CN110113290B - 网络攻击的检测方法、装置、主机及存储介质 - Google Patents

网络攻击的检测方法、装置、主机及存储介质 Download PDF

Info

Publication number
CN110113290B
CN110113290B CN201810100799.XA CN201810100799A CN110113290B CN 110113290 B CN110113290 B CN 110113290B CN 201810100799 A CN201810100799 A CN 201810100799A CN 110113290 B CN110113290 B CN 110113290B
Authority
CN
China
Prior art keywords
host
network
address
data packet
network data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201810100799.XA
Other languages
English (en)
Other versions
CN110113290A (zh
Inventor
裴超
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Cloud Computing Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to CN201810100799.XA priority Critical patent/CN110113290B/zh
Publication of CN110113290A publication Critical patent/CN110113290A/zh
Application granted granted Critical
Publication of CN110113290B publication Critical patent/CN110113290B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请提供了一种网络攻击的检测方法、装置、主机及存储介质,涉及通信网络技术领域。该网络攻击的检测方法,应用于主机,包括:查询主机发送的网络数据包中报文携带的主机地址;判断主机地址是否属于预设的安全主机地址集合;若主机地址不属于预设的安全主机地址集合,则确定发送网络数据包的主机为攻击源主机。利用本申请的技术方案能够准确定位攻击源主机,降低网络安全风险。

