專利名稱:惡意流量處理方法及系統(tǒng)的制作方法
技術領域:
本發(fā)明涉及移動通信技術,尤其涉及一種惡意流量處理方法及系統(tǒng)�。
背景技術:
在移動通信網絡中通常存在多種惡意流量,例如��,蠕蟲病毒��、拒絕服務
(Deny of Service,簡稱D0S)攻擊����、黑客攻擊等,如果在各個通信實體間 傳輸的數據中包含了這些惡意流量����,將會嚴重影響網絡中數據傳輸,甚至造 成網絡癱瘓,為用戶帶來不便��。
為了減少惡意流量對網絡的影響���,現(xiàn)有技術通過各種病毒檢測技術檢測 網絡中的數據流中是否包含惡意流量�����,然后將檢測到含有惡意流量的數據流 屏蔽或直接丟棄�����,而用戶并不知曉。
發(fā)明人在實現(xiàn)本發(fā)明的過程中發(fā)現(xiàn)這種處理惡意流量的方式存在的問 題在于��,如果將包含有惡意流量的數據直接丟棄或屏蔽�,可能會造成用戶無 法上網,而用戶并不清楚造成不能上網的原因是由于數據流中包括了惡意流 量����;并且,由于用戶不能夠及時獲知用戶終端(User Equipment,簡稱UE) 上數據流已經受到惡意流量的侵襲�����,所以用戶無法及時采取消除惡意流量的 行動,從而可能導致惡意流量侵襲范圍擴大�����,給用戶造成更大的影響��。
發(fā)明內容
本發(fā)明實施例針對現(xiàn)有技術中存在的問題�����,提供一種惡意流量處理方法 及系統(tǒng)���,能夠及時將會話數據染毒的狀態(tài)信息告知用戶終端����,使得用戶終端 可以及時執(zhí)行消除惡意流量的操作���,減小惡意流量對用戶終端的影響�����。
本發(fā)明實施例提供了 一種惡意流量處理方法���,所述惡意流量處理方法用于移動通信網絡�,包括
染毒檢測單元檢測經過自身的會話數據是否包含惡意流量���,如果經過 自身的會話數據包含惡意流量�����,則所述染毒檢測單元發(fā)送通知消息給染毒
處理單元���,通知染毒處理單元所述會話數據染毒的狀態(tài)信息;
所述染毒處理單元將會話數據染毒的狀態(tài)信息發(fā)送給用戶終端����。 本發(fā)明實施例還提供了 一種惡意流量處理系統(tǒng),所述惡意流量處理系
統(tǒng)用于移動通信網絡���,包括
染毒檢測單元,用于檢測經過自身的會話數據中是否包含惡意流量�; 染毒處理單元,用于接收所述染毒檢測單元發(fā)送的會話數據染毒的狀
態(tài)信息���,在接收到所述染毒檢測單元發(fā)送的會話數據染毒的狀態(tài)信息后��,
將會話數據染毒的狀態(tài)信息發(fā)送給用戶終端���。
本發(fā)明實施例提供的惡意流量處理方法及系統(tǒng)��,在檢測到移動通信網
絡中的會話數據中包括惡意流量時���,及時通知UE,這樣UE就可以及時發(fā)
起消除惡意流量的操作�。
下面通過附圖和實施例,對本發(fā)明的技術方案做進一步的詳細描述���。
圖1所示為本發(fā)明惡意流量處理方法流程圖2所示為本發(fā)明惡意流量處理方法實施例中涉及到的一種網絡架構 示意圖3所示為本發(fā)明惡意流量處理方法實施例一流程圖��; 圖4所示為本發(fā)明惡意流量處理方法實施例二流程圖����; 圖5所示為本發(fā)明惡意流量處理方法實施例三流程圖��; 圖6所示為本發(fā)明惡意流量處理方法實施例四流程圖��; 圖7所示為本發(fā)明惡意流量處理方法實施例五流程圖�; 圖8所示為本發(fā)明惡意流量處理方法實施例六流程圖;圖9所示為本發(fā)明惡意流量處理方法實施例七流程圖���; 圖10所示為本發(fā)明惡意流量處理方法實施例八流程圖���; 圖11所示為本發(fā)明惡意流量處理方法實施例中涉及到的另一種網絡 架構示意圖12所示為本發(fā)明惡意流量處理方法實施例九流程圖�; 圖13所示為本發(fā)明惡意流量處理方法實施例十流程圖����; 圖14所示為本發(fā)明惡意流量處理方法實施例中涉及到的再一種網絡 架構示意圖15所示為本發(fā)明惡意流量處理方法實施例十一流程圖; 圖16所示為本發(fā)明惡意流量處理方法實施例十二流程圖����; 圖17所示為本發(fā)明惡意流量處理方法實施例十三流程圖; 圖18所示為本發(fā)明惡意流量處理系統(tǒng)實施例結構示意圖���。
具體實施例方式
如圖1所示為本發(fā)明惡意流量處理方法流程圖��,該惡意流量處理方法應 用于移動通信領域�,包括
步驟1�、染毒檢測單元檢測經過自身的會話數據是否包含惡意流量, 如果經過自身的會話數據包含惡意流量��,則染毒檢測單元發(fā)送通知消息給 染毒處理單元�����,通知染毒處理單元所述會話數據染毒的狀態(tài)信息�;
步驟2、染毒處理單元將會話數據染毒的狀態(tài)信息發(fā)送給用戶終端�。
本發(fā)明實施例提供的惡意流量處理方法,在檢測到移動通信網絡中的 會話數據中包括惡意流量時����,及時通知UE,這樣UE就可以及時發(fā)起消除 惡意流量的操作。
為了防止惡意流量侵襲范圍的繼續(xù)擴大����,染毒處理單元還可以將染毒 的會話去激活,這樣即使由于該會話被去激活導致了 UE無法傳輸其他數 據�,UE側也可以知道是由于該會話數據染毒了 ,而不至于在毫不知情的情
9況下被中斷了與移動通信網絡的數據傳輸���。
或者��,在染毒檢測單元檢測到會話數據中包含惡意流量之后�,染毒處 理單元還可以將染毒的會話進行降速處理可以盡可能減小染毒的會話數 據進一步感染網絡中其他會話數據的可能性���,在UE進行了消除惡意流量 的操作之后�����,染毒4企測單元可以檢測之前染毒的會話數據中不再包含惡意 流量��,染毒處理單元可以將之前染毒的會話的速度恢復��。
染毒處理單元在接收到染毒檢測單元發(fā)送的會話數據染毒的狀態(tài)信 息后���,染毒處理單元還可以記錄會話數據染毒的狀態(tài)信息�,例如可以記錄 會話數據的標識�、惡意流量的類型、惡意流量的來源�����、染毒的程度等信息�,
然后再將會話數據染毒的狀態(tài)信息發(fā)送給UE。如果UE在接收到會話數據 染毒的狀態(tài)信息之后進行了消除惡意流量的操作����,那么染毒檢測單元后續(xù) 會檢測到之前染毒的會話數據中惡意流量已經被消除,這時染毒處理單元 可以刪除之前記錄的會話數據染毒的狀態(tài)信息��,并將會話數據中惡意流量 已被消除這一消息通知UE��。
染毒檢測單元或染毒處理單元在獲知會話數據中包含惡意流量的時 候���,除了進行前述的各項操作�,還可以執(zhí)行如下搡作中的至少一種
(1) 限制該用戶終端的訪問范圍�,例如限制用戶終端只能訪問配置 的地址或端口范圍;
(2) 限制用戶終端的傳輸控制協(xié)議(Transmission Control Protocol,簡稱TCP)連接次數����,或對用戶終端的網絡控制消息協(xié)議
(Internet Control Message Protocol,簡稱ICMP)才艮文個數進^^充量 控制;
(3) 發(fā)出告警或呼叫日志來通知設備維護人員惡意流量的來源或惡 意流量的類型�。
通過這三種方式中的一種就可以防止惡意流量的進一步侵襲。在UE 執(zhí)行消除惡意流量的操作之后��,染毒檢測單元或染毒處理單元在獲知會話數據中惡意流量已被消除的時候�����,還可以執(zhí)行如下操作中的至少 一種 (4 )取消對用戶終端訪問范圍的限制��;
(5)取消對用戶終端TCP連接次數的限制�,或取消對用戶終端的ICMP 報文個數的流量控制;
(6 )發(fā)出告警或呼叫日志來通知設備維護人員惡意流量已經消除�����。 (4) (5) (6)所提到的方式與(1) (2) ( 3)中提到的方式是對應的�����, 例如,如果之前執(zhí)行了方式(1),則后續(xù)需要執(zhí)行方式(4) ��。
