CN107547559A - 一种报文处理方法及装置 - Google Patents
一种报文处理方法及装置 Download PDFInfo
- Publication number
- CN107547559A CN107547559A CN201710849632.9A CN201710849632A CN107547559A CN 107547559 A CN107547559 A CN 107547559A CN 201710849632 A CN201710849632 A CN 201710849632A CN 107547559 A CN107547559 A CN 107547559A
- Authority
- CN
- China
- Prior art keywords
- message
- source device
- checking
- checking information
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请实施例提供了一种报文处理方法及装置。该方法包括:当检测到在预设时长内接收到的从源设备发送的报文的第一数量大于预设数量阈值时,向源设备发送验证请求,该验证请求用于指示所述源设备反馈用于验证上述报文是否为攻击报文的验证信息;接收源设备针对上述验证请求发送的验证信息;在验证信息合法的情况下,当根据验证信息确定上述报文为攻击报文时,丢弃上述报文。应用本申请实施例提供的方案,能够提高网络安全性。
Description
技术领域
本申请涉及通信技术领域,特别是涉及一种报文处理方法及装置。
背景技术
随着互联网技术的高速发展,网络攻击的形式也在不断地更新,这为互联网用户带来了很大困扰。在一种常见的网络攻击中,攻击者可以伪造互联网协议(InternetProtocl,IP)地址,产生足够数量的攻击报文,对网络中的一台或多台设备发起攻击,造成被攻击的设备无法提供正常的服务,网络安全性不够高。
发明内容
本申请实施例的目的在于提供了一种报文处理方法及装置,以提高网络安全性。
为了达到上述目的,本申请实施例公开了一种报文处理方法,应用于网络设备,所述方法包括:
当检测到在预设时长内接收到的从源设备发送的报文的第一数量大于预设数量阈值时,向所述源设备发送验证请求,所述验证请求用于指示所述源设备反馈用于验证所述报文是否为攻击报文的验证信息;
接收所述源设备针对所述验证请求发送的验证信息;
在所述验证信息合法的情况下,当根据所述验证信息确定所述报文为攻击报文时,丢弃所述报文。
为了达到上述目的,本申请实施例还公开了一种报文处理装置,应用于网络设备,所述装置包括:
发送模块,用于当检测到在预设时长内接收到的从源设备发送的报文的第一数量大于预设数量阈值时,向所述源设备发送验证请求,所述验证请求用于指示所述源设备反馈用于验证所述报文是否为攻击报文的验证信息;
接收模块,用于接收所述源设备针对所述验证请求发送的验证信息;
丢弃模块,用于在所述验证信息合法的情况下,当根据所述验证信息确定所述报文为攻击报文时,丢弃所述报文。
为了达到上述目的,本申请实施例公开了一种网络设备,该网络设备包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
存储器,用于存储计算机程序;
处理器,用于执行存储器上所存储的程序时,实现本申请实施例提供的报文处理方法。该报文处理方法包括:
当检测到在预设时长内接收到的从源设备发送的报文的第一数量大于预设数量阈值时,向所述源设备发送验证请求,所述验证请求用于指示所述源设备反馈用于验证所述报文是否为攻击报文的验证信息;
接收所述源设备针对所述验证请求发送的验证信息;
在所述验证信息合法的情况下,当根据所述验证信息确定所述报文为攻击报文时,丢弃所述报文。
为了达到上述目的,本申请实施例公开了一种计算机可读存储介质,所述计算机可读存储介质存储有机器可执行指令,在被处理器调用和执行时,所述机器可执行指令促使所述处理器执行并实现本申请实施例提供的报文处理方法。该报文处理方法包括:
当检测到在预设时长内接收到的从源设备发送的报文的第一数量大于预设数量阈值时,向所述源设备发送验证请求,所述验证请求用于指示所述源设备反馈用于验证所述报文是否为攻击报文的验证信息;
接收所述源设备针对所述验证请求发送的验证信息;
在所述验证信息合法的情况下,当根据所述验证信息确定所述报文为攻击报文时,丢弃所述报文。
本申请实施例提供的报文处理方法及装置,可以在检测到预设时长内接收到的从源设备发送的报文的第一数量大于预设数量阈值时,向源设备发送用于验证上述报文是否为攻击报文的验证信息的验证请求,接收源设备针对上述验证请求发送的验证信息,在验证信息合法的情况下,当根据该验证信息确定上述报文为攻击报文时,丢弃上述报文。
也就是说,本申请实施例可以根据源设备针对验证请求发送的验证信息,在验证信息合法的情况下,根据验证信息确定报文是否为攻击报文。在确定上述报文为攻击报文时,丢弃上述报文,避免将攻击报文发送至报文的目的设备,从而造成对目的设备的攻击。并且,本申请实施例可以在验证信息合法的情况下执行丢弃报文的步骤,能够提高报文处理过程的准确性,避免丢弃非攻击报文。因此,本申请实施例提供的方案能够提高网络安全性。当然,实施本申请的任一产品或方法并不一定需要同时达到以上所述的所有优点。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单的介绍。显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的一种应用场景图;
图2为本申请实施例提供的一种报文处理方法的流程示意图;
图3为本申请实施例提供的另一种报文处理方法的流程示意图;
图4为本申请实施例提供的报文处理装置的一种结构示意图;
图5为本申请实施例提供的电子设备的一种结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整的描述。显然,所描述的实施例仅仅是本申请的一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。
