CN110392034B - 一种报文处理方法及装置 - Google Patents

一种报文处理方法及装置 Download PDF

Info

Publication number
CN110392034B
CN110392034B CN201811141921.4A CN201811141921A CN110392034B CN 110392034 B CN110392034 B CN 110392034B CN 201811141921 A CN201811141921 A CN 201811141921A CN 110392034 B CN110392034 B CN 110392034B
Authority
CN
China
Prior art keywords
message
preset
determining
preset time
table entry
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201811141921.4A
Other languages
English (en)
Other versions
CN110392034A (zh
Inventor
张晓红
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
New H3C Security Technologies Co Ltd
Original Assignee
New H3C Security Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by New H3C Security Technologies Co Ltd filed Critical New H3C Security Technologies Co Ltd
Priority to CN201811141921.4A priority Critical patent/CN110392034B/zh
Priority to EP19865572.2A priority patent/EP3840323B1/en
Priority to US17/275,921 priority patent/US20220038426A1/en
Priority to JP2021516455A priority patent/JP7171904B2/ja
Priority to PCT/CN2019/108517 priority patent/WO2020063853A1/zh
Publication of CN110392034A publication Critical patent/CN110392034A/zh
Application granted granted Critical
Publication of CN110392034B publication Critical patent/CN110392034B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0254Stateful filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Abstract

本申请实施例提供了一种报文处理方法及装置,应用于网络设备,方法包括:接收第一报文;在第一报文成功通过基础检测后,确定预设时长内接收到的第二报文的数量,第二报文的报文信息与第一报文的第一报文信息相同;判断数量是否大于预设数量阈值;若是,则清除快速转发表中的第一表项;第一表项包括第一报文的第二报文信息;对第一报文进行攻击检测。应用本申请实施例,有效的降低了网络设备中存在的安全风险。

