CN111147478B - 一种安全防护方法、装置及存储介质 - Google Patents

一种安全防护方法、装置及存储介质 Download PDF

Info

Publication number
CN111147478B
CN111147478B CN201911351054.1A CN201911351054A CN111147478B CN 111147478 B CN111147478 B CN 111147478B CN 201911351054 A CN201911351054 A CN 201911351054A CN 111147478 B CN111147478 B CN 111147478B
Authority
CN
China
Prior art keywords
message
bgp
field
identification field
messages
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201911351054.1A
Other languages
English (en)
Other versions
CN111147478A (zh
Inventor
陈景
王彤
胥斌
董学瑞
陈欣华
沈慧婷
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Wangtai Technology Development Co ltd
Original Assignee
Beijing Wangtai Technology Development Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Wangtai Technology Development Co ltd filed Critical Beijing Wangtai Technology Development Co ltd
Priority to CN201911351054.1A priority Critical patent/CN111147478B/zh
Publication of CN111147478A publication Critical patent/CN111147478A/zh
Application granted granted Critical
Publication of CN111147478B publication Critical patent/CN111147478B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/02Topology update or discovery
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/74Address processing for routing
    • H04L45/745Address table lookup; Address filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明实施例公开了一种安全防护方法,包括:接收至少一个边界网关协议BGP报文;解析出所述BGP报文的标识字段,其中,所述标识字段至少包括表征所述BGP报文格式的第一类标识字段;基于所述标识字段及路由器中携带的匹配规则,确定出所述BGP报文是否为非法报文;若所述BGP报文为非法报文,对所述BGP报文进行安全防护处理。本发明实施例还公开了一种安全防护装置及存储介质。

Description

一种安全防护方法、装置及存储介质
技术领域
本发明涉及网络技术领域,尤其涉及一种安全防护方法、装置及存储介质。
背景技术
边界网关协议(Border Gateway Protocol,BGP)是一种自治系统间(AutonomousSystem,AS)路由协议。目前,对于针对所述BGP的攻击的防护手段,一般是对流量进行源互联网协议(Internet Protocol,IP)地址或目的IP地址等的过滤,然而这种过滤极易对正常业务的流量进行误判,导致正常业务无法访问。
发明内容
本发明实施例提供一种安全防护方法、装置及存储介质。
本发明的技术方案是这样实现的:
一种安全防护方法,包括:
接收至少一个边界网关协议BGP报文;
解析出所述BGP报文的标识字段,其中,所述标识字段至少包括表征所述BGP报文格式的第一类标识字段;
基于所述标识字段及路由器中携带的匹配规则,确定出所述BGP报文是否为非法报文;
若所述BGP报文为非法报文,对所述BGP报文进行安全防护处理。
上述方案中,所述基于所述标识字段及路由器中携带的匹配规则,确定出所述BGP报文是否为非法报文,包括:
若所述标识字段,与所述匹配规则包括的匹配字段全部匹配成功,确定出所述BGP报文为非法报文;
或者,
若所述标识字段,与所述匹配规则中包括的匹配字段中至少一个所述匹配字段匹配失败,确定出所述BGP报文为合法报文。
上述方案中,所述第一类标识字段,包括以下至少之一:
自治系统AS号字段、AS路径字段、下一跳字段、报文长度字段、网络层可达性消息NLRI字段及保持时间字段。
上述方案中,所述标识字段包括:第二类标识字段;其中,所述第二类标识字段包括以下至少之一:源互联网协议IP地址字段、目的IP地址字段、源端口字段、目的端口字段、控制报文协议ICMP代码类型字段及传输控制协议TCP标志位字段。
上述方案中,所述方法还包括:
若在预定时间范围内接收到同一个源IP地址的所述BGP报文数量超过设置的阈值,确定所述BGP报文为疑难报文,其中,所述疑难报文为:根据所述匹配规则无法确定为合法报文或非法报文的报文;
输出所述疑难报文的警告信息。
上述方案中,所述方法还包括:
基于所述疑难报文的所述源IP地址,更新所述路由器中的所述匹配规则。
上述方案中,所述若在预定时间范围内接收到同一个源IP地址的所述BGP报文数量超过设置的阈值,确定所述BGP报文为疑难报文,包括:
若在预定时间范围内接收到同一个源IP地址的一种类型的BGP报文超过设置的阈值,确定所述预设时间范围内接收所述源IP地址的所有所述BGP报文均为所述疑难报文。
上述方案中,所述若在预定时间范围内接收到同一个源IP地址的一种类型的BGP报文超过设置的阈值,确定所述预设时间范围内接收所述源IP地址的所有所述BGP报文均为所述疑难报文,包括:
若确定在预定时间间隔内接收的同一个源IP地址的BGP打开消息报文、BGP更新消息报文及BGP报错消息报文的其中之一的数量超过设置的阈值,确定所述预定时间范围内的接收的所述BGP打开消息报文、所述BGP更新消息报文及所述BGP报错消息报文均为所述疑难报文。
本发明实施例还提供一种安全防护装置,包括:
接收模块,用于接收至少一个边界网关协议BGP报文;
解析模块,用于解析出所述BGP报文的标识字段,其中,所述标识字段至少包括表征所述BGP报文格式的第一类标识字段;
确定模块,用于基于所述标识字段及路由器中携带的匹配规则,确定出所述BGP报文是否为非法报文;
处理模块,用于若所述BGP报文为非法报文,对所述BGP报文进行安全防护处理。
本发明实施例还提供一种计算机存储介质,所述计算机存储介质存储有计算机可执行指令;所述计算机可执行指令被处理器执行后,能够实现本发明任一实施例所述的安全防护方法。
本发明实施例所提供的安全防护方法,在接收到BGP报文后,会解析出所述BGP报文的标识字段,基于所述标识字段与路由器中携带的匹配规则,确定出的所述BGP报文是否为非法报文;并确定所述GBP报文为非法报文后,对所述BGP进行安全防护处理;如此,能够减少攻击报文的继续传输,提高网路传输的安全性。
并且,由于本发明实施例中,是基于表征所述BGP报文格式的第一类标识字段及所述匹配规则,确定所述BGP报文是否为非法报文,能够基于更小粒度的匹配实现确定所述BGP报文是否为非法报文,从而能够提高确定所述BGP报文是否为非法报文的准确性,进而减少由于误判所述BGP报文的类别而影响正常业务的情况发生。
附图说明
图1为本发明实施例提供的一种安全防护方法的流程示意图;
图2为本发明实施例提供的一种安全防护方法的流程示意图;
图3为本发明实施例提供的一种安全防护方法的流程示意图;
图4为本发明实施例提供的一种安全防护装置的结构示意图;
图5为本发明实施例提供的一种路由器的结构示意图。
具体实施方式
下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
除非另有定义,本文所使用的所有的技术和科学术语与属于本发明的技术领域的技术人员通常理解的含义相同。本文中在本发明的说明书中所使用的术语只是为了描述具体的实施例的目的,不是旨在于限制本发明。
如图1所示,本发明实施例提供了一种安全防护方法,所述方法包括:
步骤S11,接收至少一个边界网关协议BGP报文;
步骤S12,解析出所述BGP报文的标识字段,其中,所述标识字段至少包括表征所述BGP报文格式的第一类标识字段;
步骤S13,基于所述标识字段及路由器中携带的匹配规则,确定出所述BGP报文是否为非法报文;
步骤S14,若所述BGP报文为非法报文,对所述BGP报文进行安全防护处理。
在本发明实施例提供的安全防护方法可以应用于路由器中。该方法可以应用于整个网络的所有路由器中;或者应用于部分路由器中。例如,该方法可以应用于局域网连接到互联网的路由器中等。在一些实施例中,该方法还可以应用于连接预定个数其他路由器的路由器中。
总之,本发明实施例提供的安全防护方法可以应用于网络中部分或全部路由器中。
在本发明实施例中,所述匹配规则包括至少一个匹配字段。在一实施例中,所述匹配规则为黑名单。
在本发明实施例中,路由器在进行非法报文的判断时,会预先获取匹配规则。例如路由器从人机交互接口或其它设备中接收匹配规则等。
在一些实施例中,所述第一类标识字段,包括以下至少之一:自治系统AS号字段、AS路径字段、下一跳字段、报文长度字段、网络层可达性消息NLRI字段及保持时间字段。
这里,所述AS号字段为所述AS的编号的字段。可以理解的是,每一个自治系统都有一个唯一的自治系统编号;这里,所述AS号字段即为所述唯一自治系统编号的字段。
所述AS路径字段为报文达到目标网络所经过的AS号序列的字段。
所述下一跳字段为达到下一个路由器的IP地址的字段。
所述报文长度字段为所述报文的总长度的字段。
所述网络层可达性消息字段为描述报文到目的路由器的具有是否可达或目的路由器运行状态的字段。例如,所述可达性消息字段中包括跳数。
所述保持时间字段为从上一个路由器收到报文或更新报文之前所经过的最大秒数。
当然,在其它实施例中,根据报文的格式,还可以有其它的字段,例如BGP标识号字段等。这里,所述BGP标识字段可以为发出报文的路由器标识信息的字段。
可以理解的是,对于不同类型的BGP报文,所包含的格式字段是不一样的。例如,BGP打开消息报文包括AS号字段、保持时间字段及BGP标识号字段等。又如,BGP更新消息报文包括AS号字段、AS路径字段及网络侧可达性消息字段等。
如此,在本实施例中,可以利用更小单位,即表征所述BGP报文格式的字段,确定所述BGP报文是否为非法报文,从而能够更加精确的确定所述BGP报文是否为非法报文。
在一些实施例中,所述标识字段还包括:第二类标识字段,其中,所述第二类标识字段包括以下至少之一:源互联网协议IP地址字段、目的IP地址字段、源端口字段、目的端口字段、控制报文协议ICMP代码类型字段及传输控制协议TCP标志位字段。
这里,所述源IP地址字段为发出报文的IP地址的字段;所述目的IP地址为所述报文最终达到的IP地址的字段。所述源端口字段发送所述报文的端口的字段;所述目的端口字段为最终达到的端口的字段。所述ICMP代码类型字段为所述描述ICMP各类型的字段。所述TCP标志位字段为允许发送方或接收方哪些标识被使用的字段。
这里,在所述步骤S14中,对所述BGP报文进行安全防护处理,可以是丢弃所述BGP报文。
本发明实施例所提供的安全防护方法,在接收到BGP报文后,会解析出所述BGP报文的标识字段,基于所述标识字段与路由器中携带的匹配规则,确定出的所述BGP报文是否为非法报文;并确定所述GBP报文为非法报文后,对所述BGP进行安全防护处理;如此,能够减少攻击报文的继续传输,提高网路传输的安全性。
并且,由于本发明实施例中,是基于表征所述BGP报文格式的第一类标识字段及所述匹配规则,确定所述BGP报文是否为非法报文,能够基于更小粒度的匹配实现确定所述BGP报文是否为非法报文,从而能够提高确定所述BGP报文是否为非法报文的准确性,进而减少由于误判所述BGP报文的类别而影响正常业务的情况发生。
并且,若在本发明实施例中,所述标识信息除了包括表征所述BGP报文格式的第一类标识字段外,还包括例如源IP地址字段、目的IP地址字段、源端口字段、目的端口字段、ICMP代码类型字段,和/或TCP标志位字段等第二类标识字段,来确定出所述BGP报文是否为非法报文,能够结合第一类标识字段及第二类标识字段,从多维度进行匹配而确定出所述GBP报文是否为非法报文,从而能够进一步提高确定所述BGP报文是否为非法报文的准确性,进而能够进一步降低误判发生的概率。
在一些实施例中,若所述BGP报文为合法报文,则转化所述BGP报文。如此,可以对合法报文进行正常转发操作。
如图2所示,在一些实施例中,所述步骤S13,包括:
步骤S131,若所述标识字段,与所述匹配规则包括的匹配字段全部匹配成功,确定出所述BGP报文为非法报文;
或者,
步骤S132,若所述标识字段,与所述匹配规则中包括的匹配字段中至少一个所述匹配字段匹配失败,确定出所述BGP报文为合法报文。
这里,所述匹配规则包括预定数量的匹配字段;这里,所述匹配字段为第一类标识字段。在一些实施例中,所述匹配字段为第一类标识字段或第二类标识字段。
在一些实施例中,所述标识字段,与所述匹配规则包括的匹配字段全部匹配成功,包括:
所述BGP报文中的第一类标识字段,与所述匹配规则中包括的第一类标识字段全部匹配成功;
以及,所述BGP报文中的第二类标识字段,与所述匹配规则中包括的第二类标识字段全部匹配成功。
例如,所述匹配规则包括AS号字段、AS路径字段及下一跳字段;则解析出的所述BGP报文的标识字段中AS号字段与所述匹配规则中AS字号字段相同,解析出的所述BGP报文的标识字段中AS路径字段与所述匹配规则中AS路径字段相同,且解析出的所述BGP报文中下一跳字段与所述匹配规则中下一跳字段是相同时,才能确定所述BGP报文为非法报文。
在一些实施例中,所述标识字段,与所述匹配规则中包括的匹配字段至少一个所述匹配字段匹配失败,包括:
所述BGP报文中的第一类标识字段,与所述匹配规则中的包括的第一类标识字段中至少一个所述第一类标识字段匹配失败;
或者,
所述BGP报文中的第二类标识字段,与所述匹配贵规则中包括的第二类标识字段中至少一个所述第二类标识字段匹配失败。
例如,所述匹配规则包括AS号字段、AS路径字段、源IP地址字段及源端口字段,当解析出的所述BGP报文的标识字段中AS号字段与所述匹配规则中AS号字段不相同时,即可确定所述BGP报文为非法报文。或者,当解析出的所述BGP报文的标识字段中AS路径字段与所述匹配规则中AS路径字段不相同时,即可确定所述BGP报文为非法报文。或者,当解析出的所述BGP报文中源IP地址字段与所述匹配规则中源IP地址字段不相同时,即可确定所述BGP报文为非法报文。或者,当解析出的所述BGP报文中源端口字段与所述匹配规则中源端口字段不相同时,即可确定所述BGP报文为合法报文。
在本发明实施例中,可以通过第一类标识字段,或者通过第一类标识字段及第二类标识字段,确定BGP报文是合法报文还是非法报文。例如,通过分析所述BGP报文的AS路径字段(即通过分析BGP报文的转路径)及通过分析所述BGP报文的源IP地址(即通过分析BGP报文的发送方的IP地址)分别,与匹配规则中对应的匹配字段全部匹配成功,则确定所述BGP报文是非法报文,或者与匹配规则中对应的匹配字段的其中之一匹配失败,则确定出所述BGP报文是合法报文。如此,能够进一步提高确定报文是否为合法报文或者非法报文的准确性。
如图3所示,所述方法还包括:
步骤S21,若在预定时间范围内接收到同一个源IP地址的所述BGP报文数量超过设置的阈值,确定所述BGP报文为疑难报文,其中,所述疑难报文为:根据所述匹配规则无法确定为合法报文或非法报文的报文;
步骤S22,输出所述疑难报文的警告信息。
这里,所述预定时间范围可以为用户任意设置的时间范围。例如,所述预定时间范围内可以为100秒范围内。
这里,所述阈值为与所述预定时间对应的数量。例如,根据历史数据,10秒接收的BGP一般为100个。则基于10秒的预定时间范围,设置的阈值为100个。
在本发明实施例中,可以通过路由器发出警告的声音,提醒用户路由器接收到所述疑难报文。当然,在本发明实施例中,还可以将所述疑难报文列入路由器的可疑名单。
在本发明实施例中,当所述预定时间范围内接收到的BGP报文的数量增大时,尤其若在比较短的预定时间范围内瞬时增大时,很可能路由器传输所述BGP报文遇到了异常情况,从而确定所述BGP报文为疑难报文。
在一些应用场景中,在确定所述BGP报文为可疑报文之后,还可以进一步确定所述疑难报文是否为非法报文。确定所述疑难报文的是否为非法报文可以为基于上述实施例中步骤S13等;也可以是基于用户操作,来确定所述疑难报文是否为非法报文。
在一些应用场景中,所述方法还包括:在确定所述BGP报文为疑难报文之后,对所述疑难报文进行转发。
如此,可以实现疑难报文的直接转发,或者对所述疑难报文进行进一步的确定。
在一些实施例中,所述方法还包括:
步骤S23,基于所述疑难报文的所述源IP地址,更新所述路由器中的所述匹配规则。
在本发明实施例中,可以将所述疑难报文的所述源IP地址,添加到所述路由器中匹配规则中,即将所述源IP地址添加到所述规则匹配中对应源IP地址字段中。如此,在所述匹配规则中又添加一个新的IP源地址。如此,实现了匹配规则的动态更新。
可以理解的是,在其它实施例中,匹配规则中其它匹配字段也可以进行更新,例如,为源端口字段、AS号字段、或下一跳字段等进行更新。可以利用在预定时间范围内接收到同一个源端口,或同一个AS号,或同一个下一跳等的所述BGP报文是否超过设定的阈值,来确定所述BGP报文是否为疑难报文;若是,则基于源端口字段、AS号字段或下一跳字段等,来更新所述匹配规则的对应的匹配字段。
当然,在其他实施例中,也可以利用其它方法实现所述匹配规则的动态更新。
在一些实施例中,所述若在预定时间范围内接收到同一个源IP地址的所述BGP报文数量超过设置的阈值,确定所述BGP报文为疑难报文,包括:
若在预定时间范围内接收到同一个源IP地址的一种类型的BGP报文超过设置的阈值,确定所述预设时间范围内接收所述源IP地址的所有所述BGP报文均为所述疑难报文。
这里,所述BGP报文包括但不限于以下至少之一:
BGP打开消息(Open)报文、BGP更新消息(Undate)报文、BGP报错消息(Notification)报文、BGP保持连接(Keepalive)报文、BGP路由刷新(Route-refresh)报文。
在本发明实施例中,所述若在预定时间范围内接收到同一个源IP地址的一种类型的BGP报文,例如,在10秒内接收到的BGP打开消息报文超过50个,则确定所述在该10秒内接收与所述源IP地址相同的IP地址的所有BGP报文都为疑难报文。如此,通过确定一种类型的BGP报文为疑难报文时,将预定时间内接收到的归属于同一个源IP地址的其它多种类型的BGP报文也为确定为疑难报文,从而能够进一步加强网络安全防护的力度,阻挡攻击报文的进攻。
例如,在一实施例中,所述若在预定时间范围内接收到同一个源IP地址的一种类型的BGP报文超过设置的阈值,确定所述预设时间范围内接收所述源IP地址的所有所述BGP报文均为所述疑难报文,包括:
若确定在预定时间间隔内接收的同一个源IP地址的BGP打开消息报文、BGP更新消息报文及BGP报错消息报文的其中之一的数量超过设置的阈值,确定所述预定时间范围内的接收的所述BGP打开消息报文、所述BGP更新消息报文及所述BGP报错消息报文均为所述疑难报文。
示例性的,路由器接收BGP打开消息报文、BGP更新消息报文及BGP报错消息报文。若设置在预定时间范围10秒内,接收BGP打开消息报文的阈值为50个,接收BGP更新消息报文的阈值为60个,接收BGP报错消息报文为70个。
若在第一个10秒内,接收到源IP地址为:42.49.141.117的BGP打开消息报文为80个,则确定在所述第一个10秒内,接收到所述源IP地址为:42.49.141.117的所述BGP打开消息报文、所述BGP更新消息报文及所述BGP报错消息报文均为疑难报文。
若在第二个10秒内,接收到源IP地址为:42.49.141.109的BGP更新消息报文为200个,则确定在所述第一个10秒内,接收到所述源IP地址为:42.49.141.109的所述BGP打开消息报文、所述BGP更新消息报文及所述BGP报错消息报文均为疑难报文。
若在第三个10秒内,接收到源IP地址为:43.49.123.112的BGP更新消息报文为100个,则确定在所述第三个10秒内,接收到所述源IP地址为:43.49.123.112的所述BGP打开消息报文、所述BGP更新消息报文及所述BGP报错消息报文均为疑难报文。
当然,在其它示例中,可以动态调整预定时间范围以及与所述预定时间范围对应的BGP报文的阈值。
如此,在本发明实施例中,可以对在预定时间范围内,接收到同一个源IP的任意一个类型的BGP报文超过设定的阈值时,确定预定时间范围内接收的所述源IP地址的所有BGP报文均为可疑报文。如此,可以进一步加强网络防护力度,降低被攻击报文攻击的可能性。
且,本发明实施例,还可以对于同一个源IP地址的不同类型的BGP报文,进行联合校验;相对于现有技术中,仅能对单个报文进行处理来说,能够实现更叠加更复杂的匹配逻辑,增加了确定出所述BGP报文是否为非法报文的准确性。
这里需要指出的是:以下安全防护装置项的描述,与上述安全防护方法项描述是类似的,同方法的有益效果描述,不做赘述。对于本发明安全防护装置实施例中未披露的技术细节,请参照本发明安全防护方法实施例的描述。
如图4所示,本发明实施例提供了一种安全防护装置,所述装置包括:
接收模块41,用于接收至少一个边界网关协议BGP报文;
解析模块42,用于解析出所述BGP报文的标识字段,其中,所述标识字段至少包括表征所述BGP报文格式的第一类标识字段;
确定模块43,用于基于所述标识字段及路由器中携带的匹配规则,确定出所述BGP报文是否为非法报文;
处理模块44,用于若所述BGP报文为非法报文,对所述BGP报文进行安全防护处理。
在一些实施例中,所述确定报文43,用于若所述标识字段,与所述匹配规则包括的匹配字段全部匹配成功,确定出所述BGP报文为非法报文;
或者,
若所述标识字段,与所述匹配规则中包括的匹配字段中至少一个所述匹配字段匹配失败,确定出所述BGP报文为合法报文。
在一些实施例中,所述第一类标识字段,包括以下至少之一:
自治系统AS号字段、AS路径字段、下一跳字段、报文长度字段、网络层可达性消息NLRI字段及保持时间字段。
在一些实施例中,所述标识字段包括:第二类标识字段;其中,所述第二类标识字段包括以下至少之一:源互联网协议IP地址字段、目的IP地址字段、源端口字段、目的端口字段、控制报文协议ICMP代码类型字段及传输控制协议TCP标志位字段。
在一些实施例中,所述处理模块44,用于若在预定时间范围内接收到同一个源IP地址的所述BGP报文数量超过设置的阈值,确定所述BGP报文为疑难报文,其中,所述疑难报文为:根据所述匹配规则无法确定为合法报文或非法报文的报文;
所述装置还包括:
输出模块45,用于输出所述疑难报文的警告信息。
在一些实施例中,所述处理模块44,用于基于所述疑难报文的所述源IP地址,更新所述路由器中的匹配规则。
在一些实施例中,所述处理模块44,用于若在预定时间范围内接收到同一个源IP地址的一种类型的BGP报文超过设置的阈值,确定所述预设时间范围内接收所述源IP地址的所有所述BGP报文均为所述疑难报文。
在一些实施例中,所述处理模块44,用于若确定在预定时间间隔内接收的同一个源IP地址的BGP打开消息报文、BGP更新消息报文及BGP报错消息报文的其中之一的数量超过设置的阈值,确定所述预定时间范围内的接收的所述BGP打开消息报文、所述BGP更新消息报文及所述BGP报错消息报文均为所述疑难报文。
如图5所示,本发明实施例中还公开了一种路由器,所述路由器包括:
通信接口,用于收发报文;
存储器,用于存储计算机可执行指令;
处理器,与所述存储器连接,用于通过执行存储在所述存储器上的计算机可执行指令,能够实现应用于所述路由器的所述安全防护方法。例如,如图1-图3所示的方法中的一个或多个。
在一些实施例中,所述通信接口可包括:网络接口、例如,局域网接口、收发天线等。所述通信接口同样与所述处理器连接,能够用于信息收发。
在一些实施例中,本发明实施例中的存储器可以是易失性存储器或非易失性存储器,或可包括易失性和非易失性存储器两者。其中,非易失性存储器可以是只读存储器(Read-Only Memory,ROM)、可编程只读存储器(Programmable ROM,PROM)、可擦除可编程只读存储器(Erasable PROM,EPROM)、电可擦除可编程只读存储器(Electrically EPROM,EEPROM)或闪存。易失性存储器可以是随机存取存储器(Random Access Memory,RAM),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的RAM可用,例如静态随机存取存储器(Static RAM,SRAM)、动态随机存取存储器(Dynamic RAM,DRAM)、同步动态随机存取存储器(Synchronous DRAM,SDRAM)、双倍数据速率同步动态随机存取存储器(Double DataRate SDRAM,DDRSDRAM)、增强型同步动态随机存取存储器(Enhanced SDRAM,ESDRAM)、同步连接动态随机存取存储器(Synchlink DRAM,SLDRAM)和直接内存总线随机存取存储器(Direct Rambus RAM,DRRAM)。本文描述的系统和方法的存储器旨在包括但不限于这些和任意其它适合类型的存储器。
而处理器可能种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器可以是通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现成可编程门阵列(FieldProgrammable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器,处理器读取存储器中的信息,结合其硬件完成上述方法的步骤。
本发明又一实施例提供了一种计算机存储介质,该计算机可读存储介质存储有可执行程序,所述可执行程序被处理器执行时,可实现应用于所述路由器的所述安全防护方法的步骤。例如,如图1-图3所示的方法中的一个或多个。
在本申请所提供的几个实施例中,应该理解到,所揭露的设备和方法,可以通过其它的方式实现。以上所描述的设备实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,如:多个单元或组件可以结合,或可以集成到另一个系统,或一些特征可以忽略,或不执行。另外,所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口,设备或单元的间接耦合或通信连接,可以是电性的、机械的或其它形式的。
上述作为分离部件说明的单元可以是、或也可以不是物理上分开的,作为单元显示的部件可以是、或也可以不是物理单元,即可以位于一个地方,也可以分布到多个网络单元上;可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。
另外,在本发明各实施例中的各功能单元可以全部集成在一个处理模块中,也可以是各单元分别单独作为一个单元,也可以两个或两个以上单元集成在一个单元中;上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:移动存储设备、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
本申请所提供的几个方法实施例中所揭露的方法,在不冲突的情况下可以任意组合,得到新的方法实施例。
本申请所提供的几个产品实施例中所揭露的特征,在不冲突的情况下可以任意组合,得到新的产品实施例。
本申请所提供的几个方法或设备实施例中所揭露的特征,在不冲突的情况下可以任意组合,得到新的方法实施例或设备实施例。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。

Claims (9)

1.一种安全防护方法,其特征在于,包括:
接收至少一个边界网关协议BGP报文;
解析出所述BGP报文的标识字段,其中,所述标识字段包括第一类标识字段和第二类标识字段,其中,所述第一类标识字段表征所述BGP报文的转发路径,所述第二类标识字段为发出所述BGP报文的路由器标识信息的字段;
基于所述标识字段及路由器中携带的匹配规则,确定出所述BGP报文是否为非法报文;
若在预定时间范围内接收到同一个源IP地址的一种类型的BGP报文数量超过设置的阈值,确定所述预定 时间范围内接收所述源IP地址的所有所述BGP报文均为疑难报文,其中,所述设置的阈值基于所述BGP报文的类型确定,所述疑难报文为:根据所述匹配规则无法确定为合法报文或非法报文的报文;
若所述BGP报文为非法报文,对所述BGP报文进行安全防护处理。
2.根据权利要求1所述的方法,其特征在于,所述基于所述标识字段及路由器中携带的匹配规则,确定出所述BGP报文是否为非法报文,包括:
若所述标识字段,与所述匹配规则包括的匹配字段全部匹配成功,确定出所述BGP报文为非法报文;
或者,
若所述标识字段,与所述匹配规则中包括的匹配字段中至少一个所述匹配字段匹配失败,确定出所述BGP报文为合法报文。
3.根据权利要求1或2所述的方法,其特征在于,所述第一类标识字段,至少包括AS路径字段;
所述第一类标识字段,还包括以下至少之一:
自治系统AS号字段、下一跳字段、报文长度字段、网络层可达性消息NLRI字段及保持时间字段。
4.根据权利要求1或2所述的方法,其特征在于,所述第二类标识字段,包括以下至少之一:
源互联网协议IP地址字段、目的IP地址字段、源端口字段、目的端口字段、控制报文协议ICMP代码类型字段及传输控制协议TCP标志位字段。
5.根据权利要求1所述的方法,其特征在于,所述方法还包括:
输出所述疑难报文的警告信息。
6.根据权利要求1所述的方法,其特征在于,所述方法还包括:
基于所述疑难报文的所述源IP地址,更新所述路由器中的所述匹配规则。
7.根据权利要求1所述的方法,其特征在于,所述若在预定时间范围内接收到同一个源IP地址的一种类型的BGP报文超过设置的阈值,确定所述预定 时间范围内接收所述源IP地址的所有所述BGP报文均为所述疑难报文,包括:
若确定在预定时间间隔内接收的同一个源IP地址的BGP打开消息报文、BGP更新消息报文及BGP报错消息报文的其中之一的数量超过设置的阈值,确定所述预定时间范围内的接收的所述BGP打开消息报文、所述BGP更新消息报文及所述BGP报错消息报文均为所述疑难报文。
8.一种安全防护装置,其特征在于,包括:
接收模块,用于接收至少一个边界网关协议BGP报文;
解析模块,用于解析出所述BGP报文的标识字段,其中,所述标识字段包括第一类标识字段和第二类标识字段,其中,所述第一类标识字段表征所述BGP报文的转发路径,所述第二类标识字段为发出所述BGP报文的路由器标识信息的字段;
确定模块,用于基于所述标识字段及路由器中携带的匹配规则,确定出所述BGP报文是否为非法报文;
处理模块,用于若在预定时间范围内接收到同一个源IP地址的一种类型的BGP报文数量超过设置的阈值,确定所述预定 时间范围内接收所述源IP地址的所有所述BGP报文均为疑难报文,其中,所述设置的阈值基于所述BGP报文的类型确定,所述疑难报文为:根据所述匹配规则无法确定为合法报文或非法报文的报文;
所述处理模块,还用于若所述BGP报文为非法报文,对所述BGP报文进行安全防护处理。
9.一种计算机存储介质,其特征在于,所述计算机存储介质存储有计算机可执行指令;所述计算机可执行指令被处理器执行后,能够实现权利要求1至7任一项所述的安全防护方法。
CN201911351054.1A 2019-12-24 2019-12-24 一种安全防护方法、装置及存储介质 Active CN111147478B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911351054.1A CN111147478B (zh) 2019-12-24 2019-12-24 一种安全防护方法、装置及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911351054.1A CN111147478B (zh) 2019-12-24 2019-12-24 一种安全防护方法、装置及存储介质

Publications (2)

Publication Number Publication Date
CN111147478A CN111147478A (zh) 2020-05-12
CN111147478B true CN111147478B (zh) 2022-08-12

Family

ID=70519839

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911351054.1A Active CN111147478B (zh) 2019-12-24 2019-12-24 一种安全防护方法、装置及存储介质

Country Status (1)

Country Link
CN (1) CN111147478B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111897284B (zh) * 2020-08-21 2021-06-29 湖南匡安网络技术有限公司 一种plc设备的安全防护方法和系统

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105763468A (zh) * 2016-03-31 2016-07-13 杭州华三通信技术有限公司 一种bgp更新报文的传输方法和装置
CN107682342A (zh) * 2017-10-17 2018-02-09 盛科网络(苏州)有限公司 一种基于openflow的DDoS流量牵引的方法和系统

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8526325B2 (en) * 2007-01-31 2013-09-03 Hewlett-Packard Development Company, L.P. Detecting and identifying connectivity in a network
CN101640666B (zh) * 2008-08-01 2012-06-06 北京启明星辰信息技术股份有限公司 一种面向目标网络的流量控制装置及方法
CN105991441B (zh) * 2015-03-24 2019-08-06 杭州迪普科技股份有限公司 对bgp路由选择性下发路由转发表的方法和装置
CN106470154A (zh) * 2015-08-17 2017-03-01 中兴通讯股份有限公司 边界网关协议bgp路由源处理方法及装置
CN106603417B (zh) * 2015-10-16 2019-11-29 华为技术有限公司 一种路由处理方法、设备及系统
CN106254152B (zh) * 2016-09-19 2019-11-08 新华三技术有限公司 一种流量控制策略处理方法和装置
CN106341423B (zh) * 2016-10-26 2019-12-06 新华三技术有限公司 一种报文处理方法和装置

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105763468A (zh) * 2016-03-31 2016-07-13 杭州华三通信技术有限公司 一种bgp更新报文的传输方法和装置
CN107682342A (zh) * 2017-10-17 2018-02-09 盛科网络(苏州)有限公司 一种基于openflow的DDoS流量牵引的方法和系统

Also Published As

Publication number Publication date
CN111147478A (zh) 2020-05-12

Similar Documents

Publication Publication Date Title
CN112219381B (zh) 用于基于数据分析的消息过滤的方法和装置
US9954873B2 (en) Mobile device-based intrusion prevention system
US9137139B2 (en) Sender-specific counter-based anti-replay for multicast traffic
CN111083154A (zh) 一种安全防护方法、装置及存储介质
CN1938982B (zh) 通过认证因特网控制消息协议分组来防止网络攻击的方法和装置
US11863447B2 (en) Route processing method and network device
US10819727B2 (en) Detecting and deterring network attacks
US11330017B2 (en) Method and device for providing a security service
US20170104727A1 (en) Enhanced network security
Sandhya Venu et al. Invincible AODV to detect black hole and gray hole attacks in mobile ad hoc networks
CN111147478B (zh) 一种安全防护方法、装置及存储介质
US9667650B2 (en) Anti-replay checking with multiple sequence number spaces
CN111131548A (zh) 信息处理方法、装置和计算机可读存储介质
US20210136103A1 (en) Control device, communication system, control method, and computer program
US11659394B1 (en) Agile node isolation using packet level non-repudiation for mobile networks
JP6513819B2 (ja) 通信ネットワークを不正メッセージから保護するためのネットワーク保護エンティティ及び方法
CN116806010A (zh) 报文传输方法及通信装置
US9912643B2 (en) Attack defense processing method and protection device
US10616094B2 (en) Redirecting flow control packets
Tobin et al. An approach to mitigate multiple malicious node black hole attacks on VANETs
CN110225015A (zh) 基于开放式最短路径优先协议的安全防护方法及装置
KR101976794B1 (ko) 네트워크 보안 방법 및 그 장치
CN115277135B (zh) 一种基于隧道技术的动态安全防护方法及应用
KR20190074071A (ko) Arp 포이즈닝 공격을 해결하기 위한 sdn 컨트롤러 및 그 동작 방법
CN115801429A (zh) 一种双lsa攻击防御方法、装置、设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant