[发明专利]一种报文处理方法及装置

权利要求书

1.一种报文处理方法，其特征在于，所述方法包括：

在确定待检测报文的业务类型为安全的业务类型后，根据所述待检测报文的业务类型对应的第一特征获取规则，获取所述待检测报文中所述第一特征获取规则设定的第一特征获取位置处的第一业务特征的取值；

判断在预设的业务特征数据库中是否包括所述第一业务特征，且所述第一业务特征的取值是否位于所述第一业务特征对应的取值范围内，其中，所述业务特征数据库中存储：各安全业务类型的报文的业务特征以及各所述业务特征的取值范围的对应关系；

若所述业务特征数据库中未包括所述第一业务特征，或所述第一业务特征的取值位于所述第一业务特征对应的取值范围外，则丢弃所述待检测报文。

2.根据权利要求1所述的方法，其特征在于，采用如下步骤在所述业务特征数据库中添加业务特征：

在第一预设周期内，统计所接收到的第一报文的数量，其中，所述第一报文是指：具有相同的业务特征且该业务特征的取值相同的报文；

判断所统计的数量是否小于第一安全阈值，或判断所统计的数量是否大于第一预设阈值且小于第一安全阈值；

若是，将所述第一报文的业务特征和该业务特征的取值添加至所述业务特征数据库中。

3.根据权利要求1所述的方法，其特征在于，所述获取所述待检测报文中所述第一特征获取规则设定的第一特征获取位置处的的第一业务特征的取值之前，还包括：

确定待检测报文的目标业务类型；

判断在预设的业务类型数据库中是否包括与所述目标业务类型相匹配的业务类型；

若不存在，则丢弃所述待检测报文；

若存在，执行所述获取所述待检测报文中所述第一特征获取规则设定的第一特征获取位置处的的第一业务特征的取值的步骤。

4.根据权利要求3所述的方法，其特征在于，采用如下步骤在所述业务类型数据库中添加业务类型：

在第二预设周期内，统计接收到的第二报文的数量，所述第二报文是指：属于同一种业务类型的报文；

判断所统计的数量是否小于第二安全阈值，或判断所统计的数量是否大于第二预设阈值且小于第二安全阈值；

若是，将所述第二报文的业务类型添加至所述业务类型数据库中。

5.根据权利要求1-4任一所述的方法，其特征在于，所述获取所述待检测报文中所述第一特征获取规则设定的第一特征获取位置处的的第一业务特征的取值的步骤之前，还包括：

获取待检测报文的源地址，作为目标源地址；

判断在预设的攻击源名单中是否存在与所述目标源地址相匹配的地址，所述攻击源名单中记录发送攻击报文的地址；

若存在，则丢弃所述待检测报文。

6.根据权利要求1所述的方法，其特征在于，所述丢弃所述待检测报文的步骤之后，还包括：

根据单位时间内传输所述待检测报文的数据量，确定所述待检测报文的源地址发送所述待检测报文的第一速率；

判断所述第一速率是否位于预设速率排序中的预设排名之前，其中，所述预设速率排序为：攻击源名单中源地址发送报文的速率按照从大到小的顺序所进行的排序；

如果是，则将所述待检测报文的源地址、或所述待检测报文的源地址和第一速率添加至所述攻击源名单。

7.一种报文处理装置，其特征在于，所述装置包括：

第一获取模块，用于在确定待检测报文的业务类型为安全的业务类型后，根据所述待检测报文的业务类型对应的第一特征获取规则，获取所述待检测报文中所述第一特征获取规则设定的第一特征获取位置处的第一业务特征的取值；

第一判断模块，用于判断在预设的业务特征数据库中是否包括所述第一业务特征，且所述第一业务特征的取值是否位于所述第一业务特征对应的取值范围内，其中，所述业务特征数据库中存储：各安全业务类型的报文的业务特征以及各所述业务特征的取值范围的对应关系；

第一确定模块，用于当所述第一判断模块判断出所述业务特征数据库中未包括所述第一业务特征，或所述第一业务特征的取值位于所述第一业务特征对应的取值范围外时，则丢弃所述待检测报文。