处理报文的方法及装置的制造方法

处理报文的方法及装置的制造方法
【专利摘要】本申请提供处理报文的方法及装置，所述方法包括：解析接收到的超文本传输协议HTTP请求报文，获得报文特征；根据所述报文特征查找预先保存的黑名单，若从所述黑名单中查找到所述报文特征，则确定所述HTTP请求报文为攻击报文，阻断所述HTTP请求报文，否则，放行所述HTTP请求报文，其中，所述黑名单为基于可疑报文特征进行更新的黑名单；若从所述黑名单中未查找到所述报文特征，则根据所述报文特征进行统计，并根据统计结果得出可疑报文特征。应用本实施例有效的识别出攻击报文，做到防范DDoS攻击。
【专利说明】
处理报文的方法及装置
技术领域
[0001] 本申请设及网络通信技术领域，尤其设及处理报文的方法及装置。
【背景技术】
[0002] DDoS (Distributed Denial of Service,分布式拒绝服务攻击）是指借助于客户/ 服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发起攻击，从而成倍 地提高拒绝服务攻击的威力。DDoS攻击通过发送大量的报文占用大量网络资源，W达到使 网络擁痕的目的，其中常见的攻击方式包括W下四种：通过使网络过载来干扰甚至阻断正 常的网络通讯、通过向服务器提交大量请求使服务器超负荷、阻断某一用户访问服务器、阻 断某服务与特定系统或个人的通讯。现有技术中，在防范DDoS攻击时，根据报文的发送速 率作为攻击行为的识别依据，当报文被识别为攻击报文后，将该类报文屏蔽，可W达到防范 DDoS攻击的目的。
[0003] 然而，在报文的发送速率较低或者与正常报文的发送速率相似的情况下通过上述 方案通常无法识别出攻击报文，从而无法防范DDoS攻击。

【发明内容】

[0004] 有鉴于此，本申请提供一种处理报文的方法及装置，W解决在报文的发送速率较 低或者与正常报文发送速率相似的情况下难W防范DDoS攻击的问题。 阳0化]具体地，本申请是通过如下技术方案实现的：
[0006] 根据本申请实施例的第一方面，提供处理报文的方法，所述方法应用在攻击识别 设备上，所述方法包括：
[0007] 解析接收到的超文本传输协议HTTP请求报文，获得报文特征；
[0008] 根据所述报文特征查找预先保存的黑名单，若从所述黑名单中查找到所述报文特 征，则确定所述HTTP请求报文为攻击报文，阻断所述HTTP请求报文，否则，放行所述HTTP 请求报文，其中，所述黑名单为基于可疑报文特征进行更新的黑名单；
[0009] 若从所述黑名单中未查找到所述报文特征，则根据所述报文特征进行统计，并根 据统计结果得出可疑报文特征。
[0010] 根据本申请实施例的第二方面，提供处理报文的装置，所述装置应用在攻击识别 设备上，所述装置包括：
[0011] 解析单元，用于解析接收到的HTTP请求报文，获得报文特征；
[0012] 查找单元，用于根据所述报文特征查找预先保存的黑名单，所述黑名单为基于可 疑报文特征进行更新的黑名单；
[0013] 阻断单元，用于在从所述黑名单中查找到所述报文特征时，确定所述HTTP请求报 文为攻击报文，阻断所述HTTP请求报文；
[0014] 放行单元，用于在从所述黑名单中未查找到所述报文特征时，放行所述HTTP请求 报文；
[0015] 统计单元，用于在从所述黑名单中未查找到所述报文特征时，根据所述报文特征 进行统计并根据统计结果得出可疑报文特征。
[0016] 应用上述实施例，由于可W根据报文特征对报文的访问次数进行统计，并根据报 文的访问次数识别攻击报文，从而在报文的发送速率较低或者与正常报文的发送速率相似 的情况下，有效的识别出攻击报文，做到防范DDoS攻击。
【附图说明】
[0017] 图1是本申请实施例实现处理报文的方法的应用场景示意图。
[0018] 图2是本申请处理报文的方法的一个实施例流程图。
[0019] 图3是本申请处理报文的装置所在设备的一种硬件结构图。
[0020] 图4是本申请处理报文的装置的一个实施例框图。
【具体实施方式】
[0021] 运里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述设及 附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。W下示例性实施例 中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反，它们仅是与如所附 权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
[0022] 在本申请使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本申请。 在本申请和所附权利要求书中所使用的单数形式的"一种"、"所述"和"该"也旨在包括多 数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语"和/或"是指 并包含一个或多个相关联的列出项目的任何或所有可能组合。
[0023] 应当理解，尽管在本申请可能采用术语第一、第二、第S等来描述各种信息，但运 些信息不应限于运些术语。运些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离 本申请范围的情况下，第一信息也可W被称为第二信息，类似地，第二信息也可W被称为第 一信息。取决于语境，如在此所使用的词语"如果"可W被解释成为"在……时"或"当…… 时"或"响应于确定"。
[0024] 现有技术中，攻击者可W使用DDoS攻击方式对服务器进行攻击，为了防范攻击， 通常将报文的发送速率作为攻击报文的识别依据，当发送速率较大时将该类报文识别为攻 击报文，并阻断攻击报文，从而达到防范DDoS攻击的目的。然而，在报文的发送速率较低或 者与正常报文的发送速率相似的情况下，通过上述方法通常无法识别出攻击报文，从而无 法防范孤OS攻击。
[00巧]请参见图1，为本申请实施例实现处理报文的方法的应用场景示意图。其中控制端 控制多个攻击终端，例如图1示出的攻击终端1至攻击终端n(n为大于1的自然数），攻击 终端向服务器发送大量的HTTP(Hyper Text Transfer Protocol,超文本传输协议）请求报 文，攻击终端与正常终端所发送的HTTP请求报文都将先传输到攻击识别设备，由攻击识别 设备对接收到的报文进行解析，识别出攻击报文并进行阻断，正常报文则放行至服务器，从 而做到防范DDoS攻击。可W理解的是本实施例中的攻击终端与正常终端仅W电脑为例进 行说明，实际应用中的攻击终端与正常终端可W是手机、平板电脑等其他具备网络资源访 问功能的终端。
[00%] 请参见图2,为本申请处理报文的方法的一个实施例流程图，所述方法应用在攻击 识别设备上，包括W下步骤：
[0027] 步骤S201 :解析接收到的HTTP请求报文，获得报文特征。
[0028] 参见图1，正常终端和攻击终端都对同一服务器进行访问，在网络中设置攻击识别 设备，正常终端和攻击终端向服务器发送HTTP请求报文时，运些HTTP请求报文都将传输到 攻击识别设备，攻击识别设备可W对运些HTTP请求报文进行解析，识别其安全性。
[0029] 攻击识别设备对接收到的HTTP请求报文进行解析，可W获得HTTP请求报文 的源IP(Internet Protocol,网络之间互联的协议）地址和URI (Uniform Resource Identifier,统一资源标识符）地址作为报文特征，URI地址用来唯一的标识该服务器上的 资源。
[0030] 步骤S202 :根据所述报文特征查找预先保存的黑名单，所述黑名单为基于可疑报 文特征进行更新的黑名单，若查找到所述报文特征，则执行步骤S203 ;若未查找到所述报 文特征，则分别执行步骤S204和步骤S205。
[0031] 在一个可选的实现方式中，可W预先设置黑名单，所述黑名单中初始包括已识别 出的攻击报文的报文特征，当通过后续流程的执行结果获得可疑报文特征后，还可W进一 步基于所述可疑报文特征更新该黑名单，从而实现对黑名单的动态维护。
[0032] 当步骤S201中获得的报文特征为HTTP请求报文的源IP地址时，所述黑名单为IP 地址名单，本步骤可W根据该源IP地址查找所述黑名单，若查找到所述源IP地址，则执行 步骤S203 ;若未查找到所述源IP地址，则分别执行步骤S204和步骤S205。
[0033] 步骤S203 :确定所述HTTP请求报文为攻击报文，阻断所述HTTP请求报文；结束流 程。
[0034] 由步骤S202所述，黑名单中包括已识别出的攻击终端的IP地址，根据HTTP请求 报文的源IP地址查找所述黑名单，若查找到所述源IP地址，则可W确定该HTTP请求报文 为攻击终端发送的攻击报文，阻断该HTTP请求报文，从而做到防范DDoS攻击。 阳03引步骤S204 :放行所述HTTP请求报文；结束流程。
[0036] 步骤S205 :根据所述报文特征进行统计并根据所述统计结果得出可疑报文特征。
[0037] 当步骤S202根据报文特征查找预先保存的黑名单，未查找到所述报文特征时，并 不能确定所述HTTP请求报文一定不是攻击报文，为了更有效的防范DDoS攻击，可W对上述 未查找到报文特征的HTTP请求报文进行统计。
[0038] 一般来说，正常终端访问服务器时，向服务器发送HTTP请求报文，运些HTTP请求 报文中的URI地址可W有所不同，比如访问Web网页时，正常终端可W向服务器发送多个 包括不同URI地址的HTTP请求报文，分别用W获取Web网页的HTML (Hyper Text Markup Language,超文本标记语言）文件、CSSKascading Style Sheets,层叠样式表）文件、 JSQavaScript,化va脚本语言）文件和图片等一系列相关文件，而攻击终端访问服务器 时，所发送的HTTP请求报文通常只包含同一个URI地址。因此，可W在一段时间内，比如1 小时，5小时，甚至24小时，根据HTTP请求报文的源IP地址与URI地址对HTTP请求报文的 访问次数进行统计。
[0039] 在一个可选的实现方式中，可W预先设置统计名单，该统计名单可W包括报文特 征和统计数值的对应关系，其中报文特征可W包括IP地址W及URI地址，其对应的统计数 值用于表示接收到包括该报文特征的HTTP请求报文的次数。参见下表1所示，为统计名单 的示例：
[0040]表 1 [0041 ]
[0042] 当步骤S202根据报文特征查找预先保存的黑名单，未查找到所述报文特征时，贝U 可W根据报文特征查找如表1所示的统计名单，若查找到所述报文特征，说明攻击识别设 备并非首次接收到包括该报文特征的HTTP请求报文，可W将所述报文特征对应的统计数 值加1 ;否则，说明攻击识别设备首次接收到包括该报文特征的HTTP请求报文，可W将所述 报文特征添加到所述统计名单中，并将其对应的统计数值置为1，W便后续统计接收到包括 该报文特征的HTTP请求报文的次数。由上所述，根据报文特征可W统计在一段时间内接收 到包括该报文特征的HTTP请求报文的次数，可W根据该次数得出可疑报文特征。
[0043] 在一个可选的实现方式中，可W预先设置一个阔值，用来表示在一段时间内，允许 攻击识别设备接收到包括相同报文特征的HTTP请求报文的次数，可W判断统计名单中的 统计数值是否达到所述阔值，若是，说明该统计数值对应的报文特征为可疑报文特征，包括 该报文特征的HTTP请求报文很有可能为攻击报文。
[0044] 进一步地，当得出报文特征为可疑报文特征后，可W采用预先设置的方式将该报 文特征标识为可疑报文特征。
[0045] 在一个可选的实现方式中，所述统计名单还可W包括报文特征与可疑标识的对应 关系，所述可疑标识用于表示该报文特征是否为可疑报文特征。参见下表2所示，为统计名 单的另一个示例：
[0046] 表 2
[0047]
[0049] 在上述表2中，假设可疑标识为"0"时，表示该可疑标识对应的报文特征不是可疑 报文特征，可疑标识为"I"时，表示该可疑标识对应的报文特征是可疑报文特征。
[0050] 当得出报文特征为可疑报文特征后，并且该报文特征对应的可疑标识不为"1"时， 则可W将该报文特征对应的可疑标识置为"1"，从而实现将报文特征标识为可疑报文特征。
[0051] 在另一个可选的实现方式中，可W预先设置可疑名单，当得出报文特征为可疑报 文特征后，可W将该报文特征和统计数值的对应关系添加到可疑名单中。
[0052] 进一步地，所述可疑报文特征可W作为更新黑名单的依据，攻击识别设备可W将 被选中的可疑报文特征添加到黑名单中。
[0053] 在一个可选的实现方式中，可W在Web界面上实时显示可疑报文特征，该Web界面 上可W包括选择/取消栏位，W使网络管理者可W通过该选择/取消栏位选中或者取消选 中Web界面中的可疑报文特征，若可疑报文特征被选中，则攻击识别设备可W将被选中的 可疑报文特征添加到黑名单中。
[0054] 在另一个可选的实现方式中，可W根据统计数值对可疑报文特征进行排序，具体 的，可W对统计数值W从大到小的顺序进行排序，从而实现对可疑报文特征的排序，还可W 设置每隔一段时间（比如每隔五分钟或每隔10分钟）攻击识别设备便执行一次上述排序。 之后，可W根据排序结果，在Web界面显示位于前N位的可疑报文特征（N为大于等于1的 自然数），该Web界面上可W包括选择/取消栏位，W使网络管理者可W通过该选择/取消 栏位选中或者取消选中Web界面中的可疑报文特征，攻击识别设备可W将被选中的可疑报 文特征添加到黑名单。
[0055] 应用上述实施例，由于可W根据报文特征对报文的访问次数进行统计，并根据报 文的访问次数识别攻击报文，从而在报文的发送速率较低或者与正常报文的发送速率相似 的情况下，有效的识别出攻击报文，做到防范DDoS攻击。
[0056] 与前述处理报文的方法的实施例相对应，本申请还提供了处理报文的装置的实施 例。
[0057] 本申请处理报文的装置的实施例可W应用在攻击识别设备上。装置实施例可W通 过软件实现，也可W通过硬件或者软硬件结合的方式实现。W软件实现为例，作为一个逻辑 意义上的装置，是通过其所在攻击识别设备的处理器将非易失性存储器中对应的计算机程 序指令读取到内存中运行形成的。从硬件层面而言，如图3所示，为本申请处理报文的装置 所在设备的一种硬件结构图，除了图3所示的处理器、内存、网络接口、W及非易失性存储 器之外，实施例中装置所在的攻击识别设备通常根据该攻击识别设备的实际功能，还可W 包括其他硬件，对此不再寶述。
[0058] 请参考图4,为本申请处理报文的装置的一个实施例框图，所述装置应用在攻击识 别设备上，所述装置包括：解析单元410、查找单元420、阻断单元430、放行单元440、统计单 元 450。
[0059] 其中，所述解析单元410,用于解析接收到的HTTP请求报文，获得报文特征；
[0060] 查找单元420,用于根据所述报文特征查找预先保存的黑名单，所述黑名单为基于 可疑报文特征进行更新的黑名单；
[0061] 阻断单元430,用于在从所述黑名单中查找到所述报文特征时，确定所述HTTP请 求报文为攻击报文，阻断所述HTTP请求报文；
[0062] 放行单元440,用于在从所述黑名单中未查找到所述报文特征时，放行所述HTTP 请求报文；
[0063] 统计单元450，用于在从所述黑名单中未查找到所述报文特征时，根据所述报文特 征进行统计并根据统计结果得出可疑报文特征。 W64] 在一个可选的实现方式中，所述统计单元450包括（图4中未示出）：查找子单元、 增加子单元、添加子单元。
[0065] 其中，所述查找子单元，用于根据所述报文特征查找预先保存的统计名单，所述统 计名单包括报文特征和统计数值的对应关系；
[0066] 所述增加子单元，用于在从所述统计名单中查找到所述报文特征时，将所述报文 特征对应的统计数值加1 ;
[0067] 所述添加子单元，用于在从所述统计名单中未查找到所述报文特征时，将所述报 文特征添加到所述统计名单中，并将所述报文特征对应的统计数值置为1。
[0068] 在另一个可选的实现方式中，所述统计单元450还包括：（图4中未示出）：判断子 单元、标识子单元。
[0069] 其中，所述判断子单元，用于判断所述统计名单中的数值是否达到预先设置的阔 值；
[0070] 所述标识子单元，用于在判断得出所述统计名单中的统计数值达到预先设置的阔 值时，将所述统计数值对应的报文特征标识为可疑报文特征。
[0071] 在另一个可选的实现方式中，所述装置还包括（图4中未示出）：显示单元、添加 单元。
[0072] 其中，所述显示单元，用于在Web界面显示所述可疑报文特征；
[0073] 所述添加单元，用于将所述Web界面中被选中的可疑报文特征添加到所述黑名 单。
[0074] 在另一个可选的实现方式中，所述显示单元包括（图4中未示出）：排序子单元、 显示子单元。
[00巧]其中，所述排序子单元，用于将所述可疑报文特征按照对应的统计数值W从大到 小的顺序进行排序；
[0076] 显示子单元，用于在Web界面显示排在前N位的可疑报文特征，所述N为大于1的 自然数。
[0077] 上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的 实现过程，在此不再寶述。
[0078] 对于装置实施例而言，由于其基本对应于方法实施例，所W相关之处参见方法实 施例的部分说明即可。W上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件 说明的单元可W是或者也可W不是物理上分开的，作为单元显示的部件可W是或者也可W 不是物理单元，即可W位于一个地方，或者也可W分布到多个网络单元上。可W根据实际的 需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付 出创造性劳动的情况下，即可W理解并实施。
[0079] W上所述仅为本申请的较佳实施例而已，并不用W限制本申请，凡在本申请的精 神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本申请保护的范围之内。
【主权项】
1. 一种处理报文的方法，其特征在于，所述方法应用在攻击识别设备上，所述方法包 括： 解析接收到的超文本传输协议HTTP请求报文，获得报文特征； 根据所述报文特征查找预先保存的黑名单，若从所述黑名单中查找到所述报文特征， 则确定所述HTTP请求报文为攻击报文，阻断所述HTTP请求报文，否则，放行所述HTTP请求 报文，其中，所述黑名单为基于可疑报文特征进行更新的黑名单； 若从所述黑名单中未查找到所述报文特征，则根据所述报文特征进行统计，并根据统 计结果得出可疑报文特征。2. 根据权利要求1所述的方法，其特征在于，所述根据所述报文特征进行统计包括： 根据所述报文特征查找预先保存的统计名单，所述统计名单包括报文特征和统计数值 的对应关系； 若从所述统计名单中查找到所述报文特征，则将所述报文特征对应的统计数值加1 ; 若从所述统计名单中未查找到所述报文特征，则将所述报文特征添加到所述统计名单 中，并将所述报文特征对应的统计数值置为1。3. 根据权利要求2所述的方法，其特征在于，所述根据统计结果得出可疑报文特征包 括： 判断所述统计名单中的统计数值是否达到预先设置的阈值，若是，则将所述统计数值 对应的报文特征标识为可疑报文特征。4. 根据权利要求3所述的方法，其特征在于，所述方法还包括： 在Web界面显示所述可疑报文特征； 将所述Web界面中被选中的可疑报文特征添加到所述黑名单。5. 根据权利要求4所述的方法，其特征在于，所述在Web界面显示所述可疑报文特征包 括： 将所述可疑报文特征按照对应的统计数值以从大到小的顺序进行排序； 在所述Web界面显示排在前N位的可疑报文特征，所述N为大于1的自然数。6. -种处理报文的装置，其特征在于，所述装置应用在攻击识别设备上，所述装置包 括： 解析单元，用于解析接收到的HTTP请求报文，获得报文特征； 查找单元，用于根据所述报文特征查找预先保存的黑名单，所述黑名单为基于可疑报 文特征进行更新的黑名单； 阻断单元，用于在从所述黑名单中查找到所述报文特征时，确定所述HTTP请求报文为 攻击报文，阻断所述HTTP请求报文； 放行单元，用于在从所述黑名单中未查找到所述报文特征时，放行所述HTTP请求报 文； 统计单元，用于在从所述黑名单中未查找到所述报文特征时，根据所述报文特征进行 统计并根据统计结果得出可疑报文特征。7. 根据权利要求6所述的装置，其特征在于，所述统计单元包括： 查找子单元，用于根据所述报文特征查找预先保存的统计名单，所述统计名单包括报 文特征和统计数值的对应关系； 增加子单元，用于在从所述统计名单中查找到所述报文特征时，将所述报文特征对应 的统计数值加1 ; 添加子单元，用于在从所述统计名单中未查找到所述报文特征时，将所述报文特征添 加到所述统计名单中，并将所述报文特征对应的统计数值置为1。8. 根据权利要求7所述的装置，其特征在于，所述统计单元还包括： 判断子单元，用于判断所述统计名单中的统计数值是否达到预先设置的阈值； 标识子单元，用于在判断得出所述统计名单中的统计数值达到预先设置的阈值时，将 所述统计数值对应的报文特征标识为可疑报文特征。9. 根据权利要求8所述的装置，其特征在于，所述装置还包括： 显示单元，用于在Web界面显示所述可疑报文特征； 添加单元，用于将所述Web界面中被选中的可疑报文特征添加到所述黑名单。10. 根据权利要求9所述的装置，其特征在于，所述显示单元包括： 排序子单元，用于将所述可疑报文特征按照对应的统计数值以从大到小的顺序进行排 序； 显示子单元，用于在Web界面显示排在前N位的可疑报文特征，所述N为大于1的自然 数。
【文档编号】H04L29/08GK105939320SQ201510874597
【公开日】2016年9月14日
【申请日】2015年12月2日
【发明人】杨学良
【申请人】杭州迪普科技有限公司