本發明公開了一種對惡意攻擊流量的處理方法，包括：獲取日志信息，所述日志信息包括流量清洗設備的流量清洗日志信息和遠程用戶撥號認證服務器的話單日志信息；對所述流量清洗日志信息中的第一記錄消息與所述話單日志信息中的第二記錄消息進行匹配，確定異常用戶信息；發送包括所述異常用戶信息的控制信息至遠程用戶撥號認證服務器，供所述遠程用戶撥號認證服務器限制所述異常用戶信息對應的異常用戶的上行傳輸數據。本發明還同時公開了一種流量分析服務器和遠程用戶撥號認證服務器。

技術領域

本發明涉及寬帶業務領域，尤其涉及一種對惡意攻擊流量的處理方法、流量分析服務器和遠程用戶撥號認證服務器(Radius，Remote Authentication Dial In UserService)。

背景技術

寬帶業務是基礎通信公司為用戶提供的高速訪問互聯網的接入業務，用戶可以通過非對稱數字用戶線路(ADSL，Asymmetric Digital Subscriber Line)或光纖接入互聯網，實現高速的上網沖浪。由于“寬帶中國”戰略實施方案的實施，使得城市和農村的家庭寬帶的接入能力分別逐步達到20Mbps和4Mbps，部分發達城市已經達到100Mbps。而隨著寬帶接入標準的調高和互聯網用戶數量的增多，給黑客利用分布式拒絕服務(DDoS，Distributed Denial of Service)進行攻擊提供了有利環境，黑客可以通過控制與以往相比一樣數量的家庭寬帶用戶的僵尸主機來制造更多的惡意攻擊流量，而大流量的惡意攻擊會擁塞網絡帶寬，搶占網絡設備的處理能力，使網絡帶寬的整體利用率降低，從而會威脅到多種業務。例如，在2015年，中國移動互聯網(CMNET，China Mobile Network)的網間DDoS的惡意攻擊流量呈現一個全面爆發的趨勢，直接導致晚忙時單電路的丟包率超過40％，從而影響了各類業務的實施，引發了客戶的投訴。

針對骨干網、城域網中這種大面積的DDoS惡意流量的攻擊，當前基礎電信運營商一般會采用兩種方式進行處理：一種方式是人工方式，即在DDoS惡意流量的攻擊發生后，首先通過網管系統觀察流量的激增情況，手工提取各類系統中關于流量的原始日志，人工分析DDoS惡意流量的來源，然后通過人工方式對網絡設備中的路由策略進行修改，以此來達到對攻擊源的IP地址進行封堵的目的；另一種方式是在自己的骨干網和城域網中部署流量清洗系統，利用流量清洗系統，通過流量檢測、流量牽引、流量清洗以及流量回注等步驟來實現流量清洗。

另外，針對常用的流量清洗系統，現有部署方式也有兩種：一種是對末端進行流量清洗的防護方法，通過在靠近被保護目標的地方部署專用的流量清洗設備來進行防御；另一種是對源端進行流量清洗的防護方法，惡意攻擊流量匯聚前，在靠近攻擊源的多個骨干網節點處對流量進行分布式清洗。

針對上面提到的DDoS的惡意攻擊流量的人工處理方式，要求運營商的維護人員在流量攻擊發生后，能迅速從各類系統的日志中手工分析出DDoS的惡意攻擊流量的來源，以此來封堵攻擊源的IP地址；這就要求維護人員具備相當安全事件的處理經驗和設備維護經驗，因此，該種方式對維護人員的技能要求比較高，響應速度受到維護人員經驗的限制，同時還無法實現對動態攻擊源的IP地址的處理。

針對采用源端清洗的防護方式部署流量清洗設備，此種部署方式的特點是單點防御，只能為本地所保護的系統或設備提供清洗防護，而且防御能力十分有限，對于大規模、超大規模的DDoS的攻擊無法進行防護，并且無法從源頭上對DDoS的惡意攻擊流量進行抑制，因此，在發生大規模的流量攻擊后容易造成被保護目標所在網絡的擁塞或癱瘓；針對采用源端清洗的防護方式部署流量清洗設備，由于此種部署方式的特點主要是對骨干網節點進行清洗，因此，對于城域網內寬帶用戶和互聯網數據中心(IDC，Internet Data Center)等內部網的相互攻擊則難以防御；同時，由于清洗系統的部署層面較高，難以部署精細化的防護策略，因此，也無法從源頭上對DDoS的惡意攻擊流量進行抑制。

可見，為了克服現有的流量清洗方式無法從源頭上對DDoS的惡意攻擊流量進行有效抑制的缺陷，亟需尋找一種對惡意攻擊流量的處理方案。

發明內容