本发明专利技术公开了一种报警信息生成方法及装置,属于网络安全领域。所述方法包括:接收用于请求专网服务的访问请求包,访问请求包的包头中携带终端的终端标识和所请求访问的专网服务的服务标识;计算具有该终端标识的终端对具有该服务标识的专网服务进行访问的访问速率;当访问速率达到预定速率阈值时,则生成报警信息,并将该报警信息发送至MME,该报警信息用于触发该MME限制具有该终端标识的终端对与具有该服务标识的专网服务进行访问的访问速度。本发明专利技术解决了相关技术中在通过用户身份认证以防止服务进行泛洪攻击时,无法避免用户成功入网后进行的恶意攻击的问题;达到了可以有效避免对专网服务进行的泛洪攻击的效果。
【技术实现步骤摘要】
本专利技术涉及网络安全领域,特别涉及一种报警信息生成方法及装置。
技术介绍
-体化标识网络将网络分为接入网与骨干网,引入了接入网标识(Access Identifier,AID)与路由标识(Routing Identifier,RID),从根本上解决了互联网协议地 址(Internet Protocol Address,IP)双重属性的问题,且能很好的与现有的互联网与网络 架构进行融合。 LTE (Long Term Evolution,长期演进)网络架构是基于IP的回程,随着越来越多 的基于IP的通信进入移动基础设施,LTE网络架构也变得更易受到来自互联网的攻击。而 一体化标识网络中提出了基础设施层和普适服务层分离的概念,这种分层使得在一体化标 识网络内部通信时不再基于IP,因此为了降低因基于IP导致的攻击,可以将LTE网络与一 体化标识网络进行融合。 其中,普适服务层负责各种业务的会话、控制和管理,这些业务包括由运营商或第 三方增值服务商提供的各种网络业务,主要是语音、数据、流媒体等。普适服务层创建了虚 拟服务部分、虚拟连接部分、服务标识解析映射以及连接标识解析映射,以实现对各种业务 的统一控制和管理等。虚拟服务部分引入服务标识(英文:Service Identification,简 称:SID)来描述和表示多种业务的服务;虚拟连接部分为每个业务提供多种连接;服务标 识解析映射将服务对象映射到多个服务连接,以支持多种业务;连接标识解析映射将服务 连接映射到基础设施层的多个连接,体现了一次服务可对应多个连接、多种路径选择的思 想,从而使服务的实现更加可靠。 通过上述层面的分离,当终端需要某种服务时,可以不再需要该服务所在的IP地 址,而是直接请求该项服务的服务标识。但该种请求访问的方式亦会带来特殊的安全问题, 如对服务进行的泛洪攻击等。 为了避免终端对服务的攻击,相关技术中采用的方式是对用户的身份进行认证, 只有认证通过的用户才可以入网访问。但此方法并不能抵御用户接入专网后进行的恶意攻 击行为,比如,当合法用户被黑客当作傀儡主机对专网发起攻击时,因该方法已经完成了对 身份的认证,并无后续处理机制,专网安全仍可能被长时间攻击导致瘫痪。
技术实现思路
为了解决相关技术中在通过用户身份认证以防止服务进行泛洪攻击时,无法避免 用户成功入网后进行的恶意攻击的问题,本专利技术实施例提供了一种报警信息生成方法及装 置。所述技术方案如下: 第一方面,提供了一种报警信息生成方法,应用于位于一体化标识网络中的专网 路由器中,所述方法包括: 接收用于请求专网服务的访问请求包,所述访问请求包的包头中携带终端的终端 标识和所请求访问的专网服务的服务标识; 计算具有所述终端标识的终端对具有所述服务标识的专网服务进行访问的访问 速率; 当所述访问速率达到预定速率阈值时,则生成报警信息,并将所述报警信息发送 至移动管理实体MME,所述报警信息用于触发所述MME限制具有所述终端标识的终端对与 具有所述服务标识的专网服务进行访问的访问速度。 可选的,所述方法还包括: 对所述访问请求包进行解析,得到所述访问请求包的包头中携带的所述终端标识 和所述服务标识; 若所述专网路由器已经存储有包含所述终端标识和所述服务标识的对应关系,则 将与所述对应关系对应的计数值累加,记录累加时的时刻,所述计数值用于指示接收到的 具有所述终端标识和所述服务标识的访问请求包的数量; 若所述专网路由器尚未存储有包含所述终端标识和所述服务标识的对应关系,则 将所述终端标识和所述服务标识作为一组对应关系进行存储,设置与所述对应关系对应的 计数值为初始值,记录存储时的时刻。 可选的,所述计算具有所述终端标识的终端对具有所述服务标识的专网服务进行 访问的访问速率,包括: 确定同时具有所述终端标识和所述服务标识的对应关系; 获取所述对应关系的计数值; 获取与所述对应关系对应的最早的记录时刻和最晚的记录时刻,所述记录时刻为 存储所述对应关系的时刻,或者累加所述对应关系的计数值的时刻; 将所述最晚的记录时刻减去所述最早的记录时刻,得到与所述对应关系对应的记 录时长; 将所述计数值除以所述记录时长,得到所述访问速率。 可选的,所述访问请求包的包头中还携带为所述终端分配的内网标识RID,所述报 警信息中包含所述RID、所述终端标识、所述服务标识以及限制策略, 所述将所述报警信息发送至移动管理实体MME,包括: 向具有所述RID的路由器发送所述报警信息,所述报警信息用于触发所述路由器 查询与所述RID对应的外网标识AID,将所述报警信息的所述RID更改为所述AID,向所述 MME发送更改后的所述报警信息,更改后的所述报警信息用于触发所述MME限制具有所述 终端标识的终端对所述专网服务的访问速度。 可选的,所述方法还包括: 每隔预定时间间隔,清除访问速率低于预定阈值的对应关系,或者,清除预定个对 应关系,被清除的所述预定个对应关系的访问速率低于未被清除的对应关系的访问速率。 第二方面,提供了一种报警信息生成装置,应用于位于一体化标识网络中的专网 路由器中,所述装置包括: 接收模块,用于接收用于请求专网服务的访问请求包,所述访问请求包的包头中 携带终端的终端标识和所请求访问的专网服务的服务标识; 计算模块,用于计算具有所述终端标识的终端对具有所述服务标识的专网服务进 行访问的访问速率; 生成模块,用于在所述计算模块计算得到所述访问速率达到预定速率阈值时,则 生成报警信息; 发送模块,用于将所述生成模块生成的所述报警信息发送至移动管理实体MME,所 述报警信息用于触发所述MME限制具有所述终端标识的终端对与具有所述服务标识的专 网服务进行访问的访问速度。 可选的,所述装置还包括: 解析模块,用于对所述访问请求包进行解析,得到所述访问请求包的包头中携带 的所述终端标识和所述服务标识; 累加模块,用于在所述专网路由器已经存储有包含所述终端标识和所述服务标识 的对应关系时,将与所述对应关系对应的计数值累加,记录累加时的时刻,所述计数值用于 指示接收到的具有所述终端标识和所述服务标识的访问请求包的数量; 存储模块,用于在所述专网路由器尚未存储有包含所述终端标识和所述服务标识 的对应关系时,将所述终端标识和所述服务标识作为一组对应关系进行存储,设置与所述 对应关系对应的计数值为初始值,记录存储时的时刻。 可选的,所述计算模块,包括: 确定单元,用于确定同时具有所述终端标识和所述服务标识的对应关系; 第一获取单元,用于获取所述确定单元确定出的所述对应关系的计数值; 第二获取单元,用于获取与所述确定单元确定出的所述对应关系对应的最早的记 录时刻和最晚的记录时刻,所述记录时刻为存储所述对应关系的时刻,或者累加所述对应 关系的计数值的时刻; 第一计算单元,用于将所述第二获取单元获取到的所述最晚的记录时刻减去所述 第二获取单元获取到的所述最早的记录时刻,得到与所述对应关系对应的记录时长; 第二计算单元,用于将所述第一获取单元获取的所述计数值除以所述第一计算单 元计算得到的所述记录时长,得到所述访问速率。 可选的,所述访问请求包的包头中还携带为所述终端分配的内网标识RID当前第1页1&nb本文档来自技高网...
【技术保护点】
一种报警信息生成方法,其特征在于,应用于位于一体化标识网络中的专网路由器中,所述方法包括:接收用于请求专网服务的访问请求包,所述访问请求包的包头中携带终端的终端标识和所请求访问的专网服务的服务标识;计算具有所述终端标识的终端对具有所述服务标识的专网服务进行访问的访问速率;当所述访问速率达到预定速率阈值时,则生成报警信息,并将所述报警信息发送至移动管理实体MME,所述报警信息用于触发所述MME限制具有所述终端标识的终端对与具有所述服务标识的专网服务进行访问的访问速度。
【技术特征摘要】
【专利技术属性】
技术研发人员:陈佳,岳亮,王铭鑫,张宏科,苏伟,童博,
申请(专利权)人:北京交通大学,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。