1.一种报文检测方法,应用于网络安全设备上,其特征在于,该方法包括:
接收报文;
判断威胁记录表中是否存在第一威胁记录表项,所述第一威胁记录表项为与所述报文的报文特征匹配的威胁记录表项,所述威胁记录表项用于记录报文特征与重置次数的对应关系,所述报文特征包括报文的源IP地址、目的IP地址以及目的端口号;
当所述威胁记录表中存在所述第一威胁记录表项时,判断所述第一威胁记录表项中的重置次数是否大于或者等于预设的重置次数阈值;
当所述第一威胁记录表项中的重置次数大于或者等于预设的重置次数阈值,且报文阻断时长小于预设的第一阻断时长时,丢弃所述报文,所述报文阻断时长为阻断与所述第一威胁记录表项匹配的报文的时长。
2.如权利要求1所述的方法,其特征在于,所述方法还包括:
当所述第一威胁记录表项中的重置次数大于或者等于预设的重置次数阈值,且所述报文阻断时长大于或等于预设的第一阻断时长时,对所述报文进行深度检测;
当检测结果未命中重置动作时,删除所述第一威胁记录表项;
当检测结果命中重置动作时,重新统计所述报文阻断时长。
3.如权利要求1或2所述的方法,其特征在于,所述方法还包括:
当所述第一威胁记录表项对应的报文阻断时长超过预设的第二阻断时长时,删除所述第一威胁记录表项,所述第二阻断时长大于所述第一阻断时长。
4.如权利要求1所述的方法,其特征在于,所述方法还包括:
当所述第一威胁记录表项中的重置次数小于预设的重置次数阈值时,对所述报文进行深度检测;
当检测结果未命中重置动作时,删除所述第一威胁记录表项;
当检测结果命中重置动作时,将所述第一威胁记录表项中的重置次数加一;判断所述第一威胁记录表项中的重置次数是否达到预设的重置次数阈值;当所述第一威胁记录表项中的重置次数达到预设的重置次数阈值时,开始统计所述第一威胁记录表项对应的报文阻断时长。
5.如权利要求1所述的方法,其特征在于,所述方法还包括:
当所述威胁记录表中不存在所述第一威胁记录表项时,对所述报文进行深度检测;
当检测结果命中重置动作时,新建威胁记录表项,所述新建威胁记录表项中的重置次数为一。
6.一种报文检测装置,应用于网络安全设备上,其特征在于,该装置包括:
报文接收单元,用于接收报文;
表项判断单元,用于判断威胁记录表中是否存在第一威胁记录表项,所述第一威胁记录表项为与所述报文的报文特征匹配的威胁记录表项,所述威胁记录表项用于记录报文特征与重置次数的对应关系,所述报文特征包括报文的源IP地址、目的IP地址以及目的端口号;
次数判断单元,用于当所述威胁记录表中存在所述第一威胁记录表项时,判断所述第一威胁记录表项中的重置次数是否大于或者等于预设的重置次数阈值;
报文处理单元,用于当所述第一威胁记录表项中的重置次数大于或者等于预设的重置次数阈值,且报文阻断时长小于预设的第一阻断时长时,丢弃所述报文,所述报文阻断时长为阻断与所述第一威胁记录表项匹配的报文的时长。
7.如权利要求6所述的装置,其特征在于:
所述报文处理单元,还用于当所述第一威胁记录表项中的重置次数大于或者等于预设的重置次数阈值,且所述报文阻断时长大于或等于预设的第一阻断时长时,对所述报文进行深度检测;当检测结果未命中重置动作时,删\t除所述第一威胁记录表项;当检测结果命中重置动作时,重新统计所述报文阻断时长。
8.如权利要求6或7所述的装置,其特征在于:
所述报文处理单元,还用于当所述第一威胁记录表项对应的报文阻断时长超过预设的第二阻断时长时,删除所述第一威胁记录表项,所述第二阻断时长大于所述第一阻断时长。
9.如权利要求6所述的装置,其特征在于:
所述报文处理单元,还用于当所述第一威胁记录表项中的重置次数小于预设的重置次数阈值时,对所述报文进行深度检测;当检测结果未命中重置动作时,删除所述第一威胁记录表项;当检测结果命中重置动作时,将所述第一威胁记录表项中的重置次数加一;判断所述第一威胁记录表项中的重置次数是否达到预设的重置次数阈值;当所述第一威胁记录表项中的重置次数达到预设的重置次数阈值时,开始统计所述第一威胁记录表项对应的报文阻断时长。
10.如权利要求6所述的装置,其特征在于:
所述报文处理单元,还用于当所述威胁记录表中不存在所述第一威胁记录表项时,对所述报文进行深度检测;当检测结果命中重置动作时,新建威胁记录表项,所述新建威胁记录表项中的重置次数为一。