CN106130962A - 一种报文处理方法和装置 - Google Patents
一种报文处理方法和装置 Download PDFInfo
- Publication number
- CN106130962A CN106130962A CN201610415729.4A CN201610415729A CN106130962A CN 106130962 A CN106130962 A CN 106130962A CN 201610415729 A CN201610415729 A CN 201610415729A CN 106130962 A CN106130962 A CN 106130962A
- Authority
- CN
- China
- Prior art keywords
- message
- characteristic
- blacklist
- legal
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N7/00—Television systems
- H04N7/18—Closed-circuit television [CCTV] systems, i.e. systems in which the video signal is not broadcast
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Multimedia (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种报文处理方法和装置,该方法包括:接收来自管理服务器的合法报文特征,并将所述合法报文特征组成合法特征集合;所述合法报文特征是所述管理服务器基于点播流量信息获取的;在接收到报文之后,从所述报文中解析出报文特征,并查询所述合法特征集合中是否存在所述报文特征;如果存在所述报文特征,则转发所述报文;如果不存在所述报文特征,则利用预先配置的第一黑名单分析所述报文是否为非法报文;如果是,则丢弃所述报文,如果否,则转发所述报文。通过本发明的技术方案,安全设备不需要对接收到的所有报文进行分析,避免造成安全设备的性能瓶颈,从而解决大流量下的报文分析过滤安全防御问题,并满足大流量视频监控环境的应用。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种报文处理方法和装置。
背景技术
近年来,随着计算机、网络以及图像处理、传输技术的飞速发展,视频监控系统的普及化趋势越来越明显,视频监控系统正在逐步迈入高清化,智能化,视频监控系统可以应用于众多领域,如智能交通,智慧园区、平安城市等。
目前,视频监控系统对安全防范的要求越来越高,为了提高安全性,通过在被保护设备之前放置安全设备,以使用安全设备对访问被保护设备的报文进行过滤,从而避免将攻击报文传输到被保护设备上,且不影响正常业务报文的传输,从而可以防止攻击者对被保护设备的攻击,保障被保护设备的安全性。
为了实现上述过程,安全设备在接收到报文后,需要分析该报文是否为攻击报文,如果是,则丢弃该报文,如果否,则将该报文发送给被保护设备。但是,在该方式下,安全设备需要对接收到的所有报文进行分析,当有大量报文访问被保护设备时,安全设备就需要对大量报文进行分析,安全设备的处理性能可能无法满足大量分析的需求,从而无法满足大流量视频监控环境的应用。
发明内容
本发明提供一种报文处理方法,应用在安全设备上,所述方法包括:
接收来自管理服务器的合法报文特征,并将所述合法报文特征组成合法特征集合;所述合法报文特征是所述管理服务器基于点播流量信息获取的;
在接收到报文之后,从所述报文中解析出报文特征,并查询所述合法特征集合中是否存在所述报文特征;如果存在所述报文特征,则转发所述报文;如果不存在所述报文特征,则利用预先配置的第一黑名单分析所述报文是否为非法报文;如果是,则丢弃所述报文,如果否,则转发所述报文。
所述方法还包括:
在所述安全设备的注册过程中,向所述管理服务器发送注册请求报文,并接收来自所述管理服务器的注册响应报文,所述注册响应报文中携带有所述第一黑名单;或者,接收来自所述管理服务器的配置下发报文,所述配置下发报文中携带有所述第一黑名单;其中,所述第一黑名单包括需要拒绝访问的端口;
所述利用预先配置的第一黑名单分析所述报文是否为非法报文的过程,具体包括:分析所述报文是否访问所述第一黑名单中的端口;如果是,则分析出所述报文是非法报文,如果否,则分析出所述报文不是非法报文。
所述从报文中解析出报文特征,并查询所述合法特征集合中是否存在所述报文特征之前,所述方法还包括:
从所述报文中解析出源IP地址,并查询预先配置的第二黑名单中是否存在所述源IP地址;如果存在,则丢弃所述报文;如果不存在,则执行从所述报文中解析出报文特征,并查询所述合法特征集合中是否存在所述报文特征的过程。
所述利用预先配置的第一黑名单分析所述报文是否为非法报文之后,所述方法进一步包括:
如果所述报文是非法报文,将所述报文的源IP地址对应的非法访问次数加1,并判断所述非法访问次数是否达到预设阈值;如果是,则将所述源IP地址添加到所述第二黑名单中,并通过所述第二黑名单丢弃所述源IP地址对应的报文。
所述报文特征具体包括:源IP地址、源端口、目的IP地址、目的端口、协议类型;所述安全设备用于对与本安全设备连接的被保护设备提供保护。
本发明提供一种报文处理装置,应用在安全设备上,所述装置包括:
记录模块,用于接收来自管理服务器的合法报文特征,并将所述合法报文特征组成合法特征集合;其中,所述合法报文特征是所述管理服务器基于点播流量信息获取的;
处理模块,用于在接收到报文之后,从所述报文中解析出报文特征,并查询所述合法特征集合中是否存在所述报文特征;如果存在所述报文特征,则转发所述报文;如果不存在所述报文特征,则利用预先配置的第一黑名单分析所述报文是否为非法报文;如果是,则丢弃所述报文,如果否,则转发所述报文。
还包括:
通信模块,用于在注册过程中,向所述管理服务器发送注册请求报文,并接收来自所述管理服务器的注册响应报文,所述注册响应报文中携带有所述第一黑名单;或者,接收来自所述管理服务器的配置下发报文,所述配置下发报文中携带有所述第一黑名单;其中,所述第一黑名单包括需要拒绝访问的端口;
所述处理模块,具体用于在利用预先配置的第一黑名单分析所述报文是否为非法报文的过程中,分析所述报文是否访问所述第一黑名单中的端口;如果是,则分析出所述报文是非法报文,如果否,则分析出所述报文不是非法报文。
所述处理模块,还用于在从所述报文中解析出报文特征,并查询所述合法特征集合中是否存在所述报文特征之前,从所述报文中解析出源IP地址,并查询预先配置的第二黑名单中是否存在所述源IP地址;如果存在,则丢弃所述报文;如果不存在,则执行从所述报文中解析出报文特征,并查询所述合法特征集合中是否存在所述报文特征的过程。
所述处理模块,还用于在利用第一黑名单分析所述报文是否为非法报文之后,如果所述报文是非法报文,将所述报文的源IP地址对应的非法访问次数加1,并判断所述非法访问次数是否达到预设阈值;如果是,则将所述源IP地址添加到所述第二黑名单中,并通过所述第二黑名单丢弃所述源IP地址对应的报文。
所述报文特征具体包括:源IP地址、源端口、目的IP地址、目的端口、协议类型;所述安全设备用于对与本安全设备连接的被保护设备提供保护。
基于上述技术方案,本发明实施例中,安全设备在接收到报文之后,可以先查询合法特征集合中是否存在该报文的报文特征,如果存在,就可以直接转发该报文,而不再分析该报文是否为非法报文,如果不存在,才去分析该报文是否为非法报文。基于此,当有大量报文访问被保护设备时,大量的合法报文被安全设备直接转发,安全设备只需要对少量报文进行分析,而不需要对接收到的所有报文进行分析,避免造成安全设备的性能瓶颈,从而解决大流量下的报文分析过滤安全防御问题,并可以满足大流量视频监控环境的应用。
附图说明
为了更加清楚地说明本发明实施例或者现有技术中的技术方案,下面将对本发明实施例或者现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,还可以根据这些附图获得其他的附图。
图1是本发明一种实施方式中的应用场景示意图;
图2是本发明一种实施方式中的报文处理方法的流程图;
图3是本发明一种实施方式中的安全设备的硬件结构图;
图4是本发明一种实施方式中的报文处理装置的结构图。
具体实施方式
在本发明使用的术语仅仅是出于描述特定实施例的目的,而非限制本发明。本发明和权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其它含义。还应当理解,本文中使用的术语“和/或”是指包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本发明可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本发明范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,此外,所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
针对现有技术中存在的问题,本发明实施例中提出一种报文处理方法,该方法可以应用于视频监控系统中,通过在被保护设备之前放置安全设备(如安全网关或者安全盒子等),以使用安全设备对访问被保护设备的报文进行过滤,从而可以避免将攻击报文传输到被保护设备上,且不影响正常业务报文的传输,从而可以防止攻击者对被保护设备的攻击,保障被保护设备的安全性。
在一个例子中,被保护设备可以为视频监控系统中的任意监控设备,例如,该被保护设备可以为媒体服务器(如流媒体服务器)、管理服务器(如视频管理服务器)、前端设备(如网络摄像机、模拟摄像机、编码器等)、NVR(Network Video Recorder,网络硬盘录像机)等。在实际应用中,可以对一个监控设备提供保护,即在该监控设备之前放置一个安全设备。也可以对多个监控设备提供保护,即在这多个监控设备之前分别放置一个安全设备,共放置多个安全设备。
如图1所示,为本发明实施例的应用场景示意图,被保护设备可以为媒体服务器,且在被保护设备之前放置一个安全设备,该安全设备用于对与本安全设备连接的被保护设备提供保护。图1只是本发明实施例的一个示例,在实际应用中,还可以在其它监控设备之前放置安全设备,也可以同时在多个监控设备之前分别放置一个安全设备,其处理均与图1的处理类似,后续不再赘述。
在图1中,安全设备与三层交换机(实际部署时,还可以替换为其它类型的网络设备,如路由器等)连接,前端设备与三层交换机连接,客户端与三层交换机连接,管理服务器与三层交换机连接,且安全设备与媒体服务器连接。
在上述应用场景下,本发明实施例中提出的报文处理方法,可以应用在与被保护设备连接的安全设备上,如图2所示,该方法可以包括以下步骤:
步骤201,接收来自管理服务器的合法报文特征,并将该合法报文特征组成合法特征集合。该合法报文特征是管理服务器基于点播流量信息获取的。
步骤202,在接收到报文之后,从该报文中解析出报文特征,并查询该合法特征集合中是否存在该报文特征;如果存在该报文特征,则可以转发该报文;如果不存在该报文特征,则可以利用预先配置的第一黑名单分析该报文是否为非法报文;如果是,则丢弃该报文,如果否,则转发该报文。
在一个例子中,报文特征具体可以包括:源IP地址、源端口、目的IP地址、目的端口、协议类型,即通常所说的五元组信息。例如,192.168.1.1、10000、TCP(TransmissionControl Protocol,传输控制协议)、121.14.88.76、80就构成了一个报文特征,其意义是,一个IP地址为192.168.1.1的设备通过端口10000,利用TCP协议,和IP地址为121.14.88.76,端口为80的设备进行连接。
针对步骤201,管理服务器基于点播流量信息获取合法报文特征,合法报文特征是指管理服务器获取的合法五元组信息,如合法的源IP地址、源端口、目的IP地址、目的端口、协议类型等。在图1中,如果客户端点播前端设备的数据流,且数据流通过媒体服务器(即与安全设备连接的被保护设备)的转发,则合法数据流包括:前端设备发送给媒体服务器的数据流,媒体服务器发送给客户端的数据流。因此,管理服务器获取的合法报文特征可以包括合法报文特征1和合法报文特征2。其中,合法报文特征1包括:前端设备的IP地址和端口、媒体服务器的IP地址和端口、前端设备与媒体服务器之间连接的协议类型。合法报文特征2包括:客户端的IP地址和端口、媒体服务器的IP地址和端口、客户端与媒体服务器之间连接的协议类型。
