求報文中的目的IP地址與認證服務器的地址是否相同;如果相同,確定所述認證請求報文為需認證上線類報文;如果不同,確定所述認證請求報文為需偽連接類報文;或者
[0162]分類單元410,具體用于在確定所述認證請求報文的會話時長之前,接收請求報文;確定所述請求報文中的目的IP地址與認證服務器的地址是否相同;如果相同,確定所述認證請求報文為需認證上線類報文;如果不相同,確定所述請求報文中是否攜帶認證信息,當所述請求報文中攜帶認證信息時,確定所述請求報文為認證請求報文,當所述請求報文中未攜帶認證信息時,確定所述請求報文為重定向類報文。
[0163]上述各單元的功能可對應于圖1或圖2所示流程中的相應處理步驟,在此不再贅述。
[0164]實施例4:
[0165]基于同一發(fā)明構(gòu)思,根據(jù)本發(fā)明上述實施例提供的攻擊報文識別方法,相應地,本發(fā)明實施例4還提供了一種核心設備,其結(jié)構(gòu)示意圖如圖5所示,包括:線卡501和管理引擎502,其中:
[0166]所述線卡501,用于針對未認證過的認證請求報文,確定所述認證請求報文的會話時長;將所述認證請求報文的會話時長與預設會話老化時長進行比較;當所述認證請求報文的會話時長大于所述預設會話老化時長時,確定所述認證請求報文為攻擊報文;當所述認證請求報文的會話時長不大于所述預設會話老化時長時,確定所述認證請求報文為非攻擊報文;對所述非攻擊報文進行分類處理;將分類后的報文發(fā)送給所述管理引擎。
[0167]所述管理引擎502,用于接收所述分類后的報文,并進行相應的處理。
[0168]本發(fā)明實施例4中提供的上述如圖5所示的核心設備,其中所包括的線卡501和管理引擎502進一步的功能,可對應于圖1、圖2、所示流程中的相應處理步驟,在此不再贅述。
[0169]綜上所述,本發(fā)明實施例提供的方案,包括:針對未認證過的認證請求報文,確定認證請求報文的會話時長;將認證請求報文的會話時長與預設會話老化時長進行比較;當認證請求報文的會話時長大于所述預設會話老化時長時,確定所述認證請求報文為攻擊報文。采用本發(fā)明實施例提供的方案,提高了認證請求的處理效率。
[0170]本申請的實施例所提供的攻擊報文識別裝置可通過計算機程序?qū)崿F(xiàn)。本領域技術(shù)人員應該能夠理解,上述的模塊劃分方式僅是眾多模塊劃分方式中的一種,如果劃分為其他模塊或不劃分模塊,只要攻擊報文識別裝置具有上述功能,都應該在本申請的保護范圍之內(nèi)。
[0171]本申請是參照根據(jù)本申請實施例的方法、設備(系統(tǒng))、和計算機程序產(chǎn)品的流程圖和/或方框圖來描述的。應理解可由計算機程序指令實現(xiàn)流程圖和/或方框圖中的每一流程和/或方框、以及流程圖和/或方框圖中的流程和/或方框的結(jié)合??商峁┻@些計算機程序指令到通用計算機、專用計算機、嵌入式處理機或其他可編程數(shù)據(jù)處理設備的處理器以產(chǎn)生一個機器,使得通過計算機或其他可編程數(shù)據(jù)處理設備的處理器執(zhí)行的指令產(chǎn)生用于實現(xiàn)在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能的裝置。
[0172]這些計算機程序指令也可存儲在能引導計算機或其他可編程數(shù)據(jù)處理設備以特定方式工作的計算機可讀存儲器中,使得存儲在該計算機可讀存儲器中的指令產(chǎn)生包括指令裝置的制造品,該指令裝置實現(xiàn)在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能。
[0173]這些計算機程序指令也可裝載到計算機或其他可編程數(shù)據(jù)處理設備上,使得在計算機或其他可編程設備上執(zhí)行一系列操作步驟以產(chǎn)生計算機實現(xiàn)的處理,從而在計算機或其他可編程設備上執(zhí)行的指令提供用于實現(xiàn)在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能的步驟。
[0174]顯然,本領域的技術(shù)人員可以對本發(fā)明進行各種改動和變型而不脫離本發(fā)明的精神和范圍。這樣,倘若本發(fā)明的這些修改和變型屬于本發(fā)明權(quán)利要求及其等同技術(shù)的范圍之內(nèi),則本發(fā)明也意圖包含這些改動和變型在內(nèi)。
【主權(quán)項】
1.一種攻擊報文識別方法,其特征在于,包括: 針對未認證過的認證請求報文,確定所述認證請求報文的會話時長; 將所述認證請求報文的會話時長與預設會話老化時長進行比較; 當所述認證請求報文的會話時長大于所述預設會話老化時長時,確定所述認證請求報文為攻擊報文。
2.如權(quán)利要求1所述的方法,其特征在于,確定所述認證請求報文為未認證過的報文,具體包括: 獲取所述認證請求報文中的屬性信息; 在上線用戶列表中查找是否存在所述認證請求報文中的屬性信息,所述上線用戶列表中保存已通過認證的認證請求報文的屬性信息; 當未查找到所述認證請求報文中的屬性信息時,確定所述認證請求報文為未認證過的報文。
3.如權(quán)利要求2所述的方法,其特征在于,在確定所述認證請求報文為未認證過的報文之后,還包括: 根據(jù)所述認證請求報文中的地址信息,從拒絕服務會話列表中查找所述地址信息; 當未查找到所述地址信息時,允許進行所述認證請求報文對應的會話。
4.如權(quán)利要求1所述的方法,其特征在于,還包括: 將所述認證請求報文的會話時長與預設噪聲識別時長進行比較; 當所述認證請求報文的會話時長大于預設噪聲識別時長時,確定所述認證請求報文為噪聲報文,所述預設噪聲識別時長小于所述預設會話老化時長; 對所述認證請求報文發(fā)送給管理引擎的待發(fā)送速率進行限制; 當所述認證請求報文的會話時長不大于預設噪聲識別時長時,確定所述認證請求報文為正常報文。
5.如權(quán)利要求4所述的方法,其特征在于,還包括: 對認證請求報文進行分類; 將分類后的報文上報給所述管理引擎。
6.如權(quán)利要求5所述的方法,其特征在于,所述對認證請求報文進行分類,具體包括: 在確認所述認證請求報文為噪聲報文或正常報文后,確定所述認證請求報文中的目的IP地址與認證服務器的地址是否相同;如果相同,確定所述認證請求報文為需認證上線類報文;如果不同,確定所述認證請求報文為需偽連接類報文;或者 在確定所述認證請求報文的會話時長之前,接收請求報文;確定所述請求報文中的目的IP地址與認證服務器的地址是否相同;如果相同,確定所述認證請求報文為需認證上線類報文;如果不相同,確定所述請求報文中是否攜帶認證信息,當所述請求報文中攜帶認證信息時,確定所述請求報文為認證請求報文,當所述請求報文中未攜帶認證信息時,確定所述請求報文為重定向類報文。
7.一種攻擊報文識別裝置,其特征在于,包括: 第一確定單元,用于針對未認證過的認證請求報文,確定所述認證請求報文的會話時長; 第一比較單元,用于將所述認證請求報文的會話時長與預設會話老化時長進行比較; 第二確定單元,用于當所述認證請求報文的會話時長大于所述預設會話老化時長時,確定所述認證請求報文為攻擊報文。
8.如權(quán)利要求7所述的裝置,其特征在于,所述第一確定單元,具體用于獲取所述認證請求報文中的屬性信息;在上線用戶列表中查找是否存在所述認證請求報文中的屬性信息,所述上線用戶列表中保存已通過認證的認證請求報文的屬性信息;當未查找到所述認證請求報文中的屬性信息時,確定所述認證請求報文為未認證過的報文。
9.如權(quán)利要求8所述的裝置,其特征在于,還包括: 查找單元,用于在確定所述認證請求報文為未認證過的報文之后,根據(jù)所述認證請求報文中的地址信息,從拒絕服務會話列表中查找所述地址信息; 允許會話單元,用于當未查找到所述地址信息時,允許進行所述認證請求報文對應的會話。
10.如權(quán)利要求7所述的裝置,其特征在于,還包括: 第二比較單元,用于將所述認證請求報文的會話時長與預設噪聲識別時長進行比較; 第三確定單元,用于當所述認證請求報文的會話時長大于預設噪聲識別時長時,確定所述認證請求報文為噪聲報文,所述預設噪聲識別時長小于所述預設會話老化時長; 限制單元,用于對所述認證請求報文發(fā)送給管理引擎的待發(fā)送速率進行限制; 第四確定單元,用于當所述認證請求報文的會話時長不大于預設噪聲識別時長時,確認所述認證請求報文為正常報文。
11.如權(quán)利要求10所述的裝置,其特征在于,還包括: 分類單元,用于對認證請求報文進行分類; 上報單元,用于將分類后的報文上報給所述管理引擎。
12.如權(quán)利要求11所述的裝置,其特征在于,所述分類單元,具體用于在確認所述認證請求報文為噪聲報文或正常報文后,確定所述認證請求報文中的目的IP地址與認證服務器的地址是否相同;如果相同,確定所述認證請求報文為需認證上線類報文;如果不同,確定所述認證請求報文為需偽連接類報文;或者 所述分類單元,具體用于在確定所述認證請求報文的會話時長之前,接收請求報文;確定所述請求報文中的目的IP地址與認證服務器的地址是否相同;如果相同,確定所述認證請求報文為需認證上線類報文;如果不相同,確定所述請求報文中是否攜帶認證信息,當所述請求報文中攜帶認證信息時,確定所述請求報文為認證請求報文,當所述請求報文中未攜帶認證信息時,確定所述請求報文為重定向類報文。
13.—種核心設備,其特征在于,包括:線卡和管理引擎,其中: 所述線卡,如權(quán)利要求8-12所述的裝置; 所述管理引擎,用于接收所述線卡端CPU發(fā)送的分類后的報文,并進行相應的處理。
【專利摘要】本發(fā)明公開了一種攻擊報文識別方法、裝置及核心設備,包括:針對未認證過的認證請求報文,確定認證請求報文的會話時長;將認證請求報文的會話時長與預設會話老化時長進行比較;當認證請求報文的會話時長大于所述預設會話老化時長時,確定所述認證請求報文為攻擊報文。采用本發(fā)明實施例提供的方案,提高了認證請求的處理效率。
【IPC分類】H04L29-06
【公開號】CN104601578
【申請?zhí)枴緾N201510025919
【發(fā)明人】劉麗敏
【申請人】福建星網(wǎng)銳捷網(wǎng)絡有限公司
【公開日】2015年5月6日
【申請日】2015年1月19日