[发明专利]报文检测方法及装置

权利要求书

1.一种报文检测方法，其特征在于，所述方法包括：

接收待处理报文；

解析所述待处理报文，获取源IP地址以及原始生存时间值；所述原始生存时间值用于表示所述待处理报文中的互联网协议IP数据包在网络中实际转发的跳数；

根据路由信息库获取最小生存时间值；所述最小生存时间值用于表示所述待处理报文中的IP数据包从源IP地址转发到目标服务器的私网IP地址的最小跳数；所述路由信息库包括各地区的公网IP地址、各公网IP地址对应的实际地理位置以及各地区之间的最小生存时间值；

根据所述原始生存时间值与所述最小生存时间值的大小关系，确定所述待处理报文是否为攻击报文；

若所述待处理报文是攻击报文，则将所述源IP加入黑名单；

否则，对所述源IP进行源认证。

2.根据权利要求1所述的方法，其特征在于，在解析所述待处理报文，获取源IP地址以及原始生存时间值之前，所述方法还包括：

查询网络入口流量；所述网络入口流量用于表示单位时间内防御设备接收到的待处理报文的流量之和；

根据所述网络入口流量与预设阈值流量的大小关系，确定是否根据路由信息库获取最小生存时间值。

3.根据权利要求2所述的方法，其特征在于，所述根据所述网络入口流量与预设阈值流量的大小关系，确定是否根据路由信息库获取最小生存时间值，包括：

若所述网络入口流量小于预设阈值流量，则直接进行源认证；

若所述网络入口流量大于预设阈值流量，则根据路由信息库获取最小生存时间值。

4.根据权利要求1所述的方法，其特征在于，所述根据所述原始生存时间值与所述最小生存时间值的大小关系，确定所述待处理报文是否为攻击报文，包括：

若所述原始生存时间值小于所述最小生存时间值，则确定所述待处理报文为攻击报文；

若所述原始生存时间值大于所述最小生存时间值，则初步确定所述待处理报文为非攻击报文。

5.根据权利要求1所述的方法，其特征在于，在根据路由信息库获取最小生存时间值之前，所述方法还包括：

获取所述待处理报文的五元组信息；所述五元组信息包括：源IP地址、源端口、目的IP地址、目的端口以及传输层协议；

根据第一预设哈希算法计算所述五元组信息对应的第一哈希值；

根据所述路由信息库查询所述第一哈希值，获取源IP地址对应的实际地理位置。

6.根据权利要求5所述的方法，其特征在于，在根据所述路由信息库查询所述第一哈希值，获取源IP地址对应的实际地理位置之后，所述方法还包括：

根据第二预设哈希算法计算所述实际地理位置的第二哈希值；

根据所述路由信息库查询所述第二哈希值，获取第一生存时间值；所述第一生存时间值用于表示源IP地址与防御设备的公网地址之间的最小生存时间值；

获取第二生存时间值，所述第二生存时间值用于表示所述防御设备的公网地址与目标服务器的私网IP地址之间的生存时间值；

根据第三生存时间值与原始生存时间值的大小关系，确定所述待处理报文是否为攻击报文；所述第三生存时间值为所述第一生存时间值与所述第二生存时间值之和。

7.根据权利要求6所述的方法，其特征在于，所述根据第三生存时间值与原始生存时间值的大小关系，确定所述待处理报文是否为攻击报文，包括：

若所述原始生存时间值小于所述第三生存时间值，则确定所述待处理报文为攻击报文；

若所述原始生存时间值大于所述第三生存时间值，则初步确定所述待处理报文为非攻击报文。