本公開提供一種攻擊報文的處理方法、裝置、設備和介質，所述方法包括：獲取網卡接收的至少一段流量報文，每段所述流量報文包含頭部信息和負載；檢測確定所述至少一段流量報文為多段的攻擊報文時，提取所述攻擊報文的頭部信息存入數據庫；根據所述頭部信息得到關聯值，所述關聯值用于作為所述攻擊報文的標識；依次結合所述關聯值和每段所述攻擊報文的負載為負載包，將所述負載包存入所述數據庫中所述頭部信息對應的位置；轉發所述頭部信息和所述負載包到分析中心，所述分析中心用于分析所述攻擊報文。本公開使用數據量更小的關聯值代替頭部信息進行重復傳輸，提高了網絡傳輸帶寬的有效利用率。

技術領域

本公開涉及網絡安全技術領域，尤其涉及一種攻擊報文的處理方法、裝置、設備和介質。

背景技術

隨著大數據時代的到來，網絡安全態勢感知成了抵御未知威脅的有效武器，探針作為大數據的數據來源更是網絡安全中重要的一環。探針可以根據網絡流量進行數據包的捕獲、過濾和分析，找到網絡流量中具有攻擊特征的攻擊報文發送給大數據平臺進行安全威脅分析。但是作為實時展示數據信息的技術，探針與大數據分析平臺之間的數據傳輸性能是個令人頭疼的問題。

現有技術中，針對攻擊報文，按照一般的MTU(Maximum Transmission Unit，最大傳輸單元)值將攻擊報文分段，每段報文必須帶有頭部信息，便于大數據分析中心接收之后對報文進行關聯和重組。在攻擊報文很大的情況下，會將攻擊報文拆分為多段，然后傳輸，拆分后多段的報文帶有過多過長的重復的頭部信息，不利于傳輸性能。

發明內容

有鑒于此，本公開提供一種攻擊報文的處理方法、裝置、設備和介質，以提高攻擊報文的傳輸效率。

具體地，本公開是通過如下技術方案實現的：

第一方面，提供一種攻擊報文的處理方法，所述方法包括：

獲取網卡接收的至少一段流量報文，每段所述流量報文包含頭部信息和負載；

檢測確定所述至少一段流量報文為多段的攻擊報文時，提取所述攻擊報文的頭部信息存入數據庫；

根據所述頭部信息得到關聯值，所述關聯值用于作為所述攻擊報文的標識；

依次結合所述關聯值和每段所述攻擊報文的負載為負載包，將所述負載包存入所述數據庫中所述頭部信息對應的位置；

轉發所述數據庫中所述頭部信息和所述負載包到分析中心，所述分析中心用于分析所述攻擊報文。

第二方面，一種攻擊報文的處理裝置，所述裝置包括：

接收模塊，用于獲取網卡接收的至少一段流量報文，每段所述流量報文包含頭部信息和負載；

檢測模塊，用于檢測確定所述至少一段流量報文為多段的攻擊報文時，提取所述攻擊報文的頭部信息存入數據庫；

關聯模塊，用于根據所述頭部信息得到關聯值，所述關聯值用于作為所述攻擊報文的標識；

結合模塊，用于依次結合所述關聯值和每段所述攻擊報文的負載為負載包，將所述負載包存入所述數據庫中所述頭部信息對應的位置；

轉發模塊，用于轉發所述數據庫中所述頭部信息和所述負載包到分析中心，所述分析中心用于分析所述攻擊報文。

第三方面，提供一種電子設備，所述設備包括存儲器、處理器，所述存儲器用于存儲可在處理器上運行的計算機指令，所述處理器用于在執行所述計算機指令時實現本公開任一實施例所述的方法。

第四方面，提供一種計算機可讀存儲介質，其上存儲有計算機程序，所述程序被處理器執行時實現本公開任一實施例所述的方法。