技術領域

本發明實施例涉及通信技術，尤其涉及一種抵抗無線網絡泛洪攻擊的方法、設備及系統。

背景技術

WLAN（Wireless?local?area?network，無線局域網）是計算機網絡和無線通信技術相結合的產物，用戶能夠通過WLAN隨時、隨地接入網絡，從而方便的利用網絡資源。

在一個WLAN中，無線網絡泛洪報文的轉發將會直接影響到無線網絡的性能和安全性。現有技術對泛洪攻擊的檢測主要為：對無線移動終端進行流量監聽和統計，當無線移動終端的報文流量超過預設閾值時，將無線移動終端加入黑名單，并丟棄無線移動終端發送的報文。

現有技術中基于流量檢測的抵抗泛洪攻擊方法，全網的無線接入網設備無法阻止泛洪攻擊源同時還會丟棄合法的報文，導致全網的無線接入網設備安全性和可靠性低。

發明內容

本發明實施例提供一種抵抗無線網絡泛洪攻擊的方法、設備及系統，以提高全網的無線接入網設備安全性和可靠性。

一方面，本發明實施例提供一種抵抗無線網絡泛洪攻擊的方法，包括：

第一無線接入網設備AP獲取無線工作站STA在第一周期訪問目標網頁地址URL的訪問總次數，并記錄所述訪問總次數與所述第一周期時間的比值；

若所述比值大于預設閾值，則所述第一AP拒絕所述STA訪問所述目標URL，向無線接入網控制器AC發送包括所述STA的標識和所述目標URL的策略執行請求報文，以使所述AC向至少一個第二AP發送包括所述STA的標識和所述目標URL的拒絕訪問報文，以使所述至少一個第二AP拒絕所述STA訪問所述目標URL。

本發明實施例還提供另一種抵抗無線網絡泛洪攻擊的方法，包括：

無線接入網控制器AC接收第一無線接入網設備AP發送的攜帶無線工作站STA的標識和目標網頁地址URL的策略執行請求報文；

所述AC根據所述策略執行請求報文生成攜帶所述STA的標識和所述目標URL的拒絕訪問報文，并將所述拒絕訪問報文發送給至少一個第二AP，以使所述至少一個第二AP拒絕所述STA訪問所述目標URL。

另一方面，本發明實施例提供一種無線接入網設備，包括：

采集模塊：用于獲取無線工作站STA在第一周期訪問目標網頁地址URL的訪問總次數，并記錄所述訪問總次數與所述第一周期時間的比值；

策略執行模塊：用于若所述比值大于預設閾值，拒絕所述STA訪問所述目標URL，向無線接入網控制器AC發送包括所述STA的標識和所述目標URL的策略執行請求報文，以使所述AC向至少一個其它AP發送包括所述STA的標識和所述目標URL的拒絕訪問報文，以使所述至少一個其它AP拒絕所述STA訪問所述目標URL。

本發明實施例還提供一種無線接入網控制器，包括：

接收模塊：用于接收無線接入網設備AP發送的攜帶無線工作站STA的標識和目標網頁地址URL的策略執行請求報文；

通告執行模塊：用于根據所述策略執行請求報文生成攜帶所述STA的標識和所述目標URL的拒絕訪問報文，并將所述拒絕訪問報文發送給至少一個其它AP，以使所述至少一個其它AP拒絕所述STA訪問所述目標URL。

再一方面，本發明實施例還提供一種抵抗無線網絡泛洪攻擊的系統，包括上述任一所述的無線接入網設備和上述任一所述的無線接入網控制器。

本發明實施例提供的抵抗無線網絡泛洪攻擊的方法、設備及系統，通過第一無線接入網設備AP獲取無線工作站STA在第一周期訪問目標網頁地址URL的訪問總次數，記錄訪問總次數與周期時間的比值，可獲得STA在單位時間內訪問目標URL的平均頻率。在比值大于預設閾值時，第一AP拒絕STA訪問目標URL，但不拒絕STA訪問其它URL。第一AP向AC發送包括STA的標識和目標URL的策略執行請求報文，以使AC向至少一個第二AP發送包括STA的標識和目標URL的拒絕訪問報文，以使至少一個第二AP拒絕STA訪問目標URL，實現了在全網范圍內識別泛洪攻擊源，拒絕攻擊源的泛洪訪問，提高了全網的無線接入網設備的安全性和可靠性。

附圖說明

為了更清楚地說明本發明實施例或現有技術中的技術方案，下面將對實施例或現有技術描述中所需要使用的附圖作一簡單地介紹，顯而易見地，下面描述中的附圖是本發明的一些實施例，對于本領域普通技術人員來講，在不付出創造性勞動性的前提下，還可以根據這些附圖獲得其他的附圖。

圖1為本發明抵抗無線網絡泛洪攻擊的方法實施例一的流程圖；