CN110198298B - 一种信息处理方法、装置及存储介质 - Google Patents

一种信息处理方法、装置及存储介质 Download PDF

Info

Publication number
CN110198298B
CN110198298B CN201811183065.9A CN201811183065A CN110198298B CN 110198298 B CN110198298 B CN 110198298B CN 201811183065 A CN201811183065 A CN 201811183065A CN 110198298 B CN110198298 B CN 110198298B
Authority
CN
China
Prior art keywords
session
service
sequence number
destination address
traffic
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201811183065.9A
Other languages
English (en)
Other versions
CN110198298A (zh
Inventor
陈国�
罗喜军
张浩浩
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Tencent Technology Shenzhen Co Ltd
Original Assignee
Tencent Technology Shenzhen Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Tencent Technology Shenzhen Co Ltd filed Critical Tencent Technology Shenzhen Co Ltd
Priority to CN201811183065.9A priority Critical patent/CN110198298B/zh
Publication of CN110198298A publication Critical patent/CN110198298A/zh
Application granted granted Critical
Publication of CN110198298B publication Critical patent/CN110198298B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service

Abstract

本申请提供了一种信息处理方法,包括:采集终端针对目的地址发送的业务会话,所述业务会话包括至少一个业务报文;记录每个业务报文的序号信息;根据记录的所述至少一个业务报文的序号信息,计算表示所述业务会话的上行流量与下行流量比例的传输参数;及当所述传输参数达到所述目的地址的基线值时,确定所述业务会话为恶意会话。相应的,本申请还提供了实现上述方法的装置。

