首页 > 专利 > 上海斐讯数据通信技术有限公司 > 一种用于无源光网络系统的智能防攻击方法专利详情

一种用于无源光网络系统的智能防攻击方法 0 0

有效专利查看PDF

申请进展

基本信息

申请人信息

代理人信息

摘要

法律状态

权利要求

说明书

专利申请流程有哪些步骤？

申请

申请号：指国家知识产权局受理一件专利申请时给予该专利申请的一个标示号码。唯一性原则。

申请日：提出专利申请之日。

2013-12-13

申请公布

申请公布指发明专利申请经初步审查合格后，自申请日（或优先权日）起18个月期满时的公布或根据申请人的请求提前进行的公布。

申请公布号：专利申请过程中，在尚未取得专利授权之前，国家专利局《专利公报》公开专利时的编号。

申请公布日：申请公开的日期，即在专利公报上予以公开的日期。

2016-12-21

授权

授权指对发明专利申请经实质审查没有发现驳回理由，授予发明专利权；或对实用新型或外观设计专利申请经初步审查没有发现驳回理由，授予实用新型专利权或外观设计专利权。

2019-12-20

预估到期

发明专利权的期限为二十年，实用新型专利权期限为十年，外观设计专利权期限为十五年，均自申请日起计算。专利届满后法律终止保护。

2033-12-13

基本信息

有效性	有效专利	专利类型	发明专利
申请号	CN201310677339.0	申请日	2013-12-13
公开/公告号	CN103716305B	公开/公告日	2019-12-20
授权日	2019-12-20	预估到期日	2033-12-13
申请年	2013年	公开/公告年	2019年
缴费截止日	2023-01-13
分类号	H04L29/06 、H04B10/03 、H04B10/07	主分类号	H04L29/06
是否联合申请	独立申请	文献类型号	B
独权数量	1	从权数量	3
权利要求数量	4	非专利引证数量	1
引用专利数量	4	被引证专利数量	0
非专利引证	1、EPON系统安全机制研究及实现《.重庆邮电学院学报(2006)》.2006,(第5期),;
引用专利	CN101459519A、CN101483515A、CN102026199A、CN102111394A	被引证专利
专利权维持	6	专利申请国编码	CN
专利事件	转让	事务标签	公开、实质审查、授权、权利转移

申请人信息

申请人	上海斐讯数据通信技术有限公司	第一申请人	上海斐讯数据通信技术有限公司
专利权人	上海斐讯数据通信技术有限公司	当前专利权人	台州市吉吉知识产权运营有限公司
发明人	邱全华	第一发明人	邱全华
地址	上海市松江区广富林路4855弄20号、90号	邮编	201620
申请人数量	1	发明人数量	1
申请人所在省	上海市	申请人所在市	上海市松江区

代理人信息

代理机构

专利代理机构是经省专利管理局审核，国家知识产权局批准设立，可以接受委托人的委托，在委托权限范围内以委托人的名义办理专利申请或其他专利事务的服务机构。

浙江千克知识产权代理有限公司

代理人

专利代理师是代理他人进行专利申请和办理其他专利事务，取得一定资格的人。

周希良

摘要

本发明公开一种用于无源光网络系统的智能防攻击方法，该方法包含以下步骤：1、配置当检测攻击存在时，对攻击源处理的动作；2、定时探测攻击是否发生，以及攻击行为所处的级别；若是则跳转到步骤3，若否则继续探测；3、对攻击源的光网络单元进行处理，完成后继续探测。本发明攻击发生时候对攻击源的操作和攻击消失时候业务的恢复，全自动完成，不需要人工干扰，节省人力资源，节约成本，实现智能化操作；可以同时应用于EPON OLT设备和GPON OLT设备；检测到攻击发生时候，直接对攻击源进行处理，目前还没有防攻击，一般防攻击都是被动防御，对自己本身进行限制，防止崩溃，影响自身的正常业务。

摘要附图
说明书附图：图1
说明书附图：图2
说明书附图：图3

法律状态

序号	法律状态公告日	法律状态	法律状态信息
1	2020-11-17	专利权的转移	登记生效日: 2020.11.04 专利权人由上海斐讯数据通信技术有限公司变更为台州市吉吉知识产权运营有限公司地址由201620 上海市松江区广富林路4855弄20号、90号变更为318015 浙江省台州市椒江区洪家街道东环大道2388号农港城A区2-3167号
2	2019-12-20	授权
3	2016-12-21	实质审查的生效	IPC(主分类): H04L 29/06 专利申请号: 201310677339.0 申请日: 2013.12.13
4	2014-04-09	公开

权利要求

权利要求书是申请文件最核心的部分，是申请人向国家申请保护他的发明创造及划定保护范围的文件。

1.一种用于无源光网络系统的智能防攻击方法，其特征在于，该方法包含以下步骤：
步骤1、配置当检测攻击存在时，对攻击源处理的动作；
步骤2、定时探测攻击是否发生，以及攻击行为所处的级别；若是则跳转到步骤3，若否则跳转到步骤2继续探测；
步骤2.1、探测任务运行，并统计上送光线路终端设备处理器的攻击报文数量；
步骤2.2、判断攻击报文是否达到轻度攻击门限，若是，则跳转到步骤2.3，若否则跳转到步骤2.7；
步骤2.3、记录攻击状态被攻击状态；
步骤2.4、判断攻击报文是否达到重度攻击门限，若是，则跳转到步骤2.5，若否，则记录攻击级别为轻度，并跳转到步骤2.6；
步骤2.5、记录攻击级别为重度；
步骤2.6、进行攻击源处理流程，跳转到步骤3；
步骤2.7、判断当前攻击状态是否为被攻击状态，若是则跳转到步骤2.8，若否则跳转到步骤2.1；
步骤2.8、判断是否连续三个周期都未达到轻度攻击门限，若是则跳转到步骤2.9，若否，则跳转到步骤2.1；
步骤2.9、记录攻击状态为攻击状态，跳转到步骤2.1继续探测；
步骤3、对攻击源的光网络单元进行处理，并跳转到步骤2。

2.如权利要求1所述的用于无源光网络系统的智能防攻击方法，其特征在于，所述的步骤1包含以下步骤：
步骤1.1、判断防攻击将攻击程度为轻度级别还是重度级别，若是轻度级别则跳转到步骤1.2，若是重度级别则跳转到步骤1.3；
步骤1.2、限制攻击源端口的带宽，跳转到步骤1.4；
步骤1.3、直接关闭攻击源的端口，或者将整个光网络单元下线，并且在一定时间内禁止登陆，跳转到步骤1.4；
步骤1.4、完成配置。

3.如权利要求1所述的用于无源光网络系统的智能防攻击方法，其特征在于，所述的步骤2中，探测周期为30秒。

4.如权利要求2所述的用于无源光网络系统的智能防攻击方法，其特征在于，所述的步骤3包含以下步骤：
步骤3.1、接收攻击探测步骤结果信息；
步骤3.2、判断攻击状态是否为被攻击状态，若是，则跳转到步骤3.3，若否则跳转到步骤3.2.1；
步骤3.2.1、确认攻击消失，恢复对攻击源光网络单元所做的处理，使其正常运作，跳转到步骤3.5；
步骤3.3、判断攻击级别是否为轻度，若是，则跳转到步骤3.4，若否则跳转到步骤
3.3.1；
步骤3.3.1、级别为重，执行攻击源处理的动作配置中重度级别的处理流程，跳转到步骤3.5；
步骤3.4、执行攻击源处理的动作配置中轻度级别的处理流程，跳转到步骤3.5；
步骤3.5、将处理流程指令远程发送到光网络单元进行处理；
步骤3.6、判断光线路终端设备是否为以太无源光网络，若是则跳转到步骤3.7，若否则跳转到步骤3.8；
步骤3.7、通过营运管理与维护消息将指令发送至光网络单元设备，完成处理后跳转到步骤2；
步骤3.8、光线路终端设备是宽带无源光网络，并通过光网络终端管理和控制接口信息将指令发送至光网络单元设备，完成处理后跳转到步骤2。

