本发明专利技术提供一种报文处理方法和装置,该方法包括:接收来自管理服务器的合法报文特征,并将所述合法报文特征组成合法特征集合;所述合法报文特征是所述管理服务器基于点播流量信息获取的;在接收到报文之后,从所述报文中解析出报文特征,并查询所述合法特征集合中是否存在所述报文特征;如果存在所述报文特征,则转发所述报文;如果不存在所述报文特征,则利用预先配置的第一黑名单分析所述报文是否为非法报文;如果是,则丢弃所述报文,如果否,则转发所述报文。通过本发明专利技术的技术方案,安全设备不需要对接收到的所有报文进行分析,避免造成安全设备的性能瓶颈,从而解决大流量下的报文分析过滤安全防御问题,并满足大流量视频监控环境的应用。
【技术实现步骤摘要】
本专利技术涉及通信
,尤其涉及一种报文处理方法和装置。
技术介绍
近年来,随着计算机、网络以及图像处理、传输技术的飞速发展,视频监控系统的普及化趋势越来越明显,视频监控系统正在逐步迈入高清化,智能化,视频监控系统可以应用于众多领域,如智能交通,智慧园区、平安城市等。目前,视频监控系统对安全防范的要求越来越高,为了提高安全性,通过在被保护设备之前放置安全设备,以使用安全设备对访问被保护设备的报文进行过滤,从而避免将攻击报文传输到被保护设备上,且不影响正常业务报文的传输,从而可以防止攻击者对被保护设备的攻击,保障被保护设备的安全性。为了实现上述过程,安全设备在接收到报文后,需要分析该报文是否为攻击报文,如果是,则丢弃该报文,如果否,则将该报文发送给被保护设备。但是,在该方式下,安全设备需要对接收到的所有报文进行分析,当有大量报文访问被保护设备时,安全设备就需要对大量报文进行分析,安全设备的处理性能可能无法满足大量分析的需求,从而无法满足大流量视频监控环境的应用。
技术实现思路
本专利技术提供一种报文处理方法,应用在安全设备上,所述方法包括:接收来自管理服务器的合法报文特征,并将所述合法报文特征组成合法特征集合;所述合法报文特征是所述管理服务器基于点播流量信息获取的;在接收到报文之后,从所述报文中解析出报文特征,并查询所述合法特征集合中是否存在所述报文特征;如果存在所述报文特征,则转发所述报文;如果不存在所述报文特征,则利用预先配置的第一黑名单分析所述报文是否为非法报文;如果是,则丢弃所述报文,如果否,则转发所述报文。所述方法还包括:在所述安全设备的注册过程中,向所述管理服务器发送注册请求报文,并接收来自所述管理服务器的注册响应报文,所述注册响应报文中携带有所述第一黑名单;或者,接收来自所述管理服务器的配置下发报文,所述配置下发报文中携带有所述第一黑名单;其中,所述第一黑名单包括需要拒绝访问的端口;所述利用预先配置的第一黑名单分析所述报文是否为非法报文的过程,具体包括:分析所述报文是否访问所述第一黑名单中的端口;如果是,则分析出所述报文是非法报文,如果否,则分析出所述报文不是非法报文。所述从报文中解析出报文特征,并查询所述合法特征集合中是否存在所述报文特征之前,所述方法还包括:从所述报文中解析出源IP地址,并查询预先配置的第二黑名单中是否存在所述源IP地址;如果存在,则丢弃所述报文;如果不存在,则执行从所述报文中解析出报文特征,并查询所述合法特征集合中是否存在所述报文特征的过程。所述利用预先配置的第一黑名单分析所述报文是否为非法报文之后,所述方法进一步包括:如果所述报文是非法报文,将所述报文的源IP地址对应的非法访问次数加1,并判断所述非法访问次数是否达到预设阈值;如果是,则将所述源IP地址添加到所述第二黑名单中,并通过所述第二黑名单丢弃所述源IP地址对应的报文。所述报文特征具体包括:源IP地址、源端口、目的IP地址、目的端口、协议类型;所述安全设备用于对与本安全设备连接的被保护设备提供保护。本专利技术提供一种报文处理装置,应用在安全设备上,所述装置包括:记录模块,用于接收来自管理服务器的合法报文特征,并将所述合法报文特征组成合法特征集合;其中,所述合法报文特征是所述管理服务器基于点播流量信息获取的;处理模块,用于在接收到报文之后,从所述报文中解析出报文特征,并查询所述合法特征集合中是否存在所述报文特征;如果存在所述报文特征,则转发所述报文;如果不存在所述报文特征,则利用预先配置的第一黑名单分析所述报文是否为非法报文;如果是,则丢弃所述报文,如果否,则转发所述报文。还包括:通信模块,用于在注册过程中,向所述管理服务器发送注册请求报文,并接收来自所述管理服务器的注册响应报文,所述注册响应报文中携带有所述第一黑名单;或者,接收来自所述管理服务器的配置下发报文,所述配置下发报文中携带有所述第一黑名单;其中,所述第一黑名单包括需要拒绝访问的端口;所述处理模块,具体用于在利用预先配置的第一黑名单分析所述报文是否为非法报文的过程中,分析所述报文是否访问所述第一黑名单中的端口;如果是,则分析出所述报文是非法报文,如果否,则分析出所述报文不是非法报文。所述处理模块,还用于在从所述报文中解析出报文特征,并查询所述合法特征集合中是否存在所述报文特征之前,从所述报文中解析出源IP地址,并查询预先配置的第二黑名单中是否存在所述源IP地址;如果存在,则丢弃所述报文;如果不存在,则执行从所述报文中解析出报文特征,并查询所述合法特征集合中是否存在所述报文特征的过程。所述处理模块,还用于在利用第一黑名单分析所述报文是否为非法报文之后,如果所述报文是非法报文,将所述报文的源IP地址对应的非法访问次数加1,并判断所述非法访问次数是否达到预设阈值;如果是,则将所述源IP地址添加到所述第二黑名单中,并通过所述第二黑名单丢弃所述源IP地址对应的报文。所述报文特征具体包括:源IP地址、源端口、目的IP地址、目的端口、协议类型;所述安全设备用于对与本安全设备连接的被保护设备提供保护。基于上述技术方案,本专利技术实施例中,安全设备在接收到报文之后,可以先查询合法特征集合中是否存在该报文的报文特征,如果存在,就可以直接转发该报文,而不再分析该报文是否为非法报文,如果不存在,才去分析该报文是否为非法报文。基于此,当有大量报文访问被保护设备时,大量的合法报文被安全设备直接转发,安全设备只需要对少量报文进行分析,而不需要对接收到的所有报文进行分析,避免造成安全设备的性能瓶颈,从而解决大流量下的报文分析过滤安全防御问题,并可以满足大流量视频监控环境的应用。附图说明为了更加清楚地说明本专利技术实施例或者现有技术中的技术方案,下面将对本专利技术实施例或者现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术中记载的一些实施例,对于本领域普通技术人员来讲,还可以根据这些附图获得其他的附图。图1是本专利技术一种实施方式中的应用场景示意图;图2是本专利技术一种实施方式中的报文处理方法的流程图;图3是本专利技术一种实施方式中的安全设备的硬件结构图;图4是本专利技术一种实施方式中的报文处理装置的结构图。具体实施方式在本专利技术使用的术语仅仅是出于描述特定实施例的目的,而非限制本专利技术。本专利技术和权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其它含义。还应当理解,本文中使用的术语“和/或”是指包含一个或多个相关联的列出项目的任何或所有可能组合。应当理解,尽管在本专利技术可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本专利技术范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,此外,所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。针对现有技术中存在的问题,本专利技术实施例中提出一种报文处理方法,该方法可以应用于视频监控系统中,通过在被保护设备之前放置安全设备(如安全网关或者安全盒子等),以使用安全设备对访问被保护设备的报文进行过滤,从而可以避免将攻击报文传输到被保护设备上,且不影响正常业务本文档来自技高网...
【技术保护点】
一种报文处理方法,应用在安全设备上,其特征在于,所述方法包括:接收来自管理服务器的合法报文特征,并将所述合法报文特征组成合法特征集合;所述合法报文特征是所述管理服务器基于点播流量信息获取的;在接收到报文之后,从所述报文中解析出报文特征,并查询所述合法特征集合中是否存在所述报文特征;如果存在所述报文特征,则转发所述报文;如果不存在所述报文特征,则利用预先配置的第一黑名单分析所述报文是否为非法报文;如果是,则丢弃所述报文,如果否,则转发所述报文。
【技术特征摘要】
1.一种报文处理方法,应用在安全设备上,其特征在于,所述方法包括:接收来自管理服务器的合法报文特征,并将所述合法报文特征组成合法特征集合;所述合法报文特征是所述管理服务器基于点播流量信息获取的;在接收到报文之后,从所述报文中解析出报文特征,并查询所述合法特征集合中是否存在所述报文特征;如果存在所述报文特征,则转发所述报文;如果不存在所述报文特征,则利用预先配置的第一黑名单分析所述报文是否为非法报文;如果是,则丢弃所述报文,如果否,则转发所述报文。2.根据权利要求1所述的方法,其特征在于,所述方法还包括:在所述安全设备的注册过程中,向所述管理服务器发送注册请求报文,并接收来自所述管理服务器的注册响应报文,所述注册响应报文中携带有所述第一黑名单;或者,接收来自所述管理服务器的配置下发报文,所述配置下发报文中携带有所述第一黑名单;其中,所述第一黑名单包括需要拒绝访问的端口;所述利用预先配置的第一黑名单分析所述报文是否为非法报文的过程,具体包括:分析所述报文是否访问所述第一黑名单中的端口;如果是,则分析出所述报文是非法报文,如果否,则分析出所述报文不是非法报文。3.根据权利要求1所述的方法,其特征在于,所述从报文中解析出报文特征,并查询所述合法特征集合中是否存在所述报文特征之前,所述方法还包括:从所述报文中解析出源IP地址,并查询预先配置的第二黑名单中是否存在所述源IP地址;如果存在,则丢弃所述报文;如果不存在,则执行从所述报文中解析出报文特征,并查询所述合法特征集合中是否存在所述报文特征的过程。4.根据权利要求3所述的方法,其特征在于,所述利用预先配置的第一黑名单分析所述报文是否为非法报文之后,所述方法进一步包括:如果所述报文是非法报文,将所述报文的源IP地址对应的非法访问次数加1,并判断所述非法访问次数是否达到预设阈值;如果是,则将所述源IP地址添加到所述第二黑名单中,并通过所述第二黑名单丢弃所述源IP地址对应的报文。5.根据权利要求1-4任一项所述的方法,其特征在于,所述报文特征具体包括:源IP地址、源端口、目的IP地址、目的端口、协议类型;所述安全设备用于对与本安全设备连接的被保护设备提供保护。6.一种报文处理...
【专利技术属性】
技术研发人员:周迪,赵晖,
申请(专利权)人:浙江宇视科技有限公司,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。