一种报文的处理方法、系统及设备与流程

1.本技术涉及通信技术领域，特别是涉及一种报文的处理方法、系统及设备。


背景技术：

2.网络设备通常按照待转发报文的转发优先级，对待转发报文进行有序的转发。其中，转发优先级越高的报文，会被网络设备优先转发。对于协议报文、网络设备的检测报文以及较为重要的数据报文，正常的转发对网络设备的正常运行十分重要，所以，通常将这些报文对应的转发优先级均设置为最高的转发优先级，确保这些报文被有效的处理从而保证网络设备的正常运行。
3.但是，如果网络设备接收到最高的转发优先级的攻击报文，这些攻击报文也会被优先处理。由于每个网络设备的总带宽是有限的，一旦攻击报文的数量暴增，最高的转发优先级的报文的总带宽超过网络设备的总带宽，网络设备将会对最高的转发优先级对应的报文进行丢包处理，从而，很可能丢失协议报文、网络设备的检测报文或较为重要的数据报文，导致网络设备无法提供正常的业务。
4.目前，通过在网络设备上手动配置安全策略模板，网络设备通过该安全策略模板从接收的报文识别出安全的报文，对安全的报文进行正常转发，对于未识别出的报文进行丢弃，实现对攻击报文的防御，以提高网络安全。但是，该技术方案中，由于安全策略模板固定不变，无法有效的防御多变的攻击报文。
5.基于此，亟待提供一种报文的处理方法，使得网络设备能够有效的识别和处理攻击报文，确保最高转发优先级的安全报文被有效的转发。


技术实现要素：

6.基于此，本技术实施例提供了一种报文的处理方法、系统及设备，在最高转发优先级的攻击报文还未导致网络设备拥塞时，网络设备就能够识别和处理攻击报文，确保最高转发优先级的安全报文被有效的转发，使得网络设备提供正常的业务成为可能。
7.第一方面，本技术实施例提供了一种报文的处理方法，该方法可以包括：第一通信装置在确定通过第一端口传输的最高转发优先级的报文占用所述第一端口的带宽满足第一条件时，获取通过第一端口传输的最高转发优先级的报文中所包括的第一攻击报文的特征信息，并向控制管理实体发送该第一攻击报文的特征信息。其中，第一条件是是第一通信装置为第一端口配置的、用于确定是否需要对该第一端口实施攻击报文的处理的条件。这样，控制管理实体即可基于接收到的第一攻击报文的报文特征，生成报文处理策略，从而，第一通信装置能够基于该报文处理策略，对与第一攻击报文的特征信息匹配的报文进行丢包和/或限速等处理，避免基于高优先级报文进行攻击所导致网络设备拥塞，保证最高转发优先级的正常报文能够被有效的转发，使得第一通信装置提供正常的业务成为可能。
8.在一些可能的实现方式中，在第一通信装置向控制管理实体发送第一攻击报文的特征之后，控制管理实体还可以基于该第一攻击报文的特征信息生成报文处理策略，第一
通信装置获取该报文处理策略，该报文处理策略用于对与所述第一攻击报文的特征信息匹配的报文进行处理。如果控制管理实体属于第一通信装置内的功能模块时，第一通信装置获取报文处理策略可以通过内部数据传输实现；如果控制管理实体和第一通信装置分别为两个不同的设备时，第一通信装置获取报文处理策略可以通过报文实现，该报文具体可以是边界网关协议(英文：border gateway protocol，简称：bgp)报文、路径计算单元通信协议(英文：path computation element communication protocol，简称：pcep)报文、遥感勘测(英文：telemetry)报文或网络配置协议(英文：network configuration protocol，简称：netconf)报文中的任意一种报文，例如：报文处理策略可以携带在指示报文中扩展的类型长度值(英文：type length value，简称：tlv)字段携带第一攻击报文的特征信息。这样，通过获取控制管理实体生成的报文处理策略，为后续对与第一攻击报文的特征信息匹配的报文进行处理提供了前提，使得实现网络设备上最高转发优先级的正常报文被有效转发的目的成为可能。需要说明的是，下文中以控制管理实体和第一通信装置属于独立的两个网络设备为例进行描述。
9.在另一些可能的实现方式中，当第一通信装置接收到报文处理策略后，该第一通信装置即可基于该报文处理策略，对第一报文进行处理，该第一报文为特征信息与第一攻击报文的特征信息匹配的报文。这样，通过设置条件和该条件触发的相关操作，能够在仿冒最高转发优先级的攻击报文还未造成严重的网络拥塞时就对攻击报文进行有效的抑制，避免网络设备上最高转发优先级的大量攻击报文抢占正常报文的带宽资源，造成最高转发优先级的正常报文被丢弃从而影响网络的正常运行，而且，随着攻击报文被有效抑制，能够降低最高转发优先级的正常报文的转发时延，提高转发性能。
10.作为一个示例，第一通信装置基于报文处理策略，对第一报文进行处理，可以包括：基于报文处理策略，对第一报文进行丢包处理。或者，作为另一个示例，第一通信装置基于报文处理策略，对第一报文进行处理，也可以包括：基于报文处理策略，对第一报文进行限速处理。这样，通过对于与第一攻击报文的特征信息匹配的第一报文进行丢包或限速等抑制处理，有效的避免该攻击报文大量抢占最高转发优先级的正常报文的带宽资源，降低最高转发优先级的正常报文的转发时延。
11.其中，第一通信装置除了向控制管理实体发送第一攻击报文的特征信息，还可以向控制管理实体发送指示信息，该指示信息用于指示控制管理实体生成报文处理策略。一种情况下，第一通信装置可以将指示信息和第一攻击报文的特征信息分别携带在不同的指示报文中下发给控制管理实体。另一种情况下，第一通信装置可以将指示信息和第一攻击报文的特征信息携带在同一个指示报文中发送给控制管理实体。该指示报文可以是下述报文中的任意一种：bgp报文、pcep报文、telemetry报文或netconf报文。例如，可以通过上述任一类型的报文中扩展的tlv字段携带指示信息和第一攻击报文的特征信息。又例如，也可以通过上述任一类型的报文中的预留(英文：reserved)字段等其他可用字段携带指示信息和第一攻击报文的特征信息。
12.其中，第一条件可以包括通过第一端口传输的最高转发优先级的报文占用第一端口的带宽的比例大于或等于第一阈值。例如，第一阈值为70％，该第一端口的带宽为20兆字节每秒(英文：gb/s)，第一通信装置获取通过该第一端口传输的最高转发优先级的报文为15gb/s，则，第一通信装置确定该第一端口上最高转发优先级的报文占用该第一端口的带
宽的比例为(15
÷
20)＝75％，大于第一阈值70％，从而确定通过第一端口传输的最高转发优先级的报文占用该第一端口的带宽满足第一条件。或者，第一条件也可以包括通过第一端口传输的最高转发优先级的报文大于或等于第二阈值。例如，第二阈值为15gb/s，该第一端口的带宽为20gb/s，第一通信装置获取通过该第一端口传输的最高转发优先级的报文为15gb/s，则，第一通信装置确定该第一端口上最高转发优先级的报文的大小等于该第二阈值15gb/s，从而确定通过第一端口传输的最高转发优先级的报文占用该第一端口的带宽满足第一条件。
