[发明专利]一种防止网络攻击的方法、系统及装置

说明书

技术领域

本发明涉及通信技术领域，特别是涉及一种防止网络攻击的方法、系统及装置。

背景技术

伴随着电信网络IP(Internet Protocol，网际协议)化的趋势发展，电信网络安全问题日趋严重，各种存在于传统因特网上的攻击逐渐出现在VOIP(Voice Over IP，IP语音技术)，并根据IP化电信网络的特点进行适应，出现了最新的发展。参照TCP(Transmission Control Protocol，传输控制协议)/IP网络分层，在IP化的电信网络中攻击数据流按TCP/IP网络层结构从上到下依次是：业务层攻击数据流、应用层攻击数据流、传输层攻击数据流、网络层攻击数据流、以及链路层攻击数据流。

针对链路层/网络层/传输层的攻击数据流，传统防火墙能够提供较好的防护能力，但针对业务层和应用层的攻击数据流，现有的防火墙技术是无法感知的。

现有技术提供的一种遏制攻击数据流的方法为与本发明相关的现有技术一：信令核心网前置信令代理设备，对数据流进行预处理，过滤信令层面畸形报文、信令flooding(洪水)报文和网络/传输层攻击等。

但是上述遏制攻击数据流的方法存在以下缺点：增加了VOIP解决方案的网络复杂度，要求前置的信令代理设备提供对信令报文的应用层解析，要求该信令代理设备除提供强大的NP(Network Processor，网络处理器)处理能力外，还要求使用CPU(Central Processing Unit，中央处理单元)处理能力对信令数据进行解析和重组，导致该信令代理设备成为潜在瓶颈资源，并增大了网络延迟；而且该前置信令代理设备亦存在因信令畸形报文造成崩溃的风险，对业务层面攻击不能有效提供防护。并且也不符合VOIP组网发展趋势，根据TISPAN(Telecommunication and Internetconverged Services and Protocols for Advanced Networking，电信和互联网的融合服务和议定书)相关标准定义，核心网信令处理节点前面不应存在其他信令代理设备。

现有技术提供的另一种遏制攻击数据流的方法为：核心网信令处理设备和SBC(Session Border Controller，会话边界控制器)设备集成实现，该上述方案法有利于P-CSCF(Proxy-Call Session Control Function，代理呼叫会话控制功能)的边缘化部署，且能够对攻击数据流绕过SBC攻击P-CSCF的情况进行有效遏制。

但是，上述方法存在以下缺点：在IMS(IP Multimedia Subsystem，IP多媒体子系统)商用初期，P-CSCF边缘化的组网方式对电信运营商的吸引力不是很大，且该实现方法要求P-CSCF设备和其他网元例如：I-CSCF(Interrogating-Call Session Control Function，查询呼叫会话控制功能)、S-CSCF(Serving-Call Session Control Function，服务呼叫会话控制功能)使用不同的实现方案，加大了IMS解决方案的开发成本。

现有技术提供的再一种遏制攻击数据流的方法为：利用前置SBC信令NAT(Network Address Translation，网络地址转换)设备或者防火墙设备提供防护。

发明人在实现本发明的过程中发现，现有技术至少存在以下缺陷：工作于网络/传输层的防火墙或SBC不能感知应用层和业务层的数据，对于SIP(Session Initiation Protocol，会话初始化协议)畸形报文攻击和利用业务逻辑的攻击不能提供有效防护。

不同业务逻辑有着不同的SIP流量特征，防火墙或SBC在不能感知业务的情况下通过阀值的防护可能造成比较严重的误报，导致解决方案性能和QoS的降低，并可能造成一定程度的漏报，导致攻击数据流对被测系统造成杀伤。

发明内容

本发明实施例提供一种防止网络攻击的方法、系统及装置，以实现在应用层面/业务层面对攻击数据流进行检测，并对分布式攻击进行反向遏制。

为达到上述目的，本发明实施例一方面提出一种防止网络攻击的方法，包括以下步骤：

接收集成策略控制设备发送的反向遏制策略，所述反向遏制策略由所述集成策略控制设备根据所述集成策略控制设备获取的攻击数据流的特征信息生成；

根据所述反向遏制策略对发送到核心网信令处理设备的数据流执行过滤处理，进行反向遏制。