Description

网络攻击的检测方法、装置、主机及存储介质
技术领域
本发明涉及通信网络技术领域,尤其涉及一种网络攻击的检测方法、装置、主机及存储介质。
背景技术
随着网络技术的发展,不同的局域网可通过因特网连接,从而形成巨大且连通的网络。而局域网中的主机连接因特网后,面临各种黑客攻击。主机在遭受黑客攻击后,可能成为攻击源。黑客可以利用攻击源实施其他攻击,比如拒绝服务(Denial of Service,DoS)攻击,拒绝服务攻击为目的是使被攻击对象停止提供正常的服务的攻击手段。比如,迫使被攻击对象的缓冲区慢,不接收新的请求。或者,攻击源使用网络地址(Internet Protocol,IP)欺骗,迫使被攻击对象将非法用户连接复位,从而影响合法用户的连接。因此,如何检测DoS攻击成为了网络安全中的一个重要问题。
现阶段检测DoS攻击的技术为,通过对经过边界路由器、网络传输节点(比如交换机或中间路由器)或防火墙的异常网络数据包进行捕获和分析,由边界路由器、网络传输节点(比如交换机或中间路由器)或防火墙判定发送网络数据包的行为是否为DoS攻击。确定发送网络数据包的行为是DoS攻击后,分析异常网络数据包,根据异常网络数据包中携带的主机地址,将主机地址对应的主机确定为攻击源主机。如果DoS攻击伪造异常网络数据包携带的主机地址,则会将伪造的主机地址对应的主机确定为攻击源主机,但由于主机地址为伪造的地址,因此无法定位真正的攻击源主机,从而无法阻止DoS攻击,网络安全风险依然较大。
发明内容
本申请提供了一种网络攻击的检测方法、装置、主机及存储介质,能够准确定位攻击源主机,降低网络安全风险。
第一方面,本申请提供了一种网络攻击的检测方法,应用于主机,方法包括:查询主机发送的网络数据包中报文携带的主机地址;判断主机地址是否属于预设的安全主机地址集合;若主机地址不属于预设的安全主机地址集合,则确定发送网络数据包的主机为攻击源主机。
在本申请中,将DoS攻击的检测功能设置于主机中,由主机查询主机自身发送的网络数据包中报文的主机地址,并判断报文的主机地址是否属于预设的安全主机地址集合,若主机判定自身发送的网络数据包中报文携带的主机地址不属于安全主机地址集合,则表明主机发送网络数据包的行为出现异常,伪造了主机地址。主机可判断自身已经成为攻击源主机。从而在伪造主机地址的条件下,依然可溯源定位攻击源主机,便于后续从源头上阻止DoS攻击,降低网络安全风险。
而且,若主机为虚拟主机,则一台物理机中可包括多个虚拟主机。由于多个虚拟机之间并没有实体的边界路由器,因此现有技术无法定位产生DoS攻击的攻击源虚拟主机。在本申请实施例中,DoS攻击的检测功能设置在虚拟主机中,由虚拟主机完成检测功能,从而实现识别虚拟主机的DoS攻击,以及定位攻击源虚拟主机的功能。
在第一方面的一些实施例中,主机地址包括物理地址和网络协议地址;预设的安全主机地址集合包括主机的每个网卡的物理地址和与网卡的物理地址对应的网络协议地址;或者,预设的安全主机地址集合包括主机的每个网卡的物理地址和与网卡的物理地址对应的网络协议地址,以及用户设置的物理地址和与用户设置的物理地址对应的网络协议地址。
在第一方面的一些实施例中,查询主机发送的网络数据包中报文携带的主机地址之前,还包括:检测主机发送的网络数据包对应的通信信息是否符合预设规则;若主机发送的网络数据包对应的通信信息不符合预设规则,查询主机发送的网络数据包中报文携带的主机地址。
利用主机发送的网络数据包对应的通信信息与预设规则,初步排除一些不是攻击源的主机,不是攻击源的主机不需要对网络数据包中的报文进行解析。一方面提高了DoS攻击的检测效率,另一方面增加了一重检测,也可以避免对攻击源主机的误判,提高检测攻击源主机和DoS攻击的准确性。
在第一方面的一些实施例中,主机发送的网络数据包对应的通信信息包括网络数据包的通信连接参数;检测主机发送的网络数据包对应的通信信息是否符合预设规则,包括:检测通信连接参数是否超出预设的安全参数范围;若通信连接参数超出预设的安全参数范围,则确定主机发送的网络数据包对应的通信信息不符合预设规则。
在第一方面的一些实施例中,通信连接参数包括网络连接信息的条数,安全参数范围包括连接信息数目安全阈值,一条网络连接信息包括一个本地网络协议IP地址、一个本地端口、一个远程IP地址和一个远程端口。
在第一方面的一些实施例中,通信连接参数包括网络数据包的发送速率,安全参数范围包括安全速率范围。
在第一方面的一些实施例中,通信信息包括网络数据包中的报文的内容,检测主机发送的网络数据包对应的通信信息是否符合预设规则,包括:检测主机发送的网络数据包中报文的内容是否属于预设的攻击报文内容集合,攻击报文内容集合包括至少一种拒绝服务网络攻击类型的报文的内容模板;若主机发送的网络数据包中报文的内容属于预设的攻击报文内容集合,则主机发送的网络数据包对应的通信信息不符合预设规则。
根据网络数据包中报文的内容与预设的攻击报文内容集合,协助进行攻击源主机的确定,进一步提高确定攻击源主机判断的准确性。并且,也可确定攻击源主机发出的DoS攻击的类型和手段,便于后续处理中针对该DoS攻击采取相应措施。
在第一方面的一些实施例中,查询主机发送的网络数据包中报文携带的主机地址之前,还包括:统计在第一预设时长内主机在同一传输协议下发送不同功能类别的网络数据包的数目的比值,第一预设时长起始于上一次统计之后;检测比值是否超出比值阈值范围,若确定比值超出比值阈值范围,则查询主机发送的网络数据包中报文携带的主机地址。
增加了根据同一传输协议下不同功能类别的网络数据包的数目的比值和比值阈值范围,协助确定攻击源主机和DoS攻击的步骤,进一步提高了确定攻击源主机的准确性。并且,还可根据是哪一传输协议下不同功能类别的网络数据包的数目的比值超出了对应的比值阈值范围,来确定攻击源主机发出的DoS攻击的具体类型,便于后续针对该DoS攻击采取相应措施。
在第一方面的一些实施例中,若主机地址不属于预设的安全主机地址集合,确定发送网络数据包的主机为攻击源主机,包括:若主机地址不属于预设的安全主机地址集合,检测主机发送的网络数据包中报文的内容是否与预设的攻击报文内容集合匹配,攻击报文内容集合包括至少一种拒绝服务网络攻击类型的报文的内容模板;若确定主机发送的网络数据包中报文的内容与预设的攻击报文内容集合匹配,则确定发送网络数据包的主机为攻击源主机。
根据网络数据包中报文的内容与预设的攻击报文内容集合,协助进行攻击源主机的确定,进一步提高确定攻击源主机判断的准确性。并且,也可确定攻击源主机发出的DoS攻击的类型和手段,便于后续处理中针对该DoS攻击采取相应措施。
在第一方面的一些实施例中,若主机地址不属于预设的安全主机地址集合,确定发送网络数据包的主机为攻击源主机,包括:若主机地址不属于预设的安全主机地址集合,统计在第二预设时长内主机在同一传输协议下发送不同功能类别的网络数据包的数目的比值,第二预设时长起始于上一次统计之后;检测比值是否超出比值阈值范围;若确定比值超出比值阈值范围,则确定发送网络数据包的主机为攻击源主机。
根据同一传输协议下不同功能类别的网络数据包的数目的比值和比值阈值范围,协助确定攻击源主机和DoS攻击,进一步提高了确定攻击源主机的准确性。并且,还可根据是哪一传输协议下不同功能类别的网络数据包的数目的比值超出了对应的比值阈值范围,来确定攻击源主机发出的DoS攻击的具体类型,便于后续针对该DoS攻击采取相应措施。
在第一方面的一些实施例中,在确定发送网络数据包的主机为攻击源主机之后,还包括:查询与目标网络连接信息对应的进程标识符,目标网络连接信息为攻击源主机发送的网络数据包携带的网络连接信息;关闭与进程标识符对应的进程。
关闭DoS攻击进程,即可终止DoS攻击行为,攻击源主机中的其他进程仍然可正常进行。从而避免了将整个主机下线隔离而造成的合法任务的终端形成的损失,减小了主机资源的浪费,提高了资源利用率。
在第一方面的一些实施例中,在确定发送网络数据包的主机为攻击源主机之后,还包括:统计每一远程IP地址对应的网络连接信息的条数,攻击源主机发送的网络数据包包括远程IP地址;针对远程IP地址,检测远程IP地址对应的网络连接信息的条数是否超出网络连接信息条数安全阈值;若远程IP地址对应的网络连接信息的条数超出网络连接信息条数安全阈值,则确定远程IP为被攻击IP地址。
利用对单个远程IP地址对应的网络连接信息数目的统计,以及与单个远程IP地址对应的网络连接信息条数安全阈值的比较,确定是否对远程IP地址进行了DoS攻击,从而可准确得到主机对外发起DoS攻击的受害IP地址。
第二方面,本申请提供了一种网络攻击的检测装置,包括:查询模块,用于查询主机发送的网络数据包中报文携带的主机地址;判断模块,用于判断主机地址是否属于预设的安全主机地址集合;确定模块,用于当主机地址不属于预设的安全主机地址集合,确定发送网络数据包的主机为攻击源主机。
在第二方面的一些实施例中,主机地址包括物理地址和网络协议地址;预设的安全主机地址集合包括主机的每个网卡的物理地址和与网卡的物理地址对应的网络协议地址;或者,预设的安全主机地址集合包括主机的每个网卡的物理地址和与网卡的物理地址对应的网络协议地址,以及用户设置的物理地址和与用户设置的物理地址对应的网络协议地址。
在第二方面的一些实施例中,上述装置还包括:判断模块,还用于检测主机发送的网络数据包对应的通信信息是否符合预设规则;查询模块,还用于当主机发送的网络数据包对应的通信信息不符合预设规则,查询主机发送的网络数据包中报文携带的主机地址。
在第二方面的一些实施例中,主机发送的网络数据包对应的通信信息包括网络数据包的通信连接参数;判断模块还用于:检测通信连接参数是否超出预设的安全参数范围;若通信连接参数超出预设的安全参数范围,则确定主机发送的网络数据包对应的通信信息不符合预设规则。
在第二方面的一些实施例中,通信连接参数包括网络连接信息的条数,安全参数范围包括连接信息数目安全阈值,一条网络连接信息包括一个本地网络协议IP地址、一个本地端口、一个远程IP地址和一个远程端口。
在第二方面的一些实施例中,通信连接参数包括网络数据包的发送速率,安全参数范围包括安全速率范围。
在第二方面的一些实施例中,通信信息包括网络数据包中的报文的内容;判断模块还用于:检测主机发送的网络数据包中报文的内容是否属于预设的攻击报文内容集合,攻击报文内容集合包括至少一种拒绝服务网络攻击类型的报文的内容模板;若主机发送的网络数据包中报文的内容属于预设的攻击报文内容集合,则主机发送的网络数据包对应的通信信息不符合预设规则。
在第二方面的一些实施例中,上述装置还包括:第一统计模块,用于统计在第一预设时长内主机在同一传输协议下发送不同功能类别的网络数据包的数目的比值,第一预设时长起始于上一次统计之后;查询模块,还用于检测比值是否超出比值阈值范围,若确定比值超出比值阈值范围,则查询主机发送的网络数据包中报文携带的主机地址。
在第二方面的一些实施例中,确定模块还用于:若主机地址不属于预设的安全主机地址集合,检测主机发送的网络数据包中报文的内容是否与预设的攻击报文内容集合匹配,攻击报文内容集合包括至少一种拒绝服务网络攻击类型的报文的内容模板;若确定主机发送的网络数据包中报文的内容与预设的攻击报文内容集合匹配,则确定发送网络数据包的主机为攻击源主机。
在第二方面的一些实施例中,确定模块还用于:若主机地址不属于预设的安全主机地址集合,统计在第二预设时长内主机在同一传输协议下发送不同功能类别的网络数据包的数目的比值,第二预设时长起始于上一次统计之后;检测比值是否超出比值阈值范围;若确定比值超出比值阈值范围,则确定发送网络数据包的主机为攻击源主机。
在第二方面的一些实施例中,上述装置还包括:进程查询模块,用于在确定模块确定发送网络数据包的主机为攻击源主机后,查询与目标网络连接信息对应的进程标识符,目标网络连接信息为攻击源主机发送的网络数据包携带的网络连接信息;进程关闭模块,用于关闭与进程标识符对应的进程。
在第二方面的一些实施例中,上述装置还包括:第二统计模块,用于在确定模块确定发送网络数据包的主机为攻击源主机后,统计每一远程IP地址对应的网络连接信息的条数,攻击源主机发送的网络数据包包括远程IP地址;确定模块,还用于针对远程IP地址,检测远程IP地址对应的网络连接信息的条数是否超出网络连接信息条数安全阈值,若远程IP地址对应的网络连接信息的条数超出网络连接信息条数安全阈值,确定远程IP为被攻击IP地址。
上述网络攻击的检测装置可达到与上述技术方案中网络攻击的检测方法相同的技术效果。
第三方面,本申请提供了一种主机,包括存储器、处理器及存储在存储器上并可在处理器上运行的程序,处理器执行程序时实现如上述技术方案中的网络攻击的检测方法,可达到与上述技术方案中的网络攻击的检测方法相同的技术效果。
第四方面,本申请提供了一种主机,包括接口和第二方面以及第二方面的任一实施例所述的网络攻击的检测装置,所述接口用于发送网络数据包,所述网络攻击的检测装置用于根据所述网络数据包中报文携带的主机地址,判断所述主机地址是否属于预设的安全主机地址集合,如果所述主机地址不属于所述预设的安全主机地址集合,确定发送所述网络数据包的所述主机为攻击源主机。
第五方面,本申请提供了一种存储介质,其上存储有程序,程序被处理器执行时实现如上述技术方案中的网络攻击的检测方法,可达到与上述技术方案中的网络攻击的检测方法相同的技术效果。
附图说明
图1为本申请实施例中网络攻击的检测方法的应用场景示意图;
图2为本申请一实施例中一种网络攻击的检测方法的流程图;
图3为本申请实施例中一种网络攻击的检测功能在主机实现的单元结构图;
图4为本申请一实施例中网络攻击的检测装置的结构示意图;
图5为本申请另一实施例中网络攻击的检测装置的结构示意图;
图6为本申请一实施例中的一种主机的硬件结构示意图。
具体实施方式
本申请实施例提供了一种网络攻击的检测方法、装置、主机及存储介质,应用于网络中网络攻击的检测领域。在本申请实施例中,网络攻击可以为拒绝服务(Denial ofService,DoS)攻击,拒绝服务攻击的目的是使被攻击主机、被攻击服务器或网络停止提供正常的服务,严重的拒绝服务攻击甚至可以使被攻击主机或网络停止响应或崩溃。在一个示例中,网络攻击的检测方法的应用场景如图1所示,网络包括主机、边界路由器、中间网络路由器、因特网、防火墙和服务器。多个主机可构成局域网,局域网通过各个路由器与因特网连接,从而和与因特网连接的其他局域网或设备构成连通的大型网络。
在本申请实施例中,网络攻击检测功能设置在主机中,记录及查询主机发送的网络数据包、主机的本地信息以及主机的网络连接信息等检测信息,从而根据主机的各类检测信息,检测网络攻击。
需要说明的是,主机可以为实体主机,也可以为虚拟主机。若主机为虚拟主机,则一台实体设备中可设置多个虚拟主机。虚拟主机之间的通信无实体路由器,且虚拟主机的网络没有实体的边界路由器,具体可通过承载虚拟主机的实体设备与外部进行路由通信。
图2为本申请一实施例中一种网络攻击的检测方法的流程图。网络攻击的检测方法可具体应用于主机。也就是说,本申请实施例中的网络攻击的检测方法可以功能模块的形式安装在主机内。或者,本申请实施例中的网络攻击的检测方法的程序可存储在主机的存储器中,主机的处理器运行该程序,实现本申请实施例中的网络攻击的检测方法。或者,本申请实施例中的网络攻击的检测方法的程序也可存储在外接存储器中,外接存储器可接入主机,主机的处理器运行可调用外接存储器中的程序,实现本申请实施例中的网络攻击的检测方法。
下面对网络攻击的检测方法进行说明,如图2所示,网络攻击的检测方法可包括步骤S101至S103。
在步骤S101中,查询主机发送的网络数据包中报文携带的主机地址。
网络数据包包括至少一条报文。主机通过网络数据包中的报文与网络中的其他设备进行交互。报文中可携带主机地址、远程地址以及数据等信息。主机可捕获主机自身发送的网络数据包中的报文并对报文进行解析,从而得到报文携带的主机地址。在一个示例中,主机地址可包括网络协议(Internet Protocol,IP)地址和物理(Medium Access Control,MAC)地址。主机可包括一个网卡或多个网卡,因此主机可对应有一个MAC地址或多个MAC地址,每个MAC地址可对应一个或多个IP地址。查询主机发送的网络数据包中的报文携带的主机地址,以供后续步骤利用主机地址判定该主机是否为攻击源主机。
在步骤S102中,判断主机地址是否属于预设的安全主机地址集合。
预设的安全主机地址集合中的主机地址均为合法的主机地址。也就是说,携带预设的安全主机地址集合中的主机地址的网络数据包为合法网络数据包,发送合法网络数据包这一操作并不是DoS攻击。在一个示例中,预设的安全主机地址集合包括至少一个MAC地址和对应的IP地址。
具体的,可预先利用主机的网卡的MAC地址和与网卡的MAC地址对应的IP地址建立映射关系,构成本地地址映射表。本地地址映射表包括主机的网卡的MAC地址和IP地址的对应关系。由于主机的网卡的MAC地址和/或与网卡的MAC地址对应的IP地址可通过软件操作进行修改,为了避免合法用户对主机的网卡的MAC地址和/或与网卡的MAC地址对应的IP地址的正常修改而引起的DoS攻击的误判,可利用用户设置的网卡的MAC地址和与网卡的MAC地址对应的IP地址建立映射关系,构成白名单映射表。预设的安全主机地址集合可包括主机的每个网卡的MAC地址和与每个网卡的MAC地址对应的IP地址。或者,预设的安全主机地址集合可包括主机的每个网卡的MAC地址和与每个网卡的MAC地址对应的IP地址,以及用户设置的MAC地址和与用户设置的MAC地址对应的IP地址。
在步骤S103中,若主机地址不属于预设的安全主机地址集合,则确定发送网络数据包的主机为攻击源主机。
若网络数据包中报文携带的主机地址不属于预设的安全主机地址集合,表明该网络数据包为非法操作发送的网络数据包。也就是说,主机发送网络数据包的这一操作为DoS攻击,可将发送网络数据包的主机作为攻击源主机,且该DoS攻击为基于网络层发起的攻击。若网络数据包中报文携带的主机地址属于预设的安全主机地址集合,表明该网络数据包为合法操作发送的网络数据包,发送该网络数据包的主机不是攻击源主机。
在一个示例中,主机地址包括MAC地址和IP地址,网络数据包中报文携带的主机地址是否属于预设的安全主机地址集合,可以通过检测网络数据包中报文携带的MAC地址与预设的安全主机地址集合中的MAC地址是否一致,和/或检测网络数据包中报文携带的IP地址与预设的安全主机地址集合中的IP地址是否一致,来判断DoS攻击是否为伪造IP地址的DoS攻击。若网络数据包中报文携带的MAC地址与预设的安全主机地址集合中的MAC地址不一致,则判定DoS攻击为伪造MAC地址的DoS攻击。若网络数据包中报文携带的IP地址与预设的安全主机地址集合中的IP地址不一致,则判定DoS攻击为伪造IP地址的DoS攻击。
比如,预设的安全主机地址集合包括主机的每个网卡的MAC地址和与每个网络的MAC地址对应的IP地址,以及用户设置的MAC地址和与用户设置的MAC地址对应的IP地址。其中,主机的每个网卡的MAC地址和与每个网卡的MAC地址对应的IP地址,以及用户设置的MAC地址和与用户设置的MAC地址对应的IP地址可采用地址映射表实现,也可采用多个地址列表实现,例如,主机的每个网卡的MAC地址和与每个网卡的MAC地址对应的IP地址采用本地地址映射表实现,用户设置的MAC地址采用MAC地址列表实现,与用户设置的MAC地址对应的IP地址采用IP地址列表实现。若主机发送的网络数据包中报文携带的MAC地址不属于本地地址映射表,且网络数据包中报文携带的MAC地址不属于MAC地址列表,则可确定发送该网络数据包的主机为攻击源主机,且DoS攻击为伪造MAC地址的DoS攻击。
又比如,预设的安全主机地址集合包括主机的每个网卡的MAC地址和与每个网卡的MAC地址对应的IP地址,以及用户设置的MAC地址和与用户设置的MAC地址对应的IP地址。其中,主机的每个网卡的MAC地址和与每个网卡的MAC地址对应的IP地址可采用本地地址映射表实现。用户设置的MAC地址采用MAC地址列表实现,与用户设置的MAC地址对应的IP地址采用IP地址列表实现。若主机发送的网络数据包中报文携带的MAC地址和IP地址不属于本地地址映射表,且网络数据包中报文携带的MAC地址也不属于MAC地址列表,网络数据包中报文携带的IP地址也不属于IP地址列表,则可确定发送该网络数据包的主机为攻击源主机,且DoS攻击为伪造MAC地址和IP地址的DoS攻击。
在一个示例中,步骤S103确定攻击源主机的步骤可细化为:为若主机地址不属于预设的安全主机地址集合,检测主机发送的网络数据包中报文的内容是否与预设的攻击报文内容集合匹配;若确定主机发送的网络数据包中报文的内容与预设的攻击报文内容集合匹配,则确定发送网络数据包的主机为攻击源主机。
网络数据包中报文的内容可包括报文的偏移地址、报文中数据字段内容等。检测主机发送的网络数据包中报文的内容是否与预设的攻击报文内容集合匹配。若主机发送的网络数据包中报文的内容与预设的攻击报文内容集合匹配,则确定发送该网络数据包的主机为攻击源主机。其中,攻击报文内容集合包括至少一种DoS攻击类型的报文的内容模板。DoS攻击类型的报文的内容模板中记录有该DoS攻击类型的报文的内容的特征,比如具体的偏移字段、报文中数据字段内携带的特定内容等。也可根据主机发送的网络数据包中报文的内容与预设的攻击报文内容集合中的哪一种DoS攻击类型的报文的内容模板匹配,来确定攻击源主机的DoS攻击的攻击类型,还可确定该DoS攻击为基于应用层发起的攻击。
根据网络数据包中报文的内容与预设的攻击报文内容集合,协助进行攻击源主机的确定,进一步提高确定攻击源主机判断的准确性。并且,也可确定攻击源主机发出的DoS攻击的类型和手段,便于后续处理中针对该DoS攻击采取相应措施。
在另一个示例中,步骤S103确定攻击源主机的步骤可细化为:若主机地址不属于预设的安全主机地址集合,统计在第二预设时长内主机在同一传输协议下发送不同功能类别的网络数据包的数目的比值;检测比值是否超出比值阈值范围;若确定比值超出比值阈值范围,则确定发送网络数据包的主机为攻击源主机。其中,第二预设时长起始于上一次统计之后。
具体不同类型的DoS攻击的特征略有不同,可根据同一传输协议下不同功能类别的网络数据包的数目的比值来确定主机发送网络数据包的操作是否为DoS攻击,还可判断具体的DoS攻击类型。比如,可针对TCP协议下的不同功能类别的网络数据包,计算不同功能类别的网络数据包之间的数目比值。比值阈值范围为主机正常安全工作时在同一传输协议下不同功能类别网络数据包的数目的比值的范围,可根据主机的工作场景和工作需求,通过实验或经验得到,在此并不限定。可根据具体是那些不同功能类别的网络数据包而确定使用哪一个比值阈值范围来进行比较。若比值超出比值阈值范围,则触发查询主机发送的网络数据包中报文携带的主机地址。
例如,捕获TCP协议下建立网络连接的握手阶段的网络数据包,分别得到建立网络连接的握手阶段主机发出的握手信号(synchronous,SYN)包,目的主机返回的握手信号/确认信号(synchronous/Acknowledgement,SYN/ACK)包和主机发出的ACK包的数目,计算主机发出的SYN包数目与ACK包数目之和与接收到的SYN/ACK包数目的平均比值,若该比值大于且趋近于2:1,则属正常。否则认为主机对外发起了DoS攻击,且该DoS攻击类型是TCP SYNFLOOD。
根据同一传输协议下不同功能类别的网络数据包的数目的比值和比值阈值范围,协助确定攻击源主机和DoS攻击,进一步提高了确定攻击源主机的准确性。并且,还可根据是哪一传输协议下不同功能类别的网络数据包的数目的比值超出了对应的比值阈值范围,来确定攻击源主机发出的DoS攻击的具体类型,便于后续针对该DoS攻击采取相应措施。
在本申请实施例中,将DoS攻击的检测功能设置于主机中,由主机查询主机自身发送的网络数据包中报文的主机地址,并判断报文的主机地址是否属于预设的安全主机地址集合,若主机判定自身发送的网络数据包中报文携带的主机地址不属于安全主机地址集合,则表明主机发送网络数据包的行为出现异常,伪造了主机地址。主机可判断自身已经成为攻击源主机。从而在伪造主机地址的条件下,依然可溯源定位攻击源主机,便于后续从源头上阻止DoS攻击,降低网络安全风险。
而且,若主机为虚拟主机,则一台物理机中可包括多个虚拟主机。由于多个虚拟机之间并没有实体的边界路由器,因此现有技术无法定位产生DoS攻击的攻击源虚拟主机。在本申请实施例中,DoS攻击的检测功能设置在虚拟主机中,由虚拟主机完成检测功能,从而实现识别虚拟主机的DoS攻击,以及定位攻击源虚拟主机的功能。
由于查询主机发送的网络数据包中报文携带的主机地址,需要主机对网络数据包中的报文进行解析。每台主机都需要对网络数据包中的报文进行解析,导致解析所花费的各个主机的资源较多。为了节省解析所占用的资源,在另一实施例中,可以在查询主机发送的网络数据包中报文携带的主机地址之前,利用主机发送的网络数据包对应的通信信息与预设规则,对主机进行过滤检测,过滤得到需要查询网络数据包中报文携带的主机地址的主机。也就是说,可检测主机发送的网络数据包对应的通信信息是否符合预设规则。若主机发送的网络数据包对应的通信信息不符合预设规则,查询主机发送的网络数据包中报文携带的主机地址。即利用主机发送的网络数据包对应的通信信息与预设规则,初步排除一些不是攻击源的主机,不是攻击源的主机不需要对网络数据包中的报文进行解析。一方面提高了DoS攻击的检测效率,另一方面增加了一重检测,也可以避免对攻击源主机的误判,提高检测攻击源主机和DoS攻击的准确性。
具体的,主机发送的网络数据包对应的通信信息包括网络数据包的通信连接参数。可通过检测通信连接参数是否超出预设的安全参数范围,来检测主机发送的网络数据包对应的通信信息是否符合预设规则。若通信连接参数超出预设的安全参数范围,则确定主机发送的网络数据包对应的通信消息不符合预设规则。
比如,通信连接参数包括网络连接信息的条数,安全参数范围包括连接信息数目安全阈值。一条网络连接信息包括一个本地IP地址、一个本地端口、一个远程IP地址和一个远程端口。远程IP地址可为目的IP地址,也可为中转IP地址。一条网络连接信息还可包括一种主机与网络的连接状态,比如,监听状态、关闭状态等。一条网络连接信息还可包括一个或两个以上的进程标识符,进程标识符用于标识进程。具体的,还可根据实际场景和需求在一条网络连接信息中添加其他网络属性信息。主机的网络连接信息可基于自身的网卡对应的信息以及发送的网络数据包获得。连接信息数目安全阈值为主机在正常安全工作状态下能够承载的网络连接信息的最大条数,具体可通过实验或经验得到,在此并不限定。通过检测主机的网络连接信息的条数可粗略的排除不是攻击源主机的主机,减少参与查询主机发送的网络数据包中报文携带的主机地址的检测步骤的主机,提高了对DoS检测的效率,也避免对攻击源主机的误判。若主机的网络连接信息的条数超出连接信息数目安全阈值,即通信连接参数超出预设的安全参数范围,表明主机有可能受到黑客的控制,对其他主机或服务器或网络进行了DoS攻击,可触发查询主机发送的网络数据包中报文携带的主机地址的步骤。若主机的网络连接信息的条数未超出连接信息数目安全阈值,即通信连接参数未超出预设的安全参数范围,表明主机未进行DoS攻击,主机并不是攻击源主机。例如,连接信息数目安全阈值为Tconn_max,主机的网络连接信息的条数为Cconn。若Cconn>Tconn_max,则触发查询该主机发送的网络数据包中报文携带的主机地址。
又比如,通信连接参数包括网络数据包的发送速率,安全参数范围包括安全速率范围。网络数据包的发送速率可根据一段时间内主机发送网络数据包的数目计算得到。安全速率范围为主机正常安全工作状态下网络数据包发送速率的范围,可根据主机的工作场景和工作需求,通过实验或经验得到,在此并不限定。若主机的网络数据包的发送速率超出安全速率范围,即通信连接参数超出预设的安全参数范围,表明主机可能是攻击源主机。若主机的网卡的网络数据包发送速率未超出预设的安全速率范围,即通信连接参数未超出预设的安全参数范围,表明主机不是攻击源主机。例如,安全速率范围的上限为Tv_max,下限为Tv_min。主机可对自身的网络数据包发送速率进行抽样统计,得到的主机的网络数据包发送速率为Tv_stat。若Tv_stat不位于区间[Tv_min,Tv_max]内,则触发查询该主机发送的网络数据包中报文携带的主机地址。
还可按照网络数据包的网络协议类型对网络数据包分类。比如,网络数据包分为传输控制协议(Transmission Control Protocol,TCP)数据包和用户数据包协议(UserDatagram Protocol,UDP)。可分别统计网卡的TCP数据包发送速率和UDP数据包发送速率,并预先设定TCP数据包安全速率范围和UDP数据包安全速率范围,若网卡的TCP数据包发送速率超出TCP数据包安全速率范围,则可判定主机对外的DoS攻击为基于TCP协议的DoS攻击。若网卡的UDP数据包发送速率超出UDP数据包安全速率范围,则可判定主机对外的DoS攻击为基于UDP协议的DoS攻击。
需要说明的是,为了进一步提高确定攻击源主机的准确度,也可以结合网络连接信息的条数的判断、网络数据包的发送速率判断和网络数据包中报文携带的主机地址的判断,确定攻击源主机。当网络连接信息的条数超出网络连接信息数据安全阈值,网络数据包的发送速率超出安全速率范围,且网络数据包中报文携带的主机地址不属于预设的安全主机地址集合,确定该主机为攻击源主机。
具体的,主机发送的网络数据包对应的通信信息包括网络数据包中报文的内容。检测主机发送的网络数据包中报文的内容是否属于预设的攻击报文内容集合,若主机发送的网络数据包中报文的内容属于预设的攻击报文内容集合,则主机发送的网络数据包对应的通信信息不符合预设规则。其中,检测主机发送的网络数据包中报文的内容是否属于预设的攻击报文内容集合,以及主机发送的网络数据包中报文的内容属于预设的攻击报文内容集合的判断的内容可参见上述步骤S103的细化说明部分,在此不再赘述。
根据网络数据包中报文的内容与预设的攻击报文内容集合,协助进行攻击源主机的确定,进一步提高确定攻击源主机判断的准确性。并且,也可确定攻击源主机发出的DoS攻击的类型和手段,便于后续处理中针对该DoS攻击采取相应措施。
具体的,在查询主机发送的网络数据包中报文携带的主机地址之前,还可统计在第一预设时长内主机在同一传输协议下发送不同功能类别的网络数据包的数目的比值,检测比值是否超出比值阈值范围,若确定比值超出比值阈值范围,则查询主机发送的网络数据包中报文携带的主机地址。其中,第一预设时长起始于上一次统计之后。需要说明的是,第一预设时长与上述的第二预设时长可以相等,也可以不等。
其中,统计在第一预设时长内主机在同一传输协议下发送不同功能类别的网络数据包的数目的比值,检测比值是否超出比值阈值范围的内容可参照步骤S103的细化说明内容,在此不再赘述。
增加了根据同一传输协议下不同功能类别的网络数据包的数目的比值和比值阈值范围,协助确定攻击源主机和DoS攻击的步骤,进一步提高了确定攻击源主机的准确性。并且,还可根据是哪一传输协议下不同功能类别的网络数据包的数目的比值超出了对应的比值阈值范围,来确定攻击源主机发出的DoS攻击的具体类型,便于后续针对该DoS攻击采取相应措施。
在上述实施例中,主机还可采用机器学习的方式,对每次判断DoS攻击和攻击源主机的的过程进行学习,从而不断更新安全主机地址集合、连接信息数目安全阈值、安全速率范围、攻击报文内容集合和比值阈值范围等,使得对DoS攻击和攻击源主机的确定能够更加准确。
为了提高定位DoS攻击的精准度,在确定主机为攻击源主机后,还可定位至发起DoS攻击的进程。可在主机中预先建立网络连接信息池,还可建立进程池。网络连接信息池中存储记录有该主机发送的网络数据包对应的网络连接信息,网络连接信息可包括本地IP地址、本地端口、远程IP地址、远程端口和进程标识符等。进程池可包括进程标识符、进程创建时间、进程创建用户以及进程所在路径等。在确定主机为攻击源主机之后,主机可查询与目标网络连接信息对应的进程标识符,关闭与进程标识符对应的进程。目标网络连接信息为攻击源主机发送的网络数据包携带的网络连接信息。
具体的,攻击源主机可解析发出的网络数据包,得到网络数据包中的本地IP地址、本地端口、远程IP地址和远程端口。利用主机中网络连接信息池中的网络连接信息与网络数据包中的网络连接信息进行匹配,从而得到与网络数据包中的网络连接信息对应的进程标识符。根据进程标识符,可定位发起DoS攻击的进程。将DoS攻击进程关闭,具体可采用中断进程或隔离进程等方法,在此并不限定。关闭DoS攻击进程,即可终止DoS攻击行为,攻击源主机中的其他进程仍然可正常进行。从而避免了将整个主机下线隔离而造成的合法任务的终端形成的损失,减小了主机资源的浪费,提高了资源利用率。
在一个示例中,可统计每一远程IP地址对应的网络连接信息的条数。远程IP地址对应的网络连接信息,指包括该远程IP地址的网络连接信息。攻击源主机发送的网络数据包包括远程IP地址。针对远程IP地址,检测该远程IP地址对应的网络连接信息的数目是否超出网络连接信息条数安全阈值。若该远程IP地址对应的网络连接信息的数目超出网络连接信息条数安全阈值,则可确定该远程IP地址为被攻击IP地址。网络连接信息条数安全阈值为主机在正常安全工作状态下,与该远程IP地址通信的网络连接信息的最大条数,具体可通过实验或经验得到,在此并不限定。不同远程IP地址检测所使用的网络连接信息条数安全阈值可以相同,也可以不同,在此并不限定。
利用对单个远程IP地址对应的网络连接信息数目的统计,以及与单个远程IP地址对应的网络连接信息条数安全阈值的比较,确定是否对远程IP地址进行了DoS攻击,从而可准确得到主机对外发起DoS攻击的受害IP地址。
图3为本申请实施例中一种网络攻击的检测功能在主机实现的单元结构图。如图5所示,在主机中网络攻击的检测功能具体可由DoS攻击检测管理单元31、DoS攻击检测分析单元32、网络连接信息池33和进程池34实现。
其中,DoS攻击检测管理单元31是控制中心,负责对其他功能单元的控制和信息交互,同时负责将获取的DoS攻击信息对主机系统进行上报告警,以使用户可快速进行反应。
DoS攻击检测分析单元32负责接收DoS攻击检测管理单元31传送的主机的各项数据,比如,发送的网络数据包中的报文携带的主机地址、网络连接信息的条数、网络数据包的发送速率、网络数据包中的报文的内容、不同传输协议下的网络数据包的数目等。并对各项数据进行检测分析,并向DoS攻击检测管理单元反馈分析结果。
网络连接信息池33和进程池34的说明可参见上述实施例的相关内容,在此不再赘述。
图4为本申请一实施例中网络攻击的检测装置400的结构示意图。如图4所示,网络攻击的检测装置400可包括查询模块401、判断模块402和确定模块403。
查询模块401,用于查询主机发送的网络数据包中报文携带的主机地址。
判断模块402,用于判断主机地址是否属于预设的安全主机地址集合。
确定模块403,用于当主机地址不属于预设的安全主机地址集合,确定发送网络数据包的主机为攻击源主机。
在一个示例中,主机地址包括物理地址和网络协议地址。预设的安全主机地址集合包括主机的每个网卡的物理地址和与网卡的物理地址对应的网络协议地址;或者,预设的安全主机地址集合包括主机的每个网卡的物理地址和与网卡的物理地址对应的网络协议地址,以及用户设置的物理地址和与用户设置的物理地址对应的网络协议地址。
其中,查询模块401、判断模块402和确定模块403的具体功能说明可参照上述实施例中步骤S201至步骤S203的相关内容,在此不再赘述。
在本申请实施例中,将DoS攻击的检测功能设置于主机中,由主机查询主机自身发送的网络数据包中报文携带的主机地址,并判断报文的主机地址是否属于预设的安全主机地址集合,若主机判定自身发送的网络数据包中报文携带的主机地址不属于安全主机地址集合,则表明主机发送网络数据包的行为出现异常,伪造了主机地址。主机可判断自身已经成为攻击源主机。从而在伪造主机地址的条件下,依然可溯源定位攻击源主机,便于后续从源头上阻止DoS攻击,降低网络安全风险。
为了进一步提高检测DoS攻击和确定攻击源主机的准确性,还可在网络攻击的检测装置400中设置其他功能模块。图5为本申请另一实施例中网络攻击的检测装置400的结构示意图。如图5所示,网络攻击的检测装置400还可包括第一统计模块404、进程查询模块405、进程关闭模块406和第二统计模块407。
上述判断模块402,还可用于检测主机发送的网络数据包对应的通信信息是否符合预设规则。
在一个示例中,主机发送的网络数据包对应的通信信息包括网络数据包的通信连接参数。上述判断模块402还可具体用于:检测通信连接参数是否超出预设的安全参数范围;若通信连接参数超出预设的安全参数范围,则确定主机发送的网络数据包对应的通信信息不符合预设规则。例如,述通信连接参数包括网络连接信息的条数,安全参数范围包括连接信息数目安全阈值,一条网络连接信息包括一个本地网络协议IP地址、一个本地端口、一个远程IP地址和一个远程端口。又例如,通信连接参数包括网络数据包的发送速率,安全参数范围包括安全速率范围。
在另一个示例中,通信信息包括网络数据包中的报文的内容。上述判断模块402还可具体用于:检测主机发送的网络数据包中报文的内容是否属于预设的攻击报文内容集合,攻击报文内容集合包括至少一种拒绝服务网络攻击类型的报文的内容模板;若主机发送的网络数据包中报文的内容属于预设的攻击报文内容集合,则主机发送的网络数据包对应的通信信息不符合预设规则。
上述查询模块401,还可用于当主机发送的网络数据包对应的通信信息不符合预设规则,查询主机发送的网络数据包中报文携带的主机地址。
第一统计模块404,用于统计在第一预设时长内主机在同一传输协议下发送不同功能类别的网络数据包的数目的比值。
其中,第一预设时长起始于上一次统计之后。
上述查询模块401,还用于检测比值是否超出比值阈值范围,若确定比值超出比值阈值范围,则查询主机发送的网络数据包中报文携带的主机地址。
在一个示例中,上述实施例中的确定模块403可具体用于:若主机地址不属于预设的安全主机地址集合,检测主机发送的网络数据包中报文的内容是否与预设的攻击报文内容集合匹配,攻击报文内容集合包括至少一种拒绝服务网络攻击类型的报文的内容模板;若确定主机发送的网络数据包中报文的内容与预设的攻击报文内容集合匹配,则确定发送网络数据包的主机为攻击源主机。
在另一个示例中,上述实施例中的确定模块403也可具体用于:若主机地址不属于预设的安全主机地址集合,统计在第二预设时长内主机在同一传输协议下发送不同功能类别的网络数据包的数目的比值,第二预设时长起始于上一次统计之后;检测比值是否超出比值阈值范围;若确定比值超出比值阈值范围,则确定发送网络数据包的主机为攻击源主机。
进程查询模块405,用于查询与目标网络连接信息对应的进程标识符。
其中,目标网络连接信息为攻击源主机发送的网络数据包携带的网络连接信息。
进程关闭模块406,用于关闭与进程标识符对应的进程。
第二统计模块407,用于统计每一远程IP地址对应的网络连接信息的条数。
其中,攻击源主机发送的网络数据包包括远程IP地址。
上述确定模块403,还用于针对远程IP地址,检测远程IP地址对应的网络连接信息的条数是否超出网络连接信息条数安全阈值,若远程IP地址对应的网络连接信息的条数超出网络连接信息条数安全阈值,确定远程IP为被攻击IP地址。
上述查询模块401、判断模块402、确定模块403、第一统计模块404、进程查询模块405、进程关闭模块406和第二统计模块407的具体功能和有益效果说明可参见上述实施例中步骤S201至步骤S203的相关细节说明内容,在此不再赘述。
结合图1至图5描述的根据本申请实施例的网络攻击的检测方法和装置可以由主机500来实现。图6为本申请一实施例中的一种主机500的硬件结构示意图。
主机500包括存储器501、处理器502及存储在存储器501上并可在处理器502上运行的计算机程序。
在一个示例中,上述处理器502可以包括中央处理器(CPU),或者特定集成电路(ASIC),或者可以被配置成实施本申请实施例的一个或多个集成电路。
存储器501可以包括用于数据或指令的大容量存储器。举例来说而非限制,存储器501可包括HDD、软盘驱动器、闪存、光盘、磁光盘、磁带或通用串行总线(USB)驱动器或者两个或更多个以上这些的组合。在合适的情况下,存储器501可包括可移除或不可移除(或固定)的介质。在合适的情况下,存储器501可在主机500的内部或外部。在特定实施例中,存储器501是非易失性固态存储器。在特定实施例中,存储器501包括只读存储器(ROM)。在合适的情况下,该ROM可以是掩模编程的ROM、可编程ROM(PROM)、可擦除PROM(EPROM)、电可擦除PROM(EEPROM)、电可改写ROM(EAROM)或闪存或者两个或更多个以上这些的组合。
处理器502通过读取存储器501中存储的可执行程序代码来运行与可执行程序代码对应的程序,以用于执行上述各个实施例中的网络攻击的检测方法。
在一个示例中,主机500还可包括通信接口503和总线504。其中,如图6所示,存储器501、处理器502、通信接口503通过总线504连接并完成相互间的通信。
通信接口503,主要用于实现本申请实施例中各模块、装置、单元和/或设备之间的通信。也可通信接口503接入输入设备和/或输出设备。
总线504包括硬件、软件或两者,将主机500的部件彼此耦接在一起。举例来说而非限制,总线504可包括加速图形端口(AGP)或其他图形总线、增强工业标准架构(EISA)总线、前端总线(FSB)、超传输(HT)互连、工业标准架构(ISA)总线、无限带宽互连、低引脚数(LPC)总线、存储器总线、微信道架构(MCA)总线、外围组件互连(PCI)总线、PCI-Express(PCI-X)总线、串行高级技术附件(SATA)总线、视频电子标准协会局部(VLB)总线或其他合适的总线或者两个或更多个以上这些的组合。在合适的情况下,总线504可包括一个或多个总线。尽管本申请实施例描述和示出了特定的总线,但本申请考虑任何合适的总线或互连。
本申请另一实施例还提供了一种主机,该主机包括接口和上述实施例中的网络攻击的检测装置400。其中,接口用于发送网络数据包,网络攻击的检测装置400用于根据网络数据包中报文携带的主机地址,判断主机地址是否属于预设的安全主机地址集合,如果主机地址不属于预设的安全主机地址集合,确定发送网络数据包的主机为攻击源主机。
本申请一实施例还提供一种存储介质,该存储介质上存储有程序,该程序被处理器执行时可实现上述各个实施例中的网络攻击的检测方法。
本说明书的各个部分均采用递进的方式进行描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点介绍的都是与其他实施例不同之处。尤其,对于装置实施例、主机实施例和存储介质实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例部分的说明即可。
以上,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以权利要求的保护范围为准。

Claims (25)

1.一种网络攻击的检测方法,其特征在于,应用于主机,所述方法包括:
查询所述主机发送的网络数据包中报文携带的主机地址;
判断所述主机地址是否属于预设的安全主机地址集合;
若所述主机地址不属于所述预设的安全主机地址集合,则确定发送所述网络数据包的所述主机为攻击源主机;
其中,所述主机地址包括物理地址和网络协议地址;
所述预设的安全主机地址集合包括所述主机的每个网卡的物理地址和与所述网卡的物理地址对应的网络协议地址;或者,所述预设的安全主机地址集合包括所述主机的每个网卡的物理地址和与所述网卡的物理地址对应的网络协议地址,以及用户设置的物理地址和与用户设置的物理地址对应的网络协议地址。
2.根据权利要求1所述的方法,其特征在于,所述查询所述主机发送的网络数据包中报文携带的主机地址之前,还包括:
检测所述主机发送的网络数据包对应的通信信息是否符合预设规则;
若所述主机发送的网络数据包对应的通信信息不符合预设规则,查询所述主机发送的网络数据包中报文携带的主机地址。
3.根据权利要求2所述的方法,其特征在于,所述主机发送的网络数据包对应的通信信息包括所述网络数据包的通信连接参数;
所述检测所述主机发送的网络数据包对应的通信信息是否符合预设规则,包括:
检测所述通信连接参数是否超出预设的安全参数范围;
若所述通信连接参数超出所述预设的安全参数范围,则确定所述主机发送的网络数据包对应的通信信息不符合所述预设规则。
4.根据权利要求3所述的方法,其特征在于,所述通信连接参数包括网络连接信息的条数,所述安全参数范围包括连接信息数目安全阈值,一条所述网络连接信息包括一个本地网络协议IP地址、一个本地端口、一个远程IP地址和一个远程端口。
5.根据权利要求3所述的方法,其特征在于,所述通信连接参数包括所述网络数据包的发送速率,所述安全参数范围包括安全速率范围。
6.根据权利要求2所述的方法,其特征在于,所述通信信息包括所述网络数据包中的报文的内容,所述检测所述主机发送的网络数据包对应的通信信息是否符合预设规则,包括:
检测所述主机发送的网络数据包中报文的内容是否属于预设的攻击报文内容集合,所述攻击报文内容集合包括至少一种拒绝服务网络攻击类型的报文的内容模板;
若所述主机发送的网络数据包中报文的内容属于所述预设的攻击报文内容集合,则所述主机发送的网络数据包对应的通信信息不符合预设规则。
7.根据权利要求1-6任一所述的方法,其特征在于,所述查询所述主机发送的网络数据包中报文携带的主机地址之前,还包括:
统计在第一预设时长内主机在同一传输协议下发送不同功能类别的网络数据包的数目的比值,所述第一预设时长起始于上一次统计之后;
检测所述比值是否超出比值阈值范围,若确定所述比值超出所述比值阈值范围,则查询所述主机发送的网络数据包中报文携带的主机地址。
8.根据权利要求1至6中任意一项所述的方法,其特征在于,若所述主机地址不属于所述预设的安全主机地址集合,确定发送所述网络数据包的所述主机为攻击源主机,包括:
若所述主机地址不属于所述预设的安全主机地址集合,检测所述主机发送的网络数据包中报文的内容是否与预设的攻击报文内容集合匹配,所述攻击报文内容集合包括至少一种拒绝服务网络攻击类型的报文的内容模板;
若确定所述主机发送的网络数据包中报文的内容与预设的攻击报文内容集合匹配,则确定发送所述网络数据包的所述主机为攻击源主机。
9.根据权利要求1至6中任意一项所述的方法,其特征在于,若所述主机地址不属于所述预设的安全主机地址集合,确定发送所述网络数据包的所述主机为攻击源主机,包括:
若所述主机地址不属于所述预设的安全主机地址集合,统计在第二预设时长内主机在同一传输协议下发送不同功能类别的网络数据包的数目的比值,所述第二预设时长起始于上一次统计之后;
检测所述比值是否超出比值阈值范围;
若确定所述比值超出所述比值阈值范围,则确定发送所述网络数据包的所述主机为攻击源主机。
10.根据权利要求1至6中任意一项所述的方法,其特征在于,在所述确定发送所述网络数据包的所述主机为攻击源主机之后,还包括:
查询与目标网络连接信息对应的进程标识符,所述目标网络连接信息为所述攻击源主机发送的网络数据包携带的网络连接信息;
关闭与所述进程标识符对应的进程。
11.根据权利要求1至6中任意一项所述的方法,其特征在于,在所述确定发送所述网络数据包的所述主机为攻击源主机之后,还包括:
统计每一远程IP地址对应的网络连接信息的条数,所述攻击源主机发送的网络数据包包括所述远程IP地址;
针对所述远程IP地址,检测所述远程IP地址对应的网络连接信息的条数是否超出网络连接信息条数安全阈值;
若所述远程IP地址对应的网络连接信息的条数超出网络连接信息条数安全阈值,则确定所述远程IP为被攻击IP地址。
12.一种网络攻击的检测装置,其特征在于,包括:
查询模块,用于查询主机发送的网络数据包中报文携带的主机地址;
判断模块,用于判断所述主机地址是否属于预设的安全主机地址集合;
确定模块,用于当所述主机地址不属于所述预设的安全主机地址集合,确定发送所述网络数据包的所述主机为攻击源主机;
其中,所述主机地址包括物理地址和网络协议地址;
所述预设的安全主机地址集合包括所述主机的每个网卡的物理地址和与所述网卡的物理地址对应的网络协议地址;或者,所述预设的安全主机地址集合包括所述主机的每个网卡的物理地址和与所述网卡的物理地址对应的网络协议地址,以及用户设置的物理地址和与用户设置的物理地址对应的网络协议地址。
13.根据权利要求12所述的装置,其特征在于,
所述判断模块,还用于检测所述主机发送的网络数据包对应的通信信息是否符合预设规则;
所述查询模块,还用于当所述主机发送的网络数据包对应的通信信息不符合预设规则,查询所述主机发送的网络数据包中报文携带的主机地址。
14.根据权利要求13所述的装置,其特征在于,所述主机发送的网络数据包对应的通信信息包括所述网络数据包的通信连接参数;所述判断模块还用于:
检测所述通信连接参数是否超出预设的安全参数范围;
若所述通信连接参数超出所述预设的安全参数范围,则确定所述主机发送的网络数据包对应的通信信息不符合所述预设规则。
15.根据权利要求14所述的装置,其特征在于,所述通信连接参数包括网络连接信息的条数,所述安全参数范围包括连接信息数目安全阈值,一条所述网络连接信息包括一个本地网络协议IP地址、一个本地端口、一个远程IP地址和一个远程端口。
16.根据权利要求14所述的装置,其特征在于,所述通信连接参数包括所述网络数据包的发送速率,所述安全参数范围包括安全速率范围。
17.根据权利要求13所述的装置,其特征在于,所述通信信息包括所述网络数据包中的报文的内容;所述判断模块还用于:
检测所述主机发送的网络数据包中报文的内容是否属于预设的攻击报文内容集合,所述攻击报文内容集合包括至少一种拒绝服务网络攻击类型的报文的内容模板;
若所述主机发送的网络数据包中报文的内容属于所述预设的攻击报文内容集合,则所述主机发送的网络数据包对应的通信信息不符合预设规则。
18.根据权利要求12-17任一所述的装置,其特征在于,还包括:
第一统计模块,用于统计在第一预设时长内主机在同一传输协议下发送不同功能类别的网络数据包的数目的比值,所述第一预设时长起始于上一次统计之后;
所述查询模块,还用于检测所述比值是否超出比值阈值范围,若确定所述比值超出所述比值阈值范围,则查询所述主机发送的网络数据包中报文携带的主机地址。
19.根据权利要求12至17中任意一项所述的装置,其特征在于,所述确定模块还用于:
若所述主机地址不属于所述预设的安全主机地址集合,检测所述主机发送的网络数据包中报文的内容是否与预设的攻击报文内容集合匹配,所述攻击报文内容集合包括至少一种拒绝服务网络攻击类型的报文的内容模板;
若确定所述主机发送的网络数据包中报文的内容与预设的攻击报文内容集合匹配,则确定发送所述网络数据包的所述主机为攻击源主机。
20.根据权利要求12至17中任意一项所述的装置,其特征在于,所述确定模块还用于:
若所述主机地址不属于所述预设的安全主机地址集合,统计在第二预设时长内主机在同一传输协议下发送不同功能类别的网络数据包的数目的比值,所述第二预设时长起始于上一次统计之后;
检测所述比值是否超出比值阈值范围;
若确定所述比值超出所述比值阈值范围,则确定发送所述网络数据包的所述主机为攻击源主机。
21.根据权利要求12至17中任意一项所述的装置,其特征在于,还包括:
进程查询模块,用于在所述确定模块确定发送所述网络数据包的所述主机为攻击源主机后,查询与目标网络连接信息对应的进程标识符,所述目标网络连接信息为所述攻击源主机发送的网络数据包携带的网络连接信息;
进程关闭模块,用于关闭与所述进程标识符对应的进程。
22.根据权利要求12至17中任意一项所述的装置,其特征在于,还包括:
第二统计模块,用于在所述确定模块确定发送所述网络数据包的所述主机为攻击源主机后,统计每一远程IP地址对应的网络连接信息的条数,所述攻击源主机发送的网络数据包包括所述远程IP地址;
所述确定模块,还用于针对所述远程IP地址,检测所述远程IP地址对应的网络连接信息的条数是否超出网络连接信息条数安全阈值,若所述远程IP地址对应的网络连接信息的条数超出网络连接信息条数安全阈值,确定所述远程IP为被攻击IP地址。
23.一种主机,其特征在于,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的程序,所述处理器执行所述程序时实现如权利要求1至11中任意一项所述的网络攻击的检测方法。
24.一种主机,其特征在于,包括接口和如权利要求12-22任一所述的网络攻击的检测装置,所述接口用于发送网络数据包,所述网络攻击的检测装置用于根据所述网络数据包中报文携带的主机地址,判断所述主机地址是否属于预设的安全主机地址集合,如果所述主机地址不属于所述预设的安全主机地址集合,确定发送所述网络数据包的所述主机为攻击源主机。
25.一种存储介质,其特征在于,其上存储有程序,所述程序被处理器执行时实现如权利要求1至11中任意一项所述的网络攻击的检测方法。
CN201810100799.XA 2018-02-01 2018-02-01 网络攻击的检测方法、装置、主机及存储介质 Active CN110113290B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810100799.XA CN110113290B (zh) 2018-02-01 2018-02-01 网络攻击的检测方法、装置、主机及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810100799.XA CN110113290B (zh) 2018-02-01 2018-02-01 网络攻击的检测方法、装置、主机及存储介质

Publications (2)

Publication Number Publication Date
CN110113290A CN110113290A (zh) 2019-08-09
CN110113290B true CN110113290B (zh) 2021-01-05

Family

ID=67483218

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810100799.XA Active CN110113290B (zh) 2018-02-01 2018-02-01 网络攻击的检测方法、装置、主机及存储介质

Country Status (1)

Country Link
CN (1) CN110113290B (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112751815B (zh) * 2019-10-31 2021-11-19 华为技术有限公司 报文处理方法、装置、设备及计算机可读存储介质
CN111107069A (zh) * 2019-12-09 2020-05-05 烽火通信科技股份有限公司 一种DoS攻击防护方法及装置
CN113301043B (zh) * 2021-05-24 2021-11-23 珠海市鸿瑞信息技术股份有限公司 基于5g工业物联网网络安全终端
CN117729055A (zh) * 2024-02-08 2024-03-19 中汽智联技术有限公司 一种基于Linux进程的网络流量统计的方法和系统

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101656634A (zh) * 2008-12-31 2010-02-24 暨南大学 基于IPv6网络环境的入侵检测系统及方法
CN105262738A (zh) * 2015-09-24 2016-01-20 上海斐讯数据通信技术有限公司 一种路由器及其防arp攻击的方法
CN106878320A (zh) * 2017-03-09 2017-06-20 郑州云海信息技术有限公司 一种防止ip地址欺骗的方法和装置

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101656634A (zh) * 2008-12-31 2010-02-24 暨南大学 基于IPv6网络环境的入侵检测系统及方法
CN101656634B (zh) * 2008-12-31 2012-06-06 暨南大学 基于IPv6网络环境的入侵检测方法
CN105262738A (zh) * 2015-09-24 2016-01-20 上海斐讯数据通信技术有限公司 一种路由器及其防arp攻击的方法
CN106878320A (zh) * 2017-03-09 2017-06-20 郑州云海信息技术有限公司 一种防止ip地址欺骗的方法和装置

Also Published As

Publication number Publication date
CN110113290A (zh) 2019-08-09

Similar Documents

Publication Publication Date Title
CN110445770B (zh) 网络攻击源定位及防护方法、电子设备及计算机存储介质
CN110113290B (zh) 网络攻击的检测方法、装置、主机及存储介质
CN109194680B (zh) 一种网络攻击识别方法、装置及设备
WO2021151300A1 (zh) 网络攻击的安全处理方法、装置、计算机设备及介质
US8634717B2 (en) DDoS attack detection and defense apparatus and method using packet data
US7440406B2 (en) Apparatus for displaying network status
US20140325648A1 (en) Attack Defense Method and Device
WO2021139643A1 (zh) 加密攻击网络流量检测方法,其装置及电子设备
CN111131310B (zh) 访问控制方法、装置、系统、计算机设备和存储介质
CN112468488A (zh) 工业异常监测方法、装置、计算机设备及可读存储介质
CN110839017B (zh) 代理ip地址识别方法、装置、电子设备及存储介质
CN110784464B (zh) 泛洪攻击的客户端验证方法、装置、系统及电子设备
JP7388613B2 (ja) パケット処理方法及び装置、デバイス、並びに、コンピュータ可読ストレージ媒体
JP2019021294A (ja) DDoS攻撃判定システムおよび方法
CN107204965B (zh) 一种密码破解行为的拦截方法及系统
CN111970261B (zh) 网络攻击的识别方法、装置及设备
US10834125B2 (en) Method for defending against attack, defense device, and computer readable storage medium
CN111565203B (zh) 业务请求的防护方法、装置、系统和计算机设备
CN111541670A (zh) 一种新型动态蜜罐系统
US20220263846A1 (en) METHODS FOR DETECTING A CYBERATTACK ON AN ELECTRONIC DEVICE, METHOD FOR OBTAINING A SUPERVISED RANDOM FOREST MODEL FOR DETECTING A DDoS ATTACK OR A BRUTE FORCE ATTACK, AND ELECTRONIC DEVICE CONFIGURED TO DETECT A CYBERATTACK ON ITSELF
JP2004140524A (ja) DoS攻撃検知方法、DoS攻撃検知装置及びプログラム
CN113765849B (zh) 一种异常网络流量检测方法和装置
CN109413021B (zh) 一种ips误报的检测方法和装置
CN113938312B (zh) 一种暴力破解流量的检测方法及装置
CN113328976B (zh) 一种安全威胁事件识别方法、装置及设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20220209

Address after: 550025 Huawei cloud data center, jiaoxinggong Road, Qianzhong Avenue, Gui'an New District, Guiyang City, Guizhou Province

Patentee after: Huawei Cloud Computing Technology Co.,Ltd.

Address before: 518129 Bantian HUAWEI headquarters office building, Longgang District, Guangdong, Shenzhen

Patentee before: HUAWEI TECHNOLOGIES Co.,Ltd.