本發(fā)明實(shí)施例涉及通信技術(shù)領(lǐng)域，尤其涉及一種攻擊處理方法、設(shè)備及系統(tǒng)。

背景技術(shù)：

隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，提高網(wǎng)絡(luò)安全性，防止網(wǎng)絡(luò)被惡意攻擊變得越來越重要。現(xiàn)有技術(shù)中，防火墻作為內(nèi)部網(wǎng)絡(luò)與外部互聯(lián)網(wǎng)之間的安全網(wǎng)關(guān)，起著防止內(nèi)部網(wǎng)絡(luò)中的網(wǎng)元被外部用戶非法攻擊的作用。在內(nèi)部網(wǎng)絡(luò)與外部互聯(lián)網(wǎng)進(jìn)行通信時，防火墻根據(jù)管理員配置的安全策略，允許安全策略中規(guī)定的安全數(shù)據(jù)流通過安全網(wǎng)關(guān)，禁止安全策略中規(guī)定的攻擊數(shù)據(jù)流通過安全網(wǎng)關(guān)。

在上述防火墻攻擊處理機(jī)制中，由于安全策略通常是管理員憑經(jīng)驗(yàn)預(yù)先配置的，且非法攻擊通常是突發(fā)性并且難以預(yù)測的，因而容易使得人工預(yù)先配置的安全策略不準(zhǔn)確。而一旦安全策略配置失誤，將會導(dǎo)致誤操作，使得被保護(hù)網(wǎng)絡(luò)受到安全攻擊，或者正常數(shù)據(jù)流被阻斷。

技術(shù)實(shí)現(xiàn)要素：

本發(fā)明實(shí)施例提供一種攻擊處理方法、設(shè)備及系統(tǒng)，能夠解決由于現(xiàn)有攻擊處理機(jī)制容易出現(xiàn)誤操作，從而使得網(wǎng)絡(luò)容易受到安全攻擊或者正常數(shù)據(jù)流被阻斷的問題。

為達(dá)到上述目的，本發(fā)明的實(shí)施例采用如下技術(shù)方案：

第一方面，提供一種攻擊處理方法，包括：業(yè)務(wù)網(wǎng)元接收數(shù)據(jù)流，若確定數(shù)據(jù)流為攻擊流，則將攻擊流對應(yīng)的攻擊信息發(fā)送給策略控制設(shè)備，且攻擊信息包括攻擊流的流描述信息和攻擊流所屬的攻擊類型；策 略控制設(shè)備根據(jù)攻擊類型確定對應(yīng)的流控制策略，將攻擊流的流描述信息和流控制策略發(fā)送給sdn控制器；sdn控制器根據(jù)流控制策略，對符合攻擊流的流描述信息的數(shù)據(jù)流進(jìn)行處理。

第二方面，提供一種策略控制設(shè)備，包括：接收單元，用于接收業(yè)務(wù)網(wǎng)元發(fā)送的攻擊流對應(yīng)的攻擊信息，且攻擊信息包括攻擊流的流描述信息和攻擊流所屬的攻擊類型；確定單元，用于確定接收單元接收的攻擊類型對應(yīng)的流控制策略，且流控制策略包括流處理策略和執(zhí)行策略；發(fā)送單元，用于將接收單元接收的攻擊流的流描述信息和確定單元確定的流控制策略發(fā)送給軟件定義網(wǎng)絡(luò)sdn控制器，以便于所述sdn控制器根據(jù)所述流控制策略，對符合所述攻擊流的流描述信息的數(shù)據(jù)流進(jìn)行處理。

第三方面，提供一種軟件定義網(wǎng)絡(luò)sdn控制器，包括：接收單元，用于接收策略控制設(shè)備發(fā)送的攻擊流的流描述信息和流控制策略，且流控制策略包括流處理策略和執(zhí)行策略；處理單元，用于根據(jù)接收單元接收的流控制策略，對符合接收單元接收的攻擊流的流描述信息的數(shù)據(jù)流進(jìn)行處理。

第四方面，提供一種業(yè)務(wù)網(wǎng)元，包括：接收單元，用于接收數(shù)據(jù)流；確定單元，用于確定接收單元接收的數(shù)據(jù)流是否為攻擊流；發(fā)送單元，用于在確定單元確定數(shù)據(jù)流為攻擊流時，將攻擊流對應(yīng)的攻擊信息發(fā)送給策略控制設(shè)備，且攻擊信息包括攻擊流的流描述信息和攻擊流所屬的攻擊類型。

這樣，可以通過業(yè)務(wù)網(wǎng)元自動識別網(wǎng)絡(luò)中的攻擊流，并將已識別的攻擊流的流描述信息和攻擊類型上報給策略控制設(shè)備，策略控制設(shè)備自動生成與攻擊類型對應(yīng)的流控制策略，并將攻擊流的流描述信息和流控制策略發(fā)送給sdn控制器，sdn控制器根據(jù)流控制策略對符合攻擊流的流描述信息的數(shù)據(jù)流進(jìn)行處理，從而可以從ip層轉(zhuǎn)發(fā)面阻斷攻擊流，達(dá)到保護(hù)sdn控制器后端網(wǎng)絡(luò)及后端網(wǎng)元的目的，可以避免由于人工預(yù)先設(shè)置安全策略容易出現(xiàn)誤操作而導(dǎo)致的安全問題。

結(jié)合上述任一方面，在上述任一方面的第一種可能的實(shí)現(xiàn)方式中，攻擊流包括網(wǎng)絡(luò)層攻擊流或業(yè)務(wù)層攻擊流。

結(jié)合上述任一方面至上述任一方面的第一種可能的實(shí)現(xiàn)方式，在上述任一方面的第二種可能的實(shí)現(xiàn)方式中，攻擊流的流描述信息至少包括攻擊流的源網(wǎng)絡(luò)協(xié)議ip地址，還包括以下至少一項(xiàng)：所述攻擊流的目的ip地址、源端口、目的端口和傳輸層協(xié)議號。

結(jié)合第一方面至第一方面的第二種可能的實(shí)現(xiàn)方式，在第一方面的第三種可能的實(shí)現(xiàn)方式中，業(yè)務(wù)網(wǎng)元確定數(shù)據(jù)流為業(yè)務(wù)層攻擊流包括：若通過解析所述數(shù)據(jù)流中的信令消息和媒體信息，確定所述數(shù)據(jù)流影響到業(yè)務(wù)層面受保護(hù)對象的安全性，則確定所述數(shù)據(jù)流為業(yè)務(wù)層攻擊流，所述業(yè)務(wù)層面包括控制面、用戶面和管理面。

結(jié)合第四方面至第四方面的第二種可能的實(shí)現(xiàn)方式，在第四方面的第三種可能的實(shí)現(xiàn)方式中，確定單元具體用于，若通過解析所述數(shù)據(jù)流中的信令消息和媒體信息，確定所述數(shù)據(jù)流影響到業(yè)務(wù)層面受保護(hù)對象的安全性，則確定所述數(shù)據(jù)流為業(yè)務(wù)層攻擊流，所述業(yè)務(wù)層面包括控制面、用戶面和管理面。

這樣，由于業(yè)務(wù)網(wǎng)元可以觸及信令層面和媒體數(shù)據(jù)層面，因而業(yè)務(wù)網(wǎng)元可以通過解析數(shù)據(jù)流中的信令消息和媒體信息，分析業(yè)務(wù)層面受保護(hù)的對象的安全性是否受到威脅，從而在受到威脅時確定接收到的數(shù)據(jù)流為攻擊流。

結(jié)合第一方面至第一方面的第三種可能的實(shí)現(xiàn)方式，在第一方面的第四種可能的實(shí)現(xiàn)方式中，流處理策略包括刪除符合所述攻擊流的流描述信息的數(shù)據(jù)流對應(yīng)的流表，重定向符合所述攻擊流的流描述信息的數(shù)據(jù)流，或者限制符合所述攻擊流的流描述信息的數(shù)據(jù)流的流量；執(zhí)行策略包括立即執(zhí)行、周期執(zhí)行或在特定時段內(nèi)執(zhí)行流處理策略。

結(jié)合第二方面至第二方面的第二種可能的實(shí)現(xiàn)方式，在第二方面的第三種可能的實(shí)現(xiàn)方式中，流處理策略包括刪除符合所述攻擊流的流描述信息的數(shù)據(jù)流對應(yīng)的流表，重定向符合所述攻擊流的流描述信息的數(shù)據(jù)流，或者限制符合所述攻擊流的流描述信息的數(shù)據(jù)流的流量；執(zhí)行策略包括立即執(zhí)行、周期執(zhí)行或在特定時段內(nèi)執(zhí)行流處理策略。

結(jié)合第三方面至第三方面的第二種可能的實(shí)現(xiàn)方式，在第三方面的第三種可能的實(shí)現(xiàn)方式中，刪除符合所述攻擊流的流描述信息的數(shù)據(jù)流 對應(yīng)的流表，重定向符合所述攻擊流的流描述信息的數(shù)據(jù)流，或者限制符合所述攻擊流的流描述信息的數(shù)據(jù)流的流量；執(zhí)行策略包括立即執(zhí)行、周期執(zhí)行或在特定時段內(nèi)執(zhí)行流處理策略。

結(jié)合第一方面至第一方面的第四種可能的實(shí)現(xiàn)方式，在第一方面的第五種可能的實(shí)現(xiàn)方式中，當(dāng)攻擊流的流描述信息至少包括攻擊流的源網(wǎng)絡(luò)協(xié)議ip地址時，根據(jù)流控制策略，對符合攻擊流的流描述信息的數(shù)據(jù)流進(jìn)行處理包括：根據(jù)流控制策略，對源ip地址為攻擊流的流描述信息中的源ip地址的數(shù)據(jù)流進(jìn)行處理。

結(jié)合第三方面至第三方面的第三種可能的實(shí)現(xiàn)方式，在第三方面的第四種可能的實(shí)現(xiàn)方式中，當(dāng)攻擊流的流描述信息至少包括攻擊流的源網(wǎng)絡(luò)協(xié)議ip地址時，處理單元具體用于：根據(jù)流控制策略，對源ip地址為攻擊流的流描述信息中的源ip地址的數(shù)據(jù)流進(jìn)行處理。

第五方面，提供一種系統(tǒng)，包括上述第三方面至第三方面的第四種可能的實(shí)現(xiàn)方式中的任意一種sdn控制器，上述第二方面至第二方面的第三種可能的實(shí)現(xiàn)方式中的任意一種策略控制設(shè)備，以及上述第四方面至第四方面的第三種可能的實(shí)現(xiàn)方式中的任意一種業(yè)務(wù)網(wǎng)元。

為了便于理解，示例的給出了部分與本發(fā)明相關(guān)概念的說明以供參考。如下所示：

策略和計費(fèi)執(zhí)行功能單元(policyandchargingenforcementfunction，pcef)，主要包含業(yè)務(wù)數(shù)據(jù)流的檢測、策略執(zhí)行和基于流的計費(fèi)功能。

策略和計費(fèi)規(guī)則功能單元(policyandchargingrulesfunction，pcrf)：是業(yè)務(wù)數(shù)據(jù)流和ip承載資源的策略與計費(fèi)控制策略決策點(diǎn)，它為pcef選擇及提供可用的策略和計費(fèi)控制決策。

長期演進(jìn)(longtermevolution，lte)是由第三代合作伙伴計劃(the3rdgenerationpartnershipproject，3gpp)組織制定的通用移動通信系統(tǒng)(universalmobiletelecommunicationssystem，umts)技術(shù)標(biāo)準(zhǔn)的長期演進(jìn)。

epc：全稱evolvedpacketcore，指4g核心網(wǎng)絡(luò)。

gx接口：3gpp標(biāo)準(zhǔn)中定義的接口，lte/epc網(wǎng)絡(luò)中pcef與pcrf之間的接口，用于計費(fèi)控制和策略控制。

軟件定義網(wǎng)絡(luò)(softwaredefinednetwork，sdn)：將網(wǎng)絡(luò)設(shè)備控制面與數(shù)據(jù)面分離的網(wǎng)絡(luò)架構(gòu)，可以實(shí)現(xiàn)網(wǎng)絡(luò)流量的靈活控制，使網(wǎng)絡(luò)作為管道變得更加智能。

流：即網(wǎng)絡(luò)流，在一段時間內(nèi)，一個源網(wǎng)絡(luò)協(xié)議(internetprotocol，ip)地址和目的ip地址之間傳輸?shù)膯蜗驍?shù)據(jù)流，該數(shù)據(jù)流具有相同的五元組。

五元組：源ip地址、源端口號、傳輸層協(xié)議號、目的ip地址及目的端口號。

業(yè)務(wù)網(wǎng)元：通信網(wǎng)絡(luò)中，以業(yè)務(wù)(例如語音業(yè)務(wù)和媒體業(yè)務(wù))為主要處理對象的網(wǎng)元，例如可以是核心網(wǎng)中的歸屬位置寄存器(homelocationregister，hlr)、歸屬簽約用戶服務(wù)器(homesubscriberserver，hss)、用戶屬性數(shù)據(jù)庫(subscriptionprofilerepository，spr)、應(yīng)用服務(wù)器(applicationserver，as)等。

網(wǎng)絡(luò)層攻擊：指外部惡意ip的攻擊，主要包括二層攻擊地址解析協(xié)議(addressresolutionprotocol，arp)攻擊、internet控制報文協(xié)議(internetcontrolmessageprotocol，icmp)攻擊、ip攻擊、傳輸控制協(xié)議(transmissioncontrolprotocol，tcp)攻擊、用戶數(shù)據(jù)報協(xié)議(userdatagramprotocol，udp)攻擊和internet組管理協(xié)議(internetgroupmanagementprotocol，igmp)攻擊等攻擊類型。

業(yè)務(wù)層攻擊：指業(yè)務(wù)層面對系統(tǒng)希望保護(hù)的對象進(jìn)行攻擊的行為，可以包括控制面攻擊、用戶面攻擊和管理面攻擊等。其中，控制面攻擊可以包括消耗重要資源的攻擊，信令風(fēng)暴，拒絕服務(wù)(denialofservice，dos)/分布式拒絕服務(wù)(distributeddenialofservice，ddos)flood攻擊，異常注冊行為，畸形報文，非法媒體地址攻擊，信息泄露等攻擊類型；用戶面攻擊可以包括實(shí)時傳輸協(xié)議(real-timetransportprotocol，rtp)會話注入、帶寬盜用rtp畸形報文攻擊、消息會話傳遞協(xié)議(themessagesessionrelayprotocol，msrp)報文攻擊、防火墻穿越攻擊、媒體編解碼轉(zhuǎn)換消耗、盜打電話、通話竊聽等攻擊類型；管理面攻擊可以包括用 戶帳號安全威脅、信令傳輸安全威脅、訪問控制安全威脅、web(互聯(lián)網(wǎng))應(yīng)用安全威脅、系統(tǒng)日志管理威脅、非法操作威脅、數(shù)據(jù)存儲丟失和業(yè)務(wù)中斷威脅等攻擊類型。

附圖說明

為了更清楚地說明本發(fā)明實(shí)施例的技術(shù)方案，下面將對實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例，對于本領(lǐng)域普通技術(shù)人員來講，在不付出創(chuàng)造性勞動的前提下，還可以根據(jù)這些附圖獲得其他的附圖。

圖1為現(xiàn)有技術(shù)中提供的一種基本網(wǎng)絡(luò)架構(gòu)示意圖；

圖2為現(xiàn)有技術(shù)中提供的另一種基本網(wǎng)絡(luò)架構(gòu)示意圖；

圖3為本發(fā)明實(shí)施例提供的一種基本網(wǎng)絡(luò)架構(gòu)示意圖；

圖4為本發(fā)明實(shí)施例提供的一種攻擊處理方法流程圖；

圖5為本發(fā)明實(shí)施例提供的一種策略控制設(shè)備的結(jié)構(gòu)示意圖；

圖6為本發(fā)明實(shí)施例提供的一種sdn控制器的結(jié)構(gòu)示意圖；

圖7為本發(fā)明實(shí)施例提供的一種業(yè)務(wù)網(wǎng)元的結(jié)構(gòu)示意圖；

圖8為本發(fā)明實(shí)施例提供的另一種策略控制設(shè)備的結(jié)構(gòu)示意圖；

圖9為本發(fā)明實(shí)施例提供的另一種sdn控制器的結(jié)構(gòu)示意圖；

圖10為本發(fā)明實(shí)施例提供的另一種業(yè)務(wù)網(wǎng)元的結(jié)構(gòu)示意圖；

圖11為本發(fā)明實(shí)施例提供的一種系統(tǒng)結(jié)構(gòu)示意圖。

具體實(shí)施方式

下面將結(jié)合本發(fā)明實(shí)施例中的附圖，對本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述。顯然，所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例，而不是全部的實(shí)施例?；诒景l(fā)明中的實(shí)施例，本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實(shí)施例，都屬于本發(fā)明保護(hù)的范圍。

通信網(wǎng)絡(luò)的基本架構(gòu)示意圖可以參見圖1。其中，網(wǎng)絡(luò)中的數(shù)據(jù)在 接入網(wǎng)1和接入網(wǎng)2之間，根據(jù)ip地址對數(shù)據(jù)包進(jìn)行路由轉(zhuǎn)發(fā)，兩個接入網(wǎng)之間的網(wǎng)絡(luò)可以稱為ip承載網(wǎng)，也就是說，ip承載網(wǎng)其實(shí)相當(dāng)于網(wǎng)絡(luò)系統(tǒng)中的公網(wǎng)。目前，參見圖2，已經(jīng)實(shí)現(xiàn)了通過pcrf與分組數(shù)據(jù)網(wǎng)關(guān)(pdngw-packetdatanetworkgateway，pgw)、寬帶遠(yuǎn)程接入服務(wù)器(broadbandremoteaccessserver，bras)等pcef的gx接口，對接入網(wǎng)中的無線接入、固定接入等接入過程進(jìn)行資源控制和安全策略控制。

隨著全聯(lián)接核心網(wǎng)時代的到來，為保證基于單用戶單服務(wù)的定制業(yè)務(wù)體驗(yàn)，網(wǎng)絡(luò)需要通過一個策略控制中心來協(xié)調(diào)保證端到端的業(yè)務(wù)服務(wù)質(zhì)量(qualityofservice，qos)、通訊可靠性和通訊安全性。

參見圖3，本發(fā)明以下實(shí)施例中將在圖2所示的現(xiàn)有網(wǎng)絡(luò)架構(gòu)的基礎(chǔ)上，新增pcrf與ip承載網(wǎng)中sdn控制器(sdncontroller)的接口，提供對ip承載網(wǎng)的資源控制和安全策略控制，從而可以在現(xiàn)有對接入網(wǎng)資源控制和安全策略控制的基礎(chǔ)上，增加對ip承載網(wǎng)的資源控制和安全策略控制，達(dá)到真正端對端的網(wǎng)絡(luò)資源控制和安全策略控制。此時，pcrf將升級成為全網(wǎng)集中統(tǒng)一的端到端的資源和策略控制中心(policycenter，pc)/策略控制設(shè)備。在圖3所示的基本網(wǎng)絡(luò)架構(gòu)中，數(shù)據(jù)流從源端對應(yīng)的接入網(wǎng)發(fā)送至ip承載網(wǎng)后，通過策略控制設(shè)備和ip承載網(wǎng)中的sdn控制器對該數(shù)據(jù)流進(jìn)行處理，并根據(jù)ip地址對處理后的數(shù)據(jù)流進(jìn)行路由轉(zhuǎn)發(fā)，從而發(fā)送至目的端對應(yīng)的接入網(wǎng)，進(jìn)而傳送至目的端。

針對現(xiàn)有攻擊處理機(jī)制容易出現(xiàn)誤操作，從而使得網(wǎng)絡(luò)容易受到安全攻擊或者正常數(shù)據(jù)流被阻斷的問題。本發(fā)明以下實(shí)施例通過業(yè)務(wù)網(wǎng)元自動識別網(wǎng)絡(luò)中的攻擊流，并將已識別的攻擊流對應(yīng)的流描述信息和攻擊類型上報給策略控制設(shè)備；策略控制設(shè)備自動生成與攻擊類型對應(yīng)的流控制策略，并將流描述信息和流控制策略發(fā)送給sdn控制器；sdn控制器根據(jù)流控制策略，對符合攻擊流的流描述信息的數(shù)據(jù)流進(jìn)行處理，從而可以從ip層轉(zhuǎn)發(fā)面阻斷攻擊流，達(dá)到安全防護(hù)網(wǎng)絡(luò)的目的。

本發(fā)明以下實(shí)施例將以圖3的網(wǎng)絡(luò)架構(gòu)為例進(jìn)行說明。

參見圖4，本發(fā)明實(shí)施例提供一種攻擊處理方法，可以包括：

101、業(yè)務(wù)網(wǎng)元接收數(shù)據(jù)流。

業(yè)務(wù)網(wǎng)元從網(wǎng)絡(luò)中接收數(shù)據(jù)流，發(fā)送數(shù)據(jù)流的源端可以是網(wǎng)絡(luò)中的其它任一網(wǎng)元，例如可以是某個用戶設(shè)備ue，數(shù)據(jù)流在網(wǎng)絡(luò)中可以以數(shù)據(jù)包的形式進(jìn)行傳輸。在傳輸過程中，網(wǎng)絡(luò)中具有數(shù)據(jù)轉(zhuǎn)發(fā)功能的網(wǎng)元，通過解析數(shù)據(jù)包包頭中的ip地址等信息，對數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)，以最終將數(shù)據(jù)流發(fā)送至目的端。

102、若業(yè)務(wù)網(wǎng)元確定數(shù)據(jù)流為攻擊流，則將攻擊流對應(yīng)的攻擊信息發(fā)送給策略控制設(shè)備，攻擊信息包括攻擊流的流描述信息和攻擊流所屬的攻擊類型。

在接收到數(shù)據(jù)流之后，業(yè)務(wù)網(wǎng)元可以確定接收到的數(shù)據(jù)流是否為攻擊流，從而進(jìn)行相應(yīng)處理。若確定為攻擊流，則業(yè)務(wù)網(wǎng)元可以將攻擊流對應(yīng)的攻擊信息發(fā)送給策略控制設(shè)備，以便于策略控制設(shè)備根據(jù)攻擊流的攻擊信息，確定相應(yīng)的流處理策略和執(zhí)行策略，從而進(jìn)行攻擊處理。若接收到的數(shù)據(jù)流不屬于攻擊流，則業(yè)務(wù)網(wǎng)元進(jìn)行正常的業(yè)務(wù)處理。

需要說明的是，由于現(xiàn)有技術(shù)中的防火墻負(fù)責(zé)識別所保護(hù)的內(nèi)部網(wǎng)絡(luò)中經(jīng)過所有網(wǎng)元的數(shù)據(jù)流是否為攻擊流，并負(fù)責(zé)數(shù)據(jù)流的過濾和轉(zhuǎn)發(fā)，因而對防火墻設(shè)備的性能要求高，從而導(dǎo)致部署成本高，并且可能出現(xiàn)性能瓶頸。而本發(fā)明實(shí)施例提供的方法中，攻擊流識別是分布在網(wǎng)絡(luò)中的各個業(yè)務(wù)網(wǎng)元上的，因而不會出現(xiàn)性能瓶頸的問題。

在步驟102中，業(yè)務(wù)網(wǎng)元可以識別的攻擊流可以包括網(wǎng)絡(luò)層攻擊流或業(yè)務(wù)層攻擊流。當(dāng)然，業(yè)務(wù)網(wǎng)元可以識別的攻擊流還可以包括其它種類，這里不予具體限定。

其中，網(wǎng)絡(luò)層攻擊流通常與網(wǎng)絡(luò)傳輸過程中的協(xié)議有關(guān)，且通常具有固定的攻擊模式，例如arp攻擊、icmp攻擊、ip攻擊、tcp攻擊、udp攻擊等，因而容易被識別。

現(xiàn)有技術(shù)中的防火墻可以識別網(wǎng)絡(luò)層攻擊流，并及時進(jìn)行攻擊處理，以保護(hù)內(nèi)部網(wǎng)絡(luò)及網(wǎng)絡(luò)中網(wǎng)元的安全。但防火墻難以觸及信令層面和媒體數(shù)據(jù)層面，因而難以識別業(yè)務(wù)層攻擊流，難以對業(yè)務(wù)層攻擊流進(jìn)行攻擊處理，從而難以有效保證所保護(hù)的內(nèi)部網(wǎng)絡(luò)及網(wǎng)絡(luò)中網(wǎng)元的安全性。

在本發(fā)明實(shí)施例提供的方法中，業(yè)務(wù)網(wǎng)元不僅可以識別出網(wǎng)絡(luò)層攻 擊流，還可以通過解析信令消息和媒體信息識別業(yè)務(wù)層攻擊流，從而識別業(yè)務(wù)層攻擊流，進(jìn)而將識別出的攻擊流的流描述信息和攻擊類型上報給策略控制設(shè)備，以便于策略控制設(shè)備根據(jù)攻擊類型生成攻擊流對應(yīng)的流控制策略。并且，業(yè)務(wù)網(wǎng)元還可以針對某些特定的業(yè)務(wù)定制定義攻擊特征，從而根據(jù)針對相應(yīng)的業(yè)務(wù)快速識別其攻擊流。

可選地，業(yè)務(wù)網(wǎng)元確定數(shù)據(jù)流為業(yè)務(wù)層攻擊流可以包括：

若業(yè)務(wù)網(wǎng)元通過解析所述數(shù)據(jù)流中的信令消息和媒體信息，確定所述數(shù)據(jù)流影響到業(yè)務(wù)層面受保護(hù)對象的安全性，則確定所述數(shù)據(jù)流為業(yè)務(wù)層攻擊流。

其中，業(yè)務(wù)層面受保護(hù)對象可以指業(yè)務(wù)層面中受保護(hù)的各項(xiàng)資源，通過保證受保護(hù)對象的安全性，可以保證網(wǎng)絡(luò)中各項(xiàng)業(yè)務(wù)能夠正常運(yùn)行。業(yè)務(wù)層面可以包括控制面、用戶面和管理面。示例性的，控制面需要保護(hù)的對象可以包括系統(tǒng)關(guān)鍵資源、正常業(yè)務(wù)流、業(yè)務(wù)邏輯、用戶賬戶、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)信息以及信令內(nèi)容等；用戶面需要保護(hù)的對象可以包括正常業(yè)務(wù)、帶寬資源和服務(wù)質(zhì)量等；管理面需要保護(hù)的對象可以包括用戶賬戶信息、用戶敏感信息、網(wǎng)關(guān)數(shù)據(jù)、日志、傳輸管道以及認(rèn)證信息等。

具體的，業(yè)務(wù)網(wǎng)元可以通過解析數(shù)據(jù)流中的信令消息和媒體信息，分析業(yè)務(wù)層面中受保護(hù)的對象是否受到威脅，即分析數(shù)據(jù)流是否影響到了業(yè)務(wù)層面中任一受保護(hù)的對象的安全性，當(dāng)任一受保護(hù)的對象的安全性受到影響時，可以確定接收到的數(shù)據(jù)流為攻擊流。示例性的，當(dāng)業(yè)務(wù)網(wǎng)元通過解析數(shù)據(jù)流中的信令消息和媒體信息，發(fā)現(xiàn)數(shù)據(jù)流中的會話發(fā)起協(xié)議(sessioninitiationprotocol，sip)報文發(fā)生畸變，例如為超時sip分片報文、多頭域sip報文或缺少關(guān)鍵字頭域的sip報文等時，使得業(yè)務(wù)網(wǎng)元在處理這些報文時，可能會出現(xiàn)錯誤從而導(dǎo)致業(yè)務(wù)網(wǎng)元對數(shù)據(jù)一直進(jìn)行處理，最后甚至導(dǎo)致業(yè)務(wù)網(wǎng)元出現(xiàn)崩潰，從而使得關(guān)鍵資源、正常業(yè)務(wù)流等受保護(hù)對象受到威脅，因而可以確定接收到的數(shù)據(jù)流為業(yè)務(wù)層攻擊流。

再示例性的，若業(yè)務(wù)網(wǎng)元通過解析信令消息發(fā)現(xiàn)，在單位時間段(例如1s)內(nèi)接收到的初始化消息超過預(yù)設(shè)條數(shù)閾值(例如50條)時，業(yè) 務(wù)網(wǎng)元可以認(rèn)為單位時間段內(nèi)接收到的初始化消息數(shù)量過多，可能威脅到受保護(hù)的正常業(yè)務(wù)、帶寬資源等，從而可以確定正在接收的包含該超過預(yù)設(shè)條數(shù)閾值的初始化消息的數(shù)據(jù)流為業(yè)務(wù)層攻擊流。

若業(yè)務(wù)網(wǎng)元確定接收的數(shù)據(jù)流為攻擊流，則業(yè)務(wù)網(wǎng)元還可以確定攻擊流對應(yīng)的攻擊信息，并將該攻擊信息上報給策略控制設(shè)備。該攻擊信息可以包括攻擊流的流描述信息和攻擊流所屬的攻擊類型。當(dāng)然，業(yè)務(wù)網(wǎng)元上報給策略控制設(shè)備的攻擊信息還可以包括其它內(nèi)容，這里不予具體限定。

其中，攻擊流的流描述信息至少可以包括攻擊流的源網(wǎng)絡(luò)協(xié)議ip地址，還可以包括以下至少一項(xiàng)：攻擊流的目的ip地址、源端口、目的端口和傳輸層協(xié)議號。

攻擊流可以分為多種不同的攻擊類型，當(dāng)攻擊流的攻擊行為是針對ip的惡意攻擊時，該攻擊流屬于網(wǎng)絡(luò)層攻擊；當(dāng)攻擊流的攻擊行為是針對業(yè)務(wù)層面上受保護(hù)的對象的攻擊時，該攻擊流屬于業(yè)務(wù)層攻擊。網(wǎng)絡(luò)層攻擊和業(yè)務(wù)層攻擊又可以分別包括多種攻擊類型，具體可以參見發(fā)明內(nèi)容中對網(wǎng)絡(luò)層攻擊和業(yè)務(wù)層攻擊的具體描述。業(yè)務(wù)網(wǎng)元可以根據(jù)攻擊流的攻擊行為所具有的具體攻擊特征，確定攻擊流所屬的具體攻擊類型。

示例性的，當(dāng)攻擊流為多條信令消息，且信令消息請求超過了業(yè)務(wù)網(wǎng)元業(yè)務(wù)層面的各項(xiàng)信令資源的處理能力時，可能導(dǎo)致業(yè)務(wù)網(wǎng)元出現(xiàn)問題，因而可以確定該攻擊流屬于業(yè)務(wù)層攻擊中的信令風(fēng)暴攻擊類型。

示例性的，當(dāng)業(yè)務(wù)網(wǎng)元發(fā)現(xiàn)數(shù)據(jù)流中的數(shù)據(jù)報文包括一定數(shù)量的超時sip分片報文時，超時sip分片報文可能使得業(yè)務(wù)網(wǎng)元在處理這些報文時，可能會出現(xiàn)錯誤從而導(dǎo)致業(yè)務(wù)網(wǎng)元對數(shù)據(jù)一直進(jìn)行處理，最后甚至導(dǎo)致業(yè)務(wù)網(wǎng)元出現(xiàn)崩潰，從而使得業(yè)務(wù)層面的關(guān)鍵資源、正常業(yè)務(wù)流等受保護(hù)對象受到威脅，因而超時sip分片報文屬于畸形報文，包含該超時sip分片報文的數(shù)據(jù)流屬于控制面攻擊中的畸形報文攻擊類型。

需要說明的是，本發(fā)明實(shí)施例中的攻擊流是網(wǎng)絡(luò)中的各業(yè)務(wù)網(wǎng)元自動識別的，并通過上報給策略控制設(shè)備，使得策略控制設(shè)備可以根據(jù)業(yè)務(wù)網(wǎng)元上報的攻擊流的相關(guān)信息，自動生成與攻擊流及攻擊流的攻擊類 型對應(yīng)的流控制策略，這里的流控制策略即為安全策略。從而，可以比人工預(yù)先配置的安全策略更為準(zhǔn)確，不會像防火墻攻擊處理機(jī)制中那樣由于預(yù)先配置錯誤而導(dǎo)致誤操作，從而能夠準(zhǔn)確阻斷攻擊流并保證正常數(shù)據(jù)流安全通過。而且，由于本發(fā)明實(shí)施例提供的方法不需要人工配置和維護(hù)，因而處理過程簡單可靠，可用性強(qiáng)。

103、策略控制設(shè)備接收業(yè)務(wù)網(wǎng)元發(fā)送的攻擊流對應(yīng)的攻擊信息。

策略控制設(shè)備接收業(yè)務(wù)網(wǎng)元上報的攻擊流的攻擊信息，該攻擊信息中可以包括攻擊流的流描述信息和攻擊流所屬的攻擊類型。其中，關(guān)于流描述信息和攻擊類型的描述可以參見上述步驟102。

104、策略控制設(shè)備確定攻擊類型對應(yīng)的流控制策略，流控制策略包括流處理策略和執(zhí)行策略。

策略控制設(shè)備可以根據(jù)不同攻擊流所屬的不同攻擊類型，確定與特定的攻擊類型對應(yīng)的流控制策略，即策略控制設(shè)備根據(jù)攻擊類型自動生成對應(yīng)的安全策略，這里的流控制策略可以包括流處理策略和執(zhí)行策略，當(dāng)然還可以包括其它處理策略，這里不做具體限定。當(dāng)流控制策略包括流處理策略和執(zhí)行策略時，具體的，策略控制設(shè)備中可以保存有預(yù)先設(shè)置的攻擊類型與流處理策略以及執(zhí)行策略的映射關(guān)系，在業(yè)務(wù)網(wǎng)元確定攻擊流所屬的攻擊類型后，策略控制設(shè)備可以為該攻擊流生成與其攻擊類型對應(yīng)的流處理策略和執(zhí)行策略。

需要說明的是，策略控制設(shè)備根據(jù)攻擊流的攻擊類型自動生成的流控制策略，是與攻擊流的攻擊類型專門對應(yīng)的安全策略，因而對于不同攻擊類型的攻擊流，均能夠通過專門的安全策略更好地對攻擊流進(jìn)行處理。而現(xiàn)有防火墻攻擊處理機(jī)制中，并不會針對不同的攻擊類型進(jìn)行專門的安全策略配置，而是針對所有攻擊類型，均采用預(yù)先配置的通用的安全策略進(jìn)行攻擊處理，因而防攻擊效果不好。

其中，流處理策略用于對攻擊流進(jìn)行處理?？蛇x地，流處理策略可以包括刪除符合所述攻擊流的流描述信息的數(shù)據(jù)流對應(yīng)的流表，重定向符合所述攻擊流的流描述信息的數(shù)據(jù)流，或者限制符合所述攻擊流的流描述信息的數(shù)據(jù)流的流量。示例性的，對于惡意報文攻擊類型，可以通過添加黑名單的方式，刪除符合所述攻擊流的流描述信息的數(shù)據(jù)流對應(yīng) 的流表；對于畸形報文攻擊類型，也可以采取刪除符合所述攻擊流的流描述信息的數(shù)據(jù)流對應(yīng)的流表，拒絕接收后續(xù)報文；對于信令風(fēng)暴攻擊類型，可以采取流量控制方式，限制符合所述攻擊流的流描述信息的數(shù)據(jù)流的流量；對于帶寬盜用攻擊，也可以采取限制符合所述攻擊流的流描述信息的數(shù)據(jù)流的流量的處理方式等。

其中，執(zhí)行策略用于描述流處理策略具體通過何種方式執(zhí)行。可選地，執(zhí)行策略可以包括立即執(zhí)行、周期執(zhí)行或在特定時段內(nèi)執(zhí)行流處理策略。

需要說明的是，具體的流處理策略和執(zhí)行策略除了可以與攻擊類型相對應(yīng)以外，還可以在策略控制設(shè)備側(cè)根據(jù)單用戶的個性化要求和單服務(wù)的個性化特征進(jìn)行定制，從而對攻擊流進(jìn)行個性化處理，滿足單用戶單服務(wù)的定制業(yè)務(wù)體驗(yàn)。而現(xiàn)有技術(shù)中的防火墻攻擊處理機(jī)制采用通用安全策略對攻擊流進(jìn)行處理，并不能針對某個特定用戶或特定服務(wù)進(jìn)行個性化處理。

105、策略控制設(shè)備將攻擊流的流描述信息和流控制策略發(fā)送給軟件定義網(wǎng)絡(luò)sdn控制器，以便于所述sdn控制器根據(jù)所述流控制策略，對符合所述攻擊流的流描述信息的數(shù)據(jù)流進(jìn)行處理。

策略控制設(shè)備可以通過圖3所示架構(gòu)中，策略控制設(shè)備與sdn控制器之間的接口，將攻擊流的流描述信息和流控制策略發(fā)送給軟件定義網(wǎng)絡(luò)sdn控制器，以便于sdn控制器及時根據(jù)所述流控制策略，對符合所述攻擊流的流描述信息的數(shù)據(jù)流進(jìn)行處理。

106、sdn控制器接收策略控制設(shè)備發(fā)送的攻擊流的流描述信息和流控制策略，流控制策略包括流處理策略和執(zhí)行策略。

sdn控制器通過與策略控制設(shè)備之間的接口，接收策略控制設(shè)備發(fā)送的攻擊流的流描述信息和流控制策略。其中，關(guān)于流描述信息具體可以參見上述步驟102中的描述，關(guān)于流控制策略、流處理策略和執(zhí)行策略具體可以參見上述步驟104中的描述。

107、sdn控制器根據(jù)流控制策略，對符合攻擊流的流描述信息的數(shù)據(jù)流進(jìn)行處理。

在本步驟中，sdn控制器可以根據(jù)接收到的流控制策略，對符合攻擊流的流描述信息的數(shù)據(jù)流進(jìn)行處理，可以使得通過sdn控制器到達(dá)后端網(wǎng)絡(luò)及后端網(wǎng)元的數(shù)據(jù)流，為正常的通信數(shù)據(jù)流。

可選地，攻擊流的流描述信息至少包括攻擊流的源網(wǎng)絡(luò)協(xié)議ip地址，步驟107具體可以包括：

業(yè)務(wù)網(wǎng)元根據(jù)流控制策略，對源ip地址為攻擊流的流描述信息中的源ip地址的數(shù)據(jù)流進(jìn)行處理。

由于攻擊流通常是具有攻擊性的持續(xù)的數(shù)據(jù)流，因而在確定攻擊流的流描述信息中的源ip地址后，該ip地址隨后發(fā)送的數(shù)據(jù)流也可能為攻擊流，因而sdn控制器可以根據(jù)接收到的流控制策略，及時對該ip地址發(fā)送的數(shù)據(jù)流進(jìn)行處理，避免sdn控制器后端網(wǎng)絡(luò)及后端網(wǎng)元繼續(xù)被攻擊。其中，sdn控制器后端的網(wǎng)元可以包括業(yè)務(wù)網(wǎng)元，也可以包括其它網(wǎng)元。

示例性的，以流控制策略包括流處理策略和執(zhí)行策略為例，若流描述信息中包括的攻擊流的源ip地址為ip地址1，且攻擊流的攻擊類型為sip畸形報文攻擊，則ip地址1隨后發(fā)送至網(wǎng)絡(luò)中任一業(yè)務(wù)網(wǎng)元的數(shù)據(jù)流中的報文也可能是sip畸形報文，從而可能對目的端網(wǎng)元造成攻擊，因而sdn控制器可以采取立即(執(zhí)行策略)刪除流表(流處理策略)的方式拒絕接收ip地址1后續(xù)發(fā)送的報文，從而使得ip地址1發(fā)送的攻擊報文無法發(fā)送至sdn控制器，更無法發(fā)送至sdn控制器后端的業(yè)務(wù)網(wǎng)元，從而可以阻止sdn控制器后端網(wǎng)絡(luò)及后端網(wǎng)元繼續(xù)受到來自于ip地址1的攻擊。

進(jìn)一步地，攻擊流的流描述信息還可以包括以下至少一項(xiàng)：攻擊流的源端口、目的端口和傳輸層協(xié)議號。

可選地，攻擊流的流描述信息包括攻擊流的源ip地址和目的ip地址，步驟107具體可以包括：

業(yè)務(wù)網(wǎng)元根據(jù)流控制策略，對源ip地址為攻擊流的流描述信息中的源ip地址，且目的ip地址為攻擊流的流描述信息中的目的ip地址的數(shù)據(jù)流進(jìn)行處理。

由于攻擊流通常是具有攻擊性的持續(xù)的數(shù)據(jù)流，因而在確定攻擊流的流描述信息中的源ip地址和目的ip地址之后，隨后從該源ip地址發(fā)送至該目的ip地址的數(shù)據(jù)流也很可能為攻擊流，因而sdn控制器可以根據(jù)接收到的流控制策略，及時對從該源ip地址發(fā)送至該目的ip地址的數(shù)據(jù)流進(jìn)行處理，從而可以阻斷該源ip地址發(fā)送的攻擊流對sdn控制器后端網(wǎng)絡(luò)及后端網(wǎng)元的攻擊。

可選地，攻擊流的流描述信息包括攻擊流的五元組，步驟107具體可以包括：

業(yè)務(wù)網(wǎng)元根據(jù)流控制策略，對源ip地址為攻擊流的流描述信息中的源ip地址，源端口為攻擊流的流描述信息中的源端口，目的ip地址為攻擊流的流描述信息中的目的ip地址，目的端口為攻擊流的流描述信息中的目的端口，且傳輸層協(xié)議號為攻擊流的流描述信息中的傳輸層協(xié)議號的數(shù)據(jù)流進(jìn)行處理。

由于攻擊流通常是具有攻擊性的持續(xù)的數(shù)據(jù)流，因而在確定攻擊流的流描述信息中的五元組之后，網(wǎng)絡(luò)中與該五元組對應(yīng)的數(shù)據(jù)流為攻擊流的可能性很大，因而sdn控制器可以根據(jù)接收到的流控制策略，及時對從符合該五元組的數(shù)據(jù)流進(jìn)行處理，從而阻止該五元組對應(yīng)的攻擊流繼續(xù)對sdn控制器后端網(wǎng)絡(luò)及后端網(wǎng)元進(jìn)行攻擊。

在本步驟中，sdn控制器根據(jù)策略控制設(shè)備下發(fā)的流控制策略，及時對符合攻擊流的流描述信息的數(shù)據(jù)流進(jìn)行處理，可以從ip層轉(zhuǎn)發(fā)面阻斷攻擊流，從而達(dá)到保護(hù)sdn控制器后端網(wǎng)絡(luò)及后端網(wǎng)元的目的。具體的，通過sdn控制器在ip層轉(zhuǎn)發(fā)面對攻擊流進(jìn)行處理，可以在攻擊流從源端進(jìn)入ip承載網(wǎng)時即被sdn控制器及時進(jìn)行了處理，因而不會占用sdn控制器后端網(wǎng)絡(luò)及后端網(wǎng)元中的帶寬，從而減少了運(yùn)行商網(wǎng)絡(luò)帶寬的消耗，提高了網(wǎng)絡(luò)傳輸性能。而在現(xiàn)有技術(shù)中的防火墻攻擊處理機(jī)制中，防火墻可以將識別出的攻擊流隔離在防火墻之外，但仍占用了防火墻之外的ip承載網(wǎng)及網(wǎng)元的物理帶寬。

綜上所述，本發(fā)明實(shí)施例提供的方法可以提升sdn控制器后端網(wǎng)絡(luò)及后端網(wǎng)元的防攻擊能力，尤其是核心網(wǎng)中的網(wǎng)元的防攻擊能力。由于核心網(wǎng)在網(wǎng)絡(luò)中的影響范圍較大，因而提升核心網(wǎng)中的網(wǎng)元的防攻擊能 力具有較大的價值和意義。

此外，本發(fā)明實(shí)施例提供的方法可以在現(xiàn)有g(shù)x接口的基礎(chǔ)上，打通了策略控制設(shè)備與sdn控制器之間的接口，實(shí)現(xiàn)了端到端的網(wǎng)絡(luò)資源(空口、ip數(shù)據(jù)流)策略控制，包括qos策略控制、ip數(shù)據(jù)流路徑調(diào)整策略控制、攻擊流處理策略控制等。并且，由于流控制策略可以在處理過程中自動生成，因而可以根據(jù)單用戶單業(yè)務(wù)的業(yè)務(wù)需求，生成適合特定用戶的個性化安全策略并自動執(zhí)行。

本發(fā)明實(shí)施例提供的攻擊處理方法，通過業(yè)務(wù)網(wǎng)元自動識別網(wǎng)絡(luò)中的攻擊流，并將已識別的攻擊流的流描述信息和攻擊類型上報給策略控制設(shè)備，策略控制設(shè)備自動生成與攻擊類型對應(yīng)的流控制策略，并將攻擊流的流描述信息和流控制策略發(fā)送給sdn控制器，sdn控制器根據(jù)流控制策略對符合攻擊流的流描述信息的數(shù)據(jù)流進(jìn)行處理，從而可以從ip層轉(zhuǎn)發(fā)面阻斷攻擊流，達(dá)到保護(hù)sdn控制器后端網(wǎng)絡(luò)及后端網(wǎng)元的目的，因而能夠解決由于現(xiàn)有攻擊處理機(jī)制容易出現(xiàn)誤操作，從而使得網(wǎng)絡(luò)容易受到安全攻擊或者正常數(shù)據(jù)流被阻斷的問題。

本發(fā)明另一實(shí)施例提供一種策略控制設(shè)備500，參見圖5，該策略控制設(shè)備500可以包括：

接收單元501，可以用于接收業(yè)務(wù)網(wǎng)元發(fā)送的攻擊流對應(yīng)的攻擊信息，攻擊信息包括攻擊流的流描述信息和攻擊流所屬的攻擊類型。

確定單元502，可以用于確定接收單元501接收的攻擊類型對應(yīng)的流控制策略，流控制策略包括流處理策略和執(zhí)行策略。

發(fā)送單元503，可以用于將接收單元501接收的攻擊流的流描述信息和確定單元502確定的流控制策略發(fā)送給軟件定義網(wǎng)絡(luò)sdn控制器，以便于sdn控制器根據(jù)流控制策略，對符合攻擊流的流描述信息的數(shù)據(jù)流進(jìn)行處理。

sdn控制器根據(jù)流控制策略對符合攻擊流的流描述信息的數(shù)據(jù)流進(jìn)行處理，可以從ip層轉(zhuǎn)發(fā)面阻斷攻擊流，達(dá)到保護(hù)sdn控制器后端網(wǎng)絡(luò)及后端網(wǎng)元的目的。

其中，攻擊流的流描述信息至少可以包括攻擊流的源網(wǎng)絡(luò)協(xié)議ip 地址，還可以包括以下至少一項(xiàng)：攻擊流的目的ip地址、源端口、目的端口和傳輸層協(xié)議號。

這里的流處理策略可以包括刪除符合攻擊流的流描述信息的數(shù)據(jù)流對應(yīng)的流表，重定向符合攻擊流的流描述信息的數(shù)據(jù)流，或者限制符合攻擊流的流描述信息的數(shù)據(jù)流的流量。

其中的執(zhí)行策略可以包括立即執(zhí)行、周期執(zhí)行或在特定時段內(nèi)執(zhí)行流處理策略。

本發(fā)明實(shí)施例提供的一種策略控制設(shè)備，通過接收業(yè)務(wù)網(wǎng)元發(fā)送的攻擊流的攻擊信息，并根據(jù)攻擊信息中的攻擊類型確定對應(yīng)的流控制策略，并將流控制策略和攻擊信息中的流描述信息發(fā)送給sdn控制器，以使得sdn控制器可以根據(jù)流控制策略對符合攻擊流的流描述信息的數(shù)據(jù)流進(jìn)行處理，從而可以從ip層轉(zhuǎn)發(fā)面阻斷攻擊流，達(dá)到保護(hù)sdn控制器后端網(wǎng)絡(luò)及后端網(wǎng)元的目的，避免由于人工預(yù)先設(shè)置安全策略容易出現(xiàn)誤操作而導(dǎo)致的安全問題。

本發(fā)明另一實(shí)施例提供一種軟件定義網(wǎng)絡(luò)sdn控制器600，參見圖6，該sdn控制器600可以包括：

接收單元601，可以用于接收策略控制設(shè)備發(fā)送的攻擊流的流描述信息和流控制策略，流控制策略包括流處理策略和執(zhí)行策略。

其中，sdn控制器600的接收單元601接收到的策略控制設(shè)備發(fā)送的流控制策略，是策略控制設(shè)備根據(jù)業(yè)務(wù)網(wǎng)元發(fā)送的攻擊流對應(yīng)的攻擊類型確定的，且sdn控制器600的接收單元601接收到的策略控制設(shè)備發(fā)送的攻擊流的流描述信息，是從業(yè)務(wù)網(wǎng)元接收到的。

處理單元602，可以用于根據(jù)接收單元601接收的流控制策略，對符合接收單元601接收的攻擊流的流描述信息的數(shù)據(jù)流進(jìn)行處理。

sdn控制器600根據(jù)流控制策略對符合攻擊流的流描述信息的數(shù)據(jù)流進(jìn)行處理，可以從ip層轉(zhuǎn)發(fā)面阻斷攻擊流，保護(hù)sdn控制器600后端網(wǎng)絡(luò)及后端網(wǎng)元。

可選地，攻擊流的流描述信息至少包括攻擊流的源網(wǎng)絡(luò)協(xié)議ip地址，處理單元602具體可以用于：

根據(jù)流控制策略，對源ip地址為攻擊流的流描述信息中的源ip地址的數(shù)據(jù)流進(jìn)行處理。

這里的攻擊流的流描述信息還可以包括以下至少一項(xiàng)：攻擊流的源端口、目的端口和傳輸層協(xié)議號。

本發(fā)明實(shí)施例提供的一種sdn控制器，通過接收策略控制設(shè)備發(fā)送的攻擊流的流控制策略和流描述信息，根據(jù)該流控制策略對符合該流描述信息的數(shù)據(jù)流進(jìn)行處理，從而可以從ip層轉(zhuǎn)發(fā)面阻斷攻擊流，達(dá)到保護(hù)sdn控制器后端網(wǎng)絡(luò)及后端網(wǎng)元的目的，避免由于人工預(yù)先設(shè)置安全策略容易出現(xiàn)誤操作而導(dǎo)致的安全問題。

本發(fā)明另一實(shí)施例提供一種業(yè)務(wù)網(wǎng)元700，參見圖7，該業(yè)務(wù)網(wǎng)元700可以包括：

接收單元701，可以用于接收數(shù)據(jù)流。

確定單元702，可以用于確定接收單元701接收的數(shù)據(jù)流是否為攻擊流。

其中，攻擊流可以包括網(wǎng)絡(luò)層攻擊流或業(yè)務(wù)層攻擊流。

發(fā)送單元703，可以用于在確定單元702確定數(shù)據(jù)流為攻擊流時，將攻擊流對應(yīng)的攻擊信息發(fā)送給策略控制設(shè)備，攻擊信息包括攻擊流的流描述信息和攻擊流所屬的攻擊類型。

業(yè)務(wù)網(wǎng)元700通過發(fā)送單元703，將確定的攻擊流對應(yīng)的攻擊信息發(fā)送給策略控制設(shè)備，可以使得策略控制設(shè)備根據(jù)攻擊信息中的攻擊類型確定對應(yīng)的流控制策略，并將流控制策略以及攻擊信息中的流描述信息發(fā)送給sdn控制器，進(jìn)而使得sdn控制器可以根據(jù)該流控制策略對符合該流描述信息的數(shù)據(jù)流進(jìn)行處理，從而可以從ip層轉(zhuǎn)發(fā)面阻斷攻擊流，保護(hù)sdn控制器后端網(wǎng)絡(luò)及后端網(wǎng)元。

可選地，確定單元702確定數(shù)據(jù)流為業(yè)務(wù)層攻擊流具體可以包括：

若通過解析數(shù)據(jù)流中的信令消息和媒體信息，確定數(shù)據(jù)流影響到業(yè)務(wù)層面受保護(hù)對象的安全性，則確定數(shù)據(jù)流為業(yè)務(wù)層攻擊流，業(yè)務(wù)層面包括控制面、用戶面和管理面。

這里的攻擊流的流描述信息至少包括攻擊流的源網(wǎng)絡(luò)協(xié)議ip地址， 還可以包括以下至少一項(xiàng)：目的ip地址、源端口、目的端口和傳輸層協(xié)議號。

本發(fā)明實(shí)施例提供的一種業(yè)務(wù)網(wǎng)元，在確定數(shù)據(jù)流為攻擊流后，通過將攻擊流對應(yīng)的攻擊信息發(fā)送給策略控制設(shè)備，以使得策略控制設(shè)備可以根據(jù)攻擊信息中的攻擊類型確定對應(yīng)的流控制策略，并將流控制策略以及攻擊信息中的流描述信息發(fā)送給sdn控制器，進(jìn)而使得sdn控制器可以根據(jù)該流控制策略對符合該流描述信息的數(shù)據(jù)流進(jìn)行處理，從而可以從ip層轉(zhuǎn)發(fā)面阻斷攻擊流，達(dá)到保護(hù)sdn控制器后端網(wǎng)絡(luò)及后端網(wǎng)元的目的，避免由于人工預(yù)先設(shè)置安全策略容易出現(xiàn)誤操作而導(dǎo)致的安全問題。

本發(fā)明另一實(shí)施例提供一種策略控制設(shè)備800，參見圖8，該策略控制設(shè)備800可以采用通用計算機(jī)系統(tǒng)結(jié)構(gòu)，執(zhí)行本發(fā)明方案的程序代碼保存在存儲器803中，并由處理器802來控制執(zhí)行，可以包括總線801，處理器802，存儲器803，通信接口804。其中，總線801包括一通路，在計算機(jī)各個部件之間傳送信息；存儲器803用于保存操作系統(tǒng)和執(zhí)行本發(fā)明方案的程序。操作系統(tǒng)是用于控制其他程序運(yùn)行，管理系統(tǒng)資源的程序。執(zhí)行本發(fā)明方案的程序代碼保存在存儲器803中，并由處理器802來控制執(zhí)行。

具體的，在本發(fā)明實(shí)施例中，通信接口804可以用于接收業(yè)務(wù)網(wǎng)元發(fā)送的攻擊流對應(yīng)的攻擊信息，攻擊信息包括攻擊流的流描述信息和攻擊流所屬的攻擊類型；處理器802可以用于基于流描述信息和攻擊類型，確定對應(yīng)的流控制策略，流控制策略包括流處理策略和執(zhí)行策略；通信接口804還可以用于將攻擊流的流描述信息和流控制策略發(fā)送給軟件定義網(wǎng)絡(luò)sdn控制器，以便于sdn控制器根據(jù)流控制策略，對符合攻擊流的流描述信息的數(shù)據(jù)流進(jìn)行處理。

本發(fā)明實(shí)施例提供的一種策略控制設(shè)備，通過接收業(yè)務(wù)網(wǎng)元發(fā)送的攻擊流的攻擊信息，根據(jù)攻擊信息中的攻擊類型確定對應(yīng)的流控制策略，并將流控制策略和攻擊信息中的流描述信息發(fā)送給sdn控制器，以使得sdn控制器可以根據(jù)流控制策略對符合攻擊流的流描述信息的數(shù)據(jù)流進(jìn)行處理，從而可以從ip層轉(zhuǎn)發(fā)面阻斷攻擊流，達(dá)到保護(hù)sdn控 制器后端網(wǎng)絡(luò)及后端網(wǎng)元的目的，避免由于人工預(yù)先設(shè)置安全策略容易出現(xiàn)誤操作而導(dǎo)致的安全問題。

本發(fā)明另一實(shí)施例提供一種軟件定義網(wǎng)絡(luò)sdn控制器900，參見圖9，該sdn控制器900可以采用通用計算機(jī)系統(tǒng)結(jié)構(gòu)，執(zhí)行本發(fā)明方案的程序代碼保存在存儲器903中，并由處理器902來控制執(zhí)行，可以包括總線901，處理器902，存儲器903，通信接口904。其中，總線901包括一通路，在計算機(jī)各個部件之間傳送信息；存儲器903用于保存操作系統(tǒng)和執(zhí)行本發(fā)明方案的程序。操作系統(tǒng)是用于控制其他程序運(yùn)行，管理系統(tǒng)資源的程序。執(zhí)行本發(fā)明方案的程序代碼保存在存儲器903中，并由處理器902來控制執(zhí)行。

具體的，在本發(fā)明實(shí)施例中，通信接口904可以用于接收策略控制設(shè)備發(fā)送的攻擊流的流描述信息和流控制策略，流控制策略包括流處理策略和執(zhí)行策略；處理器902可以用于根據(jù)流控制策略，對符合攻擊流的流描述信息的數(shù)據(jù)流進(jìn)行處理。

本發(fā)明實(shí)施例提供的一種sdn控制器，通過接收策略控制設(shè)備發(fā)送的攻擊流的流控制策略和流描述信息，根據(jù)該流控制策略對符合該流描述信息的數(shù)據(jù)流進(jìn)行處理，從而可以從ip層轉(zhuǎn)發(fā)面阻斷攻擊流，達(dá)到保護(hù)sdn控制器后端網(wǎng)絡(luò)及后端網(wǎng)元的目的，避免由于人工預(yù)先設(shè)置安全策略容易出現(xiàn)誤操作而導(dǎo)致的安全問題。

本發(fā)明另一實(shí)施例提供一種業(yè)務(wù)網(wǎng)元1000，參見圖10，該業(yè)務(wù)網(wǎng)元1000可以采用通用計算機(jī)系統(tǒng)結(jié)構(gòu)，執(zhí)行本發(fā)明方案的程序代碼保存在存儲器1003中，并由處理器1002來控制執(zhí)行，可以包括總線1001，處理器1002，存儲器1003，通信接口1004。其中，總線1001包括一通路，在計算機(jī)各個部件之間傳送信息；存儲器1003用于保存操作系統(tǒng)和執(zhí)行本發(fā)明方案的程序。操作系統(tǒng)是用于控制其他程序運(yùn)行，管理系統(tǒng)資源的程序。執(zhí)行本發(fā)明方案的程序代碼保存在存儲器1003中，并由處理器1002來控制執(zhí)行。

具體的，在本發(fā)明實(shí)施例中，通信接口1004可以用于接收數(shù)據(jù)流；處理器1002可以用于確定數(shù)據(jù)流是否為攻擊流，通信接口1004還可以用于若確定數(shù)據(jù)流為攻擊流，則將攻擊流對應(yīng)的攻擊信息發(fā)送給策略控 制設(shè)備，攻擊信息包括攻擊流的流描述信息和攻擊流所屬的攻擊類型。

本發(fā)明實(shí)施例提供的一種業(yè)務(wù)網(wǎng)元，在確定數(shù)據(jù)流為攻擊流后，通過將攻擊流對應(yīng)的攻擊信息發(fā)送給策略控制設(shè)備，以使得策略控制設(shè)備可以根據(jù)攻擊信息中的攻擊類型確定對應(yīng)的流控制策略，并將流控制策略以及攻擊信息中的流描述信息發(fā)送給sdn控制器，進(jìn)而使得sdn控制器可以根據(jù)該流控制策略對符合該流描述信息的數(shù)據(jù)流進(jìn)行處理，從而可以從ip層轉(zhuǎn)發(fā)面阻斷攻擊流，達(dá)到保護(hù)sdn控制器后端網(wǎng)絡(luò)及后端網(wǎng)元的目的，避免由于人工預(yù)先設(shè)置安全策略容易出現(xiàn)誤操作而導(dǎo)致的安全問題。

本發(fā)明又一實(shí)施例提供一種系統(tǒng)1100，參見圖11，該系統(tǒng)1100可以包括如圖5或圖8所示的策略控制設(shè)備，如圖6或圖9所示的sdn控制器，以及如圖7或圖10所示的業(yè)務(wù)網(wǎng)元。

其中，需要說明的是，在上述圖8、9和10所示結(jié)構(gòu)的裝置中，處理器802、902和1002可以是一個通用中央處理器(cpu)，微處理器，特定應(yīng)用集成電路application-specificintegratedcircuit(asic)，或一個或多個用于控制本發(fā)明上述方案程序執(zhí)行的集成電路。

存儲器803、903和1003可以是只讀存儲器read-onlymemory(rom)或可存儲靜態(tài)信息和指令的其他類型的靜態(tài)存儲設(shè)備，隨機(jī)存取存儲器randomaccessmemory(ram)或者可存儲信息和指令的其他類型的動態(tài)存儲設(shè)備，也可以是磁盤存儲器。

通信接口804、904和1004，可以包括接收接口和發(fā)送接口，可以使用任何收發(fā)器一類的裝置，以便與其他設(shè)備或通信網(wǎng)絡(luò)通信，如以太網(wǎng)，無線接入網(wǎng)(ran)，無線局域網(wǎng)(wlan)等。

在本申請所提供的幾個實(shí)施例中，應(yīng)該理解到，所揭露的設(shè)備、方法和系統(tǒng)，可以通過其它的方式實(shí)現(xiàn)。例如，以上所描述的裝置實(shí)施例僅僅是示意性的，例如，所述單元的劃分，僅僅為一種邏輯功能劃分，實(shí)際實(shí)現(xiàn)時可以有另外的劃分方式，例如多個單元或組件可以結(jié)合或者可以集成到另一個系統(tǒng)，或一些特征可以忽略，或不執(zhí)行。另一點(diǎn)，所顯示或討論的相互之間的耦合或直接耦合或通信連接可以是通過一些接口，裝置或單元的間接耦合或通信連接，可以是電性，機(jī)械或其它的 形式。

所述作為分離部件說明的單元可以是或者也可以不是物理上分開的，作為單元顯示的部件可以是或者也可以不是物理單元，即可以位于一個地方，或者也可以分布到多個網(wǎng)絡(luò)單元上。可以根據(jù)實(shí)際的需要選擇其中的部分或者全部單元來實(shí)現(xiàn)本實(shí)施例方案的目的。

另外，在本發(fā)明各個實(shí)施例中的各功能單元可以集成在一個處理單元中，也可以是各個單元單獨(dú)物理包括，也可以兩個或兩個以上單元集成在一個單元中。上述集成的單元既可以采用硬件的形式實(shí)現(xiàn)，也可以采用硬件加軟件功能單元的形式實(shí)現(xiàn)。

上述以軟件功能單元的形式實(shí)現(xiàn)的集成的單元，可以存儲在一個計算機(jī)可讀取存儲介質(zhì)中。上述軟件功能單元存儲在一個存儲介質(zhì)中，包括若干指令用以使得一臺計算機(jī)設(shè)備(可以是個人計算機(jī)，服務(wù)器，或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā)明各個實(shí)施例所述方法的部分步驟。而前述的存儲介質(zhì)包括：u盤、移動硬盤、只讀存儲器(read-onlymemory，簡稱rom)、隨機(jī)存取存儲器ram、磁碟或者光盤等各種可以存儲程序代碼的介質(zhì)。

最后應(yīng)說明的是：以上實(shí)施例僅用以說明本發(fā)明的技術(shù)方案，而非對其限制；盡管參照前述實(shí)施例對本發(fā)明進(jìn)行了詳細(xì)的說明，本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解：其依然可以對前述各實(shí)施例所記載的技術(shù)方案進(jìn)行修改，或者對其中部分技術(shù)特征進(jìn)行等同替換；而這些修改或者替換，并不使相應(yīng)技術(shù)方案的本質(zhì)脫離本發(fā)明各實(shí)施例技術(shù)方案的精神和范圍。