[发明专利]一种报文处理方法、装置、电子设备及存储介质

权利要求书

1.一种报文处理方法，其特征在于，包括：

防护设备接收到客户端发送的任一会话的首个报文时，保存所述首个报文的报文信息，丢弃所述首个报文，所述报文信息至少包括接收时间；

若接收到的第一报文符合所述首个报文的重传条件，则基于所述接收时间和所述第一报文的接收时间，确定所述第一报文与所述首个报文的接收时间间隔；

基于所述接收时间间隔是否位于预设时间区间内，确定所述客户端是否是攻击客户端，所述预设时间区间的区间上限和区间下限是基于分布式拒绝服务攻击的报文发送特征确定的；

基于确定的所述客户端是否是攻击客户端的结果，处理所述第一报文。

2.如权利要求1所述的方法，其特征在于，根据以下步骤确定所述第一报文符合所述重传条件：

对所述第一报文对应的会话信息进行哈希运算；

若哈希运算结果与所述首个报文对应的会话信息的哈希运算结果相同，则确定所述第一报文符合所述重传条件。

3.如权利要求1所述的方法，其特征在于，基于所述接收时间间隔是否位于预设时间区间内，确定所述客户端是否是攻击客户端，包括：

若所述接收时间间隔位于所述预设时间区间内，则确定所述客户端不是攻击客户端；

若所述接收时间间隔不位于所述预设时间区间内，则确定所述客户端是攻击客户端。

4.如权利要求3所述的方法，其特征在于，当所述报文信息还包括报文标识时，还包括：

若所述接收时间间隔位于所述预设时间区间内，则对所述第一报文的报文标识和所述首个报文的报文标识进行比对；

若所述第一报文的报文标识与所述首个报文的报文标识不同，则确定所述客户端不是攻击客户端；

若所述第一报文的报文标识与所述首个报文的报文标识相同，则确定所述客户端是攻击客户端。

5.如权利要求3所述的方法，其特征在于，当所述报文信息还包括源IP地址时，还包括：

在所述接收时间间隔小于所述区间下限时，对所述第一报文的源IP地址和所述首个报文的源IP地址进行比对；

若所述第一报文的源IP地址和所述首个报文的源IP地址相同，则确定所述客户端是攻击客户端；

若所述第一报文的源IP地址和所述首个报文的源IP地址不同，则确定所述客户端不是攻击客户端。

6.如权利要求1-5任一所述的方法，其特征在于，基于确定的所述客户端是否是攻击客户端的结果，处理所述第一报文，包括：

若确定所述客户端不是攻击客户端，则将所述第一报文对应的会话信息添加到会话列表中，并将所述第一报文发送给服务器进行处理；

若确定所述客户端是攻击客户端，则丢弃所述第一报文。

7.如权利要求6所述的方法，其特征在于，在将所述第一报文对应的会话信息添加到会话列表中之后，还包括：

若接收到的第二报文对应的会话信息包含在所述会话列表中，则将所述第二报文发送给所述服务器进行处理。

8.一种报文处理装置，其特征在于，包括：

接收模块，用于接收到客户端发送的任一会话的首个报文时，保存所述首个报文的报文信息，丢弃所述首个报文，所述报文信息至少包括接收时间；

确定模块，用于若接收到的第一报文符合所述首个报文的重传条件，则基于所述接收时间和所述第一报文的接收时间，确定所述第一报文与所述首个报文的接收时间间隔；

判定模块，用于基于所述接收时间间隔是否位于预设时间区间内，确定所述客户端是否是攻击客户端，所述预设时间区间的区间上限和区间下限是基于分布式拒绝服务攻击的报文发送特征确定的；

处理模块，用于基于确定的所述客户端是否是攻击客户端的结果，处理所述第一报文。