CN108737344B - 一种网络攻击防护方法和装置 - Google Patents
一种网络攻击防护方法和装置 Download PDFInfo
- Publication number
- CN108737344B CN108737344B CN201710262319.5A CN201710262319A CN108737344B CN 108737344 B CN108737344 B CN 108737344B CN 201710262319 A CN201710262319 A CN 201710262319A CN 108737344 B CN108737344 B CN 108737344B
- Authority
- CN
- China
- Prior art keywords
- network
- message
- port number
- source port
- risk
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Abstract
本发明实施例公开了一种网络攻击防护方法,所述方法包括:检测接收到的网络报文的源端口号是否为预设的风险端口号;若是,则检测该网络报文是否具有与其源端口号对应的风险报文特征;若所述网络报文具有与其源端口号对应的风险报文特征,则确认该网络报文为网络攻击报文;针对该网络报文执行网络攻击防护策略。本发明实施例还公开了一种网络攻击防护装置。采用本发明,可准确地识别出网络攻击报文,从而实现保证正常业务流量的前提下,提高防护网络攻击的信息安全能力。
Description
技术领域
本发明涉及互联网技术领域,尤其涉及一种网络攻击防护方法和装置。
背景技术
随着网络技术和网络经济的发展,网络对企业和个人的重要程度在不断增加。与此同时,网络中存在的安全漏洞却也正在相应的增加,网络安全问题所造成的影响也越来越大。
DDoS(Distributed Denial of Service)攻击,即分布式拒绝服务攻击,是指利用客户/服务器技术,将多个计算机客户端联合起来,通过同时发送大量流量或者请求,对目的服务器发起攻击。让目标业务带宽被堵塞或者服务器资源被耗尽,造成拒绝服务攻击。
目前的DDoS攻击防护策略通常是通过无差别限速的方式,即只根据报文的流量进行无差别的清洗,经常会造成对真实业务流量的误清洗,并且简单的流量限速无法适应当前愈发复杂多变的业务环境,例如对正常业务突增的场景,往往会极大的增加被误清洗的风险。
发明内容
有鉴于此,本发明实施例提供了一种网络攻击防护方法和装置,可准确地识别出网络攻击报文,从而实现保证正常业务流量的前提下,提高防护网络攻击的信息安全能力。
为了解决上述技术问题,本发明实施例提供了一种网络攻击防护方法,所述方法包括:
检测接收到的网络报文的源端口号是否为预设的风险端口号;
若是,则检测该网络报文是否具有与其源端口号对应的风险报文特征;
若所述网络报文具有与其源端口号对应的风险报文特征,则确认该网络报文为网络攻击报文;
针对该网络报文执行网络攻击防护策略。
相应地,本发明实施例还提供了一种网络攻击防护装置,所述装置包括:
源端口检测模块,用于检测接收到的网络报文的源端口号是否为预设的风险端口号;
报文特征检测模块,用于在所述源端口检测模块确认接收到的网络报文的源端口号为预设的风险端口号的情况下,检测该网络报文是否具有与其源端口号对应的风险报文特征,若所述网络报文具有与其源端口号对应的风险报文特征,则确认该网络报文为网络攻击报文;
攻击防护模块,用于在所述报文特征检测模块确认所述网络报文为网络攻击报文的情况下,针对该网络报文执行网络攻击防护策略。
本实施例中的网络攻击防护装置通过检测接收到的网络报文的源端口号,并检测该网络报文是否具有与其源端口号对应的风险报文特征,实现了对网络攻击报文的准确识别,进而可以对被保护服务器的网络流量进行准确清洗,避免对正常业务流量产生干扰和影响。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例中的网络攻击防护方法的一种实现网络架构示意图;
图2是本发明实施例中的网络攻击防护方法的另一种实现网络架构示意图;
图3是本发明实施例中的网络攻击防护方法的另一种实现网络架构示意图;
图4是本发明实施例中的一种网络攻击防护方法的流程示意图;
图5是本发明实施例中的一种DNS反射攻击防护方法的流程示意图;
图6是本发明实施例中的一种NTP反射攻击防护方法的流程示意图;
图7是本发明另一实施例中的网络攻击防护方法的流程示意图;
图8是本发明实施例中的一种网络攻击防护装置的结构示意图;
图9是本发明实施例的网络攻击防护装置的一个硬件组成结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本实施例中的网络攻击防护方法,在不加以特别说明的情况下,可以由本发明实施例中的网络攻击防护装置实施,例如可以实现在独立部署的终端或服务器中,为一个或多个目标服务器提供网络攻击防护服务,也可以实现在某个目标服务器内部,为该目标服务器接收到的网络流量提供网络攻击防护。
