CN110381053A - 一种报文过滤方法及装置 - Google Patents
一种报文过滤方法及装置 Download PDFInfo
- Publication number
- CN110381053A CN110381053A CN201910639727.7A CN201910639727A CN110381053A CN 110381053 A CN110381053 A CN 110381053A CN 201910639727 A CN201910639727 A CN 201910639727A CN 110381053 A CN110381053 A CN 110381053A
- Authority
- CN
- China
- Prior art keywords
- message
- detected
- incoming interface
- interface
- mark
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请实施例提供了一种报文过滤方法及装置,涉及通信技术领域。该方法包括:可以获取接收到的待检测报文的特征信息,及网络设备中接收待检测报文的入接口的标识,待检测报文的特征信息包括待检测报文的源互联网协议IP地址;查询预设黑名单中是否存在包含接收待检测报文的入接口的标识、待检测报文的特征信息的过滤表项;若预设黑名单中不存在包含接收待检测报文的入接口的标识、待检测报文的特征信息的过滤表项,则按照预设的安全检测规则检测待检测报文是否为攻击报文;根据检测结果,对待检测报文进行处理。采用本申请可以避免因合法终端的IP地址被攻击终端仿冒,而造成合法终端无法无法访问网络的问题。
Description
技术领域
本申请涉及通信技术领域,特别是涉及一种报文过滤方法及装置。
背景技术
为了提高通信网络的安全性,通信网络中的网络设备通常需要对用户终端发送的报文进行过滤,以防止通信网络受到攻击报文的攻击。
目前,网络设备通常依据预先设置的包含IP(Internet Protocol,互联网协议)地址的黑名单,对接收到的报文进行过滤。网络设备在接收到用户终端发送的报文后,判断该报文的源IP地址是否属于黑名单中IP地址。若属于,则网络设备丢弃该报文。其中,黑名单中的IP地址为攻击终端的IP地址,可以由用户手动添加,也可以由网络设备动态添加。网络设备动态添加的过程可以为:网络设备按照预设的安全检测规则,检测接收到的报文是否为攻击报文,若接收到的报文为攻击报文,则将接收到的报文的源IP地址添加到黑名单中。
然而,在攻击终端仿冒合法终端的IP地址,向网络设备发送攻击报文的情况下,网络设备会将该攻击终端发送的攻击报文的源IP地址(即合法终端的IP地址)添加到黑名单中。这样,合法终端向网络设备发送的报文,将会被网络设备丢弃,导致合法终端无法访问网络。
发明内容
本申请实施例的目的在于提供一种报文过滤方法及装置,可以避免因合法终端的IP地址被攻击终端仿冒,而造成合法终端无法无法访问网络的问题。具体技术方案如下:
第一方面,提供了一种报文过滤方法,所述方法应用于网络设备,所述方法包括:
获取接收到的待检测报文的特征信息,及所述网络设备中接收所述待检测报文的入接口的标识,所述待检测报文的特征信息包括所述待检测报文的源互联网协议IP地址;
查询预设黑名单中是否存在包含接收所述待检测报文的入接口的标识、所述待检测报文的特征信息的过滤表项,所述预设黑名单包括记录有攻击报文的特征信息、接收所述攻击报文的入接口的标识的过滤表项;
若所述预设黑名单中不存在包含接收所述待检测报文的入接口的标识、所述待检测报文的特征信息的过滤表项,则按照预设的安全检测规则检测所述待检测报文是否为攻击报文;
根据检测结果,对所述待检测报文进行处理。
可选的,所述方法还包括:
若所述预设黑名单中存在包含接收所述待检测报文的入接口的标识、所述待检测报文的特征信息的过滤表项,则丢弃所述待检测报文。
可选的,所述待检测报文的特征信息还包括虚拟局域网VLAN标识;
所述网络设备中接收所述待检测报文的入接口的标识包括入接口名称和/或入接口媒体访问控制MAC地址。
可选的,所述根据检测结果,对所述待检测报文进行处理,包括:
若检测结果是所述待检测报文为攻击报文,则将接收所述待检测报文的入接口的标识和所述待检测报文的特征信息作为一条过滤表项的信息记录至所述预设黑名单中;
若检测结果是所述待检测报文不为攻击报文,则放行所述待检测报文。
可选的,所述方法还包括:
在检测到所述网络设备的第一入接口的接口信息发生变更时,确定所述第一入接口变更前的第一接口信息和变更后的第二接口信息,所述接口信息包括入接口名称和/或入接口MAC地址;
若所述预设黑名单中存在包含所述第一接口信息的第一过滤表项,则将所述第一过滤表项中的所述第一接口信息更改为所述第二接口信息。
可选的,所述方法还包括:
在检测到所述网络设备的第二入接口被删除时,确定所述第二入接口的入接口名称和/或入接口MAC地址;
若所述预设黑名单中存在包含所述第二入接口的入接口名称和/或入接口MAC地址的第二过滤表项,则将所述预设黑名单中的所述第二过滤表项删除。
第二方面,提供了一种报文过滤装置,所述装置应用于网络设备,所述装置包括:
获取模块,用于获取接收到的待检测报文的特征信息,及所述网络设备中接收所述待检测报文的入接口的标识,所述待检测报文的特征信息包括所述待检测报文的源互联网协议IP地址;
查询模块,用于查询预设黑名单中是否存在包含接收所述待检测报文的入接口的标识、所述待检测报文的特征信息的过滤表项,所述预设黑名单包括记录有攻击报文的特征信息、接收所述攻击报文的入接口的标识的过滤表项;
检测模块,用于若所述预设黑名单中不存在包含接收所述待检测报文的入接口的标识、所述待检测报文的特征信息的过滤表项,则按照预设的安全检测规则检测所述待检测报文是否为攻击报文;
处理模块,用于根据检测结果,对所述待检测报文进行处理。
可选的,所述装置还包括:
丢弃模块,用于若所述预设黑名单中存在包含接收所述待检测报文的入接口的标识、所述待检测报文的特征信息的过滤表项,则丢弃所述待检测报文。
可选的,所述待检测报文的特征信息还包括虚拟局域网VLAN标识;
所述网络设备中接收所述待检测报文的入接口的标识包括入接口名称和/或入接口媒体访问控制MAC地址。
可选的,所述处理模块具体用于:
若检测结果是所述待检测报文为攻击报文,则将接收所述待检测报文的入接口的标识和所述待检测报文的特征信息作为一条过滤表项的信息记录至所述预设黑名单中;
若检测结果是所述待检测报文不为攻击报文,则放行所述待检测报文。
可选的,所述装置还包括:
第一确定模块,用于在检测到所述网络设备的第一入接口的接口信息发生变更时,确定所述第一入接口变更前的第一接口信息和变更后的第二接口信息,所述接口信息包括入接口名称和/或入接口MAC地址;
变更模块,用于若所述预设黑名单中存在包含所述第一接口信息的第一过滤表项,则将所述第一过滤表项中的所述第一接口信息更改为所述第二接口信息。
可选的,所述装置还包括:
第二确定模块,用于在检测到所述网络设备的第二入接口被删除时,确定所述第二入接口的入接口名称和/或入接口MAC地址;
删除模块,用于若所述预设黑名单中存在包含所述第二入接口的入接口名称和/或入接口MAC地址的第二过滤表项,则将所述预设黑名单中的所述第二过滤表项删除。
第三方面,提供了一种网络设备,包括处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器被所述机器可执行指令促使:实现第一方面所述的方法步骤。
第四方面,提供了一种计算机可读存储介质,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现第一方面所述的方法步骤。
第五方面,提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行第一方面所述的方法。
本申请实施例提供的一种报文过滤方法及装置,可以获取接收到的待检测报文的特征信息,及网络设备中接收待检测报文的入接口的标识,待检测报文的特征信息包括待检测报文的源互联网协议IP地址;查询预设黑名单中是否存在包含接收待检测报文的入接口的标识、待检测报文的特征信息的过滤表项,预设黑名单包括记录有攻击报文的特征信息、接收攻击报文的入接口的标识的过滤表项;若预设黑名单中不存在包含接收待检测报文的入接口的标识、待检测报文的特征信息的过滤表项,则按照预设的安全检测规则检测待检测报文是否为攻击报文;根据检测结果,对待检测报文进行处理。
本申请的方案中,以预设黑名单中记录有攻击报文的特征信息、接收该攻击报文的入接口的标识的过滤表项对待检测报文进行过滤,因入接口的标识难以仿冒,所以可以避免现有技术中因合法终端的IP地址被攻击终端仿冒,而造成合法终端无法无法访问网络的问题。
当然,实施本申请的任一产品或方法并不一定需要同时达到以上所述的所有优点。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的一种报文过滤方法流程图;
图2为本申请实施例提供的一种报文过滤方法流程图;
图3为本申请实施例提供的一种报文过滤装置的结构示意图;
图4为本申请实施例提供的一种电子设备的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本申请实施例提供了一种报文过滤方法,应用于网络设备,比如防火墙设备、负载均衡设备。网络设备可以提取接收到的待检测报文的特征信息。其中待检测报文的特征信息包括待检测报文的源IP地址和入接口MAC地址。网络设备可以判断待检测报文的特征信息是否属于预设的黑名单中的攻击报文特征信息。若待检测报文的特征信息属于黑名单中的攻击报文特征信息,则网络设备丢弃待检测报文。本申请的方案中,在待检测报文的包含源IP地址和入接口MAC地址的特征信息属于黑名单中的攻击报文特征信息时,网络设备才丢弃待检测报文。因入接口MAC地址无法仿冒,所以可以避免现有技术中因合法终端的IP地址被攻击终端仿冒,而造成合法终端无法无法访问网络的问题。
下面将结合具体实施方式,对本申请实施例提供的一种报文过滤方法进行详细的说明,如图1所示,具体步骤如下:
步骤101,获取接收到的待检测报文的特征信息,及网络设备中接收待检测报文的入接口的标识,待检测报文的特征信息包括待检测报文的源互联网协议IP地址。
其中,待检测报文的特征信息还包括VLAN(Virtual Local Area Network,虚拟局域网)标识,网络设备中接收待检测报文的入接口的标识包括入接口名称和/或入接口媒体访问控制MAC地址。
本申请实施例中,用户终端可以向网络设备发送待检测报文,待检测报文可以通过网络设备的入接口进入网络设备。网络设备在接收到待检测报文后,可以解析待检测报文,获取待检测报文的特征信息,比如源IP地址、VLAN标识。网络设备还可以获取待检报文通过的网络设备的入接口的标识,比如入接口MAC地址、入接口名称。
步骤102,查询预设黑名单中是否存在包含接收待检测报文的入接口的标识、待检测报文的特征信息的过滤表项。
其中,预设黑名单包括记录有攻击报文的特征信息、接收该攻击报文的入接口的标识的过滤表项。
本申请实施例中,网络设备中预先设置有黑名单,黑名单包括记录有攻击报文的特征信息、接收该攻击报文的入接口的标识的过滤表项。参见表一,表一为本申请实施例提供的一种黑名单示例。表一中包括二条过滤表项,第一条过滤表项包括:第一攻击报文的源IP地址2.1.1.1、接收第一攻击报文的入接口的入接口MAC地址0000-0000-0000-0001、接收第一攻击报文的入接口的入接口名称A。第一条过滤表项的加入原因为扫描攻击,第一条过滤表项的老化时间为60分钟。第二条过滤表项包括:第二攻击报文的源IP地址3.1.1.1、接收第二攻击报文的入接口的入接口MAC地址0000-0000-0000-0001、接收第二攻击报文的入接口的入接口名称A。第二条过滤表项的加入原因为扫描攻击,第一条过滤表项的老化时间为60分钟。
表一
| 源IP地址 | 入接口MAC地址 | 入接口名称 | 加入原因 | 老化时间 |
| 2.1.1.1 | 0000-0000-0000-0001 | A | 扫描攻击 | 60分钟 |
| 3.1.1.1 | 0000-0000-0000-0002 | B | 扫描攻击 | 60分钟 |
网络设备可以查询预设黑名单中是否存在包含接收待检测报文的入接口的标识、待检测报文的特征信息的过滤表项。例如,在待检测报文的特征信息包括源IP地址2.1.1.1,接收待检测报文的入接口的标识包括入接口MAC地址0000-0000-0000-0001和入接口名称A时,预设黑名单中的第二条过滤表项包括待检测报文的源IP地址2.1.1.1、接收待检测报文的入接口的入接口MAC地址0000-0000-0000-0001和入接口名称A,则网络设备确定预设黑名单中存在包含接收待检测报文的入接口的标识、待检测报文的特征信息的过滤表项。在待检测报文的特征信息包括源IP地址3.1.1.1,接收待检测报文的入接口的标识包括入接口MAC地址0000-0000-0000-0001和入接口名称A时,预设黑名单中不存在包括待检测报文的源IP地址3.1.1.1、接收待检测报文的入接口的入接口MAC地址0000-0000-0000-0001和入接口名称A的过滤表项,则网络设备确定预设黑名单中是不存在包含接收待检测报文的入接口的标识、待检测报文的特征信息的过滤表项。
其中,黑名单中还设置有过滤表项的老化时间,如表1所示,第一条过滤表项的老化时间为60分钟,在黑名单中的第一条过滤表项未被触发(即,网络设备未能依据第一条过滤表项过滤掉接收到的报文)的时长达到老化时间60分钟时,网络设备删除黑名单中的第一条过滤表项。
步骤103,若预设黑名单中不存在包含接收待检测报文的入接口的标识、待检测报文的特征信息的过滤表项,则按照预设的安全检测规则检测待检测报文是否为攻击报文。
其中,预设的安全检查规则可以为传统的报文安全检测规则,本申请实施例在此不再赘述。
可选的,若预设黑名单中存在包含接收待检测报文的入接口的标识、待检测报文的特征信息的过滤表项,则丢弃待检测报文。
本申请实施例中,若预设黑名单中存在包含接收待检测报文的入接口的标识、待检测报文的特征信息的过滤表项,则表明待检测报文为攻击报文,网络设备可以丢弃待检测报文。
步骤104,根据检测结果,对待检测报文进行处理。
本申请实施例中,网络设备可以根据检测结果,对待检测报文进行处理,具体处理过程可以包括:若检测结果是待检测报文为攻击报文,则将接收待检测报文的入接口的标识和待检测报文的特征信息作为一条过滤表项的信息记录至预设黑名单中;若检测结果是待检测报文不为攻击报文,则放行待检测报文。
本申请实施例中,若待检测报文为攻击报文,则表明网络设备未能依据当前的黑名单将该待检测报文过滤掉,则网络设备可以将接收该待检测报文的入接口的标识和该待检测报文的特征信息作为一条过滤表项的信息记录至预设黑名单中,以在网络设备再次接收到该待检测报文对应的用户终端再次发送的报文时,网络设备可以依据黑名单将该待检测报文对应的用户终端再次发送的报文过滤掉。若待检测报文不为攻击报文,则网络设备放行待检测报文。
本申请的方案中,以预设黑名单中记录有攻击报文的特征信息、接收该攻击报文的入接口的标识的过滤表项对待检测报文进行过滤,因入接口的标识难以仿冒,所以可以避免现有技术中因合法终端的IP地址被攻击终端仿冒,而造成合法终端无法无法访问网络的问题。
可选的,在网络设备的入接口发生变更时,网络设备还需对预设黑名单中过滤表项中的入接口的标识进行更新,具体处理过程为:在检测到网络设备的第一入接口的接口信息发生变更时,确定第一入接口变更前的第一接口信息和变更后的第二接口信息,接口信息包括入接口名称和/或入接口MAC地址;若预设黑名单中存在包含第一接口信息的第一过滤表项,则将第一过滤表项中的第一接口信息更改为第二接口信息。
本申请实施例中,用户可以更改网络设备的入接口的接口信息,比如入接口名称。网络设备在检测到网络设备的第一入接口发生变更时,网络设备可以确定第一入接口变更前的第一接口信息和变更后的第二接口信息。其中,第一入接口为网络设备的任一入接口。网络设备可以判断黑名单中存在包含第一接口信息的第一过滤表项。若黑名单中存在包含第一接口信息的第一过滤表项,则网络设备可以将将第一过滤表项中的第一接口信息更改为第二接口信息。
例如,用户可以向网络设备输入第一入接口的入接口名称更改指令,入接口名称更改指令包括:更改后的入接口名称B。网络设备在接收到第一入接口的入接口名称更改指令后,可以将第一入接口的入接口名称更改为入接口名称B。其中,在检测到入接口名称更改指令后,用户设备可以获取第一入接口更改前的接口名称A和更改后的入接口名称B。然后,网络设备可以判断黑名单中存在包含接口名称A的第一过滤表项。若黑名单中存在包含接口名称A的第一过滤表项,则网络设备可以将第一过滤表项中的接口名称A更改为接口名称B。
这样,在网络设备的入接口变更时,可以更新黑名单中过滤表项中的入接口的接口信息,防止黑名单中的过滤表项失效。
可选的,在网络设备的入接口被删除时,网络设备删除黑名单中相应的过滤表项,具体处理过程为:在检测到网络设备的第二入接口被删除时,确定第二入接口的入接口名称和/或入接口MAC地址;若黑名单中存在包含第二入接口的入接口名称和/或入接口MAC地址的第二过滤表项,则将预设黑名单中的第二过滤表项删除。
本申请实施例中,用户可以删除网络设备的入接口。例如,用户可以向网络设备输入第二入接口的删除指令,其中,第二入接口可以为网络设备中的任一入接口,网络设备在检测到第二入接口的删除指令后,可以删除网络设备中的第二入接口。其中,网络设备在检测到第二入接口的删除指令时,还可以确定第二入接口的入接口名称和/或入接口MAC地址。若黑名单中存在包含第二入接口的入接口名称和/或入接口MAC地址的第二过滤表项,则将黑名单中的第二过滤表项删除。
这样,在网络设备的入接口删除时,可以将黑名单中相应的过滤表项删除,防止黑名单中无效的过滤表项过多。
具体地,本申请实施例中,第一种实施方式为:若一个入接口的接口名称/入接口MAC地址能唯一标识该一个入接口,则可在确定发生入接口信息变更/入接口删除事件时,根据该入接口的接口名称/MAC地址确定黑名单中对应的过滤表项,并对该过滤表项进行变更/删除处理。
例如,假设入接口1的MAC地址1能够唯一标识入接口1,那么,在确定入接口1的接口信息发生变更时,即可根据MAC地址1确定黑名单表项中与该MAC地址1对应的过滤表项,并更改该过滤表项中入接口1的接口信息。
又例如,假设入接口2的接口名称2能够唯一标识入接口2,那么,在确定入接口2删除时,即可根据接口名称2确定黑名单表项中与该接口名称2对应的过滤表项,并删除该过滤表项。
第二种实施方式为:若一个入接口的接口名称和MAC地址唯一标识该一个入接口,则可在确定发生入接口信息变更/入接口删除事件时,根据该入接口的接口名称/MAC地址确定黑名单中对应的过滤表项,并对该过滤表项进行变更/删除处理。
具体的,在上述第二种实施方式中,当一个物理接口下虚拟出多个虚拟接口时,此时,该多个虚拟接口的MAC地址可能是同一个(即该一个物理接口的MAC地址),且不同物理接口下虚拟出的多个虚拟接口的接口名称可能相同(如,同为虚拟接口1),在此应用场景下,一个虚拟接口的MAC地址/接口名称就不能唯一标识该一个虚拟接口,此时,就需要使用该一个虚拟接口的MAC地址和接口名称来唯一标识该一个虚拟接口。
本申请实施例还提供了一种报文过滤方法的示意图,如图2所示,具体步骤如下:
步骤201,获取接收到的待检测报文的特征信息,及网络设备中接收待检测报文的入接口的标识。
步骤202,查询预设黑名单中是否存在包含接收待检测报文的入接口的标识、待检测报文的特征信息的过滤表项。
步骤203,若存在,丢弃待检测报文。
步骤204,若不存在,按照预设的安全检测规则,检测待检测报文是否为攻击报文。
步骤205,若待检测报文为攻击报文,则将接收待检测报文的入接口的标识和待检测报文的特征信息作为一条过滤表项的信息记录至预设黑名单中。
步骤206,若待检测报文不为攻击报文,则放行待检测报文。
其中,步骤201-步骤206的具体处理过程可以参考步骤101-步骤104,本申请实施例在此不再赘述。
基于相同的技术构思,如图3所示,本申请实施例还提供了一种报文过滤装置,所述装置应用于网络设备,所述装置包括:
获取模块301,用于获取接收到的待检测报文的特征信息,及所述网络设备中接收所述待检测报文的入接口的标识,所述待检测报文的特征信息包括所述待检测报文的源互联网协议IP地址;
查询模块302,用于查询预设黑名单中是否存在包含接收所述待检测报文的入接口的标识、所述待检测报文的特征信息的过滤表项,所述预设黑名单包括记录有攻击报文的特征信息、接收所述攻击报文的入接口的标识的过滤表项;
检测模块303,用于若所述预设黑名单中不存在包含接收所述待检测报文的入接口的标识、所述待检测报文的特征信息的过滤表项,则按照预设的安全检测规则检测所述待检测报文是否为攻击报文;
处理模块304,用于根据检测结果,对所述待检测报文进行处理。
可选的,所述装置还包括:
丢弃模块,用于若所述预设黑名单中存在包含接收所述待检测报文的入接口的标识、所述待检测报文的特征信息的过滤表项,则丢弃所述待检测报文。
可选的,所述待检测报文的特征信息还包括虚拟局域网VLAN标识;
所述网络设备中接收所述待检测报文的入接口的标识包括入接口名称和/或入接口媒体访问控制MAC地址。
可选的,所述处理模块304具体用于:
若检测结果是所述待检测报文为攻击报文,则将接收所述待检测报文的入接口的标识和所述待检测报文的特征信息作为一条过滤表项的信息记录至所述预设黑名单中;
若检测结果是所述待检测报文不为攻击报文,则放行所述待检测报文。
可选的,所述装置还包括:
第一确定模块,用于在检测到所述网络设备的第一入接口的接口信息发生变更时,确定所述第一入接口变更前的第一接口信息和变更后的第二接口信息,所述接口信息包括入接口名称和/或入接口MAC地址;
变更模块,用于若所述预设黑名单中存在包含所述第一接口信息的第一过滤表项,则将所述第一过滤表项中的所述第一接口信息更改为所述第二接口信息。
可选的,所述装置还包括:
第二确定模块,用于在检测到所述网络设备的第二入接口被删除时,确定所述第二入接口的入接口名称和/或入接口MAC地址;
删除模块,用于若所述预设黑名单中存在包含所述第二入接口的入接口名称和/或入接口MAC地址的第二过滤表项,则将所述预设黑名单中的所述第二过滤表项删除。
本申请实施例还提供了一种电子设备,如图4所示,包括处理器401、通信接口402、存储器403和通信总线404,其中,处理器401,通信接口402,存储器403通过通信总线404完成相互间的通信,
存储器403,用于存放计算机程序;
处理器401,用于执行存储器403上所存放的程序时,实现如下步骤:
获取接收到的待检测报文的特征信息,及所述网络设备中接收所述待检测报文的入接口的标识,所述待检测报文的特征信息包括所述待检测报文的源互联网协议IP地址;
查询预设黑名单中是否存在包含接收所述待检测报文的入接口的标识、所述待检测报文的特征信息的过滤表项,所述预设黑名单包括记录有攻击报文的特征信息、接收所述攻击报文的入接口的标识的过滤表项;
若所述预设黑名单中不存在包含接收所述待检测报文的入接口的标识、所述待检测报文的特征信息的过滤表项,则按照预设的安全检测规则检测所述待检测报文是否为攻击报文;
根据检测结果,对所述待检测报文进行处理。
可选的,所述方法还包括:
若所述预设黑名单中存在包含接收所述待检测报文的入接口的标识、所述待检测报文的特征信息的过滤表项,则丢弃所述待检测报文。
可选的,所述待检测报文的特征信息还包括虚拟局域网VLAN标识;
所述网络设备中接收所述待检测报文的入接口的标识包括入接口名称和/或入接口媒体访问控制MAC地址。
可选的,所述根据检测结果,对所述待检测报文进行处理,包括:
若检测结果是所述待检测报文为攻击报文,则将接收所述待检测报文的入接口的标识和所述待检测报文的特征信息作为一条过滤表项的信息记录至所述预设黑名单中;
若检测结果是所述待检测报文不为攻击报文,则放行所述待检测报文。
可选的,所述方法还包括:
在检测到所述网络设备的第一入接口的接口信息发生变更时,确定所述第一入接口变更前的第一接口信息和变更后的第二接口信息,所述接口信息包括入接口名称和/或入接口MAC地址;
若所述预设黑名单中存在包含所述第一接口信息的第一过滤表项,则将所述第一过滤表项中的所述第一接口信息更改为所述第二接口信息。
可选的,所述方法还包括:
在检测到所述网络设备的第二入接口被删除时,确定所述第二入接口的入接口名称和/或入接口MAC地址;
若所述预设黑名单中存在包含所述第二入接口的入接口名称和/或入接口MAC地址的第二过滤表项,则将所述预设黑名单中的所述第二过滤表项删除。
上述电子设备提到的通信总线可以是外设部件互连标准(Peripheral ComponentInterconnect,PCI)总线或扩展工业标准结构(Extended Industry StandardArchitecture,EISA)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示,图中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
通信接口用于上述电子设备与其他设备之间的通信。
存储器可以包括随机存取存储器(Random Access Memory,RAM),也可以包括非易失性存储器(Non-Volatile Memory,NVM),例如至少一个磁盘存储器。可选的,存储器还可以是至少一个位于远离前述处理器的存储装置。
上述的处理器可以是通用处理器,包括中央处理器(Central Processing Unit,CPU)、网络处理器(Network Processor,NP)等;还可以是数字信号处理器(Digital SignalProcessing,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
在本申请提供的又一实施例中,还提供了一种计算机可读存储介质,该计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现上述任一报文过滤方法的步骤。
在本申请提供的又一实施例中,还提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述实施例中任一报文过滤方法。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘Solid State Disk(SSD))等。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置、电子设备、计算机可读存储介质、计算机程序产品实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上所述仅为本申请的较佳实施例而已,并非用于限定本申请的保护范围。凡在本申请的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本申请的保护范围内。
Claims (14)
1.一种报文过滤方法,其特征在于,所述方法应用于网络设备,所述方法包括:
获取接收到的待检测报文的特征信息,及所述网络设备中接收所述待检测报文的入接口的标识,所述待检测报文的特征信息包括所述待检测报文的源互联网协议IP地址;
查询预设黑名单中是否存在包含接收所述待检测报文的入接口的标识、所述待检测报文的特征信息的过滤表项,所述预设黑名单包括记录有攻击报文的特征信息、接收所述攻击报文的入接口的标识的过滤表项;
若所述预设黑名单中不存在包含接收所述待检测报文的入接口的标识、所述待检测报文的特征信息的过滤表项,则按照预设的安全检测规则检测所述待检测报文是否为攻击报文;
根据检测结果,对所述待检测报文进行处理。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
若所述预设黑名单中存在包含接收所述待检测报文的入接口的标识、所述待检测报文的特征信息的过滤表项,则丢弃所述待检测报文。
3.根据权利要求1所述的方法,其特征在于,所述待检测报文的特征信息还包括虚拟局域网VLAN标识;
所述网络设备中接收所述待检测报文的入接口的标识包括入接口名称和/或入接口媒体访问控制MAC地址。
4.根据权利要求1所述的方法,其特征在于,所述根据检测结果,对所述待检测报文进行处理,包括:
若检测结果是所述待检测报文为攻击报文,则将接收所述待检测报文的入接口的标识和所述待检测报文的特征信息作为一条过滤表项的信息记录至所述预设黑名单中;
若检测结果是所述待检测报文不为攻击报文,则放行所述待检测报文。
5.根据权利要求1所述的方法,其特征在于,所述方法还包括:
在检测到所述网络设备的第一入接口的接口信息发生变更时,确定所述第一入接口变更前的第一接口信息和变更后的第二接口信息,所述接口信息包括入接口名称和/或入接口MAC地址;
若所述预设黑名单中存在包含所述第一接口信息的第一过滤表项,则将所述第一过滤表项中的所述第一接口信息更改为所述第二接口信息。
6.根据权利要求1所述的方法,其特征在于,所述方法还包括:
在检测到所述网络设备的第二入接口被删除时,确定所述第二入接口的入接口名称和/或入接口MAC地址;
若所述预设黑名单中存在包含所述第二入接口的入接口名称和/或入接口MAC地址的第二过滤表项,则将所述预设黑名单中的所述第二过滤表项删除。
7.一种报文过滤装置,其特征在于,所述装置应用于网络设备,所述装置包括:
获取模块,用于获取接收到的待检测报文的特征信息,及所述网络设备中接收所述待检测报文的入接口的标识,所述待检测报文的特征信息包括所述待检测报文的源互联网协议IP地址;
查询模块,用于查询预设黑名单中是否存在包含接收所述待检测报文的入接口的标识、所述待检测报文的特征信息的过滤表项,所述预设黑名单包括记录有攻击报文的特征信息、接收所述攻击报文的入接口的标识的过滤表项;
检测模块,用于若所述预设黑名单中不存在包含接收所述待检测报文的入接口的标识、所述待检测报文的特征信息的过滤表项,则按照预设的安全检测规则检测所述待检测报文是否为攻击报文;
处理模块,用于根据检测结果,对所述待检测报文进行处理。
8.根据权利要求7所述的装置,其特征在于,所述装置还包括:
丢弃模块,用于若所述预设黑名单中存在包含接收所述待检测报文的入接口的标识、所述待检测报文的特征信息的过滤表项,则丢弃所述待检测报文。
9.根据权利要求7所述的装置,其特征在于,所述待检测报文的特征信息还包括虚拟局域网VLAN标识;
所述网络设备中接收所述待检测报文的入接口的标识包括入接口名称和/或入接口媒体访问控制MAC地址。
10.根据权利要求7所述的装置,其特征在于,所述处理模块具体用于:
若检测结果是所述待检测报文为攻击报文,则将接收所述待检测报文的入接口的标识和所述待检测报文的特征信息作为一条过滤表项的信息记录至所述预设黑名单中;
若检测结果是所述待检测报文不为攻击报文,则放行所述待检测报文。
11.根据权利要求7所述的装置,其特征在于,所述装置还包括:
第一确定模块,用于在检测到所述网络设备的第一入接口的接口信息发生变更时,确定所述第一入接口变更前的第一接口信息和变更后的第二接口信息,所述接口信息包括入接口名称和/或入接口MAC地址;
变更模块,用于若所述预设黑名单中存在包含所述第一接口信息的第一过滤表项,则将所述第一过滤表项中的所述第一接口信息更改为所述第二接口信息。
12.根据权利要求7所述的装置,其特征在于,所述装置还包括:
第二确定模块,用于在检测到所述网络设备的第二入接口被删除时,确定所述第二入接口的入接口名称和/或入接口MAC地址;
删除模块,用于若所述预设黑名单中存在包含所述第二入接口的入接口名称和/或入接口MAC地址的第二过滤表项,则将所述预设黑名单中的所述第二过滤表项删除。
13.一种网络设备,其特征在于,包括处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器被所述机器可执行指令促使:实现权利要求1-6任一所述的方法步骤。
14.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现权利要求1-6任一所述的方法步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910639727.7A CN110381053A (zh) | 2019-07-16 | 2019-07-16 | 一种报文过滤方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910639727.7A CN110381053A (zh) | 2019-07-16 | 2019-07-16 | 一种报文过滤方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110381053A true CN110381053A (zh) | 2019-10-25 |
Family
ID=68253362
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910639727.7A Pending CN110381053A (zh) | 2019-07-16 | 2019-07-16 | 一种报文过滤方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110381053A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114244608A (zh) * | 2021-12-16 | 2022-03-25 | 上海思源弘瑞自动化有限公司 | 一种报文处理方法、装置、电子设备及存储介质 |
| CN114374569A (zh) * | 2022-03-22 | 2022-04-19 | 北京指掌易科技有限公司 | 一种报文的检测方法、装置、电子设备和存储介质 |
| CN115118493A (zh) * | 2022-06-27 | 2022-09-27 | 北京天融信网络安全技术有限公司 | 报文查询方法、装置、电子设备及存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1874303A (zh) * | 2006-03-04 | 2006-12-06 | 华为技术有限公司 | 一种黑名单实现的方法 |
| CN101039176A (zh) * | 2007-04-25 | 2007-09-19 | 华为技术有限公司 | 一种dhcp监听方法及其装置 |
| CN101179583A (zh) * | 2007-12-17 | 2008-05-14 | 杭州华三通信技术有限公司 | 一种防止用户假冒上网的方法及设备 |
| CN102325092A (zh) * | 2011-10-27 | 2012-01-18 | 杭州华三通信技术有限公司 | 一种报文处理方法和设备 |
| CN106470214A (zh) * | 2016-10-21 | 2017-03-01 | 杭州迪普科技股份有限公司 | 攻击检测方法和装置 |
| KR101909957B1 (ko) * | 2018-04-03 | 2018-12-19 | 큐비트시큐리티 주식회사 | 실시간 웹 해킹 탐지를 위한 웹 트래픽 로깅 시스템 및 방법 |
-
2019
- 2019-07-16 CN CN201910639727.7A patent/CN110381053A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1874303A (zh) * | 2006-03-04 | 2006-12-06 | 华为技术有限公司 | 一种黑名单实现的方法 |
| CN101039176A (zh) * | 2007-04-25 | 2007-09-19 | 华为技术有限公司 | 一种dhcp监听方法及其装置 |
| CN101179583A (zh) * | 2007-12-17 | 2008-05-14 | 杭州华三通信技术有限公司 | 一种防止用户假冒上网的方法及设备 |
| CN102325092A (zh) * | 2011-10-27 | 2012-01-18 | 杭州华三通信技术有限公司 | 一种报文处理方法和设备 |
| CN106470214A (zh) * | 2016-10-21 | 2017-03-01 | 杭州迪普科技股份有限公司 | 攻击检测方法和装置 |
| KR101909957B1 (ko) * | 2018-04-03 | 2018-12-19 | 큐비트시큐리티 주식회사 | 실시간 웹 해킹 탐지를 위한 웹 트래픽 로깅 시스템 및 방법 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114244608A (zh) * | 2021-12-16 | 2022-03-25 | 上海思源弘瑞自动化有限公司 | 一种报文处理方法、装置、电子设备及存储介质 |
| CN114374569A (zh) * | 2022-03-22 | 2022-04-19 | 北京指掌易科技有限公司 | 一种报文的检测方法、装置、电子设备和存储介质 |
| CN114374569B (zh) * | 2022-03-22 | 2022-07-05 | 北京指掌易科技有限公司 | 一种报文的检测方法、装置、电子设备和存储介质 |
| CN115118493A (zh) * | 2022-06-27 | 2022-09-27 | 北京天融信网络安全技术有限公司 | 报文查询方法、装置、电子设备及存储介质 |
| CN115118493B (zh) * | 2022-06-27 | 2023-11-10 | 北京天融信网络安全技术有限公司 | 报文查询方法、装置、电子设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109889547B (zh) | 一种异常网络设备的检测方法及装置 | |
| CN101588247B (zh) | 用于检测服务器的漏洞的系统和方法 | |
| US8032937B2 (en) | Method, apparatus, and computer program product for detecting computer worms in a network | |
| EP2800333B1 (en) | Method, apparatus and device for detecting an e-mail bomb | |
| CN110381053A (zh) | 一种报文过滤方法及装置 | |
| CN107743701A (zh) | 基于恶意软件相似性和在线信任度的对事件的全局聚类 | |
| JP5050781B2 (ja) | マルウエア検出装置、監視装置、マルウエア検出プログラム、およびマルウエア検出方法 | |
| CN112702383A (zh) | 收集误差分组信息以进行网络策略实施 | |
| CN108881211A (zh) | 一种违规外联检测方法及装置 | |
| US8074279B1 (en) | Detecting rogue access points in a computer network | |
| JP2010508598A (ja) | ストリング分析を利用する1つまたは複数のパケット・ネットワークでの望まれないトラフィックを検出する方法および装置 | |
| KR20120099572A (ko) | 실시간 스팸 탐색 시스템 | |
| WO2014185394A1 (ja) | 中継装置および中継装置の制御方法 | |
| CN110166480A (zh) | 一种数据包的分析方法及装置 | |
| JP2015095159A (ja) | 評価方法及び評価装置 | |
| JP2016146114A (ja) | ブラックリストの管理方法 | |
| CN108390856A (zh) | 一种DDoS攻击检测方法、装置及电子设备 | |
| JP5286018B2 (ja) | 情報処理装置、プログラム、および記録媒体 | |
| CN112511517A (zh) | 一种邮件检测方法、装置、设备及介质 | |
| CN110191131A (zh) | 一种文件共享方法、装置、系统、服务器及存储介质 | |
| US20150215333A1 (en) | Network filtering apparatus and filtering method | |
| JP6233414B2 (ja) | 情報処理装置、フィルタリングシステム、フィルタリング方法、及びフィルタリングプログラム | |
| CN108183884A (zh) | 一种网络攻击判定方法及装置 | |
| CN101826991A (zh) | 非法数据包识别方法和系统 | |
| CN109347810A (zh) | 一种处理报文的方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20191025 |