(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211033964.7 (22)申请日 2022.08.26 (71)申请人 湖北天融信网络安全技 术有限公司 地址 430040 湖北省武汉市临 空港经济技 术开发区五环大道6 66号(21) 申请人 北京天融信网络安全技 术有限公司 　 北京天融信科技有限公司 　 北京天融信软件 有限公司 (72)发明人 邹浩　 (74)专利代理 机构 北京超凡宏宇专利代理事务 所(特殊普通 合伙) 11463 专利代理师 戚海洋 (51)Int.Cl. H04L 41/0893(2022.01) H04L 9/40(2022.01) (54)发明名称 获得防护策略集合、 报文检测的方法、 装置、 系统及介质 (57)摘要 本申请实施例提供了获得防护策略集合、 报 文检测的方法、 装置、 系统及介质， 该方法包括： 通过统计方式获取各类待处理报文， 其中， 不同 类的待处理报文是通过IP地址和端口号区分的； 获取与所述各类待处理报文分别对应的防护策 略， 得到防护策略集合， 通过本申请的一些实施 例能够针对不同类型的业务流量获得相对应的 防护策略， 从而能够提升报文检测的准确性， 进 而提升接收设备的安全性。 权利要求书2页 说明书9页 附图4页 CN 115396314 A 2022.11.25 CN 115396314 A 1.一种获得防护策略集 合的方法， 其特 征在于， 所述方法包括： 通过统计方式获取各类待处理报文， 其中， 不同类的待处理报文是通过IP地址和端口 号区分的； 获取与所述各类待处 理报文分别对应的防护策略， 得到防护策略集 合。 2.根据权利要求1所述的方法， 其特征在于， 所述各类待处理报文包括第i类待处理报 文， 其中， 所述第i类待处 理报文为所述各类待处 理报文中的任意 一类； 所述获取与所述各类待处 理报文分别对应的防护策略， 得到防护策略集 合， 包括： 统计所述第 i类待处理报文所对应的访问行为数据， 其中， 所述访问行为数据至少包括 预设时间内所述第i类待处 理报文的发包数量和传输时间； 基于所述访问行为数据， 生成与所述第i类待处 理报文对应的防护策略。 3.根据权利要求2所述的方法， 其特征在于， 所述防护策略包括检测阈值和防御阈值， 其中， 所述检测阈值用于判断是否触发预警， 所述防御阈值用于判断是否执行防御动作， 所 述检测阈值至少通过所述发包数量获得， 所述防御阈值至少包括出 口流量、 传输时间和发 送源访问地址占比中的一种； 所述基于所述访问行为数据， 生成与所述第i类待处 理报文对应的防护策略， 包括： 确认所述预设时间之内所述发包数量的最大值， 以及所述传输时间的最大值、 所述出 口流量的最大值和所述发送源访问地址占比的最大值； 将所述发包数量的最大值作为所述检测阈值， 并且将所述传输时间的最大值、 所述出 口流量的最大值和所述发送源访问地址占比的最大值中的至少一种作为所述防御阈值。 4.根据权利要求1 ‑3任一项所述的方法， 其特征在于， 在所述通过统计方式获取各类待 处理报文之前， 所述方法还 包括： 确认所述端口号满足预设的限制条件。 5.一种报文检测的方法， 其特 征在于， 所述方法包括： 获得待检测报文； 根据防护策略集合对所述待检测报文进行检测， 获得与 所述待检测报文分别对应的检 测结果。 6.根据权利要求5所述的方法， 其特征在于， 所述待检测报文为第j类待检测报文， 所述 防护策略集 合中包括与所述第j类待检测报文对应的第j检测阈值和第j防御阈值； 所述根据防护策略集合对所述待检测报文进行检测， 获得与 所述待检测报文分别对应 的检测结果， 包括： 确认所述第j类待检测报文对应的发包数量大于所述第j检测阈值， 则触发异常告警； 并且， 确认所述第j类待检测报文对应的传输时间大于所述第j防御阈值， 则执 行防御动作。 7.一种报文检测的系统， 其特 征在于， 所述系统包括： 网络安全设备， 被 配置为： 采用如权利要求5 ‑6任一项所述的方法获得待检测报文的检测结果； 若确认所述检测结果 为正常， 则发送所述待检测报文； 接收设备， 被 配置为接收所述待检测报文。 8.一种获得防护策略集 合的装置， 其特 征在于， 所述装置包括：权　利　要　求　书 1/2 页 2 CN 115396314 A 2报文获取模块， 被配置为通过统计方式获取各类待处理报文， 其中， 不同类的待处理报 文是通过IP地址和端口号区分的； 策略生成模块， 被配置为获取与所述各类待处理报文分别对应的防护策略， 得到防护 策略集合。 9.一种电子设备， 其特 征在于， 包括： 处 理器、 存储器和总线； 所述处理器通过所述总线与所述存储器相连， 所述存储器存储有计算机程序， 所述计 算机程序由所述处 理器执行时可实现如权利要求1 ‑6任一项所述方法。 10.一种计算机可读存储介质， 其特征在于， 该计算机可读存储介质上存储有计算机程 序， 该计算机程序被执 行时可实现如权利要求1 ‑6任一项所述方法。权　利　要　求　书 2/2 页 3 CN 115396314 A 3