會話處理的方法和裝置制造方法

文檔序號：8003503閱讀：151來源：國知局

會話處理的方法和裝置制造方法
【專利摘要】本發(fā)明提供了一種會話處理的方法和裝置。所述方法包括：根據(jù)接收的客戶端請求創(chuàng)建與客戶端的會話；按照五元組對捕獲的數(shù)據(jù)包進行重組得到會話的數(shù)據(jù)報文；從數(shù)據(jù)報文中提取得到客戶端行為屬性，判斷客戶端行為屬性是否超出基線，若是，則中斷與客戶端的會話。所述裝置包括：會話創(chuàng)建模塊，用于根據(jù)客戶端請求創(chuàng)建與客戶端的會話；重組模塊，用于按照五元組對捕獲的數(shù)據(jù)包進行重組得到數(shù)據(jù)報文；報文處理模塊，用于從數(shù)據(jù)報文中提取客戶端行為屬性，判斷客戶端行為屬性是否超出基線，若是，則通知會話中斷模塊；會話中斷模塊，用于中斷與客戶端的會話。采用本發(fā)明能避免對服務器中惡意攻擊的滯后判定以及對匯聚了源地址的客戶端訪問進行誤判。
【專利說明】會話處理的方法和裝置

【技術領域】
[0001]本發(fā)明涉及網(wǎng)絡安全技術，特別是涉及一種會話處理的方法和裝置。

【背景技術】
[0002]服務器與客戶端進行會話的過程中，常常接收到攻擊者操縱客戶端或模擬客戶端發(fā)送的惡意數(shù)據(jù)流或請求來消耗服務器資源，進而使得服務器無法正常運行。因此，為保證服務器安全，通常對接收的數(shù)據(jù)包基于源地址和目的地址進行統(tǒng)計，以依據(jù)統(tǒng)計得到的數(shù)量值判斷是否已經(jīng)遭受惡意攻擊。
[0003]然而，這一傳統(tǒng)的惡意攻擊判別方法由于是根據(jù)統(tǒng)計得到的數(shù)量值判定當前已經(jīng)遭受了惡意攻擊，因此，是事后于惡意攻擊的實施的，在完成惡意攻擊的判定時，攻擊者已經(jīng)建立了足夠多的空連接，影響了服務器接納新建連接的能力。
[0004]并且對于使用嫩I或者網(wǎng)關技術對服務器進行訪問的客戶端而言，經(jīng)由嫩I或者網(wǎng)關技術的設備將多個客戶端的源地址匯聚成一個，使得服務器中對匯聚的源地址統(tǒng)計得到的數(shù)量值大都會進行誤判，將這一類客戶端對服務器的訪問誤判為惡意攻擊。

【發(fā)明內(nèi)容】

[0005]基于此，有必要針對服務器中惡意攻擊的滯后判定以及對匯聚了源地址客戶端訪問進行誤判的技術問題，提供一種能避免對服務器中惡意攻擊的滯后判定以及對匯聚了源地址的客戶端訪問進行誤判的會話處理的方法。
[0006]此外，還有必要提供一種能避免對服務器中惡意攻擊的滯后判定以及對匯聚了源地址的客戶端訪問進行誤判的會話處理的裝置。
[0007]一種會話處理的方法，包括如下步驟:
[0008]根據(jù)接收的客戶端請求創(chuàng)建與所述客戶端的會話；
[0009]按照五元組對捕獲的數(shù)據(jù)包進行重組得到會話的數(shù)據(jù)報文；
[0010]從所述數(shù)據(jù)報文中提取得到客戶端行為屬性，判斷所述客戶端行為屬性是否超出基線，若是，貝0
[0011]中斷與所述客戶端的會話。
[0012]一種會話處理的裝置，包括:
[0013]會話創(chuàng)建模塊，用于根據(jù)接收的客戶端請求創(chuàng)建與所述客戶端的會話；
[0014]重組模塊，用于按照五元組對捕獲的數(shù)據(jù)包進行重組得到所述會話的數(shù)據(jù)報文；
[0015]報文處理模塊，用于從所述數(shù)據(jù)報文中提取得到客戶端行為屬性，判斷所述客戶端行為屬性是否超出基線，若是，則通知會話中斷模塊；
[0016]會話中斷模塊，用于中斷與所述客戶端的會話。
[0017]上述會話處理的方法和裝置，接收到客戶端所發(fā)起的請求創(chuàng)建與該客戶端的會話，按照五元組對捕獲的數(shù)據(jù)包進行重組得到會話的數(shù)據(jù)報文，從數(shù)據(jù)報文中提取得到客戶端行為屬性，以判斷客戶端行為屬性是否超出基線，若是，則說明該客戶端的會話為惡意會話，將會對服務器造成攻擊，進而將中斷與該客戶端的會話，以避免該客戶端即將實施的攻擊，采用本發(fā)明與現(xiàn)有技術相比，避免了對服務器中惡意攻擊的滯后判定以及對匯聚了源地址的客戶端訪問進行的誤判，通過偵測客戶端行為保證了服務器的安全性。

【專利附圖】

【附圖說明】
[0018]圖1為一個實施例中會話處理的方法流程圖；
[0019]圖2為一個實施例中從數(shù)據(jù)報文中提取得到客戶端行為屬性，判定該客戶端行為屬性是否超出基線的方法流程圖；
[0020]圖3為另一個實施例中從數(shù)據(jù)報文中提取得到客戶端行為屬性，判定該客戶端行為屬性是否超出基線的方法流程圖；
[0021]圖4為另一個實施例中從數(shù)據(jù)報文中提取得到客戶端行為屬性，判定該客戶端行為屬性是否超出基線的方法流程圖；
[0022]圖5為一個實施例中會話處理裝置的結構示意圖；
[0023]圖6為一個實施例中報文處理模塊的結構示意圖；
[0024]圖7為另一個實施例中報文處理模塊的結構示意圖；
[0025]圖8為另一個實施例中報文處理模塊的結構示意圖。

【具體實施方式】
[0026]為了使本發(fā)明的目的、技術方案及優(yōu)點更加清楚明白，以下結合附圖及實施例，對本發(fā)明進行進一步詳細說明。應當理解，此處所描述的具體實施例僅僅用以解釋本發(fā)明，并不用于限定本發(fā)明。
[0027]如圖1所示，在一個實施例中，一種會話處理的方法，包括如下步驟:
[0028]步驟3110，根據(jù)接收的客戶端請求創(chuàng)建與客戶端的會話。
[0029]本實施例中，服務器接收到任一客戶端所發(fā)起的客戶端請求，此時，將根據(jù)該客戶端請求創(chuàng)建服務器與客戶端之間的會話。具體的，根據(jù)接收的客戶端請求進行服務器與客戶端之間的三次握手，進而實現(xiàn)發(fā)起請求的客戶端與服務器之間的連接，以創(chuàng)建該客戶端與服務器的會話。
[0030]步驟3130，按照五元組對捕獲的數(shù)據(jù)包進行重組得到會話的數(shù)據(jù)報文。
[0031〕本實施例中，五元組指的是數(shù)據(jù)包中的源地址、目的地址、源端口、目的端口和協(xié)議號，其中，源地址即為發(fā)送數(shù)據(jù)包的客戶端所對應的網(wǎng)絡地址，目的地址為接收了數(shù)據(jù)包的服務器所對應的地址，源端口則為客戶端為當前會話隨機分配的端口號，目的端口指示了服務器中用于接收該數(shù)據(jù)包的端口；協(xié)議號則指示了用于進行數(shù)據(jù)包傳輸?shù)膮f(xié)議。
[0032]通過五元組即可確定一個會話，即擁有相同五元組的數(shù)據(jù)包將從屬于同一會話。服務器將捕獲得到由客戶端發(fā)送的數(shù)據(jù)包，此時，將按照數(shù)據(jù)包中的五元組對數(shù)據(jù)包進行重組，以得到服務器和客戶端進行會話的數(shù)據(jù)報文。
[0033]進一步的，按照五元組將捕獲的數(shù)據(jù)包放置于相應的鏈表中，其中，鏈表的表頭保存了五元組等信息，該鏈表所放置的數(shù)據(jù)包中的五元組是與表頭中存儲的五元組相一致的，服務器與客戶端的會話均對應了一個鏈表。
[0034]具體的，捕獲得到客戶端所發(fā)送的數(shù)據(jù)包之后，將從數(shù)據(jù)包中提取該數(shù)據(jù)包所對應的五元組，以查找是否存在與提取的五元組相匹配的鏈表，進而將該數(shù)據(jù)包放入與提取的五元組相匹配的鏈表中，若不存在與提取的五元組相匹配的鏈表，則創(chuàng)建新的鏈表。
