一種用于無源光網(wǎng)絡(luò)系統(tǒng)的智能防攻擊方法
【專利摘要】本發(fā)明公開一種用于無源光網(wǎng)絡(luò)系統(tǒng)的智能防攻擊方法�����,該方法包含以下步驟:1���、配置當(dāng)檢測攻擊存在時���,對攻擊源處理的動作;2���、定時探測攻擊是否發(fā)生�����,以及攻擊行為所處的級別�����;若是則跳轉(zhuǎn)到步驟3�,若否則繼續(xù)探測;3����、對攻擊源的光網(wǎng)絡(luò)單元進行處理,完成后繼續(xù)探測�����。本發(fā)明攻擊發(fā)生時候?qū)粼吹牟僮骱凸粝r候業(yè)務(wù)的恢復(fù)���,全自動完成�����,不需要人工干擾�,節(jié)省人力資源��,節(jié)約成本����,實現(xiàn)智能化操作;可以同時應(yīng)用于EPONOLT設(shè)備和GPONOLT設(shè)備�;檢測到攻擊發(fā)生時候,直接對攻擊源進行處理���,目前還沒有防攻擊����,一般防攻擊都是被動防御�,對自己本身進行限制,防止崩潰��,影響自身的正常業(yè)務(wù)��。
【專利說明】—種用于無源光網(wǎng)絡(luò)系統(tǒng)的智能防攻擊方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及一種系統(tǒng)防攻擊方法�,具體涉及一種用于無源光網(wǎng)絡(luò)系統(tǒng)的智能防攻擊方法。
【背景技術(shù)】
[0002]當(dāng)前無源光纖網(wǎng)絡(luò)(Passive Optical Network, PON)技術(shù)�,已經(jīng)作為主流的接入技術(shù)得到了廣泛的應(yīng)用。不管是寬帶無源光網(wǎng)絡(luò)(GPON����,Gigabit-Capable PON)或者以太無源光網(wǎng)絡(luò)(ΕΡ0Ν),都實現(xiàn)了光前入戶�����,大大提高了用戶帶寬使用水平,但是通訊設(shè)備處在互聯(lián)網(wǎng)中����,很容易受到各種各樣的攻擊。如果遭受攻擊導(dǎo)致死機��,會導(dǎo)致大量用戶業(yè)務(wù)受到影響�。目前GPON標(biāo)準(zhǔn)對光線路終端(OLT)設(shè)備的安全性也有一定的要求。標(biāo)準(zhǔn)要求設(shè)備都應(yīng)該具有一定的安全防攻擊能力��。
[0003]但是當(dāng)前實現(xiàn)一般是當(dāng)對OLT自身的報文處理進行限制��。當(dāng)用戶發(fā)現(xiàn)攻擊產(chǎn)生�����,對自身限速����,限制自己的上送CPU的報文流量,來防止OLT收到攻擊報文太多�����,導(dǎo)致CPU繁忙,系統(tǒng)宕機����。
[0004]該現(xiàn)有技術(shù)有兩點不足:
一是需要人為發(fā)現(xiàn)攻擊,然后手動配置限速�����,需要人為檢測攻擊�����,并手動配置限速���,并且等攻擊消失,還要手動恢復(fù)��。增加了用戶操作復(fù)雜度�。
[0005]二是在OLT進行抑制時候,連接ONU的用戶可能還在持續(xù)攻擊��,比較被動���。不能達到直接限制攻擊源的效果��。并且使OLT正常業(yè)務(wù)受到影響����。
【發(fā)明內(nèi)容】
[0006]本發(fā)明提供一種用于無源光網(wǎng)絡(luò)系統(tǒng)的智能防攻擊方法,實現(xiàn)光線路終端和光網(wǎng)絡(luò)單元聯(lián)動��,探測攻擊的發(fā)生�,自動對攻擊源進行處理,不需要人為干預(yù)�����。
