本發(fā)明涉及通信
技術(shù)領(lǐng)域:
,尤其涉及一種報(bào)文處理方法和裝置。
背景技術(shù):
:近年來(lái),隨著計(jì)算機(jī)、網(wǎng)絡(luò)以及圖像處理、傳輸技術(shù)的飛速發(fā)展,視頻監(jiān)控系統(tǒng)的普及化趨勢(shì)越來(lái)越明顯,視頻監(jiān)控系統(tǒng)正在逐步邁入高清化,智能化,視頻監(jiān)控系統(tǒng)可以應(yīng)用于眾多領(lǐng)域,如智能交通,智慧園區(qū)、平安城市等。目前,視頻監(jiān)控系統(tǒng)對(duì)安全防范的要求越來(lái)越高,為了提高安全性,通過在被保護(hù)設(shè)備之前放置安全設(shè)備,以使用安全設(shè)備對(duì)訪問被保護(hù)設(shè)備的報(bào)文進(jìn)行過濾,從而避免將攻擊報(bào)文傳輸?shù)奖槐Wo(hù)設(shè)備上,且不影響正常業(yè)務(wù)報(bào)文的傳輸,從而可以防止攻擊者對(duì)被保護(hù)設(shè)備的攻擊,保障被保護(hù)設(shè)備的安全性。為了實(shí)現(xiàn)上述過程,安全設(shè)備在接收到報(bào)文后,需要分析該報(bào)文是否為攻擊報(bào)文,如果是,則丟棄該報(bào)文,如果否,則將該報(bào)文發(fā)送給被保護(hù)設(shè)備。但是,在該方式下,安全設(shè)備需要對(duì)接收到的所有報(bào)文進(jìn)行分析,當(dāng)有大量報(bào)文訪問被保護(hù)設(shè)備時(shí),安全設(shè)備就需要對(duì)大量報(bào)文進(jìn)行分析,安全設(shè)備的處理性能可能無(wú)法滿足大量分析的需求,從而無(wú)法滿足大流量視頻監(jiān)控環(huán)境的應(yīng)用。技術(shù)實(shí)現(xiàn)要素:本發(fā)明提供一種報(bào)文處理方法,應(yīng)用在安全設(shè)備上,所述方法包括:接收來(lái)自管理服務(wù)器的合法報(bào)文特征,并將所述合法報(bào)文特征組成合法特征集合;所述合法報(bào)文特征是所述管理服務(wù)器基于點(diǎn)播流量信息獲取的;在接收到報(bào)文之后,從所述報(bào)文中解析出報(bào)文特征,并查詢所述合法特征集合中是否存在所述報(bào)文特征;如果存在所述報(bào)文特征,則轉(zhuǎn)發(fā)所述報(bào)文;如果不存在所述報(bào)文特征,則利用預(yù)先配置的第一黑名單分析所述報(bào)文是否為非法報(bào)文;如果是,則丟棄所述報(bào)文,如果否,則轉(zhuǎn)發(fā)所述報(bào)文。所述方法還包括:在所述安全設(shè)備的注冊(cè)過程中,向所述管理服務(wù)器發(fā)送注冊(cè)請(qǐng)求報(bào)文,并接收來(lái)自所述管理服務(wù)器的注冊(cè)響應(yīng)報(bào)文,所述注冊(cè)響應(yīng)報(bào)文中攜帶有所述第一黑名單;或者,接收來(lái)自所述管理服務(wù)器的配置下發(fā)報(bào)文,所述配置下發(fā)報(bào)文中攜帶有所述第一黑名單;其中,所述第一黑名單包括需要拒絕訪問的端口;所述利用預(yù)先配置的第一黑名單分析所述報(bào)文是否為非法報(bào)文的過程,具體包括:分析所述報(bào)文是否訪問所述第一黑名單中的端口;如果是,則分析出所述報(bào)文是非法報(bào)文,如果否,則分析出所述報(bào)文不是非法報(bào)文。所述從報(bào)文中解析出報(bào)文特征,并查詢所述合法特征集合中是否存在所述報(bào)文特征之前,所述方法還包括:從所述報(bào)文中解析出源IP地址,并查詢預(yù)先配置的第二黑名單中是否存在所述源IP地址;如果存在,則丟棄所述報(bào)文;如果不存在,則執(zhí)行從所述報(bào)文中解析出報(bào)文特征,并查詢所述合法特征集合中是否存在所述報(bào)文特征的過程。所述利用預(yù)先配置的第一黑名單分析所述報(bào)文是否為非法報(bào)文之后,所述方法進(jìn)一步包括:如果所述報(bào)文是非法報(bào)文,將所述報(bào)文的源IP地址對(duì)應(yīng)的非法訪問次數(shù)加1,并判斷所述非法訪問次數(shù)是否達(dá)到預(yù)設(shè)閾值;如果是,則將所述源IP地址添加到所述第二黑名單中,并通過所述第二黑名單丟棄所述源IP地址對(duì)應(yīng)的報(bào)文。所述報(bào)文特征具體包括:源IP地址、源端口、目的IP地址、目的端口、協(xié)議類型;所述安全設(shè)備用于對(duì)與本安全設(shè)備連接的被保護(hù)設(shè)備提供保護(hù)。本發(fā)明提供一種報(bào)文處理裝置,應(yīng)用在安全設(shè)備上,所述裝置包括:記錄模塊,用于接收來(lái)自管理服務(wù)器的合法報(bào)文特征,并將所述合法報(bào)文特征組成合法特征集合;其中,所述合法報(bào)文特征是所述管理服務(wù)器基于點(diǎn)播流量信息獲取的;處理模塊,用于在接收到報(bào)文之后,從所述報(bào)文中解析出報(bào)文特征,并查詢所述合法特征集合中是否存在所述報(bào)文特征;如果存在所述報(bào)文特征,則轉(zhuǎn)發(fā)所述報(bào)文;如果不存在所述報(bào)文特征,則利用預(yù)先配置的第一黑名單分析所述報(bào)文是否為非法報(bào)文;如果是,則丟棄所述報(bào)文,如果否,則轉(zhuǎn)發(fā)所述報(bào)文。