CN105100024B - Udp数据包安全检测方法及装置 - Google Patents
Udp数据包安全检测方法及装置 Download PDFInfo
- Publication number
- CN105100024B CN105100024B CN201410216845.4A CN201410216845A CN105100024B CN 105100024 B CN105100024 B CN 105100024B CN 201410216845 A CN201410216845 A CN 201410216845A CN 105100024 B CN105100024 B CN 105100024B
- Authority
- CN
- China
- Prior art keywords
- tcp
- source address
- udp message
- message bag
- bag
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种UDP数据包安全检测方法,包括:接收UDP数据包,提取所述UDP数据包的源地址和业务类型标识;获取与所述UDP数据包的业务类型标识对应的TCP连接记录;根据所述获取到的TCP连接记录提取与所述源地址对应的TCP连接状态;判断所述TCP连接状态是否为正常,若是,则判定所述UDP数据包为安全数据包。此外,还提供了一种UDP数据包安全检测装置。上述UDP数据包安全检测方法及装置提高检测的准确性。
Description
技术领域
本发明涉及网络安全技术领域,特别是涉及一种UDP数据包安全检测方法及装置。
背景技术
在DDOS攻击防护中(Distribution Denial Of Service,即分布式拒绝服务,攻击者通过在短时间内向web服务器或应用服务器发送大量的数据包来消耗服务器带宽或CPU资源,使得服务器不能提供正常服务),依赖于攻击的固有特征进行过滤,比较容易被绕过,尤其是针对游戏业务,当遭受正常业务UDP数据包的重放攻击时,攻击包与业务正常通信包相同或相似,导致无法提取有效特征,使得在防护时,对UDP攻击数据包的检测的准确性不足,从而只能使用对业务体验损伤较大的端口白名单(对于非业务端口上的UDP包全部丢弃)或带宽限速(对UDP数据包进行限速,优先保证链路带宽质量,避免对同链路下其他业务的牵连影响)的方式进行DDOS攻击防护,影响了正常业务数据包的处理。
发明内容
基于此,有必要提供一种能够数据包检测的准确性的UDP数据包安全检测方法。
一种数据包特征提取方法,包括:
接收UDP数据包,提取所述UDP数据包的源地址和业务类型标识;
获取与所述UDP数据包的业务类型标识对应的TCP连接记录;
根据所述获取到的TCP连接记录提取与所述源地址对应的TCP连接状态;
判断所述TCP连接状态是否为正常,若是,则判定所述UDP数据包为安全数据包。
此外,还有必要提供一种能够数据包检测的准确性的UDP数据包安全检测装置。
一种UDP数据包安全检测装置,包括:
UPD包接收模块,用于接收UDP数据包,提取所述UDP数据包的源地址和业务类型标识;
连接记录获取模块,用于获取与所述UDP数据包的业务类型标识对应的TCP连接记录;
连接状态获取模块,用于根据所述获取到的TCP连接记录提取与所述源地址对应的TCP连接状态;
安全检测模块,用于判断所述TCP连接状态是否为正常,若是,则判定所述UDP数据包为安全数据包。
上述UDP数据包安全检测方法及装置中,在接收到TCP数据包之后,将其连接状态配置到与该TCP数据包的业务类型标识对应的TCP连接记录中;在接收到UDP数据包之后,先根据业务相关性查找到对应相同的业务类型标识的TCP连接的历史连接记录,然后在该TCP连接记录中查找UDP包的源地址对应的TCP连接状态来判断UDP数据包是否为攻击数据包。使得攻击者即使伪造正常业务的UDP数据包绕过数据包特征检测发起DDOS攻击,但由于其并没有相应的TCP连接,因此可被轻易识别为DDOS攻击数据包,因此,在传统技术的基础上提高了数据包安全检测的准确性。同时也使得web服务器或应用服务器在面对DDOS攻击时,无需对伪造正常业务的UDP数据包进行限流即可完成相应的DDOS攻击防护,从而提升了用户体验。
附图说明
图1为一个实施例中一种UDP数据包安全检测方法的流程图;
图2为一个实施例中生成TCP连接记录和设置TCP连接状态的流程图;
图3为一个实施例中一种同一个业务下的TCP连接与UDP连接的关联示意图;
图4为一个实施例中一种UDP数据包安全检测装置的结构示意图;
图5为一个实施例中运行上述UDP数据包安全检测方法的服务器硬件环境示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
在一个实施例中,为了能够在DDOS攻击防护过程中提高UDP数据包检测的准确度,从而避免端口白名单和带宽限速等降低用户体验的防护方式,特提出了一种UDP数据包安全检测方法,该方法的实现可依赖计算机程序,可运行于基于冯诺依曼体系的计算机系统上。该计算机系统可以是互联网应用的应用服务器或web服务器,该方法可以应用在基于UDP包的web攻击防护或DDOS攻击防护等典型的应用场景。
具体的,如图1所示,该方法包括:
步骤S102:接收UDP数据包,提取UDP数据包的源地址和业务类型标识。
UDP数据包的源地址即为发送该UDP数据包的网络地址(例如IP地址)。与UDP数据包对应的业务类型标识即为接收UDP数据包的业务服务器所处理的业务流程的业务类型标识。
例如,在一个游戏业务的应用场景中,游戏服务器与游戏客户端在一个游戏业务流程中,通常既建立有TCP连接,也建立有UDP连接。如图3所示,该游戏服务器可以是服务器集群,TCP连接和UDP连接可分别对应该服务器集群中的登录服务器(TCP连接)和游戏服务器(UDP连接)。用户可通过TCP连接登录游戏服务器集群中登录服务器的进行身份验证,而通过UDP连接与游戏服务器进行游戏数据的通信。该TCP连接与该UDP连接均为该游戏业务流程中环节,其均具有相应的业务类型标识,即对应该游戏服务器或该游戏的服务器集群。
步骤S104:获取与UDP数据包的业务类型标识对应的TCP连接记录。
步骤S106:根据获取到的TCP连接记录提取与源地址对应的TCP连接状态。
与UDP数据包的业务类型标识对应的TCP连接记录即为与UDP连接具有相应的业务类型标识的TCP连接的历史记录信息。如前例所述,在相同的游戏业务流程中,创建的TCP连接和UDP连接具有相同的业务类型标识,可根据UDP数据包的业务类型标识查找到相应的TCP连接的历史记录信息。
在本实施例中,TCP连接记录可以源地址白名单的形式存储,生成源地址白名单的过程可如图2所示,具体为:
步骤S202:接收TCP数据包,获取与TCP数据包对应的TCP连接。
步骤S202:判断TCP连接是否为正常业务连接,若是,则执行步骤S206。
步骤S206:获取TCP连接的原地址和业务类型标识,获取与业务类型标识对应的源地址白名单。
步骤S208:将源地址添加到源地址白名单中,并将该源地址的TCP连接状态设置为正常。
也就是说,业务服务器在接收连接请求之后,先判断该连接是TCP连接还是UDP连接,若为UDP连接,则执行前述步骤S102,若为TCP连接,则可执行步骤S202。
对于TCP连接,可对其通信进行五元组流跟踪。通过跟踪可以判断该TCP连接是否为与业务服务器建立的正常连接并进行过有效的数据通信。若是,则判断该TCP连接的源地址对应的客户端为正常进行业务操作的客户端,而非发起网络攻击的客户端,因此,可将该源地址添加到源地址白名单中,并将其TCP连接状态设置为正常。否则,可不添加该源地址,也可在添加源地址后将其TCP连接状态设置为风险。
而在接收到UDP数据包时,则可根据该UDP数据包对应的业务类型标识找到表示相应的TCP连接的历史记录的源地址白名单,然后根据该UDP数据包的源地址在源地址白名单中进行查找,即可查找得到相应的TCP连接状态。
相应的,在本实施例中,获取与UDP数据包的业务类型标识对应的TCP连接记录的步骤可具体为:获取与UDP数据包的业务类型标识对应的源地址白名单。
相应的,在本实施例中,根据获取到的TCP连接记录提取与源地址对应的TCP连接状态的步骤可具体为:在源地址白名单中查找与源地址对应的TCP连接状态。
步骤S108:判断TCP连接状态是否为正常,若是,则执行步骤S110,判定UDP数据包为安全数据包;否则,执行步骤S112,判定该UDP数据包不安全。
也就是说,若接收到UDP数据包时,业务服务器已建立有或建立过对应相应业务的TCP连接,且该TCP连接为正常状态,则意味着该UDP数据包为执行相应的业务流程时,业务服务器与客户端之间正常通信的UDP数据包。否则,可判定该UDP数据包为攻击数据包,从而可执行对该源地址进行屏蔽等操作。
在一个实施例中,还可对源地址白名单中的源地址对应的TCP连接状态进行检测,获取与TCP数据包对应的TCP连接的断开时间长度,判断断开时间长度是否大于阈值,若是,则将在源地址白名单中将其对应的源地址的TCP连接状态设置为断开超时。
也就是说,可将关闭时间较长的TCP连接的源地址对应的TCP连接状态设置为断开超时。例如,若用户通过某TCP连接发起身份校验请求,成功登录之后断开TCP连接,且阈值为10分钟,则,若该TCP连接断开时长小于10分钟,则在源地址白名单中该TCP连接的IP地址的TCP连接状态仍为正常,该用户使用的客户端向服务器发起的UDP数据包均会被判定为正常UDP数据包;而若该TCP连接断开时长大于10分钟,则在源地址白名单中该TCP连接的IP地址的TCP连接状态将更新为断开超时,在此之后该用户使用的客户端向服务器发起的UDP数据包则不会被判定为正常UDP数据包,可对其进行屏蔽也可进一步地采用其他UDP攻击防护手段进行进一步检测。
在一个实施例中,一种数据包特征提取装置,如图4所示,包括:UPD包接收模块102、连接记录获取模块104、连接状态获取模块106以及安全检测模块108,其中:
UPD包接收模块102,用于接收UDP数据包,提取所述UDP数据包的源地址和业务类型标识;
连接记录获取模块104,用于获取与所述UDP数据包的业务类型标识对应的TCP连接记录;
连接状态获取模块106,用于根据所述获取到的TCP连接记录提取与所述源地址对应的TCP连接状态;
安全检测模块108,用于判断所述TCP连接状态是否为正常,若是,则判定所述UDP数据包为安全数据包。
在本实施例中,如图4所示,UDP数据包安全检测装置还包括连接状态设置模块110,用于接收TCP数据包,获取与TCP数据包对应的TCP连接;判断所述TCP连接是否为正常业务连接,若是,则获取所述TCP连接的原地址和业务类型标识,获取与所述业务类型标识对应的源地址白名单;将所述源地址添加到所述源地址白名单中,并将该源地址的TCP连接状态设置为正常。
在本实施例中,连接记录获取模块104还用于获取与所述UDP数据包的业务类型标识对应的源地址白名单。
在本实施例中,连接状态获取模块106还用于在所述源地址白名单中查找与所述源地址对应的TCP连接状态。
在本实施例中,如图4所示,UDP数据包安全检测装置还包括连接状态更新模块112,用于获取所述与所述TCP数据包对应的TCP连接的断开时间长度,判断所述断开时间长度是否大于阈值,若是,则将在所述源地址白名单中将其对应的源地址的TCP连接状态设置为断开超时。
上述UDP数据包安全检测方法及装置中,在接收到TCP数据包之后,将其连接状态配置到与该TCP数据包的业务类型标识对应的TCP连接记录中;在接收到UDP数据包之后,先根据业务相关性查找到对应相同的业务类型标识的TCP连接的历史连接记录,然后在该TCP连接记录中查找UDP包的源地址对应的TCP连接状态来判断UDP数据包是否为攻击数据包。使得攻击者即使伪造正常业务的UDP数据包绕过数据包特征检测发起DDOS攻击,但由于其并没有相应的TCP连接,因此可被轻易识别为DDOS攻击数据包,因此,在传统技术的基础上提高了数据包安全检测的准确性。同时也使得web服务器或应用服务器在面对DDOS攻击时,无需对伪造正常业务的UDP数据包进行限流即可完成相应的DDOS攻击防护,从而提升了用户体验。
在一个实施例中,如图5所示,提供了一种可运行前述UDP数据包安全检测方法的服务器结构示意图,该服务器结构可应用于互联网应用的服务器上。该服务器500可因配置或性能不同而产生比较大的差异,可以包括一个或一个以上中央处理器(centralprocessing units,CPU)522(例如,一个或一个以上处理器)和存储器532,一个或一个以上存储应用程序542或数据544的存储介质530(例如一个或一个以上海量存储设备)。其中,存储器532和存储介质530可以是短暂存储或持久存储。存储在存储介质530的程序可以包括一个或一个以上模块(如前述的UPD包接收模块102、连接记录获取模块104、连接状态获取模块106以及安全检测模块108),每个模块可以包括对服务器中的一系列指令操作。更进一步地,中央处理器522可以设置为与存储介质530通信,在服务器500上执行存储介质530中的一系列指令操作。服务器500还可以包括一个或一个以上电源526,一个或一个以上有线或无线网络接口550,一个或一个以上输入输出接口558,和/或,一个或一个以上操作系统541,例如Windows ServerTM,Mac OS XTM,UnixTM,LinuxTM,FreeBSDTM等等。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random AccessMemory,RAM)等。
以上实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。
Claims (10)
1.一种UDP数据包安全检测方法,包括:
接收UDP数据包,提取所述UDP数据包的源地址和业务类型标识;
获取与所述UDP数据包的业务类型标识对应的TCP连接记录;所述TCP连接记录是所述业务类型标识对应的TCP连接的历史记录信息;
根据所述获取到的TCP连接记录提取与所述源地址对应的TCP连接状态;
判断所述TCP连接状态是否为正常,若是,则判定所述UDP数据包为安全数据包。
2.根据权利要求1所述的UDP数据包安全检测方法,其特征在于,所述方法还包括:
接收TCP数据包,获取与所述TCP数据包对应的TCP连接;
判断所述TCP连接是否为正常业务连接,若是,则获取所述TCP连接的源地址和业务类型标识,获取与所述业务类型标识对应的源地址白名单;
将所述源地址添加到所述源地址白名单中,并将该源地址的TCP连接状态设置为正常。
3.根据权利要求2所述的UDP数据包安全检测方法,其特征在于,所述获取与所述UDP数据包的业务类型标识对应的TCP连接记录的步骤为:
获取与所述UDP数据包的业务类型标识对应的源地址白名单。
4.根据权利要求2或3所述的UDP数据包安全检测方法,其特征在于,所述根据所述获取到的TCP连接记录提取与所述源地址对应的TCP连接状态的步骤为:
在所述源地址白名单中查找与所述源地址对应的TCP连接状态。
5.根据权利要求2所述的UDP数据包安全检测方法,其特征在于,所述方法还包括:
获取所述与所述TCP数据包对应的TCP连接的断开时间长度,判断所述断开时间长度是否大于阈值,若是,则将在所述源地址白名单中将其对应的源地址的TCP连接状态设置为断开超时。
6.一种UDP数据包安全检测装置,包括:
UDP包接收模块,用于接收UDP数据包,提取所述UDP数据包的源地址和业务类型标识;
连接记录获取模块,用于获取与所述UDP数据包的业务类型标识对应的TCP连接记录;所述TCP连接记录是所述业务类型标识对应的TCP连接的历史记录信息;
连接状态获取模块,用于根据所述获取到的TCP连接记录提取与所述源地址对应的TCP连接状态;
安全检测模块,用于判断所述TCP连接状态是否为正常,若是,则判定所述UDP数据包为安全数据包。
7.根据权利要求6所述的UDP数据包安全检测装置,其特征在于,所述装置还包括连接状态设置模块,用于接收TCP数据包,获取与所述TCP数据包对应的TCP连接;判断所述TCP连接是否为正常业务连接,若是,则获取所述TCP连接的源地址和业务类型标识,获取与所述业务类型标识对应的源地址白名单;将所述源地址添加到所述源地址白名单中,并将该源地址的TCP连接状态设置为正常。
8.根据权利要求7所述的UDP数据包安全检测装置,其特征在于,所述连接记录获取模块还用于获取与所述UDP数据包的业务类型标识对应的源地址白名单。
9.根据权利要求7或8所述的UDP数据包安全检测装置,其特征在于,所述连接状态获取模块还用于在所述源地址白名单中查找与所述源地址对应的TCP连接状态。
10.根据权利要求7所述的UDP数据包安全检测装置,其特征在于,所述装置还包括连接状态更新模块,用于获取所述与所述TCP数据包对应的TCP连接的断开时间长度,判断所述断开时间长度是否大于阈值,若是,则将在所述源地址白名单中将其对应的源地址的TCP连接状态设置为断开超时。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410216845.4A CN105100024B (zh) | 2014-05-21 | 2014-05-21 | Udp数据包安全检测方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410216845.4A CN105100024B (zh) | 2014-05-21 | 2014-05-21 | Udp数据包安全检测方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105100024A CN105100024A (zh) | 2015-11-25 |
| CN105100024B true CN105100024B (zh) | 2017-12-12 |
Family
ID=54579580
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410216845.4A Active CN105100024B (zh) | 2014-05-21 | 2014-05-21 | Udp数据包安全检测方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105100024B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106330911A (zh) * | 2016-08-25 | 2017-01-11 | 广东睿江云计算股份有限公司 | 一种cc攻击的防护方法及装置 |
| CN109996250A (zh) * | 2017-12-29 | 2019-07-09 | 洛阳中科晶上智能装备科技有限公司 | 检测tcp连接状态的方法 |
| CN111917608B (zh) * | 2020-08-07 | 2022-01-04 | 深圳市友华软件科技有限公司 | 基于Linux系统设备的Internet连通性的判断方法和装置 |
| CN112202791B (zh) * | 2020-09-28 | 2021-07-27 | 湖南大学 | 一种基于p-f的软件定义网络慢速拒绝服务攻击检测方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1625881A (zh) * | 2002-09-27 | 2005-06-08 | 松下电器产业株式会社 | 连接到互联网的服务器、设备、和通信系统 |
| CN101465855A (zh) * | 2008-12-31 | 2009-06-24 | 中国科学院计算技术研究所 | 一种同步泛洪攻击的过滤方法及系统 |
| CN101547134A (zh) * | 2008-03-27 | 2009-09-30 | 天津德智科技有限公司 | 一种udp连接和tcp连接相互转化的方法、系统及中转服务器 |
| CN101771575A (zh) * | 2008-12-29 | 2010-07-07 | 华为技术有限公司 | 一种处理ip分片报文的方法、装置及系统 |
-
2014
- 2014-05-21 CN CN201410216845.4A patent/CN105100024B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1625881A (zh) * | 2002-09-27 | 2005-06-08 | 松下电器产业株式会社 | 连接到互联网的服务器、设备、和通信系统 |
| CN101547134A (zh) * | 2008-03-27 | 2009-09-30 | 天津德智科技有限公司 | 一种udp连接和tcp连接相互转化的方法、系统及中转服务器 |
| CN101771575A (zh) * | 2008-12-29 | 2010-07-07 | 华为技术有限公司 | 一种处理ip分片报文的方法、装置及系统 |
| CN101465855A (zh) * | 2008-12-31 | 2009-06-24 | 中国科学院计算技术研究所 | 一种同步泛洪攻击的过滤方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105100024A (zh) | 2015-11-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103297433B (zh) | 基于网络数据流的http僵尸网络检测方法及系统 | |
| US11399288B2 (en) | Method for HTTP-based access point fingerprint and classification using machine learning | |
| Osanaiye | Short Paper: IP spoofing detection for preventing DDoS attack in Cloud Computing | |
| CN104601568B (zh) | 虚拟化安全隔离方法和装置 | |
| CN105763561B (zh) | 一种攻击防御方法和装置 | |
| US20120173712A1 (en) | Method and device for identifying p2p application connections | |
| CN105100024B (zh) | Udp数据包安全检测方法及装置 | |
| US20150326486A1 (en) | Application identification in records of network flows | |
| CN112468518B (zh) | 访问数据处理方法、装置、存储介质及计算机设备 | |
| US20220263823A1 (en) | Packet Processing Method and Apparatus, Device, and Computer-Readable Storage Medium | |
| CN105681250A (zh) | 一种僵尸网络分布式实时检测方法和系统 | |
| WO2014187120A1 (zh) | 基于网页图标匹配的品牌仿冒网站检测方法 | |
| CN104135490A (zh) | 入侵检测系统分析方法和入侵检测系统 | |
| CN112134893B (zh) | 物联网安全防护方法、装置、电子设备及存储介质 | |
| CN107395553B (zh) | 一种网络攻击的检测方法、装置及存储介质 | |
| CN103313429A (zh) | 一种识别伪造wifi热点的处理方法 | |
| Osanaiye et al. | TCP/IP header classification for detecting spoofed DDoS attack in Cloud environment | |
| CN113518042B (zh) | 一种数据处理方法、装置、设备及存储介质 | |
| CN103152325B (zh) | 防止通过共享方式访问互联网的方法及装置 | |
| JP2015222471A (ja) | 悪性通信パターン検知装置、悪性通信パターン検知方法、および、悪性通信パターン検知プログラム | |
| CN111865996A (zh) | 数据检测方法、装置和电子设备 | |
| CN116346418A (zh) | 基于联邦学习的DDoS检测方法及装置 | |
| WO2016008212A1 (zh) | 一种终端及检测终端数据交互的安全性的方法、存储介质 | |
| CN107979845A (zh) | 无线接入点的风险提示方法及设备 | |
| Alahari et al. | Performance analysis of denial of service dos and distributed dos attack of application and network layer of iot |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20180926 Address after: 100089 Beijing Haidian District Zhichun Road 49 No. 3 West 309 Patentee after: Tencent cloud computing (Beijing) limited liability company Address before: 518000 East 403 room, Sai Ge science and Technology Park, Futian District Zhenxing Road, Shenzhen, Guangdong, China, 2 Patentee before: Tencent Technology (Shenzhen) Co., Ltd. |
|
| TR01 | Transfer of patent right |