[发明专利]一种安全防护方法、装置及存储介质

权利要求书

1.一种安全防护方法，其特征在于，包括：

接收至少一个边界网关协议BGP报文；

解析出所述BGP报文的标识字段，其中，所述标识字段包括第一类标识字段和第二类标识字段，其中，所述第一类标识字段表征所述BGP报文的转发路径，所述第二类标识字段为发出所述BGP报文的路由器标识信息的字段；

基于所述标识字段及路由器中携带的匹配规则，确定出所述BGP报文是否为非法报文；

若在预定时间范围内接收到同一个源IP地址的一种类型的BGP报文数量超过设置的阈值，确定所述预定 时间范围内接收所述源IP地址的所有所述BGP报文均为疑难报文，其中，所述设置的阈值基于所述BGP报文的类型确定，所述疑难报文为：根据所述匹配规则无法确定为合法报文或非法报文的报文；

若所述BGP报文为非法报文，对所述BGP报文进行安全防护处理。

2.根据权利要求1所述的方法，其特征在于，所述基于所述标识字段及路由器中携带的匹配规则，确定出所述BGP报文是否为非法报文，包括：

若所述标识字段，与所述匹配规则包括的匹配字段全部匹配成功，确定出所述BGP报文为非法报文；

或者，

若所述标识字段，与所述匹配规则中包括的匹配字段中至少一个所述匹配字段匹配失败，确定出所述BGP报文为合法报文。

3.根据权利要求1或2所述的方法，其特征在于，所述第一类标识字段，至少包括AS路径字段；

所述第一类标识字段，还包括以下至少之一：

自治系统AS号字段、下一跳字段、报文长度字段、网络层可达性消息NLRI字段及保持时间字段。

4.根据权利要求1或2所述的方法，其特征在于，所述第二类标识字段，包括以下至少之一：

源互联网协议IP地址字段、目的IP地址字段、源端口字段、目的端口字段、控制报文协议ICMP代码类型字段及传输控制协议TCP标志位字段。

5.根据权利要求1所述的方法，其特征在于，所述方法还包括：

输出所述疑难报文的警告信息。

6.根据权利要求1所述的方法，其特征在于，所述方法还包括：

基于所述疑难报文的所述源IP地址，更新所述路由器中的所述匹配规则。

7.根据权利要求1所述的方法，其特征在于，所述若在预定时间范围内接收到同一个源IP地址的一种类型的BGP报文超过设置的阈值，确定所述预定 时间范围内接收所述源IP地址的所有所述BGP报文均为所述疑难报文，包括：

若确定在预定时间间隔内接收的同一个源IP地址的BGP打开消息报文、BGP更新消息报文及BGP报错消息报文的其中之一的数量超过设置的阈值，确定所述预定时间范围内的接收的所述BGP打开消息报文、所述BGP更新消息报文及所述BGP报错消息报文均为所述疑难报文。

8.一种安全防护装置，其特征在于，包括：

接收模块，用于接收至少一个边界网关协议BGP报文；

解析模块，用于解析出所述BGP报文的标识字段，其中，所述标识字段包括第一类标识字段和第二类标识字段，其中，所述第一类标识字段表征所述BGP报文的转发路径，所述第二类标识字段为发出所述BGP报文的路由器标识信息的字段；

确定模块，用于基于所述标识字段及路由器中携带的匹配规则，确定出所述BGP报文是否为非法报文；

处理模块，用于若在预定时间范围内接收到同一个源IP地址的一种类型的BGP报文数量超过设置的阈值，确定所述预定 时间范围内接收所述源IP地址的所有所述BGP报文均为疑难报文，其中，所述设置的阈值基于所述BGP报文的类型确定，所述疑难报文为：根据所述匹配规则无法确定为合法报文或非法报文的报文；

所述处理模块，还用于若所述BGP报文为非法报文，对所述BGP报文进行安全防护处理。

9.一种计算机存储介质，其特征在于，所述计算机存储介质存储有计算机可执行指令；所述计算机可执行指令被处理器执行后，能够实现权利要求1至7任一项所述的安全防护方法。