攻击协议报文流的防护方法及装置的制造方法

攻击协议报文流的防护方法及装置的制造方法
【专利摘要】本申请提供一种攻击协议报文流的防护方法及装置，所述方法包括：统计在第一预设时长内接收到的协议报文数；判断在第一预设时长内接收到的协议报文数是否达到该类型协议报文的预设限速阈值；如果达到所述预设限速阈值，丢弃所述协议报文流的后续协议报文；反之，放行所述协议报文流。在本申请中，因为可以减少上送到主设备的攻击协议报文，因此，可以解决现有技术对攻击协议报文流的防护效率低的问题。
【专利说明】
攻击协议报文流的防护方法及装置
技术领域
[0001] 本申请设及通信技术领域，尤其设及一种攻击协议报文流的防护方法及装置。
【背景技术】
[0002] 网络设备可W包括主网络设备和备网络设备，其中，主网络设备可W负责对协议 报文的处理;备网络设备可W负责对业务报文的转发和处理。当备网络设备接收到协议报 文时，需要将协议报文发送至主网络设备，并由主网络设备进行处理。
[0003] 当网络攻击者通过发送过多的协议报文对主网络设备进行攻击时，主网络设备会 因为处理大量的攻击协议报文而无暇顾及正常的协议报文，此时，主网络设备的业务可能 会中断。
[0004] 相关技术通过将协议报文按照优先级的高低顺序发送至主网络设备，增加了正常 的协议报文被处理的概率，但是，一些优先级较高的攻击协议报文还是会占用主网络设备， 从而使得主网络设备无法及时处理一些重要的但优先级较低的正常协议报文，如对实时性 要求较高的报文等。因此，相关技术对攻击协议报文流的防护效率低。

【发明内容】

[0005] 有鉴于此，本申请提供一种攻击协议报文流的防护方法及装置，来解决相关技术 对攻击协议报文流防护效率低的问题。
[0006] 具体地，本申请是通过如下技术方案实现的：
[0007] 根据本申请实施例的第一方面，提供一种攻击协议报文流的防护方法，所述方法 应用于网络设备上，所述方法包括：
[000引统计在第一预设时长内接收到的协议报文数；
[0009] 判断在第一预设时长内接收到的协议报文数是否达到该类型协议报文的预设限 速阔值；
[0010] 如果达到所述预设限速阔值，丢弃所述协议报文流的后续协议报文;反之，放行所 述协议报文流。
[0011] 可选的，所述统计在第一预设时长内接收到的协议报文数包括：
[001^ 将在第一预设时长内接收到的协议报文记录至顺设的索引表中；
[0013] 通过统计所述索引表中该类型协议报文的索引表项数来确定在第一预设时长内 接收到的协议报文数。
[0014] 可选的，所述如果达到所述预设限速阔值，丢弃所述协议报文流的后续协议报文， 包括：
[0015] 如果达到所述预设限速阔值，统计所述协议报文流在第二预设时长内接收到的协 议报文数;所述第二预设时长大于所述第一预设时长；
[0016] 如果在第二预设时长内接收到的协议报文数达到了该类型协议报文的阻断阔值， 则持续阻断所述协议报文流N分钟;其中，N为大于0的自然数；
[0017] 如果在第二预设时长内接收到的协议报文数未达到该类型协议报文的阻断阔值， 则丢弃所述协议报文流的后续协议报文。
[0018] 可选的，如果在第二预设时长内接收到的协议报文数达到了该类型协议报文的阻 断阔值，则针对所述协议报文流创建攻击日志。
[0019] 可选的，为所述索引表中的表项预设老化时间，所述索引表项可循环使用。
[0020] 根据本申请实施例的第二方面，提供一种攻击协议报文流的防护装置，所述装置 应用于网络设备上，所述装置包括：
[0021] 统计单元，用于统计在第一预设时长内接收到的协议报文数；
[0022] 判断单元，用于判断在第一预设时长内接收到的协议报文数是否达到该类型协议 报文的预设限速阔值；
[0023] 防护单元，用于如果达到所述预设限速阔值，丢弃所述协议报文流的后续协议报 文;反之，放行所述协议报文流。
[0024] 可选的，所述统计单元具体用于：
[0025] 将在第一预设时长内接收到的协议报文记录到预设的索引表中；
[0026] 通过统计所述索引表中该类型协议报文的索引表项数来确定在第一预设时长内 接收到的协议报文数。
[0027] 可选的，所述防护单元具体用于：
[0028] 如果达到所述预设限速阔值，统计所述协议报文流在第二预设时长内接收到的协 议报文数;所述第二预设时长大于所述第一预设时长；
[0029] 如果在第二预设时长内接收到的协议报文数达到了该类型协议报文的阻断阔值， 则持续阻断所述协议报文流N分钟;其中，N为大于0的自然数；
[0030] 如果在第二预设时长内接收到的协议报文数未达到该类型协议报文的阻断阔值， 则丢弃所述协议报文流的后续协议报文。
[0031] 可选的，如果在第二预设时长内接收到的协议报文数达到了该类型协议报文的阻 断阔值，则针对所述协议报文流创建攻击日志。
[0032] 可选的，为所述索引表中的表项预设老化时间，所述索引表项可循环使用。
[0033] 本申请可W通过在备网络设备和主网络设备上判断协议报文流在一定时间内的 协议报文数是否达到预设的限速阔值来确定该协议报文流是否为攻击协议报文流，当该协 议报文流为攻击协议报文流时，可W丢弃或阻断该协议报文流，从而减少上送到主网络设 备的攻击协议报文，提高了对攻击协议报文流的防护效率。
【附图说明】
[0034] 图1为应用本申请实施例实现攻击协议报文流的防护方法的应用场景示意图：
[0035] 图2为本申请实施例中一种攻击协议报文流的防护方法的流程示意图；
[0036] 图3为本申请攻击协议报文流的防护装置所在设备的一种硬件结构图；
[0037] 图4为本申请攻击协议报文流的防护装置的一个实施例框图。
【具体实施方式】
[0038] 运里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述设及 附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。W下示例性实施例 中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反，它们仅是与如所附 权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
[0039] 在本申请使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本申请。 在本申请和所附权利要求书中所使用的单数形式的"一种"、"所述"和"该"也旨在包括多数 形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语"和/或"是指并包 含一个或多个相关联的列出项目的任何或所有可能组合。
[0040] 应当理解，尽管在本申请可能采用术语第一、第二、第=等来描述各种信息，但运 些信息不应限于运些术语。运些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离 本申请范围的情况下，第一信息也可W被称为第二信息，类似地，第二信息也可W被称为第 一信息。取决于语境，如在此所使用的词语"如果"可W被解释成为"在……时"或"当…… 时"或"响应于确定"。
[0041] 参见图1，为应用本申请实施例实现攻击协议报文流的防护方法的应用场景示意 图：
[0042] 图1中所示的网络设备一般可W包括主网络设备和备网络设备，其中，网络设备A 可W为主网络设备，网络设备B和网络设备C可W为备网络设备。备网络设备B和C上可W包 括交换忍片和CPlKCentral Processing化it,中央处理器）。当接收到协议报文时，备网络 设备B和C上的交换忍片可W将该协议报文发送至其上的CPU端口，然后CPU可W将该协议报 文发送至主网络设备。
[0043] 当攻击者发送大量的攻击协议报文时，备网络设备的CPU可W将攻击协议报文发 送至主网络设备。主网络设备接收到大量的攻击协议报文后，会因为处理运些攻击协议报 文而无暇顾及正常的协议报文，此时，主网络设备的业务很有可能会中断。
[0044] 相关技术中，备网络设备的交换忍片和CPU上包含N个不同优先级的队列，其中，N 可W为小于48大于0的自然数。当交换忍片接收到协议报文时，可W将该协议报文上送到对 应优先级的队列中，然后按照优先级的高低顺序将该协议报文上送至备网络设备的CPU端 口上。备网络设备的CP闲尋该协议报文上送到对应优先级的队列中，然后按照优先级的高低 顺序将该协议报文发送至主网络设备。
[0045] 相关技术通过将协议报文按照优先级的高低顺序发送至主网络设备，增加了正常 的协议报文被处理的概率，但是，一些优先级较高的攻击协议报文还是会占用主网络设备， 从而使得主网络设备无法及时处理一些重要的但优先级较低的正常协议报文，如对实时性 要求较高的报文等。因此，相关技术对攻击协议报文流的防护效率低。
[0046] 本申请可W通过在备网络设备和主网络设备上判断协议报文流在一定时间内的 协议报文数是否达到预设的限速阔值来确定该协议报文流是否为攻击协议报文流，当该协 议报文流为攻击协议报文流时，可W丢弃或阻断该协议报文流，从而减少上送到主网络设 备的攻击协议报文，提高了对攻击协议报文流的防护效率。
[0047] 参见图2,为本申请实施例中一种攻击协议报文流的防护方法的流程示意图，该实 施例应用于网络设备上，包括了 W下步骤：
[0048] 步骤201:统计在第一预设时长内接收到的协议报文数。
[0049] 网络设备上的主网络设备和备网络设备接收到协议报文流后，可W对该协议报文 流的协议报文数进行统计，具体地，可W统计在第一预设时长内接收到的该类型协议报文 的报文数。其中，该第一预设时长可W为默认值或者由用户自定义设置，例如，可W为1分 钟。
[0050] 在示出的一种实施方式中，主网络设备和备网络设备接收到协议报文流后，可W 将协议报文流中的协议报文记录在预设的索引表中；该索引表可W包括协议报文的字段信 息、协议报文的协议类型W及索引表项序号等。当将接收到的协议报文记录在索引表后，可 W通过统计索引表中该类型协议报文的索引表项数来确定在第一预设时长内接收到的协 议报文数。
[0051] 其中，在示出的一种实施方式中，还可W为上述索引表的表项预设老化时间，当上 述索引表的表项中记录的协议报文的时间超过老化时间时，可W清除该索引表项中的记 5? O
[0052] 需要说明的是，老化时间可W为默认值或者用户自定义设置或变更。当然，上述索 引表的表项可W循环使用，当索引表项被清除时，可W使用该索引表项记录当前接收到的 协议报文流的协议报文。
[0053] 步骤202:判断在第一预设时长内接收到的协议报文数是否达到该类型协议报文 的预设限速阔值。
[0054] 当主网络设备和备网络设备统计出该协议报文数后，可W判断在第一预设时长内 接收到的协议报文数是否达到该类型协议报文的预设限速阔值。该预设限速阔值可W为默 认值或者由客户自定义设置，例如，可W为1000。
[0055] 其中，在判断该协议报文在第一时长内接收到的协议报文数是否达到该类型协议 报文的预设限速阔值之前，还可W判断该协议报文流是否为攻击报文，具体判断过程可W 为根据该协议报文流中的协议报文的报文特征匹配攻击特征库里的攻击特征。
[0056] 在本例中，在判断在第一预设时长内接收到的协议报文数是否达到该类型协议报 文的预设限速阔值，可W有不同的实施方式。
[0057] 在示出的一种实施方式中，在统计出该协议报文数之后，可W计算该协议报文数 和第一预设时长的比值。然后，可W将此比值与预设的限速阔值做比较。当此比值大于预设 的限速阔值时，可W确定在第一预设时长内接收到的协议报文数达到了该类型协议报文的 预设限速阔值;反之，可W确定在第一预设时长内接收到的协议报文数没有达到该类型协 议报文的预设限速阔值。
[0058] 例如，假设该协议报文数为1000,第一预设时长为1分钟，则可W计算出该协议报 文数和第一预设时长的比值为1000,假设预设的限速阔值为1200,则可W确定在第一预设 时长内接收到的协议报文数达到了该类型协议报文的预设限速阔值;相似的，假设预设的 限速阔值为900,则可W确定在第一预设时长内接收到的协议报文数没有达到该类型协议 报文的预设限速阔值。
[0059] 当然，当在第一预设时长内接收到的协议报文数没有达到该类型协议报文的预设 限速阔值时，可W放行该协议报文流。
[0060] 步骤203:如果达到所述预设限速阔值，丢弃所述协议报文流的后续协议报文;反 之，放行所述协议报文流。
[0061] 当在第一预设时长内接收到的协议报文数达到了该类型协议报文的预设限速阔 值时，可W丢弃该协议报文流的后续协议报文。
[0062] 例如，假设索引表中该协议报文流的协议报文数为1200,第一预设时长为1分钟， 预设的限速阔值为1000,则索引表中该协议报文流的前1000个协议报文可W被放行，索引 表中该协议报文流的第1001至1200个协议报文可W被丢弃。
[0063] 其中，需要指出的是，在第一预设时长内接收到的协议报文数达到上述预设限速 阔值后，还可W通过统计在第二预设时长内接收到的协议报文数，并将统计出的协议报文 数与预设的阻断阔值进行比较，对接收到的攻击报文进行阻断W对上送CPU的协议报文进 行深度防护。
[0064] 例如，假设统计出的该协议报文流的协议报文数为1200,第一预设时长为1分钟， 预设限速阔值为1000,则可W确定该协议报文流在第一预设时长内接收到的协议报文数达 到了该类型协议报文的预设限速阔值，此时可W对协议报文流进行限速处理，丢掉后续的 协议报文，W使得协议报文匀速上送至CPU。
[0065] 在示出的一种实施方式中，当在第一预设时长内接收到的协议报文数达到了该类 型协议报文的预设限速阔值时，可W统计在第二预设时长内接收到的协议报文数，并将统 计出的报文数与预设的阻断阔值进行比较;其中，第二预设时长可W大于第一预设时长。
[0066] 当在第二预设时长内接收到的协议报文数没有达到该类型协议报文的阻断阔值 时，可W继续丢弃该协议报文流的后续协议报文，不做阻断处理。
[0067] 假设第二预设时长为5分钟，统计出的该协议报文流在5分钟之内的协议报文数为 3500,阻断阔值为4000,则可W确定该协议报文流在第二预设时长内接收到的协议报文数 没有达到该类型协议报文的阻断阔值，此时，可W继续丢弃该协议报文流的后续协议报文， 不对该协议报文流做阻断处理。
[0068] 当在第二预设时长内接收到的协议报文数达到了该类型协议报文的阻断阔值时， 可W持续阻断该协议报文流N分钟，其中，N为大于0的自然数，例如，N可W为4。
[0069] 假设阻断阔值为3000,则可W确定该协议报文流在第二预设时长内接收到的协议 报文数达到了该类型协议报文的阻断阔值，此时可W针对该协议报文流进行阻断操作，将 该协议报文流阻断4分钟，直到统计出的在第二预设时长内接收到的协议报文低于阻断阔 值时停止。
[0070] 在示出的另一种实施例中，如果该协议报文流在第二预设时长内接收到的协议报 文数达到了该类型协议报文的阻断阔值，此时该协议报文流可能是攻击报文(短时间内报 文数量增长过快），除了可W对该协议报文进行阻断操作W外，还可W针对该协议报文流创 建攻击日志。该攻击日志可W包括该协议报文的攻击时间、攻击源端口 W及攻击目的端口 等。
[0071] 在W上实施例中，通过在备网络设备和主网络设备上判断协议报文流在一定时间 内的协议报文数是否达到预设的限速阔值来确定该协议报文流是否为攻击协议报文流，当 该协议报文流为攻击协议报文流时，可W丢弃或阻断该协议报文流，从而减少上送到主网 络设备上的攻击协议报文，提高了对攻击协议报文流的防护效率。
[0072] 下面通过具体实施例并结合应用场景图对W上实施例进行详细说明：
[0073] 由图1可知，主网络设备和备网络设备都可W包括CPU。主网络设备和备网络设备 接收到协议报文流后，可W将协议报文流中的协议报文记录在由CPU预设的索引表中，该索 引表可W包括该协议报文的字段信息、协议类型W及索引表项序号等。例如，假设该协议报 文为1'〔口(化日113111133；[0]10〇]1付〇1?1'〇1：〇(3〇1，传输控制协议）报文，则该索引表中的一项可 W如表1所示： r00741
[0075] 表 1
[0076] 在本申请中，可W统计在第一预设时长内该协议报文流在索引表中的协议报文 数，假设第一预设时长为1分钟，索引表使用表项序号1000到1600来记录在1分钟之内接收 到的该协议报文流的协议报文，则可W计算出在1分钟内接收到的该协议报文流的协议报 文数为600。
[0077] 在示出的一种实施方式中，主网络设备和备网络设备的CPU可W为上述索引表预 设老化时间，当上述索引表的表项中记录的协议报文的时间超过老化时间时，可W清除该 索引表项中的记录。
[0078] 需要说明的是，老化时间可W为默认值或者用户自定义设置或变更。当然，上述索 引表的表项可W循环使用，当索引表项被清除时，可W使用该索引表项记录当前接收到的 协议报文流的协议报文。
[0079] 在本申请中，当主网络设备和备网络设备统计出上述协议报文数后，可W判断此 协议报文数是否达到了该类型协议报文的预设限速阔值，该预设限速阔值可W为默认值或 者由客户自定义设置。
[0080] 在一个实施例中，在判断该协议报文在第一时长内接收到的协议报文数是否达到 该类型协议报文的预设限速阔值之前，还可W判断该协议报文流是否为攻击报文。具体判 断过程为现有技术，在此不再寶述。
[0081] 在示出的一种实施方式中，在1分钟内接收到的协议报文数可W为600,假设预设 限速阔值为1000,则可W确定该协议报文数没有达到该类型协议报文的预设限速阔值。
[0082] 在示出的另一种实施方式中，在3分钟内接收到的协议报文数可W为1800,此时， 可W计算出该协议报文数1800和第一预设时长3分钟的比值为600,假设预设限速阔值为 1000,则可W确定该协议报文数没有达到该类型协议报文的预设限速阔值。
[0083] 在本申请中，当在第一预设时长内接收到的协议报文数没有达到该类型协议报文 的预设限速阔值时，可W放行该协议报文流。
[0084] 在示出的一种实施方式中，在1分钟内接收到的协议报文数可W为1200,假设预设 限速阔值为1000,则可W确定该协议报文数达到了该类型协议报文的预设限速阔值。此时， 可W对该协议报文流进行限速处理，丢弃该协议报文流的后200个协议报文，W使得协议报 文匀速上送至CPU。
[0085] 然后，可W统计该协议报文流在第二预设时长内的接收到的协议报文数，并将统 计出的报文数与预设的阻断阔值进行比较。其中，第二预设时长可W大于第一预设时长。
[0086] 例如，可W假设第二时长为5分钟，在5分钟之内接收到的协议报文数为3500,预设 的阻断阔值为4000,则可W确定该协议报文流在第二预设时长内接收到的协议报文数没有 达到该类型协议报文的阻断阔值，此时，仍然可W继续丢弃该协议报文流的后续协议报文， 不做阻断处理;假设预设的阻断阔值为3000,则可W确定该协议报文流在第二预设时长内 接收到的协议报文数达到了该类型协议报文的阻断阔值，此时可W针对该协议报文流进行 阻断操作，将该协议报文流阻断4分钟，直到统计出的在第二预设时长内接收到的协议报文 低于阻断阔值时停止。
[0087] 在示出的另一种实施例中，如果该协议报文流在第二预设时长内接收到的协议报 文数达到了该类型协议报文的阻断阔值，此时该协议报文流可能是攻击报文，除了可W对 该协议报文进行阻断操作W外，还可W针对该协议报文流创建攻击日志。该攻击日志可W 包括该协议报文的攻击时间、攻击源端口 W及攻击目的端口等。
[0088] 在W上实施例中，通过在备网络设备和主网络设备上判断协议报文流在一定时间 内的协议报文数是否达到预设的限速阔值来确定该协议报文流是否为攻击协议报文流，当 该协议报文流为攻击协议报文流时，可W丢弃或阻断该协议报文流，从而减少上送到主网 络设备上的攻击协议报文，提高了对攻击协议报文流的防护效率。
[0089] 与前述攻击协议报文流的防护方法的实施例相对应，本申请还提供了攻击协议报 文流的防护装置的实施例。
[0090] 本申请攻击协议报文流的防护装置的实施例可W应用在网络设备上。装置实施例 可W通过软件实现，也可W通过硬件或者软硬件结合的方式实现。W软件实现为例，作为一 个逻辑意义上的装置，是通过其所在设备的处理器将非易失性存储器中对应的计算机程序 指令读取到内存中运行形成的。从硬件层面而言，如图3所示，为本申请攻击协议报文流的 防护装置所在设备的一种硬件结构图，除了图3所示的处理器、内存、网络接口、W及非易失 性存储器之外，实施例中装置所在的设备通常还可W包括其他硬件，如负责处理报文的转 发忍片等等。
[0091] 请参考图4,为本申请攻击协议报文流的防护装置的一个实施例框图：
[0092] 该装置可W包括:统计单元410、判断单元420和防护单元430。
[0093] 统计单元410,用于统计在第一预设时长内接收到的协议报文数；
[0094] 判断单元420,用于判断在第一预设时长内接收到的协议报文数是否达到该类型 协议报文的预设限速阔值；
[00%]防护单元430,用于如果达到所述预设限速阔值，丢弃所述协议报文流的后续协议 报文;反之，放行所述协议报文流。
[0096] 在一个可选的实现方式中，所述统计单元410可W具体用于：
[0097] 将在第一预设时长内接收到的协议报文记录到预设的索引表中；
[0098] 通过统计所述索引表中该类型协议报文的索引表项数来确定在第一预设时长内 接收到的协议报文数。
[0099] 在一个可选的实现方式中，所述防护单元430可W具体用于：
[0100] 如果达到所述预设限速阔值，统计所述协议报文流在第二预设时长内接收到的协 议报文数;所述第二预设时长大于所述第一预设时长；
[0101] 如果在第二预设时长内接收到的协议报文数达到了该类型协议报文的阻断阔值， 则持续阻断所述协议报文流N分钟;其中，N为大于0的自然数；
[0102] 如果在第二预设时长内接收到的协议报文数未达到该类型协议报文的阻断阔值， 则丢弃所述协议报文流的后续协议报文。
[0103] 在一个可选的实现方式中，如果在第二预设时长内接收到的协议报文数达到了该 类型协议报文的阻断阔值，则可W针对所述协议报文流创建攻击日志。
[0104] 在一个可选的实现方式中，可W为所述索引表中的表项预设老化时间，所述索引 表项可循环使用。
[0105] 在W上实施例中，通过在备网络设备和主网络设备上判断协议报文流在一定时间 内的协议报文数是否达到预设的限速阔值来确定该协议报文流是否为攻击协议报文流，当 该协议报文流为攻击协议报文流时，可W丢弃或阻断该协议报文流，从而减少上送到主网 络设备上的攻击协议报文，提高了对攻击协议报文流的防护效率。
[0106] 上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的 实现过程，在此不再寶述。
[0107] 对于装置实施例而言，由于其基本对应于方法实施例，所W相关之处参见方法实 施例的部分说明即可。W上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件 说明的单元可W是或者也可W不是物理上分开的，作为单元显示的部件可W是或者也可W 不是物理单元，即可W位于一个地方，或者也可W分布到多个网络单元上。可W根据实际的 需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付 出创造性劳动的情况下，即可W理解并实施。
[0108] W上所述仅为本申请的较佳实施例而已，并不用W限制本申请，凡在本申请的精 神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本申请保护的范围之内。
【主权项】
1. 一种攻击协议报文流的防护方法，其特征在于，所述方法应用于网络设备上，所述方 法包括： 统计在第一预设时长内接收到的协议报文数； 判断在第一预设时长内接收到的协议报文数是否达到该类型协议报文的预设限速阈 值； 如果达到所述预设限速阈值，丢弃所述协议报文流的后续协议报文;反之，放行所述协 议报文流。2. 根据权利要求1所述的方法，其特征在于，所述统计在第一预设时长内接收到的协议 报文数包括： 将在第一预设时长内接收到的协议报文记录到预设的索引表中； 通过统计所述索引表中该类型协议报文的索引表项数来确定在第一预设时长内接收 到的协议报文数。3. 根据权利要求1所述的方法，其特征在于，所述如果达到所述预设限速阈值，丢弃所 述协议报文流的后续协议报文，包括： 如果达到所述预设限速阈值，统计所述协议报文流在第二预设时长内接收到的协议报 文数;所述第二预设时长大于所述第一预设时长； 如果在第二预设时长内接收到的协议报文数达到了该类型协议报文的阻断阈值，则持 续阻断所述协议报文流N分钟;其中，N为大于0的自然数； 如果在第二预设时长内接收到的协议报文数未达到该类型协议报文的阻断阈值，则丢 弃所述协议报文流的后续协议报文。4. 根据权利要求3所述的方法，其特征在于，如果在第二预设时长内接收到的协议报文 数达到了该类型协议报文的阻断阈值，则针对所述协议报文流创建攻击日志。5. 根据权利要求2所述的方法，其特征在于，为所述索引表中的表项预设老化时间，所 述索引表项可循环使用。6. -种攻击协议报文流的防护装置，其特征在于，所述装置应用于网络设备上，所述装 置包括： 统计单元，用于统计在第一预设时长内接收到的协议报文数； 判断单元，用于判断在第一预设时长内接收到的协议报文数是否达到该类型协议报文 的预设限速阈值； 防护单元，用于如果达到所述预设限速阈值，丢弃所述协议报文流的后续协议报文;反 之，放行所述协议报文流。7. 根据权利要求6所述的装置，其特征在于，所述统计单元具体用于： 将在第一预设时长内接收到的协议报文记录到预设的索引表中； 通过统计所述索引表中该类型协议报文的索引表项数来确定在第一预设时长内接收 到的协议报文数。8. 根据权利要求6所述的装置，其特征在于，所述防护单元具体用于： 如果达到所述预设限速阈值，统计所述协议报文流在第二预设时长内接收到的协议报 文数;所述第二预设时长大于所述第一预设时长； 如果在第二预设时长内接收到的协议报文数达到了该类型协议报文的阻断阈值，则持 续阻断所述协议报文流N分钟;其中，N为大于0的自然数； 如果在第二预设时长内接收到的协议报文数未达到该类型协议报文的阻断阈值，则丢 弃所述协议报文流的后续协议报文。9. 根据权利要求8所述的装置，其特征在于，如果在第二预设时长内接收到的协议报文 数达到了该类型协议报文的阻断阈值，则针对所述协议报文流创建攻击日志。10. 根据权利要求7所述的装置，其特征在于，为所述索引表中的表项预设老化时间，所 述索引表项可循环使用。
【文档编号】H04L29/06GK105939339SQ201610165623
【公开日】2016年9月14日
【申请日】2016年3月22日
【发明人】李笑, 罗举善, 任红军
【申请人】杭州迪普科技有限公司