[发明专利]用于点对点隧道协议的入侵保护设备和入侵保护方法

说明书

技术领域

本发明涉及移动通信网络中的点对点隧道协议，尤其涉及用于监测和阻断移动通信终端之间传输的隧道分组数据的异常流量的入侵保护设备和入侵保护方法。

背景技术

IP(互联网协议)数据网络安全系统中的入侵保护系统(IPS)与用于识别潜在攻击并立即响应攻击的网络安全技术的预警方法相似。IPS以与入侵检测系统(IDS)相同的方式监测网络流量。

一旦攻击者获得进入系统内部的授权，他/她可以快速地恶意使用系统，这样IPS应当能够基于管理员设定的一系列规则做出迅速行动。为此目的，IPS检验分组，当分组被判断为非法分组时阻断所有通过相应IP或者端口进入的流量，而向接收机传输合法流量则不会有任何的中断和服务延迟。

入侵保护系统(IPS)位于主干网交换机和主计算机之间，执行阻断异常IP分组数据的功能。在这种情况下，在接收终端和发送终端之间直接传输的点对点隧道分组数据不经过IP网络，因而易受到异常流量的攻击。

文件1(韩国公开的专利申请No.2006-118830)公开了信号分组控制装置和方法，所述装置和方法将异步移动通信网络(WCDMA)中SGSN(服务GPRS支持节点)和GGSN(网关GPRS支持节点)之间传输的分组数据分为信号分组和数据分组，根据来源划分信号分组并去除不必要的信号分组或有意信号分组，从而阻止恶意信号分组或异常状态的信号分组大量进入。

然而，文件1具有复杂的程序，例如将分组数据划分为信号分组和数据分组以及根据来源划分信号分组。而且，文件1将信号分组与数据分组或设定阈值进行比较以检测异常流量，因此难于监测和阻断各种恶意信息。

发明内容

技术问题

本发明的目的是提供移动通信网络的点对点隧道分组的入侵保护功能。

并且，本发明的另一目的实际上是将用于IP分组的恶意流量识别策略应用到移动通信网络的隧道分组。

此外，本发明的又一目的是引入适用于同步移动通信网络以及异步移动通信网络的入侵保护系统。

本发明的其他目的和有益效果将在下文描述，并通过本发明实施方式理解。并且，本发明的目的和有益效果可通过权利要求叙述的设备、方法及其结合实现。

技术方案

为实现上述目的，根据本发明一个方面的入侵保护设备设置在移动通信网络中，并被配置为实现用于移动通信终端之间点对点隧道分组协议的入侵保护功能。所述入侵保护设备包括：恢复装置，用于从移动通信终端之间传输的隧道分组数据中恢复IP分组数据；判别装置，用于判断IP分组数据是正常流量还是异常流量；丢弃装置，用于在IP分组数据被判断为是异常流量的情况下丢弃所述隧道分组数据。

并且，入侵保护设备还包括用于在IP分组数据被判别装置判断为是正常流量时将隧道分组数据传输至下一网络组件。

另外，所述入侵保护设备还可包括恶意信息数据库，用于存储和管理多个异常流量样本信息，这样判别装置根据恶意信息数据库来判断IP分组数据是正常流量还是异常流量。

所述恢复装置包括：解封装装置，用于解封装隧道分组数据；以及合并装置，用于至少合并隧道分组数据的净负荷。并且，所述恢复装置还可以包括解压缩装置，用于解压缩隧道分组数据。

根据本发明另一方面，用于实现移动通信终端之间点对点隧道协议的分组数据传输系统包括：用于与接入网一起支持隧道分组协议的第一网络节点；用于支持与另外的分组交换网络连接的第二网络节点；以及介于第一网络节点和第二网络节点之间的入侵保护设备，用于将正在传输的隧道分组数据恢复为IP分组数据，并在所述恢复的IP分组数据是异常流量的情况下丢弃所述隧道分组数据。

此时，入侵保护设备包括恢复装置，用于从隧道分组数据中恢复IP分组数据；判别装置，用于判断IP分组数据是正常流量还是异常流量；以及丢弃装置，用于在IP分组数据被判断为是异常流量的情况下丢弃所述隧道分组数据。

并且，所述入侵保护设备还包括用于在IP分组数据被判别装置判断为是正常流量时将隧道分组数据传输至第一网络节点或第二网络节点的装置。

此时，第一网络节点是PCF(分组控制功能实体)或SGSN(服务GPRS支持节点)，以及第二网络节点是PDSN(分组数据服务节点)或GGSN(网关GPRS支持节点)。