CN102075365B - 一种网络攻击源定位及防护的方法、装置 - Google Patents
一种网络攻击源定位及防护的方法、装置 Download PDFInfo
- Publication number
- CN102075365B CN102075365B CN 201110038306 CN201110038306A CN102075365B CN 102075365 B CN102075365 B CN 102075365B CN 201110038306 CN201110038306 CN 201110038306 CN 201110038306 A CN201110038306 A CN 201110038306A CN 102075365 B CN102075365 B CN 102075365B
- Authority
- CN
- China
- Prior art keywords
- address
- attack
- source
- network
- node
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种网络攻击源定位及防护的方法、装置,所述的方法包括:采集网络加速环境的网络数据流;根据采集的网络数据流确定网络加速环境的各源IP地址;采集与网络加速环境相连接的网站的攻击报警日志数据;根据攻击报警日志数据确定网络加速环境中的攻击节点IP地址;根据攻击节点IP地址在网络加速环境的各源IP地址中进行搜索以定位出攻击节点IP地址对应的源IP地址;根据定位出的源IP地址确定对应的防护策略,并将所述的防护策略配置到所述网络加速环境中对应的攻击节点。以解决在网络加速环境下,传统的网络设备无法识别真实的攻击节点IP地址以及无法防范未知攻击行为的问题,同时节约了安全设备部署成本且设备维护成本低。
Description
技术领域
本发明关于网络信息安全处理技术,特别是关于在网络加速环境下的网络信息安全处理技术,具体地讲是一种网络攻击源定位及防护的方法、装置。
背景技术
随着互联网技术的飞速发展,越来越多的用户通过网站获取需要的相关信息。但随着网站访问量的激增,用户与网站之间的链路被大量的访问数据拥塞,因此用户的访问质量受到严重影响。网络加速环境的出现降低了网站接入链路的访问量,有效提高了用户的访问质量。但是,由于网络加速环境是在现有Internet中增加一层内容缓冲网络的新型网络结构,因此随着网络加速环境的广泛应用,对网络的安全造成了新的困扰。现有技术中的网络边界防护主要有以下两种方案:
(1)、网络入侵防护技术。在网络入侵防护技术中,主要设备均是基于攻击特征签名库而设置的。这种攻击特征签名库需要专业人员不断对已知的攻击行为进行分析,提取出攻击行为的典型特征,然后不断形成更新的攻击特征签名库。因此,这种网络入侵防护设备的不足在于仅能够检测已知发现的攻击行为,无法防范未知攻击行为。
(2)、IP地址封禁处理技术。在IP地址封禁处理技术中,对于传统的网络结构,一般根据网络入侵检测设备的攻击报警情况,在网络边界路由器或防火墙上对攻击节点IP地址进行封禁处理,防止攻击源进行进一步的攻击行为或无法识别的未知攻击。但是对于网络加速环境的新型网络结构,当用户通过网络加速根节点访问网站时,如果网络加速根节点未缓存用户请求的数据,那么所述的数据会通过网络加速根节点发送给网站主站。此时,网站主站侧的各类设备所能够识别的网络数据的源IP地址均为网络加速根节点IP地址,无法有效识别真实的攻击节点IP地址。因此,传统的网络设备如路由器、防火墙的安全策略无法防护这类攻击,将会严重影响网络的正常业务。
发明内容
本发明实施例提供了一种网络攻击源定位及防护的方法、装置,用以解决在网络加速环境下,传统的网络设备无法识别真实的攻击节点IP地址以及无法防范未知攻击行为的问题,同时节约了安全设备部署成本且设备维护成本低。
本发明的目的之一是,提供一种网络攻击源定位及防护方法,所述的方法包括:采集网络加速环境的网络数据流;根据采集的网络数据流确定网络加速环境的各源IP地址;采集与所述网络加速环境相连接的网站的攻击报警日志数据;根据所述的攻击报警日志数据确定网络加速环境中的攻击节点IP地址;根据所述的攻击节点IP地址在网络加速环境的各源IP地址中进行搜索以定位出所述的攻击节点IP地址对应的源IP地址;根据定位出的源IP地址确定对应的防护策略,并将所述的防护策略配置到所述网络加速环境中对应的攻击节点。
本发明的目的之一是,提供了一种网络攻击源定位及防护装置,所述的装置包括:数据流采集单元,用于采集网络加速环境的网络数据流;源IP地址获取单元,用于根据采集的网络数据流确定网络加速环境的各源IP地址;日志数据采集单元,用于采集与所述网络加速环境相连接的网站的攻击报警日志数据;攻击节点IP地址确定单元,用于根据所述的攻击报警日志数据确定网络加速环境中的攻击节点IP地址;攻击源定位单元,用于根据所述的攻击节点IP地址在网络加速环境的各源IP地址中进行搜索以定位出所述的攻击节点IP地址对应的源IP地址;防护策略配置单元,用于根据定位出的源IP地址确定对应的防护策略,并将所述的防护策略配置到所述网络加速环境中对应的攻击节点。
本发明的有益效果在于:实现了将隐藏在网络加速根节点IP地址之后的真实攻击节点IP地址成功定位,实时根据防护策略对网络加速环境边缘进行安全防护,有效防范了真实攻击节点IP地址的未知攻击行为,降低了网站应用系统的安全风险,同时节约了安全设备部署成本且设备维护成本低。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例网络攻击源定位及防护方法的实施方式一的流程图;
图2是本发明实施例网络攻击源定位及防护方法的实施方式二的流程图;
图3是图1中的步骤S20的具体流程图;
图4是图1中的步骤S50的具体流程图;
图5是本发明实施例的网络攻击源定位及防护装置的连接示意图;
图6是本发明实施例的网络攻击源定位及防护装置的结构框图;
图7是本发明实施例的网络攻击源定位及防护装置的另一种结构框图;
图8是源IP地址获取单元中分析单元的结构框图;
图9是图7中攻击源定位单元的结构框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1是本发明实施例的一种网络攻击源定位及防护方法的第一种实施方式的流程图,由图1可知,在实施方式一中,所述的方法包括以下步骤:
S10:采集网络加速环境的网络数据流,网络数据流可由网络中的接入装置实时镜像传送;
S20:根据采集的网络数据流确定网络加速环境的各源IP地址;
S30:采集与所述网络加速环境相连接的网站的攻击报警日志数据,攻击报警日志数据可由网络中的网络入侵检测装置根据网络中的攻击行为形成并且传送的;
S40:根据所述的攻击报警日志数据确定网络加速环境中的攻击节点IP地址;
S50:根据所述的攻击节点IP地址在网络加速环境的各源IP地址中进行搜索以定位出所述的攻击节点IP地址对应的源IP地址;
S60:根据定位出的源IP地址确定对应的防护策略,并将所述的防护策略配置到所述网络加速环境中对应的攻击节点。
图2是本发明实施例的网络攻击源定位及防护方法的第二种实施方式的流程图,由图2可知,在实施方式二中,所述的方法包括以下步骤:
S11:采集与所述网络加速环境相连接的网站的攻击报警日志数据,攻击报警日志数据可由网络中的网络入侵检测装置根据网络中的攻击行为形成并且传送;
S21:根据所述的攻击报警日志数据确定网络加速环境中的攻击节点IP地址;
S31:采集网络加速环境的网络数据流,网络数据流可由网络中的接入装置实时镜像传送;
S41:根据采集的网络数据流确定网络加速环境的各源IP地址;
S51:根据所述的攻击节点IP地址在网络加速环境的各源IP地址中进行搜索以定位出所述的攻击节点IP地址对应的源IP地址;
S61:根据定位出的源IP地址确定对应的防护策略,并将所述的防护策略配置到所述网络加速环境中对应的攻击节点。
在本发明提供的一种网络攻击源定位及防护方法中,实施方式一和实施方式二的区别在于对网络数据流和对攻击报警日志数据的处理顺序不同:在实施方式一中,先执行步骤S10、步骤S20即对网络中接入装置发送的网络数据流的处理,然后执行与骤S30、步骤S40中对攻击报警日志数据的处理;在实施方式二中,先执行步骤S11、步骤S21即对攻击报警日志数据的处理,然后执行步骤S31、步骤S41即对网络中接入装置发送的网络数据流的处理。在本发明的其他实施方式中,对网络中接入装置传送的网络数据流的处理也可以与对攻击报警日志数据的处理同时进行,具体流程此处不再赘述。
本发明中所提及的配置文件是保存在数据库中、预先设定的。网络加速环境一般会采用多层模式,本发明仅考虑根节点IP地址和最外层节点IP地址。
图3是图1中的步骤S20的具体流程图,由图3可知,该步骤具体包括:
S201:将所述采集的网络数据流进行数据包重组;
S202:判断所述的重组数据包是否为超文本传输协议HTTP数据包,当判断为是时,执行步骤S203;当判断为否时,将所述的重组数据包丢弃;
S203:识别所述的重组数据包的X-Forwarded-For字段;
S204:从所述的X-Forwarded-For字段的字符串列表中提取第一个IP地址,所述的IP地址即为源IP地址;
若从所述的字符串列表中提取的第一组字符串不是IP地址,则将其丢弃,并依次搜索下一组字符串,直至定位到第一个IP地址。对于网络加速根节点的HTTP数据流,X-Forwarded-For字段能够显示其真实源IP地址,以及所经过的每一层的网络加速节点IP地址。例如,假如攻击源123.124.177.6通过网络加速环境对某银行的网上银行门户进行了攻击行为,其产生的网络数据包的源IP地址则是网络加速根节点IP地址202.108.251.115。但是,如果对所述的数据包进行重组并判断所述的重组数据包是否为HTTP数据包,那么在HTTP协议层将含有真实的源IP地址123.124.177.6。
S205:统计所述的源IP地址的HTTP数据总量和攻击数据总量;
S206:将攻击时间(是否为时间)、源IP地址、源IP地址对应的网络加速节点IP地址、源端口、目标IP地址、目标端口、重组后的数据包的存储路径保存在数据库中,如表1所示。
表1
图4是图1中的步骤S50的具体流程图,由图4可知,步骤S50具体包括:
S501:根据攻击时间、攻击节点IP地址、目标IP地址在数据库中进行搜索;
S502:判断搜索结果是否为空,当判断结果为否时,执行步骤S504,当判断结果为是时,执行步骤S503;
S503:将所述的攻击报警日志丢弃;
S504:判断搜索结果是否为一条,当判断为否时,执行步骤S506,当判断为是时,执行步骤S505;
S505:所述的搜索结果即为唯一的攻击数据包,所述的攻击数据包的IP地址即为源IP地址;
S506:根据源端口、目标端口在搜索结果中进行二次搜索,并与攻击报警日志进行字段匹配以确定唯一的攻击数据包;
S507:所述的攻击数据包的IP地址即为源IP地址。
图1中的步骤S60具体包括:
根据所述的配置文件中预先设定的公式计算源IP地址的攻击强度值;
根据源IP地址的攻击强度值选择配置文件中对应的防护策略;
将对应的防护策略配置到所述网络加速环境中对应的攻击节点IP地址。
对于不同的网站,可以根据安全等级的高低,预先针对网络加速环境设置不同的攻击强度值计算公式,以及设定根据不同的攻击强度值确定防护策略的规则,而且可以预先设定不同的防护策略,下面以某行网上银行的门户为例具体说明:
在所述的实施例中,配置文件是预先设定的、记录有网络加速根节点IP地址、攻击频率阈值、攻击强度值中变量的权重值、封禁时间且保存在数据库中,配置文件中预先设定的参数可扩展标记语言XML文件的示例如表2所示:
表2
| <?xml version=″1.0″encoding=″UTF-8″?> |
| <Config> |
| <CacheNode> |
| <RootCache IP=″202.1.5.1″> |
| <IPAddress>202.1.5.8</IPAddress> |
| <IPAddress>202.1.6.9</IPAddress> |
| <RootCache> |
| <RootCache IP=″123.1.5.1″> |
| <IPAddress>123.1.5.8</IPAddress> |
| <IPAddress>123.1.6.9</IPAddress> |
| <RootCache> |
| </CacheNode> |
| <AttackThreshold> |
| <AttackLogNum>500</AttackLogNum> |
| <Time>10Min</Time> |
| </AttackThreshold> |
| <VariableWeights> |
| <AttackLevel>0.1</AttackLevel> |
| <AttackFrequency>0.4</AttackFrequency> |
| <ProportionOfAttack>0.2</ProportionOfAttack> |
| <ProportionOfBanNode>0.3</ProportionOfBanNode> |
| </VariableWeights> |
| <PeriodOfBan>10Min</PeriodOfBan> |
| </Config> |
其中,AttackThreshold是网络入侵检测装置攻击报警的阈值,在所述的示例中,每10分钟500报警日志则达到阈值;
AttackLevel是攻击级别的权重值,为0.1,攻击级别是根据网络入侵检测装置的报警日志数据的级别而定,例如可将攻击分为低、中、高三级,对应的计算基值分别为1、1.5、2;
AttackFrequency是攻击频率的权重值,为0.4,例如:当单个攻击源的攻击量超过攻击阈值AttackThreshold时,则其计算基值为1,否则为0;
ProportionOfAttack是攻击占比的权重值,为0.2,例如,计算基值为某个攻击源的攻击数据在所述的攻击源所有数据中的占比情况;
ProportionOfBanNode是封禁节点占比的权重值,为0.3,例如:计算基值为某网络加速最内层节点下已经对某个攻击源实施封禁的外层节点在所述的网络加速最内层节点里所有最外层节点的的占比情况;
PeriodOfBan是攻击源IP被封禁的时间。
在所述的行网上银行门户里,预先设定根据如下公式计算攻击强度值S:
S=V攻击级别W攻击级别+V攻击频率阈值W攻击频率+V攻击数据占比W攻击数据占比+V封禁节点占比W封禁 节点占比;
其中,从所述的配置文件获取W攻击级别、W攻击频率、W攻击数据占比、W封禁节点占比、V攻击频率阈值的值;
根据所述的真实攻击节点IP地址对应的攻击报警日志数据中的攻击报警级别获取预先设定的V攻击级别;
根据所述的源IP地址攻击HTTP数据包的数目与源IP地址所有HTTP数据包的总数的比值确定V攻击数据占比;
根据所述的源IP地址在网络加速最内层节点里实施封禁的最外层节点与所述的源IP地址在网络加速最内层节点里所有最外层节点的比值确定V封禁节 点占比。
对于确定的攻击节点IP地址,计算出其攻击强度值后,在数据库中查询所述的攻击强度值对应的防护策略。所述的行网上银行门户的防护策略如下:
当所述的攻击强度值S<0.5时,无需封禁真实攻击节点IP地址,更新数据库中攻击源对应的阈值纪录、攻击数据包统计值,计算V攻击数据占比;
当所述的攻击强度值S≥0.5时,向网络加速根节点发送防护策略,根据所述的防护策略在网络加速环境边缘对真实攻击节点IP地址实施封禁处理,更新数据库中对应的阈值记录、网络加速根节点封禁清单及最新的封禁时间,并计算V封禁节点占比,当封禁的是最内层节点时,则V封禁节点占比=1;更新数据库中攻击源的攻击数据包统计值,计算V攻击数据占比。
本发明提供的一种攻击源定位及防护方法除上述步骤之外,还可包括:
将攻击时间、源IP地址、攻击节点IP地址、源端口、目标IP地址、目标端口、攻击报警日志数据、防护策略进行显示以便后续查看,显示方式包括:WEB页面、邮件、短信、日志;
根据NTP与时间同步服务器周期性更新时间,也可在步骤S10之后,步骤S20之前,将采集的网络加速环境下的网络数据流根据NTP加入时间标签之后再进行组包。
图5是本发明实施例的网络攻击源定位及防护装置的连接示意图,将本发明提供的一种网络攻击源定位及防护装置部署于网络接入区域,结合网络入侵检测装置,能够成功检测真实攻击节点IP地址,并根据防护策略在网络加速环境的边缘进行分布式防护。
其中,所述的接入装置20为接入路由器或者核心交换机。在本发明的其实施方式中,所述的网络攻击源定位及防护装置30设置在网络入侵检测装置10上或者设置在接入装置20上,或者所述的攻击源定位及防护装置30、所述的接入装置20设置在网络入侵检测装置10上。
图6是本发明实施例的网络攻击源定位及防护装置的结构框图,由图6可知,所述的装置包括:
数据流采集单元301,用于采集网络加速环境的网络数据流;
源IP地址获取单元302,用于根据采集的网络数据流确定网络加速环境的各源IP地址;
日志数据采集单元303,用于采集与所述网络加速环境相连接的网站的攻击报警日志数据;
攻击节点IP地址确定单元304,用于根据所述的攻击报警日志数据确定网络加速环境中的攻击节点IP地址;
攻击源定位单元305,用于根据所述的攻击节点IP地址在网络加速环境的各源IP地址中进行搜索以定位出所述的攻击节点IP地址对应的源IP地址;
防护策略配置单元306,用于根据定位出的源IP地址确定对应的防护策略,并将所述的防护策略配置到所述网络加速环境中对应的攻击节点。
图7是本发明实施例的网络攻击源定位及防护装置的另一种结构框图,由图7可知,所述的网络攻击源定位及防护装置除了所述的数据流采集单元301、源IP地址获取单元302、日志数据采集单元303、攻击节点IP地址确定单元304、攻击源定位单元305、防护策略配置单元306之外,还包括:
显示单元307,用于将攻击时间、源IP地址、攻击节点IP地址、源端口、攻击目标IP地址、目标端口、攻击报警日志数据、防护策略以WEB页面、邮件、短信、日志中至少一个的方式进行显示。
时间同步单元308,用于根据网络时间协议NTP与时间同步服务器周期性更新时间,以确保攻击源定位及防护装置与网络入侵防护装置的时间保持同步。
图8是源IP地址获取单元中分析单元的结构框图,由图8可知,分析单元302包括:
第一判断单元3021,用于判断所述的重组数据包是否为HTTP数据包,当判断结果为是时,转入识别单元3022,当判断结果为否时,将所述的重组数据包丢弃;
所述的识别单元3022,用于识别所述的重组数据包的X-Forwarded-For字段;
提取单元3023,用于从所述的X-Forwarded-For字段的字符串列表中提取第一个IP地址,所述的IP地址即为源IP地址。
若从所述的字符串列表中提取的第一组字符串不是IP地址,则将其丢弃,并依次搜索下一组字符串,直至定位到第一个IP地址。对于网络加速根节点的HTTP数据流,X-Forwarded-For字段能够显示其真实源IP地址,以及所经过的每一层的网络加速节点IP地址。例如,假如攻击源123.124.177.6通过网络加速环境对某银行的网上银行门户进行了攻击行为,其产生的网络数据包的源IP地址则是网络加速根节点IP地址202.108.251.115。但是,如果对所述的数据包进行重组并判断所述的重组数据包是否为HTTP数据包,那么在HTTP协议层将含有真实的源IP地址123.124.177.6。
统计单元3024,用于统计所述的源IP地址的HTTP数据总量和攻击数据总量;
保存单元3025,用于将攻击时间、源IP地址、源IP地址对应的网络加速节点IP地址、源端口、目标IP地址、目标端口、重组后的数据包的存储路径保存在数据库中。
图9是图7中攻击源定位单元的结构框图,由图9可知,所述的攻击源定位单元305包括:
第一搜索单元3051,用于根据攻击时间、攻击节点IP地址、目标IP地址在数据库中进行搜索;
第二判断单元3052,用于判断搜索结果是否为空,当判断为是时,将该攻击报警日志丢弃,否则,转入第三判断单元3053;
所述的第三判断单元3053,用于判断搜索结果是否为一条,当搜索结果不是一条时,转入第二搜索单元3054,当搜索结果是一条时,所述的搜索结果即为唯一的攻击数据包,所述的攻击数据包的IP地址即为源IP地址;
所述的第二搜索单元3054,用于根据源端口、目标端口在搜索结果中二次搜索,与攻击报警日志数据进行字段匹配以确定唯一的攻击数据包,所述的攻击数据包的IP地址即为所述的攻击节点IP地址对应的源IP地址。
防护策略配置单元306具体包括:
计算单元,用于根据所述的配置文件中预先设定的公式计算源IP地址的攻击强度值;
防护策略确定单元,用于根据源IP地址的攻击强度值选择配置文件中对应的防护策略。
对于不同的网站,可以根据安全等级的高低,预先针对网络加速环境设置不同的攻击强度值计算公式,以及设定根据不同的攻击强度值确定防护策略的规则,而且可以预先设定不同的防护策略。
综上所述的,本发明实施例提供了一种网络攻击源定位及防护方法、装置,通过解析网络数据流以及攻击报警日志数据,对网络加速环境下的数据流重组,实现了将隐藏在网络加速根节点之后的真实攻击节点IP地址成功定位,实时根据防护策略对网络加速环境边缘进行安全防护,有效防范了真实攻击节点IP地址的未知攻击行为,降低了网站应用系统的安全风险,同时节约了安全设备部署成本且设备维护成本低。
本发明中应用了具体实施例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述的,本说明书内容不应理解为对本发明的限制。
Claims (16)
1.一种网络攻击源定位及防护的方法,其特征是,所述的方法包括:
采集网络加速环境的网络数据流;
根据采集的网络数据流确定网络加速环境的各源IP地址;
采集与所述网络加速环境相连接的网站的攻击报警日志数据;
根据所述的攻击报警日志数据确定网络加速环境中的攻击节点IP地址;
根据所述的攻击节点IP地址在网络加速环境的各源IP地址中进行搜索以定位出所述的攻击节点IP地址对应的源IP地址;
根据定位出的源IP地址确定对应的防护策略,并将所述的防护策略配置到所述网络加速环境中对应的攻击节点。
2.根据权利要求1所述的方法,其特征是,所述的根据采集的网络数据流确定网络加速环境的各源IP地址包括:
将所述采集的网络数据流进行数据包重组;
分析所述重组后的数据包以确定源IP地址。
3.根据权利要求2所述的方法,其特征是,分析所述重组后的数据包以确定各源IP地址包括:
判断所述的重组后的数据包是否为超文本传输协议HTTP数据包;
如果不是,将所述重组后的数据包丢弃;
否则,识别所述的重组数据包的X-Forwarded-For字段;
从所述的X-Forwarded-For字段的字符串列表中提取第一个IP地址,所述的第一个IP地址即为源IP地址。
4.根据权利要求3所述的方法,其特征是,分析所述重组后的数据包以确定各源IP地址还包括:
统计所述的各源IP地址的HTTP数据总量和攻击数据总量;
将攻击时间、源IP地址、网络加速根节点IP、源端口、目标IP地址、目标端口、重组后的数据包的存储路径保存在数据库中。
5.根据权利要求1或4所述的方法,其特征是,根据所述的攻击节点IP地址在网络加速环境的各源IP地址中进行搜索以定位出所述的攻击节点IP地址对应的源IP地址包括:
根据攻击时间、攻击节点IP地址、目标IP地址在网络加速环境的各源IP地址中进行搜索;
判断搜索结果是否为空,如果是,则将该攻击报警日志丢弃,
否则,判断搜索结果是否为一条;
当搜索结果不是一条时,根据源端口、目标端口在搜索结果中进行二次搜索,并与攻击报警日志数据进行字段匹配以确定唯一的攻击数据包,所述的攻击数据包的IP地址即为所述的攻击节点IP地址对应的源IP地址;
当搜索结果是一条时,所述的搜索结果即为唯一的攻击数据包,所述的攻击数据包的IP地址即为所述的攻击节点IP地址对应的源IP地址。
6.根据权利要求1所述的方法,其特征是,根据定位出的源IP地址确定对应的防护策略包括:
根据配置文件中预先设定的公式计算定位出的源IP地址的攻击强度值;
根据源IP地址的攻击强度值确定配置文件中对应的防护策略。
7.根据权利要求1所述的方法,其特征是,所述的方法还包括:
将攻击时间、源IP地址、攻击节点IP地址、源端口、目标IP地址、目标端口、攻击报警日志数据、防护策略进行显示;
所述的显示方式包括:WEB页面、邮件、短信、日志。
8.根据权利要求1所述的方法,其特征是,所述的方法还包括:
根据网络时间协议NTP与时间同步服务器周期性更新时间。
9.一种网络攻击源定位及防护装置,其特征是,所述的装置包括:
数据流采集单元,用于采集网络加速环境的网络数据流;
源IP地址获取单元,用于根据采集的网络数据流确定网络加速环境的各源IP地址;
日志数据采集单元,用于采集与所述网络加速环境相连接的网站的攻击报警日志数据;
攻击节点IP地址确定单元,用于根据所述的攻击报警日志数据确定网络加速环境中的攻击节点IP地址;
攻击源定位单元,用于根据所述的攻击节点IP地址在网络加速环境的各源IP地址中进行搜索以定位出所述的攻击节点IP地址对应的源IP地址;
防护策略配置单元,用于根据定位出的源IP地址确定对应的防护策略,并将所述的防护策略配置到所述网络加速环境中对应的攻击节点。
10.根据权利要求9所述的装置,其特征是,所述的源IP地址获取单元包括:
组包单元,用于将所述采集的网络数据流进行数据包重组;
分析单元,用于分析所述重组后的数据包以确定源IP地址。
11.根据权利要求10所述的装置,其特征是,所述的分析单元包括:
第一判断单元,用于判断所述的重组数据包是否为HTTP数据包,当判断结果为是时,转入识别单元,否则,将所述的重组数据包丢弃;
所述的识别单元,用于识别所述的重组数据包的X-Forwarded-For字段;
提取单元,用于从所述的X-Forwarded-For字段的字符串列表中提取第一个IP地址,所述的第一个IP地址即为源IP地址。
12.根据权利要求11所述的装置,其特征是,所述的分析单元还包括:
统计单元,用于统计所述的源IP地址的HTTP数据总量和攻击数据总量;
保存单元,用于将攻击时间、源IP地址、网络加速根节点IP、源端口、目标IP地址、目标端口、重组后的数据包的存储路径保存在数据库中。
13.根据权利要求9或12所述的装置,其特征是,所述的攻击源定位单元包括:
第一搜索单元,用于根据攻击时间、攻击节点IP地址、目标IP地址在网络加速环境的各源IP地址中进行搜索;
第二判断单元,用于判断搜索结果是否为空,当判断为是时,将该攻击报警日志丢弃;否则,转入第三判断单元;
所述的第三判断单元,用于判断搜索结果是否为一条,当搜索结果不是一条时,转入第二搜索单元,当搜索结果是一条时,所述的搜索结果即为唯一的攻击数据包,所述的攻击数据包的IP地址即为所述的攻击节点IP地址对应的源IP地址;
所述的第二搜索单元,用于根据源端口、目标端口在搜索结果中二次搜索,与攻击报警日志数据进行字段匹配以确定唯一的攻击数据包,所述的攻击数据包的IP地址即为所述的攻击节点IP地址对应的源IP地址。
14.根据权利要求13所述的装置,其特征是,所述的防护策略配置单元包括:
计算单元,用于根据所述的配置文件中预先设定的公式计算源IP地址的攻击强度值;
防护策略确定单元,用于根据源IP地址的攻击强度值选择配置文件中对应的防护策略。
15.根据权利要求9所述的装置,其特征是,所述的装置还包括:
显示单元,用于将攻击时间、源IP地址、攻击节点IP地址、源端口、攻击目标IP地址、目标端口、攻击报警日志数据、防护策略以WEB页面、邮件、短信、日志中至少一个的方式进行显示。
16.根据权利要求9所述的装置,其特征是,所述的装置还包括:
时间同步单元,用于根据网络时间协议NTP与时间同步服务器周期性更新时间。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 201110038306 CN102075365B (zh) | 2011-02-15 | 2011-02-15 | 一种网络攻击源定位及防护的方法、装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 201110038306 CN102075365B (zh) | 2011-02-15 | 2011-02-15 | 一种网络攻击源定位及防护的方法、装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102075365A CN102075365A (zh) | 2011-05-25 |
| CN102075365B true CN102075365B (zh) | 2012-12-26 |
Family
ID=44033720
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 201110038306 Active CN102075365B (zh) | 2011-02-15 | 2011-02-15 | 一种网络攻击源定位及防护的方法、装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102075365B (zh) |
Families Citing this family (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102752275B (zh) * | 2011-12-31 | 2015-05-13 | 华为技术有限公司 | 签名库的匹配路径生成方法及相关装置 |
| CN103595732B (zh) * | 2013-11-29 | 2017-09-15 | 北京奇虎科技有限公司 | 一种网络攻击取证的方法及装置 |
| CN104038494A (zh) * | 2014-06-11 | 2014-09-10 | 普联技术有限公司 | 一种记录攻击来源的方法及交换机 |
| CN104378357A (zh) * | 2014-10-23 | 2015-02-25 | 河北省电力建设调整试验所 | 一种HTTP Get Flood攻击的防护方法 |
| CN107645478B (zh) * | 2016-07-22 | 2020-12-22 | 阿里巴巴集团控股有限公司 | 网络攻击防御系统、方法及装置 |
| CN106131083A (zh) * | 2016-08-30 | 2016-11-16 | 迈普通信技术股份有限公司 | 一种攻击报文检测和防范的方法及交换机 |
| CN106506513A (zh) * | 2016-11-21 | 2017-03-15 | 国网四川省电力公司信息通信公司 | 基于网络流量的防火墙策略数据分析装置及方法 |
| CN108270600B (zh) * | 2016-12-30 | 2021-03-05 | 中国移动通信集团黑龙江有限公司 | 一种对恶意攻击流量的处理方法及相关服务器 |
| CN109214173A (zh) * | 2017-06-29 | 2019-01-15 | 国民技术股份有限公司 | 安全设备及其抗攻击方法 |
| CN108924084B (zh) * | 2018-05-22 | 2020-10-27 | 全球能源互联网研究院有限公司 | 一种网络设备安全评估方法及装置 |
| CN109586947B (zh) * | 2018-10-11 | 2020-12-22 | 上海交通大学 | 分布式设备信息采集系统和方法 |
| CN109696892A (zh) * | 2018-12-21 | 2019-04-30 | 上海瀚之友信息技术服务有限公司 | 一种安全自动化系统及其控制方法 |
| CN109818984A (zh) * | 2019-04-10 | 2019-05-28 | 吉林亿联银行股份有限公司 | 漏洞的防御方法及装置 |
| CN110445770B (zh) * | 2019-07-18 | 2022-07-22 | 平安科技(深圳)有限公司 | 网络攻击源定位及防护方法、电子设备及计算机存储介质 |
| CN110535857B (zh) * | 2019-08-29 | 2022-07-22 | 中国工商银行股份有限公司 | 防护网络攻击的方法和装置 |
| CN110674496A (zh) * | 2019-09-24 | 2020-01-10 | 杭州安恒信息技术股份有限公司 | 程序对入侵终端进行反制的方法、系统以及计算机设备 |
| CN112272164B (zh) * | 2020-09-30 | 2022-07-12 | 新华三信息安全技术有限公司 | 报文处理方法及装置 |
| CN114124540B (zh) * | 2021-11-25 | 2023-12-29 | 中国工商银行股份有限公司 | Ips封禁方法及装置 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101539936A (zh) * | 2009-04-30 | 2009-09-23 | 中国工商银行股份有限公司 | 一种假冒网站检测方法及设备 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100500589B1 (ko) * | 2003-09-03 | 2005-07-12 | 엘지엔시스(주) | 하드웨어기반의 패턴매칭을 이용한 웜 차단 방법 및 장치 |
| CN101014047A (zh) * | 2007-02-06 | 2007-08-08 | 华为技术有限公司 | 一种定位多媒体子系统网络攻击来源的方法、装置及防攻击系统 |
-
2011
- 2011-02-15 CN CN 201110038306 patent/CN102075365B/zh active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101539936A (zh) * | 2009-04-30 | 2009-09-23 | 中国工商银行股份有限公司 | 一种假冒网站检测方法及设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102075365A (zh) | 2011-05-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102075365B (zh) | 一种网络攻击源定位及防护的方法、装置 | |
| US9462009B1 (en) | Detecting risky domains | |
| CN103428224B (zh) | 一种智能防御DDoS攻击的方法和装置 | |
| CN103023924B (zh) | 基于内容分发网络的云分发平台的DDoS攻击防护方法和系统 | |
| CN107124434B (zh) | 一种dns恶意攻击流量的发现方法及系统 | |
| EP3068095B1 (en) | Monitoring apparatus and method | |
| US9258289B2 (en) | Authentication of IP source addresses | |
| CN201937611U (zh) | 一种网络攻击源定位及防护系统 | |
| CN106657025A (zh) | 网络攻击行为检测方法及装置 | |
| CN109600363A (zh) | 一种物联网终端网络画像及异常网络访问行为检测方法 | |
| US20140047543A1 (en) | Apparatus and method for detecting http botnet based on densities of web transactions | |
| CN102790778A (zh) | 一种基于网络陷阱的DDoS攻击防御系统 | |
| CN109413109A (zh) | 基于有限状态机的面向天地一体化网络安全状态分析方法 | |
| CN1719783A (zh) | 识别网络内分布式拒绝服务攻击和防御攻击的方法和系统 | |
| CN106357685A (zh) | 一种防御分布式拒绝服务攻击的方法及装置 | |
| CN106302450B (zh) | 一种基于ddos攻击中恶意地址的检测方法及装置 | |
| CN102271068A (zh) | 一种dos/ddos攻击检测方法 | |
| CN110266739A (zh) | 结合威胁情报的Fast-Flux僵尸网络的检测方法 | |
| CN102307123A (zh) | 基于传输层流量特征的nat流量识别方法 | |
| Ramamoorthi et al. | Real time detection and classification of DDoS attacks using enhanced SVM with string kernels | |
| CN102045344B (zh) | 一种基于路径信息弹性分片的跨域溯源方法及系统 | |
| CN104967588A (zh) | 分布式拒绝服务DDoS攻击的防护方法及其装置和系统 | |
| Osanaiye et al. | TCP/IP header classification for detecting spoofed DDoS attack in Cloud environment | |
| CN112565300B (zh) | 基于行业云黑客攻击识别与封堵方法、系统、装置及介质 | |
| EP3242240A1 (en) | Malicious communication pattern extraction device, malicious communication pattern extraction system, malicious communication pattern extraction method and malicious communication pattern extraction program |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |