專利名稱:一種基于用戶防攻擊的裝置以及方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)�,尤指一種基于用戶防攻擊的裝置以及方法�。
背景技術(shù):
隨著通信技術(shù)的發(fā)展,下一代網(wǎng)絡(luò)(NGN)技術(shù)已經(jīng)得到了廣泛的應(yīng)用�����,語音�、圖像��、視頻和數(shù)據(jù)業(yè)務(wù)通過IP承載已經(jīng)成為一個大趨勢。而語音、圖像、視頻和數(shù)據(jù)業(yè)務(wù)報文傳輸?shù)那疤崾切帕钸B接的維持,在目前網(wǎng)絡(luò)攻擊越來越多的情況下�,對信令報文的攻擊也越來越多,如何保證合法注冊用戶即使在網(wǎng)絡(luò)受到攻擊時也不掉線����,保證合法用戶的通信質(zhì)量成為目前網(wǎng)絡(luò)服務(wù)質(zhì)量中的重要內(nèi)容���。
圖1所示為現(xiàn)有技術(shù)中NGN網(wǎng)絡(luò)代理設(shè)備防攻擊裝置的結(jié)構(gòu)圖��。NGN網(wǎng)絡(luò)中的代理設(shè)備在網(wǎng)絡(luò)中的主要功能為代理NGN網(wǎng)絡(luò)中的核心設(shè)備處理用戶終端發(fā)送來的報文�����,并代替用戶終端接收核心設(shè)備返回的報文�,對接收到的報文進行地址轉(zhuǎn)換;代理設(shè)備還具有隔離病毒�����、防攻擊�����、保證核心設(shè)備的正常運行以及協(xié)助用戶終端安全注冊的功能�����。代理設(shè)備中的防攻擊裝置包括IP防攻擊單元110����、處理單元120和配置單元130����。在代理設(shè)備中又分轉(zhuǎn)發(fā)平面和控制平面��,轉(zhuǎn)發(fā)平面主要負責(zé)根據(jù)報文的各種表項以及設(shè)定的轉(zhuǎn)發(fā)流程對報文進行轉(zhuǎn)發(fā)處理;控制平面主要負責(zé)根據(jù)報文的內(nèi)容,協(xié)議,轉(zhuǎn)換關(guān)系以及狀態(tài)等信息對信令報文進行的管理和操作�����。防攻擊裝置中的IP防攻擊單元110位于轉(zhuǎn)發(fā)平面內(nèi)��、處理單元120和配置單元130則位于控制平面內(nèi)�����。
IP防攻擊單元110,用于接收NGN網(wǎng)絡(luò)到達代理設(shè)備的報文���,依照配置單元130下發(fā)的閾值�、以及到達報文的協(xié)議類型和特征,對到達報文進行防攻擊處理,丟棄超出閾值的報文�����。當(dāng)報文的防攻擊處理完畢之后��,IP防攻擊單元110再根據(jù)內(nèi)部存儲的轉(zhuǎn)發(fā)信息表,確定需要轉(zhuǎn)發(fā)以及上送的報文��;將需要上送的報文上送給處理單元120進行處理���;將需要轉(zhuǎn)發(fā)的報文發(fā)送到該報文下一跳的網(wǎng)絡(luò)設(shè)備���。其中��,信息轉(zhuǎn)發(fā)表用于存放報文下一跳信息以及一般轉(zhuǎn)發(fā)動作信息內(nèi)容的表項��,根據(jù)信息轉(zhuǎn)發(fā)表�,報文可以準(zhǔn)確知道報文下一跳的位置。
處理單元120����,接收并處理IP防攻擊單元110上送的信令報文���。
配置單元130,配置閾值,并在NGN網(wǎng)絡(luò)代理設(shè)備開始運行時���,下發(fā)到IP防攻擊單元110����。
從如圖1所示的裝置中可以看出�,現(xiàn)有技術(shù)對報文的防攻擊處理不區(qū)分該報文是屬于合法用戶或是非法用戶,這樣,對于已注冊和未注冊的合法用戶所使用的信令報文�����,也許會由于該信令報文滿足一定的特征而被丟棄�����,進而致使合法用戶失去與網(wǎng)絡(luò)設(shè)備之間的聯(lián)系�,使合法用戶無法正常使用網(wǎng)絡(luò)設(shè)備提供的服務(wù)�,嚴重影響了網(wǎng)絡(luò)的服務(wù)質(zhì)量。
發(fā)明內(nèi)容
有鑒于此�����,本發(fā)明的主要目的在于提供一種基于用戶防攻擊的裝置����,應(yīng)用該裝置能夠保證合法用戶的安全,實現(xiàn)基于用戶的防攻擊。
本發(fā)明的又一主要目的在于提供一種基于用戶防攻擊的方法���,應(yīng)用該方法能夠區(qū)別合法用戶和非合法用戶���,保證合法用戶的安全,實現(xiàn)基于用戶的防攻擊�����。
為達到上述目的,本發(fā)明的技術(shù)方案是這樣實現(xiàn)的一種基于用戶防攻擊的裝置��,該裝置包括用戶識別單元�����、入隊操作單元�����、QOS信息管理單元和用戶分析單元,用戶識別單元���,用于接收報文,獲得并根據(jù)報文的源特征組得到報文的優(yōu)先級�,將攜帶優(yōu)先級的報文發(fā)送至入隊操作單元��;根據(jù)QOS信息管理單元發(fā)送的報文的優(yōu)先級,更新自身存儲的報文的優(yōu)先級�����;
入隊操作單元����,用于接收用戶識別單元發(fā)送的報文,根據(jù)報文中攜帶的優(yōu)先級對報文進行流量控制后,將報文發(fā)送至用戶分析單元;用戶分析單元,用于接收入隊操作單元發(fā)送的報文�;獲得報文的攻擊狀態(tài)�����,并將報文的攻擊狀態(tài)發(fā)送至QOS信息管理單元���;并將接收到的報文發(fā)送至處理單元�����;QOS信息管理單元�����,用于接收用戶分析單元發(fā)送的報文攻擊狀態(tài),根據(jù)報文的攻擊狀態(tài)�����,調(diào)整該報文所對應(yīng)的優(yōu)先級�����,并將調(diào)整后的優(yōu)先級發(fā)送給用戶識別單元。
其中�����,所述用戶分析單元,用于獲得報文的源特征組�����,根據(jù)報文的源特征組判斷該報文為新用戶報文時�,為新用戶報文進行注冊���,并將報文的源特征組發(fā)送至QOS信息管理單元�;所述QOS信息管理單元�,根據(jù)報文的源特征組為該報文分配優(yōu)先級�,并將報文的優(yōu)先級發(fā)送至用戶識別單元���。
其中���,所述用戶分析單元,獲得報文的上送速率�����,根據(jù)報文的上送速率獲得報文的攻擊狀態(tài)���。
另外����,該裝置進一步包括信令識別單元��;所述信令識別單元用于接收到達報文��,判斷報文是否為信令報文��,將信令報文發(fā)送至用戶識別單元;將非信令報文發(fā)送至IP防攻擊單元。
其中,所述信令識別單元��,獲得報文的目的三元組���,根據(jù)報文的目的三元組判斷報文是否為信令報文���;并獲得該信令報文的信令類型����,將攜帶信令類型的信令報文發(fā)送至用戶識別單元��。
其中����,所述信令識別單元�,用于獲得并根據(jù)報文的目的四元組判斷當(dāng)前收到的報文是否為信令報文�,當(dāng)報文為信令報文,則獲得該信令報文的信令類型���,將攜帶信令類型的信令報文發(fā)送至用戶識別單元����;接收并記錄用戶分析單元下發(fā)的目的四元組以及協(xié)議類型的對應(yīng)關(guān)系�。
其中����,所述用戶分析單元���,用于對接收到的信令報文進行地址轉(zhuǎn)換����,并在地址轉(zhuǎn)換的過程中確定是否需要下發(fā)針對當(dāng)前信令報文的目的四元組以及協(xié)議類型的對應(yīng)關(guān)系�,當(dāng)需要下發(fā)時,則將針對當(dāng)前收到信令報文的目的四元組以及協(xié)議類型下發(fā)給信令識別單元���。
一種基于用戶防攻擊的方法���,設(shè)置用戶分揀表,包括以下步驟A���、獲得到達報文的源特征組�,根據(jù)報文的源特征組查找用戶分揀表�,獲得對應(yīng)的優(yōu)先級;B��、根據(jù)報文的優(yōu)先級�����,對報文進行流量控制�;C、獲得經(jīng)過流量控制的報文的攻擊狀態(tài)�����,根據(jù)報文的攻擊狀態(tài)�,分配該報文的優(yōu)先級,并將分配后的優(yōu)先級與該報文的源特征組的對應(yīng)關(guān)系保存到用戶分揀表�����,返回步驟A����。
其中,所述源特征組為����,源IP地址�����、源端口���、協(xié)議類型。
另外�����,設(shè)置端口表�����,在執(zhí)行步驟A之前����,該方法進一步包括接收到達報文,判斷當(dāng)前到達的報文是否為信令報文���,如果是�����,則根據(jù)設(shè)置的端口表獲得當(dāng)前到達報文的信令類型��,執(zhí)行步驟A���;否則,按照現(xiàn)有技術(shù)防攻擊處理該報文����。
步驟A中所述源特征組為,源IP地址���、源端口�����、協(xié)議類型及信令類型����。
其中��,所述設(shè)置端口表為知名端口表��,所述判斷報文是否為信令報文為�����,執(zhí)行以下步驟A1、獲得報文的目的三元組���,根據(jù)報文的目的三元組在知名端口表中查找���,判斷是否存在相應(yīng)的表項,如果存在����,則當(dāng)前到達的報文為信令報文,否則����,為非信令報文。
其中��,所述目的三元組為��,目的IP地址���、目的端口���、協(xié)議類型。
其中����,進一步設(shè)置地址端口表��,在判斷報文是否為信令報文時���,執(zhí)行步驟A1之前,進一步包括獲得報文的目的四元組�����,在地址端口表中查找����,判斷是否存在相應(yīng)的表項����,如果存在,則當(dāng)前到達的報文為信令報文���;否則��,執(zhí)行步驟A1�。
其中�,所述目的四元組為目的IP地址��、目的端口���、源IP地址、協(xié)議類型�����。
另外���,設(shè)置地址轉(zhuǎn)換表�,在執(zhí)行步驟C的同時�,進一步執(zhí)行以下步驟D、判斷當(dāng)前收到的信令報文是否為從知名端口表中查找得到�����,如果是����,則執(zhí)行步驟E;否則�,執(zhí)行步驟F;E、獲得信令報文的源地址����,判斷地址轉(zhuǎn)換表中是否存在相應(yīng)的表項,如果存在���,則執(zhí)行步驟F��;否則��,為該信令報文分配轉(zhuǎn)換地址���,將源地址和轉(zhuǎn)換地址的對應(yīng)關(guān)系記錄在地址轉(zhuǎn)換表內(nèi)��,并將轉(zhuǎn)換地址后的信令報文與該報文的信令類型之間的對應(yīng)關(guān)系記錄在地址端口表內(nèi)�,再執(zhí)行步驟F;F��、獲得并根據(jù)信令報文的轉(zhuǎn)換地址��,對信令報文進行地址轉(zhuǎn)換�。
其中,記錄地址端口范圍����,步驟D中��,所述判斷當(dāng)前收到的信令報文是否為從知名端口表中查找得到����,具體為獲得信令報文的目的IP地址和目的端口�����,在地址端口范圍內(nèi)查找是否存在相應(yīng)的目的IP地址和目的端口���,如果存在�����,則不是從知名端口表中查找得到����;否則���,則從知名端口表中查找得到�。
其中��,所述源地址為信令報文自身的源IP地址、源端口��、目的IP地址��、目的端口���;所述轉(zhuǎn)換地址為將代理設(shè)備內(nèi)分配自身的IP地址和端口為源IP地址源端口����;將代理設(shè)備分配核心設(shè)備的IP地址及端口為目的IP地址和目的端口��;所述將轉(zhuǎn)換地址后的信令報文與該報文的信令類型之間的對應(yīng)關(guān)系記錄在地址端口表內(nèi)為獲得信令報文的協(xié)議類型和信令類型�,將代理設(shè)備分配的自身的IP地址和端口,分配的核心設(shè)備的IP地址�、獲得的協(xié)議類型,與信令類型之間的對應(yīng)關(guān)系記錄在地址端口表內(nèi)���。
其中,其特征在于�,設(shè)置攻擊閾值,所述獲得信令報文的攻擊狀態(tài)為獲得從流隊列出來信令報文的速率�,判斷信令報文的速率是否小于攻擊閾值,如果是���,則該信令報文為非攻擊狀態(tài)���;如果不是���,則該信令報文為攻擊狀態(tài)。
其中��,所述根據(jù)信令報文的攻擊狀態(tài)�,調(diào)整信令報文的優(yōu)先級為判斷信令報文的攻擊狀態(tài),當(dāng)信令報文為攻擊狀態(tài)時�,則降低該報文對應(yīng)的優(yōu)先級等級;當(dāng)信令報文為非攻擊狀態(tài)時���,提升該信令報文對應(yīng)的優(yōu)先級等級��。
其中�,所述提升該信令報文對應(yīng)的優(yōu)先級等級為�����,當(dāng)該信令報文在一段時間內(nèi)為非攻擊狀態(tài)時���,提升該信令報文對應(yīng)的優(yōu)先級的等級�。
另外,設(shè)置用戶注冊表���,在執(zhí)行步驟C之前�,該方法進一步包括獲得經(jīng)過流量控制報文的源特征組�����,在用戶注冊表中查找是否存在相同的源特征組�,如果存在,則執(zhí)行步驟C��;否則����,在執(zhí)行步驟C的同時,為該源特征組分配優(yōu)先級���,并將分配后的優(yōu)先級與該報文的源特征組的對應(yīng)關(guān)系保存到用戶分揀表�����。
本發(fā)明所提供的一種基于用戶防攻擊的裝置,通過在網(wǎng)絡(luò)設(shè)備內(nèi)部設(shè)置用戶識別單元��、以及信令識別單元,用于根據(jù)報文所對應(yīng)的用戶對報文進行流量控制��,實現(xiàn)基于用戶的防攻擊��,保證了合法用戶使用網(wǎng)絡(luò)服務(wù)的質(zhì)量�����,提高了合法用戶使用網(wǎng)絡(luò)的效率��。
另外�����,本發(fā)明所提供的一種基于用戶防攻擊的方法��,根據(jù)報文所對應(yīng)的用戶對報文進行流量控制���,實現(xiàn)了基于用戶的防攻擊處理��,保證了合法用戶使用網(wǎng)絡(luò)服務(wù)的質(zhì)量��,提高了合法用戶使用網(wǎng)絡(luò)的效率�����。
圖1為現(xiàn)有技術(shù)NGN中代理設(shè)備的防攻擊裝置結(jié)構(gòu)圖��;圖2為本發(fā)明防攻擊裝置結(jié)構(gòu)圖�;圖3為本發(fā)明防攻擊方法的流程圖。
具體實施例方式
本發(fā)明的核心思想是當(dāng)報文進入網(wǎng)絡(luò)設(shè)備后�����,根據(jù)報文所對應(yīng)的用戶對報文進行流量控制��,實現(xiàn)基于用戶的防攻擊處理��。
以下為本發(fā)明一個優(yōu)選實施例�,該優(yōu)選實施例為在NGN網(wǎng)絡(luò)中的代理設(shè)備上實現(xiàn)本發(fā)明防攻擊的裝置以及方法。
為實現(xiàn)本發(fā)明所提出的裝置以及方法�,需在本實施例的代理設(shè)備中設(shè)置用戶分揀表、用戶注冊表以及端口表�����。所述��,用戶分揀表用于記錄已注冊用戶報文的源特征組以及相應(yīng)的優(yōu)先級����。用戶注冊表,用于記錄已注冊用戶的源特征組�����。其中�����,在本實施例中設(shè)置的端口表包括知名端口表和地址端口表�。這里,知名端口表用于根據(jù)到達報文的目的三元組判斷該報文是否為信令報文�����;并當(dāng)該報文為信令報文時���,根據(jù)報文的目的三元組查找得到該報文的信令類型�。知名端口表主要針對用戶終端向代理設(shè)備發(fā)送的信令報文����。地址端口表用于根據(jù)到達報文的目的四元組判斷該報文是否為信令報文;并當(dāng)該報文為信令報文時�,根據(jù)報文的目的四元組查找得到該報文的信令類型。地址端口表主要針對從NGN網(wǎng)絡(luò)中核心設(shè)備返回給代理設(shè)備的信令報文��。NGN網(wǎng)絡(luò)中的核心設(shè)備,如軟交換設(shè)備��。
在本實施例中�����,所述的目的三元組為報文的目的IP地址�����、目的端口以及協(xié)議類型����;所述的目的四元組為報文的目的IP地址、目的端口��、源IP地址以及協(xié)議類型�;在此,也稱目的三元組和目的四元組為目的特征組�����。所述的源特征組為源四元組包括報文的源IP地址����、源端口���、協(xié)議類型以及信令類型,用于唯一確定報文所對應(yīng)的用戶�。在不同的應(yīng)用環(huán)境中�����,目的特征組以及源特征組也可以包括不同的內(nèi)容��。
本實施例中�����,可以將知名端口表和地址端口表所包含的表項設(shè)置在一張端口表中�����,也可以將知名端口表和地址端口表設(shè)置成在獨立的兩張端口表�。在本實施例中,采用將知名端口表和地址端口表的表項記錄在一張端口表內(nèi)����,該端口表表項的數(shù)據(jù)格式如表一所示
表一如表一所示,表一中的標(biāo)志位確定了該標(biāo)志位所對應(yīng)的表項為知名端口表還是地址端口表,這里可以設(shè)置標(biāo)志位為01的表項為知名端口表�;標(biāo)志位為10的表項為地址端口表;還可以用標(biāo)志位為00表示該表項為無效表項�。當(dāng)標(biāo)志位為01時,所對應(yīng)的關(guān)鍵值內(nèi)容為目的三元組����,則相應(yīng)的信令類型則為代理設(shè)備在網(wǎng)絡(luò)剛開始運行時預(yù)先根據(jù)報文的目的三元組所確定的信令類型;當(dāng)標(biāo)志位為10時���,則相應(yīng)的關(guān)鍵值內(nèi)容為目的四元組����,相應(yīng)的信令類型根據(jù)報文目的四元組所確定的信令類型���。
在具體的應(yīng)用環(huán)境中��,網(wǎng)絡(luò)設(shè)備可以根據(jù)自身所處的網(wǎng)絡(luò)環(huán)境只設(shè)置知名端口表��,而選擇設(shè)置類似本實施例中的地址端口表�����。
另外�����,用戶分揀表表項的數(shù)據(jù)格式如表二所示
表二用戶分揀表表項的數(shù)據(jù)格式包括關(guān)鍵值內(nèi)容���、標(biāo)志位和QOS信息��,其中��,關(guān)鍵值的內(nèi)容為源四元組,源四元組包括報文的源IP地址�、源端口、協(xié)議類型以及信令類型�����,屬于源特征組的范圍�����;標(biāo)志位����,用來表示該表項是否為有效,可以設(shè)置標(biāo)志位為0時���,該表項無效�����;標(biāo)志位為1時��,該表項有效����;QOS信息,為報文所對應(yīng)的優(yōu)先級����,用來根據(jù)報文的源四元組查找得到該報文的優(yōu)先級。
由于本實施例中針對的網(wǎng)絡(luò)設(shè)備為NGN網(wǎng)絡(luò)中的代理設(shè)備�,因此在設(shè)置端口表時,需要針對從用戶終端發(fā)送來的以及從核心設(shè)備返回的信令報文分別設(shè)置不同類型的端口表�。主要原因為代理設(shè)備對于用戶終端來說為核心設(shè)備,而對核心設(shè)備來說為用戶終端�����,代理設(shè)備在處理從用戶終端發(fā)送來的信令報文時����,需要針對信令報文進行地址轉(zhuǎn)換��,再發(fā)送到核心設(shè)備����;而代理設(shè)備在收到核心設(shè)備返回的信令報文時��,也同樣需要代理設(shè)備根據(jù)返回信令報文的地址進行地址轉(zhuǎn)換后��,再發(fā)送給用戶終端�。在這種情況下,會使得從用戶終端接收到的����、以及從核心設(shè)備返回的信令報文雖然擁有不同的目的特征組�����,但是對應(yīng)著相同的信令類型��,如果不針對從用戶終端發(fā)送的信令報文以及從核心設(shè)備返回的信令報文分別設(shè)置不同的端口表���,則會使根據(jù)端口表查找報文對應(yīng)的信令類型時發(fā)生錯誤����,導(dǎo)致從核心設(shè)備返回的信令報文無法根據(jù)自身的目的四元組匹配到正確的信令類型。
知名端口表和地址端口表的另外一個不同之處在于��,代理設(shè)備在設(shè)置知名端口表時����,主要根據(jù)代理設(shè)備經(jīng)常處理的或代理設(shè)備能夠處理的用戶終端發(fā)送來信令報文,將信令報文的目的三元以及相應(yīng)的信令類型預(yù)先記錄在知名端口表中����,在代理設(shè)備開始運行后,就不再更新其中的表項�。而代理設(shè)備在設(shè)置的地址端口表,在代理設(shè)備剛開始運行時�����,地址端口表中并沒有相關(guān)表項的�,地址端口表是代理設(shè)備在運行的過程中,由用戶不斷注冊�、以及用戶使用不同類型的信令報文,而不斷下發(fā)設(shè)置的�。
為實現(xiàn)本實施例的裝置以及方法,還需在代理設(shè)備中設(shè)置攻擊閾值以及地址轉(zhuǎn)換表�。其中,攻擊閾值用于判斷當(dāng)前接收的報文是否為攻擊狀態(tài)�。本實施例判斷當(dāng)前接收到的報文是否為攻擊狀態(tài)主要根據(jù)當(dāng)前到達報文的速率����,因此這里設(shè)置的攻擊閾值主要是針對速率的�����。如果當(dāng)前接收的報文的速率大于或等于攻擊閾值�����,則當(dāng)前接收的報文為攻擊狀態(tài)����;如果當(dāng)前接收到的報文的速率小于攻擊閾值,則當(dāng)前接收到的報文為非攻擊狀態(tài)����。攻擊閾值的設(shè)定�,通常可以參考網(wǎng)絡(luò)正常運行情況下����,網(wǎng)絡(luò)設(shè)備接收報文的平均速率,可以設(shè)置相對于平均速率較高的速率為攻擊閾值���。
其中��,地址轉(zhuǎn)換表中記錄了源地址和轉(zhuǎn)換地址之間的對應(yīng)關(guān)系����,源地址記錄的是用戶終端的信令報文在通過代理設(shè)備轉(zhuǎn)換之前的源IP地址、源端口��、目的IP地址和目的端口����;轉(zhuǎn)換地址記錄的是用戶終端的信令報文在通過代理設(shè)備轉(zhuǎn)換之后的源IP地址、源端口�����、目的IP地址和目的端口��。轉(zhuǎn)換地址中的源IP地址和源端口為代理設(shè)備分配的自身的IP地址和端口�����,目的IP地址和目的端口為代理設(shè)備分配的核心設(shè)備的IP地址和端口���。從用戶終端發(fā)送來的信令報文通過自身的源IP地址��、源端口���、目的IP地址和目的端口通過源地址匹配到轉(zhuǎn)換地址��,進行地址轉(zhuǎn)換����;從核心設(shè)備返回的信令報文通過自身的目的IP地址�、目的端口、源IP地址和源端口從轉(zhuǎn)換地址匹配到源地址�����,進行地址轉(zhuǎn)換����,但對于從核心設(shè)備返回的信令報文來說,是將地址轉(zhuǎn)換表中的轉(zhuǎn)換地址作為源地址�、而地址轉(zhuǎn)換表中的源地址作為轉(zhuǎn)換地址。在進行地址轉(zhuǎn)換的過程中����,由于代理設(shè)備需要對收到的新信令報文分配轉(zhuǎn)換地址中的源IP地址以及源端口����,因此在代理設(shè)備內(nèi)部設(shè)置一個可選擇的IP地址以及端口的范圍���,在此,稱這個IP地址和端口范圍為地址端口范圍���,代理設(shè)備在這個范圍內(nèi)為新信令報文選擇轉(zhuǎn)換地址中的源IP地址及源端口�。這里�����,所述的新信令報文為在地址轉(zhuǎn)換表中沒有相關(guān)記錄的信令報文����。
本實施例的防攻擊裝置的結(jié)構(gòu)如圖2所示,包括IP防攻擊單元110�、處理單元120、信令識別單元231�����、用戶識別單元232����、入隊操作單元233��、用戶分析單元234和QOS信息管理單元235�����。在本實施例中����,用戶分析單元234和處理單元120位于代理設(shè)備的控制平面���;IP防攻擊單元110���、信令識別單元231、用戶識別單元232���、入隊操作單元233以及QOS信息管理單元235位于轉(zhuǎn)發(fā)平面����。以下對各單元的功能進行詳細說明信令識別單元231���,在信令識別單元231中設(shè)置端口表����,端口表包括知名端口表和地址端口表�����,信令識別單元231接收到達代理設(shè)備的報文�,獲得到達報文的目的四元組,在地址端口表中進行查找���,判斷是否存在相應(yīng)的表項����,如果存在�����,則為信令報文��,同時根據(jù)到達報文的目的四元組查找地址端口表得到該信令報文所對應(yīng)的信令類型��;如果不存在���,則獲得該報文的目的三元組�����,在知名端口表中進行查找����,判斷在知名端口表是否存在相應(yīng)的表項,如果存在��,則為信令報文����,同時根據(jù)到達報文的目的三元組查找知名端口表得到該信令報文所對應(yīng)的信令類型,如果不存在����,則將該報文發(fā)送至IP防攻擊單元110中進行處理。當(dāng)當(dāng)前到達的報文為信令報文時���,則將信令報文的信令類型寫入該信令報文內(nèi)����,發(fā)送至用戶識別單元232��;信令識別單元231接收用戶分析單元234下發(fā)的地址端口表表項�,并將接收到的地址端口表表項記錄在信令識別單元231內(nèi)部的端口表內(nèi)�����。
IP防攻擊單元110�����,用于接收信令識別單元231發(fā)送來的非信令報文,按照現(xiàn)有技術(shù)流程對接收到的報文進行防攻擊處理���,并根據(jù)信息轉(zhuǎn)發(fā)表���,將需要上送給處理單元120處理的報文發(fā)送給處理單元120。
用戶識別單元232����,在用戶識別單元232中設(shè)置用戶分揀表。用戶識別單元232接收信令識別單元231發(fā)送來的信令報文�,獲得信令報文的源四元組,根據(jù)信令報文的源四元組查找用戶分揀表得到當(dāng)前到達的信令報文的優(yōu)先級����,并將該信令報文的優(yōu)先級寫入該信令報文內(nèi),發(fā)送至入隊操作單元233�;接收QOS信息管理單元233下發(fā)的用戶分揀表表項��,并根據(jù)下發(fā)的表項更新自身設(shè)置的用戶分揀表��。
入隊操作單元233��,用于接收用戶識別單元232發(fā)送來的信令報文�,獲得信令報文內(nèi)中攜帶的優(yōu)先級���,并根據(jù)該信令報文所攜帶的優(yōu)先級����,將該信令報文分配至相應(yīng)的流隊列����。在入隊操作單元233中,存在多個不同等級的流隊列�,每個流隊列對應(yīng)一個優(yōu)先級,不同的優(yōu)先級對應(yīng)著不同等級的流隊列����,而不同等級的流隊列具有不同的帶寬。等級高的流隊列具有高的帶寬���,等級低的流隊列具有相對較低的帶寬��,每個報文所攜帶的優(yōu)先級確定了該報文在進入入隊操作單元233后所能得到的帶寬��,帶寬越高則上送到用戶分析單元234的速率越大�。其中,默認優(yōu)先級對應(yīng)一個中等隊列��,具有一般的帶寬�。入隊操作單元233將從流隊列出來的信令報文上送到用戶分析單元234。
入隊操作單元233中的隊列調(diào)度可以采用一般延遲保證帶寬(Normal-latency sustainable bandwidth���,NLS),NLS將上送到用戶分析單元234的端口的帶寬根據(jù)最合理的配置�,按照不同比例分配給不同的隊列,則不同的優(yōu)先級對應(yīng)不同的隊列��,因此具有不同的上送到用戶分析單元234的帶寬���。本發(fā)明還可以使用加權(quán)公平隊列(weighted fair queuing���,WFQ)、低延遲保證帶寬隊列(Low-latency sustainable bandwidth�����,LLS)、以及各種隊列相配合的方式�����。
用戶分析單元234���,在用戶分析單元234中設(shè)置地址轉(zhuǎn)換表����、攻擊閾值�����、用戶注冊表�����、記錄地址端口范圍�����。用戶分析單元234接收從入隊操作單元233發(fā)送來的信令報文�����,獲得該信令報文的源四元組,根據(jù)自身設(shè)置的用戶注冊表判斷是否為新用戶注冊���,如果為新用戶注冊��,則將該新用戶的源四元組添加至自身的用戶注冊表��,為該新用戶進行注冊���,并向QOS信息管理單元235下發(fā)該新注冊用戶的源四元組;對接收到的信令報文進行地址轉(zhuǎn)換��,且在地址轉(zhuǎn)換中的過程中判斷是否需要下發(fā)新的地址端口表項���;用戶分析單元234還需獲得到達報文的攻擊狀態(tài),并將信令報文的攻擊狀態(tài)以及該信令報文源四元組下發(fā)給QOS信息管理單元235����;用戶分析單元234在分析完當(dāng)前接收到的信令報文后,將接收到的信令報文發(fā)送處理單元120中行處理�。這里,所述的新用戶為由報文的源四元組所對應(yīng)的用戶�。
用戶分析單元234對接收到的信令報文進行地址轉(zhuǎn)換,并在地址轉(zhuǎn)換中的過程中判斷是否需要下發(fā)新的地址端口表項���。具體為首先獲得當(dāng)前接收到的信令報文的目的端口和目的IP�����,在地址端口范圍內(nèi)進行查找�����,判斷當(dāng)前獲得的目的端口和目的IP是否在該范圍內(nèi)�����,如果在該范圍內(nèi)���,則為在信令識別單元231中的地址端口表查找得到��,為從核心設(shè)備返回的信令報文����,因此�����,獲得該報文的源IP地址、源端口�、目的IP地址和目的端口,根據(jù)地址轉(zhuǎn)換表轉(zhuǎn)換地址后����,發(fā)送至處理單元120進行處理;如果不在該范圍內(nèi)�����,則為在信令識別單元231中的知名端口表中查找得到�,為從用戶終端發(fā)送來的信令報文,獲得該信令報文的源地址����,根據(jù)源地址在地址轉(zhuǎn)換表中進行查找,判斷是否存在相應(yīng)的表項����,如果存在,則根據(jù)信令報文的源地址在地址轉(zhuǎn)換表查找到得到轉(zhuǎn)換地址進行地址轉(zhuǎn)換�,并在轉(zhuǎn)換地址后將信令報文發(fā)送至處理單元120進行處理�,如果不存在,則獲得該信令報文的源IP地址���、源端口����、目的IP地址和目的端口作為源地址,并為該信令報文分配轉(zhuǎn)換地址�����,分配轉(zhuǎn)換地址具體為在代理設(shè)備內(nèi)分配IP地址和端口��,以及為該信令報文分配核心設(shè)備的IP地址及端口�����,將代理設(shè)備的IP地址和端口作為該信令報文的源IP地址及源端口��,將核心設(shè)備的IP地址和端口作為該信令報文的目的IP地址和目的端口�����,對信令報文的源���、目地址進行轉(zhuǎn)換����。用戶分析單元234將源地址與轉(zhuǎn)換地址的對應(yīng)關(guān)系記錄在地址轉(zhuǎn)換表內(nèi);并獲得該信令報文的協(xié)議類型及攜帶的信令類型����,將分配的代理設(shè)備的IP地址和端口、核心設(shè)備的IP地址以及協(xié)議類型與信令類型之間的對應(yīng)關(guān)系下發(fā)給信令識別單元231�。
另外,用戶分析單元234獲得當(dāng)前到達報文的攻擊狀態(tài)并下發(fā)給信令識別單元231可以為�,根據(jù)上送速率獲得信令報文的攻擊狀態(tài),如果信令報文的速率大于或等于攻擊閾值�����,則該信令報文為攻擊狀態(tài)�;如果信令報文的速率小于攻擊閾值,則該信令報文為非攻擊狀態(tài)�。這里測量信令報文的速率可以是對于每類信令報文設(shè)置一個計數(shù)器,這個計數(shù)器每過一秒鐘則重新開始計數(shù)����,計數(shù)的內(nèi)容為,在這一秒鐘內(nèi)收到的這類信令報文的個數(shù)�,當(dāng)用戶分析單元234需要獲得當(dāng)前到達的這類信令報文的上送速率,直接讀取這類信令報文所對應(yīng)的計數(shù)器�。這里,所述的一類信令報文為當(dāng)兩個信令報文具有相同的源四元組時��,稱這兩個信令報文為一類信令報文����。
QOS信息管理單元235,在QOS信息管理單元235中備份用戶分揀表���,QOS信息管理單元235用于接收用戶分析單元234下發(fā)的新注冊用戶信令報文的源四元組�,為新注冊用戶分配相應(yīng)的優(yōu)先級�����,并將新注冊用戶的源四元組以及優(yōu)先級下發(fā)給用戶識別單元232����;接收用戶分析單元234下發(fā)的信令報文的源四元組以及該信令報文的攻擊狀態(tài);當(dāng)該信令報文為攻擊狀態(tài)時�,則查找自身備份的用戶分揀表,根據(jù)收到用戶報文的攻擊狀態(tài)降低該源四元組對應(yīng)的信令報文的優(yōu)先級����,并將更新后的用戶分揀表表項下發(fā)給用戶識別單元232。
QOS信息管理單元235還可以對某一源四元組進行監(jiān)視����,即是對一類用戶報文進行監(jiān)視�,當(dāng)這類四元組在一段時間�,均為非攻擊狀態(tài)時,則升高該源四元組對應(yīng)的優(yōu)先級���。
處理單元120�,用于接收并用戶分析單元234發(fā)送來的信令報文�。
以上為對本實施例中防攻擊裝置的詳細介紹,以下則是針對本實施例中防攻擊方法進行詳細說明�。在本實施例的用戶分揀表中設(shè)置默認表項,默認表項對應(yīng)默認優(yōu)先級����,供當(dāng)前沒有注冊的用戶報文使用。參見圖3�����,如圖3所示為本發(fā)明優(yōu)選實施例防攻擊方法的流程圖���,該流程包括以下步驟步驟301~304報文到達代理設(shè)備���,進入代理設(shè)備中的信令識別單元231。信令識別單元231首先獲得該報文的目的三元組和目的四元組�����,并根據(jù)到達報文的目的三元組和目的四元組判斷該報文是否為信令報文����。
對于本實施例的端口表包括知名端口表和地址端口表情況,具體判斷當(dāng)前到達是否為信令報文的過程為先根據(jù)報文的目的四元組��,在端口表中查找標(biāo)志位為10的表項�����,判斷是否存在與該目的四元組相同的關(guān)鍵值內(nèi)容����,如果存在,則該到達報文為從NGN網(wǎng)絡(luò)核心設(shè)備發(fā)送過來的信令報文�����,則同時根據(jù)該報文的目的四元組獲得該信令報文的信令類型���,并將信令類型寫入該信令報文內(nèi)�;如果不存在�,再根據(jù)該報文的目的三元組在端口表中查找標(biāo)志位為01的表項�,判斷是否存在與該目的三元組相同的關(guān)鍵值內(nèi)容��,如果存在�����,則該到達報文為從用戶終端發(fā)送過來的信令報文����,則同時根據(jù)該報文的目的三元組獲得該信令報文的信令類型,并將信令類型寫入該信令報文內(nèi)��,如果不存在����,則將該當(dāng)前收到的報文發(fā)送至IP防攻擊單元110進行處理。
信令識別單元231在判斷出信令報文后�����,則將信令報文發(fā)送至用戶識別單元232中進行處理�����。
步驟305用戶識別單元232根據(jù)當(dāng)前收到的信令報文以及攜帶的信令類型,獲得由當(dāng)前收到的信令報文的源IP地址���、源端口����、協(xié)議類型以及信令類型組成的源四元組����。根據(jù)源四元組查找用戶識別單元232中設(shè)置的用戶分揀表�����,得到該信令報文的優(yōu)先級�;對于在用戶分揀表中沒有查找得到相應(yīng)表項的信令報文,則根據(jù)用戶分揀表中的默認表項����,獲得相應(yīng)的默認優(yōu)先級。信令報文在得到優(yōu)先級后���,用戶識別單元232則將獲得的優(yōu)先級寫入該信令報文內(nèi)����,并將該信令報文發(fā)送至入隊操作單元233進行處理。
步驟306入隊操作單元233根據(jù)信令報文攜帶的優(yōu)先級����,將信令報文送至相應(yīng)的流隊列。通過每個流隊列帶寬的不同對信令報文進行防攻擊處理����。隊列的調(diào)度可以采用NLS隊列、WFQ隊列��、以及幾種隊列混合的形式�。
步驟307用戶分析單元234接收從入隊操作單元233出來的信令報文,獲得當(dāng)前接收到信令報文的源四元組����,并查找在用戶分析單元234中的用戶注冊表,判斷是否存在相同的源四元組��,如果存在�,則獲得該信令報文的攻擊狀態(tài),并將信令報文的攻擊狀態(tài)以及該信令報文源四元組下發(fā)給QOS信息管理單元235����;如果不存在,則將源四元組下發(fā)給QOS信息管理單元235�,并在用戶注冊表中�����,加入信令報文的源四元組���,為該信令報文的用戶進行注冊,再獲得該信令報文的攻擊狀態(tài)��,并將信令報文的攻擊狀態(tài)以及該信令報文源四元組下發(fā)給QOS信息管理單元235。
同時,用戶分析單元234還需要對接收到的信令報文進行地址轉(zhuǎn)換,并在地址轉(zhuǎn)換中的過程中判斷是否需要下發(fā)新的地址端口表項。
用戶分析單元234根據(jù)信令報文的上送速率判斷該信令報文的攻擊狀態(tài)��,可以為以下過程獲得當(dāng)前收到信令報文的源四元組�,判斷該信令報文是否為同類報文中用戶分析單元234收到的第一個信令報文�,如果是,則針對當(dāng)前收到的信令報文設(shè)置并啟動計數(shù)器�,這個計數(shù)器每過一秒鐘則重新開始計數(shù),計數(shù)的內(nèi)容為在這一秒鐘內(nèi)收到的這類信令報文的個數(shù)�;如果不是,則讀取該信令報文所對應(yīng)計數(shù)器的計數(shù)值���。用戶分析單元234根據(jù)得到的上送速率以及事先設(shè)置的攻擊閾值����,對該類信令報文進行是否為攻擊狀態(tài)的判斷。當(dāng)當(dāng)前的信令報文的速率大于或等于攻擊閾值時���,則該信令報文為攻擊狀態(tài)�;當(dāng)該信令報文的速率小于攻擊閾值時���,則該信令報文為非攻擊狀態(tài)�。在確定信令報文的攻擊狀態(tài)之后����,將該信令報文的源四元組以及該報文的攻擊狀態(tài)下發(fā)給QOS信息管理單元235。
用戶分析單元234對接收到的信令報文進行地址轉(zhuǎn)換��,并在地址轉(zhuǎn)換中的過程中判斷是否需要下發(fā)新的地址端口表項���,可以為以下過程首先獲得當(dāng)前接收到的信令報文的目的端口和目的IP�����,在地址端口范圍內(nèi)進行查找��,判斷是否當(dāng)前獲得目的端口和目的IP是否在該范圍內(nèi)���,如果在該范圍內(nèi)����,則為在信令識別單元231中的地址端口表查找得到����,為從核心設(shè)備返回的信令報文,因此�,獲得該報文的源IP地址、源端口��、目的IP地址和目的端口���,根據(jù)地址轉(zhuǎn)換表�,轉(zhuǎn)換地址發(fā)送至處理單元120進行處理�;如果不在該范圍內(nèi),則為在信令識別單元231的知名端口表中查找得到�����,為用戶終端發(fā)送來的信令報文�,獲得該信令報文的源地址����,根據(jù)源地址在地址轉(zhuǎn)換表中進行查找�,判斷是否存在相應(yīng)的表項����,如果存在,則根據(jù)地址轉(zhuǎn)換表進行地址轉(zhuǎn)換����,將轉(zhuǎn)換地址后的信令報文發(fā)送至處理單元120進行處理,如果不存在�,則獲得該信令報文的源IP地址、源端口�、目的IP地址和目的端口作為源地址,并為該信令報文分配轉(zhuǎn)換地址��,分配轉(zhuǎn)換地址具體為在代理設(shè)備內(nèi)分配IP地址和端口���,以及為該信令報文分配核心設(shè)備的IP地址及端口��,將代理設(shè)備的IP地址和端口作為該信令報文的源IP地址及源端口���,將核心設(shè)備的IP地址和端口作為該信令報文的目的IP地址和目的端口對信令報文的源、目地址進行轉(zhuǎn)換����。用戶分析單元將源地址與轉(zhuǎn)換地址的對應(yīng)關(guān)系記錄在地址轉(zhuǎn)換表內(nèi)�;并獲得該信令報文的協(xié)議類型及攜帶的信令類型���,將分配的代理設(shè)備的IP地址和端口����,以及協(xié)議類型和信令類型下發(fā)信令識別單元231�。
步驟308QOS信息管理單元235接收到用戶分析單元234下發(fā)的源四元組、或源四元組和攻擊狀態(tài)的對應(yīng)關(guān)系時��,為源四元組���、或源四元組和源四元組對應(yīng)的攻擊狀態(tài)分配相應(yīng)的優(yōu)先級�����。
當(dāng)QOS信息管理單元235收到的是信令報文的源四元組時��,則該源四元組為新注冊用戶的源四元組�,則QOS信息管理單元235為該源四元組分配相應(yīng)的優(yōu)先級�����,并下發(fā)給用戶識別單元232�。此處,為新注冊用戶分配的優(yōu)先級可以是一個具有中等級別的優(yōu)先級��。用戶識別單元232接收并根據(jù)下發(fā)的源四元組以及優(yōu)先級�,更新自身內(nèi)部設(shè)置的用戶分揀表。
當(dāng)QOS信息管理單元235收到的是信令報文的源四元組以及對應(yīng)的攻擊狀態(tài)���,則判斷當(dāng)前收到的源四元組的攻擊狀態(tài)�,如果源四元組對應(yīng)為非攻擊狀態(tài)時�,則認為該源四元組對應(yīng)的用戶為合法用戶,不執(zhí)行任何操作����;如果源四元組對應(yīng)為攻擊狀態(tài)時,則認為該源四元組對應(yīng)的用戶為非法用戶�����,并根據(jù)當(dāng)前收到的源四元組��,在自身備份的用戶分揀表中查找得到該源四元組所對應(yīng)的優(yōu)先級��,降低該源四元組所對應(yīng)的優(yōu)先級���,并將該源四元組以及降低后的優(yōu)先級下發(fā)給用戶識別單元232��。用戶識別單元232接收并根據(jù)下發(fā)的源四元組以及更新后的優(yōu)先級��,更新自身內(nèi)部設(shè)置的用戶分揀表����。這里,當(dāng)源四元組對應(yīng)攻擊狀態(tài)時�,具體降低源四元組對應(yīng)的優(yōu)先級的等級,可以根據(jù)網(wǎng)絡(luò)的具體的情況進行決定����。
在本實施例的步驟308中,當(dāng)QOS信息管理單元235收到的是信令報文的源四元組以及對應(yīng)的攻擊狀態(tài)�,還可以進行如下操作判斷當(dāng)前收到的源四元組對應(yīng)的攻擊狀態(tài),如果源四元組對應(yīng)為非攻擊狀態(tài)時�,還可以進一步判斷該攻擊狀態(tài)是否為針對該源四元組的第一個非攻擊狀態(tài),如果是�,則針對該源四元組啟動計數(shù)器,并在計數(shù)器上加1�����;如果不是����,則在已經(jīng)設(shè)置的該源四元的計數(shù)器上加1,并判斷針對該信令報文的計數(shù)器是否到達了升級計數(shù)值��,如果到達了升級計數(shù)值���,QOS信息管理單元235則提升該源四元組所對應(yīng)的優(yōu)先級�����,并向用戶識別單元232下發(fā)源四元組以及新的優(yōu)先級�,用戶識別單元232根據(jù)下發(fā)源四元組以及新的優(yōu)先級更新自身存儲的用戶分揀表���;如果源四元組對應(yīng)為攻擊狀態(tài)時���,除了需要向用戶識別單元232下發(fā)相應(yīng)的表項外,還需將計數(shù)器歸零��。其中�,升級計數(shù)值可以根據(jù)用戶對網(wǎng)絡(luò)安全的要求進行確定。
本實施例中����,也可以將信令識別單元231、用戶識別單元232、入隊操作單元233����、用戶分析單元234和QOS信息管理單元235都放置在控制平面中,而只將IP防攻擊單元110放置在轉(zhuǎn)發(fā)平面���,在這種情況下�����,每個功能單元的功能和連接關(guān)系�����,以及實現(xiàn)防攻擊的方法均本實施中的介紹完全相同���,在此不再詳述。
本實施例中防攻擊裝置的結(jié)構(gòu)圖以及實現(xiàn)流程同樣可以應(yīng)用到NGN網(wǎng)絡(luò)中的核心設(shè)備中�����,如軟交換設(shè)備���。由于軟交換設(shè)備處理的報文均為信令報文��,因此在軟交換設(shè)備中的信令識別單元中只需設(shè)置知名端口表��,信令識別單元接收從軟交換設(shè)備中的IP收包單元發(fā)送來的信令報文�,根據(jù)知名端口表查找得到相應(yīng)的信令類型;不需要判斷該報文是否為信令報文���。軟交換設(shè)備中的用戶分析單元與本實施例中用戶分析單元234的功能區(qū)別在于,核心設(shè)備中的用戶分析單元不需要判斷是否要針對當(dāng)前到達的信令報文下發(fā)地址端口表表項的判斷���,也就不需要進行源�、目的IP地址的轉(zhuǎn)換����,其他均與與本實施例中的相同,在此不再詳述��。
在本發(fā)明實施例的介紹中�����,信令報文攜帶信令類型以及優(yōu)先級的方法��,也可以不采用在信令報文中寫入的方法���,而采用增加一個寄存單元的方法�,將查找得到的信令類型以及優(yōu)先級寄存在寄存,而在需要使用的時候��,直接取出即可�����。
在本實施例的裝置中��,還可以不使用信令識別單元��,在此情況下�,這種實現(xiàn)方案與本實施例的不同之處在于,將到達代理設(shè)備的報文直接送入用戶識別單元中進行處理���,用戶直接根據(jù)報文的源IP地址�、源端口�、以及協(xié)議類型所組成的源特征組,在用戶分揀表中查找得到相應(yīng)的表項����;用戶分析單元也不需要下發(fā)地址端口表表項;其它的處理過程與本實施例中相同����,在此不再詳述��。
以上所述����,僅為本發(fā)明的較佳實施例而已����,并非用于限定本發(fā)明的保護范圍����。
權(quán)利要求
1.一種基于用戶防攻擊的裝置,其特征在于�,該裝置包括用戶識別單元、入隊操作單元���、QOS信息管理單元和用戶分析單元�,用戶識別單元����,用于接收報文,獲得并根據(jù)報文的源特征組得到報文的優(yōu)先級�,將攜帶優(yōu)先級的報文發(fā)送至入隊操作單元���;根據(jù)QOS信息管理單元發(fā)送的報文的優(yōu)先級,更新自身存儲的報文的優(yōu)先級�;入隊操作單元,用于接收用戶識別單元發(fā)送的報文���,根據(jù)報文中攜帶的優(yōu)先級對報文進行流量控制后�,將報文發(fā)送至用戶分析單元�����;用戶分析單元�,用于接收入隊操作單元發(fā)送的報文;獲得報文的攻擊狀態(tài)�,并將報文的攻擊狀態(tài)發(fā)送至QOS信息管理單元;并將接收到的報文發(fā)送至處理單元��;QOS信息管理單元�,用于接收用戶分析單元發(fā)送的報文攻擊狀態(tài),根據(jù)報文的攻擊狀態(tài)��,調(diào)整該報文所對應(yīng)的優(yōu)先級�,并將調(diào)整后的優(yōu)先級發(fā)送給用戶識別單元。
2.根據(jù)權(quán)利要求1所述的裝置�����,其特征在于,所述用戶分析單元���,用于獲得報文的源特征組�,根據(jù)報文的源特征組判斷該報文為新用戶報文時��,為新用戶報文進行注冊�,并將報文的源特征組發(fā)送至QOS信息管理單元;所述QOS信息管理單元��,根據(jù)報文的源特征組為該報文分配優(yōu)先級��,并將報文的優(yōu)先級發(fā)送至用戶識別單元��。
3.根據(jù)權(quán)利要求1所述的裝置��,其特征在于��,所述用戶分析單元����,獲得報文的上送速率����,根據(jù)報文的上送速率獲得報文的攻擊狀態(tài)����。
4.根據(jù)權(quán)利要求1所述的裝置�����,其特征在于�����,該裝置進一步包括信令識別單元�;所述信令識別單元用于接收到達報文,判斷報文是否為信令報文�����,將信令報文發(fā)送至用戶識別單元��;將非信令報文發(fā)送至IP防攻擊單元���。
5.根據(jù)權(quán)利要求4所述的裝置���,其特征在于����,所述信令識別單元�����,獲得報文的目的三元組����,根據(jù)報文的目的三元組判斷報文是否為信令報文;并獲得該信令報文的信令類型���,將攜帶信令類型的信令報文發(fā)送至用戶識別單元���。
6.根據(jù)權(quán)利要求5所述的裝置,其特征在于��,所述信令識別單元�,用于獲得并根據(jù)報文的目的四元組判斷當(dāng)前收到的報文是否為信令報文�����,當(dāng)報文為信令報文�,則獲得該信令報文的信令類型�����,將攜帶信令類型的信令報文發(fā)送至用戶識別單元�����;接收并記錄用戶分析單元下發(fā)的目的四元組以及協(xié)議類型的對應(yīng)關(guān)系�����。
7.根據(jù)權(quán)利要求6所述的裝置��,其特征在于��,所述用戶分析單元�����,用于對接收到的信令報文進行地址轉(zhuǎn)換��,并在地址轉(zhuǎn)換的過程中確定是否需要下發(fā)針對當(dāng)前信令報文的目的四元組以及協(xié)議類型的對應(yīng)關(guān)系��,當(dāng)需要下發(fā)時�,則將針對當(dāng)前收到信令報文的目的四元組以及協(xié)議類型下發(fā)給信令識別單元。
8.一種基于用戶防攻擊的方法���,其特征在于���,設(shè)置用戶分揀表,包括以下步驟A�����、獲得到達報文的源特征組��,根據(jù)報文的源特征組查找用戶分揀表�,獲得對應(yīng)的優(yōu)先級;B���、根據(jù)報文的優(yōu)先級���,對報文進行流量控制;C��、獲得經(jīng)過流量控制的報文的攻擊狀態(tài)�����,根據(jù)報文的攻擊狀態(tài)��,分配該報文的優(yōu)先級�����,并將分配后的優(yōu)先級與該報文的源特征組的對應(yīng)關(guān)系保存到用戶分揀表�,返回步驟A。
9.根據(jù)權(quán)利要求8所述的方法���,其特征在于�,所述源特征組為��,源IP地址��、源端口���、協(xié)議類型�。
10.根據(jù)權(quán)利要求8所述的方法�,其特征在于,設(shè)置端口表����,在執(zhí)行步驟A之前�����,該方法進一步包括接收到達報文��,判斷當(dāng)前到達的報文是否為信令報文���,如果是,則根據(jù)設(shè)置的端口表獲得當(dāng)前到達報文的信令類型��,執(zhí)行步驟A��;否則���,按照現(xiàn)有技術(shù)防攻擊處理該報文���。步驟A中所述源特征組為,源IP地址���、源端口����、協(xié)議類型及信令類型��。
11.根據(jù)權(quán)利要求10所述的方法,其特征在于��,所述設(shè)置端口表為知名端口表�����,所述判斷報文是否為信令報文為���,執(zhí)行以下步驟A1、獲得報文的目的三元組���,根據(jù)報文的目的三元組在知名端口表中查找���,判斷是否存在相應(yīng)的表項,如果存在��,則當(dāng)前到達的報文為信令報文�����,否則����,為非信令報文����。
12.根據(jù)權(quán)利要求11所述的方法����,其特征在于,所述目的三元組為�,目的IP地址、目的端口����、協(xié)議類型。
13.根據(jù)權(quán)利要求12所述的方法�����,其特征在于���,進一步設(shè)置地址端口表�����,在判斷報文是否為信令報文時���,執(zhí)行步驟A1之前��,進一步包括獲得報文的目的四元組���,在地址端口表中查找,判斷是否存在相應(yīng)的表項�,如果存在�����,則當(dāng)前到達的報文為信令報文���;否則�����,執(zhí)行步驟A1��。
14.根據(jù)權(quán)利要求13所述的方法����,其特征在于����,所述目的四元組為目的IP地址��、目的端口�、源IP地址�、協(xié)議類型。
15.根據(jù)權(quán)利要求13所述的方法��,其特征在于�,設(shè)置地址轉(zhuǎn)換表,在執(zhí)行步驟C的同時�,進一步執(zhí)行以下步驟D、判斷當(dāng)前收到的信令報文是否為從知名端口表中查找得到�,如果是,則執(zhí)行步驟E��;否則����,執(zhí)行步驟F;E�、獲得信令報文的源地址,判斷地址轉(zhuǎn)換表中是否存在相應(yīng)的表項����,如果存在,則執(zhí)行步驟F;否則�����,為該信令報文分配轉(zhuǎn)換地址����,將源地址和轉(zhuǎn)換地址的對應(yīng)關(guān)系記錄在地址轉(zhuǎn)換表內(nèi),并將轉(zhuǎn)換地址后的信令報文與該報文的信令類型之間的對應(yīng)關(guān)系記錄在地址端口表內(nèi)����,再執(zhí)行步驟F�;F、獲得并根據(jù)信令報文的轉(zhuǎn)換地址����,對信令報文進行地址轉(zhuǎn)換。
16.根據(jù)權(quán)力要求15所述的方法����,其特征在于,記錄地址端口范圍�����,步驟D中,所述判斷當(dāng)前收到的信令報文是否為從知名端口表中查找得到����,具體為獲得信令報文的目的IP地址和目的端口,在地址端口范圍內(nèi)查找是否存在相應(yīng)的目的IP地址和目的端口�����,如果存在�,則不是從知名端口表中查找得到;否則�����,則從知名端口表中查找得到���。
17.根據(jù)權(quán)力要求15所述的方法����,其特征在于���,所述源地址為信令報文自身的源IP地址�、源端口���、目的IP地址�、目的端口;所述轉(zhuǎn)換地址為將代理設(shè)備內(nèi)分配自身的IP地址和端口為源IP地址源端口����;將代理設(shè)備分配核心設(shè)備的IP地址及端口為目的IP地址和目的端口;所述將轉(zhuǎn)換地址后的信令報文與該報文的信令類型之間的對應(yīng)關(guān)系記錄在地址端口表內(nèi)為獲得信令報文的協(xié)議類型和信令類型����,將代理設(shè)備分配的自身的IP地址和端口,分配的核心設(shè)備的IP地址��、獲得的協(xié)議類型�����,與信令類型之間的對應(yīng)關(guān)系記錄在地址端口表內(nèi)�����。
18.根據(jù)權(quán)利要求8至17中任一權(quán)利要求所述的方法�,其特征在于���,設(shè)置攻擊閾值��,所述獲得信令報文的攻擊狀態(tài)為獲得從流隊列出來信令報文的速率��,判斷信令報文的速率是否小于攻擊閾值��,如果是�����,則該信令報文為非攻擊狀態(tài)�����;如果不是�����,則該信令報文為攻擊狀態(tài)�����。
19.根據(jù)權(quán)利要求18所述的方法��,其特征在于�,所述根據(jù)信令報文的攻擊狀態(tài),調(diào)整信令報文的優(yōu)先級為判斷信令報文的攻擊狀態(tài)���,當(dāng)信令報文為攻擊狀態(tài)時�����,則降低該報文對應(yīng)的優(yōu)先級等級�;當(dāng)信令報文為非攻擊狀態(tài)時,提升該信令報文對應(yīng)的優(yōu)先級等級�。
20.根據(jù)權(quán)利要求19所述的方法,其特征在于���,所述提升該信令報文對應(yīng)的優(yōu)先級等級為��,當(dāng)該信令報文在一段時間內(nèi)為非攻擊狀態(tài)時�,提升該信令報文對應(yīng)的優(yōu)先級的等級����。
21.根據(jù)權(quán)利要求8所述的方法,其特征在于�,設(shè)置用戶注冊表�,在執(zhí)行步驟C之前,該方法進一步包括獲得經(jīng)過流量控制報文的源特征組�����,在用戶注冊表中查找是否存在相同的源特征組,如果存在�,則執(zhí)行步驟C;否則�,在執(zhí)行步驟C的同時,為該源特征組分配優(yōu)先級����,并將分配后的優(yōu)先級與該報文的源特征組的對應(yīng)關(guān)系保存到用戶分揀表。
全文摘要
本發(fā)明公開了一種基于用戶防攻擊的方法���,設(shè)置用戶分揀表�����,包括以下步驟A.獲得到達報文的源特征組�,根據(jù)報文的源特征組查找用戶分揀表����,獲得對應(yīng)的優(yōu)先級;B.根據(jù)報文的優(yōu)先級�,對報文進行流量控制;C.獲得經(jīng)過流量控制的報文的攻擊狀態(tài)�,根據(jù)報文的攻擊狀態(tài),分配該報文的優(yōu)先級���,并將分配后的優(yōu)先級與該報文的源特征組的對應(yīng)關(guān)系保存到用戶分揀表�,返回步驟A。本發(fā)明同時公開了一種基于用戶防攻擊的裝置���。本發(fā)明的裝置以及方法���,根據(jù)報文所對應(yīng)的用戶對報文進行流量控制,實現(xiàn)了基于用戶的防攻擊處理��,保證了合法用戶使用網(wǎng)絡(luò)服務(wù)的質(zhì)量����,提高了合法用戶使用網(wǎng)絡(luò)的效率。
文檔編號H04L12/56GK1933420SQ200510126098
公開日2007年3月21日 申請日期2005年11月24日 優(yōu)先權(quán)日2005年11月24日
發(fā)明者魏建雄, 孫長慶, 石曉峰 申請人:華為技術(shù)有限公司