CN106790241A - 一种报文的处理方法及装置 - Google Patents
一种报文的处理方法及装置 Download PDFInfo
- Publication number
- CN106790241A CN106790241A CN201710046561.9A CN201710046561A CN106790241A CN 106790241 A CN106790241 A CN 106790241A CN 201710046561 A CN201710046561 A CN 201710046561A CN 106790241 A CN106790241 A CN 106790241A
- Authority
- CN
- China
- Prior art keywords
- tuple information
- information
- default
- message
- list
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种报文的处理方法及装置,所述方法包括:当接收到报文时,解析报文得到五元组信息;将五元组信息与预设执行列表中记录的每一个五元组信息进行匹配,预设执行列表用于记录五元组信息及防护标识信息;当五元组信息与预设执行列表中记录的其中一个五元组信息匹配成功时,查找其中一个五元组信息在预设执行列表中是否存在对应的防护标识信息,防护标识信息用于标记相应的预设防护动作;当其中一个五元组信息在预设执行列表中存在对应的防护标识信息时,基于防护标识信息对报文执行预设防护动作。应用本发明实施例,管理设备可以基于预设执行列表获取报文中携带的五元组信息,解决了无法对报文中携带的五元组信息进行分析的问题。
Description
技术领域
本发明涉及网络通信技术领域,尤其涉及一种报文的处理方法及装置。
背景技术
随着网络技术的发展,黑客利用带有攻击行为的报文对服务器进行攻击,通常防护设备会对流经自身的报文进行过滤,从而确保服务器免遭攻击。
现有技术中,防护设备获取报文中携带的源IP地址,对具有攻击行为的源IP地址进行过滤,若除源IP地址以外的五元组信息不同时,管理设备无法获取报文中携带的其他五元组信息,进而无法对报文中携带的五元组信息进行分析。
发明内容
有鉴于此,本发明提供一种报文的处理方法及装置,以解决无法对报文中携带的五元组信息进行分析的问题。
为实现上述目的,本发明提供技术方案如下:
根据本发明的第一方面,提出了一种报文的处理方法,所述方法包括:
当接收到报文时,解析所述报文得到五元组信息;
将所述五元组信息与预设执行列表中记录的每一个五元组信息进行匹配,所述预设执行列表用于记录五元组信息及防护标识信息;
当所述五元组信息与所述预设执行列表中记录的其中一个五元组信息匹配成功时,查找所述其中一个五元组信息在所述预设执行列表中是否存在对应的防护标识信息,所述防护标识信息用于标记相应的预设防护动作;
当所述其中一个五元组信息在所述预设执行列表中存在对应的防护标识信息时,基于所述防护标识信息对所述报文执行所述预设防护动作。
根据本发明的第二方面,提出了一种报文的处理装置,包括:
报文解析模块,用于当接收到报文时,解析所述报文得到五元组信息;
第一匹配模块,用于将所述报文解析模块解析得到的所述五元组信息与预设执行列表中记录的每一个五元组信息进行匹配,所述预设执行列表用于记录五元组信息及防护标识信息;
标识查找模块,用于当所述第一匹配模块中所述五元组信息与所述预设执行列表中记录的其中一个五元组信息匹配成功时,查找所述其中一个五元组信息在所述预设执行列表中是否存在对应的防护标识信息,所述防护标识信息用于标记相应的预设防护动作;
执行防护模块,用于当所述标识查找模块中所述其中一个五元组信息在所述预设执行列表中存在对应的防护标识信息时,基于所述防护标识信息对所述报文执行所述预设防护动作。
由以上技术方案可见,防护设备接收到报文时,解析报文得到五元组信息,防护设备将五元组信息与预设执行列表中记录的每一个五元组信息进行匹配,当五元组信息与预设执行列表中记录的其中一个五元组信息匹配成功时,防护设备查找其中一个五元组信息在预设执行列表中是否存在对应的防护标识信息,当其中一个五元组信息在预设执行列表中存在对应的防护标识信息时,防护设备基于防护标识信息对报文执行预设防护动作,存在攻击行为的报文对应的五元组信息被记录在预设执行列表中,管理设备可以获取预设执行列表,并基于预设执行列表中记录的五元组信息进行数据分析,解决了无法对报文中携带的五元组信息进行分析的问题。
附图说明
图1是本发明提供的报文的处理方法中的防护设备的结构示意图;
图2是本发明提供的一个报文的处理方法的实施例流程图;
图3是本发明提供的另一个报文的处理方法的实施例流程图;
图4是本发明提供的一种网络防护设备的硬件结构图;
图5是本发明提供的一个报文的处理的装置的实施例框图;
图6是本发明提供的另一个报文的处理的装置的实施例框图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本发明相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本发明的一些方面相一致的装置和方法的例子。
在本发明使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本发明。在本发明和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本发明可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本发明范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
本发明可以应用在防护设备上,通常,当防护设备接收到报文时,防护设备解析报文,得到五元组信息,五元组信息包括:源端口信息、目的端口信息、源IP地址、目的IP地址、传输协议信息。防护设备将五元组信息与预设执行列表中记录的每一个五元组信息进行匹配,预设执行列表中记录了至少一个五元组信息,当五元组信息与预设执行列表中记录的其中一个五元组信息匹配成功时,防护设备查找该其中一个五元组信息在预设执行列表中是否存在对应的防护标识信息,防护标识信息用于标记相应的预设防护动作,预设防护动作包括阻断、发送告警信息等,当其中一个五元组信息在预设执行列表中存在对应的防护标识信息时,防护设备基于防护标识信息对报文执行预设防护动作。其中,防护标识信息为管理人员预设的标识信息,防护标识信息用以标记对报文执行何种预设防护动作,以预设执行列表中一个五元组信息对应标记两个防护标识信息为例,其中一个防护标识信息置“1”,用以标记对报文执行阻断处理,另一个防护标识信息置“1”,用以标记向管理设备发送告警信息,本领域技术人员可以理解的,防护标识信息的表现形式也可以为:例如当以“1”标记一个五元组信息时,表示该五元组信息对应的报文需要被阻断,当以“2”标记一个五元组信息时,表示针对该五元组信息对应的报文需要向管理设备发送告警信息,当以“3”标记一个五元组信息时,表示针对该五元组信息对应的报文需要被阻断且需要向管理设备发送告警信息,此处对防护标识信息的数量及具体表现形式不做限定。通过本发明实施例,防护设备将报文与预设执行列表中记录的每一个五元组信息进行匹配,并根据预设执行列表中的防护标识信息对报文进行防护,使得报文及五元组信息通过预设执行列表得到展示,进而解决了无法对报文中携带的五元组信息进行分析的问题。
图1是本发明提供的报文的处理方法中的防护设备的结构示意图,如图1所示,防护设备10内部包括:处理模块11、执行模块12,其中,处理模块11可以为CPU,执行模块12可以为具有快速转发功能的芯片,以下简称快转芯片。处理模块11用于将五元组信息中的源IP地址与预设处理列表中记录的每一个IP地址进行匹配,预设处理列表中记录的每一个IP地址为管理人员预设的不包含攻击行为的IP地址信息,可以理解为白名单,若一个源IP地址在预设处理列表中未匹配到相同的IP地址,处理模块11将该一个源IP地址对应的五元组信息标记防护标识信息,表示该一个源IP地址可能包含攻击行为,处理模块11将携带有防护标识信息的五元组信息,以及未携带有防护标识信息的五元组信息均发送到执行模块12,执行模块12将携带有防护标识信息的五元组信息,以及未携带有防护标识信息的五元组信息记录在预设执行列表中,预设执行列表中也可以由管理人员预设五元组信息及防护标识信息,此处不做限定。当执行模块12接收到报文时,执行模块12解析报文,得到五元组信息,执行模块12将五元组信息与预设执行列表中记录的每一个五元组信息进行匹配,当五元组信息与预设执行列表中记录的其中一个五元组信息匹配成功时,执行模块12查找该其中一个五元组信息在预设执行列表中是否存在对应的防护标识信息,当其中一个五元组信息在预设执行列表中存在对应的防护标识信息时,执行模块12基于防护标识信息对报文执行预设防护动作。当其中一个五元组信息在预设执行列表中不存在对应防护标识信息时,执行模块12向下一连接的设备转发该报文。
通过本发明实施例,处理模块11预先判定报文是否需要被标记防护标识信息,执行模块12基于处理模块11的处理结果对后续报文进行匹配后,确定是否需要对报文执行预设防护动作或正常转发,以处理模块11为CPU、执行模块12为快转芯片为例,CPU基于预设处理列表中记录的IP地址对报文确定标记与否,后续的报文匹配过程由快转芯片来承担,极大地缓解了CPU的处理压力,对于未具有攻击行为的报文,快转芯片还可以更高效的转发报文。
为对本发明进行进一步说明,提供下列实施例:
图2是本发明提供的一个报文的处理方法的实施例流程图,如图2所示,包括如下步骤:
步骤201:当接收到报文时,解析报文得到五元组信息。
步骤202:将五元组信息与预设执行列表中记录的每一个五元组信息进行匹配,预设执行列表用于记录五元组信息及防护标识信息。
步骤203:当五元组信息与预设执行列表中记录的其中一个五元组信息匹配成功时,查找其中一个五元组信息在预设执行列表中是否存在对应的防护标识信息,防护标识信息用于标记相应的预设防护动作,当其中一个五元组信息在预设执行列表中存在对应的防护标识信息时,执行步骤204,当其中一个五元组信息在预设执行列表中未存在对应的防护标识信息时,执行步骤205。
步骤204:基于防护标识信息对报文执行预设防护动作。
步骤205:向下一连接的设备转发报文。
在步骤201中,在一实施例中,防护设备接收到报文时,从报文中解析得到五元组信息,五元组信息包括:源端口信息、目的端口信息、源IP地址、目的IP地址、传输协议信息,例如五元组信息为:源端口信息80、目的端口信息82、源IP地址192.168.1.1、目的IP地址121.14.88.76、传输协议信息TCP。本领域技术人员可以理解的是,此处防护设备解析报文得到五元组信息的过程描述可参见现有技术,此处不作详述。
在步骤202中,在一实施例中,防护设备存储了一个预设执行列表,预设执行列表用于记录五元组信息及防护标识信息,防护标识信息的作用为对具有攻击行为的报文所对应的五元组信息进行标记,同时防护标识信息还可以用于确定预设防护动作,以预设执行列表中一个五元组信息对应标记两个防护标识信息为例,其中一个防护标识信息置“1”,用以标记对报文执行阻断处理,另一个防护标识信息置“1”,用以标记向管理设备发送告警信息,本领域技术人员可以理解的是,防护标识信息的表现形式也可以为:例如当以“1”标记一个五元组信息时,表示该五元组信息对应的报文需要被阻断,当以“2”标记一个五元组信息时,表示针对该五元组信息对应的报文需要向管理设备发送告警信息,当以“3”标记一个五元组信息时,表示针对该五元组信息对应的报文需要被阻断且需要向管理设备发送告警信息,此处对防护标识信息的数量及具体表现形式不做限定。对于具有攻击行为或者不具有攻击行为的报文所对应的五元组信息均被记录在预设执行列表中,如表1所示,以预设执行列表记录了三个五元组信息,防护标识信息包括2个,一个用于标记执行阻断动作,另一个用于标记执行发送告警信息为例,对预设执行列表的结构进行示例性说明:
表1
表1所示的序号1对应源端口信息80、目的端口信息82、源IP地址192.168.1.1、目的IP地址121.14.88.76、传输协议信息TCP、阻断标识信息1、告警标识信息1;序号2对应源端口信息85、目的端口信息83、源IP地址192.168.1.2、目的IP地址121.14.88.77、传输协议信息UDP;序号3对应源端口信息84、目的端口信息80、源IP地址192.168.1.3、目的IP地址121.14.88.78、传输协议信息TCP、阻断标识信息1、告警标识信息1。防护设备将五元组信息与表1所示的预设执行列表中记录的每一个五元组信息进行匹配,具体的结合步骤201,防护设备将源端口信息80、目的端口信息82、源IP地址192.168.1.1、目的IP地址121.14.88.76、传输协议信息TCP分别与表1中的源端口信息80、目的端口信息82、源IP地址192.168.1.1、目的IP地址121.14.88.76、传输协议信息TCP;源端口信息85、目的端口信息83、源IP地址192.168.1.2、目的IP地址121.14.88.77、传输协议信息UDP;源端口信息84、目的端口信息80、源IP地址192.168.1.3、目的IP地址121.14.88.78、传输协议信息TCP进行匹配。
在步骤203中,在一实施例中,结合步骤202,防护设备将源端口信息80、目的端口信息82、源IP地址192.168.1.1、目的IP地址121.14.88.76、传输协议信息TCP与表1中序号1对应的源端口信息80、目的端口信息82、源IP地址192.168.1.1、目的IP地址121.14.88.76、传输协议信息TCP匹配成功,防护设备查找表1中序号1对应的五元组信息在表1中是否存在对应的防护标识信息,当存在对应的防护标识信息时,执行步骤204,当未存在对应的防护标识信息时,执行步骤205。
在步骤204中,在一实施例中,结合在步骤203,表1中序号1对应的五元组信息在表1中存在对应的防护标识信息(阻断)1、防护标识信息(告警)1,防护设备基于防护标识信息(阻断)1、防护标识信息(告警)1对报文执行预设防护动作,预设防护动作即为对该报文进行阻断,同时向管理设备发送告警信息。
在步骤205中,防护设备向下一连接的设备转发报文。本领域技术人员可以理解的是,步骤205并不是必要的技术步骤,此处步骤205仅为在一实施例中的可选步骤。
本发明实施例中,防护设备接收到报文时,解析报文得到五元组信息,防护设备将五元组信息与预设执行列表中记录的每一个五元组信息进行匹配,当五元组信息与预设执行列表中记录的其中一个五元组信息匹配成功时,防护设备查找其中一个五元组信息在预设执行列表中是否存在对应的防护标识信息,当其中一个五元组信息在预设执行列表中存在对应的防护标识信息时,防护设备基于防护标识信息对报文执行预设防护动作,存在攻击行为的报文对应的五元组信息被记录在预设执行列表中,管理设备可以获取预设执行列表,并基于预设执行列表中记录的五元组信息进行数据分析,解决了无法对报文中携带的五元组信息进行分析的问题。
图3是本发明提供的另一个报文的处理方法的实施例流程图,本发明实施例结合图2以及表1,在步骤201-步骤204的基础上,对五元组信息与预设执行列表中记录的每一个五元组信息均未匹配成功时执行的步骤进行示例性说明,如图3所示,包括如下步骤:
步骤301:将五元组信息中的源IP地址与预设处理列表中记录的每一个IP地址进行匹配,预设处理列表用于记录没有攻击行为的IP地址,当五元组信息中的源IP地址与预设处理列表中记录的每一个IP地址均未匹配成功时,执行步骤302-步骤303,当五元组信息中的源IP地址与预设处理列表中记录的其中一个IP地址匹配成功时,执行步骤304。
步骤302:对五元组信息标记防护标识信息。
步骤303:将五元组信息及防护标识信息记录在预设执行列表中。
步骤304:将五元组信息记录在预设执行列表中。
在步骤301中,防护设备将五元组信息中的源IP地址与预设处理列表中记录的每一个IP地址进行匹配,预设处理列表用于记录没有攻击行为的IP地址,预设处理列表可以参考现有技术中白名单的生成及建立过程的相关描述,此处不做详述。当五元组信息中的源IP地址与预设处理列表中记录的每一个IP地址均未匹配成功时,表示该五元组信息对应的报文具有攻击行为,防护设备执行步骤302-步骤303,当五元组信息中的源IP地址与预设处理列表中记录的其中一个IP地址匹配成功时,表示该五元组信息对应的报文为安全的,防护设备执行步骤304。
在步骤302中,防护设备对五元组信息标记防护标识信息,防护标识信息为管理人员预设的标识信息,防护标识信息用以标记对报文执行何种预设防护动作,以对五元组信息标记两个防护标识信息为例,其中一个防护标识信息置“1”,用以标记对报文执行阻断处理,另一个防护标识信息置“1”,用以标记向管理设备发送告警信息,本领域技术人员可以理解的,防护标识信息的表现形式也可以为:例如当以“1”标记一个五元组信息时,表示该五元组信息对应的报文需要被阻断,当以“2”标记一个五元组信息时,表示针对该五元组信息对应的报文需要向管理设备发送告警信息,当以“3”标记一个五元组信息时,表示针对该五元组信息对应的报文需要被阻断且需要向管理设备发送告警信息,此处对防护标识信息的数量及具体表现形式不做限定。
在步骤303中,防护设备将五元组信息及防护标识信息记录在预设执行列表中,此处具体对五元组信息及防护标识信息的记录形式,可参考表1中序号1、3对应的五元组信息及防护标识信息的记录形式。
在步骤304中,将五元组信息记录在预设执行列表中,此处具体对五元组信息的记录形式,可参考表1中序号2对应的五元组信息的记录形式。
本发明实施例中,当五元组信息与预设执行列表中记录的每一个五元组信息均未匹配成功时,防护设备基于五元组信息中的源IP地址确定是否对五元组信息标记防护标识信息,源IP地址的匹配过程耗时短,效率高。
对应于上述报文的处理方法,本发明还提出了图4所示的防护设备的硬件结构图。请参考图4,在硬件层面,该防护设备包括处理器、内部总线、网络接口、内存以及非易失性存储器,当然还可能包括其他业务所需要的硬件。处理器从非易失性存储器中读取对应的计算机程序到内存中然后运行,在逻辑层面上形成报文的处理装置。当然,除了软件实现方式之外,本发明并不排除其他实现方式,比如逻辑器件抑或软硬件结合的方式等等,也就是说以下处理流程的执行主体并不限定于各个逻辑单元,也可以是硬件或逻辑器件。
图5是本发明提供的一个报文的处理的装置的实施例框图,如图5所示,该报文的处理装置可以包括:报文解析模块51、第一匹配模块52、标识查找模块53、执行防护模块54,其中:
报文解析模块51,用于当接收到报文时,解析报文得到五元组信息;
第一匹配模块52,用于将报文解析模块51解析得到的五元组信息与预设执行列表中记录的每一个五元组信息进行匹配,预设执行列表用于记录五元组信息及防护标识信息;
标识查找模块53,用于当第一匹配模块52中五元组信息与预设执行列表中记录的其中一个五元组信息匹配成功时,查找其中一个五元组信息在预设执行列表中是否存在对应的防护标识信息,防护标识信息用于标记相应的预设防护动作;
执行防护模块54,用于当标识查找模块53中其中一个五元组信息在预设执行列表中存在对应的防护标识信息时,基于防护标识信息对报文执行预设防护动作。
图6是本发明提供的另一个报文的处理的装置的实施例框图,如图6所示,在上述图5所示实施例的基础上,报文的处理装置还包括:
第二匹配模块55,用于当第一匹配模块52中五元组信息与预设执行列表中记录的每一个五元组信息均未匹配成功时,将五元组信息中的源IP地址与预设处理列表中记录的每一个IP地址进行匹配,预设处理列表用于记录没有攻击行为的IP地址;
标识标记模块56,用于当第二匹配模块55中五元组信息中的源IP地址与预设处理列表中记录的每一个IP地址均未匹配成功时,对五元组信息标记防护标识信息;
第一记录模块57,用于将五元组信息及标识标记模块56中标记的防护标识信息记录在预设执行列表中。
在一实施例中,报文的处理装置还包括:
第二记录模块58,用于当第二匹配模块55中五元组信息中的源IP地址与预设处理列表中记录的其中一个IP地址匹配成功时,将五元组信息记录在预设执行列表中。
在一实施例中,报文的处理装置还包括:
报文转发模块59,用于当标识查找模块53中其中一个五元组信息在预设执行列表中未存在对应的防护标识信息时,向下一连接的设备转发报文。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本发明方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
由上述实施例可见,防护设备接收到报文时,解析报文得到五元组信息,防护设备将五元组信息与预设执行列表中记录的每一个五元组信息进行匹配,当五元组信息与预设执行列表中记录的其中一个五元组信息匹配成功时,防护设备查找其中一个五元组信息在预设执行列表中是否存在对应的防护标识信息,当其中一个五元组信息在预设执行列表中存在对应的防护标识信息时,防护设备基于防护标识信息对报文执行预设防护动作,存在攻击行为的报文对应的五元组信息被记录在预设执行列表中,管理设备可以获取预设执行列表,并基于预设执行列表中记录的五元组信息进行数据分析,解决了无法对报文中携带的五元组信息进行分析的问题。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本发明的其它实施方案。本发明旨在涵盖本发明的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本发明的一般性原理并包括本发明未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本发明的真正范围和精神由下面的权利要求指出。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (8)
1.一种报文的处理方法,其特征在于,所述方法包括:
当接收到报文时,解析所述报文得到五元组信息;
将所述五元组信息与预设执行列表中记录的每一个五元组信息进行匹配,所述预设执行列表用于记录五元组信息及防护标识信息;
当所述五元组信息与所述预设执行列表中记录的其中一个五元组信息匹配成功时,查找所述其中一个五元组信息在所述预设执行列表中是否存在对应的防护标识信息,所述防护标识信息用于标记相应的预设防护动作;
当所述其中一个五元组信息在所述预设执行列表中存在对应的防护标识信息时,基于所述防护标识信息对所述报文执行所述预设防护动作。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
当所述五元组信息与所述预设执行列表中记录的每一个五元组信息均未匹配成功时,将所述五元组信息中的源IP地址与预设处理列表中记录的每一个IP地址进行匹配,预设处理列表用于记录没有攻击行为的IP地址;
当所述五元组信息中的源IP地址与所述预设处理列表中记录的每一个IP地址均未匹配成功时,对所述五元组信息标记防护标识信息;
将所述五元组信息及所述防护标识信息记录在所述预设执行列表中。
3.根据权利要求2所述的方法,其特征在于,所述方法还包括:
当所述五元组信息中的源IP地址与所述预设处理列表中记录的其中一个IP地址匹配成功时,将所述五元组信息记录在所述预设执行列表中。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
当所述其中一个五元组信息在所述预设执行列表中未存在对应的防护标识信息时,向下一连接的设备转发所述报文。
5.一种报文的处理的装置,其特征在于,所述装置包括:
报文解析模块,用于当接收到报文时,解析所述报文得到五元组信息;
第一匹配模块,用于将所述报文解析模块解析得到的所述五元组信息与预设执行列表中记录的每一个五元组信息进行匹配,所述预设执行列表用于记录五元组信息及防护标识信息;
标识查找模块,用于当所述第一匹配模块中所述五元组信息与所述预设执行列表中记录的其中一个五元组信息匹配成功时,查找所述其中一个五元组信息在所述预设执行列表中是否存在对应的防护标识信息,所述防护标识信息用于标记相应的预设防护动作;
执行防护模块,用于当所述标识查找模块中所述其中一个五元组信息在所述预设执行列表中存在对应的防护标识信息时,基于所述防护标识信息对所述报文执行所述预设防护动作。
6.根据权利要求5所述的装置,其特征在于,所述装置还包括:
第二匹配模块,用于当所述第一匹配模块中所述五元组信息与所述预设执行列表中记录的每一个五元组信息均未匹配成功时,将所述五元组信息中的源IP地址与预设处理列表中记录的每一个IP地址进行匹配,预设处理列表用于记录没有攻击行为的IP地址;
标识标记模块,用于当所述第二匹配模块中所述五元组信息中的源IP地址与所述预设处理列表中记录的每一个IP地址均未匹配成功时,对所述五元组信息标记防护标识信息;
第一记录模块,用于将所述五元组信息及所述标识标记模块中标记的所述防护标识信息记录在所述预设执行列表中。
7.根据权利要求6所述的装置,其特征在于,所述装置还包括:
第二记录模块,用于当所述第二匹配模块中所述五元组信息中的源IP地址与所述预设处理列表中记录的其中一个IP地址匹配成功时,将所述五元组信息记录在所述预设执行列表中。
8.根据权利要求5所述的装置,其特征在于,所述装置还包括:
报文转发模块,用于当所述标识查找模块中所述其中一个五元组信息在所述预设执行列表中未存在对应的防护标识信息时,向下一连接的设备转发所述报文。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710046561.9A CN106790241A (zh) | 2017-01-18 | 2017-01-18 | 一种报文的处理方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710046561.9A CN106790241A (zh) | 2017-01-18 | 2017-01-18 | 一种报文的处理方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN106790241A true CN106790241A (zh) | 2017-05-31 |
Family
ID=58943820
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710046561.9A Pending CN106790241A (zh) | 2017-01-18 | 2017-01-18 | 一种报文的处理方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106790241A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112565297A (zh) * | 2020-12-24 | 2021-03-26 | 杭州迪普科技股份有限公司 | 一种报文控制方法及装置 |
| CN113572774A (zh) * | 2021-07-27 | 2021-10-29 | 杭州迪普科技股份有限公司 | 一种网络设备中的报文转发方法及装置 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050033985A1 (en) * | 2003-07-26 | 2005-02-10 | Innomedia Pte Ltd. | Firewall penetration system and method for real time media communications |
| CN103078869A (zh) * | 2013-01-16 | 2013-05-01 | 华为技术有限公司 | 一种加速会话转发的系统及其方法 |
| CN105872850A (zh) * | 2015-12-07 | 2016-08-17 | 乐视云计算有限公司 | 基于白名单的直播数据推送方法及设备 |
| CN105939322A (zh) * | 2015-12-08 | 2016-09-14 | 杭州迪普科技有限公司 | 报文攻击防护的方法及装置 |
| CN106302383A (zh) * | 2016-07-22 | 2017-01-04 | 北京奇虎科技有限公司 | 数据访问请求的处理方法及处理装置 |
-
2017
- 2017-01-18 CN CN201710046561.9A patent/CN106790241A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050033985A1 (en) * | 2003-07-26 | 2005-02-10 | Innomedia Pte Ltd. | Firewall penetration system and method for real time media communications |
| CN103078869A (zh) * | 2013-01-16 | 2013-05-01 | 华为技术有限公司 | 一种加速会话转发的系统及其方法 |
| CN105872850A (zh) * | 2015-12-07 | 2016-08-17 | 乐视云计算有限公司 | 基于白名单的直播数据推送方法及设备 |
| CN105939322A (zh) * | 2015-12-08 | 2016-09-14 | 杭州迪普科技有限公司 | 报文攻击防护的方法及装置 |
| CN106302383A (zh) * | 2016-07-22 | 2017-01-04 | 北京奇虎科技有限公司 | 数据访问请求的处理方法及处理装置 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112565297A (zh) * | 2020-12-24 | 2021-03-26 | 杭州迪普科技股份有限公司 | 一种报文控制方法及装置 |
| CN113572774A (zh) * | 2021-07-27 | 2021-10-29 | 杭州迪普科技股份有限公司 | 一种网络设备中的报文转发方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9954873B2 (en) | Mobile device-based intrusion prevention system | |
| US9501639B2 (en) | Methods, systems, and media for baiting inside attackers | |
| US7669240B2 (en) | Apparatus, method and program to detect and control deleterious code (virus) in computer network | |
| US8959573B2 (en) | Noise, encryption, and decoys for communications in a dynamic computer network | |
| US7734776B2 (en) | Automatically detecting malicious computer network reconnaissance by updating state codes in a histogram | |
| US9003511B1 (en) | Polymorphic security policy action | |
| US20200304521A1 (en) | Bot Characteristic Detection Method and Apparatus | |
| Rasheed et al. | Threat hunting using grr rapid response | |
| CN112688932A (zh) | 蜜罐生成方法、装置、设备及计算机可读存储介质 | |
| CN106921671A (zh) | 一种网络攻击的检测方法及装置 | |
| JP4743901B2 (ja) | ネットワーク上での不正なスキャンニングを検出するための方法、システムおよびコンピュータ・プログラム | |
| CN106790241A (zh) | 一种报文的处理方法及装置 | |
| US11757915B2 (en) | Exercising security control point (SCP) capabilities on live systems based on internal validation processing | |
| US7957372B2 (en) | Automatically detecting distributed port scans in computer networks | |
| Esseghir et al. | AKER: An open-source security platform integrating IDS and SIEM functions with encrypted traffic analytic capability | |
| CN106657104B (zh) | 一种防护策略的匹配方法及装置 | |
| US11520884B2 (en) | Dummy information insertion device, dummy information insertion method, and storage medium | |
| CN106657139A (zh) | 一种登录密码的处理方法、装置及系统 | |
| CN110166434A (zh) | 存储网关及存储设备的数据写入、读取方法和装置 | |
| Mohammed et al. | An automated signature generation approach for polymorphic worms using principal component analysis | |
| CN110417743B (zh) | 一种加密压缩包分析方法及装置 | |
| JP4091528B2 (ja) | 不正アクセス対処ルール生成方法,不正アクセス対処方法,不正アクセス対処ルール生成装置,不正アクセス対処装置およびスタックスマッシング攻撃対策システム | |
| CN113691522A (zh) | 数据流量处理方法、装置、电子设备和存储介质 | |
| Mohammed et al. | An Automated Signature Generation Approach for Polymorphic Worms Using Factor Analysis | |
| CN116886390A (zh) | 一种测试下一代防火墙防御能力的方法、装置、存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20170531 |