图1为本申请实施例提供的一种应用场景示意图。图1中,网络设备为局域网中的防火墙,各个设备可以通过防火墙与外网通信。同时,防火墙可以存储有各个设备的互联网协议(Internet Protocl,IP)地址。该局域网中的各个设备可以将报文从内网发送至防火墙,这时各个设备可以理解为报文的源设备。防火墙接收到各个设备发送的报文后,将报文发送至外网中的目的设备。源设备可以为主机设备,也可以为服务器,目的设备可以为主机设备,也可以为服务器。攻击设备可以伪造源设备的IP地址,大量地向目的设备发送攻击报文。
例如,攻击者伪造源主机的IP地址,通过传输控制协议(Transmission ControlProtocol,TCP)向目的端的服务器发送SYN报文(第一次握手报文),服务器在接收到报文后向IP地址对应的源主机反馈应答的SYN+ACK报文(第二次握手报文),由于上述报文的源IP地址是伪造的,因此服务器无法接收到源主机反馈的ACK报文(第三次握手报文),第三次握手无法实现。这种情况下,服务器一般会重新发送应答的SYN+ACK报文,并在等待一段时间后丢弃这个未完成的TCP连接。等待的时间一般为分钟数量级。当攻击者向服务器发送大量伪造源IP地址的报文时,会产生大量的TCP半连接,消耗服务器的大量内存和CPU处理时间,降低服务器的系统性能。
又如,攻击者伪造源主机的IP地址,通过用户数据报协议(User DatagramProtocol,UDP)向目的端的服务器发送请求报文,服务器在接收到请求报文后会向源主机发送数倍于上述请求报文的回复报文,造成对源主机的攻击。
为了避免将攻击报文发送至目的设备,提高网络安全性,本申请实施例提供了一种报文处理方法及装置。下面通过具体实施例,对本申请进行详细说明。
图2为本申请实施例提供的报文处理方法的一种流程示意图。该方法应用于网络设备。其中,网络设备可以为路由器、交换机或其他具有数据处理功能的设备。该方法包括如下步骤S201~步骤S203:
步骤S201:当检测到在预设时长内接收到的从源设备发送的报文的第一数量大于预设数量阈值时,向源设备发送验证请求。
本实施例中,该验证请求用于指示源设备反馈用于验证上述报文是否为攻击报文的验证信息。
上述报文的源IP地址对应的设备为上述源设备。上述报文的源设备可以为网络设备内存储的白名单内的设备。
本步骤具体可以包括:检测在预设时长内接收到的从源设备发送的报文的第一数量是否大于预设数量阈值,如果大于,则向源设备发送验证请求。如果不大于,则可以转发上述报文或执行其他报文处理操作。例如,其他报文处理操作可以为深度报文检测(DeepPacket Inspection),DPI)检测等。
其中,从源设备发送的各个报文的目的地址可以是不同的,也可以是相同的。
当检测到在预设时长内接收到的从源设备发送的报文的第一数量大于预设数量阈值时,认为上述报文可能为攻击报文,即上述报文可能是攻击设备发送的报文,但是该报文的源IP地址并不是攻击设备的IP地址,而是攻击者伪造的源设备的IP地址。为了进一步验证上述报文是否为攻击报文,可以向源设备发送验证请求。当检测到在预设时长内接收到的从源设备发送的报文的第一数量不大于预设数量阈值时,认为上述报文为正常的业务报文,可以根据上述报文的目的地址对上述报文进行转发。
在本实施例中,网络设备向源设备发送验证请求;源设备接收网络设备发送的验证请求,并可以获取用于验证上述报文是否为攻击报文的验证信息,将上述验证信息发送至网络设备。
步骤S202:接收源设备针对上述验证请求发送的验证信息。
在本步骤中,接收上述验证信息时,可以对验证信息的合法性进行验证。
步骤S203:在上述验证信息合法的情况下,当根据上述验证信息确定上述报文为攻击报文时,丢弃上述报文。
当确定上述报文不是攻击报文时,可以根据上述报文的目的地址转发上述报文或者执行其他报文处理操作。
由上述内容可知,本实施例可以根据源设备针对验证请求发送的验证信息,在验证信息合法的情况下,根据验证信息确定报文是否为攻击报文。在确定上述报文为攻击报文时,丢弃上述报文,避免将攻击报文发送至报文的目的设备,从而造成对目的设备的攻击。并且,本实施例可以在验证信息合法的情况下执行丢弃报文的步骤,能够提高报文处理过程的准确性,避免丢弃非攻击报文。因此,本实施例提供的方案能够提高网络安全性。
此外,本申请实施例还可以解析攻击报文,记录攻击报文的源IP地址,将记录的源IP地址加入黑名单,能够验证数字报文的源头是否合法。待再次接收到携带源IP地址发送的数据报文时,直接丢弃即可。
在本申请的另一实施例中,图2所示实施例中的步骤S202,即接收源设备针对上述验证请求发送的验证信息的步骤,可以包括以下步骤1a和步骤2a:
步骤1a:接收源设备针对上述验证请求发送的反馈信息,该反馈信息包括验证信息和数字签名。该数字签名用于验证上述验证信息的合法性。
步骤2a:对上述数字签名进行验证,在对数字签名验证通过的情况下,确定上述验证信息合法。
本实施例中,数字签名可以为源设备根据预先接收的私钥得到。例如,该数字签名可以为源设备以该私钥对预设字符进行加密后获得的特征值,所述预设字符可以为源设备与网络设备预先约定的字符,还可以为具有实际意义的字符。
对上述数字签名进行验证时,可以包括:根据预先接收的与上述私钥对应的公钥,对该数字签名进行验证。
当数字签名为源设备以私钥对预设字符进行加密后获得的特征值时,根据预先接收的与上述私钥对应的公钥,对该数字签名进行验证。具体可以为,以接收的与上述私钥对应的公钥对数字签名进行解密,如果能解密得到上述预设字符,则确认对上述数字签名验证通过;如果不能解密得到上述预设字符,则确认对上述数字签名验证失败。
当数字签名为源设备以私钥对预设字符进行加密后获得的特征值时,根据预先接收的与上述私钥对应的公钥,对该数字签名进行验证。具体可以为,以接收的与上述私钥对应的公钥对数字签名进行解密,如果解密得到的字符具有实际意义,则确认对上述数字签名验证通过。如果解密得到的字符为乱码,则确认对上述数字签名验证失败。