图1是本发明实施例中的网络攻击防护方法的一种实现网络架构示意图,如图所示,该实现网络架构中,网络攻击防护装置和被保护服务器分别独立部署,网络攻击防护装置对网络中发往被保护服务器的网络报文进行过滤清洗处理,将判断为网络攻击报文的网络报文丢弃,并将经过过滤清洗的网络报文发送至被保护服务器,从而实现对被保护服务器的网络攻击防护。
图2是本发明实施例中的网络攻击防护方法的另一种实现网络架构示意图,如图所示,该实现网络架构中,网络攻击防护装置和被保护服务器分别独立部署,被保护服务器直接从网络中接收发来的业务流量(由网络报文组成),正常情况下被保护服务器直接对从网络中接收到的业务流量进行处理,但当满足一定触发条件时,被保护服务器可以认为当前自身可能正在遭受网络攻击,即可以将当前网络中发来的业务流量牵引至图中的网络攻击防护装置,由网络攻击防护装置对牵引来的业务流量进行过滤清洗处理,将判断为网络攻击报文的网络报文丢弃(被清洗),并将经过过滤清洗的合法业务流量回注至被保护服务器,从而实现对被保护服务器的网络攻击防护。
图3是本发明实施例中的网络攻击防护方法的另一种实现网络架构示意图,如图所示,在该实现网络架构中,网络攻击防护装置被部署在被保护服务器内部,被保护服务器从网络中接收网络报文时,首先经由网络攻击防护装置的过滤清洗处理,将判断为网络攻击报文的网络报文丢弃,并将经过过滤清洗的网络报文发送至被保护服务器的报文处理模块,从而实现对被保护服务器的网络攻击防护。
需要指出的是,以上仅为本发明实施例提出的网络攻击防护方法的实现网络架构的三种示例,首先上述三种实现网络架构不应被作为限定本发明的网络攻击防护方法的有限实施场景,在此基础上,本领域技术人员可以毫无疑义的确认本发明实施例提供的网络攻击防护方法可以实施于更多的网络架构中对被保护服务器进行网络攻击防护,本发明中无需也无法进行穷举。
图4是本发明实施例中的一种网络攻击防护方法的流程示意图,如图所示本实施例中的网络攻击防护方法可以包括以下流程:
S401,获取接收到的网络报文的源端口号。
所述网络报文可以为UDP(User Data Protocol,用户数据报协议)报文或TCP(Transmission Control Protocol传输控制协议)报文等各类协议的报文,由于UDP报文的面向无连接,不保证可靠的传输特性,通常更多网络攻击的情况是UDP报文,但也有使用TCP报文或其他报文进行网络攻击的情况。具体可以通过查看接收到的UDP报文或TCP报文中的头部结构中的16bit源端口字段,获取到网络报文的源端口号。
S402,检测所述网络报文的源端口号是否为预设的风险端口号,若是则执行S403,否则该网络报文为正常业务报文,流程结束。
所述风险端口号在本发明实施例中代表经收集大量攻击行为实例后得到的较有可能用于发送网络攻击报文的源端口号,例如被用于进行DNS(Domain Name System,域名系统)反射攻击的DNS响应报文采用的源端口号通常是53,而被用于进行NTP(网络时间协议,Network Time Protocol)反射攻击的NTP报文采用的源端口号通常是123,又例如被用于进行SSDP(简单服务发现协议,SimpleServiceDiscoveryProtocol)反射攻击的SSDP报文采用的源端口号通常是1900,等等。通过收集这些被用于发送网络攻击报文的源端口号,可以对接收到的网络报文进行初步的筛选,例如可以建立一个风险端口号集合,在接收到网络报文时用在风险端口号集合中查找该网络报文的源端口号是否存在一致的风险端口号,若是则执行后续的风险报文分析。进而在确定某个网络报文是网络攻击报文,但该网络攻击报文的源端口号不在该风险端口号集合中的时候,还可以将其添加入风险端口号集合中。
S403,检测该网络报文是否具有与其源端口号对应的风险报文特征,若是则执行S404,否则该网络报文为正常业务报文,流程结束。
若检测到接收到的网络报文的源端口号是预设的风险端口号,可以认为该网络报文存在安全风险,但还不能确定该网络报文一定是否为网络攻击报文,这时可以进一步检测该网络报文是否具有与其源端口号对应的风险报文特征。所述风险报文特征可以为报文请求类型、报文大小或报文是否携带有特定的特征字段,还可以为Payload载荷特征、发包行为特征、QPS(Queries Per Second,即每秒查询率)特征等。在可选实施例中还可以是其中的至少两种风险报文特征同时满足,例如网络报文的大小为512字节的同时Payload的前4个字节是:0x00,0x03,0x00,0x01。
S404,若所述网络报文具有与其源端口号对应的风险报文特征,则确认该网络报文为网络攻击报文。
网络攻击防护装置中可以预设各个风险端口号与至少一个风险报文特征之间的对应关系,若网络攻击防护装置若经S402和S403确定当前的网络报文的源端口号是预设的风险端口号,同时还具有与其源端口号对应的风险报文特征,那么就可以确定该网络报文为网络攻击报文。
S405,针对该网络报文执行网络攻击防护策略。
在可选实施例中,网络攻击防护装置针对该网络报文执行网络攻击防护策略包括以下任一方式或几种方式的组合:
1)丢弃该网络报文,即对识别为网络攻击报文的网络报文进行清洗,从而实现对被保护服务器的网络攻击防护。
2)丢弃从所述网络报文的源IP(Internet Protocol,网络互连协议)接收到的网络报文,即当确定接收到网络攻击报文时,网络攻击防护装置将发送该网络攻击报文的源IP发送至被保护服务器的所有网络报文一并进行清洗,从而实现对被保护服务器的网络攻击防护。
3)停止从所述网络报文的源IP接收网络报文,即当确定接收到网络攻击报文时,网络攻击防护装置控制被保护服务器停止从发送该网络攻击报文的源IP接受网络报文(可以是停止一段预设的时间,例如1小时、一天或一周),从而阻止该源IP对应的网络服务器继续向被保护服务器发送网络攻击报文,实现对被保护服务器的网络攻击防护。
4)向网络报文的源IP发送网络攻击提示,即当确定到接收到网络攻击报文时,网络攻击防护装置向发送该网络攻击报文的源IP对应的网络服务器发送网络攻击提示,通知被保护服务器正在受到该源IP对应的网络服务器的攻击,为了保证源IP对应的网络服务器与被保护服务器之间正常业务的传输,源IP对应的网络服务器可以采取相应的应对措施停止向被保护服务器发送网络攻击报文,例如源IP对应的网络服务器将该网络攻击报文采用的源端口关闭使用,或在发送网络报文时就进行网络攻击报文的清洗过滤处理,或对非信任网络或源IP禁用某种协议的报文响应。
进而在可选实施例中,网络攻击防护方法在S401之前,还可以包括:
S400,检测到当前的网络报文接收速率达到预设的安全阈值。
即网络攻击防护装置检测发往被保护服务器(例如可以为网络报文的目的IP为被保护服务器对应的IP)的网络报文流量速率是否达到预设的安全阈值,例如检测5秒内接收到的网络报文的包数量是否达到预设的安全阈值,若是则会触发执行本发明实施例的网络攻击防护方法,即触发执行S401。
在可选实施例中,网络攻击防护装置还可以对接收到的网络报文按照源IP进行区分,进而检测当前是否存在某个源IP发送的网络报文的网络报文接收速率达到预设的安全阈值,若是则可以针对该源IP发送的网络报文触发执行本发明实施例的网络攻击防护方法。
而在另一可选实施例中,网络攻击防护装置还可以首先检测发往被保护服务器的网络报文流量速率是否达到预设的安全阈值,若是则对当前接收到的网络报文按源IP进行区分,仅针对其中网络报文流量速率最高的一个或几个源IP发送的网络报文触发执行本发明实施例的网络攻击防护方法。
而在另一可选实施例中,网络攻击防护装置还可以首先检测发往被保护服务器的网络报文流量速率是否达到预设的第一安全阈值,若是则对当前接收到的网络报文按源IP进行区分,检测当前是否存在某个源IP发送的网络报文的网络报文接收速率达到预设的第二安全阈值,若是则可以针对该源IP发送的网络报文触发执行本发明实施例的网络攻击防护方法,其中所述第一安全阈值大于第二安全阈值。
本实施例中的网络攻击防护装置通过检测接收到的网络报文的源端口号,并检测该网络报文是否具有与其源端口号对应的风险报文特征,实现了对网络攻击报文的准确识别,进而可以对被保护服务器的网络流量进行准确清洗,避免对正常业务流量产生干扰和影响。
图5是本发明实施例中的一种DNS反射攻击防护方法的流程示意图,如图所示本实施例中的反射攻击防护方法包括:
S501,获取接收到的网络报文的源端口号。
具体可以通过查看接收到的UDP报文或TCP报文中的头部结构中的16bit源端口字段,获取到网络报文的源端口号。
S502,所述网络报文的源端口号为风险端口号53,确认所述网络报文为域名系统响应报文DNS response。
S503,检测所述域名系统响应报文的请求类型为指定任意数据类型,若是,则确认所述网络报文具有与其源端口号对应的风险报文特征,否则该网络报文为正常业务报文,流程结束。
具体的,网络攻击防护装置可以通过查看DNS报文中的请求类型QueryType字段,若QueryType字段值为255(0xFF),则代表DNS response报文的请求类型为“any”即指定任意数据类型。
S504,确认所述网络报文为DNS反射攻击报文。
S505,针对该网络报文执行网络攻击防护策略。
在可选实施例中,网络攻击防护装置针对该网络报文执行网络攻击防护策略包括以下任一方式或几种方式的组合:
1)丢弃该网络报文。
2)丢弃从所述网络报文的源IP接收到的网络报文。
3)停止从所述网络报文的源IP接收网络报文。
4)向网络报文的源IP发送网络攻击提示。
本实施例中的网络攻击防护装置通过检测接收到的网络报文的源端口号识别得到接收到的是DNS响应报文,并进一步检测该DNS响应报文的请求类型是否为指定任意数据类型,若是则确定该网络报文是DNS反射攻击报文,实现了对DNS反射攻击报文的准确识别,进而可以对被保护服务器的接受到的DNS反射攻击报文进行准确清洗,避免对正常业务流量产生干扰和影响。
图6是本发明实施例中的一种NTP反射攻击防护方法的流程示意图,如图所示本实施例中的反射攻击防护方法包括:
S601,获取接收到的网络报文的源端口号。
具体可以通过查看接收到的UDP报文或TCP报文中的头部结构中的16bit源端口字段,获取到网络报文的源端口号。
S502,所述网络报文的源端口号为风险端口号123,确认所述网络报文为网络时间协议NTP(Network Time Protocol)报文。
S503,检测所述网络时间协议报文的请求类型是否为monlist,若是则执行S504,否则该网络报文为正常业务报文,流程结束。
具体的,可以通过检测所述网络时间协议报文的请求代码Request code是否为MON_GETLIST,若是,则确认所述网络报文为monlist请求,具有与其源端口号对应的风险报文特征。
S504,确认所述网络报文为NTP反射攻击报文。
S505,针对该网络报文执行网络攻击防护策略。
在可选实施例中,网络攻击防护装置针对该网络报文执行网络攻击防护策略包括以下任一方式或几种方式的组合:
1)丢弃该网络报文。
2)丢弃从所述网络报文的源IP接收到的网络报文。
3)停止从所述网络报文的源IP接收网络报文。
4)向网络报文的源IP发送网络攻击提示。
本实施例中的网络攻击防护装置通过检测接收到的网络报文的源端口号识别得到接收到的是NTP报文,并进一步检测该NTP报文的请求类型是否为monlist,若是则确定该网络报文是NTP反射攻击报文,实现了对NTP反射攻击报文的准确识别,进而可以对被保护服务器的接受到的NTP反射攻击报文进行准确清洗,避免对正常业务流量产生干扰和影响。
图7是本发明另一实施例中的网络攻击防护方法的流程示意图,如图所示本实施例中的网络攻击防护方法可以包括:
S701,获取接收到的网络报文的源端口号。
具体可以通过查看接收到的UDP报文或TCP报文中的头部结构中的16bit源端口字段,获取到网络报文的源端口号。
S702,检测所述网络报文的源端口号是否为预设的风险端口号,若是则执行S703,否则该网络报文为正常业务报文,流程结束。
所述风险端口号在本发明实施例中代表较有可能用于发送网络攻击报文的源端口号,例如被用于进行DNS反射攻击的DNS响应报文采用的源端口号通常是53,而被用于进行NTP反射攻击的NTP报文采用的源端口号通常是123,又例如被用于进行SSDP反射攻击的SSDP报文采用的源端口号通常是1900,等等。通过收集这些被用于发送网络攻击报文的源端口号,可以对接收到的网络报文进行初步的筛选,例如可以建立一个风险端口号集合,在接收到网络报文时用在风险端口号集合中查找该网络报文的源端口号是否存在一致的风险端口号,若是则执行后续的风险报文分析。
S703,检测网络报文中是否存在与所述源端口号对应的特定字段内容,若是则执行S704,否则该网络报文为正常业务报文,流程结束。
示例性的,若检测到当前接收到的网络报文的源端口号是1900,则可以确定该网络报文是SSDP应答消息,与该源端口号对应的特定字段内容可以包括:“ST:upnp:rootdevice”、“USN:uuid”、“SERVER:”或“LOCATION:”等。
S704,确认该网络报文为网络攻击报文。
仍以上述SSDP应答消息为例,只要当前接收到的SSDP应答消息携带上述特定字段内容,则可以确认当前接收到的是SSDP攻击报文。
S705,针对该网络报文执行网络攻击防护策略。
在可选实施例中,网络攻击防护装置针对该网络报文执行网络攻击防护策略包括以下任一方式或几种方式的组合:
1)丢弃该网络报文。
2)丢弃从所述网络报文的源IP接收到的网络报文。
3)停止从所述网络报文的源IP接收网络报文。
4)向网络报文的源IP发送网络攻击提示。
本实施例中的网络攻击防护装置通过检测接收到的网络报文的源端口号,并检测该网络报文中是否存在与所述源端口号对应的特定字段内容,从而实现了对网络攻击报文的准确识别,进而可以对被保护服务器的网络流量进行准确清洗,避免对正常业务流量产生干扰和影响。
图8是本发明实施例中的一种网络攻击防护装置的结构示意图,如图所示,本实施例中的网络攻击防护装置至少可以包括:
源端口检测模块810,用于检测接收到的网络报文的源端口号是否为预设的风险端口号。
所述网络报文可以为UDP(User Data Protocol,用户数据报协议)报文或TCP(Transmission Control Protocol传输控制协议)报文等各类协议的报文,由于UDP报文的面向无连接,不保证可靠的传输特性,通常更多网络攻击的情况是UDP报文,但也有使用TCP报文或其他报文进行网络攻击的情况。源端口检测模块810具体可以通过查看接收到的UDP报文或TCP报文中的头部结构中的16bit源端口字段,获取到网络报文的源端口号。
所述风险端口号在本发明实施例中代表经收集大量攻击行为实例后得到的较有可能用于发送网络攻击报文的源端口号,例如被用于进行DNS(Domain Name System,域名系统)反射攻击的DNS响应报文采用的源端口号通常是53,而被用于进行NTP(网络时间协议,Network Time Protocol)反射攻击的NTP报文采用的源端口号通常是123,又例如被用于进行SSDP(简单服务发现协议,SimpleServiceDiscoveryProtocol)反射攻击的SSDP报文采用的源端口号通常是1900,等等。网络攻击防护装置通过收集这些被用于发送网络攻击报文的源端口号,让源端口检测模块810可以对接收到的网络报文进行初步的筛选,例如可以建立一个风险端口号集合,在接收到网络报文时用在风险端口号集合中查找该网络报文的源端口号是否存在一致的风险端口号,若是则执行后续的风险报文分析。进而在确定某个网络报文是网络攻击报文,但该网络攻击报文的源端口号不在该风险端口号集合中的时候,还可以将其添加入风险端口号集合中。
报文特征检测模块820,用于在所述源端口检测模块确认接收到的网络报文的源端口号为预设的风险端口号的情况下,检测该网络报文是否具有与其源端口号对应的风险报文特征,若所述网络报文具有与其源端口号对应的风险报文特征,则确认该网络报文为网络攻击报文。
若检测到接收到的网络报文的源端口号是预设的风险端口号,可以认为该网络报文存在安全风险,但还不能确定该网络报文一定是否为网络攻击报文,这时报文特征检测模块820可以进一步检测该网络报文是否具有与其源端口号对应的风险报文特征。所述风险报文特征可以为报文请求类型、报文大小或报文是否携带有特定的特征字段,还可以为Payload载荷特征、发包行为特征、QPS(Queries Per Second,即每秒查询率)特征等。在可选实施例中还可以是其中的至少两种风险报文特征同时满足,例如网络报文的大小为512字节的同时Payload的前4个字节是:0x00,0x03,0x00,0x01。
网络攻击防护装置中可以预设各个风险端口号与至少一个风险报文特征之间的对应关系,若确定当前的网络报文的源端口号是预设的风险端口号,同时还具有与其源端口号对应的风险报文特征,那么就可以确定该网络报文为网络攻击报文。
攻击防护模块830,用于在所述报文特征检测模块确认所述网络报文为网络攻击报文的情况下,针对该网络报文执行网络攻击防护策略。
在可选实施例中,攻击防护模块830针对该网络报文执行网络攻击防护策略包括以下任一方式或几种方式的组合:
1)丢弃该网络报文,即对识别为网络攻击报文的网络报文进行清洗,从而实现对被保护服务器的网络攻击防护。
2)丢弃从所述网络报文的源IP(Internet Protocol,网络互连协议)接收到的网络报文,即当确定接收到网络攻击报文时,网络攻击防护装置将发送该网络攻击报文的源IP发送至被保护服务器的所有网络报文一并进行清洗,从而实现对被保护服务器的网络攻击防护。
3)停止从所述网络报文的源IP接收网络报文,即当确定接收到网络攻击报文时,网络攻击防护装置控制被保护服务器停止从发送该网络攻击报文的源IP接受网络报文(可以是停止一段预设的时间,例如1小时、一天或一周),从而阻止该源IP对应的网络服务器继续向被保护服务器发送网络攻击报文,实现对被保护服务器的网络攻击防护。
4)向网络报文的源IP发送网络攻击提示,即当确定到接收到网络攻击报文时,网络攻击防护装置向发送该网络攻击报文的源IP对应的网络服务器发送网络攻击提示,通知被保护服务器正在受到该源IP对应的网络服务器的攻击,为了保证源IP对应的网络服务器与被保护服务器之间正常业务的传输,源IP对应的网络服务器可以采取相应的应对措施停止向被保护服务器发送网络攻击报文,例如源IP对应的网络服务器将该网络攻击报文采用的源端口关闭使用,或在发送网络报文时就进行网络攻击报文的清洗过滤处理,或对非信任网络或源IP禁用某种协议的报文响应。
进而在可选实施例中,网络攻击防护装置还可以包括:
攻击检测模块800,用于检测当前的网络报文接收速率是否达到预设的安全阈值,若是则触发源端口检测模块810检测接收到的网络报文的源端口号是否为预设的风险端口号。
即攻击检测模块800检测发往被保护服务器(例如可以为网络报文的目的IP为被保护服务器对应的IP)的网络报文流量速率是否达到预设的安全阈值,例如检测5秒内接收到的网络报文的包数量是否达到预设的安全阈值,若是则会触发源端口检测模块810检测接收到的网络报文的源端口号是否为预设的风险端口号。
在可选实施例中,攻击检测模块800还可以对接收到的网络报文按照源IP进行区分,进而检测当前是否存在某个源IP发送的网络报文的网络报文接收速率达到预设的安全阈值,若是则可以针对该源IP发送的网络报文触发源端口检测模块810检测源端口号是否为预设的风险端口号。
而在另一可选实施例中,攻击检测模块800还可以首先检测发往被保护服务器的网络报文流量速率是否达到预设的安全阈值,若是则对当前接收到的网络报文按源IP进行区分,仅针对其中网络报文流量速率最高的一个或几个源IP发送的网络报文触发源端口检测模块810检测源端口号是否为预设的风险端口号。
而在另一可选实施例中,攻击检测模块800还可以首先检测发往被保护服务器的网络报文流量速率是否达到预设的第一安全阈值,若是则对当前接收到的网络报文按源IP进行区分,检测当前是否存在某个源IP发送的网络报文的网络报文接收速率达到预设的第二安全阈值,若是则可以针对该源IP发送的网络报文触发源端口检测模块810检测源端口号是否为预设的风险端口号,其中所述第一安全阈值大于第二安全阈值。
本实施例中的网络攻击防护装置通过检测接收到的网络报文的源端口号,并检测该网络报文是否具有与其源端口号对应的风险报文特征,实现了对网络攻击报文的准确识别,进而可以对被保护服务器的网络流量进行准确清洗,避免对正常业务流量产生干扰和影响。
这里需要指出的是,上述网络攻击防护装置可以为PC这种电子设备;也可以是通过集群服务器构成的,为实现各单元功能而合并为一实体或各单元功能分体设置的电子设备,网络攻击防护装置至少包括用于存储数据的数据库和用于数据处理的处理器,可以包括内置的存储介质或独立设置的存储介质。
其中,对于用于数据处理的处理器而言,在执行处理时,可以采用微处理器、中央处理器(CPU,Central Processing Unit)、数字信号处理器(DSP,DigitalSingnalProcessor)或可编程逻辑阵列(FPGA,Field-Programmable Gate Array)实现;对于存储介质来说,包含操作指令,该操作指令可以为计算机可执行代码,通过所述操作指令来实现上述本发明实施例如图4-7所示的网络攻击防护方法流程中的各个步骤。
网络攻击防护装置作为硬件实体的一个示例如图9所示。所述装置包括处理器901、存储介质902以及至少一个外部通信接口903;所述处理器901、存储介质902以及通信接口903均通过总线904连接。
网络攻击防护装置中的处理器901可以调用存储介质902中的操作指令执行以下流程:
检测接收到的网络报文的源端口号是否为预设的风险端口号;
若是,则检测该网络报文是否具有与其源端口号对应的风险报文特征;
若所述网络报文具有与其源端口号对应的风险报文特征,则确认该网络报文为网络攻击报文;
针对该网络报文执行网络攻击防护策略。
这里需要指出的是:以上涉及网络攻击防护装置的描述,与前文网络攻击防护方法的描述是类似的,同方法的有益效果描述,不做赘述。对于本发明网络攻击防护装置实施例中未披露的技术细节,请参照本发明方法实施例的描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的设备和方法,可以通过其它的方式实现。以上所描述的设备实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,如:多个单元或组件可以结合,或可以集成到另一个系统,或一些特征可以忽略,或不执行。另外,所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口,设备或单元的间接耦合或通信连接,可以是电性的、机械的或其它形式的。
上述作为分离部件说明的单元可以是、或也可以不是物理上分开的,作为单元显示的部件可以是、或也可以不是物理单元,即可以位于一个地方,也可以分布到多个网络单元上;可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。
另外,在本发明各实施例中的各功能单元可以全部集成在一个处理单元中,也可以是各单元分别单独作为一个单元,也可以两个或两个以上单元集成在一个单元中;上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:移动存储设备、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
或者,本发明上述集成的单元如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本发明各个实施例所述方法的全部或部分。而前述的存储介质包括:移动存储设备、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。
Claims (12)
1.一种网络攻击防护方法,其特征在于,所述方法包括:
检测接收到的网络报文的源端口号是否为预设的风险端口号;
若是,则检测该网络报文是否具有与其源端口号对应的风险报文特征;
若所述网络报文具有与其源端口号对应的风险报文特征,则确认该网络报文为网络攻击报文;
针对该网络报文执行网络攻击防护策略。
2.如权利要求1所述的网络攻击防护方法,其特征在于,所述检测该网络报文是否具有与其源端口号对应的风险报文特征包括:
检测所述网络报文的报文请求类型是否为与所述源端口号对应的风险类型,若是,则确认所述网络报文具有与其源端口号对应的风险报文特征。
3.如权利要求2所述的网络攻击防护方法,其特征在于,所述检测所述网络报文的报文请求类型是否为与所述源端口号对应的风险类型包括:
若所述网络报文的源端口号为风险端口号53,则确认所述网络报文为域名系统响应报文;
通过查看所述域名系统响应报文中的请求类型字段,若请求类型字段值为255或0xFF,则所述域名系统响应报文的请求类型为指定任意数据类型,确认所述网络报文具有与其源端口号对应的风险报文特征。
4.如权利要求2所述的网络攻击防护方法,其特征在于,所述检测所述网络报文的报文请求类型是否为与所述源端口号对应的风险类型包括:
若所述网络报文的源端口号为风险端口号123,则确认所述网络报文为网络时间协议报文;
检测所述网络时间协议报文的请求类型是否为monlist,若是,则确认所述网络报文具有与其源端口号对应的风险报文特征。
5.如权利要求1所述的网络攻击防护方法,其特征在于,所述检测该网络报文是否具有与其源端口号对应的风险报文特征包括:
检测所述网络报文中是否存在与所述源端口号对应的特定字段内容,若是,则确认所述网络报文具有与其源端口号对应的风险报文特征。
6.如权利要求1所述的网络攻击防护方法,其特征在于,所述检测网络报文的源端口号是否为预设的风险端口号之前还包括:
检测到当前的网络报文接收速率达到预设的安全阈值。
7.如权利要求6所述的网络攻击防护方法,其特征在于,所述检测到当前的网络报文接收速率达到预设的安全阈值包括:
检测到从所述网络报文的源IP接收到的网络报文对应的网络报文接收速率达到预设的安全阈值。
8.一种网络攻击防护装置,其特征在于,所述装置包括:
源端口检测模块,用于检测接收到的网络报文的源端口号是否为预设的风险端口号;
报文特征检测模块,用于在所述源端口检测模块确认接收到的网络报文的源端口号为预设的风险端口号的情况下,检测该网络报文是否具有与其源端口号对应的风险报文特征,若所述网络报文具有与其源端口号对应的风险报文特征,则确认该网络报文为网络攻击报文;
攻击防护模块,用于在所述报文特征检测模块确认所述网络报文为网络攻击报文的情况下,针对该网络报文执行网络攻击防护策略。
9.如权利要求8所述的网络攻击防护装置,其特征在于,所述报文特征检测模块用于:
检测所述网络报文的报文请求类型是否为与所述源端口号对应的风险类型,若是,则确认所述网络报文具有与其源端口号对应的风险报文特征。
10.如权利要求9所述的网络攻击防护装置,其特征在于,
当检测到所述网络报文的源端口号为风险端口号53的情况下,所述源端口检测模块确认所述网络报文为域名系统响应报文;
并且当所述报文特征检测模块通过查看所述域名系统响应报文中的请求类型字段,请求类型字段值为255或0xFF的情况下,即检测到所述域名系统响应报文的请求类型为指定任意数据类型,所述报文特征检测模块确认所述网络报文具有与其源端口号对应的风险报文特征。
11.如权利要求9所述的网络攻击防护装置,其特征在于,
当检测到所述网络报文的源端口号为风险端口号123的情况下,所述源端口检测模块确认所述网络报文为网络时间协议报文;
并且当检测到所述网络时间协议报文的请求代码为monlist的情况下,所述报文特征检测模块确认所述网络报文具有与其源端口号对应的风险报文特征。
12.如权利要求8所述的网络攻击防护装置,其特征在于,所述报文特征检测模块用于:
检测所述网络报文中是否存在与所述源端口号对应的特定字段内容,若是,则确认所述网络报文具有与其源端口号对应的风险报文特征。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710262319.5A CN108737344B (zh) | 2017-04-20 | 2017-04-20 | 一种网络攻击防护方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710262319.5A CN108737344B (zh) | 2017-04-20 | 2017-04-20 | 一种网络攻击防护方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108737344A CN108737344A (zh) | 2018-11-02 |
| CN108737344B true CN108737344B (zh) | 2021-08-24 |
Family
ID=63933163
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710262319.5A Active CN108737344B (zh) | 2017-04-20 | 2017-04-20 | 一种网络攻击防护方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108737344B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110740144B (zh) * | 2019-11-27 | 2022-09-16 | 腾讯科技(深圳)有限公司 | 确定攻击目标的方法、装置、设备及存储介质 |
| CN111314370B (zh) * | 2020-02-28 | 2022-07-29 | 杭州迪普科技股份有限公司 | 一种业务漏洞攻击行为的检测方法及装置 |
| CN113746786A (zh) * | 2020-05-29 | 2021-12-03 | 华为技术有限公司 | 网络攻击的检测方法、装置、设备及存储介质 |
| CN113206828B (zh) * | 2021-03-30 | 2022-05-27 | 新华三信息安全技术有限公司 | 一种分析网络设备安全的方法及设备 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7536719B2 (en) * | 2003-01-07 | 2009-05-19 | Microsoft Corporation | Method and apparatus for preventing a denial of service attack during key negotiation |
| CN101841533B (zh) * | 2010-03-19 | 2014-04-09 | 中国科学院计算机网络信息中心 | 分布式拒绝服务攻击检测方法和装置 |
| CN105991637B (zh) * | 2015-06-15 | 2019-06-07 | 杭州迪普科技股份有限公司 | 网络攻击的防护方法和装置 |
-
2017
- 2017-04-20 CN CN201710262319.5A patent/CN108737344B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN108737344A (zh) | 2018-11-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11924170B2 (en) | Methods and systems for API deception environment and API traffic control and security | |
| CN110445770B (zh) | 网络攻击源定位及防护方法、电子设备及计算机存储介质 | |
| US9787700B1 (en) | System and method for offloading packet processing and static analysis operations | |
| CN108737344B (zh) | 一种网络攻击防护方法和装置 | |
| US10547636B2 (en) | Method and system for detecting and mitigating denial-of-service attacks | |
| US20070143846A1 (en) | System and method for detecting network-based attacks on electronic devices | |
| CN107395632B (zh) | SYN Flood防护方法、装置、清洗设备及介质 | |
| CN104488229A (zh) | 网络业务处理系统 | |
| CN111565203B (zh) | 业务请求的防护方法、装置、系统和计算机设备 | |
| JP4373306B2 (ja) | Tcpステートレス・ホグによるtcpサーバに対する分散サービス妨害攻撃を防御する方法および装置 | |
| WO2021082834A1 (zh) | 报文处理方法、装置、设备及计算机可读存储介质 | |
| US11777971B2 (en) | Bind shell attack detection | |
| CN105323259B (zh) | 一种防止同步包攻击的方法和装置 | |
| EP2009864A1 (en) | Method and apparatus for attack prevention | |
| CN110365658B (zh) | 一种反射攻击防护与流量清洗方法、装置、设备及介质 | |
| CN108616488B (zh) | 一种攻击的防御方法及防御设备 | |
| CN111314328A (zh) | 网络攻击防护方法、装置、存储介质及电子设备 | |
| CN107454065B (zh) | 一种UDP Flood攻击的防护方法及装置 | |
| JP2004140524A (ja) | DoS攻撃検知方法、DoS攻撃検知装置及びプログラム | |
| CN108418844B (zh) | 一种应用层攻击的防护方法及攻击防护端 | |
| CN110198298B (zh) | 一种信息处理方法、装置及存储介质 | |
| US20180020017A1 (en) | Advanced persistent threat mitigation | |
| KR20130009130A (ko) | 좀비 피씨 및 디도스 대응 장치 및 방법 | |
| CN113328976B (zh) | 一种安全威胁事件识别方法、装置及设备 | |
| CN113630417A (zh) | 基于waf的数据发送方法、装置、电子装置和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |