CN112565307B - 一种对DDoS攻击进行入口管控的方法及装置 - Google Patents
一种对DDoS攻击进行入口管控的方法及装置 Download PDFInfo
- Publication number
- CN112565307B CN112565307B CN202110210616.1A CN202110210616A CN112565307B CN 112565307 B CN112565307 B CN 112565307B CN 202110210616 A CN202110210616 A CN 202110210616A CN 112565307 B CN112565307 B CN 112565307B
- Authority
- CN
- China
- Prior art keywords
- address
- malicious
- user
- data packets
- attack
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/146—Tracing the source of attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种对DDoS攻击进行入口管控的方法及装置,包括:在接收到DDoS攻击信息的情况下,调取区块链中存储的每个IP地址的路径摘要,其中路径摘要包括路由器节点转发的每个IP地址的数据包中预设类型的数据包的比例信息、数据包长度分布情况以及收发包比例,并根据攻击的类型获取对应的攻击特征,从调取的历史路径摘要中确定符合攻击特征的路径摘要以及对应的目标IP地址,进一步的,还通过目标IP地址确定发起访问的源头用户,这样不仅做到了动态调整用于拦截攻击者的黑名单,还从源头上遏制了攻击,提高了安全性。并且,区块链中存储的路径摘要是按照IP地址进行存储的,有利于对发起攻击的IP地址进行溯源查询。
Description
技术领域
本发明涉及网络安全领域,尤其涉及一种对DDoS攻击进行入口管控的方法及装置。
背景技术
DDoS(英文名称:Distributed Denial of Service,中文名称:分布式拒绝服务攻击)攻击可以使很多的计算机在同一时间遭受到绑架劫持,使攻击的目标无法正常使用。并且随着物联网等技术的发展,其攻击量级之大、分布范围之广、破坏性之严重,以及越发低成本的发起方式,都已经使得DDoS攻击成为网络安全中一个棘手的问题。
为了解决上述问题,现有方法多为通过黑名单或者白名单的方式拦截DDoS攻击,并且设置的黑名单或者白名单是固定的,这种情况下,拦截效果较差,对于新发现的攻击者,不易进行拦截。
发明内容
有鉴于此,本发明实施例公开了一种对DDoS攻击进行入口管控的方法及装置,不仅做到了动态调整用于拦截攻击者的黑名单,还从源头上遏制了攻击,提高了安全性。并且,区块链中存储的路径摘要是按照IP地址进行存储的,有利于对发起攻击的IP地址进行溯源查询。
本发明实施例公开了一种对DDoS攻击进行入口管控的方法,包括:
当接收到DDoS攻击信息的情况下,从区块链中调取转发恶意数据包的路由器节点的历史路径摘要;所述路径摘要至少包括:路由器节点转发的每个IP地址的数据包中预设类型的数据包的比例信息、数据包长度分布情况以及收发包比例,所述区块链中存储的路径摘要是按照IP地址进行存储的;所述DDoS攻击信息包括:转发恶意数据包的路由器节点的信息以及攻击类型;
获取所述攻击类型对应的攻击特征;
从调取的路径摘要中,确定符合所述攻击特征的路径摘要, 并确定所述符合所述攻击特征的路径摘要对应的目标IP地址;
将所述目标IP地址作为恶意IP地址,并将所述恶意IP地址存入黑名单中;
确定所述目标IP地址对应的用户信息,在所述用户信息满足预设条件的情况下,将所述用户信息作为恶意用户存入所述黑名单中;所述黑名单用于拦截攻击者的访问。
可选的,所述路径摘要是通过部署在局域网中的路由器节点每间隔预设的时间周期,按照IP地址进行统计的,并通过路由器节点将每个周期得到的路径摘要上传到区块链中进行存储;
所述路径摘要中路由器节点转发的每个IP地址的数据包中预设类型的数据包的比例信息、数据包长度分布情况以及收发包比例是基于DDoS攻击特征确定的。
可选的,所述路径摘要至少包括:每个IP地址向局域网发送数据包和接收局域网的数据包比例,发送的SYN同步序列编号包占发送的总数据包的比例,发送的ACK即是确认字符包占总数据包的比例、发送的UDP用户数据报协议包占总数据包的比例、发送ICMP网络控制报文协议包占总数据包的比例、以及每个IP地址所发的数据包的长度分布情况。
可选的,所述预设条件包括:
用户被分配的IP地址中有任意一个为恶意IP地址,则将该用户作为恶意用户存入黑名单中;
或者
若用户被分配的IP地址中为恶意IP地址的数量大于预设的数量阈值时,则将用户作为恶意用户存入黑名单中。
可选的,还包括:
监测是否在预设的第一时间阈值内检测到恶意用户的访问行为;
若未在预设的第一时间阈值内检测到恶意用户的访问行为,则删除所述黑名单中所述恶意用户的信息;
监测是否在预设的第二时间阈值内检测到恶意IP地址的访问行为;
若未在预设的第二时间阈值内检测到恶意IP地址的访问行为,则删除所述黑名单中所述恶意IP地址的信息。
可选的,还包括:
若在预设的第一时间阈值内检测到恶意用户的访问行为,则记录所述恶意用户的访问时间;
将所述恶意用户的访问时间作为起始点重新对第一时间阈值进行计时;
若在预设的第二时间阈值内检测到恶意IP地址的访问行为,则记录所述恶意IP地址的访问时间;
将所述恶意IP地址的访问时间作为起始点重新对所述第二时间阈值进行计时;
可选的,还包括:
响应于访问指令,获取用户的身份信息以及IP地址;
若用户的身份信息或者所述IP地址中任意一项在所述黑名单中,则拦截用户的访问。
本发明实施例还公开了一种对DDoS攻击进行入口管控的装置,包括:
调取单元,用于当接收到DDoS攻击信息的情况下,从区块链中调取转发恶意数据包的路由器节点的历史路径摘要;所述路径摘要包括:路由器节点转发的每个IP地址的数据包中预设类型的数据包的比例信息、数据包长度分布情况以及收发包比例,所述区块链中存储的路径摘要是按照IP地址进行存储的;所述DDoS攻击信息包括:转发恶意数据包的路由器节点的信息以及攻击类型;
获取单元,用于获取所述攻击类型对应的攻击特征;
确定单元,用于从调取的路径摘要中,确定符合所述攻击特征的路径摘要,并确定所述符合所述攻击特征的路径摘要对应的目标IP地址;
第一存储单元,用于将所述目标IP地址作为恶意IP地址,并将所述恶意IP地址存入黑名单中;
第二存储单元,用于确定所述目标IP地址对应的用户信息,在所述用户信息满足预设条件的情况下,将所述用户信息作为恶意用户存入所述黑名单中;所述黑名单用于拦截攻击者的访问。
可选的,所述对DDoS攻击进行入口管控的装置中所述路径摘要至少包括:每个IP地址向局域网发送数据包和接收局域网的数据包比例,发送的SYN同步序列编号包占发送的总数据包的比例, 发送的ACK即是确认字符包占总数据包的比例、发送的UDP用户数据报协议包占总数据包的比例、发送ICMP网络控制报文协议包占总数据包的比例、以及每个IP地址所发的数据包的长度分布情况。
本发明实施例还公开了一种入口管理服务器,包括:
存储器和处理器;
所述存储器用于存储程序;
所述处理器用于执行存储器存储的所述程序时执行上述所述的对DDoS攻击进行入口管控的方法中的任意一项所述的方法。
本实施例公开了一种对DDoS攻击进行入口管控方法,包括:在接收到DDoS攻击信息的情况下,调取区块链中存储的每个IP地址的路径摘要,其中路径摘要包括路由器节点转发的每个IP地址的数据包中预设类型的数据包的比例信息、数据包长度分布情况以及收发包比例,并根据攻击的类型获取攻击特征,从调取的历史路径摘要中确定符合攻击特征的路径摘要,并确定符合攻击特征的路径摘要对应的目标IP地址,进一步的,还通过目标IP地址确定发起访问的源头用户,这样不仅做到了动态调整用于拦截攻击者的黑名单,还从源头上遏制了攻击,提高了安全性。并且,区块链中存储的路径摘要是按照IP地址进行存储的,有利于对发起攻击的IP地址进行溯源查询。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1示出了本发明实施例提供的一种对DDoS攻击进行入口管控的方法的流程示意图;
图2示出了本发明实施例提供的一种对DDoS攻击进行入口管控的方法的又一流程示意图;
图3示出了本发明实施例提供的一种对DDoS攻击进行入口管控的方法的另一流程示意图;
图4示出了本发明实施例提供的一种局域网系统的示意图;
图5示出了本发明实施例提供的一种对DDoS攻击进行入口管控的装置的结构示意图;
图6示出了本发明实施例提供的一种入口管理服务器的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
参考图1,示出了本发明实施例提供的一种对DDoS攻击进行入口管控的方法的流程示意图,在本实施例中,该方法包括:
S101:当接收到DDoS攻击信息的情况下,从区块链中调取转发恶意数据包的路由器节点的历史路径摘要;
其中,路径摘要包括:路由器节点转发的每个IP地址的数据包中预设类型的数据包的比例信息、数据包长度分布情况以及收发包比例,所述区块链中存储的路径摘要是按照IP地址进行存储的。
其中,接收到的DDoS攻击信息包括:转发恶意数据包的路由器节点的信息以及攻击类型。
本实施例中,局域网中包含攻击检测系统,当攻击检测系统检测到DDoS攻击时,会发送给追踪系统,追踪系统对DDoS攻击进行追踪,从而确定DDoS攻击途径的路由器节点,即确定转发恶意数据包的路由器节点,并确定攻击的类型,并将包含转发恶意数据包的路由器节点信息以及攻击类型的DDoS攻击信息发送给入口管控服务器。
举例说明:如图4所示,若检测到被攻击的对象为服务器Y,追踪系统对DDoS攻击进行追踪,确定出本次攻击途径的路由器节点,例如包括:110、109、101,那么路由器节点110、109、101则可以确认为转发恶意数据包的路由器节点。
本实施例中,路径摘要是通过部署在局域网中的路由器节点按照IP地址进行统计的,并按照预设的时间周期进行统计,并通过路由器节点将每个周期得到的路径摘要上传到区块链中进行存储。
其中,在路由器节点中统计路径摘要的过程包括:
每间隔预设的时间获取每个IP地址的路径摘要;
将获取的每个IP地址的路径摘要发送到区块链上。
区块链接收到每个IP地址的路径摘要后,生成哈希值。
将获取到的每个IP地址的路径摘要发送到区块链上,并生成相应的哈希值,能够防止数据篡改,还可以用于进行验证。
其中,路径摘要中路由器节点转发的每个IP(英文全称:Internet Protocol,中文名称:网际互连协议)地址的数据包中预设类型的数据包的比例信息,是通过DDoS攻击特征确定的。
申请人研究发现,由于DDoS攻击存在不同的攻击特征,不同的攻击特征体现在数据包的收发情况上,基于此,本实施例中,根据不同类型的DDoS攻击特征确定了需要统计的不同类型的数据包的比例。
举例说明:DDoS攻击包括SYN(中文名称:同步序列编号,英文名称:SynchronizeSequence Numbers) Flood、ICMP(中文名称:网络控制报文协议,英文名称:InternetControl Message Protocol)Flood、UDP(中文名称:用户数据报协议,英文名称:UserDatagram Protocol) Flood、ACK(中文名称:即是确认字符,英文名称:Acknowledgecharacter) Flood攻击类型,不同的攻击类型会对应于不同类型的数据包发生数量的变化,进而发生数据包比例的变化。
其中,路径摘要至少包括:每个IP地址向局域网发送数据包和接收局域网的数据包比例,发送的SYN包占发送的总数据包的比例,发送的ACK包占总数据包的比例、发送的UDP包占总数据包的比例、发送ICMP包占总数据包的比例、以及每个IP地址所发的数据包的长度分布情况。
举例说明:路径摘要的内容包括:
路由器节点101:
IP 1.1.1.1 {发送入局域网数据包个数为X,接收服务器数据报个数为Y,收发包比例Y/X;发送的数据包中SYN包比例为A,ACK包比例为B;发送的数据包中UDP包比例为C,ICMP包比例为D;发送的数据包中长度为0-99的占比为E、100-199的占比为F}。
并且,现有技术中对于数据包和流量的记录分析,在转发的数据包很多的情况下,会增加数据存储的开销,为了解决该问题,本实施例中,只统计不同类型的数据包的比例,数据包长度分布情况以及收发包比例。这样即使在转发的数据包大量增加的情况下,也不会增加数据存储的开销。
S102:获取所述攻击类型对应的攻击特征;
本实施例中预先设置了攻击类型与攻击特征之间的对应关系,在得到了攻击类型的情况下,可以根据预先设置的攻击类型与攻击特征之间的对应关系,调取攻击类型对应的攻击特征。
S103:将所述攻击特征与所述历史路径摘要信息进行比对,确定符合所述攻击特征的路径摘要,并确定符合特征的路径摘要对应的目标IP地址;
本实施例中,当发生DDoS攻击时,不同类型的攻击,不同类型的数据包的收发情况会发生很大的变化,例如,若是发生了SYN Flood攻击,那么IP地址所发的SYN包的比例会发生很大的变化。
基于上述的条件,从转发恶意数据包的路由器节点上传的路径摘要中找到符合攻击特征的,从而确定符合攻击特征的路径摘要对应的目标IP地址,该目标IP地址为发起攻击的IP地址。
S104:将所述目标IP地址作为恶意IP地址,并将所述恶意IP地址存入黑名单中;
本实施例中,将确定的目标IP地址作为恶意IP地址,并将该恶意IP地址存入黑名单中,这样实现对黑名单的动态调整,提升了拦截效果。
S105:确定所述恶意IP地址对应的用户信息,在用户信息满足预设条件的情况下,将所述用户作为恶意用户存入黑名单中;所述黑名单用于拦截攻击者的访问。
在局域网中,用户在注册时,局域网可能会给用户分配多个IP地址,若攻击者在通过其中一个IP地址发起攻击被拦截后,可能会更换其它IP地址进行访问,这样就增加了局域网继续受到攻击的风险。
为了避免这种情况的发生,本实施例中,通过恶意IP地址找到对应的恶意用户,在恶意用户符合预设条件的情况下,将恶意用户存入黑名单中。
其中,预设条件可以包括如下的两种:
条件一:
用户被分配的IP地址中有任意一个为恶意IP地址,则将该用户作为恶意用户存入黑名单中;
条件二:
若用户被分配的IP地址中为恶意IP地址的数量大于预设的数量阈值时,则将用户作为恶意用户存入黑名单中。
本实施例中,将用户被分配的IP地址中为恶意IP地址的数量大于预设的数量阈值,则表示在预设的时间段内用户通过不断的更换IP地址发起攻击。这种情况下,则认为该用户为恶意用户,将该用户作为恶意用户存入黑名单中,以禁止该用户的一切访问行为。
为了避免该操作无限的执行下去,还可以在预设的第三预设时间阈值内,执行条件二,即在预设的第三时间阈值内,若用户所属的IP地址中属于恶意IP地址的数量大于预设的数量阈值,则将用户作为恶意用户存入黑名单中。
对于上述条件二,若用户被分配的IP地址中为恶意IP地址的数量小于等于预设的数量阈值,则不认为所述用户为恶意用户。
其中,若用户所属的IP地址中为恶意IP地址的数量小于等于预设的数量阈值,则表示用户在预设的时间段内未一直通过更换IP地址发起攻击,这种情况下,则不认为该用户为恶意用户。
