一种报文检测方法、系统、计算机设备及可读存储介质转让专利
申请号 : CN202110932496.6
文献号 : CN113660260B
文献日 : 2022-12-20
发明人 : 徐静 , 范渊
申请人 : 杭州安恒信息技术股份有限公司
摘要 :
本申请涉及一种报文检测方法、系统、计算机设备及可读存储介质,其中,该报文检测方法包括:接收报文;以字节流的形式遍历所述报文,同时对所述报文执行解析解码计算和检测,得到处理结果;根据所述处理结果,对所述报文的性质作出判决。通过在解析解码处理报文的同时,进行攻击检测,并设置对检测部位感兴趣的检测参数列表,即针对性检测报文的部分参数,且在检测出报文带有攻击时,停止进行检测,有效降低了处理报文时产生的资源消耗,解决了现有技术中需要先进行预处理,后执行攻击检测的方式,易导致WEB应用防火墙系统的CPU和内存被耗尽,产生有效攻击的问题,实现了减少部分内存占用及系统CPU的使用,提高防护效率。
权利要求 :
1.一种报文检测方法,其特征在于,包括:
接收报文;
以字节流的形式遍历所述报文,同时对所述报文执行解析解码计算和检测,得到处理结果;
其中,所述以字节流的形式遍历所述报文,同时对所述报文执行解析解码计算和检测,得到处理结果的步骤包括:以所述报文为输入,以字节流的形式遍历所述报文;对所述报文的不同检测部位键值位置进行标识,形成若干个检测部位;对所述检测部位以字节流的形式进行检测,得出所述检测部位是否含攻击;
根据所述处理结果,对所述报文的性质作出判决。
2.根据权利要求1所述的报文检测方法,其特征在于,所述对所述检测部位以字节流的形式进行检测,得出所述检测部位是否含攻击的步骤包括:设置对所述检测部位感兴趣的检测参数列表;
若所述检测部位的参数与所述检测参数列表内的任一参数相对应,则对其进行检测,得出所述检测部位是否含攻击。
3.根据权利要求1所述的报文检测方法,其特征在于,所述对所述检测部位以字节流的形式进行检测,得出所述检测部位是否含攻击的步骤还包括:对通过字节流的形式处理形成的字符进行依次检测,若检测到某一预设字符中带有攻击,则判断所述检测部位含有攻击;
若直至检测到所述预设字符为止,未检测到带有攻击的字符,则判断所述检测部位不含攻击。
4.根据权利要求3所述的报文检测方法,其特征在于,所述对通过字节流的形式处理形成的字符进行依次检测,若检测到某一预设字符中带有攻击,则判断所述检测部位含有攻击的步骤还包括:若判断所述检测部位含攻击,则结束对所述报文的字节流的形式处理。
5.根据权利要求3所述的报文检测方法,其特征在于,所述若直至检测到所述预设字符为止,未检测到带有攻击的字符,则判断所述检测部位不含攻击的步骤还包括:若判断所述检测部位不含攻击,则所述检测部位中经过字节流的形式处理得到的剩余字符将不会进行检测,并对下一检测部位进行检测。
6.根据权利要求1所述的报文检测方法,其特征在于,所述根据所述处理结果,对所述报文的性质作出判决的步骤包括:若所述处理结果得出所述报文为攻击报文,则对所述报文进行阻断处理;
若所述处理结果得出所述报文为正常报文,则对所述报文进行放行处理。
7.一种报文检测系统,其特征在于,包括:接收模块、检测模块和判断模块所述接收模块,用于接收报文;
所述检测模块,用于以字节流的形式遍历所述报文,同时对所述报文执行解析解码计算和检测,得到处理结果;
其中,所述以字节流的形式遍历所述报文,同时对所述报文执行解析解码计算和检测,得到处理结果的步骤包括:以所述报文为输入,以字节流的形式遍历所述报文;对所述报文的不同检测部位键值位置进行标识,形成若干个检测部位;对所述检测部位以字节流的形式进行检测,得出所述检测部位是否含攻击;
所述判断模块,用于根据所述处理结果,对所述报文的性质作出判决。
8.一种计算机设备,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至
6中任一项所述的报文检测方法。
9.一种可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1至6中任一项所述的报文检测方法。
说明书 :
一种报文检测方法、系统、计算机设备及可读存储介质
技术领域
[0001] 本申请涉及计算机技术领域,特别是涉及一种报文检测方法、系统、计算机设备及可读存储介质。
背景技术
[0002] 现有的WEB应用防火墙接收到HTTP报文后,首先将报文解析成检测模块需要的键(检测部位名称)值(检测部位值)对,然后依次按照检测模块需求对各检测部位名称或检测部位值做一次或多次、一种或多种解码,最后将解析解码得到的结果传递给各检测模块做攻击检测。
[0003] 在传统的WEB应用防火墙系统中,同一个报文需要被遍历处理很多次,而且需要消耗内存来存储报文多次解析解码的中间变量。这种方式增加了很多不必要的资源消耗,在HTTP报文足够大的情况下,这种消耗被放大,导致WEB 应用防火墙系统的CPU和内存被耗尽,从而导致攻击者发送的攻击请求因性能问题绕过WEB应用防火墙的攻击检测,攻击报文被转发给后端服务器,产生有效攻击。
[0004] 目前针对相关技术中,在HTTP报文足够大的情况下,WEB应用防火墙系统的CPU和内存的消耗较大,导致WEB应用防火墙系统的CPU和内存被耗尽,从而导致攻击者发送的攻击请求因性能问题绕过WEB应用防火墙的攻击检测,攻击报文被转发给后端服务器,产生有效攻击,尚未提出有效的解决方案。
发明内容
[0005] 申请实施例提供了一种报文检测方法、系统、计算机设备及可读存储介质,以至少解决相关技术中在HTTP报文足够大的情况下,WEB应用防火墙系统的 CPU和内存的消耗较大,导致WEB应用防火墙系统的CPU和内存被耗尽,从而导致攻击者发送的攻击请求因性能问题绕过WEB应用防火墙的攻击检测,攻击报文被转发给后端服务器,产生有效攻击的问题。
[0006] 第一方面,本申请实施例提供了一种报文检测方法,包括:
[0007] 接收报文;
[0008] 以字节流的形式遍历所述报文,同时对所述报文执行解析解码计算和检测,得到处理结果;
[0009] 根据所述处理结果,对所述报文的性质作出判决。
[0010] 在其中一些实施例中,所述以字节流的形式遍历所述报文,同时对所述报文执行解析解码计算和检测,得到处理结果的步骤包括:
[0011] 以所述报文为输入,以字节流的形式遍历所述报文;
[0012] 对所述报文的不同检测部位键值位置进行标识,形成若干个检测部位;
[0013] 对所述检测部位以字节流的形式进行检测,得出所述检测部位是否含攻击。
[0014] 在其中一些实施例中,所述对所述检测部位以字节流的形式进行检测,得出所述检测部位是否含攻击的步骤包括:
[0015] 设置对所述检测部位感兴趣的检测参数列表;
[0016] 若所述检测部位的参数与所述检测参数列表内的任一参数相对应,则对其进行检测,得出所述检测部位是否含攻击。
[0017] 在其中一些实施例中,所述对所述检测部位以字节流的形式进行检测,得出所述检测部位是否含攻击的步骤还包括:
[0018] 对通过字节流的形式处理形成的字符进行依次检测,若检测到某一预设字符中带有攻击,则判断所述检测部位含有攻击;
[0019] 若直至检测到所述预设字符为止,未检测到带有攻击的字符,则判断所述检测部位不含攻击。
[0020] 在其中一些实施例中,所述对通过字节流的形式处理形成的字符进行依次检测,若检测到某一预设字符中带有攻击,则判断所述检测部位含有攻击的步骤还包括:
[0021] 若判断所述检测部位含攻击,则结束对所述报文的字节流的形式处理。
[0022] 在其中一些实施例中,所述若直至检测到所述预设字符为止,未检测到带有攻击的字符,则判断所述检测部位不含攻击的步骤还包括:
[0023] 若判断所述检测部位不含攻击,则所述检测部位中经过字节流的形式处理得到的剩余字符将不会进行检测,并对下一检测部位进行检测。
[0024] 在其中一些实施例中,所述根据所述处理结果,对所述报文的性质作出判决的步骤包括:
[0025] 若所述处理结果得出所述报文为攻击报文,则对所述报文进行阻断处理;
[0026] 若所述处理结果得出所述报文为正常报文,则对所述报文进行放行处理。
[0027] 第二方面,本申请实施例提供了一种报文检测系统,包括:接收模块、检测模块及判断模块;
[0028] 所述接收模块,用于接收报文。
[0029] 所述检测模块,用于以字节流的形式遍历所述报文,同时对所述报文执行解析解码计算和检测,得到处理结果;其中,检测模块包括:处理单元、筛分单元及检测单元。
[0030] 所述处理单元,用于以所述报文为输入,以所述字节流的形式遍历所述报文,对所述报文的不同检测部位键值位置进行标识,形成若干个检测部位。
[0031] 所述筛分单元,用于设置对所述检测部位感兴趣的检测参数列表。
[0032] 所述检测单元,用于对通过字节流的形式处理形成的字符进行依次检测,[0033] 若检测到某一预设字符中带有攻击,则判断所述检测部位含有攻击;
[0034] 若直至检测到所述预设字符为止,未检测到带有攻击的字符,则判断所述检测部位不含攻击;
[0035] 若判断所述检测部位不含攻击,则所述检测部位中经过字节流的形式处理得到的剩余字符将不会进行检测,并对下一检测部位进行检测;
[0036] 若判断所述检测部位含攻击,则结束对所述报文的字节流的形式处理。
[0037] 所述判断模块,用于根据所述处理结果,对所述报文的性质作出判决;其中,判断模块包括:第一执行单元、第二执行单元;
[0038] 所述第一执行单元,用于所述处理结果得出所述报文为攻击报文,则对所述报文进行阻断处理;
[0039] 所述第二执行单元,用于若所述处理结果得出所述报文为正常报文,则对所述报文进行放行处理。
[0040] 第三方面,本申请实施例提供了一种计算机设备,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如上述第一方面所述的报文检测方法。
[0041] 第四方面,本申请实施例提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如上述第一方面所述的报文检测方法。
[0042] 相比于相关技术,本申请实施例提供的报文检测方法,通过在解析解码处理报文的同时,进行攻击检测,通过设置对检测部位感兴趣的检测参数列表,即针对性检测报文的部分参数,且在检测出报文带有攻击时,停止进行检测,有效降低了处理报文时产生的资源消耗,解决了现有技术中需要先进行预处理,后执行攻击检测的方式,易导致WEB应用防火墙系统的CPU和内存被耗尽,从而导致攻击者发送的攻击请求因性能问题绕过WEB应用防火墙的攻击检测,攻击报文被转发给后端服务器,产生有效攻击的问题,实现了减少部分不必要的临时变量存储以降低部分内存占用,较少报文被遍历的次数以降低对系统CPU的使用,提高防护效率。
[0043] 本申请的一个或多个实施例的细节在以下附图和描述中提出,以使本申请的其他特征、目的和优点更加简明易懂。
附图说明
[0044] 此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
[0045] 图1是本申请第一实施例中报文检测方法的流程图;
[0046] 图2是本申请第二实施例中报文检测方法的流程图;
[0047] 图3是本申请第三实施例中报文检测系统的结构框图;
[0048] 图4是本申请第四实施例中计算机的硬件结构示意图。
具体实施方式
[0049] 为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行描述和说明。应当理解,此处所描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。基于本申请提供的实施例,本领域普通技术人员在没有作出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。
[0050] 显而易见地,下面描述中的附图仅仅是本申请的一些示例或实施例,对于本领域的普通技术人员而言,在不付出创造性劳动的前提下,还可以根据这些附图将本申请应用于其他类似情景。此外,还可以理解的是,虽然这种开发过程中所作出的努力可能是复杂并且冗长的,然而对于与本申请公开的内容相关的本领域的普通技术人员而言,在本申请揭露的技术内容的基础上进行的一些设计,制造或者生产等变更只是常规的技术手段,不应当理解为本申请公开的内容不充分。
[0051] 在本申请中提及“实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例,也不是与其它实施例互斥的独立的或备选的实施例。本领域普通技术人员显式地和隐式地理解的是,本申请所描述的实施例在不冲突的情况下,可以与其它实施例相结合。
[0052] 除非另作定义,本申请所涉及的技术术语或者科学术语应当为本申请所属技术领域内具有一般技能的人士所理解的通常意义。本申请所涉及的“一”、“一个”、“一种”、“该”等类似词语并不表示数量限制,可表示单数或复数。本申请所涉及的术语“包括”、“包含”、“具有”以及它们任何变形,意图在于覆盖不排他的包含;例如包含了一系列步骤或模块(单元)的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元,而是可以还包括没有列出的步骤或单元,或可以还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。本申请所涉及的“连接”、“相连”、“耦接”等类似的词语并非限定于物理的或者机械的连接,而是可以包括电气的连接,不管是直接的还是间接的。本申请所涉及的“多个”是指两个或两个以上。“和/或”描述关联对象的关联关系,表示可以存在三种关系,例如,“A和/或B”可以表示:单独存在A,同时存在 A和B,单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。本申请所涉及的术语“第一”、“第二”、“第三”等仅仅是区别类似的对象,不代表针对对象的特定排序。
[0053] 目前在现有技术中,在传统的WEB应用防火墙系统中,同一个报文需要被遍历处理很多次,而且需要消耗内存来存储报文多次解析解码的中间变量。这种方式增加了很多不必要的资源消耗,在HTTP报文足够大的情况下,这种消耗被放大,导致WEB应用防火墙系统的CPU和内存被耗尽,从而导致攻击者发送的攻击请求因性能问题绕过WEB应用防火墙的攻击检测,攻击报文被转发给后端服务器,产生有效攻击。为此本申请提供了一种报文检测方法,能减少部分不必要的临时变量存储以降低部分内存占用,较少报文被遍历的次数以降低对系统CPU的使用,提高防护效率。
[0054] 根据本发明实施例,提供了一种报文检测方法的实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行命令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
[0055] 具体来说,参见图1所示,本申请实施例提供了一种报文检测方法,上述报文检测方法包括:
[0056] 步骤S101:接收报文。在本步骤中,接收的报文为HTTP报文。
[0057] 步骤S102:以字节流的形式遍历所述报文,同时对所述报文执行解析解码计算和检测,得到处理结果。在本步骤中,通过以字节流的形式对报文进行预处理,同时进行检测,减少传统技术中不必要的临时变量存储以降低部分内存占用,以较少报文被遍历的次数以降低对系统CPU的使用消耗。
[0058] 步骤S103:根据所述处理结果,对所述报文的性质作出判决。
[0059] 上述步骤S101至步骤S103,通过在解析解码处理报文的同时,进行攻击检测,可以理解地,当检测得出报文带有攻击时,可停止进行检测,即若报文在较早便检测出含有攻击,则后续的部分报文不同进行检测,有效降低了处理报文时产生的资源消耗,解决了现有技术中需要先进行预处理,后执行攻击检测的方式,即将报文的全文遍历一遍甚至几遍,易导致WEB应用防火墙系统的 CPU和内存被耗尽,从而导致攻击者发送的攻击请求因性能问题绕过WEB应用防火墙的攻击检测,攻击报文被转发给后端服务器,产生有效攻击的问题,实现了减少部分不必要的临时变量存储以降低部分内存占用,较少报文被遍历的次数以降低对系统CPU的使用,提高防护效率。
[0060] 本申请的第二实施例提供了一种报文检测方法,参见图2所示,上述报文检测方法包括:
[0061] 步骤S201:接收报文。
[0062] 步骤S202:以所述报文为输入,以字节流的形式遍历所述报文。
[0063] 步骤S203:对所述报文的不同检测部位键值位置进行标识,形成若干个检测部位。
[0064] 步骤S204:设置对所述检测部位感兴趣的检测参数列表。
[0065] 在本实施例中,通过对报文的不同检测部位的键值位置进行标识,形成若干个检测部位,同时设置对检测部位感兴趣的检测参数列表,初步筛分出需要进行检测的检测部位,从而降低本报文检测系统的检测时产生的资源消耗,防止因报文数据较大,易导致WEB应用防火墙系统的CPU和内存被耗尽,从而导致攻击者发送的攻击请求因性能问题绕过WEB应用防火墙的攻击检测,攻击报文被转发给后端服务器,产生有效攻击的问题,此外,上述检测参数列表可包括可能带有攻击的字符等。
[0066] 步骤S205:若所述检测部位的参数与所述检测参数列表内的任一参数相对应,则对其进行检测,得出检测部位是否含攻击。
[0067] 在本步骤中,若无检测部位与检测参数列表内的参数相对应,则转至步骤 S209,判断出该报文为正常报文,对该报文进行放行处理。
[0068] 步骤S206:对通过字节流的形式处理形成的字符进行依次检测,若检测到某一预设字符中带有攻击,则判断所述检测部位含有攻击;
[0069] 若直至检测到所述预设字符为止,未检测到带有攻击的字符,则判断所述检测部位不含攻击。
[0070] 在本步骤中,上述预设字符为对以字节流的形式处理得到的字符进行陆续检测,直到可以得出该检测部位是否含有攻击的结果的一个字符,可以理解地,该字符为一个变量,为可得出结论时,经检测的最后一个字符。此外,若检测的字符足以判断出该检测部位含有攻击时,可转至步骤S208,判断出该报文为攻击报文,对该报文进行阻断处理;
[0071] 此外,若检测直至预设字符为止时,足以判断出该检测部位不含攻击时,则转至步骤S205,对满足与上述检测参数列表中的参数相对应的下一检测部位进行检测,若已不存在满足上述条件的检测部位,则转至步骤S209,判断出该报文为正常报文,并对该报文进行放行处理。
[0072] 步骤S207:若判断所述检测部位不含攻击,则所述检测部位中经过字节流的形式处理得到的剩余字符将不会进行检测,并对下一检测部位进行检测;
[0073] 若判断所述检测部位含攻击,则结束对报文的字节流的形式处理。
[0074] 具体来说,本实施例中,通过字节流的形式对报文进行处理,将报文解码解析成一个个字符,当检测到某一检测部位的键值与检测参数列表中的参数对应时,通过对该检测部位处理产生的字符进行检测,通过字节流处理形式产生一个个字符,并对其进行陆续传输进行检测,只要检测至预设字符为止,便可判定该检测部位中带有攻击时,即可结束该报文的字节流处理,即后续的报文无需进行处理,降低检测时产生的资源消耗,此外,当检测到预设字符为止,可判定该检测部位不带攻击时,则该检测部分的剩余字符,即预设字符后面未经处理的字符将不用进行检测,降低了检测时产生的资源消耗。
[0075] 步骤S208:若所述处理结果得出所述报文为攻击报文,则对所述报文进行阻断处理;
[0076] 步骤S209:若所述处理结果得出所述报文为正常报文,则对所述报文进行放行处理。
[0077] 在本实施例的一个应用场景中,当WEB应用防火墙在收到报文后,遍历报文进行解析解码计算,过程中标识报文位置以区别检测部位,当检测参数列表中存在对标识到的检测部位感兴趣时,则将检测部位值以字节流的形式传递给相关检测模块进行检测。当字节流传递到某个字节检测模块可以给出检测部位值是否含攻击的结论时,即停止向该检测模块传递字节流。若包含攻击则结束对请求的处理,拦截请求;否则继续下个检测部位的字节流传递。
[0078] 上述步骤S201至步骤S209,通过对报文的不同检测部位的键值位置进行标识,形成若干个检测部位,同时设置对检测部位感兴趣的检测参数列表,初步筛分出需要进行检测的检测部位,从而降低检测时产生的资源消耗,通过字节流的形式对报文进行处理,将报文解码解析成一个个字符,当检测到某一检测部位的键值与检测参数列表中的参数对应时,通过对该检测部位处理产生的字符进行检测,由于字节流处理形式为一个个字符的陆续传输,只要检测至某个字符为止,便可判定该检测部位中带有攻击时,即可结束该报文的字节流处理,且后续的报文无需进行处理,降低检测时系统内存占用和系统CPU的资源消耗,此外,当检测到某一字符为止,可判定该检测部位不带攻击时,则该检测部分的剩余字符将不用进行检测,进一步降低了检测时产生的资源消耗,防止因报文数据较大,易导致WEB应用防火墙系统的CPU和内存被耗尽,从而导致攻击者发送的攻击请求因性能问题绕过WEB应用防火墙的攻击检测,攻击报文被转发给后端服务器,产生有效攻击的问题。
[0079] 本申请的第三实施例还提供了一种报文检测系统,该系统用于实现上述第一实施例及第二实施例。如以下所使用的,术语“模块”、“单元”、“子单元”等可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
[0080] 具体来说,本实施例中的一种报文检测系统,如图3所示,包括接收模块 10、检测模块20和判断模块30。
[0081] 接收模块10,用于接收报文。
[0082] 检测模块20,用于以字节流的形式遍历所述报文,同时对所述报文执行解析解码计算和检测,得到处理结果。作为本申请的一较优实施例,在本实施例中的检测模块20具体包括:处理单元、筛分单元及检测单元。
[0083] 所述处理单元用于:以所述报文为输入,以字节流的形式遍历所述报文;
[0084] 对所述报文的不同检测部位键值位置进行标识,形成若干个检测部位。
[0085] 所述筛分单元用于:设置对所述检测部位感兴趣的检测参数列表。
[0086] 其中,若所述检测部位的参数与所述检测参数列表内的任一参数相对应,则对其进行检测,得出检测部位是否含攻击;可以理解地,通过本筛分单元的筛分处理,可降低报文所需处理的处理量,初步筛分出需要进行检测的检测部位,从而降低本报文检测系统的检测时产生的资源消耗,防止因报文数据较大,易导致WEB应用防火墙系统的CPU和内存被耗尽,从而导致攻击者发送的攻击请求因性能问题绕过WEB应用防火墙的攻击检测,攻击报文被转发给后端服务器,产生有效攻击的问题。
[0087] 所述检测单元用于:对通过字节流的形式处理形成的字符进行依次检测,若检测到某一预设字符中带有攻击,则判断所述检测部位含有攻击;
[0088] 若直至检测到所述预设字符为止,未检测到带有攻击的字符,则判断所述检测部位不含攻击;
[0089] 若判断所述检测部位不含攻击,则所述检测部位中经过字节流的形式处理得到的剩余字符将不会进行检测,并对下一检测部位进行检测;
[0090] 若判断所述检测部位含攻击,则结束对所述报文的字节流的形式处理。
[0091] 可以理解地,本检测单元通过字节流的形式对报文进行处理,在对报文进行字节流处理的同时进行攻击检测,当判断出检测部位带有攻击时,即停止字节流处理,当检测至足以判断该检测部位无攻击时,停止剩余字符的检测,进行下一检测部位的检测,较于现有技术中,先对报文进行解析解码处理完成后再进行检测,降低了其资源消耗,防止因报文数据较大,易导致WEB应用防火墙系统的CPU和内存被耗尽,从而导致攻击者发送的攻击请求因性能问题绕过 WEB应用防火墙的攻击检测,攻击报文被转发给后端服务器,产生有效攻击的问题。
[0092] 判断模块30,包括第一执行单元及第二执行单元,所述第一执行单元用于:所述处理结果得出所述报文为攻击报文,则对所述报文进行阻断处理;
[0093] 所述第二执行单元用于:若所述处理结果得出所述报文为正常报文,则对所述报文进行放行处理。
[0094] 需要说明的是,上述各个模块可以是功能模块也可以是程序模块,既可以通过软件来实现,也可以通过硬件来实现。对于通过硬件来实现的模块而言,上述各个模块可以位于同一处理器中;或者上述各个模块还可以按照任意组合的形式分别位于不同的处理器中。
[0095] 可以理解地,本实施例中的报文检测系统中提及的原理与本申请第二实施例中的报文检测方法相对应,未见描述的相关原理详见可对应参照第二实施例,在此不多赘述。
[0096] 此外,本实施例提供的报文检测系统可集成在基站、射频拉远单元(Radio Remote Unit,简称为RRU)或者其他任意需要进行射频收发的网元设备中。本文中的基站可以是接入网中在空中接口上通过一个或多个扇区与无线终端通信的设备。基站可用于将收到的空中帧与网际协议(Internet Protocol,简称为IP) 分组进行相互转换,作为无线终端与接入网的其余部分之间的路由器,其中接入网的其余部分可包括IP网络。基站还可协调对空中接口的属性管理。例如,基站可以是GSM或CDMA中的基站(Base Transceiver Station,简称为BTS),也可以是WCDMA中的基站(Node B),还可以是LTE中的演进型基站 (evolutional Node B,简称为eNB或e‑Node B),还可以是5G NR中的(generation Node B,简称为gNB),本申请并不限定。
[0097] 另外,结合图1描述的本申请第一实施例中的报文检测方法可以由计算机设备来实现。
[0098] 本申请的第四实施例提供了一种计算机,如图4所示,为本实施例中计算机的硬件结构示意图。
[0099] 该计算机可以包括处理器81以及存储有计算机程序命令的存储器82。
[0100] 具体地,上述处理器81可以包括中央处理器(CPU),或者特定集成电路 (Application Specific Integrated Circuit,简称为ASIC),或者可以被配置成实施本申请实施例的一个或多个集成电路。
[0101] 其中,存储器82可以包括用于数据或命令的大容量存储器。举例来说而非限制,存储器82可包括硬盘驱动器(Hard Disk Drive,简称为HDD)、软盘驱动器、固态驱动器(Solid State Drive,简称为SSD)、闪存、光盘、磁光盘、磁带或通用串行总线(Universal Serial Bus,简称为USB)驱动器或者两个或更多个以上这些的组合。在合适的情况下,存储器82可包括可移除或不可移除(或固定)的介质。在合适的情况下,存储器82可在数据处理装置的内部或外部。在特定实施例中,存储器82是非易失性(Non‑Volatile)存储器。在特定实施例中,存储器82包括只读存储器(Read‑Only Memory,简称为ROM)和随机存取存储器(Random Access Memory,简称为RAM)。在合适的情况下,该ROM 可以是掩模编程的ROM、可编程ROM(Programmable Read‑Only Memory,简称为PROM)、可擦除PROM(Erasable Programmable Read‑Only Memory,简称为EPROM)、电可擦除PROM(Electrically Erasable Programmable Read‑Only Memory,简称为EEPROM)、电可改写ROM(Electrically Alterable Read‑Only Memory,简称为EAROM)或闪存(FLASH)或者两个或更多个以上这些的组合。在合适的情况下,该RAM可以是静态随机存取存储器(Static Random‑Access Memory,简称为SRAM)或动态随机存取存储器(Dynamic Random Access Memory,简称为DRAM),其中,DRAM可以是快速页模式动态随机存取存储器(Fast Page Mode Dynamic Random Access Memory,简称为FPMDRAM)、扩展数据输出动态随机存取存储器(Extended Date Out Dynamic Random Access Memory,简称为EDODRAM)、同步动态随机存取内存(Synchronous Dynamic Random‑Access Memory,简称SDRAM)等。
[0102] 存储器82可以用来存储或者缓存需要处理和/或通信使用的各种数据文件,以及处理器81 所执行的可能的计算机程序命令。
[0103] 处理器81通过读取并执行存储器82中存储的计算机程序命令,以实现上述实施例中的任意一种报文检测方法。
[0104] 在其中一些实施例中,计算机还可包括通信接口83和总线80。其中,如图 4所示,处理器81、存储器82、通信接口83通过总线80连接并完成相互间的通信。
[0105] 通信接口83用于实现本申请实施例中各模块、装置、单元和/或设备之间的通信。通信接口83还可以实现与其他部件例如:外接设备、图像/数据采集设备、数据库、外部存储以及图像/数据处理工作站等之间进行数据通信。
[0106] 总线80包括硬件、软件或两者,将计算机设备的部件彼此耦接在一起。总线80包括但不限于以下至少之一:数据总线(Data Bus)、地址总线(Address Bus)、控制总线(Control Bus)、扩展总线(Expansion Bus)、局部总线(Local Bus)。举例来说而非限制,总线80可包括图形加速接口(Accelerated Graphics Port,简称为AGP)或其他图形总线、增强工业标准架构(Extended Industry Standard Architecture,简称为EISA)总线、前端总线(Front Side Bus,简称为FSB)、超传输(Hyper Transport,简称为HT)互连、工业标准架构(Industry Standard Architecture,简称为ISA)总线、无线带宽(InfiniBand)互连、低引脚数(Low Pin Count,简称为LPC)总线、存储器总线、微信道架构(Micro Channel Architecture,简称为MCA)总线、外围组件互连(Peripheral Component Interconnect,简称为PCI)总线、PCI‑Express(PCI‑X)总线、串行高级技术附件(Serial Advanced Technology Attachment,简称为SATA)总线、视频电子标准协会局部(Video Electronics Standards Association Local Bus,简称为VLB)总线或其他合适的总线或者两个或更多个以上这些的组合。在合适的情况下,总线80可包括一个或多个总线。尽管本申请实施例描述和示出了特定的总线,但本申请考虑任何合适的总线或互连。
[0107] 另外,结合上述实施例中的报文检测方法,本申请的第五实施例提供了一种可读存储介质。该可读存储介质上存储有计算机程序命令;该计算机程序命令被处理器执行时实现上述实施例中的任意一种报文检测方法。
[0108] 以上所述实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
[0109] 以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。