一种报文处理的方法和装置制造方法及图纸

本申请供一种报文处理的方法及装置，针对每个接收到的报文，可根据发送该报文的源互联网协议(Internet Protocol，IP)地址确定该IP地址的实际报文流量，根据确定出的该报文的流向信息，确定与该流量信息匹配的安全规则，从而确定该IP地址的流量阈值，并可判断该IP地址的实际报文流量是否超过了该IP地址的流量阈值，若是，则根据该匹配的安全规则对应的操作，对该报文进行处理，若否，则根据该报文的内容转发该报文。

A Method and Device for Message Processing

This application provides a method and device for message processing. For each received message, the actual message flow of the IP address can be determined according to the address of the source Internet Protocol (IP) that sends the message. According to the flow information of the message, the security rules matching the flow information can be determined, so that the flow threshold of the IP address can be determined and judged. Whether the actual traffic of the IP address exceeds the traffic threshold of the IP address, if so, the message is processed according to the operation corresponding to the matching security rules, and if not, the message is forwarded according to the content of the message.

【技术实现步骤摘要】
一种报文处理的方法和装置
本申请涉及网络通信
，特别设计一种报文处理的方法和装置。
技术介绍
分布式拒绝服务(DistributedDenialofService，DDoS)攻击，是指攻击者通过控制大量的僵尸主机，向被攻击目标发送大量精心构造的攻击报文，造成被攻击者所在网络的链路拥塞、系统资源耗尽，从而使被攻击者难以向正常用户提供服务的攻击方式。图1为现有DDoS攻击的示意图，左侧为攻击者使用的终端，通过控制僵尸主机，向右侧的服务器进行攻击。通常，DDoS攻击来自于内网的终端。由于DDoS攻击通常是基于设备间通信协议的漏洞而进行的，因此通常可将DDoS攻击分为多种类型，如，同步序列编号(SynchronizeSequenceNumbers，SYN)攻击、确认字符(Acknowledgement，ACK)攻击、用户数据报协议(UserDatagramProtocol，UDP)攻击、超文本传输协议(HyperTextTransferProtocol，HTTP)获取数据请求(Get)攻击，等等。可见由于DDoS攻击是基于不同的通信协议而发动的攻击，因此可根据攻击报文所基于的通信协议的本文档来自技高网...

【技术保护点】
1.一种报文处理的方法，包括：针对接收到的每个报文，确定该报文的流向信息以及发送该报文的设备的互联网协议IP地址；确定所述IP地址对应的实际报文流量，并根据预设的与该报文的流向信息匹配的安全规则，确定所述IP地址对应的流量阈值；判断所述实际报文流量是否超过所述IP地址对应的流量阈值；若是，则根据与该报文的流向信息匹配的安全规则对应的操作，对该报文进行处理；若否，则根据该报文的内容转发该报文。

【技术特征摘要】
1.一种报文处理的方法，包括：针对接收到的每个报文，确定该报文的流向信息以及发送该报文的设备的互联网协议IP地址；确定所述IP地址对应的实际报文流量，并根据预设的与该报文的流向信息匹配的安全规则，确定所述IP地址对应的流量阈值；判断所述实际报文流量是否超过所述IP地址对应的流量阈值；若是，则根据与该报文的流向信息匹配的安全规则对应的操作，对该报文进行处理；若否，则根据该报文的内容转发该报文。2.如权利要求1所述的方法，其特征在于，确定该报文的流向信息，具体包括：确定该报文包含的源安全域、目标安全域、源IP地址以及目标IP地址，作为该报文的流向信息。3.如权利要求1所述的方法，其特征在于，所述方法还包括：当未查找到与该报文的流向信息匹配的安全规则时，根据该报文的内容转发该报文。4.如权利要求1所述的方法，其特征在于，确定所述IP地址对应的实际报文流量，具体包括：根据该报文的内容，确定该报文的类型；根据确定出的类型，确定所述IP地址对应所述类型的实际报文流量。5.如权利要求4所述的方法，其特征在于，确定所述IP地址对应的流量阈值，具体包括：根据确定出该报文的类型，确定所述IP地址对应的该类型的流量阈值。6.如权利要求4所述的方法，其特征在于，根据与该报文的流向信息匹配的安全规则对应的操作，对该报文进行处理，具体包括：根据确定出该报文的类型，确定与该报文的流向信息匹配的安全规则中对应于所述类型的操作；根据确定出的操作，对该报文进行处理。7.如权利要求1所述的方法，其特征在于，确定所述实际报文流量超过所述IP地址对应的流量阈值时，所述方法还包括：根据与该报文的流向信息匹配的安全规则对应的操作，存储所述IP地址与所述操作之间的对应关系；判断所述实际报文流量是否超过所述IP地址对应的流量阈值之前，所述方法还包括：判断是否存储有与所述IP地址对应的操作；若是，则根据与所述IP地址对应的操作，对该报文进行处理；若否，则判断所述实际报文流量是否超过所述IP地址对应的流量阈值。8.如权利要求7所述的方法，其特征在于，存储所述IP地址与所述操作之间的对应关系之后，所述方法还包括：判断在预设的时间段内所述IP地址是否不再发送报文；若是，则删除所述IP地址与所述操作的对应关系；若否，则继续存储所述IP...

【专利技术属性】
技术研发人员：徐强，
申请(专利权)人：杭州迪普科技股份有限公司，
类型：发明
国别省市：浙江,33