(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111342513.7 (22)申请日 2021.11.12 (71)申请人 湖北天融信网络安全技 术有限公司 地址 430040 湖北省武汉市武汉临 空港经 济技术开发区五环大道6 66号 （21） 申请人 北京天融信网络安全技 术有限公司 　 北京天融信科技有限公司 　 北京天融信软件 有限公司 (72)发明人 邹浩　 (74)专利代理 机构 北京开阳星知识产权代理有 限公司 1 1710 代理人 唐博 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 报文检测方法、 装置、 电子设备和存 储介质 (57)摘要 本公开实施例提供了一种报文检测方法、 装 置、 电子设备和存储介质， 涉及网络安全 领域。 其 中， 该方法通过判断目标报文是否携带有用于表 征所述目标报文为由代理服务器转发的报文的 代理字段， 若所述目标报文携带有代理字段， 则 确定所述目标报文的初始源IP地址所属的目标 服务器， 在第一统计周 期内， 实时判断所述目标 服务器的第一累积报文数量是否大于检测阈值； 若在所述第一统计周期内， 所述目标服务器的第 一累积报文数量大于检测阈值， 则启动第一防御 策略， 对所述目标服务器发送的报文进行检测。 从而， 解决防御系统难于通过监测初始源服务器 发送的网络流 量的大小选择防御策略的问题。 权利要求书2页 说明书13页 附图4页 CN 114095224 A 2022.02.25 CN 114095224 A 1.一种报文检测方法， 其特 征在于， 包括： 判断目标报文是否携带有代 理字段， 所述代理字段用于表征所述目标报文为由代理服 务器转发的报文； 若所述目标报文携带有代理字段， 则确定目标服务器， 所述目标服务器为所述目标报 文的初始源IP地址所属的服 务器； 在第一统计周期内， 实时判断所述目标服务器的第一累积报文数量是否大于检测阈 值； 若在所述第一统计周期内， 所述目标服务器的第一累积报文数量大于检测阈值， 则启 动第一防御策略， 对所述目标服 务器发送的报文 进行检测。 2.根据权利要求1所述的方法， 其特 征在于， 所述确定目标服 务器， 包括： 基于多模式引擎扫描算法， 获取 所述代理字段的特 征值； 基于预设二维数组， 获取所述代 理字段对应的属性值； 其中， 所述预设二维数组保存有 所述代理字段的特征值与所述属性值之 间的对应关系， 所述属性值包括所述目标报文的初 始源IP地址； 根据所述代理字段对应的属性 值， 确定所述目标服 务器。 3.根据权利要求1所述的方法， 其特征在于， 在所述第一统计周期内， 实时判断所述目 标服务器的第一累积 报文数量是否大于检测阈值之前， 所述方法还 包括： 获取所述目标服务器发送的报文所属的协议标签， 所述协议标签用于表征所述目标服 务器发送的报文所携带的协议； 判断所述目标服 务器发送的报文所属的协议标签是否为要 进行统计的协议标签； 若是， 则统计该协议标签对应的累积报文数量， 得到所述目标服务器的第一累积报文 数量。 4.根据权利要求1所述的方法， 其特征在于， 所述启动第一防御策略， 对所述目标服务 器发送的报文 进行检测， 包括： 启动重定向认证策略； 基于所述重 定向认证策略， 判断所述目标服 务器发送的报文是否通过认证。 5.根据权利要求 4所述的方法， 其特 征在于， 所述方法还 包括： 在所述第一统计周期内， 实时判断所述目标服务器的累积通过报文数量是否大于所述 检测阈值， 所述累积通过报文数量为在所述第一统计周期内， 所述 目标服务器发送的通过 认证的报文的数量； 若是， 则启动第二防御策略， 对所述目标服 务器发送的报文 进行检测。 6.根据权利要求5所述的方法， 其特征在于， 所述启动第二防御策略， 对所述目标服务 器发送的报文 进行检测， 包括； 启动验证码认证策略； 基于所述验证码认证策略， 判断所述目标服 务器发送的报文是否通过认证。 7.根据权利要求5所述的方法， 其特征在于， 在启动第二防御策略， 对所述目标服务器 发送的报文 进行检测之后， 所述方法还 包括： 在第二统计周期内， 实时判断所述目标服务器的第 二累积报文数量是否小于等于所述 检测阈值；权　利　要　求　书 1/2 页 2 CN 114095224 A 2若是， 则将所述第二防御策略切换为所述第一防御策略， 基于所述第一防御策略对所 述目标服 务器发送的报文 进行检测。 8.一种报文检测装置， 其特 征在于， 包括： 判断模块， 用于判断目标报文是否携带有代理字段， 所述代理字段用于表征所述目标 报文为由代理服 务器转发的报文； 解析模块， 若所述目标报文携带有代理字段， 则用于确定目标服务器， 所述目标服务器 为所述目标报文的初始源IP地址所属的服 务器； 检测模块， 用于在第一统计周期内， 实时判断所述目标服务器的第一累积报文数量是 否大于检测阈值； 防御模块， 若在所述第一统计周期内， 所述目标服务器的第一累积报文数量大于检测 阈值， 则用于启动第一防御策略， 对所述目标服 务器发送的报文 进行检测。 9.一种电子设备， 包括： 存储器和处理器， 所述存储器存储有计算机程序， 其特征在于， 所述处理器执行所述计算机程序时实现权利要求1至7中任一项所述的报文检测方法。 10.一种计算机可读存储介质， 其上存储有计算机程序， 其特征在于， 所述计算机程序 被处理器执行时实现权利要求1 ‑7任一项所述的报文检测方法。权　利　要　求　书 2/2 页 3 CN 114095224 A 3