[0042] 以下结合附图,进一步说明本发明的具体实施例。
[0043] 如图1所示,本发明公开一种用于无源光网络系统的智能防攻击方法,该方法包含三个模块:智能防攻击配置模块、攻击探测模块、对攻击源的处理模块。
[0044] 智能防攻击配置模块主要作用是配置当检测攻击存在,对攻击源处理的动作。动作包括攻击源的端口限速,端口关闭,让ONU下线并设置禁止重新上线的时长。智能防攻击将攻击程度分轻度和严重两个级别,不同的级别可以配置不同的动作。区分级别的防攻击动作可以使防攻击更精细化。
[0045] 攻击探测模块为智能防攻击功能中一个比较核心的模块。用来定时探测攻击是否发生攻击行为所处的级别和攻击是否消失。默认探测周期为30秒。并在攻击发生时候和恢复时候调用攻击源处理模块对攻击源进行处理。探测模块为一个定时轮询的探测任务,定时统计上送CPU的攻击报文,查看攻击报文的是否超过初级攻击门限和严重攻击门限,当发生攻击时候,记录攻击的级别,并将OLT设备的攻击状态值为被攻击状态,然后调用攻击源处理模块进行对应的处理。当连续三个周期上送CPU的攻击报文都没有到达攻击的轻度攻击门限时候,认为攻击消失,将设备的状态置未被攻击状态,之所以等要连续三个周期都正常,才将设备攻击状态改为正常。是因为当攻击发生时候,由于对攻击源采取了措施,所以有可能攻击报文会减少,并不一定是攻击消失了,所以采取查询三个周期一直无攻击,才判断攻击消失。
[0046] 攻击源的处理模块主要对攻击源ONU的处理,处理分为三种:端口限速,关闭端口,踢用户下线一段时间不让该ONU上线。攻击源处理模块主要接受探测模块的消失,先查看消息是配置下发还是攻击发现消息,还是攻击消失消息。攻击发现消息的话,会根据攻击级别,对攻击源采取配置模块配置好的行为。如果是攻击消失消息的话,会恢复攻击源的业务。
[0047] 本发明一种用于无源光网络系统的智能防攻击方法分步骤流程如下:
[0048] 步骤1、配置当检测攻击存在时,对攻击源处理的动作。
[0049] 步骤1.1、判断防攻击将攻击程度为轻度级别还是重度级别,若是轻度级别则跳转到步骤1.2,若是重度级别则跳转到步骤1.3。
[0050] 步骤1.2、限制攻击源端口的带宽,跳转到步骤1.4。
[0051] 步骤1.3、直接关闭攻击源的端口,或者将整个光网络单元下线,并且在一定时间内禁止登陆,跳转到步骤1.4。
[0052] 步骤1.4、完成配置。
[0053] 步骤2、如图2所示,定时探测攻击是否发生,以及攻击行为所处的级别;若是则跳转到步骤3,若否则跳转到步骤2继续探测,探测周期为30秒。
[0054] 步骤2.1、探测任务运行,并统计上送光线路终端设备处理器的攻击报文数量。
[0055] 步骤2.2、判断攻击报文是否达到轻度攻击门限,若是,则跳转到步骤2.3,若否则跳转到步骤2.7。
[0056] 步骤2.3、记录攻击状态被攻击状态。
[0057] 步骤2.4、判断攻击报文是否达到重度攻击门限,若是,则跳转到步骤2.5,若否,则记录攻击级别为轻度,并跳转到步骤2.6。
[0058] 步骤2.5、记录攻击级别为重度。
[0059] 步骤2.6、进行攻击源处理流程,跳转到步骤3。
[0060] 步骤2.7、判断当前攻击状态是否为被攻击状态,若是则跳转到步骤2.8,若否则跳转到步骤2.1。
[0061] 步骤2.8、判断是否连续三个周期都未达到轻度攻击门限,若是则跳转到步骤2.9,若否,则跳转到步骤2.1。一个周期为30秒。
[0062] 步骤2.9、记录攻击状态为攻击状态,跳转到步骤2.1继续探测。
[0063] 步骤3、如图3所示,对攻击源的光网络单元进行处理,并跳转到步骤2。
[0064] 步骤3.1、接收攻击探测步骤结果信息。
[0065] 步骤3.2、判断攻击状态是否为被攻击状态,若是,则跳转到步骤3.3,若否则跳转到步骤3.2.1。
[0066] 步骤3.2.1、确认攻击消失,恢复对攻击源光网络单元所做的处理,使其正常运作,跳转到步骤3.5。
[0067] 步骤3.3、判断攻击级别是否为轻度,若是,则跳转到步骤3.4,若否则跳转到步骤3.3.1。
[0068] 步骤3.3.1、级别为重,执行攻击源处理的动作配置中重度级别的处理流程,跳转到步骤3.5。
[0069] 步骤3.4、执行攻击源处理的动作配置中轻度级别的处理流程,跳转到步骤3.5。
[0070] 步骤3.5、将处理流程指令远程发送到光网络单元进行处理。
[0071] 步骤3.6、判断光线路终端设备是否为以太无源光网络,若是则跳转到步骤3.7,若否则跳转到步骤3.8。
[0072] 步骤3.7、通过营运管理与维护(OAM,Operation Administration and Maintenance)消息将指令发送至光网络单元设备,完成处理后跳转到步骤2。
[0073] 步骤3.8、光线路终端设备是宽带无源光网络,并通过光网络终端管理和控制接口(omci,ONT(Optical Network Terminal) Management and Control Interface)消息将指令发送至光网络单元设备,完成处理后跳转到步骤2。
[0074] 尽管本发明的内容已经通过上述优选实施例作了详细介绍,但应当认识到上述的描述不应被认为是对本发明的限制。在本领域技术人员阅读了上述内容后,对于本发明的多种修改和替代都将是显而易见的。因此,本发明的保护范围应由所附的权利要求来限定。