防止网络攻击的方法及装置与流程

本发明属于信息安全领域，尤其涉及一种防止网络攻击的方法及装置。

背景技术：

数据已经被证明是企业重要资产之一，数据的高速增长使企业面临前所未有的挑战。数据安全主要是指数据在终端/服务器内的存储安全和使用安全，以及设备间的数据交互安全；针对数据交互安全而言，目前主流的技术是通过密码算法的加密/解密处理。

加密/解密处理的安全性主要依赖于其算法的复杂度和密钥是否有妥善保管，随着32位、64位、128位加密算法的出现，破译密码的难度虽然得到了大大的提升，但破解的关键因素仍然是时间及成本的问题，而这些问题是由攻击者所掌控的，加密/解密算法的使用者无法断定其交互数据没有被攻击者所截获，因此现有技术中缺乏一种有效的保护交互数据安全性的策略。

技术实现要素：

有鉴于此，本发明的一个目的是一种防止网络攻击的方法及装置，以解决现有技术中的交互数据、交互设备的安全性的问题。

在一些说明性实施例中，所述防止网络攻击的方法，包括：接收数据包；根据预设算法解析出所述数据包中的一个或多个特征数据；根据所述特征数据对所述数据包启动合法性认证；认证不通过时，丢弃所述数据包。

在一些优选地实施例中，所述根据预设算法解析出所述数据包中的一个或多个特征数据，包括：提取所述数据包的ip头中的协议号；所述根据所述特征数据对所述数据包启动合法性认证，包括：判断所述协议号是否为预先设置的非标协议号；若否，则指示所述数据包的合法性认证不通过。

在一些优选地实施例中，所述根据预设算法解析出所述数据包中的一个或多个特征数据，包括：解析出所述数据包的数据段中第一指定字段中的数据；所述根据所述特征数据对所述数据包启动合法性认证，包括：判断所述第一指定字段中的数据是否与预先配置的序号值一致；若否，则指示所述数据包的合法性认证不通过。

在一些优选地实施例中，所述根据预设算法解析出所述数据包中的一个或多个特征数据，还包括：解析出所述数据包的数据段中第二指定字段中的数据；所述根据所述特征数据对所述数据包启动合法性认证，包括：计算所述数据包的ip头、以及所述数据段中的第一指定字段的哈希值；判断计算后获得的所述哈希值是否与所述第二指定字段中的数据一致；若否，则指示所述数据包的合法性认证不通过。

在一些优选地实施例中，所述根据预设算法解析出所述数据包中的一个或多个特征数据的过程中，包括：对所述数据包进行解密处理。

本发明另一个目的在于提出一种防止网络攻击的装置，以解决现有技术中存在的问题。

在一些说明性实施例中，所述防止网络攻击的装置，包括：接收模块，用于接收数据包；解析模块，用于根据预设算法解析出所述数据包中的一个或多个特征数据；审核模块，用于根据所述特征数据对所述数据包启动合法性认证；清除模块，用于认证不通过时，丢弃所述数据包。

在一些优选地实施例中，所述解析模块中包括：第一解析子模块，用于提取所述数据包的ip头中的协议号；所述审核模块中包括：第一审核子模块，用于判断所述协议号是否为预先设置的非标协议号；若否，则指示所述数据包的合法性认证不通过。

在一些优选地实施例中，所述解析模块中包括：第二解析子模块，用于解析出所述数据包的数据段中第一指定字段中的数据；所述审核模块中包括：第二审核子模块，用于判断所述第一指定字段中的数据是否与预先配置的序号值一致；若否，则指示所述数据包的合法性认证不通过。

在一些优选地实施例中，所述解析模块中包括：第三解析子模块，用于解析出所述数据包的数据段中第二指定字段中的数据；所述审核模块中包括：第三审核子模块，用于计算所述数据包的ip头、以及所述数据段中的第一指定字段的哈希值；判断计算后获得的所述哈希值是否与所述第二指定字段中的数据一致；若否，则指示所述数据包的合法性认证不通过。

在一些优选地实施例中，所述解析模块中还包括：解密模块，用于对所述数据包进行解密处理。

与现有技术相比，本发明具有以下优点：

本发明中作为接收方的计算设备，接收设备通过对启动上述实施例中一系列认证，确保进入计算设备的数据包都是基于专用数据包改造而成的，可有效的防止伪造ip攻击、dos洪水攻击等等。

附图说明

此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：

图1是本发明中通信上行数据重构方法的流程图；

图2是本发明中通信上行数据重构方法的第一示例的流程图；

图3是本发明中通信上行数据重构方法的第二示例的流程图；

图4是本发明中通信上行数据重构方法的第三示例的流程图；

图5是本发明中通信上行数据重构组件的结构框图；

图6是本发明中通信下行数据重构方法的流程图；

图7是本发明中通信下行数据重构方法的第一示例的流程图；

图8是本发明中通信下行数据重构方法的第二示例的流程图；

图9是本发明中通信下行数据重构方法的第三示例的流程图；

图10是本发明中通信下行数据重构组件的结构框图；

图11是本发明中防止网络攻击的方法的流程图；

图12是本发明中防止网络攻击的装置的结构框图；

图13是本发明中安全通信方法的流程图。

具体实施方式

以下描述和附图充分地示出本发明的具体实施方案，以使本领域的技术人员能够实践它们。其他实施方案可以包括结构的、逻辑的、电气的、过程的以及其他的改变。实施例仅代表可能的变化。除非明确要求，否则单独的部件和功能是可选地，并且操作的顺序可以变化。一些实施方案的部分和特征可以被包括在或替换其他实施方案的部分和特征。本发明的实施方案的范围包括权利要求书的整个范围，以及权利要求书的所有可获得的等同物。在本文中，本发明的这些实施方案可以被单独地或总地用术语“发明”来表示，这仅仅是为了方便，并且如果事实上公开了超过一个的发明，不是要自动地限制该应用的范围为任何单个发明或发明构思。

而且在以下详细描述中，会提出大量特定细节，以便于提供对本发明的透彻理解。然而，本领域的技术人员会理解，即使没有这些特定细节也可实施本发明。此外，为了避免不必要地模糊本发明的主要思想，没有详细描述众所周知的方法、过程、组件、结构、电路和其它特征。

术语“通信上行数据”、“通信下行数据”是针对独立的网络设备(如终端pc机、服务器等具有数据收发、数据存储、数据使用等功能的支持通信的非中间设备)而言的，“通信上行数据”是指设备发送出的数据，“通信下行数据”是指设备接收到的数据。术语“专用网络”是针对交互数据的网络设备而言的，例如终端pc机与服务器之间通过本发明实施例中所示出的方法进行交互，则终端pc机与服务器之间而言就构成了两个设备的专用网络。

如权利要求书中所使用的，除非以其它方式指明，用于描述元件/结构/信号/数据的顺序形容词“第一”、“第二”、“第三”等等的使用仅用于指示元件/结构/信号/数据的具体实例或者相同元件/结构/信号/数据的不同实例，并且不旨在暗示这些如此描述的元件/结构/信号/数据必须按特定的顺序(或者按时间、按空间排序或者以任何其他方式)

为了便于本领域技术人员可以更快的理解本发明，在此对本发明的主要思想进行简单阐述。常规的通信方式中处于网络中的设备(如终端)会不断的监听网络中的数据流，并截获数据流，从数据流中解析出该数据流的目标ip地址，如果该目标ip地址就是本设备自身的ip地址，则将该数据流送入自身的下一级处理进而获取数据内容；相反的，如果该目标ip地址不是本设备的ip地址，则会直接将该数据流从缓存中清除，即丢弃数据流。基于数据安全的考虑，现有的安全措施中除了检查目标ip地址之外，还会对数据流中的源ip地址(数据流的原始发起者)进行识别认证，鉴别是否是注册/授权设备发起访问，如果是则接收并送入下一级处理，如果不是则丢弃数据流。伪造ip地址攻击则就是针对上述安全策略而采用的一种攻击方式，该方式通过某种手段获取到了认证/授权设备的ip地址，在发送攻击包之前，将自身的源地址更改为授权设备的ip地址，此时数据包就会进入目标设备从而产生其攻击效果。本发明中针对上述问题，提出了重构数据流(例如数据包)的安全策略，专用网络设备通过将常规数据包改造成专网数据包，从而可避免数据包被其它设备所截获破解，另外在接收时进行多种专网数据包的认证策略，可防止伪造ip、洪水攻击等多种网络攻击的侵害。

现在参照图1，图1示出了本发明中用于将常规通信上行数据改造成专网通信上行数据的方法流程图，如该图所示，公开了一种通信上行数据重构方法，可执行以下步骤：

步骤s11.获取第一数据包；

第一数据包可以是指计算设备产生的用于向该设备外部发送的常规数据包(即为原始数据包)，该数据包由ip头和数据段组成，ip头中至少包含本设备的源ip地址、目标设备的目标ip地址、以及指示目标设备响应方式等其它指示信息的协议号(如tcp为6，udp为17)；

步骤s12.调取与所述第一数据包对应的一个或多个特征数据；

该步骤可通过解析ip头中的信息进而匹配预置的一个或多个特征数据，例如可通过目标ip地址信息匹配预置的本次该数据包的序号值、所采用的非标协议号、以及通过计算进而获取到的校验值；

步骤s13.根据所述特征数据对所述第一数据包的结构进行重组，得到第二数据包；

第二数据包可以是指经过本发明中“重组”操作实现对原始数据包的改造后产生得到的专用数据包，该专用数据包中同样包含ip头和数据段；但ip头和数据段中的数据内容/结构已发生了改变，例如在数据段上扩展一个或多个特征字段，“重组”逻辑中的每个特征字段可存放步骤s12中所提取的特征数据，在重组的过程中利用原始数据包的原始数据段和扩展特征字段按照特定的结构进行组合得到专用数据包。

步骤s14.发送所述第二数据包。

本发明中提出的安全策略通过将常规的数据包改造成专用网络的数据包，可防止非专用网络中的设备由于物理或无线等方式进入该专用网络后与专用网络设备进行通信，或解析到专用网络中的数据，保证了专用网络的安全性和可靠性。

现在参照图2，图2示出了本发明中通信上行数据重构方法的一个示例，如该示例所示，本发明中的通信上行数据重构方法，包括：

步骤s21.获取计算设备向外发送的常规数据包(即第一数据包)；

步骤s22.解析出所述常规数据包的ip头的目标ip地址；

步骤s23.根据所述目标ip地址在序号库中匹配到与该目标ip地址对应的序号表；

步骤s24.提取所述序号表中的序号值；

步骤s25.根据所述常规数据包和序号值生成专用数据包(即第二数据包)；其中，专用数据包的数据段由原始数据段(即常规数据包的数据段)和存放序号值的序号字段组成；

步骤s26.对所述专用数据包的数据段进行加密处理；

步骤s27.将所述专用数据包按照既定目标发送出去；

步骤s28.将所述序号表中的序号值进行+1处理。

在上述实施例中，可用不同的顺序执行在图2中示出的方法，如重新排序、组合、省略、附加步骤或其组合。例如步骤s26和/或步骤s28可在另一个实施例中进行省略；又例如步骤s28与步骤s26或步骤s27的位置可在再一个实施例中进行调换。

本发明实施例中通过在常规数据包中添加序号字段，一方面可以指示专用网络设备中的接收方避免接收到重复的数据包；另一方面，序号字段不仅只是防重的作用，其位置及数据还可用于鉴别作用，例如用于接收方启动合法性认证，防止攻击者伪造专用数据包，以此保证接收方接收到的是专用数据包。因此，该实施例中所采用的序号值还可替换成任何可用于标识作用的数据内容。

现在参照图3，图3示出了本发明中通信上行数据重构方法的另一示例，如该示例所示，本发明中的通信上行数据重构方法，包括：

步骤s31.获取计算设备向外发送的常规数据包(即第一数据包)；

步骤s32.解析出所述常规数据包的ip头的目标ip地址；

步骤s33.根据所述目标ip地址在序号库中匹配到与该目标ip地址对应的序号表；

步骤s34.提取所述序号表中的序号值；

步骤s35.计算出所述常规数据包的ip头和序号值的哈希值之和，作为校验和；

步骤s36.根据所述常规数据包、序号值、校验和生成专用数据包(即第二数据包)；其中，专用数据包的数据段由原始数据段(即常规数据包的数据段)、存放序号值的序号字段和存放校验和的校验字段组成；

步骤s37.对所述专用数据包的数据段进行加密处理；

步骤s38.将所述专用数据包按照既定目标发送出去；

步骤s39.将所述序号表中的序号值进行+1处理。

在上述实施例中，可用不同的顺序执行在图3中示出的方法，如重新排序、组合、省略、附加步骤或其组合。例如步骤s37和/或步骤s39可在另一个实施例中进行省略；又例如步骤s39与步骤s37或步骤s38的位置可在再一个实施例中进行调换。

本发明实施例中通过在常规数据包中添加序号字段和校验字段，除了达到图2示例中所提到的作用效果之外，还可对专用数据包的完整性进行校验，避免网络传输发生数据丢失导致接收方接收到的数据包不正确的问题，以及可进一步对专用数据包的独有性进行验证。

现在参照图4，图4示出了本发明中通信上行数据重构方法的另一示例，如该示例所示，本发明中的通信上行数据重构方法，包括：

步骤s41.获取计算设备向外发送的常规数据包(即第一数据包)；

步骤s42.提取所述常规数据包的ip头中的标准协议号；

步骤s43.调取预先配置的非标协议号；其中，步骤s43可通过以常规数据包中的信息进行匹配获得所述非标协议号，例如通过目标ip地址匹配相应的非标协议号；或者非标协议号为固定值。

步骤s44.根据所述常规数据包、ip头中的标准协议号、以及调取的非标协议号生成专用数据包(即第二数据包)；其中，专用数据包的ip头中的协议号为所述非标协议号，专用数据包的数据段由原始数据段(即常规数据包的数据段)、存放步骤s42所提取的标准协议号的协议字段组成；

步骤s45.对所述专用数据包的数据段进行加密处理；

步骤s46.将所述专用数据包按照既定目标发送出去。

在上述实施例中，可用不同的顺序执行在图4中示出的方法，如重新排序、组合、省略、附加步骤或其组合。例如步骤s45可在另一个实施例中进行省略；又例如步骤s42和步骤s43的位置可在再一个实施例中进行调换。

本发明实施例中通过将原始的标准协议号隐藏到数据包的数据段当中，利用专用网络中自定义的非标协议号代替数据包的ip头中的协议号，避免伪造专用数据包，并且降低非专用网络设备接收到专用数据包的风险。

在图2、图3和图4所示出的实施例中，其方法步骤可组合成新的实施例，例如：改造后的专用数据包不仅增加上述序号字段、校验字段，还增加上述协议字段，并替换了数据包ip头中的协议号，构造成本发明实施例中专用数据包的一优选实施例。

现在参照图5，图5示出了本发明中用于将常规通信上行数据改造成专网通信上行数据的装置的结构框图，如该图所示，公开了一种通信上行数据重构组件100，该组件可包括：接收模块110、解析模块120、封装模块130和发送模块140；

接收模块110，用于获取第一数据包；

解析模块120，用于调取与所述第一数据包对应的一个或多个特征数据；

封装模块130，用于根据所述特征数据对所述第一数据包的结构进行重组，得到第二数据包；

发送模块140，用于发送所述第二数据包。

其中，图5示出的实施例中解析模块和封装模块中可包含若干子模块，以实现上述图2、图3和图4所示出的各功能/步骤；本发明实施例中的通信上行数据重构组件可通过硬编码的方式固化在芯片的内部作为独立的硬件单元组件，其各功能可由任何可实现其功能目的的逻辑元器件构成实现。

本发明通过图1-图5所示出的实施例，其部分或全部步骤/结构可实现对专用网络中专用数据包的构建，专用数据包对非专用网络设备的识别风险低，非专用网络设备无法识别即丢弃，以实现专用网络中的专用网络设备之间的交互更加安全和隐密。

现在参照图6，图6示出了本发明中用于将常规通信下行数据改造成专网通信下行数据的方法流程图，与本发明中的通信上行数据重构方法所对应，如该图所示，公开了一种通信下行数据重构方法，可执行以下步骤：

步骤s51.获取第二数据包；

第二数据包可以是指经过本发明实施例中“重组”操作实现对原始数据包的改造后产生得到的专用数据包，该专用数据包中同样包含ip头和数据段；但ip头和数据段中的数据内容/结构已发生了改变，例如在数据段上扩展一个或多个特征字段，“重组”逻辑中的每个特征字段可存放步骤s12中所提取的特征数据，在重组的过程中利用原始数据包的原始数据段和扩展特征字段按照特定的结构进行组合得到专用数据包。

步骤s52.根据预设算法解析出所述第二数据包中的一个或多个特征数据；

预设算法可包括：解密算法、以及在专用数据包中的具体位置上提取相应的特征数据；例如ip头中的协议号、数据段中的序号字段中的序号值、校验字段中的校验和、以及协议字段中的协议号；

步骤s53.根据所述特征数据对所述第二数据包启动合法性认证；

合法性认证可为一次认证或多次认证，例如对专用数据包中的序号值、协议号或校验和进行认证，又例如逐次对序号值、协议号或校验和进行分别认证的过程；

步骤s54.认证通过后，剔除所述第二数据包中的所述特征数据，将所述第二数据包还原成第一数据包；

第一数据包可以是指计算设备产生的常规数据包(即为原始数据包)，该数据包由ip头和数据段组成，ip头中至少包含本设备的源ip地址、目标设备的目标ip地址、以及指示目标设备响应方式等其它指示信息的协议号(如tcp为6，udp为17)；

经过该步骤后专用数据包将还原成常规数据包，以便进入专用网络目标设备；

步骤s55.发送所述第一数据包。

本发明中提出的安全策略通过将常规的数据包改造成专用网络的数据包，同样作为专用网络设备的接收方通过对专用数据包进行认证，以识别出专用数据包的正确性，确定该专用数据包是由其它专用网络设备发送出的，防止伪造或非专用网络设备的指令或数据进入专用网络设备当中，保证了专用网络的安全性和可靠性。

现在参照图7，图7示出了本发明中通信下行数据重构方法的一个示例，如该示例所示，本发明中的通信下行数据重构方法，包括：

步骤s61.获取即将进入计算设备的数据包；

步骤s62.提取出所述数据包的ip头中的协议号；

步骤s63.通过检查提取出的所述协议号是否为预先设定的非标协议号，判断所述数据包是否为专用数据包；若是，则进入步骤s64；否则，进入步骤s60；

步骤s64.按照预设算法解析出所述专用数据包中的协议字段中的标准协议号(预设算法可包括解密算法)；

步骤s65.提取所述标准协议号，剔除所述协议字段，以所述标准协议号替换ip头中的非标协议号，生成常规数据包；

步骤s66.将所述常规数据包送入所述计算设备，结束。

步骤s60.丢弃所述数据包，结束。

本发明实施例中通过对接收到的数据包进行协议号的检验认证，以判别数据包是否为在专用网络中流转的专用数据包，计算设备只能通过本发明中通信下行数据重构策略之后的常规数据包，进而限制了只有专用数据包能够进入专用网络设备，进而保证非法指令/数据无法通过网络入侵专用网络设备。

现在参照图8，图8示出了本发明中通信下行数据重构方法的另一示例，如该示例所示，本发明中的通信下行数据重构方法，包括：

步骤s71.获取即将进入计算设备的数据包；

步骤s72.提取出所述常规数据包的ip头中的源ip地址；

步骤s73.根据所述源ip地址在序号库中匹配到与该源ip地址对应的序号表；

步骤s74.按照预设算法解析出所述数据包中的序号值(预设算法可包括解密算法)；

步骤s75.检验解析出的所述序号值与匹配到的序号表中的数值是否一致；若一致，则进入步骤s76；否则，进入步骤s70；

步骤s76.剔除所述数据包中存放序号值的字段，生成常规数据包；

步骤s77.将所述常规数据包送入所述计算设备；

步骤s78.将所述序号表中的数值进行+1处理，结束；

步骤s70.丢弃所述数据包，结束。

在上述实施例中，可用不同的顺序执行在图8中示出的方法，如重新排序、组合、省略、附加步骤或其组合。例如步骤s72-73和步骤s74的位置可在另一个实施例中进行调换。

本发明实施例中通过检验数据包中的序号值，可以防止接收重复的数据包；另外，还可用于检验数据包是否为专用数据包。

现在参照图9，图9示出了本发明中通信下行数据重构方法的另一示例，如该示例所示，本发明中的通信下行数据重构方法，包括：

步骤s81.获取即将进入计算设备的数据包；

步骤s82.提取出所述常规数据包的ip头中的源ip地址；

步骤s83.根据所述源ip地址在序号库中匹配到与该源ip地址对应的序号表；

步骤s84.按照预设算法解析出所述数据包中的序号值和校验和(预设算法可包括解密算法)；

步骤s85.检验解析出的所述序号值与匹配到的序号表中的数值是否一致；若一致，则进入步骤s86；否则，进入步骤s80；

步骤s86.计算出所述数据包的ip头和序号字段的哈希值之和，并判断该值是否与所述校验和一致；若一致，则进入步骤s77；否则，进入步骤s70；

步骤s87.剔除所述数据包中存放序号值的序号字段和存放校验和的校验字段，生成常规数据包；

步骤s88.将所述常规数据包送入所述计算设备；

步骤s89.将所述序号表中的数值进行+1处理，结束；

步骤s80.丢弃所述数据包，结束。

该实施例中在图8所示的实施例的基础上，还可以对数据包的完整性进行检验，进一步保证数据包的正确性。

在图7、图8和图9所示出的实施例中，其方法步骤可组合成新的实施例，例如：首先对ip头中的协议号进行认证，认证通过之后，再进行后续的序号比对，完整性校验等认证，认证全部通过后将数据包转换为常规数据包发送给计算设备；其中任何一个认证未通过，则可判定该数据包未通过合法认证，直接丢弃该数据包。该认证过程可构造成本发明实施例中通信下行数据重构的一优选实施例。

现在参照图10，图10示出了本发明中用于将常规通信下行数据改造成专网通信下行数据的装置的结构框图，如该图所示，公开了一种通信下行数据重构组件200，该组件可包括：接收模块110、解析模块120、认证模块130、封装模块140和发送模块150；

接收模块110，用于获取第二数据包；

解析模块120，用于根据预设算法解析出所述第二数据包中的一个或多个特征数据；

认证模块130，用于根据所述特征数据对所述第二数据包启动合法性认证；

封装模块140，用于认证通过后，剔除所述第二数据包中的所述特征数据，将所述第二数据包还原成第一数据包；

发送模块150，用于发送所述第一数据包。

其中，图10示出的实施例中解析模块、认证模块、封装模块中可包含若干子模块，以实现上述图7、图8和图9所示出的各功能/步骤；本发明实施例中的通信下行数据重构组件可通过硬编码的方式固化在芯片的内部作为独立的硬件单元组件，其各功能可由任何可实现其功能目的的逻辑元器件构成实现。

本发明通过图6-图10所示出的实施例，其部分或全部步骤/结构可实现对专用网络中专用数据包的解构，专用数据包对非专用网络设备的识别风险低，非专用网络设备无法识别即丢弃，以实现专用网络中的专用网络设备之间的交互更加安全和隐密。

现在参照图11，图11示出了基于本发明上述实施例所揭示出的防止网络攻击的方法流程图，如该图所示，防止网络攻击的方法，包括：

步骤s91.接收数据包；

步骤s92.根据预设算法解析出所述数据包中的一个或多个特征数据；

步骤s93.根据所述特征数据对所述数据包启动合法性认证；

步骤s94.认证不通过时，丢弃所述数据包。

该实施例适用于本发明中作为接收方的计算设备，接收设备通过对启动上述实施例中一系列认证，确保进入计算设备的数据包都是基于专用数据包改造而成的，可有效的防止伪造ip攻击、dos洪水攻击等等。

该实施例中具体的，所述根据预设算法解析出所述数据包中的一个或多个特征数据，包括：提取所述数据包的ip头中的协议号；所述根据所述特征数据对所述数据包启动合法性认证，包括：判断所述协议号是否为预先设置的非标协议号；若否，则指示所述数据包的合法性认证不通过。

该实施例中具体的，所述根据预设算法解析出所述数据包中的一个或多个特征数据，包括：解析出所述数据包的数据段中第一指定字段中的数据；所述根据所述特征数据对所述数据包启动合法性认证，包括：判断所述第一指定字段中的数据是否与预先配置的序号值一致；若否，则指示所述数据包的合法性认证不通过。

该实施例中具体的，所述根据预设算法解析出所述数据包中的一个或多个特征数据，还包括：解析出所述数据包的数据段中第二指定字段中的数据；所述根据所述特征数据对所述数据包启动合法性认证，包括：计算所述数据包的ip头、以及所述数据段中的第一指定字段的哈希值；判断计算后获得的所述哈希值是否与所述第二指定字段中的数据一致；若否，则指示所述数据包的合法性认证不通过。

该实施例中具体的，所述根据预设算法解析出所述数据包中的一个或多个特征数据的过程中，包括：对所述数据包进行解密处理。

现在参照图12，图12示出了基于本发明上述实施例所揭示出的防止网络攻击的装置结构框图流程图，如该图所示，防止网络攻击的装置300，包括：接收模块310、解析模块320、审核模块330、清除模块340；

接收模块310，用于接收数据包；

解析模块320，用于根据预设算法解析出所述数据包中的一个或多个特征数据；

审核模块330，用于根据所述特征数据对所述数据包启动合法性认证；

清除模块340，用于认证不通过时，丢弃所述数据包。

该实施例中具体的，所述解析模块320中包括：第一解析子模块321，用于提取所述数据包的ip头中的协议号；

该实施例中具体的，所述审核模块330中包括：第一审核子模块331，用于判断所述协议号是否为预先设置的非标协议号；若否，则指示所述数据包的合法性认证不通过。

该实施例中具体的，所述解析模块320中包括：第二解析子模块322，用于解析出所述数据包的数据段中第一指定字段中的数据；

该实施例中具体的，所述审核模块330中包括：第二审核子模块332，用于判断所述第一指定字段中的数据是否与预先配置的序号值一致；若否，则指示所述数据包的合法性认证不通过。

该实施例中具体的，所述解析模块320中包括：第三解析子模块323，用于解析出所述数据包的数据段中第二指定字段中的数据；

该实施例中具体的，所述审核模块330中包括：第三审核子模块333，用于计算所述数据包的ip头、以及所述数据段中的第一指定字段的哈希值；判断计算后获得的所述哈希值是否与所述第二指定字段中的数据一致；若否，则指示所述数据包的合法性认证不通过。

该实施例中具体的，所述解析模块320中还包括：解密模块324，用于对所述数据包进行解密处理。

现在参照图13，图13示出了基于本发明上述实施例所揭示出的安全通信方法的流程图，如该图所示，安全通信方法，应用于作为发送方和接收方的计算设备，包括：

步骤s101.获取第一数据包；

步骤s102.调取与所述第一数据包对应的一个或多个特征数据；

步骤s103.根据所述特征数据对所述第一数据包的结构进行重组，得到第二数据包；

步骤s104.发送所述第二数据包。

其中，步骤s101-s104适用于发送方设备或所述发送方与外网之间的网络中间设备，如网关、路由、交换机等

步骤s105.获取第二数据包；

步骤s106.根据预设算法解析出所述第二数据包中的一个或多个特征数据；

步骤s107.根据所述特征数据对所述第二数据包启动合法性认证；

步骤s108.认证通过后，剔除所述第二数据包中的所述特征数据，将所述第二数据包还原成第一数据包；

步骤s109.获取所述第一数据包。

其中，步骤s105-s109适用于接收方设备或所述接收方与外网之间的网络中间设备，如网关、路由、交换机等。

本领域技术人员还应当理解，结合本文的实施例描述的各种说明性的逻辑框、模块、电路和算法步骤均可以实现成电子硬件、计算机软件或其组合。为了清楚地说明硬件和软件之间的可交换性，上面对各种说明性的部件、框、模块、电路和步骤均围绕其功能进行了一般地描述。至于这种功能是实现成硬件还是实现成软件，取决于特定的应用和对整个系统所施加的设计约束条件。熟练的技术人员可以针对每个特定应用，以变通的方式实现所描述的功能，但是，这种实现决策不应解释为背离本公开的保护范围。

以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。