报文清洗方法及装置制造方法及图纸

本申请公开了一种报文清洗方法及装置。其中，该方法包括：获取待清洗报文的报文类型以及目的地址；根据所述报文类型，从预设的配置文件中获取与所述报文类型对应的第一攻击类型集合，并根据所述目的地址获取第二攻击类型集合，其中，所述第二攻击类型集合包含所述目的地址所指向的设备在预设时间段内受到的攻击类型；根据所述第一攻击类型集合和所述第二攻击类型集合，生成对应于所述待清洗报文的清洗策略链；依据所述清洗策略链，清洗所述待清洗报文。本申请解决了由于策略是事先配置好的造成的清洗设备的清洗效率较低的技术问题。

【技术实现步骤摘要】
报文清洗方法及装置
本申请涉及网络安全领域，具体而言，涉及一种报文清洗方法及装置。
技术介绍
在遭遇报文攻击时，一般会将流量牵引至专门的清洗设备，对攻击报文进行过滤。清洗设备的一般处理过程是这样的：报文从入方向进来，根据该报文目的IP，查询得到针对此目的IP的策略。根据策略，可以对报文做出“接受”、“通过”或者“丢弃”的决定。对目前的技术而言，对于某一种特定的攻击类型，会有一个或者多个对应的策略，清洗设备只需要机械地执行这些策略即可。在一般的工程实践中，策略是事先配置好的，即，针对某个被保护的IP，预测其可能遭受的攻击类型，然后把所有对应的策略都加入策略链。然而，这会带来这样的问题：报文会进入一些完全不需要进入的策略，造成误清洗，降低清洗设备的清洗效率。针对上述的问题，目前尚未提出有效的解决方案。
技术实现思路
本申请实施例提供了一种报文清洗方法及装置，以至少解决由于策略是事先配置好的造成的清洗设备的清洗效率较低的技术问题。根据本申请实施例的一个方面，提供了一种报文清洗方法，包括：获取待清洗报文的报文类型以及目的地址；根据所述报文类型，从预设的配置文件中获取与所述报文类型对应的第一攻击类型集合，并根据所述目的地址获取第二攻击类型集合，其中，所述第二攻击类型集合包含所述目的地址所指向的设备在预设时间段内受到的攻击类型；根据所述第一攻击类型集合和所述第二攻击类型集合，生成对应于所述待清洗报文的清洗策略链；依据所述清洗策略链，清洗所述待清洗报文。根据本申请实施例的另一方面，还提供了一种报文清洗装置，包括：第一获取单元，用于获取待清洗报文的报文类型以及目的地址；第二获取单元，用于根据所述报文类型，从预设的配置文件中获取与所述报文类型对应的第一攻击类型集合，并根据所述目的地址获取第二攻击类型集合，其中，所述第二攻击类型集合包含所述目的地址所指向的设备在预设时间段内受到的攻击类型；生成单元，用于根据所述第一攻击类型集合和所述第二攻击类型集合，生成对应于所述待清洗报文的清洗策略链；清洗单元，用于依据所述清洗策略链，清洗所述待清洗报文。在本申请实施例中，采用获取待清洗报文的报文类型以及目的地址；根据报文类型，从预设的配置文件中获取与报文类型对应的第一攻击类型集合，并根据目的地址获取第二攻击类型集合，其中，第二攻击类型集合包含目的地址所指向的设备在预设时间段内受到的攻击类型；根据第一攻击类型集合和第二攻击类型集合，生成对应于待清洗报文的清洗策略链；依据清洗策略链，清洗待清洗报文的方式，通过基于待清洗报文的报文类型以及目的地址得到一条对应于待清洗报文的动态的清洗策略链，达到了有针对性地进行报文清洗的目的，从而实现了提高报文清洗效率的技术效果，进而解决了由于策略是事先配置好的造成的清洗设备的清洗效率较低的技术问题。附图说明此处所说明的附图用来提供对本申请的进一步理解，构成本申请的一部分，本申请的示意性实施例及其说明用于解释本申请，并不构成对本申请的不当限定。在附图中：图1是根据本申请实施例的一种运行报文清洗方法的计算机终端的硬件结构框图；图2是根据本申请实施例的一种可选的报文清洗方法的流程示意图；图3是根据本申请实施例的一种可选的报文清洗装置的结构示意图；图4是根据本申请实施例的一种可选的生成单元的结构示意图；图5是根据本申请实施例的另一种可选的报文清洗装置的结构示意图；图6是根据本申请实施例的一种可选的第一获取单元的结构示意图；图7是根据本申请实施例的一种计算机终端的结构框图。具体实施方式为了使本
的人员更好地理解本申请方案，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分的实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本申请保护的范围。需要说明的是，本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。实施例1根据本申请实施例，还提供了一种报文清洗方法的方法实施例，需要说明的是，在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行，并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。本申请实施例一所提供的方法实施例可以在移动终端、计算机终端或者类似的运算装置中执行。以运行在计算机终端上为例，图1是本申请实施例的一种报文清洗方法的计算机终端的硬件结构框图。如图1所示，计算机终端10可以包括一个或多个(图中仅示出一个)处理器102(处理器102可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)、用于存储数据的存储器104、以及用于通信功能的传输装置106。本领域普通技术人员可以理解，图1所示的结构仅为示意，其并不对上述电子装置的结构造成限定。例如，计算机终端10还可包括比图1中所示更多或者更少的组件，或者具有与图1所示不同的配置。存储器104可用于存储应用软件的软件程序以及模块，如本申请实施例中的报文清洗方法对应的程序指令/模块，处理器102通过运行存储在存储器104内的软件程序以及模块，从而执行各种功能应用以及数据处理，即实现上述的报文清洗方法。存储器104可包括高速随机存储器，还可包括非易失性存储器，如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中，存储器104可进一步包括相对于处理器102远程设置的存储器，这些远程存储器可以通过网络连接至计算机终端10。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。传输装置106用于经由一个网络接收或者发送数据。上述的网络具体实例可包括计算机终端10的通信供应商提供的无线网络。在一个实例中，传输装置106包括一个网络适配器(NetworkInterfaceController，NIC)，其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中，传输装置106可以为射频(RadioFrequency，RF)模块，其用于通过无线方式与互联网进行通讯。在上述运行环境下，本申请提供了如图2所示的报文清洗方法。图2是根据本申请实施例一的报文清洗方法的流程图。步骤S202，获取待清洗报文的报文类型以及目的地址。本申请步骤S202中，报文类型包括以下一种或几种：TCPSYN(TransmissionControlProtocolsynchronous，传输控制协议同步)报文、传输控制协议确认TCPACK(TransmissionControlProtocolacknowledge，传输控制协议确认)报文以及传输控制协议复位TCPRST本文档来自技高网...

【技术保护点】
一种报文清洗方法，其特征在于，包括：获取待清洗报文的报文类型以及目的地址；根据所述报文类型，从预设的配置文件中获取与所述报文类型对应的第一攻击类型集合，并根据所述目的地址获取第二攻击类型集合，其中，所述第二攻击类型集合包含所述目的地址所指向的设备在预设时间段内受到的攻击类型；根据所述第一攻击类型集合和所述第二攻击类型集合，生成对应于所述待清洗报文的清洗策略链；依据所述清洗策略链，清洗所述待清洗报文。

【技术特征摘要】
1.一种报文清洗方法，其特征在于，包括：获取待清洗报文的报文类型以及目的地址；根据所述报文类型，从预设的配置文件中获取与所述报文类型对应的第一攻击类型集合，并根据所述目的地址获取第二攻击类型集合，其中，所述第二攻击类型集合包含所述目的地址所指向的设备在预设时间段内受到的攻击类型；根据所述第一攻击类型集合和所述第二攻击类型集合，生成对应于所述待清洗报文的清洗策略链；依据所述清洗策略链，清洗所述待清洗报文。2.根据权利要求1所述的方法，其特征在于，所述根据所述第一攻击类型集合和所述第二攻击类型集合，生成对应于所述待清洗报文的清洗策略链包括：计算所述第一攻击类型集合与所述第二攻击类型集合的交集，得到第三攻击类型集合，其中，所述第三攻击类型集合中包含所述第一攻击类型集合与所述第二攻击类型集合中相同的攻击类型；根据所述第三攻击类型集合，生成所述清洗策略链。3.根据权利要求2所述的方法，其特征在于，所述根据所述第三攻击类型结合，生成所述清洗策略链包括：获取所述第三攻击类型集合中各个攻击类型的权重值；按照所述权重值的大小，对各个攻击类型进行排序；获取排序后的各个攻击类型对应的清洗策略，其中，各个清洗策略的排列顺序与排序后的各个攻击类型的排列顺序一致；生成包含排序后的各个攻击类型对应的清洗策略的所述清洗策略链。4.根据权利要求3所述的方法，其特征在于，所述依据所述清洗策略链，清洗所述待清洗报文包括：按照所述清洗策略链中各个清洗策略的顺序，依次调用各个清洗策略对所述待清洗报文进行清洗，以确定是否丢弃所述待清洗报文。5.根据权利要求4所述的方法，其特征在于，在确定不丢弃所述待清洗报文的情况下，所述方法还包括：将所述待清洗报文发送至所述目的地址所指向的设备。6.根据权利要求1所述的方法，其特征在于，所述获取待清洗报文的报文类型以及目的地址包括：解析所述待清洗报文的报头；基于所述报文类型对应的字段的偏移量，从所述待清洗报文中提取所述报文类型，以及基于所述目的地址对应的字段的偏移量，从所述待清洗报文中提取所述目的地址。7.根据权利要求1所述的方法，其特征在于，所述根据所述报文类型，从预设的配置文件中获取与所述报文类型对应的第一攻击类型集合包括：从所述预设的配置文件中，查找所述报文类型对应的攻击类型，其中，所述预设的配置文件中包含有所述报文类型与攻击类型之间的对应关系；生成包含所述报文类型对应的攻击类型的所述第一攻击类型集合。8.根据权利要求1至7中任一项所述的方法，其特征在于，所述报文类型包括以下一种或几种：传输控制协议同步TCPSYN报文、传输控制协议确认TCPACK报文以及传输控制协议复位TCPRST报文；所述攻击类型包括以下一种或几种：syn报文泛洪攻击SYNflood、ack报文泛洪攻击ACKflood、rst报文泛洪攻击RSTflood以及udp报文泛洪攻击UDPflood。9.一种报文清洗装置，其特征在于，包括：第一获取单元，用...

【专利技术属性】
技术研发人员：何卫斌，
申请(专利权)人：阿里巴巴集团控股有限公司，
类型：发明
国别省市：开曼群岛,KY