還包括:通信模塊,用于在注冊(cè)過程中,向所述管理服務(wù)器發(fā)送注冊(cè)請(qǐng)求報(bào)文,并接收來(lái)自所述管理服務(wù)器的注冊(cè)響應(yīng)報(bào)文,所述注冊(cè)響應(yīng)報(bào)文中攜帶有所述第一黑名單;或者,接收來(lái)自所述管理服務(wù)器的配置下發(fā)報(bào)文,所述配置下發(fā)報(bào)文中攜帶有所述第一黑名單;其中,所述第一黑名單包括需要拒絕訪問的端口;所述處理模塊,具體用于在利用預(yù)先配置的第一黑名單分析所述報(bào)文是否為非法報(bào)文的過程中,分析所述報(bào)文是否訪問所述第一黑名單中的端口;如果是,則分析出所述報(bào)文是非法報(bào)文,如果否,則分析出所述報(bào)文不是非法報(bào)文。所述處理模塊,還用于在從所述報(bào)文中解析出報(bào)文特征,并查詢所述合法特征集合中是否存在所述報(bào)文特征之前,從所述報(bào)文中解析出源IP地址,并查詢預(yù)先配置的第二黑名單中是否存在所述源IP地址;如果存在,則丟棄所述報(bào)文;如果不存在,則執(zhí)行從所述報(bào)文中解析出報(bào)文特征,并查詢所述合法特征集合中是否存在所述報(bào)文特征的過程。所述處理模塊,還用于在利用第一黑名單分析所述報(bào)文是否為非法報(bào)文之后,如果所述報(bào)文是非法報(bào)文,將所述報(bào)文的源IP地址對(duì)應(yīng)的非法訪問次數(shù)加1,并判斷所述非法訪問次數(shù)是否達(dá)到預(yù)設(shè)閾值;如果是,則將所述源IP地址添加到所述第二黑名單中,并通過所述第二黑名單丟棄所述源IP地址對(duì)應(yīng)的報(bào)文。所述報(bào)文特征具體包括:源IP地址、源端口、目的IP地址、目的端口、協(xié)議類型;所述安全設(shè)備用于對(duì)與本安全設(shè)備連接的被保護(hù)設(shè)備提供保護(hù)?;谏鲜黾夹g(shù)方案,本發(fā)明實(shí)施例中,安全設(shè)備在接收到報(bào)文之后,可以先查詢合法特征集合中是否存在該報(bào)文的報(bào)文特征,如果存在,就可以直接轉(zhuǎn)發(fā)該報(bào)文,而不再分析該報(bào)文是否為非法報(bào)文,如果不存在,才去分析該報(bào)文是否為非法報(bào)文?;诖耍?dāng)有大量報(bào)文訪問被保護(hù)設(shè)備時(shí),大量的合法報(bào)文被安全設(shè)備直接轉(zhuǎn)發(fā),安全設(shè)備只需要對(duì)少量報(bào)文進(jìn)行分析,而不需要對(duì)接收到的所有報(bào)文進(jìn)行分析,避免造成安全設(shè)備的性能瓶頸,從而解決大流量下的報(bào)文分析過濾安全防御問題,并可以滿足大流量視頻監(jiān)控環(huán)境的應(yīng)用。附圖說(shuō)明為了更加清楚地說(shuō)明本發(fā)明實(shí)施例或者現(xiàn)有技術(shù)中的技術(shù)方案,下面將對(duì)本發(fā)明實(shí)施例或者現(xiàn)有技術(shù)描述中所需要使用的附圖作簡(jiǎn)單地介紹,顯而易見地,下面描述中的附圖僅僅是本發(fā)明中記載的一些實(shí)施例,對(duì)于本領(lǐng)域普通技術(shù)人員來(lái)講,還可以根據(jù)這些附圖獲得其他的附圖。圖1是本發(fā)明一種實(shí)施方式中的應(yīng)用場(chǎng)景示意圖;圖2是本發(fā)明一種實(shí)施方式中的報(bào)文處理方法的流程圖;圖3是本發(fā)明一種實(shí)施方式中的安全設(shè)備的硬件結(jié)構(gòu)圖;圖4是本發(fā)明一種實(shí)施方式中的報(bào)文處理裝置的結(jié)構(gòu)圖。具體實(shí)施方式在本發(fā)明使用的術(shù)語(yǔ)僅僅是出于描述特定實(shí)施例的目的,而非限制本發(fā)明。本發(fā)明和權(quán)利要求書中所使用的單數(shù)形式的“一種”、“所述”和“該”也旨在包括多數(shù)形式,除非上下文清楚地表示其它含義。還應(yīng)當(dāng)理解,本文中使用的術(shù)語(yǔ)“和/或”是指包含一個(gè)或多個(gè)相關(guān)聯(lián)的列出項(xiàng)目的任何或所有可能組合。應(yīng)當(dāng)理解,盡管在本發(fā)明可能采用術(shù)語(yǔ)第一、第二、第三等來(lái)描述各種信息,但這些信息不應(yīng)限于這些術(shù)語(yǔ)。這些術(shù)語(yǔ)僅用來(lái)將同一類型的信息彼此區(qū)分開。例如,在不脫離本發(fā)明范圍的情況下,第一信息也可以被稱為第二信息,類似地,第二信息也可以被稱為第一信息。取決于語(yǔ)境,此外,所使用的詞語(yǔ)“如果”可以被解釋成為“在……時(shí)”或“當(dāng)……時(shí)”或“響應(yīng)于確定”。針對(duì)現(xiàn)有技術(shù)中存在的問題,本發(fā)明實(shí)施例中提出一種報(bào)文處理方法,該方法可以應(yīng)用于視頻監(jiān)控系統(tǒng)中,通過在被保護(hù)設(shè)備之前放置安全設(shè)備(如安全網(wǎng)關(guān)或者安全盒子等),以使用安全設(shè)備對(duì)訪問被保護(hù)設(shè)備的報(bào)文進(jìn)行過濾,從而可以避免將攻擊報(bào)文傳輸?shù)奖槐Wo(hù)設(shè)備上,且不影響正常業(yè)務(wù)報(bào)文的傳輸,從而可以防止攻擊者對(duì)被保護(hù)設(shè)備的攻擊,保障被保護(hù)設(shè)備的安全性。在一個(gè)例子中,被保護(hù)設(shè)備可以為視頻監(jiān)控系統(tǒng)中的任意監(jiān)控設(shè)備,例如,該被保護(hù)設(shè)備可以為媒體服務(wù)器(如流媒體服務(wù)器)、管理服務(wù)器(如視頻管理服務(wù)器)、前端設(shè)備(如網(wǎng)絡(luò)攝像機(jī)、模擬攝像機(jī)、編碼器等)、NVR(NetworkVideoRecorder,網(wǎng)絡(luò)硬盤錄像機(jī))等。在實(shí)際應(yīng)用中,可以對(duì)一個(gè)監(jiān)控設(shè)備提供保護(hù),即在該監(jiān)控設(shè)備之前放置一個(gè)安全設(shè)備。也可以對(duì)多個(gè)監(jiān)控設(shè)備提供保護(hù),即在這多個(gè)監(jiān)控設(shè)備之前分別放置一個(gè)安全設(shè)備,共放置多個(gè)安全設(shè)備。如圖1所示,為本發(fā)明實(shí)施例的應(yīng)用場(chǎng)景示意圖,被保護(hù)設(shè)備可以為媒體服務(wù)器,且在被保護(hù)設(shè)備之前放置一個(gè)安全設(shè)備,該安全設(shè)備用于對(duì)與本安全設(shè)備連接的被保護(hù)設(shè)備提供保護(hù)。圖1只是本發(fā)明實(shí)施例的一個(gè)示例,在實(shí)際應(yīng)用中,還可以在其它監(jiān)控設(shè)備之前放置安全設(shè)備,也可以同時(shí)在多個(gè)監(jiān)控設(shè)備之前分別放置一個(gè)安全設(shè)備,其處理均與圖1的處理類似,后續(xù)不再贅述。在圖1中,安全設(shè)備與三層交換機(jī)(實(shí)際部署時(shí),還可以替換為其它類型的網(wǎng)絡(luò)設(shè)備,如路由器等)連接,前端設(shè)備與三層交換機(jī)連接,客戶端與三層交換機(jī)連接,管理服務(wù)器與三層交換機(jī)連接,且安全設(shè)備與媒體服務(wù)器連接。在上述應(yīng)用場(chǎng)景下,本發(fā)明實(shí)施例中提出的報(bào)文處理方法,可以應(yīng)用在與被保護(hù)設(shè)備連接的安全設(shè)備上,如圖2所示,該方法可以包括以下步驟:步驟201,接收來(lái)自管理服務(wù)器的合法報(bào)文特征,并將該合法報(bào)文特征組成合法特征集合。該合法報(bào)文特征是管理服務(wù)器基于點(diǎn)播流量信息獲取的。步驟202,在接收到報(bào)文之后,從該報(bào)文中解析出報(bào)文特征,并查詢?cè)摵戏ㄌ卣骷现惺欠翊嬖谠搱?bào)文特征;如果存在該報(bào)文特征,則可以轉(zhuǎn)發(fā)該報(bào)文;如果不存在該報(bào)文特征,則可以利用預(yù)先配置的第一黑名單分析該報(bào)文是否為非法報(bào)文;如果是,則丟棄該報(bào)文,如果否,則轉(zhuǎn)發(fā)該報(bào)文。在一個(gè)例子中,報(bào)文特征具體可以包括:源IP地址、源端口、目的IP地址、目的端口、協(xié)議類型,即通常所說(shuō)的五元組信息。例如,192.168.1.1、10000、TCP(TransmissionControlProtocol,傳輸控制協(xié)議)、121.14.88.76、80就構(gòu)成了一個(gè)報(bào)文特征,其意義是,一個(gè)IP地址為192.168.1.1的設(shè)備通過端口10000,利用TCP協(xié)議,和IP地址為121.14.88.76,端口為80的設(shè)備進(jìn)行連接。針對(duì)步驟201,管理服務(wù)器基于點(diǎn)播流量信息獲取合法報(bào)文特征,合法報(bào)文特征是指管理服務(wù)器獲取的合法五元組信息,如合法的源IP地址、源端口、目的IP地址、目的端口、協(xié)議類型等。在圖1中,如果客戶端點(diǎn)播前端設(shè)備的數(shù)據(jù)流,且數(shù)據(jù)流通過媒體服務(wù)器(即與安全設(shè)備連接的被保護(hù)設(shè)備)的轉(zhuǎn)發(fā),則合法數(shù)據(jù)流包括:前端設(shè)備發(fā)送給媒體服務(wù)器的數(shù)據(jù)流,媒體服務(wù)器發(fā)送給客戶端的數(shù)據(jù)流。因此,管理服務(wù)器獲取的合法報(bào)文特征可以包括合法報(bào)文特征1和合法報(bào)文特征2。其中,合法報(bào)文特征1包括:前端設(shè)備的IP地址和端口、媒體服務(wù)器的IP地址和端口、前端設(shè)備與媒體服務(wù)器之間連接的協(xié)議類型。合法報(bào)文特征2包括:客戶端的IP地址和端口、媒體服務(wù)器的IP地址和端口、客戶端與媒體服務(wù)器之間連接的協(xié)議類型。其中,在客戶端點(diǎn)播前端設(shè)備的數(shù)據(jù)流時(shí),客戶端向管理服務(wù)器發(fā)送點(diǎn)播請(qǐng)求,而管理服務(wù)器在接收到該點(diǎn)播請(qǐng)求后,會(huì)發(fā)起數(shù)據(jù)流的呼叫建立過程,以媒體服務(wù)器為TCP服務(wù)器,客戶端和前端設(shè)備為TCP客戶端為例,則管理服務(wù)器可以維護(hù)表1所示的點(diǎn)播信息表,對(duì)于該點(diǎn)播信息表的維護(hù)方式,在本發(fā)明實(shí)施例中不再贅述。基于此點(diǎn)播信息表,管理服務(wù)器可以獲取到客戶端的IP地址和端口、前端設(shè)備的IP地址和端口、媒體服務(wù)器的IP地址和端口、前端設(shè)備與媒體服務(wù)器之間連接的協(xié)議類型、客戶端與媒體服務(wù)器之間連接的協(xié)議類型,并基于上述信息確定合法報(bào)文特征1和合法報(bào)文特征2。表1基于表1所示的點(diǎn)播信息表,管理服務(wù)器獲取到的合法報(bào)文特征1可以包括:端口20001、IP地址192.168.3.100、端口10001、IP地址192.168.0.196、TCP類型。管理服務(wù)器獲取到的合法報(bào)文特征2可以包括:端口20200、IP地址192.168.2.150、端口30001、IP地址192.168.0.196、TCP類型。進(jìn)一步的,管理服務(wù)器可以將合法報(bào)文特征1和合法報(bào)文特征2下發(fā)給安全設(shè)備,安全設(shè)備接收合法報(bào)文特征1和合法報(bào)文特征2,并將合法報(bào)文特征1和合法報(bào)文特征2組成合法特征集合。在一個(gè)例子中,合法特征集合可以通過表項(xiàng)或者文本文件等方式進(jìn)行存儲(chǔ),本發(fā)明實(shí)施例中對(duì)于合法特征集合的存儲(chǔ)結(jié)構(gòu)不再贅述,以通過表項(xiàng)方式存儲(chǔ)合法特征集合為例進(jìn)行說(shuō)明。如表2所示,為合法特征集合的一個(gè)示例。在該例子中,考慮到安全設(shè)備可以對(duì)其它設(shè)備發(fā)送給被保護(hù)設(shè)備的報(bào)文進(jìn)行過濾,因此可以將被保護(hù)設(shè)備作為目的設(shè)備,并將其它設(shè)備作為源設(shè)備?;诖耍芾矸?wù)器下發(fā)的合法報(bào)文特征1的源IP地址和源端口分別為192.168.3.100和20001,目的IP地址和目的端口分別為192.168.0.196和10001,協(xié)議類型為TCP。管理服務(wù)器下發(fā)的合法報(bào)文特征2的源IP地址和源端口分別為192.168.2.150和20200,目的IP地址和目的端口分別為192.168.0.196和30001,協(xié)議類型為TCP。表2源IP地址源端口目的IP地址目的端口協(xié)議類型1192.168.3.10020001192.168.0.19610001TCP2192.168.2.15020200192.168.0.19630001TCP在另一個(gè)例子中,安全設(shè)備還可以對(duì)被保護(hù)設(shè)備發(fā)送給其它設(shè)備的報(bào)文進(jìn)行過濾,因此還可以將被保護(hù)設(shè)備作為源設(shè)備,并將其它設(shè)備作為目的設(shè)備?;诖?,管理服務(wù)器在向安全設(shè)備下發(fā)合法報(bào)文特征1和合法報(bào)文特征2的基礎(chǔ)上,還可以向安全設(shè)備下發(fā)合法報(bào)文特征3和合法報(bào)文特征4。管理服務(wù)器下發(fā)的合法報(bào)文特征3的源IP地址和源端口分別為192.168.0.196和10001,目的IP地址和目的端口分別為192.168.3.100和20001,協(xié)議類型為TCP。管理服務(wù)器下發(fā)的合法報(bào)文特征4的源IP地址和源端口分別為192.168.0.196和30001,目的IP地址和目的端口分別為192.168.2.150和20200,協(xié)議類型為TCP。進(jìn)一步,安全設(shè)備在接收到合法報(bào)文特征1、合法報(bào)文特征2、合法報(bào)文特征3和合法報(bào)文特征4后,將合法報(bào)文特征1、合法報(bào)文特征2、合法報(bào)文特征3和合法報(bào)文特征4組成合法特征集合,如表3所示,為合法特征集合的一個(gè)示例。表3源IP地址源端口目的IP地址目的端口協(xié)議類型1192.168.3.10020001192.168.0.19610001TCP2192.168.2.15020200192.168.0.19630001TCP3192.168.0.19610001192.168.3.10020001TCP4192.168.0.19630001192.168.2.15020200TCP由于數(shù)據(jù)流的點(diǎn)播情況是不斷發(fā)生變化的,因此,假設(shè)上述客戶端不再點(diǎn)播上述前端設(shè)備的數(shù)據(jù)流,則管理服務(wù)器還可以通知前端設(shè)備從合法特征集合中刪除表2或者表3所示的內(nèi)容。此外,如果有另一客戶端點(diǎn)播另一前端設(shè)備的數(shù)據(jù)流,則管理服務(wù)器需要獲取對(duì)應(yīng)該點(diǎn)播情況的合法報(bào)文特征,并將重新獲取的合法報(bào)文特征下發(fā)給安全設(shè)備,由安全設(shè)備在合法特征集合中記錄重新獲取的合法報(bào)文特征,具體的方式與上述方式相同,在此不再贅述。在上述過程中,管理服務(wù)器可以通過SNMP(SimpleNetworkManagementProtocol,簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議)消息或者SIP(SessionInitiationProtocol,會(huì)話初始協(xié)議)消息等方式,將合法報(bào)文特征發(fā)送給安全設(shè)備,在此不再贅述。針對(duì)步驟202,在利用預(yù)先配置的第一黑名單分析該報(bào)文是否為非法報(bào)文之前,需要先維護(hù)該第一黑名單。針對(duì)維護(hù)第一黑名單的方式,在一個(gè)例子中,在安全設(shè)備的注冊(cè)過程中,安全設(shè)備可以向管理服務(wù)器發(fā)送注冊(cè)請(qǐng)求報(bào)文,并接收來(lái)自管理服務(wù)器的注冊(cè)響應(yīng)報(bào)文,該注冊(cè)響應(yīng)報(bào)文中攜帶有第一黑名單,并將注冊(cè)響應(yīng)報(bào)文中的第一黑名單確定為預(yù)先配置的第一黑名單。在另一個(gè)例子中,可以在安全設(shè)備上直接配置第一黑名單,具體配置方式不再贅述。在另一個(gè)例子中,管理服務(wù)器還可以通過配置下發(fā)報(bào)文將第一黑名單下發(fā)給安全設(shè)備,安全設(shè)備接收來(lái)自管理服務(wù)器的配置下發(fā)報(bào)文,并將該配置下發(fā)報(bào)文中的第一黑名單確定為預(yù)先配置的第一黑名單。針對(duì)安全設(shè)備從來(lái)自管理服務(wù)器的注冊(cè)響應(yīng)報(bào)文中獲取第一黑名單的方式,可以在管理服務(wù)器上直接配置第一黑名單,且管理服務(wù)器在接收到來(lái)自安全設(shè)備的注冊(cè)請(qǐng)求報(bào)文時(shí),可以通過注冊(cè)響應(yīng)報(bào)文將該第一黑名單發(fā)送給安全設(shè)備。其中,該注冊(cè)響應(yīng)報(bào)文可以為SNMP消息或者SIP消息。針對(duì)安全設(shè)備從來(lái)自管理服務(wù)器的配置下發(fā)報(bào)文中獲取第一黑名單的方式,可以在管理服務(wù)器上直接配置第一黑名單,且管理服務(wù)器可以通過配置下發(fā)報(bào)文將該第一黑名單下發(fā)給安全設(shè)備。例如,當(dāng)?shù)谝缓诿麊沃械膬?nèi)容發(fā)生變化(如增加新的端口或者刪除已有端口)時(shí),則通過配置下發(fā)報(bào)文將該第一黑名單下發(fā)給安全設(shè)備。其中,該配置下發(fā)報(bào)文可以為SNMP消息或者SIP消息。在一個(gè)例子中,第一黑名單包括需要拒絕訪問的端口,這些端口是不能夠被訪問的端口,因此,如果報(bào)文的目的端口是這些需要拒絕訪問的端口,則說(shuō)明該報(bào)文是攻擊報(bào)文。例如,協(xié)議類型為TCP的端口80,該端口的作用是web端口,因此不能夠被訪問,是需要拒絕訪問的端口。協(xié)議類型為TCP的端口22,該端口的作用是維護(hù)端口,因此不能夠被訪問,是需要拒絕訪問的端口。協(xié)議類型為TCP的端口554,該端口的作用是媒體流點(diǎn)播端口,因此不能夠被訪問,是需要拒絕訪問的端口。協(xié)議類型為TCP的端口10000-40000,該端口的作用是媒體流轉(zhuǎn)發(fā)端口,因此不能夠被訪問,是需要拒絕訪問的端口。綜上所述,第一黑名單包括端口80、端口22、端口554、端口10000-40000。當(dāng)然,在實(shí)際應(yīng)用中,第一黑名單中也可以包含其它信息,只要管理服務(wù)器能夠獲知該信息的報(bào)文是非法報(bào)文,且安全設(shè)備能夠從報(bào)文中解析出這個(gè)信息,且通過這個(gè)信息能夠識(shí)別出報(bào)文是攻擊報(bào)文即可,例如,第一黑名單中還可以包含源IP地址/目的IP地址,在此不再詳加贅述。以第一黑名單中包含需要拒絕訪問的端口為例,針對(duì)利用預(yù)先配置的第一黑名單分析報(bào)文是否為非法報(bào)文的過程,具體可以包括但不限于如下方式:安全設(shè)備分析報(bào)文是否訪問第一黑名單中的端口;如果是,則分析出報(bào)文是非法報(bào)文,如果否,則分析出報(bào)文不是非法報(bào)文。例如,如果報(bào)文的目的端口為端口80、端口22、端口554、端口10000-40000中的一個(gè)端口,則可以分析出該報(bào)文是訪問第一黑名單中的端口的報(bào)文,并分析出該報(bào)文是非法報(bào)文。針對(duì)步驟202,安全設(shè)備在接收到報(bào)文之后,從該報(bào)文中解析出源IP地址、源端口、目的IP地址、目的端口和協(xié)議類型,并查詢表2或者表3所示的合法特征集合中是否存在當(dāng)前解析出的源IP地址、源端口、目的IP地址、目的端口和協(xié)議類型。如果存在,則轉(zhuǎn)發(fā)該報(bào)文。如果不存在,則分析該目的端口是否是第一黑名單中的端口。如果是,則分析出該報(bào)文是非法報(bào)文,并丟棄該報(bào)文,如果否,則分析出該報(bào)文不是非法報(bào)文,并轉(zhuǎn)發(fā)該報(bào)文。例如,在圖1中,針對(duì)前端設(shè)備發(fā)送給媒體服務(wù)器的報(bào)文,報(bào)文的源IP地址、源端口、目的IP地址、目的端口和協(xié)議類型分別為192.168.3.100、20001、192.168.0.196、10001和TCP,因此,合法特征集合中存在當(dāng)前解析出的源IP地址、源端口、目的IP地址、目的端口和協(xié)議類型,因此轉(zhuǎn)發(fā)該報(bào)文。又例如,當(dāng)報(bào)文的源IP地址、源端口、目的IP地址、目的端口和協(xié)議類型分別為192.168.2.210、46710、192.168.0.196、22和TCP時(shí),合法特征集合中不存在當(dāng)前解析出的源IP地址、源端口、目的IP地址、目的端口和協(xié)議類型。而且,目的端口22是第一黑名單中的端口,因此丟棄該報(bào)文?;谏鲜黾夹g(shù)方案,本發(fā)明實(shí)施例中,安全設(shè)備在接收到報(bào)文之后,可以先查詢合法特征集合中是否存在該報(bào)文的報(bào)文特征,如果存在,就可以直接轉(zhuǎn)發(fā)該報(bào)文,而不再分析該報(bào)文是否為非法報(bào)文,如果不存在,才去分析該報(bào)文是否為非法報(bào)文?;诖耍?dāng)有大量報(bào)文訪問被保護(hù)設(shè)備時(shí),大量的合法報(bào)文被安全設(shè)備直接轉(zhuǎn)發(fā),安全設(shè)備只需要對(duì)少量報(bào)文進(jìn)行分析,而不需要對(duì)接收到的所有報(bào)文進(jìn)行分析,避免造成安全設(shè)備的性能瓶頸,從而解決大流量下的報(bào)文分析過濾安全防御問題,并可以滿足大流量視頻監(jiān)控環(huán)境的應(yīng)用。在一個(gè)例子中,在從報(bào)文中解析出報(bào)文特征,并查詢合法特征集合中是否存在該報(bào)文特征之前,還可以從該報(bào)文中解析出源IP地址,并查詢預(yù)先配置的第二黑名單中是否存在該源IP地址;如果存在,則丟棄該報(bào)文;如果不存在,則執(zhí)行從報(bào)文中解析出報(bào)文特征,并查詢合法特征集合中是否存在報(bào)文特征的過程。其中,在查詢預(yù)先配置的第二黑名單中是否存在該源IP地址之前,需要先維護(hù)該第二黑名單。針對(duì)維護(hù)第二黑名單的方式,在一個(gè)例子中,在利用預(yù)先配置的第一黑名單分析報(bào)文是否為非法報(bào)文之后,如果報(bào)文是非法報(bào)文,則將該報(bào)文的源IP地址對(duì)應(yīng)的非法訪問次數(shù)加1,并判斷該非法訪問次數(shù)是否達(dá)到預(yù)設(shè)閾值;如果是,則將該源IP地址添加到第二黑名單中,并通過該第二黑名單丟棄該源IP地址對(duì)應(yīng)的報(bào)文。進(jìn)一步的,在通過該第二黑名單丟棄該源IP地址對(duì)應(yīng)的報(bào)文的過程中,安全設(shè)備在接收到報(bào)文之后,從該報(bào)文中解析出源IP地址,如果該第二黑名單中存在該源IP地址,則丟棄該報(bào)文。例如,假設(shè)預(yù)設(shè)閾值為1,攻擊者發(fā)送的報(bào)文的源IP地址為源IP地址A。如果安全設(shè)備利用第一黑名單分析出該報(bào)文是非法報(bào)文,則將源IP地址A對(duì)應(yīng)的非法訪問次數(shù)加1,此時(shí)該非法訪問次數(shù)1達(dá)到預(yù)設(shè)閾值,因此,將源IP地址A添加到第二黑名單中。安全設(shè)備再次接收到源IP地址為源IP地址A的報(bào)文后,由于第二黑名單中存在報(bào)文的源IP地址,因此直接丟棄該報(bào)文。又例如,假設(shè)預(yù)設(shè)閾值為2,攻擊者發(fā)送的報(bào)文的源IP地址為源IP地址A。如果利用第一黑名單分析出該報(bào)文是非法報(bào)文,將源IP地址A對(duì)應(yīng)的非法訪問次數(shù)加1,該非法訪問次數(shù)1未達(dá)到預(yù)設(shè)閾值。安全設(shè)備再次接收到源IP地址為源IP地址A的報(bào)文后,如果利用第一黑名單分析出該報(bào)文是非法報(bào)文,將源IP地址A對(duì)應(yīng)的非法訪問次數(shù)加1,該非法訪問次數(shù)2達(dá)到預(yù)設(shè)閾值,因此,將源IP地址A添加到第二黑名單中。安全設(shè)備再次接收到源IP地址為源IP地址A的報(bào)文后,由于第二黑名單中存在報(bào)文的源IP地址,因此直接丟棄該報(bào)文。在一個(gè)例子中,在將源IP地址添加到第二黑名單時(shí),安全設(shè)備還可以為該源IP地址設(shè)置老化定時(shí)器,如該老化定時(shí)器的老化時(shí)間可以為2個(gè)小時(shí),以禁止該源IP地址在一段時(shí)間內(nèi)(即2個(gè)小時(shí))訪問被保護(hù)設(shè)備。進(jìn)一步的,在老化定時(shí)器超時(shí)后,則安全設(shè)備可以從第二黑名單中刪除該源IP地址。將上述第二黑名單的處理過程與步驟202進(jìn)行結(jié)合,則本發(fā)明實(shí)施例中提出的報(bào)文處理方法還可以為:安全設(shè)備在接收到報(bào)文之后,從該報(bào)文中解析出源IP地址,并查詢第二黑名單中是否存在該源IP地址。如果存在,則丟棄該報(bào)文。如果不存在,則從該報(bào)文中解析出源IP地址、源端口、目的IP地址、目的端口和協(xié)議類型,并查詢合法特征集合中是否存在當(dāng)前解析出的源IP地址、源端口、目的IP地址、目的端口和協(xié)議類型。如果存在,則轉(zhuǎn)發(fā)該報(bào)文。如果不存在,則分析該目的端口是否是第一黑名單中的端口。如果否,則分析出該報(bào)文不是非法報(bào)文,并轉(zhuǎn)發(fā)該報(bào)文。如果是,則分析出該報(bào)文是非法報(bào)文,并丟棄該報(bào)文,并將該報(bào)文的源IP地址對(duì)應(yīng)的非法訪問次數(shù)加1,并判斷該非法訪問次數(shù)是否達(dá)到預(yù)設(shè)閾值;如果是,則將該源IP地址添加到第二黑名單中。在上述過程中,如果報(bào)文是其它設(shè)備發(fā)送給被保護(hù)設(shè)備的報(bào)文,則安全設(shè)備轉(zhuǎn)發(fā)報(bào)文是指:將報(bào)文發(fā)送給被保護(hù)設(shè)備。如果報(bào)文是被保護(hù)設(shè)備發(fā)送給其它設(shè)備的報(bào)文,則安全設(shè)備轉(zhuǎn)發(fā)報(bào)文是指:將報(bào)文發(fā)送給其它設(shè)備。在一個(gè)例子中,安全設(shè)備可以包括轉(zhuǎn)發(fā)芯片(如ASIC(ApplicationSpecificIntegratedCircuit,專用集成電路)芯片)和CPU(CentralProcessingUnit,中央處理器)。CPU在接收到來(lái)自管理服務(wù)器的合法報(bào)文特征后,在轉(zhuǎn)發(fā)芯片的合法特征集合中記錄該合法報(bào)文特征。轉(zhuǎn)發(fā)芯片在接收到報(bào)文之后,從該報(bào)文中解析出報(bào)文特征,并查詢?cè)摵戏ㄌ卣骷现惺欠翊嬖谠搱?bào)文特征。如果存在該報(bào)文特征,則轉(zhuǎn)發(fā)芯片可以直接轉(zhuǎn)發(fā)該報(bào)文,而不需要將該報(bào)文上送給CPU,也不需要CPU對(duì)該報(bào)文進(jìn)行分析。如果不存在該報(bào)文特征,則轉(zhuǎn)發(fā)芯片將該報(bào)文上送給CPU,由CPU利用第一黑名單分析該報(bào)文是否為非法報(bào)文;如果是,則CPU丟棄該報(bào)文,如果否,則CPU轉(zhuǎn)發(fā)該報(bào)文。在一個(gè)例子中,轉(zhuǎn)發(fā)芯片在接收到報(bào)文之后,從該報(bào)文中解析出源IP地址,并查詢第二黑名單(第二黑名單被CPU下發(fā)到轉(zhuǎn)發(fā)芯片上)中是否存在該源IP地址。如果存在,則轉(zhuǎn)發(fā)芯片直接丟棄該報(bào)文。如果不存在,則轉(zhuǎn)發(fā)芯片從該報(bào)文中解析出源IP地址、源端口、目的IP地址、目的端口和協(xié)議類型,并查詢合法特征集合中是否存在當(dāng)前解析出的源IP地址、源端口、目的IP地址、目的端口和協(xié)議類型。如果存在,則轉(zhuǎn)發(fā)芯片可以直接轉(zhuǎn)發(fā)該報(bào)文,而不需要將該報(bào)文上送給CPU,也不需要CPU對(duì)該報(bào)文進(jìn)行分析。如果不存在該報(bào)文特征,則轉(zhuǎn)發(fā)芯片將該報(bào)文上送給CPU,由CPU分析該目的端口是否是第一黑名單中的端口。如果否,則CPU分析出該報(bào)文不是非法報(bào)文,并轉(zhuǎn)發(fā)該報(bào)文。如果是,則CPU分析出該報(bào)文是非法報(bào)文,并丟棄該報(bào)文,并將該報(bào)文的源IP地址對(duì)應(yīng)的非法訪問次數(shù)加1,并判斷該非法訪問次數(shù)是否達(dá)到預(yù)設(shè)閾值;如果是,則CPU將該源IP地址添加到第二黑名單中,并將該第二黑名單下發(fā)到轉(zhuǎn)發(fā)芯片,由轉(zhuǎn)發(fā)芯片利用第二黑名單進(jìn)行處理。在一個(gè)例子中,CPU將源IP地址添加到第二黑名單時(shí),還可以為該源IP地址設(shè)置老化定時(shí)器,并將設(shè)置有該老化定時(shí)器的第二黑名單下發(fā)到轉(zhuǎn)發(fā)芯片。基于此,在老化定時(shí)器超時(shí)后,CPU可以刪除第二黑名單,且轉(zhuǎn)發(fā)芯片也可以刪除第二黑名單。在另一個(gè)例子中,CPU將源IP地址添加到第二黑名單時(shí),先將沒有設(shè)置老化定時(shí)器的第二黑名單下發(fā)到轉(zhuǎn)發(fā)芯片,并為該源IP地址設(shè)置老化定時(shí)器?;诖?,在老化定時(shí)器超時(shí)后,CPU可以刪除第二黑名單,并通知轉(zhuǎn)發(fā)芯片刪除第二黑名單,而轉(zhuǎn)發(fā)芯片基于CPU的通知?jiǎng)h除第二黑名單?;谂c上述方法同樣的發(fā)明構(gòu)思,本發(fā)明實(shí)施例中還提供了一種報(bào)文處理裝置,該報(bào)文處理裝置應(yīng)用在安全設(shè)備上。其中,該報(bào)文處理裝置可以通過軟件實(shí)現(xiàn),也可以通過硬件或者軟硬件結(jié)合的方式實(shí)現(xiàn)。以軟件實(shí)現(xiàn)為例,作為一個(gè)邏輯意義上的裝置,是通過其所在的安全設(shè)備的處理器,讀取非易失性存儲(chǔ)器中對(duì)應(yīng)的計(jì)算機(jī)程序指令形成的。從硬件層面而言,如圖3所示,為本發(fā)明提出的報(bào)文處理裝置所在的安全設(shè)備的一種硬件結(jié)構(gòu)圖,除了圖3所示的處理器、非易失性存儲(chǔ)器外,安全設(shè)備還可以包括其他硬件,如負(fù)責(zé)處理報(bào)文的轉(zhuǎn)發(fā)芯片、網(wǎng)絡(luò)接口、內(nèi)存等;從硬件結(jié)構(gòu)上來(lái)講,該安全設(shè)備還可能是分布式設(shè)備,可能包括多個(gè)接口卡,以便在硬件層面進(jìn)行報(bào)文處理的擴(kuò)展。如圖4所示,為本發(fā)明提出的報(bào)文處理裝置的結(jié)構(gòu)圖,所述裝置包括:記錄模塊11,用于接收來(lái)自管理服務(wù)器的合法報(bào)文特征,并將所述合法報(bào)文特征組成合法特征集合;其中,所述合法報(bào)文特征是所述管理服務(wù)器基于點(diǎn)播流量信息獲取的;處理模塊12,用于在接收到報(bào)文之后,從所述報(bào)文中解析出報(bào)文特征,并查詢所述合法特征集合中是否存在所述報(bào)文特征;如果存在所述報(bào)文特征,則轉(zhuǎn)發(fā)所述報(bào)文;如果不存在所述報(bào)文特征,則利用預(yù)先配置的第一黑名單分析所述報(bào)文是否為非法報(bào)文;如果是,則丟棄所述報(bào)文,如果否,則轉(zhuǎn)發(fā)所述報(bào)文。在一個(gè)例子中,所述報(bào)文處理裝置還包括(在圖中未體現(xiàn)):通信模塊13,用于在注冊(cè)過程中,向所述管理服務(wù)器發(fā)送注冊(cè)請(qǐng)求報(bào)文,并接收來(lái)自所述管理服務(wù)器的注冊(cè)響應(yīng)報(bào)文,所述注冊(cè)響應(yīng)報(bào)文中攜帶有所述第一黑名單;或者,接收來(lái)自所述管理服務(wù)器的配置下發(fā)報(bào)文,所述配置下發(fā)報(bào)文中攜帶有所述第一黑名單;其中,所述第一黑名單包括需要拒絕訪問的端口;所述處理模塊12,具體用于在利用預(yù)先配置的第一黑名單分析所述報(bào)文是否為非法報(bào)文的過程中,分析所述報(bào)文是否訪問所述第一黑名單中的端口;如果是,則分析出所述報(bào)文是非法報(bào)文,如果否,分析出所述報(bào)文不是非法報(bào)文。在一個(gè)例子中,所述處理模塊12,還用于在從所述報(bào)文中解析出報(bào)文特征,并查詢所述合法特征集合中是否存在所述報(bào)文特征之前,從所述報(bào)文中解析出源IP地址,并查詢預(yù)先配置的第二黑名單中是否存在所述源IP地址;如果存在,則丟棄所述報(bào)文;如果不存在,則執(zhí)行從所述報(bào)文中解析出報(bào)文特征,并查詢所述合法特征集合中是否存在所述報(bào)文特征的過程。在一個(gè)例子中,所述處理模塊12,還用于在利用第一黑名單分析所述報(bào)文是否為非法報(bào)文之后,如果所述報(bào)文是非法報(bào)文,將所述報(bào)文的源IP地址對(duì)應(yīng)的非法訪問次數(shù)加1,并判斷所述非法訪問次數(shù)是否達(dá)到預(yù)設(shè)閾值;如果是,則將所述源IP地址添加到所述第二黑名單中,并通過所述第二黑名單丟棄所述源IP地址對(duì)應(yīng)的報(bào)文。所述報(bào)文特征具體包括:源IP地址、源端口、目的IP地址、目的端口、協(xié)議類型;所述安全設(shè)備用于對(duì)與本安全設(shè)備連接的被保護(hù)設(shè)備提供保護(hù)。其中,本發(fā)明裝置的各個(gè)模塊可以集成于一體,也可以分離部署。上述模塊可以合并為一個(gè)模塊,也可以進(jìn)一步拆分成多個(gè)子模塊。通過以上的實(shí)施方式的描述,本領(lǐng)域的技術(shù)人員可以清楚地了解到本發(fā)明可借助軟件加必需的通用硬件平臺(tái)的方式來(lái)實(shí)現(xiàn),當(dāng)然也可以通過硬件,但很多情況下前者是更佳的實(shí)施方式?;谶@樣的理解,本發(fā)明的技術(shù)方案本質(zhì)上或者說(shuō)對(duì)現(xiàn)有技術(shù)做出貢獻(xiàn)的部分可以以軟件產(chǎn)品的形式體現(xiàn)出來(lái),該計(jì)算機(jī)軟件產(chǎn)品存儲(chǔ)在一個(gè)存儲(chǔ)介質(zhì)中,包括若干指令用以使得一臺(tái)計(jì)算機(jī)設(shè)備(可以是個(gè)人計(jì)算機(jī),服務(wù)器,或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā)明各個(gè)實(shí)施例所述的方法。本領(lǐng)域技術(shù)人員可以理解附圖只是一個(gè)優(yōu)選實(shí)施例的示意圖,附圖中的模塊或流程并不一定是實(shí)施本發(fā)明所必須的。本領(lǐng)域技術(shù)人員可以理解實(shí)施例中的裝置中的模塊可以按照實(shí)施例描述進(jìn)行分布于實(shí)施例的裝置中,也可以進(jìn)行相應(yīng)變化位于不同于本實(shí)施例的一個(gè)或多個(gè)裝置中。上述實(shí)施例的模塊可以合并為一個(gè)模塊,也可進(jìn)一步拆分成多個(gè)子模塊。上述本發(fā)明實(shí)施例序號(hào)僅僅為了描述,不代表實(shí)施例的優(yōu)劣。以上公開的僅為本發(fā)明的幾個(gè)具體實(shí)施例,但是,本發(fā)明并非局限于此,任何本領(lǐng)域的技術(shù)人員能思之的變化都應(yīng)落入本發(fā)明的保護(hù)范圍。當(dāng)前第1頁(yè)1 2 3