[发明专利]一种非法流量的处理方法、装置、系统和存储介质

说明书

本发明公开了一种非法流量的处理方法、装置、系统和存储介质。该方法在用户面功能出口处的防火墙等网络安全设备上增设反馈机制，使其在检测到的非法访问信息后，将非法访问信息发送给会话管理功能；之后，会话管理功能根据该非法访问信息找到与之对应的协议数据单元会话，自动生成针对所述非法流量信息的包检测规则，并在所述协议数据单元会话中添加该包检测规则，然后修改所述协议数据单元会话以使该包检测规则生效。当该数据单元会话再次接收到这些非法信息时，就可以利用这些包检测规则识别出非法流量，并实现对非法流量的限速、阻断和停止计费。而用户面功能也就不会再转发这些非法信息，也不会对这些非法信息进行计费。

技术领域

本发明涉及数据通信领域，尤其涉及一种非法流量的处理方法、装置、系统和存储介质。

背景技术

在5G系统会在用户面功能(UPF)出口处部署防火墙等网络安全设备用于中断来自5G系统内部和外部互联网的非法访问入侵或病毒攻击。但是，问题产生在于流量在被防火墙阻断前，仍然被用户面功能转发、并计入收费流量，这样一方面会浪费转发资源，另一方面也会给客户带来不必要的开销。

发明内容

在5G系统中，可以通过在协议数据单元(PDU)中配置包探测规则实现对非法流量的过滤、定向、计费、限流等，如果能根据用户面功能出口处部署防火墙等网络安全设备提供的非法访问信息自动生成包探测规则(Packet Detection Rule，PDR)，则可以避免类似的非法访问信息产生额外流量，也可以阻断其占用转发资源，解决以上问题。

基于以上发明思路，本发明人创造性地提供一种非法流量的处理方法、装置、系统和存储介质。

根据本发明实施例第一方面，提供一种非法流量的处理方法，应用于会话管理功能，通过联动网络安全设备来实现对非法流量的早期过滤，该方法包括：接收网络安全设备反馈的非法流量信息；根据非法流量信息找到与之对应的协议数据单元会话；自动生成针对非法流量信息的包检测规则；在协议数据单元会话中添加包检测规则；修改协议数据单元会话以使包检测规则生效。

根据本发明实施例一实施方式，该方法还包括：将包探测规则的优先级设为最高优先级。

根据本发明实施例一实施方式，在添加针对非法流量信息的包探测规则之后，该方法还包括：生成针对非法流量信息的处理规则，其中处理规则包括转发行为规则、用量报告规则和服务质量执行规则中的至少一项规则；添加处理规则；建立包探测规则和处理规则的关联关系。

根据本发明实施例一实施方式，生成针对非法流量信息的处理规则，包括：接收网络安全设备对非法流量信息的建议操作；根据建议操作，生成针对非法流量信息的处理规则。

根据本发明实施例第二方面，提供一种非法流量的处理方法，应用于网络安全设备，该方法包括：向会话管理功能发送非法流量信息。

根据本发明实施例一实施方式，该方法还包括：向会话管理功能发送对非法流量信息的建议操作。

根据本发明实施例第三方面，提供一种非法流量的处理装置，应用于会话管理功能，该装置包括：接收模块，用于接收网络安全设备反馈的非法流量信息；会话确定模块，用于根据非法流量信息找到与之对应的协议数据单元会话；包探测规则生成模块，用于自动生成针对非法流量信息的包检测规则；包探测规则添加模块，用于在协议数据单元会话中添加针对非法流量信息的包检测规则；会话修改模块，用于修改协议数据单元会话以使包检测规则生效。

根据本发明实施例一实施方式，该装置还包括优先级设置模块，用于将包探测规则的优先级设为最高优先级。

根据本发明实施例一实施方式，该装置还包括：处理规则生成模块，用于生成针对非法流量信息的处理规则，其中处理规则包括转发行为规则、用量报告规则和服务质量执行规则中的至少一项规则；处理规则添加模块，用于添加处理规则；关联关系建立模块，用于建立包探测规则和处理规则的关联关系。