报文过滤方法及装置的制作方法
专利名称:报文过滤方法及装置的制作方法
技术领域:
本发明涉及通信领域,具体而言,涉及一种报文过滤方法及装置。
背景技术:
目前,互联网为人民的生活和工作提供了较多地方便。但是, 互联网也存在一些别有用心的网络黑客,为了达到某种目的,通过 互联网对网络设备(例如,交换机、路由器、宽带远程接入服务器
(Broadband Remote Access Server ,简称、为BRAS ))进4亍恶意i也攻 击。
在用户侧,防范网络黑客攻击的l支术包4舌MAC地址绑定扭^ 术(也可以称为IP地址绑定才支术),即,如果接收的才艮文MAC地 址(或IP地址)不在绑定的MAC地址(或IP地址)的范围内, 则表示这个接收的报文中携带有恶意地攻击,即,该报文是不安全 的,用户侧直4妄将该才艮文丟弃。
在网络侧,目前还没有较好的防范网络黑客攻击的技术。对于 带有速率限制功能的芯片,网络侧可以利用本地芯片的速率限制功 能来防范网络黑客的攻击,具体操作为网络侧预先对某一类型的 报文设置基于速率的门限值,以设置的门限值来判断接收的报文的 安全性,即,如果接收的报文的速率超过其类型的门限值,则表示 该才艮文是不安全的,网络侧直4妄丟弃该4艮文;如果4妾收的才艮文的速率未超过门限值,则表示该报文是安全的,网络侧正常处理该报文。 也就是说,速率限制技术是以速率确保报文的安全性,来保护系统 的稳定运行。但是,在实际操作在中,有些正常交互的报文需要较 高的速率,有时会超过设置的门限值,这时,该安全的报文就会由 于其速率超过门限值而被丟弃,导致了系统运行的不稳定。例如,
基于Telnet (计算机远程登录)协议的报文,由于其速率较高而很 有可能浮皮丢弃,导致了系统无法进行正常的远程管理。因此,4吏用 芯片自身的速率限制功能来防范网络黑客的攻击,也会限制安全的 报文,导致系统的相应功能无法实现,影响系统的正常业务的执行, 进而导致系统的不稳定。
另外,对于没有速率限制功能的芯片,目前网络侧还无法有效 地防范网络黑客的攻击,例如,网络侧无法有效地防范诸如Telnet 牙口 ICMP (Internet Control Message Protocol, 网际4空制消息十办i义) 类型的攻击。
综上所述,目前网络侧缺少既能够保证系统原有功能同时有效 地防范网络黑客的攻击的措施。
发明内容
针对上述对于网络黑客的攻击,在网络侧缺少能够顾及系统原 有功能的网络安全防范措施的问题而提出本发明,为此,本发明旨 在提供一种改进的才艮文过滤方案,以解决上述问题。
为了实现上述目的,根据本发明的一方面,提供了一种报文过 滤方法。
根据本发明的报文过滤方法包括确定接收的报文的速率、协 i义和源地址、以及乂人预先"i殳置的至少 一个速率门限中确定对应于协议和源地址的速率门限;#4居所确定的速率门限和净艮文的门卩艮对才艮 文进行过滤。
根据本发明的另一方面,提供了一种报文过滤装置。
根据本发明的报文过滤装置包括检测模块,用于检测接收的 报文的速率、协议和源地址;映射模块,用于根据检测模块检测的 协i义和源地址,映射预先i殳置的至少 一个速率门限中对应于协i义和 源地址的速率门限;比较才莫块,用于比较4企测模块4企测的速率和映 射模块映射的速率门限;过滤模块,用于根据比较模块的比较结果, 对才艮文进4亍过滤。
借助于上述技术方案的至少之一,通过预先在网络侧设置速率 门限,使得网络侧可以根据设置的速率门限对接收的报文进行过滤, 从而克服了在网络侧在防范网络黑客的攻击时无法兼顾系统性能的 问题,能够在不影响系统性能的前4是下有效地防范网络黑客的攻击, 提高了系统的整体性能。
此处所说明的附图用来提供对本发明的进一步理解,构成本申 请的一部分,本发明的示意性实施例及其说明用于解释本发明,并 不构成对本发明的不当限定。在附图中
图i是根据本发明方法实施例的报文过滤方法的流程的流程图3是根据本发明装置实施例的报文过滤装置的框图;图4是根据本发明装置实施例的报文过滤装置的优选框图。
具体实施例方式
功能相克述
由于目前的网络侧缺少能够兼顾系统功能并有效防范网络黑客 攻击的措施,因此,本发明4是供了一种才艮文过滤方案,该才艮文过滤 方案可以有效地防范网络侧的黑客攻击。由于网络黑客的攻击,一 般表现在通信过程中传输的报文的速率上,因此,该报文过滤方案 基于报文的速率,对才艮文的安全性进行判断,以此来有效地防范网 络黑客的攻击。具体的操作包括预先根据净艮文的协议和源地址设 置速率门限,对接收的报文根据其协议和源地址选择合适的速率门 限,如果接收的报文的速率大于为其选择的速率门限,表示该报文 是不安全的,则丢弃该报文,如果接收的报文的速率小于或等于为 其选择的速率门限,表示该报文是安全的,则对该报文进行正常的 处理,即,对该才艮文冲丸行现有冲支术中对安全才艮文的处理流程。
下面将参考附图并结合实施例,来详细说明本发明。需要说明 的是,如果不冲突,本申请中的实施例以及实施例中的特征可以相 互组合。
方法实施例
根据本发明的实施例,提供了一种报文过滤方法,用于过滤不 合格(也可以说是不安全)的报文。图1是该报文过滤方法的流程 图。如图l所示,该才艮文过滤方法包4舌步艰《102和步艰《104。
在该报文过滤方法中,需要预先根据才艮文的协议和源地址设置 速率门限。其中,该速率门限的具体凄t值的确定应当考虑到通常不 安全报文的速率,某些具有不同源地址和/或协议的不安全报文的速率可以是相同的或相近的,因此,相应的速率门限也可以是相同或
相近的。即,基于同一协议的报文,分别来自源地址1和源地址2 的才艮文的速率门限可以是相同的,也可以是不同的;基于同一源地 址报文,分别基于协议1和基于协议2的报文的速率门限可以是相 同的,也可以是不同的。
在具体实施过程中,可以才艮据才艮文的协议和源i也址来i殳置才艮文 的类别,例如,可以将基于协议1、且来自源地址1的报文设置为 类别1,将基于协议1、且来自源地址2的报文设置为类别2。这样, 上述4艮据才艮文的协议和源地址设置的速率门限就可以与i殳置的类别 ——对应了,例如,上述对于基于协i义1、且来自源地址1的报文 i殳置的速率门限为速率门限1,则类别1的速率门限为速率门限1。 在速率门限设置完成之后,即可执行下述步骤102。
步骤102,确定接收的报文的速率、协议和源地址、以及从预 先设置的至少 一个速率门限中确定对应于协议和源地址的速率门 限。即,为接收的报文选择预先设置的速率门限。
在具体的实施过程中,首先才艮据接收的才艮文的协议和源地址, 确定该净艮文是属于哪一类别,例如,该才艮文是l欠据类别1,则可以 确定该报文的速率门限即为类別1的速率门限。
步骤104,根据为该接收的报文确定的速率门限和该报文本身 的门限,对该报文进行过滤处理。即,基于为报文选择的速率门限, 判断该报文是否是安全的。如果为报文本身的速率大于为其选择的 速率门限,贝"艮文的接收方(即网络侧的网络设备)认为该才艮文是 不安全的,丢弃该报文;如果为报文本身的速率小于或等于为其选 择的速率门限,则认为该报文是安全的,则正常处理该报文。在实际操作中,可以为各类别的报文分别设置抑制期(该抑制
期可以是一个时间4殳,例如,5秒、10秒、l分4中、2分4中等)。即, 如果接收的报文是不安全的,则将该报文所属的类别置于抑制期, 在抑制期内接收的该类别的报文,都看作是不安全的,此时,无需 进行上述步骤102中的选择速率门限和步骤104中的判断过程,直 接将接收的报文丢弃即可,这样,可以节省系统的资源;在抑制期 结束之后,网络设备对之后接收的报文继续执行步骤102和步骤104 所描述的过滤处理。当然,对不同的报文类别设置的抑制期长度可 以是相同的,也可以是不同的,具体地i殳置情况本文不作讨i仑。
由以上描述可以看出,通过网络i殳备预先i殳置速率门限,并基 于设置的速率门限,对接收的报文进行安全性的判断,相比于现有 技术中的利用芯片的速率限制功能来防范黑客的攻击,本发明实施 例提供的技术方案,对于防范黑客的攻击,更加有效和灵活。
以下将以BRAS为例,来详细描述本发明的处理过程。
(一)系统预先对位于网络侧的BRAS配置策略,即,根据报 文的协议和源地址配置不同的速率门限。具体的配置过程包括为 基于不同协议和来自不同源地址的报文设置不同的类别,并分别为 各类別设置速率门限和抑制期。例如,对于基于Telnet协议的报文、 且来自源地址1的净艮文,系统将该类才艮文i殳置为类别1,并为类别1 配置速率门限1和抑制期1。
(二 )对于BRAS接收、且需要发送给CPU进行处理的报文 进行过滤,也就是说,在BRAS进行转发而不需要发送给CPU的 报文不需要进行过滤,直接进行转发即可。
(三)对需要BRAS转发给CPU的报文进行分类处理,如果 报文所属的类别处于抑制期,则直接将该报文丟弃;如果报文所属的类别不在抑制期内,则表示接收的该报文所属类别的报文是安全 的,然后,判断该报文是否安全,即,判断该报文的速率是否达到 所属类别的速率门限。如果报文的速率没有超过(没有超过即小于 或等于)所属类别的速率门限,则表示该报文是安全的,根据现有
技术中的流程将该报文发送给CPU;如果报文的速率超过(超过即 大于)所属类别的速率门限,则表示该报文是不安全的,网络侧对 不安全的才艮文进4亍处罚,即,丢弃不安全的净艮文,并对该报文所属 的类别设置抑制期,同时启动定时器,在抑制期内,此类别的报文 直接执行丟弃处理,当抑制期结束后,此类别的报文依然执行上述 步骤104中的判断过程。例如,如果接收的所属类别1的报文的速 率大于速率门限l,则表示该才艮文是不安全的,系统将该类别1置 于抑制期1,在抑制期内,如果再接收到所属类别1的才艮文,则系 统直接将其丟弃,在抑制期结束时,对接收的所属类别1的报文, 仍然4丸4于上述步骤104的判断过程。
禾呈图。如图2所示,具体包4舌以下处理过禾呈
步骤201,网络侧的网络设备接收到需要转发至CPU的报文;
步骤202,网络设备根据接收的报文协议和源地址,确定该报 文所属的类别,即,对该氺艮文进4亍入类处理;
步骤203,网络设备判断该报文所属的类别是否处于抑制期, 如果处于抑制期,则进4于到步骤204,否则进4于到步艰《205;
步-骤204,丢弃该才艮文;
步骤205,将报文本身的速率与所属类别的速率门限进行比较, 如果报文本身的速率小于或等于所属类别的速率门限,则表示该报
ii文是安全的,并进行到步骤206;否则表示该才艮文是不安全的,并 进行到步骤207;
步骤206,对接收的报文执行通常对于安全报文的处理流程, 即,正常处理该才艮文;
步骤207,丟弃该4艮文,并将该纟艮文所属的类别置于抑制期, 启动定时器进行计时;
步骤208,定时器到时(即,抑制期结束),该报文所属的类别 的抑制期结束,对于之后接收的属于该类的报文继续执行上述步骤 201。
需要说明的是,为了便于描述,在图1和图2中以步骤的形式 示出并描述了本发明的方法实施例的技术方案,在图1和图2中所 示出的步艰《可以在诸如一组计算才几可扭Jf亍指令的计算才几系统中#丸 行。虽然在图1和图2中示出了逻辑顺序,但是在某些情况下,可 以以不同于此处的顺序执行所示出或描述的步骤。
通过上述处理,能够克服现有4支术中网络侧在防范网络黑客的 攻击时无法兼顾系统性能的问题,从而实现在不影响系统性能的前 提下有效地防范网络黑客的攻击,提高系统的整体性能。
装置实施例
才艮据本发明的实施例,4是供了一种才艮文过滤装置,优选地用于 实现上述方法实施例中的方法。图3是该报文过滤装置的框图,如 图3所示,该报文过滤装置包括检测模块l、映射模块2、比较模 块3、过滤模块4。以下对各模块进行详细的说明。检测模块1,用于4全测接收的报文的速率、协议和源地址;映 射模块2,连接至检测模块l,用于根据检测模块l检测的协议和源 地址,映射预先i殳置的至少一个速率门限中对应于协i义和源地址的 速率门限;比较模块3,连接至检测模块1和映射模块2,用于比较 检测模块1检测的速率和映射模块2映射的速率门限;过滤模块4, 连接至比较模块3,用于根据比较模块3的比较结果,对报文进行 过滤。
由以上描述可以看出,通过预先为不同的报文设置不同的速率 门限,基于速率门限来判断报文的安全性,相比于现有技术中的以 芯片的速率限制功能来防范黑客的攻击,根据本实施例的装置可以 灵活有效地防范黑客的攻击。
图4是根据本发明实施例的报文过滤装置的优选框图,如图4 所示,除了上述图3中所示的才莫块,该装置可以进一步包括分类 模块5、定时器6和调控模块7,其中,分类模块5,连接至映射模 块2,用于才艮据净艮文的协i义和源地址对净艮文进4亍分类,其中,每一 类才艮文对应于预先i殳置的至少一个速率门限中的一个速率门限;定 时器6,用于对分类模块5划分的每类报文进行计时;调控模块7, 连接至比较模块3和定时器6,用于在比较模块3的比较结果为报 文本身的速率大于速率门限的情况下,启动定时器6,在定时器6 到时时,停止定时器6。
在具体地实施过程中,上述的定时器6可以是一个定时器,用 于对各类别的报文的抑制期计时,也可以是多个定时器的组合,用 于分别对各类别的报文的抑制期计时。在抑制期内的某个类别的报 文,表示该类别的所有报文都是不安全的,直到定时器到时,即, 抑制期结束,则对此类别的报文执行上述方法实施例中步骤104的 判断过程。这里的抑制期的i殳置可以参考上述方法实施例,这里不 再赘述。如图4所示,上述过滤^(t块4连接至定时器6,该过滤模块4 包括丢弃子模块40和正常处理子模块42:
丢弃子模块40,用于在定时器6对接收的才艮文所属类别的进行 计时期间,或比较模块3的比较结果为报文本身的速率大于速率门 限的情况下,丢弃接收的报文。也就是说,在定时器6计时时,表 示该类别的报文处于抑制期,直接丢弃即可;或者,该类别的报文 未处于抑制期,但是接收的报文的速率大于速率门限,则表示该报 文也是不安全的,需要丟弃该才艮文。
正常处理子模块42,用于在接收的报文所属的类的定时器6处 于停止状态,以及比较模块的比较结果为速率小于或等于速率门限 的情况下,正常处理*接收的才艮文。
具体地,上述图4中各模块之间的交互过程,可以参考上述方 法实施例中所描述的方法(即,该装置能够执行图1和图2所示的 处理过程),这里不再赘述。
