【技术实现步骤摘要】
一种异常报文处理方法、装置、电子设备和存储介质
[0001]本专利技术涉及网络安全领域,尤其涉及一种异常报文处理方法
、
装置
、
电子设备和存储介质
。
技术介绍
[0002]随着互联网技术的不断发展,服务器受到的网络攻击也越来越多,如何构建有效的防火墙名单以对异常报文进行抑制,成为了设备安全领域的重要课题
。
[0003]现有技术中,针对各种网络攻击行为,例如,
DDoS(Distributed Denial of Servic
,分布式拒绝服务
)
攻击,通常是在确定当前报文为存在网络攻击行为的异常报文时,将该报文的流量特征
(
例如,五元组特征
)
加入防火墙名单中,即作为防火墙名单中记录的一种抑制规则,后续在获取到符合该流量特征的报文时,即可将该报文直接确定为异常报文并进行抑制
。
[0004]然而,这样的抑制方式,由于各种网络攻击的隐秘性较强,经常通过变换流量特征的方式进行攻击,...
【技术保护点】
【技术特征摘要】
1.
一种异常报文处理方法,其特征在于,包括:将多元特征组中的各个特征元素依次作为分类节点,以获取异常报文集对应的目标分类树;根据所述目标分类树,获取异常报文集对应的至少一个聚合抑制规则;其中,聚合抑制规则的特征元素数量少于多元特征组的特征元素数量;根据所述至少一个聚合抑制规则,通过防火墙执行异常报文的抑制处理
。2.
根据权利要求1所述的方法,其特征在于,所述将多元特征组中的各个特征元素依次作为分类节点,以获取异常报文集对应目标分类树,包括:将多元特征组中的至少一个特征元素作为固定序列元素,并将多元特征组中除所述至少一个特征元素之外的剩余特征元素作为非固定序列元素;根据所述固定序列元素和所述非固定序列元素获取多个分类树,并获取各分类树中第一聚合抑制规则分别对应的报文类型数量;其中,多元特征组的特征元素数量与第一聚合抑制规则的特征元素数量的差值为第一数量阈值;将报文类型数量最多的第一聚合抑制规则对应的分类树,作为目标分类树
。3.
根据权利要求1所述的方法,其特征在于,所述将多元特征组中的各个特征元素依次作为分类节点,以获取异常报文集对应目标分类树,包括:获取所述异常报文集中各个特征元素分别对应的元素类型数量,依次将元素类型数量最少的各个特征元素作为分类节点,以获取异常报文集对应的目标分类树
。4.
根据权利要求1所述的方法,其特征在于,所述将多元特征组中的各个特征元素依次作为分类节点,以获取异常报文集对应目标分类树,包括:获取异常报文集对应的全部分类树,并获取各分类树中第二聚合抑制规则分别对应的报文类型数量;其中,多元特征组的特征元素数量与第二聚合抑制规则的特征元素数量的差值为第二数量阈值;将报文类型数量最多的第二聚合抑制规则对应的分类树,作为目标分类树
。5.
根据权利要求1‑4任一所述的方法,其特征在于,所述根据所述目标分类树,获取异常报文集对应的至少一个聚合抑制规则,具体包括:获取至少一个初始抑制规则;其中,多元特征组的特征元素数量与初始抑制规则的特征元素数量的差值为第三数量阈值;根据当前初始抑制规则的特征元素数量,以及与当前初始抑制规则匹配的报文类型阈值,确定是否将当前初始抑制规则作为聚合抑制规则;其中,若当前初始抑制规则对应的报文类型数量,大于等于匹配的报...
【专利技术属性】
技术研发人员:宋卿,常小龙,王岗,
申请(专利权)人:曙光信息产业北京有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。