[发明专利]一种攻击处理方法、设备及系统

说明书

技术领域

本发明实施例涉及通信技术领域，尤其涉及一种攻击处理方法、设备及系统。

背景技术

随着网络技术的飞速发展，提高网络安全性，防止网络被恶意攻击变得越来越重要。现有技术中，防火墙作为内部网络与外部互联网之间的安全网关，起着防止内部网络中的网元被外部用户非法攻击的作用。在内部网络与外部互联网进行通信时，防火墙根据管理员配置的安全策略，允许安全策略中规定的安全数据流通过安全网关，禁止安全策略中规定的攻击数据流通过安全网关。

在上述防火墙攻击处理机制中，由于安全策略通常是管理员凭经验预先配置的，且非法攻击通常是突发性并且难以预测的，因而容易使得人工预先配置的安全策略不准确。而一旦安全策略配置失误，将会导致误操作，使得被保护网络受到安全攻击，或者正常数据流被阻断。

发明内容

本发明实施例提供一种攻击处理方法、设备及系统，能够解决由于现有攻击处理机制容易出现误操作，从而使得网络容易受到安全攻击或者正常数据流被阻断的问题。

为达到上述目的，本发明的实施例采用如下技术方案：

第一方面，提供一种攻击处理方法，包括：业务网元接收数据流，若确定数据流为攻击流，则将攻击流对应的攻击信息发送给策略控制设备，且攻击信息包括攻击流的流描述信息和攻击流所属的攻击类型；策 略控制设备根据攻击类型确定对应的流控制策略，将攻击流的流描述信息和流控制策略发送给SDN控制器；SDN控制器根据流控制策略，对符合攻击流的流描述信息的数据流进行处理。

第二方面，提供一种策略控制设备，包括：接收单元，用于接收业务网元发送的攻击流对应的攻击信息，且攻击信息包括攻击流的流描述信息和攻击流所属的攻击类型；确定单元，用于确定接收单元接收的攻击类型对应的流控制策略，且流控制策略包括流处理策略和执行策略；发送单元，用于将接收单元接收的攻击流的流描述信息和确定单元确定的流控制策略发送给软件定义网络SDN控制器，以便于所述SDN控制器根据所述流控制策略，对符合所述攻击流的流描述信息的数据流进行处理。

第三方面，提供一种软件定义网络SDN控制器，包括：接收单元，用于接收策略控制设备发送的攻击流的流描述信息和流控制策略，且流控制策略包括流处理策略和执行策略；处理单元，用于根据接收单元接收的流控制策略，对符合接收单元接收的攻击流的流描述信息的数据流进行处理。

第四方面，提供一种业务网元，包括：接收单元，用于接收数据流；确定单元，用于确定接收单元接收的数据流是否为攻击流；发送单元，用于在确定单元确定数据流为攻击流时，将攻击流对应的攻击信息发送给策略控制设备，且攻击信息包括攻击流的流描述信息和攻击流所属的攻击类型。

这样，可以通过业务网元自动识别网络中的攻击流，并将已识别的攻击流的流描述信息和攻击类型上报给策略控制设备，策略控制设备自动生成与攻击类型对应的流控制策略，并将攻击流的流描述信息和流控制策略发送给SDN控制器，SDN控制器根据流控制策略对符合攻击流的流描述信息的数据流进行处理，从而可以从IP层转发面阻断攻击流，达到保护SDN控制器后端网络及后端网元的目的，可以避免由于人工预先设置安全策略容易出现误操作而导致的安全问题。

结合上述任一方面，在上述任一方面的第一种可能的实现方式中，攻击流包括网络层攻击流或业务层攻击流。

结合上述任一方面至上述任一方面的第一种可能的实现方式，在上述任一方面的第二种可能的实现方式中，攻击流的流描述信息至少包括攻击流的源网络协议IP地址，还包括以下至少一项：所述攻击流的目的IP地址、源端口、目的端口和传输层协议号。

结合第一方面至第一方面的第二种可能的实现方式，在第一方面的第三种可能的实现方式中，业务网元确定数据流为业务层攻击流包括：若通过解析所述数据流中的信令消息和媒体信息，确定所述数据流影响到业务层面受保护对象的安全性，则确定所述数据流为业务层攻击流，所述业务层面包括控制面、用户面和管理面。

结合第四方面至第四方面的第二种可能的实现方式，在第四方面的第三种可能的实现方式中，确定单元具体用于，若通过解析所述数据流中的信令消息和媒体信息，确定所述数据流影响到业务层面受保护对象的安全性，则确定所述数据流为业务层攻击流，所述业务层面包括控制面、用户面和管理面。

这样，由于业务网元可以触及信令层面和媒体数据层面，因而业务网元可以通过解析数据流中的信令消息和媒体信息，分析业务层面受保护的对象的安全性是否受到威胁，从而在受到威胁时确定接收到的数据流为攻击流。