防止网络攻击的方法及装置制造方法及图纸

本发明专利技术公开了一种防止网络攻击的方法及装置，方法包括：接收数据包；根据预设算法解析出所述数据包中的一个或多个特征数据；根据所述特征数据对所述数据包启动合法性认证；认证不通过时，丢弃所述数据包。本发明专利技术中作为接收方的计算设备，接收设备通过对启动上述实施例中一系列认证，确保进入计算设备的数据包都是基于专用数据包改造而成的，可有效的防止伪造IP攻击、DOS洪水攻击等等。

Methods and Devices for Preventing Network Attacks

The invention discloses a method and device for preventing network attack, which includes receiving data packets, parsing one or more characteristic data of the data packets according to preset algorithm, initiating validity authentication of the data packets according to the characteristic data, and discarding the data packets when the authentication fails. In the present invention, the receiving device, as the computing device of the receiver, ensures that the data packets entering the computing device are reconstructed based on the special data packets by initiating a series of authentication in the above-mentioned embodiments, and can effectively prevent forged IP attacks, DOS flood attacks and so on.

【技术实现步骤摘要】
防止网络攻击的方法及装置
本专利技术属于信息安全领域，尤其涉及一种防止网络攻击的方法及装置。
技术介绍
数据已经被证明是企业重要资产之一，数据的高速增长使企业面临前所未有的挑战。数据安全主要是指数据在终端/服务器内的存储安全和使用安全，以及设备间的数据交互安全；针对数据交互安全而言，目前主流的技术是通过密码算法的加密/解密处理。加密/解密处理的安全性主要依赖于其算法的复杂度和密钥是否有妥善保管，随着32位、64位、128位加密算法的出现，破译密码的难度虽然得到了大大的提升，但破解的关键因素仍然是时间及成本的问题，而这些问题是由攻击者所掌控的，加密/解密算法的使用者无法断定其交互数据没有被攻击者所截获，因此现有技术中缺乏一种有效的保护交互数据安全性的策略。
技术实现思路
有鉴于此，本专利技术的一个目的是一种防止网络攻击的方法及装置，以解决现有技术中的交互数据、交互设备的安全性的问题。在一些说明性实施例中，所述防止网络攻击的方法，包括：接收数据包；根据预设算法解析出所述数据包中的一个或多个特征数据；根据所述特征数据对所述数据包启动合法性认证；认证不通过时，丢弃所述数据包。在一些优选地实施例中，所述根据预设算法解析出所述数据包中的一个或多个特征数据，包括：提取所述数据包的IP头中的协议号；所述根据所述特征数据对所述数据包启动合法性认证，包括：判断所述协议号是否为预先设置的非标协议号；若否，则指示所述数据包的合法性认证不通过。在一些优选地实施例中，所述根据预设算法解析出所述数据包中的一个或多个特征数据，包括：解析出所述数据包的数据段中第一指定字段中的数据；所述根据所述特征数据对所述数据包启动合法性认证，包括：判断所述第一指定字段中的数据是否与预先配置的序号值一致；若否，则指示所述数据包的合法性认证不通过。在一些优选地实施例中，所述根据预设算法解析出所述数据包中的一个或多个特征数据，还包括：解析出所述数据包的数据段中第二指定字段中的数据；所述根据所述特征数据对所述数据包启动合法性认证，包括：计算所述数据包的IP头、以及所述数据段中的第一指定字段的哈希值；判断计算后获得的所述哈希值是否与所述第二指定字段中的数据一致；若否，则指示所述数据包的合法性认证不通过。在一些优选地实施例中，所述根据预设算法解析出所述数据包中的一个或多个特征数据的过程中，包括：对所述数据包进行解密处理。本专利技术另一个目的在于提出一种防止网络攻击的装置，以解决现有技术中存在的问题。在一些说明性实施例中，所述防止网络攻击的装置，包括：接收模块，用于接收数据包；解析模块，用于根据预设算法解析出所述数据包中的一个或多个特征数据；审核模块，用于根据所述特征数据对所述数据包启动合法性认证；清除模块，用于认证不通过时，丢弃所述数据包。在一些优选地实施例中，所述解析模块中包括：第一解析子模块，用于提取所述数据包的IP头中的协议号；所述审核模块中包括：第一审核子模块，用于判断所述协议号是否为预先设置的非标协议号；若否，则指示所述数据包的合法性认证不通过。在一些优选地实施例中，所述解析模块中包括：第二解析子模块，用于解析出所述数据包的数据段中第一指定字段中的数据；所述审核模块中包括：第二审核子模块，用于判断所述第一指定字段中的数据是否与预先配置的序号值一致；若否，则指示所述数据包的合法性认证不通过。在一些优选地实施例中，所述解析模块中包括：第三解析子模块，用于解析出所述数据包的数据段中第二指定字段中的数据；所述审核模块中包括：第三审核子模块，用于计算所述数据包的IP头、以及所述数据段中的第一指定字段的哈希值；判断计算后获得的所述哈希值是否与所述第二指定字段中的数据一致；若否，则指示所述数据包的合法性认证不通过。在一些优选地实施例中，所述解析模块中还包括：解密模块，用于对所述数据包进行解密处理。与现有技术相比，本专利技术具有以下优点：本专利技术中作为接收方的计算设备，接收设备通过对启动上述实施例中一系列认证，确保进入计算设备的数据包都是基于专用数据包改造而成的，可有效的防止伪造IP攻击、DOS洪水攻击等等。附图说明此处所说明的附图用来提供对本专利技术的进一步理解，构成本申请的一部分，本专利技术的示意性实施例及其说明用于解释本专利技术，并不构成对本专利技术的不当限定。在附图中：图1是本专利技术中通信上行数据重构方法的流程图；图2是本专利技术中通信上行数据重构方法的第一示例的流程图；图3是本专利技术中通信上行数据重构方法的第二示例的流程图；图4是本专利技术中通信上行数据重构方法的第三示例的流程图；图5是本专利技术中通信上行数据重构组件的结构框图；图6是本专利技术中通信下行数据重构方法的流程图；图7是本专利技术中通信下行数据重构方法的第一示例的流程图；图8是本专利技术中通信下行数据重构方法的第二示例的流程图；图9是本专利技术中通信下行数据重构方法的第三示例的流程图；图10是本专利技术中通信下行数据重构组件的结构框图；图11是本专利技术中防止网络攻击的方法的流程图；图12是本专利技术中防止网络攻击的装置的结构框图；图13是本专利技术中安全通信方法的流程图。具体实施方式以下描述和附图充分地示出本专利技术的具体实施方案，以使本领域的技术人员能够实践它们。其他实施方案可以包括结构的、逻辑的、电气的、过程的以及其他的改变。实施例仅代表可能的变化。除非明确要求，否则单独的部件和功能是可选地，并且操作的顺序可以变化。一些实施方案的部分和特征可以被包括在或替换其他实施方案的部分和特征。本专利技术的实施方案的范围包括权利要求书的整个范围，以及权利要求书的所有可获得的等同物。在本文中，本专利技术的这些实施方案可以被单独地或总地用术语“专利技术”来表示，这仅仅是为了方便，并且如果事实上公开了超过一个的专利技术，不是要自动地限制该应用的范围为任何单个专利技术或专利技术构思。而且在以下详细描述中，会提出大量特定细节，以便于提供对本专利技术的透彻理解。然而，本领域的技术人员会理解，即使没有这些特定细节也可实施本专利技术。此外，为了避免不必要地模糊本专利技术的主要思想，没有详细描述众所周知的方法、过程、组件、结构、电路和其它特征。术语“通信上行数据”、“通信下行数据”是针对独立的网络设备(如终端PC机、服务器等具有数据收发、数据存储、数据使用等功能的支持通信的非中间设备)而言的，“通信上行数据”是指设备发送出的数据，“通信下行数据”是指设备接收到的数据。术语“专用网络”是针对交互数据的网络设备而言的，例如终端PC机与服务器之间通过本专利技术实施例中所示出的方法进行交互，则终端PC机与服务器之间而言就构成了两个设备的专用网络。如权利要求书中所使用的，除非以其它方式指明，用于描述元件/结构/信号/数据的顺序形容词“第一”、“第二”、“第三”等等的使用仅用于指示元件/结构/信号/数据的具体实例或者相同元件/结构/信号/数据的不同实例，并且不旨在暗示这些如此描述的元件/结构/信号/数据必须按特定的顺序(或者按时间、按空间排序或者以任何其他方式)为了便于本领域技术人员可以更快的理解本专利技术，在此对本专利技术的主要思想进行简单阐述。常规的通信方式中处于网络中的设备(如终端)会不断的监听网络中的数据流，并截获数据流，从数据流中解析出该数据流的目标IP地址，如果该目标IP地址就是本设备自身的IP地址，则将该数据流送入自身的下一级处理进而获本文档来自技高网...

【技术保护点】
1.一种防止网络攻击的方法，其特征在于，包括：接收数据包；根据预设算法解析出所述数据包中的一个或多个特征数据；根据所述特征数据对所述数据包启动合法性认证；认证不通过时，丢弃所述数据包。

【技术特征摘要】
1.一种防止网络攻击的方法，其特征在于，包括：接收数据包；根据预设算法解析出所述数据包中的一个或多个特征数据；根据所述特征数据对所述数据包启动合法性认证；认证不通过时，丢弃所述数据包。2.根据权利要求1所述的防止网络攻击的方法，其特征在于，所述根据预设算法解析出所述数据包中的一个或多个特征数据，包括：提取所述数据包的IP头中的协议号；所述根据所述特征数据对所述数据包启动合法性认证，包括：判断所述协议号是否为预先设置的非标协议号；若否，则指示所述数据包的合法性认证不通过。3.根据权利要求1所述的防止网络攻击的方法，其特征在于，所述根据预设算法解析出所述数据包中的一个或多个特征数据，包括：解析出所述数据包的数据段中第一指定字段中的数据；所述根据所述特征数据对所述数据包启动合法性认证，包括：判断所述第一指定字段中的数据是否与预先配置的序号值一致；若否，则指示所述数据包的合法性认证不通过。4.根据权利要求3所述的防止网络攻击的方法，其特征在于，所述根据预设算法解析出所述数据包中的一个或多个特征数据，还包括：解析出所述数据包的数据段中第二指定字段中的数据；所述根据所述特征数据对所述数据包启动合法性认证，包括：计算所述数据包的IP头、以及所述数据段中的第一指定字段的哈希值；判断计算后获得的所述哈希值是否与所述第二指定字段中的数据一致；若否，则指示所述数据包的合法性认证不通过。5.根据权利要求1-4任一项所述的防止网络攻击的方法，其特征在于，所述根据预设算法解析出所述数据包中的一个或多个特征数...

【专利技术属性】
技术研发人员：汪家祥，张春龙，陈宁，
申请(专利权)人：中天安泰北京信息技术有限公司，
类型：发明
国别省市：北京,11