專利名稱:惡意流量處理方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及移動通信技術(shù),尤其涉及一種惡意流量處理方法及系統(tǒng)�。
背景技術(shù):
在移動通信網(wǎng)絡(luò)中通常存在多種惡意流量����,例如�����,蠕蟲病毒�、拒絕服務(wù)
(Deny of Service,簡稱D0S)攻擊、黑客攻擊等����,如果在各個通信實體間 傳輸?shù)臄?shù)據(jù)中包含了這些惡意流量,將會嚴重影響網(wǎng)絡(luò)中數(shù)據(jù)傳輸����,甚至造 成網(wǎng)絡(luò)癱瘓����,為用戶帶來不便。
為了減少惡意流量對網(wǎng)絡(luò)的影響��,現(xiàn)有技術(shù)通過各種病毒檢測技術(shù)檢測 網(wǎng)絡(luò)中的數(shù)據(jù)流中是否包含惡意流量�,然后將檢測到含有惡意流量的數(shù)據(jù)流 屏蔽或直接丟棄,而用戶并不知曉���。
發(fā)明人在實現(xiàn)本發(fā)明的過程中發(fā)現(xiàn)這種處理惡意流量的方式存在的問 題在于���,如果將包含有惡意流量的數(shù)據(jù)直接丟棄或屏蔽����,可能會造成用戶無 法上網(wǎng)���,而用戶并不清楚造成不能上網(wǎng)的原因是由于數(shù)據(jù)流中包括了惡意流 量����;并且���,由于用戶不能夠及時獲知用戶終端(User Equipment,簡稱UE) 上數(shù)據(jù)流已經(jīng)受到惡意流量的侵襲�����,所以用戶無法及時采取消除惡意流量的 行動�,從而可能導致惡意流量侵襲范圍擴大���,給用戶造成更大的影響���。
發(fā)明內(nèi)容
本發(fā)明實施例針對現(xiàn)有技術(shù)中存在的問題�,提供一種惡意流量處理方法 及系統(tǒng)�����,能夠及時將會話數(shù)據(jù)染毒的狀態(tài)信息告知用戶終端�����,使得用戶終端 可以及時執(zhí)行消除惡意流量的操作��,減小惡意流量對用戶終端的影響���。
本發(fā)明實施例提供了 一種惡意流量處理方法���,所述惡意流量處理方法用于移動通信網(wǎng)絡(luò),包括
染毒檢測單元檢測經(jīng)過自身的會話數(shù)據(jù)是否包含惡意流量���,如果經(jīng)過 自身的會話數(shù)據(jù)包含惡意流量,則所述染毒檢測單元發(fā)送通知消息給染毒
處理單元���,通知染毒處理單元所述會話數(shù)據(jù)染毒的狀態(tài)信息�����;
所述染毒處理單元將會話數(shù)據(jù)染毒的狀態(tài)信息發(fā)送給用戶終端����。 本發(fā)明實施例還提供了 一種惡意流量處理系統(tǒng),所述惡意流量處理系
統(tǒng)用于移動通信網(wǎng)絡(luò)����,包括
染毒檢測單元,用于檢測經(jīng)過自身的會話數(shù)據(jù)中是否包含惡意流量��; 染毒處理單元����,用于接收所述染毒檢測單元發(fā)送的會話數(shù)據(jù)染毒的狀
態(tài)信息,在接收到所述染毒檢測單元發(fā)送的會話數(shù)據(jù)染毒的狀態(tài)信息后��,
將會話數(shù)據(jù)染毒的狀態(tài)信息發(fā)送給用戶終端�����。
本發(fā)明實施例提供的惡意流量處理方法及系統(tǒng)�,在檢測到移動通信網(wǎng)
絡(luò)中的會話數(shù)據(jù)中包括惡意流量時,及時通知UE�,這樣UE就可以及時發(fā)
起消除惡意流量的操作。
下面通過附圖和實施例,對本發(fā)明的技術(shù)方案做進一步的詳細描述�。
圖1所示為本發(fā)明惡意流量處理方法流程圖2所示為本發(fā)明惡意流量處理方法實施例中涉及到的一種網(wǎng)絡(luò)架構(gòu) 示意圖3所示為本發(fā)明惡意流量處理方法實施例一流程圖; 圖4所示為本發(fā)明惡意流量處理方法實施例二流程圖��; 圖5所示為本發(fā)明惡意流量處理方法實施例三流程圖���; 圖6所示為本發(fā)明惡意流量處理方法實施例四流程圖��; 圖7所示為本發(fā)明惡意流量處理方法實施例五流程圖�; 圖8所示為本發(fā)明惡意流量處理方法實施例六流程圖���;圖9所示為本發(fā)明惡意流量處理方法實施例七流程圖��; 圖10所示為本發(fā)明惡意流量處理方法實施例八流程圖���; 圖11所示為本發(fā)明惡意流量處理方法實施例中涉及到的另一種網(wǎng)絡(luò) 架構(gòu)示意圖12所示為本發(fā)明惡意流量處理方法實施例九流程圖; 圖13所示為本發(fā)明惡意流量處理方法實施例十流程圖�����; 圖14所示為本發(fā)明惡意流量處理方法實施例中涉及到的再一種網(wǎng)絡(luò) 架構(gòu)示意圖15所示為本發(fā)明惡意流量處理方法實施例十一流程圖��; 圖16所示為本發(fā)明惡意流量處理方法實施例十二流程圖��; 圖17所示為本發(fā)明惡意流量處理方法實施例十三流程圖�; 圖18所示為本發(fā)明惡意流量處理系統(tǒng)實施例結(jié)構(gòu)示意圖。
具體實施例方式
如圖1所示為本發(fā)明惡意流量處理方法流程圖����,該惡意流量處理方法應(yīng) 用于移動通信領(lǐng)域,包括
步驟1�、染毒檢測單元檢測經(jīng)過自身的會話數(shù)據(jù)是否包含惡意流量, 如果經(jīng)過自身的會話數(shù)據(jù)包含惡意流量����,則染毒檢測單元發(fā)送通知消息給 染毒處理單元,通知染毒處理單元所述會話數(shù)據(jù)染毒的狀態(tài)信息�����;
步驟2��、染毒處理單元將會話數(shù)據(jù)染毒的狀態(tài)信息發(fā)送給用戶終端��。
本發(fā)明實施例提供的惡意流量處理方法���,在檢測到移動通信網(wǎng)絡(luò)中的 會話數(shù)據(jù)中包括惡意流量時���,及時通知UE,這樣UE就可以及時發(fā)起消除 惡意流量的操作�����。
為了防止惡意流量侵襲范圍的繼續(xù)擴大����,染毒處理單元還可以將染毒 的會話去激活�����,這樣即使由于該會話被去激活導致了 UE無法傳輸其他數(shù) 據(jù)�����,UE側(cè)也可以知道是由于該會話數(shù)據(jù)染毒了 ����,而不至于在毫不知情的情
9況下被中斷了與移動通信網(wǎng)絡(luò)的數(shù)據(jù)傳輸。
或者���,在染毒檢測單元檢測到會話數(shù)據(jù)中包含惡意流量之后����,染毒處 理單元還可以將染毒的會話進行降速處理可以盡可能減小染毒的會話數(shù) 據(jù)進一步感染網(wǎng)絡(luò)中其他會話數(shù)據(jù)的可能性����,在UE進行了消除惡意流量 的操作之后,染毒4企測單元可以檢測之前染毒的會話數(shù)據(jù)中不再包含惡意 流量���,染毒處理單元可以將之前染毒的會話的速度恢復(fù)�����。
染毒處理單元在接收到染毒檢測單元發(fā)送的會話數(shù)據(jù)染毒的狀態(tài)信 息后����,染毒處理單元還可以記錄會話數(shù)據(jù)染毒的狀態(tài)信息�����,例如可以記錄 會話數(shù)據(jù)的標識��、惡意流量的類型�����、惡意流量的來源�����、染毒的程度等信息,
然后再將會話數(shù)據(jù)染毒的狀態(tài)信息發(fā)送給UE�����。如果UE在接收到會話數(shù)據(jù) 染毒的狀態(tài)信息之后進行了消除惡意流量的操作�,那么染毒檢測單元后續(xù) 會檢測到之前染毒的會話數(shù)據(jù)中惡意流量已經(jīng)被消除,這時染毒處理單元 可以刪除之前記錄的會話數(shù)據(jù)染毒的狀態(tài)信息����,并將會話數(shù)據(jù)中惡意流量 已被消除這一消息通知UE。
染毒檢測單元或染毒處理單元在獲知會話數(shù)據(jù)中包含惡意流量的時 候�����,除了進行前述的各項操作�,還可以執(zhí)行如下搡作中的至少一種
(1) 限制該用戶終端的訪問范圍,例如限制用戶終端只能訪問配置 的地址或端口范圍�����;
(2) 限制用戶終端的傳輸控制協(xié)議(Transmission Control Protocol,簡稱TCP)連接次數(shù)�����,或?qū)τ脩艚K端的網(wǎng)絡(luò)控制消息協(xié)議
(Internet Control Message Protocol,簡稱ICMP)才艮文個數(shù)進^^充量 控制����;
(3) 發(fā)出告警或呼叫日志來通知設(shè)備維護人員惡意流量的來源或惡 意流量的類型��。
通過這三種方式中的一種就可以防止惡意流量的進一步侵襲��。在UE 執(zhí)行消除惡意流量的操作之后,染毒檢測單元或染毒處理單元在獲知會話數(shù)據(jù)中惡意流量已被消除的時候�,還可以執(zhí)行如下操作中的至少 一種 (4 )取消對用戶終端訪問范圍的限制;
(5)取消對用戶終端TCP連接次數(shù)的限制���,或取消對用戶終端的ICMP 報文個數(shù)的流量控制����;
(6 )發(fā)出告警或呼叫日志來通知設(shè)備維護人員惡意流量已經(jīng)消除�����。 (4) (5) (6)所提到的方式與(1) (2) ( 3)中提到的方式是對應(yīng)的�����, 例如���,如果之前執(zhí)行了方式(1),則后續(xù)需要執(zhí)行方式(4) �。
(1) ~ (6)中所提的方式,可以由網(wǎng)絡(luò)中的單個網(wǎng)元來實現(xiàn)�。
在本發(fā)明實施例中,染毒檢測單元和染毒處理單元都應(yīng)當是移動通信 網(wǎng)絡(luò)中會話數(shù)據(jù)流經(jīng)的網(wǎng)絡(luò)實體��。
下面結(jié)合具體的網(wǎng)元實體來說明本發(fā)明移動通信網(wǎng)絡(luò)的惡意流量處 理方法實現(xiàn)過程����。
如圖2所示為本發(fā)明惡意流量處理方法實施例中涉及到的 一種網(wǎng)絡(luò)架 構(gòu)示意圖。圖2所示的是不使用策略計費控制(Policy and Charging Control,簡稱PCC)架構(gòu)的GPRS網(wǎng)絡(luò)或通用移動通信系統(tǒng)(Universal Mobile Telecommunication System,簡稱畫TS)網(wǎng)絡(luò)���,網(wǎng)關(guān)GPRS支持節(jié) 點(Gateway GPRS Support Node,筒稱GGSN)是GPRS/UMTS核心網(wǎng)絡(luò)的 設(shè)備�����,主要完成分組數(shù)據(jù)報的路由與轉(zhuǎn)發(fā)���,完成GPRS/UMTS核心網(wǎng)絡(luò)與外 部分組數(shù)據(jù)網(wǎng)(Packet Data Networks,簡稱PDN)的連接;服務(wù)GPRS 支持節(jié)點(Serving GPRS Support Node,簡稱SGSN)是GPRS/UMTS核心 網(wǎng)絡(luò)設(shè)備�����,主要完成分組數(shù)據(jù)報的路由與轉(zhuǎn)發(fā)��、加密與鑒權(quán)、會話管理����、 移動性管理、邏輯鏈路管理�����、話單產(chǎn)生和輸出等�����;通用陸地無線接入網(wǎng) (Universal Terrestrial Radio Access Network,簡稱UTRAN)是UMTS 分組與無線接入網(wǎng)絡(luò)(Radio Access Network,簡稱RAN)設(shè)備����,主要完 成對用戶的無線資源管理和空口新領(lǐng)域數(shù)據(jù)的路由與轉(zhuǎn)發(fā)����;GSM基站子系 統(tǒng)(Base Station Subsystem,簡稱BSS )是GPRS的RAN設(shè)備,主要完成對用戶無線資源管理和空口信令與數(shù)據(jù)的路由和轉(zhuǎn)發(fā)�����;UE是可移動的用戶
終端�����。在圖2所示的網(wǎng)絡(luò)中,GGSN和SGSN等網(wǎng)絡(luò)實體可以主動發(fā)起流程 控制UE的行為�。
具體到本發(fā)明實施例,可以在GGSN中實現(xiàn)染毒檢測單元和染毒處理 單元的功能�����,也可以在SGSN實現(xiàn)染毒檢測單元和染毒處理單元的功能�����, 也可以在位置歸屬寄存器(Home Location Register,簡稱HLR )中實現(xiàn) 染毒處理單元的功能���。
如圖3所示為本發(fā)明惡意流量處理方法實施例一流程圖�����,在實施例一 中����,在SGSN中實現(xiàn)了染毒檢測單元和染毒處理單元的功能��,即�����,染毒檢 測單元和染毒處理單元設(shè)置在SGSN中,該流程包括
步驟101���、 SGSN中的染毒檢測單元檢測流經(jīng)自身的會話數(shù)據(jù)中是否包 含惡意流量����;
步驟102����、如果SGSN中的染毒檢測單元檢測到流經(jīng)自身的會話數(shù)據(jù)中 包含惡意流量,則染毒檢測單元將會話數(shù)據(jù)染毒的狀態(tài)信息發(fā)送給SGSN 中的染毒處理單元��,SGSN中的染毒處理單元發(fā)起去激活流程�,具體地�����, SGSN中的染毒處理單元向UE發(fā)送去激活PDP上下文請求(Deactivate PDP Context Request ),在該去激活PDP上下文請求(Deact ivate PDP Context Request)中攜帶有會話數(shù)據(jù)染毒的狀態(tài)信息�����,用于通知UE會話數(shù)據(jù)染毒 的狀態(tài)信息���;然后UE向SGSN發(fā)送去激活PDP上下文接受消息(Deactivate PDP Context Accept),完成只于會i舌的去;鼓活流禾呈�����。
如圖4所示為本發(fā)明惡意流量處理方法實施例二流程圖�����,在實施例二 中�����,在SGSN中實現(xiàn)了染毒檢測單元和染毒處理單元的功能����,即,染毒檢 測單元和染毒處理單元設(shè)置在SGSN中���,該流程包括
步驟201���、 SGSN中的染毒檢測單元檢測流經(jīng)自身的會話數(shù)據(jù)中是否包 含惡意流量;
步驟202��、如果SGSN中的染毒檢測單元4企測到流經(jīng)自身的會話數(shù)據(jù)中包含惡意流量��,則染毒檢測單元將會話數(shù)據(jù)染毒的狀態(tài)信息發(fā)送給SGSN 中的染毒處理單元,SGSN中的染毒處理單元向UE發(fā)送修改PDP上下文請 求(Modify PDP Context Request)�,將染毒的會話的速率降低到一個值 A,該值A(chǔ)可以是一個固定值,可以由運營商進行配置���;在修改PDP上下 文請求(Modify PDP Context Request)中還攜帶有會話數(shù)據(jù)染毒的狀態(tài) 信息�����。然后UE發(fā)送修改PDP上下文接受消息(Modify PDP Context Accept )�, 完成對染毒的會話的降速處理�����。
在步驟"2中�����,SGSN中的染毒處理單元在接收會話數(shù)據(jù)染毒的狀態(tài)信 息后���,可以將會話數(shù)據(jù)染毒的狀態(tài)信息進行記錄。在完成步驟202之后�����, 如果SGSN中的染毒處理單元沒有對染毒的會話進行去激活處理,則SGSN 中的染毒檢測單元仍然繼續(xù)檢測流經(jīng)自身的會話數(shù)據(jù)中是否包含惡意流 量�,如果UE對染毒的會話數(shù)據(jù)進行了惡意流量消除的處理,則SGSN中的 染毒檢測單元會檢測到流經(jīng)自身的會話數(shù)據(jù)中的惡意流量已經(jīng)消除�,這 時,SGSN中的染毒處理單元可以通過向UE發(fā)送修改PDP上下文請求 (Modify PDP Context Request)來將之前經(jīng)過降速處理的會話的速率恢 復(fù)���,并且在修改PDP上下文請求(Modify PDP Context Request)中攜帶 會話數(shù)據(jù)中惡意流量已經(jīng)被消除的信息�。并且�����,SGSN中的染毒處理單元可 以清除之前記錄的會話數(shù)據(jù)染毒的狀態(tài)信息��。
在實施例二中�,在檢測到流經(jīng)自身的會話數(shù)據(jù)中的惡意流量被消除之 前,SGSN不允許網(wǎng)絡(luò)中其他網(wǎng)元觸發(fā)的提高會話速率的操作��。
在檢測到流經(jīng)自身的會話數(shù)據(jù)中的惡意流量被消除之前�,如果UE從 一個SGSN遷移到了另 一個SGSN,則遷移前的SGSN會將會話數(shù)據(jù)染毒的狀 態(tài)信息發(fā)送給遷移后的SGSN,防止遷移后的SGSN由于沒有獲知會話數(shù)據(jù) 染毒的狀態(tài)信息而重新為UE設(shè)置了較大的會話速率����,造成惡意流量侵襲 范圍增大。具體地����,遷移之前的SGSN中用于記錄會話數(shù)據(jù)染毒的狀態(tài)信 息的模塊將記錄的信息發(fā)送給遷移后的SGSN中用于記錄會話數(shù)據(jù)染毒的狀態(tài)信息的模塊����。
如圖5所示為本發(fā)明惡意流量處理方法實施例三流程圖���,在SGSN中 實現(xiàn)了染毒檢測單元和染毒處理單元的功能����,即�,染毒檢測單元和染毒處
理單元設(shè)置在SGSN中,該流程包括
步驟301���、 SGSN中的染毒檢測單元檢測流經(jīng)自身的會話數(shù)據(jù)中是否包 含惡意流量�;
步驟302����、如果SGSN中的染毒檢測檢測到流經(jīng)自身的會話數(shù)據(jù)中包含 惡意流量,則染毒檢測單元將會話數(shù)據(jù)染毒的狀態(tài)信息發(fā)送給SGSN中的 染毒處理單元���,SGSN中的染毒處理單元向UE發(fā)送修改PDP上下文請求 (Modify PDP Context Request),在修改PDP上下文請求(Modify PDP Context Request)中攜帶有會話數(shù)據(jù)染毒的狀態(tài)信息���,用于將會話數(shù)據(jù) 染毒的狀態(tài)信息通知給UE。
如果UE進行了消除惡意流量的操作����,則SGSN中的染毒檢測單元會檢 測到流經(jīng)自身的會話數(shù)據(jù)中的惡意流量已經(jīng)消除,這時�,SGSN中的染毒處 理單元通過向UE發(fā)送修改PDP上下文請求(Modify PDP Context Request ), 在修改PDP上下文請求(Modify PDP Context Request)中攜帶會話數(shù)據(jù) 中惡意流量已經(jīng)被消除的信息。并且SGSN中的染毒處理單元可以清除之 前記錄的會話數(shù)據(jù)染毒的狀態(tài)信息�����。
如圖6所示為本發(fā)明惡意流量處理方法實施例四流程圖�,在實施例四 中,在GGSN中實現(xiàn)了染毒檢測單元和染毒處理單元的功能�����,即��,染毒檢 測單元和染毒處理單元設(shè)置在GGSN中����,該流程包括
步驟401、 GGSN中的染毒檢測單元檢測流經(jīng)自身的會話數(shù)據(jù)中是否包 含惡意流量���;
步驟402����、如果GGSN中的染毒檢測單元檢測到流經(jīng)自身的會話數(shù)據(jù)中 包含惡意流量,則染毒檢測單元將會話數(shù)據(jù)染毒的狀態(tài)信息發(fā)送給GGSN 中的染毒處理單元�,GGSN中的染毒處理單元向SGSN發(fā)送刪除PDP上下文
14請求(Delete PDP Context Request),在該刪除PDP上下文請求(Delete PDP Context Request)中攜帶會話數(shù)據(jù)染毒的狀態(tài)信息����,然后SGSN向UE發(fā)送 去激活PDP上下文請求(Deactivate PDP Context Request),用于將染 毒的會話去激活���,并且在去激活PDP上下文請求(Deactivate PDP Context Request)中攜帶會話數(shù)據(jù)染毒的狀態(tài)信息�����,然后UE向SGSN發(fā)送去激活 PDP上下文^妾受消息(Deactivate PDP Context Accept),完成對會話的 去激活流程��。SGSN在收到UE返回的去激活PDP上下文接受消息 (Deactivate PDP Context Accept)后����,向GGSN中的染毒處理單元發(fā)送 刪除PDP上下文響應(yīng)(Delete PDP Context Response)�。
如圖7所示為本發(fā)明惡意流量處理方法實施例五流程圖,在實施例五 中����,在GGSN中實現(xiàn)了染毒檢測單元和和染毒處理單元的功能��,即染毒檢 測單元和染毒處理單元設(shè)置在GGSN中��,該流程包括
步驟501、 GGSN中的染毒檢測單元檢測流經(jīng)自身的會話數(shù)據(jù)中是否包 含惡意流量�����;
步驟502�����、如果GGSN中的染毒檢測單元檢測到流經(jīng)自身的會話數(shù)據(jù)中 包含惡意流量���,則染毒檢測單元將會話數(shù)據(jù)染毒的狀態(tài)信息發(fā)送給GGSN 中的染毒處理單元����,GGSN中的染毒處理單元向SGSN發(fā)送更新PDP上下文 請求(Update PDP Context Request ),通過該更新PDP上下文請求(Update PDP Context Request ),要求將染毒的會話的速率降低到一個值A(chǔ)�����,并且 在該更新PDP上下文請求(Update PDP Context Request)中攜帶有會話 數(shù)據(jù)染毒的狀態(tài)信息����;SGSN在收到GGSN發(fā)送的更新PDP上下文請求 (Update PDP Context Request )之后����,發(fā)送修改PDP上下文請求(Modify PDP Context Request)給UE�����,通過該修改PDP上下文請求(Modify PDP Context Request )將染毒的會話的速率降低到一個固定值A(chǔ),并且在修改 PDP上下文請求(Modify PDP Context Request)中攜帶會話數(shù)據(jù)染毒的 狀態(tài)信息�,然后UE向SGSN返回修改PDP上下文接受消息(Modify PDPContext Accept),完成對染毒的會話的降速處理。SGSN在接收到UE發(fā) 送的修改PDP上下文接受消息(Modify PDP Context Accept )后���,向GGSN 中的染毒處理單元發(fā)送更新PDP上下文響應(yīng)(Update PDP Context Response )���。
在步驟中,GGSN中的染毒處理單元接收到會話數(shù)據(jù)染毒的狀態(tài)信 息后�,GGSN中的染毒處理模塊將會話數(shù)據(jù)染毒的狀態(tài)信息進行記錄。在完 成步驟502之后���,GGSN中的染毒檢測單元仍然繼續(xù)檢測流經(jīng)自身的會話數(shù) 據(jù)是否包含惡意流量�,如果UE對染毒的會話數(shù)據(jù)進行了處理���,則GGSN中 的染毒檢測單元會檢測流經(jīng)自身的會話數(shù)據(jù)中的惡意流量已經(jīng)消除�����,這 時���,GGSN中的染毒處理單元可以采用向SGSN發(fā)送更新PDP上下文請求 (Update PDP Context Request)�����,通過該更新PDP上下文請求(Update PDP Context Request)要求將之前經(jīng)過降速處理的會話的速率恢復(fù),并 且在該更新PDP上下文請求(Update PDP Context Request)攜帶會話數(shù) 據(jù)中惡意流量已經(jīng)被消除的信息�����。SGSN然.后向UE發(fā)送修改PDP上下文請 求(Modify PDP Context Request ),通過該修 夂PDP上下文請求(Modify PDP Context Request)將之前經(jīng)過降速的會話的速率恢復(fù)���,并且在該〈奮 改PDP上下文請求(Modify PDP Context Request)中攜帶會話數(shù)據(jù)中惡 意流量已經(jīng)被消除的信息��。
在檢測到流經(jīng)自身的會話數(shù)據(jù)中的惡意流量被消除之前�����,GGSN不允許 網(wǎng)絡(luò)中其他網(wǎng)元觸發(fā)的提高會話速率的操作��。
如圖8所示為本發(fā)明惡意流量處理方法實施例六流程圖�,在實施例六 中,在GGSN中實現(xiàn)了染毒檢測單元和染毒處理單元的功能����,即,染毒檢 測單元和染毒處理單元設(shè)置在GGSN中��,包括
步驟601�����、 GGSN中的染毒檢測單元檢測流經(jīng)自身的會話數(shù)據(jù)中是否包 含惡意流量�����;
步驟602��、如果GGSN中的染毒檢測單元檢測到流經(jīng)自身的會話數(shù)據(jù)中包含惡意流量����,則染毒檢測單元將會話數(shù)據(jù)染毒的狀態(tài)信息發(fā)送給GGSN 中的染毒處理單元,GGSN中的染毒處理單元向SGSN發(fā)送更新PDP上下文 請求(Update PDP Context Request ),在該更新PDP上下文請求(Update PDP Context Request)中攜帶有會話數(shù)據(jù)染毒的狀態(tài)信息�����,用于將會話 數(shù)據(jù)染毒的狀態(tài)信息通知給SGSN,然后SGSN發(fā)送修改PDP上下文請求
(Modify PDP Context Request)給UE���,在該修改PDP上下文請求(Modify PDP Context Request)中攜帶有會話數(shù)據(jù)染毒的狀態(tài)信息����,用于將會話數(shù) 據(jù)染毒的狀態(tài)信息通知給UE。
如果UE進行了消除惡意流量的操作��,則GGSN中的染毒檢測單元會檢 測到流經(jīng)自身的會話數(shù)據(jù)中的惡意流量已經(jīng)消除�,這時,GGSN中的染毒處 理單元可以發(fā)送更新PDP上下文請求(Update PDP Context Request)給 SGSN�,在該更新PDP上下文請求(Update PDP Context Request)中攜帶 有會話數(shù)據(jù)中的惡意流量已經(jīng)被消除的信息;SGSN在收到該更新PDP上下 文請求(Update PDP Context Request)后��,發(fā)送修改PDP上下文請求
(Modify PDP Context Request )給UE��,在該修改PDP上下文請求(Modify
PDP Context Request)中攜帶有會話數(shù)據(jù)中的惡意流量已經(jīng)被消除的信 自
如圖9所示為本發(fā)明惡意流量處理方法實施例七流程圖��,在實施例七 中���,在SGSN或GGSN中實現(xiàn)了染毒檢測單元的功能,在HLR中實現(xiàn)了染毒 處理單元的功能��,即�,染毒檢測單元設(shè)置在SGSN或GGSN中,染毒處理單 元設(shè)置在HLR中�����,該流程包括
步驟701、 SGSN或GGSN中的染毒檢測單元檢測流經(jīng)自身的會話數(shù)據(jù) 中是否包含惡意流量����;
步驟702、如果SGSN或GGSN中的染毒檢測單元檢測到流經(jīng)自身的會 話數(shù)據(jù)中包含惡意流量�,則SGSN或GGSN中的染毒檢測單元向HLR中的染 毒處理單元發(fā)送病毒通知消息(Virus Notification),用于通知HLR中的染毒處理單元會話數(shù)據(jù)染毒的狀態(tài)信息�。
步驟703、 HLR中的染毒處理單元在收到來自SGSN或GGSN的病毒通 知消息(Virus Notification)之后����,可以選4奪對會話進行去激活處理, 或者可以對會話進行降速處理��,或者可以選擇通知UE會話數(shù)據(jù)染毒的狀 態(tài)信息�����,HLR中的染毒處理單元可以將所選擇的處理方式通過病毒處理指 示(Virus Process Indication )發(fā)送給SGSN或GGSN����。
步驟704、 SGSN或GGSN在接收到HLR發(fā)送的病毒處理指示(Virus Process Indication)之后����,可以#4居該病毒處理指示(Virus Process Indication)中所選擇的方式執(zhí)行相應(yīng)的操作���。具體的操作可以參考步驟 102、 202���、 302����、 402��、 502�、 602。例如����,如果HLR中的染毒處理單元向SGSN 發(fā)送病毒處理指示(Virus Process Indication)中選擇對會話進行降速 的處理���,則SGSN在收到HLR發(fā)送的病毒處理指示(Virus Process Indication)后�����,可以釆用與步驟302類似的步驟����,與步驟302區(qū)別之處 在于步驟704中HLR中的染毒處理單元將病毒處理指示(Virus Process Indication)發(fā)送給SGSN中的能夠處理病毒處理指示(Virus Process Indication)的單元,并且由SGSN中的能夠處理病毒處理指示(Virus Process Indication)的單元發(fā)起對包含有惡意流量的會話數(shù)據(jù)涉及到的 會話進行去激活的操作�����,而步驟302中是由SGSN中的染毒處理單元發(fā)起 對包含有惡意流量的會話數(shù)據(jù)涉及到的會話進行去激活的操作����。
如果SGSN或GGSN中的染毒檢測單元檢測到流經(jīng)自身的會話數(shù)據(jù)中的 惡意流量已經(jīng)消除,這時SGSN或GGSN中的染毒4企測單元向HLR中的染毒 處理單元發(fā)送病毒清除通知(Virus Cleanup Notification) �����。 HLR中的 染毒處理單元在收到SGSN或GGSN中染毒檢測單元的病毒清除通知(Virus Cleanup Notification )后���,通過向SGSN或GGSN發(fā)送病毒清除指示(Virus Cleanup Process Indication)通知SGSN或GGSN才丸行相應(yīng)的操作���。例如, HLR中的染毒處理單元如果在步驟704中選擇對會話進行降速處理����,那么在會話數(shù)據(jù)中的惡意流量消除之后,HLR中的染毒處理單元可以選擇對會 話速率進4于恢復(fù)�。
SGSN或GGSN在收到HLR發(fā)送的發(fā)送病毒清除指示(Virus Cleanup Process Indication)后�����,根據(jù)HLR中的染毒處理單元選擇的處理方式執(zhí) 行相應(yīng)的操作���。例如,如果HLR中的染毒處理單元選擇對會話速率進行恢 復(fù)�,那么GGSN可以采用與實施例五類似的方法,GGSN可以向SGSN發(fā)送更 新PDP上下文i貪求(Update PDP Context Request),通過該更新PDP上 下文請求(Update PDP Context Request)要求將之前經(jīng)過降速處理的會 話的速率恢復(fù)���,并且在該更新PDP上下文請求(Update PDP Context Request )攜帶會話數(shù)據(jù)中惡意流量已經(jīng)被消除的信息���。SGSN然后向UE 發(fā)送》f改PDP上下文請求(Modify PDP Context Request),通過該》務(wù)改 PDP上下文請求(Modify PDP Context Request)將之前經(jīng)過降速的會話 的速率恢復(fù),并且在該修改PDP上下文請求(Modify PDP Context Request ) 中攜帶會話數(shù)據(jù)中惡意流量已經(jīng)被消除的信息����。
如圖10所示為本發(fā)明惡意流量處理方法實施例八流程圖,在實施例 八中��,在SGSN實現(xiàn)染毒檢測單元的功能�,在GGSN中實現(xiàn)染毒處理單元的 功能����,即����,染毒檢測單元設(shè)置在SGSN中�����,染毒處理單元設(shè)置在GGSN中�����, 該流程包4舌
步驟SOl�����、 SGSN中的染毒檢測單元檢測流經(jīng)自身的會話數(shù)據(jù)中是否包 含惡意流量�����;
步驟802����、如果SGSN中的染毒檢測單元檢測到流經(jīng)自身的會話數(shù)據(jù)中 包含惡意流量,則SGSN中的染毒檢測單元向GGSN中的染毒處理單元發(fā)送 病毒通知消息(Virus Notification)�,用于通知GGSN中的染毒處理單 元會話數(shù)據(jù)染毒的狀態(tài)信息。
步驟803、 GGSN中的染毒處理單元在收到來自SGSN中的染毒檢測單 元的病毒通知消息(Virus Notification)之后���,可以選擇對會話進行去激活或降速處理���,可以將會話數(shù)據(jù)染毒的狀態(tài)信息通知給UE, GGSN進行 的操作與步驟402或502或602類似,此處不再贅述��。如果SGSN中的染 毒檢測單元檢測到流經(jīng)自身的會話數(shù)據(jù)中的惡意流量已經(jīng)消除�����,這時SGSN 中的染毒檢測單元向GGSN中的染毒處理單元發(fā)送病毒清除通知(Virus Cleanup Notification)���。
GGSN中的染毒處理單元在收到SGSN中的染毒檢測單元發(fā)送的病毒清 除通知(Virus Cleanup Notification)后�,如果在步驟803中對會話進 行了降速處理�����,則需要對會話速率進行恢復(fù)��,如果在步驟803中通知了 UE 會話數(shù)據(jù)染毒的狀態(tài)信息�,則在步驟805中需要通知UE會話數(shù)據(jù)中惡意 流量已經(jīng)消除的信息。
與實施例八相反地�����,可以在GGSN中實現(xiàn)染毒4全測單元的功能���,在SGSN 中實現(xiàn)染毒處理單元和染毒通知單元的功能��,這時��,GGSN中的染毒檢測單 元檢測流經(jīng)自身的會話數(shù)據(jù)中是否包含惡意流量�,如果檢測到流經(jīng)自身的 會話數(shù)據(jù)中包含惡意流量����,則GGSN中的染毒檢測單元向SGSN中的染毒處 理單元發(fā)送病毒通知消息(Virus Notification),通知SGSN中的染毒 處理單元會話數(shù)據(jù)染毒的狀態(tài)信息���。然后SGSN可以進行與步驟102或202 或302類似的#:作�����,具體步驟不再贅述�����。并且���,如果UE在SGSN之間發(fā)生 了遷移�����,遷移之前的SGSN中的用于記錄會話數(shù)據(jù)染毒的狀態(tài)信息的單元 需要將記錄的信息發(fā)送給遷移后的SGSN中的用于記錄會話數(shù)據(jù)染毒的狀 態(tài)信息的單元�����,防止由于遷移后的SGSN中沒有會話數(shù)據(jù)染毒的狀態(tài)信息 而將染毒的會話進行恢復(fù)速度的操作�����。
需要說明的是��,實施例一到實施例八中所示的方法針對的是如圖2所 示的網(wǎng)絡(luò)結(jié)構(gòu)��。如圖11所示為本發(fā)明惡意流量處理方法實施例中涉及到 的另一種網(wǎng)絡(luò)架構(gòu)示意圖�,圖11所示的是使用了 PCC架構(gòu)的GPRS網(wǎng)絡(luò)或 UMTS網(wǎng)絡(luò)�,其中策略計費執(zhí)行功能(Policy and Charging Enforcement Function,筒稱PCEF )模塊完成業(yè)務(wù)流數(shù)據(jù)檢測、策略執(zhí)行和基于業(yè)務(wù)流的計費�����,PCEF模塊可以設(shè)置在GGSN或P-GW中���;策略計費規(guī)則功能(Policy Charging Rules Function,簡稱PCRF )模塊完成策略控制決策和基于業(yè) 務(wù)流的計費控制��,PCRF模塊為PCEF模塊提供了網(wǎng)絡(luò)控制���、業(yè)務(wù)數(shù)據(jù)流檢 測、QoS和基于業(yè)務(wù)流的計費�����,在接收來自應(yīng)用功能(Application Function,簡稱AF )模塊的會話信息�,PCRF模塊還可以根據(jù)運營商的策 略進行安全流程,PCRF模塊決定指定的業(yè)務(wù)數(shù)據(jù)流在PCEF模塊如何被處 理����,從而保證PCEF模塊上對用戶面數(shù)據(jù)的映射和處理與用戶的簽約數(shù)據(jù) 保持一致;AF模塊根據(jù)應(yīng)用層的用戶面數(shù)據(jù)行為動態(tài)地產(chǎn)生策略計費控制 需求��,并將所需的會話信息發(fā)送給PCRF要求其做出決策�。
對于如圖ll所示的網(wǎng)絡(luò)架構(gòu),可以在PCEF模塊中實現(xiàn)染毒檢測單元 的功能���,在PCRF模塊中實現(xiàn)染毒處理單元的功能����;或者也可以在PCEF模
塊中實現(xiàn)染毒檢測單元處理的功能,在AF模塊中實現(xiàn)染毒處理單元的功
《匕 3匕�����。
對于如圖11所示的網(wǎng)絡(luò)架構(gòu)����,PCEF ^t塊-沒置在GGSN中,則可以在 GGSN中的PCEF模塊中實現(xiàn)染毒單元模塊的功能�,在PCRF模塊中實現(xiàn)染毒 處理單元模塊的功能。如圖12所示為本發(fā)明惡意流量處理方法實施例九 流程圖���,在實施例九中��,在GGSN的PCEF模塊中實現(xiàn)染毒檢測單元的功能���, 在PCRF模塊中實現(xiàn)染毒處理單元的功能,即���,染毒檢測單元設(shè)置在GGSN 的PCEF模塊中�,染毒處理單元設(shè)置在PCRF模塊中����,該流程包括
步驟901���、 GGSN中的PCEF模塊中的染毒檢測單元檢測流經(jīng)自身的會 話數(shù)據(jù)中是否包含惡意流量;
步驟902���、如果GGSN中的PCEF模塊中的染毒檢測單元檢測到流經(jīng)自 身的會話數(shù)據(jù)中包含惡意流量��,則向PCRF模塊中的染毒處理單元發(fā)送病 毒通知消息(Virus Notification)���,用于通知PCRF模塊中的染毒處理 單元會話數(shù)據(jù)染毒的狀態(tài)信息��。
步驟903����、 PCRF模塊中的染毒處理單元在收到來自GGSN中的PCEF模塊中的染毒4全測單元發(fā)送的病毒通知消息(Virus Notification)之后, 可以選擇對會話進行去激活處理����,或者可以對會話進行降速處理,或者可 以選擇通知UE會話數(shù)據(jù)染毒的狀態(tài)信息�,PCRF模塊中的染毒處理單元可 以將所選擇的處理方式通過發(fā)送病毒處理指示(Virus Process Indication)給GGSN中的PCEF才莫塊。
步驟904�、 GGSN中的PCEF模塊在接收到PCRF模塊發(fā)送的病毒處理指 示(Virus Process Indication )之后,可以#4居該病毒處理指示(Virus Process Indication)中所選擇的方式執(zhí)行相應(yīng)的才喿作����。具體的操作可以 參考步驟102���、 202、 302�����、 402�、 502、 602���。例如���,如果PCRF模塊中的染 毒處理單元向GGSN發(fā)送病毒處理指示(Virus Process Indication)中 選擇對會話進行降速的處理,則GGSN中的PCEF模塊在收到PCRF模塊發(fā) 送的病毒處理指示(Virus Process lndicat ion )后���,可以采用與步驟502 類似的步驟�����,與步驟502的區(qū)別之處在于步驟904中由PCEF模塊中的
中�����,是由GGSN中的染毒處理單元發(fā)起對會話的降速處理�。
步驟905、如果GGSN中的PCEF模塊中的染毒檢測單元檢測到流經(jīng)自 身的會話數(shù)據(jù)中的惡意流量已經(jīng)消除����,這時GGSN中的PCEF模塊中的染毒 檢測單元向PCRF模塊發(fā)送病毒清除通知(Virus Cleanup Notification )。 步驟906�����、 PCRF模塊中的染毒處理單元在收到GGSN中的PCEF模塊中 的染毒檢測單元發(fā)送的病毒清除通知(Virus Cleanup Notificat ion )后���, 通過向GGSN中的PCEF模塊發(fā)送病毒清除處理指示(Virus Cleanup Process Indication),通知GGSN中的PCEF模塊執(zhí)行相應(yīng)的操作��。例如�����, PCRF模塊中的染毒處理單元如杲在步驟904中選擇對會話進行降速處理����, 那么在會話數(shù)據(jù)中的惡意流量消除之后,PCRF才莫塊中的染毒處理單元可以 選擇對會話速率進行恢復(fù)����。
步驟907���、 GGSN中的PCEF模塊在收到PCRF發(fā)送的病毒清除處理指示(Virus Cleanup Process Indication)后,沖艮^居PCRF才莫塊選擇的處J里 方式執(zhí)行相應(yīng)的操作��。例如��,如果PCRF模塊中的染毒處理單元選擇對會 話速率進行恢復(fù)�����,那么GGSN中的PCEF模塊可以采用與實施例五類似的方 法����,GGSN中的PCEF模塊可以向SGSN發(fā)送更新PDP上下文請求(Update PDP Context Request),通過該更新PDP上下文請求(Update PDP Context Request )要求將之前經(jīng)過降速處理的會話的速率恢復(fù)�����,并且在該更新PDP 上下文請求(Update PDP Context Request)攜帶會話數(shù)據(jù)中惡意流量已 經(jīng)被消除的信息��。SGSN然后向UE發(fā)送修改PDP上下文請求(Modify PDP Context Request),通過該修改PDP上下文請求(Modify PDP Context Request)將之前經(jīng)過降速的會話的速率恢復(fù)���,并且在該i參改PDP上下文 請求(Modify PDP Context Request)中攜帶會話數(shù)據(jù)中惡意流量已經(jīng)被 消除的信息����。
如圖13所示為本發(fā)明惡意流量處理方法實施例十流程圖,在實施例 十中��,在GGSN的PCEF模塊中實現(xiàn)染毒檢測單元的功能�,在PCRF模塊中 實現(xiàn)染毒處理單元的功能,即染毒檢測單元設(shè)置在GGSN的PCEF模塊中����, 染毒處理單元設(shè)置在PCRF模塊中,該流程包括
步驟1001�����、 GGSN中的PCEF模塊中的染毒檢測單元檢測流經(jīng)自身的會 話數(shù)據(jù)中是否包含惡意流量��;
步驟1002����、如果GGSN中的PCEF模塊中的染毒檢測單元檢測到流經(jīng)自 身的會話數(shù)據(jù)中包含惡意流量����,則GGSN中的PCEF模塊中的染毒檢測單元 向UE發(fā)送病毒通知消息(Virus Notification ),用于通知UE會話凄t據(jù) 染毒的狀態(tài)信息。
步驟1003、 UE將病毒通知消息(Virus Notification)轉(zhuǎn)發(fā)給AF模 塊中的染毒處理單元�����。
步驟1004���、在收到病毒通知消息(Virus Notification)后��,AF模 塊中的染毒處理單元可以選擇對會話進行去激活處理�����,或者可以選擇對會話進行降速處理�,AF模塊中的染毒處理單元可以將所選4奪的處理方式通過 發(fā)送病毒處理指示(Virus Process Indication)給PCRF模塊���。
步驟1005��、 PCRF模塊在收到AF模塊中的染毒處理單元發(fā)送的病毒處 理指示(Virus Process Indication)之后�,可以根據(jù)該病毒處理指示 (Virus Process Indication)中所選擇的方式進4亍相應(yīng)的^喿作��。PCRF 模塊具體的操作可以參考步驟903和904���。
步驟1006���、如果GGSN中的PCEF模塊中的染毒;f企測單元檢測到流經(jīng)自 身的會話數(shù)據(jù)中的惡意流量已經(jīng)消除���,則GGSN中的PCEF模塊中的染毒檢 測單元可以向UE發(fā)送病毒清除通知(Virus Cleanup Notification)。
步驟1007��、 UE將該病毒清除通知(Virus Cleanup Notification) 轉(zhuǎn)發(fā)給AF模塊中的染毒處理單元��。
步驟1008���、 AF模塊中的染毒處理單元然后向PCRF模塊發(fā)送病毒清除 處理指示(Virus Cleanup Process Indication),通知GGSN中的PCEF 模塊執(zhí)行相應(yīng)的操作��。例如���,AF模塊中的染毒處理單元如果在步驟1004 中選擇對會話進行降速處理,那么在會話數(shù)據(jù)中的惡意流量消除之后��,AF 模塊中的染毒處理單元可以選擇對會話速率進行恢復(fù)����。
需要說明的是,實施例九和十中所示的方法針對的是如圖11所示的 網(wǎng)絡(luò)結(jié)構(gòu)�。如圖14所示為本發(fā)明惡意流量處理方法實施例中涉及到的再 一種網(wǎng)絡(luò)架構(gòu)示意圖�����,圖14所示的是使用了 PCC架構(gòu)的演進后的SAE網(wǎng) 絡(luò),其中PCEF模塊設(shè)置在分組數(shù)據(jù)網(wǎng)(Packet Data Network,簡稱PDN) 網(wǎng)關(guān)(P-GW)中�。
如圖15所示為本發(fā)明惡意流量處理方法實施例十一流程圖,實施例 十一中���,在P-GW中的PCEF模塊中實現(xiàn)染毒檢測單元的功能��,在PCRF模 塊中實現(xiàn)染毒處理單元的功能�,即染毒檢測單元設(shè)置在PCEF模塊中�����,染 毒處理單元這只在PCRF模塊中��,該流程包括
步驟1101���、 P-GW中的PCEF模塊中的染毒檢測單元檢測流經(jīng)自身的會
24話數(shù)據(jù)中是否包含惡意流量��。
步驟1102�、如果P-GW中的PCEF才莫塊中的染毒4企測單元4企測到流經(jīng)自 身的會話數(shù)據(jù)中包含惡意流量�����,則P-GW中的PCEF模塊中的染毒檢測單元 向PCRF才莫塊發(fā)送病毒通知消息(Virus Notification)。
步驟1103����、在收到病毒通知消息(Virus Notification)后,PCRF 模塊中的染毒處理單元可以選擇對會話進行去激活處理���,具體地�,PCRF 模塊中的染毒處理單元可以將所選擇的去激活處理方式通過IP連同接入 網(wǎng)(IP Connectivity Access Network,筒稱IP-CAN )會話修改消息(IP-CAN Session Modification) 發(fā)送給P-GW中的PCEF才莫塊�,并且在該IP-CAN 會話修改消息中攜帶會話數(shù)據(jù)染毒的狀態(tài)信息。
步驟1104��、 P-GW中的PCEF模塊向服務(wù)網(wǎng)關(guān)(S-GW)發(fā)送刪除承載請 求(Delete Bearer Request )��,在該刪除承載請求(Delete Bearer Request ) 中攜帶會話數(shù)據(jù)染毒的狀態(tài)信息��,以及PCRF選擇的去激活處理方式信息�����。
步驟1105����、 S-GW將接收到的刪除承載請求(Delete Bearer Request ) 轉(zhuǎn)發(fā)給移動管理單元(MME)或SGSN。
步驟1106���、MME或SGSN向UE發(fā)送去激活承載^青求(Deactivate Bearer Request)����, 在該去激活承載請求(Deactivate Bearer Request)中攜帶 有會話數(shù)據(jù)染毒的狀態(tài)信息��。
步驟1107�、UE向MME或SGSN返回去激活承載響應(yīng)(Deactivate Bearer Response),完成只于會i舌的去^t活���。
步驟1108����、 MME或SGSN向S-GW發(fā)送刪除承載響應(yīng)(Delete Bearer Response)��。
步驟1109����、 S-GW將接收到的刪除承載響應(yīng)(Delete Bearer Response) 轉(zhuǎn)發(fā)給P-GW中的PCEF模塊。
步驟1110�����、P-GW中的PCEF模塊發(fā)送IP-CAN會話修改(IP-CAN Session Modification)���。如圖16所示為本發(fā)明惡意流量處理方法實施例十二流程圖���,在實施
例十二中��,在P-GW中的PCEF模塊中實現(xiàn)染毒檢測單元的功能����,在PCRF 模塊中實現(xiàn)染毒處理單元的功能���,即染毒檢測單元設(shè)置在PCEF模塊中����, 染毒處理單元設(shè)置在PCRF模塊中����,該流程包括
步驟1201、 P-GW中的PCEF模塊中的染毒檢測單元檢測流經(jīng)自身的會 話數(shù)據(jù)中是否包含惡意流量�。
步驟1202、如果P-GW中的PCEF模塊中的染毒檢測單元檢測到流經(jīng)自 身的會話數(shù)據(jù)中包含惡意流量���,則P-GW中的PCEF模塊中的染毒檢測單元 向PCRF沖莫塊發(fā)送病毒通知消息(Virus Notification)�����。
步驟1203��、在收到病毒通知消息(Virus Notification)后�,PCRF 模塊中的染毒處理單元可以選擇對會話進行降速處理,具體地�,PCRF模塊 中的染毒處理單元可以將所選擇的降速處理方式通過IP-CAN會話修改消 息(IP-CAN Session Modification) 發(fā)送給P-GW中的PCEF模塊���,并且 在該IP-CAN會話修改消息中攜帶會話數(shù)據(jù)染毒的狀態(tài)信息�。
步驟1204�����、 P-GW中的PCEF才莫塊向S-GW發(fā)送更新承載請求(Update Bearer Request)�����, 在該更新承載請求(Update Bearer Request)中攜 帶會話數(shù)據(jù)染毒的狀態(tài)信息���,以及PCRF選擇的降速處理方式信息���。
步驟1205、 S-GW將接收到的更新承載請求(Update Bearer Request ) 轉(zhuǎn)發(fā)給MME或SGSN�����。
步驟1206、 MME或SGSN向UE發(fā)送修改承載請求(Modify Bearer Request)���,在該修改承載請求(Modify Bearer Request)中攜帶有會話 數(shù)據(jù)染毒的狀態(tài)信息��,通過該修改承載請求(Modify Bearer Request) 將會話的速率降低到一個值A(chǔ)����。
步驟1207��、 UE向MME或SGSN返回l'務(wù)改承載響應(yīng)(Modify Bearer Response),完成對會話的降速操作����。
步驟1208、 MME或SGSN向S-GW發(fā)送更新承載響應(yīng)(Update BearerResponse )�����。
步驟1209����、 S-GW將接收到的更新承載響應(yīng)(Update Bearer Response ) 轉(zhuǎn)發(fā)給P-GW中的PCEF模塊。
步驟1210、P-GW中的PCEF模塊發(fā)送IP-CAN會話修改(IP-CAN Session Modif ication )�����。
如果P-GW中的PCEF模塊中的染毒檢測單元檢測到流經(jīng)自身的會話數(shù) 據(jù)中的惡意流量已經(jīng)消除����,則P-GW中的PCEF模塊中的染毒檢測單元需要 向PCRF模塊中染毒處理單元發(fā)送病毒清除通知(Virus Cleanup Notification),通知PCRF中的染毒處理單元惡意流量已經(jīng)消除�����,然后 PCRF中的染毒處理單元將之前經(jīng)過降速的會話速率進行恢復(fù)�。具體地���, P-GW中的PCEF模塊向S-GW發(fā)送更新承載請求(Update Bearer Request )�, 在該更新承載i貪求(Update Bearer Request)中攜帶有會話數(shù)據(jù)中惡意 流量已經(jīng)消除的信息���,以及要求將會話速率恢復(fù)的信息�����,然后S-GW將更 新承載請求(Update Bearer Request)轉(zhuǎn)發(fā)纟合MME或SGSN �, MME或SGSN 向UE發(fā)送修改承載請求(Modify Bearer Request),要求將會話速率恢 復(fù)��,并通知UE會話數(shù)據(jù)中的惡意流量已經(jīng)消除���。
在檢測到會話數(shù)據(jù)中的惡意流量消除之前����,PCRF模塊不允許網(wǎng)絡(luò)中的 其他網(wǎng)元觸發(fā)的提高會話速率的操作�����。
如圖17所示為本發(fā)明惡意流量處理方法實施例十三流程圖�����,在實施 例十三中����,在P-GW中的PCEF模塊中實現(xiàn)染毒檢測單元的功能,在PCRF 模塊中實現(xiàn)染毒通知單元的功能��,該流程包括
步驟1301�、 P-GW中的PCEF模塊中的染毒檢測單元檢測流經(jīng)自身的會 話數(shù)據(jù)中是否包含惡意流量。
步驟1302��、如果P-GW中的PCEF模塊中的染毒檢測單元檢測到流經(jīng)自 身的會話數(shù)據(jù)中包含惡意流量,則P-GW中的PCEF模塊中的染毒檢測單元 向PCRF模塊發(fā)送病毒通知消息(Virus Notification)�����。步驟1303�����、在收到病毒通知消息(Virus Notification)后���,PCRF 模塊中的染毒處理單元將IP-CAN會話修改消息(IP-CAN Session Modification)發(fā)送給P-GW中的PCEF模塊��,并且在該IP-CAN會話々斧改
消息中攜帶會話數(shù)據(jù)染毒的狀態(tài)信息���。
步驟1304����、 P-GW中的PCEF模塊向S-GW發(fā)送更新承載請求(Update Bearer Request), 在該更新承載請求(Update Bearer Request)中攜 帶會話數(shù)據(jù)染毒的狀態(tài)信息。
步驟1305����、 S-GW將接收到的更新承載請求(Update Bearer Request ) 轉(zhuǎn)發(fā)給MME或SGSN。
步驟1 306�����、 MME或SGSN向UE發(fā)送修改承栽請求(Modify Bearer Request),在該修改承載請求(Modify Bearer Request)中攜帶有會話 數(shù)據(jù)染毒的狀態(tài)信息。
U E在收到會話數(shù)據(jù)染毒的狀態(tài)信息之后可以進行消除惡意流量的操作��。
如果P-GW中的PCEF模塊中的染毒檢測單元檢測到流經(jīng)自身的會話數(shù) 據(jù)中的惡意流量已經(jīng)消除����,則P-GW中的PCEF模塊中的染毒檢測單元需要 向PCRF模塊中的染毒處理單元發(fā)送病毒清除通知(Virus Cleanup Notification),通知PCRF ^^莫塊中的染毒處理單元惡意流量已經(jīng)消除�����, 然后PCRF模塊中的染毒處理單元將之前經(jīng)過降速的會話速率進行恢復(fù)�����。 具體地����,P-GW中的PCEF模塊向S-GW發(fā)送更新承載請求(Update Bearer Request),在該更新承載請求(Update Bearer Request)中攜帶有會話 數(shù)據(jù)中惡意流量已經(jīng)消除的信息,然后S-GW將更新承栽請求(Update Bearer Request )轉(zhuǎn)發(fā)給MME或SGSN���, MME或SGSN向UE發(fā)送修改承載請 求(Modify Bearer Request),通知UE會話數(shù)據(jù)中的惡意流量已經(jīng)消除��。
對于如圖14所示的網(wǎng)絡(luò)架構(gòu)�����,如果PCEF模塊設(shè)置在P-GW中��,則可 以在P-GW中的PCEF模塊來實現(xiàn)染毒檢測單元的功能����,在AF模塊中實現(xiàn)染毒處理單元的功能,具體的實現(xiàn)方式與實施例十類似�����,此處不再贅述�。 如圖18所示為本發(fā)明惡意流量處理系統(tǒng)實施例結(jié)構(gòu)示意圖,該系統(tǒng)
用于移動通信網(wǎng)絡(luò)����,包括染毒檢測單元11和染毒處理單元12。染毒斗全 測單元11檢測經(jīng)過自身的會話數(shù)據(jù)中是否包含惡意流量��,如果染毒檢測 單元11檢測到經(jīng)過自身的會話數(shù)據(jù)中包含惡意流量�����,則染毒檢測單元發(fā) 送通知消息給染毒處理單元12,通知染毒處理單元12會話數(shù)據(jù)染毒的狀 態(tài)信息���,染毒處理單元12將會話數(shù)據(jù)染毒的狀態(tài)信息發(fā)送給用戶終端�����; 或者染毒處理單元12將會話數(shù)據(jù)染毒的狀態(tài)信息發(fā)送給用戶終端同時將 包含有惡意流量的會話數(shù)據(jù)涉及到的會話進行去激活或降速處理�����。
染毒處理單元12還可以將接收到的會話數(shù)據(jù)染毒的狀態(tài)信息進行記錄�����。
如果染毒檢測單元11檢測到會話數(shù)據(jù)中的惡意流量已經(jīng)被消除時�����, 染毒檢測單元11將會話數(shù)據(jù)中惡意流量已經(jīng)被消除的信息發(fā)送給用戶終 端�����,并清除所記錄的所述會話數(shù)據(jù)染毒的狀態(tài)信息��;或者
當染毒檢測單元11檢測到會話數(shù)據(jù)中的惡意流量已經(jīng)被消除時���,將 會話數(shù)據(jù)中惡意流量已經(jīng)被消除的信息發(fā)送給所述用戶終端���,并將包含有 惡意流量的會話數(shù)據(jù)涉及到的會話的速度恢復(fù),并清除所記錄的會話數(shù)據(jù) 染毒的狀態(tài)信息��。
對于圖18中涉及到的各個單元����,可以通過移動通信網(wǎng)絡(luò)中的網(wǎng)絡(luò)實 體來實現(xiàn),具體如下
(1 )染毒檢測單元和染毒處理單元設(shè)置在SGSN中����;或者 (2)染毒檢測單元和染毒處理單元設(shè)置在GGSN中;或者 (3 )染毒檢測單元設(shè)置在SGSN或GGSN中����,染毒處理單元設(shè)置在HLR
中;或者
(4)染毒檢測單元設(shè)置在GGSN中���,染毒處理單元設(shè)置在SGSN中��;
或者(5)染毒檢測單元設(shè)置在SGSN中�,染毒處理單元設(shè)置在SGSN中�;
或者
(6 )染毒檢測單元設(shè)置在GGSN的PCEF模塊中�����,染毒處理單元設(shè)置 在PCRF模塊中;或者
(7 )染毒檢測單元設(shè)置在GGSN的PCEF模塊中�,染毒處理單元設(shè)置 在AF模塊中;或者
(8 )染毒檢測單元設(shè)置在P-GW的PCEF模塊中��,染毒處理單元設(shè)置 在PCRF模塊中����;或者
(9 )染毒檢測單元設(shè)置在P-GW的PCEF模塊中,染毒處理單元設(shè)置 在AF中模塊�����。
本領(lǐng)域普通技術(shù)人員可以理解實現(xiàn)上述方法實施例的全部或部分步驟 可以通過程序指令相關(guān)的硬件來完成�,前迷的程序可以存儲于一計算機可讀 取存儲介質(zhì)中,該程序在執(zhí)行時�����,執(zhí)行包括上述方法實施例的步驟���;而前述 的存儲介質(zhì)包括R0M���、 RAM����、磁碟或者光盤等各種可以存儲程序代碼的介質(zhì)�。
最后應(yīng)說明的是:以上實施例僅用以說明本發(fā)明的4支術(shù)方案,而非對其 限制�;盡管參照前述實施例對本發(fā)明進行了詳細的說明,本領(lǐng)域的普通技術(shù) 人員應(yīng)當理解其依然可以對前述各實施例所記載的技術(shù)方案進行修改�����,或 者對其中部分技術(shù)特征進行等同替換����;而這些修改或者替換,并不使相應(yīng)技
術(shù)方案的本質(zhì)脫離本發(fā)明各實施例技術(shù)方案的精神和范圍�。
權(quán)利要求
1、一種惡意流量處理方法���,其特征在于����,所述惡意流量處理方法用于移動通信網(wǎng)絡(luò)�����,包括染毒檢測單元檢測經(jīng)過自身的會話數(shù)據(jù)是否包含惡意流量,如果經(jīng)過自身的會話數(shù)據(jù)包含惡意流量�����,則所述染毒檢測單元發(fā)送通知消息給染毒處理單元��,通知染毒處理單元所述會話數(shù)據(jù)染毒的狀態(tài)信息�����;所述染毒處理單元將會話數(shù)據(jù)染毒的狀態(tài)信息發(fā)送給用戶終端�。
2���、 根據(jù)權(quán)利要求1所述的惡意流量處理方法�����,其特征在于���,還包括 所述染毒處理單元在將會話數(shù)據(jù)染毒的狀態(tài)信息發(fā)送給用戶終端的同時 將包含有惡意流量的會話數(shù)據(jù)涉及到的會話進行去激活或降速處理。
3�、 根據(jù)權(quán)利要求1所述的惡意流量處理方法,其特征在于,還包括 所述染毒處理單元記錄所述會話數(shù)據(jù)染毒的狀態(tài)信息��。
4�����、 根據(jù)權(quán)利要求2所述的惡意流量處理方法���,其特征在于��,還包括 所述染毒處理單元記錄所述會話數(shù)據(jù)染毒的狀態(tài)信息���。
5、 根據(jù)權(quán)利要求3所述的惡意流量處理方法�����,其特征在于�,還包括 如果所述染毒檢測單元檢測到所述會話數(shù)據(jù)中的惡意流量已經(jīng)被消除,所 述染毒檢測單元將會話數(shù)據(jù)中惡意流量已經(jīng)被消除的信息發(fā)送給所述染 毒處理單元�,所述染毒處理單元將會話數(shù)據(jù)中惡意流量已經(jīng)被消除的信息 發(fā)送給所述用戶終端,并清除所記錄的所述會話數(shù)據(jù)染毒的狀態(tài)信息����。
6��、 根據(jù)權(quán)利要求4所述的惡意流量處理方法��,其特征在于�,還包括 如果所述染毒檢測單元檢測到所述會話數(shù)據(jù)中的惡意流量已經(jīng)被;肖除�,所述染毒處理單元將會話數(shù)據(jù)中惡意流量已經(jīng)被消除的信息發(fā)送給所 述用戶終端,并將包含有惡意流量的會話數(shù)據(jù)涉及到的會話的速度恢復(fù)���, 并清除所記錄的所述會話數(shù)據(jù)染毒的狀態(tài)信息。
7����、 根據(jù)權(quán)利要求5或6所述的惡意流量處理方法,其特征在于����,當 獲取到會話數(shù)據(jù)染毒的狀態(tài)信息時,所述染毒檢測單元或染毒處理單元還執(zhí)行如下操作中的至少 一種(1) 限制所述用戶終端的訪問范圍����;(2) 限制所述用戶終端的傳輸控制協(xié)議連接次數(shù),或?qū)λ鲇脩艚K 端的網(wǎng)絡(luò)控制消息協(xié)議報文個數(shù)進行流量控制��;(3) 發(fā)出告警或呼叫日志來通知設(shè)備維護人員惡意流量的來源或惡 意流量的類型�����。
8、 根據(jù)權(quán)利要求7所述的惡意流量處理方法���,其特征在于�����,當染毒 檢測單元或染毒處理單元獲取到會話數(shù)據(jù)中的惡意流量已經(jīng)被消除的信 息時����,所述染毒檢測單元或染毒處理單元還執(zhí)行如下操作中的至少一種取消對用戶終端訪問范圍的限制的操作��;取消對用戶終端傳輸控制協(xié)議連接次數(shù)的限制���,或取消對用戶終端的 網(wǎng)絡(luò)控制消息協(xié)議報文個數(shù)的流量控制����;發(fā)出告警或呼叫日志來通知設(shè)備維護人員惡意流量已經(jīng)被消除的信自��、
9���、 根據(jù)權(quán)利要求1-6中任意權(quán)利要求所述的惡意流量處理方法�����,其 特征在于��,所述染毒檢測單元和染毒處理單元設(shè)置在服務(wù)GPRS支持節(jié)點(SGSN) 中��;或者所述染毒檢測單元和染毒處理單元設(shè)置在網(wǎng)關(guān)GPRS支持節(jié)點(GGSN) 中���;或者所述染毒檢測單元設(shè)置在SGSN或GGSN中�����,所述染毒處理單元設(shè)置在 位置歸屬寄存器(HLR)中;或者所述染毒檢測單元設(shè)置在GGSN中����,所述染毒處理單元設(shè)置在SGSN中;或者所述染毒檢測單元設(shè)置在SGSN中���,所述染毒處理單元設(shè)置在SGSN中��;或者所述染毒檢測單元設(shè)置在GGSN的策略計費執(zhí)行功能(PCEF)模塊中�, 所述染毒處理單元設(shè)置在策略計費規(guī)則功能(PCRF)模塊中�����;或者所述染毒檢測單元設(shè)置在GGSN的PCEF模塊中,所述染毒處理單元設(shè) 置在應(yīng)用功能(AF)模塊中���;或者所述染毒檢測單元設(shè)置在分組數(shù)據(jù)網(wǎng)網(wǎng)關(guān)(P-GW)的PCEF模塊中���, 所述染毒處理單元設(shè)置在PCRF模塊中;或者所述染毒檢測單元設(shè)置在P-GW的PCEF模塊中�,所述染毒處理單元設(shè) 置在AF模塊中。
10����、 根據(jù)權(quán)利要求3或4所述的惡意流量處理方法,其特征在于���,所 述染毒處理單元設(shè)置在服務(wù)GPRS支持節(jié)點(SGSN)中���,如果所述用戶終 端從一個SGSN遷移到了另 一個SGSN,所述方法還包括遷移之前的SGSN中的染毒處理單元將記錄的會話數(shù)據(jù)染毒的狀態(tài)信 息發(fā)送給遷移之后的SGSN中的染毒處理單元�����。
11�����、 一種惡意流量處理系統(tǒng),其特征在于�,所述惡意流量處理系統(tǒng)用 于移動通信網(wǎng)絡(luò),包括染毒檢測單元��,用于檢測經(jīng)過自身的會話數(shù)據(jù)中是否包含惡意流量����; 染毒處理單元,用于接收所述染毒檢測單元發(fā)送的會話數(shù)據(jù)染毒的狀態(tài)信息����,在接收到所述染毒檢測單元發(fā)送的會話數(shù)據(jù)染毒的狀態(tài)信息后,將會話數(shù)據(jù)染毒的狀態(tài)信息發(fā)送給用戶終端��。
12����、 根據(jù)權(quán)利要求11所述的惡意流量處理系統(tǒng)�,其特征在于, 所述染毒處理單元還用于在將會話數(shù)據(jù)染毒的狀態(tài)信息發(fā)送給用戶終端的同時將包含有惡意流量的會話數(shù)據(jù)涉及S 'j的會話進行去激活或降 速處理�����。
13、 根據(jù)權(quán)利要求11所述的惡意流量處理系統(tǒng)���,其特征在于�����,所述 染毒處理單元還用于記錄所述會話數(shù)據(jù)染毒的狀態(tài)信息����。
14�����、 根據(jù)權(quán)利要求12所述的惡意流量處理系統(tǒng)����,其特征在于,所述染毒處理單元還用于記錄所述會話數(shù)據(jù)染毒的狀態(tài)信息����。
15、 根據(jù)權(quán)利要求13所述的惡意流量處理系統(tǒng)�����,其特征在于,所述 染毒處理單元還用于當所述染毒檢測單元檢測到所述會話數(shù)據(jù)中的惡意 流量已經(jīng)被消除時�,將會話數(shù)據(jù)中惡意流量已經(jīng)被消除的信息發(fā)送給所述 用戶終端,并清除所記錄的所述會話數(shù)據(jù)染毒的狀態(tài)信息����。
16、 根據(jù)權(quán)利要求14所述的惡意流量處理系統(tǒng)����,其特征在于, 所述染毒處理單元還用于當所述染毒檢測單元檢測到所述會話數(shù)據(jù)中的惡意流量已經(jīng)被消除時��,將會話數(shù)據(jù)中惡意流量已經(jīng)被消除的信息發(fā) 送給所述用戶終端����,并將包含有惡意流量的會話數(shù)據(jù)涉及到的會話的速度 恢復(fù),并清除所記錄的所述會話數(shù)據(jù)染毒的狀態(tài)信息�����。
17�����、 根據(jù)權(quán)利要求11-16中任意權(quán)利要求所述的惡意流量處理系統(tǒng)���,其特征在于���,所述染毒檢測單元和染毒處理單元設(shè)置在服務(wù)GPRS支持節(jié)點(SGSN)中;或者所述染毒檢測單元和染毒處理單元設(shè)置在網(wǎng)關(guān)GPRS支持節(jié)點(GGSN) 中�����;或者所述染毒檢測單元設(shè)置在SGSN或GGSN中��,所述染毒處理單元設(shè)置在 位置歸屬寄存器(HLR)中�;或者所述染毒檢測單元設(shè)置在GGSN中,所述染毒處理單元設(shè)置在SGSN中�;或者所述染毒檢測單元設(shè)置在SGSN中,所述染毒處理單元設(shè)置在SGSN中����;或者所述染毒檢測單元設(shè)置在GGSN的策略計費執(zhí)行功能(PCEF)模塊中, 所述染毒處理單元設(shè)置在策略計費規(guī)則功能(PCRF)模塊中��;或者所述染毒檢測單元設(shè)置在GGSN的PCEF模塊中�����,所述染毒處理單元設(shè) 置在應(yīng)用功能(AF)模塊中;或者所述染毒檢測單元設(shè)置在分組數(shù)據(jù)網(wǎng)網(wǎng)關(guān)(P-GW)的PCEF模塊中��,所述染毒處理單元設(shè)置在PCRF模塊中��;或者所述染毒檢測單元設(shè)置在P-GW的PCEF模塊中����,所述染毒處理單元設(shè) 置在AF模塊中。
全文摘要
本發(fā)明涉及一種惡意流量處理方法及系統(tǒng)�,其中本發(fā)明實施例提供的方法包括染毒檢測單元檢測經(jīng)過自身的會話數(shù)據(jù)是否包含惡意流量,如果經(jīng)過自身的會話數(shù)據(jù)包含惡意流量�����,則所述染毒檢測單元發(fā)送通知消息給染毒處理單元�����,通知染毒處理單元所述會話數(shù)據(jù)染毒的狀態(tài)信息��;所述染毒處理單元將會話數(shù)據(jù)染毒的狀態(tài)信息發(fā)送給用戶終端��。本發(fā)明實施例提供的惡意流量處理方法及系統(tǒng)���,在檢測到移動通信網(wǎng)絡(luò)中的會話數(shù)據(jù)中包括惡意流量時����,及時通知用戶終端�,這樣用戶終端就可以及時發(fā)起消除惡意流量的操作,可以改善用戶體驗���。
文檔編號H04W12/08GK101437230SQ20081024028
公開日2009年5月20日 申請日期2008年12月22日 優(yōu)先權(quán)日2008年12月22日
發(fā)明者靖 陳 申請人:華為技術(shù)有限公司