(1) ~ (6)中所提的方式�,可以由網絡中的單個網元來實現(xiàn)。
在本發(fā)明實施例中����,染毒檢測單元和染毒處理單元都應當是移動通信 網絡中會話數據流經的網絡實體。
下面結合具體的網元實體來說明本發(fā)明移動通信網絡的惡意流量處 理方法實現(xiàn)過程�。
如圖2所示為本發(fā)明惡意流量處理方法實施例中涉及到的 一種網絡架 構示意圖。圖2所示的是不使用策略計費控制(Policy and Charging Control,簡稱PCC)架構的GPRS網絡或通用移動通信系統(tǒng)(Universal Mobile Telecommunication System,簡稱畫TS)網絡��,網關GPRS支持節(jié) 點(Gateway GPRS Support Node,筒稱GGSN)是GPRS/UMTS核心網絡的 設備���,主要完成分組數據報的路由與轉發(fā)���,完成GPRS/UMTS核心網絡與外 部分組數據網(Packet Data Networks,簡稱PDN)的連接;服務GPRS 支持節(jié)點(Serving GPRS Support Node,簡稱SGSN)是GPRS/UMTS核心 網絡設備��,主要完成分組數據報的路由與轉發(fā)�����、加密與鑒權、會話管理��、 移動性管理���、邏輯鏈路管理、話單產生和輸出等�����;通用陸地無線接入網 (Universal Terrestrial Radio Access Network,簡稱UTRAN)是UMTS 分組與無線接入網絡(Radio Access Network,簡稱RAN)設備��,主要完 成對用戶的無線資源管理和空口新領域數據的路由與轉發(fā)����;GSM基站子系 統(tǒng)(Base Station Subsystem,簡稱BSS )是GPRS的RAN設備,主要完成對用戶無線資源管理和空口信令與數據的路由和轉發(fā)��;UE是可移動的用戶
終端�����。在圖2所示的網絡中�,GGSN和SGSN等網絡實體可以主動發(fā)起流程 控制UE的行為。
具體到本發(fā)明實施例���,可以在GGSN中實現(xiàn)染毒檢測單元和染毒處理 單元的功能���,也可以在SGSN實現(xiàn)染毒檢測單元和染毒處理單元的功能�, 也可以在位置歸屬寄存器(Home Location Register,簡稱HLR )中實現(xiàn) 染毒處理單元的功能�����。
如圖3所示為本發(fā)明惡意流量處理方法實施例一流程圖��,在實施例一 中��,在SGSN中實現(xiàn)了染毒檢測單元和染毒處理單元的功能���,即�,染毒檢 測單元和染毒處理單元設置在SGSN中�����,該流程包括
步驟101����、 SGSN中的染毒檢測單元檢測流經自身的會話數據中是否包 含惡意流量;
步驟102��、如果SGSN中的染毒檢測單元檢測到流經自身的會話數據中 包含惡意流量,則染毒檢測單元將會話數據染毒的狀態(tài)信息發(fā)送給SGSN 中的染毒處理單元��,SGSN中的染毒處理單元發(fā)起去激活流程�,具體地, SGSN中的染毒處理單元向UE發(fā)送去激活PDP上下文請求(Deactivate PDP Context Request ),在該去激活PDP上下文請求(Deact ivate PDP Context Request)中攜帶有會話數據染毒的狀態(tài)信息�����,用于通知UE會話數據染毒 的狀態(tài)信息��;然后UE向SGSN發(fā)送去激活PDP上下文接受消息(Deactivate PDP Context Accept),完成只于會i舌的去;鼓活流禾呈���。
如圖4所示為本發(fā)明惡意流量處理方法實施例二流程圖,在實施例二 中�,在SGSN中實現(xiàn)了染毒檢測單元和染毒處理單元的功能,即���,染毒檢 測單元和染毒處理單元設置在SGSN中���,該流程包括
步驟201、 SGSN中的染毒檢測單元檢測流經自身的會話數據中是否包 含惡意流量�;
步驟202、如果SGSN中的染毒檢測單元4企測到流經自身的會話數據中包含惡意流量��,則染毒檢測單元將會話數據染毒的狀態(tài)信息發(fā)送給SGSN 中的染毒處理單元,SGSN中的染毒處理單元向UE發(fā)送修改PDP上下文請 求(Modify PDP Context Request)��,將染毒的會話的速率降低到一個值 A,該值A可以是一個固定值�,可以由運營商進行配置;在修改PDP上下 文請求(Modify PDP Context Request)中還攜帶有會話數據染毒的狀態(tài) 信息�。然后UE發(fā)送修改PDP上下文接受消息(Modify PDP Context Accept ), 完成對染毒的會話的降速處理�。
在步驟"2中,SGSN中的染毒處理單元在接收會話數據染毒的狀態(tài)信 息后���,可以將會話數據染毒的狀態(tài)信息進行記錄���。在完成步驟202之后, 如果SGSN中的染毒處理單元沒有對染毒的會話進行去激活處理�,則SGSN 中的染毒檢測單元仍然繼續(xù)檢測流經自身的會話數據中是否包含惡意流 量,如果UE對染毒的會話數據進行了惡意流量消除的處理�����,則SGSN中的 染毒檢測單元會檢測到流經自身的會話數據中的惡意流量已經消除��,這 時����,SGSN中的染毒處理單元可以通過向UE發(fā)送修改PDP上下文請求 (Modify PDP Context Request)來將之前經過降速處理的會話的速率恢 復���,并且在修改PDP上下文請求(Modify PDP Context Request)中攜帶 會話數據中惡意流量已經被消除的信息。并且���,SGSN中的染毒處理單元可 以清除之前記錄的會話數據染毒的狀態(tài)信息����。
在實施例二中�����,在檢測到流經自身的會話數據中的惡意流量被消除之 前��,SGSN不允許網絡中其他網元觸發(fā)的提高會話速率的操作����。
在檢測到流經自身的會話數據中的惡意流量被消除之前�,如果UE從 一個SGSN遷移到了另 一個SGSN,則遷移前的SGSN會將會話數據染毒的狀 態(tài)信息發(fā)送給遷移后的SGSN,防止遷移后的SGSN由于沒有獲知會話數據 染毒的狀態(tài)信息而重新為UE設置了較大的會話速率����,造成惡意流量侵襲 范圍增大。具體地���,遷移之前的SGSN中用于記錄會話數據染毒的狀態(tài)信 息的模塊將記錄的信息發(fā)送給遷移后的SGSN中用于記錄會話數據染毒的狀態(tài)信息的模塊�����。
如圖5所示為本發(fā)明惡意流量處理方法實施例三流程圖��,在SGSN中 實現(xiàn)了染毒檢測單元和染毒處理單元的功能�,即,染毒檢測單元和染毒處
理單元設置在SGSN中��,該流程包括
步驟301���、 SGSN中的染毒檢測單元檢測流經自身的會話數據中是否包 含惡意流量�����;
步驟302�、如果SGSN中的染毒檢測檢測到流經自身的會話數據中包含 惡意流量���,則染毒檢測單元將會話數據染毒的狀態(tài)信息發(fā)送給SGSN中的 染毒處理單元����,SGSN中的染毒處理單元向UE發(fā)送修改PDP上下文請求 (Modify PDP Context Request),在修改PDP上下文請求(Modify PDP Context Request)中攜帶有會話數據染毒的狀態(tài)信息��,用于將會話數據 染毒的狀態(tài)信息通知給UE。
如果UE進行了消除惡意流量的操作��,則SGSN中的染毒檢測單元會檢 測到流經自身的會話數據中的惡意流量已經消除�����,這時�,SGSN中的染毒處 理單元通過向UE發(fā)送修改PDP上下文請求(Modify PDP Context Request ), 在修改PDP上下文請求(Modify PDP Context Request)中攜帶會話數據 中惡意流量已經被消除的信息。并且SGSN中的染毒處理單元可以清除之 前記錄的會話數據染毒的狀態(tài)信息�����。
如圖6所示為本發(fā)明惡意流量處理方法實施例四流程圖���,在實施例四 中��,在GGSN中實現(xiàn)了染毒檢測單元和染毒處理單元的功能����,即�,染毒檢 測單元和染毒處理單元設置在GGSN中�����,該流程包括
步驟401、 GGSN中的染毒檢測單元檢測流經自身的會話數據中是否包 含惡意流量���;
步驟402�����、如果GGSN中的染毒檢測單元檢測到流經自身的會話數據中 包含惡意流量�,則染毒檢測單元將會話數據染毒的狀態(tài)信息發(fā)送給GGSN 中的染毒處理單元���,GGSN中的染毒處理單元向SGSN發(fā)送刪除PDP上下文
14請求(Delete PDP Context Request)����,在該刪除PDP上下文請求(Delete PDP Context Request)中攜帶會話數據染毒的狀態(tài)信息��,然后SGSN向UE發(fā)送 去激活PDP上下文請求(Deactivate PDP Context Request)��,用于將染 毒的會話去激活���,并且在去激活PDP上下文請求(Deactivate PDP Context Request)中攜帶會話數據染毒的狀態(tài)信息���,然后UE向SGSN發(fā)送去激活 PDP上下文^妾受消息(Deactivate PDP Context Accept),完成對會話的 去激活流程。SGSN在收到UE返回的去激活PDP上下文接受消息 (Deactivate PDP Context Accept)后,向GGSN中的染毒處理單元發(fā)送 刪除PDP上下文響應(Delete PDP Context Response)�����。
如圖7所示為本發(fā)明惡意流量處理方法實施例五流程圖����,在實施例五 中,在GGSN中實現(xiàn)了染毒檢測單元和和染毒處理單元的功能�����,即染毒檢 測單元和染毒處理單元設置在GGSN中�����,該流程包括
步驟501���、 GGSN中的染毒檢測單元檢測流經自身的會話數據中是否包 含惡意流量����;
步驟502�、如果GGSN中的染毒檢測單元檢測到流經自身的會話數據中 包含惡意流量���,則染毒檢測單元將會話數據染毒的狀態(tài)信息發(fā)送給GGSN 中的染毒處理單元�,GGSN中的染毒處理單元向SGSN發(fā)送更新PDP上下文 請求(Update PDP Context Request ),通過該更新PDP上下文請求(Update PDP Context Request ),要求將染毒的會話的速率降低到一個值A,并且 在該更新PDP上下文請求(Update PDP Context Request)中攜帶有會話 數據染毒的狀態(tài)信息��;SGSN在收到GGSN發(fā)送的更新PDP上下文請求 (Update PDP Context Request )之后�����,發(fā)送修改PDP上下文請求(Modify PDP Context Request)給UE�����,通過該修改PDP上下文請求(Modify PDP Context Request )將染毒的會話的速率降低到一個固定值A,并且在修改 PDP上下文請求(Modify PDP Context Request)中攜帶會話數據染毒的 狀態(tài)信息�,然后UE向SGSN返回修改PDP上下文接受消息(Modify PDPContext Accept),完成對染毒的會話的降速處理。SGSN在接收到UE發(fā) 送的修改PDP上下文接受消息(Modify PDP Context Accept )后����,向GGSN 中的染毒處理單元發(fā)送更新PDP上下文響應(Update PDP Context Response )。
在步驟中�����,GGSN中的染毒處理單元接收到會話數據染毒的狀態(tài)信 息后��,GGSN中的染毒處理模塊將會話數據染毒的狀態(tài)信息進行記錄����。在完 成步驟502之后��,GGSN中的染毒檢測單元仍然繼續(xù)檢測流經自身的會話數 據是否包含惡意流量�,如果UE對染毒的會話數據進行了處理�,則GGSN中 的染毒檢測單元會檢測流經自身的會話數據中的惡意流量已經消除,這 時����,GGSN中的染毒處理單元可以采用向SGSN發(fā)送更新PDP上下文請求 (Update PDP Context Request),通過該更新PDP上下文請求(Update PDP Context Request)要求將之前經過降速處理的會話的速率恢復�����,并 且在該更新PDP上下文請求(Update PDP Context Request)攜帶會話數 據中惡意流量已經被消除的信息�。SGSN然.后向UE發(fā)送修改PDP上下文請 求(Modify PDP Context Request ),通過該修 夂PDP上下文請求(Modify PDP Context Request)將之前經過降速的會話的速率恢復,并且在該〈奮 改PDP上下文請求(Modify PDP Context Request)中攜帶會話數據中惡 意流量已經被消除的信息�����。
在檢測到流經自身的會話數據中的惡意流量被消除之前����,GGSN不允許 網絡中其他網元觸發(fā)的提高會話速率的操作。
如圖8所示為本發(fā)明惡意流量處理方法實施例六流程圖��,在實施例六 中,在GGSN中實現(xiàn)了染毒檢測單元和染毒處理單元的功能�����,即�����,染毒檢 測單元和染毒處理單元設置在GGSN中�����,包括
步驟601�����、 GGSN中的染毒檢測單元檢測流經自身的會話數據中是否包 含惡意流量����;
步驟602�����、如果GGSN中的染毒檢測單元檢測到流經自身的會話數據中包含惡意流量����,則染毒檢測單元將會話數據染毒的狀態(tài)信息發(fā)送給GGSN 中的染毒處理單元�,GGSN中的染毒處理單元向SGSN發(fā)送更新PDP上下文 請求(Update PDP Context Request ),在該更新PDP上下文請求(Update PDP Context Request)中攜帶有會話數據染毒的狀態(tài)信息�,用于將會話 數據染毒的狀態(tài)信息通知給SGSN,然后SGSN發(fā)送修改PDP上下文請求
(Modify PDP Context Request)給UE,在該修改PDP上下文請求(Modify PDP Context Request)中攜帶有會話數據染毒的狀態(tài)信息����,用于將會話數 據染毒的狀態(tài)信息通知給UE。
如果UE進行了消除惡意流量的操作�,則GGSN中的染毒檢測單元會檢 測到流經自身的會話數據中的惡意流量已經消除,這時�����,GGSN中的染毒處 理單元可以發(fā)送更新PDP上下文請求(Update PDP Context Request)給 SGSN��,在該更新PDP上下文請求(Update PDP Context Request)中攜帶 有會話數據中的惡意流量已經被消除的信息�����;SGSN在收到該更新PDP上下 文請求(Update PDP Context Request)后����,發(fā)送修改PDP上下文請求
(Modify PDP Context Request )給UE,在該修改PDP上下文請求(Modify
PDP Context Request)中攜帶有會話數據中的惡意流量已經被消除的信 自
如圖9所示為本發(fā)明惡意流量處理方法實施例七流程圖����,在實施例七 中����,在SGSN或GGSN中實現(xiàn)了染毒檢測單元的功能���,在HLR中實現(xiàn)了染毒 處理單元的功能,即����,染毒檢測單元設置在SGSN或GGSN中,染毒處理單 元設置在HLR中�����,該流程包括
步驟701����、 SGSN或GGSN中的染毒檢測單元檢測流經自身的會話數據 中是否包含惡意流量;
步驟702����、如果SGSN或GGSN中的染毒檢測單元檢測到流經自身的會 話數據中包含惡意流量,則SGSN或GGSN中的染毒檢測單元向HLR中的染 毒處理單元發(fā)送病毒通知消息(Virus Notification)��,用于通知HLR中的染毒處理單元會話數據染毒的狀態(tài)信息。
步驟703�����、 HLR中的染毒處理單元在收到來自SGSN或GGSN的病毒通 知消息(Virus Notification)之后�����,可以選4奪對會話進行去激活處理�����, 或者可以對會話進行降速處理�����,或者可以選擇通知UE會話數據染毒的狀 態(tài)信息���,HLR中的染毒處理單元可以將所選擇的處理方式通過病毒處理指 示(Virus Process Indication )發(fā)送給SGSN或GGSN��。
步驟704�、 SGSN或GGSN在接收到HLR發(fā)送的病毒處理指示(Virus Process Indication)之后��,可以#4居該病毒處理指示(Virus Process Indication)中所選擇的方式執(zhí)行相應的操作����。具體的操作可以參考步驟 102���、 202、 302����、 402、 502��、 602。例如,如果HLR中的染毒處理單元向SGSN 發(fā)送病毒處理指示(Virus Process Indication)中選擇對會話進行降速 的處理���,則SGSN在收到HLR發(fā)送的病毒處理指示(Virus Process Indication)后�,可以釆用與步驟302類似的步驟�����,與步驟302區(qū)別之處 在于步驟704中HLR中的染毒處理單元將病毒處理指示(Virus Process Indication)發(fā)送給SGSN中的能夠處理病毒處理指示(Virus Process Indication)的單元��,并且由SGSN中的能夠處理病毒處理指示(Virus Process Indication)的單元發(fā)起對包含有惡意流量的會話數據涉及到的 會話進行去激活的操作��,而步驟302中是由SGSN中的染毒處理單元發(fā)起 對包含有惡意流量的會話數據涉及到的會話進行去激活的操作��。
如果SGSN或GGSN中的染毒檢測單元檢測到流經自身的會話數據中的 惡意流量已經消除,這時SGSN或GGSN中的染毒4企測單元向HLR中的染毒 處理單元發(fā)送病毒清除通知(Virus Cleanup Notification) �����。 HLR中的 染毒處理單元在收到SGSN或GGSN中染毒檢測單元的病毒清除通知(Virus Cleanup Notification )后���,通過向SGSN或GGSN發(fā)送病毒清除指示(Virus Cleanup Process Indication)通知SGSN或GGSN才丸行相應的操作�����。例如����, HLR中的染毒處理單元如果在步驟704中選擇對會話進行降速處理����,那么在會話數據中的惡意流量消除之后,HLR中的染毒處理單元可以選擇對會 話速率進4于恢復�。
SGSN或GGSN在收到HLR發(fā)送的發(fā)送病毒清除指示(Virus Cleanup Process Indication)后,根據HLR中的染毒處理單元選擇的處理方式執(zhí) 行相應的操作�����。例如,如果HLR中的染毒處理單元選擇對會話速率進行恢 復�����,那么GGSN可以采用與實施例五類似的方法�,GGSN可以向SGSN發(fā)送更 新PDP上下文i貪求(Update PDP Context Request),通過該更新PDP上 下文請求(Update PDP Context Request)要求將之前經過降速處理的會 話的速率恢復,并且在該更新PDP上下文請求(Update PDP Context Request )攜帶會話數據中惡意流量已經被消除的信息�����。SGSN然后向UE 發(fā)送》f改PDP上下文請求(Modify PDP Context Request),通過該》務改 PDP上下文請求(Modify PDP Context Request)將之前經過降速的會話 的速率恢復���,并且在該修改PDP上下文請求(Modify PDP Context Request ) 中攜帶會話數據中惡意流量已經被消除的信息�����。
如圖10所示為本發(fā)明惡意流量處理方法實施例八流程圖,在實施例 八中�����,在SGSN實現(xiàn)染毒檢測單元的功能�,在GGSN中實現(xiàn)染毒處理單元的 功能,即�����,染毒檢測單元設置在SGSN中���,染毒處理單元設置在GGSN中�, 該流程包4舌
步驟SOl��、 SGSN中的染毒檢測單元檢測流經自身的會話數據中是否包 含惡意流量���;
步驟802�����、如果SGSN中的染毒檢測單元檢測到流經自身的會話數據中 包含惡意流量���,則SGSN中的染毒檢測單元向GGSN中的染毒處理單元發(fā)送 病毒通知消息(Virus Notification)��,用于通知GGSN中的染毒處理單 元會話數據染毒的狀態(tài)信息。
步驟803����、 GGSN中的染毒處理單元在收到來自SGSN中的染毒檢測單 元的病毒通知消息(Virus Notification)之后��,可以選擇對會話進行去激活或降速處理�����,可以將會話數據染毒的狀態(tài)信息通知給UE, GGSN進行 的操作與步驟402或502或602類似�����,此處不再贅述。如果SGSN中的染 毒檢測單元檢測到流經自身的會話數據中的惡意流量已經消除,這時SGSN 中的染毒檢測單元向GGSN中的染毒處理單元發(fā)送病毒清除通知(Virus Cleanup Notification)�����。
GGSN中的染毒處理單元在收到SGSN中的染毒檢測單元發(fā)送的病毒清 除通知(Virus Cleanup Notification)后�,如果在步驟803中對會話進 行了降速處理,則需要對會話速率進行恢復��,如果在步驟803中通知了 UE 會話數據染毒的狀態(tài)信息�,則在步驟805中需要通知UE會話數據中惡意 流量已經消除的信息。
與實施例八相反地���,可以在GGSN中實現(xiàn)染毒4全測單元的功能��,在SGSN 中實現(xiàn)染毒處理單元和染毒通知單元的功能��,這時��,GGSN中的染毒檢測單 元檢測流經自身的會話數據中是否包含惡意流量��,如果檢測到流經自身的 會話數據中包含惡意流量�,則GGSN中的染毒檢測單元向SGSN中的染毒處 理單元發(fā)送病毒通知消息(Virus Notification),通知SGSN中的染毒 處理單元會話數據染毒的狀態(tài)信息����。然后SGSN可以進行與步驟102或202 或302類似的#:作,具體步驟不再贅述����。并且,如果UE在SGSN之間發(fā)生 了遷移�����,遷移之前的SGSN中的用于記錄會話數據染毒的狀態(tài)信息的單元 需要將記錄的信息發(fā)送給遷移后的SGSN中的用于記錄會話數據染毒的狀 態(tài)信息的單元����,防止由于遷移后的SGSN中沒有會話數據染毒的狀態(tài)信息 而將染毒的會話進行恢復速度的操作。
需要說明的是�,實施例一到實施例八中所示的方法針對的是如圖2所 示的網絡結構。如圖11所示為本發(fā)明惡意流量處理方法實施例中涉及到 的另一種網絡架構示意圖�,圖11所示的是使用了 PCC架構的GPRS網絡或 UMTS網絡,其中策略計費執(zhí)行功能(Policy and Charging Enforcement Function,筒稱PCEF )模塊完成業(yè)務流數據檢測�、策略執(zhí)行和基于業(yè)務流的計費,PCEF模塊可以設置在GGSN或P-GW中���;策略計費規(guī)則功能(Policy Charging Rules Function,簡稱PCRF )模塊完成策略控制決策和基于業(yè) 務流的計費控制����,PCRF模塊為PCEF模塊提供了網絡控制�、業(yè)務數據流檢 測、QoS和基于業(yè)務流的計費�,在接收來自應用功能(Application Function,簡稱AF )模塊的會話信息,PCRF模塊還可以根據運營商的策 略進行安全流程�,PCRF模塊決定指定的業(yè)務數據流在PCEF模塊如何被處 理,從而保證PCEF模塊上對用戶面數據的映射和處理與用戶的簽約數據 保持一致��;AF模塊根據應用層的用戶面數據行為動態(tài)地產生策略計費控制 需求�����,并將所需的會話信息發(fā)送給PCRF要求其做出決策����。
對于如圖ll所示的網絡架構,可以在PCEF模塊中實現(xiàn)染毒檢測單元 的功能����,在PCRF模塊中實現(xiàn)染毒處理單元的功能���;或者也可以在PCEF模
塊中實現(xiàn)染毒檢測單元處理的功能,在AF模塊中實現(xiàn)染毒處理單元的功
《匕 3匕��。
對于如圖11所示的網絡架構����,PCEF ^t塊-沒置在GGSN中,則可以在 GGSN中的PCEF模塊中實現(xiàn)染毒單元模塊的功能�,在PCRF模塊中實現(xiàn)染毒 處理單元模塊的功能。如圖12所示為本發(fā)明惡意流量處理方法實施例九 流程圖�,在實施例九中,在GGSN的PCEF模塊中實現(xiàn)染毒檢測單元的功能��, 在PCRF模塊中實現(xiàn)染毒處理單元的功能��,即�,染毒檢測單元設置在GGSN 的PCEF模塊中,染毒處理單元設置在PCRF模塊中����,該流程包括
步驟901、 GGSN中的PCEF模塊中的染毒檢測單元檢測流經自身的會 話數據中是否包含惡意流量�;
步驟902、如果GGSN中的PCEF模塊中的染毒檢測單元檢測到流經自 身的會話數據中包含惡意流量,則向PCRF模塊中的染毒處理單元發(fā)送病 毒通知消息(Virus Notification)���,用于通知PCRF模塊中的染毒處理 單元會話數據染毒的狀態(tài)信息�。
步驟903�����、 PCRF模塊中的染毒處理單元在收到來自GGSN中的PCEF模塊中的染毒4全測單元發(fā)送的病毒通知消息(Virus Notification)之后�����, 可以選擇對會話進行去激活處理����,或者可以對會話進行降速處理��,或者可 以選擇通知UE會話數據染毒的狀態(tài)信息�����,PCRF模塊中的染毒處理單元可 以將所選擇的處理方式通過發(fā)送病毒處理指示(Virus Process Indication)給GGSN中的PCEF才莫塊��。
步驟904����、 GGSN中的PCEF模塊在接收到PCRF模塊發(fā)送的病毒處理指 示(Virus Process Indication )之后����,可以#4居該病毒處理指示(Virus Process Indication)中所選擇的方式執(zhí)行相應的才喿作�。具體的操作可以 參考步驟102、 202�����、 302���、 402���、 502、 602�。例如,如果PCRF模塊中的染 毒處理單元向GGSN發(fā)送病毒處理指示(Virus Process Indication)中 選擇對會話進行降速的處理�,則GGSN中的PCEF模塊在收到PCRF模塊發(fā) 送的病毒處理指示(Virus Process lndicat ion )后,可以采用與步驟502 類似的步驟�����,與步驟502的區(qū)別之處在于步驟904中由PCEF模塊中的
中����,是由GGSN中的染毒處理單元發(fā)起對會話的降速處理�����。
步驟905�����、如果GGSN中的PCEF模塊中的染毒檢測單元檢測到流經自 身的會話數據中的惡意流量已經消除,這時GGSN中的PCEF模塊中的染毒 檢測單元向PCRF模塊發(fā)送病毒清除通知(Virus Cleanup Notification )����。 步驟906、 PCRF模塊中的染毒處理單元在收到GGSN中的PCEF模塊中 的染毒檢測單元發(fā)送的病毒清除通知(Virus Cleanup Notificat ion )后�����, 通過向GGSN中的PCEF模塊發(fā)送病毒清除處理指示(Virus Cleanup Process Indication)��,通知GGSN中的PCEF模塊執(zhí)行相應的操作��。例如�����, PCRF模塊中的染毒處理單元如杲在步驟904中選擇對會話進行降速處理, 那么在會話數據中的惡意流量消除之后��,PCRF才莫塊中的染毒處理單元可以 選擇對會話速率進行恢復�����。
步驟907��、 GGSN中的PCEF模塊在收到PCRF發(fā)送的病毒清除處理指示(Virus Cleanup Process Indication)后����,沖艮^居PCRF才莫塊選擇的處J里 方式執(zhí)行相應的操作。例如����,如果PCRF模塊中的染毒處理單元選擇對會 話速率進行恢復,那么GGSN中的PCEF模塊可以采用與實施例五類似的方 法�,GGSN中的PCEF模塊可以向SGSN發(fā)送更新PDP上下文請求(Update PDP Context Request),通過該更新PDP上下文請求(Update PDP Context Request )要求將之前經過降速處理的會話的速率恢復�,并且在該更新PDP 上下文請求(Update PDP Context Request)攜帶會話數據中惡意流量已 經被消除的信息。SGSN然后向UE發(fā)送修改PDP上下文請求(Modify PDP Context Request),通過該修改PDP上下文請求(Modify PDP Context Request)將之前經過降速的會話的速率恢復����,并且在該i參改PDP上下文 請求(Modify PDP Context Request)中攜帶會話數據中惡意流量已經被 消除的信息。
如圖13所示為本發(fā)明惡意流量處理方法實施例十流程圖����,在實施例 十中����,在GGSN的PCEF模塊中實現(xiàn)染毒檢測單元的功能��,在PCRF模塊中 實現(xiàn)染毒處理單元的功能�����,即染毒檢測單元設置在GGSN的PCEF模塊中�����, 染毒處理單元設置在PCRF模塊中����,該流程包括
步驟1001���、 GGSN中的PCEF模塊中的染毒檢測單元檢測流經自身的會 話數據中是否包含惡意流量���;
步驟1002、如果GGSN中的PCEF模塊中的染毒檢測單元檢測到流經自 身的會話數據中包含惡意流量�����,則GGSN中的PCEF模塊中的染毒檢測單元 向UE發(fā)送病毒通知消息(Virus Notification ),用于通知UE會話凄t據 染毒的狀態(tài)信息。
步驟1003�����、 UE將病毒通知消息(Virus Notification)轉發(fā)給AF模 塊中的染毒處理單元�。
步驟1004、在收到病毒通知消息(Virus Notification)后�,AF模 塊中的染毒處理單元可以選擇對會話進行去激活處理,或者可以選擇對會話進行降速處理��,AF模塊中的染毒處理單元可以將所選4奪的處理方式通過 發(fā)送病毒處理指示(Virus Process Indication)給PCRF模塊�。
步驟1005、 PCRF模塊在收到AF模塊中的染毒處理單元發(fā)送的病毒處 理指示(Virus Process Indication)之后���,可以根據該病毒處理指示 (Virus Process Indication)中所選擇的方式進4亍相應的^喿作�。PCRF 模塊具體的操作可以參考步驟903和904�。
步驟1006、如果GGSN中的PCEF模塊中的染毒;f企測單元檢測到流經自 身的會話數據中的惡意流量已經消除����,則GGSN中的PCEF模塊中的染毒檢 測單元可以向UE發(fā)送病毒清除通知(Virus Cleanup Notification)。
步驟1007����、 UE將該病毒清除通知(Virus Cleanup Notification) 轉發(fā)給AF模塊中的染毒處理單元����。
步驟1008�����、 AF模塊中的染毒處理單元然后向PCRF模塊發(fā)送病毒清除 處理指示(Virus Cleanup Process Indication),通知GGSN中的PCEF 模塊執(zhí)行相應的操作��。例如�,AF模塊中的染毒處理單元如果在步驟1004 中選擇對會話進行降速處理,那么在會話數據中的惡意流量消除之后�����,AF 模塊中的染毒處理單元可以選擇對會話速率進行恢復����。
需要說明的是���,實施例九和十中所示的方法針對的是如圖11所示的 網絡結構���。如圖14所示為本發(fā)明惡意流量處理方法實施例中涉及到的再 一種網絡架構示意圖�,圖14所示的是使用了 PCC架構的演進后的SAE網 絡�����,其中PCEF模塊設置在分組數據網(Packet Data Network,簡稱PDN) 網關(P-GW)中�。
如圖15所示為本發(fā)明惡意流量處理方法實施例十一流程圖,實施例 十一中����,在P-GW中的PCEF模塊中實現(xiàn)染毒檢測單元的功能,在PCRF模 塊中實現(xiàn)染毒處理單元的功能��,即染毒檢測單元設置在PCEF模塊中���,染 毒處理單元這只在PCRF模塊中���,該流程包括
步驟1101、 P-GW中的PCEF模塊中的染毒檢測單元檢測流經自身的會
24話數據中是否包含惡意流量�。
步驟1102、如果P-GW中的PCEF才莫塊中的染毒4企測單元4企測到流經自 身的會話數據中包含惡意流量�,則P-GW中的PCEF模塊中的染毒檢測單元 向PCRF才莫塊發(fā)送病毒通知消息(Virus Notification)。
步驟1103��、在收到病毒通知消息(Virus Notification)后�����,PCRF 模塊中的染毒處理單元可以選擇對會話進行去激活處理,具體地����,PCRF 模塊中的染毒處理單元可以將所選擇的去激活處理方式通過IP連同接入 網(IP Connectivity Access Network,筒稱IP-CAN )會話修改消息(IP-CAN Session Modification) 發(fā)送給P-GW中的PCEF才莫塊,并且在該IP-CAN 會話修改消息中攜帶會話數據染毒的狀態(tài)信息�����。
步驟1104�����、 P-GW中的PCEF模塊向服務網關(S-GW)發(fā)送刪除承載請 求(Delete Bearer Request )�����,在該刪除承載請求(Delete Bearer Request ) 中攜帶會話數據染毒的狀態(tài)信息�,以及PCRF選擇的去激活處理方式信息。
步驟1105����、 S-GW將接收到的刪除承載請求(Delete Bearer Request ) 轉發(fā)給移動管理單元(MME)或SGSN����。
步驟1106�、MME或SGSN向UE發(fā)送去激活承載^青求(Deactivate Bearer Request)���, 在該去激活承載請求(Deactivate Bearer Request)中攜帶 有會話數據染毒的狀態(tài)信息��。
步驟1107���、UE向MME或SGSN返回去激活承載響應(Deactivate Bearer Response),完成只于會i舌的去^t活��。
步驟1108���、 MME或SGSN向S-GW發(fā)送刪除承載響應(Delete Bearer Response)���。
步驟1109、 S-GW將接收到的刪除承載響應(Delete Bearer Response) 轉發(fā)給P-GW中的PCEF模塊��。
步驟1110��、P-GW中的PCEF模塊發(fā)送IP-CAN會話修改(IP-CAN Session Modification)����。如圖16所示為本發(fā)明惡意流量處理方法實施例十二流程圖�,在實施
例十二中���,在P-GW中的PCEF模塊中實現(xiàn)染毒檢測單元的功能�,在PCRF 模塊中實現(xiàn)染毒處理單元的功能��,即染毒檢測單元設置在PCEF模塊中��, 染毒處理單元設置在PCRF模塊中�,該流程包括
步驟1201、 P-GW中的PCEF模塊中的染毒檢測單元檢測流經自身的會 話數據中是否包含惡意流量����。
步驟1202、如果P-GW中的PCEF模塊中的染毒檢測單元檢測到流經自 身的會話數據中包含惡意流量�,則P-GW中的PCEF模塊中的染毒檢測單元 向PCRF沖莫塊發(fā)送病毒通知消息(Virus Notification)。
步驟1203�����、在收到病毒通知消息(Virus Notification)后���,PCRF 模塊中的染毒處理單元可以選擇對會話進行降速處理�����,具體地�����,PCRF模塊 中的染毒處理單元可以將所選擇的降速處理方式通過IP-CAN會話修改消 息(IP-CAN Session Modification) 發(fā)送給P-GW中的PCEF模塊����,并且 在該IP-CAN會話修改消息中攜帶會話數據染毒的狀態(tài)信息��。
步驟1204�����、 P-GW中的PCEF才莫塊向S-GW發(fā)送更新承載請求(Update Bearer Request)��, 在該更新承載請求(Update Bearer Request)中攜 帶會話數據染毒的狀態(tài)信息���,以及PCRF選擇的降速處理方式信息����。
步驟1205�、 S-GW將接收到的更新承載請求(Update Bearer Request ) 轉發(fā)給MME或SGSN。
步驟1206、 MME或SGSN向UE發(fā)送修改承載請求(Modify Bearer Request)�����,在該修改承載請求(Modify Bearer Request)中攜帶有會話 數據染毒的狀態(tài)信息���,通過該修改承載請求(Modify Bearer Request) 將會話的速率降低到一個值A���。
步驟1207、 UE向MME或SGSN返回l'務改承載響應(Modify Bearer Response),完成對會話的降速操作�����。
步驟1208�����、 MME或SGSN向S-GW發(fā)送更新承載響應(Update BearerResponse )��。
步驟1209����、 S-GW將接收到的更新承載響應(Update Bearer Response ) 轉發(fā)給P-GW中的PCEF模塊。
步驟1210�����、P-GW中的PCEF模塊發(fā)送IP-CAN會話修改(IP-CAN Session Modif ication )。
如果P-GW中的PCEF模塊中的染毒檢測單元檢測到流經自身的會話數 據中的惡意流量已經消除����,則P-GW中的PCEF模塊中的染毒檢測單元需要 向PCRF模塊中染毒處理單元發(fā)送病毒清除通知(Virus Cleanup Notification)�����,通知PCRF中的染毒處理單元惡意流量已經消除����,然后 PCRF中的染毒處理單元將之前經過降速的會話速率進行恢復。具體地����, P-GW中的PCEF模塊向S-GW發(fā)送更新承載請求(Update Bearer Request ), 在該更新承載i貪求(Update Bearer Request)中攜帶有會話數據中惡意 流量已經消除的信息���,以及要求將會話速率恢復的信息�����,然后S-GW將更 新承載請求(Update Bearer Request)轉發(fā)纟合MME或SGSN �����, MME或SGSN 向UE發(fā)送修改承載請求(Modify Bearer Request)��,要求將會話速率恢 復�,并通知UE會話數據中的惡意流量已經消除。
在檢測到會話數據中的惡意流量消除之前���,PCRF模塊不允許網絡中的 其他網元觸發(fā)的提高會話速率的操作�����。
如圖17所示為本發(fā)明惡意流量處理方法實施例十三流程圖�����,在實施 例十三中��,在P-GW中的PCEF模塊中實現(xiàn)染毒檢測單元的功能�����,在PCRF 模塊中實現(xiàn)染毒通知單元的功能���,該流程包括
步驟1301����、 P-GW中的PCEF模塊中的染毒檢測單元檢測流經自身的會 話數據中是否包含惡意流量�。
步驟1302、如果P-GW中的PCEF模塊中的染毒檢測單元檢測到流經自 身的會話數據中包含惡意流量�,則P-GW中的PCEF模塊中的染毒檢測單元 向PCRF模塊發(fā)送病毒通知消息(Virus Notification)。步驟1303��、在收到病毒通知消息(Virus Notification)后����,PCRF 模塊中的染毒處理單元將IP-CAN會話修改消息(IP-CAN Session Modification)發(fā)送給P-GW中的PCEF模塊���,并且在該IP-CAN會話々斧改
消息中攜帶會話數據染毒的狀態(tài)信息�。
步驟1304�����、 P-GW中的PCEF模塊向S-GW發(fā)送更新承載請求(Update Bearer Request), 在該更新承載請求(Update Bearer Request)中攜 帶會話數據染毒的狀態(tài)信息�。
步驟1305、 S-GW將接收到的更新承載請求(Update Bearer Request ) 轉發(fā)給MME或SGSN���。
步驟1 306����、 MME或SGSN向UE發(fā)送修改承栽請求(Modify Bearer Request),在該修改承載請求(Modify Bearer Request)中攜帶有會話 數據染毒的狀態(tài)信息。
U E在收到會話數據染毒的狀態(tài)信息之后可以進行消除惡意流量的操作��。
如果P-GW中的PCEF模塊中的染毒檢測單元檢測到流經自身的會話數 據中的惡意流量已經消除�,則P-GW中的PCEF模塊中的染毒檢測單元需要 向PCRF模塊中的染毒處理單元發(fā)送病毒清除通知(Virus Cleanup Notification),通知PCRF ^^莫塊中的染毒處理單元惡意流量已經消除�����, 然后PCRF模塊中的染毒處理單元將之前經過降速的會話速率進行恢復�。 具體地,P-GW中的PCEF模塊向S-GW發(fā)送更新承載請求(Update Bearer Request),在該更新承載請求(Update Bearer Request)中攜帶有會話 數據中惡意流量已經消除的信息�����,然后S-GW將更新承栽請求(Update Bearer Request )轉發(fā)給MME或SGSN�����, MME或SGSN向UE發(fā)送修改承載請 求(Modify Bearer Request),通知UE會話數據中的惡意流量已經消除����。
對于如圖14所示的網絡架構,如果PCEF模塊設置在P-GW中���,則可 以在P-GW中的PCEF模塊來實現(xiàn)染毒檢測單元的功能�����,在AF模塊中實現(xiàn)染毒處理單元的功能��,具體的實現(xiàn)方式與實施例十類似�,此處不再贅述。 如圖18所示為本發(fā)明惡意流量處理系統(tǒng)實施例結構示意圖����,該系統(tǒng)
用于移動通信網絡,包括染毒檢測單元11和染毒處理單元12��。染毒斗全 測單元11檢測經過自身的會話數據中是否包含惡意流量�,如果染毒檢測 單元11檢測到經過自身的會話數據中包含惡意流量�����,則染毒檢測單元發(fā) 送通知消息給染毒處理單元12,通知染毒處理單元12會話數據染毒的狀 態(tài)信息����,染毒處理單元12將會話數據染毒的狀態(tài)信息發(fā)送給用戶終端; 或者染毒處理單元12將會話數據染毒的狀態(tài)信息發(fā)送給用戶終端同時將 包含有惡意流量的會話數據涉及到的會話進行去激活或降速處理����。
染毒處理單元12還可以將接收到的會話數據染毒的狀態(tài)信息進行記錄����。
如果染毒檢測單元11檢測到會話數據中的惡意流量已經被消除時�����, 染毒檢測單元11將會話數據中惡意流量已經被消除的信息發(fā)送給用戶終 端�,并清除所記錄的所述會話數據染毒的狀態(tài)信息;或者
當染毒檢測單元11檢測到會話數據中的惡意流量已經被消除時���,將 會話數據中惡意流量已經被消除的信息發(fā)送給所述用戶終端�����,并將包含有 惡意流量的會話數據涉及到的會話的速度恢復����,并清除所記錄的會話數據 染毒的狀態(tài)信息���。
對于圖18中涉及到的各個單元����,可以通過移動通信網絡中的網絡實 體來實現(xiàn),具體如下
(1 )染毒檢測單元和染毒處理單元設置在SGSN中��;或者 (2)染毒檢測單元和染毒處理單元設置在GGSN中����;或者 (3 )染毒檢測單元設置在SGSN或GGSN中,染毒處理單元設置在HLR
中���;或者
(4)染毒檢測單元設置在GGSN中���,染毒處理單元設置在SGSN中;
或者(5)染毒檢測單元設置在SGSN中�,染毒處理單元設置在SGSN中;
或者
(6 )染毒檢測單元設置在GGSN的PCEF模塊中����,染毒處理單元設置 在PCRF模塊中��;或者
(7 )染毒檢測單元設置在GGSN的PCEF模塊中����,染毒處理單元設置 在AF模塊中;或者
(8 )染毒檢測單元設置在P-GW的PCEF模塊中,染毒處理單元設置 在PCRF模塊中�����;或者
(9 )染毒檢測單元設置在P-GW的PCEF模塊中��,染毒處理單元設置 在AF中模塊��。
本領域普通技術人員可以理解實現(xiàn)上述方法實施例的全部或部分步驟 可以通過程序指令相關的硬件來完成�����,前迷的程序可以存儲于一計算機可讀 取存儲介質中���,該程序在執(zhí)行時�,執(zhí)行包括上述方法實施例的步驟�����;而前述 的存儲介質包括R0M��、 RAM����、磁碟或者光盤等各種可以存儲程序代碼的介質�����。
最后應說明的是:以上實施例僅用以說明本發(fā)明的4支術方案�,而非對其 限制���;盡管參照前述實施例對本發(fā)明進行了詳細的說明���,本領域的普通技術 人員應當理解其依然可以對前述各實施例所記載的技術方案進行修改,或 者對其中部分技術特征進行等同替換���;而這些修改或者替換��,并不使相應技
術方案的本質脫離本發(fā)明各實施例技術方案的精神和范圍�����。
權利要求
1�、一種惡意流量處理方法����,其特征在于�,所述惡意流量處理方法用于移動通信網絡,包括染毒檢測單元檢測經過自身的會話數據是否包含惡意流量,如果經過自身的會話數據包含惡意流量��,則所述染毒檢測單元發(fā)送通知消息給染毒處理單元��,通知染毒處理單元所述會話數據染毒的狀態(tài)信息��;所述染毒處理單元將會話數據染毒的狀態(tài)信息發(fā)送給用戶終端���。
2�����、 根據權利要求1所述的惡意流量處理方法����,其特征在于�,還包括 所述染毒處理單元在將會話數據染毒的狀態(tài)信息發(fā)送給用戶終端的同時 將包含有惡意流量的會話數據涉及到的會話進行去激活或降速處理。
3�����、 根據權利要求1所述的惡意流量處理方法�,其特征在于,還包括 所述染毒處理單元記錄所述會話數據染毒的狀態(tài)信息�����。