Description

一种信息处理方法、装置及存储介质
技术领域
本申请涉及计算机网络通信技术领域,尤其涉及一种信息处理方法、装置及存储介质。
背景技术
在计算机网络中,当终端和服务器进行互联通信时,黑客可以通过控制分布在互联网中的僵尸网络对服务器发起分布式的拒绝服务攻击(DDoS:Distributed Denial ofService),使得服务器在攻击过程中带宽阻塞或者忙于处理垃圾请求而无法响应正常用户的请求,导致拒绝正常的服务。
随着DDoS攻击技术不断提升,黑客越来约偏向于使用真实源发起TCP(TransferControl Protocol)攻击。黑客通过控制攻击端(又称:肉鸡)与被攻击端经过3次握手建立TCP连接。连接建立后攻击端发送大量TCP垃圾报文。由于攻击基于TCP连接,而且载荷没有明显异常,导致防护端难以区分正常流量和恶意流量。而被攻击端忙于处理垃圾流量,无法响应正常访问,造成拒绝服务。
发明内容
本申请的实施例提供了一种信息处理方法,包括:采集终端针对目的地址发送的业务会话,所述业务会话包括至少一个业务报文;记录每个业务报文的序号信息;根据记录的所述至少一个业务报文的序号信息,计算表示所述业务会话的上行流量与下行流量比例的传输参数;及当所述传输参数达到所述目的地址的基线值时,确定所述业务会话为恶意会话。
本申请的实施例提供了一种信息处理装置,包括:采集模块,用于采集终端针对目的地址发送的业务会话,所述业务会话包括至少一个业务报文;记录模块,用于记录记录每个业务报文的序号信息;计算模块,用于根据记录的所述至少一个业务报文的序号信息,计算表示所述业务会话的上行流量与下行流量比例的传输参数;及确定模块,用于当所述传输参数达到所述目的地址的基线值时,确定所述业务会话为恶意会话。
本申请实施例还提供了一种存储介质,存储有可读指令,可以使至少一个处理器执行上述信息处理方法。
本申请提供的技术方案,利用业务会话中的序号信息作为防护维度,对业务会话的序号信息进行分析计算,并根据分析计算结果确定该业务会话是否为恶意会话。一方面可以实现对恶意会话的自动防护,避免服务器由于遭受攻击而导致拒绝服务的问题;另一方面,不需要修改客户端代码或者改造业务逻辑,防护适用性强,防护效率高。
附图说明
图1A为本申请一些实施例提供的一种信息处理方法所适用的信息处理系统的结构示意图;
图1B为本申请另一些实施例提供的一种信息处理方法所适用的信息处理系统的结构示意图;
图2为本申请一些实施例提供的信息处理方法的流程图;
图3为本申请一些实施例提供的信息处理方法的流程图;
图4为本申请一些实施例所述的业务报文的报文头的示例;
图5为本申请一些实施例提供的计算目的地址的基线值的方法流程图;
图6为本申请一些实施例提供的信息处理方法的交互流程图;
图7为本申请一些实施例提供的信息处理装置的结构示意图;以及
图8为本申请一些实施例的计算设备的硬件结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行描述。
为了描述上的简洁和直观,下文通过描述若干代表性的实施例来对本发明的方案进行阐述。实施例中大量的细节仅用于帮助理解本发明的方案。但是很明显,本发明的技术方案实现时可以不局限于这些细节。为了避免不必要地模糊了本发明的方案,一些实施方式没有进行细致地描述,而是仅给出了框架。下文中,“包括”是指“包括但不限于”,“根据……”是指“至少根据……,但不限于仅根据……”。下文中没有特别指出一个成分的数量时,意味着该成分可以是一个也可以是多个,或可理解为至少一个。
如前所述,在计算机网络中,黑客通过控制攻击端与被攻击端经过3次握手建立TCP连接。在使用真实源进行TCP攻击的方法中,较为常见的是四层CC(ChallengeCollapsar)攻击。四层CC攻击是一种以网站页面为攻击目标的应用层攻击,其通过模拟多个用户向网站页面服务器不停的发送TCP垃圾报文。由于这些大量的TCP垃圾报文是基于TCP连接,而且载荷没有明显异常,导致防护端难以区分正常流量和恶意流量。而被攻击端忙于处理垃圾流量,无法响应正常访问,造成拒绝服务。
现有针对四层CC攻击的防护方案为水印防护方案。即改造客户端代码接入软件开发工具包(SDK:Software Development Kit),实现连接拦截,达到防护攻击的目的。具体而言,客户端访问服务器过程中,均携带通过提前定义好的防护算法算出来的特定字段,即水印字段,防护端与客户端共享防护算法。防护端在接收到客户端发送的报文后,检查水印字段,如果客户端发送的水印字段非法,则对该客户端对应的连接进行拦截,进而防护恶意攻击。
水印防护方案的缺点非常明显:首先,由于接入水印需要根据防护端提供的防护方案修改客户端代码,明显增加了接入的门槛和成本;其次,对云厂商来说,无法要求所有用户均接入水印,所以对于没有接入水印的用户,无法提供有效防护;最后,由于每个报文都要携带水印字段,意味着正常客户端的上行流量会增加,这无疑增加了流量成本。
为了解决上述问题,本申请的实例提出了一种信息处理方法。该信息处理方法中,对业务会话的序号信息进行分析计算,例如请求序号和确认序号,并将计算结果与学习到的基线值进行对比,从而识别恶意会话,实现对恶意攻击的自动防护。
图1A显示了本申请一些实施例提供的一种信息处理方法所适用的信息处理系统的结构示意图。如图1A所示,信息处理系统包括防护端110、路由器120、服务器130、网络140、终端150-1~150-N以及终端对应的用户160-1~160-N。
其中,防护端110运行有攻击检测系统110-1以及防护系统110-3。防护端110可以为任意可进行网络通信的终端设备,包括智能手机、平板电脑、膝上型便携计算机等。
路由器120,通过网络140接收到终端150-1~150-N发来的业务会话。这些业务会话中包括由攻击者作为用户发送的业务报文。这些业务报文构成的总流量包括非法流量(或者称为攻击流量)和合法流量(或者称为正常流量),上述总流量也就是这些业务报文构成的实际流量。
路由器120通过分光把上述业务报文构成的实际流量的镜像流量转发到防护端110上的攻击检测系统110-1。攻击检测系统110-1从镜像流量中检测到攻击之后,产生告警信息并将该告警信息发送至防护系统110-3。
更进一步的,防护端110还可以运行有控制系统110-2。攻击检测系统110-1可以将产生的告警信息发送到控制系统110-2,以使控制系统110-2将该告警信息发送给防护系统110-3。
防护系统110-3在接收到上述告警信息后,通过与路由器120建立的边界网关协议(BGP)关系,向路由器120发布被攻击的服务器130的牵引路由,以使核心路由器120将针对服务器130的实际流量牵引到防护系统110-3进行分析和防护。
防护系统110-3按照本实施例中的方案对接收到的实际流量进行分析和过滤,把实际流量中的攻击流量清洗掉,并把合法流量回注给路由器120。然后,路由器120将合法流量转发给服务器。
实际应用中,网络140可以为无线或有线的形式将路由器120和终端150-1~150-N相连。例如,网络140为互联网服务提供商(ISP)网络。终端150-1~150-N为任意可进行网络通信的终端设备,包括智能手机、平板电脑、膝上型便携计算机等。用户160-1~160-N中包括正常用户和黑客。
图1B显示了本申请另一些实施例提供的一种信息处理方法所适用的信息处理系统的结构示意图。如图1B所示,信息处理系统包括防护端110、攻击检测端111、路由器120、服务器130、网络140、终端150-1~150-N以及终端对应的用户160-1~160-N。
其中,防护端110运行有防护系统110-3,攻击检测端111运行有攻击检测系统110-1,控制端112运行有控制系统110-2。防护端110、攻击检测端111以及控制端112可以为任意三个独立的可进行网络通信的终端设备,包括智能手机、平板电脑、膝上型便携计算机等。
路由器120,通过网络140接收到终端150-1~150-N发来的业务会话。这些业务会话中包括由攻击者作为用户发送的业务报文。这些业务报文构成的总流量包括非法流量(或者称为攻击流量)和合法流量(或者称为正常流量),上述总流量也就是这些业务报文构成的实际流量。
路由器120通过分光把上述业务报文构成的实际流量的镜像流量转发到攻击检测端111上的攻击检测系统110-1。攻击检测系统110-1从镜像流量中检测到攻击之后,产生告警信息并将该告警信息发送至防护端110上的防护系统110-3。
更进一步的,信息处理系统还可以进一步包括控制端112。攻击检测端111上的攻击检测系统110-1可以将产生的告警信息发送到控制端112上的控制系统110-2,以使控制系统110-2将该告警信息发送给防护端110上的防护系统110-3。
防护端110上的防护系统110-3在接收到上述告警信息后,通过与路由器120建立的边界网关协议(BGP)关系,向路由器120发布被攻击的服务器130的牵引路由,以使核心路由器120将针对服务器130的实际流量牵引到防护端110上的防护系统110-3进行分析和防护。
防护端110上的防护系统110-3按照本实施例中的方案对接收到的实际流量进行分析和过滤,把实际流量中的攻击流量清洗掉,并把合法流量回注给路由器120。然后,路由器120将合法流量转发给服务器。
实际应用中,网络140可以为无线或有线的形式将路由器120和终端150-1~150-N相连。例如,网络140为互联网服务提供商(ISP)网络。终端150-1~150-N为任意可进行网络通信的终端设备,包括智能手机、平板电脑、膝上型便携计算机等。用户160-1~160-N中包括正常用户和黑客。
下面通过几个实施例对本申请实例提供的信息处理方法进行说明。
基于上述图1A或图1B所示的信息处理系统的结构示意图,本申请的一些实施例提供了一种信息处理方法,由防护端110执行。图2示出了本申请一些实施例提供的信息处理方法的流程图。如图2所示,该信息处理方法包括以下步骤:
步骤201:采集终端针对目的地址发送的业务会话,所述业务会话包括至少一个业务报文。
在一些实例中,在采集终端发送的业务会话之前,当检测到所述目的地址被攻击时,向路由器发布所述目的地址的牵引路由,以接收所述终端针对所述目的地址发送的业务会话。
在一些实例中,在采集终端发送的业务会话后,获取所述目的地址的响应参数,所述响应参数为下行无响应的会话次数与总会话次数之比;当所述响应参数小于或等于预设值时,执行所述记录每个业务报文的序号信息的步骤,否则结束本流程。
在一些实例中,在采集终端发送的业务会话之前,针对任一被监测的目的地址,采集在预设时间段内所述被监测的目的地址接收到的至少一个业务会话;记录每个被采集的业务会话的业务报文的序号信息,计算所述每个被采集的业务会话的所述传输参数;根据计算出的所述每个被采集的业务会话的所述传输参数,计算所述预设时间段内的所述被监测的目的地址的基线值。
在一些实例中,计算所述预设时间段内的所述被监测的目的地址的基线值为计算采集的所述预设时间段内的业务会话的传输参数的平均值。
步骤202:记录每个业务报文的序号信息。
步骤203:根据记录的所述至少一个业务报文的序号信息,计算表示所述业务会话的上行流量与下行流量比例的传输参数。
在一些实例中,所述序号信息包括请求序号和确认序号;在计算表示所述业务会话的上行流量与下行流量比例的传输参数时,分别计算所述至少一个报文的所述请求序号的离散系数和所述确认序号的离散系数;及根据所述请求序号的离散系数和所述确认序号的离散系数,确定所述传输参数。
在一些实例中,当所述请求序号的离散系数大于或等于所述确认序号的离散系数且所述确认序号的离散系数非零时,所述传输参数等于所述请求序号的离散系数除以所述确认序号的离散系数。
步骤204:当所述传输参数达到所述目的地址的基线值时,确定所述业务会话为恶意会话。
在一些实例中,在所述计算表示所述业务会话的上行流量与下行流量比例的传输参数之后,当所述传输参数等于-1时,无需判断传输参数是否达到目的地址的基线值,而是可以直接确定所述业务会话为恶意会话。这里,上述目的地址的基线值表征预设时间段内的业务会话的上行流量与下行流量比例的平均值。
在一些实例中,正常的业务会话中,客户端和服务器会相互发送业务报文以进行业务会话,因此在预设时间段内客户端向服务器发送的上行流量…和服务器回复客户端的下行流量的比例会稳定在相对较小的范围。而当存在恶意会话时,客户端会向服务器不停的发送业务报文,也即客户端发送的上行流量会巨大,而服务器较少或不向客户端回复,也即服务器回复给客户端的下行流量很少或者为零。
在一些实例中,无论经过哪种或哪些判断操作,在确定所述业务会话为恶意会话之后,断开与发送所述业务会话的源地址的连接。
更进一步的,如果确定M个恶意会话来自同一个源地址,例如M≥3,则将该源地址加入黑名单。
本申请提供的技术方案,利用业务会话中的序号信息作为防护维度,对业务会话的序号信息进行分析计算,并根据分析计算结果确定上行流量与下行流量的相差情况,在下行流量明显低于上行流量的情况下,确定该业务会话是否为恶意会话。一方面可以实现对恶意会话的自动防护,避免服务器由于遭受攻击而导致拒绝服务的问题;另一方面,不需要修改客户端代码或者业务逻辑进行改造,防护适用性强,防护效率高。
下面结合附图,介绍本申请实施例提供的信息处理方法。
图3为本申请一些实施例提供的信息处理方法的流程图。本申请一些实施例提供的信息处理方法可以由图1A中的防护端110上的攻击检测系统110-1和防护系统110-3共同执行,或由图1B中的防护端110上的防护系统110-3和攻击检测端111上的攻击检测系统110-1共同执行。如图3所示,该信息处理方法包括以下步骤:
步骤301:采集终端针对目的地址发送的业务会话,所述业务会话包括至少一个业务报文。
在一些实例中,当检测到所述目的地址对应的服务器被攻击时,向路由器发布所述目的地址的牵引路由,以接收所述终端针对所述目的地址发送的业务会话。其中,上述目的地址是服务器130的地址,包括目的IP地址和目的端口地址。
检测目的地址对应的服务器被攻击的具体实现可以是,路由器120通过分光,把接收到的针对各个目的地址的镜像流量转发到攻击检测系统110-1,以使攻击检测系统110-1根据上述镜像流量检测各个目的地址是否被攻击。当针对某一个目的地址的镜像流量发生异常时,攻击检测系统110-1确定该目的地址被攻击。
当攻击检测系统110-1确定上述目的地址被攻击时,生成包括该目的地址的告警信息,并将该告警信息发送给防护系统110-3。防护系统110-3在接收到上述告警信息以后,从告警信息中获取到上述目的地址,并通过与路由器建立的BGP关系向路由器发布上述目的地址的牵引路由,以接收终端针对上述目的地址发送的业务会话。
其中,上述镜像流量包括上行流量和下行流量,上行流量为终端向服务器发送的流量,下行流量为服务器向终端发送的流量。
例如,上述目的地址的镜像流量发生异常的情况可以包括以下情况:上述目的地址的当前的镜像流量与之前预设时间段内镜像流量的平均值之差超出异常门槛值。
步骤302:记录每个业务报文的序号信息,所述序号信息包括请求序号和确认序号。
在一些实例中,上述终端可以针对上述目的地址发送的业务会话为一个或多个,每个业务会话包含至少一个业务报文,每个业务报文至少包括报文头,还可以进一步包括业务数据。其中,上述业务会话可以是TCP会话。在一些实例中,每个业务报文的业务报文头中包括该业务报文的序号信息,序号信息可以包括请求序号和确认序号。其中请求序号通常表征客户端向服务器发送业务报文的序号,确认序号通常表征服务器回复客户端的业务报文的序号。
图4以TCP报文为例,示出了本申请一些实施例所述的业务报文的报文头的示例。报文头中包括业务报文的源地址401和业务报文的目的地址402,其中,源地址401包括源IP(Internet Protocol)地址和源端口地址,目的地址402包括目的IP地址和目的端口地址。并且报文头包括该业务报文的序号信息,例如请求序号403和确认序号404。报文头后面是该业务报文所携带的载荷数据405。
需要说明的是,一个业务报文可以携带载荷数据也可以不携带载荷数据。在握手阶段或者等待阶段可以不携带载荷数据,而当需要发送数据的时候,可以携带载荷数据。
在一些实例中,根据一个业务会话的各个业务报文的报文头,可以读取出该业务会话对应的报文数据,并记录各个业务报文的请求序号和确认序号。
例如,表1以TCP会话为例,示出了本申请一些实施例所述的一个TCP会话的TCP报文数据。如表1所示,读取的报文数据包括时间、协议、源IP地址、源端口地址、目的IP地址、目的端口地址、请求序号和确认序号。
Figure BDA0001825478150000101
表1业务报文数据示例
步骤303:根据记录的所述至少一个业务报文的序号信息,分别计算所述至少一个业务报文的所述请求序号的离散系数和所述确认序号的离散系数。
在一些实例中,当被记录序号信息的业务报文的个数大于第一预设值时,分别计算所述至少一个报文的所述请求序号的离散系数和所述确认序号的离散系数。例如,当记录了10个业务报文的序号信息时,根据这10个业务报文的序号信息,分别计算这10个业务报文的请求序号的离散系数和确认序号的离散系数。
其中,离散系数Cv,是概率分布离散程度的归一化量度,其定义为标准差σ与平均值μ的比值:
Figure BDA0001825478150000102
例如,根据表1所示的报文数据中的请求序号数据和确认序号数据,可以计算得到请求序号的离散系数Cv_seq和确认序号的离散系数Cv_ack
步骤304:根据所述请求序号的离散系数和所述确认序号的离散系数,确定所述业务会话的传输参数。
在一些实例中,当所述请求序号的离散系数大于或等于所述确认序号的离散系数且所述确认序号的离散系数非零时,所述传输参数等于所述请求序号的离散系数除以所述确认序号的离散系数。
在一些实例中,当所述确认序号的离散系数等于0时,所述传输参数等于-1。所述确认序号的离散系数等于0,说明在该业务会话中只有终端向服务器发送的上行流量,而服务器没有向终端回复数据,也即没有下行流量。
更进一步的,特别规定,当所述请求序号的离散系数小于所述确认序号的离散系数时,所述传输参数等于0。
具体的,传输参数
Figure BDA0001825478150000111
步骤305:当所述传输参数达到所述目的地址的基线值时,确定所述业务会话为恶意会话。
在一些实例中,在所述计算表示所述业务会话的传输参数之后,当所述传输参数等于-1时,确定所述业务会话为恶意会话。
具体的,由于确认序号的离散系数等于0,说明在该业务会话中只有终端向服务器发送的上行流量,而服务器没有向终端回复数据,也即没有下行流量,因此说明服务器不能正常响应,也就说明该业务会话为恶意会话。
在一些实例中,将计算的传输参数与所述目的地址的基线值比较,当所述传输参数达到所述目的地址的基线值时,确定所述业务会话为恶意会话。这里目的地址的基线值表征预设时间段内的业务会话的上行流量与下行流量比例的平均值。
在一些实例中,正常的业务会话中,客户端和服务器会相互发送业务报文以进行业务会话,因此在预设时间段内客户端向服务器发送的上行流量和服务器回复客户端的下行流量的比例会稳定在相对较小的范围。而当存在恶意会话时,客户端会向服务器不停的发送业务报文,也即客户端发送的上行流量会巨大,而服务器较少或不向客户端回复,也即服务器回复给客户端的下行流量很少或者为零。
在一些实例中,将计算的传输参数与所述目的地址的基线值比较,当所述传输参数小于所述目的地址的基线值时,确定所述业务会话为正常会话,并将该业务会话转发至服务器130。
其中,所述目的地址的基线值由攻击检测系统110-1计算而来,并将所述目的地址的基线值发送给防护系统110-3以供其使用。关于攻击检测系统110-1计算所述目的地址的基线值的方法,下文中会详细描述,这里不再赘述。
步骤306:当确定所述业务会话为恶意会话时,断开与发送所述业务会话的源地址的连接。
在一些实例中,如果确定针对所述目的地址有第二预设值个恶意会话来自同一个某一源地址时,将该源地址加入黑名单。例如,如果确定有3个针对上述目的地址的恶意会话来自同一个某一源地址时,将该源地址加入黑名单。
在一些实例中,在采集终端发送的业务会话后,还可以获取所述目的地址的响应参数;当所述响应参数小于或等于第三预设值时,所述响应参数为服务器无响应的会话次数与总会话次数之比,执行所述记录每个业务报文的序号信息的步骤,否则结束本申请实施例提供的信息处理方法的流程。
具体的,当获取所述目的地址的响应参数;当所述响应参数大于所述第三预设值时,说明服务器无响应的会话次数与总会话次数之比大于该第三预设值。说明该目的地址对应的服务器由于比较繁忙导致无法正常响应,而不是恶意会话导致的无法响应,因此对这种业务会话不做防护。其中,上述第三预设值为经验值,一般取2%,或者其他数值。
这样,在采集终端发送的业务会话后,通过比较上述目的地址的响应参数和上述第三预设值,可以确定该业务会话的特性是否适合自动防护,不适合的可以不做防护,这样不仅可以减少计算量,还可以提高分析防护的效率。
其中,所述目的地址的响应参数由攻击检测系统110-1计算而来,并将所述目的地址的基线值发送给防护系统110-3以供其使用。
关于攻击检测系统110-1计算所述目的地址的响应参数的方法,下文中会详细描述,这里不再赘述。
通过以上技术方案,利用业务会话中的序号信息作为防护维度,基于序号信息的离散系数,对业务会话的序号信息进行分析计算得到目的地址的基线值,并根据计算得到的该目的地址的基线值,来确定该业务会话是否为恶意会话。一方面可以实现对恶意会话的自动防护,避免服务器由于遭受攻击而导致拒绝服务的问题;另一方面,基于离散系数识别恶意会话的防护方案不需要修改客户端代码或者业务逻辑进行改造,防护适用性强,防护效率高。
本申请一些实施例提供了一种计算目的地址的基线值的方法。该方法由图1A中防护端110上的攻击检测系统110-1执行或由图1B中攻击检测端111上的攻击检测系统110-1执行。图5为本申请一些实施例提供的计算目的地址的基线值的方法流程图,包括以下步骤:
步骤501:针对任一被监测的目的地址,采集在预设时间段内所述被监测的目的地址接收到的至少一个业务会话。
在一些实例中,攻击检测系统110-1采集各个被监测的目的地址在预设时间段内比如一周内的业务会话所构成的镜像流量,并进行保存以进行后续的被监测目的地址的基线值计算。例如,攻击检测系统110-1采集的对象可以是一个TCP会话(协议、源IP地址、源端口地址、目的IP地址和目的端口地址五元组来确定的会话)所构成的镜像流量。
更近一步的,攻击检测系统110-1还可以根据各个被监测的目的地址的镜像流量,确定各个被监测的目的地址是否被攻击。
例如,可以根据被监测的目的地址的镜像流量是否发生异常来确定该被监测的目的地址是否被攻击。其中,被监测的目的地址的镜像流量发生异常的情况可以包括以下情况:上述被监测的目的地址的当前的镜像流量与之前预设时间段内镜像流量的平均值之差超出异常门槛值。
步骤502:记录每个被采集的业务会话的业务报文的序号信息,计算所述每个被采集的业务会话的所述传输参数。
在一些实例中,上述业务报文的序号信息包括请求序号和确认序号。根据步骤303中的公式1,利用记录的在该预设时间段内每个被采集的业务会话的业务报文的请求序号和确认序号,分别计算请求序号的离散系数和确认序号的离散系数,并根据步骤304中描述的方法来计算每个业务会话的传输参数。
步骤503:根据计算出的所述每个被采集的业务会话的所述传输参数,计算所述被监测的目的地址的基线值。
在一些实例中,上述被监测的目的地址的基线值为所述预设时间段内的业务会话的传输参数的平均值。
例如,上述预设时间段为一周,在一周内计算出的被采集的各个业务会话的传输参数为Q1,Q2,…,以及Qn,则上述被监测的目的地址的基线值Qavg可以表示如下:
Qavg=(Q1+Q2+…+Qn)/n。 (公式3)
步骤504:根据计算出的所述每个被采集的业务会话的所述传输参数,计算所述被监测的目的地址的响应参数。
在一些实例中,所述被监测的目的地址的响应参数Ratio可以表示如下:
Ratio=CountQ=-1/Countall*100%, (公式4)
其中,CountQ=-1表示传输参数等于-1的业务会话的个数,Countall表示计算的传输参数的总数。
在一些实例中,攻击检测系统110-1将计算得到的各个被监测的目的地址的基线值Qavg和响应参数Ratio发送给防护系统110-3,以使其进行防护分析。
以上技术方案,通过分析计算各个被监测的目的地址的业务会话的业务报文的序号信息,得到各个被监测的目的地址的基线值和响应参数,不仅可以为防护系统的分析和防护提供了可靠的依据,还提供了一种新的基于离散系数的分析防护参考参数。
下面基于图1A所示的信息处理系统结构示意图,以TCP业务会话为例,详细描述本申请一些实施例提供的信息处理方法。图6为本申请一些实施例提供的信息处理方法的交互流程图。如图6所示,该方法由终端150、路由器120、防护端110的攻击检测系统110-1、防护系统110-3以及服务器130执行,包括以下步骤:
步骤601:终端150向路由器120发送至少一个TCP会话。
步骤602:路由器120通过分光,将上述至少一个TCP会话的镜像流量转发至攻击检测系统110-1。
步骤603:当攻击检测系统110-1确定接收到一个TCP会话对应的镜像流量存在异常时,生成告警信息,并将告警信息发送至防护系统110-3,上述告警信息包括上述镜像流量对应的目的地址。
在一些实例中,上述目的地址可以包括目的IP地址。攻击检测系统110-1可以确定该目的IP地址被攻击或可能被攻击。因此,攻击检测系统将该目的IP地址发送给防护系统110-3以使其根据该TCP会话的序号信息进一步的确定该TCP会话是否为恶意会话。
步骤604:防护系统110-3向路由器120发布上述目的地址的牵引路由,以接收所述终端针对所述目的地址发送的TCP会话。
在一些实例中,防护系统110-3可以通过与路由器120建立的BGP关系,向路由器发布上述目的IP地址的牵引路由,将终端发送的TCP会话构成的流量牵引到防护系统110-3。
步骤605:防护系统110-3接收所述终端针对所述目的地址发送的TCP会话,所述TCP会话包括至少一个TCP报文。
在一些实例中,上述目的地址还可以包括目的端口地址,也即上述目的地址包括目的IP地址和目的端口地址。当防护系统110-3接收到上述目的地址的TCP会话时,可以根据TCP会话的TCP报文头中的目的端口地址(dstport)来确定被攻击的具体的端口地址。
步骤606:防护系统110-3获取上述目的地址的响应参数和基线值。
在一些实例中,上述目的地址的响应参数和基线值由攻击检测系统110-1计算而得,攻击检测系统110-1将计算得到的上述目的地址的响应参数和基线值发送给防护系统110-3以使其保存并进行分析防护。
步骤607:确定上述目的地址的响应参数是否大于第一预设值,如果大于上述第一预设值时,确定对该目的地址不做防护,也即将TCP会话发送至服务器,并结束本流程,否则,执行步骤608。
步骤608:记录上述TCP会话中的TCP报文的请求序号和确认序号。
步骤609:当被记录请求序号和确认序号的TCP报文的个数大于第二预设值时,分别计算记录的请求序号的离散系数和记录的确认序号的离散系数。
步骤610:根据计算得到的请求序号的离散系数和确认序号的离散系数,确定上述TCP会话的传输参数。
步骤611:确定上述TCP会话的传输参数是否等于-1,如果不等于-1,则执行步骤612,如果等于-1,则确定上述TCP会话为恶意会话,并执行步骤613。
步骤612:确定上述TCP会话的传输参数是否达到获取的上述目的地址的基线值,如果达到上述基线值,则确定上述TCP会话为恶意会话,并执行步骤613,如果没有达到上述基线值,则确定上述TCP会话为正常会话,将TCP会话发送至服务器。
步骤613:断开与发送上述TCP会话的终端150的连接,也即断开与发送上述TCP会话的源地址的连接。
本申请实施例的技术方案,利用业务会话中的序号信息作为防护维度,基于序号信息的离散系数,对业务会话的序号信息进行分析计算得到目的地址的基线值,并根据计算得到的该目的地址的基线值,来确定该业务会话是否为恶意会话。一方面可以实现对恶意会话的自动防护,避免服务器由于遭受攻击而导致拒绝服务的问题;另一方面,基于离散系数识别恶意会话的防护方案不需要修改客户端代码或者业务逻辑进行改造,防护适用性强,防护效率高。
对应以上信息处理方法,本申请还提供了实现上述方法的信息处理装置700,该信息处理装置700位于可以位于防护端110中。图7为本申请一些实施例提供的信息处理装置700的结构示意图。如图7所示,该信息处理装置700包括:采集模块701、记录模块702、计算模块703以及确定模块704,其中,各模块的功能如下:
采集模块701,用于采集终端针对目的地址发送的业务会话,所述业务会话包括至少一个业务报文;
记录模块702,用于记录记录每个业务报文的序号信息;
计算模块703,用于根据记录的所述至少一个业务报文的序号信息,计算表示所述业务会话的上行流量与下行流量比例的传输参数;
第一确定模块704,用于当所述传输参数达到所述目的地址的基线值时,确定所述业务会话为恶意会话。
在一些实例中,当所述传输参数等于-1时,所述确定模块704,进一步确定所述业务会话为恶意会话。
在一些实例中,所述装置700进一步包括:路由模块705,用于当检测到所述目的地址被攻击时,向路由器发布所述目的地址的牵引路由,以接收所述终端针对所述目的地址发送的业务会话。
在一些实例中,所述序号信息包括请求序号和确认序号;所述计算模块703,分别计算所述至少一个业务报文的所述请求序号的离散系数和所述确认序号的离散系数;及根据所述请求序号的离散系数和所述确认序号的离散系数,确定所述传输参数。
在一些实例中,当所述请求序号的离散系数大于或等于所述确认序号的离散系数且所述确认序号的离散系数非零时,所述传输参数等于所述请求序号的离散系数除以所述确认序号的离散系数。
在一些实例中,为了计算上述目的地址的基线值,所述采集模块701,进一步针对任一被监测的目的地址,采集在预设时间段内所述被监测的目的地址接收到的至少一个业务会话;所述记录模块702,进一步记录每个被采集的业务会话的业务报文的序号信息,计算所述每个被采集的业务会话的所述传输参数;所述计算模块703,进一步根据计算出的所述每个被采集的业务会话的所述传输参数,计算所述被监测的目的地址的基线值。
在一些实例中,被监测的目的地址的基线值为采集的所述预设时间段内的业务会话的传输参数的平均值。
在一些实例中,信息处理装置700进一步包括第二确定模块706,用于获取所述目的地址的响应参数;当所述响应参数小于或等于预设值时,所述响应参数为下行无响应的会话次数与总会话次数之比,执行所述记录每个业务报文的序号信息的步骤,否则结束本流程。
在一些实例中,在确定所述业务会话为恶意会话之后,第一确定模块704,断开与发送所述业务会话的源地址的连接。
上述信息处理装置,利用业务会话中的序号信息作为防护维度,基于序号信息的离散系数,对业务会话的序号信息进行分析计算得到目的地址的基线值,并根据计算得到的该目的地址的基线值,来确定该业务会话是否为恶意会话。一方面可以实现对恶意会话的自动防护,避免服务器由于遭受攻击而导致拒绝服务的问题;另一方面,基于离散系数识别恶意会话的防护方案不需要修改客户端代码或者业务逻辑进行改造,防护适用性强,防护效率高。
图8示出了实现信息处理装置700所在的计算设备的组成结构图。该计算设备可以是防护端110或者攻击检测端111,还可以是控制端112。如图8所示,该计算设备包括一个或者多个处理器(CPU)802、通信模块804、存储器806、用户接口810,以及用于互联这些组件的通信总线808。
处理器802可通过通信模块804接收和发送数据以实现网络通信和/或本地通信。
用户接口810包括一个或多个输出设备812,其包括一个或多个扬声器和/或一个或多个可视化显示器。用户接口810也包括一个或多个输入设备814,其包括诸如,键盘,鼠标,声音命令输入单元或扩音器,触屏显示器,触敏输入板,姿势捕获摄像机或其他输入按钮或控件等。
存储器806可以是高速随机存取存储器,诸如DRAM、SRAM、DDR RAM、或其他随机存取固态存储设备;或者非易失性存储器,诸如一个或多个磁盘存储设备、光盘存储设备、闪存设备,或其他非易失性固态存储设备。
存储器806存储处理器802可执行的指令集,包括:
操作系统816,包括用于处理各种基本系统服务和用于执行硬件相关任务的程序;
应用818,包括用于实现信息处理方法各种应用程序,这种应用程序能够实现上述各实例中的处理流程,比如可以包括图7所示的实现信息处理方法的信息处理装置700中的部分或全部单元。各单元或模块701-706中的至少一个模块可以存储有机器可执行指令。处理器802通过执行存储器806中各模块701-706中至少一个模块中的机器可执行指令,进而能够实现上述各模块701-706中的至少一个模块的功能。
需要说明的是,上述各流程和各结构图中不是所有的步骤和模块都是必须的,可以根据实际的需要忽略某些步骤或模块。各步骤的执行顺序不是固定的,可以根据需要进行调整。各模块的划分仅仅是为了便于描述采用的功能上的划分,实际实现时,一个模块可以分由多个模块实现,多个模块的功能也可以由同一个模块实现,这些模块可以位于同一个设备中,也可以位于不同的设备中。
各实施例中的硬件模块可以以硬件方式或硬件平台加软件的方式实现。上述软件包括机器可读指令,存储在非易失性存储介质中。因此,各实施例也可以体现为软件产品。
因此,本申请的一些实例还提供了一种计算机可读存储介质,其上存储有计算机指令,其中,所述计算机指令被处理器执行时实现上述图2-6中所述方法的步骤。
各例中,硬件可以由专门的硬件或执行机器可读指令的硬件实现。例如,硬件可以为专门设计的永久性电路或逻辑器件(如专用处理器,如FPGA或ASIC)用于完成特定的操作。硬件也可以包括由软件临时配置的可编程逻辑器件或电路(如包括通用处理器或其它可编程处理器)用于执行特定操作。
另外,本申请的每个实例可以通过由数据处理设备如计算机执行的数据处理程序来实现。显然,数据处理程序构成了本申请。此外,通常存储在一个存储介质中的数据处理程序通过直接将程序读取出存储介质或者通过将程序安装或复制到数据处理设备的存储设备(如硬盘和或内存)中执行。因此,这样的存储介质也构成了本申请,本申请还提供了一种非易失性存储介质,其中存储有数据处理程序,这种数据处理程序可用于执行本申请上述方法实例中的任何一种实例。
图7中的模块对应的机器可读指令可以使计算机上操作的操作系统等来完成这里描述的部分或者全部操作。非易失性计算机可读存储介质可以是插入计算机内的扩展板中所设置的存储器中或者写到与计算机相连接的扩展单元中设置的存储器。安装在扩展板或者扩展单元上的CPU等可以根据指令执行部分和全部实际操作。
另外,在本申请各个实例中的装置及各模块可以集成在一个处理单元中,也可以是各个模块单独物理存在,也可以两个或两个以上装置或模块集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。

Claims (14)

1.一种信息处理方法,其特征在于,包括:
采集终端针对目的地址发送的业务会话,所述业务会话包括至少一个业务报文;
记录每个业务报文的序号信息;
根据记录的所述至少一个业务报文的序号信息,计算表示所述业务会话的上行流量与下行流量比例的传输参数;所述序号信息包括请求序号和确认序号;及
当所述传输参数达到所述目的地址的基线值时,确定所述业务会话为恶意会话;
其中,所述计算表示所述业务会话的上行流量与下行流量比例的传输参数,包括:
分别计算所述至少一个业务报文的所述请求序号的离散系数和所述确认序号的离散系数;及
根据所述请求序号的离散系数和所述确认序号的离散系数,确定所述传输参数。
2.根据权利要求1所述的方法,其中,在所述计算表示所述业务会话的上行流量与下行流量比例的传输参数之后,所述方法进一步包括:
当所述传输参数等于-1时,确定所述业务会话为恶意会话。
3.根据权利要求1所述的方法,其中,在采集终端发送的业务会话之前,所述方法进一步包括:
当检测到所述目的地址被攻击时,向路由器发布所述目的地址的牵引路由,以接收所述终端针对所述目的地址发送的业务会话。
4.根据权利要求1所述的方法,其中,根据所述请求序号的离散系数和所述确认序号的离散系数,确定所述传输参数,包括:
当所述请求序号的离散系数大于或等于所述确认序号的离散系数且所述确认序号的离散系数非零时,所述传输参数等于所述请求序号的离散系数除以所述确认序号的离散系数。
5.根据权利要求1所述的方法,其中,在采集终端发送的业务会话之前,所述方法进一步包括:
针对任一被监测的目的地址,采集在预设时间段内所述被监测的目的地址接收到的至少一个业务会话;
记录每个被采集的业务会话的业务报文的序号信息,计算所述每个被采集的业务会话的所述传输参数;
根据计算出的所述每个被采集的业务会话的所述传输参数,计算所述被监测的目的地址的基线值。
6.根据权利要求5所述的方法,其中,所述计算所述预设时间段内的所述被监测的目的地址的基线值,包括:
计算采集的所述预设时间段内的业务会话的传输参数的平均值。
7.根据权利要求1所述的方法,其中,在采集终端发送的业务会话后,所述方法进一步包括:
获取所述目的地址的响应参数,所述响应参数为服务器无响应的会话次数与总会话次数之比;
当所述响应参数小于或等于预设值时,执行所述记录每个业务报文的序号信息的步骤。
8.根据权利要求1所述的方法,其中,在确定所述业务会话为恶意会话之后,该方法进一步包括:
断开与发送所述业务会话的源地址的连接。
9.一种信息处理装置,其特征在于,包括:
采集模块,用于采集终端针对目的地址发送的业务会话,所述业务会话包括至少一个业务报文;
记录模块,用于记录每个业务报文的序号信息;
计算模块,用于根据记录的所述至少一个业务报文的序号信息,计算表示所述业务会话的上行流量与下行流量比例的传输参数;所述序号信息包括请求序号和确认序号;及
确定模块,用于当所述传输参数达到所述目的地址的基线值时,确定所述业务会话为恶意会话;
所述计算模块,分别计算所述至少一个业务报文的所述请求序号的离散系数和所述确认序号的离散系数;及根据所述请求序号的离散系数和所述确认序号的离散系数,确定所述传输参数。
10.根据权利要求9所述的装置,其中,当所述传输参数等于-1时,所述确定模块进一步确定所述业务会话为恶意会话。
11.根据权利要求9所述的装置,其中,所述装置进一步包括:
路由模块,用于当检测到所述目的地址被攻击时,向路由器发布所述目的地址的牵引路由,以接收所述终端针对所述目的地址发送的业务会话。
12.根据权利要求9所述的装置,其中,在采集终端发送的业务会话之前,所述采集模块,进一步针对任一被监测的目的地址,采集在预设时间段内所述被监测的目的地址接收到的至少一个业务会话;
所述记录模块,进一步记录每个被采集的业务会话的业务报文的序号信息,计算所述每个被采集的业务会话的所述传输参数;
所述计算模块,进一步根据计算出的所述每个被采集的业务会话的所述传输参数,计算所述被监测的目的地址的基线值。
13.一种存储介质,其特征在于,存储有机器可读指令,可以使至少一个处理器执行如权利要求1-8任一项所述的方法。
14.一种计算设备,包括存储器、处理器以及存储在所述存储器上并在所述处理器上运行的指令集;其特征在于,所述处理器执行所述指令集时实现权利要求1-8任一项所述的方法。
CN201811183065.9A 2018-10-11 2018-10-11 一种信息处理方法、装置及存储介质 Active CN110198298B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201811183065.9A CN110198298B (zh) 2018-10-11 2018-10-11 一种信息处理方法、装置及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201811183065.9A CN110198298B (zh) 2018-10-11 2018-10-11 一种信息处理方法、装置及存储介质

Publications (2)

Publication Number Publication Date
CN110198298A CN110198298A (zh) 2019-09-03
CN110198298B true CN110198298B (zh) 2021-08-27

Family

ID=67751140

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201811183065.9A Active CN110198298B (zh) 2018-10-11 2018-10-11 一种信息处理方法、装置及存储介质

Country Status (1)

Country Link
CN (1) CN110198298B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111698168B (zh) * 2020-05-20 2022-06-28 北京吉安金芯信息技术有限公司 消息处理方法、装置、存储介质及处理器
CN114363160A (zh) * 2021-12-31 2022-04-15 锐捷网络股份有限公司 基于广域网的网络管理方法及装置

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105530219A (zh) * 2014-09-28 2016-04-27 腾讯科技(深圳)有限公司 一种连接检测方法及装置
CN107092830A (zh) * 2017-06-09 2017-08-25 武汉虹旭信息技术有限责任公司 基于流量分析的ios恶意软件预警和检测系统及其方法
CN107241344A (zh) * 2017-06-30 2017-10-10 北京知道创宇信息技术有限公司 拦截客户端对恶意网络服务器的访问的方法、设备和系统
CN107395632A (zh) * 2017-08-25 2017-11-24 北京神州绿盟信息安全科技股份有限公司 SYN Flood防护方法、装置、清洗设备及介质
CN108111476A (zh) * 2017-08-08 2018-06-01 西安交大捷普网络科技有限公司 C&c通道检测方法
CN108449280A (zh) * 2017-02-16 2018-08-24 中兴通讯股份有限公司 一种避免tcp报文乒乓的方法及装置

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106470238A (zh) * 2015-08-20 2017-03-01 阿里巴巴集团控股有限公司 应用于服务器负载均衡中的连接建立方法及装置

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105530219A (zh) * 2014-09-28 2016-04-27 腾讯科技(深圳)有限公司 一种连接检测方法及装置
CN108449280A (zh) * 2017-02-16 2018-08-24 中兴通讯股份有限公司 一种避免tcp报文乒乓的方法及装置
CN107092830A (zh) * 2017-06-09 2017-08-25 武汉虹旭信息技术有限责任公司 基于流量分析的ios恶意软件预警和检测系统及其方法
CN107241344A (zh) * 2017-06-30 2017-10-10 北京知道创宇信息技术有限公司 拦截客户端对恶意网络服务器的访问的方法、设备和系统
CN108111476A (zh) * 2017-08-08 2018-06-01 西安交大捷普网络科技有限公司 C&c通道检测方法
CN107395632A (zh) * 2017-08-25 2017-11-24 北京神州绿盟信息安全科技股份有限公司 SYN Flood防护方法、装置、清洗设备及介质

Also Published As

Publication number Publication date
CN110198298A (zh) 2019-09-03

Similar Documents

Publication Publication Date Title
US10193911B2 (en) Techniques for automatically mitigating denial of service attacks via attack pattern matching
CN105827646B (zh) Syn攻击防护的方法及装置
US10419459B2 (en) System and method for providing data and device security between external and host devices
US11025667B2 (en) System and method for applying a plurality of interconnected filters to protect a computing device from a distributed denial-of-service attack
KR101054705B1 (ko) 위조 발생지 어드레스를 가진 포트 스캔을 탐지하기 위한 방법 및 장치
US6816910B1 (en) Method and apparatus for limiting network connection resources
CN105635084B (zh) 终端认证装置及方法
US10419378B2 (en) Net-based email filtering
US8694651B2 (en) Method and system for implementing network proxy
CN110266678B (zh) 安全攻击检测方法、装置、计算机设备及存储介质
CN109922144B (zh) 用于处理数据的方法和装置
CN111565203B (zh) 业务请求的防护方法、装置、系统和计算机设备
Kavisankar et al. A mitigation model for TCP SYN flooding with IP spoofing
CN111314328A (zh) 网络攻击防护方法、装置、存储介质及电子设备
US9641485B1 (en) System and method for out-of-band network firewall
JP2005073272A (ja) Tcpステートレス・ホグによるtcpサーバに対する分散サービス妨害攻撃を防御する方法および装置
CN108810008B (zh) 传输控制协议流量过滤方法、装置、服务器及存储介质
CN108667829B (zh) 一种网络攻击的防护方法、装置及存储介质
JP7462757B2 (ja) ネットワークセキュリティ保護方法及び保護デバイス
CN110198298B (zh) 一种信息处理方法、装置及存储介质
CN108737344B (zh) 一种网络攻击防护方法和装置
CN108418844B (zh) 一种应用层攻击的防护方法及攻击防护端
CN110995586B (zh) 一种bgp报文的处理方法、装置、电子设备及存储介质
CN110198290B (zh) 一种信息处理方法、设备、装置及存储介质
JP2019152912A (ja) 不正通信対処システム及び方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant