CN115225368A - 一种报文处理方法、装置、电子设备及存储介质 - Google Patents
一种报文处理方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN115225368A CN115225368A CN202210836952.1A CN202210836952A CN115225368A CN 115225368 A CN115225368 A CN 115225368A CN 202210836952 A CN202210836952 A CN 202210836952A CN 115225368 A CN115225368 A CN 115225368A
- Authority
- CN
- China
- Prior art keywords
- source address
- message
- network message
- blacklist
- attack
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供一种报文处理方法、装置、电子设备及存储介质,该方法包括:获取网络报文,从网络报文中解析出源地址;在确定黑名单中没有查询到源地址之后,判断源地址对应设备是否是多次攻击;若是,则丢弃网络报文,并将源地址加入黑名单。通过在确定所述源地址不在黑名单中之后,若源地址对应设备是多次攻击,才丢弃所述网络报文,在该网络报文对应设备偶尔出现一次的误报时暂时不处理(例如不加入黑名单),而是多次检测到该网络报文对应设备攻击时,才将该网络报文的源地址加入黑名单,从而降低了加入黑名单的源地址为正常使用者的源地址的概率,有效地避免了正常报文被丢弃导致中断正常业务的风险。
Description
技术领域
本申请涉及计算机网络和网络安全的技术领域,具体而言,涉及一种报文处理方法、装置、电子设备及存储介质。
背景技术
目前,为了保证网络安全,通常会使用安全设备(例如防火墙、安全网关和攻击检测系统等等)来对网络报文进行安全处理,具体例如:对网络报文进行攻击检测,从而确定该网络报文是否是攻击报文,若该网络报文是攻击报文,就直接阻断该网络报文,并将该网络报文的源地址直接加入到黑名单中,使得攻击者后续发送的网络报文的源地址匹配到黑名单时就直接被丢弃,达到阻止后续可能的攻击的效果。然而,安全设备的检测手段可能存在一定的误报率,如果出现将该网络报文误报为攻击报文,就可能导致加入黑名单的源地址为正常使用者的源地址,从而引起正常报文被丢弃导致中断正常业务的风险。
发明内容
本申请实施例的目的在于提供一种报文处理方法、装置、电子设备及存储介质,用于改善正常报文被丢弃导致中断正常业务的风险的问题。
本申请实施例提供了一种报文处理方法,包括:获取网络报文,从网络报文中解析出源地址;在确定黑名单中没有查询到源地址之后,判断源地址对应设备是否是多次攻击;若是,则丢弃网络报文,并将源地址加入黑名单。在上述方案的实现过程中,通过在确定源地址不在黑名单中之后,若源地址对应设备是多次攻击,才丢弃网络报文,并将源地址加入黑名单,从而减少了安全设备的检测手段偶尔出现一次的访问网络报文的误报率带来的影响,在该网络报文对应设备偶尔出现一次的误报时暂时不处理(例如不加入黑名单),而是多次检测到该网络报文对应设备攻击时,才将该网络报文的源地址加入黑名单,从而降低了加入黑名单的源地址为正常使用者的源地址的概率,有效地避免了正常报文被丢弃导致中断正常业务的风险。
可选地,在本申请实施例中,在判断源地址对应设备是否是多次攻击之后,还包括:若源地址对应设备是首次攻击,则丢弃网络报文,从网络报文中解析出目标设备的目的地址,并将源地址和目的地址关联存储至二元组名单中。在上述方案的实现过程中,通过在源地址对应设备是首次攻击的情况下,才丢弃网络报文,从网络报文中解析出目标设备的目的地址,并将源地址和目的地址关联存储至二元组名单中,从而能够实现记录该源地址对应设备的攻击次数,从而减少了安全设备的检测手段偶尔出现一次的访问网络报文的误报率带来的影响。
可选地,在本申请实施例中,判断源地址对应设备是否是多次攻击,包括:在确定从二元组名单中查询到源地址对应的数据记录之后,判断网络报文是否是攻击报文;若是,则确定源地址对应设备是多次攻击,否则,确定源地址对应设备不是多次攻击。在上述方案的实现过程中,通过确定从二元组名单中查询到源地址对应的数据记录,且确定网络报文是攻击报文,才最终确定源地址对应设备是多次攻击,并将多次攻击的源地址加入黑名单,从而减少了安全设备的检测手段偶尔出现一次的访问网络报文的误报率带来的影响。
可选地,在本申请实施例中,确定从二元组名单中查询到源地址对应的数据记录,包括:在二元组名单中查找到源地址相同且目的地址相同的数据记录;或者,在二元组名单中查找到源地址相同且目的地址不同的数据记录。在上述方案的实现过程中,通过在二元组名单中查找到源地址相同且目的地址相同的数据记录;或者,在二元组名单中查找到源地址相同且目的地址不同的数据记录,从而避免了安全设备的检测手段偶尔出现一次的误报就直接将源地址加入黑名单的问题,有效地减少了安全设备的检测手段偶尔出现一次的访问网络报文的误报率带来的影响。
可选地,在本申请实施例中,还包括:若二元组名单中的数据记录超时,则将该数据记录从二元组名单中删除。在上述方案的实现过程中,通过在二元组名单中的数据记录超时的情况下,就将该数据记录从二元组名单中删除,从而避免了安全设备的检测手段偶尔出现一次的误报就直接将源地址加入黑名单的问题,有效地减少了安全设备的检测手段偶尔出现一次的访问网络报文的误报率带来的影响。
可选地,在本申请实施例中,还包括:若确定源地址在黑名单中,则丢弃网络报文。
可选地,在本申请实施例中,还包括:若二元组名单中没有查询到源地址对应的数据记录,且网络报文是攻击报文,则确定源地址对应设备是首次攻击。
本申请实施例还提供了一种报文处理装置,包括:报文获取解析模块,用于获取网络报文,从网络报文中解析出源地址;设备攻击判断模块,用于在确定黑名单中没有查询到源地址之后,判断源地址对应设备是否是多次攻击;地址名单加入模块,用于若源地址对应设备是多次攻击,则丢弃网络报文,并将源地址加入黑名单。
可选地,在本申请实施例中,报文处理装置,还包括:首次攻击处理模块,用于若源地址对应设备是首次攻击,则丢弃网络报文,从网络报文中解析出目标设备的目的地址,并将源地址和目的地址关联存储至二元组名单中。
可选地,在本申请实施例中,设备攻击判断模块,包括:网络报文判断子模块,用于在确定从二元组名单中查询到源地址对应的数据记录之后,判断网络报文是否是攻击报文;攻击报文确定子模块,用于若网络报文是攻击报文,则确定源地址对应设备是多次攻击,否则,确定源地址对应设备不是多次攻击。
可选地,在本申请实施例中,网络报文判断子模块,包括:报文地址查找单元,用于在二元组名单中查找到源地址相同且目的地址相同的数据记录;或者,在二元组名单中查找到源地址相同且目的地址不同的数据记录。
可选地,在本申请实施例中,报文处理装置,还包括:数据记录删除模块,用于若二元组名单中的数据记录超时,则将该数据记录从二元组名单中删除。
可选地,在本申请实施例中,报文处理装置,还包括:网络报文丢弃模块,用于若确定源地址在黑名单中,则丢弃网络报文。
可选地,在本申请实施例中,报文处理装置,还包括:首次攻击确定模块,用于若二元组名单中没有查询到源地址对应的数据记录,且网络报文是攻击报文,则确定源地址对应设备是首次攻击。
本申请实施例还提供了一种电子设备,包括:处理器和存储器,存储器存储有处理器可执行的机器可读指令,机器可读指令被处理器执行时执行如上面描述的方法。
本申请实施例还提供了一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序,该计算机程序被处理器运行时执行如上面描述的方法。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请实施例中的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1示出的本申请实施例提供的报文处理方法的流程示意图;
图2示出的本申请实施例提供的二元组名单的一种结构示意图;
图3示出的本申请实施例提供的报文处理装置的结构示意图;
图4示出的本申请实施例提供的电子设备的结构示意图。
具体实施方式
下面将结合本申请实施例中附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请实施例中的一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本申请实施例的组件可以以各种不同的配置来布置和设计。因此,以下对在附图中提供的本申请实施例的详细描述并非旨在限制要求保护的本申请实施例的范围,而是仅仅表示本申请实施例中的选定实施例。基于本申请实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本申请实施例保护的范围。
可以理解的是,本申请实施例中的“第一”、“第二”用于区别类似的对象。本领域技术人员可以理解“第一”、“第二”等字样并不对数量和执行次序进行限定,并且“第一”、“第二”等字样也并不限定一定不同。
在介绍本申请实施例提供的报文处理方法之前,先介绍本申请实施例中所涉及的一些概念:
网络安全防护设备(Network Security Device,NSD),是指部署在调度内部网与外部网之间、专用网与公共网之间的一组软件和硬件设备,用于构成内部网与外部网之间、专用网与公共网之间界面上的保护屏障。
需要说明的是,本申请实施例提供的报文处理方法可以被电子设备执行,这里的电子设备是指具有执行计算机程序功能的设备终端或者服务器,设备终端例如:智能手机、个人电脑、平板电脑、个人数字助理或者移动上网设备等。服务器是指通过网络提供计算服务的设备,服务器例如:x86服务器以及非x86服务器,非x86服务器包括:大型机、小型机和UNIX服务器。
下面介绍该报文处理方法适用的应用场景,这里的应用场景包括但不限于:使用该报文处理方法来增强网络安全防护设备(NSD)的容错性,在源地址对应设备是多次攻击,才丢弃网络报文,并将源地址加入黑名单,由于电子设备在该网络报文对应设备偶尔出现一次的误报时暂时不处理(例如不加入黑名单),而是多次检测到该网络报文对应设备攻击时,才将该网络报文的源地址加入黑名单,从而减少了安全设备的检测手段偶尔出现一次的访问网络报文的误报率带来的影响,也降低了正常的互联网协议(Internet Protocol,IP)地址被加入黑名单的概率。其中,此处的NSD可以包括:防火墙、防病毒系统、横向隔离装置、纵向加密认证装置、网站应用防护系统(Web Application Firewall,WAF)或者入侵检测系统(Intrusion Detection System,IDS)等。
请参见图1示出的本申请实施例提供的报文处理方法的流程示意图;本申请实施例提供了一种报文处理方法,包括:
步骤S110:获取网络报文,从网络报文中解析出源地址。
上述步骤S110的实施方式例如:电子设备使用预设编程语言编译或者解释的可执行程序获取网络报文,从网络报文中解析出该网络报文的源地址(Source Address),可以使用的编程语言例如:C、C++、Java、BASIC、JavaScript、LISP、Shell、Perl、Ruby、Python和PHP等等。在从网络报文中解析出源地址之后,还可以使用上述可执行程序判断该源地址是否在电子设备的白名单中,若该源地址在白名单中,则可以直接放行。如果该源地址没有在电子设备的白名单中,那么可以使用上述可执行程序判断该源地址是否在电子设备的黑名单中,若该源地址在黑名单中,则可以直接丢弃网络报文,然后,获取下一个网络报文并执行步骤S110。若该源地址没有在电子设备的黑名单中,即确定黑名单中没有查询到源地址之后,可以执行下面的步骤S120。
步骤S120:在确定黑名单中没有查询到源地址之后,判断源地址对应设备是否是多次攻击。
黑名单(Black List),是指电子设备记录有存在多次攻击行为的设备IP源地址的名单。当然黑名单中也存在有运维人员经过网络报文来进行研判,并确定该网络报文的设备是恶意攻击设备之后,直接加入该网络报文的IP源地址。
可以理解的是,上述判断源地址对应设备是否是多次攻击的实施方式有很多种,具体例如:可以使用文件或者数据库来记录源地址对应设备的攻击次数,从而根据记录的攻击次数来确定源地址对应设备是否是多次攻击,此处的文件可以采用分布式文件系统中的文件,此处的数据库可以采用缓存数据库、关系型数据库和非关系型数据库等等,可以使用的缓存数据库例如:Memcached和Redis等。因此,下面将详细描述判断源地址对应设备是否是多次攻击的过程。
步骤S130:若源地址对应设备是多次攻击,则丢弃网络报文,并将源地址加入黑名单。
上述步骤S130的实施方式例如:若该网络报文中的源地址对应设备是多次攻击,则电子设备使用预设编程语言编译或者解释的可执行程序阻断并丢弃该网络报文,并将该网络报文中的源地址加入黑名单,可以使用的编程语言例如:C、C++、Java、BASIC、JavaScript、LISP、Shell、Perl、Ruby、Python和PHP等等。
在上述的实现过程中,通过在确定源地址不在黑名单中之后,若源地址对应设备是多次攻击,才丢弃网络报文,并将源地址加入黑名单,从而减少了安全设备的检测手段偶尔出现一次的访问网络报文的误报率带来的影响,在该网络报文对应设备偶尔出现一次的误报时暂时不处理(例如不加入黑名单),而是多次检测到该网络报文对应设备攻击时,才将该网络报文的源地址加入黑名单,从而降低了加入黑名单的源地址为正常使用者的源地址的概率,有效地避免了正常报文被丢弃导致中断正常业务的风险。
作为上述报文处理方法的一种可选实施方式,在步骤S120的判断源地址对应设备是否是多次攻击之后,还可以对首次攻击的情况进行处理,该实施方式可以包括:
步骤S140:若源地址对应设备是首次攻击,则丢弃该源地址对应的网络报文,从网络报文中解析出目标设备的目的地址,并将源地址和目的地址关联存储至二元组名单中。
二元组名单,是指以网络报文的源地址和目标地址为主要字段(类似数据库中数据表的主键)存储的名单。
请参见图2示出的本申请实施例提供的二元组名单的一种结构示意图;上述的源地址和目标地址可以根据具体情况进行设置,例如将源地址设置为10.1.1.5,将目标地址设置为10.1.1.6。当然二元组名单还可以存储其它的字段,例如:超时时长(即超过预设时长之后自动删除该数据记录)、攻击次数和/或攻击标志(首次攻击或多次攻击)等等字段;超时时长的单位也可以根据具体情况设置,例如将超时时长设置为3个小时等等。在具体的实施过程中,由于缓存数据库中有已经实现的超时时长自动删除机制,因此,上述的二元组名单可以使用Memcached和Redis等缓存数据库来实现。
上述步骤S140的实施方式例如:使用预设编程语言编译或者解释的可执行程序判断该源地址是否在Memcached和Redis等缓存数据库实现的二元组名单中,若二元组名单中没有查询到源地址对应的数据记录,且网络报文是攻击报文,那么可以直接确定源地址对应设备是首次攻击。若源地址对应设备是首次攻击,则使用预设编程语言编译或者解释的可执行程序丢弃该源地址对应的网络报文,从网络报文中解析出目标设备的目的地址,并将源地址和目的地址关联存储至二元组名单中。其中,可以使用的编程语言例如:C、C++、Java、BASIC、JavaScript、LISP、Shell、Perl、Ruby、Python和PHP等等。
作为上述步骤S120的一种可选实施方式,判断源地址对应设备是否是多次攻击的实施方式可以包括:
步骤S121:在确定从二元组名单中查询到源地址对应的数据记录之后,判断网络报文是否是攻击报文。
可以理解的是,在确定黑名单中没有查询到源地址之后,又确定从二元组名单中查询到源地址对应的数据记录之后,说明该源地址对应设备已经存在攻击次数,此时再判断网络报文是否是攻击报文。由于从二元组名单中查询到源地址对应的数据记录有很多种情况,例如源地址相同且目标地址相同的情况,源地址相同且目标地址不同的情况,下面在步骤S123之后将对这几种情况分别讨论。
上述步骤S121中的判断网络报文是否是攻击报文的实施方式例如:可以采用防火墙、防病毒系统、横向隔离装置、纵向加密认证装置、网站应用防护系统(WAF)或者入侵检测系统(IDS)等网络安全防护设备(NSD)来判断网络报文是否是攻击报文,网络安全防护设备(NSD)可以根据网络报文的数据特征和网络报文所执行的实际动作来确定该网络报文是否是攻击报文。
步骤S122:若网络报文是攻击报文,则确定源地址对应设备是多次攻击。
步骤S123:若网络报文不是攻击报文,则确定源地址对应设备不是多次攻击。
上述步骤S122至步骤S123的实施方式例如:若确定从二元组名单中查询到源地址对应的数据记录,且网络报文是攻击报文,则说明二元组名单中记录了至少一次攻击,且加上本次攻击,那么该源地址对应设备至少有两次攻击,因此可以确定源地址对应设备是多次攻击。若确定从二元组名单中查询到源地址对应的数据记录只有一条,且网络报文不是攻击报文,则说明二元组名单中记录的一次攻击,且本次不是攻击,那么可以确定该源地址对应设备只有一次攻击,即可以确定源地址对应设备不是多次攻击。同理地,若确定从二元组名单中没有查询到源地址对应的数据记录,且网络报文不是攻击报文,则说明二元组名单中没有记录该源地址设备的攻击次数,且本次不是攻击,那么可以确定该源地址对应设备没有攻击次数。
作为上述步骤S121的一种可选实施方式,确定从二元组名单中查询到源地址对应的数据记录,包括但不限于如下三种实施方式:
第一种实施方式,查找到源地址相同且目的地址相同的数据记录,该实施方式可以包括:
步骤S121a:在二元组名单中查找到源地址相同且目的地址相同的数据记录。
上述步骤S121a的实施方式例如:若在二元组名单中查找到源地址相同且目的地址相同的数据记录,且网络报文是攻击报文,则确定源地址对应设备是多次攻击。若在二元组名单中查找到源地址相同且目的地址相同的数据记录,且网络报文不是攻击报文,则确定源地址对应设备不是多次攻击。
第二种实施方式,查找到源地址相同且目的地址不同的数据记录,该实施方式可以包括:
步骤S121b:在二元组名单中查找到源地址相同且目的地址不同的数据记录。
上述步骤S121b的实施方式例如:若在二元组名单中查找到源地址相同且目的地址不同的数据记录,且网络报文是攻击报文,则确定源地址对应设备是多次攻击。若在二元组名单中查找到源地址相同且目的地址不同的数据记录,且网络报文不是攻击报文,则确定源地址对应设备不是多次攻击。
第三种实施方式,查找到源地址相同且目的地址相同的数据记录,以及查找到源地址相同且目的地址不同的数据记录,该实施方式可以包括:
步骤S121c:在二元组名单中查找到源地址相同且目的地址相同的数据记录,且查找到源地址相同且目的地址不同的数据记录,可以确定源地址对应设备是多次攻击。
上述步骤S121c的实施方式例如:若在二元组名单中查找到源地址相同且目的地址相同的数据记录,且查找到源地址相同且目的地址不同的数据记录,且网络报文是攻击报文,则说明已经在二元组名单中已经记录了两次攻击,且加上本次攻击共三次攻击,那么可以直接确定源地址对应设备是多次攻击(多次攻击包括三次攻击)。若在二元组名单中查找到源地址相同且目的地址相同的数据记录,且查找到源地址相同且目的地址不同的数据记录,且网络报文不是攻击报文,则说明已经在二元组名单中已经记录了两次攻击,即使本次不是攻击,那么也可以直接确定源地址对应设备是多次攻击(多次攻击包括两次攻击)。
作为上述报文处理方法的一种可选实施方式,还可以在二元组名单中的数据记录超时的时候,将该数据记录删除,该实施方式可以包括:
步骤S124:若二元组名单中的数据记录超时,则将该数据记录从二元组名单中删除。
上述步骤S124的实施方式例如:在源地址和目的地址存储为二元组名单中的数据记录时,还可以设置该数据记录的超时时长(即超过预设时长之后自动删除该数据记录)。由于缓存数据库中有已经实现的超时时长自动删除机制,因此,上述的二元组名单可以使用Memcached和Redis等缓存数据库来实现。该电子设备可以先判断Memcached和Redis等缓存数据库实现的二元组名单中的数据记录是否超过预设时长,若二元组名单中的数据记录超过预设时长,则将该数据记录从二元组名单中删除。其中,此处的预设时长可以根据具体情况设置,例如将预设时长设置为1天、5天或7天等等。
作为上述报文处理方法的一种可选实施方式,还可以在黑名单中匹配到该网络报文的源地址时直接丢弃该网络报文,该实施方式可以包括:
步骤S150:若确定源地址在黑名单中,则丢弃网络报文。
上述步骤S150的实施方式例如:若电子设备确定源地址在黑名单中,则可以直接丢弃网络报文,这正是黑名单的主要作用的体现。在具体的实践过程中,黑名单中还可以增加一个状态标志(Status Flag)字段来记录该源地址对应设备的当前状态,状态标志可以设置为灰度(gray),表明该源地址对应设备不是多次攻击,例如是二元组名单中已经记录的首次攻击,此时同时将黑名单中的状态标志设置为灰度;当然该标志状态还可以设置为黑度(black),表明该源地址对应设备是多次攻击,若电子设备确定源地址在黑名单中,且状态标志为黑度(black),则可以直接丢弃网络报文。
作为上述报文处理方法的一种可选实施方式,还可以确定首次攻击,该实施方式可以包括:
步骤S160:若二元组名单中没有查询到源地址对应的数据记录,且网络报文是攻击报文,则确定源地址对应设备是首次攻击。
可以理解的是,在具体实施过程中,还可以在确定源地址对应设备是首次攻击之后,将首次攻击对应的源地址和网络报文发送给运维人员的终端上,由运维人员根据首次攻击对应的源地址和网络报文来进行研判后,判断该源地址对应设备是否是误报检测,若该源地址对应设备是误报检测,则可以将该源地址加入电子设备的白名单,以使该电子设备在确定该源地址在白名单之后,直接放行,从而避免该源地址对应设备再次出现误报检测。
请参见图3示出的本申请实施例提供的报文处理装置的结构示意图;本申请实施例提供了一种报文处理装置200,包括:
报文获取解析模块210,用于获取网络报文,从网络报文中解析出源地址。
设备攻击判断模块220,用于在确定黑名单中没有查询到源地址之后,判断源地址对应设备是否是多次攻击。
地址名单加入模块230,用于若源地址对应设备是多次攻击,则丢弃网络报文,并将源地址加入黑名单。
可选地,在本申请实施例中,报文处理装置,还包括:
首次攻击处理模块,用于若源地址对应设备是首次攻击,则丢弃网络报文,从网络报文中解析出目标设备的目的地址,并将源地址和目的地址关联存储至二元组名单中。
可选地,在本申请实施例中,设备攻击判断模块,包括:
网络报文判断子模块,用于在确定从二元组名单中查询到源地址对应的数据记录之后,判断网络报文是否是攻击报文。
攻击报文确定子模块,用于若网络报文是攻击报文,则确定源地址对应设备是多次攻击,否则,确定源地址对应设备不是多次攻击。
可选地,在本申请实施例中,网络报文判断子模块,包括:
报文地址查找单元,用于在二元组名单中查找到源地址相同且目的地址相同的数据记录;或者,在二元组名单中查找到源地址相同且目的地址不同的数据记录。
可选地,在本申请实施例中,报文处理装置,还包括:
数据记录删除模块,用于若二元组名单中的数据记录超时,则将该数据记录从二元组名单中删除。
可选地,在本申请实施例中,报文处理装置,还包括:
网络报文丢弃模块,用于若确定源地址在黑名单中,则丢弃网络报文。
可选地,在本申请实施例中,报文处理装置,还包括:
首次攻击确定模块,用于若二元组名单中没有查询到源地址对应的数据记录,且网络报文是攻击报文,则确定源地址对应设备是首次攻击。
应理解的是,该装置与上述的报文处理方法实施例对应,能够执行上述方法实施例涉及的各个步骤,该装置具体的功能可以参见上文中的描述,为避免重复,此处适当省略详细描述。该装置包括至少一个能以软件或固件(firmware)的形式存储于存储器中或固化在装置的操作系统(operating system,OS)中的软件功能模块。
请参见图4示出的本申请实施例提供的电子设备的结构示意图。本申请实施例提供的一种电子设备300,包括:处理器310和存储器320,存储器320存储有处理器310可执行的机器可读指令,机器可读指令被处理器310执行时执行如上的方法。
本申请实施例还提供了一种计算机可读存储介质330,该计算机可读存储介质330上存储有计算机程序,该计算机程序被处理器310运行时执行如上的方法。
其中,计算机可读存储介质330可以由任何类型的易失性或非易失性存储设备或者它们的组合实现,如静态随机存取存储器(Static Random Access Memory,简称SRAM),电可擦除可编程只读存储器(Electrically Erasable Programmable Read-Only Memory,简称EEPROM),可擦除可编程只读存储器(Erasable Programmable Read Only Memory,简称EPROM),可编程只读存储器(Programmable Read-Only Memory,简称PROM),只读存储器(Read-Only Memory,简称ROM),磁存储器,快闪存储器,磁盘或光盘。
需要说明的是,本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。对于装置类实施例而言,由于其与方法实施例基本相似,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
本申请实施例提供的几个实施例中,应该理解到,所揭露的装置和方法,也可以通过其他的方式实现。以上所描述的装置实施例仅是示意性的,例如,附图中的流程图和框图显示了根据本申请实施例的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以和附图中所标注的发生顺序不同。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这主要根据所涉及的功能而定。
另外,在本申请实施例中的各个实施例的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。此外,在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本申请实施例的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外,在不相互矛盾的情况下,本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。
在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。
以上的描述,仅为本申请实施例的可选实施方式,但本申请实施例的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请实施例揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请实施例的保护范围之内。
Claims (10)
1.一种报文处理方法,其特征在于,包括:
获取网络报文,从所述网络报文中解析出源地址;
在确定黑名单中没有查询到所述源地址之后,判断所述源地址对应设备是否是多次攻击;
若是,则丢弃所述网络报文,并将所述源地址加入黑名单。
2.根据权利要求1所述的方法,其特征在于,在所述判断所述源地址对应设备是否是多次攻击之后,还包括:
若所述源地址对应设备是首次攻击,则丢弃所述网络报文,从所述网络报文中解析出目标设备的目的地址,并将所述源地址和所述目的地址关联存储至二元组名单中。
3.根据权利要求2所述的方法,其特征在于,所述判断所述源地址对应设备是否是多次攻击,包括:
在确定从所述二元组名单中查询到所述源地址对应的数据记录之后,判断所述网络报文是否是攻击报文;
若是,则确定所述源地址对应设备是多次攻击,否则,确定所述源地址对应设备不是多次攻击。
4.根据权利要求3所述的方法,其特征在于,所述确定从所述二元组名单中查询到所述源地址对应的数据记录,包括:
在所述二元组名单中查找到所述源地址相同且所述目的地址相同的数据记录;
或者,在所述二元组名单中查找到所述源地址相同且所述目的地址不同的数据记录。
5.根据权利要求2-4任一所述的方法,其特征在于,还包括:
若所述二元组名单中的数据记录超时,则将该数据记录从所述二元组名单中删除。
6.根据权利要求2-4任一所述的方法,其特征在于,还包括:
若确定所述源地址在黑名单中,则丢弃所述网络报文。
7.根据权利要求2-4任一所述的方法,其特征在于,还包括:
若所述二元组名单中没有查询到所述源地址对应的数据记录,且所述网络报文是攻击报文,则确定所述源地址对应设备是首次攻击。
8.一种报文处理装置,其特征在于,包括:
报文获取解析模块,用于获取网络报文,从所述网络报文中解析出源地址;
设备攻击判断模块,用于在确定黑名单中没有查询到所述源地址之后,判断所述源地址对应设备是否是多次攻击;
地址名单加入模块,用于若所述源地址对应设备是多次攻击,则丢弃所述网络报文,并将所述源地址加入黑名单。
9.一种电子设备,其特征在于,包括:处理器和存储器,所述存储器存储有所述处理器可执行的机器可读指令,所述机器可读指令被所述处理器执行时执行如权利要求1至7任一所述的方法。
10.一种计算机可读存储介质,其特征在于,该计算机可读存储介质上存储有计算机程序,该计算机程序被处理器运行时执行如权利要求1至7任一所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210836952.1A CN115225368A (zh) | 2022-07-15 | 2022-07-15 | 一种报文处理方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210836952.1A CN115225368A (zh) | 2022-07-15 | 2022-07-15 | 一种报文处理方法、装置、电子设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115225368A true CN115225368A (zh) | 2022-10-21 |
Family
ID=83612441
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210836952.1A Pending CN115225368A (zh) | 2022-07-15 | 2022-07-15 | 一种报文处理方法、装置、电子设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115225368A (zh) |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103581180A (zh) * | 2013-10-28 | 2014-02-12 | 深信服网络科技(深圳)有限公司 | 根据攻击日志调整命中特征的方法和装置 |
| KR101598187B1 (ko) * | 2014-12-23 | 2016-02-26 | 주식회사 시큐아이 | DDoS 공격 차단 방법 및 장치 |
| CN105681353A (zh) * | 2016-03-22 | 2016-06-15 | 浙江宇视科技有限公司 | 防御端口扫描入侵的方法及装置 |
| CN107948125A (zh) * | 2016-10-13 | 2018-04-20 | 腾讯科技(深圳)有限公司 | 一种网络攻击的处理方法及装置 |
| CN108551446A (zh) * | 2018-04-08 | 2018-09-18 | 东软集团股份有限公司 | 防攻击的syn报文处理方法、装置、防火墙及存储介质 |
| CN110545291A (zh) * | 2019-09-29 | 2019-12-06 | 东软集团股份有限公司 | 一种攻击报文的防御方法、多核转发系统及相关产品 |
| CN111614627A (zh) * | 2020-04-27 | 2020-09-01 | 中国舰船研究设计中心 | 一种面向sdn的跨平面协作ddos检测与防御方法与系统 |
| CN111970261A (zh) * | 2020-08-06 | 2020-11-20 | 完美世界(北京)软件科技发展有限公司 | 网络攻击的识别方法、装置及设备 |
| CN114615003A (zh) * | 2020-12-07 | 2022-06-10 | 中国移动通信有限公司研究院 | 命令和控制c&c域名的验证方法、装置及电子设备 |
| CN114697132A (zh) * | 2022-04-24 | 2022-07-01 | 平安科技(深圳)有限公司 | 重复访问请求攻击拦截方法、装置、设备及存储介质 |
-
2022
- 2022-07-15 CN CN202210836952.1A patent/CN115225368A/zh active Pending
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103581180A (zh) * | 2013-10-28 | 2014-02-12 | 深信服网络科技(深圳)有限公司 | 根据攻击日志调整命中特征的方法和装置 |
| KR101598187B1 (ko) * | 2014-12-23 | 2016-02-26 | 주식회사 시큐아이 | DDoS 공격 차단 방법 및 장치 |
| CN105681353A (zh) * | 2016-03-22 | 2016-06-15 | 浙江宇视科技有限公司 | 防御端口扫描入侵的方法及装置 |
| CN107948125A (zh) * | 2016-10-13 | 2018-04-20 | 腾讯科技(深圳)有限公司 | 一种网络攻击的处理方法及装置 |
| CN108551446A (zh) * | 2018-04-08 | 2018-09-18 | 东软集团股份有限公司 | 防攻击的syn报文处理方法、装置、防火墙及存储介质 |
| CN110545291A (zh) * | 2019-09-29 | 2019-12-06 | 东软集团股份有限公司 | 一种攻击报文的防御方法、多核转发系统及相关产品 |
| CN111614627A (zh) * | 2020-04-27 | 2020-09-01 | 中国舰船研究设计中心 | 一种面向sdn的跨平面协作ddos检测与防御方法与系统 |
| CN111970261A (zh) * | 2020-08-06 | 2020-11-20 | 完美世界(北京)软件科技发展有限公司 | 网络攻击的识别方法、装置及设备 |
| CN114615003A (zh) * | 2020-12-07 | 2022-06-10 | 中国移动通信有限公司研究院 | 命令和控制c&c域名的验证方法、装置及电子设备 |
| CN114697132A (zh) * | 2022-04-24 | 2022-07-01 | 平安科技(深圳)有限公司 | 重复访问请求攻击拦截方法、装置、设备及存储介质 |
Non-Patent Citations (3)
| Title |
|---|
| 孙未;张亚平;: "基于用户忠实度的应用层DDoS防御模型", 计算机工程与设计, no. 01 * |
| 樊郁徽;徐宁;: "综合特征行为的P2P僵尸网络的检测算法", 淮南师范学院学报, no. 03 * |
| 王海翔;朱朝阳;王宇;张锐文;李俊娥;李霁远;应欢;: "基于业务逻辑的电力业务报文攻击识别方法", 电力自动化设备, no. 08 * |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10873597B1 (en) | Cyber attack early warning system | |
| US10581898B1 (en) | Malicious message analysis system | |
| US9306974B1 (en) | System, apparatus and method for automatically verifying exploits within suspect objects and highlighting the display information associated with the verified exploits | |
| EP4027604A1 (en) | Security vulnerability defense method and device | |
| US9264441B2 (en) | System and method for securing a network from zero-day vulnerability exploits | |
| CN109831461B (zh) | 一种分布式拒绝服务DDoS攻击防御方法及装置 | |
| US20140259168A1 (en) | Malware identification using a hybrid host and network based approach | |
| CN108134761B (zh) | 一种apt检测系统及装置 | |
| JP2013191199A (ja) | ネットワーク接続装置を侵入から保護するための方法およびシステム | |
| US20170070518A1 (en) | Advanced persistent threat identification | |
| US11930036B2 (en) | Detecting attacks and quarantining malware infected devices | |
| US10659493B2 (en) | Technique for detecting malicious electronic messages | |
| US8839406B2 (en) | Method and apparatus for controlling blocking of service attack by using access control list | |
| CN114866361A (zh) | 一种检测网络攻击的方法、装置、电子设备及介质 | |
| US11271959B2 (en) | Method and apparatus for combining a firewall and a forensics agent to detect and prevent malicious software activity | |
| CN113312625B (zh) | 一种攻击路径图构建方法、装置、设备、介质 | |
| EP4178159A1 (en) | Privacy preserving malicious network activity detection and mitigation | |
| CN114281547B (zh) | 一种数据报文处理方法、装置、电子设备及存储介质 | |
| CN115225368A (zh) | 一种报文处理方法、装置、电子设备及存储介质 | |
| KR101022167B1 (ko) | 네트워크 자산의 취약성을 고려한 침입탐지시스템의로그최적화 장치 | |
| CN116015776A (zh) | 一种失陷主机的封禁方法、装置电子设备和存储介质 | |
| US11683337B2 (en) | Harvesting fully qualified domain names from malicious data packets | |
| CN115208672B (zh) | 黑名单调整方法、装置、电子设备和计算机可读存储介质 | |
| KR102571147B1 (ko) | 스마트워크 환경을 위한 보안 장치 및 그를 수행하도록 컴퓨터 판독 가능한 기록 매체에 저장된 프로그램 | |
| CN116132194B (zh) | 嵌入式设备未知攻击入侵检测防御方法、系统及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |