[发明专利]网络攻击的防范方法、业务控制节点及接入节点

说明书

技术领域

本发明涉及通信领域，具体而言，涉及一种网络攻击的防范方法、业务控制节点及接入节点。

背景技术

近年来，随着电信业的飞速发展，互联网的普及率也在快速提升，大众对于网络的了解程度同时也在普遍提升，网络设备所受攻击的频率和猛烈程度也随之不断增长，如何更好地、在更大的范围内防范网络攻击已经成为越来越重要的研究课题。

业务控制节点(Service Node，简称为SN)，例如，远端宽带接入服务器(Broadband Remote Access Server，简称为BRAS)、业务路由器(Service Router，简称为SR)，业务控制节点是宽带网络的业务控制网元，在网络中扮演着用户管理、用户业务控制的重要角色，SN节点的故障会导致大规模宽带用户的业务受到影响，因此，对SN提供足够的安全性保障显得尤为重要。

在目前的宽带接入网络中，SN节点扮演着宽带用户网关的角色，是从用户到因特网之间唯一用户“可见”的设备，面临用户非法攻击的危险远大于其它的网络设备。当前的SN设备都是分布式架构的产品，控制和转发各有独立的硬件，其中安全性危险较大的是控制面硬件(例如，主控板CPU等)，所有的用户控制层的报文都会由转发面硬件通过转发/控制面传送通道上送控制面硬件进行统一处理，用户对于SN控制面的报文攻击(例如，大量发送PPPoE、DHCP协议控制消息等)不但会直接导致控制面硬件负担增大、进而影响控制层硬件对其它控制消息处理能力，而且会导致转发/控制面传送通道拥塞、造成其它控制消息的处理延迟甚至丢失，对SN安全性影响很大。

当前的处理方法是：在转发/控制面传送通道上启动流量监管功能，对不同的报文类型进行限流操作，例如，以大网点对点协议(Point to Point over Ethernet，简称为PPPoE)控制消息、动态主机配置协议(Dynamic Host Configure Protocol，简称为DHCP)控制消息、开放式最短路径优先(Open Shortest Path First，简称为OSPF)协议报文等，以保证控制消息的激增影响控制面对其它类型报文的处理。这种方法的缺陷是，对同一类型的控制消息做限流可能会导致其中的攻击报文占用了绝大部分的传送带宽，而合法控制消息反而被丢弃，在保障了控制面安全性的情况下，降低了设备的可用性。由于SN同时管理了大规模的宽带用户，且无法预知哪些用户可能会发送攻击报文，所以也无法针对用户级别在转发/控制传送通道上进行限流。

与此同时，对于用户对SN节点网络侧设备的攻击，当前的处理方法是，当SN检测到或SN通过与内置/外置攻击检测设备(例如，深度报文检测(Deep Packet Inspection，简称为DPI)设备等)的联动检测到用户对SN节点网络侧设备的攻击后，在SN上统一对这些攻击报文执行攻击方法策略。这种方法产生了两个问题，一是AN与SN之间的接入网络对这些攻击流量没有做处理，二是在大量用户自主或被动(例如，感染病毒)发起网络攻击时，SN设备需要同时针对多个攻击流量执行网络攻击策略，对SN设备的处理性能要求很高，而这种处理往往是通过独立的硬件支持的，这就增加了SN设备的复杂度和成本。

发明内容

针对相关技术中对在攻击防范中对不同的报文类型进行限流而导致的合法的控制消息有可能被丢弃以及无法针对用户进行限流的问题，及业务控制节点集中执行网络攻击防范策略造成的接入网络对攻击流量没有处理以及业务控制节点处理性能要求高的问题而提出本发明，为此，本发明的主要目的在于提供一种网络攻击的防范方案，以解决上述问题。

为了实现上述目的，根据本发明的一个方面，提供了一种网络攻击的防范方法。

根据本发明的网络攻击的防范方法包括：业务控制节点在确定有用户进行网络攻击后，将与用户进行的网络攻击对应的防范策略发送给接入节点；接入节点执行防范策略。

优选地，在业务控制节点将防范策略发送给接入节点之后，上述方法还包括：业务控制节点向接入节点发送消息，其中，消息中携带有撤销防范策略的信息；接入节点根据消息撤销防范策略。

优选地，防范策略中携带有撤销防范策略的信息，接入节点根据信息撤销防范策略。

优选地，网络攻击的类型包括：用户对业务控制节点的攻击和/或用户对业务控制节点网络侧设备的攻击。

优选地，接入节点为用户与业务控制节点之间的支持业务控制节点和接入节点之间通讯协议的网络节点。

优选地，接入节点为最靠近用户并且能够执行防范策略的网络节点。