[发明专利]报文处理方法及装置

权利要求书

1.一种报文处理方法，其特征在于，应用于第一设备，包括：

接收第一协议报文；

确定所述第一协议报文的报文特征与第一攻击特征之间的偏差度，所述第一攻击特征为根据多个第二协议报文中的攻击报文的报文特征确定，所述攻击报文为根据所述多个第二协议报文的聚类结果而确定，所述多个第二协议报文为发生报文攻击时接收到的报文；

过滤所述偏差度小于或等于第一偏差阈值的所述第一协议报文，或者，发送所述偏差度大于所述第一偏差阈值的所述第一协议报文。

2.根据权利要求1所述的报文处理方法，其特征在于，所述第一攻击特征包括多种报文特征，所述偏差度为所述第一协议报文中的所述多种报文特征的取值，与所述第一攻击特征中的所述多种报文特征的取值间的偏差的加权和。

3.根据权利要求2所述的报文处理方法，其特征在于，所述偏差度满足如下条件：

Delta＝|x₁-X₁|*W₁+|x₂-X₂|*W₂+……+|x_N-X_N|*W_N；

其中，Delta为所述偏差度，x_i为所述第一协议报文中的第i种报文特征的取值，X_i为所述第一攻击特征中的第i种报文特征的取值，W_i为第i种报文特征的权重，i为正整数且i≤N。

4.根据权利要求3所述的报文处理方法，其特征在于，W_i为第i个偏差的位移位数。

5.根据权利要求3所述的报文处理方法，其特征在于，X_i为所述攻击报文中的第i种报文特征的取值的如下一种或多种：平均值、方差、标准差、最大值或最小值。

6.根据权利要求1-5中任一项所述的报文处理方法，其特征在于，

所述第一偏差阈值为所述攻击报文的报文特征与所述第一攻击特征的最大偏差度。

7.根据权利要求1-6中任一项所述的报文处理方法，其特征在于，

所述攻击报文中每种报文特征的取值的离散度小于或等于离散度阈值。

8.根据权利要求2-5中任一项所述的报文处理方法，其特征在于，所述多种报文特征包括如下一种或多种：协议版本号、报文长度、生存时间TTL、源地址、目的地址、源端口、或目的端口。

9.根据权利要求8所述的报文处理方法，其特征在于，所述第一攻击特征还包括达到时间间隔的如下一种或多种：均值、方差或标准差，所述达到时间间隔为所述攻击报文中相邻的每两个攻击报文的达到时间间隔。

10.根据权利要求1-9中任一项所述的报文处理方法，其特征在于，所述方法还包括：

向第二设备发送所述第一攻击特征和所述第一偏差阈值。

11.根据权利要求1-10中任一项所述的报文处理方法，其特征在于，所述方法还包括：

若所述偏差度小于或等于第一偏差阈值，根据所述第一攻击特征和所述第一协议报文的报文特征，确定第二攻击特征；

将所述第一协议报文的报文特征或所述攻击报文的报文特征，与所述第二攻击特征的最大偏差度，确定为第二偏差阈值。