CN110233838A - 一种脉冲式攻击的防御方法、装置及设备 - Google Patents

一种脉冲式攻击的防御方法、装置及设备 Download PDF

Info

Publication number
CN110233838A
CN110233838A CN201910492932.5A CN201910492932A CN110233838A CN 110233838 A CN110233838 A CN 110233838A CN 201910492932 A CN201910492932 A CN 201910492932A CN 110233838 A CN110233838 A CN 110233838A
Authority
CN
China
Prior art keywords
attack
time
round
next round
preset
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201910492932.5A
Other languages
English (en)
Other versions
CN110233838B (zh
Inventor
刘健男
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Neusoft Corp
Original Assignee
Neusoft Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Neusoft Corp filed Critical Neusoft Corp
Priority to CN201910492932.5A priority Critical patent/CN110233838B/zh
Publication of CN110233838A publication Critical patent/CN110233838A/zh
Application granted granted Critical
Publication of CN110233838B publication Critical patent/CN110233838B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请公开一种脉冲式攻击的防御方法、装置及设备,所述方法包括:当检测到脉冲式攻击时,计算下一轮攻击的开启时间;在开启时间进入脉冲式攻击防御模式;在处于脉冲式攻击防御模式时,将接收到的报文与预先生成的黑名单进行匹配;黑名单用于存储本次攻击中预先收集的攻击报文的源IP地址;如果报文与所述黑名单匹配成功,则将报文丢弃。本申请针对脉冲式攻击的特点,计算下一轮攻击的开启时间,并在计算出的开启时间及时进入脉冲式攻击防御模式,本申请能够及时且有效的对脉冲式攻击进行防御。进一步的,利用黑名单进行处理,提高防御效率以及准确性。

Description

一种脉冲式攻击的防御方法、装置及设备
技术领域
本申请涉及网络安全领域,具体涉及一种脉冲式攻击的防御方法、装置及设备。
背景技术
防火墙转发系统的健壮性成为每个安全厂商在产品研发中的重中之重,因为防火墙一旦遭遇网络攻击,很大程度上会影响防火墙的转发功能,导致正常流量无法转发,因此,对于网络攻击的防御功能是防火墙的重要功能之一。
目前,网络攻击的类型主要是连续性攻击,以syn flood攻击为例,syn flood是一种广为人知的dos(拒绝服务攻击),是ddos(分布式拒绝服务攻击)的方式之一,这是一种利用TCP协议缺陷,发送大量伪造的TCP连接请求,从而使得被攻击方资源耗尽(CPU满负荷或内存不足)的攻击方式。针对这种连续性攻击,目前的防御方式是在接收到的报文的数量到达一定阈值或者syn状态超时的报文到达一定的数量时,开启攻击防御。
随着网络的不断发展,网络攻击的类型也在逐渐衍生,目前网络的攻击类型并非单纯的连续性攻击,而是使用短暂间隔的高峰攻击,这种攻击的特点是呈脉冲型,因此也叫脉冲式攻击。
很明显的,将原有的针对连续性攻击的防御方法直接应用于脉冲式攻击是不适用的,因为脉冲式攻击的特点是会频繁的结束上一轮的攻击以及发起新一轮的攻击,如果基于上述接收到的报文的数量到达一定阈值或者syn状态超时的报文到达一定的数量时开启攻击防御的设计,则很可能导致刚刚开启防御时本轮攻击就结束了,或者刚刚结束防御时新一轮攻击就开始了,显然不能做到对网络攻击的及时防御。
因此,目前亟需一种针对脉冲式攻击特点的攻击防御方法,能够及时且有效的实现攻击防御。
发明内容
有鉴于此,本申请提供了一种脉冲式攻击的防御方法、装置及设备,能够针对脉冲式攻击的特点,及时有效的对脉冲式攻击进行防御。
第一方面,为实现上述发明目的,本申请提供了一种脉冲式攻击的防御方法,所述方法包括:
当检测到脉冲式攻击时,计算下一轮攻击的开启时间;
在所述开启时间进入脉冲式攻击防御模式;
在处于所述脉冲式攻击防御模式时,将接收到的报文与预先生成的黑名单进行匹配;其中,所述黑名单用于存储本次攻击中预先收集的攻击报文的源IP地址;
如果所述报文与所述黑名单匹配成功,则将所述报文丢弃。
一种可选的实施方式中,所述方法还包括:
在处于所述脉冲式攻击防御模式时,无锁读取预先生成的白名单,并将接收到的报文与所述白名单进行匹配;其中,所述白名单用于存储本次攻击中预先收集的成功完成三次握手报文的源IP地址;
如果所述报文与所述白名单匹配成功,则对所述报文进行转发处理。
一种可选的实施方式中,所述将接收到的报文与预先生成的白名单进行匹配之前,还包括:
在本次攻击的两轮攻击间隔,将本次攻击中成功完成三次握手报文的源IP地址添加到预设白名单中;其中,所述白名单为每核资源,且使用lru链表控制生存周期。
一种可选的实施方式中,所述计算下一轮攻击的开启时间,包括:
基于预先记录的每轮攻击的开启时间的真实值,以及利用随机梯度上升算法模型,计算下一轮攻击的开启时间;以及,基于最近前N轮攻击之间的时间间隔的真实值和计算值,确定所述计算值的准确率;
相应的,所述在所述开启时间进入脉冲式攻击防御模式,具体为:
在确定所述准确率大于预设阈值时,在所述开启时间进入脉冲式攻击防御模式。
一种可选的实施方式中,所述方法应用于多核系统,所述多核系统包括转发核和配置核;
所述基于预先记录的每轮攻击的开启时间的真实值,以及利用随机梯度上升算法模型,计算下一轮攻击的开启时间;以及,基于最近前N轮攻击的开启时间的真实值和计算值,确定所述计算值的准确率,包括:
所述配置核基于所述转发核上传的预先记录的每轮攻击的开启时间的真实值,并利用随机梯度上升算法模型,计算下一轮攻击的开启时间;以及,所述配置核基于最近前N轮攻击的开启时间的真实值和计算值,确定所述计算值的准确率。
一种可选的实施方式中,所述计算下一轮攻击的开启时间,包括:
以上一轮攻击的结束时间为起始节点,统计每接收到预设固定个数报文所用的时间t1,并判断所述t1是否小于预设第一阈值;或者,以当前时间为截止节点,确定所述当前时间之前接收到预设固定个数报文所用的时间t1是否小于预设第一阈值;
当确定所述t1小于所述第一阈值时,将当前时间确定为下一轮攻击的开启时间。
一种可选的实施方式中,所述方法还包括:
以上一轮攻击的结束时间为起始节点,统计每完成所述预设固定个数的三次握手报文的时间t2,并判断所述t2与所述t1的比值是否超过预设第二阈值;或者,以当前时间为截止节点,确定所述当前时间之前完成所述预设固定个数的三次握手报文的时间t2是否超过预设第二阈值;
