CN115987680A - 报文处理方法及装置、设备、介质 - Google Patents

Abstract

本申请的实施例公开了一种报文处理方法及装置、设备、介质，其中，该方法包括：对样本报文集中含有的样本报文进行安全性检测，得到样本报文集的安全性检测结果；基于样本报文集的安全性检测结果计算得到目标安全报文比例值；接收终端设备发送的待检测报文集，并对待检测报文集中含有的待检测报文进行报文类型检测；若待检测报文集中含有的指定报文类型的待检测报文的比例超过目标安全报文比例值，则将指定报文类型的待检测报文进行过滤，得到过滤后的待检测报文集。通过该方法，可以提升报文处理速率。

Description

报文处理方法及装置、设备、介质

技术领域

本申请涉及计算机领域，具体而言，涉及一种报文处理方法、报文处理装置、电子设备，以及计算机可读介质。

背景技术

随着云技术的发展，云端服务的广泛应用和推广，针对云上业务的分布式阻断服务(Distributed Denial of Service，DDoS)攻击愈发集中，恶意打压破坏互联网服务的行为愈发常见。

其中，常见的DDoS攻击包括结束报文洪水(FIN Flood)攻击，在FIN Flood下，攻击者会发送一个伪造的FIN报文至服务器，该伪造的FIN报文的源IP地址是正常用户的IP地址，服务器收到该FIN报文后会断开与正常用户的连接，导致服务器忽略掉正常用户发送的数据。

目前，针对FIN Flood攻击，可以对每个FIN报文查询是否有对应的会话存在，若存在，才可以将该FIN报文发送至服务器，从而实现FIN报文的过滤。然而，当环境中的FIN报文数量过多时，对每个FIN报文均需要进行会话查询处理，这样不仅会造成对FIN报文的检测和过滤的速度较慢，还会消耗大量的硬件资源，导致网络维护成本变高。

因此，如何提升报文处理速率是亟待解决的问题。

发明内容

本申请的实施例提供了一种报文处理方法及装置、电子设备、计算机可读介质，可以提升报文处理速率。

第一方面，本申请实施例提供了一种报文处理方法，包括：

对样本报文集中含有的样本报文进行安全性检测，得到所述样本报文集的安全性检测结果；

基于所述样本报文集的安全性检测结果计算得到目标安全报文比例值；

接收终端设备发送的待检测报文集，并对所述待检测报文集中含有的待检测报文进行报文类型检测；

若所述待检测报文集中含有的指定报文类型的待检测报文的比例超过所述目标安全报文比例值，则将所述指定报文类型的待检测报文进行过滤，得到过滤后的待检测报文集。

在本申请的一个实施例中，基于前述方案，针对每一组样本报文集，获取所述样本报文集中含有的样本报文的报文信息，基于所述样本报文的报文信息对所述样本报文进行安全性检测，得到所述样本报文集的安全报文比例值，并将所述样本报文集的安全报文比例值作为所述安全性检测结果；基于多组样本报文集的安全报文比例值计算得到所述目标安全报文比例值。

在本申请的一个实施例中，基于前述方案，所述报文信息包括样本报文的目的端口；若所述样本报文的目的端口处于监听状态，则获取所述样本报文的地址信息和协议信息；基于所述地址信息和协议信息对所述样本报文进行安全性检测，得到所述样本报文集的安全报文比例值。

在本申请的一个实施例中，基于前述方案，若检测到存在与所述地址信息和所述协议信息均相匹配的会话，则确定对所述样本报文的安全性检测通过；基于所述样本报文集中含有的样本报文的安全性检测结果，统计得到所述样本报文集的安全报文比例值。

在本申请的一个实施例中，基于前述方案，所述地址信息包括：源IP地址和目的IP地址；所述协议信息包括传输层协议号；若检测到存在与样本报文的源IP地址、目的IP地址和传输层协议号相同的会话，则确定对所述样本报文的安全性检测通过。

在本申请的一个实施例中，基于前述方案，计算所述多组样本报文集的安全报文比例值的平均值，将所述平均值作为所述目标安全报文比例值；或者将所述多组样本报文集的安全报文比例值中出现次数最多的比例值作为所述目标安全报文比例值。

在本申请的一个实施例中，基于前述方案，若所述待检测报文集中含有的指定报文类型的待检测报文的比例未超过所述目标安全报文比例值，则基于所述待检测报文的报文信息对所述待检测报文进行安全性检测。

第二方面，本申请实施例提供了一种报文处理装置，包括：

检测单元，用于对样本报文集中含有的样本报文进行安全性检测，得到所述样本报文集的安全性检测结果；

处理单元，用于基于所述样本报文集的安全性检测结果计算得到目标安全报文比例值；

收发单元，用于接收终端设备发送的待检测报文集，并对所述待检测报文集中含有的待检测报文进行报文类型检测；

所述处理单元，还用于若所述待检测报文集中含有的指定报文类型的待检测报文的比例超过所述目标安全报文比例值，则将所述指定报文类型的待检测报文进行过滤，得到过滤后的待检测报文集。

第三方面，本申请实施例提供了一种电子设备，包括一个或多个处理器；存储器，用于存储一个或多个程序，当所述一个或多个程序被所述一个或多个处理器执行时，使得所述电子设备实现如上所述的报文处理方法。

第四方面，本申请实施例提供了一种计算机可读介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现如上所述的报文处理方法。

第五方面，本申请实施例提供了一种计算机程序产品，包括计算机指令，所述计算机指令被处理器执行时实现如上所述的报文处理方法。

在本申请的实施例提供的技术方案中：

可以对样本报文集中含有的样本报文进行安全性检测，得到该样本报文集的安全性检测结果，进而可以计算出目标安全报文比例值，该目标安全报文比例值为一个样本报文集中的安全报文所占的比例。进一步地，当接收到终端设备发送的待检测报文集后，就可以判断该待检测报文集中的指定报文类型的待检测报文的比例是否超过目标安全报文比例值，若超过，则可以过滤该待检测报文集中的指定报文类型的待检测报文。

通过该方法，将指定报文类型的待检测报文进行过滤后，终端设备在一段时间内若未收到针对其发送的待检测报文的响应，则会重新发送待检测报文。而对于不具备安全性的待检测报文，其发送者再次发送待检测报文的可能性较低，因此，通过该机制，可以使得再次接收到的待检测报文中的不具备安全性的待检测报文大量减少，从而可以提升报文处理速率，减少报文处理时的资源消耗。

应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本申请。

附图说明

图1是可以应用本申请实施例的一种TCP连接的架构示意图；

图2是本申请的一示例性实施例示出的报文处理方法的流程图；

图3是本申请的另一示例性实施例示出的报文处理方法的流程图；

图4是本申请的另一示例性实施例示出的报文处理方法的流程图；

图5是本申请的另一示例性实施例示出的报文处理方法的流程图；

图6是本申请的另一示例性实施例示出的报文处理方法的流程图；

图7是本申请的另一示例性实施例示出的报文处理方法的流程图；

图8是本申请的另一示例性实施例示出的报文处理方法的流程图；

图9是本申请的另一示例性实施例示出的报文处理方法的流程图；

图10是本申请的一个实施例的报文处理装置的框图；

图11是适于用来实现本申请实施例的电子设备的计算机系统的结构示意图。

具体实施方式

这里将详细地对示例性实施例执行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。

附图中所示的方框图仅仅是功能实体，不一定必须与物理上独立的实体相对应。即，可以采用软件形式来实现这些功能实体，或在一个或多个硬件模块或集成电路中实现这些功能实体，或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。

附图中所示的流程图仅是示例性说明，不是必须包括所有的内容和操作/步骤，也不是必须按所描述的顺序执行。例如，有的操作/步骤还可以分解，而有的操作/步骤可以合并或部分合并，因此实际执行的顺序有可能根据实际情况改变。

还需要说明的是：在本申请中提及的“多个”是指两个或者两个以上。“和/或”描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。

首先对本申请实施例涉及的专业术语进行介绍：

分布式拒绝服务攻击(Distributed Denial of Service，DDoS)是指处于不同位置的多个攻击者同时向一个或数个目标发动攻击，或者一个攻击者控制了位于不同位置的多台机器并利用这些机器对受害者同时实施攻击。由于攻击的发出点是分布在不同地方的，这类攻击称为分布式拒绝服务攻击，其中的攻击者可以有多个。

FIN(Finish，结束)Flood攻击为DDoS攻击中的一种类型。该FIN Flood攻击是指正常用户和服务器连接时，攻击者发送一个伪造的FIN报文给服务端，这个伪造的FIN报文源IP地址是正常用户的地址，服务端收到后就会断开与正常用户的连接，随后正常用户发送的数据服务器会认为是网络错误而忽略掉。

传输控制协议(Transmission Control Protocol，TCP)是一种面向连接的、可靠的、基于字节流的传输层通信协议。TCP旨在适应支持多网络应用的分层协议层次结构。连接到不同但互连的计算机通信网络的主计算机中的成对进程之间依靠TCP提供可靠的通信服务。TCP假设它可以从较低级别的协议获得简单的，可能不可靠的数据报服务。原则上，TCP应该能够在从硬线连接到分组交换或电路交换网络的各种通信系统之上操作。

本申请实施例提出的报文处理方法及装置、电子设备、计算机可读介质涉及计算机技术领域，以下将对这些实施例进行详细说明。

请参阅图1，图1是本申请涉及的一种TCP连接的架构示意图。

该TCP连接的架构包括终端设备110、DDoS防护设备120(以下简称防护设备)和服务器130，其中，防护设备120与终端设备110建立通信连接，防护设备120和服务器130建立通信连接。防护设备120与终端设备110建立的通信连接，与防护设备120和服务器130建立的通信连接可以组成正常的TCP连接。防护设备120可以作为服务器130的前置代理。本申请实施例中，终端设备110的个数可以是多个，每个终端设备110都可以向服务器130发送报文。由于服务器130接收到的报文可能存在具有攻击性的报文，因此设置防护设备120，防护设备120可以先接收到多个终端设备110发送的报文，再对接收到的报文进行清洗，进而可以剔除掉具有攻击性的报文。进一步地，防护设备120将清洗过的报文发送至服务器130，再由服务器130进行后续的处理。

本申请实施例中，清洗的过程可以是判断一个报文是否具有有效性的过程。终端设备110可以是正常用户所使用的终端设备110，也可以是一些网络攻击者所使用的终端设备110。不同类型的用户都可以向服务器130发送报文，由防护设备120先接收这些报文，防护设备120对每个报文进行检测和过滤后，将保留下来的报文发送至服务器130，这样，服务器130就不需要再耗费大量的硬件资源去检测各个报文是否具有有效性，从而节约服务器130的硬件资源。

图2是根据一示例性实施例示出一种报文处理方法流程图。如图2所示，在一示例性实施例中，该方法可以包括步骤S210至步骤S240，且本申请实施例的执行主体可以是防护设备。

其中，步骤S210至步骤S240详细介绍如下：

步骤S210：对样本报文集中含有的样本报文进行安全性检测，得到样本报文集的安全性检测结果。

该样本报文集合可以包括多个批次的样本报文，每个批次的样本报文中可以包括多个样本报文，防护设备可以对每个批次中的每个样本报文进行安全性检测。安全性检测可以判断一个样本报文是否为合法的FIN报文，其中，合法意味着服务器中存在与该FIN报文相匹配的会话。本申请实施例中，合法也可以称为有效，不作限定。

防护设备对每个批次中的每个样本报文进行安全性检测后，可以得到样本报文集的安全性检测结果。该样本报文集的安全性检测结果可以包括每个样本报文的安全性检测结果。

需要说明的是，本申请实施例中，样本报文集中包括的样本报文可以是各种类型的报文，包括FIN报文和其他类型的报文，本申请实施例中的样本报文集的安全性检测结果可以表征一个批次的样本报文中，具有有效性的FIN报文的数量。也就是说，在一个批次的样本报文中，存在一部分样本报文是属于FIN报文类型的，而该FIN报文类型的样本报文中可能有一部分是有效的，有一部分是无效的(即不合法的)。

步骤S220：基于样本报文集的安全性检测结果计算得到目标安全报文比例值。

也即，防护设备可以计算出上述样本报文集的安全性检测结果表征的一个批次的样本报文中具有有效性的FIN报文的数量在该批次的样本报文的总数中的占比，从而得到该批次的样本报文对应的安全报文比例值。

本申请实施例中，由于防护设备可以对多个批次的样本报文进行安全性检测，从而得到多个批次的安全性检测结果，因此可以得到多个安全报文比例值。示例性地，对于第一批次的样本报文，总共有100个样本报文，而其中的FIN报文有50个，有效的FIN报文有20个，则对于该第一批次的样本报文，其安全报文比例值为20/100＝20％。类似地，对于第二批次的样本报文，总共有120个样本报文，而其中的FIN报文有72个，有效的FIN报文有36个，则对于该第二批次的样本报文，其安全报文比例值为36/120＝30％，以此类推。

这样，通过该计算的过程，防护设备可以获得多个安全报文比例值。进一步地，防护设备可以对该多个安全报文比例值进行计算，从而得到目标安全报文比例值。该目标安全报文比例值可以是多个安全报文比例值的平均值，也可以是出现次数最多的安全报文比例值，具体的计算方法可以由本领域技术人员设定，本申请实施例不作限定。

需要说明的是，防护设备在对样本报文集中含有的样本报文进行安全性检测之前，可以检测当前是否处于学习周期内，其中，该学习周期可以是用户设定的用于学习确定出该目标安全报文比例值的学习过程。当检测到当前处于学习周期内时，则可以对样本报文集中含有的样本报文进行安全性检测。

步骤S230：接收终端设备发送的待检测报文集，并对待检测报文集中含有的待检测报文进行报文类型检测。

其中，该待检测报文集中可以包括多个待检测报文，该多个待检测报文可以是由不同的终端设备发送的，其中可能带有具备攻击性(即无效)的FIN报文。

防护设备接收到该待检测报文集后，可以检测当前是否处于学习周期内，若否，则可以对该待检测报文集中的每个待检测报文进行报文类型检测。其中，防护设备当前不处于学习周期内，说明当前不需要对每个接收到的待检测报文进行有效性判断，而是判断每个待检测报文的类型。

步骤S240：若待检测报文集中含有的指定报文类型的待检测报文的比例超过目标安全报文比例值，则将指定报文类型的待检测报文进行过滤，得到过滤后的待检测报文集。

也即，防护设备可以统计出该待检测报文集中的为指定报文类型的待检测报文的数量在待检测报文集中所有待检测报文的数量中的占比。该指定报文类型可以是FIN报文类型。例如，该待检测报文集中包括100个待检测报文，而为FIN报文类型的待检测报文为30个，则可以得出待检测报文集中含有的指定报文类型的待检测报文的比例为30/100＝30％。

进一步地，可以经该比例与目标安全报文比例值进行大小比较，若超过了目标安全报文比例值，说明当前待检测报文集中含有的待检测报文中很可能有较多的无效的FIN报文，若该批次的待检测报文集发送至服务器，服务器对每个待检测报文进行会话查询，会造成服务器的硬件资源消耗较大。因此，防护设备可以将该指定报文类型的待检测报文进行过滤，得到过滤后的待检测报文集。其中，过滤可以是指将该指定报文类型的待检测报文进行丢弃，即将该待检测报文集中的为FIN报文类型的待检测报文均删除，留下其他类型的待检测报文，得到过滤后的待检测报文集，可以将该过滤后的待检测报文集发送至服务器。

由于防护设备通过上述的处理，将FIN报文进行了丢弃，那么就会导致正常的终端设备在一定时间内无法接收到针对其发送的FIN报文的反馈信息，因此，这部分终端设备会重新发送FIN报文至防护设备。而对于发送了攻击性的FIN报文的终端设备，由于其发起FIN报文的是构建流量的傀儡机，则可能不会重传FIN报文至防护设备。因此，经过该重传的机制，下一次防护设备接收到的报文中，带有攻击性的FIN报文将会大量减少。直至FIN报文类型的报文比例小于目标安全报文比例值，防护设备就可以将该批次的FIN报文发送至服务器，这样可以减小服务器处理各个FIN报文时所耗费的硬件资源。

在本申请的实施例中，防护设备还可以基于样本报文集的安全性检测结果计算得到目标报文比例值，其中，该目标报文比例值可以是根据每个批次的样本报文集中的FIN报文类型的样本报文占该批次的报文总数的比例值计算出的。示例性地，对于第一批次的样本报文，总共有100个样本报文，而其中的FIN报文有50个，有效的FIN报文有20个，则对于该第一批次的样本报文，其FIN报文比例值为50/100＝50％。类似地，对于第二批次的样本报文，总共有120个样本报文，而其中的FIN报文有72个，有效的FIN报文有36个，则对于该第二批次的样本报文，其安全报文比例值为72/120＝60％，以此类推。进一步地，该目标报文比例值可以是多个批次的FIN报文比例值的平均值，也可以是多个批次的FIN报文比例值中出现次数最多的值，本申请实施例不作限定。

通过该方法，防护设备可以将指定报文类型的待检测报文进行过滤，终端设备在一段时间内若未收到针对其发送的待检测报文的响应，则会重新发送待检测报文。而对于不具备安全性的待检测报文，其发送者再次发送待检测报文的可能性较低，因此，可以使得再次接收到的待检测报文中的不具备安全性的待检测报文大量减少，从而提升报文处理速率，减少服务器在处理报文时的资源消耗。

请参见图3，图3为本申请的另一示例性实施例示出的报文处理方法的流程图。如图3所示，在一示例性实施例中，该报文处理方法可以由防护设备实施，包括步骤S310至步骤S320、步骤S230至步骤S240。

下面对步骤S310至步骤S330进行详细介绍：

步骤S310：针对每一组样本报文集，获取样本报文集中含有的样本报文的报文信息，基于样本报文的报文信息对样本报文进行安全性检测，得到样本报文集的安全报文比例值，并将样本报文集的安全报文比例值作为安全性检测结果。

防护设备可以对每一组样本报文集中的每个样本报文进行安全性检测，具体是对每个样本报文中的报文信息进行安全性检测。每个样本报文中的报文信息可以包括地址信息和协议信息，防护设备可以基于地址信息和协议信息对样本报文进行安全性检测。

进一步地，对每一组样本报文集中的每个样本报文进行安全性检测后，可以获得每一组样本报文集的安全报文比例，从而获得多个安全报文比例，得到安全性检测结果。

步骤S320：基于多组样本报文集的安全报文比例值计算得到目标安全报文比例值。

本申请实施例中，可以对多组样本报文集的安全报文比例值取平均值，奖盖平均值作为目标安全报文比例，也可以将多组样本报文集的安全报文比例值中出现次数最多的比例值作为目标安全报文比例。

需要说明的是，步骤S230至步骤S240已在如图2所示的实施例中详细描述，此处不做赘述。

通过该方法，防护设备可以对每一组样本报文集中的每个样本报文进行安全性检测，减少服务器对每个样本报文查询会话的工作量，提升报文处理速率，从而减少硬件资源消耗。

请参见图4，图4为本申请的另一示例性实施例示出的报文处理方法的流程图。如图4所示，在一示例性实施例中，该报文处理方法可以由防护设备实施，包括步骤S410至步骤S420、步骤S320和步骤S230至步骤S240。

本申请实施例中，报文信息包括样本报文的目的端口。

下面对步骤S410至步骤S420进行详细介绍：

步骤S410：若样本报文的目的端口处于监听状态，则获取样本报文的地址信息和协议信息。

其中，该样本报文中可以包括目标端口的标识，该标识可以指向对应的目的端口，防护设备可以检测该目的端口是否处于监听状态，若处于监听状态，说明该目的端口真实存在且为正在工作的状态，也就说明该样本报文有可能是有效的报文。进一步地，防护设备可以获取该样本报文的地址信息和协议信息，进行下一步的安全性检测。

步骤S420：基于地址信息和协议信息对样本报文进行安全性检测，得到样本报文集的安全报文比例值。

一个样本报文中可以包括五元组信息，该五元组信息可以包括地址信息和协议信息，而对于一个会话，其也包括五元组信息，因此，可以将样本报文的五元组信息和会话的五元组信息进行匹配，从而实现对该样本报文的安全性检测，得到该组样本报文集的安全报文比例。

需要说明的是，步骤S320已在如图3所示的实施例中详细描述，步骤S230至步骤S240已在如图2所示的实施例中详细描述，此处不做赘述。

通过该方法，可以对每个样本报文集进行安全检测，从而得到每个样本报文集的安全报文比例，有利于使得最终得到的目标安全报文比例值更加准确。

请参见图5，图5为本申请的另一示例性实施例示出的报文处理方法的流程图。如图5所示，在一示例性实施例中，该报文处理方法可以由防护设备实施，包括步骤S410、步骤S510至步骤S520、步骤S320和步骤S230至步骤S240。

下面对步骤S510至步骤S520进行详细介绍：

步骤S510：若检测到存在与地址信息和协议信息均相匹配的会话，则确定对样本报文的安全性检测通过。

其中，地址信息和协议信息包含于五元组中，五元组可以包括源IP地址、源端口、目的IP地址、目的端口和传输层协议。其中，地址信息包括源IP地址、源端口、目的IP地址和目的端口，协议信息包括传输层协议。

对于一个TCP会话，也可以包括五元组，因此可以将样本报文的五元组与TCP会话的五元组进行匹配，检测五元组中的每个信息是否相同，若相同，则说明样本报文和TCP会话相匹配，确定对该样本报文的安全性检测通过。

步骤S520：基于样本报文集中含有的样本报文的安全性检测结果，统计得到样本报文集的安全报文比例值。

也即计算每个样本报文集中安全性检测通过的样本所占的比例。

需要说明的是，步骤S320、步骤S410和步骤S230至步骤S240已分别在如图3、图4和图2所示的实施例中详细描述，此处不做赘述。

通过该方法，可以根据每个样本报文的地址信息和协议信息进行安全性检测，从而确定每个样本报文的安全性，提高检测的准确率。

请参见图6，图6为本申请的另一示例性实施例示出的报文处理方法的流程图。如图6所示，在一示例性实施例中，该报文处理方法可以由防护设备实施，包括步骤S410、步骤S610、步骤S520、步骤S320和步骤S230至步骤S240。

本申请实施例中，地址信息包括：源IP地址和目的IP地址；协议信息包括传输层协议号。

下面对步骤S610进行详细介绍：

步骤S610：若检测到存在与样本报文的源IP地址、目的IP地址和传输层协议号相同的会话，则确定对所述样本报文的安全性检测通过。

也即，将样本报文的五元组与TCP会话的五元组进行匹配，检测五元组中的每个信息是否相同，若相同，则说明样本报文和TCP会话相匹配，确定对该样本报文的安全性检测通过。

需要说明的是，步骤S320、步骤S410、步骤S520和步骤S230至步骤S240已分别在如图3、图4、图5和图2所示的实施例中详细描述，此处不做赘述。

通过该方法，可以根据每个样本报文的地址信息和协议信息进行安全性检测，从而确定每个样本报文的安全性，提高检测的准确率。

请参见图7，图7为本申请的另一示例性实施例示出的报文处理方法的流程图。如图7所示，在一示例性实施例中，该报文处理方法可以由防护设备实施，包括步骤S210、步骤S710至步骤S720和步骤S230至步骤S240。

下面对步骤S710至步骤S720进行详细介绍：

步骤S710：计算多组样本报文集的安全报文比例值的平均值，将平均值作为目标安全报文比例值。

示例性地，有5个样本报文集的安全报文比例值，分别为20％、30％、20％、40％和25％，则可以得到平均值为(20％+30％+20％+40％+25％)/5＝27％。该27％可以确定为目标安全报文比例值。

步骤S720：将多组样本报文集的安全报文比例值中出现次数最多的比例值作为目标安全报文比例值。

示例性地，有5个样本报文集的安全报文比例值，分别为20％、30％、20％、40％和25％，则可以将20％作为目标安全报文比例值。

本申请实施例中，还可以将多组样本报文集的安全报文比例值集中的范围取其中间值，作为该目标安全报文比例值。示例性地，对于5个样本报文集的安全报文比例值，分别为18％、22％、35％、21％和19％，可以发现有4个安全报文比例值都集中在18％-22％的范围内，因此可以取20％作为目标安全报文比例值。

可选地，本申请实施例中的目标安全报文比例值的确定方法可以包括但不限于上述几种，可以由本领域技术人员进行设置，本申请实施例不作限定。

需要说明的是，步骤S210和步骤S230至步骤S240已在如图2所示的实施例中详细描述，此处不做赘述。

通过该方法，可以使得确定出的目标安全报文比例值更加准确。

请参见图8，图8为本申请的另一示例性实施例示出的报文处理方法的流程图。如图8所示，在一示例性实施例中，该报文处理方法可以由防护设备实施，包括步骤S210至步骤S240和步骤S810。

下面对步骤S810进行详细介绍：

步骤S810：若待检测报文集中含有的指定报文类型的待检测报文的比例未超过目标安全报文比例值，则基于待检测报文的报文信息对待检测报文进行安全性检测。

待检测报文集中含有的指定报文类型的待检测报文的比例未超过目标安全报文比例值，说明该待检测报文集中无效的FIN报文可能较少，因此可以进一步对该待检测报文集中的每个报文进行安全性检测。具体地，可以获取每个待检测报文的报文信息，报文信息可以是五元组信息，包括每个待检测报文的源IP地址、源端口、目的IP地址、目的端口和传输层协议。可以先检测每个待检测报文的报文信息所包括的目标端口是否处于监听状态，若是，再检测是否存在源IP地址、源端口、目的IP地址和传输层协议与待检测报文的报文信息相同的会话，从而判断该待检测报文是否具有有效性。

判断完有效性后，可以将通过有效的待检测报文发送至服务器，供服务器进行后续的处理。

需要说明的是，步骤S210至步骤S240已在如图2所示的实施例中详细描述，此处不做赘述。

通过该方法，当待检测报文集中含有的指定报文类型的待检测报文的比例超过目标安全报文比例值时，防护设备可以丢弃掉当前批次的报文中的所有FIN报文，触发终端设备重传FIN报文，则防护设备第二次接收到的FIN报文将会减少，直至减少大检测报文集中含有的指定报文类型的待检测报文的比例未超过目标安全报文比例值，此时再对每个待检测报文进行安全性检测。这样，可以使得防护设备在对每个待检测报文进行安全性检测时，检测通过的几率较大，可以减少防护设备做的无用功(即检测到无效的待检测报文)。进一步地，将安全性检测后得到的报文发送至服务器，服务器检测到的无效报文也将大大减少，提升了报文处理速率，节约了服务器的硬件资源。

请参见图9，图9为本申请的另一示例性实施例示出的报文处理方法的流程图。如图9所示，在一示例性实施例中，该报文处理方法可以由防护设备实施，包括步骤S901至步骤S912。

下面对步骤S901至步骤S912进行详细介绍：

步骤S901：根据用户设定的学习周期配置信息对学习周期进行配置。

其中，该学习周期配置信息可以配置学习周期的长度或次数。

步骤S902：接收含FIN报文的业务流量。

其中，该含FIN报文的业务流量中可以包括各种类型的报文，也包括有效的FIN报文和无效的FIN报文。

步骤S903：检测当前是否处于学习周期内。

若是，则执行步骤S904；则执行步骤S906。

步骤S904：对当前接收到的报文集进行安全性检测，得到安全报文比例值。

步骤S905：根据多个安全报文比例值统计出目标安全报文比例值。

步骤S906：判断当前接收到的报文集中的FIN报文所占比例是否达到目标安全报文比例值。

若是，则执行步骤S907；若否，则执行步骤S908。

步骤S907：丢弃当前报文集中的所有FIN报文。

丢弃所有FIN报文后，可以触发终端设备重传FIN报文，防护设备可以接收到下一个批次的报文集，可执行步骤S902。

步骤S908：查询当前的报文集中当前的FIN报文的目的端口是否处于监听状态。

若是，则执行步骤S910；若否，则执行步骤S909。

步骤S909：丢弃当前的FIN报文，并查询下一个FIN报文的目的端口是否处于监听状态。

步骤S910：查询当前的FIN报文的五元组是否与TCP会话的五元组相匹配。

若是，则确认该当前的FIN报文为安全检测通过，执行步骤S912；若否，则执行步骤S911。

步骤S911：丢弃当前的FIN报文，并查询下一个通过步骤S908的FIN报文的五元组是否与TCP会话的五元组相匹配。

步骤S912：将当前的FIN报文发送至服务器。

需要说明的是，步骤S901至步骤S912的详细步骤已在前述实施例中详细描述，此处不做赘述。

通过该方法，防护设备可以通过学习周期确定出目标安全报文比例值，从而在学习周期结束后，根据每个报文集中的FIN报文比例与目标安全报文比例值的大小确定是否对每个报文集中的FIN报文进行过滤。若一个报文集中的FIN报文比例达到目标安全报文比例值，则丢弃FIN报文，触发终端设备重传FIN报文，从而减少无效的FIN报文。若一个报文集中的FIN报文比例未达到目标安全报文比例值，则可以对每个FIN报文进行安全性检测，过滤掉其中仍然无效的FIN报文，将过滤后的报文集发送至服务器，从而可以提升报文处理速率，减少服务器在处理报文时的资源消耗。

图10是根据一示例性实施例示出的报文处理装置的结构示意图。如图10所示，在一示例性实施例中，该报文处理装置包括：

检测单元1010，用于对样本报文集中含有的样本报文进行安全性检测，得到所述样本报文集的安全性检测结果；

处理单元1020，用于基于所述样本报文集的安全性检测结果计算得到目标安全报文比例值；

收发单元1030，用于接收终端设备发送的待检测报文集，并对所述待检测报文集中含有的待检测报文进行报文类型检测；

处理单元1020，还用于若所述待检测报文集中含有的指定报文类型的待检测报文的比例超过所述目标安全报文比例值，则将所述指定报文类型的待检测报文进行过滤，得到过滤后的待检测报文集。

在本申请的一个实施例中，基于前述方案，获取单元1040，用于针对每一组样本报文集，获取样本报文集中含有的样本报文的报文信息，处理单元1020，还用于基于样本报文的报文信息对样本报文进行安全性检测，得到样本报文集的安全报文比例值，并将样本报文集的安全报文比例值作为安全性检测结果；基于多组样本报文集的安全报文比例值计算得到目标安全报文比例值。

在本申请的一个实施例中，基于前述方案，报文信息包括样本报文的目的端口；若样本报文的目的端口处于监听状态，则获取单元1040，还用于获取样本报文的地址信息和协议信息；处理单元1020，还用于基于地址信息和协议信息对样本报文进行安全性检测，得到样本报文集的安全报文比例值。

在本申请的一个实施例中，基于前述方案，处理单元1020，还用于若检测到存在与地址信息和协议信息均相匹配的会话，则确定对样本报文的安全性检测通过；基于样本报文集中含有的样本报文的安全性检测结果，统计得到样本报文集的安全报文比例值。

在本申请的一个实施例中，基于前述方案，地址信息包括：源IP地址和目的IP地址；协议信息包括传输层协议号；处理单元1020，还用于若检测到存在与样本报文的源IP地址、目的IP地址和传输层协议号相同的会话，则确定对样本报文的安全性检测通过。

在本申请的一个实施例中，基于前述方案，处理单元1020，还用于计算多组样本报文集的安全报文比例值的平均值，将平均值作为目标安全报文比例值；或者将多组样本报文集的安全报文比例值中出现次数最多的比例值作为目标安全报文比例值。

在本申请的一个实施例中，基于前述方案，处理单元1020，还用于若待检测报文集中含有的指定报文类型的待检测报文的比例未超过目标安全报文比例值，则基于待检测报文的报文信息对待检测报文进行安全性检测。

需要说明的是，上述实施例所提供的报文处理装置与上述实施例所提供的报文处理方法属于同一构思，其中各个模块和单元执行操作的具体方式已经在方法实施例中进行了详细描述，此处不再赘述。

本申请的实施例还提供了一种电子设备，包括：一个或多个处理器；存储装置，用于存储一个或多个程序，当一个或多个程序被一个或多个处理器执行时，使得电子设备实现上述各个实施例中提供的报文处理方法。

图11示出了适于用来实现本申请实施例的电子设备的计算机系统的结构示意图。

需要说明的是，图11示出的电子设备的计算机系统1100仅是一个示例，不应对本申请实施例的功能和使用范围带来任何限制。

如图11所示，计算机系统1100包括中央处理单元(Central Processing Unit，CPU)1101，其可以根据存储在只读存储器(Read-Only Memory，ROM)1102中的程序或者从存储部分1108加载到随机访问存储器(Random Access Memory，RAM)1103中的程序而执行各种适当的动作和处理，例如执行上述实施例中的方法。在RAM 1103中，还存储有系统操作所需的各种程序和数据。CPU 1101、ROM 1102以及RAM 1103通过总线1104彼此相连。输入/输出(Input/Output，I/O)接口1105也连接至总线1104。

以下部件连接至I/O接口1105：包括键盘、鼠标等的输入部分1106；包括诸如阴极射线管(Cathode Ray Tube，CRT)、液晶显示器(Liquid Crystal Display，LCD)等以及扬声器等的输出部分1107；包括硬盘等的存储部分1108；以及包括诸如LAN(Local AreaNetwork，局域网)卡、调制解调器等的网络接口卡的通信部分1109。通信部分1109经由诸如因特网的网络执行通信处理。驱动器1110也根据需要连接至I/O接口1105。可拆卸介质1111，诸如磁盘、光盘、磁光盘、半导体存储器等等，根据需要安装在驱动器1110上，以便于从其上读出的计算机程序根据需要被安装入存储部分1108。

特别地，根据本申请的实施例，上文参考流程图描述的过程可以被实现为计算机软件程序。例如，本申请的实施例包括一种计算机程序产品，其包括承载在计算机可读介质上的计算机程序，该计算机程序包含用于执行流程图所示的方法的计算机程序。在这样的实施例中，该计算机程序可以通过通信部分1109从网络上被下载和安装，和/或从可拆卸介质1111被安装。在该计算机程序被中央处理单元(CPU)1101执行时，执行本申请的系统中限定的各种功能。

需要说明的是，本申请实施例所示的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读介质例如可以是电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机可读介质的更具体的例子可以包括但不限于：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(ErasableProgrammable Read Only Memory，EPROM)、闪存、光纤、便携式紧凑磁盘只读存储器(Compact Disc Read-Only Memory，CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本申请中，计算机可读介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本申请中，计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了计算机可读的计算机程序。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质，该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的计算机程序可以用任何适当的介质传输，包括但不限于：无线、有线等等，或者上述的任意合适的组合。

附图中的流程图和框图，图示了按照本申请各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。其中，流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分，上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不相同于附图中所标注的顺序发生。例如，两个接连地表示的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图或流程图中的每个方框、以及框图或流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

描述于本申请实施例中所涉及到的单元可以通过软件的方式实现，也可以通过硬件的方式来实现，所描述的单元也可以设置在处理器中。其中，这些单元的名称在某种情况下并不构成对该单元本身的限定。

本申请的另一方面还提供了一种计算机可读介质，其上存储有计算机程序，该计算机程序被处理器执行时实现如前的跨域数据传输方法。该计算机可读介质可以是上述实施例中描述的电子设备中所包含的，也可以是单独存在，而未装配入该电子设备中。

本申请的另一方面还提供了一种计算机程序产品或计算机程序，该计算机程序产品或计算机程序包括计算机指令，该计算机指令存储在计算机可读介质中。计算机设备的处理器从计算机可读介质读取该计算机指令，处理器执行该计算机指令，使得该计算机设备执行上述各个实施例中提供的跨域数据传输方法。

上述内容，仅为本申请的较佳示例性实施例，并非用于限制本申请的实施方案，本领域普通技术人员根据本申请的主要构思和精神，可以十分方便地进行相应的变通或修改，故本申请的保护范围应以权利要求书所要求的保护范围为准。

Claims (10)

1.一种报文处理方法，其特征在于，包括：

对样本报文集中含有的样本报文进行安全性检测，得到所述样本报文集的安全性检测结果；

基于所述样本报文集的安全性检测结果计算得到目标安全报文比例值；

接收终端设备发送的待检测报文集，并对所述待检测报文集中含有的待检测报文进行报文类型检测；

若所述待检测报文集中含有的指定报文类型的待检测报文的比例超过所述目标安全报文比例值，则将所述指定报文类型的待检测报文进行过滤，得到过滤后的待检测报文集。

2.根据权利要求1所述的方法，其特征在于，所述样本报文集有多组；所述对样本报文集中含有的样本报文进行安全性检测，得到所述样本报文集的安全性检测结果，包括：

针对每一组样本报文集，获取所述样本报文集中含有的样本报文的报文信息，基于所述样本报文的报文信息对所述样本报文进行安全性检测，得到所述样本报文集的安全报文比例值，并将所述样本报文集的安全报文比例值作为所述安全性检测结果；

所述基于所述样本报文集的安全性检测结果计算得到目标安全报文比例值，包括：

基于多组样本报文集的安全报文比例值计算得到所述目标安全报文比例值。

3.根据权利要求2所述的方法，其特征在于，所述报文信息包括样本报文的目的端口；所述基于所述样本报文的报文信息对所述样本报文进行安全性检测，得到所述样本报文集的安全报文比例值，包括：

若所述样本报文的目的端口处于监听状态，则获取所述样本报文的地址信息和协议信息；

基于所述地址信息和协议信息对所述样本报文进行安全性检测，得到所述样本报文集的安全报文比例值。

4.根据权利要求3所述的方法，其特征在于，所述基于所述地址信息和协议信息对所述样本报文进行安全性检测，得到所述样本报文集的安全报文比例值，包括：

若检测到存在与所述地址信息和所述协议信息均相匹配的会话，则确定对所述样本报文的安全性检测通过；

基于所述样本报文集中含有的样本报文的安全性检测结果，统计得到所述样本报文集的安全报文比例值。

5.根据权利要求4所述的方法，其特征在于，所述地址信息包括：源IP地址和目的IP地址；所述协议信息包括传输层协议号；所述若检测到存在与所述地址信息和所述协议信息均相匹配的会话，则确定对所述样本报文的安全性检测通过，包括：

若检测到存在与样本报文的源IP地址、目的IP地址和传输层协议号相同的会话，则确定对所述样本报文的安全性检测通过。

6.根据权利要求1所述的方法，其特征在于，所述基于多组样本报文集的安全报文比例值，计算得到所述目标安全报文比例值，包括：

计算所述多组样本报文集的安全报文比例值的平均值，将所述平均值作为所述目标安全报文比例值；或者

将所述多组样本报文集的安全报文比例值中出现次数最多的比例值作为所述目标安全报文比例值。

7.根据权利要求1至6中任一项所述的方法，其特征在于，所述方法还包括：

若所述待检测报文集中含有的指定报文类型的待检测报文的比例未超过所述目标安全报文比例值，则基于所述待检测报文的报文信息对所述待检测报文进行安全性检测。

8.一种报文处理装置，其特征在于，包括：

检测单元，用于对样本报文集中含有的样本报文进行安全性检测，得到所述样本报文集的安全性检测结果；

处理单元，用于基于所述样本报文集的安全性检测结果计算得到目标安全报文比例值；

收发单元，用于接收终端设备发送的待检测报文集，并对所述待检测报文集中含有的待检测报文进行报文类型检测；

所述处理单元，还用于若所述待检测报文集中含有的指定报文类型的待检测报文的比例超过所述目标安全报文比例值，则将所述指定报文类型的待检测报文进行过滤，得到过滤后的待检测报文集。

9.一种电子设备，其特征在于，包括：

一个或多个处理器；

存储器，用于存储一个或多个程序，当所述一个或多个程序被所述电子设备执行时，使得所述电子设备实现如权利要求1至7中任一项所述的报文处理方法。

10.一种计算机可读介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现如权利要求1至7中任一项所述的报文处理方法。

Images