CN111147524A - 报文发送端的识别方法、装置和计算机可读存储介质 - Google Patents

报文发送端的识别方法、装置和计算机可读存储介质 Download PDF

Info

Publication number
CN111147524A
CN111147524A CN202010100924.4A CN202010100924A CN111147524A CN 111147524 A CN111147524 A CN 111147524A CN 202010100924 A CN202010100924 A CN 202010100924A CN 111147524 A CN111147524 A CN 111147524A
Authority
CN
China
Prior art keywords
message
sending end
data length
message sending
address information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202010100924.4A
Other languages
English (en)
Other versions
CN111147524B (zh
Inventor
杜景洪
金帅
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Tencent Technology Shenzhen Co Ltd
Original Assignee
Tencent Technology Shenzhen Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Tencent Technology Shenzhen Co Ltd filed Critical Tencent Technology Shenzhen Co Ltd
Priority to CN202010100924.4A priority Critical patent/CN111147524B/zh
Publication of CN111147524A publication Critical patent/CN111147524A/zh
Application granted granted Critical
Publication of CN111147524B publication Critical patent/CN111147524B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请涉及一种报文发送端的识别方法、装置、计算机可读存储介质和计算机设备,所述方法包括:若识别到报文发送端发送的第一报文不满足预设条件,则将预设控制报文发送至报文发送端;预设控制报文中携带有数据长度阈值;接收报文发送端根据预设控制报文返回的第二报文;识别第二报文的数据长度;根据第二报文的数据长度和数据长度阈值,确定对所述报文发送端的识别结果。本申请提供的方案,实现了在识别到报文发送端发送的第一报文不满足预设条件的情况下,自动根据报文发送端基于预设控制报文返回的第二报文的数据长度与数据长度阈值之间的关系,确定对报文发送端的识别结果,简化了报文发送端识别过程,从而提高了报文发送端的识别效率。

Description

报文发送端的识别方法、装置和计算机可读存储介质
技术领域
本申请涉及数据处理技术领域,特别是涉及一种报文发送端的识别方法、装置、计算机可读存储介质和计算机设备。
背景技术
随着互联网技术的发展,越来越多的数据通过报文的形式进行传输;为了避免服务器受到异常报文攻击,导致服务器的带宽拥塞、资源耗尽等缺陷,需要对报文发送端进行识别。
然而,目前的报文发送端识别方法,是防护终端通过会话学习的方式,提前学习报文发送端的正常会话行为对应的报文信息,并根据学习到的正常会话行为对应的报文信息,对该报文发送端发送的报文进行识别,以判断报文发送端是否异常。但是,若针对不同报文发送端的不同正常会话行为对应的报文信息,都需要提前对其进行分析处理,会导致报文发送端识别的过程比较繁琐,从而造成报文发送端的识别效率低下。
发明内容
基于此,有必要针对报文发送端的识别效率低下的技术问题,提供一种报文发送端的识别方法、装置、计算机可读存储介质和计算机设备。
一种报文发送端的识别方法,包括:
若识别到报文发送端发送的第一报文不满足预设条件,则将预设控制报文发送至所述报文发送端;所述预设控制报文中携带有数据长度阈值;
接收所述报文发送端根据所述预设控制报文返回的第二报文;
识别所述第二报文的数据长度;
根据所述第二报文的数据长度和所述数据长度阈值,确定对所述报文发送端的识别结果。
一种报文发送端的识别装置,所述装置包括:
报文发送模块,用于若识别到报文发送端发送的第一报文不满足预设条件,则将预设控制报文发送至所述报文发送端;所述预设控制报文中携带有数据长度阈值;
报文接收模块,用于接收所述报文发送端根据所述预设控制报文返回的第二报文;
报文长度识别模块,用于识别所述第二报文的数据长度;
识别结果确定模块,用于根据所述第二报文的数据长度和所述数据长度阈值,确定对所述报文发送端的识别结果。
在一个实施例中,所述报文发送端的识别装置还包括:第一报文识别模块,用于获取所述报文发送端发送的第一报文的源地址信息和数据长度;根据所述源地址信息和所述数据长度,对所述报文发送端发送的第一报文进行识别。
在一个实施例中,所述第一报文识别模块还用于若所述源地址信息与预设的合法地址信息匹配失败,则确认所述报文发送端发送的第一报文不满足预设条件,并根据所述数据长度更新所述数据长度阈值。
在一个实施例中,所述第一报文识别模块还用于若所述数据长度大于所述数据长度阈值,则确认所述报文发送端发送的第一报文不满足预设条件。
在一个实施例中,所述识别结果确定模块还用于若所述第二报文的数据长度等于所述数据长度阈值,则确认所述报文发送端为正常报文发送端;若所述第二报文的数据长度不等于所述数据长度阈值,则确认所述报文发送端为异常报文发送端。
在一个实施例中,所述报文发送端的识别装置还包括:重传时间间隔获取模块,用于识别所述第一报文的接收时间和所述第二报文的接收时间;获取所述第一报文的接收时间与所述第二报文的接收时间之间的时间差,作为所述第二报文的重传时间间隔。
在一个实施例中,所述识别结果确定模块还用于若所述第二报文的数据长度等于所述数据长度阈值,且所述第二报文的重传时间间隔小于或者等于预设时间间隔,则确认所述报文发送端为正常报文发送端。
在一个实施例中,所述报文发送端的识别装置还包括:报文转发模块,用于将所述第二报文的源地址信息标记为合法地址信息;将所述第二报文转发至对应的服务器。
在一个实施例中,所述报文发送端的识别装置还包括:第三报文发送模块,用于接收所述报文发送端发送的第三报文;识别所述第三报文的源地址信息和数据长度;若所述第三报文的源地址信息为所述合法地址信息,且所述数据长度小于或者等于所述数据长度阈值,则将所述第三报文发送至所述服务器。
在一个实施例中,所述报文发送端的识别装置还包括:修复指令发送模块,用于获取预设的修复指令;将所述预设的修复指令发送至所述报文发送端;所述修复指令用于触发所述报文发送端执行对应的修复操作。
在一个实施例中,所述报文发送端的识别装置还包括:报文过滤处理模块,用于将所述第二报文的源地址信息标记为异常地址信息,并将所述第二报文进行过滤处理。
一种计算机可读存储介质,存储有计算机程序,所述计算机程序被处理器执行时,使得所述处理器执行如下步骤:
若识别到报文发送端发送的第一报文不满足预设条件,则将预设控制报文发送至所述报文发送端;所述预设控制报文中携带有数据长度阈值;
接收所述报文发送端根据所述预设控制报文返回的第二报文;
识别所述第二报文的数据长度;
根据所述第二报文的数据长度和所述数据长度阈值,确定对所述报文发送端的识别结果。
一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,所述计算机程序被所述处理器执行时,使得所述处理器执行如下步骤:
若识别到报文发送端发送的第一报文不满足预设条件,则将预设控制报文发送至所述报文发送端;所述预设控制报文中携带有数据长度阈值;
接收所述报文发送端根据所述预设控制报文返回的第二报文;
识别所述第二报文的数据长度;
根据所述第二报文的数据长度和所述数据长度阈值,确定对所述报文发送端的识别结果。
上述报文发送端的识别方法、装置、计算机可读存储介质和计算机设备,在识别到报文发送端发送的第一报文不满足预设条件的情况下,将携带有数据长度阈值的预设控制报文发送至该报文发送端;并识别报文发送端根据预设控制报文返回的第二报文的数据长度,进而根据第二报文的数据长度和数据长度阈值,确定对报文发送端的识别结果;实现了在识别到报文发送端发送的第一报文不满足预设条件的情况下,自动根据报文发送端基于预设控制报文返回的第二报文的数据长度与数据长度阈值之间的关系,确定对报文发送端的识别结果,无需提前学习报文发送端的正常会话行为对应的报文信息,从而简化了报文发送端的识别过程,节省了大量时间,进而提高了报文发送端的识别效率。
附图说明
图1为一个实施例中报文发送端的识别方法的应用环境图;
图2为一个实施例中报文发送端的识别方法的流程示意图;
图3为一个实施例中正常客户端响应ICMP报文的时序图;
图4为一个实施例中肉鸡响应ICMP报文的时序图;
图5为一个实施例中对报文发送端发送的第一报文进行识别的步骤的流程示意图;
图6为一个实施例中根据第二报文的数据长度和数据长度阈值,确定对报文发送端的识别结果的步骤的流程示意图;
图7为一个实施例中确定第二报文的重传时间间隔的步骤的流程示意图;
图8为一个实施例中将第二报文的源地址信息标记为合法地址信息的步骤的流程示意图;
图9为一个实施例中对报文发送端发送的第三报文进行识别的步骤的流程示意图;
图10为一个实施例中对报文发送端进行修复的步骤的流程示意图;
图11为另一个实施例中报文发送端的识别方法的流程示意图;
图12为一个实施例中报文发送端的识别装置的结构框图;
图13为一个实施例中计算机设备的结构框图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
云技术(Cloud technology)是指在广域网或局域网内将硬件、软件、网络等系列资源统一起来,实现数据的计算、储存、处理和共享的一种托管技术。
云技术(Cloud technology)基于云计算商业模式应用的网络技术、信息技术、整合技术、管理平台技术、应用技术等的总称,可以组成资源池,按需所用,灵活便利。云计算技术将变成重要支撑。技术网络系统的后台服务需要大量的计算、存储资源,如视频网站、图片类网站和更多的门户网站。伴随着互联网行业的高度发展和应用,将来每个物品都有可能存在自己的识别标志,都需要传输到后台系统进行逻辑处理,不同程度级别的数据将会分开处理,各类行业数据皆需要强大的系统后盾支撑,只能通过云计算来实现。云技术主要涉及云计算、云存储、数据库、大数据、云应用等几大方向;其中,云应用还包括:医疗云、云物联、云安全、云呼叫、私有云、公有云、混合云、云游戏、云教育、云会议、云社交、人工智能云服务等。
在云应用中,云安全(Cloud Security)是指基于云计算商业模式应用的安全软件、硬件、用户、机构、安全云平台的总称。云安全融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念,通过网状的大量客户端对网络中软件行为的异常监测,获取互联网中木马、恶意程序的最新信息,并发送到服务端进行自动分析和处理,再把病毒和木马的解决方案分发到每一个客户端。
云安全主要研究方向包括:1、云计算安全,主要研究如何保障云自身及云上各种应用的安全,包括云计算机系统安全、用户数据的安全存储与隔离、用户接入认证、信息传输安全、网络攻击防护、合规审计等;2、安全基础设施的云化,主要研究如何采用云计算新建与整合安全基础设施资源,优化安全防护机制,包括通过云计算技术构建超大规模安全事件、信息采集与处理平台,实现对海量信息的采集与关联分析,提升全网安全事件把控能力及风险控制能力;3、云安全服务,主要研究各种基于云计算平台为用户提供的安全服务,如防病毒服务、防报文攻击服务等。
本申请实施例提供的方案涉及云技术中的云安全等云应用,具体通过如下实施例进行说明:
图1为一个实施例中报文发送端的识别方法的应用环境图。参照图1,该应用环境图包括报文发送端110和防护终端120;报文发送端是指具有报文发送功能的电子设备,该电子设备可以是智能手机、平板电脑、笔记本电脑或个人计算机等等,防护终端是指具有报文识别功能和报文防护功能的设备,具体是指基于路径MTU(Maximum Transmission Unit,最大传输单元)发现协议的ACK(Acknowledgement,确认字符)报文攻击防护设备,比如防DDos(Distributed Denial of Service,分布式拒绝服务)设备。此外,该报文发送端的识别方法还可以应用在云、数据中心、服务器等防御ACK报文攻击的场景。
在一个实施例中,参照图1,报文发送端110发送第一报文至防护终端120;防护终端120对第一报文进行识别,若识别到第一报文不满足预设条件,则将预设控制报文发送至报文发送端110,预设控制报文中携带有数据长度阈值;报文发送端110基于接收的预设控制报文,获取第二报文,并将第二报文发送至防护终端120;防护终端120识别接收的第二报文的数据长度,并根据第二报文的数据长度和数据长度阈值,确定对报文发送端的识别结果。
如图2所示,在一个实施例中,提供了一种报文发送端的识别方法。本实施例主要以该方法应用于上述图1中的防护终端120来举例说明。参照图2,该报文发送端的识别方法具体包括如下步骤:
S202,若识别到报文发送端发送的第一报文不满足预设条件,则将预设控制报文发送至报文发送端;预设控制报文中携带有数据长度阈值。
其中,报文是指网络中交换与传输的数据单元,包含了将要发送的完整数据信息,其数据长度不一致,可以根据实际情况进行调整;具体可以是指ACK报文、TCP(Transmission Control Protocol,传输控制协议)报文、UDP(User Datagram Protocol,用户数据报协议)报文等。需要说明的是,本申请主要以第一报文为ACK报文为例进行说明。
其中,预设控制报文是一种用于向报文发送端提供出错报告信息,以提醒报文发送端重新发送符合要求的数据的报文,可以是指ICMP(Internet Control MessageProtocol,互联网控制报文协议)报文;比如类型为3,代码为4,MTU为X-1的ICMP报文,其中3表示目的不可达,4表示需要分片,MTU表示数据长度阈值为X-1。
其中,预设条件是指报文源地址信息为合法地址信息,或者报文数据长度小于或者等于数据长度阈值,数据长度阈值是指报文发送端每次传输的数据的最大长度,比如MTU。
具体地,报文发送端响应用户的触发操作,发送第一报文至防护终端;防护终端对第一报文进行识别,若识别到第一报文不满足预设条件,比如第一报文的数据长度大于数据长度阈值,或者第一报文的源地址信息不在合法地址信息列表里,则获取携带有数据长度阈值的预设控制报文,并将携带有数据长度阈值的预设控制报文发送至报文发送端。
举例说明,报文发送端发送ACK报文至防护终端,防护终端对ACK报文进行识别,若识别到ACK报文的数据长度大于MTU,则将携带有MTU的ICMP报文发送至报文发送端;又例如,若识别到ACK报文的源地址信息不在合法地址信息列表里,则获取ACK报文的数据长度X,并将小于数据长度X的数据长度(如X-1)设置为MTU,最后将携带有该MTU的ICMP报文发送至报文发送端。
S204,接收报文发送端根据预设控制报文返回的第二报文。
其中,第二报文是指报文发送端重新发送得到报文;需要说明的是,在本申请中,第一报文和第二报文均是指同一报文发送端发送的ACK报文。
其中,报文发送端可以是指正常客户端,也可以是指肉鸡(肉鸡也称傀儡机,是指可以被黑客远程控制的设备);正常客户端具备协议栈行为,能够响应防护终端反弹的预设控制报文,并重新对报文进行分片,进而将分片后的报文进行重传;肉鸡不具备协议栈行为,无法正确响应防护终端反弹的预设控制报文,只会一味地按照自身规律发送相同或者随机的报文,比如发送相同或者随机ACK号的ACK报文。
具体地,报文发送端接收到防护终端发送的预设控制报文后,根据预设控制报文,重新发送报文至防护终端,该报文称为第二报文。
举例说明,参考图3,若发送端为正常客户端,第一报文为数据长度为X的第一ACK报文,那么正常客户端在接收到防护终端反弹的ICMP报文之后,对ICMP报文进行解析,得到ICMP报文携带的类型为3,代码为4,MTU为X-1,说明当前发送的第一ACK报文目的不可达,且不满足传输链路上的MTU大小,需要重新分片;则将第一ACK报文重新进行分组,得到第二ACK报文,并将第二ACK报文发送至防护终端。比如,正常客户端将数据长度为X的第一ACK报文进行分组,得到数据长度为X-1的第二ACK报文。需要说明的是,MTU还可以是X-2、X-3、X-4等,具体本申请不做限定。
举例说明,参考图4,若报文发送端为肉鸡,第一报文为数据长度为X的第一ACK报文,在接收到防护终端反弹的携带有MTU为X-1的ICMP报文之后,继续将数据长度为X的第二ACK报文发送至防护终端;此时,该数据长度为X的第二ACK报文称为第二报文。
S206,识别第二报文的数据长度。
具体地,防护终端对第二报文进行解析,得到第二报文的数据长度。
举例说明,防护终端获取预设的数据长度识别指令,根据预设的数据长度识别指令对第二报文进行识别,得到第二报文的数据长度;其中,预设的数据长度识别指令是一种能够自动识别报文的数据长度的指令。
在一个实施例中,防护终端还可以获取预设的数据长度识别文件,根据预设的数据长度识别文件对第二报文进行识别,得到第二报文的数据长度;其中,预设的数据长度识别文件是一种能够自动识别报文的数据长度的算法文件。
S208,根据第二报文的数据长度和数据长度阈值,确定对报文发送端的识别结果。
其中,对报文发送端的识别结果是指报文发送端为正常报文发送端,或者报文发送端为异常报文发送端。
具体地,防护终端将第二报文的数据长度与数据长度阈值进行对比,若第二报文的数据长度等于数据长度阈值,说明报文发送端重新发送的第二报文满足预设条件,进而说明报文发送端具备协议栈行为,则将报文发送端识别为正常报文发送端;若第二报文的数据长度不等于数据长度阈值,说明报文发送端重新发送的第二报文不满足预设条件,进而说明报文发送端不具备协议栈行为,则将报文发送端识别为异常报文发送端,比如肉鸡。这样,实现了在识别到报文发送端发送的第一报文不满足预设条件的情况下,自动根据报文发送端基于预设控制报文返回的第二报文的数据长度与数据长度阈值之间的关系,确定对报文发送端的识别结果,无需提前学习报文发送端的正常会话行为对应的报文信息,从而简化了报文发送端的识别过程,进而提高了报文发送端的识别效率;同时,通过对报文进行准确识别,有利于对异常报文发送端发送的异常报文进行有效防护,从而提高了报文传输的安全性。
举例说明,参考图3,若报文发送端为正常客户端,正常客户端重新发送的第二ACK报文的数据长度为X-1,等于MTU,则将该报文发送端识别为正常报文发送端,同时将该第二ACK报文识别为正常报文,并将第二ACK报文转发至对应的服务器,以通过服务器对该第二ACK报文进行处理。
举例说明,参考图4,若报文发送端为肉鸡,那么肉鸡重新发送的第二ACK报文的数据长度为X,不等于MTU,则将该报文发送端识别为异常报文发送端,并重新将携带有类型为3,代码为4,MTU为X-1的ICMP报文发送至肉鸡;肉鸡接收到该ICMP报文后,继续将数据长度为X的第二ACK报文发送至防护终端,使得上述交互过程在肉鸡和防护终端之间重复进行,进而使得服务器不会接收到任何异常报文,避免了服务器受到异常报文攻击而出现带宽拥塞、资源耗尽等缺陷,进一步提高了服务器的资源利用率。
需要说明的是,在识别到报文发送端为正常报文发送端的情况下,在接下来一段时间,由该报文发送端发送的数据长度小于或者等于数据长度阈值的报文,防护终端均将其识别为正常报文。比如,第一报文的数据长度为3000字节,MTU是1400字节,经过分片后,最后一次传输的报文是20字节,小于MTU,此时防护终端也将其识别为正常报文。
上述报文发送端的识别方法,在识别到报文发送端发送的第一报文不满足预设条件的情况下,将携带有数据长度阈值的预设控制报文发送至该报文发送端;并识别报文发送端根据预设控制报文返回的第二报文的数据长度,进而根据第二报文的数据长度和数据长度阈值,确定对报文发送端的识别结果;实现了在识别到报文发送端发送的第一报文不满足预设条件的情况下,自动根据报文发送端基于预设控制报文返回的第二报文的数据长度与数据长度阈值之间的关系,确定对第二报文的识别结果,无需提前学习报文发送端的正常会话行为对应的报文信息,从而简化了报文发送端的识别过程,进而提高了报文发送端的识别效率;同时,根据报文发送端重新发送的第二报文的数据长度与数据长度阈值之间的关系,有利于准确识别报文发送端是否为异常报文发送端,避免了误识别报文发送端和漏识别报文发送端的缺陷,从而提高了报文发送端识别的准确率。此外,通过对报文发送端进行准确识别,有利于对报文发送端发送的报文进行安全防范,避免受到异常报文攻击,从而提高了报文传输的安全性。
如图5所示,在一个实施例中,上述步骤S202,在若识别到报文发送端发送的第一报文不满足预设条件,则将预设控制报文发送至报文发送端之前,还包括对报文发送端发送的第一报文进行识别的步骤,具体包括如下内容:
S502,获取报文发送端发送的第一报文的源地址信息和数据长度。
其中,源地址信息是指发送对象的IP地址信息,那么第一报文的源地址信息是指报文发送端的IP地址信息。
具体地,防护终端分别获取源地址信息在第一报文中的信息标识符以及数据长度在第一报文中的信息标识符,根据源地址信息在第一报文中的信息标识符,从第一报文中提取出与该信息标识符对应的信息,作为第一报文的源地址信息;根据数据长度在第一报文中的信息标识符,从第一报文中提取出与该信息标识符对应的信息,作为第一报文的数据长度。
进一步地,防护终端还可以分别获取源地址信息在第一报文中的位置标签以及数据长度在第一报文中的位置标签,根据源地址信息在第一报文中的位置标签,确定源地址信息在第一报文中的位置,并将该位置对应的信息,作为第一报文的源地址信息;根据数据长度在第一报文中的位置标签,确定数据长度在第一报文中的位置,并将该位置对应的信息,作为第一报文的数据长度。
此外,防护终端还可以基于上述获取第一报文的源地址信息和数据长度的方式,获取第一报文的目的IP地址、源端口、目的端口、seq号、ACK号、接收时间等信息。
S504,根据源地址信息和数据长度,对报文发送端发送的第一报文进行识别。
具体地,若第一报文的源地址信息不满足条件,或者第一报文的数据长度不满足条件,或者第一报文的源地址信息和数据长度均不满足条件,或者第一报文的源地址信息满足条件,但第一报文的数据长度大于数据长度阈值,均确认为报文发送端发送的第一报文不满足预设条件。
进一步地,若第一报文的源地址信息满足条件,且第一报文的数据长度满足条件,则确认报文发送端发送的第一报文满足预设条件,并通过防护终端将第一报文转发至对应的服务器。
在本实施例中,通过第一报文的源地址信息和数据长度,对报文发送端发送的第一报文进行识别,有利于确认报文发送端发送的第一报文是否满足预设条件,便于后续在确认到报文发送端发送的第一报文不满足预设条件的情况下,将预设控制报文发送至报文发送端。
在一个实施例中,上述步骤S502,根据地址信息和数据长度,对报文发送端发送的第一报文进行识别,包括:若源地址信息与预设的合法地址信息匹配失败,则确认报文发送端发送的第一报文不满足预设条件,并根据数据长度更新数据长度阈值。
具体地,防护终端从本地存储的合法地址信息列表中提取出预设的合法地址信息,并将第一报文的源地址信息与预设的合法地址信息进行匹配;若第一报文的源地址信息与预设的合法地址信息匹配失败,说明第一报文的源地址信息不在合法地址信息列表中,则确认报文发送端发送的第一报文不满足预设条件。
此外,在确认报文发送端发送的第一报文不满足预设条件的情况下,防护终端还根据第一报文的数据长度,对初始的数据长度阈值进行更新,使得更新后的数据长度阈值小于第一报文的数据长度;例如,参考图3,第一报文的数据长度为X,ICMP报文携带的数据长度阈值为X-1。
进一步地,若第一报文的源地址信息与预设的合法地址信息匹配成功,说明第一报文的源地址信息在合法地址信息列表中,则判断第一报文的数据长度是否大于数据长度阈值;若第一报文的数据长度大于数据长度阈值,则确认报文发送端发送的第一报文不满足预设条件;若第一报文的数据长度小于或者等于数据长度阈值,则确认报文发送端发送的第一报文满足预设条件,并通过防护终端将第一报文转发至对应的服务器。
在本实施例中,通过第一报文的源地址信息和数据长度,有利于准确识别报文发送端发送的第一报文是否满足预设条件。
在另一个实施例中,上述步骤S502,根据地址信息和数据长度,对报文发送端发送的第一报文进行识别,还包括:若数据长度大于数据长度阈值,则确认报文发送端发送的第一报文不满足预设条件。
具体地,防护终端将第一报文的数据长度与数据长度阈值进行比较,若第一报文的数据长度大于数据长度阈值,说明报文发送端发送的第一报文不满足传输链路上的MTU大小,则确认报文发送端发送的第一报文不满足预设条件。
进一步地,若第一报文的数据长度小于或者等于数据长度阈值,则将第一报文的源地址信息与预设的合法地址信息进行匹配;若第一报文的源地址信息与预设的合法地址信息匹配失败,说明第一报文的源地址信息不在合法地址信息列表中,则确认报文发送端发送的第一报文不满足预设条件;若第一报文的源地址信息与预设的合法地址信息匹配成功,说明第一报文的源地址信息在合法地址信息列表中,则确认报文发送端发送的第一报文满足预设条件,并通过防护终端将第一报文转发至对应的服务器。
在本实施例中,通过第一报文的源地址信息和数据长度,有利于准确识别报文发送端发送的第一报文是否满足预设条件。
如图6所示,在一个实施例中,上述步骤S208,根据第二报文的数据长度和数据长度阈值,确定对报文发送端的识别结果,具体包括如下步骤:
S602,若第二报文的数据长度等于数据长度阈值,则确认报文发送端为正常报文发送端。
举例说明,参考图3,报文发送端重新发送的第二ACK报文的数据长度为X-1,而数据长度阈值为X-1,说明报文发送端重新发送的第二ACK报文等于数据长度阈值,则确认报文发送端重新发送的第二ACK报文满足预设条件,说明报文发送端具备协议栈行为,则将报文发送端识别为正常报文发送端,并将第二ACK报文识别为正常报文。
S604,若第二报文的数据长度不等于数据长度阈值,则确认报文发送端为异常报文发送端。
举例说明,参考图4,报文发送端重新发送的第二ACK报文的数据长度为X,而数据长度阈值为X-1,说明报文发送端重新发送的第二ACK报文不等于数据长度阈值,则确认报文发送端重新发送的第二ACK报文不满足预设条件,说明报文发送端不具备协议栈行为,则将报文发送端识别为异常报文发送端,并将第二ACK报文识别为异常报文。
进一步地,防护终端还可以通过下述方式确定对报文发送端的识别结果:若第二报文的数据长度小于或者等于数据长度阈值,说明报文发送端重新发送的第二报文满足预设条件,则将报文发送端识别为正常报文发送端;若第二报文的数据长度大于数据长度阈值,说明报文发送端重新发送的第二报文不满足预设条件,则将报文发送端识别为异常报文发送端。
在本实施例中,根据报文发送端重新发送的第二报文的数据长度与数据长度阈值之间的关系,有利于准确识别报文发送端是否为异常报文发送端,避免了误识别报文发送端和漏识别报文发送端的缺陷,从而提高了报文发送端识别的准确率。同时,通过对报文发送端进行准确识别,有利于对报文发送端发送的报文进行安全防范,避免受到异常报文攻击,从而提高了报文传输的安全性。
如图7所示,在一个实施例中,上述步骤S208,在根据第二报文的数据长度和数据长度阈值,确定对报文发送端的识别结果之前,还包括确定第二报文的重传时间间隔的步骤,具体包括如下内容:
S702,识别第一报文的接收时间和第二报文的接收时间。
其中,第一报文的接收时间是指防护终端接收到第一报文的时间,第二报文的接收时间是指防护终端接收到第二报文的时间。
S704,获取第一报文的接收时间与第二报文的接收时间之间的时间差,作为第二报文的重传时间间隔。
具体地,防护终端从本地数据库中,获取同一发送端发送的第一报文的接收时间和第二报文的接收时间,并统计第一报文的接收时间与第二报文的接收时间之间的时间差,作为第二报文的重传时间间隔。这样,有利于后续根据第二报文的重传时间间隔,确定报文发送端是否为异常报文发送端,进一步提高了报文发送端识别的准确率。
在一个实施例中,上述步骤S602,若第二报文的数据长度等于数据长度阈值,则确认报文发送端为正常报文发送端,还包括:若第二报文的数据长度等于数据长度阈值,且第二报文的重传时间间隔小于或者等于预设时间间隔,则确认报文发送端为正常报文发送端。
其中,预设时间间隔用于标识符合条件的重传时间间隔。
具体地,在第二报文的数据长度等于数据长度阈值的情况下,防护终端获取第二报文的重传时间间隔,并将第二报文的重传时间间隔与预设时间间隔进行比较;若第二报文的重传时间间隔小于或者等于预设时间间隔,说明报文发送端重新发送的第二报文满足预设条件,则将报文发送端识别为正常报文发送端,并将第二报文识别为正常报文;若第二报文的重传时间间隔大于预设时间间隔,说明报文发送端重新发送的第二报文不满足预设条件,则将报文发送端识别为异常报文发送端,并将第二报文识别为异常报文。
需要说明的是,在若第二报文的数据长度小于或者等于数据长度阈值,说明报文发送端重新发送的第二报文满足预设条件的情况下,防护终端还可以进一步对第二报文的重传时间间隔进行识别,若第二报文的数据长度小于或者等于数据长度阈值,且第二报文的重传时间间隔小于或者等于预设时间间隔,则确认报文发送端为正常报文发送端。
在本实施例中,在第二报文的数据长度等于数据长度阈值,且第二报文的重传时间间隔小于或者等于预设时间间隔的情况下,才将报文发送端识别为正常报文发送端,避免了误识别报文发送端和漏识别报文发送端的缺陷,进一步提高了报文发送端识别的准确率,从而保证了报文传输的安全性。
如图8所示,在一个实施例中,上述步骤S602,在确认报文发送端为正常报文发送端之后,还包括将第二报文的源地址信息标记为合法地址信息的步骤,具体包括如下内容:
S802,将第二报文的源地址信息标记为合法地址信息。
具体地,防护终端将第二报文的源地址信息标记为合法地址信息,并将该源地址信息添加到合法地址信息列表中,以通过合法地址信息列表记录多个合法地址信息。
S804,将第二报文转发至对应的服务器。
具体地,防护终端获取服务器地址,并将第二报文转发至服务器地址对应的服务器,以通过服务器直接对该第二报文进行处理;或者,通过服务器识别第二报文的目的IP地址,并将第二报文发送至目的IP地址对应的终端,以触发终端对该第二报文进行处理。
举例说明,参考图3,防护终端识别到报文发送端发送的第二ACK报文为正常报文,则确认报文发送端为正常报文发送端,并将该第二ACK报文转发至对应的服务器,以通过服务器对该第二ACK报文进行处理。
如图9所示,在一个实施例中,上述步骤S802,在将第二报文的源地址信息标记为合法地址信息之后,还包括对报文发送端发送的第三报文进行识别的步骤,具体包括如下内容:
S902,接收报文发送端发送的第三报文。
其中,第三报文具体是指ACK报文。
S904,识别第三报文的源地址信息和数据长度。
需要说明的是,获取第三报文的源地址信息和数据长度的过程与上述获取报文发送端发送的第一报文的源地址信息和数据长度的过程一样,在此不再赘述。
S906,若第三报文的源地址信息为合法地址信息,且数据长度小于或者等于数据长度阈值,则将第三报文发送至服务器。
具体地,防护终端对报文发送端发送的第三报文进行识别,若第三报文的源地址信息为合法地址信息,且其数据长度小于或者等于数据长度阈值,说明报文发送端发送的第三报文满足预设条件,则确认第三报文为正常报文,并将第三报文转发至对应的服务器。
举例说明,报文发送端将数据长度为3000字节的第一ACK报文发送至防护终端,防护终端识别到第一ACK报文的源地址信息不在合法地址信息列表里,则反弹一个携带有类型为3,代码为4,MTU为1600字节的ICMP报文至报文发送端;报文发送端根据接收的ICMP报文,对第一ACK报文进行分组,得到数据长度为1600字节的第二ACK报文和数据长度为1400字节的第三ACK报文,并将第二ACK报文发送至防护终端;防护终端识别到第二ACK报文的数据长度等于MTU,则将第二ACK报文识别为正常报文,并将第二ACK报文的源地址信息标记为合法地址信息(即将该报文发送端识别为正常报文发送端),同时将第二ACK报文转发至对应的服务器。在接下来一段时间,防护终端对该报文发送端发送的第三ACK报文进行识别,识别到第三ACK报文的源地址信息为上述合法地址信息,且第三ACK报文的数据长度小于MTU,则将第三ACK报文识别为正常报文,并将第三ACK报文转发至对应的服务器。
在本实施例中,实现了在将第二报文的源地址信息标记为合法地址信息之后,对报文发送端发送的第三报文进行识别的目的。
如图10所示,在一个实施例中,上述步骤S604,在若第二报文的数据长度不等于数据长度阈值,则确认报文发送端为异常报文发送端之后,还包括对报文发送端进行修复的步骤,具体包括如下内容:
S1002,获取预设的修复指令。
其中,预设的修复指令是一种能够自动对报文发送端进行安全修复,使得报文发送端不受黑客远程控制的指令。
S1004,将预设的修复指令发送至报文发送端;修复指令用于触发报文发送端执行对应的修复操作。
具体地,防护终端识别到报文发送端重新发送的第二报文仍不满足预设条件,说明报文发送端可能是肉鸡,则从本地数据库中获取预设的修复指令,并将修复指令发送至报文发送端;报文发送端根据修复指令执行对应的修复操作。这样,实现了在报文发送端可能为肉鸡的情况下,对报文发送端进行安全修复的目的,避免了报文发送端重复发送不满足预设条件的报文至防护终端,使得防护终端的资源受到影响,造成防护终端的资源利用率下降的缺陷,进一步提高了防护终端的资源利用率。
在另一个实施例中,上述步骤S604,在若第二报文的数据长度不等于数据长度阈值,则确认报文发送端为异常报文发送端之后,还包括:将第二报文的源地址信息标记为异常地址信息,并将第二报文进行过滤处理。
具体地,防护终端将第二报文的源地址信息标记为异常地址信息,并将该源地址信息添加到异常地址信息列表中,以通过异常地址信息列表记录多个异常地址信息;同时,将第二报文进行过滤处理,比如将第二报文进行舍弃,避免占用防护终端的服务资源,使得防护终端的资源利用率下降的缺陷,进一步提高了防护终端的资源利用率。
进一步地,防护终端若识别到报文发送端发送的报文的源地址信息存在异常地址信息列表中,则将该报文识别为异常报文,并对该报文进行过滤处理,进一步提高了报文传输的安全性。
如图11所示,在一个实施例中,提供了另一种报文发送端的识别方法。本实施例主要以该方法应用于上述图1中的防护终端120来举例说明。参照图11,该报文发送端的识别方法具体包括如下步骤:
S1102,获取报文发送端发送的第一报文的源地址信息和数据长度。
S1104,根据源地址信息和数据长度,对报文发送端发送的第一报文进行识别。
例如,若第一报文的源地址信息与预设的合法地址信息匹配失败,则确认报文发送端发送的第一报文不满足预设条件,并根据数据长度更新数据长度阈值;又例如,若第一报文的数据长度大于数据长度阈值,则确认报文发送端发送的第一报文不满足预设条件。
S1106,若识别到报文发送端发送的第一报文不满足预设条件,则将预设控制报文发送至报文发送端;预设控制报文中携带有数据长度阈值。
S1108,接收报文发送端根据预设控制报文返回的第二报文。
S1110,获取第二报文的数据长度。
S1112,识别第二报文的数据长度是否等于数据长度阈值,若是,则跳转至步骤S1114,若否,则跳转至步骤S1122。
S1114,识别第一报文的接收时间和第二报文的接收时间;获取第一报文的接收时间与第二报文的接收时间之间的时间差,作为第二报文的重传时间间隔。
S1116,识别第二报文的重传时间间隔是否小于或者等于预设时间间隔,若是,则跳转至步骤S1118,若否,则跳转至步骤S1122。
S1118,确认报文发送端为正常报文发送端,将第二报文的源地址信息标记为合法地址信息,并将第二报文转发至对应的服务器。
S1120,接收报文发送端发送的第三报文;识别第三报文的源地址信息和数据长度;若第三报文的源地址信息为合法地址信息,且数据长度小于或者等于数据长度阈值,则将第三报文发送至服务器。
S1122,确认报文发送端为异常报文发送端,获取预设的修复指令;将预设的修复指令发送至报文发送端;修复指令用于触发报文发送端执行对应的修复操作。
S1124,将第二报文的源地址信息标记为异常地址信息,并将第二报文进行过滤处理。
上述报文发送端的识别方法,实现了在识别到报文发送端发送的第一报文不满足预设条件的情况下,自动根据报文发送端基于预设控制报文返回的第二报文的数据长度与数据长度阈值之间的关系,确定对报文发送端的识别结果,无需提前学习报文发送端的正常会话行为对应的报文信息,从而简化了报文发送端的识别过程,进而提高了报文发送端的识别效率;同时,根据报文发送端重新发送的第二报文的数据长度与数据长度阈值之间的关系,有利于准确识别报文发送端是否为异常报文发送端,避免了误识别报文发送端和漏识别报文发送端的缺陷,从而提高了报文发送端识别的准确率。此外,通过对报文发送端进行准确识别,有利于对报文发送端发送的报文进行安全防范,避免受到异常报文攻击,从而提高了报文传输的安全性。
应该理解的是,虽然图2、5至11的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,图2、5至11中的至少一部分步骤可以包括多个子步骤或者多个阶段,这些子步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些子步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。
如图12所示,在一个实施例中,提供了一种报文发送端的识别装置1200,该装置1200包括:报文发送模块1202,报文接收模块1204,报文长度识别模块1206以及识别结果确定模块1208,其中:
报文发送模块1202,用于若识别到报文发送端发送的第一报文不满足预设条件,则将预设控制报文发送至报文发送端;预设控制报文中携带有数据长度阈值。
报文接收模块1204,用于接收报文发送端根据预设控制报文返回的第二报文。
报文长度识别模块1206,用于识别第二报文的数据长度。
识别结果确定模块1208,用于根据第二报文的数据长度和数据长度阈值,确定对报文发送端的识别结果。
在一个实施例中,报文发送端的识别装置1200具体还包括:第一报文识别模块。
第一报文识别模块,用于获取报文发送端发送的第一报文的源地址信息和数据长度;根据源地址信息和数据长度,对报文发送端发送的第一报文进行识别。
在一个实施例中,第一报文识别模块还用于若源地址信息与预设的合法地址信息匹配失败,则确认报文发送端发送的第一报文不满足预设条件,并根据数据长度更新数据长度阈值。
在一个实施例中,第一报文识别模块还用于若数据长度大于数据长度阈值,则确认报文发送端发送的第一报文不满足预设条件。
在一个实施例中,识别结果确定模块1208还用于若第二报文的数据长度等于数据长度阈值,则确认报文发送端为正常报文发送端;若第二报文的数据长度不等于数据长度阈值,则确认报文发送端为异常报文发送端。
在一个实施例中,报文发送端的识别装置1200具体还包括:重传时间间隔获取模块。
重传时间间隔获取模块,用于识别第一报文的接收时间和第二报文的接收时间;获取第一报文的接收时间与第二报文的接收时间之间的时间差,作为第二报文的重传时间间隔。
在一个实施例中,识别结果确定模块1208还用于若第二报文的数据长度等于数据长度阈值,且第二报文的重传时间间隔小于或者等于预设时间间隔,则确认报文发送端为正常报文发送端。
在一个实施例中,报文发送端的识别装置1200具体还包括:报文转发模块。
报文转发模块,用于将第二报文的源地址信息标记为合法地址信息;将第二报文转发至对应的服务器。
在一个实施例中,报文发送端的识别装置1200具体还包括:第三报文发送模块。
第三报文发送模块,用于接收报文发送端发送的第三报文;识别第三报文的源地址信息和数据长度;若第三报文的源地址信息为合法地址信息,且数据长度小于或者等于数据长度阈值,则将第三报文发送至服务器。
在一个实施例中,报文发送端的识别装置1200具体还包括:修复指令发送模块。
修复指令发送模块,用于获取预设的修复指令;将预设的修复指令发送至报文发送端;修复指令用于触发报文发送端执行对应的修复操作。
在一个实施例中,报文发送端的识别装置1200具体还包括:报文过滤处理模块。
报文过滤处理模块,用于将第二报文的源地址信息标记为异常地址信息,并将第二报文进行过滤处理。
在本实施例中,通过报文发送端的识别装置,在识别到报文发送端发送的第一报文不满足预设条件的情况下,将携带有数据长度阈值的预设控制报文发送至该报文发送端;并识别报文发送端根据预设控制报文返回的第二报文的数据长度,进而根据第二报文的数据长度和数据长度阈值,确定对报文发送端的识别结果;实现了在识别到报文发送端发送的第一报文不满足预设条件的情况下,自动根据报文发送端基于预设控制报文返回的第二报文的数据长度与数据长度阈值之间的关系,确定对报文发送端的识别结果,无需提前学习报文发送端的正常会话行为对应的报文信息,从而简化了报文发送端的识别过程,进而提高了报文发送端的识别效率;同时,根据报文发送端重新发送的第二报文的数据长度与数据长度阈值之间的关系,有利于准确识别报文发送端是否为异常报文发送端,避免了误识别报文发送端和漏识别报文发送端的缺陷,从而提高了报文发送端识别的准确率。此外,通过对报文发送端进行准确识别,有利于对报文发送端发送的报文进行安全防范,避免受到异常报文攻击,从而提高了报文传输的安全性。
图13示出了一个实施例中计算机设备的内部结构图。该计算机设备具体可以是图1中的防护终端120。如图13所示,该计算机设备包括该计算机设备包括通过系统总线连接的处理器、存储器、网络接口、输入装置和显示屏。其中,存储器包括非易失性存储介质和内存储器。该计算机设备的非易失性存储介质存储有操作系统,还可存储有计算机程序,该计算机程序被处理器执行时,可使得处理器实现报文发送端的识别方法。该内存储器中也可储存有计算机程序,该计算机程序被处理器执行时,可使得处理器执行报文发送端的识别方法。计算机设备的显示屏可以是液晶显示屏或者电子墨水显示屏,计算机设备的输入装置可以是显示屏上覆盖的触摸层,也可以是计算机设备外壳上设置的按键、轨迹球或触控板,还可以是外接的键盘、触控板或鼠标等。
本领域技术人员可以理解,图13中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,本申请提供的报文发送端的识别装置可以实现为一种计算机程序的形式,计算机程序可在如图13所示的计算机设备上运行。计算机设备的存储器中可存储组成该报文发送端的识别装置的各个程序模块,比如,图12所示的报文发送模块1202、报文接收模块1204、报文长度识别模块1206和识别结果确定模块1208。各个程序模块构成的计算机程序使得处理器执行本说明书中描述的本申请各个实施例的报文发送端的识别方法中的步骤。
例如,图13所示的计算机设备可以通过如图12所示的报文发送端的识别装置中的报文发送模块1202若识别到报文发送端发送的第一报文不满足预设条件,则将预设控制报文发送至报文发送端;预设控制报文中携带有数据长度阈值。计算机设备可通过报文接收模块1204接收报文发送端根据预设控制报文返回的第二报文。计算机设备可通过报文长度识别模块1206识别第二报文的数据长度;并通过识别结果确定模块1208根据第二报文的数据长度和数据长度阈值,确定对报文发送端的识别结果。
在一个实施例中,提供了一种计算机设备,包括存储器和处理器,存储器存储有计算机程序,计算机程序被处理器执行时,使得处理器执行上述报文发送端的识别方法的步骤。此处报文发送端的识别方法的步骤可以是上述各个实施例的报文发送端的识别方法中的步骤。
在一个实施例中,提供了一种计算机可读存储介质,存储有计算机程序,计算机程序被处理器执行时,使得处理器执行上述报文发送端的识别方法的步骤。此处报文发送端的识别方法的步骤可以是上述各个实施例的报文发送端的识别方法中的步骤。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(Read-Only Memory,ROM)、磁带、软盘、闪存或光存储器等。易失性存储器可包括随机存取存储器(Random Access Memory,RAM)或外部高速缓冲存储器。作为说明而非局限,RAM可以是多种形式,比如静态随机存取存储器(Static Random Access Memory,SRAM)或动态随机存取存储器(Dynamic Random Access Memory,DRAM)等。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。

Claims (13)

1.一种报文发送端的识别方法,包括:
若识别到报文发送端发送的第一报文不满足预设条件,则将预设控制报文发送至所述报文发送端;所述预设控制报文中携带有数据长度阈值;
接收所述报文发送端根据所述预设控制报文返回的第二报文;
识别所述第二报文的数据长度;
根据所述第二报文的数据长度和所述数据长度阈值,确定对所述报文发送端的识别结果。
2.根据权利要求1所述的方法,其特征在于,在若识别到报文发送端发送的第一报文不满足预设条件,则将预设控制报文发送至所述报文发送端之前,还包括:
获取所述报文发送端发送的第一报文的源地址信息和数据长度;
根据所述源地址信息和所述数据长度,对所述报文发送端发送的第一报文进行识别。
3.根据权利要求2所述的方法,其特征在于,所述根据所述地址信息和所述数据长度,对所述报文发送端发送的第一报文进行识别,包括:
若所述源地址信息与预设的合法地址信息匹配失败,则确认所述报文发送端发送的第一报文不满足预设条件,并根据所述数据长度更新所述数据长度阈值。
4.根据权利要求2所述的方法,其特征在于,所述根据所述地址信息和所述数据长度,对所述报文发送端发送的第一报文进行识别,还包括:
若所述数据长度大于所述数据长度阈值,则确认所述报文发送端发送的第一报文不满足预设条件。
5.根据权利要求1所述的方法,其特征在于,所述根据所述第二报文的数据长度和所述数据长度阈值,确定对所述报文发送端的识别结果,包括:
若所述第二报文的数据长度等于所述数据长度阈值,则确认所述报文发送端为正常报文发送端;
若所述第二报文的数据长度不等于所述数据长度阈值,则确认所述报文发送端为异常报文发送端。
6.根据权利要求5所述的方法,其特征在于,在根据所述第二报文的数据长度和所述数据长度阈值,确定对所述报文发送端的识别结果之前,还包括:
识别所述第一报文的接收时间和所述第二报文的接收时间;
获取所述第一报文的接收时间与所述第二报文的接收时间之间的时间差,作为所述第二报文的重传时间间隔;
所述若所述第二报文的数据长度等于所述数据长度阈值,则确认所述报文发送端为正常报文发送端,包括:
若所述第二报文的数据长度等于所述数据长度阈值,且所述第二报文的重传时间间隔小于或者等于预设时间间隔,则确认所述报文发送端为正常报文发送端。
7.根据权利要求5所述的方法,其特征在于,在确认所述报文发送端为正常报文发送端之后,还包括:
将所述第二报文的源地址信息标记为合法地址信息;
将所述第二报文转发至对应的服务器。
8.根据权利要求7所述的方法,其特征在于,在将所述第二报文的源地址信息标记为合法地址信息之后,还包括:
接收所述报文发送端发送的第三报文;
识别所述第三报文的源地址信息和数据长度;
若所述第三报文的源地址信息为所述合法地址信息,且所述数据长度小于或者等于所述数据长度阈值,则将所述第三报文发送至所述服务器。
9.根据权利要求5所述的方法,其特征在于,在若所述第二报文的数据长度不等于所述数据长度阈值,则确认所述报文发送端为异常报文发送端之后,还包括:
获取预设的修复指令;
将所述预设的修复指令发送至所述报文发送端;所述修复指令用于触发所述报文发送端执行对应的修复操作。
10.根据权利要求5所述的方法,其特征在于,在若所述第二报文的数据长度不等于所述数据长度阈值,则确认所述报文发送端为异常报文发送端之后,还包括:
将所述第二报文的源地址信息标记为异常地址信息,并将所述第二报文进行过滤处理。
11.一种报文发送端的识别装置,其特征在于,所述装置包括:
报文发送模块,用于若识别到报文发送端发送的第一报文不满足预设条件,则将预设控制报文发送至所述报文发送端;所述预设控制报文中携带有数据长度阈值;
报文接收模块,用于接收所述报文发送端根据所述预设控制报文返回的第二报文;
报文长度识别模块,用于识别所述第二报文的数据长度;
识别结果确定模块,用于根据所述第二报文的数据长度和所述数据长度阈值,确定对所述报文发送端的识别结果。
12.一种计算机可读存储介质,存储有计算机程序,所述计算机程序被处理器执行时,使得所述处理器执行如权利要求1至10中任一项所述方法的步骤。
13.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,所述计算机程序被所述处理器执行时,使得所述处理器执行如权利要求1至10中任一项所述方法的步骤。
CN202010100924.4A 2020-02-19 2020-02-19 报文发送端的识别方法、装置和计算机可读存储介质 Active CN111147524B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010100924.4A CN111147524B (zh) 2020-02-19 2020-02-19 报文发送端的识别方法、装置和计算机可读存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010100924.4A CN111147524B (zh) 2020-02-19 2020-02-19 报文发送端的识别方法、装置和计算机可读存储介质

Publications (2)

Publication Number Publication Date
CN111147524A true CN111147524A (zh) 2020-05-12
CN111147524B CN111147524B (zh) 2022-06-07

Family

ID=70527769

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010100924.4A Active CN111147524B (zh) 2020-02-19 2020-02-19 报文发送端的识别方法、装置和计算机可读存储介质

Country Status (1)

Country Link
CN (1) CN111147524B (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112866233A (zh) * 2021-01-14 2021-05-28 华南理工大学 一种防护慢速ddos攻击的方法、设备及介质
CN113612773A (zh) * 2021-08-03 2021-11-05 厦门至恒融兴信息技术股份有限公司 人工智能实现的智能报文识别和解析系统与方法
CN114726627A (zh) * 2022-04-11 2022-07-08 中国南方电网有限责任公司 基于安全网关的防护方法、装置、系统

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101340440A (zh) * 2008-08-11 2009-01-07 中兴通讯股份有限公司 一种防御网络攻击的方法及其装置
CN201563132U (zh) * 2009-07-03 2010-08-25 北京星网锐捷网络技术有限公司 网络带宽控制装置与路由器
CN103326947A (zh) * 2013-02-22 2013-09-25 杭州华三通信技术有限公司 Pmtu的学习方法、数据报文的发送方法及网络设备
CN105893844A (zh) * 2015-10-20 2016-08-24 乐卡汽车智能科技(北京)有限公司 车辆总线网络的报文发送方法和装置
CN106302495A (zh) * 2016-08-25 2017-01-04 北京神州绿盟信息安全科技股份有限公司 一种ACK Flood攻击的防护方法及中间防护装置
CN107104898A (zh) * 2016-02-22 2017-08-29 华为技术有限公司 报文传输的方法、设备及系统
CN109561111A (zh) * 2019-01-24 2019-04-02 新华三技术有限公司 一种攻击源的确定方法及装置

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101340440A (zh) * 2008-08-11 2009-01-07 中兴通讯股份有限公司 一种防御网络攻击的方法及其装置
CN201563132U (zh) * 2009-07-03 2010-08-25 北京星网锐捷网络技术有限公司 网络带宽控制装置与路由器
CN103326947A (zh) * 2013-02-22 2013-09-25 杭州华三通信技术有限公司 Pmtu的学习方法、数据报文的发送方法及网络设备
CN105893844A (zh) * 2015-10-20 2016-08-24 乐卡汽车智能科技(北京)有限公司 车辆总线网络的报文发送方法和装置
CN107104898A (zh) * 2016-02-22 2017-08-29 华为技术有限公司 报文传输的方法、设备及系统
CN106302495A (zh) * 2016-08-25 2017-01-04 北京神州绿盟信息安全科技股份有限公司 一种ACK Flood攻击的防护方法及中间防护装置
CN109561111A (zh) * 2019-01-24 2019-04-02 新华三技术有限公司 一种攻击源的确定方法及装置

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112866233A (zh) * 2021-01-14 2021-05-28 华南理工大学 一种防护慢速ddos攻击的方法、设备及介质
CN112866233B (zh) * 2021-01-14 2022-05-24 华南理工大学 一种防护慢速ddos攻击的方法、设备及介质
CN113612773A (zh) * 2021-08-03 2021-11-05 厦门至恒融兴信息技术股份有限公司 人工智能实现的智能报文识别和解析系统与方法
CN114726627A (zh) * 2022-04-11 2022-07-08 中国南方电网有限责任公司 基于安全网关的防护方法、装置、系统

Also Published As

Publication number Publication date
CN111147524B (zh) 2022-06-07

Similar Documents

Publication Publication Date Title
CN111147524B (zh) 报文发送端的识别方法、装置和计算机可读存储介质
CN112019575B (zh) 数据包处理方法、装置、计算机设备以及存储介质
US11888882B2 (en) Network traffic correlation engine
CN109194680B (zh) 一种网络攻击识别方法、装置及设备
CN111314358B (zh) 攻击防护方法、装置、系统、计算机存储介质及电子设备
US10218717B1 (en) System and method for detecting a malicious activity in a computing environment
CN112019574A (zh) 异常网络数据检测方法、装置、计算机设备和存储介质
US9294463B2 (en) Apparatus, method and system for context-aware security control in cloud environment
CN110417717B (zh) 登录行为的识别方法及装置
CN110266650B (zh) Conpot工控蜜罐的识别方法
EP4044546A1 (en) Message processing method, device and apparatus as well as computer readable storage medium
CN111064755B (zh) 一种数据保护方法、装置、计算机设备和存储介质
CN111314328A (zh) 网络攻击防护方法、装置、存储介质及电子设备
CN108810008B (zh) 传输控制协议流量过滤方法、装置、服务器及存储介质
CN108270722A (zh) 一种攻击行为检测方法和装置
CN104917765A (zh) 一种防范攻击的方法和设备
CN112600852A (zh) 漏洞攻击处理方法、装置、设备及存储介质
CN110740144A (zh) 确定攻击目标的方法、装置、设备及存储介质
CN111049781A (zh) 一种反弹式网络攻击的检测方法、装置、设备及存储介质
CN115499230A (zh) 网络攻击检测方法和装置、设备及存储介质
CN107430583A (zh) 操作系统指纹检测
CN111010362B (zh) 一种异常主机的监控方法及装置
CN114281547B (zh) 一种数据报文处理方法、装置、电子设备及存储介质
CN115633359A (zh) Pfcp会话安全检测方法、装置、电子设备和存储介质
CN115225368A (zh) 一种报文处理方法、装置、电子设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant