CN104137503A - 监控网络的方法、装置及网络设备 - Google Patents

监控网络的方法、装置及网络设备 Download PDF

Info

Publication number
CN104137503A
CN104137503A CN201280003110.2A CN201280003110A CN104137503A CN 104137503 A CN104137503 A CN 104137503A CN 201280003110 A CN201280003110 A CN 201280003110A CN 104137503 A CN104137503 A CN 104137503A
Authority
CN
China
Prior art keywords
terminal device
data
identification information
message
uploaded
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201280003110.2A
Other languages
English (en)
Other versions
CN104137503B (zh
Inventor
郭伟
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Publication of CN104137503A publication Critical patent/CN104137503A/zh
Application granted granted Critical
Publication of CN104137503B publication Critical patent/CN104137503B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明实施例公开了一种监控网络的方法、装置及网络设备,涉及无线通讯技术领域,能够通过限制发送恶意信息的终端设备的流量,来降低恶意信息在网络中传播的速度。本发明的方法包括:检测终端设备上传的数据中是否存在恶意信息;若所述终端设备上传的数据中存在恶意信息,则获取预设的信息控制策略,所述信息控制策略用于表示限制数据流量的方式;根据所述信息控制策略,限制所述终端设备的数据流量。本发明适用于控制网络中恶意信息的传播速度。