相应的,所述当确定所述t1小于所述第一阈值时,将当前时间确定为下一轮攻击的开启时间,具体为:
当确定所述t1小于所述第一阈值,且所述t2与所述t1的比值超过所述预设第二阈值时,将当前时间确定为下一轮攻击的开启时间。
一种可选的实施方式中,所述计算下一轮攻击的开启时间,包括:
如果接收到的任一报文与预先生成的黑名单匹配成功,则确定当前时间为下一轮攻击的开启时间。
一种可选的实施方式中,所述当检测到本次攻击为脉冲式攻击时,计算下一轮攻击的开启时间之前,还包括:
当检测到预设时间内发生攻击的次数超出预设次数,则确定发生脉冲式攻击。
第二方面,本申请还提供了一种脉冲式攻击的防御装置,所述装置包括:
计算模块,用于在检测到脉冲式攻击时,计算下一轮攻击的开启时间;
触发模块,用于在所述开启时间进入脉冲式攻击防御模式;
第一匹配模块,用于在处于所述脉冲式攻击防御模式时,将接收到的报文与预先生成的黑名单进行匹配;其中,所述黑名单用于存储本次攻击中预先收集的攻击报文的源IP地址;
丢弃模块,用于在所述报文与所述黑名单匹配成功时,将所述报文丢弃。
一种可选的实施方式中,所述装置还包括:
第二匹配模块,用于在处于所述脉冲式攻击防御模式时,无锁读取预先生成的白名单,并将接收到的报文与所述白名单进行匹配;其中,所述白名单用于存储本次攻击中预先收集的成功完成三次握手报文的源IP地址;
转发模块,用于在所述报文与所述白名单匹配成功时,对所述报文进行转发处理。
一种可选的实施方式中,所述计算模块,包括:
计算子模块,用于基于预先记录的每轮攻击的开启时间的真实值,以及利用随机梯度上升算法模型,计算下一轮攻击的开启时间;
第一确定子模块,用于基于最近前N轮攻击的开启时间的真实值和计算值,确定所述计算值的准确率;其中,N为正整数;
相应的,所述触发模块,具体用于:
在确定所述准确率大于预设阈值时,在所述开启时间进入脉冲式攻击防御模式。
一种可选的实施方式中,所述计算模块,包括:
统计子模块,用于以上一轮攻击的结束时间为起始节点,统计每接收到预设固定个数报文所用的时间t1,并判断所述t1是否小于预设第一阈值;
或者,
第二确定子模块,用于以当前时间为截止节点,确定所述当前时间之前接收到预设固定个数报文所用的时间t1是否小于预设第一阈值;
第三确定子模块,用于在所述t1小于所述第一阈值时,将当前时间确定为下一轮攻击的开启时间。
一种可选的实施方式中,所述装置还包括:
统计模块,用于以上一轮攻击的结束时间为起始节点,统计每完成所述预设固定个数的三次握手报文的时间t2,并判断所述t2与所述t1的比值是否超过预设第二阈值;
或者,
第一确定模块,用于以当前时间为截止节点,确定所述当前时间之前完成所述预设固定个数的三次握手报文的时间t2是否超过预设第二阈值;
相应的,所述第三确定子模块,具体用于:
当确定所述t1小于所述第一阈值,且所述t2与所述t1的比值超过所述预设第二阈值时,将当前时间确定为下一轮攻击的开启时间。
一种可选的实施方式中,所述计算模块,包括:
第四确定子模块,用于在接收到的任一报文与预先生成的黑名单匹配成功时,确定当前时间为下一轮攻击的开启时间。
一种可选的实施方式中,所述装置还包括:
第二确定模块,用于在检测到预设时间内发生攻击的次数超出预设次数时,确定发生脉冲式攻击。
第三方面,本申请还提供了一种计算机可读存储介质,所述计算机可读存储介质中存储有指令,当所述指令在终端设备上运行时,使得所述终端设备执行如上述任一项所述的脉冲式攻击的防御方法。
第四方面,本申请还提供了一种多核系统中的会话表项超时处理设备,包括:存储器,处理器,及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时,实现如上述任一项所述的脉冲式攻击的防御方法。
本申请提供的脉冲式攻击的防御方法中,在检测到本次攻击为脉冲式攻击时,计算下一轮攻击的开启时间,并在计算出的开启时间进入脉冲式攻击防御模式。在处于脉冲式攻击防御模式时,将接收到的报文与预先根据本次攻击的前几轮攻击生成的黑名单进行匹配,并将匹配成功的报文进行丢弃。本申请针对脉冲式攻击的特点,计算下一轮攻击的开启时间,并在计算出的开启时间即使进入脉冲式攻击防御模式,可见,本申请能够及时且有效的对脉冲式攻击进行防御。
进一步的,利用黑名单进行处理,能够提高防御效率以及准确性。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的一种脉冲式攻击的防御方法的流程图;
图2为本申请实施例提供的一种脉冲式攻击的防御装置的结构示意图;
图3为本申请实施例提供的一种脉冲式攻击的防御设备的结构示意图。
