CN107707512B - 一种报文的防护方法及装置 - Google Patents

一种报文的防护方法及装置 Download PDF

Info

Publication number
CN107707512B
CN107707512B CN201611019580.4A CN201611019580A CN107707512B CN 107707512 B CN107707512 B CN 107707512B CN 201611019580 A CN201611019580 A CN 201611019580A CN 107707512 B CN107707512 B CN 107707512B
Authority
CN
China
Prior art keywords
protected
time point
message
characteristic value
rate
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201611019580.4A
Other languages
English (en)
Other versions
CN107707512A (zh
Inventor
田佳星
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hangzhou DPTech Technologies Co Ltd
Original Assignee
Hangzhou DPTech Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou DPTech Technologies Co Ltd filed Critical Hangzhou DPTech Technologies Co Ltd
Priority to CN201611019580.4A priority Critical patent/CN107707512B/zh
Publication of CN107707512A publication Critical patent/CN107707512A/zh
Application granted granted Critical
Publication of CN107707512B publication Critical patent/CN107707512B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0876Network utilisation, e.g. volume of load or congestion level
    • H04L43/0894Packet rate
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Environmental & Geological Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供一种报文的防护方法及装置,方法包括:当接收到待防护报文时,提取待防护报文携带的第一特征值;基于第一特征值计算得到第一索引值,通过第一索引值将待防护报文与预设速率匹配表中记录的其中一个第一速率阈值进行关联,预设速率匹配表用于记录至少一个第一速率阈值,将与待防护报文关联的第一速率阈值确定为第二速率阈值;计算得到待防护报文的第一传输速率,第一传输速率为接收到待防护报文时,第一预设单位时长内接收到的具有相同第一索引值的待防护报文的总个数;当第一传输速率小于第二速率阈值时,将待防护报文转发至目标设备。应用本发明实施例,解决了网络防护设备的系统资源消耗过大的问题。

Description

一种报文的防护方法及装置
技术领域
本发明涉及网络通信技术领域,尤其涉及一种报文的防护方法及装置。
背景技术
通常网络防护设备对待防护报文进行防护时,网络防护设备基于待防护报文携带的特征值对待防护报文进行特征匹配,通过特征匹配继而得到具有不同特征值的待防护报文的传输速率,当传输速率大于或者等于预设的速率阈值时,网络防护设备对待防护报文进行防护处理。
现有技术方案中,网络防护设备对传输速率正常的、无攻击的待防护报文进行特征匹配时,该特征匹配的过程为不必要的且占用了大量的系统资源,导致网络防护设备的系统资源消耗过大。
发明内容
有鉴于此,本发明提供一种报文的防护方法及装置,避免了网络防护设备对传输速率正常的待防护报文进行特征匹配,以解决网络防护设备的系统资源消耗过大的问题。
为实现上述目的,本发明提供技术方案如下:
根据本发明的第一方面,提出了一种报文的防护方法,包括:
当接收到待防护报文时,提取所述待防护报文携带的第一特征值;
基于所述第一特征值计算得到第一索引值,通过所述第一索引值将所述待防护报文与预设速率匹配表中记录的其中一个第一速率阈值进行关联,所述预设速率匹配表用于记录至少一个第一速率阈值,将与所述待防护报文关联的第一速率阈值确定为第二速率阈值;
计算得到所述待防护报文的第一传输速率,所述第一传输速率为接收到所述待防护报文时,第一预设单位时长内接收到的具有相同所述第一索引值的待防护报文的总个数;
当所述第一传输速率小于所述第二速率阈值时,将所述待防护报文转发至目标设备。
根据本发明的第二方面,提出了一种报文的防护装置,包括:
特征值提取模块,用于当接收到待防护报文时,提取所述待防护报文携带的第一特征值;
第一阈值确定模块,用于基于所述特征值提取模块中提取的所述第一特征值计算得到第一索引值,通过所述第一索引值将所述待防护报文与预设速率匹配表中记录的其中一个第一速率阈值进行关联,所述预设速率匹配表用于记录至少一个第一速率阈值,将与所述待防护报文关联的第一速率阈值确定为第二速率阈值;
第一速率计算模块,用于当所述第一阈值确定模块中所述待防护报文与所述第二速率阈值关联时,计算得到所述待防护报文的第一传输速率,所述第一传输速率为接收到所述待防护报文时,第一预设单位时长内接收到的具有相同所述第一索引值的待防护报文的总个数;
报文转发模块,用于当所述第一速率计算模块中计算得到的所述第一传输速率小于所述第一阈值确定模块中确定的所述第二速率阈值时,将所述待防护报文转发至目标设备。
由以上技术方案可见,网络防护设备将待防护报文的第一传输速率与第二速率阈值进行比较,当第一传输速率小于第二速率阈值时,网络防护设备将待防护报文正常转发至目标设备,避免了网络防护设备对传输速率正常的待防护报文进行特征匹配,解决了网络防护设备的系统资源消耗过大的问题。
附图说明
图1是应用本发明实施例报文的防护方法所适用的网络架构图;
图2是本发明提供的一个报文的防护方法的实施例流程图;
图3是本发明提供的另一个报文的防护方法的实施例流程图;
图4是本发明提供的再一个报文的防护方法的实施例流程图;
图5是本发明提供的一种网络防护设备的硬件结构图;
图6是本发明提供的一个报文的防护的装置的实施例框图;
图7是本发明提供的另一个报文的防护的装置的实施例框图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本发明相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本发明的一些方面相一致的装置和方法的例子。
在本发明使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本发明。在本发明和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本发明可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本发明范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
图1是应用本发明实施例报文的防护方法所适用的网络架构图,如图1所示,该网络架构图中包括:客户端11、网络防护设备12、服务端13、管理端14。其中,客户端11安装在个人计算机(Personal Computer,简称PC)上;网络防护设备12为具有安全防护功能的防护设备;服务端13为可以提供网络数据服务的一台服务器;管理端14为安装了交互软件的PC。本领域技术人员可以理解的是,上述网络架构图中的客户端11、网络防护设备12、服务端13、管理端14仅为示例性说明,其并不能形成对本发明的限制,客户端11还可以安装在手机、平板电脑、智能手表等终端设备上;网络防护设备12还可以为具有安全防护功能的防火墙、网关等网络安全设备;服务端13还可以为路由器、交换机等网络设备;管理人员可以通过安装在管理端14上的交互软件,对网络防护设备12中的预设速率匹配表记录的第一速率阈值及预设特征匹配表记录的第二速率阈值进行修改。通常,客户端11向网络防护设备12发送待防护报文,网络防护设备12基于待防护报文中携带的第一特征值,通过哈希算法计算得到第一索引值。其中,第一特征值包括待防护报文的长度、TTL值、源端口、目的端口等;第一索引值用于将待防护报文与预设速率匹配表(预设速率匹配表记录了至少一个第一速率阈值)中记录的其中一个第一速率阈值进行关联,网络防护设备12可以将与待防护报文关联的第一速率阈值确定为第二速率阈值。网络防护设备12基于第一预设单位时长内接收到的具有相同第一索引值的待防护报文的总个数,可以计算得到待防护报文的第一传输速率。网络防护设备12判断第一传输速率是否小于第二速率阈值,当第一传输速率小于第二速率阈值时,网络防护设备12将待防护报文转发至目标设备,目标设备为与网络防护设备12连接的下一网络设备,例如,目标设备为可以为服务端13。通过本发明实施例,可以避免网络防护设备12对传输速率正常的待防护报文进行特征匹配,减少了网络防护设备12的系统资源消耗。
