WO2017071511A1

WO2017071511A1 - 防攻击数据传输方法及装置

Info

Publication number: WO2017071511A1
Application number: PCT/CN2016/102646
Authority: WO
Inventors: 屠一凡; 张钊; 朱家睿
Original assignee: 阿里巴巴集团控股有限公司
Priority date: 2015-10-29
Filing date: 2016-10-20
Publication date: 2017-05-04
Also published as: US20180248910A1; US11252184B2; CN106656914A

Abstract

本发明公开了一种防攻击数据传输方法及装置。其中，该方法包括：获取待传输的通信协议报文；对通信协议报文中位于报文头部的信息位上的数据进行防攻击预处理，生成处理信息；将处理信息保存在通信协议报文在报文头部中的扩展位上，得到转换后的通信协议报文，其中，通信协议报文的报文头部包括信息位和扩展位；发送转换后的通信协议报文至接收设备。本发明解决了由于采用现有的防攻击方式所导致的误伤正常传输的数据流量的技术问题。

Description

防攻击数据传输方法及装置

本申请要求2015年10月29日递交的申请号为201510719829.1、发明名称为“防攻击数据传输方法及装置”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本发明涉及计算机领域，具体而言，涉及一种防攻击数据传输方法及装置。

背景技术

目前，在现有技术中，常见的通信攻击方式包括以下两种：

1、SYN攻击，攻击原理如下：SYN攻击属于DOS攻击的一种，它利用TCP协议缺陷，通过发送大量的半连接请求，耗费CPU和内存资源。SYN攻击除了能影响主机外，还可以危害路由器、防火墙等网络***，事实上SYN攻击并不管目标是什么***，只要这些***打开TCP服务就可以实施。服务器接收到连接请求(syn＝j)，将此信息加入未连接队列，并发送请求包给客户(syn＝k,ack＝j+1)，此时进入SYN_RECV状态。当服务器未收到客户端的确认包时，重发请求包，一直到超时，才将此条目从未连接队列删除。配合IP欺骗，SYN攻击能达到很好的效果，通常，客户端在短时间内伪造大量不存在的IP地址，向服务器不断地发送syn包，服务器回复确认包，并等待客户的确认，由于源地址是不存在的，服务器需要不断的重发直至超时，这些伪造的SYN包将长时间占用未连接队列，正常的SYN请求被丢弃，目标***运行缓慢，严重者引起网络堵塞甚至***瘫痪。

2、ACK攻击，攻击原理如下：在TCP连接建立之后，所有的数据传输TCP报文都是带有ACK标志位的，主机在接收到一个带有ACK标志位的数据包的时候，需要检查该数据包所表示的连接四元组是否存在，如果存在则检查该数据包所表示的状态是否合法，然后再向应用层传递该数据包。如果在检查中发现该数据包不合法，例如该数据包所指向的目的端口在本机并未开放，则主机操作***协议栈会回应RST包告诉对方此端口不存在。通常状态检测防火墙所做的事情与此类似，只不过防火墙只拦截非法的数据包，而不主动回应。

对比主机以及防火墙在接收到ACK报文和SYN报文时所做动作的复杂程度，显然ACK报文带来的负载要小得多。所以在实际环境中，只有当攻击程序每秒钟发送ACK 报文的速率达到一定的程度，才能使主机和防火墙的负载有大的变化。当发包速率很大的时候，主机操作***将耗费大量的精力接收报文、判断状态，同时要主动回应RST报文，正常的数据包就可能无法得到及时的处理。这时候客户端(以IE为例)的表现就是访问页面反应很慢，丢包率较高。但是状态检测的防火墙通过判断ACK报文的状态是否合法，借助其强大的硬件能力可以较为有效的过滤攻击报文。当然如果攻击流量非常大，由于需要维护很大的连接状态表同时要检查数量巨大的ACK报文的状态，防火墙也会不堪重负导致全网瘫痪。

为了解决上述问题，目前常用的处理方式是：宽带流量清洗。通过宽带流量清洗的方式，以减轻来自于攻击流量对网络和服务器造成的压力。其中，宽带流量清洗解决方案主要分为三个步骤：第一步，利用专用的检测设备对用户业务流量进行分析监控。第二步，当服务器遭受到攻击时，检测设备上报给专用的业务管理平台生成清洗任务，将用户流量牵引到流量清洗中心；第三步，流量清洗中心对牵引过来的用户流量进行清洗，并将清洗后的用户合法流量回注到服务器。

但是在现有的清洗方案中，由于通讯协议各有不同，均采用流量清洗的方式来御防攻击，则很有可能会造成误伤，即将正常的数据流量当成攻击流量进行过滤。针对上述的问题，目前尚未提出有效的解决方案。

发明内容

根据本发明实施例的一个方面，提供了一种防攻击数据传输方法，包括：获取待传输的通信协议报文；对上述通信协议报文中位于报文头部的信息位上的数据进行防攻击预处理，生成处理信息；将上述处理信息保存在上述通信协议报文在上述报文头部中的扩展位上，得到转换后的通信协议报文，其中，上述通信协议报文的上述报文头部包括上述信息位和上述扩展位；发送上述转换后的通信协议报文至接收设备

可选地，对上述通信协议报文中位于报文头部的信息位上的数据进行防攻击预处理包括以下至少之一：调整上述信息位上的数据的顺序；或者对上述信息位上的数据进行整体或局部的压缩，并填充字符到压缩后的空闲位置；或者对上述信息位上的数据进行整体或局部的加密；或者对上述信息位上的数据进行整体或局部的签名。

可选地，在对上述通信协议报文中位于报文头部的信息位上的数据进行防攻击预处理之前，还包括：将上述通信协议报文中位于上述报文头部的部分字节设置为上述扩展位。

可选地，将上述通信协议报文中位于报文头部的部分字节设置为扩展位包括：将上述报文头部中的序列号和/或确认号中的部分字节设置为上述扩展位。

可选地，在发送上述转换后的通信协议报文至接收设备之前，还包括：判断当前上述通信协议报文的数据流量是否大于预定阈值；若上述数据流量大于上述预定阈值，则在到达上述接收设备之前的传输链路中配置网关型网络设备，以使上述网关型网络设备代理上述接收设备将上述转换后的通信协议报文转发给第三方设备处理。

可选地，对上述通信协议报文中位于报文头部的信息位上的数据进行防攻击预处理的装置包括以下至少之一：网卡驱动、虚拟网卡或本地网关。

根据本发明实施例的另一方面，还提供了一种防攻击数据传输方法，包括：接收经防攻击预处理后得到的转换后的通信协议报文；根据上述转换后的通信协议报文中位于报文头部的扩展位所指示的上述防攻击预处理的处理信息解析上述转换后的通信协议报文；获取上述转换后的通信协议报文中位于上述报文头部的信息位上的数据，其中，上述通信协议报文的上述报文头部包括上述信息位和上述扩展位。

可选地，根据上述转换后的通信协议报文中位于报文头部的扩展位所指示的上述防攻击预处理的处理信息解析上述转换后的通信协议报文的装置包括以下至少之一：网卡驱动、虚拟网卡或本地网关。

根据本发明实施例的又一方面，还提供了一种防攻击数据传输装置，位于发送设备中，上述装置包括：获取单元，用于获取待传输的通信协议报文；防攻击预处理单元，用于对上述通信协议报文中位于报文头部的信息位上的数据进行防攻击预处理，生成处理信息；保存单元，用于将上述处理信息保存在上述通信协议报文在上述报文头部中的扩展位上，得到转换后的通信协议报文，其中，上述通信协议报文的上述报文头部包括上述信息位和上述扩展位；发送单元，用于发送上述转换后的通信协议报文至接收设备。

可选地，上述防攻击预处理单元包括以下至少之一：调整模块，用于调整上述信息位上的数据的顺序；或者压缩模块，用于对上述信息位上的数据进行整体或局部的压缩，并填充字符到压缩后的空闲位置；或者加密模块，用于对上述信息位上的数据进行整体或局部的加密；或者签名模块，用于对上述信息位上的数据进行整体或局部的签名。

可选地，上述装置还包括：设置单元，用于在对上述通信协议报文中位于报文头部的信息位上的数据进行防攻击预处理之前，将上述通信协议报文中位于上述报文头部的部分字节设置为上述扩展位。

可选地，上述设置单元包括：设置模块，用于将上述报文头部中的序列号和/或确认号中的部分字节设置为上述扩展位。

可选地，上述装置还包括：判断单元，用于在发送上述转换后的通信协议报文至接收设备之前判断当前上述通信协议报文的数据流量是否大于预定阈值；配置单元，用于在上述数据流量大于上述预定阈值时，在到达上述接收设备之前的传输链路中配置网关型网络设备，以使上述网关型网络设备代理上述接收设备将上述转换后的通信协议报文转发给第三方设备处理。

可选地，上述防攻击预处理单元包括以下至少之一：网卡驱动、虚拟网卡或本地网关。

根据本发明实施例的又一方面，还提供了一种防攻击数据传输装置，位于接收设备中，上述装置包括：接收单元，用于接收经防攻击预处理后得到的转换后的通信协议报文；解析单元，用于根据上述转换后的通信协议报文中位于报文头部的扩展位所指示的上述防攻击预处理的处理信息解析上述转换后的通信协议报文；获取单元，用于获取上述转换后的通信协议报文中位于上述报文头部的信息位上的数据，其中，上述通信协议报文的上述报文头部包括上述信息位和上述扩展位。

可选地，上述解析单元包括以下至少之一：网卡驱动、虚拟网卡或本地网关。

在本发明实施例中，通过在发送设备上直接对待传输的通信协议报文信息位上的数据进行防攻击预处理，并将防攻击预处理的处理信息存储在原有的通信协议报文中新设置的扩展位上，进一步，将转换后的通信协议报文发送至接收设备。也就是说，发送设备通过向接收设备发送对报文头部的信息位上的数据进行过防攻击预处理的通信协议报文，以实现将正常数据流量与异常数据流量进行区分，便于接收设备获取通过正确解析得到的通信协议报文，并过滤掉无法正确解析的异常报文，从而在不影响正常通信的情况下，达到准确御防通信过程中出现的攻击行为的目的，进而避免现有的防攻击方式所导致的误伤正常传输的数据流量的问题。

进一步，在本实施例中，仅对报文头部中的信息位上的数据进行防攻击预处理，以实现对传输链路的透明化，避免转换后的通信协议报文被破译，进一步提高数据传输过程中的安全性。

附图说明

此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：

图1是根据本申请实施例的一种可选的防攻击的数据传输方法的流程图；

图2是根据本申请实施例的一种可可选的防攻击的数据传输方法的应用场景示意图；

图3是根据本申请实施例的一种可选的防攻击的数据传输方法的示意图；

图4是根据本申请实施例的另一种可选的防攻击的数据传输方法的示意图；

图5是根据本申请实施例的又一种可选的防攻击的数据传输方法的示意图；

图6是根据本申请实施例的又一种可选的防攻击的数据传输方法的示意图；

图7是根据本申请实施例的又一种可选的防攻击的数据传输方法的流程图；

图8是根据本申请实施例的一种可选的防攻击的数据传输装置的示意图；以及

图9是根据本申请实施例的另一种可选的防攻击的数据传输装置的示意图。

具体实施方式

为了使本技术领域的人员更好地理解本发明方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分的实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本申请保护的范围。

需要说明的是，本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、***、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。

实施例1

根据本申请实施例，提供了一种防攻击数据传输方法的实施例，需要说明的是，在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机***中执行，并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。

图1是根据本申请实施例的防攻击数据传输方法，如图1所示，该方法包括如下步骤：

S102，获取待传输的通信协议报文；

S104，对通信协议报文中位于报文头部的信息位上的数据进行防攻击预处理，生成处理信息；

S106，将处理信息保存在通信协议报文在报文头部中的扩展位上，得到转换后的通信协议报文，其中，通信协议报文的报文头部包括信息位和扩展位；

S108，发送转换后的通信协议报文至接收设备。

可选地，在本实施例中，上述防攻击数据传输方法可以但不限于应用于如图2所示的应用环境中，作为发送设备的终端202按照预定的通信协议通过网络204与作为接收设备的服务器206进行通信，其中，上述网络可以包括但不限于：局域网、城域网或广域网，上述终端可以包括但不限于手机、PC机、笔记本或平板电脑。上述仅是一种示例，本实施例对此不做任何限定。

需要说明的是，上述发送设备可以但不限于网络中可以采集数据的采集设备，例如，路由器，可以通过NET FLOW协议采集待传输的通信协议报文。

具体而言，作为发送设备的终端202在获取待传输的通信协议报文后，将对通信协议报文中位于报文头部的信息位上的数据进行防攻击预处理，并生成对应的处理信息，将上述处理信息保存在通信协议报文在报文头部中的扩展位上，以得到转换后的通信协议报文，进一步，将转换后的通信协议报文发送至作为接收设备的服务器206。

需要说明的是，在本申请实施例中，通过在发送设备上直接对待传输的通信协议报文信息位上的数据进行防攻击预处理，并将防攻击预处理的处理信息存储在原有的通信协议报文中新设置的扩展位上，其中，上述防攻击预处理的操作为发送设备和接收设备双方约定对报文头部信息位上的数据执行的操作，来达到御防通信过程中出现的攻击行为的目的。也就是说，发送设备对数据进行与接收设备约定的防攻击预处理后，接收设备可以直接按照约定解析，若可以解析出数据，即为正常的数据流量，若无法正常解析，则可以判定为异常数据流量，则可以直接通过丢弃来来御防该异常数据流量对应的攻击行为。进而实现在发送设备按照通信协议与接收设备进行通信的过程中，在不影响正常通信的情况下，提高数据传输的安全性与准确性，避免现有的防攻击方式所导致的误伤正常传输的数据流量的问题。

可选地，在本实施例中，上述通信协议报文可以但不限于传输控制协议(TCP，Transmission Control Protocol)，其中，TCP协议报文的数据格式可以如下：

TCP协议报文的数据格式：

由上述内容可知，TCP协议报文中的前20个字节是固定的，后面有4N字节是根据需要而增加的选项。其中，头部长度、URG、ACK、RST、SYN、FIN、窗口尺寸、TCP校验和与紧急指针均是TCP协议报文中包含重要信息的信息位。

在本实施例中，不同于现有技术中对整个TCP协议报文进行防攻击保护，而是采用对报文头部的信息位上的数据进行防攻击预处理保护，从而便于接收设备在接收到该TCP协议报文时，可以不通过宽带流量清洗的方式对所有的数据流量进行清洗过滤，以避免将正常数据流量当作异常数据流量被误杀的问题。使接收设备通过判断是否可以按照约定的方式解析对应信息位上的数据，来实现直接过滤攻击端伪造的通信协议报文，进一步提高在数据传输过程中，御防攻击行为的准确性。其中，转换后的通信协议报文的报文格式如下：

转换后的通信协议报文的报文格式：

可选地，在本实施例中，上述通信协议报文中的扩展位可以但不限于在原有的通信协议报文中新增的扩展位，也就是说，在不增加报文长度的情况下，将部分位置设置为用于存放防攻击预处理的处理信息的扩展位。从而实现在不增加报文负载开销的情况下，保证数据传输的安全性。

可选地，在本实施例中，上述防攻击预处理可以包括但不限于以下至少一种操作：

1)调整信息位上的数据的顺序；或者

2)对信息位上的数据进行整体或局部的压缩，并填充字符到压缩后的空闲位置；或者

3)对信息位上的数据进行整体或局部的加密；或者

4)对信息位上的数据进行整体或局部的签名。

需要说明的是，上述信息位的整体用于指所有信息位上的数据，信息位的局部用于指部分信息位中的数据。此外，上述填充字符可以但不限于无实际意义的字符，也可以但不限于作为其他信息的扩展位。本实施例中对此不作任何限定。

可选地，在本实施例中，在发送转换后的通信协议报文至接收设备之前，还包括：S1，部署网络设备。也就是说，根据实际传输的数据流量布局网络中的网络设备。

可选地，在本实施例中，当数据流量大于预定阈值，则在发送设备与接收设备之间设置网关型网络设备，以便于该网络设备将部分数据流量转发到第三方接收设备，以避免原有的接收设备出现过载，从而达到减轻设备负载，避免接收设备由于过载出现***崩溃的问题。

可选地，在本实施例中，当数据流量小于等于预定阈值，则可以直接通过在发送侧设置以下至少一种装置来执行对待传输的通信协议报文的防攻击预处理：网卡驱动、虚拟网卡或本地网关。

通过本申请提供的实施例，通过在发送设备上直接对待传输的通信协议报文信息位上的数据进行防攻击预处理，并将防攻击预处理的处理信息存储在原有的通信协议报文中新设置的扩展位上，进一步，将转换后的通信协议报文发送至接收设备。也就是说，发送设备通过向接收设备发送对报文头部的信息位上的数据进行过防攻击预处理的通信协议报文，以实现将正常数据流量与异常数据流量进行区分，便于接收设备获取通过正确解析得到的通信协议报文，并过滤掉无法正确解析的异常报文，从而在不影响正常通信的情况下，达到准确御防通信过程中出现的攻击行为的目的，进而避免现有的防攻击方式所导致的误伤正常传输的数据流量的问题。进一步，在本实施例中，仅对报文头部中的信息位上的数据进行防攻击预处理，而并没有针对全部通信协议报文中的数据，以实现对传输链路的透明化，避免转换后的通信协议报文被破译，进一步提高数据传输过程中的安全性。

作为一种可选的方案，对通信协议报文中位于报文头部的信息位上的数据进行防攻击预处理包括以下至少之一：

1)调整信息位上的数据的顺序；或者

具体结合以下示例进行说明，TCP协议报文中位于报文头部的信息位包括头部长度、URG、ACK、RST、SYN、FIN、窗口尺寸、TCP校验和与紧急指针。在本实施例中，在对上述信息位上的数据进行防攻击预处理时，可以对数据的顺序进行相应调整，以保证在TCP协议报文正常的封装、传输的过程中，达到对TCP协议报文进行防攻击预处理的目的。

例如，转换后的TCP协议报文的数据格式可以如下：

由上述内容可知，本示例中，通过调整URG、RST和SYN的顺序，改变其在通信协议报文中公知的位置关系，从而实现针对第三方设备的防护，避免第三方设备产生的攻击。

具体结合以下示例进行说明，TCP协议报文中位于报文头部的信息位包括头部长度、URG、ACK、RST、SYN、FIN、窗口尺寸、TCP校验和与紧急指针。在本实施例中，在对上述信息位上的数据进行防攻击预处理时，可以对信息位上的数据进行整体或局部的压缩，以保证在TCP协议报文正常的封装、传输的过程中，达到对TCP协议报文进行防攻击预处理的目的。

例如，转换后的TCP协议报文的数据格式可以如下：

由上述内容可知，本示例中，通过对TCP校验和进行局部压缩，例如，由16位压缩到10位，并将压缩后的空闲位置填充一定字符，以改变TCP校验和在通信协议报文中公知的位置关系，从而实现针对第三方设备的防护，避免第三方设备产生的攻击。

可选地，在本实施例中，还可以对上述信息位中的数据按比例进行整体压缩，压缩方式同上述局部压缩，本实施例在此不再赘述。

3)对信息位上的数据进行整体或局部的加密；或者

可选地，在本实施例中，可以对信息位上的全部数据进行整体加密，也可以仅对信息位中部分预定位置上的数据进行局部加密，本示例对加密的方式不做任何限定。

4)对信息位上的数据进行整体或局部的签名。

可选地，在本实施例中，上述签名是指：只有信息的发送者才能产生的别人无法伪造的一段数字串，这段数字串同时也是对信息的发送者发送信息真实性的一个有效证明。

可选地，在本实施例中，可以对信息位上的全部数据进行整体签名认证，也可以仅对信息位中部分预定位置上的数据进行局部签名认证，本示例对签名的方式不做任何限定。

通过本申请提供的实施例，通过上述至少一种方式对通信协议报文中位于报文头部的信息位上的数据进行防攻击预处理的操作，通过对报文头部的数据进行预处理，进一步提高了待传输的通信协议报文的安全性，从而避免第三方设备在破译上述预处理的操作后发起攻击；进一步，还可以使接收设备按照与预处理的操作对应的方式解析接收到的转换后的通讯协议报文，正确识别出正常数据流量和异常数据流量，克服现有技术中出现的误差问题。

作为一种可选的方案，在对通信协议报文中位于报文头部的信息位上的数据进行防攻击预处理之前，还包括：

S1，将通信协议报文中位于报文头部的部分字节设置为扩展位。

可选地，在本实施例中，将通信协议报文中位于报文头部的部分字节设置为扩展位包括：S12，将报文头部中的序列号和/或确认号中的部分字节设置为扩展位。

可选地，在本实施例中，基于TCP协议报文实施上述防攻击数据传输方法，考虑到IP转发的特性和TCP协议的特点，本实施例中通过在TCP协议报文的报文头部将原有的部分字段设置为扩展位，以实现不增加报文负载开销的情况下(即不增加报文长度)，实现对待传输的TCP协议报文的预处理，以保证TCP协议在传输过程中的兼容性和一致性。

需要说明的是，在TCP协议报文，序列号和确认号都是32Bit的。这两个序号的作用是标识上一次传输的报文的长度。考虑现有网络传输环境，在以太网情况下，单个报文最大长度是8192字节(Jumbo帧长度)。而32Bit可以表示2^32＝4G字节，因此这部分数据是有可利用余地的。例如，将其中28Bit作为序列号，各保留4Bit用作扩展位，那么就可以将这8Bit用于标识上述预处理的处理信息。利用这部分扩展位，对报文头部的信息位上的数据进行签名、TCP头部重组、模糊、加密等至少一种预处理的操作，并将转换后的TCP通信协议报文发送至接收设备。

通过本申请提供的实施例，通过在原有的通信协议报文中设置扩展位，以实现利用扩展位记录对报文头部的信息位上的数据进行的预处理的操作，以便于接收设备按照约定正确解析出对应的数据，从而实现对正常数据流量和异常数据流量的准确区分，克服现有技术中存在的误伤正常传输的数据流量的问题。

作为一种可选的方案，在发送转换后的通信协议报文至接收设备之前，还包括：

S1，判断当前通信协议报文的数据流量是否大于预定阈值；

S2，若数据流量大于预定阈值，则在到达接收设备之前的传输链路中配置网关型网络设备，以使网关型网络设备代理接收设备将转换后的通信协议报文转发给第三方设备处理。

可选地，在本实施例中，当数据流量大于预定阈值，则在发送设备与接收设备之间设置网关型网络设备，以便于该网络设备将部分数据流量转发到第三方接收设备，以避免原有的接收设备出现过载，从而达到减轻设备负载，避免接收设备由于过载出现***崩溃的问题。其中，上述预定阈值可以但不限于根据接收设备的处理负荷确定。

具体结合以下示例进行说明，以TCP协议报文为例，如图3所示，在终端202向服务器206发送TCP协议报文之前，作为发送设备的终端202可以根据当前的网络流量判断作为接收设备的服务器206是否可以正常处理。例如，假设预定阈值为100M，当前数据流量为120M，则作为发送设备的终端202在比较后判断出数据流量大于预定阈值，则将在网络中部署网关型网络设备302，以使网关型网络设备302将多出的20M数据流量转发至第三方设备，以避免接收设备由于过载出现***崩溃的问题。

通过本申请提供的实施例，通过预先比较当前通信协议报文的数据流量与预定阈值的大小关系，以便于判断是否在传输链路中设置网关型网络设备，从而实现在防攻击的过程中，避免接收设备由于过载出现***崩溃的问题。

作为一种可选的方案，对通信协议报文中位于报文头部的信息位上的数据进行防攻击预处理的装置包括以下至少之一：网卡驱动、虚拟网卡或本地网关。

具体结合以下示例进行说明：

作为一种可选的实施方式，如图4所示，以TCP协议报文为例，在作为发送设备的终端上设有TCP客户端402，在作为接收设备的服务器上设有TCP服务端404。在本实施例中，在TCP客户端设置网卡驱动406-1，作为防攻击装置，以实现对上述防攻击传输方法中的预处理的操作；在TCP服务端设置网卡驱动406-2，作为防攻击检测装置.以实现对上述防攻击传输方法中的解析操作。

需要说明的是，在本实施例中，TCP客户端还是正常的使用物理网卡通信。只是网卡驱动会检测通信的目的地，如果发现是和外部TCP协议防攻击检测装置通信，就会将数据报文按照事先设定好的格式进行处理，反之则原样发送给目的地。

作为另一种可选的实施方式，如图5所示，以TCP协议报文为例，在作为发送设备的终端上设有TCP客户端402，在作为接收设备的服务器上设有TCP服务端404。在本实施例中，在TCP客户端设置虚拟网卡502-1，作为防攻击装置，以实现对上述防攻击传输方法中的预处理的操作；在TCP服务端设置虚拟网卡502-2，作为防攻击检测装置.以实现对上述防攻击传输方法中的解析操作。

需要说明的是，在本实施例中，这种类型比较像一个链接隧道。TCP客户端只要往指定网卡发送数据即可。在具体操作上不感知物理链路变化，所有和外部TCP协议防攻击检测装置的通信由虚拟网卡代理。

作为又一种可选的实施方式，如图6所示，以TCP协议报文为例，在作为发送设备的终端上设有TCP客户端，在作为接收设备的服务器上设有TCP服务端。在本实施例中，在TCP客户端设置本地网关602-1，作为防攻击装置，以实现对上述防攻击传输方法中的预处理的操作；在TCP服务端设置本地网关602-2，作为防攻击检测装置.以实现对上述防攻击传输方法中的解析操作。

需要说明的是，在本实施例中，这种场景下TCP客户端只需要和本地网关建立通信关系即可。由本地网关负责和外部TCP协议防攻击检测装置通信即可。

通过本申请提供的实施例，通过不同的装置实现上述防攻击数据传输，以实现防攻击控制的多样化。

实施例2

图7是根据本申请实施例的防攻击数据传输方法，如图7所示，该方法包括如下步骤：

S702，接收经防攻击预处理后得到的转换后的通信协议报文；

S704，根据转换后的通信协议报文中位于报文头部的扩展位所指示的防攻击预处理的处理信息解析转换后的通信协议报文；

S706，获取转换后的通信协议报文中位于报文头部的信息位上的数据，其中，通信协议报文的报文头部包括信息位和扩展位。

需要说明的是，上述接收设备也可以但不限于为路由器。通过在路由器中安装预定程序实现对接收到的转换后的通信协议报文中位于报文头部的扩展位所指示的防攻击预处理的处理信息进行解析，以得到转换后的通信协议报文。

具体而言，作为接收设备的服务器206接收经防攻击预处理后得到的转换后的通信协议报文；进一步，根据转换后的通信协议报文中位于报文头部的扩展位所指示的防攻击预处理的处理信息解析转换后的通信协议报文，以获取转换后的通信协议报文中位于报文头部的信息位上的数据，其中，通信协议报文的报文头部包括信息位和扩展位。

需要说明的是，在本申请实施例中，通过在发送设备上直接对待传输的通信协议报文信息位上的数据进行防攻击预处理，并将防攻击预处理的处理信息存储在原有的通信协议报文中新设置的扩展位上，以使接收设备可以按照双方约定解析并获取报文头部信息位上的数据，若可以正确解析出数据，即为正常的数据流量，若无法正确解析，则可以判定为异常数据流量，则可以直接通过丢弃来来御防该异常数据流量对应的攻击行为。进而实现在发送设备按照通信协议与接收设备进行通信的过程中，在不影响正常通信的情况下，提高数据传输的安全性与准确性，避免现有的防攻击方式所导致的误伤正常传输的数据流量的问题。

TCP协议报文的数据格式：

转换后的通信协议报文的报文格式：

1)调整信息位上的数据的顺序；或者

3)对信息位上的数据进行整体或局部的加密；或者

4)对信息位上的数据进行整体或局部的签名。

可选地，在本实施例中，当数据流量大于预定阈值，则在发送设备与接收设备之间设置网关型网络设备，以便于该网络设备将部分数据流量转发到第三方接收设备，以避免原有的接收设备出现过载，从而达到减轻设备负载，避免接收设备由于过载出现*** 崩溃的问题。

通过本申请提供的实施例，作为接收设备的服务器206接收经防攻击预处理后得到的转换后的通信协议报文；进一步，根据转换后的通信协议报文中位于报文头部的扩展位所指示的防攻击预处理的处理信息解析转换后的通信协议报文，以获取转换后的通信协议报文中位于报文头部的信息位上的数据，其中，通信协议报文的报文头部包括信息位和扩展位。也就是说，接收设备通过对接收到的通信协议报文的报文头部的信息位上的数据进行解析，并对正确解析出的正常数据流量进行处理，过滤掉异常数据流量，以实现将正常数据流量与异常数据流量进行区分，便于接收设备获取通过正确解析得到的通信协议报文，并过滤掉无法正确解析的异常报文，从而在不影响正常通信的情况下，达到准确御防通信过程中出现的攻击行为的目的，进而避免现有的防攻击方式所导致的误伤正常传输的数据流量的问题。

作为一种可选的方案，根据转换后的通信协议报文中位于报文头部的扩展位所指示的防攻击预处理的处理信息解析转换后的通信协议报文的装置包括以下至少之一：网卡驱动、虚拟网卡或本地网关。

具体结合以下示例进行说明：

作为另一种可选的实施方式，如图5所示，以TCP协议报文为例，在作为发送设备的终端上设有TCP客户端402，在作为接收设备的服务器上设有TCP服务端404。在本实施例中，在TCP客户端设置虚拟网卡502-1，作为防攻击装置，以实现对上述防攻击传输方法中的预处理的操作；在TCP服务端设置虚拟网卡502-2，作为防攻击检测装置. 以实现对上述防攻击传输方法中的解析操作。

实施例3

根据本申请实施例，提供了一种防攻击数据传输装置的实施例，该装置位于发送设备中，如图8所示，该装置包括：

1)获取单元802，用于获取待传输的通信协议报文；

2)防攻击预处理单元804，用于对通信协议报文中位于报文头部的信息位上的数据进行防攻击预处理，生成处理信息；

3)保存单元806，用于将处理信息保存在通信协议报文在报文头部中的扩展位上，得到转换后的通信协议报文，其中，通信协议报文的报文头部包括信息位和扩展位；

4)发送单元808，用于发送转换后的通信协议报文至接收设备。

可选地，在本实施例中，上述防攻击数据传输装置可以但不限于应用于如图2所示的应用环境中，作为发送设备的终端202按照预定的通信协议通过网络204与作为接收设备的服务器206进行通信，其中，上述网络可以包括但不限于：局域网、城域网或广域网，上述终端可以包括但不限于手机、PC机、笔记本或平板电脑。上述仅是一种示例，本实施例对此不做任何限定。

TCP协议报文的数据格式：

在本实施例中，不同于现有技术中对整个TCP协议报文进行防攻击保护，而是采用对报文头部的信息位上的数据进行防攻击预处理保护，从而便于接收设备在接收到该 TCP协议报文时，可以不通过宽带流量清洗的方式对所有的数据流量进行清洗过滤，以避免将正常数据流量当作异常数据流量被误杀的问题。使接收设备通过判断是否可以按照约定的方式解析对应信息位上的数据，来实现直接过滤攻击端伪造的通信协议报文，进一步提高在数据传输过程中，御防攻击行为的准确性。其中，转换后的通信协议报文的报文格式如下：

转换后的通信协议报文的报文格式：

1)调整信息位上的数据的顺序；或者

3)对信息位上的数据进行整体或局部的加密；或者

4)对信息位上的数据进行整体或局部的签名。

作为一种可选的方案，防攻击预处理单元804包括以下至少之一：

1)调整模块，用于调整信息位上的数据的顺序；或者

例如，转换后的TCP协议报文的数据格式可以如下：

2)压缩模块，用于对信息位上的数据进行整体或局部的压缩，并填充字符到压缩后的空闲位置；或者

例如，转换后的TCP协议报文的数据格式可以如下：

3)加密模块，用于对信息位上的数据进行整体或局部的加密；或者

4)签名模块，用于对信息位上的数据进行整体或局部的签名。

作为一种可选的方案，上述装置还包括：

1)设置单元，用于在对通信协议报文中位于报文头部的信息位上的数据进行防攻击预处理之前，将通信协议报文中位于报文头部的部分字节设置为扩展位。

可选地，在本实施例中，设置单元包括：

1)设置模块，用于将报文头部中的序列号和/或确认号中的部分字节设置为扩展位。

可选地，在本实施例中，基于TCP协议报文实施上述防攻击数据传输装置，考虑到IP转发的特性和TCP协议的特点，本实施例中通过在TCP协议报文的报文头部将原有的部分字段设置为扩展位，以实现不增加报文负载开销的情况下(即不增加报文长度)，实现对待传输的TCP协议报文的预处理，以保证TCP协议在传输过程中的兼容性和一致性。

作为一种可选的方案，上述装置还包括：

1)判断单元，用于在发送转换后的通信协议报文至接收设备之前判断当前通信协议报文的数据流量是否大于预定阈值；

2)配置单元，用于在数据流量大于预定阈值时，在到达接收设备之前的传输链路中配置网关型网络设备，以使网关型网络设备代理接收设备将转换后的通信协议报文转发给第三方设备处理。

作为一种可选的方案，防攻击预处理单元包括以下至少之一：网卡驱动、虚拟网卡或本地网关。

具体结合以下示例进行说明：

作为一种可选的实施方式，如图4所示，以TCP协议报文为例，在作为发送设备的终端上设有TCP客户端402，在作为接收设备的服务器上设有TCP服务端404。在本实施例中，在TCP客户端设置网卡驱动406-1，作为防攻击装置，以实现对上述防攻击传输装置中的预处理的操作；在TCP服务端设置网卡驱动406-2，作为防攻击检测装置.以实现对上述防攻击传输装置中的解析操作。

作为另一种可选的实施方式，如图5所示，以TCP协议报文为例，在作为发送设备的终端上设有TCP客户端402，在作为接收设备的服务器上设有TCP服务端404。在本实施例中，在TCP客户端设置虚拟网卡502-1，作为防攻击装置，以实现对上述防攻击传输装置中的预处理的操作；在TCP服务端设置虚拟网卡502-2，作为防攻击检测装置.以实现对上述防攻击传输装置中的解析操作。

作为又一种可选的实施方式，如图6所示，以TCP协议报文为例，在作为发送设备的终端上设有TCP客户端，在作为接收设备的服务器上设有TCP服务端。在本实施例中，在TCP客户端设置本地网关602-1，作为防攻击装置，以实现对上述防攻击传输装置中的预处理的操作；在TCP服务端设置本地网关602-2，作为防攻击检测装置.以实现对上述防攻击传输装置中的解析操作。

实施例4

根据本申请实施例，提供了一种防攻击数据传输装置的实施例，该装置位于接收设备中，如图9所示，该装置包括：

1)接收单元902，用于接收经防攻击预处理后得到的转换后的通信协议报文；

2)解析单元904，用于根据转换后的通信协议报文中位于报文头部的扩展位所指示的防攻击预处理的处理信息解析转换后的通信协议报文；

3)获取单元906，用于获取转换后的通信协议报文中位于报文头部的信息位上的数据，其中，通信协议报文的报文头部包括信息位和扩展位。

TCP协议报文的数据格式：

转换后的通信协议报文的报文格式：

1)调整信息位上的数据的顺序；或者

3)对信息位上的数据进行整体或局部的加密；或者

4)对信息位上的数据进行整体或局部的签名。

作为一种可选的方案，解析单元904包括以下至少之一：网卡驱动、虚拟网卡或本地网关。

具体结合以下示例进行说明：

实施例5

本申请的实施例可以提供一种计算机终端，该计算机终端可以是计算机终端群中的任意一个计算机终端设备。可选地，在本实施例中，上述计算机终端也可以替换为移动终端等终端设备。

可选地，在本实施例中，上述计算机终端可以位于计算机网络的多个网络设备中的至少一个网络设备。

在本实施例中，上述计算机终端可以执行应用程序的漏洞检测方法中以下步骤的程序代码：

S1，获取待传输的通信协议报文；

S2，对通信协议报文中位于报文头部的信息位上的数据进行防攻击预处理，生成处理信息；

S3，将处理信息保存在通信协议报文在报文头部中的扩展位上，得到转换后的通信协议报文，其中，通信协议报文的报文头部包括信息位和扩展位；

S4，发送转换后的通信协议报文至接收设备。

本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令终端设备相关的硬件来完成，该程序可以存储于一计算机可读存储介质中，存储介质可以包括：闪存盘、只读存储器(Read-Only Memory，ROM)、随机存取器(Random Access Memory，RAM)、磁盘或光盘等。

实施例6

本申请的实施例可以提供一种计算机服务器，该计算机服务器可以是计算机服务器群中的任意一个计算机服务器设备。

可选地，在本实施例中，上述计算机服务器可以位于计算机网络的多个网络设备中的至少一个网络设备。

S1，接收经防攻击预处理后得到的转换后的通信协议报文；

S2，根据转换后的通信协议报文中位于报文头部的扩展位所指示的防攻击预处理的处理信息解析转换后的通信协议报文；

S3，获取转换后的通信协议报文中位于报文头部的信息位上的数据，其中，通信协议报文的报文头部包括信息位和扩展位。

实施例7

本申请的实施例还提供了一种存储介质。可选地，在本实施例中，上述存储介质可以用于保存上述实施例一所提供的防攻击数据传输方法所执行的程序代码。

可选地，在本实施例中，存储介质被设置为存储用于执行以下步骤的程序代码：

S1，获取待传输的通信协议报文；

S2，将处理信息保存在通信协议报文在报文头部中的扩展位上，得到转换后的通信协议报文，其中，通信协议报文的报文头部包括信息位和扩展位；

S4，发送转换后的通信协议报文至接收设备。

可选地，在本实施例中，上述存储介质可以包括但不限于：U盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。

可选地，本实施例中的具体示例可以参考上述实施例1和实施例2中所描述的示例，本实施例在此不再赘述。

实施例8

S1，接收经防攻击预处理后得到的转换后的通信协议报文；

上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。

在本发明的上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述的部分，可以参见其他实施例的相关描述。

在本申请所提供的几个实施例中，应该理解到，所揭露的技术内容，可通过其它的方式实现。其中，以上所描述的装置实施例仅仅是示意性的，例如所述单元的划分，可以为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个***，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，单元或模块的间接耦合或通信连接，可以是电性或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。

Claims

一种防攻击数据传输方法，其特征在于，包括：

获取待传输的通信协议报文；

对所述通信协议报文中位于报文头部的信息位上的数据进行防攻击预处理，生成处理信息；

将所述处理信息保存在所述通信协议报文在所述报文头部中的扩展位上，得到转换后的通信协议报文，其中，所述通信协议报文的所述报文头部包括所述信息位和所述扩展位；

发送所述转换后的通信协议报文至接收设备。
根据权利要求1所述的方法，其特征在于，对所述通信协议报文中位于报文头部的信息位上的数据进行防攻击预处理包括以下至少之一：

调整所述信息位上的数据的顺序；或者

对所述信息位上的数据进行整体或局部的压缩，并填充字符到压缩后的空闲位置；或者

对所述信息位上的数据进行整体或局部的加密；或者

对所述信息位上的数据进行整体或局部的签名。
根据权利要求1所述的方法，其特征在于，在对所述通信协议报文中位于报文头部的信息位上的数据进行防攻击预处理之前，还包括：

将所述通信协议报文中位于所述报文头部的部分字节设置为所述扩展位。
根据权利要求3所述的方法，其特征在于，将所述通信协议报文中位于报文头部的部分字节设置为扩展位包括：

将所述报文头部中的序列号和/或确认号中的部分字节设置为所述扩展位。
根据权利要求1所述的方法，其特征在于，在发送所述转换后的通信协议报文至接收设备之前，还包括：

判断当前所述通信协议报文的数据流量是否大于预定阈值；

若所述数据流量大于所述预定阈值，则在到达所述接收设备之前的传输链路中配置网关型网络设备，以使所述网关型网络设备代理所述接收设备将所述转换后的通信协议报文转发给第三方设备处理。
根据权利要求1所述的方法，其特征在于，对所述通信协议报文中位于报文头部的信息位上的数据进行防攻击预处理的装置包括以下至少之一：网卡驱动、虚拟网卡或本地网关。
一种防攻击数据传输方法，其特征在于，包括：

接收经防攻击预处理后得到的转换后的通信协议报文；

根据所述转换后的通信协议报文中位于报文头部的扩展位所指示的所述防攻击预处理的处理信息解析所述转换后的通信协议报文；

获取所述转换后的通信协议报文中位于所述报文头部的信息位上的数据，其中，所述通信协议报文的所述报文头部包括所述信息位和所述扩展位。
根据权利要求7所述的方法，其特征在于，根据所述转换后的通信协议报文中位于报文头部的扩展位所指示的所述防攻击预处理的处理信息解析所述转换后的通信协议报文的装置包括以下至少之一：网卡驱动、虚拟网卡或本地网关。
一种防攻击数据传输装置，其特征在于，位于发送设备中，所述装置包括：

获取单元，用于获取待传输的通信协议报文；

防攻击预处理单元，用于对所述通信协议报文中位于报文头部的信息位上的数据进行防攻击预处理，生成处理信息；

保存单元，用于将所述处理信息保存在所述通信协议报文在所述报文头部中的扩展位上，得到转换后的通信协议报文，其中，所述通信协议报文的所述报文头部包括所述信息位和所述扩展位；

发送单元，用于发送所述转换后的通信协议报文至接收设备。
根据权利要求9所述的装置，其特征在于，所述防攻击预处理单元包括以下至少之一：

调整模块，用于调整所述信息位上的数据的顺序；或者

压缩模块，用于对所述信息位上的数据进行整体或局部的压缩，并填充字符到压缩后的空闲位置；或者

加密模块，用于对所述信息位上的数据进行整体或局部的加密；或者

签名模块，用于对所述信息位上的数据进行整体或局部的签名。
根据权利要求9所述的装置，其特征在于，还包括：

设置单元，用于在对所述通信协议报文中位于报文头部的信息位上的数据进行防攻击预处理之前，将所述通信协议报文中位于所述报文头部的部分字节设置为所述扩展位。
根据权利要求11所述的装置，其特征在于，所述设置单元包括：

设置模块，用于将所述报文头部中的序列号和/或确认号中的部分字节设置为所述扩展位。
根据权利要求9所述的装置，其特征在于，还包括：

判断单元，用于在发送所述转换后的通信协议报文至接收设备之前判断当前所述通信协议报文的数据流量是否大于预定阈值；

配置单元，用于在所述数据流量大于所述预定阈值时，在到达所述接收设备之前的传输链路中配置网关型网络设备，以使所述网关型网络设备代理所述接收设备将所述转换后的通信协议报文转发给第三方设备处理。
根据权利要求9所述的装置，其特征在于，所述防攻击预处理单元包括以下至少之一：网卡驱动、虚拟网卡或本地网关。
一种防攻击数据传输装置，其特征在于，位于接收设备中，所述装置包括：

接收单元，用于接收经防攻击预处理后得到的转换后的通信协议报文；

解析单元，用于根据所述转换后的通信协议报文中位于报文头部的扩展位所指示的所述防攻击预处理的处理信息解析所述转换后的通信协议报文；

获取单元，用于获取所述转换后的通信协议报文中位于所述报文头部的信息位上的数据，其中，所述通信协议报文的所述报文头部包括所述信息位和所述扩展位。
根据权利要求15所述的装置，其特征在于，所述解析单元包括以下至少之一：网卡驱动、虚拟网卡或本地网关。