CN109194680A - 一种网络攻击识别方法、装置及设备 - Google Patents
一种网络攻击识别方法、装置及设备 Download PDFInfo
- Publication number
- CN109194680A CN109194680A CN201811128327.1A CN201811128327A CN109194680A CN 109194680 A CN109194680 A CN 109194680A CN 201811128327 A CN201811128327 A CN 201811128327A CN 109194680 A CN109194680 A CN 109194680A
- Authority
- CN
- China
- Prior art keywords
- network
- packet
- data packet
- reflectance data
- attack
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种网络攻击识别方法、装置及设备,所述方法包括:采集异常网络中的网络数据包,提取所述网络数据包的网络特征;根据提取出的网络特征,从所述网络数据包中确定出反射数据包;将所述反射数据包的网络特征与属性关系表中的特征进行匹配,得到所述反射数据包对应的属性特征;由所述反射数据包的网络特征和属性特征,得出所述反射数据包的网络攻击类型。本发明能够自动识别出反射型DDoS攻击类型;解决了企业在DDoS对抗方面严重依赖经验丰富的安全人员的问题,提升了企业应对新的DDoS攻击方法的主动性和自动性。
Description
技术领域
本发明涉及计算机网络安全技术领域,尤其涉及一种网络攻击识别方法、装置及设备。
背景技术
随着云计算和物联网等科技的不断发展,DDoS分布式拒绝服务的网络攻击越来越频繁,攻击流量峰值记录也不断被打破。其中,DDoS分布式拒绝服务攻击会导致网络服务(如游戏,视频,电商网站等)出现访问缓慢、连接中断等网络问题,这将造成被攻击企业业务的不可用,严重影响用户的产品体验;继而会致使用户流失、品牌受损等严重后果。
目前,针对DDoS分布式拒绝服务攻击使用通用的识别和应对措施,其主要是通过检测--清洗--回注的方案进行的。具体是检测设备和清洗设备通过旁路接入网络的方式;检测设备通过分析网络流量,识别网络攻击;之后在检测到DDoS攻击后下发牵引指令,使得被攻击IP地址的攻击流量经过清洗设备;清洗设备通过算法将攻击流量拦截掉,再将业务流量回注到服务器网络里;并将防护效果相关的数据推送到管理中心,供值班人员或者运维人员参考。可见,现有方案的识别及之后的应对方式比较被动;并且,在应对之前并不能针对攻击手法进行有效识别,如果有新的攻击手法出现,就会因应对策略无法覆盖导致攻击流量透传到业务服务器,造成业务损失。
因此,需要提供一种有效的进行网络攻击识别的技术方案,提升企业应对DDoS攻击方法的主动性和自动性。
发明内容
本发明提供了一种网络攻击识别生成方法、装置及设备,具体地:
一方面提供了一种网络攻击识别方法,所述方法包括:
采集异常网络中的网络数据包,提取所述网络数据包的网络特征;
根据提取出的网络特征,从所述网络数据包中确定出反射数据包;
将所述反射数据包的网络特征与属性关系表中的特征进行匹配,得到所述反射数据包对应的属性特征;
由所述反射数据包的网络特征和属性特征,得出所述反射数据包的网络攻击类型。
一方面提供了一种网络攻击识别装置,所述装置包括:
网路特征提取模块,用于采集异常网络中的网络数据包,提取所述网络数据包的网络特征;
反射数据包确定模块,用于根据提取出的网络特征,从所述网络数据包中确定出反射数据包;
属性特征得到模块,用于将所述反射数据包的网络特征与属性关系表中的特征进行匹配,得到所述反射数据包对应的属性特征;
网络攻击类型得到模块,用于由所述反射数据包的网络特征和属性特征,得出所述反射数据包的网络攻击类型。
另一方面提供了一种设备,所述设备包括处理器和存储器,所述存储器中存储有至少一条指令、至少一段程序、代码集或指令集,所述至少一条指令、所述至少一段程序、所述代码集或指令集由所述处理器加载并执行以实现如上述方面所述的网络攻击识别方法。
另一方面提供了一种计算机可读存储介质,所述存储介质中存储有至少一条指令、至少一段程序、代码集或指令集,所述至少一条指令、所述至少一段程序、所述代码集或指令集由处理器加载并执行以实现如如上述方面所述的网络攻击识别方法。
本发明提供的一种网络攻击识别生成方法、装置及设备,具有如下技术效果:
本发明在网络流量异常时,采集当前网络中的数据包,并解析提取出网络数据包的网络特征;根据提取出的网络特征的分析确认出反射攻击,得出对应的反射数据包;进一步地,将所述反射数据包的网络特征与属性关系表中的特征进行匹配,得到所述反射数据包对应的属性特征;之后根据所述反射数据包的网络特征和属性特征,能够汇总得出当前网络对应的网络攻击类型。本发明能够根据判定出的反射数据包自动分析出对应的网络特征和属性特征,基于该网络特征和属性信息自动识别出反射型DDoS攻击的类型;不仅能够对已有的攻击类型进行自动快速的识别,还能够在检测出新的反射攻击手法,扩大了攻击类型的可识别范围;并且,本发明解决了企业在DDoS对抗方面严重依赖经验丰富的安全人员的问题,提升了企业应对DDoS攻击方法的主动性和自动性;进而提升了网络攻击识别以及后续攻击对抗的效率。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案和优点,下面将对实施例或现有技术描述中所需要使用的附图作简单的介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它附图。
图1是本说明书实施例提供的实施环境的示意图;
图2是本说明书实施例提供的一种网络攻击识别方法流程图;
图3是本说明书实施例提供的提取所述网络数据包的网络特征的步骤流程图;
图4是本说明书实施例提供的从所述网络数据包的数据部分提取出第二特征的步骤流程图;
图5是本说明书实施例提供的根据提取出的网络特征,从所述网络数据包中确定出反射数据包的步骤流程图;
图6是本说明书实施例提供的将所述反射数据包的网络特征与属性关系表中的特征进行匹配,得到所述反射数据包对应的属性特征的步骤流程图;
图7(a)是本说明书实施例提供的一种利用预设规则进行攻击特征提取的结果示意图;
图7(b)是本说明书实施例提供的另一种利用预设规则进行攻击特征提取的结果示意图;
图8是本说明书实施例提供的一种网络攻击识别装置的结构示意图;
图9是本说明书实施例提供的网路特征提取模块的组成示意图;
图10是本说明书实施例提供的第二特征集合提取单元的组成示意图;
图11是本说明书实施例提供的属性特征得到模块的组成示意图;
图12是本说明书实施例提供的反射数据包确定模块的组成示意图;
图13是本说明书实施例提供的网络攻击识别系统的应用示意图;
图14是本说明书实施例提供的网络攻击识别设备的示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
首先对于本说明书技术领域中的控制端、肉鸡和反射源给与说明:
控制端:指用来控制大量的僵尸主机节点向攻击目标发起DDoS(DistributedDenial of service)攻击的木马或僵尸网络控制端;
肉鸡:指被控制端利用,向攻击目标发起分布式拒绝服务DDoS攻击的僵尸主机节点。
反射源:指能够被黑客利用发起反射攻击的服务器、主机等设施,它们提供的网络服务中,如果存在某些网络服务,不需要进行认证并且具有放大效果,又在互联网上大量部署(如DNS服务器,NTP服务器等),它们就可能成为被利用发起DDoS攻击的网络资源。
现有的DDoS攻击中比较流行的是反射型DDoS攻击;在反射型DDoS攻击中,基于简单服务发现协议类型SSDP(Simple Service Discovery Protocol)、网络时间协议类型NTP(Network Time Protocol)、域名系统DNS(Domain Name System)、简单网络管理协议类型SNMP(Simple Network Management Protocol)、分布式内存对象缓存系统MEMCACHED等开放式UDP服务的反射型DDoS攻击是最主要的攻击手法。
其中,部分基于UDP服务协议类型的反射型DDoS攻击具有较大的放大作用(一般放大30倍至上万倍不等),攻击者利用较少的肉鸡的流量,通过反射源放大后就能获得可观的攻击流量。另外,部分攻击者为了隐藏自己,并寻求突破防护设备或者防火墙的防护策略,一些新的反射攻击技术陆续被攻击者挖掘出来;这使得现在除了基于memcached协议类型的反射攻击方法受到攻击者的青睐之外,还发现基于IP地址MI协议类型的反射攻击,基于tcp协议类型(80,443,23等端口)的SYN-ACK反射攻击等新的反射型DDoS攻击。
对于不同的攻击手法,需要经验丰富的安全人员,预先分析出攻击特征和防护策略,并在清洗设备上通过代码实现防护策略;也就是说,现有的方案中,对于攻击手法的分析,过度依赖于经验丰富的安全人员,自动化程度低,对抗周期较长;并且在遇到新的攻击类型时,需要经验丰富的安全人员根据业务受损的信息,反向挖掘出新的攻击手法,人工分析出对应的攻击特征;可以看出,现有的网络攻击识别方法比较滞后,分析效率较低;并且,对于新的攻击手法的分析效果较差。因此,本说明书实施例提供了一种有效且自动地进行网络攻击识别的技术方案。
如图1所示,其示出了本技术方案下的实施环境的示意图;该实施环境包括:服务器02、与该服务器02进行信息通信的多个终端(比如图1中的终端01以及终端03)。其中,终端均可以为手机、平板电脑、膝上型便携获取机、PAD或台式获取机等等。终端中运行有应用程序,应用程序可以是任何具有虚拟资源收发功能的应用程序;也就是数艘,所述客户端均能够进行虚拟资源的发送和虚拟资源的接收。详细地,运行的应用程序例如可以是社交应用程序、即时通信应用程序、支付类应用程序、游戏应用程序、阅读应用程序、专用于收发虚拟资源的应用程序等等。
所述客户端具有应用程序界面,应用程序界面内可以包括一种或者多种组成界面的界面元素,具体的界面元素包括但不限于窗口、对话框、消息框、状态栏等等中的一种或者多种。并且,应用程序界面可以包括显示在终端屏幕内的界面和存储在用户终端内但没有显示在终端屏幕的界面。显示在终端屏幕上的界面称之为显示界面。界面内的各种界面元素可以统称为界面内的内容信息。
服务器02可以是一台服务器,也可以是由若干台服务器组成的服务器集群,或者是一个云获取服务中心;服务器02通过网络与一个或多个终端建立通信连接。
具体地,本说明书实施例提供了一种网络攻击识别方法,如图2所示,所述方法可以包括:
S202.采集异常网络中的网络数据包,提取所述网络数据包的网络特征;
在服务器检测到被攻击主机上有大量等待的TCP连接;或是,网络中充斥着大量的无用的数据包;或是,源地址为假制造高流量无用数据,造成网络拥塞,使受害主机无法正常和外界通讯;或是,利用受害主机提供的传输协议类型上的缺陷反复高速的发出特定的服务请求,使主机无法处理所有正常请求等等类似状况的发生时;可以判定出当前网络属于遭受了DDoS攻击的异常网络;此时,所述服务器从对应网络的网路设备上进行抓包,或者是通过在网络设备上进行流量镜像的方式采集当前网络中的网络数据包。
需要给与说明的是,在判断是否属于异常网络(或是是否遭受DDos攻击)时,可以通过已有的判断方式进行识别判断;这里所说的网络数据包一般是TCP/IP网络模型的第三层(传输层)或第四层(应用层)的数据。
进一步地,在服务器获取到异常网络中的网络数据包之后,从所述网络数据包中提取出对应的网络特征;对应地:
步骤S202中提取所述网络数据包的网络特征,如图3所示,可以包括:
S402.从所述网络数据包的包头部分提取出第一特征集合;所述第一特征集合可以包括源IP地址、源端口号、目的IP地址、目的端口号和协议类型;
其中,每个网络数据包均包括包头部分和数据部分。以UDP应答数据包为例,UDP数据包的包头部分包括发送方和接收方主机物理地址的定位,以及其它网络信息;比如UDP源IP地址、UDP源端口号(53号)、UDP目标IP地址、UDP目标端口号、协议类型号(7号)、UDP长度、UDP校验和等等;所以对应地,从网络数据包的包头部分中能够提取出源IP地址、源端口号、目的IP地址、目的端口号、协议类型;并作为后续数据包分析的特征信息。
S404.从所述网络数据包的数据部分提取出第二特征集合;所述第二特征集合包括特征偏移、特征长度和特征明细。
其中,所述网络数据包的数据部分包括实际的数据信息;比如1个TCP数据包的数据部分如下:
0x67 0x67 0x67 0x67 0x67 0x67 0x67 0x2e 0x2e 0x2e 0x2e 0x48 0x54 0x540x50
详细地,步骤S404从所述网络数据包的数据部分提取出第二特征集合,如图4所示,可以包括:
S602.设定所述网络数据包中的可识别字符串和非可识别字符串;
本实施例中,可以设定0x30-0x39(代表数字0至9),0x41-0x5a(代表A至Z),0x61-0x7a(代表a至z)为可识别字符串;其余字符串定义为非可识别字符串。
需要给与说明的是,可识别的符号并不限定在上述示出的符号,也可以进行自行调整;比如可以添加逗号、减号、下划线等限定符作为识别符号,具体情况可以根据工作人员的识别处理场景进行考虑。
S604.对所述网络数据包的数据部分进行划分,得到特征序列;
其中,步骤S604对所述网络数据包的数据部分进行特征划分,包括:
从所述数据部分的第一个字符开始识别;在识别出多个连续的可识别字符串时,将多个连续的可识别字符串作为一个特征序列;在识别出多个非连续的可识别字符串时,将多个连续的非可识别字符串作为一个特征序列。
具体地,可以是根据预设规则对所述网络数据包的数据部分进行特征划分,所述的预设规则为从第一个字符开始识别,将数据部分中连续的可识别字符串看做一个特征序列,将数据部分中连续的非可识别字符串看做一个特征序列,直到识别到数据部分的结束。
需要给与说明的是,对非可识别字符串串来说,优选地是将位于预设长度范围内的连续的多个非可识别字符串作为一个特征;比如,所述预设长度为4时,则最长4个非可识别字符串作为一个特征序列,若连续的非可识别字符串大于4个小于8个时,则将该数据段拆分为2个特征序列,若连续的非可识别字符串大于8个小于12个时,则将该数据段拆分为3个特征序列,依此类推。
并且,在识别的过程中不存在多个连续的可识别字符串(只有一个可识别字符串)时,则该单独的可识别字符串作为一个特征序列;同样地,在识别的过程中不存在多个连续的非可识别字符串(只有一个非可识别字符串)时,则该单独的非可识别字符串作为一个特征序列。
进一步地,按照上述规则对每个网络数据包的数据部分进行划分,分别得到对应的特征序列;其中,根据数据部分的长度以及预设规则,得到的特征序列为一个或是多个,一般为多个特征序列。
S606.根据所述数据部分的划分结果,获取对应特征序列的特征偏移和特征长度;
按照上述的预设规则对每个网络数据包的数据部分进行特征划分,其中每个网络数据包划分结束之后,根据划分的顺序可以得到所述特征序列的特征偏移(特征序列所在的位置),根据得到的特征序列中包含的字符可以得到所述特征序列的特征长度;所以,所述特征偏移为对应特征序列的标识序号,所述特征长度为对应特征序列的字符串长度。
S608.分析所述特征序列,根据所述可识别字符或非可识别字符得到对应的特征明细。
具体地,按照步骤S602中设定的可识别字符串和非可识别字符串,对步骤S604中的特征序列进行识别,确定出每个特征序列的识别结果(特征明细);所以,所述特征明细为对应特征序列被识别出的字符符号。
下面通过举例给与说明:
如果按照步骤S404给出的TCP数据包的数据部分进行分析,则根据步骤S602设定的可识别字符串及其对应关系,步骤S604特征划分的规则,可以得到
0x67 0x67 0x67 0x67 0x67 0x67 0x67 0x2e 0x2e 0x2e 0x2e 0x48 0x54 0x540x50中的特征序列为:
0x67 0x67 0x67 0x67 0x67 0x67 0x67
0x2e 0x2e 0x2e 0x2e
0x48 0x54 0x54 0x50;
则提取出如下对应的三个特征:
表1
特征偏移 | 特征长度 | 特征明细 |
1 | 7 | g g g g g g g |
2 | 4 | 0x2e 0x2e 0x2e 0x2e |
3 | 4 | H T T P |
则TCP数据包的识别结果为g g g g g g g 0x2e 0x2e 0x2e 0x2e H T T P。
其中,通过特征明细的方式能够过滤出一类的攻击数据包;比如,如果有三个网络数据包,这三个网路数据包的识别结果分别为:
aaaa.c.ac.ac
aaaa.b.ac.ac
aaaa.aa.aa
如果不进行特征划分得到对应的特征明细,则这三个数据包是完全不同的,在数据包识别判断或是归类时是将其作为三种数据包进行划分的;但是,其实这三个数据包属于同一类网路攻击类型下的反射数据包(攻击数据包);所以,按照特征划分的方式,分析aaaa这个共有的特征(具有相同的特征偏移、特征长度和特征明细),就能够将这三个数据包一并过滤出来。
其中,反射数据包中的攻击信息主要体现在数据部分,所以对应地,所述第二特征集合对应出得信息属于攻击特征。
本实施例中的所述网络特征可以包括特征偏移、特征长度、特征明细对应的3个字段,以及源IP地址、源端口号、目的IP地址、目的端口号、协议类型对应的5个字段。
S204.根据提取出的网络特征,从所述网络数据包中确定出反射数据包;
对于TCP/UDP协议类型,反射型DDoS攻击(如synflood攻击)的源端口号会在数万个端口(1024-65553)中随机产生。尽管攻击报文会因为受攻击者的控制端控制,网络数据包的内容可能会聚集,但是结合源端口号一起考虑就会发现网络数据包是比较分散,不容易出现聚集的。
如果检测发现,结合源端口号之后的网络数据包的网络特征在整体网络特征中占据的比例很高,则可以认为当前网路遭受了反射攻击。具体地,根据已有的域名解析服务中可以得到,反射攻击场景下的DNS反射攻击对应的端口号为53,NTP反射攻击对应的端口号为123,SSDP反射攻击对应的端口号为1900,LDAP反射攻击对应的端口号为389,MEMCACH反射攻击对应的端口号为11211等等。例如,如果提取出来的网路特征中53号端口的比例较高(比如占比达到2%),则当前网络遭受了反射型DDoS攻击;所以,对应地:
步骤S204中,根据提取出的网络特征,从所述网络数据包中确定出反射数据包,如图5所示,可以包括:
S802.统计具有相同网络特征的网络数据包的数量;
S804.计算所述网络数据包在所有网路数据包中占据的比例;
S806.在统计得到的网络数据包的比例大于预设比例时,则所述网络数据包为反射数据包。
需要给与说明的是,在反射型DDoS攻击下,常被利用的源端口号为53/121/1900/11211等。若这些端口号中出现其占据的比例参数超过预设参数时,则可以判定出所述网络攻击属于反射型攻击;对应的网络数据包属于来自反射源的反射数据包。所以,优选地步骤S204可以包括,通过提取出的网络特征中的源端口号对网络数据包进行统计分析,确定出反射数据包。
其中,步骤S204根据提取出的网络特征,从所述网络数据包中确定出反射数据包,还可以包括:
对具有相同网络特征的反射数据包进行去重处理,分别得到对应的反射数据包样本;将该反射数据包样本进入之后的处理步骤。
一般地,在确定网络数据包是否为反射数据包时,可以利用网络特征中的源端口号、目的IP地址和攻击特征(第二特征集合)作为判断是否属于相同类型的网络数据包的依据。
需要给与说明的是,考虑目的IP地址,是因为按照目的IP地址聚集的这个条件能够将DDoS攻击和扫描攻击(另一种网络攻击)区别开来。
考虑源端口号和攻击特征,是因为反射攻击的原理是:攻击者伪造被攻击者的IP地址,向很多开放特定协议(对应服务监听特定的端口)发送请求报文;然后应答报文会被发送到被攻击者的IP;这使得开放特定协议(对应服务监听特定的端口)的应答报文就会在源端口号和攻击特征上形成聚集;所以可以通过源端口号和攻击特征作为其中一部分判断依据。
S206.将所述反射数据包的网络特征与属性关系表中的特征进行匹配,得到所述反射数据包对应的属性特征;
其中,所述属性关系表可以为预先存储在服务器中的、从公开服务中获取到的数据组成的关系表;比如www.shodan.io网站上提供的数据信息,服务器从该网站上获取到多个IP地址、使用对应IP地址的设备信息,以及对应IP地址所在的地域信息,将这些信息组成关系对照表,供反射数据包信息的匹配。
进一步地,步骤S206中,将所述反射数据包的网络特征与属性关系表中的特征进行匹配,得到所述反射数据包对应的属性特征,如图6所示,可以包括:
S1002.将所述反射数据包的源IP地址与所述属性关系表中的IP地址进行匹配;所述属性关系表包括由IP地址、使用对应IP地址的设备信息,以及对应IP地址所在的地域信息组成的关系对照表;
其中,使用对应IP地址的设备信息比如是个人电脑、IDC服务器、移动网关、代理、摄像头等其他物联网IoT(Internet of Things)设备;对应IP地址所在的地域信息具体是对应IP地址所在的国家、省份等。
S1004.在匹配成功时,从所述属性关系表中得到所述反射数据包的源IP地址对应的设备信息和地域信息;
具体地,由于属性关系表中包括IP地址、使用对应IP地址的设备信息,以及对应IP地址所在的地域信息;在源IP地址与属性关系表中的IP地址匹配成功时,则可以得到属性关系表中的设备信息和地域信息,为所述源IP地址对应的设备信息和地域信息。
其中,匹配得出所述源IP地址对应的地域分布情况,能够在攻击对抗阶段,具体地去封禁对应地域的IP,作为网络攻击对抗的一种策略。比如,某公司的业务用户都在中国南方,但是攻击源分析发现,攻击IP全部来自北方,就可以把北方的IP封禁。
S1006.根据所述源IP地址对应的设备信息,确定出产生所述反射数据包的应用程序;
详细地,本实施例中可以通过比较聚集的设备的属性监听对应源端口号的软件,判断出导致所述反射数据包的源端运行的应用程序(应用层软件),比如DNS解析程序;从而得到设备与应用程序的对应关系;进而使得在该步骤中确定出源IP地址对应的设备信息之后,根据设备-应用程序关系表就能够确定出该当前设备对应的应用程序。
其中,以SSDP反射为例,由于SSDP协议类型是用于家庭网络里的设备的发现用途的,所以该源IP地址下的设备属性以家庭网络为主,比如家庭路由器、家用监控摄像头、安防设备等等。NTP反射/DNS反射一般是利用的是IDC服务器上的NTP服务/DNS服务,所以该源IP地址的设备属性就会以IDC服务器为主,比如Linux服务器、Windows Server2008。
S1008.由所述源IP地址对应的设备信息、地域信息和应用程序,得到所述反射数据包对应的属性特征。
此时,在得到的源IP地址对应的设备信息、地域信息和应用程序,就得到所述源IP地址的反射数据包对应的属性特征;并进一步得到源IP地址的设备分布情况和地域分布情况。
S208.由所述反射数据包的网络特征和属性特征,得出所述反射数据包的网络攻击类型。
具体地,对所述反射数据包的源IP地址、源端口号、目的IP地址、目的端口号、协议类型、攻击特征、属性信息、地域信息、应用程序进行分析,得出对应的网络攻击类型。
比如,在得到的网络特征为源端口1900、协议为UDP时,进一步得出对应的属性特征为家庭路由器时,则根据其中的文本特征(攻击特征)得到“HTTP”的聚集,可以得到攻击类型属于SSDP反射攻击,其中如图7(a)所示为一种在利用预设规则进行攻击特征提取的结果示意图,其中得到的特征明细为“HTTP”;如图7(b)所示为另一种利用预设规则进行攻击特征提取的结果示意图,其中得到的特征明细为“0x06 0x00 0xff 0x07 0x00 0x00 0x000x00 0x00 0x00 0x00 0x00 0x00 0x10 0x81 0x1c”,这个属于目前较新的网路攻击。需要给与说明的是,在满足相同的源端口号、协议类型、属性特征的情况下,其中的文本特征(攻击特征)得到“CACHE”或是“CONTROL”等特征明细的结果,基于源端口、协议类型和属性特征也能够得到对应的攻击类型属于SSDP反射攻击。
比如,在得到的网络特征为源端口389、协议为UDP时,进一步得出对应的属性特征为Linux服务器时,则根据其中的文本特征(攻击特征)得到“currentTime1”的聚集,可以得到攻击类型属于CLDAP反射攻击。需要给与说明的是,在满足相同的源端口号、协议类型、属性特征的情况下,其中的文本特征(攻击特征)得到“subschemaSubentry1”等特征明细的结果时,基于源端口、协议和属性特征也能够得到对应的攻击类型属于SSDP反射攻击。
表2
并且根据分析汇总的信息能够进一步确定出网路攻击手法,优选地可以以被利用的应用层协议进行命名,比如NTP反射攻击、SSDP反射攻击、SNMP反射攻击等。
进一步地,所述方法还可以包括:
根据所述反射数据包对应的网络特征和属性特征,得到用于应对网络攻击的对抗策略。
详细地,很多发射数据包都会被分析得到对应的网络攻击类型;这样的话,分析结果中会出现多个反射数据包对应出一个相同的攻击类型的情况;此时可以将具有相同攻击手法的反射数据包,按照源IP地址的区别方式进行汇集组成源IP地址列表。之后,根据所述反射数据包对应的协议类型、源端口号、应用程序、地域分布、设备分布、符合此类反射手法的源IP地址列表,提取出用于对抗策略的对抗特征信息。
具体地,所述对抗策略可以包括:
将所述反射数据包对应的源IP,或是得到的多个源IP地址列表,加入黑名单列表;在服务器检测到相应的源IP时,将源IP的数据包直接在防护设备上丢弃,以对抗相应的网络攻击;
或是,将所述反射数据包对应的协议类型和源端口号进行组合,一并加入黑名单列表中;在服务器检测到协议类型和端口号的组合时,将相应的数据包直接在防护设备上丢弃,以对抗相应的网络攻击;例如将UDP协议与源端口53组合,在检测到该组合时将对应的数据包在防护系统上直接丢弃,以对抗DNS反射攻击;
或是,将所述反射数据包对应出的地域,加入黑名单列表中;在服务器检测到源IP属于该地域时,将所述源IP的数据包直接在防护设备上丢弃,以对抗相应的网络攻击;
或是,将所述反射数据包对应出的应用程序,加入黑名单列表中;在服务器检测到源IP对应的应用程序时,将所述源IP的数据包直接在防护设备上丢弃,以对抗相应的网络攻击。
需要给与说明的是,上述依据得到的特征信息的对抗策略,可以是一个或是多个的组合,也就是说可以根据需求进行自行配置和组合,以尽可能有效且针对性地对抗相应的反射型DDoS网络攻击。
本说明书提供的网络攻击识别方法,通过采集异常网络中的网络数据包,提取所述网络数据包的网络特征;根据提取出的网络特征,从所述网络数据包中确定出反射数据包;进一步地,将所述反射数据包的网络特征与属性关系表中的特征进行匹配,得到所述反射数据包对应的属性特征;之后根据所述反射数据包的网络特征和属性特征,能够确定出当前网络对应的网络攻击类型。总之,本发明能够对攻击数据包的包头部分和数据部分进行特征提取和处理;并进一步进行关联分析,得到黑客发起基于反射的DDoS攻击时利用的应用层软件,以及具备攻击条件的IP和地域分布等信息;不仅能够识别出已有的攻击类型,还能够识别出新的攻击类型;并且,能够提供应用于DDoS对抗的针对性策略。
本发明解决了企业在DDoS攻击识别以及攻击对抗策略严重依赖经验丰富的安全人员的问题;本发明不仅能够对已有的攻击类型进行自动且快速的识别,还能够在攻击者使用新的反射攻击手法时,快速完成自动识别,并从得到的特征信息(网络特征和属性特征)中提取出可以用于对抗网络攻击的策略;这使得只要是具备初步操作能力的人员,根据得出的应对策略也能完成攻击对抗;本发明时时地流量监测,自动化的处理分析,提升了反射攻击手法的可识别对象和识别效率;本发明的分析识别结果能够与后端的防护设备联动,大幅缩短反射攻击手法的应对响应周期,从而能够减少业务在攻击对抗期间的损失。
本说明书实施例提供了一种网络攻击识别装置,如图8所示,所述装置可以包括:
网路特征提取模块202,用于采集异常网络中的网络数据包,提取所述网络数据包的网络特征;
反射数据包确定模块204,用于根据提取出的网络特征,从所述网络数据包中确定出反射数据包;
属性特征得到模块206,用于将所述反射数据包的网络特征与属性关系表中的特征进行匹配,得到所述反射数据包对应的属性特征;
网络攻击类型得到模块208,用于由所述反射数据包的网络特征和属性特征,得出所述反射数据包的网络攻击类型。
一种具体的实施方式中,所述网路特征提取模块202,如图9所示,可以包括:
第一特征集合提取单元402,用于从所述网络数据包的包头部分提取出第一特征集合;所述第一特征集合包括源IP地址、源端口号、目的IP地址、目的端口号、协议类型;
第二特征集合提取单元404,用于从所述网络数据包的数据部分提取出第二特征集合;所述第二特征集合包括特征偏移、特征长度和特征明细。
一种具体的实施方式中,所述第二特征集合提取单元404,如图10所示,可以包括:
字符设定子单元602,用于设定所述网络数据包中的可识别字符串和非可识别字符串;
特征序列划分子单元604,用于对所述网络数据包的数据部分进行划分,得到特征序列;
偏移和长度得到子单元606,用于根据所述数据部分的划分结果,获取对应特征序列的特征偏移和特征长度;
特征明细得到子单元608,用于分析所述特征序列,根据所述可识别字符串或非可识别字符串得到对应的特征明细。
一种具体的实施方式中,所述特征序列划分子单元604,可以包括:
划分规则子单元,用于从所述数据部分的第一个字符开始识别;在识别出多个连续的可识别字符串时,将多个连续的可识别字符串作为一个特征序列;在识别出多个非连续的可识别字符串时,将多个非连续的可识别字符串作为一个特征序列。
一种具体的实施方式中,所述属性特征得到模块206,如图11所示,可以包括:
IP地址匹配单元802,用于将所述反射数据包的源IP地址与所述属性关系表中的IP地址进行匹配;所述属性关系表包括由IP地址、使用对应IP地址的设备信息,以及对应IP地址所在的地域信息组成的关系对照表;
设备和地域信息得到单元804,用于在匹配成功时,从所述属性关系表中得到所述反射数据包的源IP地址对应的设备信息和地域信息;
应用程序确定单元806,用于根据所述源IP地址对应的设备信息,确定出产生所述反射数据包的应用程序;
属性信息得到单元808,用于由所述源IP地址对应的设备信息、地域信息和应用程序,得到所述反射数据包对应的属性特征。
一种可行的实施方式中,所述反射数据包确定模块204,如图12所示,可以包括:
数量统计单元1002,用于统计具有相同网络特征的网络数据包的数量;
比例得到单元1004,用于计算所述网络数据包在所有网路数据包中占据的比例;
反射数据包确定单元1006,用于在统计得到的网络数据包的比例大于预设比例时,则所述网络数据包为反射数据包。
进一步地,所述装置还可以包括:
对抗特征得到模块,用于根据所述反射数据包对应的网络特征和属性特征,得到用于应对网络攻击的对抗策略。
需要给与说明的是,本实施例提供的装置实施例具有与上述方法实施例具有相同的发明构思。
本说明书实施例提供了一种网络攻击识别系统,如图13所示,所述系统包括:信息采集模块,信息分析模块,验证探测模块,汇总报告模块;具体地:
所述信息采集模块:
用于在网络流量异常(反射型DDoS攻击发生)时,通过在网络设备上进行抓包或者直接在网络设备上进行流量镜像的方式,提取出当前网络下网络数据包的如下信息:网络特征(源IP地址、源端口号、目的IP地址、目的端口号、协议类型)、攻击特征。
其中,所述攻击特征的获取请参照上述方法实施例中对应的第二特征的获取方式,在此不再赘述。
所述信息分析模块:
用于在收到信息采集模块采集的信息后,根据提取的网络特征和攻击特征,统计具有相同特征(网络特征和攻击特征)的网络数据包的数量,以及计算在总的网络数据包中的比例;在所述比例大于预设比例时,并且该网络数据包对应的源端口属于发射攻击现象下的源端口时,则可以确定出当前网路攻击属于反射攻击;则该源端口为反射源端口,对应的数据包为来自反射源的反射数据包;
还用于根据反射数据包对应的源端口号、目的IP地址、攻击特征进行去重处理;并将反射数据包的网络特征和攻击特征发送给验证探测模块。
所述验证探测模块:
用于对收到的反射数据包的网络特征和攻击特征,与预先扫描出的已有的“IP-设备-地域”关系对照表进行匹配;
具体是将反射数据包中的源IP,与关系对照表中的IP进行匹配;在匹配成功时,根据关系对照表中所述IP关联的设备属性信息以及地域信息,就得到了与所述反射数据包中的源IP对应的设备信息和地域信息;
其中,所述设备信息为使用关联IP的个人电脑、IDC服务器、网关、代理、摄像头等IoT设备;
进一步地,还用于根据源IP对应的设备属性监听对应源端口下运行的应用程序(也就是导致该种反射攻击的应用程序),比如DNS解析程序等;
进一步地,还用于将所述反射数据包的网络特征、攻击特征、属性信息、地域信息、应用程序信息发送到汇总报告模块。
所述汇总报告模块:
用于在接收到所述反射数据包的网络特征、攻击特征、属性信息、地域信息、应用软件信息后,分析汇总出新的攻击手法的命名;
还用于利用所述反射数据包对应的协议、应用程序、源端口、攻击特征、符合此类反射手法的IP列表、IP列表中IP的地域分布、IP列表中IP的属性分布;提取出用于进行网路对抗的攻击特点,进而得到防护策略。
其中,一个端口对应n个IP,则这里的IP列表为端口监听相应服务应用程序的IP(具备攻击添加的IP)的组成。
本说明书实施例提供了一种设备,所述设备包括处理器和存储器,所述存储器中存储有至少一条指令、至少一段程序、代码集或指令集,所述至少一条指令、所述至少一段程序、所述代码集或指令集由所述处理器加载并执行以实现上述方法实施例任一所述的网络攻击识别方法。
具体地,本说明书实施例还提供了一种网络攻击识别设备的示意图,请参考图14。该设备用于实施上述实施例中提供的网络攻击识别方法。具体来讲:
所述服务器2000包括中央处理单元(CPU)2001、包括随机存取存储器(RAM)2002和只读存储器(ROM)2003的系统存储器2004,以及连接系统存储器2004和中央处理单元2001的系统总线2005。所述服务器2000还包括帮助计算机内的各个器件之间传输信息的基本输入/输出系统(I/O系统)2006,和用于存储操作系统2013、应用程序2014和其他程序模块2015的大容量存储设备2007。
所述基本输入/输出系统2006包括有用于显示信息的显示器2008和用于用户输入信息的诸如鼠标、键盘之类的输入设备2009。其中所述显示器2008和输入设备2009都通过连接到系统总线2005的输入输出控制器2010连接到中央处理单元2001。所述基本输入/输出系统2006还可以包括输入输出控制器2010以用于接收和处理来自键盘、鼠标、或电子触控笔等多个其他设备的输入。类似地,输入输出控制器2010还提供输出到显示屏、打印机或其他类型的输出设备。
所述大容量存储设备2007通过连接到系统总线2005的大容量存储控制器(未示出)连接到中央处理单元2001。所述大容量存储设备2007及其相关联的计算机可读介质为服务器2000提供非易失性存储。也就是说,所述大容量存储设备2007可以包括诸如硬盘或者CD-ROM驱动器之类的计算机可读介质(未示出)。
不失一般性,所述计算机可读介质可以包括计算机存储介质和通信介质。计算机存储介质包括以用于存储诸如计算机可读指令、数据结构、程序模块或其他数据等信息的任何方法或技术实现的易失性和非易失性、可移动和不可移动介质。计算机存储介质包括RAM、ROM、EPROM、EEPROM、闪存或其他固态存储其技术,CD-ROM、DVD或其他光学存储、磁带盒、磁带、磁盘存储或其他磁性存储设备。当然,本领域技术人员可知所述计算机存储介质不局限于上述几种。上述的系统存储器2004和大容量存储设备2007可以统称为存储器。
根据本发明的各种实施例,所述服务器2000还可以通过诸如因特网等网络连接到网络上的远程计算机运行。也即服务器2000可以通过连接在所述系统总线2005上的网络接口单元2011连接到网络2012,或者说,也可以使用网络接口单元2011来连接到其他类型的网络或远程计算机系统(未示出)。
所述存储器还包括一个或者一个以上的程序,所述一个或者一个以上程序存储于存储器中,且经配置以由一个或者一个以上处理器执行;上述一个或者一个以上程序包含用于执行上述后台服务器侧的方法的指令,所述指令用于执行上述实施例所述的网络攻击识别方法。
本说明书实施例提供了一种计算机可读存储介质,所述存储介质中存储有至少一条指令、至少一段程序、代码集或指令集,所述至少一条指令、所述至少一段程序、所述代码集或指令集由处理器加载并执行以实现如上述实施例所述的网络攻击识别方法。
可选地,在本实施例中,上述存储介质可以位于计算机网络的多个网络设备中的至少一个网络设备。可选地,在本实施例中,上述存储介质可以包括但不限于:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
需要说明的是:上述本说明书实施例先后顺序仅仅为了描述,不代表实施例的优劣。且上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下,在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外,在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中,多任务处理和并行处理也是可以的或者可能是有利的。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置和服务器实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种网络攻击识别方法,其特征在于,所述方法包括:
采集异常网络中的网络数据包,提取所述网络数据包的网络特征;
根据提取出的网络特征,从所述网络数据包中确定出反射数据包;
将所述反射数据包的网络特征与属性关系表中的特征进行匹配,得到所述反射数据包的属性特征;
由所述反射数据包的网络特征和属性特征,得出所述反射数据包的网络攻击类型。
2.根据权利要求1所述的网络攻击识别方法,其特征在于,所述提取所述网络数据包的网络特征,包括:
从所述网络数据包的包头部分提取出第一特征集合;所述第一特征集合包括源IP地址、源端口号、目的IP地址、目的端口号和协议类型;
从所述网络数据包的数据部分提取出第二特征集合;所述第二特征集合包括特征偏移、特征长度和特征明细。
3.根据权利要求2所述的网络攻击识别方法,其特征在于,所述从所述网络数据包的数据部分提取出第二特征集合,包括:
设定所述网络数据包中的可识别字符串和非可识别字符串;
对所述网络数据包的数据部分进行划分,得到特征序列;
根据所述数据部分的划分结果,获取对应特征序列的特征偏移和特征长度;
分析所述特征序列,根据所述可识别字符串或非可识别字符串得到对应的特征明细。
4.根据权利要求3所述的网络攻击识别方法,其特征在于,所述对所述网络数据包的数据部分进行划分,包括:
从所述数据部分的第一个字符开始识别;
在识别出多个连续的可识别字符串时,将多个连续的可识别字符串作为一个特征序列;
在识别出多个非连续的可识别字符串时,将多个连续的非可识别字符串作为一个特征序列。
5.根据权利要求2所述的网络攻击识别方法,其特征在于,所述将所述反射数据包的网络特征与属性关系表中的特征进行匹配,得到所述反射数据包的属性特征,包括:
将所述反射数据包的源IP地址与所述属性关系表中的IP地址进行匹配;所述属性关系表包括由IP地址、使用所述IP地址的设备信息以及所述IP地址所在的地域信息组成的关系对照表;
在匹配成功时,从所述属性关系表中得到所述反射数据包的源IP地址对应的设备信息和地域信息;
根据所述源IP地址对应的设备信息,确定出产生所述反射数据包的应用程序;
由所述源IP地址对应的设备信息、地域信息和应用程序,得到所述反射数据包的属性特征。
6.根据权利要求1所述的网络攻击识别方法,其特征在于,所述根据提取出的网络特征,从所述网络数据包中确定出反射数据包,包括:
统计具有相同网络特征的网络数据包的数量;
计算所述网络数据包在所有网路数据包中占据的比例;
在统计得到的网络数据包的比例大于预设比例时,则所述网络数据包为反射数据包。
7.根据权利要求1所述的网络攻击识别方法,其特征在于,所述方法还包括:
根据所述反射数据包的网络特征和属性特征,得到用于应对网络攻击的对抗策略。
8.一种网络攻击识别装置,其特征在于,所述装置包括:
网路特征提取模块,用于采集异常网络中的网络数据包,提取所述网络数据包的网络特征;
反射数据包确定模块,用于根据提取出的网络特征,从所述网络数据包中确定出反射数据包;
属性特征得到模块,用于将所述反射数据包的网络特征与属性关系表中的特征进行匹配,得到所述反射数据包对应的属性特征;
网络攻击类型得到模块,用于由所述反射数据包的网络特征和属性特征,得出所述反射数据包的网络攻击类型。
9.根据权利要求8所述的网络攻击识别装置,其特征在于,所述网路特征提取模块,包括:
第一特征集合提取单元,用于从所述网络数据包的包头部分提取出第一特征集合;所述第一特征集合包括源IP地址、源端口号、目的IP地址、目的端口号和协议类型;
第二特征集合提取单元,用于从所述网络数据包的数据部分提取出第二特征集合;所述第二特征集合包括特征偏移、特征长度和特征明细。
10.一种设备,其特征在于,所述设备包括处理器和存储器,所述存储器中存储有至少一条指令、至少一段程序、代码集或指令集,所述至少一条指令、所述至少一段程序、所述代码集或指令集由所述处理器加载并执行以实现如权利要求1至7任一所述的网络攻击识别方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811128327.1A CN109194680B (zh) | 2018-09-27 | 2018-09-27 | 一种网络攻击识别方法、装置及设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811128327.1A CN109194680B (zh) | 2018-09-27 | 2018-09-27 | 一种网络攻击识别方法、装置及设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109194680A true CN109194680A (zh) | 2019-01-11 |
CN109194680B CN109194680B (zh) | 2021-02-12 |
Family
ID=64907365
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201811128327.1A Active CN109194680B (zh) | 2018-09-27 | 2018-09-27 | 一种网络攻击识别方法、装置及设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109194680B (zh) |
Cited By (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110120950A (zh) * | 2019-05-13 | 2019-08-13 | 四川长虹电器股份有限公司 | 一种基于物联网流量进行威胁分析的系统及方法 |
CN110311925A (zh) * | 2019-07-30 | 2019-10-08 | 百度在线网络技术(北京)有限公司 | DDoS反射型攻击的检测方法及装置、计算机设备与可读介质 |
CN111181932A (zh) * | 2019-12-18 | 2020-05-19 | 广东省新一代通信与网络创新研究院 | Ddos攻击检测与防御方法、装置、终端设备及存储介质 |
CN111222135A (zh) * | 2019-12-31 | 2020-06-02 | 北京安码科技有限公司 | 复现实际攻防过程的的方法、系统、电子设备及存储介质 |
CN111343176A (zh) * | 2020-01-16 | 2020-06-26 | 郑州昂视信息科技有限公司 | 一种网络攻击的反制装置、方法、存储介质及计算机设备 |
CN112565309A (zh) * | 2021-02-26 | 2021-03-26 | 腾讯科技(深圳)有限公司 | 报文处理方法、装置、设备以及存储介质 |
CN113285953A (zh) * | 2021-05-31 | 2021-08-20 | 西安交通大学 | 可用于DDoS攻击的DNS反射器检测方法、系统、设备及可读存储介质 |
CN113923027A (zh) * | 2021-10-11 | 2022-01-11 | 中国建设银行股份有限公司 | 针对反射型DDoS攻击的流量压制方法及相关装置 |
CN114257452A (zh) * | 2021-12-24 | 2022-03-29 | 中国人民解放军战略支援部队信息工程大学 | 基于流量分析发现未知udp反射放大攻击的方法 |
CN114301707A (zh) * | 2021-12-31 | 2022-04-08 | 北京网太科技发展有限公司 | 一种数据包序列特征提取方法、装置、设备及介质 |
WO2024060408A1 (zh) * | 2022-09-23 | 2024-03-28 | 天翼安全科技有限公司 | 网络攻击检测方法和装置、设备及存储介质 |
Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20080168559A1 (en) * | 2007-01-04 | 2008-07-10 | Cisco Technology, Inc. | Protection against reflection distributed denial of service attacks |
CN101282340A (zh) * | 2008-05-09 | 2008-10-08 | 华为技术有限公司 | 网络攻击处理方法及处理装置 |
CN106230819A (zh) * | 2016-07-31 | 2016-12-14 | 上海交通大学 | 一种基于流采样的DDoS检测方法 |
CN106534209A (zh) * | 2016-12-29 | 2017-03-22 | 广东睿江云计算股份有限公司 | 一种分流反射型ddos流量的方法及系统 |
CN106656967A (zh) * | 2016-10-09 | 2017-05-10 | 广东睿江云计算股份有限公司 | 一种udp flood攻击的清洗方法及系统 |
CN106685962A (zh) * | 2016-12-29 | 2017-05-17 | 广东睿江云计算股份有限公司 | 一种反射型ddos攻击流量的防御系统及方法 |
CN106953833A (zh) * | 2016-01-07 | 2017-07-14 | 无锡聚云科技有限公司 | 一种DDoS攻击检测系统 |
CN107404465A (zh) * | 2016-05-20 | 2017-11-28 | 阿里巴巴集团控股有限公司 | 网络数据分析方法及服务器 |
CN108566384A (zh) * | 2018-03-23 | 2018-09-21 | 腾讯科技(深圳)有限公司 | 一种流量攻击防护方法、装置、防护服务器及存储介质 |
-
2018
- 2018-09-27 CN CN201811128327.1A patent/CN109194680B/zh active Active
Patent Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20080168559A1 (en) * | 2007-01-04 | 2008-07-10 | Cisco Technology, Inc. | Protection against reflection distributed denial of service attacks |
CN101282340A (zh) * | 2008-05-09 | 2008-10-08 | 华为技术有限公司 | 网络攻击处理方法及处理装置 |
CN106953833A (zh) * | 2016-01-07 | 2017-07-14 | 无锡聚云科技有限公司 | 一种DDoS攻击检测系统 |
CN107404465A (zh) * | 2016-05-20 | 2017-11-28 | 阿里巴巴集团控股有限公司 | 网络数据分析方法及服务器 |
CN106230819A (zh) * | 2016-07-31 | 2016-12-14 | 上海交通大学 | 一种基于流采样的DDoS检测方法 |
CN106656967A (zh) * | 2016-10-09 | 2017-05-10 | 广东睿江云计算股份有限公司 | 一种udp flood攻击的清洗方法及系统 |
CN106534209A (zh) * | 2016-12-29 | 2017-03-22 | 广东睿江云计算股份有限公司 | 一种分流反射型ddos流量的方法及系统 |
CN106685962A (zh) * | 2016-12-29 | 2017-05-17 | 广东睿江云计算股份有限公司 | 一种反射型ddos攻击流量的防御系统及方法 |
CN108566384A (zh) * | 2018-03-23 | 2018-09-21 | 腾讯科技(深圳)有限公司 | 一种流量攻击防护方法、装置、防护服务器及存储介质 |
Cited By (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110120950A (zh) * | 2019-05-13 | 2019-08-13 | 四川长虹电器股份有限公司 | 一种基于物联网流量进行威胁分析的系统及方法 |
CN110311925A (zh) * | 2019-07-30 | 2019-10-08 | 百度在线网络技术(北京)有限公司 | DDoS反射型攻击的检测方法及装置、计算机设备与可读介质 |
CN111181932B (zh) * | 2019-12-18 | 2022-09-27 | 广东省新一代通信与网络创新研究院 | Ddos攻击检测与防御方法、装置、终端设备及存储介质 |
CN111181932A (zh) * | 2019-12-18 | 2020-05-19 | 广东省新一代通信与网络创新研究院 | Ddos攻击检测与防御方法、装置、终端设备及存储介质 |
CN111222135A (zh) * | 2019-12-31 | 2020-06-02 | 北京安码科技有限公司 | 复现实际攻防过程的的方法、系统、电子设备及存储介质 |
CN111343176A (zh) * | 2020-01-16 | 2020-06-26 | 郑州昂视信息科技有限公司 | 一种网络攻击的反制装置、方法、存储介质及计算机设备 |
CN112565309A (zh) * | 2021-02-26 | 2021-03-26 | 腾讯科技(深圳)有限公司 | 报文处理方法、装置、设备以及存储介质 |
CN113285953A (zh) * | 2021-05-31 | 2021-08-20 | 西安交通大学 | 可用于DDoS攻击的DNS反射器检测方法、系统、设备及可读存储介质 |
CN113285953B (zh) * | 2021-05-31 | 2022-07-12 | 西安交通大学 | 可用于DDoS攻击的DNS反射器检测方法、系统、设备及可读存储介质 |
CN113923027A (zh) * | 2021-10-11 | 2022-01-11 | 中国建设银行股份有限公司 | 针对反射型DDoS攻击的流量压制方法及相关装置 |
CN114257452A (zh) * | 2021-12-24 | 2022-03-29 | 中国人民解放军战略支援部队信息工程大学 | 基于流量分析发现未知udp反射放大攻击的方法 |
CN114257452B (zh) * | 2021-12-24 | 2023-06-23 | 中国人民解放军战略支援部队信息工程大学 | 基于流量分析发现未知udp反射放大攻击的方法 |
CN114301707A (zh) * | 2021-12-31 | 2022-04-08 | 北京网太科技发展有限公司 | 一种数据包序列特征提取方法、装置、设备及介质 |
CN114301707B (zh) * | 2021-12-31 | 2024-03-19 | 北京网太科技发展有限公司 | 一种数据包序列特征提取方法、装置、设备及介质 |
WO2024060408A1 (zh) * | 2022-09-23 | 2024-03-28 | 天翼安全科技有限公司 | 网络攻击检测方法和装置、设备及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN109194680B (zh) | 2021-02-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109194680A (zh) | 一种网络攻击识别方法、装置及设备 | |
CN109951500B (zh) | 网络攻击检测方法及装置 | |
Vidal et al. | Adaptive artificial immune networks for mitigating DoS flooding attacks | |
KR101689299B1 (ko) | 보안이벤트 자동 검증 방법 및 장치 | |
KR100800370B1 (ko) | 어택 서명 생성 방법, 서명 생성 애플리케이션 적용 방법, 컴퓨터 판독 가능 기록 매체 및 어택 서명 생성 장치 | |
KR100942456B1 (ko) | 클라우드 컴퓨팅을 이용한 DDoS 공격 탐지 및 차단 방법 및 서버 | |
US20040054925A1 (en) | System and method for detecting and countering a network attack | |
Chapade et al. | Securing cloud servers against flooding based DDoS attacks | |
KR20200052881A (ko) | 멀웨어 호스트 넷플로우 분석 시스템 및 방법 | |
CN103297433B (zh) | 基于网络数据流的http僵尸网络检测方法及系统 | |
US20090282478A1 (en) | Method and apparatus for processing network attack | |
US20090077663A1 (en) | Score-based intrusion prevention system | |
CN107404465A (zh) | 网络数据分析方法及服务器 | |
CN109756512A (zh) | 一种流量应用识别方法、装置、设备及存储介质 | |
CN106027559A (zh) | 基于网络会话统计特征的大规模网络扫描检测方法 | |
CN108270722B (zh) | 一种攻击行为检测方法和装置 | |
CN101621428A (zh) | 一种僵尸网络检测方法及系统以及相关设备 | |
Katkar et al. | Detection of DoS/DDoS attack against HTTP servers using naive Bayesian | |
Dhanapal et al. | The slow HTTP distributed denial of service attack detection in cloud | |
Saravanan et al. | A new framework to alleviate DDoS vulnerabilities in cloud computing. | |
Vural et al. | Mobile botnet detection using network forensics | |
Shamsolmoali et al. | C2DF: High rate DDOS filtering method in cloud computing | |
JP6592196B2 (ja) | 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム | |
Sultana et al. | Detecting and preventing ip spoofing and local area network denial (land) attack for cloud computing with the modification of hop count filtering (hcf) mechanism | |
Aljuhani et al. | Mitigation of application layer DDoS flood attack against web servers |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 40001652 Country of ref document: HK |
|
GR01 | Patent grant | ||
GR01 | Patent grant |