4、 根據權利要求2所述的惡意流量處理方法����,其特征在于,還包括 所述染毒處理單元記錄所述會話數據染毒的狀態(tài)信息�。
5、 根據權利要求3所述的惡意流量處理方法��,其特征在于��,還包括 如果所述染毒檢測單元檢測到所述會話數據中的惡意流量已經被消除��,所 述染毒檢測單元將會話數據中惡意流量已經被消除的信息發(fā)送給所述染 毒處理單元�����,所述染毒處理單元將會話數據中惡意流量已經被消除的信息 發(fā)送給所述用戶終端��,并清除所記錄的所述會話數據染毒的狀態(tài)信息��。
6��、 根據權利要求4所述的惡意流量處理方法�,其特征在于�,還包括 如果所述染毒檢測單元檢測到所述會話數據中的惡意流量已經被;肖除���,所述染毒處理單元將會話數據中惡意流量已經被消除的信息發(fā)送給所 述用戶終端,并將包含有惡意流量的會話數據涉及到的會話的速度恢復����, 并清除所記錄的所述會話數據染毒的狀態(tài)信息。
7��、 根據權利要求5或6所述的惡意流量處理方法���,其特征在于��,當 獲取到會話數據染毒的狀態(tài)信息時�����,所述染毒檢測單元或染毒處理單元還執(zhí)行如下操作中的至少 一種(1) 限制所述用戶終端的訪問范圍�;(2) 限制所述用戶終端的傳輸控制協(xié)議連接次數�,或對所述用戶終 端的網絡控制消息協(xié)議報文個數進行流量控制;(3) 發(fā)出告警或呼叫日志來通知設備維護人員惡意流量的來源或惡 意流量的類型��。
8��、 根據權利要求7所述的惡意流量處理方法,其特征在于���,當染毒 檢測單元或染毒處理單元獲取到會話數據中的惡意流量已經被消除的信 息時�,所述染毒檢測單元或染毒處理單元還執(zhí)行如下操作中的至少一種取消對用戶終端訪問范圍的限制的操作��;取消對用戶終端傳輸控制協(xié)議連接次數的限制�,或取消對用戶終端的 網絡控制消息協(xié)議報文個數的流量控制;發(fā)出告警或呼叫日志來通知設備維護人員惡意流量已經被消除的信自����、
9、 根據權利要求1-6中任意權利要求所述的惡意流量處理方法����,其 特征在于,所述染毒檢測單元和染毒處理單元設置在服務GPRS支持節(jié)點(SGSN) 中��;或者所述染毒檢測單元和染毒處理單元設置在網關GPRS支持節(jié)點(GGSN) 中���;或者所述染毒檢測單元設置在SGSN或GGSN中���,所述染毒處理單元設置在 位置歸屬寄存器(HLR)中;或者所述染毒檢測單元設置在GGSN中,所述染毒處理單元設置在SGSN中���;或者所述染毒檢測單元設置在SGSN中�,所述染毒處理單元設置在SGSN中��;或者所述染毒檢測單元設置在GGSN的策略計費執(zhí)行功能(PCEF)模塊中����, 所述染毒處理單元設置在策略計費規(guī)則功能(PCRF)模塊中���;或者所述染毒檢測單元設置在GGSN的PCEF模塊中���,所述染毒處理單元設 置在應用功能(AF)模塊中;或者所述染毒檢測單元設置在分組數據網網關(P-GW)的PCEF模塊中��, 所述染毒處理單元設置在PCRF模塊中��;或者所述染毒檢測單元設置在P-GW的PCEF模塊中�����,所述染毒處理單元設 置在AF模塊中����。
10�、 根據權利要求3或4所述的惡意流量處理方法���,其特征在于����,所 述染毒處理單元設置在服務GPRS支持節(jié)點(SGSN)中��,如果所述用戶終 端從一個SGSN遷移到了另 一個SGSN�����,所述方法還包括遷移之前的SGSN中的染毒處理單元將記錄的會話數據染毒的狀態(tài)信 息發(fā)送給遷移之后的SGSN中的染毒處理單元����。
11、 一種惡意流量處理系統(tǒng)�����,其特征在于��,所述惡意流量處理系統(tǒng)用 于移動通信網絡�,包括染毒檢測單元,用于檢測經過自身的會話數據中是否包含惡意流量; 染毒處理單元�,用于接收所述染毒檢測單元發(fā)送的會話數據染毒的狀態(tài)信息,在接收到所述染毒檢測單元發(fā)送的會話數據染毒的狀態(tài)信息后���,將會話數據染毒的狀態(tài)信息發(fā)送給用戶終端�����。
12����、 根據權利要求11所述的惡意流量處理系統(tǒng)���,其特征在于, 所述染毒處理單元還用于在將會話數據染毒的狀態(tài)信息發(fā)送給用戶終端的同時將包含有惡意流量的會話數據涉及S 'j的會話進行去激活或降 速處理����。
13、 根據權利要求11所述的惡意流量處理系統(tǒng)���,其特征在于����,所述 染毒處理單元還用于記錄所述會話數據染毒的狀態(tài)信息。
14�、 根據權利要求12所述的惡意流量處理系統(tǒng),其特征在于�,所述染毒處理單元還用于記錄所述會話數據染毒的狀態(tài)信息。
15��、 根據權利要求13所述的惡意流量處理系統(tǒng)���,其特征在于��,所述 染毒處理單元還用于當所述染毒檢測單元檢測到所述會話數據中的惡意 流量已經被消除時����,將會話數據中惡意流量已經被消除的信息發(fā)送給所述 用戶終端���,并清除所記錄的所述會話數據染毒的狀態(tài)信息���。
16、 根據權利要求14所述的惡意流量處理系統(tǒng)���,其特征在于����, 所述染毒處理單元還用于當所述染毒檢測單元檢測到所述會話數據中的惡意流量已經被消除時,將會話數據中惡意流量已經被消除的信息發(fā) 送給所述用戶終端�����,并將包含有惡意流量的會話數據涉及到的會話的速度 恢復����,并清除所記錄的所述會話數據染毒的狀態(tài)信息。
17�、 根據權利要求11-16中任意權利要求所述的惡意流量處理系統(tǒng),其特征在于�����,所述染毒檢測單元和染毒處理單元設置在服務GPRS支持節(jié)點(SGSN)中�����;或者所述染毒檢測單元和染毒處理單元設置在網關GPRS支持節(jié)點(GGSN) 中���;或者所述染毒檢測單元設置在SGSN或GGSN中,所述染毒處理單元設置在 位置歸屬寄存器(HLR)中���;或者所述染毒檢測單元設置在GGSN中�,所述染毒處理單元設置在SGSN中;或者所述染毒檢測單元設置在SGSN中����,所述染毒處理單元設置在SGSN中;或者所述染毒檢測單元設置在GGSN的策略計費執(zhí)行功能(PCEF)模塊中�����, 所述染毒處理單元設置在策略計費規(guī)則功能(PCRF)模塊中����;或者所述染毒檢測單元設置在GGSN的PCEF模塊中,所述染毒處理單元設 置在應用功能(AF)模塊中�����;或者所述染毒檢測單元設置在分組數據網網關(P-GW)的PCEF模塊中���,所述染毒處理單元設置在PCRF模塊中���;或者所述染毒檢測單元設置在P-GW的PCEF模塊中,所述染毒處理單元設 置在AF模塊中��。
全文摘要
本發(fā)明涉及一種惡意流量處理方法及系統(tǒng)��,其中本發(fā)明實施例提供的方法包括染毒檢測單元檢測經過自身的會話數據是否包含惡意流量,如果經過自身的會話數據包含惡意流量���,則所述染毒檢測單元發(fā)送通知消息給染毒處理單元����,通知染毒處理單元所述會話數據染毒的狀態(tài)信息����;所述染毒處理單元將會話數據染毒的狀態(tài)信息發(fā)送給用戶終端。本發(fā)明實施例提供的惡意流量處理方法及系統(tǒng)�����,在檢測到移動通信網絡中的會話數據中包括惡意流量時�����,及時通知用戶終端��,這樣用戶終端就可以及時發(fā)起消除惡意流量的操作�,可以改善用戶體驗��。
文檔編號H04W12/08GK101437230SQ20081024028
公開日2009年5月20日 申請日期2008年12月22日 優(yōu)先權日2008年12月22日
發(fā)明者靖 陳 申請人:華為技術有限公司