CN108390870B - 一种防御网络攻击的方法、装置、存储介质及设备 - Google Patents

一种防御网络攻击的方法、装置、存储介质及设备 Download PDF

Info

Publication number
CN108390870B
CN108390870B CN201810135581.8A CN201810135581A CN108390870B CN 108390870 B CN108390870 B CN 108390870B CN 201810135581 A CN201810135581 A CN 201810135581A CN 108390870 B CN108390870 B CN 108390870B
Authority
CN
China
Prior art keywords
rate
packet
source
source address
packet rate
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201810135581.8A
Other languages
English (en)
Other versions
CN108390870A (zh
Inventor
娄扬
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Original Assignee
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Topsec Technology Co Ltd, Beijing Topsec Network Security Technology Co Ltd, Beijing Topsec Software Co Ltd filed Critical Beijing Topsec Technology Co Ltd
Priority to CN201810135581.8A priority Critical patent/CN108390870B/zh
Publication of CN108390870A publication Critical patent/CN108390870A/zh
Application granted granted Critical
Publication of CN108390870B publication Critical patent/CN108390870B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/146Tracing the source of attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0876Network utilisation, e.g. volume of load or congestion level
    • H04L43/0894Packet rate
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring

Abstract

本发明公开了一种防御网络攻击的方法、装置、存储介质及设备,包括:获取来自各个源地址的网络报文的包速率;定期统计各个所述源地址的网络报文的包速率分布;根据所述包速率分布确定速率阈值,对所述包速率超过所述速率阈值的源地址进行防御。本发明提高了网络攻击防御过程中设定的速度阈值对源地址判定的可操作性,在循环投票过程中,会优先处理高流量的源地址,同时不断降低速率阈值,提高了抑制恶意网络攻击的效率,能够根据网络流量的变化动态调整流量判定阈值,增加了速度阈值设定的自适应性,还为管理员提供了能够直观展示攻击时流量情况的统计表。

Description

一种防御网络攻击的方法、装置、存储介质及设备
技术领域
本发明涉及网络安全技术领域,尤其涉及一种防御网络攻击的方法、装置、存储介质及设备。
背景技术
由于互联网和移动互联网的快速发展,各种恶意的网络攻击越来越频繁和严重,其中最具代表性的就是分布式拒绝服务攻击(DDos攻击),它是指一个或者多个攻击者通过控制大量的计算机等终端设备作为攻击源,同时向某个目标服务器发送大量数据,最终导致目标服务器瘫痪或其他正常用户无法使用服务的一种恶意网络攻击行为。预防DDos攻击是互联网安全的重要需求。
针对上述需求,现有技术主要是通过服务提供者通过部署DDos设备来保护服务器,通过源认证和限流,来保护正常用户的正常业务流量不受影响。具体的,源认证是指检测源地址是否是一个真实的正常用户,一般是通过检测源地址是否可以完成传输控制协议tcp的握手,对http的命令字做出正确反应,用户是否可以输入验证码等行为来判断;限流是指限制每个源地址的流量在一个合理的范围内,防止产生攻击的源地址占用过多服务器资源。源认证和限流有以下两种常用方式:
现有技术一:对所有源ip进行源认证和限流;
现有技术二:对流量超过预设源阀值的源ip进行源认证和限流;
现有技术一的缺陷:有些源认证方式会对用户的使用产生一定影响,比如关闭用户刚刚建立好的传输控制协议tcp连接等;有些源认证方式有可能某些正常的用户客户端无法支持,比如验证码的输入等;而通常情况下,大部分源地址都是正常用户的地址,它们产生的都是合理大小的正常流量,现有技术一对所有源ip进行源认证和限流,其手段大部分都作用到了正常用户,造成资源浪费和对正常业务的影响。
现有技术二的缺陷:现有技术二对流量超过预设源阀值的源ip进行源认证和限流,而由于网络流量是一个动态的,不断变化的数据,管理员很难设置一个合适的源阀值来区分攻击源和正常源。如果设置的比较高,可能会导致防御的覆盖面不够;如果设置的比较低,又起不到减少防御影响面的效果。其可操作性性较差。
发明内容
本发明提供一种防御网络攻击的方法、装置、存储介质及设备,用以解决现有技术中不能动态地、适应性地调整流量判定阈值的问题。
依据本发明的一个方面,提供一种防御网络攻击的方法,包括:
获取来自各个源地址的网络报文的包速率;
定期统计各个所述源地址的网络报文的包速率分布;
根据所述包速率分布确定速率阈值,对所述包速率超过所述速率阈值的源地址进行防御。
可选的,所述定期统计各个所述源地址的网络报文的包速率分布前,包括:
根据所述包速率,获取预先构建的投票统计表,所述投票统计表设置有描述所述源地址的包速率分布情况的速率项。
可选的,所述定期统计各个所述源地址的网络报文的包速率分布包括:
每隔预设的时间间隔,确定各个所述源地址的所述网络报文在当前时间间隔内的平均包速率;
根据所述平均包速率所属的速率项,在所述投票统计表的各个所述速率项下统计所述平均包速率对应的所述源地址的数量。
可选的,所述速率项为由下限速率值和上限速率值描述的速率范围。
可选的,所述根据所述包速率分布确定速率阈值,包括:
根据所述速率项中速率值的大小,由高到低依次累加所述投票统计表中各个所述速率项下统计的所述源地址的数量;
所述源地址的数量累加至预设的源地址个数时,将末次累加的所述速率项的下限速率值设定为所述速率阈值。
可选的,还包括:
所述根据所述包速率分布确定速率阈值的下一时间间隔内,对所述包速率超过所述速率阈值的源地址进行防御;
在所述投票统计表中,对所述包速率未超过所述速率阈值的所述源地址的数量进行统计。
可选的,所述对所述包速率超过所述速率阈值的源地址进行防御,包括:
对所述包速率超过所述速率阈值的源地址进行源认证;和/或
对所述包速率超过所述速率阈值的源地址进行源限流。
依据本发明的第二个方面,提供一种防御网络攻击的装置,包括:
获取模块,用于获取来自各个源地址的网络报文的包速率;
统计模块,用于定期统计各个所述源地址的网络报文的包速率分布;
防御模块,用于根据所述包速率分布确定速率阈值,对所述包速率超过所述速率阈值的源地址进行防御。
依据本发明的第三个方面,提供一种计算机可读存储介质,所述存储介质上存储有计算机程序,所述程序被处理器执行时实现如下方法的步骤:
获取来自各个源地址的网络报文的包速率;
定期统计各个所述源地址的网络报文的包速率分布;
根据所述包速率分布确定速率阈值,对所述包速率超过所述速率阈值的源地址进行防御。
依据本发明的第四个方面,提供一种防御网络攻击的设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述程序时实现如下方法的步骤:
获取来自各个源地址的网络报文的包速率;
定期统计各个所述源地址的网络报文的包速率分布;
根据所述包速率分布确定速率阈值,对所述包速率超过所述速率阈值的源地址进行防御。
本发明的有益效果为:
本发明提高了网络攻击防御过程中设定的速度阈值对源地址判定的可操作性,在循环投票过程中,会优先处理高流量的源地址,同时不断降低速率阈值,提高了抑制恶意网络攻击的效率,能够根据网络流量的变化动态调整流量判定阈值,增加了速度阈值设定的自适应性,还为管理员提供了能够直观展示攻击时流量情况的统计表。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1为本发明一实施例中防御网络攻击的方法的流程图;
图2为本发明一实施例中所述定期统计各个所述源地址的网络报文的包速率分布的流程图;
图3为本发明一实施例中确定速率阈值的流程图;
图4为本发明一实施例中在确定速率阈值后防御网络攻击的方法的流程图;
图5为本发明一实施例中防御网络攻击的装置的示意图。
图中:10-获取模块,20-统计模块,201-确定模块,202-投票统计模块,30-防御模块,301-累加模块,302-设定模块,303-数据清除模块。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
请参见图1-4,在本发明的第一实施例中,提供一种防御网络攻击的方法,包括:
步骤S11:获取来自各个源地址的网络报文的包速率;
步骤S12:定期统计各个所述源地址的网络报文的包速率分布;
步骤S13:根据所述包速率分布确定速率阈值,对所述包速率超过所述速率阈值的源地址进行防御。具体请参见图1。
可选的,所述定期统计各个所述源地址的网络报文的包速率分布前,包括:
根据所述包速率,获取预先构建的投票统计表,所述投票统计表设置有描述所述源地址的包速率分布情况的速率项。也就是在投票统计表中,统计来自各个源地址的网络报文的包速率分布在哪些速率项下,每个速率项下对应有多少个源地址的网络报文的包速率。
可选的,请参见图2,所述定期统计各个所述源地址的网络报文的包速率分布包括:
步骤S121:每隔预设的时间间隔,确定各个所述源地址的所述网络报文在当前时间间隔内的平均包速率;
步骤S122:根据所述平均包速率所属的速率项,在所述投票统计表的各个所述速率项下统计所述平均包速率对应的所述源地址的数量。
也就是说,每隔预设的时间间隔,在投票统计表中循环对源地址的数量进行投票统计,投票统计表内每个速率项代表由一个下限速率值和一个上限速率值表述的速率范围,若来自一个源地址的网络报文的平均包速率落在相应的速率范围内,则以投票的方式在该速率范围对应的速率项上的计数值加1,由此统计各个平均包速率属于其对应速率范围的源地址的个数。
可选的,所述速率项为由下限速率值和上限速率值描述的速率范围。
可选的,请参见图3,所述根据所述包速率分布确定速率阈值,包括:
步骤S131:根据所述速率项中速率值的大小,由高到低依次累加所述投票统计表中各个所述速率项下统计的所述源地址的数量;
步骤S132:所述源地址的数量累加至预设的源地址个数时,将末次累加的所述速率项的下限速率值设定为所述速率阈值;
步骤S133:清空所述投票统计表。以便在确定速率阈值后在防御网络攻击的过程中将攻击流量和正常流量统计在投票统计表中。
可选的,请参见图4,所述方法还包括:
步骤S21:所述根据所述包速率分布确定速率阈值的下一时间间隔内,对所述包速率超过所述速率阈值的源地址进行防御;
步骤S22:在所述投票统计表中,对所述包速率未超过所述速率阈值的所述源地址的数量进行统计。此时的投票统计表为清空后的投票统计表,以便在防御过程中更好地统计流量分布,管理员可以更直观地查看未被防御的源地址(以下简称未防御源)的流量分布。
同时,优选的,在步骤S22中,为满足管理员对已防御的源地址(以下简称已防御源)的流量分布的查看需求,本发明实施例还在清空后的所述投票统计表中,对所述包速率超过所述速率阈值的所述源地址的数量进行统计。优选的,为使已防御源和未防御源能够被更直观的展示,将投票统计表设置成两列(需要说明的是,本领域技术人员可根据实际应用情形对投票统计表中设置的列数进行适当调整,如仅采用一列对未被防御的源地址进行统计即可,本发明实施例对于列数的设置不做唯一的限定),在清空后的所述投票统计表中,将包速率未超过所述速率阈值的所述源地址的数量统计在指定的一列中后,将包速率超过所述速率阈值的所述源地址的数量统计在另一列中。在服务器收到攻击的网络报文的包速率被控制到预先设定的检测阈值以下后,暂停投票,直到出现新的网络攻击。
可选的,所述对所述包速率超过所述速率阈值的源地址进行防御,包括:
对所述包速率超过所述速率阈值的源地址进行源认证;和/或
对所述包速率超过所述速率阈值的源地址进行源限流。
显然,本发明实施例每隔预设的时间间隔,对攻击服务器的源地址进行循环的投票统计,再根据预设的源地址个数,不断动态调整速率阈值,直到速率阈值降低到预设的检测阈值,也就是说,可根据网络流量的变化不断调整速率阈值,从而准确地对攻击源采取防御措施,确保正常用户的使用,不会造成资源浪费和对正常业务的影响,可操作性强。
请参见图5,在本发明的第二实施例中,提供一种防御网络攻击的装置,包括:
获取模块10,用于获取来自各个源地址的网络报文的包速率;
统计模块20,用于定期统计各个所述源地址的网络报文的包速率分布;
防御模块30,用于根据所述包速率分布确定速率阈值,对所述包速率超过所述速率阈值的源地址进行防御。
可选的,所述获取模块10还用于在定期统计各个所述源地址的网络报文的包速率分布前,根据所述包速率,获取预先构建的投票统计表,所述投票统计表设置有描述所述源地址的包速率分布情况的速率项。所述速率项为由下限速率值和上限速率值描述的速率范围,如dk至ek为一个速率项,每个速率项为整数类型,其中dk为上限速率值,ek为下限速率值,dk<ek。
可选的,所述统计模块20包括:
确定模块201,用于每隔预设的时间间隔,确定各个所述源地址的所述网络报文在当前时间间隔内的平均包速率;
投票统计模块202,用于根据所述平均包速率所属的速率项,在所述投票统计表的各个所述速率项下统计所述平均包速率对应的所述源地址的数量。已知的是,投票统计表内每个速率项(如dk至ek)代表由一个下限速率值和一个上限速率值表述的速率范围,若来自一个源地址的网络报文在当前预设的时间间隔内的平均包速率的值落入相应的速率范围——dk至ek内,则以投票的方式在该速率范围所在的速率项上的计数值加1,表示有一个源地址的平均包速率落在了速率项dk至ek内,由此统计各个平均包速率属于其对应速率范围的源地址的个数。
可选的,所述防御模块30包括:
累加模块301,用于根据所述速率项中速率值的大小,由高到低依次累加所述投票统计表中各个所述速率项下统计的所述源地址的数量。
设定模块302,用于在所述源地址的数量累加至预设的源地址个数时,将末次累加的所述速率项的下限速率值设定为所述速率阈值。由此,提高了防御过程中设定速度阈值对源地址判定的可操作性,优先处理高流量的源地址,同时不断降低速率阈值,提高了抑制恶意攻击的效率,增加了速率阈值设定的自适应性。
数据清除模块303,用于清空所述投票统计表。在确定了速率阈值后,便于下一轮在对源地址的投票统计过程中,对包速率对应的源地址的投票进行统计。
本发明实施例所述防御网络攻击的装置在根据所述包速率分布确定速率阈值的下一时间间隔内,所述防御模块30对所述包速率超过所述速率阈值的源地址进行防御,即优先处理高流量的源地址,在防御过程中,统计模块20的投票统计模块在投票统计表中对包速率未超过所述速率阈值的源地址的数量进行统计,以方便管理员查看未防御源的流量分布情况,而且,为了更好的分析攻击的特点,同时查看已防御源和未防御源的流量分布,本发明优选实施例,投票统计模块202在清空后的所述投票统计表中对包速率超过速率阈值的源地址的数量进行统计。具体地,可对包速率超过所述速率阈值的源地址的数量和包速率未超过速率阈值的源地址的数量分开统计,如对包速率未超过上述速率阈值的源地址的投票计算入投票统计表中指定的一列后,将超过上述速率阈值的源地址的投票计算入投票统计表的另一列,由此,在开启防御手段后,管理员就可以更加直观的查看已防御源和未防御源的流量分布情况,便于分析攻击的特点。
优选的,本发明实施例所述防御模块30对包速率超过速率阈值的源地址进行防御的防御手段包括:
对包速率超过速率阈值的源地址进行源认证;和/或
对包速率超过速率阈值的源地址进行源限流。
采用源认证还是源限流由管理员根据实际应用情形进行选择。
在本发明的第三实施例中,请参见图1,提供一种计算机可读存储介质,所述存储介质上存储有计算机程序,所述程序被处理器执行时实现如下方法的步骤:
步骤S11:获取来自各个源地址的网络报文的包速率;
步骤S12:定期统计各个所述源地址的网络报文的包速率分布;
步骤S13:根据所述包速率分布确定速率阈值,对所述包速率超过所述速率阈值的源地址进行防御。
可选的,所述定期统计各个所述源地址的网络报文的包速率分布前,所述程序被处理器执行时实现如下方法的步骤:
根据所述包速率,获取预先构建的投票统计表,所述投票统计表设置有描述所述源地址的包速率分布情况的速率项。所述速率项为由下限速率值和上限速率值描述的速率范围。
可选的,请参见图2,所述定期统计各个所述源地址的网络报文的包速率分布,所述程序被处理器执行时实现如下方法的步骤:
步骤S121:每隔预设的时间间隔,确定各个所述源地址的所述网络报文在当前时间间隔内的平均包速率;
步骤S122:根据所述平均包速率所属的速率项,在所述投票统计表的各个所述速率项下统计所述平均包速率对应的所述源地址的数量。
可选的,请参见图3,所述根据所述包速率分布确定速率阈值,所述程序被处理器执行时实现如下方法的步骤:
步骤S131:根据所述速率项中速率值的大小,由高到低依次累加所述投票统计表中各个所述速率项下统计的所述源地址的数量;
步骤S132:所述源地址的数量累加至预设的源地址个数时,将末次累加的所述速率项的下限速率值设定为所述速率阈值;
步骤S133:清空所述投票统计表。
可选的,请参见图4,所述程序被处理器执行时还实现如下方法的步骤:
步骤S21:所述根据所述包速率分布确定速率阈值的下一时间间隔内,对所述包速率超过所述速率阈值的源地址进行防御;
步骤S22:在所述投票统计表中,对所述包速率未超过所述速率阈值的所述源地址的数量进行统计。此时的投票统计表为清空后的投票统计表,以便更好的统计防御过程中的流量分布。
可选的,在步骤步骤S22中,所述程序被处理器执行时还实现如下方法的步骤:
在清空后的所述投票统计表中,对所述包速率超过所述速率阈值的所述源地址的数量进行统计。以便管理员在查看未防御源的流量分布的同时,还能查看已防御源的流量分布。
可选的,所述对所述包速率超过所述速率阈值的源地址进行防御,所述程序被处理器执行时实现如下方法的步骤:
对所述包速率超过所述速率阈值的源地址进行源认证;和/或
对所述包速率超过所述速率阈值的源地址进行源限流。
在本发明的第四实施例中,请参见图1,提供一种防御网络攻击的设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述程序时实现如下方法的步骤:
步骤S11:获取来自各个源地址的网络报文的包速率;
步骤S12:定期统计各个所述源地址的网络报文的包速率分布;
步骤S13:根据所述包速率分布确定速率阈值,对所述包速率超过所述速率阈值的源地址进行防御。
可选的,所述定期统计各个所述源地址的网络报文的包速率分布前,所述处理器执行所述程序时实现如下方法的步骤:
根据所述包速率,获取预先构建的投票统计表,所述投票统计表设置有描述所述源地址的包速率分布情况的速率项。所述速率项为由下限速率值和上限速率值描述的速率范围。
可选的,请参见图2,所述定期统计各个所述源地址的网络报文的包速率分布,所述处理器执行所述程序时实现如下方法的步骤:
步骤S121:每隔预设的时间间隔,确定各个所述源地址的所述网络报文在当前时间间隔内的平均包速率;
步骤S122:根据所述平均包速率所属的速率项,在所述投票统计表的各个所述速率项下统计所述平均包速率对应的所述源地址的数量。
可选的,请参见图3,所述根据所述包速率分布确定速率阈值,所述处理器执行所述程序时实现如下方法的步骤:
步骤S131:根据所述速率项中速率值的大小,由高到低依次累加所述投票统计表中各个所述速率项下统计的所述源地址的数量;
步骤S132:所述源地址的数量累加至预设的源地址个数时,将末次累加的所述速率项的下限速率值设定为所述速率阈值;
步骤S133:清空所述投票统计表。
可选的,请参见图4,所述处理器执行所述程序时还实现如下方法的步骤:
步骤S21:所述根据所述包速率分布确定速率阈值的下一时间间隔内,对所述包速率超过所述速率阈值的源地址进行防御;
步骤S22:在所述投票统计表中,对所述包速率未超过所述速率阈值的所述源地址的数量进行统计。以便管理员查看未防御源的流量分布。
可选的,在步骤步骤S22中,所述程序被处理器执行时还实现如下方法的步骤:
在清空后的所述投票统计表中,对所述包速率超过所述速率阈值的所述源地址的数量进行统计。以便管理员在查看未防御源的流量分布的同时,还能查看已防御源的流量分布。
为使本发明的技术方案更加清楚明了,在本发明第五实施例中对所述防御网络攻击的方法结合具体应用情形做进一步阐述。
DDos攻击是指一个或者多个攻击者通过控制大量的计算机等终端设备作为攻击源,同时向某个目标服务器发送大量数据,最终导致目标服务器瘫痪或其他正常用户无法使用服务的一种恶意网络攻击行为,在此,在本发明实施例,以分布式拒绝服务攻击DDos攻击为网络攻击时为例,采用本发明所述的防御网络攻击的方法对所述DDos攻击进行防御。
首先,本发明实施例将预设的时间间隔用字母M表示,M可以设置为1-10秒,每隔M秒统计一次包速率分布,其次,分配一个二维的投票统计表,如表1所示:
表1投票统计表
第一列 第二列
ek以上 ek以上
dk至ek dk至ek
ck至dk ck至dk
bk至ck bk至ck
ak至bk ak至bk
0至ak 0至ak
表1中的每一行代表一个速率范围,dk、ek、ck、bk、ak分别表示一个速率值,每一列中的速率值至左向右、由上到下从大到小依次设置,表中的每一项如dk至ek,即为一个速率项,用于统计记录包速率属于其对应速率范围的源地址的数量,其中,确定速率阈值前,第一列用于对所有包速率的源地址进行统计,确定速率阈值后,第一列用于对包速率未超过速率阈值的源地址进行统计,第二列用于对包速率超过速率阈值的源地址进行统计,即第一列展示的是未采取防御措施的源地址的速率统计,第二列展示的是已经采取防御措施的源地址的速率统计,需要指出的是,在第二列中统计已防御的源地址的速率是为了给分析管理人员一个参考,以直观地查看分析未防御源和已防御源的流量分布情况,便于分析网络攻击的特点。
当服务器检测到DDos攻击发生后,获取DDos攻击中来自各个源地址的网络报文的包速率,定期统计各个源地址的网络报文的包速率分布,根据包速率分布确定速率阈值,每次对包速率超过速率阈值的源地址进行防御,直到被保护的服务器流量降低到正常水平。具体防御过程请参见如下步骤:
1、当服务器检测到DDos攻击(流量触发预设的检测阈值)发生后,根据服务器接收的包速率,分配获取的二维的投票统计表,每隔M秒对去往被攻击服务器的各个攻击来源的源地址进行投票统计。
2、对各个源地址每隔M秒进行一次投票,计算各个源地址的网络报文在当前M秒内的平均包速率,在各个平均包速率各自落入的速率项下的计数值加1,以统计攻击过程中各个速率范围下具有的源地址的个数。
3、每隔M秒对投票统计表的第一列进行分析,根据速率项中速率值的大小,由高到低依次累加投票统计表第一列中各个速率项下统计的源地址的数量;若M秒内共有n个源地址去往被攻击服务器,n为正整数,本发明优选实施例将预设的源地址个数设置成n×20%,在此对预设的源地址个数不做唯一的限定,则当源地址的数量累加至n×20%时,将末次累加速率项的下限速率值设定为速率阈值,然后清空投票统计表,即清空投票统计表的第一列,便于在下一个M秒对源地址数量的统计。
4、在确定速率阈值后的下一个M秒,以该确定的速率阈值处理该时间段内DDos攻击时的网络报文,若网络报文的包速率超过速率阈值,就对各个网络报文对应的源地址进行源认证和/或源限流等防御手段。
5、在对各个源地址进行的下一轮的投票统计中,对包速率超过速率阈值的源地址的投票计算入投票统计表第二列,对包速率未超过速率阈值的源地址的投票计算入投票统计表的第一列,以便管理员直观的查看已防御源和未防御源的流量分布。
6、在去往服务器的网络报文的包速率控制到预设的检测阈值以下后,暂停投票。
此外,可在终端界面或命令行上提供查看投票统计表的接口,没有开启任何防御手段时,可以查看关于DDos攻击的流量分布情况。在开启防御手段后,可以查看DDos攻击过程中已防御的源地址和未防御的源地址的流量分布情况,便于分析攻击的特点。
显然,本发明提高了网络攻击防御过程中设定的速度阈值对源地址判定的可操作性,在循环投票过程中,会优先处理高流量的源地址,同时不断降低速率阈值,提高了抑制恶意网络攻击的效率,能够根据网络流量的变化动态调整流量判定阈值,增加了速度阈值设定的自适应性,还为管理员提供了能够直观展示攻击时流量情况的统计表。
本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,该程序可以存储于一计算机可读存储介质中,存储介质可以包括:ROM、RAM、磁盘或光盘等。
总之,以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (7)

1.一种防御网络攻击的方法,其特征在于,包括:
获取来自各个源地址的网络报文的包速率;
定期统计各个所述源地址的网络报文的包速率分布;
根据所述包速率分布确定速率阈值,对所述包速率超过所述速率阈值的源地址进行防御;
所述定期统计各个所述源地址的网络报文的包速率分布包括:
每隔预设的时间间隔,确定各个所述源地址的所述网络报文在当前时间间隔内的平均包速率;根据所述平均包速率所属的速率项,在投票统计表的各个所述速率项下统计所述平均包速率对应的所述源地址的数量;
所述根据所述包速率分布确定速率阈值,包括:
根据所述速率项中速率值的大小,由高到低依次累加所述投票统计表中各个所述速率项下统计的所述源地址的数量;所述源地址的数量累加至预设的源地址个数时,将末次累加的所述速率项的下限速率值设定为所述速率阈值;
所述方法还包括:
根据所述包速率分布确定速率阈值的下一时间间隔内,对所述包速率超过所述速率阈值的源地址进行防御;
在所述投票统计表中,对所述包速率未超过所述速率阈值的所述源地址的数量进行统计。
2.如权利要求1所述的防御网络攻击的方法,其特征在于,所述定期统计各个所述源地址的网络报文的包速率分布前,包括:
根据所述包速率,获取预先构建的投票统计表,所述投票统计表设置有描述所述源地址的包速率分布情况的速率项。
3.如权利要求2所述的防御网络攻击的方法,其特征在于,所述速率项为由下限速率值和上限速率值描述的速率范围。
4.如权利要求1所述的防御网络攻击的方法,其特征在于,所述对所述包速率超过所述速率阈值的源地址进行防御,包括:
对所述包速率超过所述速率阈值的源地址进行源认证;和/或
对所述包速率超过所述速率阈值的源地址进行源限流。
5.一种防御网络攻击的装置,其特征在于,包括:
获取模块,用于获取来自各个源地址的网络报文的包速率;
统计模块,用于定期统计各个所述源地址的网络报文的包速率分布,所述定期统计各个所述源地址的网络报文的包速率分布包括:每隔预设的时间间隔,确定各个所述源地址的所述网络报文在当前时间间隔内的平均包速率;根据所述平均包速率所属的速率项,在投票统计表的各个所述速率项下统计所述平均包速率对应的所述源地址的数量,并根据所述包速率分布确定速率阈值的下一时间间隔内,对所述包速率超过所述速率阈值的源地址进行防御;在所述投票统计表中,对所述包速率未超过所述速率阈值的所述源地址的数量进行统计;
防御模块,用于根据所述包速率分布确定速率阈值,对所述包速率超过所述速率阈值的源地址进行防御,所述根据所述包速率分布确定速率阈值,包括:根据所述速率项中速率值的大小,由高到低依次累加所述投票统计表中各个所述速率项下统计的所述源地址的数量;所述源地址的数量累加至预设的源地址个数时,将末次累加的所述速率项的下限速率值设定为所述速率阈值。
6.一种计算机可读存储介质,其特征在于,所述存储介质上存储有计算机程序,所述程序被处理器执行时实现权利要求1至4中任意一项所述方法的步骤。
7.一种防御网络攻击的设备,其特征在于,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述程序时实现权利要求1至4中任意一项所述方法的步骤。
CN201810135581.8A 2018-02-09 2018-02-09 一种防御网络攻击的方法、装置、存储介质及设备 Active CN108390870B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810135581.8A CN108390870B (zh) 2018-02-09 2018-02-09 一种防御网络攻击的方法、装置、存储介质及设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810135581.8A CN108390870B (zh) 2018-02-09 2018-02-09 一种防御网络攻击的方法、装置、存储介质及设备

Publications (2)

Publication Number Publication Date
CN108390870A CN108390870A (zh) 2018-08-10
CN108390870B true CN108390870B (zh) 2021-07-20

Family

ID=63075684

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810135581.8A Active CN108390870B (zh) 2018-02-09 2018-02-09 一种防御网络攻击的方法、装置、存储介质及设备

Country Status (1)

Country Link
CN (1) CN108390870B (zh)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109905361A (zh) * 2019-01-08 2019-06-18 深圳大学 物联网DDoS攻击防御方法、装置、系统及存储介质
CN110944004B (zh) * 2019-09-12 2021-09-10 腾讯科技(深圳)有限公司 区块链网络中的数据处理方法、装置、存储介质和设备
CN112769791A (zh) * 2020-12-30 2021-05-07 北京天融信网络安全技术有限公司 一种网络防御方法及装置
CN113179247B (zh) * 2021-03-23 2023-05-23 杭州安恒信息技术股份有限公司 拒绝服务攻击防护方法、电子装置和存储介质
CN114095224A (zh) * 2021-11-12 2022-02-25 湖北天融信网络安全技术有限公司 报文检测方法、装置、电子设备和存储介质
CN115225393B (zh) * 2022-07-20 2023-09-26 北京天融信网络安全技术有限公司 一种源限速方法及装置、电子设备
CN115242551B (zh) * 2022-09-21 2022-12-06 北京中科网威信息技术有限公司 慢速攻击的防御方法、装置、电子设备及存储介质

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105357228A (zh) * 2015-12-19 2016-02-24 中国人民解放军信息工程大学 一种基于动态阈值的突发流量检测方法

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8248946B2 (en) * 2006-06-06 2012-08-21 Polytechnic Institute of New York Unversity Providing a high-speed defense against distributed denial of service (DDoS) attacks
CN101572701B (zh) * 2009-02-10 2013-11-20 中科信息安全共性技术国家工程研究中心有限公司 针对DNS服务器的抗DDoS安全网关系统
CN102882895A (zh) * 2012-10-31 2013-01-16 杭州迪普科技有限公司 一种识别报文攻击的方法及装置
CN105610851B (zh) * 2016-01-14 2018-11-09 北京乐动卓越科技有限公司 防御分布式拒绝服务攻击的方法及系统
CN106411947B (zh) * 2016-11-24 2019-07-09 广州华多网络科技有限公司 一种实时阈值自适应流量预警方法及装置

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105357228A (zh) * 2015-12-19 2016-02-24 中国人民解放军信息工程大学 一种基于动态阈值的突发流量检测方法

Also Published As

Publication number Publication date
CN108390870A (zh) 2018-08-10

Similar Documents

Publication Publication Date Title
CN108390870B (zh) 一种防御网络攻击的方法、装置、存储介质及设备
CN109951500B (zh) 网络攻击检测方法及装置
CN107819727B (zh) 一种基于ip地址安全信誉度的网络安全防护方法及系统
US8935785B2 (en) IP prioritization and scoring system for DDoS detection and mitigation
Chae et al. Feature selection for intrusion detection using NSL-KDD
US10476897B2 (en) Method and apparatus for improving network security
CN105577608B (zh) 网络攻击行为检测方法和装置
KR100942456B1 (ko) 클라우드 컴퓨팅을 이용한 DDoS 공격 탐지 및 차단 방법 및 서버
US20160182542A1 (en) Denial of service and other resource exhaustion defense and mitigation using transition tracking
US20100138919A1 (en) System and process for detecting anomalous network traffic
US8144603B2 (en) Apparatuses and methods for detecting anomalous event in network
US20110239301A1 (en) Technique of detecting denial of service attacks
EP3068095A2 (en) Monitoring apparatus and method
CN109922072B (zh) 一种分布式拒绝服务攻击检测方法及装置
CN109495521B (zh) 一种异常流量检测方法及装置
US10951649B2 (en) Statistical automatic detection of malicious packets in DDoS attacks using an encoding scheme associated with payload content
CN104135474A (zh) 基于主机出入度的网络异常行为检测方法
CN111092900A (zh) 服务器异常连接和扫描行为的监控方法和装置
CN105282152A (zh) 一种异常流量检测的方法
Degirmencioglu et al. A classification approach for adaptive mitigation of SYN flood attacks: Preventing performance loss due to SYN flood attacks
CN109413022B (zh) 一种基于用户行为检测http flood攻击的方法和装置
Mezzour et al. Global mapping of cyber attacks
CN111478860A (zh) 一种网络控制方法、装置、设备及机器可读存储介质
JP2005011234A (ja) 不正アクセス検出装置、不正アクセス検出方法およびプログラム
KR101576993B1 (ko) 캡차를 이용한 아이디도용 차단방법 및 차단 시스템

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant