一种报文的特征统计方法及装置制造方法及图纸

本发明专利技术提供一种报文的特征统计方法及装置，所述方法包括：确定第一存储模块中是否存在与待匹配特征值相同的第一特征值；当确定第一存储模块中不存在与待匹配特征值相同的第一特征值时，基于待匹配特征值，从第一存储模块中确定待匹配的至少一个第一接收数量，从第二存储模块中确定与待匹配特征值对应的第二接收数量；基于预设排序规则，将待匹配的至少一个第一接收数量与第二接收数量进行排序，获得排序结果；基于排序结果以及预设确定规则，当确定第二接收数量为最小值时，将第二存储模块中存储的第二接收数量替换为第三接收数量。应用本发明专利技术实施例，解决了防护设备的特征统计效率低的问题。

【技术实现步骤摘要】
一种报文的特征统计方法及装置
本专利技术涉及网络通信
，尤其涉及一种报文的特征统计方法及装置。
技术介绍
通常，当防护设备接收到大量待防护报文时，防护设备通过动态随机存取存储器(DynamicRandomAccessMemory，简称为DRAM)基于待防护报文中携带的特征值，对接收到的具有相同特征值的待防护报文的数量进行统计。现有技术中，黑客向防护设备集中发送大量攻击报文，通常该大量攻击报文中携带的特征值是相同的，因而使得DRAM中存储该特征值的存储地址，短时间内接收到大量的针对特征统计的读写访问，DRAM的处理速度降低，进而导致防护设备的特征统计效率低。
技术实现思路
有鉴于此，本专利技术提供一种报文的特征统计方法及装置，以解决防护设备的特征统计效率低的问题。为实现上述目的，本专利技术提供技术方案如下：根据本专利技术的第一方面，提出了一种报文的特征统计方法，所述方法包括：当接收到待防护报文时，基于所述待防护报文携带的特征值确定待匹配特征值；确定第一存储模块中是否存在与所述待匹配特征值相同的第一特征值，所述第一存储模块用于存储至少一个第一特征值，所述至少一个第一特征值中的每一个第一特征值对应一个第一接收数量；当确定所述第一存储模块中不存在与所述待匹配特征值相同的第一特征值时，基于所述待匹配特征值，从所述第一存储模块中确定待匹配的至少一个第一接收数量，从第二存储模块中确定与所述待匹配特征值对应的第二接收数量，所述第二存储模块用于存储接收到的全部第二特征值，所述第二接收数量为第一预设时长内接收到所述待匹配特征值的数量；基于预设排序规则，将所述待匹配的至少一个第一接收数量与所述第二接收数量进行排序，获得排序结果；基于所述排序结果以及预设确定规则，当确定所述第二接收数量为最小值时，将所述第二存储模块中存储的所述第二接收数量替换为第三接收数量，所述第三接收数量为所述第二接收数量累加预设数量后得到的。根据本专利技术的第二方面，提出了一种报文的特征统计装置，包括：第一确定模块，用于当接收到待防护报文时，基于所述待防护报文携带的特征值确定待匹配特征值；第二确定模块，用于确定第一存储模块中是否存在与所述第一确定模块中确定的所述待匹配特征值相同的第一特征值，所述第一存储模块用于存储至少一个第一特征值，所述至少一个第一特征值中的每一个第一特征值对应一个第一接收数量；第三确定模块，用于当所述第二确定模块中确定所述第一存储模块中不存在与所述待匹配特征值相同的第一特征值时，基于所述待匹配特征值，从所述第一存储模块中确定待匹配的至少一个第一接收数量，从第二存储模块中确定与所述待匹配特征值对应的第二接收数量，所述第二存储模块用于存储接收到的全部第二特征值，所述第二接收数量为第一预设时长内接收到所述待匹配特征值的数量；接收数量排序模块，用于基于预设排序规则，将所述第三确定模块中确定的所述待匹配的至少一个第一接收数量与所述第二接收数量进行排序，获得排序结果；第一替换模块，用于基于所述接收数量排序模块中获得的所述排序结果以及预设确定规则，当确定所述第二接收数量为最小值时，将所述第二存储模块中存储的所述第二接收数量替换为第三接收数量，所述第三接收数量为所述第二接收数量累加预设数量后得到的。由以上技术方案可见，防护设备确定第一存储模块中不存在与待匹配特征值相同的第一特征值时，防护设备基于待匹配特征值，从第一存储模块中确定待匹配的至少一个第一接收数量，从第二存储模块中确定与待匹配特征值对应的第二接收数量，防护设备基于预设排序规则，将待匹配的至少一个第一接收数量与第二接收数量进行排序，防护设备基于排序结果以及预设确定规则，当确定第二接收数量为最小值时，防护设备将第二存储模块中存储的第二接收数量替换为第三接收数量，第三接收数量为第二接收数量累加预设数量后得到的。防护设备通过第一存储模块对具有较大第一接收数量的第一特征值进行统计，将具有较小第二接收数量的待匹配特征值由第二存储模块进行存储及统计，避免第二存储模块中的某一存储地址短时间内被集中访问，提高了第二存储模块的处理效率，进而解决了防护设备的特征统计效率低的问题。附图说明图1是本专利技术提供的一个报文的特征统计方法的实施例流程图；图2是本专利技术提供的另一个报文的特征统计方法的实施例流程图；图3是本专利技术提供的再一个报文的特征统计方法的实施例流程图；图4是本专利技术提供的再一个报文的特征统计方法的实施例流程图；图5是本专利技术提供的一种防护设备的硬件结构图；图6是本专利技术提供的一个报文的特征统计装置的实施例框图；图7是本专利技术提供的另一个报文的特征统计装置的实施例框图。具体实施方式这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本专利技术相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本专利技术的一些方面相一致的装置和方法的例子。在本专利技术使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本专利技术。在本专利技术和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。应当理解，尽管在本专利技术可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本专利技术范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。本专利技术提供的报文的特征统计方法可以应用在防护设备上，本领域技术人员可以理解的是，本专利技术提供的报文的特征统计方法可以应用在具有特征值统计功能的设备上，例如，防火墙等，并不仅限于防护设备。在一实施例中，当防护设备接收到待防护报文时，防护设备基于待防护报文携带的特征值确定待匹配特征值，防护设备可以将待防护报文携带的特征值直接确定为待匹配特征值，也可以对待防护报文携带的特征值进行HASH运算后，将运算结果确定为待匹配特征值，由于待防护报文携带的特征值位宽比较大，如果直接将待防护报文携带的特征值作为待匹配特征值进行特征值统计，待匹配特征值占用的存储空间大。具体的，以待防护报文携带的特征值为五元组信息：源IP地址“192.168.1.1”，目的IP地址“121.14.88.76”，源端口“10000”，目的端口“80”，TCP协议号“6”为例，待防护报文将源IP地址“192.168.1.1”，目的IP地址“121.14.88.76”，源端口“10000”，目的端口“80”，TCP协议号“6”直接确定为待匹配特征值；另一种方法，防护设备将源IP地址“192.168.1.1”，目的IP地址“121.14.88.76”，源端口“10000”，目的端口“80”，TCP协议号“6”通过HASH运算后，得到6位宽的运算结果，例如，运算结果为123456，防护设备将123456确定为待匹配特征值，本领域技术人员可以理解的是，防护设备对待防护报文携带的特征值进行HASH运算后，本文档来自技高网...

【技术保护点】
一种报文的特征统计方法，其特征在于，所述方法包括：当接收到待防护报文时，基于所述待防护报文携带的特征值确定待匹配特征值；确定第一存储模块中是否存在与所述待匹配特征值相同的第一特征值，所述第一存储模块用于存储至少一个第一特征值，所述至少一个第一特征值中的每一个第一特征值对应一个第一接收数量；当确定所述第一存储模块中不存在与所述待匹配特征值相同的第一特征值时，基于所述待匹配特征值，从所述第一存储模块中确定待匹配的至少一个第一接收数量，从第二存储模块中确定与所述待匹配特征值对应的第二接收数量，所述第二存储模块用于存储接收到的全部第二特征值，所述第二接收数量为第一预设时长内接收到所述待匹配特征值的数量；基于预设排序规则，将所述待匹配的至少一个第一接收数量与所述第二接收数量进行排序，获得排序结果；基于所述排序结果以及预设确定规则，当确定所述第二接收数量为最小值时，将所述第二存储模块中存储的所述第二接收数量替换为第三接收数量，所述第三接收数量为所述第二接收数量累加预设数量后得到的。

【技术特征摘要】
1.一种报文的特征统计方法，其特征在于，所述方法包括：当接收到待防护报文时，基于所述待防护报文携带的特征值确定待匹配特征值；确定第一存储模块中是否存在与所述待匹配特征值相同的第一特征值，所述第一存储模块用于存储至少一个第一特征值，所述至少一个第一特征值中的每一个第一特征值对应一个第一接收数量；当确定所述第一存储模块中不存在与所述待匹配特征值相同的第一特征值时，基于所述待匹配特征值，从所述第一存储模块中确定待匹配的至少一个第一接收数量，从第二存储模块中确定与所述待匹配特征值对应的第二接收数量，所述第二存储模块用于存储接收到的全部第二特征值，所述第二接收数量为第一预设时长内接收到所述待匹配特征值的数量；基于预设排序规则，将所述待匹配的至少一个第一接收数量与所述第二接收数量进行排序，获得排序结果；基于所述排序结果以及预设确定规则，当确定所述第二接收数量为最小值时，将所述第二存储模块中存储的所述第二接收数量替换为第三接收数量，所述第三接收数量为所述第二接收数量累加预设数量后得到的。2.根据权利要求1所述的方法，其特征在于，所述方法还包括：基于所述排序结果以及所述预设确定规则，当确定所述第二接收数量不为最小值时，从所述待匹配的至少一个第一接收数量中的每一个第一接收数量对应的第一特征值中，确定其中一个第一特征值为待替换特征值；将所述第一存储模块中存储的所述待替换特征值替换为所述待匹配特征值，将与所述待替换特征值对应的第一接收数量替换为所述第三接收数量；将所述待替换特征值以及与所述待替换特征值对应的第一接收数量存储在所述第二存储模块中。3.根据权利要求1所述的方法，其特征在于，所述方法还包括：基于所述待匹配特征值确定第一索引值，所述第一索引值与所述第一存储模块中的至少一个第一存储子模块的地址相对应，所述至少一个第一存储子模块中的每一个第一存储子模块用于存储一个第一特征值；基于所述第一索引值从所述第一存储模块中确定与所述第一索引值相对应的至少一个第一存储子模块；将所述至少一个第一存储子模块中的每一个第一存储子模块中存储的第一特征值与所述待匹配特征值进行匹配，得到匹配结果；基于所述匹配结果，执行所述确定第一存储模块中是否存在与所述待匹配特征值相同的第一特征值的步骤。4.根据权利要求3所述的方法，其特征在于，所述基于所述待匹配特征值，从所述第一存储模块中确定待匹配的至少一个第一接收数量的方法，包括：将所述至少一个第一存储子模块中的每一个第一存储子模块对应的第一接收数量确定为所述待匹配的至少一个第一接收数量。5.根据权利要求1所述的方法，其特征在于，所述基于所述待匹配特征值，从第二存储模块中确定与所述待匹配特征值对应的第二接收数量的方法，包括：基于所述待匹配特征值确定第二索引值，所述第二索引值与所述第二存储模块中的一个第二存储子模块的地址相对应，所述第二存储模块包含至少一个第二存储子模块，所述每一个第二存储子模块对应一个第四接收数量；基于所述第二索引值从所述第二存储模块中确定与所述第二索引值相对应的一个第二存储子模块，将所述第二存储子模块对应的第四接收数量确定为所述第二接收数量。6.根据权利要求1所述的方法，其特征在于，所述方法还包括：当确定所述第一存储模块中存在与所述待匹配特征值相同的第一特征值时，确定第一...

【专利技术属性】
技术研发人员：闫伟，张明祯，刘志来，
申请(专利权)人：杭州迪普科技股份有限公司，
类型：发明
国别省市：浙江,33