本发明涉及5g应用
技术领域:
:,尤其涉及一种5g下upf终端的网络攻击告警方法和终端。
背景技术:
::5g(5thgenerationmobilenetworks或5thgenerationwirelesssystems、5th-generation,简称5g或5g技术)表示第五代移动通信技术,是最新一代蜂窝移动通信技术,也是继4g(lte-a、wimax)、3g(umts、lte)和2g(gsm)终端之后的延伸。5g的性能目标是高数据速率、减少延迟、节省能源、降低成本、提高终端容量和大规模设备连接。release-15中的5g规范的第一阶段是为了适应早期的商业部署。release-16的第二阶段将于2020年4月完成,作为imt-2020技术的候选提交给国际电信联盟(itu)。ituimt-2020规范要求速度高达20gbit/s,可以实现宽信道带宽和大容量mimo。防火墙作为内部网与外部网之间的一种访问控制设备,常常安装在内部网和外部网交界点上。防火墙具有很好的网络安全保护作用。入侵者必须首先穿越防火墙的安全防线,才能接触目标计算机。可以将防火墙配置成许多不同保护级别,高级别的保护可能会禁止一些服务,如视频流等。防火墙自身应具有非常强的抗攻击免疫力:这是防火墙之所以能担当企业内部网络安全防护重任的先决条件。防火墙处于网络边缘,它就像一个边界卫士一样,每时每刻都要面对黑客的入侵,这样就要求防火墙自身要具有非常强的抗击入侵本领。linux(操作终端内核)最经典的防火墙是使用netfilter技术,netfilter是linux2.4.x引入的一个子终端,它作为一个通用的、抽象的框架,提供一整套的hook函数的管理机制,使得诸如数据包过滤、网络地址转换(nat)和基于协议类型的连接跟踪成为了可能;应用层为iptables的软件,iptables是与最新的3.5版本linux内核集成的ip信息包过滤终端,如果linux终端连接到因特网或lan、服务器或连接lan和因特网的代理服务器,则该终端有利于在linux终端上更好地控制ip信息包过滤和防火墙配置。其配置后,能按照规则,对网络攻击报文进行拦截,限流,丢弃,最大程度保护终端的安全稳定运行。现在很多网络产品都采用集中式网管架构,网管软件采用snmp(简单网络管理协议)协议管理若干网元设备。网元一般采用linux平台,并运行iptables网络防火墙,保障网元经得起网络攻击。网元在遭受攻击后,网管中心想在第一时间得知攻击发生,并且采取各种措施阻断攻击的继续发生。网元能发送告警给网管中心,管理人员就能够第一时间知道攻击发生了,并且是什么类型的攻击,攻击发生的次数,攻击源ip,攻击时间等。但是iptables不会产生告警,并且也不会发送给网管,这样就导致网络存在被攻击的风险,且无法通知相关人员及时采取补救措施。因此,现有技术还有待于改进和发展。技术实现要素:本发明的主要目的在于提供一种5g下upf终端的网络攻击告警方法和终端,旨在解决现有技术中iptables不会产生告警,并且也不会发送给网管,这样就导致网络存在被攻击的风险,且无法通知相关人员及时采取补救措施的问题。为实现上述目的,本发明提供一种5g下upf终端的网络攻击告警方法,所述5g下upf终端的网络攻击告警方法包括如下步骤:终端通过预设软件的日志功能,实时检测每一次网络攻击后丢弃或者拒绝的网络攻击报文,并将所述网络攻击报文记录在日志文件中;所述终端启动一个监控线程,读取所述日志文件,按照所述日志文件中的前缀信息区分不同的攻击日志;所述终端根据所述攻击日志的类型向网络管理中心发送告警信息,所述告警信息包括当前攻击次数、攻击类型、源ip地址和最后一次攻击的时间。可选地,所述的5g下upf终端的网络攻击告警方法,其中,所述终端根据所述攻击日志的类型向网络管理中心发送告警信息,之后还包括:若所述终端连续在预设时间内未检测到新的告警信息,则向所述网络管理中心取消当前类型告警。可选地,所述的5g下upf终端的网络攻击告警方法,其中,所述日志功能为内核的netfilter对进出的网络报文进行监控,每个报文依据规则丢弃、接收、转发和产生一条日志信息。可选地,所述的5g下upf终端的网络攻击告警方法,其中,所述5g下upf终端的网络攻击告警方法还包括:所述终端增加丢弃icmp报文的规则,输入icmp报文,并丢弃icmp报文;所述终端打开丢弃icmp报文时的日志功能,获取前缀信息;所述终端修改预设文件,通过预设软件检测到丢弃报文时产生日志文件;所述终端重启linux命令,控制日志功能重新加载配置文件,启动生效;若所述终端接收到icmp报文,则产生日志,以获取攻击类型。可选地,所述的5g下upf终端的网络攻击告警方法,其中,所述5g下upf终端的网络攻击告警方法还包括:所述终端启动监控iptables日志的线程,所述监控iptables日志的线程每一秒钟读取iptables.log文件;所述终端读取日志中的每条日志,如果存在icmp-drop的关键字,则记录条数增加1,直到遍历日志完成;所述终端将icmp-drop的次数、最后一条记录的时间和源ip地址以告警形式发送给所述网络管理中心;所述终端清空日志文件,控制iptables.log内容为空;所述终端在连续预设时间内读日志过程中,没有一次有记录时,则向所述网络管理中心发生告警取消的消息。可选地,所述的5g下upf终端的网络攻击告警方法,其中,所述终端使用snmp协议,按照私有格式将icmp-drop的次数、最后一条记录的时间和源ip地址发送给所述网络管理中心。可选地,所述的5g下upf终端的网络攻击告警方法,其中,所述预设软件为iptables。可选地,所述的5g下upf终端的网络攻击告警方法,其中,所述预设时间为5秒。此外,为实现上述目的,本发明还提供一种终端,其中,所述终端包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的5g下upf终端的网络攻击告警程序,所述5g下upf终端的网络攻击告警程序被所述处理器执行时实现如上所述的5g下upf终端的网络攻击告警方法的步骤。此外,为实现上述目的,本发明还提供一种计算机可读存储介质,其中,所述计算机可读存储介质存储有5g下upf终端的网络攻击告警程序,所述5g下upf终端的网络攻击告警程序被处理器执行时实现如上所述的5g下upf终端的网络攻击告警方法的步骤。本发明中,终端通过预设软件的日志功能,实时检测每一次网络攻击后丢弃或者拒绝的网络攻击报文,并将所述网络攻击报文记录在日志文件中;所述终端启动一个监控线程,读取所述日志文件,按照所述日志文件中的前缀信息区分不同的攻击日志;所述终端根据所述攻击日志的类型向网络管理中心发送告警信息,所述告警信息包括当前攻击次数、攻击类型、源ip地址和最后一次攻击的时间。本发明及时检测网络攻击,并获取网络攻击的类型,同时将告警信息发送给网络管理中心,便于网络管理中心进行相应维护。附图说明图1是本发明5g下upf终端的网络攻击告警方法的较佳实施例的流程图;图2是本发明5g下upf终端的网络攻击告警方法的较佳实施例中禁止icmp功能的流程示意图;图3是本发明5g下upf终端的网络攻击告警方法的较佳实施例中监控iptables日志的线程进行监控的流程示意图;图4为本发明终端的较佳实施例的运行环境示意图。具体实施方式为使本发明的目的、技术方案及优点更加清楚、明确,以下参照附图并举实施例对本发明进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。本发明较佳实施例所述的5g下upf终端的网络攻击告警方法,如图1所示,所述5g下upf终端的网络攻击告警方法包括以下步骤:步骤s10、终端通过预设软件的日志功能,实时检测每一次网络攻击后丢弃或者拒绝的网络攻击报文,并将所述网络攻击报文记录在日志文件中;步骤s20、所述终端启动一个监控线程,读取所述日志文件,按照所述日志文件中的前缀信息区分不同的攻击日志;步骤s30、所述终端根据所述攻击日志的类型向网络管理中心发送告警信息,所述告警信息包括当前攻击次数、攻击类型、源ip地址和最后一次攻击的时间。进一步地,在所述步骤s40之后还包括:若所述终端连续在预设时间内未检测到新的告警信息,则向所述网络管理中心取消当前类型告警。具体地,所述终端(例如计算机内核的netfilter模块,对进出的报文进行监控,根据应用层的iptables规则,丢弃、接收、转发等)利用iptables(即所述预设软件为iptables)的日志功能(所述日志功能为内核的netfilter对进出的网络报文进行监控,每个报文依据规则丢弃、接收、转发和产生一条日志信息),每一次攻击后丢弃或者拒绝的报文,iptables会在配置的日志文件iptables.log中记录下来,启动一个监控线程,专门读取iptables.log,按照prefix前缀(产生日志后,里面有一个记录的前缀,例如icmp-dro就是前缀名称)区分不同的攻击日志(根据实际业务需求来定的,例如目前支持:sync-flood、icmp-flood、udp-flood、dos等攻击类型),并且向网络管理中心发送告警信息,其中,告警信息包括,当前攻击次数,攻击类型,源ip地址,最后一次攻击的时间。告警取消的判断依据为,连续5秒钟(即所述预设时间为5秒)没有产生新的告警,则向网络管理中心取消当前类型告警。进一步地,所述终端增加丢弃icmp报文的规则,输入icmp报文,并丢弃icmp报文;所述终端打开丢弃icmp报文时的日志功能,获取前缀信息;所述终端修改预设文件,通过预设软件检测到丢弃报文时产生日志文件;所述终端重启linux命令,控制日志功能重新加载配置文件,启动生效;若所述终端接收到icmp报文,则产生日志,以获取攻击类型。如图2所示,禁止icmp(ping)功能,一旦有主机ping当前设备,则触发告警给网元,增加丢弃icmp报文的规则,输入的icmp协议报文,策略为drop丢弃(drop是规则里面用的关键字,中文解释为丢弃);iptables-ainput-picmp-jdrop,打开丢弃icmp报文时的日志功能(内核的netfilter对进出的网络报文进行监控,每个报文依据规则丢弃,接收,转发,产生一条日志信息),日志前缀为icmp-drop;iptables-ainput-picmp-jlog--log-prefix"icmp-drop";修改/etc/rsyslog.conf文件,其中在最后新增一行,就是用linux的编辑软件就可以修改,例如vim,gedit都可以,就是让iptables的规则的丢弃报文时,将产生日志文件,kern.warning/var/log/iptables.log;重启syslog(这是一条linux命令,让系统日志功能重新加载配置文件,启动生效),servicersyslogrestart;在/var/log/iptables.log文件中可以看到一旦接收到icmp报文,则产生日志。进一步地,所述终端启动监控iptables日志的线程,所述监控iptables日志的线程每一秒钟读取iptables.log文件;所述终端读取日志中的每条日志,如果存在icmp-drop的关键字,则记录条数增加1,直到遍历日志完成;所述终端将icmp-drop的次数、最后一条记录的时间和源ip地址以告警形式发送给所述网络管理中心;所述终端清空日志文件,控制iptables.log内容为空;所述终端在连续预设时间内读日志过程中,没有一次有记录时,则向所述网络管理中心发生告警取消的消息。如图3所示,监控iptables日志的线程如下流程:该线程(监控iptables日志的线程)每一秒钟读取iptables.log文件;读取日志中的每条日志,如果有icmp-drop的关键字(就是icmp报文进来了,让内核协议栈丢弃并记录到日志文件中),则记录条数增加1(内核nnetfilter没丢包一个,都要记录下来,保存到日志中,丢弃一个包,就增加一条记录),直到遍历日志完成;将icmp-drop的次数、最后一条记录的时间、源ip地址,以告警形式发送给网络管理中心(使用snmp协议,按照私有格式发送给网络管理中心,网络管理中心会解析);清空日志文件,iptables.log内容为空;连续5秒钟(5次)读日志过程中,没有一次有记录,则向网络管理中心发生告警取消的消息。进一步地,如图4所示,基于上述5g下upf终端的网络攻击告警方法,本发明还相应提供了一种终端,所述终端包括处理器10、存储器20及显示器30。图4仅示出了终端的部分组件,但是应理解的是,并不要求实施所有示出的组件,可以替代的实施更多或者更少的组件。所述存储器20在一些实施例中可以是所述终端的内部存储单元,例如终端的硬盘或内存。所述存储器20在另一些实施例中也可以是所述终端的外部存储设备,例如所述终端上配备的插接式硬盘,智能存储卡(smartmediacard,smc),安全数字(securedigital,sd)卡,闪存卡(flashcard)等。进一步地,所述存储器20还可以既包括所述终端的内部存储单元也包括外部存储设备。所述存储器20用于存储安装于所述终端的应用软件及各类数据,例如所述安装终端的程序代码等。所述存储器20还可以用于暂时地存储已经输出或者将要输出的数据。在一实施例中,存储器20上存储有5g下upf终端的网络攻击告警程序40,该5g下upf终端的网络攻击告警程序40可被处理器10所执行,从而实现本申请中5g下upf终端的网络攻击告警方法。所述处理器10在一些实施例中可以是一中央处理器(centralprocessingunit,cpu),微处理器或其他数据处理芯片,用于运行所述存储器20中存储的程序代码或处理数据,例如执行所述5g下upf终端的网络攻击告警方法等。所述显示器30在一些实施例中可以是led显示器、液晶显示器、触控式液晶显示器以及oled(organiclight-emittingdiode,有机发光二极管)触摸器等。所述显示器30用于显示在所述终端的信息以及用于显示可视化的用户界面。所述终端的部件10-30通过系统总线相互通信。在一实施例中,当处理器10执行所述存储器20中5g下upf终端的网络攻击告警程序40时实现以下步骤:终端通过预设软件的日志功能,实时检测每一次网络攻击后丢弃或者拒绝的网络攻击报文,并将所述网络攻击报文记录在日志文件中;所述终端启动一个监控线程,读取所述日志文件,按照所述日志文件中的前缀信息区分不同的攻击日志;所述终端根据所述攻击日志的类型向网络管理中心发送告警信息,所述告警信息包括当前攻击次数、攻击类型、源ip地址和最后一次攻击的时间。其中,所述终端根据所述攻击日志的类型向网络管理中心发送告警信息,之后还包括:若所述终端连续在预设时间内未检测到新的告警信息,则向所述网络管理中心取消当前类型告警。其中,所述日志功能为内核的netfilter对进出的网络报文进行监控,每个报文依据规则丢弃、接收、转发和产生一条日志信息。其中,所述5g下upf终端的网络攻击告警方法还包括:所述终端增加丢弃icmp报文的规则,输入icmp报文,并丢弃icmp报文;所述终端打开丢弃icmp报文时的日志功能,获取前缀信息;所述终端修改预设文件,通过预设软件检测到丢弃报文时产生日志文件;所述终端重启linux命令,控制日志功能重新加载配置文件,启动生效;若所述终端接收到icmp报文,则产生日志,以获取攻击类型。其中,所述5g下upf终端的网络攻击告警方法还包括:所述终端启动监控iptables日志的线程,所述监控iptables日志的线程每一秒钟读取iptables.log文件;所述终端读取日志中的每条日志,如果存在icmp-drop的关键字,则记录条数增加1,直到遍历日志完成;所述终端将icmp-drop的次数、最后一条记录的时间和源ip地址以告警形式发送给所述网络管理中心;所述终端清空日志文件,控制iptables.log内容为空;所述终端在连续预设时间内读日志过程中,没有一次有记录时,则向所述网络管理中心发生告警取消的消息。其中,所述终端使用snmp协议,按照私有格式将icmp-drop的次数、最后一条记录的时间和源ip地址发送给所述网络管理中心。其中,所述预设软件为iptables。其中,所述预设时间为5秒。本发明还提供一种计算机可读存储介质,其中,所述计算机可读存储介质存储有5g下upf终端的网络攻击告警程序,所述5g下upf终端的网络攻击告警程序被处理器执行时实现如上所述的5g下upf终端的网络攻击告警方法的步骤。综上所述,本发明提供一种5g下upf终端的网络攻击告警方法和终端,所述方法包括:终端通过预设软件的日志功能,实时检测每一次网络攻击后丢弃或者拒绝的网络攻击报文,并将所述网络攻击报文记录在日志文件中;所述终端启动一个监控线程,读取所述日志文件,按照所述日志文件中的前缀信息区分不同的攻击日志;所述终端根据所述攻击日志的类型向网络管理中心发送告警信息,所述告警信息包括当前攻击次数、攻击类型、源ip地址和最后一次攻击的时间。本发明及时检测网络攻击,并获取网络攻击的类型,同时将告警信息发送给网络管理中心,便于网络管理中心进行相应维护。当然,本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关硬件(如处理器,控制器等)来完成,所述的程序可存储于一计算机可读取的计算机可读存储介质中,所述程序在执行时可包括如上述各方法实施例的流程。其中所述的计算机可读存储介质可为存储器、磁碟、光盘等。应当理解的是,本发明的应用不限于上述的举例,对本领域普通技术人员来说,可以根据上述说明加以改进或变换,所有这些改进和变换都应属于本发明所附权利要求的保护范围。当前第1页12当前第1页12