CN110061998B - 一种攻击防御方法及装置 - Google Patents

一种攻击防御方法及装置 Download PDF

Info

Publication number
CN110061998B
CN110061998B CN201910341198.2A CN201910341198A CN110061998B CN 110061998 B CN110061998 B CN 110061998B CN 201910341198 A CN201910341198 A CN 201910341198A CN 110061998 B CN110061998 B CN 110061998B
Authority
CN
China
Prior art keywords
message
address
source
user equipment
packet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201910341198.2A
Other languages
English (en)
Other versions
CN110061998A (zh
Inventor
仇宏迪
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
New H3C Security Technologies Co Ltd
Original Assignee
New H3C Security Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by New H3C Security Technologies Co Ltd filed Critical New H3C Security Technologies Co Ltd
Priority to CN201910341198.2A priority Critical patent/CN110061998B/zh
Publication of CN110061998A publication Critical patent/CN110061998A/zh
Application granted granted Critical
Publication of CN110061998B publication Critical patent/CN110061998B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本申请实施例提供了一种攻击防御方法及装置,应用于检测设备,包括:接收用户设备向服务器发送的第一报文;检测所述服务器当前是否处于正常工作状态;若处于正常工作状态,则检测第一报文是否为扫描报文;若是扫描报文,则将第一报文发送给监测设备,以使监测设备记录第一报文的源IP地址与第一报文的目的端口的对应关系,根据已记录的第一报文的源IP地址对应的目的端口,确定用户设备的威胁等级。应用本申请实施例提供的技术方案,能够降低计算机受到网络攻击的可能,减少由于网络攻击导致计算机无法正常提供服务的时间。

Description

一种攻击防御方法及装置
技术领域
本申请涉网络安全技术领域,特别是涉及一种攻击防御方法及装置。
背景技术
分布式拒绝服务(英文:Distributed Denial of Service,简称:DDoS)攻击是一种常见的网络攻击手段。DDoS攻击指的是将分布在不同地方的多台计算机联合起来作为攻击平台,对网络中的一台或者多台计算机发送大量的攻击报文,造成被攻击的计算机无法提供正常的服务。
目前,DDoS攻击防御主要采用的是被动防御方式,即在检测都计算机遭遇DDoS攻击后再进行防御。例如,在检测都计算机遭遇DDoS攻击后,丢弃确定的攻击者发送的报文,或者进行反向扫描,使攻击平台瘫痪等。
由于DDoS攻击只有发生了一段时间后才能被检测出来,因此,若采用被动防御方式进行DDoS攻击防御,计算机将存在一段时间无法正常提供服务。
发明内容
本申请实施例的目的在于提供一种攻击防御方法及装置,以降低计算机受到网络攻击的可能性,降低由于网络攻击导致计算机无法正常提供服务的时间。具体技术方案如下:
第一方面,本申请实施例提供了一种攻击防御方法,应用于检测设备,所述方法包括:
接收用户设备发送的第一报文;
检测服务器处理报文的流量值是否大于预设流量阈值;
若不大于所述预设流量阈值,则检测所述第一报文是否为扫描报文;
若是扫描报文,则将所述第一报文发送给监测设备,以使所述监测设备记录所述第一报文的源IP地址与所述第一报文的目的端口的对应关系,根据已记录的所述第一报文的源IP地址对应的目的端口,确定所述用户设备的威胁等级。
第二方面,本申请实施例提供了一种攻击防御方法,应用于监测设备,所述方法包括:
接收检测设备发送的第一报文;
记录所述第一报文的源IP地址与所述第一报文的目的端口的对应关系;
根据已记录的所述第一报文的源IP地址对应的目的端口,确定所述用户设备的威胁等级。
第三方面,本申请实施例提供了一种攻击防御装置,其特征在于,应用于检测设备,所述装置包括:
接收单元,用于接收用户设备发送的第一报文;
第一检测单元,用于检测服务器处理报文的流量值是否大于预设流量阈值;
第二检测单元,用于若不大于所述预设流量阈值,则检测所述第一报文是否为扫描报文;
发送单元,用于若是扫描报文,则将所述第一报文发送给监测设备,以使所述监测设备记录所述第一报文的源网络协议IP地址与所述第一报文的目的端口的对应关系,根据已记录的所述第一报文的源IP地址对应的目的端口,确定所述用户设备的威胁等级。
第四方面,本申请实施例提供了一种攻击防御装置,应用于监测设备,所述装置包括:
接收单元,用于接收检测设备发送的第一报文;
记录单元,用于记录所述第一报文的源IP地址与所述第一报文的目的端口的对应关系;
确定单元,用于根据已记录的所述第一报文的源IP地址对应的目的端口,确定所述用户设备的威胁等级。
第五方面,本申请实施例提供了一种网络设备,包括处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器被所述机器可执行指令促使:实现上述任一所述的方法步骤。
第六方面,本申请实施例提供了一种机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器被所述机器可执行指令促使:实现上述任一所述的方法步骤。
本申请实施例提供的攻击防御方法及装置中,检测设备接收用户设备发送的第一报文后,若检测到服务器当前处于正常工作状态,则检测第一报文是否为扫描报文。若是扫描报文,则检测设备将第一报文发送给监测设备,对第一报文保持静默,也就是,不向用户设备回应任何信息。这样,用户设备将无法获取到任何有用的参考信息,增加了对服务器网络的分析难度,降低了受到网络攻击的可能性。另外,监测设备记录第一报文的源IP地址与第一报文的目的端口的对应关系,根据已记录的第一报文的源IP地址对应的目的端口,确定用户设备的威胁等级。这样,监测设备可以根据用户设备的威胁等级进行反攻击处理。通过本申请实施例提供的技术方案,实现了主动的网络攻击防御,降低了计算机受到网络攻击的可能性,减少了由于网络攻击导致计算机无法正常提供服务的时间。当然,实施本申请的任一产品或方法必不一定需要同时达到以上所述的所有优点。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的攻击防御组网的一种示意图;
图2为本申请实施例提供的攻击防御方法的第一种流程示意图;
图3为本申请实施例提供的攻击防御方法的第二种流程示意图
图4为本申请实施例提供的攻击防御方法的第三种流程示意图;
图5为本申请实施例提供的攻击防御方法的第四种流程示意图;
图6为本申请实施例提供的攻击防御方法的一种信令图;
图7为本申请实施例提供的攻击防御装置的第一种结构示意图;
图8为本申请实施例提供的攻击防御装置的第二种结构示意图;
图9为本申请实施例提供的网络设备的第一种结构示意图;
图10为本申请实施例提供的网络设备的第二种结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
目前,DDoS攻击防御主要采用的是被动防御方式。由于DDoS攻击只有发生了一段时间后才能被检测出来,因此,若采用被动防御方式进行DDoS攻击防御,计算机将存在一段时间无法正常提供服务。
为了降低计算机受到网络攻击的可能,降低由于网络攻击导致计算机无法正常提供服务的时间,本申请实施例提供了一种攻击防御组网,参考图1所示,包括服务器100、检测设备101、监测设备102和用户设备103。其中,服务器是为外网设备提供服务的设备。检测设备101是进行网络攻击防御的设备,主要用于检测外网设备发送的报文为扫描报文、探测报文或正常报文的设备。监测设备102是进行网络攻击防御的设备,主要用于对扫描报文、探测报文进行处理,实施反攻击操作的设备。用户设备103是外网设备,可以通过检测设备101从服务器100获取到相应的服务。服务器100、检测设备101和用户设备103为串行连接。本申请实施例中,网络攻击可以为DDoS攻击。
基于上述攻击防御组网,本申请实施例提供了一种攻击防御方法。该攻击防御方法中,检测设备101接收用户设备103发送的第一报文后,若检测到服务器100当前处于正常工作状态,则检测第一报文是否为扫描报文。若是扫描报文,则检测设备101将第一报文发送给监测设备101,对第一报文保持静默,也就是,不向用户设备103回应任何信息。这样,用户设备103将无法获取到任何有用的参考信息,增加了对服务器100网络的分析难度,降低了受到网络攻击的可能性。另外,监测设备102记录第一报文的源IP地址与第一报文的目的端口的对应关系,根据已记录的第一报文的源IP地址对应的目的端口,确定用户设备的威胁等级。这样,监测设备102可以根据用户设备的威胁等级进行反攻击处理。通过本申请实施例提供的技术方案,实现了主动的网络攻击防御,降低了计算机受到网络攻击的可能性,减少了由于网络攻击导致计算机无法正常提供服务的时间。
下面通过具体实施例,对本申请实施例提供的攻击防御方法进行详细说明。
参考图2,图2为本申请实施例提供的攻击防御方法的第一种流程示意图。该方法应用于如图1所示的检测设备101,包括如下步骤。
步骤201,接收用户设备向服务器发送的第一报文。
其中,第一报文可以为用户设备发送的任一报文,这里仅以第一报文为例进行说明,并不起限定作用。
检测设备实时进行网络攻击防御,接收用户设备向服务器发送的第一报文。
步骤202,检测服务器当前是否处于正常工作状态。若是,则执行步骤203。
在本申请的一个实施例中,检测设备中预先设置有流量阈值,即预设流量阈值。预设流量阈值可根据服务器在正常工作状态下处理的流量峰值确定。若服务器当前处理的流量值大于预设流量阈值,则检测设备可以确定服务器当前处于异常工作状态,受到了网络攻击。若服务器当前处理的流量值小于等于预设流量阈值,则检测设备可以确定服务器当前处于正常工作状态,未受到网络攻击。
在本申请的另一个实施例中,服务器定时向检测设备发送指示当前工作状态的消息。检测设备根据接收的消息,确定服务器当前是否处于正常工作状态。
本申请实施例中,检测设备若检测到服务器当前处于正常工作状态,则执行步骤203,检测第一报文是否为扫描报文。
本申请实施例中不限定步骤201和步骤202的执行顺序。
一个可选的实施例中,检测设备可实时地检测服务器当前处于正常工作状态还是异常工作状态。这样,基于确定的服务器的工作状态,检测设备在接收到第一报文后可直接执行相应的处理。如,确定的服务器的工作状态是正常工作状态,则检测设备在接收到第一报文后可直接执行步骤203,提高了报文处理效率。
另一个可选的实施例中,检测设备在接收到第一报文后,再检测服务器当前处于正常工作状态还是异常工作状态。若未接收到第一报文,则不检测服务器当前处于正常工作状态还是异常工作状态。这样,可以节约设备的计算资源。
步骤203,检测第一报文是否为扫描报文。若是扫描报文,则执行步骤204。
对于处于正常工作状态的服务器,向其发送的报文分为扫描报文和正常报文。其中,扫描报文可用于:扫描服务器提供服务的端口,以及扫描服务器提供服务的软件版本号等与服务内容不相关的内容。
一个可选的实施例中,检测设备可检测第一报文的目的端口是否为服务器提供服务的端口。其中,目的端口即为第一报文请求的端口。若第一报文的目的端口不是服务器提供服务的端口,则检测设备可确定第一报文是扫描报文。若第一报文的目的端口是服务器提供服务的端口,则检测设备可确定第一报文不是扫描报文。例如,服务器提供服务的端口为80端口和21端口。若检测设备可检测第一报文的目的端口为80端口或21端口,则可确定第一报文不是扫描报文。若检测设备可检测第一报文的目的端口不是80端口或21端口,则可确定第一报文是扫描报文。
另一个可选的实施例中,检测设备可检测第一报文请求的内容是否为服务器提供的服务内容。若第一报文请求的内容不是服务器提供的服务内容,例如,第一报文请求的内容是服务器提供服务的软件版本号,则检测设备可确定第一报文是扫描报文。若第一报文请求的内容是服务器提供的服务内容,则检测设备可确定第一报文不是扫描报文。例如,服务器提供服务为HTTP(Hyper TextTransport Protocol,超文本传输协议)服务。若检测设备可检测第一报文请求的内容为HTTP服务的软件版本号,则可确定第一报文是扫描报文。若检测设备可检测第一报文请求的内容为HTTP服务网站,则可确定第一报文不是扫描报文。
再一个可选的实施例中,为提高扫描报文检测的准确率,检测设备即检测第一报文的目的端口是否为服务器提供服务的端口,还检测第一报文请求的内容是否为服务器提供的服务内容。如果第一报文的目的端口为服务器提供服务的端口,且第一报文请求的内容为服务器提供服务内容,则检测设备确定第一报文不是扫描报文。如果第一报文的目的端口不是服务器提供服务的端口,和/或第一报文请求的内容不是服务器提供服务内容,则检测设备确定第一报文是扫描报文。
具体检测第一报文是否为扫描报文的方式可根据需求进行设定。本申请实施例对此不进行限定。
步骤204,将第一报文发送给监测设备。监测设备记录第一报文的源IP地址与第一报文的目的端口的对应关系,根据已记录的第一报文的源IP地址对应的目的端口,确定用户设备的威胁等级。一个示例中,监测设备接收到第一报文后,以源IP地址作为键(key),将第一报文的源IP地址与第一报文的目的端口对应存储至端口扫描数据库。端口扫描数据库可以位于一台独立物理机上,也可以位于监测设备上,还可以位于检测设备上。申请实施例,对此不进行限定。一个示例中,端口扫描数据库位于监测设备上,当监测设备将第一报文的源IP地址与第一报文的目的端口对应存储至端口扫描数据库后,并将端口扫描数据库中存储的第一报文的源IP地址与第一报文的目的端口的对应关系同步给检测设备。
本申请实施例中,检测设备若检测到第一报文为扫描报文,则可确定用户设备为攻击者,将第一报文发送给监测设备,但不将第一报文发送给服务器,也不向用户设备回应任何信息,对第一报文保持静默。这样,攻击者将无法获取到任何有用的参考信息,能够增加了对服务器网络的分析难度,使攻击者对攻击情况产生误判,从而影响攻击者的下一步攻击,降低了受到网络攻击的可能性。
例如,第一报文请求的内容是服务器提供服务的软件版本号,则检测设备不向用户设备回应任何信息。用户设备也就无法获取到任何有用的参考信息,不能确定服务器提供服务的软件版本号,也就是不会发现服务器提供服务的软件版本漏洞,进而不能不能利用软件版本漏洞对服务器发送网络攻击。
一个可选的实施例中,若第一报文不是扫描报文,则检测设备将第一报文转发给服务器。服务器将第一报文请求的内容通过检测设备发送给用户设备,以使用户设备获取到相应的服务。
在本申请的一个实施例中,参考图3所示的攻击防御方法的第二种流程示意图。该方法应用于如图1所示的检测设备101,可包括如下步骤。
步骤301,接收用户设备向服务器发送的第一报文。
步骤302,检测服务器当前是否处于正常工作状态。若处于正常工作状态,则执行步骤303。若处于异常工作状态,则执行步骤304。
步骤303,检测第一报文是否为扫描报文。若是扫描报文,则执行步骤305。
上述步骤301-303与步骤201-203相同。
步骤304,检测第一报文是否为探测报文。若是探测报文,则执行步骤305。
对于处于异常工作状态的服务器,即对于受到网络攻击的服务器,向其发送的报文分为探测报文和正常报文。其中,探测报文可用于:探测服务器提供服务的端口,以及探测服务器提供服务的软件版本号等与服务内容不相关的内容。
一个可选的实施例中,检测设备可检测第一报文是否为ping报文。如果第一报文是ping报文,则检测设备确定第一报文为探测报文。如果第一报文不是ping报文,则检测设备确定第一报文不是探测报文。
另一个可选的实施例中,检测设备在检测到一扫描报文后,将该扫描报文发送给监测设备。监测设备接收到扫描报文后,以源IP地址作为key,将扫描报文的源IP地址与扫描报文的目的端口对应存储至端口扫描数据库。端口扫描数据库中存储有扫描报文的源IP地址与扫描报文的目的端口对应关系。检测设备可检测第一报文的源IP地址是否存储在端口扫描数据库中。若在端口扫描数据库中,则检测设备确定第一报文为探测报文。若不在端口扫描数据库中,则检测设备确定第一报文不是探测报文。
再一个可选的实施例中,为提高扫描报文检测的准确率,检测设备既检测第一报文是否为ping报文,还检测第一报文的源IP地址是否在端口扫描数据库中。如果第一报文为ping报文,和/或第一报文的源IP地址在端口扫描数据库中,则检测设备确定第一报文为探测报文。否则,检测设备确定第一报文不是探测报文。
再一个可选的实施例中,检测设备可根据第一报文的目的端口和第一报文的请求的内容,确定第一报文是否探测报文。例如,若第一报文的目的端口不是服务器提供服务的端口,和/或检测第一报文的请求的内容不是服务器提供的服务内容,则可确定第一报文为探测报文。具体的可参考步骤203部分的描述。
步骤305,将第一报文发送给监测设备。
若第一报文为扫描报文,监测设备接收到第一报文后,记录第一报文的源IP地址与第一报文的目的端口的对应关系,根据已记录的第一报文的源IP地址对应的目的端口,确定用户设备的威胁等级。
若第一报文为探测报文,监测设备接收到第一报文后,检测是否已记录第一报文的源IP地址;若已记录第一报文的源IP地址,则更新用户设备的威胁等级,根据用户设备的威胁等级进行反攻击处理。
若未记录,则监测设备记录第一报文的源IP地址。此时,监测设备可确定用户设备的威胁等级为最低等级的威胁,也可不确定用户设备的威胁等级,当再次接收到相同源IP地址的报文后,再更新用户设备该源IP地址对应的威胁等级,即更新用户设备的威胁等级。
本申请实施例中,检测设备若检测到第一报文为扫描报文或探测报文,则可确定用户设备为攻击者,将第一报文发送给监测设备,但不将第一报文发送给服务器,也不向用户设备回应任何信息,对第一报文保持静默。这样,攻击者将无法获取到任何有用的参考信息,能够使攻击者对攻击情况产生误判,从而影响攻击者的下一步攻击。
一个可选的实施例中,若第一报文不是探测报文,则检测设备对第一报文进行其他抗网络攻击处理,根据处理结果,丢弃第一报文,或将第一报文转发给服务器。其他抗网络攻击处理包括限速处理,过滤器检测和阈值检测等。
本申请实施例中,监测设备根据用户设备的威胁等级进行反攻击处理,实现了主动的网络攻击防御,降低了计算机受到网络攻击的可能,降低了由于网络攻击导致计算机无法正常提供服务的时间。
基于上述应用于检测设备的攻击防御方法,本申请实施例还提供了一种应用于监测设备的攻击防御方法。参考图4,图4为本申请实施例提供的攻击防御方法的第三种流程示意图。该方法应用于如图1所示的监测设备102,包括如下步骤。
步骤401,接收检测设备发送的第一报文。第一报文为检测设备接收的用户设备向服务器发送的报文。第一报文为扫描报文或探测报文。
检测设备接收用户设备向服务器发送的第一报文。在检测到服务器处于正常工作状态的情况下,若检测到第一报文为扫描报文,将第一报文发送给监测设备。在检测到服务器处于异常工作状态的情况下,若检测到第一报文为探测报文,将第一报文发送给监测设备。
步骤402,若第一报文为检测设备在服务器处于正常工作状态下发送的扫描报文,记录第一报文的源IP地址与第一报文的目的端口的对应关系。
监测设备接收到第一报文后,记录第一报文的源IP地址与第一报文的目的端口的对应关系。
一个实施例中,监测设备接收到第一报文后,以源IP地址作为key,将第一报文的源IP地址与第一报文的目的端口对应存储至端口扫描数据库。其中,端口扫描数据库可以在位于一台独立的物理机上,也可以集成在监测设备上,本申请实施例对比不进行限定。
步骤403,根据已记录的第一报文的源IP地址对应的目的端口,确定用户设备的威胁等级。
一个可选的实施例中,监测设备中可以预先存储扫描个数与威胁等级的对应关系。其中,扫描个数为同一设备发送的多个报文中包括的目的端口的个数。扫描个数越大,威胁等级越高。监测设备确定已记录的第一报文的源IP地址对应的目的端口的目标个数,根据预先存储的扫描个数与威胁等级的对应关系,确定目标个数所在的扫描个数对应的威胁等级,将确定的威胁等级作为用户设备的威胁等级。
例如,监测设备中预先存储扫描个数与威胁等级的对应关系,如表1所示。
表1
Figure BDA0002040753700000101
Figure BDA0002040753700000111
若监测设备确定已记录的第一报文的源IP地址对应的目的端口的目标个数为8,则根据表1确定扫描个数8对应的威胁等级“一般”,将“一般”作为第一报文的源IP地址对应的用户设备的威胁等级。
另一个可选的实施例中,监测设备中可以预先存储扫描端口与威胁等级的对应关系。扫描端口为扫描报文的目的端口。监测设备确定已记录的第一报文的源IP地址对应的目的端口,将确定的各目的端口对应的威胁等级中最高的威胁等级,作为用户设备的威胁等级。
例如,监测设备中预先存储扫描端口与威胁等级的对应关系,如表2所示。
表2
端口 威胁等级
其他 提示
10 一般
11,15 严重
81,21 危险
其中,威胁等级从高到低的顺序为:“危险”→“严重”→“一般”→“提示”。监测设备确定已记录的第一报文的源IP地址对应的目的端口中有15端口、10端口、14端口。其中,15端口对应的威胁等级为“严重”,10端口对应的威胁等级为“一般”,14端口对应的威胁等级为“提示”。此时,所确定的目的端口对应的威胁等级中最高的威胁等级为“严重”,监测设备将“严重”作为第一报文的源IP地址对应的用户设备的威胁等级。
在一个可选的实施例中,为准确确定用户设备的威胁等级,监测设备可以综合考虑扫描个数和扫描端口两种扫描范围参数。例如,监测设备中可以预先存储扫描个数与威胁等级的对应关系,以及扫描端口与威胁等级的对应关系。监测设备确定已记录的第一报文的源IP地址对应的目的端口的目标个数,根据预先存储的扫描个数与威胁等级的对应关系,确定目标个数所在的扫描个数对应的第一威胁等级。监测设备确定已记录的第一报文的源IP地址对应的目的端口,确定各目的端口对应的第二威胁等级。监测设备将第一威胁等级和各第二威胁等级中最高的威胁等级,作为用户设备的威胁等级。
在本申请的一个实施例中,监测设备还可以记录第一报文的源IP地址与第一报文的接收时间的对应关系。例如,监测设备以源IP地址作为key,将第一报文的源IP地址与第一报文的接收时间对应存储至端口扫描数据库。监测设备根据已记录的第一报文的源IP地址对应的接收时间,确定用户设备的威胁等级。其中,接收时间可以为检测设备接收报文的时间,也可以为监测设备接收报文的时间。
一个可选的实施例中,监测设备中预先存储扫描时长与威胁等级的对应关系。其中,扫描时长为两次接收同一设备发送的报文的时间间隔。例如,在10:00时接收到源IP地址为IP1的报文,在10:20时接收到源IP地址为IP1的报文,则监测设备可确定IP1对应的扫描时长为20分钟。扫描时长越长,越能说明第一报文为攻击者在避免被服务器发现的情况下向服务器发送的扫描报文,威胁等级越高。监测设备计算第一报文的接收时间与第二报文的接收时间的时间差,作为第一报文的源IP地址对应的扫描时长,即目标扫描时长。其中,第二报文为监测设备接收的首个与第一报文的源IP地址相同的报文。监测设备确定目标扫描时长对应的威胁等级,将所确定的威胁等级作为用户设备的威胁等级。
另一个可选的实施例中,监测设备中预先存储扫描频率与威胁等级的对应关系。其中,扫描频率为单位时间内接收同一IP地址发送的报文的个数。扫描频率越大,威胁等级越高。监测设备统计单位时间内接收与第一报文的源IP地址相同的报文的个数,即统计单位时间内接收用户设备发送的报文的个数,作为目标扫描频率。监测设备根据预先存储的扫描频率与威胁等级的对应关系,确定目标扫描频率对应的威胁等级,将所确定的威胁等级作为用户设备的威胁等级。
再一个可选的实施例中,为准确确定用户设备的威胁等级,监测设备可以综合考虑扫描时长和扫描频率两种扫描时间参数。同时基于这两种扫描时间参数确定用户设备的威胁等级。
一个实施例中,监测设备可以预先存储扫描时长、扫描频率和威胁等级的对应关系。监测设备计算第一报文的接收时间与第二报文的接收时间的时间差,作为第一报文的源IP地址对应的扫描时长,即目标扫描时长。另外,监测设备统计单位时间内接收与第一报文的源IP地址相同的报文的个数,作为目标扫描频率。监测设备根据预先存储的扫描时长、扫描频率和威胁等级的对应关系,确定目标扫描时长和目标扫描频率对应的威胁等级,将所确定的威胁等级作为用户设备的威胁等级。
另一个实施例中,监测设备可以预先存储扫描时长与威胁等级的对应关系,以及扫描频率与威胁等级的对应关系。监测设备计算第一报文的接收时间与第二报文的接收时间的时间差,作为第一报文的源IP地址对应的扫描时长,即目标扫描时长。另外,监测设备统计单位时间内接收与第一报文的源IP地址相同的报文的个数,作为目标扫描频率。监测设备根据预先存储的扫描时长与威胁等级的对应关系,确定目标扫描时长对应的第三威胁等级,根据预先存储的扫描频率与威胁等级的对应关系,确定目标扫描时长对应的第四威胁等级。监测设备将第三威胁等级和第四威胁等级中最高的威胁等级,作为用户设备的威胁等级。
在本申请的一个实施例中,为准确确定用户设备的威胁等级,监测设备综合考虑扫描范围参数和扫描时间参数,确定用户设备的威胁等级。具体的,监测设备根据已记录的第一报文的源IP地址对应的目的端口,以及已记录的第一报文的源IP地址对应的接收时间,确定用户设备的威胁等级。
一个可选的实施例中,监测设备中可以预先存储扫描范围参数、扫描时间参数与威胁等级的对应关系。其中,扫描范围参数包括扫描个数和扫描端口,扫描时间参数包括扫描时长和扫描频率。监测设备根据已记录的第一报文的源IP地址对应的目的端口,确定目标扫描范围参数,根据已记录的第一报文的源IP地址对应的接收时间,确定目标扫描时间参数。监测设备根据预先存储的扫描范围参数、扫描时间参数与威胁等级的对应关系,确定目标扫描范围参数和目标扫描时间参数对应的威胁等级,将所确定的威胁等级作为第一报文的源IP地址对应的用户设备的威胁等级。
例如,监测设备中预先存储扫描个数、扫描时长与威胁等级的对应关系,如表3所示。
表3
Figure BDA0002040753700000141
若监测设备确定已记录的第一报文的源IP地址对应的目的端口的目标个数为8,已记录的第一报文的源IP地址对应的扫描时长为15分钟,则根据表3确定扫描个数8和扫描时长15对应的威胁等级“一般”,将“一般”为第一报文的源IP地址对应的用户设备的威胁等级。
另一个可选的实施例中,监测设备中可以预先存储扫描范围参数与威胁等级的对应关系,以及扫描时间参数与威胁等级的对应关系。监测设备根据已记录的第一报文的源IP地址对应的目的端口,确定目标扫描范围参数,根据已记录的第一报文的源IP地址对应的接收时间,确定目标扫描时间参数。监测设备根据预先存储的扫描范围参数与威胁等级的对应关系,确定目标扫描范围参数对应的第五威胁等级。监测设备根据预先存储的扫描时间参数与威胁等级的对应关系,确定目标扫描时间参数对应的第六威胁等级。监测设备将第五威胁等级和第六威胁等级中最高的威胁等级,作为用户设备的威胁等级。
再一个可选的实施例中,监测设备还可以确定第一报文请求的内容,根据请求的内容、第一报文的源IP地址对应的目的端口,以及第一报文的源IP地址对应的接收时间,确定用户设备的威胁等级。
具体的确定用户设备的威胁等级,可以根据实际需求进行设定,本申请实施例对此不进行限定。
在本申请的一个实施例中,监测设备在确定用户设备的威胁等级之后,可根据用户设备的威胁等级进行反攻击处理。其中,反攻击处理包括:记录用户设备的访问日志信息、输出包括第一报文的源IP地址的警告信息、对用户设备进行反向端口扫描、定位用户设备的物理位置、反网络攻击中的一种或多种。
例如,威胁等级从高到低的顺序为:“危险”→“严重”→“一般”→“提示”。监测设备接收到检测设备发送的第一报文为扫描报文时,若确定用户设备的威胁等级为提示,则记录用户设备的访问日志信息。若确定用户设备的威胁等级为一般,则输出包括第一报文的源IP地址的警告信息。若确定用户设备的威胁等级为严重,则对用户设备进行反向端口扫描,根据扫描得到的信息对用户设备的系统类型进行分析和记录。若确定用户设备的威胁等级为危险,则对用户设备进行位置探测,确定定位用户设备的物理位置。这里,威胁等级高时的处理方式可以包括威胁等级低时的处理方式。例如,若确定用户设备的威胁等级为危险,则记录用户设备的访问日志信息、输出包括第一报文的源IP地址的警告信息、对用户设备进行反向端口扫描和定位用户设备的物理位置等。
在本申请的一个实施例中,参考图5,图5为本申请实施例提供的攻击防御方法的第四种流程示意图。该方法应用于如图1所示的监测设备102,包括如下步骤。
步骤501,接收检测设备发送的第一报文。第一报文为检测设备接收的用户设备向服务器发送的报文。第一报文为扫描报文或探测报文。步骤501与步骤401相同。
步骤502,若第一报文为检测设备在所述服务器处于正常工作状态下发送的扫描报文,记录第一报文的源IP地址与第一报文的目的端口的对应关系。步骤502与步骤402相同。
步骤503,根据已记录的第一报文的源IP地址对应的目的端口,确定用户设备的威胁等级。步骤503与步骤403相同。
步骤504,若第一报文为检测设备在服务器处于异常工作状态下发送的探测报文,检测是否已记录第一报文的源IP地址。若是,则执行步骤505。若否,则执行步骤506。
一个实施例中,监测设备接收到第一报文后,以源IP地址作为key,将第一报文的源IP地址与第一报文的目的端口对应存储至端口扫描数据库。监测设备可检测端口扫描数据库是否存储有第一报文的源IP地址。若存储有,则确定已记录第一报文的源IP地址。若未存储,则确定未记录第一报文的源IP地址。
步骤505,更新用户设备的威胁等级,根据用户设备更新后的威胁等级进行反攻击处理。
步骤506,记录第一报文的源IP地址。
此时,监测设备可确定用户设备的威胁等级为空,也可以确定用户设备的威胁等级为最低等级的威胁等级,并按照用户设备的威胁等级进行反攻击处理。例如,威胁等级从高到低的顺序为:“危险”→“严重”→“一般”→“提示”。监测设备记录第一报文的源IP地址后,将记录第一报文的源IP地址对应用户设备的威胁等级为“提示”。
在本申请的一个实施例中,监测设备根据用户设备的威胁等级进行的反攻击处理可以包括:记录用户设备的访问日志信息、输出包括第一报文的源IP地址的警告信息、对用户设备进行反向端口扫描、定位用户设备的物理位置、反网络攻击中的一种或多种。
例如,威胁等级从高到低的顺序为:“危险”→“严重”→“一般”→“提示”。监测设备接收到检测设备发送的第一报文为探测报文时,检测第一报文的源IP地址是否存储在端口扫描数据库中。若不在,则将第一报文的源IP地址与第一报文的目的端口的对应关系存储在端口扫描数据库中。若在,则更新用户设备的威胁等级。若更新后的威胁等级为提示或一般,则可以先对用户设备进行反向端口扫描,根据扫描结果给予相应的反网络攻击,使用户设备瘫痪。若更新后的威胁等级为严重或危险,则根据前期收集的信息对用户设备进行反网络攻击,使用户设备瘫痪。
本申请实施例中,监测设备确定接收的第一报文为扫描报文还是探测报文的方式,可以参考步骤203和步骤304部分描述。
下面结合图1所示的攻击防御组网和图6所示的攻击防御方法的信令图,对本申请实施例提供的攻击防御方法进行详细说明。
步骤601,用户设备103向检测设备101发送报文1。其中,报文1的源IP地址为用户设备103的IP地址IP1,报文1的目的端口为端口1,报文1的目的IP地址为服务器100的IP地址IP2。
步骤602,检测设备101根据IP2,检测服务器100是否处于正常工作状态。若否,则执行步骤603。若是,则执行步骤608。
步骤603,检测设备101检测报文1是否为扫描报文。若是,则执行步骤604。若否,则执行步骤606。
步骤604,检测设备101将报文1发送给监测设备102。
步骤605,监测设备102将IP1与端口1对应存储至端口扫描数据库,并根据端口扫描数据库中IP1对应的端口,确定用户设备103的威胁等级。之后,监测设备102可根据用户设备103的威胁等级进行反攻击处理。
步骤606,检测设备101将报文1转发给服务器100。
步骤607,服务器100将报文1请求的内容通过检测设备101发送给用户设备103,以使用户设备103获取到相应的服务。
步骤608,检测设备101检测报文1是否为探测报文。若是,则执行步骤609。若否,则执行步骤611。
步骤609,检测设备101将报文1发送给监测设备102。
步骤610,监测设备102获取报文1的源IP地址IP1,更新端口扫描数据库中记录的用户设备103的威胁等级,并根据更新后的用户设备103的威胁等级进行反攻击处理。
步骤611,检测设备101对报文1进行其他抗网络攻击处理,根据处理结果,丢弃报文1或将报文1转发给服务器100。
上述步骤601-611部分的描述比较简单,详细可参见图1-5部分的描述。
基于上述图2-3所示的攻击防御方法实施例,本申请实施例提供了一种攻击防御装置。参考图7,图7为本申请实施例提供的攻击防御装置的第一种结构示意图。该装置应用于检测设备,包括接收单元701、第一检测单元702、第二检测单元703和发送单元704。
接收单元701,用于接收用户设备向服务器发送的第一报文;
第一检测单元702,用于检测服务器当前是否处于正常工作状态;
第二检测单元703,用于若处于正常工作状态,则检测第一报文是否为扫描报文;
发送单元704,用于若是扫描报文,则将第一报文发送给监测设备,以使监测设备记录第一报文的源IP地址与第一报文的目的端口的对应关系,根据已记录的第一报文的源IP地址对应的目的端口,确定用户设备的威胁等级。
一个可选的实施例中,第一检测单元702,具体可以用于检测所述服务器当前处理的流量值是否大于预设流量阈值;若不大于所述预设流量阈值,则确定所述服务器当前处于正常工作状态;若大于所述预设流量阈值,则确定所述服务器当前处于异常工作状态。
一个可选的实施例中,第二检测单元703,具体可以用于检测第一报文的目的端口是否为服务器提供服务的端口,并检测第一报文请求的内容是否为服务器提供的服务内容;如果为服务器提供服务的端口且为服务器提供服务内容,则确定第一报文不是扫描报文;否则,则确定第一报文是扫描报文。
一个可选的实施例中,第二检测单元703,还可以用于若处于异常工作状态,则检测第一报文是否为探测报文;
发送单元704,还可以用于若是探测报文,则将第一报文发送给监测设备,以使监测设备检测是否已记录第一报文的源IP地址;若记录,则更新用户设备的威胁等级,根据用户设备更新后的威胁等级进行反攻击处理;若未记录,则记录所述第一报文的源IP地址。
一个可选的实施例中,第二检测单元703,具体可以用于检测第一报文是否为ping报文,并检测所述第一报文的源IP地址是否在端口扫描数据库中,所述端口扫描数据库存储有扫描报文的源IP地址;如果所述第一报文为ping报文,和/或所述第一报文的源IP地址在端口扫描数据库中,则确定第一报文为探测报文;否则,确定第一报文不是探测报文。
本申请实施例提供的技术方案中,检测设备接收用户设备发送的第一报文后,若检测到服务器当前处于正常工作状态,则检测第一报文是否为扫描报文。若是扫描报文,则检测设备将第一报文发送给监测设备,对第一报文保持静默,也就是,不向用户设备回应任何信息。这样,用户设备将无法获取到任何有用的参考信息,增加了对服务器网络的分析难度,降低了受到网络攻击的可能性。另外,监测设备记录第一报文的源IP地址与第一报文的目的端口的对应关系,根据已记录的第一报文的源IP地址对应的目的端口,确定用户设备的威胁等级。这样,监测设备可以根据用户设备的威胁等级进行反攻击处理。通过本申请实施例提供的技术方案,实现了主动的网络攻击防御,降低了计算机受到网络攻击的可能性,减少了由于网络攻击导致计算机无法正常提供服务的时间。
基于上述图4-5所示的攻击防御方法实施例,本申请实施例提供了一种攻击防御装置。参考图8,图8为本申请实施例提供的攻击防御装置的第二种结构示意图。该装置应用于检测设备,包括接收单元801、第一记录单元802和确定单元803。
接收单元801,用于接收检测设备发送的第一报文,第一报文为检测设备接收的用户设备向服务器发送的报文;
第一记录单元802,用于若第一报文为所述检测设备在服务器处于正常工作状态下发送的扫描报文,记录第一报文的源IP地址与第一报文的目的端口的对应关系;
确定单元803,用于根据已记录的第一报文的源IP地址对应的目的端口,确定用户设备的威胁等级。
一个可选的实施例中,第一记录单元802,还可以用于记录第一报文的源IP地址与第一报文的接收时间的对应关系;
确定单元803,具体可以用于根据已记录的所述第一报文的源IP地址对应的目的端口,确定所述第一报文的源IP地址对应的目标扫描范围参数,并根据已记录的所述第一报文的源IP地址对应的接收时间,确定所述第一报文的源IP地址对应的目标扫描时间参数,所述目标扫描范围参数包括所述第一报文的源IP地址对应的目的端口的个数和/或所述第一报文的源IP地址对应的目的端口号,所述目标扫描时间参数包括所述第一报文的源IP地址对应的接收时间之间的最大时间间隔和/或单位时间接收源IP地址与所述第一报文的源IP地址相同的报文的个数;
根据预先存储的扫描范围参数、扫描时间参数与威胁等级的对应关系,以及所述目标扫描范围参数和所述目标扫描时间参数,确定所述用户设备的威胁等级。
一个可选的实施例中,上述攻击防御装置还可以包括:
检测单元,用于若所述第一报文为所述检测设备在所述服务器处于异常工作状态下发送的探测报文,检测是否已记录所述第一报文的源IP地址;
更新单元,用于若已记录,则更新所述用户设备的威胁等级;
处理单元,用于根据所述用户设备更新后的威胁等级进行反攻击处理;
第二记录单元,用于若未记录,则记录所述第一报文的源IP地址。
一个可选的实施例中,上述攻击防御装置还可以包括:
处理单元,用于在确定用户设备的威胁等级之后,根据用户设备的威胁等级进行反攻击处理;
其中,反攻击处理包括:记录用户设备的访问日志信息、输出包括第一报文的源IP地址的警告信息、对用户设备进行反向端口扫描、定位用户设备的物理位置、反网络攻击中的一种或多种。
本申请实施例提供的技术方案中,检测设备接收用户设备发送的第一报文后,若检测到服务器当前处于正常工作状态,则检测第一报文是否为扫描报文。若是扫描报文,则检测设备将第一报文发送给监测设备,对第一报文保持静默,也就是,不向用户设备回应任何信息。这样,用户设备将无法获取到任何有用的参考信息,增加了对服务器网络的分析难度,降低了受到网络攻击的可能性。另外,监测设备记录第一报文的源IP地址与第一报文的目的端口的对应关系,根据已记录的第一报文的源IP地址对应的目的端口,确定用户设备的威胁等级。这样,监测设备可以根据用户设备的威胁等级进行反攻击处理。通过本申请实施例提供的技术方案,实现了主动的网络攻击防御,降低了计算机受到网络攻击的可能性,减少了由于网络攻击导致计算机无法正常提供服务的时间。
基于上述图2-3所示的攻击防御方法实施例,本申请实施例还提供了一种网络设备,如图9所示,该网络设备可作为检测设备,包括处理器901和机器可读存储介质902,机器可读存储介质902存储有能够被处理器901执行的机器可执行指令。处理器901被机器可执行指令促使实现图2-3所示的任一攻击防御方法步骤。
一个可选的实施例中,如图9所示,网络设备还可以包括:通信接口903和通信总线904;其中,处理器901、机器可读存储介质902、通信接口903通过通信总线904完成相互间的通信,通信接口903用于上述网络设备与其他设备之间的通信。
基于上述图4-5所示的攻击防御方法实施例,本申请实施例还提供了一种网络设备,如图10所示,该网络设备可作为监测设备,包括处理器1001和机器可读存储介质1002,机器可读存储介质1002存储有能够被处理器1001执行的机器可执行指令。处理器1001被机器可执行指令促使实现图4-5所示的任一攻击防御方法步骤。
一个可选的实施例中,如图10所示,网络设备还可以包括:通信接口1003和通信总线1004;其中,处理器1001、机器可读存储介质1002、通信接口1003通过通信总线1004完成相互间的通信,通信接口1003用于上述网络设备与其他设备之间的通信。
上述通信总线可以是PCI(Peripheral Component Interconnect,外设部件互连标准)总线或EISA(Extended Industry Standard Architecture,扩展工业标准结构)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。
上述机器可读存储介质可以包括RAM(Random Access Memory,随机存取存储器),也可以包括NVM(Non-Volatile Memory,非易失性存储器),例如至少一个磁盘存储器。另外,机器可读存储介质还可以是至少一个位于远离前述处理器的存储装置。
上述处理器可以是通用处理器,包括CPU(Central Processing Unit,中央处理器)、NP(Network Processor,网络处理器)等;还可以是DSP(Digital Signal Processing,数字信号处理器)、ASIC(Application Specific Integrated Circuit,专用集成电路)、FPGA(Field-Programmable Gate Array,现场可编程门阵列)或其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
基于上述图2-3所示的攻击防御方法实施例,本申请实施例还提供了一种机器可读存储介质,机器可读存储介质存储有能够被处理器执行的机器可执行指令。处理器被机器可执行指令促使实现图2-3所示的任一攻击防御方法步骤。
基于上述图4-5所示的攻击防御方法实施例,本申请实施例还提供了一种机器可读存储介质,机器可读存储介质存储有能够被处理器执行的机器可执行指令。处理器被机器可执行指令促使实现图4-5所示的任一攻击防御方法步骤。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于攻击防御装置、网络设备、机器可读存储介质实施例而言,由于其基本相似于攻击防御方法实施例,所以描述的比较简单,相关之处参见攻击防御方法实施例的部分说明即可。
以上所述仅为本申请的较佳实施例而已,并非用于限定本申请的保护范围。凡在本申请的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本申请的保护范围内。

Claims (10)

1.一种攻击防御方法,其特征在于,应用于检测设备,所述方法包括:
接收用户设备向服务器发送的第一报文;
检测所述服务器当前是否处于正常工作状态;
若处于正常工作状态,则检测所述第一报文是否为扫描报文;所述检测所述第一报文是否为扫描报文的步骤,包括:
检测所述第一报文的目的端口是否为所述服务器提供服务的端口,并检测所述第一报文请求的内容是否为所述服务器提供的服务内容;如果为所述服务器提供服务的端口且为所述服务器提供服务内容,则确定所述第一报文不是扫描报文;否则,则确定所述第一报文是扫描报文;
若是扫描报文,则将所述第一报文发送给监测设备,以使所述监测设备记录所述第一报文的源网络协议IP地址与所述第一报文的目的端口的对应关系,根据已记录的所述第一报文的源IP地址对应的目的端口,确定所述用户设备的威胁等级,根据所述用户设备的威胁等级进行反攻击处理;
若处于异常工作状态,则检测所述第一报文是否为探测报文;
若是探测报文,则将所述第一报文发送给监测设备,以使所述监测设备检测是否已记录所述第一报文的源IP地址;若记录,则更新所述用户设备的威胁等级,根据所述用户设备更新后的威胁等级进行反攻击处理;若未记录,则记录所述第一报文的源IP地址。
2.根据权利要求1所述的方法,其特征在于,所述检测所述服务器当前是否处于正常工作状态的步骤,包括:
检测所述服务器当前处理的流量值是否大于预设流量阈值;
若不大于所述预设流量阈值,则确定所述服务器当前处于正常工作状态;
若大于所述预设流量阈值,则确定所述服务器当前处于异常工作状态。
3.根据权利要求1所述的方法,其特征在于,所述检测所述第一报文是否为探测报文的步骤,包括:
检测所述第一报文是否为ping报文,并检测所述第一报文的源IP地址是否在端口扫描数据库中,所述端口扫描数据库存储有扫描报文的源IP地址;
如果所述第一报文为ping报文,和/或所述第一报文的源IP地址在所述端口扫描数据库中,则确定所述第一报文为探测报文;
否则,确定所述第一报文不是探测报文。
4.一种攻击防御方法,其特征在于,应用于监测设备,所述方法包括:
接收检测设备发送的第一报文,所述第一报文为所述检测设备接收的用户设备向服务器发送的报文;
若所述第一报文为所述检测设备在所述服务器处于正常工作状态下发送的扫描报文,记录所述第一报文的源网络协议IP地址与所述第一报文的目的端口的对应关系;
根据已记录的所述第一报文的源IP地址对应的目的端口,确定所述用户设备的威胁等级,根据所述用户设备的威胁等级进行反攻击处理;
若所述第一报文为所述检测设备在所述服务器处于异常工作状态下发送的探测报文,检测是否已记录所述第一报文的源IP地址;
若已记录,则更新所述用户设备的威胁等级,根据所述用户设备更新后的威胁等级进行反攻击处理;若未记录,则记录所述第一报文的源IP地址。
5.根据权利要求4所述的方法,其特征在于,所述方法还包括:
记录所述第一报文的源IP地址与所述第一报文的接收时间的对应关系;
所述根据已记录的所述第一报文的源IP地址对应的目的端口,确定所述用户设备的威胁等级的步骤,包括:
根据已记录的所述第一报文的源IP地址对应的目的端口,确定所述第一报文的源IP地址对应的目标扫描范围参数,并根据已记录的所述第一报文的源IP地址对应的接收时间,确定所述第一报文的源IP地址对应的目标扫描时间参数,所述目标扫描范围参数包括所述第一报文的源IP地址对应的目的端口的个数和/或所述第一报文的源IP地址对应的目的端口号,所述目标扫描时间参数包括所述第一报文的源IP地址对应的接收时间之间的最大时间间隔和/或单位时间接收源IP地址与所述第一报文的源IP地址相同的报文的个数;
根据预先存储的扫描范围参数、扫描时间参数与威胁等级的对应关系,以及所述目标扫描范围参数和所述目标扫描时间参数,确定所述用户设备的威胁等级。
6.根据权利要求4所述的方法,其特征在于,在确定所述用户设备的威胁等级之后,根据所述用户设备的威胁等级进行反攻击处理;
其中,所述反攻击处理包括:记录所述用户设备的访问日志信息、输出包括所述第一报文的源IP地址的警告信息、对所述用户设备进行反向端口扫描、定位所述用户设备的物理位置中的一种或多种。
7.一种攻击防御装置,其特征在于,应用于检测设备,所述装置包括:
接收单元,用于接收用户设备向服务器发送的第一报文;
第一检测单元,用于检测所述服务器当前是否处于正常工作状态;
第二检测单元,用于若处于正常工作状态,则检测所述第一报文是否为扫描报文;所述第二检测单元,还用于若处于异常工作状态,则检测所述第一报文是否为探测报文;
发送单元,用于若是扫描报文,则将所述第一报文发送给监测设备,以使所述监测设备记录所述第一报文的源网络协议IP地址与所述第一报文的目的端口的对应关系,根据已记录的所述第一报文的源IP地址对应的目的端口,确定所述用户设备的威胁等级,根据所述用户设备的威胁等级进行反攻击处理;所述发送单元,还用于若是探测报文,则将所述第一报文发送给监测设备,以使所述监测设备检测是否已记录所述第一报文的源IP地址;若记录,则更新所述用户设备的威胁等级,根据所述用户设备更新后的威胁等级进行反攻击处理;若未记录,则记录所述第一报文的源IP地址。
8.一种攻击防御装置,其特征在于,应用于监测设备,所述装置包括:
接收单元,用于接收检测设备发送的第一报文,所述第一报文为所述检测设备接收的用户设备向服务器发送的报文;
第一记录单元,用于若所述第一报文为所述检测设备在所述服务器处于正常工作状态下发送的扫描报文,记录所述第一报文的源网络协议IP地址与所述第一报文的目的端口的对应关系;
确定单元,用于根据已记录的所述第一报文的源IP地址对应的目的端口,确定所述用户设备的威胁等级,根据所述用户设备的威胁等级进行反攻击处理;
检测单元,用于若所述第一报文为所述检测设备在所述服务器处于异常工作状态下发送的探测报文,检测是否已记录所述第一报文的源IP地址;
更新单元,用于若已记录,则更新所述用户设备的威胁等级;
处理单元,用于根据所述用户设备更新后的威胁等级进行反攻击处理。
9.一种网络设备,其特征在于,包括处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器被所述机器可执行指令促使:实现权利要求1-3或4-6任一所述的方法步骤。
10.一种机器可读存储介质,其特征在于,所述机器可读存储介质存储有能够被处理器执行的机器可执行指令,所述处理器被所述机器可执行指令促使:实现权利要求1-3或4-6任一所述的方法步骤。
CN201910341198.2A 2019-04-25 2019-04-25 一种攻击防御方法及装置 Active CN110061998B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910341198.2A CN110061998B (zh) 2019-04-25 2019-04-25 一种攻击防御方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910341198.2A CN110061998B (zh) 2019-04-25 2019-04-25 一种攻击防御方法及装置

Publications (2)

Publication Number Publication Date
CN110061998A CN110061998A (zh) 2019-07-26
CN110061998B true CN110061998B (zh) 2022-03-22

Family

ID=67320810

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910341198.2A Active CN110061998B (zh) 2019-04-25 2019-04-25 一种攻击防御方法及装置

Country Status (1)

Country Link
CN (1) CN110061998B (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111698214A (zh) * 2020-05-15 2020-09-22 平安科技(深圳)有限公司 网络攻击的安全处理方法、装置及计算机设备
CN114285654A (zh) * 2021-12-27 2022-04-05 北京天融信网络安全技术有限公司 一种检测攻击的方法和装置
CN115221530B (zh) * 2022-09-15 2022-12-23 平安银行股份有限公司 Sdlc流程中接口安全扫描方法、设备及系统
CN118413335A (zh) * 2023-01-30 2024-07-30 中兴通讯股份有限公司 网络攻击的防御方法、网元设备及计算机可读存储介质

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8635697B2 (en) * 2011-03-29 2014-01-21 Alcatel Lucent Method and system for operating system identification in a network based security monitoring solution
CN105871834A (zh) * 2016-03-29 2016-08-17 杭州朗和科技有限公司 一种计算恶意指数的方法和装置
CN107508816A (zh) * 2017-08-31 2017-12-22 杭州迪普科技股份有限公司 一种攻击流量防护方法及装置
CN107846418A (zh) * 2017-12-14 2018-03-27 广东天网安全信息科技有限公司 防火墙主动防护系统及防护方法
CN108200068A (zh) * 2018-01-08 2018-06-22 平安科技(深圳)有限公司 端口监控方法、装置、计算机设备及存储介质

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103561048B (zh) * 2013-09-02 2016-08-31 北京东土科技股份有限公司 一种确定tcp端口扫描的方法及装置

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8635697B2 (en) * 2011-03-29 2014-01-21 Alcatel Lucent Method and system for operating system identification in a network based security monitoring solution
CN105871834A (zh) * 2016-03-29 2016-08-17 杭州朗和科技有限公司 一种计算恶意指数的方法和装置
CN107508816A (zh) * 2017-08-31 2017-12-22 杭州迪普科技股份有限公司 一种攻击流量防护方法及装置
CN107846418A (zh) * 2017-12-14 2018-03-27 广东天网安全信息科技有限公司 防火墙主动防护系统及防护方法
CN108200068A (zh) * 2018-01-08 2018-06-22 平安科技(深圳)有限公司 端口监控方法、装置、计算机设备及存储介质

Also Published As

Publication number Publication date
CN110061998A (zh) 2019-07-26

Similar Documents

Publication Publication Date Title
CN110061998B (zh) 一种攻击防御方法及装置
US20210152520A1 (en) Network Firewall for Mitigating Against Persistent Low Volume Attacks
CN109951500B (zh) 网络攻击检测方法及装置
US11797671B2 (en) Cyberanalysis workflow acceleration
US10686814B2 (en) Network anomaly detection
CN109829310B (zh) 相似攻击的防御方法及装置、系统、存储介质、电子装置
CN109474575B (zh) 一种dns隧道的检测方法及装置
US8650287B2 (en) Local reputation to adjust sensitivity of behavioral detection system
US7823202B1 (en) Method for detecting internet border gateway protocol prefix hijacking attacks
US11606385B2 (en) Behavioral DNS tunneling identification
CN106330944B (zh) 恶意系统漏洞扫描器的识别方法和装置
US8516573B1 (en) Method and apparatus for port scan detection in a network
CN111010409B (zh) 加密攻击网络流量检测方法
CN107124434B (zh) 一种dns恶意攻击流量的发现方法及系统
US10257213B2 (en) Extraction criterion determination method, communication monitoring system, extraction criterion determination apparatus and extraction criterion determination program
US20080235799A1 (en) Network Attack Signature Generation
US20160065620A1 (en) Network maliciousness susceptibility analysis and rating
CN110417747B (zh) 一种暴力破解行为的检测方法及装置
CN106534068B (zh) 一种ddos防御系统中清洗伪造源ip的方法和装置
US10834125B2 (en) Method for defending against attack, defense device, and computer readable storage medium
US10326794B2 (en) Anycast-based spoofed traffic detection and mitigation
CN110266668B (zh) 一种端口扫描行为的检测方法及装置
US10142360B2 (en) System and method for iteratively updating network attack mitigation countermeasures
US12069077B2 (en) Methods for detecting a cyberattack on an electronic device, method for obtaining a supervised random forest model for detecting a DDoS attack or a brute force attack, and electronic device configured to detect a cyberattack on itself
Prieto et al. Botnet detection based on DNS records and active probing

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant