CN114244608A - 一种报文处理方法、装置、电子设备及存储介质 - Google Patents
一种报文处理方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN114244608A CN114244608A CN202111546979.9A CN202111546979A CN114244608A CN 114244608 A CN114244608 A CN 114244608A CN 202111546979 A CN202111546979 A CN 202111546979A CN 114244608 A CN114244608 A CN 114244608A
- Authority
- CN
- China
- Prior art keywords
- filtering
- message
- result
- messages
- connection information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000003672 processing method Methods 0.000 title claims abstract description 25
- 238000001914 filtration Methods 0.000 claims abstract description 230
- 230000007246 mechanism Effects 0.000 claims abstract description 64
- 238000000034 method Methods 0.000 claims abstract description 40
- 238000004590 computer program Methods 0.000 claims description 6
- 230000008569 process Effects 0.000 description 15
- 238000004891 communication Methods 0.000 description 12
- 238000010586 diagram Methods 0.000 description 10
- 230000005540 biological transmission Effects 0.000 description 7
- 241000272814 Anser sp. Species 0.000 description 3
- 230000008859 change Effects 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 230000000694 effects Effects 0.000 description 2
- 230000000644 propagated effect Effects 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 241001522296 Erithacus rubecula Species 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000008260 defense mechanism Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 238000009789 rate limiting process Methods 0.000 description 1
- 230000008707 rearrangement Effects 0.000 description 1
- 230000000717 retained effect Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/903—Querying
- G06F16/9035—Filtering based on additional data, e.g. user or group profiles
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/906—Clustering; Classification
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
Landscapes
- Engineering & Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Databases & Information Systems (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Data Mining & Analysis (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computational Linguistics (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例公开了一种报文处理方法、装置、电子设备及存储介质。所述方法包括:对待处理报文进行分类,得到报文分类结果;对所述报文分类结果执行第一过滤操作,得到相应的第一过滤结果;根据防火墙过滤机制对所述第一过滤结果执行第二过滤操作,得到相应的第二过滤结果。该方法通过对待处理报文进行分类,并对报文分类结果执行第一过滤操作和第二过滤操作,能够有效识别并过滤掉待处理报文中的非法报文,以避免大量非法报文占用计算资源,从而提高了报文处理的效率和可靠性,确保变电站二次设备在面临大流量的网络风暴时能够正常可靠的运行。
Description
技术领域
本发明实施例涉及电力系统技术领域,尤其涉及一种报文处理方法、装置、电子设备及存储介质。
背景技术
变电站二次设备在运行过程中,可能会面临各种网络风暴和网络攻击,如SYNFlood攻击、UDP Flood攻击以及ICMP Flood攻击等,而网络风暴可能会生成大量的风暴报文,而变电站二次设备服务的可用性是信息安全的首要目标,因此,在遭受各种网络风暴和网络攻击时,要尽可能保证业务不中断。。
目前变电站二次设备内部的中央处理器(Central Processing Unit,CPU)的处理能力相对较弱,在面临大流量的网络风暴时可能会出现死机、重起、界面卡顿或业务中断等现象。故,如何使得变电站二次设备在面临大流量的网络风暴时正常可靠的运行是当前亟待解决的技术问题。
发明内容
本发明实施例提供了一种报文处理方法、装置、电子设备及存储介质,以过滤掉无关报文,提高报文处理的效率和可靠性。
第一方面,本发明实施例提供了一种报文处理方法,包括:
对待处理报文进行分类,得到报文分类结果;
对所述报文分类结果执行第一过滤操作,得到相应的第一过滤结果;
根据防火墙过滤机制对所述第一过滤结果执行第二过滤操作,得到相应的第二过滤结果。
第二方面,本发明实施例还提供了一种报文处理装置,包括:
分类模块,用于对待处理报文进行分类,得到报文分类结果;
第一过滤模块,用于对所述报文分类结果执行第一过滤操作,得到相应的第一过滤结果;
第二过滤模块,用于根据防火墙过滤机制对所述第一过滤结果执行第二过滤操作,得到相应的第二过滤结果。
第三方面,本发明实施例还提供了一种电子设备,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序;
所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现本发明实施例提供的报文处理方法。
第四方面,本发明实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现本发明实施例提供的报文处理方法。
本发明实施例提供了一种报文处理方法、装置、电子设备及存储介质,首先通过对待处理报文进行分类,得到报文分类结果;然后通过对报文分类结果执行第一过滤操作,得到相应的第一过滤结果;最后根据防火墙过滤机制对第一过滤结果执行第二过滤操作,得到相应的第二过滤结果。该方法通过对待处理报文进行分类,并对报文分类结果执行第一过滤操作和第二过滤操作,能够有效识别并过滤掉待处理报文中的非法报文,以避免大量非法报文占用计算资源,从而提高了报文处理的效率和可靠性,确保变电站二次设备在面临大流量的网络风暴时能够正常可靠的运行。
附图说明
图1为本发明实施例一提供的一种报文处理方法的流程示意图;
图2为本发明实施例二提供的一种报文处理方法的流程示意图;
图3为本发明实施例二提供的一种报文处理框架的示意图;
图4为本发明实施例二提供的一种基于FPGA进行报文处理的实现示意图;
图5为本发明实施例二提供的一种基于FPGA进行报文处理的结果示意图;
图6为本发明实施例三提供的一种报文处理装置的结构示意图;
图7为本发明实施例四提供的一种电子设备的结构示意图。
具体实施方式
下面结合附图和实施例对本发明作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释本发明,而非对本发明的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与本发明相关的部分而非全部结构。
在更加详细地讨论示例性实施例之前应当提到的是,一些示例性实施例被描述成作为流程图描绘的处理或方法。虽然流程图将各项操作(或步骤)描述成顺序的处理,但是其中的许多操作可以被并行地、并发地或者同时实施。此外,各项操作的顺序可以被重新安排。当其操作完成时所述处理可以被终止,但是还可以具有未包括在附图中的附加步骤。所述处理可以对应于方法、函数、规程、子例程、子程序等等。此外,在不冲突的情况下,本发明中的实施例及实施例中的特征可以相互组合。
本发明使用的术语“包括”及其变形是开放性包括,即“包括但不限于”。术语“基于”是“至少部分地基于”。术语“一个实施例”表示“至少一个实施例”。
需要注意,本发明中提及的“第一”、“第二”等概念仅用于对相应内容进行区分,并非用于限定顺序或者相互依存关系。
需要注意,本发明中提及的“一个”、“多个”的修饰是示意性而非限制性的,本领域技术人员应当理解,除非在上下文另有明确指出,否则应该理解为“一个或多个”。
实施例一
图1为本发明实施例一提供的一种报文处理方法的流程示意图,该方法可适用于对待处理报文中所包含的风暴报文进行过滤处理的情况,该方法可以由报文处理装置来执行,其中该装置可由软件和/或硬件实现,并一般集成在电子设备上,在本实施例中电子设备包括但不限于:台式计算机、笔记本电脑和服务器等设备。
如图1所示,本发明实施例一提供的一种报文处理方法,该方法包括如下步骤:
S110、对待处理报文进行分类,得到报文分类结果。
在本实施例中,报文可以指网络中交换与传输的数据单元,即站点一次性要发送的数据块,其中报文中包含将要发送的完整的数据信息。待处理报文可以指在应用连接之后所传输的等待处理的报文。例如,假设变电站二次设备是服务端,其他站点中的设备是客户端,则应用连接可以理解为服务端中的应用层与其他客户端中的应用层之间的网络连接,其中应用层可理解为运行在设备上的应用程序软件等;在此基础上,当变电站二次设备与其他站点中的设备之间实现应用连接之后,它们之间所传输的数据可理解为报文,由于所传输的报文中可能包含网络风暴和网络攻击的相关报文,故为了保证变电站二次设备正常可靠的运行,需要对所传输的所有报文进行处理,这些报文即为待处理报文。
在一实施例中,在确定待处理报文之前,还可以通过变电站二次设备应用层中所预先设定的身份认证机制对应用连接进行合法认证(即可理解为对合法的客户端进行识别认证),断开被认证为非法的应用连接(即通过服务端断开与被认证为非法的客户端之间的应用连接),并将认证为合法应用连接中所传输的报文作为待处理报文。其中,在变电站二次设备应用层中所预先设定的身份认证机制可以是CMS61850通信协议标准、IEC103通信协议标准等身份认证机制,此处对此不作限定。
在一实施例中,可以将现场可编程逻辑门阵列(Field Programmable GateArray,FPGA)通过网口与变电站二次设备相连接,在此基础上,通过FPGA对待处理报文进行分类,得到相应的报文分类结果。在对待处理报文进行分类的过程中,对如何对待处理报文进行分类的方式不作限定,可根据实际需求进行灵活设置。例如,可根据报文类别对待处理报文进行分类,如可分为网络诊断工具报文(即Ping报文)、网络时间协议(Network TimeProtocol,NTP)报文、地址解析协议(Address Resolution Protocol,ARP)报文、以及传输控制协议(Transmission Control Protocol,TCP)报文等报文分类结果。
本实施例中,对待处理报文进行分类,能够保障在对报文分类结果进行后续处理的过程中,不同类的报文之间互不影响。
S120、对所述报文分类结果执行第一过滤操作,得到相应的第一过滤结果。
在本实施例中,可以通过FPGA对所得到的报文分类结果执行第一过滤操作,将不符合过滤条件的报文分类结果丢弃掉,将符合过滤条件的报文分类结果保留以作为第一过滤结果。
示例性的,通过FPGA对所得到的报文分类结果执行第一过滤操作的具体过程可以是,首先可以通过变电站二次设备的应用层获取合法应用连接所对应的所有连接信息,并将所获取的连接信息下发至FPGA上。连接信息可以包括源设备的源互联网协议(InternetProtocol,IP)地址、源端口号和源媒体访问控制(Media Access Control,MAC)地址,以及目标设备的目的IP地址、目的端口号和目的MAC地址等信息。可以理解的是,每个报文中都包含对应的连接信息。其中,源设备可以理解为其他站点中的设备,目的设备可以理解为变电站二次设备。端口可以指用于唯一标识报文通信传输进程的端口,一个进程对应一个端口;源端口可理解为用于标识发起报文通信传输的进程,目的端口可理解为用于标识接收对应源端口所发送的报文的进程;源端口可以包括一个源端口号,目的端口可以包括一个目的端口号,在此基础上,根据源端口号选择对应的目的端口号,以将源端口的报文发送至对应的目的端口接收。需要说明的是,通过变电站二次设备的应用层获取合法应用连接所对应的连接信息的具体过程是,通过变电站二次设备的应用层,可以根据合法应用连接中的报文头部信息来确定对应合法应用连接中的所有连接信息,并获取这些所有连接信息。在通过变电站二次设备的应用层将所获取的连接信息下发至FPGA之前,还可以根据合法应用连接中的源设备(源设备即可理解为合法应用连接中变电站二次设备的对端设备)是本地设备还是远端设备,从所获取的所有连接信息中选取相应的连接信息下发至FPGA上。也就是说,源设备是本地设备的合法应用连接与源设备是远端设备的合法应用连接,其对应下发至FPGA上的连接信息是不同的。
然后,可以预先在FPGA上设置一个白名单信息,白名单信息中可以包括允许进入变电站二次设备的IP地址对应的名单信息,该白名单信息中可以由相关技术人员根据实际情况配置生成。
最后,可以通过FPGA,根据所接收的连接信息中的端口号和MAC地址,先过滤掉一部分非法端口号和非法MAC地址,例如,源端口号在每次的通信传输中是可以随机生成的,每一个设备只有一个唯一的MAC地址,这些合法的连接信息是非法报文难以猜测出的,即可以过滤掉包含非法端口号和非法MAC地址等信息的非法报文(可理解为过滤条件)。在此基础上,对于剩余的报文,继续通过FPGA,根据所预先设置的白名单信息将不在白名单信息中的IP地址所对应的报文过滤掉(可理解为过滤条件),剩余所保留下来的报文即为第一过滤结果。
需要说明的是,报文分类结果中的有些报文可以只根据白名单信息进行过滤;有些报文可以只根据合法应用连接的连接信息进行过滤;也有些报文可以根据白名单信息和合法应用连接的连接信息两种相结合以进行过滤,且在白名单信息和合法应用连接的连接信息两种相结合的情况下,不对根据白名单信息进行过滤和根据合法应用连接的连接信息进行过滤的先后顺序进行限定。
在一实施例中,在得到第一过滤结果之后,考虑到变电站二次设备中的中央处理器(Central Processing Unit,CPU)的处理能力,还可以根据实际情况对第一过滤结果中报文的传输速率进行设置,以保证所有能通过的报文总数不超过CPU的处理能力。
S130、根据防火墙过滤机制对所述第一过滤结果执行第二过滤操作,得到相应的第二过滤结果。
在本实施例中,防火墙过滤机制可以理解为采用设定防火墙过滤非法报文的一种机制。
防火墙过滤机制可以部署在变站二次设备的应用层中。防火墙过滤机制可以包括对端口进行过滤的防火墙过滤机制和对报文状态进行过滤的防火墙过滤机制。
示例性的,根据防火墙过滤机制对第一过滤结果执行第二过滤操作,得到相应的第二过滤结果的具体过程可以是,首先采用对端口进行过滤的防火墙过滤机制,对报文中所包含的端口进行管理,例如可以设置哪些端口可以开放,哪些端口关闭,可以接收对应开放端口的报文,拒绝接收对应关闭端口的报文。
在此基础上,可以进一步采用对报文状态进行过滤的防火墙过滤机制,跟踪每一个合法应用连接,将其中具有合法连接信息的非法报文再次识别出来并过滤掉(此处对具体识别的方法不作限定),所保留下来的报文即为第二过滤结果。其中,对端口进行过滤的防火墙过滤机制可以是linux iptables防火墙;对报文状态进行过滤的防火墙过滤机制可以是linux iptables状态防火墙;此处对此不作限定。
本发明实施例一提供的一种报文处理方法,首先通过对待处理报文进行分类,得到报文分类结果;然后通过对报文分类结果执行第一过滤操作,得到相应的第一过滤结果;最后根据防火墙过滤机制对第一过滤结果执行第二过滤操作,得到相应的第二过滤结果。该方法通过对待处理报文进行分类,并对报文分类结果执行第一过滤操作和第二过滤操作,能够有效识别并过滤掉待处理报文中的非法报文,以避免大量非法报文占用计算资源,从而提高了报文处理的效率和可靠性,确保变电站二次设备在面临大流量的网络风暴时能够正常可靠的运行。
实施例二
图2为本发明实施例二提供的一种报文处理方法的流程示意图,本实施例二在上述各实施例的基础上进行细化。在本实施例中,将对报文分类结果执行第一过滤操作,得到相应的第一过滤结果;根据防火墙过滤机制对第一过滤结果执行第二过滤操作,得到相应的第二过滤结果的过程进行了具体描述。需要说明的是,未在本实施例中详尽描述的技术细节可参见上述任意实施例。
如图2所示,本发明实施例二提供的一种报文处理方法,该方法包括如下步骤:
S210、根据设定身份认证机制识别合法应用连接。
在本实施例中,设定身份认证机制可以指所预先设定的对应用连接是否合法的身份认证机制。具体的,可以通过变电站二次设备的应用层中的设定身份认证机制识别所有应用连接中的合法应用连接,断开非法应用连接。
S220、获取合法应用连接中的报文,作为待处理报文。
在本实施例中,可以通过FPGA获取合法应用连接中的报文,作为待处理报文。
S230、对待处理报文进行分类,得到报文分类结果。
在本实施例中,可以通过FPGA对待处理报文进行分类,得到报文分类结果。
S240、根据合法应用连接中的报文头部信息,确定对应合法应用连接的连接信息。
在本实施例中,报文头部信息可以指每个报文头部字段中所包含的信息。具体的,通过变电站二次设备的应用层,可以从合法应用连接中的报文头部信息中获取对应合法应用连接的所有连接信息。
S250、根据合法应用连接中的对端应用类型和合法应用连接的连接信息,确定目标连接信息。
在本实施例中,在本实施例中,合法应用连接中的对端可以理解为合法应用连接中的源设备,其中对端应用类型可以理解为合法应用连接中的源设备的应用类型,如应用类型可以是远端设备、或者本地设备。远端设备可理解为处于非局域网内部的站点设备。相应的,本地设备可以理解为处于局域网内部的站点设备。
在确定对应合法应用连接的连接信息之后,可以根据合法应用连接中的对端应用类型和所获取的合法应用连接的所有连接信息,确定目标连接信息。目标连接信息可以理解为通过变电站二次设备中的应用层下发至FPGA中的连接信息。合法应用连接中的对端应用类型不同,对应下发至FPGA中的连接信息(即目标连接信息)可以是不同的。
示例性的,若合法应用连接中的对端应用类型为远端设备,则由于经过路由器的转发,报文中的源MAC地址可能会发生改变,当报文到达服务端(即变电站二次设备端)时,报文中的源MAC地址并不是对端装置的MAC地址,而是路由器的MAC地址;而且报文在经过路由器网络转发时的路径也可能发生变更,在这种情况下,源MAC地址也可能会发生变化。因此若合法应用连接中的对端应用类型为远端设备,则可以不获取源MAC地址以用于标识包含远端设备的应用连接。即对于包含远端设备的应用连接,通过变电站二次设备中的应用层下发至FPGA中的目标连接信息,可以包括源IP地址、源端口号、目的IP地址以及目的端口号(其中不包含源MAC地址)。
示例性的,若合法应用连接中的对端应用类型为本地设备,则由于报文只是经过交换机等设备转发,报文中的源MAC地址不发生变更,报文中的源MAC地址可以为对端装置的MAC地址,如可通过Socket句柄获取源MAC地址作为客户端(即源设备)的部分标识。对于包含本地设备的应用连接,通过变电站二次设备中的应用层下发至FPGA中的目标连接信息,可以包括源IP地址、源端口号、源MAC地址、目的IP以及目的端口号。
S260、根据设定白名单信息和/或目标连接信息,对报文分类结果执行第一过滤操作,得到相应的第一过滤结果。
在本实施例中,设定白名单信息可理解为所预先设定的允许进入变电站二次设备的IP地址对应报文的名单信息。通过FPGA,可以根据设定白名单信息和/或目标连接信息,对报文分类结果执行第一过滤操作,得到相应的第一过滤结果。其中,在报文分类结果中有的报文只需要根据设定白名单信息进行过滤即可,有的报文只需要根据目标连接信息进行过滤即可,也有的报文需要根据目标连接信息和设定白名单信息相结合进行过滤。
示例性的,针对有的报文需要根据目标连接信息和设定白名单信息相结合进行过滤的情况,通过FPGA,可以先根据目标连接信息过滤掉一部分包含非法端口号和非法MAC地址的非法报文,在此基础上,对于剩余的报文,根据设定白名单信息,将IP地址不在设定白名单信息中的报文过滤掉,所保留下来的报文分类结果即为第一过滤结果。
可选的,根据设定白名单信息和/或目标连接信息,对报文分类结果执行第一过滤操作,得到相应的第一过滤结果,包括:根据设定白名单信息和/或目标连接信息,将报文分类结果中命中设定白名单信息和/或目标连接信息的报文分类结果作为第一过滤结果,将未命中设定白名单信息和/或目标连接信息的报文分类结果丢弃。
其中,命中设定白名单信息可以理解为报文中的IP地址在设定白名单信息中,未命中设定白名单信息可以理解为报文中的IP地址不在设定白名单信息中。命中目标连接信息可理解为报文中所包含的端口号和MAC地址合法;未命中目标连接信息可理解为报文中所包含的端口号和MAC地址非法。
根据设定白名单信息和/或目标连接信息,将报文分类结果中命中设定白名单信息和/或目标连接信息的报文分类结果作为第一过滤结果,将未命中设定白名单信息和/或目标连接信息的报文分类结果丢弃,即过滤掉。
可选的,在根据设定白名单信息和/或目标连接信息,对报文分类结果执行第一过滤操作,得到相应的第一过滤结果之后,还包括:对第一过滤结果进行限速处理。
其中,限速处理可以指限制报文的传输速率。在根据设定白名单信息和/或目标连接信息,对报文分类结果执行第一过滤操作,得到相应的第一过滤结果之后,为了防止依次通过的报文数据流量过大,以保证变电站二次设备的CPU处理能力和负载均衡,可以对第一过滤结果进行限速处理。
S270、根据端口防火墙过滤机制拦截第一过滤结果中的非法端口,将合法端口对应的报文作为中间过滤结果。
在本实施例中,端口防火墙过滤机制可以指对端口进行过滤的防火墙过滤机制,即可用于过滤掉非法端口的过滤机制。拦截第一过滤结果中的非法端口可理解为阻止第一过滤结果中的非法端口对应的报文通过。具体的,根据端口防火墙过滤机制拦截第一过滤结果中的非法端口,将合法端口对应的报文作为中间过滤结果。
S280、根据状态防火墙过滤机制拦截中间过滤结果中的非法报文,将合法报文作为第二过滤结果。
在本实施例中,状态防火墙过滤机制可以指对报文合法状态进行过滤的防火墙过滤机制,即可用于过滤掉非法状态的报文。拦截中间过滤结果中的非法报文可理解为阻止中间过滤结果中的非法报文通过。具体的,根据状态防火墙过滤机制拦截中间过滤结果中的非法报文,将合法报文作为第二过滤结果。
本发明实施例二提供的一种报文处理方法,具体化了对报文分类结果执行第一过滤操作,得到相应的第一过滤结果;根据防火墙过滤机制对第一过滤结果执行第二过滤操作,得到相应的第二过滤结果的过程。该方法通过设定白名单信息和/或目标连接信息,能够实现对报文分类结果中非法报文的第一次过滤,在此基础上,还通过端口防火墙过滤机制和状态防火墙过滤机制,能够对第一过滤结果中的非法报文再次进行过滤;经过双重过滤,能够有效识别并过滤掉待处理报文中的非法报文,以避免大量非法报文占用计算资源,从而提高了报文处理的效率和可靠性,确保变电站二次设备在面临大流量的网络风暴时能够正常可靠的运行。
本发明实施例在上述各实施例的技术方案的基础上,提供了一种具体的实施方式。
作为本实施一种具体的实施方式,在变电站二次设备中形成多层次的纵深防御机制,在FPGA上根据IP白名单机制(即设定白名单信息)来初步过滤进入变电站二次设备的报文流量,通过linux iptables防火墙来做端口管理,拦截非法的端口,通过linux iptables状态防火墙来进一步拦截漏入变电站二次设备的非法报文。具体的,首先,可以通过应用层的身份认证机制来识别出合法的应用连接,然后获取应用连接的连接信息,并根据合法的应用连接中的对端类型确定目标连接信息,以将目标连接信息下发至FPGA,在FPGA可基于目标连接信息进行更有效的过滤;在FPGA对各类允许通过的报文进行分类处理,并对报文分类结果执行第一过滤操作,得到相应的第一过滤结果,同时对第一过滤结果进行相应的限速处理,以保证所有能通过的报文总数不超过变电站二次设备CPU的处理能力。最后,通过防火墙过滤机制来进一步拦截漏入变电站二次设备的非法报文。
需要说明的是,由于FPGA的处理速度快,允许通行的报文都能快速转发掉,无需实现队列以及队列调度算法即可形成服务质量(Quality of Service,Qos)加权轮询(Weighted Round Robin,WRR)的效果,保障了业务报文,以及与业务报文关联的ARP报文能优先通过。其中,Qos可以指一个网络利用各种基础技术,为指定的网络通信提供更好的服务能力,在网络安全场景广泛应用。WRR可以指一种队列调度算法,其可以用于加权循环所有业务队列服务,并且将优先权分配给较高优先级队列。
图3为本发明实施例二提供的一种报文处理框架的示意图。如图3所示,报文处理框架可以包括FPGA、防火墙、带身份认证机制的应用层。在遭受网络风暴或攻击时,保障变电站二次设备业务服务的可用性的关键是识别出业务相关的报文,过滤掉非法报文。FPGA上的IP白名单信息可由相关技术人员配置产生,连接信息的产生可由应用层动态控制(连接信息的产生由应用层动态控制可以理解为被应用层认证通过的应用连接生成对应的连接信息,当应用连接的对端应用退出后,可以通知变电站二次设备应用层断开应用连接,并删除对应的连接信息)。
可以通过应用层可将通过身份认证机制的应用连接信息下发至FPGA以协助FPGA过滤非法报文。基于Qos思想,在FPGA上先对报文进行分类,再根据IP白名单信息和/或应用连接信息,对报文分类结果进行过滤。Linux防火墙(即linux iptables防火墙)机制只允许合法端口的报文通过,丢弃其他非法端口的报文;同时开启Linux状态防火墙(即linuxiptables状态防火墙)机制,跟踪每一个合法应用连接的通信,加强识别具有部分合法连接信息的非法报文并过滤掉。
图4为本发明实施例二提供的一种基于FPGA进行报文处理的实现示意图。如图4所示,基于Qos的分类服务思想,实现了一个基于简易Qos思想处理报文的方法,对进入FPGA的报文首先进行分类,分类成TCP SYN报文、TCP数据报文、Goose报文、ARP报文、Ping报文以及NTP报文。且不同类的报文有不同的处理策略(处理策略可理解为限速处理)。分类处理能保障不同类的报文之间互相不影响。
需要说明的是,有的报文可能由于自身特性,无法根据IP白名单信息和连接规则来过滤非法报文。如Goose报文,可根据Goose订阅的MAC地址等去进行初步的过滤。
需要说明的是,对命中连接规则(连接规则即可理解为根据连接信息进行报文过滤的规则)的TCP数据报文,进行了限速处理,但是限速的上限较大,远远高于没有命中连接规则的TCP数据报文,相当于报文数据有较大的带宽,限速的目的是为了保障变电站二次设备CPU的安全,以防止收包流量过大导致CPU使用率大幅上升。其中,对不命中连接规则的TCP数据报文也限速放行,但是带宽不大,目的是为了放行身份认证报文,应用的身份认证报文是TCP数据报文,需要在身份认证通过后才下发连接信息。
对ARP报文的处理,ARP报文是数据链路层报文,但是ARP载荷中存在IP地址信息,这里利用载荷中的IP地址进行了连接规则查询。对ARP也进行连接规则的查询,主要是因为在TCP报文(即TCP SYN报文、TCP数据报文)交互过程中,会定时互发ARP请求。要保障该请求或响应能得到处理。否则通信双方的MAC地址表项老化,会导致应用连接中断,所以需要对在连接规则中的ARP请求或回应优先处理。
图5为本发明实施例二提供的一种基于FPGA进行报文处理的结果示意图。如图5所示,假设输入n个报文,基于FPGA对所获取的n个报文进行分类,分类成多个不同类别的报文,包括TCP SYN IP白名单报文、TCP会话数据报文、TCP白名单数据报文等等。在过滤之后,形成类似于WRR出队调度效果,可以得到变电站二次设备业务所需的报文(即报文2)。
本实施例,通过应用层身份认证机制、防火墙与FPGA过滤联动,对报文进行分类处理和过滤。利用FPGA尽可能过滤掉网络风暴和网络攻击相关报文,保障业务报文以及关联的ARP报文能享受到更大的带宽,有效保障了变电站二次设备在受到网络攻击时的业务服务可用性。
实施例三
图6为本发明实施例三提供的一种报文处理装置的结构示意图,该装置可由软件和/或硬件实现。如图6所示,该装置包括:分类模块310、第一过滤模块320以及第二过滤模块330;
其中,分类模块310,用于对待处理报文进行分类,得到报文分类结果;
第一过滤模块320,用于对所述报文分类结果执行第一过滤操作,得到相应的第一过滤结果;
第二过滤模块330,用于根据防火墙过滤机制对所述第一过滤结果执行第二过滤操作,得到相应的第二过滤结果。
在本实施例中,该装置首先通过分类模块,对待处理报文进行分类,得到报文分类结果;然后通过第一过滤模块,对报文分类结果执行第一过滤操作,得到相应的第一过滤结果;最后通过第二过滤模块,根据防火墙过滤机制对第一过滤结果执行第二过滤操作,得到相应的第二过滤结果。该装置通过对待处理报文进行分类,并对报文分类结果执行第一过滤操作和第二过滤操作,能够有效识别并过滤掉待处理报文中的非法报文,以避免大量非法报文占用计算资源,从而提高了报文处理的效率和可靠性,确保变电站二次设备在面临大流量的网络风暴时能够正常可靠的运行。
可选的,所述装置还包括:
识别模块,用于在对待处理报文进行分类之前,根据设定身份认证机制识别合法应用连接;
获取模块,用于获取所述合法应用连接中的报文,作为待处理报文。
可选的,第一过滤模块320,具体包括:
连接信息获取单元,用于根据合法应用连接中的对端应用类型和合法应用连接的连接信息,确定目标连接信息;
第一过滤单元,用于根据设定白名单信息和/或所述目标连接信息,对所述报文分类结果执行第一过滤操作,得到相应的第一过滤结果。
可选的,第一过滤模块320,具体还包括:
连接信息生成单元,用于在根据合法应用连接中的对端应用类型和合法应用连接的连接信息,确定目标连接信息之前,根据合法应用连接中的报文头部信息,确定对应合法应用连接的连接信息。
可选的,第一过滤单元,具体用于:
根据设定白名单信息和/或所述目标连接信息,将所述报文分类结果中命中所述设定白名单信息和/或所述目标连接信息的报文分类结果作为所述第一过滤结果,将未命中所述设定白名单信息和/或所述目标连接信息的报文分类结果丢弃。
可选的,所述装置还包括:
限速处理模块,用于在根据设定白名单信息和/或所述目标连接信息,对所述报文分类结果执行第一过滤操作,得到相应的第一过滤结果之后,对所述第一过滤结果进行限速处理。
可选的,所述防火墙过滤机制包括端口防火墙过滤机制以及状态防火墙过滤机制;
第二过滤模块330,具体包括:
第一拦截单元,用于根据所述端口防火墙过滤机制拦截所述第一过滤结果中的非法端口,将合法端口对应的报文作为中间过滤结果;
第二拦截单元,用于根据所述状态防火墙过滤机制拦截所述中间过滤结果中的非法报文,将合法报文作为所述第二过滤结果。
上述报文处理装置可执行本发明任意实施例所提供的报文处理方法,具备执行方法相应的功能模块和有益效果。
实施例四
图7为本发明实施例四提供的一种电子设备的结构示意图。如图7所示,本发明实施例四提供的电子设备包括:存储装置42和一个或多个处理器41;该电子设备中的处理器41可以是一个或多个,图7中以一个处理器41为例;存储装置42用于存储一个或多个程序;所述一个或多个程序被所述一个或多个处理器41执行,使得所述一个或多个处理器41实现如本发明实施例中任一项所述的报文处理方法。
所述电子设备还可以包括:通信装置43、输入装置44和输出装置45。
电子设备中的处理器41、存储装置42、通信装置43、输入装置44和输出装置45可以通过总线或其他方式连接,图7中以通过总线连接为例。
该电子设备中的存储装置42作为一种计算机可读存储介质,可用于存储一个或多个程序,所述程序可以是软件程序、计算机可执行程序以及模块,如本发明实施例一或二所提供报文处理方法对应的程序指令/模块(例如,附图6所示的报文处理装置中的模块,包括:分类模块310、第一过滤模块320以及第二过滤模块330)。处理器41通过运行存储在存储装置42中的软件程序、指令以及模块,从而执行电子设备的各种功能应用以及数据处理,即实现上述方法实施例中报文处理方法。
存储装置42可包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序;存储数据区可存储根据电子设备的使用所创建的数据等。此外,存储装置42可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在一些实例中,存储装置42可进一步包括相对于处理器41远程设置的存储器,这些远程存储器可以通过网络连接至电子设备。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
通信装置43可以包括接收器和发送器。通信装置43设置为根据处理器41的控制进行信息收发通信。
输入装置44可用于接收输入的数字或字符信息,以及产生与电子设备的用户设置以及功能控制有关的键信号输入。输出装置45可包括显示屏等显示设备。
并且,当上述电子设备所包括一个或者多个程序被所述一个或者多个处理器41执行时,程序进行如下操作:对待处理报文进行分类,得到报文分类结果;对所述报文分类结果执行第一过滤操作,得到相应的第一过滤结果;根据防火墙过滤机制对所述第一过滤结果执行第二过滤操作,得到相应的第二过滤结果。
实施例五
本发明实施例五提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时用于执行报文处理方法,该方法包括:对待处理报文进行分类,得到报文分类结果;对所述报文分类结果执行第一过滤操作,得到相应的第一过滤结果;根据防火墙过滤机制对所述第一过滤结果执行第二过滤操作,得到相应的第二过滤结果。
可选的,该程序被处理器执行时还可以用于执行本发明任意实施例所提供的报文处理方法。
本发明实施例的计算机存储介质,可以采用一个或多个计算机可读的介质的任意组合。计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质。计算机可读存储介质例如可以是但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机存取存储器(Random Access Memory,RAM)、只读存储器(Read Only Memory,ROM)、可擦式可编程只读存储器(ErasableProgrammable Read Only Memory,EPROM)、闪存、光纤、便携式CD-ROM、光存储器件、磁存储器件、或者上述的任意合适的组合。计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于:电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:无线、电线、光缆或无线电频率(Radio Frequency,RF)等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言或其组合来编写用于执行本发明操作的计算机程序代码,所述程序设计语言包括面向对象的程序设计语言,诸如Java、Smalltalk、C++,还包括常规的过程式程序设计语言,诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
注意,上述仅为本发明的较佳实施例及所运用技术原理。本领域技术人员会理解,本发明不限于这里所述的特定实施例,对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本发明的保护范围。因此,虽然通过以上实施例对本发明进行了较为详细的说明,但是本发明不仅仅限于以上实施例,在不脱离本发明构思的情况下,还可以包括更多其他等效实施例,而本发明的范围由所附的权利要求范围决定。
Claims (10)
1.一种报文处理方法,其特征在于,所述方法包括:
对待处理报文进行分类,得到报文分类结果;
对所述报文分类结果执行第一过滤操作,得到相应的第一过滤结果;
根据防火墙过滤机制对所述第一过滤结果执行第二过滤操作,得到相应的第二过滤结果。
2.根据权利要求1所述的方法,其特征在于,在对待处理报文进行分类之前,还包括:
根据设定身份认证机制识别合法应用连接;
获取所述合法应用连接中的报文,作为待处理报文。
3.根据权利要求2所述的方法,其特征在于,所述对所述报文分类结果执行第一过滤操作,得到相应的第一过滤结果,包括:
根据合法应用连接中的对端应用类型和合法应用连接的连接信息,确定目标连接信息;
根据设定白名单信息和/或所述目标连接信息,对所述报文分类结果执行第一过滤操作,得到相应的第一过滤结果。
4.根据权利要求3所述的方法,其特征在于,在根据合法应用连接中的对端应用类型和合法应用连接的连接信息,确定目标连接信息之前,还包括:
根据合法应用连接中的报文头部信息,确定对应合法应用连接的连接信息。
5.根据权利要求3所述的方法,其特征在于,所述根据设定白名单信息和/或所述目标连接信息,对所述报文分类结果执行第一过滤操作,得到相应的第一过滤结果,包括:
根据设定白名单信息和/或所述目标连接信息,将所述报文分类结果中命中所述设定白名单信息和/或所述目标连接信息的报文分类结果作为所述第一过滤结果,将未命中所述设定白名单信息和/或所述目标连接信息的报文分类结果丢弃。
6.根据权利要求5所述的方法,其特征在于,在根据设定白名单信息和/或所述目标连接信息,对所述报文分类结果执行第一过滤操作,得到相应的第一过滤结果之后,还包括:
对所述第一过滤结果进行限速处理。
7.根据权利要求1所述的方法,其特征在于,所述防火墙过滤机制包括端口防火墙过滤机制以及状态防火墙过滤机制;
所述根据防火墙过滤机制对所述第一过滤结果执行第二过滤操作,得到相应的第二过滤结果,包括:
根据所述端口防火墙过滤机制拦截所述第一过滤结果中的非法端口,将合法端口对应的报文作为中间过滤结果;
根据所述状态防火墙过滤机制拦截所述中间过滤结果中的非法报文,将合法报文作为所述第二过滤结果。
8.一种报文处理装置,其特征在于,所述装置包括:
分类模块,用于对待处理报文进行分类,得到报文分类结果;
第一过滤模块,用于对所述报文分类结果执行第一过滤操作,得到相应的第一过滤结果;
第二过滤模块,用于根据防火墙过滤机制对所述第一过滤结果执行第二过滤操作,得到相应的第二过滤结果。
9.一种电子设备,其特征在于,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序;
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1-7中任一所述的报文处理方法。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1-7中任一所述的报文处理方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111546979.9A CN114244608A (zh) | 2021-12-16 | 2021-12-16 | 一种报文处理方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111546979.9A CN114244608A (zh) | 2021-12-16 | 2021-12-16 | 一种报文处理方法、装置、电子设备及存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN114244608A true CN114244608A (zh) | 2022-03-25 |
Family
ID=80757500
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111546979.9A Pending CN114244608A (zh) | 2021-12-16 | 2021-12-16 | 一种报文处理方法、装置、电子设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114244608A (zh) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102413013A (zh) * | 2011-11-21 | 2012-04-11 | 北京神州绿盟信息安全科技股份有限公司 | 网络异常行为检测方法及装置 |
CN102571786A (zh) * | 2011-12-30 | 2012-07-11 | 深信服网络科技(深圳)有限公司 | 防火墙中多个安全模块之间联动防御的方法及防火墙 |
CN110381053A (zh) * | 2019-07-16 | 2019-10-25 | 新华三信息安全技术有限公司 | 一种报文过滤方法及装置 |
CN112910831A (zh) * | 2019-12-04 | 2021-06-04 | 中兴通讯股份有限公司 | 报文匹配方法、装置、防火墙设备和存储介质 |
-
2021
- 2021-12-16 CN CN202111546979.9A patent/CN114244608A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102413013A (zh) * | 2011-11-21 | 2012-04-11 | 北京神州绿盟信息安全科技股份有限公司 | 网络异常行为检测方法及装置 |
CN102571786A (zh) * | 2011-12-30 | 2012-07-11 | 深信服网络科技(深圳)有限公司 | 防火墙中多个安全模块之间联动防御的方法及防火墙 |
CN110381053A (zh) * | 2019-07-16 | 2019-10-25 | 新华三信息安全技术有限公司 | 一种报文过滤方法及装置 |
CN112910831A (zh) * | 2019-12-04 | 2021-06-04 | 中兴通讯股份有限公司 | 报文匹配方法、装置、防火墙设备和存储介质 |
Non-Patent Citations (1)
Title |
---|
刘洋;: "基于改进白名单过滤的跨网入侵检测仿真", 计算机仿真, no. 01 * |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11843605B2 (en) | Methods and systems for data traffic based adaptive security | |
Ambrosin et al. | Lineswitch: Tackling control plane saturation attacks in software-defined networking | |
WO2021032207A1 (zh) | 网络威胁的诱捕方法、系统和转发设备 | |
Ambrosin et al. | Lineswitch: Efficiently managing switch flow in software-defined networking while effectively tackling dos attacks | |
US9712490B1 (en) | Identifying applications for intrusion detection systems | |
US20160337372A1 (en) | Network system, controller and packet authenticating method | |
US8879388B2 (en) | Method and system for intrusion detection and prevention based on packet type recognition in a network | |
EP2213045B1 (en) | Security state aware firewall | |
WO2015010307A1 (zh) | 业务路径分配方法、路由器和业务执行实体 | |
JP2008523735A (ja) | ネットワーク装置を有する電子メッセージ配信システム | |
RU2517411C1 (ru) | Способ управления соединениями в межсетевом экране | |
US9001650B2 (en) | TCP relay apparatus | |
US11329959B2 (en) | Virtual routing and forwarding (VRF)-aware socket | |
US11489815B2 (en) | Methods and systems for synchronizing state amongst monitoring nodes | |
US9037729B2 (en) | SIP server overload control | |
CN110278152B (zh) | 一种建立快速转发表的方法及装置 | |
Wang et al. | Efficient and low‐cost defense against distributed denial‐of‐service attacks in SDN‐based networks | |
Shoeb et al. | Resource management of switches and Controller during saturation time to avoid DDoS in SDN | |
CN113872933B (zh) | 隐藏源站的方法、系统、装置、设备及存储介质 | |
CN114465742A (zh) | 网络安全防护方法以及防护设备 | |
US20230208874A1 (en) | Systems and methods for suppressing denial of service attacks | |
CN114244608A (zh) | 一种报文处理方法、装置、电子设备及存储介质 | |
US11838197B2 (en) | Methods and system for securing a SDN controller from denial of service attack | |
US20170331838A1 (en) | Methods and computing devices to regulate packets in a software defined network | |
US7920564B1 (en) | Differential services support for control traffic from privileged nodes in IP networks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |