【技术实现步骤摘要】
一种报文处理方法及装置
[0001]本申请涉及网络安全
,尤其涉及一种报文处理方法及装置。
技术介绍
[0002]随着近年来网络的发展,网络流量越来越大,对于网络流量的监控性能压力越来越大。特别是网络运营商中的流量监控已达到T级,甚至数十T级,对流量监控造成了很多压力。
[0003]例如,Netflow类型的网络流量发送时采用相同的源/目的端口,这给检测设备的负载分摊增大了难度。具体来说,路由器发送Netflow报文至分流设备,分流设备通过预配置的分流方式将报文转发至多台检测设备,这样一来,当有多个检测IP地址段时,每个检测设备都需要处理全部的地址,例如每个检测设备通过设置多个对象,每个对象为一个地址段的集合,以此划分地址段来配置每个检测设备的检测策略。然而由于大量的地址都要进行攻击阈值判断,从而导致检测设备的处理性能压力较大。
[0004]因此,如何提高检测设备的处理性能是值得考虑的技术问题之一。
技术实现思路
[0005]有鉴于此,本申请提供一种报文处理方法及装置,用以提高检测设备的...
【技术保护点】
【技术特征摘要】
1.一种报文处理方法,其特征在于,应用于检测设备,所述方法包括:接收第一网络报文;若所述第一网络报文为数据报文,则从所述第一网络报文中解析出第一检测信息,所述第一检测信息包括第一目的IP地址;判断所述第一目的IP地址是否在所述检测设备存储的设备IP列表中,所述设备IP列表包括设备IP地址与IP地址段之间的对应关系;若所述第一目的IP地址在所述检测设备的设备IP地址对应的IP地址段内,则根据所述第一检测信息对所述第一网络报文进行攻击检测;若所述第一目的IP地址在除所述检测设备之外的其他检测设备的设备IP地址对应的IP地址段内,则将所述第一检测信息封装成第一日志报文;并将所述第一日志报文发送给所述其他检测设备。2.根据权利要求1所述的方法,其特征在于,还包括:当所述第一网络报文为模板报文时,则将所述模板报文按照所述检测设备所连接的其他检测设备的数量进行复制;并将所述模板报文的复制报文分别发送给所述其他检测设备。3.根据权利要求1所述的方法,其特征在于,还包括:接收其他网络设备发送的第二日志报文;从所述第二日志报文解析出所述其他网络设备从其接收到的第二网络报文中解析出的第二检测信息;若所述第二检测信息中的第二目的IP地址在所述检测设备的设备IP地址对应的IP地址段内,则根据所述第二检测信息对所述第二网络报文进行攻击检测;若所述第二检测信息中的第二目的IP地址不在所述检测设备的设备IP地址对应的IP地址段内,则丢弃所述第二网络报文。4.根据权利要求3所述的方法,其特征在于,所述第一日志报文和所述第二日志报文的目的端口为设定端口。5.根据权利要求1所述的方法,其特征在于,还包括:若所述第一目的IP地址未存储在所述检测设备存储的设备IP列表中,则丢弃所述第一网络报文。6.一种报文处理装置,其特征在于,设置于检测设备中,所述装置,包括:接收模块,用于接收第一网络报文;解析模块,用于若所述第一网络报文为数据报文,则从所述第一网...
【专利技术属性】
技术研发人员:佟立超,
申请(专利权)人:新华三信息安全技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。