[发明专利]报文过滤规则的处理方法和装置

说明书

本申请提供一种报文过滤规则的处理方法及装置，应用于网络设备中，所述方法包括：根据设定时段内接收到的预定格式的至少一个攻击日志更新攻击源IP地址信誉库；确定攻击源IP地址信誉库中的各个攻击源IP地址的信誉度是否大于设定信誉阈值；若确定攻击源IP地址信誉库中的第一攻击源IP地址的信誉度大于设定信誉阈值，则确定报文过滤规则库中是否保存第一攻击源IP地址对应的报文过滤规则；若确定报文过滤规则库中未保存第一攻击源IP地址对应的报文过滤规则，则根据第一攻击源IP地址对应的攻击日志生成报文过滤规则；将生成的报文过滤规则添加到报文过滤规则库中。应用本申请的实施例，可以大大提高报文过滤规则的处理效率。

技术领域

本申请涉及网络通信技术领域，特别设计一种报文过滤规则的处理方法和装置。

背景技术

随着网络技术的飞速发展，网络攻击呈增长趋势，网络运营商面临的安全和运营挑战也不断增多，网络运营商必须在攻击威胁影响关键业务和应用之前对攻击报文进行阻断。

互联网协议(Internet Protocol，IP)地址是一种在互联网(Internet)上给主机编址的方式，网络中的各个主机通过IP地址才能互相通信，由此可见，IP地址具有一定的唯一性。因此，针对网络攻击有效的防护措施就是过滤触发过攻击事件的IP地址的报文。报文过滤规则可以根据报文的五元组信息构成，即源IP地址、目的IP地址、源端口号、目的端口号和协议。网络设备通过报文过滤规则来过滤网络中的报文。

目前，报文过滤规则的处理方法是，在出现攻击事件后，技术人员通过分析网络设备的攻击日志，手动配置针对攻击源IP地址的报文过滤规则来防护攻击，以确保网络正常稳定的运行以及业务的正常开展。上述报文过滤规则的处理方法，采用人工方式分析攻击日志、配置报文过滤规则，这就导致报文过滤规则的处理效率非常低。

发明内容

有鉴于此，本申请提供一种报文过滤规则的处理方法和装置，以解决采用人工方式分析攻击日志、配置报文过滤规则，导致的报文过滤规则的处理效率非常低的问题。

具体地，本申请是通过如下技术方案实现的：

一种报文过滤规则的处理方法，应用于网络设备中，所述方法包括：

根据设定时段内接收到的预定格式的至少一个攻击日志更新攻击源互联网协议IP地址信誉库；

确定所述攻击源IP地址信誉库中的各个攻击源IP地址的信誉度是否大于设定信誉阈值；

若确定所述攻击源IP地址信誉库中的第一攻击源IP地址的信誉度大于所述设定信誉阈值，则确定报文过滤规则库中是否保存所述第一攻击源IP地址对应的报文过滤规则；

若确定所述报文过滤规则库中未保存所述第一攻击源IP地址对应的报文过滤规则，则根据所述第一攻击源IP地址对应的攻击日志生成报文过滤规则；

将生成的报文过滤规则添加到所述报文过滤规则库中。

一种报文过滤规则的处理装置，应用于网络设备中，所述装置包括：

更新模块，用于根据设定时段内接收到的预定格式的至少一个攻击日志更新攻击源互联网协议IP地址信誉库；

第一确定模块，用于确定所述攻击源IP地址信誉库中的各个攻击源IP地址的信誉度是否大于设定信誉阈值；

第二确定模块，用于若确定所述攻击源IP地址信誉库中的第一攻击源IP地址的信誉度大于所述设定信誉阈值，则确定报文过滤规则库中是否保存所述第一攻击源IP地址对应的报文过滤规则；

生成模块，用于若确定所述报文过滤规则库中未保存所述第一攻击源IP地址对应的报文过滤规则，则根据所述第一攻击源IP地址对应的攻击日志生成报文过滤规则；

添加模块，用于将生成的报文过滤规则添加到所述报文过滤规则库中。