专利名称:网络攻击的防范方法、业务控制节点及接入节点的制作方法
技术领域:
本发明涉及通信领域,具体而言,涉及一种网络攻击的防范方法、业务控制节点及 接入节点。
背景技术:
近年来,随着电信业的飞速发展,互联网的普及率也在快速提升,大众对于网络的 了解程度同时也在普遍提升,网络设备所受攻击的频率和猛烈程度也随之不断增长,如何 更好地、在更大的范围内防范网络攻击已经成为越来越重要的研究课题。业务控制节点(Service Node,简称为SN),例如,远端宽带接入服务器(Broadband Remote Access Server,简称为BRAS)、业务路由器(Service Router,简称为SR),业务控制 节点是宽带网络的业务控制网元,在网络中扮演着用户管理、用户业务控制的重要角色,SN 节点的故障会导致大规模宽带用户的业务受到影响,因此,对SN提供足够的安全性保障显 得尤为重要。在目前的宽带接入网络中,SN节点扮演着宽带用户网关的角色,是从用户到因特 网之间唯一用户“可见”的设备,面临用户非法攻击的危险远大于其它的网络设备。当前的 SN设备都是分布式架构的产品,控制和转发各有独立的硬件,其中安全性危险较大的是控 制面硬件(例如,主控板CPU等),所有的用户控制层的报文都会由转发面硬件通过转发/ 控制面传送通道上送控制面硬件进行统一处理,用户对于SN控制面的报文攻击(例如,大 量发送PPPoE、DHCP协议控制消息等)不但会直接导致控制面硬件负担增大、进而影响控制 层硬件对其它控制消息处理能力,而且会导致转发/控制面传送通道拥塞、造成其它控制 消息的处理延迟甚至丢失,对SN安全性影响很大。当前的处理方法是在转发/控制面传送通道上启动流量监管功能,对不同的报 文类型进行限流操作,例如,以大网点对点协议(Point to Point over Ethernet,简称为 PPPoE)控制消息、动态主机配置协议(Dynamic Host Configure Protocol,简称为DHCP) 控制消息、开放式最短路径优先(Open Shortest Path First,简称为0SPF)协议报文等,以 保证控制消息的激增影响控制面对其它类型报文的处理。这种方法的缺陷是,对同一类型 的控制消息做限流可能会导致其中的攻击报文占用了绝大部分的传送带宽,而合法控制消 息反而被丢弃,在保障了控制面安全性的情况下,降低了设备的可用性。由于SN同时管理 了大规模的宽带用户,且无法预知哪些用户可能会发送攻击报文,所以也无法针对用户级 别在转发/控制传送通道上进行限流。与此同时,对于用户对SN节点网络侧设备的攻击,当前的处理方法是,当SN检测 到或SN通过与内置/外置攻击检测设备(例如,深度报文检测(De印Packet Inspection, 简称为DPI)设备等)的联动检测到用户对SN节点网络侧设备的攻击后,在SN上统一对 这些攻击报文执行攻击方法策略。这种方法产生了两个问题,一是AN与SN之间的接入网 络对这些攻击流量没有做处理,二是在大量用户自主或被动(例如,感染病毒)发起网络攻 击时,SN设备需要同时针对多个攻击流量执行网络攻击策略,对SN设备的处理性能要求很高,而这种处理往往是通过独立的硬件支持的,这就增加了 SN设备的复杂度和成本。
发明内容
针对相关技术中对在攻击防范中对不同的报文类型进行限流而导致的合法的控 制消息有可能被丢弃以及无法针对用户进行限流的问题,及业务控制节点集中执行网络攻 击防范策略造成的接入网络对攻击流量没有处理以及业务控制节点处理性能要求高的问 题而提出本发明,为此,本发明的主要目的在于提供一种网络攻击的防范方案,以解决上述 问题。为了实现上述目的,根据本发明的一个方面,提供了 一种网络攻击的防范方法。根据本发明的网络攻击的防范方法包括业务控制节点在确定有用户进行网络攻 击后,将与用户进行的网络攻击对应的防范策略发送给接入节点;接入节点执行防范策略。优选地,在业务控制节点将防范策略发送给接入节点之后,上述方法还包括业务 控制节点向接入节点发送消息,其中,消息中携带有撤销防范策略的信息;接入节点根据消 息撤销防范策略。优选地,防范策略中携带有撤销防范策略的信息,接入节点根据信息撤销防范策 略。优选地,网络攻击的类型包括用户对业务控制节点的攻击和/或用户对业务控 制节点网络侧设备的攻击。优选地,接入节点为用户与业务控制节点之间的支持业务控制节点和接入节点之 间通讯协议的网络节点。优选地,接入节点为最靠近用户并且能够执行防范策略的网络节点。为了实现上述目的,根据本发明的另一方面,提供了 一种业务控制节点。根据本发明的业务控制节点包括确定模块,用于确定有用户进行网络攻击;策 略模块,用于制定与用户进行的网络攻击对应的防范策略;第一发送模块,用于将防范策略 发送给接入节点。优选地,上述业务控制节点还包括第二发送模块,用于向接入节点发送消息,其 中,消息中携带有撤销防范策略的信息,以便于接入节点根据消息撤销防范策略。优选地,策略模块还用于在防范策略中携带撤销防范策略的信息,以便于接入节 点根据信息撤销防范策略。为了实现上述目的,根据本发明的另一方面,还提供了一种接入节点。根据本发明的接入节点包括接收模块,用于在业务控制节点确定有用户进行网 络攻击之后,从业务控制节点接收与用户进行的网络攻击对应的防范策略;执行模块,用于 执行防范策略。优选地,上述接入节点还包括获取模块,用于获取撤销防范策略的信息;撤销模 块,用于根据信息撤销防范策略。通过本发明,采用了业务控制节点在受到攻击或检测到网络侧设备受到攻击之 后,向接入节点发送防范策略,解决了相关技术中对不同的报文类型进行限流操作而导致 的合法的控制消息有可能被丢弃以及无法针对用户进行限流的问题,及业务控制节点集中 执行攻击防范策略造成的接入网络对攻击流量没有处理以及业务控制节点性能要求高的问题,进而能够针对某一具体的用户的攻击行为进行动态的防范,提高了防范的针对性以 及效率,并且能够避免合法的控制消息被丢弃,同时在接入网络中实现网络攻击流量处理, 并降低业务节点集中处理的性能压力。
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发 明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中图1是根据本发明实施例的的网络拓扑的示意图;图2为本发明防范网络攻击的分布式处理方法的流程图;图3是根据本发明实施例的业务控制节点的结构框图;图4是根据本发明实施例的业务控制节点具体的结构框图;图5是根据本发明实施例的接入节点的结构框图;图6是根据本发明实施例的接入节点具体的结构框图。
具体实施例方式功能概述本发明实施例提供了一种防范网络攻击的分布式处理方案,即网络攻击的防范方 案。图1是根据本发明实施例的的网络拓扑的示意图,如图1所示,在本方案中,当SN发现 某用户大量发送控制消息进行报文攻击时,动态生成用户策略,例如,用户上行流量控制、 接入控制列表(Access Control List,简称为ACL)、AN接口媒介接入控制(MediaAccess Control,简称为MAC)表容量限制或黑白名单等,并通过SN与接入节点(Access Node,简称 为AN,如DSLAM、交换机等)之间的通信协议将该策略发送到AN,例如,接入节点控制协议 (Access Node Control Protocol,简称为ANCP,实现对用户攻击报文的分布式处理。该方 案也适用于网络中多个用户同时攻击SN的情况,以及通过SN与内置/外置攻击检测设备 (例如,DPI设备等)的联动实现对网络侧服务器攻击防范的分布式处理方法。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相 互组合。下面将参考附图并结合实施例来详细说明本发明。在以下实施例中,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令 的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以 不同于此处的顺序执行所示出或描述的步骤。方法实施例根据本发明的实施例,提供了一种网络攻击的防范方法,图1是根据本发明实 施例的网络攻击的防范方法的流程图,如图1所示,该方法包括如下的步骤S202至步骤 S206 步骤S202,业务控制节点确定有用户进行网络攻击,S卩,SN设备控制层发现某用 户正在进行网络攻击。优选地,网络攻击的类型可以包括用户对业务控制节点的攻击和/ 或用户对业务控制节点网络侧设备的攻击。在该步骤中,可以是SN发现某用户正在大量发送控制消息对SN进行网络攻击,或 者SN通过与内置/外置攻击检测设备(例如,DPI设备等)联动发现某用户正在对SN网络侧设备进行攻击。步骤S204,业务控制节点将与用户进行的网络攻击对应的防范策略发送给接入节 点,其中,SN可以通过SN与AN之间的通讯协议向AN发送防范策略(即,用户策略)。在该步骤中,SN与AN之间的通讯协议可以是ANCP协议,当然也可以是其他协议; 防范策略可以是用户上行流量控制、ACL、AN接口 MAC表容量限制、黑白名等中的一种或者组合。步骤S206,接入节点根据防范策略防范用户进行的网络攻击,即,接入节点执行该 策略,优选地,接入节点可以向业务控制节点返回执行成功或失败确认消息。接入节点撤销该防范策略的方式有两种方式一,业务控制节点向接入节点发送 消息,其中,消息中携带有撤销防范策略的信息;方式二,防范策略中携带有撤销防范策略 的信息。优选地,接入节点可以是用户与业务控制节点之间的支持业务控制节点和接入节 点之间通讯协议的任一网络节点,最佳的接入节点为最靠近用户并且能够执行防范策略的 网络节点。通过上述的步骤S202至S206,可以利用AN节点的现有机制(例如,ACL、MAC地址 表)来动态实现分布式的攻击防范,只是扩展了 SN与AN之间的通信协议的参数,而不需要 为AN节点增加新的功能。接入节点撤销该防范策略的方式有两种方式一,业务控制节点向接入节点发送 消息,其中,消息中携带有撤销防范策略的信息即,通过SN再次下发撤销消息来实现,这就 要求SN记录每一条下发的执行策略;方式二,防范策略中携带有撤销防范策略的信息。艮口, SN在下发执行策略的同时,携带该策略的执行时间,AN记录该策略的执行时间并在时间结 束之后主动撤销该策略,这种方法不需要SN记录每一条下发的执行策略。其中,可以针对 不同类型的执行策略,可以选择上述两种策略撤销方法之一进行实施。优选地,接入节点可以是用户与业务控制节点之间的支持业务控制节点和接入节 点之间通讯协议的任一网络节点,最佳的接入节点为最靠近用户并且能够执行防范策略的 网络节点。即,上述的AN节点不一定是与用户直连的网络节点,在与用户直连的网络节点 不支持任何一种AN与SN之间的通信协议的情况下,可以选择该网络节点与SN节点之间的 任一支持该类协议的网络节点作为AN节点,其中,AN节点的选择,应在支持AN与SN之间 的通信协议的网络节点中,尽量选择靠近用户的网络节点。下面将结合实例对本发明实施例的实现过程进行详细描述。在以下实施例中,在SN发现某用户对SN或其网络侧设备进行攻击时,通过SN与 AN间的通信协议将攻击防范策略下发到AN。实例一PPPoE用户发送大量PPP控制消息攻击BRAS。步骤Al,BRAS收到大量PPPoE控制消息,判断为某用户正在对SN进行报文攻击;步骤Bi,BRAS通过ANCP协议将该用户对应的0ption82信息(用户为之信息,用 户上线时DSLAM将该信息加入用户的控制消息中发送给BRAS,BRAS可以将该信息绑定用户 的用户名和密码对用户进行认证)以黑名单的形式下发到该用户直连的DSLAM ;步骤Cl,DSLAM接收到该ANCP消息后,根据收到的0ption82信息,对该用户的接入链路进行限速或丢弃所有的流量,并向BRAS返回执行成功的确认消息;步骤Dl,BRAS判断该用户攻击停止,向上述DSLAM节点发送ANCP撤销该策略;步骤El,DSLAM接收到策略撤销消息后,撤销接入链路的限制并返回撤销成功消 息给BRAS。实例二DHCP 用户以传输控制协议(Transmission Control Protocol,简称为 TCP)半连 接方式对SR网络侧服务器发起攻击。步骤A2,SR通过旁挂或内置的攻击检测设备(例如,DPI设备等),发现某DHCP用 户正在以TCP半连接方式攻击SR网络侧的某台服务器;步骤B2,SR通过ANCP协议向与该用户的MAC地址信息以黑名单的方式发送给与 该用户直连的交换机;步骤C2,交换机收到该ANCP消息后,对该MAC地址对应的用户端口进行上行流量 限速或丢弃所有的流量,并向SR返回执行成功的确认消息;步骤D2,SR通过内置/外置攻击检测设备(例如,DPI设备等)发现该用户攻击 停止,向上述交换机节点发送ANCP撤销该策略;步骤E2,交换机收到策略撤销消息后,撤销接入链路的限制并返回撤销成功消息 给SR。实例三DHCP用户针对SR网络服务器进行MAC地址轮询攻击。步骤A3,SR通过旁挂或内置的攻击检测设备(例如,DPI设备等),发现某用户正 在对网络侧某台服务器进行MAC地址轮询攻击;步骤B3,SR根据该用户报文的VLAN信息找到对应的交换机,并通过ANCP协议向 该交换机发送MAC地址学习能力限制消息,附带VLAN信息和设定的策略执行时间;步骤C3,交换机收到该ANCP消息之后,在该VLAN内部进行MAC地址学习能力限 制,对于超过设定的学习能力的报文进行丢弃处理,并向SR返回执行成功的确认消息;步骤D2,交换机在策略执行时间达到上述ANCP消息中附带的设定时间时,取消 MAC地址学习能力限制。装置实施例对应与上述的方法实施例中的方法,根据本发明的实施例,提供了一种业务控制 节点,图3是根据本发明实施例的业务控制节点的结构框图,如图3所示,该业务控制节点 包括确定模块32、策略模块34、第一发送模块36,下面对该结构进行详细的说明。确定模块32,用于确定有用户进行网络攻击;策略模块34连接至确定模块32,用 于制定与用户进行的网络攻击对应的防范策略;第一发送模块36连接至策略模块34,用于 将防范策略发送给接入节点。图4是根据本发明实施例的业务控制节点具体的结构框图,优选地,如图4所示, 该业务控制节点还包括第二发送模块42,该模块用于向接入节点发送消息,其中,消息中 携带有撤销防范策略的信息,以便于接入节点根据消息撤销防范策略。优选地,策略模块34还用于在防范策略中携带撤销防范策略的信息,以便于接入 节点根据信息撤销防范策略。
对应于上述方法实施例中的方法,根据本发明的实施例,还提供了一种接入节点, 图5是根据本发明实施例的接入节点的结构框图,如图5所示,该接入节点包括接收模块 52、执行模块54,下面对给结构进行详细的说明。接收模块52,用于在业务控制节点确定有用户进行网络攻击之后,从业务控制节 点接收与用户进行的网络攻击对应的防范策略;执行模块M连接至接收模块52,用于根据 防范策略防范用户进行的报文攻击。图6是根据本发明实施例的接入节点具体的结构框图,如图6所示,该接入节点还 包括获取模块62、撤销模块64,下面对此进行详细的说明。获取模块62,用于获取撤销防范策略的信息,其中,该撤销该防范策略的信息可以 从业务控制节点获取;撤销模块64连接至获取模块62,用于根据信息撤销防范策略。需要说明的是,装置实施例中描述的业务控制节点和接入节点对应于上述的方法 实施例,其具体的实现方法在方法实施例中已经进行过详细说明,在此不再赘述。综上所述,通过本发明的上述实施例,解决了相关技术中对不同的报文类型进行 限流操作而导致的合法的控制消息有可能被丢弃以及无法针对用户进行限流的问题,进而 能够针对某一具体的用户的攻击行为进行动态的防范,提高了防范的针对性以及效率,并 且能够避免合法的控制消息被丢弃。显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用 的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成 的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储 在存储装置中由计算装置来执行,或者将它们分别制作成各个集成电路模块,或者将它们 中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的 硬件和软件结合。以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技 术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修 改、等同替换、改进等,均应包含在本发明的保护范围之内。
权利要求
1.一种网络攻击的防范方法,其特征在于,包括业务控制节点在确定有用户进行网络攻击后,将与所述用户进行的网络攻击对应的防 范策略发送给接入节点;所述接入节点执行所述防范策略。
2.根据权利要求1所述的方法,其特征在于,在所述业务控制节点将所述防范策略发 送给所述接入节点之后,所述方法还包括所述业务控制节点向所述接入节点发送消息,其中,所述消息中携带有撤销所述防范 策略的信息;所述接入节点根据所述消息撤销所述防范策略。
3.根据权利要求1所述的方法,其特征在于,所述防范策略中携带有撤销所述防范策 略的信息,所述接入节点根据所述信息撤销所述防范策略。
4.根据权利要求1所述的方法,其特征在于,所述网络攻击的类型包括用户对业务控 制节点的攻击和/或用户对业务控制节点网络侧设备的攻击。
5.根据权利要求1至4中任一项所述的方法,其特征在于,所述接入节点为所述用户与 所述业务控制节点之间的支持业务控制节点和接入节点之间通讯协议的网络节点。
6.根据权利要求5所述的方法,其特征在于,所述接入节点为最靠近用户并且能够执 行所述防范策略的网络节点。
7.—种业务控制节点,其特征在于,包括确定模块,用于确定有用户进行网络攻击;策略模块,用于制定与所述用户进行的网络攻击对应的防范策略;第一发送模块,用于将所述防范策略发送给接入节点。
8.根据权利要求7所述的业务控制节点,其特征在于,还包括第二发送模块,用于向所述接入节点发送消息,其中,所述消息中携带有撤销所述防范 策略的信息,以便于所述接入节点根据所述消息撤销所述防范策略。
9.根据权利要求7所述的业务控制节点,其特征在于,所述策略模块还用于在所述防 范策略中携带撤销所述防范策略的信息,以便于所述接入节点根据所述信息撤销所述防范 策略。
10.一种接入节点,其特征在于,包括接收模块,用于在业务控制节点确定有用户进行网络攻击之后,从所述业务控制节点 接收与所述用户进行的网络攻击对应的防范策略;执行模块,用于执行所述防范策略。
11.根据权利要求10所述的接入节点,其特征在于,还包括获取模块,用于获取撤销所述防范策略的信息;撤销模块,用于根据所述信息撤销所述防范策略。
全文摘要
本发明公开了一种网络攻击的防范方法、业务控制节点及接入节点,该方法包括业务控制节点在确定有用户进行网络攻击后,将与用户进行的网络攻击对应的防范策略发送给接入节点;接入节点执行防范策略。通过本发明能够针对某一具体的用户的攻击行为进行动态的防范,提高了防范的针对性以及效率,并且能够避免合法的控制消息被丢弃,同时在接入网络中实现网络攻击流量处理,并降低业务节点集中处理的性能压力。
文档编号H04L12/56GK102045302SQ20091017888
公开日2011年5月4日 申请日期2009年10月10日 优先权日2009年10月10日
发明者范亮, 袁博 申请人:中兴通讯股份有限公司