报文处理方法及装置制造方法及图纸

本申请提供一种报文处理方法及装置，能够更有效地防御报文攻击，从而降低网络的安全隐患，可应用于通信系统中。该方法包括：接收第一协议报文；确定第一协议报文的报文特征与第一攻击特征间的偏差度；过滤偏差度小于或等于第一偏差阈值的第一协议报文，或者，发送偏差度大于第一偏差阈值的第一协议报文。其中，第一攻击特征为根据多个第二协议报文中的攻击报文的报文特征确定，攻击报文为根据多个第二协议报文的聚类结果而确定，多个第二协议报文为发生报文攻击时接收到的报文。发生报文攻击时接收到的报文。发生报文攻击时接收到的报文。

【技术实现步骤摘要】
报文处理方法及装置


[0001]本申请涉及通信领域，尤其涉及一种报文处理方法及装置。

技术介绍

[0002]分布式拒绝服务攻击(distributed denial of service，DDoS)是当前影响网络安全的重要因素，其具有攻击时间长、攻击次数多等特点，能够快速耗尽被攻击设备的资源，造成网络瘫痪。
[0003]目前，DDoS(下文将“DDoS”统一描述为“报文攻击”)的防御方案主要采用分布式流量检测的方式实施的。具体地，通过在各网络节点上部署访问控制列表(access control list，ACL)，实现报文攻击的检测和防御。由于报文攻击具有复杂性，ACL表项中的二元组、三元组、四元组或五元组数量有限，很难准确地刻画报文攻击流量的特征，且受限于网络节点的性能，网络节点中无法部署大量的ACL表项，从而导致无法有效地防御报文攻击，安全隐患较高。

技术实现思路

[0004]本申请实施例提供一种报文处理方法及装置，能够更有效地防御报文攻击，从而降低网络的安全隐患。
[0005]为达到上述目的，本申请采用如下技术方案：
[0006]第一方面，提供一种报文处理方法。该报文处理方法应用于第一设备。该报文处理方法可以包括：接收第一协议报文；确定第一协议报文的报文特征与第一攻击特征间的偏差度；过滤偏差度小于或等于第一偏差阈值的第一协议报文，或者，发送偏差度大于第一偏差阈值的第一协议报文。其中，第一攻击特征为根据多个第二协议报文中的攻击报文的报文特征确定，攻击报文为根据多个第二协议报文的聚类结果而确定，多个第二协议报文为发生报文攻击时接收到的报文。
[0007]基于第一方面所述的方法，通过聚类多个第二协议报文，确定出多个第二协议报文中的攻击报文的报文特征，以便实时地得到能够更准确地刻画报文攻击流量的第一攻击特征。如此，可以确定新接收的第一协议报文的报文特征与第一攻击特征间间的偏差度，进而更准确地识别第一协议报文是否为攻击报文，以更有效地实施DDoS防御，降低网络安全隐患。
[0008]一种可能的设计方案中，第一攻击特征可以包括多种报文特征，偏差度可以为第一协议报文中的多种报文特征的取值，与第一攻击特征中的多种报文特征的取值间的偏差的加权和。其中，不同类型的报文特征可以表示报文在不同维度的特性，如此，通过确定多种报文特征偏差的加权和，可以更全面地表示第一协议报文的报文特征与第一攻击特征间的差异，故能够更准确地识别第一协议报文是否为攻击报文。
[0009]可选地，偏差度满足可以如下条件：Delta＝|x
1-X1|*W1+|x
2-X2|*W2+
……
+|x
N-X
N
|*W
N
。其中，Delta可以为偏差度，x
i
可以为第一协议报文中的第i种报文特征的取值，X
i
可以为
第一攻击特征中的第i种报文特征的取值，W
i
可以为第i种报文特征的权重，i可以为正整数且i≤N。由于每种报文特征的偏差都有各自对应的权重，如此，可确保每种报文特征的偏差对偏差度产生合理的影响，以确保偏差度能够准确地表示第一协议报文的报文特征与第一攻击特征间的差异。
[0010]进一步地，W
i
可以为第i个偏差的位移位数。如此，第一设备通过位移运算便实现了计算每种报文特征的偏差与各自对应的权重的乘积，避免了乘法运算，可以有效降低计算量，进一步提升计算效率，且可适用于计算能力受限的设备。
[0011]进一步地，X
i
可以为攻击报文中的第i种报文特征的取值的如下一种或多种：平均值、方差、标准差、最大值或最小值。如此，第一攻击特征中每种报文特征的取值可以准确地表示出该报文特征的特性。
[0012]可选地，多种报文特征可以包括如下一种或多种：协议版本号、报文长度、生存时间TTL、源地址、目的地址、源端口、或目的端口。如此，可根据实际情况灵活地选择报文特征的种类，以确保第一协议报文符合实际情况。
[0013]进一步地，第一攻击特征还可以包括达到时间间隔的如下一种或多种：均值、方差或标准差，达到时间间隔可以为攻击报文中相邻的每两个攻击报文的达到时间间隔。如此，第一攻击特征能够更全面地刻画报文攻击流量的特性。
[0014]一种可能的设计方案中，第一偏差阈值可以为攻击报文的报文特征与第一攻击特征的最大偏差度，换言之，第一偏差阈值可以是攻击报文的报文特征与第一攻击特征的最大差异。如此，可以避免漏检攻击报文，提升了可靠性。
[0015]一种可能的设计方案中，攻击报文中每种报文特征的取值的离散度可以小于或等于离散度阈值。如此，每种报文特征均为能够表征报文攻击的特征，以确保第一攻击特征能够准确地刻画报文攻击流量。
[0016]一种可能的设计方案中，第一方面所述的方法还可以包括：向第二设备发送第一攻击特征和第一偏差阈值。如此，第二设备基于第一攻击特征和第一偏差阈值也可以进行报文攻击流量的过滤，分担了第一设备的负荷，使得单个设备的性能不再成为瓶颈，提高了报文攻击流量的过滤效率。
[0017]一种可能的设计方案中，第一方面所述的方法还可以包括：若偏差度小于或等于第一偏差阈值，根据第一攻击特征和第一协议报文的报文特征，确定第二攻击特征；将第一协议报文的报文特征或攻击报文的报文特征，与第二攻击特征的最大偏差度，确定为第二偏差阈值。如此，通过根据协议报文的报文特征更新攻击特征，使得攻击特征能够随着报文攻击变化而随之变化，以确保在报文攻击的整个过程中都可以准确地过滤报文攻击流量。
[0018]第二方面，提供一种报文处理装置，包括：收发模块和处理模块。其中，收发模块，用于接收第一协议报文。处理模块，用于确定第一协议报文的报文特征与第一攻击特征间的偏差度。处理模块，还于过滤偏差度小于或等于第一偏差阈值的第一协议报文。或者，收发模块，还用于发送偏差度大于第一偏差阈值的第一协议报文。其中，第一攻击特征为根据多个第二协议报文中的攻击报文的报文特征确定，攻击报文为根据多个第二协议报文的聚类结果而确定，多个第二协议报文为发生报文攻击时接收到的报文。
[0019]一种可能的设计方案中，第一攻击特征可以包括多种报文特征，偏差度为第一协议报文中的多种报文特征的取值，与第一攻击特征中的多种报文特征的取值间的偏差的加
权和。由于不同类型的报文特征可以表示报文在不同维度的特性。
[0020]可选地，偏差度可以满足如下条件：Delta＝|x
1-X1|*W1+|x
2-X2|*W2+
……
+|x
N-X
N
|*W
N
。其中，Delta可以为偏差度，x
i
可以为第一协议报文中的第i种报文特征的取值，X
i
可以为第一攻击特征中的第i种报文特征的取值，W
i
可以为第i种报文特征的权重，i可以为正整数且i本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种报文处理方法，其特征在于，应用于第一设备，包括：接收第一协议报文；确定所述第一协议报文的报文特征与第一攻击特征之间的偏差度，所述第一攻击特征为根据多个第二协议报文中的攻击报文的报文特征确定，所述攻击报文为根据所述多个第二协议报文的聚类结果而确定，所述多个第二协议报文为发生报文攻击时接收到的报文；过滤所述偏差度小于或等于第一偏差阈值的所述第一协议报文，或者，发送所述偏差度大于所述第一偏差阈值的所述第一协议报文。2.根据权利要求1所述的报文处理方法，其特征在于，所述第一攻击特征包括多种报文特征，所述偏差度为所述第一协议报文中的所述多种报文特征的取值，与所述第一攻击特征中的所述多种报文特征的取值间的偏差的加权和。3.根据权利要求2所述的报文处理方法，其特征在于，所述偏差度满足如下条件：Delta＝|x
1-X1|*W1+|x
2-X2|*W2+
……
+|x
N-X
N
|*W
N
；其中，Delta为所述偏差度，x
i
为所述第一协议报文中的第i种报文特征的取值，X
i
为所述第一攻击特征中的第i种报文特征的取值，W
i
为第i种报文特征的权重，i为正整数且i≤N。4.根据权利要求3所述的报文处理方法，其特征在于，W
i
为第i个偏差的位移位数。5.根据权利要求3所述的报文处理方法，其特征在于，X
i
为所述攻击报文中的第i种报文特征的取值的如下一种或多种：平均值、方差、标准差、最大值或最小值。6.根据权利要求1-5中任一项所述的报文处理方法，其特征在于，所述第一偏差阈值为所述攻击报文的报文特征与所述第一攻击特征的最大偏差度。7.根据权利要求1-6中任一项所述的报文处理方法，其特征在于，所述攻击报文中每种报文特征的取值的离散度小于或等于离散度阈值。8.根据权利要求2-5中任一项所述的报文处理方法，其特征在于，所述多种报文特征包括如下一种或多种：协议版本号、报文长度、生存时间TTL、源地址、目的地址、源端口、或目的端口。9.根据权利要求8所述的报文处理方法，其特征在于，所述第一攻击特征还包括达到时间间隔的如下一种或多种：均值、方差或标准差，所述达到时间间隔为所述攻击报文中相邻的每两个攻击报文的达到时间间隔。10.根据权利要求1-9中任一项所述的报文处理方法，其特征在于，所述方法还包括：向第二设备发送所述第一攻击特征和所述第一偏差阈值。11.根据权利要求1-10中任一项所述的报文处理方法，其特征在于，所述方法还包括：若所述偏差度小于或等于第一偏差阈值，根据所述第一攻击特征和所述第一协议报文的报文特征，确定第二攻击特征；将所述第一协议报文的报文特征或所述攻击报文的报文特征，与所述第二攻击特征的最大偏差度，确定为第二偏差阈值。12.一种报文处理装置，其特征在于，包括：收发模块和处理模块；其中，所述收发模块，用于接收第一协议报文；所述处理模块，用于确定所述第一协议报文的报文特征与第一攻击特征之间的偏差度，所述第一攻击特征为根据多个第二协议报文中的攻击报文的报文特征确定，所述攻击
报文为根据所述多个第二协议报文的聚类结果而确定，所述多个第二协议报文为发生报文攻击时接收到的报文；所述处理模块，还用于过滤所述偏差度小于或等于第一偏差阈值的所述第一协议报文，或者，所述收发模块，还用于发送所述偏差度大于所述第一偏差阈值的所述第一协议报文。13.根据权利要求12所述的报文处理装置，其特征在于，所述第一攻击特征包括多种报文特征，所述偏差度为所...

【专利技术属性】
技术研发人员：吴波，肖诗汉，徐晟，毛海燕，李丰林，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：