處理報文的方法及裝置的制造方法
【專利摘要】本申請?zhí)峁┨幚韴笪牡姆椒把b置,所述方法包括:解析接收到的超文本傳輸協(xié)議HTTP請求報文��,獲得報文特征�;根據所述報文特征查找預先保存的黑名單,若從所述黑名單中查找到所述報文特征�����,則確定所述HTTP請求報文為攻擊報文���,阻斷所述HTTP請求報文�����,否則���,放行所述HTTP請求報文,其中�,所述黑名單為基于可疑報文特征進行更新的黑名單;若從所述黑名單中未查找到所述報文特征��,則根據所述報文特征進行統(tǒng)計,并根據統(tǒng)計結果得出可疑報文特征����。應用本實施例有效的識別出攻擊報文,做到防范DDoS攻擊���。
【專利說明】
處理報文的方法及裝置
技術領域
[0001] 本申請設及網絡通信技術領域,尤其設及處理報文的方法及裝置�。
【背景技術】
[0002] DDoS (Distributed Denial of Service,分布式拒絕服務攻擊)是指借助于客戶/ 服務器技術,將多個計算機聯(lián)合起來作為攻擊平臺�,對一個或多個目標發(fā)起攻擊,從而成倍 地提高拒絕服務攻擊的威力�����。DDoS攻擊通過發(fā)送大量的報文占用大量網絡資源���,W達到使 網絡擁痕的目的����,其中常見的攻擊方式包括W下四種:通過使網絡過載來干擾甚至阻斷正 常的網絡通訊�����、通過向服務器提交大量請求使服務器超負荷、阻斷某一用戶訪問服務器�����、阻 斷某服務與特定系統(tǒng)或個人的通訊?�,F有技術中���,在防范DDoS攻擊時���,根據報文的發(fā)送速 率作為攻擊行為的識別依據,當報文被識別為攻擊報文后�,將該類報文屏蔽,可W達到防范 DDoS攻擊的目的���。
[0003] 然而�,在報文的發(fā)送速率較低或者與正常報文的發(fā)送速率相似的情況下通過上述 方案通常無法識別出攻擊報文���,從而無法防范DDoS攻擊���。
【發(fā)明內容】
[0004] 有鑒于此,本申請?zhí)峁┮环N處理報文的方法及裝置�,W解決在報文的發(fā)送速率較 低或者與正常報文發(fā)送速率相似的情況下難W防范DDoS攻擊的問題�����。 陽0化]具體地�,本申請是通過如下技術方案實現的:
[0006] 根據本申請實施例的第一方面���,提供處理報文的方法�,所述方法應用在攻擊識別 設備上����,所述方法包括:
[0007] 解析接收到的超文本傳輸協(xié)議HTTP請求報文�,獲得報文特征;
[0008] 根據所述報文特征查找預先保存的黑名單����,若從所述黑名單中查找到所述報文特 征,則確定所述HTTP請求報文為攻擊報文����,阻斷所述HTTP請求報文,否則�����,放行所述HTTP 請求報文,其中�,所述黑名單為基于可疑報文特征進行更新的黑名單;
[0009] 若從所述黑名單中未查找到所述報文特征��,則根據所述報文特征進行統(tǒng)計����,并根 據統(tǒng)計結果得出可疑報文特征。
[0010] 根據本申請實施例的第二方面�,提供處理報文的裝置,所述裝置應用在攻擊識別 設備上�����,所述裝置包括:
[0011] 解析單元����,用于解析接收到的HTTP請求報文,獲得報文特征�;
[0012] 查找單元,用于根據所述報文特征查找預先保存的黑名單���,所述黑名單為基于可 疑報文特征進行更新的黑名單����;
[0013] 阻斷單元,用于在從所述黑名單中查找到所述報文特征時�,確定所述HTTP請求報 文為攻擊報文,阻斷所述HTTP請求報文����;
[0014] 放行單元,用于在從所述黑名單中未查找到所述報文特征時�,放行所述HTTP請求 報文;
[0015] 統(tǒng)計單元��,用于在從所述黑名單中未查找到所述報文特征時�����,根據所述報文特征 進行統(tǒng)計并根據統(tǒng)計結果得出可疑報文特征���。
[0016] 應用上述實施例,由于可W根據報文特征對報文的訪問次數進行統(tǒng)計�����,并根據報 文的訪問次數識別攻擊報文����,從而在報文的發(fā)送速率較低或者與正常報文的發(fā)送速率相似 的情況下��,有效的識別出攻擊報文����,做到防范DDoS攻擊����。
【附圖說明】
[0017] 圖1是本申請實施例實現處理報文的方法的應用場景示意圖。
[0018] 圖2是本申請?zhí)幚韴笪牡姆椒ǖ囊粋€實施例流程圖���。
[0019] 圖3是本申請?zhí)幚韴笪牡难b置所在設備的一種硬件結構圖�����。
[0020] 圖4是本申請?zhí)幚韴笪牡难b置的一個實施例框圖���。
【具體實施方式】
[0021] 運里將詳細地對示例性實施例進行說明,其示例表示在附圖中�����。下面的描述設及 附圖時���,除非另有表示���,不同附圖中的相同數字表示相同或相似的要素����。W下示例性實施例 中所描述的實施方式并不代表與本申請相一致的所有實施方式�。相反,它們僅是與如所附 權利要求書中所詳述的�、本申請的一些方面相一致的裝置和方法的例子。
[0022] 在本申請使用的術語是僅僅出于描述特定實施例的目的���,而非旨在限制本申請���。 在本申請和所附權利要求書中所使用的單數形式的"一種"、"所述"和"該"也旨在包括多 數形式�����,除非上下文清楚地表示其他含義����。還應當理解���,本文中使用的術語"和/或"是指 并包含一個或多個相關聯(lián)的列出項目的任何或所有可能組合�。
[0023] 應當理解,盡管在本申請可能采用術語第一���、第二����、第S等來描述各種信息����,但運 些信息不應限于運些術語。運些術語僅用來將同一類型的信息彼此區(qū)分開����。例如,在不脫離 本申請范圍的情況下�����,第一信息也可W被稱為第二信息�����,類似地����,第二信息也可W被稱為第 一信息����。取決于語境�,如在此所使用的詞語"如果"可W被解釋成為"在……時"或"當…… 時"或"響應于確定"。
[0024] 現有技術中�����,攻擊者可W使用DDoS攻擊方式對服務器進行攻擊���,為了防范攻擊�, 通常將報文的發(fā)送速率作為攻擊報文的識別依據�����,當發(fā)送速率較大時將該類報文識別為攻 擊報文����,并阻斷攻擊報文,從而達到防范DDoS攻擊的目的�����。然而����,在報文的發(fā)送速率較低或 者與正常報文的發(fā)送速率相似的情況下,通過上述方法通常無法識別出攻擊報文�,從而無 法防范孤OS攻擊。
[00巧]請參見圖1�����,為本申請實施例實現處理報文的方法的應用場景示意圖����。其中控制端 控制多個攻擊終端,例如圖1示出的攻擊終端1至攻擊終端n(n為大于1的自然數)���,攻擊 終端向服務器發(fā)送大量的HTTP(Hyper Text Transfer Protocol,超文本傳輸協(xié)議)請求報 文����,攻擊終端與正常終端所發(fā)送的HTTP請求報文都將先傳輸到攻擊識別設備�,由攻擊識別 設備對接收到的報文進行解析,識別出攻擊報文并進行阻斷����,正常報文則放行至服務器�,從 而做到防范DDoS攻擊���?��?蒞理解的是本實施例中的攻擊終端與正常終端僅W電腦為例進 行說明,實際應用中的攻擊終端與正常終端可W是手機�、平板電腦等其他具備網絡資源訪 問功能的終端。
[00%] 請參見圖2,為本申請?zhí)幚韴笪牡姆椒ǖ囊粋€實施例流程圖��,所述方法應用在攻擊 識別設備上�,包括W下步驟:
[0027] 步驟S201 :解析接收到的HTTP請求報文,獲得報文特征�。
[0028] 參見圖1,正常終端和攻擊終端都對同一服務器進行訪問��,在網絡中設置攻擊識別 設備����,正常終端和攻擊終端向服務器發(fā)送HTTP請求報文時,運些HTTP請求報文都將傳輸到 攻擊識別設備����,攻擊識別設備可W對運些HTTP請求報文進行解析,識別其安全性。
[0029] 攻擊識別設備對接收到的HTTP請求報文進行解析���,可W獲得HTTP請求報文 的源IP(Internet Protocol,網絡之間互聯(lián)的協(xié)議)地址和URI (Uniform Resource Identifier,統(tǒng)一資源標識符)地址作為報文特征���,URI地址用來唯一的標識該服務器上的 資源���。
[0030] 步驟S202 :根據所述報文特征查找預先保存的黑名單��,所述黑名單為基于可疑報 文特征進行更新的黑名單���,若查找到所述報文特征,則執(zhí)行步驟S203 ;若未查找到所述報 文特征�,則分別執(zhí)行步驟S204和步驟S205。
[0031] 在一個可選的實現方式中����,可W預先設置黑名單,所述黑名單中初始包括已識別 出的攻擊報文的報文特征����,當通過后續(xù)流程的執(zhí)行結果獲得可疑報文特征后,還可W進一 步基于所述可疑報文特征更新該黑名單����,從而實現對黑名單的動態(tài)維護���。
[0032] 當步驟S201中獲得的報文特征為HTTP請求報文的源IP地址時,所述黑名單為IP 地址名單�����,本步驟可W根據該源IP地址查找所述黑名單���,若查找到所述源IP地址��,則執(zhí)行 步驟S203 ;若未查找到所述源IP地址�����,則分別執(zhí)行步驟S204和步驟S205��。
[0033] 步驟S203 :確定所述HTTP請求報文為攻擊報文�����,阻斷所述HTTP請求報文�����;結束流 程�����。
[0034] 由步驟S202所述���,黑名單中包括已識別出的攻擊終端的IP地址�,根據HTTP請求 報文的源IP地址查找所述黑名單�����,若查找到所述源IP地址����,則可W確定該HTTP請求報文 為攻擊終端發(fā)送的攻擊報文�,阻斷該HTTP請求報文,從而做到防范DDoS攻擊�。 陽03引步驟S204 :放行所述HTTP請求報文;結束流程��。
[0036] 步驟S205 :根據所述報文特征進行統(tǒng)計并根據所述統(tǒng)計結果得出可疑報文特征��。
[0037] 當步驟S202根據報文特征查找預先保存的黑名單���,未查找到所述報文特征時����,并 不能確定所述HTTP請求報文一定不是攻擊報文,為了更有效的防范DDoS攻擊��,可W對上述 未查找到報文特征的HTTP請求報文進行統(tǒng)計��。
[0038] 一般來說���,正常終端訪問服務器時���,向服務器發(fā)送HTTP請求報文,運些HTTP請求 報文中的URI地址可W有所不同���,比如訪問Web網頁時���,正常終端可W向服務器發(fā)送多個 包括不同URI地址的HTTP請求報文,分別用W獲取Web網頁的HTML (Hyper Text Markup Language,超文本標記語言)文件���、CSSKascading Style Sheets,層疊樣式表)文件�����、 JSQavaScript,化va腳本語言)文件和圖片等一系列相關文件�����,而攻擊終端訪問服務器 時��,所發(fā)送的HTTP請求報文通常只包含同一個URI地址���。因此���,可W在一段時間內,比如1 小時�����,5小時��,甚至24小時���,根據HTTP請求報文的源IP地址與URI地址對HTTP請求報文的 訪問次數進行統(tǒng)計。
[0039] 在一個可選的實現方式中�����,可W預先設置統(tǒng)計名單,該統(tǒng)計名單可W包括報文特 征和統(tǒng)計數值的對應關系���,其中報文特征可W包括IP地址W及URI地址����,其對應的統(tǒng)計數 值用于表示接收到包括該報文特征的HTTP請求報文的次數�。參見下表1所示,為統(tǒng)計名單 的示例:
[0040]表 1 [0041 ]
[0042] 當步驟S202根據報文特征查找預先保存的黑名單��,未查找到所述報文特征時�,貝U 可W根據報文特征查找如表1所示的統(tǒng)計名單,若查找到所述報文特征�����,說明攻擊識別設 備并非首次接收到包括該報文特征的HTTP請求報文�,可W將所述報文特征對應的統(tǒng)計數 值加1 ;否則,說明攻擊識別設備首次接收到包括該報文特征的HTTP請求報文���,可W將所述 報文特征添加到所述統(tǒng)計名單中��,并將其對應的統(tǒng)計數值置為1����,W便后續(xù)統(tǒng)計接收到包括 該報文特征的HTTP請求報文的次數。由上所述�����,根據報文特征可W統(tǒng)計在一段時間內接收 到包括該報文特征的HTTP請求報文的次數���,可W根據該次數得出可疑報文特征����。
[0043] 在一個可選的實現方式中����,可W預先設置一個闊值,用來表示在一段時間內�,允許 攻擊識別設備接收到包括相同報文特征的HTTP請求報文的次數,可W判斷統(tǒng)計名單中的 統(tǒng)計數值是否達到所述闊值���,若是,說明該統(tǒng)計數值對應的報文特征為可疑報文特征�,包括 該報文特征的HTTP請求報文很有可能為攻擊報文。
[0044] 進一步地����,當得出報文特征為可疑報文特征后���,可W采用預先設置的方式將該報 文特征標識為可疑報文特征。
[0045] 在一個可選的實現方式中�����,所述統(tǒng)計名單還可W包括報文特征與可疑標識的對應 關系����,所述可疑標識用于表示該報文特征是否為可疑報文特征。參見下表2所示���,為統(tǒng)計名 單的另一個示例:
[0046] 表 2
[0047]
[0049] 在上述表2中�,假設可疑標識為"0"時����,表示該可疑標識對應的報文特征不是可疑 報文特征,可疑標識為"I"時�,表示該可疑標識對應的報文特征是可疑報文特征。
[0050] 當得出報文特征為可疑報文特征后�,并且該報文特征對應的可疑標識不為"1"時, 則可W將該報文特征對應的可疑標識置為"1"�����,從而實現將報文特征標識為可疑報文特征。
[0051] 在另一個可選的實現方式中��,可W預先設置可疑名單����,當得出報文特征為可疑報 文特征后,可W將該報文特征和統(tǒng)計數值的對應關系添加到可疑名單中�����。
[0052] 進一步地����,所述可疑報文特征可W作為更新黑名單的依據,攻擊識別設備可W將 被選中的可疑報文特征添加到黑名單中���。
[0053] 在一個可選的實現方式中�����,可W在Web界面上實時顯示可疑報文特征,該Web界面 上可W包括選擇/取消欄位���,W使網絡管理者可W通過該選擇/取消欄位選中或者取消選 中Web界面中的可疑報文特征�,若可疑報文特征被選中,則攻擊識別設備可W將被選中的 可疑報文特征添加到黑名單中���。
[0054] 在另一個可選的實現方式中����,可W根據統(tǒng)計數值對可疑報文特征進行排序�����,具體 的��,可W對統(tǒng)計數值W從大到小的順序進行排序�����,從而實現對可疑報文特征的排序���,還可W 設置每隔一段時間(比如每隔五分鐘或每隔10分鐘)攻擊識別設備便執(zhí)行一次上述排序���。 之后,可W根據排序結果�,在Web界面顯示位于前N位的可疑報文特征(N為大于等于1的 自然數),該Web界面上可W包括選擇/取消欄位,W使網絡管理者可W通過該選擇/取消 欄位選中或者取消選中Web界面中的可疑報文特征���,攻擊識別設備可W將被選中的可疑報 文特征添加到黑名單���。
[0055] 應用上述實施例,由于可W根據報文特征對報文的訪問次數進行統(tǒng)計����,并根據報 文的訪問次數識別攻擊報文����,從而在報文的發(fā)送速率較低或者與正常報文的發(fā)送速率相似 的情況下��,有效的識別出攻擊報文���,做到防范DDoS攻擊����。
[0056] 與前述處理報文的方法的實施例相對應�,本申請還提供了處理報文的裝置的實施 例�����。
[0057] 本申請?zhí)幚韴笪牡难b置的實施例可W應用在攻擊識別設備上�����。裝置實施例可W通 過軟件實現���,也可W通過硬件或者軟硬件結合的方式實現�。W軟件實現為例,作為一個邏輯 意義上的裝置�,是通過其所在攻擊識別設備的處理器將非易失性存儲器中對應的計算機程 序指令讀取到內存中運行形成的。從硬件層面而言,如圖3所示�����,為本申請?zhí)幚韴笪牡难b置 所在設備的一種硬件結構圖,除了圖3所示的處理器���、內存���、網絡接口�、W及非易失性存儲 器之外�����,實施例中裝置所在的攻擊識別設備通常根據該攻擊識別設備的實際功能����,還可W 包括其他硬件��,對此不再寶述���。
[0058] 請參考圖4,為本申請?zhí)幚韴笪牡难b置的一個實施例框圖�����,所述裝置應用在攻擊識 別設備上��,所述裝置包括:解析單元410��、查找單元420��、阻斷單元430����、放行單元440、統(tǒng)計單 元 450��。
[0059] 其中�����,所述解析單元410,用于解析接收到的HTTP請求報文�����,獲得報文特征�;
[0060] 查找單元420,用于根據所述報文特征查找預先保存的黑名單��,所述黑名單為基于 可疑報文特征進行更新的黑名單���;
[0061] 阻斷單元430,用于在從所述黑名單中查找到所述報文特征時��,確定所述HTTP請 求報文為攻擊報文�,阻斷所述HTTP請求報文;
[0062] 放行單元440,用于在從所述黑名單中未查找到所述報文特征時�,放行所述HTTP 請求報文���;
[0063] 統(tǒng)計單元450���,用于在從所述黑名單中未查找到所述報文特征時��,根據所述報文特 征進行統(tǒng)計并根據統(tǒng)計結果得出可疑報文特征。 W64] 在一個可選的實現方式中�����,所述統(tǒng)計單元450包括(圖4中未示出):查找子單元����、 增加子單元����、添加子單元����。
[0065] 其中�����,所述查找子單元�,用于根據所述報文特征查找預先保存的統(tǒng)計名單���,所述統(tǒng) 計名單包括報文特征和統(tǒng)計數值的對應關系���;
[0066] 所述增加子單元,用于在從所述統(tǒng)計名單中查找到所述報文特征時���,將所述報文 特征對應的統(tǒng)計數值加1 ;
[0067] 所述添加子單元���,用于在從所述統(tǒng)計名單中未查找到所述報文特征時��,將所述報 文特征添加到所述統(tǒng)計名單中����,并將所述報文特征對應的統(tǒng)計數值置為1。
[0068] 在另一個可選的實現方式中�����,所述統(tǒng)計單元450還包括:(圖4中未示出):判斷子 單元��、標識子單元。
[0069] 其中����,所述判斷子單元,用于判斷所述統(tǒng)計名單中的數值是否達到預先設置的闊 值�����;
[0070] 所述標識子單元,用于在判斷得出所述統(tǒng)計名單中的統(tǒng)計數值達到預先設置的闊 值時����,將所述統(tǒng)計數值對應的報文特征標識為可疑報文特征�����。
[0071] 在另一個可選的實現方式中��,所述裝置還包括(圖4中未示出):顯示單元、添加 單元��。
[0072] 其中����,所述顯示單元����,用于在Web界面顯示所述可疑報文特征����;
[0073] 所述添加單元��,用于將所述Web界面中被選中的可疑報文特征添加到所述黑名 單。
[0074] 在另一個可選的實現方式中���,所述顯示單元包括(圖4中未示出):排序子單元、 顯示子單元���。
[00巧]其中�,所述排序子單元��,用于將所述可疑報文特征按照對應的統(tǒng)計數值W從大到 小的順序進行排序;
[0076] 顯示子單元�����,用于在Web界面顯示排在前N位的可疑報文特征,所述N為大于1的 自然數����。
[0077] 上述裝置中各個單元的功能和作用的實現過程具體詳見上述方法中對應步驟的 實現過程�,在此不再寶述。
[0078] 對于裝置實施例而言�,由于其基本對應于方法實施例���,所W相關之處參見方法實 施例的部分說明即可���。W上所描述的裝置實施例僅僅是示意性的,其中所述作為分離部件 說明的單元可W是或者也可W不是物理上分開的�,作為單元顯示的部件可W是或者也可W 不是物理單元,即可W位于一個地方���,或者也可W分布到多個網絡單元上。可W根據實際的 需要選擇其中的部分或者全部模塊來實現本申請方案的目的�。本領域普通技術人員在不付 出創(chuàng)造性勞動的情況下����,即可W理解并實施���。
[0079] W上所述僅為本申請的較佳實施例而已�,并不用W限制本申請,凡在本申請的精 神和原則之內���,所做的任何修改��、等同替換�、改進等�����,均應包含在本申請保護的范圍之內��。
【主權項】
1. 一種處理報文的方法�����,其特征在于�����,所述方法應用在攻擊識別設備上��,所述方法包 括: 解析接收到的超文本傳輸協(xié)議HTTP請求報文�,獲得報文特征; 根據所述報文特征查找預先保存的黑名單�,若從所述黑名單中查找到所述報文特征���, 則確定所述HTTP請求報文為攻擊報文��,阻斷所述HTTP請求報文,否則��,放行所述HTTP請求 報文,其中�����,所述黑名單為基于可疑報文特征進行更新的黑名單; 若從所述黑名單中未查找到所述報文特征���,則根據所述報文特征進行統(tǒng)計�,并根據統(tǒng) 計結果得出可疑報文特征。2. 根據權利要求1所述的方法����,其特征在于��,所述根據所述報文特征進行統(tǒng)計包括: 根據所述報文特征查找預先保存的統(tǒng)計名單���,所述統(tǒng)計名單包括報文特征和統(tǒng)計數值 的對應關系��; 若從所述統(tǒng)計名單中查找到所述報文特征����,則將所述報文特征對應的統(tǒng)計數值加1 ; 若從所述統(tǒng)計名單中未查找到所述報文特征����,則將所述報文特征添加到所述統(tǒng)計名單 中���,并將所述報文特征對應的統(tǒng)計數值置為1�。3. 根據權利要求2所述的方法�,其特征在于��,所述根據統(tǒng)計結果得出可疑報文特征包 括: 判斷所述統(tǒng)計名單中的統(tǒng)計數值是否達到預先設置的閾值���,若是,則將所述統(tǒng)計數值 對應的報文特征標識為可疑報文特征�����。4. 根據權利要求3所述的方法,其特征在于�����,所述方法還包括: 在Web界面顯示所述可疑報文特征; 將所述Web界面中被選中的可疑報文特征添加到所述黑名單。5. 根據權利要求4所述的方法��,其特征在于,所述在Web界面顯示所述可疑報文特征包 括: 將所述可疑報文特征按照對應的統(tǒng)計數值以從大到小的順序進行排序��; 在所述Web界面顯示排在前N位的可疑報文特征���,所述N為大于1的自然數���。6. -種處理報文的裝置����,其特征在于,所述裝置應用在攻擊識別設備上�,所述裝置包 括: 解析單元��,用于解析接收到的HTTP請求報文��,獲得報文特征���; 查找單元���,用于根據所述報文特征查找預先保存的黑名單,所述黑名單為基于可疑報 文特征進行更新的黑名單����; 阻斷單元,用于在從所述黑名單中查找到所述報文特征時�����,確定所述HTTP請求報文為 攻擊報文�����,阻斷所述HTTP請求報文; 放行單元��,用于在從所述黑名單中未查找到所述報文特征時��,放行所述HTTP請求報 文���; 統(tǒng)計單元��,用于在從所述黑名單中未查找到所述報文特征時����,根據所述報文特征進行 統(tǒng)計并根據統(tǒng)計結果得出可疑報文特征。7. 根據權利要求6所述的裝置���,其特征在于���,所述統(tǒng)計單元包括: 查找子單元����,用于根據所述報文特征查找預先保存的統(tǒng)計名單���,所述統(tǒng)計名單包括報 文特征和統(tǒng)計數值的對應關系; 增加子單元���,用于在從所述統(tǒng)計名單中查找到所述報文特征時��,將所述報文特征對應 的統(tǒng)計數值加1 ; 添加子單元���,用于在從所述統(tǒng)計名單中未查找到所述報文特征時�����,將所述報文特征添 加到所述統(tǒng)計名單中,并將所述報文特征對應的統(tǒng)計數值置為1����。8. 根據權利要求7所述的裝置���,其特征在于�,所述統(tǒng)計單元還包括: 判斷子單元,用于判斷所述統(tǒng)計名單中的統(tǒng)計數值是否達到預先設置的閾值�����; 標識子單元,用于在判斷得出所述統(tǒng)計名單中的統(tǒng)計數值達到預先設置的閾值時,將 所述統(tǒng)計數值對應的報文特征標識為可疑報文特征�����。9. 根據權利要求8所述的裝置,其特征在于��,所述裝置還包括: 顯示單元����,用于在Web界面顯示所述可疑報文特征����; 添加單元����,用于將所述Web界面中被選中的可疑報文特征添加到所述黑名單�����。10. 根據權利要求9所述的裝置�,其特征在于�,所述顯示單元包括: 排序子單元�����,用于將所述可疑報文特征按照對應的統(tǒng)計數值以從大到小的順序進行排 序�; 顯示子單元,用于在Web界面顯示排在前N位的可疑報文特征�,所述N為大于1的自然 數����。
【文檔編號】H04L29/08GK105939320SQ201510874597
【公開日】2016年9月14日
【申請日】2015年12月2日
【發(fā)明人】楊學良
【申請人】杭州迪普科技有限公司