为对本发明进行进一步说明,提供下列实施例:
图2是本发明提供的一个报文的防护方法的实施例流程图,结合图1进行示例性说明,如图2所示,包括如下步骤:
步骤201:当接收到待防护报文时,提取待防护报文携带的第一特征值。
步骤202:基于第一特征值计算得到第一索引值,通过第一索引值将待防护报文与预设速率匹配表中记录的其中一个第一速率阈值进行关联,预设速率匹配表用于记录至少一个第一速率阈值,将与待防护报文关联的第一速率阈值确定为第二速率阈值。
步骤203:计算得到待防护报文的第一传输速率,第一传输速率为接收到待防护报文时,第一预设单位时长内接收到的具有相同第一索引值的待防护报文的总个数。
步骤204:当第一传输速率小于第二速率阈值时,将待防护报文转发至目标设备。
在步骤201中,在一实施例中,当接收到待防护报文时,网络防护设备12提取待防护报文携带的第一特征值,第一特征值包括待防护报文的长度、TTL值、源端口、目的端口等,例如,待防护报文的长度为64字节、TTL值为60、源端口为80、目的端口为81,本领域技术人员可以理解的是,此处网络防护设备12提取待防护报文携带的第一特征值的过程的相关描述可以参见现有技术,故不作详述。
在步骤202中,在一实施例中,网络防护设备12可以基于第一特征值通过哈希算法计算得到第一索引值,例如,网络防护设备12基于第一特征值待防护报文的长度为64字节、TTL值为60、源端口为80、目的端口为81,通过哈希算法计算得到第一索引值3,本领域技术人员可以理解的是,此处网络防护设备12基于第一特征值通过哈希算法计算得到第一索引值的过程的相关描述可以参见现有技术,故不作详述。通过第一索引值将待防护报文与预设速率匹配表中记录的其中一个第一速率阈值进行关联,预设速率匹配表用于记录至少一个第一速率阈值,网络防护设备12将与待防护报文关联的第一速率阈值确定为第二速率阈值。其中,第一速率阈值为管理人员通过管理端14上安装的交互软件进行配置及修改的,第一速率阈值表示第一预设单位时长内网络防护设备12接收到的具有相同第一索引值的待防护报文的总个数,第一预设单位时长例如为1秒。如表1所示,以预设速率匹配表记录了6个第一速率阈值对预设速率匹配表的结构进行示例性说明:
表1
第一索引值 第一速率阈值
1 1000个/秒
2 500个/秒
3 1000个/秒
4 100个/秒
5 800个/秒
6 400个/秒
表1所示的第一索引值与第一速率阈值一一关联,第一索引值1对应的第一速率阈值为1000个/秒;第一索引值2对应的第一速率阈值为500个/秒;第一索引值3对应的第一速率阈值为1000个/秒;第一索引值4对应的第一速率阈值为100个/秒;第一索引值5对应的第一速率阈值为800个/秒;第一索引值6对应的第一速率阈值为400个/秒。例如,网络防护设备12基于第一特征值待防护报文的长度64字节、TTL值60、源端口80、目的端为81,通过哈希算法计算得到第一索引值3,第一索引值3关联的第一速率阈值为1000个/秒,表示网络防护设备12在1秒内接收到的第一索引值为3的待防护报文的总个数的阈值为1000个。网络防护设备12将与待防护报文关联的第一速率阈值1000个/秒确定为第二速率阈值。
在步骤203中,在一实施例中,第一传输速率为网络防护设备12接收到待防护报文时,第一预设单位时长内接收到的具有相同第一索引值的待防护报文的总个数。具体的,网络防护设备12以第一预设单位时长t为时间单位,对具有相同第一索引值的待防护报文的进行累加,当网络防护设备12接收到待防护报文时,网络防护设备12获取当前累加结果,得到接收到的具有相同第一索引值的待防护报文的总个数X,网络防护设备12通过公式X/t=Y得到第一传输速率Y。以第一预设单位时长为1秒,网络防护设备12接收到的第一索引值为3的待防护报文的总个数为523进行示例性说明:网络防护设备12以第一预设单位时长1秒为时间单位,对第一索引值为3的待防护报文的进行累加,当网络防护设备12接收到待防护报文时,网络防护设备12获取当前累加结果,得到当前接收到的第一索引值为3的待防护报文的总个数523,网络防护设备12通过公式523/1=523得到第一传输速率523个/秒。
在步骤204中,在一实施例中,结合步骤202及步骤203,以第二速率阈值为1000个/秒、第一传输速率为523个/秒进行示例性说明,第一传输速率523个/秒<第二速率阈值1000个/秒,表示待防护报文的第一传输速率523个/秒在第二速率阈值的范围内,待防护报文的第一传输速率为正常、合理的,因此网络防护设备12不对待防护报文进行防护处理,将待防护报文正常转发至服务端13。
本发明实施例中,网络防护设备将待防护报文的第一传输速率与第二速率阈值进行比较,当第一传输速率小于第二速率阈值时,网络防护设备将待防护报文正常转发至目标设备,避免了网络防护设备对传输速率正常的待防护报文进行特征匹配,解决了网络防护设备的系统资源消耗过大的问题。
图3是本发明提供的另一个报文的防护方法的实施例流程图,本发明实施例结合图1、图2,在步骤201-步骤203的基础上,进行示例性说明,如图3所示,还可以包括如下步骤:
步骤301:当第一传输速率大于或等于第二速率阈值时,生成第二索引值,第二索引值用于将待防护报文与预设特征匹配表中记录的其中一个第一存储单元进行关联,预设特征匹配表用于记录至少一个第一存储单元,将与待防护报文关联的第一存储单元确定为第二存储单元。
步骤302:将第一特征值与第二存储单元中存储的第二特征值逐一进行匹配,第二存储单元包括至少一个第一存储子单元,第一存储子单元用于存储第二特征值。
步骤303:当第一特征值与第二存储单元中存储的第二特征值均未匹配成功时,将第一特征值存储在第二存储单元中未存储第二特征值的第一存储子单元,并将未存储第二特征值的第一存储子单元被确定为第二存储子单元,执行将待防护报文转发至目标设备的步骤。
步骤304:将第一特征值存储在第二存储子单元的时间点记录为第一时间点。
步骤305:计算第一时间点与第二时间点的第一时间差,第二时间点为当前时间点。
步骤306:当第一时间差大于或者等于第一预设清除周期时,清除第二存储子单元存储的所述第一特征值。
在步骤301中,在一实施例中,当第一传输速率大于或等于第二速率阈值时,例如,第一传输速率为1050个/秒、第二速率阈值为1000个/秒,第一传输速率1050个/秒>第二速率阈值1000个/秒,网络防护设备12的第一传输速率超出了预设的第二速率阈值,表示网络防护设备12在短时间内收到了大量的待防护报文的访问,因此该待防护报文可能为具有攻击目的的恶意待防护报文。网络防护设备12生成第二索引值,第二索引值的生成方式可以为:网络防护设备12随机生成的;也可以为网络防护设备12根据预设特征匹配表中第一存储单元的空闲情况分配的,第二索引值用于将该待防护报文与预设特征匹配表中记录的其中一个第一存储单元进行关联,预设特征匹配表用于记录至少一个第一存储单元,第一存储单元包括至少一个第一存储子单元,第一存储子单元用于存储第二特征值,每个第二特征值又分别对应一个第二速率阈值,其中,第二特征值和第二速率阈值可以由管理人员通过管理端14上安装的交互软件进行配置及修改的。网络防护设备12将与待防护报文关联的第一存储单元确定为第二存储单元。通常预设特征匹配表的存储容量要小于预设速率匹配表的存储容量,例如,预设特征匹配表的存储容量可以为4*1024个、预设速率匹配表的存储容量可以为1024*1024个。通过将预设特征匹配表的存储容量配置为较小的存储容量,可以节省网络防护设备12的系统资源。如表2所示,以预设特征匹配表记录三个第一存储单元对预设特征匹配表的结构进行示例性说明:
表2
Figure BDA0001155426160000081
Figure BDA0001155426160000091
表2中,第二索引值对应的每一横行为一个第一存储单元,每个第一存储单元分别对应4个第一存储子单元,每个第一存储子单元分别对应一个第二特征值,每个第二特征值分别对应一个第二速率阈值,“-”表示第一存储子单元对应的第二特征值中并未记录数值。第二索引值1对应的四个第一存储子单元的第二特征值分别为“64、60、80、80”、“-”、“-”、“-”,分别对应第二速率阈值“1000个/秒”、“900个/秒”、“800个/秒”、“500个/秒”;第二索引值2对应的四个第一存储子单元的第二特征值分别为“32、60、80、81”、“64、50、80、81”、“32、20、80、81”、“-”,分别对应第二速率阈值“500个/秒”、“700个/秒”、“1000个/秒”、“1000个/秒”;第二索引值3对应的四个第一存储子单元的第二特征值分别为“64、40、80、81”、“64、60、81、81”、“-”、“-”,分别对应第二速率阈值“800个/秒”、“1000个/秒”、“500个/秒”、“1000个/秒”。以网络防护设备12生成的第二索引值为2进行示例性说明,网络防护设备12将待防护报文与表2所示的预设特征匹配表中记录的第二横行的第一存储单元进行关联,网络防护设备12将第二横行的第一存储单元确定为第二存储单元。
在步骤302中,网络防护设备12将第一特征值与第二存储单元中存储的第二特征值逐一进行匹配,第二存储单元包括至少一个第一存储子单元,第一存储子单元用于存储第二特征值。结合步骤301,以第二索引值2对应的第一存储单元为第二存储单元、第一特征值为“64、60、80、81”为例进行示例性说明,例如,网络防护设备12将第一特征值“64、60、80、81”与第二存储单元中存储的第二特征值“32、60、80、81”、“64、50、80、81”、“32、20、80、81”逐一进行匹配。
在步骤303中,在一实施例中,当第一特征值与第二存储单元中存储的第二特征值均未匹配成功时,表示网络防护设备12首次接收到具有该第一特征值的待防护报文,网络防护设备12需要记录该第一特征值,网络防护设备12将第一特征值存储在第二存储单元中未存储第二特征值的第一存储子单元,并将未存储第二特征值的第一存储子单元确定为第二存储子单元,网络防护设备12执行将待防护报文转发至目标设备的步骤。结合步骤301-步骤302,网络防护设备12将第一特征值“64、60、80、81”与第二存储单元中存储的第二特征值“32、60、80、81”、“64、50、80、81”、“32、20、80、81”均未匹配成功,网络防护设备12将第一特征值“64、60、80、81”存储在第二存储单元中未存储第二特征值的第一存储子单元,如表3所示:
表3
Figure BDA0001155426160000101
Figure BDA0001155426160000111
网络防护设备12将未存储第二特征值的第一存储子单元确定为第二存储子单元,网络防护设备12将待防护报文转发至服务端13。
在步骤304中,网络防护设备12将第一特征值存储在第二存储子单元的时间点记录为第一时间点。例如,第一时间点为12:00:00:00。
在步骤305中,网络防护设备12计算第一时间点与第二时间点的第一时间差,第二时间点为当前时间点。结合步骤304,例如,第一时间点为12:00:00:00、当前时间点为12:00:05:00,网络防护设备12计算12:00:00:00与12:00:11:00的第一时间差为11秒。
在步骤306中,当第一时间差大于或者等于第一预设清除周期时,网络防护设备12清除第二存储子单元存储的第一特征值。以第一预设清除周期为10秒进行示例性说明,第一时间差11秒大于第一预设清除周期10秒,网络防护设备12清除第二存储子单元存储的第一特征值,如表4所示:
表4
Figure BDA0001155426160000112
本领域技术人员可以理解的是,基于第一预设清除周期,网络防护设备12清除第二存储子单元存储的第一特征值,使得网络防护设备12可以定期回收第一存储子单元,存储资源被及时释放,提高了网络防护设备12的存储能力。
