本發(fā)明涉及通信領(lǐng)域中的網(wǎng)絡(luò)與信息安全技術(shù),尤其涉及一種防止惡意終端非法占用核心網(wǎng)資源的方法和設(shè)備。
背景技術(shù):
按照3GPP標(biāo)準(zhǔn)的規(guī)范,終端(UE)和網(wǎng)絡(luò)之間有連接(CONNECT)和空閑(IDLE)兩種狀態(tài)。當(dāng)UE和網(wǎng)絡(luò)建立連接后,如果有數(shù)據(jù)傳輸,那么UE會(huì)處于CONNECT狀態(tài);如果沒有數(shù)據(jù)傳輸,那么UE會(huì)轉(zhuǎn)入IDLE態(tài)。當(dāng)UE再次需要數(shù)據(jù)傳輸時(shí),UE會(huì)和網(wǎng)絡(luò)之間重新建立連接,UE進(jìn)入CONNECT狀態(tài)。UE和網(wǎng)絡(luò)之間的信令隨著CONNECT和IDLE態(tài)的轉(zhuǎn)換而增加,大量的UE和網(wǎng)絡(luò)之間不停的進(jìn)行信令交互,使得網(wǎng)絡(luò)收到的UE信令請(qǐng)求超過了網(wǎng)絡(luò)各項(xiàng)信令資源的處理能力,引發(fā)網(wǎng)絡(luò)擁塞甚至雪崩效應(yīng),導(dǎo)致網(wǎng)絡(luò)不可用,即產(chǎn)生信令風(fēng)暴。
特別是隨著移動(dòng)互聯(lián)網(wǎng)和智能終端的發(fā)展,攻擊者可以使用大量的惡意智能終端向網(wǎng)絡(luò)發(fā)起信令風(fēng)暴攻擊。比如:攻擊者可以控制這些惡意終端不斷的向網(wǎng)絡(luò)發(fā)起連接請(qǐng)求,連接成功后立即進(jìn)入IDLE狀態(tài);再立即發(fā)起連接請(qǐng)求后進(jìn)入IDLE狀態(tài),再連接......一直重復(fù),無線接入設(shè)備和核心網(wǎng)設(shè)備的信令處理量都將劇增。導(dǎo)致核心網(wǎng)設(shè)備無法處理正常UE的請(qǐng)求、甚至癱瘓,無法正常工作。
技術(shù)實(shí)現(xiàn)要素:
為解決現(xiàn)有存在的技術(shù)問題,本發(fā)明實(shí)施例提供一種防止惡意終端非法占用核心網(wǎng)資源的方法和設(shè)備。
本發(fā)明實(shí)施例提供了一種防止惡意終端非法占用核心網(wǎng)資源的方法,該方法包括:
從核心接入設(shè)備獲取終端的信令信息;
依據(jù)所述信令信息確定所述終端為惡意終端;
生成第一指令;
將所述第一指令轉(zhuǎn)換成對(duì)應(yīng)的第一信令轉(zhuǎn)發(fā)規(guī)則,并發(fā)送給所述核心接入設(shè)備;所述第一信令轉(zhuǎn)發(fā)規(guī)則,用于阻止所述核心接入設(shè)備轉(zhuǎn)發(fā)所述惡意終端發(fā)送的信令。
一個(gè)實(shí)施例中,所述生成第一指令后,該方法還包括:
生成第一通知,并將所述第一通知發(fā)送給核心網(wǎng)網(wǎng)管;所述第一通知用于通知所述核心網(wǎng)網(wǎng)管推遲或禁止對(duì)核心網(wǎng)設(shè)備的擴(kuò)容操作。
其中,所述從核心接入設(shè)備獲取終端的信令信息,包括:
接收所述核心接入設(shè)備周期性主動(dòng)上報(bào)的終端的信令信息;或者,
向所述核心接入設(shè)備發(fā)送查詢請(qǐng)求,并接收所述核心接入設(shè)備依據(jù)所述查詢請(qǐng)求上報(bào)的終端的信令信息。
其中,所述依據(jù)所述信令信息確定所述終端為惡意終端,包括:
依據(jù)所述終端在設(shè)定周期內(nèi)發(fā)送的數(shù)據(jù)包的數(shù)量、發(fā)送相鄰數(shù)據(jù)包的時(shí)間間隔、每個(gè)數(shù)據(jù)包的大小以及每個(gè)數(shù)據(jù)包的目的地址,來確定所述終端為惡意終端。
其中,所述確定所述終端為惡意終端,包括:
如果所述數(shù)據(jù)包的數(shù)量大于預(yù)設(shè)門限、發(fā)送相鄰數(shù)據(jù)包的時(shí)間間隔小于預(yù)設(shè)門限且相等、每個(gè)數(shù)據(jù)包的報(bào)文長度相等且小于預(yù)設(shè)門限,以及每個(gè)數(shù)據(jù)包的目的地址相同,則確定所述終端為惡意終端。
其中,所述將所述第一指令轉(zhuǎn)換成對(duì)應(yīng)的第一信令轉(zhuǎn)發(fā)規(guī)則,包括:
確定與所述核心接入設(shè)備所共同支持的通信協(xié)議;
將所述第一指令轉(zhuǎn)換成與所述通信協(xié)議對(duì)應(yīng)的流表項(xiàng)。
一個(gè)實(shí)施例中,所述獲取終端的信令信息之前,該方法還包括:
接收核心網(wǎng)網(wǎng)管發(fā)送的第一請(qǐng)求消息;
所述第一請(qǐng)求消息,為所述核心網(wǎng)網(wǎng)管確定核心網(wǎng)設(shè)備待處理的信令數(shù)量大于預(yù)設(shè)處理門限時(shí)發(fā)送的。
一個(gè)實(shí)施例中,所述確定所述終端為惡意終端之后,該方法還包括:
將與所述惡意終端對(duì)應(yīng)的身份標(biāo)識(shí)存儲(chǔ)在預(yù)設(shè)的惡意終端標(biāo)識(shí)列表中。
一個(gè)實(shí)施例中,所述將第一信令轉(zhuǎn)發(fā)規(guī)則發(fā)送給所述核心接入設(shè)備之后,該方法還包括:
從核心接入設(shè)備獲取終端的信令信息;
依據(jù)所述信令信息確定所述惡意終端已停止發(fā)送惡意信令;
生成第二指令;
將所述第二指令轉(zhuǎn)換成對(duì)應(yīng)的第二信令轉(zhuǎn)發(fā)規(guī)則,并發(fā)送給所述核心接入設(shè)備;所述第二信令轉(zhuǎn)發(fā)規(guī)則,用于通知所述核心接入設(shè)備轉(zhuǎn)發(fā)所述已停止發(fā)送惡意信令的終端發(fā)送的信令。
一個(gè)實(shí)施例中,所述從核心接入設(shè)備獲取終端的信令信息之前,該方法還包括:
接收核心網(wǎng)網(wǎng)管發(fā)送的第二請(qǐng)求消息;
所述第二請(qǐng)求消息,為所述核心網(wǎng)網(wǎng)管確定核心網(wǎng)設(shè)備處于正常工作狀態(tài)時(shí)發(fā)出的;所述正常工作狀態(tài),為所述核心網(wǎng)設(shè)備待處理的信令數(shù)量未超過預(yù)設(shè)處理門限。
本發(fā)明實(shí)施例還提供了一種防止惡意終端非法占用核心網(wǎng)資源的設(shè)備,該設(shè)備包括:獲取模塊、判斷處理模塊和規(guī)則生成轉(zhuǎn)發(fā)模塊;其中,
所述獲取模塊,用于從核心接入設(shè)備獲取終端的信令信息;
所述判斷處理模塊,用于依據(jù)所述信令信息確定所述終端為惡意終端;
所述規(guī)則生成轉(zhuǎn)發(fā)模塊,用于生成第一指令;將所述第一指令轉(zhuǎn)換成對(duì)應(yīng)的第一信令轉(zhuǎn)發(fā)規(guī)則,并發(fā)送給所述核心接入設(shè)備;其中,
所述第一信令轉(zhuǎn)發(fā)規(guī)則,用于阻止所述核心接入設(shè)備轉(zhuǎn)發(fā)所述惡意終端發(fā)送的信令。
一個(gè)實(shí)施例中,所述規(guī)則生成轉(zhuǎn)發(fā)模塊生成第一指令后,
還用于生成第一通知,并將所述第一通知發(fā)送給核心網(wǎng)網(wǎng)管;所述第一通知用于通知所述核心網(wǎng)網(wǎng)管推遲或禁止對(duì)核心網(wǎng)設(shè)備的擴(kuò)容操作。
一個(gè)實(shí)施例中,所述獲取模塊獲取終端的信令信息之前,
還用于接收核心網(wǎng)網(wǎng)管發(fā)送的第一請(qǐng)求消息;所述第一請(qǐng)求消息,為所述核心網(wǎng)網(wǎng)管確定核心網(wǎng)設(shè)備待處理的信令數(shù)量大于預(yù)設(shè)處理門限時(shí)發(fā)送的。
一個(gè)實(shí)施例中,所述判斷處理模塊確定所述終端為惡意終端之后,
還用于將與所述惡意終端對(duì)應(yīng)的身份標(biāo)識(shí)存儲(chǔ)在預(yù)設(shè)的惡意終端標(biāo)識(shí)列表中。
一個(gè)實(shí)施例中,所述規(guī)則生成轉(zhuǎn)發(fā)模塊將所述第一信令轉(zhuǎn)發(fā)規(guī)則發(fā)送給所述核心接入設(shè)備之后,
所述獲取模塊,還用于從核心接入設(shè)備獲取終端的信令信息;
所述判斷處理模塊,還用于依據(jù)所述信令信息確定所述惡意終端已停止發(fā)送惡意信令;
所述規(guī)則生成轉(zhuǎn)發(fā)模塊,還用于生成第二指令;將所述第二指令轉(zhuǎn)換成對(duì)應(yīng)的第二信令轉(zhuǎn)發(fā)規(guī)則,并發(fā)送給所述核心接入設(shè)備;
所述第二信令轉(zhuǎn)發(fā)規(guī)則,用于通知所述核心接入設(shè)備轉(zhuǎn)發(fā)所述已停止發(fā)送惡意信令的終端發(fā)送的信令。
一個(gè)實(shí)施例中,所述獲取模塊從核心接入設(shè)備獲取終端的信令信息之前,
還用于接收核心網(wǎng)網(wǎng)管發(fā)送的第二請(qǐng)求消息;
所述第二請(qǐng)求消息,為所述核心網(wǎng)網(wǎng)管確定核心網(wǎng)設(shè)備處于正常工作狀態(tài)時(shí)發(fā)出的;所述正常工作狀態(tài),為所述核心網(wǎng)設(shè)備待處理的信令數(shù)量未超過預(yù)設(shè)處理門限。
本發(fā)明實(shí)施例提供的防止惡意終端非法占用核心網(wǎng)資源的方法和設(shè)備,從核心接入設(shè)備獲取終端的信令信息;依據(jù)所述信令信息確定所述終端為惡意終端;生成第一指令;將所述第一指令轉(zhuǎn)換成對(duì)應(yīng)的第一信令轉(zhuǎn)發(fā)規(guī)則,并發(fā)送給所述核心接入設(shè)備;所述第一信令轉(zhuǎn)發(fā)規(guī)則,用于阻止所述核心接入設(shè)備轉(zhuǎn) 發(fā)所述惡意終端發(fā)送的信令??梢?,本發(fā)明實(shí)施例可有效地防止惡意終端通過云化或非云化的無線接入網(wǎng)對(duì)核心網(wǎng)資源進(jìn)行非法占用,保證核心網(wǎng)的資源能夠有效提供給普通的終端用戶。
另外,本發(fā)明實(shí)施例在確定惡意終端不再進(jìn)行惡意信令發(fā)送行為時(shí),恢復(fù)惡意終端的信令的轉(zhuǎn)發(fā),保證了被惡意非法占用的終端在恢復(fù)正常后,可以正常使用核心網(wǎng)的資源。
附圖說明
在附圖(其不一定是按比例繪制的)中,相似的附圖標(biāo)記可在不同的視圖中描述相似的部件。具有不同字母后綴的相似附圖標(biāo)記可表示相似部件的不同示例。附圖以示例而非限制的方式大體示出了本文中所討論的各個(gè)實(shí)施例。
圖1為本發(fā)明實(shí)施例所述防止惡意終端非法占用核心網(wǎng)資源的方法實(shí)現(xiàn)流程圖一;
圖2為本發(fā)明實(shí)施例所述防止惡意終端非法占用核心網(wǎng)資源的方法實(shí)現(xiàn)流程圖二;
圖3為本發(fā)明實(shí)施例所述防止惡意終端非法占用核心網(wǎng)資源的方法實(shí)現(xiàn)流程圖三;
圖4為本發(fā)明實(shí)施例所述防止惡意終端非法占用核心網(wǎng)資源的方法實(shí)現(xiàn)流程圖四;
圖5為本發(fā)明實(shí)施例所述防止惡意終端非法占用核心網(wǎng)資源的方法實(shí)現(xiàn)流程圖五;
圖6為本發(fā)明實(shí)施例所述防止惡意終端非法占用核心網(wǎng)資源的設(shè)備結(jié)構(gòu)示意圖;
圖7為現(xiàn)有惡意UE反復(fù)接入核心網(wǎng)的流程示意圖;
圖8為本發(fā)明場景一中所述主動(dòng)檢測流程示意圖;
圖9為本發(fā)明場景二中所述被動(dòng)檢測流程示意圖一;
圖10為本發(fā)明場景三中所述被動(dòng)檢測流程示意圖二;
圖11為本發(fā)明場景四中所述信令檢測APP觸發(fā)的UE限制解除流程示意圖;
圖12為本發(fā)明場景五中所述網(wǎng)絡(luò)控制器觸發(fā)的UE限制解除流程示意圖;
圖13為本發(fā)明場景六中所述核心網(wǎng)管觸發(fā)的UE限制解除流程示意圖一;
圖14為本發(fā)明場景七中所述核心網(wǎng)管觸發(fā)的UE限制解除流程示意圖二。
具體實(shí)施方式
本發(fā)明的實(shí)施例中,從核心接入設(shè)備獲取終端的信令信息;依據(jù)所述信令信息確定所述終端為惡意終端;生成第一指令;將所述第一指令轉(zhuǎn)換成對(duì)應(yīng)的第一信令轉(zhuǎn)發(fā)規(guī)則,并發(fā)送給所述核心接入設(shè)備;所述第一信令轉(zhuǎn)發(fā)規(guī)則,用于阻止所述核心接入設(shè)備轉(zhuǎn)發(fā)所述惡意終端發(fā)送的信令。
需要說明的是,本發(fā)明實(shí)施例所述的方案可以適用于云化后或非云化的核心網(wǎng)設(shè)備。
下面結(jié)合附圖及具體實(shí)施例對(duì)本發(fā)明作進(jìn)一步詳細(xì)說明。
圖1為本發(fā)明實(shí)施例所述防止惡意終端非法占用核心網(wǎng)資源的方法實(shí)現(xiàn)流程圖,如圖1所示,該方法包括:
步驟102:從核心接入設(shè)備獲取終端的信令信息;
步驟104:依據(jù)所述信令信息確定所述終端為惡意終端;
步驟106:生成第一指令;
步驟108:將所述第一指令轉(zhuǎn)換成對(duì)應(yīng)的第一信令轉(zhuǎn)發(fā)規(guī)則,并發(fā)送給所述核心接入設(shè)備;所述第一信令轉(zhuǎn)發(fā)規(guī)則,用于阻止所述核心接入設(shè)備轉(zhuǎn)發(fā)所述惡意終端發(fā)送的信令。
這里,所述終端的信令信息可以包括:UE的IP地址、UE的標(biāo)識(shí)、報(bào)文長度、發(fā)送時(shí)間等。
一個(gè)實(shí)施例中,如圖2所示,所述生成第一指令后,該方法還包括:
步驟107:生成第一通知,并將所述第一通知發(fā)送給核心網(wǎng)網(wǎng)管;所述第一通知用于通知所述核心網(wǎng)網(wǎng)管推遲或禁止對(duì)核心網(wǎng)設(shè)備的擴(kuò)容操作。
本發(fā)明實(shí)施例中,所述從核心接入設(shè)備獲取終端的信令信息,包括:
接收所述核心接入設(shè)備周期性主動(dòng)上報(bào)的終端的信令信息;或者,
向所述核心接入設(shè)備發(fā)送查詢請(qǐng)求,并接收所述核心接入設(shè)備依據(jù)所述查詢請(qǐng)求上報(bào)的終端的信令信息。
這里,需要說明的是,所述核心接入設(shè)備對(duì)收到的所有終端的信令都會(huì)有進(jìn)行統(tǒng)計(jì)和上報(bào),并不針對(duì)某個(gè)具體的終端進(jìn)行信令統(tǒng)計(jì)。
本發(fā)明實(shí)施例中,所述依據(jù)所述信令信息確定所述終端為惡意終端,包括:
依據(jù)所述終端在設(shè)定周期內(nèi)發(fā)送的數(shù)據(jù)包的數(shù)量、發(fā)送相鄰數(shù)據(jù)包的時(shí)間間隔、每個(gè)數(shù)據(jù)包的大小以及每個(gè)數(shù)據(jù)包的目的地址,來確定所述終端為惡意終端。
本發(fā)明實(shí)施例中,所述確定所述終端為惡意終端,包括:
如果所述數(shù)據(jù)包的數(shù)量大于預(yù)設(shè)門限、發(fā)送相鄰數(shù)據(jù)包的時(shí)間間隔小于預(yù)設(shè)門限且相等、每個(gè)數(shù)據(jù)包的報(bào)文長度相等且小于預(yù)設(shè)門限,以及每個(gè)數(shù)據(jù)包的目的地址相同,則確定所述終端為惡意終端。
本發(fā)明實(shí)施例中,所述將所述第一指令轉(zhuǎn)換成對(duì)應(yīng)的第一信令轉(zhuǎn)發(fā)規(guī)則,包括:
確定與所述核心接入設(shè)備所共同支持的通信協(xié)議;
將所述第一指令轉(zhuǎn)換成與所述通信協(xié)議對(duì)應(yīng)的流表項(xiàng)。
例如:如果當(dāng)前與所述核心接入設(shè)備之間共同支持openflow協(xié)議,則將所述第一指令轉(zhuǎn)換成flow rule中的一條流表項(xiàng),并下發(fā)到核心接入設(shè)備,指示核心接入設(shè)備丟棄從惡意終端的IP地址到核心網(wǎng)設(shè)備(如MME)目的IP地址的數(shù)據(jù)包(信令)。
一個(gè)實(shí)施例中,如圖3所示,所述獲取終端的信令信息之前,該方法還包括:
步驟101:接收核心網(wǎng)網(wǎng)管發(fā)送的第一請(qǐng)求消息;
所述第一請(qǐng)求消息,為所述核心網(wǎng)網(wǎng)管確定核心網(wǎng)設(shè)備待處理的信令數(shù)量大于預(yù)設(shè)處理門限時(shí)發(fā)送的。
一個(gè)實(shí)施例中,如圖4所示,所述確定所述終端為惡意終端之后,該方法還包括:
步驟105:將與所述惡意終端對(duì)應(yīng)的身份標(biāo)識(shí)存儲(chǔ)在預(yù)設(shè)的惡意終端標(biāo)識(shí)列表中。
可見,本發(fā)明實(shí)施例可有效地防止惡意終端通過云化或非云化的無線接入網(wǎng)對(duì)核心網(wǎng)資源進(jìn)行非法占用,保證核心網(wǎng)的資源能夠有效提供給普通的終端用戶。
一個(gè)實(shí)施例中,如圖5所示,所述將第一信令轉(zhuǎn)發(fā)規(guī)則發(fā)送給所述核心接入設(shè)備之后,該方法還包括:
步驟110:從核心接入設(shè)備獲取終端的信令信息;
步驟111:依據(jù)所述信令信息確定所述惡意終端已停止發(fā)送惡意信令;
步驟112:生成第二指令;
步驟113:將所述第二指令轉(zhuǎn)換成對(duì)應(yīng)的第二信令轉(zhuǎn)發(fā)規(guī)則,并發(fā)送給所述核心接入設(shè)備;所述第二信令轉(zhuǎn)發(fā)規(guī)則,用于通知所述核心接入設(shè)備轉(zhuǎn)發(fā)所述已停止發(fā)送惡意信令的終端發(fā)送的信令。
這里,所述確定所述惡意終端已停止發(fā)送惡意信令過程可參照上述惡意終端的確定過程,例如:
如果所述數(shù)據(jù)包的數(shù)量小于預(yù)設(shè)門限、發(fā)送相鄰數(shù)據(jù)包的時(shí)間間隔大于預(yù)設(shè)門限且相互不完全相等、每個(gè)數(shù)據(jù)包的報(bào)文長度不完全相等且大于預(yù)設(shè)門限,以及每個(gè)數(shù)據(jù)包的目的地址不完全相同,則確定所述終端已停止發(fā)送惡意信令。
其中,所述從核心接入設(shè)備獲取終端的信令信息之前,該方法還包括:
步驟109:接收核心網(wǎng)網(wǎng)管發(fā)送的第二請(qǐng)求消息;
所述第二請(qǐng)求消息,為所述核心網(wǎng)網(wǎng)管確定核心網(wǎng)設(shè)備處于正常工作狀態(tài)時(shí)發(fā)出的;所述正常工作狀態(tài),為所述核心網(wǎng)設(shè)備待處理的信令數(shù)量未超過預(yù)設(shè)處理門限。
可見,本發(fā)明實(shí)施例在確定惡意終端不再進(jìn)行惡意信令發(fā)送行為時(shí),恢復(fù)惡意終端的信令的轉(zhuǎn)發(fā),保證了被惡意非法占用的終端在恢復(fù)正常后,可以正 常使用核心網(wǎng)的資源。
本發(fā)明實(shí)施例還提供了一種防止惡意終端非法占用核心網(wǎng)資源的設(shè)備,如圖6所示,該設(shè)備包括:獲取模塊601、判斷處理模塊602和規(guī)則生成轉(zhuǎn)發(fā)模塊603;其中,
所述獲取模塊601,用于從核心接入設(shè)備獲取終端的信令信息;
所述判斷處理模塊602,用于依據(jù)所述信令信息確定所述終端為惡意終端;
所述規(guī)則生成轉(zhuǎn)發(fā)模塊603,用于生成第一指令;將所述第一指令轉(zhuǎn)換成對(duì)應(yīng)的第一信令轉(zhuǎn)發(fā)規(guī)則,并發(fā)送給所述核心接入設(shè)備;其中,
所述第一信令轉(zhuǎn)發(fā)規(guī)則,用于阻止所述核心接入設(shè)備轉(zhuǎn)發(fā)所述惡意終端發(fā)送的信令。
這里,所述終端的信令信息可以包括:UE的IP地址、UE的標(biāo)識(shí)、報(bào)文長度、發(fā)送時(shí)間等。
一個(gè)實(shí)施例中,所述規(guī)則生成轉(zhuǎn)發(fā)模塊603生成第一指令后,
還用于生成第一通知,并將所述第一通知發(fā)送給核心網(wǎng)網(wǎng)管;所述第一通知用于通知所述核心網(wǎng)網(wǎng)管推遲或禁止對(duì)核心網(wǎng)設(shè)備的擴(kuò)容操作。
本發(fā)明實(shí)施例中,所述獲取模塊601從核心接入設(shè)備獲取終端的信令信息,包括:
接收所述核心接入設(shè)備周期性主動(dòng)上報(bào)的終端的信令信息;或者,
向所述核心接入設(shè)備發(fā)送查詢請(qǐng)求,并接收所述核心接入設(shè)備依據(jù)所述查詢請(qǐng)求上報(bào)的終端的信令信息。
這里,需要說明的是,所述核心接入設(shè)備對(duì)收到的所有終端的信令都會(huì)有進(jìn)行統(tǒng)計(jì)和上報(bào),并不針對(duì)某個(gè)具體的終端進(jìn)行信令統(tǒng)計(jì)。
本發(fā)明實(shí)施例中,所述判斷處理模塊602依據(jù)所述信令信息確定所述終端為惡意終端,包括:
依據(jù)所述終端在設(shè)定周期內(nèi)發(fā)送的數(shù)據(jù)包的數(shù)量、發(fā)送相鄰數(shù)據(jù)包的時(shí)間間隔、每個(gè)數(shù)據(jù)包的大小以及每個(gè)數(shù)據(jù)包的目的地址,來確定所述終端為惡意終端。
本發(fā)明實(shí)施例中,所述判斷處理模塊602確定所述終端為惡意終端,包括:
如果所述數(shù)據(jù)包的數(shù)量大于預(yù)設(shè)門限、發(fā)送相鄰數(shù)據(jù)包的時(shí)間間隔小于預(yù)設(shè)門限且相等、每個(gè)數(shù)據(jù)包的報(bào)文長度相等且小于預(yù)設(shè)門限,以及每個(gè)數(shù)據(jù)包的目的地址相同,則確定所述終端為惡意終端。
本發(fā)明實(shí)施例中,所述規(guī)則生成轉(zhuǎn)發(fā)模塊603將所述第一指令轉(zhuǎn)換成對(duì)應(yīng)的第一信令轉(zhuǎn)發(fā)規(guī)則,包括:
確定與所述核心接入設(shè)備所共同支持的通信協(xié)議;
將所述第一指令轉(zhuǎn)換成與所述通信協(xié)議對(duì)應(yīng)的流表項(xiàng)。
例如:如果當(dāng)前與所述核心接入設(shè)備之間共同支持openflow協(xié)議,則將所述第一指令轉(zhuǎn)換成flow rule中的一條流表項(xiàng),并下發(fā)到核心接入設(shè)備,指示核心接入設(shè)備丟棄從惡意終端的IP地址到核心網(wǎng)設(shè)備(如MME)目的IP地址的數(shù)據(jù)包(信令)。
一個(gè)實(shí)施例中,所述獲取模塊601獲取終端的信令信息之前,
還用于接收核心網(wǎng)網(wǎng)管發(fā)送的第一請(qǐng)求消息;所述第一請(qǐng)求消息,為所述核心網(wǎng)網(wǎng)管確定核心網(wǎng)設(shè)備待處理的信令數(shù)量大于預(yù)設(shè)處理門限時(shí)發(fā)送的。
一個(gè)實(shí)施例中,所述判斷處理模塊602確定所述終端為惡意終端之后,
還用于將與所述惡意終端對(duì)應(yīng)的身份標(biāo)識(shí)存儲(chǔ)在預(yù)設(shè)的惡意終端標(biāo)識(shí)列表中。
可見,本發(fā)明實(shí)施例可有效地防止惡意終端通過云化或非云化的無線接入網(wǎng)對(duì)核心網(wǎng)資源進(jìn)行非法占用,保證核心網(wǎng)的資源能夠有效提供給普通的終端用戶。
一個(gè)實(shí)施例中,所述規(guī)則生成轉(zhuǎn)發(fā)模塊603將所述第一信令轉(zhuǎn)發(fā)規(guī)則發(fā)送給所述核心接入設(shè)備之后,
所述獲取模塊601,還用于從核心接入設(shè)備獲取終端的信令信息;
所述判斷處理模塊602,還用于依據(jù)所述信令信息確定所述惡意終端已停止發(fā)送惡意信令;
所述規(guī)則生成轉(zhuǎn)發(fā)模塊603,還用于生成第二指令;將所述第二指令轉(zhuǎn)換 成對(duì)應(yīng)的第二信令轉(zhuǎn)發(fā)規(guī)則,并發(fā)送給所述核心接入設(shè)備;
所述第二信令轉(zhuǎn)發(fā)規(guī)則,用于通知所述核心接入設(shè)備轉(zhuǎn)發(fā)所述已停止發(fā)送惡意信令的終端發(fā)送的信令。
這里,所述確定所述惡意終端已停止發(fā)送惡意信令過程可參照上述惡意終端的確定過程,例如:
如果所述數(shù)據(jù)包的數(shù)量小于預(yù)設(shè)門限、發(fā)送相鄰數(shù)據(jù)包的時(shí)間間隔大于預(yù)設(shè)門限且相互不完全相等、每個(gè)數(shù)據(jù)包的報(bào)文長度不完全相等且大于預(yù)設(shè)門限,以及每個(gè)數(shù)據(jù)包的目的地址不完全相同,則確定所述終端已停止發(fā)送惡意信令。
一個(gè)實(shí)施例中,所述獲取模塊601從核心接入設(shè)備獲取終端的信令信息之前,還用于接收核心網(wǎng)網(wǎng)管發(fā)送的第二請(qǐng)求消息;
所述第二請(qǐng)求消息,為所述核心網(wǎng)網(wǎng)管確定核心網(wǎng)設(shè)備處于正常工作狀態(tài)時(shí)發(fā)出的;所述正常工作狀態(tài),為所述核心網(wǎng)設(shè)備待處理的信令數(shù)量未超過預(yù)設(shè)處理門限。
可見,本發(fā)明實(shí)施例在確定惡意終端不再進(jìn)行惡意信令發(fā)送行為時(shí),恢復(fù)惡意終端的信令的轉(zhuǎn)發(fā),保證了被惡意非法占用的終端在恢復(fù)正常后,可以正常使用核心網(wǎng)的資源。
下面結(jié)合具體應(yīng)用場景對(duì)本發(fā)明進(jìn)行詳細(xì)描述。
首先結(jié)合圖7簡單介紹下惡意終端反復(fù)接入流程,如圖7所示,具體流程如下:
步驟1:惡意UE向網(wǎng)絡(luò)發(fā)起初始連接請(qǐng)求;
步驟2-3:無線接入設(shè)備和核心網(wǎng)接入設(shè)備轉(zhuǎn)發(fā)該接入請(qǐng)求給核心網(wǎng)設(shè)備;
步驟4:惡意UE和核心網(wǎng)設(shè)備之間完成接入過程;
步驟5:進(jìn)入idle態(tài)后,惡意UE立即再次發(fā)起連接請(qǐng)求;
步驟6-7:無線接入設(shè)備和核心網(wǎng)接入設(shè)備轉(zhuǎn)發(fā)該接入請(qǐng)求給核心網(wǎng)設(shè)備;
步驟8:惡意UE和核心網(wǎng)設(shè)備之間完成接入過程,惡意UE進(jìn)入idle態(tài);
步驟9:一直重復(fù)步驟5-8的流程。
因此,針對(duì)圖7中的場景中存在的問題,本發(fā)明實(shí)施例提出如下解決方案, 在后續(xù)場景描述中增加一個(gè)網(wǎng)絡(luò)實(shí)體或功能模塊,即:信令檢測APP。
場景一、主動(dòng)檢測方案
該方案通過網(wǎng)絡(luò)控制器從無線接入設(shè)備池(如BBU池)和核心網(wǎng)設(shè)備(如MME或虛擬MME)之間傳輸鏈路上的核心接入設(shè)備(如核心交換機(jī))獲取信令的統(tǒng)計(jì)信息,并上交給信令檢測應(yīng)用。該應(yīng)用檢測到某惡意UE頻繁發(fā)信令后,向控制器下發(fā)“丟棄該UE報(bào)文”的指令。網(wǎng)絡(luò)控制器將該命令翻譯成核心接入設(shè)備能夠識(shí)別的轉(zhuǎn)發(fā)規(guī)則(比如流表轉(zhuǎn)發(fā)規(guī)則)并下發(fā)給核心接入設(shè)備。后續(xù)當(dāng)該核心接入設(shè)備接收到來自該UE的報(bào)文后查找轉(zhuǎn)發(fā)規(guī)則,就直接丟棄該報(bào)文。并且,網(wǎng)絡(luò)控制器會(huì)向核心網(wǎng)網(wǎng)管反饋有惡意UE攻擊行為。如果核心網(wǎng)已經(jīng)云化,那么核心網(wǎng)網(wǎng)管收到后,可以推遲擴(kuò)容。由此,核心網(wǎng)資源就避免被惡意UE占用。具體如圖8所示,圖8中的虛線框中是核心網(wǎng)對(duì)惡意UE的檢測及處理流程,包括:
步驟1:具有收集UE信令統(tǒng)計(jì)信息能力的核心接入設(shè)備(如核心接入交換機(jī))將收集的信令統(tǒng)計(jì)信息上報(bào)給網(wǎng)絡(luò)控制器;
該信令統(tǒng)計(jì)信息可以包括:UE的IP地址、UE的標(biāo)識(shí)、報(bào)文長度、發(fā)送時(shí)間等;該統(tǒng)計(jì)信息可以是核心接入設(shè)備周期性的主動(dòng)上報(bào)給網(wǎng)絡(luò)控制器,也可以是網(wǎng)絡(luò)控制器主動(dòng)向核心接入設(shè)備查詢后,核心接入設(shè)備上報(bào)給網(wǎng)絡(luò)控制器。需要說明的是,核心接入設(shè)備是對(duì)收到的所有UE信令都會(huì)有統(tǒng)計(jì)信息,并不針對(duì)某個(gè)具體的UE進(jìn)行信令統(tǒng)計(jì)。
步驟2:網(wǎng)絡(luò)控制器收到信令統(tǒng)計(jì)信息后,上報(bào)給信令檢測APP;
所述信令檢測APP可以向網(wǎng)絡(luò)控制器預(yù)訂(subscribe)信令統(tǒng)計(jì)信息及其上報(bào)方式,上報(bào)方式可以是網(wǎng)絡(luò)控制器周期性的將信令統(tǒng)計(jì)信息主動(dòng)上報(bào)給信令檢測APP;也可以是信令檢測APP周期性的向網(wǎng)絡(luò)控制器查詢信令統(tǒng)計(jì)信息,網(wǎng)絡(luò)控制器收到查詢消息后再向信令檢測APP上報(bào)信令統(tǒng)計(jì)信息。
步驟3:信令檢測APP根據(jù)上報(bào)的信令統(tǒng)計(jì)信息判斷是否有惡意UE在進(jìn)行占用核心網(wǎng)資源的攻擊;
該分析可以是分析某一周期內(nèi)同一UE發(fā)送的數(shù)據(jù)包數(shù)量、發(fā)送的每個(gè)數(shù) 據(jù)包之間的時(shí)間間隔長度、每個(gè)數(shù)據(jù)包的大小以及每個(gè)包的目的地址等來判斷。比如,如果一個(gè)UE在規(guī)定周期內(nèi),發(fā)送的小數(shù)據(jù)包數(shù)量很多(比如超過某個(gè)閾值)、數(shù)據(jù)包之間的時(shí)間間隔基本相等、小數(shù)據(jù)包報(bào)文長度都基本相同,而且每個(gè)包的目的地址基本相同,可以判斷為一個(gè)惡意UE。
步驟4:信令檢測APP檢測出惡意UE后,向網(wǎng)絡(luò)控制器下發(fā)丟棄該UE報(bào)文的指令,并且將該惡意UE的身份標(biāo)識(shí)存儲(chǔ)到本地的惡意UE標(biāo)識(shí)列表中;
步驟5:網(wǎng)絡(luò)控制器將丟棄該UE報(bào)文的指令翻譯成核心接入設(shè)備能夠識(shí)別的流量轉(zhuǎn)發(fā)規(guī)則下發(fā)給核心接入設(shè)備;
這里,所述網(wǎng)絡(luò)控制器翻譯指令并下發(fā)流表規(guī)則可以使用現(xiàn)有的協(xié)議,如:如果網(wǎng)絡(luò)控制器和核心接入設(shè)備之間支持openflow協(xié)議,那么網(wǎng)絡(luò)控制器將丟棄該報(bào)文的指令翻譯成flow rule中的一條流表項(xiàng),并下發(fā)到核心交換機(jī),指示交換機(jī)丟棄從UE的IP地址到核心網(wǎng)設(shè)備(如MME目的IP地址的包)。根據(jù)網(wǎng)絡(luò)控制器下發(fā)的轉(zhuǎn)發(fā)規(guī)則,核心交換設(shè)備將丟棄接收到的來自該惡意UE報(bào)文。
步驟6:網(wǎng)絡(luò)控制器將惡意信令行為通知給核心網(wǎng)網(wǎng)管,如果核心網(wǎng)已經(jīng)實(shí)現(xiàn)云化,核心網(wǎng)網(wǎng)管可以推遲對(duì)核心網(wǎng)設(shè)備進(jìn)行擴(kuò)容。
場景二、被動(dòng)檢測方案(1)
本方案中,當(dāng)核心網(wǎng)網(wǎng)管檢測到核心網(wǎng)設(shè)備(如MME)處理信令量過大時(shí),請(qǐng)求信令檢測APP檢測是否有惡意UE的信令攻擊行為。信令檢測APP根據(jù)從網(wǎng)絡(luò)控制器獲取的信令統(tǒng)計(jì)信息判斷是否有惡意UE攻擊行為。該應(yīng)用檢測到某惡意UE頻繁發(fā)信令后,向網(wǎng)絡(luò)控制器下發(fā)“丟棄該UE報(bào)文”的指令。網(wǎng)絡(luò)控制器將該命令翻譯成核心接入設(shè)備能夠識(shí)別的轉(zhuǎn)發(fā)規(guī)則(比如流表轉(zhuǎn)發(fā)規(guī)則)并下發(fā)給核心接入設(shè)備。后續(xù)當(dāng)該核心接入設(shè)備接收到來自該UE的報(bào)文后查找處理規(guī)則,就直接丟棄該報(bào)文。并且,信令檢測APP會(huì)向核心網(wǎng)網(wǎng)管反饋有惡意UE攻擊行為。如果核心網(wǎng)已經(jīng)云化,那么核心網(wǎng)網(wǎng)管收到后,可以推遲擴(kuò)容。由此,核心網(wǎng)資源就避免被惡意UE占用。具體如下圖9所示,具體流程如下:
步驟1:核心網(wǎng)網(wǎng)管檢測到核心網(wǎng)設(shè)備信令處理量增大,快超過該核心網(wǎng)設(shè)備(可以使物理網(wǎng)絡(luò)設(shè)備,也可以是在虛擬機(jī)上實(shí)現(xiàn)的虛擬網(wǎng)絡(luò)設(shè)備功能)的處理能力時(shí),向信令檢測APP請(qǐng)求信令檢測;
步驟2:信令檢測APP從網(wǎng)絡(luò)控制器獲取信令統(tǒng)計(jì)信息。這些統(tǒng)計(jì)信息的內(nèi)容同場景一中的主動(dòng)檢測方案;
步驟3:信令檢測APP判斷是否為惡意信令行為,同場景一中的主動(dòng)檢測方案;
步驟4:信令檢測APP向網(wǎng)絡(luò)控制器下發(fā)指令,同場景一中的主動(dòng)檢測方案;
步驟5:網(wǎng)絡(luò)控制器翻譯指令并下發(fā)轉(zhuǎn)發(fā)規(guī)則,同場景一中的主動(dòng)檢測方案;
步驟6:信令檢測APP將惡意信令行為通知給核心網(wǎng)網(wǎng)管,如果核心網(wǎng)已經(jīng)實(shí)現(xiàn)云化,核心網(wǎng)網(wǎng)管可以推遲對(duì)核心網(wǎng)設(shè)備進(jìn)行擴(kuò)容。
需要說明的是,步驟2中網(wǎng)絡(luò)控制器中的信令統(tǒng)計(jì)信息是從核心接入設(shè)備獲取的,可以是核心接入設(shè)備周期性的主動(dòng)上報(bào)給網(wǎng)絡(luò)控制器,也可以是網(wǎng)絡(luò)控制器主動(dòng)向核心接入設(shè)備查詢后,核心接入設(shè)備上報(bào)給網(wǎng)絡(luò)控制器。
場景三、被動(dòng)檢測方案(2)
本方案中,當(dāng)核心網(wǎng)網(wǎng)管檢測到核心網(wǎng)設(shè)備(如MME)處理信令量過大時(shí),請(qǐng)求網(wǎng)絡(luò)控制器觸發(fā)信令檢測APP去檢測是否有惡意UE的信令攻擊行為。網(wǎng)絡(luò)控制器主動(dòng)向信令檢測APP上報(bào)信令統(tǒng)計(jì)信息;信令檢測APP根據(jù)從網(wǎng)絡(luò)控制器獲取的信令統(tǒng)計(jì)信息判斷是否有惡意UE攻擊行為。該應(yīng)用檢測到某惡意UE頻繁發(fā)信令后,向控制器下發(fā)“丟棄該UE報(bào)文”的指令。網(wǎng)絡(luò)控制器將該命令翻譯成核心接入設(shè)備能夠識(shí)別的轉(zhuǎn)發(fā)規(guī)則(比如流表轉(zhuǎn)發(fā)規(guī)則)并下發(fā)給核心接入設(shè)備。后續(xù)當(dāng)該核心接入設(shè)備接收到來自該UE的報(bào)文后查找處理規(guī)則,就直接丟棄該報(bào)文。并且,網(wǎng)絡(luò)控制器會(huì)向核心網(wǎng)網(wǎng)管反饋有惡意UE攻擊行為。如果核心網(wǎng)已經(jīng)云化,那么核心網(wǎng)網(wǎng)管收到后,可以推遲擴(kuò)容。由此,核心網(wǎng)資源就避免被惡意UE占用。具體如下圖10所示,具體流程如下:
步驟1:核心網(wǎng)網(wǎng)管檢測到核心網(wǎng)設(shè)備信令處理量增大,快超過該核心網(wǎng)設(shè)備(可以使物理網(wǎng)絡(luò)設(shè)備,也可以是在虛擬機(jī)上實(shí)現(xiàn)的虛擬網(wǎng)絡(luò)設(shè)備功能)的處理能力時(shí),向網(wǎng)絡(luò)控制器請(qǐng)求信令檢測;
步驟2:網(wǎng)絡(luò)控制器主動(dòng)向信令檢測APP上報(bào)信令統(tǒng)計(jì)信息。這些統(tǒng)計(jì)信息的內(nèi)容同場景一中的主動(dòng)檢測方案;
步驟3:信令檢測APP判斷是否為惡意信令行為,同場景一中的主動(dòng)檢測方案;
步驟4:信令檢測APP向網(wǎng)絡(luò)控制器下發(fā)指令,同場景一中的主動(dòng)檢測方案;
步驟5:網(wǎng)絡(luò)控制器翻譯指令并下發(fā)轉(zhuǎn)發(fā)規(guī)則,同場景一中的主動(dòng)檢測方案;
步驟6:網(wǎng)絡(luò)控制器將惡意信令行為通知給核心網(wǎng)網(wǎng)管,如果核心網(wǎng)已經(jīng)實(shí)現(xiàn)云化,核心網(wǎng)網(wǎng)管可以推遲對(duì)核心網(wǎng)設(shè)備進(jìn)行擴(kuò)容。
需要說明的是,步驟2中網(wǎng)絡(luò)控制器中的信令統(tǒng)計(jì)信息是從核心接入設(shè)備獲取的,可以是核心接入設(shè)備周期性的主動(dòng)上報(bào)給網(wǎng)絡(luò)控制器,也可以是網(wǎng)絡(luò)控制器主動(dòng)向核心接入設(shè)備查詢后,核心接入設(shè)備上報(bào)給網(wǎng)絡(luò)控制器。
針對(duì)上述主動(dòng)和被動(dòng)檢測方案(場景一至場景三)需要說明的是:
1、信令檢測APP可以是一個(gè)獨(dú)立的網(wǎng)絡(luò)實(shí)體,也可以是屬于網(wǎng)絡(luò)控制器的一個(gè)功能模塊;
2、網(wǎng)絡(luò)控制器是一個(gè)獨(dú)立的功能實(shí)體。
3、上述三種方案中不管是否進(jìn)行惡意UE信令行為檢測,核心接入設(shè)備都會(huì)將所有收到的報(bào)文統(tǒng)計(jì)信息上報(bào)給網(wǎng)絡(luò)控制器,即使這個(gè)報(bào)文的轉(zhuǎn)發(fā)規(guī)則是丟棄。這是本提案中核心接入設(shè)備的一個(gè)特性。
當(dāng)上述場景中的惡意的UE變成了一個(gè)正常的UE,即:該UE不再進(jìn)行惡意行為了,可以通過以下三種場景中的方案解除對(duì)該UE的限制。
場景四、信令檢測APP觸發(fā)的UE限制解除
如圖11所示,本方案的具體流程如下:
步驟1:網(wǎng)絡(luò)控制器從核心接入設(shè)備(如:交換機(jī))獲取信令統(tǒng)計(jì)信息;
該信令統(tǒng)計(jì)信息內(nèi)容同場景一步驟1中提到的統(tǒng)計(jì)信息內(nèi)容。同樣地,該統(tǒng)計(jì)信息可以是核心接入設(shè)備周期性的主動(dòng)上報(bào)給網(wǎng)絡(luò)控制器,也可以是網(wǎng)絡(luò)控制器主動(dòng)向核心接入設(shè)備查詢后,核心接入設(shè)備上報(bào)給網(wǎng)絡(luò)控制器。
步驟2:信令檢測APP發(fā)起惡意UE變正常UE后的檢測及處理流程,主動(dòng)從網(wǎng)絡(luò)控制器獲取信令統(tǒng)計(jì)信息;
步驟3:信令檢測APP根據(jù)獲取的信令統(tǒng)計(jì)信息判斷檢測出來的惡意UE是否還在存儲(chǔ)的惡意UE標(biāo)識(shí)列表上(注:該列表在上述惡意UE檢測方案中由信令檢測APP存儲(chǔ)),以判斷該惡意UE是否還在進(jìn)行占用核心網(wǎng)資源的攻擊;
步驟4:如果信令檢測APP發(fā)現(xiàn)惡意UE標(biāo)識(shí)列表中的UE已經(jīng)不再進(jìn)行惡意信令發(fā)送行為了,那么信令檢測APP向網(wǎng)絡(luò)控制器下發(fā)正常轉(zhuǎn)發(fā)該UE發(fā)送的報(bào)文的指令;
步驟5:網(wǎng)絡(luò)控制器將該指令翻譯成核心接入設(shè)備能夠識(shí)別的流量轉(zhuǎn)發(fā)規(guī)則下發(fā)給核心接入設(shè)備。根據(jù)網(wǎng)絡(luò)控制器下發(fā)的轉(zhuǎn)發(fā)規(guī)則,核心接入設(shè)備將正常轉(zhuǎn)發(fā)接收到的來自該UE的報(bào)文。
場景五、網(wǎng)絡(luò)控制器觸發(fā)的UE限制解除
如圖12所示,本方案的具體流程如下:
步驟1:網(wǎng)絡(luò)控制器從核心接入設(shè)備(如核心接入交換機(jī))獲取信令統(tǒng)計(jì)信息;
該信令統(tǒng)計(jì)信息內(nèi)容同場景一中步驟1中提到的統(tǒng)計(jì)信息內(nèi)容。同樣地,該統(tǒng)計(jì)信息可以是核心接入設(shè)備周期性的主動(dòng)上報(bào)給網(wǎng)絡(luò)控制器,也可以是網(wǎng)絡(luò)控制器主動(dòng)向核心接入設(shè)備查詢后,核心接入設(shè)備上報(bào)給網(wǎng)絡(luò)控制器。
步驟2:網(wǎng)絡(luò)控制器發(fā)起惡意UE變正常UE后的檢測及處理流程,主動(dòng)向信令檢測APP上報(bào)信令統(tǒng)計(jì)信息,并要求對(duì)其進(jìn)行分析;
步驟3:信令檢測APP根據(jù)獲取的信令統(tǒng)計(jì)信息判斷檢測出來的惡意UE是否還在存儲(chǔ)的惡意UE標(biāo)識(shí)列表上(注:該列表在上述惡意UE檢測方案中 由信令檢測APP存儲(chǔ)),以判斷該惡意UE是否還在進(jìn)行占用核心網(wǎng)資源的攻擊;
步驟4:如果信令檢測APP發(fā)現(xiàn)惡意UE標(biāo)識(shí)列表中的UE已經(jīng)不再進(jìn)行惡意信令發(fā)送行為了,那么信令檢測APP向網(wǎng)絡(luò)控制器下發(fā)正常轉(zhuǎn)發(fā)該UE發(fā)送的報(bào)文的指令;
步驟5:網(wǎng)絡(luò)控制器將該指令翻譯成核心接入設(shè)備能夠識(shí)別的流量轉(zhuǎn)發(fā)規(guī)則下發(fā)給核心接入設(shè)備。根據(jù)網(wǎng)絡(luò)控制器下發(fā)的轉(zhuǎn)發(fā)規(guī)則,核心接入設(shè)備將正常轉(zhuǎn)發(fā)接收到的來自該UE的報(bào)文。
場景六、核心網(wǎng)管觸發(fā)的UE限制解除(1)
如圖13所示,本方案的具體流程如下:
步驟1:網(wǎng)絡(luò)控制器從核心接入設(shè)備(如核心接入交換機(jī))獲取信令統(tǒng)計(jì)信息;
該信令統(tǒng)計(jì)信息內(nèi)容同場景一中步驟1中提到的統(tǒng)計(jì)信息內(nèi)容。同樣地,該統(tǒng)計(jì)信息可以是核心接入設(shè)備周期性的主動(dòng)上報(bào)給網(wǎng)絡(luò)控制器,也可以是網(wǎng)絡(luò)控制器主動(dòng)向核心接入設(shè)備查詢后,核心接入設(shè)備上報(bào)給網(wǎng)絡(luò)控制器。
步驟2:核心網(wǎng)網(wǎng)管向信令檢測APP發(fā)送信令處理量緩解通知;
步驟3:信令檢測APP主動(dòng)從網(wǎng)絡(luò)控制器獲取信令統(tǒng)計(jì)信息;
步驟4:信令檢測APP根據(jù)獲取的信令統(tǒng)計(jì)信息判斷檢測出來的惡意UE是否還在存儲(chǔ)的惡意UE標(biāo)識(shí)列表上(注:該列表在上述惡意UE檢測方案中由信令檢測APP存儲(chǔ)),以判斷該惡意UE是否還在進(jìn)行占用核心網(wǎng)資源的攻擊;
步驟5:如果信令檢測APP發(fā)現(xiàn)惡意UE標(biāo)識(shí)列表中的UE已經(jīng)不再進(jìn)行惡意信令發(fā)送行為了,那么信令檢測APP向網(wǎng)絡(luò)控制器下發(fā)正常轉(zhuǎn)發(fā)該UE發(fā)送的報(bào)文的指令;
步驟6:網(wǎng)絡(luò)控制器將該指令翻譯成核心接入設(shè)備能夠識(shí)別的流量轉(zhuǎn)發(fā)規(guī)則下發(fā)給核心接入設(shè)備。根據(jù)網(wǎng)絡(luò)控制器下發(fā)的轉(zhuǎn)發(fā)規(guī)則,核心接入設(shè)備將正常轉(zhuǎn)發(fā)接收到的來自該UE的報(bào)文;
步驟7:信令檢測APP通知核心網(wǎng)網(wǎng)管已經(jīng)完成UE限制解除。
場景七、核心網(wǎng)管觸發(fā)的UE限制解除(2)
如圖14所示,本方案的具體流程如下:
步驟1:網(wǎng)絡(luò)控制器從核心接入設(shè)備(如核心接入交換機(jī))獲取信令統(tǒng)計(jì)信息。該信令統(tǒng)計(jì)信息內(nèi)容同場景一中步驟1中提到的統(tǒng)計(jì)信息內(nèi)容。同樣地,該統(tǒng)計(jì)信息可以是核心接入設(shè)備周期性的主動(dòng)上報(bào)給網(wǎng)絡(luò)控制器,也可以是網(wǎng)絡(luò)控制器主動(dòng)向核心接入設(shè)備查詢后,核心接入設(shè)備上報(bào)給網(wǎng)絡(luò)控制器。
步驟2:由于核心網(wǎng)接入設(shè)備工作負(fù)荷達(dá)到門限的狀態(tài)能夠被核心網(wǎng)網(wǎng)管監(jiān)測到(比如,核心網(wǎng)接入設(shè)備主動(dòng)向核心網(wǎng)設(shè)備上報(bào)工作負(fù)荷滿狀態(tài)),而且核心網(wǎng)網(wǎng)管也能夠接收來自網(wǎng)絡(luò)控制器的惡意信令行為的通知(見前文主動(dòng)檢測方案和被動(dòng)檢測方案中的步驟6)。當(dāng)核心網(wǎng)網(wǎng)管接收到來自網(wǎng)絡(luò)控制器的惡意信令行為的通知后,在某段時(shí)間內(nèi)監(jiān)測到核心網(wǎng)接入設(shè)備一直處于正常工作狀態(tài),沒有發(fā)生工作負(fù)荷滿的狀態(tài),那么核心網(wǎng)網(wǎng)管就會(huì)向網(wǎng)絡(luò)控制器發(fā)送信令處理量緩解通知;
步驟3:網(wǎng)絡(luò)控制器主動(dòng)向信令檢測APP上報(bào)信令統(tǒng)計(jì)信息,并要求對(duì)其進(jìn)行分析;
步驟4:信令檢測APP根據(jù)獲取的信令統(tǒng)計(jì)信息判斷檢測出來的惡意UE是否還在存儲(chǔ)的惡意UE標(biāo)識(shí)列表上(注:該列表在上述惡意UE檢測方案中由信令檢測APP存儲(chǔ)),以判斷該惡意UE是否還在進(jìn)行占用核心網(wǎng)資源的攻擊;
步驟5:如果信令檢測APP發(fā)現(xiàn)惡意UE標(biāo)識(shí)列表中的UE已經(jīng)不再進(jìn)行惡意信令發(fā)送行為了,那么信令檢測APP向網(wǎng)絡(luò)控制器下發(fā)正常轉(zhuǎn)發(fā)該UE發(fā)送的報(bào)文的指令;
步驟6:網(wǎng)絡(luò)控制器將該指令翻譯成核心接入設(shè)備能夠識(shí)別的流量轉(zhuǎn)發(fā)規(guī)則下發(fā)給核心接入設(shè)備。根據(jù)網(wǎng)絡(luò)控制器下發(fā)的轉(zhuǎn)發(fā)規(guī)則,核心接入設(shè)備將正常轉(zhuǎn)發(fā)接收到的來自該UE的報(bào)文;
步驟7:網(wǎng)絡(luò)控制器通知核心網(wǎng)網(wǎng)管已經(jīng)完成UE限制解除。
可見,本發(fā)明實(shí)施例可有效地防止惡意終端通過云化或非云化的無線接入網(wǎng)對(duì)核心網(wǎng)資源進(jìn)行非法占用,保證核心網(wǎng)的資源能夠有效提供給普通的終端用戶。
另外,本發(fā)明實(shí)施例在確定惡意終端不再進(jìn)行惡意信令發(fā)送行為時(shí),恢復(fù)惡意終端的信令的轉(zhuǎn)發(fā),保證了被惡意非法占用的終端在恢復(fù)正常后,可以正常使用核心網(wǎng)的資源。
本領(lǐng)域內(nèi)的技術(shù)人員應(yīng)明白,本發(fā)明的實(shí)施例可提供為方法、系統(tǒng)、或計(jì)算機(jī)程序產(chǎn)品。因此,本發(fā)明可采用硬件實(shí)施例、軟件實(shí)施例、或結(jié)合軟件和硬件方面的實(shí)施例的形式。而且,本發(fā)明可采用在一個(gè)或多個(gè)其中包含有計(jì)算機(jī)可用程序代碼的計(jì)算機(jī)可用存儲(chǔ)介質(zhì)(包括但不限于磁盤存儲(chǔ)器和光學(xué)存儲(chǔ)器等)上實(shí)施的計(jì)算機(jī)程序產(chǎn)品的形式。
本發(fā)明是參照根據(jù)本發(fā)明實(shí)施例的方法、設(shè)備(系統(tǒng))、和計(jì)算機(jī)程序產(chǎn)品的流程圖和/或方框圖來描述的。應(yīng)理解可由計(jì)算機(jī)程序指令實(shí)現(xiàn)流程圖和/或方框圖中的每一流程和/或方框、以及流程圖和/或方框圖中的流程和/或方框的結(jié)合??商峁┻@些計(jì)算機(jī)程序指令到通用計(jì)算機(jī)、專用計(jì)算機(jī)、嵌入式處理機(jī)或其他可編程數(shù)據(jù)處理設(shè)備的處理器以產(chǎn)生一個(gè)機(jī)器,使得通過計(jì)算機(jī)或其他可編程數(shù)據(jù)處理設(shè)備的處理器執(zhí)行的指令產(chǎn)生用于實(shí)現(xiàn)在流程圖一個(gè)流程或多個(gè)流程和/或方框圖一個(gè)方框或多個(gè)方框中指定的功能的裝置。
這些計(jì)算機(jī)程序指令也可存儲(chǔ)在能引導(dǎo)計(jì)算機(jī)或其他可編程數(shù)據(jù)處理設(shè)備以特定方式工作的計(jì)算機(jī)可讀存儲(chǔ)器中,使得存儲(chǔ)在該計(jì)算機(jī)可讀存儲(chǔ)器中的指令產(chǎn)生包括指令裝置的制造品,該指令裝置實(shí)現(xiàn)在流程圖一個(gè)流程或多個(gè)流程和/或方框圖一個(gè)方框或多個(gè)方框中指定的功能。
這些計(jì)算機(jī)程序指令也可裝載到計(jì)算機(jī)或其他可編程數(shù)據(jù)處理設(shè)備上,使得在計(jì)算機(jī)或其他可編程設(shè)備上執(zhí)行一系列操作步驟以產(chǎn)生計(jì)算機(jī)實(shí)現(xiàn)的處理,從而在計(jì)算機(jī)或其他可編程設(shè)備上執(zhí)行的指令提供用于實(shí)現(xiàn)在流程圖一個(gè)流程或多個(gè)流程和/或方框圖一個(gè)方框或多個(gè)方框中指定的功能的步驟。
以上所述,僅為本發(fā)明的較佳實(shí)施例而已,并非用于限定本發(fā)明的保護(hù)范圍。