Description

一种报文处理方法及装置
技术领域
本申请涉及通信技术领域,特别是涉及一种报文处理方法及装置。
背景技术
目前,防火墙设备在进行报文转发时,为了加快报文的转发效率,防火墙设备会开启快速转发功能。在开启快速转发功能后,防火墙设备中生成快速转发表。防火墙设备接收报文,对报文进行格式检测、长度检测、关键字节检测等基础检测。
若报文成功通过基础检测,但快速转发表中不存在包括报文的报文信息(例如五元组信息)的表项,则防火墙设备确定报文为一个业务的第一个报文,将报文上送CPU(Central Processing Unit,中央处理器),进行攻击检测。
若报文成功通过基础检测,且快速转发表中存在包括报文的报文信息(例如五元组信息)的表项,则防火墙设备确定报文不是一个业务的第一个报文,直接将转发报文。基于此,攻击者可利用快速转发表中已存在的表项数据,对防火墙设备发起攻击,从而导致防火墙设备中存在很大的安全风险。
发明内容
本申请实施例的目的在于提供一种报文处理方法及装置,以降低网络设备中存在的安全风险。具体技术方案如下:
第一方面,本申请实施例提供了一种报文处理方法,应用于网络设备,所述方法包括:
接收第一报文;
在所述第一报文成功通过基础检测后,确定预设时长内接收到的第二报文的数量,所述第二报文的报文信息与第一报文的第一报文信息相同;
判断所述数量是否大于预设数量阈值;
若是,则清除快速转发表中的第一表项;所述第一表项包括所述第一报文的第二报文信息;
对所述第一报文进行攻击检测。
结合第一方面,在第一种可能的实现方式中,所述接收第一报文,包括:
通过第一接口接收第一报文;所述第一接口位于第一安全域;
所述确定预设时长内接收到的第二报文的数量,包括:
确定与所述第一安全域对应的预设时长内,通过位于所述第一安全域的所有接口接收到的第二报文的数量;
所述判断所述数量是否大于预设数量阈值,包括:
判断所述数量是否大于与所述第一安全域对应的预设数量阈值。
结合第一方面,在第二种可能的实现方式中,所述确定预设时长内接收到的第二报文的数量,包括:
根据预设时长和所述预设时长内接收第二报文的速率,确定所述预设时长内接收到的第二报文的数量。
结合第一方面的第二种可能的实现方式,在第三种可能的实现方式中,所述根据预设时长和所述预设时长内接收第二报文的速率,确定所述预设时长内接收到的第二报文的数量,包括:
利用以下公式,确定预设时长内接收到的第二报文的数量S:
S=t×v(1+Δs%);
其中,t为所述预设时长,v为所述预设时长内接收第二报文的速率,Δs为预设容忍度,Δs的取值范围为0-100。
结合第一方面,在第四种可能的实现方式中,所述清除快速转发表中的第一表项,包括:
检测快速转发表中是否存在第一表项;
若存在,则清除所述第一表项。
结合第一方面,在第五种可能的实现方式中,若所述数量不大于预设数量阈值,所述方法还包括:
检测所述快速转发表中是否存在所述第一表项;
若存在,则对所述第一报文进行攻击检测;
若不存在,则转发所述第一报文。
第二方面,本申请实施例提供了一种报文处理装置,应用于已开启快速转发功能的网络设备,所述装置包括:
接收模块,用于接收第一报文;
确定模块,用于在所述第一报文成功通过基础检测后,确定预设时长内接收到的第二报文的数量,所述第二报文的报文信息与第一报文的第一报文信息相同;
判断模块,用于判断所述数量是否大于预设数量阈值;
清除模块,用于在所述判断模块的判断结果为是的情况下,清除快速转发表中的第一表项;所述第一表项包括所述第一报文的第二报文信息;
处理模块,用于对所述第一报文进行攻击检测。
结合第二方面,在第一种可能的实现方式中,所述接收模块,具体用于通过第一接口接收第一报文;所述第一接口位于第一安全域;
所述确定模块,具体用于在所述第一报文成功通过基础检测后,确定与所述第一安全域对应的预设时长内,通过位于所述第一安全域的所有接口接收到的第二报文的数量;
所述判断模块,具体用于判断所述数量是否大于与所述第一安全域对应的预设数量阈值。
结合第二方面,在第二种可能的实现方式中,所述确定模块,具体用于根据预设时长和所述预设时长内接收第二报文的速率,确定所述预设时长内接收到的第二报文的数量。
结合第二方面的第二种可能的实现方式,在第三种可能的实现方式中,所述确定模块,具体用于利用以下公式,确定预设时长内接收到的第二报文的数量S:
S=t×v(1+Δs%);
其中,t为所述预设时长,v为所述预设时长内接收第二报文的速率,Δs为预设容忍度,Δs的取值范围为0-100。
结合第二方面,在第四种可能的实现方式中,所述清除模块,具体用于检测快速转发表中是否存在第一表项;若存在,则清除所述第一表项。
结合第二方面,在第五种可能的实现方式中,所述处理模块,还用于检测所述快速转发表中是否存在所述第一表项;若存在,则对所述第一报文进行攻击检测;若不存在,则转发所述第一报文。
第三方面,本申请实施例提供了一种网络设备,包括处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述机器可执行指令包括:接收指令、确定指令、判断指令、清除指令和处理指令;
所述处理器被所述接收指令促使执行:接收第一报文;
所述处理器被所述确定指令促使执行:在所述第一报文成功通过基础检测后,确定预设时长内接收到的第二报文的数量,所述第二报文的报文信息与第一报文的第一报文信息相同;
所述处理器被所述判断指令促使执行:判断所述数量是否大于预设数量阈值;
所述处理器被所述清除指令促使执行:在所述数量大于预设数量阈值的情况下,清除快速转发表中的第一表项;所述第一表项包括所述第一报文的第二报文信息;
所述处理器被所述处理指令促使执行:对所述第一报文进行攻击检测。
结合第三方面,在第一种可能的实现方式中,所述处理器被所述接收指令促使具体执行:通过第一接口接收第一报文;所述第一接口位于第一安全域;
所述处理器被所述确定指令促使具体执行:在所述第一报文成功通过基础检测后,确定与所述第一安全域对应的预设时长内,通过位于所述第一安全域的所有接口接收到的第二报文的数量;
所述处理器被所述判断指令促使具体执行:判断所述数量是否大于与所述第一安全域对应的预设数量阈值。
结合第三方面,在第二种可能的实现方式中,所述处理器被所述确定指令促使具体执行:根据预设时长和所述预设时长内接收第二报文的速率,确定所述预设时长内接收到的第二报文的数量。
结合第三方面的第二种可能的实现方式,在第三种可能的实现方式中,所述处理器被所述确定指令促使具体执行:利用以下公式,确定预设时长内接收到的第二报文的数量S:
S=t×v(1+Δs%);
其中,t为所述预设时长,v为所述预设时长内接收第二报文的速率,Δs为预设容忍度,Δs的取值范围为0-100。
结合第三方面,在第四种可能的实现方式中,所述处理器被所述清除指令促使具体执行:检测快速转发表中是否存在第一表项;若存在,则清除所述第一表项。
结合第三方面,在第五种可能的实现方式中,所述处理器被所述处理指令促使还执行:检测所述快速转发表中是否存在所述第一表项;若存在,则对所述第一报文进行攻击检测;若不存在,则转发所述第一报文。
第四方面,本申请实施例提供了一种机器可读存储介质,存储有机器可执行指令,在被处理器调用和执行时,所述机器可执行指令包括:接收指令、确定指令、判断指令、清除指令和处理指令;
所述接收指令促使所述处理器执行:接收第一报文;
所述确定指令促使所述处理器执行:在所述第一报文成功通过基础检测后,确定预设时长内接收到的第二报文的数量,所述第二报文的报文信息与第一报文的第一报文信息相同;
所述判断指令促使所述处理器执行:判断所述数量是否大于预设数量阈值;
所述清除指令促使所述处理器执行:在所述数量大于预设数量阈值的情况下,清除快速转发表中的第一表项;所述第一表项包括所述第一报文的第二报文信息;
所述处理指令促使所述处理器执行:对所述第一报文进行攻击检测。
结合第四方面,在第一种可能的实现方式中,所述接收指令促使所述处理器具体执行:通过第一接口接收第一报文;所述第一接口位于第一安全域;
所述确定指令促使所述处理器具体执行:在所述第一报文成功通过基础检测后,确定与所述第一安全域对应的预设时长内,通过位于所述第一安全域的所有接口接收到的第二报文的数量;
所述判断指令促使所述处理器具体执行:判断所述数量是否大于与所述第一安全域对应的预设数量阈值。
结合第四方面,在第二种可能的实现方式中,所述确定指令促使所述处理器具体执行:根据预设时长和所述预设时长内接收第二报文的速率,确定所述预设时长内接收到的第二报文的数量。
结合第四方面的第二种可能的实现方式,在第三种可能的实现方式中,所述确定指令促使所述处理器具体执行:利用以下公式,确定预设时长内接收到的第二报文的数量S:
S=t×v(1+Δs%);
其中,t为所述预设时长,v为所述预设时长内接收第二报文的速率,Δs为预设容忍度,Δs的取值范围为0-100。
结合第四方面,在第四种可能的实现方式中,所述清除指令促使所述处理器具体执行:检测快速转发表中是否存在第一表项;若存在,则清除所述第一表项。
结合第四方面,在第五种可能的实现方式中,所述处理指令促使所述处理器还执行:检测所述快速转发表中是否存在所述第一表项;若存在,则对所述第一报文进行攻击检测;若不存在,则转发所述第一报文。
本申请实施例中,网络设备若接收到第一报文,在第一报文成功通过基础检测后,确定预设时长内接收到的第二报文的数量,第二报文的报文信息与第一报文的第一报文信息相同。若第二报文的数量大于预设数量阈值,则网络设备清除快速转发表中包括第一报文的第二报文信息的第一表项。这样,若第一报文不是一个业务的第一个报文,快速转发表不会存在包括第一报文的第二报文信息的第一表项,进而网络设备可以对第一报文进行攻击检测,降低了网络设备中存在的安全风险。当然,实施本申请的任一产品或方法必不一定需要同时达到以上所述的所有优点。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的一网络场景示意图;