说明书

技术领域

[0001] 本发明涉及一种系统防攻击方法，具体涉及一种用于无源光网络系统的智能防攻击方法。

背景技术

[0002] 当前无源光纤网络（Passive Optical Network，PON）技术，已经作为主流的接入技术得到了广泛的应用。不管是宽带无源光网络（GPON，Gigabit-Capable PON）或者以太无源光网络（EPON），都实现了光前入户，大大提高了用户带宽使用水平，但是通讯设备处在互联网中，很容易受到各种各样的攻击。如果遭受攻击导致死机，会导致大量用户业务受到影响。目前GPON标准对光线路终端（OLT）设备的安全性也有一定的要求。标准要求设备都应该具有一定的安全防攻击能力。

[0003] 但是当前实现一般是当对OLT自身的报文处理进行限制。当用户发现攻击产生，对自身限速，限制自己的上送CPU的报文流量，来防止OLT收到攻击报文太多，导致CPU繁忙，系统宕机。

[0004] 该现有技术有两点不足：

[0005] 一是需要人为发现攻击，然后手动配置限速，需要人为检测攻击，并手动配置限速，并且等攻击消失，还要手动恢复。增加了用户操作复杂度。

[0006] 二是在OLT进行抑制时候，连接ONU的用户可能还在持续攻击，比较被动。不能达到直接限制攻击源的效果。并且使OLT正常业务受到影响。

发明内容

[0007] 本发明提供一种用于无源光网络系统的智能防攻击方法，实现光线路终端和光网络单元联动，探测攻击的发生，自动对攻击源进行处理，不需要人为干预。

[0008] 为实现上述目的，本发明提供一种用于无源光网络系统的智能防攻击方法，其特点是，该方法包含以下步骤：

[0009] 步骤1、配置当检测攻击存在时，对攻击源处理的动作；

[0010] 步骤1.1、判断防攻击将攻击程度为轻度级别还是重度级别，若是轻度级别则跳转到步骤1.2，若是重度级别则跳转到步骤1.3；

[0011] 步骤1.2、限制攻击源端口的带宽，跳转到步骤1.4；

[0012] 步骤1.3、直接关闭攻击源的端口，或者将整个光网络单元下线，并且在一定时间内禁止登陆，跳转到步骤1.4；

[0013] 步骤1.4、完成配置；

[0014] 步骤2、定时探测攻击是否发生，以及攻击行为所处的级别；若是则跳转到步骤3，若否则跳转到步骤2继续探测；

[0015] 步骤2.1、探测任务运行，并统计上送光线路终端设备处理器的攻击报文数量；

[0016] 步骤2.2、判断攻击报文是否达到轻度攻击门限，若是，则跳转到步骤2.3，若否则跳转到步骤2.7；

[0017] 步骤2.3、记录攻击状态被攻击状态；

[0018] 步骤2.4、判断攻击报文是否达到重度攻击门限，若是，则跳转到步骤2.5，若否，则记录攻击级别为轻度，并跳转到步骤2.6；

[0019] 步骤2.5、记录攻击级别为重度；

[0020] 步骤2.6、进行攻击源处理流程，跳转到步骤3；

[0021] 步骤2.7、判断当前攻击状态是否为被攻击状态，若是则跳转到步骤2.8，若否则跳转到步骤2.1；

[0022] 步骤2.8、判断是否连续三个周期都未达到轻度攻击门限，若是则跳转到步骤2.9，若否，则跳转到步骤2.1；

[0023] 步骤2.9、记录攻击状态为攻击状态，跳转到步骤2.1继续探测；

[0024] 步骤3、对攻击源的光网络单元进行处理，并跳转到步骤2。

[0025] 步骤3.1、接收攻击探测步骤结果信息；

[0026] 步骤3.2、判断攻击状态是否为被攻击状态，若是，则跳转到步骤3.3，若否则跳转到步骤3.2.1；

[0027] 步骤3.2.1、确认攻击消失，恢复对攻击源光网络单元所做的处理，使其正常运作，跳转到步骤3.5；

[0028] 步骤3.3、判断攻击级别是否为轻度，若是，则跳转到步骤3.4，若否则跳转到步骤3.3.1；

[0029] 步骤3.3.1、级别为重，执行攻击源处理的动作配置中重度级别的处理流程，跳转到步骤3.5；

[0030] 步骤3.4、执行攻击源处理的动作配置中轻度级别的处理流程，跳转到步骤3.5；

[0031] 步骤3.5、将处理流程指令远程发送到光网络单元进行处理；

[0032] 步骤3.6、判断光线路终端设备是否为以太无源光网络，若是则跳转到步骤3.7，若否则跳转到步骤3.8；

[0033] 步骤3.7、通过营运管理与维护消息将指令发送至光网络单元设备，完成处理后跳转到步骤2；

[0034] 步骤3.8、光线路终端设备是宽带无源光网络，并通过光网络终端管理和控制接口信息将指令发送至光网络单元设备，完成处理后跳转到步骤2。

[0035] 上述的步骤2中，探测周期为30秒。

[0036] 本发明一种用于无源光网络系统的智能防攻击方法和现有技术的防攻击技术相比，其优点在于，本发明攻击发生时候对攻击源的操作和攻击消失时候业务的恢复，全自动完成，不需要人工干扰。节省人力资源，节约成本，实现智能化操作；

[0037] 本发明可以同时应用于EPON OLT设备和GPON OLT设备；

[0038] 本发明检测到攻击发生时候，直接对攻击源进行处理，目前还没有防攻击，一般防攻击都是被动防御，对自己本身进行限制，防止崩溃，影响自身的正常业务。

实施方案

[0042] 以下结合附图，进一步说明本发明的具体实施例。

[0043] 如图1所示，本发明公开一种用于无源光网络系统的智能防攻击方法，该方法包含三个模块：智能防攻击配置模块、攻击探测模块、对攻击源的处理模块。

[0044] 智能防攻击配置模块主要作用是配置当检测攻击存在，对攻击源处理的动作。动作包括攻击源的端口限速，端口关闭，让ONU下线并设置禁止重新上线的时长。智能防攻击将攻击程度分轻度和严重两个级别，不同的级别可以配置不同的动作。区分级别的防攻击动作可以使防攻击更精细化。

[0045] 攻击探测模块为智能防攻击功能中一个比较核心的模块。用来定时探测攻击是否发生攻击行为所处的级别和攻击是否消失。默认探测周期为30秒。并在攻击发生时候和恢复时候调用攻击源处理模块对攻击源进行处理。探测模块为一个定时轮询的探测任务，定时统计上送CPU的攻击报文，查看攻击报文的是否超过初级攻击门限和严重攻击门限，当发生攻击时候，记录攻击的级别，并将OLT设备的攻击状态值为被攻击状态，然后调用攻击源处理模块进行对应的处理。当连续三个周期上送CPU的攻击报文都没有到达攻击的轻度攻击门限时候，认为攻击消失，将设备的状态置未被攻击状态，之所以等要连续三个周期都正常，才将设备攻击状态改为正常。是因为当攻击发生时候，由于对攻击源采取了措施，所以有可能攻击报文会减少，并不一定是攻击消失了，所以采取查询三个周期一直无攻击，才判断攻击消失。

[0046] 攻击源的处理模块主要对攻击源ONU的处理，处理分为三种：端口限速，关闭端口，踢用户下线一段时间不让该ONU上线。攻击源处理模块主要接受探测模块的消失，先查看消息是配置下发还是攻击发现消息，还是攻击消失消息。攻击发现消息的话，会根据攻击级别，对攻击源采取配置模块配置好的行为。如果是攻击消失消息的话，会恢复攻击源的业务。

[0047] 本发明一种用于无源光网络系统的智能防攻击方法分步骤流程如下：

[0048] 步骤1、配置当检测攻击存在时，对攻击源处理的动作。

[0049] 步骤1.1、判断防攻击将攻击程度为轻度级别还是重度级别，若是轻度级别则跳转到步骤1.2，若是重度级别则跳转到步骤1.3。

[0050] 步骤1.2、限制攻击源端口的带宽，跳转到步骤1.4。

[0051] 步骤1.3、直接关闭攻击源的端口，或者将整个光网络单元下线，并且在一定时间内禁止登陆，跳转到步骤1.4。

[0052] 步骤1.4、完成配置。

[0053] 步骤2、如图2所示，定时探测攻击是否发生，以及攻击行为所处的级别；若是则跳转到步骤3，若否则跳转到步骤2继续探测，探测周期为30秒。

[0054] 步骤2.1、探测任务运行，并统计上送光线路终端设备处理器的攻击报文数量。

[0055] 步骤2.2、判断攻击报文是否达到轻度攻击门限，若是，则跳转到步骤2.3，若否则跳转到步骤2.7。

[0056] 步骤2.3、记录攻击状态被攻击状态。

[0057] 步骤2.4、判断攻击报文是否达到重度攻击门限，若是，则跳转到步骤2.5，若否，则记录攻击级别为轻度，并跳转到步骤2.6。

[0058] 步骤2.5、记录攻击级别为重度。

[0059] 步骤2.6、进行攻击源处理流程，跳转到步骤3。

[0060] 步骤2.7、判断当前攻击状态是否为被攻击状态，若是则跳转到步骤2.8，若否则跳转到步骤2.1。

[0061] 步骤2.8、判断是否连续三个周期都未达到轻度攻击门限，若是则跳转到步骤2.9，若否，则跳转到步骤2.1。一个周期为30秒。

[0062] 步骤2.9、记录攻击状态为攻击状态，跳转到步骤2.1继续探测。

[0063] 步骤3、如图3所示，对攻击源的光网络单元进行处理，并跳转到步骤2。

[0064] 步骤3.1、接收攻击探测步骤结果信息。

[0065] 步骤3.2、判断攻击状态是否为被攻击状态，若是，则跳转到步骤3.3，若否则跳转到步骤3.2.1。

[0066] 步骤3.2.1、确认攻击消失，恢复对攻击源光网络单元所做的处理，使其正常运作，跳转到步骤3.5。

[0067] 步骤3.3、判断攻击级别是否为轻度，若是，则跳转到步骤3.4，若否则跳转到步骤3.3.1。

[0068] 步骤3.3.1、级别为重，执行攻击源处理的动作配置中重度级别的处理流程，跳转到步骤3.5。

[0069] 步骤3.4、执行攻击源处理的动作配置中轻度级别的处理流程，跳转到步骤3.5。

[0070] 步骤3.5、将处理流程指令远程发送到光网络单元进行处理。

[0071] 步骤3.6、判断光线路终端设备是否为以太无源光网络，若是则跳转到步骤3.7，若否则跳转到步骤3.8。

[0072] 步骤3.7、通过营运管理与维护（OAM，Operation Administration and Maintenance）消息将指令发送至光网络单元设备，完成处理后跳转到步骤2。

[0073] 步骤3.8、光线路终端设备是宽带无源光网络，并通过光网络终端管理和控制接口（omci，ONT（Optical Network Terminal） Management and Control Interface）消息将指令发送至光网络单元设备，完成处理后跳转到步骤2。

[0074] 尽管本发明的内容已经通过上述优选实施例作了详细介绍，但应当认识到上述的描述不应被认为是对本发明的限制。在本领域技术人员阅读了上述内容后，对于本发明的多种修改和替代都将是显而易见的。因此，本发明的保护范围应由所附的权利要求来限定。

附图说明

[0039] 图1为本发明一种用于无源光网络系统的智能防攻击方法的总体模块图；

[0040] 图2为本发明一种用于无源光网络系统的智能防攻击方法的攻击探测流程图；

[0041] 图3为本发明一种用于无源光网络系统的智能防攻击方法的攻击处理流程图。

1一种防止报文攻击的方法及系统 2一种基于SDN的防地址扫描攻击的方法及系统 3一种用于无源光网络系统的智能防攻击方法