在本实施例中,上述公钥和私钥可以为密钥分发中心根据预设的加密算法确定的密钥对。例如,上述密钥对可以为密钥分发中心根据预设的椭圆曲线算法确定的密钥对。在接收密钥对时,源设备和网络设备均可以从密钥分发中心发送的数字证书中获取相应的密钥,数字证书中包括分配给设备的私钥或者公钥。
为了提高上述密钥对的安全性,上述密钥对可以为密钥分发中心周期性更新的密钥对。
可见,本实施例中接收的源设备发送的反馈信息中携带数字签名,通过对数字签名进行验证,可以确定验证信息的合法性,这种方式在验证验证信息的合法性时简单易行,能够提高处理的效率。
在本申请的另一实施例中,图2所示实施例中的步骤S202,即接收源设备针对上述验证请求发送的验证信息的步骤,可以包括以下步骤1b和步骤2b:
步骤1b:接收源设备针对所述验证请求发送的反馈信息。
其中,上述反馈信息为源设备以预先获取的密钥对验证信息进行加密得到。
在本实施例中,源设备以预先获取的密钥对验证信息进行加密时可以采用常见的加密算法,例如数据加密标准(Data Encryption Standard,DES)、三重数据加密标准(Triple DES,3DES)和高级加密标准(Advanced Encryption Standard,AES)等。
步骤2b:以上述密钥对反馈信息进行解密,在解密成功的情况下确定验证信息合法。
在本步骤中,以上述密钥对反馈信息进行解密时,具体可以为,采用与源设备加密验证信息时加密算法对应的解密算法,以上述密钥对反馈信息进行解密。
当网络设备对反馈信息解密成功时,确定验证信息合法。当网络设备对反馈信息解密失败时,确定验证信息不合法。对反馈信息解密成功,可以理解为对反馈信息进行解密后得到的数据为有意义的数据,非乱码。对反馈信息解密失败,可以理解为对反馈信息进行解密后得到的数据为无意义的数据,为乱码。
在本实施例中,为了提高验证信息的安全性,网络设备中的上述密钥可以采用以下步骤1c~步骤3c的协商过程获取:
步骤1c:接收源设备发送的第一数值。其中,第一数值为:表示源设备从约定的椭圆曲线中确定的第一点的数值。
步骤2c:从椭圆曲线中确定表示第二点的第二数值,将第二数值发送至上述源设备。上述第二点可以为随机确定的点。
步骤3c:根据上述第一数值和第二数值,从椭圆曲线上确定表示第三点的第三数值,将第三数值作为上述密钥。
其中,在椭圆曲线上的第一点、第二点和第三点均位于同一条直线上。
下面结合具体实例再对本实施例进行详细说明。
源设备可以在预设的有限域[0,1,2,…,q-1,q]范围内选择一个随机数a,将a乘以乘法元P,得到第一数值aP,将aP发送至网络设备。其中,q为素数,P相当于实数1。
网络设备接收到设备发送的aP后,也从[0,1,2,…q-1,q]范围内选取一个随机数b,将b乘以乘法元P,得到第二数值bP,并计算第三数值a×bP=abP,将abP作为协商的密钥。
上述实施例中,密钥协商过程为源设备先发起的。作为另一种实施方式,密钥协商过程也可以是网络设备先发起的,具体的协商过程为:从约定的椭圆曲线上确定表示第一点的第一数值,将第一数值发送至源设备,接收源设备从椭圆曲线中确定的表示第二点的第二数值,根据第一数值和第二数值,从椭圆曲线上确定表示第三点的第三数值,作为协商的密钥。
上述协商密钥的算法可以称为椭圆曲线密钥生成算法。该椭圆曲线密钥生成算法是基于椭圆曲线离散对数难题的,采用这种算法确定的密钥更难以破解,密钥安全性更高,因此本实施例可以使获取的密钥的安全性更高,更难以破解。
上述密钥协商过程可以是在网络设备的资源利用率较小时执行的。进一步的,网络设备可以按照预设的周期与各个源设备协商密钥,进而更新协商的密钥,从而提高密钥的安全性。
网络设备内部可以将协商的与各个源设备对应的密钥存储在协商密钥表中,以便于维护、更新各个密钥。
可见,在本实施例中,网络设备以预先获取的密钥对上述反馈信息进行解密,获得验证信息,也就是验证信息是通过密文的形式发送的,能够提高安全性。同时,以椭圆曲线密钥生成算法生成密钥时,能够提高密钥的安全性,从而提高所发送的验证信息的安全性。
在本申请的另一实施例中,图2所示实施例中,验证信息可以为源设备在上述预设时长内所发送报文的第二数量,预设时长可以理解为网络设备接收第一数量的上述报文的时段,即第二数量为源设备在网络设备接收第一数量的上述报文的时段内发送报文的数量。例如:网络设备在上午10:00-10:05之间接收1600个报文(第一数量),而源设备记录的在同一时段即上午10:00-10:05之间发送1500个报文(第二数量)。该第二数量可以为源设备在安全情况下确定的信息,可以作为与第一数量进行对比以确定上述报文是否为攻击报文的参考信息。
步骤S203,即当根据所述验证信息确定所述报文为攻击报文时,丢弃所述报文的步骤,具体可以为:根据第一数量与第二数量的比较结果,判断上述报文是否为攻击报文,如果是,则丢弃上述报文。
当第一数量比第二数量大时,可以认为上述报文为攻击报文。当第一数量不比第二数量大时,可以认为上述报文为正常业务报文。
在本步骤中,根据第一数量与第二数量的比较结果,判断上述报文是否为攻击报文时,可以为,判断第一数量与第二数量的差值是否大于预设差值阈值,如果是,则确定上述报文为攻击报文;如果否,则确定上述报文不为攻击报文。也可以为,判断上述差值与第二数量的比值的绝对值是否大于预设比值阈值,如果是,则确定上述报文为攻击报文;如果否,则确定上述报文不为攻击报文。其中,上述差值为第一数量与第二数量的差值。例如:网络设备在上午10:00-10:05之间接收1600个报文(第一数量),而源设备记录的在同一时段即上午10:00-10:05之间发送1500个报文(第二数量),此时第一数量和第二数量的差值为100,差值与第二数量的比值为1/15。若预设差值阈值为200或预设比值阈值为1/6,那么此时判定上述报文不为攻击报文;若预设差值阈值为20或预设比值阈值为1/20,那么此时判定上述报文为攻击报文。
可以理解的是,本申请实施例中预设时长、预设数量阈值、预设比值阈值以及预设差值阈值可以根据实际情况具体设定,本申请在此不做限定。
可见,本实施例可以根据预设时长内源设备发送的报文的第二数量以及第一数量,确定上述报文是否为攻击报文,减少源设备的计算量,提高确定结果的准确性。
在本申请的另一实施例中,当验证请求携带第一数量,并且上述验证信息包括上述报文是否为攻击报文的验证结果时,图2所示实施例中的步骤S203,即当根据所述验证信息确定所述报文为攻击报文时,丢弃所述报文的步骤,可以为:若验证结果表明上述报文为攻击报文,则丢弃上述报文。
其中,上述验证结果为:根据第一数量与源设备在预设时长内发送报文的第二数量进行比较的结果。
本实施例可以直接根据根据验证结果确定报文是否为攻击报文。
对第一数量与第二数量进行比较得到上述报文是否为攻击报文的验证结果的过程,可以参见上述实施例的描述,此处不再赘述。
可见,在本实施例中,根据上述第一数量与第二数量确定验证结果的过程是由源设备执行的,网络设备直接接收源设备确定的验证结果,这样能够减少网络设备的处理量,提高网络设备的处理效率。
图3为本申请实施例提供的另一种报文处理方法的流程示意图。该方法应用于局域网中的任一终端设备,该终端设备通过网络设备连接外网。其中,终端设备可以为主机、服务器等设备;网络设备可以为路由器、交换机或其他具有数据处理功能的设备。该方法包括以下步骤S301~步骤S303:
步骤S301:接收网络设备发送的验证请求。
其中,该验证请求用于指示上述终端设备反馈用于验证报文是否为攻击报文的验证信息,上述报文为:网络设备在预设时长内接收到的源地址为上述终端设备地址的报文,此时该报文的第一数量大于预设数量阈值。
步骤S302:获取用于验证上述报文是否为攻击报文的验证信息。
由于上述报文的源地址对应的设备为上述终端设备,因此,上述终端设备可以根据自身记录的报文发送信息,获取用于验证上述报文是否为攻击报文的验证信息。上述报文发送信息可以包括:上述预设时长内发送的报文的数量。
步骤S303:将该验证信息发送至网络设备,以使网络设备在验证信息合法的情况下根据验证信息确定上述报文为攻击报文时,丢弃上述报文。
由上述内容可知,本实施例可以在接收到网络设备发送的验证请求时,获取验证信息,并将该验证信息发送至网络设备,网络设备在验证信息合法且根据该验证请求确定上述报文为攻击报文时丢弃上述报文,避免将攻击报文发送至报文的目的设备,从而造成对目的设备的攻击。并且,网络设备在上述验证信息合法的情况下可以执行丢弃上述报文的步骤,能够提高报文处理过程的准确性,避免丢弃非攻击报文。因此,本实施例提供的方案能够提高网络安全性。避免
在本申请的另一实施例中,图3所示实施例中的步骤S303,即将该验证信息发送至网络设备的步骤,可以为:
生成数字签名,将该验证信息和数字签名发送至网络设备,以使网络设备对数字签名进行验证并在对数字签名验证通过的情况下确定验证信息合法。其中,该数字签名用于验证上述验证信息的合法性。
在本实施例中,生成数字签名时,具体可以为,根据预先接收的私钥,对预设字符进行加密,将获得的特征值作为数字签名。
其中,上述预设字符可以为上述终端设备与网络设备预先约定的字符,也可以为具有实际意义的字符。
对预设字符进行加密时,可以采用DES、3DES和AES等加密算法对预设字符进行加密。
网络设备在对数字签名进行验证时,可以根据预先接收的与上述私钥对应的公钥,对该数字签名进行验证。
在本实施例中,上述公钥和私钥可以为密钥分发中心根据预设的加密算法确定的密钥对。上述预设的加密算法可以为椭圆曲线算法确定的密钥对。为了进一步提高密钥的安全性,上述密钥对可以为密钥分发中心周期性更新的密钥对。
在获取密钥分发中心发送的私钥时,可以从接收的密钥分发中心发送的数字证书中获取私钥。
可见,本实施例中可以生成数字签名,将数字签名和验证信息一起发送至网络设备,以使网络设备通过验证数字签名来确定验证信息的合法性,这种方式简单易行,能够提高处理的效率。
在本申请的另一实施例中,图3所示实施例中的步骤S303,即将该验证信息发送至网络设备的步骤,可以为:
以预先获取的密钥对验证信息进行加密,生成反馈信息,将反馈信息发送至网络设备。
在本步骤中,可以采用DES、3DES和AES等加密算法对验证信息进行加密。
为了提高上述密钥的安全性,上述密钥可以采用以下步骤1d~步骤3d获取到:
步骤1d:从约定的椭圆曲线上确定表示第一点的第一数值,将上述第一数值发送至网络设备。上述第一点可以为随机确定的点。
步骤2d:接收网络设备发送的第二数值。其中,第二数值为表示网络设备从上述椭圆曲线上确定的第二点的数值。
步骤3d:根据上述第一数值和第二数值,从椭圆曲线上确定表示第三点的第三数值,将第三数值作为密钥。
上述椭圆曲线密钥生成算法是基于椭圆曲线离散对数难题的,采用这种椭圆曲线密钥生成算法确定的密钥更难以破解,密钥安全性更高,因此本实施例可以使获取的密钥的安全性更高,更难以破解。
可见,在本实施例中,终端设备以预先获取的密钥对上述反馈信息进行加密,获得反馈信息,将反馈信息发送至网络设备,即验证信息是通过密文的形式发送的,能够提高安全性。同时,以椭圆曲线密钥生成算法生成密钥时,能够提高密钥的安全性,从而提高所发送的验证信息的安全性。
在本申请的另一实施例中,图3所示实施例中,上述验证信息可以为源设备在上述预设时长内发送报文的第二数量。
这样,将第二数量发送至网络设备,可以使网络设备根据第一数量和第二数量的比较结果确定上述报文是否为攻击报文。
可见,本实施例可以将第二数量发送至网络设备,由网络设备对第二数量和第一数量进行比较,确定上述报文是否为攻击报文,减少终端设备的计算量,提高确定结果的准确性。
在本申请的另一实施例中,当验证请求携带第一数量时,图3所示实施例中,上述验证信息可以包括上述报文是否为攻击报文的验证结果。
具体的,终端设备可以采用以下步骤1e~步骤2e获得上述验证结果:
步骤1e:确定终端设备在上述预设时长内发送报文的第二数量。
步骤2e:根据第一数量与第二数量的比较结果,确定上述报文是否为攻击报文的验证结果。
在本步骤中,确定上述报文是否为攻击报文时,可以判断第一数量与第二数量的差值是否大于预设差值阈值,如果是,则确定上述报文为攻击报文;如果否,则确定上述报文不为攻击报文。也可以是,判断上述差值与第二数量的比值的绝对值是否大于预设比值阈值,如果是,则确定上述报文为攻击报文;如果否,则确定上述报文不为攻击报文。其中,上述差值为第一数量与第二数量的差值。
可见,本实施例可以根据网络设备发送的第一数量以及终端设备自身确定的第二数量,确定上述报文是否为攻击报文的验证结果,将验证结果发送至网络设备,减少网络设备的计算量。
图4为本申请实施例提供的报文处理装置的一种结构示意图,应用于网络设备。其中,网络设备可以为路由器、交换机或其他具有数据处理功能的设备。该装置实施例与图2所示方法实施例相对应。该装置包括:
发送模块401,用于当检测到在预设时长内接收到的从源设备发送的报文的第一数量大于预设数量阈值时,向源设备发送验证请求,验证请求用于指示源设备反馈用于验证报文是否为攻击报文的验证信息;
接收模块402,用于接收源设备针对验证请求发送的验证信息;
丢弃模块403,用于在验证信息合法的情况下,当根据验证信息确定上述报文为攻击报文时,丢弃上述报文。
在本申请的另一实施例中,图4所示实施例中的接收模块402可以包括:
接收子模块(图中未示出),用于接收源设备针对验证请求发送的反馈信息,反馈信息包括验证信息和数字签名;数字签名用于验证验证信息的合法性;
验证子模块(图中未示出),用于对数字签名进行验证,在对数字签名验证通过的情况下,确定验证信息合法。
在本申请的另一实施例中,图4所示实施例中,数字签名为源设备根据预先接收的私钥得到;验证子模块,具体可以用于:
根据预先接收的与私钥对应的公钥,对数字签名进行验证;其中,公钥和私钥为密钥分发中心根据预设的加密算法确定的密钥对。
在本申请的另一实施例中,图4所示实施例中的接收模块402具体可用于:
接收源设备针对验证请求发送的反馈信息,反馈信息为源设备以预先获取的密钥对验证信息进行加密得到;
以上述密钥对反馈信息进行解密,在解密成功的情况下确定验证信息合法。
在本申请的另一实施例中,图4所示实施例中的丢弃模块403具体可用于:
当验证信息为源设备在预设时长内发送报文的第二数量时,根据第一数量与第二数量的比较结果,判断上述报文是否为攻击报文,如果是,则丢弃上述报文;或者,
丢弃模块403,具体可用于:
当验证请求携带第一数量,验证信息包括上述报文是否为攻击报文的验证结果时,若验证结果表明上述报文为攻击报文,则丢弃上述报文;其中,验证结果为根据第一数量与源设备在预设时长内发送报文的第二数量进行比较的结果。
由于上述装置实施例是基于方法实施例得到的,与该方法具有相同的技术效果,因此装置实施例的技术效果在此不再赘述。对于装置实施例而言,由于其基本相似于方法实施例,所以描述得比较简单,相关之处参见方法实施例的部分说明即可。
图5为本申请实施例提供的一种网络设备的结构示意图。该网络设备包括处理器501、通信接口502、存储器503和通信总线504,其中,处理器501,通信接口502,存储器503通过通信总线504完成相互间的通信;
存储器503,用于存储计算机程序;
处理器501,用于执行存储器503上所存储的程序时,实现本申请实施例提供的报文处理方法。该方法包括:
当检测到在预设时长内接收到的从源设备发送的报文的第一数量大于预设数量阈值时,向源设备发送验证请求,验证请求用于指示源设备反馈用于验证上述报文是否为攻击报文的验证信息;
接收源设备针对验证请求发送的验证信息;
在验证信息合法的情况下,当根据验证信息确定上述报文为攻击报文时,丢弃上述报文。
上述网络设备提到的通信总线可以是外设部件互连标准(Peripheral ComponentInterconnect,PCI)总线或扩展工业标准结构(Extended Industry StandardArchitecture,EISA)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示,图中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
通信接口用于上述网络设备与其他设备之间的通信。
存储器可以包括随机存取存储器(Random Access Memory,RAM),也可以包括非易失性存储器(Non-Volatile Memory,NVM),例如至少一个磁盘存储器。可选的,存储器还可以是至少一个位于远离前述处理器的存储装置。
上述处理器可以是通用处理器,包括中央处理器(Central Processing Unit,CPU)、网络处理器(Network Processor,NP)等;还可以是数字信号处理器(Digital SignalProcessing,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
由上述内容可知,本实施例可以根据源设备针对验证请求发送的验证信息,在验证信息合法的情况下,根据验证信息确定报文是否为攻击报文。在确定上述报文为攻击报文时,丢弃上述报文,避免将攻击报文发送至报文的目的设备,从而造成对目的设备的攻击。并且,本实施例可以在验证信息合法的情况下执行丢弃报文的步骤,能够提高报文处理过程的准确性,避免丢弃非攻击报文。因此,本实施例提供的方案能够提高网络安全性。
本申请实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质存储有机器可执行指令,在被处理器调用和执行时,所述机器可执行指令促使所述处理器执行并实现本申请实施例提供的报文处理方法。该方法包括:
当检测到在预设时长内接收到的从源设备发送的报文的第一数量大于预设数量阈值时,向源设备发送验证请求,验证请求用于指示源设备反馈用于验证上述报文是否为攻击报文的验证信息;
接收源设备针对验证请求发送的验证信息;
在验证信息合法的情况下,当根据验证信息确定上述报文为攻击报文时,丢弃上述报文。
由上述内容可知,本实施例可以根据源设备针对验证请求发送的验证信息,在验证信息合法的情况下,根据验证信息确定报文是否为攻击报文。在确定上述报文为攻击报文时,丢弃上述报文,避免将攻击报文发送至报文的目的设备,从而造成对目的设备的攻击。并且,本实施例可以在验证信息合法的情况下执行丢弃报文的步骤,能够提高报文处理过程的准确性,避免丢弃非攻击报文。因此,本实施例提供的方案能够提高网络安全性。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。
以上所述仅为本申请的较佳实施例而已,并非用于限定本申请的保护范围。凡在本申请的精神和原则之内所做的任何修改、等同替换、改进等,均包含在本申请的保护范围内。
Claims (12)
1.一种报文处理方法,其特征在于,应用于网络设备,所述方法包括:
当检测到在预设时长内接收到的从源设备发送的报文的第一数量大于预设数量阈值时,向所述源设备发送验证请求,所述验证请求用于指示所述源设备反馈用于验证所述报文是否为攻击报文的验证信息;
接收所述源设备针对所述验证请求发送的验证信息;
在所述验证信息合法的情况下,当根据所述验证信息确定所述报文为攻击报文时,丢弃所述报文。
2.根据权利要求1所述的方法,其特征在于,所述接收所述源设备针对所述验证请求发送的验证信息的步骤,包括:
接收所述源设备针对所述验证请求发送的反馈信息,所述反馈信息包括验证信息和数字签名;所述数字签名用于验证所述验证信息的合法性;
对所述数字签名进行验证,在对所述数字签名验证通过的情况下,确定所述验证信息合法。
3.根据权利要求2所述的方法,其特征在于,所述数字签名为所述源设备根据预先接收的私钥得到;所述对所述数字签名进行验证的步骤,包括:
根据预先接收的与所述私钥对应的公钥,对所述数字签名进行验证;其中,所述公钥和私钥为密钥分发中心根据预设的加密算法确定的密钥对。
4.根据权利要求1所述的方法,其特征在于,所述接收所述源设备针对所述验证请求发送的验证信息的步骤,包括:
接收所述源设备针对所述验证请求发送的反馈信息,所述反馈信息为所述源设备以预先获取的密钥对所述验证信息进行加密得到;
以所述密钥对所述反馈信息进行解密,在解密成功的情况下确定所述验证信息合法。
5.根据权利要求1~4任一项所述的方法,其特征在于,所述当根据所述验证信息确定所述报文为攻击报文时,丢弃所述报文的步骤,包括:
当所述验证信息为所述源设备在所述预设时长内发送报文的第二数量时,根据所述第一数量与第二数量的比较结果,判断所述报文是否为攻击报文,如果是,则丢弃所述报文;或者,
当所述验证请求携带所述第一数量,所述验证信息包括所述报文是否为攻击报文的验证结果时,若所述验证结果表明所述报文为攻击报文,则丢弃所述报文;其中,所述验证结果为根据所述第一数量与所述源设备在所述预设时长内发送报文的第二数量进行比较的结果。
6.一种报文处理装置,其特征在于,应用于网络设备,所述装置包括:
发送模块,用于当检测到在预设时长内接收到的从源设备发送的报文的第一数量大于预设数量阈值时,向所述源设备发送验证请求,所述验证请求用于指示所述源设备反馈用于验证所述报文是否为攻击报文的验证信息;
接收模块,用于接收所述源设备针对所述验证请求发送的验证信息;
丢弃模块,用于在所述验证信息合法的情况下,当根据所述验证信息确定所述报文为攻击报文时,丢弃所述报文。
7.根据权利要求6所述的装置,其特征在于,所述接收模块,包括:
接收子模块,用于接收所述源设备针对所述验证请求发送的反馈信息,所述反馈信息包括验证信息和数字签名;所述数字签名用于验证所述验证信息的合法性;
验证子模块,用于对所述数字签名进行验证,在对所述数字签名验证通过的情况下,确定所述验证信息合法。
8.根据权利要求7所述的装置,其特征在于,所述数字签名为所述源设备根据预先接收的私钥得到;所述验证子模块,具体用于:
根据预先接收的与所述私钥对应的公钥,对所述数字签名进行验证;其中,所述公钥和私钥为密钥分发中心根据预设的加密算法确定的密钥对。
9.根据权利要求6所述的装置,其特征在于,所述接收模块,具体用于:
接收所述源设备针对所述验证请求发送的反馈信息,所述反馈信息为所述源设备以预先获取的密钥对所述验证信息进行加密得到;
以所述密钥对所述反馈信息进行解密,在解密成功的情况下确定所述验证信息合法。
10.根据权利要求6~9任一项所述的装置,其特征在于,所述丢弃模块,具体用于:
当所述验证信息为所述源设备在所述预设时长内发送报文的第二数量时,根据所述第一数量与第二数量的比较结果,判断所述报文是否为攻击报文,如果是,则丢弃所述报文;或者,
所述丢弃模块,具体用于:
当所述验证请求携带所述第一数量,所述验证信息包括所述报文是否为攻击报文的验证结果时,若所述验证结果表明所述报文为攻击报文,则丢弃所述报文;其中,所述验证结果为根据所述第一数量与所述源设备在所述预设时长内发送报文的第二数量进行比较的结果。
11.一种网络设备,其特征在于,包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
存储器,用于存储计算机程序;
处理器,用于执行存储器上所存储的程序时,实现权利要求1-5任一所述的方法。
12.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有机器可执行指令,在被处理器调用和执行时,所述机器可执行指令促使所述处理器执行如权利要求1~5任一所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710849632.9A CN107547559B (zh) | 2017-09-20 | 2017-09-20 | 一种报文处理方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710849632.9A CN107547559B (zh) | 2017-09-20 | 2017-09-20 | 一种报文处理方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107547559A true CN107547559A (zh) | 2018-01-05 |
| CN107547559B CN107547559B (zh) | 2021-07-20 |
Family
ID=60964282
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710849632.9A Active CN107547559B (zh) | 2017-09-20 | 2017-09-20 | 一种报文处理方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107547559B (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110868715A (zh) * | 2019-12-03 | 2020-03-06 | 迈普通信技术股份有限公司 | 安全保护方法、装置、系统、电子设备及存储介质 |
| CN112351046A (zh) * | 2021-01-04 | 2021-02-09 | 腾讯科技(深圳)有限公司 | 报文传输方法、装置、电子设备及介质 |
| CN113763660A (zh) * | 2020-06-01 | 2021-12-07 | 杭州海康消防科技有限公司 | 一种多主网络及一种通信方法 |
| CN114499969A (zh) * | 2021-12-27 | 2022-05-13 | 天翼云科技有限公司 | 一种通信报文的处理方法、装置、电子设备及存储介质 |
| WO2022174739A1 (zh) * | 2021-02-22 | 2022-08-25 | 中国移动通信有限公司研究院 | 报文发送方法、签名信息的生成方法及设备 |
| CN115766055A (zh) * | 2022-09-08 | 2023-03-07 | 中国联合网络通信集团有限公司 | 一种用于通信报文验证的方法和装置 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030050981A1 (en) * | 2001-09-13 | 2003-03-13 | International Business Machines Corporation | Method, apparatus, and program to forward and verify multiple digital signatures in electronic mail |
| CN101123584A (zh) * | 2007-05-21 | 2008-02-13 | 华为技术有限公司 | 一种测量ip链路丢包情况的方法及设备 |
| CN101304341A (zh) * | 2008-06-05 | 2008-11-12 | 西安交通大学 | 基于收发平衡的tcp网络流量回放测试方法 |
| CN103581173A (zh) * | 2013-09-11 | 2014-02-12 | 北京东土科技股份有限公司 | 一种基于工业以太网的数据安全传输方法、系统及装置 |
| CN105187424A (zh) * | 2015-08-31 | 2015-12-23 | 广州市优普计算机有限公司 | 一种网络安全检测方法及装置 |
| CN106130962A (zh) * | 2016-06-13 | 2016-11-16 | 浙江宇视科技有限公司 | 一种报文处理方法和装置 |
| CN106657030A (zh) * | 2016-12-05 | 2017-05-10 | 互联网域名系统北京市工程研究中心有限公司 | 一种基于dhcp服务器非法报文安全防护的方法及系统 |
-
2017
- 2017-09-20 CN CN201710849632.9A patent/CN107547559B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030050981A1 (en) * | 2001-09-13 | 2003-03-13 | International Business Machines Corporation | Method, apparatus, and program to forward and verify multiple digital signatures in electronic mail |
| CN101123584A (zh) * | 2007-05-21 | 2008-02-13 | 华为技术有限公司 | 一种测量ip链路丢包情况的方法及设备 |
| CN101304341A (zh) * | 2008-06-05 | 2008-11-12 | 西安交通大学 | 基于收发平衡的tcp网络流量回放测试方法 |
| CN103581173A (zh) * | 2013-09-11 | 2014-02-12 | 北京东土科技股份有限公司 | 一种基于工业以太网的数据安全传输方法、系统及装置 |
| CN105187424A (zh) * | 2015-08-31 | 2015-12-23 | 广州市优普计算机有限公司 | 一种网络安全检测方法及装置 |
| CN106130962A (zh) * | 2016-06-13 | 2016-11-16 | 浙江宇视科技有限公司 | 一种报文处理方法和装置 |
| CN106657030A (zh) * | 2016-12-05 | 2017-05-10 | 互联网域名系统北京市工程研究中心有限公司 | 一种基于dhcp服务器非法报文安全防护的方法及系统 |
Non-Patent Citations (4)
| Title |
|---|
| 于明等: "TCP DDoS攻击流的源端网络可检测性分析 ", 《山东大学学报(理学版)》 * |
| 于明等: "TCP DDoS攻击流的源端网络可检测性分析", 《山东大学学报(理学版)》 * |
| 褚伟波等: "基于收发平衡判定的TCP流量回放方法 ", 《计算机学报》 * |
| 褚伟波等: "基于收发平衡判定的TCP流量回放方法", 《计算机学报》 * |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110868715A (zh) * | 2019-12-03 | 2020-03-06 | 迈普通信技术股份有限公司 | 安全保护方法、装置、系统、电子设备及存储介质 |
| CN110868715B (zh) * | 2019-12-03 | 2022-06-21 | 迈普通信技术股份有限公司 | 安全保护方法、装置、系统、电子设备及存储介质 |
| CN113763660A (zh) * | 2020-06-01 | 2021-12-07 | 杭州海康消防科技有限公司 | 一种多主网络及一种通信方法 |
| CN112351046A (zh) * | 2021-01-04 | 2021-02-09 | 腾讯科技(深圳)有限公司 | 报文传输方法、装置、电子设备及介质 |
| WO2022174739A1 (zh) * | 2021-02-22 | 2022-08-25 | 中国移动通信有限公司研究院 | 报文发送方法、签名信息的生成方法及设备 |
| CN114499969A (zh) * | 2021-12-27 | 2022-05-13 | 天翼云科技有限公司 | 一种通信报文的处理方法、装置、电子设备及存储介质 |
| CN114499969B (zh) * | 2021-12-27 | 2023-06-23 | 天翼云科技有限公司 | 一种通信报文的处理方法、装置、电子设备及存储介质 |
| CN115766055A (zh) * | 2022-09-08 | 2023-03-07 | 中国联合网络通信集团有限公司 | 一种用于通信报文验证的方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107547559B (zh) | 2021-07-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107547559A (zh) | 一种报文处理方法及装置 | |
| USRE44701E1 (en) | System and method for an adaptive TCP SYN cookie with time validation | |
| WO2016180202A1 (zh) | 一种安全通讯的方法和装置 | |
| CN107579991B (zh) | 一种对客户端进行云端防护认证的方法、服务器和客户端 | |
| Vanhoef et al. | Practical verification of WPA-TKIP vulnerabilities | |
| US8656170B2 (en) | Protection of control plane traffic against replayed and delayed packet attack | |
| EP1913728B1 (en) | Total exchange session security | |
| Petullo et al. | MinimaLT: minimal-latency networking through better security | |
| CN107124402A (zh) | 一种报文过滤的方法和装置 | |
| RU2530691C1 (ru) | Способ защищенного удаленного доступа к информационным ресурсам | |
| CN105763318B (zh) | 一种预共享密钥获取、分配方法及装置 | |
| CN105447715A (zh) | 用于与第三方合作的防盗刷电子优惠券的方法和装置 | |
| CN101867473B (zh) | 抗阻塞攻击的共享媒体终端连接建立方法和接入认证系统 | |
| CN109309566B (zh) | 一种认证方法、装置、系统、设备及存储介质 | |
| US20110055566A1 (en) | Verifying a Message in a Communication Network | |
| US8386783B2 (en) | Communication apparatus and communication method | |
| CN105812318A (zh) | 用于在网络中防止攻击的方法、控制器和系统 | |
| CN107454065B (zh) | 一种UDP Flood攻击的防护方法及装置 | |
| CN107819888B (zh) | 一种分配中继地址的方法、装置以及网元 | |
| CN113055357B (zh) | 单包验证通信链路可信的方法、装置、计算设备及存储介质 | |
| KR101020470B1 (ko) | 네트워크 침입차단 방법 및 장치 | |
| Nir et al. | Protecting internet key exchange protocol version 2 (ikev2) implementations from distributed denial-of-service attacks | |
| CN101938428B (zh) | 一种报文的传输方法和设备 | |
| CN106549924A (zh) | 一种通信安全防护方法、装置和系统 | |
| CN110391902B (zh) | 一种互联网密钥交换ike协商的方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |