[发明专利]一种对恶意攻击流量的处理方法及相关服务器

说明书

本发明公开了一种对恶意攻击流量的处理方法，包括：获取日志信息，所述日志信息包括流量清洗设备的流量清洗日志信息和远程用户拨号认证服务器的话单日志信息；对所述流量清洗日志信息中的第一记录消息与所述话单日志信息中的第二记录消息进行匹配，确定异常用户信息；发送包括所述异常用户信息的控制信息至远程用户拨号认证服务器，供所述远程用户拨号认证服务器限制所述异常用户信息对应的异常用户的上行传输数据。本发明还同时公开了一种流量分析服务器和远程用户拨号认证服务器。

技术领域

本发明涉及宽带业务领域，尤其涉及一种对恶意攻击流量的处理方法、流量分析服务器和远程用户拨号认证服务器(Radius，Remote Authentication Dial In UserService)。

背景技术

宽带业务是基础通信公司为用户提供的高速访问互联网的接入业务，用户可以通过非对称数字用户线路(ADSL，Asymmetric Digital Subscriber Line)或光纤接入互联网，实现高速的上网冲浪。由于“宽带中国”战略实施方案的实施，使得城市和农村的家庭宽带的接入能力分别逐步达到20Mbps和4Mbps，部分发达城市已经达到100Mbps。而随着宽带接入标准的调高和互联网用户数量的增多，给黑客利用分布式拒绝服务(DDoS，Distributed Denial of Service)进行攻击提供了有利环境，黑客可以通过控制与以往相比一样数量的家庭宽带用户的僵尸主机来制造更多的恶意攻击流量，而大流量的恶意攻击会拥塞网络带宽，抢占网络设备的处理能力，使网络带宽的整体利用率降低，从而会威胁到多种业务。例如，在2015年，中国移动互联网(CMNET，China Mobile Network)的网间DDoS的恶意攻击流量呈现一个全面爆发的趋势，直接导致晚忙时单电路的丢包率超过40％，从而影响了各类业务的实施，引发了客户的投诉。

针对骨干网、城域网中这种大面积的DDoS恶意流量的攻击，当前基础电信运营商一般会采用两种方式进行处理：一种方式是人工方式，即在DDoS恶意流量的攻击发生后，首先通过网管系统观察流量的激增情况，手工提取各类系统中关于流量的原始日志，人工分析DDoS恶意流量的来源，然后通过人工方式对网络设备中的路由策略进行修改，以此来达到对攻击源的IP地址进行封堵的目的；另一种方式是在自己的骨干网和城域网中部署流量清洗系统，利用流量清洗系统，通过流量检测、流量牵引、流量清洗以及流量回注等步骤来实现流量清洗。

另外，针对常用的流量清洗系统，现有部署方式也有两种：一种是对末端进行流量清洗的防护方法，通过在靠近被保护目标的地方部署专用的流量清洗设备来进行防御；另一种是对源端进行流量清洗的防护方法，恶意攻击流量汇聚前，在靠近攻击源的多个骨干网节点处对流量进行分布式清洗。

针对上面提到的DDoS的恶意攻击流量的人工处理方式，要求运营商的维护人员在流量攻击发生后，能迅速从各类系统的日志中手工分析出DDoS的恶意攻击流量的来源，以此来封堵攻击源的IP地址；这就要求维护人员具备相当安全事件的处理经验和设备维护经验，因此，该种方式对维护人员的技能要求比较高，响应速度受到维护人员经验的限制，同时还无法实现对动态攻击源的IP地址的处理。

针对采用源端清洗的防护方式部署流量清洗设备，此种部署方式的特点是单点防御，只能为本地所保护的系统或设备提供清洗防护，而且防御能力十分有限，对于大规模、超大规模的DDoS的攻击无法进行防护，并且无法从源头上对DDoS的恶意攻击流量进行抑制，因此，在发生大规模的流量攻击后容易造成被保护目标所在网络的拥塞或瘫痪；针对采用源端清洗的防护方式部署流量清洗设备，由于此种部署方式的特点主要是对骨干网节点进行清洗，因此，对于城域网内宽带用户和互联网数据中心(IDC，Internet Data Center)等内部网的相互攻击则难以防御；同时，由于清洗系统的部署层面较高，难以部署精细化的防护策略，因此，也无法从源头上对DDoS的恶意攻击流量进行抑制。

可见，为了克服现有的流量清洗方式无法从源头上对DDoS的恶意攻击流量进行有效抑制的缺陷，亟需寻找一种对恶意攻击流量的处理方案。

发明内容