報文攻擊防護(hù)的方法及裝置的制造方法
【專利摘要】本申請?zhí)峁﹫笪墓舴雷o(hù)的方法及裝置,所述方法包括:根據(jù)接收到的報文匹配套接字Socket;當(dāng)接收到的報文匹配到本地任一Socket時,檢查所述Socket是否設(shè)置了預(yù)設(shè)標(biāo)識;當(dāng)所述Socket設(shè)置了所述預(yù)設(shè)標(biāo)識時,調(diào)用與所述預(yù)設(shè)標(biāo)識對應(yīng)的防護(hù)規(guī)則對所述報文進(jìn)行安全防護(hù)。本申請解決了現(xiàn)有技術(shù)中因不同應(yīng)用類型對應(yīng)的過濾規(guī)則不同導(dǎo)致現(xiàn)有技術(shù)通用性差的問題,更好地實現(xiàn)了對攻擊報文的防護(hù)。
【專利說明】
報文攻擊防護(hù)的方法及裝置
技術(shù)領(lǐng)域
[0001] 本申請設(shè)及通信技術(shù)領(lǐng)域,尤其設(shè)及報文攻擊防護(hù)的方法及裝置。
【背景技術(shù)】
[0002] 目前,進(jìn)程之間大多通過套接字(Socket)進(jìn)行通信,當(dāng)網(wǎng)絡(luò)設(shè)備接收到報文后,如 果該報文是發(fā)送給該網(wǎng)絡(luò)設(shè)備的,則該網(wǎng)絡(luò)設(shè)備會對該報文進(jìn)行Socket匹配,并將該報文 送入匹配到的Socket的緩存區(qū)中,然后,再通知相應(yīng)的進(jìn)程從該Socket的緩沖區(qū)中來讀取 該報文。
[0003] 隨著網(wǎng)絡(luò)的高速發(fā)展,網(wǎng)絡(luò)安全問題也日漸增多。常見的網(wǎng)絡(luò)攻擊方式是數(shù)據(jù)報 文攻擊W及針對TCP^ransmission Conhol Protocol,傳輸控制協(xié)議)連接的SYN Flood (Synchronous Flood,SYN洪水)攻擊。其中,數(shù)據(jù)報文攻擊通過模仿客戶端或者服務(wù)器向?qū)?端發(fā)送大量攻擊報文,使得對端對應(yīng)進(jìn)程的Socket緩存區(qū)資源被攻擊報文占用,消耗了對 端緩存區(qū)資源;而針對TCP連接的SYN洪水攻擊則是通過惡意模擬客戶端異常情況攻擊服務(wù) 器端的Socket緩存區(qū)等。
[0004] 現(xiàn)有技術(shù)根據(jù)報文的協(xié)議號、端口號等特征識別出報文所屬的應(yīng)用類型,然后根 據(jù)預(yù)存的與應(yīng)用類型一一對應(yīng)的過濾規(guī)則對報文進(jìn)行過濾,丟棄不滿足過濾規(guī)則的報文, 從而防止報文攻擊。但是,因為不同應(yīng)用類型對應(yīng)的過濾規(guī)則不同,且每當(dāng)新增應(yīng)用類型 時,均需重新更新過濾規(guī)則。因此,現(xiàn)有技術(shù)的通用性差。
【發(fā)明內(nèi)容】
[0005] 有鑒于此,本申請?zhí)峁┮环N報文攻擊防護(hù)的方法及裝置,來解決現(xiàn)有技術(shù)中因不 同應(yīng)用類型對應(yīng)的過濾規(guī)則不同導(dǎo)致現(xiàn)有技術(shù)通用性差的問題,從而更好地實現(xiàn)對攻擊報 文的防護(hù)。
[0006] 具體地,本申請是通過如下技術(shù)方案實現(xiàn)的:
[0007] 根據(jù)本申請實施例的第一方面,提供一種報文攻擊防護(hù)的方法,其特征在于,所述 方法應(yīng)用于網(wǎng)絡(luò)設(shè)備上,所述方法包括:
[000引根據(jù)接收到的報文匹配套接字Socket;
[0009] 當(dāng)接收到的報文匹配到本地任一Socket時,檢查所述Socket是否設(shè)置了預(yù)設(shè)標(biāo) 識;
[0010] 當(dāng)所述Socket設(shè)置了所述預(yù)設(shè)標(biāo)識時,調(diào)用與所述預(yù)設(shè)標(biāo)識對應(yīng)的防護(hù)規(guī)則對所 述報文進(jìn)行安全防護(hù)。
[0011] 根據(jù)本申請實施例的第二方面,提供一種報文攻擊防護(hù)的裝置,其特征在于,所述 裝置應(yīng)用于網(wǎng)絡(luò)設(shè)備上,所述裝置包括:
[0012] 匹配單元,用于根據(jù)接收到的報文匹配套接字Socket;
[0013] 檢查單元,用于當(dāng)接收到的報文匹配到本地任一Socket時,檢查所述Socket是否 設(shè)置了預(yù)設(shè)標(biāo)識;
[0014] 防護(hù)單元,用于當(dāng)所述Socket設(shè)置了所述預(yù)設(shè)標(biāo)識時,調(diào)用與所述預(yù)設(shè)標(biāo)識對應(yīng) 的防護(hù)規(guī)則對所述報文進(jìn)行安全防護(hù)。
[0015] 本申請?zhí)峁﹫笪墓舴雷o(hù)的方法及裝置,網(wǎng)絡(luò)設(shè)備將接收到的報文與本地的 Socket進(jìn)行匹配,并在匹配成功且Socket設(shè)置預(yù)設(shè)標(biāo)識時,調(diào)用與所述預(yù)設(shè)標(biāo)識對應(yīng)的防 護(hù)規(guī)則對所述報文進(jìn)行安全防護(hù),丟棄不滿足防護(hù)規(guī)則的報文。由于本申請不需要根據(jù)報 文所屬的應(yīng)用類型單獨制定防護(hù)規(guī)則,當(dāng)新增應(yīng)用類型時,網(wǎng)絡(luò)設(shè)備不需要重新更新防護(hù) 規(guī)則。因此,本申請具有通用性更好的優(yōu)點,能夠更好地實現(xiàn)對攻擊報文的防護(hù)。
【附圖說明】
[0016] 此處的附圖被并入說明書中并構(gòu)成本說明書的一部分,示出了符合本申請的實施 例,并與說明書一起用于解釋本申請的原理。
[0017] 圖1是應(yīng)用本申請實施例實現(xiàn)報文攻擊防護(hù)的應(yīng)用場景圖;
[0018] 圖2是本申請報文攻擊防護(hù)的方法的一個實施例流程圖;
[0019] 圖3是本申請報文攻擊防護(hù)的裝置所在設(shè)備的一種硬件結(jié)構(gòu)圖;
[0020] 圖4是本申請報文攻擊防護(hù)的裝置的一個實施例框圖;
[0021] 圖5是本申請報文攻擊防護(hù)的裝置的另一個實施例框圖。
【具體實施方式】
[0022] 運里將詳細(xì)地對示例性實施例進(jìn)行說明,其示例表示在附圖中。下面的描述設(shè)及 附圖時,除非另有表示,不同附圖中的相同數(shù)字表示相同或相似的要素。W下示例性實施例 中所描述的實施方式并不代表與本申請相一致的所有實施方式。相反,它們僅是與如所附 權(quán)利要求書中所詳述的、本申請的一些方面相一致的裝置和方法的例子。
[0023] 在本申請使用的術(shù)語是僅僅出于描述特定實施例的目的,而非旨在限制本申請。 在本申請和所附權(quán)利要求書中所使用的單數(shù)形式的"一種"、"所述"和"該"也旨在包括多數(shù) 形式,除非上下文清楚地表示其他含義。還應(yīng)當(dāng)理解,本文中使用的術(shù)語"和/或"是指并包 含一個或多個相關(guān)聯(lián)的列出項目的任何或所有可能組合。
[0024] 應(yīng)當(dāng)理解,盡管在本申請可能采用術(shù)語第一、第二、第=等來描述各種信息,但運 些信息不應(yīng)限于運些術(shù)語。運些術(shù)語僅用來將同一類型的信息彼此區(qū)分開。例如,在不脫離 本申請范圍的情況下,第一信息也可W被稱為第二信息,類似地,第二信息也可W被稱為第 一信息。取決于語境,如在此所使用的詞語"如果"可W被解釋成為"在……時"或"當(dāng)…… 時"或"響應(yīng)于確定"。
[0025] 參見圖1,為應(yīng)用本申請實施例實現(xiàn)報文攻擊防護(hù)的應(yīng)用場景圖。
[0026] 在本實施例中,報文攻擊可W包括數(shù)據(jù)報文攻擊和SYN洪水攻擊。
[0027] 請參見圖1,圖1中所示的客戶端A和服務(wù)器B之間可W進(jìn)行正常通信,客戶端C和服 務(wù)器D為惡意攻擊者。
[0028] -方面,服務(wù)器D通過模仿服務(wù)器B向客戶端A發(fā)送大量數(shù)據(jù)報文,使得客戶端A的 Socket緩存區(qū)資源被耗盡的現(xiàn)象被稱為數(shù)據(jù)報文攻擊。同樣地,服務(wù)器B也會受到來自客戶 端C的數(shù)據(jù)報文攻擊。
[0029] 另一方面,假設(shè)客戶端C在向服務(wù)器B發(fā)送第一次TCP握手報文后死機(jī)或者掉線,貝U 服務(wù)器B在向客戶端C返回第二次TCP握手報文后無法接收到來自客戶端C的第=次TCP握手 報文,此時服務(wù)器B會重新向客戶端C發(fā)送第二次TCP握手報文,并等待一段時間(如半分 鐘)。如果等待了一段時間后,還是未能接收到客戶端C發(fā)送的第S次TCP握手報文,則服務(wù) 器B會放棄運個連接。然而,在運種場景下,如果客戶端C大量模仿W上的異常情況時,不斷 向服務(wù)器B發(fā)送偽造的第一次TCP握手報文,那么服務(wù)器B會因為不斷的重試和等待耗盡其 Socket緩存區(qū)資源,此時,服務(wù)器B將忙于處理客戶端C偽造的第一次TCP握手報文而無暇理 陳客戶的正常請求,此時從正??蛻舻慕嵌瓤磥?,服務(wù)器B失去了響應(yīng),運種情況我們稱作 SYN Flood攻擊(SYN洪水攻擊)。
[0030] 現(xiàn)有技術(shù)中,當(dāng)客戶端A或服務(wù)器則欠到報文時,會根據(jù)報文的協(xié)議號、端口號等特 征識別出報文所屬的應(yīng)用類型,然后根據(jù)預(yù)存的與應(yīng)用類型一一對應(yīng)的過濾規(guī)則對報文進(jìn) 行過濾,丟棄不滿足過濾規(guī)則的報文,從而防止報文攻擊。但是,因為不同應(yīng)用類型對應(yīng)的 過濾規(guī)則不同,且每當(dāng)新增應(yīng)用類型時,均需重新更新過濾規(guī)則。因此,現(xiàn)有技術(shù)的通用性 差。
[0031] 本申請中,客戶端A或服務(wù)器B將接收到的報文與本地的Socket進(jìn)行匹配,并在匹 配成功且Socket設(shè)置預(yù)設(shè)標(biāo)識時,調(diào)用與所述預(yù)設(shè)標(biāo)識對應(yīng)的防護(hù)規(guī)則對所述報文進(jìn)行安 全防護(hù),丟棄不滿足防護(hù)規(guī)則的報文即攻擊報文。由于本申請不需要根據(jù)報文所屬的應(yīng)用 類型單獨制定防護(hù)規(guī)則,當(dāng)新增應(yīng)用類型時,網(wǎng)絡(luò)設(shè)備不需要重新更新防護(hù)規(guī)則。因此,本 申請具有通用性更好的優(yōu)點,能夠更好地實現(xiàn)對攻擊報文的防護(hù)。
[0032] 參見圖2,圖2是本申請示出的一種報文攻擊防護(hù)的方法的流程圖,應(yīng)用于網(wǎng)絡(luò)設(shè) 備,其中,所述網(wǎng)絡(luò)設(shè)備可W是用于安全防護(hù)的交換機(jī)或者路由器,所述方法包括了 W下步 驟:
[0033] 步驟201:根據(jù)接收到的報文匹配Socket。
[0034] 在本實施例中,當(dāng)網(wǎng)絡(luò)設(shè)備接收到報文后,可W通過對所述報文的解析獲得報文 屬性信息,所述報文屬性信息可W包括所述報文五元組信息中的一個或多個的組合。所述 網(wǎng)絡(luò)設(shè)備可W通過將所述報文的屬性信息,與本地的Socket的屬性信息進(jìn)行匹配,來為所 述報文分配Socket。
[0035] 在一個示例中,假設(shè)所述報文屬性信息如下表1所示(表1僅展示出部分報文屬性 信息的內(nèi)容): 「00361
[0040]表 2
[0041] 由表1和表2可知,所述報文的屬性信息與本地的Sockets的屬性信息相匹配,所述 網(wǎng)絡(luò)設(shè)備可W將Sockets分配給所述報文。
[0042] 其中,根據(jù)接收到的報文匹配Socket的詳細(xì)過程,本實施例不再進(jìn)行詳述,本領(lǐng)域 技術(shù)人員在實現(xiàn)時可W參考現(xiàn)有技術(shù)。
[0043] 步驟202:當(dāng)接收到的報文匹配到本地任一Socket時,檢查所述Socket是否設(shè)置了 預(yù)設(shè)標(biāo)識。
[0044] 當(dāng)接收到的報文匹配到本地的任一 Socket時,網(wǎng)絡(luò)設(shè)備可W檢查所述Socket是否 設(shè)置了預(yù)設(shè)標(biāo)識,并通過檢查所述預(yù)設(shè)標(biāo)識的取值是否為預(yù)設(shè)值,來確定網(wǎng)絡(luò)設(shè)備是否預(yù) 先設(shè)置了與所述預(yù)設(shè)標(biāo)識對應(yīng)的防護(hù)規(guī)則。
[0045] 其中,所述預(yù)設(shè)標(biāo)識可W為新增的Socket選項所設(shè)置,并可W通過所述Socket選 項所維護(hù)。在實現(xiàn)時,所述預(yù)設(shè)標(biāo)識可W設(shè)置為50邸_。11;161?_抓1^6、500(_。11;161?_1?^及 S0CK_FILTER_MAC 等。
[0046] 當(dāng)然,如果接收到的報文與本地的Socket均不匹配時,網(wǎng)絡(luò)設(shè)備可W丟棄所述報 文。
[0047] 步驟203:當(dāng)所述Socket設(shè)置了所述預(yù)設(shè)標(biāo)識時,調(diào)用與所述預(yù)設(shè)標(biāo)識對應(yīng)的防護(hù) 規(guī)則對所述報文進(jìn)行安全防護(hù)。
[0048] 本實施例中,網(wǎng)絡(luò)設(shè)備還可W為所述預(yù)設(shè)標(biāo)識設(shè)置對應(yīng)的防護(hù)規(guī)則。
[0049] W所述預(yù)設(shè)標(biāo)識為新增的Socket選項所設(shè)置為例,網(wǎng)絡(luò)設(shè)備可W通過新增的 Socket選項為Socket設(shè)置對應(yīng)的防護(hù)規(guī)則,當(dāng)設(shè)置了對應(yīng)的防護(hù)規(guī)則后,可W將所述新增 的Socket選項對應(yīng)的標(biāo)志位設(shè)置為預(yù)設(shè)值。當(dāng)刪除了對應(yīng)的防護(hù)規(guī)則后,刪除所述設(shè)置的 預(yù)設(shè)值。當(dāng)所述新增的Socket選項對應(yīng)的標(biāo)志位取值為預(yù)設(shè)值時,則表示已經(jīng)為Socket設(shè) 置了對應(yīng)的防護(hù)規(guī)則。
[0050] 因此,當(dāng)接收到的報文匹配到了對應(yīng)的Socket,網(wǎng)絡(luò)設(shè)備在對所述匹配到的 Socket進(jìn)行預(yù)設(shè)標(biāo)識檢查時,如果發(fā)現(xiàn)所述新增的Socket選項對應(yīng)的標(biāo)識位的取值為預(yù)設(shè) 值時,則表明所述新增的Socket選項已經(jīng)預(yù)先設(shè)置了對應(yīng)的防護(hù)規(guī)則,此時網(wǎng)絡(luò)設(shè)備可W 調(diào)用Socket對應(yīng)的防護(hù)規(guī)則對接收到的所述報文進(jìn)行安全防護(hù)。
[0051] 例如,在實現(xiàn)時,所述新增的Socket選項的取值可W采用位圖結(jié)構(gòu)來進(jìn)行表示,假 設(shè)在位圖結(jié)構(gòu)中與所述新增的Socket選項對應(yīng)的標(biāo)識位取值為1時,表示所述新增的 Socket選項設(shè)置了對應(yīng)的防護(hù)規(guī)則;與所述新增的Socket選項對應(yīng)的標(biāo)識位取值為加寸,表 示所述新增的Socket選項并未設(shè)置對應(yīng)的防護(hù)規(guī)則。那么,如果為所述新增的Socket選項 設(shè)置了對應(yīng)的防護(hù)規(guī)則,則可W將位圖結(jié)構(gòu)中與所述新增的Socket選項對應(yīng)的標(biāo)識位的取 值設(shè)置為1。當(dāng)設(shè)置完成后,網(wǎng)絡(luò)設(shè)備在對匹配到的Socket進(jìn)行標(biāo)識位檢查時,如果發(fā)現(xiàn)所 述標(biāo)識位的取值為1,則表明所述新增的Socket選項已經(jīng)預(yù)先設(shè)置了對應(yīng)的防護(hù)規(guī)則,網(wǎng)絡(luò) 設(shè)備則可W調(diào)用Socket設(shè)置完成的防護(hù)規(guī)則對接收到的所述報文進(jìn)行安全防護(hù)。
[0052] 在本實施例中,上述防護(hù)規(guī)則可W由若干防護(hù)子規(guī)則構(gòu)成,所述防護(hù)子規(guī)則包括 防護(hù)特征,W及與所述防護(hù)特征對應(yīng)的處理動作。其中,每一個防護(hù)子規(guī)則可W分別設(shè)置一 種或多種對應(yīng)的防護(hù)特征,不同的防護(hù)子規(guī)則可W設(shè)置不同的防護(hù)特征。所述防護(hù)特征可 W包括源IP地址、目的IP地址、源端口、目的端口、源MC地址、TTUTime To Live,生存時間 值)中的一個或者多個。
[0053] 當(dāng)然,在實現(xiàn)時,上述防護(hù)特征除了 W上描述的源IP地址、目的IP地址、源端口、目 的端口、源MAC地址、T化等報文特征W外,還可W采用其它類型的報文特征,比如目的MAC, 協(xié)議號等等,在本實施例中不再一一詳述。此外,所述防護(hù)特征也可W包括自定義的防護(hù)特 征。
[0054] 在本實施例中,上述防護(hù)規(guī)則中防護(hù)子規(guī)則的數(shù)量,可W根據(jù)實際的安全防護(hù)需 求進(jìn)行設(shè)定。
[0055] 在一些安全防護(hù)級別較低的應(yīng)用場景中,上述防護(hù)規(guī)則可W設(shè)置單一的防護(hù)子規(guī) 貝1J。例如,如果僅需要對接收到的報文進(jìn)行源IP地址過濾時,上述防護(hù)規(guī)則可W設(shè)置一組防 護(hù)子規(guī)則,并設(shè)置一個源IP地址池作為所述防護(hù)子規(guī)則的防護(hù)特征,并為所述源IP地址池 中每一個源IP地址分別指定一個對應(yīng)的處理動作。所述源IP地址池可W為源IP地址段。
[0056] 而在一些安全防護(hù)級別較高的應(yīng)用場景中,上述防護(hù)規(guī)則也可W設(shè)置多個防護(hù)子 規(guī)則的組合,并為每一個防護(hù)子規(guī)則設(shè)置一種對應(yīng)的防護(hù)特征。例如,如果需要基于源IP地 址、目的IP地址、源端口、目的端口、源MC地址、生存時間值TTL等防護(hù)特征對接收到的報文 進(jìn)行多重防護(hù),可W基于源IP地址、目的IP地址、源端口、目的端口、源MAC地址、生存時間值 TTL等防護(hù)特征分別設(shè)置一組對應(yīng)的防護(hù)子規(guī)則;比如,對于源IP地址和目的IP地址所對應(yīng) 的防護(hù)子規(guī)則,可W分別設(shè)置一個源IP地址池和目的IP地址池,并為地址池中的每一個IP 地址指定一個對應(yīng)的處理動作,其中,所述源IP地址池和目的IP地址池可W分別為一個源 IP地址段和目的IP地址段;對于源端口和目的端口所對應(yīng)的防護(hù)子規(guī)則,可W分別設(shè)置一 個源端口列表和目的端口列表,并為端口列表中的每一個端口指定一個對應(yīng)的處理動作; 同樣的道理,對于源MAC地址所對應(yīng)的防護(hù)子規(guī)則,可W設(shè)置一個源MAC地址池,并為源MAC 地址池中的每一個源MAC地址指定一個對應(yīng)的處理動作;對于ITL對應(yīng)的防護(hù)子規(guī)則,可W 設(shè)置一個Tl^取值范圍,并為所述ITL取值范圍中的每一個TTL取值設(shè)置為一個對應(yīng)的處理 動作;對于所述自定義防護(hù)特征所對應(yīng)的防護(hù)子規(guī)則,可W設(shè)置一個或一組所述自定義防 護(hù)特征的值,并為所述自定義防護(hù)特征設(shè)置一個對應(yīng)的處理動作。
[0057] 在本實施例中,網(wǎng)絡(luò)設(shè)備在調(diào)用與上述新增的Socket選項對應(yīng)的防護(hù)規(guī)則對接收 到的報文進(jìn)行安全防護(hù)時,可W提取所述報文的報文特征,然后將所述報文的報文特征與 上述防護(hù)規(guī)則中的防護(hù)子規(guī)則的防護(hù)特征進(jìn)行匹配,當(dāng)所述報文的防護(hù)特征與上述防護(hù)規(guī) 則中的任一防護(hù)子規(guī)則的防護(hù)特征匹配時,則可W根據(jù)與所述防護(hù)特征對應(yīng)的處理動作處 理所述報文。
[0058] 其中,上述防護(hù)規(guī)則中的每一組防護(hù)子規(guī)則,還可W預(yù)先設(shè)置一個對應(yīng)的默認(rèn)處 理動作,當(dāng)所述報文的報文特征與上述防護(hù)規(guī)則中任一防護(hù)子規(guī)則的防護(hù)特征均不匹配 時,還可W根據(jù)與所述防護(hù)子規(guī)則對應(yīng)的默認(rèn)處理動作處理所述報文。
[0059] 值得說明的是,與上述防護(hù)子規(guī)則中的防護(hù)特征對應(yīng)的處理動作,W及與上述防 護(hù)子規(guī)則對應(yīng)的默認(rèn)處理動作,可W包括丟棄所述報文、正常處理所述報文、將所述報文的 報文特征與下一組防護(hù)子規(guī)則的防護(hù)特征進(jìn)行匹配等處理動作中的任意一種。
[0060] 例如,假設(shè)上述防護(hù)規(guī)則中僅設(shè)置了一組將源IP地址作為防護(hù)特征的防護(hù)子規(guī) 貝1J,如果此組防護(hù)子規(guī)則中,源IP地址是作為黑名單使用的話,此時對于報文特征匹配所述 防護(hù)子規(guī)則的防護(hù)特征的報文,可能為攻擊報文,因此在設(shè)置與防護(hù)特征對應(yīng)的處理動作 時,可W將與防護(hù)特征對應(yīng)的處理動作設(shè)置為丟棄所述報文,將所述防護(hù)子規(guī)則的默認(rèn)處 理動作設(shè)置為正常處理所述報文。當(dāng)然,如果上述防護(hù)規(guī)則中還設(shè)置了多組防護(hù)子規(guī)則,也 可W將所述防護(hù)子規(guī)則的默認(rèn)處理動作設(shè)置為與下一組防護(hù)子規(guī)則的防護(hù)特征進(jìn)行匹配。
[0061] 同樣的道理,如果此組防護(hù)子規(guī)則中,源IP地址是作為白名單使用的話,此時對于 報文特征匹配所述防護(hù)子規(guī)則的防護(hù)特征的報文,則為正常報文,因此在設(shè)置與防護(hù)特征 對應(yīng)的處理動作時,可W將與所述防護(hù)特征對應(yīng)的處理動作設(shè)置為正常處理所述報文,將 所述防護(hù)子規(guī)則的默認(rèn)處理動作設(shè)置為丟棄所述報文。當(dāng)然,如果上述防護(hù)規(guī)則中還設(shè)置 了多組防護(hù)子規(guī)則,也可W將與所述防護(hù)特征對應(yīng)的處理動作設(shè)置為與下一組防護(hù)子規(guī)則 的防護(hù)特征進(jìn)行匹配。另外,當(dāng)接收到的報文的報文特征與上述防護(hù)規(guī)則中的防護(hù)子規(guī)則 的防護(hù)特征均不匹配時,此時可W丟棄所述報文或者按照正常處理流程進(jìn)行處理所述報 文。
[0062] 例如,如果上述防護(hù)規(guī)則中的防護(hù)子規(guī)則作為白名單使用,此時所述報文的報文 特征與上述防護(hù)子規(guī)則的防護(hù)特征均不匹配時,表明所述報文可能為攻擊報文,則可W對 所述報文進(jìn)行丟棄。
[0063] 等同的,如果上述防護(hù)規(guī)則中的防護(hù)子規(guī)則作為黑名單使用,此時所述報文的報 文特征與上述防護(hù)子規(guī)則的防護(hù)特征均不匹配時,表明所述報文可能為正常處理的報文, 此時可W按照所述報文的正常處理流程進(jìn)行處理所述報文即可。例如,當(dāng)所述報文為TCPS 次握手的SYN報文,如果所述SYN報文滿足建立TCP連接的條件,可W向其回應(yīng)AO(報文,通過 S次握手繼續(xù)建立連接。如果所述SYN報文不滿足建立TCP連接的條件,可W向其回應(yīng)拒絕 報文,終止TCP連接的建立過程。當(dāng)所述報文為基于TCP或者UDP的數(shù)據(jù)報文,如果所述報文 的目的IP地址為本設(shè)備,則可W直接處理所述報文,如果所述報文的目的IP地址為其它設(shè) 備,可W將所述報文轉(zhuǎn)發(fā)出去。
[0064] 值得說明的是,在實際應(yīng)用中,用戶可W通過特定的指令,對每組防護(hù)子規(guī)則中的 防護(hù)特征進(jìn)行添加和刪除操作。例如,可W通過編輯SO_FILTER_RULE_A孤指令來增加防護(hù) 特征,通過編輯SO_FILTER_TOLE_DELETE來刪除防護(hù)特征W及通過編輯S0_FILTERJ?ULE_ UPDATE來更新防護(hù)特征。
[0065] 當(dāng)然,除了可W對每組防護(hù)子規(guī)則中的防護(hù)特征進(jìn)行添加 W外,用戶也可W通過 特定的指令,對與上述防護(hù)特征對應(yīng)的處理動作,W及上述防護(hù)子規(guī)則的默認(rèn)處理動作進(jìn) 行更改。即,在實際應(yīng)用中,用戶可W根據(jù)具體的安全防護(hù)需求,對與上述防護(hù)特征對應(yīng)的 處理動作,W及上述防護(hù)子規(guī)則的默認(rèn)處理動作進(jìn)行更改,W適應(yīng)實際的防護(hù)需求。
[0066] W下通過具體的應(yīng)用實例對W上方案進(jìn)行詳述。
[0067] 在示出的一種實施方式中,上述防護(hù)規(guī)則可W設(shè)置單一的防護(hù)子規(guī)則。
[0068] 假設(shè)所述防護(hù)規(guī)則僅設(shè)置了一組將源IP地址作為防護(hù)特征的防護(hù)子規(guī)則,此組源 IP地址可W看作為一個源IP地址池。所述源IP地址池可W如下表3所示(表3僅示出所述源 IP地址池的部分信息):
[0069]
[0070] 表 3
[0071] 當(dāng)所述源IP地址作為白名單使用時,可W將與所述防護(hù)特征對應(yīng)的處理動作設(shè)置 為正常處理報文,將與所述防護(hù)子規(guī)則對應(yīng)的默認(rèn)處理動作設(shè)置為丟棄報文。例如,假設(shè)接 收到的報文的源IP地址為1.1.1.1,則結(jié)合表3可知,所述報文的報文特征可W從所述源IP 地址池中找到,即所述報文的報文特征與所述防護(hù)規(guī)則中的防護(hù)子規(guī)則的防護(hù)特征匹配, 則所述報文可W判斷為正常報文,此時,所述報文可W被正常處理。當(dāng)所述報文為TCPS次 握手SYN報文時,網(wǎng)絡(luò)設(shè)備可W回應(yīng)AO(報文與對端建立TCP連接,或者回應(yīng)拒絕報文拒絕建 立TCP連接;當(dāng)所述報文為基于TCP或者UDP的數(shù)據(jù)報文時,如果所述報文的目的IP地址是此 網(wǎng)絡(luò)設(shè)備的IP地址,則可W處理所述報文,如果所述報文的目的IP地址不是此網(wǎng)絡(luò)設(shè)備的 IP地址,則可W將所述報文轉(zhuǎn)發(fā)出去。
[0072] 在一個示例中,假設(shè)所述報文的源IP地址為1.1.1.6,則結(jié)合表3可知,所述報文的 報文特征與所述防護(hù)規(guī)則中的防護(hù)子規(guī)則的防護(hù)特征不匹配,表示所述報文可能為攻擊報 文,此時,所述報文可W被丟棄,從而有效防止SYN Flood攻擊或數(shù)據(jù)報文攻擊。
[0073] 在一個示例中,假設(shè)如表3所示的源IP地址作為黑名單使用時,可W將與所述防護(hù) 特征對應(yīng)的處理動作設(shè)置為丟棄報文,將與所述防護(hù)子規(guī)則對應(yīng)的默認(rèn)處理動作設(shè)置為正 常處理報文。假設(shè)接收到的報文的源IP地址為1.1.1.1,則所述報文可能為攻擊報文,所述 報文可W被丟棄,從而有效防止SYN Flood攻擊或數(shù)據(jù)報文攻擊;假設(shè)接收到的報文的源IP 地址為1.1.1.6,則所述報文可能為正常報文,則當(dāng)所述報文為TCPS次握手SYN報文時,網(wǎng) 絡(luò)設(shè)備可W回應(yīng)ACK報文與對端建立TCP連接或者回應(yīng)拒絕報文拒絕建立TCP連接;當(dāng)所述 報文為基于TCP或者UDP的數(shù)據(jù)報文時,如果所述報文的目的IP地址是此網(wǎng)絡(luò)設(shè)備的IP地 址,則可W處理所述報文,如果所述報文的目的IP地址不是此網(wǎng)絡(luò)設(shè)備的IP地址,則可W將 所述報文轉(zhuǎn)發(fā)出去。
[0074] 在示出的一種實施方式中,上述防護(hù)規(guī)則可W設(shè)置多個防護(hù)子規(guī)則的組合。
[0075] 假設(shè)所述防護(hù)規(guī)則設(shè)置了多組防護(hù)子規(guī)則,例如分別設(shè)置了源IP地址池、目的IP 地址池、目的端口列表、源端口列表、源MAC地址池、TTL取值范圍作為防護(hù)特征。所述源IP地 址池、目的IP地址池、目的端口列表、源端口列表、源MAC地址池、ITL取值范圍可W如下表4 所示:
[0076]
[0077] 表 4
[0078] 表4中所示的防護(hù)特征可W均為白名單,或均為黑名單,或根據(jù)需求設(shè)置其中一些 防護(hù)特征為白名單,其余的防護(hù)特征為黑名單。
[0079] 假設(shè)表4中所示的防護(hù)特征均為白名單,則可W將與防護(hù)特征對應(yīng)的處理動作設(shè) 置為與下一個防護(hù)特征進(jìn)行匹配,可W將與所述防護(hù)子規(guī)則對應(yīng)的默認(rèn)處理動作設(shè)置為丟 棄報文。假設(shè)從接收到的報文中提取出的報文特征如下表5所示:
[0080] L0081J 表 5
[0082] 當(dāng)如表5所示的報文特征與所述防護(hù)特征進(jìn)行匹配時,可W先進(jìn)行源IP地址匹配, 結(jié)合表4和表5可知,可W匹配成功,此時,與源IP地址運一防護(hù)特征對應(yīng)的處理動作為與下 一個防護(hù)特征進(jìn)行匹配;當(dāng)如表5所示的報文特征與所述防護(hù)特征均匹配時,則可W判斷所 述報文為正常報文,此時,所述報文可W被正常處理。當(dāng)所述報文為TCPS次握手SYN報文 時,網(wǎng)絡(luò)設(shè)備可W回應(yīng)AO(報文與對端建立TCP連接,或者回應(yīng)拒絕報文拒絕建立TCP連接; 當(dāng)所述報文為基于TCP或者UDP的數(shù)據(jù)報文時,如果所述報文的目的IP地址是此網(wǎng)絡(luò)設(shè)備的 IP地址,則可W處理所述報文,如果所述報文的目的IP地址不是此網(wǎng)絡(luò)設(shè)備的IP地址,則可 W將所述報文轉(zhuǎn)發(fā)出去。
[0083] 在一個示例中,假設(shè)從接收到的報文中提取出的報文特征如下表6所示: 「AAQyl 1 L UU化」 巧6
[0086] 結(jié)合表4和表6可知,所述報文的報文特征與所述防護(hù)特征并非完全匹配,因此,可 W判斷所述報文為攻擊報文。此時,所述報文可W被丟棄,從而有效防止SYN Flood攻擊或 數(shù)據(jù)報文攻擊。
[0087] 在一個示例中,假設(shè)表4中所示的防護(hù)特征均為黑名單,則可W將與防護(hù)特征對應(yīng) 的處理動作設(shè)置為丟棄報文,可W將與所述防護(hù)子規(guī)則對應(yīng)的默認(rèn)處理動作設(shè)置為與下一 個防護(hù)特征進(jìn)行匹配。假設(shè)從接收到的報文中提取出的報文特征如表7所示:
[0089] 表7
[0090] 當(dāng)如表7所示的報文特征與所述防護(hù)特征進(jìn)行匹配時,可W先進(jìn)行源IP地址匹配, 結(jié)合表4和表7可知,匹配不成功,此時按照與所述防護(hù)特征對應(yīng)的默認(rèn)動作處理所述報文。 由所述默認(rèn)動作為與下一個防護(hù)特征進(jìn)行匹配可W得知,所述報文可W將下一個報文特征 與下一個防護(hù)特征進(jìn)行匹配。結(jié)合表4和表7可知,所述報文為正常報文,可W被正常處理。
[0091] 在一個示例中,假設(shè)從接收到的報文中提取出的報文特征如表5所示時,則可W判 斷所述報文為攻擊報文。此時,所述報文可W被丟棄,從而有效防止SYN Flood攻擊或數(shù)據(jù) 報文攻擊。
[0092] 在一個示例中,假設(shè)表4所示的防護(hù)特征中的一些為白名單,其余的為黑名單,貝U 可W將與作為白名單的防護(hù)特征對應(yīng)的處理動作設(shè)置為與下一個防護(hù)特征進(jìn)行匹配,將與 作為白名單的防護(hù)特征的防護(hù)子規(guī)則對應(yīng)的默認(rèn)處理動作設(shè)置為丟棄報文,將與作為黑名 單的防護(hù)特征對應(yīng)的處理動作設(shè)置為丟棄報文,將與作為黑名單的防護(hù)特征的防護(hù)子規(guī)則 對應(yīng)的默認(rèn)處理動作設(shè)置為與下一個防護(hù)特征進(jìn)行匹配。具體實施過程與上述實施過程類 似,在此不再寶述。
[0093] 需要說明的是,所述自定義防護(hù)特征可W具體如下表8所示:
[0094]
[0096] 當(dāng)所述自定義防護(hù)特征作為白名單使用時,可W將與所述自定義防護(hù)特征對應(yīng)的 處理動作設(shè)置為正常處理報文,將與所述防護(hù)子規(guī)則對應(yīng)的默認(rèn)處理動作設(shè)置為丟棄報 文。例如,根據(jù)從所述報文中提取的報文特征滿足表8所示的去離UDP頭的8個字節(jié)處1字節(jié) 的字段取值為1時,即所述報文的報文特征與所述防護(hù)規(guī)則中的防護(hù)子規(guī)則的自定義防護(hù) 特征匹配,則所述報文可W判斷為正常報文;反之,可W判斷所述報文為攻擊報文。
[0097] 當(dāng)如表8所示的所述自定義防護(hù)特征作為黑名單使用時,可W將與所述自定義防 護(hù)特征對應(yīng)的處理動作設(shè)置為丟棄報文,將與所述防護(hù)子規(guī)則對應(yīng)的默認(rèn)處理動作設(shè)置為 正常處理報文。例如,根據(jù)從所述報文中提取的報文特征滿足表8所示的去離UDP頭的8個字 節(jié)處1字節(jié)的字段取值為1時,即所述報文的報文特征與所述防護(hù)規(guī)則中的防護(hù)子規(guī)則的自 定義防護(hù)特征匹配,則所述報文可W判斷為攻擊報文;反之,可W判斷所述報文為正常報 文。
[0098] 值得說明的是,上述例子僅為示例性的,實際應(yīng)用中與每一個防護(hù)子規(guī)則的防護(hù) 特征對應(yīng)的處理動作,W及每一組防護(hù)子規(guī)則的默認(rèn)處理動作,可W根據(jù)實際的安全防護(hù) 需求,由用戶進(jìn)行設(shè)置。
[0099] 本申請?zhí)峁﹫笪墓舴雷o(hù)的方法及裝置,網(wǎng)絡(luò)設(shè)備將接收到的報文與本地的 Socket進(jìn)行匹配,并在匹配成功且Socket設(shè)置預(yù)設(shè)標(biāo)識時,調(diào)用與所述預(yù)設(shè)標(biāo)識對應(yīng)的防 護(hù)規(guī)則對所述報文進(jìn)行安全防護(hù),丟棄不滿足防護(hù)規(guī)則的報文。由于本申請不需要根據(jù)報 文所屬的應(yīng)用類型單獨制定防護(hù)規(guī)則,當(dāng)新增應(yīng)用類型時,網(wǎng)絡(luò)設(shè)備不需要重新更新防護(hù) 規(guī)則。因此,本申請具有通用性更好的優(yōu)點,能夠更好地實現(xiàn)對攻擊報文的防護(hù)。
[0100] 與前述報文攻擊防護(hù)的方法的實施例相對應(yīng),本申請還提供了報文攻擊防護(hù)的裝 置的實施例。
[0101] 本申請報文攻擊防護(hù)的裝置的實施例可W應(yīng)用在網(wǎng)絡(luò)設(shè)備上。裝置實施例可W通 過軟件實現(xiàn),也可W通過硬件或者軟硬件結(jié)合的方式實現(xiàn)。W軟件實現(xiàn)為例,作為一個邏輯 意義上的裝置,是通過其所在設(shè)備的處理器將非易失性存儲器中對應(yīng)的計算機(jī)程序指令讀 取到內(nèi)存中運行形成的。從硬件層面而言,如圖3所示,為本申請報文攻擊防護(hù)的裝置所在 設(shè)備的一種硬件結(jié)構(gòu)圖,除了圖3所示的處理器、內(nèi)存、網(wǎng)絡(luò)接口、W及非易失性存儲器之 夕h實施例中裝置所在的設(shè)備通常還可W包括其他硬件,如負(fù)責(zé)處理報文的轉(zhuǎn)發(fā)忍片等等。
[0102] 請參考圖4,為本申請報文攻擊防護(hù)的裝置一個實施例框圖:
[0103] 該裝置可W包括:匹配單元410、檢查單元420W及防護(hù)單元430。
[0104] 匹配單元410,用于根據(jù)接收到的報文匹配套接字Socket;
[0105] 檢查單元420,用于當(dāng)接收到的報文匹配到本地任一 Socket時,檢查所述Socket是 否設(shè)置了預(yù)設(shè)標(biāo)識;
[0106] 防護(hù)單元430,用于當(dāng)所述Socket設(shè)置了所述預(yù)設(shè)標(biāo)識時,調(diào)用與所述預(yù)設(shè)標(biāo)識對 應(yīng)的防護(hù)規(guī)則對所述報文進(jìn)行安全防護(hù)。
[0107] 在一個可選的實現(xiàn)方式中,所述防護(hù)單元430可W具體用于:
[0108] 當(dāng)所述Socket設(shè)置了所述預(yù)設(shè)標(biāo)識時,判斷所述預(yù)設(shè)標(biāo)識的取值是否為預(yù)設(shè)值, 其中所述預(yù)設(shè)標(biāo)識的取值為預(yù)設(shè)值時表示所述網(wǎng)絡(luò)設(shè)備預(yù)先設(shè)置了與所述預(yù)設(shè)標(biāo)識對應(yīng) 的防護(hù)規(guī)則;當(dāng)所述預(yù)設(shè)標(biāo)識的取值為預(yù)設(shè)值時,則調(diào)用預(yù)先設(shè)置的與所述預(yù)設(shè)標(biāo)識對應(yīng) 的防護(hù)規(guī)則對所述報文進(jìn)行安全防護(hù)。
[0109] 在另一個可選的實現(xiàn)方式中,所述防護(hù)規(guī)則包括若干防護(hù)子規(guī)則,所述防護(hù)子規(guī) 則包括防護(hù)特征,W及與所述防護(hù)特征對應(yīng)的處理動作;
[0110] 請參見圖5,所述防護(hù)單元430可W包括:
[0111] 提取子單元430A,用于提取所述報文的報文特征;
[0112] 匹配子單元430B,用于將所述報文的報文特征與所述若干防護(hù)子規(guī)則的防護(hù)特征 進(jìn)行匹配;
[0113] 第一處理子單元430C,用于當(dāng)所述報文的報文特征與任一防護(hù)子規(guī)則的防護(hù)特征 匹配時,根據(jù)與所述防護(hù)特征對應(yīng)的處理動作處理所述報文。
[0114] 在另一個可選的實現(xiàn)方式中,所述防護(hù)子規(guī)則預(yù)設(shè)了對應(yīng)的默認(rèn)處理動作;
[0115] 請繼續(xù)參見圖5,所述防護(hù)單元430還可W包括:
[0116] 第二處理子單元430D,用于當(dāng)所述報文的報文特征與任一防護(hù)子規(guī)則的防護(hù)特征 均不匹配時,根據(jù)與所述防護(hù)子規(guī)則對應(yīng)的默認(rèn)處理動作處理所述報文。
[0117] 在一個可選的實現(xiàn)方式中,所述防護(hù)特征包括源IP地址、目的IP地址、源端口、目 的端口、源MC地址、生存時間值ITL中的一個或者多個;
[0118] 與所述防護(hù)特征對應(yīng)的處理動作W及與所述防護(hù)子規(guī)則對應(yīng)的默認(rèn)處理動作可 W包括:
[0119] 丟棄所述報文、正常處理所述報文、將所述報文的報文特征與下一個防護(hù)子規(guī)則 的防護(hù)特征進(jìn)行匹配。
[0120] 在一個可選的實現(xiàn)方式中,所述預(yù)設(shè)標(biāo)識為新增的Socket選項所設(shè)置。
[0121] 上述裝置中各個單元的功能和作用的實現(xiàn)過程具體詳見上述方法中對應(yīng)步驟的 實現(xiàn)過程,在此不再寶述。
[0122] 對于裝置實施例而言,由于其基本對應(yīng)于方法實施例,所W相關(guān)之處參見方法實 施例的部分說明即可。W上所描述的裝置實施例僅僅是示意性的,其中所述作為分離部件 說明的單元可W是或者也可W不是物理上分開的,作為單元顯示的部件可W是或者也可W 不是物理單元,即可W位于一個地方,或者也可W分布到多個網(wǎng)絡(luò)單元上。可W根據(jù)實際的 需要選擇其中的部分或者全部模塊來實現(xiàn)本申請方案的目的。本領(lǐng)域普通技術(shù)人員在不付 出創(chuàng)造性勞動的情況下,即可W理解并實施。
[0123] 本申請實施例中,網(wǎng)絡(luò)設(shè)備將接收到的報文與本地Socket進(jìn)行匹配,并在匹配成 功且Socket設(shè)置預(yù)設(shè)標(biāo)識時,調(diào)用與所述預(yù)設(shè)標(biāo)識對應(yīng)的防護(hù)規(guī)則對所述報文進(jìn)行安全防 護(hù),丟棄不滿足防護(hù)規(guī)則的報文即攻擊報文。因為本申請不需要根據(jù)報文所屬的應(yīng)用類型 單獨制定防護(hù)規(guī)則,因此,當(dāng)新增應(yīng)用類型時,網(wǎng)絡(luò)設(shè)備不需要重新更新防護(hù)規(guī)則。因此,本 申請能夠解決現(xiàn)有技術(shù)通用性差的問題,更好地實現(xiàn)對攻擊報文的防護(hù)。
[0124] W上所述僅為本申請的較佳實施例而已,并不用W限制本申請,凡在本申請的精 神和原則之內(nèi),所做的任何修改、等同替換、改進(jìn)等,均應(yīng)包含在本申請保護(hù)的范圍之內(nèi)。
【主權(quán)項】
1. 一種報文攻擊防護(hù)的方法,其特征在于,所述方法應(yīng)用于網(wǎng)絡(luò)設(shè)備上,所述方法包 括: 根據(jù)接收到的報文匹配套接字Socket; 當(dāng)接收到的報文匹配到本地任一 Socket時,檢查所述Socket是否設(shè)置了預(yù)設(shè)標(biāo)識; 當(dāng)所述Socket設(shè)置了所述預(yù)設(shè)標(biāo)識時,調(diào)用與所述預(yù)設(shè)標(biāo)識對應(yīng)的防護(hù)規(guī)則對所述報 文進(jìn)行安全防護(hù)。2. 根據(jù)權(quán)利要求1所述的方法,其特征在于,所述當(dāng)所述Socket設(shè)置了所述預(yù)設(shè)標(biāo)識 時,調(diào)用與所述預(yù)設(shè)標(biāo)識對應(yīng)的防護(hù)規(guī)則對所述報文進(jìn)行安全防護(hù),包括: 當(dāng)所述Socket設(shè)置了所述預(yù)設(shè)標(biāo)識時,判斷所述預(yù)設(shè)標(biāo)識的取值是否為預(yù)設(shè)值,其中 所述預(yù)設(shè)標(biāo)識的取值為預(yù)設(shè)值時表示所述網(wǎng)絡(luò)設(shè)備預(yù)先設(shè)置了與所述預(yù)設(shè)標(biāo)識對應(yīng)的防 護(hù)規(guī)則; 當(dāng)所述預(yù)設(shè)標(biāo)識的取值為預(yù)設(shè)值時,則調(diào)用預(yù)先設(shè)置的與所述預(yù)設(shè)標(biāo)識對應(yīng)的防護(hù)規(guī) 則對所述報文進(jìn)行安全防護(hù)。3. 根據(jù)權(quán)利要求1或2所述的方法,其特征在于,所述防護(hù)規(guī)則包括若干防護(hù)子規(guī)則,所 述防護(hù)子規(guī)則包括防護(hù)特征,以及與所述防護(hù)特征對應(yīng)的處理動作; 所述調(diào)用所述防護(hù)規(guī)則對所述報文進(jìn)行安全防護(hù)包括: 提取所述報文的報文特征; 將所述報文的報文特征與所述若干防護(hù)子規(guī)則的防護(hù)特征進(jìn)行匹配; 當(dāng)所述報文的報文特征與任一防護(hù)子規(guī)則的防護(hù)特征匹配時,根據(jù)與所述防護(hù)特征對 應(yīng)的處理動作處理所述報文。4. 根據(jù)權(quán)利要求3所述的方法,其特征在于,所述防護(hù)子規(guī)則預(yù)設(shè)了對應(yīng)的默認(rèn)處理動 作; 所述方法還包括: 當(dāng)所述報文的報文特征與任一防護(hù)子規(guī)則的防護(hù)特征均不匹配時,根據(jù)與所述防護(hù)子 規(guī)則對應(yīng)的默認(rèn)處理動作處理所述報文。5. 根據(jù)權(quán)利要求4所述的方法,其特征在于,所述防護(hù)特征包括源IP地址、目的IP地址、 源端口、目的端口、源MAC地址、生存時間值TTL中的一個或者多個; 與所述防護(hù)特征對應(yīng)的處理動作以及與所述防護(hù)子規(guī)則對應(yīng)的默認(rèn)處理動作包括: 丟棄所述報文、正常處理所述報文、將所述報文的報文特征與下一個防護(hù)子規(guī)則的防 護(hù)特征進(jìn)行匹配。6. 根據(jù)權(quán)利要求1所述的方法,其特征在于,所述預(yù)設(shè)標(biāo)識為新增的Socket選項所設(shè) 置。7. -種報文攻擊防護(hù)的裝置,其特征在于,所述裝置應(yīng)用于網(wǎng)絡(luò)設(shè)備上,所述裝置包 括: 匹配單元,用于根據(jù)接收到的報文匹配套接字Socket; 檢查單元,用于當(dāng)接收到的報文匹配到本地任一Socket時,檢查所述Socket是否設(shè)置 了預(yù)設(shè)標(biāo)識; 防護(hù)單元,用于當(dāng)所述Socket設(shè)置了所述預(yù)設(shè)標(biāo)識時,調(diào)用與所述預(yù)設(shè)標(biāo)識對應(yīng)的防 護(hù)規(guī)則對所述報文進(jìn)行安全防護(hù)。8. 根據(jù)權(quán)利要求7所述的裝置,其特征在于,所述防護(hù)單元具體用于: 當(dāng)所述Socket設(shè)置了所述預(yù)設(shè)標(biāo)識時,判斷所述預(yù)設(shè)標(biāo)識的取值是否為預(yù)設(shè)值,其中 所述預(yù)設(shè)標(biāo)識的取值為預(yù)設(shè)值時表示所述網(wǎng)絡(luò)設(shè)備預(yù)先設(shè)置了與所述預(yù)設(shè)標(biāo)識對應(yīng)的防 護(hù)規(guī)則;當(dāng)所述預(yù)設(shè)標(biāo)識的取值為預(yù)設(shè)值時,則調(diào)用預(yù)先設(shè)置的與所述預(yù)設(shè)標(biāo)識對應(yīng)的防 護(hù)規(guī)則對所述報文進(jìn)行安全防護(hù)。9. 根據(jù)權(quán)利要求7或8所述的裝置,其特征在于,所述防護(hù)規(guī)則包括若干防護(hù)子規(guī)則,所 述防護(hù)子規(guī)則包括防護(hù)特征,以及與所述防護(hù)特征對應(yīng)的處理動作; 所述防護(hù)單元包括: 提取子單元,用于提取所述報文的報文特征; 匹配子單元,用于將所述報文的報文特征與所述若干防護(hù)子規(guī)則的防護(hù)特征進(jìn)行匹 配; 第一處理子單元,用于當(dāng)所述報文的報文特征與任一防護(hù)子規(guī)則的防護(hù)特征匹配時, 根據(jù)與所述防護(hù)特征對應(yīng)的處理動作處理所述報文。10. 根據(jù)權(quán)利要求9所述的裝置,其特征在于,所述防護(hù)子規(guī)則預(yù)設(shè)了對應(yīng)的默認(rèn)處理 動作; 所述防護(hù)單元還包括: 第二處理子單元,用于當(dāng)所述報文的報文特征與任一防護(hù)子規(guī)則的防護(hù)特征均不匹配 時,根據(jù)與所述防護(hù)子規(guī)則對應(yīng)的默認(rèn)處理動作處理所述報文。11. 根據(jù)權(quán)利要求10述的裝置,其特征在于,所述防護(hù)特征包括源IP地址、目的IP地址、 源端口、目的端口、源MAC地址、生存時間值TTL中的一個或者多個; 與所述防護(hù)特征對應(yīng)的處理動作以及與所述防護(hù)子規(guī)則對應(yīng)的默認(rèn)處理動作包括: 丟棄所述報文、正常處理所述報文、將所述報文的報文特征與下一個防護(hù)子規(guī)則的防 護(hù)特征進(jìn)行匹配。12. 根據(jù)權(quán)利要求7所述的裝置,其特征在于,所述預(yù)設(shè)標(biāo)識為新增的Socket選項所設(shè) 置。
【文檔編號】H04L29/06GK105939322SQ201510898264
【公開日】2016年9月14日
【申請日】2015年12月8日
【發(fā)明人】王富濤
【申請人】杭州迪普科技有限公司