CN108600279A - 一种报文处理方法及装置 - Google Patents
一种报文处理方法及装置 Download PDFInfo
- Publication number
- CN108600279A CN108600279A CN201810856554.XA CN201810856554A CN108600279A CN 108600279 A CN108600279 A CN 108600279A CN 201810856554 A CN201810856554 A CN 201810856554A CN 108600279 A CN108600279 A CN 108600279A
- Authority
- CN
- China
- Prior art keywords
- message
- service
- detected
- feature
- type
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请实施例提供了一种报文处理方法及装置,该报文处理方法包括:在确定待检测报文的业务类型为安全的业务类型后,根据待检测报文的业务类型对应的第一特征获取规则,获取待检测报文中第一业务特征的取值;判断在预设的业务特征数据库中是否包括第一业务特征,且第一业务特征的取值是否位于第一业务特征对应的取值范围内;若为否,则丢弃待检测报文。通过本申请实施例提供的技术方案,预先将安全的业务特征存储于业务特征数据库中,并利用业务特征数据库中安全的业务特征可以判断出待检测报文是否为攻击报文,即使待检测报文为离散型攻击的攻击报文,也可以判断出待检测报文是否为攻击报文,这样可以实现对网络攻击的防御。
Description
技术领域
本申请涉及通信技术领域,特别是涉及一种报文处理方法及装置。
背景技术
网络攻击是通过发送攻击报文实施攻击,网络攻击会对各类业务造成较大影响。网络攻击存在多种攻击类型,例如,DDoS(Distributed Denial of Service,分布式拒绝服务)攻击,Oday Hacker攻击。
针对网络攻击的防御,可以通过对攻击报文进行识别并丢弃,进而达到防御的目的。具体地,从攻击报文中提取网络攻击的攻击特征,通过对所提取的攻击特征进行识别,若确认攻击特征为网络攻击的特征,则可以确定该攻击报文为不安全的报文,将该攻击报文进行阻断或者丢弃。一般情况下,一种网络攻击对应有一种攻击特征,并且,攻击特征存储于攻击报文中的固定字段。其中,攻击特征还可以是不符合RFC(Request For Comments,一系列以编号排定的文件)、TCP/IP规定的特征等。
然而,网络攻击中还存在一种离散型攻击,离散型攻击没有固定的攻击特征,并且离散型攻击的攻击报文中各字段所存储的内容存在不确定性,这就使得不能再通过攻击特征匹配的方法对离散型攻击进行防御。
发明内容
本申请实施例的目的在于提供一种报文处理方法及装置,以对离散型攻击的攻击报文进行识别并处理,进而实现对离散型攻击的防御。具体技术方案如下:
第一方面,本申请实施例提供了一种报文处理方法,所述方法包括:
在确定待检测报文的业务类型为安全的业务类型后,根据所述待检测报文的业务类型对应的第一特征获取规则,获取所述待检测报文中所述第一特征获取规则设定的第一特征获取位置处的第一业务特征的取值;
判断在预设的业务特征数据库中是否包括所述第一业务特征,且所述第一业务特征的取值是否位于所述第一业务特征对应的取值范围内,其中,所述业务特征数据库中存储:各安全业务类型的报文的业务特征以及各所述业务特征的取值范围的对应关系;
若所述业务特征数据库中未包括所述第一业务特征,或所述第一业务特征的取值位于所述第一业务特征对应的取值范围外,则丢弃所述待检测报文。
第二方面,本申请实施例提供了一种报文处理装置,所述装置包括:
第一获取模块,用于在确定待检测报文的业务类型为安全的业务类型后,根据所述待检测报文的业务类型对应的第一特征获取规则,获取所述待检测报文中所述第一特征获取规则设定的第一特征获取位置处的第一业务特征的取值;
第一判断模块,用于判断在预设的业务特征数据库中是否包括所述第一业务特征,且所述第一业务特征的取值是否位于所述第一业务特征对应的取值范围内,其中,所述业务特征数据库中存储:各安全业务类型的报文的业务特征以及各所述业务特征的取值范围的对应关系;
第一确定模块,用于当所述第一判断模块判断出所述业务特征数据库中未包括所述第一业务特征,或所述第一业务特征的取值位于所述第一业务特征对应的取值范围外时,则丢弃所述待检测报文。
第三方面,本申请实施例提供了一种电子设备,包括处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器被所述机器可执行指令促使:实现上述任一所述的报文处理方法步骤。
第四方面,本申请实施例提供了一种机器可读存储介质,存储有机器可执行指令,在被处理器调用和执行时,所述机器可执行指令促使所述处理器:实现上述任一所述的报文处理方法步骤。
本申请实施例提供的技术方案中,业务特征数据库中存储有各安全业务类型的报文的业务特征以及各业务特征的取值范围的对应关系,以业务特征数据库为依据,判断待检测报文中是否包括第一业务特征,且第一业务特征的取值是否位于第一业务特征对应的取值范围内,若业务特征数据库中未包括第一业务特征,或第一业务特征的取值位于第一业务特征对应的取值范围外,则丢弃待检测报文。通过本申请实施例提供的技术方案,预先将安全的业务特征存储于业务特征数据库中,并利用业务特征数据库中安全的业务特征可以判断出待检测报文是否为攻击报文,即使待检测报文为离散型攻击的攻击报文,也可以判断出待检测报文是否为攻击报文,这样可以实现对网络攻击的防御。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的报文处理方法的一种流程图;
图2为本申请实施例提供的报文处理方法的另一种流程图;
图3为本申请实施例提供的报文处理装置的一种结构示意图;
图4为本申请实施例提供的电子设备的一种结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
为了实现对离散型攻击的防御,本申请实施例提供了一种报文处理方法及装置,应于于网络设备,该网络设备可以为防火墙等安全设备。其中,该报文处理方法包括:
在确定待检测报文的业务类型为安全的业务类型后,根据待检测报文的业务类型对应的第一特征获取规则,获取待检测报文中第一特征获取规则设定的第一特征获取位置处的第一业务特征的取值;
判断在预设的业务特征数据库中是否包括第一业务特征,且第一业务特征的取值是否位于第一业务特征对应的取值范围内,其中,业务特征数据库中存储:各安全业务类型的报文的业务特征以及各业务特征的取值范围的对应关系;
若业务特征数据库中未包括第一业务特征,或第一业务特征的取值位于第一业务特征对应的取值范围外,则丢弃待检测报文。
本申请实施例提供的技术方案中,业务特征数据库中存储有各安全业务类型的报文的业务特征以及各业务特征的取值范围的对应关系,以业务特征数据库为依据,判断待检测报文中是否包括第一业务特征,且第一业务特征的取值是否位于第一业务特征对应的取值范围内,若业务特征数据库中未包括第一业务特征,或第一业务特征的取值位于第一业务特征对应的取值范围外,则丢弃待检测报文。通过本申请实施例提供的技术方案,预先将安全的业务特征存储于业务特征数据库中,并利用业务特征数据库中安全的业务特征可以判断出待检测报文是否为攻击报文,即使待检测报文为离散型攻击的攻击报文,也可以判断出待检测报文是否为攻击报文,这样可以实现对网络攻击的防御。
下面首先对本申请实施例提供的一种报文处理方法进行介绍。如图1所示,该报文处理方法包括如下步骤。
S101,在确定待检测报文的业务类型为安全的业务类型后,根据待检测报文的业务类型对应的第一特征获取规则,获取待检测报文中第一特征获取规则设定的第一特征获取位置处的第一业务特征的取值。
其中,每一个报文可以对应一种业务类型,即每一个报文可以提供所对应的业务类型的业务。例如,待检测报文的业务类型为Web业务类型,则该待检测报文可以提供Web业务。
针对待检测报文是否为攻击报文的判断方法,可以是按照业务类型来判断。即将业务类型区分为安全的业务类型和不安全的业务类型,其中,不安全的业务类型的报文可以认为是攻击报文,安全的业务类型的报文则可以认为是非攻击报文。
每一种业务类型的报文可以包括一定数量的业务特征,每一种业务类型的报文所包括的业务特征的数量可以是自定义设定的,也可以是业务报文的报文格式设定,本申请在此不作特别限定。各业务类型包括的业务特征可以是不相同的。
例如,业务类型A的报文所包括的业务特征有业务特征1和业务特征2,业务类型B的报文所包括的业务特征有业务特征3、业务特征4和业务特征5。
可以认为,每一种业务类型的报文所包括的业务特征是确定的。例如,业务类型A的报文所包括的业务特征有业务特征1、业务特征2和业务特征3,那么,对于任一业务类型A的报文,均包含有业务特征1、业务特征2和业务特征3。
每一种业务类型的报文所包括的业务特征具体为根据该业务特征所配置的数值特征,因此,每一种业务类型的报文中携带有业务特征所配置的取值。
基于每一种业务类型的报文包括的业务特征是确定的,每一种业务类型的报文的报文格式是确定的,则针对一种业务类型的报文,所包括的业务特征在报文中的位置是固定的。
例如,业务类型A的报文所包括的业务特征有业务特征1和业务特征2,业务特征1在业务类型A的报文中的位置为位置1,业务特征2在业务类型A的报文中的位置为位置2。则对于业务类型A的任一报文,均可以从位置1处获取到业务特征1,从位置2处获取到业务特征2。
对于一种业务类型的报文,可以从该报文中获取到该报文中所包括的业务特征。并且,对于同一种业务特征,在报文中的位置相同。为了从一种业务类型的报文中获取到该报文包括的业务特征,可以设定每一种业务类型对应一种特征获取规则,即为每一种业务类型的报文对应设定一种特征获取规则,特征获取规则设定了将要从该业务类型的报文中获取的业务特征以及该业务类型的报文的特征获取位置,该特征获取位置即为业务特征在报文中的位置。
例如,业务类型1的报文包括业务特征a和业务特征b,业务类型1对应特征获取规则1,该特征获取规则1设定获取业务特征a和业务特征b,且特征获取规则1设定的特征获取位置包括位置a和位置b,位置a即为业务特征a在报文中的位置,位置b即为业务特征b在报文中的位置。当报文1的业务类型为业务类型1时,根据特征获取规则1,可以确定该报文1中的特征获取位置:位置a和位置b,并分别从位置a获取业务特征a的取值,从位置b获取业务特征b的取值。
其中,业务特征在报文中的位置可以用key偏移和key长度共同表示,key长度表示业务特征在报文中的长度,key偏移是指从IPv4(互联网协议第四版)报文头为起点的偏移量,其中,长度和偏移量均是以字节为单位。
例如,业务特征在报文中的存储位置表示为:key偏移为40,key长度为1,则表示该业务特征的长度为一个字节,在报文中以IPV4报文头为起点,第40个字节即为报文中存储该业务特征的位置。
每一种业务类型对应的特征获取规则可以是不相同的,也就是说,不同业务类型的报文中的特征获取位置可以是不相同的。对于同一种业务类型的报文,所包含的业务特征是相同的,而同一业务特征的取值可以是不相同的。
例如,业务类型A的报文所对应的业务特征包括业务特征1和业务特征2,在业务类型A的报文1中,业务特征1的取值为1,业务特征2的取值为4。在业务类型A的报文2中,业务特征1的取值为1,业务特征2的取值为3。
确定待检测报文的业务类型之后,可以确定该业务类型对应的第一特征获取规则,该第一特征获取规则设定的报文中第一业务特征的位置为第一特征获取位置。则可以从待检测报文中的第一特征获取位置处获取第一业务特征的取值。
S102,判断在预设的业务特征数据库中是否包括第一业务特征,且第一业务特征的取值是否位于第一业务特征对应的取值范围内。如果否,执行步骤S103。
其中,业务特征数据库用于存储各安全业务类型的报文的业务特征以及各业务特征的取值范围的对应关系。
业务特征数据库中所存储的业务特征是安全业务类型的报文的业务特征,也就是说,业务特征数据库中所存储的业务特征可以认为是安全的业务特征。业务特征数据库中所存储的业务特征可以是根据当前报文情况自动学习设置,也可以自定义设置,例如自定义对业务特征数据库中的业务特征进行删减、添加等设置。
另外,业务特征数据库中还存储有各业务特征与取值范围的对应关系,即在业务特征数据库中,每一种业务特征对应有至少一个取值范围。当业务特征的取值在所对应的取值范围内时,可以认为包含该业务特征的报文是安全的,而业务特征的取值在所对应的取值范围之外时,可以认为包含该业务特征的报文是不安全的。各业务特征的取值范围的对应关系可以是根据当前报文情况自动学习设置,也可以自定义设定的,每一业务特征所对应的取值范围可以是自定义设定。
例如,业务特征数据库中存储有业务特征1、业务特征2和业务特征3,其中,业务特征1对应的取值范围为(1,4),表示该业务特征1的取值在大于1且小于4的范围内时,可以认为包含该业务特征1的报文是安全的;业务特征2对应的取值范围为(2,9),表示该业务特征2的取值在大于2且小于9的范围内时,可以认为包含该业务特征2的报文是安全的;业务特征3对应的取值范围为(1,4)和(5,10),表示该业务特征3的取值在大于1且小于4的范围内,或者在大于5且小于10的范围内时,可以认为包含该业务特征3的报文是安全的。
业务特征数据库中所存储的业务特征以及各业务特征的取值范围的对应关系可以通过至少以下两种设置方式设置。
第一种设置方式,自定义设置。由管理员对业务特征数据库进行手动配置。将业务特征数据库中的业务特征进行手动删减,或者,手动新增不同业务类型的业务特征,手动新增一种业务类型对应的业务特征,并将新增的业务特征存储于业务特征数据库中。
另外,管理员可以手动调整业务特征数据库中每一业务特征所对应的取值范围。例如,管理员手动将业务特征的取值范围从(1,2)调整为(1,8)。当业务特征数据库中有业务特征被删减时,则对应地将所删减的业务特征对应的取值范围也进行删减;当业务特征数据库中有业务特征新增时,则对应地增加该新增的业务特征的取值范围。
第二种设置方式,自动学习设置。业务特征数据库可以采用如下步骤自动添加业务特征。首先,在第一预设周期内,统计所接收到的第一报文的数量。其中,第一预设周期可以是自定义设定的。例如,第一预设周期可以是1分钟、2小时或者1天等。
第一报文为具有相同的业务特征且该业务特征的取值相同的报文。可以认为,确定为第一报文的各报文的业务类型是相同的。
对于同一业务类型的报文,报文中的同一位置的业务特征为同一类型的业务特征。例如,对于WEB业务类型的报文,业务特征A在WEB业务类型的报文中的位置为:key偏移为30,key长度为1。那么,对于WEB业务类型的报文来说,报文中key偏移为30、key长度为1的位置所存储的数值均为业务特征A的取值。
因此,所接收到的报文中同一位置的取值相同,即这些报文具有相同的业务特征,且这些相同的业务特征的取值相同,则可以确定这些报文即为本实施方式中的第一报文。
在统计出第一报文的数量之后,一种实现方式中,判断所统计的数量是否小于第一安全阈值,若小于,则可以认为该第一报文为安全报文,可以将第一报文的业务特征和该业务特征的取值添加至业务特征数据库中。若不小于,则可以认为该第一报文为攻击报文。其中,第一安全阈值为自定义设定的。
对于数量较低的报文,有可能并不是主要的业务流量,甚至有可能是错误的报文,若对于所有的报文都进行业务特征的提取,无疑会增加网络设备的负担,降低报文的处理效率,因此,有必要设定一阈值(即第一预设阈值),以提高报文的处理效率。故在另一种实现方式中,判断所统计的数量是否大于第一预设阈值,且小于第一安全阈值。如果是,则可以认为该第一报文为安全报文,可以将第一报文的业务特征和该业务特征的取值添加至业务特征数据库中。如果所统计的数量大于或者等于第一安全阈值,则可以认为该第一报文为攻击报文。如果所统计的数量小于或者等于第一预设阈值,则可以对该第一报文不进行处理或者直接转发。
其中,第一预设阈值可以是自定义设定,第一预设阈值小于第一安全阈值。例如,第一预设阈值为30,第一安全阈值为100,第一预设周期为2分钟,若在2分钟内所接收到的第一报文的数量为40时,此时,所接收到的第一报文的数量大于该第一预设阈值、且小于该第一安全阈值,可以认为该第一报文为安全报文,将该第一报文的业务特征和该业务特征的取值添加至业务特征数据库中。
这样,在将第一报文的业务特征和该业务特征的取值添加至业务特征数据库中之后,后续再接收到与第一报文的业务特征相同且取值相同的报文时,可以直接将该报文确定为安全报文。
其中,在第一报文的业务特征添加至业务特征数据库时,以表项形式存储,表项中所包括的信息如下表格1所示:
表格1
其中,标识为第一报文的业务特征的表项在业务特征数据库中的序号。
目的地址为第一报文的目的地址。
协议类型为第一报文的协议类型。
目的端口为第一报文的目的端口。
业务特征i位置为:业务特征i在第一报文中的位置。
业务特征i的取值范围为:所配置的第一报文的业务特征i的允许取值范围。
通过该实施方式在业务特征数据库中添加业务特征,避免了人为手动设置。并且,在接收报文的同时,持续地利用该实施方式将满足条件的第一报文的业务特征和该业务特征的取值添加至业务特征数据库中,进而提高了对业务特征数据库进行配置的效率。
一种实现方式中,在获取到待检测报文的第一业务特征的取值之后,首先在业务特征数据库中查找是否存在该第一业务特征,当业务特征数据库中不存在第一业务特征时,则可以认为该待检测报文为攻击报文,丢弃该待检测报文。
当业务特征数据库中存在第一业务特征时,从业务特征数据库中获取该第一业务特征对应的取值范围,再判断所获取待检测报文的第一业务特征的取值是否在该取值范围内,若没在该取值范围内,则可以认为该待检测报文为攻击报文;若在该取值范围内,则可以认为该待检测报文为安全的报文。
S103,丢弃待检测报文。
若判断出业务特征数据库中未包括所述第一业务特征,或者,待检测报文中第一业务特征的取值位于第一业务特征对应的取值范围外,即未位于第一业务特征对应的取值范围内,则可以确定待检测报文为攻击报文。
在确定待检测报文为攻击报文后,则将该待检测报文丢弃,避免了受到该待检测报文的攻击,进而实现对攻击报文的防御。
一种实施方式中,在获取待检测报文中第一特征获取规则设定的第一特征获取位置处的的第一业务特征的取值(S101)的步骤之前,还可以利用业务类型来判断待检测报文是否为攻击报文,在利用业务类型判断出待检测报文为安全报文的情况下,继续利用业务特征通过上述实施方式来判断待检测报文是否是攻击报文。这样,通过两种方式分别对待检测报文进行检测,提高了检测的准确率,进而提高了对攻击报文的防御能力。
接收到待检测报文之后,可以获取待检测报文的目标业务类型。
其中,报文的业务类型可以根据报文的目的端口来确定。一种实现方式中,从待检测报文中可以获取目的端口,目的端口对应的业务类型即为待检测报文的目标业务类型。也就是说,待检测报文所支持的业务即为目标业务类型的业务。
例如,待检测报文的目的端口为80端口,80端口所对应的业务为WEB业务,因此,待检测报文的目标业务类型为WEB业务类型,待检测报文所支持的业务为WEB业务。
业务类型除了上述的根据目的端口来确定以外,还可以根据目的端口和协议类型共同确定等其他确定方式,在此不做限定。
报文的业务类型可以根据报文的目的端口和协议类型来确定。一种实现方式中,从待检测报文中获取目的端口和协议类型,待检测报文的协议类型和目的端口对应的业务类型即为待检测报文的目标业务类型。因此,在业务类型数据库中,可以存储协议类型与目的端口的对应关系,以用来表示对应的业务类型。
例如,基于HTTP(HyperText Transfer Protocol,超文本传输协议)或者TCP(Transmission Control Protocol,传输控制协议),端口号为80的目的端口所对应的业务类型为WEB业务类型,则在业务类型数据库中可以存储HTTP协议或者TCP协议与端口号为80的目的端口的对应关系,以表示WEB业务类型。
判断在预设的业务类型数据库中是否存在与目标业务类型相匹配的业务类型,若不存在,则可以确定待检测报文为攻击报文,并将该待检测报文丢弃;若存在,则执行上述步骤S101,继续利用业务特征来对待检测报文进行检测。
其中,业务类型数据库中存储安全的业务类型,安全的业务类型可以认为该业务类型的报文为安全报文。业务类型数据库中所存储的业务类型可以是自定义设置,例如,自定义对业务类型数据库中的业务类型进行删减、添加等设置。业务类型数据库中所存储的业务类型还可以是自动学习设置。
对业务类型数据中的业务类型进行设置包括至少以下两种设置方式。
第一种设置方式,自定义设置。由管理员对业务类型数据库进行手动配置。将业务类型数据库中的业务类型进行手动删减,或者,手动新增不同的确认为安全的业务类型,并存储于业务类型数据库中。
第二种设置方式,自动学习设置。业务类型数据库添加业务类型可以采用如下步骤。首先,在第二预设周期内,统计所接收到的第二报文的数量。
其中,第二预设周期可以是自定义设定的。例如,第二预设周期可以是1分钟、2小时或者1天等。第二报文为同一种业务类型的报文。例如,第二报文为WEB业务类型的报文,则在第二预设周期内统计所接收到的报文中WEB业务类型的报文的数量。
在统计出第二报文的数量之后,一种实现方式中,判断所统计的数量是否小于第二安全阈值。若小于,则可以认为该第二报文为安全报文,可以将第二报文的业务类型添加至业务类型数据库中。若不小于,则可以认为该第二报文为攻击报文。其中,第二安全阈值为自定义设定的。第二安全阈值与第一安全阈值可以相同,也可以不相同,在此不做限定。
对于数量较低的报文,有可能并不是主要的业务流量,甚至有可能是错误的报文,若对所有的报文都进行处理,无疑会增加网络设备的负担,降低报文的处理效率,因此,有必要设定一阈值(即第二预设阈值),以提高报文的处理效率。故在另一种实现方式中,判断所统计的数量是否大于第二预设阈值,且小于第二安全阈值。如果是,则可以认为该第二报文为安全报文,可以将第二报文的业务类型添加至业务类型数据库中。如果所统计的数量大于或者等于第二安全阈值,则可以认为该第二报文为攻击报文。如果所统计的数量小于或者等于第二预设阈值,则可以对该第二报文不进行处理或者直接转发。
其中,第二预设阈值可以是自定义设定,第二预设阈值小于第二安全阈值。第二预设阈值与第一预设阈值可以相同,也可以不相同,在此不做限定。
这样,在将第二报文的业务类型添加至业务类型数据库中之后,后续再接收到与第二报文的业务类型相同的报文时,可以直接将该报文确定为安全报文。
通过该实施方式在业务类型数据库中添加业务类型,避免了人为进行手动设置。并且,在接收报文的同时,持续地利用该实施方式将满足条件的第二报文的业务类型添加至业务类型数据库中,进而提高了将业务类型添加至业务类型数据库的效率。
一种实施方式中,在获取待检测报文中第一特征获取规则设定的第一特征获取位置处的第一业务特征的取值(S101)的步骤之前,还可以利用预设的攻击源名单来判断待检测报文是否为攻击报文。
接收到待检测报文之后,可以获取该待检测报文的源地址,并将该源地址作为目标源地址。判断在预设的攻击源名单中是否存在与目标源地址相匹配的地址,若存在,则可以确定待检测报文为攻击报文,并丢弃该待检测报文。
其中,攻击源名单中记录发送攻击报文的地址,可以认为,报文的源地址为攻击源名单中的地址时,则可以确定该报文为攻击报文,将该报文丢弃。攻击源名单中的源地址的配置方式可以包括至少以下两种。
第一种配置方式,手动配置。由管理员将已知的发送攻击报文的源地址手动添加至攻击源名单中。相应地,在攻击源名单中的地址不会再发送攻击报文之后,管理员可以将该源地址从攻击源名单中删除。
第二种配置方式,自动学习。在根据业务特征或业务类型检测出待检测报文为攻击报文之后,从待检测报文中确定出发送该待检测报文的源地址。
统计所确定出的源地址在单位时间内传输待检测报文的数据量,并根据所统计的数据量,确定待检测报文的源地址发送报文的第一速率。
例如,发送待检测报文的源地址为地址A,经统计地址A在单位时间内传输的待检测报文的数据量为1.8G,则该地址A对应的第一速率为1.8G/s。
获取源地址对应的第一速率之后,可以按照源地址和速率的对应关系,以表项的形式进行存储,源名单的每一个表项中存储的信息如下表格2所示:
表格2
| 标识 | 源地址 | 速率 |
其中,标识为所记录的每一个表项的序号。
源地址为发送报文的源地址。
速率为源地址在单位时间内传输同一报文的数据量。
在确定出第一速率之后,判断第一速率是否位于预设速率排序中的预设排名之前。
其中,预设速率排序为:攻击源名单中源地址发送报文的速率按照从大到小的顺序所进行的排序。
例如,攻击源名单中的源地址包括源地址1、源地址2、源地址3、源地址4和源地址5,其中,源地址1对应的发送报文的速率为8G/s,源地址2对应的发送报文的速率为1G/s,源地址3对应的发送报文的速率为0.5G/s,源地址4对应的发送报文的速率为0.4G/s,源地址5对应的发送报文的速率为0.1G/s,则按照速率从大到小的顺序排序为:源地址1、源地址2、源地址3、源地址4、源地址5。
在确定出第一速率之后,可以对照预设速率排序,进而确定第一速率在预设速率排序中的排名。并判断第一速率在预设速率排序中的排名是否在预设排名之前。其中,预设排名可以是自定义设定的。
例如,预设速率排序为源地址1、源地址2、源地址3、源地址4、源地址5,其中,源地址1对应的发送报文的速率为8G/s,源地址2对应的发送报文的速率为1G/s,源地址3对应的发送报文的速率为0.5G/s,源地址4对应的发送报文的速率为0.4G/s,源地址5对应的发送报文的速率为0.1G/s。预设排名为3,第一速率为1.8G/s,则第一速率在预设速率排名中位于第二名,在预设排名之前。
在确定出第一速率位于预设速率排序中的预设排名之前时,可以将待检测报文的源地址添加至攻击源名单。还可以将待检测报文的源地址和第一速率的对应关系添加至攻击源名单。在此不做限定。
在将待检测报文的源地址、或待检测报文的源地址和第一速率添加至攻击源名单之后,可以对预设速率排序进行更新,得到包含第一速率的新的速率排序。
一种实施方式中,一个源地址可以向一个目的地址发送报文,还可以向多个目的地址发送报文。
对于一个发送待检测报文的源地址来说,当该源地址仅对应一个目的地址时,则该源地址向该目的地址发送待检测报文。
获取源地址对应的第一速率之后,还可以按照源地址和速率的对应关系,以表项的形式进行存储,源名单的每一个表项中存储的信息如下表格3所示:
表格3
| 标识 | 源地址 | 目的地址或者地址组 | 速率 |
其中,目的地址或者地址组为接收待检测报文的地址或者地址组。上述表格3中记录的目的地址或者地址组即为待检测源地址仅对应的一个目的地址。
当发送待检测报文的源地址对应有多个目的地址时,一种情况,源地址可以向该多个目的地址发送待检测报文。此时,在上述表格3中所记录的目的地址或者地址组即为该多个目的地址。
另一种情况,源地址仅向多个目的地址中的一部分发送待检测报文,而向另一部分发送安全报文。此时,在上述表格3中所记录的目的地址或者地址组即为接收源地址发送的待检测报文的一部分目的地址。
例如,源地址为地址1,对应的目的地址为地址2、地址3和地址4,由地址1向地址2发送的报文为安全报文,而由地址1向地址3和地址4发送的报文均为攻击报文。在上述表格3中的目的地址或者地址组中记录地址3和地址4。
基于上述实施方式,一种实现方式中,先利用攻击源名单对待检测报文进行检测,再利用业务特征对待检测报文进行检测。
具体地,当利用攻击源名单判断出待检测报文为攻击报文时,则确定该待检测报文为攻击报文;当利用攻击源名单判断出待检测报文为安全报文时,继续利用业务特征来判断待检测报文是否是攻击报文。
另一种实现方式中,先利用攻击源名单对待检测报文进行检测,再利用业务类型对待检测报文进行检测,最后利用业务特征对待检测报文进行检测。
具体地,当利用攻击源名单判断出待检测报文为攻击报文时,则确定待检测报文为攻击报文;当利用攻击源名单判断出待检测报文为安全报文时,继续利用业务类型来判断待检测报文是否是攻击报文。当利用业务类型判断出待检测报文为攻击报文,则可以确定待检测报文为攻击报文;当利用业务类型判断出待检测报文为安全报文,则最后利用业务类型来判断待检测报文是否是攻击报文。
上述两种实现方式中,通过多种检测方式分别对待检测报文进行检测,提高了检测的准确率,进而提高了对攻击报文的防御能力。
一种实施方式中,有些源地址并非永久性的发送攻击报文,有些源地址只是作为代理转发攻击报文进而被添加至攻击源名单中。为了避免这两种源地址被长时间地作为发送攻击报文的源地址,进而影响这两种源地址发送安全报文的情况出现,对于攻击源名单中的每一个地址,可以设定有对应的生存时间。
生存时间用于表示所对应地址在攻击源名单中的有效时间,生存时间可以是自定义设定的。例如,生存时间可以是1分钟、1天、永久等。每一个地址对应的生存时间可以是不一样的。
例如,攻击源名单中包括地址1、地址2和地址3,其中,地址1对应的生存时间为1分钟,表示地址1在攻击源名单中的有效时间为1分钟;地址2对应的生存时间为1天,表示地址2在攻击源名单中的有效时间为1天;地址3对应的生存时间为永久,表示地址3在攻击源名单中永久有效。
本申请实施例提供的技术方案中,业务特征数据库中存储有各安全业务类型的报文的业务特征以及各业务特征的取值范围的对应关系,以业务特征数据库为依据,判断待检测报文中是否包括第一业务特征,且第一业务特征的取值是否位于第一业务特征对应的取值范围内,若业务特征数据库中未包括第一业务特征,或第一业务特征的取值位于第一业务特征对应的取值范围外,则丢弃待检测报文。通过本申请实施例提供的技术方案,预先将安全的业务特征存储于业务特征数据库中,并利用业务特征数据库中安全的业务特征可以判断出待检测报文是否为攻击报文,即使待检测报文为离散型攻击的攻击报文,也可以判断出待检测报文是否为攻击报文,这样可以实现对网络攻击的防御。
本申请实施例还提供一种报文处理方法,如图2所示,该报文处理方法包括如下步骤。
S201,接收到待检测报文,获取待检测报文的源地址,作为目标源地址。
若待检测报文的源地址为地址a,即目标源地址为地址a。
S202,判断在攻击源名单中是否存在与目标源地址相匹配的地址。如果是,将该待检测报文丢弃,即确定待检测报文为攻击报文。如果否,执行步骤S203。
其中,攻击源名单以表项形式对发送攻击报文的地址进行存储,每一个表项存储的信息如下表格4所示:
表格4
| 标识 | 源地址 | 目的地址或者地址组 | 生存时间 |
其中,标识为攻击源名单中表项的序号。
源地址为攻击源名单中记录的发送攻击报文的地址。
目的地址或者地址组为接收攻击报文的地址或者地址组。
生存时间为所对应源地址在攻击源名单中的有效时间。
当攻击源名单中的源地址包括地址a、地址b、地址c、地址d、地址e、地址f和地址g,此时包含地址a,则可以将待检测报文确定为攻击报文,并将该待检测报文丢弃。
当攻击源名单中的源地址包括地址b、地址c、地址d、地址e、地址f和地址g,此时不包含地址a,则可以对待检测报文继续进行以下步骤的判断。
S203,确定待检测报文的目标业务类型。
待检测报文的目的端口为80端口,则可以确定该待检测报文的目标业务类型为Web业务类型。
S204,判断在预设的业务类型数据库中是否包括与目标业务类型相匹配的业务类型。如果否,将该待检测报文丢弃,即确定待检测报文为攻击报文。如果是,执行步骤S205。
其中,业务类型数据库以表项形式对业务类型进行存储,每一个表项存储的信息如下表格5所示:
表格5
| 标识 | 目的地址 | 协议类型 | 目的端口 |
标识为业务类型数据库中每一个表项的序号。
目的地址为报文的目的地址。
协议类型为报文的协议类型。
目的端口为接收报文的端口。
其中,由协议类型和目的端口共同对应表示一种业务类型。
当业务类型数据库中所存储的业务类型包括:业务类型1、业务类型2、业务类型3、业务类型4和业务类型5,此时不包含Web业务类型,则可以将该待检测报文丢弃,即确定该待检测报文为攻击报文。
当业务类型数据库中所存储的业务类型包括:Web业务类型、业务类型1、业务类型2、业务类型3、业务类型4和业务类型5,此时包含Web业务类型,则可以对待检测报文继续进行以下步骤的判断。
S205,在确定待检测报文的业务类型为安全的业务类型后,根据待检测报文的业务类型对应的第一特征获取规则,获取待检测报文中第一特征获取规则设定的第一特征获取位置处的第一业务特征的取值。
Web业务类型的报文包括的业务特征有业务特征1、业务特征2和业务特征3,Web业务类型对应的第一特征获取规则为以下任一项或其中几项的任意组合:获取位置1处的业务特征1的取值、获取位置2处的业务特征2的取值、获取位置3处的业务特征3的取值。其中,业务特征1的数值位于Web业务类型的报文的位置1处,业务特征2的数值位于Web业务类型的报文的位置2处,业务特征3的数值位于Web业务类型的报文的位置3处。位置1为key偏移为44,key长度为1;位置2为key偏移为45,key长度为1;位置3为key偏移为46,key长度为1。
则根据Web业务类型对应的第一特征获取规则,从待检测报文的位置1处获取业务特征1的取值为2,从待检测报文的位置2处获取业务特征2的取值为2,从待检测报文的位置3处获取业务特征3的取值为1。
S206,判断在预设的业务特征数据库中是否包括第一业务特征,且第一业务特征的取值是否位于第一业务特征对应的取值范围内。如果是,正常处理该待检测报文,即将待检测报文确定为安全报文。如果否,执行步骤S207。
业务特征数据库中以表项形式对业务特征进行存储,每一个表项存储的信息如下表格6所示:
表格6
其中,标识为业务特征数据库中每一个表项的序号。
目的地址为接收源地址所发送的报文的目的地址。
协议类型为报文的协议类型。
目的端口为接收报文的端口。
业务特征i位置为:业务特征i在报文中的位置,i可以为1、2、3等正整数。
业务特征i的取值范围为:所配置的针对业务特征i的允许取值范围。
目的地址为1.1.1.1,协议类型为UDP(User Datagram Protocol,用户数据报协议),目的端口为80,该目的端口对应的业务类型为Web业务类型,该业务类型报文包括业务特征1、业务特征2和业务特征3,其中,业务特征1的取值可为1或2,业务特征2的取值可以为:当业务特征3为1或2时业务特征2可取1-10;业务特征3的取值可为0。
那么,业务特征数据库中对上述业务特征进行存储,如下表格7所示:
表格7
由上表可知,业务特征数据库中包含业务特征1、业务特征2和业务特征3,其中:
业务特征1取值可为1或2;
业务特征1值为1时,业务特征2可取1-10;
业务特征1值为2时,业务特征2可取1-10,业务特征3可取0。
由前述可知,从待检测报文中获取的业务特征1的取值2满足业务特征数据库中业务特征1的取值范围,从待检测报文中获取的业务特征2的取值1满足业务特征数据库中业务特征2的取值范围,从待检测报文中获取的业务特征3的取值2在业务特征数据库中业务特征3的取值范围之外。因此,可以丢弃待检测报文,即确定该待检测报文为攻击报文。
S207,业务特征数据库中未包括第一业务特征,或第一业务特征的取值位于第一业务特征对应的取值范围外,则丢弃待检测报文,即确定待检测报文为攻击报文。
S208,根据单位时间内传输待检测报文的数据量,确定待检测报文的源地址发送待检测报文的第一速率。
待检测报文的源地址为地址a,该地址a在单位时间内传输待检测报文的数据量为1.8G,则可以确定第一速率为1.8G/s。
S209,判断第一速率是否位于预设速率排序中的预设排名之前,如果是,执行S210,如果否,则可以不作处理。
预设速率排序为:源地址1、源地址2、源地址3、源地址4和源地址5,其中,源地址1对应的速率1为8G/s,源地址2对应的速率2为1G/s,源地址3对应的速率3为0.5G/s,源地址4对应的速率4为0.4G/s,源地址5对应的速率5为0.1G/s。
则依据上述预设速率排名,可以确定出第一速率在该预设速率排序中位于第二位。当预设排名为3时,可以确定第一速率的排名在预设排名之前,则继续执行步骤S210。
S210,将待检测报文的源地址和第一速率添加至攻击源名单。
将地址a和第一速率1.8G/s添加至攻击源名单,在将所选取的源地址添加至攻击源名单中时,以表项形式进行存储,表项中所包括的信息如下表格8所示:
表格8
| 标识 | 源地址 | 目的地址或者地址组 | 速率 |
其中,标识为该表项在攻击源名单中存储的序号。
源地址为地址a。
目的地址或者地址组为地址a对应的地址或者地址组。
速率为第一速率1.8G/s。
还可以更新预设速率排名,更新后的预设速率排名为源地址1、地址a、源地址2、源地址3、源地址4和源地址5。
相应于上述报文处理方法实施例,本申请实施例还提供一种报文处理装置,如图3所示,该报文处理装置包括:
第一获取模块310,用于在确定待检测报文的业务类型为安全的业务类型后,根据待检测报文的业务类型对应的第一特征获取规则,获取待检测报文中第一特征获取规则设定的第一特征获取位置处的第一业务特征的取值;
第一判断模块320,用于判断在预设的业务特征数据库中是否包括第一业务特征,且第一业务特征的取值是否位于第一业务特征对应的取值范围内,其中,业务特征数据库中存储:各安全业务类型的报文的业务特征以及各业务特征的取值范围的对应关系;
第一确定模块330,用于当第一判断模块判断出业务特征数据库中未包括第一业务特征,或第一业务特征的取值位于第一业务特征对应的取值范围外时,则丢弃待检测报文。
可选地,该报文处理装置还包括添加模块,用于:
在第一预设周期内,统计所接收到的第一报文的数量,其中,第一报文是指:具有相同的业务特征且该业务特征的取值相同的报文;
判断所统计的数量是否小于第一安全阈值,或判断所统计的数量是否大于第一预设阈值且小于第一安全阈值;
若是,将第一报文的业务特征和该业务特征的取值添加至业务特征数据库中。
可选地,装置还包括:
第二确定模块,用于确定待检测报文的目标业务类型;
第二判断模块,用于判断在预设的业务类型数据库中是否包括与目标业务类型相匹配的业务类型;如果是,触发第一获取模块获取待检测报文中第一特征获取规则设定的第一特征获取位置处的的第一业务特征的取值;
第三确定模块,用于当第二判断模块的判断结果为否时,则丢弃待检测报文。
可选地,该报文处理装置还包括添加模块,用于:
在第二预设周期内,统计接收到的第二报文的数量,第二报文是指:属于同一种业务类型的报文;
判断所统计的数量是否小于第二安全阈值,或判断所统计的数量是否大于第二预设阈值且小于第二安全阈值;
若是,将第二报文的业务类型添加至业务类型数据库中。
可选地,装置还包括:
第二获取模块,用于获取待检测报文的源地址,作为目标源地址;
第三判断模块,用于判断在预设的攻击源名单中是否存在与目标源地址相匹配的地址,攻击源名单中记录发送攻击报文的地址;
第四确定模块,用于当第三判断模块的判断结果为是时,则丢弃待检测报文。
可选地,第一确定模块330还用于:
根据单位时间内传输待检测报文的数据量,确定待检测报文的源地址发送待检测报文的第一速率;
判断第一速率是否位于预设速率排序中的预设排名之前,其中,预设速率排序为:攻击源名单中源地址发送报文的速率按照从大到小的顺序所进行的排序;
如果是,则将待检测报文的源地址、或待检测报文的源地址和第一速率添加至攻击源名单。
本申请实施例提供的技术方案中,业务特征数据库中存储有各安全业务类型的报文的业务特征以及各业务特征的取值范围的对应关系,以业务特征数据库为依据,判断待检测报文中是否包括第一业务特征,且第一业务特征的取值是否位于第一业务特征对应的取值范围内,若业务特征数据库中未包括第一业务特征,或第一业务特征的取值位于第一业务特征对应的取值范围外,则丢弃待检测报文。通过本申请实施例提供的技术方案,预先将安全的业务特征存储于业务特征数据库中,并利用业务特征数据库中安全的业务特征可以判断出待检测报文是否为攻击报文,即使待检测报文为离散型攻击的攻击报文,也可以判断出待检测报文是否为攻击报文,这样可以实现对网络攻击的防御。
相应于上述报文处理方法实施例,本申请实施例还提供了一种电子设备,如图4所示,包括处理器410和机器可读存储介质420,机器可读存储介质420存储有能够被处理器410执行的机器可执行指令。
另外,如图4所示,电子设备还可以包括:通信接口430和通信总线440;其中,处理器410、机器可读存储介质420、通信接口430通过通信总线440完成相互间的通信,通信接口430用于上述电子设备与其他设备之间的通信。
处理器410促使执行上述任一种报文处理方法的实施例,其中,报文处理方法包括:
在确定待检测报文的业务类型为安全的业务类型后,根据待检测报文的业务类型对应的第一特征获取规则,获取待检测报文中第一特征获取规则设定的第一特征获取位置处的第一业务特征的取值;
判断在预设的业务特征数据库中是否包括第一业务特征,且第一业务特征的取值是否位于第一业务特征对应的取值范围内,其中,业务特征数据库中存储:各安全业务类型的报文的业务特征以及各业务特征的取值范围的对应关系;
若业务特征数据库中未包括第一业务特征,或第一业务特征的取值位于第一业务特征对应的取值范围外,则丢弃待检测报文。
本申请实施例提供的技术方案中,业务特征数据库中存储有各安全业务类型的报文的业务特征以及各业务特征的取值范围的对应关系,以业务特征数据库为依据,判断待检测报文中是否包括第一业务特征,且第一业务特征的取值是否位于第一业务特征对应的取值范围内,若业务特征数据库中未包括第一业务特征,或第一业务特征的取值位于第一业务特征对应的取值范围外,则丢弃待检测报文。通过本申请实施例提供的技术方案,预先将安全的业务特征存储于业务特征数据库中,并利用业务特征数据库中安全的业务特征可以判断出待检测报文是否为攻击报文,即使待检测报文为离散型攻击的攻击报文,也可以判断出待检测报文是否为攻击报文,这样可以实现对网络攻击的防御。
上述通信总线440可以是PCI(Peripheral Component Interconnect,外设部件互连标准)总线或EISA(Extended Industry Standard Architecture,扩展工业标准结构)总线等。该通信总线440可以分为地址总线、数据总线、控制总线等。为便于表示,图4中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
机器可读存储介质420可以包括RAM(Random Access Memory,随机存取存储器),也可以包括NVM(Non-Volatile Memory,非易失性存储器),例如至少一个磁盘存储器。另外,机器可读存储介质420还可以是至少一个位于远离前述处理器的存储装置。
上述处理器410可以是通用处理器,包括CPU(Central Processing Unit,中央处理器)、NP(Network Processor,网络处理器)等;还可以是DSP(Digital SignalProcessing,数字信号处理器)、ASIC(Application Specific Integrated Circuit,专用集成电路)、FPGA(Field-Programmable Gate Array,现场可编程门阵列)或其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
相应于上述报文处理方法的实施例,本申请实施例还提供了一种机器可读存储介质,存储有机器可执行指令,在被处理器调用和执行时,机器可执行指令促使处理器实现上述报文处理方法。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于报文处理装置、电子设备以及机器可读存储介质实施例而言,由于其基本相似于报文处理方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上所述仅为本申请的较佳实施例而已,并非用于限定本申请的保护范围。凡在本申请的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本申请的保护范围内。
Claims (14)
1.一种报文处理方法,其特征在于,所述方法包括:
在确定待检测报文的业务类型为安全的业务类型后,根据所述待检测报文的业务类型对应的第一特征获取规则,获取所述待检测报文中所述第一特征获取规则设定的第一特征获取位置处的第一业务特征的取值;
判断在预设的业务特征数据库中是否包括所述第一业务特征,且所述第一业务特征的取值是否位于所述第一业务特征对应的取值范围内,其中,所述业务特征数据库中存储:各安全业务类型的报文的业务特征以及各所述业务特征的取值范围的对应关系;
若所述业务特征数据库中未包括所述第一业务特征,或所述第一业务特征的取值位于所述第一业务特征对应的取值范围外,则丢弃所述待检测报文。
2.根据权利要求1所述的方法,其特征在于,采用如下步骤在所述业务特征数据库中添加业务特征:
在第一预设周期内,统计所接收到的第一报文的数量,其中,所述第一报文是指:具有相同的业务特征且该业务特征的取值相同的报文;
判断所统计的数量是否小于第一安全阈值,或判断所统计的数量是否大于第一预设阈值且小于第一安全阈值;
若是,将所述第一报文的业务特征和该业务特征的取值添加至所述业务特征数据库中。
3.根据权利要求1所述的方法,其特征在于,所述获取所述待检测报文中所述第一特征获取规则设定的第一特征获取位置处的的第一业务特征的取值之前,还包括:
确定待检测报文的目标业务类型;
判断在预设的业务类型数据库中是否包括与所述目标业务类型相匹配的业务类型;
若不存在,则丢弃所述待检测报文;
若存在,执行所述获取所述待检测报文中所述第一特征获取规则设定的第一特征获取位置处的的第一业务特征的取值的步骤。
4.根据权利要求3所述的方法,其特征在于,采用如下步骤在所述业务类型数据库中添加业务类型:
在第二预设周期内,统计接收到的第二报文的数量,所述第二报文是指:属于同一种业务类型的报文;
判断所统计的数量是否小于第二安全阈值,或判断所统计的数量是否大于第二预设阈值且小于第二安全阈值;
若是,将所述第二报文的业务类型添加至所述业务类型数据库中。
5.根据权利要求1-4任一所述的方法,其特征在于,所述获取所述待检测报文中所述第一特征获取规则设定的第一特征获取位置处的的第一业务特征的取值的步骤之前,还包括:
获取待检测报文的源地址,作为目标源地址;
判断在预设的攻击源名单中是否存在与所述目标源地址相匹配的地址,所述攻击源名单中记录发送攻击报文的地址;
若存在,则丢弃所述待检测报文。
6.根据权利要求1所述的方法,其特征在于,所述丢弃所述待检测报文的步骤之后,还包括:
根据单位时间内传输所述待检测报文的数据量,确定所述待检测报文的源地址发送所述待检测报文的第一速率;
判断所述第一速率是否位于预设速率排序中的预设排名之前,其中,所述预设速率排序为:攻击源名单中源地址发送报文的速率按照从大到小的顺序所进行的排序;
如果是,则将所述待检测报文的源地址、或所述待检测报文的源地址和第一速率添加至所述攻击源名单。
7.一种报文处理装置,其特征在于,所述装置包括:
第一获取模块,用于在确定待检测报文的业务类型为安全的业务类型后,根据所述待检测报文的业务类型对应的第一特征获取规则,获取所述待检测报文中所述第一特征获取规则设定的第一特征获取位置处的第一业务特征的取值;
第一判断模块,用于判断在预设的业务特征数据库中是否包括所述第一业务特征,且所述第一业务特征的取值是否位于所述第一业务特征对应的取值范围内,其中,所述业务特征数据库中存储:各安全业务类型的报文的业务特征以及各所述业务特征的取值范围的对应关系;
第一确定模块,用于当所述第一判断模块判断出所述业务特征数据库中未包括所述第一业务特征,或所述第一业务特征的取值位于所述第一业务特征对应的取值范围外时,则丢弃所述待检测报文。
8.根据权利要求7所述的装置,其特征在于,还包括添加模块,用于:
在第一预设周期内,统计所接收到的第一报文的数量,其中,所述第一报文是指:具有相同的业务特征且该业务特征的取值相同的报文;
判断所统计的数量是否小于第一安全阈值,或判断所统计的数量是否大于第一预设阈值且小于第一安全阈值;
若是,将所述第一报文的业务特征和该业务特征的取值添加至所述业务特征数据库中。
9.根据权利要求7所述的装置,其特征在于,所述装置还包括:
第二确定模块,用于确定待检测报文的目标业务类型;
第二判断模块,用于判断在预设的业务类型数据库中是否包括与所述目标业务类型相匹配的业务类型;如果是,触发所述第一获取模块获取所述待检测报文中所述第一特征获取规则设定的第一特征获取位置处的的第一业务特征的取值;
第三确定模块,用于当所述第二判断模块的判断结果为否时,则丢弃所述待检测报文。
10.根据权利要求9所述的装置,其特征在于,还包括添加模块,用于:
在第二预设周期内,统计接收到的第二报文的数量,所述第二报文是指:属于同一种业务类型的报文;
判断所统计的数量是否小于第二安全阈值,或判断所统计的数量是否大于第二预设阈值且小于第二安全阈值;
若是,将所述第二报文的业务类型添加至所述业务类型数据库中。
11.根据权利要求7-10任一所述的装置,其特征在于,所述装置还包括:
第二获取模块,用于获取待检测报文的源地址,作为目标源地址;
第三判断模块,用于判断在预设的攻击源名单中是否存在与所述目标源地址相匹配的地址,所述攻击源名单中记录发送攻击报文的地址;
第四确定模块,用于当所述第三判断模块的判断结果为是时,则丢弃所述待检测报文。
12.根据权利要求7所述的装置,其特征在于,所述第一确定模块还用于:
根据单位时间内传输所述待检测报文的数据量,确定所述待检测报文的源地址发送所述待检测报文的第一速率;
判断所述第一速率是否位于预设速率排序中的预设排名之前,其中,所述预设速率排序为:攻击源名单中源地址发送报文的速率按照从大到小的顺序所进行的排序;
如果是,则将所述待检测报文的源地址、或所述待检测报文的源地址和第一速率添加至所述攻击源名单。
13.一种电子设备,其特征在于,包括处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器被所述机器可执行指令促使:实现权利要求1-6任一所述的方法步骤。
14.一种机器可读存储介质,其特征在于,存储有机器可执行指令,在被处理器调用和执行时,所述机器可执行指令促使所述处理器:实现权利要求1-6任一所述的方法步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810856554.XA CN108600279B (zh) | 2018-07-31 | 2018-07-31 | 一种报文处理方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810856554.XA CN108600279B (zh) | 2018-07-31 | 2018-07-31 | 一种报文处理方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108600279A true CN108600279A (zh) | 2018-09-28 |
| CN108600279B CN108600279B (zh) | 2020-09-25 |
Family
ID=63618526
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810856554.XA Active CN108600279B (zh) | 2018-07-31 | 2018-07-31 | 一种报文处理方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108600279B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111314373A (zh) * | 2020-03-05 | 2020-06-19 | 南水北调中线信息科技有限公司 | 一种报文监控方法及装置 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101252443A (zh) * | 2008-03-20 | 2008-08-27 | 华为技术有限公司 | 检测报文安全性的方法和装置 |
| EP2216947A1 (en) * | 2009-02-10 | 2010-08-11 | Alcatel Lucent | Method of identifying spam messages |
| CN102347870A (zh) * | 2010-07-29 | 2012-02-08 | 中国电信股份有限公司 | 一种流量安全检测方法、设备和系统 |
| CN105141596A (zh) * | 2015-08-12 | 2015-12-09 | 北京威努特技术有限公司 | 一种支持可扩展协议检测的工控防火墙实现方法 |
| CN106789388A (zh) * | 2016-03-25 | 2017-05-31 | 新华三技术有限公司 | 报文检测内容的确定方法及装置 |
| CN107659535A (zh) * | 2016-07-25 | 2018-02-02 | 中国移动通信集团上海有限公司 | 一种规则识别方法及装置 |
-
2018
- 2018-07-31 CN CN201810856554.XA patent/CN108600279B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101252443A (zh) * | 2008-03-20 | 2008-08-27 | 华为技术有限公司 | 检测报文安全性的方法和装置 |
| EP2216947A1 (en) * | 2009-02-10 | 2010-08-11 | Alcatel Lucent | Method of identifying spam messages |
| CN102347870A (zh) * | 2010-07-29 | 2012-02-08 | 中国电信股份有限公司 | 一种流量安全检测方法、设备和系统 |
| CN105141596A (zh) * | 2015-08-12 | 2015-12-09 | 北京威努特技术有限公司 | 一种支持可扩展协议检测的工控防火墙实现方法 |
| CN106789388A (zh) * | 2016-03-25 | 2017-05-31 | 新华三技术有限公司 | 报文检测内容的确定方法及装置 |
| CN107659535A (zh) * | 2016-07-25 | 2018-02-02 | 中国移动通信集团上海有限公司 | 一种规则识别方法及装置 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111314373A (zh) * | 2020-03-05 | 2020-06-19 | 南水北调中线信息科技有限公司 | 一种报文监控方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108600279B (zh) | 2020-09-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108551446B (zh) | 防攻击的syn报文处理方法、装置、防火墙及存储介质 | |
| CN109889547B (zh) | 一种异常网络设备的检测方法及装置 | |
| KR101217647B1 (ko) | 특정 소스/목적지 ip 어드레스 쌍들에 기초한 ip 네트워크들에서 서비스 거부 공격들에 대한 방어 방법 및 장치 | |
| US9038182B2 (en) | Method of defending against a spoofing attack by using a blocking server | |
| CN106453215B (zh) | 一种网络攻击的防御方法、装置及系统 | |
| CN109587167B (zh) | 一种报文处理的方法和装置 | |
| CN110166480B (zh) | 一种数据包的分析方法及装置 | |
| KR20060049821A (ko) | 네트워크 내에서의 분산 서비스 거부(DDoS) 공격의식별 및 이러한 공격에 대한 방어 방법 | |
| JP4768020B2 (ja) | IPネットワークにおいてターゲット被害者自己識別及び制御によってDoS攻撃を防御する方法 | |
| CN110719299A (zh) | 防御网络攻击的蜜罐构建方法、装置、设备及介质 | |
| JP4484663B2 (ja) | 不正情報検知システム及び不正攻撃元探索システム | |
| CN108234473A (zh) | 一种报文防攻击方法及装置 | |
| Knockel et al. | Counting packets sent between arbitrary internet hosts | |
| Ghafir et al. | DNS query failure and algorithmically generated domain-flux detection | |
| JP2006115432A5 (zh) | ||
| CN101299765B (zh) | 抵御ddos攻击的方法 | |
| JP2004140524A (ja) | DoS攻撃検知方法、DoS攻撃検知装置及びプログラム | |
| JP6780838B2 (ja) | 通信制御装置及び課金方法 | |
| CN108600279A (zh) | 一种报文处理方法及装置 | |
| JP6418232B2 (ja) | ネットワーク管理装置、ネットワークシステム、ネットワーク管理方法およびプログラム | |
| CN106506270B (zh) | 一种ping报文处理方法及装置 | |
| Miu et al. | Universal DDoS mitigation bypass | |
| CN110519301A (zh) | 一种攻击检测方法及装置 | |
| CN109088896B (zh) | 一种基于物联网的互联网DDoS防御系统的工作方法 | |
| EP3595257B1 (en) | Detecting suspicious sources, e.g. for configuring a distributed denial of service mitigation device |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |