一种分组通信系统中防止攻击的方法及装置的制作方法

专利名称：一种分组通信系统中防止攻击的方法及装置的制作方法
技术领域：
本发明涉及网络通信技术领域，具体地说，涉及分组通信系统中防止 攻击的方法及装置。
背景技术：
随着电信技术的发展，除了原有的语音、短信等电路域的基本服务以 外，分组域的服务发展也很快，按照接入方式可以分为固定接入和移动接
入两类，固定接入通常指宽带接入，包括无线局域网(WLAN);而移动 接入则包括各种移动通信网络提供的分组域服务，如GPRS/UMTS以及未 来演进的SAE网络，CDMA网络、TD-SCDMA网络，WiMax网络等等。
终端(移动或固定)与数据网关建立链路连接，并从数据网关或者其 它IP地址管理节点分配一个IP地址，并通过这个IP地址与业务网络上的对 端进行业务，业务数据流经过数据网关在终端和业务对端之间进行传输。
现有技术提供的一种技术解决方案如下
在固定网络中， 一个常用的防止攻击的手段就是在终端上安装防火墙 软件，随着针对移动终端的攻击越来越普遍，移动终端上使用的防火墙软 件也不断出现。但在终端上安装防火墙软件只能部分解决上述利用终端的 漏洞产生的危害；对其它危害，该方案无能为力。而且防火墙软件本身也 会加快移动终端的耗电。
由于目前固定宽带接入大都采用包月等计费模式，只要防火墙软件能 够保障资料的安全，用户对额外占用的带宽不太在意，并且固定终端对耗 电也不敏感。而对于移动网络，上述其他危害需要认真对待。
另外可以预见，由于目前P2P业务占用了网全各越多的带宽，对固定网 络运营商以后也非常有可能改为包月和流量计费相结合的计费模式，这样 固定网络的用户也受到垃圾攻击数据产生的额外计费影响。
另外，现有技术提供的另一种技术解决方案如下
通常，在数据网关和业务网络(或internet)之间部署防火墙，其中 防火墙将终端一侧的网络看作内部网络，即安全区域；将业务网络一侧看作外部网络，为非安全区域。来自外部网络的数据若在防火墙上不符合相 应的允许规则都将被阻塞。而在防火墙上生威允许规则需要终端从内部网 络首先发送一个数据包，在这个数据包通过防火墙时根据该数据包的信 息，通常是IP五元组(源IP地址，目的IP地址，上层协议类型、源端口 号，目的端口号)及其它一些附加信息，生成这个允许规则。
但攻击者仍然有办法穿透防火墙对终端进行攻击，例如目前有一种被
称为"计费溢出"(Overbilling)的攻击手段。
由此可见，现有的技术方案仍不能很好地解决分组通信系统的终端有 效防止攻击的问题。

发明内容
有鉴于此，本发明实施例提供分组通信系统中防止攻击的方法及装置。
本发明实施例提供一种分组通信系统中防止攻击的方法，包括
获取来自主机的差错报文，所述差错报文携带有所述数据包的特征信 息，所述差错寺艮文是在所述主机接收到不期望的数据包时发送的；
根据所述特征信息生成相应的屏蔽规则；
利用所述屏蔽规则过滤后续的数据报文。
本发明实施例提供一种可防止攻击的装置，包括
接收单元，用于接收主机发送的差错报文，所述差错净艮文携带有数据 报文的相关特征信息；
监测单元，用于监测统计所述接收单元接收到的差错报文；
屏蔽单元，用于生成相应的屏蔽规则，所述屏蔽规则用于对后续数据 4艮文进行过滤；
所述差错报文是在主机在收到不期望的数据报文时发送的。 本发明实施例还提供一种终端设备，包括 接收单元，用于接收数据包以及来自网络侧的消息； 特征信息提取单元，用于提取所接收数据包的特征信息； 发送单元，在接收到不期望的数据包时发送的差错报文，该差错报文 携带有所述数据包的特征信息。本发明实施例提供的技术方案中，通过获取主机在接收到不期望的数 据包时发.送的差错报文，并根据所述特征信息生成相应的屏蔽规则，当在 一段时间内接收到的所述差错报文数量达到预定值或连续接收到的所述 差错报文达到预定数量，利用所述屏蔽规则过滤后续的数据报文，这样在 分組域终端收到外部恶意攻击时，能够通知网络屏蔽恶意数据流，大大降 低终端的安全风险，节约网络资源，避免用户为垃圾数据付费，并节省终 端，特别是移动终端的电源消耗。


