[发明专利]一种对恶意攻击流量的处理方法及相关服务器

权利要求书

1.一种对恶意攻击流量的处理方法，其特征在于，所述方法包括：

获取日志信息，所述日志信息包括流量清洗设备的流量清洗日志信息和远程用户拨号认证服务器的话单日志信息；

对所述流量清洗日志信息中的第一记录消息与所述话单日志信息中的第二记录消息进行匹配，确定异常用户信息；

发送包括所述异常用户信息的控制信息至远程用户拨号认证服务器，供所述远程用户拨号认证服务器限制所述异常用户信息对应的异常用户的上行传输数据。

2.根据权利要求1所述的方法，其特征在于，所述第一记录消息包括互联网协议IP地址段、异常开始时间和告警级别，所述第二记录消息包括用户IP地址和本次计费开始时间；

所述对所述流量清洗日志信息中的第一记录消息与所述话单日志信息中的第二记录消息进行匹配，确定异常用户信息包括：

提取所述第一记录消息中记录的告警级别达到预设级别的待处理记录消息；

将所述待处理记录消息中的异常开始时间与所述第二记录消息中待比对记录消息的本次计费开始时间进行比对，确定与所述待处理记录消息对应的用户IP地址；所述待比对记录消息为用户IP地址与所述待处理记录消息的IP地址段关联的第二记录消息；

根据与所述待处理记录消息对应的用户IP地址，在所述第二记录消息中查找并确定异常用户信息。

3.根据权利要求2所述的方法，其特征在于，所述控制信息还包括上行传输限制策略；

所述对所述流量清洗日志信息中的第一记录消息与所述话单日志信息中的第二记录消息进行匹配，确定异常用户信息之后，所述方法还包括：

根据所述异常用户信息对应的异常用户的用户IP地址在对应的待处理记录消息中的异常类型和异常延续时间，生成与所述异常用户对应的上行传输限制策略。

4.根据权利要求1所述的方法，其特征在于，所述日志信息还包括网络地址转换设备的转换日志信息；

所述对所述流量清洗日志信息中的第一记录消息与所述话单日志信息中的第二记录消息进行匹配，确定异常用户信息之前，所述方法还包括：

根据所述转换日志信息，对所述第二记录消息中的用户IP地址进行转换，使所述第二记录消息中的用户IP地址包含于所述第一记录消息中的IP地址段。

5.一种对恶意攻击流量的处理方法，其特征在于，所述方法包括：

接收包括异常用户信息的控制信息；

其中，所述异常用户信息是基于日志信息中包括的流量清洗设备的流量清洗日志信息的第一记录消息和远程用户拨号认证服务器的话单日志信息的第二记录消息进行匹配确定的；

当所述异常用户信息对应的异常用户在线时，根据所述控制信息发送流量控制消息至宽带接入网关，以对所述异常用户的上行传输数据进行限制。

6.根据权利要求5所述的方法，其特征在于，所述控制信息还包括上行传输限制策略；

所述根据所述控制信息发送流量控制消息至宽带接入网关之前，所述方法还包括：

判断所述上行传输限制策略是否满足预设条件，所述预设条件为与远程用户拨号认证服务器下发的历史流量控制策略不冲突且相容；

满足所述预设条件时，当所述异常用户在线时，根据所述控制信息发送所述流量控制消息至宽带接入网关。

7.一种流量分析服务器，其特征在于，所述流量分析服务器包括：获取部件、匹配部件和发送部件；其中，

所述获取部件，用于获取日志信息，所述日志信息包括流量清洗设备的流量清洗日志信息和远程用户拨号认证服务器的话单日志信息；

所述匹配部件，用于对所述流量清洗日志信息中的第一记录消息与所述话单日志信息中的第二记录消息进行匹配，确定异常用户信息；

所述发送部件，用于发送包括所述异常用户信息的控制信息至远程用户拨号认证服务器，供所述远程用户拨号认证服务器限制所述异常用户信息对应的异常用户的上行传输数据。