专利名称:防护网络攻击的方法和系统的制作方法
技术领域:
本发明涉及通信领域,尤其涉及一种防护网络攻击的方法和系统。
背景技术:
随着互联网地的高速发展与规模的急剧扩大,由于网络攻击日益频繁,黑客和 网络犯罪的日益增多,宽带网络设备面临着越来越严峻的安全防护方面的问题。例如 DoS(Denial of krvice,拒绝服务)攻击、扫描窥探攻击、协议报文攻击等,这些攻击会在 短时间内用大量报文攻击宽带网络设备的中央处理器和其他设备,当宽带网络设备的处理 能力会急剧下降,会影响其他正常协议和数据报文的接收,影响网络的连通性以及网络中 业务的连续性、可管理性。随着网络规模的扩大,接入用户增多,各地组网和应用情况各异,病毒、恶意用户 攻击网络的案例不断增加,网络安全问题对宽带接入设备的应用影响越来越大。对于宽带 接入设备,由于处理能力的限制,如果有大量的报文涌向该宽带接入设备的控制部分,则处 理器占有率太高,影响到正常的业务处理。目前,在接入设备上用于实现安全性的手段主要有两种,一种是硬件方式,通过在 硬件上预先设置硬件访问控制列表规则来对报文进行过滤;一种是软件方式,在网络设备 中设置专门的软件,用该软件限制报文速率,从而实现对网络设备接收的报文进行过滤的 方法来抵抗对设备的攻击。然而,目前的防护方法一般是由网管人员预先手动设置好报文过滤的规则或者配 置好相关软件。服务器如网管服务器只能收到告警信息,不会主动参与规则的设置和异常 情况处理。在发生异常情况时,由宽带接入设备根据设置好的规则进行过滤或者限制报文 速率。在网络情况千变万化的今天,有些复杂的事件往往没有被正确处理,没有起到防护作 用或者给用户带来损失。
发明内容
本发明提供一种防护网络攻击的方法和系统,提高对网络攻击的处理能力。为达到上述发明目的,本发明提供了如下技术方案一种防护网络攻击的方法,包括在宽带接入设备进行数据包异常处理后,服务器对处理后的数据包异常进行管理。进一步的,所述方法还具有如下特点在所述服务器对处理后的数据包异常进行 管理之前,还包括所述宽带接入设备采用所述服务器配置的安全规则对所述数据包异常进行处理。进一步的,所述方法还具有如下特点所述服务器通过如下方式对处理后的数据 包异常进行管理从所述宽带接入设备接收所述数据包异常的描述信息;
根据所述数据包异常的描述信息,判断是否需要对所述处理后的数据包异常进行
管理;如果判断确定需要,确定对所述处理后数据包异常的管理方式;通知所述宽带接入设备采用所述管理方式对所述处理后的数据包异常进行管理。进一步的,所述方法还具有如下特点所述服务器通过如下信息确定是否需要对 所述处理后的数据包异常进行管理,包括组网信息、数据包异常的统计信息、发生所述数据包异常的端口上数据包统计值、 发生所述数据包异常的端口上CPU包统计值。进一步的,所述方法还具有如下特点所述数据包异常处理结果的管理方式包括 以下的至少一种过滤与所述数据包异常具有相同特征的数据包;解除过滤与所述数据包异常具有相同特征的数据包;禁止发生所述数据包异常的端口上数据包的收发;使能发生所述数据包异常的端口上数据包的收发;限制发生所述数据包异常的端口上数据包传输速率;解除对发生所述数据包异常的端口上数据包传输速率的限制。一种网络系统,包括宽带接入设备和服务器,所述宽带接入设备用于根据预先配置的安全规则,对数据包异常进行处理;所述服务器用于在所述宽带接入设备进行数据包异常处理后,对处理后的数据包 异常进行管理。进一步的,所述系统还具有如下特点所述安全规则包括所述服务器配置的安全 规则。进一步的,所述系统还具有如下特点所述服务器包括接收模块,用于从所述宽带接入设备接收所述数据包异常的描述信息;判断模块,用于根据所述数据包异常的描述信息,判断是否需要对所述处理后的 数据包异常进行管理;确定模块,用于在判断模块判断确定需要时,确定对所述处理后数据包异常的管 理方式;通知模块,用于通知所述宽带接入设备采用所述管理方式对所述处理后的数据包
异常进行管理。进一步的,所述系统还具有如下特点所述服务器通过如下信息确定是否需要对 所述处理后的数据包异常进行管理,包括组网信息、数据包异常的统计信息、发生所述数 据包异常的端口上数据包统计值、CPU包统计值。进一步的,所述系统还具有如下特点所述数据包异常处理结果的管理方式包括 以下的至少一种过滤与所述数据包异常具有相同特征的数据包;解除过滤与所述数据包异常具有相同特征的数据包;禁止发生所述数据包异常的端口上数据包的收发;使能发生所述数据包异常的端口上数据包的收发;
5
限制发生所述数据包异常的端口上数据包传输速率;解除对发生所述数据包异常的端口上数据包传输速率的限制。本发明提供的技术方案,通过服务器参与宽带接入设备的安全防护,为宽带接入 设备提供动态处理复杂事件的能力,降低了宽带接入设备的处理压力,降低网络的运营成 本,同时提高了宽带接入设备对复杂时间的处理能力,提高了网络的安全。
图1为本发明提供的防护网络攻击的方法流程图;图2为实施例1中宽带接入设备为DSLAM的网络系统示意图;图3为实施例2中宽带接入设备为PON的网络系统示意图;图4为实施例3中宽带接入设备为交换机的网络系统示意图。
具体实施例方式下面结合附图对本发明实施例提供的技术方案作进一步介绍。针对宽带接入设备的安全和防攻击能力提出本发明,为此,本发明提供了有服务 器参与的动态宽带网络设备防护攻击的方法和装置,以解决上述问题。在本发明的网络中,服务器参与宽带接入设备防护网络攻击,包括安全规则设置 和异常情况处理,具体过程如图1所示步骤101、所述服务器检测到宽带接入设备处理异常情况;其中所述服务器可以为网管服务或者宽带接入服务器(BroadbandRemote Access Server, BRAS)。进一步的,所述宽带接入设备对异常情况的处理是根据本地预先配置的安全规则 进行的,其中所述安全规则可以是所述服务器为所述宽带接入设备配置的,也可以是网管 人员在宽带接入设备上手动配置的安全规则;所述安全规则中具体包括以下信息端口、 数据包特征、数据包异常标志和异常的处理方式。所述安全规则具体可通过如下信息进行 配置,包括组网信息、宽带接入设备上报的告警信息、宽带接入设备上端口包统计值、CPU 包统计值。所述宽带接入设备根据所述安全规则中端口和数据包特征,在对应端口上对具有 对应特征的数据包进行统计。如果该端口上具有该特征的数据包统计值达到所述安全规则 中的数据包异常标志,根据所述安全规则中的异常情况的处理方式进行处理,并将统计得 到的统计值发送给所述服务器。步骤102、所述服务器对处理后的异常情况进行管理。具体的,所述服务器收到宽带接入设备发送的统计值后,结合其他统计信息对异 常情况做出判断,决定是否进行下一步的动作。如果服务器认为需要宽带接入设备执行其 他动作,则将要执行的动作内容通过消息发送给宽带接入设备。宽带接入设备收到后将予 以执行。其中所述服务器可以根据其他时间内获取的统计信息确定对异常情况的处理方 式,包括组网信息、宽带接入设备上报的告警信息、宽带接入设备上端口包统计值、CPU包 统计值。
确定的处理方式包括以下的至少一种过滤具有该特征的数据包;解除对具有该特征的数据包的过滤;禁止该端口所有数据包的收发;使能该端口所有数据包的收发;限制该端口上数据包传输速率;解除对该端口上数据包传输速率的限制。本发明提供的方法,通过服务器参与宽带接入设备的安全防护,为宽带接入设备 提供动态处理复杂事件的能力,降低了宽带接入设备的处理压力,降低网络的运营成本,同 时提高了宽带接入设备对复杂时间的处理能力,提高了网络的安全。下面以具体应用场景进行说明实施例1本实施例以宽带接入设备为数字用户线接入复用器(Digital SubscriberLine Access Multiplexer, DSLAM)的网络设备为例进行说明,如图2所示在本实施例中,路由器包括3个端口,分别为端口 1、端口 2和端口 3,路由器通过 端口 1连接internet,通过端口 2连接服务器Si,通过端口 3连接宽带接入设备DSLAM Al。服务器Sl中运行的安全管理协议通过消息将安全规则Rl设置到DSLAM Al上, 安全规则Rl包含的信息有端口号P1,数据包类型(到CPU的ARP包),阈值Tl及对应的 动作ACTI0N_1,阈值T2及对应的动作ACTI0N_2,阈值T3及对应的动作ACTI0N_3。其中, ACTI0N_1代表将告警和统计值发送给服务器Si,由服务器Sl决定下一步动作;ACTI0N_2 代表DSLAM Al将该数据包过滤,并向服务器Sl上报统计值;ACTI0N_3代表直接关闭DSLAM 的异常端口,禁止该端口所有数据包的收发,并向服务器Sl上报统计值。 DSLAM Al收到安全规则Rl后,进行相关软硬件的设置,对端口 Pl的所有发往宽带 接入设备的ARP包进行统计。如果超过阈值Tl,则执行ACTI0N_1,将告警和统计值发送给 服务器Si,由给服务器Sl决定下一步动作;如果超过阈值T2,则执行ACTI0N_2,DSLAM Al 过滤该数据包,并向服务器Sl上报统计值;如果超过阈值T3,则执行ACTI0N_3,直接关闭 DSLAM的异常端口,禁止该端口所有数据包的收发,并向服务器Sl上报统计值。对于任何动作,在本地处理完成后,都应将统计值报告给服务器,服务器根据软件 或者管理员的指令进行判断,如果有下一步动作将通过消息发送给宽带接入设备,宽带接 入设备将执行动作。例如,如果超过阈值Tl,宽带接入设备Al向服务器Sl上报告警和统 计值。服务器收到统计值后,结合其他统计值,例如,记录的历史数据中记录该端口的用户 层多次发起网络攻击,确定该端口连接的设备是恶意用户,正在进行的攻击非常危险,容 易引起网络瘫痪,或者,根据网络的组网信息,确定该端口的安全系数较低,则会发送动作 ACTI0N_2,过滤所有该端口上的ARP数据包。等到网管人员做出相应处理后才通过命令或 者手动解除过滤。本实施例主要用于防DoS攻击。实施例2本实施例以宽带接入设备为PON为例进行说明,如图3所示在本实施例中,服务器Sl通过端口 1连接internet,通过端口 2和光线路终端(OLT) 01相连,光线路终端下连ODN网络,和多个光网络单元(ONU)。OLT和ONU组成一个无 源光网络(PON)。服务器Sl中运行的安全管理协议通过消息将安全规则Rl设置到0LT01上,安全 规则Rl包含的信息有0NU的逻辑标识0NU_ID1,ONU上具体的UNI端口号Ul,数据包类型 (到CPU的DHCP包),阈值Tl及对应的动作ACTI0N_1,阈值T2及对应的动作ACTI0N_2,阈 值T3及对应的动作ACTI0N_3。其中,ACTI0N_1代表将统计值发送给服务器Si,由给服务 器Sl决定下一步动作;ACTI0N_2代表OLT 01将该数据包过滤,并向服务器Sl上报统计值; ACTI0N_3代表直接关闭OLT的异常端口,禁止该端口所有数据包的收发,并向服务器Sl上 报统计值。宽带接入设备Al收到安全规则Rl后,进行相关软硬件的设置,对来自逻辑标识 为0NU_ID1的0NU,且端口号在ONU上为Ul (可以通过option82字段)的所有发往OLT的 DHCP包进行统计。如果超过阈值Tl,则执行ACTI0N_1,将统计值发送给服务器Si,由给服 务器Sl决定下一步动作;如果超过阈值T2,则执行ACTI0N_2,在OLT 01将该数据包过滤, 并向服务器Sl上报统计值;如果超过阈值T3,则执行ACTI0N_3,直接关闭OLT 01的异常端 口,禁止该端口所有数据包的收发,并向服务器Sl上报统计值。对于任何动作,在本地处理完成后,都应将统计值报告给服务器,服务器根据软件 或者管理员的指令进行判断,如果有下一步动作将通过消息发送给OLT 01,OLT将执行动 作。例如,如果超过阈值T2,OLT 01过滤该数据包,并向服务器Sl上报统计值。服务器收 到统计值后,结合其他统计值例如,记录的历史数据中记录该端口的用户层多次发起网络 攻击,确定该端口连接的设备是恶意用户,正在进行的攻击非常危险,容易引起网络瘫痪, 或者,根据网络的组网信息,确定该端口的安全系数较低,会发送动作ACTI0N_3,直接关闭 OLT 01的异常端口,禁止该端口所有数据包的收发。等到网管人员做出相应处理后才通过 命令或者手动打开端口。本实施例要用于无源光网络中对CPU的攻击。实施例3本实施例以宽带接入设备为交换机为例进行说明,如图4所示在本实施例中,服务器Sl通过路由器端口 2和路由器Rl相连。路由器通过端口 1连接internet,通过端口 3和交换机Al相连。网络管理员直接手动将安全规则Rl配置到交换机Al上,安全规则Rl包含的信息 有端口号Pl,数据包类型(发往CPU的所有数据包),阈值Tl及对应的动作ACTI0N_1,阈 值T2及对应的动作ACTI0N_2。其中,ACTI0N_1代表向服务器发送告警;ACTI0N_2代表在 交换机Al将该数据包过滤,并向服务器Sl上报统计值。交换机Al收到安全规则Rl后,进行相关软硬件的设置,对端口 Pl的所有发往 DSLAM CPU的数据包进行统计。如果超过阈值Tl,则执行ACTI0N_1,向服务器Sl发送告警。 如果超过阈值T2,则执行ACTI0N_2,交换机Al过滤该数据包,并向服务器Sl上报统计值。实施例3主要用于防DoS攻击,由管理员设置安全规则。本发明提供的方法,通过服务器参与宽带接入设备的安全防护,为宽带接入设备 提供动态处理复杂事件的能力,降低了宽带接入设备的处理压力,从而降低了网络的运营 成本,同时提高了宽带接入设备对复杂时间的处理能力,提高了网络的安全;服务器为宽带接入设备配置多阈值的异常处理方式,保证宽带接入设备合理对异常情况进行处理。本发明提供一种网络系统,包括宽带接入设备和服务器,所述宽带接入设备用于根据预先配置的安全规则,对数据包异常进行处理,其中 所述安全规则包括所述服务器配置的安全规则;所述服务器用于在所述宽带接入设备进行数据包异常处理后,对处理后的数据包 异常进行管理。其中所述服务器通过以下模块实现对数据包异常进行管理,包括接收模块,用于从所述宽带接入设备接收所述数据包异常的描述信息;判断模块,用于根据所述数据包异常的描述信息,判断是否需要对所述处理后的 数据包异常进行管理;确定模块,用于在判断模块判断确定需要时,确定对所述处理后数据包异常的管 理方式;通知模块,用于通知所述宽带接入设备采用所述管理方式对所述处理后的数据包
异常进行管理。其中所述服务器通过如下信息确定是否需要对所述处理后的数据包异常进行管 理,包括组网信息、数据包异常的统计信息、发生所述数据包异常的端口上数据包统计值、 CPU包统计值。所述服务器对所述数据包异常处理结果的管理方式包括以下的至少一种过滤与所述数据包异常具有相同特征的数据包;解除过滤与所述数据包异常具有相同特征的数据包;禁止发生所述数据包异常的端口上数据包的收发;使能发生所述数据包异常的端口上数据包的收发;限制发生所述数据包异常的端口上数据包传输速率;解除对发生所述数据包异常的端口上数据包传输速率的限制。本领域普通技术人员可以理解实现上述实施例的全部或部分步骤是可以通过程 序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,该程序在 执行时,包括方法实施例的步骤之一或其组合。另外,在本发明各个实施例中的各功能单元可以采用硬件的形式实现,也可以采 用软件功能模块的形式实现。所述集成的模块如果以软件功能模块的形式实现并作为独立 的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。上述提到的存储介质可以是只读存储器,磁盘或光盘等。以上所述,仅为本发明的具体实施方式
,但本发明的保护范围并不局限于此,任何 熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵 盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求所述的保护范围为准。
权利要求
1.一种防护网络攻击的方法,其特征在于,包括在宽带接入设备进行数据包异常处理后,服务器对处理后的数据包异常进行管理。
2.根据权利要求1所述的方法,其特征在于,在所述服务器对处理后的数据包异常进 行管理之前,还包括所述宽带接入设备采用所述服务器配置的安全规则对所述数据包异常进行处理。
3.根据权利要求1或2所述的方法,其特征在于,所述服务器通过如下方式对处理后的 数据包异常进行管理从所述宽带接入设备接收所述数据包异常的描述信息;根据所述数据包异常的描述信息,判断是否需要对所述处理后的数据包异常进行管理;如果判断确定需要,确定对所述处理后数据包异常的管理方式;通知所述宽带接入设备采用所述管理方式对所述处理后的数据包异常进行管理。
4.根据权利要求3所述的方法,其特征在于,所述服务器通过如下信息确定是否需要 对所述处理后的数据包异常进行管理,包括组网信息、数据包异常的统计信息、发生所述数据包异常的端口上数据包统计值、发生 所述数据包异常的端口上CPU包统计值。
5.根据权利要求4所述的方法,其特征在于,所述数据包异常处理结果的管理方式包 括以下的至少一种过滤与所述数据包异常具有相同特征的数据包; 解除过滤与所述数据包异常具有相同特征的数据包; 禁止发生所述数据包异常的端口上数据包的收发; 使能发生所述数据包异常的端口上数据包的收发; 限制发生所述数据包异常的端口上数据包传输速率; 解除对发生所述数据包异常的端口上数据包传输速率的限制。
6.一种网络系统,其特征在于,包括宽带接入设备和服务器,所述宽带接入设备用于根据预先配置的安全规则,对数据包异常进行处理; 所述服务器用于在所述宽带接入设备进行数据包异常处理后,对处理后的数据包异常 进行管理。
7.根据权利要求6所述的系统,其特征在于,所述安全规则包括所述服务器配置的安 全规则。
8.根据权利要求6或7所述的系统,其特征在于,所述服务器包括 接收模块,用于从所述宽带接入设备接收所述数据包异常的描述信息;判断模块,用于根据所述数据包异常的描述信息,判断是否需要对所述处理后的数据 包异常进行管理;确定模块,用于在判断模块判断确定需要时,确定对所述处理后数据包异常的管理方式;通知模块,用于通知所述宽带接入设备采用所述管理方式对所述处理后的数据包异常进行管理。
9.根据权利要求8所述的系统,其特征在于,所述服务器通过如下信息确定是否需要对所述处理后的数据包异常进行管理,包括组网信息、数据包异常的统计信息、发生所述 数据包异常的端口上数据包统计值、CPU包统计值。
10.根据权利要求9所述的系统,其特征在于,所述数据包异常处理结果的管理方式包 括以下的至少一种过滤与所述数据包异常具有相同特征的数据包; 解除过滤与所述数据包异常具有相同特征的数据包; 禁止发生所述数据包异常的端口上数据包的收发; 使能发生所述数据包异常的端口上数据包的收发; 限制发生所述数据包异常的端口上数据包传输速率; 解除对发生所述数据包异常的端口上数据包传输速率的限制。
全文摘要
本发明提供一种防护网络攻击的方法和系统,涉及通信领域;所述方法包括在宽带接入设备进行数据包异常处理后,服务器对处理后的数据包异常进行管理。
文档编号H04L12/56GK102137072SQ201010103119
公开日2011年7月27日 申请日期2010年1月27日 优先权日2010年1月27日
发明者何苑凌 申请人:中兴通讯股份有限公司