一种业务流量的处理方法及装置与流程

本发明涉及网络通信
技术领域：
，尤其涉及一种业务流量的处理方法及装置。
背景技术：
：随着视频监控技术的发展，越来越多的视频设备被安装及使用，视频设备将采集到的业务流量发送到服务器，黑客通过将合法的视频设备移除，接入非法设备后，向为业务流量提供存储及处理的服务器发起攻击，获取保密信息。现有技术中，业务流量中可能携带大量攻击信息，服务器无法确定业务流量是否安全合法，导致服务器无法抵御攻击，安全性低。技术实现要素：有鉴于此，本发明提供一种业务流量的处理方法及装置，以解决服务器无法抵御攻击，安全性低的问题。为实现上述目的，本发明提供技术方案如下：根据本发明的第一方面，提出了一种业务流量的处理方法，所述方法包括：当确定待接入设备合法时，获取所述待接入设备发送的业务流量中携带的第一流量标识，所述第一流量标识用于标记所述业务流量的业务类型；将所述第一流量标识与预设流量列表中记录的每一个第二流量标识进行匹配，所述预设流量列表用于记录至少一个第二流量标识，所述第二流量标识用于标记合法的业务类型；当所述第一流量标识与所述预设流量列表中记录的其中一个第二流量标识匹配成功时，向下一连接的设备转发所述业务流量。根据本发明的第二方面，提出了一种报文的过滤装置，包括：流量标识获取模块，用于当确定待接入设备合法时，获取所述待接入设备发送的业务流量中携带的第一流量标识，所述第一流量标识用于标记所述业务流量的业务类型；流量标识匹配模块，用于将所述流量标识获取模块中获取的所述第一流量标识与预设流量列表中记录的每一个第二流量标识进行匹配，所述预设流量列表用于记录至少一个第二流量标识，所述第二流量标识用于标记合法的业务类型；流量转发模块，用于当所述流量标识匹配模块中的所述第一流量标识与所述预设流量列表中记录的其中一个第二流量标识匹配成功时，向下一连接的设备转发所述业务流量。由以上技术方案可见，当防护设备确定待接入设备合法时，防护设备获取待接入设备发送的业务流量中携带的第一流量标识，防护设备将第一流量标识与预设流量列表中记录的每一个第二流量标识进行匹配，当第一流量标识与预设流量列表中记录的其中一个第二流量标识匹配成功时，防护设备向下一连接的设备转发业务流量，通过防护设备将第一流量标识与预设流量列表中记录的每一个第二流量标识进行匹配，进而确定业务流量是否合法，防护设备将合法的业务流量向下一连接的设备进行转发，从而解决了服务器无法抵御攻击，安全性低的问题。附图说明图1是本发明提供的业务流量的处理方法所适用的网络架构图；图2是本发明提供的一个业务流量的处理方法的实施例流程图；图3是本发明提供的另一个业务流量的处理方法的实施例流程图；图4是本发明提供的再一个业务流量的处理方法的实施例流程图；图5是本发明提供的一种防护设备的硬件结构图；图6是本发明提供的一个业务流量的处理装置的实施例框图；图7是本发明提供的另一个业务流量的处理装置的实施例框图。具体实施方式这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本发明相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本发明的一些方面相一致的装置和方法的例子。在本发明使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本发明。在本发明和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。应当理解，尽管在本发明可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本发明范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。图1是本发明提供的业务流量的处理方法所适用的网络架构图，如图1所示，在一实施例中，该网络架构图中包括：视频设备11、非法设备12、交换机13、防护设备14、服务器15、服务器16、服务器17。其中，视频设备11、非法设备12均为待接入设备，视频设备11为一个监控摄像设备，用于采集视频、图片、声音等业务数据；非法设备12为一台移动电脑，用于窃取服务器15、服务器16、服务器17中的保密信息；防护设备14用于对流经的业务流量进行安全防护；服务器15、服务器16、服务器17用于为视频设备11提供视频的存储、整理、分析等业务。通常，防护设备14确定待接入设备是否合法，对于防护设备14如何确定待接入设备是否合法的过程可参考下述图4步骤401中的相关描述，此处先不作详述，以待接入设备为视频设备11、下一连接的设备为服务器15为例，当防护设备14确定视频设备11合法时，防护设备14获取视频设备11发送的业务流量中携带的第一流量标识，第一流量标识用于标记业务流量的业务类型，业务流量的业务类型包括：视频存储流量、视频实况转播流量、控制信令流量、抓拍图片流量等，不同业务流量的业务类型对应不同的流量标识。防护设备14将第一流量标识与预设流量列表中记录的每一个第二流量标识进行匹配，预设流量列表用于记录至少一个第二流量标识，第二流量标识用于标记合法的业务类型，例如，以第二流量标识0001标记视频存储流量、以第二流量标识0011标记视频实况转播流量、以第二流量标识0111标记控制信令流量、以第二流量标识1111标记抓拍图片流量等，本领域技术人员可以理解的是，通常第二流量标识为非公开的、安全性较高的信息，第二流量标识“0001”、“0011”、“0111”、“1111”仅为示例性说明，第二流量标识的长度不仅限于4个字节，第二流量标识也可以为数字、字母或者两者的组合，此处对第二流量标识的具体表现形式不做限定。当第一流量标识与预设流量列表中记录的其中一个第二流量标识匹配成功时，表示该业务流量为合法的流量，防护设备14向服务器15转发该业务流量。通过本发明实施例，当防护设备14确定视频设备11合法时，防护设备14获取视频设备11发送的业务流量中携带的第一流量标识，防护设备14基于第一流量标识与预设流量列表确定业务流量是否为合法的流量，当防护设备14确定业务流量合法时，防护设备14将合法的业务流量发送到服务器15，避免服务器15遭受攻击，提高了服务器15的安全性。为对本发明进行进一步说明，提供下列实施例：图2是本发明提供的一个业务流量的处理方法的实施例流程图，结合图1进行示例性说明，如图2所示，包括如下步骤：步骤201：当确定待接入设备合法时，获取待接入设备发送的业务流量中携带的第一流量标识，第一流量标识用于标记业务流量的业务类型。步骤202：将第一流量标识与预设流量列表中记录的每一个第二流量标识进行匹配，预设流量列表用于记录至少一个第二流量标识，第二流量标识用于标记合法的业务类型，当第一流量标识与预设流量列表中记录的其中一个第二流量标识匹配成功时，执行步骤203，当第一流量标识与预设流量列表中记录的每一个第二流量标识均未匹配成功时，执行步骤204-步骤205。步骤203：向下一连接的设备转发业务流量。步骤204：将业务流量的流量大小的第一数值与第二数值进行累加，得到第三数值，第二数值为预设第二时长内已接收到的非法流量的大小。步骤205：当第三数值大于或者等于预设流量阈值时，将第一认证信息记录在预设异常列表中，第一认证信息为IP地址或MAC地址，预设异常列表用于记录停止转发的地址信息。在步骤201中，在一实施例中，防护设备14确定视频设备11是否合法，对于防护设备14如何确定待接入设备是否合法的过程可参考下述图4步骤401中的相关描述，此处先不作详述，当防护设备14确定视频设备11合法时，防护设备14获取视频设备11发送的业务流量中携带的第一流量标识，第一流量标识用于标记视频设备11发送的业务流量的业务类型，业务流量的业务类型包括：视频存储流量、视频实况转播流量、控制信令流量、抓拍图片流量等，不同业务流量的业务类型对应不同的流量标识。以第一流量标识0001标记视频存储流量、以第一流量标识0011标记视频实况转播流量、以第一流量标识0111标记控制信令流量、以第一流量标识1111标记抓拍图片流量等，本领域技术人员可以理解的是，“0001”、“0011”、“0111”、“1111”仅为第一流量标识的示例性说明，第一流量标识的长度不仅限于4个字节，第一流量标识也可以为数字、字母或者两者的组合，此处对第一流量标识的具体表现形式不做限定。在步骤202中，在一实施例中，防护设备14将第一流量标识与预设流量列表中记录的每一个第二流量标识进行匹配，预设流量列表用于记录至少一个第二流量标识，第二流量标识用于标记合法的业务类型，具体的，以第二流量标识0001标记视频存储流量、以第二流量标识0011标记视频实况转播流量、以第二流量标识0111标记控制信令流量、以第二流量标识1111标记抓拍图片流量等，本领域技术人员可以理解的是，通常第二流量标识为非公开的、安全性较高的信息，“0001”、“0011”、“0111”、“1111”仅为第二流量标识的示例性说明，第二流量标识的长度不仅限于4个字节，第二流量标识也可以为数字、字母或者两者的组合，此处对第二流量标识的具体表现形式不做限定。通过设置复杂程度较高的第二流量标识，当防护设备14将第一流量标识与预设流量列表中记录的每一个第二流量标识进行匹配时，使得该匹配过程的安全性得以提高，如表1所示，对预设流量列表进行示例性说明：表1序号第二流量标识10001200113011141111表1所示的序号1、2、3、4分别对应第二流量标识0001、第二流量标识0011、第二流量标识0111、第二流量标识1111，以防护设备14获取视频设备11发送的业务流量中携带的第一流量标识0001为例，防护设备14将第一流量标识0001与预设流量列表中记录的第二流量标识0001、第二流量标识0011、第二流量标识0111、第二流量标识1111分别进行匹配。当第一流量标识与预设流量列表中记录的其中一个第二流量标识匹配成功时，执行步骤203，当第一流量标识与预设流量列表中记录的每一个第二流量标识均未匹配成功时，执行步骤204-步骤205。结合步骤202，以第一流量标识为0001为例，第一流量标识0001与序号1对应的第二流量标识0001匹配成功，该业务流量为合法流量，防护设备14执行步骤203；以第一流量标识为0000为例，第一流量标识0000与表1所示的预设流量列表中记录的每一个第二流量标识均未匹配成功，该业务流量为非法流量，防护设备14执行步骤204-步骤205。需要说明的是，当第一流量标识与预设流量列表中记录的每一个第二流量标识均未匹配成功时，可以不执行本实施例中的步骤204-步骤205，步骤204-步骤205为可选步骤。在步骤203中，在一实施例中，以下一连接的设备为服务器15为例，防护设备14向服务器15转发该业务流量。在步骤204中，在一实施例中，防护设备14将该业务流量的流量大小的第一数值与第二数值进行累加，得到第三数值，第二数值为预设第二时长内已接收到的非法流量的大小，以预设第二时长为1分钟为例，防护设备14对1分钟内接收到的非法流量的大小进行累加。以第一数值为100mb，第二数值为700mb为例，防护设备14将第一数值100mb与第二数值700mb进行累加，得到第三数值800mb。在步骤205中，在一实施例中，当第三数值大于或者等于预设流量阈值时，将第一认证信息记录在预设异常列表中，第一认证信息为IP地址或MAC地址，预设异常列表用于记录停止转发的地址信息，地址信息即为IP地址或MAC地址，结合步骤204，以第三数值为800mb，预设流量阈值为500mb，第一认证信息为163.14.37.22为例，第三数值800mb大于预设流量阈值500mb，防护设备14将第一认证信息163.14.37.22记录在预设异常列表中。本发明实施例中，当防护设备14确定待接入设备合法时，防护设备14获取待接入设备发送的业务流量中携带的第一流量标识，防护设备14将第一流量标识与预设流量列表中记录的每一个第二流量标识进行匹配，当第一流量标识与预设流量列表中记录的其中一个第二流量标识匹配成功时，表示该业务流量合法，防护设备14向下一连接的设备转发该业务流量，解决了服务器无法抵御攻击，安全性低的问题。图3是本发明提供的另一个业务流量的处理方法的实施例流程图，本发明实施例结合图1、图2，在步骤201-步骤203的基础上，对如何确定第一认证信息及第一指纹信息是否合法的相关步骤进行示例性说明，如图3所示，包括如下步骤：步骤301：当接收到用于请求建立连接的报文时，基于预设认证列表确定报文中携带的第一认证信息是否具有攻击行为，第一认证信息为IP地址或MAC地址。步骤302：当确定第一认证信息无攻击行为时，基于预设指纹列表确定报文中携带的第一指纹信息是否为合法的指纹信息。步骤303：当确定第一指纹信息为合法的指纹信息时，确定待接入设备合法。在步骤301中，当防护设备14接收到视频设备11用于请求建立连接的报文时，防护设备14基于预设认证列表确定报文中携带的第一认证信息是否具有攻击行为，第一认证信息包括IP地址、MAC地址，预设认证列表中记录了合法的IP地址或MAC地址，具体的，防护设备14基于预设认证列表如何确定报文中携带的第一认证信息是否具有攻击行为的，可参考下述图4所示步骤401中的相关描述，此处先不作详述。在步骤302中，第一指纹信息用于标识待接入设备的身份，第一指纹信息可以为服务端口、系统信息、厂商序列号等，其中，服务端口为针对处理不同的业务流量对应的端口信息，服务端口例如为80、82等；系统信息例如为Linux、UNIX等；厂商序列号例如为112233、445566等。当确定第一认证信息无攻击行为时，防护设备14基于预设指纹列表确定报文中携带的第一指纹信息是否为合法的指纹信息，具体的执行方法可以为：防护设备14将第一指纹信息与预设指纹列表中记录的每一个第二指纹信息进行匹配，预设指纹列表用于记录至少一个第二指纹信息，第二指纹信息为合法的指纹信息，当第一指纹信息与预设指纹列表中记录的其中一个第二指纹信息匹配成功时，防护设备14确定报文中携带的第一指纹信息为合法的指纹信息；当第一指纹信息与预设指纹列表中记录的每一个第二指纹信息均未匹配成功时，防护设备14确定报文中携带的第一指纹信息为不合法的指纹信息。如表2所示，以预设指纹列表中记录了2个第二指纹信息为例，对预设指纹列表进行示例性说明：表2表2中，序号1对应的服务端口80、系统信息Linux、厂商序列号112233为一个第二指纹信息；序号1对应的服务端口82、系统信息UNIX、厂商序列号445566为另一个第二指纹信息。以第一指纹信息为服务端口80、系统信息Linux、厂商序列号112233为例，防护设备14将服务端口80、系统信息Linux、厂商序列号112233与表2所示的预设指纹列表中记录的2个第二指纹信息分别进行匹配，第一指纹信息服务端口80、系统信息Linux、厂商序列号112233与预设指纹列表中记录的序号1对应的第二指纹信息匹配成功，防护设备14确定报文中携带的第一指纹信息为合法的指纹信息；在一实施例中，非法设备12窃取了合法待接入设备的第一认证信息，但以非法设备12所携带的第一指纹信息为服务端口84、系统信息Linux、厂商序列号442266为例，第一指纹信息服务端口84、系统信息Linux、厂商序列号442266与表2所示的预设指纹列表中记录的2个第二指纹信息均未匹配成功，防护设备14确定报文中携带的第一指纹信息服务端口84、系统信息Linux、厂商序列号442266为不合法的指纹信息。在步骤303中，当防护设备14确定第一指纹信息为合法的指纹信息时，防护设备14确定视频设备11合法。本发明实施例中，当防护设备14接收到用于请求建立连接的报文时，防护设备14基于预设认证列表确定报文中携带的第一认证信息是否具有攻击行为，当防护设备14确定第一认证信息无攻击行为时，防护设备14基于预设指纹列表确定报文中携带的第一指纹信息是否为合法的指纹信息，当防护设备14确定第一指纹信息为合法的指纹信息时，防护设备14确定待接入设备合法。通过防护设备14确认第一认证信息是否具有攻击行为，针对具有攻击行为的第一认证信息，防护设备14省去了进一步匹配指纹信息的处理步骤，同时针对不具有攻击行为的第一认证信息，由于黑客可以通过伪造、窃取第一认证信息对服务器15进行攻击，因此，防护设备14对第一指纹信息再次进行确定，当第一认证信息及第一指纹信息同时合法时，防护设备14将待接入设备确认为合法设备，保障待接入设备的安全可靠性。图4是本发明提供的再一个业务流量的处理方法的实施例流程图，本发明实施例结合图1、图2、图3，对如何确定报文中携带的第一认证信息是否具有攻击行为的，进行示例性说明，如图4所示，包括如下步骤：步骤401：将第一认证信息与预设认证列表中记录的每一个第二认证信息进行匹配，预设认证列表用于记录至少一个第二认证信息，第二认证信息为无攻击行为的地址信息，当第一认证信息与预设认证列表中记录的其中一个第二认证信息匹配成功时，执行步骤406，当第一认证信息与预设认证列表中记录的每一个第二认证信息均未匹配成功时，执行步骤402-步骤405。步骤402：确定报文中携带的第一认证信息具有攻击行为。步骤403：当确定报文中携带的第一认证信息具有攻击行为时，将第一认证信息记录在预设异常列表中，预设异常列表用于记录停止转发的地址信息。步骤404：记录第一时间点，第一时间点为将第一认证信息记录在预设异常列表中的时间点；步骤405：当第一时间点与第二时间点之间的时间差大于或者等于预设第一时长时，将第一认证信息从预设异常列表中清除，第二时间点为当前时间点。步骤406：确定报文中携带的第一认证信息不具有攻击行为。在步骤401中，防护设备14将第一认证信息与预设认证列表中记录的每一个第二认证信息进行匹配，预设认证列表用于记录至少一个第二认证信息，第二认证信息为无攻击行为的地址信息，地址信息包括IP地址、MAC地址，当第一认证信息与预设认证列表中记录的其中一个第二认证信息匹配成功时，防护设备14执行步骤406，当第一认证信息与预设认证列表中记录的每一个第二认证信息均未匹配成功时，防护设备14执行步骤402-步骤405。如表3所示，以预设认证列表中记录了3个第二认证信息为例，对预设认证列表进行示例性说明：表3序号第二认证信息1163.14.37.222163.14.37.403163.14.37.80表3中，序号1对应第二认证信息163.14.37.22，序号2对应第二认证信息163.14.37.40，序号3对应第二认证信息163.14.37.80。以第一认证信息为163.14.37.22为例，防护设备14将第一认证信息163.14.37.22与表3所示的预设认证列表中记录的3个第二认证信息分别进行匹配，第一认证信息163.14.37.22与表3所示的序号1对应的第二认证信息163.14.37.22匹配成功，防护设备14执行步骤406；以第一认证信息为163.14.37.90为例，防护设备14将第一认证信息163.14.37.90与表3所示的预设认证列表中记录的3个第二认证信息分别进行匹配，第一认证信息163.14.37.90与表3所示的3个第二认证信息均未匹配成功，防护设备14执行步骤402-步骤405。在步骤402中，防护设备14确定报文中携带的第一认证信息具有攻击行为。在步骤403中，当防护设备14确定报文中携带的第一认证信息具有攻击行为时，防护设备14将第一认证信息记录在预设异常列表中，预设异常列表用于记录停止转发的地址信息。在步骤404中，防护设备14将第一认证信息记录在预设异常列表中的时间点记录为第一时间点，第一时间点例如为00:00:00。在步骤405中，当第一时间点与第二时间点之间的时间差大于或者等于预设第一时长时，防护设备14将第一认证信息从预设异常列表中清除，第二时间点为当前时间点。以预设第一时长为3分钟，第二时间点为00:04:50为例，第一时间点00:00:00与第二时间点00:04:50之间的时间差4分50秒大于预设第一时长3分钟，防护设备14将第一认证信息从预设异常列表中清除，及时释放预设异常列表的存储空间，并给予被确定为具有攻击行为的第一认证信息再次申请接入的机会，避免错误拦截，提高防护设备的鲁棒性。在步骤406中，防护设备14确定报文中携带的第一认证信息不具有攻击行为。本发明实施例中，当确定报文中携带的第一认证信息具有攻击行为时，防护设备14将第一认证信息记录在预设异常列表中，通过获取预设异常列表，可以及时掌握存在异常的待接入设备的地址信息，便于管理人员查看及管理。对应于上述业务流量的处理方法，本发明还提出了图5所示的防护设备的硬件结构图。请参考图5，在硬件层面，该防护设备包括处理器、内部总线、网络接口、内存以及非易失性存储器，当然还可能包括其他业务所需要的硬件。处理器从非易失性存储器中读取对应的计算机程序到内存中然后运行，在逻辑层面上形成报文的过滤装置。当然，除了软件实现方式之外，本发明并不排除其他实现方式，比如逻辑器件抑或软硬件结合的方式等等，也就是说以下处理流程的执行主体并不限定于各个逻辑单元，也可以是硬件或逻辑器件。图6是本发明提供的一个业务流量的处理装置的实施例框图，如图6所示，该报文的过滤装置可以包括：流量标识获取模块61、流量标识匹配模块62、流量转发模块63其中：流量标识获取模块61，用于当确定待接入设备合法时，获取待接入设备发送的业务流量中携带的第一流量标识，第一流量标识用于标记业务流量的业务类型；流量标识匹配模块62，用于将流量标识获取模块61中获取的第一流量标识与预设流量列表中记录的每一个第二流量标识进行匹配，预设流量列表用于记录至少一个第二流量标识，第二流量标识用于标记合法的业务类型；流量转发模块63，用于当流量标识匹配模块62中的第一流量标识与预设流量列表中记录的其中一个第二流量标识匹配成功时，向下一连接的设备转发业务流量。图7是本发明提供的另一个业务流量的处理装置的实施例框图，如图6所示，在上述图6所示实施例的基础上，报文的过滤装置还包括：攻击行为确定模块64，用于当接收到用于请求建立连接的报文时，基于预设认证列表确定报文中携带的第一认证信息是否具有攻击行为，第一认证信息为IP地址或MAC地址；指纹信息确定模块65，用于当攻击行为确定模块64中确定第一认证信息无攻击行为时，基于预设指纹列表确定报文中携带的第一指纹信息是否为合法的指纹信息；设备合法确定模块66，用于当指纹信息确定模块65中确定第一指纹信息为合法的指纹信息时，确定待接入设备合法。在一实施例中，攻击行为确定模块64包括：认证信息匹配子模块641，用于将第一认证信息与预设认证列表中记录的每一个第二认证信息进行匹配，预设认证列表用于记录至少一个第二认证信息，第二认证信息为无攻击行为的地址信息；第一确定子模块642，用于当认证信息匹配子模块641中第一认证信息与预设认证列表中记录的其中一个第二认证信息匹配成功时，确定报文中携带的第一认证信息不具有攻击行为；第二确定子模块643，用于当认证信息匹配子模块641中第一认证信息与预设认证列表中记录的每一个第二认证信息均未匹配成功时，确定报文中携带的第一认证信息具有攻击行为。在一实施例中，报文的过滤装置还包括：第一认证信息记录模块67，用于当第一确定子模块642中确定报文中携带的第一认证信息具有攻击行为时，将第一认证信息记录在预设异常列表中，预设异常列表用于记录停止转发的地址信息。在一实施例中，报文的过滤装置还包括：时间点记录模块68，用于记录第一时间点，第一时间点为将第一认证信息记录在预设异常列表中的时间点；认证信息清除模块69，用于当时间点记录模块68中记录的第一时间点与第二时间点之间的时间差大于或者等于预设第一时长时，将第一认证信息从预设异常列表中清除，第二时间点为当前时间点。在一实施例中，指纹信息确定模块65，包括：指纹信息匹配子模块651，用于将第一指纹信息与预设指纹列表中记录的每一个第二指纹信息进行匹配，预设指纹列表用于记录至少一个第二指纹信息，第二指纹信息为合法的指纹信息；第三确定子模块652，用于当指纹信息匹配子模块651中第一指纹信息与预设指纹列表中记录的其中一个第二指纹信息匹配成功时，确定报文中携带的第一指纹信息为合法的指纹信息；第四确定子模块653，用于当指纹信息匹配子模块651中第一指纹信息与预设指纹列表中记录的每一个第二指纹信息均未匹配成功时，确定报文中携带的第一指纹信息为不合法的指纹信息。在一实施例中，报文的过滤装置还包括：异常流量累加模块70，用于当流量标识匹配模块62中第一流量标识与预设流量列表中记录的每一个第二流量标识均未匹配成功时，将业务流量的流量大小的第一数值与第二数值进行累加，得到第三数值，第二数值为预设第二时长内已接收到的非法流量的大小；第二认证信息记录模块71，用于当第三数值大于或者等于预设流量阈值时，将第一认证信息记录在预设异常列表中，第一认证信息为IP地址或MAC地址，预设异常列表用于记录停止转发的地址信息。上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程，在此不再赘述。对于装置实施例而言，由于其基本对应于方法实施例，所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本发明方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。由上述实施例可见，当防护设备确定待接入设备合法时，防护设备获取待接入设备发送的业务流量中携带的第一流量标识，防护设备将第一流量标识与预设流量列表中记录的每一个第二流量标识进行匹配，当第一流量标识与预设流量列表中记录的其中一个第二流量标识匹配成功时，表示该业务流量合法，防护设备向下一连接的设备转发该业务流量，解决了服务器无法抵御攻击，安全性低的问题。本领域技术人员在考虑说明书及实践这里公开的发明后，将容易想到本发明的其它实施方案。本发明旨在涵盖本发明的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本发明的一般性原理并包括本发明未公开的本
技术领域：
中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本发明的真正范围和精神由下面的权利要求指出。还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明保护的范围之内。当前第1页1 2 3