图1为本发明第一实施例中防止攻击的方法流程示意图2所示为ICMP不可达差错报文的一般格式；
图3为本发明第二实施例中防止攻击的方法流程示意图。
具体实施例方式
在分组域中，由于终端接入到internet等公共业务网络是一种开放式的 业务才莫式，因此，分组域的终端可能受到来自intemet的攻击，攻击者通过 某种途径获得或者猜测终端的IP地址，并给这个IP地址发送数据包，这些 恶意数据包既可能是寻找终端漏洞的端口扫描数据，也可能是没有其它意 图，仅仅是恶作剧地发送大量垃圾数据占用网络带宽进而堵塞终端。对终 端恶意攻击带来的危害有
可能利用终端的漏洞产生的危害，如泄露用户的帐号、密码，机密文 件，个人隐私等；大量的数据占用了用户和网络的带宽，降低了网络的性 能，干扰用户正常使用业务；由于计费一般在数据网关上完成，因此用户 还要为这些垃圾甚至恶意攻击的数据流付费；对于移动终端来说，垃;及数 据更加快了电池的消耗，减少了待机时间。
为此，本发明实施例提供一种防止攻击的方法，来解决分组通信网络 中终端(也可以称作主机)被恶意数据攻击的问题。通过终端发送的差错 报文，在数据网关或防火墙上生成对应恶意攻击数据流的屏蔽规则，从而 保护终端不再受后续恶意lt据流的攻击。
在典型的分组通信网络-互联网中，主机在接收到不期望的数据流后发送错误报文的方式有如下几种
按照标准TCP/IP协议的规定，当一个主机收到一个UDP数据报文，而 主机并没有监听该UDP报文对应的目的端口时，主机会向发送方返回一个 因特网控制报文协议(ICMP, Internet Control Message Protocol)端口不可 达差错报文(ICMP Port Unreachable )。该差错报文中携带了引起这个错 误的UDP数据报文的IP首部和UDP首部。
当一个主机接收到一个TCP数据报文，而主机并没有监听该TCP报文 的五元组，即源IP地址，目的IP地址，上层协议类型(TCP)、源端口号， 目的端口号所对应的连接时(对于主机收到的是TCP连接消息，只需判断 目的IP地址、上层协议类型(TCP)和目的端口号)主机向对端发送一个 TCP复位报文，该复位报文中包含了引起这个错误的TCP数据报文的五元 组信息。
终端可以是移动终端，也可以是一个TCP/IP主机，通常，终端上并没 有监听恶意攻击数据流对应的端口，因此，在接收到恶意攻击的数据流时， 也会触发发送差错报文，当差错报文经过数据网关或防火墙时，如果数据 网关和防火墙统计到在一段时间内针对某个外部数据流的差错报文的发 送过于频繁，则可以判断当前终端可能被恶意攻击，相应地生成对恶意攻 击数据流的屏蔽规则，阻塞恶意攻击数据流。
另外，终端在接收到自己不希望接收的数据流时，可以显式地给数据 网关，防火墙或者其它第三方逻辑实体发送消息，消息中携带自己希望屏 蔽的外部数据流的特征信息(如五元组)，然后在数据网关或防火墙上生 成对相应恶意攻击数据流的屏蔽规则，阻塞恶意攻击数据流。
终端上判断是否希望接收数据的标准可以通过其上预配置的规则自 动差错报文发送(如上述ICMP端口不可达，或TCP复位消息的触发条件)， 也可以通过询问用户由用户进行判断确认。
为使本发明的原理、特性和优点更加清楚，下面结合具体实施例进行 描述。
实施例1
在本实施例中，数据网关通过探测终端发送的TCP/IP差错报文，判断终端当前所收到的外部数据流为恶意攻击it据，将其屏蔽。
由于本发明实施例中阻塞恶意攻击报文的功能既可以在数据网关实 现上，也可以在数据网关与外部业务网络之间的防火墙上实现，甚至数据 网关可以和防火墙集成，因此，为便于描述，下面的描述不限定具体物理 实体。
参照图1,本发明实施例提供的分组通信系统中防止攻击的方法步骤
如下
步骤S101,终端接收来自外部的不期望的数据包；
外部攻击源向终端发送恶意攻击数据，攻击源穿透防火墙，通过数据 网关到达终端，由于其它类型的业务才艮文一般会被防火墙屏蔽，恶意攻击 数据通常可能是UDP报文，也可能是TCP报文；
步骤S102,在接收到不期望的数据包时发送的差错报文，该差错报文 携带有所述凄t据包的特征信息；
由于终端上没有监听外部不期望的数据对应的端口 ，终端向外部攻击 源发送差错报文，若外部不期望的数据是UDP报文，终端发送ICMP端口 不可达消息给外部数据发送端，消息中携带了引起错误的外部数据的IP首 部和UDP首部信 息;
互联网中，所有的TCP、 UDP、 ICMP及IGMP数据都以IP数据报格式 传输，每一份IP数据报都包含源IP地址和目的IP地址、服务类型(TOS)字段。
UDP是一个简单的面向数据报的运输层协议，UDP数据报文被封装 成一份IP数据报文的格式，IP数据报文包括IP首部、UDP首部以及UDP数 据。IP首部包含源IP地址和目的IP地址，而UDP首部包括源端口号、目的 端口号。
ICMP报文是在主机之间交换的，而不用目的端口号，而UDP数据报 则是从一个特定端口发送到另 一个特定端口 。
ICMP不可达差错报文的一般格式如图2所示。ICMP不可达差错报 文包括生成该差错报文的数据报IP首部，通常还至少包括跟在该IP首部 后面的原IP数据报文中数据的前8个字节。在此，跟在IP首部后面的前8个字节包含UDP的首部。
根据UDP的规则，如果收到一份UDP数据报^目的端口没有任何上层 应用程序在监听，那么UDP返回一个ICMP端口不可达才艮文。
若接收到的外部不期望的数据是TCP报文，终端发送TCP复位消息， 该消息中也携带了引起错误的外部数据的特征信息一一五元组信息，即源 IP地址，目的IP地址，上层协议类型(TCP)、源端口号，目的端口号。
步骤S 103,根据所述差错报文携带的所述数据包的特征信息生成相应 的屏蔽规则；
生成相应的屏蔽规则具体包括在终端接收到终端的差错报告后，将 相应的数据流的特征信息与数据网关上已经生成的所有允许^L则进行比 较，如果某条允许规则与该恶意攻击数据流的特征信息相符，则将该允许 规则置为无效。在这条允许规则被置为无效后，后续恶意攻击数据流就无 法通过数据网关的过滤，不能再到达终端。
另夕卜，在判定数据流为恶意攻击数据流时，在数据网关根据数据流的特 征信息设置屏蔽标志，后续外部攻击源继续向终端发送不期望的数据包， 由于其带有相同的特征信息，匹配所述屏蔽规则，然后数据网关根据屏蔽 标志的指示对数据包进行相应的屏蔽操作。
终端发送的差错报文到达数据网关，数据网关解析报文判断是终端差 错报文，从差错报文中提取触发该错误报文的特征信息(如五元组)，如 果数据网关是首次收到终端针对该外部数据包的差错报文，则根据该特征 信息生成一个数据包的过滤规则，并开始记录针对该数据包收到终端的差 错报文。
数据网关在接收到终端差错报文后，根据策略可以选择将其继续转发 至外部it据源，也可以将其丢弃。
由于恶意攻击数据包一般会短时间内发送大量数据包，从而触发终端 发送多个差错报文。如果在一段时间内数据网关接收到终端对某个数据包 的差错报文过于频繁，超过预先配置的门限，则可以判断终端可能正受到 恶意攻击，则对该恶意攻击数据流进行屏蔽操作；
或者，从终端连续收到的差错报文数量超过预定的数量，则可以判断终端可能正受到恶意攻击，则对该恶意攻击数据流进行屏蔽操作。
在恶意攻走数据流进行屏蔽操作可以采取不同的形式，例如，当判定 该数据流为恶意攻击数据流时，lt据网关将记录的该lt据流的特征信息
(如五元组)与数据网关上已经生成的所有允许规则进行比较，如果某条 允许规则与该恶意攻击数据流的特征信息相符(例如，"计费溢出"攻击 例子中恶意终端通过连接恶意服务器发起业务在数据网关上生成的允许 规则)，则将该允许规则置为无效。由于为了能够通过数据网关的过滤， 恶意攻击服务器必须使用与该允许规则一致的特征信息(如五元组)发送 恶意攻击数据流，在这条允许规则被置为无效后，后续恶意攻击数据流就 无法通过数据网关的过滤，不能再到达终端。
当然，另外一种屏蔽操作实施方法是，数据网关在判定数据流为恶意 攻击数据流时，在数据网关根据数据流的特征信息设置屏蔽标志，后续外 部攻击源继续向终端发送不期望的数据包，由于其带有相同的特征信息， 匹配所述屏蔽MJ'J ，然后数据网关才艮据屏蔽标志的指示对数据包进行相应 的屏蔽操作。
需要说明的是，上述屏蔽恶意数据流的操作方式是以数据网关和防火 墙合设的情况来说明的。
如上所述，数据网关和防火墙可以分离设置，在分离的情况下，可以 由防火墙独立完成上述工作，即在防火墙对上报的差错4艮文进行识别和统 计，并在判定数据流为恶意攻击数据流后，在自身上对该恶意攻击数据流
进行屏蔽；也可以仍然在数据网关上对上报的差错才艮文进行识别和统计， 并在判定数据流为恶意攻击数据流后，向防火墙发送消息，消息中携带需 要屏蔽的数据流特征信息(如五元组)，防火墙根据该特征信息对数据流 进行屏蔽。
步骤S104，利用所述屏蔽规则过滤后续的数据报文。 外部攻击源继续向终端发送不期望的数据包，不期望的lt据包到达数 据网关后被屏蔽，屏蔽的手段可以是丢弃，限速等多种手段。
实施例2
在本实施例中，在分组通信系统中设置一个逻辑网络实体一安全策略管理实体，终端在接收到不期望的外部数据时，向安全策略管理实体发送 一条消息，请求屏蔽该外部数据流。
参照图3,本实施例提供的分组通信系统中防止攻击的方法步骤如下 步骤S301,终端建立到数据网关的链路，获取安全策略管理实体的上 报地址。
安全策略管理实体的上报地址可以配置在终端中；或在数据网关上配 置安全策略管理实体的上报地址，终端连接到网络时，与所述网关交互获 取安全策略管理实体的上报地址；或者网络中其它网元获取到该上报地址 后发送给终端，如，在移动管理实体(MME, Mobile Management Entity) / 服务GPRS支持节点(SGSN, Serving GPRS Supporting Node)上配置该上 报地址或从HSS签约数据中获取该上报地址后传给终端。
数据网关与安全策略管理实体交互协商获取相关策略信息；
步骤S302,外部攻击源向终端发送恶意攻击数据，攻击源穿透防火墙， 通过数据网关到达终端，恶意攻击数据可能是UDP报文，也可能是TCP报 文或其它类型的报文；
步骤S303,终端判断所接收到的数据包不是期望接收的报文，向安全 策略管理实体上报差错报告，报告中携带触发差错报告的外部数据的特征 信息，如IP^艮文五元组。
终端判断数据是否为期望接收的报文可以通过其上预配置的规则自 动发送差错报文(如上述ICMP端口不可达，或TCP复位消息的触发条件)， 也可以通过在终端上显示一个界面询问用户由用户进行判断确认。终端向 安全策略管理实体上报差错报告的方式可以是通过一条信令消息，短消息 或其它可行的方式；
步骤S304,安全策略管理实体接收到终端的差错报告后，生成屏蔽规 则，并将该屏蔽规则下发给数据网关；
安全策略管理实体接收到终端的差错报告后，将相应的数据流的特征 信息与数据网关上已经生成的所有允许规则进行比较，如果某条允许规则 与该恶意攻击数据流的特征信息相符，则将该允许规则置为无效。在这条 允许规则被置为无效后，后续恶意攻击数据流就无法通过数据网关的过滤，不能再到达终端。
另外，在判定数据流为恶意攻击数据流时，在数据网关根据数据流的特 征信息设置屏蔽标志，后续外部攻击源继续向终端发送不期望的数据包， 由于其带有相同的特征信息，匹配所述屏蔽规则，然后数据网关根据屏蔽 标志的指示对数据包进行相应的屏蔽操作。
步骤S305,数据网关上记录屏蔽规则；
步骤S306,外部攻击源继续向终端发送数据包，数据包到达数据网关 后被屏蔽，屏蔽的手段可以是丟弃，限速等多种手段。
本实施例中的安全策略管理实体是一个逻辑实体，具体部署时，可以 和数据网关或防火墙合设，也可以单独部署，通过接口与数据网关或防火 墙交互。
本发明实施例还提供一种可防止攻击的装置，包括 接收单元，用于接收终端发送的差错^R文； 监测单元，用于监测统计所述接收单元接收到的差错报文； 屏蔽单元，用于生成相应的屏蔽规则，并根据所述屏蔽规则对数据净艮 文进行过滤；
所述接收单元接收主机在不期望的数据报文时发送的携带有所述数 据报文的相关特征信息的差错报文；
根据所述屏蔽规则对后续的数据报文进行过滤。
在终端接收到不期望的数据包时发送的差错寺艮文，该差4昔净艮文携带有 所述数据包的特征信息；
由于终端上没有监听外部不期望的数据对应的端口 ，终端向外部攻击 源发送差错报文，若外部不期望的数据是UDP报文，终端反馈ICMP端口 不可达消息给外部数据发送端，消息中携带了引起错误的外部数据的IP首 部和UDP首部信息；
该可防止攻击的装置根据所述差错报文携带的所述数据包的特征信 息生成相应的屏蔽MJ'J;
生成相应的屏蔽规则具体包括在终端接收到终端的差错报告后，将 相应的数据流的特征信息与数据网关上已经生成的所有允许规则进行比较，如果某条允许规则与该恶意攻击数据流的特征信息相符，则将该允许 规则置为无效。在这条允许规则被置为无效后，后续S意攻击数据流就无 法通过数据网关的过滤，不能再到达终端。
另外，在判定数据流为恶意攻击数据流时，在数据网关根据数据流的 特征信息设置屏蔽标志，后续外部攻击源继续向终端发送不期望的数据 包，由于其带有相同的特征信息，匹配所述屏蔽规则，然后凄t据网关才艮据 屏蔽标志的指示对数据包进行相应的屏蔽操作。
终端发送的差4普寺艮文到达该可防止攻击的装置，该可防止攻击的装置 解析报文并从差错报文中提取触发该错误报文的特征信息(如五元组)， 如果数据网关是首次收到终端针对该外部数据包的差错报文，则根据该特 征信息生成一个数据包的过滤规则，并开始记录针对该数据包收到终端的 差错报文。
该可防止攻击的装置在接收到终端差错报文后，根据策略可以选择将 其继续转发至外部数据源，也可以将其丟弃。
由于恶意攻击数据包一般会短时间内发送大量数据包，从而触发终端 发送多个差错报文。如果在一段时间内数据网关接收到终端对某个数据包 的差错报文过于频繁，超过预先配置的门限，则可以判断终端可能正受到
恶意攻击，则对该恶意攻击数据流进行屏蔽操作；
或者，从终端连续收到的差错报文数量超过预定的数量，则可以判断 终端可能正受到恶意攻击，则对该恶意攻击数据流进行屏蔽操作。
若所述不期望的数据报文为UDP报文，所述差错净艮文为ICMP端口 不可达差错报文；
携带有所述数据报文的特征信息包括所述UDP数据报文的IP首部信 息和UDP首部信息。
若所述不期望的数据报文为TCP报文，所述差错报文为TCP复位报
文；
所述差错报文还可以是显式上报信令报文。
本发明实施例还提供一种终端设备，终端设备可以是有线网络终端也 可以是无线网络终端，终端设备在接收到不期望的外部数据时，向安全策略管理实体发送一条消息，请求屏蔽该外部数据流，该消息携带所接收的
外部数据的特征信4，该终端设备包括
接收单元，用于接收数据包以及来自网络侧的消息；
特征信息提取单元，用于提取所接收数据包的特征信息；
发送单元，在接收到不期望的数据包时发送的差错报文，该差错报文
携带有所述数据包的特征信息。
在终端设备中配置安全策略管理实体的上报地址；或 所述安全策略管理实体的上报地址配置在数据网关上，终端连接到网
络时，与所述网关交互获取所述安全策略管理实体的上^R地址。
网络中网元配置所述安全策略管理实体的上报地址，或网络中网元从 HSS签约数据中获取该上报地址；
终端设备保存所接收的安全策略管理实体的地址。 终端在接收到不期望的外部数据时，获取安全策略管理实体的上报地 址，向安全策略管理实体发送一条消息，
终端判断所接收到的数据包不是期望接收的报文，向安全策略管理实 体上报差错报告，请求屏蔽该外部数据流，该报告中携带触发差错报告的 外部数据的特征信息，如IP净艮文五元组。
终端判断数据是否为期望接收的报文可以通过其上预配置的规则自 动发送差错报文(如上述ICMP端口不可达，或TCP复位消息的触发条件)， 也可以通过在终端上显示一个界面询问用户由用户进行判断确认。终端向 安全策略管理实体上报差错报告的方式可以是通过一条信令消息，短消息 或其它可行的方式。
本发明实施例还提供的一种安全策略控制实体上报地址可以配置在 终端中；或在数据网关上配置安全策略管理实体的上才艮地址，终端连接到 网络时，与所述网关交互获取安全策略管理实体的上报地址；或者网络中 其它网元获取到该上报地址后发送给终端，如，在移动管理实体(MME, Mobile Management Entity) /服务GPRS支持节点(SGSN, Serving GPRS Supporting Node )上配置该上才艮地址或从HSS签约数据中获取该上报地址后传给终端。本发明实施例提供的安全策略控制实体包括
接收車元，接收在接收到不期望的数据包时发送的差错报告消息，该
差错报告消息携带有所述数据包的特征信息；所述差错报告消息可以是信
令消息、短消息。
屏蔽规则生成单元，根据所述差错报告消息携带的所述数据包的特征
信息生成相应的屏蔽规则，并根据所述屏蔽规则对数据报文进行过滤；
接收到终端的差错报告后，屏蔽规则生成单元将相应的数据流的特征 信息与数据网关上已经生成的所有允许规则进行比较，如果某条允许规则 与该恶意攻击数据流的特征信息相符，则将该允许规则置为无效。在这条 允许规则被置为无效后，后续恶意攻击数据流就无法通过数据网关的过 滤，不能再到达终端。
另外，在判定数据流为恶意攻击数据流时，屏蔽MJI'J生成单元根据凄t 据流的特征信息设置屏蔽标志，后续外部攻击源继续向终端发送不期望的 数据包，由于其带有相同的特征信息，匹配所述屏蔽规则，然后数据网关 根据屏蔽标志的指示对数据包进行相应的屏蔽操作。 发送单元，将所述屏蔽规则发送给数据网关。
本实施例中的安全策略管理实体是一个逻辑实体，具体部署时，可以 和数据网关或防火墙合设，也可以单独部署，通过接口与数据网关或防火 墙交互。
所述差错报告消息可以是信令消息、短消息。本领域技术人员可以理 解，上述实施例中的全部或部分^^莫块或各步骤是可以通过程序来指令相关 硬件来实现，所述程序可存储于计算机可读取存储介质中，所述存储介 质，如ROM/RAM、磁盘、光碟等。或者将它们分别制作成各个集成电路 模块，或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。 这样，本发明不限制于任何特定的硬件和软件结合。
上述实施例是用于说明和解释本发明的原理的。可以理解，本发明的具体实施方式
不限于此。对于本领域技术人员而言，在不脱离本发明的实 质和范围的前提下进行的各种变更和修改均涵盖在本发明的保护范围之 内。
权利要求
1、一种分组通信系统中防止攻击的方法，其特征在于，包括获取来自主机的差错报文，所述差错报文携带有所述数据包的特征信息，所述差错报文是在所述主机接收到不期望的数据包时发送的；根据所述特征信息生成相应的屏蔽规则；利用所述屏蔽规则过滤后续的数据报文。
2、 如权利要求1所述的方法，其特征在于，所述不期望的数据包为UDP 报文，所述差错报文为ICMP端口不可达差错报文；所述数据报文的特征信息包括所述UDP数据才艮文的IP首部信息和UDP 首部信息。
3、 如权利要求l所述的方法，其特征在于， 所述不期望的数据包为TCP报文，所述差错报文为TCP复位报文； 所述数据报文的特征信息包括该TCP数据报文的五元组信息。
4、 如权利要求l所述的方法，其特征在于， 所述差错报文为显式上报信令报文。
5、 如权利要求l所述的方法，其特征在于，所述分组通信系统中设置有 安全策略管理实体，所述安全策略管理实体的上报地址预先配置在所述主机 上，所述差错报文是通过下述步骤发送的根据所述上报地址将所述差错报文发送给安全策略管理实体。
6、 如权利要求l所述的方法，其特征在于，所述分组通信系统中设置 有安全策略管理实体，所述安全策略管理实体的上报地址配置在数据网关 上，所述差错报文是通过下述步骤发送的所述主机与所述数据网关交互获取所述安全策略管理实体的上报地址， 根据所述上报地址将所述差错报文发送给安全策略管理实体。
7、 一种可防止攻击的装置，其特征在于，包括接收单元，用于接收主机发送的差错报文，所述差错报文携带有数据报文的相关特征信息；监测单元，用于监测统计所述接收单元接收到的差错报文；屏蔽单元，用于生成相应的屏蔽规则，所述屏蔽规则用于对后续数据报文进行过滤；所述差错报文是在主机在收到不期望的数据报文时发送的。
8、 如权利要求7所述的装置，其特征在于，还包括 处理单元，根据所述屏蔽规则对后续的数据报文进行过滤。
9、 如权利要求7所述的装置，其特征在于，还包括发送单元，将所述屏蔽规则发送给数据网关，所述数据网关根据所述屏 蔽规则对后续的数据报文进行过滤。
10、 如权利要求7所述的装置，其特征在于，所述不期望的数据报文为 UDP报文，所述差错报文为ICMP端口不可达差错报文；携带有所述数据报文的特征信息包括所述UDP数据报文的IP首部信息 和UDP首部信息。
11、 如权利要求7所述的装置，其特征在于，所述不期望的数据报文为TCP报文，所述差错报文为TCP复位报文； 所述数据报文的特征信息包括该TCP数据报文的五元组信息。
12、 如权利要求7所述的装置，其特征在于， 所述差错报文为显式上报信令报文。
13、 一种终端设备，其特征在于，包括 接收单元，用于接收数据包以及来自网络侧的消息； 特征信息提取单元，用于提取所接收数据包的特征信息； 发送单元，在接收到不期望的数据包时发送的差错报文，该差错报文携带有所述数据包的特征信息。
14、 如权利要求13所述的终端设备，其特征在于，还包括 设置单元，用于设置安全策略管理实体的上报地址； 所述发送单元在接收单元接收到不期望的数据包时，根据所述上报地址向安全策略管理实体上报差错报告。
15、 如权利要求13所述的终端设备，其特征在于，还包括 存储单元，用于保存所述接收单元接收网络侧发送来的安全策略管理实体的地址；所述发送单元在接收单元接收到不期望的数据包时，根据所述上报地址 向安全策略管理实体上报差错报告。
全文摘要
本发明公开了一种分组通信系统中防止攻击的方法，包括获取主机在接收到不期望的数据包时发送的差错报文，该差错报文携带有所述数据包的特征信息；根据所述特征信息生成相应的屏蔽规则；利用所述屏蔽规则过滤后续的数据报文。另外本发明还提供了相应的装置。根据本发明在分组域终端收到外部恶意攻击时，能够通知网络屏蔽恶意数据流，大大降低终端的安全风险，节约网络资源，避免用户为垃圾数据付费，并节省终端，特别是移动终端的电源消耗。
文档编号H04L29/06GK101494639SQ20081000702
公开日2009年7月29日 申请日期2008年1月25日 优先权日2008年1月25日
发明者宇 银 申请人:华为技术有限公司