网络系统、攻击报文的拦截方法、装置和设备的制造方法
【技术领域】
[0001] 本发明涉及通信技术领域,特别涉及一种网络系统、攻击报文的拦截方法、装置和 设备。
【背景技术】
[0002] 随着互联网技术的发展,网络系统中各个设备之间的交互越来越便捷,而其中的 网络服务器作为提供服务的设备,会开放给多个用户设备,与多个用户设备进行交互,这就 为攻击者提供了可乘之机。
[0003] 通常情况下,攻击者会向网络服务器发送攻击报文,以使网络服务器对攻击报文 进行响应,从而影响网络服务器的正常运行。该攻击报文可以包括大流量报文和畸形报文 两种,如果攻击者向网络服务器发送大流量报文,网络服务器的入口很容易被大流量报文 堵满,一旦入口被大流量报文堵满,网络服务器将不能接收合法设备发送的合法请求,这会 导致合法请求得不到网络服务器的响应。此时,网络服务器只能增加带宽,利用增加的带宽 来接收合法请求,以保证对合法请求的正常响应。如果攻击者向网络服务器发送畸形报文, 网络服务器在对畸形报文进行响应时,很容易出现异常,甚至会导致网络服务器瘫痪。此 时,网络服务器只能采用升级打补丁的方式,修改当前运行的代码,以识别出该畸形报文, 并将该畸形报文丢弃。
[0004] 在实现本发明的过程中,发明人发现现有技术中至少存在以下问题:
[0005] 网络服务器只能在接收到攻击报文之后,被动地对接收到的每个攻击报文进行处 理,而该处理过程需要耗费一定的时间,在处理过程中就很容易造成信息泄露,影响网络服 务器的正常运行。
【发明内容】
[0006] 为了解决现有技术的问题,本发明实施例提供了一种网络系统、攻击报文的拦截 方法、装置和设备。所述技术方案如下:
[0007] 第一方面,提供了一种网络系统,所述网络系统包括:
[0008] 源设备、网关设备、控制设备、安全控制实体、网络服务器、信息数据库,所述信息 数据库至少包括设备信息以及对应的控制设备标识和网关设备标识;
[0009] 所述源设备与所述网关设备连接,所述网关设备与所述控制设备连接,所述控制 设备与所述安全控制实体连接,所述安全控制实体与所述网络服务器连接;所述网络服务 器与所述网关设备连接,所述安全控制实体和所述控制设备分别与所述信息数据库连接; [0010] 所述源设备用于向所述网关设备发送第一攻击报文,所述第一攻击报文包括所述 源设备的第一设备信息和所述网络服务器的第二设备信息;
[0011] 所述网关设备用于当接收到所述第一攻击报文时,根据所述第二设备信息,向所 述网络服务器发送所述第一攻击报文;
[0012] 所述网络服务器用于当接收到所述第一攻击报文时,向所述安全控制实体发送第 一拦截请求,所述第一拦截请求至少携带所述第一设备信息;
[0013] 所述安全控制实体用于当接收到所述第一拦截请求时,根据所述信息数据库,查 询所述第一设备信息对应的控制设备标识,根据所述控制设备标识,向所述控制设备发送 第二拦截请求,所述第二拦截请求至少携带所述第一设备信息;
[0014] 所述控制设备用于当接收到所述第二拦截请求时,根据所述信息数据库,查询所 述第一设备信息对应的网关设备标识,根据所述网关设备标识,向所述网关设备发送第三 拦截请求,所述第三拦截请求至少携带所述第一设备信息;
[0015] 所述网关设备用于当接收到所述第三拦截请求时,根据所述第三拦截请求,对所 述源设备发送的第二攻击报文进行拦截。
[0016] 第二方面,提供了一种攻击报文的拦截方法,所述方法包括:
[0017] 安全控制实体接收网络服务器发送的第一拦截请求,所述第一拦截请求至少携带 向所述网络服务器发送的第一攻击报文中的第一设备信息,所述第一设备信息用于指示发 送所述第一攻击报文的源设备;
[0018] 根据信息数据库,查询所述第一设备信息对应的控制设备标识,所述信息数据库 至少包括设备信息以及对应的控制设备标识;
[0019] 根据所述控制设备标识,向控制设备发送第二拦截请求,所述第二拦截请求至少 携带所述第一设备信息,使得所述控制设备向网关设备发送第三拦截请求,所述第三拦截 请求至少携带所述第一设备信息,使得所述网关设备根据所述第三拦截请求,对所述源设 备发送的第二攻击报文进行拦截。
[0020] 结合第二方面,在第二方面的第一种可能实现方式中,所述根据信息数据库,查询 所述第一设备信息对应的控制设备标识,包括:
[0021] 根据所述第一设备信息,判断所述网络服务器与所述网关设备之间是否通过转换 设备连接;
[0022] 当确定所述网络服务器与所述网关设备之间未通过转换设备连接时,根据所述信 息数据库,查询所述第一设备信息对应的控制设备标识;
[0023] 当确定所述网络服务器与所述网关设备之间通过转换设备连接时,根据转换数据 库,查询所述第一设备信息对应的原始设备信息,根据所述信息数据库,查询所述原始设备 信息对应的控制设备标识,所述转换数据库包括每个原始设备信息转换后的设备信息。
[0024] 结合第二方面,在第二方面的第二种可能实现方式中,根据所述控制设备标识,向 控制设备发送第二拦截请求,包括:
[0025] 生成安全控制参数,所述安全控制参数至少包括所述网络服务器的第二设备信 息、协议类型、拦截时间段和路由控制深度中的至少一项;
[0026] 根据所述控制设备标识,向所述控制设备发送所述第二拦截请求,所述第二拦截 请求至少携带所述第一设备信息和所述安全控制参数,使得所述第三拦截请求至少携带所 述第一设备信息和所述安全控制参数,所述网关设备根据所述第三拦截请求,对所述源设 备发送的与所述安全控制参数匹配的第二攻击报文进行拦截。
[0027] 结合第二方面或第二方面的第二种可能实现方式,在第二方面的第三种可能实现 方式中,所述根据所述控制设备标识,向控制设备发送第二拦截请求,包括:
[0028] 根据所述控制设备标识,调用与所述控制设备之间的接口;
[0029] 通过所述接口,向所述控制设备发送所述第二拦截请求。
[0030] 结合第二方面,在第二方面的第四种可能实现方式中,所述第一设备信息至少包 括所述源设备的网络互连协议IP地址和用于发送所述第一攻击报文的端口;
[0031] 所述第一攻击报文还包括所述网络服务器的第二设备信息,所述第二设备信息至 少包括所述网络服务器的IP地址和用于接收所述第一攻击报文的端口。
[0032] 第三方面,提供了一种攻击报文的拦截方法,所述方法包括:
[0033] 当网络服务器接收到第一攻击报文时,获取所述第一攻击报文中的第一设备信 息,所述第一设备信息用于指示发送所述第一攻击报文的源设备;
[0034]向安全控制实体发送第一拦截请求,所述第一拦截请求至少携带所述第一设备信 息,使得所述安全控制实体接收到所述第一拦截请求时,向控制设备发送第二拦截请求,所 述第二拦截请求至少携带所述第一设备信息,使得所述控制设备向网关设备发送第三拦截 请求,所述第三拦截请求至少携带所述第一设备信息,使得所述网关设备根据所述第三拦 截请求,对所述源设备发送的第二攻击报文进行拦截。
[0035] 第四方面,提供了一种攻击报文的拦截方法,所述方法包括:
[0036] 控制设备接收安全控制实体发送的第二拦截请求,所述第二拦截请求至少携带第 一设备信息,所述第一设备信息用于指示向网络服务器发送第一攻击报文的源设备;
[0037] 根据信息数据库,查询所述第一设备信息对应的网关设备标识,所述信息数据库 至少包括每个设备信息对应的网关设备标识;
[0038] 根据所述网关设备标识,向网关设备发送第三拦截请求,所述第三拦截请求至少 携带所述第一设备信息,使得所述网关设备根据所述第三拦截请求,对所述源设备发送的 第二攻击报文进行拦截。
[0039] 结合第四方面,在第四方面的第一种可能实现方式中,所述根据信息数据库,查询 所述第一设备信息对应的网关设备标识,包括:
[0040] 所述第二拦截请求还包括所述网络服务器的第二设备信息时,根据所述第一设备 信息、所述第二设备信息和预设路由表,确定所述源设备与所述网络服务器之间的路由路 径,所述路由路径中包括至少一个网关设备标识;
[0041] 相应的,所述根据所述网关设备标识,向网关设备发送第三拦截请求,包括:
[0042] 向所述至少一个网关设备标识对应的至少一个网关设备发送所述第三拦截请求, 使得接收到所述第三拦截请求的每个网关设备根据所述第三拦截请求,对所述源设备发送 的第二攻击报文进行拦截。
[0043] 结合第四方面的第一种可能实现方式,在第四方面的第二种可能实现方式中,当 所述第二拦截请求中包括安全控制参数时,所述确定所述源设备与所述网络服务器之间的 路由路径之后,所述方法还包括:
[0044] 获取所述安全控制参数中的路由控制深度;
[0045] 根据所述路由路径中各个网关设备标识的先后顺序,从所述至少一个网关设备标 识中,选取与所述路由控制深度对应的网关设备标识;
[0046] 向所述选取的网关设备标识对应的网关设备发送所述第三拦截请求,使得接收到 所述第三拦截请求的每个网关设备根据所述第三拦截请求,对所述源设备发送的第二攻击 报文进行拦截。
[0047] 结合第四方面,在第四方面的第三种可能实现方式中,所述根据信息数据库,查询 所述第一设备信息对应的网关设备标识之前,所述方法还包括:
[0048] 接收所述网关设备发送的网关设备标识和第一设备信息,所述第一设备信息由所 述网关设备在与所述源设备连接时获取;
[0049] 将所述第一设备信息、控制设备标识和所述网关设备标识对应存储于所述信息数 据库中。
[0050] 第五方面,提供了一种攻击报文的拦截方法,所述方法包括:
[0051]网关设备接收控制设备发送的第三拦截请求,所述第三拦截请求至少携带第一设 备信息,所述第一设备信息用于指示向网络服务器发送第一攻击报文的源设备;
[0052] 当接收到所述源设备发送的第二攻击报文时,对所述第二攻击报文进行拦截。
[0053] 结合第五方面,在第五方面的第一种可能实现方式中,所述当接收到所述源设备 发送的第二攻击报文时,对所述第二攻击报文进行拦截,包括:
[0054] 获取所述第三拦截请求中的安全控制参数;
[0055] 当接收到所述源设备发送的报文时,判断所述报文与所述安全控制参数是否匹 配;
[0056] 当所述报文与所述安全控制参数匹配时,对所述报文进行拦截。
[0057] 结合第五方面的第一种可能实现方式,在第五方面的第二种可能实现方式中,所 述判断所述报文是否与所述安全控制参数匹配,包括:
[0058] 所述安全控制参数包括所述网络服务器的第二设备信息时,判断所述报文的目标 设备信息与所述第二设备信息是否相同;或者,
[0059] 所述安全控制参数包括协议类型时,判断所述报文的协议类型与所述安全控制参 数中的协议类型是否相同;或者,
[0060] 所述安全控制参数包括拦截时间段时,判断当前时间点是否属于所述拦截时间 段。
[0061] 第六方面,提供了一种攻击报文的拦截装置,所述装置包括:
[0062] 接收模块,用于接收网络服务器发送的第一拦截请求,所述第一拦截请求至少携 带向所述网络服务器发送的第一攻击报文中的第一设备信息,所述第一设备信息用于指示 发送所述第一攻击报文的源设备;
[0063] 查询模块,用于根据信息数据库,查询所述第一设备信息对应的控制设备标识,所 述信息数据库至少包括设备信息以及对应的控制设备标识;
[0064] 发送模块,用于根据所述控制设备标识,向控制设备发送第二拦截请求,所述第二 拦截请求至少携带所述第一设备信息,使得所述控制设备向网关设备发送第三拦截请求, 所述第三拦截请求至少携带所述第一设备信息,使得所述网关设备根据所述第三拦截请 求,对所述源设备发送的第二攻击报文进行拦截。
[0065] 结合第六方面,在第六方面的第一种可能实现方式中,所述查询模块包括:
[0066] 判断单元,用于根据所述第一设备信息,判断所述网络服务器与所述网关设备之 间是否通过转换设备连接;
[0067] 第一查询单元,用于当确定所述网络服务器与所述网关设备之间未通过转换设备 连接时,根据所述信息数据库,查询所述第一设备信息对应的控制设备标识;
[0068] 第二查询单元,用于当确定所述网络服务器与所述网关设备之间通过转换设备连 接时,根据转换数据库,查询所述第一设备信息对应的原始设备信息,根据所述信息数据 库,查询所述原始设备信息对应的控制设备标识,所述转换数据库包括每个原始设备信息 转换后的设备信息。
[0069] 结合第六方面,在第六方面的第二种可能实现方式中,所述装置还包括:
[0070] 参数生成模块,用于生成安全控制参数,所述安全控制参数至少包括所述网络服 务器的第二设备信息、协议类型、拦截时间段和路由控制深度中的至少一项;
[0071] 所述发送模块,用于根据所述控制设备标识,向所述控制设备发送所述第二拦截 请求,所述第二拦截请求至少携带所述第一设备信息和所述安全控制参数,使得所述第三 拦截请求至少携带所述第一设备信息和所述安全控制参数,所述网关设备根据所述第三拦 截请求,对所述源设备发送的与所述安全控制参数匹配的第二攻击报文进行拦截。
[0072] 结合第六方面或第六方面的第二种可能实现方式,在第六方面的第三种可能实现 方式中,所述发送模块还用于根据所述控制设备标识,调用与所述控制设备之间的接口;通 过所述接口,向所述控制设备发送所述第二拦截请求。
[0073] 结合第六方面,在第六方面的第四种可能实现方式中,所述第一设备信息至少包 括所述源设备的网络互连协议IP地址和用于发送所述第一攻击报文的端口;
[0074] 所述第一攻击报文还包括所述网络服务器的第二设备信息,所述第二设备信息至 少包括所述网络服务器的IP地址和用于接收所述第一攻击报文的端口。
[0075] 第七方面,提供了一种攻击报文的拦截装置,所述装置包括:
[0076] 信息获取模块,用于当接收到第一攻击报文时,获取所述第一攻击报文中的第一 设备信息,所述第一设备信息用于指示发送所述第一攻击报文的源设备;
[0077] 发送模块,用于向安全控制实体发送第一拦截请求,所述第一拦截请求至少携带 所述第一设备信息,使得所述安全控制实体接收到所述第一拦截请求时,向控制设备发送 第二拦截请求,所述第二拦截请求至少携带所述第一设备信息,使得所述控制设备向网关 设备发送第三拦截请求,所述第三拦截请求至少携带所述第一设备信息,使得所述网关设 备根据所述第三拦截请求,对所述源设备发送的第二攻击报文进行拦截。
[0078] 第八方面,提供了一种攻击报文的拦截装置,所述装置包括:
[0079] 接收模块,用于接收安全控制实体发送的第二拦截请求,所述第二拦截请求至少 携带第一设备信息,所述第一设备信息用于指示向网络服务器发送第一攻击报文的源设 备;
[0080] 查询模块,用于根据信息数据库,查询所述第一设备信息对应的网关设备标识,所 述信息数据库至少包括每个设备信息对应的网关设备标识;
[0081] 发送模块,用于根据所述网关设备标识,向网关设备发送第三拦截请求,所述第三 拦截请求至少携带所述第一设备信息,使得所述网关设备根据所述第三拦截请求,对所述 源设备发送的第二攻击报文进行拦截。
[0082] 结合第八方面,在第八方面的第一种可能实现方式中,所述查询模块包括:
[0083] 路径查询单元,用于所述第二拦截请求还包括所述网络服务器的第二设备信息 时,根据所述第一设备信息、所述第二设备信息和预设路由表,确定所述源设备与所述网络 服务器之间的路由路径,所述路由路径中包括至少一个网关设备标识;
[0084] 相应的,所述发送模块用于向所述至少一个网关设备标识对应的至少一个网关设 备发送所述第三拦截请求,使得接收到所述第三拦截请求的每个网关设备根据所述第三拦 截请求,对所述源设备发送的第二攻击报文进行拦截。
[0085] 结合第八方面的第一种可能实现方式,在第八方面的第二种可能实现方式中,当 所述第二拦截请求中包括安全控制参数时,所述查询模块还包括:
[0086] 控制深度获取单元,用于获取所述安全控制参数中的路由控制深度;
[0087] 设备选取单元,用于根据所述路由路径中各个网关设备标识的先后顺序,从所述 至少一个网关设备标识中,选取与所述路由控制深度对应的网关设备标识;
[0088] 所述发送模块,还用于向所述选取的网关设备标识对应的网关设备发送所述第三 拦截请求,使得接收到所述第三拦截请求的每个网关设备根据所述第三拦截请求,对所述 源设备发送的第二攻击报文进行拦截。
[0089] 结合第八方面,在第八方面的第三种可能实现方式中,所述查询模块包括:
[0090] 接收单元,用于接收所述网关设备发送的网关设备标识和第一设备信息,所述第 一设备信息由所述网关设备在与所述源设备连接时获取;
[0091] 存储单元,用于将所述第一设备信息、控制设备标识和所述网关设备标识对应存 储于所述信息数据库中。
[0092] 第九方面,提供了一种攻击报文的拦截装置,所述装置包括:
[0093] 接收模块,用于接收控制设备发送的第三拦截请求,所述第三拦截请求至少携带 第一设备信息,所述第一设备信息用于指示向网络服务器发送第一攻击报文的源设备;
[0094] 拦截模块,用于当接收到所述源设备发送的第二攻击报文时,对所述第二攻击报 文进行拦截。
[0095] 结合第九方面,在第九方面的第一种可能实现方式中,所述拦截模块包括:
[0096] 参数获取单元,用于获取所述第三拦截请求中的安全控制参数;
[0097] 判断单元,用于当接收到所述源设备发送的报文时,判断所述报文与所述安全控 制参数是否匹配;
[0098] 拦截单元,用于当所述报文与所述安全控制参数匹配时,对所述报文进行拦截。
[0099] 结合第九方面的第一种可能实现方式,在第九方面的第二种可能实现方式中,所 述判断单元还用于所述安全控制参数包括所述网络服务器的第二设备信息时,判断所述报 文的目标设备信息与所述第二设备信息是否相同;或者,所述安全控制参数包括协议类型 时,判断所述报文的协议类型与所述安全控制参数中的协议类型是否相同;或者,所述安全 控制参数包括拦截时间段时,判断当前时间点是否属于所述拦截时间段。
[0100] 第十方面,提供了一种安全控制实体,所述安全控制实体包括:接收器、发射器,存 储器和处理器,所述接收器、所述发射器和所述存储器分别与所述处理器连接,所述存储器 存储有程序代码,所述处理器用于调用所述程序代码,执行以下操作:
[0101] 接收网络服务器发送的第一拦截请求,所述第一拦截请求至少携带向所述网络服 务器发送的第一攻击报文中的第一设备信息,所述第一设备信息用于指示发送所述第一攻 击报文的源设备;
[0102] 根据信息数据库,查询所述第一设备信息对应的控制设备标识,所述信息数据库 至少包括设备信息以及对应的控制设备标识;
[0103] 根据所述控制设备标识,向控制设备发送第二拦截请求,所述第二拦截请求至少 携带所述第一设备信息,使得所述控制设备向网关设备发送第三拦截请求,所述第三拦截