具体实施方式
脉冲式攻击的特点为短时高峰攻击,呈脉冲型,一次攻击通常包括多轮脉冲型攻击,同时每轮攻击的攻击类型相同。基于脉冲式攻击的上述特点,本申请提供了一种脉冲式攻击的防御方法,具体的,在检测到本次攻击为脉冲式攻击时,计算下一轮攻击的开启时间,并在计算出的开启时间进入脉冲式攻击防御模式。在处于脉冲式攻击防御模式时,将接收到的报文与预先根据本次脉冲式攻击的前几轮攻击生成的黑名单进行匹配,并将匹配成功的报文进行丢弃。
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
方法实施例
参考图1,为本申请实施例提供的一种脉冲式攻击的防御方法的流程图,该方法包括:
S101:当检测到脉冲式攻击时,计算下一轮攻击的开启时间。
脉冲式攻击是指短时高峰攻击,基于该特点,本申请实施例可以在检测到预设时间内发生攻击的次数超出预设次数的攻击,确定为脉冲式攻击。例如,当检测到一小时内发生至少两轮攻击,则可以确定本次攻击属于脉冲式攻击。对于脉冲式攻击的判断不局限于上述方式,本申请实施例对此不做限定。
由于在不存在网络攻击时也开启防御功能会影响系统的整体性能,因此,为了保证对攻击到来时的及时防御,需要准确确定开启防御的时机。基于此,本申请实施例在检测到本次攻击为脉冲式攻击时,需要准确计算本次脉冲式攻击的下一轮攻击的开启时间,并在计算出的开启时间进入脉冲式攻击防御模式,以便及时对到来的脉冲式攻击进行准确防御。
实际应用中,对于脉冲式攻击,如何准确预测下一轮攻击的开启时间一直是该领域的难题,本申请实施例提供了以下几种实施方式,均能够准确预测脉冲式攻击的下一轮攻击的开启时间,保证及时准确的对攻击进行防御。
一种实施方式中,首先,基于预先记录的每轮攻击的开启时间的真实值,以及利用随机梯度上升算法模型,计算下一轮攻击的开启时间。其次,基于最近前N轮攻击的开启时间的真实值和计算值,确定所述计算值的准确率。最终,在确定准确率大于预设阈值时,在计算得到的开启时间进入脉冲式攻击防御模式。上述实施方式对于攻击间隔较规律的脉冲式攻击的开启时间的识别准确率更高。
实际应用中,可以使用配置核启动一个单独的线程计算下一轮攻击的开启时间。具体的,由转发核预先记录本次攻击中每轮攻击的开启时间的真实值,并上传至配置核。配置核基于预先记录的每轮攻击的开启时间的真实值,利用随机梯度上升算法模型,计算下一轮攻击的开启时间。为了保证开启时间的准确性,配置核基于最近N轮攻击的开启时间的真实值和计算值,确定计算值的准确率,并在准确率大于预设阈值时,在该开启时间进入脉冲式攻击防御模式;否则该开启时间无效,不能用于触发进入脉冲式攻击防御模式。
由于上述实施方式是基于本次攻击的已经完成的攻击的数据信息,对下一轮攻击的开启时间进行预测,因此,需要在本次攻击的第N轮攻击开始启用上述方式对下一轮攻击的开启时间进行预测,其中N一般不小于3。一种可选的实施方式中,转发核记录本次攻击中第一轮攻击和第二轮攻击之间的时间间隔t1,第二轮攻击和第三轮攻击之间的时间间隔t2,第三轮攻击和第四轮攻击之间的时间间隔t3,并将上述信息上传至配置核。配置核基于上述信息并利用随机梯度上升算法预测第四轮攻击和第五轮攻击之间的时间间隔T4,并计算出第五轮攻击的开启时间。另外,配置核获取预测的第三轮攻击和第四轮攻击之间的时间间隔T3,并基于t3和T3确定预测的T3的准确率,如果准确率高于预设阈值,则说明预测的时间间隔较准确,可以在预测的第五轮攻击的开启时间进入脉冲式攻击防御模式。
另一种实现方式中,基于脉冲式攻击具有短时高峰攻击的特点可知,脉冲式攻击发生时,转发核接收到预设固定个数报文所用的时间必然较短。因此,本申请实施例中,通过统计接收到的预设固定个数报文所用的时间是否小于预设第一阈值的方式,确定下一轮攻击的开启时间。
实际应用中,转发核以上一轮攻击的结束时间为起始节点,统计每接收到预设固定个数报文所用的时间t1,并判断t1是否小于预设第一阈值,当确定t1小于预设第一阈值时,将当前时间确定为下一轮攻击的开启时间,并即刻进入脉冲式攻击防御模式。为了进一步的提高预测下一轮攻击的开启时间的准确性,本申请实施例中,转发核还可以以上一轮攻击的结束时间为起始节点,统计每完成所述预设固定个数的三次握手报文的时间t2,并判断所述t2与所述t1的比值是否超过预设第二阈值;当确定所述t1小于所述第一阈值,且所述t2与所述t1的比值超过所述预设第二阈值时,将当前时间确定为下一轮攻击的开启时间。另一种实现方式中,转发核可以以当前时间为截止节点,确定当前时间之前接收到预设固定个数报文所用的时间t1是否小于预设第一阈值;当确定t1小于第一阈值时,将当前时间确定为下一轮攻击的开启时间,并即刻进入脉冲式攻击防御模式。为了进一步的提高预测下一轮攻击的开启时间的准确性,本申请实施例中,转发核还可以以当前时间为截止节点,确定当前时间之前完成预设固定个数的三次握手报文的时间t2是否超过预设第二阈值;当确定所述t1小于所述第一阈值,且所述t2与所述t1的比值超过所述预设第二阈值时,将当前时间确定为下一轮攻击的开启时间,并即刻进入脉冲式攻击防御模式。
通常,上述实现方式适用于攻击间隔没有任何规律,且攻击类型为伪造源IP地址。举例说明,一种实现方式中,假设转发核最近一次收到100个报文所用的时间t1,以及100个完成三次握手报文所用的时间t2,当确定t1小于预设第一阈值1以及t2/t1超过预设第二阈值2时,确定当前时间为下一轮攻击的开启时间,并即刻进入脉冲式攻击防御模式。
值得注意的是,本申请不局限于上述两种计算下一轮攻击的开启时间的方式,本申请对此不做限定。
S102:在所述开启时间进入脉冲式攻击防御模式。
本申请实施例中,脉冲式攻击防御模式是指针对脉冲式攻击设计的防御模式,由于在未发生脉冲式攻击时开启脉冲式攻击防御模式会消耗系统性能,因此,本申请实施例需要在准确的时机开启脉冲式攻击防御模式。
实际应用中,当检测到本次攻击为脉冲式攻击时,计算下一轮攻击的开启时间,并在计算得到的开启时间进入脉冲式攻击防御模式,以对即将到来的脉冲式攻击进行及时有效的防御。
S103:在处于所述脉冲式攻击防御模式时,将接收到的报文与预先生成的黑名单进行匹配;其中,所述黑名单用于存储本次攻击中预先收集的攻击报文的源IP地址。
S104:如果所述报文与所述黑名单匹配成功,则将所述报文丢弃。
本申请实施例中,在处于脉冲式攻击防御模式时,对于接收到的每个报文,均与预先生成的黑名单进行匹配,如果匹配成功,则说明该报文属于网络攻击报文,可以将其丢弃。
由于脉冲式攻击中每轮攻击的攻击类型相同,因此,在本次攻击的首轮攻击中如果确定属于源IP地址固定的攻击类型,则对于脉冲式攻击的后续几轮攻击均属于源IP地址固定的攻击类型。源IP地址固定的攻击是指仅来自一台或几台机器的攻击,或者来自成千上万甚至上百万的僵尸网络的攻击。基于这个特点,本申请实施例可以利用黑名单对属于源IP地址固定的脉冲式攻击进行防御。
一种实现方式中,在转发核检测到首轮攻击时,如果确定首轮攻击属于源IP地址固定的攻击类型,则将本轮攻击中攻击报文固定的源IP地址加入黑名单中,并在本轮攻击结束后将各自的黑名单上传至配置核。其中,黑名单为每核资源。配置核在接收到来自各个转发核的黑名单后,根据各个黑名单中记录的源IP地址,生成一个公共的黑名单。如果转发核确定本次攻击属于脉冲式攻击,则在下一轮攻击开始之前从配置核下载公共的黑名单,并基于该黑名单对接收到的报文进行处理。在每轮攻击结束后,转发核将前一轮攻击中记录的攻击报文的源IP地址加入自身的黑名单中,并上传至配置核,由配置核根据上传的黑名单对公共的黑名单进行更新,以便下一轮攻击中利用更新后的黑名单进行更准确攻击防御。
实际应用中,对于每个转发核而言,在处于脉冲式攻击防御模式时,每接收到一个报文,则将该报文与黑名单进行匹配,如果匹配成功,则说明该报文为攻击报文,将该报文丢弃。如果未匹配成功,则可以将该报文进行后续处理,如转发处理等。
另外,目前判断一个报文是否合法的过程较为复杂,对系统性能消耗较大,为了进一步提高脉冲式攻击防御模式中的处理效率,降低系统性能消耗,本申请实施例还可以利用白名单对接收到的报文进行处理。具体的,在处于脉冲式攻击防御模式时,转发核每接收到一个报文,则将该报文与白名单进行匹配,如果匹配成功,则说明该报文为正常流量,直接对其进行正常处理即可。
实际应用中,转发核可以在本次脉冲式攻击的两轮攻击间隔将接收到成功完成三次握手报文的源IP地址与白名单进行匹配,并在匹配失败后,将该报文的源IP地址加入白名单中。其中,白名单为每核资源,且转发核对自身白名单的处理为无锁操作,各个转发核的白名单中存储的源IP地址为正常流量中报文的源IP地址,白名单可以通过哈希表实现,每个哈希表项用于存储报文的源IP地址,并使用链表将各个哈希表项穿起来,利用lru链表控制生存周期,保证lru链表中为最近使用项。本申请实施例通过将接收到的报文与白名单进行匹配,节省了判断正常流量的报文是否合法的系统性能消耗,极大地提升了正常流量的转发处理性能。
对于与黑名单和白名单均匹配失败的报文,本申请实施例需要继续判断该报文是否合法,具体的,针对该报文进行合法性验证包括针对该报文回复错误的syn-ack响应,以验证发送端是否会正确回复reset。如果发送端的源IP地址经验证合法,则需要等待该报文再次重传才能确定该报文通过验证,为合法报文。
本申请实施例提供的脉冲式攻击的防御方法中,在检测到脉冲式攻击时,计算下一轮攻击的开启时间,并在计算出的开启时间进入脉冲式攻击防御模式。在处于脉冲式攻击防御模式时,将接收到的报文与预先根据本次攻击的前几轮攻击生成的黑名单进行匹配,并将匹配成功的报文进行丢弃。本申请实施例针对脉冲式攻击的特点,计算下一轮攻击的开启时间,并在计算出的开启时间即使进入脉冲式攻击防御模式,可见,本申请能够及时且有效的对脉冲式攻击进行防御。
进一步的,利用黑名单进行处理,能够提高防御效率以及准确性。
装置实施例
参考图2,为本申请实施例提供的一种脉冲式攻击的防御装置的结构示意图,其中,所述装置包括:
计算模块201,用于在检测到脉冲式攻击时,计算下一轮攻击的开启时间;
触发模块202,用于在所述开启时间进入脉冲式攻击防御模式;
第一匹配模块203,用于在处于所述脉冲式攻击防御模式时,将接收到的报文与预先生成的黑名单进行匹配;其中,所述黑名单用于存储本次攻击中预先收集的攻击报文的源IP地址;
丢弃模块204,用于在所述报文与所述黑名单匹配成功时,将所述报文丢弃。
为了进一步提高报文处理效率,所述装置还包括:
第二匹配模块,用于在处于所述脉冲式攻击防御模式时,无锁读取预先生成的白名单,并将接收到的报文与所述白名单进行匹配;其中,所述白名单用于存储本次攻击中预先收集的成功完成三次握手报文的源IP地址;
转发模块,用于在所述报文与所述白名单匹配成功时,对所述报文进行转发处理。
一种实现方式中,所述计算模块,包括:
计算子模块,用于基于预先记录的每轮攻击的开启时间的真实值,以及利用随机梯度上升算法模型,计算下一轮攻击的开启时间;
第一确定子模块,用于基于最近前N轮攻击的开启时间的真实值和计算值,确定所述计算值的准确率;
相应的,所述触发模块,具体用于:
在确定所述准确率大于预设阈值时,在所述开启时间进入脉冲式攻击防御模式。
本申请实施例提供的脉冲式攻击的防御装置中,在检测到脉冲式攻击时,计算下一轮攻击的开启时间,并在计算出的开启时间进入脉冲式攻击防御模式。在处于脉冲式攻击防御模式时,将接收到的报文与预先根据本次攻击的前几轮攻击生成的黑名单进行匹配,并将匹配成功的报文进行丢弃。本申请实施例针对脉冲式攻击的特点,计算下一轮攻击的开启时间,并在计算出的开启时间即使进入脉冲式攻击防御模式,可见,本申请能够及时且有效的对脉冲式攻击进行防御。
进一步的,利用黑名单进行处理,能够提高防御效率以及准确性。
另外,本申请实施例还提供了一种多脉冲式攻击的防御设备,参见图3所示,可以包括:
处理器301、存储器302、输入装置303和输出装置304。脉冲式攻击的防御设备中的处理器301的数量可以一个或多个,图3中以一个处理器为例。在本发明的一些实施例中,处理器301、存储器302、输入装置303和输出装置304可通过总线或其它方式连接,其中,图3中以通过总线连接为例。
存储器302可用于存储软件程序以及模块,处理器301通过运行存储在存储器302的软件程序以及模块,从而执行脉冲式攻击的防御设备的各种功能应用以及数据处理。存储器302可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序等。此外,存储器402可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。输入装置303可用于接收输入的数字或字符信息,以及产生与脉冲式攻击的防御设备的用户设置以及功能控制有关的信号输入。
具体在本实施例中,处理器301会按照如下的指令,将一个或一个以上的应用程序的进程对应的可执行文件加载到存储器302中,并由处理器301来运行存储在存储器302中的应用程序,从而实现上述脉冲式攻击的防御方法中的各种功能。
另外,本申请还提供了一种计算机可读存储介质,所述计算机可读存储介质中存储有指令,当所述指令在终端设备上运行时,使得所述终端设备执行上述的脉冲式攻击的防御方法。
可以理解的是,对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上对本申请实施例所提供的一种脉冲式攻击的防御方法、装置及设备进行了详细介绍,本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想;同时,对于本领域的一般技术人员,依据本申请的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本申请的限制。

Claims (10)

1.一种脉冲式攻击的防御方法,其特征在于,所述方法包括:
当检测到脉冲式攻击时,计算下一轮攻击的开启时间;
在所述开启时间进入脉冲式攻击防御模式;
在处于所述脉冲式攻击防御模式时,将接收到的报文与预先生成的黑名单进行匹配;其中,所述黑名单用于存储本次攻击中预先收集的攻击报文的源IP地址;
如果所述报文与所述黑名单匹配成功,则将所述报文丢弃。
2.根据权利要求1所述的方法,其特征在于,所述计算下一轮攻击的开启时间,包括:
基于预先记录的每轮攻击的开启时间的真实值,以及利用随机梯度上升算法模型,计算下一轮攻击的开启时间;以及,基于最近前N轮攻击的开启时间的真实值和计算值,确定所述计算值的准确率;其中,N为正整数;
相应的,所述在所述开启时间进入脉冲式攻击防御模式,具体为:
在确定所述准确率大于预设阈值时,在所述开启时间进入脉冲式攻击防御模式。
3.根据权利要求2所述的方法,其特征在于,所述方法应用于多核系统,所述多核系统包括转发核和配置核;
所述基于预先记录的每轮攻击的开启时间的真实值,以及利用随机梯度上升算法模型,计算下一轮攻击的开启时间;以及,基于最近前N轮攻击的开启时间的真实值和计算值,确定所述计算值的准确率,包括:
所述配置核基于所述转发核上传的预先记录的每轮攻击的开启时间的真实值,并利用随机梯度上升算法模型,计算下一轮攻击的开启时间;以及,所述配置核基于最近前N轮攻击的开启时间的真实值和计算值,确定所述计算值的准确率。
4.根据权利要求1所述的方法,其特征在于,所述计算下一轮攻击的开启时间,包括:
以上一轮攻击的结束时间为起始节点,统计每接收到预设固定个数报文所用的时间t1,并判断所述t1是否小于预设第一阈值;或者,以当前时间为截止节点,确定所述当前时间之前接收到预设固定个数报文所用的时间t1是否小于预设第一阈值;
当确定所述t1小于所述第一阈值时,将当前时间确定为下一轮攻击的开启时间。
5.根据权利要求4所述的方法,其特征在于,所述方法还包括:
以上一轮攻击的结束时间为起始节点,统计每完成所述预设固定个数的三次握手报文的时间t2,并判断所述t2与所述t1的比值是否超过预设第二阈值;或者,以当前时间为截止节点,确定所述当前时间之前完成所述预设固定个数的三次握手报文的时间t2是否超过预设第二阈值;
相应的,所述当确定所述t1小于所述第一阈值时,将当前时间确定为下一轮攻击的开启时间,具体为:
当确定所述t1小于所述第一阈值,且所述t2与所述t1的比值超过所述预设第二阈值时,将当前时间确定为下一轮攻击的开启时间。
6.根据权利要求1所述的方法,其特征在于,所述计算下一轮攻击的开启时间,包括:
如果接收到的任一报文与预先生成的黑名单匹配成功,则确定当前时间为下一轮攻击的开启时间。
7.根据权利要求1所述的方法,其特征在于,所述当检测到本次攻击为脉冲式攻击时,计算下一轮攻击的开启时间之前,还包括:
当检测到预设时间内发生攻击的次数超出预设次数,则确定发生脉冲式攻击。
8.一种脉冲式攻击的防御装置,其特征在于,所述装置包括:
计算模块,用于在检测到脉冲式攻击时,计算下一轮攻击的开启时间;
触发模块,用于在所述开启时间进入脉冲式攻击防御模式;
第一匹配模块,用于在处于所述脉冲式攻击防御模式时,将接收到的报文与预先生成的黑名单进行匹配;其中,所述黑名单用于存储本次攻击中预先收集的攻击报文的源IP地址;
丢弃模块,用于在所述报文与所述黑名单匹配成功时,将所述报文丢弃。
9.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有指令,当所述指令在终端设备上运行时,使得所述终端设备执行如权利要求1-6任一项所述的脉冲式攻击的防御方法。
10.一种多核系统中的会话表项超时处理设备,其特征在于,包括:存储器,处理器,及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时,实现如权利要求1-6任一项所述的脉冲式攻击的防御方法。
CN201910492932.5A 2019-06-06 2019-06-06 一种脉冲式攻击的防御方法、装置及设备 Active CN110233838B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910492932.5A CN110233838B (zh) 2019-06-06 2019-06-06 一种脉冲式攻击的防御方法、装置及设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910492932.5A CN110233838B (zh) 2019-06-06 2019-06-06 一种脉冲式攻击的防御方法、装置及设备

Publications (2)

Publication Number Publication Date
CN110233838A true CN110233838A (zh) 2019-09-13
CN110233838B CN110233838B (zh) 2021-12-17

Family

ID=67859290

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910492932.5A Active CN110233838B (zh) 2019-06-06 2019-06-06 一种脉冲式攻击的防御方法、装置及设备

Country Status (1)

Country Link
CN (1) CN110233838B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111970308A (zh) * 2020-09-03 2020-11-20 杭州安恒信息技术股份有限公司 一种防护SYN Flood攻击的方法、装置及设备
CN112073402A (zh) * 2020-08-31 2020-12-11 新华三信息安全技术有限公司 一种流量攻击检测方法及装置

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080028467A1 (en) * 2006-01-17 2008-01-31 Chris Kommareddy Detection of Distributed Denial of Service Attacks in Autonomous System Domains
CN102843367A (zh) * 2012-08-13 2012-12-26 北京神州绿盟信息安全科技股份有限公司 一种抗拒绝服务防护策略配置方法、装置及相关设备
CN103139166A (zh) * 2011-11-30 2013-06-05 中国民航大学 基于小信号检测理论的LDoS攻击检测方法
CN102457489B (zh) * 2010-10-26 2015-11-25 中国民航大学 Low-rate DoS(LDoS)攻击、检测和防御模块
CN105100017A (zh) * 2014-05-12 2015-11-25 中国民航大学 基于信号互相关的LDoS攻击检测方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080028467A1 (en) * 2006-01-17 2008-01-31 Chris Kommareddy Detection of Distributed Denial of Service Attacks in Autonomous System Domains
CN102457489B (zh) * 2010-10-26 2015-11-25 中国民航大学 Low-rate DoS(LDoS)攻击、检测和防御模块
CN103139166A (zh) * 2011-11-30 2013-06-05 中国民航大学 基于小信号检测理论的LDoS攻击检测方法
CN102843367A (zh) * 2012-08-13 2012-12-26 北京神州绿盟信息安全科技股份有限公司 一种抗拒绝服务防护策略配置方法、装置及相关设备
CN105100017A (zh) * 2014-05-12 2015-11-25 中国民航大学 基于信号互相关的LDoS攻击检测方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
吴志军, 裴宝崧: "基于小信号检测模型的LDoS 攻击检测方法的研究", 《电子学报》 *

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112073402A (zh) * 2020-08-31 2020-12-11 新华三信息安全技术有限公司 一种流量攻击检测方法及装置
CN112073402B (zh) * 2020-08-31 2022-05-27 新华三信息安全技术有限公司 一种流量攻击检测方法及装置
CN111970308A (zh) * 2020-09-03 2020-11-20 杭州安恒信息技术股份有限公司 一种防护SYN Flood攻击的方法、装置及设备

Also Published As

Publication number Publication date
CN110233838B (zh) 2021-12-17

Similar Documents

Publication Publication Date Title
CN107395632B (zh) SYN Flood防护方法、装置、清洗设备及介质
CN109194680B (zh) 一种网络攻击识别方法、装置及设备
CN107547507B (zh) 一种防攻击方法、装置、路由器设备及机器可读存储介质
CN108768942B (zh) 一种基于自适应阈值的DDoS攻击检测方法和检测装置
CN107547503B (zh) 一种会话表项处理方法、装置、防火墙设备及存储介质
Cambiaso et al. Slowcomm: Design, development and performance evaluation of a new slow DoS attack
CN109922072B (zh) 一种分布式拒绝服务攻击检测方法及装置
CN110233838B (zh) 一种脉冲式攻击的防御方法、装置及设备
CN110266650B (zh) Conpot工控蜜罐的识别方法
CN111212096B (zh) 一种降低idc防御成本的方法、装置、存储介质和计算机
CN106657126B (zh) 检测及防御DDoS攻击的装置及方法
WO2007072157A2 (en) System and method for detecting network-based attacks on electronic devices
CN109657463B (zh) 一种报文洪泛攻击的防御方法及装置
CN105577669B (zh) 一种识别虚假源攻击的方法及装置
CN110719299A (zh) 防御网络攻击的蜜罐构建方法、装置、设备及介质
CN110719256A (zh) 一种ip分片攻击防御方法、装置和网络攻击防御设备
CN108737344B (zh) 一种网络攻击防护方法和装置
CN110266668A (zh) 一种端口扫描行为的检测方法及装置
CN113242260B (zh) 攻击检测方法、装置、电子设备及存储介质
CN110958245B (zh) 一种攻击的检测方法、装置、设备和存储介质
CN111756713A (zh) 网络攻击识别方法、装置、计算机设备及介质
CN109005181B (zh) 一种dns放大攻击的检测方法、系统及相关组件
CN113312625B (zh) 一种攻击路径图构建方法、装置、设备、介质
CN107454065A (zh) 一种UDP Flood攻击的防护方法及装置
CN111294330B (zh) 用于管理存储器的方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant