一种攻击报文识别方法、装置及核心设备的制造方法
【技术领域】
[0001]本发明涉及网络通信技术领域,尤其涉及一种攻击报文识别方法、装置及核心设备。
【背景技术】
[0002]随着国际、国内网络安全事件的不断升级,网络的安全和可信越来越被人们所关注。特别是在高校,由于其用户群密集且活跃,经常存在蓄意的攻击破坏,使得校园网成为安全问题的“重灾区”,管理也非常的复杂,困难。
[0003]为了保证网络的安全性,在用户接入网络时,需要对用户进行接入认证,通过认证来判定用户的合法性。目前,由于Web认证方式部署方便,使用简单的特点,在校园网中得到广泛应用。
[0004]现有的对用户身份进行认证的方式为:核心交换机的接口接收用户终端的认证请求报文后,业务模块的物理层(PHY,Physical Layer)获取认证请求报文中携带的源网络协议(IP, Internet Protocal)地址、媒体接入控制(MAC,Media Access Control)地址、端口号、虚拟局域网标识(VID,Virtual Local Area Network ID)等信息,与上线用户列表中的信息进行匹配,如果匹配成功,确定该用户已经通过认证;如果匹配失败,确定该用户未认证过。针对未认证过的用户发送的认证请求报文,发送给线卡端中央处理器(CPU,CentralProcessing Unit)后不经处理,直接经控制信道上送管理引擎CPU。
[0005]由于未认证用户终端发送的认证请求报文全部上送给管理引擎CPU,当未认证用户终端因为中毒,或者应用软件频繁发起更新、恶意攻击,造成高峰期产生大量的攻击报文,使得核心交换机的管理引擎CPU负荷过重,部分终端的认证请求不能被及时处理,导致用户认证慢甚至等待认证时间超时而认证不上的问题,认证请求的处理效率低。因此,核心交换机如何识别接收的认证请求报文是攻击报文,减少将攻击报文上报给管理引擎的数量,在对用户身份认证过程中是亟待解决的一个问题。
【发明内容】
[0006]本发明实施例提供一种攻击报文识别方法、装置及核心设备,用以解决现有技术中存在的在进行身份认证时,由于接收认证请求报文入口处的大量攻击报文,造成身份认证慢或认证失败而导致的认证请求处理效率低的问题。
[0007]本发明实施例提供一种攻击报文识别方法,包括:
[0008]针对未认证过的认证请求报文,确定所述认证请求报文的会话时长;
[0009]将所述认证请求报文的会话时长与预设会话老化时长进行比较;
[0010]当所述认证请求报文的会话时长大于所述预设会话老化时长时,确定所述认证请求报文为攻击报文。
[0011]通过本发明实施例提供的上述方法,通过判断未认证过的认证请求报文的会话时长与预设会话老化时长的大小关系,对未认证过的认证请求报文中的攻击报文进行识别过滤,避免了大量攻击报文造成的身份认证慢或认证失败的问题,提高了认证请求的处理效率。
[0012]进一步的,确定所述认证请求报文为未认证过的报文,具体包括:
[0013]获取所述认证请求报文中的属性信息;
[0014]在上线用户列表中查找是否存在所述认证请求报文中的属性信息,所述上线用户列表中保存已通过认证的认证请求报文的属性信息;
[0015]当未查找到所述认证请求报文中的属性信息时,确定所述认证请求报文为未认证过的报文。
[0016]这样,通过维护上线用户列表,可以确定认证请求报文是否是未认证过的报文。
[0017]进一步的,在确定所述认证请求报文为未认证过的报文之后,还包括:
[0018]根据所述认证请求报文中的地址信息,从拒绝服务会话列表中查找所述地址信息;
[0019]当未查找到所述地址信息时,允许进行所述认证请求报文对应的会话。
[0020]进一步的,上述方法,还包括:
[0021]将所述认证请求报文的会话时长与预设噪声识别时长进行比较;
[0022]当所述认证请求报文的会话时长大于预设噪声识别时长时,确定所述认证请求报文为噪声报文,所述预设噪声识别时长小于所述预设会话老化时长;
[0023]对所述认证请求报文发送给管理引擎的待发送速率进行限制;
[0024]当所述认证请求报文的会话时长不大于预设噪声识别时长时,确定所述认证请求报文为正常报文。
[0025]这样,可以避免实际网络中,由于当接入设备出现链路故障、终端反应慢、认证服务器压力过大等时,正常请求会话超时而导致将正常认证请求报文误判为攻击报文。
[0026]进一步的,上述方法,还包括:
[0027]对认证请求报文进行分类;
[0028]将分类后的报文上报给所述管理引擎。
[0029]这样,通过对认证请求报文进行分类处理,可以减轻后续管理引擎的负荷压力,提高了消息处理效率。
[0030]进一步的,所述对认证请求报文进行分类,具体包括:
[0031]在确认所述认证请求报文为噪声报文或正常报文后,确定所述认证请求报文中的目的IP地址与认证服务器的地址是否相同;如果相同,确定所述认证请求报文为需认证上线类报文;如果不同,确定所述认证请求报文为需伪连接类报文;或者
[0032]在确定所述认证请求报文的会话时长之前,接收请求报文;确定所述请求报文中的目的IP地址与认证服务器的地址是否相同;如果相同,确定所述认证请求报文为需认证上线类报文;如果不相同,确定所述请求报文中是否携带认证信息,当所述请求报文中携带认证信息时,确定所述请求报文为认证请求报文,当所述请求报文中未携带认证信息时,确定所述请求报文为重定向类报文。
[0033]本发明实施例还提供了一种攻击报文识别装置,包括:
[0034]第一确定单元,用于针对未认证过的认证请求报文,确定所述认证请求报文的会话时长;
[0035]第一比较单元,用于将所述认证请求报文的会话时长与预设会话老化时长进行比较;
[0036]第二确定单元,用于当所述认证请求报文的会话时长大于所述预设会话老化时长时,确定所述认证请求报文为攻击报文。
[0037]通过本发明实施例提供的上述装置,通过判断未认证过的认证请求报文的会话时长与预设会话老化时长的大小关系,对未认证过的认证请求报文中的攻击报文进行识别过滤,避免了大量攻击报文造成的身份认证慢或认证失败的问题,提高了认证请求的处理效率。
[0038]进一步的,所述第一确定单元,具体用于获取所述认证请求报文中的属性信息;在上线用户列表中查找是否存在所述认证请求报文中的属性信息,所述上线用户列表中保存已通过认证的认证请求报文的属性信息;当未查找到所述认证请求报文中的属性信息时,确定所述认证请求报文为未认证过的报文。
[0039]这样,通过维护上线用户列表,可以确定认证请求报文是否是未认证过的报文。
[0040]进一步的,上述装置,还包括:
[0041]查找单元,用于在确定所述认证请求报文为未认证过的报文之后,根据所述认证请求报文中的地址信息,从拒绝服务会话列表中查找所述地址信息;
[0042]允许会话单元,用于当未查找到所述地址信息时,允许进行所述认证请求报文对应的会话。
[0043]进一步的,上述装置,还包括:
[0044]第二比较单元,用于将所述认证请求报文的会话时长与预设噪声识别时长进行比较;
[0045]第三确定单元,用于当所述认证请求报文的会话时长大于预设噪声识别时长时,确定所述认证请求报文为噪声报文,所述预设噪声识别时长小于所述预设会话老化时长;
[0046]限制单元,用于对所述认证请求报文发送给管理引擎的待发送速率进行限制;
[0047]第四确定单元,用于当所述认证请求报文的会话时长不大于预设噪声识别时长时,确认所述认证请求报文为正常报文。
[0048]这样,可以避免实际网络中,由于当接入设备出现链路故障、终端反应慢、认证服务器压力过大等时,正常请求会话超时而导致将正常认证请求报文误判为攻击报文。
[0049]进一步的,上述装置,还包括:
[0050]分类单元,用于对认证请求报文进行分类;
[0051]上报单元,用于将分类后的报文上报给所述管理引擎。
[0052]这样,通过对认证请求报文进行分类处理,可以减轻后续管理引擎的负荷压力,提高了消息处理效率。
[0053]进一步的,所述分类单元,具体用于在确认所述认证请求报文为噪声报文或正常报文后,确定所述认证请求报文中的目的IP地址与认证服务器的地址是否相同;如果相同,确定所述认证请求报文为需认证上线类报文;如果不同,确定所述认证请求报文为需伪连接类报文;或者
[0054]所述分类单元,具体用于在确定所述认证请求报文的会话时长之前,接收请求报文;确定所述请求报文中的目的IP地址与认证服务器的地址是否相同;如果相同,确定所述认证请求报文为需认证上线类报文;如果不相同,确定所述请求报文中是否携带认证信息,当所述请求报文中携带认证信息时,确定所述请求报文为认证请求报文,当所述请求报文中未携带认证信息时,确定所述请求报文为重定向类报文。
[0055]本发明实施例提供了一种核心设备,线卡和管理引擎,其中:
[0056]所述线卡,如上述的攻击报文识别装置;
[0057]所述管理引擎,用于接收所述线卡端CPU发送的分类后的报文,并进行相应的处理。
[0058]通过本发明实施例提供的核心设备,通过判断未认证过的认证请求报文的会话时长与预设会话老化时长的大小关系,对未认证过的认证请求报文中的攻击报文进行识别过滤,避免了大量攻击报文造成的身份认证慢或认证失败的问题,提高了认证请求的处理效率。
[0059]本申请的其它特