CN110266678B - 安全攻击检测方法、装置、计算机设备及存储介质 - Google Patents
安全攻击检测方法、装置、计算机设备及存储介质 Download PDFInfo
- Publication number
- CN110266678B CN110266678B CN201910510857.0A CN201910510857A CN110266678B CN 110266678 B CN110266678 B CN 110266678B CN 201910510857 A CN201910510857 A CN 201910510857A CN 110266678 B CN110266678 B CN 110266678B
- Authority
- CN
- China
- Prior art keywords
- destination
- session
- source
- source end
- traffic
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
Abstract
本发明公开了一种安全攻击检测方法、装置、计算机设备及存储介质,所述安全攻击检测方法包括:获取镜像流量;针对请求连接所述目的端的源端,根据所述镜像流量创建所述源端与所述目的端之间的会话;对所述镜像流量中对应于所述会话的第一特定报文进行丢弃处理,等待所述源端针对所述第一特定报文进行重传;将所述源端重传的所述第一特定报文转发至所述目的端,通过对所述会话的跟踪,检测所述源端是否进入连接建立状态;如果检测到所述源端未进入所述连接建立状态,则确认所述目的端受到来自于所述源端的TCP反射攻击,对待传输至目的端的流量中对应于所述会话的流量进行拦截。采用本发明解决了现有技术中安全攻击检测存在较高的误检率的问题。
Description
技术领域
本发明涉及计算机技术领域,尤其涉及一种安全攻击检测方法、装置、计算机设备及存储介质。
背景技术
DDOS是英文Distributed Denial of Service的缩写,为“分布式拒绝服务”。DDOS类型的安全攻击,是指攻击者通过控制分布在互联网各处的僵尸网络,向攻击目标(例如服务器)发起大量看似合法实质恶意的业务请求,以消耗或者长期占用攻击目标的大量资源,导致攻击目标无法响应正常的业务请求,从而达到攻击目标拒绝服务的目的。
目前,DDOS类型的安全攻击主要包括:synack伪造攻击、UDP(User DatagramProtocol,用户数据报协议)反射攻击、TCP(Transmission Control Protocol传输控制协议)反射攻击等等。针对上述安全攻击,防护方案要么通过tcp源端口封禁,要么通过syn/ack报文限速或者封禁,都有可能对正常的业务请求造成误杀。
由此可知,现有的安全攻击检测仍存在较高的误检率。
发明内容
为了解决相关技术中安全攻击检测存在较高的误检率的问题,本发明各实施例提供一种安全攻击检测方法、装置、计算机设备及存储介质。
其中,本发明所采用的技术方案为:
根据本发明的一方面,一种安全攻击检测方法,包括:获取镜像流量,所述镜像流量是对待传输至目的端的流量进行分光生成的,所述待传输至目的端的流量是源端请求连接所述目的端产生的;针对请求连接所述目的端的源端,根据所述镜像流量创建所述源端与所述目的端之间的会话;对所述镜像流量中对应于所述会话的第一特定报文进行丢弃处理,等待所述源端针对所述第一特定报文进行重传;将所述源端重传的所述第一特定报文转发至所述目的端,通过对所述会话的跟踪,检测所述源端是否进入连接建立状态;如果检测到所述源端未进入所述连接建立状态,则确认所述目的端受到来自于所述源端的TCP反射攻击,对待传输至目的端的流量中对应于所述会话的流量进行拦截。
在本发明的一实施例中,所述通过对所述会话的跟踪,检测所述源端是否进入连接建立状态之后,所述方法还包括:如果检测到所述源端进入所述连接建立状态,则确认所述目的端未受到来自于所述源端的TCP反射攻击,将所述会话存储为连接信任会话;将待传输至所述目的端的流量传输至所述目的端。
根据本发明的一方面,一种安全攻击检测装置,包括:流量获取模块,用于获取镜像流量,所述镜像流量是对待传输至目的端的流量进行分光生成的,所述待传输至目的端的流量是源端请求连接所述目的端产生的;会话创建模块,用于针对请求连接所述目的端的源端,根据所述镜像流量创建所述源端与所述目的端之间的会话;报文丢弃模块,用于对所述镜像流量中对应于所述会话的第一特定报文进行丢弃处理,等待所述源端针对所述第一特定报文进行重传;会话跟踪模块,用于将所述源端重传的所述第一特定报文转发至所述目的端,通过对所述会话的跟踪,检测所述源端是否进入连接建立状态;如果检测到所述源端未进入所述连接建立状态,则确认所述目的端受到来自于所述源端的TCP反射攻击,通知流量拦截模块;所述流量拦截模块,用于对待传输至目的端的流量中对应于所述会话的流量进行拦截。
根据本发明的一方面,一种计算机设备,包括处理器及存储器,所述存储器上存储有计算机可读指令,所述计算机可读指令被所述处理器执行时实现如上所述的安全攻击检测方法。
根据本发明的一方面,一种存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现如上所述的安全攻击检测方法。
在上述技术方案中,通过重传防护机制+连接建立防护机制,对DDOS类型的安全攻击进行检测,能够有效地防止DDOS类型的安全攻击,而且对正常的业务请求不存在任何的误杀。
具体而言,重传防护机制包括:获取镜像流量,根据该镜像流量创建源端与目的端之间的会话,以对该镜像流量中对应于该会话的第一特定报文进行丢弃处理,等待源端针对该第一特定报文进行重传。如果未接收到源端重传的第一特定报文,则确认目的端受到来自于源端的synack伪造攻击。
连接建立防护机制包括:当接收到源端重传的第一特定报文,将所述源端重传的所述第一特定报文转发至所述目的端,便对会话进行跟踪,以此检测源端是否进入连接建立状态,如果检测到源端未进入连接建立状态,则确认目的端受到来自于源端的TCP反射攻击。
当目的端受到来自于源端的安全攻击,便对会话对应的流量进行拦截,从而高效、准确地检测和防护了DDOS类型的安全攻击,解决了现有技术中安全攻击检测存在较高的误检率的问题。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本发明。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本发明的实施例,并于说明书一起用于解释本发明的原理。
图1是根据本发明所涉及的TCP反射攻击的系统架构的示意图。
图2是根据本发明所涉及的实施环境的示意图。
图3是根据一示例性实施例示出的一种服务器的硬件结构框图。
图4是根据一示例性实施例示出的一种安全攻击检测方法的流程图。
图5是根据一示例性实施例示出的另一种安全攻击检测方法的流程图。
图6是根据一示例性实施例示出的另一种安全攻击检测方法的流程图。
图7是图4、图5、图6对应实施例中步骤330在一个实施例的流程图。
图8是图7对应实施例中步骤333在一个实施例的流程图。
图9是图4、图5、图6对应实施例中步骤330在另一个实施例的流程图。
图10是图4、图5、图6对应实施例中步骤350在一个实施例的流程图。
图11是根据一示例性实施例示出的源端进入连接建立状态的示意图。
图12是图4、图5、图6对应实施例中步骤370在一个实施例的流程图。
图13是图12对应实施例中步骤375在一个实施例的流程图。
图14是根据一示例性实施例示出的目的端受到安全攻击时源端未进入连接建立状态的示意图。
图15是根据一示例性实施例示出的目的端受到安全攻击并反馈复位报文时源端未进入连接建立状态的示意图。
图16是图4、图5、图6对应实施例中步骤390在一个实施例的流程图。
图17是图16对应实施例中步骤395在一个实施例的流程图。
图18是根据一示例性实施例示出的一种安全攻击检测装置的框图。
图19是根据一示例性实施例示出的一种计算机设备的框图。
通过上述附图,已示出本发明明确的实施例,后文中将有更详细的描述,这些附图和文字描述并不是为了通过任何方式限制本发明构思的范围,而是通过参考特定实施例为本领域技术人员说明本发明的概念。
具体实施方式
这里将详细地对示例性实施例执行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本发明相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本发明的一些方面相一致的装置和方法的例子。
如前所述,DDOS类型的安全攻击主要包括:synack伪造攻击、UDP(User DatagramProtocol,用户数据报协议)反射攻击、TCP(Transmission Control Protocol传输控制协议)反射攻击等等。
以TCP反射攻击为例说明下安全攻击防护的大体过程。
如图1所示,攻击者Attacker通过IP地址欺骗方式,伪造攻击目标Target Server的IP地址向公网上的TCP服务器TCP Server发起连接请求,待TCP服务器TCP Server接收到该连接请求之后,TCP服务器TCP Server便会向攻击目标Target Server返回应答消息。
由于攻击目标Target Server实际并未向TCP服务器TCP Server发起连接请求,于是,攻击目标Target Server接收到的大量应答消息实际并不属于自己的连接进程,最终造成带宽、CPU等资源耗尽,而拒绝服务。
在此说明的是,对于攻击目标Target Server而言,其所提供的服务是随着其类型有所变化的,例如,攻击目标Target Server为一个网关,则对于客户端而言,实质是借助与该网关交互,来访问公网上的TCP服务器,进而实现相关业务,业务包括但不限于:网页浏览、视频观看、文档下载等等。相应地,客户端,指的是运行于用户设备的应用程序,例如,浏览器、媒体播放器、阅读器等等。
为此,防护方案主要包括两种:tcp源端口封禁和syn/ack报文限速或者封禁。
其中,tcp源端口封禁,是指由于TCP服务器用于与攻击目标建立连接的TCP端口是固定的,例如端口号为80/443/22/21/3389等等的TCP端口,该些TCP端口攻击者在攻击过程中尚无法伪造或者修改,所以,在发生TCP反射攻击之后,如果可以确认攻击目标并没有对外访问这些TCP端口,便可以将这些TCP端口封禁,以此来防护TCP反射攻击。
syn/ack报文限速或者封禁,指的是TCP服务器向攻击目标返回的应答消息通过syn/ack报文(同步响应报文)实现,进行防护时,可以对syn/ack报文进行限速,来缓解TCP反射攻击。
或者,如果确认攻击目标不会主动对TCP服务器发起连接请求,那么,正常情况下攻击目标将不会接收到TCP服务器返回的syn/ack报文,此时,便可以封禁syn/ack报文,以此实现对TCP反射攻击的防护。
上述防护过程中,由于攻击者使攻击流量由公网上的TCP服务器发送,使得攻击流量变成真实的IP攻击,并且存在协议栈行为,而更加地贴近正常的业务流量,导致DDOS类型的安全攻击不仅具有隐蔽性强、难以防御等特性,上述防护方案虽然能够在一定程度上能够达到防护目的,由于尚无法准确地区分正常的业务流量和攻击流量,防护过程中仍不可避免地存在对正常的业务流量造成一定误杀的现象。
例如,如果攻击目标需要主动对外发起连接请求,而且请求连接的端口恰好包含了:端口号为80/443/22/21/3389等等的TCP端口,例如,攻击目标是一个网关,用户设备上运行的客户端便需要借助该网关访问上述TCP端口,以此实现网页浏览、视频观看、文档下载等等业务,此时,如果封禁了上述TCP端口,就会对正常的业务流量造成误杀。
同样,如果攻击目标需要主动对外发起连接请求,就意味着攻击目标正常的业务流量中会包含TCP服务器返回的syn/ack报文,此时,如果对这种报文限速或者封禁,将导致攻击目标无法对外发起TCP访问。
此外,对syn/ack报文限速虽然可以在一定程度上缓解对正常的业务流量的误杀,但是由于此限速针对正常的业务流量和攻击流量只能做到无差别限制,所以不可避免地仍然存在一定程度的误杀风险。
而且,如果攻击源(公网上的TCP服务器)特别多,虽然对于每一个攻击源而言,限速达到了一定流量,但是总的攻击流量仍然很大,不可避免地存在大量的攻击流量透传,而使得防护效果差。
由上可知,现有的安全攻击检测仍存在误检率较高的缺陷。
为此,本发明特提出了一种安全攻击检测方法,能够有效地防止DDOS类型的安全攻击,而且对正常的业务流量不存在任何的误杀。
相应地,与之匹配的安全攻击检测装置被部署在具备冯诺依曼体系架构的计算机设备,例如,该计算机设备包括但不限于台式电脑、笔记本电脑、服务器等等,以实现安全攻击检测方法。
图2为一种安全攻击检测方法所涉及的实施环境的示意图。该实施环境包括源端110、目的端130、路由器151、网关153和安全攻击检测装置170。
具体地,源端110和目的端130均可以是一台服务器,也可以是由多台服务器构成的服务器集群,甚至是由多台服务器构成的云计算中心。此服务器是为用户提供后台服务的计算机设备,例如,后台服务包括但不限于安全检测攻击服务等等。
如果目的端130需要访问源端110,便会借由路由器151、网关153主动对外发起连接请求,此时,源端110会接收到来自于目的端130的连接请求,将向目的端130返回应答消息,以此建立源端110与目的端130之间的连接,进而通过该连接完成源端110与目的端130之间的数据传输。例如,传输的数据包括但不限于正常的业务流量、攻击流量等等,从而实现目的端130对外访问需求。
一旦受到安全攻击,目的端130将会接收到大量不属于其自身连接进程的应答消息,此时,便可以启动安全攻击检测装置170达到安全攻击防护目的。其中,该安全攻击检测装置170部署在具备冯诺依曼体系架构的计算机设备,例如,该计算机设备为服务器。
该安全攻击检测装置170所部署的计算机设备,分别与源端110、目的端130之间通过无线或者有线方式建立网络连接,以基于该网络连接实现彼此之间的数据传输,例如,传输的数据包括正常的业务流量、攻击流量等。
具体地,如图2所示,安全攻击检测装置170包括攻击检测模块171、控制模块173和防护模块175。
首先,由攻击检测模块171针对待传输至目的端130的流量进行安全攻击检测,如果检测到存在安全攻击,便会向控制模块173发出告警。
此时,控制模块173便会根据该告警通知防护模块175进行安全攻击防护,将待传输至目的端130的流量中的攻击流量拦截。
最后,由防护模块175将待传输至目的端130的流量中的正常的业务流量回注,即传输至目的端130。
通过上述过程,能够有效地区分正常的业务流量和攻击流量,实现对正常的业务流量的零误杀。
根据实际营运的需要,攻击检测模块171、控制模块173和防护模块175既可以整合在同一服务器集群为用户提供安全攻击检测服务,也可以分别配置独立的服务器集群,以便于高效地执行安全攻击检测,提高用户体验。
图3是根据一示例性实施例示出的一种服务器的硬件结构框图。该种服务器适用于图2所示出实施环境中的安全攻击检测装置170部署的计算机设备。
需要说明的是,该种服务器只是一个适配于本发明的示例,不能认为是提供了对本发明的使用范围的任何限制。该种服务器也不能解释为需要依赖于或者必须具有图3中示出的示例性的服务器200中的一个或者多个组件。
服务器200的硬件结构可因配置或者性能的不同而产生较大的差异,如图3所示,服务器200包括:电源210、接口230、至少一存储器250、以及至少一中央处理器(CPU,Central Processing Units)270。
具体地,电源210用于为服务器200上的各硬件设备提供工作电压。
接口230包括至少一有线或无线网络接口,用于与外部设备交互。例如,进行图1所示出实施环境中安全攻击检测装置170部署的计算机设备分别与源端110、目的端130之间的交互。
当然,在其余本发明适配的示例中,接口230还可以进一步包括至少一串并转换接口233、至少一输入输出接口235以及至少一USB接口237等,如图3所示,在此并非对此构成具体限定。
存储器250作为资源存储的载体,可以是只读存储器、随机存储器、磁盘或者光盘等,其上所存储的资源包括操作系统251、应用程序253及数据255等,存储方式可以是短暂存储或者永久存储。
其中,操作系统251用于管理与控制服务器200上的各硬件设备以及应用程序253,以实现中央处理器270对存储器250中海量数据255的运算与处理,其可以是WindowsServerTM、Mac OS XTM、UnixTM、LinuxTM、FreeBSDTM等。
应用程序253是基于操作系统251之上完成至少一项特定工作的计算机程序,其可以包括至少一模块(图3中未示出),每个模块都可以分别包含有对服务器200的一系列计算机可读指令。例如,图2实施环境中的安全攻击检测装置170可视为部署于服务器的应用程序253。
数据255可以是存储于磁盘中的照片、图片等,还可以是会话等,存储于存储器250中。
中央处理器270可以包括一个或多个以上的处理器,并设置为通过至少一通信总线与存储器250通信,以读取存储器250中存储的计算机可读指令,进而实现对存储器250中海量数据255的运算与处理。例如,通过中央处理器270读取存储器250中存储的一系列计算机可读指令的形式来完成安全攻击检测方法。
此外,通过硬件电路或者硬件电路结合软件也能同样实现本发明,因此,实现本发明并不限于任何特定硬件电路、软件以及两者的组合。
请参阅图4,在一示例性实施例中,一种安全攻击检测方法适用于图2所示实施环境中的安全攻击检测装置,该安全攻击检测装置部署的计算机设备的结构可以如图3所示。
该种安全攻击检测方法可以由安全攻击检测装置执行,也可以理解为由安全攻击检测装置部署的计算机设备执行。在下述方法实施例中,为了便于描述,以各步骤的执行主体为安全攻击检测装置加以说明,但是并不对此构成限定。
该种安全攻击检测方法可以包括以下步骤:
步骤310,获取镜像流量。
首先,对于目的端而言,如果需要对外访问,例如,源端为公网上的TCP服务器,目的端向TCP服务器发起连接请求,以便于目的端实现对外浏览网页、访问外网服务器。
那么,待传输至目的端的流量,是TCP服务器请求连接目的端产生的,即视为TCP服务器接收到目的端的连接请求而返回的应答消息,例如,遵循TCP/IP传输协议时,该应答消息包括但不限于:同步响应报文(syn/ack报文)、响应报文(ack报文)、数据响应报文(pshack报文)等等。
其次,在目的端对外访问过程中,随时可能受到攻击者的攻击,而导致TCP服务器返回并不属于目的端自身连接进程的流量,即攻击流量,此时,待传输至目的端的流量,将不仅包含有正常的业务流量,还将包含攻击流量。
为了拦截攻击流量,便需要针对待传输至目的端的流量进行安全攻击检测,以达到安全攻击防护效果。
镜像流量,是对待传输至目的端的流量进行分光生成的,目的在于使得待传输至目的端的流量得以完全真实的还原,以便于安全攻击检测装置对待传输至目的端的流量进行安全攻击检测。分光,实质是通过路由器将待传输至目的端的流量拷贝至本地,即安全攻击检测装置。由此,对于安全攻击检测装置而言,便可获得与待传输至目的端相一致的镜像流量。
通过如此设置,在安全攻击检测装置对镜像流量进行安全攻击检测期间,待传输至目的端的流量仍将由至少一个源端传输至目的端,即目的端仍将接收到源端返回的应答消息,以便于目的端能够实现对外访问。也就是说,对于发起对外访问的目的端而言,安全攻击检测不会影响其所请求的服务,其对所发生的安全攻击检测是无感知的。
步骤330,针对请求连接所述目的端的源端,根据所述镜像流量创建所述源端与所述目的端之间的会话。
应当理解,对于目的端而言,其接收到的应答消息可能是海量的,其会不间断地接收到各个源端借助不同的TCP端口(例如端口号为80/443/22/21/3389等等的TCP端口)返回的应答消息,进而与各个源端之间建立连接,以此达到对外访问的目的。
也就是说,即使同一个源端,如果使用的TCP端口不同,其与目的端之间建立的连接有所差别。或者,即使同一个源端的同一个TCP端口,如果使用的目的端的TCP端口不同,那么,也将使得源端与目的端之间的建立连接各不相同。
本实施例中,基于镜像流量,创建源端与目的端之间的会话。由此,在源端与目的端之间的会话完成创建之后,针对镜像流量进行的安全攻击检测,实质是针对镜像流量中每一个会话对应的流量进行的,以此达到全方面的安全攻击防护效果。
会话,实质是基于源端的IP地址、TCP端口,以及目的端的IP地址、TCP端口,在源端与目的端之间建立的传输通道,以便于后续能够实现二者之间的数据传输。例如,传输的数据包括但不限于:应答消息、连接请求等等。
关于会话的创建,其所需要的源端的IP地址、TCP端口、以及目的端的IP地址、TCP端口,可以从镜像流量中获得。
当然,根据应用场景的实际需要,会话可以遵循UDP传输协议,也可以遵循TCP/IP传输协议,遵循哪种传输协议也可以由镜像流量中得到,本实施例对此并未构成具体限定。
步骤350,对所述镜像流量中对应于所述会话的第一特定报文进行丢弃处理,等待所述源端针对所述第一特定报文进行重传。
首先描述正常情况下,源端与目的端之间建立连接的过程。如图11所示,源端与目的端之间欲成功建立连接,基于源端与目的端之间的会话,需要进行三次握手过程:
第一次握手,目的端(被攻击服务器)向TCP服务器发起连接请求,也视为,目的端向TCP服务器发送同步报文(syn报文)。
第二次握手,当TCP服务器接收到该同步报文,便返回同步响应报文至目的端。经过两次握手,目的端与源端之间的单向连接便完成建立,即目的端进入连接建立状态,为了进一步建立目的端与源端之间的双向连接,还将进行第三次握手。
第三次握手,在目的端接收到TCP服务器返回的同步响应报文之后,便会向TCP服务器发送响应报文,由此,即完成源端与目的端之间的连接建立,即源端也进入连接建立状态。
此时,源端与目的端之间便可进行数据传输,例如,待传输的数据为数据响应报文,进而使得目的端实现对外访问需求。
发明人意识到,连接建立过程中,对于TCP服务器而言,如果未受到安全攻击,将具备协议栈超时重传行为,也即是,如果TCP服务器在设定时长范围内没有接收到目的端发送的响应报文,将重复发送同步响应报文至目的端;反之,如果受到synack伪造攻击,TCP服务器接收到的同步报文实际上来自于攻击者,将不具备协议栈相关行为,即使在设定时长范围内没有接收到目的端发送的响应报文,也不会针对同步响应报文进行重传。
由此,本实施例中,基于TCP服务器是否具备协议栈超时重传行为,针对镜像流量设置第一重防护,即重传防护机制。
具体地,对于安全检测装置而言,从镜像流量中获取对应于会话的流量,也即是,对应于会话的第一特定报文,并丢弃该第一特定报文,以等待TCP服务器针对该第一特定报文进行重传。
此时,对于目的端而言,无论该TCP服务器是否为攻击源,由于未接收到第一特定报文,便不会作出任何响应。而就TCP服务器来说,如果正常,便会因为目的端的不响应,而重传第一特定报文。
相应地,对于安全攻击检测装置而言,如果接收到源端重传的第一特定报文,即表示源端具备协议栈重传行为,未受到synack伪造攻击,则执行步骤370。
反之,如果未接收到源端重传的第一特定报文,即表示源端因受到synack伪造攻击而不具备协议栈重传行为,则执行步骤410,如图5所示。
基于上述过程,因synack伪造攻击产生的攻击流量,便能够在重传防护机制的防护下被拦截。
步骤370,将所述源端重传的所述第一特定报文转发至所述目的端,通过对所述会话的跟踪,检测所述源端是否进入连接建立状态。
在接收到源端重传的第一特定报文之后,便能够将该第一特定报文转发至目的端,对于目的端而言,便会接收到该第一特定报文。
如前所述,源端为TCP服务器,第一特定报文为同步响应报文,在目的端接收到TCP服务器返回的同步响应报文之后,便会向TCP服务器发送响应报文,以便于TCP服务器与目的端之间能够完成双向连接的建立,令TCP服务器进入连接建立状态。
然而,发明人意识到,如果TCP服务器受到TCP反射攻击,即TCP服务器向目的端返回的同步响应报文并非属于目的端自身的连接进程,此时,对于目的端而言,本质上并不会对该同步响应报文进行回应,即不发送响应报文至TCP服务器,并将接收到的同步响应报文丢弃。那么,TCP服务器由于接收不到目的端发送的响应报文,而无法进入连接建立状态。
基于此,本实施例中,针对镜像流量,设置第二重防护,即连接建立防护机制,具体地,通过对会话进行跟踪,检测源端是否进入连接建立状态。
如果检测到源端未进入连接建立状态,则确认目的端受到来自于源端的TCP反射攻击,并执行步骤390。
反之,如果检测到源端已进入连接建立状态,则确认目的端未受到来自于源端的TCP反射攻击,并执行步骤510,如图6所示。
步骤390,如果检测到所述源端未进入所述连接建立状态,则确认所述目的端受到来自于所述源端的TCP反射攻击,对待传输至目的端的流量中对应于所述会话的流量进行拦截。
在确认目的端受到来自于所述源端的TCP反射攻击之后,便能够在连接建立防护机制的防护下,将因TCP反射攻击产生的攻击流量拦截,也即是,待传输至目的端的流量中对应于会话的流量被拦截。
通过如上所述的过程,实现了双重防护机制的安全攻击检测方法,在不造成正常的业务流量误杀的前提下,高效、准确地识别和防护安全攻击产生的攻击流量,避免目的端因受到安全攻击而拒绝服务,进而充分保障了业务的持续稳定和可使用性。
请参阅图5,在一示例性实施例中,步骤350之后,如上所述的方法还可以包括以下步骤:
步骤410,如果未接收到所述源端重传的所述第一特定报文,则确认所述目的端受到来自于所述源端的synack伪造攻击,将所述会话存储为攻击会话,并执行步骤390’,即所述对待传输至目的端的流量中对应于所述会话的流量进行拦截的步骤。
在确认目的端受到来自于源端的synack伪造攻击之后,便会记录相应的会话为攻击会话。
同时,该会话对应的流量视为攻击流量,在重传防护机制的防护下被拦截,而未能够传输至目的端。
在上述实施例的作用下,针对synack伪造攻击,有效地区分了正常的业务流量和攻击流量,使得误杀率为零。
此外,实现了安全攻击检测中的会话记录,以便于作为封禁攻击源的依据,有利于提高安全攻击检测的准确率。
请参阅图6,在一示例性实施例中,步骤370之后,如上所述的方法还可以包括以下步骤:
步骤510,如果检测到所述源端进入所述连接建立状态,则确认所述目的端未受到来自于所述源端的TCP反射攻击,将所述会话存储为连接信任会话,并将待传输至所述目的端的流量传输至所述目的端。
在确认目的端未受到来自于源端的TCP反射攻击之后,也会对相应的会话进行记录,即,该会话记录为连接信任会话。
此时,该会话对应的流量视为正常的业务流量,则被允许传输至目的端。在上述实施例的作用下,针对TCP反射攻击,有效地区分了正常的业务流量和攻击流量,使得误杀率为零。
此外,实现了安全攻击检测中的会话记录,以便于作为封禁攻击源的依据,进一步有效地提高安全攻击检测的准确率。
请参阅图7,在一示例性实施例中,步骤330可以包括以下步骤:
步骤331,从所述镜像流量中,提取得到所述源端的会话信息和所述目的端的会话信息。
其中,源端的会话信息,用于指示源端的IP地址、TCP端口。
目的端的会话信息,用于指示目的端的IP地址、TCP端口。
应当理解,镜像流量,实质是遵循了特定传输协议的报文,该报文中设置了不同的字段,例如,源IP字段、目的IP字段、源端口字段、目的端口字段、syn字段、ack字段、psh字段等等,以此表示该报文从何处来,需要发往何处,以及表示传输的不同过程、数据内容等等。例如,源IP字段表示报文的源端,目的IP字段表示报文的目的端,syn字段和ack字段用于指示连接建立过程,psh字段表示数据内容,用于指示数据传输过程。
由此可知,在获得镜像流量之后,便可从中得到相应的会话信息,并以此进一步地确定创建会话需要的源端的IP地址、TCP端口、目的端的IP地址、TCP端口。
步骤333,根据所述源端的会话信息和所述目的端的会话信息,创建所述源端与所述目的端之间的会话。
如图8所示,在一实施例的实现中,步骤333可以包括以下步骤:
步骤3331,根据所述源端的会话信息确定所述源端的IP地址、TCP端口,以及根据所述目的端的会话信息确定所述目的端的IP地址、TCP端口。
步骤3333,以所述源端的IP地址、TCP端口作为第一传输端,以所述目的端的IP地址、TCP端口作为第二传输端。
步骤3335,在所述第一传输端与所述第二传输端之间建立传输通道,形成所述源端与所述目的端之间的会话。
举例来说,假设源端的IP地址为IP1,目的端的IP地址为IP2,源端的TCP端口的端口号包括Port1和Port2,目的端的TCP端口的端口号为Port3。
那么,第一传输端可以表示为T1[IP1,Port1]、T2[IP1,Port2],第二传输端可以表示为T3[IP2,Port3]。相应地,源端与目的端之间能够创建的会话可以表示为:[T1,T3]、[T2,T3]。
可以看出,会话不同,建立在源端与目的端之间的传输通道将有所区别,进而使得在不同传输通道中传输的流量也各不相同,基于此,在进行安全攻击检测时,是针对每一个会话对应的流量进行,从而达到全方面的安全攻击防护效果。
请参阅图9,在一示例性实施例中,步骤331之后,步骤330可以包括以下步骤:
步骤332,根据所述源端的会话信息,确认所述源端是否首次请求连接所述目的端。
由于源端的会话信息指示了源端的IP地址、TCP端口,那么,便能够根据源端的会话信息,实质上根据源端的IP地址、TCP端口,来判断该源端是否首次请求连接目的端。
如前所述,对于每一个请求连接目的端的源端而言,只要是针对该源端与目的端之间创建的会话进行了安全攻击检测,该会话便会存在相应的记录,要么记录为攻击会话,要么记录为信任会话。其中,信任会话进一步包括通过重传防护机制的会话和通过连接建立防护机制的会话,分别定义为重传信任会话和连接信任会话。
如上述例子所描述的,会话表示为[第一传输端,第二传输端],也即是反映出[源IP地址、源TCP端口、目的端IP地址、目的端TCP端口],那么,对会话进行记录,实质是对源IP地址、源TCP端口、目的端IP地址、目的端TCP端口进行存储。
由上可知,如果源端第一次请求连接目的端,该源端的IP地址、TCP端口是不会作为会话的一部分被存储的,则执行步骤333,即所述根据所述源端的会话信息和所述目的端的会话信息,创建所述源端与所述目的端之间的会话的步骤。
反之,如果源端并非第一次请求连接目的端,此时,由该源端与目的端创建的会话已经进行过安全攻击检测,即该会话存在相关记录,此时,便可通过记录来判断该会话是否为信任会话,进而判断是否需要进行攻击流量的拦截。
在上述过程中,利用安全攻击检测过程中记录的会话,对需要创建会话的源端进行了筛选,避免针对同一个会话进行多次安全攻击检测,从而进一步有效地提高了安全攻击检测的效率。
请参阅图10,在一示例性实施例中,步骤350可以包括以下步骤:
步骤351,确认所述镜像流量中对应于所述会话的第一特定报文是否为所述连接建立过程中的第一个同步响应报文。
步骤353,如果对应于所述会话的第一特定报文是连接建立过程中的第一个同步响应报文,则丢弃该第一个同步响应报文,并针对所述会话启动第一计时器。
如图11所示,在连接建立过程中,在目的端向源端发送同步报文之后,源端将向目的端发送第一个同步响应报文,由此,安全攻击检测装置基于镜像流量,便能够接收到该第一个同步响应报文。
基于重传防护机制,安全攻击检测装置便会将该第一个同步响应报文丢弃,同时启动第一计时器,以此检测源端是否具备协议栈超时重传行为,即重传同步响应报文。
步骤355,通过所述第一计时器的数值,确认所述源端重传所述同步响应报文是否超时。
如果接收到源端重传的同步响应报文,且第一计时器的数值在设定时长范围内,则确认源端重传同步响应报文未超时,视为所述源端已重传所述同步响应报文,进而执行步骤370,即所述将所述源端重传的所述第一特定报文转发至所述目的端,通过对所述会话的跟踪,检测所述源端是否进入连接建立状态的步骤。
反之,如果第一计时器的数值超过设定时长,且未接收到源端重传的同步响应报文,则确认源端重传同步响应报文超时,视为所述源端重传所述同步响应报文失败,进而执行步骤410,即所述如果未接收到所述源端重传的所述第一特定报文,则确认所述目的端受到来自于所述源端的synack伪造攻击的步骤。
通过上述实施例的配合,实现了第一重防护,即重传防护机制,以此有效地区分synack伪造攻击和TCP反射防护攻击,进而有利于后续进一步针对TCP反射防护攻击进行有效地检测,从而保证安全攻击检测的准确性。
请参阅图12,在一示例性实施例中,步骤370可以包括以下步骤:
步骤371,转发所述源端重传的所述第一特定报文至所述目的端,并针对所述会话启动第二计时器。
应当理解,目的端在针对源端重传的第一特定报文进行响应之前,首先确认该第一特定报文是否属于自身的连接进程,如果属于自身的连接进程,便会向源端返回响应报文。
反之,如果不属于自身的连接进程,目的端可以直接丢弃该第一特定报文,或者,在丢弃该第一特定报文之后,返回复位报文至源端,以通过复位报文通知源端不要再重复发送第一特定报文,从而避免带宽、CPU等资源被不属于自身的连接进程占用。
此外,为了避免等待时间过长,将启动第二计时器,以此充分地保障目的端与源端之间的数据传输超时。
步骤373,在所述第二计时器的数值未超过设定时长时,接收所述源端发送的第二特定报文,并确认所述第二特定报文的报文类型。
针对目的端基于不属于自身连接进程的第一特定报文的不同反映,源端发送的第二特定报文将有所区别。
一方面,如果目的端仅丢弃了第一特定报文,此时,源端便会因为目的端不作响应而重复地发送第一特定报文,如图14所示。
另一方面,如果目的端不仅丢弃了第一特定报文,还返回了复位报文,如图15所示,此时,源端便不会再重复发送第一特定报文,那么,源端有可能向目的端发送响应报文,以实现源端与目的端之间的连接建立,或者,基于源端与目的端之间建立的连接,进行数据响应报文的发送,又或者,因源端未发送任何报文,而导致源端与目的端之间连接建立失败。
也就是说,第二特定报文,可以是同步响应报文,还可以是响应报文或者数据响应报文。
对于安全攻击检测装置来说,基于镜像流量,便能够接收到源端发送的第二特定报文。
补充说明的是,只有在第二计时器的数值未超过设定时长范围内,接收到源端发送的第二特定报文,方能够执行步骤375。
此处,设定时长可以根据应用场景的实际需要灵活地设置,例如,设定时长为10s,在此并未加以限定。
步骤375,根据所述第二特定报文的报文类型,判断所述源端是否进入连接建立状态。
在确认第二特定报文的报文类型之后,便可基于该报文类型确认源端是否进入连接建立状态。
具体而言,一方面,第二特定报文为同步响应报文时,在一实施例的实现中,如图13所示,步骤375可以包括以下步骤:
步骤3751,当所述报文类型指示所述第二特定报文为同步响应报文时,基于所述会话,统计接收到同步响应报文的数量。
发明人意识到,如果出现网络问题也可能导致未受攻击的源端重复发送同步响应报文,为此,本实施例,将对接收到同步响应报文的数量进行统计。只有当接收到的同步响应报文的数量超过设定数量了,创建该会话的源端才会被视为攻击源,进而认为该源端未进入连接建立状态,即执行步骤3753。
步骤3753,如果接收到同步响应报文的数量超过设定数量,则确认所述源端未进入连接建立状态。
另一方面,第二特定报文为响应报文或者数据响应报文时,在另一实施例的实现中,步骤373之前可以包括以下步骤:
将所述目的端发送的复位报文转发至所述源端,使得所述源端停止发送同步响应报文。
此时,步骤375可以包括以下步骤:
如果所述报文类型指示所述第二特定报文为响应报文或者数据响应报文,则确认所述源端进入连接建立状态。
在上述过程中,实现了第二重防护,即连接建立防护机制,以此有效地对TCP反射防护攻击进行检测和防护,充分保障了安全攻击检测的准确性。
请参阅图16,在一示例性实施例中,步骤390可以包括以下步骤:
步骤391,如果检测到所述源端未进入所述连接建立状态,则确认所述目的端受到来自于所述源端的TCP反射攻击,将所述会话作为攻击会话。步骤393,统计所述会话作为攻击会话的次数。
在确认目的端受到来自于源端的TCP反射攻击之后,便会记录相应的会话为攻击会话。
发明人意识到,如果出现网络问题也可能导致源端未进入连接建立状态,例如,网络延时过大,使得源端重传同步响应报文超时,或者,源端接收不到目的端发送的响应报文。
为此,本实施例,在会话被记录为攻击会话之后,还将进一步统计该会话作为攻击会话的次数。只有当该会话作为攻击会话的次数超过设定次数了,创建该会话的源端才会被视为攻击源,进而进行攻击流量的拦截,即执行步骤395。
也就是说,安全攻击检测中记录的会话,将作为封禁攻击源的依据,以此避免对正常的业务流量的误杀。
步骤395,如果所述次数超过设定次数,则针对所述会话,对待传输至所述目的端的流量进行流量清洗。
具体地,如图17所示,在一实施例的实现中,步骤395可以包括以下步骤:
步骤3951,根据牵引路由信息请求将待传输至所述目的端的流量由路由器牵引至本地。
对于安全攻击检测装置来说,事先与路由器通过有线或者无线方式建立网络连接,以便于通过该网络连接进行数据传输,例如,传输的数据包括待传输至目的端的流量。
在网络连接建立过程中,牵引路由信息即配置并存储于安全攻击检测装置。也可以理解,牵引路由信息,用于指示路由器如何将待传输至目的端的流量传输至安全攻击检测装置。
步骤3953,将所述会话对应的流量作为攻击流量,从待传输至所述目的端的流量中过滤所述攻击流量,得到清洗后的流量。
回请参阅图2,如图2所示,黑色线段表示待传输至目的端的流量,包括攻击流量和正常的业务流量,而晦涩线段表示正常的业务流量,即清洗后的流量。
经过防护模块175对待传输至目的端130的流量进行流量清洗之后,攻击流量即被拦截,而正常的业务流量则被放行,经由路由器151、核心网关153回注至目的端130。
步骤397,将清洗后的流量传输至所述目的端。
由此,攻击流量和正常的业务流量被高效、准确地区分开,从而实现了安全攻击的有效防护。
下述为本发明装置实施例,可以用于执行本发明所涉及的安全攻击检测方法。对于本发明装置实施例中未披露的细节,请参照本发明所涉及的安全攻击检测方法的方法实施例。
请参阅图18,在一示例性实施例中,一种安全攻击检测装置900包括但不限于:流量获取模块910、会话创建模块930、报文丢弃模块950、会话跟踪模块970和流量拦截模块990。
其中,流量获取模块910,用于获取镜像流量,所述镜像流量是对待传输至目的端的流量进行分光生成的,所述待传输至目的端的流量是源端请求连接所述目的端产生的。
会话创建模块930,用于针对请求连接所述目的端的源端,根据所述镜像流量创建所述源端与所述目的端之间的会话。
报文丢弃模块950,用于对所述镜像流量中对应于所述会话的第一特定报文进行丢弃处理,等待所述源端针对所述第一特定报文进行重传。
会话跟踪模块970,用于将所述源端重传的所述第一特定报文转发至所述目的端,通过对所述会话的跟踪,检测所述源端是否进入连接建立状态。如果检测到所述源端未进入所述连接建立状态,则确认所述目的端受到来自于所述源端的TCP反射攻击,通知流量拦截模块990。
所述流量拦截模块990,用于对待传输至目的端的流量中对应于所述会话的流量进行拦截。
在一示例性实施例中,所述安全攻击检测装置900还用于实现以下功能,包括但不限于:
其中,从所述镜像流量中,提取得到所述源端的会话信息和所述目的端的会话信息。
根据所述源端的会话信息和所述目的端的会话信息,创建所述源端与所述目的端之间的会话。
在一示例性实施例中,所述安全攻击检测装置900还用于实现以下功能,包括但不限于:
其中,根据所述源端的会话信息确定所述源端的IP地址、TCP端口,以及根据所述目的端的会话信息确定所述目的端的IP地址、TCP端口。
以所述源端的IP地址、TCP端口作为第一传输端,以所述目的端的IP地址、TCP端口作为第二传输端。
在所述第一传输端与所述第二传输端之间建立传输通道,形成所述源端与所述目的端之间的会话。
在一示例性实施例中,所述安全攻击检测装置900还用于实现以下功能,包括但不限于:
其中,根据所述源端的会话信息,确认所述源端是否首次请求连接所述目的端。
如果是,则执行所述根据所述源端的会话信息和所述目的端的会话信息,创建所述源端与所述目的端之间的会话的步骤。
在一示例性实施例中,所述安全攻击检测装置900还用于实现以下功能,包括但不限于:
其中,确认所述镜像流量中对应于所述会话的第一特定报文是否为连接建立过程中的第一个同步响应报文。
如果对应于所述会话的第一特定报文是所述连接建立过程中的第一个同步响应报文,则丢弃该第一个同步响应报文,并针对所述会话启动第一计时器。
通过所述第一计时器的数值,确认所述源端重传所述同步响应报文是否超时,如果否,则确认所述源端已重传所述同步响应报文。
在一示例性实施例中,所述安全攻击检测装置900还用于实现以下功能,包括但不限于:
其中,转发所述源端重传的所述第一特定报文至所述目的端,并针对所述会话启动第二计时器。
在所述第二计时器的数值未超过设定时长时,接收所述源端发送的第二特定报文,并确认所述第二特定报文的报文类型。
根据所述第二特定报文的报文类型,判断所述源端是否进入连接建立状态。
在一示例性实施例中,所述安全攻击检测装置900还用于实现以下功能,包括但不限于:
其中,当所述报文类型指示所述第二特定报文为同步响应报文时,基于所述会话,统计接收到同步响应报文的数量。
如果接收到同步响应报文的数量超过设定数量,则确认所述源端未进入连接建立状态。
在一示例性实施例中,所述安全攻击检测装置900还用于实现以下功能,包括但不限于:
其中,将所述目的端发送的复位报文转发至所述源端,使得所述源端停止发送同步响应报文。
在一示例性实施例中,所述安全攻击检测装置900还用于实现以下功能,包括但不限于:
其中,如果所述报文类型指示所述第二特定报文为响应报文或者数据响应报文,则确认所述源端进入连接建立状态。
在一示例性实施例中,所述安全攻击检测装置900还用于实现以下功能,包括但不限于:
其中,如果检测到所述源端未进入所述连接建立状态,则确认所述目的端受到来自于所述源端的TCP反射攻击,将所述会话作为攻击会话。
统计所述会话作为攻击会话的次数。
如果所述次数超过设定次数,则针对所述会话,对待传输至所述目的端的流量进行流量清洗。
将清洗后的流量传输至所述目的端。
在一示例性实施例中,所述安全攻击检测装置900还用于实现以下功能,包括但不限于:
其中,根据牵引路由信息请求将待传输至所述目的端的流量由路由器牵引至本地。
将所述会话对应的流量作为攻击流量,从待传输至所述目的端的流量中过滤所述攻击流量,得到清洗后的流量。
在一示例性实施例中,所述安全攻击检测装置900还用于实现以下功能,包括但不限于:
其中,如果未接收到所述源端重传的所述第一特定报文,则确认所述目的端受到来自于所述源端的synack伪造攻击。
将所述会话存储为攻击会话,并执行所述对待传输至目的端的流量中对应于所述会话的流量进行拦截的步骤。
在一示例性实施例中,所述安全攻击检测装置900还用于实现以下功能,包括但不限于:
其中,如果检测到所述源端进入所述连接建立状态,则确认所述目的端未受到来自于所述源端的TCP反射攻击,将所述会话存储为连接信任会话。
将待传输至所述目的端的流量传输至所述目的端。
需要说明的是,上述实施例所提供的安全攻击检测装置在进行安全攻击检测处理时,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即安全攻击检测装置的内部结构将划分为不同的功能模块,以完成以上描述的全部或者部分功能。
另外,上述实施例所提供的安全攻击检测装置与安全攻击检测方法的实施例属于同一构思,其中各个模块执行操作的具体方式已经在方法实施例中进行了详细描述,此处不再赘述。
请参阅图19,在一示例性实施例中,一种计算机设备1000,包括至少一处理器1001、至少一存储器1002、以及至少一通信总线1003。
其中,存储器1002上存储有计算机可读指令,处理器1001通过通信总线1003读取存储器1002中存储的计算机可读指令。
该计算机可读指令被处理器1001执行时实现上述各实施例中的安全攻击检测方法。
在一示例性实施例中,一种存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现上述各实施例中的安全攻击检测方法。
上述内容,仅为本发明的较佳示例性实施例,并非用于限制本发明的实施方案,本领域普通技术人员根据本发明的主要构思和精神,可以十分方便地进行相应的变通或修改,故本发明的保护范围应以权利要求书所要求的保护范围为准。
Claims (15)
1.一种安全攻击检测方法,其特征在于,包括:
获取镜像流量,所述镜像流量是对待传输至目的端的流量进行分光生成的,所述待传输至目的端的流量是源端请求连接所述目的端产生的;
针对请求连接所述目的端的源端,根据所述镜像流量创建所述源端与所述目的端之间的会话;
对所述镜像流量中对应于所述会话的第一特定报文进行丢弃处理,等待所述源端针对所述第一特定报文进行重传;
将所述源端重传的所述第一特定报文转发至所述目的端,通过对所述会话的跟踪,检测所述源端是否进入连接建立状态;
如果检测到所述源端未进入所述连接建立状态,则确认所述目的端受到来自于所述源端的TCP反射攻击,对待传输至目的端的流量中对应于所述会话的流量进行拦截。
2.如权利要求1所述的方法,其特征在于,所述针对请求连接所述目的端的源端,根据所述镜像流量创建所述源端与所述目的端之间的会话,包括:
从所述镜像流量中,提取得到所述源端的会话信息和所述目的端的会话信息;
根据所述源端的会话信息和所述目的端的会话信息,创建所述源端与所述目的端之间的会话。
3.如权利要求2所述的方法,其特征在于,所述根据所述源端的会话信息和所述目的端的会话信息,创建所述源端与所述目的端之间的会话,包括:
根据所述源端的会话信息确定所述源端的IP地址、TCP端口,以及根据所述目的端的会话信息确定所述目的端的IP地址、TCP端口;
以所述源端的IP地址、TCP端口作为第一传输端,以所述目的端的IP地址、TCP端口作为第二传输端;
在所述第一传输端与所述第二传输端之间建立传输通道,形成所述源端与所述目的端之间的会话。
4.如权利要求2所述的方法,其特征在于,所述从所述镜像流量中,提取得到所述源端的会话信息和所述目的端的会话信息之后,所述方法还包括:
根据所述源端的会话信息,确认所述源端是否首次请求连接所述目的端;
如果是,则执行所述根据所述源端的会话信息和所述目的端的会话信息,创建所述源端与所述目的端之间的会话的步骤。
5.如权利要求1所述的方法,其特征在于,所述对所述镜像流量中对应于所述会话的第一特定报文进行丢弃处理,等待所述源端针对所述第一特定报文进行重传,包括:
确认所述镜像流量中对应于所述会话的第一特定报文是否为连接建立过程中的第一个同步响应报文;
如果对应于所述会话的第一特定报文是所述连接建立过程中的第一个同步响应报文,则丢弃该第一个同步响应报文,并针对所述会话启动第一计时器;
通过所述第一计时器的数值,确认所述源端重传所述同步响应报文是否超时;
如果否,则确认所述源端已重传所述同步响应报文。
6.如权利要求1所述的方法,其特征在于,所述将所述源端重传的所述第一特定报文转发至所述目的端,通过对所述会话的跟踪,检测所述源端是否进入连接建立状态,包括:
转发所述源端重传的所述第一特定报文至所述目的端,并针对所述会话启动第二计时器;
在所述第二计时器的数值未超过设定时长时,接收所述源端发送的第二特定报文,并确认所述第二特定报文的报文类型;
根据所述第二特定报文的报文类型,判断所述源端是否进入连接建立状态。
7.如权利要求6所述的方法,其特征在于,所述根据所述第二特定报文的报文类型,判断所述源端是否进入连接建立状态,包括:
当所述报文类型指示所述第二特定报文为同步响应报文时,基于所述会话,统计接收到同步响应报文的数量;
如果接收到同步响应报文的数量超过设定数量,则确认所述源端未进入连接建立状态。
8.如权利要求6所述的方法,其特征在于,所述在所述第二计时器的数值未超过设定时长时,接收所述源端发送的第二特定报文,并确认所述第二特定报文的报文类型之前,所述方法还包括:
将所述目的端发送的复位报文转发至所述源端,使得所述源端停止发送同步响应报文。
9.如权利要求8所述的方法,其特征在于,所述根据所述第二特定报文的报文类型,判断所述源端是否进入连接建立状态,包括:
如果所述报文类型指示所述第二特定报文为响应报文或者数据响应报文,则确认所述源端进入连接建立状态。
10.如权利要求1所述的方法,其特征在于,所述如果检测到所述源端未进入所述连接建立状态,则确认所述目的端受到来自于所述源端的TCP反射攻击,对待传输至目的端的流量中对应于所述会话的流量进行拦截,包括:
如果检测到所述源端未进入所述连接建立状态,则确认所述目的端受到来自于所述源端的TCP反射攻击,将所述会话作为攻击会话;
统计所述会话作为攻击会话的次数;
如果所述次数超过设定次数,则针对所述会话,对待传输至所述目的端的流量进行流量清洗;
将清洗后的流量传输至所述目的端。
11.如权利要求10所述的方法,其特征在于,所述针对所述会话,对待传输至所述目的端的流量进行流量清洗,包括:
根据牵引路由信息请求将待传输至所述目的端的流量由路由器牵引至本地;
将所述会话对应的流量作为攻击流量,从待传输至所述目的端的流量中过滤所述攻击流量,得到清洗后的流量。
12.如权利要求1至11任一项所述的方法,其特征在于,所述对所述镜像流量中对应于所述会话的第一特定报文进行丢弃处理,等待所述源端针对所述第一特定报文进行重传之后,所述方法还包括:
如果未接收到所述源端重传的所述第一特定报文,则确认所述目的端受到来自于所述源端的synack伪造攻击;
将所述会话存储为攻击会话,并执行所述对待传输至目的端的流量中对应于所述会话的流量进行拦截的步骤。
13.一种安全攻击检测装置,其特征在于,包括:
流量获取模块,用于获取镜像流量,所述镜像流量是对待传输至目的端的流量进行分光生成的,所述待传输至目的端的流量是源端请求连接所述目的端产生的;
会话创建模块,用于针对请求连接所述目的端的源端,根据所述镜像流量创建所述源端与所述目的端之间的会话;
报文丢弃模块,用于对所述镜像流量中对应于所述会话的第一特定报文进行丢弃处理,等待所述源端针对所述第一特定报文进行重传;
会话跟踪模块,用于将所述源端重传的所述第一特定报文转发至所述目的端,通过对所述会话的跟踪,检测所述源端是否进入连接建立状态;如果检测到所述源端未进入所述连接建立状态,则确认所述目的端受到来自于所述源端的TCP反射攻击,通知流量拦截模块;
所述流量拦截模块,用于对待传输至目的端的流量中对应于所述会话的流量进行拦截。
14.一种计算机设备,其特征在于,包括:
处理器;及
存储器,所述存储器上存储有计算机可读指令,所述计算机可读指令被所述处理器执行时实现如权利要求1至12中任一项所述的安全攻击检测方法。
15.一种存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至12中任一项所述的安全攻击检测方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910510857.0A CN110266678B (zh) | 2019-06-13 | 2019-06-13 | 安全攻击检测方法、装置、计算机设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910510857.0A CN110266678B (zh) | 2019-06-13 | 2019-06-13 | 安全攻击检测方法、装置、计算机设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110266678A CN110266678A (zh) | 2019-09-20 |
| CN110266678B true CN110266678B (zh) | 2022-03-25 |
Family
ID=67918091
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910510857.0A Active CN110266678B (zh) | 2019-06-13 | 2019-06-13 | 安全攻击检测方法、装置、计算机设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110266678B (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110691097A (zh) * | 2019-10-18 | 2020-01-14 | 河海大学 | 一种基于hpfeeds协议的工控蜜罐的系统及其工作方法 |
| CN111741021B (zh) * | 2020-08-03 | 2020-11-24 | 北京翼鸥教育科技有限公司 | 一种cc攻击接入服务集群的检测防护系统 |
| CN112565309B (zh) * | 2021-02-26 | 2021-05-14 | 腾讯科技(深圳)有限公司 | 报文处理方法、装置、设备以及存储介质 |
| CN114244786A (zh) * | 2021-11-30 | 2022-03-25 | 深圳市飞速创新技术股份有限公司 | 安全防护方法、装置、设备和存储介质 |
| CN114567484B (zh) * | 2022-02-28 | 2024-03-12 | 天翼安全科技有限公司 | 一种报文处理方法、装置、电子设备及存储介质 |
| CN114697088B (zh) * | 2022-03-17 | 2024-03-15 | 神州绿盟成都科技有限公司 | 一种确定网络攻击的方法、装置及电子设备 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1656731A (zh) * | 2002-02-08 | 2005-08-17 | 杜松网络公司 | 基于多方法网关的网络安全系统和方法 |
| CN105491179A (zh) * | 2015-11-23 | 2016-04-13 | 北京天地互连信息技术有限公司 | 一种应对dns服务器反射放大攻击的解决方法 |
| CN109379341A (zh) * | 2018-09-21 | 2019-02-22 | 国网湖南省电力有限公司 | 一种基于行为分析的反弹型远控木马网络流量检测方法 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8171562B2 (en) * | 2003-08-26 | 2012-05-01 | Oregon Health & Science University | System and methods for protecting against denial of service attacks |
| US7854000B2 (en) * | 2004-10-26 | 2010-12-14 | Cisco Technology, Inc. | Method and system for addressing attacks on a computer connected to a network |
-
2019
- 2019-06-13 CN CN201910510857.0A patent/CN110266678B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1656731A (zh) * | 2002-02-08 | 2005-08-17 | 杜松网络公司 | 基于多方法网关的网络安全系统和方法 |
| CN105491179A (zh) * | 2015-11-23 | 2016-04-13 | 北京天地互连信息技术有限公司 | 一种应对dns服务器反射放大攻击的解决方法 |
| CN109379341A (zh) * | 2018-09-21 | 2019-02-22 | 国网湖南省电力有限公司 | 一种基于行为分析的反弹型远控木马网络流量检测方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110266678A (zh) | 2019-09-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110266678B (zh) | 安全攻击检测方法、装置、计算机设备及存储介质 | |
| US11818167B2 (en) | Authoritative domain name system (DNS) server responding to DNS requests with IP addresses selected from a larger pool of IP addresses | |
| US7234161B1 (en) | Method and apparatus for deflecting flooding attacks | |
| US11601456B2 (en) | Transparent inspection of traffic encrypted with perfect forward secrecy (PFS) | |
| AU2004217318B2 (en) | Using TCP to authenticate IP source addresses | |
| US20120227088A1 (en) | Method for authenticating communication traffic, communication system and protective apparatus | |
| Kavisankar et al. | A mitigation model for TCP SYN flooding with IP spoofing | |
| US20230275924A1 (en) | Network security protection method and protection device | |
| Nagai et al. | Design and implementation of an openflow-based tcp syn flood mitigation | |
| Cao et al. | 0-rtt attack and defense of quic protocol | |
| Rana et al. | A Study and Detection of TCP SYN Flood Attacks with IP spoofing and its Mitigations | |
| Dulik | Network attack using TCP protocol for performing DoS and DDoS attacks | |
| CN110198298B (zh) | 一种信息处理方法、装置及存储介质 | |
| Kavisankar et al. | CNoA: Challenging Number Approach for uncovering TCP SYN flooding using SYN spoofing attack | |
| JP3648211B2 (ja) | パケット中継プログラム、パケット中継装置および記録媒体 | |
| Kumar et al. | An analysis of tcp syn flooding attack and defense mechanism | |
| US20060282508A1 (en) | System and method of responding to a flood attack on a data processing system | |
| WO2022100002A1 (zh) | 网络安全防护方法以及防护设备 | |
| JP7363503B2 (ja) | 情報処理装置、情報処理方法、および情報処理システム | |
| CN114124489B (zh) | 防止流量攻击的方法、清洗装置、设备和介质 | |
| WO2023060881A1 (zh) | 报文源地址识别方法及装置 | |
| CN117768130A (zh) | 攻击防御方法及装置 | |
| Tanabe et al. | Adaptive timer-based countermeasures against TCP SYN flood attacks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |