报文过滤方法、装置、设备及存储介质制造方法及图纸

本发明专利技术实施例提供了一种报文过滤方法、装置、设备及存储介质，其中，报文过滤方法包括：获取服务器的多个边界防火墙中的每个边界防火墙监测到的连接速率；当多个边界防火墙监测到的连接速率之和大于服务器的最大连接速率时，根据第一边界防火墙监测到的通过第一边界防火墙访问服务器的终端与服务器之间的第一连接速率与第一边界防火墙的第一预设告警阈值的关系，确定第一边界防火墙的第一攻击生效阈值；向第一边界防火墙，发送第一攻击生效阈值，以使第一边界防火墙在第一连接速率不小于第一攻击生效阈值时，对访问服务器的报文进行过滤。通过本发明专利技术实施例提供的报文过滤方法、装置、设备及存储介质，能够提高资源利用率。

【技术实现步骤摘要】
报文过滤方法、装置、设备及存储介质
本专利技术涉及通信安全
，特别是涉及一种报文过滤方法、装置、设备及存储介质。
技术介绍
DOS(DenialofService，拒绝服务)攻击，是通过向服务器发送大量的数据包，占用服务器的资源，使得服务器无法向合法用户提供服务的一种攻击形式。为了防范DOS攻击，边界防火墙监测通过该边界防火墙访问服务器的终端与该服务器之间单位时间内的连接数量，其中，可以将终端与服务器之间单位时间内的连接数量称为连接速率。当边界防火墙监测到的通过该边界防火墙访问服务器的终端与该服务器之间的连接速率不小于触发攻击防范的攻击生效阈值时，该边界防火墙可以对访问服务器的报文进行过滤，例如，丢弃接收到的用于与服务器建立连接的报文，或者断开一部分连接，并丢弃接收到的断开的连接对应的报文。从上述防范DOS攻击的方案中可知，确定触发攻击防范的攻击生效阈值事关重要。目前已有的报文过滤方法中，是将服务器可以负担的最大连接速率，按照服务器的边界防火墙的数量进行平分，得到每个边界防火墙的攻击生效阈值，且该攻击生效阈值是固定不变的。在实际应用中，边界防火墙可以是硬件，也可以是软件，例如可本文档来自技高网...

【技术保护点】
一种报文过滤方法，其特征在于，包括：获取服务器的多个边界防火墙中的每个边界防火墙监测到的连接速率，所述连接速率为通过该边界防火墙访问所述服务器的终端与所述服务器之间的连接速率；当所述多个边界防火墙监测到的连接速率之和大于所述服务器的最大连接速率时，根据第一边界防火墙监测到的通过所述第一边界防火墙访问服务器的终端与所述服务器之间的第一连接速率与所述第一边界防火墙的第一预设告警阈值的关系，确定所述第一边界防火墙的第一攻击生效阈值；所述第一边界防火墙为所述多个边界防火墙中的任一一个；向所述第一边界防火墙，发送所述第一攻击生效阈值，以使所述第一边界防火墙在所述第一连接速率不小于所述第一攻击生效阈值时，...

【技术特征摘要】
1.一种报文过滤方法，其特征在于，包括：获取服务器的多个边界防火墙中的每个边界防火墙监测到的连接速率，所述连接速率为通过该边界防火墙访问所述服务器的终端与所述服务器之间的连接速率；当所述多个边界防火墙监测到的连接速率之和大于所述服务器的最大连接速率时，根据第一边界防火墙监测到的通过所述第一边界防火墙访问服务器的终端与所述服务器之间的第一连接速率与所述第一边界防火墙的第一预设告警阈值的关系，确定所述第一边界防火墙的第一攻击生效阈值；所述第一边界防火墙为所述多个边界防火墙中的任一一个；向所述第一边界防火墙，发送所述第一攻击生效阈值，以使所述第一边界防火墙在所述第一连接速率不小于所述第一攻击生效阈值时，对访问所述服务器的报文进行过滤。2.根据权利要求1所述的方法，其特征在于，所述获取服务器的多个边界防火墙中的每个边界防火墙监测到的连接速率，包括：当预设获取周期到达时，向所述多个边界防火墙中的每个边界防火墙发送速率查询请求；并接收每个边界防火墙返回的携带该边界防火墙监测到的连接速率的查询响应；或者在接收到任一边界防火墙发送的携带该边界防火墙监测到的连接速率的告警报文之后，向各个其他边界防火墙发送速率查询请求；并接收每个其他边界防火墙返回的携带该边界防火墙监测到的连接速率的查询响应。3.根据权利要求1所述的方法，其特征在于，根据第一边界防火墙监测到的通过所述第一边界防火墙访问服务器的终端与所述服务器之间的第一连接速率与所述第一边界防火墙的第一预设告警阈值的关系，确定所述第一边界防火墙的第一攻击生效阈值，包括：当两倍的所述第一连接速率小于所述第一预设告警阈值时，将两倍的所述第一连接速率，作为所述第一攻击生效阈值；当所述第一连接速率小于所述第一预设告警阈值，且两倍的所述第一连接速率不小于所述第一预设告警阈值时，将所述第一预设告警阈值作为所述第一攻击生效阈值；当所述第一连接速率不小于所述第一预设告警阈值时，确定的所述第一攻击生效阈值与第二攻击生效阈值之和，不大于所述服务器的剩余连接速率，所述剩余连接速率为所述服务器的最大连接速率与第三攻击生效阈值之和作差得到的连接速率；其中，所述第二攻击生效阈值为第二边界防火墙的攻击生效阈值，所述第二边界防火墙为除第一边界防火墙之外的且监测到的连接速率不小于自身的预设告警阈值的边界防火墙；所述第三攻击生效阈值为第三边界防火墙的攻击生效阈值，所述第三边界防火墙为监测到的连接速率小于自身的预设告警阈值的边界防火墙；各个边界防火墙的预设告警阈值之和不大于所述最大连接速率。4.根据权利要求3所述的方法，其特征在于，当所述第一连接速率不小于所述第一预设告警阈值时，确定的所述第一攻击生效阈值具体为：所述剩余连接速率，乘以所述第一连接速率在所述第一连接速率与第二边界防火墙监测到的连接速率之和所占的比例。5.根据权利要求2所述的方法，其特征在于，所述方法还包括：判断在预设时间内是否接收到任一边界防火墙发送的所述告警报文；若在所述预设时间内未接收到任一边界防火墙发送的所述告警报文，则将每个边界防火墙的预设告警阈值作为该边界防火墙的攻击生效阈值发送至该边界防火墙。6.一种报文过滤方法，其特征在于，包括：服务器的边界防火墙向监控防火墙发送所述边界防火墙监测到的通过所述边界防火墙访问所述服务器的终端与所述服务器之间的连接速率；接收所述监控防火墙发送的所述边界防火墙的攻击生效阈值，所述攻击生效阈值为所述监控防火墙根据多个边界防火墙监测到的连接速率确定的；当所述边界防火墙监测到的所述连接速率不小于所述攻击生效阈值时，对访问所述服务器的报文进行过滤。7.根据权利要求6所述的方法，其特征在于，所述服务器的边界防火墙向监控防火墙发送所述边界防火墙监测到的通过所述边界防火墙访问所述服务器的终端与所述服务器之间的连接速率，包括：所述边界防火墙在接收到所述监控防火墙发送的速率查询请求之后，向所述监控防火墙发送携带所述边界防火墙监测到的所述连接速率的查询响应；或者当所述边界防火墙监测到的所述连接速率大于预设告警阈值时，所述边界防火墙向所述监控防火墙发送携带所述边界防火墙监测到的所述连接速率的告警报文。8.一种报文过滤装置，其特征在于，包括：获取模块，用于获取服务器的多个边界防火墙中的每个边界防火墙监测到的连接速率，所述连接速率为通过该边界防火墙访问所述服务器的终端与所述服务器之间的连接速率；第一确定模块，用于当所述多个边界防火墙监测到的连接速率之和大于所述服务器的最大连接速率时，根据第一边界防火墙监测到的通过所述第一边界防火墙访问服务器的终端...

【专利技术属性】
技术研发人员：李永波，
申请(专利权)人：新华三信息安全技术有限公司，
类型：发明
国别省市：安徽,34