图2为本申请实施例提供的报文处理方法的第一种流程示意图;
图3为本申请实施例提供的报文处理方法的第二种流程示意图;
图4为本申请实施例提供的报文处理方法的第三种流程示意图;
图5为本申请实施例提供的报文处理装置的一种结构示意图;
图6为本申请实施例提供的电子设备的一种结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
在介绍本申请实施例之前,申请人先对本申请实施例中的一些术语进行解释。
基础检测:用于对报文进行检测,以确定该报文是否是合法报文。基础检测可以包括一种或多种检测类型,每一种检测类型设定有对应的检测策略。
当报文中的信息匹配某一检测类型设定的检测策略时,则可以认为该报文成功通过该检测类型,即该检测类型的检测结果为成功。当报文中的信息未匹配某一检测类型设定的检测策略时,则可以认为该报文未成功通过该检测类型,即该检测类型的检测结果为失败。
当所有检测类型的检测结果为成功时,则可以认为该报文成功通过基础检测,该报文为合法报文。当一种或多种的检测类型的结果为失败时,则可以认为该报文未成功通过基础检测,该报文为非法报文。检测类型可以包括但不限于格式检测、长度检测、关键字节检测。
格式检测:可以检测报文的格式是否与预设协议的报文格式匹配。预设协议可以包括但不限于UDP(User Datagram Protocol,用户数据报协议)、TCP(TransmissionControl Protocol,传输控制协议)等。若该报文的格式与预设协议的报文格式匹配,则可以认为该报文成功通过格式检测,即格式检测的检测结果为成功。若该报文的格式与预设协议的报文格式不匹配,则可以认为该报文未成功通过格式检测,即格式检测的检测结果为失败,那么可以认为该报文未成功通过基础检测,该报文为非法报文。
长度检测:可以检测报文的长度是否超过长度阈值。若该报文的长度未超过预设长度阈值,则可以认为该报文成功通过长度检测,即长度检测的检测结果为成功。若该报文的长度超过预设长度阈值,则可以认为该报文未成功通过长度检测,即长度检测的检测结果为失败,那么可以认为该报文未成功通过基础检测,该报文为非法报文。
关键字节检测:可以检测报文的预设字节处是否为预设内容。若该报文的预设字节处为预设内容,则可以认为该报文成功通过关键字节检测,即关键字检测的检测结果为成功。若该报文的预设字节处不是预设内容,则可以认为该报文未成功通过关键字节检测,即关键字检测的检测结果为成功,那么可以认为该报文未成功通过基础检测,该报文为非法报文。
攻击检测,用于检测报文是否攻击报文,可以包括扫描攻击检测。
扫描攻击:即为攻击者向网络中广播大量的目的地址和/或目的端口变化的报文。这使得网络设备需要处理大量的报文,影响了网络设备对正常业务的处理。其中,探测报文可以为ARP(Address Resolution Protocol,地址解析协议)报文。
扫描攻击检测:用于检测报文是否是扫描攻击报文。在扫描攻击检测时,若网络设备接收到一设备发送的报文的数量大于等于数量阈值,则确定未成功通过扫描攻击检测,即扫描攻击检测的检测结果为该设备发送的报文为扫描攻击报文。若网络设备接收到一设备发送的报文的数量小于数量阈值,则确定成功通过扫描攻击检测,即扫描攻击检测的检测结果为该设备发送的报文不是扫描攻击报文。
扫描攻击可以分为IP(Internet Protocol,网络协议)扫描攻击和端口扫描攻击。相应的,扫描攻击检测包括IP扫描攻击检测和端口扫描攻击检测。
IP扫描攻击:即为攻击者向网络中广播大量目的IP地址不同的报文,这使得IP地址为该目的IP地址的网络设备需要处理大量的报文,影响了网络设备对正常业务的处理。
在IP扫描攻击检测时,若网络设备接收到源IP地址相同、目的IP地址不同的报文的数量大于等于数量阈值,则确定未成功通过IP扫描攻击检测,即IP扫描攻击检测的检测结果为该源IP地址的报文为IP扫描攻击报文。若网络设备接收到源IP地址相同、目的IP地址不同的报文数量小于数量阈值,则确定成功通过IP扫描攻击检测,即IP扫描攻击检测的检测结果为该源IP地址的报文不是IP扫描攻击报文。
端口扫描攻击:即为攻击者向网络中广播大量目的IP地址相同、目的端口不同的报文,这使得IP地址为该目的IP地址的网络设备需要处理大量的报文,影响了网络设备对正常业务的处理。
在端口扫描攻击检测时,若网络设备接收到源IP地址和目的IP地址均相同、目的端口不同的报文的数量大于等于数量阈值,则确定未成功通过端口扫描攻击检测,即端口扫描攻击检测的检测结果为该源IP地址和目的IP地址的报文为端口扫描攻击报文。若网络设备接收到源IP地址和目的IP地址均相同、目的端口不同的报文数量小于数量阈值,则确定成功通过端口扫描攻击检测,即端口扫描攻击检测的检测结果为该源IP地址和目的IP地址的报文不是端口扫描攻击报文。
目前,如图1所示的组网,可以包括位于第一网络的第一设备100、网络设备101和位于第二网络的第二设备102。网络设备101作为第一网络和第二网络的连接设备,负责将第一网络中设备发送的报文转发给第二网络中的设备,以及将第二网络中设备发送的报文转发给第一网络中的设备。网络设备101可以为防火墙、三层交换机、路由器等通信设备。
网络设备101在开启快速转发功能后,可以基于传输的报文的报文信息,建立对应的快速转发表。网络设备101传输的报文可以是第一设备100发送的报文,也可以是第二设备102发送的报文。以下以第一设备100发送的报文为例进行说明。
网络设备101接收到第一设备100发送的报文1,对报文1进行基础检测。在报文1成功通过基础检测后,网络设备101检测快速转发表中是否存在包括报文1的报文信息(例如五元组信息)的表项1。若不包括表项1,则网络设备101将报文1上送CPU,对报文1进行攻击检测,例如扫描攻击检测。若报文1成功通过攻击检测,即报文1不是攻击报文,则网络设备101在快速转发表中建立包括报文1的报文信息的表项1,并转发报文1。若报文1未成功通过攻击检测,即报文1是攻击报文,则按照配置的报文处理动作处理报文1。
若网络设备101检测到快速转发表中包括表项1,则网络设备101直接转发报文1。
基于上述快速转发功能的特点,也就是,对于快速转发表中已存在对应表项的报文,不进行攻击检测的特点,攻击者可利用快速转发表中的表项数据,对网络设备101发起攻击,从而导致网络设备101中存在很大的安全风险。
为了降低网络设备中存在的安全风险,本申请实施例提供了一种报文处理方法。该报文处理方法应用于网络设备,例如图1所示的网络设备101。本申请实施例中,网络设备可以为防火墙、三层交换机和路由器等通信设备。
本申请实施例提供的报文处理方法中,网络设备若接收到第一报文,在第一报文成功通过基础检测后,对第一报文进行攻击可能性检测,即网络设备确定预设时长内接收到的第二报文的数量,若第二报文的数量大于预设数量阈值,则网络设备可确定第一报文为疑似攻击报文,清除快速转发表中包括第一报文的第二报文信息的第一表项。这样,若第一报文不是一个业务的第一个报文,快速转发表不会存在包括第一报文的第二报文信息的第一表项,进而网络设备可以对第一报文进行攻击检测,降低了网络设备中存在的安全风险。
下面通过具体实施例,对本申请进行详细说明。
参考图2,图2为本申请实施例提供的报文处理方法的第一种流程示意图,应用于网络设备,如图1所示的网络设备101。本申请实施例中,网络设备可为已开启快速转发功能的设备,即网络设备可以基于传输的报文的报文信息,建立对应的快速转发表。上述报文处理方法包括如下所示。
在201部分,网络设备接收第一报文。
第一报文可以为网络设备通过任一接口接收的任一报文。第一报文可以为一个业务的第一个报文,也可以不是一个业务的第一个报文。第一报文可以为TCP报文,也可以为UDP报文,还可以是任何协议的报文。本申请实施例中,仅以第一报文进行说明,不起任何限定作用。
如图1所示,第一报文可以为第一设备100发送的报文,也可以为第二设备102发送的报文。
在202部分,网络设备在第一报文成功通过基础检测后,确定预设时长内接收到的第二报文的数量。第二报文的报文信息与第一报文的第一报文信息相同。
其中,第一报文信息可以包括报文的源IP地址,可以包括报文的源IP地址和目的IP地址,还可以包括报文的三元组信息、五元组信息或七元组信息。本申请实施例,第一报文信息包括的信息可以为网络设备默认设置,也可以自定义设置,本申请实施例并不做特别限定。
本申请实施例中,预设时长可以为网络设备默认设置,也可以自定义设置设定。例如,预设时长可以为10秒、1分钟等。
网络设备在接收到第一报文后,对第一报文进行基础检测。若第一报文未成功通过基础检测,则网络设备可以确定第一报文为非法报文,丢弃第一报文。
若第一报文成功通过基础检测,则网络设备对第一报文进行攻击可能性检测,即执行203部分:判断接收到的第二报文的数量是否大于预设数量阈值。第二报文的报文信息与第一报文的第一报文信息相同。例如,第一报文信息包括源IP地址,且第一报文的源IP地址为IP1。若第二报文的源IP地址为IP1,则网络设备确定第二报文的报文信息与第一报文的第一报文信息相同。
在执行203部分之前,网络设备可以确定预设时长内接收到的第二报文的数量。
例如,预设时长为1分钟,当前时间为10:00。网络设备确定第一报文X1成功通过基础检测后,可以确定9:59-10:00内接收第二报文的数量,第二报文的报文信息与第一报文X1的第一报文信息相同。
在本申请的一个实施例中,网络设备可以根据预设时长和预设时长内接收第二报文的速率,确定预设时长内接收到的第二报文的数量。
一个实施例中,网络设备可以利用公式(1)确定预设时长内接收到的第二报文的数量S。
S=t×v (1)
其中,t为预设时长,v为预设时长内接收第二报文的速率。
例如,t为10秒,v为3个/秒,则网络设备可确定预设时长10s内接收到的第二报文的数量S=10×3=30个报文。
另一个实施例中,网络设备可以利用公式(2),确定预设时长内接收到的第二报文的数量S。
S=t×v(1+Δs%) (2)
其中,t为预设时长,v为预设时长内接收第二报文的速率,Δs为预设容忍度,Δs的取值范围为0-100。其中容忍度可以理解为报文数量的允许误差。
例如,t为20秒,v为3个/秒,Δs为50,则网络设备可确定预设时长20s内接收到的第二报文的数量S=20×3(1+50%)=90个报文。
这里,Δs可根据安全等级的要求进行配置。Δs越小,攻击可能性检测的检测结果为攻击报文的可能性越大,即对疑似攻击报文的敏感度越高,安全等级也越高。例如,如表1所示的安全等级与Δs的对应关系。
表1
Figure BDA0001815995890000121
Figure BDA0001815995890000131
表1中,安全等级包括1、2和3。其中安全等级的数值越小,安全等级越高。基于表1,若网络设备的安全等级为1,则网络设备确定Δs为10。将Δs为10,带入公式(2),进而利用公式(2),确定预设时长内接收到的第二报文的数量S。
在203部分,网络设备判断接收到的第二报文的数量是否大于预设数量阈值。若是,则执行204部分。
本申请实施例中,网络设备中配置有预设数量阈值。在确定预设时长内接收到的第二报文的数量后,网络设备判断第二报文的数量是否大于预设数量阈值。若第二报文的数量大于预设数量阈值,则确定第一报文为疑似攻击报文,即确认第一报文可能是攻击报文,执行204部分。
在204部分,网络设备清除快速转发表中的第一表项。第一表项包括第一报文的第二报文信息。第二报文信息可以包含第一报文信息。第二报文信息可以但不限于为五元组信息、三元组信息、七元组信息。
在确定第一报文为疑似攻击报文的情况下,为避免网络设备直接转发第一报文,网络设备可以清除快速转发表中的第一表项。
一个实施例中,网络设备在确定第一报文为疑似攻击报文时,检测快速转发表中是否存在包括第一报文的第二报文信息的第一表项。若存在第一表项,则网络设备可以清除第一表项,之后执行205部分。若不存在第一表项,则网络设备可以执行205部分。
在205部分,网络设备对第一报文进行攻击检测。攻击检测可以但不限于为扫描攻击检测。
网络设备清除快速转发表中的第一表项后,快速转发表中不存在第一表项,进而对第一报文进行攻击检测。
由于网络设备在确定第一报文为疑似攻击报文时,清除了快速转发表中的第一表项,因此若第一报文不是一个业务的第一个报文,快速转发表不会存在包括第一报文的第二报文信息的第一表项,进而网络设备可以对第一报文进行攻击检测。
若成功通过攻击检测,则网络设备在快速转发表建立包括第一报文的第二报文信息的表项,并转发第一报文。
若未成功通过攻击检测,则网络设备按照配置的报文处理动作处理报文,降低了网络设备中存在的安全风险。
在本申请的一个实施例中,若203部分中判断预设时长内接收到的第二报文的数量不大于预设数量阈值,则网络设备可以判断快速转发表中是否存在第一表项。在快速转发表中不存在第一表项情况下,网络设备可对第一报文进行攻击检测。在快速转发表中存在第一表项情况下,网络设备可转发第一报文。
在本申请的一个实施例中,网络设备中配置有安全域,每一安全域中包括一个或多个接口。网络设备中预先配置有规则,该规则可以包括以下至少一项:预设时长、预设数量阈值和预设容忍度,该规则并不仅限于包括上述内容。一个示例中,一条规则可应用于一个安全域,即一条规则与一个安全域建立对应关系。例如,当前有两条规则,分别为规则1和规则2,当前有两个安全域,分别为安全域11和安全域12,其中规则1应用于安全域11,规则2应用于安全域12,即规则1对应安全域11,规则2对应安全域12。另一个示例中,一条规则可应用于多个安全域,即一条规则与多个安全域建立对应关系。例如,当前有两条规则,分别为规则1和规则2,当前有两个安全域,分别为安全域11和安全域12,其中规则1应用于安全域11和安全域12,也就是,规则1对应安全域11和安全域12。
在安全域的应用场景中,例如图1中网络设备101上包括接口1-5,接口1-5可以划分为2个安全域,其中,接口1-3位于安全域11,接口4-5位于安全域12,本申请实施例提供的报文处理方法可参考图3所示的流程示意图,该报文处理方法由网络设备执行,具体可包括如下部分。
在301部分,网络设备通过第一接口接收第一报文,第一接口位于第一安全域。
第一接口可为网络设备中的任一安全域中的任一接口。本申请实施例中,仅以位于第一安全域的第一接口为例进行说明,并不起限定作用。
第一报文可以为网络设备通过任一接口接收的任一报文,本申请实施例以第一报文为通过第一接口接收为例。第一报文可以为一个业务的第一个报文,也可以不是一个业务的第一个报文。第一报文可以为TCP报文,也可以为UDP报文,还可以是任何协议的报文。本申请实施例中,仅以第一报文进行说明,不起任何限定作用。
例如,图1中网络设备101上包括接口1-5,接口1-5可以划分为2个安全域,其中,接口1-3属于安全域11,接口4-5属于安全域12。第一报文可以为第一设备100发送的报文,也可以为第二设备102发送的报文。第一接口可以位于安全域11,第一接口也可以位于安全域12。
在302部分,网络设备在第一报文成功通过基础检测后,确定与第一安全域对应的预设时长内,通过位于第一安全域的所有接口接收到的第二报文的数量。第二报文的报文信息与第一报文的第一报文信息相同。
与第一安全域对应的预设时长,即为应用于第一安全域的规则中包括的预设时长。第一安全域中包括一个或多个接口,这一个或多接口包括上述第一接口。网络设备确定与第一安全域对应的预设时长内,通过位于第一安全域的所有接口接收到的第二报文的数量。
仍以图1为例进行说明。若第一接口为接口1,接口1位于安全域11,则网络设备101在第一报文成功通过基础检测后,确定与安全域11对应的预设时长内,通过位于安全域11的所有接口接收到的第二报文的数量,也就是,确定与安全域11对应的预设时长内,通过接口1-3接收到的第二报文的数量。
本申请实施例中,网络设备可利用公式(1)或公式(2)确定与第一安全域对应的预设时长内接收到的第二报文的数量S。此时,Δs为与第一安全域对应的预设容忍度,Δs的取值范围为0-100。t为与第一安全域对应的预设时长。v为:与第一安全域对应的预设时长内,第一安全域包括的所有接口接收第二报文的速率之和。此时,公式(1)可变形为:
S=t×(v1+v2…+vi+…+vn) (3)
公式(2)可变形为:
S=t×(v1+v2…+vi+…+vn)×(1+Δs%) (4)
其中,vi为与第一安全域对应的预设时长内,第一安全域包括的第i个接口接收第二报文的速率。
例如,网络设备根据公式(4),确定预设时长内接收到的第二报文的数量S。安全域11中包括3个接口,分别为接口1、接口2和接口3,安全域11对应的预设时长为10秒,安全域11对应的预设容忍度为50。若接口1在10s内接收第二报文的速率为1个/秒,接口2在10s内接收第二报文的速率2个/秒,接口3在10s内接收第二报文的速率3个/秒,则网络设备可确定接收到的第二报文的数量S=10×(1+2+3)×(1+50%)=90个报文。
在303部分,网络设备判断接收到的第二报文的数量是否大于与第一安全域对应的预设数量阈值。若是,则执行304部分。
与第一安全域对应的预设数量阈值,即为应用于第一安全域的规则中包括的预设数量阈值。在确定接收到的第二报文的数量后,网络设备判断第二报文的数量是否大于与第一安全域对应的预设数量阈值。
若第二报文的数量大于与第一安全域对应的预设数量阈值,则确定第一报文为疑似攻击报文,执行304部分。
一个实施例中,若第二报文的数量不大于与第一安全域对应的预设数量阈值,则网络设备可以判断快速转发表中是否存在第一表项。在快速转发表中不存在第一表项情况下,网络设备可对第一报文进行攻击检测。在快速转发表中存在第一表项情况下,网络设备可转发第一报文。
在304部分,网络设备清除快速转发表中的第一表项。第一表项包括第一报文的第二报文信息。第二报文信息可包含第一报文信息。第二报文信息可以但不限于为五元组信息、三元组信息、七元组信息。
在305部分,网络设备对第一报文进行攻击检测。攻击检测可以但不限于为扫描攻击检测。
304-305部分与204-205部分相同。
在本申请的其他实施例中,可在原有快速转发功能的基础上,增加上述报文处理流程,即在原报文的基础检测、与判断第二报文信息是否在快速转发表中这二者之间增加攻击可能性检测。具体的,可参考图4所示的报文处理方法的第三种流程示意图。
在401部分,网络设备通过第一接口接收第一报文,第一接口位于第一安全域。
401部分与301部分相同。
在402部分,网络设备在第一报文成功通过基础检测后,确定与第一安全域对应的预设时长内,通过位于第一安全域的所有接口接收到的第二报文的数量。第二报文的报文信息与第一报文的第一报文信息相同。
402部分与302部分相同。
在403部分,网络设备判断接收到的第二报文的数量是否大于与第一安全域对应的预设数量阈值。若是,则执行404部分。若否,则执行405部分。
403部分与303部分相同。其中,403部分可以为攻击可能性检测的实现过程。
在404部分,网络设备清除快速转发表中的第一表项。第一表项包括第一报文的第二报文信息。
404部分与304部分相同。
在405部分,网络设备判断快速转发表中是否存在包括第二报文信息的第一表项。若是,则执行406部分。若否,则执行407部分。
其中,第二报文信息可包括第一报文信息。
在406部分,网络设备转发第一报文。
在407部分,网络设备对第一报文进行攻击检测。
通过该报文处理方法,若第一报文不是一个业务的第一个报文,快速转发表中不存在包括第一报文的第二报文信息的第一表项,进而网络设备对第一报文进行攻击检测,这有效降低了网络设备中存在的安全风险。
与上述报文处理方法实施例对应,本申请实施例还提供了一种报文处理装置。参考图5,图5为本申请实施例提供的报文处理装置的一种结构示意图,应用于已开启快速转发功能的网络设备,该装置包括如下接收模块501、确定模块502、判断模块503、清除模块504和处理模块505。各模块的描述如下。
接收模块501,用于接收第一报文。
确定模块502,用于在第一报文成功通过基础检测后,确定预设时长内接收到的第二报文的数量,第二报文的报文信息与第一报文的第一报文信息相同。
判断模块503,用于判断接收到的第二报文的数量是否大于预设数量阈值。
清除模块504,用于在判断模块503的判断结果为是的情况下,清除快速转发表中的第一表项;第一表项包括第一报文的第二报文信息。
处理模块505,用于对第一报文进行攻击检测。
在本申请的一个实施例中,接收模块501,具体可以用于通过第一接口接收第一报文;第一接口位于第一安全域。
确定模块502,具体可以用于在第一报文成功通过基础检测后,确定与第一安全域对应的预设时长内,通过位于第一安全域的所有接口接收到的第二报文的数量。
判断模块503,具体可以用于判断接收到的第二报文的数量是否大于与第一安全域对应的预设数量阈值。
在本申请的一个实施例中,确定模块502,具体可以用于根据预设时长和预设时长内接收第二报文的速率,确定预设时长内接收到的第二报文的数量。
在本申请的一个实施例中,,确定模块502,具体可以用于利用以下公式,确定预设时长内接收到的第二报文的数量S:
S=t×v(1+Δs%);
其中,t为预设时长,v为预设时长内接收第二报文的速率,Δs为预设容忍度,Δs的取值范围为0-100。
在本申请的一个实施例中,清除模块504,具体可以用于检测快速转发表中是否存在第一表项;若存在,则清除第一表项。
在本申请的一个实施例中,处理模块505,还可以用于检测快速转发表中是否存在第一表项;若存在,则对第一报文进行攻击检测;若不存在,则转发第一报文。
本申请实施例中,网络设备若接收到第一报文,在第一报文成功通过基础检测后,确定预设时长内接收到的第二报文的数量,第二报文的报文信息与第一报文的第一报文信息相同。若第二报文的数量大于预设数量阈值,则网络设备清除快速转发表中包括第一报文的第二报文信息的第一表项。这样,若第一报文不是一个业务的第一个报文,快速转发表不会存在包括第一报文的第二报文信息的第一表项,进而网络设备可以对第一报文进行攻击检测,降低了网络设备中存在的安全风险。
与上述报文处理方法实施例对应,本申请实施例还提供了一种网络设备,如图6所示,包括处理器601和机器可读存储介质602,机器可读存储介质602存储有能够被处理器601执行的机器可执行指令。机器可执行指令包括:接收指令621、确定指令622、判断指令623、清除指令624和处理指令625。
其中,处理器被接收指令621促使执行:接收第一报文。
处理器被确定指令622促使执行:在第一报文成功通过基础检测后,确定预设时长内接收到的第二报文的数量,第二报文的报文信息与第一报文的第一报文信息相同。
处理器被判断指令623促使执行:判断接收到的第二报文的数量是否大于预设数量阈值。
处理器被清除指令624促使执行:在接收到的第二报文的数量大于预设数量阈值的情况下,清除快速转发表中的第一表项;第一表项包括第一报文的第二报文信息。其中,第二报文信息可包括第一报文信息。
处理器被处理指令625促使执行:对第一报文进行攻击检测。
可选的,处理器被接收指令621促使具体可以执行:通过第一接口接收第一报文;第一接口位于第一安全域。
处理器被确定指令622促使具体可以执行:在第一报文成功通过基础检测后,确定与第一安全域对应的预设时长内,通过位于第一安全域的所有接口接收到的第二报文的数量。
处理器被判断指令623促使具体可以执行:判断接收到的第二报文的数量是否大于与第一安全域对应的预设数量阈值。
可选的,处理器被确定指令622促使具体可以执行:根据预设时长和预设时长内接收第二报文的速率,确定预设时长内接收到的第二报文的数量。
可选的,处理器被确定指令622促使具体可以执行:利用以下公式,确定预设时长内接收到的第二报文的数量S:
S=t×v(1+Δs%);
其中,t为预设时长,v为预设时长内接收第二报文的速率,Δs为预设容忍度,Δs的取值范围为0-100。
可选的,处理器被清除指令624促使具体可以执行:检测快速转发表中是否存在第一表项;若存在,则清除第一表项。
可选的,处理器被处理指令625促使还可以执行:检测快速转发表中是否存在第一表项;若存在,则对第一报文进行攻击检测;若不存在,则转发第一报文。
本申请实施例中,网络设备若接收到第一报文,在第一报文成功通过基础检测后,确定预设时长内接收到的第二报文的数量,第二报文的报文信息与第一报文的第一报文信息相同。若第二报文的数量大于预设数量阈值,则网络设备清除快速转发表中包括第一报文的第二报文信息的第一表项。这样,若第一报文不是一个业务的第一个报文,快速转发表不会存在包括第一报文的第二报文信息的第一表项,进而网络设备可以对第一报文进行攻击检测,降低了网络设备中存在的安全风险。
上述处理器601和机器可读存储介质602通过通信总线完成相互间的通信,通信接口用于上述网络设备与其他设备之间的通信。通信总线可以是PCI(Peripheral ComponentInterconnect,外设部件互连标准)总线或EISA(Extended Industry StandardArchitecture,扩展工业标准结构)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。
机器可读存储介质602可以包括RAM(Random Access Memory,随机存取存储器),也可以包括NVM(Non-Volatile Memory,非易失性存储器),例如至少一个磁盘存储器。另外,机器可读存储介质602还可以是至少一个位于远离前述处理器的存储装置。
处理器601可以是通用处理器,包括CPU、NP(Network Processor,网络处理器)等;还可以是DSP(Digital Signal Processing,数字信号处理器)、ASIC(ApplicationSpecific Integrated Circuit,专用集成电路)、FPGA(Field-Programmable Gate Array,现场可编程门阵列)或其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
与上述报文处理方法实施例对应,本申请实施例还提供了一种机器可读存储介质,存储有机器可执行指令,在被处理器调用和执行时,机器可执行指令包括:接收指令、确定指令、判断指令、清除指令和处理指令;
接收指令促使处理器执行:接收第一报文;
确定指令促使处理器执行:在第一报文成功通过基础检测后,确定预设时长内接收到的第二报文的数量,第二报文的报文信息与第一报文的第一报文信息相同;
判断指令促使处理器执行:判断接收到的第二报文的数量是否大于预设数量阈值;
清除指令促使处理器执行:在接收到的第二报文的数量大于预设数量阈值的情况下,清除快速转发表中的第一表项;第一表项包括第一报文的第二报文信息;
处理指令促使处理器执行:对第一报文进行攻击检测。
可选的,接收指令促使处理器具体可以执行:通过第一接口接收第一报文;第一接口位于第一安全域;
确定指令促使处理器具体可以执行:在第一报文成功通过基础检测后,确定与第一安全域对应的预设时长内,通过位于第一安全域的所有接口接收到的第二报文的数量;
判断指令促使处理器具体可以执行:判断接收到的第二报文的数量是否大于与第一安全域对应的预设数量阈值。
可选的,确定指令促使处理器具体可以执行:根据预设时长和预设时长内接收第二报文的速率,确定预设时长内接收到的第二报文的数量。
可选的,确定指令促使处理器具体可以执行:利用以下公式,确定预设时长内接收到的第二报文的数量S:
S=t×v(1+Δs%);
其中,t为预设时长,v为预设时长内接收第二报文的速率,Δs为预设容忍度,Δs的取值范围为0-100。
可选的,清除指令促使处理器具体可以执行:检测快速转发表中是否存在第一表项;若存在,则清除第一表项。
可选的,处理指令促使处理器还可以执行:检测快速转发表中是否存在第一表项;若存在,则对第一报文进行攻击检测;若不存在,则转发第一报文。
本申请实施例中,网络设备若接收到第一报文,在第一报文成功通过基础检测后,确定预设时长内接收到的第二报文的数量,第二报文的报文信息与第一报文的第一报文信息相同。若第二报文的数量大于预设数量阈值,则网络设备清除快速转发表中包括第一报文的第二报文信息的第一表项。这样,若第一报文不是一个业务的第一个报文,快速转发表不会存在包括第一报文的第二报文信息的第一表项,进而网络设备可以对第一报文进行攻击检测,降低了网络设备中存在的安全风险。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于报文处理装置、网络设备、机器可读存储介质实施例而言,由于其基本相似于报文处理方法实施例,所以描述的比较简单,相关之处参见报文处理方法实施例的部分说明即可。
以上所述仅为本申请的较佳实施例而已,并非用于限定本申请的保护范围。凡在本申请的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本申请的保护范围内。

Claims (12)

1.一种报文处理方法,其特征在于,应用于网络设备,所述方法包括:
接收第一报文;
在所述第一报文成功通过基础检测后,确定预设时长内接收到的第二报文的数量,所述第二报文的报文信息与所述第一报文的第一报文信息相同;
判断所述数量是否大于预设数量阈值;
若所述数量大于预设数量阈值,则清除快速转发表中的第一表项;所述第一表项包括所述第一报文的第二报文信息;对所述第一报文进行攻击检测;
若所述数量不大于所述预设数量阈值,则检测所述快速转发表中是否存在所述第一表项;若不存在所述第一表项,则对所述第一报文进行攻击检测;若存在所述第一表项,则转发所述第一报文。
2.根据权利要求1所述的方法,其特征在于,所述接收第一报文,包括:
通过第一接口接收第一报文;所述第一接口位于第一安全域;
所述确定预设时长内接收到的第二报文的数量,包括:
确定与所述第一安全域对应的预设时长内,通过位于所述第一安全域的所有接口接收到的第二报文的数量;
所述判断所述数量是否大于预设数量阈值,包括:
判断所述数量是否大于与所述第一安全域对应的预设数量阈值。
3.根据权利要求1所述的方法,其特征在于,所述确定预设时长内接收到的第二报文的数量,包括:
根据预设时长和所述预设时长内接收第二报文的速率,确定所述预设时长内接收到的第二报文的数量。
4.根据权利要求3所述的方法,其特征在于,所述根据预设时长和所述预设时长内接收第二报文的速率,确定所述预设时长内接收到的第二报文的数量,包括:
利用以下公式,确定预设时长内接收到的第二报文的数量S:
S=t×v(1+Δs%);
其中,t为所述预设时长,v为所述预设时长内接收第二报文的速率,Δs为预设容忍度,Δs的取值范围为0-100。
5.根据权利要求1所述的方法,其特征在于,所述清除快速转发表中的第一表项,包括:
检测快速转发表中是否存在第一表项;
若存在,则清除所述第一表项。
6.一种报文处理装置,其特征在于,应用于网络设备,所述装置包括:
接收模块,用于接收第一报文;
确定模块,用于在所述第一报文成功通过基础检测后,确定预设时长内接收到的第二报文的数量,所述第二报文的报文信息与第一报文的第一报文信息相同;
判断模块,用于判断所述数量是否大于预设数量阈值;
清除模块,用于在所述判断模块的判断结果为是的情况下,清除快速转发表中的第一表项;所述第一表项包括所述第一报文的第二报文信息;
处理模块,用于对所述第一报文进行攻击检测;
所述处理模块,还用于在所述判断模块的判断结果为否的情况下,检测所述快速转发表中是否存在所述第一表项;若不存在所述第一表项,则对所述第一报文进行攻击检测;若存在所述第一表项,则转发所述第一报文。
7.根据权利要求6所述的装置,其特征在于,
所述接收模块,具体用于通过第一接口接收第一报文;所述第一接口位于第一安全域;
所述确定模块,具体用于在所述第一报文成功通过基础检测后,确定与所述第一安全域对应的预设时长内,通过位于所述第一安全域的所有接口接收到的第二报文的数量;
所述判断模块,具体用于判断所述数量是否大于与所述第一安全域对应的预设数量阈值。
8.根据权利要求6所述的装置,其特征在于,所述确定模块,具体用于根据预设时长和所述预设时长内接收第二报文的速率,确定所述预设时长内接收到的第二报文的数量。
9.根据权利要求8所述的装置,其特征在于,所述确定模块,具体用于利用以下公式,确定预设时长内接收到的第二报文的数量S:
S=t×v(1+Δs%);
其中,t为所述预设时长,v为所述预设时长内接收第二报文的速率,Δs为预设容忍度,Δs的取值范围为0-100。
10.根据权利要求6所述的装置,其特征在于,所述清除模块,具体用于检测快速转发表中是否存在第一表项;若存在,则清除所述第一表项。
11.一种网络设备,其特征在于,包括处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述机器可执行指令包括:接收指令、确定指令、判断指令、清除指令和处理指令;
所述处理器被所述接收指令促使执行:接收第一报文;
所述处理器被所述确定指令促使执行:在所述第一报文成功通过基础检测后,确定预设时长内接收到的第二报文的数量,所述第二报文的报文信息与第一报文的第一报文信息相同;
所述处理器被所述判断指令促使执行:判断所述数量是否大于预设数量阈值;
所述处理器被所述清除指令促使执行:在所述数量大于预设数量阈值的情况下,清除快速转发表中的第一表项;所述第一表项包括所述第一报文的第二报文信息;
所述处理器被所述处理指令促使执行:对所述第一报文进行攻击检测;
所述处理器被所述处理指令促使还执行:在所述数量不大于所述预设数量阈值的情况下,检测所述快速转发表中是否存在所述第一表项;若不存在所述第一表项,则对所述第一报文进行攻击检测;若存在所述第一表项,则转发所述第一报文。
12.一种机器可读存储介质,其特征在于,存储有机器可执行指令,在被处理器调用和执行时,所述机器可执行指令包括:接收指令、确定指令、判断指令、清除指令和处理指令;
所述接收指令促使所述处理器执行:接收第一报文;
所述确定指令促使所述处理器执行:在所述第一报文成功通过基础检测后,确定预设时长内接收到的第二报文的数量,所述第二报文的报文信息与第一报文的第一报文信息相同;
所述判断指令促使所述处理器执行:判断所述数量是否大于预设数量阈值;
所述清除指令促使所述处理器执行:在所述数量大于预设数量阈值的情况下,清除快速转发表中的第一表项;所述第一表项包括所述第一报文的第二报文信息;
所述处理指令促使所述处理器执行:对所述第一报文进行攻击检测;
所述处理指令促使所述处理器还执行:在所述数量不大于所述预设数量阈值的情况下,检测所述快速转发表中是否存在所述第一表项;若不存在所述第一表项,则对所述第一报文进行攻击检测;若存在所述第一表项,则转发所述第一报文。
CN201811141921.4A 2018-09-28 2018-09-28 一种报文处理方法及装置 Active CN110392034B (zh)

Priority Applications (5)

Application Number Priority Date Filing Date Title
CN201811141921.4A CN110392034B (zh) 2018-09-28 2018-09-28 一种报文处理方法及装置
EP19865572.2A EP3840323B1 (en) 2018-09-28 2019-09-27 Message processing
US17/275,921 US20220038426A1 (en) 2018-09-28 2019-09-27 Message Processing
JP2021516455A JP7171904B2 (ja) 2018-09-28 2019-09-27 パケット処理
PCT/CN2019/108517 WO2020063853A1 (zh) 2018-09-28 2019-09-27 报文处理

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201811141921.4A CN110392034B (zh) 2018-09-28 2018-09-28 一种报文处理方法及装置

Publications (2)

Publication Number Publication Date
CN110392034A CN110392034A (zh) 2019-10-29
CN110392034B true CN110392034B (zh) 2020-10-13

Family

ID=68284880

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201811141921.4A Active CN110392034B (zh) 2018-09-28 2018-09-28 一种报文处理方法及装置

Country Status (5)

Country Link
US (1) US20220038426A1 (zh)
EP (1) EP3840323B1 (zh)
JP (1) JP7171904B2 (zh)
CN (1) CN110392034B (zh)
WO (1) WO2020063853A1 (zh)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112839018B (zh) * 2019-11-25 2022-11-18 华为技术有限公司 一种度数值生成方法以及相关设备
CN111147313B (zh) * 2019-12-31 2022-08-23 潍柴动力股份有限公司 一种报文异常监控方法、装置、存储介质及电子设备
CN111669371B (zh) * 2020-05-18 2022-09-30 深圳供电局有限公司 一种适用于电力网络的网络攻击还原系统及方法
CN113542310B (zh) * 2021-09-17 2021-12-21 上海观安信息技术股份有限公司 一种网络扫描检测方法、装置及计算机存储介质
CN114143089B (zh) * 2021-11-30 2024-02-09 迈普通信技术股份有限公司 报文处理方法、装置、网络设备及计算机可读存储介质

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101883054A (zh) * 2010-07-09 2010-11-10 北京星网锐捷网络技术有限公司 组播报文处理方法、装置和设备
CN103384252A (zh) * 2013-07-18 2013-11-06 北京星网锐捷网络技术有限公司 网络设备防攻击的方法和装置、网络设备
CN104506548A (zh) * 2014-12-31 2015-04-08 北京天融信科技有限公司 一种数据包重定向装置、虚拟机安全保护方法及系统

Family Cites Families (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4547342B2 (ja) 2005-04-06 2010-09-22 アラクサラネットワークス株式会社 ネットワーク制御装置と制御システム並びに制御方法
US7609625B2 (en) * 2005-07-06 2009-10-27 Fortinet, Inc. Systems and methods for detecting and preventing flooding attacks in a network environment
JP4244356B2 (ja) 2006-08-31 2009-03-25 日本電信電話株式会社 トラヒック分析・制御システム
US8272044B2 (en) 2007-05-25 2012-09-18 New Jersey Institute Of Technology Method and system to mitigate low rate denial of service (DoS) attacks
JPWO2009139170A1 (ja) * 2008-05-16 2011-09-15 パナソニック株式会社 攻撃パケット検知装置、攻撃パケット検知方法、映像受信装置、コンテンツ記録装置、およびip通信装置
CN101345755B (zh) * 2008-08-29 2011-06-22 中兴通讯股份有限公司 一种防止地址解析协议报文攻击的方法和系统
CN101505218B (zh) * 2009-03-18 2012-04-18 杭州华三通信技术有限公司 攻击报文的检测方法和装置
CN101997768B (zh) * 2009-08-21 2012-10-17 华为技术有限公司 一种上送地址解析协议报文的方法和装置
US8789173B2 (en) * 2009-09-03 2014-07-22 Juniper Networks, Inc. Protecting against distributed network flood attacks
CN101820396B (zh) * 2010-05-24 2012-04-18 杭州华三通信技术有限公司 一种报文安全性验证的方法和设备
CN101945117A (zh) * 2010-09-28 2011-01-12 杭州华三通信技术有限公司 防止源地址欺骗攻击的方法及设备
CN102255804B (zh) * 2011-07-06 2014-07-02 北京星网锐捷网络技术有限公司 报文处理方法、装置及网络设备
CN102404148A (zh) * 2011-11-22 2012-04-04 华为技术有限公司 一种mac地址表管理方法及装置
CN102594816B (zh) * 2012-02-15 2015-08-19 神州数码网络(北京)有限公司 一种预防恶意邻居学习攻击的方法及装置
CN104580107B (zh) * 2013-10-24 2018-02-06 华为技术有限公司 恶意攻击检测方法及控制器
CN104702560A (zh) * 2013-12-04 2015-06-10 华为技术有限公司 一种防止报文攻击方法及装置
US9609018B2 (en) * 2014-05-08 2017-03-28 WANSecurity, Inc. System and methods for reducing impact of malicious activity on operations of a wide area network
CN106330715A (zh) * 2015-06-30 2017-01-11 杭州华三通信技术有限公司 报文处理方法及装置
KR101701310B1 (ko) * 2015-09-30 2017-02-02 고려대학교 산학협력단 DDoS 공격 탐지 장치 및 방법
CN107547503B (zh) * 2017-06-12 2020-12-25 新华三信息安全技术有限公司 一种会话表项处理方法、装置、防火墙设备及存储介质
CN108134748B (zh) * 2017-12-11 2022-01-25 杭州迪普科技股份有限公司 一种基于快速转发表项的丢包方法和装置
CN108429731B (zh) * 2018-01-22 2021-10-12 新华三技术有限公司 防攻击方法、装置及电子设备
CN108566344B (zh) * 2018-03-19 2022-01-25 新华三技术有限公司 一种报文处理方法和装置

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101883054A (zh) * 2010-07-09 2010-11-10 北京星网锐捷网络技术有限公司 组播报文处理方法、装置和设备
CN103384252A (zh) * 2013-07-18 2013-11-06 北京星网锐捷网络技术有限公司 网络设备防攻击的方法和装置、网络设备
CN104506548A (zh) * 2014-12-31 2015-04-08 北京天融信科技有限公司 一种数据包重定向装置、虚拟机安全保护方法及系统

Also Published As

Publication number Publication date
EP3840323A1 (en) 2021-06-23
JP2022500957A (ja) 2022-01-04
CN110392034A (zh) 2019-10-29
EP3840323B1 (en) 2022-09-14
WO2020063853A1 (zh) 2020-04-02
JP7171904B2 (ja) 2022-11-15
US20220038426A1 (en) 2022-02-03
EP3840323A4 (en) 2021-10-27

Similar Documents

Publication Publication Date Title
CN110392034B (zh) 一种报文处理方法及装置
EP2289221B1 (en) Network intrusion protection
US7536552B2 (en) Upper-level protocol authentication
US20130254888A1 (en) System and method for identifying security breach attempt of a website
JP2005229614A (ja) Ip送信元アドレスを偽装したサービス妨害攻撃から防御する方法および装置
US7458097B2 (en) Preventing network reset denial of service attacks
US20080313738A1 (en) Multi-Stage Deep Packet Inspection for Lightweight Devices
US20030065943A1 (en) Method and apparatus for recognizing and reacting to denial of service attacks on a computerized network
CN110784464B (zh) 泛洪攻击的客户端验证方法、装置、系统及电子设备
US20070166051A1 (en) Repeater, repeating method, repeating program, and network attack defending system
CN111585957B (zh) 报文处理方法、装置、网络设备及存储介质
JP2007288246A (ja) 攻撃検出装置
CN112769694B (zh) 一种地址检查方法及装置
CN107454065A (zh) 一种UDP Flood攻击的防护方法及装置
WO2019096104A1 (zh) 攻击防范
WO2005004410A1 (fr) Procede pour controler la retransmission d'un message de donnees dans un dispositif d'acheminement
JP2007259223A (ja) ネットワークにおける不正アクセスに対する防御システム、方法およびそのためのプログラム
CN107689967B (zh) 一种DDoS攻击检测方法和装置
CN113810398B (zh) 一种攻击防护方法、装置、设备及存储介质
JP4391455B2 (ja) DDoS攻撃に対する不正アクセス検知システム及びプログラム
CN107277060B (zh) 一种数据包处理的方法及装置
CN112995099B (zh) 用于语音通信攻击防护的方法和边界接入控制器
CN111200505A (zh) 一种报文处理方法及装置
JP4863310B2 (ja) Ip衛星通信システムおよび不正パケット侵入防御方法
JP2008252221A (ja) DoS攻撃防御システム、DoS攻撃防御システムにおける攻撃防御方法及びDoS攻撃防御装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant