请求至少携带所述第一设备信息,使得所述网关设备根据所述第三拦截请求,对所述源设 备发送的第二攻击报文进行拦截。
[0104] 第十一方面,提供了一种网络服务器,所述网络服务器包括:接收器、发射器,存储 器和处理器,所述接收器、所述发射器和所述存储器分别与所述处理器连接,所述存储器存 储有程序代码,所述处理器用于调用所述程序代码,执行以下操作:
[0105] 当接收到第一攻击报文时,获取所述第一攻击报文中的第一设备信息,所述第一 设备信息用于指示发送所述第一攻击报文的源设备;
[0106] 向安全控制实体发送第一拦截请求,所述第一拦截请求至少携带所述第一设备信 息,使得所述安全控制实体接收到所述第一拦截请求时,向控制设备发送第二拦截请求,所 述第二拦截请求至少携带所述第一设备信息,使得所述控制设备向网关设备发送第三拦截 请求,所述第三拦截请求至少携带所述第一设备信息,使得所述网关设备根据所述第三拦 截请求,对所述源设备发送的第二攻击报文进行拦截。
[0107] 第十二方面,提供了一种控制设备,所述控制设备包括:接收器、发射器,存储器和 处理器,所述接收器、所述发射器和所述存储器分别与所述处理器连接,所述存储器存储有 程序代码,所述处理器用于调用所述程序代码,执行以下操作:
[0108] 接收安全控制实体发送的第二拦截请求,所述第二拦截请求至少携带第一设备信 息,所述第一设备信息用于指示向网络服务器发送第一攻击报文的源设备;
[0109] 根据信息数据库,查询所述第一设备信息对应的网关设备标识,所述信息数据库 至少包括每个设备信息对应的网关设备标识;
[0110] 根据所述网关设备标识,向网关设备发送第三拦截请求,所述第三拦截请求至少 携带所述第一设备信息,使得所述网关设备根据所述第三拦截请求,对所述源设备发送的 第二攻击报文进行拦截。
[0111] 第十三方面,提供了一种网关设备,所述网关设备包括:接收器、发射器,存储器和 处理器,所述接收器、所述发射器和所述存储器分别与所述处理器连接,所述存储器存储有 程序代码,所述处理器用于调用所述程序代码,执行以下操作:
[0112] 接收控制设备发送的第三拦截请求,所述第三拦截请求至少携带第一设备信息, 所述第一设备信息用于指示向网络服务器发送第一攻击报文的源设备;
[0113] 当接收到所述源设备发送的第二攻击报文时,对所述第二攻击报文进行拦截。
[0114] 本发明实施例提供的技术方案带来的有益效果是:
[0115] 本发明实施例提供的系统、方法、装置和设备,通过网络服务器接收到第一攻击报 文时,向安全控制实体发送第一拦截请求,安全控制实体接收到该第一拦截请求时,根据信 息数据库,查询第一设备信息对应的控制设备标识,从而根据该控制设备标识,向控制设备 下发拦截请求,以便网关设备对源设备发送的攻击报文进行拦截。在网络服务器的远端,实 现了对攻击报文的主动拦截,避免了网络服务器再次接收到攻击报文,无需该网络服务器 对攻击报文进行处理,节省了处理攻击报文所耗费的时间,避免了攻击报文所造成的信息 泄露或者对网络服务器的运行造成的影响,提高了安全性能。
【附图说明】
[0116] 为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使 用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于 本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他 的附图。
[0117] 图1是本发明实施例提供的一种网络系统的结构示意图。
[0118] 图2是本发明实施例提供的一种安全控制实体的结构示意图;
[0119] 图3是本发明实施例提供的一种网络服务器的结构示意图;
[0120] 图4是本发明实施例提供的一种控制设备的结构示意图;
[0121] 图5是本发明实施例提供的一种网关设备的结构示意图;
[0122] 图6是本发明实施例提供的一种攻击报文的拦截方法的流程图;
[0123] 图7是本发明实施例提供的一种攻击报文的拦截方法的流程图;
[0124] 图8是本发明实施例提供的一种攻击报文的拦截方法的流程图;
[0125] 图9是本发明实施例提供的一种攻击报文的拦截方法的流程图;
[0126] 图10A是本发明实施例提供的一种LTE网络系统的结构示意图;
[0127] 图10B是本发明实施例提供的一种攻击报文的拦截方法的流程图;
[0128] 图10C是本发明实施例提供的一种操作流程示意图;
[0129] 图11A是本发明实施例提供的一种固定网络系统的结构示意图;
[0130] 图11B是本发明实施例提供的一种攻击报文的拦截方法的流程图;
[0131] 图11C是本发明实施例提供的一种操作流程示意图;
[0132] 图12是本发明实施例提供的一种攻击报文的拦截装置结构示意图;
[0133] 图13是本发明实施例提供的一种攻击报文的拦截装置结构示意图;
[0134] 图14是本发明实施例提供的一种攻击报文的拦截装置结构示意图;
[0135] 图15是本发明实施例提供的一种攻击报文的拦截装置结构示意图。
【具体实施方式】
[0136] 下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完 整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发 明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施 例,都属于本发明保护的范围。
[0137] 图1是本发明实施例提供的一种网络系统的结构示意图。参见图1,该网络系统包 括:
[0138] 源设备101、网关设备102、控制设备103、安全控制实体104、网络服务器105、信息 数据库106,该信息数据库106至少包括设备信息以及对应的控制设备标识和网关设备标 识;
[0139] 该源设备101与该网关设备102连接,该网关设备102与该控制设备103连接,该 控制设备103与该安全控制实体104连接,该安全控制实体104与该网络服务器105连接; 该网络服务器105与该网关设备102连接,该安全控制实体104和该控制设备103分别与 该信息数据库106连接;
[0140] 该源设备101用于向该网关设备102发送第一攻击报文,该第一攻击报文包括该 源设备101的第一设备信息和该网络服务器105的第二设备信息;
[0141] 该网关设备102用于当接收到该第一攻击报文时,根据该第二设备信息,向该网 络服务器105发送该第一攻击报文;
[0142] 该网络服务器105用于当接收到该第一攻击报文时,向该安全控制实体104发送 第一拦截请求,该第一拦截请求至少携带该第一设备信息;
[0143] 该安全控制实体104用于当接收到该第一拦截请求时,根据该信息数据库106,查 询该第一设备信息对应的控制设备标识,根据该控制设备标识,向该控制设备103发送第 二拦截请求,该第二拦截请求至少携带该第一设备信息;
[0144] 该控制设备103用于当接收到该第二拦截请求时,根据该信息数据库106,查询该 第一设备信息对应的网关设备标识,根据该网关设备标识,向该网关设备102发送第三拦 截请求,该第三拦截请求至少携带该第一设备信息;
[0145] 该网关设备102用于当接收到该第三拦截请求时,根据该第三拦截请求,对该源 设备101发送的第二攻击报文进行拦截。
[0146] 本发明实施例提供的系统,通过网络服务器接收到第一攻击报文时,向安全控制 实体发送第一拦截请求,安全控制实体接收到该第一拦截请求时,根据信息数据库,查询第 一设备信息对应的控制设备标识,从而根据该控制设备标识,向控制设备下发拦截请求,以 便网关设备对源设备发送的攻击报文进行拦截。在网络服务器的远端,实现了对攻击报文 的主动拦截,避免了网络服务器再次接收到攻击报文,无需该网络服务器对攻击报文进行 处理,节省了处理攻击报文所耗费的时间,避免了攻击报文所造成的信息泄露或者对网络 服务器的运行造成的影响,提高了安全性能。
[0147] 可选地,该网络系统还包括转换设备,该网关设备102与该转换设备连接,该转换 设备与该网络服务器105连接;
[0148] 该网关设备102还用于当接收到该第一攻击报文时,向该转换设备发送该第一攻 击报文;该转换设备用于将该第一攻击报文中的第一设备信息转换为第三设备信息,得到 第三攻击报文,向该网络服务器105发送该第三攻击报文。
[0149] 可选地,该网络服务器105还用于当接收到攻击报文时,向该安全控制实体104 发送第一拦截请求,该第一拦截请求至少携带用于指示发送该攻击报文的源设备的设备信 息;相应的,该安全控制实体104还用于当接收到该第一拦截请求时,根据该第一拦截请求 携带的设备信息,判断该网络服务器与该网关设备之间是否通过转换设备连接;当确定该 网络服务器与该网关设备之间未通过转换设备连接时,根据该信息数据库,查询该设备信 息对应的控制设备标识;当确定该网络服务器与该网关设备之间通过转换设备连接时,根 据转换数据库,查询该设备信息对应的原始设备信息,根据该信息数据库,查询该原始设备 信息对应的控制设备标识,该转换数据库包括每个原始设备信息转换后的设备信息。
[0150] 可选地,该安全控制实体104还用于生成安全控制参数,该安全控制参数至少包 括该网络服务器105的第二设备信息、协议类型、拦截时间段和路由控制深度中的至少一 项;根据该控制设备标识,向该控制设备103发送该第二拦截请求,该第二拦截请求至少携 带该第一设备信息和该安全控制参数,使得该第三拦截请求至少携带该第一设备信息和该 安全控制参数,该网关设备102根据该第三拦截请求,对该源设备101发送的与该安全控制 参数匹配的第二攻击报文进行拦截。
[0151] 可选地,该安全控制实体104还用于根据该控制设备标识,调用与该控制设备103 之间的接口;通过该接口,向该控制设备103发送该第二拦截请求。
[0152] 可选地,该第一设备信息至少包括该源设备101的IP(InternetProtocol,网络 互连协议)地址和用于发送该第一攻击报文的端口;
[0153] 该第一攻击报文还包括该网络服务器105的第二设备信息,该第二设备信息至少 包括该网络服务器105的IP地址和用于接收该第一攻击报文的端口。
[0154] 可选地,该控制设备103还用于该第二拦截请求还包括该网络服务器105的第二 设备信息时,根据该第一设备信息、该第二设备信息和预设路由表,确定该源设备101与该 网络服务器105之间的路由路径,该路由路径中包括至少一个网关设备标识;
[0155] 相应的,该控制设备103还用于向该至少一个网关设备标识对应的至少一个网关 设备102发送该第三拦截请求,使得接收到该第三拦截请求的每个网关设备102根据该第 三拦截请求,对该源设备101发送的第二攻击报文进行拦截。
[0156] 可选地,该控制设备103还用于获取该安全控制参数中的路由控制深度;根据该 路由路径中各个网关设备标识的先后顺序,从该至少一个网关设备标识中,选取与该路由 控制深度对应的网关设备标识;向该选取的网关设备标识对应的网关设备102发送该第三 拦截请求,使得接收到该第三拦截请求的每个网关设备102根据该第三拦截请求,对该源 设备101发送的第二攻击报文进行拦截。
[0157] 可选地,该控制设备103还用于接收该网关设备102发送的网关设备标识和第一 设备信息,该第一设备信息由该网关设备102在与该源设备101连接时获取;将该第一设备 信息、控制设备标识和该网关设备标识对应存储于该信息数据库106中。
[0158] 可选地,该网关设备102还用于获取该第三拦截请求中的安全控制参数;当接收 到该源设备101发送的报文时,判断该报文与该安全控制参数是否匹配;当该报文与该安 全控制参数匹配时,对该报文进行拦截。
[0159] 可选地,该网关设备102还用于该安全控制参数包括该网络服务器105的第二设 备信息时,判断该报文的目标设备信息与该第二设备信息是否相同;或者,该安全控制参数 包括协议类型时,判断该报文的协议类型与该安全控制参数中的协议类型是否相同;或者, 该安全控制参数包括拦截时间段时,判断当前时间点是否属于该拦截时间段。
[0160] 上述所有可选技术方案,可以采用任意结合形成本发明的可选实施例,在此不再 --赘述。
[0161] 图2是本发明实施例提供的一种安全控制实体的结构示意图,参见图2,包括:接 收器201、发射器202、存储器203和处理器204,该接收器201和该发射器202分别与该处 理器204连接,该存储器203存储有程序代码,该处理器204用于调用该程序代码,执行以 下操作:
[0162] 通过该接收器201,接收网络服务器发送的第一拦截请求,该第一拦截请求至少携 带向该网络服务器发送的第一攻击报文中的第一设备信息,该第一设备信息用于指示发送 该第一攻击报文的源设备;
[0163] 根据信息数据库,查询该第一设备信息对应的控制设备标识,该信息数据库至少 包括设备信息以及对应的控制设备标识;
[0164] 通过该发射器202,根据该控制设备标识,向控制设备发送第二拦截请求,该第二 拦截请求至少携带该第一设备信息,使得该控制设备向网关设备发送第三拦截请求,该第 三拦截请求至少携带该第一设备信息,使得该网关设备根据该第三拦截请求,对该源设备 发送的第二攻击报文进行拦截。
[0165] 本发明实施例提供的安全控制实体,通过网络服务器接收到第一攻击报文时,向 安全控制实体发送第一拦截请求,安全控制实体接收到该第一拦截请求时,根据信息数据 库,查询第一设备信息对应的控制设备标识,从而根据该控制设备标识,向控制设备下发拦 截请求,以便网关设备对源设备发送的攻击报文进行拦截。在网络服务器的远端,实现了对 攻击报文的主动拦截,避免了网络服务器再次接收到攻击报文,无需该网络服务器对攻击 报文进行处理,节省了处理攻击报文所耗费的时间,避免了攻击报文所造成的信息泄露或 者对网络服务器的运行造成的影响,提高了安全性能。
[0166] 可选地,该处理器204用于调用该程序代码,执行以下操作:
[0167] 根据该第一设备信息,判断该网络服务器与该网关设备之间是否通过转换设备连 接;
[0168] 当确定该网络服务器与该网关设备之间未通过转换设备连接时,根据该信息数据 库,查询该第一设备信息对应的控制设备标识;
[0169] 当确定该网络服务器与该网关设备之间通过转换设备连接时,根据转换数据库, 查询该第一设备信息对应的原始设备信息,根据该信息数据库,查询该原始设备信息对应 的控制设备标识,该转换数据库包括每个原始设备信息转换后的设备信息。
[0170] 可选地,该处理器204用于调用该程序代码,执行以下操作:
[0171] 生成安全控制参数,该安全控制参数至少包括该网络服务器的第二设备信息、协 议类型、拦截时间段和路由控制深度中的至少一项;
[0172] 根据该控制设备标识,向该控制设备发送该第二拦截请求,该第二拦截请求至少 携带该第一设备信息和该安全控制参数,使得该第三拦截请求至少携带该第一设备信息和 该安全控制参数,该网关设备根据该第三拦截请求,对该源设备发送的与该安全控制参数 匹配的第二攻击报文进行拦截。
[0173] 可选地,该处理器204用于调用该程序代码,执行以下操作:
[0174] 根据该控制设备标识,调用与该控制设备之间的接口;
[0175] 通过该接口,向该控制设备发送该第二拦截请求。
[0176] 可选地,该第一设备信息至少包括该源设备的网络互连协议IP地址和用于发送 该第一攻击报文的端口;
[0177] 该第一攻击报文还包括该网络服务器的第二设备信息,该第二设备信息至少包括 该网络服务器的IP地址和用于接收该第一攻击报文的端口。
[0178] 上述所有可选技术方案,可以采用任意结合形成本发明的可选实施例,在此不再 --赘述。
[0179]图3是本发明实施例提供的一种网络服务器的结构示意图,参见图3,包括:接收 器301、发射器302、存储器303和处理器304,该接收器301和该发射器302分别与该处理 器304连接,该存储器303存储有程序代码,该处理器304用于调用该程序代码,执行以下 操作:
[0180] 通过接收器301接收到第一攻击报文时,获取该第一攻击报文中的第一设备信 息,该第一设备信息用于指示发送该第一攻击报文的源设备;
[0181] 通过该发射器302,向安全控制实体发送第一拦截请求,该第一拦截请求至少携带 该第一设备信息,使得该安全控制实体接收到该第一拦截请求时,向控制设备发送第二拦 截请求,该第二拦截请求至少携带该第一设备信息,使得该控制设备向网关设备发送第三 拦截请求,该第三拦截请求至少携带该第一设备信息,使得该网关设备根据该第三拦截请 求,对该源设备发送的第二攻击报文进行拦截。
[0182] 本发明实施例提供的网络服务器,通过网络服务器接收到第一攻击报文时,向安 全控制实体发送第一拦截请求,安全控制实体接收到该第一拦截请求时,根据信息数据库, 查询第一设备信息对应的控制设备标识,从而根据该控制设备标识,向控制设备下发拦截 请求,以便网关设备对源设备发送的攻击报文进行拦截。在网络服务器的远端,实现了对攻 击报文的主动拦截,避免了网络服务器再次接收到攻击报文,无需该网络服务器对攻击报 文进行处理,节省了处理攻击报文所耗费的时间,避免了攻击报文所造成的信息泄露或者 对网络服务器的运行造成的影响,提高了安全性能。
[0183]图4是本发明实施例提供的一种控制设备的结构示意图,参见图4,包括:接收器 401、发射器402、存储器403和处理器404,该接收器401和该发射器402分别与该处理器 404连接,该存储器403存储有程序代码,该处理器404用于调用该程序代码,执行以下操 作:
[0184] 通过该接收器401,接收安全控制实体发送的第二拦截请求,该第二拦截请求至少 携带第一设备信息,该第一设备信息用于指示向网络服务器发送第一攻击报文的源设备;
[0185] 根据信息数据库,查询该第一设备信息对应的网关设备标识,该信息数据库至少 包括每个设备信息对应的网关设备标识;
[0186] 通过该发射器404,根据该网关设备标识,向网关设备发送第三拦截请求,该第三 拦截请求至少携带该第一设备信息,使得该网关设备根据该第三拦截请求,对该源设备发 送的第二攻击报文进行拦截。
[0187] 本发明实施例提供的控制设备,通过网络服务器接收到第一攻击报文时,向安全 控制实体发送第一拦截请求,安全控制实体接收到该第一拦截请求时,根据信息数据库,查 询第一设备信息对应的控制设备标识,根据该控制设备标识,向控制设备下发第二拦截请 求,该控制设备根据信息数据库,查询第一设备信息对应的网关设备标识,根据该网关设备 标识,向该网关设备下发第三拦截请求,以便网关设备对源设备发送的攻击报文进行拦截。 在网络服务器的远端,实现了对攻击报文的主动拦截,避免了网络服务器再次接收到攻击 报文,无需该网络服务器对攻击报文进行处理,节省了处理攻击报文所耗费的时间,避免了 攻击报文所造成的信息泄露或者对网络服务器的运行造成的影响,提高了安全性能。
[0188] 可选地,该处理器404用于调用该程序代码,执行以下操作:
[0189] 该第二拦截请求还包括该网络服