Description

监控网络的方法、 装置及网络设备
技术领域
本发明涉及无线通讯技术领域, 尤其涉及一种监控网络的方法、 装置 及网络设备。
背景技术
随着无线通讯技术的发展, 终端设备逐渐智能化, 并形成了很大的市 场。 但是, 用于袭击智能终端的病毒、 流氓软件等恶意信息也开始充斥通 讯网络, 这危害了智能终端的信息安全, 也影响了无线网络的运行效率。
目前保证信息安全的主要手段包括:
在网络侧接入杀毒设备,通过杀毒设备对由终端设备发送至网络侧的 数据进行监测并过滤病毒。 例如: 在目前常用的通信网络中, 病毒检测设 备可以通过分光器 GE连接在 GPRS服务支持节点 ( Serving GPRS SUPPORT NODE, SGSN )与网关 GPRS支持节点( Gateway GPRS Support Node, GGSN )之间, 则所有经过 SGSN与 GGSN之间的数据都会通过分光 器生成一份镜像并发送至病毒检测设备,以使病毒检测设备能够对经过网 络侧的数据进行监测以及过滤病毒等工作。
现有技术的问题
现有技术中, 当较多的终端设备感染了病毒或流氓软件时, 网络侧所 接收到的数据中的恶意信息也会变多,由于病毒或流氓软件等恶意信息在 网络中传播的速度很快,往往会出现短时间内网络侧接收到的数据流量中 会包含大量恶意信息,这会增加网络侧的负荷,降低通信网络的运行效率, 甚至造成网络崩溃等严重事故。
发明内容
本发明的实施例提供一种监控网络的方法、 装置及网络设备, 能够通 过限制发送恶意信息的终端设备的流量,来降低恶意信息在网络中传播的 速度, 从而降低网络侧的负荷, 緩减通信网络的运行效率降低的问题。
为达到上述目的, 本发明的实施例采用如下技术方案:
第一方面, 提供一种监控网络的方法, 包括: 检测终端设备上传的数 据中是否存在恶意信息;
若所述终端设备上传的数据中存在恶意信息,则获取预设的信息控制 策略, 所述信息控制策略用于表示限制数据流量的方式;
根据所述信息控制策略, 限制所述终端设备的数据流量。
结合第一方面, 在第一方面的第一种可能的实现方式中, 所述限制所 述终端设备的数据流量包括: 降低所述终端设备的优先级, 所述优先级包 括: 所述终端设备的当前业务的业务承载优先级, 或所述终端设备接入网 络的优先级。
结合第一方面, 在第一方面的第二种可能的实现方式中, 所述限制所 述终端设备的数据流量包括: 降低所述终端设备的数据传输速率。
结合第一方面, 在第一方面的第三种可能的实现方式中, 所述限制所 述终端设备的数据流量包括: 屏蔽所接收到的所述终端设备发送的数据, 或切断所述终端设备的网络连接。
结合第一方面, 在第一方面的第四种可能的实现方式中, 还包括: 获取所述终端设备的识别信息, 所述识别信息包括: 所述终端设备的
MAC地址、 IP地址、 国际移动用户识别码 IMSI或移动台 ISDN号码 MSISDN;
检测所述终端设备的识别信息是否已被记录,若所述终端设备的识别 信息已被记录, 则获取所述信息控制策略, 并根据所述信息控制策略, 限 制所述终端设备的数据流量。
结合第一方面或第一方面的第四种可能的实现方式,在第五种可能的 实现方式中, 还包括: 若所述终端设备上传的数据中存在恶意信息, 或若 所述终端设备的识别信息已被记录时, 向所述终端设备发送提示信息, 所 述提示信息表示所述终端设备上传的数据中存在恶意信息,或所述终端设 备的识别信息已被记录。
结合第一方面的第五种可能的实现方式, 在第六种可能的实现方式 中, 还包括: 确定当前与所述终端设备进行数据交互的其他的终端设备; 向所述其他的终端设备发送所述提示信息。
第二方面, 提供一种监控网络的装置, 包括:
检测模块, 用于检测终端设备上传的数据中是否存在恶意信息; 控制策略获取模块, 用于若所述终端设备上传的数据中存在恶意信 息, 则获取预设的信息控制策略, 所述信息控制策略用于表示限制数据流 量的方式;
控制模块, 用于根据所述信息控制策略, 限制所述终端设备的数据流 量。
结合第二方面, 在第二方面的第一种可能的实现方式中, 所述控制模 块包括: 优先级控制单元, 用于降低所述终端设备的优先级, 所述优先级 包括: 所述终端设备的当前业务的业务承载优先级, 或所述终端设备接入 网络的优先级。
结合第二方面, 在第二方面的第二种可能的实现方式中, 所述控制模 块包括: 传输速率控制单元, 用于降低所述终端设备的数据传输速率。
结合第二方面, 在第二方面的第三种可能的实现方式中, 所述控制模 块包括: 屏蔽单元, 用于屏蔽所接收到的所述终端设备发送的数据, 或切 断所述终端设备的网络连接。
结合第二方面, 在第二方面的第四种可能的实现方式中, 还包括: 识别模块, 用于获取所述终端设备的识别信息, 所述识别信息包括: 所述终端设备的 MAC地址、 IP地址、 国际移动用户识别码 IMSI或移动台 ISDN号码 MSISDN;
查询模块, 用于检测所述终端设备的识别信息是否已被记录, 若所述 终端设备的识别信息已被记录, 则获取所述信息控制策略, 并根据所述信 息控制策略, 限制所述终端设备的数据流量。
结合第二方面或第二方面的第四种可能的实现方式,在第五种可能的 实现方式中, 还包括: 发送模块, 用于若所述终端设备上传的数据中存在 恶意信息, 或若所述终端设备的识别信息已被记录时, 向所述终端设备发 送提示信息, 所述提示信息表示所述终端设备上传的数据中存在恶意信 息, 或所述终端设备的识别信息已被记录。
结合第二方面的第五种可能的实现方式, 在第六种可能的实现方式 中, 还包括:
追踪模块,用于确定当前与所述终端设备进行数据交互的其他的终端 设备;
所述发送模块, 还用于向所述其他的终端设备发送所述提示信息。 第三方面, 提供一种监控网络的网络设备, 包括: 处理器、通信接口、 存储器、 总线, 所述处理器、 所述通信接口和所述存储器、 通过所述总线 完成相互间的通信, 其中:
所述处理器, 用于通过所述通信接口获取终端设备上传的数据, 并检 测所述终端设备上传的数据中是否存在恶意信息;
所述处理器, 还用于若所述终端设备上传的数据中存在恶意信息, 则 从所述存储器中获取预设的信息控制策略,所述信息控制策略用于表示限 制数据流量的方式, 并根据所述信息控制策略, 通过所述通信接口限制所 述终端设备的数据流量;
所述存储器, 用于储存所述预设的信息控制策略;
所述通信接口, 用于将所述终端设备上传的数据传输至所述处理器, 并传输所述处理器发送的用于限制所述终端设备的数据流量的信息。
