CN105207997B - 一种防攻击的报文转发方法和系统 - Google Patents
一种防攻击的报文转发方法和系统 Download PDFInfo
- Publication number
- CN105207997B CN105207997B CN201510511526.0A CN201510511526A CN105207997B CN 105207997 B CN105207997 B CN 105207997B CN 201510511526 A CN201510511526 A CN 201510511526A CN 105207997 B CN105207997 B CN 105207997B
- Authority
- CN
- China
- Prior art keywords
- attack
- message
- newly
- built
- doubtful
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例提供了一种防攻击的报文转发方法和系统。对于未标记在攻击源列表的IP,根据所述IP的新建数据流的速率与配置的新建速率阀值比较结果或根据所述IP报文转发速率与配置的报文转发速率阀值比较结果,筛选疑似攻击IP;判定所述疑似攻击IP是否是攻击IP,若所述疑似攻击IP是攻击IP,识别所述攻击IP的类别,根据所述攻击IP类别将所述IP加入到对应的攻击源列表中,并针对所述攻击IP类别建立对应的防攻击策略;根据所述对应防攻击策略对所述IP的报文进行丢包处理或转发处理。该方法只要简单的提取出报文头部的五元组信息用来建立流表项和更新流表项。然后基于流表识别攻击源及攻击类型,可以大幅提供设备的转发性能。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种防攻击的报文转发方法和系统。
背景技术
近年来,随着网络开放性的不断提高,面临的网络威胁也越来越大。针对这种情况,可以在网络出口假设防火墙设备来实现访问控制。随着时间推移,人们渐渐不满足防火墙的单一功能,希望在提供防护的同时,增加行为审计、流量控制等新型功能,由此诞生了集成了多种功能的业务型网关。业务网关在功能上得到全面扩充,但是每增加一个功能都会增加对报文处理的开销,造成设备转发性能下降,其中对转发性能影响最大的就是防火墙功能。现有的防火墙技术主要可以归结为两大类:
数据包过滤:包过滤是在网络层根据访问控制表(ACL,Access Control Table)进行包选择的。它是根据包的源端口、目的端口、源IP地址、目的IP地址、封装协议类型(TCP、UDP、ICMP等)、ICMP报文类型等报头信息来判断是否允许包通过和过滤用户定义的内容。
优点:逻辑简单;处理包速度比代理服务器快;透明性好,不必对用户进行特殊的培训和安装特定的软件。
缺点:数据包的源地址、目的地址以及IP端口号都在报头容易被假冒和窃听;因为定义ACL比较复杂,因而维护比较困难;而且随着ACL数目的增加,转发性能会大幅下降。
应用层代理:应用层代理防火墙不允许网络直连,通常分为透明代理(Transparent Proxy)、传统代理(Traditional Proxy)。它是接收来自内部网络特定用户应用程序的通信,然后建立与外部服务器的单独连接。网络内部的用户不直接与外部的服务器通信,所以服务器不能直接访问内部网的任何一部分。因此无论内网主机还是外网主机都意识不到它们其实是在和防火墙通信。
优点:有强大的日志记录功能,能审查完整的网络数据;防火墙可以直接验证用户身份。
缺点:每个协议都需要单独的代理程序,因此它对新的网络程序或网络协议的支持很有局限性;对包解析会耗费大量CPU资源,大幅降低转发性能,因此会形成网络性能瓶颈。
发明内容
本发明的实施例提供了一种防攻击的报文转发方法和系统,本发明提供了如下方案:
一种防攻击的报文转发方法,包括:
对于未标记在攻击源列表的IP,根据所述IP的新建数据流的速率与配置的新建速率阀值比较结果或根据所述IP报文转发速率与配置的报文转发速率阀值比较结果,筛选疑似攻击IP;
判定所述疑似攻击IP是否是攻击IP,若所述疑似攻击IP是攻击IP,识别所述攻击IP的类别,根据所述攻击IP类别将所述IP加入到对应的攻击源列表中,并针对所述攻击IP类别建立对应的防攻击策略;
根据所述对应防攻击策略对所述IP的报文进行丢包处理或转发处理。
根据本发明的另一方面,还提供一种防攻击的报文转发系统,包括:
筛选模块:其用于对于未标记在攻击源列表的IP,根据所述IP的新建数据流的速率与配置的新建速率阀值比较结果或根据所述IP报文转发速率与配置的报文转发速率阀值比较结果,筛选疑似攻击IP;
识别模块:其用于判定所述疑似攻击IP是否是攻击IP,若所述疑似攻击IP是攻击IP,识别所述攻击IP的类别,根据所述攻击IP类别将所述IP加入到对应的攻击源列表中,并针对所述攻击IP类别建立对应的防攻击策略;
处理模块:其用于根据所述对应防攻击策略对所述IP的报文进行丢包处理或转发处理。
由上述本发明的实施例提供的技术方案可以看出,本发明实施例通过对于未标记在攻击源列表的IP,根据所述IP的新建数据流的速率与配置的新建速率阀值比较结果或根据所述IP报文转发速率与配置的报文转发速率阀值比较结果,筛选疑似攻击IP;判定所述疑似攻击IP是否是攻击IP,若所述疑似攻击IP是攻击IP,识别所述攻击IP的类别,根据所述攻击IP类别将所述IP加入到对应的攻击源列表中,并针对所述攻击IP类别建立对应的防攻击策略;根据所述对应防攻击策略对所述IP的报文进行丢包处理或转发处理。该方法不需要对报文进行深度检索分析,不要对每个报文进行过滤,也不需要复杂的探索算法,只要简单的提取出报文头部的五元组信息用来建立流表项和更新流表项。然后攻击源及攻击类型的识别完全基于流表,不需要对所有报文进行分析,可以大幅提供设备的转发性能。所以,在网关型设备上,用该方法替代防火墙功能,能为网络提供全面防护的同时,大幅提升网关的转发性能,并且该方法创建出来的流表稍作修改即可提供给业务性网关的其他业务模块共用。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例一提供的一种防攻击的报文转发方法的处理流程图;
图2为本发明实施例二提供的一种防攻击的报文转发方法的处理流程图;
图3为本发明实施例二提供的某个IP的流表项示例;
图4为本发明实施例三提供的一种防攻击的报文转发系统的模块图。
具体实施方式
为便于对本发明实施例的理解,下面将结合附图以几个具体实施例为例做进一步的解释说明,且各个实施例并不构成对本发明实施例的限定。
实施例一
设备驱动接收来自所有IP的报文;
从接收的报文中获取源IP,识别该源IP是否是虚拟IP,对所述虚拟IP的报文直接进行丢包处理;此时,根据虚拟IP表剔除虚拟IP后,还存在未识别出虚拟性的IP,未识别出虚拟性的IP包括:真实IP和未识别的IP,IP既不在虚拟IP列表中,也不在真实IP列表中,就说明没有识别出真实性,就是未识别的IP,未识别的IP可能是真实IP,也可能是虚拟IP。
对未识别出虚拟性的IP,先判断该虚拟IP是否在已建立的攻击源列表上,若在攻击源列表上,则该未识别出虚拟性的IP为已标记的攻击IP。
具体地,从来自未识别出虚拟性的IP的报文中提取五元组,在流表中判断所述五元组是否存在,若不存在,则新建流表项;若存在,则更新流表项。五元组包括:协议、源IP、目的IP、源端口、目的端口;每条数据流五元组都是唯一的,所以可以根据这个判断是否需要新建流项;当流表中不存在该五元组,此时新建流表项;当流表中存在该五元组,此时更新流表项;
若新建流表项,从新建报文中获取源IP,若更新流表项,从非新建报文中获取源IP,若该源IP在已建立的攻击源列表上,那么该源IP则为已标记的攻击IP;
对于未识别出虚拟性的IP中在已建立的攻击源列表筛选的已标记的攻击IP,则
检测所述IP是否在新建型攻击源列表中,若所述IP在新建型攻击源列表中,则执行对于新建攻击特征建立的处理策略;
检测所述IP是否在流量型攻击源列表中,若所述IP在流量型攻击源列表中,则执行对于流量型攻击特征建立的处理策略。
对未识别出虚拟性的IP中的真实IP,有的是在已建立的攻击源列表中标记的攻击IP,有的是尚未标记在攻击源列表的IP;
未识别出虚拟性的IP中的真实IP,包括:在已建立的攻击源列表中标记的攻击IP;但是对于未标记在攻击源列表的IP,有可能是虚拟IP,也有可能是真实IP;
若所述IP不在新建型攻击源列表中,或,若所述IP不在流量型攻击源列表中,则所述IP为未标记在攻击源列表的IP,则执行本实施例提供了一种防攻击的报文转发方法的处理流程如图1所示:
步骤11、对于未标记在攻击源列表的IP,根据所述IP的新建数据流的速率与配置的新建速率阀值比较结果或根据所述IP报文转发速率与配置的报文转发速率阀值比较结果,筛选疑似攻击IP;
根据所述IP的新建数据流的速率与配置的新建速率阀值比较结果,筛选疑似攻击IP;
具体地,监控所述IP的数据流的新建速率,当所述IP的新建数据流的速率超过配置的新建速率阀值,将所述该IP标记为疑似攻击IP;同时对当前正在处理的IP的报文,在流表中,为该IP的这条流分配一个流表项,并记录五元组信息、建立时间、报文交互信息、设置协议初始状态等必要信息,并转发该IP的报文;新建流表项的时候不需要识别IP的真实性,因为这时候这条数据流只有一个报文,识别IP真实性所需要的信息不足。
或,
根据所述IP报文转发速率与配置的报文转发速率阀值比较结果,筛选疑似攻击IP;
具体地,监控所述IP的报文转发速率,当所述IP报文转发速率超过配置的报文转发速率阀值,将该IP标记为疑似攻击IP;
同时对当前正在处理的IP的报文,当该IP是未识别出虚拟性的IP时,即所述IP不在虚拟IP表中,则更新流表项,转发该IP的报文。
此外,
当所述IP的新建数据流的速率不超过配置的新建速率阀值,则新建流表项,具体地,在流表中,为该IP的这条流分配一个流表项,并记录五元组信息、建立时间、报文交互信息、设置协议初始状态等必要信息;转发所述IP的报文;
或,
当所述IP报文转发速率不超过配置的报文转发速率阀值,且所述IP是未识别出虚拟性的IP时,即所述IP不在虚拟IP表中,则更新流表项,具体地,根据该非新建报文找到所属的流表项,更新流表项中的报文交互信息、协议状态、收到报文时间等内容;转发所述IP的报文,同时还触发对所述IP真实性的识别;
本实施例中,识别该IP的真实性;优选地,一段时间内不停的分析该IP的所有流表项的报文交互情况和协议状态,直到至少有一条流表项的报文存在交互,包括发送和接收,并且协议处于establish状态时,将该IP加入真实IP列表中,并终止;如果直到超时,也没有满足条件的流表项,则将该IP加入虚拟IP列表,并终止;具体地,例如在30秒内,该IP没有三次握手成功的TCP流时,就说明该IP还没有识别出真实性。如果30秒内,有三次握手成功的TCP流,就会马上识别真实IP;超过30秒还是没有握手成功的TCP流的话,就识别成虚拟IP。三次握手成功的TCP流,在流表项中对应的是establish状态。
步骤12、判定所述疑似攻击IP是否是攻击IP,若所述疑似攻击IP是攻击IP,识别所述攻击IP的类别,根据所述攻击IP类别将所述IP加入到对应的攻击源列表中,并针对所述攻击IP类别建立对应的防攻击策略;
判定所述疑似攻击IP是否是攻击IP,具体地,包括:
分析疑似攻击IP的流表项的五元组信息、报文交互信息、建立时间、协议状态判定疑似IP是否是真的攻击IP,若所述疑似攻击IP是攻击IP,标记所述攻击IP的攻击流;
若所述疑似攻击IP不是攻击IP,则清除所述IP的疑似攻击IP标记。
攻击IP类别,包括:
由于报文的五元组信息都不一样,当根据报文五元组信息将每一个报文对应建一个流表项,所述流表项没有或者有很少的后续报文,且只有发送报文,没有回应报文时,确定所述攻击IP类别为新建型攻击;
由于报文中大部分的五元组信息都一样,当根据报文五元组信息新建立流表项后,所述流表项后续还有持续性的大量报文,且只有发送报文,没有回应报文时,确定所述攻击IP类别为流量型攻击。
对应防攻击策略,包括:
对于新建攻击特征建立的处理策略包括:直接对攻击IP的所有报文进行丢包处理;或,对于攻击IP中超过新建速率阀的报文进行丢包处理,已经建立的流不受影响;
对于流量型攻击特征建立的处理策略包括:直接对攻击IP的所有报文进行丢包处理;或,对于攻击IP中的攻击流直接进行丢包处理,其他流不受影响。
步骤13、根据所述对应防攻击策略对所述IP的报文进行丢包处理或转发处理。
实施例二
该实施例提供了一种防攻击的报文转发方法的处理流程如图2所示,包括如下的处理步骤:
步骤21、设备驱动接收来自所有IP的报文;
步骤22、从接收的报文中获取源IP,识别虚拟IP,对虚拟IP的报文直接进行丢包处理,此时,根据虚拟IP表剔除虚拟IP后,还存在未识别出虚拟性的IP,未识别出虚拟性的IP包括:真实IP和未识别的IP,然后执行步骤23;
具体地,在虚拟IP表中查找是否包含该IP,包含则说明是伪造源IP攻击,对虚拟IP的报文直接进行丢包处理;否则则是未识别出虚拟性的IP,未识别出虚拟性的IP包括:真实IP和未识别的IP,IP既不在虚拟IP列表中,也不在真实IP列表中,就说明没有识别出真实性,就是未识别的IP,未识别的IP可能是真实IP,也可能是虚拟IP,只有在更新流表项的时候需要识别IP的真实性,在下述K251具体介绍。
对于识别出真实性的IP,包括:在已建立的攻击源列表中标记的攻击IP和未标记在攻击源列表的IP;
步骤23、对于来自未识别出虚拟性的IP的报文,根据所述报文判断是否新建立流表项,具体地,从报文中提取五元组,在流表中判断该五元组是否存在,若不存在,则新建流表项;若存在,则更新流表项;
五元组包括:协议、源IP、目的IP、源端口、目的端口;每条数据流五元组都是唯一的,所以可以根据这个判断是否需要新建流项;当流表中不存在该五元组,此时新建流表项;
若新建流表项,从新建报文中获取源IP,若更新流表项,从非新建报文中获取源IP,若该源IP在已建立的攻击源列表上,那么该源IP则为已标记的攻击IP;
对于未识别出虚拟性的IP中在已建立的攻击源列表筛选的已标记的攻击IP,
检测所述IP是否在新建型攻击源列表中,若所述IP在新建型攻击源列表中,具体步骤如下:
S231、从新建报文中获取源IP,并检测该IP是否在新建型攻击源列表中,若存在,则进入S232;若不存在,则进入S235;
S232、执行对应的防攻击策略;对应防攻击策略,包括:对于新建攻击特征建立的处理策略和对于流量型攻击特征建立的处理策略。
该IP在新建型攻击源列表中,则需要执行对于新建型攻击建立的处理策略,若是新建型严格策略,则执行S233,若是新建型宽松策略,则执行S234;
对于新建型攻击建立的处理策略包括:
S233、新建型严格策略:直接对该IP的所有报文进行丢包处理;
S234、新建型宽松策略:对于该IP中超过新建速率阀值的报文进行丢包处理,已经建立的流不受影响;
若所述IP不在新建型攻击源列表中,则执行:
S235、监控该IP的新建数据流的速率,当该IP的新建数据流的速率超过配置的新建速率阀值,将所述该IP标记为疑似攻击IP;
同时对当前正在处理的IP的报文,在流表中,为该IP的这条流分配一个流表项,并记录五元组信息、建立时间、报文交互信息、设置协议初始状态等必要信息,并转发该IP的报文;
并触发S236;
当所述该IP的新建数据流的速率阀值不超过配置的新建速率阀值,则进入步骤24;
S236、判定所述疑似攻击IP是否是攻击IP,若所述疑似攻击IP是攻击IP,识别所述攻击IP的类别,根据所述攻击IP类别将所述IP加入到对应的攻击源列表中,并针对所述攻击IP类别建立对应的防攻击策略;具体地,分析疑似攻击IP的所有流表项,通过五元组信息、报文交互信息、建立时间、协议状态等必要信息最终判定该疑似IP是否是真的攻击IP。
攻击类别包括:新建型攻击和流量型攻击;在必要情况下,可以对攻击类型进一步细致分类;识别出两大类攻击时,就一起识别出了具体的攻击类型;这里主要是考虑用户使用情况,如果用户想看具体的攻击类型,就可以把两大类攻击再具体呈现出详细的攻击类型,每类下面还可以细分出具体的攻击类型,如ICMP攻击之类的。如果是攻击IP,则把该IP加入到对应的攻击类型列表中,并在攻击流的流表项中打上标志,并针对所述攻击IP类别建立对应的防攻击策略;如果不是攻击源,则把疑似攻击源标记清除。
由于报文的五元组信息都不一样,当根据报文五元组信息将每一个报文对应建一个流表项,所述流表项没有或者有很少的后续报文,且只有发送报文,没有回应报文时,确定所述攻击IP类别为新建型攻击;
若确定为新建型攻击,执行对新建攻击特征建立处理策略,即执行S232至S235。
由于报文中大部分的五元组信息都一样,当根据报文五元组信息新建立流表项后,所述流表项后续还有持续性的大量报文,且只有发送报文,没有回应报文时,确定所述攻击IP类别为流量型攻击。
若确定为流量型攻击,执行对流量攻击特征建立处理策略,即执行K232至K235。
步骤24、新建流表项,转发该IP的报文。
当新建流表项时,在流表中,根据每五元组不一样的报文建立流表项,具体地,为该IP的这条流分配一个流表项,并记录五元组信息、建立时间、报文交互信息、设置协议初始状态等必要信息,并跟踪所述流表项的后续报文。
接着上述步骤23、当流表中存在该五元组,此时更新流表项;从非新建报文中获取源IP,若该源IP在已建立的攻击源列表上,那么该源IP则为已标记的攻击IP;
对于未识别出虚拟性的IP中在已建立的攻击源列表筛选的已标记的攻击IP,
检测所述IP是否在流量型攻击源列表中,若所述IP在流量型攻击源列表中,具体步骤如下:
K231、从非新建报文中获取源IP,并检测该IP是否在流量型攻击源列表中,若存在,则进入K232;若不存在,则进入K235;
K232、执行对应的防攻击策略;对应防攻击策略,包括:对于新建攻击特征建立的处理策略和对于流量型攻击特征建立的处理策略。
该IP在流量型攻击源列表中,则需要执行对于流量型攻击建立的处理策略,若是流量型严格策略,则执行K233,若是流量型宽松策略,则执行K234;
对于流量型攻击建立的处理策略包括:
K233、流量型严格策略:直接对疑似攻击IP的所有报文进行丢包处理;
K234、流量型宽松策略:根据非新建报文获取到该报文所属的流表项,并判断该流表项是否被置上攻击流标志,有置标志,则对该条流的后续所有的报文丢包,其他流不受影响;若没有置标志,则该IP不在流量型攻击源列表中,则转K235;
若所述IP不在流量型攻击源列表中,则执行:
K235、监控该IP的报文转发速率,当该IP报文转发速率超过配置的报文转发速率阀值,将该IP标记为疑似攻击IP,并触发K236,对疑似攻击IP进行判定;
当所述IP报文转发速率不超过配置的报文转发速率阀值,且所述IP被识别为未识别出虚拟性的IP时,则更新流表项,转发所述IP的报文,同时还触发对所述IP真实性的识别;具体执行步骤25;
同时对当前正在处理的IP的报文,执行步骤25;
K236、判定所述疑似攻击IP是否是攻击IP,若所述疑似攻击IP是攻击IP,识别所述攻击IP的类别,根据所述攻击IP类别将所述IP加入到对应的攻击源列表中,并针对所述攻击IP类别建立对应的防攻击策略;
具体地,分析疑似攻击IP的所有流表项,通过五元组信息、报文交互信息、建立时间、协议状态等必要信息最终判定该疑似IP是否是真的攻击IP。
攻击类别包括:新建型攻击和流量型攻击;在必要情况下,可以对攻击类型进一步细致分类;识别出两大类攻击时,就一起识别出了具体的攻击类型;这里主要是考虑用户使用情况,如果用户想看具体的攻击类型,就可以把两大类攻击再具体呈现出详细的攻击类型,每类下面还可以细分出具体的攻击类型,如ICMP攻击之类的。如果是攻击IP,则把该IP加入到对应的攻击类型列表中,并在攻击流的流表项中打上标志,并针对所述攻击IP类别建立对应的防攻击策略;如果不是攻击源,则把疑似攻击源标记清除。
报文的五元组信息都不一样,当根据报文五元组信息将每一个报文对应建一个流表项,所述流表项没有或者有很少的后续报文,且只有发送报文,没有回应报文时,确定所述攻击IP类别为新建型攻击;
例如附图3中,观察流1到流1000的特点是协议变,源目的IP不变,源端口变,目的端口不变,每条流的五元组都不同,再观察报文交互情况,只有发送字节数,没有接收字节数,每条流的状态都是TCP_SYN_SENT状态,而且该IP流表项中这样的流占据了绝大部分,再结合其他一些必要信息,就可以判断源IP 209.129.128.14是一个攻击源,并且属于新建型攻击,并在控制字段上打上标志。
若确定为新建型攻击,执行对新建攻击特征建立处理策略,即执行S232至S235。
报文中大部分的五元组信息都一样,当根据报文五元组信息新建立流表项后,所述流表项后续还有持续性的大量报文,且只有发送报文,没有回应报文时,确定所述攻击IP类别为流量型攻击。
例如附图3中,观察流1002,协议一直处于初始状态(STARTED),不存在报文交互,而且发送的字节数异常大,由此,可以识别出这是一条流量型攻击流,IP 209.129.128.14还属于流量型攻击源,并在该流表项的控制字段上置上流量型攻击标志。
若确定为流量型攻击,执行对流量攻击特征建立处理策略,即执行K232至K235。
步骤25、更新流表项,同时还触发K251,对所述IP真实性的识别;此时所述IP是未识别出虚拟性的IP时,即所述IP不在虚拟IP表中,但是其真实性又未识别;
具体地,从非新建报文中获取源IP,并检查该IP是否在虚拟IP表中,若在虚拟IP表中,则丢包处理;若该IP未识别出真实性既不在虚拟IP表中,也不在真实IP表中或者在真实IP列表中,则更新流表项;具体地,根据该非新建报文找到所属的流表项,更新流表项中的报文交互信息、协议状态、收到报文时间等内容;更新完流表项后,进入步骤26,转发该IP的报文;同时,此时该IP没有识别出真实性,也就是该IP既不在虚拟IP列表中,也不在真实IP列表中,就说明没有识别出真实性;则触发K251;
K251、识别该IP的真实性;一段时间内不停的分析该IP的所有流表项的报文交互情况和协议状态,直到至少有一条流表项的报文存在交互,包括发送和接收,并且协议处于establish状态时,将该IP加入真实IP列表中,并终止;如果直到超时,也没有满足条件的流表项,则将该IP加入虚拟IP列表,并终止;具体地,例如在30秒内,该IP没有三次握手成功的TCP流时,就说明该IP还没有识别出真实性。如果30秒内,有三次握手成功的TCP流,就会马上识别真实IP;超过30秒还是没有握手成功的TCP流的话,就识别成虚拟IP。三次握手成功的TCP流,在流表项中对应的是establish状态。
例如附图3中,观察流1001,该条流报文交互正常,有发送字节数,也有接收字节数,并且流量正常,协议状态也处于ESTABLISHED状态,再结合流表项建立时间等其他必要信息,就可以断定IP 209.129.128.14是一个真实的IP。
此外,更新流表项还提供一个定时器:定期老化一段时间内没有报文交互的流表项和一段时间内没有报文交互的真实IP列表、虚拟IP列表、新建型攻击源列表和流量型攻击源列表,回收资源。
步骤26、转发该IP的报文。
实施例三
该实施例提供了一种防攻击的报文转发系统,其具体实现结构如图4所示,具体可以包括如下的模块:筛选模块31、识别模块32和处理模块33;其中,
筛选模块31:其用于对于未标记在攻击源列表的IP,根据所述IP的新建数据流的速率与配置的新建速率阀值比较结果或根据所述IP报文转发速率与配置的报文转发速率阀值比较结果,筛选疑似攻击IP;
识别模块32:其用于判定所述疑似攻击IP是否是攻击IP,若所述疑似攻击IP是攻击IP,识别所述攻击IP的类别,根据所述攻击IP类别将所述IP加入到对应的攻击源列表中,并针对所述攻击IP类别建立对应的防攻击策略;
处理模块33:其用于根据所述对应防攻击策略对所述IP的报文进行丢包处理或转发处理。
筛选模块31,包括:新建筛选模块311或更新筛选模块312;其中,
新建筛选模块311:其用于监控所述IP的数据流的新建速率,当所述IP的新建数据流的速率超过配置的新建速率阀值,将所述该IP标记为疑似攻击IP;
或,
更新筛选模块312:其用于监控所述IP的报文转发速率,当所述IP报文转发速率超过配置的报文转发速率阀值,将该IP标记为疑似攻击IP。
所述识别模块32,包括:判定模块321;
判定模块321:其用于分析疑似攻击IP的流表项的五元组信息、报文交互信息、建立时间、协议状态判定疑似IP是否是真的攻击IP,若所述疑似攻击IP是攻击IP,标记所述攻击IP的攻击流;若所述疑似攻击IP不是攻击IP,则清除所述IP的疑似攻击IP标记。
识别模块32,还包括:新建确定模块322和流量确定模块323;其中,
新建确定模块322:其用于当根据报文五元组信息将每一个报文对应建一个流表项,所述流表项没有或者有很少的后续报文,且只有发送报文,没有回应报文时,确定所述攻击IP类别为新建型攻击;
流量确定模块323:其用于当根据报文五元组信息新建立流表项后,所述流表项后续还有持续性的大量报文,且只有发送报文,没有回应报文时,确定所述攻击IP类别为流量型攻击。
识别模块32,还包括:新建策略模块324和流量策略模块325;其中,
新建策略模块324:其用于对具有新建攻击特征的IP的处理,包括:直接对疑似攻击IP的所有报文进行丢包处理;或,对于疑似攻击IP中超过新建速率阀值的报文进行丢包处理,已经建立的流不受影响;
流量策略模块325:其用于对具有流量型攻击特征的IP的处理,包括:直接对疑似攻击IP的所有报文进行丢包处理;或,对于疑似攻击IP中的攻击流直接进行丢包处理,其他流不受影响。
预处理模块30:其用于识别虚拟IP,对所述虚拟IP的报文直接进行丢包处理;
对未识别出虚拟性的IP中的真实IP,包括:在已建立的攻击源列表中标记的攻击IP;
对于未识别出虚拟性的IP中在已建立的攻击源列表筛选的已标记的攻击IP,则
检测所述IP是否在新建型攻击源列表中,若所述IP在新建型攻击源列表中,则执行对于新建攻击特征建立的处理策略;
检测所述IP是否在流量型攻击源列表中,若所述IP在流量型攻击源列表中,则执行对于流量型攻击特征建立的处理策略。
一种防攻击的报文转发系统,还包括:
转发组件34,其用于当所述IP的新建数据流的速率不超过配置的新建速率阀值,则新建流表项,转发所述IP的报文;
或,
当所述IP报文转发速率不超过配置的报文转发速率阀值,且所述IP被识别为未识别出虚拟性的IP时,则更新流表项,转发所述IP的报文。
用本发明实施例的装置进行防攻击的报文转发的具体过程与前述方法实施例类似,此处不再赘述。
综上所述,本发明实施例通过对于未标记在攻击源列表的IP,根据所述IP的新建数据流的速率与配置的新建速率阀值比较结果或根据所述IP报文转发速率与配置的报文转发速率阀值比较结果,筛选疑似攻击IP;判定所述疑似攻击IP是否是攻击IP,若所述疑似攻击IP是攻击IP,识别所述攻击IP的类别,根据所述攻击IP类别将所述IP加入到对应的攻击源列表中,并针对所述攻击IP类别建立对应的防攻击策略;根据所述对应防攻击策略对所述IP的报文进行丢包处理或转发处理。该方法不需要对报文进行深度检索分析,不要对每个报文进行过滤,也不需要复杂的探索算法,只要简单的提取出报文头部的五元组信息用来建立流表项和更新流表项。然后攻击源及攻击类型的识别完全基于流表,不需要对所有报文进行分析,可以大幅提供设备的转发性能。所以,在网关型设备上,用该方法替代防火墙功能,能为网络提供全面防护的同时,大幅提升网关的转发性能,并且该方法创建出来的流表稍作修改即可提供给业务性网关的其他业务模块共用。
本领域普通技术人员可以理解:附图只是一个实施例的示意图,附图中的模块或流程并不一定是实施本发明所必须的。
通过以上的实施方式的描述可知,本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置或系统实施例而言,由于其基本相似于方法实施例,所以描述得比较简单,相关之处参见方法实施例的部分说明即可。以上所描述的装置及系统实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。
Claims (8)
1.一种防攻击的报文转发方法,其特征在于,包括:
对于未标记在攻击源列表的IP,根据所述IP的新建数据流的速率与配置的新建速率阀值比较结果或根据所述IP报文转发速率与配置的报文转发速率阀值比较结果,筛选疑似攻击IP;
判定所述疑似攻击IP是否是攻击IP,若所述疑似攻击IP是攻击IP,识别所述攻击IP的类别,根据所述攻击IP类别将所述IP加入到对应的攻击源列表中,并针对所述攻击IP类别建立对应的防攻击策略;
根据所述对应防攻击策略对所述IP的报文进行丢包处理或转发处理;其中,所述根据所述IP的新建数据流的速率与配置的新建速率阀值比较结果或根据所述IP报文转发速率与配置的报文转发速率阀值比较结果,筛选疑似攻击IP,包括:
监控所述IP的数据流的新建速率,当所述IP的新建数据流的速率超过配置的新建速率阀值,将所述IP标记为疑似攻击IP;
或,
监控所述IP的报文转发速率,当所述IP报文转发速率超过配置的报文转发速率阀值,将该IP标记为疑似攻击IP;
当所述IP的新建数据流的速率不超过配置的新建速率阀值,则新建流表项,转发所述IP的报文;
或,
当所述IP报文转发速率不超过配置的报文转发速率阀值,且所述IP被识别为未识别出虚拟性的IP时,则更新流表项,转发所述IP的报文,并触发对所述IP真实性的识别;
其中,所述判定所述疑似攻击IP是否是攻击IP,包括:
分析疑似攻击IP的流表项的五元组信息、报文交互信息、建立时间、协议状态判定疑似IP是否是真的攻击IP,若所述疑似攻击IP是攻击IP,标记所述攻击IP的攻击流;
若所述疑似攻击IP不是攻击IP,则清除所述IP的疑似攻击IP标记。
2.根据权利要求1所述的一种防攻击的报文转发方法,其特征在于,所述识别攻击IP类别,包括:
当根据报文五元组信息将每一个报文对应建一个流表项,所述流表项没有或者有很少的后续报文,且只有发送报文,没有回应报文时,确定所述攻击IP类别为新建型攻击;
当根据报文五元组信息新建立流表项后,所述流表项后续还有持续性的大量报文,且只有发送报文,没有回应报文时,确定所述攻击IP类别为流量型攻击。
3.根据权利要求2所述的一种防攻击的报文转发方法,其特征在于,所述并针对所述攻击IP类别建立对应的防攻击策略,包括:
对于新建攻击特征建立的处理策略包括:直接对攻击IP的所有报文进行丢包处理;或,对于攻击IP中超过新建速率阀值的报文进行丢包处理,已经建立的流不受影响;
对于流量型攻击特征建立的处理策略包括:直接对攻击IP的所有报文进行丢包处理;或,对于攻击IP中的攻击流直接进行丢包处理,正常流不受影响。
4.根据权利要求3所述的一种防攻击的报文转发方法,其特征在于,包括:
识别虚拟IP,对所述虚拟IP的报文直接进行丢包处理;
对于未识别出虚拟性的IP中在已建立的攻击源列表筛选出的已标记的攻击IP,则
检测所述IP是否在新建型攻击源列表中,若所述IP在新建型攻击源列表中,则执行对于新建攻击特征建立的处理策略;
检测所述IP是否在流量型攻击源列表中,若所述IP在流量型攻击源列表中,则执行对于流量型攻击特征建立的处理策略。
5.一种防攻击的报文转发系统,其特征在于,包括:
筛选模块:其用于对于未标记在攻击源列表的IP,根据所述IP的新建数据流的速率与配置的新建速率阀值比较结果或根据所述IP报文转发速率与配置的报文转发速率阀值比较结果,筛选疑似攻击IP;
识别模块:其用于判定所述疑似攻击IP是否是攻击IP,若所述疑似攻击IP是攻击IP,识别所述攻击IP的类别,根据所述攻击IP类别将所述IP加入到对应的攻击源列表中,并针对所述攻击IP类别建立对应的防攻击策略;
处理模块:其用于根据所述对应防攻击策略对所述IP的报文进行丢包处理或转发处理;
其中,所述筛选模块,包括:新建筛选模块或更新筛选模块;其中,
新建筛选模块:其用于监控所述IP的数据流的新建速率,当所述IP的新建数据流的速率超过配置的新建速率阀值,将所述IP标记为疑似攻击IP;
或,
更新筛选模块:其用于监控所述IP的报文转发速率,当所述IP报文转发速率超过配置的报文转发速率阀值,将该IP标记为疑似攻击IP;
转发组件,其用于当所述IP的新建数据流的速率不超过配置的新建速率阀值,则新建流表项,转发所述IP的报文;
或,
当所述IP报文转发速率不超过配置的报文转发速率阀值,且所述IP被识别为未识别出虚拟性的IP时,则更新流表项,转发所述IP的报文,并触发对所述IP真实性的识别;
其中,所述识别模块,包括:
判定模块:其用于分析疑似攻击IP的流表项的五元组信息、报文交互信息、建立时间、协议状态判定疑似IP是否是真的攻击IP,若所述疑似攻击IP是攻击IP,标记所述攻击IP的攻击流;若所述疑似攻击IP不是攻击IP,则清除所述IP的疑似攻击IP标记。
6.根据权利要求5所述的一种防攻击的报文转发系统,所述识别模块,还包括:
新建确定模块:其用于当根据报文五元组信息将每一个报文对应建一个流表项,所述流表项没有或者有很少的后续报文,且只有发送报文,没有回应报文时,确定所述攻击IP类别为新建型攻击;
流量确定模块:其用于当根据报文五元组信息新建立流表项后,所述流表项后续还有持续性的大量报文,且只有发送报文,没有回应报文时,确定所述攻击IP类别为流量型攻击。
7.根据权利要求6所述的一种防攻击的报文转发系统,所述识别模块,还包括:
新建策略模块:其用于对具有新建攻击特征的IP的处理,包括:直接对疑似攻击IP的所有报文进行丢包处理;或,对于疑似攻击IP中超过新建速率阀值的报文进行丢包处理,已经建立的流不受影响;
流量策略模块:其用于对具有流量型攻击特征的IP的处理,包括:直接对疑似攻击IP的所有报文进行丢包处理;或,对于疑似攻击IP中的攻击流直接进行丢包处理,其他流不受影响。
8.根据权利要求7所述的一种防攻击的报文转发系统,还包括:
预处理模块:其用于识别虚拟IP,对所述虚拟IP的报文直接进行丢包处理;
对于未识别出虚拟性的IP中在已建立的攻击源列表筛选的已标记的攻击IP,则
检测所述IP是否在新建型攻击源列表中,若所述IP在新建型攻击源列表中,则执行对于新建攻击特征建立的处理策略;
检测所述IP是否在流量型攻击源列表中,若所述IP在流量型攻击源列表中,则执行对于流量型攻击特征建立的处理策略。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510511526.0A CN105207997B (zh) | 2015-08-19 | 2015-08-19 | 一种防攻击的报文转发方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510511526.0A CN105207997B (zh) | 2015-08-19 | 2015-08-19 | 一种防攻击的报文转发方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105207997A CN105207997A (zh) | 2015-12-30 |
| CN105207997B true CN105207997B (zh) | 2018-11-09 |
Family
ID=54955433
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510511526.0A Active CN105207997B (zh) | 2015-08-19 | 2015-08-19 | 一种防攻击的报文转发方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105207997B (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109327426A (zh) * | 2018-01-11 | 2019-02-12 | 白令海 | 一种防火墙攻击防御方法 |
| CN109889550B (zh) * | 2019-04-12 | 2021-02-26 | 杭州迪普科技股份有限公司 | 一种DDoS攻击确定方法及装置 |
| CN113765858A (zh) * | 2020-06-05 | 2021-12-07 | 中创为(成都)量子通信技术有限公司 | 一种实现高性能状态防火墙的方法及装置 |
| CN112437077A (zh) * | 2020-11-19 | 2021-03-02 | 迈普通信技术股份有限公司 | 第三方arp攻击、异常处理方法、vrrp网络及系统 |
| CN113810398B (zh) * | 2021-09-09 | 2023-09-26 | 新华三信息安全技术有限公司 | 一种攻击防护方法、装置、设备及存储介质 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101035034A (zh) * | 2007-04-02 | 2007-09-12 | 华为技术有限公司 | 一种检测报文攻击的方法及装置 |
| CN101478539A (zh) * | 2008-12-31 | 2009-07-08 | 华为技术有限公司 | 一种防止网络攻击的方法和网络设备 |
| CN101582833A (zh) * | 2008-05-15 | 2009-11-18 | 成都市华为赛门铁克科技有限公司 | 一种伪造ip数据包的处理方法及装置 |
| CN101635720A (zh) * | 2009-08-31 | 2010-01-27 | 杭州华三通信技术有限公司 | 一种未知流量过滤方法和一种带宽管理设备 |
| CN102143143A (zh) * | 2010-10-15 | 2011-08-03 | 华为数字技术有限公司 | 一种网络攻击的防护方法、装置及路由器 |
| CN104113559A (zh) * | 2014-08-13 | 2014-10-22 | 浪潮电子信息产业股份有限公司 | 一种防御tcp全链接攻击的方法 |
| CN104506531A (zh) * | 2014-12-19 | 2015-04-08 | 上海斐讯数据通信技术有限公司 | 针对流量攻击的安全防御系统及方法 |
-
2015
- 2015-08-19 CN CN201510511526.0A patent/CN105207997B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101035034A (zh) * | 2007-04-02 | 2007-09-12 | 华为技术有限公司 | 一种检测报文攻击的方法及装置 |
| CN101582833A (zh) * | 2008-05-15 | 2009-11-18 | 成都市华为赛门铁克科技有限公司 | 一种伪造ip数据包的处理方法及装置 |
| CN101478539A (zh) * | 2008-12-31 | 2009-07-08 | 华为技术有限公司 | 一种防止网络攻击的方法和网络设备 |
| CN101635720A (zh) * | 2009-08-31 | 2010-01-27 | 杭州华三通信技术有限公司 | 一种未知流量过滤方法和一种带宽管理设备 |
| CN102143143A (zh) * | 2010-10-15 | 2011-08-03 | 华为数字技术有限公司 | 一种网络攻击的防护方法、装置及路由器 |
| CN104113559A (zh) * | 2014-08-13 | 2014-10-22 | 浪潮电子信息产业股份有限公司 | 一种防御tcp全链接攻击的方法 |
| CN104506531A (zh) * | 2014-12-19 | 2015-04-08 | 上海斐讯数据通信技术有限公司 | 针对流量攻击的安全防御系统及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105207997A (zh) | 2015-12-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105207997B (zh) | 一种防攻击的报文转发方法和系统 | |
| CN102724317B (zh) | 一种网络数据流量分类方法和装置 | |
| CN106464577B (zh) | 网络系统、控制装置、通信装置以及通信控制方法 | |
| AU2014340233B2 (en) | A system and method for observing and controlling a programmable network using a remote network manager | |
| US7307999B1 (en) | Systems and methods that identify normal traffic during network attacks | |
| CN105681250B (zh) | 一种僵尸网络分布式实时检测方法和系统 | |
| Livadas et al. | Usilng machine learning technliques to identify botnet traffic | |
| CN108063765B (zh) | 适于解决网络安全的sdn系统 | |
| DE60016613T2 (de) | Abschreckungssystem gegen aufschaltung und missbrauch | |
| KR101070614B1 (ko) | 봇넷 정보를 이용한 악성 트래픽 격리 시스템과 봇넷 정보를 이용한 악성 트래픽 격리 방법 | |
| CN102307123B (zh) | 基于传输层流量特征的nat流量识别方法 | |
| CN108429761B (zh) | 智慧协同网络中资源适配解析服务器DDoS攻击检测防御方法 | |
| CN103746982B (zh) | 一种http网络特征码自动生成方法及其系统 | |
| CN104283897B (zh) | 基于多数据流聚类分析的木马通信特征快速提取方法 | |
| CN103428224A (zh) | 一种智能防御DDoS攻击的方法和装置 | |
| CN110933111B (zh) | 一种基于DPI的DDoS攻击识别方法及装置 | |
| WO2009135396A1 (zh) | 网络攻击处理方法、处理装置及网络分析监控中心 | |
| CN106131027A (zh) | 一种基于软件定义网络的网络异常流量检测防御系统 | |
| CN106341337A (zh) | 一种sdn下可实现应用感知的流量检测与控制机构及方法 | |
| CN105871619A (zh) | 一种基于n-gram多特征的流量载荷类型检测方法 | |
| EP4002866A1 (en) | A device and method to establish a score for a computer application | |
| CN107623691A (zh) | 一种基于反向传播神经网络算法的DDoS攻击检测系统及方法 | |
| CN108833430B (zh) | 一种软件定义网络的拓扑保护方法 | |
| CN102571946A (zh) | 一种基于对等网络的协议识别与控制系统的实现方法 | |
| CN107360190B (zh) | 基于序列模式识别的木马通信行为检测方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |