CN111131295A - 流量防御方法、装置及电子设备 - Google Patents
流量防御方法、装置及电子设备 Download PDFInfo
- Publication number
- CN111131295A CN111131295A CN201911403198.7A CN201911403198A CN111131295A CN 111131295 A CN111131295 A CN 111131295A CN 201911403198 A CN201911403198 A CN 201911403198A CN 111131295 A CN111131295 A CN 111131295A
- Authority
- CN
- China
- Prior art keywords
- traffic
- defense
- data traffic
- flow
- current
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供了一种流量防御方法、装置及电子设备,其中,该方法包括:在当前的防御策略下,获取当前转发的数据流量,当前的防御策略为对防御数据流量集合中的第一流量子集进行防御的策略;判断当前转发的数据流量是否大于设定流量阈值;若当前转发的数据流量大于设定流量阈值,从防御数据流量集合中获取第二流量子集,对第二流量子集进行防御,第二流量子集中的元素数量比第一流量子集中的元素数量大。
Description
技术领域
本申请涉及计算机技术领域,具体而言,涉及一种流量防御方法、装置及电子设备。
背景技术
针对拒绝服务攻击的检测通常是通过对目标端某种攻击类型的入口流量和阈值进行比较,来判断是否发生了攻击,一旦确认攻击发生,就会触发对攻击的所有流量的防御。但是对所有的流量均进行防御,可能会导致增加网络带宽的负担。
发明内容
有鉴于此,本申请实施例的目的在于提供一种流量防御方法、装置及电子设备。通过递进的方式对流量进行防御,能够达到缓解防御系统对正常业务的影响的效果。
第一方面,本申请实施例提供了一种流量防御方法,包括:
在当前的防御策略下,获取当前转发的数据流量,所述当前的防御策略为对防御数据流量集合中的第一流量子集进行防御的策略;
判断所述当前转发的数据流量是否大于设定流量阈值;
若当前转发的数据流量大于设定流量阈值,从所述防御数据流量集合中获取第二流量子集,对所述第二流量子集进行防御,所述第二流量子集中的元素数量比所述第一流量子集中的元素数量大。
在一可选的实施方式中,所述方法还包括:
获取当前接收到的当前数据流量集合,所述当前数据流量集合表示当前占用流量最大的多组数据流量的集合;
根据所述当前数据流量集合及第一数据流量集合计算流量变化率,所述第一数据流量集合为预先获取的基准数据流量集合;
根据当前的防御策略计算流量丢包率,所述当前的防御策略为对防御数据流量集合中的流量子集进行防御的策略,所述防御数据流量集合为预先筛选出的异常流量数据集合;
当所述流量丢包率小于第一阈值,所述流量变化率大于第二阈值时,使用所述当前数据流量集合对所述对防御数据流量集合进行更新。
本申请实施例提供的流量防御方法,还可以在流量变化率大于第二阈值时,将使用当前数据流量集合对所述第一数据流量集合和所述防御数据流量集合,从而可以实现对防御的流量集合的更新,从而可以使防御的流量能够满足当前的防御需求。
在一可选的实施方式中,所述使用所述当前数据流量集合对所述对防御数据流量集合进行更新,包括:
将所述当前数据流量集合中的所有源IP地址及所述所有源IP地址对应的流量占比,替换所述第一数据流量集合和所述防御数据流量集合。
本申请实施例提供的流量防御方法,还可以使用实时的数据流量集合替换第一数据流量集合和所述防御数据流量集合,从而可以使根据防御数据流量集合确定的用于防御的流量子集更能够满足当前的防御需求。
在一可选的实施方式中,任一数据流量集合中包括:多个源IP地址和各个源IP地址对应的流量占比;所述根据所述当前数据流量集合及第一数据流量集合计算流量变化率的步骤,包括:
根据所述当前数据流量集合和第一数据流量集合确定目标IP集,所述目标IP集为所述当前数据流量集合的源IP地址与所述第一数据流量集合中的源IP地址的交集;
从所述当前数据流量集合和所述第一数据流量集合中获取目标源IP地址对应的目标流量占比,所述目标源IP地址为所述目标IP集中任一源IP地址,所述目标流量占比为所述目标源IP地址在所述当前数据流量集合和所述第一数据流量集合对应的流量占比中较小的一项流量占比;
计算所述目标IP集中所有源IP地址对应的目标流量占比之和,得到目标占比;
根据所述目标占比确定流量变化率。
本申请实施例提供的流量防御方法,还可以采用上述的方式确定出流量变化率,从而可以有助于对当前的防御的有效性进行判断,从而可以提高递进式防御的有效性。
在一可选的实施方式中,所述根据所述当前数据流量集合和第一数据流量集合确定目标IP集通过以下方式实现:
所述当前数据流量集合中的源IP地址集合表示为:
[IP31,IP32,...,IP3N,Other],其中,IP31,IP32,...,IP3N分别表示当前接收到的当前数据流量中流量占比在前N项数据流量对应的源IP地址,Other表示其它所有源IP地址;
所述第一数据流量集合中的IP地址集合表示为:[IP11,IP12,...,IP1N,Other];
所述目标IP集表示为:[IP1,IP2,...,IPS,Other],其中,[IP1,IP2,...,IPS]=[IP31,IP32,...,IP3N]∩[IP11,IP12,...,IP1N]。
本申请实施例提供的流量防御方法,还可以将除了占比较大的前N项IP地址对应的流量作为排序元素,还可以将其它流量也纳入考虑范围,可以提高确定的流量变化率的准确性。
在一可选的实施方式中,所述从所述防御数据流量集合中获取第二流量子集,对所述第二流量子集进行防御的步骤,包括:
根据所述第二流量子集中的各个元素所携带的标记,为各个第二流量子集中携带的标记的元素设置防御开关;
按照预先设置的防御开关,对所述第二流量子集进行防御。
本申请实施例提供的流量防御方法,由于持续处于较高流量状态的IP可能是本身就对流量需求较高的IP,则可以对这类IP不进行防御,从而可以减少误伤正常业务请求的概率。
在一可选的实施方式中,所述根据当前的防御策略计算流量丢包率的步骤,包括:
根据当前的防御策略确定出被丢弃的丢弃数据流量;
根据所述丢弃数据流量及接收到的总数据流量计算流量丢包率。
本申请实施例提供的流量防御方法,还可以通过获取当前的被丢弃的丢弃数据流量,从而可以更准确地确定出当前状态下的流量丢包率。
本申请实施例提供的流量防御方法,由于持续处于较高流量状态的IP可能是本身就对流量需求较高的IP,则可以对这类IP不进行防御,从而可以减少误伤正常业务请求的概率。
在一可选的实施方式中,通过以下方式将所述防御数据流量集合划分成多个流量子集:
topin=(N/w)*i;
其中,topin表示所述防御数据流量集合划分的第i个流量子集中的元素数量;N表示防御数据流量集合中的元素总数量;w表示所述防御数据流量集合被划分的流量子集的数量,所述第一流量子集和所述第二流量子集为所述多个流量子集中的流量子集。
本申请实施例提供的流量防御方法,还可以通过上述的公式确定出多个流量子集,从而可以使每个流量子集中的IP数逐渐递增,再根据逐渐递增的流量子集进行流量防御,从而实现递进式的防御,从而可以相对降低网络带宽的负担,以及减少误伤部分正常业务流量。
在一可选的实施方式中,所述防御数据流量集合中多个流量子集中的第四流量子集包含所述防御数据流量集合中多个流量子集中的第三流量子集中的所有元素,其中,第四流量子集中的元素数量大于所述第三流量子集中的元素数量。
本申请实施例提供的流量防御方法,通过将防御数据流量集合中元素数量更多的流量子集完全包含元素数量更多的流量子集,从而可以是每次防御都是在前一次的基础上增加更多源IP的数据流量。
第二方面,本申请实施例还提供一种流量防御装置,包括:
第一获取模块,用于在当前的防御策略下,获取当前转发的数据流量,所述当前的防御策略为对防御数据流量集合中的第一流量子集进行防御的策略;
判断模块,用于判断所述当前转发的数据流量是否大于设定流量阈值;
防御模块,用于若当前转发的数据流量大于设定流量阈值,从所述防御数据流量集合中获取第二流量子集,对所述第二流量子集进行防御,所述第二流量子集中的元素数量比所述第一流量子集中的元素数量大。
第三方面,本申请实施例还提供一种电子设备,包括:处理器、存储器,所述存储器存储有所述处理器可执行的机器可读指令,当电子设备运行时,所述机器可读指令被所述处理器执行时执行上述第一方面,或第一方面的任一种可能的实施方式中的方法的步骤。
第四方面,本申请实施例还提供一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序,该计算机程序被处理器运行时执行上述第一方面,或第一方面的任一种可能的实施方式中的方法的步骤。
本申请实施例提供的流量防御方法、装置、电子设备及计算机可读存储介质,通过对当前的防御方式对第一流量子集进行防御导致的丢包率和流量变化率确定出防御是否达到预期,如果不能满足防御需求,则可以进行更大范围第二流量子集进行防御,从而实现递进的方式对流量进行防御,与现有技术中的直接对全部的流量进行防御相比,其可以降低防御所导致的网络带宽的负担,也能够降低防御过程中对正常业务流量的影响。
为使本申请的上述目的、特征和优点能更明显易懂,下文特举实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的电子设备的方框示意图。
图2为本申请实施例提供的流量防御方法的流程图。
图3为本申请实施例提供的流量防御方法的部分流程图。
图4为本申请实施例提供的流量防御方法的步骤205的详细流程图
图5为本申请实施例提供的流量防御装置的功能模块示意图。
具体实施方式
下面将结合本申请实施例中附图,对本申请实施例中的技术方案进行描述。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。同时,在本申请的描述中,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
实施例一
为便于对本实施例进行理解,首先对执行本申请实施例所公开的流量防御方法的电子设备进行详细介绍。
如图1所示,是电子设备的方框示意图。电子设备100可以包括存储器111、处理器112、通信单元113。本领域普通技术人员可以理解,图1所示的结构仅为示意,其并不对电子设备100的结构造成限定。例如,电子设备100还可包括比图1中所示更多或者更少的组件,或者具有与图1所示不同的配置。
上述的存储器111、处理器112、及通信单元113各元件相互之间直接或间接地电性连接,以实现数据的传输或交互。例如,这些元件相互之间可通过一条或多条通讯总线或信号线实现电性连接。上述的处理器112用于执行存储器111中存储的可执行模块。
其中,存储器111可以是,但不限于,随机存取存储器(Random Access Memory,简称RAM),只读存储器(Read Only Memory,简称ROM),可编程只读存储器(ProgrammableRead-Only Memory,简称PROM),可擦除只读存储器(Erasable Programmable Read-OnlyMemory,简称EPROM),电可擦除只读存储器(Electric Erasable Programmable Read-OnlyMemory,简称EEPROM)等。其中,存储器111用于存储程序,所述处理器112在接收到执行指令后,执行所述程序,本申请实施例任一实施例揭示的过程定义的电子设备100所执行的方法可以应用于处理器112中,或者由处理器112实现。
上述的处理器112可能是一种集成电路芯片,具有信号的处理能力。上述的处理器112可以是通用处理器,包括中央处理器(Central Processing Unit,简称CPU)、网络处理器(Network Processor,简称NP)等;还可以是数字信号处理器(digital signalprocessor,简称DSP)、专用集成电路(Application Specific Integrated Circuit,简称ASIC)、现场可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
上述的通信单元113可以使电子设备100能够与各个外界设备通信。
本实施例中的电子设备100可以用于执行本申请实施例提供的各个方法中的各个步骤。下面通过几个实施例详细描述流量防御方法的实现过程。
实施例二
请参阅图2,是本申请实施例提供的流量防御方法的流程图。下面将对图2所示的具体流程进行详细阐述。
步骤201,在当前的防御策略下,获取当前转发的数据流量。
其中,当前的防御策略为对防御数据流量集合中的第一流量子集进行防御的策略。
步骤202,判断所述当前转发的数据流量是否大于设定流量阈值。
可选地,上述的设定流量阈值可以是按照需求设置的一值。
若当前转发的数据流量大于设定流量阈值,在执行步骤203。若当前转发的数据流量不大于设定流量阈值,则继续对当前的第一流量子集进行防御。
步骤203,从所述防御数据流量集合中获取第二流量子集,对所述第二流量子集进行防御。
其中,第二流量子集中的元素数量比所述第一流量子集中的元素数量大。
本实施例中,第二流量子集中的元素数量比第一流量子集中的元素数量大。可选地,第二流量子集中可以包含第一流量子集中的所有元素。
本实施例中,可以通过虚假源认证、应用层源认证、会话检查、行为分析、流量整形等方式对第二流量子集进行防御。其中,流量整形则包括选择性地丢弃第二流量子集中的流量。
在一种实施方式中,步骤203:根据所述第二流量子集中的各个元素所携带的标记,为各个第二流量子集中携带的标记的元素设置防御开关;按照预先设置的防御开关,对所述第二流量子集进行防御。
在另一种实施方式中,步骤203可以包括:选择所述第二流量子集中不带有所述标记的目标防御流量子集,对所述目标防御流量子集进行防御。
可选地,第一流量子集可以是第二流量子集的一个子集。
本实施例中,上述的防御策略确定出被丢弃的丢弃数据流量与被防御的流量子集的流量可以不完全相同。被丢弃的丢弃数据流量可以比被防御的流量子集对应的流量可以更少。示例性地,当前被防御的流量子集中包括七项源IP地址,通过对七项源IP地址对应的流量进行虚假源认证、应用层源认证、会话检查、行为分析,确定出其中六项源IP地址对应的流量出现异常,则可以将出现异常的六项源IP地址对应的流量丢弃,则此时被丢弃的丢弃数据流量可以比被防御的流量子集对应的流量相对更少。
由于不同时间段数据流量的分布可能存在不同,基于此,本申请实施例还可以就数据流量的变化对用于作为防御基础的防御数据流量集合进行更新。可选地,如图3所示,本实施例的流量防御方法还可以包括以下步骤。
步骤204,获取当前接收到的当前数据流量集合。
当前数据流量集合表示当前占用流量最大的多组数据流量的集合。
本实施例中,可以按照预设周期获得当前占用流量最大的多组数据流量的集合。
示例性地,在第一个周期内,获得的当前占用流量最大的多组数据流量的集合中的源IP地址集合可以表示为:A1[IP31,IP32,...,IP3N,Other]。其中,IP31,IP32,...,IP3N表示流量占比在前N项的源IP地址;Other表示除IP31、IP32、...、IP3N以外的其它所有源IP地址。
获得的当前占用流量最大的多组数据流量的集合中的各个源IP地址流量占比可以表示为:D1[Rate31,Rate32,...,Rate3N,RateOther]。其中,Rate31,Rate32,...,Rate3N分别表示IP31,IP32,...,IP3N对应的流量占比,RateOther表示除IP31、IP32、...、IP3N以外的其它所有源IP地址的流量占比。
步骤205,根据所述当前数据流量集合及第一数据流量集合计算流量变化率。
第一数据流量集合为预先获取的基准数据流量集合。
就第二个周期而言,上述的第一数据流量集合为第一个周期采集得到的当前占用流量最大的多组数据流量的集合。就第M个周期而言,上述的第一数据流量集合为前一次对第一数据流量集合更新后得到的数据流量集合。
任一数据流量集合中包括:多个源IP地址和各个源IP地址对应的流量占比。如图4所示,步骤205可以包括以下步骤。
步骤2051,根据所述当前数据流量集合和第一数据流量集合确定目标IP集。
目标IP集为所述当前数据流量集合的源IP地址与所述第一数据流量集合中的源IP地址的交集。
示例性地,根据所述当前数据流量集合和第一数据流量集合确定目标IP集通过以下方式实现:
当前数据流量集合中的源IP地址集合表示为:[IP31,IP32,...,IP3N,Other],其中,IP31,IP32,...,IP3N分别表示当前接收到的当前数据流量中流量占比在前N项数据流量对应的源IP地址,Other表示其它所有源IP地址。
第一数据流量集合中的源IP地址集合表示为:[IP11,IP12,...,IP1N,Other]。
目标IP集表示为:[IP1,IP2,...,IPS,Other]。
其中,[IP1,IP2,...,IPS]=[IP31,IP32,...,IP3N]∩[IP11,IP12,...,IP1N]。
步骤2052,从所述当前数据流量集合和所述第一数据流量集合中获取目标源IP地址对应的目标流量占比。
本实施例中,目标源IP地址为所述目标IP集中任一源IP地址,目标流量占比为所述目标源IP地址在所述当前数据流量集合和所述第一数据流量集合对应的流量占比中较小的一项流量占比。
示例性地,目标IP集[IP1,IP2,...,IPS,Other]中的各个源IP地址在当前数据流量集合中对应的流量占比分别为:[Rate31,Rate32,...,Rate3S,Rate3Other];目标IP集[IP1,IP2,...,IPS,Other]中的各个源IP地址在第一数据流量集合中对应的流量占比分别为:[Rate11,Rate12,...,Rate1S,Rate1Other]。则可以从每个源IP地址对应的流量占比中选择较小的流量占比,形成目标流量占比。例如,若Rate3i<Rate1i,则将Rate3i作为目标流量占比中的一元素。再例如,若Rate3j>Rate1j,则将Rate1j作为目标流量占比中的一元素。再例如,若Rate3otehr>Rate1other,则将Rate1other作为目标流量占比中的一元素。
示例性地,目标流量占比可以表示为[Rated1,Rated2,...,RatedS,RatedOther]。
步骤2053,计算所述目标IP集中所有源IP地址对应的目标流量占比之和,得到目标占比。
示例性地,下面通过公式计算目标占比:M=Rated1+Rated2+...+RatedS+RatedOther。
步骤2054,根据所述目标占比确定流量变化率。
示例性地,流量变化率表示为:N=1-M。
本实施例中,可以将除这里把IP31、IP32、...、IP3N以外的其它所有源IP地址也考虑,从而可以使当RateOther比较大时,此时TOPn的流量分布为相对比较均匀的状态,此时访问流量为相对稳定状态,此时计算得到的流量变化率相对较小,从而可以减少误检测。
本实施例中,若计算得到的流量变化率N大于第二阈值,则当前的流量访问可能出现了异常,则可以对防御数据流量集合进行替换。其中,防御数据流量集合为作为防御基础的各个流量子集的总集合。
步骤206,根据当前的防御策略计算流量丢包率。
当前的防御策略为对防御数据流量集合中的流量子集进行防御的策略。
本实施例中,防御数据流量集合为预先筛选出的异常流量数据集合。
示例性地,防御数据流量集合可以是在某一周期中,计算得到流量变化率和流量丢包率不满足要求时,则可以将当前周期中采集到的占用流量最大的多组数据流量的集合替换防御数据流量集合的当前值,形成更新后的防御数据流量集合。
在一种实施方式中,步骤206可以包括:根据当前的防御策略确定出被丢弃的丢弃数据流量;根据所述丢弃数据流量及接收到的总数据流量计算流量丢包率。
步骤207,当所述流量丢包率小于第一阈值,所述流量变化率大于第二阈值时,使用所述当前数据流量集合对所述对防御数据流量集合进行更新。
步骤207可以被实施为:将所述当前数据流量集合中的所有源IP地址及所述所有源IP地址对应的流量占比,替换所述第一数据流量集合和所述防御数据流量集合。
步骤207可以包括:将所述当前数据流量集合中的所有源IP地址及所述所有源IP地址对应的流量占比,替换所述第一数据流量集合和所述防御数据流量集合;为更新的所述防御数据流量集合中的IP地址集与所述目标IP集中的交集设置标记,形成更新后的防御数据流量集合。
可选地,通过所述当前数据流量集合对所述第一数据流量集合进行更新可以使用当前数据流量集合替换第一数据流量集合,以实现第一数据流量集合的更新。可选地,通过所述当前数据流量集合对所述防御数据流量集合进行更新可以使用当前数据流量集合替换防御数据流量集合,以实现防御数据流量集合的更新。
当所述流量丢包率小于第一阈值,所述流量变化率大于第二阈值时,表示当前的流量访问可能出现了异常。示例性地,更新的防御数据流量集合中的IP地址集与所述目标IP集中的交集表示流量访问出现异常前后均处于较大的访问流量。因此,可以不对这类源IP地址进行防御,从而可以减少对正常业务的误伤。
示例性地,当前需要防御的第二流量子集中包含三个带标记的IP地址,则可以对第二流量子集中除了带标记的三个IP地址以外的其它IP地址对应的流量进行防御。
可选地,通过以下方式将所述防御数据流量集合划分成多个流量子集:
topin=(N/w)*i;
其中,topin表示所述防御数据流量集合划分的第i个流量子集中的元素数量;N表示防御数据流量集合中的元素总数量;w表示所述防御数据流量集合被划分的流量子集的数量。
可以知道的是topwn=N,也就是防御数据流量集合划分成多个流量子集中的其中一个子集中的元素数量等于防御数据流量集合中的元素总数量。也就是,本实施例中的防御方法可以从较小的流量子集开始防御,直至对防御数据流量集合进行整体防御。
可选地,若对防御数据流量集合进行防御还未能达到防御需求,则可以对当前的所有流量进行防御。
可选地,多个流量子集中的元素也可以是按照顺序选择。例如,topin对应的流量子集可以是防御数据流量集合中前topin个IP地址形成的集合。示例性地,防御数据流量集合中多个流量子集中的第四流量子集包含所述防御数据流量集合中多个流量子集中的第三流量子集中的所有元素,其中,第四流量子集中的元素数量大于所述第三流量子集中的元素数量。
上述的第一流量子集和第二流量子集为所述多个流量子集中的流量子集。
从上述的公式可以知道,当i>j时,topin中的元素数量比topjn中的元素数量更多。
示例性地,在防御时,可以按照top1n、top2n、…、topwn的顺序逐渐进行防御。
示例性地,在防御时,可以按照top1n、top2n、…、topwn的从小到大的顺序进行防御。可选地,在后防御的流量子集可以大于当前防御的流量子集中的任意流量子集。例如,第一次防御的流量子集是top2n,则在需要调整防御的子集时,选择的流量子集可以是防御数据流量集合划分成多个流量子集中元素数量大于top2n的任意子集。例如,可以是top3n、top4n、top7n等流量子集。
通过上述的各个步骤可以在需要的时候进行流量防御,还可以就是否需要进行防御进行识别,从而实现更加准确的流量防御。可选地,本实施例中的方法还可以包括:获取当前的入口流量,将该当前的入口流量与预设的攻击检测阈值做比较,如果该当前的入口流量大于预设的攻击检测阈值,则表示检测到攻击,则可以启动数据流量进行防御。
现有的实现方式一:由业务端、位于云平台的防御端、目标端以及与他们相连的核心路由组成的防御系统,从可疑数据流量集合、基准数据流量和主机性能参数的角度,来计算防御结果相比,现有的实现方式一:主要针对于云主机、云防御端、目标端等多方的协作的环境,系统较为复杂,实现成本高;计算量大,而且相关的预设指标参数也不易收集,容易导致防御效率低下。与之不同,本实施例中的流量防御方法,相对于现有的实现方式一不需要多方的协作,采集数据量也不复杂,通过其本身接收到的数据流量的计算判断,且将防御数据流量集合作为流量防御的基础,采用递进式的防御也可以减小对正常业务的影响。
实施例三
基于同一申请构思,本申请实施例中还提供了与流量防御方法对应的流量防御装置,由于本申请实施例中的装置解决问题的原理与前述的流量防御方法实施例相似,因此本实施例中的装置的实施可以参见上述方法的实施例中的描述,重复之处不再赘述。
请参阅图5,是本申请实施例提供的流量防御装置的功能模块示意图。本实施例中的流量防御装置中的各个模块用于执行上述方法实施例中的各个步骤。流量防御装置包括:第一获取模块301、判断模块302、以及防御模块303;其中,
第一获取模块301,用于在当前的防御策略下,获取当前转发的数据流量,所述当前的防御策略为对防御数据流量集合中的第一流量子集进行防御的策略;
判断模块302,用于判断所述当前转发的数据流量是否大于设定流量阈值;
防御模块303,用于若当前转发的数据流量大于设定流量阈值,从所述防御数据流量集合中获取第二流量子集,对所述第二流量子集进行防御,所述第二流量子集中的元素数量比所述第一流量子集中的元素数量大。
一种可能的实施方式中,流量防御装置还可以包括:
第二获取模块304,用于获取当前接收到的当前数据流量集合,所述当前数据流量集合表示当前占用流量最大的多组数据流量的集合;
第一计算模块305,用于根据所述当前数据流量集合及第一数据流量集合计算流量变化率,所述第一数据流量集合为预先获取的基准数据流量集合;
第二计算模块306,用于根据当前的防御策略计算流量丢包率,所述当前的防御策略为对防御数据流量集合中的流量子集进行防御的策略,所述防御数据流量集合为预先筛选出的异常流量数据集合;
更新模块307,用于当所述流量丢包率小于第一阈值,所述流量变化率大于第二阈值时,使用所述当前数据流量集合对所述对防御数据流量集合进行更新。
一种可能的实施方式中,更新模块,用于将所述当前数据流量集合中的所有源IP地址及所述所有源IP地址对应的流量占比,替换所述第一数据流量集合和所述防御数据流量集合。
一种可能的实施方式中,任一数据流量集合中包括:多个源IP地址和各个源IP地址对应的流量占比;第一计算模块,用于:
根据所述当前数据流量集合和第一数据流量集合确定目标IP集,所述目标IP集为所述当前数据流量集合的源IP地址与所述第一数据流量集合中的源IP地址的交集;
从所述当前数据流量集合和所述第一数据流量集合中获取目标源IP地址对应的目标流量占比,所述目标源IP地址为所述目标IP集中任一源IP地址,所述目标流量占比为所述目标源IP地址在所述当前数据流量集合和所述第一数据流量集合对应的流量占比中较小的一项流量占比;
计算所述目标IP集中所有源IP地址对应的目标流量占比之和,得到目标占比;
根据所述目标占比确定流量变化率。
一种可能的实施方式中,所述根据所述当前数据流量集合和第一数据流量集合确定目标IP集通过以下方式实现:
所述当前数据流量集合中的源IP地址集合表示为:
[IP31,IP32,...,IP3N,Other],其中,IP31,IP32,...,IP3N分别表示当前接收到的当前数据流量中流量占比在前N项数据流量对应的源IP地址,Other表示其它所有源IP地址;
所述第一数据流量集合中的IP地址集合表示为:[IP11,IP12,...,IP1N,Other];
所述目标IP集表示为:[IP1,IP2,...,IPS,Other],其中,[IP1,IP2,...,IPS]=[IP31,IP32,...,IP3N]∩[IP11,IP12,...,IP1N]。
一种可能的实施方式中,更新模块,用于:
将所述当前数据流量集合中的所有源IP地址及所述所有源IP地址对应的流量占比,替换所述第一数据流量集合和所述防御数据流量集合;
为更新的所述防御数据流量集合中的IP地址集与所述目标IP集中的交集设置标记,形成更新后的防御数据流量集合。
一种可能的实施方式中,上述的防御模块303,用于:
根据所述第二流量子集中的各个元素所携带的标记,为各个第二流量子集中携带的标记的元素设置防御开关;
按照预先设置的防御开关,对所述第二流量子集进行防御。
一种可能的实施方式中,第二计算模块,用于:
根据当前的防御策略确定出被丢弃的丢弃数据流量;
根据所述丢弃数据流量及接收到的总数据流量计算流量丢包率。
一种可能的实施方式中,通过以下方式将所述防御数据流量集合划分成多个流量子集:
topin=(N/w)*i;
其中,topin表示所述防御数据流量集合划分的第i个流量子集中的元素数量;N表示防御数据流量集合中的元素总数量;w表示所述防御数据流量集合被划分的流量子集的数量,所述第一流量子集和所述第二流量子集为所述多个流量子集中的流量子集。
一种可能的实施方式中,所述防御数据流量集合中多个流量子集中的第四流量子集包含所述防御数据流量集合中多个流量子集中的第三流量子集中的所有元素,其中,第四流量子集中的元素数量大于所述第三流量子集中的元素数量。
此外,本申请实施例还提供一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序,该计算机程序被处理器运行时执行上述方法实施例中所述的流量防御方法的步骤。
本申请实施例所提供的流量防御方法的计算机程序产品,包括存储了程序代码的计算机可读存储介质,所述程序代码包括的指令可用于执行上述方法实施例中所述的流量防御方法的步骤,具体可参见上述方法实施例,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本申请的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上所述仅为本申请的优选实施例而已,并不用于限制本申请,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以权利要求的保护范围为准。
Claims (13)
1.一种流量防御方法,其特征在于,包括:
在当前的防御策略下,获取当前转发的数据流量,所述当前的防御策略为对防御数据流量集合中的第一流量子集进行防御的策略;
判断所述当前转发的数据流量是否大于设定流量阈值;
若当前转发的数据流量大于设定流量阈值,从所述防御数据流量集合中获取第二流量子集,对所述第二流量子集进行防御,所述第二流量子集中的元素数量比所述第一流量子集中的元素数量大。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
获取当前接收到的当前数据流量集合,所述当前数据流量集合表示当前占用流量最大的多组数据流量的集合;
根据所述当前数据流量集合及第一数据流量集合计算流量变化率,所述第一数据流量集合为预先获取的基准数据流量集合;
根据当前的防御策略计算流量丢包率,所述当前的防御策略为对防御数据流量集合中的流量子集进行防御的策略,所述防御数据流量集合为预先筛选出的异常流量数据集合;
当所述流量丢包率小于第一阈值,所述流量变化率大于第二阈值时,使用所述当前数据流量集合对所述对防御数据流量集合进行更新。
3.根据权利要求2所述的方法,其特征在于,所述使用所述当前数据流量集合对所述对防御数据流量集合进行更新,包括:
将所述当前数据流量集合中的所有源IP地址及所述所有源IP地址对应的流量占比,替换所述第一数据流量集合和所述防御数据流量集合。
4.根据权利要求2所述的方法,其特征在于,任一数据流量集合中包括:多个源IP地址和各个源IP地址对应的流量占比;所述根据所述当前数据流量集合及第一数据流量集合计算流量变化率的步骤,包括:
根据所述当前数据流量集合和第一数据流量集合确定目标IP集,所述目标IP集为所述当前数据流量集合的源IP地址与所述第一数据流量集合中的源IP地址的交集;
从所述当前数据流量集合和所述第一数据流量集合中获取目标源IP地址对应的目标流量占比,所述目标源IP地址为所述目标IP集中任一源IP地址,所述目标流量占比为所述目标源IP地址在所述当前数据流量集合和所述第一数据流量集合对应的流量占比中较小的一项流量占比;
计算所述目标IP集中所有源IP地址对应的目标流量占比之和,得到目标占比;
根据所述目标占比确定流量变化率。
5.根据权利要求4所述的方法,其特征在于,所述根据所述当前数据流量集合和第一数据流量集合确定目标IP集通过以下方式实现:
所述当前数据流量集合中的源IP地址集合表示为:
[IP31,IP32,...,IP3N,Other],其中,IP31,IP32,...,IP3N分别表示当前接收到的当前数据流量中流量占比在前N项数据流量对应的源IP地址,Other表示其它所有源IP地址;
所述第一数据流量集合中的IP地址集合表示为:[IP11,IP12,...,IP1N,Other];
所述目标IP集表示为:[IP1,IP2,...,IPS,Other],其中,[IP1,IP2,...,IPS]=[IP31,IP32,...,IP3N]∩[IP11,IP12,...,IP1N]。
6.根据权利要求5所述的方法,其特征在于,所述使用所述当前数据流量集合对所述对防御数据流量集合进行更新,包括:
将所述当前数据流量集合中的所有源IP地址及所述所有源IP地址对应的流量占比,替换所述第一数据流量集合和所述防御数据流量集合;
为更新的所述防御数据流量集合中的IP地址集与所述目标IP集中的交集设置标记,形成更新后的防御数据流量集合。
7.根据权利要求6所述的方法,其特征在于,所述从所述防御数据流量集合中获取第二流量子集,对所述第二流量子集进行防御的步骤,包括:
根据所述第二流量子集中的各个元素所携带的标记,为各个第二流量子集中携带的标记的元素设置防御开关;
按照预先设置的防御开关,对所述第二流量子集进行防御。
8.根据权利要求2所述的方法,其特征在于,所述根据当前的防御策略计算流量丢包率的步骤,包括:
根据当前的防御策略确定出被丢弃的丢弃数据流量;
根据所述丢弃数据流量及接收到的总数据流量计算流量丢包率。
9.根据权利要求1所述的方法,其特征在于,通过以下方式将所述防御数据流量集合划分成多个流量子集:
topin=(N/w)*i;
其中,topin表示所述防御数据流量集合划分的第i个流量子集中的元素数量;N表示防御数据流量集合中的元素总数量;w表示所述防御数据流量集合被划分的流量子集的数量,所述第一流量子集和所述第二流量子集为所述多个流量子集中的流量子集。
10.根据权利要求1所述的方法,其特征在于,所述防御数据流量集合中多个流量子集中的第四流量子集包含所述防御数据流量集合中多个流量子集中的第三流量子集中的所有元素,其中,第四流量子集中的元素数量大于所述第三流量子集中的元素数量。
11.一种流量防御装置,其特征在于,包括:
第一获取模块,用于在当前的防御策略下,获取当前转发的数据流量,所述当前的防御策略为对防御数据流量集合中的第一流量子集进行防御的策略;
判断模块,用于判断所述当前转发的数据流量是否大于设定流量阈值;
防御模块,用于若当前转发的数据流量大于设定流量阈值,从所述防御数据流量集合中获取第二流量子集,对所述第二流量子集进行防御,所述第二流量子集中的元素数量比所述第一流量子集中的元素数量大。
12.一种电子设备,其特征在于,包括:处理器、存储器,所述存储器存储有所述处理器可执行的机器可读指令,当电子设备运行时,所述机器可读指令被所述处理器执行时执行如权利要求1至10任一所述的方法的步骤。
13.一种计算机可读存储介质,其特征在于,该计算机可读存储介质上存储有计算机程序,该计算机程序被处理器运行时执行如权利要求1至10任一所述的方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911403198.7A CN111131295B (zh) | 2019-12-30 | 2019-12-30 | 流量防御方法、装置及电子设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911403198.7A CN111131295B (zh) | 2019-12-30 | 2019-12-30 | 流量防御方法、装置及电子设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111131295A true CN111131295A (zh) | 2020-05-08 |
CN111131295B CN111131295B (zh) | 2022-03-11 |
Family
ID=70505911
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201911403198.7A Active CN111131295B (zh) | 2019-12-30 | 2019-12-30 | 流量防御方法、装置及电子设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111131295B (zh) |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2016150253A1 (zh) * | 2015-03-24 | 2016-09-29 | 华为技术有限公司 | 基于sdn的ddos攻击防护方法、装置及系统 |
CN106411828A (zh) * | 2015-08-03 | 2017-02-15 | 阿里巴巴集团控股有限公司 | 量化防御结果的方法、装置及系统 |
CN110519224A (zh) * | 2019-07-15 | 2019-11-29 | 苏州浪潮智能科技有限公司 | 一种虚拟化环境中智能生成网络防护策略的方法和设备 |
-
2019
- 2019-12-30 CN CN201911403198.7A patent/CN111131295B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2016150253A1 (zh) * | 2015-03-24 | 2016-09-29 | 华为技术有限公司 | 基于sdn的ddos攻击防护方法、装置及系统 |
CN106161333A (zh) * | 2015-03-24 | 2016-11-23 | 华为技术有限公司 | 基于sdn的ddos攻击防护方法、装置及系统 |
CN106411828A (zh) * | 2015-08-03 | 2017-02-15 | 阿里巴巴集团控股有限公司 | 量化防御结果的方法、装置及系统 |
CN110519224A (zh) * | 2019-07-15 | 2019-11-29 | 苏州浪潮智能科技有限公司 | 一种虚拟化环境中智能生成网络防护策略的方法和设备 |
Also Published As
Publication number | Publication date |
---|---|
CN111131295B (zh) | 2022-03-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108282497B (zh) | 针对SDN控制平面的DDoS攻击检测方法 | |
US8677488B2 (en) | Distributed denial of service attack detection apparatus and method, and distributed denial of service attack detection and prevention apparatus for reducing false-positive | |
Dain et al. | Building scenarios from a heterogeneous alert stream | |
CN107124434B (zh) | 一种dns恶意攻击流量的发现方法及系统 | |
EP3343864A1 (en) | Reputation-based application caching and white-listing | |
CN106357641B (zh) | 一种内容中心网络中兴趣包洪泛攻击的防御方法以及装置 | |
US20060075489A1 (en) | Streaming algorithms for robust, real-time detection of DDoS attacks | |
CN108809749B (zh) | 基于采样率来执行流的上层检查 | |
KR20130014226A (ko) | 공격 트래픽 형태별 특성에 따른 dns 플러딩 공격 탐지 방법 | |
CN108173884B (zh) | 基于网络攻击伴随行为的DDoS攻击群体分析方法 | |
AU2011305214A1 (en) | IP prioritization and scoring system for DDoS detection and mitigation | |
CN111641585B (zh) | 一种DDoS攻击检测方法及设备 | |
CN106534051A (zh) | 一种针对访问请求的处理方法和装置 | |
CN110049061A (zh) | 高速网络上轻量级DDoS攻击检测装置及检测方法 | |
CN110602135A (zh) | 网络攻击处理方法、装置以及电子设备 | |
CN110944016A (zh) | DDoS攻击检测方法、装置、网络设备及存储介质 | |
CN105591832B (zh) | 应用层慢速攻击检测方法和相关装置 | |
CN110958245B (zh) | 一种攻击的检测方法、装置、设备和存储介质 | |
CN109413022B (zh) | 一种基于用户行为检测http flood攻击的方法和装置 | |
CN106027546A (zh) | 网络攻击的检测方法、装置及系统 | |
CN111182072A (zh) | 会话请求的应用识别方法、装置和计算机设备 | |
CN111131295B (zh) | 流量防御方法、装置及电子设备 | |
CN104184746B (zh) | 网关处理数据的方法和装置 | |
CN111092849A (zh) | 基于流量的分布式拒绝服务的检测方法及装置 | |
Yi et al. | Source-based filtering scheme against DDOS attacks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |