报文攻击防护的方法及装置的制造方法

报文攻击防护的方法及装置的制造方法
【专利摘要】本申请提供报文攻击防护的方法及装置，所述方法包括：根据接收到的报文匹配套接字Socket；当接收到的报文匹配到本地任一Socket时，检查所述Socket是否设置了预设标识；当所述Socket设置了所述预设标识时，调用与所述预设标识对应的防护规则对所述报文进行安全防护。本申请解决了现有技术中因不同应用类型对应的过滤规则不同导致现有技术通用性差的问题，更好地实现了对攻击报文的防护。
【专利说明】
报文攻击防护的方法及装置
技术领域
[0001] 本申请设及通信技术领域，尤其设及报文攻击防护的方法及装置。
【背景技术】
[0002] 目前，进程之间大多通过套接字(Socket)进行通信，当网络设备接收到报文后，如 果该报文是发送给该网络设备的，则该网络设备会对该报文进行Socket匹配，并将该报文 送入匹配到的Socket的缓存区中，然后，再通知相应的进程从该Socket的缓冲区中来读取 该报文。
[0003] 随着网络的高速发展，网络安全问题也日渐增多。常见的网络攻击方式是数据报 文攻击W及针对TCP^ransmission Conhol Protocol,传输控制协议）连接的SYN Flood (Synchronous Flood,SYN洪水)攻击。其中，数据报文攻击通过模仿客户端或者服务器向对 端发送大量攻击报文，使得对端对应进程的Socket缓存区资源被攻击报文占用，消耗了对 端缓存区资源;而针对TCP连接的SYN洪水攻击则是通过恶意模拟客户端异常情况攻击服务 器端的Socket缓存区等。
[0004] 现有技术根据报文的协议号、端口号等特征识别出报文所属的应用类型，然后根 据预存的与应用类型一一对应的过滤规则对报文进行过滤，丢弃不满足过滤规则的报文， 从而防止报文攻击。但是，因为不同应用类型对应的过滤规则不同，且每当新增应用类型 时，均需重新更新过滤规则。因此，现有技术的通用性差。

【发明内容】

[0005] 有鉴于此，本申请提供一种报文攻击防护的方法及装置，来解决现有技术中因不 同应用类型对应的过滤规则不同导致现有技术通用性差的问题，从而更好地实现对攻击报 文的防护。
[0006] 具体地，本申请是通过如下技术方案实现的：
[0007] 根据本申请实施例的第一方面，提供一种报文攻击防护的方法，其特征在于，所述 方法应用于网络设备上，所述方法包括：
[000引根据接收到的报文匹配套接字Socket;
[0009] 当接收到的报文匹配到本地任一Socket时，检查所述Socket是否设置了预设标 识；
[0010] 当所述Socket设置了所述预设标识时，调用与所述预设标识对应的防护规则对所 述报文进行安全防护。
[0011] 根据本申请实施例的第二方面，提供一种报文攻击防护的装置，其特征在于，所述 装置应用于网络设备上，所述装置包括：
[0012] 匹配单元，用于根据接收到的报文匹配套接字Socket;
[0013] 检查单元，用于当接收到的报文匹配到本地任一Socket时，检查所述Socket是否 设置了预设标识；
[0014] 防护单元，用于当所述Socket设置了所述预设标识时，调用与所述预设标识对应 的防护规则对所述报文进行安全防护。
[0015] 本申请提供报文攻击防护的方法及装置，网络设备将接收到的报文与本地的 Socket进行匹配，并在匹配成功且Socket设置预设标识时，调用与所述预设标识对应的防 护规则对所述报文进行安全防护，丢弃不满足防护规则的报文。由于本申请不需要根据报 文所属的应用类型单独制定防护规则，当新增应用类型时，网络设备不需要重新更新防护 规则。因此，本申请具有通用性更好的优点，能够更好地实现对攻击报文的防护。
【附图说明】
[0016] 此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本申请的实施 例，并与说明书一起用于解释本申请的原理。
[0017] 图1是应用本申请实施例实现报文攻击防护的应用场景图；
[0018] 图2是本申请报文攻击防护的方法的一个实施例流程图；
[0019] 图3是本申请报文攻击防护的装置所在设备的一种硬件结构图；
[0020] 图4是本申请报文攻击防护的装置的一个实施例框图；
[0021] 图5是本申请报文攻击防护的装置的另一个实施例框图。
【具体实施方式】
[0022] 运里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述设及 附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。W下示例性实施例 中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反，它们仅是与如所附 权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
[0023] 在本申请使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本申请。 在本申请和所附权利要求书中所使用的单数形式的"一种"、"所述"和"该"也旨在包括多数 形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语"和/或"是指并包 含一个或多个相关联的列出项目的任何或所有可能组合。
[0024] 应当理解，尽管在本申请可能采用术语第一、第二、第=等来描述各种信息，但运 些信息不应限于运些术语。运些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离 本申请范围的情况下，第一信息也可W被称为第二信息，类似地，第二信息也可W被称为第 一信息。取决于语境，如在此所使用的词语"如果"可W被解释成为"在……时"或"当…… 时"或"响应于确定"。
[0025] 参见图1，为应用本申请实施例实现报文攻击防护的应用场景图。
[0026] 在本实施例中，报文攻击可W包括数据报文攻击和SYN洪水攻击。
[0027] 请参见图1，图1中所示的客户端A和服务器B之间可W进行正常通信，客户端C和服 务器D为恶意攻击者。
[0028] -方面，服务器D通过模仿服务器B向客户端A发送大量数据报文，使得客户端A的 Socket缓存区资源被耗尽的现象被称为数据报文攻击。同样地，服务器B也会受到来自客户 端C的数据报文攻击。
[0029] 另一方面，假设客户端C在向服务器B发送第一次TCP握手报文后死机或者掉线，贝U 服务器B在向客户端C返回第二次TCP握手报文后无法接收到来自客户端C的第=次TCP握手 报文，此时服务器B会重新向客户端C发送第二次TCP握手报文，并等待一段时间（如半分 钟）。如果等待了一段时间后，还是未能接收到客户端C发送的第S次TCP握手报文，则服务 器B会放弃运个连接。然而，在运种场景下，如果客户端C大量模仿W上的异常情况时，不断 向服务器B发送伪造的第一次TCP握手报文，那么服务器B会因为不断的重试和等待耗尽其 Socket缓存区资源，此时，服务器B将忙于处理客户端C伪造的第一次TCP握手报文而无暇理 陳客户的正常请求，此时从正常客户的角度看来，服务器B失去了响应，运种情况我们称作 SYN Flood攻击(SYN洪水攻击）。
[0030] 现有技术中，当客户端A或服务器則欠到报文时，会根据报文的协议号、端口号等特 征识别出报文所属的应用类型，然后根据预存的与应用类型一一对应的过滤规则对报文进 行过滤，丢弃不满足过滤规则的报文，从而防止报文攻击。但是，因为不同应用类型对应的 过滤规则不同，且每当新增应用类型时，均需重新更新过滤规则。因此，现有技术的通用性 差。
[0031] 本申请中，客户端A或服务器B将接收到的报文与本地的Socket进行匹配，并在匹 配成功且Socket设置预设标识时，调用与所述预设标识对应的防护规则对所述报文进行安 全防护，丢弃不满足防护规则的报文即攻击报文。由于本申请不需要根据报文所属的应用 类型单独制定防护规则，当新增应用类型时，网络设备不需要重新更新防护规则。因此，本 申请具有通用性更好的优点，能够更好地实现对攻击报文的防护。
[0032] 参见图2,图2是本申请示出的一种报文攻击防护的方法的流程图，应用于网络设 备，其中，所述网络设备可W是用于安全防护的交换机或者路由器，所述方法包括了 W下步 骤：
[0033] 步骤201:根据接收到的报文匹配Socket。
[0034] 在本实施例中，当网络设备接收到报文后，可W通过对所述报文的解析获得报文 属性信息，所述报文属性信息可W包括所述报文五元组信息中的一个或多个的组合。所述 网络设备可W通过将所述报文的属性信息，与本地的Socket的属性信息进行匹配，来为所 述报文分配Socket。
[0035] 在一个示例中，假设所述报文属性信息如下表1所示(表1仅展示出部分报文属性 信息的内容）： 「00361
[0040]表 2
[0041] 由表1和表2可知，所述报文的属性信息与本地的Sockets的属性信息相匹配，所述 网络设备可W将Sockets分配给所述报文。
[0042] 其中，根据接收到的报文匹配Socket的详细过程，本实施例不再进行详述，本领域 技术人员在实现时可W参考现有技术。
[0043] 步骤202:当接收到的报文匹配到本地任一Socket时，检查所述Socket是否设置了 预设标识。
[0044] 当接收到的报文匹配到本地的任一 Socket时，网络设备可W检查所述Socket是否 设置了预设标识，并通过检查所述预设标识的取值是否为预设值，来确定网络设备是否预 先设置了与所述预设标识对应的防护规则。
[0045] 其中，所述预设标识可W为新增的Socket选项所设置，并可W通过所述Socket选 项所维护。在实现时，所述预设标识可W设置为50邸_。11；161?_抓1^6、500(_。11；161?_1?^及 S0CK_FILTER_MAC 等。
[0046] 当然，如果接收到的报文与本地的Socket均不匹配时，网络设备可W丢弃所述报 文。
[0047] 步骤203:当所述Socket设置了所述预设标识时，调用与所述预设标识对应的防护 规则对所述报文进行安全防护。
[0048] 本实施例中，网络设备还可W为所述预设标识设置对应的防护规则。
[0049] W所述预设标识为新增的Socket选项所设置为例，网络设备可W通过新增的 Socket选项为Socket设置对应的防护规则，当设置了对应的防护规则后，可W将所述新增 的Socket选项对应的标志位设置为预设值。当删除了对应的防护规则后，删除所述设置的 预设值。当所述新增的Socket选项对应的标志位取值为预设值时，则表示已经为Socket设 置了对应的防护规则。
[0050] 因此，当接收到的报文匹配到了对应的Socket,网络设备在对所述匹配到的 Socket进行预设标识检查时，如果发现所述新增的Socket选项对应的标识位的取值为预设 值时，则表明所述新增的Socket选项已经预先设置了对应的防护规则，此时网络设备可W 调用Socket对应的防护规则对接收到的所述报文进行安全防护。
[0051] 例如，在实现时，所述新增的Socket选项的取值可W采用位图结构来进行表示，假 设在位图结构中与所述新增的Socket选项对应的标识位取值为1时，表示所述新增的 Socket选项设置了对应的防护规则;与所述新增的Socket选项对应的标识位取值为加寸，表 示所述新增的Socket选项并未设置对应的防护规则。那么，如果为所述新增的Socket选项 设置了对应的防护规则，则可W将位图结构中与所述新增的Socket选项对应的标识位的取 值设置为1。当设置完成后，网络设备在对匹配到的Socket进行标识位检查时，如果发现所 述标识位的取值为1，则表明所述新增的Socket选项已经预先设置了对应的防护规则，网络 设备则可W调用Socket设置完成的防护规则对接收到的所述报文进行安全防护。
[0052] 在本实施例中，上述防护规则可W由若干防护子规则构成，所述防护子规则包括 防护特征，W及与所述防护特征对应的处理动作。其中，每一个防护子规则可W分别设置一 种或多种对应的防护特征，不同的防护子规则可W设置不同的防护特征。所述防护特征可 W包括源IP地址、目的IP地址、源端口、目的端口、源MC地址、TTUTime To Live,生存时间 值)中的一个或者多个。
[0053] 当然，在实现时，上述防护特征除了 W上描述的源IP地址、目的IP地址、源端口、目 的端口、源MAC地址、T化等报文特征W外，还可W采用其它类型的报文特征，比如目的MAC, 协议号等等，在本实施例中不再一一详述。此外，所述防护特征也可W包括自定义的防护特 征。
[0054] 在本实施例中，上述防护规则中防护子规则的数量，可W根据实际的安全防护需 求进行设定。
[0055] 在一些安全防护级别较低的应用场景中，上述防护规则可W设置单一的防护子规 贝1J。例如，如果仅需要对接收到的报文进行源IP地址过滤时，上述防护规则可W设置一组防 护子规则，并设置一个源IP地址池作为所述防护子规则的防护特征，并为所述源IP地址池 中每一个源IP地址分别指定一个对应的处理动作。所述源IP地址池可W为源IP地址段。
[0056] 而在一些安全防护级别较高的应用场景中，上述防护规则也可W设置多个防护子 规则的组合，并为每一个防护子规则设置一种对应的防护特征。例如，如果需要基于源IP地 址、目的IP地址、源端口、目的端口、源MC地址、生存时间值TTL等防护特征对接收到的报文 进行多重防护，可W基于源IP地址、目的IP地址、源端口、目的端口、源MAC地址、生存时间值 TTL等防护特征分别设置一组对应的防护子规则；比如，对于源IP地址和目的IP地址所对应 的防护子规则，可W分别设置一个源IP地址池和目的IP地址池，并为地址池中的每一个IP 地址指定一个对应的处理动作，其中，所述源IP地址池和目的IP地址池可W分别为一个源 IP地址段和目的IP地址段;对于源端口和目的端口所对应的防护子规则，可W分别设置一 个源端口列表和目的端口列表，并为端口列表中的每一个端口指定一个对应的处理动作； 同样的道理，对于源MAC地址所对应的防护子规则，可W设置一个源MAC地址池，并为源MAC 地址池中的每一个源MAC地址指定一个对应的处理动作;对于ITL对应的防护子规则，可W 设置一个Tl^取值范围，并为所述ITL取值范围中的每一个TTL取值设置为一个对应的处理 动作;对于所述自定义防护特征所对应的防护子规则，可W设置一个或一组所述自定义防 护特征的值，并为所述自定义防护特征设置一个对应的处理动作。
[0057] 在本实施例中，网络设备在调用与上述新增的Socket选项对应的防护规则对接收 到的报文进行安全防护时，可W提取所述报文的报文特征，然后将所述报文的报文特征与 上述防护规则中的防护子规则的防护特征进行匹配，当所述报文的防护特征与上述防护规 则中的任一防护子规则的防护特征匹配时，则可W根据与所述防护特征对应的处理动作处 理所述报文。
[0058] 其中，上述防护规则中的每一组防护子规则，还可W预先设置一个对应的默认处 理动作，当所述报文的报文特征与上述防护规则中任一防护子规则的防护特征均不匹配 时，还可W根据与所述防护子规则对应的默认处理动作处理所述报文。
[0059] 值得说明的是，与上述防护子规则中的防护特征对应的处理动作，W及与上述防 护子规则对应的默认处理动作，可W包括丢弃所述报文、正常处理所述报文、将所述报文的 报文特征与下一组防护子规则的防护特征进行匹配等处理动作中的任意一种。
[0060] 例如，假设上述防护规则中仅设置了一组将源IP地址作为防护特征的防护子规 贝1J，如果此组防护子规则中，源IP地址是作为黑名单使用的话，此时对于报文特征匹配所述 防护子规则的防护特征的报文，可能为攻击报文，因此在设置与防护特征对应的处理动作 时，可W将与防护特征对应的处理动作设置为丢弃所述报文，将所述防护子规则的默认处 理动作设置为正常处理所述报文。当然，如果上述防护规则中还设置了多组防护子规则，也 可W将所述防护子规则的默认处理动作设置为与下一组防护子规则的防护特征进行匹配。
[0061] 同样的道理，如果此组防护子规则中，源IP地址是作为白名单使用的话，此时对于 报文特征匹配所述防护子规则的防护特征的报文，则为正常报文，因此在设置与防护特征 对应的处理动作时，可W将与所述防护特征对应的处理动作设置为正常处理所述报文，将 所述防护子规则的默认处理动作设置为丢弃所述报文。当然，如果上述防护规则中还设置 了多组防护子规则，也可W将与所述防护特征对应的处理动作设置为与下一组防护子规则 的防护特征进行匹配。另外，当接收到的报文的报文特征与上述防护规则中的防护子规则 的防护特征均不匹配时，此时可W丢弃所述报文或者按照正常处理流程进行处理所述报 文。
[0062] 例如，如果上述防护规则中的防护子规则作为白名单使用，此时所述报文的报文 特征与上述防护子规则的防护特征均不匹配时，表明所述报文可能为攻击报文，则可W对 所述报文进行丢弃。
[0063] 等同的，如果上述防护规则中的防护子规则作为黑名单使用，此时所述报文的报 文特征与上述防护子规则的防护特征均不匹配时，表明所述报文可能为正常处理的报文， 此时可W按照所述报文的正常处理流程进行处理所述报文即可。例如，当所述报文为TCPS 次握手的SYN报文，如果所述SYN报文满足建立TCP连接的条件，可W向其回应AO(报文，通过 S次握手继续建立连接。如果所述SYN报文不满足建立TCP连接的条件，可W向其回应拒绝 报文，终止TCP连接的建立过程。当所述报文为基于TCP或者UDP的数据报文，如果所述报文 的目的IP地址为本设备，则可W直接处理所述报文，如果所述报文的目的IP地址为其它设 备，可W将所述报文转发出去。
[0064] 值得说明的是，在实际应用中，用户可W通过特定的指令，对每组防护子规则中的 防护特征进行添加和删除操作。例如，可W通过编辑SO_FILTER_RULE_A孤指令来增加防护 特征，通过编辑SO_FILTER_TOLE_DELETE来删除防护特征W及通过编辑S0_FILTERJ?ULE_ UPDATE来更新防护特征。
[0065] 当然，除了可W对每组防护子规则中的防护特征进行添加 W外，用户也可W通过 特定的指令，对与上述防护特征对应的处理动作，W及上述防护子规则的默认处理动作进 行更改。即，在实际应用中，用户可W根据具体的安全防护需求，对与上述防护特征对应的 处理动作，W及上述防护子规则的默认处理动作进行更改，W适应实际的防护需求。
[0066] W下通过具体的应用实例对W上方案进行详述。
[0067] 在示出的一种实施方式中，上述防护规则可W设置单一的防护子规则。
[0068] 假设所述防护规则仅设置了一组将源IP地址作为防护特征的防护子规则，此组源 IP地址可W看作为一个源IP地址池。所述源IP地址池可W如下表3所示(表3仅示出所述源 IP地址池的部分信息）：
[0069]
[0070] 表 3
[0071] 当所述源IP地址作为白名单使用时，可W将与所述防护特征对应的处理动作设置 为正常处理报文，将与所述防护子规则对应的默认处理动作设置为丢弃报文。例如，假设接 收到的报文的源IP地址为1.1.1.1，则结合表3可知，所述报文的报文特征可W从所述源IP 地址池中找到，即所述报文的报文特征与所述防护规则中的防护子规则的防护特征匹配， 则所述报文可W判断为正常报文，此时，所述报文可W被正常处理。当所述报文为TCPS次 握手SYN报文时，网络设备可W回应AO(报文与对端建立TCP连接，或者回应拒绝报文拒绝建 立TCP连接；当所述报文为基于TCP或者UDP的数据报文时，如果所述报文的目的IP地址是此 网络设备的IP地址，则可W处理所述报文，如果所述报文的目的IP地址不是此网络设备的 IP地址，则可W将所述报文转发出去。
[0072] 在一个示例中，假设所述报文的源IP地址为1.1.1.6,则结合表3可知，所述报文的 报文特征与所述防护规则中的防护子规则的防护特征不匹配，表示所述报文可能为攻击报 文，此时，所述报文可W被丢弃，从而有效防止SYN Flood攻击或数据报文攻击。
[0073] 在一个示例中，假设如表3所示的源IP地址作为黑名单使用时，可W将与所述防护 特征对应的处理动作设置为丢弃报文，将与所述防护子规则对应的默认处理动作设置为正 常处理报文。假设接收到的报文的源IP地址为1.1.1.1，则所述报文可能为攻击报文，所述 报文可W被丢弃，从而有效防止SYN Flood攻击或数据报文攻击;假设接收到的报文的源IP 地址为1.1.1.6，则所述报文可能为正常报文，则当所述报文为TCPS次握手SYN报文时，网 络设备可W回应ACK报文与对端建立TCP连接或者回应拒绝报文拒绝建立TCP连接；当所述 报文为基于TCP或者UDP的数据报文时，如果所述报文的目的IP地址是此网络设备的IP地 址，则可W处理所述报文，如果所述报文的目的IP地址不是此网络设备的IP地址，则可W将 所述报文转发出去。
[0074] 在示出的一种实施方式中，上述防护规则可W设置多个防护子规则的组合。
[0075] 假设所述防护规则设置了多组防护子规则，例如分别设置了源IP地址池、目的IP 地址池、目的端口列表、源端口列表、源MAC地址池、TTL取值范围作为防护特征。所述源IP地 址池、目的IP地址池、目的端口列表、源端口列表、源MAC地址池、ITL取值范围可W如下表4 所示：
[0076]
[0077] 表 4
[0078] 表4中所示的防护特征可W均为白名单，或均为黑名单，或根据需求设置其中一些 防护特征为白名单，其余的防护特征为黑名单。
[0079] 假设表4中所示的防护特征均为白名单，则可W将与防护特征对应的处理动作设 置为与下一个防护特征进行匹配，可W将与所述防护子规则对应的默认处理动作设置为丢 弃报文。假设从接收到的报文中提取出的报文特征如下表5所示：
[0080] L0081J 表 5
[0082] 当如表5所示的报文特征与所述防护特征进行匹配时，可W先进行源IP地址匹配， 结合表4和表5可知，可W匹配成功，此时，与源IP地址运一防护特征对应的处理动作为与下 一个防护特征进行匹配;当如表5所示的报文特征与所述防护特征均匹配时，则可W判断所 述报文为正常报文，此时，所述报文可W被正常处理。当所述报文为TCPS次握手SYN报文 时，网络设备可W回应AO(报文与对端建立TCP连接，或者回应拒绝报文拒绝建立TCP连接； 当所述报文为基于TCP或者UDP的数据报文时，如果所述报文的目的IP地址是此网络设备的 IP地址，则可W处理所述报文，如果所述报文的目的IP地址不是此网络设备的IP地址，则可 W将所述报文转发出去。
[0083] 在一个示例中，假设从接收到的报文中提取出的报文特征如下表6所示： 「AAQyl 1 L UU化」 巧6
[0086] 结合表4和表6可知，所述报文的报文特征与所述防护特征并非完全匹配，因此，可 W判断所述报文为攻击报文。此时，所述报文可W被丢弃，从而有效防止SYN Flood攻击或 数据报文攻击。
[0087] 在一个示例中，假设表4中所示的防护特征均为黑名单，则可W将与防护特征对应 的处理动作设置为丢弃报文，可W将与所述防护子规则对应的默认处理动作设置为与下一 个防护特征进行匹配。假设从接收到的报文中提取出的报文特征如表7所示：
[0089] 表7
[0090] 当如表7所示的报文特征与所述防护特征进行匹配时，可W先进行源IP地址匹配， 结合表4和表7可知，匹配不成功，此时按照与所述防护特征对应的默认动作处理所述报文。 由所述默认动作为与下一个防护特征进行匹配可W得知，所述报文可W将下一个报文特征 与下一个防护特征进行匹配。结合表4和表7可知，所述报文为正常报文，可W被正常处理。
[0091] 在一个示例中，假设从接收到的报文中提取出的报文特征如表5所示时，则可W判 断所述报文为攻击报文。此时，所述报文可W被丢弃，从而有效防止SYN Flood攻击或数据 报文攻击。
[0092] 在一个示例中，假设表4所示的防护特征中的一些为白名单，其余的为黑名单，贝U 可W将与作为白名单的防护特征对应的处理动作设置为与下一个防护特征进行匹配，将与 作为白名单的防护特征的防护子规则对应的默认处理动作设置为丢弃报文，将与作为黑名 单的防护特征对应的处理动作设置为丢弃报文，将与作为黑名单的防护特征的防护子规则 对应的默认处理动作设置为与下一个防护特征进行匹配。具体实施过程与上述实施过程类 似，在此不再寶述。
[0093] 需要说明的是，所述自定义防护特征可W具体如下表8所示：
[0094]
[0096] 当所述自定义防护特征作为白名单使用时，可W将与所述自定义防护特征对应的 处理动作设置为正常处理报文，将与所述防护子规则对应的默认处理动作设置为丢弃报 文。例如，根据从所述报文中提取的报文特征满足表8所示的去离UDP头的8个字节处1字节 的字段取值为1时，即所述报文的报文特征与所述防护规则中的防护子规则的自定义防护 特征匹配，则所述报文可W判断为正常报文;反之，可W判断所述报文为攻击报文。
[0097] 当如表8所示的所述自定义防护特征作为黑名单使用时，可W将与所述自定义防 护特征对应的处理动作设置为丢弃报文，将与所述防护子规则对应的默认处理动作设置为 正常处理报文。例如，根据从所述报文中提取的报文特征满足表8所示的去离UDP头的8个字 节处1字节的字段取值为1时，即所述报文的报文特征与所述防护规则中的防护子规则的自 定义防护特征匹配，则所述报文可W判断为攻击报文；反之，可W判断所述报文为正常报 文。
[0098] 值得说明的是，上述例子仅为示例性的，实际应用中与每一个防护子规则的防护 特征对应的处理动作，W及每一组防护子规则的默认处理动作，可W根据实际的安全防护 需求，由用户进行设置。
[0099] 本申请提供报文攻击防护的方法及装置，网络设备将接收到的报文与本地的 Socket进行匹配，并在匹配成功且Socket设置预设标识时，调用与所述预设标识对应的防 护规则对所述报文进行安全防护，丢弃不满足防护规则的报文。由于本申请不需要根据报 文所属的应用类型单独制定防护规则，当新增应用类型时，网络设备不需要重新更新防护 规则。因此，本申请具有通用性更好的优点，能够更好地实现对攻击报文的防护。
[0100] 与前述报文攻击防护的方法的实施例相对应，本申请还提供了报文攻击防护的装 置的实施例。
[0101] 本申请报文攻击防护的装置的实施例可W应用在网络设备上。装置实施例可W通 过软件实现，也可W通过硬件或者软硬件结合的方式实现。W软件实现为例，作为一个逻辑 意义上的装置，是通过其所在设备的处理器将非易失性存储器中对应的计算机程序指令读 取到内存中运行形成的。从硬件层面而言，如图3所示，为本申请报文攻击防护的装置所在 设备的一种硬件结构图，除了图3所示的处理器、内存、网络接口、W及非易失性存储器之 夕h实施例中装置所在的设备通常还可W包括其他硬件，如负责处理报文的转发忍片等等。
[0102] 请参考图4,为本申请报文攻击防护的装置一个实施例框图：
[0103] 该装置可W包括:匹配单元410、检查单元420W及防护单元430。
[0104] 匹配单元410,用于根据接收到的报文匹配套接字Socket;
[0105] 检查单元420,用于当接收到的报文匹配到本地任一 Socket时，检查所述Socket是 否设置了预设标识；
[0106] 防护单元430,用于当所述Socket设置了所述预设标识时，调用与所述预设标识对 应的防护规则对所述报文进行安全防护。
[0107] 在一个可选的实现方式中，所述防护单元430可W具体用于：
[0108] 当所述Socket设置了所述预设标识时，判断所述预设标识的取值是否为预设值， 其中所述预设标识的取值为预设值时表示所述网络设备预先设置了与所述预设标识对应 的防护规则；当所述预设标识的取值为预设值时，则调用预先设置的与所述预设标识对应 的防护规则对所述报文进行安全防护。
[0109] 在另一个可选的实现方式中，所述防护规则包括若干防护子规则，所述防护子规 则包括防护特征，W及与所述防护特征对应的处理动作；
[0110] 请参见图5,所述防护单元430可W包括：
[0111] 提取子单元430A，用于提取所述报文的报文特征；
[0112] 匹配子单元430B，用于将所述报文的报文特征与所述若干防护子规则的防护特征 进行匹配；
[0113] 第一处理子单元430C，用于当所述报文的报文特征与任一防护子规则的防护特征 匹配时，根据与所述防护特征对应的处理动作处理所述报文。
[0114] 在另一个可选的实现方式中，所述防护子规则预设了对应的默认处理动作；
[0115] 请继续参见图5,所述防护单元430还可W包括：
[0116] 第二处理子单元430D，用于当所述报文的报文特征与任一防护子规则的防护特征 均不匹配时，根据与所述防护子规则对应的默认处理动作处理所述报文。
[0117] 在一个可选的实现方式中，所述防护特征包括源IP地址、目的IP地址、源端口、目 的端口、源MC地址、生存时间值ITL中的一个或者多个；
[0118] 与所述防护特征对应的处理动作W及与所述防护子规则对应的默认处理动作可 W包括：
[0119] 丢弃所述报文、正常处理所述报文、将所述报文的报文特征与下一个防护子规则 的防护特征进行匹配。
[0120] 在一个可选的实现方式中，所述预设标识为新增的Socket选项所设置。
[0121] 上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的 实现过程，在此不再寶述。
[0122] 对于装置实施例而言，由于其基本对应于方法实施例，所W相关之处参见方法实 施例的部分说明即可。W上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件 说明的单元可W是或者也可W不是物理上分开的，作为单元显示的部件可W是或者也可W 不是物理单元，即可W位于一个地方，或者也可W分布到多个网络单元上。可W根据实际的 需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付 出创造性劳动的情况下，即可W理解并实施。
[0123] 本申请实施例中，网络设备将接收到的报文与本地Socket进行匹配，并在匹配成 功且Socket设置预设标识时，调用与所述预设标识对应的防护规则对所述报文进行安全防 护，丢弃不满足防护规则的报文即攻击报文。因为本申请不需要根据报文所属的应用类型 单独制定防护规则，因此，当新增应用类型时，网络设备不需要重新更新防护规则。因此，本 申请能够解决现有技术通用性差的问题，更好地实现对攻击报文的防护。
[0124] W上所述仅为本申请的较佳实施例而已，并不用W限制本申请，凡在本申请的精 神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本申请保护的范围之内。
【主权项】
1. 一种报文攻击防护的方法，其特征在于，所述方法应用于网络设备上，所述方法包 括： 根据接收到的报文匹配套接字Socket; 当接收到的报文匹配到本地任一 Socket时，检查所述Socket是否设置了预设标识； 当所述Socket设置了所述预设标识时，调用与所述预设标识对应的防护规则对所述报 文进行安全防护。2. 根据权利要求1所述的方法，其特征在于，所述当所述Socket设置了所述预设标识 时，调用与所述预设标识对应的防护规则对所述报文进行安全防护，包括： 当所述Socket设置了所述预设标识时，判断所述预设标识的取值是否为预设值，其中 所述预设标识的取值为预设值时表示所述网络设备预先设置了与所述预设标识对应的防 护规则； 当所述预设标识的取值为预设值时，则调用预先设置的与所述预设标识对应的防护规 则对所述报文进行安全防护。3. 根据权利要求1或2所述的方法，其特征在于，所述防护规则包括若干防护子规则，所 述防护子规则包括防护特征，以及与所述防护特征对应的处理动作； 所述调用所述防护规则对所述报文进行安全防护包括： 提取所述报文的报文特征； 将所述报文的报文特征与所述若干防护子规则的防护特征进行匹配； 当所述报文的报文特征与任一防护子规则的防护特征匹配时，根据与所述防护特征对 应的处理动作处理所述报文。4. 根据权利要求3所述的方法，其特征在于，所述防护子规则预设了对应的默认处理动 作； 所述方法还包括： 当所述报文的报文特征与任一防护子规则的防护特征均不匹配时，根据与所述防护子 规则对应的默认处理动作处理所述报文。5. 根据权利要求4所述的方法，其特征在于，所述防护特征包括源IP地址、目的IP地址、 源端口、目的端口、源MAC地址、生存时间值TTL中的一个或者多个； 与所述防护特征对应的处理动作以及与所述防护子规则对应的默认处理动作包括： 丢弃所述报文、正常处理所述报文、将所述报文的报文特征与下一个防护子规则的防 护特征进行匹配。6. 根据权利要求1所述的方法，其特征在于，所述预设标识为新增的Socket选项所设 置。7. -种报文攻击防护的装置，其特征在于，所述装置应用于网络设备上，所述装置包 括： 匹配单元，用于根据接收到的报文匹配套接字Socket; 检查单元，用于当接收到的报文匹配到本地任一Socket时，检查所述Socket是否设置 了预设标识； 防护单元，用于当所述Socket设置了所述预设标识时，调用与所述预设标识对应的防 护规则对所述报文进行安全防护。8. 根据权利要求7所述的装置，其特征在于，所述防护单元具体用于： 当所述Socket设置了所述预设标识时，判断所述预设标识的取值是否为预设值，其中 所述预设标识的取值为预设值时表示所述网络设备预先设置了与所述预设标识对应的防 护规则；当所述预设标识的取值为预设值时，则调用预先设置的与所述预设标识对应的防 护规则对所述报文进行安全防护。9. 根据权利要求7或8所述的装置，其特征在于，所述防护规则包括若干防护子规则，所 述防护子规则包括防护特征，以及与所述防护特征对应的处理动作； 所述防护单元包括： 提取子单元，用于提取所述报文的报文特征； 匹配子单元，用于将所述报文的报文特征与所述若干防护子规则的防护特征进行匹 配； 第一处理子单元，用于当所述报文的报文特征与任一防护子规则的防护特征匹配时， 根据与所述防护特征对应的处理动作处理所述报文。10. 根据权利要求9所述的装置，其特征在于，所述防护子规则预设了对应的默认处理 动作； 所述防护单元还包括： 第二处理子单元，用于当所述报文的报文特征与任一防护子规则的防护特征均不匹配 时，根据与所述防护子规则对应的默认处理动作处理所述报文。11. 根据权利要求10述的装置，其特征在于，所述防护特征包括源IP地址、目的IP地址、 源端口、目的端口、源MAC地址、生存时间值TTL中的一个或者多个； 与所述防护特征对应的处理动作以及与所述防护子规则对应的默认处理动作包括： 丢弃所述报文、正常处理所述报文、将所述报文的报文特征与下一个防护子规则的防 护特征进行匹配。12. 根据权利要求7所述的装置，其特征在于，所述预设标识为新增的Socket选项所设 置。
【文档编号】H04L29/06GK105939322SQ201510898264
【公开日】2016年9月14日
【申请日】2015年12月8日
【发明人】王富涛
【申请人】杭州迪普科技有限公司