综上所述,本发明通过基于报文的速率来判断该报文的安全性, 将报文本身的速率与预先根据各报文的协议和源地址设置的速率门 限进行比较,在比较结果为报文本身的速率大于速率门限的情况下, 判断该报文是不安全的,丢弃该报文,相比于现有技术,本发明实 施例可以有效且灵活地防范黑客的攻击。
显然,本领域的技术人员应该明白,上述的本发明的各模块或 各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算 装置上,或者分布在多个计算装置所组成的网络上,可选地,它们 可以用计算装置可执行的程序代码来实现,从而,可以将它们存储 在存储装置中由计算装置来执行,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模 块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
以上所述〗义为本发明的优选实施例而已,并不用于限制本发明,
对于本领域的4支术人员来i兌,本发明可以有各种更改和变化。凡在 本发明的精神和原则之内,所作的任何修改、等同替换、改进等, 均应包含在本发明的保护范围之内。
权利要求
1. 一种报文过滤方法,其特征在于,所述方法包括确定接收的报文的速率、协议和源地址、以及从预先设置的至少一个速率门限中确定对应于所述协议和所述源地址的速率门限;根据所确定的速率门限和所述报文的门限对所述报文进行过滤。
2. 根据权利要求1所述的方法,其特征在于,预先设置的所述至少 一个速率门限为对应于多个分类的才艮文i殳置的速率门限,其 中,报文的分类取决于报文的协议和源地址。
3. 根据权利要求2所述的方法,其特征在于,所述方法还包括分别预先为所述多个分类的报文设置抑制期。
4. 根据权利要求3所述的方法,其特征在于,为接收的所述报文 确定所述速率门限之前,所述方法还包4舌才艮据接收的所述报文的协议和源地址对接收的所述报文 进行入类。
5. 根据权利要求4所述的方法,其特征在于,所述才艮据确定的所 述速率门限对接收的所述报文进行过滤之前,所述方法还包 括判断接收的所述报文所属的类是否处于抑制期;如果所述类处于所述抑制期,则丢弃接收的所述报文;如 果所述类未处于所述抑制期,则根据所述类的速率门限对接收 的所述才艮文进4于过滤。
6 根据权利要求1或5所述的方法,其特征在于,所述根据选择 的所述速率门限对接收的所述才艮文进行过滤包括如果接收的所述报文的速率超过确定的所述速率门限,则 丢弃接收的所述报文,并将接收的所述报文所属的类置于抑制期。
7 一种报文过滤装置,其特征在于,所述装置包括检测模块,用于检测接收的报文的速率、协议和源地址;映射模块,用于根据所述检测模块检测的所述协议和所述 源地址,映射预先设置的至少 一个速率门限中对应于所述协议 和所述源;也址的速率门限;比较模块,用于比较所述检测模块检测的所述速率和所述 映射才莫块映射的所述速率门限;过滤模块,用于根据所述比较模块的比较结果,对所述报 文进4亍过滤。
8 根据权利要求7所述的装置,其特征在于,所述装置还包括分类模块,用于根据报文的协议和源地址对报文进行分 类,其中,每一类才艮文对应于所述预先i殳置的所述至少一个速 率门限中的一个速率门限。
9 根据权利要求8所述的装置,其特征在于,所述装置还包括 定时器,用于对所述分类模块划分的每类报文进行计时;调控模块,用于在所述比较模块的比较结果为所述报文的速率大于所述速率门限的情况下,启动所述定时器,在所述定时器到时时,停止所述定时器。
10. 根据权利要求9所述的装置,其特征在于,所述过滤模块包括丢弃子模块,用于在定时器对接收的所述报文所属的类进行计时期间、或所述比较模块的比较结果为所述报文的速率大于对应的速率门限的情况下,丢弃4矣收的所述才艮文;正常处理子^^莫块,用于在接收的所述才艮文所属的类的定时器处于停止状态、且所述比较模块的比较结果为所述报文的速率小于或等于所述速率门限的情况下,正常处理接收的所述报文。
全文摘要
本发明提供了一种报文过滤方法及装置,其中,报文过滤方法包括确定接收的报文的速率、协议和源地址、以及从预先设置的至少一个速率门限中确定对应于协议和源地址的速率门限;根据所确定的速率门限和报文的门限对报文进行过滤。通过本发明,可以克服网络侧在防范网络黑客的攻击时无法兼顾系统性能的问题,能够在不影响系统性能的前提下有效地防范网络黑客的攻击,能够提高系统的整体性能。
文档编号H04L9/00GK101483512SQ20091000627
公开日2009年7月15日 申请日期2009年2月10日 优先权日2009年2月10日
发明者张宪勤 申请人:中兴通讯股份有限公司
技术领域:
本发明涉及通信领域,具体而言,涉及一种报文过滤方法及装置。
背景技术:
目前,互联网为人民的生活和工作提供了较多地方便。但是, 互联网也存在一些别有用心的网络黑客,为了达到某种目的,通过 互联网对网络设备(例如,交换机、路由器、宽带远程接入服务器
(Broadband Remote Access Server ,简称、为BRAS ))进4亍恶意i也攻 击。
在用户侧,防范网络黑客攻击的l支术包4舌MAC地址绑定扭^ 术(也可以称为IP地址绑定才支术),即,如果接收的才艮文MAC地 址(或IP地址)不在绑定的MAC地址(或IP地址)的范围内, 则表示这个接收的报文中携带有恶意地攻击,即,该报文是不安全 的,用户侧直4妄将该才艮文丟弃。
在网络侧,目前还没有较好的防范网络黑客攻击的技术。对于 带有速率限制功能的芯片,网络侧可以利用本地芯片的速率限制功 能来防范网络黑客的攻击,具体操作为网络侧预先对某一类型的 报文设置基于速率的门限值,以设置的门限值来判断接收的报文的 安全性,即,如果接收的报文的速率超过其类型的门限值,则表示 该才艮文是不安全的,网络侧直4妄丟弃该4艮文;如果4妾收的才艮文的速率未超过门限值,则表示该报文是安全的,网络侧正常处理该报文。 也就是说,速率限制技术是以速率确保报文的安全性,来保护系统 的稳定运行。但是,在实际操作在中,有些正常交互的报文需要较 高的速率,有时会超过设置的门限值,这时,该安全的报文就会由 于其速率超过门限值而被丟弃,导致了系统运行的不稳定。例如,
基于Telnet (计算机远程登录)协议的报文,由于其速率较高而很 有可能浮皮丢弃,导致了系统无法进行正常的远程管理。因此,4吏用 芯片自身的速率限制功能来防范网络黑客的攻击,也会限制安全的 报文,导致系统的相应功能无法实现,影响系统的正常业务的执行, 进而导致系统的不稳定。
另外,对于没有速率限制功能的芯片,目前网络侧还无法有效 地防范网络黑客的攻击,例如,网络侧无法有效地防范诸如Telnet 牙口 ICMP (Internet Control Message Protocol, 网际4空制消息十办i义) 类型的攻击。
综上所述,目前网络侧缺少既能够保证系统原有功能同时有效 地防范网络黑客的攻击的措施。
发明内容
针对上述对于网络黑客的攻击,在网络侧缺少能够顾及系统原 有功能的网络安全防范措施的问题而提出本发明,为此,本发明旨 在提供一种改进的才艮文过滤方案,以解决上述问题。
为了实现上述目的,根据本发明的一方面,提供了一种报文过 滤方法。
根据本发明的报文过滤方法包括确定接收的报文的速率、协 i义和源地址、以及乂人预先"i殳置的至少 一个速率门限中确定对应于协议和源地址的速率门限;#4居所确定的速率门限和净艮文的门卩艮对才艮 文进行过滤。
根据本发明的另一方面,提供了一种报文过滤装置。
根据本发明的报文过滤装置包括检测模块,用于检测接收的 报文的速率、协议和源地址;映射模块,用于根据检测模块检测的 协i义和源地址,映射预先i殳置的至少 一个速率门限中对应于协i义和 源地址的速率门限;比较才莫块,用于比较4企测模块4企测的速率和映 射模块映射的速率门限;过滤模块,用于根据比较模块的比较结果, 对才艮文进4亍过滤。
借助于上述技术方案的至少之一,通过预先在网络侧设置速率 门限,使得网络侧可以根据设置的速率门限对接收的报文进行过滤, 从而克服了在网络侧在防范网络黑客的攻击时无法兼顾系统性能的 问题,能够在不影响系统性能的前4是下有效地防范网络黑客的攻击, 提高了系统的整体性能。
此处所说明的附图用来提供对本发明的进一步理解,构成本申 请的一部分,本发明的示意性实施例及其说明用于解释本发明,并 不构成对本发明的不当限定。在附图中
图i是根据本发明方法实施例的报文过滤方法的流程的流程图3是根据本发明装置实施例的报文过滤装置的框图;图4是根据本发明装置实施例的报文过滤装置的优选框图。
具体实施例方式
功能相克述
由于目前的网络侧缺少能够兼顾系统功能并有效防范网络黑客 攻击的措施,因此,本发明4是供了一种才艮文过滤方案,该才艮文过滤 方案可以有效地防范网络侧的黑客攻击。由于网络黑客的攻击,一 般表现在通信过程中传输的报文的速率上,因此,该报文过滤方案 基于报文的速率,对才艮文的安全性进行判断,以此来有效地防范网 络黑客的攻击。具体的操作包括预先根据净艮文的协议和源地址设 置速率门限,对接收的报文根据其协议和源地址选择合适的速率门 限,如果接收的报文的速率大于为其选择的速率门限,表示该报文 是不安全的,则丢弃该报文,如果接收的报文的速率小于或等于为 其选择的速率门限,表示该报文是安全的,则对该报文进行正常的 处理,即,对该才艮文冲丸行现有冲支术中对安全才艮文的处理流程。
下面将参考附图并结合实施例,来详细说明本发明。需要说明 的是,如果不冲突,本申请中的实施例以及实施例中的特征可以相 互组合。
方法实施例
根据本发明的实施例,提供了一种报文过滤方法,用于过滤不 合格(也可以说是不安全)的报文。图1是该报文过滤方法的流程 图。如图l所示,该才艮文过滤方法包4舌步艰《102和步艰《104。
在该报文过滤方法中,需要预先根据才艮文的协议和源地址设置 速率门限。其中,该速率门限的具体凄t值的确定应当考虑到通常不 安全报文的速率,某些具有不同源地址和/或协议的不安全报文的速率可以是相同的或相近的,因此,相应的速率门限也可以是相同或
相近的。即,基于同一协议的报文,分别来自源地址1和源地址2 的才艮文的速率门限可以是相同的,也可以是不同的;基于同一源地 址报文,分别基于协议1和基于协议2的报文的速率门限可以是相 同的,也可以是不同的。
在具体实施过程中,可以才艮据才艮文的协议和源i也址来i殳置才艮文 的类别,例如,可以将基于协议1、且来自源地址1的报文设置为 类别1,将基于协议1、且来自源地址2的报文设置为类别2。这样, 上述4艮据才艮文的协议和源地址设置的速率门限就可以与i殳置的类别 ——对应了,例如,上述对于基于协i义1、且来自源地址1的报文 i殳置的速率门限为速率门限1,则类别1的速率门限为速率门限1。 在速率门限设置完成之后,即可执行下述步骤102。
步骤102,确定接收的报文的速率、协议和源地址、以及从预 先设置的至少 一个速率门限中确定对应于协议和源地址的速率门 限。即,为接收的报文选择预先设置的速率门限。
在具体的实施过程中,首先才艮据接收的才艮文的协议和源地址, 确定该净艮文是属于哪一类别,例如,该才艮文是l欠据类别1,则可以 确定该报文的速率门限即为类別1的速率门限。
步骤104,根据为该接收的报文确定的速率门限和该报文本身 的门限,对该报文进行过滤处理。即,基于为报文选择的速率门限, 判断该报文是否是安全的。如果为报文本身的速率大于为其选择的 速率门限,贝"艮文的接收方(即网络侧的网络设备)认为该才艮文是 不安全的,丢弃该报文;如果为报文本身的速率小于或等于为其选 择的速率门限,则认为该报文是安全的,则正常处理该报文。在实际操作中,可以为各类别的报文分别设置抑制期(该抑制
期可以是一个时间4殳,例如,5秒、10秒、l分4中、2分4中等)。即, 如果接收的报文是不安全的,则将该报文所属的类别置于抑制期, 在抑制期内接收的该类别的报文,都看作是不安全的,此时,无需 进行上述步骤102中的选择速率门限和步骤104中的判断过程,直 接将接收的报文丢弃即可,这样,可以节省系统的资源;在抑制期 结束之后,网络设备对之后接收的报文继续执行步骤102和步骤104 所描述的过滤处理。当然,对不同的报文类别设置的抑制期长度可 以是相同的,也可以是不同的,具体地i殳置情况本文不作讨i仑。
由以上描述可以看出,通过网络i殳备预先i殳置速率门限,并基 于设置的速率门限,对接收的报文进行安全性的判断,相比于现有 技术中的利用芯片的速率限制功能来防范黑客的攻击,本发明实施 例提供的技术方案,对于防范黑客的攻击,更加有效和灵活。
以下将以BRAS为例,来详细描述本发明的处理过程。
(一)系统预先对位于网络侧的BRAS配置策略,即,根据报 文的协议和源地址配置不同的速率门限。具体的配置过程包括为 基于不同协议和来自不同源地址的报文设置不同的类别,并分别为 各类別设置速率门限和抑制期。例如,对于基于Telnet协议的报文、 且来自源地址1的净艮文,系统将该类才艮文i殳置为类别1,并为类别1 配置速率门限1和抑制期1。
(二 )对于BRAS接收、且需要发送给CPU进行处理的报文 进行过滤,也就是说,在BRAS进行转发而不需要发送给CPU的 报文不需要进行过滤,直接进行转发即可。
(三)对需要BRAS转发给CPU的报文进行分类处理,如果 报文所属的类别处于抑制期,则直接将该报文丟弃;如果报文所属的类别不在抑制期内,则表示接收的该报文所属类别的报文是安全 的,然后,判断该报文是否安全,即,判断该报文的速率是否达到 所属类别的速率门限。如果报文的速率没有超过(没有超过即小于 或等于)所属类别的速率门限,则表示该报文是安全的,根据现有
技术中的流程将该报文发送给CPU;如果报文的速率超过(超过即 大于)所属类别的速率门限,则表示该报文是不安全的,网络侧对 不安全的才艮文进4亍处罚,即,丢弃不安全的净艮文,并对该报文所属 的类别设置抑制期,同时启动定时器,在抑制期内,此类别的报文 直接执行丟弃处理,当抑制期结束后,此类别的报文依然执行上述 步骤104中的判断过程。例如,如果接收的所属类别1的报文的速 率大于速率门限l,则表示该才艮文是不安全的,系统将该类别1置 于抑制期1,在抑制期内,如果再接收到所属类别1的才艮文,则系 统直接将其丟弃,在抑制期结束时,对接收的所属类别1的报文, 仍然4丸4于上述步骤104的判断过程。
禾呈图。如图2所示,具体包4舌以下处理过禾呈
步骤201,网络侧的网络设备接收到需要转发至CPU的报文;
步骤202,网络设备根据接收的报文协议和源地址,确定该报 文所属的类别,即,对该氺艮文进4亍入类处理;
步骤203,网络设备判断该报文所属的类别是否处于抑制期, 如果处于抑制期,则进4于到步骤204,否则进4于到步艰《205;
步-骤204,丢弃该才艮文;
步骤205,将报文本身的速率与所属类别的速率门限进行比较, 如果报文本身的速率小于或等于所属类别的速率门限,则表示该报
ii文是安全的,并进行到步骤206;否则表示该才艮文是不安全的,并 进行到步骤207;
步骤206,对接收的报文执行通常对于安全报文的处理流程, 即,正常处理该才艮文;
步骤207,丟弃该4艮文,并将该纟艮文所属的类别置于抑制期, 启动定时器进行计时;
步骤208,定时器到时(即,抑制期结束),该报文所属的类别 的抑制期结束,对于之后接收的属于该类的报文继续执行上述步骤 201。
需要说明的是,为了便于描述,在图1和图2中以步骤的形式 示出并描述了本发明的方法实施例的技术方案,在图1和图2中所 示出的步艰《可以在诸如一组计算才几可扭Jf亍指令的计算才几系统中#丸 行。虽然在图1和图2中示出了逻辑顺序,但是在某些情况下,可 以以不同于此处的顺序执行所示出或描述的步骤。
通过上述处理,能够克服现有4支术中网络侧在防范网络黑客的 攻击时无法兼顾系统性能的问题,从而实现在不影响系统性能的前 提下有效地防范网络黑客的攻击,提高系统的整体性能。
装置实施例
才艮据本发明的实施例,4是供了一种才艮文过滤装置,优选地用于 实现上述方法实施例中的方法。图3是该报文过滤装置的框图,如 图3所示,该报文过滤装置包括检测模块l、映射模块2、比较模 块3、过滤模块4。以下对各模块进行详细的说明。检测模块1,用于4全测接收的报文的速率、协议和源地址;映 射模块2,连接至检测模块l,用于根据检测模块l检测的协议和源 地址,映射预先i殳置的至少一个速率门限中对应于协i义和源地址的 速率门限;比较模块3,连接至检测模块1和映射模块2,用于比较 检测模块1检测的速率和映射模块2映射的速率门限;过滤模块4, 连接至比较模块3,用于根据比较模块3的比较结果,对报文进行 过滤。
由以上描述可以看出,通过预先为不同的报文设置不同的速率 门限,基于速率门限来判断报文的安全性,相比于现有技术中的以 芯片的速率限制功能来防范黑客的攻击,根据本实施例的装置可以 灵活有效地防范黑客的攻击。
图4是根据本发明实施例的报文过滤装置的优选框图,如图4 所示,除了上述图3中所示的才莫块,该装置可以进一步包括分类 模块5、定时器6和调控模块7,其中,分类模块5,连接至映射模 块2,用于才艮据净艮文的协i义和源地址对净艮文进4亍分类,其中,每一 类才艮文对应于预先i殳置的至少一个速率门限中的一个速率门限;定 时器6,用于对分类模块5划分的每类报文进行计时;调控模块7, 连接至比较模块3和定时器6,用于在比较模块3的比较结果为报 文本身的速率大于速率门限的情况下,启动定时器6,在定时器6 到时时,停止定时器6。
在具体地实施过程中,上述的定时器6可以是一个定时器,用 于对各类别的报文的抑制期计时,也可以是多个定时器的组合,用 于分别对各类别的报文的抑制期计时。在抑制期内的某个类别的报 文,表示该类别的所有报文都是不安全的,直到定时器到时,即, 抑制期结束,则对此类别的报文执行上述方法实施例中步骤104的 判断过程。这里的抑制期的i殳置可以参考上述方法实施例,这里不 再赘述。如图4所示,上述过滤^(t块4连接至定时器6,该过滤模块4 包括丢弃子模块40和正常处理子模块42:
丢弃子模块40,用于在定时器6对接收的才艮文所属类别的进行 计时期间,或比较模块3的比较结果为报文本身的速率大于速率门 限的情况下,丢弃接收的报文。也就是说,在定时器6计时时,表 示该类别的报文处于抑制期,直接丢弃即可;或者,该类别的报文 未处于抑制期,但是接收的报文的速率大于速率门限,则表示该报 文也是不安全的,需要丟弃该才艮文。
正常处理子模块42,用于在接收的报文所属的类的定时器6处 于停止状态,以及比较模块的比较结果为速率小于或等于速率门限 的情况下,正常处理*接收的才艮文。
具体地,上述图4中各模块之间的交互过程,可以参考上述方 法实施例中所描述的方法(即,该装置能够执行图1和图2所示的 处理过程),这里不再赘述。
综上所述,本发明通过基于报文的速率来判断该报文的安全性, 将报文本身的速率与预先根据各报文的协议和源地址设置的速率门 限进行比较,在比较结果为报文本身的速率大于速率门限的情况下, 判断该报文是不安全的,丢弃该报文,相比于现有技术,本发明实 施例可以有效且灵活地防范黑客的攻击。
显然,本领域的技术人员应该明白,上述的本发明的各模块或 各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算 装置上,或者分布在多个计算装置所组成的网络上,可选地,它们 可以用计算装置可执行的程序代码来实现,从而,可以将它们存储 在存储装置中由计算装置来执行,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模 块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
以上所述〗义为本发明的优选实施例而已,并不用于限制本发明,
对于本领域的4支术人员来i兌,本发明可以有各种更改和变化。凡在 本发明的精神和原则之内,所作的任何修改、等同替换、改进等, 均应包含在本发明的保护范围之内。
权利要求
1. 一种报文过滤方法,其特征在于,所述方法包括确定接收的报文的速率、协议和源地址、以及从预先设置的至少一个速率门限中确定对应于所述协议和所述源地址的速率门限;根据所确定的速率门限和所述报文的门限对所述报文进行过滤。
2. 根据权利要求1所述的方法,其特征在于,预先设置的所述至少 一个速率门限为对应于多个分类的才艮文i殳置的速率门限,其 中,报文的分类取决于报文的协议和源地址。
3. 根据权利要求2所述的方法,其特征在于,所述方法还包括分别预先为所述多个分类的报文设置抑制期。
4. 根据权利要求3所述的方法,其特征在于,为接收的所述报文 确定所述速率门限之前,所述方法还包4舌才艮据接收的所述报文的协议和源地址对接收的所述报文 进行入类。
5. 根据权利要求4所述的方法,其特征在于,所述才艮据确定的所 述速率门限对接收的所述报文进行过滤之前,所述方法还包 括判断接收的所述报文所属的类是否处于抑制期;如果所述类处于所述抑制期,则丢弃接收的所述报文;如 果所述类未处于所述抑制期,则根据所述类的速率门限对接收 的所述才艮文进4于过滤。
6 根据权利要求1或5所述的方法,其特征在于,所述根据选择 的所述速率门限对接收的所述才艮文进行过滤包括如果接收的所述报文的速率超过确定的所述速率门限,则 丢弃接收的所述报文,并将接收的所述报文所属的类置于抑制期。
7 一种报文过滤装置,其特征在于,所述装置包括检测模块,用于检测接收的报文的速率、协议和源地址;映射模块,用于根据所述检测模块检测的所述协议和所述 源地址,映射预先设置的至少 一个速率门限中对应于所述协议 和所述源;也址的速率门限;比较模块,用于比较所述检测模块检测的所述速率和所述 映射才莫块映射的所述速率门限;过滤模块,用于根据所述比较模块的比较结果,对所述报 文进4亍过滤。
8 根据权利要求7所述的装置,其特征在于,所述装置还包括分类模块,用于根据报文的协议和源地址对报文进行分 类,其中,每一类才艮文对应于所述预先i殳置的所述至少一个速 率门限中的一个速率门限。
9 根据权利要求8所述的装置,其特征在于,所述装置还包括 定时器,用于对所述分类模块划分的每类报文进行计时;调控模块,用于在所述比较模块的比较结果为所述报文的速率大于所述速率门限的情况下,启动所述定时器,在所述定时器到时时,停止所述定时器。
10. 根据权利要求9所述的装置,其特征在于,所述过滤模块包括丢弃子模块,用于在定时器对接收的所述报文所属的类进行计时期间、或所述比较模块的比较结果为所述报文的速率大于对应的速率门限的情况下,丢弃4矣收的所述才艮文;正常处理子^^莫块,用于在接收的所述才艮文所属的类的定时器处于停止状态、且所述比较模块的比较结果为所述报文的速率小于或等于所述速率门限的情况下,正常处理接收的所述报文。
全文摘要
本发明提供了一种报文过滤方法及装置,其中,报文过滤方法包括确定接收的报文的速率、协议和源地址、以及从预先设置的至少一个速率门限中确定对应于协议和源地址的速率门限;根据所确定的速率门限和报文的门限对报文进行过滤。通过本发明,可以克服网络侧在防范网络黑客的攻击时无法兼顾系统性能的问题,能够在不影响系统性能的前提下有效地防范网络黑客的攻击,能够提高系统的整体性能。
文档编号H04L9/00GK101483512SQ20091000627
公开日2009年7月15日 申请日期2009年2月10日 优先权日2009年2月10日
发明者张宪勤 申请人:中兴通讯股份有限公司
最新回复(0)