13.在一些可能的实现方式中，第一通信装置可以轮询检测各端口的带宽占用情况。以第一端口为例，第一通信装置可以轮询检测第一端口的带宽占用情况，例如，可以通过第一通信装置的流量管理(英文：traffic management，简称：tm)模块的定时器实现的，tm模块设置定时器的定时时间为1秒，在定时器计时达到1秒时，获取一次通过该第一端口传输的报文的大小。具体实现时，第一通信装置轮询检测第一端口的带宽占用情况，获取通过第一端口传输的所有报文的大小，接着，即可判断通过该第一端口传输的所有报文占该第一端口的带宽是否满足第二条件，如果不满足，则继续轮询检测，如果满足，则继续获取通过该第一端口传输的最高转发优先级的报文的大小，并判断通过该第一端口传输的最高转发优先级的报文占用该第一端口的带宽是否满足第一条件，否则继续轮询检测。其中，第二条件可以指通过第一端口传输的所有报文占用第一端口的带宽的比例大于或等于第三阈值，或者，第二条件也可以指通过第一端口传输的所有报文大于或等于第四阈值。可见，当第一通信装置通过轮询检测确定通过第一端口传输的所有报文满足第二条件时，确定第一端口传输的报文较多，有发生拥塞的风险，需要重点关注较为重要的最高转发优先级的带宽占用情况，此时，当确定通过第一端口传输的最高转发优先级的报文占用该第一端口的带宽满足第一条件时，可以认为该第一端口上传输的最高转发优先级的报文中可能存在攻击报文，也就是说，上述轮询机制以及两个判断条件，为了该第一通信装置上通过该第一端口传输的最高转发优先级的正常报文能够正常被转发提供了前提和保障。
14.在另一些可能的实现方式中，对于第一通信装置的第二端口，同样设置有与第一端口的第一条件对应的第三条件。对于第二端口上的报文处理过程，例如可以包括：第一通信装置确定通过第二端口传输的最高转发优先级的报文占用第二端口的带宽满足第三条件时，获取所述通过第二端口传输的最高转发优先级的报文中所包括的第二攻击报文的特征信息，并向控制管理实体发送第二攻击报文的特征信息。其中，第三条件可以指通过第二端口传输的最高转发优先级的报文占用所述第二端口的带宽的比例大于或等于第五阈值；或者，该第三条件也可以指通过第二端口传输的最高转发优先级的报文大于或等于第六阈值。需要说明的是，对于第二端口，同样可以通过上述一种或多种实现方式达到对仿冒的最高转发优先级的攻击报文的处理，相关描述不再赘述。
15.需要说明的是，攻击报文的特征信息，可以是指能够标识该攻击报文以及该攻击报文所属的攻击流的特征信息。攻击报文的特征信息具体可以是该攻击报文的五元组中的全部或部分内容，例如，攻击报文为互联网协议(英文：internet protocol，简称：ip)报文，该攻击报文的特征信息可以包括下述信息中的一个或多个：源ip地址、目的ip地址、源端口号、目的端口号或传输层协议号；又例如，攻击报文为多协议标签交换(英文：multiprotocol label switching，简称：mpls)报文，该攻击报文的特征信息可以包括下述
信息中的一个或多个：mpls标签、所述攻击报文的源媒体接入控制(英文：media access control，简称：mac)地址、目的mac地址、源ip地址和目的ip地址。
16.需要说明的是，第一通信装置可以根据运行网络场景的不同，对通过第一端口传输的该网络场景下的最高转发优先级的报文进行本技术实施例提供的处理方法。例如，第一通信装置可以运行在第四版互联网协议(英文：internet protocol version 4，简称：ipv4)网络、在第六版互联网协议(英文：internet protocol version 6，简称：ipv6)网络、虚拟专用网(英文：virtual private network，简称：vpn)网络、多协议标签交换(英文：multiprotocol label switching，简称：mpls)网络、虚拟扩展局域网(英文：virtual extensible local area network，简称：vxlan)等网络环境中。
17.需要说明的是，第一通信装置，可以是指能够实现报文转发功能的任意的网络设备，例如，通信装置可以是交换机、路由器等；或者，第一通信装置也可以是网络设备内具有报文转发功能的单板，芯片等。tm模块，可以是指第一通信装置中的tm芯片或能够实现tm功能的功能模块。第一通信装置的端口可以是该第一通信装置的物理端口也可以是该第一通信装置的逻辑端口。
18.第二方面，本技术实施例还提供了一种报文的处理方法，该方法包括：第一通信装置确定第一端口传输的最高转发优先级的报文占用该第一端口的带宽满足第一条件时，对通过第一端口传输的最高转发优先级报文进行分析，并确定第一端口传输的报文中包括具有所述最高转发优先级的攻击报文。
19.作为一个示例，当第一通信装置确定第一端口传输的报文中包括具有所述最高转发优先级的攻击报文时，该第一通信装置还可以向网管发送告警信号，该告警信号用于指示第一通信装置中具有攻击报文，从而，网管可以对网络进行安全防御，避免攻击报文对网络造成更大的威胁。此外，为了网管能够针对性的进行安全防御，该告警信号中还可以携带攻击的特征信息。
20.作为一个示例，该第一通信装置还可以在确定第一端口传输的报文中包括具有所述最高转发优先级的攻击报文之后，获取所述攻击报文的特征信息。此时，该第一通信装置还可以向控制管理实体发送所述攻击报文的特征信息，并获取控制管理实体生成的报文处理策略，该报文处理策略用于对与攻击报文的特征信息匹配的报文进行处理，这样，该第一通信装置即可基于所述报文处理策略，对第一报文进行丢包和/或限速处理，该第一报文为与攻击报文的特征信息匹配的报文。
21.其中，第一条件可以包括通过第一端口传输的最高转发优先级的报文占用第一端口的带宽的比例大于或等于第一阈值。或者，第一条件也可以包括通过第一端口传输的最高转发优先级的报文大于或等于第二阈值。
22.需要说明的是，该第二方面提供的方法的具体实现方式以及达到的效果，均可以参见上述第一方面的相关描述，在此不再赘述。
23.第三方面，本技术实施例还提供了一种报文的处理方法，该方法可以包括：第一通信装置确定通过第一端口传输的最高转发优先级的报文占用第一端口的带宽满足第一条件时，获取最高转发优先级的报文中的攻击报文的特征信息，并向控制管理实体发送所述攻击报文的特征信息；此时，控制管理实体即可基于攻击报文的特征信息生成报文处理策略，该报文处理策略用于对与所述攻击报文的特征信息匹配的报文进行处理。
24.作为一个示例，该方法还可以包括：第一通信装置获取控制管理设备生成的报文处理策略，从而，第一通信装置基于报文处理策略，对第一报文进行处理，第一报文为与攻击报文的特征信息匹配的报文。
25.作为又一个示例，该方法还可以包括：控制管理设备向第二通信装置发送报文处理策略，从而，第二通信装置基于报文处理策略，对第二报文进行处理，第二报文为与攻击报文的特征信息匹配的报文。
26.其中，第一条件可以包括通过第一端口传输的最高转发优先级的报文占用第一端口的带宽的比例大于或等于第一阈值。或者，第一条件也可以包括通过第一端口传输的最高转发优先级的报文大于或等于第二阈值。
27.需要说明的是，该第三方面提供的方法的具体实现方式以及达到的效果，均可以参见上述第一方面或第二方面的相关描述，在此不再赘述。
28.第四方面，本技术实施例还提供了一种报文的处理系统，该系统至少可以包括第一通信装置和控制管理实体，其中，第一通信装置，用于确定通过第一端口传输的最高转发优先级的报文占用所述第一端口的带宽满足第一条件时，获取并向控制管理实体发送所述最高转发优先级的报文中的攻击报文的特征信息；控制管理实体，用于根据攻击报文的报文特征信息，生成报文处理策略，该报文处理策略用于对与攻击报文的特征信息匹配的报文进行处理。
29.作为一个示例，所述控制管理设备，还用于向所述第一通信装置发送所述报文处理策略。那么，所述第一通信装置，还用于基于所述报文处理策略，对第一报文进行处理，所述第一报文为与所述攻击报文的特征信息匹配的报文。
30.作为另一个示例，该系统还可以包括第二通信装置，控制管理设备，还用于向所述第二通信装置发送所述报文处理策略。那么，所述第二通信装置，还用于基于所述报文处理策略，对第二报文进行处理，所述第二报文为与所述攻击报文的特征信息匹配的报文。
31.其中，第一条件可以包括通过第一端口传输的最高转发优先级的报文占用第一端口的带宽的比例大于或等于第一阈值。或者，第一条件也可以包括通过第一端口传输的最高转发优先级的报文大于或等于第二阈值。
32.需要说明的是，该第四方面提供的系统的具体实现方式以及达到的效果，均可以参见上述第一方面、第二方面或第三方面的相关描述，在此不再赘述。
33.第五方面，本技术还提供了第一通信装置，包括收发单元和处理单元。其中，收发单元用于执行上述第一方面、第一方面任意一种可能的实现方式、第二方面或第二方面任意一种可能的实现方式提供的方法中的收发操作，或者，用于执行上述第三方面或第三方面任意一种可能的实现方式提供的方法中第一通信装置的收发操作；处理单元用于执行上述第一方面、第一方面任意一种可能的实现方式、第二方面或第二方面任意一种可能的实现方式提供的方法中除了收发操作以外的其他操作，或者，用于执行上述第三方面或第三方面任意一种可能的实现方式提供的方法中第一通信装置的除了收发操作以外的其他操作。例如：当所述第一通信装置执行所述第一方面所述的方法时，所述收发单元用于向控制管理实体发送第一攻击报文的特征信息；所述处理单元用于确定通过第一端口传输的最高转发优先级的报文占用所述第一端口的带宽满足第一条件；所述处理单元还用于获取所述通过第一端口传输的最高转发优先级的报文中所包括的第一攻击报文的特征信息。
34.第六方面，本技术实施例还提供了一种第一通信装置，包括第一通信接口和处理器。其中，第一通信接口用于执行上述第一方面、第一方面任意一种可能的实现方式、第二方面或第二方面任意一种可能的实现方式提供的方法中的发送操作，或者，用于执行上述第三方面或第三方面任意一种可能的实现方式提供的方法中第一通信装置的发送操作；处理器，用于执行上述第一方面、第一方面任意一种可能的实现方式、第二方面或第二方面任意一种可能的实现方式提供的方法中的除所述接收和发送操作以外的其他操作，或者，用于执行上述第三方面或第三方面任意一种可能的实现方式提供的方法中第一通信装置的除所述接收和发送操作以外的其他操作。此外，该第一通信装置还可以包括第二通信接口，第二通信接口用于执行前述第一通信装置的接收操作。
35.第七方面，本技术实施例还提供了一种第一通信装置，该第一通信装置包括存储器和处理器。其中，该存储器包括计算机可读指令；与该存储器通信的处理器用于执行所述计算机可读指令，使得所述第一通信装置用于执行以上第一方面、第一方面任意一种可能的实现方式、第二方面或第二方面任意一种可能的实现方式提供的方法，或者，用于执行上述第三方面或第三方面任意一种可能的实现方式提供的方法中第一通信装置实施的方法。
36.第八方面，本技术实施例还提供了一种计算机可读存储介质，该计算机可读存储介质中存储有指令，当其在计算机上运行时，使得所述计算机用于执行以上第一方面、第一方面任意一种可能的实现方式、第二方面或第二方面任意一种可能的实现方式提供的方法，或者，用于执行上述第三方面或第三方面任意一种可能的实现方式提供的方法中第一通信装置实施的方法。
37.第九方面，本技术实施例还提供了计算机程序产品，包括计算机程序或计算机可读指令，当所述计算机程序或所述计算机可读指令在计算机上运行时，使得计算机执行以上第一方面、第一方面任意一种可能的实现方式、第二方面或第二方面任意一种可能的实现方式提供的方法，或者，用于执行上述第三方面或第三方面任意一种可能的实现方式提供的方法中第一通信装置实施的方法。
38.第十方面，本技术实施例还提供了一种通信系统，该通信系统包括第五方面、第六方面或第七方面提供的所述的第一通信装置以及第三方面提供的方法中对应的控制管理实体(或第四方面提供的系统中的控制管理实体)。
39.需要说明的是，上述实施例中的通信装置，可以是用于执行上述方法的网络设备，也可以是指用于执行上述方法的单板、线卡、芯片等。
附图说明
40.为了更清楚地说明本技术实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本技术中记载的一些实施例，对于本领域普通技术人员来讲，还可以根据这些附图获得其他的附图。
41.图1为本技术实施例所适用的网络10的结构示意图；
42.图2为本技术实施例在网络10中执行报文处理的流程示意图；
43.图3为本技术实施例中一种报文的处理方法100的流程示意图；
44.图4为本技术实施例中另一种报文的处理方法200的流程示意图；
45.图5为本技术实施例中再一种报文的处理方法300的流程示意图；
46.图6为本技术实施例中又一种报文的处理方法400的流程示意图；
47.图7为本技术实施例中一种报文的处理系统700的结构示意图；
48.图8为本技术实施例中一种第一通信装置800的结构示意图；
49.图9为本技术实施例中一种第一通信装置900的结构示意图；
50.图10为本技术实施例中一种第一通信装置1000的结构示意图。
具体实施方式
51.下面将结合附图，对本技术实施例中的技术方案进行描述。本技术实施例描述的网络架构以及业务场景是为了更加清楚的说明本技术实施例的技术方案，并不构成对于本技术实施例提供的技术方案的限定，本领域普通技术人员可知，随着网络架构的演变和新业务场景的出现，本技术实施例提供的技术方案对于类似的技术问题，同样适用。
52.本技术中的“1”、“2”、“3”、“第一”、“第二”以及“第三”等序数词用于对多个对象进行区分，不用于限定多个对象的顺序。
53.本技术中提及的“a和/或b”，应该理解为包括以下情形：仅包括a，仅包括b，或者同时包括a和b。
54.报文的源端网络设备在报文中携带优先级后，各网络设备根据报文中携带的优先级对该报文进行转发。其中，越重要的报文对应的优先级越高的报文，相比较低优先级的报文，网络设备对高优先级的报文优先进行转发。为了确保网络提供正常的业务服务，通常将协议报文、网络设备的检测报文以及较为重要的数据报文等影响网络设备的正常运行的报文设置最高的优先级，以确保这些报文被有效的处理。由于报文中携带的优先级用于指导网络设备对该报文进行转发处理的优先程度，所以，本技术实施例中将优先级称为转发优先级，本技术所述的转发优先级即指报文中携带的优先级字段所指示的报文的优先级，例如，当报文为互联网协议(英文：internet protocol，简称：ip)报文时，该报文的转发优先级可以通过该ip报文中的服务类型(英文：type of service，简称：tos)字段的值指示；又例如，当报文为多协议标签交换(英文：multiprotocol label switching，简称：mpls)报文时，该报文的转发优先级可以通过该mpls报文中的实验比特位(英文：experimental bits，简称：exp)字段的值指示。
55.网络设备如果接收到攻击报文，该攻击报文也携带最高的转发优先级，那么，这些攻击报文也会成为网络设备优先处理的对象，占用网络设备的带宽。由于每个网络设备的总带宽是有限的，接收的攻击报文很快会导致网络设备拥塞。例如，接收的待转发报文的总带宽超过网络设备的总带宽，此时，即使是最高的转发优先级对应的待处理报文，也会被网络设备进行丢包处理，导致网络设备丢失协议报文、检测报文或较为重要的数据报文，使得网络设备被大量攻击报文攻击，影响网络设备的正常运行。
56.面对上述场景，目前的安全防御机制中，通过在网络设备上手动配置安全策略模板，该安全策略模板用于识别安全的报文，这样，网络设备即可对通过安全策略模板识别出的安全报文进行正常的转发，对于安全策略模板不能识别出的报文视作攻击报文，对攻击报文进行丢弃。但是，该安全防御机制中，由于安全策略模板是固定的，一方面，如果攻击报文仿冒成能够被安全策略模板识别的安全报文的格式，则，无法有效的防御该攻击报文；另一方面，如果网络中有新的业务，则，需要修改安全策略模板使得该安全策略模块能够识别
出该新业务对应的报文，否则该新业务对应的报文将统统被丢弃，实现过程较为复杂。
57.基于此，本技术实施例提供了一种报文的处理方法，通信装置在确定通过某个端口传输的最高转发优先级的报文占用该端口的带宽满足条件时，即，在配置了最高转发优先级的攻击报文还未导致网络设备拥塞时，获取最高转发优先级的报文中的攻击报文的特征信息，并将攻击报文的特征信息发送给控制管理实体。从而，控制管理实体即可基于接收到的攻击报文的报文特征，生成报文处理策略，并向该通信装置发送报文处理策略，通信装置基于该报文处理策略对与攻击报文的特征信息匹配的报文进行处理(例如丢包和/或限速)。通过本技术提供的安全防御机制，能够有效的识别和处理攻击报文，有效避免基于高优先级报文进行攻击所导致网络设备拥塞，从而保证最高转发优先级的正常报文能够被有效的转发，使得通信装置提供正常的业务成为可能。
58.举例来说，以图1所示的网络10为例，该网络10中包括网络设备110、网络设备120、
…
、网络设备130和控制管理实体200。各网络设备中均包括流量管理(英文：traffic management，简称：tm)模块，例如网络设备110中包括tm模块111，网络设备120中包括tm模块121，网络设备130中包括tm模块131。tm模块用于对所属网络设备内的流量进行管理，例如统计网络设备上各端口对应的各转发优先级的报文的带宽。各网络设备至少具有报文转发的功能；控制管理实体200能够和各个网络设备进行数据交互，实现对网络设备的管理和控制。需要说明的是，该网络10中包括的网络设备的数量在本技术实施例中不作具体限定，例如网络设备可以多于3个，即，除了上述网络设备110、网络设备120和网络设备130以外，还包括其他的网络设备；或者，网络10中包括的网络设备数量也可以小于3。
59.作为一个示例，假设网络设备120上包括端口1，端口1的带宽为c，通过端口1传输的所有报文占用该端口1的带宽的阈值th1＝80％，通过端口1传输的最高转发优先级的报文占用该端口1的带宽的阈值th2＝70％。具体实现时，参见图2所示的流程示意图，攻击报文的处理过程可以包括：s11，网络设备120的tm模块121周期性的获取(例如每1秒获取一次)通过端口1传输的报文的带宽a；s12，tm模块121判断是否满足(a
÷
c)≥th1，如果满足，则，执行下述s13，否则，返回执行s11；s13，tm模块121获取通过端口1传输的最高转发优先级报文的带宽b；s14，tm模块121判断是否满足(b
÷
c)≥th2，如果满足，则，执行下述s15，否则，返回执行s11；s15，tm模块121获取通过端口1传输的最高转发优先级的报文中的攻击报文的五元组(即，攻击报文的源互联网协议(英文：internet protocol，简称：ip)地址、目的ip地址、源端口号、目的端口号和协议版本号)；s16，网络设备120将该攻击报文的五元组发送给控制管理实体200；s17，控制管理实体200基于攻击报文的五元组生成报文处理策略；s18，控制管理实体200将该报文处理策略发送给网络设备120；s19，网络设备120基于该报文处理策略对通过该端口1接收的报文中与攻击报文的五元组匹配的报文进行丢包或限速等处理。这样，通过设置阈值和上述的处理流程，能够在仿冒最高转发优先级的攻击报文还未造成严重的网络拥塞时就对攻击报文进行有效的抑制，避免网络设备上最高转发优先级的大量攻击报文抢占正常报文的带宽资源，造成最高转发优先级的正常报文被丢弃从而影响网络的正常运行，而且，随着攻击报文被有效抑制，能够降低最高转发优先级的正常报文的转发时延，提高转发性能，可见，本技术实施例提供的方法使得网络设备在存在攻击报文时仍然正常运行成为可能。
60.可以理解的是，上述场景仅是本技术实施例提供的一个场景示例，本技术实施例
并不限于此场景。
61.需要说明的是，本技术实施例中的通信装置，可以是指能够实现报文转发功能的任意的网络设备，例如，通信装置可以是交换机、路由器等；或者，通信装置也可以是网络设备内具有报文转发功能的单板，芯片等。控制管理实体可以是能够对通信装置进行控制的任意设备或功能实体，例如，控制管理实体可以是具有控制功能的网络云化引擎(英文：network cloud engine，简称：nce)、服务器或者路由器等；或者，控制管理实体也可以是任意一个通信装置内集成的功能实体，该功能实体可以通过硬件形式体现也可以通过软件形式体现。通信装置中的tm模块，可以是指通信装置中的tm芯片或能够实现tm功能的功能模块。
62.需要说明的是，本技术实施例中通信装置的端口可以是该通信装置的物理端口也可以是该通信装置的逻辑端口。
63.下面结合附图，通过实施例来详细说明本技术实施例中一种报文的处理方法的具体实现方式。
64.本技术实施例提供的一种报文的处理方法100，该方法100由第一通信装置实施，该第一通信装置可以是网络中具有报文转发功能的任意网络设备或网络设备内的单板、芯片等，例如，在图1所示的场景中，网络设备110、网络设备120、网络设备130均可以作为第一通信装置实施该方法100。图3为本技术实施例中一种报文的处理方法100的流程示意图。参见图3，该方法100例如可以包括：
65.s101，确定通过第一端口传输的最高转发优先级的报文占用该第一端口的带宽满足第一条件。
66.其中，报文中携带的转发优先级，用于指示转发该报文的通信装置转发该报文的优先程度，转发优先级越高，表征该报文越重要，通信装置越要优先转发该报文。例如，报文的转发优先级可以被划分为优先级0到优先级7，则优先级7的报文为最高转发优先级的报文。需要说明的是，报文的转发优先级以及最高转发优先级可以向后兼容，本技术实施例中所指的最高转发优先级，可以是之后出现的任意场景下最高的报文优先级。
67.报文的转发优先级，可以通过报文的优先级字段携带，第一通信装置可以通过解析所接收到报文的优先级字段，确定该报文所属的转发优先级。
68.第一条件，是第一通信装置为第一端口定义的、用于确定是否需要对该第一端口实施攻击报文的处理的条件。此外，第一通信装置也可以为每个端口设置对应的条件，例如，第一通信装置可以为第二端口设置对应的第三条件，该第三条件和第一条件可以相同也可以不同，本技术实施例中以第一通信装置上的某个端口为例进行说明。
69.作为一个示例，第一条件可以是通过第一端口传输的最高转发优先级的报文占用该第一端口的带宽的比例大于或等于第一阈值。其中，第一阈值为第一通信装置上预先为该第一端口对应设置的执行下述s102和s103的触发条件。例如，第一阈值为70％，该第一端口的带宽为20兆字节每秒(英文：gb/s)，第一通信装置获取通过该第一端口传输的最高转发优先级的报文为15gb/s，则，第一通信装置确定该第一端口上最高转发优先级的报文占用该第一端口的带宽的比例为(15
÷
20)＝75％，大于第一阈值70％，从而确定通过第一端口传输的最高转发优先级的报文占用该第一端口的带宽满足第一条件。相应的，第三条件可以是通过第二端口传输的最高转发优先级的报文占用该第二端口的带宽的比例大于或
等于第五阈值，其中，第五阈值可以等于第一阈值，也可以不等于第一阈值。
70.作为另一个示例，第一条件也可以是通过第一端口传输的最高转发优先级的报文大于或等于第二阈值。其中，第二阈值为第一通信装置上预先为该第一端口对应设置的执行下述s102和s103的触发条件。例如，第二阈值为15gb/s，该第一端口的带宽为20gb/s，第一通信装置获取通过该第一端口传输的最高转发优先级的报文为15gb/s，则，第一通信装置确定该第一端口上最高转发优先级的报文的大小等于该第二阈值15gb/s，从而确定通过第一端口传输的最高转发优先级的报文占用该第一端口的带宽满足第一条件。相应的，第三条件可以是通过第二端口传输的最高转发优先级的报文大于或等于第六阈值，其中，第六阈值可以等于第二阈值，也可以不等于第二阈值。
71.在一些可能的实现方式中，第一通信装置可以周期性(例如100毫秒)的获取通过第一端口传输的最高转发优先级的报文的大小，并判断通过第一端口传输的最高转发优先级的报文占用该第一端口的带宽是否满足第一条件。同理，第一通信装置也可以周期性的获取通过第二端口传输的最高转发优先级的报文的大小，并判断通过第二端口传输的最高转发优先级的报文占用该第二端口的带宽是否满足第二条件。这样，第一通信装置能够及时发现通过各端口传输的最高转发优先级的报文占用各端口的带宽的情况，如果发现某个端口上传输的最高转发优先级的报文占用该端口的带宽较多，从而对该端口进行下述s102～s103的处理，避免该端口发生拥塞影响对最高转发优先级的正常报文的转发。
72.在另一些可能的实现方式中，第一通信装置也可以基于事件触发，获取通过第一端口传输的最高转发优先级的报文的大小，并判断通过第一端口传输的最高转发优先级的报文占用该第一端口的带宽是否满足第一条件。例如，该触发执行s101的事件包括但不限定于：第一通信装置确定通过该第一端口传输的所有报文满足第二条件，其中，第二条件是第一通信装置为第一端口定义的、用于确定是否需要对该第一端口上最高转发优先级的报文进行测量的条件。当确定通过第一端口传输的所有报文占用该第一端口的带宽满足第二条件，则表示该第一端口上的占用率较大，需要获取通过该第一端口传输的最高转发优先级的报文并判断该第一端口上最高转发优先级的报文占用该第一端口的带宽是否满足第一条件，以保障最高转发优先级的正常报文能够正常转发。此外，第一通信装置也可以为每个端口设置对应的事件触发的条件，例如，第一通信装置可以为第二端口设置对应的第四条件，该第四条件和第二条件可以相同也可以不同，本技术实施例中以第一通信装置上的某个端口为例进行说明。
73.作为一个示例，第二条件可以是通过第一端口传输的所有报文占用该第一端口的带宽的比例大于或等于第三阈值。其中，第三阈值为第一通信装置上预先为该第一端口对应设置的阈值。例如，第三阈值为80％，该第一端口的带宽为20兆字节每秒(英文：gb/s)，第一通信装置获取通过该第一端口传输的所有报文为17gb/s，则，第一通信装置确定该第一端口上的所有报文占用该第一端口的带宽的比例为(17
÷
20)＝85％，大于第三阈值80％，从而确定通过第一端口传输的所有报文占用该第一端口的带宽满足第二条件。其中，第三阈值和第一阈值的大小关系不作具体限定。相应的，第四条件可以是通过第二端口传输的所有报文占用该第二端口的带宽的比例大于或等于第七阈值，其中，第七阈值可以等于第三阈值，也可以不等于第三阈值。
74.作为另一个示例，第二条件也可以是通过第一端口传输的所有报文大于或等于第
四阈值。其中，第四阈值为第一通信装置上预先为该第一端口对应设置的阈值。例如，第四阈值为18gb/s，该第一端口的带宽为20gb/s，第一通信装置获取通过该第一端口传输的所有报文为18.5gb/s，则，第一通信装置确定该第一端口上传输的所有报文的大小大于第四阈值18gb/s，从而确定通过第一端口传输的所有报文占用该第一端口的带宽满足第二条件。其中，第四阈值和第二阈值的大小关系不作具体限定。相应的，第四条件可以是通过第二端口传输的所有报文大于或等于第八阈值，其中，第八阈值可以等于第四阈值，也可以不等于第四阈值。
75.例如，第一通信装置上设置有第一阈值70％和第三阈值80％，则，在s101之前，该方法100还可以包括：s21，第一通信装置轮询第一端口，获取通过第一端口传输的所有报文的大小；s22，第一通信装置判断通过该第一端口传输的所有报文占该第一端口的带宽的比例是否大于或等于第三阈值，如果大于或等于，则，执行s23，否则，继续按照该s21继续轮询；s23，第一通信装置获取通过该第一端口传输的最高转发优先级的报文的大小；s24，第一通信装置判断通过该第一端口传输的最高转发优先级的报文占用该第一端口的带宽的比例是否大于或等于第一阈值，如果大于或等于，则，执行s101，即，确定通过该第一端口传输的最高转发优先级的报文占用该第一端口的带宽满足第一条件。
76.对于s21中的轮询，具体可以是通过第一通信装置的tm模块的定时器实现的，例如，设置定时器的定时时间为1秒，在定时器计时达到1秒时，获取一次通过该第一端口传输的最高转发优先级的报文的大小。
77.其中，第一通信装置获取通过第一端口传输的所有报文的大小，以及，获取通过第一端口传输的最高转发优先级的报文的大小，均可以是第一通信装置通过自身的tm模块对该第一端口执行测量操作实现的。
78.其中，第一通信装置可以根据运行网络场景的不同，对通过第一端口传输的该网络场景下的最高转发优先级的报文进行监控和处理。例如，第一通信装置可以运行在第四版互联网协议(英文：internet protocol version 4，简称：ipv4)网络、在第六版互联网协议(英文：internet protocol version 6，简称：ipv6)网络、虚拟专用网(英文：virtual private network，简称：vpn)网络、多协议标签交换(英文：multiprotocol label switching，简称：mpls)网络、虚拟扩展局域网(英文：virtual extensible local area network，简称：vxlan)等网络环境中。以第一通信装置运行在ipv6网络为例，第一条件可以是通过第一端口传输的最高转发优先级的ipv6报文占用该第一端口的带宽的比例大于或等于第一阈值；或者，第一条件也可以是通过第一端口传输的最高转发优先级的ipv6报文大于或等于第二阈值。该实施例中，第二条件可以是通过第一端口传输的所有ipv6报文占用该第一端口的带宽的比例大于或等于第三阈值；或者，第二条件也可以是通过第一端口传输的所有ipv6报文大于或等于第四阈值。
79.可见，当第一通信装置确定通过第一端口传输的最高转发优先级的报文占用该第一端口的带宽满足第一条件时，可以认为该第一端口上传输的报文较多，该第一端口上传输的报文中可能存在攻击报文，该第一端口上的最高转发优先级的协议报文、测试报文等重要的报文有可能被丢包，从而影响第一通信装置的正常运行。为了确保该第一通信装置上通过该第一端口传输的最高转发优先级的正常报文能够正常被转发，第一通信装置可以通过执行下述s102～s103进行攻击报文的处理。
80.s102，获取所述通过第一端口传输的最高转发优先级的报文中的第一攻击报文的特征信息。
81.其中，攻击报文的特征信息是指能够标识该攻击报文以及该攻击报文所属的攻击流的特征信息。攻击报文的特征信息具体可以是该攻击报文的五元组中的全部或部分内容，例如，攻击报文为ip报文，该攻击报文的特征信息可以包括下述信息中的一个或多个：源ip地址、目的ip地址、源端口号、目的端口号或传输层协议号；又例如，攻击报文为mpls报文，该攻击报文的特征信息可以包括下述信息中的一个或多个：mpls标签、所述攻击报文的源媒体接入控制(英文：media access control，简称：mac)地址、目的mac地址、源ip地址和目的ip地址。
82.作为一个示例，攻击报文的特征信息可以是源ip地址、目的ip地址、源端口号、目的端口号和传输层协议号，第一通信装置从通过该第一端口传输的最高转发优先级的报文中，根据各报文的源ip地址、目的ip地址、源端口号、目的端口号和传输层协议号，确定第一攻击报文，从而获取该第一攻击报文的源ip地址、目的ip地址、源端口号、目的端口号和传输层协议号，作为s102中所获取的最高转发优先级的报文中的第一攻击报文的特征信息。
83.作为另一个示例，攻击报文的特征信息可以是源端口号和目的端口号，第一通信装置从通过该第一端口传输的最高转发优先级的报文中，根据各报文的源端口号和目的端口号，确定第一攻击报文，从而获取该第一攻击报文的源端口号和目的端口号，作为s102中所获取的最高转发优先级的报文中的第一攻击报文的特征信息。例如，源端口号和目的端口号在不断跳变的报文，可以被第一通信装置确定为第一攻击报文。
84.作为又一个示例，攻击报文的特征信息可以是源mac地址和目的mac地址，第一通信装置从通过该第一端口传输的最高转发优先级的报文中，根据各报文的源mac地址和目的mac地址，确定第一攻击报文，从而获取该第一攻击报文的源mac地址和目的mac地址，作为s102中所获取的最高转发优先级的报文中的第一攻击报文的特征信息。例如，源mac地址和目的mac地址发生变化的报文，可以被第一通信装置确定为第一攻击报文。
85.具体实现时，第一通信装置的tm模块可以从通过该第一端口传输的最高转发优先级的报文中，确定第一攻击报文，并获取第一攻击报文的特征信息，为后续对第一攻击报文的处理提供了基础，使得能够感知和抑制第一攻击报文，为第一通信装置的正常运行提供了条件。
86.s103，向控制管理实体发送该第一攻击报文的特征信息。
87.具体实现时，s103例如可以是：第一通信装置向控制管理实体发送指示报文，该指示报文中携带s102所获取的第一攻击报文的特征信息。
88.其中，该指示报文可以是下述报文中的任意一种：边界网关协议(英文：border gateway protocol，简称：bgp)报文、路径计算单元通信协议(英文：path computation element communication protocol，简称：pcep)报文、遥感勘测(英文：telemetry)报文或网络配置协议(英文：network configuration protocol，简称：netconf)报文。例如，可以通过上述任一类型的报文中扩展的类型长度值(英文：type length value，简称：tlv)字段携带第一攻击报文的特征信息。又例如，也可以通过上述任一类型的报文中的预留(英文：reserved)字段等其他可用字段携带第一攻击报文的特征信息。
89.如果控制管理实体和第一通信装置分别属于两个不同的设备，以指示报文为
telemetry报文为例，在执行s103之前，还需要第一通信装置和控制管理实体之间通过路由协议实现网络层的连通，并且在第一通信装置和控制管理实体上配置并开启telemetry功能，这样，在s102之后，第一通信装置即可将第一攻击报文的特征信息携带在telemetry报文中发送给控制管理实体。
90.在一些可能的实现方式中，第一通信装置可以周期性的向控制管理实体发送攻击检测结果，控制管理实体确定所接收的攻击检测结果中包括第一攻击报文的特征信息之后，就可以主动的生成针对该第一攻击报文的报文处理策略。或者，第一通信装置进行在检测到第一攻击报文时，才向控制管理实体发送该第一攻击报文的特征信息，此时，控制管理实体也可以主动的生成针对该第一攻击报文的报文处理策略。
91.在另一些可能的实现方式中，第一通信装置除了向控制管理实体发送第一攻击报文的特征信息以外，还可以向该控制管理实体发送指示信息，用于指示控制管理实体生成报文处理策略，该报文处理策略用于对与第一攻击报文的特征信息匹配的报文进行处理。需要说明的是，第一通信装置可以将指示信息和第一攻击报文的特征信息携带在一个指示报文中发送给控制管理实体，或者，第一通信装置可以将指示信息和第一攻击报文的特征信息分别携带在不同的指示报文中分别发送给控制管理实体。其中，用于承载指示信息的指示报文可以是下述报文中的任意一种：bgp报文、pcep报文、telemetry报文或netconf报文。
92.如果控制管理实体和第一通信装置分别属于一个网络设备，以指示报文为telemetry报文为例，在执行s103之前，需要第一通信装置和控制管理实体上配置并开启telemetry功能，这样，在s102之后，第一通信装置即可将第一攻击报文的特征信息通过telemetry数据的形式发送给控制管理实体。
93.可见，通过本技术实施例提供的方法100，第一通信装置在确定通过第一端口传输的最高转发优先级的报文占用该第一端口的带宽满足第一条件时，就能够获取最高转发优先级的报文中的第一攻击报文的特征信息，并将第一攻击报文的特征信息发送给控制管理实体。从而，使得控制管理实体即可基于接收到的第一攻击报文的报文特征，生成报文处理策略，并向通信装置发送报文处理策略，从而，接收到报文处理策略的通信装置就能够基于该报文处理策略对与第一攻击报文的特征信息匹配的报文进行处理(例如丢包和/或限速)，这样，在第一攻击报文未导致第一通信装置的端口拥塞、威胁第一通信装置安全的情况下，该安全防御机制就有效的识别和处理了攻击报文，确保攻击报文不会导致通信装置拥塞，从而保证最高转发优先级的安全报文能够被有效的转发，使得第一通信装置提供正常的业务成为可能。
94.上述是以对第一端口上传输的最高转发优先级的报文中的攻击报文的处理为例，对本技术实施例提供的报文的处理方法的实现方式以及效果的描述，同理，该方法可以被适用于其他端口，例如，在确定通过第二端口传输的最高转发优先级的报文占用该第二端口的带宽满足第三条件时，获取所述通过第二端口传输的最高转发优先级的报文中的第二攻击报文的特征信息，并向控制管理实体发送该第二攻击报文的特征信息。其中，第一攻击报文和第二攻击报文中的“第一”和“第二”仅是为了区别不同端口上传输的最高转发优先级的攻击报文，并不特指某个报文。
95.在另一些可能的实现方式中，第一通信装置可以在确定通过第一端口传输的最高
转发优先级的报文占用该第一端口的带宽满足第一条件时，分析该通过第一端口传输的最高转发优先级的报文，确定通过该第一端口传输的最高转发优先级的报文中包括攻击报文。该实现方式中，第一通信装置还可以向网管发送告警信号，用于向网管通告该第一通信装置上具有攻击报文，以便网管对该第一通信装置以及可能传输攻击报文的通信装置进行管理和控制，确保网络安全性。
96.此外，本技术实施例还提供了另一种攻击报文的处理方法200，如图4所示，该方法200中，在上述方法100的s103之后，还可以包括：
97.s104，控制管理实体基于第一攻击报文的特征信息，生成报文处理策略，该报文处理策略用于对与第一攻击报文的特征信息匹配的报文进行处理。
98.其中，该报文处理策略例如可以包括第一攻击报文的特征信息和处理策略。第一攻击报文的特征信息用于说明待处理的报文的特征信息，使得执行该报文处理策略的第二通信装置能够确定出待按照处理策略进行处理的攻击报文。处理策略，是指对待处理报文执行的具体处理操作，例如可以是丢包操作，即，对与第一攻击报文的特征信息匹配的报文进行丢包处理；又例如可以是限速操作，即，对与第一攻击报文的特征信息匹配的报文进行限速处理。无论是丢包还是限速，均能够有效的减少攻击报文对网络资源的抢占，尤其降低了最高转发优先级的正常报文的带宽资源发生不足的概率。
99.其中，对于处理策略，可以采用目前任何的丢包和/或限速处理的算法，在本技术实施例中不作具体限定。
100.s105，控制管理实体向第二通信装置发送报文处理策略。
101.该第二通信装置和第一通信装置可以属于同一个网络设备，也可以属于两个不同的网络设备。
102.控制管理实体具体可以将报文处理策略携带在bgp报文、pcep报文、telemetry报文或netconf报文中发送给第二通信装置。
103.此外，该控制管理实体也可以向第二通信装置发送指示信息，用于指示第二通信装置依据该报文处理策略对与第一攻击报文的特征信息匹配的报文进行处理。
104.s106，第二通信装置基于报文处理策略，对与第一攻击报文的特征信息匹配的报文进行处理。
105.具体实现时，s106例如可以包括：第二通信装置获取第一报文；接着，判断该第一报文的报文特征和报文处理策略中第一攻击报文的报文特征是否匹配，如果匹配，则，基于报文处理策略中的处理策略对第一报文进行处理。其中，基于所述报文处理策略对第一报文进行处理，例如可以包括：基于报文处理策略中的处理策略对第一报文进行丢包处理，或者，基于报文处理策略中的处理策略对第一报文进行限速处理。
106.当第一通信装置和第二通信装置属于一个网络设备时，s106例如可以包括：第二通信装置确定通过第一端口传输的报文与报文处理策略中第一攻击报文的报文特征匹配，如果匹配，则，基于报文处理策略中的处理策略对该通过第一端口传输的报文进行丢包或限速处理，这样，能够避免第一通信装置上由于该第一攻击报文导致最高转发优先级的正常报文被丢包，确保第一通信装置对正常报文的有效转发
107.当第一通信装置和第二通信装置属于不同的网络设备时，该第二通信装置可以是属于该控制管理实体管控的任意一台网络设备，这样，即使该第一攻击报文攻击网络中的
其他通信装置，也能够避免其他通信装置由于该第一攻击报文导致最高转发优先级的正常报文被丢包，确保其他通信装置对正常报文的有效转发。
108.作为一个示例，该第二通信装置可以属于该攻击报文传输路径上第一通信装置所在网络设备的上一跳节点，这样，控制管理实体将报文处理策略发送给第二通信装置，对于第一通信装置来说，能够尽量实现从源头对第一攻击报文的抑制，使得第一攻击报文不再占用第一通信装置的带宽资源，消除该第一攻击报文对第一通信装置的影响。
109.该示例下，为了更加有效和彻底的抑制第一攻击报文，在执行s106的同时，控制管理实体还可以向第一通信装置发送该报文处理策略；那么，第一通信装置也可以基于该报文处理策略，对从该第一端口接收到的与攻击报文的特征信息匹配的报文进行处理。
110.为了避免网络中其他通信装置受到该第一攻击报文的影响，该控制管理实体还可以将该报文处理策略发送给网络中与该控制管理实体连接的所有通信装置，以便各个通信装置在接收到与该报文处理策略中的第一攻击报文的特征信息匹配的报文时，均可以将该报文确定为攻击报文，并基于报文处理策略中的处理策略对所确定的攻击报文进行丢包或限速处理。这样，可以有效的避免第一攻击报文在网络中的多个通信装置之间传输以攻击多个通信装置，大大的提高了网络安全性。
111.可见，通过本技术实施例提供的方法200，控制管理实体基于第一通信装置上报的第一攻击报文的特征信息生成报文处理策略并发送给第二通信装置，第二通信装置即可对与该第一攻击报文的特征信息匹配的报文进行处理，这样，在攻击报文未导致第一通信装置的端口拥塞、威胁第一通信装置安全的情况下，该安全防御机制就有效的识别和处理了攻击报文，确保攻击报文不会导致通信装置拥塞，从而保证最高转发优先级的安全报文能够被有效的转发，使得第一通信装置提供正常的业务成为可能。
112.上述是以对第一端口上传输的最高转发优先级的报文中的攻击报文的处理为例，对本技术实施例提供的报文的处理方法的实现方式以及效果的描述，同理，该方法200可以被适用于其他端口，例如，对于第二端口执行方法100所示的实施例之后，还可以包括：控制管理实体基于第二攻击报文的特征信息，生成报文处理策略，该报文处理策略用于对与第二攻击报文的特征信息匹配的报文进行处理；控制管理实体向第三通信装置发送报文处理策略；第三通信装置基于报文处理策略，对与第二攻击报文的特征信息匹配的报文进行处理。其中，该第三通信装置和第一通信装置可以属于同一个网络设备，也可以属于两个不同的网络设备。
113.图5示出了本技术实施例中一种报文的处理方法300的流程示意图。参见图5，该方法300以第一通信装置为执行主体，该方法300例如可以包括：
114.s301，第一通信装置确定第一端口传输的最高转发优先级的报文占用该第一端口的带宽满足第一条件；
115.s302，对通过第一端口传输的最高转发优先级报文进行分析；
116.s303，确定第一端口传输的报文中包括具有所述最高转发优先级的攻击报文。
117.作为一个示例，当第一通信装置确定第一端口传输的报文中包括具有所述最高转发优先级的攻击报文时，该第一通信装置还可以向网管发送告警信号，该告警信号用于指示第一通信装置中具有攻击报文，从而，网管可以对网络进行安全防御，避免攻击报文对网络造成更大的威胁。此外，为了网管能够针对性的进行安全防御，该告警信号中还可以携带
攻击的特征信息。
118.作为另一个示例，该第一通信装置还可以在确定第一端口传输的报文中包括具有所述最高转发优先级的攻击报文之后，获取所述攻击报文的特征信息。此时，该第一通信装置还可以向控制管理实体发送所述攻击报文的特征信息，并获取控制管理实体生成的报文处理策略，该报文处理策略用于对与攻击报文的特征信息匹配的报文进行处理，这样，该第一通信装置即可基于所述报文处理策略，对第一报文进行丢包和/或限速处理，该第一报文为与攻击报文的特征信息匹配的报文。
119.其中，第一条件可以包括通过第一端口传输的最高转发优先级的报文占用第一端口的带宽的比例大于或等于第一阈值。或者，第一条件也可以包括通过第一端口传输的最高转发优先级的报文大于或等于第二阈值。
120.需要说明的是，该方法300的具体实现方式以及达到的效果，均可以参见上述方法100和方法200的相关描述，在此不再赘述。
121.图6示出了本技术实施例中一种报文的处理方法400的流程示意图。参见图6，该方法400以第一通信装置和控制管理实体之间的交互进行描述，该方法400例如可以包括：
122.s401，第一通信装置确定通过第一端口传输的最高转发优先级的报文占用第一端口的带宽满足第一条件时，获取最高转发优先级的报文中的攻击报文的特征信息；
123.s402，第一通信装置向控制管理实体发送攻击报文的特征信息；
124.s402，控制管理实体基于攻击报文的特征信息生成报文处理策略，该报文处理策略用于对与所述攻击报文的特征信息匹配的报文进行处理。
125.作为一个示例，该方法400还可以包括：第一通信装置获取控制管理设备生成的报文处理策略，从而，第一通信装置基于报文处理策略，对第一报文进行处理，第一报文为与攻击报文的特征信息匹配的报文。
126.作为又一个示例，该方法400还可以包括：控制管理设备向第二通信装置发送报文处理策略，从而，第二通信装置基于报文处理策略，对第二报文进行处理，第二报文为与攻击报文的特征信息匹配的报文。
127.其中，第一条件可以包括通过第一端口传输的最高转发优先级的报文占用第一端口的带宽的比例大于或等于第一阈值。或者，第一条件也可以包括通过第一端口传输的最高转发优先级的报文大于或等于第二阈值。
128.需要说明的是，该方法400的具体实现方式以及达到的效果，均可以参见上述方法100～方法300的相关描述，在此不再赘述。
129.此外，本技术实施例还提供了一种报文的处理系统700，参见图7所示。该系统700至少可以包括第一通信装置701和控制管理实体702。其中，
130.第一通信装置701，用于确定通过第一端口传输的最高转发优先级的报文占用所述第一端口的带宽满足第一条件时，获取并向控制管理实体702发送所述最高转发优先级的报文中的攻击报文的特征信息；
131.控制管理实体702，用于根据攻击报文的报文特征信息，生成报文处理策略，该报文处理策略用于对与攻击报文的特征信息匹配的报文进行处理。
132.作为一个示例，所述控制管理设备702，还用于向所述第一通信装置发送所述报文处理策略。那么，所述第一通信装置701，还用于基于所述报文处理策略，对第一报文进行处
理，所述第一报文为与所述攻击报文的特征信息匹配的报文。
133.作为另一个示例，该系统700还可以包括第二通信装置，控制管理设备702，还用于向所述第二通信装置发送所述报文处理策略。那么，所述第二通信装置，还用于基于所述报文处理策略，对第二报文进行处理，所述第二报文为与所述攻击报文的特征信息匹配的报文。
134.其中，第一条件可以包括通过第一端口传输的最高转发优先级的报文占用第一端口的带宽的比例大于或等于第一阈值。或者，第一条件也可以包括通过第一端口传输的最高转发优先级的报文大于或等于第二阈值。
135.需要说明的是，该系统700的具体实现方式以及达到的效果，可以参见上述方法100～方法400的相关描述，或者，也可以参见图1和图2所示实施例的相关描述，在此不再赘述。
136.此外，本技术实施例还提供了一种第一通信装置800，参见图8所示。该第一通信装置800包括处理单元801和发送单元802。其中，处理单元801用于执行上述图3～图6所示的任一实施例中第一通信装置执行的处理操作；发送单元802用于执行上述图3～图6所示的任一实施例中第一通信装置执行的发送操作。例如：处理单元801可以执行图3中实施例中的操作：确定通过第一端口传输的最高转发优先级的报文占用所述第一端口的带宽满足第一条件；获取所述通过第一端口传输的最高转发优先级的报文中所包括的第一攻击报文的特征信息。例如：发送单元802可以执行图3中实施例中的操作：向控制管理实体发送第一攻击报文的特征信息。
137.此外，本技术实施例还提供了一种第一通信装置900，参见图9所示。该第一通信装置900包括第一通信接口901、第二通信接口902和处理器903。其中，第一通信接口901用于执行前述用于执行上述图3～图6所示的任一实施例中第一通信装置执行的接收操作；第二通信接口902用于执行前述图3～图6所示的任一实施例中第一通信装置执行的发送操作；处理器903用于执行上述图3～图6所示的任一实施例中第一通信装置执行的除了接收操作和发送操作之外的其他操作。例如：处理器903可以执行图3中实施例中的操作确定通过第一端口传输的最高转发优先级的报文占用所述第一端口的带宽满足第一条件；获取所述通过第一端口传输的最高转发优先级的报文中所包括的第一攻击报文的特征信息。
138.此外，本技术实施例还提供了一种第一通信装置1000，参见图10所示。该第一通信装置1000包括存储器1001和与存储器1001通信的处理器1002。其中，存储器1001包括计算机可读指令；处理器1002用于执行所述计算机可读指令，使得该第一通信装置1000执行上述图3～图6所示的任一实施例中第一通信装置执行的方法。
139.可以理解的是，上述实施例中，处理器可以是中央处理器(英文：central processing unit，缩写：cpu)，网络处理器(英文：network processor，缩写：np)或者cpu和np的组合。处理器还可以是专用集成电路(英文：application-specific integrated circuit，缩写：asic)，可编程逻辑器件(英文：programmable logic device，缩写：pld)或其组合。上述pld可以是复杂可编程逻辑器件(英文：complex programmable logic device，缩写：cpld)，现场可编程逻辑门阵列(英文：field-programmable gate array，缩写：fpga)，通用阵列逻辑(英文：generic array logic,缩写：gal)或其任意组合。处理器可以是指一个处理器，也可以包括多个处理器。存储器可以包括易失性存储器(英文：
volatile memory)，例如随机存取存储器(英文：random-access memory，缩写：ram)；存储器也可以包括非易失性存储器(英文：non-volatile memory)，例如只读存储器(英文：read-only memory，缩写：rom)，快闪存储器(英文：flash memory)，硬盘(英文：hard disk drive，缩写：hdd)或固态硬盘(英文：solid-state drive，缩写：ssd)；存储器还可以包括上述种类的存储器的组合。存储器可以是指一个存储器，也可以包括多个存储器。在一个具体实施方式中，存储器中存储有计算机可读指令，所述计算机可读指令包括多个软件模块，例如发送模块，处理模块和接收模块。处理器执行各个软件模块后可以按照各个软件模块的指示进行相应的操作。在本实施例中，一个软件模块所执行的操作实际上是指处理器根据所述软件模块的指示而执行的操作。处理器执行存储器中的计算机可读指令后，可以按照所述计算机可读指令的指示，执行报文的处理方法中第一通信装置可以执行的全部操作。
140.可以理解的是，上述实施例中，第一通信装置900的第二通信接口902，具体可以被用作第一通信装置800中的发送单元802，实现第一通信装置到控制管理实体之间的数据通信；第一通信装置900的第一通信接口901，具体可以被用作第一通信装置800中的接收单元，例如可以用于接收由上游网络设备发送的报文。
141.此外，本技术实施例还提供了一种通信系统，该通信系统中的第一通信装置例如可以是上述第一通信装置800、900或1000。例如，该通信系统为上述报文的处理系统700，那么，第一通信装置为第一通信装置701，控制管理实体为控制管理实体702。
142.此外，本技术实施例还提供了一种计算机可读存储介质，该计算机可读存储介质中存储有指令，当其在计算机上运行时，使得所述计算机执行以上图3～图6所示实施例中的所述报文的处理方法。
143.此外，本技术实施例还提供了计算机程序产品，包括计算机程序或计算机可读指令，当所述计算机程序或所述计算机可读指令在计算机上运行时，使得计算机执行前述图3～图6所示实施例中的所述报文的处理方法。
144.通过以上的实施方式的描述可知，本领域的技术人员可以清楚地了解到上述实施例方法中的全部或部分步骤可借助软件加通用硬件平台的方式来实现。基于这样的理解，本技术的技术方案可以以软件产品的形式体现出来，该计算机软件产品可以存储在存储介质中，如只读存储器(英文：read-only memory，rom)/ram、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者诸如路由器等网络通信设备)执行本技术各个实施例或者实施例的某些部分所述的方法。
145.本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于系统实施例和设备实施例而言，由于其基本相似于方法实施例，所以描述得比较简单，相关之处参见方法实施例的部分说明即可。以上所描述的设备及系统实施例仅仅是示意性的，其中作为分离部件说明的模块可以是或者也可以不是物理上分开的，作为模块显示的部件可以是或者也可以不是物理模块，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。
146.以上所述仅是本技术的优选实施方式，并非用于限定本技术的保护范围。应当指出，对于本技术领域的普通技术人员来说，在不脱离本技术的前提下，还可以作出若干改进
和润饰，这些改进和润饰也应视为本技术的保护范围。