本实施例中,当再次检测到恶意用户发起访问时,由于恶意用户在黑名单中,直接拦截该恶意用户的访问,这样能够从源头上遏制攻击的发生。
本实施例中,在接收到DDoS攻击信息的情况下,调取区块链中存储的每个IP地址的路径摘要,其中路径摘要包括路由器节点转发的每个IP地址的数据包中预设类型的数据包的比例信息、数据包长度分布情况以及收发包比例,并根据攻击的类型获取攻击特征,从调取的历史路径摘要中确定符合攻击特征的路径摘要,并确定符合攻击特征的路径摘要对应的目标IP地址,进一步的,还通过目标IP地址确定发起访问的源头用户,这样不仅做到了动态调整用于拦截攻击者的黑名单,还从源头上遏制了攻击,提高了安全性。并且,区块链中存储的路径摘要是按照IP地址进行存储的,有利于对发起攻击的IP地址进行溯源查询。
DDoS攻击中很多情况下,攻击者会绑架合法的用户,并采用分配给用户的IP地址发起攻击,这种情况下,若攻击者释放合法用户后,该用户不会再对局域网发起攻击,那么若一直将该合法用户进行拦截,会影响合法用户的访问,为了解决该技术问题,参考图2,示出了本发明实施例提供的一种对DDoS攻击进行入口管控的方法的又一流程示意图,在本实施例中,该方法包括:
S201:当接收到DDoS攻击信息的情况下,从区块链中调取转发恶意数据包的路由器节点的历史路径摘要;所述路径摘要包括:路由器节点转发的每个IP地址的数据包中预设类型的数据包的比例信息、数据包长度分布情况以及收发包比例,所述区块链中存储的路径摘要是按照IP地址进行存储的;所述DDoS攻击信息包括:转发恶意数据包的路由器节点的信息以及攻击类型;
S201与上述S101一致,本实施例中不再赘述。
S202:获取所述攻击类型对应的攻击特征;
S202与上述S102一致,本实施例中不再赘述。
S203:从调取的路径摘要中,确定符合所述攻击特征的路径摘要对应的目标IP地址;
S203与上述S103一致,本实施例中不再赘述。
S204:将所述目标IP地址作为恶意IP地址,并将所述恶意IP地址存入黑名单中;
S204与上述S104一致,本实施例中不再赘述。
S205:确定所述目标IP地址对应的用户信息,在所述用户信息满足预设条件的情况下,将所述用户信息作为恶意用户存入所述黑名单中;所述黑名单用于拦截攻击者的访问;
S205与上述S105一致,本实施例中不再赘述。
S206: 监测是否在预设的第一时间阈值内检测到恶意用户的访问行为;
S207:若未在预设的第一时间阈值内检测到恶意用户的访问行为,则删除所述黑名单中所述恶意用户的信息;
本实施例中,若恶意用户在预设的第一时间阈值内,未再次对局域网发起攻击,那么可以认为攻击者放弃通过该用户进行攻击,那么删除黑名单中该恶意用户的信息,即恢复该用户的合法访问权限。
但是,若在预设的第一时间阈值内检测到恶意用户的访问行为,记录该恶意用户的访问时间,并将所述恶意用户的访问时间作为起始点重新对第一时间阈值进行计时。
举例说明:假设第一时间阈值为5分钟,那么若在5分钟内检测到恶意用户的访问行为时,且访问时间为2:00,那么记录该访问时间,并将2:00作为起始点重新对第一时间阈值进行计时。
S208:监测是否在预设的第二时间阈值内检测到恶意IP地址的访问行为;
S209:若未在预设的第二时间阈值内检测到恶意IP地址的访问行为,则删除所述黑名单中的IP地址的信息。
本实施例中,若恶意IP地址在预设的第二时间阈值内,未再次对局域网发起攻击,那么可以认为攻击者放弃了通过该IP地址进行攻击,那么可以删除黑名单中的该恶意IP地址,进而恢复该IP地址的合法访问权限。
但是,若在预设的第二时间阈值内检测到恶意IP地址的访问行为时,则记录所述恶意IP地址的访问时间,并将所述恶意IP地址的访问时间作为起始点重新对第二时间阈值进行计时。
举例说明:假设第二时间阈值为6分钟,那么若在6分钟内检测到恶意IP地址的访问行为时,且访问时间为3:00,那么记录该访问时间,并将3:00作为起始点重新对第二时间阈值进行计时。
本实施例中,通过不断的动态对黑名单进行调整,避免了合法用户或者合法IP地址在攻击者绑架的情况下对局域网发起攻击后,影响用户或者IP地址对局域网的合法访问权限。
参考图3,示出了本发明实施例提供的一种对DDoS攻击进行入口管控的方法的另一流程示意图,在本实施例中,该方法包括:
S301:响应于访问指令,获取用户的身份信息以及IP地址;
S302:若用户的身份信息或者IP地址中任意一项在黑名单中,则拦截用户的访问。
本实施例中,为了保障系统安全,在入口处设置了用户访问权限,在黑名单内的用户或者IP地址,则会被拦截。
本实施例中,用户在发起访问之前,需要先进行注册,系统为用户分配用户访问的IP地址,一般情况下会为用户分配多个IP地址。因此,当用户发起访问时,还需要检测用户是否为已注册的用户,若是的话执行上述S301的步骤,若否的话,则跳转到注册界面,指示用户注册后才可以访问。
本实施例中,通过在入口处用户的访问进行拦截,这样能够从源头上阻止攻击的发生,提升了网络的安全性。
参考图5,示出了本发明实施例提供的一种对DDoS攻击进行入口管控的装置的结构示意图,在本实施例中,该装置包括:
调取单元501,用于当接收到DDoS攻击信息的情况下,从区块链中调取转发恶意数据包的路由器节点的历史路径摘要;所述路径摘要包括:路由器节点转发的每个IP地址的数据包中预设类型的数据包的比例信息、数据包长度分布情况以及收发包比例;所述区块链中存储的路径摘要是按照IP地址进行存储的;所述DDoS攻击信息包括:转发恶意数据包的路由器节点的信息以及攻击类型;
获取单元502,用于获取所述攻击类型对应的攻击特征;
确定单元503,用于从调取的路径摘要中,确定符合所述攻击特征的路径摘要,并确定所述符合所述攻击特征的路径摘要对应的目标IP地址;
第一存储单元504,用于将所述目标IP地址作为恶意IP地址,并将所述恶意IP地址存入黑名单中;
第二存储单元505,用于确定所述目标IP地址对应的用户信息,在所述用户信息满足预设条件的情况下,将所述用户信息作为恶意用户存入所述黑名单中;所述黑名单用于拦截攻击者的访问。
可选的,所述路径摘要是通过部署在局域网中的路由器节点每间隔预设的时间周期,按照IP地址进行统计的,并通过路由器节点将每个周期得到的路径摘要上传到区块链中进行存储;
所述路径摘要中路由器节点转发的每个IP地址的数据包中预设类型的数据包的比例信息是通过DDoS攻击特征确定的。
可选的,所述路径摘要至少包括:每个IP地址向局域网发送数据包和接收局域网的数据包比例,发送的SYN包占发送的总数据包的比例, 发送的ACK包占总数据包的比例、发送的UDP包占总数据包的比例、发送ICMP包占总数据包的比例、以及每个IP地址所发的数据包的长度分布情况。
可选的,所述预设条件包括:
用户被分配的IP地址中有任意一个为恶意IP地址,则将该用户作为恶意用户存入黑名单中;
或者
若用户被分配的IP地址中为恶意IP地址的数量大于预设的数量阈值时,则将用户作为恶意用户存入黑名单中。
可选的,还包括:
第一监测单元,用于监测是否在预设的第一时间阈值内检测到恶意用户的访问行为;
第一删除单元,用于若未在预设的第一时间阈值内检测到恶意用户的访问行为,则删除所述黑名单中所述恶意用户的信息;
第二监测单元,用于监测是否在预设的第二时间阈值内检测到恶意IP地址的访问行为;
第二删除单元,用于若未在预设的第二时间阈值内检测到恶意IP地址的访问行为,则删除所述黑名单中所述恶意IP地址的信息。
可选的,还包括:
第一记录单元,用于若在预设的第一时间阈值内检测到恶意用户的访问行为,则记录所述恶意用户的访问时间;
第一计时单元,用于将所述恶意用户的访问时间作为起始点重新对第一时间阈值进行计时。
第二记录单元,用于若在预设的第二时间阈值内检测到恶意IP地址的访问行为,则记录所述恶意IP地址的访问时间;
第二计时单元,用于将所述恶意IP地址的访问时间作为起始点重新对所述第二时间阈值进行计时;
可选的,还包括:
访问控制单元,用于:
响应于访问指令,获取用户的身份信息以及IP地址;
若用户的身份信息或者所述IP地址中任意一项在所述黑名单中,则拦截用户的访问。
通过本实施例的装置,在接收到DDoS攻击信息的情况下,调取区块链中存储的每个IP地址的路径摘要,其中路径摘要包括路由器节点转发的每个IP地址的数据包中预设类型的数据包的比例信息、数据包长度分布情况以及收发包比例,并根据攻击的类型获取攻击特征,从调取的历史路径摘要中确定符合攻击特征的路径摘要,并确定符合攻击特征的路径摘要对应的目标IP地址,进一步的,还通过目标IP地址确定发起访问的源头用户,这样不仅做到了动态调整用于拦截攻击者的黑名单,还从源头上遏制了攻击,提高了安全性。并且,区块链中存储的路径摘要是按照IP地址进行存储的,有利于对发起攻击的IP地址进行溯源查询。
参考图6,示出了本发明实施例提供的一种入口管理服务器的结构示意图,在本实施例中,该入口管理服务器包括:
存储器601和处理器602;
所述存储器601用于存储程序;
所述处理器602用于执行存储器存储的程序时执行下述所述的方法:
当接收到DDoS攻击信息的情况下,从区块链中调取转发恶意数据包的路由器节点的历史路径摘要;所述路径摘要至少包括:路由器节点转发的每个IP地址的数据包中预设类型的数据包的比例信息、数据包长度分布情况以及收发包比例,所述区块链中存储的路径摘要是按照IP地址进行存储的;所述DDoS攻击信息包括:
转发恶意数据包的路由器节点的信息以及攻击类型;
获取所述攻击类型对应的攻击特征;
从调取的路径摘要中,确定符合所述攻击特征的路径摘要, 并确定所述符合所述攻击特征的路径摘要对应的目标IP地址;
将所述目标IP地址作为恶意IP地址,并将所述恶意IP地址存入黑名单中;
确定所述目标IP地址对应的用户信息,在所述用户信息满足预设条件的情况下,将所述用户信息作为恶意用户存入所述黑名单中;所述黑名单用于拦截攻击者的访问。
可选的,所述路径摘要是通过部署在局域网中的路由器节点每间隔预设的时间周期,按照IP地址进行统计的,并通过路由器节点将每个周期得到的路径摘要上传到区块链中进行存储;
所述路径摘要中路由器节点转发的每个IP地址的数据包中预设类型的数据包的比例信息、数据包长度分布情况以及收发包比例是基于DDoS攻击特征确定的。
可选的,所述路径摘要至少包括:每个IP地址向局域网发送数据包和接收局域网的数据包比例,发送的SYN包占发送的总数据包的比例,发送的ACK包占总数据包的比例、发送的UDP包占总数据包的比例、发送ICMP包占总数据包的比例、以及每个IP地址所发的数据包的长度分布情况。
可选的,所述预设条件包括:
用户被分配的IP地址中有任意一个为恶意IP地址,则将该用户作为恶意用户存入黑名单中;
或者
若用户被分配的IP地址中为恶意IP地址的数量大于预设的数量阈值时,则将用户作为恶意用户存入黑名单中。
可选的,还包括:
监测是否在预设的第一时间阈值内检测到恶意用户的访问行为;
若未在预设的第一时间阈值内检测到恶意用户的访问行为,则删除所述黑名单中所述恶意用户的信息;
监测是否在预设的第二时间阈值内检测到恶意IP地址的访问行为;
若未在预设的第二时间阈值内检测到恶意IP地址的访问行为,则删除所述黑名单中所述恶意IP地址的信息。
可选的,还包括:
若在预设的第一时间阈值内检测到恶意用户的访问行为,则记录所述恶意用户的访问时间;
将所述恶意用户的访问时间作为起始点重新对第一时间阈值进行计时。
若在预设的第二时间阈值内检测到恶意IP地址的访问行为,则记录所述恶意IP地址的访问时间;
将所述恶意IP地址的访问时间作为起始点重新对所述第二时间阈值进行计时;
可选的,还包括:
响应于访问指令,获取用户的身份信息以及IP地址;
若用户的身份信息或者所述IP地址中任意一项在所述黑名单中,则拦截用户的访问。
需要说明的是,本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (6)
1.一种对DDoS攻击进行入口管控的方法,其特征在于,包括:
当接收到DDoS攻击信息的情况下,从区块链中调取转发恶意数据包的路由器节点的历史路径摘要;所述路径摘要至少包括:路由器节点转发的每个IP地址的数据包中预设类型的数据包的比例信息、数据包长度分布情况以及收发包比例,所述区块链中存储的路径摘要是按照IP地址进行统计的并按照IP地址进行存储的;所述DDoS攻击信息包括:转发恶意数据包的路由器节点的信息以及攻击类型;所述路径摘要至少包括:每个IP地址向局域网发送数据包和接收局域网的数据包比例,发送的SYN同步序列编号包占发送的总数据包的比例,发送的ACK即是确认字符包占总数据包的比例、发送的UDP用户数据报协议包占总数据包的比例、发送ICMP网络控制报文协议包占总数据包的比例、以及每个IP地址所发的数据包的长度分布情况;
获取所述攻击类型对应的攻击特征;
从调取的路径摘要中,确定符合所述攻击特征的路径摘要,并确定所述符合所述攻击特征的路径摘要对应的目标IP地址;
将所述目标IP地址作为恶意IP地址,并将所述恶意IP地址存入黑名单中;
确定所述目标IP地址对应的用户信息,在所述用户信息满足预设条件的情况下,将所述用户信息作为恶意用户存入所述黑名单中;所述黑名单用于拦截攻击者的访问;
监测是否在预设的第一时间阈值内检测到恶意用户的访问行为;
若未在预设的第一时间阈值内检测到恶意用户的访问行为,则删除所述黑名单中所述恶意用户的信息;
监测是否在预设的第二时间阈值内检测到恶意IP地址的访问行为;
若未在预设的第二时间阈值内检测到恶意IP地址的访问行为,则删除所述黑名单中所述恶意IP地址的信息;
其中,还包括:
响应于访问指令,获取用户的身份信息以及IP地址,一个用户的身份信息对应多个IP地址;
若用户的身份信息或者所述IP地址中任意一项在所述黑名单中,则拦截用户的访问。
2.根据权利要求1所述的方法,其特征在于,所述路径摘要是通过部署在局域网中的路由器节点每间隔预设的时间周期,按照IP地址进行统计的,并通过路由器节点将每个周期得到的路径摘要上传到区块链中进行存储;
所述路径摘要中路由器节点转发的每个IP地址的数据包中预设类型的数据包的比例信息、数据包长度分布情况以及收发包比例是基于DDoS攻击特征确定的。
3.根据权利要求1所述的方法,其特征在于,所述预设条件包括:
用户被分配的IP地址中有任意一个为恶意IP地址,则将该用户作为恶意用户存入黑名单中;
或者
若用户被分配的IP地址中为恶意IP地址的数量大于预设的数量阈值时,则将用户作为恶意用户存入黑名单中。
4.根据权利要求1所述的方法,其特征在于,还包括:
若在预设的第一时间阈值内检测到恶意用户的访问行为,则记录所述恶意用户的访问时间;
将所述恶意用户的访问时间作为起始点重新对第一时间阈值进行计时;
若在预设的第二时间阈值内检测到恶意IP地址的访问行为,则记录所述恶意IP地址的访问时间;
将所述恶意IP地址的访问时间作为起始点重新对所述第二时间阈值进行计时。
5.一种对DDoS攻击进行入口管控的装置,其特征在于,包括:
调取单元,用于当接收到DDoS攻击信息的情况下,从区块链中调取转发恶意数据包的路由器节点的历史路径摘要;所述路径摘要包括:路由器节点转发的每个IP地址的数据包中预设类型的数据包的比例信息、数据包长度分布情况以及收发包比例,所述区块链中存储的路径摘要是按照IP地址进行统计的并按照IP地址进行存储的;所述DDoS攻击信息包括:转发恶意数据包的路由器节点的信息以及攻击类型;所述路径摘要至少包括:每个IP地址向局域网发送数据包和接收局域网的数据包比例,发送的SYN同步序列编号包占发送的总数据包的比例,发送的ACK即是确认字符包占总数据包的比例、发送的UDP用户数据报协议包占总数据包的比例、发送ICMP网络控制报文协议包占总数据包的比例、以及每个IP地址所发的数据包的长度分布情况;
获取单元,用于获取所述攻击类型对应的攻击特征;
确定单元,用于从调取的路径摘要中,确定符合所述攻击特征的路径摘要,并确定所述符合所述攻击特征的路径摘要对应的目标IP地址;
第一存储单元,用于将所述目标IP地址作为恶意IP地址,并将所述恶意IP地址存入黑名单中;
第二存储单元,用于确定所述目标IP地址对应的用户信息,在所述用户信息满足预设条件的情况下,将所述用户信息作为恶意用户存入所述黑名单中;所述黑名单用于拦截攻击者的访问;
所述对DDoS攻击进行入口管控的装置,还用于监测是否在预设的第一时间阈值内检测到恶意用户的访问行为;若未在预设的第一时间阈值内检测到恶意用户的访问行为,则删除所述黑名单中所述恶意用户的信息;监测是否在预设的第二时间阈值内检测到恶意IP地址的访问行为;若未在预设的第二时间阈值内检测到恶意IP地址的访问行为,则删除所述黑名单中所述恶意IP地址的信息;
所述对DDoS攻击进行入口管控的装置,还用于响应于访问指令,获取用户的身份信息以及IP地址,一个用户的身份信息对应多个IP地址;若用户的身份信息或者所述IP地址中任意一项在所述黑名单中,则拦截用户的访问。
6.一种入口管理服务器,其特征在于,包括:
存储器和处理器;
所述存储器用于存储程序;
所述处理器用于执行存储器存储的所述程序时执行上述权利要求1-4所述的对DDoS攻击进行入口管控的方法中的任意一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110210616.1A CN112565307B (zh) | 2021-02-25 | 2021-02-25 | 一种对DDoS攻击进行入口管控的方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110210616.1A CN112565307B (zh) | 2021-02-25 | 2021-02-25 | 一种对DDoS攻击进行入口管控的方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112565307A CN112565307A (zh) | 2021-03-26 |
CN112565307B true CN112565307B (zh) | 2021-05-25 |
Family
ID=75034762
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110210616.1A Active CN112565307B (zh) | 2021-02-25 | 2021-02-25 | 一种对DDoS攻击进行入口管控的方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112565307B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114189396B (zh) * | 2022-02-17 | 2022-05-24 | 清华大学 | 基于维特比算法的DDoS攻击追踪方法、系统、设备及介质 |
CN116760649B (zh) * | 2023-08-23 | 2023-10-24 | 智联信通科技股份有限公司 | 基于大数据的数据安全保护及预警方法 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103384242A (zh) * | 2013-03-15 | 2013-11-06 | 中标软件有限公司 | 基于Nginx代理服务器的入侵检测方法及系统 |
CN111988331A (zh) * | 2020-08-28 | 2020-11-24 | 清华大学 | 基于区块链的DDoS攻击追踪方法和系统 |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105516080B (zh) * | 2015-11-24 | 2019-03-15 | 网宿科技股份有限公司 | Tcp连接的处理方法、装置及系统 |
CN107172085B (zh) * | 2017-06-30 | 2018-06-22 | 浙江华信区块链科技服务有限公司 | 基于区块链智能合约的主动防御方法及节点 |
US10742669B2 (en) * | 2017-08-09 | 2020-08-11 | NTT Security Corporation | Malware host netflow analysis system and method |
CN110113328B (zh) * | 2019-04-28 | 2021-01-15 | 武汉理工大学 | 一种基于区块链的软件定义机会网络DDoS防御方法 |
-
2021
- 2021-02-25 CN CN202110210616.1A patent/CN112565307B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103384242A (zh) * | 2013-03-15 | 2013-11-06 | 中标软件有限公司 | 基于Nginx代理服务器的入侵检测方法及系统 |
CN111988331A (zh) * | 2020-08-28 | 2020-11-24 | 清华大学 | 基于区块链的DDoS攻击追踪方法和系统 |
Also Published As
Publication number | Publication date |
---|---|
CN112565307A (zh) | 2021-03-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110445770B (zh) | 网络攻击源定位及防护方法、电子设备及计算机存储介质 | |
US8661544B2 (en) | Detecting botnets | |
CN109831461B (zh) | 一种分布式拒绝服务DDoS攻击防御方法及装置 | |
US20060143709A1 (en) | Network intrusion prevention | |
US10218733B1 (en) | System and method for detecting a malicious activity in a computing environment | |
US9407527B2 (en) | System and method for inferring traffic legitimacy through selective impairment | |
CN112565307B (zh) | 一种对DDoS攻击进行入口管控的方法及装置 | |
CN110266650B (zh) | Conpot工控蜜罐的识别方法 | |
US10594706B2 (en) | Systems and methods for IP source address spoof detection | |
US11271963B2 (en) | Defending against domain name system based attacks | |
Wang et al. | Efficient and low‐cost defense against distributed denial‐of‐service attacks in SDN‐based networks | |
CN113329039B (zh) | 一种缓存污染检测方法、装置、电子设备和存储介质 | |
CN114244801B (zh) | 一种基于政企网关的防arp欺骗方法及系统 | |
Boppana et al. | Analyzing the vulnerabilities introduced by ddos mitigation techniques for software-defined networks | |
US9686311B2 (en) | Interdicting undesired service | |
KR20200109875A (ko) | 유해 ip 판단 방법 | |
JP3652661B2 (ja) | サービス不能攻撃の防御方法および装置ならびにそのコンピュータプログラム | |
KR101593897B1 (ko) | 방화벽, ids 또는 ips를 우회하는 네트워크 스캔 방법 | |
CN113242260A (zh) | 攻击检测方法、装置、电子设备及存储介质 | |
CN108471427B (zh) | 一种防御攻击的方法及装置 | |
US8001243B2 (en) | Distributed denial of service deterrence using outbound packet rewriting | |
US20220103582A1 (en) | System and method for cybersecurity | |
Freet et al. | An overview of architectural and security considerations for named data networking (ndn) | |
US20050147037A1 (en) | Scan detection | |
Bellaïche et al. | SYN flooding attack detection by TCP handshake anomalies |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |