[发明专利]一种防攻击的报文转发方法和系统

说明书

本发明实施例提供了一种防攻击的报文转发方法和系统。对于未标记在攻击源列表的IP，根据所述IP的新建数据流的速率与配置的新建速率阀值比较结果或根据所述IP报文转发速率与配置的报文转发速率阀值比较结果，筛选疑似攻击IP；判定所述疑似攻击IP是否是攻击IP，若所述疑似攻击IP是攻击IP，识别所述攻击IP的类别，根据所述攻击IP类别将所述IP加入到对应的攻击源列表中，并针对所述攻击IP类别建立对应的防攻击策略；根据所述对应防攻击策略对所述IP的报文进行丢包处理或转发处理。该方法只要简单的提取出报文头部的五元组信息用来建立流表项和更新流表项。然后基于流表识别攻击源及攻击类型，可以大幅提供设备的转发性能。

技术领域

本发明涉及通信技术领域，尤其涉及一种防攻击的报文转发方法和系统。

背景技术

近年来，随着网络开放性的不断提高，面临的网络威胁也越来越大。针对这种情况，可以在网络出口假设防火墙设备来实现访问控制。随着时间推移，人们渐渐不满足防火墙的单一功能，希望在提供防护的同时，增加行为审计、流量控制等新型功能，由此诞生了集成了多种功能的业务型网关。业务网关在功能上得到全面扩充，但是每增加一个功能都会增加对报文处理的开销，造成设备转发性能下降，其中对转发性能影响最大的就是防火墙功能。现有的防火墙技术主要可以归结为两大类：

数据包过滤：包过滤是在网络层根据访问控制表(ACL,Access Control Table)进行包选择的。它是根据包的源端口、目的端口、源IP地址、目的IP地址、封装协议类型(TCP、UDP、ICMP等)、ICMP报文类型等报头信息来判断是否允许包通过和过滤用户定义的内容。

优点：逻辑简单；处理包速度比代理服务器快；透明性好，不必对用户进行特殊的培训和安装特定的软件。

缺点：数据包的源地址、目的地址以及IP端口号都在报头容易被假冒和窃听；因为定义ACL比较复杂，因而维护比较困难；而且随着ACL数目的增加，转发性能会大幅下降。

应用层代理：应用层代理防火墙不允许网络直连，通常分为透明代理(Transparent Proxy)、传统代理(Traditional Proxy)。它是接收来自内部网络特定用户应用程序的通信，然后建立与外部服务器的单独连接。网络内部的用户不直接与外部的服务器通信，所以服务器不能直接访问内部网的任何一部分。因此无论内网主机还是外网主机都意识不到它们其实是在和防火墙通信。

优点：有强大的日志记录功能，能审查完整的网络数据；防火墙可以直接验证用户身份。

缺点：每个协议都需要单独的代理程序，因此它对新的网络程序或网络协议的支持很有局限性；对包解析会耗费大量CPU资源，大幅降低转发性能，因此会形成网络性能瓶颈。

发明内容

本发明的实施例提供了一种防攻击的报文转发方法和系统，本发明提供了如下方案：

一种防攻击的报文转发方法，包括：

对于未标记在攻击源列表的IP，根据所述IP的新建数据流的速率与配置的新建速率阀值比较结果或根据所述IP报文转发速率与配置的报文转发速率阀值比较结果，筛选疑似攻击IP；

判定所述疑似攻击IP是否是攻击IP，若所述疑似攻击IP是攻击IP，识别所述攻击IP的类别，根据所述攻击IP类别将所述IP加入到对应的攻击源列表中，并针对所述攻击IP类别建立对应的防攻击策略；

根据所述对应防攻击策略对所述IP的报文进行丢包处理或转发处理。

根据本发明的另一方面，还提供一种防攻击的报文转发系统，包括：

筛选模块：其用于对于未标记在攻击源列表的IP，根据所述IP的新建数据流的速率与配置的新建速率阀值比较结果或根据所述IP报文转发速率与配置的报文转发速率阀值比较结果，筛选疑似攻击IP；