[发明专利]一种报文过滤方法及装置

说明书

本申请实施例提供了一种报文过滤方法及装置，涉及通信技术领域。该方法包括：可以获取接收到的待检测报文的特征信息，及网络设备中接收待检测报文的入接口的标识，待检测报文的特征信息包括待检测报文的源互联网协议IP地址；查询预设黑名单中是否存在包含接收待检测报文的入接口的标识、待检测报文的特征信息的过滤表项；若预设黑名单中不存在包含接收待检测报文的入接口的标识、待检测报文的特征信息的过滤表项，则按照预设的安全检测规则检测待检测报文是否为攻击报文；根据检测结果，对待检测报文进行处理。采用本申请可以避免因合法终端的IP地址被攻击终端仿冒，而造成合法终端无法无法访问网络的问题。

技术领域

本申请涉及通信技术领域，特别是涉及一种报文过滤方法及装置。

背景技术

为了提高通信网络的安全性，通信网络中的网络设备通常需要对用户终端发送的报文进行过滤，以防止通信网络受到攻击报文的攻击。

目前，网络设备通常依据预先设置的包含IP(Internet Protocol，互联网协议)地址的黑名单，对接收到的报文进行过滤。网络设备在接收到用户终端发送的报文后，判断该报文的源IP地址是否属于黑名单中IP地址。若属于，则网络设备丢弃该报文。其中，黑名单中的IP地址为攻击终端的IP地址，可以由用户手动添加，也可以由网络设备动态添加。网络设备动态添加的过程可以为：网络设备按照预设的安全检测规则，检测接收到的报文是否为攻击报文，若接收到的报文为攻击报文，则将接收到的报文的源IP地址添加到黑名单中。

然而，在攻击终端仿冒合法终端的IP地址，向网络设备发送攻击报文的情况下，网络设备会将该攻击终端发送的攻击报文的源IP地址(即合法终端的IP地址)添加到黑名单中。这样，合法终端向网络设备发送的报文，将会被网络设备丢弃，导致合法终端无法访问网络。

发明内容

本申请实施例的目的在于提供一种报文过滤方法及装置，可以避免因合法终端的IP地址被攻击终端仿冒，而造成合法终端无法无法访问网络的问题。具体技术方案如下：

第一方面，提供了一种报文过滤方法，所述方法应用于网络设备，所述方法包括：

获取接收到的待检测报文的特征信息，及所述网络设备中接收所述待检测报文的入接口的标识，所述待检测报文的特征信息包括所述待检测报文的源互联网协议IP地址；

查询预设黑名单中是否存在包含接收所述待检测报文的入接口的标识、所述待检测报文的特征信息的过滤表项，所述预设黑名单包括记录有攻击报文的特征信息、接收所述攻击报文的入接口的标识的过滤表项；

若所述预设黑名单中不存在包含接收所述待检测报文的入接口的标识、所述待检测报文的特征信息的过滤表项，则按照预设的安全检测规则检测所述待检测报文是否为攻击报文；

根据检测结果，对所述待检测报文进行处理。

可选的，所述方法还包括：

若所述预设黑名单中存在包含接收所述待检测报文的入接口的标识、所述待检测报文的特征信息的过滤表项，则丢弃所述待检测报文。

可选的，所述待检测报文的特征信息还包括虚拟局域网VLAN标识；

所述网络设备中接收所述待检测报文的入接口的标识包括入接口名称和/或入接口媒体访问控制MAC地址。

可选的，所述根据检测结果，对所述待检测报文进行处理，包括：

若检测结果是所述待检测报文为攻击报文，则将接收所述待检测报文的入接口的标识和所述待检测报文的特征信息作为一条过滤表项的信息记录至所述预设黑名单中；

若检测结果是所述待检测报文不为攻击报文，则放行所述待检测报文。

可选的，所述方法还包括：