一种业务报文处理方法及系统技术方案

本申请提供一种业务报文处理方法及系统，其中方法包括获取与待处理目的IP地址对应的、包含待处理源IP地址的待处理业务报文；按目的IP地址与可信源IP地址集合的对应关系，确定与所述待处理目的IP地址对应的待处理可信源IP地址集合；若判定所述待处理源IP地址处于所述待处理可信源IP地址集合内，则将所述待处理业务报文回注至路由设备。本申请通过大数据方式获得可信源IP地址集合的准确率是非常高的，所以本申请可以在清洗业务报文中的攻击报文的过程中，使得正常报文免于误杀。

Method and system for processing service message

This application provides a service message processing method and system, wherein the method comprises the following steps: acquiring and processing to the destination IP address corresponding to the pending business, including message processing source IP address; according to the IP address and the corresponding relationship between the source IP address set, and determine the destination address corresponding to the IP can the source IP address set; determine if the pending source IP address in the source IP address can be processed within the pending service message routing device to reinjection. This application can be obtained by way of big data source IP address collection accuracy rate is very high, so the application can process the attack message in the message cleaning business in the normal message from killing.

【技术实现步骤摘要】
一种业务报文处理方法及系统
本申请涉及通信
，尤其涉及一种业务报文处理方法及系统。
技术介绍
随着网络技术的不断进步，网络领域中的网络攻击也越来越多。目前，在众多网络攻击中分布式拒绝服务攻击(DistributedDenialofService，DDoS)已经成为较为严重的攻击手段。DDoS攻击的原理为预先获知目的设备的资源瓶颈，攻击设备发送大量攻击报文去消耗瓶颈资源，进而使得目的设备无法处理大量攻击报文而崩溃。为了防范DDoS攻击，可以在原有系统架构中加入防御设备来阻挡DDoS攻击。如图1所示，为现有网络系统的一种示意图。由图示可知，系统包含源设备11、路由设备12、防御设备13和目的设备14。其中，源设备包含正常设备和攻击设备。源设备向路由设备发送的业务报文既包含攻击设备发送的攻击报文，又包含正常设备发送的正常报文。防御设备可以依据清洗策略过滤攻击报文，最终将正常报文发送至目的设备。目前具有多种防御策略，通过研究发现目前的防御策略为通过少量业务报文确定的，或者技术人员通过经验人工设定的，所以目前的防御策略均不准确；并且，可能会误杀正常报文。例如，防御设备常用的清洗策略为报文本文档来自技高网...

【技术保护点】
一种业务报文处理方法，其特征在于，包括：获取与待处理目的IP地址对应的、包含待处理源IP地址的待处理业务报文；按目的IP地址与可信源IP地址集合的对应关系，确定与所述待处理目的IP地址对应的待处理可信源IP地址集合；若判定所述待处理源IP地址处于所述待处理可信源IP地址集合内，则将所述待处理业务报文回注至路由设备。

【技术特征摘要】
1.一种业务报文处理方法，其特征在于，包括：获取与待处理目的IP地址对应的、包含待处理源IP地址的待处理业务报文；按目的IP地址与可信源IP地址集合的对应关系，确定与所述待处理目的IP地址对应的待处理可信源IP地址集合；若判定所述待处理源IP地址处于所述待处理可信源IP地址集合内，则将所述待处理业务报文回注至路由设备。2.如权利要求1所述的方法，其特征在于，所述获取待处理目的IP地址对应的待处理业务报文，包括：在所述路由设备中牵引与所述待处理目的IP地址对应的待处理业务报文。3.如权利要求1所述的方法，其特征在于，所述待处理可信源IP地址集合为基于访问所述待处理目的设备的历史业务报文的特征信息确定的多个可信源设备的IP地址的集合。4.如权利要求3所述的方法，其特征在于，基于访问所述待处理目的设备的历史业务报文的特征信息确定多个可信源设备的IP地址的集合，包括：确定与所述待处理目的IP地址对应的待处理特征信息集合；其中，所述待处理特征信息集合由预设天数内访问所述待处理目的设备的历史业务报文的特征信息组成；基于所述待处理特征信息集合，确定所述待处理目的设备多个可信源设备的IP地址；将所述多个可信源设备的IP地址的集合，确定为所述待处理可信源IP地址集合；存储所述待处理可信源IP地址集合，以及所述待处理目的IP地址与所述待处理可信源IP地址集合的对应关系。5.如权利要求4所述的方法，其特征在于，所述基于所述待处理特征信息集合，确定所述待处理目的设备多个可信源设备的IP地址，包括：在按源IP地址对所述待处理特征信息集合中的特征信息分类后，依据每类特征信息分别计算每个源IP地址的预设数量个属性信息；基于每个源IP地址的预设数量个属性信息，计算每个属性信息的置信区间；若一个源IP地址有半数以上的属性信息处于对应的置信区间内，则确定该源IP地址为所述待处理目的设备的可信源设备的IP地址。6.如权利要求5所述的方法，其特征在于，历史业务报文的特征信息包括：历史业务报文的源IP地址、源端口、目的IP地址、目的端口和访问时间；每个源IP地址的属性信息包括：访问所述待处理目的设备的总天数、每天访问所述待处理目的设备的平均访问次数、访问所述待处理目的设备的平均访问间隔和/或访问所述待处理目的设备的访问时间分布。7.如权利要求5所述的方法，其特征在于，所述基于每个源IP地址的预设数量个属性信息，计算每个属性信息的置信区间，包括：基于每个源IP地址的预设数量个属性信息，计算每个属性信息的平均值和方差值利用每个属性信息的平均值和方差值，确定每个预设属性的置信区间。8.如权利要求4所述的方法，其特征在于，还包括：接收与所述待处理业务报文一致的副本待处理业务报文后，提取所述副本待处理业务报文的特征信息；利用所述副本待处理业务报文的特征信息，更新所述待处理特征信息集合。9.如权利要求8所述的方法，其特征在于，还包括：基于更新后所述待处理特征信息集合，重新确定所述待处理可信源IP地址集合。10.如权利要求1所述的方法，其特征在于，在获取与待处理目的IP地址对应的、包含待处理源IP地址的待处理业务报文后，还包括：判断所述待处理业务报文中的待处理源IP地址是否处于黑名单内；若所述待处理IP地址处于所述黑名单内，则确定所述待处理业务报文为攻击报文；禁止所述待处理业务报文回注至所述路由设备。11.如权利要求10所述的方法，其特征在于，还包括：若判定...

【专利技术属性】
技术研发人员：李晗，
申请(专利权)人：阿里巴巴集团控股有限公司，
类型：发明
国别省市：开曼群岛,KY