(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN106130962A(43)申请公布日2016.11.16(21)申请号201610415729.4(22)申请日2016.06.13(71)申请人浙江宇视科技有限公司地址310051浙江省杭州市滨江区西兴街道江陵路88号10幢南座1-11层(72)发明人周迪赵晖(74)专利代理机构北京博思佳知识产权代理有限公司11415代理人陈蕾(51)Int.Cl.H04L29/06(2006.01)H04N7/18(2006.01)权利要求书2页说明书10页附图2页(54)发明名称一种报文处理方法和装置(57)摘要本发明提供一种报文处理方法和装置，该方法包括：接收来自管理服务器的合法报文特征，并将所述合法报文特征组成合法特征集合；所述合法报文特征是所述管理服务器基于点播流量信息获取的；在接收到报文之后，从所述报文中解析出报文特征，并查询所述合法特征集合中是否存在所述报文特征；如果存在所述报文特征，则转发所述报文；如果不存在所述报文特征，则利用预先配置的第一黑名单分析所述报文是否为非法报文；如果是，则丢弃所述报文，如果否，则转发所述报文。通过本发明的技术方案，安全设备不需要对接收到的所有报文进行分析，避免造成安全设备的性能瓶颈，从而解决大流量下的报文分析过滤安全防御问题，并满足大流量视频监控环境的应用。CN106130962ACN106130962A权利要求书1/2页1.一种报文处理方法，应用在安全设备上，其特征在于，所述方法包括：接收来自管理服务器的合法报文特征，并将所述合法报文特征组成合法特征集合；所述合法报文特征是所述管理服务器基于点播流量信息获取的；在接收到报文之后，从所述报文中解析出报文特征，并查询所述合法特征集合中是否存在所述报文特征；如果存在所述报文特征，则转发所述报文；如果不存在所述报文特征，则利用预先配置的第一黑名单分析所述报文是否为非法报文；如果是，则丢弃所述报文，如果否，则转发所述报文。2.根据权利要求1所述的方法，其特征在于，所述方法还包括：在所述安全设备的注册过程中，向所述管理服务器发送注册请求报文，并接收来自所述管理服务器的注册响应报文，所述注册响应报文中携带有所述第一黑名单；或者，接收来自所述管理服务器的配置下发报文，所述配置下发报文中携带有所述第一黑名单；其中，所述第一黑名单包括需要拒绝访问的端口；所述利用预先配置的第一黑名单分析所述报文是否为非法报文的过程，具体包括：分析所述报文是否访问所述第一黑名单中的端口；如果是，则分析出所述报文是非法报文，如果否，则分析出所述报文不是非法报文。3.根据权利要求1所述的方法，其特征在于，所述从报文中解析出报文特征，并查询所述合法特征集合中是否存在所述报文特征之前，所述方法还包括：从所述报文中解析出源IP地址，并查询预先配置的第二黑名单中是否存在所述源IP地址；如果存在，则丢弃所述报文；如果不存在，则执行从所述报文中解析出报文特征，并查询所述合法特征集合中是否存在所述报文特征的过程。4.根据权利要求3所述的方法，其特征在于，所述利用预先配置的第一黑名单分析所述报文是否为非法报文之后，所述方法进一步包括：如果所述报文是非法报文，将所述报文的源IP地址对应的非法访问次数加1，并判断所述非法访问次数是否达到预设阈值；如果是，则将所述源IP地址添加到所述第二黑名单中，并通过所述第二黑名单丢弃所述源IP地址对应的报文。5.根据权利要求1-4任一项所述的方法，其特征在于，所述报文特征具体包括：源IP地址、源端口、目的IP地址、目的端口、协议类型；所述安全设备用于对与本安全设备连接的被保护设备提供保护。6.一种报文处理装置，应用在安全设备上，其特征在于，所述装置包括：记录模块，用于接收来自管理服务器的合法报文特征，并将所述合法报文特征组成合法特征集合；其中，所述合法报文特征是所述管理服务器基于点播流量信息获取的；处理模块，用于在接收到报文之后，从所述报文中解析出报文特征，并查询所述合法特征集合中是否存在所述报文特征；如果存在所述报文特征，则转发所述报文；如果不存在所述报文特征，则利用预先配置的第一黑名单分析所述报文是否为非法报文；如果是，则丢弃所述报文，如果否，则转发所述报文。7.根据权利要求6所述的装置，其特征在于，还包括：通信模块，用于在注册过程中，向所述管理服务器发送注册请求报文，并接收来自所述管理服务器的注册响应报文，所述注册响应报文中携带有所述第一黑名单；或者，接收来自所述管理服务器的配置下发报文，所述配置下发报文中携带有所述第一黑名单；其中，所述2CN106130962A权利要求书2/2页第一黑名单包括需要拒绝访问的端口；所述处理模块，具体用于在利用预先配置的第一黑名单分析所述报文是否为非法报文