本发明实施例中,当第一传输速率大于或等于第二速率阈值时,网络防护设备12基于第二索引值确定第二存储单元,并将第一特征值与第二存储单元中存储的第二特征值逐一进行匹配,当未匹配成功时,网络防护设备12将第一特征值存储在第二存储子单元,执行将待防护报文转发至目标设备的步骤。由于不同的第一特征值通过哈希算法可能得到相同的第一索引值,因此网络防护设备12通过将第一特征值与预设特征匹配表进行匹配,对携带不同的第一特征值的待防护报文进行细分,避免网络防护设备12对具有相同第一索引值的不同第一特征值的待防护报文产生误防护,提高了网络防护设备12对待防护报文进行防护的精准性。
图4是本发明提供的再一个报文的防护方法的实施例流程图,本发明实施例结合图1、图2、图3,在步骤201-步骤203及步骤301-步骤302的基础上进行示例性说明,如图4所示,包括步骤如下:
步骤401:当第一特征值与第二存储单元中存储的其中一个第二特征值匹配成功时,其中一个第二特征值被确定为第三特征值,第三特征值对应的第一存储子单元被确定为第三存储子单元。
步骤402:将第三时间点更新为第四时间点,第三时间点为第三存储子单元记录的时间点,第四时间点为第一特征值与第三特征值匹配成功时的时间点。
步骤403:计算第四时间点与第五时间点的第二时间差,第五时间点为当前时间点。
步骤404:当第二时间差大于或者等于第二预设清除周期时,清除第三存储子单元存储的第三特征值。
步骤405:预设特征匹配表还用于记录至少一个第二速率阈值,第二速率阈值分别对应一个第一存储子单元,第三存储子单元对应的第二速率阈值被确定为第三速率阈值。
步骤406:计算得到待防护报文的第二传输速率,第二传输速率为当第一特征值与第三特征值匹配成功时,第二预设单位时长内接收到的与第三特征值匹配成功的待防护报文的总个数。
步骤407:当第二传输速率小于第三速率阈值时,执行将待防护报文转发至目标设备的步骤。
可选的,还可以执行步骤408(图4中未示出)。
步骤408:当第二传输速率大于或者等于第二速率阈值时,对待防护报文进行防护处理。
在步骤401中,当第一特征值与第二存储单元中存储的其中一个第二特征值匹配成功时,该其中一个第二特征值被网络防护设备12确定为第三特征值,第三特征值对应的第一存储子单元被确定为第三存储子单元。结合表2,以第一特征值为“64、60、80、80”、第二存储单元为第二索引值1对应的第一横行的第一存储单元进行示例性说明。第一特征值“64、60、80、80”与第二存储单元中存储的其中一个第二特征值“64、60、80、80”匹配成功,“64、60、80、80”被网络防护设备12确定为第三特征值,第三特征值对应的第一存储子单元被确定为第三存储子单元。
在步骤402中,网络防护设备12将第三时间点更新为第四时间点,第三时间点为第三存储子单元记录的时间点,第四时间点为第一特征值与第三特征值匹配成功时的时间点。其中,第三存储子单元记录的时间点可以为上述步骤304中的第一时间点,也可以为上一次第一特征值与第三特征值匹配成功时的时间点,第三时间点例如为12:00:00:00,第四时间点例如为12:00:05:00,网络防护设备12将12:00:00:00更新为12:00:05:00。
在步骤403中,网络防护设备12计算第四时间点与第五时间点的第二时间差,第五时间点为当前时间点。以第四时间点为12:00:05:00、第五时间点为12:00:17:00进行示例性说明,网络防护设备12计算得到12:00:05:00与12:00:17:00的第二时间差为12秒。
在步骤404中,当第二时间差大于或者等于第二预设清除周期时,网络防护设备12清除第三存储子单元存储的第三特征值。第二预设清除周期与第一预设清除周期可以相同,也可以不相同,管理人员可以通过安装在管理端14上的交互软件对第二预设清除周期与第一预设清除周期的大小进行配置及修改。结合步骤401-步骤403,以第二预设清除周期为10秒进行示例性说明,第二时间差12秒大于第二预设清除周期10秒,网络防护设备12清除第三存储子单元存储的第三特征值“64、60、80、80”,如表5所示:
表5
Figure BDA0001155426160000141
表5中,第三存储子单元中的第三特征值“64、60、80、80”被清除。本领域技术人员可以理解的是,基于第二预设清除周期,网络防护设备12清除第三存储子单元存储的第三特征值,使得第三存储子单元被定期回收,存储资源被及时释放,提高了网络防护设备12的存储能力。
在步骤405中,结合表2,预设特征匹配表还用于记录至少一个第二速率阈值,第二速率阈值分别对应一个第一存储子单元,第三存储子单元对应的第二速率阈值被网络防护设备12确定为第三速率阈值,结合步骤401,如表2所示,第三速率阈值例如为1000个/秒。
在步骤406中,网络防护设备12计算得到待防护报文的第二传输速率,第二传输速率为当第一特征值与第三特征值匹配成功时,第二预设单位时长内接收到的与第三特征值匹配成功的待防护报文的总个数。其中第二预设单位时长可以与第一预设单位时长相同,第二预设单位时长例如为1秒;第二预设单位时长也可以与第一预设单位时长不同,第二预设单位时长例如为2秒,管理人员可以通过安装在管理端14上的交互软件对第二预设单位时长与第一预设单位时长进行配置及修改。本领域技术人员可以理解的是,此处网络防护设备12计算得到待防护报文的第二传输速率的过程为现有技术,且相关技术描述可参考步骤203,故不再赘述。第二传输速率例如为603个/秒。
在步骤407中,当第二传输速率小于第三速率阈值时,网络防护设备12执行将待防护报文转发至目标设备的步骤。结合步骤406,第二传输速率603个/秒<第三速率阈值1000个/秒,网络防护设备12将待防护报文转发至服务端13。
可选的,还可以执行步骤408。
在步骤408中,当第二传输速率大于或者等于第二速率阈值时,网络防护设备12对待防护报文进行防护处理。以第二传输速率为1020个/秒、第三速率阈值为1000个/秒进行示例性说明,第二传输速率1020个/秒>第三速率阈值1000个/秒,表示网络防护设备12短期内接收到大量具有相同第一特征值的待防护报文,因此网络防护设备12对待防护报文进行防护处理。
本发明实施例中,基于第一特征值与预设特征匹配表中第二存储单元存储的第二特征值进行匹配,当第二传输速率大于或者等于第二速率阈值时,网络防护设备12对待防护报文进行防护处理,实现了对具有相同第一特征值的待防护报文的精准防护。
对应于上述报文的防护方法,本发明还提出了图5所示的网络防护设备的硬件结构图。请参考图5,在硬件层面,该网络防护设备包括处理器、内部总线、网络接口、内存以及非易失性存储器,当然还可能包括其他业务所需要的硬件。处理器从非易失性存储器中读取对应的计算机程序到内存中然后运行,在逻辑层面上形成报文的防护装置。当然,除了软件实现方式之外,本发明并不排除其他实现方式,比如逻辑器件抑或软硬件结合的方式等等,也就是说以下处理流程的执行主体并不限定于各个逻辑单元,也可以是硬件或逻辑器件。
图6是本发明提供的一个报文的防护的装置的实施例框图,如图6所示,该报文的防护装置可以包括:特征值提取模块61、第一阈值确定模块62、第一速率计算模块63、报文转发模块64,其中:
特征值提取模块61,用于当接收到待防护报文时,提取待防护报文携带的第一特征值;
第一阈值确定模块62,用于基于特征值提取模块61中提取的第一特征值计算得到第一索引值,通过第一索引值将待防护报文与预设速率匹配表中记录的其中一个第一速率阈值进行关联,预设速率匹配表用于记录至少一个第一速率阈值,将与待防护报文关联的第一速率阈值确定为第二速率阈值;
第一速率计算模块63,用于当第一阈值确定模块62中待防护报文与第二速率阈值关联时,计算得到待防护报文的第一传输速率,第一传输速率为接收到待防护报文时,第一预设单位时长内接收到的具有相同第一索引值的待防护报文的总个数;
报文转发模块64,用于当第一速率计算模块63中计算得到的第一传输速率小于第一阈值确定模块62中确定的第二速率阈值时,将待防护报文转发至目标设备。
图7是本发明提供的另一个报文的防护的装置的实施例框图,如图7所示,在上述图6所示实施例的基础上,报文的防护装置还包括:
存储单元确定模块65,用于当第一传输速率大于或等于第二速率阈值时,生成第二索引值,第二索引值用于将待防护报文与预设特征匹配表中记录的其中一个第一存储单元进行关联,预设特征匹配表用于记录至少一个第一存储单元,将与待防护报文关联的第一存储单元确定为第二存储单元;
特征值匹配模块66,用于将第一特征值与存储单元确定模块65中确定的第二存储单元中存储的第二特征值逐一进行匹配,第二存储单元包括至少一个第一存储子单元,第一存储子单元用于存储第二特征值;
特征值存储模块67,用于当第一特征值与第二存储单元中存储的第二特征值均未匹配成功时,将第一特征值存储在第二存储单元中未存储第二特征值的第一存储子单元,并执行将待防护报文转发至目标设备的步骤。
在一实施例中,特征值存储模块67中的未存储第二特征值的第一存储子单元被确定为第二存储子单元,报文的防护装置还包括:
时间点确定模块68,用于将特征值存储模块67中第一特征值存储在第二存储子单元的时间点记录为第一时间点;
第一时间差确定模块69,用于计算第一时间点确定模块68中的第一时间点与第二时间点的第一时间差,第二时间点为当前时间点;
第一特征值清除模块70,用于当第一时间差确定模块69中的第一时间差大于或者等于第一预设清除周期时,清除第二存储子单元存储的第一特征值。
在一实施例中,报文的防护装置还包括:
存储子单元确定模块71,用于当第一特征值与第二存储单元中存储的其中一个第二特征值匹配成功时,其中一个第二特征值被确定为第三特征值,第三特征值对应的第一存储子单元被确定为第三存储子单元;
时间点更新模块72,用于将第三时间点更新为第四时间点,第三时间点为存储子单元确定模块71中确定的第三存储子单元记录的时间点,第四时间点为第一特征值与第三特征值匹配成功时的时间点;
第二时间差确定模块73,用于计算时间点更新模块72中的第四时间点与第五时间点的第二时间差,第五时间点为当前时间点;
第二特征值清除模块74,用于当第二时间差大于或者等于第二预设清除周期时,清除存储子单元确定模块71中的第三存储子单元存储的第三特征值。
在一实施例中,报文的防护装置还包括:
第二阈值确定模块75,用于预设特征匹配表还用于记录至少一个第二速率阈值,第二速率阈值分别对应一个第一存储子单元,第三存储子单元对应的第二速率阈值被确定为第三速率阈值;
第二速率计算模块76,用于计算得到待防护报文的第二传输速率,第二传输速率为当第一特征值与第三特征值匹配成功时,第二预设单位时长内接收到的与第三特征值匹配成功的待防护报文的总个数,当第二传输速率小于第三速率阈值时,执行报文转发模块64中的将待防护报文转发至目标设备的步骤。
在一实施例中,报文的防护装置还包括:
报文防护模块77,用于当第二传输速率大于或者等于第二速率阈值时,对待防护报文进行防护处理。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本发明方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
由上述实施例可见,网络防护设备将待防护报文的第一传输速率与第二速率阈值进行比较,当第一传输速率小于第二速率阈值时,网络防护设备将待防护报文正常转发至目标设备,避免了网络防护设备对传输速率正常的待防护报文进行特征匹配,解决了网络防护设备的系统资源消耗过大的问题。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本发明的其它实施方案。本发明旨在涵盖本发明的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本发明的一般性原理并包括本发明未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本发明的真正范围和精神由下面的权利要求指出。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。

Claims (8)

1.一种报文的防护方法,其特征在于,所述方法包括:
当接收到待防护报文时,提取所述待防护报文携带的第一特征值;
基于所述第一特征值通过哈希算法计算得到第一索引值,通过所述第一索引值将所述待防护报文与预设速率匹配表中记录的其中一个第一速率阈值进行关联,所述预设速率匹配表用于记录至少一个第一速率阈值,将与所述待防护报文关联的第一速率阈值确定为第二速率阈值;
计算得到所述待防护报文的第一传输速率,所述第一传输速率为接收到所述待防护报文时,第一预设单位时长内接收到的具有相同所述第一索引值的待防护报文的总个数;
当所述第一传输速率小于所述第二速率阈值时,将所述待防护报文转发至目标设备;
当所述第一传输速率大于或等于所述第二速率阈值时,生成第二索引值,所述第二索引值用于将所述待防护报文与预设特征匹配表中记录的其中一个第一存储单元进行关联,所述预设特征匹配表用于记录至少一个第一存储单元,将与所述待防护报文关联的第一存储单元确定为第二存储单元;
将所述第一特征值与所述第二存储单元中存储的第二特征值逐一进行匹配,所述第二存储单元包括至少一个第一存储子单元,所述第一存储子单元用于存储第二特征值;
当所述第一特征值与所述第二存储单元中存储的第二特征值均未匹配成功时,将所述第一特征值存储在所述第二存储单元中未存储第二特征值的第一存储子单元,并执行所述将所述待防护报文转发至目标设备的步骤。
2.根据权利要求1所述的方法,其特征在于,所述未存储第二特征值的第一存储子单元被确定为第二存储子单元,所述方法还包括:
将所述第一特征值存储在所述第二存储子单元的时间点记录为第一时间点;
计算所述第一时间点与第二时间点的第一时间差,所述第二时间点为当前时间点;
当所述第一时间差大于或者等于第一预设清除周期时,清除所述第二存储子单元存储的所述第一特征值。
3.根据权利要求1所述的方法,其特征在于,所述方法还包括:
当所述第一特征值与所述第二存储单元中存储的其中一个第二特征值匹配成功时,所述其中一个第二特征值被确定为第三特征值,所述第三特征值对应的第一存储子单元被确定为第三存储子单元;
将第三时间点更新为第四时间点,所述第三时间点为所述第三存储子单元记录的时间点,所述第四时间点为所述第一特征值与所述第三特征值匹配成功时的时间点;
计算所述第四时间点与第五时间点的第二时间差,所述第五时间点为当前时间点;
当所述第二时间差大于或者等于第二预设清除周期时,清除所述第三存储子单元存储的所述第三特征值。
4.根据权利要求3所述的方法,其特征在于,所述方法还包括:
所述预设特征匹配表还用于记录至少一个第二速率阈值,所述第二速率阈值分别对应一个第一存储子单元,所述第三存储子单元对应的第二速率阈值被确定为第三速率阈值;
计算得到所述待防护报文的第二传输速率,所述第二传输速率为当所述第一特征值与所述第三特征值匹配成功时,第二预设单位时长内接收到的与所述第三特征值匹配成功的待防护报文的总个数;
当所述第二传输速率小于所述第三速率阈值时,执行所述将所述待防护报文转发至目标设备的步骤。
5.根据权利要求4所述的方法,其特征在于,所述方法还包括:
当所述第二传输速率大于或者等于所述第二速率阈值时,对所述待防护报文进行防护处理。
6.一种报文的防护的装置,其特征在于,所述装置包括:
特征值提取模块,用于当接收到待防护报文时,提取所述待防护报文携带的第一特征值;
第一阈值确定模块,用于基于所述特征值提取模块中提取的所述第一特征值通过哈希算法计算得到第一索引值,通过所述第一索引值将所述待防护报文与预设速率匹配表中记录的其中一个第一速率阈值进行关联,所述预设速率匹配表用于记录至少一个第一速率阈值,将与所述待防护报文关联的第一速率阈值确定为第二速率阈值;
第一速率计算模块,用于当所述第一阈值确定模块中所述待防护报文与所述第二速率阈值关联时,计算得到所述待防护报文的第一传输速率,所述第一传输速率为接收到所述待防护报文时,第一预设单位时长内接收到的具有相同所述第一索引值的待防护报文的总个数;
报文转发模块,用于当所述第一速率计算模块中计算得到的所述第一传输速率小于所述第一阈值确定模块中确定的所述第二速率阈值时,将所述待防护报文转发至目标设备;
存储单元确定模块,用于当所述第一传输速率大于或等于所述第二速率阈值时,生成第二索引值,所述第二索引值用于将所述待防护报文与预设特征匹配表中记录的其中一个第一存储单元进行关联,所述预设特征匹配表用于记录至少一个第一存储单元,将与所述待防护报文关联的第一存储单元确定为第二存储单元;
特征值匹配模块,用于将所述第一特征值与所述存储单元确定模块中确定的所述第二存储单元中存储的第二特征值逐一进行匹配,所述第二存储单元包括至少一个第一存储子单元,所述第一存储子单元用于存储第二特征值;
特征值存储模块,用于当所述第一特征值与所述第二存储单元中存储的第二特征值均未匹配成功时,将所述第一特征值存储在所述第二存储单元中未存储第二特征值的第一存储子单元,并执行所述将所述待防护报文转发至目标设备的步骤。
7.根据权利要求6所述的装置,其特征在于,所述特征值存储模块中的所述未存储第二特征值的第一存储子单元被确定为第二存储子单元,所述装置还包括:
时间点确定模块,用于将所述特征值存储模块中所述第一特征值存储在所述第二存储子单元的时间点记录为第一时间点;
第一时间差确定模块,用于计算所述第一时间点确定模块中的所述第一时间点与第二时间点的第一时间差,所述第二时间点为当前时间点;
第一特征值清除模块,用于当所述第一时间差确定模块中的所述第一时间差大于或者等于第一预设清除周期时,清除所述第二存储子单元存储的所述第一特征值。
8.根据权利要求6所述的装置,其特征在于,所述装置还包括:
存储子单元确定模块,用于当所述第一特征值与所述第二存储单元中存储的其中一个第二特征值匹配成功时,所述其中一个第二特征值被确定为第三特征值,所述第三特征值对应的第一存储子单元被确定为第三存储子单元;
时间点更新模块,用于将第三时间点更新为第四时间点,所述第三时间点为所述存储子单元确定模块中确定的所述第三存储子单元记录的时间点,所述第四时间点为所述第一特征值与所述第三特征值匹配成功时的时间点;
第二时间差确定模块,用于计算所述时间点更新模块中的所述第四时间点与第五时间点的第二时间差,所述第五时间点为当前时间点;
第二特征值清除模块,用于当所述第二时间差大于或者等于第二预设清除周期时,清除所述存储子单元确定模块中的所述第三存储子单元存储的所述第三特征值。
CN201611019580.4A 2016-11-17 2016-11-17 一种报文的防护方法及装置 Active CN107707512B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201611019580.4A CN107707512B (zh) 2016-11-17 2016-11-17 一种报文的防护方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201611019580.4A CN107707512B (zh) 2016-11-17 2016-11-17 一种报文的防护方法及装置

Publications (2)

Publication Number Publication Date
CN107707512A CN107707512A (zh) 2018-02-16
CN107707512B true CN107707512B (zh) 2020-04-03

Family

ID=61169393

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201611019580.4A Active CN107707512B (zh) 2016-11-17 2016-11-17 一种报文的防护方法及装置

Country Status (1)

Country Link
CN (1) CN107707512B (zh)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101247404A (zh) * 2008-03-24 2008-08-20 华为技术有限公司 一种媒体流检测的方法和装置
CN101505218A (zh) * 2009-03-18 2009-08-12 杭州华三通信技术有限公司 攻击报文的检测方法和装置
CN105450647A (zh) * 2015-11-27 2016-03-30 上海斐讯数据通信技术有限公司 一种防止报文攻击的方法及系统
CN105939339A (zh) * 2016-03-22 2016-09-14 杭州迪普科技有限公司 攻击协议报文流的防护方法及装置

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7933985B2 (en) * 2004-08-13 2011-04-26 Sipera Systems, Inc. System and method for detecting and preventing denial of service attacks in a communications system
KR20130014226A (ko) * 2011-07-29 2013-02-07 한국전자통신연구원 공격 트래픽 형태별 특성에 따른 dns 플러딩 공격 탐지 방법

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101247404A (zh) * 2008-03-24 2008-08-20 华为技术有限公司 一种媒体流检测的方法和装置
CN101505218A (zh) * 2009-03-18 2009-08-12 杭州华三通信技术有限公司 攻击报文的检测方法和装置
CN105450647A (zh) * 2015-11-27 2016-03-30 上海斐讯数据通信技术有限公司 一种防止报文攻击的方法及系统
CN105939339A (zh) * 2016-03-22 2016-09-14 杭州迪普科技有限公司 攻击协议报文流的防护方法及装置

Also Published As

Publication number Publication date
CN107707512A (zh) 2018-02-16

Similar Documents

Publication Publication Date Title
CN105577608B (zh) 网络攻击行为检测方法和装置
CN109450955B (zh) 一种基于网络攻击的流量处理方法及装置
US8863293B2 (en) Predicting attacks based on probabilistic game-theory
US10291630B2 (en) Monitoring apparatus and method
EP3544250A1 (en) Method and device for detecting dos/ddos attack, server, and storage medium
US20080104702A1 (en) Network-based internet worm detection apparatus and method using vulnerability analysis and attack modeling
CN101707601B (zh) 入侵防御检测方法、装置和网关设备
KR20170133479A (ko) 네트워크 공격들에 대한 방어 방법 및 디바이스
CN105991617B (zh) 使用网络评分来选择安全路径的计算机实施系统及方法
CN108574668B (zh) 一种基于机器学习的DDoS攻击流量峰值预测方法
CN106790189B (zh) 一种基于响应报文的入侵检测方法和装置
CN108429731A (zh) 防攻击方法、装置及电子设备
CN112789835A (zh) 攻击者信息的获取方法、装置、设备和存储介质
CN109657463A (zh) 一种报文洪泛攻击的防御方法及装置
CN105939328A (zh) 网络攻击特征库的更新方法及装置
CN107395554B (zh) 流量攻击的防御处理方法及装置
EP3190767A1 (en) Technique for detecting malicious electronic messages
CN113225356B (zh) 一种基于ttp的网络安全威胁狩猎方法及网络设备
CN105939321B (zh) 一种dns攻击检测方法及装置
CN107347051B (zh) 一种业务报文处理方法及系统
EP3252648B1 (en) Security measure invalidation prevention device, security measure invalidation prevention method, and security measure invalidation prevention program
CN105991588A (zh) 一种防御消息攻击的方法及装置
CN105591832A (zh) 应用层慢速攻击检测方法和相关装置
CN107707512B (zh) 一种报文的防护方法及装置
CN108256327B (zh) 一种文件检测方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant