单元将会话数据染毒的状态信息发送给用户终端。
本发明实施例提供的恶意流量处理方法,在检测到移动通信网络中的 会话数据中包括恶意流量时,及时通知UE,这样UE就可以及时发起消除 恶意流量的操作。
为了防止恶意流量侵袭范围的继续扩大,染毒处理单元还可以将染毒 的会话去激活,这样即使由于该会话被去激活导致了 UE无法传输其他数 据,UE侧也可以知道是由于该会话数据染毒了 ,而不至于在毫不知情的情
9况下被中断了与移动通信网络的数据传输。
或者,在染毒检测单元检测到会话数据中包含恶意流量之后,染毒处 理单元还可以将染毒的会话进行降速处理可以尽可能减小染毒的会话数 据进一步感染网络中其他会话数据的可能性,在UE进行了消除恶意流量 的操作之后,染毒4企测单元可以检测之前染毒的会话数据中不再包含恶意 流量,染毒处理单元可以将之前染毒的会话的速度恢复。
染毒处理单元在接收到染毒检测单元发送的会话数据染毒的状态信 息后,染毒处理单元还可以记录会话数据染毒的状态信息,例如可以记录 会话数据的标识、恶意流量的类型、恶意流量的来源、染毒的程度等信息,
然后再将会话数据染毒的状态信息发送给UE。如果UE在接收到会话数据 染毒的状态信息之后进行了消除恶意流量的操作,那么染毒检测单元后续 会检测到之前染毒的会话数据中恶意流量已经被消除,这时染毒处理单元 可以删除之前记录的会话数据染毒的状态信息,并将会话数据中恶意流量 已被消除这一消息通知UE。
染毒检测单元或染毒处理单元在获知会话数据中包含恶意流量的时 候,除了进行前述的各项操作,还可以执行如下搡作中的至少一种
(1) 限制该用户终端的访问范围,例如限制用户终端只能访问配置 的地址或端口范围;
(2) 限制用户终端的传输控制协议(Transmission Control Protocol,简称TCP)连接次数,或对用户终端的网络控制消息协议
(Internet Control Message Protocol,简称ICMP)才艮文个数进^^充量 控制;
(3) 发出告警或呼叫日志来通知设备维护人员恶意流量的来源或恶 意流量的类型。
通过这三种方式中的一种就可以防止恶意流量的进一步侵袭。在UE 执行消除恶意流量的操作之后,染毒检测单元或染毒处理单元在获知会话数据中恶意流量已被消除的时候,还可以执行如下操作中的至少 一种 (4 )取消对用户终端访问范围的限制;
(5)取消对用户终端TCP连接次数的限制,或取消对用户终端的ICMP 报文个数的流量控制;
(6 )发出告警或呼叫日志来通知设备維护人员恶意流量已经消除。 (4) (5) (6)所提到的方式与(1) (2) ( 3)中提到的方式是对应的, 例如,如果之前执行了方式(1),则后续需要执行方式(4) 。
(1) ~ (6)中所提的方式,可以由网络中的单个网元来实现。
在本发明实施例中,染毒检测单元和染毒处理单元都应当是移动通信 网络中会话数据流经的网络实体。
下面结合具体的网元实体来说明本发明移动通信网络的恶意流量处 理方法实现过程。
如图2所示为本发明恶意流量处理方法实施例中涉及到的 一种网络架 构示意图。图2所示的是不使用策略计费控制(Policy and Charging Control,简称PCC)架构的GPRS网络或通用移动通信系统(Universal Mobile Telecommunication System,简称画TS)网络,网关GPRS支持节 点(Gateway GPRS Support Node,筒称GGSN)是GPRS/UMTS核心网络的 设备,主要完成分组数据报的路由与转发,完成GPRS/UMTS核心网络与外 部分组数据网(Packet Data Networks,简称PDN)的连接;服务GPRS 支持节点(Serving GPRS Support Node,简称SGSN)是GPRS/UMTS核心 网络设备,主要完成分组数据报的路由与转发、加密与鉴权、会话管理、 移动性管理、逻辑链路管理、话单产生和输出等;通用陆地无线接入网 (Universal Terrestrial Radio Access Network,简称UTRAN)是UMTS 分組与无线接入网络(Radio Access Network,简称RAN)设备,主要完 成对用户的无线资源管理和空口新领域数据的路由与转发;GSM基站子系 统(Base Station Subsystem,简称BSS )是GPRS的RAN设备,主要完成对用户无线资源管理和空口信令与数据的路由和转发;UE是可移动的用户
终端。在图2所示的网络中,GGSN和SGSN等网络实体可以主动发起流程 控制UE的行为。
具体到本发明实施例,可以在GGSN中实现染毒检测单元和染毒处理 单元的功能,也可以在SGSN实现染毒检测单元和染毒处理单元的功能, 也可以在位置归属寄存器(Home Location Register,简称HLR )中实现 染毒处理单元的功能。
如图3所示为本发明恶意流量处理方法实施例一流程图,在实施例一 中,在SGSN中实现了染毒检测单元和染毒处理单元的功能,即,染毒检 测单元和染毒处理单元设置在SGSN中,该流程包括
步骤101、 SGSN中的染毒检测单元检测流经自身的会话数据中是否包 含恶意流量;
步骤102、如果SGSN中的染毒检测单元检测到流经自身的会话数据中 包含恶意流量,则染毒检测单元将会话数据染毒的状态信息发送给SGSN 中的染毒处理单元,SGSN中的染毒处理单元发起去激活流程,具体地, SGSN中的染毒处理单元向UE发送去激活PDP上下文请求(Deactivate PDP Context Request ),在该去激活PDP上下文请求(Deact ivate PDP Context Request)中携带有会话数据染毒的状态信息,用于通知UE会话数据染毒 的状态信息;然后UE向SGSN发送去激活PDP上下文接受消息(Deactivate PDP Context Accept),完成只于会i舌的去;鼓活流禾呈。
如图4所示为本发明恶意流量处理方法实施例二流程图,在实施例二 中,在SGSN中实现了染毒检测单元和染毒处理单元的功能,即,染毒检 测单元和染毒处理单元设置在SGSN中,该流程包括
步骤201、 SGSN中的染毒检测单元检测流经自身的会话数据中是否包 含恶意流量;
步骤202、如果SGSN中的染毒检测单元4企测到流经自身的会话数据中包含恶意流量,则染毒检测单元将会话数据染毒的状态信息发送给SGSN 中的染毒处理单元,SGSN中的染毒处理单元向UE发送修改PDP上下文请 求(Modify PDP Context Request),将染毒的会话的速率降低到一个值 A,该值A可以是一个固定值,可以由运营商进行配置;在修改PDP上下 文请求(Modify PDP Context Request)中还携带有会话数据染毒的状态 信息。然后UE发送修改PDP上下文接受消息(Modify PDP Context Accept ), 完成对染毒的会话的降速处理。
在步骤"2中,SGSN中的染毒处理单元在接收会话数据染毒的状态信 息后,可以将会话数据染毒的状态信息进行记录。在完成步骤202之后, 如果SGSN中的染毒处理单元没有对染毒的会话进行去激活处理,则SGSN 中的染毒检测单元仍然继续检测流经自身的会话数据中是否包含恶意流 量,如果UE对染毒的会话数据进行了恶意流量消除的处理,则SGSN中的 染毒检测单元会检测到流经自身的会话数据中的恶意流量已经消除,这 时,SGSN中的染毒处理单元可以通过向UE发送修改PDP上下文请求 (Modify PDP Context Request)来将之前经过降速处理的会话的速率恢 复,并且在修改PDP上下文请求(Modify PDP Context Request)中携带 会话数据中恶意流量已经被消除的信息。并且,SGSN中的染毒处理单元可 以清除之前记录的会话数据染毒的状态信息。
在实施例二中,在检测到流经自身的会话数据中的恶意流量被消除之 前,SGSN不允许网络中其他网元触发的提高会话速率的操作。
在检测到流经自身的会话数据中的恶意流量被消除之前,如果UE从 一个SGSN迁移到了另 一个SGSN,则迁移前的SGSN会将会话数据染毒的状 态信息发送给迁移后的SGSN,防止迁移后的SGSN由于没有获知会话数据 染毒的状态信息而重新为UE设置了较大的会话速率,造成恶意流量侵袭 范围增大。具体地,迁移之前的SGSN中用于记录会话数据染毒的状态信 息的模块将记录的信息发送给迁移后的SGSN中用于记录会话数据染毒的状态信息的模块。
如图5所示为本发明恶意流量处理方法实施例三流程图,在SGSN中 实现了染毒检测单元和染毒处理单元的功能,即,染毒检测单元和染毒处
理单元设置在SGSN中,该流程包括
步骤301、 SGSN中的染毒检测单元检测流经自身的会话数据中是否包 含恶意流量;
步骤302、如果SGSN中的染毒检测检测到流经自身的会话数据中包含 恶意流量,则染毒检测单元将会话数据染毒的状态信息发送给SGSN中的 染毒处理单元,SGSN中的染毒处理单元向UE发送修改PDP上下文请求 (Modify PDP Context Request),在修改PDP上下文请求(Modify PDP Context Request)中携带有会话数据染毒的状态信息,用于将会话数据 染毒的状态信息通知给UE。
如果UE进行了消除恶意流量的操作,则SGSN中的染毒检测单元会检 测到流经自身的会话数据中的恶意流量已经消除,这时,SGSN中的染毒处 理单元通过向UE发送修改PDP上下文请求(Modify PDP Context Request ), 在修改PDP上下文请求(Modify PDP Context Request)中携带会话数据 中恶意流量已经被消除的信息。并且SGSN中的染毒处理单元可以清除之 前记录的会话数据染毒的状态信息。
如图6所示为本发明恶意流量处理方法实施例四流程图,在实施例四 中,在GGSN中实现了染毒检测单元和染毒处理单元的功能,即,染毒检 测单元和染毒处理单元设置在GGSN中,该流程包括
步骤401、 GGSN中的染毒检测单元检测流经自身的会话数据中是否包 含恶意流量;
步骤402、如果GGSN中的染毒检测单元检测到流经自身的会话数据中 包含恶意流量,则染毒检测单元将会话数据染毒的状态信息发送给GGSN 中的染毒处理单元,GGSN中的染毒处理单元向SGSN发送删除PDP上下文
14请求(Delete PDP Context Request),在该删除PDP上下文请求(Delete PDP Context Request)中携带会话数据染毒的状态信息,然后SGSN向UE发送 去激活PDP上下文请求(Deactivate PDP Context Request),用于将染 毒的会话去激活,并且在去激活PDP上下文请求(Deactivate PDP Context Request)中携带会话数据染毒的状态信息,然后UE向SGSN发送去激活 PDP上下文^妾受消息(Deactivate PDP Context Accept),完成对会话的 去激活流程。SGSN在收到UE返回的去激活PDP上下文接受消息 (Deactivate PDP Context Accept)后,向GGSN中的染毒处理单元发送 删除PDP上下文响应(Delete PDP Context Response)。
如图7所示为本发明恶意流量处理方法实施例五流程图,在实施例五 中,在GGSN中实现了染毒检测单元和和染毒处理单元的功能,即染毒检 测单元和染毒处理单元设置在GGSN中,该流程包括
步骤501、 GGSN中的染毒检测单元检测流经自身的会话数据中是否包 含恶意流量;
步骤502、如果GGSN中的染毒检测单元检测到流经自身的会话数据中 包含恶意流量,则染毒检测单元将会话数据染毒的状态信息发送给GGSN 中的染毒处理单元,GGSN中的染毒处理单元向SGSN发送更新PDP上下文 请求(Update PDP Context Request ),通过该更新PDP上下文请求(Update PDP Context Request ),要求将染毒的会话的速率降低到一个值A,并且 在该更新PDP上下文请求(Update PDP Context Request)中携带有会话 数据染毒的状态信息;SGSN在收到GGSN发送的更新PDP上下文请求 (Update PDP Context Request )之后,发送修改PDP上下文请求(Modify PDP Context Request)给UE,通过该修改PDP上下文请求(Modify PDP Context Request )将染毒的会话的速率降低到一个固定值A,并且在修改 PDP上下文请求(Modify PDP Context Request)中携带会话数据染毒的 状态信息,然后UE向SGSN返回修改PDP上下文接受消息(Modify PDPContext Accept),完成对染毒的会话的降速处理。SGSN在接收到UE发 送的修改PDP上下文接受消息(Modify PDP Context Accept )后,向GGSN 中的染毒处理单元发送更新PDP上下文响应(Update PDP Context Response )。
在步骤中,GGSN中的染毒处理单元接收到会话数据染毒的状态信 息后,GGSN中的染毒处理模块将会话数据染毒的状态信息进行记录。在完 成步骤502之后,GGSN中的染毒检测单元仍然继续检测流经自身的会话数 据是否包含恶意流量,如果UE对染毒的会话数据进行了处理,则GGSN中 的染毒检测单元会检测流经自身的会话数据中的恶意流量已经消除,这 时,GGSN中的染毒处理单元可以采用向SGSN发送更新PDP上下文请求 (Update PDP Context Request),通过该更新PDP上下文请求(Update PDP Context Request)要求将之前经过降速处理的会话的速率恢复,并 且在该更新PDP上下文请求(Update PDP Context Request)携带会话数 据中恶意流量已经被消除的信息。SGSN然.后向UE发送修改PDP上下文请 求(Modify PDP Context Request ),通过该修 夂PDP上下文请求(Modify PDP Context Request)将之前经过降速的会话的速率恢复,并且在该〈奮 改PDP上下文请求(Modify PDP Context Request)中携带会话数据中恶 意流量已经被消除的信息。
在检测到流经自身的会话数据中的恶意流量被消除之前,GGSN不允许 网络中其他网元触发的提高会话速率的操作。
如图8所示为本发明恶意流量处理方法实施例六流程图,在实施例六 中,在GGSN中实现了染毒检测单元和染毒处理单元的功能,即,染毒检 测单元和染毒处理单元设置在GGSN中,包括
步骤601、 GGSN中的染毒检测单元检测流经自身的会话数据中是否包 含恶意流量;
步骤602、如果GGSN中的染毒检测单元检测到流经自身的会话数据中包含恶意流量,则染毒检测单元将会话数据染毒的状态信息发送给GGSN 中的染毒处理单元,GGSN中的染毒处理单元向SGSN发送更新PDP上下文 请求(Update PDP Context Request ),在该更新PDP上下文请求(Update PDP Context Request)中携带有会话数据染毒的状态信息,用于将会话 数据染毒的状态信息通知给SGSN,然后SGSN发送修改PDP上下文请求
(Modify PDP Context Request)给UE,在该修改PDP上下文请求(Modify PDP Context Request)中携带有会话数据染毒的状态信息,用于将会话数 据染毒的状态信息通知给UE。
如果UE进行了消除恶意流量的操作,则GGSN中的染毒检测单元会检 测到流经自身的会话数据中的恶意流量已经消除,这时,GGSN中的染毒处 理单元可以发送更新PDP上下文请求(Update PDP Context Request)给 SGSN,在该更新PDP上下文请求(Update PDP Context Request)中携带 有会话数据中的恶意流量已经被消除的信息;SGSN在收到该更新PDP上下 文请求(Update PDP Context Request)后,发送修改PDP上下文请求
(Modify PDP Context Request )给UE,在该修改PDP上下文请求(Modify
PDP Context Request)中携带有会话数据中的恶意流量已经被消除的信 自
如图9所示为本发明恶意流量处理方法实施例七流程图,在实施例七 中,在SGSN或GGSN中实现了染毒检测单元的功能,在HLR中实现了染毒 处理单元的功能,即,染毒检测单元设置在SGSN或GGSN中,染毒处理单 元设置在HLR中,该流程包括
步骤701、 SGSN或GGSN中的染毒检测单元检测流经自身的会话数据 中是否包含恶意流量;
步骤702、如果SGSN或GGSN中的染毒检测单元检测到流经自身的会 话数据中包含恶意流量,则SGSN或GGSN中的染毒检测单元向HLR中的染 毒处理单元发送病毒通知消息(Virus Notification),用于通知HLR中的染毒处理单元会话数据染毒的状态信息。
步骤703、 HLR中的染毒处理单元在收到来自SGSN或GGSN的病毒通 知消息(Virus Notification)之后,可以选4奪对会话进行去激活处理, 或者可以对会话进行降速处理,或者可以选择通知UE会话数据染毒的状 态信息,HLR中的染毒处理单元可以将所选择的处理方式通过病毒处理指 示(Virus Process Indication )发送给SGSN或GGSN。
步骤704、 SGSN或GGSN在接收到HLR发送的病毒处理指示(Virus Process Indication)之后,可以#4居该病毒处理指示(Virus Process Indication)中所选择的方式执行相应的操作。具体的操作可以参考步骤 102、 202、 302、 402、 502、 602。例如,如果HLR中的染毒处理单元向SGSN 发送病毒处理指示(Virus Process Indication)中选择对会话进行降速 的处理,则SGSN在收到HLR发送的病毒处理指示(Virus Process Indication)后,可以釆用与步骤302类似的步骤,与步骤302区别之处 在于步骤704中HLR中的染毒处理单元将病毒处理指示(Virus Process Indication)发送给SGSN中的能够处理病毒处理指示(Virus Process Indication)的单元,并且由SGSN中的能够处理病毒处理指示(Virus Process Indication)的单元发起对包含有恶意流量的会话数据涉及到的 会话进行去激活的操作,而步骤302中是由SGSN中的染毒处理单元发起 对包含有恶意流量的会话数据涉及到的会话进行去激活的操作。
如果SGSN或GGSN中的染毒检测单元检测到流经自身的会话数据中的 恶意流量已经消除,这时SGSN或GGSN中的染毒4企测单元向HLR中的染毒 处理单元发送病毒清除通知(Virus Cleanup Notification) 。 HLR中的 染毒处理单元在收到SGSN或GGSN中染毒检测单元的病毒清除通知(Virus Cleanup Notification )后,通过向SGSN或GGSN发送病毒清除指示(Virus Cleanup Process Indication)通知SGSN或GGSN才丸行相应的操作。例如, HLR中的染毒处理单元如果在步骤704中选择对会话进行降速处理,那么在会话数据中的恶意流量消除之后,HLR中的染毒处理单元可以选择对会 话速率进4于恢复。
SGSN或GGSN在收到HLR发送的发送病毒清除指示(Virus Cleanup Process Indication)后,根据HLR中的染毒处理单元选择的处理方式执 行相应的操作。例如,如果HLR中的染毒处理单元选择对会话速率进行恢 复,那么GGSN可以采用与实施例五类似的方法,GGSN可以向SGSN发送更 新PDP上下文i貪求(Update PDP Context Request),通过该更新PDP上 下文请求(Update PDP Context Request)要求将之前经过降速处理的会 话的速率恢复,并且在该更新PDP上下文请求(Update PDP Context Request )携带会话数据中恶意流量已经被消除的信息。SGSN然后向UE 发送》f改PDP上下文请求(Modify PDP Context Request),通过该》务改 PDP上下文请求(Modify PDP Context Request)将之前经过降速的会话 的速率恢复,并且在该修改PDP上下文请求(Modify PDP Context Request ) 中携带会话数据中恶意流量已经被消除的信息。
如图10所示为本发明恶意流量处理方法实施例八流程图,在实施例 八中,在SGSN实现染毒检测单元的功能,在GGSN中实现染毒处理单元的 功能,即,染毒检测单元设置在SGSN中,染毒处理单元设置在GGSN中, 该流程包4舌
步骤SOl、 SGSN中的染毒检测单元检测流经自身的会话数据中是否包 含恶意流量;
步骤802、如果SGSN中的染毒检测单元检测到流经自身的会话数据中 包含恶意流量,则SGSN中的染毒检测单元向GGSN中的染毒处理单元发送 病毒通知消息(Virus Notification),用于通知GGSN中的染毒处理单 元会话数据染毒的状态信息。
步骤803、 GGSN中的染毒处理单元在收到来自SGSN中的染毒检测单 元的病毒通知消息(Virus Notification)之后,可以选择对会话进行去激活或降速处理,可以将会话数据染毒的状态信息通知给UE, GGSN进行 的操作与步骤402或502或602类似,此处不再赘述。如果SGSN中的染 毒检测单元检测到流经自身的会话数据中的恶意流量已经消除,这时SGSN 中的染毒检测单元向GGSN中的染毒处理单元发送病毒清除通知(Virus Cleanup Notification)。
GGSN中的染毒处理单元在收到SGSN中的染毒检测单元发送的病毒清 除通知(Virus Cleanup Notification)后,如果在步骤803中对会话进 行了降速处理,则需要对会话速率进行恢复,如果在步骤803中通知了 UE 会话数据染毒的状态信息,则在步骤805中需要通知UE会话数据中恶意 流量已经消除的信息。
与实施例八相反地,可以在GGSN中实现染毒4全测单元的功能,在SGSN 中实现染毒处理单元和染毒通知单元的功能,这时,GGSN中的染毒检测单 元检测流经自身的会话数据中是否包含恶意流量,如果检测到流经自身的 会话数据中包含恶意流量,则GGSN中的染毒检测单元向SGSN中的染毒处 理单元发送病毒通知消息(Virus Notification),通知SGSN中的染毒 处理单元会话数据染毒的状态信息。然后SGSN可以进行与步骤102或202 或302类似的#:作,具体步骤不再赘述。并且,如果UE在SGSN之间发生 了迁移,迁移之前的SGSN中的用于记录会话数据染毒的状态信息的单元 需要将记录的信息发送给迁移后的SGSN中的用于记录会话数据染毒的状 态信息的单元,防止由于迁移后的SGSN中没有会话数据染毒的状态信息 而将染毒的会话进行恢复速度的操作。
需要说明的是,实施例一到实施例八中所示的方法针对的是如图2所 示的网络结构。如图11所示为本发明恶意流量处理方法实施例中涉及到 的另一种网络架构示意图,图11所示的是使用了 PCC架构的GPRS网络或 UMTS网络,其中策略计费执行功能(Policy and Charging Enforcement Function,筒称PCEF )模块完成业务流数据检测、策略执行和基于业务流的计费,PCEF模块可以设置在GGSN或P-GW中;策略计费规则功能(Policy Charging Rules Function,简称PCRF )模块完成策略控制决策和基于业 务流的计费控制,PCRF模块为PCEF模块提供了网络控制、业务数据流检 测、QoS和基于业务流的计费,在接收来自应用功能(Application Function,简称AF )模块的会话信息,PCRF模块还可以根据运营商的策 略进行安全流程,PCRF模块决定指定的业务数据流在PCEF模块如何被处 理,从而保证PCEF模块上对用户面数据的映射和处理与用户的签约数据 保持一致;AF模块根据应用层的用户面数据行为动态地产生策略计费控制 需求,并将所需的会话信息发送给PCRF要求其做出决策。
对于如图ll所示的网络架构,可以在PCEF模块中实现染毒检测单元 的功能,在PCRF模块中实现染毒处理单元的功能;或者也可以在PCEF模
块中实现染毒检测单元处理的功能,在AF模块中实现染毒处理单元的功
《匕 3匕。
对于如图11所示的网络架构,PCEF ^t块-没置在GGSN中,则可以在 GGSN中的PCEF模块中实现染毒单元模块的功能,在PCRF模块中实现染毒 处理单元模块的功能。如图12所示为本发明恶意流量处理方法实施例九 流程图,在实施例九中,在GGSN的PCEF模块中实现染毒检测单元的功能, 在PCRF模块中实现染毒处理单元的功能,即,染毒检测单元设置在GGSN 的PCEF模块中,染毒处理单元设置在PCRF模块中,该流程包括
步骤901、 GGSN中的PCEF模块中的染毒检测单元检测流经自身的会 话数据中是否包含恶意流量;
步骤902、如果GGSN中的PCEF模块中的染毒检测单元检测到流经自 身的会话数据中包含恶意流量,则向PCRF模块中的染毒处理单元发送病 毒通知消息(Virus Notification),用于通知PCRF模块中的染毒处理 单元会话数据染毒的状态信息。
步骤903、 PCRF模块中的染毒处理单元在收到来自GGSN中的PCEF模块中的染毒4全测单元发送的病毒通知消息(Virus Notification)之后, 可以选择对会话进行去激活处理,或者可以对会话进行降速处理,或者可 以选择通知UE会话数据染毒的状态信息,PCRF模块中的染毒处理单元可 以将所选择的处理方式通过发送病毒处理指示(Virus Process Indication)给GGSN中的PCEF才莫块。
步骤904、 GGSN中的PCEF模块在接收到PCRF模块发送的病毒处理指 示(Virus Process Indication )之后,可以#4居该病毒处理指示(Virus Process Indication)中所选择的方式执行相应的才喿作。具体的操作可以 参考步骤102、 202、 302、 402、 502、 602。例如,如果PCRF模块中的染 毒处理单元向GGSN发送病毒处理指示(Virus Process Indication)中 选择对会话进行降速的处理,则GGSN中的PCEF模块在收到PCRF模块发 送的病毒处理指示(Virus Process lndicat ion )后,可以采用与步骤502 类似的步骤,与步骤502的区别之处在于步骤904中由PCEF模块中的
中,是由GGSN中的染毒处理单元发起对会话的降速处理。
步骤905、如果GGSN中的PCEF模块中的染毒检测单元检测到流经自 身的会话数据中的恶意流量已经消除,这时GGSN中的PCEF模块中的染毒 检测单元向PCRF模块发送病毒清除通知(Virus Cleanup Notification )。 步骤906、 PCRF模块中的染毒处理单元在收到GGSN中的PCEF模块中 的染毒检测单元发送的病毒清除通知(Virus Cleanup Notificat ion )后, 通过向GGSN中的PCEF模块发送病毒清除处理指示(Virus Cleanup Process Indication),通知GGSN中的PCEF模块执行相应的操作。例如, PCRF模块中的染毒处理单元如杲在步骤904中选择对会话进行降速处理, 那么在会话数据中的恶意流量消除之后,PCRF才莫块中的染毒处理单元可以 选择对会话速率进行恢复。
步骤907、 GGSN中的PCEF模块在收到PCRF发送的病毒清除处理指示(Virus Cleanup Process Indication)后,冲艮^居PCRF才莫块选择的处J里 方式执行相应的操作。例如,如果PCRF模块中的染毒处理单元选择对会 话速率进行恢复,那么GGSN中的PCEF模块可以采用与实施例五类似的方 法,GGSN中的PCEF模块可以向SGSN发送更新PDP上下文请求(Update PDP Context Request),通过该更新PDP上下文请求(Update PDP Context Request )要求将之前经过降速处理的会话的速率恢复,并且在该更新PDP 上下文请求(Update PDP Context Request)携带会话数据中恶意流量已 经被消除的信息。SGSN然后向UE发送修改PDP上下文请求(Modify PDP Context Request),通过该修改PDP上下文请求(Modify PDP Context Request)将之前经过降速的会话的速率恢复,并且在该i參改PDP上下文 请求(Modify PDP Context Request)中携带会话数据中恶意流量已经被 消除的信息。
如图13所示为本发明恶意流量处理方法实施例十流程图,在实施例 十中,在GGSN的PCEF模块中实现染毒检测单元的功能,在PCRF模块中 实现染毒处理单元的功能,即染毒检测单元设置在GGSN的PCEF模块中, 染毒处理单元设置在PCRF模块中,该流程包括
步骤1001、 GGSN中的PCEF模块中的染毒检测单元检测流经自身的会 话数据中是否包含恶意流量;
步骤1002、如果GGSN中的PCEF模块中的染毒检测单元检测到流经自 身的会话数据中包含恶意流量,则GGSN中的PCEF模块中的染毒检测单元 向UE发送病毒通知消息(Virus Notification ),用于通知UE会话凄t据 染毒的状态信息。
步骤1003、 UE将病毒通知消息(Virus Notification)转发给AF模 块中的染毒处理单元。
步骤1004、在收到病毒通知消息(Virus Notification)后,AF模 块中的染毒处理单元可以选择对会话进行去激活处理,或者可以选择对会话进行降速处理,AF模块中的染毒处理单元可以将所选4奪的处理方式通过 发送病毒处理指示(Virus Process Indication)给PCRF模块。
步骤1005、 PCRF模块在收到AF模块中的染毒处理单元发送的病毒处 理指示(Virus Process Indication)之后,可以根据该病毒处理指示 (Virus Process Indication)中所选择的方式进4亍相应的^喿作。PCRF 模块具体的操作可以参考步骤903和904。
步骤1006、如果GGSN中的PCEF模块中的染毒;f企测单元检测到流经自 身的会话数据中的恶意流量已经消除,则GGSN中的PCEF模块中的染毒检 测单元可以向UE发送病毒清除通知(Virus Cleanup Notification)。
步骤1007、 UE将该病毒清除通知(Virus Cleanup Notification) 转发给AF模块中的染毒处理单元。
步骤1008、 AF模块中的染毒处理单元然后向PCRF模块发送病毒清除 处理指示(Virus Cleanup Process Indication),通知GGSN中的PCEF 模块执行相应的操作。例如,AF模块中的染毒处理单元如果在步骤1004 中选择对会话进行降速处理,那么在会话数据中的恶意流量消除之后,AF 模块中的染毒处理单元可以选择对会话速率进行恢复。
需要说明的是,实施例九和十中所示的方法针对的是如图11所示的 网络结构。如图14所示为本发明恶意流量处理方法实施例中涉及到的再 一种网络架构示意图,图14所示的是使用了 PCC架构的演进后的SAE网 络,其中PCEF模块设置在分组数据网(Packet Data Network,简称PDN) 网关(P-GW)中。
如图15所示为本发明恶意流量处理方法实施例十一流程图,实施例 十一中,在P-GW中的PCEF模块中实现染毒检测单元的功能,在PCRF模 块中实现染毒处理单元的功能,即染毒检测单元设置在PCEF模块中,染 毒处理单元这只在PCRF模块中,该流程包括
步骤1101、 P-GW中的PCEF模块中的染毒检测单元检测流经自身的会
24话数据中是否包含恶意流量。
步骤1102、如果P-GW中的PCEF才莫块中的染毒4企测单元4企测到流经自 身的会话数据中包含恶意流量,则P-GW中的PCEF模块中的染毒检测单元 向PCRF才莫块发送病毒通知消息(Virus Notification)。
步骤1103、在收到病毒通知消息(Virus Notification)后,PCRF 模块中的染毒处理单元可以选择对会话进行去激活处理,具体地,PCRF 模块中的染毒处理单元可以将所选择的去激活处理方式通过IP连同接入 网(IP Connectivity Access Network,筒称IP-CAN )会话修改消息(IP-CAN Session Modification) 发送给P-GW中的PCEF才莫块,并且在该IP-CAN 会话修改消息中携带会话数据染毒的状态信息。
步骤1104、 P-GW中的PCEF模块向服务网关(S-GW)发送删除承载请 求(Delete Bearer Request ),在该删除承载请求(Delete Bearer Request ) 中携带会话数据染毒的状态信息,以及PCRF选择的去激活处理方式信息。
步骤1105、 S-GW将接收到的删除承载请求(Delete Bearer Request ) 转发给移动管理单元(MME)或SGSN。
步骤1106、MME或SGSN向UE发送去激活承载^青求(Deactivate Bearer Request), 在该去激活承载请求(Deactivate Bearer Request)中携带 有会话数据染毒的状态信息。
步骤1107、UE向MME或SGSN返回去激活承载响应(Deactivate Bearer Response),完成只于会i舌的去^t活。
步骤1108、 MME或SGSN向S-GW发送删除承载响应(Delete Bearer Response)。
步骤1109、 S-GW将接收到的删除承载响应(Delete Bearer Response) 转发给P-GW中的PCEF模块。
步骤1110、P-GW中的PCEF模块发送IP-CAN会话修改(IP-CAN Session Modification)。如图16所示为本发明恶意流量处理方法实施例十二流程图,在实施
例十二中,在P-GW中的PCEF模块中实现染毒检测单元的功能,在PCRF 模块中实现染毒处理单元的功能,即染毒检测单元设置在PCEF模块中, 染毒处理单元设置在PCRF模块中,该流程包括
步骤1201、 P-GW中的PCEF模块中的染毒检测单元检测流经自身的会 话数据中是否包含恶意流量。
步骤1202、如果P-GW中的PCEF模块中的染毒检测单元检测到流经自 身的会话数据中包含恶意流量,则P-GW中的PCEF模块中的染毒检测单元 向PCRF冲莫块发送病毒通知消息(Virus Notification)。
步骤1203、在收到病毒通知消息(Virus Notification)后,PCRF 模块中的染毒处理单元可以选择对会话进行降速处理,具体地,PCRF模块 中的染毒处理单元可以将所选择的降速处理方式通过IP-CAN会话修改消 息(IP-CAN Session Modification) 发送给P-GW中的PCEF模块,并且 在该IP-CAN会话修改消息中携带会话数据染毒的状态信息。
步骤1204、 P-GW中的PCEF才莫块向S-GW发送更新承载请求(Update Bearer Request), 在该更新承载请求(Update Bearer Request)中携 带会话数据染毒的状态信息,以及PCRF选择的降速处理方式信息。
步骤1205、 S-GW将接收到的更新承载请求(Update Bearer Request ) 转发给MME或SGSN。
步骤1206、 MME或SGSN向UE发送修改承载请求(Modify Bearer Request),在该修改承载请求(Modify Bearer Request)中携带有会话 数据染毒的状态信息,通过该修改承载请求(Modify Bearer Request) 将会话的速率降低到一个值A。
步骤1207、 UE向MME或SGSN返回l'务改承载响应(Modify Bearer Response),完成对会话的降速操作。
步骤1208、 MME或SGSN向S-GW发送更新承载响应(Update BearerResponse )。
步骤1209、 S-GW将接收到的更新承载响应(Update Bearer Response ) 转发给P-GW中的PCEF模块。
步骤1210、P-GW中的PCEF模块发送IP-CAN会话修改(IP-CAN Session Modif ication )。
如果P-GW中的PCEF模块中的染毒检测单元检测到流经自身的会话数 据中的恶意流量已经消除,则P-GW中的PCEF模块中的染毒检测单元需要 向PCRF模块中染毒处理单元发送病毒清除通知(Virus Cleanup Notification),通知PCRF中的染毒处理单元恶意流量已经消除,然后 PCRF中的染毒处理单元将之前经过降速的会话速率进行恢复。具体地, P-GW中的PCEF模块向S-GW发送更新承载请求(Update Bearer Request ), 在该更新承载i貪求(Update Bearer Request)中携带有会话数据中恶意 流量已经消除的信息,以及要求将会话速率恢复的信息,然后S-GW将更 新承载请求(Update Bearer Request)转发纟合MME或SGSN , MME或SGSN 向UE发送修改承载请求(Modify Bearer Request),要求将会话速率恢 复,并通知UE会话数据中的恶意流量已经消除。
在检测到会话数据中的恶意流量消除之前,PCRF模块不允许网络中的 其他网元触发的提高会话速率的操作。
如图17所示为本发明恶意流量处理方法实施例十三流程图,在实施 例十三中,在P-GW中的PCEF模块中实现染毒检测单元的功能,在PCRF 模块中实现染毒通知单元的功能,该流程包括
步骤1301、 P-GW中的PCEF模块中的染毒检测单元检测流经自身的会 话数据中是否包含恶意流量。
步骤1302、如果P-GW中的PCEF模块中的染毒检测单元检测到流经自 身的会话数据中包含恶意流量,则P-GW中的PCEF模块中的染毒检测单元 向PCRF模块发送病毒通知消息(Virus Notification)。步骤1303、在收到病毒通知消息(Virus Notification)后,PCRF 模块中的染毒处理单元将IP-CAN会话修改消息(IP-CAN Session Modification)发送给P-GW中的PCEF模块,并且在该IP-CAN会话々斧改
消息中携带会话数据染毒的状态信息。
步骤1304、 P-GW中的PCEF模块向S-GW发送更新承载请求(Update Bearer Request), 在该更新承载请求(Update Bearer Request)中携 带会话数据染毒的状态信息。
步骤1305、 S-GW将接收到的更新承载请求(Update Bearer Request ) 转发给MME或SGSN。
步骤1 306、 MME或SGSN向UE发送修改承栽请求(Modify Bearer Request),在该修改承载请求(Modify Bearer Request)中携带有会话 数据染毒的状态信息。
U E在收到会话数据染毒的状态信息之后可以进行消除恶意流量的操作。
如果P-GW中的PCEF模块中的染毒检测单元检测到流经自身的会话数 据中的恶意流量已经消除,则P-GW中的PCEF模块中的染毒检测单元需要 向PCRF模块中的染毒处理单元发送病毒清除通知(Virus Cleanup Notification),通知PCRF ^^莫块中的染毒处理单元恶意流量已经消除, 然后PCRF模块中的染毒处理单元将之前经过降速的会话速率进行恢复。 具体地,P-GW中的PCEF模块向S-GW发送更新承载请求(Update Bearer Request),在该更新承载请求(Update Bearer Request)中携带有会话 数据中恶意流量已经消除的信息,然后S-GW将更新承栽请求(Update Bearer Request )转发给MME或SGSN, MME或SGSN向UE发送修改承载请 求(Modify Bearer Request),通知UE会话数据中的恶意流量已经消除。
对于如图14所示的网络架构,如果PCEF模块设置在P-GW中,则可 以在P-GW中的PCEF模块来实现染毒检测单元的功能,在AF模块中实现染毒处理单元的功能,具体的实现方式与实施例十类似,此处不再赘述。 如图18所示为本发明恶意流量处理系统实施例结构示意图,该系统
用于移动通信网络,包括染毒检测单元11和染毒处理单元12。染毒斗全 测单元11检测经过自身的会话数据中是否包含恶意流量,如果染毒检测 单元11检测到经过自身的会话数据中包含恶意流量,则染毒检测单元发 送通知消息给染毒处理单元12,通知染毒处理单元12会话数据染毒的状 态信息,染毒处理单元12将会话数据染毒的状态信息发送给用户终端; 或者染毒处理单元12将会话数据染毒的状态信息发送给用户终端同时将 包含有恶意流量的会话数据涉及到的会话进行去激活或降速处理。
染毒处理单元12还可以将接收到的会话数据染毒的状态信息进行记录。
如果染毒检测单元11检测到会话数据中的恶意流量已经被消除时, 染毒检测单元11将会话数据中恶意流量已经被消除的信息发送给用户终 端,并清除所记录的所述会话数据染毒的状态信息;或者
当染毒检测单元11检测到会话数据中的恶意流量已经被消除时,将 会话数据中恶意流量已经被消除的信息发送给所述用户终端,并将包含有 恶意流量的会话数据涉及到的会话的速度恢复,并清除所记录的会话数据 染毒的状态信息。
对于图18中涉及到的各个单元,可以通过移动通信网络中的网络实 体来实现,具体如下
(1 )染毒检测单元和染毒处理单元设置在SGSN中;或者 (2)染毒检测单元和染毒处理单元设置在GGSN中;或者 (3 )染毒检测单元设置在SGSN或GGSN中,染毒处理单元设置在HLR
中;或者
(4)染毒检测单元设置在GGSN中,染毒处理单元设置在SGSN中;
或者(5)染毒检测单元设置在SGSN中,染毒处理单元设置在SGSN中;
或者
(6 )染毒检测单元设置在GGSN的PCEF模块中,染毒处理单元设置 在PCRF模块中;或者
(7 )染毒检测单元设置在GGSN的PCEF模块中,染毒处理单元设置 在AF模块中;或者
(8 )染毒检测单元设置在P-GW的PCEF模块中,染毒处理单元设置 在PCRF模块中;或者
(9 )染毒检测单元设置在P-GW的PCEF模块中,染毒处理单元设置 在AF中模块。
本领域普通技术人员可以理解实现上述方法实施例的全部或部分步骤 可以通过程序指令相关的硬件来完成,前迷的程序可以存储于一计算机可读 取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述 的存储介质包括R0M、 RAM、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上实施例仅用以说明本发明的4支术方案,而非对其 限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术 人员应当理解其依然可以对前述各实施例所记载的技术方案进行修改,或 者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技
术方案的本质脱离本发明各实施例技术方案的精神和范围。
权利要求
1、一种恶意流量处理方法,其特征在于,所述恶意流量处理方法用于移动通信网络,包括染毒检测单元检测经过自身的会话数据是否包含恶意流量,如果经过自身的会话数据包含恶意流量,则所述染毒检测单元发送通知消息给染毒处理单元,通知染毒处理单元所述会话数据染毒的状态信息;所述染毒处理单元将会话数据染毒的状态信息发送给用户终端。
2、 根据权利要求1所述的恶意流量处理方法,其特征在于,还包括 所述染毒处理单元在将会话数据染毒的状态信息发送给用户终端的同时 将包含有恶意流量的会话数据涉及到的会话进行去激活或降速处理。
3、 根据权利要求1所述的恶意流量处理方法,其特征在于,还包括 所述染毒处理单元记录所述会话数据染毒的状态信息。
4、 根据权利要求2所述的恶意流量处理方法,其特征在于,还包括 所述染毒处理单元记录所述会话数据染毒的状态信息。
5、 根据权利要求3所述的恶意流量处理方法,其特征在于,还包括 如果所述染毒检测单元检测到所述会话数据中的恶意流量已经被消除,所 述染毒检测单元将会话数据中恶意流量已经被消除的信息发送给所述染 毒处理单元,所述染毒处理单元将会话数据中恶意流量已经被消除的信息 发送给所述用户终端,并清除所记录的所述会话数据染毒的状态信息。
6、 根据权利要求4所述的恶意流量处理方法,其特征在于,还包括 如果所述染毒检测单元检测到所述会话数据中的恶意流量已经被;肖除,所述染毒处理单元将会话数据中恶意流量已经被消除的信息发送给所 述用户终端,并将包含有恶意流量的会话数据涉及到的会话的速度恢复, 并清除所记录的所述会话数据染毒的状态信息。
7、 根据权利要求5或6所述的恶意流量处理方法,其特征在于,当 获取到会话数据染毒的状态信息时,所述染毒检测单元或染毒处理单元还执行如下操作中的至少 一种(1) 限制所述用户终端的访问范围;(2) 限制所述用户终端的传输控制协议连接次数,或对所述用户终 端的网络控制消息协议报文个数进行流量控制;(3) 发出告警或呼叫日志来通知设备维护人员恶意流量的来源或恶 意流量的类型。
8、 根据权利要求7所述的恶意流量处理方法,其特征在于,当染毒 检测单元或染毒处理单元获取到会话数据中的恶意流量已经被消除的信 息时,所述染毒检测单元或染毒处理单元还执行如下操作中的至少一种取消对用户终端访问范围的限制的操作;取消对用户终端传输控制协议连接次数的限制,或取消对用户终端的 网络控制消息协议报文个数的流量控制;发出告警或呼叫日志来通知设备维护人员恶意流量已经被消除的信自、
9、 根据权利要求1-6中任意权利要求所述的恶意流量处理方法,其 特征在于,所述染毒检测单元和染毒处理单元设置在服务GPRS支持节点(SGSN) 中;或者所述染毒检测单元和染毒处理单元设置在网关GPRS支持节点(GGSN) 中;或者所述染毒检测单元设置在SGSN或GGSN中,所述染毒处理单元设置在 位置归属寄存器(HLR)中;或者所述染毒检测单元设置在GGSN中,所述染毒处理单元设置在SGSN中;或者所述染毒检测单元设置在SGSN中,所述染毒处理单元设置在SGSN中;或者所述染毒检测单元设置在GGSN的策略计费执行功能(PCEF)模块中, 所述染毒处理单元设置在策略计费规则功能(PCRF)模块中;或者所述染毒检测单元设置在GGSN的PCEF模块中,所述染毒处理单元设 置在应用功能(AF)模块中;或者所述染毒检测单元设置在分组数据网网关(P-GW)的PCEF模块中, 所述染毒处理单元设置在PCRF模块中;或者所述染毒检测单元设置在P-GW的PCEF模块中,所述染毒处理单元设 置在AF模块中。
10、 根据权利要求3或4所述的恶意流量处理方法,其特征在于,所 述染毒处理单元设置在服务GPRS支持节点(SGSN)中,如果所述用户终 端从一个SGSN迁移到了另 一个SGSN,所述方法还包括迁移之前的SGSN中的染毒处理单元将记录的会话数据染毒的状态信 息发送给迁移之后的SGSN中的染毒处理单元。
11、 一种恶意流量处理系统,其特征在于,所述恶意流量处理系统用 于移动通信网络,包括染毒检测单元,用于检测经过自身的会话数据中是否包含恶意流量; 染毒处理单元,用于接收所述染毒检测单元发送的会话数据染毒的状态信息,在接收到所述染毒检测单元发送的会话数据染毒的状态信息后,将会话数据染毒的状态信息发送给用户终端。
12、 根据权利要求11所述的恶意流量处理系统,其特征在于, 所述染毒处理单元还用于在将会话数据染毒的状态信息发送给用户终端的同时将包含有恶意流量的会话数据涉及S 'j的会话进行去激活或降 速处理。
13、 根据权利要求11所述的恶意流量处理系统,其特征在于,所述 染毒处理单元还用于记录所述会话数据染毒的状态信息。
14、 根据权利要求12所述的恶意流量处理系统,其特征在于,所述染毒处理单元还用于记录所述会话数据染毒的状态信息。
15、 根据权利要求13所述的恶意流量处理系统,其特征在于,所述 染毒处理单元还用于当所述染毒检测单元检测到所述会话数据中的恶意 流量已经被消除时,将会话数据中恶意流量已经被消除的信息发送给所述 用户终端,并清除所记录的所述会话数据染毒的状态信息。
16、 根据权利要求14所述的恶意流量处理系统,其特征在于, 所述染毒处理单元还用于当所述染毒检测单元检测到所述会话数据中的恶意流量已经被消除时,将会话数据中恶意流量已经被消除的信息发 送给所述用户终端,并将包含有恶意流量的会话数据涉及到的会话的速度 恢复,并清除所记录的所述会话数据染毒的状态信息。
17、 根据权利要求11-16中任意权利要求所述的恶意流量处理系统,其特征在于,所述染毒检测单元和染毒处理单元设置在服务GPRS支持节点(SGSN)中;或者所述染毒检测单元和染毒处理单元设置在网关GPRS支持节点(GGSN) 中;或者所述染毒检测单元设置在SGSN或GGSN中,所述染毒处理单元设置在 位置归属寄存器(HLR)中;或者所述染毒检测单元设置在GGSN中,所述染毒处理单元设置在SGSN中;或者所述染毒检测单元设置在SGSN中,所述染毒处理单元设置在SGSN中;或者所述染毒检测单元设置在GGSN的策略计费执行功能(PCEF)模块中, 所述染毒处理单元设置在策略计费规则功能(PCRF)模块中;或者所述染毒检测单元设置在GGSN的PCEF模块中,所述染毒处理单元设 置在应用功能(AF)模块中;或者所述染毒检测单元设置在分组数据网网关(P-GW)的PCEF模块中,所述染毒处理单元设置在PCRF模块中;或者所述染毒检测单元设置在P-GW的PCEF模块中,所述染毒处理单元设 置在AF模块中。
全文摘要
本发明涉及一种恶意流量处理方法及系统,其中本发明实施例提供的方法包括染毒检测单元检测经过自身的会话数据是否包含恶意流量,如果经过自身的会话数据包含恶意流量,则所述染毒检测单元发送通知消息给染毒处理单元,通知染毒处理单元所述会话数据染毒的状态信息;所述染毒处理单元将会话数据染毒的状态信息发送给用户终端。本发明实施例提供的恶意流量处理方法及系统,在检测到移动通信网络中的会话数据中包括恶意流量时,及时通知用户终端,这样用户终端就可以及时发起消除恶意流量的操作,可以改善用户体验。
文档编号H04W12/08GK101437230SQ20081024028
公开日2009年5月20日 申请日期2008年12月22日 优先权日2008年12月22日
发明者靖 陈 申请人:华为技术有限公司