其中,在客户端点播前端设备的数据流时,客户端向管理服务器发送点播请求,而管理服务器在接收到该点播请求后,会发起数据流的呼叫建立过程,以媒体服务器为TCP服务器,客户端和前端设备为TCP客户端为例,则管理服务器可以维护表1所示的点播信息表,对于该点播信息表的维护方式,在本发明实施例中不再赘述。基于此点播信息表,管理服务器可以获取到客户端的IP地址和端口、前端设备的IP地址和端口、媒体服务器的IP地址和端口、前端设备与媒体服务器之间连接的协议类型、客户端与媒体服务器之间连接的协议类型,并基于上述信息确定合法报文特征1和合法报文特征2。
表1
基于表1所示的点播信息表,管理服务器获取到的合法报文特征1可以包括:端口20001、IP地址192.168.3.100、端口10001、IP地址192.168.0.196、TCP类型。管理服务器获取到的合法报文特征2可以包括:端口20200、IP地址192.168.2.150、端口30001、IP地址192.168.0.196、TCP类型。
进一步的,管理服务器可以将合法报文特征1和合法报文特征2下发给安全设备,安全设备接收合法报文特征1和合法报文特征2,并将合法报文特征1和合法报文特征2组成合法特征集合。在一个例子中,合法特征集合可以通过表项或者文本文件等方式进行存储,本发明实施例中对于合法特征集合的存储结构不再赘述,以通过表项方式存储合法特征集合为例进行说明。
如表2所示,为合法特征集合的一个示例。在该例子中,考虑到安全设备可以对其它设备发送给被保护设备的报文进行过滤,因此可以将被保护设备作为目的设备,并将其它设备作为源设备。基于此,管理服务器下发的合法报文特征1的源IP地址和源端口分别为192.168.3.100和20001,目的IP地址和目的端口分别为192.168.0.196和10001,协议类型为TCP。管理服务器下发的合法报文特征2的源IP地址和源端口分别为192.168.2.150和20200,目的IP地址和目的端口分别为192.168.0.196和30001,协议类型为TCP。
表2
源IP地址 | 源端口 | 目的IP地址 | 目的端口 | 协议类型 | |
1 | 192.168.3.100 | 20001 | 192.168.0.196 | 10001 | TCP |
2 | 192.168.2.150 | 20200 | 192.168.0.196 | 30001 | TCP |
在另一个例子中,安全设备还可以对被保护设备发送给其它设备的报文进行过滤,因此还可以将被保护设备作为源设备,并将其它设备作为目的设备。基于此,管理服务器在向安全设备下发合法报文特征1和合法报文特征2的基础上,还可以向安全设备下发合法报文特征3和合法报文特征4。管理服务器下发的合法报文特征3的源IP地址和源端口分别为192.168.0.196和10001,目的IP地址和目的端口分别为192.168.3.100和20001,协议类型为TCP。管理服务器下发的合法报文特征4的源IP地址和源端口分别为192.168.0.196和30001,目的IP地址和目的端口分别为192.168.2.150和20200,协议类型为TCP。
进一步,安全设备在接收到合法报文特征1、合法报文特征2、合法报文特征3和合法报文特征4后,将合法报文特征1、合法报文特征2、合法报文特征3和合法报文特征4组成合法特征集合,如表3所示,为合法特征集合的一个示例。
表3
源IP地址 | 源端口 | 目的IP地址 | 目的端口 | 协议类型 | |
1 | 192.168.3.100 | 20001 | 192.168.0.196 | 10001 | TCP |
2 | 192.168.2.150 | 20200 | 192.168.0.196 | 30001 | TCP |
3 | 192.168.0.196 | 10001 | 192.168.3.100 | 20001 | TCP |
4 | 192.168.0.196 | 30001 | 192.168.2.150 | 20200 | TCP |
由于数据流的点播情况是不断发生变化的,因此,假设上述客户端不再点播上述前端设备的数据流,则管理服务器还可以通知前端设备从合法特征集合中删除表2或者表3所示的内容。此外,如果有另一客户端点播另一前端设备的数据流,则管理服务器需要获取对应该点播情况的合法报文特征,并将重新获取的合法报文特征下发给安全设备,由安全设备在合法特征集合中记录重新获取的合法报文特征,具体的方式与上述方式相同,在此不再赘述。
在上述过程中,管理服务器可以通过SNMP(Simple Network ManagementProtocol,简单网络管理协议)消息或者SIP(Session Initiation Protocol,会话初始协议)消息等方式,将合法报文特征发送给安全设备,在此不再赘述。
针对步骤202,在利用预先配置的第一黑名单分析该报文是否为非法报文之前,需要先维护该第一黑名单。针对维护第一黑名单的方式,在一个例子中,在安全设备的注册过程中,安全设备可以向管理服务器发送注册请求报文,并接收来自管理服务器的注册响应报文,该注册响应报文中携带有第一黑名单,并将注册响应报文中的第一黑名单确定为预先配置的第一黑名单。在另一个例子中,可以在安全设备上直接配置第一黑名单,具体配置方式不再赘述。在另一个例子中,管理服务器还可以通过配置下发报文将第一黑名单下发给安全设备,安全设备接收来自管理服务器的配置下发报文,并将该配置下发报文中的第一黑名单确定为预先配置的第一黑名单。
针对安全设备从来自管理服务器的注册响应报文中获取第一黑名单的方式,可以在管理服务器上直接配置第一黑名单,且管理服务器在接收到来自安全设备的注册请求报文时,可以通过注册响应报文将该第一黑名单发送给安全设备。其中,该注册响应报文可以为SNMP消息或者SIP消息。
针对安全设备从来自管理服务器的配置下发报文中获取第一黑名单的方式,可以在管理服务器上直接配置第一黑名单,且管理服务器可以通过配置下发报文将该第一黑名单下发给安全设备。例如,当第一黑名单中的内容发生变化(如增加新的端口或者删除已有端口)时,则通过配置下发报文将该第一黑名单下发给安全设备。其中,该配置下发报文可以为SNMP消息或者SIP消息。
在一个例子中,第一黑名单包括需要拒绝访问的端口,这些端口是不能够被访问的端口,因此,如果报文的目的端口是这些需要拒绝访问的端口,则说明该报文是攻击报文。例如,协议类型为TCP的端口80,该端口的作用是web端口,因此不能够被访问,是需要拒绝访问的端口。协议类型为TCP的端口22,该端口的作用是维护端口,因此不能够被访问,是需要拒绝访问的端口。协议类型为TCP的端口554,该端口的作用是媒体流点播端口,因此不能够被访问,是需要拒绝访问的端口。协议类型为TCP的端口10000-40000,该端口的作用是媒体流转发端口,因此不能够被访问,是需要拒绝访问的端口。综上所述,第一黑名单包括端口80、端口22、端口554、端口10000-40000。
当然,在实际应用中,第一黑名单中也可以包含其它信息,只要管理服务器能够获知该信息的报文是非法报文,且安全设备能够从报文中解析出这个信息,且通过这个信息能够识别出报文是攻击报文即可,例如,第一黑名单中还可以包含源IP地址/目的IP地址,在此不再详加赘述。
以第一黑名单中包含需要拒绝访问的端口为例,针对利用预先配置的第一黑名单分析报文是否为非法报文的过程,具体可以包括但不限于如下方式:安全设备分析报文是否访问第一黑名单中的端口;如果是,则分析出报文是非法报文,如果否,则分析出报文不是非法报文。例如,如果报文的目的端口为端口80、端口22、端口554、端口10000-40000中的一个端口,则可以分析出该报文是访问第一黑名单中的端口的报文,并分析出该报文是非法报文。
针对步骤202,安全设备在接收到报文之后,从该报文中解析出源IP地址、源端口、目的IP地址、目的端口和协议类型,并查询表2或者表3所示的合法特征集合中是否存在当前解析出的源IP地址、源端口、目的IP地址、目的端口和协议类型。如果存在,则转发该报文。如果不存在,则分析该目的端口是否是第一黑名单中的端口。如果是,则分析出该报文是非法报文,并丢弃该报文,如果否,则分析出该报文不是非法报文,并转发该报文。
例如,在图1中,针对前端设备发送给媒体服务器的报文,报文的源IP地址、源端口、目的IP地址、目的端口和协议类型分别为192.168.3.100、20001、192.168.0.196、10001和TCP,因此,合法特征集合中存在当前解析出的源IP地址、源端口、目的IP地址、目的端口和协议类型,因此转发该报文。
又例如,当报文的源IP地址、源端口、目的IP地址、目的端口和协议类型分别为192.168.2.210、46710、192.168.0.196、22和TCP时,合法特征集合中不存在当前解析出的源IP地址、源端口、目的IP地址、目的端口和协议类型。而且,目的端口22是第一黑名单中的端口,因此丢弃该报文。
基于上述技术方案,本发明实施例中,安全设备在接收到报文之后,可以先查询合法特征集合中是否存在该报文的报文特征,如果存在,就可以直接转发该报文,而不再分析该报文是否为非法报文,如果不存在,才去分析该报文是否为非法报文。基于此,当有大量报文访问被保护设备时,大量的合法报文被安全设备直接转发,安全设备只需要对少量报文进行分析,而不需要对接收到的所有报文进行分析,避免造成安全设备的性能瓶颈,从而解决大流量下的报文分析过滤安全防御问题,并可以满足大流量视频监控环境的应用。
在一个例子中,在从报文中解析出报文特征,并查询合法特征集合中是否存在该报文特征之前,还可以从该报文中解析出源IP地址,并查询预先配置的第二黑名单中是否存在该源IP地址;如果存在,则丢弃该报文;如果不存在,则执行从报文中解析出报文特征,并查询合法特征集合中是否存在报文特征的过程。
其中,在查询预先配置的第二黑名单中是否存在该源IP地址之前,需要先维护该第二黑名单。针对维护第二黑名单的方式,在一个例子中,在利用预先配置的第一黑名单分析报文是否为非法报文之后,如果报文是非法报文,则将该报文的源IP地址对应的非法访问次数加1,并判断该非法访问次数是否达到预设阈值;如果是,则将该源IP地址添加到第二黑名单中,并通过该第二黑名单丢弃该源IP地址对应的报文。进一步的,在通过该第二黑名单丢弃该源IP地址对应的报文的过程中,安全设备在接收到报文之后,从该报文中解析出源IP地址,如果该第二黑名单中存在该源IP地址,则丢弃该报文。
例如,假设预设阈值为1,攻击者发送的报文的源IP地址为源IP地址A。如果安全设备利用第一黑名单分析出该报文是非法报文,则将源IP地址A对应的非法访问次数加1,此时该非法访问次数1达到预设阈值,因此,将源IP地址A添加到第二黑名单中。安全设备再次接收到源IP地址为源IP地址A的报文后,由于第二黑名单中存在报文的源IP地址,因此直接丢弃该报文。
又例如,假设预设阈值为2,攻击者发送的报文的源IP地址为源IP地址A。如果利用第一黑名单分析出该报文是非法报文,将源IP地址A对应的非法访问次数加1,该非法访问次数1未达到预设阈值。安全设备再次接收到源IP地址为源IP地址A的报文后,如果利用第一黑名单分析出该报文是非法报文,将源IP地址A对应的非法访问次数加1,该非法访问次数2达到预设阈值,因此,将源IP地址A添加到第二黑名单中。安全设备再次接收到源IP地址为源IP地址A的报文后,由于第二黑名单中存在报文的源IP地址,因此直接丢弃该报文。
在一个例子中,在将源IP地址添加到第二黑名单时,安全设备还可以为该源IP地址设置老化定时器,如该老化定时器的老化时间可以为2个小时,以禁止该源IP地址在一段时间内(即2个小时)访问被保护设备。进一步的,在老化定时器超时后,则安全设备可以从第二黑名单中删除该源IP地址。
将上述第二黑名单的处理过程与步骤202进行结合,则本发明实施例中提出的报文处理方法还可以为:安全设备在接收到报文之后,从该报文中解析出源IP地址,并查询第二黑名单中是否存在该源IP地址。如果存在,则丢弃该报文。如果不存在,则从该报文中解析出源IP地址、源端口、目的IP地址、目的端口和协议类型,并查询合法特征集合中是否存在当前解析出的源IP地址、源端口、目的IP地址、目的端口和协议类型。如果存在,则转发该报文。如果不存在,则分析该目的端口是否是第一黑名单中的端口。如果否,则分析出该报文不是非法报文,并转发该报文。如果是,则分析出该报文是非法报文,并丢弃该报文,并将该报文的源IP地址对应的非法访问次数加1,并判断该非法访问次数是否达到预设阈值;如果是,则将该源IP地址添加到第二黑名单中。
在上述过程中,如果报文是其它设备发送给被保护设备的报文,则安全设备转发报文是指:将报文发送给被保护设备。如果报文是被保护设备发送给其它设备的报文,则安全设备转发报文是指:将报文发送给其它设备。
在一个例子中,安全设备可以包括转发芯片(如ASIC(Application SpecificIntegrated Circuit,专用集成电路)芯片)和CPU(Central Processing Unit,中央处理器)。CPU在接收到来自管理服务器的合法报文特征后,在转发芯片的合法特征集合中记录该合法报文特征。转发芯片在接收到报文之后,从该报文中解析出报文特征,并查询该合法特征集合中是否存在该报文特征。如果存在该报文特征,则转发芯片可以直接转发该报文,而不需要将该报文上送给CPU,也不需要CPU对该报文进行分析。如果不存在该报文特征,则转发芯片将该报文上送给CPU,由CPU利用第一黑名单分析该报文是否为非法报文;如果是,则CPU丢弃该报文,如果否,则CPU转发该报文。
在一个例子中,转发芯片在接收到报文之后,从该报文中解析出源IP地址,并查询第二黑名单(第二黑名单被CPU下发到转发芯片上)中是否存在该源IP地址。如果存在,则转发芯片直接丢弃该报文。如果不存在,则转发芯片从该报文中解析出源IP地址、源端口、目的IP地址、目的端口和协议类型,并查询合法特征集合中是否存在当前解析出的源IP地址、源端口、目的IP地址、目的端口和协议类型。如果存在,则转发芯片可以直接转发该报文,而不需要将该报文上送给CPU,也不需要CPU对该报文进行分析。如果不存在该报文特征,则转发芯片将该报文上送给CPU,由CPU分析该目的端口是否是第一黑名单中的端口。如果否,则CPU分析出该报文不是非法报文,并转发该报文。如果是,则CPU分析出该报文是非法报文,并丢弃该报文,并将该报文的源IP地址对应的非法访问次数加1,并判断该非法访问次数是否达到预设阈值;如果是,则CPU将该源IP地址添加到第二黑名单中,并将该第二黑名单下发到转发芯片,由转发芯片利用第二黑名单进行处理。
在一个例子中,CPU将源IP地址添加到第二黑名单时,还可以为该源IP地址设置老化定时器,并将设置有该老化定时器的第二黑名单下发到转发芯片。基于此,在老化定时器超时后,CPU可以删除第二黑名单,且转发芯片也可以删除第二黑名单。在另一个例子中,CPU将源IP地址添加到第二黑名单时,先将没有设置老化定时器的第二黑名单下发到转发芯片,并为该源IP地址设置老化定时器。基于此,在老化定时器超时后,CPU可以删除第二黑名单,并通知转发芯片删除第二黑名单,而转发芯片基于CPU的通知删除第二黑名单。
基于与上述方法同样的发明构思,本发明实施例中还提供了一种报文处理装置,该报文处理装置应用在安全设备上。其中,该报文处理装置可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,作为一个逻辑意义上的装置,是通过其所在的安全设备的处理器,读取非易失性存储器中对应的计算机程序指令形成的。从硬件层面而言,如图3所示,为本发明提出的报文处理装置所在的安全设备的一种硬件结构图,除了图3所示的处理器、非易失性存储器外,安全设备还可以包括其他硬件,如负责处理报文的转发芯片、网络接口、内存等;从硬件结构上来讲,该安全设备还可能是分布式设备,可能包括多个接口卡,以便在硬件层面进行报文处理的扩展。
如图4所示,为本发明提出的报文处理装置的结构图,所述装置包括:
记录模块11,用于接收来自管理服务器的合法报文特征,并将所述合法报文特征组成合法特征集合;其中,所述合法报文特征是所述管理服务器基于点播流量信息获取的;
处理模块12,用于在接收到报文之后,从所述报文中解析出报文特征,并查询所述合法特征集合中是否存在所述报文特征;如果存在所述报文特征,则转发所述报文;如果不存在所述报文特征,则利用预先配置的第一黑名单分析所述报文是否为非法报文;如果是,则丢弃所述报文,如果否,则转发所述报文。
在一个例子中,所述报文处理装置还包括(在图中未体现):
通信模块13,用于在注册过程中,向所述管理服务器发送注册请求报文,并接收来自所述管理服务器的注册响应报文,所述注册响应报文中携带有所述第一黑名单;或者,接收来自所述管理服务器的配置下发报文,所述配置下发报文中携带有所述第一黑名单;其中,所述第一黑名单包括需要拒绝访问的端口;
所述处理模块12,具体用于在利用预先配置的第一黑名单分析所述报文是否为非法报文的过程中,分析所述报文是否访问所述第一黑名单中的端口;如果是,则分析出所述报文是非法报文,如果否,分析出所述报文不是非法报文。
在一个例子中,所述处理模块12,还用于在从所述报文中解析出报文特征,并查询所述合法特征集合中是否存在所述报文特征之前,从所述报文中解析出源IP地址,并查询预先配置的第二黑名单中是否存在所述源IP地址;如果存在,则丢弃所述报文;如果不存在,则执行从所述报文中解析出报文特征,并查询所述合法特征集合中是否存在所述报文特征的过程。
在一个例子中,所述处理模块12,还用于在利用第一黑名单分析所述报文是否为非法报文之后,如果所述报文是非法报文,将所述报文的源IP地址对应的非法访问次数加1,并判断所述非法访问次数是否达到预设阈值;如果是,则将所述源IP地址添加到所述第二黑名单中,并通过所述第二黑名单丢弃所述源IP地址对应的报文。
所述报文特征具体包括:源IP地址、源端口、目的IP地址、目的端口、协议类型;所述安全设备用于对与本安全设备连接的被保护设备提供保护。
其中,本发明装置的各个模块可以集成于一体,也可以分离部署。上述模块可以合并为一个模块,也可以进一步拆分成多个子模块。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。本领域技术人员可以理解附图只是一个优选实施例的示意图,附图中的模块或流程并不一定是实施本发明所必须的。
本领域技术人员可以理解实施例中的装置中的模块可以按照实施例描述进行分布于实施例的装置中,也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块,也可进一步拆分成多个子模块。上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
以上公开的仅为本发明的几个具体实施例,但是,本发明并非局限于此,任何本领域的技术人员能思之的变化都应落入本发明的保护范围。
Claims (10)
1.一种报文处理方法,应用在安全设备上,其特征在于,所述方法包括:
接收来自管理服务器的合法报文特征,并将所述合法报文特征组成合法特征集合;所述合法报文特征是所述管理服务器基于点播流量信息获取的;
在接收到报文之后,从所述报文中解析出报文特征,并查询所述合法特征集合中是否存在所述报文特征;如果存在所述报文特征,则转发所述报文;如果不存在所述报文特征,则利用预先配置的第一黑名单分析所述报文是否为非法报文;如果是,则丢弃所述报文,如果否,则转发所述报文。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
在所述安全设备的注册过程中,向所述管理服务器发送注册请求报文,并接收来自所述管理服务器的注册响应报文,所述注册响应报文中携带有所述第一黑名单;或者,接收来自所述管理服务器的配置下发报文,所述配置下发报文中携带有所述第一黑名单;其中,所述第一黑名单包括需要拒绝访问的端口;
所述利用预先配置的第一黑名单分析所述报文是否为非法报文的过程,具体包括:分析所述报文是否访问所述第一黑名单中的端口;如果是,则分析出所述报文是非法报文,如果否,则分析出所述报文不是非法报文。
3.根据权利要求1所述的方法,其特征在于,所述从报文中解析出报文特征,并查询所述合法特征集合中是否存在所述报文特征之前,所述方法还包括:
从所述报文中解析出源IP地址,并查询预先配置的第二黑名单中是否存在所述源IP地址;如果存在,则丢弃所述报文;如果不存在,则执行从所述报文中解析出报文特征,并查询所述合法特征集合中是否存在所述报文特征的过程。
4.根据权利要求3所述的方法,其特征在于,所述利用预先配置的第一黑名单分析所述报文是否为非法报文之后,所述方法进一步包括:
如果所述报文是非法报文,将所述报文的源IP地址对应的非法访问次数加1,并判断所述非法访问次数是否达到预设阈值;如果是,则将所述源IP地址添加到所述第二黑名单中,并通过所述第二黑名单丢弃所述源IP地址对应的报文。
5.根据权利要求1-4任一项所述的方法,其特征在于,所述报文特征具体包括:源IP地址、源端口、目的IP地址、目的端口、协议类型;
所述安全设备用于对与本安全设备连接的被保护设备提供保护。
6.一种报文处理装置,应用在安全设备上,其特征在于,所述装置包括:
记录模块,用于接收来自管理服务器的合法报文特征,并将所述合法报文特征组成合法特征集合;其中,所述合法报文特征是所述管理服务器基于点播流量信息获取的;
处理模块,用于在接收到报文之后,从所述报文中解析出报文特征,并查询所述合法特征集合中是否存在所述报文特征;如果存在所述报文特征,则转发所述报文;如果不存在所述报文特征,则利用预先配置的第一黑名单分析所述报文是否为非法报文;如果是,则丢弃所述报文,如果否,则转发所述报文。
7.根据权利要求6所述的装置,其特征在于,还包括:
通信模块,用于在注册过程中,向所述管理服务器发送注册请求报文,并接收来自所述管理服务器的注册响应报文,所述注册响应报文中携带有所述第一黑名单;或者,接收来自所述管理服务器的配置下发报文,所述配置下发报文中携带有所述第一黑名单;其中,所述第一黑名单包括需要拒绝访问的端口;
所述处理模块,具体用于在利用预先配置的第一黑名单分析所述报文是否为非法报文的过程中,分析所述报文是否访问所述第一黑名单中的端口;如果是,则分析出所述报文是非法报文,如果否,则分析出所述报文不是非法报文。
8.根据权利要求6所述的装置,其特征在于,
所述处理模块,还用于在从所述报文中解析出报文特征,并查询所述合法特征集合中是否存在所述报文特征之前,从所述报文中解析出源IP地址,并查询预先配置的第二黑名单中是否存在所述源IP地址;如果存在,则丢弃所述报文;如果不存在,则执行从所述报文中解析出报文特征,并查询所述合法特征集合中是否存在所述报文特征的过程。
9.根据权利要求8所述的装置,其特征在于,
所述处理模块,还用于在利用第一黑名单分析所述报文是否为非法报文之后,如果所述报文是非法报文,将所述报文的源IP地址对应的非法访问次数加1,并判断所述非法访问次数是否达到预设阈值;如果是,则将所述源IP地址添加到所述第二黑名单中,并通过所述第二黑名单丢弃所述源IP地址对应的报文。
10.根据权利要求6-9任一项所述的装置,其特征在于,所述报文特征具体包括:源IP地址、源端口、目的IP地址、目的端口、协议类型;
所述安全设备用于对与本安全设备连接的被保护设备提供保护。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610415729.4A CN106130962B (zh) | 2016-06-13 | 2016-06-13 | 一种报文处理方法和装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610415729.4A CN106130962B (zh) | 2016-06-13 | 2016-06-13 | 一种报文处理方法和装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN106130962A true CN106130962A (zh) | 2016-11-16 |
CN106130962B CN106130962B (zh) | 2020-01-14 |
Family
ID=57270688
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610415729.4A Active CN106130962B (zh) | 2016-06-13 | 2016-06-13 | 一种报文处理方法和装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106130962B (zh) |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107395588A (zh) * | 2017-07-18 | 2017-11-24 | 浙江远望通信技术有限公司 | 视频监控接入安全阻断方法及系统 |
CN107547559A (zh) * | 2017-09-20 | 2018-01-05 | 新华三信息安全技术有限公司 | 一种报文处理方法及装置 |
CN108156157A (zh) * | 2017-12-26 | 2018-06-12 | 浙江宇视科技有限公司 | 一种监控设备自适应兼容方法及装置 |
CN108200076A (zh) * | 2018-01-17 | 2018-06-22 | 杭州迪普科技股份有限公司 | Host头域伪造攻击的防护方法和装置 |
CN110347694A (zh) * | 2019-07-12 | 2019-10-18 | 中国工商银行股份有限公司 | 一种基于物联网的设备监控方法、装置及系统 |
CN111404891A (zh) * | 2020-03-05 | 2020-07-10 | 南水北调中线信息科技有限公司 | 一种应用于水质监控系统的数据流量监测方法及装置 |
CN111885016A (zh) * | 2020-07-06 | 2020-11-03 | 河南信大网御科技有限公司 | 一种基于数据报文的快速裁决方法、系统及架构 |
CN115333853A (zh) * | 2022-09-13 | 2022-11-11 | 杭州迪普科技股份有限公司 | 网络入侵检测方法、装置与电子设备 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1725705A (zh) * | 2005-05-09 | 2006-01-25 | 杭州华为三康技术有限公司 | 流量攻击网络设备的报文特征的检测方法 |
CN101188612A (zh) * | 2007-12-10 | 2008-05-28 | 中兴通讯股份有限公司 | 一种黑名单实时管理的方法及其装置 |
EP1925179A4 (en) * | 2005-08-15 | 2013-04-03 | Nokia Corp | DEVICE, METHOD, AND COMPUTER PROGRAM PRODUCT FOR PROVIDING A RECORDING OF LOCAL AREA INFORMATION IN EQUIPPED MESSAGES AND FOR CONTINUING A BLACK LIST OF A RADIO ACCESS NETWORK |
CN103326882A (zh) * | 2013-05-16 | 2013-09-25 | 浙江宇视科技有限公司 | 一种视频监控网络管理方法及装置 |
CN103561001A (zh) * | 2013-10-21 | 2014-02-05 | 华为技术有限公司 | 一种安全防护方法及路由设备 |
CN103856487A (zh) * | 2014-02-28 | 2014-06-11 | 汉柏科技有限公司 | 一种对授权域dns服务器的防护方法及系统 |
CN105472610A (zh) * | 2015-11-20 | 2016-04-06 | 上海斐讯数据通信技术有限公司 | 无线路由器登录管理方法及装置 |
-
2016
- 2016-06-13 CN CN201610415729.4A patent/CN106130962B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1725705A (zh) * | 2005-05-09 | 2006-01-25 | 杭州华为三康技术有限公司 | 流量攻击网络设备的报文特征的检测方法 |
EP1925179A4 (en) * | 2005-08-15 | 2013-04-03 | Nokia Corp | DEVICE, METHOD, AND COMPUTER PROGRAM PRODUCT FOR PROVIDING A RECORDING OF LOCAL AREA INFORMATION IN EQUIPPED MESSAGES AND FOR CONTINUING A BLACK LIST OF A RADIO ACCESS NETWORK |
CN101188612A (zh) * | 2007-12-10 | 2008-05-28 | 中兴通讯股份有限公司 | 一种黑名单实时管理的方法及其装置 |
CN103326882A (zh) * | 2013-05-16 | 2013-09-25 | 浙江宇视科技有限公司 | 一种视频监控网络管理方法及装置 |
CN103561001A (zh) * | 2013-10-21 | 2014-02-05 | 华为技术有限公司 | 一种安全防护方法及路由设备 |
CN103856487A (zh) * | 2014-02-28 | 2014-06-11 | 汉柏科技有限公司 | 一种对授权域dns服务器的防护方法及系统 |
CN105472610A (zh) * | 2015-11-20 | 2016-04-06 | 上海斐讯数据通信技术有限公司 | 无线路由器登录管理方法及装置 |
Cited By (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107395588A (zh) * | 2017-07-18 | 2017-11-24 | 浙江远望通信技术有限公司 | 视频监控接入安全阻断方法及系统 |
CN107547559A (zh) * | 2017-09-20 | 2018-01-05 | 新华三信息安全技术有限公司 | 一种报文处理方法及装置 |
CN107547559B (zh) * | 2017-09-20 | 2021-07-20 | 新华三信息安全技术有限公司 | 一种报文处理方法及装置 |
CN108156157B (zh) * | 2017-12-26 | 2021-06-01 | 浙江宇视科技有限公司 | 一种监控设备自适应兼容方法及装置 |
CN108156157A (zh) * | 2017-12-26 | 2018-06-12 | 浙江宇视科技有限公司 | 一种监控设备自适应兼容方法及装置 |
CN108200076A (zh) * | 2018-01-17 | 2018-06-22 | 杭州迪普科技股份有限公司 | Host头域伪造攻击的防护方法和装置 |
CN108200076B (zh) * | 2018-01-17 | 2021-04-27 | 杭州迪普科技股份有限公司 | Host头域伪造攻击的防护方法和装置 |
CN110347694A (zh) * | 2019-07-12 | 2019-10-18 | 中国工商银行股份有限公司 | 一种基于物联网的设备监控方法、装置及系统 |
CN111404891A (zh) * | 2020-03-05 | 2020-07-10 | 南水北调中线信息科技有限公司 | 一种应用于水质监控系统的数据流量监测方法及装置 |
CN111885016A (zh) * | 2020-07-06 | 2020-11-03 | 河南信大网御科技有限公司 | 一种基于数据报文的快速裁决方法、系统及架构 |
CN111885016B (zh) * | 2020-07-06 | 2023-06-16 | 河南信大网御科技有限公司 | 一种基于数据报文的快速裁决方法、系统及架构 |
CN115333853A (zh) * | 2022-09-13 | 2022-11-11 | 杭州迪普科技股份有限公司 | 网络入侵检测方法、装置与电子设备 |
CN115333853B (zh) * | 2022-09-13 | 2024-04-26 | 杭州迪普科技股份有限公司 | 网络入侵检测方法、装置与电子设备 |
Also Published As
Publication number | Publication date |
---|---|
CN106130962B (zh) | 2020-01-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106130962A (zh) | 一种报文处理方法和装置 | |
US10057284B2 (en) | Security threat detection | |
US6170012B1 (en) | Methods and apparatus for a computer network firewall with cache query processing | |
US7774832B2 (en) | Systems and methods for implementing protocol enforcement rules | |
US7853998B2 (en) | Firewall propagation | |
US6854063B1 (en) | Method and apparatus for optimizing firewall processing | |
US7818565B2 (en) | Systems and methods for implementing protocol enforcement rules | |
US7830898B2 (en) | Method and apparatus for inter-layer binding inspection | |
US7007169B2 (en) | Method and apparatus for protecting a web server against vandals attacks without restricting legitimate access | |
EP0909074A1 (en) | Methods and apparatus for a computer network firewall with multiple domain support | |
US10135785B2 (en) | Network security system to intercept inline domain name system requests | |
US20040111623A1 (en) | Systems and methods for detecting user presence | |
CN105049412B (zh) | 一种不同网络间数据安全交换方法、装置及设备 | |
JP4768020B2 (ja) | IPネットワークにおいてターゲット被害者自己識別及び制御によってDoS攻撃を防御する方法 | |
JPH11167538A (ja) | ファイアウォールサービス提供方法 | |
CN108243143A (zh) | 一种基于web代理的网闸穿透方法及系统 | |
CN111385326B (zh) | 轨道交通通信系统 | |
KR101472685B1 (ko) | 망 연계 게이트웨이 및 이를 이용한 망 분리 방법과 컴퓨터 네트워크 시스템 | |
CN106254353A (zh) | 入侵防护策略的更新方法及装置 | |
CN105516189A (zh) | 基于大数据平台的网络安全实施系统及方法 | |
KR20040057257A (ko) | 분산서비스거부 공격 대응 시스템 및 방법과 그프로그램을 기록한 기록매체 | |
CN103795736B (zh) | 针对移动终端不同联网通道的防火墙联网系统 | |
CN102752266B (zh) | 访问控制方法及其设备 | |
KR101593897B1 (ko) | 방화벽, ids 또는 ips를 우회하는 네트워크 스캔 방법 | |
CN101277302A (zh) | 一种分布式网络设备安全集中防护的装置与方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |