本發(fā)明涉及網(wǎng)絡(luò)通信技術(shù)領(lǐng)域，尤其涉及一種報文的處理方法及裝置。

背景技術(shù)：

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，黑客利用帶有攻擊行為的報文對服務(wù)器進(jìn)行攻擊，通常防護(hù)設(shè)備會對流經(jīng)自身的報文進(jìn)行過濾，從而確保服務(wù)器免遭攻擊。

現(xiàn)有技術(shù)中，防護(hù)設(shè)備獲取報文中攜帶的源IP地址，對具有攻擊行為的源IP地址進(jìn)行過濾，若除源IP地址以外的五元組信息不同時，管理設(shè)備無法獲取報文中攜帶的其他五元組信息，進(jìn)而無法對報文中攜帶的五元組信息進(jìn)行分析。

技術(shù)實(shí)現(xiàn)要素：

有鑒于此，本發(fā)明提供一種報文的處理方法及裝置，以解決無法對報文中攜帶的五元組信息進(jìn)行分析的問題。

為實(shí)現(xiàn)上述目的，本發(fā)明提供技術(shù)方案如下：

根據(jù)本發(fā)明的第一方面，提出了一種報文的處理方法，所述方法包括：

當(dāng)接收到報文時，解析所述報文得到五元組信息；

將所述五元組信息與預(yù)設(shè)執(zhí)行列表中記錄的每一個五元組信息進(jìn)行匹配，所述預(yù)設(shè)執(zhí)行列表用于記錄五元組信息及防護(hù)標(biāo)識信息；

當(dāng)所述五元組信息與所述預(yù)設(shè)執(zhí)行列表中記錄的其中一個五元組信息匹配成功時，查找所述其中一個五元組信息在所述預(yù)設(shè)執(zhí)行列表中是否存在對應(yīng)的防護(hù)標(biāo)識信息，所述防護(hù)標(biāo)識信息用于標(biāo)記相應(yīng)的預(yù)設(shè)防護(hù)動作；

當(dāng)所述其中一個五元組信息在所述預(yù)設(shè)執(zhí)行列表中存在對應(yīng)的防護(hù)標(biāo)識信息時，基于所述防護(hù)標(biāo)識信息對所述報文執(zhí)行所述預(yù)設(shè)防護(hù)動作。

根據(jù)本發(fā)明的第二方面，提出了一種報文的處理裝置，包括：

報文解析模塊，用于當(dāng)接收到報文時，解析所述報文得到五元組信息；

第一匹配模塊，用于將所述報文解析模塊解析得到的所述五元組信息與預(yù)設(shè)執(zhí)行列表中記錄的每一個五元組信息進(jìn)行匹配，所述預(yù)設(shè)執(zhí)行列表用于記錄五元組信息及防護(hù)標(biāo)識信息；

標(biāo)識查找模塊，用于當(dāng)所述第一匹配模塊中所述五元組信息與所述預(yù)設(shè)執(zhí)行列表中記錄的其中一個五元組信息匹配成功時，查找所述其中一個五元組信息在所述預(yù)設(shè)執(zhí)行列表中是否存在對應(yīng)的防護(hù)標(biāo)識信息，所述防護(hù)標(biāo)識信息用于標(biāo)記相應(yīng)的預(yù)設(shè)防護(hù)動作；

執(zhí)行防護(hù)模塊，用于當(dāng)所述標(biāo)識查找模塊中所述其中一個五元組信息在所述預(yù)設(shè)執(zhí)行列表中存在對應(yīng)的防護(hù)標(biāo)識信息時，基于所述防護(hù)標(biāo)識信息對所述報文執(zhí)行所述預(yù)設(shè)防護(hù)動作。

由以上技術(shù)方案可見，防護(hù)設(shè)備接收到報文時，解析報文得到五元組信息，防護(hù)設(shè)備將五元組信息與預(yù)設(shè)執(zhí)行列表中記錄的每一個五元組信息進(jìn)行匹配，當(dāng)五元組信息與預(yù)設(shè)執(zhí)行列表中記錄的其中一個五元組信息匹配成功時，防護(hù)設(shè)備查找其中一個五元組信息在預(yù)設(shè)執(zhí)行列表中是否存在對應(yīng)的防護(hù)標(biāo)識信息，當(dāng)其中一個五元組信息在預(yù)設(shè)執(zhí)行列表中存在對應(yīng)的防護(hù)標(biāo)識信息時，防護(hù)設(shè)備基于防護(hù)標(biāo)識信息對報文執(zhí)行預(yù)設(shè)防護(hù)動作，存在攻擊行為的報文對應(yīng)的五元組信息被記錄在預(yù)設(shè)執(zhí)行列表中，管理設(shè)備可以獲取預(yù)設(shè)執(zhí)行列表，并基于預(yù)設(shè)執(zhí)行列表中記錄的五元組信息進(jìn)行數(shù)據(jù)分析，解決了無法對報文中攜帶的五元組信息進(jìn)行分析的問題。

附圖說明

圖1是本發(fā)明提供的報文的處理方法中的防護(hù)設(shè)備的結(jié)構(gòu)示意圖；

圖2是本發(fā)明提供的一個報文的處理方法的實(shí)施例流程圖；

圖3是本發(fā)明提供的另一個報文的處理方法的實(shí)施例流程圖；

圖4是本發(fā)明提供的一種網(wǎng)絡(luò)防護(hù)設(shè)備的硬件結(jié)構(gòu)圖；

圖5是本發(fā)明提供的一個報文的處理的裝置的實(shí)施例框圖；

圖6是本發(fā)明提供的另一個報文的處理的裝置的實(shí)施例框圖。

具體實(shí)施方式

這里將詳細(xì)地對示例性實(shí)施例進(jìn)行說明，其示例表示在附圖中。下面的描述涉及附圖時，除非另有表示，不同附圖中的相同數(shù)字表示相同或相似的要素。以下示例性實(shí)施例中所描述的實(shí)施方式并不代表與本發(fā)明相一致的所有實(shí)施方式。相反，它們僅是與如所附權(quán)利要求書中所詳述的、本發(fā)明的一些方面相一致的裝置和方法的例子。

在本發(fā)明使用的術(shù)語是僅僅出于描述特定實(shí)施例的目的，而非旨在限制本發(fā)明。在本發(fā)明和所附權(quán)利要求書中所使用的單數(shù)形式的“一種”、“所述”和“該”也旨在包括多數(shù)形式，除非上下文清楚地表示其他含義。還應(yīng)當(dāng)理解，本文中使用的術(shù)語“和/或”是指并包含一個或多個相關(guān)聯(lián)的列出項(xiàng)目的任何或所有可能組合。

應(yīng)當(dāng)理解，盡管在本發(fā)明可能采用術(shù)語第一、第二、第三等來描述各種信息，但這些信息不應(yīng)限于這些術(shù)語。這些術(shù)語僅用來將同一類型的信息彼此區(qū)分開。例如，在不脫離本發(fā)明范圍的情況下，第一信息也可以被稱為第二信息，類似地，第二信息也可以被稱為第一信息。取決于語境，如在此所使用的詞語“如果”可以被解釋成為“在……時”或“當(dāng)……時”或“響應(yīng)于確定”。

本發(fā)明可以應(yīng)用在防護(hù)設(shè)備上，通常，當(dāng)防護(hù)設(shè)備接收到報文時，防護(hù)設(shè)備解析報文，得到五元組信息，五元組信息包括：源端口信息、目的端口信息、源IP地址、目的IP地址、傳輸協(xié)議信息。防護(hù)設(shè)備將五元組信息與預(yù)設(shè)執(zhí)行列表中記錄的每一個五元組信息進(jìn)行匹配，預(yù)設(shè)執(zhí)行列表中記錄了至少一個五元組信息，當(dāng)五元組信息與預(yù)設(shè)執(zhí)行列表中記錄的其中一個五元組信息匹配成功時，防護(hù)設(shè)備查找該其中一個五元組信息在預(yù)設(shè)執(zhí)行列表中是否存在對應(yīng)的防護(hù)標(biāo)識信息，防護(hù)標(biāo)識信息用于標(biāo)記相應(yīng)的預(yù)設(shè)防護(hù)動作，預(yù)設(shè)防護(hù)動作包括阻斷、發(fā)送告警信息等，當(dāng)其中一個五元組信息在預(yù)設(shè)執(zhí)行列表中存在對應(yīng)的防護(hù)標(biāo)識信息時，防護(hù)設(shè)備基于防護(hù)標(biāo)識信息對報文執(zhí)行預(yù)設(shè)防護(hù)動作。其中，防護(hù)標(biāo)識信息為管理人員預(yù)設(shè)的標(biāo)識信息，防護(hù)標(biāo)識信息用以標(biāo)記對報文執(zhí)行何種預(yù)設(shè)防護(hù)動作，以預(yù)設(shè)執(zhí)行列表中一個五元組信息對應(yīng)標(biāo)記兩個防護(hù)標(biāo)識信息為例，其中一個防護(hù)標(biāo)識信息置“1”，用以標(biāo)記對報文執(zhí)行阻斷處理，另一個防護(hù)標(biāo)識信息置“1”，用以標(biāo)記向管理設(shè)備發(fā)送告警信息，本領(lǐng)域技術(shù)人員可以理解的，防護(hù)標(biāo)識信息的表現(xiàn)形式也可以為：例如當(dāng)以“1”標(biāo)記一個五元組信息時，表示該五元組信息對應(yīng)的報文需要被阻斷，當(dāng)以“2”標(biāo)記一個五元組信息時，表示針對該五元組信息對應(yīng)的報文需要向管理設(shè)備發(fā)送告警信息，當(dāng)以“3”標(biāo)記一個五元組信息時，表示針對該五元組信息對應(yīng)的報文需要被阻斷且需要向管理設(shè)備發(fā)送告警信息，此處對防護(hù)標(biāo)識信息的數(shù)量及具體表現(xiàn)形式不做限定。通過本發(fā)明實(shí)施例，防護(hù)設(shè)備將報文與預(yù)設(shè)執(zhí)行列表中記錄的每一個五元組信息進(jìn)行匹配，并根據(jù)預(yù)設(shè)執(zhí)行列表中的防護(hù)標(biāo)識信息對報文進(jìn)行防護(hù)，使得報文及五元組信息通過預(yù)設(shè)執(zhí)行列表得到展示，進(jìn)而解決了無法對報文中攜帶的五元組信息進(jìn)行分析的問題。

圖1是本發(fā)明提供的報文的處理方法中的防護(hù)設(shè)備的結(jié)構(gòu)示意圖，如圖1所示，防護(hù)設(shè)備10內(nèi)部包括：處理模塊11、執(zhí)行模塊12，其中，處理模塊11可以為CPU，執(zhí)行模塊12可以為具有快速轉(zhuǎn)發(fā)功能的芯片，以下簡稱快轉(zhuǎn)芯片。處理模塊11用于將五元組信息中的源IP地址與預(yù)設(shè)處理列表中記錄的每一個IP地址進(jìn)行匹配，預(yù)設(shè)處理列表中記錄的每一個IP地址為管理人員預(yù)設(shè)的不包含攻擊行為的IP地址信息，可以理解為白名單，若一個源IP地址在預(yù)設(shè)處理列表中未匹配到相同的IP地址，處理模塊11將該一個源IP地址對應(yīng)的五元組信息標(biāo)記防護(hù)標(biāo)識信息，表示該一個源IP地址可能包含攻擊行為，處理模塊11將攜帶有防護(hù)標(biāo)識信息的五元組信息，以及未攜帶有防護(hù)標(biāo)識信息的五元組信息均發(fā)送到執(zhí)行模塊12，執(zhí)行模塊12將攜帶有防護(hù)標(biāo)識信息的五元組信息，以及未攜帶有防護(hù)標(biāo)識信息的五元組信息記錄在預(yù)設(shè)執(zhí)行列表中，預(yù)設(shè)執(zhí)行列表中也可以由管理人員預(yù)設(shè)五元組信息及防護(hù)標(biāo)識信息，此處不做限定。當(dāng)執(zhí)行模塊12接收到報文時，執(zhí)行模塊12解析報文，得到五元組信息，執(zhí)行模塊12將五元組信息與預(yù)設(shè)執(zhí)行列表中記錄的每一個五元組信息進(jìn)行匹配，當(dāng)五元組信息與預(yù)設(shè)執(zhí)行列表中記錄的其中一個五元組信息匹配成功時，執(zhí)行模塊12查找該其中一個五元組信息在預(yù)設(shè)執(zhí)行列表中是否存在對應(yīng)的防護(hù)標(biāo)識信息，當(dāng)其中一個五元組信息在預(yù)設(shè)執(zhí)行列表中存在對應(yīng)的防護(hù)標(biāo)識信息時，執(zhí)行模塊12基于防護(hù)標(biāo)識信息對報文執(zhí)行預(yù)設(shè)防護(hù)動作。當(dāng)其中一個五元組信息在預(yù)設(shè)執(zhí)行列表中不存在對應(yīng)防護(hù)標(biāo)識信息時，執(zhí)行模塊12向下一連接的設(shè)備轉(zhuǎn)發(fā)該報文。

通過本發(fā)明實(shí)施例，處理模塊11預(yù)先判定報文是否需要被標(biāo)記防護(hù)標(biāo)識信息，執(zhí)行模塊12基于處理模塊11的處理結(jié)果對后續(xù)報文進(jìn)行匹配后，確定是否需要對報文執(zhí)行預(yù)設(shè)防護(hù)動作或正常轉(zhuǎn)發(fā)，以處理模塊11為CPU、執(zhí)行模塊12為快轉(zhuǎn)芯片為例，CPU基于預(yù)設(shè)處理列表中記錄的IP地址對報文確定標(biāo)記與否，后續(xù)的報文匹配過程由快轉(zhuǎn)芯片來承擔(dān)，極大地緩解了CPU的處理壓力，對于未具有攻擊行為的報文，快轉(zhuǎn)芯片還可以更高效的轉(zhuǎn)發(fā)報文。

為對本發(fā)明進(jìn)行進(jìn)一步說明，提供下列實(shí)施例：

圖2是本發(fā)明提供的一個報文的處理方法的實(shí)施例流程圖，如圖2所示，包括如下步驟：

步驟201：當(dāng)接收到報文時，解析報文得到五元組信息。

步驟202：將五元組信息與預(yù)設(shè)執(zhí)行列表中記錄的每一個五元組信息進(jìn)行匹配，預(yù)設(shè)執(zhí)行列表用于記錄五元組信息及防護(hù)標(biāo)識信息。

步驟203：當(dāng)五元組信息與預(yù)設(shè)執(zhí)行列表中記錄的其中一個五元組信息匹配成功時，查找其中一個五元組信息在預(yù)設(shè)執(zhí)行列表中是否存在對應(yīng)的防護(hù)標(biāo)識信息，防護(hù)標(biāo)識信息用于標(biāo)記相應(yīng)的預(yù)設(shè)防護(hù)動作，當(dāng)其中一個五元組信息在預(yù)設(shè)執(zhí)行列表中存在對應(yīng)的防護(hù)標(biāo)識信息時，執(zhí)行步驟204，當(dāng)其中一個五元組信息在預(yù)設(shè)執(zhí)行列表中未存在對應(yīng)的防護(hù)標(biāo)識信息時，執(zhí)行步驟205。

步驟204：基于防護(hù)標(biāo)識信息對報文執(zhí)行預(yù)設(shè)防護(hù)動作。

步驟205：向下一連接的設(shè)備轉(zhuǎn)發(fā)報文。

在步驟201中，在一實(shí)施例中，防護(hù)設(shè)備接收到報文時，從報文中解析得到五元組信息，五元組信息包括：源端口信息、目的端口信息、源IP地址、目的IP地址、傳輸協(xié)議信息，例如五元組信息為：源端口信息80、目的端口信息82、源IP地址192.168.1.1、目的IP地址121.14.88.76、傳輸協(xié)議信息TCP。本領(lǐng)域技術(shù)人員可以理解的是，此處防護(hù)設(shè)備解析報文得到五元組信息的過程描述可參見現(xiàn)有技術(shù)，此處不作詳述。

在步驟202中，在一實(shí)施例中，防護(hù)設(shè)備存儲了一個預(yù)設(shè)執(zhí)行列表，預(yù)設(shè)執(zhí)行列表用于記錄五元組信息及防護(hù)標(biāo)識信息，防護(hù)標(biāo)識信息的作用為對具有攻擊行為的報文所對應(yīng)的五元組信息進(jìn)行標(biāo)記，同時防護(hù)標(biāo)識信息還可以用于確定預(yù)設(shè)防護(hù)動作，以預(yù)設(shè)執(zhí)行列表中一個五元組信息對應(yīng)標(biāo)記兩個防護(hù)標(biāo)識信息為例，其中一個防護(hù)標(biāo)識信息置“1”，用以標(biāo)記對報文執(zhí)行阻斷處理，另一個防護(hù)標(biāo)識信息置“1”，用以標(biāo)記向管理設(shè)備發(fā)送告警信息，本領(lǐng)域技術(shù)人員可以理解的是，防護(hù)標(biāo)識信息的表現(xiàn)形式也可以為：例如當(dāng)以“1”標(biāo)記一個五元組信息時，表示該五元組信息對應(yīng)的報文需要被阻斷，當(dāng)以“2”標(biāo)記一個五元組信息時，表示針對該五元組信息對應(yīng)的報文需要向管理設(shè)備發(fā)送告警信息，當(dāng)以“3”標(biāo)記一個五元組信息時，表示針對該五元組信息對應(yīng)的報文需要被阻斷且需要向管理設(shè)備發(fā)送告警信息，此處對防護(hù)標(biāo)識信息的數(shù)量及具體表現(xiàn)形式不做限定。對于具有攻擊行為或者不具有攻擊行為的報文所對應(yīng)的五元組信息均被記錄在預(yù)設(shè)執(zhí)行列表中，如表1所示，以預(yù)設(shè)執(zhí)行列表記錄了三個五元組信息，防護(hù)標(biāo)識信息包括2個，一個用于標(biāo)記執(zhí)行阻斷動作，另一個用于標(biāo)記執(zhí)行發(fā)送告警信息為例，對預(yù)設(shè)執(zhí)行列表的結(jié)構(gòu)進(jìn)行示例性說明：

表1

表1所示的序號1對應(yīng)源端口信息80、目的端口信息82、源IP地址192.168.1.1、目的IP地址121.14.88.76、傳輸協(xié)議信息TCP、阻斷標(biāo)識信息1、告警標(biāo)識信息1；序號2對應(yīng)源端口信息85、目的端口信息83、源IP地址192.168.1.2、目的IP地址121.14.88.77、傳輸協(xié)議信息UDP；序號3對應(yīng)源端口信息84、目的端口信息80、源IP地址192.168.1.3、目的IP地址121.14.88.78、傳輸協(xié)議信息TCP、阻斷標(biāo)識信息1、告警標(biāo)識信息1。防護(hù)設(shè)備將五元組信息與表1所示的預(yù)設(shè)執(zhí)行列表中記錄的每一個五元組信息進(jìn)行匹配，具體的結(jié)合步驟201，防護(hù)設(shè)備將源端口信息80、目的端口信息82、源IP地址192.168.1.1、目的IP地址121.14.88.76、傳輸協(xié)議信息TCP分別與表1中的源端口信息80、目的端口信息82、源IP地址192.168.1.1、目的IP地址121.14.88.76、傳輸協(xié)議信息TCP；源端口信息85、目的端口信息83、源IP地址192.168.1.2、目的IP地址121.14.88.77、傳輸協(xié)議信息UDP；源端口信息84、目的端口信息80、源IP地址192.168.1.3、目的IP地址121.14.88.78、傳輸協(xié)議信息TCP進(jìn)行匹配。

在步驟203中，在一實(shí)施例中，結(jié)合步驟202，防護(hù)設(shè)備將源端口信息80、目的端口信息82、源IP地址192.168.1.1、目的IP地址121.14.88.76、傳輸協(xié)議信息TCP與表1中序號1對應(yīng)的源端口信息80、目的端口信息82、源IP地址192.168.1.1、目的IP地址121.14.88.76、傳輸協(xié)議信息TCP匹配成功，防護(hù)設(shè)備查找表1中序號1對應(yīng)的五元組信息在表1中是否存在對應(yīng)的防護(hù)標(biāo)識信息，當(dāng)存在對應(yīng)的防護(hù)標(biāo)識信息時，執(zhí)行步驟204，當(dāng)未存在對應(yīng)的防護(hù)標(biāo)識信息時，執(zhí)行步驟205。

在步驟204中，在一實(shí)施例中，結(jié)合在步驟203，表1中序號1對應(yīng)的五元組信息在表1中存在對應(yīng)的防護(hù)標(biāo)識信息(阻斷)1、防護(hù)標(biāo)識信息(告警)1，防護(hù)設(shè)備基于防護(hù)標(biāo)識信息(阻斷)1、防護(hù)標(biāo)識信息(告警)1對報文執(zhí)行預(yù)設(shè)防護(hù)動作，預(yù)設(shè)防護(hù)動作即為對該報文進(jìn)行阻斷，同時向管理設(shè)備發(fā)送告警信息。

在步驟205中，防護(hù)設(shè)備向下一連接的設(shè)備轉(zhuǎn)發(fā)報文。本領(lǐng)域技術(shù)人員可以理解的是，步驟205并不是必要的技術(shù)步驟，此處步驟205僅為在一實(shí)施例中的可選步驟。

本發(fā)明實(shí)施例中，防護(hù)設(shè)備接收到報文時，解析報文得到五元組信息，防護(hù)設(shè)備將五元組信息與預(yù)設(shè)執(zhí)行列表中記錄的每一個五元組信息進(jìn)行匹配，當(dāng)五元組信息與預(yù)設(shè)執(zhí)行列表中記錄的其中一個五元組信息匹配成功時，防護(hù)設(shè)備查找其中一個五元組信息在預(yù)設(shè)執(zhí)行列表中是否存在對應(yīng)的防護(hù)標(biāo)識信息，當(dāng)其中一個五元組信息在預(yù)設(shè)執(zhí)行列表中存在對應(yīng)的防護(hù)標(biāo)識信息時，防護(hù)設(shè)備基于防護(hù)標(biāo)識信息對報文執(zhí)行預(yù)設(shè)防護(hù)動作，存在攻擊行為的報文對應(yīng)的五元組信息被記錄在預(yù)設(shè)執(zhí)行列表中，管理設(shè)備可以獲取預(yù)設(shè)執(zhí)行列表，并基于預(yù)設(shè)執(zhí)行列表中記錄的五元組信息進(jìn)行數(shù)據(jù)分析，解決了無法對報文中攜帶的五元組信息進(jìn)行分析的問題。

圖3是本發(fā)明提供的另一個報文的處理方法的實(shí)施例流程圖，本發(fā)明實(shí)施例結(jié)合圖2以及表1，在步驟201-步驟204的基礎(chǔ)上，對五元組信息與預(yù)設(shè)執(zhí)行列表中記錄的每一個五元組信息均未匹配成功時執(zhí)行的步驟進(jìn)行示例性說明，如圖3所示，包括如下步驟：

步驟301：將五元組信息中的源IP地址與預(yù)設(shè)處理列表中記錄的每一個IP地址進(jìn)行匹配，預(yù)設(shè)處理列表用于記錄沒有攻擊行為的IP地址，當(dāng)五元組信息中的源IP地址與預(yù)設(shè)處理列表中記錄的每一個IP地址均未匹配成功時，執(zhí)行步驟302-步驟303，當(dāng)五元組信息中的源IP地址與預(yù)設(shè)處理列表中記錄的其中一個IP地址匹配成功時，執(zhí)行步驟304。

步驟302：對五元組信息標(biāo)記防護(hù)標(biāo)識信息。

步驟303：將五元組信息及防護(hù)標(biāo)識信息記錄在預(yù)設(shè)執(zhí)行列表中。

步驟304：將五元組信息記錄在預(yù)設(shè)執(zhí)行列表中。

在步驟301中，防護(hù)設(shè)備將五元組信息中的源IP地址與預(yù)設(shè)處理列表中記錄的每一個IP地址進(jìn)行匹配，預(yù)設(shè)處理列表用于記錄沒有攻擊行為的IP地址，預(yù)設(shè)處理列表可以參考現(xiàn)有技術(shù)中白名單的生成及建立過程的相關(guān)描述，此處不做詳述。當(dāng)五元組信息中的源IP地址與預(yù)設(shè)處理列表中記錄的每一個IP地址均未匹配成功時，表示該五元組信息對應(yīng)的報文具有攻擊行為，防護(hù)設(shè)備執(zhí)行步驟302-步驟303，當(dāng)五元組信息中的源IP地址與預(yù)設(shè)處理列表中記錄的其中一個IP地址匹配成功時，表示該五元組信息對應(yīng)的報文為安全的，防護(hù)設(shè)備執(zhí)行步驟304。

在步驟302中，防護(hù)設(shè)備對五元組信息標(biāo)記防護(hù)標(biāo)識信息，防護(hù)標(biāo)識信息為管理人員預(yù)設(shè)的標(biāo)識信息，防護(hù)標(biāo)識信息用以標(biāo)記對報文執(zhí)行何種預(yù)設(shè)防護(hù)動作，以對五元組信息標(biāo)記兩個防護(hù)標(biāo)識信息為例，其中一個防護(hù)標(biāo)識信息置“1”，用以標(biāo)記對報文執(zhí)行阻斷處理，另一個防護(hù)標(biāo)識信息置“1”，用以標(biāo)記向管理設(shè)備發(fā)送告警信息，本領(lǐng)域技術(shù)人員可以理解的，防護(hù)標(biāo)識信息的表現(xiàn)形式也可以為：例如當(dāng)以“1”標(biāo)記一個五元組信息時，表示該五元組信息對應(yīng)的報文需要被阻斷，當(dāng)以“2”標(biāo)記一個五元組信息時，表示針對該五元組信息對應(yīng)的報文需要向管理設(shè)備發(fā)送告警信息，當(dāng)以“3”標(biāo)記一個五元組信息時，表示針對該五元組信息對應(yīng)的報文需要被阻斷且需要向管理設(shè)備發(fā)送告警信息，此處對防護(hù)標(biāo)識信息的數(shù)量及具體表現(xiàn)形式不做限定。

在步驟303中，防護(hù)設(shè)備將五元組信息及防護(hù)標(biāo)識信息記錄在預(yù)設(shè)執(zhí)行列表中，此處具體對五元組信息及防護(hù)標(biāo)識信息的記錄形式，可參考表1中序號1、3對應(yīng)的五元組信息及防護(hù)標(biāo)識信息的記錄形式。

在步驟304中，將五元組信息記錄在預(yù)設(shè)執(zhí)行列表中，此處具體對五元組信息的記錄形式，可參考表1中序號2對應(yīng)的五元組信息的記錄形式。

本發(fā)明實(shí)施例中，當(dāng)五元組信息與預(yù)設(shè)執(zhí)行列表中記錄的每一個五元組信息均未匹配成功時，防護(hù)設(shè)備基于五元組信息中的源IP地址確定是否對五元組信息標(biāo)記防護(hù)標(biāo)識信息，源IP地址的匹配過程耗時短，效率高。

對應(yīng)于上述報文的處理方法，本發(fā)明還提出了圖4所示的防護(hù)設(shè)備的硬件結(jié)構(gòu)圖。請參考圖4，在硬件層面，該防護(hù)設(shè)備包括處理器、內(nèi)部總線、網(wǎng)絡(luò)接口、內(nèi)存以及非易失性存儲器，當(dāng)然還可能包括其他業(yè)務(wù)所需要的硬件。處理器從非易失性存儲器中讀取對應(yīng)的計算機(jī)程序到內(nèi)存中然后運(yùn)行，在邏輯層面上形成報文的處理裝置。當(dāng)然，除了軟件實(shí)現(xiàn)方式之外，本發(fā)明并不排除其他實(shí)現(xiàn)方式，比如邏輯器件抑或軟硬件結(jié)合的方式等等，也就是說以下處理流程的執(zhí)行主體并不限定于各個邏輯單元，也可以是硬件或邏輯器件。

圖5是本發(fā)明提供的一個報文的處理的裝置的實(shí)施例框圖，如圖5所示，該報文的處理裝置可以包括：報文解析模塊51、第一匹配模塊52、標(biāo)識查找模塊53、執(zhí)行防護(hù)模塊54，其中：

報文解析模塊51，用于當(dāng)接收到報文時，解析報文得到五元組信息；

第一匹配模塊52，用于將報文解析模塊51解析得到的五元組信息與預(yù)設(shè)執(zhí)行列表中記錄的每一個五元組信息進(jìn)行匹配，預(yù)設(shè)執(zhí)行列表用于記錄五元組信息及防護(hù)標(biāo)識信息；

標(biāo)識查找模塊53，用于當(dāng)?shù)谝黄ヅ淠K52中五元組信息與預(yù)設(shè)執(zhí)行列表中記錄的其中一個五元組信息匹配成功時，查找其中一個五元組信息在預(yù)設(shè)執(zhí)行列表中是否存在對應(yīng)的防護(hù)標(biāo)識信息，防護(hù)標(biāo)識信息用于標(biāo)記相應(yīng)的預(yù)設(shè)防護(hù)動作；

執(zhí)行防護(hù)模塊54，用于當(dāng)標(biāo)識查找模塊53中其中一個五元組信息在預(yù)設(shè)執(zhí)行列表中存在對應(yīng)的防護(hù)標(biāo)識信息時，基于防護(hù)標(biāo)識信息對報文執(zhí)行預(yù)設(shè)防護(hù)動作。

圖6是本發(fā)明提供的另一個報文的處理的裝置的實(shí)施例框圖，如圖6所示，在上述圖5所示實(shí)施例的基礎(chǔ)上，報文的處理裝置還包括：

第二匹配模塊55，用于當(dāng)?shù)谝黄ヅ淠K52中五元組信息與預(yù)設(shè)執(zhí)行列表中記錄的每一個五元組信息均未匹配成功時，將五元組信息中的源IP地址與預(yù)設(shè)處理列表中記錄的每一個IP地址進(jìn)行匹配，預(yù)設(shè)處理列表用于記錄沒有攻擊行為的IP地址；

標(biāo)識標(biāo)記模塊56，用于當(dāng)?shù)诙ヅ淠K55中五元組信息中的源IP地址與預(yù)設(shè)處理列表中記錄的每一個IP地址均未匹配成功時，對五元組信息標(biāo)記防護(hù)標(biāo)識信息；

第一記錄模塊57，用于將五元組信息及標(biāo)識標(biāo)記模塊56中標(biāo)記的防護(hù)標(biāo)識信息記錄在預(yù)設(shè)執(zhí)行列表中。

在一實(shí)施例中，報文的處理裝置還包括：

第二記錄模塊58，用于當(dāng)?shù)诙ヅ淠K55中五元組信息中的源IP地址與預(yù)設(shè)處理列表中記錄的其中一個IP地址匹配成功時，將五元組信息記錄在預(yù)設(shè)執(zhí)行列表中。

在一實(shí)施例中，報文的處理裝置還包括：

報文轉(zhuǎn)發(fā)模塊59，用于當(dāng)標(biāo)識查找模塊53中其中一個五元組信息在預(yù)設(shè)執(zhí)行列表中未存在對應(yīng)的防護(hù)標(biāo)識信息時，向下一連接的設(shè)備轉(zhuǎn)發(fā)報文。

上述裝置中各個單元的功能和作用的實(shí)現(xiàn)過程具體詳見上述方法中對應(yīng)步驟的實(shí)現(xiàn)過程，在此不再贅述。

對于裝置實(shí)施例而言，由于其基本對應(yīng)于方法實(shí)施例，所以相關(guān)之處參見方法實(shí)施例的部分說明即可。以上所描述的裝置實(shí)施例僅僅是示意性的，其中所述作為分離部件說明的單元可以是或者也可以不是物理上分開的，作為單元顯示的部件可以是或者也可以不是物理單元，即可以位于一個地方，或者也可以分布到多個網(wǎng)絡(luò)單元上。可以根據(jù)實(shí)際的需要選擇其中的部分或者全部模塊來實(shí)現(xiàn)本發(fā)明方案的目的。本領(lǐng)域普通技術(shù)人員在不付出創(chuàng)造性勞動的情況下，即可以理解并實(shí)施。

由上述實(shí)施例可見，防護(hù)設(shè)備接收到報文時，解析報文得到五元組信息，防護(hù)設(shè)備將五元組信息與預(yù)設(shè)執(zhí)行列表中記錄的每一個五元組信息進(jìn)行匹配，當(dāng)五元組信息與預(yù)設(shè)執(zhí)行列表中記錄的其中一個五元組信息匹配成功時，防護(hù)設(shè)備查找其中一個五元組信息在預(yù)設(shè)執(zhí)行列表中是否存在對應(yīng)的防護(hù)標(biāo)識信息，當(dāng)其中一個五元組信息在預(yù)設(shè)執(zhí)行列表中存在對應(yīng)的防護(hù)標(biāo)識信息時，防護(hù)設(shè)備基于防護(hù)標(biāo)識信息對報文執(zhí)行預(yù)設(shè)防護(hù)動作，存在攻擊行為的報文對應(yīng)的五元組信息被記錄在預(yù)設(shè)執(zhí)行列表中，管理設(shè)備可以獲取預(yù)設(shè)執(zhí)行列表，并基于預(yù)設(shè)執(zhí)行列表中記錄的五元組信息進(jìn)行數(shù)據(jù)分析，解決了無法對報文中攜帶的五元組信息進(jìn)行分析的問題。

本領(lǐng)域技術(shù)人員在考慮說明書及實(shí)踐這里公開的發(fā)明后，將容易想到本發(fā)明的其它實(shí)施方案。本發(fā)明旨在涵蓋本發(fā)明的任何變型、用途或者適應(yīng)性變化，這些變型、用途或者適應(yīng)性變化遵循本發(fā)明的一般性原理并包括本發(fā)明未公開的本技術(shù)領(lǐng)域中的公知常識或慣用技術(shù)手段。說明書和實(shí)施例僅被視為示例性的，本發(fā)明的真正范圍和精神由下面的權(quán)利要求指出。

還需要說明的是，術(shù)語“包括”、“包含”或者其任何其他變體意在涵蓋非排他性的包含，從而使得包括一系列要素的過程、方法、商品或者設(shè)備不僅包括那些要素，而且還包括沒有明確列出的其他要素，或者是還包括為這種過程、方法、商品或者設(shè)備所固有的要素。在沒有更多限制的情況下，由語句“包括一個……”限定的要素，并不排除在包括所述要素的過程、方法、商品或者設(shè)備中還存在另外的相同要素。

以上所述僅為本發(fā)明的較佳實(shí)施例而已，并不用以限制本發(fā)明，凡在本發(fā)明的精神和原則之內(nèi)，所做的任何修改、等同替換、改進(jìn)等，均應(yīng)包含在本發(fā)明保護(hù)的范圍之內(nèi)。