结合第三方面,在第三方面的第一种可能的实现方式中,所述处理器, 还用于通过所述通信接口降低所述终端设备的优先级, 所述优先级包括: 所述终端设备的当前业务的业务承载优先级,或所述终端设备接入网络的 优先级。 结合第三方面,在第三方面的第二种可能的实现方式中,所述处理器, 还用于通过所述通信接口降低所述终端设备的数据传输速率。
结合第三方面,在第三方面的第三种可能的实现方式中,所述处理器, 还用于通过所述通信接口屏蔽所接收到的所述终端设备发送的数据,或切 断所述终端设备的网络连接。
结合第三方面, 在第三方面的第四种可能的实现方式中, 还包括: 所述处理器, 还用于通过所述通信接口获取所述终端设备的识别信 息, 所述识别信息包括: 所述终端设备的 MAC地址、 IP地址、 国际移动 用户识别码 IMSI或移动台 ISDN号码 MSISDN; 并检测所述终端设备的识 别信息是否已被记录在了所述存储器中,若所述终端设备的识别信息已被 记录在了所述存储器中, 则从所述存储器中获取所述信息控制策略, 并根 据所述信息控制策略, 通过所述通信接口限制所述终端设备的数据流量; 所述存储器, 还用于储存所述终端设备的识另 'J信息。
结合第三方面或第三方面的第四种可能的实现方式,在第五种可能的 实现方式中, 还包括: 所述处理器, 还用于若所述终端设备上传的数据中 存在恶意信息, 或若所述终端设备的识别信息已被记录时, 则通过所述通 信接口向所述终端设备发送提示信息,所述提示信息表示所述终端设备上 传的数据中存在恶意信息, 或所述终端设备的识别信息已被记录。
结合第三方面的第五种可能的实现方式, 在第六种可能的实现方式 中, 所述处理器, 还用于确定当前与所述终端设备进行数据交互的其他的 终端设备, 并通过所述通信接口向所述其他的终端设备发送所述提示信 息。
本发明实施例提供的监控网络的方法、 装置及网络设备, 能够对上传 恶意信息的终端设备, 采取相应的信息控制策略, 并根据信息控制策略限 制该终端设备的数据流量,从而降低该终端设备向网络中传输恶意信息的 速率。 相对于现有技术, 本发明能够通过限制发送恶意信息的终端设备的 流量, 来降低恶意信息在网络中传播的速度, 从而降低网络侧的负荷, 緩 减通信网络的运行效率降低的问题。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例中所 需要使用的附图作筒单地介绍, 显而易见地, 下面描述中的附图仅仅是本 发明的一些实施例, 对于本领域普通技术人员来讲, 在不付出创造性劳动 的前提下, 还可以根据这些附图获得其它的附图。
图 1为本发明实施例提供的一种监控网络的方法的流程图; 图 2 a为本发明实施例提供的另一种监控网络的方法的一种流程图; 图 2 b为本发明实施例提供的另一种监控网络的方法的另一种流程图; 图 2 c为本发明实施例提供的另一种监控网络的方法的再一种流程图; 图 3为本发明实施例提供的再一种监控网络的方法的流程图; 图 3 a为本发明实施例提供的再一种监控网络的方法的一种具体实例 的示意图; 图 3 b为本发明实施例提供的再一种监控网络的另一种具体实例的示 意图; 图 4 a本发明实施例提供的一种监控网络的装置的结构示意图; 图 4 b本发明实施例提供的另一种监控网络的装置的一种结构示意图; 图 4 c本发明实施例提供的另一种监控网络的装置的另一种结构示意 图; 图 4 d本发明实施例提供的另一种监控网络的装置的再一种结构示意 图; 图 5为本发明实施例提供的一种监控网络的网络设备的结构示意图。 具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进 行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例, 而不是全部的实施例。 基于本发明中的实施例, 本领域普通技术人员在没 有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的 范围。
在本发明实施例中, 提供了一种监控网络的方法, 如图 1所示, 包括: 101 , 检测终端设备上传的数据中是否存在恶意信息。
若不存在恶意信息, 则不作处理。
需要说明的是, 本实施例中的方案可以由网络设备执行, 例如: 可以 由核心网中的流量监控设备执行, 比如: 由业务监控网关 ( Service Inspection Gateway , SIG ) 执行。 本发明实施例可用于的网给制式可以有 多 种 , 例 如: 全球移动通信 系 统 ( Global System for Mobile Communications , GSM )、 通用 移 动通信 系 统 (Universal Mobile Telecommunications System , UMTS) ,长期演进 (Long Term Evolution , LTE) 或 Wi-Fi等。
在本实施例中, 诸如 SIG等流量监控设备可以通过常用的技术手段检 测终端设备上传的数据中是否存在诸如: 病毒、 木马程序、 恶意软件、 恶 意网页的地址信息、 地址解析协议 (Address Resolution Protocol , ARP)攻 击信息、 TCP/IP攻击信息等恶意信息。
102 , 若所述终端设备上传的数据中存在恶意信息, 则获取预设的信 息控制策略。
在本实施例中,信息控制策略可以由技术人员预设至流量监控设备的 存储器中, 也可以由流量监控设备自动从运营商的服务器获取, 并预存在 存储器中。 其中, 信息控制策略用于表示限制数据流量的方式, 即流量监 控设备可以根据预设的信息控制策略对终端设备的流量进行控制,从而限 制终端设备的流量, 例如:
在 GSM和 UMTS网络中, 流量监控设备可以通过常用的技术手段触发 核心网中的基站控制器 ( Base Station Controller, BSC ) 对终端设备进行 服务质量( Quality of Service , QoS )控制, 在 LTE网络中, 流量监控设备 也可以通过常用的技术手段触发核心网中的基站收发台( Base Transceiver Station , BTS ) 对终端设备进行 QoS控制。 其中, QoS控制的具体实施方 式可以包括常用的: 通过降低终端设备的业务承载优先级, 降低终端设备 的流量; 或降低终端设备传输数据时的上 /下行流速; 或降低终端设备的 业务承载的上 /下行流速等等。 通过执行 QoS控制的具体实施方式, 流量监 控设备可以通过触发 BSC、 BTS等网络设备限制终端设备的流量不再增 加, 或降低终端设备的流量。
再例如:流量监控设备可以通过常用的技术手段拦截终端设备传输的 数据包, 从而截断终端设备的流量; 也可以也可以触发 BSC、 BTS等网络 设备切断终端设备的连接, 比如: 在 LTE中, 流量监控设备可以触发 BTS 断开终端设备的分组交换 PS连接, 或断开用户平面的 7 载 (Radio Access Bearer , RAB ) 承载, 或断开单一传输控制协议 ( Transmission Control Protocol , TCP ) 连接。
进一步的, 在本实施例中, 流量监控设备也可以根据终端设备所上传 的恶意信息的类型, 获取不同的信息控制策略, 例如: 如表一所示的是预 设的恶意信息的类型与信息控制策略之间的映射关系,流量监控设备可以 根据表一所示映射关系, 根据终端设备所上传的恶意信息的类型, 选择相 应的信息控制策略。
表一
若所述终端设备上传的数据中不存在恶意信息, 则不作处理。 再进一步的, 在本实施例中, 流量监控设备也可以根据恶意信息的流 量来获取信息控制策略。例如: 终端设备在一个时间周期内(如半个小时) 发送超过预设阈值的(如 20条)的恶意信息。 并且预设阈值可以是一系列 阈值分级, 比如: 如表二所示的是恶意信息的流量的阈值与信息控制策略 之间的映射关系,
表二
其中,终端设备在 1小时内发送了大于等于 5条诸如携带病毒的彩信等 恶意信息, 则向终端设备发送诸如短信警告等提示信息; 当终端设备在 1 小时内发送了大于等于 10条恶意信息, 则拦截终端设备传输的数据包; 当 终端设备在 1小时内发送了大于等于 20条恶意信息, 则切断终端设备的连 接。
103 , 根据所述信息控制策略, 限制所述终端设备的数据流量。
流量监控设备可以根据所获取的信息控制策略, 对所述终端设备的 数据流量进行限制, 例如: 流量监控设备可以通过触发 BSC、 BTS等网络 设备执行 QoS控制, 从而限制终端设备的流量不再增加、 降低终端设备的 流量或切断终端设备的连接,流量监控设备也可以直接截断终端设备的流 量。
本实施例提供的监控网络的方法, 能够对上传恶意信息的终端设备, 采取相应的信息控制策略,并根据信息控制策略限制该终端设备的数据流 量,从而降低该终端设备向网络中传输恶意信息的速率。相对于现有技术, 本发明能够通过限制发送恶意信息的终端设备的流量,来降低恶意信息在 网络中传播的速度, 从而降低网络侧的负荷, 緩减通信网络的运行效率降 低的问题。 可选的, 在本发明实施例中, 提供了另一种监控网络的方法, 如图 2 a 所示, 包括:
201 , 检测终端设备上传的数据中是否存在恶意信息。
若不存在恶意信息, 则不作处理。
202 , 若所述终端设备上传的数据中存在恶意信息, 则获取预设的信 息控制策略。
其中, 信息控制策略用于表示限制数据流量的方式。
203a, 根据所述信息控制策略, 降低所述终端设备的优先级。
其中, 优先级包括: 终端设备的当前业务的业务承载优先级, 或终端 设备接入网络的优先级。
实际应用中, 终端设备的当前业务的业务承载优先级、接入网络的优 先级等优先级越高, 终端设备的流量也就越大, 因此, 流量监控设备可以 触发 BSC、 BTS等网络设备执行 QoS控制, 降低终端设备的优先级, 从而 使得终端设备的流量不再进一步增大, 或降低终端设备的流量。 并列可选的, 在本发明实施例中, 提供了再一种监控网络的方法, 如 图 2 b所示, 包括:
201 , 检测终端设备上传的数据中是否存在恶意信息。
若不存在恶意信息, 则不作处理。
202 , 若所述终端设备上传的数据中存在恶意信息, 则获取预设的信 息控制策略。
其中, 信息控制策略用于表示限制数据流量的方式。
203b , 根据所述信息控制策略, 降低所述终端设备的数据传输速率。 实际应用中, 流量监控设备可以降低终端设备的数据传输速率, 从而 降低终端设备的流量例如: 流量监控设备可以触发 BSC、 BTS等网络设备 执行 QoS控制, 降低终端设备当前占用的业务链路的传输速率, 使得终端 设备在单位时间内通过所占用的业务链路传输的数据量降低,从而降低流 量。 并列可选的, 在本发明实施例中, 提供了再一种监控网络的方法, 如 图 2c所示, 包括:
201 , 检测终端设备上传的数据中是否存在恶意信息。
若不存在恶意信息, 则不作处理。
202 , 若所述终端设备上传的数据中存在恶意信息, 则获取预设的信 息控制策略。
其中, 信息控制策略用于表示限制数据流量的方式。
203c , 根据所述信息控制策略, 屏蔽所接收到的所述终端设备发送的 数据, 或切断所述终端设备的网络连接。
实际应用中, 流量监控设备可以屏蔽所接收到的终端设备发送的数 据, 或通过网络设备切断终端设备的网络连接, 从而将终端设备的流量降 为零。 本实施例提供的监控网络的方法, 能够对上传恶意信息的终端设备, 采取相应的信息控制策略,并根据信息控制策略限制该终端设备的数据流 量,从而降低该终端设备向网络中传输恶意信息的速率。相对于现有技术, 本发明能够通过限制发送恶意信息的终端设备的流量,来降低恶意信息在 网络中传播的速度, 从而降低网络侧的负荷, 緩减通信网络的运行效率降 低的问题。
进一步可选的, 在本发明实施例中, 提供了再一种监控网络的方法, 如图 3所示, 包括:
301a, 检测终端设备上传的数据中是否存在恶意信息。 若不存在恶意信息, 则不作处理。
并列的, 如图 3所示, 还包括:
301b , 获取所述终端设备的识别信息。
其中, 识别信息包括: 终端设备的 MAC地址、 IP地址、 国际移动用 户识另 ll码 ( International Mobile Subscriberldentification Number, IMSI ) 或移动台 ISDN/PSTN号码 ( Mobile Subscriber International ISDN/PSTN number, MSISDN )。
在本实施例中,流量监控设备可以通过常用的技术手段获取终端设备 的 MAC地址、 IP地址、 国际移动用户识别码 IMSI或移动台 ISDN号码 MSISDN等信息, 例如: 流量监控设备可以通过 BTS等设备获取终端设备 的 MAC地址、 IP地址; 由终端设备发送的数据包中往往携带有终端设备 的 IMSI或 MSISDN等信息, 流量监控设备可以对终端设备发送的数据包解 封装并获取终端设备的 IMSI或 MSISDN。
302b , 检测所述终端设备的识别信息是否已被记录。
在本实施例中, 流量监控设备可以在执行了 302a后, 将所上传的数据 中存在恶意信息的终端设备的 MAC地址、 IP地址、 国际移动用户识别码 IMSI或移动台 ISDN号码 MSISDN等识别信息记录在存储器中。 例如: 当 流量监控设备执行了 302b ,检测到终端设备的识别信息已被记录在存储器 中的黑名单中, 说明该终端设备再次之前上传的数据中存在恶意信息, 则 该终端设备存在安全隐患,需要根据预设的信息控制策略限制该终端设备 的数据流量, 以緩减恶意信息传播速度。
若终端设备的识别信息没有被记录, 则不作处理。
303 , 若所述终端设备上传的数据中存在恶意信息, 或若所述终端设 备的识别信息已被记录时, 则根据所述信息控制策略, 限制所述终端设备 的数据流量。
在本实施例中, 当终端设备上传的数据中存在恶意信息、 终端设备的 识别信息已被记录, 这两个条件满足其中任意一项时, 流量监控设备可以 获取信息控制策略, 并根据信息控制策略, 限制终端设备的数据流量。
304 , 若所述终端设备上传的数据中存在恶意信息, 或若所述终端设 备的识别信息已被记录时, 则向所述终端设备发送提示信息。
其中, 提示信息表示所述终端设备上传的数据中存在恶意信息, 或所 述终端设备的识别信息已被记录。
在本实施例中, 当终端设备上传的数据中存在恶意信息、 终端设备的 识别信息已被记录, 这两个条件满足其中任意一项时, 流量监控设备可以 向终端设备发送提示信息。 例如: 终端设备 1的 IMSI已被记录在了流量监 控设备的黑名单中,则流量监控设备可以通过常用的技术手段自动生成一 条文字短信, 如: "您的设备存在安全隐患" , 并将该文字短信送至终端 设备 1。 再例如: 终端设备 1的上行报文中包括了恶意网页的地址信息, 则 流量监控设备可以通过常用的技术手段自动生成一个用于显示提示文字 的网页, 如: 网页上显示 "您要访问的网页存在安全隐患", 并将生成的 网页推送至终端设备 1。 以便终端设备在接收到了提示信息后, 由用户启 动终端设备中安装的杀毒软件等安全程序,或由终端设备根据提示信息自 动启动终端设备中安装的杀毒软件等安全程序。
进一步的, 如图 3所示, 还包括:
305, 确定当前与所述终端设备进行数据交互的其他的终端设备。 在本实施例中,流量监控设备可以确定当前与上传了恶意信息的终端 设备进行数据交互的其他的终端设备,例如:如本领域技术人员所熟知的, 智能手机 1若要向智能手机 2发送彩信、 短信等业务信令, 那么业务信令会 先由智能手机 1传输至 BTS , 并且在业务信令中会包括目的终端 (即智能 手机 2 ) 的 MSISDN, 核心网再将该短信息发送至智能手机 2。 当短信息在 核心网中时, 流量监控设备获取该短信息中的智能手机 2的 MSISDN , 并 可以通过常用的技术手段向智能手机 2发送提示信息。
306 , 向所述其他的终端设备发送所述提示信息。
在本实施例中,流量监控设备发送至与上传了恶意信息的终端设备进 行数据交互的其他的终端设备的提示信息可以有多种, 例如: 流量监控设 备可以通过常用的技术手段自动生成一条文字短信, 如: "该短信的来源 存在安全隐患", 并将该文字短信送至终端设备 2。 再例如: 流量监控设 备可以通过常用的技术手段自动生成一个用于显示提示文字的网页, 如: 网页上显示 "与您通讯的终端存在安全隐患", 并将生成的网页推送至终 端设备 2。
需要说明的是, 在本实施例中, 305-306可以与 304同时执行, 也可以 按照一定的先后顺序执行, 在此不作限定。
动的情况下, 获得多种应用场景, 例如:
图 3a所示的是在诸如 GSM的 2G网络或诸如 UMTS的 3G网络的场景 下,一个终端设备将携带恶意信息的业务信令发送给其他终端设备时的监 控网络的流程, 其中:
1、 UE1向 UE2发送的彩信携带有恶意信息, 则流量监控设备可以从 核心网中获取一份彩信的镜像。
2、 流量监控设备在镜像中检测出彩信携带恶意信息后, 流量监控设 备可以根据信息控制策略直接对执行 UE1进行流量截断、发送提示信息等 流程。
3、 与 2并列的, 流量监控设备也可以通过 BSC对 UE1执行 QoS控制, 即控制器可以从流量监控设备获取信息控制策略,并根据信 , 控制策略对 UE1执行 QoS控制、 限制接入 PS服务等流程。
4、 当 UE2下载 UE1发送的携带有恶意信息的彩信时, 流量监控设备 可以执行向 UE2发送提示信息的流程。
需要说明的是, 在本场景中, 各个设备之间的控制 /服务流、 业务流、 交互信息流等数据流可以通过本领域技术人员所熟知的手段在核心网的 物理链路上实现, 在此不作赘述。 再例如:
图 3b所示的是一个终端浏览恶意网页时的监控网络的流程, 其中: 流量监控设备可以从 Gn节点获取一份 UE发送的 HTTP Request流量的 镜像;
若 UE发送的 HTTP Request流量中的 URL属于恶意网页的地址信息, 则流量监控设备可以根据信息控制策略向 UE发送提示信息, 以通知 UE当 前正在浏览的网页是恶意网页。
本实施例提供的监控网络的方法, 能够对上传恶意信息的终端设备, 采取相应的信息控制策略,并根据信息控制策略限制该终端设备的数据流 量,从而降低该终端设备向网络中传输恶意信息的速率。相对于现有技术, 本发明能够通过限制发送恶意信息的终端设备的流量,来降低恶意信息在 网络中传播的速度, 从而降低网络侧的负荷, 緩减通信网络的运行效率降 低的问题。 在本发明实施例中, 还提供了一种监控网络的装置, 如图 4a所示, 包 括:
检测模块 41 , 用于检测终端设备上传的数据中是否存在恶意信息。 控制策略获取模块 42,用于若所述终端设备上传的数据中存在恶意信 息, 则获取预设的信息控制策略.
其中, 信息控制策略用于表示限制数据流量的方式。
控制模块 43 , 用于根据所述信息控制策略, 限制所述终端设备的数据 流量。 可选的, 如图 4b所示, 所述控制模块 43包括:
优先级控制单元 431 , 用于降低所述终端设备的优先级。
其中, 优先级包括: 终端设备的当前业务的业务承载优先级, 或终端 设备接入网络的优先级。 并列可选的, 如图 4c所示, 所述控制模块 43包括:
传输速率控制单元 432 , 用于降低所述终端设备的数据传输速率。 并列可选的, 如图 4d所示, 所述控制模块 43包括:
屏蔽单元 433 , 用于屏蔽所接收到的所述终端设备发送的数据, 或切 断所述终端设备的网络连接。 进一步的, 如图 4e所示, 在本发明实施例提供的监控网络的装置, 还 可以包括:
