專利名稱:一種分組通信系統(tǒng)中防止攻擊的方法及裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)通信技術(shù)領(lǐng)域����,具體地說�,涉及分組通信系統(tǒng)中防止 攻擊的方法及裝置。
背景技術(shù):
隨著電信技術(shù)的發(fā)展�,除了原有的語音�����、短信等電路域的基本服務(wù)以 外�����,分組域的服務(wù)發(fā)展也很快�����,按照接入方式可以分為固定接入和移動(dòng)接
入兩類,固定接入通常指寬帶接入�,包括無線局域網(wǎng)(WLAN);而移動(dòng) 接入則包括各種移動(dòng)通信網(wǎng)絡(luò)提供的分組域服務(wù),如GPRS/UMTS以及未 來演進(jìn)的SAE網(wǎng)絡(luò)�����,CDMA網(wǎng)絡(luò)���、TD-SCDMA網(wǎng)絡(luò)��,WiMax網(wǎng)絡(luò)等等���。
終端(移動(dòng)或固定)與數(shù)據(jù)網(wǎng)關(guān)建立鏈路連接�,并從數(shù)據(jù)網(wǎng)關(guān)或者其 它IP地址管理節(jié)點(diǎn)分配一個(gè)IP地址���,并通過這個(gè)IP地址與業(yè)務(wù)網(wǎng)絡(luò)上的對(duì) 端進(jìn)行業(yè)務(wù)��,業(yè)務(wù)數(shù)據(jù)流經(jīng)過數(shù)據(jù)網(wǎng)關(guān)在終端和業(yè)務(wù)對(duì)端之間進(jìn)行傳輸���。
現(xiàn)有技術(shù)提供的一種技術(shù)解決方案如下
在固定網(wǎng)絡(luò)中, 一個(gè)常用的防止攻擊的手段就是在終端上安裝防火墻 軟件��,隨著針對(duì)移動(dòng)終端的攻擊越來越普遍�,移動(dòng)終端上使用的防火墻軟 件也不斷出現(xiàn)。但在終端上安裝防火墻軟件只能部分解決上述利用終端的 漏洞產(chǎn)生的危害���;對(duì)其它危害���,該方案無能為力。而且防火墻軟件本身也 會(huì)加快移動(dòng)終端的耗電���。
由于目前固定寬帶接入大都采用包月等計(jì)費(fèi)模式����,只要防火墻軟件能 夠保障資料的安全�����,用戶對(duì)額外占用的帶寬不太在意,并且固定終端對(duì)耗 電也不敏感�����。而對(duì)于移動(dòng)網(wǎng)絡(luò)�����,上述其他危害需要認(rèn)真對(duì)待��。
另外可以預(yù)見��,由于目前P2P業(yè)務(wù)占用了網(wǎng)全各越多的帶寬���,對(duì)固定網(wǎng) 絡(luò)運(yùn)營商以后也非常有可能改為包月和流量計(jì)費(fèi)相結(jié)合的計(jì)費(fèi)模式,這樣 固定網(wǎng)絡(luò)的用戶也受到垃圾攻擊數(shù)據(jù)產(chǎn)生的額外計(jì)費(fèi)影響��。
另外��,現(xiàn)有技術(shù)提供的另一種技術(shù)解決方案如下
通常���,在數(shù)據(jù)網(wǎng)關(guān)和業(yè)務(wù)網(wǎng)絡(luò)(或internet)之間部署防火墻�����,其中 防火墻將終端一側(cè)的網(wǎng)絡(luò)看作內(nèi)部網(wǎng)絡(luò)���,即安全區(qū)域���;將業(yè)務(wù)網(wǎng)絡(luò)一側(cè)看作外部網(wǎng)絡(luò),為非安全區(qū)域�����。來自外部網(wǎng)絡(luò)的數(shù)據(jù)若在防火墻上不符合相 應(yīng)的允許規(guī)則都將被阻塞����。而在防火墻上生威允許規(guī)則需要終端從內(nèi)部網(wǎng) 絡(luò)首先發(fā)送一個(gè)數(shù)據(jù)包,在這個(gè)數(shù)據(jù)包通過防火墻時(shí)根據(jù)該數(shù)據(jù)包的信 息����,通常是IP五元組(源IP地址,目的IP地址�,上層協(xié)議類型、源端口 號(hào)�,目的端口號(hào))及其它一些附加信息,生成這個(gè)允許規(guī)則。
但攻擊者仍然有辦法穿透防火墻對(duì)終端進(jìn)行攻擊�,例如目前有一種被
稱為"計(jì)費(fèi)溢出"(Overbilling)的攻擊手段。
由此可見���,現(xiàn)有的技術(shù)方案仍不能很好地解決分組通信系統(tǒng)的終端有 效防止攻擊的問題��。
發(fā)明內(nèi)容
有鑒于此�,本發(fā)明實(shí)施例提供分組通信系統(tǒng)中防止攻擊的方法及裝置�����。
本發(fā)明實(shí)施例提供一種分組通信系統(tǒng)中防止攻擊的方法��,包括
獲取來自主機(jī)的差錯(cuò)報(bào)文��,所述差錯(cuò)報(bào)文攜帶有所述數(shù)據(jù)包的特征信 息�,所述差錯(cuò)寺艮文是在所述主機(jī)接收到不期望的數(shù)據(jù)包時(shí)發(fā)送的;
根據(jù)所述特征信息生成相應(yīng)的屏蔽規(guī)則�;
利用所述屏蔽規(guī)則過濾后續(xù)的數(shù)據(jù)報(bào)文�。
本發(fā)明實(shí)施例提供一種可防止攻擊的裝置,包括
接收單元�����,用于接收主機(jī)發(fā)送的差錯(cuò)報(bào)文��,所述差錯(cuò)凈艮文攜帶有數(shù)據(jù) 報(bào)文的相關(guān)特征信息;
監(jiān)測單元�,用于監(jiān)測統(tǒng)計(jì)所述接收單元接收到的差錯(cuò)報(bào)文;
屏蔽單元�����,用于生成相應(yīng)的屏蔽規(guī)則�,所述屏蔽規(guī)則用于對(duì)后續(xù)數(shù)據(jù) 4艮文進(jìn)行過濾;
所述差錯(cuò)報(bào)文是在主機(jī)在收到不期望的數(shù)據(jù)報(bào)文時(shí)發(fā)送的����。 本發(fā)明實(shí)施例還提供一種終端設(shè)備,包括 接收單元�����,用于接收數(shù)據(jù)包以及來自網(wǎng)絡(luò)側(cè)的消息��; 特征信息提取單元�,用于提取所接收數(shù)據(jù)包的特征信息; 發(fā)送單元����,在接收到不期望的數(shù)據(jù)包時(shí)發(fā)送的差錯(cuò)報(bào)文,該差錯(cuò)報(bào)文 攜帶有所述數(shù)據(jù)包的特征信息。本發(fā)明實(shí)施例提供的技術(shù)方案中�,通過獲取主機(jī)在接收到不期望的數(shù) 據(jù)包時(shí)發(fā).送的差錯(cuò)報(bào)文,并根據(jù)所述特征信息生成相應(yīng)的屏蔽規(guī)則�����,當(dāng)在 一段時(shí)間內(nèi)接收到的所述差錯(cuò)報(bào)文數(shù)量達(dá)到預(yù)定值或連續(xù)接收到的所述 差錯(cuò)報(bào)文達(dá)到預(yù)定數(shù)量�,利用所述屏蔽規(guī)則過濾后續(xù)的數(shù)據(jù)報(bào)文,這樣在 分組域終端收到外部惡意攻擊時(shí)�����,能夠通知網(wǎng)絡(luò)屏蔽惡意數(shù)據(jù)流���,大大降 低終端的安全風(fēng)險(xiǎn)����,節(jié)約網(wǎng)絡(luò)資源�����,避免用戶為垃圾數(shù)據(jù)付費(fèi)��,并節(jié)省終 端�,特別是移動(dòng)終端的電源消耗。
圖1為本發(fā)明第一實(shí)施例中防止攻擊的方法流程示意圖2所示為ICMP不可達(dá)差錯(cuò)報(bào)文的一般格式�����;
圖3為本發(fā)明第二實(shí)施例中防止攻擊的方法流程示意圖���。
具體實(shí)施例方式
在分組域中����,由于終端接入到internet等公共業(yè)務(wù)網(wǎng)絡(luò)是一種開放式的 業(yè)務(wù)才莫式�����,因此�,分組域的終端可能受到來自intemet的攻擊,攻擊者通過 某種途徑獲得或者猜測終端的IP地址�����,并給這個(gè)IP地址發(fā)送數(shù)據(jù)包��,這些 惡意數(shù)據(jù)包既可能是尋找終端漏洞的端口掃描數(shù)據(jù)���,也可能是沒有其它意 圖����,僅僅是惡作劇地發(fā)送大量垃圾數(shù)據(jù)占用網(wǎng)絡(luò)帶寬進(jìn)而堵塞終端。對(duì)終 端惡意攻擊帶來的危害有
可能利用終端的漏洞產(chǎn)生的危害���,如泄露用戶的帳號(hào)��、密碼����,機(jī)密文 件���,個(gè)人隱私等�;大量的數(shù)據(jù)占用了用戶和網(wǎng)絡(luò)的帶寬��,降低了網(wǎng)絡(luò)的性 能���,干擾用戶正常使用業(yè)務(wù)�����;由于計(jì)費(fèi)一般在數(shù)據(jù)網(wǎng)關(guān)上完成���,因此用戶 還要為這些垃圾甚至惡意攻擊的數(shù)據(jù)流付費(fèi)�;對(duì)于移動(dòng)終端來說�,垃;及數(shù) 據(jù)更加快了電池的消耗��,減少了待機(jī)時(shí)間����。
為此,本發(fā)明實(shí)施例提供一種防止攻擊的方法�,來解決分組通信網(wǎng)絡(luò) 中終端(也可以稱作主機(jī))被惡意數(shù)據(jù)攻擊的問題。通過終端發(fā)送的差錯(cuò) 報(bào)文��,在數(shù)據(jù)網(wǎng)關(guān)或防火墻上生成對(duì)應(yīng)惡意攻擊數(shù)據(jù)流的屏蔽規(guī)則�,從而 保護(hù)終端不再受后續(xù)惡意lt據(jù)流的攻擊。
在典型的分組通信網(wǎng)絡(luò)-互聯(lián)網(wǎng)中�,主機(jī)在接收到不期望的數(shù)據(jù)流后發(fā)送錯(cuò)誤報(bào)文的方式有如下幾種
按照標(biāo)準(zhǔn)TCP/IP協(xié)議的規(guī)定,當(dāng)一個(gè)主機(jī)收到一個(gè)UDP數(shù)據(jù)報(bào)文���,而 主機(jī)并沒有監(jiān)聽該UDP報(bào)文對(duì)應(yīng)的目的端口時(shí)����,主機(jī)會(huì)向發(fā)送方返回一個(gè) 因特網(wǎng)控制報(bào)文協(xié)議(ICMP, Internet Control Message Protocol)端口不可 達(dá)差錯(cuò)報(bào)文(ICMP Port Unreachable )��。該差錯(cuò)報(bào)文中攜帶了引起這個(gè)錯(cuò) 誤的UDP數(shù)據(jù)報(bào)文的IP首部和UDP首部���。
當(dāng)一個(gè)主機(jī)接收到一個(gè)TCP數(shù)據(jù)報(bào)文��,而主機(jī)并沒有監(jiān)聽該TCP報(bào)文 的五元組���,即源IP地址���,目的IP地址,上層協(xié)議類型(TCP)����、源端口號(hào), 目的端口號(hào)所對(duì)應(yīng)的連接時(shí)(對(duì)于主機(jī)收到的是TCP連接消息���,只需判斷 目的IP地址����、上層協(xié)議類型(TCP)和目的端口號(hào))主機(jī)向?qū)Χ税l(fā)送一個(gè) TCP復(fù)位報(bào)文�,該復(fù)位報(bào)文中包含了引起這個(gè)錯(cuò)誤的TCP數(shù)據(jù)報(bào)文的五元 組信息。
終端可以是移動(dòng)終端����,也可以是一個(gè)TCP/IP主機(jī),通常�����,終端上并沒 有監(jiān)聽惡意攻擊數(shù)據(jù)流對(duì)應(yīng)的端口,因此����,在接收到惡意攻擊的數(shù)據(jù)流時(shí)�����, 也會(huì)觸發(fā)發(fā)送差錯(cuò)報(bào)文��,當(dāng)差錯(cuò)報(bào)文經(jīng)過數(shù)據(jù)網(wǎng)關(guān)或防火墻時(shí)���,如果數(shù)據(jù) 網(wǎng)關(guān)和防火墻統(tǒng)計(jì)到在一段時(shí)間內(nèi)針對(duì)某個(gè)外部數(shù)據(jù)流的差錯(cuò)報(bào)文的發(fā) 送過于頻繁�����,則可以判斷當(dāng)前終端可能被惡意攻擊��,相應(yīng)地生成對(duì)惡意攻 擊數(shù)據(jù)流的屏蔽規(guī)則�,阻塞惡意攻擊數(shù)據(jù)流�����。
另外,終端在接收到自己不希望接收的數(shù)據(jù)流時(shí)�,可以顯式地給數(shù)據(jù) 網(wǎng)關(guān),防火墻或者其它第三方邏輯實(shí)體發(fā)送消息�,消息中攜帶自己希望屏 蔽的外部數(shù)據(jù)流的特征信息(如五元組),然后在數(shù)據(jù)網(wǎng)關(guān)或防火墻上生 成對(duì)相應(yīng)惡意攻擊數(shù)據(jù)流的屏蔽規(guī)則�����,阻塞惡意攻擊數(shù)據(jù)流��。
終端上判斷是否希望接收數(shù)據(jù)的標(biāo)準(zhǔn)可以通過其上預(yù)配置的規(guī)則自 動(dòng)差錯(cuò)報(bào)文發(fā)送(如上述ICMP端口不可達(dá)�����,或TCP復(fù)位消息的觸發(fā)條件)��, 也可以通過詢問用戶由用戶進(jìn)行判斷確認(rèn)���。
為使本發(fā)明的原理�����、特性和優(yōu)點(diǎn)更加清楚���,下面結(jié)合具體實(shí)施例進(jìn)行 描述�����。
實(shí)施例1
在本實(shí)施例中���,數(shù)據(jù)網(wǎng)關(guān)通過探測終端發(fā)送的TCP/IP差錯(cuò)報(bào)文,判斷終端當(dāng)前所收到的外部數(shù)據(jù)流為惡意攻擊it據(jù)�����,將其屏蔽�����。
由于本發(fā)明實(shí)施例中阻塞惡意攻擊報(bào)文的功能既可以在數(shù)據(jù)網(wǎng)關(guān)實(shí) 現(xiàn)上�����,也可以在數(shù)據(jù)網(wǎng)關(guān)與外部業(yè)務(wù)網(wǎng)絡(luò)之間的防火墻上實(shí)現(xiàn)�����,甚至數(shù)據(jù) 網(wǎng)關(guān)可以和防火墻集成�����,因此����,為便于描述,下面的描述不限定具體物理 實(shí)體�。
參照?qǐng)D1,本發(fā)明實(shí)施例提供的分組通信系統(tǒng)中防止攻擊的方法步驟
如下
步驟S101,終端接收來自外部的不期望的數(shù)據(jù)包;
外部攻擊源向終端發(fā)送惡意攻擊數(shù)據(jù)�,攻擊源穿透防火墻,通過數(shù)據(jù) 網(wǎng)關(guān)到達(dá)終端�����,由于其它類型的業(yè)務(wù)才艮文一般會(huì)被防火墻屏蔽�,惡意攻擊 數(shù)據(jù)通常可能是UDP報(bào)文�,也可能是TCP報(bào)文;
步驟S102,在接收到不期望的數(shù)據(jù)包時(shí)發(fā)送的差錯(cuò)報(bào)文�,該差錯(cuò)報(bào)文 攜帶有所述凄t據(jù)包的特征信息;
由于終端上沒有監(jiān)聽外部不期望的數(shù)據(jù)對(duì)應(yīng)的端口 ��,終端向外部攻擊 源發(fā)送差錯(cuò)報(bào)文�,若外部不期望的數(shù)據(jù)是UDP報(bào)文,終端發(fā)送ICMP端口 不可達(dá)消息給外部數(shù)據(jù)發(fā)送端���,消息中攜帶了引起錯(cuò)誤的外部數(shù)據(jù)的IP首 部和UDP首部信 息;
互聯(lián)網(wǎng)中�,所有的TCP、 UDP�����、 ICMP及IGMP數(shù)據(jù)都以IP數(shù)據(jù)報(bào)格式 傳輸����,每一份IP數(shù)據(jù)報(bào)都包含源IP地址和目的IP地址、服務(wù)類型(TOS)字段�。
UDP是一個(gè)簡單的面向數(shù)據(jù)報(bào)的運(yùn)輸層協(xié)議,UDP數(shù)據(jù)報(bào)文被封裝 成一份IP數(shù)據(jù)報(bào)文的格式���,IP數(shù)據(jù)報(bào)文包括IP首部��、UDP首部以及UDP數(shù) 據(jù)。IP首部包含源IP地址和目的IP地址�,而UDP首部包括源端口號(hào)、目的 端口號(hào)��。
ICMP報(bào)文是在主機(jī)之間交換的�����,而不用目的端口號(hào),而UDP數(shù)據(jù)報(bào) 則是從一個(gè)特定端口發(fā)送到另 一個(gè)特定端口 ���。
ICMP不可達(dá)差錯(cuò)報(bào)文的一般格式如圖2所示��。ICMP不可達(dá)差錯(cuò)報(bào) 文包括生成該差錯(cuò)報(bào)文的數(shù)據(jù)報(bào)IP首部���,通常還至少包括跟在該IP首部 后面的原IP數(shù)據(jù)報(bào)文中數(shù)據(jù)的前8個(gè)字節(jié)。在此��,跟在IP首部后面的前8個(gè)字節(jié)包含UDP的首部����。
根據(jù)UDP的規(guī)則,如果收到一份UDP數(shù)據(jù)報(bào)^目的端口沒有任何上層 應(yīng)用程序在監(jiān)聽��,那么UDP返回一個(gè)ICMP端口不可達(dá)才艮文��。
若接收到的外部不期望的數(shù)據(jù)是TCP報(bào)文�,終端發(fā)送TCP復(fù)位消息, 該消息中也攜帶了引起錯(cuò)誤的外部數(shù)據(jù)的特征信息一一五元組信息���,即源 IP地址����,目的IP地址,上層協(xié)議類型(TCP)�、源端口號(hào),目的端口號(hào)�����。
步驟S 103,根據(jù)所述差錯(cuò)報(bào)文攜帶的所述數(shù)據(jù)包的特征信息生成相應(yīng) 的屏蔽規(guī)則��;
生成相應(yīng)的屏蔽規(guī)則具體包括在終端接收到終端的差錯(cuò)報(bào)告后�,將 相應(yīng)的數(shù)據(jù)流的特征信息與數(shù)據(jù)網(wǎng)關(guān)上已經(jīng)生成的所有允許^L則進(jìn)行比 較,如果某條允許規(guī)則與該惡意攻擊數(shù)據(jù)流的特征信息相符��,則將該允許 規(guī)則置為無效�����。在這條允許規(guī)則被置為無效后����,后續(xù)惡意攻擊數(shù)據(jù)流就無 法通過數(shù)據(jù)網(wǎng)關(guān)的過濾,不能再到達(dá)終端����。
另夕卜���,在判定數(shù)據(jù)流為惡意攻擊數(shù)據(jù)流時(shí)���,在數(shù)據(jù)網(wǎng)關(guān)根據(jù)數(shù)據(jù)流的特 征信息設(shè)置屏蔽標(biāo)志��,后續(xù)外部攻擊源繼續(xù)向終端發(fā)送不期望的數(shù)據(jù)包���, 由于其帶有相同的特征信息,匹配所述屏蔽規(guī)則���,然后數(shù)據(jù)網(wǎng)關(guān)根據(jù)屏蔽 標(biāo)志的指示對(duì)數(shù)據(jù)包進(jìn)行相應(yīng)的屏蔽操作���。
終端發(fā)送的差錯(cuò)報(bào)文到達(dá)數(shù)據(jù)網(wǎng)關(guān),數(shù)據(jù)網(wǎng)關(guān)解析報(bào)文判斷是終端差 錯(cuò)報(bào)文����,從差錯(cuò)報(bào)文中提取觸發(fā)該錯(cuò)誤報(bào)文的特征信息(如五元組),如 果數(shù)據(jù)網(wǎng)關(guān)是首次收到終端針對(duì)該外部數(shù)據(jù)包的差錯(cuò)報(bào)文����,則根據(jù)該特征 信息生成一個(gè)數(shù)據(jù)包的過濾規(guī)則,并開始記錄針對(duì)該數(shù)據(jù)包收到終端的差 錯(cuò)報(bào)文�����。
數(shù)據(jù)網(wǎng)關(guān)在接收到終端差錯(cuò)報(bào)文后,根據(jù)策略可以選擇將其繼續(xù)轉(zhuǎn)發(fā) 至外部it據(jù)源����,也可以將其丟棄。
由于惡意攻擊數(shù)據(jù)包一般會(huì)短時(shí)間內(nèi)發(fā)送大量數(shù)據(jù)包����,從而觸發(fā)終端 發(fā)送多個(gè)差錯(cuò)報(bào)文。如果在一段時(shí)間內(nèi)數(shù)據(jù)網(wǎng)關(guān)接收到終端對(duì)某個(gè)數(shù)據(jù)包 的差錯(cuò)報(bào)文過于頻繁�����,超過預(yù)先配置的門限���,則可以判斷終端可能正受到 惡意攻擊����,則對(duì)該惡意攻擊數(shù)據(jù)流進(jìn)行屏蔽操作�;
或者,從終端連續(xù)收到的差錯(cuò)報(bào)文數(shù)量超過預(yù)定的數(shù)量�,則可以判斷終端可能正受到惡意攻擊,則對(duì)該惡意攻擊數(shù)據(jù)流進(jìn)行屏蔽操作���。
在惡意攻走數(shù)據(jù)流進(jìn)行屏蔽操作可以采取不同的形式�����,例如�,當(dāng)判定 該數(shù)據(jù)流為惡意攻擊數(shù)據(jù)流時(shí)���,lt據(jù)網(wǎng)關(guān)將記錄的該lt據(jù)流的特征信息
(如五元組)與數(shù)據(jù)網(wǎng)關(guān)上已經(jīng)生成的所有允許規(guī)則進(jìn)行比較���,如果某條 允許規(guī)則與該惡意攻擊數(shù)據(jù)流的特征信息相符(例如,"計(jì)費(fèi)溢出"攻擊 例子中惡意終端通過連接惡意服務(wù)器發(fā)起業(yè)務(wù)在數(shù)據(jù)網(wǎng)關(guān)上生成的允許 規(guī)則)���,則將該允許規(guī)則置為無效�����。由于為了能夠通過數(shù)據(jù)網(wǎng)關(guān)的過濾��, 惡意攻擊服務(wù)器必須使用與該允許規(guī)則一致的特征信息(如五元組)發(fā)送 惡意攻擊數(shù)據(jù)流��,在這條允許規(guī)則被置為無效后��,后續(xù)惡意攻擊數(shù)據(jù)流就 無法通過數(shù)據(jù)網(wǎng)關(guān)的過濾���,不能再到達(dá)終端���。
當(dāng)然,另外一種屏蔽操作實(shí)施方法是�,數(shù)據(jù)網(wǎng)關(guān)在判定數(shù)據(jù)流為惡意 攻擊數(shù)據(jù)流時(shí),在數(shù)據(jù)網(wǎng)關(guān)根據(jù)數(shù)據(jù)流的特征信息設(shè)置屏蔽標(biāo)志�,后續(xù)外 部攻擊源繼續(xù)向終端發(fā)送不期望的數(shù)據(jù)包,由于其帶有相同的特征信息����, 匹配所述屏蔽MJ'J ,然后數(shù)據(jù)網(wǎng)關(guān)才艮據(jù)屏蔽標(biāo)志的指示對(duì)數(shù)據(jù)包進(jìn)行相應(yīng) 的屏蔽操作��。
需要說明的是��,上述屏蔽惡意數(shù)據(jù)流的操作方式是以數(shù)據(jù)網(wǎng)關(guān)和防火 墻合設(shè)的情況來說明的�����。
如上所述����,數(shù)據(jù)網(wǎng)關(guān)和防火墻可以分離設(shè)置,在分離的情況下���,可以 由防火墻獨(dú)立完成上述工作���,即在防火墻對(duì)上報(bào)的差錯(cuò)4艮文進(jìn)行識(shí)別和統(tǒng) 計(jì)���,并在判定數(shù)據(jù)流為惡意攻擊數(shù)據(jù)流后�,在自身上對(duì)該惡意攻擊數(shù)據(jù)流
進(jìn)行屏蔽;也可以仍然在數(shù)據(jù)網(wǎng)關(guān)上對(duì)上報(bào)的差錯(cuò)才艮文進(jìn)行識(shí)別和統(tǒng)計(jì)��, 并在判定數(shù)據(jù)流為惡意攻擊數(shù)據(jù)流后����,向防火墻發(fā)送消息,消息中攜帶需 要屏蔽的數(shù)據(jù)流特征信息(如五元組)�����,防火墻根據(jù)該特征信息對(duì)數(shù)據(jù)流 進(jìn)行屏蔽���。
步驟S104�����,利用所述屏蔽規(guī)則過濾后續(xù)的數(shù)據(jù)報(bào)文����。 外部攻擊源繼續(xù)向終端發(fā)送不期望的數(shù)據(jù)包,不期望的lt據(jù)包到達(dá)數(shù) 據(jù)網(wǎng)關(guān)后被屏蔽�����,屏蔽的手段可以是丟棄����,限速等多種手段。
實(shí)施例2
在本實(shí)施例中�����,在分組通信系統(tǒng)中設(shè)置一個(gè)邏輯網(wǎng)絡(luò)實(shí)體一安全策略管理實(shí)體����,終端在接收到不期望的外部數(shù)據(jù)時(shí),向安全策略管理實(shí)體發(fā)送 一條消息�,請(qǐng)求屏蔽該外部數(shù)據(jù)流。
參照?qǐng)D3,本實(shí)施例提供的分組通信系統(tǒng)中防止攻擊的方法步驟如下 步驟S301,終端建立到數(shù)據(jù)網(wǎng)關(guān)的鏈路���,獲取安全策略管理實(shí)體的上 報(bào)地址�����。
安全策略管理實(shí)體的上報(bào)地址可以配置在終端中�;或在數(shù)據(jù)網(wǎng)關(guān)上配 置安全策略管理實(shí)體的上報(bào)地址,終端連接到網(wǎng)絡(luò)時(shí)�,與所述網(wǎng)關(guān)交互獲 取安全策略管理實(shí)體的上報(bào)地址;或者網(wǎng)絡(luò)中其它網(wǎng)元獲取到該上報(bào)地址 后發(fā)送給終端����,如,在移動(dòng)管理實(shí)體(MME, Mobile Management Entity) / 服務(wù)GPRS支持節(jié)點(diǎn)(SGSN, Serving GPRS Supporting Node)上配置該上 報(bào)地址或從HSS簽約數(shù)據(jù)中獲取該上報(bào)地址后傳給終端���。
數(shù)據(jù)網(wǎng)關(guān)與安全策略管理實(shí)體交互協(xié)商獲取相關(guān)策略信息;
步驟S302,外部攻擊源向終端發(fā)送惡意攻擊數(shù)據(jù)����,攻擊源穿透防火墻, 通過數(shù)據(jù)網(wǎng)關(guān)到達(dá)終端���,惡意攻擊數(shù)據(jù)可能是UDP報(bào)文�,也可能是TCP報(bào) 文或其它類型的報(bào)文���;
步驟S303,終端判斷所接收到的數(shù)據(jù)包不是期望接收的報(bào)文�����,向安全 策略管理實(shí)體上報(bào)差錯(cuò)報(bào)告����,報(bào)告中攜帶觸發(fā)差錯(cuò)報(bào)告的外部數(shù)據(jù)的特征 信息,如IP^艮文五元組����。
終端判斷數(shù)據(jù)是否為期望接收的報(bào)文可以通過其上預(yù)配置的規(guī)則自 動(dòng)發(fā)送差錯(cuò)報(bào)文(如上述ICMP端口不可達(dá),或TCP復(fù)位消息的觸發(fā)條件)�, 也可以通過在終端上顯示一個(gè)界面詢問用戶由用戶進(jìn)行判斷確認(rèn)。終端向 安全策略管理實(shí)體上報(bào)差錯(cuò)報(bào)告的方式可以是通過一條信令消息��,短消息 或其它可行的方式����;
步驟S304,安全策略管理實(shí)體接收到終端的差錯(cuò)報(bào)告后,生成屏蔽規(guī) 則�����,并將該屏蔽規(guī)則下發(fā)給數(shù)據(jù)網(wǎng)關(guān)�;
安全策略管理實(shí)體接收到終端的差錯(cuò)報(bào)告后,將相應(yīng)的數(shù)據(jù)流的特征 信息與數(shù)據(jù)網(wǎng)關(guān)上已經(jīng)生成的所有允許規(guī)則進(jìn)行比較�����,如果某條允許規(guī)則 與該惡意攻擊數(shù)據(jù)流的特征信息相符,則將該允許規(guī)則置為無效��。在這條 允許規(guī)則被置為無效后����,后續(xù)惡意攻擊數(shù)據(jù)流就無法通過數(shù)據(jù)網(wǎng)關(guān)的過濾,不能再到達(dá)終端�����。
另外��,在判定數(shù)據(jù)流為惡意攻擊數(shù)據(jù)流時(shí)��,在數(shù)據(jù)網(wǎng)關(guān)根據(jù)數(shù)據(jù)流的特 征信息設(shè)置屏蔽標(biāo)志�,后續(xù)外部攻擊源繼續(xù)向終端發(fā)送不期望的數(shù)據(jù)包�����, 由于其帶有相同的特征信息��,匹配所述屏蔽規(guī)則���,然后數(shù)據(jù)網(wǎng)關(guān)根據(jù)屏蔽 標(biāo)志的指示對(duì)數(shù)據(jù)包進(jìn)行相應(yīng)的屏蔽操作��。
步驟S305,數(shù)據(jù)網(wǎng)關(guān)上記錄屏蔽規(guī)則���;
步驟S306,外部攻擊源繼續(xù)向終端發(fā)送數(shù)據(jù)包��,數(shù)據(jù)包到達(dá)數(shù)據(jù)網(wǎng)關(guān) 后被屏蔽����,屏蔽的手段可以是丟棄����,限速等多種手段。
本實(shí)施例中的安全策略管理實(shí)體是一個(gè)邏輯實(shí)體����,具體部署時(shí),可以 和數(shù)據(jù)網(wǎng)關(guān)或防火墻合設(shè)�����,也可以單獨(dú)部署�����,通過接口與數(shù)據(jù)網(wǎng)關(guān)或防火 墻交互����。
本發(fā)明實(shí)施例還提供一種可防止攻擊的裝置�,包括 接收單元�,用于接收終端發(fā)送的差錯(cuò)^R文; 監(jiān)測單元�����,用于監(jiān)測統(tǒng)計(jì)所述接收單元接收到的差錯(cuò)報(bào)文�; 屏蔽單元,用于生成相應(yīng)的屏蔽規(guī)則�����,并根據(jù)所述屏蔽規(guī)則對(duì)數(shù)據(jù)凈艮 文進(jìn)行過濾��;
所述接收單元接收主機(jī)在不期望的數(shù)據(jù)報(bào)文時(shí)發(fā)送的攜帶有所述數(shù) 據(jù)報(bào)文的相關(guān)特征信息的差錯(cuò)報(bào)文�����;
根據(jù)所述屏蔽規(guī)則對(duì)后續(xù)的數(shù)據(jù)報(bào)文進(jìn)行過濾��。
在終端接收到不期望的數(shù)據(jù)包時(shí)發(fā)送的差錯(cuò)寺艮文��,該差4昔凈艮文攜帶有 所述數(shù)據(jù)包的特征信息����;
由于終端上沒有監(jiān)聽外部不期望的數(shù)據(jù)對(duì)應(yīng)的端口 ,終端向外部攻擊 源發(fā)送差錯(cuò)報(bào)文����,若外部不期望的數(shù)據(jù)是UDP報(bào)文,終端反饋ICMP端口 不可達(dá)消息給外部數(shù)據(jù)發(fā)送端���,消息中攜帶了引起錯(cuò)誤的外部數(shù)據(jù)的IP首 部和UDP首部信息�����;
該可防止攻擊的裝置根據(jù)所述差錯(cuò)報(bào)文攜帶的所述數(shù)據(jù)包的特征信 息生成相應(yīng)的屏蔽MJ'J;
生成相應(yīng)的屏蔽規(guī)則具體包括在終端接收到終端的差錯(cuò)報(bào)告后�,將 相應(yīng)的數(shù)據(jù)流的特征信息與數(shù)據(jù)網(wǎng)關(guān)上已經(jīng)生成的所有允許規(guī)則進(jìn)行比較����,如果某條允許規(guī)則與該惡意攻擊數(shù)據(jù)流的特征信息相符,則將該允許 規(guī)則置為無效��。在這條允許規(guī)則被置為無效后�����,后續(xù)S意攻擊數(shù)據(jù)流就無 法通過數(shù)據(jù)網(wǎng)關(guān)的過濾���,不能再到達(dá)終端�。
另外,在判定數(shù)據(jù)流為惡意攻擊數(shù)據(jù)流時(shí)����,在數(shù)據(jù)網(wǎng)關(guān)根據(jù)數(shù)據(jù)流的 特征信息設(shè)置屏蔽標(biāo)志,后續(xù)外部攻擊源繼續(xù)向終端發(fā)送不期望的數(shù)據(jù) 包�����,由于其帶有相同的特征信息���,匹配所述屏蔽規(guī)則�����,然后凄t據(jù)網(wǎng)關(guān)才艮據(jù) 屏蔽標(biāo)志的指示對(duì)數(shù)據(jù)包進(jìn)行相應(yīng)的屏蔽操作��。
終端發(fā)送的差4普寺艮文到達(dá)該可防止攻擊的裝置��,該可防止攻擊的裝置 解析報(bào)文并從差錯(cuò)報(bào)文中提取觸發(fā)該錯(cuò)誤報(bào)文的特征信息(如五元組), 如果數(shù)據(jù)網(wǎng)關(guān)是首次收到終端針對(duì)該外部數(shù)據(jù)包的差錯(cuò)報(bào)文�����,則根據(jù)該特 征信息生成一個(gè)數(shù)據(jù)包的過濾規(guī)則,并開始記錄針對(duì)該數(shù)據(jù)包收到終端的 差錯(cuò)報(bào)文��。
該可防止攻擊的裝置在接收到終端差錯(cuò)報(bào)文后��,根據(jù)策略可以選擇將 其繼續(xù)轉(zhuǎn)發(fā)至外部數(shù)據(jù)源����,也可以將其丟棄。
由于惡意攻擊數(shù)據(jù)包一般會(huì)短時(shí)間內(nèi)發(fā)送大量數(shù)據(jù)包����,從而觸發(fā)終端 發(fā)送多個(gè)差錯(cuò)報(bào)文。如果在一段時(shí)間內(nèi)數(shù)據(jù)網(wǎng)關(guān)接收到終端對(duì)某個(gè)數(shù)據(jù)包 的差錯(cuò)報(bào)文過于頻繁���,超過預(yù)先配置的門限����,則可以判斷終端可能正受到
惡意攻擊��,則對(duì)該惡意攻擊數(shù)據(jù)流進(jìn)行屏蔽操作�����;
或者,從終端連續(xù)收到的差錯(cuò)報(bào)文數(shù)量超過預(yù)定的數(shù)量�,則可以判斷 終端可能正受到惡意攻擊,則對(duì)該惡意攻擊數(shù)據(jù)流進(jìn)行屏蔽操作����。
若所述不期望的數(shù)據(jù)報(bào)文為UDP報(bào)文,所述差錯(cuò)凈艮文為ICMP端口 不可達(dá)差錯(cuò)報(bào)文�;
攜帶有所述數(shù)據(jù)報(bào)文的特征信息包括所述UDP數(shù)據(jù)報(bào)文的IP首部信 息和UDP首部信息。
若所述不期望的數(shù)據(jù)報(bào)文為TCP報(bào)文����,所述差錯(cuò)報(bào)文為TCP復(fù)位報(bào)
文;
所述差錯(cuò)報(bào)文還可以是顯式上報(bào)信令報(bào)文�。
本發(fā)明實(shí)施例還提供一種終端設(shè)備,終端設(shè)備可以是有線網(wǎng)絡(luò)終端也 可以是無線網(wǎng)絡(luò)終端����,終端設(shè)備在接收到不期望的外部數(shù)據(jù)時(shí),向安全策略管理實(shí)體發(fā)送一條消息��,請(qǐng)求屏蔽該外部數(shù)據(jù)流��,該消息攜帶所接收的
外部數(shù)據(jù)的特征信4��,該終端設(shè)備包括
接收單元�����,用于接收數(shù)據(jù)包以及來自網(wǎng)絡(luò)側(cè)的消息�;
特征信息提取單元,用于提取所接收數(shù)據(jù)包的特征信息���;
發(fā)送單元�����,在接收到不期望的數(shù)據(jù)包時(shí)發(fā)送的差錯(cuò)報(bào)文���,該差錯(cuò)報(bào)文
攜帶有所述數(shù)據(jù)包的特征信息。
在終端設(shè)備中配置安全策略管理實(shí)體的上報(bào)地址����;或 所述安全策略管理實(shí)體的上報(bào)地址配置在數(shù)據(jù)網(wǎng)關(guān)上,終端連接到網(wǎng)
絡(luò)時(shí)���,與所述網(wǎng)關(guān)交互獲取所述安全策略管理實(shí)體的上^R地址�����。
網(wǎng)絡(luò)中網(wǎng)元配置所述安全策略管理實(shí)體的上報(bào)地址����,或網(wǎng)絡(luò)中網(wǎng)元從 HSS簽約數(shù)據(jù)中獲取該上報(bào)地址;
終端設(shè)備保存所接收的安全策略管理實(shí)體的地址�����。 終端在接收到不期望的外部數(shù)據(jù)時(shí)�����,獲取安全策略管理實(shí)體的上報(bào)地 址��,向安全策略管理實(shí)體發(fā)送一條消息�,
終端判斷所接收到的數(shù)據(jù)包不是期望接收的報(bào)文,向安全策略管理實(shí) 體上報(bào)差錯(cuò)報(bào)告��,請(qǐng)求屏蔽該外部數(shù)據(jù)流��,該報(bào)告中攜帶觸發(fā)差錯(cuò)報(bào)告的 外部數(shù)據(jù)的特征信息���,如IP凈艮文五元組�����。
終端判斷數(shù)據(jù)是否為期望接收的報(bào)文可以通過其上預(yù)配置的規(guī)則自 動(dòng)發(fā)送差錯(cuò)報(bào)文(如上述ICMP端口不可達(dá)���,或TCP復(fù)位消息的觸發(fā)條件)�, 也可以通過在終端上顯示一個(gè)界面詢問用戶由用戶進(jìn)行判斷確認(rèn)�����。終端向 安全策略管理實(shí)體上報(bào)差錯(cuò)報(bào)告的方式可以是通過一條信令消息��,短消息 或其它可行的方式��。
本發(fā)明實(shí)施例還提供的一種安全策略控制實(shí)體上報(bào)地址可以配置在 終端中�����;或在數(shù)據(jù)網(wǎng)關(guān)上配置安全策略管理實(shí)體的上才艮地址�����,終端連接到 網(wǎng)絡(luò)時(shí)�,與所述網(wǎng)關(guān)交互獲取安全策略管理實(shí)體的上報(bào)地址��;或者網(wǎng)絡(luò)中 其它網(wǎng)元獲取到該上報(bào)地址后發(fā)送給終端�,如,在移動(dòng)管理實(shí)體(MME, Mobile Management Entity) /服務(wù)GPRS支持節(jié)點(diǎn)(SGSN, Serving GPRS Supporting Node )上配置該上才艮地址或從HSS簽約數(shù)據(jù)中獲取該上報(bào)地址后傳給終端�。本發(fā)明實(shí)施例提供的安全策略控制實(shí)體包括
接收車元���,接收在接收到不期望的數(shù)據(jù)包時(shí)發(fā)送的差錯(cuò)報(bào)告消息,該
差錯(cuò)報(bào)告消息攜帶有所述數(shù)據(jù)包的特征信息����;所述差錯(cuò)報(bào)告消息可以是信
令消息、短消息�����。
屏蔽規(guī)則生成單元����,根據(jù)所述差錯(cuò)報(bào)告消息攜帶的所述數(shù)據(jù)包的特征
信息生成相應(yīng)的屏蔽規(guī)則,并根據(jù)所述屏蔽規(guī)則對(duì)數(shù)據(jù)報(bào)文進(jìn)行過濾�;
接收到終端的差錯(cuò)報(bào)告后,屏蔽規(guī)則生成單元將相應(yīng)的數(shù)據(jù)流的特征 信息與數(shù)據(jù)網(wǎng)關(guān)上已經(jīng)生成的所有允許規(guī)則進(jìn)行比較�,如果某條允許規(guī)則 與該惡意攻擊數(shù)據(jù)流的特征信息相符,則將該允許規(guī)則置為無效���。在這條 允許規(guī)則被置為無效后����,后續(xù)惡意攻擊數(shù)據(jù)流就無法通過數(shù)據(jù)網(wǎng)關(guān)的過 濾����,不能再到達(dá)終端��。
另外����,在判定數(shù)據(jù)流為惡意攻擊數(shù)據(jù)流時(shí)����,屏蔽MJI'J生成單元根據(jù)凄t 據(jù)流的特征信息設(shè)置屏蔽標(biāo)志���,后續(xù)外部攻擊源繼續(xù)向終端發(fā)送不期望的 數(shù)據(jù)包�����,由于其帶有相同的特征信息��,匹配所述屏蔽規(guī)則����,然后數(shù)據(jù)網(wǎng)關(guān) 根據(jù)屏蔽標(biāo)志的指示對(duì)數(shù)據(jù)包進(jìn)行相應(yīng)的屏蔽操作��。 發(fā)送單元��,將所述屏蔽規(guī)則發(fā)送給數(shù)據(jù)網(wǎng)關(guān)。
本實(shí)施例中的安全策略管理實(shí)體是一個(gè)邏輯實(shí)體�,具體部署時(shí),可以 和數(shù)據(jù)網(wǎng)關(guān)或防火墻合設(shè)����,也可以單獨(dú)部署,通過接口與數(shù)據(jù)網(wǎng)關(guān)或防火 墻交互�����。
所述差錯(cuò)報(bào)告消息可以是信令消息����、短消息。本領(lǐng)域技術(shù)人員可以理 解����,上述實(shí)施例中的全部或部分^^莫塊或各步驟是可以通過程序來指令相關(guān) 硬件來實(shí)現(xiàn),所述程序可存儲(chǔ)于計(jì)算機(jī)可讀取存儲(chǔ)介質(zhì)中���,所述存儲(chǔ)介 質(zhì)�,如ROM/RAM�����、磁盤、光碟等�����?���;蛘邔⑺鼈兎謩e制作成各個(gè)集成電路 模塊,或者將它們中的多個(gè)模塊或步驟制作成單個(gè)集成電路模塊來實(shí)現(xiàn)�。 這樣,本發(fā)明不限制于任何特定的硬件和軟件結(jié)合�。
上述實(shí)施例是用于說明和解釋本發(fā)明的原理的?����?梢岳斫?�,本發(fā)明的具體實(shí)施方式
不限于此���。對(duì)于本領(lǐng)域技術(shù)人員而言,在不脫離本發(fā)明的實(shí) 質(zhì)和范圍的前提下進(jìn)行的各種變更和修改均涵蓋在本發(fā)明的保護(hù)范圍之 內(nèi)���。
權(quán)利要求
1���、一種分組通信系統(tǒng)中防止攻擊的方法����,其特征在于�,包括獲取來自主機(jī)的差錯(cuò)報(bào)文,所述差錯(cuò)報(bào)文攜帶有所述數(shù)據(jù)包的特征信息�����,所述差錯(cuò)報(bào)文是在所述主機(jī)接收到不期望的數(shù)據(jù)包時(shí)發(fā)送的����;根據(jù)所述特征信息生成相應(yīng)的屏蔽規(guī)則;利用所述屏蔽規(guī)則過濾后續(xù)的數(shù)據(jù)報(bào)文�����。
2�����、 如權(quán)利要求1所述的方法��,其特征在于,所述不期望的數(shù)據(jù)包為UDP 報(bào)文�����,所述差錯(cuò)報(bào)文為ICMP端口不可達(dá)差錯(cuò)報(bào)文����;所述數(shù)據(jù)報(bào)文的特征信息包括所述UDP數(shù)據(jù)才艮文的IP首部信息和UDP 首部信息。
3���、 如權(quán)利要求l所述的方法�����,其特征在于���, 所述不期望的數(shù)據(jù)包為TCP報(bào)文,所述差錯(cuò)報(bào)文為TCP復(fù)位報(bào)文���; 所述數(shù)據(jù)報(bào)文的特征信息包括該TCP數(shù)據(jù)報(bào)文的五元組信息。
4�、 如權(quán)利要求l所述的方法,其特征在于�, 所述差錯(cuò)報(bào)文為顯式上報(bào)信令報(bào)文。
5、 如權(quán)利要求l所述的方法����,其特征在于,所述分組通信系統(tǒng)中設(shè)置有 安全策略管理實(shí)體�����,所述安全策略管理實(shí)體的上報(bào)地址預(yù)先配置在所述主機(jī) 上�,所述差錯(cuò)報(bào)文是通過下述步驟發(fā)送的根據(jù)所述上報(bào)地址將所述差錯(cuò)報(bào)文發(fā)送給安全策略管理實(shí)體。
6��、 如權(quán)利要求l所述的方法���,其特征在于����,所述分組通信系統(tǒng)中設(shè)置 有安全策略管理實(shí)體����,所述安全策略管理實(shí)體的上報(bào)地址配置在數(shù)據(jù)網(wǎng)關(guān) 上,所述差錯(cuò)報(bào)文是通過下述步驟發(fā)送的所述主機(jī)與所述數(shù)據(jù)網(wǎng)關(guān)交互獲取所述安全策略管理實(shí)體的上報(bào)地址�����, 根據(jù)所述上報(bào)地址將所述差錯(cuò)報(bào)文發(fā)送給安全策略管理實(shí)體。
7��、 一種可防止攻擊的裝置���,其特征在于��,包括接收單元�����,用于接收主機(jī)發(fā)送的差錯(cuò)報(bào)文�,所述差錯(cuò)報(bào)文攜帶有數(shù)據(jù)報(bào)文的相關(guān)特征信息�;監(jiān)測單元,用于監(jiān)測統(tǒng)計(jì)所述接收單元接收到的差錯(cuò)報(bào)文�����;屏蔽單元�,用于生成相應(yīng)的屏蔽規(guī)則,所述屏蔽規(guī)則用于對(duì)后續(xù)數(shù)據(jù)報(bào)文進(jìn)行過濾����;所述差錯(cuò)報(bào)文是在主機(jī)在收到不期望的數(shù)據(jù)報(bào)文時(shí)發(fā)送的��。
8、 如權(quán)利要求7所述的裝置�,其特征在于,還包括 處理單元����,根據(jù)所述屏蔽規(guī)則對(duì)后續(xù)的數(shù)據(jù)報(bào)文進(jìn)行過濾。
9����、 如權(quán)利要求7所述的裝置,其特征在于����,還包括發(fā)送單元,將所述屏蔽規(guī)則發(fā)送給數(shù)據(jù)網(wǎng)關(guān)����,所述數(shù)據(jù)網(wǎng)關(guān)根據(jù)所述屏 蔽規(guī)則對(duì)后續(xù)的數(shù)據(jù)報(bào)文進(jìn)行過濾。
10�����、 如權(quán)利要求7所述的裝置���,其特征在于��,所述不期望的數(shù)據(jù)報(bào)文為 UDP報(bào)文�,所述差錯(cuò)報(bào)文為ICMP端口不可達(dá)差錯(cuò)報(bào)文;攜帶有所述數(shù)據(jù)報(bào)文的特征信息包括所述UDP數(shù)據(jù)報(bào)文的IP首部信息 和UDP首部信息��。
11����、 如權(quán)利要求7所述的裝置,其特征在于��,所述不期望的數(shù)據(jù)報(bào)文為TCP報(bào)文�����,所述差錯(cuò)報(bào)文為TCP復(fù)位報(bào)文�; 所述數(shù)據(jù)報(bào)文的特征信息包括該TCP數(shù)據(jù)報(bào)文的五元組信息。
12����、 如權(quán)利要求7所述的裝置,其特征在于���, 所述差錯(cuò)報(bào)文為顯式上報(bào)信令報(bào)文����。
13、 一種終端設(shè)備�,其特征在于���,包括 接收單元����,用于接收數(shù)據(jù)包以及來自網(wǎng)絡(luò)側(cè)的消息����; 特征信息提取單元,用于提取所接收數(shù)據(jù)包的特征信息����; 發(fā)送單元,在接收到不期望的數(shù)據(jù)包時(shí)發(fā)送的差錯(cuò)報(bào)文�,該差錯(cuò)報(bào)文攜帶有所述數(shù)據(jù)包的特征信息。
14����、 如權(quán)利要求13所述的終端設(shè)備,其特征在于��,還包括 設(shè)置單元���,用于設(shè)置安全策略管理實(shí)體的上報(bào)地址���; 所述發(fā)送單元在接收單元接收到不期望的數(shù)據(jù)包時(shí)��,根據(jù)所述上報(bào)地址向安全策略管理實(shí)體上報(bào)差錯(cuò)報(bào)告���。
15、 如權(quán)利要求13所述的終端設(shè)備�����,其特征在于��,還包括 存儲(chǔ)單元�����,用于保存所述接收單元接收網(wǎng)絡(luò)側(cè)發(fā)送來的安全策略管理實(shí)體的地址���;所述發(fā)送單元在接收單元接收到不期望的數(shù)據(jù)包時(shí)���,根據(jù)所述上報(bào)地址 向安全策略管理實(shí)體上報(bào)差錯(cuò)報(bào)告。
全文摘要
本發(fā)明公開了一種分組通信系統(tǒng)中防止攻擊的方法,包括獲取主機(jī)在接收到不期望的數(shù)據(jù)包時(shí)發(fā)送的差錯(cuò)報(bào)文���,該差錯(cuò)報(bào)文攜帶有所述數(shù)據(jù)包的特征信息�;根據(jù)所述特征信息生成相應(yīng)的屏蔽規(guī)則�����;利用所述屏蔽規(guī)則過濾后續(xù)的數(shù)據(jù)報(bào)文�。另外本發(fā)明還提供了相應(yīng)的裝置���。根據(jù)本發(fā)明在分組域終端收到外部惡意攻擊時(shí)���,能夠通知網(wǎng)絡(luò)屏蔽惡意數(shù)據(jù)流,大大降低終端的安全風(fēng)險(xiǎn)��,節(jié)約網(wǎng)絡(luò)資源���,避免用戶為垃圾數(shù)據(jù)付費(fèi)��,并節(jié)省終端��,特別是移動(dòng)終端的電源消耗�����。
文檔編號(hào)H04L29/06GK101494639SQ20081000702
公開日2009年7月29日 申請(qǐng)日期2008年1月25日 優(yōu)先權(quán)日2008年1月25日
發(fā)明者宇 銀 申請(qǐng)人:華為技術(shù)有限公司