CN111083154A - 一种安全防护方法、装置及存储介质 - Google Patents
一种安全防护方法、装置及存储介质 Download PDFInfo
- Publication number
- CN111083154A CN111083154A CN201911350978.XA CN201911350978A CN111083154A CN 111083154 A CN111083154 A CN 111083154A CN 201911350978 A CN201911350978 A CN 201911350978A CN 111083154 A CN111083154 A CN 111083154A
- Authority
- CN
- China
- Prior art keywords
- message
- field
- identification
- white list
- legal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Technology Law (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例公开了一种安全防护方法,包括:接收至少一个报文;解析出所述报文的标识字段集;其中,所述标识字段集至少包括一个标识字段;基于所述标识字段集及设置的白名单,确定出所述报文是否为合法报文;若所述报文为合法报文,基于所述白名单发送所述报文。本发明实施例还公开了一种安全防护装置及存储介质。
Description
技术领域
本发明涉及网络技术领域,尤其涉及一种安全防护方法、装置及存储介质。
背景技术
针对路由器协议的安全漏洞发起攻击可能会导致路由器工作失常,进而可能引发网络瘫痪的严重后果。然而目前,一般采用将攻击特征、攻击源等收集起来,放入到黑名单的安全防护方式。然而该种利用黑名单的防护方式只收集了已知的攻击特征或攻击源等,对未知的攻击特征或特征源,及不断变更自己地址的攻击源等,不具有防护能力。
发明内容
本发明实施例提供一种安全防护方法、装置及存储介质。
本发明的技术方案是这样实现的:
一种安全防护方法,包括:
接收至少一个报文;
解析出所述报文的标识字段集;其中,所述标识字段集至少包括一个标识字段;
基于所述标识字段集及设置的白名单,确定出所述报文是否为合法报文;
若所述报文为合法报文,基于所述标识字段集发送所述报文。
上述方案中,所述基于所述标识字段集及设置的白名单,确定出所述报文是否为合法报文,包括:
若所述标识字段集中的各所述标识字段,与所述白名单中包括的任意一个匹配字段匹配成功,确定出所述报文为合法报文;
或者,
若所述标识字段集中存在一个所述标识字段,与所述白名单中包括的各所述匹配字段均匹配失败,确定出所述报文为非法报文。
上述方案中,所述标识字段集,包括:目的地址字段;
所述若所述标识字段集中的各所述标识字段,与所述白名单中包括的任意一个匹配字段匹配成功,确定出所述报文为合法报文,包括:
若所述目的地址字段的内容,与所述白名单中包括的任意一个所述匹配字段的内容相同,确定出所述报文为合法报文。
上述方案中,所述标识字段集,包括:目的地址字段及源地址字段;
所述若所述标识字段集中的各所述标识字段,与所述白名单中包括的任意一个匹配字段匹配成功,确定出所述报文为合法报文,包括:
若所述目的地址字段的内容,与所述白名单中包括的与所述目的地址字段对应的匹配字段的内容相同,且若所述源地址字段的内容,与所述白名单中包括的与所述源地址字段对应的匹配字段的内容相同,确定出所述报文为合法报文。
上述方案中,所述接收至少一个报文,包括以下至少之一:
接收至少一个边界网关协议BGP报文;
接收至少一个开放式最短路径优先OSPF报文;
接收至少一个链路状态路由协议ISIS报文;
接收至少一个路由信息协议RIP报文。
上述方案中,所述基于所述标识字段集及设置的白名单,确定出所述报文是否为合法报文,包括:
基于所述标识字段集及路由器中设置的白名单,确定出所述报文是否为合法报文;
或者,
基于所述标识字段集及所述路由器的防火墙中设置的白名单,确定出所述报文是否为合法报文。
上述方案中,所述方法还包括:
若确定所述报文为非法报文,对所述报文进行安全防护处理;其中,所述安全防护处理包括以下至少之一:
丢弃所述报文;
及输出告警信息。
本发明实施例还提供一种安全防护装置,包括:
接收模块,用于接收至少一个报文;
解析模块,用于解析出所述报文的标识字段集;其中,所述标识字段集至少包括一个标识字段;
确定模块,用于基于所述标识字段集及设置的白名单,确定出所述报文是否为合法报文;
处理模块,用于若所述报文为合法报文,基于所述白名单发送所述报文。
本发明实施例还提供一种路由器,包括:
处理器;
用于存储处理器可执行指令的存储器;
其中,所述处理器用于运行所述可执行指令时,实现本发明任一实施例所述的安全防护方法。
本发明实施例还一种计算机存储介质,所述计算机存储介质存储有计算机可执行指令;所述计算机可执行指令被处理器执行后,能够实现本发明任一实施例所述的安全防护方法。
