CN106060068A - 一种信息过滤方法和装置 - Google Patents
一种信息过滤方法和装置 Download PDFInfo
- Publication number
- CN106060068A CN106060068A CN201610510388.9A CN201610510388A CN106060068A CN 106060068 A CN106060068 A CN 106060068A CN 201610510388 A CN201610510388 A CN 201610510388A CN 106060068 A CN106060068 A CN 106060068A
- Authority
- CN
- China
- Prior art keywords
- equipment
- stream
- destination address
- route
- flow
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/38—Flow based routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供了一种信息过滤方法和装置,其中,所述方法包括:对客户侧边缘设备CE设备上报的流路由进行解析,得到所述流路由中的目的地址;判断所述目的地址与所述CE设备的路由是否匹配;当确定所述目的地址与所述CE设备的路由匹配时,将所述流路由更新至流过滤列表中。通过本申请解决了现有的Flow‑spec技术存在的安全隐患问题,避免了第三方基于Flow‑spec技术对企业进行的攻击。
Description
技术领域
本申请涉及互联网技术领域,特别是涉及一种信息过滤方法和装置。
背景技术
随着互联网的发展,针对企业的各类恶意攻击也日益繁多,企业面临着越来越多的安全问题。例如,目前较为常见的一种针对企业的攻击:DDoS(Distributed Denialof Service,分布式拒绝服务)。DDoS攻击发生时,大量的流量直接从运营商一侧涌入,瞬间占用企业的出口链路资源,造成无法接入正常业务流量,使得企业无法正常执行业务。
目前,大部分企业通常是通过Flow-spec技术来实现对DDoS攻击的防御。当网络检测到DDoS攻击时,可以触发产生一条流路由,即Flow route,上游路由器可以根据所述Flow route自动产生一个动态过滤列表来过滤或限速攻击流量,达到防止DDoS攻击的目的。
然而,Flow-spec技术本身也存在安全隐患,恶意第三方可以基于Flow-spec技术实现对企业网络的恶意攻击:恶意第三方可以将一条恶意Flow route发布给运营商,企业在从运营商侧接收接入正常业务流量时,运营商侧可能会根据所述恶意Flow route对所述正常业务流量进行过滤或限速,造成企业内的正常网络业务无法执行。
发明内容
本申请提供了一种信息过滤方法和装置,以解决Flow-spec技术存在的安全隐患,避免第三方基于Flow-spec技术对企业进行攻击。
为了解决上述问题,本申请公开了一种信息过滤方法,包括:
对客户侧边缘设备CE设备上报的流路由进行解析,得到所述流路由中的目的地址;
判断所述目的地址与所述CE设备的路由是否匹配;
当确定所述目的地址与所述CE设备的路由匹配时,将所述流路由更新至流过滤列表中。
优选的,在所述判断所述目的地址与所述CE设备的路由是否匹配的步骤之前,所述方法还包括:
确定接收所述流路由的接口;
根据邻居配置关系,确定所述接口对应的CE设备;
从路由表中获取与所述确定的CE设备相匹配的所有路由。
优选的,所述判断所述目的地址与所述CE设备的路由是否匹配的步骤,包括:
判断所述目的地址与所述CE设备的路由中的目的地址是否一致;或,判断所述目的地址是否包含在所述CE设备的路由的目的地址中。
优选的,所述方法还包括:
当确定所述目的地址与所述CE设备的路由不匹配时,拒绝所述流路由的更新。
优选的,所述方法还包括:
接收所述CE设备上报的流路由;其中,所述流路由为:在所述CE设备接收到流量,并确定所述流量为攻击流量时生成的流路由。
相应地,本申请还公开了一种信息过滤装置,包括:
解析模块,用于对客户侧边缘设备CE设备上报的流路由进行解析,得到所述流路由中的目的地址;
判断模块,用于判断所述目的地址与所述CE设备的路由是否匹配;
第一执行模块,用于在确定所述目的地址与所述CE设备的路由匹配时,将所述流路由更新至流过滤列表中。
优选的,所述装置还包括:
第一确定模块,用于在所述判断模块判断所述目的地址与所述CE设备的路由是否匹配之前,确定接收所述流路由的接口;
第二确定模块,用于根据邻居配置关系,确定所述接口对应的CE设备;
获取模块,用于从路由表中获取与所述确定的CE设备相匹配的所有路由。
优选的,所述判断模块,用于判断所述目的地址与所述CE设备的路由中的目的地址是否一致;或,判断所述目的地址是否包含在所述CE设备的路由的目的地址中。
优选的,所述装置还包括:
第二执行模块,用于在确定所述目的地址与所述CE设备的路由不匹配时,拒绝所述流路由的更新。
优选的,所述装置还包括:
接收模块,用于接收所述CE设备上报的流路由;其中,所述流路由包括:在所述CE设备接收到数据流量,并确定所述数据流量为攻击流量时生成的流路由。
与现有技术相比,本申请具有以下优点:
本申请公开了一种信息过滤方案,通过对客户侧边缘设备CE设备上报的流路由进行解析,得到所述流路由中的目的地址;然后,判断所述目的地址与所述CE设备的路由是否匹配;最后,当确定所述目的地址与所述CE设备的路由匹配时,将所述流路由更新至流过滤列表中;否则,拒绝所述流路由的更新。可见,本申请可以通过目的地址与CE设备的路由的匹配结果来确定CE设备上报的流路由是否是恶意流路由,实现了对恶意流路由Flowroute的过滤,确保了运营商侧接收到的流路由是当前企业侧在确定接入流量时攻击流量时上报的流路由,避免了将恶意流路由更新至流过滤列表,进而,避免了企业正常业务被中断无法执行的情况,保证了企业正常业务的执行。
附图说明
图1是本申请实施例中一种信息过滤方法的步骤流程图;
图2是本申请实施例中又一种信息过滤方法的步骤流程图;
图3是本申请实施例中另一种信息过滤方法的步骤流程图;
图4是本申请实施例中一种信息过滤装置的结构框图;
图5是本申请实施例中一种优选的信息过滤装置的结构框图。
具体实施方式
为使本申请的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本申请作进一步详细的说明。
参照图1,示出了本申请实施例中一种信息过滤方法的步骤流程图。在本实施例中,所述信息过滤方法包括:
步骤102,对客户侧边缘设备CE设备上报的流路由进行解析,得到流路由中的目的地址。
在本实施例中,所述流路由具体可以是指:Flow route。其中,所述Flowroute中包括但不仅限于:包含IP(Internet Protocol,网络之间互连的协议)五元组和TCP(Transmission Control Protocol,传输控制协议)的控制字段等多个属性的流信息以及对流处理信息。Flow route可以用于对特定流量(如攻击流量)进行过滤或者限速。例如,当CE(Customer Edge)设备检查到攻击流量时,可以对应生成一条流路由,以用于指示所述攻击流量。在本实施例中,可以对所述流路由进行解析,确定所述流路由中的目的地址。
步骤104,判断所述目的地址与所述CE设备的路由是否匹配。
在本实施例中,可以通过对所述目的地址与所述CE设备的路由的匹配判断,来确定所述流路由与所述CE设备是否对应匹配。
例如,若所述目的地址与所述CE设备的路由不匹配,则说明所述流路由不是通过所述CE设备发出的,所述流路由可能是其他CE设备由于网络配置错误而错误发送的,或是由其他CE设备恶意发送的,此时,若仍继续接收所述流路由,则可能会导致所述CE设备中正常运行的业务中断。因此,在本实施例中,当确定所述目的地址与所述CE设备的路由匹配时,可以执行下述步骤106。
步骤106,将所述流路由更新至流过滤列表中。
在本实施例中,当确定所述目的地址与所述CE设备的路由匹配时,可以将所述流路由更新至流过滤列表中,进而,当再次遇到相同的攻击流量时,可以直接通过所述流过滤列表来过滤攻击流量,或对攻击流量进行限速,阻止所述攻击流量对正常业务的影响。
需要说明的是,若确定所述目的地址与所述CE设备的路由不匹配,如前所述,所述流路由可能不是由所述CE设备发出的,为了避免对流过滤列表的更新错误,以及,由于流过滤列表更新错误而导致的正常业务的无法执行的问题,此时可以拒绝所述流路由的更新,拒绝将所述流路由更新至所述流过滤列表中。
综上所述,本实施例所述的一种信息过滤方法,可以通过对客户侧边缘设备CE设备上报的流路由进行解析,得到所述流路由中的目的地址;然后,判断所述目的地址与所述CE设备的路由是否匹配;最后,当确定所述目的地址与所述CE设备的路由匹配时,将所述流路由更新至流过滤列表中;否则,拒绝所述流路由的更新。可见,在本实施例中,可以通过目的地址与路由的匹配结果来确定CE设备上报的流路由是否是恶意流路由,实现了对恶意流路由Flow route的过滤,确保了运营商侧接收到的流路由是当前企业侧在确定接入流量时攻击流量时上报的流路由,避免了将恶意流路由更新至流过滤列表,进而,避免了企业正常业务被中断无法执行的情况,保证了企业正常业务的执行。
参照图2,示出了本申请实施例中又一种信息过滤方法的步骤流程图。在本实施例中,所述信息过滤方法包括:
步骤202,接收所述CE设备上报的流路由。
一般地,流量的接入可以大致分为两类:一是正常业务对应的正常流量,一是恶意攻击对应的攻击流量。在本实施例中,所述流路由包括:在所述CE设备接收到数据流量,并确定所述数据流量为攻击流量时生成的流路由。也即,CE设备在接收到接入的数据流量时,可以对所述数据流量进行判断,当确定所述数据流量时攻击流量时,可以生成一条流路由(Flow route),并将所述流路由上报给网络侧边缘设备PE(Provider Edge)设备。
步骤204,对客户侧边缘设备CE设备上报的流路由进行解析,得到所述流路由中的目的地址。
在本实施例中,PE设备可以对所述CE设备上报的流路由进行解析,得到该流路由中的目的地址,以根据所述目的地址对所述流路由进行识别和判断。
步骤206,根据网络邻居关系确定上报所述流路由的CE设备。
在本实施例中,在对所述流路由中的目的地址进行判断之前,需要确定上报所述流路由的CE设备,进而确定CE设备对应的所有路由。一种可行的确定CE设备的方式可以是:确定接收所述流路由的接口,根据邻居配置关系确定所述接口对应的CE设备。其中,确定的CE设备也即上报所述流路由的CE设备。
步骤208,从路由表中获取与所述确定的CE设备相匹配的所有路由。
在本实施例中,PE设备可以但不仅限于以路由表的形式对各个CE设备对应的路由信息进行记录和保存。当确定上报所述流路由的CE设备后,可以从所述路由表中查询获取与所述确定的CE设备相匹配的所有路由。
需要说明的是,在本实施例中,对流路由进行解析得到所述流路由中的目的地址的步骤(步骤204)和从路由表中获取与所述确定的CE设备相匹配的所有路由的步骤(步骤206和步骤208)在执行时没有必然的先后顺序,可以同时执行,本实施例对此不作限制。
步骤210,判断所述目的地址与所述CE设备的路由是否匹配。
在本实施例中,判断所述目的地址与所述CE设备的路由是否匹配具体可以包含两层含义:其一,所述目的地址与所述CE设备的路由中携带的路由目的地址是否一致;其二,所述目的地址是否包含在所述路由目的地址中。
例如,假设目的地址为1.1.1.1,则,若路由目的地址也为1.1.1.1,则说明目的地址与路由目的地址一致。而,若路由目的地址为1.1.1.1,但是1.1.1.1对应包含多个掩码地址,如,包含:1.1.1.1/32、1.1.1.1/31和1.1.1.1/30等,则说明目的地址包含在所述路由目的地址中。
在本实施例中,当确定所述目的地址与所述CE设备的路由不匹配时,可行执行下述步骤212;当确定所述目的地址与所述CE设备的路由匹配时,可行执行下述步骤214。
步骤212,拒绝所述流路由的更新。
步骤214,将所述流路由更新至流过滤列表中。
其中,需要说明的是,在本实施例中,所述流过滤列表的具体应用可以如下:当接收到某一流量A时,可以直接根据所述流过滤列表,快速并准确的判断所述流量A是否为攻击流量,进而确定是否需要对所述流量A进行拦截或丢弃。
具体地,当所述流量A与所述流过滤列表中的任一流路由匹配时,则可以确定所述流量A是攻击流量,直接拒绝所述流量A,避免将所述流量A发送至CE设备,进而避免了攻击流量对CE设备的攻击,保证了CE设备中正常业务的执行。当所述流量A与所述流过滤列表中的任一流路由均不匹配时,则可以将所述流量A透传给所述CE设备,保证正常业务的执行。
综上所述,本实施例所述的一种信息过滤方法,可以通过对客户侧边缘设备CE设备上报的流路由进行解析,得到该流路由中的目的地址;然后,判断所述目的地址与所述CE设备的路由是否匹配;最后,当确定所述目的地址与所述CE设备的路由匹配时,将所述流路由更新至流过滤列表中;否则,拒绝所述流路由的更新。可见,在本实施例中,可以通过目的地址与CE设备的路由的匹配结果来确定CE设备上报的流路由是否是恶意流路由,实现了对恶意流路由Flow route的过滤,确保了运营商侧接收到的流路由是当前企业侧在确定接入流量时攻击流量时上报的流路由,避免了将恶意流路由更新至流过滤列表,进而,避免了企业正常业务被中断无法执行的情况,保证了企业正常业务的执行。
其次,本实施例所述的信息过滤方法可以在PE设备内自动完成,实现对恶意流路由的自动过滤,不需要在PE上配置复杂过滤策略,简化了过滤流程,提高了效率,减低了对资源的占用。
结合上述实施例,本实施例通过一个具体实例对所述信息过滤方法进行说明。参照图3,示出了本申请实施例中另一种信息过滤方法的步骤流程图。在本实施例中,所述信息过滤方法包括:
步骤302,运营商侧设备接收接入流量。
在本实施例中,具体可以通过核心设备P(Provider)设备接收接入流量。其中,其中,运营商侧的PE设备与企业侧的CE设备之间建立了EBGP(External Border Gateway Protocol,外部边界网关协议)邻居关系,运营商侧内部的PE设备和P设备之间相互建立了IBGP(Internal Border GatewayProtocol,内部边界网关协议)邻居关系。PE设备、CE设备和P设备之间同时还建立了BGP Flow-spec(Border Gateway Protocol Flow-specification)邻居关系;其中,PE设备与CE设备之间的邻居配置关系可以保存在PE设备本地。
步骤304,查询流过滤列表,得到所述流过滤列表中的Flow route。
步骤306,判断所述接入流量与查询得到的Flow route是否匹配。
在本实施例中,若所述接入流量与查询得到的Flow route匹配,则说明所述接入流量时攻击流量,可以执行下述步骤308。若所述接入流量与查询得到的Flow route不匹配,则说明所述接入流量可能是正常业务流量,可以执行下述步骤310。
步骤308,对所述接入流量进行清理。
在本实施例中,具体可以根据与所述接入流量相匹配的Flow route中定义的规则对所述接入流量进行清理。
步骤310,P设备将所述接入流量传递给PE设备,PE设备将所述接入流量透传给CE设备。
步骤312,CE设备接收所述接入流量。
步骤314,CE设备判断所述接入流量是否是攻击流量。
在本实施例中,CE设备可以通过任意一种适当的方式对所述接入流量进行安全监测,判断所述接入流量是否是攻击流量。其中,当确定所述接入流量不是攻击流量时,可以直接结束流程,业务正常执行;当确定所述接入流量是攻击流量时,执行下述步骤316。
步骤316,根据所述接入流量特征,生成一条与所述接入流量对应的Flow route。
步骤318,CE设备将生成的所述Flow route上报至运营商侧设备。
步骤320,PE设备接收CE设备上报的Flow route,对所述Flow route进行解析,确定所述Flow route中的目的地址。
步骤322,PE设备确定接收所述流路由的接口,根据邻居配置关系所述接口对应的CE设备,从路由表中获取与所述确定的CE设备相匹配的所有路由。
如下表1所示,在本实施例中,路由表中至少包含两条如下路由:
表1
步骤324,PE设备判断所述Flow route中的目的地址与所述CE设备的路由中携带的路由目的地址是否匹配。
假设,当前企业侧设备为:企业A对应的CE设备,则根据上述表1可以确定所述企业A对应的CE设备的路由中携带的路由目的地址为:1.1.1.1/32。其中,若解析得到的Flow route中的目的地址为:1.1.1.1或1.1.1.32,则可以确定Flow route中的目的地址与企业A对应的CE设备的路由匹配,可以执行下述步骤326。若解析得到的Flow route中的目的地址为2.2.2.2,则可以确定Flow route中的目的地址与企业A对应的CE设备的路由不匹配,所述Flow route可能是由企业B对应的CE设备由于网络配置错误而错误发送的或恶意发送的,此时,可以执行下述步骤328。
步骤326,将所述Flow route更新至流过滤列表中,并将所述Flow route通告给所有P设备。
步骤328,拒绝所述Flow route,结束流程。
综上所述,本实施例所述的一种信息过滤方法,可以通过对客户侧边缘设备CE设备上报的流路由进行解析,得到目的地址;然后,判断所述目的地址与所述CE设备的路由是否匹配;最后,当确定所述目的地址与所述CE设备的路由匹配时,将所述流路由更新至流过滤列表中;否则,拒绝所述流路由的更新。可见,在本实施例中,可以通过目的地址与CE设备的路由的匹配结果来确定CE设备上报的流路由是否是恶意流路由,实现了对恶意流路由Flow route的过滤,确保了运营商侧接收到的流路由是当前企业侧在确定接入流量时攻击流量时上报的流路由,避免了将恶意流路由更新至流过滤列表,进而,避免了企业正常业务被中断无法执行的情况,保证了企业正常业务的执行。
其次,本实施例所述的信息过滤方法可以在PE设备内自动完成,实现对恶意流路由的自动过滤,不需要在PE上配置复杂过滤策略,简化了过滤流程,提高了效率,减低了对资源的占用。
进一步地,本实施例所述的信息过滤方法可以根据更新后的流过滤列表可以直接在上游接入端实现对DDoS攻击的过滤或引流,节省了企业侧的带宽,大幅度降低了DDoS攻击带来的影响。
需要说明的是,对于前述的方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本申请并不受所描述的动作顺序的限制,因为依据本申请,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作并不一定是本申请所必需的。
在上述方法实施例的基础上,参照图4,示出了本申请实施例中一种信息过滤装置的结构框图。在本实施例中,所述信息过滤装置包括:
解析模块402,用于对客户侧边缘设备CE设备上报的流路由进行解析,得到所述流路由中的目的地址。
在本实施例中,流路由可以是CE设备在确定接入流量为攻击流量时生成的,所述流路由中包括但不仅限于:包含IP五元组和TCP的控制字段等多个属性的流信息以及对流处理信息。通过对流路由的解析,可以确定所述流路由中的目的地址。
判断模块404,用于判断所述目的地址与所述CE设备的路由是否匹配。
在本实施例中,通过目的地址与所述CE设备的路由的匹配判断,可以确定所述流路由是否对应匹配。
第一执行模块406,用于在确定所述目的地址与所述CE设备的路由匹配时,将所述流路由更新至流过滤列表中。
可见,在本实施例中,可以通过目的地址与CE设备的路由的匹配结果来确定CE设备上报的流路由是否是恶意流路由,实现了对恶意流路由Flowroute的过滤,确保了运营商侧接收到的流路由是当前企业侧在确定接入流量时攻击流量时上报的流路由,避免了将恶意流路由更新至流过滤列表,进而,避免了企业正常业务被中断无法执行的情况,保证了企业正常业务的执行。
在本实施例的一优选方案中,参照图5,示出了本申请实施例中一种优选的信息过滤装置的结构框图。
优选的,所述判断模块404,具体可以用于判断所述目的地址与所述CE设备的路由中的目的地址是否一致;或,判断所述目的地址是否包含在所述CE设备的路由的目的地址中。
优选的,所述信息过滤装置还可以包括:
第一确定模块408,用于在所述判断模块404判断所述目的地址与所述CE设备的路由是否匹配之前,确定接收所述流路由的接口。
第二确定模块410,用于根据邻居配置关系,确定所述接口对应的CE设备。
获取模块412,用于从路由表中获取与所述确定的CE设备相匹配的所有路由。
优选的,所述信息过滤装置还可以包括:
第二执行模块414,用于在确定所述目的地址与所述CE设备的路由不匹配时,拒绝所述流路由的更新。
优选的,所述信息过滤装置还可以包括:
接收模块416,用于接收所述CE设备上报的流路由。
在本实施例中,所述流路由具体可以包括:在所述CE设备接收到数据流量,并确定所述数据流量为攻击流量时生成的流路由。
综上所述,本实施例所述的一种信息过滤装置,可以通过对客户侧边缘设备CE设备上报的流路由进行解析,得到目的地址;然后,判断所述目的地址与所述CE设备的路由是否匹配;最后,当确定所述目的地址与所述CE设备的路由匹配时,将所述流路由更新至流过滤列表中;否则,拒绝所述流路由的更新。可见,在本实施例中,可以通过目的地址与CE设备的路由的匹配结果来确定CE设备上报的流路由是否是恶意流路由,实现了对恶意流路由Flow route的过滤,确保了运营商侧接收到的流路由是当前企业侧在确定接入流量时攻击流量时上报的流路由,避免了将恶意流路由更新至流过滤列表,进而,避免了企业正常业务被中断无法执行的情况,保证了企业正常业务的执行。
其次,本实施例所述的信息过滤装置可以在PE设备内自动完成,实现对恶意流路由的自动过滤,不需要在PE上配置复杂过滤策略,简化了过滤流程,提高了效率,减低了对资源的占用。
进一步地,本实施例所述的信息过滤装置可以根据更新后的流过滤列表可以直接在上游接入端实现对DDoS攻击的过滤或引流,节省了企业侧的带宽,大幅度降低了DDoS攻击带来的影响。
本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。对于装置实施例而言,由于其与方法实施例基本相似,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本申请的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。
以上对本申请所提供的一种信息过滤方法和装置进行了详细介绍,本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想;同时,对于本领域的一般技术人员,依据本申请的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本申请的限制。
Claims (10)
1.一种信息过滤方法,其特征在于,包括:
对客户侧边缘设备CE设备上报的流路由进行解析,得到所述流路由中的目的地址;
判断所述目的地址与所述CE设备的路由是否匹配;
当确定所述目的地址与所述CE设备的路由匹配时,将所述流路由更新至流过滤列表中。
2.根据权利要求1所述的方法,其特征在于,在所述判断所述目的地址与所述CE设备的路由是否匹配的步骤之前,所述方法还包括:
确定接收所述流路由的接口;
根据邻居配置关系,确定所述接口对应的CE设备;
从路由表中获取与所述确定的CE设备相匹配的所有路由。
3.根据权利要求1所述的方法,其特征在于,所述判断所述目的地址与所述CE设备的路由是否匹配的步骤,包括:
判断所述目的地址与所述CE设备的路由中的目的地址是否一致;或,判断所述目的地址是否包含在所述CE设备的路由的目的地址中。
4.根据权利要求1-3任一项所述的方法,其特征在于,所述方法还包括:
当确定所述目的地址与所述CE设备的路由不匹配时,拒绝所述流路由的更新。
5.根据权利要求1-3任一项所述的方法,其特征在于,所述方法还包括:
接收所述CE设备上报的流路由;其中,所述流路由为:在所述CE设备接收到流量,并确定所述流量为攻击流量时生成的流路由。
6.一种信息过滤装置,其特征在于,包括:
解析模块,用于对客户侧边缘设备CE设备上报的流路由进行解析,得到所述流路由中的目的地址;
判断模块,用于判断所述目的地址与所述CE设备的路由是否匹配;
第一执行模块,用于在确定所述目的地址与所述CE设备的路由匹配时,将所述流路由更新至流过滤列表中。
7.根据权利要求6所述的装置,其特征在于,所述装置还包括:
第一确定模块,用于在所述判断模块判断所述目的地址与所述CE设备的路由是否匹配之前,确定接收所述流路由的接口;
第二确定模块,用于根据邻居配置关系,确定所述接口对应的CE设备;
获取模块,用于从路由表中获取与所述确定的CE设备相匹配的所有路由。
8.根据权利要求6所述的装置,其特征在于,所述判断模块,用于判断所述目的地址与所述CE设备的路由中的目的地址是否一致;或,判断所述目的地址是否包含在所述CE设备的路由的目的地址中。
9.根据权利要求6-8任一项所述的装置,其特征在于,所述装置还包括:
第二执行模块,用于在确定所述目的地址与所述CE设备的路由不匹配时,拒绝所述流路由的更新。
10.根据权利要求6-8任一项所述的装置,其特征在于,所述装置还包括:
接收模块,用于接收所述CE设备上报的流路由;其中,所述流路由包括:在所述CE设备接收到数据流量,并确定所述数据流量为攻击流量时生成的流路由。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610510388.9A CN106060068A (zh) | 2016-06-27 | 2016-06-27 | 一种信息过滤方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610510388.9A CN106060068A (zh) | 2016-06-27 | 2016-06-27 | 一种信息过滤方法和装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN106060068A true CN106060068A (zh) | 2016-10-26 |
Family
ID=57201514
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610510388.9A Pending CN106060068A (zh) | 2016-06-27 | 2016-06-27 | 一种信息过滤方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106060068A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112532519A (zh) * | 2020-12-21 | 2021-03-19 | 安徽皖通邮电股份有限公司 | 一种采用BGP Flow Specification略控制数据流量行为的方法 |
| CN112866031A (zh) * | 2021-02-05 | 2021-05-28 | 杭州迪普科技股份有限公司 | 路由配置方法、装置、设备及计算机可读存储介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2006001574A1 (en) * | 2004-03-18 | 2006-01-05 | Korea University Industry and Academy Cooperation Foundation | Method for sensing and recovery agatinst buffer overflow attacks and apparatus thereof |
| CN104202314A (zh) * | 2014-08-22 | 2014-12-10 | 中国联合网络通信集团有限公司 | 一种阻止ddos攻击的方法及装置 |
-
2016
- 2016-06-27 CN CN201610510388.9A patent/CN106060068A/zh active Pending
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2006001574A1 (en) * | 2004-03-18 | 2006-01-05 | Korea University Industry and Academy Cooperation Foundation | Method for sensing and recovery agatinst buffer overflow attacks and apparatus thereof |
| CN104202314A (zh) * | 2014-08-22 | 2014-12-10 | 中国联合网络通信集团有限公司 | 一种阻止ddos攻击的方法及装置 |
Non-Patent Citations (2)
| Title |
|---|
| 华为技术有限公司: "BGP Flow Specification的特性描述", 《HTTPS://FORUM.HUAWEI.COM/ENTERPRISE/ZH/FORUM.PHP?MOD=VIEWTHREAD&TID=248989&PAGE=1》 * |
| 黄卓君: "一种基于Flow-Spec的网络异常流量防护策略", 《广东通信技术信息科技辑》 * |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112532519A (zh) * | 2020-12-21 | 2021-03-19 | 安徽皖通邮电股份有限公司 | 一种采用BGP Flow Specification略控制数据流量行为的方法 |
| CN112866031A (zh) * | 2021-02-05 | 2021-05-28 | 杭州迪普科技股份有限公司 | 路由配置方法、装置、设备及计算机可读存储介质 |
| CN112866031B (zh) * | 2021-02-05 | 2022-07-01 | 杭州迪普科技股份有限公司 | 路由配置方法、装置、设备及计算机可读存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10084825B1 (en) | Reducing redundant operations performed by members of a cooperative security fabric | |
| CN110113291B (zh) | 用于在业务功能链域之间进行互通的方法和设备 | |
| US9203808B2 (en) | Method and system for management of security rule set | |
| CN101399749B (zh) | 一种报文过滤的方法、系统和设备 | |
| US11252196B2 (en) | Method for managing data traffic within a network | |
| EP1450511A1 (en) | Device and method for simulating network traffic treatments of a network using policy rules | |
| CN106332067A (zh) | 防止无线网络中直径信令攻击的方法、装置和系统 | |
| US20070156898A1 (en) | Method, apparatus and computer program for access control | |
| Cuppens et al. | Handling stateful firewall anomalies | |
| CN105187435A (zh) | 一种防火墙规则过滤优化方法 | |
| CN106302371A (zh) | 一种基于用户业务系统的防火墙控制方法和系统 | |
| US20130298220A1 (en) | System and method for managing filtering information of attack traffic | |
| WO2019196562A1 (zh) | 报文处理方法、装置、存储介质及处理器 | |
| CN105407099B (zh) | 防火墙群集中的验证共享 | |
| US20190139133A1 (en) | System for periodically updating backings for resource requests | |
| JP2004302538A (ja) | ネットワークセキュリティシステム及びネットワークセキュリティ管理方法 | |
| CN109417556B (zh) | 用于安全服务协作的系统和方法 | |
| CN102045310B (zh) | 一种工业互联网入侵检测和防御方法及其装置 | |
| CN106060068A (zh) | 一种信息过滤方法和装置 | |
| CN104883362A (zh) | 异常访问行为控制方法及装置 | |
| IL191722A (en) | Method, apparatus and computer program for accrss control | |
| JP2006191433A (ja) | 踏み台パケット・進入中継装置特定装置 | |
| KR20160115132A (ko) | 클라우드 시스템의 보안 서비스 제공방법 및 그 클라우드 시스템 | |
| CN112422482B (zh) | 一种面向服务的尾端链路洪泛攻击过滤方法 | |
| CN114978563A (zh) | 一种封堵ip地址的方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant after: Xinhua three Technology Co., Ltd. Address before: 310053 Hangzhou science and Technology Development Zone, Zhejiang high tech park, No. six and road, No. 310 Applicant before: Huasan Communication Technology Co., Ltd. |
|
| CB02 | Change of applicant information | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20161026 |
|
| RJ01 | Rejection of invention patent application after publication |