[发明专利]一种业务报文处理方法及系统

权利要求书

1.一种业务报文处理方法，其特征在于，包括：

获取与待处理目的IP地址对应的、包含待处理源IP地址的待处理业务报文；

按目的IP地址与可信源IP地址集合的对应关系，确定与所述待处理目的IP地址对应的待处理可信源IP地址集合；

若判定所述待处理源IP地址处于所述待处理可信源IP地址集合内，则将所述待处理业务报文回注至路由设备；

其中，所述待处理可信源IP地址集合中的待处理目的设备多个可信源设备的IP地址按照以下方式确定：在按源IP地址对待处理特征信息集合中的特征信息分类后，依据每类特征信息分别计算每个源IP地址的预设数量个属性信息；基于每个源IP地址的预设数量个属性信息，计算每个属性信息的置信区间；若一个源IP地址有半数以上的属性信息处于对应的置信区间内，则确定该源IP地址为所述待处理目的设备的可信源设备的IP地址。

2.如权利要求1所述的方法，其特征在于，所述获取待处理目的IP地址对应的待处理业务报文，包括：

在所述路由设备中牵引与所述待处理目的IP地址对应的待处理业务报文。

3.如权利要求1所述的方法，其特征在于，所述待处理可信源IP地址集合为基于访问所述待处理目的设备的历史业务报文的特征信息确定的多个可信源设备的IP地址的集合。

4.如权利要求3所述的方法，其特征在于，基于访问所述待处理目的设备的历史业务报文的特征信息确定多个可信源设备的IP地址的集合，包括：

确定与所述待处理目的IP地址对应的待处理特征信息集合；其中，所述待处理特征信息集合由预设天数内访问所述待处理目的设备的历史业务报文的特征信息组成；

基于所述待处理特征信息集合，确定所述待处理目的设备多个可信源设备的IP地址；

将所述多个可信源设备的IP地址的集合，确定为所述待处理可信源IP地址集合；

存储所述待处理可信源IP地址集合，以及所述待处理目的IP地址与所述待处理可信源IP地址集合的对应关系。

5.如权利要求4所述的方法，其特征在于，

每个源IP地址的属性信息包括：访问所述待处理目的设备的总天数、每天访问所述待处理目的设备的平均访问次数、访问所述待处理目的设备的平均访问间隔和/或访问所述待处理目的设备的访问时间分布；其中，所述历史业务报文的特征信息包括：历史业务报文的源IP地址、源端口、目的IP地址、目的端口和访问时间。

6.如权利要求5所述的方法，其特征在于，所述基于每个源IP地址的预设数量个属性信息，计算每个属性信息的置信区间，包括：

基于每个源IP地址的预设数量个属性信息，计算每个属性信息的平均值和方差值，利用每个属性信息的平均值和方差值，确定每个属性信息的置信区间。

7.如权利要求4所述的方法，其特征在于，还包括：

接收与所述待处理业务报文一致的副本待处理业务报文后，提取所述副本待处理业务报文的特征信息；

利用所述副本待处理业务报文的特征信息，更新所述待处理特征信息集合。

8.如权利要求7所述的方法，其特征在于，还包括：

基于更新后所述待处理特征信息集合，重新确定所述待处理可信源IP地址集合。

9.如权利要求1所述的方法，其特征在于，在获取与待处理目的IP地址对应的、包含待处理源IP地址的待处理业务报文后，还包括：

判断所述待处理业务报文中的待处理源IP地址是否处于黑名单内；

若所述待处理源IP地址处于所述黑名单内，则确定所述待处理业务报文为攻击报文；

禁止所述待处理业务报文回注至所述路由设备。

10.如权利要求9所述的方法，其特征在于，还包括：

若判定所述待处理源IP地址未处于所述黑名单内，且，所述待处理源IP地址未处于所述待处理可信源IP地址集合内，则对所述待处理业务报文进行限速处理。