识别模块 44 , 用于获取所述终端设备的识别信息。
其中, 识别信息包括: 终端设备的 MAC地址、 IP地址、 国际移动用 户识别码 IMSI或移动台 ISDN号码 MSISDN。
查询模块 45 , 用于检测所述终端设备的识别信息是否已被记录, 若所 述终端设备的识别信息已被记录, 则获取所述信息控制策略, 并根据所述 信息控制策略, 限制所述终端设备的数据流量。
发送模块 46 , 用于若所述终端设备上传的数据中存在恶意信息, 或若 所述终端设备的识别信息已被记录时, 向所述终端设备发送提示信息。
其中, 提示信息表示终端设备上传的数据中存在恶意信息, 或终端设 备的识别信息已被记录。
可选的, 所述发送模块 46, 还用于向所述其他的终端设备发送所述提 示信息。
追踪模块 47 ,用于确定当前与所述终端设备进行数据交互的其他的终 端设备。
本实施例提供的监控网络的装置, 能够对上传恶意信息的终端设备, 采取相应的信息控制策略,并根据信息控制策略限制该终端设备的数据流 量,从而降低该终端设备向网络中传输恶意信息的速率。相对于现有技术, 本发明能够通过限制发送恶意信息的终端设备的流量,来降低恶意信息在 网络中传播的速度, 从而降低网络侧的负荷, 緩减通信网络的运行效率降 低的问题。
在本发明实施例中, 又提供了一种监控网络的网络设备, 如图 5所示, 包括: 处理器 51、 通信接口 52、 存储器 5 3、 总线 54 , 所述处理器 51、 所述 通信接口 52和所述存储器 5 3、 通过所述总线 54完成相互间的通信, 其中: 所述处理器 51 , 用于通过所述通信接口 52获取终端设备上传的数据, 并检测所述终端设备上传的数据中是否存在恶意信息。
所述处理器 51 , 还用于若所述终端设备上传的数据中存在恶意信息, 则从所述存储器 5 3中获取预设的信息控制策略,所述信息控制策略用于表 示限制数据流量的方式, 并根据所述信息控制策略, 通过所述通信接口 52 限制所述终端设备的数据流量。
所述存储器 5 3 , 用于储存所述预设的信息控制策略。
所述通信接口 52 ,用于将所述终端设备上传的数据传输至所述处理器 51 , 并传输所述处理器 51发送的用于限制所述终端设备的数据流量的信 息。
可选的, 所述处理器 51 , 还用于通过所述通信接口 52降低所述终端设 备的优先级, 所述优先级包括: 所述终端设备的当前业务的业务承载优先 级, 或所述终端设备接入网络的优先级。
并列可选的, 所述处理器 51 , 还用于通过所述通信接口 52降低所述终 端设备的数据传输速率。
并列可选的, 所述处理器 51 , 还用于通过所述通信接口 52屏蔽所接收 到的所述终端设备发送的数据, 或切断所述终端设备的网络连接。
进一步可选的, 所述处理器 51 , 还用于通过所述通信接口 52获取所述 终端设备的识别信息, 所述识别信息包括: 所述终端设备的 MAC地址、 IP 地址、 国际移动用户识别码 IMSI或移动台 ISDN号码 MSISDN。 并检测所 述终端设备的识别信息是否已被记录在了所述存储器 53中,若所述终端设 备的识别信息已被记录在了所述存储器 53中,则从所述存储器 53中获取所 述信息控制策略, 并根据所述信息控制策略, 通过所述通信接口 52限制所 述终端设备的数据流量。
其中, 所述存储器 53 , 还用于储存所述终端设备的识别信息。
再进一步可选的, 所述处理器 51 , 还用于若所述终端设备上传的数据 中存在恶意信息, 或若所述终端设备的识别信息已被记录时, 则通过所述 通信接口 52向所述终端设备发送提示信息,所述提示信息表示所述终端设 备上传的数据中存在恶意信息, 或所述终端设备的识别信息已被记录。
其中, 所述处理器 51 , 还用于确定当前与所述终端设备进行数据交互 的其他的终端设备,并通过所述通信接口 52向所述其他的终端设备发送所 述提示信息。
本实施例提供的监控网络的网络设备,能够对上传恶意信息的终端设 备, 采取相应的信息控制策略, 并根据信息控制策略限制该终端设备的数 据流量, 从而降低该终端设备向网络中传输恶意信息的速率。 相对于现有 技术, 本发明能够通过限制发送恶意信息的终端设备的流量, 来降低恶意 信息在网络中传播的速度, 从而降低网络侧的负荷, 緩减通信网络的运行 效率降低的问题。 本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相 同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的 不同之处。 尤其, 对于设备实施例而言, 由于其基本相似于方法实施例, 所以描述得比较筒单, 相关之处参见方法实施例的部分说明即可。
通过以上的实施方式的描述,所属领域的技术人员可以清楚地了解到 本发明可以用硬件实现, 或固件实现, 或它们的组合方式来实现。 当使用 软件实现时,可以将上述功能存储在计算机可读介质中或作为计算机可读 介质上的一个或多个指令或代码进行传输。计算机可读介质包括计算机存 储介质和通信介质,其中通信介质包括便于从一个地方向另一个地方传送 计算机程序的任何介质。 存储介质可以是计算机能够存取的任何可用介 质。以此为例但不限于:计算机可读介质可以包括 RAM、 ROM、 EEPROM、 CD-ROM 或其他光盘存储、 磁盘存储介质或者其他磁存储设备、 或者能 够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由 计算机存取的任何其他介质。 此外。 任何连接可以适当的成为计算机可读 介质。 例如, 如果软件是使用同轴电缆、 光纤光缆、 双绞线、 数字用户线 ( DSL )或者诸如红外线、 无线电和微波之类的无线技术从网站、 服务器 或者其他远程源传输的, 那么同轴电缆、 光纤光缆、 双绞线、 DSL 或者 诸如红外线、 无线和微波之类的无线技术包括在所属介质的定影中。 如本 发明所使用的, 盘 (Disk ) 和碟 (disc ) 包括压缩光碟 (CD )、 激光碟、 光碟、 数字通用光碟 (DVD )、 软盘和蓝光光碟, 其中盘通常磁性的复制 数据, 而碟则用激光来光学的复制数据。 上面的组合也应当包括在计算机 可读介质的保护范围之内。
总之, 以上所述仅为本发明技术方案的较佳实施例而已, 并非用于限 定本发明的保护范围。 凡在本发明的精神和原则之内, 所作的任何修改、 等同替换、 改进等, 均应包含在本发明的保护范围之内。

Claims (1)

  1. 权 利 要 求 书
    1、 一种监控网络的方法, 其特征在于, 包括:
    检测终端设备上传的数据中是否存在恶意信息;
    若所述终端设备上传的数据中存在恶意信息, 则获取预设的信息控制 策略, 所述信息控制策略用于表示限制数据流量的方式;
    根据所述信息控制策略, 限制所述终端设备的数据流量。
    2、 根据权利要求 1所述的监控网络的方法, 其特征在于, 所述限制所 述终端设备的数据流量包括:
    降低所述终端设备的优先级, 所述优先级包括: 所述终端设备的当前 业务的业务承载优先级, 或所述终端设备接入网络的优先级。
    3、 根据权利要求 1所述的监控网络的方法, 其特征在于, 所述限制所 述终端设备的数据流量包括:
    降低所述终端设备的数据传输速率。
    4、 根据权利要求 1所述的监控网络的方法, 其特征在于, 所述限制所 述终端设备的数据流量包括:
    屏蔽所接收到的所述终端设备发送的数据, 或切断所述终端设备的网 络连接。
    5、 根据权利要求 1所述的监控网络的方法, 其特征在于, 还包括: 获取所述终端设备的识别信息, 所述识别信息包括: 所述终端设备的 MAC地址、 IP地址、 国际移动用户识别码 IMSI或移动台 ISDN号码 MSISDN; 检测所述终端设备的识别信息是否已被记录, 若所述终端设备的识别 信息已被记录, 则获取所述信息控制策略, 并根据所述信息控制策略, 限 制所述终端设备的数据流量。
    6、 根据权利要求 1或 5所述的监控网络的方法, 其特征在于, 还包括: 若所述终端设备上传的数据中存在恶意信息, 或若所述终端设备的识 别信息已被记录时, 向所述终端设备发送提示信息, 所述提示信息表示所 述终端设备上传的数据中存在恶意信息, 或所述终端设备的识别信息已被 记录。
    7、 根据权利要求 6所述的监控网络的方法, 其特征在于, 还包括: 确定当前与所述终端设备进行数据交互的其他的终端设备;
    向所述其他的终端设备发送所述提示信息。
    8、 一种监控网络的装置, 其特征在于, 包括:
    检测模块, 用于检测终端设备上传的数据中是否存在恶意信息; 控制策略获取模块,用于若所述终端设备上传的数据中存在恶意信息, 则获取预设的信息控制策略, 所述信息控制策略用于表示限制数据流量的 方式;
    控制模块, 用于根据所述信息控制策略, 限制所述终端设备的数据流 量。 9、 根据权利要求 8所述的监控网络的装置, 其特征在于, 所述控制模 块包括:
    优先级控制单元, 用于降低所述终端设备的优先级, 所述优先级包括: 所述终端设备的当前业务的业务承载优先级, 或所述终端设备接入网络的 优先级。
    10、 根据权利要求 8所述的监控网络的装置, 其特征在于, 所述控制模 块包括:
    传输速率控制单元, 用于降低所述终端设备的数据传输速率。
    11、 根据权利要求 8所述的监控网络的装置, 其特征在于, 所述控制模 块包括:
    屏蔽单元, 用于屏蔽所接收到的所述终端设备发送的数据, 或切断所 述终端设备的网络连接。
    12、 根据权利要求 8所述的监控网络的装置, 其特征在于, 还包括: 识别模块, 用于获取所述终端设备的识别信息, 所述识别信息包括: 所述终端设备的 MAC地址、 IP地址、 国际移动用户识别码 IMSI或移动台 ISDN号码 MSISDN;
    查询模块, 用于检测所述终端设备的识别信息是否已被记录, 若所述 终端设备的识别信息已被记录, 则获取所述信息控制策略, 并根据所述信 息控制策略, 限制所述终端设备的数据流量。 13、根据权利要求 8或 12所述的监控网络的装置,其特征在于,还包括: 发送模块, 用于若所述终端设备上传的数据中存在恶意信息, 或若所 述终端设备的识别信息已被记录时, 向所述终端设备发送提示信息, 所述 提示信息表示所述终端设备上传的数据中存在恶意信息, 或所述终端设备 的识别信息已被记录。
    14、 根据权利要求 13所述的监控网络的装置, 其特征在于, 还包括: 追踪模块, 用于确定当前与所述终端设备进行数据交互的其他的终端 设备;
    所述发送模块, 还用于向所述其他的终端设备发送所述提示信息。
    15、 一种监控网络的网络设备, 其特征在于, 包括: 处理器、 通信接 口、 存储器、 总线, 所述处理器、 所述通信接口和所述存储器、 通过所述 总线完成相互间的通信, 其中:
    所述处理器, 用于通过所述通信接口获取终端设备上传的数据, 并检 测所述终端设备上传的数据中是否存在恶意信息;
    所述处理器, 还用于若所述终端设备上传的数据中存在恶意信息, 则 从所述存储器中获取预设的信息控制策略, 所述信息控制策略用于表示限 制数据流量的方式, 并根据所述信息控制策略, 通过所述通信接口限制所 述终端设备的数据流量; 所述存储器, 用于储存所述预设的信息控制策略;
    所述通信接口, 用于将所述终端设备上传的数据传输至所述处理器, 并传输所述处理器发送的用于限制所述终端设备的数据流量的信息。
    16、 根据权利要求 15所述的监控网络的网络设备, 其特征在于, 所述 处理器, 还用于通过所述通信接口降低所述终端设备的优先级, 所述优先 级包括: 所述终端设备的当前业务的业务承载优先级, 或所述终端设备接 入网络的优先级。
    17、 根据权利要求 15所述的监控网络的网络设备, 其特征在于, 所述 处理器, 还用于通过所述通信接口降低所述终端设备的数据传输速率。
    18、 根据权利要求 15所述的监控网络的网络设备, 其特征在于, 所述 处理器, 还用于通过所述通信接口屏蔽所接收到的所述终端设备发送的数 据, 或切断所述终端设备的网络连接。
    19、 根据权利要求 15所述的监控网络的网络设备, 其特征在于, 还包 括:
    所述处理器,还用于通过所述通信接口获取所述终端设备的识别信息, 所述识别信息包括: 所述终端设备的 MAC地址、 IP地址、 国际移动用户识 别码 IMSI或移动台 ISDN号码 MSISDN; 并检测所述终端设备的识别信息是 否已被记录在了所述存储器中, 若所述终端设备的识别信息已被记录在了 所述存储器中, 则从所述存储器中获取所述信息控制策略, 并根据所述信 息控制策略, 通过所述通信接口限制所述终端设备的数据流量; 所述存储器, 还用于储存所述终端设备的识别信息。
    20、 根据权利要求 15或 19所述的监控网络的网络设备, 其特征在于, 还包括:
    所述处理器, 还用于若所述终端设备上传的数据中存在恶意信息, 或 若所述终端设备的识别信息已被记录时, 则通过所述通信接口向所述终端 设备发送提示信息, 所述提示信息表示所述终端设备上传的数据中存在恶 意信息, 或所述终端设备的识别信息已被记录。
    21、 根据权利要求 20所述的监控网络的网络设备, 其特征在于, 所述 处理器,还用于确定当前与所述终端设备进行数据交互的其他的终端设备, 并通过所述通信接口向所述其他的终端设备发送所述提示信息。
CN201280003110.2A 2012-12-19 2012-12-19 监控网络的方法、装置及网络设备 Active CN104137503B (zh)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/CN2012/086947 WO2014094254A1 (zh) 2012-12-19 2012-12-19 监控网络的方法、装置及网络设备

Publications (2)

Publication Number Publication Date
CN104137503A true CN104137503A (zh) 2014-11-05
CN104137503B CN104137503B (zh) 2019-01-18

Family

ID=50977548

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201280003110.2A Active CN104137503B (zh) 2012-12-19 2012-12-19 监控网络的方法、装置及网络设备

Country Status (2)

Country Link
CN (1) CN104137503B (zh)
WO (1) WO2014094254A1 (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112947246A (zh) * 2021-03-19 2021-06-11 南京仁谷***集成有限公司 一种网络监控管理设备的控制方法

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1716868A (zh) * 2004-06-29 2006-01-04 华为技术有限公司 一种抵御拒绝服务攻击的方法
US20060288417A1 (en) * 2005-06-21 2006-12-21 Sbc Knowledge Ventures Lp Method and apparatus for mitigating the effects of malicious software in a communication network
CN101018156A (zh) * 2007-02-16 2007-08-15 华为技术有限公司 防止带宽型拒绝服务攻击的方法、设备及***
CN101022459A (zh) * 2007-03-05 2007-08-22 华为技术有限公司 预防病毒入侵网络的***和方法
CN102577240A (zh) * 2009-10-28 2012-07-11 惠普发展公司,有限责任合伙企业 用于采用速率限制进行病毒扼制的方法和装置
CN102821002A (zh) * 2011-06-09 2012-12-12 ***通信集团河南有限公司信阳分公司 网络流量异常检测方法和***

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101155034A (zh) * 2006-09-30 2008-04-02 中兴通讯股份有限公司 一种在网络设备上防止用户特定包攻击的方法
CN102263788B (zh) * 2011-07-14 2014-06-04 百度在线网络技术(北京)有限公司 一种用于防御指向多业务***的DDoS攻击的方法与设备

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1716868A (zh) * 2004-06-29 2006-01-04 华为技术有限公司 一种抵御拒绝服务攻击的方法
US20060288417A1 (en) * 2005-06-21 2006-12-21 Sbc Knowledge Ventures Lp Method and apparatus for mitigating the effects of malicious software in a communication network
CN101018156A (zh) * 2007-02-16 2007-08-15 华为技术有限公司 防止带宽型拒绝服务攻击的方法、设备及***
CN101022459A (zh) * 2007-03-05 2007-08-22 华为技术有限公司 预防病毒入侵网络的***和方法
CN102577240A (zh) * 2009-10-28 2012-07-11 惠普发展公司,有限责任合伙企业 用于采用速率限制进行病毒扼制的方法和装置
CN102821002A (zh) * 2011-06-09 2012-12-12 ***通信集团河南有限公司信阳分公司 网络流量异常检测方法和***

Also Published As

Publication number Publication date
WO2014094254A1 (zh) 2014-06-26
CN104137503B (zh) 2019-01-18

Similar Documents

Publication Publication Date Title
US9288828B2 (en) Method, apparatus and system for accessing service by mobile station
WO2019080799A1 (zh) 一种流量处理方法和用户面装置以及终端设备
CN102177697B (zh) 互联网业务控制方法及相关设备和***
CN110536375A (zh) 网络接入方法、装置、网络设备和计算机可读存储介质
US10165618B2 (en) Service processing method and device
KR101903533B1 (ko) 서비스 품질 지수 산출 방법 및 산출 장치, 및 통신 시스템
CN109120524B (zh) 链路聚合方法及相关设备
CN109196889B (zh) 用户信息获取方法、标识对应关系保存方法及装置与设备
EP2978277B1 (en) Data transmission methods and gateways
EP3866506A1 (en) Method and device for controlling terminal and network connection
CN107666694A (zh) 在分布式ap间切换的方法及其相关设备
CN104509060A (zh) 流媒体数据传输的方法及装置
KR101541348B1 (ko) Gtp 네트워크 기반 세션 관리 방법 및 장치
US20190253880A1 (en) Interception method and apparatus based on local breakout
US10129079B2 (en) Telecommunications system and method
CN102655474B (zh) 一种跨设备的流量类型识别方法、设备及***
CN109428870B (zh) 基于物联网的网络攻击处理方法、装置及***
EP2818021B1 (en) Systems and methods for priority based session and mobility management of dual-priority mtc devices
CN105393503A (zh) 消息处理方法和装置
CN104137503B (zh) 监控网络的方法、装置及网络设备
US20160295456A1 (en) Data compression in wireless communications network
EP2887727B1 (en) Method and device for congestion control
CN101771726A (zh) 向移动电话用户提供互联网浏览控制服务的***和方法
CN105122926A (zh) 一种电路域回落用户设备识别的方法及设备
CN108293024B (zh) 业务数据的传输方法和装置

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant