本申請提供一種報文過濾規則的處理方法及裝置，應用于網絡設備中，所述方法包括：根據設定時段內接收到的預定格式的至少一個攻擊日志更新攻擊源IP地址信譽庫；確定攻擊源IP地址信譽庫中的各個攻擊源IP地址的信譽度是否大于設定信譽閾值；若確定攻擊源IP地址信譽庫中的第一攻擊源IP地址的信譽度大于設定信譽閾值，則確定報文過濾規則庫中是否保存第一攻擊源IP地址對應的報文過濾規則；若確定報文過濾規則庫中未保存第一攻擊源IP地址對應的報文過濾規則，則根據第一攻擊源IP地址對應的攻擊日志生成報文過濾規則；將生成的報文過濾規則添加到報文過濾規則庫中。應用本申請的實施例，可以大大提高報文過濾規則的處理效率。

技術領域

本申請涉及網絡通信技術領域，特別設計一種報文過濾規則的處理方法和裝置。

背景技術

隨著網絡技術的飛速發展，網絡攻擊呈增長趨勢，網絡運營商面臨的安全和運營挑戰也不斷增多，網絡運營商必須在攻擊威脅影響關鍵業務和應用之前對攻擊報文進行阻斷。

互聯網協議(Internet Protocol，IP)地址是一種在互聯網(Internet)上給主機編址的方式，網絡中的各個主機通過IP地址才能互相通信，由此可見，IP地址具有一定的唯一性。因此，針對網絡攻擊有效的防護措施就是過濾觸發過攻擊事件的IP地址的報文。報文過濾規則可以根據報文的五元組信息構成，即源IP地址、目的IP地址、源端口號、目的端口號和協議。網絡設備通過報文過濾規則來過濾網絡中的報文。

目前，報文過濾規則的處理方法是，在出現攻擊事件后，技術人員通過分析網絡設備的攻擊日志，手動配置針對攻擊源IP地址的報文過濾規則來防護攻擊，以確保網絡正常穩定的運行以及業務的正常開展。上述報文過濾規則的處理方法，采用人工方式分析攻擊日志、配置報文過濾規則，這就導致報文過濾規則的處理效率非常低。

發明內容

有鑒于此，本申請提供一種報文過濾規則的處理方法和裝置，以解決采用人工方式分析攻擊日志、配置報文過濾規則，導致的報文過濾規則的處理效率非常低的問題。

具體地，本申請是通過如下技術方案實現的：

一種報文過濾規則的處理方法，應用于網絡設備中，所述方法包括：

根據設定時段內接收到的預定格式的至少一個攻擊日志更新攻擊源互聯網協議IP地址信譽庫；

確定所述攻擊源IP地址信譽庫中的各個攻擊源IP地址的信譽度是否大于設定信譽閾值；

若確定所述攻擊源IP地址信譽庫中的第一攻擊源IP地址的信譽度大于所述設定信譽閾值，則確定報文過濾規則庫中是否保存所述第一攻擊源IP地址對應的報文過濾規則；

若確定所述報文過濾規則庫中未保存所述第一攻擊源IP地址對應的報文過濾規則，則根據所述第一攻擊源IP地址對應的攻擊日志生成報文過濾規則；

將生成的報文過濾規則添加到所述報文過濾規則庫中。

一種報文過濾規則的處理裝置，應用于網絡設備中，所述裝置包括：

更新模塊，用于根據設定時段內接收到的預定格式的至少一個攻擊日志更新攻擊源互聯網協議IP地址信譽庫；

第一確定模塊，用于確定所述攻擊源IP地址信譽庫中的各個攻擊源IP地址的信譽度是否大于設定信譽閾值；

第二確定模塊，用于若確定所述攻擊源IP地址信譽庫中的第一攻擊源IP地址的信譽度大于所述設定信譽閾值，則確定報文過濾規則庫中是否保存所述第一攻擊源IP地址對應的報文過濾規則；

生成模塊，用于若確定所述報文過濾規則庫中未保存所述第一攻擊源IP地址對應的報文過濾規則，則根據所述第一攻擊源IP地址對應的攻擊日志生成報文過濾規則；

添加模塊，用于將生成的報文過濾規則添加到所述報文過濾規則庫中。