处理报文的方法及装置的制造方法

处理报文的方法及装置的制造方法
【专利摘要】本申请提供一种处理报文的方法，所述方法包括：在接收到客户端发送的认证请求报文时，获取当前所述客户端发送认证请求报文的连续访问次数，所述认证请求报文中携带待验证的验证参数，用于请求对所述验证参数进行验证以在验证通过后获取目标信息；若所述连续访问次数达到预设的阻断阈值，则阻断所述认证请求报文，以拒绝向所述客户端提供目标信息。应用本申请实施例，可以提高用户信息保护的安全性，有效地避免用户信息泄露。
【专利说明】
处理报文的方法及装置
技术领域
[0001] 本申请设及网络通信技术领域，尤其设及处理报文的方法及装置。
【背景技术】
[0002] 随着网络的发展，用户越来越习惯于将一些用户信息保存在网络中的服务器上， 用户使用用户名和密码通过该服务器的登录认证后，即可访问运些用户信息。现有技术中， 服务器可W进行用户名锁定，已锁定的用户名对应的用户信息只允许特定的客户端进行访 问，当攻击者控制攻击客户端向服务器请求访问已锁定的用户名对应的用户信息时，由于 该攻击客户端不属于上述允许访问的特定客户端，则该攻击客户端将无法获取用户信息， 从而避免用户信息泄露。
[0003] 然而，并不是所有的服务器都具备上述用户名锁定的功能，攻击者可W控制攻击 客户端多次尝试向服务器请求登录认证，且每次使用不同的密码进行尝试，则攻击者很有 可能破解用户的用户名和密码，从而造成用户信息泄露。

【发明内容】

[0004] 有鉴于此，本申请提供一种处理报文的方法，W提高用户信息保护的安全性，有效 地避免用户信息泄露。
[0005] 具体地，本申请是通过如下技术方案实现的：
[0006] 根据本申请实施例的第一方面，提供处理报文的方法，所述方法可包括：
[0007] 在接收到客户端发送的认证请求报文时，获取当前所述客户端发送认证请求报文 的连续访问次数，所述认证请求报文中携带待验证的验证参数，用于请求对所述验证参数 进行验证W在验证通过后获取目标信息；
[000引若所述连续访问次数达到预设的阻断阔值，则阻断所述认证请求报文，W拒绝向 所述客户端提供目标信息。
[0009] 在一个实施例中，所述验证参数包括:用户名；
[0010] 所述获取当前所述客户端发送认证请求报文的连续访问次数，包括：
[0011] 由所述认证请求报文中，获取所述目标信息所对应的ML地址、所述验证参数中的 用户名、W及所述客户端对应的IP地址；
[0012] 将所述TOL地址和用户名与预先设置的用户配置进行匹配，所述用户配置包括指 示进行目标信息保护的U化地址和用户名信息，若匹配到U化地址和用户名信息，且所述URL 地址和用户名信息对应的IP地址节点中存储有所述IP地址，则将所述IP地址对应的连续访 问次数加1;
[0013] 若所述U化地址和用户名信息对应的IP地址节点中未存储有所述IP地址，则将所 述IP地址记录在所述IP地址节点中，并将所述IP地址对应的连续访问次数设置为1。
[0014] 在一个实施例中，所述方法还包括：
[0015] 记录所述IP地址对应的第一访问更新时间；
[0016] 在当前时间与所述第一访问更新时间的差值达到预设的第一时间阔值时，则将与 所述第一访问更新时间对应的IP地址从所述IP地址节点中删除。
[0017] 在一个实施例中，所述方法还包括：
[0018] 在所述连续访问次数达到预设的阻断阔值时，将所述客户端对应的IP地址添加进 黑名单；
[0019] 当再次接收到所述客户端发送的认证请求报文时，根据所述客户端的IP地址在所 述黑名单中，则阻断所述认证请求报文。
[0020] 在一个实施例中，所述方法还包括：
[0021] 记录所述黑名单中的IP地址对应的第二访问更新时间；
[0022] 在当前时间与所述第二访问更新时间的差值达到预设的第二时间阔值时，则将与 所述第二访问更新时间对应的IP地址从所述黑名单中删除。
[0023] 在一个实施例中，所述方法还包括：
[0024] 若所述连续访问次数未达到预设的阻断阔值，但是已达到预设的告警阔值，所述 告警阔值低于所述阻断阔值，则生成对本次访问的告警信息。
[0025] 在一个实施例中，所述验证参数包括:用户名；
[00%] 所述方法还包括：
[0027] 由所述认证请求报文中，获取所述目标信息所对应的ML地址、W及所述验证参数 中的用户名；
[0028] 将所述U化地址和用户名与预先设置的用户配置进行匹配，所述用户配置中包括 指示进行目标信息保护的U化地址和用户名信息，若未匹配到U化地址和用户名信息，则转 发所述认证请求报文。
[0029] 根据本申请实施例的第二方面，提供处理报文的装置，所述装置可包括：
[0030] 第一获取单元，用于在接收到客户端发送的认证请求报文时，获取当前所述客户 端发送认证请求报文的连续访问次数，所述认证请求报文中携带待验证的验证参数，用于 请求对所述验证参数进行验证W在验证通过后获取目标信息；
[0031] 处理单元，用于在所述连续访问次数达到预设的阻断阔值时，阻断所述认证请求 报文，W拒绝向所述客户端提供目标信息。
