CN110198294B - 安全攻击检测方法及装置 - Google Patents
安全攻击检测方法及装置 Download PDFInfo
- Publication number
- CN110198294B CN110198294B CN201810321140.7A CN201810321140A CN110198294B CN 110198294 B CN110198294 B CN 110198294B CN 201810321140 A CN201810321140 A CN 201810321140A CN 110198294 B CN110198294 B CN 110198294B
- Authority
- CN
- China
- Prior art keywords
- service provider
- flow
- security attack
- traffic
- requester
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及了一种安全攻击检测方法及装置,所述安全攻击检测方法包括:获取请求方的入流量;根据固定窗长的滑动窗口对所述请求方的入流量进行滑动控制,得到固定窗长的待检测流量;由所述待检测流量提取得到服务提供方的流量特征,所述服务提供方与所述请求方之间存在网络连接;将所述服务提供方的流量特征与所述服务提供方所对应的动态基线阈值进行比对,得到比对结果;根据所述比对结果判断所述服务提供方是否受到安全攻击。采用本发明所提供的安全攻击检测方法及装置解决了现有技术中安全攻击检测无法兼顾检测速率和检测精准度的问题。
Description
技术领域
本发明涉及计算机技术领域,尤其涉及一种安全攻击检测方法及装置。
背景技术
DDOS是英文Distributed Denial of Service的缩写,意为“分布式拒绝服务”。DDOS的精髓是:以分布式的客户端作为请求方,向服务提供方发起大量看似合法的服务请求,消耗或者长期占用服务提供方的大量资源,从而达到服务提供方拒绝提供服务的目的。
目前,针对DDOS攻击的安全攻击检测方法主要分为两种:第一种方法基于NetFlow技术,第二种方法基于DPI技术。然而,第一种方法受限于流量采样方式而使得小流量攻击检测难以察觉,无法保证检测精准度;第二种方法虽然能够完全还原攻击流量,但是对安全攻击检测装置的设备性能要求较高,仍然无法兼顾检测速率和检测精准度。
由上可知,如何保证安全攻击检测兼顾检测速率和检测精准度仍亟待解决。
发明内容
为了解决上述技术问题,本发明的一个目的在于提供一种安全攻击检测方法及装置。
其中,本发明所采用的技术方案为:
一种安全攻击检测方法,包括:获取请求方的入流量;根据固定窗长的滑动窗口对所述请求方的入流量进行滑动控制,得到固定窗长的待检测流量;由所述待检测流量提取得到服务提供方的流量特征,所述服务提供方与所述请求方之间存在网络连接;将所述服务提供方的流量特征与所述服务提供方所对应的动态基线阈值进行比对,得到比对结果;根据所述比对结果判断所述服务提供方是否受到安全攻击。
一种安全攻击检测装置,包括:流量获取模块,用于获取请求方的入流量;滑动控制模块,用于根据固定窗长的滑动窗口对所述请求方的入流量进行滑动控制,得到固定窗长的待检测流量;特征提取模块,用于由所述待检测流量提取得到服务提供方的流量特征,所述服务提供方与所述请求方之间存在网络连接;特征比对模块,用于将所述服务提供方的流量特征与所述服务提供方所对应的动态基线阈值进行比对,得到比对结果;判断模块,用于根据所述比对结果判断所述服务提供方是否受到安全攻击。
一种安全攻击检测装置,包括处理器及存储器,所述存储器上存储有计算机可读指令,所述计算机可读指令被所述处理器执行时实现如上所述的安全攻击检测方法。
一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现如上所述的安全攻击检测方法。
在上述技术方案中,通过获取请求方的入流量,以根据固定窗长的滑动窗口对请求方的入流量进行滑动控制,得到固定窗长的检测流量,进而由待检测流量提取得到与请求方之间存在网络连接的服务提供方的流量特征,并将服务提供方的流量特征与服务提供方所对应的动态基线阈值进行比对,得到比对结果,最终根据比对结果判断服务提供方是否受到安全攻击,由此,在安全攻击检测中,不仅保证攻击流量按照滑动窗口的固定窗长还原,不失检测精准度,而且随着滑动窗口的滑动,有效地提高了检测速率,从而解决了现有技术中安全攻击检测无法兼顾检测速率和检测精准度的问题。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本发明。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本发明的实施例,并于说明书一起用于解释本发明的原理。
图1是根据本发明所涉及的实施环境的示意图。
图2是根据一示例性实施例示出的一种安全攻击检测装置的硬件结构框图。
图3是根据一示例性实施例示出的一种安全攻击检测方法的流程图。
图4是图3对应实施例中滑动窗口在请求方的入流量中滑动的示意图。
图5是图3对应实施例中步骤310在一个实施例的流程图。
图6是图3对应实施例中步骤330在一个实施例的流程图。
图7是图3对应实施例中步骤350在一个实施例的流程图。
图8是根据一示例性实施例示出的另一种安全攻击检测方法的流程图。
图9是根据一示例性实施例示出的另一种安全攻击检测方法的流程图。
图10是一应用场景中一种安全攻击检测方法的系统架构图。
图11是一应用场景中一种安全攻击检测方法的具体实现示意图。
图12是根据一示例性实施例示出的一种安全攻击检测装置的框图。
通过上述附图,已示出本发明明确的实施例,后文中将有更详细的描述,这些附图和文字描述并不是为了通过任何方式限制本发明构思的范围,而是通过参考特定实施例为本领域技术人员说明本发明的概念。
具体实施方式
这里将详细地对示例性实施例执行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本发明相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本发明的一些方面相一致的装置和方法的例子。
如前所述,针对DDOS攻击的安全攻击检测方法主要分为两种:第一种方法基于NetFlow技术,第二种方法基于DPI技术。
具体而言,第一种方法,采用流量采样的方式进行攻击流量还原,具有通用性好、部署简单、检测速率高等优点,但是流量采样仅涉及流量摘要信息,并不能够完全真实的还原攻击流量,使得小流量攻击检测难以察觉。此外,是否能够有效地检测DDOS攻击也取决于所采样的流量,容易造成DDOS攻击漏检,而无法保证检测精准度。
第二种方法,采集请求方的全部流量,使得攻击流量得以完全真实的还原,但是对安全攻击检测装置的设备性能要求较高,受制于设备性能,如果希望提升检测速率,则往往需要牺牲检测精准度。
由上可知,无论是基于NetFlow技术,还是基于DPI技术,现有的安全攻击检测方法仍无法兼顾检测速率和检测精准度。
为此,本发明特提出了一种基于滑动窗口的安全攻击检测方法,在提升检测速率的同时,还保证了检测精准度,相应地,与之匹配的安全攻击检测装置被部署在具备冯诺依曼体系架构的电子设备,例如,电子设备可以是计算机、服务器等,以实现安全攻击检测方法。
图1为一种安全攻击检测方法所涉及的实施环境的示意图。该实施环境包括请求方所在终端100、安全攻击检测装置200和服务提供方所在服务端300。
其中,终端100可以是台式电脑、笔记本电脑、平板电脑、智能手机或者其他任何能够向服务提供方发起服务请求的电子设备,在此不进行限定。
服务端300预先建立与终端100之间的无线或者有线网络连接,并通过网络连接接收终端100所发起的服务请求,进而响应服务请求为终端100提供服务。该服务端300可以是一台服务器,也可以是由多台服务器构成的服务器集群。
安全攻击检测装置200则针对终端100向服务端300所发起的服务请求进行安全攻击检测,以此保证服务端300能够正常的向终端100提供服务。安全攻击检测装置200可以部署于一台服务器,也可以分别部署在由多台服务器构成的服务器集群中。
图2是根据一示例性实施例示出的一种安全攻击检测装置的硬件结构框图。需要说明的是,该安全攻击检测装置只是一个适配于本发明的示例,不能认为是提供了对本发明的使用范围的任何限制。该安全攻击检测装置也不能解释为需要依赖于或者必须具有图2中示出的示例性的安全攻击检测装置200中的一个或者多个组件。
该安全攻击检测装置200的硬件结构可因配置或者性能的不同而产生较大的差异,如图2所示,安全攻击检测装置200包括:电源210、接口230、至少一存储器250、以及至少一中央处理器(CPU,Central Processing Units)270。
其中,电源210用于为安全攻击检测装置200上的各硬件设备提供工作电压。
接口230包括至少一有线或无线网络接口231、至少一串并转换接口233、至少一输入输出接口235以及至少一USB接口237等,用于与外部设备通信。
存储器250作为资源存储的载体,可以是只读存储器、随机存储器、磁盘或者光盘等,其上所存储的资源包括操作系统251、应用程序253及数据255等,存储方式可以是短暂存储或者永久存储。其中,操作系统251用于管理与控制安全攻击检测装置200上的各硬件设备以及应用程序253,以实现中央处理器270对海量数据255的计算与处理,其可以是Windows ServerTM、Mac OS XTM、UnixTM、LinuxTM、FreeBSDTM等。应用程序253是基于操作系统251之上完成至少一项特定工作的计算机程序,其可以包括至少一模块(图2中并未示出),每个模块都可以分别包含有对安全攻击检测装置200的一系列计算机可读指令。数据255可以是存储于磁盘中的照片、图片等。
中央处理器270可以包括一个或多个以上的处理器,并设置为通过总线与存储器250通信,用于运算与处理存储器250中的海量数据255。
如上面所详细描述的,适用本发明的安全攻击检测装置200将通过中央处理器270读取存储器250中存储的一系列计算机可读指令的形式来完成安全攻击检测方法。
此外,通过硬件电路或者硬件电路结合软件也能同样实现本发明,因此,实现本发明并不限于任何特定硬件电路、软件以及两者的组合。
请参阅图3,在一示例性实施例中,一种安全攻击检测方法适用于图1所示实施环境的安全攻击检测装置,该安全攻击检测装置的结构可以如图3所示。
该种安全攻击检测方法可以由安全攻击检测装置执行,可以包括以下步骤:
步骤310,获取请求方的入流量。
对于请求方而言,其能够向不同的服务提供方发起服务请求,以便能够享受由不同服务提供方所提供的服务。
对于提供服务的服务提供方而言,其所对应的请求方大都是海量的,其会不间断地接收到各请求方所发起的服务请求,进而响应服务请求而为海量请求方提供服务。
为此,对于执行安全攻击检测的服务端而言,请求方的入流量,指的是海量请求方向不同服务提供方所发起的服务请求。
步骤330,根据固定窗长的滑动窗口对请求方的入流量进行滑动控制,得到固定窗长的待检测流量。
应当理解,在对请求方的入流量执行安全攻击检测期间,请求方仍会继续向服务提供方发起服务请求,由此产生新的入流量。受制于设备性能,源源不断的入流量不可能一次即执行完成安全攻击检测。为此,本实施例中,配置了一固定窗长的滑动窗口,按照滑动窗口的固定窗长,对源源不断的入流量进行分割,形成若干固定窗长的待检测流量,以便于在有限的设备性能下完成对每一固定窗长的待检测流量的安全攻击检测。
应当说明的是,固定窗长,可以根据应用场景的实际需要灵活地调整,以此保证有限的设备性能下不失检测精准度。
同时,随着滑动窗口的滑动,检测速率实质是与滑动的滑动窗口有关,滑动窗口在请求方的入流量中的当前滑动位置与下一个滑动位置排列的越紧密,检测速率越高。
此外,对于请求方的入流量而言,滑动窗口在请求方的入流量中的当前滑动位置与下一个滑动位置排列的越紧密,检测次数就越多,即使是NetFlow技术,也将通过多次检测而降低误检测的概率,从而进一步充分地保证了检测精准度。
例如,如图4所示,在请求方的入流量401上,对于滑动窗口402而言,固定窗长为403,当前滑动位置为404,由此得到的待检测流量为405,下一个滑动位置为406,由此得到的待检测流量为407。
步骤350,由待检测流量提取得到服务提供方的流量特征,服务提供方与请求方之间存在网络连接。
如前所述,待检测流量,由请求方的入流量通过固定窗长的滑动窗口分割得到,实质上反映了部分请求方向不同服务提供方所发起的服务请求。
换而言之,待检测流量,被用于描述存在网络连接的请求方与服务提供方之间的传输状态,此传输状态被用于指示:服务请求来源于哪个请求方、服务请求的目的地是哪个服务提供方、服务请求所携带数据载荷是多少,服务请求所使用的网络协议栈规范等等。
基于此,获得待检测流量之后,便可以依照服务提供方维度进行分析,以此提取得到服务提供方的流量特征。
流量特征,是对服务提供方所接收服务请求而产生的流量的准确描述,应当理解,不同服务提供方接收到的服务请求数量将有所区别,由此产生的流量势必不同,则各自的流量特征也各不相同。
在此说明的是,对于流量特征而言,其所属服务提供方取决于待检测流量所描述传输状态中指示的服务提供方,即,如果待检测流量所描述传输状态中指示的服务提供方有多个,则提取得到的流量特征所属的服务提供方也相应存在多个,由此,后续进行的安全攻击检测都是针对每个服务提供方而言的。
步骤370,将服务提供方的流量特征与服务提供方所对应的动态基线阈值进行比对,得到比对结果。
基线阈值,被用于指示服务提供方在指定周期内接收到合法服务请求所产生的流量的范围。也可以理解为,动态基线阈值,反映了服务提供方在指定周期内未受到安全攻击时的正常流量。
其中,指定周期是根据应用场景的实际需求而设置的,例如,指定周期为一周,应当理解,随着时间的变化,服务提供方在不同指定周期内未受到安全攻击时的正常网路流量允许波动,因此,基线阈值也被称为动态基线阈值。
基于此,通过比对服务提供方的流量特征及其所对应的动态基线阈值,即可得到指示了服务提供方是否受到安全攻击的比对结果,进而通过比对结果的指示判断服务提供方是否受到安全攻击。
步骤390,根据比对结果判断服务提供方是否受到安全攻击。
如果服务提供方的流量特征超过其所对应的动态基线阈值,则比对结果指示服务提供方受到安全攻击,由此判定服务提供方受到安全攻击。
例如,服务提供方接收到大量非法服务请求,而导致大量资源消耗或者被长期占用,或者,服务提供方的上游链路在短时间内被海量数据阻塞,从而造成服务提供方的流量陡降,此时,服务提供方的流量特征超过其所对应的动态基线阈值,进而即可判定此服务提供方受到安全攻击。
通过如上所述的过程,实现了基于滑动窗口的安全攻击检测,在提升检测速率的同时,保证检测精准度不下降,从而充分地兼顾了检测速率和检测精准度。
请参阅图5,在一示例性实施例中,步骤310可以包括以下步骤:
步骤311,对请求方向服务提供方输出的流量进行镜像处理。
本实施例中,不同于NetFlow技术,而是基于DPI技术,采集请求方的全部流量,以此保证攻击流量得以完全真实的还原。
具体而言,通过镜像处理,将请求方向服务提供方输出的流量拷贝至执行安全攻击检测的安全攻击检测装置。
在安全攻击检测装置对此流量进行安全攻击检测期间,此流量仍将由请求方输出至服务提供方,即服务提供方将接收到请求方发起的服务请求,从而响应此服务请求而为请求方提供服务。也就是说,对于发起合法服务请求的请求方而言,安全攻击检测不会影响其所请求的服务,其对所发生的安全攻击检测是无感知的。
步骤313,按照请求方和服务提供方对镜像处理得到的流量进行分发,得到请求方的入流量。
可以理解,请求方向服务提供方输出的流量,实质是海量请求方向不同服务提供方所发起的服务请求,为此,对于执行安全攻击检测的安全攻击检测装置而言,将依据其CPU内核进行流量分发,以此保证各CPU内核实现负载均衡,进而提高安全攻击检测装置的处理效率,有利于提高安全攻击检测装置的检测速率。
具体地,按照请求方和服务提供方将流量分发至不同的CPU内核,得到在不同CPU内核中处理的请求方的入流量。
例如,来源于不同请求方的流量被分发至不同的CPU内核,目的地是不同服务提供方的流量也将分发至不同的CPU内核,而来源于同一请求方且目的地是同一服务提供方的流量则分发至同一CPU内核。
在上述实施例的作用下,为安全攻击检测的执行提供了无感知依据,进而即可实现对于请求方来说无感知的安全攻击检测。
此外,通过流量分发,充分保证了安全攻击检测装置的处理效率,进而有利于提高安全攻击检测装置的检测速率。
请参阅图6,在一示例性实施例中,步骤330可以包括以下步骤:
步骤331,通过滑动窗口对请求方的入流量进行数据包拆分处理,将滑动窗口中包含的数据包作为固定窗长的待检测流量。
步骤333,在待检测流量进行安全攻击检测完毕时,按照指定滑动距离滑动滑动窗口,根据滑动后滑动窗口中包含的数据包更新待检测流量。
应当理解,产生请求方入流量的服务请求,携带有数据载荷,而数据载荷则按照网络协议栈规范被封装成数据包格式。换而言之,请求方的入流量,是通过数据包格式进行表示的。
由此,对请求方的入流量所进行的滑动控制,指的是按照滑动窗口的固定窗长对若干数据包进行拆分,并按照指定滑动距离控制滑动窗口在若干数据包中滑动。
举例来说,如图4所示,对于请求方的入流量401而言,被表示为10个数据包,滑动窗口402的固定窗长403为5个数据包,而指定滑动距离408为2个数据包,由此,随着滑动窗口402的滑动,即可得到被表示为5个数据包的待检测流量405、407。
在此说明的是,在其他实施例中,固定窗长和指定滑动距离也可以通过数据包的传输时间形式进行表示,例如,固定窗长为10s,指定滑动距离为2s,其中,2s是每个数据包的传输时间。
通过上述过程,以滑动窗口作为安全攻击检测的基础,即固定窗长保证了足够的待检测流量参与安全攻击检测,降低误检测的概率,进而保证了检测精准度,并且指定滑动距离小于固定窗长,即使受制于设备性能,也能够有效地提升检测速率。
请参阅图7,在一示例性实施例中,步骤350可以包括以下步骤:
步骤351,遍历待检测流量中的数据包。
步骤353,从遍历到的数据包中提取得到数据包信息,数据包信息包括用于标识服务提供方的目的IP。
如前所述,服务请求中携带的数据载荷,将按照网络协议栈规范被封装成数据包格式。
由此,按照网络协议栈规范对遍历到的数据包进行解析,便可相应提取出数据包信息。此数据包信息对应于数据包,此数据包信息包括但不限于:用于标识请求方的源IP、用于标识服务提供方的目的IP、数据包包长、网络协议栈规范等等。
步骤355,按照目的IP对待检测流量中数据包的数据包信息进行聚合统计,得到目的IP所标识服务提供方的流量特征。
如前所述,安全攻击检测是针对服务提供方而言的,为此,流量特征的提取是基于服务提供方维度的。
具体地,针对待检测流量中的数据包,按照对应数据包信息中的目的IP,对数据包信息进行聚合统计,即可确定目的IP所标识服务提供方的流量特征。
例如,假设,数据包A,所对应数据包信息中的目的IP为A1;数据包B,所对应数据包信息中的目的IP为B1;数据包C,所对应数据包信息中的目的IP为A1。
则,针对目的IP A1,将数据包A所对应数据包信息中的数据包包长与数据包C所对应数据包信息中的数据包包长进行累加,即得到目的IP A1所标识服务提供方的流量。
针对目的IP B1,数据包B所对应数据包信息中的数据包包长,即为目的IP B1所标识服务提供方的流量。
在上述过程中,实现了对攻击流量的真实还原,进而保证了安全攻击检测的精准度。
请参阅图8,在一示例性实施例中,步骤370之前,如上所述的方法还可以包括以下步骤:
步骤410,获取服务提供方在指定周期内上报的流量。
可以理解,如果服务提供方在指定周期内受到安全攻击检测,则在此期间所产生的流量是由大量非法服务请求导致的,并不能够真实地反映服务提供方在指定周期内的服务状况。
因此,指定周期内上报的流量,是指服务提供方在指定周期内未受到安全攻击检测时的正常流量,即由服务提供方在指定周期内接收到合法服务请求所产生的流量。
步骤430,根据获取到的流量为服务提供方计算动态基线阈值。
步骤450,进行服务提供方与计算的动态基线阈值之间的关联存储。
关联存储,实质上是建立服务提供方与动态基线阈值之间的对应关系,以便于安全攻击检测中为流量特征提供比对依据。
在此应当说明的是,服务提供方是以标识的形式被唯一地表示,进而实现与动态基线阈值关联存储。例如,通过目的IP作为标识来唯一地表示服务提供方。
通过上述实施例的配合,实现了服务提供方与动态基线阈值之间的对应,进而为流量特征的比对提供依据,以利于后续实现安全攻击检测。
请参阅图9,在一示例性实施例中,步骤390之后,如上所述的方法还可以包括以下步骤:
步骤510,如果比对结果指示服务提供方受到安全攻击,则生成告警信息。
步骤530,向服务提供方发送告警信息,以通过告警信息提示服务提供方进行安全攻击防御。
也就是说,告警信息,用于指示服务提供方受到安全攻击。
由此,对于服务提供方而言,在接收到告警信息之后,即可相应地采取措施进行安全攻击防御,以此避免大量资源被非法的服务请求消耗或者长期占用,进而方能够为发起合法服务请求的请求方提供服务。
图10~图11是一应用场景中一种安全攻击检测方法的具体实现示意图。
该应用场景中,如图10所示,以分布式客户端601作为请求方,服务器602作为服务提供方,核心交换机603在分布式客户端601与服务器602之间建立了网络连接,以使服务器602为发起服务请求的分布式客户端601提供服务。
进一步地,分布式客户端601向服务器602输出的流量,在进入核心交换机603之前,将通过分光器进行镜像处理,并由分光交换机604进行分发,以便于安全攻击检测装置600对此流量执行安全攻击检测。
具体而言,结合图11进行说明,由解包模块605接收经分发的流量,并按照网络协议栈规范进行逐包解析,并从中提取对应的数据包信息,即执行步骤701~步骤703。
按照滑动窗口的固定窗长(Ns)将数据包信息发送至汇总模块606进行聚合统计,随着滑动窗口按照指定滑动距离(Ms),得到服务提供方维度的流量特征,即执行步骤704~步骤705。
通过告警模块607进行流量特征与动态基线阈值之间的比对,并根据比对结果判断服务提供方是否受到安全攻击,进而在服务提供方受到安全攻击时,向服务提供方发出告警,即执行步骤706。
由此,对于服务提供方而言,便能够及时地进行安全攻击防御,避免无法响应请求方所发起的合法服务请求,进而无法为请求方提供服务。
在本应用场景中,支持告警输出时间小于汇总统计时间,即M<N,能够有效地提升检测速率,同时保持较大的汇总统计时间,进而避免因汇总统计时间过小而导致误检测概率上升的问题。
下述为本发明装置实施例,可以用于执行本发明所涉及的安全攻击检测方法。对于本发明装置实施例中未披露的细节,请参照本发明所涉及的安全攻击检测方法的方法实施例。
请参阅图12,在一示例性实施例中,一种安全攻击检测装置900包括但不限于:流量获取模块910、滑动控制模块930、特征提取模块950、特征比对模块970和判断模块990。
其中,流量获取模块910用于获取请求方的入流量。
滑动控制模块930用于根据固定窗长的滑动窗口对请求方的入流量进行滑动控制,得到固定窗长的待检测流量。
特征提取模块950用于由待检测流量提取得到服务提供方的流量特征,服务提供方与请求方之间存在网络连接。
特征比对模块970用于将服务提供方的流量特征与服务提供方所对应的动态基线阈值进行比对,得到比对结果。
判断模块990用于根据比对结果判断服务提供方是否受到安全攻击。
在一示例性实施例中,流量获取模块910包括但不限于:镜像单元和分发单元。
其中,镜像单元用于对请求方向服务提供方输出的流量进行镜像处理。
分发单元用于按照请求方和服务提供方对镜像处理得到的流量进行分发,得到请求方的入流量。
在一示例性实施例中,滑动控制模块930包括但不限于:数据包拆分单元和滑动单元。
其中,数据包拆分单元用于通过滑动窗口对请求方的入流量进行数据包拆分处理,将滑动窗口中包含的数据包作为固定窗长的待检测流量。
滑动单元用于在待检测流量进行安全攻击检测完毕时,按照指定滑动距离滑动滑动窗口,根据滑动后滑动窗口中包含的数据包更新待检测流量。
在一示例性实施例中,特征提取模块950包括但不限于:数据包遍历单元、信息提取单元和信息聚合单元。
其中,数据包遍历单元用于遍历待检测流量中的数据包。
信息提取单元用于从遍历到的数据包中提取得到数据包信息,数据包信息包括用于标识服务提供方的目的IP。
信息聚合单元用于按照目的IP对待检测流量中数据包的数据包信息进行聚合统计,得到目的IP所标识服务提供方的流量特征。
在一示例性实施例中,如上所述装置900还包括但不限于:接收模块、计算模块和存储模块。
其中,接收模块用于获取服务提供方在指定周期内上报的流量。
计算模块用于根据获取到的流量为服务提供方计算动态基线阈值。
存储模块用于进行服务提供方与计算的动态基线阈值之间的关联存储。
在一示例性实施例中,如上所述装置900还包括但不限于:信息生成模块和信息发送模块。
其中,信息生成模块用于如果比对结果指示服务提供方受到安全攻击,则生成告警信息。
信息发送模块用于向服务提供方发送告警信息,以通过告警信息提示服务提供方进行安全攻击防御。
需要说明的是,上述实施例所提供的安全攻击检测装置在进行安全攻击检测处理时,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即安全攻击检测装置的内部结构将划分为不同的功能模块,以完成以上描述的全部或者部分功能。
另外,上述实施例所提供的安全攻击检测装置与安全攻击检测方法的实施例属于同一构思,其中各个模块执行操作的具体方式已经在方法实施例中进行了详细描述,此处不再赘述。
在一示例性实施例中,一种安全攻击检测装置,包括处理器及存储器。
其中,存储器上存储有计算机可读指令,该计算机可读指令被处理器执行时实现上述各实施例中的安全攻击检测方法。
在一示例性实施例中,一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现上述各实施例中的安全攻击检测方法。
上述内容,仅为本发明的较佳示例性实施例,并非用于限制本发明的实施方案,本领域普通技术人员根据本发明的主要构思和精神,可以十分方便地进行相应的变通或修改,故本发明的保护范围应以权利要求书所要求的保护范围为准。
Claims (10)
1.一种安全攻击检测方法,其特征在于,包括:
对请求方向服务提供方输出的流量进行镜像处理;
将来源于不同请求方的经过镜像处理得到的流量分发至不同的CPU内核,得到在不同的CPU内核中处理的请求方的入流量;
将目的地是不同服务提供方的流量分发至不同的CPU内核,得到在不同的CPU内核中处理的请求方的入流量;
将来源于同一请求方且目的地是同一服务提供方的流量分发至同一CPU内核,得到在同一CPU内核中处理的请求方的入流量;
针对在各个所述CPU内核中处理的请求方的入流量,通过滑动窗口对所述请求方的入流量进行数据包拆分处理,将所述滑动窗口中包含的数据包作为固定窗长的待检测流量;
在所述待检测流量进行安全攻击检测完毕时,按照指定滑动距离滑动所述滑动窗口,根据滑动后所述滑动窗口中包含的数据包更新所述待检测流量,其中,所述指定滑动距离小于所述固定窗长;
由所述待检测流量提取得到服务提供方的流量特征,所述服务提供方与所述请求方之间存在网络连接;
将所述服务提供方的流量特征与所述服务提供方所对应的动态基线阈值进行比对,得到比对结果;
根据所述比对结果判断所述服务提供方是否受到安全攻击。
2.如权利要求1所述的方法,其特征在于,所述由所述待检测流量提取得到服务提供方的流量特征,包括:
遍历所述待检测流量中的数据包;
从遍历到的数据包中提取得到数据包信息,所述数据包信息包括用于标识服务提供方的目的IP;
按照所述目的IP对所述待检测流量中数据包的数据包信息进行聚合统计,得到所述目的IP所标识服务提供方的流量特征。
3.如权利要求1所述的方法,其特征在于,所述将所述服务提供方的流量特征与所述服务提供方所对应的动态基线阈值进行比对之前,所述方法还包括:
获取所述服务提供方在指定周期内上报的流量;
根据获取到的流量为所述服务提供方计算动态基线阈值;
进行所述服务提供方与计算的动态基线阈值之间的关联存储。
4.如权利要求1至3任一项所述的方法,其特征在于,所述根据所述比对结果判断所述服务提供方是否受到安全攻击之后,所述方法还包括:
如果所述比对结果指示所述服务提供方受到安全攻击,则生成告警信息;
向所述服务提供方发送所述告警信息,以通过所述告警信息提示所述服务提供方进行安全攻击防御。
5.一种安全攻击检测装置,其特征在于,包括:
镜像单元,用于对请求方向服务提供方输出的流量进行镜像处理;
分发单元,用于:
将来源于不同请求方的经过镜像处理得到的流量分发至不同的CPU内核,得到在不同的CPU内核中处理的请求方的入流量;
将目的地是不同服务提供方的流量分发至不同的CPU内核,得到在不同的CPU内核中处理的请求方的入流量;
将来源于同一请求方且目的地是同一服务提供方的流量分发至同一CPU内核,得到在同一CPU内核中处理的请求方的入流量;
数据包拆分单元,用于针对在各个所述CPU内核中处理的请求方的入流量,通过滑动窗口对所述请求方的入流量进行数据包拆分处理,将所述滑动窗口中包含的数据包作为固定窗长的待检测流量;
滑动单元,用于在所述待检测流量进行安全攻击检测完毕时,按照指定滑动距离滑动所述滑动窗口,根据滑动后所述滑动窗口中包含的数据包更新所述待检测流量,其中,所述指定滑动距离小于所述固定窗长;
特征提取模块,用于由所述待检测流量提取得到服务提供方的流量特征,所述服务提供方与所述请求方之间存在网络连接;
特征比对模块,用于将所述服务提供方的流量特征与所述服务提供方所对应的动态基线阈值进行比对,得到比对结果;
判断模块,用于根据所述比对结果判断所述服务提供方是否受到安全攻击。
6.如权利要求5所述的装置,其特征在于,所述特征提取模块包括:
数据包遍历单元,用于遍历所述待检测流量中的数据包;
信息提取单元,用于从遍历到的数据包中提取得到数据包信息,所述数据包信息包括用于标识服务提供方的目的IP;
信息聚合单元,用于按照所述目的IP对所述待检测流量中数据包的数据包信息进行聚合统计,得到所述目的IP所标识服务提供方的流量特征。
7.如权利要求5所述的装置,其特征在于,所述装置还包括:
接收模块,用于获取所述服务提供方在指定周期内上报的流量;
计算模块,用于根据获取到的流量为所述服务提供方计算动态基线阈值;
存储模块,用于进行所述服务提供方与计算的动态基线阈值之间的关联存储。
8.如权利要求5至7任一项所述的装置,其特征在于,所述装置还包括:
信息生成模块,用于如果所述比对结果指示所述服务提供方受到安全攻击,则生成告警信息;
信息发送模块,用于向所述服务提供方发送所述告警信息,以通过所述告警信息提示所述服务提供方进行安全攻击防御。
9.一种安全攻击检测装置,其特征在于,包括:
处理器;及
存储器,所述存储器上存储有计算机可读指令,所述计算机可读指令被所述处理器执行时实现如权利要求1至4中任一项所述的安全攻击检测方法。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至4中任一项所述的安全攻击检测方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810321140.7A CN110198294B (zh) | 2018-04-11 | 2018-04-11 | 安全攻击检测方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810321140.7A CN110198294B (zh) | 2018-04-11 | 2018-04-11 | 安全攻击检测方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110198294A CN110198294A (zh) | 2019-09-03 |
CN110198294B true CN110198294B (zh) | 2022-04-12 |
Family
ID=67751026
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810321140.7A Active CN110198294B (zh) | 2018-04-11 | 2018-04-11 | 安全攻击检测方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110198294B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112333168B (zh) * | 2020-10-27 | 2023-03-24 | 杭州安恒信息技术股份有限公司 | 一种攻击识别方法、装置、设备及计算机可读存储介质 |
CN114189396B (zh) * | 2022-02-17 | 2022-05-24 | 清华大学 | 基于维特比算法的DDoS攻击追踪方法、系统、设备及介质 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101753381A (zh) * | 2009-12-25 | 2010-06-23 | 华中科技大学 | 一种检测网络攻击行为的方法 |
US8127357B1 (en) * | 2007-08-24 | 2012-02-28 | Louisiana Tech Research Foundation; A Division Of Louisiana Tech University Foundation, Inc. | Method to detect SYN flood attack |
CN102638474A (zh) * | 2012-05-08 | 2012-08-15 | 山东大学 | 一种应用层DDoS分布式拒绝服务攻击防御方法 |
CN105656848A (zh) * | 2014-11-13 | 2016-06-08 | 腾讯数码(深圳)有限公司 | 应用层快速攻击检测方法和相关装置 |
CN106561016A (zh) * | 2015-11-19 | 2017-04-12 | 国网智能电网研究院 | 一种基于熵的SDN控制器DDoS攻击检测装置和方法 |
CN107241304A (zh) * | 2016-03-29 | 2017-10-10 | 阿里巴巴集团控股有限公司 | 一种DDos攻击的检测方法及装置 |
CN107302534A (zh) * | 2017-06-21 | 2017-10-27 | 广东工业大学 | 一种基于大数据平台的DDoS网络攻击检测方法及装置 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9635050B2 (en) * | 2014-07-23 | 2017-04-25 | Cisco Technology, Inc. | Distributed supervised architecture for traffic segregation under attack |
US10021131B2 (en) * | 2016-02-15 | 2018-07-10 | Verizon Digital Media Services Inc. | Origin controlled attack protections in a distributed platform |
-
2018
- 2018-04-11 CN CN201810321140.7A patent/CN110198294B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8127357B1 (en) * | 2007-08-24 | 2012-02-28 | Louisiana Tech Research Foundation; A Division Of Louisiana Tech University Foundation, Inc. | Method to detect SYN flood attack |
CN101753381A (zh) * | 2009-12-25 | 2010-06-23 | 华中科技大学 | 一种检测网络攻击行为的方法 |
CN102638474A (zh) * | 2012-05-08 | 2012-08-15 | 山东大学 | 一种应用层DDoS分布式拒绝服务攻击防御方法 |
CN105656848A (zh) * | 2014-11-13 | 2016-06-08 | 腾讯数码(深圳)有限公司 | 应用层快速攻击检测方法和相关装置 |
CN106561016A (zh) * | 2015-11-19 | 2017-04-12 | 国网智能电网研究院 | 一种基于熵的SDN控制器DDoS攻击检测装置和方法 |
CN107241304A (zh) * | 2016-03-29 | 2017-10-10 | 阿里巴巴集团控股有限公司 | 一种DDos攻击的检测方法及装置 |
CN107302534A (zh) * | 2017-06-21 | 2017-10-27 | 广东工业大学 | 一种基于大数据平台的DDoS网络攻击检测方法及装置 |
Non-Patent Citations (2)
Title |
---|
SDN环境下基于条件熵的DDoS攻击检测研究;舒远仲;梅梦喆;黄文强;汪丽娟;《无线互联网科技》;20160310;75-76页 * |
双栈网络防火墙中SYN_Flood攻击的检测与防御;徐赛;《中国优秀硕士学位论文全文数据库 信息科技辑》;20140315;I139-59页 * |
Also Published As
Publication number | Publication date |
---|---|
CN110198294A (zh) | 2019-09-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108768943B (zh) | 一种检测异常账号的方法、装置及服务器 | |
CN109194680B (zh) | 一种网络攻击识别方法、装置及设备 | |
WO2022083353A1 (zh) | 异常网络数据检测方法、装置、计算机设备和存储介质 | |
WO2018113594A1 (zh) | 防御dns攻击的方法、装置及存储介质 | |
WO2018032936A1 (zh) | 一种对算法生成域名进行检测的方法及装置 | |
US20190132353A1 (en) | Service overload attack protection based on selective packet transmission | |
US10122722B2 (en) | Resource classification using resource requests | |
CN111565203B (zh) | 业务请求的防护方法、装置、系统和计算机设备 | |
WO2020037781A1 (zh) | 一种实现服务器防攻击方法及装置 | |
CN103152325B (zh) | 防止通过共享方式访问互联网的方法及装置 | |
CN111314328A (zh) | 网络攻击防护方法、装置、存储介质及电子设备 | |
CN110198294B (zh) | 安全攻击检测方法及装置 | |
CN113765846B (zh) | 一种网络异常行为智能检测与响应方法、装置及电子设备 | |
CN113364804A (zh) | 一种流量数据的处理方法和装置 | |
CN113873057A (zh) | 数据处理方法和装置 | |
US11063975B2 (en) | Malicious content detection with retrospective reporting | |
CN111786940A (zh) | 一种数据处理方法及装置 | |
US11095666B1 (en) | Systems and methods for detecting covert channels structured in internet protocol transactions | |
CN114726579B (zh) | 防御网络攻击的方法、装置、设备、存储介质及程序产品 | |
CN113709136B (zh) | 一种访问请求验证方法和装置 | |
US11973773B2 (en) | Detecting and mitigating zero-day attacks | |
CN112532610B (zh) | 一种基于tcp分段的入侵防御检测方法及装置 | |
CN110162969B (zh) | 一种流量的分析方法和装置 | |
CN113992453A (zh) | 一种防止数据外泄的阻断方法、装置及存储介质 | |
CN112995186A (zh) | 适用于mqtt服务安全保障的改善方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |