[发明专利]中心控制器保护方法、设备及系统

摘要

本发明公开了一种中心控制器保护方法、设备及系统，属于网络安全领域。所述方法包括接收终端发送的数据包，将数据包与出口网关中存储的流表进行匹配；当数据包与存储的流表均不匹配时，累加用于指示不匹配数据包的数量的计数值；当计数值累加至预警门限值所使用的时长小于预定时长阈值，则向中心控制器发送预警信息，预警信息用于触发中心控制器将中心控制器存储的信息备份至冗余控制器，与冗余控制器共同处理所述中心控制器上报的数据包。本发明解决了相关技术中只能防止非法用户越权访问组织内网中的信息，无线避免组织内网中的中心控制器遭受攻击的问题；达到了可以避免因攻击中心控制器导致中心控制器宕机的风险的效果。

主权项

一种中心控制器保护方法，其特征在于，应用于出口网关中，所述出口网关用于连接移动网络与软件定义网络，所述方法包括：接收终端发送的数据包，将所述数据包与所述出口网关中存储的流表进行匹配；当所述数据包与存储的所述流表均不匹配时，累加用于指示不匹配数据包的数量的计数值，向所述中心控制器上报未匹配的所述数据包；当所述计数值累加至预警门限值所使用的时长小于预定时长阈值，则向所述中心控制器发送预警信息，所述预警信息用于触发所述中心控制器将所述中心控制器存储的信息备份至冗余控制器，与所述冗余控制器共同处理所述出口网关上报的数据包；接收所述中心控制器下发的攻击信息，所述攻击信息是所述中心控制器针对接收到的所述出口网关上报的数据包，确定出具有攻击行为的终端后发送的；控制所述确定出的具有攻击行为的终端正在连接的基站，在预定时间段内禁止所述终端访问所述软件定义网络；所述攻击信息中携带有所述确定出的具有攻击行为的终端的网络协议IP地址，所述控制所述确定出的具有攻击行为的终端正在连接的基站，在预定时间段内禁止所述终端访问所述软件定义网络，包括：根据所述攻击信息中携带的IP地址，确定出具有所述IP地址的终端所具有的国际移动用户识别码IMSI码，所述终端的IP地址是所述出口网关在所述终端接入网络时为所述终端分配的；向移动管理实体MME发送携带有所述IP地址的禁止访问消息，所述禁止访问消息用于通知所述MME查找与所述IP地址对应的IMSI码，向与所述IMSI码对应的基站发送禁止访问指令，所述禁止访问指令用于触发所述基站在所述预定时间段内禁止具有所述IMSI码的终端访问所述软件定义网络。