专利名称:抵抗无线网络泛洪攻击的方法、设备及系统的制作方法
技术领域:
本发明实施例涉及通信技术,尤其涉及一种抵抗无线网络泛洪攻击的方法、设备及系统。
背景技术:
WLAN (Wireless local area network,无线局域网)是计算机网络和无线通信技术相结合的产物,用户能够通过WLAN随时、随地接入网络,从而方便的利用网络资源。在一个WLAN中,无线网络泛洪报文的转发将会直接影响到无线网络的性能和安全性。现有技术对泛洪攻击的检测主要为对无线移动终端进行流量监听和统计,当无线移动终端的报文流量超过预设阈值时,将无线移动终端加入黑名单,并丢弃无线移动终端发 送的报文。现有技术中基于流量检测的抵抗泛洪攻击方法,全网的无线接入网设备无法阻止泛洪攻击源同时还会丢弃合法的报文,导致全网的无线接入网设备安全性和可靠性低。
发明内容
本发明实施例提供一种抵抗无线网络泛洪攻击的方法、设备及系统,以提高全网的无线接入网设备安全性和可靠性。一方面,本发明实施例提供一种抵抗无线网络泛洪攻击的方法,包括第一无线接入网设备AP获取无线工作站STA在第一周期访问目标网页地址URL的访问总次数,并记录所述访问总次数与所述第一周期时间的比值;若所述比值大于预设阈值,则所述第一 AP拒绝所述STA访问所述目标URL,向无线接入网控制器AC发送包括所述STA的标识和所述目标URL的策略执行请求报文,以使所述AC向至少一个第二 AP发送包括所述STA的标识和所述目标URL的拒绝访问报文,以使所述至少一个第二 AP拒绝所述STA访问所述目标URL。本发明实施例还提供另一种抵抗无线网络泛洪攻击的方法,包括无线接入网控制器AC接收第一无线接入网设备AP发送的携带无线工作站STA的标识和目标网页地址URL的策略执行请求报文;所述AC根据所述策略执行请求报文生成携带所述STA的标识和所述目标URL的拒绝访问报文,并将所述拒绝访问报文发送给至少一个第二 AP,以使所述至少一个第二 AP拒绝所述STA访问所述目标URL。另一方面,本发明实施例提供一种无线接入网设备,包括采集模块用于获取无线工作站STA在第一周期访问目标网页地址URL的访问总次数,并记录所述访问总次数与所述第一周期时间的比值;策略执行模块用于若所述比值大于预设阈值,拒绝所述STA访问所述目标URL,向无线接入网控制器AC发送包括所述STA的标识和所述目标URL的策略执行请求报文,以使所述AC向至少一个其它AP发送包括所述STA的标识和所述目标URL的拒绝访问报文,以使所述至少一个其它AP拒绝所述STA访问所述目标URL。本发明实施例还提供一种无线接入网控制器,包括接 收模块用于接收无线接入网设备AP发送的携带无线工作站STA的标识和目标网页地址URL的策略执行请求报文;通告执行模块用于根据所述策略执行请求报文生成携带所述STA的标识和所述目标URL的拒绝访问报文,并将所述拒绝访问报文发送给至少一个其它AP,以使所述至少一个其它AP拒绝所述STA访问所述目标URL。再一方面,本发明实施例还提供一种抵抗无线网络泛洪攻击的系统,包括上述任一所述的无线接入网设备和上述任一所述的无线接入网控制器。本发明实施例提供的抵抗无线网络泛洪攻击的方法、设备及系统,通过第一无线接入网设备AP获取无线工作站STA在第一周期访问目标网页地址URL的访问总次数,记录访问总次数与周期时间的比值,可获得STA在单位时间内访问目标URL的平均频率。在比值大于预设阈值时,第一 AP拒绝STA访问目标URL,但不拒绝STA访问其它URL。第一 AP向AC发送包括STA的标识和目标URL的策略执行请求报文,以使AC向至少一个第二 AP发送包括STA的标识和目标URL的拒绝访问报文,以使至少一个第二 AP拒绝STA访问目标URL,实现了在全网范围内识别泛洪攻击源,拒绝攻击源的泛洪访问,提高了全网的无线接入网设备的安全性和可靠性。
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。图I为本发明抵抗无线网络泛洪攻击的方法实施例一的流程图;图2为本发明抵抗无线网络泛洪攻击的方法实施例二的流程图;图3为本发明抵抗无线网络泛洪攻击的方法实施例三的流程图;图4为本发明无线接入网设备实施例一的结构示意图;图5为本发明无线接入网设备实施例二的结构示意图;图6为本发明无线接入网设备实施例三的结构示意图;图7为本发明无线接入网控制器实施例一的结构示意图;图8为本发明无线接入网控制器实施例二的结构示意图;图9为本发明抵抗无线网络泛洪攻击的系统实施例一的结构示意图;图10为本发明抵抗无线网络泛洪攻击的系统实施例二的结构示意图。
具体实施例方式为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明的技术方案,可以应用到无线局域网WLAN中,无线局域网技术是基于电子电气工程师协会提出的802. 11媒体访问控制标准,该标准定义了无线工作站(wirelessstation,简称STA)与无线接入网设备(Access Point,简称AP)之间的空中接口规范。STA是无线网络的客户端,具体的可以是包含有802. 11无线网络接口卡的计算机。而AP类似于无线网络中的基站,它能创建一组基本的服务,将大量的STA从无线网络桥接到其他现有的网络。STA与AP间通过公用的无线信道进行通信。无线接入网控制器(Access Controller,简称AC)是一种网络设备,它是一个无线网络的核心,负责管理无线网络中的AP 的管理包括下发配置、修改相关配置参数、射频智能管理等。目前的WIFI网络覆盖,多采用AC+AP的覆盖方式,无线网络中一个AC,多个AP,有利于无线网络的集中管理。图I为本发明抵抗无线网络泛洪攻击的方法实施例一的流程图,如图I所示,本实 施例的方法流程可以包括步骤101 :第一 AP获取STA在第一周期访问目标网页地址(Uniform ResourceLocator,简称URL)的访问总次数,并记录访问总次数与第一周期时间的比值;国际互联网(简称Internet)上的每一个网页都具有一个唯一的名称标识,通常称之为网页(简称Web)地址,俗称“网址”。无线工作站STA关联到第一 AP后,第一 AP获取STA在第一周期时间内访问目标URL的访问总次数,并记录访问总次数与周期时间的比值。例如,第一周期的周期时间为T,访问总次数为Ci,则比值K为Ci/T,即STA在单位时间内访问目标URL的平均频率。其中,第一周期的周期时间可根据实际需要而设定,在此不作特别限制。步骤102 :若比值大于预设阈值,则第一 AP拒绝STA访问目标URL,向无线接入网控制器AC发送包括STA的标识和目标URL的策略执行请求报文,以使AC向至少一个第二AP发送包括STA的标识和目标URL的拒绝访问报文,以使至少一个第二 AP拒绝STA访问所述目标URL。上述的至少一个第二 AP具体可以为全网中除第一 AP以外的AP,但也可以为部分第二 AP。若步骤102中的比值K大于预设阈值,则第一 AP拒绝STA访问目标URL,并向无线接入网控制器AC发送包含STA的标识和目标URL的策略执行请求报文。上述的向无线接入网控制器AC发送包括STA的标识和目标URL的策略执行请求报文可以包括两种情况第一 AP运行状态,第一 AP将STA的标识和目标URL封装到请求(简称Request)报文中作为策略执行请求报文;第一 AP加入AC,第一 AP将STA的标识和目标URL封装到发现(简称Discover)报文中作为策略执行请求报文。上述的STA的标识可以为STA的MAC地址,还可以为IP地址等,策略执行请求报文中包含STA的标识以及所述STA访问的目标URL。AC收到策略执行请求报文后,会向第一 AP发送已接收策略执行请求报文的响应报文,若第一 AP等待超时,没有收到AC发送的响应报文,则重新向AC发送策略执行请求报文。若步骤102中的比值K小于预设阈值,则第一 AP进入下一周期,并重新记录访问次数。本发明实施例提供的抵抗无线网络泛洪攻击的方法,通过第一无线接入网设备AP获取无线工作站STA在第一周期访问目标网页地址URL的访问总次数,记录访问总次数与周期时间的比值,可获得STA在单位时间内访问目标URL的平均频率。在比值大于预设阈值时,第一 AP拒绝STA访问目标URL,但不拒绝STA访问其它URL。第一 AP向AC发送包括STA的标识和目标URL的策略执行请求报文,以使AC向至少一个第二 AP发送包括STA的标识和目标URL的拒绝访问报文,以使至少一个第二 AP拒绝STA访问目标URL,实现了在全网范围内识别泛洪攻击源,拒绝攻击源的泛洪访问,提高了全网的无线接入网设备的安全性和可靠性。图2为本发明抵抗无线网络泛洪攻击的方法实施例二的流程图,如图2所示,在第一 AP获取STA在第一周期访问目标URL的访问总次数之前,还包括步骤201 :在STA关联到第一 AP时,第一 AP记录STA的标识,初始化统计记录表并开启定时器;步骤202 :第一 AP判断定时器是否到时,若否,执行步骤204,若是,执行步骤203 ;步骤203 :如果定时器到时,则第一 AP将STA访问目标URL的访问总次数记录在 统计记录表;步骤204 :如果定时器未到时,接收STA发送的至少一个超文本传送协议HTTP请求报文并解封装,获取STA的标识对应的目标URL ;步骤205 :判断至少一个HTTP的请求报文是否归属于目标URL,若是,执行步骤206,若否,返回步骤202 ;步骤206 STA访问目标URL的访问次数增加I并返回步骤202。在具体实现过程中,在步骤201中,STA关联到第一 AP时,第一 AP记录STA的标识,初始化统计记录表。统计记录表中记载了 STA的标识,目标URL以及统计次数等。在步骤202中,第一 AP判断定时器是否到时,其中定时器的定时时间为第一周期的时间。如果定时器到时,则第一 AP记录STA访问目标URL的总次数,并进行下一周期时间的计时。定时器未到时,则进入步骤204,第一 AP接收STA发送的一个或多个超文本传输协议(hypertext transport protocol,简称HTTP)请求报文,并将该报文解封装,获取STA的标识对应的目标URL。在步骤205中,判断步骤204中的一个或多个HTTP报文是否归属于目标URL,若是,则进入步骤206,STA访问目标URL的访问次数增加1,同时转发该报文并返回步骤202。若否,同样回到步骤202。上述步骤循环进行,直至定时器到时为止。本发明实施例提供的抵抗无线网络泛洪攻击的方法,通过记录周期时间内的STA访问目标URL的访问总次数,可获得具体的STA访问特定网页地址的次数,为第一 AP设备识别具体的攻击源,以及识别攻击源访问的目标URL提供可靠数据。可选地,上述第一 AP拒绝STA访问目标URL包括在预设时间内拒绝STA访问目标 URL ;策略执行请求报文中还包括预设时间的信息,以使至少一个第二 AP在预设时间内拒绝STA访问目标URL。具体地,第一 AP可对访问总次数与周期时间的比值超过阈值的STA访问目标URL进行一段预设时间的锁定,在该锁定时间范围内,禁止该STA访问目标URL。该锁定时间为预设时间,预设时间的长短,可根据实际需要设定,本发明在此不作特别限制。第一 AP向AC发送包括预设时间的信息的策略执行请求报文,即策略执行请求报文中包括了 STA的标识、目标URL及预设时间的信息,AC向至少一个第二 AP发送拒绝访问报文,可以使至少一个第二 AP拒绝上述访问总次数与周期时间的比值超过阈值的STA访问目标URL。同时,在该预设时间内,第一 AP还未向AC发送解除策略执行请求报文,则所有AC下挂的第二 AP均拒绝上述的STA访问目标URL。本发明实施例提供的抵抗无线网络泛洪攻击的方法,在预设时间内,可使全网的AP抵抗STA的无线网络泛洪攻击,在抵抗STA的无线网络泛洪攻击的同时,仅拒绝STA访问目标URL,并不拒绝STA访问其他URL。在本发明抵抗无线网络泛洪攻击的方法实施例一和实施例二的基础上,在第一 AP拒绝STA访问URL,向无线接入网控制器AC发送包括STA的标识和目标URL的策略执行请求报文之后,还包括经过预设时间后,第一 AP允许STA访问目标URL,向AC发送包括STA的标识和目标URL的解除策略执行请求报文,以使AC向至少一个第二 AP发送包括STA的标识和目标URL的允许访问报文,以使至少一个第二 AP允许STA访问目标URL。同时,第一 AP允许STA访问目标URL,并向AC发送包括STA的标识和目标URL的解除策略执行请求报文,以使AC向至少一个第二 AP发送包括STA的标识和目标URL的允许访问报文,以使至少一个第二 AP允许STA访问目标URL。本领域技术人员可以理解,由于策略执行报文中包括了预设时间的信息,因此,经过预设时间后,AC也可自行向第二 AP发送包括STA的标识和目标URL的允许访问报文。对应地,向AC发送包括STA的标识和目标URL的解除策略执行请求报文包括两种情况第一 AP运行状态,第一 AP将STA的标识和目标URL封装到请求Request报文中作为解除策略执行请求报文;第一 AP加入AC,第一 AP将STA的标识和目标URL封装到发现Discover报文中作为解除策略执行请求报文。
本发明实施例提供的抵抗无线网络泛洪攻击的方法,在预设时间内,可使全网的AP抵抗STA的无线网络泛洪攻击,在抵抗STA的无线网络泛洪攻击的同时,仅拒绝STA访问目标URL,并不拒绝STA访问其他URL。通过在预设时间后,第一 AP允许STA访问目标URL,向AC发送包括STA的标识和目标URL的解除策略执行请求报文,解除对STA的锁定,以使至少一个第二 AP允许STA访问目标URL。在上述的方法实施例中,具体地,STA的标识为STA的媒体访问控制MAC地址。MAC地址用来定义网络设备的位置,MAC地址是传输数据时真正赖以标识发出数据的STA和接收数据的STA的地址,它一般是全球唯一的。将STA的MAC地址作为STA的标识,可精确识别 STA。图3为本发明抵抗无线网络泛洪攻击的方法实施例三的流程图,如图3所示,本发明实施例提供的方法流程包括以下步骤步骤301 AC接收第一无线接入网设备AP发送的携带无线工作站STA的标识和目标网页地址URL的策略执行请求报文;步骤302 AC根据策略执行请求报文生成携带STA的标识和目标URL的拒绝访问报文,并将拒绝访问报文发送给至少一个第二 AP,以使至少一个第二 AP拒绝STA访问目标URL。在具体实现过程中,AC收到第一 AP发送的策略执行请求报文后,进行解封装,得到STA的标识和目标URL的参数信息,并将STA的标识和目标URL的参数信息重新生成拒绝访问报文,并将拒绝访问报文发送给至少一个第二 AP,AC还可周期性的将拒绝访问报文发送给至少一个第二 AP,时间周期可以为20S或30S等,具体的周期时间,本发明在此不作特别限制。上述的至少一个第二 AP为第一 AP以外的其它AP设备,当AC需要全网通告时,可将拒绝访问报文发送给全网的第二 AP,也可根据需要发送给部分第二 AP。至少一个第二AP收到拒绝访问报文后,拒绝STA访问目标网页地址URL,并向AC发送接收到拒绝访问报文的响应报文,AC通告第一 AP处理完毕。本发明实施例提供的抵抗无线网络泛洪攻击的方法,通过无线接入网控制器AC接收第一无线接入网设备AP发送的携带无线工作站STA的标识和目标URL的策略执行请求报文,AC根据策略执行请求报文生成携带STA的标识和目标URL的拒绝访问报文,并将拒绝访问报文发送给至少一个第二 AP,以使至少一个第二 AP拒绝STA访问目标网页地址URL,实现了在全网范围内识别泛洪攻击源,拒绝攻击源的泛洪访问,提高了全网的无线接 入网设备的安全性和可靠性。可选地,上述策略执行请求报文中还包括预设时间的信息,以使至少一个第二AP在预设时间内拒绝STA访问目标URL。具体地,AC接收第一 AP发送的包括预设时间的信息的策略执行请求报文,即策略执行请求报文中包括了 STA的标识、目标URL及预设时间的信息;AC向至少一个第二 AP发送拒绝访问报文,可以使至少一个第二 AP拒绝上述访问总次数与周期时间的比值超过阈值的STA访问目标URL。同时,在该预设时间内,第一 AP还未向AC发送解除策略执行请求报文,则所有AC下挂的第二 AP均拒绝上述的STA访问目标URL。本发明实施例提供的抵抗无线网络泛洪攻击的方法,在预设时间内,可使全网的AP抵抗STA的无线网络泛洪攻击,在抵抗STA的无线网络泛洪攻击的同时,仅拒绝STA访问目标URL,并不拒绝STA访问其他URL。在上述的本发明抵抗无线网络泛洪攻击的方法实施例三的基础上,AC接收第一AP发送的携带STA的标识和目标URL的策略执行请求报文之后,还包括经过预设时间后,AC接收包括STA的标识和目标URL的解除策略执行请求报文,向至少一个第二 AP发送包含STA的标识和目标URL的允许访问报文,以使至少一个第二 AP允许STA访问目标URL。同时AC向至少一个第二 AP发送包括STA的标识和目标URL的允许访问报文。AC还可周期性的将允许访问报文发送给至少一个第二 AP,实现AC全网通告的实时性。时间周期可以为20S或30S等,具体的周期时间,本发明在此不作特别限制。至少一个第二 AP接收到允许访问报文后,允许STA访问目标URL。本领域技术人员可以理解,由于策略执行报文中包括了预设时间的信息,因此,经过预设时间后,AC也可自行向第二AP发送包括STA的标识和目标URL的允许访问报文。上述的AC向其下挂的第二 AP发送的拒绝访问报文和允许访问报文具体可以为无线接入点控制与供应(Controlling and Provisioning of Wireless Access Point,简称CAPWAP)协议的控制报文,包括IP报文头部、用户数据报协议(User Datagram Protocol,简称Μ)Ρ)报文头部、CAPffAP报文头部、CAPffAP控制层以及消息内容。其中消息内容包含厂商信息、位置信息、包含STA的标识和目标URL的攻击信息以及AP运行信息,这些消息内容可通过报文类型-报文长度-报文内容(Type-Length-Value,简称TLV)格式封装到CAPWAP报文中。CAPWAP报文具有CAPWAP通道的一些优点,包括网络地址转换(Network AddressTranslation,简称NAT)穿透性和安全性。本发明实施例提供的抵抗无线网络泛洪攻击的方法,在预设时间内,可使全网的AP抵抗STA的无线网络泛洪攻击,在抵抗STA的无线网络泛洪攻击的同时,仅拒绝STA访问目标URL,并不拒绝STA访问其他URL。通过在预设时间后,AC接收包括STA的标识和目标URL的解除策略执行请求报文,向至少一个第二 AP发送包含STA的标识和目标URL的允许访问报文,解除对STA的锁定,以使至少一个第二 AP允许STA访问目标URL。在上述的方法实施例中,具体地,STA的标识为STA的媒体访问控制MAC地址。将STA的MAC地址作为STA的标识,可精确识别STA。图4为本发明无线接入网设备实施例一的结构示意图,如图4所示,本发明实施例提供的无线接入网设备AP40包括采集模块41和策略执行模块42,其中采集模块41用于获取无线工作站STA在第一周期访问目标网页地址URL的访问总次数,并记录访问总次数与 第一周期时间的比值;策略执行模块42用于若比值大于预设阈值,拒绝STA访问目标URL,向无线接入网控制器AC发送包括STA的标识和目标URL的策略执行请求报文,以使AC向至少一个其它AP发送包括STA的标识和目标URL的拒绝访问报文,以使至少一个其它AP拒绝STA访问目标URL。本发明实施例提供的无线接入网设备,通过采集模块获取无线工作站STA在第一周期访问目标网页地址URL的访问总次数,记录访问总次数与周期时间的比值,可获得STA在单位时间内访问目标URL的平均频率。在比值大于预设阈值时,策略执行模块拒绝STA访问目标URL,但不拒绝STA访问其它URL,并发送包括STA的标识和目标URL的策略执行请求报文,以使AC向至少一个其它AP发送包括STA的标识和目标URL的拒绝访问报文,以使至少一个其它AP拒绝STA访问所述目标URL,实现了在全网范围内识别泛洪攻击源,拒绝攻击源的泛洪访问,提高了全网的无线接入网设备的安全性和可靠性。本实施例的无线接入网设备,可以用于执行图I所示方法实施例的技术方案,其实现原理类似,此处不再赘述。 图5为本发明无线接入网设备实施例二的结构示意图,如图5所示,本发明实施例提供的无线接入网设备在图4提供的实施例基础上,还包括记录模块43和计时模块44。其中,记录模块43用于在STA关联到AP时,记录STA的标识,初始化统计记录表并开启定时器;计时模块44:用于判断定时器是否到时;如果定时器未到时,接收STA发送的至少一个超文本传送协议HTTP请求报文并解封装,获取STA的标识对应的目标URL ;判断至少一个HTTP的请求报文是否归属于目标URL,若是,则STA访问目标URL的访问次数增加I并返回判断定时器是否到时的步骤;若否,返回判断定时器是否到时的步骤;如果定时器到时,则将STA访问目标URL的访问总次数记录在统计记录表。本发明实施例提供的抵抗无线网络泛洪攻击的方法,通过计时模块记录周期时间内的STA访问目标URL的访问总次数,可获得具体的STA访问特定网页地址的次数,为AP设备识别具体的攻击源,以及识别攻击源访问的目标URL提供可靠数据。本实施例的无线接入网设备,可以用于执行图2所示方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。可选地,上述第一 AP拒绝STA访问目标URL包括在预设时间内拒绝STA访问目标 URL ;策略执行请求报文中还包括预设时间的信息,以使至少一个第二 AP在预设时间内拒绝STA访问目标URL。
本实施例的无线接入网设备,可以用于执行上述方法实施例的技术方案,其实现原理类似,此处不再赘述。本发明实施例提供的抵抗无线网络泛洪攻击的方法,在预设时间内,可使全网的AP抵抗STA的无线网络泛洪攻击,在抵抗STA的无线网络泛洪攻击的同时,仅拒绝STA访问目标URL,并不拒绝STA访问其他URL。图6为本发明无线接入网设备实施例三的结构示意图,如图6所示,本发明实施例提供的无线接入网设备在图5提供的实施例基础上,还包括解除策略执行模块45。其中解除策略执行模块45用于经过预设时间后,允许STA访问目标URL,向AC发送包括STA的标识和目标URL的解除策略执行请求报文,以使AC向至少一个其它AP发送包括STA的标识和目标URL的允许访问报文,以使至少一个其它AP允许STA访问目标URL。上述本发明抵抗无线网络泛洪攻击的方法实施例一至实施例三中的第一 AP可以采用本发明实施例提供的无线接入网设备实施例一至三的无线接入网设备。本发明实施例提供的无线接入网设备,通过在预设时间后,解除策略执行模块向AC发送包括STA的标识和目标URL的解除策略执行请求报文,解除对STA预设时间的锁定,以使至少一个其它AP允许STA访问目标URL。图7为本发明无线接入网控制器实施例一的结构示意图。如图7所示,本发明实施例提供的无线接入网控制器50包括接收模块51和通告执行模块52,其中,接收模块51用于接收AP发送的携带无线工作站STA的标识和目标网页地址URL的策略执行请求报文;通告执行模块52用于根据策略执行请求报文生成携带STA的标识和目标URL的响应报文,并将响应报文发送给至少一个其它AP,以使至少一个其它AP拒绝STA访问目标URL。本发明实施例提供的无线接入网控制器,通过接收模块接收第一无线接入网设备AP发送的携带无线工作站STA的标识和目标URL的策略执行请求报文,通告执行模块根据策略执行请求报文生成携带STA的标识和目标URL的拒绝访问报文,并将拒绝访问报文发送给至少一个其它AP,以使至少一个其它AP拒绝STA访问目标网页地址URL,实现了在全网范围内识别泛洪攻击源,拒绝攻击源的泛洪访问,提高了全网的无线接入网设备的安全性和可靠性。本实施例的无线接入网设备,可以用于执行图3所示方法实施例的技术方案,其实现原理类似,此处不再赘述。可选地,上述策略执行请求报文中还包括预设时间的信息,以使至少一个第二AP在预设时间内拒绝STA访问目标URL。本实施例的无线接入网设备,可以用于执行上述方法实施例的技术方案,其实现原理类似,此处不再赘述。本发明实施例提供的抵抗无线网络泛洪攻击的方法,在预设时间内,可使全网的AP抵抗STA的无线网络泛洪攻击,在抵抗STA的无线网络泛洪攻击的同时,仅拒绝STA访问目标URL,并不拒绝STA访问其他URL。图8为本发明无线接入网控制器实施例二的结构示意图,如图8所示,本发明实施例提供的无线接入网控制器在图7提供的实施例基础上,还包括通告解除模块53。其中,通告解除模块53用于经过预设时间后,接收包括STA的标识和目标URL的解除策略执行请求报文,向至少一个其它AP发送包含STA的标识和目标URL的允许访问报文,以使至少一个其它AP允许STA访问目标URL。上述本发明抵抗无线网络泛洪攻击的方法实施例一至实施例三中的第二 AP可以采用本发明实施例提供的无线接入网控制器实施例一至三的无线接入网设备。本发明实施例提供的无线接入网设备,在预设时间内,可使全网的AP抵抗STA的无线网络泛洪攻击,在抵抗STA的无线网络泛洪攻击的同时,仅拒绝STA访问目标URL,并不拒绝STA访问其他URL。通过在预设时间后,通告解除模块接收包括STA的标识和目标URL的解除策略执行请求报文,向至少一个其它AP发送包含STA的标识和目标URL的允许访问报文,解除对STA的锁定,以使至少一个其它AP允许STA访问目标URL。 图9为本发明抵抗无线网络泛洪攻击的系统实施例一的结构示意图,如图9所示,本实施例的系统包括无线接入网设备40、无线接入网控制器50。其中,无线接入网设备40可以采用图Γ图6任一无线接入网实施例的结构,其对应地,可以执行图f图2中任一方法实施例的技术方案,其实现原理类似,此处不再赘述。无线接入网控制器50可以采用图7与图8任一无线接入网控制器的结构,其对应地,可以执行图3的方法实施例的技术方案,其实现原理类似,此处不再赘述。图10为本发明抵抗无线网络泛洪攻击的系统实施例二的结构示意图,图10中示出了系统中无线接入网设备40和无线接入网控制器50的具体结构示意图,以及各模块之间的关系。抵抗无线网络泛洪攻击的系统的具体实现原理和技术效果,可参照上述方法实施例和设备实施例,此处不再赘述。本发明实施例提供的抵抗无线网络泛洪攻击的系统,通过无线接入网设备AP获取无线工作站STA在第一周期访问目标网页地址URL的访问总次数,记录访问总次数与第一周期时间的比值,可获得STA在单位时间内访问目标URL的平均频率。在比值大于预设阈值时,AP拒绝STA访问目标URL,但不拒绝STA访问其它URL。AP向AC发送包括STA的标识和目标URL的策略执行请求报文,以使AC向至少一个其它AP发送包括STA的标识和目标URL的拒绝访问报文,以使至少一个其它AP拒绝STA访问目标URL,实现了在全网范围内识别泛洪攻击源,拒绝攻击源的泛洪访问,提高了全网的无线接入网设备的安全性和可靠性。本领域普通技术人员可以理解实现上述各方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成。前述的程序可以存储于一计算机可读取存储介质中。该程序在执行时,执行包括上述各方法实施例的步骤;而前述的存储介质包括R0M、RAM、磁碟或者光盘等各种可以存储程序代码的介质。最后应说明的是以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。
权利要求
1.一种抵抗无线网络泛洪攻击的方法,其特征在于,包括 第一无线接入网设备AP获取无线工作站STA在第一周期访问目标网页地址URL的访问总次数,并记录所述访问总次数与所述第一周期时间的比值; 若所述比值大于预设阈值,则所述第一 AP拒绝所述STA访问所述目标URL,向无线接入网控制器AC发送包括所述STA的标识和所述目标URL的策略执行请求报文,以使所述AC向至少一个第二 AP发送包括所述STA的标识和所述目标URL的拒绝访问报文,以使所述至少一个第二 AP拒绝所述STA访问所述目标URL。
2.根据权利要求I所述的方法,其特征在于,在所述第一AP获取STA在第一周期访问目标URL的访问总次数之前,还包括 在所述STA关联到所述第一 AP时,所述第一 AP记录所述STA的标识,初始化统计记录表并开启定时器; 所述第一 AP判断所述定时器是否到时; 如果所述定时器未到时,接收所述STA发送的至少一个超文本传送协议HTTP请求报文并解封装,获取所述STA的标识对应的所述目标URL ;判断所述至少一个HTTP的请求报文是否归属于所述目标URL,若是,则所述STA访问所述目标URL的访问次数增加I并返回所述判断所述定时器是否到时的步骤;若否,返回所述判断所述定时器是否到时的步骤; 如果所述定时器到时,则所述第一 AP将所述STA访问所述目标URL的访问总次数记录在所述统计记录表。
3.根据权利要求I或2所述的方法,其特征在于 所述第一 AP拒绝所述STA访问所述目标URL包括在预设时间内拒绝所述STA访问所述目标URL ; 所述策略执行请求报文中还包括所述预设时间的信息,以使所述至少一个第二 AP在所述预设时间内拒绝所述STA访问所述目标URL。
4.根据权利要求3所述的方法,其特征在于所述第一AP拒绝所述STA访问所述URL,向无线接入网控制器AC发送包括所述STA的标识和所述目标URL的策略执行请求报文之后,还包括 经过所述预设时间后,所述第一 AP允许所述STA访问所述目标URL,向所述AC发送包括所述STA的标识和所述目标URL的解除策略执行请求报文,以使所述AC向所述至少一个第二 AP发送包括所述STA的标识和所述目标URL的允许访问报文,以使所述至少一个第二AP允许所述STA访问所述目标URL。
5.一种抵抗无线网络泛洪攻击的方法,其特征在于,包括 无线接入网控制器AC接收第一无线接入网设备AP发送的携带无线工作站STA的标识和目标网页地址URL的策略执行请求报文; 所述AC根据所述策略执行请求报文生成携带所述STA的标识和所述目标URL的拒绝访问报文,并将所述拒绝访问报文发送给至少一个第二 AP,以使所述至少一个第二 AP拒绝所述STA访问所述目标URL。
6.根据权利要求5所述的方法,其特征在于 所述策略执行请求报文中还包括预设时间的信息,以使所述至少一个第二 AP在所述预设时间内拒绝所述STA访问所述目标URL。
7.根据权利要求6所述的方法,其特征在于所述AC接收第一AP发送的携带STA的标识和所述目标URL的策略执行请求报文之后,还包括 经过所述预设时间后,所述AC接收包括所述STA的标识和所述目标URL的解除策略执行请求报文,向所述至少一个第二 AP发送包含所述STA的标识和所述目标URL的允许访问报文,以使所述至少一个第二 AP允许所述STA访问所述目标URL。
8.一种无线接入网设备AP,其特征在于,包括 采集模块用于获取无线工作站STA在第一周期访问目标网页地址URL的访问总次数,并记录所述访问总次数与所述第一周期时间的比值; 策略执行模块用于若所述比值大于预设阈值,拒绝所述STA访问所述目标URL,向无线接入网控制器AC发送包括所述STA的标识和所述目标URL的策略执行请求报文,以使所述AC向至少一个其它AP发送包括所述STA的标识和所述目标URL的拒绝访问报文,以使所述至少一个其它AP拒绝所述STA访问所述目标URL。
9.根据权利要求8所述的无线接入网设备,其特征在于,还包括 记录模块用于在所述STA关联到所述AP时,记录所述STA的标识,初始化统计记录表并开启定时器; 计时模块用于判断所述定时器是否到时;如果所述定时器未到时,接收所述STA发送的至少一个超文本传送协议HTTP请求报文并解封装,获取所述STA的标识对应的所述目标URL ;判断所述至少一个HTTP的请求报文是否归属于所述目标URL,若是,则所述STA访问所述目标URL的访问次数增加I并返回所述判断所述定时器是否到时的步骤;若否,返回所述判断所述定时器是否到时的步骤;如果所述定时器到时,则将所述STA访问所述目标URL的访问总次数记录在所述统计记录表。
10.根据权利要求8或9所述的无线接入网设备,其特征在于,还包括 解除策略执行模块用于经过预设时间后,允许所述STA访问所述目标URL,向所述AC发送包括所述STA的标识和所述目标URL的解除策略执行请求报文,以使所述AC向所述至少一个其它AP发送包括所述STA的标识和所述目标URL的允许访问报文,以使所述至少一个其它AP允许所述STA访问所述目标URL。
11.一种无线接入网控制器,其特征在于,包括 接收模块用于接收无线接入网设备AP发送的携带无线工作站STA的标识和目标网页地址URL的策略执行请求报文; 通告执行模块用于根据所述策略执行请求报文生成携带所述STA的标识和所述目标URL的拒绝访问报文,并将所述拒绝访问报文发送给至少一个其它AP,以使所述至少一个其它AP拒绝所述STA访问所述目标URL。
12.根据权利要求11所述的无线接入网控制器,其特征在于,还包括 通告解除模块用于经过预设时间后,接收包括所述STA的标识和所述目标URL的解除策略执行请求报文,向所述至少一个其它AP发送包含所述STA的标识和所述目标URL的允许访问报文,以使所述至少一个其它AP允许所述STA访问所述目标URL。
13.一种抵抗无线网络泛洪攻击的系统,其特征在于,包括权利要求8-10任一所述的 无线接入网设备和权利要求11-12任一所述的无线接入网控制器。
全文摘要
本发明实施例提供一种抵抗无线网络泛洪攻击的方法、设备及系统。本发明提供的抵抗无线网络泛洪攻击的方法,包括第一无线接入网设备AP获取无线工作站STA在第一周期访问目标网页地址URL的访问总次数,并记录所述访问总次数与所述周期时间的比值;若比值大于预设阈值,则第一AP拒绝STA访问目标URL,向无线接入网控制器AC发送包括STA的标识和目标URL的策略执行请求报文,以使AC向至少一个第二AP发送包括STA的标识和目标URL的拒绝访问报文,以使至少一个第二AP拒绝STA访问目标URL。本发明实施例可以提高全网的无线接入网设备的安全性和可靠性。
文档编号H04L29/06GK102833268SQ201210344628
公开日2012年12月19日 申请日期2012年9月17日 优先权日2012年9月17日
发明者陈小龙, 李子泽 申请人:福建星网锐捷网络有限公司