[0032] 在一个实施例中，所述验证参数包括:用户名；
[0033] 所述第一获取单元包括：
[0034] 获取子单元，用于由所述认证请求报文中，获取所述目标信息所对应的TOL地址、 所述验证参数中的用户名、W及所述客户端对应的IP地址；
[0035] 匹配子单元，用于将所述U化地址和用户名与预先设置的用户配置进行匹配，所述 用户配置包括指示进行目标信息保护的ML地址和用户名信息；
[0036] 处理子单元，用于在匹配到抓L地址和用户名信息，且所述TOL地址和用户名信息 对应的IP地址节点中存储有所述IP地址时，将所述IP地址对应的连续访问次数加1;
[0037] 在匹配到抓L地址和用户名信息，且所述U化地址和用户名信息对应的IP地址节点 中未存储有所述IP地址，将所述IP地址记录在所述IP地址节点中，并将所述IP地址对应的 连续访问次数设置为1。
[0038] 在一个实施例中，所述装置还包括：
[0039] 第一记录单元，用于记录所述IP地址对应的第一访问更新时间；
[0040] 第一删除单元，用于在当前时间与所述第一访问更新时间的差值达到预设的第一 时间阔值时，则将与所述第一访问更新时间对应的IP地址从所述IP地址节点中删除。
[0041 ] 在一个实施例中，所述装置还包括：
[0042] 黑名单添加单元，用于在所述连续访问次数达到预设的阻断阔值时，将所述客户 端对应的IP地址添加进黑名单；
[0043] 阻断单元，用于在再次接收到所述客户端发送的认证请求报文时，根据所述客户 端的IP地址在所述黑名单中，则阻断所述认证请求报文。
[0044] 在一个实施例中，所述装置还包括：
[0045] 第二记录单元，用于记录所述黑名单中的IP地址对应的第二访问更新时间；
[0046] 第二删除单元，用于在当前时间与所述第二访问更新时间的差值达到预设的第二 时间阔值时，则将与所述第二访问更新时间对应的IP地址从所述黑名单中删除。
[0047] 在一个实施例中，所述装置还包括：
[0048] 生成单元，用于在所述连续访问次数未达到预设的阻断阔值，但是已达到预设的 告警阔值时，所述告警阔值低于所述阻断阔值，生成对本次访问的告警信息。
[0049] 在一个实施例中，所述验证参数包括:用户名；
[(K)加]所述装置还包括：
[0051] 第二获取单元，用于由所述认证请求报文中，获取所述目标信息所对应的U化地 址、W及所述验证参数中的用户名；
[0052] 匹配单元，用于将所述U化地址和用户名与预先设置的用户配置进行匹配，所述用 户配置中包括指示进行目标信息保护的ML地址和用户名信息；
[0053] 处理单元，还用于:在未匹配到ML地址和用户名信息，则转发所述认证请求报文。
[0054] 本申请实施例处理报文的方法，通过在接收到客户端发送的认证请求报文时，获 取该客户端发送认证请求报文的连续访问次数，在该连续访问次数达到预设的阻断阔值 时，阻断该认证请求的报文。从而避免服务器对该认证请求报文携带的验证参数进行验证， 并在验证通过后向客户端提供目标信息，实现了避免用户信息泄露，提高了对用户信息保 护的安全性。
【附图说明】
[0055] 图1是本申请实施例实现处理报文的方法的应用场景示意图。
[0056] 图2是根据一示例性实施例示出的处理报文的方法的一个实施例流程图。
[0057] 图3是根据一示例性实施例示出的处理报文的方法的另一个实施例流程图。
[0058] 图4是根据一示例性实施例示出的处理报文的方法的另一个实施例流程图。
[0059] 图5是本申请处理报文的装置所在设备的一种硬件结构图。
[0060] 图6是本申请处理报文的装置的一个实施例框图。
[0061] 图7是本申请处理报文的装置的另一个实施例框图。
[0062] 图8是本申请处理报文的装置的另一个实施例框图。
[0063] 图9是本申请处理报文的装置的另一个实施例框图。
【具体实施方式】
[0064] 运里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述设及 附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。W下示例性实施例 中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反，它们仅是与如所附 权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
[0065] 在本申请使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本申请。 在本申请和所附权利要求书中所使用的单数形式的"一种"、"所述"和"该"也旨在包括多数 形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语"和/或"是指并包 含一个或多个相关联的列出项目的任何或所有可能组合。
[0066] 应当理解，尽管在本申请可能采用术语第一、第二、第=等来描述各种信息，但运 些信息不应限于运些术语。运些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离 本申请范围的情况下，第一信息也可W被称为第二信息，类似地，第二信息也可W被称为第 一信息。取决于语境，如在此所使用的词语"如果"可W被解释成为"在……时"或"当…… 时"或"响应于确定"。
[0067] 请参见图1，为本申请实施例实现处理报文的方法的应用场景示意图。图1中包括 正常客户端11、攻击客户端12、网络安全设备13、服务器14,其中，服务器14中可W存储用户 信息，例如，可W是一些用户的文档、视频等，用户可W通过正常客户端11向服务器14发送 认证请求报文，该报文可W携带一些验证参数(例如，用户名、密码），W待服务器验证参数 通过后，允许用户访问服务器上存储的用户信息。攻击客户端12可W是被攻击者操控的终 端设备，例如，攻击者可W是意图窃取用户信息的用户，攻击客户端12也可W向服务器14发 送认证请求报文，但是该认证请求报文携带的验证参数可W是攻击者伪造的尝试攻击的参 数。如果攻击客户端12发送的认证请求报文中的验证参数恰巧与正确的验证参数一致，那 将对服务器上的用户信息造成极大的安全隐患。
[0068] 在图1所示的系统架构中，网络安全设备13设置在客户端(包括正常客户端11和攻 击客户端12)和服务器14之间，使得正常客户端11和攻击客户端12向服务器14发送的认证 请求报文，都将先传输至该网络安全设备13，由网络安全设备13对认证请求报文，在发送至 服务器14之前进行一定的安全性检查，并采取相应的处理。例如，网络安全设备13可W通过 执行本申请的处理报文的方法，识别出某个认证请求报文是由攻击客户端12所发送，并阻 断该认证请求报文;若通过安全性检查，认为某个认证请求报文是由正常客户端11所发送， 则将该认证请求报文转发至服务器。
[0069] 可W理解的是，本申请实施例中的攻击客户端与正常客户端，在图1的示例中仅W 电脑为例进行说明，实际应用中的攻击客户端与正常客户端可W是手机、平板电脑等其他 具备网络资源访问功能的客户端。
[0070] 如下，W图1中所示的应用场景为例，对本申请的处理报文的方法进行说明功能， 其中，图2是根据一示例性实施例示出的处理报文的方法的一个实施例流程图，该流程可W 是网络安全设备13执行。如图2所示，该方法可W包括：
[0071] 在步骤S201中：在接收到客户端发送的认证请求报文时，获取当前所述客户端发 送认证请求报文的连续访问次数，所述认证请求报文中携带待验证的验证参数，用于请求 对所述验证参数进行验证W在验证通过后获取目标信息。
[0072] 用户可W将一些用户信息，例如文档、视频等等，保存在网络中的服务器上，例如 保存在360云盘的服务器上。当用户需要访问运些用户信息时，可W通过客户端向服务器发 送认证请求报文，例如，发送HTTP(Hype;rtext transfer protocol，超文本传输协议）请求 的POS巧良文。该客户端例如是图1中所示的正常客户端11或者攻击客户端12。本申请实施例 中，可W将该认证请求报文对应的要访问的用户信息称为目标信息。
[0073] 当攻击者试图获取目标信息时，由于攻击者并不知晓正确的验证参数（例如，密 码），则攻击者可W控制攻击客户端多次并连续地向服务器发送认证请求报文，例如，攻击 者通过技术手段使攻击客户端12在1分钟内发送了 50次认证请求报文，每次发送的认证请 求报文可W携带不同的验证参数，W尝试使某个认证请求报文中携带的验证参数恰巧与正 确的验证参数一致，从而获取目标信息。而通常情况下，正常的用户知晓正确的验证参数， 则不会连续多次向服务器发送认证请求报文。因此，为了识别某个认证请求报文为攻击客 户端所发送，本步骤中，W网络安全设备13为例，当网络安全设备13在接收到认证请求报文 时，可W获取当前认证请求报文的连续访问次数。
[0074] 运里的"连续访问次数"的含义，通过一个例子进行说明：例如，假设网络安全设备 13接收到的认证请求报文是攻击客户端12所发送，网络安全设备13在接收到认证请求报文 时，可W记录接收到该认证请求报文的时间，当再次接收到攻击客户端12发送的用于获取 同一目标信息的认证请求报文时，若当前时间与所最新记录的时间的间隔不超过预设的时 间阔值，例如，30秒，则可W认为攻击客户端12在连续发送认证请求报文，则可W对接收到 认证请求报文的次数进行累加，得到攻击客户端12发送认证请求报文的连续访问次数。
[0075] 在步骤S202中：若所述连续访问次数达到预设的阻断阔值，则阻断所述认证请求 的报文，W拒绝向所述客户端提供目标信息。
[0076] 本申请实施例中，可W预先设置一个阻断阔值，该阻断阔值表示网络安全设备允 许的同一客户端发送认证请求报文的最大的连续访问次数，例如，10次。
[0077] 当执行完步骤S201，若网络安全设备获取到的连续访问次数已达到预设的阻断阔 值，则可W认为该客户端已被攻击者所控制，为了避免服务器接收到该客户端发送的认证 请求报文后，对其携带的验证参数进行验证，并在验证通过后，向该客户端提供目标信息， 造成用户信息泄露，网络安全设备可W阻断该认证请求报文。
[0078] 本实施例处理报文的方法，通过在接收到客户端发送的认证请求报文时，获取该 客户端发送认证请求报文的连续访问次数，在该连续访问次数达到预设的阻断阔值时，阻 断该认证请求的报文。从而避免服务器对该认证请求报文携带的验证参数进行验证，并在 验证通过后向客户端提供目标信息，实现了避免用户信息泄露，提高了对用户信息保护的 安全性。
[0079] 在另一个实施例中，在图2所示实施例的基础上，为了使本领域技术人员对本申请 的技术方案直观了解，更详细地描述了处理报文的过程，如下的图3,是根据一示例性实施 例示出的处理报文的方法的另一个实施例流程图，如下结合图3来描述本申请的处理报文 的方法的执行过程。
[0080] 例如，请结合参见图1，当用户想要对存储在服务器14中的一些用户信息（如，视 频、文档等)进行更可靠的保护时，可W在网络安全设备13上预先设置一些用户配置，该用 户配置可W用于指示需要进行目标信息保护的相关信息，例如，网络管理者需要进行保护 的目标信息为用户"liul23"保存在360云盘服务中的用户信息，则该用户配置中可W包括 如下信息：
[0081 ] 目标信息对应的URlXUniform Resource Locator,统一资源定位符）地址：抓L地 址表示目标信息在网络中的存储位置，例如，抓L地址为ht化://yimpan. 360. cn/，表示目标 信息保存在360云盘的服务器上。
[0082] 指定的用户名信息：用户名或者用户名前缀。
[0083] 例如，如下表1所示，为用户配置的一种示例：
[0084] 表 1
[0085]
[0086] 又例如，如下表2所示，为用户配置的另一种示例：
[0087] 表 2
LUUW」 仕脚络女全巧爸U上巧置巧上巧的用尸肥置之后，疏Pj 捉化刈联叹判的认化请 求报文进行鉴别和处理。请继续参见图3,网络安全设备可W进行如下处理：
[0090] 在步骤301中，在接收到客户端发送的认证请求报文时，由所述认证请求报文中， 获取目标信息所对应的U化地址、所述认证请求报文中所携带的验证参数中的用户名、W及 所述客户端对应的IPQnternet Protocol，互联网协议)地址。
[0091] 本申请实施例中，网络安全设备在接收到网络流量时，可W进行协议识别，如果当 前流量是HTTP协议的POST请求，则表示该流量是认证请求报文，继续进行后续的检测；否 贝IJ，可W直接转发该网络流量。
[0092] 客户端发送的认证请求报文中，可W携带目标信息所对应的ML地址，待验证的验 证参数，例如，用户名和密码。本申请实施例中，网络安全设备接收到客户端发送的认证请 求报文时，可W获取其携带的目标信息所对应的TOL地址、验证参数中的用户名、W及源IP 地址，即该客户端对应的IP地址，例如，获取到的URL地址和用户名分别为http:// yunp曰n.360.cn/、1iul23。
[0093] 步骤S302:将所述U化地址和用户名与预先设置的用户配置进行匹配，判断用户配 置中是否包括相匹配的TOL地址和用户名信息，若是，则执行步骤S303，否则，执行步骤 S307。
[0094] 本步骤中，可W将在步骤S301中获取到的U化地址和用户名与预先设置的用户配 置进行匹配。
[OOM] W用户配置中包括的用户名信息为用户名为例。将获取到的U化地址和用户名与 预先设置的用户配置进行匹配，即可W是，根据该U化地址和用户名查找该用户配置，当在 该用户配置中查找到该U化地址和用户名时，可W确定用户配置中包括相匹配的ML地址和 用户名信息；当在该用户配置中未查找到该ML地址和用户名时，即可W确定用户配置中不 包括相匹配的抓L地址和用户名信息。
[0096] 又W用户配置中包括的用户名信息为用户名前缀为例，将获取到的TOL地址和用 户名与预先设置的用户配置进行匹配，即可W是，根据该抓L地址查找该用户配置，若查找 到该U化地址，则继续根据该用户名与该U化地址对应的用户名信息进行匹配，由于该用户 名信息为用户名前缀，可W按照最长匹配原则，将该用户名的第一个字符与用户名信息的 第一个字符进行比较，若一致，则继续逐个比较后续字符，相一致的字符数最多的用户名信 息即为与该用户名相匹配的用户名信息。例如，如上表2所示的用户配置，与TOL地址http://yimpan. 360. cn/所对应的用户名信息有"1 iu"和"1 iul2"，通过匹配，可W发现，用 户名"liul23"与用户名信息"liu"有3个字符相一致，而与用户名信息有5个字符相 一致，则按照最长匹配原则，用户名信息与该用户名相匹配。若未查找到该抓L地 址，或者该用户名的第一个字符与用户名信息的第一个字符均不一致，则可W确定用户配 置中不包括相匹配的ML地址和用户名信息。
[0097] 当用户配置中包括相匹配的IMi也址和用户名信息时，可W认为该IMi也址和用户 名所对应的用户信息为网络管理者需要进行保护的目标信息，则网络安全设备13可W继续 进行后续的检测，执行步骤S303;当用户配置中不包括相匹配的U化地址和用户名信息时， 可W认为该TOL地址和用户名所对应的用户信息不是网络管理者需要进行保护的目标信 息，则网络安全设备13可W执行步骤S307。
[0098] 步骤S303:查找是否存储有所述客户端对应的IP地址，若是，则执行步骤S304，否 贝1J，执行步骤S305。
[0099] 在本步骤中，如果在用户配置中匹配到该认证请求报文中的ML地址和用户名，贝U 可W继续查看网络安全设备本地是否存储有该认证请求报文中的源IP地址，即该客户端对 应的IP地址。
[0100] 在一个可选的实现方式中，若网络安全设备本地存储有该客户端对应的IP地址， 该客户端对应的IP地址可W记录在IP地址节点中，该IP地址节点可W包括如下信息：IP地 址、连续访问次数、W及第一访问更新时间。其中，IP地址即客户端对应的IP地址，连续访问 次数是指该客户端发送认证请求报文的次数，第一访问更新时间是指该IP地址对应的客户 端最近一次发送认证请求报文的时间。该第一访问更新时间可W辅助连续访问次数的记 录，例如，基于上述步骤S201中的描述，网络安全设备13在接收到认证请求报文时，记录接 收到该认证请求报文的时间，即第一访问更新时间，当再次接收到认证请求报文时，若当前 时间与该第一访问更新时间的间隔不超过预设的时间阔值(例如，30秒），则可W更新连续 访问次数，并更新第一访问更新时间。
[0101] 本步骤中，可W根据该客户端对应的IP地址查找所述IP地址节点，若查找到该IP 地址，则说明网络安全设备本地存储有该IP地址，网络安全设备可W继续执行步骤S304，若 未查找到该IP地址，则说明网络安全设备本地未存储该IP地址，则网络安全设备可W继续 执行步骤S305。
[0102] 步骤S304:将所述IP地址对应的连续访问次数加I，并记录所述IP地址对应的第一 访问更新时间，执行步骤S306。
[0103] 当步骤S303中确定存储有该客户端对应的IP地址，则可W认为该客户端非首次发 送认证请求报文，为了累计发送次数，可W将该IP地址对应的连续访问次数加1，并根据当 前时间记录该IP地址对应的第一访问更新时间。
[0104] 步骤S305:将所述IP地址记录在IP地址节点中，将所述IP地址对应的连续访问次 数设置为1，并记录所述IP地址对应的第一访问更新时间。
[0105] 当步骤S303中确定未存储该客户端对应的IP地址，则可W认为该客户端是首次发 送认证请求报文，为了方便后续的统计，可W将该IP地址记录在IP地址节点中，由于是首次 发送，将该IP地址对应的连续访问次数设置为1，并根据当前时间记录该IP地址对应的第一 访问更新时间。
[0106] 步骤S306:若所述连续访问次数达到预设的阻断阔值，则阻断所述认证请求的报 文。
[0107] 本步骤的描述与上述实施例的步骤S202中的描述相同，在此不再详细寶述。
[0108] 步骤S307:转发所述认证请求的报文。
[0109] 当执行完步骤S302,未匹配到TOL地址和用户名信息，可W认为该U化地址和用户 名所对应的目标信息并不是网络管理者需要进行保护的目标信息，则网络安全设备可W转 发该认证请求的报文。
[0110] 此外，在本实施例中记录的IP地址节点中的第一访问更新时间，还可W用于据此 确定是否删除IP地址节点，W辅助连续访问次数的统计，W及，及时回收资源，节省内存。例 如，预先设置第一时间阔值(例如，30秒），网络安全设备可W按照一定的检测周期，或者实 时检测IP地址节点中所记录的第一访问更新时间与当前时间的差值，若该差值已达到预设 的第一时间阔值，则可W认为该第一访问更新时间所对应的客户端不再具有攻击行为，即 不再连续向服务器发送认证请求报文，网络安全设备可W将该第一访问更新时间对应的IP 地址节点删除。
[0111] 本实施例处理报文的方法，通过在接收到客户端发送的认证请求报文时，在该认 证请求报文所请求访问的目标信息为网络管理者需要进行保护的目标信息时，获取该客户 端发送认证请求报文的连续访问次数，在该连续访问次数达到预设的阻断阔值时，阻断该 认证请求报文。从而避免服务器对该认证请求报文携带的验证参数进行验证，并在验证通 过后向客户端提供目标信息，实现了避免用户信息泄露，提高了对用户信息保护的安全性； 并且，通过记录的第一访问更新时间确定已不具备攻击行为的客户端并将该客户端对应的 IP地址从本地存储中删除，辅助了连续访问次数的记录，并实现了回收资源，节省了内存。
[0112] 图4是根据一示例性实施例示出的处理报文的方法的又一个实施例流程图，在本 实施例中，网络安全设备还可W根据认证请求报文的识别结果，设置黑名单，并根据黑名单 处理认证请求报文，W进一步加快识别认证请求报文的速度。
[0113] 例如，在图3的实施例中，当网络安全设备阻断认证请求报文时，可W将该认证请 求报文中包含的客户端对应的IP地址添加到黑名单中，还可W生成阻断日志，该阻断日志 中可W包括阻断的时间、IP地址、目标信息对应的IMi也址、用户名等信息，W使网络管理者 通过阻断日志获取攻击客户端的信息。在记录了黑名单之后，网络安全设备在接收到认证 请求报文时，可W根据图4的流程进行执行。请参见图4,是根据一示例性实施例示出的处理 报文的方法的另一个实施例流程图。
[0114] 在步骤S401中：根据接收到的认证请求报文中包括的客户端对应的IP地址查找黑 名单，若查找到该IP地址，则执行步骤S403，若未查找到该IP地址，则执行步骤S402。
[0115] 当在黑名单中查找到该客户端对应的IP地址，则可W确定该认证请求报文为攻击 客户端所发送，执行步骤S403;当在黑名单中未查找到该客户端对应的IP地址，则不能确定 接收到的认证请求报文为攻击客户端所发送，仍可W继续进行检测，执行步骤S402。
[0116] 在步骤S402中：通过检测确定所述认证请求报文是否为攻击客户端所发送，并根 据检测结果处理所述认证请求报文，结束流程。
[0117] 本步骤的具体描述可W参见图3所对应的实施例流程的相关描述，在此不再详细 寶述。
[0118] 在步骤S403中：阻断所述认证请求报文。
[0119] 此外，本实施例中，网络安全设备在记录黑名单时，还可W记录黑名单中的IP地址 对应的第二访问更新时间，该第二访问更新时间即为接收到认证请求报文的时间，例如，网 络安全设备可W根据当前时间记录该第二更新访问时间。网络安全设备可W按照一定的检 测周期，或者实时检测黑名单中的第二访问更新时间与当前时间的差值，若该差值已达到 预设的第二时间阔值，则可W认为该第二访问更新时间所对应的客户端已不再具有攻击行 为，网络安全设备可W将该客户端对应的IP地址W及第二访问更新时间从黑名单中删除。 从而，实现了回收资源，节省了网络安全设备的内存。可W理解的是，所述第一时间阔值和 所述第二时间阔值可W相同，也可W不同，本申请对此不做限制。
[0120] 本实施例处理报文的方法，通过在阻断认证请求报文时，将该认证请求报文中包 括的客户端对应的IP地址添加到黑名单中，当再次接收到该客户端发送的认证请求报文 时，可W根据该客户端对应的IP地址在黑名单中，阻断该认证请求报文，从而加快了识别认 证请求报文的速度，实现了高效地处理认证请求报文。
[0121] 在又一个实施例中，上述的本申请各个实施例中，网络安全设备都是根据预设的 阻断阔值，在客户端发送认证请求报文的连续访问次数达到该阻断阔值时，将认证请求报 文阻断，使其不能转发。本实施例中，还可W设置一个告警阔值，例如，在最初配置时，可W 配置阻断阔值和告警阔值，且告警阔值低于阻断阔值。其中，告警阔值是网络安全设备判断 发送认证请求报文的客户端是否为绝对安全客户端的临界值。
[0122] 例如，获取到客户端发送认证请求报文的连续访问次数时，可W先将该连续访问 次数与预设的阻断阔值进行比较，如果该连续访问次数未达到该阻断阔值，可W继续将该 连续访问次数与预设的告警阔值进行比较，若该连续访问次数达到该告警阔值，则可W认 为该客户端不一定为安全的客户端，则网络安全设备可W生成告警信息，例如，该告警信息 中包括客户端对应的IP地址、目标信息对应的U化地址、用户名、连续访问次数等信息，W警 示网络管理者该客户端有可能为攻击客户端。
[0123] 本实施例处理报文的方法，通过在获取到的客户端发送认证请求报文的连续访问 次数未达到预设的阻断阔值时，继续将该连续访问次数与预设的告警阔值进行比较，从而 识别出有可能的攻击客户端，并生成告警信息W警示管理者，提高了对用户信息保护的安 全性。
[0124] 与前述处理报文的方法的实施例相对应，本申请还提供了处理报文的装置的实施 例。
[0125] 本申请处理报文的装置的实施例可W应用在网络安全设备上，也可W应用在其他 设备上，本申请对此不做限制。装置实施例可W通过软件实现，也可W通过硬件或者软硬件 结合的方式实现。W软件实现为例，作为一个逻辑意义上的装置，是通过其所在设备的处理 器将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。从硬件层面而 言，如图5所示，为本申请处理报文的装置所在设备的一种硬件结构图，除了图5所示的处理 器51、内存53、网络接口 52、W及非易失性存储器54之外，实施例中装置所在的设备通常根 据该设备的实际功能，还可W包括其他硬件，对此不再寶述。
[0126] 请参考图6,为本申请处理报文的装置的一个实施例框图。所述装置可W包括:第 一获取单元601、处理单元602。
[0127] 其中，所述第一获取单元601，可W用于在接收到客户端发送的认证请求报文时， 获取当前所述客户端发送认证请求报文的连续访问次数，所述认证请求报文中携带待验证 的验证参数，用于请求对所述验证参数进行验证W在验证通过后获取目标信息；
[01%]所述处理单元602,可W用于在所述连续访问次数达到预设的阻断阔值时，阻断所 述认证请求报文，W拒绝向所述客户端提供目标信息。
[0129] 请参考图7,为本申请处理报文的装置的另一个实施例框图，如图7所示，在上述图 6所示的处理报文的装置的基础上，所述验证参数包括:用户名；
[0130] 所述第一获取单元601，可W包括:获取子单元6011、匹配子单元6012、处理子单元 6013。
[0131] 其中，所述获取子单元6011，可W用于由所述认证请求报文中，获取所述目标信息 所对应的ML地址、所述验证参数中的用户名、W及所述客户端对应的IP地址；
[0132] 所述匹配子单元6012,可W用于将所述U化地址和用户名与预先设置的用户配置 进行匹配，所述用户配置包括指示进行目标信息保护的ML地址和用户名信息；
[0133] 所述处理子单元6013,可W用于在匹配到TOL地址和用户名信息，且所述抓L地址 和用户名信息对应的IP地址节点中存储有所述IP地址时，将所述IP地址对应的连续访问次 数加1;
[0134] 在匹配到抓L地址和用户名信息，且所述U化地址和用户名信息对应的IP地址节点 中未存储有所述IP地址，将所述IP地址记录在所述IP地址节点中，并将所述IP地址对应的 连续访问次数设置为1。
[0135] 所述装置还可W包括:第一记录单元603、第一删除单元604。
[0136] 其中，所述第一记录单元603,可W用于记录所述IP地址对应的第一访问更新时 间；
[0137] 所述第一删除单元604,可W用于在当前时间与所述第一访问更新时间的差值达 到预设的第一时间阔值时，则将与所述第一访问更新时间对应的IP地址从所述IP地址节点 中删除。
[0138] 所述装置还可W包括:第二获取单元605、匹配单元606。
[0139] 其中，所述第二获取单元605，可W用于由所述认证请求报文中，获取所述目标信 息所对应的ML地址、W及所述验证参数中的用户名；
[0140] 所述匹配单元606,可W用于将所述ML地址和用户名与预先设置的用户配置进行 匹配，所述用户配置中包括指示进行目标信息保护的ML地址和用户名信息；
[0141] 所述处理单元602,还可W用于:在未匹配到抓L地址和用户名信息，则转发所述认 证请求报文。
[0142] 请参考图8,为本申请处理报文的装置的另一个实施例框图，如图8所示，在上述图 7所示的处理报文的装置的基础上，所述装置还可W包括：黑名单添加单元607、阻断单元 608。
[0143] 其中，所述黑名单添加单元607,可W用于在所述连续访问次数达到预设的阻断阔 值时，将所述客户端对应的IP地址添加进黑名单；
[0144] 所述阻断单元608,可W用于在再次接收到所述客户端发送的认证请求报文时，根 据所述客户端的IP地址在所述黑名单中，则阻断所述认证请求报文。
[0145] 所述装置还可W包括:第二记录单元609、第二删除单元610。
[0146] 其中，所述第二记录单元609,可W用于记录所述黑名单中的IP地址对应的第二访 问更新时间；
[0147] 所述第二删除单元610,可W用于在当前时间与所述第二访问更新时间的差值达 到预设的第二时间阔值时，则将与所述第二访问更新时间对应的IP地址从所述黑名单中删 除。
[0148] 请参考图9,为本申请处理报文的装置的另一个实施例框图，如图9所示，在上述图 8所示的处理报文的装置的基础上，所述装置还可W包括:生成单元611。
[0149] 所述生成单元611，可W用于在所述连续访问次数未达到预设的阻断阔值，但是已 达到预设的告警阔值时，所述告警阔值低于所述阻断阔值，生成对本次访问的告警信息。
[0150] 上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的 实现过程，在此不再寶述。
[0151] 对于装置实施例而言，由于其基本对应于方法实施例，所W相关之处参见方法实 施例的部分说明即可。W上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件 说明的单元可W是或者也可W不是物理上分开的，作为单元显示的部件可W是或者也可W 不是物理单元，即可W位于一个地方，或者也可W分布到多个网络单元上。可W根据实际的 需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付 出创造性劳动的情况下，即可W理解并实施。
[0152] W上所述仅为本申请的较佳实施例而已，并不用W限制本申请，凡在本申请的精 神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本申请保护的范围之内。
【主权项】
1. 一种处理报文的方法，其特征在于，所述方法包括： 在接收到客户端发送的认证请求报文时，获取当前所述客户端发送认证请求报文的连 续访问次数，所述认证请求报文中携带待验证的验证参数，用于请求对所述验证参数进行 验证以在验证通过后获取目标信息； 若所述连续访问次数达到预设的阻断阈值，则阻断所述认证请求报文，以拒绝向所述 客户端提供目标信息。2. 根据权利要求1所述的方法，其特征在于，所述验证参数包括：用户名;所述获取当前 所述客户端发送认证请求报文的连续访问次数，包括： 由所述认证请求报文中，获取所述目标信息所对应的统一资源定位符URL地址、所述验 证参数中的用户名、以及所述客户端对应的互联网协议IP地址； 将所述URL地址和用户名与预先设置的用户配置进行匹配，所述用户配置包括指示进 行目标信息保护的URL地址和用户名信息，若匹配到URL地址和用户名信息，且所述URL地址 和用户名信息对应的IP地址节点中存储有所述IP地址，则将所述IP地址对应的连续访问次 数加1; 若所述URL地址和用户名信息对应的IP地址节点中未存储有所述IP地址，则将所述IP 地址记录在所述IP地址节点中，并将所述IP地址对应的连续访问次数设置为1。3. 根据权利要求2所述的方法，其特征在于，所述方法还包括： 记录所述IP地址对应的第一访问更新时间； 在当前时间与所述第一访问更新时间的差值达到预设的第一时间阈值时，则将与所述 第一访问更新时间对应的IP地址从所述IP地址节点中删除。4. 根据权利要求1~3任一所述的方法，其特征在于，所述方法还包括： 在所述连续访问次数达到预设的阻断阈值时，将所述客户端对应的IP地址添加进黑名 单； 当再次接收到所述客户端发送的认证请求报文时，根据所述客户端的IP地址在所述黑 名单中，则阻断所述认证请求报文。5. 根据权利要求4所述的方法，其特征在于，所述方法还包括： 记录所述黑名单中的IP地址对应的第二访问更新时间； 在当前时间与所述第二访问更新时间的差值达到预设的第二时间阈值时，则将与所述 第二访问更新时间对应的IP地址从所述黑名单中删除。6. 根据权利要求1所述的方法，其特征在于，所述方法还包括： 若所述连续访问次数未达到预设的阻断阈值，但是已达到预设的告警阈值，所述告警 阈值低于所述阻断阈值，则生成对本次访问的告警信息。7. 根据权利要求1所述的方法，其特征在于，所述验证参数包括：用户名;所述方法还包 括： 由所述认证请求报文中，获取所述目标信息所对应的URL地址、以及所述验证参数中的 用户名； 将所述URL地址和用户名与预先设置的用户配置进行匹配，所述用户配置中包括指示 进行目标信息保护的URL地址和用户名信息，若未匹配到URL地址和用户名信息，则转发所 述认证请求报文。8. -种处理报文的装置，其特征在于，所述装置包括： 第一获取单元，用于在接收到客户端发送的认证请求报文时，获取当前所述客户端发 送认证请求报文的连续访问次数，所述认证请求报文中携带待验证的验证参数，用于请求 对所述验证参数进行验证以在验证通过后获取目标信息； 处理单元，用于在所述连续访问次数达到预设的阻断阈值时，阻断所述认证请求报文， 以拒绝向所述客户端提供目标信息。9. 根据权利要求8所述的装置，其特征在于，所述验证参数包括：用户名;所述第一获取 单元包括： 获取子单元，用于由所述认证请求报文中，获取所述目标信息所对应的URL地址、所述 验证参数中的用户名、以及所述客户端对应的IP地址； 匹配子单元，用于将所述URL地址和用户名与预先设置的用户配置进行匹配，所述用户 配置包括指示进行目标信息保护的URL地址和用户名信息； 处理子单元，用于在匹配到URL地址和用户名信息，且所述URL地址和用户名信息对应 的IP地址节点中存储有所述IP地址时，将所述IP地址对应的连续访问次数加1; 在匹配到URL地址和用户名信息，且所述URL地址和用户名信息对应的IP地址节点中未 存储有所述IP地址，将所述IP地址记录在所述IP地址节点中，并将所述IP地址对应的连续 访问次数设置为1。10. 根据权利要求9所述的装置，其特征在于，所述装置还包括： 第一记录单元，用于记录所述IP地址对应的第一访问更新时间； 第一删除单元，用于在当前时间与所述第一访问更新时间的差值达到预设的第一时间 阈值时，则将与所述第一访问更新时间对应的IP地址从所述IP地址节点中删除。11. 根据权利要求8~10任一所述的装置，其特征在于，所述装置还包括： 黑名单添加单元，用于在所述连续访问次数达到预设的阻断阈值时，将所述客户端对 应的IP地址添加进黑名单； 阻断单元，用于在再次接收到所述客户端发送的认证请求报文时，根据所述客户端的 IP地址在所述黑名单中，则阻断所述认证请求报文。12. 根据权利要求11所述的装置，其特征在于，所述装置还包括： 第二记录单元，用于记录所述黑名单中的IP地址对应的第二访问更新时间； 第二删除单元，用于在当前时间与所述第二访问更新时间的差值达到预设的第二时间 阈值时，则将与所述第二访问更新时间对应的IP地址从所述黑名单中删除。13. 根据权利要求8所述的装置，其特征在于，所述装置还包括： 生成单元，用于在所述连续访问次数未达到预设的阻断阈值，但是已达到预设的告警 阈值时，所述告警阈值低于所述阻断阈值，生成对本次访问的告警信息。14. 根据权利要求8所述的装置，其特征在于，所述验证参数包括:用户名； 所述装置还包括： 第二获取单元，用于由所述认证请求报文中，获取所述目标信息所对应的URL地址、以 及所述验证参数中的用户名； 匹配单元，用于将所述URL地址和用户名与预先设置的用户配置进行匹配，所述用户配 置中包括指示进行目标信息保护的URL地址和用户名信息； 处理单元，还用于:在未匹配到URL地址和用户名信息，则转发所述认证请求报文。
【文档编号】H04L29/06GK105939326SQ201610032194
【公开日】2016年9月14日
【申请日】2016年1月18日
【发明人】杨波, 傅纯
【申请人】杭州迪普科技有限公司