[0035]按照五元組將捕獲的若干個數(shù)據(jù)包拼接在一起以得到客戶端與服務器進行會話的數(shù)據(jù)報文。
[0036]步驟3150，從數(shù)據(jù)報文中提取得到客戶端行為屬性，判定該客戶端行為屬性是否超出基線，若是，則進入步驟3170，若否，則返回步驟3130。
[0037]本實施例中，從數(shù)據(jù)報文中的若干個數(shù)據(jù)包得到發(fā)送這些數(shù)據(jù)包的客戶端所對應的客戶端行為屬性，進而通過客戶端行為屬性偵測客戶端行為。其中，客戶端行為屬性包括會話創(chuàng)建時發(fā)送首個數(shù)據(jù)包的時間間隔、有載荷的數(shù)據(jù)包被丟棄后的重傳時間以及前幾個數(shù)據(jù)包的平均大小。
[0038]具體的，預先配置用于衡量客戶端行為的基線，其中，所配置的基線可包括用于對客戶端在創(chuàng)建會話時發(fā)送首個數(shù)據(jù)包的行為進行衡量的基線時間、用于衡量客戶端對有載荷的數(shù)據(jù)包被丟棄后的重傳該數(shù)據(jù)包的行為的基線以及用于衡量客戶端中發(fā)送數(shù)據(jù)包的大小的基線，此外，還可根據(jù)運營的實際需要設置。進一步的，預先配置的基線是在干凈的環(huán)境中測量得到的。
[0039]若判斷得到該客戶端行為屬性已經(jīng)超出了基線，則說明當前的客戶端行為存在異常，相應的，該客戶端行為所對應的會話是惡意會話，因此，為了避免對服務器進行攻擊，將需要通過步驟3170中斷這一惡意會話，保證服務器的正常運營；若判斷得到該客戶端行為屬性并未超出配置的基線，則說明當前的客戶端行為是正常的，相應的，該客戶端行為所對應的會話是客戶端與服務器的正常會話，因此，不需要對這一會話做任何處理，返回步驟8130繼續(xù)偵測服務器捕獲到的數(shù)據(jù)包即可。
[0040]步驟3170，中斷與客戶端的會話。
[0041]本實施例中，若判斷得到提取的客戶端行為屬性已經(jīng)超出了配置的基線，則判定當前所進行的會話為惡意會話，將中斷服務器與提取的客戶端行為屬性所對應的客戶端之間的會話，以避免占用服務器資源，影響服務器的運行。
[0042]在一個實施例中，上述步驟3170的具體過程為:斷開與客戶端之間的連接，并丟棄客戶端所對應的數(shù)據(jù)包。
[0043]本實施例中，進行惡意會話的客戶端即為攻擊者所使用的客戶端或模擬客戶端，因此，將斷開這一進行惡意會話的客戶端與服務器之間的連接，并丟棄該客戶端所發(fā)送的所有數(shù)據(jù)包。
[0044]如圖2所示，在一個實施例中，上述步驟3150包括:
[0045]步驟315匕，從數(shù)據(jù)報文中提取會話創(chuàng)建時發(fā)送首個數(shù)據(jù)包的時間間隔。
[0046]本實施例中，由數(shù)據(jù)報文中記錄的會話創(chuàng)建時間和發(fā)送首個數(shù)據(jù)包的時間即可得到會話創(chuàng)建時發(fā)送首個數(shù)據(jù)包的時間間隔。
[0047]步驟31533，判斷時間間隔是否大于相應的基線時間，若是，則進入步驟3170，若否，則返回步驟3130。
[0048]本實施例中，若判斷到會話創(chuàng)建時發(fā)送首個數(shù)據(jù)包的時間間隔超出了配置的基線時間，則說明該會話是惡意會話的可能性非常高，因此，將進入步驟3170中斷該會話，若否，對返回步驟3130繼續(xù)進行惡意會話的偵測。
[0049]如圖3所示，在一個實施例中，上述步驟3150包括:
[0050]步驟31511從數(shù)據(jù)報文中提取有載荷的數(shù)據(jù)包被丟棄后的重傳時間。
[0051]本實施例中，從數(shù)據(jù)報文中提取記錄的有載荷的數(shù)據(jù)包被丟棄后客戶端進行重傳所對應的時間，即重傳時間。
[0052]步驟31536，根據(jù)基線判斷重傳時間是否超時，若是，則進入步驟3170，若否，則返回步驟3130。
[0053]本實施例中，根據(jù)預先配置的基線判斷該重傳時間是否已經(jīng)超時，若是，則說明該數(shù)據(jù)包所在的會話可能為惡意會話，因此，將進入步驟3170中斷該會話，若否，則返回步驟3130。
[0054]如圖4所示，在一個實施例中，上述步驟3150包括:
[0055]步驟3151(3，從數(shù)據(jù)報文中按照捕獲的先后順序提取預設數(shù)量個數(shù)據(jù)包，以得到提取的數(shù)據(jù)包所對應的平均大小。
[0056]本實施例中，在若干個數(shù)據(jù)包所拼接的數(shù)據(jù)報文中，按照捕獲數(shù)據(jù)包的先后順序提取預設數(shù)量個數(shù)據(jù)包，以得到提取的數(shù)據(jù)包所對應的大小，以求取平均值，進而計算得到這些提取的數(shù)據(jù)包所對應的平均大小。
[0057]步驟3153(3，判斷該平均大小是否超出基線，若是，則進入步驟3170，若否，則返回步驟3130。
[0058]本實施例中，判斷計算得到的平均大小是否超出了配置的基線，若是，則說明數(shù)據(jù)包異常，所對應的會話為惡意會話的可能性很高，因此，需要中斷該會話。
[0059]需要說明的是，上述會話處理的方法中，可選用如上所述的一種或多種客戶端行為屬性進行惡意會話的判定，所選用的客戶端行為屬性越多，則判定越為精確，但是，并不僅限于如上所述的客戶端行為屬性，還可選用其它的一些客戶端行為屬性，在此不一一進行列舉。
[0060]如圖5所示，在一個實施例中，一種會話處理的裝置，包括會話創(chuàng)建模塊110、重組模塊130、報文處理模塊150和會話中斷模塊170。
[0061]會話創(chuàng)建模塊110，用于根據(jù)接收的客戶端請求創(chuàng)建與客戶端的會話。
[0062]本實施例中，服務器中的會話創(chuàng)建模塊110接收到任一客戶端所發(fā)起的客戶端請求，此時，將根據(jù)該客戶端請求創(chuàng)建服務器與客戶端之間的會話。具體的，會話創(chuàng)建模塊110根據(jù)接收的客戶端請求進行服務器與客戶端之間的三次握手，進而實現(xiàn)發(fā)起請求的客戶端與服務器之間的連接，以創(chuàng)建該客戶端與服務器的會話。
[0063]重組模塊130，用于按照五元組對捕獲的數(shù)據(jù)包進行重組得到會話的數(shù)據(jù)報文。
[0064]本實施例中，五元組指的是數(shù)據(jù)包中的源地址、目的地址、源端口、目的端口和協(xié)議號，其中，源地址即為發(fā)送數(shù)據(jù)包的客戶端所對應的網(wǎng)絡地址，目的地址為接收了數(shù)據(jù)包的服務器所對應的地址，源端口則為客戶端為當前會話隨機分配的端口號，目的端口指示了服務器中用于接收該數(shù)據(jù)包的端口；協(xié)議號則指示了用于進行數(shù)據(jù)包傳輸?shù)膮f(xié)議。
[0065]通過五元組即可確定一個會話，即擁有相同五元組的數(shù)據(jù)包將從屬于同一會話。服務器將捕獲得到由客戶端發(fā)送的數(shù)據(jù)包，此時，重組模塊130將按照數(shù)據(jù)包中的五元組對數(shù)據(jù)包進行重組，以得到服務器和客戶端進行會話的數(shù)據(jù)報文。
[0066]進一步的，重組模塊130按照五元組將捕獲的數(shù)據(jù)包放置于相應的鏈表中，其中，鏈表的表頭保存了五元組等信息，該鏈表所放置的數(shù)據(jù)包中的五元組是與表頭中存儲的五元組相一致的，服務器與客戶端的會話均對應了一個鏈表。
[0067]具體的，捕獲得到客戶端所發(fā)送的數(shù)據(jù)包之后，重組模塊130將從數(shù)據(jù)包中提取該數(shù)據(jù)包所對應的五元組，以查找是否存在與提取的五元組相匹配的鏈表，進而將該數(shù)據(jù)包放入與提取的五元組相匹配的鏈表中，若不存在與提取的五元組相匹配的鏈表，則創(chuàng)建新的鏈表。
[0068]重組模塊130按照五元組將捕獲的若干個數(shù)據(jù)包拼接在一起以得到客戶端與服務器進行會話的數(shù)據(jù)報文。
[0069]報文處理模塊150，用于從數(shù)據(jù)報文中提取得到客戶端行為屬性，判斷客戶端行為屬性是否超出基線，若是，則通知會話中斷模塊170，若否，則通知重組模塊130。
[0070]本實施例中，報文處理模塊150從數(shù)據(jù)報文中的若干個數(shù)據(jù)包得到發(fā)送這些數(shù)據(jù)包的客戶端所對應的客戶端行為屬性，進而通過客戶端行為屬性偵測客戶端行為。其中，客戶端行為屬性包括會話創(chuàng)建時發(fā)送首個數(shù)據(jù)包的時間間隔、有載荷的數(shù)據(jù)包被丟棄后的重傳時間以及前幾個數(shù)據(jù)包的平均大小。
[0071]具體的，預先配置用于衡量客戶端行為的基線，其中，所配置的基線可包括用于對客戶端在創(chuàng)建會話時發(fā)送首個數(shù)據(jù)包的行為進行衡量的基線時間、用于衡量客戶端對有載荷的數(shù)據(jù)包被丟棄后的重傳該數(shù)據(jù)包的行為的基線以及用于衡量客戶端中發(fā)送數(shù)據(jù)包的大小的基線，此外，還可根據(jù)運營的實際需要設置。進一步的，預先配置的基線是在干凈的環(huán)境中測量得到的。
[0072]若報文處理模塊150判斷得到該客戶端行為屬性已經(jīng)超出了基線，則說明當前的客戶端行為存在異常，相應的，該客戶端行為所對應的會話是惡意會話，因此，為了避免對服務器進行攻擊，將需要通知會話中斷模塊170中斷這一惡意會話，保證服務器的正常運營；若報文處理模塊150判斷得到該客戶端行為屬性并未超出配置的基線，則說明當前的客戶端行為是正常的，相應的，該客戶端行為所對應的會話是客戶端與服務器的正常會話，因此，不需要對這一會話做任何處理，通知重組模塊130繼續(xù)偵測服務器捕獲到的數(shù)據(jù)包即可。
[0073]會話中斷模塊170，用于中斷與客戶端的會話。
[0074]本實施例中，若判斷得到提取的客戶端行為屬性已經(jīng)超出了配置的基線，則判定當前所進行的會話為惡意會話，會話中斷模塊170將中斷服務器與提取的客戶端行為屬性所對應的客戶端之間的會話，以避免占用服務器資源，影響服務器的運行。
[0075]在一個實施例中，上述會話中斷模塊170還用于斷開與客戶端之間的連接，并丟棄客戶端所對應的數(shù)據(jù)包。
[0076]本實施例中，進行惡意會話的客戶端即為攻擊者所使用的客戶端或模擬客戶端，因此，會話中斷模塊170將斷開這一進行惡意會話的客戶端與服務器之間的連接，并丟棄該客戶端所發(fā)送的所有數(shù)據(jù)包。
[0077]如圖6所不，在一個實施例中，上述報文處理模塊150包括第一提取單兀151&和第一判斷單元1533。
[0078]第一提取單元15匕，用于從數(shù)據(jù)報文中提取會話創(chuàng)建時發(fā)送首個數(shù)據(jù)包的時間間隔。
[0079]本實施例中，第一提取單元15匕由數(shù)據(jù)報文中記錄的會話創(chuàng)建時間和發(fā)送首個數(shù)據(jù)包的時間即可得到會話創(chuàng)建時發(fā)送首個數(shù)據(jù)包的時間間隔。
[0080]第一判斷單元153^用于判斷時間間隔是否大于相應的基線時間，若是，則通知會話中斷模塊170，若否，則通知重組模塊130。
[0081]本實施例中，若第一判斷單元1533判斷到會話創(chuàng)建時發(fā)送首個數(shù)據(jù)包的時間間隔超出了配置的基線時間，則說明該會話是惡意會話的可能性非常高，因此，將通知會話中斷模塊170中斷該會話，若否，通知重組模塊130繼續(xù)進行惡意會話的偵測。
[0082]如圖7所示，在一個實施例中，上述報文處理模塊150包括第二提取單元1516和第二判斷單元153匕
[0083]第二提取單元15化，用于從數(shù)據(jù)報文中提取有載荷的數(shù)據(jù)包被丟棄后的重傳時間。
[0084]本實施例中，第二提取單元1516從數(shù)據(jù)報文中提取記錄的有載荷的數(shù)據(jù)包被丟棄后客戶端進行重傳所對應的時間，即重傳時間。
[0085]第二判斷單元1536，用于根據(jù)基線判斷重傳時間是否超時，若是，則通知會話中斷模塊170，若否，則通知重組模塊130。
[0086]本實施例中，第二判斷單元1536根據(jù)預先配置的基線判斷該重傳時間是否已經(jīng)超時，若是，則說明該數(shù)據(jù)包所在的會話可能為惡意會話，因此，將通知會話中斷模塊170中斷該會話，若否，則通知會話中斷模塊170。
[0087]如圖8所示，在一個實施例中，上述報文處理模塊150包括第三提取單元15化和第三判斷單元153(3。
[0088]第三提取單元151(3，用于從數(shù)據(jù)報文中按照捕獲的先后順序提取預設數(shù)量個數(shù)據(jù)包，以得到提取的數(shù)據(jù)包所對應的平均大小。
[0089]本實施例中，在若干個數(shù)據(jù)包所拼接的數(shù)據(jù)報文中，第三提取單元151。按照捕獲數(shù)據(jù)包的先后順序提取預設數(shù)量個數(shù)據(jù)包，以得到提取的數(shù)據(jù)包所對應的大小，以求取平均值，進而計算得到這些提取的數(shù)據(jù)包所對應的平均大小。
[0090]第三判斷單元153(3，用于判斷平均大小是否超出基線，若是，則通知會話中斷模塊170，若否，則通知重組模塊130。
[0091]本實施例中，第三判斷單元153(3判斷計算得到的平均大小是否超出了配置的基線，若是，則說明數(shù)據(jù)包異常，所對應的會話為惡意會話的可能性很高，因此，需要中斷該會話。
[0092]需要說明的是，上述會話處理的裝置中，可選用如上所述的一種或多種客戶端行為屬性進行惡意會話的判定，所選用的客戶端行為屬性越多，則判定越為精確，但是，并不僅限于如上所述的客戶端行為屬性，還可選用其它的一些客戶端行為屬性，在此不一一進行列舉。
[0093]上述會話處理的方法和裝置，接收到客戶端所發(fā)起的請求創(chuàng)建與該客戶端的會話，按照五元組對捕獲的數(shù)據(jù)包進行重組得到會話的數(shù)據(jù)報文，從數(shù)據(jù)報文中提取得到客戶端行為屬性，以判斷客戶端行為屬性是否超出基線，若是，則說明該客戶端的會話為惡意會話，將會對服務器造成攻擊，進而將中斷與該客戶端的會話，以避免該客戶端即將實施的攻擊，采用本發(fā)明與現(xiàn)有技術相比，避免了對服務器中惡意攻擊的滯后判定以及對匯聚了源地址的客戶端訪問進行的誤判，通過偵測客戶端行為保證了服務器的安全性。
[0094]本領域普通技術人員可以理解實現(xiàn)上述實施例方法中的全部或部分流程，是可以通過計算機程序來指令相關的硬件來完成，所述的程序可存儲于一計算機可讀取存儲介質中，該程序在執(zhí)行時，可包括如上述各方法的實施例的流程。其中，所述的存儲介質可為磁碟、光盤、只讀存儲記憶體(0651(1-01117 1611101*7，001)或隨機存儲記憶體(^00688161110狀1)等。
[0095]以上所述實施例僅表達了本發(fā)明的幾種實施方式，其描述較為具體和詳細，但并不能因此而理解為對本發(fā)明專利范圍的限制。應當指出的是，對于本領域的普通技術人員來說，在不脫離本發(fā)明構思的前提下，還可以做出若干變形和改進，這些都屬于本發(fā)明的保護范圍。因此，本發(fā)明專利的保護范圍應以所附權利要求為準。
【權利要求】
1.一種會話處理的方法，包括如下步驟: 根據(jù)接收的客戶端請求創(chuàng)建與所述客戶端的會話；按照五元組對捕獲的數(shù)據(jù)包進行重組得到會話的數(shù)據(jù)報文；從所述數(shù)據(jù)報文中提取得到客戶端行為屬性，判斷所述客戶端行為屬性是否超出基線，若是，則中斷與所述客戶端的會話。
2.根據(jù)權利要求1所述的方法，其特征在于，所述中斷與所述客戶端的會話的步驟包括: 斷開與所述客戶端之間的連接，并丟棄所述客戶端所對應的數(shù)據(jù)包。
3.根據(jù)權利要求1所述的方法，其特征在于，所述從所述數(shù)據(jù)報文中提取得到客戶端行為屬性，判斷所述客戶端行為屬性是否超出基線的步驟為: 從所述數(shù)據(jù)報文中提取所述會話創(chuàng)建時發(fā)送首個數(shù)據(jù)包的時間間隔；判斷所述時間間隔是否大于相應的基線時間，若是，則進入所述中斷與所述客戶端的會話的步驟。
4.根據(jù)權利要求1所述的方法，其特征在于，所述從所述數(shù)據(jù)報文中提取得到客戶端行為屬性，判斷所述客戶端行為屬性是否超出基線的步驟為: 從所述數(shù)據(jù)報文中提取有載荷的數(shù)據(jù)包被丟棄后的重傳時間；根據(jù)基線判斷所述重傳時間是否超時，若是，則進入所述中斷與所述客戶端的會話的步驟。
5.根據(jù)權利要求1所述的方法，其特征在于，所述從所述數(shù)據(jù)報文中提取得到客戶端行為屬性，判斷所述客戶端行為屬性是否超出基線的步驟為: 從所述數(shù)據(jù)報文中按照捕獲的先后順序提取預設數(shù)量個數(shù)據(jù)包，以得到提取的數(shù)據(jù)包所對應的平均大??；判斷所述平均大小是否超出基線，若是，則進入所述中斷與所述客戶端的會話的步驟。
6.一種會話處理的裝置，其特征在于，包括: 會話創(chuàng)建模塊，用于根據(jù)接收的客戶端請求創(chuàng)建與所述客戶端的會話；重組模塊，用于按照五元組對捕獲的數(shù)據(jù)包進行重組得到所述會話的數(shù)據(jù)報文；報文處理模塊，用于從所述數(shù)據(jù)報文中提取得到客戶端行為屬性，判斷所述客戶端行為屬性是否超出基線，若是，則通知會話中斷模塊；會話中斷模塊，用于中斷與所述客戶端的會話。
7.根據(jù)權利要求6所述的裝置，其特征在于，所述會話中斷模塊還用于斷開與所述客戶端之間的連接，并丟棄所述客戶端所對應的數(shù)據(jù)包。
8.根據(jù)權利要求6所述的裝置，其特征在于，所述報文處理模塊包括: 第一提取單元，用于從所述數(shù)據(jù)報文中提取所述會話創(chuàng)建時發(fā)送首個數(shù)據(jù)包的時間間隔; 第一判斷單元，用于判斷時間間隔是否大于相應的基線時間，若是，則通知所述會話中斷模塊。
9.根據(jù)權利要求6所述的裝置，其特征在于，所述報文處理模塊包括: 第二提取單元，用于從數(shù)據(jù)報文中提取有載荷的數(shù)據(jù)包被丟棄后的重傳時間；第二判斷單元，用于根據(jù)基線判斷所述重傳時間是否超時，若是，則通知所述會話中斷模塊。
10.根據(jù)權利要求6所述的裝置，其特征在于，所述報文處理模塊包括: 第三提取單元，用于從所述數(shù)據(jù)報文中按照捕獲的先后順序提取預設數(shù)量個數(shù)據(jù)包，以得到提取的數(shù)據(jù)包所對應的平均大??；第三判斷單元，用于判斷所述平均大小是否超出基線，若是，則通知所述會話中斷模塊。
【文檔編號】H04L29/06GK104348808SQ201310334769
【公開日】2015年2月11日申請日期:2013年8月2日優(yōu)先權日:2013年8月2日
【發(fā)明者】陳曦, 白驚濤申請人:深圳市騰訊計算機系統(tǒng)有限公司

完整全部詳細技術資料下載