[0007]為實現(xiàn)上述目的����,本發(fā)明提供一種用于無源光網(wǎng)絡(luò)系統(tǒng)的智能防攻擊方法,其特點是����,該方法包含以下步驟:
步驟1、配置當(dāng)檢測攻擊存在時���,對攻擊源處理的動作�����;
步驟1.1��、判斷防攻擊將攻擊程度為輕度級別還是重度級別��,若是輕度級別則跳轉(zhuǎn)到步驟1.2���,若是重度級別則跳轉(zhuǎn)到步驟1.3 ��;
步驟1.2、限制攻擊源端口的帶寬����,跳轉(zhuǎn)到步驟1.4 ;
步驟1.3����、直接關(guān)閉攻擊源的端口,或者將整個光網(wǎng)絡(luò)單元下線�,并且在一定時間內(nèi)禁止登陸,跳轉(zhuǎn)到步驟1.4;
步驟1.4��、完成配置����;
步驟2��、定時探測攻擊是否發(fā)生����,以及攻擊行為所處的級別���;若是則跳轉(zhuǎn)到步驟3��,若否則跳轉(zhuǎn)到步驟2繼續(xù)探測����;
步驟2.1��、探測任務(wù)運行�����,并統(tǒng)計上送光線路終端設(shè)備處理器的攻擊報文數(shù)量�����;
步驟2.2���、判斷攻擊報文是否達到輕度攻擊門限�,若是,則跳轉(zhuǎn)到步驟2.3�����,若否則跳轉(zhuǎn)到步驟2.7 ��;
步驟2.3���、記錄攻擊狀態(tài)被攻擊狀態(tài)����;
步驟2.4��、判斷攻擊報文是否達到重度攻擊門限���,若是,則跳轉(zhuǎn)到步驟2.5����,若否,則記錄攻擊級別為輕度��,并跳轉(zhuǎn)到步驟2.6 ����;
步驟2.5����、記錄攻擊級別為重度���;
步驟2.6����、進行攻擊源處理流程�,跳轉(zhuǎn)到步驟3 ;
步驟2.7��、判斷當(dāng)前攻擊狀態(tài)是否為被攻擊狀態(tài)��,若是則跳轉(zhuǎn)到步驟2.8�,若否則跳轉(zhuǎn)到步驟2.1 ;
步驟2.8�����、判斷是否連續(xù)三個周期都未達到輕度攻擊門限����,若是則跳轉(zhuǎn)到步驟2.9�,若否���,則跳轉(zhuǎn)到步驟2.1 ��;
步驟2.9�����、記錄攻擊狀態(tài)為攻擊狀態(tài)��,跳轉(zhuǎn)到步驟2.1繼續(xù)探測�;
步驟3��、對攻擊源的光網(wǎng)絡(luò)單元進行處理��,并跳轉(zhuǎn)到步驟2��。
[0008]步驟3.1����、接收攻擊探測步驟結(jié)果信息���;
步驟3.2�、判斷攻擊狀態(tài)是否為被攻擊狀態(tài),若是�����,則跳轉(zhuǎn)到步驟3.3����,若否則跳轉(zhuǎn)到步驟 3.2.1 ;
步驟3.2.1、確認(rèn)攻擊消失�����,恢復(fù)對攻擊源光網(wǎng)絡(luò)單元所做的處理�����,使其正常運作���,跳轉(zhuǎn)到步驟3.5 �����;
步驟3.3���、判斷攻擊級別是否為輕度����,若是���,則跳轉(zhuǎn)到步驟3.4��,若否則跳轉(zhuǎn)到步驟
3.3.1 ����;
步驟3.3.1��、級別為重���,執(zhí)行攻擊源處理的動作配置中重度級別的處理流程����,跳轉(zhuǎn)到步驟 3.5 ;
步驟3.4�����、執(zhí)行攻擊源處理的動作配置中輕度級別的處理流程����,跳轉(zhuǎn)到步驟3.5 ;
步驟3.5��、將處理流程指令遠程發(fā)送到光網(wǎng)絡(luò)單元進行處理�;
步驟3.6、判斷光線路終端設(shè)備是否為以太無源光網(wǎng)絡(luò)���,若是則跳轉(zhuǎn)到步驟3.7�����,若否則跳轉(zhuǎn)到步驟3.8 ��;
步驟3.7����、通過營運管理與維護消息將指令發(fā)送至光網(wǎng)絡(luò)單元設(shè)備���,完成處理后跳轉(zhuǎn)到步驟2 ;
步驟3.8����、光線路終端設(shè)備是寬帶無源光網(wǎng)絡(luò)�����,并通過光網(wǎng)絡(luò)終端管理和控制接口信息將指令發(fā)送至光網(wǎng)絡(luò)單元設(shè)備,完成處理后跳轉(zhuǎn)到步驟2���。
[0009]上述的步驟2中����,探測周期為30秒�����。
[0010]本發(fā)明一種用于無源光網(wǎng)絡(luò)系統(tǒng)的智能防攻擊方法和現(xiàn)有技術(shù)的防攻擊技術(shù)相t匕�,其優(yōu)點在于,本發(fā)明攻擊發(fā)生時候?qū)粼吹牟僮骱凸粝r候業(yè)務(wù)的恢復(fù)���,全自動完成���,不需要人工干擾。節(jié)省人力資源����,節(jié)約成本,實現(xiàn)智能化操作��;
本發(fā)明可以同時應(yīng)用于EPON OLT設(shè)備和GPON OLT設(shè)備;
本發(fā)明檢測到攻擊發(fā)生時候�����,直接對攻擊源進行處理��,目前還沒有防攻擊��,一般防攻擊都是被動防御����,對自己本身進行限制���,防止崩潰�����,影響自身的正常業(yè)務(wù)����。
【專利附圖】
【附圖說明】
[0011]圖1為本發(fā)明一種用于無源光網(wǎng)絡(luò)系統(tǒng)的智能防攻擊方法的總體模塊圖��; 圖2為本發(fā)明一種用于無源光網(wǎng)絡(luò)系統(tǒng)的智能防攻擊方法的攻擊探測流程圖��;
圖3為本發(fā)明一種用于無源光網(wǎng)絡(luò)系統(tǒng)的智能防攻擊方法的攻擊處理流程圖。
【具體實施方式】
[0012]以下結(jié)合附圖�,進一步說明本發(fā)明的具體實施例。
[0013]如圖1所示�,本發(fā)明公開一種用于無源光網(wǎng)絡(luò)系統(tǒng)的智能防攻擊方法,該方法包含三個模塊:智能防攻擊配置模塊���、攻擊探測模塊��、對攻擊源的處理模塊�。
[0014]智能防攻擊配置模塊主要作用是配置當(dāng)檢測攻擊存在��,對攻擊源處理的動作�。動作包括攻擊源的端口限速,端口關(guān)閉�,讓ONU下線并設(shè)置禁止重新上線的時長。智能防攻擊將攻擊程度分輕度和嚴(yán)重兩個級別��,不同的級別可以配置不同的動作��。區(qū)分級別的防攻擊動作可以使防攻擊更精細化�����。
[0015]攻擊探測模塊為智能防攻擊功能中一個比較核心的模塊�����。用來定時探測攻擊是否發(fā)生攻擊行為所處的級別和攻擊是否消失。默認(rèn)探測周期為30秒����。并在攻擊發(fā)生時候和恢復(fù)時候調(diào)用攻擊源處理模塊對攻擊源進行處理���。探測模塊為一個定時輪詢的探測任務(wù)��,定時統(tǒng)計上送CPU的攻擊報文�����,查看攻擊報文的是否超過初級攻擊門限和嚴(yán)重攻擊門限�,當(dāng)發(fā)生攻擊時候��,記錄攻擊的級別�,并將OLT設(shè)備的攻擊狀態(tài)值為被攻擊狀態(tài),然后調(diào)用攻擊源處理模塊進行對應(yīng)的處理�。當(dāng)連續(xù)三個周期上送CPU的攻擊報文都沒有到達攻擊的輕度攻擊門限時候,認(rèn)為攻擊消失��,將設(shè)備的狀態(tài)置未被攻擊狀態(tài)��,之所以等要連續(xù)三個周期都正常,才將設(shè)備攻擊狀態(tài)改為正常�。是因為當(dāng)攻擊發(fā)生時候,由于對攻擊源采取了措施�����,所以有可能攻擊報文會減少�����,并不一定是攻擊消失了��,所以采取查詢?nèi)齻€周期一直無攻擊�����,才判斷攻擊消失����。
[0016]攻擊源的處理模塊主要對攻擊源ONU的處理,處理分為三種:端口限速��,關(guān)閉端口�,踢用戶下線一段時間不讓該ONU上線。攻擊源處理模塊主要接受探測模塊的消失,先查看消息是配置下發(fā)還是攻擊發(fā)現(xiàn)消息�����,還是攻擊消失消息�。攻擊發(fā)現(xiàn)消息的話,會根據(jù)攻擊級別�,對攻擊源采取配置模塊配置好的行為。如果是攻擊消失消息的話�,會恢復(fù)攻擊源的業(yè)務(wù)。
[0017]本發(fā)明一種用于無源光網(wǎng)絡(luò)系統(tǒng)的智能防攻擊方法分步驟流程如下:
步驟1���、配置當(dāng)檢測攻擊存在時,對攻擊源處理的動作。
[0018]步驟1.1���、判斷防攻擊將攻擊程度為輕度級別還是重度級別�����,若是輕度級別則跳轉(zhuǎn)到步驟1.2�����,若是重度級別則跳轉(zhuǎn)到步驟1.3�。
[0019]步驟1.2��、限制攻擊源端口的帶寬,跳轉(zhuǎn)到步驟1.4����。
[0020]步驟1.3、直接關(guān)閉攻擊源的端口�,或者將整個光網(wǎng)絡(luò)單元下線,并且在一定時間內(nèi)禁止登陸�����,跳轉(zhuǎn)到步驟1.4��。
[0021]步驟1.4���、完成配置�。
[0022]步驟2����、如圖2所示,定時探測攻擊是否發(fā)生�,以及攻擊行為所處的級別;若是則跳轉(zhuǎn)到步驟3�����,若否則跳轉(zhuǎn)到步驟2繼續(xù)探測,探測周期為30秒���。
[0023]步驟2.1�����、探測任務(wù)運行����,并統(tǒng)計上送光線路終端設(shè)備處理器的攻擊報文數(shù)量����。
[0024]步驟2.2���、判斷攻擊報文是否達到輕度攻擊門限��,若是��,則跳轉(zhuǎn)到步驟2.3��,若否則跳轉(zhuǎn)到步驟2.7����。[0025]步驟2.3、記錄攻擊狀態(tài)被攻擊狀態(tài)���。
[0026]步驟2.4��、判斷攻擊報文是否達到重度攻擊門限�,若是�����,則跳轉(zhuǎn)到步驟2.5����,若否,則記錄攻擊級別為輕度�,并跳轉(zhuǎn)到步驟2.6。
[0027]步驟2.5�����、記錄攻擊級別為重度�。
[0028]步驟2.6、進行攻擊源處理流程��,跳轉(zhuǎn)到步驟3。
[0029]步驟2.7�、判斷當(dāng)前攻擊狀態(tài)是否為被攻擊狀態(tài),若是則跳轉(zhuǎn)到步驟2.8���,若否則跳轉(zhuǎn)到步驟2.1�����。
[0030]步驟2.8����、判斷是否連續(xù)三個周期都未達到輕度攻擊門限��,若是則跳轉(zhuǎn)到步驟
2.9����,若否,則跳轉(zhuǎn)到步驟2.1�。一個周期為30秒。
[0031]步驟2.9����、記錄攻擊狀態(tài)為攻擊狀態(tài)��,跳轉(zhuǎn)到步驟2.1繼續(xù)探測。
[0032]步驟3��、如圖3所示�,對攻擊源的光網(wǎng)絡(luò)單元進行處理,并跳轉(zhuǎn)到步驟2��。
[0033]步驟3.1�、接收攻擊探測步驟結(jié)果信息。
[0034]步驟3.2�����、判斷攻擊狀態(tài)是否為被攻擊狀態(tài)��,若是�,則跳轉(zhuǎn)到步驟3.3,若否則跳轉(zhuǎn)到步驟3.2.1�����。
[0035]步驟3.2.1����、確認(rèn)攻擊消失,恢復(fù)對攻擊源光網(wǎng)絡(luò)單元所做的處理����,使其正常運作���,跳轉(zhuǎn)到步驟3.5。
[0036]步驟3.3�、判斷攻擊級別是否為輕度,若是�,則跳轉(zhuǎn)到步驟3.4,若否則跳轉(zhuǎn)到步驟
3.3.1�。
[0037]步驟3.3.1、級別為重���,執(zhí)行攻擊源處理的動作配置中重度級別的處理流程���,跳轉(zhuǎn)到步驟3.5。
[0038]步驟3.4��、執(zhí)行攻擊源處理的動作配置中輕度級別的處理流程���,跳轉(zhuǎn)到步驟3.5���。
[0039]步驟3.5、將處理流程指令遠程發(fā)送到光網(wǎng)絡(luò)單元進行處理�����。
[0040]步驟3.6����、判斷光線路終端設(shè)備是否為以太無源光網(wǎng)絡(luò),若是則跳轉(zhuǎn)到步驟3.7���,若否則跳轉(zhuǎn)到步驟3.8�����。
[0041]步驟3.7�、通過營運管理與維護(0AM, Operation Administration andMaintenance)消息將指令發(fā)送至光網(wǎng)絡(luò)單元設(shè)備����,完成處理后跳轉(zhuǎn)到步驟2。
[0042]步驟3.8��、光線路終端設(shè)備是寬帶無源光網(wǎng)絡(luò)��,并通過光網(wǎng)絡(luò)終端管理和控制接口(omci, ONT (Optical Network Terminal) Management and Control Interface)消息將指令發(fā)送至光網(wǎng)絡(luò)單元設(shè)備�,完成處理后跳轉(zhuǎn)到步驟2。
[0043]盡管本發(fā)明的內(nèi)容已經(jīng)通過上述優(yōu)選實施例作了詳細介紹�����,但應(yīng)當(dāng)認(rèn)識到上述的描述不應(yīng)被認(rèn)為是對本發(fā)明的限制。在本領(lǐng)域技術(shù)人員閱讀了上述內(nèi)容后�����,對于本發(fā)明的多種修改和替代都將是顯而易見的�。因此,本發(fā)明的保護范圍應(yīng)由所附的權(quán)利要求來限定����。
【權(quán)利要求】
1.一種用于無源光網(wǎng)絡(luò)系統(tǒng)的智能防攻擊方法,其特征在于�����,該方法包含以下步驟: 步驟1�����、配置當(dāng)檢測攻擊存在時�,對攻擊源處理的動作; 步驟2��、定時探測攻擊是否發(fā)生,以及攻擊行為所處的級別���;若是則跳轉(zhuǎn)到步驟3��,若否則跳轉(zhuǎn)到步驟2繼續(xù)探測; 步驟3����、對攻擊源的光網(wǎng)絡(luò)單元進行處理,并跳轉(zhuǎn)到步驟2���。
2.如權(quán)利要求1所述的用于無源光網(wǎng)絡(luò)系統(tǒng)的智能防攻擊方法��,其特征在于�����,所述的步驟I包含以下步驟: 步驟1.1����、判斷防攻擊將攻擊程度為輕度級別還是重度級別���,若是輕度級別則跳轉(zhuǎn)到步驟1.2����,若是重度級別則跳轉(zhuǎn)到步驟1.3 ; 步驟1.2���、限制攻擊源端口的帶寬�,跳轉(zhuǎn)到步驟1.4 �; 步驟1.3、直接關(guān)閉攻擊源的端口���,或者將整個光網(wǎng)絡(luò)單元下線��,并且在一定時間內(nèi)禁止登陸�,跳轉(zhuǎn)到步驟1.4; 步驟1.4����、完成配置。
3.如權(quán)利要求1所述的用于無源光網(wǎng)絡(luò)系統(tǒng)的智能防攻擊方法�����,其特征在于���,所述的步驟2包含以下步驟: 步驟2.1��、探測任務(wù)運行��,并統(tǒng)計上送光線路終端設(shè)備處理器的攻擊報文數(shù)量��; 步驟2.2����、判斷攻擊報文是否達到輕度攻擊門限,若是��,則跳轉(zhuǎn)到步驟2.3����,若否則跳轉(zhuǎn)到步驟2.7 �����;· 步驟2.3�、記錄攻擊狀態(tài)被攻擊狀態(tài); 步驟2.4���、判斷攻擊報文是否達到重度攻擊門限���,若是,則跳轉(zhuǎn)到步驟2.5,若否����,則記錄攻擊級別為輕度,并跳轉(zhuǎn)到步驟2.6 ����; 步驟2.5、記錄攻擊級別為重度��; 步驟2.6�、進行攻擊源處理流程,跳轉(zhuǎn)到步驟3 �����; 步驟2.7��、判斷當(dāng)前攻擊狀態(tài)是否為被攻擊狀態(tài)���,若是則跳轉(zhuǎn)到步驟2.8�����,若否則跳轉(zhuǎn)到步驟2.1 ����; 步驟2.8、判斷是否連續(xù)三個周期都未達到輕度攻擊門限�����,若是則跳轉(zhuǎn)到步驟2.9���,若否���,則跳轉(zhuǎn)到步驟2.1 ; 步驟2.9����、記錄攻擊狀態(tài)為攻擊狀態(tài)����,跳轉(zhuǎn)到步驟2.1繼續(xù)探測。
4.如權(quán)利要求3所述的用于無源光網(wǎng)絡(luò)系統(tǒng)的智能防攻擊方法����,其特征在于,所述的步驟2中��,探測周期為30秒。
5.如權(quán)利要求2所述的用于無源光網(wǎng)絡(luò)系統(tǒng)的智能防攻擊方法�,其特征在于,所述的步驟3包含以下步驟: 步驟3.1����、接收攻擊探測步驟結(jié)果信息; 步驟3.2�����、判斷攻擊狀態(tài)是否為被攻擊狀態(tài)���,若是��,則跳轉(zhuǎn)到步驟3.3����,若否則跳轉(zhuǎn)到步驟 3.2.1 ; 步驟3.2.1����、確認(rèn)攻擊消失,恢復(fù)對攻擊源光網(wǎng)絡(luò)單元所做的處理�����,使其正常運作,跳轉(zhuǎn)到步驟3.5 ����; 步驟3.3、判斷攻擊級別是否為輕度�����,若是�,則跳轉(zhuǎn)到步驟3.4,若否則跳轉(zhuǎn)到步驟·3.3.1 �;步驟3.3.1、級別為重�����,執(zhí)行攻擊源處理的動作配置中重度級別的處理流程��,跳轉(zhuǎn)到步驟 3.5 ; 步驟3.4����、執(zhí)行攻擊源處理的動作配置中輕度級別的處理流程��,跳轉(zhuǎn)到步驟3.5 �; 步驟3.5��、將處理流程指令遠程發(fā)送到光網(wǎng)絡(luò)單元進行處理�����; 步驟3.6��、判斷光線路終端設(shè)備是否為以太無源光網(wǎng)絡(luò)���,若是則跳轉(zhuǎn)到步驟3.7,若否則跳轉(zhuǎn)到步驟3.8 �����; 步驟3.7����、通過營運管理與維護消息將指令發(fā)送至光網(wǎng)絡(luò)單元設(shè)備,完成處理后跳轉(zhuǎn)到步驟2 ; 步驟3.8����、光線路終端設(shè)備是寬帶無源光網(wǎng)絡(luò),并通過光網(wǎng)絡(luò)終端管理和控制接口信息將指令發(fā)送至光網(wǎng)絡(luò)單元設(shè)備�����,完成處理后跳轉(zhuǎn)到步驟2。
【文檔編號】H04B10/07GK103716305SQ201310677339
【公開日】2014年4月9日 申請日期:2013年12月13日 優(yōu)先權(quán)日:2013年12月13日
【發(fā)明者】邱全華 申請人:上海斐訊數(shù)據(jù)通信技術(shù)有限公司