本发明实施例所提供的安全防护方法,通过接收至少一个报文,解析出所述报文的标识字段集之后,基于所述标识字段集及设置的白名单,确定出所述报文是否为合法报文;若所述报文为合法报文时,基于所述标识字段集发送所述报文。如此,在本发明实施例中,可以利用白名单,确定出所述报文是否为合法报文;在确定出所述报文为合法报文后,才对所述合法报文进行发送。如此,相对于现有技术中,利用黑名单确定非法报文、仅对已知攻击的非法报文进行安全防护来说,能够进一步提高安全防护的力度,能够实现排他性的报文发送,即对任何不在白名单中的报文均不发送;且也能大大降低由于攻击改变源地址等而误确定非法报文为合法报文的情况出现。
附图说明
图1为本发明实施例提供的一种安全防护方法的流程示意图;
图2为本发明实施例提供的一种安全防护方法的流程示意图;
图3为本发明实施例提供的一种安全防护装置的结构示意图;
图4为本发明实施例提供的一种路由器的结构示意图。
具体实施方式
下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
除非另有定义,本文所使用的所有的技术和科学术语与属于本发明的技术领域的技术人员通常理解的含义相同。本文中在本发明的说明书中所使用的术语只是为了描述具体的实施例的目的,不是旨在于限制本发明。
如图1所示,本发明实施例提供了一种安全防护方法,所述方法包括:
步骤S11,接收至少一个报文;
步骤S12,解析出所述报文的标识字段集;其中,所述标识字段集至少包括一个标识字段;
步骤S13,基于所述标识字段集及设置的白名单,确定出所述报文是否为合法报文;
步骤S14,若所述报文为合法报文,基于所述标识字段集发送所述报文。
在本发明实施例提供的安全防护方法可以应用于路由器中。该方法可以应用于整个网络的所有路由器中;或者应用于部分路由器中。例如,该方法可以应用于局域网连接到互联网的路由器中等。在一些实施例中,该方法还可以应用于连接预定个数其他路由器的路由器中。
总之,本发明实施例提供的安全防护方法可以应用于网络中部分或全部路由器中。
在本发明实施中,所述路由器在进行合法报文判断时,会预先获取到白名单。利用所述路由器会从人机交互接口或其它设备中接收所述白名单。
这里,所述白名单包括一个或多个匹配字段;这里,所述匹配字段为与所述标识字段对应的字段。例如,所述解析出的所述报文的标识字段为目的地址字段,则所述白名单中至少包括与所述目的地址对应的匹配字段;所述白名单中与所述目的地址对应的匹配字段下列出所有路由器信任的目的地址。如此,当所述报文中目的地址字段中的目的地址与所述白名单中其中一个目的地址相同,则确定所述报文为合法报文。
在本发明实施例中,所述标识字段集包括:至少一个标识字段。
这里,所述标识字段包括:第一类标识字段和/或第二类标识字段。其中,所述第一类标识字段包括但不限于以下至少之一:源地址字段、目的地址字段、源端口字段、目的端口字段及传输控制TCP标识位字段。其中,所述第二类标识字段包括但不限于以下至少之一:下一跳字段、报文长度字段、可达性消息字段及保持时间字段。
这里,所述源地址字段包括:源IP地址字段和/或源物理地址(Media AccessControl Address,MAC)字段;所述目的地址字段包括:目的IP地址字段和/或目的MAC地址字段。
这里,所述源IP地址字段为发出报文的IP地址的字段;所述目的IP地址为所述报文最终达到的IP地址的字段;所述源MAC地址字段为发出报文的MAC地址的字段;所述目的MAC地址字段为所述报文最终达到的MAC地址的字段。所述源端口字段发送所述报文的端口的字段;所述目的端口字段为最终达到的端口的字段。所述TCP标志位字段为允许发送方或接收方哪些标识被使用的字段。
这里,所述下一跳字段为达到下一个路由器的IP地址的字段。所述报文长度字段为所述报文的总长度的字段。所述可达性消息字段为描述报文到目的路由器的具有是否可达或目的路由器运行状态的字段;例如,所述可达性消息字段中包括跳数。所述保持时间字段为从上一个路由器收到报文或更新报文之前所经过的最大秒数。
在一实施例中,所述标识字段集至少包括:目的地址字段。
在一实施例中,所述标识字段集至少包括:一个第一类标识字段及目的地址字段。
如此,在本发明实施例中,可以基于第一类标识字段和/或第二类标识字段确定所述报文是否为合法报文;如此,可以从多维度与白名单进行匹配而确定出所述报文是否为合法报文,从而能够提高确定所述报文是否为合法报文的准确性。并且,若在本发明实施例中,基于第二类标识字段与所述白名单确定所述报文是否为合法报文,还可以从报文的格式出发,从更小字段的单位来确定所述报文是否为合法报文,从而能够进一步提高确定所述报文是否为白名单的准确性。
当然,在其他实施例中,所述第一标识字段及第二标识字段均可以为其它的标识字段,例如,所述第一标识字段还可以为协议号,所述第二标识字段可以为自制系统号等,在此不作限制。且,对于不同类型的报文,所述标识字段可以不同。
这里,所述步骤S14种的一种实现方式为:若确定所述报文为合法报文,基于所述标识字段集中的至少一个所述标识字段发送所述报文。例如,所述标识字段集包括:目的IP地址字段;则所述路由器基于所述目的IP地址字段中目的IP地址发送所述报文。又如,所述标识字段集包括:下一跳字段;则所述路由器基于所述下一跳字段中的下一个路由器发送所述报文。
当然,在其它实施例中,若基于所述标识字段集无法确定所述报文的发送的路由器或者其它网络设备时,还可以基于其它的方式发送所述报文,例如,随机发送所述报文,或者在局域网中,广播所述报文等;在此不作限制。
在本发明实施例中,可以通过接收至少一个报文,解析出所述报文的标识字段集之后,基于所述标识字段集及设置的白名单,确定出所述报文是否为合法报文;若所述报文为合法报文时,基于所述标识字段集发送所述报文。如此,在本发明实施例中,可以利用白名单,确定出所述报文是否为合法报文;在确定出所述报文为合法报文后,才对所述合法报文进行发送。如此,相对于现有技术中,利用黑名单确定非法报文、仅对已知攻击的非法报文进行安全防护来说,能够进一步提高安全防护的力度,能够实现排他性的报文发送,即对任何不在白名单中的报文均不发送;且也能大大降低由于攻击改变源地址等而误确定非法报文为合法报文的情况出现。
在一些实施例中,所述方法,还包括:获取黑名单;
所述步骤S13,包括:
基于所述标识字段集、设置的白名单及所述黑名单,确定出所述报文是否为合法报文。
在一些实施例中,所述基于所述标识字段集、设置的白名单及所述黑名单,确定出所述报文是否为合法报文,包括:
基于所述标识字段集及所述白名单,确定出所述报文为备选合法报文;
基于所述黑名单,确定出所述备选合法报文为所述合法报文。
这里,所述黑名单也可以包括一个或多个匹配字段;这里,所述匹配字段为与所述标识字段对应的字段。例如,所述解析出的所述报文的标识字段为目的地址字段,则所述黑名单中至少包括与所述目的地址对应的匹配字段;所述黑名单中与所述目的地址对应的匹配字段下列出所有路由器信任的目的地址。如此,若所述报文中目的地址字段中目的地址与所述黑名单中全部目的地址不相同时,确定所述报文为合法报文。
在本发明实施例中,若基于所述白名单,无法确定出所述报文是否为合法报文;可以基于标识字段与黑名单进一步匹配,确定出所述报文是否为合法报文。或者,若基于所述白名单,确定出所述报文为合法报文;还可以基于标识字段与所述黑名单进一步的确定。如此,本发明实施例可以通过白名单和和黑名单的两层验证,确定出所述报文是否为合法报文,提高了确定所述报文为合法报文的准确性,进而提高了网络传输的准确性。
在一些实施例中,所述步骤S11,包括:
接收至少一个边界网关协议(Border Gateway Protocol,BGP)报文;
接收至少一个开放式最短路径优先(Open Shortest Path First,OSPF)报文;
接收至少一个链路状态路由协议(Intermediate System to IntermediateSystem,ISIS)报文;
接收至少一个路由信息协议(Routing Information Protocol,RIP)报文。
当然,在其它实施例中,所述步骤S11,还包括获取其它路由协议的报文,例如,获取内部网关路由协议(Interior Gateway Routing Protocol,IGRP)报文等,在此不做限制。
可以理解的是,上述BGP报文、OSPF报文、ISIS报文及RIP报文各自均包括多种类型的报文。例如,所述BGP报文包括:BGP打开消息(Open)报文、BGP更新消息(Undate)报文及BGP报错消息(Notification)报文等。又如,所述OSPF报文包括:OSPF链路状态通告(LinkState Request Packet,LSA)报文及OSPF链路状态更新(Link State Update Packet,LSU)报文等。
这里,所述边界网络协议BGP为一种不同自治系统间的路由协议;BGP报文为基于所述BGP交互的报文。这里,所述开放式最短路径OSPF为一种单一自治系统的内部网关协议;OSPF报文为基于所述OSPF交互的报文。这里,所述链路状态路由协议为一种中间系统到中间系统的内部网关协议;ISIS报文为基于所述ISIS交互的报文。这里,所述路由信息协议RIP为一种自治系统内的动态路由协议,所述RIP仅与相邻的路由器交换信息;RIP报文为基于所述RIP的报文。
在本发明实施例中,所述可以获取BGP报文、OSPF报文、ISIS报文及RIP报文中的一种类型或其中多种类型的报文等,如此,可以适用于该些路由协议的合法报文的确定及传输,从而有利于的抵抗基于各种路由协议的攻击报文的攻击。
在一些实施例中,所述基于所述步骤S13,包括:
若所述标识字段集中的各所述标识字段,与所述白名单中包括的任意一个匹配字段匹配成功,确定出所述报文为合法报文;
或者,
若所述标识字段集中存在一个所述标识字段,与所述白名单中包括的各所述匹配字段均匹配失败,确定出所述报文为非法报文。
这里,所述标识字段集包括一个或多个标识字段。
这里,所述白名单包括一个或多个匹配字段;其中,所述匹配字段包括:第一类标识字段和/或第二类标识字段。
在一实施例中,所述标识字段集包括:目的地址字段;
所述若所述标识字段集中的各所述标识字段,与所述白名单中包括的任意一个匹配字段匹配成功,确定出所述报文为合法报文,包括:
若所述目的地址字段的内容,与所述白名单中包括的任意一个所述匹配字段的内容相同,确定出所述报文为合法报文。
在另一实施例中,所述标识字段集包括:目的地址字段;
所述若所述标识字段集中存在一个所述标识字段,与所述白名单中包括的各所述匹配字段均匹配失败,确定出所述报文为非法报文,包括:
若所述目的地址字段的内容,与所述白名单中包括的任意一个所述匹配字段的内容均不相同,确定出所述报文为非法报文。
这里,所述目的地址字段包括:目的IP地址字段或目的MAC地址字段。
例如,解析出一个报文的目的IP地址字段为:42.49.141.109,则在白名单中与所述目的IP地址字段对应的匹配字段中查找,若在所述匹配字段中查找到目的IP地址:42.49.141.109,则确定所述报文为合法报文。若在所述匹配字段中未查找到目的IP地址:42.49.141.109,则确定所述报文为非法报文。
又如,解析出一个报文的目的物理地址为:00:50:29:5A:8H:1E;则在白名单中与所述目的物理地址字段对应的匹配字段中查找,若在所述匹配字段中查找到目的物理地址:00:50:29:5A:8H:1E,则确定所述报文为合法报文。若在所述匹配字段中未查找到目的物理地址:00:50:29:5A:8H:1E,则确定所述报文为非法报文。
在一实施例中,所述标识字段集,包括:目的地址字段及源地址字段;
所述若所述标识字段集中的各所述标识字段,与所述白名单中包括的任意一个匹配字段匹配成功,确定出所述报文为合法报文,包括:
若所述目的地址字段的内容,与所述白名单中包括的与所述目的地址字段对应的匹配字段的内容相同,且若所述源地址字段的内容,与所述白名单中包括的与所述源地址字段对应的匹配字段的内容相同,确定出所述报文为合法报文。
在另一实施例中,所述标识字段集,包括:目的地址字段及源地址字段;
所述若所述标识字段集中存在一个所述标识字段,与所述白名单中包括的各所述匹配字段均匹配失败,确定出所述报文为非法报文,包括:
若所述目的地址字段的内容,与所述白名单中包括的与所述目的地址字段对应的匹配字段的内容不相同,和/或,若所述源地址字段的内容,与所述白名单中共包括的与所述源地址字段对应的匹配字段内容不相同,确定出所述报文为非法报文。
例如,解析出一个报文的目的IP地址字段为:42.49.141.109、且源IP地址字段为:42.49.141.101;则在白名单中与所述目的IP地址字段对应的匹配字段中和与所述源IP地址对应的匹配字段中查找,若在与所述目的IP地址对应的匹配字段中查找到目的IP地址:42.49.141.109;且在与所述源IP地址对应的匹配字段中查找到源IP地址:42.49.141.101,则确定所述报文为合法报文。若在与所述目的IP地址对应的匹配字段中查找到目的IP地址:42.49.141.109,但在于所述源IP地址对应的匹配地址字段中未查找到源IP地址:42.49.141.101,则确定所述报文为非法报文。
当然,在其它实施例中,所述标识字段集也可以是包括目的端口号字段、源端口号字段、源目的地址及下一跳字段等的其中至少之一,基于该些标识字段与白名单中对应的匹配字段匹配;仅需满足若标识字段集包括的所有标识字段均匹配成功,则确定所述报文为合法报文;若其中一个标识字段匹配失败,则确定所述报文为非法报文即可。
在本发明实施例中,若所述标识字段集中仅包括一个标识字段,仅需所述一个标识字段与白名单中对应的匹配字段匹配成功,则确定出所述报文为合法报文;否则,确定出所述报文为非法报文。若所述标识字段集中包括两个或两个以上的标识字段,需所述两个或两个以上的标识字段与白名单分别对应的匹配字段匹配成功,才能确定出所述报文为合法报文;否者,确定出所述报文为非法报文。如此,本发明实施例能够确定出报文为合法报文还是非法报文,为后续对所述报文进行进一步处理提供依据。
在一些实施例中,所述步骤S13,包括:
基于所述标识字段集及路由器中设置的白名单,确定出所述报文是否为合法报文;或者,
基于所述标识字段集及所述路由器的防火墙中设置的白名单,确定出所述报文是否为合法报文。
可以理解的是,一个路由器通常可以支持一个或多个防火墙;在路由器中可以设置防火墙。在一些实际应用中,若没有防火墙,路由器会在内部网络和外部网络之间盲目传递数据,其中所述数据为包括至少一个报文的数据。如此,在防火墙中添加白名单,可以阻止与白名单不匹配的非法报文的通过。
在本发明实施中,可以通过在路由器中设置白名单,或者在路由器的防火强中设置白名单,从而实现多种形式仅允许合法报文通过、阻止非法报文的通过。
如图2所示,在一些实施例中,所述方法还包括:
步骤S15,若确定所述报文为非法报文,对所述报文进行安全防护处理;其中,所述安全防护处理包括以下至少之一:
丢弃所述报文;
及输出告警信息。
在另一些实施例中,所述安全防护处理还包括:控制所述路由器进入休眠状态。
在又一些实施例中,所述安全防护处理还包括:记录所述非法报文的标识字段。
在本发明实施例中,在确定出所述报文为非法报文后,对所述报文进行安全防护处理,能够加强网络传输的安全性。例如,通过丢弃所述报文,能够减少攻击报文的继续传输;又如,输出告警信息,可以提醒用户路由器正在遭受攻击报文的攻击,再如,控制所述路由器进入休眠状态,可以减少所述攻击报文的继续攻击;再如,记录所述非法报文的标识字段,可以将所述报文的标识字段添加到黑名单等,能够有利于后续确定接收的报文是否为非法报文;等等。总之,所述安全防护处理,可以提高网络的安全性。
这里需要指出的是:以下安全防护装置项的描述,与上述安全防护方法项描述是类似的,同方法的有益效果描述,不做赘述。对于本发明安全防护装置实施例中未披露的技术细节,请参照本发明安全防护方法实施例的描述。
如图3所示,本发明实施例提供了一种安全防护装置,所述装置包括:
接收模块21,用于接收至少一个报文;
解析模块22,用于解析出所述报文的标识字段集;其中,所述标识字段集至少包括一个标识字段;
确定模块23,用于基于所述标识字段集及设置的白名单,确定出所述报文是否为合法报文;
处理模块24,用于若所述报文为合法报文,基于所述白名单发送所述报文。
在一些实施例中,所述确定模块23,用于若所述标识字段集中的各所述标识字段,与所述白名单中包括的任意一个匹配字段匹配成功,确定出所述报文为合法报文;
或者,
若所述标识字段集中存在一个所述标识字段,与所述白名单中包括的各所述匹配字段均匹配失败,确定出所述报文为非法报文。
在一些实施例中,所述标识字段集,包括:目的地址字段;
所述确定模块23,用于若所述目的地址字段的内容,与所述白名单中包括的任意一个所述匹配字段的内容相同,确定出所述报文为合法报文。
在一些实施例中,所述标识字段集,包括:目的地址字段及源地址字段;
所述确定模块23,用于若所述目的地址字段的内容,与所述白名单中包括的与所述目标地址字段对应的匹配字段的内容相同,且若所述源地址字段的内容,与所述白名单中包括的与所述源地址字段对应的匹配字段的内容相同,确定出所述报文为合法报文。
在一些实施例中,所述接收至少一个报文,包括以下至少之一:
接收至少一个边界网关协议BGP报文;
接收至少一个开放式最短路径优先OSPF报文;
接收至少一个链路状态路由协议ISIS报文;
接收至少一个路由信息协议RIP报文。
在一些实施例中,所述确定模块23,用于基于所述标识字段集及路由器中设置的白名单,确定出所述报文是否为合法报文;
或者,
基于所述标识字段集及所述路由器的防火墙中设置的白名单,确定出所述报文是否为合法报文。
在一些实施例中,所述处理模块24,用于若确定所述报文为非法报文,对所述报文进行安全防护处理;其中,所述安全防护处理包括以下至少之一:
丢弃所述报文;
及输出告警信息。
如图4所示,本发明实施例中还公开了一种路由器,所述路由器包括:
处理器;
用于存储处理器可执行指令的存储器;
其中,所述处理器用于运行所述可执行指令时,实现本发明任一实施例所述的安全防护的方法。例如,如图1至图2所示的方法中的一个或多个。
在一些实施例中,所述路由器还包括:
通信接口,用于接收或发送报文。
在一些实施例中,所述通信接口可包括:网络接口、例如,局域网接口、收发天线等。所述通信接口同样与所述处理器连接,能够用于信息收发。
在一些实施例中,本发明实施例中的存储器可以是易失性存储器或非易失性存储器,或可包括易失性和非易失性存储器两者。其中,非易失性存储器可以是只读存储器(Read-Only Memory,ROM)、可编程只读存储器(Programmable ROM,PROM)、可擦除可编程只读存储器(Erasable PROM,EPROM)、电可擦除可编程只读存储器(Electrically EPROM,EEPROM)或闪存。易失性存储器可以是随机存取存储器(Random Access Memory,RAM),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的RAM可用,例如静态随机存取存储器(Static RAM,SRAM)、动态随机存取存储器(Dynamic RAM,DRAM)、同步动态随机存取存储器(Synchronous DRAM,SDRAM)、双倍数据速率同步动态随机存取存储器(Double DataRate SDRAM,DDRSDRAM)、增强型同步动态随机存取存储器(Enhanced SDRAM,ESDRAM)、同步连接动态随机存取存储器(Synchlink DRAM,SLDRAM)和直接内存总线随机存取存储器(Direct Rambus RAM,DRRAM)。本文描述的系统和方法的存储器旨在包括但不限于这些和任意其它适合类型的存储器。
而处理器可能种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器可以是通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现成可编程门阵列(FieldProgrammable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器,处理器读取存储器中的信息,结合其硬件完成上述方法的步骤。
本发明又一实施例提供了一种计算机存储介质,该计算机可读存储介质存储有可执行程序,所述可执行程序被处理器执行时,可实现应用于所述路由器的所述安全防护方法的步骤。例如,如图1-图2所示的方法中的一个或多个。
在本申请所提供的几个实施例中,应该理解到,所揭露的设备和方法,可以通过其它的方式实现。以上所描述的设备实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,如:多个单元或组件可以结合,或可以集成到另一个系统,或一些特征可以忽略,或不执行。另外,所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口,设备或单元的间接耦合或通信连接,可以是电性的、机械的或其它形式的。
上述作为分离部件说明的单元可以是、或也可以不是物理上分开的,作为单元显示的部件可以是、或也可以不是物理单元,即可以位于一个地方,也可以分布到多个网络单元上;可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。
另外,在本发明各实施例中的各功能单元可以全部集成在一个处理模块中,也可以是各单元分别单独作为一个单元,也可以两个或两个以上单元集成在一个单元中;上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:移动存储设备、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
本申请所提供的几个方法实施例中所揭露的方法,在不冲突的情况下可以任意组合,得到新的方法实施例。
本申请所提供的几个产品实施例中所揭露的特征,在不冲突的情况下可以任意组合,得到新的产品实施例。
本申请所提供的几个方法或设备实施例中所揭露的特征,在不冲突的情况下可以任意组合,得到新的方法实施例或设备实施例。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。
Claims (10)
1.一种安全防护方法,其特征在于,包括:
接收至少一个报文;
解析出所述报文的标识字段集;其中,所述标识字段集至少包括一个标识字段;
基于所述标识字段集及设置的白名单,确定出所述报文是否为合法报文;
若所述报文为合法报文,基于所述标识字段集发送所述报文。
2.根据权利要求1所述的方法,其特征在于,所述基于所述标识字段集及设置的白名单,确定出所述报文是否为合法报文,包括:
若所述标识字段集中的各所述标识字段,与所述白名单中包括的任意一个匹配字段匹配成功,确定出所述报文为合法报文;
或者,
若所述标识字段集中存在一个所述标识字段,与所述白名单中包括的各所述匹配字段均匹配失败,确定出所述报文为非法报文。
3.根据权利要求2所述的方法,其特征在于,所述标识字段集,包括:目的地址字段;
所述若所述标识字段集中的各所述标识字段,与所述白名单中包括的任意一个匹配字段匹配成功,确定出所述报文为合法报文,包括:
若所述目的地址字段的内容,与所述白名单中包括的任意一个所述匹配字段的内容相同,确定出所述报文为合法报文。
4.根据权利要求2所述的方法,其特征在于,所述标识字段集,包括:目的地址字段及源地址字段;
所述若所述标识字段集中的各所述标识字段,与所述白名单中包括的任意一个匹配字段匹配成功,确定出所述报文为合法报文,包括:
若所述目的地址字段的内容,与所述白名单中包括的与所述目的地址字段对应的匹配字段的内容相同,且若所述源地址字段的内容,与所述白名单中包括的与所述源地址字段对应的匹配字段的内容相同,确定出所述报文为合法报文。
5.根据权利要求1至4任一项所述的方法,其特征在于,所述接收至少一个报文,包括以下至少之一:
接收至少一个边界网关协议BGP报文;
接收至少一个开放式最短路径优先OSPF报文;
接收至少一个链路状态路由协议ISIS报文;
接收至少一个路由信息协议RIP报文。
6.根据权利要求1至4任一项所述的方法,其特征在于,所述基于所述标识字段集及设置的白名单,确定出所述报文是否为合法报文,包括:
基于所述标识字段集及路由器中设置的白名单,确定出所述报文是否为合法报文;
或者,
基于所述标识字段集及所述路由器的防火墙中设置的白名单,确定出所述报文是否为合法报文。
7.根据权利要求1至4任一项所述的方法,其特征在于,所述方法还包括:
若确定所述报文为非法报文,对所述报文进行安全防护处理;其中,所述安全防护处理包括以下至少之一:
丢弃所述报文;
及输出告警信息。
8.一种安全防护装置,其特征在于,包括:
接收模块,用于接收至少一个报文;
解析模块,用于解析出所述报文的标识字段集;其中,所述标识字段集至少包括一个标识字段;
确定模块,用于基于所述标识字段集及设置的白名单,确定出所述报文是否为合法报文;
处理模块,用于若所述报文为合法报文,基于所述白名单发送所述报文。
9.一种路由器,其特征在于,包括:
处理器;
用于存储处理器可执行指令的存储器;
其中,所述处理器用于运行所述可执行指令时,实现权利要求1-7任一项所述的安全防护方法。
10.一种计算机存储介质,其特征在于,所述计算机存储介质存储有计算机可执行指令;所述计算机可执行指令被处理器执行后,能够实现权利要求1至7任一项所述的安全防护方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911350978.XA CN111083154A (zh) | 2019-12-24 | 2019-12-24 | 一种安全防护方法、装置及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911350978.XA CN111083154A (zh) | 2019-12-24 | 2019-12-24 | 一种安全防护方法、装置及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111083154A true CN111083154A (zh) | 2020-04-28 |
Family
ID=70317411
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911350978.XA Pending CN111083154A (zh) | 2019-12-24 | 2019-12-24 | 一种安全防护方法、装置及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111083154A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111897284A (zh) * | 2020-08-21 | 2020-11-06 | 湖南匡安网络技术有限公司 | 一种plc设备的安全防护方法和系统 |
| CN112087440A (zh) * | 2020-09-02 | 2020-12-15 | 上海英恒电子有限公司 | 一种报文传输方法、装置、电子设备及存储介质 |
| CN116633686A (zh) * | 2023-07-19 | 2023-08-22 | 杭州海康威视数字技术股份有限公司 | 一种安全网关自适应访问控制的方法、装置及电子设备 |
| CN117240550A (zh) * | 2023-09-18 | 2023-12-15 | 国网宁夏电力有限公司建设分公司 | 变电站生产控制ⅰ区和ⅱ区间的隔离控制方法和防火墙 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105262738A (zh) * | 2015-09-24 | 2016-01-20 | 上海斐讯数据通信技术有限公司 | 一种路由器及其防arp攻击的方法 |
| CN106559382A (zh) * | 2015-09-25 | 2017-04-05 | 北京计算机技术及应用研究所 | 基于opc协议的安全网关防护系统访问控制方法 |
| CN107360178A (zh) * | 2017-07-31 | 2017-11-17 | 郑州云海信息技术有限公司 | 一种使用白名单控制网络访问的方法 |
| WO2018149246A1 (zh) * | 2017-02-14 | 2018-08-23 | 中兴通讯股份有限公司 | 一种检测方法及装置 |
| CN108551446A (zh) * | 2018-04-08 | 2018-09-18 | 东软集团股份有限公司 | 防攻击的syn报文处理方法、装置、防火墙及存储介质 |
| CN110225015A (zh) * | 2019-05-30 | 2019-09-10 | 北京网太科技发展有限公司 | 基于开放式最短路径优先协议的安全防护方法及装置 |
-
2019
- 2019-12-24 CN CN201911350978.XA patent/CN111083154A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105262738A (zh) * | 2015-09-24 | 2016-01-20 | 上海斐讯数据通信技术有限公司 | 一种路由器及其防arp攻击的方法 |
| CN106559382A (zh) * | 2015-09-25 | 2017-04-05 | 北京计算机技术及应用研究所 | 基于opc协议的安全网关防护系统访问控制方法 |
| WO2018149246A1 (zh) * | 2017-02-14 | 2018-08-23 | 中兴通讯股份有限公司 | 一种检测方法及装置 |
| CN107360178A (zh) * | 2017-07-31 | 2017-11-17 | 郑州云海信息技术有限公司 | 一种使用白名单控制网络访问的方法 |
| CN108551446A (zh) * | 2018-04-08 | 2018-09-18 | 东软集团股份有限公司 | 防攻击的syn报文处理方法、装置、防火墙及存储介质 |
| CN110225015A (zh) * | 2019-05-30 | 2019-09-10 | 北京网太科技发展有限公司 | 基于开放式最短路径优先协议的安全防护方法及装置 |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111897284A (zh) * | 2020-08-21 | 2020-11-06 | 湖南匡安网络技术有限公司 | 一种plc设备的安全防护方法和系统 |
| CN112087440A (zh) * | 2020-09-02 | 2020-12-15 | 上海英恒电子有限公司 | 一种报文传输方法、装置、电子设备及存储介质 |
| CN116633686A (zh) * | 2023-07-19 | 2023-08-22 | 杭州海康威视数字技术股份有限公司 | 一种安全网关自适应访问控制的方法、装置及电子设备 |
| CN116633686B (zh) * | 2023-07-19 | 2023-09-29 | 杭州海康威视数字技术股份有限公司 | 一种安全网关自适应访问控制的方法、装置及电子设备 |
| CN117240550A (zh) * | 2023-09-18 | 2023-12-15 | 国网宁夏电力有限公司建设分公司 | 变电站生产控制ⅰ区和ⅱ区间的隔离控制方法和防火墙 |
| CN117240550B (zh) * | 2023-09-18 | 2024-06-04 | 国网宁夏电力有限公司建设分公司 | 变电站生产控制ⅰ区和ⅱ区间的隔离控制方法和防火墙 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111083154A (zh) | 一种安全防护方法、装置及存储介质 | |
| CN112219381B (zh) | 用于基于数据分析的消息过滤的方法和装置 | |
| US7885274B2 (en) | Route optimization between a mobile router and a correspondent node using reverse routability network prefix option | |
| US7890637B1 (en) | Secure communications in a system having multi-homed devices | |
| CN105991655B (zh) | 用于缓解基于邻居发现的拒绝服务攻击的方法和装置 | |
| US9247430B2 (en) | Method of processing a data packet on transmission, a method of processing a data packet on reception, and associated devices and nodes | |
| CN107547510B (zh) | 一种邻居发现协议安全表项处理方法和装置 | |
| US11863447B2 (en) | Route processing method and network device | |
| US20080317002A1 (en) | Tamper-resistant communication layer for attack mitigation and reliable intrusion detection | |
| EP1733501A1 (en) | Method and apparatus for preventing network attacks by authenticating internet control message protocol packets | |
| US10911581B2 (en) | Packet parsing method and device | |
| CN105634660B (zh) | 数据包检测方法及系统 | |
| Sandhya Venu et al. | Invincible AODV to detect black hole and gray hole attacks in mobile ad hoc networks | |
| US7854003B1 (en) | Method and system for aggregating algorithms for detecting linked interactive network connections | |
| CN111953810B (zh) | 识别代理互联网协议地址的方法、装置及存储介质 | |
| CN111147478B (zh) | 一种安全防护方法、装置及存储介质 | |
| US9912643B2 (en) | Attack defense processing method and protection device | |
| US11659394B1 (en) | Agile node isolation using packet level non-repudiation for mobile networks | |
| Shah et al. | Security Issues in Next Generation IP and Migration Networks | |
| US20180097776A1 (en) | Network protection entity and method for protecting a communication network against fraud messages | |
| CN107547687B (zh) | 一种报文传输方法和装置 | |
| CN110401646A (zh) | IPv6安全邻居发现过渡环境中CGA参数探测方法及装置 | |
| CN115442288B (zh) | 一种SRv6网络数据包检查方法和装置 | |
| US11044197B2 (en) | System and method for protecting resources using network devices | |
| CN115277135B (zh) | 一种基于隧道技术的动态安全防护方法及应用 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200428 |
|
| RJ01 | Rejection of invention patent application after publication |