[发明专利]攻击报文的检测方法和装置

权利要求书

1.一种攻击报文的检测方法，其特征在于，该方法包括：

将到被保护设备上符合相同分类条件的报文作为一类；所述分类条件为： 目的IP地址、目的端口号和协议号均相同的报文，或同一连接中所传输的报文， 或目的IP地址、类型字段和协议号均相同的报文；

针对每类报文，统计具有相同校验和且连续到来的报文数量，当统计值在 预设长度时间内达到设定门限值时，确定该类报文中具有所述相同校验和的报 文为攻击报文；

所述校验和为报文中包含数据内容部分的校验和，包括：报文中除去部分 非数据内容后的剩余部分进行校验和计算得到的校验和；对报文中的数据内容 部分进行校验和计算得到的校验和。

2.如权利要求1所述的方法，其特征在于，所述包含数据内容部分的校验 和的获取方式为：

对于传输控制协议TCP报文，对报文中除去全部头信息或部分头信息的部 分进行校验和计算，得到所述校验和；

对于用户数据报协议UDP报文，对报文中除去全部头信息或部分头信息的 部分进行校验和计算，得到所述校验和；

对于因特网控制报文协议ICMP报文，对报文中除去标识符和序列号的部 分进行校验和计算，得到所述校验和。

3.如权利要求1所述的方法，其特征在于，所述统计操作和统计值在预设 长度时间内达到设定门限值的确定操作，采用针对每类报文设置的记录变量、 计数器和计时器实现；

所述记录变量记录所属类别报文的校验和，当校验和变化时，采用变化后 的校验和更新该记录变量；

所述计数器统计所属类别报文中具有相同校验和且连续到来的报文数量； 当所属类别报文的校验和变化时，该计数器从初始值开始计数；

所述计时器累计所属类别报文中相同校验和的连续报文持续时间，当所属 类别报文的校验和变化时，该计时器从初始值开始计时，当计时值大于或等于 预设时间长度时，将所属类别对应的计数器设置为初始值；

所述当统计值在预设长度时间内达到设定门限值时，确定该类报文中具有 所述相同校验和的报文为攻击报文为：针对每类报文，当计数器的计数值达到 预设门限值且计时器的计时值小于预设时间长度，则确定该类报文中校验和等 于记录变量值的报文为攻击报文。

4.如权利要求1所述的方法，其特征在于，所述确定该类报文中具有所述 相同校验和的报文为攻击报文之后，方法进一步包括：

对后续连续到来的攻击报文进行攻击抵御处理；针对每类报文，当检测到 后续到来报文的校验和与攻击报文的校验和不同，则撤销对攻击报文的认定， 重新执行所述统计操作。

5.如权利要求4所述的方法，其特征在于，所述攻击抵御处理为：减小攻 击报文的通过带宽或直接丢弃攻击报文。

6.一种攻击报文的检测装置，其特征在于，该装置设置在报文发送侧和被 保护侧之间，用于对发向被保护侧的报文进行攻击检测；该装置包括校验和获 取单元和检测单元；

所述检测单元，用于将到被保护设备上符合相同分类条件的报文作为一类， 所述分类条件为：目的IP地址、目的端口号和协议号均相同的报文，或同一连 接中所传输的报文，或目的IP地址、类型字段和协议号均相同的报文；针对每 类报文，统计具有相同校验和且连续到来的报文数量，当统计值在预设长度时 间内达到设定门限值时，确定该类报文中具有所述相同校验和的报文为攻击报 文；

所述校验和获取单元，用于为检测单元提供各报文的校验和，该校验和为 报文中包含数据内容部分的校验和，包括：报文中除去部分非数据内容后的剩 余部分进行校验和计算得到的校验和；对报文中的数据内容部分进行校验和计 算得到的校验和。